2019-06-05 09:10
非常荣幸能有这个机会跟大家作这么一个分享,特别感谢中国信通院的邀请。台下有很多比我资深、比我年长的前辈和师长,我第一个讲我一直不理解原因,现在我知道了,只有我一个人讲国际,我把国际讲完之后后面就可以更安心地讲国内政策了。
我分享的主要内容来自于给商务部世贸司做的课题。2018年年终的时候他们找到我说,如果2019年我们要进入世贸框架下电子商务这个章节谈判的话,我们进去的话可能会遇到什么样的场景,别的国家在某些重要议题上是什么样的政策、立场,我们的条文、我们的政策立场跟他们能不能形成协调,如果参与谈判的话会遭遇什么样的境遇。去年给他们做了一个评估,总体发现数字贸易条款中有七个非常重要的议题,这七个议题需要在各个国家立场上形成协调之后才可能达成在WTO框架下形成数字贸易这一个章节的东西。2019年初商务部签署了同意开展WTO框架下数字贸易章节条款谈判的工作,今年开始正式启动了这么一个工作。今天我主要跟大家讲述本地化与数据跨境流动这么两个议题,简要看一下现在美国和欧洲最新提出来的条款,上面对数字本地化和贸易是怎么规定的,咱们国家的基本立场,有没有可能形成协调。
数据跨境流动本质上是不同国家、地区、组织之间的,无论是个人数据、非个人数据的互操作性。一般来讲,监管数据跨境流动有四个事由:为了数据安全、为了保护个人、为了正当的公共政策目标、为了国家的安全。但是在欧美,比如说咱们国家《网络安全法》37条出来之后,欧美无论是行业协会还是政府都给咱们国家政府提过很多的意见,无外乎数据本地化或者管制数据跨境流动造成三个不好的后果:1.损害自己的经济的增长;2.违反了技术逻辑,比如云计算或者大数据可能数据要汇在一起才有作用,留在本地的话就阻止了汇聚的过程;3.像中国、俄罗斯这样的国家想利用数据国际化推翻国际互联网的治理秩序。国际上不论是智库还是学者写文章反对数据本地化和数据跨境流动无非是这三个角度来讲。
现实的情况,有颜色的国家数据或多或少都有本地化的或者管制跨境流动的政策,颜色越深说话严苛度越高。目前没有国家要求所有的数据都在本地化存储,但是基本上都对某一类数据进行本地化的要求。来看时间轴的话,沿着时间轴,你会发现越来越多的国家和地区采取了数据本地化或者管制数据跨境流动的政策。
贸易谈判中美欧最新的立场。有三四页PPT没有翻译成中文,我觉得用英文看稍微好一点。TPP算是新一代贸易规则,虽然美国退出来了,变成CTPP,但是电子商务这一章节没有改变,主要的数据本地化、数据跨境流动的章节主要在十四章体现。大家可以看到TPP的第一句话说的还是各成员国认可,每一个成员国为了保护通讯的秘密和安全的情况下,可能会对本地化提出一些要求。但是最下面美国在WTO框架下提出最新的语言,直接把第一段全删掉了,意思是我不认可你有任何管控数据本地化的理由,直接来了一句,任何一个成员国都不应该要求把数据留在本地作为开展营商的前提条件,就是前面那一句相对肯定性的话直接删掉了。第二句话跨境流动,TPP的第一句话,成员国认可每一个成员国国家有自己的监管要求,而且为了取得正当的公共政策目标的话,是允许有数据跨境流动的,只要不造成A和B两项。在美国最新的语言里面同样删掉了,他不认可每个国家应该有自己的管控要求的自主性,直接要求说任何一个国家都不应当要求对数据跨境流动进行管控。造成数据跨境流动,只要这个措施不是任意和没有正当性的就可以。但是在最新的语言里头,他对什么叫作任意和没有正当性进行了进一步的说明,说只要对数据跨境流动这个规则采取了规则,那么跟数据境内流动的规则就是不一样的,他就说明你这是属于肆意和没有正当性的。第一个理解,只要用了两套规则就叫不同的规则,第二个理解对跨境安全的流动安全水平比境内的安全水平高,这个叫不同的规则。具体这个规则是实质性的理解方式还是形式上的理解方式,现在没有厘清。
欧盟的语言跟美国的不一样,也跟TPP的不一样,欧盟用A条款和B条款,A条款标题大家可以看到,叫作数据跨境流动,这个数据包括个人数据和非个人数据。总体的意思,条款A是要求所有的本地化措施等等都不应该,包括用本地计算设施的这些条件都不应该是某个企业在某个成员国开展营商的前提条件,但是它对B项做了一个非常宽泛的界定,他说为了保护个人数据和隐私的话,每个国家可以采取他自己认为合适的措施,从这段话的意思来看,就是想为自己的GDPR找寻一个国内的政策空间,他用的词、用的语句我认为是国家安全的时候怎么样,把这个语句用在个人信息保护当中。欧美的整体路径就是对于非个人数据要尽量促进国际流动,不能有本地化的措施。非个人数据由于有GDPR的保护措施,他说要给自己这样一个空间。
我们看美欧最新的立场的话,四项理由,现在只承认保护个人而已,其他三项理由都不承认,他认为其他三项不构成数据本地化,原来大家可以看到TPP还允许数据安全,还允许正当的公共政策目标,但是这两项在美欧最新的条款里头都不存在了,至少在WTO环境下,他希望把数据自由流动的框架再往前提一步,但是回到无论是《网络安全法》37条的设计,还是最新的《数据安全管理办法(征求意见稿)》,咱们的诉求肯定不能只是保护个人,出于这个理由管控个人数据,但是美欧已经往下走一步了。
国内的政策和立场。这些是现有的本地化,就是《网络安全法》之前的,无论是数据本地化或者禁止数据往外流动的一些规定的摘要,大家可以看到人口、健康、网络出版、保险、网约车都有类似的数据要留在本地,或者不得向境外提供的规则。《网络安全法》对数据的主要规定,刚才那些规定是《网络安全法》之前,现在我们来看《网络安全法》的规定。我自己划成了,对数据主要有三层监管要求,第一个是技术上的要求,我们都很理解,完整性、保密性、可用性,《网络安全法》第十条基本上用了这样的语言,大家学习的第一章都是安全的目标,主要是完整性、保密性、可用性。个人信息主要在第四十到第四十四条,《网络安全法》还有一个创新,就是站在国家层面提出数据保护安全的要求,突出体现了第37条,站在国家角度,中间那个是站在个人角度,最上面这层是任何企业只要拿到数据都应该有这个义务去做好安全。
总结起来很简单,如果要理解《网络安全法》对数据的主要规定的话就是这三层。大家从这儿也可以理解为什么要做《数据安全管理办法》,因为《网络安全法》对重要数据只在出境环节做了规定,前几个环节没写,大家看重要数据的字也没有在前几个出现,个人信息《网络安全法》的表述太原则性,操作性不强,中央网信办出的《数据安全管理办法》从这两个方面提出了更高的要求。
将来我们能从《数据安全管理办法》可以看出来我们国家基本上是沿着这样一个出境管控的思路。对于个人信息,对于出境说要提出评估,对于个人信息的出境规定另见其他办法,总体意思就是把重要数据和个人信息拆开用两套出境的思路做管控。对于重要数据就是要做评估,这个在《数据安全管理办法》也明确了。对于个人信息,由于本地化的必要程度不像重要数据那么高,为什么?因为个人信息本地化有一定的必要程度,比如数据在欧盟境内或者我们人跑到欧盟境内,我们可能那一时段的数据享受被遗忘权、反对权、自动化决策的权利,但是人回到中国以后又不享受这个权利了。所以本地化有一定的意义,但是这个意义不是绝对的,因为很多时候可以通过合同把这些给扩展出去。但是重要数据出境评估就比较严苛,企业首先要做自评估,在特定的情况下监管还会再做一次评估,对重要数据《办法》中也说,相关部门要批准。所以我们可以看到大概沿着这么一个金字塔,如果是最底层的技术安全,纯粹技术安全,地点不太确定,真正的技术安全的顺序,很难说微软在美国做的云的水平就不如在中国做的水平,这个跟地点没关系,主要是跟能力有关系。所以本地化,我觉得在个人信息和重要数据里面相关,国内可能会沿着这么一个路径去设计出境的动作。
我们要把这个框架挪到WTO的框架来看,中间这个地方,个人信息保护可能因为欧美也想做,所以这一块政策空间是有的,但是对重要数据那一块,在欧美新的条款里面已经不承认有所谓的正当的公共政策目标了,他认为要么就国家安全,要么就个人信息,重要数据和数据安全、技术上的安全都不属于你有理由把数据留在本地或者管控数据流动的这么一个理由了,在这个情况下,接下来我们的谈判,大家从前几天WTO对外发布的通讯可以看到,咱们国家商务部也是不断强调数据跨境流动比较复杂,需要更多的研究,而不应该很快做出决定。总体来看前景就是不明朗,美欧都是牵着手大家一起往前走,希望更进一步自由化的趋势和政策目标,但是咱们国家或者说其他的发展中国家,我今天跟大家分享只是我们去年写的报告的一小部分,中间还对巴西、日本、韩国等等,无论是发达国家还是发展中国家都做了分析,巴西跟我们的诉求是比较相近的。今年、明年两三年的谈判中大家可以关注这一点,国际上签的协定空间决定了我们在国内监管的时候,我们的主管部门或者我们接下来几位专家学者要讲的这几个监管,就是各类型数据安全的保护,多大程度上我们国家能够放开手脚做这样一个监管的规定,很大程度上取决于贸易规定是怎么规定的。
我今天就是给大家抛一个砖,20分钟给大家讲一下国际上现在的趋势或者现在的情况是这样的,更多的是为后面几位学者讲国内的情况做一个铺垫,谢谢大家。