1、开放群岛开源社区跨境数据流通小组2023 年 12 月2023The White Paper on Cross-border Data Transfer Compliance and Technology Applications合规与技术应用白皮书跨境数据流通跨境数据流通跨境数据流通合规与技术应用白皮书合规与技术应用白皮书(2023)开放群岛开源社区跨境数据流通小组2023 年 12 月2前 言随着信息技术的飞速发展,数字贸易逐步成为国际贸易发展新趋势和贸易增长新引擎。跨境数据流通是开展数字贸易的前提条件,是世界经济流动新要素。全球数据流动对经济增长有明显的拉动效应。世界贸易组织数据显示,2
2、022 年,全球跨境数据流通规模增长 120.6%,数字服务贸易规模增长 36.9%,均高于同期的全球服务贸易和货物贸易的增速。跨境数据流通对贸易模式、贸易结构、全球贸易规则和世界贸易格局产生深刻影响。加强数据跨境流动探索,已成为打造我国在全球数字经济发展格局中优势的关键。2022 年 12 月,中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见提出,坚持开放发展,推动数据跨境双向有序流动。2023 年 9 月28 日,国家互联网信息办公室发布规范和促进数据跨境流动规定(征求意见稿),该规定在个保法以及相关数据跨境传输规定的基础上,降低了相关主体在数据出境时的合规成本,加快了我国数据
3、出境的效率,有利于促进国际机构跨境活动的高效运营。截至目前,全国已有北京、上海、广州、深圳等 20 余地出台“数据相关条例”,推进数据跨境流动工作。在此背景下,联易融于 2022 年受邀牵头创建开放群岛跨境数据流通小组,以助力企业合法合规实现数据跨境流通,业务出海为目标;结合业务模式与技术能力推进合法合规可落地技术解决方案。去年组织三十余家境内外机构编写了跨境数据流通合规与技术应用白皮书(2022),收到广泛关注。据不完全统计,发布之初,就得到了超过 30W 次的阅读量,以及包括主流媒体在内的超过500 家媒体等机构转载。跨境数据流通对贸易模式、贸易结构、全球贸易规则和世界贸易格局产生深刻影响
4、。加强数据跨境流动探索,已成为打造我国在全球数字经济发展格局中优势的关键。2023 年联易融继续牵头并携深数所、信通院等 40 多家机构撰写跨境数据流通合规与技术应用白皮书(以下简称白皮书(2023)。白皮书(2023)进一步拓宽国际视野和跨境场景,聚焦粤港澳大湾区优势,具有以下特点:第一,国际视野更加开阔,追踪欧美日韩最新跨境数据合规法律动态,增补我国重要贸易伙伴以及邻近国家和地区的法律环境分析,如东盟成员国、沙特阿拉伯、俄罗斯、中国台湾等地,并与中国大陆的数据跨境规则进行对比,为数据处理者与相关国家或地区开展数据跨境活动时提供参考。数据跨境的规范更需要不同国家间相互合作才能完成,白皮书(2
5、023)对当今主要的数据跨境流通国际条约也加以介绍,为探索跨国合作提供新的视角。3第二,数据跨境场景更加丰富,在关注跨境重点行业的基础上,发掘新场景和新应用。例如,从民生出发,关注大湾区居民异地银行或证券开户的个人数据跨境流动。从工业智造出发,关注关键工业数据合规跨境提升芯片制作工艺。从公共健康出发,关注跨境就医结算服务和医疗临床研究项目的数据合规出境规范。第三,数据跨境区域更加聚焦,粤港澳大湾区具有独特的区位优势,是我国跨境数据流通的重要节点。作为一个重要的经济合作区域,涉及“一个国家、两种制度、三个关税区、三种货币”,这里具备强大的经济发展实力和跨境数据流通需求。白皮书(2023)重点关注
6、粤港澳大湾区跨境数据流通发展现状,推进数据跨境流动安全规则研究、制定和落地的先行先试。本次白皮书成功发布,离不开“开放群岛跨境数据流通小组”各位领导专家的支持和帮助。他们在跨境数据合规与流通实践方面,拥有成熟的经验与领先的优势。在编写过程中,各位专家不吝分享自己专业领域的真知灼见,每一次讨论都是思想的碰撞,每一次交流都是思维的提升。再次感谢各参编单位的团结贡献,让我们继续为推动数据跨境安全有序流动贡献力量!1目 录第一章 背景介绍.11.1.我国跨境数据流通的发展现状.11.2.港澳大湾区跨境数据流通的发展现状.41.3.全球跨境数据流通的发展趋势.41.4.我国跨境数据流通发展面临的挑战.5
7、第二章 国际条约中的数据跨境规则.82.1.总览.82.2.具体条约中的数据跨境规则.92.2.1.基于世界贸易组织(WTO)框架下的重要多边条约.92.2.2.区域全面经济伙伴关系协定(RCEP).122.2.3.全面与进步跨太平洋伙伴关系协定(CPTPP).142.2.4.数字经济伙伴关系协定(DEPA).152.3.对中国数据跨境管理的启示.16第三章 数据跨境域外法律环境分析.183.1.中国香港.183.1.1.推动数字经济发展,打造亚太地区数据中心设立首选地.183.1.2.香港数据保护及数据跨境的要点简析.193.1.3.香港与中国大陆个人信息保护法规之对比情况.213.2.中国
8、澳门.223.2.1.完整的个人资料保护规范,但不完善的跨境规则.223.2.2.澳门数据保护及数据跨境的要点解析.223.2.3.注意敏感个人信息保护,避免行政处罚.233.3.中国台湾.243.3.1.台湾地区个人资料保护及跨境流通监管的法律环境.243.3.2.我国台湾地区数据保护及数据跨境的要点简析.253.3.3.我国台湾地区 个人资料保护法 与大陆 个人信息保护法的衔接与差异.273.4 东盟.273.4.1.出台系列指导性政策文件,统筹数字经济发展与数据保护283.4.2.东盟个人数据保护框架促各成员国国内数据保护政策一致化.2823.4.3.东盟数据管理框架 和 东盟跨境数据流
9、动示范合同条款为企业提供数据管理和跨境数据流通的指引.293.5.新加坡.293.5.1.寻求加强监管与数据开放流动直接平衡的监管体系.293.5.2.新加坡数据保护监管框架概览及数据跨境的要点解析.303.5.3.新加坡与中国个人信息保护之比较.333.6.越南.333.6.1.越南数据保护法律体系概况.333.6.2.越南数据保护和数据跨境的要点简析.333.6.3.越南与中国数据保护法律之对比.343.7.沙特阿拉伯.353.7.1.沙特阿拉伯数据保护法律框架概述.353.7.2.沙特个人数据保护法要点简析.353.7.3.沙特数据保护与中国的对比.373.8.日本.373.8.1.日本
10、数据跨境流通战略举措.373.8.2.日本数据跨境流通法律规制要点简析.393.8.3.与我国数据跨境法律法规对比分析.413.9.印度.423.9.1.经历多次曲折,终接近出台数据保护专门立法.423.9.2.印度数据保护及数据跨境的要点解析.423.9.3.与中国法律的对比.453.10.俄罗斯.463.10.1.俄罗斯联邦个人信息及数据法律环境分析.463.10.2.俄罗斯联邦数据跨境保护及审查要点分析.473.10.3.中俄数据保护及数据跨境合规对比.493.11.欧盟.493.11.1.棱镜事件推动的数据跨境流动立法密集时代.493.11.2.欧盟数据保护及数据跨境的要点简析.503
11、.11.3.中国对 GDPR 的借鉴与发展.513.12.美国.533.12.1.美国个人信息及数据法律环境分析.533.12.2.美国数据保护及数据跨境的要点解析.543.12.3.美国与中国数据保护法律之对比.5633.13.尊重区域差异,做好数据跨境合规.57第四章 跨境数据流通技术解决与合规方案.584.1.跨境消费:某知名大型港资消费品企业数据跨境方案.584.1.1.案例背景.584.1.2.技术方案.594.1.3.方案创新点和亮点.594.1.4.应用效果.604.2.跨境金融:香港银行跨境电子签署.604.2.1.案例背景.604.2.2.技术方案.604.2.3.方案创新点
12、和亮点.614.2.4.应用效果.614.3.跨境芯片研发:M2&SKC 芯片数据跨境安全计算.624.3.1.案例背景.624.3.2.技术方案.634.3.3.方案创新亮点.644.3.4.应用成效.644.4.跨境数据:中国首单场内跨境数据交易.654.4.1.案例背景.654.4.2.整体方案.654.4.3.数据产品创新点和亮点.684.4.4.应用成效.684.5.数字贸易:基于数字贸易资产的融资解决方案.694.5.1.案例背景.694.5.2.技术方案.694.5.3.方案创新点和亮点.714.5.4.应用成效.724.6.跨境金融:港股开户跨境可靠电子签署.724.6.1.案
13、例背景.724.6.2.技术方案.724.6.3.方案创新点和亮点.734.6.4.应用效果.734.7.卫生健康:跨境就医结算服务平台.744.7.1.案例背景.7444.7.2.技术方案.744.7.3.方案创新点和亮点.774.7.4.应用效果.774.8.跨境征信:海外用户信用风险评估报告.784.8.1.案例背景.784.8.2.技术方案.784.8.3.方案创新点和亮点.804.8.4.应用效果.804.9.健康医疗:临床试验数据跨境合规.814.9.1.案例背景.814.9.2.合规方案.824.9.3.方案创新点和亮点.834.9.4.应用效果.844.10.跨境贸易:基于区块
14、链的两岸跨境贸易商品溯源系统.844.10.1.案例背景.844.10.2.技术方案.854.10.3.方案创新点和亮点.884.10.4.应用效果.884.11.跨境电商:跨境数据推动电商企业 ESG 供应链改进.884.11.1.案例背景.894.11.2.技术方案.904.11.3.方案创新点和亮点.914.11.4.应用效果.914.12.数据合规:企业数据出境风险评估.924.12.1.案例背景.924.12.2.合规评估.924.12.3.方案创新点和亮点.944.12.4.结语建议.94第五章 数据跨境流通与技术应用发展建议.955.1.数据跨境安全管理底线坚持与便利化探索.95
15、5.2.企业全面建成数据跨境合规体系.965.2.1.企业数据安全与隐私保护.965.2.2.企业供应链风险控制与管理.975.2.3.企业跨境数据流通合规能力建设.9855.3.推动跨境数据流通合规技术产业发展.995.4.重视合规人才培养与产业共生.1015.5.深化开放合作实现跨境合规应用多样化.102参考文献.104附录 A:数据跨境流通域外法律解析.1071.香港.1072.澳门.1133.台湾.1174.新加坡.1315.越南.1406.日本.1497.印度.1508.欧盟.1609.美国.176附录 B:编写单位简介.193图列表图 1跨境流程示意图.59图 2跨境电子签署服务平
16、台总体架构图.61图 3跨境电子签署服务平台网络传输路径图.62图 4整体架构图.63图 5UCloud 安全屋业务流程图.64图 6数库 SmarTag 新闻分析数据产品架构图.66图 7跨境数据交易流程图.67图 8传统供应链中 DTA 的应用流程图.70图 9多级供应链中 DTA 在发行、转让、融资和兑现场景中的应用.71图 10深圳 CA 港股开户电子认证服务平台总体架构图.73图 11跨境就医结算服务平台框架结构图.76图 12平台业务流程图.76图 13跨境就医结算服务平台技术架构图.77图 14用户信用风险评估报告处理系统作业流程示意图.79图 15征信报告模板示意图.80图 1
17、6数据出境安全评估流程.82图 17自评估流程图.83图 18两岸跨境贸易商品溯源应用技术架构图.86图 19两岸跨境贸易商农品溯源应用数据上链流程.86图 20两岸跨境贸易商品溯源应用数据采集示例.87图 21两岸跨境贸易商品溯源应用案例.87图 22方案功能展示图.89图 23企业跨境数据安全技术体系架构图.961第一章 背景介绍数据是国家重要的战略资源,跨境数据的积累、精炼、加工和管控是数字经济的重要组成部分,对于促进全球经济的可持续发展具有重要的推动作用。数据跨境流通对数字丝绸之路建设具有积极的推动作用,有助于促进全球数字经济的健康发展,实现各国在数字化时代的共同繁荣。在数字化转型背景
18、下,跨境数据流通已愈发成为全球经济增长中的关键引擎。一是跨境数据推动数字经济全球一是跨境数据推动数字经济全球化化。跨境数字业务如跨境金融、跨境医疗、跨境零售等都需要大量的数据在全世界范围内快速传输和处理,实现全球化的服务和运营;如果无法跨境传输数据,这些基于网络的数字业务将难以实现全球发展,实现数字经济的全球布局。二是二是跨境数据保障数字贸易一体化。跨境数据保障数字贸易一体化。随着数字贸易规模不断扩大,跨境数据流通将成为促进数字贸易发展的重要基础,只有实现安全高效的跨境数据流通,数字贸易才能真正实现全球一体化,这将进一步推动全球数字经济的深入发展。三是三是跨境跨境数据流通数据流通支撑产业高质量
19、支撑产业高质量。企业通过跨境数据流通,整合全球各地区的数据资源实现资源最优化配置,这可以帮助企业缩短产品迭代周期,提高研发效率,优化全球运营决策,在全球竞争中获得先发优势,同时产业也可以利用数据优势,实现转型升级和高质量发展。四是四是跨境数据流通跨境数据流通助力企业高效益助力企业高效益。通过收集和分析来自不同国家和地区用户数据,企业可以更好地了解全球客户的需求和偏好,挖掘出新的商业机会,针对不同市场提供定制化的产品和服务,实现精准营销,拓宽全球销售渠道,这将有利于企业快速扩大市场规模。1.1.我国跨境数据流通的发展现状跨境数据流通的快速发展导致新的商业模式不断涌现,产生更加紧密复杂的经济互动,
20、从而促进数字经济外延形式上的持续扩张和内在逻辑上的持续延伸。在数字经济全球化的背景下,我国对于跨境数据流通的管理上也参考了国际先进经验,制定和实施了许多重要的管理措施。总体而言,我国跨境数据流通整体呈现管理框架更加完善、跨境数据流通行业应用更加丰富等特征。(1)数据数据跨境跨境流通流通管理规范体系愈发管理规范体系愈发完善完善为顺应跨境数据流通,融入全球化发展,近年来我国出台并施行了中华人民共和国民法典电子商务法网络安全法数据安全法个人信息保护法中华人民共和国密码法中华人民共和国外商投资法反垄断法出口管制法等法律规范。随着网络安全法数据安全法个人信息保2护法等法律的发布,我国建立了以数据保护与跨
21、境数据流通为框架的制度体系,同时法律框架机制的设计也采取了全球共识和本土经验相融合的创新模式,积极探索跨境数据流通规则体系多样性的建设。2022 年 9 月国家互联网信息办公室发布实施数据出境安全评估办法,进一步规范了数据跨境的事前管理路径;2022 年 12 月中共中央国务院发布关于构建数据基础制度更好发挥数据要素作用的意见(以下简称“数据二十条”),进一步有利于提高数据要素治理效能;2023 年 6 月 1 日施行的个人信息出境标准合同办法及个人信息出境标准合同,是对个人信息保护法中国家层面的跨境数据流通管理制度体系的落实;2023 年 7 月国务院印发关于进一步优化外商投资环境加大吸引外
22、商投资力度的意见,进一步提出和倡议了“为符合条件的外商投资企业高效开展重要数据和个人信息出境安全评估,提供绿色通道”;2023 年 9 月 28 日国家互联网信息办公室发布规范和促进数据跨境流动规定(征求意见稿),进一步对数据跨境流动的禁止性行为、可行性行为进行了明确的界定,并针对允许的跨境数据流通的可行性行为给予了操作指引,并强调了企业数据出境安全责任和监管要求。总体而言,我国跨境数据流通相关管理体系愈发完善。(2)我国我国跨境数据流通跨境数据流通行业应用愈发丰富行业应用愈发丰富在我国,跨境数据流通已经渗透到众多行业中,其中以金融、制造业、医疗、物流、数字贸易和数字服务等行业为国内跨境数据流
23、通的行业代表,跨境数据流通在其中发挥了积极重要的作用。在金融行业在金融行业,对客户全球范围的金融资产进行配置和管理的过程中,包含大量的跨境数据信息需求,如金融跨境结算,反洗钱及全球风控、客户金融资产管理实时跨境同步等业务场景,都涉及到国境间的个人数据传输。例如,在风控业务中,有的外资机构帮助中国客户在全球范围内进行投资,建设全球风控系统需要掌握较敏感的数据。在制造行业在制造行业,全球化产业链发展格局下,制造业涉及大量数据协同过程,以实现优化配置和降本增效,如当前市场火热新能源领域汽车制造业,车企需要将海外数据存储在当地自有数据中心或公有云中,虽然不涉及到出口国当地个人信息跨境传输,但由于海外销
24、售、研发等分支机构需要共用国内业务系统,会有研发、制造、销售、财务、运行等相关数据跨境流动的需求。在物流行业在物流行业,随着全球化贸易的增长和电子商务的兴起,跨境数据流通和整合为物流行业提供了高效便捷的信息管理和运营模式。通过数字化技术和跨境数据流通,全流程物流信息获取需求得以满足,物流公司可以实时获取全球运输、库存、订单等关键信息,实现供应链的可见性和精细化管理,更好地与海外供应商、制造商和客户进行合作和沟通,促进国际贸易的便捷性和可靠性。3在医疗行业,在医疗行业,药物海外研发对于多样性的个人数据跨境需求显得更为迫切,药企需要收集、处理包括临床试验数据、试验样本中包含的人类遗传资源信息、患者
25、的健康检测和管理数据等,这些数据部分属于重要数据和敏感个人信息。如我国药企向美国申请新药上市,需要向美国食品与药品管理局(FDA)提出新药临床试验审批申请(IND)和新药注册申请(NDA),并提交临床前研究、检测结果、药物组成、药物生产与质控程序数据。在数字贸易在数字贸易,全球化产业的发展,对打通供应链、产业链、服务链从而实现三链贸易的整体打通,提出了“供应链可视化和跨境数据流通整合”的需求,其中跨境数据流通是实现供应链可视化的重要步骤。同时,伴随着数字技术的发展,通过数字技术延伸出来的数字人、元宇宙、NFT 等相关数字服务和需求也相继产生,在数字服务和产品进行全球流通的背景下,跨境数据的流动
26、是必然性的刚性需求,形成了一种跨境数据流通的新型生态系统。(3)跨境数据流通跨境数据流通技术解决方案日趋成熟技术解决方案日趋成熟当前跨境数据流通相关技术日趋成熟并广泛应用。依据我国现有法律法规要求及相关标准规范建议,强调企业应当建立数据跨境的技术能力体系,以规范和促进数据依法有序自由流动。主要从以下几个方面:在数据资产梳理在数据资产梳理方面,数据分类分级技术将助力实现核心数据、重要数据、一般数据的高效识别以及与相应数据类别、数据安全等级的智能关联,从而大幅提升识别效率和安全性。在数据分析处理在数据分析处理方面,隐私计算技术将在助力企业实现“数据可用不可见,原始数据不出域”。已经有越来越多的企业
27、将通过跨境部署隐私计算节点来完成重要数据或个人数据的处理分析。在数据流动管理在数据流动管理方面,区块链技术将有效助力实现跨境数据流通全生命周期的“防篡改、可追溯、可信任”,为国家及企业的个人信息保护合规审核和数据跨境流动安全监管审计工作提供有力的技术保障。(4)数据跨境措施持续促进外商投资和服务贸易发展数据跨境措施持续促进外商投资和服务贸易发展2020 年 8 月,商务部在全面深化服务贸易创新发展试点总体方案中提出,要积极开展数据跨境传输安全管理试点,并选择了北京、天津、上海、广州、深圳等 28 个省市作为试点地区。2022 年 1 月,国家发改委、商务部宣布将放宽跨境数据业务等相关领域市场准
28、入,开展数据跨境传输(出境)安全管理试点,加速数据要素跨境市场建设。2023 年 7 月,国务院公布关于进一步优化外商投资环境,加大吸引外商投资力度的意见,其中首次提出建立数据出境的清单制度,回应了众多外商投资企业和国内企业的关注;同时在全国范围内统一适用数据出境安全评估、标准合同、认证认可的“三件套”监管措施中,另单设京津4沪粤四地“试点探索”形成“可自由流动”的“一般数据清单”,此举是国家发展大战略之一京津冀一体化的通盘考虑,覆盖环渤海、长三角、珠三角国内三个重要经济带。1.2.港澳大湾区跨境数据流通的发展现状粤港澳大湾区是我国跨境数据流通的重要节点,作为一个重要的经济合作区域,涉及“一个
29、国家、两种制度、三个关税区、三种货币”,具备强大的经济发展实力和跨境数据流通需求。大湾区以率先探索制定数据跨境流动规则,拥有庞大的数据跨境流动应用场景和基础设施,其在数据流动方面的地位与影响力日益凸显,成为了我国跨境数据流通的重要支撑,是进行跨境数据流通研究的先行试验田。粤港澳大湾区并结合行业需求,产生了一大批的经典应用案例。在金融领在金融领域域,粤澳上线跨境数据验证平台,利用区块链技术,以金融信息为试行范畴,在个人资产信息、企业资产证明和核数证明等业务场景方面实现跨银行、跨机构间的数据验证服务。在医疗领域在医疗领域,粤港实现电子病历跨境互通,香港大学深圳医院通过电子健康纪录互通系统(简称“医
30、健通”)实现电子病历跨境互通。在政务在政务领域领域,粤港澳实现政务“跨境通办”,江门市在香港和澳门设立“跨境通办政务服务专区”,推出“湾区政务通”可视化智慧服务柜台,通过引入线上身份核验、远程视频、数字空间、区块链等新技术促进跨境政务数据可信共享,实现涵盖商事登记、不动产登记、公积金、社保等多项高频服务的跨境办理。在科研领域在科研领域,中国澳门与欧盟实现科研数据共享,澳门与欧盟合作构建“中国澳门欧盟数据跨境流动通道”,以科研数据为突破点,探索出包括规则、技术和管理的治理机制,采用 IPV6、隐私增强、区块链等技术确保数据流动的可追溯和可管控,实现了科研数据安全有序跨境双向传输。在在教育教育领域
31、领域,粤港澳大湾区已成为我国科研创新中心,数十家境外高校陆续在广东办学或成立实验室,其中包括香港中文大学、香港科技大学、香港浸会大学、澳门科技大学等,通过合作办学的推动,进一步推动了校区之间包括人员身份信息、实验室科研数据、管理规则技术体系的跨境数据流通共享。总体而言,粤港澳大湾区在促进数据跨境流动方面先行先试,成效显著,但当前仍面临数据跨境难以同时实现数据安全、隐私保护和自由流动三大目标的“三元悖论”,数字基础设施互联互通仍存在一定障碍。1.3.全球跨境数据流通的发展趋势伴随着产业全球协同化发展和数字经济的全面到来,在全球范围内进行的跨5境数据流通愈发变得频繁,成为全球经济发展过程中的刚性需
32、求。通过对全球跨境数据流通的现状进行深入分析,全球跨境数据流通具有以下发展趋势:一是数一是数据跨境治理政策愈发明确据跨境治理政策愈发明确。一方面,全球数据跨境流动的政策、规则和标准存在越来越多的共同点、互补性和趋同因素,都聚焦数据跨境安全保护和自由流动双重目标。另一方面,数据跨境流动全球的监管力度、约束规则、惩戒措施,虽总体趋向严格和出现相关处罚案例,但相关的跨境数据流通的政策已愈发清晰具体。二是数据主权之争愈演愈烈二是数据主权之争愈演愈烈。数据是基础性、战略性资源,数据主权之争成为国家冲突的新形态,许多国家和国际组织积极推动数据主权战略部署和政策规制;迄今,全球近 60 个国家和地区出台了数
33、据主权相关法律或战略;特别是美欧滥用长臂管辖进一步导致数据主权冲突加剧。三是数据跨境安全面临新技术冲三是数据跨境安全面临新技术冲击击。生成式人工智能等新技术的发展促进数据应用场景和主体日益多样化,同时也给数据安全带来新的威胁,导致隐秘在新技术外衣下的数据泄露、数据贩卖、数据侵权等数据跨境安全事件频发;如用户在使用 ChatGPT 的过程中若使用不当,将对个人隐私、商业秘密、国家安全造成严重威胁。四是数据本地化趋势上四是数据本地化趋势上升升。出于国家主权、数据安全、个人信息保护等多种因素的考虑,越来越多的国家和地区采取数据本地化措施,限制部分相关重要数据跨境流动;同时,这些措施的限制性越来越强,
34、许多措施涉及禁止数据流动的存储要求。1.4.我国跨境数据流通发展面临的挑战我国跨境数据流通发展整体呈现出蓬勃发展之势,但综合分析现状和未来趋势,当前仍存在跨境数据流通实施标准和落地措施不足、境外主体数据安全保障能力评估受限、跨境数据流通安全评估成本高和耗时长、境外直接面向境内收集数据主体的申报难、大模型训练数据来源广泛导致监管难度加大等五个方面的问题和挑战。(1)跨境跨境数据流通数据流通实施标准和落地措施不足实施标准和落地措施不足国家发布的数据出境安全评估办法 工业和信息化领域数据安全管理办法(试行)汽车数据安全管理若干规定(试行)重要数据识别指南(征求意见稿)和规范和促进数据跨境流动规定(征
35、求意见稿)已对数据和重要数据的范围进行了定义,明确了告知原则和解决了范围模糊的问题,并有效降低了数据处理者的合规成本;但在目前构建的数据跨境底座之上,我们仍然缺乏更加清晰的跨境数据相关标准、落地措施,以作为数据跨境流动的发展底层设施;如数据出境安全评估申报指南中对属于数据出境的行为做出了描述,但在具体业务中,企业仍缺乏更加细致统一多方互认的数据跨境标准和共通的落地执行措施。6(2)境外主体数据安全保障能力评估受限境外主体数据安全保障能力评估受限数据出境安全评估办法 个人信息出境标准合同办法等法规对境外接收方的数据安全保障能力、个人向境外接收方主张权利的途径有效性评估进行了规定,但在具体核查评估
36、过程中,仍然存在能够进行有效评估的企业数量有限、评估事项评估标准理解不清晰、人工梳理出境活动协调难还原不准确等问题,大多数企业仍主要是靠“在合同中进行约定的方式”来完成判定境外主体履行责任义务的管理和技术措施、能力等保障出境数据的安全,也只有零星几家企业有能力“派遣公司内部人员进行实地考察判断其管理和安全防护能力”。同时在具体开展技术检测过程中,仅通过书面材料审核还是需要到境外对相应接收方进行审核的不确定性导致很难对另外主体的数据安全保障能力进行一个精确性的评估。(3)跨境数据流通跨境数据流通安全评估成本高和耗时长安全评估成本高和耗时长数据出境安全评估过程中,需对境内外双方数据出境场景规模必要
37、性、境外接收方数据法律环境、数据安全保障能力、数据出境风险等进行评估,内容庞杂且复杂,评估内容涉及多层面、多维度,单一能力团队无法支撑。就所需要评估的内容,企业需要聘请内外部多方团队,如聘请外部律师事务所、咨询机构、技术单位进行评估申报、履行评估、整改和申报义务,总体花费的经济成本较高。同时,由于涉及的层面内容的多样性和多维度,处理评估、整改和申报相关手续及流程的时间周期较长,甚至可能经过多轮修改补充仍无法通过,在境内企业难以评估数据跨境风险和控制措施的有效性的情况下,评估周期有可能进一步拉长。(4)境外直接面向境内收集数据主体的申报难境外直接面向境内收集数据主体的申报难根据个人信息保护法五十
38、三条规定,本法第三条第二款(分析、评估境内自然人的行为)规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。同时,个人信息保护法明确对于数据跨境业务和场景,应当依照个保法相关规定履行数据出境安全义务,强调对于满足数据出境安全评估条件的境外个人信息处理者,应当申报数据出境安全评估,并满制度要求:仅具有独立法人资格的主体可以进行认证并持有认证证书。如境外主体或其境内不具有独立法人资格的分支机构需要进行认证,需由境外总部进行认证。现阶段而言对于境外数据处理
39、者主体,面向境内收集数据也成为实务中难点。(5)大模型训练数据来源广泛导致监管难度加大大模型训练数据来源广泛导致监管难度加大大模型训练数据中数据类型及数据来源多元复杂,包括他人隐私、个人信息、7智力成果等,使用这些数据训练模型存在侵犯他人个人隐私、个人信息等风险。在使用过程中,境内主体通过 API 接口形式接入境外大模型,还可能会伴随数据跨境传输及数据泄露风险。如众多个人用户跨境调用大模型服务,或导致数据积累违规跨境,业内多家大模型服务科技企业由于跨境调用大模型服务而致使企业陷入合规危机。在企业内部,企业在多场景应用训练时无法使用同一个模型,需采购或研发大模型(必要场景下国内外大模型都采用),
40、这将使得企业面临中国境内一套模型,境外一套模型的境况,无法实现系统的整体统一监控,导致跨境数据传输的风险进一步加大,同样增加了跨境数据流通监管难度。8第二章 国际条约中的数据跨境规则2.1.总览数据的跨境自由流动是当今世界经济发展必备的常态,应当在保障国家安全、经济安全和社会公共利益等少数必要情况下,尽可能促进和鼓励数据跨境流动,以便创造出更大的经济和社会价值。鉴此,产业界、学术界、社会公众对于简化和便利数据跨境流动监管手续的呼声持续高涨,国际组织、区域机构、各国政府也在积极探索和不懈推动。主要经济体基于自身立场、产业要求分别形成了两种不同的管理路径:一是倡导数据自由流动的全球主义;二是以本地
41、化存储、数据跨境审查为主要特征的本地主义。在此情况下,条约作为国家之间、政府间国际组织之间、国家与政府间国际组织之间缔结的国际协议,便发挥了最主要的契约型约束和造法性指引。必须承认,目前数据跨境活动并未形成全球性规制体系。换言之,全球范围内暂不存在数据跨境流动监管中统一适用的“国际规则”,导致无专项性国际条约、无国际统一适用标准、无国际专业仲裁机构、无国际专项争端解决。“条约是确立国际法主体之前权利义务的书面协定,是国际法渊源最主要体现。”目前国际法按照缔约方数量的划分,针对数据跨境这一特定问题构建权利和义务的国际条约:分为双边条约、诸边条约和多边条约。由于体例和篇幅的限制,本节简要分析涉及中
42、国出境业务或对中国国内立法具有重要影响或参与国际规则谈判发挥范例效应的主要国际条约。(1)缺有效强制但顽强推进的多边条约缺有效强制但顽强推进的多边条约目前,多边条约主要中涉及部分数据跨境内容的国际组织成员签署的条约或主要国际治理机发布的宣言,由于成员间的立场和利益分歧、经济发展水平差异、执法水平经验和机构无法对齐,导致普遍缺乏强制力保障,主要有三类:一是经济合作与发展组织(OECD)于 1980 年确立的首部关于全球数据跨境流动执法原则立法-隐私保护和个人数据跨境流动指南、2013 年制定的OECD 隐私框架,中国为观察员身份未加入;二是二十国集团积极倡导于 2019 年签署的数字经济大阪宣言
43、,中国加入;三是世界贸易组织(WTO)于 1995 年生效的服务贸易总协定、于 1997 年生效的信息技术产品协议、于 2019 年生效的关于电子商务的联合声明,中国均已加入。值得关注的是,尽管存在数据主权、隐私安全、管辖权的政策议题争议诸多困难,国际多边组织始终在不懈努力积极推进。特别是不断有学者和产业人士呼9吁成立世界数据组织(WDO)并缔结管辖数据跨境并具备强制约束力的条约,虽目前看此提议遥遥无期,但无容置疑:统一适用的国际多边条约必是最终目标。(2)重区域适用但蓬勃发展的诸边条约重区域适用但蓬勃发展的诸边条约由于达成多边组织的广泛一致和签署具有约束效力的协商共识,近二十年来区域经贸协定
44、和近年来的区域数字协定成为各经济体开展对外合作的主流,涉及数据跨境移动便利化规制的诸边条约主要有三类:一是中国已加入的具有相对广泛代表性的,比如亚太经合组织(APEC)各成员于 2005 年签署的隐私保护框架、2007 年签署的数据隐私探路者协议、2011 年开发的“跨境隐私规则体系”;二是针对中国正积极申请加入且具备较高水平的,包括 2018 年生效的全面与进步跨太平洋伙伴关系协定,特别是其中的数字贸易规则;2020 年新加坡、新西兰和智利(亦是 CPTPP 签署方)线上签署的 数字经济伙伴关系协定,特别是其中应对数字经济对传统商业贸易治理产生的巨大挑战规定;三是国际上一体化程度十分紧密且为
45、各成员广泛关注的,如 2020 年,美国、墨西哥、加拿大之间新的贸易协议 美墨加协议 正式生效,该协议不仅正式承认了 APEC跨境隐私规则体系”的有效性,而且要求确保数据跨境自由传输、最大限度减少数据存储与处理地点的限制以促进全球化的数字生态系统。(3)高标准雄心但数量有限的高标准雄心但数量有限的双边条约双边条约基于美欧密切的经济联系和高科技的深度合作,2022 年 欧美数据隐私框架达成。欧盟委员会不仅扩大数据跨境移动方面的规则解释,更是更新了标准合同条款,明确确保数据进口提供同等保护的责任主体在于将个人数据提供数据跨境的数据出口方。美国也提出了修补隐私盾协议的实质性承诺。2.2.具体条约中的
46、数据跨境规则本节将从具体的条约着手,简析其中的数据跨境规则。由于体例和篇幅的限制,我们挑选部分条约进行分析,供参考。2.2.1.基于世界贸易组织(WTO)框架下的重要多边条约在全球发展数字经济的背景下,世界贸易组织(World Trade Organization,WTO)作为全球范围内的多边贸易组织拥有 164 个经济体成员,主要通过减免数字产品关税、推动跨境数据自由流动促进全球范围内信息技术产品贸易涉及数字服务贸易的统一化、便利化、自由化。在不断涌现新兴技术的有力加持下,多种形式的国际贸易均可能涉及到相应的国际间数据跨境传输,相关成员关于数据跨境传输的法律和政策确实会影响贸10易开展。鉴于
47、 WTO 框架目前主要针对基于贸易关切的数据跨境进行专项规制,在 WTO 体系下讨论数据跨境问题应从相关成员的国(境)内法律政策对贸易本身的影响考虑,从而援引相关贸易协定进行分析,本节侧重中国数据安全和个人信息保护开展例证。后续一节将重点讨论三个重要多边条约:服务贸易总协定(General Agreement on Trade in Services,以下简称 GATS)、信息技术产品协议(Information Technology Agreement,以下简称 ITA)、关于电子商务的联合声明(Joint Statement on Electronic Commerce,以下简称 JSEC
48、)。(1)服务贸易总协定(服务贸易总协定(GATS)GATS 是关贸总协定(GATT)乌拉圭回合谈判达成的第一套规范国际跨境服务贸易的具有法律效力的多边条约,于 1995 年 1 月正式生效,包括美国、欧盟、日本、澳大利亚、中国等 140 多个成员,其宗旨是在透明度和逐步自由化的条件下扩大服务贸易。GATS 规定国际服务贸易具体分为四种方式:跨境交付(cross-border supply)、境外消费(consumption abroad)、商业存在(commercialpresence)、自然人流动(movement of natural persons),其核心是市场准入及具体承诺表(sc
49、hedules of specific commitments)。GATS 中与数据流动有关的内容,缔约时放在计算机和相关服务(computer and related services)类别,其中包括数据处理服务(data processing services)。如前所述,目前上没有一部专门管辖数据跨境的国际条约,WTO 规则中关于数据跨境传输的规制散件于各协定、备忘录、宣言中。WTO 各项协议中都存在少量例外条款,如果符合例外条款,则有关限制数据跨境流动的国(境)内监管措施将不构成违反 WTO 规则。这些例外规则暂时替代性地构成数据跨境流动的国际法基础,其中最为重要的是,GATS 的例外
50、包括了第 14 条的“隐私例外”和“安全例外”,第 14 条之二的“基本安全例外”,具体为:“隐私例外”系指第14条第1款的“为保护公共道德或维护公共秩序所必须的措施”;第 14 条第 3 款“为遵守法律或法规所必需的措施”及其第 2 项的“保护与个人信息(personal data)处理与传播有关的个人隐私及保护个人记录和账户的机密性”。“安全例外”系指第 14 条第 3 款第 3 项的“安全(safety)”。“基本安全例外”系指第 14 条之二第 1 款第 1 项的“(不得)要求任何成员提供其认为如披露则违背其基本安全利益(essential security interests)的任何