王伟玲 吴志刚
2019 年6 月,日本首相安倍晋三在G20 峰会上启动了“大阪轨道”计划,针对这个计划包括中国和美国在内的二十四个国家共同签署了一项声明。2019 年12 月,新美国在华盛顿召开了一次专家圆桌会议并发布了《全球数据治理:概念、障碍与前景》,本报告就会议涉及的关键问题进行了总结梳理:分析了当前数据治理形势,对数据治理的有关概念进行了定义,总结了数据治理的不同杠杆,指出了数据治理的三个主要方面,并深入研究了未来数据治理将面临的困难,为推动建立全球数据治理框架提出了五条建议。赛迪智库信息化和软件服务业研究所对报告进行了编译,期望对我国有关部门有所帮助。
当前,数据对各行各业的重要性日益凸显。制造、金融、医疗保健等传统行业正变得越来越以数据为中心。
数据成为喂养人工智能、物联网和3D 打印等数据密集型尖端技术的养料,使相关技术产品研发成为可能。
数据为促进经济社会发展带来机遇的同时,由于人们对数据的误用和滥用也衍生了诸多风险,例如个人隐私被侵犯、算法不公平、大规模监视等。当今社会,想要更好地发挥数据价值,其关键是要明确政府和企业对数据收集、使用、存储和保护的规则,在合理利用数据价值与控制数据使用风险间做好二者平衡。
各国政府的政策制定者正积极应对数据保护所面临的挑战,并致力于解决跨境数据流通所带来的一系列问题。2019 年6 月,日本首相安倍晋三在G20 峰会上启动了“大阪轨道”计划,倡议在加强数据保护和安全的前提下建立数据跨境流通框架,包括中国和美国在内的二十四个国家共同签署了一项声明,提出了推动数据自由流通的理念。事实上,国际上对整合各国数据政策、标准、法律形成全球数据治理框架存在巨大争议,在全球范围内实现数据治理变得更加困难。
2019 年10 月3 日,为使“大阪轨道”计划更具现实意义,推动建立符合安倍首相意愿的数据治理国际框架,新美国(NewAmerica,是一个致力于振兴美国实现国家最高理想的非盈利研究机构)在华盛顿召开了一次专家圆桌会议,对数据治理的相关棘手问题展开实质性讨论,旨在为全球数据治理指明前进道路。本报告就会议涉及的所有关键问题进行了总结和梳理,指出了建立全球数据治理框架面对的困难与克服困难的方法。
(一)对数据的理解
专业术语中的“数据”是指由计算机以1 和0 或二进制格式生成、处理、保存并存储的数字化信息。网络连接或网络设备使这种数据从一台计算机传输到另一台计算机。“数据”和“信息”之间也有区别:“数据”是可机读的1 和0,或“代码”;“信息”是数据对人类的意义。数据和信息是否有不同的含义取决于他们的类型,如是否与金融、健康、社交媒体、执法等领域有关。
(二)对数据治理的理解
本报告对数据治理定义为:一国政府在制定不同访问者使用数据的方式时,也要符合别国政府针对共享数据的相关规则,包括别国政府制定发布的政策、标准和法律。“数据治理”在不同的背景下具有多样性。圆桌会议期间,与会人对数据治理进行了系统性讨论,具体如下:
一是从国家安全和执法的角度看,一国政府为了国内和国际安全而建议数据共享时,其他国家却担心这些数据会涉及本国国家安全,不希望本国数据与他国共享。
二是从经济增长和创新的角度看,国家建立并访问大型数据库数据的目的是为了研究和发展机器学习、人工智能等数据密集型技术,并推动跨境交易和电子商务发展,以促进数字经济发展。
三是从数据审核标准的角度看,国家要对是否允许的数据跨境流通内容提出竞争性要求,并在确保数据自由流通的同时提出解决冲突的可行方式。
在上述三個不同领域中,由不同类型的工具或杠杆(lever)对如何收集、使用、传输和存储数据设定规则。这些杠杆基本上为安倍首相提出的“基于信任的数据自由流通”中的“信任”等概念设置了标准。由于“信任”带有一定的主观色彩,法规在多大程度上可增强信任度引起了与会人员的激烈辩论,考虑如何配置各种杠杆以实现某些保障措施是会议的核心议题。
(三)支持或限制数据跨境流通是数据治理的主要焦点
政策文件中的“数据本地化”一词,往往意味着要限制企业将国内数据传输到国外,这与安倍所倡导的数据自由流通恰好相反。实际上,数据本地化只针对一定范围内的数据,不同国家“数据本地化”政策所规定的范围不同。
一是最宽松的数据本地化要求是“镜像”。也就是说,有关国家规定在允许数据发到国外之前,需要在本国服务器中存储数据副本。也许这仅对某些域名或卫生、金融等特定行业的数据存在限制。
二是最严格的数据本地化要求是不允许数据跨境流通。有些国家的数据本地化政策实施形式十分严格,如要求数据本地存储和本地处理的同时全面禁止向境外传输。这可能意味着别国企业将无法获取和使用该国数据以创造价值。俄罗斯和印度已对部分数据采用了这种方式,如印度明确本国支付数据不能向境外传输。但是至少目前为止,除少数国家外,大多数政府尚未实施这种严格的数据本地化政策。
三是本地化存储处理不是限制数据自由流通的唯一选择。各国也可能以算法过滤的形式实施数据流通管制,例如规定是否允许某些类型或来自某些地区的数据流入或流出国境。这种方式可以针对个人健康信息、网络政治话题等敏感数据。算法过滤的范围主要考虑到政府政策重点及其技术能力等方面。
数据治理杠杆就是政府、企业或社会组织利用各种规则影响、调节、控制数据治理活动,以实现数据自由流通的各种手段。数据治理杠杆涉及超国家、国家和次国家三个层次,包括双边、区域和多边贸易协定,以及各种与数据相关的法律、法规、标准和规范。
此外,集体诉讼也可以发挥一定的作用。所有这些杠杆都是政府、企业以及其他关键角色从技术和制度上影响数据流通和存储的方式。确保数据自由流通的关键是明确数据流通应附带的权利和义务。换言之,应采用什么样的数据治理杠杆才能建立以安倍首相愿景为中心的“信任”?
(一)技术是政府制定数据治理决策时的重要考量元素技术协议和标准是数据治理杠杆不可或缺的组成部分,但很多人却对其知之甚少。对互联网架构、企业规则、人员限制、政府政策等各类标准进行更加深入的研究将为加快制定国际框架奠定基础。
一是制定数据治理规则时应考虑互联网技术的可行性。例如,尽管俄罗斯希望能够限制使用具有加密消息的应用程序,但俄罗斯政府已证明由于技术难题,他们无法有效地在俄罗斯境内禁止使用社交应用程序“Telegram”。
再如,希望制定数据治理机制,来阻止他人获取其境内托管网站上的某些数据,却不考虑互联网目前是如何设计成全球路由信息的,那将无法实现其目标。在这一点上,网络流量安全性和互联网协议互操作性等领域的标准或技术规则起着至关重要的作用。也就是说,在实践中对数据自由流通的限制,不仅仅是政府权力或法律权威问题,还体现了政府和企业的技术能力,即数据治理杠杆的子集。
二是制定数据治理规则时要充分考虑技术的影响力。政府和企业在考虑制定数据治理相关政策和法律法规时,也要考虑不同技术有可能带来的影响。即使这些规则不能在代码中直接体现,但至少可指定为达到某种目的应使用哪项技术,或明确哪些机构负责实现技术步骤。
如规定数据通过互联网架构流通,那数据流通就不能采用其他方式。技术性能也会对政策的实施效果带来决定性影响。例如,巴西曾一度要求使用本地电子邮件服务,不得使用美国微软的电子邮件产品,但这项举措并未成功,因为本地电子邮件服务不支持附件和用户需要的其他功能。可见,政策规定之所以无效,是因为技术是影响个人和组织行为的一大要素。
三是制定数据治理规则时要充分考虑不同国家的互操作性。
在技术和法规层面,需要在不同国家的互联网系统和治理机制之间保持一定程度的互操作性,以免造成全球互联网速度大幅下降,或某些数据向某些地方的流通完全中断。同样,此类讨论也应说明互联网的工作方式。即使数据治理讨论的内容与互联网治理有所区别,但不可否认的是数据流通治理与全球互联网运作密不可分。对于各国间应如何处理这些互操作性的问题,目前仍然悬而未决。例如,世界贸易组织对跨境数据流通和网络安全问题的处理一直没有标准,这就引出了互联网时代到来之前制定的世界贸易组织规则是否适用于数字贸易的问题。与此相关的是,大家对数据本地化政策等特定规定是否违背成员国的世界贸易组织义务也存在争议。世界贸易组织等机构的规则制定正面临着一系列挑战。
(二)各国数据治理制度规则不兼容带来的代价不可小觑
国家间的制度冲突有可能阻碍了数据的自由流通,限制了数据整合与使用,并给必须在不同地区多次存储同类数据的公司带来巨大的成本。与会者发现在利用不同的数据治理杠杆创建全球框架时会面临诸多挑战,包括:
1、数据流通缺乏统一的量化指标
数据与有形商品不同,并没有通用杠杆可以量化并跟踪流通价值所对应的数据流通量。
2、数据分类的责任主体、基准不明
讨论期间发现了一个值得注意的问题,不同规则是否应分别处理不同种类的数据,而非按一套规则对所有数据进行批量处理。换言之,并非所有数据流通处理方式都应完全一样。
在许多情况下,对于敏感的个人医疗保健信息、工厂的制造数据、执法数据和“五眼”情报联盟1的国家安全数据来讲,他们的处理方式即使与普通数据有相关或重叠之处,也理应有所区别。于是,问题就变成了“谁有权对数据进行分类”,应由企业自行决定还是由监管机构决定,这对行业发展影响很大。例如,行业和政府对哪些类型的数据将归类为个人数据的决策角色尚未明确。另外还有一个正在单独讨论中的相关问题,作为《布达佩斯网络犯罪公约》的一部分,该如何在获取用户数据的同时不涉及其实际通信内容。
3、不同国家的数据治理杠杆差异很大
首先,差异来自于对数据治理杠杆的概念定义。不同地区可能采用不同杠杆管理数据隐私、数据安全等,而且大家对数据隐私和数据安全等概念的定义也有区别。例如,在欧洲语境下,“数据保护”的术语通常与“隐私”相关,可以与个人数据主权的概念互换;但在一些国家的语境下,数据保护往往是指为保护数据不受犯罪分子侵害而设置的限制措施,同时允许政府不受限制地访问个人数据,这些国家都有类似的数据保护法。
也可以说,这些国家正在考虑的数据保护法案适用于私人企业但不适用于政府机构。在数据管理体制方面,有必要进一步研究隐私与网络安全的关系。任由这两个概念越来越模糊,还是应该对其明确区分?在美国,网络安全法是从隐私法衍生发展而来。
但加利福尼亚州的物联网安全法是个特例,因为该法规的核心是保护设备数据,而非个人数据。鉴于这些不同,有必要对迄今为止存在的数据治理杠杆运行状态、这些杠杆所基于的概念和哲学基础分区域进行对比分析。在存在如此多的差异的情况下,能否建立一个通用的国际框架是目前的关键问题。
其次,差异来自于数据治理杠杆的实施操作。各国对数据治理如何概念化、如何控制国家安全和网络安全、不同杠杆对数字经济中数据使用带来的影响都是不一样的。各国政府对个人控制其数据的权利与私人企业获取个人数据的范围之间的平衡方式也存在差异。
(三)数据治理机制需平衡国家、个人和企业三方利益
全球现有的数据治理机制均在国家、个人和企业利益三者之间取得了不同程度的平衡。如果我们认为政府是从三方利益结合的角度制定数据治理机制,那么是否有可能在各国政府间建立有效的超国家框架?当我们考虑到在这个三方利益组合问题上,如果一国政府有比其他国家政府更多的次国家3级争论时,这个问题就会变得更加复杂。
从最基本的层面来看,寻求建立全球数据治理框架的政策制定者必须解决大量有关跨境数据传输的基本问题:目前数据跨境流动的自由度有多大?未來是否应该开放自由数据流通?自由数据流通是大势所趋吗?如果是,需要制定哪些保障措施,克服哪些障碍,才能在各地区间建立互操作性?
(一)保障数据安全和促进本地发展是国家限制数据自由流通的主要原因
国家限制跨境数据传输的动机可能有几种,而且相互交织重叠。第一个原因是政府为了增强数据安全性。这种动机的基础假设是:与保护措施相比,数据的存储位置对其安全极其重要。另外一个驱动力是确保本地公民数据价值仍保留在国内,以促进国内数字产业发展。各国政府还可能出于安全和情报部门的执法目的和其他政治或社会用途,寻求增强其数据访问的技术能力。
(二)数据跨境流通政策无法限制所有的数据
尽管数据可能永远不会自由流通,但大多数专家认为数据自由流通几乎是当今的现状。尽管世界各地均具备互联网数据的过滤机制,也有一些数据本地化政策规定将数据保留在某些地理区域内,但大多数的数据确实在全球互联网上不受限制的流通。究其原因,一方面,现有限制不会阻止所有类型的数据或者各国执行能力存在差异;另一方面,部分国家针对虚拟专用网络的互联网审查方案表明,实施中存在许多技术障碍。也就是说,全球范围内存在一系列基于地理位置的互联网流量阻止协议、数据传输限制措施,在一定程度上限制了数据跨境流动,但目前还无法限制所有的数据。
(三)跨境数据流通的挑战
推动数据自由流通,首先要考虑限制数据跨境流通的障碍或可能存在冲突的区域。据日本经济产业省负责起草《20 国集团领导人声明》4数字部分的官员伊藤正彦称,这些障碍主要存在于发达经济体与新兴市场经济体、美国与欧盟之间。
1、发达经济体与新兴经济体之间的冲突是限制数据自由流通的障碍
一些国家政府正在以美国等国家所得收益不成比例为由,加大限制数据流通的力度。澳大利亚、加拿大、日本、新加坡、欧洲部分地区以及其他地区的决策者和行业团体,倾向于支持自由数据流通,以促进全球贸易发展,而来自印度等新兴经济体的其他利益相关方则认为,这不一定符合他们的最大利益。印度不愿签署《G20 大阪协议》,认为限制跨境数据传输可能会增强印度国內初创生态系统竞争力,保护印度公民隐私,并将印度定位为数据监管的全球参与者,这一举动突显了对抗西方科技巨头“数据殖民主义”的趋势。
但并非所有新兴经济体都赞同印度“数据民族主义”的观点,相反地,他们接受支持数据流通的规则,如智利、哥伦比亚、墨西哥和秘鲁等拉丁美洲国家,以及越南和马来西亚“太平洋联盟”成员国就接受数据跨境流通。但是,如果印度的杠杆能够在国内取得成效,且其他国家也采取了类似做法,则限制数据流通很可能会成为全球互联网的规范,或至少成为大部分国家的选择。
2、美国与欧洲之间的冲突是限制数据自由流通的障碍
由于担心美国缺乏足够的隐私保护,欧洲联盟法院曾限制从欧洲到美国的数据流通,而且很可能再次限制。欧盟在处理贸易协议中的数据流通和隐私问题时,也对美国采取了不同杠杆。欧盟将隐私从贸易协议中移除,取而代之的是依据《通用数据保护条例》中的单独法律安排“适当性协议”处理与美国的数据交换。
(四)联盟使跨境数据流通成为可能
随着数据冲突日益加剧,未来数据可能无法克服所有障碍自由流通。换言之,正如“主题3”所述,数据自由流通可能只在某些团体或“联盟”之间才有可能。法律问题使跨境数据流通保障措施形成的冲突更加凸显,即当多个国家对同一数据主张管辖权时,该如何界定责任和问责机制。
例如,拥有数据的个人和组织、存储数据的服务提供商、访问数据的个人和机构以及数据中描述的个人国籍等,该如何确定这些主体的权利和义务?有人认为,只要企业在特定国家运营,就应该遵守执行该国的数据规则。
这种做法使该国不再需要数据本地化以保持对本国数据的控制。以犯罪为例,最重要的因素是调查案件发生地,而非数据所在地。
当国际数据框架中的首要共同原则与国家法律相抵触时,往往很难达成一致。核心挑战就是处理国际与国内数据治理杠杆间的适当关系。
多名专家认为,国内与国际数据治理杠杆之间缺乏兼容性。与会者指出,许多国家内部对政策法规缺乏共识,进而阻碍了数据自由流通、执法部门获取数据、数据内容审核等相关数据问题参与国际讨论。
(一)法律不兼容致使国内与国际数据治理无法协同
消费者数据保护、反击美国科技企业以及要求提高科技企业
网络安全等各种动机,最终可能导致在法律上产生一定的冲突,即使像《通用数据保护条例》这样相对全面的数据治理制度,也存在上述问题。一位与会者表示,拼凑而成的法律总会出现问题。
在互联网治理初期甚至是现在,大多数国家将全球网络治理视为国内问题,并通过法律做出相关规定。但现实是人们必须认识到想要解决全球数据治理问题就需要世界各国作出多边努力。因此,各国必须制定国内和国际数据治理规则协同工作的方式,以便最恰当、最有效地管理全球数据流通。反之,若各国继续对全球电信系统制定更多自私的法律,最终会为全球数据融合带来更多不利影响。
正如斯坦福大学互联网与社会中心的中间责任总监达芙妮·凯勒所说,企业遵守不同司法管辖区的特定数据规则似乎“完全合理”,但每个国家每个法院都希望企业遵守自己的规则才是问题所在。
(二)实现全球数据治理面临的诸多难题
1、实现各国制度兼容是实现国内与国际数据协同治理的第一个困难各国之间是否应该合作兼容监管制度,政府权利和个人优先权的关系是否应该成为各国政府的首要关切,这是各国考虑合作制定数据自由流通规则的重点问题。
2、确定国际机构是实现国内与国际数据协同治理的第二个困难哪些国际机构可能是适合解决某些数据治理问题的场所,例如,世界贸易组织中的安全例外规则是如何限制数据自由流通的。
3、维持相对全球性的数据系统是实现国内与国际数据协同治理的第三个困难如果某些国家希望保持相对自由的数据流通,这些国家为免对全球网络施加过多限制,应如何管理国内与国际杠杆间的关系,应如何把控监管程度以及如何避免过度监管。
国际数据框架应纳入哪些国家?应包括多少成员?限制成员资格有何后果?是否应针对不同的数据治理子集形成不同的联盟?此次讨论并未就上述问题给出明确答案,但强调了界定上述问题时所涉及的一系列关键权衡点。理解这些权衡将是下一步确定数据治理框架联盟时的重要步骤。
具体来说,有人支持保持较小的联盟规模,以便制定具有法律约束力的可执行规则,以保护数据流通在数字贸易和创新中的作用,同时规定对隐私、网络安全、国家安全和其他相关问题提供数据的例外。其想法是,各国可能更愿意与已建立“信任”和数据治理做法相似的国家建立具有约束力的国际协议,从而降低将例外情况用作保护主义借口的可能性。但是这样做的风险是,那些无法加入框架联盟的国家可能会结成一个或多个对立联盟。
(一)推动对“自由”数据流通的理解形成共识是确定联盟的首要问题
在确定联盟组成时,第一个需解决的问题是如何解释“自由”数据流通概念。一位专家指出,即使是相对自由和民主的社会,也会对自由信息流通划定界限,如限制知识产权在线转让的法律。他还指出,过去几年全球网络主权的地位不断上升,引发了国家对互联网服務提供商的控制、数据本地化法律等监管变化,带来了互联网协议黑名单、域名系统过滤等技术变更,从而证明数据自由流通尚未达成一致。各国可能认为知识产权相关数据是全球数据自由流通的限制范围,但对以互联网网关内容为重点的深度包检测过滤可能不一样。如果是否实施互联网网关深度包检测过滤协议不是加入联盟的先决条件,那么联盟的规模可能会扩大。
(二)联盟的规模、资格条件及影响是确定联盟要考虑的第二个关键问题
通常一国对互联网和数据治理的侧重点可以反映该国的整体治理结构和政治目标,所以联盟成员资格审核参数是否该考虑这些部分?
如果是,那联盟规模会就非常小,或者根本不可能组成数据共享联盟。一位与会者提出,正如一些国家所讨论的一样,如果欧盟与美国、日本、印度等国建立了一种完全兼容的数据治理框架,却将许多其他国家排除在外,那会有何后果?数据对5G、物联网、机器学习、人工智能等新兴技术很重要,这些被排除在外的国家是否将无法进入数据市场?这些国家是否会因别无选择,而使数据在全球范围内流通受到更大的限制?
随着数字经济的蓬勃发展,世界各国对互联网的控制日益加强,这可能会使那些对中国数字发展方式感兴趣的国家加速采取行动。这次圆桌会议并未回答如何应对将形成的联盟外部集团问题。
(三)建立全球数据治理框架联盟的诸多难题
1、设计或组建联盟是建立国际框架联盟的第一个困难创建全球数据治理框架是否必须从联盟成员资格着手?如果是,一国应与其他哪些国家设计哪种联盟?该如何确保联盟内部数据治理机制兼容性?这些联盟是否会自然形成?这些联盟是否已有相关机制可以制定数据治理制度以保护某些目标?
2、形成外部集团是建立国际框架联盟的第二个困难如果某些国家被排除在联盟之外,涉及的权衡取舍条件是什么?这会促使他们设计与联盟外国家兼容的数据治理机制,如具有某种隐私保护的机制,还是仅仅将这些国家排除在外?这种分组结盟是否会鼓励分裂全球数据流通,这就违背了组建联盟以保护数据流通的初衷。
未来,随着5G、物联网、机器学习、人工智能等技术的快速发展,以及世界各地对新技术的广泛应用和深入部署,这些技术将生成收集大量数据,完善数据流通治理变得愈发重要。本报告旨在分析当前形势并围绕数据治理进行讨论,以期为建立全球数据治理框架需要深入探讨哪些问题奠定基础。