数据跨境流动系统性风险: 成因、 发展与监管

王伟玲

随着数据价值的不断攀升, 国家对数据安全的重视程度亦同步增强, 与滴滴上市密切相关的数据跨境流动正成为监管重地。 “滴滴” 赴美上市作为2021 年数据跨境监管第一案, 为政府、 企业和个人把握数据跨境流动尺度、 警惕数据跨境流动系统性风险敲响警钟。 在此图景下, 系统梳理数据跨境流动系统性风险, 理性研判数据跨境流动系统性风险的主要动因和发展变化, 查找国内数据跨境流动风险监管存在的不足, 提出应对之策, 对加快推进数据跨境流动、 主动践行双循环战略、 实现数字贸易快速发展具有重要意义。

一、 数据跨境流动系统性风险的定义

数据跨境流动已经不是一个新概念, 早在20 世纪80 年代, 经济合作与发展组织将数据跨境流动定义为个人数据跨国界传输。 当前, 国际上广泛认为数据跨境流动不仅可以表现为物理意义上的跨越国界, 并且出现了无须跨越物理国界的第三国主体访问和使用,使得远程访问分析成为数据跨境流动的又一个风险源。随着经济全球化的发展, 国际合作交流愈加频繁, 数据跨境传输、 访问和使用的频次和容量大幅度上升,推动数据跨境流动不再局限于个人数据, 政府和企业等所有主体都有数据跨境流动的可能。 由于技术漏洞、管理缺位和政策法规不完善等因素, 数据跨境流动所带来的风险渗透于数据全生命周期, 且随着数据跨境流动范围的不断扩大, 系统性风险随之产生。 本文认为数据跨境流动系统性风险是指数据在出入境中产生的一系列整体性风险。 相较其他风险而言, 数据跨境流动风险监管往往呈现出一定的独特性、 复杂性和高难度性, 需要从根本上进行监管观念创新、 制度创新、流程创新和技术创新, 才有可能有效加以规避。 因此,须高度重视数据跨境流动风险的影响分析和科学研判,持续完善数据跨境流动安全评估和监管制度规则, 以实现利益与风险的动态平衡。

众多学者对数据跨境流动展开了多方位的研究,但视角各不相同。 史宇航(2018) 基于对数据跨境传输的主体、 行为与基础设施不同作用的分析, 提出了网络空间边境不仅体现在服务器的地理位置, 也与主体行为息息相关, 需要不同国家对数据跨境传输的网络主权边界达成共识。 许多奇(2018) 深入分析了全球个人数据跨境规制格局, 提出欧盟将数据权作为基本人权以严格限制个人数据跨境流动, 美国通过签订双(多) 边协议建立市场主导的个人数据保护政策以维护其全球数据优势。 李金等(2021) 提出重要数据跨境流动风险识别和分级路径, 设计算法计算风险值, 以期实现数据跨境流动量化预警管理。 俯瞰学术界研究成果, 发现尚未有人对数据跨境流动系统性风险监管展开学理性研究。 基于此, 本文深入研究数据跨境流动过程中所产生的系统性风险因素, 系统梳理数据跨境流动系统性风险的形成动因、 发展动态和存在不足, 并提出强化数据跨境流动管控的措施建议,对更好推动数据跨境流动至关重要。

二、 数据跨境流动系统性风险的主要成因

(一) 数据跨境流动存在制度冲突

目前, 针对数据跨境流动还未形成统一的国际法律保障体系, 以数据跨境政策冲突为出发点, 深入研究各国数据跨境监管政策, 可以看出各国限制数据跨境流动的规章制度存在显著差异, 且具有明显的冲突性, 国与国政策的不互洽大大加剧了数据跨境流动的监管难度。 主要有以下四种情况: 第一,欧盟发布《一般数据保护条例》, 建立数据保护委员会, 不断提高数据立法, 完善数据保护标准, 意图限制数据流出欧盟, 以构建欧盟单一数字市场。第二, 美国独占全球数字经济主导地位, 主张市场主导下的数据自由流动, 倾向于通过自由贸易协定谈判, 使数据跨境流动规则在一定条件下被缔约国所接受。 当然, 美国倡导的数据自由流动也不是真的放任其自由, 2018 年美国发布《澄清境外数据的合法使用法案》, 秉承“数据控制者” 原则, 美国对境外由美国公司控制的数据具有管辖权, 以弱化其他国家对其境内数据的实际掌控, 以维护其数字经济全球影响力。 第三, 与欧盟和美国相比, 俄罗斯的数据跨境流动政策十分具有排外性。 一般情况下, 俄罗斯建立了严格的审查制度、 互联网电子监视、 访问限制和白名单认证体系等数据本地化政策,禁止数据流转到境外, 跨国公司数据应须存储在俄罗斯境内。 总体来看, 俄罗斯数据跨境政策过于苛刻, 并不利于俄罗斯数字贸易发展。 第四, 我国数据跨境流动监管亦比较依赖数据本地化, 虽然《网络安全法》 《数据安全法》 《个人信息保护法》 对数据跨境流动做出原则性规定, 但暂时没有形成体系化的法律规则, 制度体系有待完善。 数据跨境流动涉及面广, 目前全球尚未有数据跨境流动的针对性法规制度, 制度缺失成为数据跨境流动风险无法有效规避的一大关键因素。

(二) 数据跨境流动监管难度加大

1. 数据跨境流动相对于实体贸易监管更加复杂

数据跨境流动风险监管具有鲜明的特殊性, 与实体商户市场监管迥然不同, 数据流转过程隐蔽性强,不易被有效监管。 数据主权与物权、 领空权、 领海权等差异很大, 数据处理与维护存在着天然的矛盾性。数据主权要求独立自主地处理数据, 但跨境的数据深植于国际贸易、 交往互动, 处理过程涉及多方参与协商, 无形中增加了数据跨境流动监管的复杂度。

2. 数据跨境量指数级递增, 分类监管难度较大

随着互联网的快速普及, 促使跨境电子商务、跨境普惠金融、 在线社交网络服务变得更加频繁,虚拟世界与现实世界交互性加强的同时, 海量数据不断汇聚积累, 这些数据遍布金融、 能源、 测绘、地图、 通信等各个行业领域。 在数据跨境流动过程中, 如何对海量数据进行全面梳理分类和有效监管仍是挑战。 数据规模庞大与技术环境实时变化叠加,增加了数据分类分级难度。 数据价值评估基准不统一, 对重复加工生成的衍生数据状态判断不明, 使得数据跨境流动风险难以有效预测。

3. 数据跨境攻击不断升级, 影响数据安全生态

随着数据价值的不断攀升, 以数据为目标的跨境攻击愈加频繁, 且呈现出三大特征: 第一, 攻击者组织形式趋于集中化、 专业化。 黑客组织出于特定目标诉求形成专业团体展开网络攻击。 例如,2017 年全球爆发大规模WannaCry 勒索病毒感染事件, 造成150 多个国家和地区电脑设备遭受攻击,大量基础设施停摆, 其主导方为自称“影子经纪人” 的黑客组织。 国际社会上跨境数据攻击不断增多, 中国成为过去十年内最大的受害者。 第二, 攻击对象呈现多样化、 泛在化。 攻击对象不再仅限于出于猎奇目的的个人电脑设备, 其范围拓展至各类网络设备、 软硬件和各类关键信息基础设施, 渗透管、 网、 云、 端等各环节, 其中最常见的攻击对象包括电子设备摄像头、 麦克风、 SIM 卡和WiFi 热点以及种类广泛的可佩戴设备等。 第三, 攻击方式走向智能化、 多样化。 随着信息技术的不断发展, 人工智能、 大数据、 物联网等新技术成为网络攻击技术的新载体。 如人工智能的快速挖掘、 详细分析和自学习推演特性, 可能导致数据匿名化、 去标识化、 难追溯化等保护措施失效, 严重时甚至可能引起敏感数据泄露。 此外, 若对人工智能算法实施逆向攻击, 非法获取算法训练数据和运行时采集的数据, 可能使得重要数据遭到泄露。 如结合患者人口统计数据, 对药物剂量智能预测算法的逆向攻击, 可推导出患者的基因信息。 经由网络攻击获取的数据, 以网络黑灰产业形式, 流入数据地下交易市场, 向境外海量转移, 将进一步加剧数据跨境安全风险。

(三) 数据跨境市场主体的非理性

阿克洛夫和希勒在2009 年研究发现, 人在追求经济利益时, 并非总是理性的, 人性的贪婪注定导致在行为逻辑中存在致命弱点, 这也使得系统性风险无法避免和分散。 在面对巨额经济利益时, 很难保持绝对理性。 例如, 为了开展精准营销, 许多互联网公司仅凭几十页格式条款, 随意获取用户信息,甚至出现公司以维护股东权益为由“低调” 赴美上市的事件, 招致5 亿用户数据发生网络安全隐患。同时, 未经个人允许随意转卖个人信息的行为层出不穷, 数据非法跨境转移案件频发。 例如, 2019 年10 月, 江苏淮安警方破获特大跨境侵犯公民个人信息案, 涉及婚姻、 银行卡、 手机定位等多种数据,累计非法获利超过2000 万元; 2021 年1 月, 浙江温州鹿城警方捣获一起跨境贩卖他人信息的团伙,30 人贩卖6 亿条个人信息, 共获利800 余万元;2021 年5 月, 内蒙古警方查处跨境贩卖个人信息犯罪团伙, 涉案金额达3 亿元。

三、 数据跨境流动系统性风险的动态发展

数据跨境流动系统性风险作为一个连续变量,存在动态发展的特点, 其发展通常表现为累积、 爆发和扩散三个关键阶段, 各个阶段均不能被忽视,任一阶段规制缺漏都有可能造成严重后果。

(一) 系统性风险的累积

系统性风险存在较强的累积效应, 通常会在较长一段时间内积累和发育, 负面影响表现极其微小,利用自身隐蔽性容易麻痹市场, 但往往会突然以灾难性的形式表现出来。 若不是斯诺登事件, 预计大多数人都不会意识到数据跨境安全风险的严重性。促使风险累积的往往是一些正向冲击事件, 如互联网技术创新。 互联网新兴技术的动态发展成为系统性风险指数级上升的原因之一, 海量数据产生使得系统性风险持续加码, 数据跨境流动不再局限于物理国界上的跨界传输, 远程访问和分析衍生出更多的风险隐患。 数据跨境流动和信息技术发展相伴相生, 若没有信息技术的发展, 就不会有数据跨境流动, 更不会有数据跨境流动风险。 随着信息技术的快速发展, 数据跨境流动从单一主体演变为多元主体、 从物理形式演变为数据全生命周期, 产生的风险也从个人隐私保护、 商业利益诉求向国家数据主权升级跃迁。

(二) 系统性风险的爆发

流动性收敛或成为风险爆发后的直接结果。 当系统性风险不断累积到达一定的临界值时, 经济社会中就会爆发某些突发事件, 如急剧收紧的数据跨境流动政策、 两个主权国家的数据战等, 这些都会成为系统性风险的激发因素, 导致系统性风险爆发。 金融体系中, 这一时刻被称为“明斯基时刻”。 本文推测, 在经济全球化的时代背景下, 系统性风险爆发时, 社会对于数据跨境流动的期望会降入谷底, 过低的期望值将导致过激的数据本地化政策, 导致流动性加速收敛,跨国企业的业务将受到极大冲击, “多米诺骨牌” 效应使得数字贸易市场出现强烈动荡。 例如, 2021 年11 月, 印度以国家安全为由封杀中国220 款应用程序, 为国内企业带来巨额损失。 据不完全统计, 我国移动应用程序在印度占据了30%多的市场份额, 印度下载量最高的10 个应用程序中6 个来自中国。 其中,字节跳动抖音海外版30%的用户、 10%的营收来自印度, 预计封杀将使字节跳动损失60 亿美元。

(三) 系统性风险的扩散

当前形势下, 数据跨境流动所形成的风险跨机构、 跨行业传递已成常态, 通过数据分享、 交叉汇聚、 分析加工等渠道, 可能引发风险持续放大和扩散, 导致单一风险转化为多元风险、 私有风险转化为公共风险、 局部风险转化为全局风险, 触发一系列高爆发、 高破坏、 长期影响恶性事件, 并且危机极有可能从一国境内向境外不断蔓延, 在不同国家之间传播, 从小范围冲击演变为全球化危机, 严重影响国际秩序。 例如, “棱镜门” 事件印证了美国通过侵入他国网络系统, 非法获取他国境内的数据并进行跨境转移, 对他国的国家安全带来直接威胁。

四、 我国数据跨境流动风险管控存在的不足

(一) 管制机制有待健全

数据跨境流动风险规制需要设置专业监管机构,构建完整的监管规制体系, 把握数据跨境流动与数据安全之间的动态平衡, 以确保数字贸易平稳发展。 但是, 我国目前主要通过数据本地化政策予以监管, 体系化的法律规制尚未形成, 数据跨境流动规则散见于特定行业部门管理规范性文件①如《中华人民共和国保守国家秘密法》 《征信业管理条例》 《人类遗传资源管理条例》 《人口健康信息管理办法(试行) 》 等。中, 数据跨境监管由各行业主管部门分别负责, 例如, 互联网数据由工业和信息化部负责, 医疗健康数据由卫生健康委负责。 但数据跨境流动不仅需要行业主管部门细化实施细则,也需要专门机构的有力统筹。 我国目前尚未有机构对数据跨境流动进行全局性、 系统性、 战略性谋划, 只有中央网信办会同商务部开展数据跨境传输试点, 对数据跨境传输单一环节予以探索解决。 《网络安全法》相关条款虽然涉及数据跨境管制, 但多为原则性规定,缺乏可操作性。 同时, 《网络安全法》 对数据本地存储的规定仍比较笼统, 未对个人信息、 重要数据的范围进行分类分级规定, 未对数据出境安全评估进行细化规定。 《数据安全法》 对数据本地化规制的严苛性有所减弱, 倡导开展数据领域国际交流合作, 但仍未给出数据跨境管理的具体操作细则, 对于监管落地仍赞成分而治之、 分散立法的思路。 散落性数据出境监管规则容易出现政策落实不到位的情况, 各种规范性文件常常出现内容交叉和重叠, 无形中加重了数据出境合规管理负担。

(二) 监管手段有待升级

除了制度建设, 各类信息技术创新也是支持数据跨境合规有序、 高质量流动的有效工具。 目前,业界广泛关注匿名化、 区块链、 联邦学习等新技术在数据跨境流动中的应用创新, 期望通过技术途径实现数据隐私保护和数据应用间的有效平衡。 但由于技术手段不成熟, 目前还无法从技术上对数据跨境予以有效监管, 尤其是通过网络传输的数据跨境尚未有可行的技术监管路径。 因此, 在以分类分级实现数据跨境有效监管的理念下, 积极运用技术手段实现跨境流动和风险防控的有效平衡是一项值得持续深入探索的研究课题。

(三) 互信机制有待建立

我国作为全球数字经济第二大市场, 应力争成为数据跨境流动治理国际规则制定的主导者, 但我国数据跨境流动规模与经济体量明显不匹配。 据麦肯锡全球研究院测算, 截至2019 年年底, 我国数字经济稳居全球第二, 但网络中数据流动量却为全球第八, 仅为美国的20%。 目前, 我国对数据跨境流动治理国际规制的参与度较低, 在数据自由流动方面顾虑较多,尚未与国际贸易伙伴建立长久稳定的数据跨境流动互信机制, 对我国企业开展跨境业务带来间接影响, 也会成为我国数字贸易加速发展的反推动力。 面临越发严峻的国际竞争格局, 各国高度重视数据跨境流动监管规制, 纷纷联合有共同利益诉求的国家和地区建立数据自由流动互信机制, 我国作为后来者所处形势不容乐观, 亟需寻找有相同诉求的合作伙伴, 制定合规合理的区域性数据跨境流动合作机制, 以增强我国在全球数据治理中的影响力和话语权。

五、 加强我国数据跨境流动监管的主要着力点

数据跨境流动事关经济开放大局, 同时又与数据主权、 国家安全、 地缘政治博弈紧密相关。 迄今为止, 我国的数据跨境流动政策偏于防守, 可操作性强的数据跨境流动监管政策尚未成型, 亟须加强顶层设计和总体布局, 多措并举、 积极行动、 弥补短板, 推动数据跨境流动走向规范化发展轨道。 同时, 数据跨境流动系统性风险正处于持续累积、 快速扩散的发展阶段, 我们要警惕数据跨境流动治理领域系统性风险的爆发, 尽最大可能有效平衡跨境流动和风险防控。 立足国内数据跨境流动监管需求,借鉴世界主要国家数据跨境管理制度和经验做法,在数据分类分级、 安全评估、 管理监督和国际合作等方面开展积极有效的行动。

(一) 明确底线, 坚决维护国家安全和数据主权

数字经济时代, 数据是继技术、 劳动和土地之后的新型基础性、 战略性生产要素, 而数据只有流动起来才能创造价值, 但数据如何流、 流哪些、 流向谁都是值得研究的问题, 如何实现从“流起来”到“流得好” 的转变仍是我国数据跨境流动研究的重点。 现实情境下, 数据跨境流动最大的威胁隐患就是关乎国家安全。 我国正处在数据跨境流动治理打基础的阶段, “数据命脉” 只能牢牢掌控在自己手中, 要将维护国家数据安全与数据主权放在首位,使国家安全成为数据跨境流动的底线, 避免国家数据安全受到外部势力的影响和支配。

(二) 多措并举, 完善境内数据管理机制

1. 制度先行, 完善数据跨境流动监管规则

完善的数据跨境流动规则, 有助于我国加大对数据跨境的掌控力度。 我国应制定宽严相济的数据跨境流动制度体制, 严格控制数据本地化程度, 在《网络安全法》 《数据安全法》 等现有法规基础上扩充其具体内容, 提高相关法律的可操作性。 此外, 针对目前分散立法的局面, 借鉴世界各国数据跨境流动的有效经验, 采用统一制度模式, 尽快出台一部健全合规的通用制度, 增强制度供给及时性、 明晰性、 科学性。 同时, 坚持“零容忍” 态度, 增强对数据跨境流动违法行为的处罚力度, 对涉事组织机构实施严厉打击, 强化国家司法震慑效应。

2. 职责分明, 建立数据跨境流动监管机构

适当借鉴欧盟数据跨境流动监管的组织架构, 仿照欧盟设置欧洲数据保护委员会统筹欧洲数据安全事项的典型案例, 形成符合中国国情的统一数据跨境流动监管职能架构。 目前, 《数据安全法》 虽明确了数据安全的负责主体, 采取国家安全领导机构顶层统筹领导下行业主管部门承担数据跨境监管的机制, 但由于数据本身具有极强的流动性和共享性, 数据跨境流动风险影响重大, 若只采用本行业监管, 可能出现政策不协调、 管理效率低下、 管理真空等问题。 因此, 为了更好地进行数据跨境监管, 应当设立专门、 独立的数据监管行政机关, 负责推动数据跨境流动的监督管理、 审查评估等活动。

3. 合理有序, 建立数据分类分级分区域制度

迄今为止, 我国立法层面上仍是《网络安全法》 为主要监管依据, 仅对数据跨境监管做出了笼统性、 原则性的规范, 未对个人信息、 重要数据的范围进行详细界定。 《数据安全法》 中对数据也没有提出明确可行的数据分类分级标准, 仅仅提出了应当按照数据在经济发展中的重要程度对数据进行分类。 在数据跨境呈指数级增长的基本情况下, 数据种类纷繁复杂、 来源众多, 数据特别是重要数据的分类分级,是数据跨境流动有效治理的基础前提。 应加快研究什么数据可出境, 什么数据应被限制出境。 我国或应将个人数据和重要数据分别管理: 对于个人敏感数据设置高级别隐私影响评估和流动管制, 同时借鉴加拿大、 澳大利亚等国家以问责制、 合同干预等形式, 强化企业对数据跨境流动风险的管控责任, 支持个人数据在满足安全要求的条件下自由流通; 对重要数据设置分行业分类别、 分层次分区域的数据出境审核要求和监管标准, 明确安全评估责任主体、 评估标准和程序、 评估结果管理等具体内容。

(三) 与时俱进, 增强数据跨境流动国际治理话语权

1. 强化互信, 推动数据跨境流通

由上文可知, 我国较少参与数据跨境流动国际治理, 且尚未与贸易伙伴建立数据跨境流动的互信机制,这在一定程度上阻碍我国参与全球数字合作与发展。 面对日趋严峻的国际竞争形势, 我国应当与他国加强数据跨境流动规制合作, 构建国际互信合作机制, 增强全球数据治理话语权。 应严格遵守《全球数据安全倡议》,以“一带一路” 倡议、 “人类命运共同体” 理念、 “数字丝绸之路” 为契机, 以中日韩自贸区为切入点, 以中欧全面投资协定为参照, 利用“亚投行” 等中国主导的多边合作机制, 联合亚洲数字经济较发达国家、 其他大洲贸易交往友好国家共同制定数据跨境流动合作机制。

2. 增强合作, 建立白名单机制

白名单机制是畅通数据跨境流动渠道的一项重要手段。 从本质上来讲, 白名单机制是一国认为他国的数据保护水平达到本国的最低要求, 进而认为本国数据流入他国会得到充分保护, 而不至于损害数据主体合法权益。 我国可借鉴欧盟建立有限数据跨境自由流动白名单机制的经验, 在完善数据保护政策和法律法规的前提下, 建立符合我国国情的白名单制度, 畅通数据跨境流动的渠道, 适当放松对数据跨境流动的限制。 此外, 从欧盟与美国《隐私盾协议》 失效案可以看出, 白名单本身并非一成不变, 可以按照现实状况的动态变化而做出灵活调整。我国建立的白名单机制也应当做好评估工作, 保证数据自由流入国家能充分保护数据安全。

3. 突出中立, 打造国际数据自由港

鉴于目前尚未形成国际统一的数据跨境流动治理机制, 且我国正处于数据跨境流动治理的初始阶段,建立国际数据跨境自由港对我国利大于弊, 国际数据自由港能有效避免数据本地化效应泛化, 一部分数据可以在国际上自由流动, 可以在更大范围上实现国际合作, 以达到跨境流动和风险防控的优化平衡。 我国作为全球数字经济第二大市场, 天然具备成立中立数据中心的条件。 目前来看, 新加坡、 中国香港、 中国海南、 美国、 欧盟等都有能力成立这一港口, 其中新加坡是较为典型的全球数据港, 极有可能成为国际数据自由港第一个落地点。 本文认为, 成立统一、 有序的国际数据自由港是大势所趋, 中国在此过程中应在统筹协调自身数据跨境管理的基础上, 积极参与国际社会数据跨境流动规则的制定, 把握全球数据治理话语权, 积极抢占全球数据治理主导地位。