张琳琳,彭志艺
(中国信息通信研究院 安全研究所,北京 100191)
随着互联网、云计算、大数据、人工智能等新一代信息技术的快速发展,数据应用广泛深入到全球贸易、国际金融、跨国生产及消费、娱乐、教育、医疗等各个领域,成为推动新一轮全球化的增长引擎。在“百年未有之大变局”中,全球深层次矛盾突出,数据安全在全球治理中的地位日益凸显。推动全球数据治理体系变革,构建新的数据安全国际规则和秩序成为大势所趋。美、欧、中3大阵营的数据安全规则主导权争夺加剧,并逐渐将规则延伸拓展至人工智能、5G等新技术领域。当前,欧美在国际规则话语权体系上仍占据明显优势,而我国作为数据规模全球领先的国家,亟需把握数据安全国际规则形成的关键窗口期,在重要规则制定中发挥前瞻性作用,形成与数字经济规模相匹配的国际规则影响力。
随着全球数据应用的广泛深入和数据体量的不断膨胀,数据全球化在创造巨大经济财富和价值的同时,也引发了一系列的安全问题。数据安全成为全球治理的重要议题,构建国际数据安全规则也随之成为世界主要国家的关注重点。
一是在个人数据方面,欧盟确立的高标准个人数据保护模式已成为全球基本共识。受欧盟单一市场资源优势和监管规则域外适用的辐射性影响,世界多数国家在国内立法中都不同程度借鉴欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)基本原则。同时,以脸书、苹果、谷歌和微软为代表的跨国企业均采用类似GDPR的隐私政策,并在全球业务中推广适用。
二是在数据跨境流动方面,各国战略利益和理念价值差异驱动规则制定的俱乐部化[1]。数据跨境流动仍处于标准差异化、规则碎片化阶段。由于各国核心利益和价值观具有较大差异,短期内很难形成各方接受的单一数据跨境流动规则,构建数据流动“朋友圈”的做法仍将延续。美国和欧盟各自组建的亚太经济合作组织(Asia-Pacific Economic Cooperation,APEC)跨 境 隐私规则(Cross Border Privacy Rules,CBPR)体系和满足充分保护要求的GDPR“白名单”个规则体系持续推进。目前9个经济体加入美国CBPR体系,CBPR思想也间接影响了由11国签署的《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)及15国签署的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)跨境隐私规则制定;12国与欧盟达成“充分性认定”。欧盟委员会发布GDPR实施评价报告称,有42个欧洲国家签署了《有关个人数据自动化处理中的个体保护公约》(第108号公约)。
三是在数据本地化方面,各国对网络空间不稳定和维护本国数据主权的焦虑加剧,影响本地化政策的制定和实施[2]。2021年7月,美国信息技术和创新基金会(Information Technology and Innovation Foundation,ITIF)发布报告《全球跨境数据流动的壁垒如何加大、带来的代价以及如何解决这些问题》中提到,2017—2021年,制定数据本地化政策的国家数量从35个增加到62个,全球数据本地化政策的总数从67个增加到144个。美国外资安全审查委员会为保障美国国家安全,可要求通信数据、交易数据、用户信息等数据资源仅存储在美国境内。欧盟在境外支持数据本地化,认为“欧洲的数据应该在欧洲存储和处理”。此外,技术能力相对较弱的国家更倾向持续采取数据本地化等防御主义措施,例如,印度接连推出《个人数据保护法草案》和《印度电子商务国家政策框架草案》,明确印度将逐步采取措施推进数据本地化进程。
一是从美欧之间看,美欧在数据安全国际规则的竞争博弈已经白热化。《安全港协议》《隐私盾协议》两次判决无效,体现了美欧数据安全规则背后的利益与理念分歧显著。同时,致力于解决数据安全合作的美国—欧盟贸易和技术委员会(Trade and Technology Council,TTC)在2021年9月发布的成立联合声明中,仍未体现出跨境数据流动等数据安全规则对接协调后取得的明显成果,这也显示出数据安全领域的竞争态势在短期内难以调和。
二是从美欧对我国看,美欧视我国为数据安全国际规则制定的主要竞争对手。美欧不仅对我国提出的《全球数据安全倡议》始终持质疑态度,同时在人工智能数据安全等新兴领域,也对我国持续排挤打压。例如,美欧等15国参与的“全球人工智能合作伙伴计划”,将我国排除在外;美国2021年发布的《全球战略愿景》提出拜登政府将不遗余力地拉拢盟友,并削弱我国在国际电信联盟(International Telecommunication Union,ITU)、世界知识产权组织(World Intellectual Property Organization,WIPO)、国际标准化组织(International Organization for Standardization,ISO)等机构中的影响力,对冲我国在国际规则和标准制定方面的努力。
三是从其他数字经济国家看,谋求与大国数据规则衔接的枢纽地位是主要目标。以日本、韩国、新加坡为代表的数字产业较为发达的中等强国,积极推进与美、欧、中数据安全规则衔接,为本国数字经济发展扫除外部制度障碍。例如,日、韩、新3国积极参与美国倡导的CBPR机制,推动与欧盟达成“充分性认定”或签署贸易协定,实现与美欧两大数据跨境流动圈的交融。同时,借助RCEP等机制同我国数据安全规则对接,并对我国申请加入CPTPP机制持不排斥或欢迎态度。
一是双边和区域机制在数据安全规则制定方面保持持续活跃。美、欧、中、俄等国均认可联合国在网络空间国际规则构建中的作用,在联合国大会上已有数据安全相关内容的讨论,但短期内形成统一的全球数据安全规则难度较大。在全球性机制缺位的背景下,除经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)、APEC等最早关注数据安全治理的区域性组织和经贸机制外,以RCEP、CPTPP为代表的新兴亚太地区经贸机制日渐成为推进国际数据安全规则制定的主要舞台。同时,《美日数字贸易协定》《美墨加贸易协定》《欧日经济伙伴关系协定》等为代表的双多边经贸协议也日益成为推动价值理念相近、经贸频繁的国家和地区实现数据安全规则对接协调的重要载体,并广泛涉及人工智能、5G等新技术以及金融、供应链等相关领域。
二是亚太地区将成为大国争夺数据治理规则主导权的必争之地。一方面,亚太地区横跨东亚、东南亚,以及濒临太平洋的美国、澳大利亚等国家,覆盖全球近40%的人口,经济和贸易约占世界总量的50%,是全球经济发展的重要引擎,也是数字经济发展潜力最大的区域。另一方面,受亚太地区活跃的数据安全治理实践探索的影响,美、欧、中3大数字经济发展阵营都极为重视对亚太地区数据治理规则的影响力,扩大在数字基础设施、数字信息技术领域的合作,通过“印太战略”“一带一路”倡议,以及RCEP、《中欧全面投资协定》的签署,输出数据安全规则主张。
当前,我国在数据安全国际规则制定方面仍处于弱势,但我国庞大的数据体量也为规则的探索和实践提供了有利场景。
一方面,美国对我国数据安全理念持续抹黑。美国将中国的数字安全治理主张片面概括为数据本地化,曲解我国推动安全的前提下促进数据跨境流动等主张。同时,将我国运用新技术意识形态化,以数据安全和个人信息保护为借口,对我国5G供应商肆意抹黑。
另一方面,国际上对我国数据安全规则的认同不足。截至2021年3月,俄罗斯、巴基斯坦、柬埔寨及东盟、阿盟等国家和地区组织明确表示支持《全球数据安全倡议》,但其他国家和地区尚未表态支持。美欧以缺少人权、隐私权考虑为由提出质疑,并认为中国意图取代美国主导的现有网络空间国际治理架构。中亚、巴西、印度等国家和地区政府对“一带一路”冷眼旁观,媒体少报道或者非正面报道,甚至抛出“地缘扩张论”“规则破坏论”“经济掠夺论”等负面评价[3]。中国数据安全国际主张尚未得到广泛认同和理解,这也正是我国软实力发展没有跟上硬实力发展在全球治理中的现实反映[4]。
一方面,美欧数据安全领域信任裂痕不断加深,有利于我国争取欧洲合作伙伴支持。美欧《隐私盾协议》失效,数据不信任成为美欧“技术联盟”的重大障碍[5]。拜登政府努力修复改善美欧关系,但美欧在征收数字服务税、保障网络数据安全和监管科技企业等问题上的深刻分歧并未得到解决。欧洲战略自主性不断增加且部分国家缺乏“联美制华”动机,更倾向于以务实态度遵从本国利益需求进行决策,如德国对华为5G采取“限制但不排除”策略等。
另一方面,我国数据规模优势有利于我国探索安全治理规则。我国幅员辽阔、人口众多、经济体量庞大,经济社会运行数据规模列全球首位。据IDC测算,从2018年到2025年,中国拥有的数据量占全球27.8%,远高于美国的17.5%[6]。RCEP、“一带一路”等经贸合作框架的签署,将显著提高我国与相关国家的数字依存度,有利于我国借助区域经济一体化建设,通过“数字丝绸之路”等国际公共产品,嵌入输出数据安全理念主张。
面对纷繁复杂的国际形势和来自美欧国家的直接压力,我国应当从参与全球数据安全规则构建、推动我国数据安全治理主张全球化、牵头开展数据安全和新技术领域国际标准研究、加强人才队伍培养、发挥国内智库和企业影响力等角度出发,系统地提升我国在国际规则制定中的影响力。
一是议程设置方面争取战略主动。深度参与G20、APEC、OECD等现有国际治理平台机制中数据安全国际规则构建进程,细化数据跨境、个人信息保护、新技术应用数据安全等国际规则制定,主动设置对我国有利的议程。
二是构建友好外部环境。借助国际治理平台,与各国加强政策沟通,消除误解、建立互信,以我国战略性新兴技术产业优势助力有关国家做好抗疫和经济复苏工作,为新冠肺炎疫情后新时期战略性新兴技术产业发展构建友好的外部环境。
一是提高《全球数据安全倡议》(以下简称倡议)影响力。通过双边及二轨对话、自主进程运作、国际进程、举办国际会议等方式,与各方进一步加强数据安全保护合作和政策沟通协调,开展最佳实践的交流共享,加大倡议宣介力度。考虑联合发展中国家与发达国家进行谈判,争取中等强国的支持,扩大倡议签署方或支持方数量。
二是建立我国主导的数据跨境流动圈。以中国申请加入CPTPP及RCEP正式生效为契机,建立中国主导的更具操作性的区域数据跨境流动合作框架。在区域和双边经济合作中及“一带一路”的建设中,通过签订备忘录、合作协议等方式,进一步便利中国与相关国家地区之间的数据往来。
一是在新技术应用领域提升数字空间国际影响力。根据高校、研究机构、龙头企业、中小企业关注侧重点的差异,鼓励多方参与G20、APEC等关于新技术领域数据安全议题的讨论。在中美、中欧等二轨对话中,积极回应外方对于我国人脸识别、5G数据安全等问题的质疑。
二是结合我国技术应用优势推动国内标准国际化。发挥我国技术应用市场、产业链和数据规模优势,精确匹配当前主流国际标准化组织的重点标准研制方向,有策略地牵头和参与国际标准化组织/国际电工委员会(International Organization for Standardization/International Electrotechnical Commission,ISO/IEC)、国际电联电信标准化部门(ITU-T for ITU Telecommunication Standardization Sector)、欧洲电信标准化协会(European Telecommunications Standards Institute,ETSI)、电气与电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)等国际组织的标准化工作,积极推进我国人工智能数据安全、5G数据安全等在国际上较为领先的标准和研究成果转化为国际规则。
一是推动中央网信办、工信部、外交部合作,通过多元化渠道培养兼具国际视野和国内治理经验的国际数据安全治理本土人才。基于现有国际人才培养计划,进一步培养推荐有才学、有担当、有管理能力、有沟通技巧和外交手腕的专家或政府官员到数据安全领域相关国际组织任职,补充在国际标准化组织和国际治理机构中基层任职不足的局限。同时,努力打通人才“进出”流通渠道,为数据安全治理领域国际化人才提供丰富的国内任职机会。
二是对缺少全球数据安全治理经验和人才储备不足等制约因素,有针对性地加强数据安全国际治理人才培养,加快中国软实力提升。在国内人才培养及国际人才招募方面,创造有利条件,实行有效的正向激励,吸引全球数据安全治理领域的专业国际化海外留学人才和国际人才来华任职,同时建立国际化人才储备库。
《中华人民共和国数据安全法》明确提出,要积极参与数据安全相关国际规则和标准制定。我国主动参与和引领全球规则制定符合统筹国内和国际两个大局的考虑。在全球数据安全领域竞合态势明显、规则尚未完善的前提下,建议我国紧抓关键窗口期,构建数据跨境流动圈、扩大规则共识范围、抢占新技术领域规则制定主导权,与全球各国增进互信,提升我国在国际规则制定中的话语权。