黃 寧

(1.中國科學技術發(fā)展戰(zhàn)略研究院，北京 100038；2.南開大學經濟與社會發(fā)展研究院，天津 300071)

數(shù)據本地化的影響與政策動因研究

黃 寧1,2

(1.中國科學技術發(fā)展戰(zhàn)略研究院，北京 100038；2.南開大學經濟與社會發(fā)展研究院，天津 300071)

數(shù)據本地化在國際上引起了廣泛的關注和爭論，主要在數(shù)據安全、產業(yè)保護以及國際貿易與投資等方面產生影響。在跨境數(shù)據流動規(guī)制的方式選擇上，存在顯著的差異化現(xiàn)象。美國主張數(shù)據自由流動，歐盟注重隱私規(guī)制，大量發(fā)展中國家則偏好數(shù)據本地化政策。這是各經濟體基于自身信息技術水平和隱私保護意識，追求規(guī)制凈收益最大化的結果。本文對中國根據國內條件變化盡快轉向隱私規(guī)制提出了具體建議。

數(shù)據本地化；跨境數(shù)據流動；隱私規(guī)制；政策動因

Abstract：Data localization has attracted worldwide attention and controversy.It mainly affects data security,industry protection and international trade and investment.There are obvious differences in the choice of regulation of transborder data flows.The U.S.advocates free flows of data,the EU focuses on privacy regulation,while a large number of developing countries prefer data localization policies.This is because each economy pursues maximization of regulation net profit,based on its own level of information technology and privacy awareness.This paper puts forward some suggestions for China to turn to privacy regulation as soon as possible,as its domestic conditions are changing quickly.

Keywords:Data localization；Transborder data flow；Privacy regulation;Policy motivation

隨著信息通信技術的發(fā)展和普及，全球數(shù)字經濟加快成長，跨境數(shù)據流動規(guī)模也在迅速擴大。2005—2014年全球跨境數(shù)據流動規(guī)模增長了45倍，并預計在未來5年內還將增長9倍[1]。與此同時，個人隱私保護和國家信息安全問題引發(fā)了普遍擔憂。很多國家紛紛出臺數(shù)據本地化政策，要求將本國的個人數(shù)據留存在國內。另一方面，美國等發(fā)達經濟體則強烈反對數(shù)據本地化，認為數(shù)據本地化政策的蔓延將造成全球范圍的“網絡割據”，嚴重損害經濟增長。

1 數(shù)據本地化的概念與發(fā)展現(xiàn)狀

1.1 數(shù)據本地化與跨境數(shù)據流動規(guī)制

數(shù)據本地化是指政府要求對在境內收集的個人數(shù)據的存儲和處理必須在境內進行，不允許將個人數(shù)據向境外自由轉移。數(shù)據本地化的政策形式有多種，包括禁止將信息向境外發(fā)送、要求在信息跨境傳輸之前必須征得數(shù)據主體同意、要求在境內存留信息副本、對數(shù)據輸出進行征稅等[2]。

數(shù)據本地化屬于一種跨境數(shù)據流動規(guī)制。依據1980年OECD《關于隱私保護與個人數(shù)據跨境流動的指南》(Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)的權威定義，跨境數(shù)據流動是指“跨越國境的個人數(shù)據移動”，其中的“個人數(shù)據”包括“任何與已被識別或可識別的個人(數(shù)據主體)有關的信息”?；谝?guī)制基調的不同，跨境數(shù)據流動規(guī)制分為兩類，第一類傾向于確?？缇硵?shù)據自由流動，第二類傾向于對跨境數(shù)據流動進行限制。基于規(guī)制方式的差別，第二類規(guī)制又分為兩種。一種是隱私規(guī)制，一般是以數(shù)據保護法(隱私法或個人信息保護法等)為基礎，根據隱私保護的原則和標準對跨境數(shù)據流動進行限制。另一種就是數(shù)據本地化。與隱私規(guī)制不同的是，數(shù)據本地化并不考慮數(shù)據的接收、處理或存儲方的隱私保護水平，往往對數(shù)據跨境轉移實施絕對的限制，或者要求建立或使用本地的基礎設施或服務器[3]。

1.2 數(shù)據本地化政策的發(fā)展與現(xiàn)狀

數(shù)據本地化政策并不是新現(xiàn)象，在計算機和互聯(lián)網技術帶來大量數(shù)據跨境轉移以后就出現(xiàn)了。從20世紀70年代開始，就有很多發(fā)展中國家認為跨境數(shù)據流動是一條僅對發(fā)達國家有利的“單行道”，會危害自身的主權、隱私權甚至社會、文化和政治完整性[4]。一些國家進一步付諸行動，開始出臺數(shù)據本地化政策。例如，巴西在1979年設立“信息產業(yè)特別秘書處”(SEI)，對跨境數(shù)據流動和國際信息服務進行逐項審查，根據其對經濟、隱私和國家主權的影響決定是否予以批準[5]。1984年巴西出臺的信息產業(yè)政策規(guī)定，如果巴西本地的計算機有能力完成相應的工作，跨國公司必須在巴西境內使用巴西的計算機進行數(shù)據處理[6]。印度在1993年出臺《公共檔案法》(Public Records Act)，禁止將公共檔案向境外轉移。哈薩克斯坦則從2005年開始,要求所有在國內注冊域名的網站必須在境內的服務器上運營[7]。

近年來，用戶信息大規(guī)模泄露事件在全球頻繁發(fā)生，特別是“斯諾登事件”之后，更多國家陸續(xù)以信息安全和隱私保護為由出臺數(shù)據本地化政策。其中以發(fā)展中國家最為普遍，且多數(shù)是明確的、覆蓋廣泛的政策。例如，馬來西亞在2010年要求將本國人的數(shù)據存儲在本地服務器中；印度2011年出臺隱私規(guī)定，嚴格限制“敏感個人數(shù)據或信息”向境外轉移；印度尼西亞在2012年要求公共服務提供商將數(shù)據中心放在境內；巴西在2013年出臺法案，規(guī)定政府部門有權力要求網絡連接和互聯(lián)網應用提供商安裝或使用某些設備，以確保數(shù)據的存儲、使用和傳輸在巴西境內進行；越南從2013年開始要求所有網絡服務企業(yè)必須在越南境內的至少一個數(shù)據中心運營；尼日利亞在2013年要求信息通信技術公司必須將所有注冊用戶和消費者數(shù)據存儲在國內[8]；俄羅斯在2014年修訂信息保護法和個人數(shù)據法，要求收集個人數(shù)據時，運營商需要保證使用位于俄羅斯境內的數(shù)據庫[9]。

部分發(fā)達國家雖然也有數(shù)據本地化動議，但真正實施的很少，實施地域和政策范圍也較小。法國近年來一直在促進本地數(shù)據中心基礎設施建設，推動本國的云計算、大數(shù)據和物聯(lián)網產業(yè)，2013年時任法國工業(yè)部長Arnaud Montebourg宣稱支持將數(shù)據處理業(yè)務限定在法國境內以增加國內就業(yè)；“斯諾登事件”發(fā)生后，德國總理默克爾在2014年提議歐洲建設專門的網絡基礎設施，將數(shù)據保存在歐洲境內[10]，但沒有獲得響應。出臺明確的數(shù)據本地化政策的是加拿大和澳大利亞。2012年加拿大不列顛哥倫比亞省和新斯科舍省制定法律，要求公共機構持有的個人信息只能在加拿大境內存儲和獲取。澳大利亞從2012年開始建設的“個人電子健康檔案”系統(tǒng)，要求必須由本地的數(shù)據中心來存儲和處理個人電子健康檔案[11]。

1.3 中國的數(shù)據本地化政策

2011年以來，中國出臺了大量的數(shù)據本地化政策，政策范圍逐漸擴大，效力層級不斷提升。較早的數(shù)據本地化要求出現(xiàn)在部門性或指導性的文件中。2011年中國人民銀行發(fā)布《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》，要求在中國境內收集的個人金融信息的儲存、處理和分析必須在境內進行。2014年國家衛(wèi)生計生委發(fā)布《人口健康信息管理辦法(試行)》，禁止將人口健康信息存儲在境外的服務器中。2013年開始實施的《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》是中國第一個個人信息保護國家標準，在第5.4.5條簡要規(guī)定，“未經個人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經主管部門同意，個人信息管理者不得將個人信息轉移給境外個人信息獲得者”。

從2014年開始，數(shù)據本地化要求出現(xiàn)在統(tǒng)一性的國家立法中。雖然2015年出臺的《反恐怖主義法》并沒有提出數(shù)據本地化要求，但在2014年發(fā)布的《反恐怖主義法(草案)》中曾提出，“在中國境內提供電信業(yè)務、互聯(lián)網服務的，應當將相關設備、境內用戶數(shù)據留存在中國境內，拒不留存的不得在中國境內提供服務”。2016年通過的《網絡安全法》則規(guī)定，關鍵信息基礎設施的運營者必須將在境內運營中收集和產生的個人信息和重要數(shù)據存儲在境內。2017年4月，國家互聯(lián)網信息辦公室發(fā)布《個人信息和重要數(shù)據出境安全評估辦法(征求意見稿)》，其中第二條規(guī)定，“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據，應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照本辦法進行安全評估”。該規(guī)定將適用于向境外轉移數(shù)據量超過1000GB的企業(yè)，以及含有或累計含有50萬人以上的個人信息的企業(yè)。

2 數(shù)據本地化的影響

2.1 數(shù)據安全

很多國家出臺數(shù)據本地化政策都是以國家信息安全和公民隱私保護的名義。國家信息安全和公民隱私保護在信息泄露機制上并沒有實質差別，本質上都屬于數(shù)據安全問題。數(shù)據本地化能夠提高數(shù)據安全的一個潛在假設是存儲地點是決定數(shù)據安全水平的重要因素。但實際上，存儲地點對數(shù)據安全的影響是有前提條件的。

一方面，存儲地點的差別并不能從技術上影響數(shù)據安全。單純從技術的角度，只要服務器接入互聯(lián)網，存儲地點并不能影響數(shù)據的安全水平[12]。如果數(shù)據經過完備加密，即便將服務器置于境外也不會增加安全風險。反之，如果數(shù)據缺乏安全管理，即便將服務器置于境內，仍然很容易被境內的數(shù)據控制者或處理者傳輸至境外，或者被境外機構通過互聯(lián)網竊取。比如2011年微軟與谷歌就先后承認，曾依根據美國“愛國者法案”的規(guī)定，把歐洲資料中心的信息交給了美國情報機構[13]。

另一方面，數(shù)據存儲地點能夠影響數(shù)據保護的法律管轄權。由于各國法律規(guī)定的差異，以及法律適用的域外效力問題，針對數(shù)據保護案件的法律管轄權的問題較為復雜。但一般來講，如果涉事企業(yè)在一國境內有物理存在(如服務器)，那么相關的案件就在該國的法律管轄權之內[14]。如果沒有物理存在，一國即便通過其他因素(如本國居民的個人可標識信息等)確認了管轄權，在實際中也很難執(zhí)行。如果根據存儲地點確認了管轄權，政府就可以通過立法和執(zhí)法降低數(shù)據泄露的風險。比如規(guī)定數(shù)據保護的最低安全標準，禁止企業(yè)將服務器中的數(shù)據交給外國政府，以及制定實施嚴格的數(shù)據泄露責任追究制度等。

在國內數(shù)據保護標準較高的條件下，限制或禁止數(shù)據向境外轉移是可以提高數(shù)據安全水平的。但如果僅僅出臺數(shù)據本地化政策，卻缺乏充分有效的國內法律保護,企業(yè)反而會為節(jié)省成本故意降低數(shù)據保護標準，導致數(shù)據安全水平下降。

2.2 國內產業(yè)保護

數(shù)據本地化能夠為國內相關產業(yè)提供保護，也因此往往被認為是政策出臺的主要原因。這種保護作用是通過阻礙數(shù)據跨境傳輸實現(xiàn)的。從作用機制來看，數(shù)據本地化相當于以非關稅壁壘的形式限制數(shù)據服務的進口，從而保護本國的信息技術及相關產業(yè)。一方面，數(shù)據本地化可以把只能提供跨境服務的外國企業(yè)排除出國內市場。另一方面，數(shù)據本地化還可以通過增加合規(guī)成本削弱外國企業(yè)的競爭優(yōu)勢。例如，新建一個數(shù)據中心的成本在美國是4300萬美元，在智利是5120萬美元，在巴西是6090萬美元[15]。

早期的數(shù)據本地化政策對國內相關產業(yè)的促進作用存在先例。20世紀70年代末巴西實施數(shù)據本地化政策后，巴西本國的數(shù)據處理企業(yè)從1978年的0家增加到1980年的20家，國內的計算機、數(shù)據庫和技術人力資源也顯著增加[16]。

隨著“第四次工業(yè)革命”的展開，生產方式正在沿著兩條相互關聯(lián)的路徑演化，一條是生產的深度數(shù)字化(包括云計算、大數(shù)據、物聯(lián)網等新技術的應用)，一條是3D打印的增長，兩條路徑都需要更密集的數(shù)據流動來確保生產效率最大化[17]。由于這些新興的信息技術產業(yè)都是以大規(guī)模數(shù)據傳輸作為提供服務的基礎，數(shù)據本地化政策將能起到更大的保護作用。

2.3 國際貿易與投資

數(shù)據本地化會對國際貿易造成限制。特別是隨著國際貿易越來越依賴跨境數(shù)據傳輸，數(shù)據本地化帶來的潛在貿易障礙也在增加。第一，數(shù)據本地化會提高貿易雙方的對接成本，限制貿易機會。信息通信技術的發(fā)展降低了貿易成本，往往是借助經由互聯(lián)網的跨境數(shù)據傳輸實現(xiàn)的。例如，網絡訪問能夠減少發(fā)展中國家與主要出口市場的地理隔離程度，將尋找客戶和進入海外市場的成本削減65%[18]。而數(shù)據本地化會阻斷跨境數(shù)據傳輸，損害貿易機會。第二，傳統(tǒng)的貨物和服務貿易正在通過數(shù)字化的形式轉變?yōu)榭缇硵?shù)據流動，數(shù)據本地化將直接對此造成貿易障礙。目前全球約12%的貨物貿易是通過國際電子商務完成的，世界上大約50%的服務貿易已經被數(shù)字化[19]。從美國的數(shù)據來看，2011年美國國內和國際數(shù)字貿易對GDP的貢獻率已經達到 3.4%～4.8%(5171億至7107億美元)[20]。

數(shù)據本地化對投資的影響卻并不確定,如前文所述，數(shù)據本地化會提高跨國公司的合規(guī)成本?？鐕驹跈嗪馔度氤杀竞皖A期收益后，既可能將部分生產過程轉移至該國，也可能退出該國市場。例如，在中國數(shù)據本地化政策的影響下，微軟、蘋果、亞馬遜、領英、印象筆記等均在中國設立了數(shù)據中心，將中國用戶的數(shù)據存儲在境內的服務器上。而在俄羅斯2014年出臺數(shù)據本地化政策以后，微軟將其Skype研發(fā)團隊從俄羅斯撤離，Adobe完全中止了在俄羅斯的運營，谷歌則關閉了在俄羅斯的研發(fā)中心[21]。

3 跨境數(shù)據流動規(guī)制的選擇與數(shù)據本地化的政策動因

3.1 跨境數(shù)據流動規(guī)制的差異化選擇

如前文所述，跨境數(shù)據流動規(guī)制主要有三種方式，分別是數(shù)據自由流動、隱私規(guī)制和數(shù)據本地化。從現(xiàn)狀看，各經濟體在規(guī)制方式的選擇上呈現(xiàn)出明顯的差異。美國主張數(shù)據自由流動，歐盟發(fā)展出一套完整的隱私規(guī)制體系，大量的發(fā)展中國家則偏好數(shù)據本地化政策。

第一，美國偏重數(shù)據自由流動帶來的經濟利益。美國并非沒有認識到數(shù)據流動中的隱私保護風險，但在經濟利益和隱私保護等的權衡上，美國更加偏重經濟利益。因此，美國政府和實務界更多地主張以自律規(guī)范保護個人信息，認為強硬的法律結構將“不可避免地阻礙商業(yè)活動[22]”。所以，美國在國內并沒有制定統(tǒng)一的個人信息保護法，而是對私人行業(yè)采取分散立法的模式，并奉行以市場為主導、以行業(yè)自治為中心的信息隱私政策[23]。這也從根本上決定了美國在跨境數(shù)據流動規(guī)制上的基本態(tài)度，即主張跨境數(shù)據自由流動。近年來，美國積極推動在一些重要的自由貿易協(xié)定(FTAs)中納入數(shù)據自由流動條款。2012年達成的《美-韓自由貿易協(xié)定》第一次在FTAs中納入了跨境數(shù)據流動規(guī)則，第15.8條規(guī)定“成員方應努力避免對跨境電子信息流動施加或維持不必要阻礙[24]”。在2012年發(fā)起的《服務貿易協(xié)定》(Trade in Services Agreement,TiSA)談判的已知文本中，美國、日本、哥倫比亞等國提出的方案主張，在個人數(shù)據關系到服務貿易的情況下禁止締約方阻礙跨境數(shù)據流動[25]。2015年在美國主導下達成的《跨太平洋伙伴關系協(xié)定》(Trans-Pacific Partnership Agreement，TPP)中，則專門引入了“商業(yè)信息跨境自由傳輸條款”。美國雖然在特朗普上臺后退出了TPP，但由于TPP總體符合其產業(yè)利益，美國未來很可能會在其他協(xié)定談判中復制其中的條款，因而TPP對于美國推廣其跨境數(shù)據流動規(guī)則的意義仍然存在。

第二，歐盟偏重跨境數(shù)據流動中的隱私保護。歐洲是個人信息保護法的發(fā)祥地，德國黑森州在1970年制定了世界上最早的個人信息保護法，瑞典在1973年頒布了世界上第一部國家級個人信息保護法。歐盟一向認為，個人信息上的權利是基本人權，必須通過立法予以確認和給予相當?shù)谋Ｗo[26]。這也構成了歐盟在跨境數(shù)據流動規(guī)制上的基本立場，即通過隱私規(guī)制來限制跨境數(shù)據流動。1981年歐洲委員會通過了《有關個人數(shù)據自動化處理的個人保護公約》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)，通過規(guī)定數(shù)據保護的基本原則來協(xié)調跨境數(shù)據流動。1995年歐洲議會和歐盟理事會通過了《關于涉及個人數(shù)據處理的個人保護以及此類數(shù)據自由流動的第95/46/EC號指令》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，以下簡稱“指令”)，其中第25條明確規(guī)定，“只有在第三國確保提供適當保護水平時，才能將個人數(shù)據向第三國轉移”。同時也為向不能提供充分保護水平的第三國轉移數(shù)據提供了“標準合同條款”(SCCs)、“約束性公司規(guī)則”(BCRs)等轉移機制。2016年歐洲議會和歐盟理事會又通過了《統(tǒng)一數(shù)據保護條例》(General Data Protection Regulation，以下簡稱“條例”)，在向第三國或國際組織轉移個人數(shù)據方面，增加了更多可實現(xiàn)個人數(shù)據跨境轉移的條件或情形[27]。

第三，發(fā)展中國家偏好出臺數(shù)據本地化政策。目前并沒有關于全球各國數(shù)據本地化政策的完整統(tǒng)計，但現(xiàn)有證據足以顯示發(fā)展中國家對于數(shù)據本地化政策的偏好。首先，目前出臺數(shù)據本地化政策的基本都是發(fā)展中國家。前文已述及，僅有極少數(shù)發(fā)達國家出臺數(shù)據本地化政策，而且都局限在很小的地域和政策范圍內。其次，代表性的發(fā)展中國家出臺數(shù)據本地化政策的比例也很高。在金磚五國(BRICS)中，除南非外的四個國家都出臺了數(shù)據本地化政策。在二十國集團(G20)的11個發(fā)展中國家中，有7個發(fā)展中國家都出臺了數(shù)據本地化政策(分別是中國、巴西、印度、印度尼西亞、韓國、俄羅斯、土耳其)。

3.2 跨境數(shù)據流動規(guī)制的收益與成本

為什么不同經濟體在跨境數(shù)據流動規(guī)制的選擇上存在如此顯著的差異？本文認為，這是由規(guī)制的收益和成本決定的。凈收益(即“規(guī)制收益-規(guī)制成本”)最大化是各經濟體選擇規(guī)制方式的基本原則，而由于各經濟體的內部條件不同，實現(xiàn)凈收益最大化的規(guī)制方式也就存在差別。

首先，跨境數(shù)據流動規(guī)制在數(shù)據安全、產業(yè)發(fā)展以及貿易投資等領域的影響構成了規(guī)制的收益和成本。規(guī)制收益涵蓋經濟利益和社會利益，經濟利益主要包括產業(yè)利益和貿易利益。產業(yè)利益是指規(guī)制可能保護內部市場，促進本地信息技術相關產業(yè)的發(fā)展。貿易利益是指規(guī)制可能會擴大依賴數(shù)據流動實現(xiàn)的出口利益。社會利益是指規(guī)制可能通過保障數(shù)據安全滿足公眾訴求，提升社會認可。規(guī)制成本主要是指規(guī)制可能對本地企業(yè)帶來的合規(guī)成本。此外，由于跨境數(shù)據流動規(guī)制對于投資的影響存在較大不確定性，而且政府會為了避免嚴重的負面影響而在政策執(zhí)行中帶有選擇性，本文不考慮投資因素帶來的收益或成本。

其次，各經濟體的信息技術水平和隱私保護意識最終決定了哪種規(guī)制方式的凈收益才是最大的。第一，規(guī)制的產業(yè)利益和貿易利益主要取決于本地信息技術水平的高低。本地的信息技術水平越高，數(shù)據和相關服務的出口潛力就越大，跨境數(shù)據自由流動帶來的貿易利益也越大。如果信息技術水平較低，阻礙跨境數(shù)據流動反而有利于保護本地信息技術產業(yè)。第二，規(guī)制的社會利益主要取決于本地隱私保護意識的高低。對于隱私保護意識較高的經濟體，通過制定數(shù)據保護法來規(guī)制跨境數(shù)據流動能夠獲得較高的社會認可，因為數(shù)據保護法不僅可以提高境內隱私保護水平，還可以提高轉移至境外的數(shù)據的安全水平。數(shù)據自由流動或者單純的數(shù)據本地化并不能滿足隱私保護需求。而對于隱私保護意識較低的經濟體，由于公眾對隱私保護的需求較低，三種規(guī)制方式產生的社會利益差別不大。第三，隱私規(guī)制由于提高了境內的隱私保護標準，構成了較高的規(guī)制成本。而數(shù)據自由流動或數(shù)據本地化均不要求企業(yè)提高隱私保護標準，不會對本地企業(yè)造成負擔，所以基本不存在規(guī)制成本。

表1以簡單賦值的方式大致呈現(xiàn)了不同條件下各規(guī)制方式的收益和成本情況。如果存在較大的利益或成本，則賦值為1，否則賦值為0。需要注意的是，因為產業(yè)利益、貿易利益以及通過限制數(shù)據流動所可能獲得的社會利益，都是在與主要經貿伙伴開展經濟交往的基礎上實現(xiàn)的，因此表1中信息技術水平和隱私保護意識的高低是相對于主要經貿伙伴而言的。四種情況如下：①如果經濟體信息技術水平較高而隱私保護意識較低，數(shù)據自由流動的凈收益最高。數(shù)據自由流動不僅有利于自身信息技術產業(yè)的發(fā)展和擴張，擴大相關的服務出口，而且沒有規(guī)制成本。另外兩種規(guī)制方式不會帶來規(guī)制收益，隱私規(guī)制還存在較高的規(guī)制成本；②如果信息技術水平和隱私保護意識都較低，數(shù)據本地化的凈收益最高。數(shù)據本地化和隱私規(guī)制都可以提供產業(yè)保護，但隱私規(guī)制還要承擔規(guī)制成本。數(shù)據自由流動雖然沒有規(guī)制成本，卻無法保護本地市場；③如果信息技術水平較低而隱私保護意識較高，可能選擇隱私規(guī)制，也可能出臺數(shù)據本地化政策。隱私規(guī)制可以保護本地產業(yè)，還可以提升隱私保護水平，但也存在規(guī)制成本。數(shù)據本地化也可以保護本地產業(yè)，而且沒有規(guī)制成本，但無法滿足隱私保護需求。在現(xiàn)實情況中，最終的選擇取決于社會收益和規(guī)制成本之間的權衡；④如果信息技術水平和隱私保護意識都較高，數(shù)據自由流動的凈收益最高。隱私規(guī)制帶來的社會收益會與規(guī)制成本相抵消，數(shù)據本地化則既沒有規(guī)制收益也沒有規(guī)制成本。

表1 不同條件下各規(guī)制方式的收益與成本

3.3 數(shù)據本地化的政策動因

上述規(guī)制凈收益的分析框架可以解釋各經濟體在規(guī)制選擇上的差異化現(xiàn)象。美國信息技術水平較高，但與歐盟等經貿伙伴相比，對于隱私保護的重視程度較低。因此，數(shù)據自由流動有利于美國的信息技術產業(yè)在全球擴張，同時還能擴大美國的貿易利益。歐盟的個人隱私保護意識較強，但信息技術水平卻落后于美國，選擇隱私規(guī)制或數(shù)據本地化可以保護歐盟的信息技術產業(yè)。歐盟在1995年出臺“指令”的目的之一就是與美國進行國際競爭，特別是要限制美國在數(shù)據處理產業(yè)上的主導地位[28]。在現(xiàn)實中，歐盟主要通過數(shù)據保護法規(guī)制跨境數(shù)據流動，原因可能是對于隱私保護的需求超過了數(shù)據保護法帶來的成本。

對于大多數(shù)發(fā)展中國家來說，無論是信息技術水平，還是個人隱私保護意識，都落后于發(fā)達國家。因此，出臺數(shù)據本地化政策，既可以保護本國信息技術產業(yè)免受發(fā)達國家產業(yè)的競爭力壓力，也不會為了提高隱私保護水平而產生較高的企業(yè)成本。

而數(shù)據本地化政策在近年來密集出臺的原因可能是，隨著跨境數(shù)據流動規(guī)模迅速擴大，以及云計算、大數(shù)據、物聯(lián)網等新興信息技術產業(yè)的興起，通過數(shù)據本地化政策促進國內產業(yè)發(fā)展的利益大幅增加。而美國在近年來大力主張跨境數(shù)據自由流動，既是對其他國家限制措施的回應，更是受到產業(yè)和貿易利益的驅動。

表1的分析框架并不能完全涵蓋現(xiàn)實中的復雜情況和解釋因素，如本地市場的大小和產業(yè)結構等因素對于規(guī)制收益的影響[29]。此外，法國、德國、加拿大、澳大利亞等國雖然已經制定了數(shù)據保護法，仍要提出數(shù)據本地化動議或出臺數(shù)據本地化政策，也無法在表1中顯示。其政策動因可能有兩個：第一，數(shù)據保護法往往是通過設定隱私保護的前提和標準來限制跨境數(shù)據流動，在限制程度上要弱于數(shù)據本地化政策，因此仍然存在選擇“數(shù)據保護法+數(shù)據本地化政策”的可能；第二，對于歐盟來說，“指令”或“條例”均是限制數(shù)據向境外轉移，同時卻要促進成員國間的數(shù)據流動，因此各成員國仍然有通過數(shù)據本地化保護本國產業(yè)的動機。

4 結論及對中國的啟示

4.1 主要結論

數(shù)據本地化的實際影響主要有三個方面。一是在國內數(shù)據保護標準較高的條件下可以提高數(shù)據安全水平，二是對于信息技術水平較低的國家可以提供產業(yè)保護，三是會造成一定的國際貿易障礙并影響投資決策。

數(shù)據自由流動、隱私規(guī)制和數(shù)據本地化是跨境數(shù)據流動規(guī)制的三種主要方式，各經濟體采取的規(guī)制方式并不相同。美國主張數(shù)據自由流動，歐盟實施隱私規(guī)制，大量發(fā)展中國家則出臺數(shù)據本地化政策。這種規(guī)制方式選擇的差異化現(xiàn)象，是各經濟體基于自身信息技術水平和隱私保護意識，追求規(guī)制凈收益最大化的結果。

大量發(fā)展中國家出臺數(shù)據本地化政策的內在原因是，國內信息技術水平與隱私保護意識都較低。而這些政策在近年密集出臺的原因則是，隨著新興信息技術產業(yè)的發(fā)展和跨境數(shù)據流動規(guī)模的擴大，保護國內相關產業(yè)的潛在利益也在迅速增加。少數(shù)發(fā)達國家在已制定數(shù)據保護法的情況下還要出臺數(shù)據本地化政策，其原因在于，數(shù)據本地化對跨境數(shù)據流動的限制程度更高，以及區(qū)域內部國家之間的產業(yè)競爭。

4.2 對中國的啟示

實施數(shù)據本地化政策符合大多數(shù)發(fā)展中國家的現(xiàn)實，但對于中國來說，影響規(guī)制方式選擇的關鍵因素正在發(fā)生變化。首先，公眾的隱私保護意識在迅速提升。統(tǒng)計數(shù)據表明，個人信息安全已成為社會普遍焦慮，72%的人群認為個人信息泄露問題嚴重[30]。其次，跨境數(shù)據流動對中國潛在的貿易和產業(yè)利益也在增加。一方面，中國的電子商務平臺開始向海外擴張，例如阿里巴巴推動建設的電子世界貿易平臺(eWTP)在海外的第一個“數(shù)字中樞”已經于2017年3月在馬來西亞落地；另一方面，中國的信息技術產業(yè)也開始“走出去”。阿里云、騰訊云等云服務供應商已經在美國、澳大利亞、中東等地布局數(shù)據中心[31]。因此，對于中國凈收益最大的規(guī)制方式正在從數(shù)據本地化轉向隱私規(guī)制。

中國應學習歐盟等發(fā)達經濟體的規(guī)制經驗，同時推進國內的規(guī)制實踐，建設符合國情的隱私規(guī)制體系。首先，應指定或設立具體的數(shù)據保護機構，并授予該機構必要的執(zhí)法權力，盡快參與跨境數(shù)據流動的區(qū)域性國際合作。鼓勵與歐盟有業(yè)務往來的跨國企業(yè)使用SCCs或申請BCRs認證，申請加入APEC下的CBPRs(跨境隱私規(guī)則)體系，引導企業(yè)提升隱私保護水平。其次，在一定數(shù)量的企業(yè)具備較高的隱私保護水平后，借鑒美歐“安全港”(Safe Harbor)或“隱私盾”(Privacy Shield)模式，與主要貿易伙伴洽簽規(guī)制雙邊數(shù)據流動的協(xié)議，強化數(shù)據流動國際規(guī)制的話語權。最后，結合實踐經驗制定數(shù)據保護法，確立數(shù)據保護的原則和模式，統(tǒng)一規(guī)制跨境數(shù)據流動。

[1]McKinsey Global Institute.Digital Globalization：The New Era of Global Flows[R].February 2016.http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[2]CHANDER Anupam,LE Uyên.Data Nationalism[J].Emory law journal,2015(64)：679-704.

[3]U.S.Chamber of Commerce.Business Without Borders：The Importance of Cross-Border Data Transfers to Global Prosperity[R].May 12,2014. https://www.uschamber.com/report/business-without-borders-importance-cross-border-data-transfers-global-prosperity.

[4]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：33.

[5]BORTNICK Jane.International information flow：the developing world perspective[J].Cornell international law journal,1981(14):342.

[6]DAMON Lisa.Freedom of information versus national sovereignty：the need for a new global forum for the resolution of transborder date flow problems[J].Fordham international law journal,1986(10):277.

[7]CHANDER Anupam,LE Uyên.Data nationalism[J].Emory law journal,2015(64)：679-704.

[8]中央網絡安全和信息化領導小組辦公室政策法規(guī)局.外國網絡法選編(第一輯)：美國·俄羅斯[M].北京：中國法制出版社，2015.

[9]STONE Susan,MESSENT James,FLAIG Dorothee.Emerging policy issues：localisation barriers to trade[R].OECD Trade Policy Papers,No.180,2015. http://dx.doi.org/10.1787/5js1m6v5qd5j-en.

[10]MILLARD Christopher.Forced localization of cloud services：Is privacy the real driver?[J].IEEE cloud computing,2015(2):10-14.

[11]新華網.谷歌承認把歐洲資料交給美國情報機構[EB/OL].(2011-08-16)[2017-04-21].http://news.xinhuanet.com/world/2011-08/16/c_121867891.htm.

[12]CASTRO Daniel.The false promise of data nationalism[R].Information technology and innovation foundation.2013,https://itif.org/publications/2013/12/09/false-promise-data-nationalism.

[13]CHAO Loretta,TREVISANI Paulo.Brazil legislators bear down on internet bill[EB/OL].Wall St.J.(2013-11-13)[2017-04-21].http://online.wsj.com/news/articles/SB10001424052702304868404579194290325348688.

[14]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：33.

[15]Swedish Board of Commerce.No transfer,no production-a report on cross-border data transfers,global value chains,and the production of goods[R].2015.http://www.kommers.se/In-English/Publications/2015/No-Transfer-No-Production/

[16]LENDLE Andreas,OLARREAGA Marcelo,SCHROPP Simon,VEZINA Pierre.There goes gravity：How eBay reduces trade costs[R].World Bank Policy Research Paper,No.6253,2012.http://dx.doi.org/10.1596/1813-9450-6253.

[17]McKinsey Global Institute.Digital globalization：the new Era of global flows[R].February 2016.http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[18]U.S.International Trade Commission.Digital trade in the U.S.and global economies,part 2[R].USITC Publication 4485,August 2014. https://www.usitc.gov/publications/332/pub4485.pdf.

[19]Microsoft,Google,Adobe Leave Russia Due to Putin’s New Laws[EB/OL].(2014-12-15)[2017-04-21].http://news.softpedia.com/news/Microsoft-Google-Adobe-Leave-Russia-Due-to-Putin-s-New-Laws-467521.shtml.

[20]戴恩·羅蘭德，伊麗莎白·麥克唐納.信息技術法：第2版[M].宋連斌，林一飛，呂國民，譯.武漢：武漢大學出版社，2004：308.

[21]孔令杰.個人資料隱私的法律保護[M].武漢：武漢大學出版社，2009：145.

[22]韓靜雅.跨境數(shù)據流動國際規(guī)制的焦點問題分析[J].河北法學，2016，34(10)：170-178.

[23]AHMED Usman,CHANDER Anupam.Information goes global：protecting privacy,security,and the new economy in a world of cross-border data flows[R].E15Initiative.Geneva：International Centre for Trade and Sustainable Development(ICTSD) and World Economic Forum,2015.

[24]齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社，2009：173.

[25]高富平.個人數(shù)據保護和利用國際規(guī)則：源流與趨勢[M].北京：法律出版社，2016：135.

[26]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：31-32.

[27]STONE Susan,MESSENT James,FLAIG Dorothee.Emerging policy issues：localisation barriers to trade[R].OECD trade policy papers,No.180,2015. http://dx.doi.org/10.1787/5js1m6v5qd5j-en.

[28]中國青年政治學院互聯(lián)網法治研究中心.中國個人信息安全和隱私保護報告[R].2016.

[29]新華網.2016年的云計算，是一場互聯(lián)網巨頭們的多維戰(zhàn)爭[EB/OL].(2016-12-12)[2017-04-23].http://www.hq.xinhuanet.com/news/2016-12/12/c_1120099550.htm.

(責任編輯 沈蓉)

ImpactsofDataLocalizationandItsPolicyMotivations

Huang Ning1,2

(1.Chinese Academy of Science and Technology for Development,Beijing 100038,China;2.Economic and Social Development Research Institute,Nankai University,Tianjin 300071,China)

F741.2

A

中國科協(xié)高端科技創(chuàng)新智庫青年項目(DXB-ZKQN-2016-001)。

2017-05-02

黃寧(1987-)，男，山東人，南開大學經濟與社會發(fā)展研究院與中國科學技術發(fā)展戰(zhàn)略研究院聯(lián)合博士后工作站；研究方向：國際規(guī)則與科技政策。