魏遠(yuǎn)山

(湘潭大學(xué) 知識產(chǎn)權(quán)學(xué)院,湖南 湘潭 411105)

自2008年以來,數(shù)據(jù)流動對全球經(jīng)濟(jì)增長的貢獻(xiàn)已超過傳統(tǒng)的跨國貿(mào)易和投資,成為推動全球經(jīng)濟(jì)發(fā)展的重要力量。隨著數(shù)字經(jīng)濟(jì)的發(fā)展,從地緣政治、經(jīng)濟(jì)貿(mào)易、產(chǎn)業(yè)發(fā)展等角度看,跨境數(shù)據(jù)流動(transborder data flow,TBDF)與國家安全、網(wǎng)絡(luò)安全、隱私保護(hù)、國際貿(mào)易和分工機(jī)制、本土產(chǎn)業(yè)發(fā)展等政策緊密掛鉤,加劇了各國在網(wǎng)絡(luò)空間的戰(zhàn)略博弈與數(shù)據(jù)資源爭奪,從而成為各國及國際治理中的核心議題。如2019年G20峰會的宣言指出,“跨境數(shù)據(jù)流動帶來了更高的生產(chǎn)力、更大的創(chuàng)新和更好的可持續(xù)發(fā)展,同時也帶來了與隱私、數(shù)據(jù)保護(hù)相關(guān)的挑戰(zhàn)。通過應(yīng)對這些挑戰(zhàn),可進(jìn)一步促進(jìn)數(shù)據(jù)自由流動,增進(jìn)消費(fèi)者和企業(yè)的信任。這種可信任的數(shù)據(jù)自由流動將促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展”(1)G20 Research Group.G20 Osaka Leaders’ Declaration[EB/OL].(2019-06-29)[2020-12-04]http:∥www.g20.utoronto.ca/2019/2019-g20-osaka-leaders-declaration.html.。同時,《大阪數(shù)字經(jīng)濟(jì)宣言》啟動的“大阪軌道”(Osaka Track)將促進(jìn)跨境數(shù)據(jù)流動國際規(guī)則的制定,實(shí)現(xiàn)數(shù)據(jù)安全與利用的平衡(2)G20 Research Group.Osaka Declaration on digital economy[EB/OL].(2016-06-29)[2020-12-04].https:∥www.wto.org/english/news_e/news19_e/osaka_declration_on_digital_economy_e.pdf.。但跨境數(shù)據(jù)流動所涉利益的復(fù)雜性、價值認(rèn)同的差異性和國家間信任的缺乏,阻礙了各國或地區(qū)在短期內(nèi)形成規(guī)則共識。本文立足于各經(jīng)濟(jì)體爭奪數(shù)字經(jīng)濟(jì)話語權(quán)、攫取數(shù)字經(jīng)濟(jì)紅利的時代背景,采用博弈論框架分析作為理性人的跨境數(shù)據(jù)流動政策的制定主體——國家或主權(quán)地區(qū),究竟是采取“寬松式立法”來促進(jìn)數(shù)據(jù)自由流動,還是以“嚴(yán)格式立法”來加大數(shù)據(jù)保護(hù)力度?如何在安全性和成長性中實(shí)現(xiàn)平衡,從而在保障國家安全和數(shù)據(jù)安全的同時,抓住數(shù)字經(jīng)濟(jì)發(fā)展的機(jī)遇?并在此基礎(chǔ)上結(jié)合中國數(shù)字經(jīng)濟(jì)發(fā)展和技術(shù)產(chǎn)業(yè)現(xiàn)狀,探討中國應(yīng)采取何種跨境數(shù)據(jù)流動政策,提高數(shù)據(jù)治理能力,在確保安全的情況下促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

一、數(shù)據(jù)跨境流動及用博弈論分析的可行性

(一)跨境數(shù)據(jù)流動的現(xiàn)實(shí)、分歧及其厘清

由于地理邊界不能有效保障數(shù)據(jù)流通安全,跨境數(shù)據(jù)流動問題在20世紀(jì)后期就已引起關(guān)注。瑞典是最早對個人數(shù)據(jù)跨境流動進(jìn)行規(guī)制的國家,早在1973年制定的《瑞典數(shù)據(jù)保護(hù)法》中就明確,設(shè)立自動處理個人數(shù)據(jù)的計(jì)算機(jī)系統(tǒng)和進(jìn)行數(shù)據(jù)跨境流動必須由瑞典數(shù)據(jù)監(jiān)管委員會批準(zhǔn)。到1980年,經(jīng)濟(jì)發(fā)展與合作組織(OECD)在《隱私保護(hù)與個人跨境數(shù)據(jù)流動準(zhǔn)則》中也對個人數(shù)據(jù)跨境流動做了限制。進(jìn)入大數(shù)據(jù)時代后,數(shù)字與網(wǎng)絡(luò)技術(shù)的快速發(fā)展使數(shù)據(jù)的價值進(jìn)一步被發(fā)掘,且頻繁的數(shù)據(jù)跨境流動伴隨著全球貿(mào)易的各個環(huán)節(jié),導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)激增,因此越來越多的國家和地區(qū)開始制定法律或政策來規(guī)范跨境數(shù)據(jù)流動。如歐盟《通用數(shù)據(jù)保護(hù)條例》第五章“將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織”規(guī)定,進(jìn)行數(shù)據(jù)轉(zhuǎn)移必須確保數(shù)據(jù)接收國滿足“充分保護(hù)水平”(第45條);俄羅斯目前涉及數(shù)據(jù)管理的國家專門立法明確了數(shù)據(jù)本地存儲的基本規(guī)則。

規(guī)制活動必須以清楚認(rèn)識規(guī)制對象為前提,這就必須回答“何為跨境數(shù)據(jù)流動”。亞太經(jīng)合組織(APEC)對個人數(shù)據(jù)跨境流動的界定是“個人數(shù)據(jù)的跨越國界流動”(3)Orgnazisation for Economic Cooperation and Development(OECD).Guidelines governing the protection of privacy and transborder flow of personal data[EB/OL].(1980-09-23)[2020-12-04].https:∥www.refworld.org/docid/3dde56854.html.;石月[1]認(rèn)為“跨境數(shù)據(jù)流動有兩種理解:一種是數(shù)據(jù)跨越國界的傳輸和處理;另一種是數(shù)據(jù)雖然沒有跨越國界,但被第三國的主體能夠訪問”。雖然當(dāng)前學(xué)界對跨境數(shù)據(jù)流動眾說紛紜,但仍存共識:數(shù)據(jù)存在跨越國境的傳輸。不過,就其內(nèi)涵卻存在如下分歧:

第一,“數(shù)據(jù)”的范圍?？缇硵?shù)據(jù)流動并非一開始就受到關(guān)注,對其的關(guān)注是從對個人信息保護(hù)中演化而來。這也是為什么有學(xué)者認(rèn)為,即使在“后棱鏡門”時期,跨境數(shù)據(jù)流動中的“數(shù)據(jù)”仍是以個人數(shù)據(jù)為主,只是在極少數(shù)案例中才擴(kuò)展至其他類型的數(shù)據(jù)[2]。也有學(xué)者認(rèn)為個人數(shù)據(jù)是跨境數(shù)據(jù)流動中最重要,也是數(shù)量最多的一類數(shù)據(jù),但從國家管理的角度出發(fā),非個人數(shù)據(jù)同樣重要。為保證數(shù)據(jù)安全,跨境數(shù)據(jù)流動不應(yīng)僅限于個人數(shù)據(jù)的跨境流動[3]。那么“數(shù)據(jù)”究竟是僅限于個人數(shù)據(jù),還是包含企業(yè)數(shù)據(jù)等廣義上的數(shù)據(jù)?在現(xiàn)今社會,“數(shù)據(jù)作為新時代的新石油”,指的不僅是個人數(shù)據(jù),還包括企業(yè)數(shù)據(jù)和政府?dāng)?shù)據(jù)。從數(shù)據(jù)安全角度看,個人數(shù)據(jù)安全固然重要,但企業(yè)和國家數(shù)據(jù)安全也很重要,甚至在某種程度上,個人數(shù)據(jù)安全依托于國家數(shù)據(jù)安全之上。因此,本文認(rèn)為跨境數(shù)據(jù)流動并非僅限于個人數(shù)據(jù),非個人數(shù)據(jù)也應(yīng)該被囊括,如商業(yè)數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施上產(chǎn)生的個人數(shù)據(jù)和公共數(shù)據(jù)等。

第二,“流動”的含義。按照OECD的理解,數(shù)據(jù)在國家之間的流動才是跨境數(shù)據(jù)流動的根本特征。但隨著網(wǎng)絡(luò)技術(shù)與信息技術(shù)的發(fā)展,數(shù)據(jù)在國家間的流動不再是跨境數(shù)據(jù)流動的必要環(huán)節(jié)。只要數(shù)據(jù)能夠在境外被獲取,即使數(shù)據(jù)并未發(fā)生物理位置的轉(zhuǎn)移,也不能否認(rèn)實(shí)現(xiàn)了數(shù)據(jù)跨境流動的效果。在此意義上,如果數(shù)據(jù)能夠在境外被獲取或處理,即使并未發(fā)生跨越國界的流動,也應(yīng)視為跨境數(shù)據(jù)流動。但如果是不可見或不可獲取的,僅為響應(yīng)某一后臺操作而臨時在系統(tǒng)中存在,不應(yīng)將其視為跨境數(shù)據(jù)流動[4]。因此,本文認(rèn)為“跨境數(shù)據(jù)流動”比“跨境數(shù)據(jù)傳輸”“數(shù)據(jù)跨境傳輸”等術(shù)語更能準(zhǔn)確概括當(dāng)下數(shù)據(jù)流動的內(nèi)涵。

綜上,本文認(rèn)為跨境數(shù)據(jù)流動是指,一國數(shù)據(jù)可在境外被獲取,其獲取方式包括但不限于跨越國境的轉(zhuǎn)移、可在境外終端瀏覽或處理等,但單純的不可被獲取的系統(tǒng)臨時緩存應(yīng)被排除在外。

(二)博弈論及其運(yùn)用于數(shù)據(jù)跨境流動的可行性

博弈論又稱對策論,是研究當(dāng)某一博弈參與者的決策受到其他參與者決策的影響時,該參與者的相關(guān)決策反過來又影響其他參與者決策選擇的決策和均衡問題[5]3?？傮w的邏輯是博弈參與者在自身掌握的博弈信息基礎(chǔ)上,出于自身利益最大化的目的進(jìn)行決策選擇;且其決策選擇會影響其他博弈參與者的決策選擇,并產(chǎn)生動態(tài)的決策改進(jìn),最終實(shí)現(xiàn)各博弈參與者利益最大化的最優(yōu)策略組合。博弈論的應(yīng)用假設(shè)前提是各個參與者是理性人,即各參與者在進(jìn)行決策時,根據(jù)所掌握的信息、其他參與者的決策反饋,能夠作出合乎理性的決定以實(shí)現(xiàn)自己利益的最大化。

由此可見,博弈論的基本要素有博弈參與者(player)、博弈信息(information)、博弈策略(strategies)、博弈收益(payoff)和博弈均衡(equilibrium)。博弈參與者是指每一個有決策權(quán)的行為主體;博弈信息是指可為決策的作出提供依據(jù)的各種信息;博弈策略是指每個博弈參與者可選擇的、實(shí)際可行的、完整的行動方案;博弈收益是指博弈參與者在博弈結(jié)束時的得失,其得失不僅與自身選擇有關(guān),還與其他人的選擇相關(guān);當(dāng)博弈對手不改變策略時,當(dāng)下的策略的收益最好,這種決策組合被稱為博弈均衡。上述五個要素是定義一個博弈的關(guān)鍵,博弈論就是分析上述要素界定下有限理性的合理決策選擇的結(jié)果,在不同決策選擇時的不同效果,力爭實(shí)現(xiàn)最優(yōu)策略選擇,使博弈參與者的利益最大化。

博弈論是解決博弈參與者在有限理性的情況下,如何找到最優(yōu)決策的分析方法。該方法綜合考慮各個參與者的個體預(yù)測行為和實(shí)際行為,并研究各參與者間的決策策略,尤其是對具有競爭性現(xiàn)象的解釋,具有較強(qiáng)分析能力?？缇硵?shù)據(jù)流動在促進(jìn)貿(mào)易、數(shù)字經(jīng)濟(jì)、人才流動和技術(shù)發(fā)展的同時,也帶來了數(shù)據(jù)安全和法律治理等問題。作為“理性人”的國家或主權(quán)地區(qū),制定跨境數(shù)據(jù)流動管控政策的目的,是通過控制來實(shí)現(xiàn)數(shù)據(jù)健康有序的流動,在安全的前提下促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展。但各國或地區(qū)跨境數(shù)據(jù)流動政策不僅因本國國情和國際傾向而變,還會基于對等原則相互影響。這種追求本國或地區(qū)跨境數(shù)據(jù)流動利益最大化的目的,相關(guān)政策又相互影響的客觀現(xiàn)實(shí),符合博弈論的基本分析框架。如A國對跨境數(shù)據(jù)流動進(jìn)行嚴(yán)格管控雖確保了本國數(shù)據(jù)安全,但可能會阻礙全球化和數(shù)字化背景下本國數(shù)字經(jīng)濟(jì)的發(fā)展,同時也會限制與A國有互動的或潛在合作國的數(shù)字經(jīng)濟(jì)發(fā)展。鑒于一國數(shù)字技術(shù)水平、法律健全程度、產(chǎn)業(yè)規(guī)模等信息在一定程度上是公開可獲取的,他國或地區(qū)基于A國的政策會作出適當(dāng)調(diào)整,在保證本國安全的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)利益最大化。因此,在數(shù)字經(jīng)濟(jì)快速發(fā)展與數(shù)據(jù)安全并重的當(dāng)下,利用博弈論分析作為“理性人”的國家或地區(qū)會采取何種措施應(yīng)對跨境數(shù)據(jù)流動難題,不僅對提升全球數(shù)據(jù)保護(hù)水平、減少數(shù)據(jù)安全事件具有重要意義,還為創(chuàng)造更加良好的營商環(huán)境、助力數(shù)字經(jīng)濟(jì)的發(fā)展大有裨益。

數(shù)據(jù)不僅關(guān)系到個人隱私,還關(guān)系到企業(yè)利益和國家安全,更是重要的戰(zhàn)略資源。在一定程度上,一國的數(shù)據(jù)保有量決定了其數(shù)字經(jīng)濟(jì)競爭力的強(qiáng)弱。采取的跨境數(shù)據(jù)流動措施會影響到本國公民的隱私和數(shù)據(jù)安全、企業(yè)的運(yùn)營,乃至國家安全和經(jīng)濟(jì)發(fā)展,同時也會影響到貿(mào)易往來國的數(shù)據(jù)保護(hù)立法和司法實(shí)踐。因此,基于本國數(shù)據(jù)保護(hù)目的和他國跨境數(shù)據(jù)流動政策,一國的跨境數(shù)據(jù)流動政策可能會進(jìn)行相應(yīng)調(diào)整,同時也會導(dǎo)致他國的政策變動。不過,最終各國會在保證本國利益的情況下,盡可能地追求共同利益,使得跨境數(shù)據(jù)流動政策逐漸趨同。

二、跨境數(shù)據(jù)流動政策博弈的要素及其闡釋

欲對跨境數(shù)據(jù)流動政策博弈進(jìn)行解析,需先界定此博弈的基本要素。在跨境數(shù)據(jù)流動政策的博弈中,主要有博弈主體、博弈信息、博弈策略、博弈收益和博弈均衡需明確。

(一)博弈主體:國家或主權(quán)地區(qū)

跨境數(shù)據(jù)流動涉及的主體眾多,如國家或主權(quán)地區(qū)、各國企業(yè)、各國公民等。上述三類主體既可作為數(shù)據(jù)主體,也可能是數(shù)據(jù)控制者或處理者。對國家或主權(quán)地區(qū)而言,在跨境數(shù)據(jù)流動中首要保障的是國家或地區(qū)安全,并在安全的前提下追求數(shù)據(jù)的經(jīng)濟(jì)效益;對企業(yè)而言,不僅注重自身數(shù)據(jù)安全,還欲在低成本的情況下追求數(shù)據(jù)合規(guī),盡可能提高經(jīng)濟(jì)效率;對公民而言,在保證自身數(shù)據(jù)安全的情況下,追求高效便利的數(shù)字服務(wù)。

在跨境數(shù)據(jù)流動治理過程中,因企業(yè)和公民多是規(guī)則的遵守者,作為政策制定者的國家或主權(quán)地區(qū)的角色更為重要。國家制定何種政策將直接影響企業(yè)或公民的數(shù)據(jù)傳輸行為,因此本文僅關(guān)注作為政策制定者的國家或主權(quán)地區(qū)間的博弈。不過,企業(yè)和公民并非完全獨(dú)立于國家或主權(quán)地區(qū)。企業(yè)和公民在日常生活和工作中對跨境數(shù)據(jù)流動有著自己的訴求,這些訴求會被政策制定者予以考慮,直接或間接影響政策的制定。如公民作為數(shù)據(jù)主體希望自己的數(shù)據(jù)盡量不要出境;若確有出境需要,也應(yīng)盡可能保證數(shù)據(jù)安全,確保自己的合法權(quán)益。企業(yè)在走向國際市場時必然伴隨著數(shù)據(jù)的跨境流動,過于繁瑣和苛刻的跨境數(shù)據(jù)流動政策將增加企業(yè)的運(yùn)營成本,因而企業(yè)傾向較為寬松的政策。此外,企業(yè)或公民在跨境數(shù)據(jù)流動實(shí)踐中較為成熟的做法或內(nèi)部規(guī)則,也可能被政策制定者上升為政策或法律。

(二)決策基礎(chǔ):國內(nèi)外相關(guān)信息集合

相較于“數(shù)據(jù)是新石油”,“數(shù)據(jù)是一種新的財(cái)富”更為直接地表明了數(shù)據(jù)的價值。在數(shù)字貿(mào)易時代,數(shù)據(jù)的質(zhì)和量、保護(hù)和利用直接關(guān)系到數(shù)字經(jīng)濟(jì)的發(fā)展。在制定跨境數(shù)據(jù)流動相關(guān)政策和法律時,如何保證數(shù)據(jù)的質(zhì)和量、平衡數(shù)據(jù)保護(hù)和利用是關(guān)鍵。因此,與數(shù)據(jù)相關(guān)的信息技術(shù)水平(決定數(shù)據(jù)的質(zhì)和量)、數(shù)字產(chǎn)業(yè)(利用)和法律制度(保護(hù)),以及國際環(huán)境等信息成為作出博弈決策的重要依據(jù):

第一,信息技術(shù)。信息技術(shù)是指對數(shù)據(jù)進(jìn)行采集、傳輸、存儲、加工、表達(dá)的各種技術(shù)之和。因網(wǎng)絡(luò)就緒指數(shù)(Networked Readiness Index)作為專門衡量一國信息技術(shù)的指標(biāo)體系,故可用來衡量一國信息技術(shù)水平。該指標(biāo)體系是2002年由世界經(jīng)濟(jì)論壇、國際英思雅德和美國康奈爾大學(xué)共同制定,并用于其發(fā)布的《全球信息技術(shù)報(bào)告》(TheGlobalInformationTechnologyReport)來衡量全球主要利用信息技術(shù)的139個國家或經(jīng)濟(jì)體的技術(shù)水平。該指數(shù)最初是由環(huán)境、準(zhǔn)備、使用和影響四個子指數(shù),共計(jì)53個因素綜合判斷(4)WEF.The global information technology report 2016[R/OL].(2016-07-06)[2020-12-05]http:∥www3.weforum.org/docs/GITR2016/WEF_GITR_Full_Report.pdf.。不過,一方面,信息通信技術(shù)的快速發(fā)展使舊版指標(biāo)無法完全適應(yīng)新時代的需求;另一方面,舊版指標(biāo)要么側(cè)重基礎(chǔ)設(shè)施的建設(shè)情況及其可承受性和采用性,要么考慮相關(guān)性或側(cè)重個人對采用某項(xiàng)特定技術(shù)的看法,導(dǎo)致過分依賴于國家級數(shù)據(jù)(country-level data)。為更好滿足技術(shù)發(fā)展需求,準(zhǔn)確衡量人們所選擇的技術(shù)和治理措施對經(jīng)濟(jì)增長產(chǎn)生的影響,從而促進(jìn)人與技術(shù)的和諧融合,實(shí)現(xiàn)可持續(xù)發(fā)展目標(biāo),在2019年版的報(bào)告中對網(wǎng)絡(luò)就緒指數(shù)指標(biāo)體系進(jìn)行了升級[6]20-22。新版指標(biāo)主要包括技術(shù)(可獲取性7個因素、內(nèi)容3個因素、未來技術(shù)6個因素)、人員(個人6個因素、企業(yè)6個因素、政府4個因素)、治理(可信任度5個因素、規(guī)制6個因素、包容性5個因素)和影響(經(jīng)濟(jì)4個因素、生活質(zhì)量4個因素、可持續(xù)發(fā)展建設(shè)6個因素)四個子指數(shù),共計(jì)62個因素?？梢哉f,《全球信息技術(shù)報(bào)告》是對信息技術(shù)如何影響各國競爭力和福祉的最權(quán)威和最全面的評估,系列報(bào)告和網(wǎng)絡(luò)就緒指數(shù)在提高人們對信息技術(shù)重要性的認(rèn)識方面做出了重要貢獻(xiàn)(5)LANVIN B,GEIGER T.The world’s most tech-ready countries 2015[EB/OL].(2015-04-15)[2021-01-29].https:∥knowledge.insead.edu/entrepreneurship-innovation/the-worlds-most-tech-ready-countries-2015-3953.。因此,本文以2019年版《全球信息技術(shù)報(bào)告》中的技術(shù)水平評價為參考依據(jù)。

第二,數(shù)據(jù)產(chǎn)業(yè)。一國數(shù)據(jù)產(chǎn)業(yè)狀況會影響該國跨境數(shù)據(jù)流動政策的趨向。如電子商務(wù)并不發(fā)達(dá)的印度在2019年初發(fā)布的《國家電子商務(wù)政策(草案)》認(rèn)為,如果無法獲得印度國內(nèi)產(chǎn)生的海量數(shù)據(jù),印度企業(yè)將無法創(chuàng)造出增值的數(shù)字產(chǎn)品,印度的科技公司將“僅是處理外包數(shù)據(jù)工作”的作坊。如果不對跨境數(shù)據(jù)流動施加限制,印度本身就將關(guān)閉在國內(nèi)開發(fā)高價值數(shù)字產(chǎn)品的大門(6)又下狠手?印度擬再出臺電商新規(guī),限制外國零售巨頭數(shù)據(jù)跨境流動[EB/OL].(2019-02-26)[2020-12-04].https:∥baijiahao.baidu.com/s?id=1626511628594217875&wfr=spider&for=pc.。因此,該草案將“促進(jìn)印度本土數(shù)據(jù)產(chǎn)業(yè)發(fā)展”作為數(shù)據(jù)本地化與跨境傳輸立法的核心驅(qū)動力,不僅要求數(shù)據(jù)本地化存儲,還進(jìn)一步限制外國企業(yè)在印度的經(jīng)營方式,以便為本土電商發(fā)展掃清障礙。又如作為互聯(lián)網(wǎng)巨頭的美國得益于信息技術(shù)的優(yōu)勢,占據(jù)著全球數(shù)字產(chǎn)業(yè)市場的大部分份額。在2019年“全球Top50互聯(lián)網(wǎng)上市企業(yè)”中美國占30余席位,前十名獨(dú)占7位(7)恒大研究院.全球互聯(lián)網(wǎng)發(fā)展報(bào)告2019:為何美國稱霸、中國崛起?[EB/OL].(2019-10-25)[2020-12-04].https:∥news.hexun.com/2019-10-25/198998006.html,。因此,美國更加看重?cái)?shù)據(jù)自由流動以及由此帶來的經(jīng)濟(jì)效益,并在相關(guān)立法或政策上鼓勵數(shù)據(jù)流動?？梢?一國數(shù)據(jù)產(chǎn)業(yè)狀況對跨境數(shù)據(jù)流動政策的制定有著重大影響。

第三,法律制度。一國既有數(shù)據(jù)保護(hù)法律的健全程度及其對跨境數(shù)據(jù)流動的態(tài)度,是影響跨境數(shù)據(jù)流動政策制定的重要因素之一。首先,一國既有數(shù)據(jù)保護(hù)法律的健全程度對跨境數(shù)據(jù)流動政策的影響,主要體現(xiàn)在數(shù)據(jù)保護(hù)規(guī)則越健全,跨境數(shù)據(jù)流動政策相對較為明確和易于制定,而且跨境數(shù)據(jù)流動政策的確立,也會完善數(shù)據(jù)保護(hù)法律制度。其次,一國既有數(shù)據(jù)保護(hù)法律制度對跨境數(shù)據(jù)流動政策的影響主要體現(xiàn)在:后續(xù)制定的跨境數(shù)據(jù)流動政策,在一定程度上需承襲或延續(xù)既有數(shù)據(jù)保護(hù)法律制度的相關(guān)價值目標(biāo),保證相關(guān)制度的統(tǒng)一性和科學(xué)性。當(dāng)然,若社會技術(shù)水平和經(jīng)濟(jì)條件發(fā)生巨大變化時,可突破既有法律制度秉持的價值或目標(biāo)。如既有數(shù)據(jù)保護(hù)立法側(cè)重保證數(shù)據(jù)安全與個人隱私,那跨境數(shù)據(jù)流動政策考慮到數(shù)據(jù)安全、個人隱私、國家安全等價值取向,可能會限制跨境數(shù)據(jù)流動。不過,當(dāng)一國經(jīng)濟(jì)條件和信息技術(shù)水平具有足夠的優(yōu)勢時,為追求經(jīng)濟(jì)利益,可能在確保安全的基礎(chǔ)上鼓勵數(shù)據(jù)跨境流動。

第四,國際環(huán)境。在貿(mào)易數(shù)字化和數(shù)字全球化的大背景下,國家間的交流互通愈發(fā)頻繁,必然使數(shù)據(jù)跨境流動日益頻繁。因此,一國跨境數(shù)據(jù)流動的政策選擇必然要考慮域外國家的立法狀況,以及當(dāng)前國際社會的主流態(tài)度。一是需考察貿(mào)易往來國的跨境數(shù)據(jù)流動政策?？缇硵?shù)據(jù)流動的管控不僅在于保證本國的國家、企業(yè)、個人的數(shù)據(jù)安全等基本需求,還需保證數(shù)據(jù)的自由流動,充分挖掘數(shù)據(jù)的經(jīng)濟(jì)價值。若貿(mào)易往來國的數(shù)據(jù)保護(hù)立法及其司法實(shí)踐達(dá)不到本國的數(shù)據(jù)保護(hù)水平,則可選擇較為嚴(yán)苛的跨境數(shù)據(jù)流動政策保證本國數(shù)據(jù)安全。如有史上最嚴(yán)數(shù)據(jù)保護(hù)法之稱的歐盟《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtectionRegulation,GDPR)規(guī)定,只有數(shù)據(jù)接收國或國際組織的數(shù)據(jù)保護(hù)水平達(dá)到歐盟相關(guān)保護(hù)要求(充分保護(hù)水平)時才可轉(zhuǎn)移數(shù)據(jù)。二是需考察跨境數(shù)據(jù)流動的國際政策趨勢,避免與全球規(guī)則脫軌。盡管在“斯諾登事件”“Facebook事件”之后,數(shù)據(jù)安全和隱私保護(hù)逐漸成為各國關(guān)注的重點(diǎn),也是跨境數(shù)據(jù)流動政策的重要目標(biāo)。但在數(shù)字和貿(mào)易全球化背景下,為促進(jìn)全球經(jīng)濟(jì)的發(fā)展,國際社會提倡在保證數(shù)據(jù)安全和國家安全、尊重他國數(shù)據(jù)主權(quán)的前提下,促進(jìn)跨境數(shù)據(jù)流動。諸如WTO、G20和OECD等組織或機(jī)構(gòu)一直在推動跨境數(shù)據(jù)流動的全球性或區(qū)域性規(guī)則,致力于促進(jìn)全球數(shù)字經(jīng)濟(jì)發(fā)展?？梢哉f,盡管當(dāng)前的國際情勢確實(shí)較為復(fù)雜,但跨境數(shù)據(jù)流動的主流國際趨勢仍是在保證安全的前提下促進(jìn)數(shù)據(jù)自由流動,以更好地發(fā)展數(shù)字經(jīng)濟(jì)。因此,一國在制定跨境數(shù)據(jù)流動政策時,應(yīng)在保證本國利益的基礎(chǔ)上最大程度與國際接軌,共促數(shù)據(jù)自由流動;否則無異于閉關(guān)鎖國,錯失數(shù)字經(jīng)濟(jì)的機(jī)遇。

(三)策略選擇:五種規(guī)制模式的選擇

跨境數(shù)據(jù)流動與境內(nèi)數(shù)據(jù)流動相比,前者的跨國性與管轄權(quán)行使困難、經(jīng)濟(jì)性與跨境數(shù)據(jù)的可利用價值、數(shù)據(jù)流動與保護(hù)的沖突性、跨境數(shù)據(jù)流動的二元性與雙重立法價值的沖突[7]考究著跨境數(shù)據(jù)流動的治理之道,凸顯了“良好的數(shù)據(jù)保護(hù)(數(shù)據(jù)保護(hù))”“跨境數(shù)據(jù)自由流動(數(shù)據(jù)流動)”“數(shù)據(jù)保護(hù)自主權(quán)(數(shù)據(jù)主權(quán))”的“三難問題”[8]?？v觀各國跨境數(shù)據(jù)安全立法與治理實(shí)踐,為保護(hù)本國數(shù)據(jù)安全和數(shù)據(jù)產(chǎn)業(yè)發(fā)展,對數(shù)據(jù)跨境流動的模式可大致分為五種(8)數(shù)據(jù)保護(hù)規(guī)則總是以“原則+例外”的立法方式進(jìn)行設(shè)定,故五種跨境數(shù)據(jù)流動政策模式是在“原則”上的提取的,并不包含“例外”情形。。

模式一:以地理區(qū)域?yàn)榛鶞?zhǔn)的“數(shù)據(jù)本地化存儲模式”。本地化存儲(Data Localization)著重于確保本國數(shù)據(jù)的本地化留存,可在很大程度上減少數(shù)據(jù)的境外流失問題,是從本國數(shù)據(jù)主權(quán)、數(shù)據(jù)安全和個人隱私的價值中演化而來的,以俄羅斯和越南等為代表。俄羅斯的《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個人數(shù)據(jù)法》《俄羅斯聯(lián)邦大眾傳媒法》《俄羅斯聯(lián)邦安全局法》《俄羅斯聯(lián)邦外國投資法》等法律就數(shù)據(jù)本地化存儲原則作出規(guī)定,不僅要求數(shù)據(jù)控制者和處理者將俄羅斯公民的個人數(shù)據(jù)存儲在俄羅斯境內(nèi),還要求數(shù)據(jù)的處理行為和采用的數(shù)據(jù)庫位于俄羅斯境內(nèi),且必要時需履行相關(guān)信息告知和協(xié)助有關(guān)部門執(zhí)法的義務(wù)?？梢哉f,俄羅斯的立法規(guī)定十分嚴(yán)格,通過對企業(yè)施加法定義務(wù)實(shí)現(xiàn)了政府對數(shù)據(jù)存儲、跨境傳輸、處理等環(huán)節(jié)的全面控制,從而掌握了本國數(shù)據(jù)跨境流動的主動權(quán)[9]。不過,俄羅斯并非絕對禁止跨境數(shù)據(jù)流動,而是有條件地允許數(shù)據(jù)傳輸?shù)椒蠗l件的國家或地區(qū)。此外,在2019年生效的越南《網(wǎng)絡(luò)安全法》第四章第26條第3款規(guī)定,提供電信網(wǎng)、互聯(lián)網(wǎng)業(yè)務(wù)和其他網(wǎng)絡(luò)增值業(yè)務(wù)的國內(nèi)外企業(yè),應(yīng)當(dāng)將服務(wù)使用者關(guān)系數(shù)據(jù)和越南服務(wù)使用者產(chǎn)生的各類個人數(shù)據(jù)和相關(guān)數(shù)據(jù)存儲在越南境內(nèi)(9)《越南網(wǎng)絡(luò)安全法》第26條第3款規(guī)定:“在越南網(wǎng)絡(luò)空間提供電信網(wǎng)、互聯(lián)網(wǎng)業(yè)務(wù)和其他網(wǎng)絡(luò)增值服務(wù)的國內(nèi)外企業(yè),若有收集、開發(fā)、分析、處理個人通信數(shù)據(jù)、業(yè)務(wù)使用者關(guān)系數(shù)據(jù)和業(yè)務(wù)使用者在越南產(chǎn)生的數(shù)據(jù)的活動,要在政府規(guī)定的時間內(nèi)在越南儲存這些數(shù)據(jù)。本款規(guī)定的國內(nèi)外企業(yè)要在越南設(shè)立分支機(jī)構(gòu)或代表處。”。

模式二:以充分性原則為核心的“嚴(yán)格保護(hù)模式”。充分性原則是在考察數(shù)據(jù)接收國數(shù)據(jù)保護(hù)水平的基礎(chǔ)上,由數(shù)據(jù)保護(hù)當(dāng)局決定是否準(zhǔn)許數(shù)據(jù)流動的制度,以歐盟為代表。歐盟以保障人權(quán)的立場限制個人數(shù)據(jù)的跨境流動,并在GDPR第45、46條規(guī)定,只有認(rèn)定數(shù)據(jù)接收國或組織具有“充分保護(hù)”水平才可不經(jīng)特別授權(quán)轉(zhuǎn)移數(shù)據(jù)。具體應(yīng)審查接收者所在地/國的“法治、對人權(quán)與基本自由的尊重”“存在一個或多個有效運(yùn)作的獨(dú)立監(jiān)管機(jī)構(gòu),保證數(shù)據(jù)保護(hù)規(guī)則的實(shí)施”“已許下的國際性承諾,或者承諾愿意承擔(dān)有法律約束力的條約或法律文件所引起的其他責(zé)任,以及參加多邊或地區(qū)性的體系,特別是和數(shù)據(jù)保護(hù)相關(guān)的體系所引起的其他責(zé)任”等情況。這種“充分保護(hù)”水平的審查是一種周期性審查,至少每四年一次。不過并非只要數(shù)據(jù)接收國或組織符合“充分保護(hù)”水平即可任意轉(zhuǎn)移數(shù)據(jù),對13～16周歲兒童的個人數(shù)據(jù)等特殊數(shù)據(jù)還需滿足其他條件(10)參見GDPR第8條信息社會服務(wù)中適用兒童同意的條件。;且若成員國有其他規(guī)定,還應(yīng)滿足規(guī)定。

模式三:以問責(zé)原則為核心的“寬松保護(hù)模式”。以問責(zé)原則為核心是通過制定跨境數(shù)據(jù)傳輸?shù)男袨闇?zhǔn)則來規(guī)范跨境數(shù)據(jù)傳輸行為,在發(fā)生數(shù)據(jù)安全事件后對相關(guān)數(shù)據(jù)控制者或處理者進(jìn)行追責(zé),以美國為代表。美國之所以會建立事后問責(zé)制的寬松式保護(hù)模式:一方面,與歐盟將個人數(shù)據(jù)視為人權(quán)對象不同,美國歷來將個人數(shù)據(jù)視為隱私權(quán)保護(hù)對象,對數(shù)據(jù)流動的限制力度較小;另一方面,美國依靠信息和數(shù)字技術(shù)優(yōu)勢掠奪境外數(shù)字產(chǎn)業(yè)市場份額時,需進(jìn)行大量數(shù)據(jù)跨境流動,為減少交易成本會采取較為寬松的數(shù)據(jù)管制策略。因此,美國以在線隱私聯(lián)盟(Online Privacy Alliances,OPA)公布的建議性指引以及由美國兩大隱私認(rèn)證企業(yè)TRUSTe和BBB Online制定的具有強(qiáng)制約束力的兩個隱私保護(hù)計(jì)劃(Privacy Seal Program)作為數(shù)據(jù)控制者和數(shù)據(jù)處理者的行為準(zhǔn)則,在出現(xiàn)數(shù)據(jù)安全事件后,由相關(guān)部門向責(zé)任主體追責(zé)[10]。這種寬松保護(hù)模式保證了數(shù)據(jù)的快速高效流動,保障了美國企業(yè)的商業(yè)利益,但對數(shù)據(jù)主體的保護(hù)力度不高。

模式四:以利益均衡為導(dǎo)向的“折衷保護(hù)模式”?？缇硵?shù)據(jù)流動的治理面臨著“三難問題”,不論是寬松、嚴(yán)格的保護(hù)模式,還是數(shù)據(jù)本地化存儲模式,均未較好解決“三難問題”。以澳大利亞為代表的折衷主義模式,較好兼顧了數(shù)據(jù)保護(hù)、數(shù)據(jù)自由流動和數(shù)據(jù)主權(quán)的對立與沖突。澳大利亞的跨境數(shù)據(jù)流動治理框架圍繞著數(shù)據(jù)分類分級、保障數(shù)據(jù)安全的目標(biāo),對政府?dāng)?shù)據(jù)、健康數(shù)據(jù)和隱私數(shù)據(jù)的跨境流動設(shè)置了不同標(biāo)準(zhǔn),采取強(qiáng)制性規(guī)定與推薦性指南相結(jié)合的管理方式,兼顧了數(shù)據(jù)安全與自由流動的平衡,并與國際實(shí)踐相協(xié)調(diào)[11]。其中,對有損政府利益或第三方利益的政府?dāng)?shù)據(jù)添加保護(hù)性標(biāo)識,并建立了政府?dāng)?shù)據(jù)外包風(fēng)險(xiǎn)評估制度,除非獲得授權(quán)否則不可出境。對個人健康數(shù)據(jù),依《個人控制電子健康記錄法案》要求,原則上必須由本地的數(shù)據(jù)中心來存儲和處理個人電子健康檔案。對隱私數(shù)據(jù)進(jìn)行區(qū)別對待,并不禁止一般個人數(shù)據(jù)的跨境流動,但應(yīng)遵循澳大利亞法律。此外,澳大利亞還考慮到域外制度對本國居民的約束力,并不絕對將依據(jù)域外數(shù)據(jù)安全法提出的要求視為無效,保證了跨境數(shù)據(jù)流動的靈活性。

模式五:以數(shù)據(jù)自由流動為首要目標(biāo)的“低保護(hù)模式”。此種“低保護(hù)模式”以數(shù)據(jù)自由流動為首要目標(biāo),忽略了數(shù)據(jù)安全和數(shù)據(jù)經(jīng)濟(jì)效益。不過,在全球數(shù)據(jù)保護(hù)實(shí)踐中,出于對國家安全和公民合法權(quán)益的保護(hù),國家或主權(quán)地區(qū)或多或少都會以立法形式限制本國境內(nèi)數(shù)據(jù)的恣意外流。將該模式列出旨在將其作為參考系,用以比較前四種模式的作用效果。

上述五種跨境數(shù)據(jù)流動政策由嚴(yán)向?qū)捯来?模式一→模式二→模式四→模式三→模式五。相較于重點(diǎn)關(guān)注個人隱私和數(shù)據(jù)安全的模式一,后四種模式更加側(cè)重?cái)?shù)據(jù)的自由流動。其區(qū)別主要在于,模式一往往嚴(yán)格限制跨境數(shù)據(jù)流動,政府對所存儲數(shù)據(jù)具有較大的權(quán)限;而模式二、三和四則在安全的基礎(chǔ)上將跨境數(shù)據(jù)流動作為治理目標(biāo),對數(shù)據(jù)的監(jiān)管更多依賴于政府監(jiān)督下的企業(yè)自我管理,政府獲取數(shù)據(jù)時往往受到嚴(yán)格限制或監(jiān)督[12];模式五則是單純地促進(jìn)數(shù)據(jù)流動,對數(shù)據(jù)安全和數(shù)據(jù)主體利益的保護(hù)略顯蒼白。此外,從廣義角度看,可將“數(shù)據(jù)本地化存儲模式”歸于“嚴(yán)格保護(hù)”模式之列,但因二者對跨境數(shù)據(jù)傳輸?shù)南拗瞥潭扰c效力不同,本文將兩種模式并列。再者,“數(shù)據(jù)本地化存儲模式”與“數(shù)據(jù)本地化存儲制度”不同。前者指向的是諸如俄羅斯、越南等對跨境數(shù)據(jù)流動秉持嚴(yán)格禁止流動的態(tài)度而采取的策略,是一種原則規(guī)定;后者更多是指一國在跨境數(shù)據(jù)流動政策中對某些類別的數(shù)據(jù)要求本地化存儲,是一種例外規(guī)定。因此,“數(shù)據(jù)本地化存儲制度”并不必然與其他模式相斥,可與其他模式并存于一國數(shù)據(jù)保護(hù)法律中。如當(dāng)前中國跨境數(shù)據(jù)流動的政策即是如此。從現(xiàn)有法律看,中國并不禁止通過“數(shù)據(jù)安全影響評估”的數(shù)據(jù)跨境流動,但《網(wǎng)絡(luò)安全法》第37條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在中國境內(nèi)存儲。

從跨境數(shù)據(jù)流動治理的“三難問題”可知,跨境數(shù)據(jù)流動政策或法律需平衡“國家主權(quán)”“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)流動”三項(xiàng)價值。在上述五種跨境數(shù)據(jù)流動政策中,最為嚴(yán)格的模式一更為注重?cái)?shù)據(jù)安全與數(shù)據(jù)主權(quán),在很大程度上限制了跨境數(shù)據(jù)流動;模式五最大程度促進(jìn)了數(shù)據(jù)自由流動,但對數(shù)據(jù)主權(quán)和數(shù)據(jù)安全關(guān)注欠缺;至于模式二、三和四均有兼顧“國家主權(quán)”“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)流動”三項(xiàng)目標(biāo),只是側(cè)重程度有所不同,如表1所示。

表1 五種跨境數(shù)據(jù)流動策略的價值趨向

將上述三種價值趨向分解可得跨境數(shù)據(jù)流動所涉的具體利益類型,就可知曉各策略的收益。第一,“數(shù)據(jù)主權(quán)”可分為“數(shù)據(jù)控制權(quán)”和“數(shù)據(jù)管理權(quán)”[13];第二,“數(shù)據(jù)保護(hù)”可分為“個人數(shù)據(jù)保護(hù)”“企業(yè)數(shù)據(jù)保護(hù)”和“國家數(shù)據(jù)保護(hù)”;第三,“數(shù)據(jù)流動”是數(shù)字經(jīng)濟(jì)和國際貿(mào)易的重要前提,可分為“數(shù)字產(chǎn)業(yè)”和“跨境貿(mào)易”。上述各利益又可歸為“安全收益”和“經(jīng)濟(jì)收益”兩大類,即“數(shù)據(jù)主權(quán)”“數(shù)據(jù)保護(hù)”屬于“安全收益”,“數(shù)據(jù)流動”指向“經(jīng)濟(jì)收益”。

至于跨境數(shù)據(jù)流動治理策略的成本,主要是采取某種治理模式的制度建設(shè)成本和執(zhí)行成本。這些成本隨著治理模式趨嚴(yán)而逐漸增加,如“本地化存儲”模式的制度建設(shè)成本和執(zhí)行成本明顯高于“低保護(hù)”模式。綜上,跨境數(shù)據(jù)流動策略的收益和支出如圖1所示。

圖1 跨境數(shù)據(jù)流動策略的收益和支出

影響每種策略收益的關(guān)鍵因素有三種:信息技術(shù)水平、產(chǎn)業(yè)規(guī)模和政策的寬嚴(yán)程度。就安全收益而言,跨境數(shù)據(jù)流動政策越嚴(yán),安全收益越大;反之,安全收益越小。對經(jīng)濟(jì)收益而言,貿(mào)易收益直接與政策寬嚴(yán)程度相關(guān),政策越寬松,貿(mào)易越發(fā)達(dá);政策越嚴(yán)格,貿(mào)易成本越高。如俄羅斯以數(shù)據(jù)主權(quán)優(yōu)位的本地化存儲制度,不僅不能保證數(shù)據(jù)主權(quán)優(yōu)先,反而只是狹隘地閉關(guān)鎖國,是一種以喪失發(fā)展可能的極端化數(shù)據(jù)主權(quán)保護(hù)制度。甚至歐盟委員會也認(rèn)為俄羅斯的做法實(shí)質(zhì)上是不當(dāng)加設(shè)貿(mào)易壁壘[14]。這是因?yàn)?一國出于保護(hù)數(shù)據(jù)安全和數(shù)據(jù)主權(quán)的目的,嚴(yán)格禁止數(shù)據(jù)離境會導(dǎo)致他國企業(yè)的合規(guī)成本激增,且因數(shù)據(jù)流動受阻致使跨境貿(mào)易受到影響;甚至將阻礙本國企業(yè)走向國際市場,長此以往將導(dǎo)致該國疏離全球數(shù)字經(jīng)濟(jì)網(wǎng)格[15]。

至于產(chǎn)業(yè)收益,則需根據(jù)跨境數(shù)據(jù)流動政策的寬嚴(yán)程度、信息技術(shù)及數(shù)據(jù)產(chǎn)業(yè)規(guī)模差異具體分析。第一種情形,當(dāng)信息技術(shù)水平差異較小或基本無差異時,較為嚴(yán)格的跨境數(shù)據(jù)流動政策有助于數(shù)字產(chǎn)業(yè)的發(fā)展;但過于寬松的政策,會導(dǎo)致境外企業(yè)搶占國內(nèi)市場,反而會限制本國數(shù)字產(chǎn)業(yè)的發(fā)展,尤其是對數(shù)字產(chǎn)業(yè)規(guī)模較小的國家或地區(qū)影響更甚。第二種情形,當(dāng)信息技術(shù)水平差異較大時,若采取寬松保護(hù)的跨境數(shù)據(jù)流動政策,信息技術(shù)落后的或數(shù)字經(jīng)濟(jì)規(guī)模較小的國家或地區(qū)因技術(shù)劣勢,本國產(chǎn)業(yè)經(jīng)濟(jì)市場會被域外企業(yè)占據(jù),不利于本國數(shù)字產(chǎn)業(yè)的發(fā)展,采取更為嚴(yán)格的保護(hù)政策,能夠較好解決數(shù)據(jù)安全與數(shù)字產(chǎn)業(yè)問題。與此相反,信息技術(shù)先進(jìn)的國家/地區(qū)選取寬松的跨境數(shù)據(jù)流動政策,更有利于該國企業(yè)獲得全球經(jīng)濟(jì)市場份額。

(四)收益考察:安全收益與經(jīng)濟(jì)收益

博弈結(jié)束時,博弈主體的得失之和即為博弈收益?？缇硵?shù)據(jù)流動政策博弈收益主要有安全收益和經(jīng)濟(jì)收益;其成本主要是制度建設(shè)成本和規(guī)則執(zhí)行成本。但跨境數(shù)據(jù)流動治理的安全收益和經(jīng)濟(jì)收益的重要性遠(yuǎn)高于制度建設(shè)成本和規(guī)則執(zhí)行成本,因此博弈收益主要是所采取的博弈策略在安全收益和經(jīng)濟(jì)收益上的表現(xiàn)。如前所述,安全收益主要是數(shù)據(jù)主權(quán)和數(shù)據(jù)保護(hù)兩方面,經(jīng)濟(jì)收益則是產(chǎn)業(yè)利益和貿(mào)易收益。不同跨境數(shù)據(jù)流動治理模式的收益不同。如數(shù)據(jù)本地化存儲模式雖然對數(shù)據(jù)流動限制較多,但能夠使本土數(shù)字產(chǎn)業(yè)的勃興;其他模式雖然會在一定程度上導(dǎo)致本土數(shù)字產(chǎn)業(yè)受到境外企業(yè)的擠占,但得到的貿(mào)易收益比本地化存儲模式更多。因各國國情有別,出于對安全價值和經(jīng)濟(jì)價值的側(cè)重差異,所采取的政策也不盡相同,具體收益則需結(jié)合國情分析。但總的來說,跨境數(shù)據(jù)流動政策博弈的收益有三種:一是重安全收益,輕經(jīng)濟(jì)收益;二是重經(jīng)濟(jì)收益,輕安全收益(11)需說明的是,本文旨在討論跨境數(shù)據(jù)流動政策的博弈情況,此處所列“重經(jīng)濟(jì)收益,輕安全收益”,并不代表該國采取了諸如“寬松保護(hù)模式”的跨境數(shù)據(jù)流動政策就放棄了數(shù)據(jù)主權(quán)和數(shù)據(jù)安全,依然可以在其他法律中強(qiáng)調(diào)數(shù)據(jù)安全和數(shù)據(jù)主權(quán)。例如美國采取的“寬松保護(hù)模式”,不能認(rèn)為美國不重視數(shù)據(jù)安全和數(shù)據(jù)主權(quán),美國對特殊領(lǐng)域、特殊種類數(shù)據(jù)進(jìn)行了例外規(guī)定,保證了數(shù)據(jù)安全和數(shù)據(jù)主權(quán)。;三是較好平衡安全收益和經(jīng)濟(jì)收益。理想狀態(tài)是所采政策較好平衡數(shù)據(jù)主權(quán)、數(shù)據(jù)安全和數(shù)據(jù)流動三項(xiàng)價值:在保證本國數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的同時,促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。

此外,跨境數(shù)據(jù)流動的結(jié)果是本國數(shù)據(jù)流向域外,因利益偏好、法律制度、技術(shù)水平等差異,數(shù)據(jù)安全隱患無法完全消除。甚至某些國家會利用本國企業(yè)監(jiān)控或監(jiān)聽服務(wù)的域外用戶,嚴(yán)重侵害他國公民、企業(yè)的合法權(quán)益,甚至是國家安全。2013年的“棱鏡門事件”就是典型。因此,需正確看待跨境數(shù)據(jù)流動帶來的安全收益及潛在風(fēng)險(xiǎn),通過減少數(shù)據(jù)安全風(fēng)險(xiǎn)以促進(jìn)數(shù)據(jù)流動。

跨境數(shù)據(jù)流動的規(guī)制必須結(jié)合具體的國情予以分析,脫離國情空泛地比較各種策略的收益略顯抽象。因此,具體的收益將在后文中借助中國與主要的貿(mào)易往來國的博弈進(jìn)行闡述。不過,總體來說,跨境數(shù)據(jù)流動政策博弈都為博弈主體帶去了可觀的安全收益和經(jīng)濟(jì)收益。就安全收益而言,安全收益(數(shù)據(jù)主權(quán)和數(shù)據(jù)保護(hù))是國家安全的重要一環(huán),也是在數(shù)字時代被追求的對象,必然是博弈主體所重點(diǎn)關(guān)注的收益。而且,數(shù)據(jù)主權(quán)和數(shù)據(jù)安全相輔相承,數(shù)據(jù)主權(quán)得到保證,數(shù)據(jù)安全也就有保障。就經(jīng)濟(jì)收益而言,不論是數(shù)據(jù)本地化模式下的本土數(shù)字產(chǎn)業(yè)發(fā)展,還是其他模式下的全球物質(zhì)、人才、技術(shù)和資金流動,均使各國在不同程度上享受了數(shù)字經(jīng)濟(jì)的紅利,為彼此帶來了巨大的經(jīng)濟(jì)效益。

(五)博弈均衡:收益最大的策略組合

如前所述,跨境數(shù)據(jù)流動涉及三項(xiàng)價值。從不同角度看,跨境數(shù)據(jù)流動政策側(cè)重的價值不同。

從國家角度看,數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的重要性遠(yuǎn)高于數(shù)據(jù)流動所帶來的經(jīng)濟(jì)效益。在制定政策時,更應(yīng)注重政策的安全收益。即一國需在其掌握的博弈信息基礎(chǔ)上,考慮每種跨境數(shù)據(jù)流動治理模式的收益情況,最終選擇一種可最大程度保護(hù)本國數(shù)據(jù)主權(quán)和數(shù)據(jù)安全,又不會錯失數(shù)字經(jīng)濟(jì)機(jī)遇,同時也不過分限制他國利益的政策。

從全球視角看,統(tǒng)一數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和跨境數(shù)據(jù)流動政策是促進(jìn)數(shù)據(jù)自由流動、推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的最好方式。但每個國家或地區(qū)的信息技術(shù)水平、數(shù)字產(chǎn)業(yè)規(guī)模、數(shù)據(jù)保護(hù)法律狀況存在差異,致使各自采取的跨境數(shù)據(jù)流動政策不盡相同。為共促全球數(shù)字經(jīng)濟(jì)發(fā)展,各國制定的跨境數(shù)據(jù)流動政策不應(yīng)單純?yōu)榱吮緡娴淖畲蠡ァ案盍选比驍?shù)字經(jīng)濟(jì),而是要在保證本國利益的基礎(chǔ)上,構(gòu)建完善的國際跨境數(shù)據(jù)流動監(jiān)管機(jī)制。畢竟只有全球跨境數(shù)據(jù)流動規(guī)則趨同,全球數(shù)據(jù)健康有序流動才有可能實(shí)現(xiàn),各國也才能更好地融入全球數(shù)字經(jīng)濟(jì)格局。

因此,各國應(yīng)綜合考慮各治理模式的利弊,選擇一種既有利于本國安全和數(shù)字經(jīng)濟(jì)發(fā)展,又可促進(jìn)數(shù)據(jù)流動的模式。此時,各自的收益最大,達(dá)到了均衡狀態(tài)。

三、中國與主要貿(mào)易國的政策選擇及治理方案

數(shù)據(jù)被稱為新的財(cái)富形式,對數(shù)字經(jīng)濟(jì)的發(fā)展具有重要意義。作為人口大國的中國,必然也是數(shù)據(jù)大國。在國際交往日益頻繁的當(dāng)下,跨境數(shù)據(jù)流動需求也與日俱增。但當(dāng)前中國數(shù)據(jù)保護(hù)法制尚處于建設(shè)期,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《信息安全技術(shù),個人信息安全規(guī)范》等法律法規(guī)和國家標(biāo)準(zhǔn)已出臺;《個人信息出境安全評估辦法》《數(shù)據(jù)安全管理辦法》等文件還在廣泛征求意見。而且,與數(shù)據(jù)保護(hù)或跨境數(shù)據(jù)流動相關(guān)的規(guī)定,散見于各個部門法中,尚未形成完備的數(shù)據(jù)保護(hù)法律制度。礙于法律制度供給不足的現(xiàn)狀,中國數(shù)據(jù)安全管理呈現(xiàn)出“政府監(jiān)管與大型科技公司強(qiáng)大數(shù)據(jù)控制能力相結(jié)合”的模式,甚至在一定程度上倚重科技公司的自我約束,從而被歐盟評價為“未對個人提供充足保護(hù)”。在數(shù)字經(jīng)濟(jì)飛速發(fā)展的當(dāng)下,中國要想抓住數(shù)字經(jīng)濟(jì)發(fā)展的機(jī)遇,必須立足于當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展現(xiàn)狀和產(chǎn)業(yè)能力,在確保安全的情況下促進(jìn)數(shù)據(jù)自由流動。

(一)中國與主要貿(mào)易國的跨境數(shù)據(jù)流動政策博弈

全球各國跨境數(shù)據(jù)流動政策博弈呈現(xiàn)“網(wǎng)狀交叉博弈”狀態(tài)。囿于篇幅,僅分析與中國貿(mào)易往來量較多的國家或地區(qū)間的博弈情形。據(jù)統(tǒng)計(jì),2019年中國對歐盟進(jìn)出口4.86萬億元;對東盟進(jìn)出口4.43萬億元;對美國進(jìn)出口3.73萬億元;對日本進(jìn)出口2.17萬億元(12)筆者在中華人民共和國海關(guān)總署網(wǎng)站(統(tǒng)計(jì)快訊)下設(shè)統(tǒng)計(jì)數(shù)據(jù)“2019年進(jìn)出口商品主要國別(地區(qū))總值表”中收集數(shù)據(jù)整理所得。。因東盟是傳統(tǒng)的地區(qū)聯(lián)盟,無法制定適用于東盟地區(qū)的法律文件。因此,僅就歐盟、美國和日本同中國跨境數(shù)據(jù)流動治理博弈情況進(jìn)行分析。

第一,四國或地區(qū)博弈信息分為信息技術(shù)、數(shù)字產(chǎn)業(yè)規(guī)模、數(shù)據(jù)保護(hù)法律狀況和國際大環(huán)境四個方面。因國際環(huán)境相同(在安全的前提下,鼓勵數(shù)據(jù)自由流動),故著重分析前三個方面。

一是信息技術(shù)。根據(jù)世界經(jīng)濟(jì)組織發(fā)布的《2019年全球信息技術(shù)報(bào)告》,中國的網(wǎng)絡(luò)就緒指數(shù)得分為57.63,全球排名第41;美國為80.32,全球排名第8;日本為76.17,全球排名第12。因歐盟地區(qū)國家眾多,采取平均分值和中位數(shù)分值及其排名評價歐盟地區(qū)網(wǎng)絡(luò)就緒指數(shù),其平均分為67.87,全球排名第26,中位數(shù)分值為66.89,全球排名第27,具體子指數(shù)的排名情況如表2所示。此外,英國的網(wǎng)絡(luò)就緒指數(shù)為77.73,全球排名第10(13)英國的網(wǎng)絡(luò)就緒指數(shù)為77.73,全球排名第10。其中,技術(shù)子指數(shù)全球排名為第7位;人員子指數(shù)為第14位;治理子指數(shù)為第5位;影響子指數(shù)為第13位。?？梢?美國、日本和歐盟地區(qū)的信息技術(shù)水平總體上高于中國。

表2 美、歐、日、中四國/地區(qū)的網(wǎng)絡(luò)就緒指數(shù)(14)根據(jù)世界經(jīng)濟(jì)組織發(fā)布的《2019年全球信息技術(shù)報(bào)告》,歐盟27個國家網(wǎng)絡(luò)就緒指數(shù)排名依次為瑞典(1)、荷蘭(3)、丹麥(6)、芬蘭(7)、德國(9)、盧森堡(11)、奧地利(15)、法國(18)、愛爾蘭(19)、比利時(20)、愛沙尼亞(23)、西班牙(25)、馬耳他(26)、斯洛文尼亞(27)、葡萄牙(28)、捷克(30)、立陶宛(31)、意大利(34)、斯洛伐克(35)、塞普洛斯(36)、波蘭(37)、匈牙利(38)、拉脫維亞(39)、希臘(43)、克羅地亞(44)、羅馬尼亞(47)和保加利亞(49)。其中,27國的得分為67.87,位于全球第26位;按中位數(shù)排名是第32位(斯洛文尼亞)。可見,歐洲信息技術(shù)整體水平總體上高于中國。

二是數(shù)字產(chǎn)業(yè)規(guī)模。根據(jù)李德電子研究所(Reed Electronics Research)發(fā)布的“Yearbook of World Electronics Data 2020”(15)Reed Electronics Research Yearbook of world electronics data[R/OL].(2020-08-20)[2020-12-04].http:∥www.rer.co.uk/index.php?route=product/category&path=20_59.,在組件(components)、控制和儀表(control and instrumentation)、計(jì)算(computing)、消費(fèi)者規(guī)模(consumer)、醫(yī)療和工業(yè)(medical and industrial)、辦公設(shè)施(office equipment)、無線電通信(radio communications)、電信業(yè)務(wù)(telecommunications)等領(lǐng)域,四國/地區(qū)數(shù)字產(chǎn)業(yè)規(guī)模如表3所示。由此可見,在數(shù)字產(chǎn)業(yè)規(guī)模方面,中國規(guī)模最大,美國次之,歐盟第三,日本第四。

表3 美、歐、日、中四國/地區(qū)的數(shù)字產(chǎn)業(yè)規(guī)模 (單位:百萬美元)

三是數(shù)據(jù)保護(hù)法律狀況。(1)美國采取分散立法模式將數(shù)據(jù)納入隱私保護(hù)范疇,以問責(zé)制為原則鼓勵數(shù)據(jù)流動。一方面,“美國將個人數(shù)據(jù)保護(hù)納入隱私保護(hù)范疇,并采用分散立法模式保護(hù)個人數(shù)據(jù)”[16]77,以在線隱私聯(lián)盟公布的建議性指引以及由美國兩大隱私認(rèn)證企業(yè)制定的具有強(qiáng)制約束力的兩個隱私保護(hù)計(jì)劃作為數(shù)據(jù)控制者和數(shù)據(jù)處理者的行為準(zhǔn)則,減少數(shù)據(jù)流動的障礙。同時,以受控非密信息清單(Controlled Unclassified Information,CUI)和商業(yè)出口管制制度對技術(shù)數(shù)據(jù)等特殊數(shù)據(jù)進(jìn)行嚴(yán)格管制。另一方面,政府基于《自由法案》和《澄清域外合法使用數(shù)據(jù)法》(CLOUDAct)可在較大權(quán)限內(nèi)獲取數(shù)據(jù)。(2)歐盟將個人數(shù)據(jù)保護(hù)視為對基本人權(quán)的保障,以歐洲地理邊界為基準(zhǔn),借助數(shù)據(jù)接收國的法治情況等因素判斷其是否達(dá)到“充分保護(hù)”水平,從嚴(yán)把控個人數(shù)據(jù)的跨境流動。(3)作為個人信息保護(hù)體系核心的《日本個人信息保護(hù)法》,在形式上迎合了歐盟《個人數(shù)據(jù)保護(hù)指令》的要求,但實(shí)質(zhì)上吸收了美國個人信息保護(hù)的特點(diǎn)。同時,又堅(jiān)持了自己原有的一些立法理念,確立了以“數(shù)據(jù)主體同意”為核心的跨境數(shù)據(jù)流動規(guī)制模式(第23條)。(4)中國雖未建立體系完備的數(shù)據(jù)保護(hù)法律制度,但業(yè)已實(shí)施的《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等對跨境數(shù)據(jù)流動作出了原則性的規(guī)定,且與跨境數(shù)據(jù)流動相關(guān)的法律尚處征求意見階段。從已經(jīng)實(shí)施和正在征求意見的法律條文可知,中國對個人信息和重要數(shù)據(jù)采取“安全評估制度”,對可能影響國家安全、損害公共利益,或難以有效保障個人信息安全的數(shù)據(jù),禁止出境(16)《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》第11條。。

第二,四國/地區(qū)的策略選擇。由上可知,四國/地區(qū)在技術(shù)、產(chǎn)業(yè)和法律方面存在不同的差異。具體而言,信息技術(shù)水平強(qiáng)弱排序是美國→日本→歐盟→中國;產(chǎn)業(yè)規(guī)模大小排序是中國→美國→歐盟→日本;數(shù)據(jù)相關(guān)法律制度健全程度排序是歐盟→美國→日本→中國。因此,美國、歐盟、日本和中國在“數(shù)據(jù)本地化存儲(模式一)”“嚴(yán)格保護(hù)(模式二)”“寬松保護(hù)(模式三)”“折衷保護(hù)(模式四)”和“低保護(hù)(模式五)”五種跨境數(shù)據(jù)流動博弈策略上側(cè)重不同?？紤]到策略選擇較多,為了更直觀比較每一策略的收益與支出情況,可為每一收益或支出進(jìn)行賦值(0～8)(17)為便于觀察和計(jì)算,以“0～8”進(jìn)行賦值。其中,在收益和凈收益兩類中,數(shù)字越大表明該項(xiàng)得分越高;在支出類,數(shù)值越大表明跨境數(shù)據(jù)流動的規(guī)制成本越高。比如,就“安全收益”中的“數(shù)據(jù)安全”子收益而言,因其與跨境數(shù)據(jù)流動政策模式嚴(yán)格程度呈正相關(guān),政策越嚴(yán)收益越大,因此得分因政策模式不同而有異:模式一→模式二→模式四→模式三→模式五。此外,考慮到數(shù)據(jù)安全與信息技術(shù)水平和法律健全程度相關(guān),因此,四個主體在數(shù)據(jù)安全項(xiàng)下的得分會有一定不同,美國得分最高,其次是歐盟,最后是中國和日本。據(jù)此邏輯,為各項(xiàng)收益賦值,得到表4結(jié)果。,得到表4結(jié)果。

表4 中國、美國、日本和歐盟跨境數(shù)據(jù)流動策略的收益和支出矩陣

美國信息技術(shù)最先進(jìn),數(shù)字產(chǎn)業(yè)規(guī)模小于中國卻大于日本和歐盟,但數(shù)據(jù)保護(hù)力度次于歐盟和日本,因此對美國來說,采取“寬松保護(hù)模式”能夠以更低成本的促進(jìn)數(shù)據(jù)流動,挖掘數(shù)據(jù)的經(jīng)濟(jì)價值。歐盟在法律制度方面具有巨大的優(yōu)勢,信息技術(shù)強(qiáng)于中國但弱于美日兩國,產(chǎn)業(yè)規(guī)模大于日本但小于美中兩國,再加上歐盟自二戰(zhàn)后就更重視人權(quán)保護(hù),因此歐盟宜選擇“嚴(yán)格保護(hù)模式”。日本雖在技術(shù)上較中歐具有相對優(yōu)勢,法律制度雖比中國健全但不足歐美,且在產(chǎn)業(yè)規(guī)模和貿(mào)易上居末,結(jié)合日本數(shù)據(jù)保護(hù)的特點(diǎn),選擇“折衷保護(hù)模式”更有助于經(jīng)濟(jì)發(fā)展。中國雖在產(chǎn)業(yè)規(guī)模和貿(mào)易能力上具有較大優(yōu)勢,但在法律制度和信息技術(shù)水平上存在著巨大的劣勢,為保證數(shù)據(jù)安全和抓住數(shù)字經(jīng)濟(jì)的機(jī)遇,可選擇“嚴(yán)格保護(hù)模式”。綜上,美國選擇“寬松保護(hù)模式”,中國和歐盟采取“嚴(yán)格保護(hù)模式”,日本采取“折衷保護(hù)模式”的跨境數(shù)據(jù)流動政策更能實(shí)現(xiàn)利益最大化。

(二)跨境數(shù)據(jù)流動過程中數(shù)據(jù)安全風(fēng)險(xiǎn)及其治理策略

前已述及,跨境數(shù)據(jù)流動策略選擇雖為中國、美國、日本和歐盟帶來了安全收益和經(jīng)濟(jì)收益,但數(shù)據(jù)出境也存在安全風(fēng)險(xiǎn)。離境數(shù)據(jù)的安全風(fēng)險(xiǎn)將反作用于他國跨境數(shù)據(jù)流動政策的寬嚴(yán)程度:風(fēng)險(xiǎn)增高,政策趨嚴(yán)。因此,數(shù)據(jù)安全風(fēng)險(xiǎn)的有效防控是各國促進(jìn)跨境數(shù)據(jù)流動的重要舉措,而如何降低數(shù)據(jù)安全風(fēng)險(xiǎn)成為各國關(guān)注的重點(diǎn)話題。

安全風(fēng)險(xiǎn)越低,跨境數(shù)據(jù)流動越自由,安全收益和經(jīng)濟(jì)收益越大(博弈收益)。在博弈論框架中,已知博弈主體、博弈收益和博弈信息(信息技術(shù)與數(shù)據(jù)安全相關(guān)法律情況),探求博弈主體的數(shù)據(jù)安全風(fēng)險(xiǎn)防控治理策略。在跨境數(shù)據(jù)流動安全風(fēng)險(xiǎn)防控中,各國的博弈策略有兩個層面:一是各國間的措施,二是本國的舉措。

第一,中國與美國、日本、歐盟之間的數(shù)據(jù)安全風(fēng)險(xiǎn)防控策略有兩種:一是合作;二是不合作。博弈收益分為數(shù)據(jù)安全收益和經(jīng)濟(jì)收益(貿(mào)易收益)。其中,安全收益與數(shù)據(jù)安全風(fēng)險(xiǎn)呈反比關(guān)系,安全風(fēng)險(xiǎn)越低,安全收益越高;反之,安全收益越低。貿(mào)易收益與數(shù)據(jù)安全風(fēng)險(xiǎn)緊密相關(guān),數(shù)據(jù)安全風(fēng)險(xiǎn)越低,貿(mào)易成本越低,收益越高;反之,貿(mào)易收益越低。各國合作可降低彼此間的數(shù)據(jù)安全風(fēng)險(xiǎn),促進(jìn)數(shù)據(jù)自由流動;不合作將導(dǎo)致離境數(shù)據(jù)安全風(fēng)險(xiǎn)偏高,會使得跨境數(shù)據(jù)流動政策趨嚴(yán),不利于數(shù)據(jù)自由流動。為直觀比較各國的不同策略,通過賦值(0～3)得到表5結(jié)果。

由表5可知,中國與美日歐在數(shù)據(jù)安全風(fēng)險(xiǎn)治理的策略選擇上,合作的收益遠(yuǎn)大于不合作的收益,此時達(dá)到博弈均衡。因此,當(dāng)美國、歐盟和日本分別采取合作的方式降低數(shù)據(jù)安全隱患,中國也應(yīng)以合作的方式實(shí)現(xiàn)共贏。

表5 中美歐日的數(shù)據(jù)安全風(fēng)險(xiǎn)治理策略

第二,本國數(shù)據(jù)安全風(fēng)險(xiǎn)防控策略。美國、日本和歐盟雖沒有明確的法律就數(shù)據(jù)出境的分類分級管理作出規(guī)定,但在國家產(chǎn)品、技術(shù)出口及部分行業(yè)立法中有相應(yīng)限制。如美國將數(shù)據(jù)分為一般個人數(shù)據(jù)、商業(yè)和技術(shù)類數(shù)據(jù)、政府?dāng)?shù)據(jù),分別以“問責(zé)制”模式、“受控非密信息清單制度”(2010年11月4日頒布第13556號行政命令確立)和“商業(yè)出口管制制度”(由《出口管制條例》《美國國際軍火交易條例》《出口管制改革法案》等法律構(gòu)成)管控。歐盟和日本雖然沒有美國那般明確的制度,但在效仿美國的做法。中國雖然也有數(shù)據(jù)分類分級實(shí)踐,如《證券期貨業(yè)數(shù)據(jù)分類分級指引》《工業(yè)數(shù)據(jù)分類分級指南(試行)》以及貴州省出臺的《政府?dāng)?shù)據(jù)分類分級指南》,但力度遠(yuǎn)遜于美國?；诓┺姆治?中國應(yīng)在后續(xù)的跨境數(shù)據(jù)流動實(shí)踐中進(jìn)一步強(qiáng)化數(shù)據(jù)分類分級管理。

數(shù)據(jù)分類分級作為數(shù)據(jù)安全管理工作的重要手段,不僅對劃定可用數(shù)據(jù)的范圍和明確數(shù)據(jù)使用方式具有重要作用,也對根據(jù)數(shù)據(jù)不同類別和級別來明確數(shù)據(jù)管理和共享的權(quán)利與義務(wù)有重要意義。同時,在數(shù)據(jù)分類分級的基礎(chǔ)上,制定嚴(yán)格程度不同的管理策略,能在很大程度上預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)。通常,數(shù)據(jù)分類分級遵循以下步驟:第一,按照一定的原則和方法,按照數(shù)據(jù)的屬性和特征將其區(qū)分、歸類,并明確數(shù)據(jù)的分類體系和排列順序;第二,在已有分類的基礎(chǔ)上,根據(jù)數(shù)據(jù)的重要性和敏感度確定不同類型數(shù)據(jù)的級別;第三,對安全等級不同的數(shù)據(jù),制定不同的管理策略。在跨境數(shù)據(jù)流動的管控過程中亦是如此,需在數(shù)據(jù)分類的基礎(chǔ)上確定數(shù)據(jù)級別,再根據(jù)數(shù)據(jù)級別確定是否準(zhǔn)許出境及出境條件等。

首先,數(shù)據(jù)分類?？缇硵?shù)據(jù)流動已從單指個人數(shù)據(jù)跨境流動擴(kuò)展至包含個人數(shù)據(jù)和非個人數(shù)據(jù)的跨境流動。但當(dāng)前數(shù)據(jù)分類并無統(tǒng)一的方法或規(guī)則,針對某行業(yè)內(nèi)的數(shù)據(jù),不論是采用線分類法還是面分類法結(jié)構(gòu)設(shè)計(jì)分類規(guī)則,都可實(shí)現(xiàn)本領(lǐng)域內(nèi)數(shù)據(jù)劃分的完備性和純粹性。但當(dāng)分類對象擴(kuò)展至所有數(shù)據(jù)時,既有分類標(biāo)準(zhǔn)就難以適用。如《證券期貨業(yè)數(shù)據(jù)分類分級指引》設(shè)計(jì)的數(shù)據(jù)分類分級的基本流程:在明確數(shù)據(jù)管理主體和業(yè)務(wù)分類的基礎(chǔ)上,重點(diǎn)解決數(shù)據(jù)分類問題(18)馮靜,李玲.數(shù)據(jù)分類分級標(biāo)準(zhǔn)解析[EB/OL].(2020-10-19)[2020-12-04].https:∥www.freebuf.com/company-information/2523 13.html.。又如《工業(yè)數(shù)據(jù)分類分級指南(試行)》第五、六、七條對工業(yè)數(shù)據(jù)的分類和分級標(biāo)準(zhǔn)進(jìn)行了規(guī)定,并將工業(yè)數(shù)據(jù)分為工業(yè)企業(yè)和平臺工業(yè)企業(yè)。但上述數(shù)據(jù)分類方法多是一種“自下而上式”的分類法:一方面多服務(wù)于行業(yè)或組織內(nèi)部數(shù)據(jù)的管理,以防止自身權(quán)益因?yàn)閿?shù)據(jù)安全事件受損為主要目標(biāo),無法滿足國家監(jiān)管需要(19)洪延青.對《數(shù)據(jù)安全法》的理解和認(rèn)識:數(shù)據(jù)分級分類[EB/OL].(2020-07-06)[2020-12-04].https:∥mp.weixin.qq.com/s/iZGNGKG1Q36XaFVu0g_lHw.;另一方面,過度關(guān)注具體領(lǐng)域或行業(yè)內(nèi)數(shù)據(jù),無法適用于全部數(shù)據(jù)的分類。當(dāng)然,也有學(xué)者提出基于國家數(shù)據(jù)監(jiān)管需求,將數(shù)據(jù)分為個人信息、組織專有數(shù)據(jù)、重要數(shù)據(jù)、國家秘密四類,其中組織專有數(shù)據(jù)又分為企業(yè)專有數(shù)據(jù)和政黨社團(tuán)專有數(shù)據(jù)(20)洪延青.數(shù)據(jù)安全管理視角下的數(shù)據(jù)分類研究:研究報(bào)告全文[EB/OL].(2020-05-15)[2020-12-04].https:∥mp.weixin.qq.com/s/bzyveak 3oC8VGHf4y6sD8A.,但這種分類方法無法滿足分類的純粹性和完備性要求。為此,考慮到分類的科學(xué)性和合理性,按照數(shù)據(jù)來源為區(qū)分標(biāo)準(zhǔn),將數(shù)據(jù)分為個人數(shù)據(jù)和組織數(shù)據(jù)兩類(21)劉云.健全數(shù)據(jù)分級分類規(guī)則,完善網(wǎng)絡(luò)數(shù)據(jù)安全立法[EB/OL].(2020-10-06)[2021-01-30].https:∥mp.weixin.qq.com/s/MbBgWBv 9JleEU5WhzkKExw.。

一是個人數(shù)據(jù)。根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》的定義,個人數(shù)據(jù)是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他數(shù)據(jù)結(jié)合識別特定自然人身份(識別路徑),或者反映特定自然人活動情況的各種數(shù)據(jù)(關(guān)聯(lián)路徑)。按照個人數(shù)據(jù)敏感程度可將個人數(shù)據(jù)分為:一般數(shù)據(jù)(可以通過一定技術(shù)手段識別到個人,但不包含個人敏感信息的數(shù)據(jù);或者不能識別到具體自然人身份,但包含個人敏感信息的數(shù)據(jù))[17]、敏感數(shù)據(jù)(可以通過一定技術(shù)手段識別到個人,包含個人敏感信息的數(shù)據(jù),如身份證號等信息)和高度敏感數(shù)據(jù)(如DNA等個人生物識別信息等)。

二是組織數(shù)據(jù)。除個人數(shù)據(jù)之外的所有數(shù)據(jù)均是組織數(shù)據(jù),包括企業(yè)、非法人組織、政府機(jī)關(guān)、事業(yè)單位和政黨團(tuán)體等數(shù)據(jù)。按照數(shù)據(jù)的重要性將其分為:國家秘密、重要數(shù)據(jù)、內(nèi)部數(shù)據(jù)和公開數(shù)據(jù)。國家秘密數(shù)據(jù)歷來就是極為特殊的一類數(shù)據(jù),通常不允許出境;重要數(shù)據(jù)是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》中均有提及的,是與國家安全、國計(jì)民生和公共利益相關(guān)的非國家秘密數(shù)據(jù);內(nèi)部數(shù)據(jù)則是指重要程度不及重要數(shù)據(jù)的數(shù)據(jù),如商業(yè)秘密等;公開數(shù)據(jù)則是指除國家秘密、重要數(shù)據(jù)和內(nèi)部數(shù)據(jù)之外的數(shù)據(jù)。之所以將重要數(shù)據(jù)和內(nèi)部數(shù)據(jù)單列,是因?yàn)閷Σ粚儆谥匾獢?shù)據(jù)的內(nèi)部數(shù)據(jù)而言,并不需要國家強(qiáng)制干預(yù),如只要企業(yè)許可即可出境。

其次,數(shù)據(jù)定級。數(shù)據(jù)分級應(yīng)充分考慮數(shù)據(jù)對國家安全、社會穩(wěn)定和公民安全的重要程度,以及數(shù)據(jù)是否涉及國家秘密、用戶隱私等敏感信息,同時考慮不同敏感級別的數(shù)據(jù)在遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,來確定數(shù)據(jù)級別[18]。為便于理解和管理,對上述數(shù)據(jù)采取統(tǒng)一的級別標(biāo)簽:個人高度敏感數(shù)據(jù)和組織數(shù)據(jù)中的國家秘密數(shù)據(jù),標(biāo)注為III級;個人敏感數(shù)據(jù)、組織數(shù)據(jù)中的內(nèi)部數(shù)據(jù)和重要數(shù)據(jù),標(biāo)注為II級;一般個人數(shù)據(jù)和組織數(shù)據(jù)中的公開數(shù)據(jù),標(biāo)注為I級。

最后,確定不同級別數(shù)據(jù)是否可離境及離境條件。就數(shù)據(jù)離境的安全風(fēng)險(xiǎn)來說,數(shù)據(jù)級別越高,數(shù)據(jù)在遭到破壞后對國家安全、社會秩序、公共利益,以及公民、法人和其他組織的合法權(quán)益的危害程度越大。因此對不同級別的數(shù)據(jù)應(yīng)采取不同的跨境數(shù)據(jù)流動要求:一是對III類數(shù)據(jù)而言,原則上禁止跨境數(shù)據(jù)流動;若確有需要,需經(jīng)嚴(yán)格的數(shù)據(jù)脫敏和數(shù)據(jù)離境安全評估程序后,方可離境。二是對II級數(shù)據(jù)而言,實(shí)行附條件離境。三是對I級數(shù)據(jù)而言,允許自由流動。

綜上,可繪制出跨境數(shù)據(jù)流動的數(shù)據(jù)分類分級管控圖譜,如圖2所示。

圖2 跨境數(shù)據(jù)流動的數(shù)據(jù)分類分級管控圖譜

四、結(jié)語

跨境數(shù)據(jù)流動在推動全球經(jīng)濟(jì)發(fā)展的同時,也為隱私保護(hù)、數(shù)據(jù)安全和國家主權(quán)帶來了嚴(yán)峻挑戰(zhàn)。為應(yīng)對上述問題,各國跨境數(shù)據(jù)流動政策必須在安全與效益、限制與流動、寬松與嚴(yán)格、國際與本國間作出抉擇,回應(yīng)數(shù)據(jù)經(jīng)濟(jì)時代的“三難問題”。通過博弈論視角解析各國在制定跨境數(shù)據(jù)流動政策時應(yīng)考量的因素,可以為政策制定者提供一種分析進(jìn)路,進(jìn)而在綜合考慮本國與域外情況的基礎(chǔ)上制定出適宜本國國情的治理政策,實(shí)現(xiàn)安全性和成長性的平衡。