跨境数据本地化:主权考量、安全底线与战略定位.pdf
《跨境数据本地化:主权考量、安全底线与战略定位.pdf》由会员分享,可在线阅读,更多相关《跨境数据本地化:主权考量、安全底线与战略定位.pdf(9页珍藏版)》请在咨信网上搜索。
1、2023年第9期专题:跨境数据流动中的全球数据主权博弈与治理*本文系国家社会科学基金一般项目“双循环 新格局下国家数据主权安全风险的多维治理研究”(项目编号:22BTQ104)和国家社会科学基金青年项目“数据要素确权的法律供给研究”(项目编号:21CFX007)研究成果。跨境数据本地化:主权考量、安全底线与战略定位*盛祥,于琳,黄海瑛摘要跨境数据本地化已被列入很多国家/地区的法律条文,从多维方式来研究跨境数据本地化有助于对我国数据本地化进行科学的战略定位,维护我国的数据主权,实现数据安全与数据跨境高效流动的双重价值平衡。基于维护数据主权考量,文章以66个国家/地区的数据本地化措施为分析样本,从
2、多个维度剖析数据本地化策略,检视我国数据本地化策略并提出完善对策。研究发现:大多数国家/地区的价值取向是促进数据跨境流动,存在“显性”“隐性”及其二者组合等3种模式,以及本地存储与本地备份两类强度要求,客体类型侧重于个人数据。我国数据本地化策略侧重于维护数据安全,存在本地存储数据类型过多、双重本地化要求过严、数据本地化立法强度升级等问题。文章提出我国跨境数据流动的战略定位设想:正视数据主权的相对性、区别适用绝对的本地存储、坚持显性数据本地化为主、数据类型先分类再分级。关键词数据主权数据本地化国际策略数据安全数据自由流动引用本文格式盛祥,于琳,黄海瑛.跨境数据本地化:主权考量、安全底线与战略定位
3、J.图书馆论坛,2023,43(9):21-29.Localization of Cross-Border Data:Sovereignty Considerations,Security Bottom Line and Strategic PositioningSHENG Xiang,YU Lin&HUANG HaiyingAbstractCross-border data localization has been included in the legal provisions of many countries.Studyingcross-border data localizatio
4、n from a multidimensional approach helps to make a scientific strategic positioning ofChinas data localization,safeguard Chinas data sovereignty,and achieve the dual value balance of data securityand efficient data flow across borders.Based on the consideration of maintaining data sovereignty,the ar
5、ticleanalyzes the data localization strategies of 66 countries(regions)from various dimensions,reviews Chinas datalocalization strategies,and proposes some countermeasures for improvement.The study found that the valueorientation of most countries is to facilitate the cross-border flow of data,with
6、three models of explicit,implicit and a combination of both,and two types of intensity requirements:local storage and local backup,while the object type focuses on personal data.Chinas data localization strategy focuses on maintaining datasecurity,and there are problems such as too many types of loc
7、ally stored data,overly strict dual localizationrequirements,and escalating intensity of data localization legislation.The article proposes a strategic positioningscenario for cross-border data flows in China:face up to the relative nature of data sovereignty,differentiate theapplication of absolute
8、 local storage,insist on the predominance of explicit data localization,and adjust data typesby classifying before grading them.Keywordsdata sovereignty;data localization;international strategy;data security;data free flow21专题:跨境数据流动中的全球数据主权博弈与治理0引言2023年3月,我国组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹
9、推进数字中国、数字经济、数字社会规划和建设。从国际形势看,数据主权、数据安全、用户隐私保护、数据本地化存储、跨境数据流动等已成为各国关注焦点,国家数据局显然面对着全球数据资源竞争的复杂博弈。数据主权不是一个空间架构,而是一个实体概念1。数据本地化是用于维护数据主权的策略工具,数据主权安全是数据本地化策略所致力于实现的最终目标。随着全球数据安全形势日益严峻,数据本地化趋势进一步凸显,世界各国加速数据本地化进程。一方面,数据具有重要的主权保护价值2,关系国家安全、国民经济命脉、重要民生、重大公共利益的数据一旦出境而为他国所处理,势必给本国的主权和国家安全造成很大的风险3;另一方面,数据跨境流动虽已
10、成必然之势4,但在缺乏数据科技实力、没有相应制度保障数据安全的情况下,盲目地开放和共享本国的数据资源,有可能将数据大国的优势异化为威胁总体国家安全的风险5。我国所担心的安全并不仅是数据被恶意利用,更重要的是境外势力或外国政权的恶意监控对国家基本政治制度的威胁6。数据本地化是我国具有实用色彩的策略性选择6,我国近年相继出台网络安全法 网络安全审查办法 数据安全法 个人信息保护法 数据出境安全评估办法以推行数据本地化措施。数据本地化要求通过限制数据跨境流动确保数据主权安全,是主权国家在数据领域的主权主张的规范表达。广义上的数据本地化包括任何对数据跨境流动作出的限制,狭义的数据本地化仅指将数据的存储
11、和处理置于数据来源国境内的数据中心和服务器的要求6。鉴于各国对数据本地化的认知差异性,数据本地化必然存在不同表达,为达成概念认知上的共识,本文在概念使用上采取广义的数据本地化。本文基于国家数据主权的价值立场,考察世界各国数据本地化的策略实践,在此基础上展开分析与评价,反思当前我国数据本地化策略存在的问题,在借鉴国际数据本地化有益经验的基础上,为完善我国数据本地化措施提出对策,以期实现数据跨境自由流动与数据主权安全维护之间的价值平衡。1研究综述数据本地化研究集中于数据本地化的概念、价值、模式、域外立法、规制与完善,以及数据跨境的冲突与协调等方面。(1)数据本地化的概念理解。Julian Box对
12、“数据驻留”(Data Localization)、“数据主权”(Data Sovereignty)与“数据本地化”(DataResidency)作出区分:数据驻留是出于监管或政策考虑,企业、行业机构或政府指定其数据存储于他们选择的地理位置;数据主权不仅要求存储在指定的位置,还受物理存储数据的国家的法律管辖;数据本地化则要求在特定边界内产生的数据留在边界内7。(2)数据本地化的价值评价。国内学者对数据本地化进行了正当性的阐述,给予数据本地化充分的肯定8;而国外学者认为数据本地化容易造成加拉帕戈斯综合症(Galapagos syndrome),即短期的孤立舒适生活导致长期的灭绝,在具有全球性的电
13、子商务市场上尤其如此9,对数据本地化给予反思或否定的态度。(3)数据本地化模式。Anupam Chander指出,事实上的数据本地化也被称为软数据本地化(soft data localization),其对公司施加本地化压力的法律制度不是直接要求数据或流程本地化,而是使替代方案具有法律风险,因此可能是不明智的10。(4)数据本地化的域外立法。主要集中于欧盟和美国,也有少量研究成果关注印度11、俄罗斯12、越南13的数据本地化立法实践。SimnHernndez等对俄罗斯数据本地化要求所面临的法律问题进行全面评估,得出结论:俄罗斯数据本地化要求具有事实上的将处理该国公民个人数222023年第9期专
14、题:跨境数据流动中的全球数据主权博弈与治理据的跨境互联网服务数量降至零的效果,因违反服务贸易总协定(General Agreement onTrade in Services,GATS)而不能成立14。(5)数据本地化的规制与完善。SusannahHodson提出,全面与进步跨太平洋伙伴关系协定(Comprehensive and Progressive Agree-ment for Trans-Pacific Partnership,CPTPP)通过禁止更广泛的数据本地化措施,包括不构成违反国民待遇或市场准入纪律,改善了GATS纪律,为解决全球服务供应商面临的数据本地化措施提供了新模式,在促
15、进企业日益增长的跨国界传输和存储数据需求与政府出于公共利益进行监管的权力之间实现了适当平衡15。(6)数据本地化与数据跨境的冲突与协调。境内存储与跨境流动之间的价值冲突是数据本地化的研究热点,也是数据本地化存在诸多争议的症结所在。在数据跨境执法领域,数据本地化并未受到学者一致认可。吴玄认为过于严苛的数据本地化法律无助于解决跨境数据执法的困境16;赵海乐认为我国数据本地化要求需与我国已加入的区域全面经济伙伴关系协定(Regional Com-prehensive Economic Partnership,RCEP)和未来可能加入的CPTPP电子商务规则相协调17。综上,当前数据本地化相关研究涉及
16、主题较多,但就域外数据本地化研究而言,主要集中于欧美,缺乏对各国数据本地化措施的考察,也没有基于数据本地化的国际策略来审视我国数据本地化措施。鉴于此,本文以各国数据本地化措施为研究样本,从客体类型、模式选择、强度要求和价值取向等维度考察数据本地化国际策略,以此为分析框架检视我国数据本地化策略并提出应对之策。2跨境数据本地化的主权考量美国信息技术和创新基金会(InformationTechnology and Innovation Foundation,ITIF)2021年发布全球数据本地化趋势报告18,指出数据本地化要求的国家数量从2017年的35个增加到2021年62个,数据本地化措施总数(
17、包括显性和隐性)从2017年67项增加到2021年144项。全球互联背景下,数据本地化趋势非但不会削弱,反而在复杂的国际形势下进一步强化19。ITIF调研世界各地的数据本地措施形成“附录A:数据本地化措施列表”18,详细列举了66个国家/地区显性的、隐性的、被提议的或草案阶段的数据本地化措施。本文以此为样本数据来源,对列表中66个国家/地区的数据本地化措施展开多维度归纳与分析。2.1价值取向的主权考量:数据自由流动与维护数据安全主权国家的数据本地化限制出境的数据种类、本地化存储严格程度、数据跨境传输条件等因素,能反映出该国在数据自由流动与数据安全之间的策略侧重。如表1所示,有18个国家/地区的
18、策略侧重维护数据安全,其数据本地化策略存在如下特征。其一,限制多种数据出境。例如,俄罗斯数据本地化涉及个人数据、财务/税务/银行数据、支付数据、政府数据、ICT/电信数据、公共本地云数据等。其二,严格的个人数据本地化要求。侧重维护数据安全的国家/地区对个人数据跨境采取严格的数据本地化措施,要求个人数据必须在境内存储、处理,例如沙特阿拉伯要求公司在境内存储和处理个人数据。其三,设置严格的数据跨境传输条件。例如,欧盟虽然不禁止个人数据跨境流动,但数据跨境要求复杂、标准极高,给企业数据跨境带来诸多困难。表1各国数据本地化策略的侧重价值维护数据安全数据跨境流动国家/地区肯尼亚、尼日利亚、南非、欧盟、俄
19、罗斯、印度、土耳其、沙特阿拉伯、阿拉伯联合酋长国、哈萨克斯坦、乌兹别克斯坦、孟加拉国、斯里兰卡、印度尼西亚、韩国、越南、巴西、中国科特迪瓦、加纳、卢旺达、塞内加尔、安道尔、亚美尼亚、阿塞拜疆、比利时、波斯尼亚和黑塞哥维那、保加利亚、塞浦路斯、丹麦、意大利、芬兰、格鲁吉亚、德国、希腊、科索沃、黑山、卢森堡、马耳他、摩尔多瓦、摩纳哥、荷兰、北马其顿、波兰、罗马尼亚、圣马力诺、科维特、塞尔维亚、瑞典、瑞士、乌克兰、英国、阿尔及利亚、埃及、约旦、巴基斯坦、马来西亚、巴西、智利、秘鲁、委内瑞拉、澳大利亚、新西兰、加拿大、墨西哥、美国数量184823专题:跨境数据流动中的全球数据主权博弈与治理其四,数据跨
20、境规则具有模糊性。部分国家/地区要求数据跨境需经监管机构批准,但获得批准的条件要求并不明确。例如,土耳其个人数据保护法规定,个人数据向提供足够保护措施的国家传输,无需经过数据主体同意,可向不能提供足够保护措施的国家传输需经批准,然而土耳其尚未公布达到充分保护标准的国家名单,也尚未批准寻求特别批准的公司。另有48个国家/地区的策略侧重数据自由流动,特征与上述侧重维护数据安全的本地化相反。其一,限制出境的数据类型不多。主要对政府记录、健康和基因等重要数据提出本地化存储要求。例如,澳大利亚个人控制电子健康记录法仅要求个人健康数据只能在境内存储,对其他数据不作出本地化要求。其二,不限制个人数据出境或者
21、不对个人数据出境设置严格条件。例如,安道尔、亚美尼亚、阿塞拜疆等国家规定,经过数据主体同意,即可向不能提供充分保护的国家传输个人数据。2.2模式选择的主权考量:“显性”和“隐性”及其组合依据数据本地化要求是否明示,数据本地化立法可分为显性数据本地化和隐性数据本地化。前者直接地、明确地要求数据本地化存储、处理,禁止境外传输或者要求在境内建立服务器和数据中心,措施文本表达与本地化立法目的具有同一性;后者是指没有明文规定要求数据本地化存储,但通常针对数据跨境规定诸多限制性条件,设立较高的门槛,对不符合条件的数据跨境行为处以巨额罚款,此种模式迫使企业不得不因沉重的合规负担而主动放弃数据跨境需求,间接实
22、现数据本地化立法目的。如表2所示,显性数据本地化(39.39%)和隐性数据本地化(36.36%)都是各国家/地区普遍采取的立法方式,另有16个国家(24.24%)兼采这两种立法方式。显性数据本地化的“明确”体现在客体、要求、立法态度上。其一,客体类型明确,即针对的数据类型较为固定,主要集中在个人数据、财务/税务/银行数据、ICT/电信数据、政府数据和支付数据五大类型。其二,要求明确,即明确要求特定数据在本地数据中心存储、托管、处理、访问。其三,立法态度明确,事实上,采取显性数据本地化立法的国家在数字化时代到来前,就对纸质的特定记录作出了明确的本地化要求。欧盟被认为是隐性数据本地化立法的典型代表
23、。欧盟通用数据保护条例(General DataProtection Regulation,GDPR)第五章对个人数据跨境作出了极为严格的传输条件,要求第三方国家或国际组织能够提供不低于GDPR的数据保护水平,由欧盟委员会根据各国个人数据相关立法、是否具有独立监管机构、是否有与个人数据保护相关的国际承诺或义务等因素综合评估保护程度是否充分,获得充分性认定后即可实现数据跨境,目前获得欧盟充分性认定的国家仅有14个21。对于无法提供充分性保护的第三方国家或国际组织,欧盟允许特定商事主体在采取适当保障后实现数据跨境,GDPR第46条规定“约束性的企业规则”“标准数据保护条款”“经批准的行为准则”“经
24、批准的认证机制”等4种替代性数据传输保障。此外,GDPR第49条针对不满足充分性认定或未采取适当保障的第三方国家或国际组织,规定“数据主体明确同意”“订立或履行合同所必要”“公共利益”“法律诉求”“重大利益”等特定情形下的豁免,即出现上述情况允许数据跨境传输。表2各国数据本地化策略的模式模式显性数据本地化隐性数据本地化显性+隐性的数据本地化国家/地区加纳、肯尼亚、尼日利亚、塞内加尔、芬兰、比利时、保加利亚、塞浦路斯、法国、卢森堡、德国、希腊、荷兰、波兰、阿尔及利亚、沙特阿拉伯、哈萨克斯坦、乌兹别克斯坦、巴基斯坦、越南、巴西、智利、委内瑞拉、澳大利亚、新西兰、美国科特迪瓦、安道尔、亚美尼亚、阿塞
25、拜疆、波斯尼亚和黑塞哥维那、欧盟、格鲁吉亚、意大利、科索沃、马耳他、摩尔多瓦、摩纳哥、黑山共和国、北马其顿、圣马力诺、塞尔维亚、瑞士、乌克兰、英国、埃及、约旦、科威特、斯里兰卡、马来西亚卢旺达、南非、丹麦、罗马尼亚、俄罗斯、瑞典、土耳其、阿拉伯联合酋长国、孟加拉国、印度、印度尼西亚、韩国、秘鲁、中国、加拿大、墨西哥数量262416242023年第9期专题:跨境数据流动中的全球数据主权博弈与治理2.3强度要求的主权考量:数据本地存储与数据本地备份根据数据本地化强度,显性数据本地化可细分为绝对的数据本地存储和数据本地备份。前者要求数据必须在本地的数据中心或服务器存储、托管、处理;后者仅要求数据控制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 本地化 主权 考量 安全 底线 战略 定位
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。