在全球数字化浪潮的推动下,数据已成为驱动经济增长、促进创新发展的核心生产要素。数据跨境流动作为数字经济时代的必然产物,与数字贸易的发展深度融合、相互赋能,既为全球经济注入了新的活力,也带来了一系列安全与治理挑战。本报告将系统分析数据跨境流动与数字贸易的发展现状、内在关联及面临的问题,重点梳理欧盟、美英、日本、韩国等主要国家和地区的数据跨境安全管理模式,并对全球数据治理趋势进行展望,为相关政策制定和企业实践提供参考。
数据跨境流动与数字贸易发展现状
1.1 数据跨境流动的规模与趋势
近年来,随着云计算、大数据、人工智能等数字技术的迅猛发展,数据跨境流动的规模呈现指数级增长。根据国际数据公司(IDC)的统计,全球数据圈规模从2010年的2ZB增长至2022年的120ZB,预计到2025年将达到175ZB。其中,跨境数据流动占比持续提升,据麦肯锡全球研究院测算,2014-2022年,全球数据跨境流动对全球经济增长的贡献率超过了传统商品贸易。
从流动方向来看,数据跨境流动呈现出多极化发展趋势。过去,数据主要从发展中国家流向发达国家,尤其是美国、欧盟等数字经济领先地区。但近年来,以中国、印度为代表的新兴经济体数字经济快速发展,数据产出量大幅增加,数据跨境流动的双向性特征日益明显。同时,数据流动的类型也更加多样化,除了传统的商业数据、金融数据外,个人数据、医疗数据、工业数据等敏感数据的跨境流动规模不断扩大,对数据安全管理提出了更高要求。
1.2 数字贸易的发展态势
数字贸易作为一种新型贸易形态,以数据为核心生产要素,以数字技术为支撑,涵盖了数字产品贸易、数字服务贸易、数字技术贸易等多个领域。根据世界贸易组织(WTO)的报告,2022年全球数字服务贸易规模达到6.8万亿美元,占全球服务贸易总额的比重超过50%,成为推动全球贸易增长的主要动力。
数字贸易的发展呈现出以下特点:一是平台化趋势显著,亚马逊、阿里巴巴、谷歌等大型数字平台成为数字贸易的重要载体,连接了全球的生产者和消费者;二是服务化特征突出,数字服务贸易在数字贸易中的占比不断提升,尤其是云计算、人工智能服务、在线教育、远程医疗等领域发展迅速;三是融合化发展加速,数字技术与传统贸易深度融合,推动了传统制造业、农业的数字化转型,催生了新的贸易模式和业态,如跨境电子商务、工业互联网等。
1.3 数据跨境流动与数字贸易的相互关系
数据跨境流动与数字贸易之间存在着密切的相互促进关系。一方面,数据跨境流动是数字贸易发展的基础和前提。数字贸易的开展离不开数据的跨境采集、处理、存储和应用,数据的自由流动能够降低交易成本、提高交易效率、拓展市场空间。例如,跨境电子商务平台需要收集全球消费者的购物数据、物流数据等,通过数据分析为消费者提供个性化推荐,为商家提供市场预测,从而促进交易的达成。另一方面,数字贸易的发展又进一步推动了数据跨境流动的规模和速度。数字贸易的扩张带来了数据需求的增长,促使企业加大数据采集和跨境传输的力度,同时也推动了数据流动技术的创新和升级。
然而,数据跨境流动与数字贸易的发展也面临着一系列挑战。一是数据安全风险凸显,数据跨境流动可能导致个人信息泄露、商业秘密被窃取、关键信息基础设施遭受攻击等安全问题;二是数据治理规则不统一,不同国家和地区的数据法律法规存在差异,导致数据跨境流动面临合规成本高、监管不确定性大等问题;三是数字鸿沟依然存在,发展中国家在数字技术、数字基础设施、数据治理能力等方面与发达国家存在差距,难以充分享受数据跨境流动和数字贸易带来的红利。
主要国家和地区数据跨境安全管理模式
2.1 欧盟:以“合规为核心”的严格监管模式
欧盟是全球数据保护立法最为严格的地区之一,其数据跨境安全管理模式以《通用数据保护条例》(GDPR)为核心,强调数据主体的权利保护和数据处理者的合规义务,构建了一套较为完善的数据跨境流动监管体系。
在数据跨境流动的合法性基础方面,GDPR规定了多种数据跨境传输的合法途径,包括:充分性认定、标准合同条款(SCCs)、绑定公司规则(BCRs)、基于数据主体明确同意、为履行合同或保护数据主体重大利益等。其中,充分性认定是欧盟最为推崇的数据跨境传输方式,即欧盟委员会对其他国家或地区的数据保护水平进行评估,如果认为其达到了与欧盟“充分等效”的保护水平,则允许数据自由流向该国家或地区。截至2024年,欧盟已对美国(部分领域)、日本、加拿大等13个国家和地区作出了充分性认定。
对于未获得充分性认定的国家和地区,企业可以通过签订标准合同条款或绑定公司规则的方式进行数据跨境传输。2021年,欧盟委员会更新了标准合同条款,进一步强化了数据处理者的责任和义务,要求企业在进行数据跨境传输前进行数据保护影响评估(DPIA),并采取必要的技术和组织措施保障数据安全。此外,GDPR还规定了严格的罚则,对于违反数据保护规定的企业,最高可处以全球营业额4%或2000万欧元(取较高者)的罚款,这一严厉的处罚措施极大地提高了企业的合规意识。
欧盟的数据跨境安全管理模式还注重区域内的协调统一。欧盟设立了欧洲数据保护委员会(EDPB),负责协调各成员国的数据保护监管机构,确保GDPR在欧盟范围内的统一实施。同时,欧盟还在积极推动“数字单一市场”建设,致力于消除数据在欧盟内部流动的障碍,提升欧盟数字经济的竞争力。
2.2 美英:以“促进创新为导向”的灵活监管模式
美国和英国在数据跨境安全管理方面采取了较为灵活的监管模式,强调在保障数据安全的同时,促进数据的自由流动和数字经济的创新发展。
2.2.1 美国
美国的数据跨境安全管理没有统一的联邦层面的综合性数据保护法律,而是采用分散式的立法模式,由联邦和州两级分别制定相关法律法规。在联邦层面,主要涉及特定领域的数据保护,如《健康保险流通与责任法案》(HIPAA)规范医疗健康数据的保护,《金融服务现代化法案》(GLBA)规范金融数据的保护,《儿童在线隐私保护法》(COPPA)规范儿童个人信息的保护等。在州层面,以加利福尼亚州的《消费者隐私法案》(CCPA)及其修正案《消费者隐私权利法案》(CPRA)最为典型,该法案赋予了消费者广泛的数据权利,对企业的数据处理活动提出了较高的要求。
在数据跨境流动方面,美国政府始终倡导数据的自由流动,反对数据本地化要求。美国通过双边和多边协议推动数据跨境流动规则的协调,例如,美国与欧盟于2020年达成了《欧盟-美国数据隐私框架》(EU-U.S. Data Privacy Framework),以替代此前被欧洲法院判定为无效的《安全港协议》和《隐私盾协议》。该框架要求美国企业遵守一系列数据保护原则,并设立了专门的监管机构负责监督企业的合规情况,同时为欧盟公民提供了有效的救济途径。此外,美国还积极推动《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《美国-墨西哥-加拿大协定》(USMCA)等自由贸易协定中纳入数据跨境流动条款,要求成员国承诺禁止数据本地化,促进数据的自由流动。
同时,美国也高度重视数据安全,通过一系列法律法规加强对敏感数据跨境流动的监管。例如,《云法案》(Cloud Act)赋予了美国执法机构在特定条件下获取存储在境外服务器上的数据的权利;《出口管制改革法案》(ECRA)将某些敏感技术和数据纳入出口管制范围,限制其向特定国家和地区出口。
2.2.2 英国
英国在脱欧前一直遵循欧盟的GDPR,脱欧后,英国通过《2018年数据保护法》将GDPR转化为国内法,并保留了大部分核心条款,同时根据本国实际情况进行了一些调整。英国的数据跨境安全管理模式在总体上与欧盟保持一致,但在具体实施上更加注重灵活性和实用性。
在数据跨境流动方面,英国设立了过渡期,在过渡期内,原欧盟的充分性认定制度继续适用于英国,英国企业可以继续按照GDPR的规定与欧盟进行数据跨境传输。过渡期结束后,英国信息专员办公室(ICO)开始独立对其他国家和地区的数据保护水平进行充分性认定。截至2024年,英国已对欧盟、美国、日本等多个国家和地区作出了充分性认定。同时,英国也允许企业通过签订标准合同条款、绑定公司规则等方式进行数据跨境传输,并对这些方式的实施细则进行了优化,降低了企业的合规成本。
英国政府还积极推动数据经济的发展,提出了“数据主权”战略,致力于将英国打造成为全球数据中心。为此,英国在数据监管方面采取了一些较为灵活的措施,例如,对中小企业的数据保护要求进行了适当简化,鼓励企业利用数据进行创新。同时,英国也加强了与国际社会的合作,积极参与全球数据治理规则的制定,维护自身在数据领域的利益。
2.3 日本:以“平衡安全与发展”为目标的协同监管模式
日本高度重视数据跨境流动在促进数字经济发展中的作用,同时也注重保障数据安全,形成了以《个人信息保护法》为核心,以“平衡安全与发展”为目标的协同监管模式。
日本《个人信息保护法》于2003年制定,并经过多次修订,不断完善数据保护制度。该法将个人信息分为一般个人信息和敏感个人信息,对敏感个人信息的跨境传输规定了更为严格的条件。在数据跨境流动方面,日本采用了“白名单”制度,即日本政府对其他国家和地区的数据保护水平进行评估,对于达到日本数据保护标准的国家和地区,列入“白名单”,允许个人信息自由流向这些国家和地区。截至2024年,日本已将欧盟、美国、英国、韩国等20多个国家和地区列入“白名单”。
对于未列入“白名单”的国家和地区,企业可以通过以下方式进行数据跨境传输:一是获得个人信息主体的书面同意;二是与接收方签订符合《个人信息保护法》要求的合同;三是接收方属于日本政府认可的国际组织或机构。此外,日本还设立了个人信息保护委员会,负责监督《个人信息保护法》的实施,处理个人信息泄露投诉等事宜。
为了促进数字经济的发展,日本政府还推出了一系列政策措施,推动数据的流通和利用。例如,日本制定了《数据流通利用促进基本法》,建立了数据流通利用的基本制度框架;推出了“数据免费提供制度”,鼓励政府部门和企业向社会免费提供非敏感数据,促进数据的创新应用。同时,日本积极参与国际数据治理合作,与欧盟、美国等国家和地区开展数据保护互认谈判,推动建立全球统一的数据跨境流动规则。
2.4 韩国:以“强化个人信息保护”为重点的严格监管模式
韩国在数据跨境安全管理方面以强化个人信息保护为重点,制定了一系列严格的法律法规,形成了较为完善的监管体系。韩国的《个人信息保护法》是数据保护领域的核心法律,该法对个人信息的收集、使用、存储和跨境传输等活动进行了全面规范。
在数据跨境流动方面,韩国采用了“事前通知+事后监管”的模式。企业在将个人信息跨境传输前,必须向韩国个人信息保护委员会进行事前通知,并提交数据保护影响评估报告。如果个人信息保护委员会认为该跨境传输可能损害个人信息主体的权益,可以要求企业采取必要的措施进行整改,甚至禁止数据跨境传输。此外,韩国还要求企业在进行数据跨境传输时,必须确保接收方具备与韩国相当的数据保护水平,并与接收方签订数据保护合同,明确双方的权利和义务。
为了应对数字经济发展带来的新挑战,韩国不断修订《个人信息保护法》,加强对新兴领域数据保护的监管。例如,2021年修订的《个人信息保护法》增加了对人工智能、大数据分析等领域个人信息处理活动的规范,要求企业在使用个人信息进行自动化决策时,必须保障数据主体的知情权和异议权。同时,韩国也积极推动数据经济的发展,提出了“数字新政”战略,致力于提升数据治理能力,促进数据的流通和利用。韩国还加强了与国际社会的合作,参与了《亚太经济合作组织隐私框架》等国际数据保护协议的制定和实施,推动数据跨境流动规则的协调。
全球数据跨境流动与
数字贸易治理趋势展望
3.1 数据治理规则区域化、多边化趋势明显
随着数据跨境流动和数字贸易的快速发展,全球数据治理规则的制定呈现出区域化、多边化的趋势。一方面,区域贸易协定成为推动数据治理规则协调的重要平台,如CPTPP、USMCA、《数字经济伙伴关系协定》(DEPA)等区域贸易协定都纳入了数据跨境流动、数据本地化、个人信息保护等相关条款,形成了区域内统一的数据治理规则。另一方面,多边国际组织在全球数据治理中的作用日益凸显,WTO正在积极推动数字贸易规则的谈判,致力于达成全球统一的数字贸易协定;联合国、经济合作与发展组织(OECD)等国际组织也在数据保护、数据安全等领域制定了一系列国际标准和指南,为全球数据治理提供了重要参考。
3.2 数据安全与数据自由流动的平衡成为核心议题
在全球数据治理过程中,如何平衡数据安全与数据自由流动成为各国关注的核心议题。一方面,各国普遍认识到数据自由流动对数字经济发展的重要性,纷纷反对数据本地化等贸易保护主义措施,推动数据的跨境自由流动;另一方面,数据安全风险的不断加剧也促使各国加强对数据跨境流动的监管,建立健全数据安全保障体系。未来,全球数据治理规则的制定将更加注重在数据安全与数据自由流动之间寻求平衡,构建既能保障数据安全,又能促进数据自由流动的治理框架。
3.3 新兴技术对数据治理提出新挑战
云计算、大数据、人工智能、区块链等新兴技术的快速发展,为数据跨境流动和数字贸易带来了新的机遇,也对数据治理提出了新的挑战。例如,人工智能技术的应用涉及大量个人信息和敏感数据的处理,如何保障这些数据的安全和隐私成为亟待解决的问题;区块链技术的去中心化特征使得数据监管难度加大,如何建立适应区块链技术特点的数据治理机制需要进一步探索。未来,全球数据治理规则需要不断创新和完善,以应对新兴技术带来的挑战。
3.4 发展中国家的话语权逐渐提升
在过去的全球数据治理中,发达国家占据主导地位,发展中国家的话语权相对较弱。但随着发展中国家数字经济的快速发展,其在全球数据治理中的地位和作用日益凸显。发展中国家纷纷提出了自己的数据治理主张,要求在全球数据治理中享有平等的话语权,维护自身的数据主权和利益。例如,巴西、印度等发展中国家制定了严格的数据保护法律,加强了对数据跨境流动的监管;中国提出了“数字丝绸之路”倡议,推动与沿线国家在数字经济领域的合作,提升发展中国家在全球数据治理中的影响力。未来,发展中国家将在全球数据治理中发挥更加重要的作用,全球数据治理规则的制定将更加兼顾不同国家和地区的利益诉求。
结论与建议
4.1 结论
数据跨境流动与数字贸易的发展已成为全球经济增长的新引擎,但其发展也面临着数据安全、治理规则不统一、数字鸿沟等一系列挑战。主要国家和地区基于自身的国情和利益,形成了不同的数据跨境安全管理模式:欧盟采取严格的合规监管模式,注重个人信息保护;美英采取灵活的创新导向监管模式,强调数据自由流动;日本采取平衡安全与发展的协同监管模式;韩国采取强化个人信息保护的严格监管模式。全球数据治理呈现出区域化、多边化、平衡数据安全与自由流动、应对新兴技术挑战、发展中国家话语权提升等趋势。
4.2 建议
针对全球数据跨境流动与数字贸易发展的现状和趋势,提出以下建议:
加强国际合作,推动数据治理规则协调统一:各国应积极参与全球数据治理规则的制定,加强与其他国家和地区的沟通与协商,在尊重各国数据主权的基础上,推动形成全球统一的数据跨境流动和数字贸易治理框架。重点加强与“一带一路”沿线国家、新兴经济体的合作,提升发展中国家在全球数据治理中的话语权。
完善国内数据保护法律法规体系:结合我国数字经济发展的实际情况,进一步完善数据安全法、个人信息保护法等相关法律法规,明确数据跨境流动的条件和程序,建立健全数据安全评估机制、数据分类分级保护制度等,为数据跨境流动和数字贸易的发展提供坚实的法律保障。
促进数据安全与数据自由流动的平衡:在保障数据安全的前提下,适度放宽数据跨境流动限制,鼓励企业开展数据跨境流动和数字贸易创新。加强数据安全技术研发和应用,提升数据安全保障能力,为数据跨境流动提供技术支撑。
加大数字基础设施建设和数字技术创新投入:加快5G、云计算、大数据、人工智能等数字基础设施建设,提升数字基础设施的覆盖范围和服务能力。加大对数字技术研发的投入,培养数字技术人才,提升我国在数字技术领域的核心竞争力,为数字贸易的发展提供技术和人才支撑。
引导企业加强合规管理,提升国际竞争力:加强对企业的数据合规培训,引导企业建立健全数据合规管理体系,遵守国内外数据保护法律法规和监管要求。支持企业参与国际数据标准制定和国际认证,提升企业在国际市场中的竞争力。
总之,数据跨境流动与数字贸易的发展机遇与挑战并存。各国应加强合作、共同应对,推动构建开放、包容、安全、有序的全球数据治理体系,促进数据跨境流动和数字贸易的健康发展,为全球经济增长注入新的动力。
免责声明:此文为综述相关智能网联网联和信息安全文献撰写,传播汽车网络信息安全相关知识;若有相关侵权异议等请及时联系我们协商或删除。
想获取网络安全最新研报与资讯,请扫码加客服微信,免费入群领取汽车网络安全相关重磅报告。
