博弈論視角下跨境數(shù)據(jù)流動(dòng)的問題與對(duì)策研究

魏遠(yuǎn)山

(湘潭大學(xué) 知識(shí)產(chǎn)權(quán)學(xué)院,湖南 湘潭 411105)

自2008年以來,數(shù)據(jù)流動(dòng)對(duì)全球經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)已超過傳統(tǒng)的跨國(guó)貿(mào)易和投資,成為推動(dòng)全球經(jīng)濟(jì)發(fā)展的重要力量。隨著數(shù)字經(jīng)濟(jì)的發(fā)展,從地緣政治、經(jīng)濟(jì)貿(mào)易、產(chǎn)業(yè)發(fā)展等角度看,跨境數(shù)據(jù)流動(dòng)(transborder data flow,TBDF)與國(guó)家安全、網(wǎng)絡(luò)安全、隱私保護(hù)、國(guó)際貿(mào)易和分工機(jī)制、本土產(chǎn)業(yè)發(fā)展等政策緊密掛鉤,加劇了各國(guó)在網(wǎng)絡(luò)空間的戰(zhàn)略博弈與數(shù)據(jù)資源爭(zhēng)奪,從而成為各國(guó)及國(guó)際治理中的核心議題。如2019年G20峰會(huì)的宣言指出,“跨境數(shù)據(jù)流動(dòng)帶來了更高的生產(chǎn)力、更大的創(chuàng)新和更好的可持續(xù)發(fā)展,同時(shí)也帶來了與隱私、數(shù)據(jù)保護(hù)相關(guān)的挑戰(zhàn)。通過應(yīng)對(duì)這些挑戰(zhàn),可進(jìn)一步促進(jìn)數(shù)據(jù)自由流動(dòng),增進(jìn)消費(fèi)者和企業(yè)的信任。這種可信任的數(shù)據(jù)自由流動(dòng)將促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展”(1)G20 Research Group.G20 Osaka Leaders’ Declaration[EB/OL].(2019-06-29)[2020-12-04]http:∥www.g20.utoronto.ca/2019/2019-g20-osaka-leaders-declaration.html.。同時(shí),《大阪數(shù)字經(jīng)濟(jì)宣言》啟動(dòng)的“大阪軌道”(Osaka Track)將促進(jìn)跨境數(shù)據(jù)流動(dòng)國(guó)際規(guī)則的制定,實(shí)現(xiàn)數(shù)據(jù)安全與利用的平衡(2)G20 Research Group.Osaka Declaration on digital economy[EB/OL].(2016-06-29)[2020-12-04].https:∥www.wto.org/english/news_e/news19_e/osaka_declration_on_digital_economy_e.pdf.。但跨境數(shù)據(jù)流動(dòng)所涉利益的復(fù)雜性、價(jià)值認(rèn)同的差異性和國(guó)家間信任的缺乏,阻礙了各國(guó)或地區(qū)在短期內(nèi)形成規(guī)則共識(shí)。本文立足于各經(jīng)濟(jì)體爭(zhēng)奪數(shù)字經(jīng)濟(jì)話語權(quán)、攫取數(shù)字經(jīng)濟(jì)紅利的時(shí)代背景,采用博弈論框架分析作為理性人的跨境數(shù)據(jù)流動(dòng)政策的制定主體——國(guó)家或主權(quán)地區(qū),究竟是采取“寬松式立法”來促進(jìn)數(shù)據(jù)自由流動(dòng),還是以“嚴(yán)格式立法”來加大數(shù)據(jù)保護(hù)力度?如何在安全性和成長(zhǎng)性中實(shí)現(xiàn)平衡,從而在保障國(guó)家安全和數(shù)據(jù)安全的同時(shí),抓住數(shù)字經(jīng)濟(jì)發(fā)展的機(jī)遇?并在此基礎(chǔ)上結(jié)合中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展和技術(shù)產(chǎn)業(yè)現(xiàn)狀,探討中國(guó)應(yīng)采取何種跨境數(shù)據(jù)流動(dòng)政策,提高數(shù)據(jù)治理能力,在確保安全的情況下促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

一、數(shù)據(jù)跨境流動(dòng)及用博弈論分析的可行性

(一)跨境數(shù)據(jù)流動(dòng)的現(xiàn)實(shí)、分歧及其厘清

由于地理邊界不能有效保障數(shù)據(jù)流通安全,跨境數(shù)據(jù)流動(dòng)問題在20世紀(jì)后期就已引起關(guān)注。瑞典是最早對(duì)個(gè)人數(shù)據(jù)跨境流動(dòng)進(jìn)行規(guī)制的國(guó)家,早在1973年制定的《瑞典數(shù)據(jù)保護(hù)法》中就明確,設(shè)立自動(dòng)處理個(gè)人數(shù)據(jù)的計(jì)算機(jī)系統(tǒng)和進(jìn)行數(shù)據(jù)跨境流動(dòng)必須由瑞典數(shù)據(jù)監(jiān)管委員會(huì)批準(zhǔn)。到1980年,經(jīng)濟(jì)發(fā)展與合作組織(OECD)在《隱私保護(hù)與個(gè)人跨境數(shù)據(jù)流動(dòng)準(zhǔn)則》中也對(duì)個(gè)人數(shù)據(jù)跨境流動(dòng)做了限制。進(jìn)入大數(shù)據(jù)時(shí)代后,數(shù)字與網(wǎng)絡(luò)技術(shù)的快速發(fā)展使數(shù)據(jù)的價(jià)值進(jìn)一步被發(fā)掘,且頻繁的數(shù)據(jù)跨境流動(dòng)伴隨著全球貿(mào)易的各個(gè)環(huán)節(jié),導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)激增,因此越來越多的國(guó)家和地區(qū)開始制定法律或政策來規(guī)范跨境數(shù)據(jù)流動(dòng)。如歐盟《通用數(shù)據(jù)保護(hù)條例》第五章“將個(gè)人數(shù)據(jù)轉(zhuǎn)移到第三國(guó)或國(guó)際組織”規(guī)定,進(jìn)行數(shù)據(jù)轉(zhuǎn)移必須確保數(shù)據(jù)接收國(guó)滿足“充分保護(hù)水平”(第45條);俄羅斯目前涉及數(shù)據(jù)管理的國(guó)家專門立法明確了數(shù)據(jù)本地存儲(chǔ)的基本規(guī)則。

規(guī)制活動(dòng)必須以清楚認(rèn)識(shí)規(guī)制對(duì)象為前提,這就必須回答“何為跨境數(shù)據(jù)流動(dòng)”。亞太經(jīng)合組織(APEC)對(duì)個(gè)人數(shù)據(jù)跨境流動(dòng)的界定是“個(gè)人數(shù)據(jù)的跨越國(guó)界流動(dòng)”(3)Orgnazisation for Economic Cooperation and Development(OECD).Guidelines governing the protection of privacy and transborder flow of personal data[EB/OL].(1980-09-23)[2020-12-04].https:∥www.refworld.org/docid/3dde56854.html.;石月[1]認(rèn)為“跨境數(shù)據(jù)流動(dòng)有兩種理解:一種是數(shù)據(jù)跨越國(guó)界的傳輸和處理;另一種是數(shù)據(jù)雖然沒有跨越國(guó)界,但被第三國(guó)的主體能夠訪問”。雖然當(dāng)前學(xué)界對(duì)跨境數(shù)據(jù)流動(dòng)眾說紛紜,但仍存共識(shí):數(shù)據(jù)存在跨越國(guó)境的傳輸。不過,就其內(nèi)涵卻存在如下分歧:

第一,“數(shù)據(jù)”的范圍。跨境數(shù)據(jù)流動(dòng)并非一開始就受到關(guān)注,對(duì)其的關(guān)注是從對(duì)個(gè)人信息保護(hù)中演化而來。這也是為什么有學(xué)者認(rèn)為,即使在“后棱鏡門”時(shí)期,跨境數(shù)據(jù)流動(dòng)中的“數(shù)據(jù)”仍是以個(gè)人數(shù)據(jù)為主,只是在極少數(shù)案例中才擴(kuò)展至其他類型的數(shù)據(jù)[2]。也有學(xué)者認(rèn)為個(gè)人數(shù)據(jù)是跨境數(shù)據(jù)流動(dòng)中最重要,也是數(shù)量最多的一類數(shù)據(jù),但從國(guó)家管理的角度出發(fā),非個(gè)人數(shù)據(jù)同樣重要。為保證數(shù)據(jù)安全,跨境數(shù)據(jù)流動(dòng)不應(yīng)僅限于個(gè)人數(shù)據(jù)的跨境流動(dòng)[3]。那么“數(shù)據(jù)”究竟是僅限于個(gè)人數(shù)據(jù),還是包含企業(yè)數(shù)據(jù)等廣義上的數(shù)據(jù)?在現(xiàn)今社會(huì),“數(shù)據(jù)作為新時(shí)代的新石油”,指的不僅是個(gè)人數(shù)據(jù),還包括企業(yè)數(shù)據(jù)和政府?dāng)?shù)據(jù)。從數(shù)據(jù)安全角度看,個(gè)人數(shù)據(jù)安全固然重要,但企業(yè)和國(guó)家數(shù)據(jù)安全也很重要,甚至在某種程度上,個(gè)人數(shù)據(jù)安全依托于國(guó)家數(shù)據(jù)安全之上。因此,本文認(rèn)為跨境數(shù)據(jù)流動(dòng)并非僅限于個(gè)人數(shù)據(jù),非個(gè)人數(shù)據(jù)也應(yīng)該被囊括,如商業(yè)數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施上產(chǎn)生的個(gè)人數(shù)據(jù)和公共數(shù)據(jù)等。

第二,“流動(dòng)”的含義。按照OECD的理解,數(shù)據(jù)在國(guó)家之間的流動(dòng)才是跨境數(shù)據(jù)流動(dòng)的根本特征。但隨著網(wǎng)絡(luò)技術(shù)與信息技術(shù)的發(fā)展,數(shù)據(jù)在國(guó)家間的流動(dòng)不再是跨境數(shù)據(jù)流動(dòng)的必要環(huán)節(jié)。只要數(shù)據(jù)能夠在境外被獲取,即使數(shù)據(jù)并未發(fā)生物理位置的轉(zhuǎn)移,也不能否認(rèn)實(shí)現(xiàn)了數(shù)據(jù)跨境流動(dòng)的效果。在此意義上,如果數(shù)據(jù)能夠在境外被獲取或處理,即使并未發(fā)生跨越國(guó)界的流動(dòng),也應(yīng)視為跨境數(shù)據(jù)流動(dòng)。但如果是不可見或不可獲取的,僅為響應(yīng)某一后臺(tái)操作而臨時(shí)在系統(tǒng)中存在,不應(yīng)將其視為跨境數(shù)據(jù)流動(dòng)[4]。因此,本文認(rèn)為“跨境數(shù)據(jù)流動(dòng)”比“跨境數(shù)據(jù)傳輸”“數(shù)據(jù)跨境傳輸”等術(shù)語更能準(zhǔn)確概括當(dāng)下數(shù)據(jù)流動(dòng)的內(nèi)涵。

綜上,本文認(rèn)為跨境數(shù)據(jù)流動(dòng)是指,一國(guó)數(shù)據(jù)可在境外被獲取,其獲取方式包括但不限于跨越國(guó)境的轉(zhuǎn)移、可在境外終端瀏覽或處理等,但單純的不可被獲取的系統(tǒng)臨時(shí)緩存應(yīng)被排除在外。

(二)博弈論及其運(yùn)用于數(shù)據(jù)跨境流動(dòng)的可行性

博弈論又稱對(duì)策論,是研究當(dāng)某一博弈參與者的決策受到其他參與者決策的影響時(shí),該參與者的相關(guān)決策反過來又影響其他參與者決策選擇的決策和均衡問題[5]3。總體的邏輯是博弈參與者在自身掌握的博弈信息基礎(chǔ)上,出于自身利益最大化的目的進(jìn)行決策選擇;且其決策選擇會(huì)影響其他博弈參與者的決策選擇,并產(chǎn)生動(dòng)態(tài)的決策改進(jìn),最終實(shí)現(xiàn)各博弈參與者利益最大化的最優(yōu)策略組合。博弈論的應(yīng)用假設(shè)前提是各個(gè)參與者是理性人,即各參與者在進(jìn)行決策時(shí),根據(jù)所掌握的信息、其他參與者的決策反饋,能夠作出合乎理性的決定以實(shí)現(xiàn)自己利益的最大化。

由此可見,博弈論的基本要素有博弈參與者(player)、博弈信息(information)、博弈策略(strategies)、博弈收益(payoff)和博弈均衡(equilibrium)。博弈參與者是指每一個(gè)有決策權(quán)的行為主體;博弈信息是指可為決策的作出提供依據(jù)的各種信息;博弈策略是指每個(gè)博弈參與者可選擇的、實(shí)際可行的、完整的行動(dòng)方案;博弈收益是指博弈參與者在博弈結(jié)束時(shí)的得失,其得失不僅與自身選擇有關(guān),還與其他人的選擇相關(guān);當(dāng)博弈對(duì)手不改變策略時(shí),當(dāng)下的策略的收益最好,這種決策組合被稱為博弈均衡。上述五個(gè)要素是定義一個(gè)博弈的關(guān)鍵,博弈論就是分析上述要素界定下有限理性的合理決策選擇的結(jié)果,在不同決策選擇時(shí)的不同效果,力爭(zhēng)實(shí)現(xiàn)最優(yōu)策略選擇,使博弈參與者的利益最大化。

博弈論是解決博弈參與者在有限理性的情況下,如何找到最優(yōu)決策的分析方法。該方法綜合考慮各個(gè)參與者的個(gè)體預(yù)測(cè)行為和實(shí)際行為,并研究各參與者間的決策策略,尤其是對(duì)具有競(jìng)爭(zhēng)性現(xiàn)象的解釋,具有較強(qiáng)分析能力。跨境數(shù)據(jù)流動(dòng)在促進(jìn)貿(mào)易、數(shù)字經(jīng)濟(jì)、人才流動(dòng)和技術(shù)發(fā)展的同時(shí),也帶來了數(shù)據(jù)安全和法律治理等問題。作為“理性人”的國(guó)家或主權(quán)地區(qū),制定跨境數(shù)據(jù)流動(dòng)管控政策的目的,是通過控制來實(shí)現(xiàn)數(shù)據(jù)健康有序的流動(dòng),在安全的前提下促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展。但各國(guó)或地區(qū)跨境數(shù)據(jù)流動(dòng)政策不僅因本國(guó)國(guó)情和國(guó)際傾向而變,還會(huì)基于對(duì)等原則相互影響。這種追求本國(guó)或地區(qū)跨境數(shù)據(jù)流動(dòng)利益最大化的目的,相關(guān)政策又相互影響的客觀現(xiàn)實(shí),符合博弈論的基本分析框架。如A國(guó)對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行嚴(yán)格管控雖確保了本國(guó)數(shù)據(jù)安全,但可能會(huì)阻礙全球化和數(shù)字化背景下本國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展,同時(shí)也會(huì)限制與A國(guó)有互動(dòng)的或潛在合作國(guó)的數(shù)字經(jīng)濟(jì)發(fā)展。鑒于一國(guó)數(shù)字技術(shù)水平、法律健全程度、產(chǎn)業(yè)規(guī)模等信息在一定程度上是公開可獲取的,他國(guó)或地區(qū)基于A國(guó)的政策會(huì)作出適當(dāng)調(diào)整,在保證本國(guó)安全的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)利益最大化。因此,在數(shù)字經(jīng)濟(jì)快速發(fā)展與數(shù)據(jù)安全并重的當(dāng)下,利用博弈論分析作為“理性人”的國(guó)家或地區(qū)會(huì)采取何種措施應(yīng)對(duì)跨境數(shù)據(jù)流動(dòng)難題,不僅對(duì)提升全球數(shù)據(jù)保護(hù)水平、減少數(shù)據(jù)安全事件具有重要意義,還為創(chuàng)造更加良好的營(yíng)商環(huán)境、助力數(shù)字經(jīng)濟(jì)的發(fā)展大有裨益。

數(shù)據(jù)不僅關(guān)系到個(gè)人隱私,還關(guān)系到企業(yè)利益和國(guó)家安全,更是重要的戰(zhàn)略資源。在一定程度上,一國(guó)的數(shù)據(jù)保有量決定了其數(shù)字經(jīng)濟(jì)競(jìng)爭(zhēng)力的強(qiáng)弱。采取的跨境數(shù)據(jù)流動(dòng)措施會(huì)影響到本國(guó)公民的隱私和數(shù)據(jù)安全、企業(yè)的運(yùn)營(yíng),乃至國(guó)家安全和經(jīng)濟(jì)發(fā)展,同時(shí)也會(huì)影響到貿(mào)易往來國(guó)的數(shù)據(jù)保護(hù)立法和司法實(shí)踐。因此,基于本國(guó)數(shù)據(jù)保護(hù)目的和他國(guó)跨境數(shù)據(jù)流動(dòng)政策,一國(guó)的跨境數(shù)據(jù)流動(dòng)政策可能會(huì)進(jìn)行相應(yīng)調(diào)整,同時(shí)也會(huì)導(dǎo)致他國(guó)的政策變動(dòng)。不過,最終各國(guó)會(huì)在保證本國(guó)利益的情況下,盡可能地追求共同利益,使得跨境數(shù)據(jù)流動(dòng)政策逐漸趨同。

二、跨境數(shù)據(jù)流動(dòng)政策博弈的要素及其闡釋

欲對(duì)跨境數(shù)據(jù)流動(dòng)政策博弈進(jìn)行解析,需先界定此博弈的基本要素。在跨境數(shù)據(jù)流動(dòng)政策的博弈中,主要有博弈主體、博弈信息、博弈策略、博弈收益和博弈均衡需明確。

(一)博弈主體:國(guó)家或主權(quán)地區(qū)

跨境數(shù)據(jù)流動(dòng)涉及的主體眾多,如國(guó)家或主權(quán)地區(qū)、各國(guó)企業(yè)、各國(guó)公民等。上述三類主體既可作為數(shù)據(jù)主體,也可能是數(shù)據(jù)控制者或處理者。對(duì)國(guó)家或主權(quán)地區(qū)而言,在跨境數(shù)據(jù)流動(dòng)中首要保障的是國(guó)家或地區(qū)安全,并在安全的前提下追求數(shù)據(jù)的經(jīng)濟(jì)效益;對(duì)企業(yè)而言,不僅注重自身數(shù)據(jù)安全,還欲在低成本的情況下追求數(shù)據(jù)合規(guī),盡可能提高經(jīng)濟(jì)效率;對(duì)公民而言,在保證自身數(shù)據(jù)安全的情況下,追求高效便利的數(shù)字服務(wù)。

在跨境數(shù)據(jù)流動(dòng)治理過程中,因企業(yè)和公民多是規(guī)則的遵守者,作為政策制定者的國(guó)家或主權(quán)地區(qū)的角色更為重要。國(guó)家制定何種政策將直接影響企業(yè)或公民的數(shù)據(jù)傳輸行為,因此本文僅關(guān)注作為政策制定者的國(guó)家或主權(quán)地區(qū)間的博弈。不過,企業(yè)和公民并非完全獨(dú)立于國(guó)家或主權(quán)地區(qū)。企業(yè)和公民在日常生活和工作中對(duì)跨境數(shù)據(jù)流動(dòng)有著自己的訴求,這些訴求會(huì)被政策制定者予以考慮,直接或間接影響政策的制定。如公民作為數(shù)據(jù)主體希望自己的數(shù)據(jù)盡量不要出境;若確有出境需要,也應(yīng)盡可能保證數(shù)據(jù)安全,確保自己的合法權(quán)益。企業(yè)在走向國(guó)際市場(chǎng)時(shí)必然伴隨著數(shù)據(jù)的跨境流動(dòng),過于繁瑣和苛刻的跨境數(shù)據(jù)流動(dòng)政策將增加企業(yè)的運(yùn)營(yíng)成本,因而企業(yè)傾向較為寬松的政策。此外,企業(yè)或公民在跨境數(shù)據(jù)流動(dòng)實(shí)踐中較為成熟的做法或內(nèi)部規(guī)則,也可能被政策制定者上升為政策或法律。

(二)決策基礎(chǔ):國(guó)內(nèi)外相關(guān)信息集合

相較于“數(shù)據(jù)是新石油”,“數(shù)據(jù)是一種新的財(cái)富”更為直接地表明了數(shù)據(jù)的價(jià)值。在數(shù)字貿(mào)易時(shí)代,數(shù)據(jù)的質(zhì)和量、保護(hù)和利用直接關(guān)系到數(shù)字經(jīng)濟(jì)的發(fā)展。在制定跨境數(shù)據(jù)流動(dòng)相關(guān)政策和法律時(shí),如何保證數(shù)據(jù)的質(zhì)和量、平衡數(shù)據(jù)保護(hù)和利用是關(guān)鍵。因此,與數(shù)據(jù)相關(guān)的信息技術(shù)水平(決定數(shù)據(jù)的質(zhì)和量)、數(shù)字產(chǎn)業(yè)(利用)和法律制度(保護(hù)),以及國(guó)際環(huán)境等信息成為作出博弈決策的重要依據(jù):

第一,信息技術(shù)。信息技術(shù)是指對(duì)數(shù)據(jù)進(jìn)行采集、傳輸、存儲(chǔ)、加工、表達(dá)的各種技術(shù)之和。因網(wǎng)絡(luò)就緒指數(shù)(Networked Readiness Index)作為專門衡量一國(guó)信息技術(shù)的指標(biāo)體系,故可用來衡量一國(guó)信息技術(shù)水平。該指標(biāo)體系是2002年由世界經(jīng)濟(jì)論壇、國(guó)際英思雅德和美國(guó)康奈爾大學(xué)共同制定,并用于其發(fā)布的《全球信息技術(shù)報(bào)告》(TheGlobalInformationTechnologyReport)來衡量全球主要利用信息技術(shù)的139個(gè)國(guó)家或經(jīng)濟(jì)體的技術(shù)水平。該指數(shù)最初是由環(huán)境、準(zhǔn)備、使用和影響四個(gè)子指數(shù),共計(jì)53個(gè)因素綜合判斷(4)WEF.The global information technology report 2016[R/OL].(2016-07-06)[2020-12-05]http:∥www3.weforum.org/docs/GITR2016/WEF_GITR_Full_Report.pdf.。不過,一方面,信息通信技術(shù)的快速發(fā)展使舊版指標(biāo)無法完全適應(yīng)新時(shí)代的需求;另一方面,舊版指標(biāo)要么側(cè)重基礎(chǔ)設(shè)施的建設(shè)情況及其可承受性和采用性,要么考慮相關(guān)性或側(cè)重個(gè)人對(duì)采用某項(xiàng)特定技術(shù)的看法,導(dǎo)致過分依賴于國(guó)家級(jí)數(shù)據(jù)(country-level data)。為更好滿足技術(shù)發(fā)展需求,準(zhǔn)確衡量人們所選擇的技術(shù)和治理措施對(duì)經(jīng)濟(jì)增長(zhǎng)產(chǎn)生的影響,從而促進(jìn)人與技術(shù)的和諧融合,實(shí)現(xiàn)可持續(xù)發(fā)展目標(biāo),在2019年版的報(bào)告中對(duì)網(wǎng)絡(luò)就緒指數(shù)指標(biāo)體系進(jìn)行了升級(jí)[6]20-22。新版指標(biāo)主要包括技術(shù)(可獲取性7個(gè)因素、內(nèi)容3個(gè)因素、未來技術(shù)6個(gè)因素)、人員(個(gè)人6個(gè)因素、企業(yè)6個(gè)因素、政府4個(gè)因素)、治理(可信任度5個(gè)因素、規(guī)制6個(gè)因素、包容性5個(gè)因素)和影響(經(jīng)濟(jì)4個(gè)因素、生活質(zhì)量4個(gè)因素、可持續(xù)發(fā)展建設(shè)6個(gè)因素)四個(gè)子指數(shù),共計(jì)62個(gè)因素。可以說,《全球信息技術(shù)報(bào)告》是對(duì)信息技術(shù)如何影響各國(guó)競(jìng)爭(zhēng)力和福祉的最權(quán)威和最全面的評(píng)估,系列報(bào)告和網(wǎng)絡(luò)就緒指數(shù)在提高人們對(duì)信息技術(shù)重要性的認(rèn)識(shí)方面做出了重要貢獻(xiàn)(5)LANVIN B,GEIGER T.The world’s most tech-ready countries 2015[EB/OL].(2015-04-15)[2021-01-29].https:∥knowledge.insead.edu/entrepreneurship-innovation/the-worlds-most-tech-ready-countries-2015-3953.。因此,本文以2019年版《全球信息技術(shù)報(bào)告》中的技術(shù)水平評(píng)價(jià)為參考依據(jù)。

第二,數(shù)據(jù)產(chǎn)業(yè)。一國(guó)數(shù)據(jù)產(chǎn)業(yè)狀況會(huì)影響該國(guó)跨境數(shù)據(jù)流動(dòng)政策的趨向。如電子商務(wù)并不發(fā)達(dá)的印度在2019年初發(fā)布的《國(guó)家電子商務(wù)政策(草案)》認(rèn)為,如果無法獲得印度國(guó)內(nèi)產(chǎn)生的海量數(shù)據(jù),印度企業(yè)將無法創(chuàng)造出增值的數(shù)字產(chǎn)品,印度的科技公司將“僅是處理外包數(shù)據(jù)工作”的作坊。如果不對(duì)跨境數(shù)據(jù)流動(dòng)施加限制,印度本身就將關(guān)閉在國(guó)內(nèi)開發(fā)高價(jià)值數(shù)字產(chǎn)品的大門(6)又下狠手?印度擬再出臺(tái)電商新規(guī),限制外國(guó)零售巨頭數(shù)據(jù)跨境流動(dòng)[EB/OL].(2019-02-26)[2020-12-04].https:∥baijiahao.baidu.com/s?id=1626511628594217875&wfr=spider&for=pc.。因此,該草案將“促進(jìn)印度本土數(shù)據(jù)產(chǎn)業(yè)發(fā)展”作為數(shù)據(jù)本地化與跨境傳輸立法的核心驅(qū)動(dòng)力,不僅要求數(shù)據(jù)本地化存儲(chǔ),還進(jìn)一步限制外國(guó)企業(yè)在印度的經(jīng)營(yíng)方式,以便為本土電商發(fā)展掃清障礙。又如作為互聯(lián)網(wǎng)巨頭的美國(guó)得益于信息技術(shù)的優(yōu)勢(shì),占據(jù)著全球數(shù)字產(chǎn)業(yè)市場(chǎng)的大部分份額。在2019年“全球Top50互聯(lián)網(wǎng)上市企業(yè)”中美國(guó)占30余席位,前十名獨(dú)占7位(7)恒大研究院.全球互聯(lián)網(wǎng)發(fā)展報(bào)告2019:為何美國(guó)稱霸、中國(guó)崛起?[EB/OL].(2019-10-25)[2020-12-04].https:∥news.hexun.com/2019-10-25/198998006.html,。因此,美國(guó)更加看重?cái)?shù)據(jù)自由流動(dòng)以及由此帶來的經(jīng)濟(jì)效益,并在相關(guān)立法或政策上鼓勵(lì)數(shù)據(jù)流動(dòng)?？梢?一國(guó)數(shù)據(jù)產(chǎn)業(yè)狀況對(duì)跨境數(shù)據(jù)流動(dòng)政策的制定有著重大影響。

第三,法律制度。一國(guó)既有數(shù)據(jù)保護(hù)法律的健全程度及其對(duì)跨境數(shù)據(jù)流動(dòng)的態(tài)度,是影響跨境數(shù)據(jù)流動(dòng)政策制定的重要因素之一。首先,一國(guó)既有數(shù)據(jù)保護(hù)法律的健全程度對(duì)跨境數(shù)據(jù)流動(dòng)政策的影響,主要體現(xiàn)在數(shù)據(jù)保護(hù)規(guī)則越健全,跨境數(shù)據(jù)流動(dòng)政策相對(duì)較為明確和易于制定,而且跨境數(shù)據(jù)流動(dòng)政策的確立,也會(huì)完善數(shù)據(jù)保護(hù)法律制度。其次,一國(guó)既有數(shù)據(jù)保護(hù)法律制度對(duì)跨境數(shù)據(jù)流動(dòng)政策的影響主要體現(xiàn)在:后續(xù)制定的跨境數(shù)據(jù)流動(dòng)政策,在一定程度上需承襲或延續(xù)既有數(shù)據(jù)保護(hù)法律制度的相關(guān)價(jià)值目標(biāo),保證相關(guān)制度的統(tǒng)一性和科學(xué)性。當(dāng)然,若社會(huì)技術(shù)水平和經(jīng)濟(jì)條件發(fā)生巨大變化時(shí),可突破既有法律制度秉持的價(jià)值或目標(biāo)。如既有數(shù)據(jù)保護(hù)立法側(cè)重保證數(shù)據(jù)安全與個(gè)人隱私,那跨境數(shù)據(jù)流動(dòng)政策考慮到數(shù)據(jù)安全、個(gè)人隱私、國(guó)家安全等價(jià)值取向,可能會(huì)限制跨境數(shù)據(jù)流動(dòng)。不過,當(dāng)一國(guó)經(jīng)濟(jì)條件和信息技術(shù)水平具有足夠的優(yōu)勢(shì)時(shí),為追求經(jīng)濟(jì)利益,可能在確保安全的基礎(chǔ)上鼓勵(lì)數(shù)據(jù)跨境流動(dòng)。

第四,國(guó)際環(huán)境。在貿(mào)易數(shù)字化和數(shù)字全球化的大背景下,國(guó)家間的交流互通愈發(fā)頻繁,必然使數(shù)據(jù)跨境流動(dòng)日益頻繁。因此,一國(guó)跨境數(shù)據(jù)流動(dòng)的政策選擇必然要考慮域外國(guó)家的立法狀況,以及當(dāng)前國(guó)際社會(huì)的主流態(tài)度。一是需考察貿(mào)易往來國(guó)的跨境數(shù)據(jù)流動(dòng)政策?？缇硵?shù)據(jù)流動(dòng)的管控不僅在于保證本國(guó)的國(guó)家、企業(yè)、個(gè)人的數(shù)據(jù)安全等基本需求,還需保證數(shù)據(jù)的自由流動(dòng),充分挖掘數(shù)據(jù)的經(jīng)濟(jì)價(jià)值。若貿(mào)易往來國(guó)的數(shù)據(jù)保護(hù)立法及其司法實(shí)踐達(dá)不到本國(guó)的數(shù)據(jù)保護(hù)水平,則可選擇較為嚴(yán)苛的跨境數(shù)據(jù)流動(dòng)政策保證本國(guó)數(shù)據(jù)安全。如有史上最嚴(yán)數(shù)據(jù)保護(hù)法之稱的歐盟《通用數(shù)據(jù)保護(hù)條例》(GeneralDataProtectionRegulation,GDPR)規(guī)定,只有數(shù)據(jù)接收國(guó)或國(guó)際組織的數(shù)據(jù)保護(hù)水平達(dá)到歐盟相關(guān)保護(hù)要求(充分保護(hù)水平)時(shí)才可轉(zhuǎn)移數(shù)據(jù)。二是需考察跨境數(shù)據(jù)流動(dòng)的國(guó)際政策趨勢(shì),避免與全球規(guī)則脫軌。盡管在“斯諾登事件”“Facebook事件”之后,數(shù)據(jù)安全和隱私保護(hù)逐漸成為各國(guó)關(guān)注的重點(diǎn),也是跨境數(shù)據(jù)流動(dòng)政策的重要目標(biāo)。但在數(shù)字和貿(mào)易全球化背景下,為促進(jìn)全球經(jīng)濟(jì)的發(fā)展,國(guó)際社會(huì)提倡在保證數(shù)據(jù)安全和國(guó)家安全、尊重他國(guó)數(shù)據(jù)主權(quán)的前提下,促進(jìn)跨境數(shù)據(jù)流動(dòng)。諸如WTO、G20和OECD等組織或機(jī)構(gòu)一直在推動(dòng)跨境數(shù)據(jù)流動(dòng)的全球性或區(qū)域性規(guī)則,致力于促進(jìn)全球數(shù)字經(jīng)濟(jì)發(fā)展。可以說,盡管當(dāng)前的國(guó)際情勢(shì)確實(shí)較為復(fù)雜,但跨境數(shù)據(jù)流動(dòng)的主流國(guó)際趨勢(shì)仍是在保證安全的前提下促進(jìn)數(shù)據(jù)自由流動(dòng),以更好地發(fā)展數(shù)字經(jīng)濟(jì)。因此,一國(guó)在制定跨境數(shù)據(jù)流動(dòng)政策時(shí),應(yīng)在保證本國(guó)利益的基礎(chǔ)上最大程度與國(guó)際接軌,共促數(shù)據(jù)自由流動(dòng);否則無異于閉關(guān)鎖國(guó),錯(cuò)失數(shù)字經(jīng)濟(jì)的機(jī)遇。

(三)策略選擇:五種規(guī)制模式的選擇

跨境數(shù)據(jù)流動(dòng)與境內(nèi)數(shù)據(jù)流動(dòng)相比,前者的跨國(guó)性與管轄權(quán)行使困難、經(jīng)濟(jì)性與跨境數(shù)據(jù)的可利用價(jià)值、數(shù)據(jù)流動(dòng)與保護(hù)的沖突性、跨境數(shù)據(jù)流動(dòng)的二元性與雙重立法價(jià)值的沖突[7]考究著跨境數(shù)據(jù)流動(dòng)的治理之道,凸顯了“良好的數(shù)據(jù)保護(hù)(數(shù)據(jù)保護(hù))”“跨境數(shù)據(jù)自由流動(dòng)(數(shù)據(jù)流動(dòng))”“數(shù)據(jù)保護(hù)自主權(quán)(數(shù)據(jù)主權(quán))”的“三難問題”[8]?？v觀各國(guó)跨境數(shù)據(jù)安全立法與治理實(shí)踐,為保護(hù)本國(guó)數(shù)據(jù)安全和數(shù)據(jù)產(chǎn)業(yè)發(fā)展,對(duì)數(shù)據(jù)跨境流動(dòng)的模式可大致分為五種(8)數(shù)據(jù)保護(hù)規(guī)則總是以“原則+例外”的立法方式進(jìn)行設(shè)定,故五種跨境數(shù)據(jù)流動(dòng)政策模式是在“原則”上的提取的,并不包含“例外”情形。。

模式一:以地理區(qū)域?yàn)榛鶞?zhǔn)的“數(shù)據(jù)本地化存儲(chǔ)模式”。本地化存儲(chǔ)(Data Localization)著重于確保本國(guó)數(shù)據(jù)的本地化留存,可在很大程度上減少數(shù)據(jù)的境外流失問題,是從本國(guó)數(shù)據(jù)主權(quán)、數(shù)據(jù)安全和個(gè)人隱私的價(jià)值中演化而來的,以俄羅斯和越南等為代表。俄羅斯的《關(guān)于信息、信息技術(shù)和信息保護(hù)法》《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》《俄羅斯聯(lián)邦大眾傳媒法》《俄羅斯聯(lián)邦安全局法》《俄羅斯聯(lián)邦外國(guó)投資法》等法律就數(shù)據(jù)本地化存儲(chǔ)原則作出規(guī)定,不僅要求數(shù)據(jù)控制者和處理者將俄羅斯公民的個(gè)人數(shù)據(jù)存儲(chǔ)在俄羅斯境內(nèi),還要求數(shù)據(jù)的處理行為和采用的數(shù)據(jù)庫(kù)位于俄羅斯境內(nèi),且必要時(shí)需履行相關(guān)信息告知和協(xié)助有關(guān)部門執(zhí)法的義務(wù)?？梢哉f,俄羅斯的立法規(guī)定十分嚴(yán)格,通過對(duì)企業(yè)施加法定義務(wù)實(shí)現(xiàn)了政府對(duì)數(shù)據(jù)存儲(chǔ)、跨境傳輸、處理等環(huán)節(jié)的全面控制,從而掌握了本國(guó)數(shù)據(jù)跨境流動(dòng)的主動(dòng)權(quán)[9]。不過,俄羅斯并非絕對(duì)禁止跨境數(shù)據(jù)流動(dòng),而是有條件地允許數(shù)據(jù)傳輸?shù)椒蠗l件的國(guó)家或地區(qū)。此外,在2019年生效的越南《網(wǎng)絡(luò)安全法》第四章第26條第3款規(guī)定,提供電信網(wǎng)、互聯(lián)網(wǎng)業(yè)務(wù)和其他網(wǎng)絡(luò)增值業(yè)務(wù)的國(guó)內(nèi)外企業(yè),應(yīng)當(dāng)將服務(wù)使用者關(guān)系數(shù)據(jù)和越南服務(wù)使用者產(chǎn)生的各類個(gè)人數(shù)據(jù)和相關(guān)數(shù)據(jù)存儲(chǔ)在越南境內(nèi)(9)《越南網(wǎng)絡(luò)安全法》第26條第3款規(guī)定:“在越南網(wǎng)絡(luò)空間提供電信網(wǎng)、互聯(lián)網(wǎng)業(yè)務(wù)和其他網(wǎng)絡(luò)增值服務(wù)的國(guó)內(nèi)外企業(yè),若有收集、開發(fā)、分析、處理個(gè)人通信數(shù)據(jù)、業(yè)務(wù)使用者關(guān)系數(shù)據(jù)和業(yè)務(wù)使用者在越南產(chǎn)生的數(shù)據(jù)的活動(dòng),要在政府規(guī)定的時(shí)間內(nèi)在越南儲(chǔ)存這些數(shù)據(jù)。本款規(guī)定的國(guó)內(nèi)外企業(yè)要在越南設(shè)立分支機(jī)構(gòu)或代表處?！?。

模式二:以充分性原則為核心的“嚴(yán)格保護(hù)模式”。充分性原則是在考察數(shù)據(jù)接收國(guó)數(shù)據(jù)保護(hù)水平的基礎(chǔ)上,由數(shù)據(jù)保護(hù)當(dāng)局決定是否準(zhǔn)許數(shù)據(jù)流動(dòng)的制度,以歐盟為代表。歐盟以保障人權(quán)的立場(chǎng)限制個(gè)人數(shù)據(jù)的跨境流動(dòng),并在GDPR第45、46條規(guī)定,只有認(rèn)定數(shù)據(jù)接收國(guó)或組織具有“充分保護(hù)”水平才可不經(jīng)特別授權(quán)轉(zhuǎn)移數(shù)據(jù)。具體應(yīng)審查接收者所在地/國(guó)的“法治、對(duì)人權(quán)與基本自由的尊重”“存在一個(gè)或多個(gè)有效運(yùn)作的獨(dú)立監(jiān)管機(jī)構(gòu),保證數(shù)據(jù)保護(hù)規(guī)則的實(shí)施”“已許下的國(guó)際性承諾,或者承諾愿意承擔(dān)有法律約束力的條約或法律文件所引起的其他責(zé)任,以及參加多邊或地區(qū)性的體系,特別是和數(shù)據(jù)保護(hù)相關(guān)的體系所引起的其他責(zé)任”等情況。這種“充分保護(hù)”水平的審查是一種周期性審查,至少每四年一次。不過并非只要數(shù)據(jù)接收國(guó)或組織符合“充分保護(hù)”水平即可任意轉(zhuǎn)移數(shù)據(jù),對(duì)13～16周歲兒童的個(gè)人數(shù)據(jù)等特殊數(shù)據(jù)還需滿足其他條件(10)參見GDPR第8條信息社會(huì)服務(wù)中適用兒童同意的條件。;且若成員國(guó)有其他規(guī)定,還應(yīng)滿足規(guī)定。

模式三:以問責(zé)原則為核心的“寬松保護(hù)模式”。以問責(zé)原則為核心是通過制定跨境數(shù)據(jù)傳輸?shù)男袨闇?zhǔn)則來規(guī)范跨境數(shù)據(jù)傳輸行為,在發(fā)生數(shù)據(jù)安全事件后對(duì)相關(guān)數(shù)據(jù)控制者或處理者進(jìn)行追責(zé),以美國(guó)為代表。美國(guó)之所以會(huì)建立事后問責(zé)制的寬松式保護(hù)模式:一方面,與歐盟將個(gè)人數(shù)據(jù)視為人權(quán)對(duì)象不同,美國(guó)歷來將個(gè)人數(shù)據(jù)視為隱私權(quán)保護(hù)對(duì)象,對(duì)數(shù)據(jù)流動(dòng)的限制力度較小;另一方面,美國(guó)依靠信息和數(shù)字技術(shù)優(yōu)勢(shì)掠奪境外數(shù)字產(chǎn)業(yè)市場(chǎng)份額時(shí),需進(jìn)行大量數(shù)據(jù)跨境流動(dòng),為減少交易成本會(huì)采取較為寬松的數(shù)據(jù)管制策略。因此,美國(guó)以在線隱私聯(lián)盟(Online Privacy Alliances,OPA)公布的建議性指引以及由美國(guó)兩大隱私認(rèn)證企業(yè)TRUSTe和BBB Online制定的具有強(qiáng)制約束力的兩個(gè)隱私保護(hù)計(jì)劃(Privacy Seal Program)作為數(shù)據(jù)控制者和數(shù)據(jù)處理者的行為準(zhǔn)則,在出現(xiàn)數(shù)據(jù)安全事件后,由相關(guān)部門向責(zé)任主體追責(zé)[10]。這種寬松保護(hù)模式保證了數(shù)據(jù)的快速高效流動(dòng),保障了美國(guó)企業(yè)的商業(yè)利益,但對(duì)數(shù)據(jù)主體的保護(hù)力度不高。

模式四:以利益均衡為導(dǎo)向的“折衷保護(hù)模式”?？缇硵?shù)據(jù)流動(dòng)的治理面臨著“三難問題”,不論是寬松、嚴(yán)格的保護(hù)模式,還是數(shù)據(jù)本地化存儲(chǔ)模式,均未較好解決“三難問題”。以澳大利亞為代表的折衷主義模式,較好兼顧了數(shù)據(jù)保護(hù)、數(shù)據(jù)自由流動(dòng)和數(shù)據(jù)主權(quán)的對(duì)立與沖突。澳大利亞的跨境數(shù)據(jù)流動(dòng)治理框架圍繞著數(shù)據(jù)分類分級(jí)、保障數(shù)據(jù)安全的目標(biāo),對(duì)政府?dāng)?shù)據(jù)、健康數(shù)據(jù)和隱私數(shù)據(jù)的跨境流動(dòng)設(shè)置了不同標(biāo)準(zhǔn),采取強(qiáng)制性規(guī)定與推薦性指南相結(jié)合的管理方式,兼顧了數(shù)據(jù)安全與自由流動(dòng)的平衡,并與國(guó)際實(shí)踐相協(xié)調(diào)[11]。其中,對(duì)有損政府利益或第三方利益的政府?dāng)?shù)據(jù)添加保護(hù)性標(biāo)識(shí),并建立了政府?dāng)?shù)據(jù)外包風(fēng)險(xiǎn)評(píng)估制度,除非獲得授權(quán)否則不可出境。對(duì)個(gè)人健康數(shù)據(jù),依《個(gè)人控制電子健康記錄法案》要求,原則上必須由本地的數(shù)據(jù)中心來存儲(chǔ)和處理個(gè)人電子健康檔案。對(duì)隱私數(shù)據(jù)進(jìn)行區(qū)別對(duì)待,并不禁止一般個(gè)人數(shù)據(jù)的跨境流動(dòng),但應(yīng)遵循澳大利亞法律。此外,澳大利亞還考慮到域外制度對(duì)本國(guó)居民的約束力,并不絕對(duì)將依據(jù)域外數(shù)據(jù)安全法提出的要求視為無效,保證了跨境數(shù)據(jù)流動(dòng)的靈活性。

模式五:以數(shù)據(jù)自由流動(dòng)為首要目標(biāo)的“低保護(hù)模式”。此種“低保護(hù)模式”以數(shù)據(jù)自由流動(dòng)為首要目標(biāo),忽略了數(shù)據(jù)安全和數(shù)據(jù)經(jīng)濟(jì)效益。不過,在全球數(shù)據(jù)保護(hù)實(shí)踐中,出于對(duì)國(guó)家安全和公民合法權(quán)益的保護(hù),國(guó)家或主權(quán)地區(qū)或多或少都會(huì)以立法形式限制本國(guó)境內(nèi)數(shù)據(jù)的恣意外流。將該模式列出旨在將其作為參考系,用以比較前四種模式的作用效果。

上述五種跨境數(shù)據(jù)流動(dòng)政策由嚴(yán)向?qū)捯来?模式一→模式二→模式四→模式三→模式五。相較于重點(diǎn)關(guān)注個(gè)人隱私和數(shù)據(jù)安全的模式一,后四種模式更加側(cè)重?cái)?shù)據(jù)的自由流動(dòng)。其區(qū)別主要在于,模式一往往嚴(yán)格限制跨境數(shù)據(jù)流動(dòng),政府對(duì)所存儲(chǔ)數(shù)據(jù)具有較大的權(quán)限;而模式二、三和四則在安全的基礎(chǔ)上將跨境數(shù)據(jù)流動(dòng)作為治理目標(biāo),對(duì)數(shù)據(jù)的監(jiān)管更多依賴于政府監(jiān)督下的企業(yè)自我管理,政府獲取數(shù)據(jù)時(shí)往往受到嚴(yán)格限制或監(jiān)督[12];模式五則是單純地促進(jìn)數(shù)據(jù)流動(dòng),對(duì)數(shù)據(jù)安全和數(shù)據(jù)主體利益的保護(hù)略顯蒼白。此外,從廣義角度看,可將“數(shù)據(jù)本地化存儲(chǔ)模式”歸于“嚴(yán)格保護(hù)”模式之列,但因二者對(duì)跨境數(shù)據(jù)傳輸?shù)南拗瞥潭扰c效力不同,本文將兩種模式并列。再者,“數(shù)據(jù)本地化存儲(chǔ)模式”與“數(shù)據(jù)本地化存儲(chǔ)制度”不同。前者指向的是諸如俄羅斯、越南等對(duì)跨境數(shù)據(jù)流動(dòng)秉持嚴(yán)格禁止流動(dòng)的態(tài)度而采取的策略,是一種原則規(guī)定;后者更多是指一國(guó)在跨境數(shù)據(jù)流動(dòng)政策中對(duì)某些類別的數(shù)據(jù)要求本地化存儲(chǔ),是一種例外規(guī)定。因此,“數(shù)據(jù)本地化存儲(chǔ)制度”并不必然與其他模式相斥,可與其他模式并存于一國(guó)數(shù)據(jù)保護(hù)法律中。如當(dāng)前中國(guó)跨境數(shù)據(jù)流動(dòng)的政策即是如此。從現(xiàn)有法律看,中國(guó)并不禁止通過“數(shù)據(jù)安全影響評(píng)估”的數(shù)據(jù)跨境流動(dòng),但《網(wǎng)絡(luò)安全法》第37條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在中國(guó)境內(nèi)存儲(chǔ)。

從跨境數(shù)據(jù)流動(dòng)治理的“三難問題”可知,跨境數(shù)據(jù)流動(dòng)政策或法律需平衡“國(guó)家主權(quán)”“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)流動(dòng)”三項(xiàng)價(jià)值。在上述五種跨境數(shù)據(jù)流動(dòng)政策中,最為嚴(yán)格的模式一更為注重?cái)?shù)據(jù)安全與數(shù)據(jù)主權(quán),在很大程度上限制了跨境數(shù)據(jù)流動(dòng);模式五最大程度促進(jìn)了數(shù)據(jù)自由流動(dòng),但對(duì)數(shù)據(jù)主權(quán)和數(shù)據(jù)安全關(guān)注欠缺;至于模式二、三和四均有兼顧“國(guó)家主權(quán)”“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)流動(dòng)”三項(xiàng)目標(biāo),只是側(cè)重程度有所不同,如表1所示。

表1 五種跨境數(shù)據(jù)流動(dòng)策略的價(jià)值趨向

將上述三種價(jià)值趨向分解可得跨境數(shù)據(jù)流動(dòng)所涉的具體利益類型,就可知曉各策略的收益。第一,“數(shù)據(jù)主權(quán)”可分為“數(shù)據(jù)控制權(quán)”和“數(shù)據(jù)管理權(quán)”[13];第二,“數(shù)據(jù)保護(hù)”可分為“個(gè)人數(shù)據(jù)保護(hù)”“企業(yè)數(shù)據(jù)保護(hù)”和“國(guó)家數(shù)據(jù)保護(hù)”;第三,“數(shù)據(jù)流動(dòng)”是數(shù)字經(jīng)濟(jì)和國(guó)際貿(mào)易的重要前提,可分為“數(shù)字產(chǎn)業(yè)”和“跨境貿(mào)易”。上述各利益又可歸為“安全收益”和“經(jīng)濟(jì)收益”兩大類,即“數(shù)據(jù)主權(quán)”“數(shù)據(jù)保護(hù)”屬于“安全收益”,“數(shù)據(jù)流動(dòng)”指向“經(jīng)濟(jì)收益”。

至于跨境數(shù)據(jù)流動(dòng)治理策略的成本,主要是采取某種治理模式的制度建設(shè)成本和執(zhí)行成本。這些成本隨著治理模式趨嚴(yán)而逐漸增加,如“本地化存儲(chǔ)”模式的制度建設(shè)成本和執(zhí)行成本明顯高于“低保護(hù)”模式。綜上,跨境數(shù)據(jù)流動(dòng)策略的收益和支出如圖1所示。

圖1 跨境數(shù)據(jù)流動(dòng)策略的收益和支出

影響每種策略收益的關(guān)鍵因素有三種:信息技術(shù)水平、產(chǎn)業(yè)規(guī)模和政策的寬嚴(yán)程度。就安全收益而言,跨境數(shù)據(jù)流動(dòng)政策越嚴(yán),安全收益越大;反之,安全收益越小。對(duì)經(jīng)濟(jì)收益而言,貿(mào)易收益直接與政策寬嚴(yán)程度相關(guān),政策越寬松,貿(mào)易越發(fā)達(dá);政策越嚴(yán)格,貿(mào)易成本越高。如俄羅斯以數(shù)據(jù)主權(quán)優(yōu)位的本地化存儲(chǔ)制度,不僅不能保證數(shù)據(jù)主權(quán)優(yōu)先,反而只是狹隘地閉關(guān)鎖國(guó),是一種以喪失發(fā)展可能的極端化數(shù)據(jù)主權(quán)保護(hù)制度。甚至歐盟委員會(huì)也認(rèn)為俄羅斯的做法實(shí)質(zhì)上是不當(dāng)加設(shè)貿(mào)易壁壘[14]。這是因?yàn)?一國(guó)出于保護(hù)數(shù)據(jù)安全和數(shù)據(jù)主權(quán)的目的,嚴(yán)格禁止數(shù)據(jù)離境會(huì)導(dǎo)致他國(guó)企業(yè)的合規(guī)成本激增,且因數(shù)據(jù)流動(dòng)受阻致使跨境貿(mào)易受到影響;甚至將阻礙本國(guó)企業(yè)走向國(guó)際市場(chǎng),長(zhǎng)此以往將導(dǎo)致該國(guó)疏離全球數(shù)字經(jīng)濟(jì)網(wǎng)格[15]。

至于產(chǎn)業(yè)收益,則需根據(jù)跨境數(shù)據(jù)流動(dòng)政策的寬嚴(yán)程度、信息技術(shù)及數(shù)據(jù)產(chǎn)業(yè)規(guī)模差異具體分析。第一種情形,當(dāng)信息技術(shù)水平差異較小或基本無差異時(shí),較為嚴(yán)格的跨境數(shù)據(jù)流動(dòng)政策有助于數(shù)字產(chǎn)業(yè)的發(fā)展;但過于寬松的政策,會(huì)導(dǎo)致境外企業(yè)搶占國(guó)內(nèi)市場(chǎng),反而會(huì)限制本國(guó)數(shù)字產(chǎn)業(yè)的發(fā)展,尤其是對(duì)數(shù)字產(chǎn)業(yè)規(guī)模較小的國(guó)家或地區(qū)影響更甚。第二種情形,當(dāng)信息技術(shù)水平差異較大時(shí),若采取寬松保護(hù)的跨境數(shù)據(jù)流動(dòng)政策,信息技術(shù)落后的或數(shù)字經(jīng)濟(jì)規(guī)模較小的國(guó)家或地區(qū)因技術(shù)劣勢(shì),本國(guó)產(chǎn)業(yè)經(jīng)濟(jì)市場(chǎng)會(huì)被域外企業(yè)占據(jù),不利于本國(guó)數(shù)字產(chǎn)業(yè)的發(fā)展,采取更為嚴(yán)格的保護(hù)政策,能夠較好解決數(shù)據(jù)安全與數(shù)字產(chǎn)業(yè)問題。與此相反,信息技術(shù)先進(jìn)的國(guó)家/地區(qū)選取寬松的跨境數(shù)據(jù)流動(dòng)政策,更有利于該國(guó)企業(yè)獲得全球經(jīng)濟(jì)市場(chǎng)份額。

(四)收益考察:安全收益與經(jīng)濟(jì)收益

博弈結(jié)束時(shí),博弈主體的得失之和即為博弈收益?？缇硵?shù)據(jù)流動(dòng)政策博弈收益主要有安全收益和經(jīng)濟(jì)收益;其成本主要是制度建設(shè)成本和規(guī)則執(zhí)行成本。但跨境數(shù)據(jù)流動(dòng)治理的安全收益和經(jīng)濟(jì)收益的重要性遠(yuǎn)高于制度建設(shè)成本和規(guī)則執(zhí)行成本,因此博弈收益主要是所采取的博弈策略在安全收益和經(jīng)濟(jì)收益上的表現(xiàn)。如前所述,安全收益主要是數(shù)據(jù)主權(quán)和數(shù)據(jù)保護(hù)兩方面,經(jīng)濟(jì)收益則是產(chǎn)業(yè)利益和貿(mào)易收益。不同跨境數(shù)據(jù)流動(dòng)治理模式的收益不同。如數(shù)據(jù)本地化存儲(chǔ)模式雖然對(duì)數(shù)據(jù)流動(dòng)限制較多,但能夠使本土數(shù)字產(chǎn)業(yè)的勃興;其他模式雖然會(huì)在一定程度上導(dǎo)致本土數(shù)字產(chǎn)業(yè)受到境外企業(yè)的擠占,但得到的貿(mào)易收益比本地化存儲(chǔ)模式更多。因各國(guó)國(guó)情有別,出于對(duì)安全價(jià)值和經(jīng)濟(jì)價(jià)值的側(cè)重差異,所采取的政策也不盡相同,具體收益則需結(jié)合國(guó)情分析。但總的來說,跨境數(shù)據(jù)流動(dòng)政策博弈的收益有三種:一是重安全收益,輕經(jīng)濟(jì)收益;二是重經(jīng)濟(jì)收益,輕安全收益(11)需說明的是,本文旨在討論跨境數(shù)據(jù)流動(dòng)政策的博弈情況,此處所列“重經(jīng)濟(jì)收益,輕安全收益”,并不代表該國(guó)采取了諸如“寬松保護(hù)模式”的跨境數(shù)據(jù)流動(dòng)政策就放棄了數(shù)據(jù)主權(quán)和數(shù)據(jù)安全,依然可以在其他法律中強(qiáng)調(diào)數(shù)據(jù)安全和數(shù)據(jù)主權(quán)。例如美國(guó)采取的“寬松保護(hù)模式”,不能認(rèn)為美國(guó)不重視數(shù)據(jù)安全和數(shù)據(jù)主權(quán),美國(guó)對(duì)特殊領(lǐng)域、特殊種類數(shù)據(jù)進(jìn)行了例外規(guī)定,保證了數(shù)據(jù)安全和數(shù)據(jù)主權(quán)。;三是較好平衡安全收益和經(jīng)濟(jì)收益。理想狀態(tài)是所采政策較好平衡數(shù)據(jù)主權(quán)、數(shù)據(jù)安全和數(shù)據(jù)流動(dòng)三項(xiàng)價(jià)值:在保證本國(guó)數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的同時(shí),促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展。

此外,跨境數(shù)據(jù)流動(dòng)的結(jié)果是本國(guó)數(shù)據(jù)流向域外,因利益偏好、法律制度、技術(shù)水平等差異,數(shù)據(jù)安全隱患無法完全消除。甚至某些國(guó)家會(huì)利用本國(guó)企業(yè)監(jiān)控或監(jiān)聽服務(wù)的域外用戶,嚴(yán)重侵害他國(guó)公民、企業(yè)的合法權(quán)益,甚至是國(guó)家安全。2013年的“棱鏡門事件”就是典型。因此,需正確看待跨境數(shù)據(jù)流動(dòng)帶來的安全收益及潛在風(fēng)險(xiǎn),通過減少數(shù)據(jù)安全風(fēng)險(xiǎn)以促進(jìn)數(shù)據(jù)流動(dòng)。

跨境數(shù)據(jù)流動(dòng)的規(guī)制必須結(jié)合具體的國(guó)情予以分析,脫離國(guó)情空泛地比較各種策略的收益略顯抽象。因此,具體的收益將在后文中借助中國(guó)與主要的貿(mào)易往來國(guó)的博弈進(jìn)行闡述。不過,總體來說,跨境數(shù)據(jù)流動(dòng)政策博弈都為博弈主體帶去了可觀的安全收益和經(jīng)濟(jì)收益。就安全收益而言,安全收益(數(shù)據(jù)主權(quán)和數(shù)據(jù)保護(hù))是國(guó)家安全的重要一環(huán),也是在數(shù)字時(shí)代被追求的對(duì)象,必然是博弈主體所重點(diǎn)關(guān)注的收益。而且,數(shù)據(jù)主權(quán)和數(shù)據(jù)安全相輔相承,數(shù)據(jù)主權(quán)得到保證,數(shù)據(jù)安全也就有保障。就經(jīng)濟(jì)收益而言,不論是數(shù)據(jù)本地化模式下的本土數(shù)字產(chǎn)業(yè)發(fā)展,還是其他模式下的全球物質(zhì)、人才、技術(shù)和資金流動(dòng),均使各國(guó)在不同程度上享受了數(shù)字經(jīng)濟(jì)的紅利,為彼此帶來了巨大的經(jīng)濟(jì)效益。

(五)博弈均衡:收益最大的策略組合

如前所述,跨境數(shù)據(jù)流動(dòng)涉及三項(xiàng)價(jià)值。從不同角度看,跨境數(shù)據(jù)流動(dòng)政策側(cè)重的價(jià)值不同。

從國(guó)家角度看,數(shù)據(jù)主權(quán)和數(shù)據(jù)安全的重要性遠(yuǎn)高于數(shù)據(jù)流動(dòng)所帶來的經(jīng)濟(jì)效益。在制定政策時(shí),更應(yīng)注重政策的安全收益。即一國(guó)需在其掌握的博弈信息基礎(chǔ)上,考慮每種跨境數(shù)據(jù)流動(dòng)治理模式的收益情況,最終選擇一種可最大程度保護(hù)本國(guó)數(shù)據(jù)主權(quán)和數(shù)據(jù)安全,又不會(huì)錯(cuò)失數(shù)字經(jīng)濟(jì)機(jī)遇,同時(shí)也不過分限制他國(guó)利益的政策。

從全球視角看,統(tǒng)一數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和跨境數(shù)據(jù)流動(dòng)政策是促進(jìn)數(shù)據(jù)自由流動(dòng)、推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的最好方式。但每個(gè)國(guó)家或地區(qū)的信息技術(shù)水平、數(shù)字產(chǎn)業(yè)規(guī)模、數(shù)據(jù)保護(hù)法律狀況存在差異,致使各自采取的跨境數(shù)據(jù)流動(dòng)政策不盡相同。為共促全球數(shù)字經(jīng)濟(jì)發(fā)展,各國(guó)制定的跨境數(shù)據(jù)流動(dòng)政策不應(yīng)單純?yōu)榱吮緡?guó)利益的最大化去“割裂”全球數(shù)字經(jīng)濟(jì),而是要在保證本國(guó)利益的基礎(chǔ)上,構(gòu)建完善的國(guó)際跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)制。畢竟只有全球跨境數(shù)據(jù)流動(dòng)規(guī)則趨同,全球數(shù)據(jù)健康有序流動(dòng)才有可能實(shí)現(xiàn),各國(guó)也才能更好地融入全球數(shù)字經(jīng)濟(jì)格局。

因此,各國(guó)應(yīng)綜合考慮各治理模式的利弊,選擇一種既有利于本國(guó)安全和數(shù)字經(jīng)濟(jì)發(fā)展,又可促進(jìn)數(shù)據(jù)流動(dòng)的模式。此時(shí),各自的收益最大,達(dá)到了均衡狀態(tài)。

三、中國(guó)與主要貿(mào)易國(guó)的政策選擇及治理方案

數(shù)據(jù)被稱為新的財(cái)富形式,對(duì)數(shù)字經(jīng)濟(jì)的發(fā)展具有重要意義。作為人口大國(guó)的中國(guó),必然也是數(shù)據(jù)大國(guó)。在國(guó)際交往日益頻繁的當(dāng)下,跨境數(shù)據(jù)流動(dòng)需求也與日俱增。但當(dāng)前中國(guó)數(shù)據(jù)保護(hù)法制尚處于建設(shè)期,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《信息安全技術(shù),個(gè)人信息安全規(guī)范》等法律法規(guī)和國(guó)家標(biāo)準(zhǔn)已出臺(tái);《個(gè)人信息出境安全評(píng)估辦法》《數(shù)據(jù)安全管理辦法》等文件還在廣泛征求意見。而且,與數(shù)據(jù)保護(hù)或跨境數(shù)據(jù)流動(dòng)相關(guān)的規(guī)定,散見于各個(gè)部門法中,尚未形成完備的數(shù)據(jù)保護(hù)法律制度。礙于法律制度供給不足的現(xiàn)狀,中國(guó)數(shù)據(jù)安全管理呈現(xiàn)出“政府監(jiān)管與大型科技公司強(qiáng)大數(shù)據(jù)控制能力相結(jié)合”的模式,甚至在一定程度上倚重科技公司的自我約束,從而被歐盟評(píng)價(jià)為“未對(duì)個(gè)人提供充足保護(hù)”。在數(shù)字經(jīng)濟(jì)飛速發(fā)展的當(dāng)下,中國(guó)要想抓住數(shù)字經(jīng)濟(jì)發(fā)展的機(jī)遇,必須立足于當(dāng)前數(shù)字經(jīng)濟(jì)發(fā)展現(xiàn)狀和產(chǎn)業(yè)能力,在確保安全的情況下促進(jìn)數(shù)據(jù)自由流動(dòng)。

(一)中國(guó)與主要貿(mào)易國(guó)的跨境數(shù)據(jù)流動(dòng)政策博弈

全球各國(guó)跨境數(shù)據(jù)流動(dòng)政策博弈呈現(xiàn)“網(wǎng)狀交叉博弈”狀態(tài)。囿于篇幅,僅分析與中國(guó)貿(mào)易往來量較多的國(guó)家或地區(qū)間的博弈情形。據(jù)統(tǒng)計(jì),2019年中國(guó)對(duì)歐盟進(jìn)出口4.86萬億元;對(duì)東盟進(jìn)出口4.43萬億元;對(duì)美國(guó)進(jìn)出口3.73萬億元;對(duì)日本進(jìn)出口2.17萬億元(12)筆者在中華人民共和國(guó)海關(guān)總署網(wǎng)站(統(tǒng)計(jì)快訊)下設(shè)統(tǒng)計(jì)數(shù)據(jù)“2019年進(jìn)出口商品主要國(guó)別(地區(qū))總值表”中收集數(shù)據(jù)整理所得。。因東盟是傳統(tǒng)的地區(qū)聯(lián)盟,無法制定適用于東盟地區(qū)的法律文件。因此,僅就歐盟、美國(guó)和日本同中國(guó)跨境數(shù)據(jù)流動(dòng)治理博弈情況進(jìn)行分析。

第一,四國(guó)或地區(qū)博弈信息分為信息技術(shù)、數(shù)字產(chǎn)業(yè)規(guī)模、數(shù)據(jù)保護(hù)法律狀況和國(guó)際大環(huán)境四個(gè)方面。因國(guó)際環(huán)境相同(在安全的前提下,鼓勵(lì)數(shù)據(jù)自由流動(dòng)),故著重分析前三個(gè)方面。

一是信息技術(shù)。根據(jù)世界經(jīng)濟(jì)組織發(fā)布的《2019年全球信息技術(shù)報(bào)告》,中國(guó)的網(wǎng)絡(luò)就緒指數(shù)得分為57.63,全球排名第41;美國(guó)為80.32,全球排名第8;日本為76.17,全球排名第12。因歐盟地區(qū)國(guó)家眾多,采取平均分值和中位數(shù)分值及其排名評(píng)價(jià)歐盟地區(qū)網(wǎng)絡(luò)就緒指數(shù),其平均分為67.87,全球排名第26,中位數(shù)分值為66.89,全球排名第27,具體子指數(shù)的排名情況如表2所示。此外,英國(guó)的網(wǎng)絡(luò)就緒指數(shù)為77.73,全球排名第10(13)英國(guó)的網(wǎng)絡(luò)就緒指數(shù)為77.73,全球排名第10。其中,技術(shù)子指數(shù)全球排名為第7位;人員子指數(shù)為第14位;治理子指數(shù)為第5位;影響子指數(shù)為第13位。?？梢?美國(guó)、日本和歐盟地區(qū)的信息技術(shù)水平總體上高于中國(guó)。

表2 美、歐、日、中四國(guó)/地區(qū)的網(wǎng)絡(luò)就緒指數(shù)(14)根據(jù)世界經(jīng)濟(jì)組織發(fā)布的《2019年全球信息技術(shù)報(bào)告》,歐盟27個(gè)國(guó)家網(wǎng)絡(luò)就緒指數(shù)排名依次為瑞典(1)、荷蘭(3)、丹麥(6)、芬蘭(7)、德國(guó)(9)、盧森堡(11)、奧地利(15)、法國(guó)(18)、愛爾蘭(19)、比利時(shí)(20)、愛沙尼亞(23)、西班牙(25)、馬耳他(26)、斯洛文尼亞(27)、葡萄牙(28)、捷克(30)、立陶宛(31)、意大利(34)、斯洛伐克(35)、塞普洛斯(36)、波蘭(37)、匈牙利(38)、拉脫維亞(39)、希臘(43)、克羅地亞(44)、羅馬尼亞(47)和保加利亞(49)。其中,27國(guó)的得分為67.87,位于全球第26位;按中位數(shù)排名是第32位(斯洛文尼亞)。可見,歐洲信息技術(shù)整體水平總體上高于中國(guó)。

二是數(shù)字產(chǎn)業(yè)規(guī)模。根據(jù)李德電子研究所(Reed Electronics Research)發(fā)布的“Yearbook of World Electronics Data 2020”(15)Reed Electronics Research Yearbook of world electronics data[R/OL].(2020-08-20)[2020-12-04].http:∥www.rer.co.uk/index.php?route=product/category&path=20_59.,在組件(components)、控制和儀表(control and instrumentation)、計(jì)算(computing)、消費(fèi)者規(guī)模(consumer)、醫(yī)療和工業(yè)(medical and industrial)、辦公設(shè)施(office equipment)、無線電通信(radio communications)、電信業(yè)務(wù)(telecommunications)等領(lǐng)域,四國(guó)/地區(qū)數(shù)字產(chǎn)業(yè)規(guī)模如表3所示。由此可見,在數(shù)字產(chǎn)業(yè)規(guī)模方面,中國(guó)規(guī)模最大,美國(guó)次之,歐盟第三,日本第四。

表3 美、歐、日、中四國(guó)/地區(qū)的數(shù)字產(chǎn)業(yè)規(guī)模 (單位:百萬美元)

三是數(shù)據(jù)保護(hù)法律狀況。(1)美國(guó)采取分散立法模式將數(shù)據(jù)納入隱私保護(hù)范疇,以問責(zé)制為原則鼓勵(lì)數(shù)據(jù)流動(dòng)。一方面,“美國(guó)將個(gè)人數(shù)據(jù)保護(hù)納入隱私保護(hù)范疇,并采用分散立法模式保護(hù)個(gè)人數(shù)據(jù)”[16]77,以在線隱私聯(lián)盟公布的建議性指引以及由美國(guó)兩大隱私認(rèn)證企業(yè)制定的具有強(qiáng)制約束力的兩個(gè)隱私保護(hù)計(jì)劃作為數(shù)據(jù)控制者和數(shù)據(jù)處理者的行為準(zhǔn)則,減少數(shù)據(jù)流動(dòng)的障礙。同時(shí),以受控非密信息清單(Controlled Unclassified Information,CUI)和商業(yè)出口管制制度對(duì)技術(shù)數(shù)據(jù)等特殊數(shù)據(jù)進(jìn)行嚴(yán)格管制。另一方面,政府基于《自由法案》和《澄清域外合法使用數(shù)據(jù)法》(CLOUDAct)可在較大權(quán)限內(nèi)獲取數(shù)據(jù)。(2)歐盟將個(gè)人數(shù)據(jù)保護(hù)視為對(duì)基本人權(quán)的保障,以歐洲地理邊界為基準(zhǔn),借助數(shù)據(jù)接收國(guó)的法治情況等因素判斷其是否達(dá)到“充分保護(hù)”水平,從嚴(yán)把控個(gè)人數(shù)據(jù)的跨境流動(dòng)。(3)作為個(gè)人信息保護(hù)體系核心的《日本個(gè)人信息保護(hù)法》,在形式上迎合了歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》的要求,但實(shí)質(zhì)上吸收了美國(guó)個(gè)人信息保護(hù)的特點(diǎn)。同時(shí),又堅(jiān)持了自己原有的一些立法理念,確立了以“數(shù)據(jù)主體同意”為核心的跨境數(shù)據(jù)流動(dòng)規(guī)制模式(第23條)。(4)中國(guó)雖未建立體系完備的數(shù)據(jù)保護(hù)法律制度,但業(yè)已實(shí)施的《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等對(duì)跨境數(shù)據(jù)流動(dòng)作出了原則性的規(guī)定,且與跨境數(shù)據(jù)流動(dòng)相關(guān)的法律尚處征求意見階段。從已經(jīng)實(shí)施和正在征求意見的法律條文可知,中國(guó)對(duì)個(gè)人信息和重要數(shù)據(jù)采取“安全評(píng)估制度”,對(duì)可能影響國(guó)家安全、損害公共利益,或難以有效保障個(gè)人信息安全的數(shù)據(jù),禁止出境(16)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》第11條。。

第二,四國(guó)/地區(qū)的策略選擇。由上可知,四國(guó)/地區(qū)在技術(shù)、產(chǎn)業(yè)和法律方面存在不同的差異。具體而言,信息技術(shù)水平強(qiáng)弱排序是美國(guó)→日本→歐盟→中國(guó);產(chǎn)業(yè)規(guī)模大小排序是中國(guó)→美國(guó)→歐盟→日本;數(shù)據(jù)相關(guān)法律制度健全程度排序是歐盟→美國(guó)→日本→中國(guó)。因此,美國(guó)、歐盟、日本和中國(guó)在“數(shù)據(jù)本地化存儲(chǔ)(模式一)”“嚴(yán)格保護(hù)(模式二)”“寬松保護(hù)(模式三)”“折衷保護(hù)(模式四)”和“低保護(hù)(模式五)”五種跨境數(shù)據(jù)流動(dòng)博弈策略上側(cè)重不同。考慮到策略選擇較多,為了更直觀比較每一策略的收益與支出情況,可為每一收益或支出進(jìn)行賦值(0～8)(17)為便于觀察和計(jì)算,以“0～8”進(jìn)行賦值。其中,在收益和凈收益兩類中,數(shù)字越大表明該項(xiàng)得分越高;在支出類,數(shù)值越大表明跨境數(shù)據(jù)流動(dòng)的規(guī)制成本越高。比如,就“安全收益”中的“數(shù)據(jù)安全”子收益而言,因其與跨境數(shù)據(jù)流動(dòng)政策模式嚴(yán)格程度呈正相關(guān),政策越嚴(yán)收益越大,因此得分因政策模式不同而有異:模式一→模式二→模式四→模式三→模式五。此外,考慮到數(shù)據(jù)安全與信息技術(shù)水平和法律健全程度相關(guān),因此,四個(gè)主體在數(shù)據(jù)安全項(xiàng)下的得分會(huì)有一定不同,美國(guó)得分最高,其次是歐盟,最后是中國(guó)和日本。據(jù)此邏輯,為各項(xiàng)收益賦值,得到表4結(jié)果。,得到表4結(jié)果。

表4 中國(guó)、美國(guó)、日本和歐盟跨境數(shù)據(jù)流動(dòng)策略的收益和支出矩陣

美國(guó)信息技術(shù)最先進(jìn),數(shù)字產(chǎn)業(yè)規(guī)模小于中國(guó)卻大于日本和歐盟,但數(shù)據(jù)保護(hù)力度次于歐盟和日本,因此對(duì)美國(guó)來說,采取“寬松保護(hù)模式”能夠以更低成本的促進(jìn)數(shù)據(jù)流動(dòng),挖掘數(shù)據(jù)的經(jīng)濟(jì)價(jià)值。歐盟在法律制度方面具有巨大的優(yōu)勢(shì),信息技術(shù)強(qiáng)于中國(guó)但弱于美日兩國(guó),產(chǎn)業(yè)規(guī)模大于日本但小于美中兩國(guó),再加上歐盟自二戰(zhàn)后就更重視人權(quán)保護(hù),因此歐盟宜選擇“嚴(yán)格保護(hù)模式”。日本雖在技術(shù)上較中歐具有相對(duì)優(yōu)勢(shì),法律制度雖比中國(guó)健全但不足歐美,且在產(chǎn)業(yè)規(guī)模和貿(mào)易上居末,結(jié)合日本數(shù)據(jù)保護(hù)的特點(diǎn),選擇“折衷保護(hù)模式”更有助于經(jīng)濟(jì)發(fā)展。中國(guó)雖在產(chǎn)業(yè)規(guī)模和貿(mào)易能力上具有較大優(yōu)勢(shì),但在法律制度和信息技術(shù)水平上存在著巨大的劣勢(shì),為保證數(shù)據(jù)安全和抓住數(shù)字經(jīng)濟(jì)的機(jī)遇,可選擇“嚴(yán)格保護(hù)模式”。綜上,美國(guó)選擇“寬松保護(hù)模式”,中國(guó)和歐盟采取“嚴(yán)格保護(hù)模式”,日本采取“折衷保護(hù)模式”的跨境數(shù)據(jù)流動(dòng)政策更能實(shí)現(xiàn)利益最大化。

(二)跨境數(shù)據(jù)流動(dòng)過程中數(shù)據(jù)安全風(fēng)險(xiǎn)及其治理策略

前已述及,跨境數(shù)據(jù)流動(dòng)策略選擇雖為中國(guó)、美國(guó)、日本和歐盟帶來了安全收益和經(jīng)濟(jì)收益,但數(shù)據(jù)出境也存在安全風(fēng)險(xiǎn)。離境數(shù)據(jù)的安全風(fēng)險(xiǎn)將反作用于他國(guó)跨境數(shù)據(jù)流動(dòng)政策的寬嚴(yán)程度:風(fēng)險(xiǎn)增高,政策趨嚴(yán)。因此,數(shù)據(jù)安全風(fēng)險(xiǎn)的有效防控是各國(guó)促進(jìn)跨境數(shù)據(jù)流動(dòng)的重要舉措,而如何降低數(shù)據(jù)安全風(fēng)險(xiǎn)成為各國(guó)關(guān)注的重點(diǎn)話題。

安全風(fēng)險(xiǎn)越低,跨境數(shù)據(jù)流動(dòng)越自由,安全收益和經(jīng)濟(jì)收益越大(博弈收益)。在博弈論框架中,已知博弈主體、博弈收益和博弈信息(信息技術(shù)與數(shù)據(jù)安全相關(guān)法律情況),探求博弈主體的數(shù)據(jù)安全風(fēng)險(xiǎn)防控治理策略。在跨境數(shù)據(jù)流動(dòng)安全風(fēng)險(xiǎn)防控中,各國(guó)的博弈策略有兩個(gè)層面:一是各國(guó)間的措施,二是本國(guó)的舉措。

第一,中國(guó)與美國(guó)、日本、歐盟之間的數(shù)據(jù)安全風(fēng)險(xiǎn)防控策略有兩種:一是合作;二是不合作。博弈收益分為數(shù)據(jù)安全收益和經(jīng)濟(jì)收益(貿(mào)易收益)。其中,安全收益與數(shù)據(jù)安全風(fēng)險(xiǎn)呈反比關(guān)系,安全風(fēng)險(xiǎn)越低,安全收益越高;反之,安全收益越低。貿(mào)易收益與數(shù)據(jù)安全風(fēng)險(xiǎn)緊密相關(guān),數(shù)據(jù)安全風(fēng)險(xiǎn)越低,貿(mào)易成本越低,收益越高;反之,貿(mào)易收益越低。各國(guó)合作可降低彼此間的數(shù)據(jù)安全風(fēng)險(xiǎn),促進(jìn)數(shù)據(jù)自由流動(dòng);不合作將導(dǎo)致離境數(shù)據(jù)安全風(fēng)險(xiǎn)偏高,會(huì)使得跨境數(shù)據(jù)流動(dòng)政策趨嚴(yán),不利于數(shù)據(jù)自由流動(dòng)。為直觀比較各國(guó)的不同策略,通過賦值(0～3)得到表5結(jié)果。

由表5可知,中國(guó)與美日歐在數(shù)據(jù)安全風(fēng)險(xiǎn)治理的策略選擇上,合作的收益遠(yuǎn)大于不合作的收益,此時(shí)達(dá)到博弈均衡。因此,當(dāng)美國(guó)、歐盟和日本分別采取合作的方式降低數(shù)據(jù)安全隱患,中國(guó)也應(yīng)以合作的方式實(shí)現(xiàn)共贏。

表5 中美歐日的數(shù)據(jù)安全風(fēng)險(xiǎn)治理策略

第二,本國(guó)數(shù)據(jù)安全風(fēng)險(xiǎn)防控策略。美國(guó)、日本和歐盟雖沒有明確的法律就數(shù)據(jù)出境的分類分級(jí)管理作出規(guī)定,但在國(guó)家產(chǎn)品、技術(shù)出口及部分行業(yè)立法中有相應(yīng)限制。如美國(guó)將數(shù)據(jù)分為一般個(gè)人數(shù)據(jù)、商業(yè)和技術(shù)類數(shù)據(jù)、政府?dāng)?shù)據(jù),分別以“問責(zé)制”模式、“受控非密信息清單制度”(2010年11月4日頒布第13556號(hào)行政命令確立)和“商業(yè)出口管制制度”(由《出口管制條例》《美國(guó)國(guó)際軍火交易條例》《出口管制改革法案》等法律構(gòu)成)管控。歐盟和日本雖然沒有美國(guó)那般明確的制度,但在效仿美國(guó)的做法。中國(guó)雖然也有數(shù)據(jù)分類分級(jí)實(shí)踐,如《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》以及貴州省出臺(tái)的《政府?dāng)?shù)據(jù)分類分級(jí)指南》,但力度遠(yuǎn)遜于美國(guó)?；诓┺姆治?中國(guó)應(yīng)在后續(xù)的跨境數(shù)據(jù)流動(dòng)實(shí)踐中進(jìn)一步強(qiáng)化數(shù)據(jù)分類分級(jí)管理。

數(shù)據(jù)分類分級(jí)作為數(shù)據(jù)安全管理工作的重要手段,不僅對(duì)劃定可用數(shù)據(jù)的范圍和明確數(shù)據(jù)使用方式具有重要作用,也對(duì)根據(jù)數(shù)據(jù)不同類別和級(jí)別來明確數(shù)據(jù)管理和共享的權(quán)利與義務(wù)有重要意義。同時(shí),在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上,制定嚴(yán)格程度不同的管理策略,能在很大程度上預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)。通常,數(shù)據(jù)分類分級(jí)遵循以下步驟:第一,按照一定的原則和方法,按照數(shù)據(jù)的屬性和特征將其區(qū)分、歸類,并明確數(shù)據(jù)的分類體系和排列順序;第二,在已有分類的基礎(chǔ)上,根據(jù)數(shù)據(jù)的重要性和敏感度確定不同類型數(shù)據(jù)的級(jí)別;第三,對(duì)安全等級(jí)不同的數(shù)據(jù),制定不同的管理策略。在跨境數(shù)據(jù)流動(dòng)的管控過程中亦是如此,需在數(shù)據(jù)分類的基礎(chǔ)上確定數(shù)據(jù)級(jí)別,再根據(jù)數(shù)據(jù)級(jí)別確定是否準(zhǔn)許出境及出境條件等。

首先,數(shù)據(jù)分類?？缇硵?shù)據(jù)流動(dòng)已從單指?jìng)€(gè)人數(shù)據(jù)跨境流動(dòng)擴(kuò)展至包含個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)的跨境流動(dòng)。但當(dāng)前數(shù)據(jù)分類并無統(tǒng)一的方法或規(guī)則,針對(duì)某行業(yè)內(nèi)的數(shù)據(jù),不論是采用線分類法還是面分類法結(jié)構(gòu)設(shè)計(jì)分類規(guī)則,都可實(shí)現(xiàn)本領(lǐng)域內(nèi)數(shù)據(jù)劃分的完備性和純粹性。但當(dāng)分類對(duì)象擴(kuò)展至所有數(shù)據(jù)時(shí),既有分類標(biāo)準(zhǔn)就難以適用。如《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》設(shè)計(jì)的數(shù)據(jù)分類分級(jí)的基本流程:在明確數(shù)據(jù)管理主體和業(yè)務(wù)分類的基礎(chǔ)上,重點(diǎn)解決數(shù)據(jù)分類問題(18)馮靜,李玲.數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)解析[EB/OL].(2020-10-19)[2020-12-04].https:∥www.freebuf.com/company-information/2523 13.html.。又如《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》第五、六、七條對(duì)工業(yè)數(shù)據(jù)的分類和分級(jí)標(biāo)準(zhǔn)進(jìn)行了規(guī)定,并將工業(yè)數(shù)據(jù)分為工業(yè)企業(yè)和平臺(tái)工業(yè)企業(yè)。但上述數(shù)據(jù)分類方法多是一種“自下而上式”的分類法:一方面多服務(wù)于行業(yè)或組織內(nèi)部數(shù)據(jù)的管理,以防止自身權(quán)益因?yàn)閿?shù)據(jù)安全事件受損為主要目標(biāo),無法滿足國(guó)家監(jiān)管需要(19)洪延青.對(duì)《數(shù)據(jù)安全法》的理解和認(rèn)識(shí):數(shù)據(jù)分級(jí)分類[EB/OL].(2020-07-06)[2020-12-04].https:∥mp.weixin.qq.com/s/iZGNGKG1Q36XaFVu0g_lHw.;另一方面,過度關(guān)注具體領(lǐng)域或行業(yè)內(nèi)數(shù)據(jù),無法適用于全部數(shù)據(jù)的分類。當(dāng)然,也有學(xué)者提出基于國(guó)家數(shù)據(jù)監(jiān)管需求,將數(shù)據(jù)分為個(gè)人信息、組織專有數(shù)據(jù)、重要數(shù)據(jù)、國(guó)家秘密四類,其中組織專有數(shù)據(jù)又分為企業(yè)專有數(shù)據(jù)和政黨社團(tuán)專有數(shù)據(jù)(20)洪延青.數(shù)據(jù)安全管理視角下的數(shù)據(jù)分類研究:研究報(bào)告全文[EB/OL].(2020-05-15)[2020-12-04].https:∥mp.weixin.qq.com/s/bzyveak 3oC8VGHf4y6sD8A.,但這種分類方法無法滿足分類的純粹性和完備性要求。為此,考慮到分類的科學(xué)性和合理性,按照數(shù)據(jù)來源為區(qū)分標(biāo)準(zhǔn),將數(shù)據(jù)分為個(gè)人數(shù)據(jù)和組織數(shù)據(jù)兩類(21)劉云.健全數(shù)據(jù)分級(jí)分類規(guī)則,完善網(wǎng)絡(luò)數(shù)據(jù)安全立法[EB/OL].(2020-10-06)[2021-01-30].https:∥mp.weixin.qq.com/s/MbBgWBv 9JleEU5WhzkKExw.。

一是個(gè)人數(shù)據(jù)。根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》的定義,個(gè)人數(shù)據(jù)是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他數(shù)據(jù)結(jié)合識(shí)別特定自然人身份(識(shí)別路徑),或者反映特定自然人活動(dòng)情況的各種數(shù)據(jù)(關(guān)聯(lián)路徑)。按照個(gè)人數(shù)據(jù)敏感程度可將個(gè)人數(shù)據(jù)分為:一般數(shù)據(jù)(可以通過一定技術(shù)手段識(shí)別到個(gè)人,但不包含個(gè)人敏感信息的數(shù)據(jù);或者不能識(shí)別到具體自然人身份,但包含個(gè)人敏感信息的數(shù)據(jù))[17]、敏感數(shù)據(jù)(可以通過一定技術(shù)手段識(shí)別到個(gè)人,包含個(gè)人敏感信息的數(shù)據(jù),如身份證號(hào)等信息)和高度敏感數(shù)據(jù)(如DNA等個(gè)人生物識(shí)別信息等)。

二是組織數(shù)據(jù)。除個(gè)人數(shù)據(jù)之外的所有數(shù)據(jù)均是組織數(shù)據(jù),包括企業(yè)、非法人組織、政府機(jī)關(guān)、事業(yè)單位和政黨團(tuán)體等數(shù)據(jù)。按照數(shù)據(jù)的重要性將其分為:國(guó)家秘密、重要數(shù)據(jù)、內(nèi)部數(shù)據(jù)和公開數(shù)據(jù)。國(guó)家秘密數(shù)據(jù)歷來就是極為特殊的一類數(shù)據(jù),通常不允許出境;重要數(shù)據(jù)是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》中均有提及的,是與國(guó)家安全、國(guó)計(jì)民生和公共利益相關(guān)的非國(guó)家秘密數(shù)據(jù);內(nèi)部數(shù)據(jù)則是指重要程度不及重要數(shù)據(jù)的數(shù)據(jù),如商業(yè)秘密等;公開數(shù)據(jù)則是指除國(guó)家秘密、重要數(shù)據(jù)和內(nèi)部數(shù)據(jù)之外的數(shù)據(jù)。之所以將重要數(shù)據(jù)和內(nèi)部數(shù)據(jù)單列,是因?yàn)閷?duì)不屬于重要數(shù)據(jù)的內(nèi)部數(shù)據(jù)而言,并不需要國(guó)家強(qiáng)制干預(yù),如只要企業(yè)許可即可出境。

其次,數(shù)據(jù)定級(jí)。數(shù)據(jù)分級(jí)應(yīng)充分考慮數(shù)據(jù)對(duì)國(guó)家安全、社會(huì)穩(wěn)定和公民安全的重要程度,以及數(shù)據(jù)是否涉及國(guó)家秘密、用戶隱私等敏感信息,同時(shí)考慮不同敏感級(jí)別的數(shù)據(jù)在遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,來確定數(shù)據(jù)級(jí)別[18]。為便于理解和管理,對(duì)上述數(shù)據(jù)采取統(tǒng)一的級(jí)別標(biāo)簽:個(gè)人高度敏感數(shù)據(jù)和組織數(shù)據(jù)中的國(guó)家秘密數(shù)據(jù),標(biāo)注為III級(jí);個(gè)人敏感數(shù)據(jù)、組織數(shù)據(jù)中的內(nèi)部數(shù)據(jù)和重要數(shù)據(jù),標(biāo)注為II級(jí);一般個(gè)人數(shù)據(jù)和組織數(shù)據(jù)中的公開數(shù)據(jù),標(biāo)注為I級(jí)。

最后,確定不同級(jí)別數(shù)據(jù)是否可離境及離境條件。就數(shù)據(jù)離境的安全風(fēng)險(xiǎn)來說,數(shù)據(jù)級(jí)別越高,數(shù)據(jù)在遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、公共利益,以及公民、法人和其他組織的合法權(quán)益的危害程度越大。因此對(duì)不同級(jí)別的數(shù)據(jù)應(yīng)采取不同的跨境數(shù)據(jù)流動(dòng)要求:一是對(duì)III類數(shù)據(jù)而言,原則上禁止跨境數(shù)據(jù)流動(dòng);若確有需要,需經(jīng)嚴(yán)格的數(shù)據(jù)脫敏和數(shù)據(jù)離境安全評(píng)估程序后,方可離境。二是對(duì)II級(jí)數(shù)據(jù)而言,實(shí)行附條件離境。三是對(duì)I級(jí)數(shù)據(jù)而言,允許自由流動(dòng)。

綜上,可繪制出跨境數(shù)據(jù)流動(dòng)的數(shù)據(jù)分類分級(jí)管控圖譜,如圖2所示。

圖2 跨境數(shù)據(jù)流動(dòng)的數(shù)據(jù)分類分級(jí)管控圖譜

四、結(jié)語

跨境數(shù)據(jù)流動(dòng)在推動(dòng)全球經(jīng)濟(jì)發(fā)展的同時(shí),也為隱私保護(hù)、數(shù)據(jù)安全和國(guó)家主權(quán)帶來了嚴(yán)峻挑戰(zhàn)。為應(yīng)對(duì)上述問題,各國(guó)跨境數(shù)據(jù)流動(dòng)政策必須在安全與效益、限制與流動(dòng)、寬松與嚴(yán)格、國(guó)際與本國(guó)間作出抉擇,回應(yīng)數(shù)據(jù)經(jīng)濟(jì)時(shí)代的“三難問題”。通過博弈論視角解析各國(guó)在制定跨境數(shù)據(jù)流動(dòng)政策時(shí)應(yīng)考量的因素,可以為政策制定者提供一種分析進(jìn)路,進(jìn)而在綜合考慮本國(guó)與域外情況的基礎(chǔ)上制定出適宜本國(guó)國(guó)情的治理政策,實(shí)現(xiàn)安全性和成長(zhǎng)性的平衡。