中国网/中国发展门户网讯 习近平总书记在主持中央全面深化改革委员会第二十六次会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。各种类型的数据只有在充分流动与共享中才能最大程度释放其红利,并为用户创造价值。因此,数据本地化等与数据安全相关的监管措施并不意味着要对数据流通施加超过必要限度的约束,而是要在保障数据安全的前提下,通过明确监管措施的范围、限度及相关程序来实现数据安全流通的目标。
2008—2018年,跨境数据流动是经济增长的关键驱动因素之一。预计到2025年,这一贡献将达到11万亿美元。随着数字行业在经济、政治和战略方面多方向、多层面与多链条的加速渗透,国家对这一领域的控制和主权的要求也将越来越高。数字主权就是各国希望将“线下”的领土主权扩展至“线上”的网络空间,而这一主张必然伴随着对商业资产、人员和数据处理提出“本地化”的要求。数据本地化就是这样一种措施;作为伴随着法律义务的数据驻留,它要求在一国境内创建的数据保留在该国境内。这既可以通过排他性规范要求数据只能存储在国内服务器上,也可以要求在本地至少存储一份数据副本,而后者通常被称为“数据镜像”。在学术文献中,数据本地化这一术语泛指对跨境数据流动的任何限制。根据该观点,数据本地化措施包括:禁止外国数据传输、要求在跨境传输之前获得同意,甚至对数据出口征税等。在本文中,笔者使用了对该术语的通常理解,即对本地数据存储的强制性要求。
印度数据本地化的政策背景及立场
印度是数字经济时代的受益者。数字贸易通过提高生产力,将印度企业与一流的数字商品和服务联系起来,从而降低了印度微型、小型和中型企业参与国际贸易的成本,并广泛地惠及印度经济。印度拥有包含约150万名工程师和科学家的庞大人才库,有超过9 300家技术型初创企业。2021—2022年印度信息技术服务出口额已突破1500亿美元;信息技术产业已成为印度的龙头产业,在国际分工中处于领先地位。印度公司正在向全球客户提供教育技术(ed-tech)、金融科技(fin-tech)和健康技术(health-t包養網ech)等子行业的服务;这些服务吸引了全球跨国公司的目光,他们或是已在印度投资(如脸书和谷歌),或是表现出了相当的投资兴趣。印度的成功得益于其国内外有利的公共政策,包括其外国贸易伙伴给予印度数字服务出口开放的市场准入。
然而,随着数字经济的扩张,印度政府对数据的自由流动表达了4个方面关切:在国外服务器上存储数据,客观上阻碍包養了印度安全机构对这些数据的访问;外国公司滥用数据造成的经济利益损失;对外国监控的担忧;滥用个人数据对隐私权的侵犯。这些关切在印度国内各界已形成共识:数据流动必须受到监管。尽管现有学术研究倾向于关注数字贸易自由化和数据跨境流动的必要性,但现阶段这些研究仍不足以解开与数据本地化相关的复杂监管困境。
2019年,印度人口超过12亿,互联网用户达6.27亿,是最大的数据生成国之一。印度政府认识到数据在经济发展中的关键作用,已经启动了相应的措施和政策,如2018年印度储备银行(RBI)支付指令、2019年《国家电子商务政策草案》(Draft National e-Commerce Policy)和2020年《非个人数据治理框架》(Non-Personal Data Governance Framework),以实现数据本地化和数据保护。这些政策都涉及对数据流动的某些限制,其中一些政策还涉及通过发展当地制造能力在印度建立数据基础设施。
在数据本地化与数据自由流动的争论中,印度拥有自身独立的立场。在全球论坛上,印度表现出不愿意参与与数据流动、数据保护和数据本地化有关的会谈。例如,印度没有加入世界贸易组织(WTO)电子商务谈判小组,也拒绝签署《数字经济大阪宣言》——该宣言试图让各国在WTO框架之外讨论数据跨境自由流动。印度还退出了《区域全面经济伙伴关系协定》的谈判,理由之一是该协定引入了对数据本地化的禁止性规范。虽然在全球或者区域范围内建立一个安全地生成、收集和交换数据的框架会更有利于充分发挥数据和数字经济的潜力,但印度选择暂时“不合作”,继续致力于建立健全其国内数据监管制度。印度商业和工业部长皮尤什·高耶尔曾表示,国家内部和国家之间的数字鸿沟严重阻碍发展中国家从数字贸易中获益。印度与其他发展中国家一样,在参加电子商务谈判之前,需要时间和政策空间,以便深入了解谈判主题并形成自身的法律和监管框架。
印度数据本地化之重要举措:《个人数据保护法案》和印度储备银行支付指令
印度已经实施了不同程度的本地化措施,其中既包含跨部门也包含部门内部的。例如,1993年印度《公共记录法》禁止未经印度政府事先批准前将公共记录转移至印度境外,除非此类转移是出于官方目的。印度政府推出的“GI Cloud国家私有云计划”(亦称“MeghRaj”)旨在促进政府对云服务的使用,其中也包含了对政府数据本地化的要求。依照该项计划,云服务提供商入选的基本条件是数据中心设施及物理和虚拟硬件位于印度境内。2000年印度《信息技术法案》(以下简称《IT法案》)和2011年《信息技术(合理的安全实践和程序以及敏感的个人数据或信息)规则》(以下简称《IT规则》)禁止法人团体向印度以外转移敏感个人数据,除非另一方能达到《IT规则》规定的相同水平的数据保护。此外,还有一些特定部门的本地化要求。例如,电信服务提供商(TSP)与印度政府签订的许可协议,禁止被许可方将与订阅人有关的任何用户信息和会计信息转移给印度以外的任何个人或地方,但出于国际漫游或计费目的而需要传输此类信息除外。与此相比,印度《公司法》关于公司会计记录的维护规则则相对宽松,仅要求以电子形式保存的公司账簿和其他账簿及文件的备份应定期存储在物理上位于印度的服务器中。除上述已经到位的措施外,在本节将重点讨论仍处于国际舆论压力下的印度《个人数据保护法案》和RBI支付指令。
次迭代的印度《个人数据保护法案》
2017年8月,印度电子和信息技术部成立了一个由前印度最高法院法官Srikrishna主持的专家委员会(以下简称“Srikrishna委员会”)。该委员会的任务是审查与印度数据保护有关的问题,并制定《个人数据保护法案》。2018年7月,该委员会发布了其拟议的2018年《个人数据保护法案(草案)》,印度政府随后将该草案公布并征求公众意见。该草案将数据本地化和数据主权结合起来,在某些情况下,通过明确的本地化要求,将《个人数据保护法案》的适用范围扩大到印度境外的数据受托人。
Srikrishna委员会提出了一种“三管齐下”的方法来规范跨境传输,并对个人数据和关键个人数据的处理进行了分类。建议至少在印度境内存储一份个人数据的实时、有效副本。由政府指定的关键个人数据将受到更严格的约束,仅能在印度进行存储和处理。政府有权基于国家战略利益的考量豁免某些数据不受数据跨境流动规定的制约。然而,根据该草案,这项豁免并不适用于敏感个人数据。
数据本地化成为《个人数据保护法案》中最具争议的话题之一,这些争议不仅存在于利益相关者中,甚至存在于委员会的成员之间。经历1年多的筹备和酝酿,印度政府推出了修订版草案,即2019年《个人数据保护法案(草案)》。2019年修订版法案草案提出一个大幅放宽的跨境数据流动框架,取消了对个人数据转移的一般限制,代之以对敏感个人数据的镜像要求和对关键个人数据本地存储与处理的强制性要求。值得注意的是,修订版法案草案中仍然未对关键个人数据的概念进行界定,但允许印度政府将某些个人数据指定为关键个人数据。这赋予了印度政府存储、使用和控制大量数据的广泛权力,引发了印度国内外诸多质疑和批评。历经2年多的审议和1次撤回后,印度政府于2022年11月18日发布了2022年《个人数据保护法案(草案)》(以下简称《DPDP草案》)。《DPDP草案》并未明确提及数据本地化的要求;关于个人数据的跨境转移,印度政府在对其认为必要的因素进行评包養估后,可以通知数据受托人按照规定的条款和条件向印度以外的国家或地区转移个人数据。目前看来,这种方法与《通用数据保护条例》(GDPR)下的充分性要求极为相似,未来个人数据跨境转移的细节还将取决于印度政府进行充分性认定的具体条件;如果这些条件过于严苛,仍将产生事实上的数据本地化效果。
RBI支付指令
2018年4月6日,印度储备银行(RBI)发布了一份支付指令,要求所有与支付系统相关的数据应在印度本地存储。按照该指令要求:所有系统供应商应确保与其运营的支付系统有关的全部数据仅存储在印度的系统中。这一要求还延伸到所有代表支付系统供应商处理数据的中介机构和第三方供应商。唯一例外的情形是具有跨境元素的交易——如果有需要,与交易的境外分支有关的数据可以存储在国外。该指令最初给予运营商6个月的合规宽限期,并最迟于2018年10月15日前向RBI提交合规报告。该指令主要目标是确保印度监管部门不受限制地获取支付数据以进行监控。此外,在该指令发布之前,RBI也提到需要采用全球最佳的数据安全和保障标准,以降低数据泄露的风险。
据媒体报道,包括亚马逊、阿里巴巴、WhatsApp在内多达80%的行业参与者遵守了该支付指令。Visa已成为首批遵守RBI支付指令的全球金融服务公司之一,这将为其在印度赢得更大的市场份额铺平道路。与此同时,Visa的竞争对手,包括万事达和美国运通,因不遵守该支付指令被下令不得吸纳新用户。
2021年4月,RBI又收紧了其合规规范,要求所有获得许可的支付系统运营商(PSO)每年4月30日和10月31日向RBI提交2次详细的合规证书;合规证书应由首席执行官或总经理签署,以确认该系统运营商遵守了RBI关于安全存储支付数据的所有规定。这显然超出了2018年4月支付指令中仅需提交1次性合规报告的要求。据推测,此举与印度科技初创企业遭遇的一系列网络安全违规事件相关;理由是如果将敏感数据存储在更利于监管的特定服务器上,网络攻击会受到限制。
然而,该支付指令似乎并未考虑到一个事实,即大多数金融实体都以加密的形式维护其数据,RBI本身包養網也要求银行和其他支付实体利用128位加密技术来处理在线通信。因此,在没有相关支付实体协助的情况下,加密后的数据仍然难以辨认。鉴于将所有支付数据都存储在印度是实现不受限制的监管访问,而支付指令并未考虑到监管机构仍然必须要求支付实体按照法定程序解密数据,才能实现对数据的访问。是故,仅仅强制数据本地化难以达到既定的监管目的。
印度数据本地化的政策动机及评估
数据本地化措施的激增与强势崛起的数字经济关联密切。在没有任何全球契约来统一互联网体系结构的情况下,国家对网络空间主权的主张成为国际社会共识。事实上,这一主张自互联网诞生之初就一直存在。在这一背景下,数据本地化是一系列旨在对数字生态系统实施国家控制的措施之一。借由政策目标入手,有助于判断数据本地化在目标达成方面的“能”与“不能”,最为重要的是识别出数据本地化真正要解决的问题,以及其他替代性措施的可行性;同时,为减少不必要的贸易摩擦,还要充分考虑到采取数据本地化的国际影响及自身应对。
虽然数据本地化存在诸多支持或反对的理由,但是否能满足自身阐明的目标是一个重要的研究起点。以下4个目标在印度政府多个文件中都有明确阐述,分别是:确保执法部门获取个人数据;刺激经济增长;防止外国监视;④更好地执行数据保护的法律法规。下文将结合印度现行立法及其国内现阶段的研究成果展开论证。
确保执法部门获取个人数据
执法部门对于数据的访问,通常有3重考虑:预防犯罪。访问加密数据可以帮助执法部门监控潜在的罪犯来预防犯罪;再者,监控嫌疑人的社交媒体账户和金融交易活动有助于执法部门追踪资助恐怖主义的行为,防止袭击事件发生。犯罪调查。更快地访问数据将有助于执法部门迅速地展开犯罪调查。例如,执法部门如果能获取GPS(全球定位系统)数据,将有助于定位犯罪嫌疑人;如果能更广泛地访问金融数据,将有助于执法部门调查各种“洗钱”活动。经济目标。获取外国企业现有数据集可以帮助印度企业提升人工智能(AI)等领域的竞争优势,并为印度人创造更多就业机会。
实践过程中,执法部门经常会遇到他们正在寻求的数据是在印度收集,但数据却存储在另一个司法管辖区的情况。虽然通过司法互助协定(MLAT)可以完成对个人数据的访问,但由于程序繁琐,这一过程平均耗时10个月左右。另外,即使外国企业将数据存储在印度,仍然会受到其本国法律的约束,数据本地化和数据访问并不能真正等同起来。
与此同时,由于印度执法部门对海外持有的某些数据,特别是内容数据的访问权限有限,对其执法构成了严重的制约。根据印度现行有关法律的规定,执法部门首先会要求企业提供相关个人信息;其次,相关企业是否拥有此类信息,最为关键的是即使企业拥有此类信息但其是否有权向印度执法部门提供此类信息。美国企业目前持有世界上大部分的个人数据,因此在访问这些数据的问题上,主要的对应方是美国企业。由于《美国电子通信隐私法》规定了一个例外情况,美国企业可自愿向印度执法部门提供非内容数据。这就意味着无论印度是否采取本地化措施,美国企业都将配合印度执法部门的要求提供非内容数据。如果印度执法部门请求的是内容数据,则仍要通过上述MLAT的途径,花费10个月左右的时间。基于美国国内法的原因,本地化措施不会显著改善对美国的数据访问。当涉及非美国企业控制的数据时,现有的证据无法证实获取数据的范围和时间会因数据本地化措施的不同而有所差别;加之MLAT自身的低效率,本地化难以成为改善执法部门数据访问的最佳策略,维持现状显然是次优选择。因此,对于印度执法部门而言,本地化的最佳替代方案是与限制获取此类数据的国家签订双边协议,包括修复已有司法互助条约和其他双边或多边安排下的破损程序,以便国家之间进行数据共享和交换。
刺激经济增长
全球贸易与创新政策联盟的分析表明,与数据的自由流动相比,印度消费者的数据留在印度境内,将更有利于促进印度经济增长并支持创新。支持该论断的理由包括本地化会增加当地对数据存储服务的需求,以及本地化能为印度公司提供一定的竞争优势——如果该论断能够成立,那么越严格的数据本地化政策就越有利于印度经济增长。目前,印度当地对数据存储服务的需求日渐增长,但是很难确定这种增长在多大程度上是受预期将实施的本地化措施所驱动。
数据本地化一定会刺激在印度建立数据中心的需求,但未必会带动印度国内生产总值(GDP)增长。印度是世界上最大的数据消费国之一,其市场规模有望在未来5年内翻一番。在当地建立数据中心少一部分的数据存储需求会在当地得到满足,而本地化措施为这种需求提供了重要的推动力。印度一家研究机构最近的一项研究表明,尽管印度在建设数据中心所需某些产品的生产方面具有比较优势,但过去几年,数据中心设备的进口增长速度却远远超过出口。此外,多年来印度的整体贸易平衡持续恶化;对印度而言,此类进口产品的国内附加值非常之少。如果建设数据中心所需的产品依赖进口,这种需求增加的是进口国的GDP而非印度的GDP。因此,虽然一国国内对基础设施的需求会带动GDP的增长,但对GDP增长的总体影响还将取决于这种需求最终是通过国内生产还是通过外国进口来满足。
在印度强制实施数据本地化受到不利影响的不仅包括外国公司还包括印度公司。外国公司将不得不承担在印度进行数据存储和处理的成本;并且,在印度租用或运营数据中心基础设施的经常性成本通常都高于外国公司的现有成本。同时,这些成本增加的后果同样也会直接或者间接地影响到目前在印度境外存储消费者数据的印度公司。此外,虽然数据可用性的提高也可能会带来一些经济效益,但个人数据的共享还需要其他配套的政策措施;并且,即使这些措施全部到位,尚不清楚实施数据本地化是否为实施这些措施的必要条件。
防止外国监视
由于防止外国监视是每个主权国家的合法目标,要求数据本地化通常被认为是合理的。将数据存储于印度境内一定程度上会限制外国访问数据的能力,但考虑到当前情报收集策略及其分析方法的复杂性,数据所处的地理位置不可能成为抵御来自国外情报威胁的充分屏障。此外,美国通过《澄清境外合法使用数据法案》(《CLOUD法案》)为其政府访问美国公司存储在海外的数据创造了合法途径。要完全保障国内数据免受任何此类干扰,需要与互联网保持一定程度的隔离,而这在现代社会是不可取甚至也是不切实际的。
更好地执行数据保护的法律法规
关于印度国内数据保护相关法律法规的执行,其国内已经找到本地化的替代性方法,即通过要求外国企业在当地设立子公司或分支机构的方法来确保国内相关法律法规的执行。例如,在未经RBI授权的情况下,处理支付业务的金融实体无法在印度提供服务,而获得此类授权反过来要求它们注册为印度实体。由此,数据保护相关法律法规的执行将取决于外国企业是否在印度建立商业存在,而非数据本地化的要求。
对中国的启示
处于蓬勃发展阶段的印度经济体迎来了数字经济发展的高光时刻。2020年印度数字经济增加值规模达5 419亿美元,位列全球第8位,也是排名前8位的经济体中仅有的两个发展中国家之一。作为发展中经济体的印度,其数字贸易发展与中国具有相当的同质性,如:国内都已建立起庞大的市场规模,并拥有数量众多的互联网用户;近些年都在致力于完善国内数据安全监管制度。虽然印度对数据主权的坚持决定了其在国际舞台上的立场,但其国内正在形成的监管体制及现行的学术研究,仍然值得镜鉴。
正确地识别数据本地化所要解决的具体问题
正确的问题识别是政策干预的起点,也是评估各种解决方案的基础。针对数据本地化的现行研究多以国内的政策动机作为出发点,缺乏对具体问题的识别。诸如刺激经济增长、防止外国监视等政策动机具有一定的宽泛性,并未阐明数据本地化本身所要解决的具体问题。在既缺乏通识标准又缺乏大量实证研究的前提下,以政策动机作为论据显然不足以支撑数据本地化的这项立法。以防御姿态出现的数据本地化之所以被冠以更多保护主义元素就在于其政策目标的模糊性。因此,正确识别问题也构成了对数据本地化前提的论证。
根据《中国人民共和国网络安全法》第三十七条的规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。重要行业和领域的基础设施一旦遭到破坏、丧失功能或者数据泄漏,会严重危及到国家安全、国计民生或者社会公共利益;因此,中国数据本地化措施背后的主要政策依据是网络安全。但该法并未进一步界定危及网络安全的具体情形,以及何种程度才构成对网络安全的严重关切;也未授权相关部门对安全的释义及其受威胁的具体情形做进一步解释。
评估解决问题的其他替代性方案
在具体问题得到识别之后,下一个逻辑步骤是评估解决该问题的所有备选方案及其相对成本和收益。该评估的目标是确定数据本地化是否能通过公共政策的“奥卡姆剃刀”成为解决当前问题侵扰性最小的机制,以及该措施与所要预防的危害的接近程度。该评估应纳入考虑的因素包括:拟执行措施对公民自由、国家运作的影响,以及对所有利益相关者的经济影响。例如,关于印度国内数据保护相关法律法规的执行,在印度已经有了替代性的解决方案,即通过要求外国企业在印度设立子公司或分支机构的方法来保证,而非要求企业在印度建立数据基础设施。这种情况下,数据保护相关法律法规的执行将取决于外国企业是否在印度建立商业存在,而不是数据本地化的要求。与此同时,数据本地化并不能推进管辖权的要求或减少管辖权的冲突,这种要求外国企业在当地建立商业存在的方式,还为司法管辖权的域外行使提供了便利。
当数据本地化暂时无法替代,那么建立相应的评估标准并配以适当权重,便于监管机构在多种数据本地化方案中做出选择。评估标准的建立应该围绕亟待解决的问题,以及可能产生的风险。例如,当外国企业必须在当地建立数据中心,除了要考虑方案与待解决问题之间有无必然联系,还要考虑持有数据的外国企业退出的风险、外国对本国海外公司进行报复的风险,以及互惠上“去中国化”的风险等。要依据待解决问题的不同而施以不同的权重进行综合评估。在现有的一系列本地化方案中,应优先考虑侵扰性最小的措施。例如,对某些类型的数据要求提供近乎实时的报告或数据镜像就能确保同样水平的监管访问。建议只有当上述方案都无法实现既定的监管目标时,再转向只能在境内存储和处理数据的最严苛的本地化形态。
设计包容性的例外条款,确保监管权与自由化的平衡
在中国,数据安全已经提升至国家安全的层面,负责数据监管的机构——国家互联网信息办公室最重要的职责不在于推动行业发展而是维护网络安全。正是这种对安全的追求,催生了诸如限制数据跨境流动、强制数据本地化包養及源代码转让等数据监管类政策。然而,合理的数据跨境流动规则应寻求贸易、安全与发展的价值平衡。数据本地化作为严格限制跨境数据流动的一种属地规制模式,将地域性的传统主权观念照搬至全球性的现代数字经济,容易产生安全与发展之间方枘圆凿的冲突。中国既是经济全球化的受益者,也是重要推动者,而跨境数据流动正是数字经济全球化的重要组成部分。在全球范围内还没有一个可以处理与数据有关的社会、经济、安全和保障问题的全面的数字框架时,我国应结合自身的具体需求和目标,在不断完善国内数据监管制度的同时积极参与数据跨境流动国际规则制定。
当前,无论是从WTO联合声明倡议各方的谈判立场来看,还是由双边和区域贸易协定推动达成的规则来看,都已形成禁止数据本地化的基本立场和实践。从立法协调的视角,可以通过设计具有一定包容度的例外条款,以降低国内监管遭遇外部挑战的风险。就数据本地化措施而言,必须审慎地评估其作为贸易政策对国内的影响,并在此基础上严谨地为其设计合理的安全、产业及隐私例外,以使其能够动态地满足现阶段数字经济发展需求的同时,又不必过分受制于贸易协定中的国际义务。
结语
数据本地化是全球数据治理的焦点问题,其对全球数据治理的影响已经不仅仅局限于一国一域。一个国家在贸易协定中对数据的规制立场,往往受其国内范式的影响,印度也并不例外。印度对数据主权的坚持反映了其在国际舞台上的立场。在数字贸易领域,印度希望在跨境数据流动、数据本地化及隐私保护方面遵循自身的政策框架,而非通过双边或多边贸易协定来推动这一进程。该战略在数字经济全球化的时代并不可取,但印度国内对数据本地化规则的现行研究仍然值得镜鉴。由于国际数字生态系统围绕着最发达的经济体展开,发展中国家围绕数据安全的问题往往不被重视。作为发展中经济体,在缺乏跨境数据流动的全球治理框架下,究竟应该抵制压力进一步完善国内的数据监管制度还是积极参与数据跨境流动国际规则制定来争取全球数字治理的制度性权力,印度为我们提供了一个范式参考。
(作者:范婴,河南财经政法大学法学院;编审,金婷,《中国科学院院刊》供稿)
發佈留言