美国限制敏感数据出境,建立统一跨境数据流动规则难在哪里?

财经作者:小编2024-03-04

  美国总统拜登近日签署一项行政命令,禁止外国实体获得美国人的敏感数据。

  在2月29日的外交部例行发布会上,在回答记者提出的有关“拜登总统签署了旨在阻止外国实体获得大量美国人个人数据的行政令”问题时,中国外交部发言人毛宁回应称,美国泛化国家安全概念,诬称中方购买美国公民敏感数据从事恶意活动,禁止数据流向包括中国在内的所谓“受关注国家”,是明显针对特定国家的歧视性做法,中方对此坚决反对。

  毛宁表示,中国政府一向高度重视保护数据隐私与安全,从来没有也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据、信息和情报。“中方已经率先提出《全球数据安全倡议》,如果美方真的关心数据安全,可以公开支持中国的这一倡议,或者作出类似的承诺。我们要求美方停止对中国的污蔑抹黑,切实维护开放、公正、非歧视的营商环境,与各方共同制定普遍性的数据安全规则,促进全球数据有序自由流动。”毛宁称。

  去年10月底,美国贸易代表办公室(USTR)在世贸组织(WTO)的谈判中撤回了此前的数字贸易提案,该提案要求WTO电子商务规则允许自由的跨境数据流动,并禁止数据本地化和软件源代码审查的国家要求。

  对外经济贸易大学中国世贸组织研究院教授、国家数字贸易专家工作组成员周念利接受第一财经记者采访时表示,目前看来,美国撤回其在WTO谈判桌上的数据跨境流动提案,正是要为其在国内出台数据跨境流动的限制性举措预留政策空间。

  “其次,考虑到数字经济的发展需求,以及美国已与主要盟友和贸易伙伴在区域和双边层面达成的数据流动安排,美国认为在WTO框架下制定额外的跨境数据流动规则可能不利于其战略利益。”周念利称。

  跨境数据流动监管是否越来越严格

  据《环球网》援引相关报道称,拜登发布上述行政令后,美国司法部将启动制定规则程序,在此期间,公众和企业可以就相关规则架构提出意见。

  周念利表示,当前,WTO框架下直接规范数据跨境流动的规则尚未明确。然而,与贸易相关的数据流动可能受到《服务贸易总协定》(GATS)的影响。如果数据作为贸易的对象,属于服务贸易的范畴,那么应遵守GATS的规定。她说:“但GATS设置了一般例外和安全例外条款,基于这些成员方可以对数据流动实施一些限制。不过针对GATS对于数据贸易是否适用,各界还存在争议。”

  从地区来看,欧盟此前推出了《通用数据保护条例》(GDPR),出台了有关数据同意、数据主体权利、数据泄露通知以及如何将个人数据传输到欧盟以外的一系列严格规定。此外,《区域全面经济伙伴关系》(RCEP)、《跨太平洋(3.420,-0.05,-1.44%)伙伴关系全面进步协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)和《美墨加协定(USMCA)》等多边协定也都对数字贸易、隐私和数据保护作出了相应规定。

  国际上对于数据跨境流动的管制是否越来越严格了?

  周念利解释称,在当前时代背景下,无论是参与国际治理还是国内规制,数据跨境流动的安全考量显著增强。“尽管如此,整体来看,经济体普遍主张需要在安全与发展之间找到平衡。”她称。

  周念利表示:“中国也支持这一观点,强调数据安全是基本底线,同时认为在确保安全的前提下,还需考虑发展需求,以避免因数据不流动而失去贸易和投资机会,因为不发展同样意味着不安全。”

  她表示,目前,中国在数据治理制度的出台中同时注重安全端与发展端两方面。

  全球层面制定统一规则的分歧

  根据商务部,2021年11月,中国正式申请加入《数字经济伙伴关系协定》(DEPA)。2022年8月18日,成员方成立了中国加入工作组,全面启动谈判。

  据商务部去年11月介绍,目前,中方正与成员方就协定相关议题深入交流,已举行2次部级会议,3次首席谈判代表会议和3次技术磋商,总体进展积极。同时,中国国内多个地方都在主动对接DEPA,与成员方一道探索相关领域务实合作。

  周念利告诉第一财经记者,DEPA框架下的数据规则内容很丰富,旨在平衡发展和安全的需求。它包括跨境数据流动规则,强调数据对驱动创新的重要性,并鼓励合作以促进数据驱动的创新。DEPA还倡导政府公开数据,以促进公共数据流动和数字经济的发展。

  “尽管内容全面,DEPA目前的成员数量相对有限,仅有三个正式成员。”周念利称,虽然DEPA提供了较全面的数据治理框架,但其成员覆盖范围仍有限制。

  周念利表示,从国际上整体来看,大多数参与制定数据治理规则的经济体都认可数据流动对经济和贸易发展的重要性,且不主张让自身成为一种“数据孤岛”。然而,不同国家和地区在安全阀设置、数据流动限制的强硬程度上持有不同立场。

  周念利用几个主要的区域性协议举例解释称,RCEP主张数据跨境自由流动,但是基于“实现合法政策目标”或“基本安全目标”成员方可以对数据流动实施管制,且关于安全威胁和数据流动之间的因果关系由成员方自身来判定。

  CPTPP和DEPA也强调数据跨境自由流动,但仅保留了“合法政策目标”的例外,即成员方为实现合法政策目标,可以对数据流动实施限制。但是,这些限制应该确保不会对贸易造成不必要的阻碍,同时限制的程度应适度,应仅限于实现合法政策目标所需的范围。

  最后,USMCA则展示出一种更为开放的数据流动政策。“CPTPP和DEPA仍然认识到,每个国家和地区在数据流动上都有监管的自主性,数据跨境流动是基于此前提进行讨论的。但是USMCA并未明确强调成员方在数据跨境流动治理问题上有其监管自主性。”周念利称。