2019大数据产业峰会|北大洪延青：数据跨境流动博弈——从贸易谈判谈起

为了深入落实国家大数据战略，推动大数据产业交流与合作，展示我国大数据产业最新发展成果，2019年6月4日至5日，由中国信息通信研究院、中国通信标准化协会主办，大数据技术标准推进委员会承办的2019大数据产业峰会在北京国际会议中心隆重开幕。6月5日，大数据安全论坛隆重举行。

会上，来自卫生信息安全与新技术应用专业委员会、北京大学、清华大学、对外经济贸易大学、中国电信云技术公司等科研机构和企业专家和学者，对大数据政策、产业、技术现状与趋势等内容进行了交流探讨。

下面正式进入分论坛的主题演讲环节，首先让我们从国际视角来看当前大数据安全的焦点问题，有请北京大学法治与发展研究院高级研究员洪延青博士为我们带来主题演讲《数据跨境流动博弈——从贸易谈判谈起》。

北京大学法治与发展研究院高级研究员洪延青博士

非常荣幸能有这个机会跟大家作这么一个分享，特别感谢信通院的邀请。我在想台下有很多比我资深、比我年长的前辈和师长，我第一个讲我一直不理解原因，但是现在我知道了，只有我一个人讲国际，我把国际讲完之后后面就可以更安心地讲国内政策了。

我给大家讲一下数据跨境流动博弈——从贸易谈判说起，分享的主要内容来自于给商务部世贸司做的课题。2018年年终的时候他们找到我说，如果2019年我们要进入世贸框架下电子商务这个章节谈判的话，我们进去的话可能会遇到什么样的场景，别的国家在某些重要议题上是什么样的政策、立场，我们的条文、我们的政策立场跟他们能不能形成协调，如果参与谈判的话会遭遇什么样的境遇。去年给他们做了一个评估，总体发现数字贸易条款中有七个非常重要的议题，这七个议题需要在各个国家立场上形成协调之后才可能达成在WTO框架下形成数字贸易这一个章节的东西。2019年初商务部签署了同意开展WTO框架下数字贸易章节条款谈判的工作，今年开始正式启动了这么一个工作。今天我主要跟大家讲述本地化与数据跨境流动这么两个议题，简要看一下现在美国和欧洲最新提出来的条款，上面对数字本地化和贸易是怎么规定的，咱们国家的基本立场，有没有可能形成协调。

数据跨境流动本质上是不同国家、地区、组织之间的，无论是个人数据、非个人数据的互操作性。一般来讲，监管数据跨境流动有四个事由：为了数据安全、为了保护个人、为了正当的公共政策目标、为了国家的安全。但是在欧美，比如说咱们国家《网络安全法》37条出来之后，欧美无论是行业协会还是政府都给咱们国家政府提过很多的意见，无外乎数据本地化或者管制数据跨境流动造成三个不好的后果：1.损害自己的经济的增长；2.违反了技术逻辑，比如云计算或者大数据可能数据要汇在一起才有作用，留在本地的话就阻止了汇聚的过程；3.像中国、俄罗斯这样的国家想利用数据国际化推翻国际互联网的治理秩序。国际上不论是智库还是学者写文章反对数据本地化和数据跨境流动无非是这三个角度来讲。

现实的情况，有颜色的国家数据或多或少都有本地化的或者管制跨境流动的政策，颜色越深说话严苛度越高。目前没有国家要求所有的数据都在本地化存储，但是基本上都对某一类数据进行本地化的要求。来看时间轴的话，沿着时间轴，你会发现越来越多的国家和地区采取了数据本地化或者管制数据跨境流动的政策。

贸易谈判中美欧最新的立场。有三四页PPT没有翻译成中文，我觉得用英文看稍微好一点。TPP算是新一代贸易规则，虽然美国退出来了，变成CTPP，但是电子商务这一章节没有改变，主要的数据本地化、数据跨境流动的章节主要在十四章体现。大家可以看到TPP的第一句话说的还是各成员国认可，每一个成员国为了保护通讯的秘密和安全的情况下，可能会对本地化提出一些要求。但是最下面美国在WTO框架下提出最新的语言，直接把第一段全删掉了，意思是我不认可你有任何管控数据本地化的理由，直接来了一句，任何一个成员国都不应该要求把数据留在本地作为开展营商的前提条件，就是前面那一句相对肯定性的话直接删掉了。第二句话跨境流动，TPP的第一句话，成员国认可每一个成员国国家有自己的监管要求，而且为了取得正当的公共政策目标的话，是允许有数据跨境流动的，只要不造成A和B两项。在美国最新的语言里面同样删掉了，他不认可每个国家应该有自己的管控要求的自主性，直接要求说任何一个国家都不应当要求对数据跨境流动进行管控。造成数据跨境流动，只要这个措施不是任意和没有正当性的就可以。但是在最新的语言里头，他对什么叫作任意和没有正当性进行了进一步的说明，说只要对数据跨境流动这个规则采取了规则，那么跟数据境内流动的规则就是不一样的，他就说明你这是属于肆意和没有正当性的。第一个理解，只要用了两套规则就叫不同的规则，第二个理解对跨境安全的流动安全水平比境内的安全水平高，这个叫不同的规则。具体这个规则是实质性的理解方式还是形式上的理解方式，现在没有厘清。

欧盟的语言跟美国的不一样，也跟TPP的不一样，欧盟用A条款和B条款，A条款标题大家可以看到，叫作数据跨境流动，这个数据包括个人数据和非个人数据。总体的意思，条款A是要求所有的本地化措施等等都不应该，包括用本地计算设施的这些条件都不应该是某个企业在某个成员国开展营商的前提条件，但是它对B项做了一个非常宽泛的界定，他说为了保护个人数据和隐私的话，每个国家可以采取他自己认为合适的措施，从这段话的意思来看，就是想为自己的GDPR找寻一个国内的政策空间，他用的词、用的语句我认为是国家安全的时候怎么样，把这个语句用在个人信息保护当中。欧美的整体路径就是对于非个人数据要尽量促进国际流动，不能有本地化的措施。非个人数据由于有GDPR的保护措施，他说要给自己这样一个空间。

我们看美欧最新的立场的话，四项理由，现在只承认保护个人而已，其他三项理由都不承认，他认为其他三项不构成数据本地化，原来大家可以看到TPP还允许数据安全，还允许正当的公共政策目标，但是这两项在美欧最新的条款里头都不存在了，至少在WTO环境下，他希望把数据自由流动的框架再往前提一步，但是回到无论是《网络安全法》37条的设计，还是最新的《数据安全管理办法（征求意见稿）》，咱们的诉求肯定不能只是保护个人，出于这个理由管控个人数据，但是美欧已经往下走一步了。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!