返回上一页 文章阅读 登录

洪延青:数据竞争的美欧战略立场及中国因应

更新时间:2022-06-11 17:44:18
作者: 洪延青  

   内容提要:数据的国家间竞争态势日益形成。美国事实上已经将自己的企业打造成了美国在网络空间的国家利益的载体,其数据安全和治理方面的法律和政策工具随着美国企业走向全球,促成美国企业尽可能地掌握和控制全球数据。欧盟则沿着数字单一市场和技术主权两条主线,为欧洲企业消除了在区域内数据获取和控制的壁垒,极大地抬高了外国企业在其境内运营的门槛,并通过域外管辖和数据跨境流动管控实现其数据治理秩序向境外“投射”以促进其企业全球化运作,进而更多地掌握和控制全球数据。在世界贸易组织电子商务规则谈判中,美国和欧盟各自提出了提案以固化其国内形成的数据安全和治理秩序。当下中国通过的立法更多的是设立了数据安全和治理的框架、流程、工具,缺乏对数据竞争的实质性立场,进而导致经贸协定谈判中中国方案的“隐而难发”。中国需要尽快扭转这一局面,为中国企业参与全球竞争提供规则基础。

  

   关 键 词:数据掌握  数据控制  国家间竞争  经贸协定谈判  内外统筹 

  

   一 问题的提出

  

   《外交事务》杂志在2021年第3期发表了一篇广为传播的文章——《数据即权力》(Data is Power)。两位作者直言:

  

   与全球经济的其他要素相比,数据与权力更紧密地交织在一起。作为创新的一个日益必要的投入,国际贸易的一个迅速扩大的元素,企业成功的一个重要因素,以及国家安全的一个重要层面,数据为所有拥有它的人提供了难以置信的优势。它也很容易被滥用。寻求反竞争优势(anticompetitive advantages)的国家和公司试图控制数据。那些希望破坏自由和隐私的人也是如此。①

  

   这段话清晰、全面地勾勒出数据对于国家间竞争至关重要的意义。显然,数据资源要素的获取将极大促进数字经济发展,这已经成为世界各国的共识。

  

   随后,两位作者从自己的视角概述了欧盟和中国在数字经济领域的政策和措施,特别是中国的各种“数据本地化”要求、5G网络产业政策、中国标准2035、数字丝绸之路等,得出了一个结论:“中国对数字时代有一个愿景,美国则没有。”两位作者还指出,对于数据,

  

   华盛顿的许多讨论过于狭窄,只涉及隐私、反垄断问题和法律责任。这些都是至关重要的问题。然而,要牢记数据的巨大经济潜力——不仅仅是在美国产生的数据。由于数据是非竞争性的,那些不能获取和使用数据的国家将有重大的潜在损失。②

  

   因此,涉及数据跨境流动的政策和法律的方方面面,很大程度上决定了一个国家获取和使用数据的能力。本文将一个国家在国内法层面对数据跨境流动的管控③与其所参与的国际经贸协定对数据跨境流动的规范联动而形成的一国对数据资源要素的占有,称为国家的数据竞争战略。

  

   在笔者看来,《数据即权力》一文的两位作者实际上极大地低估了,或者是选择性地忽略了美国在涉数据跨境流动方面的法律和政策客观形成的对数据的掌握和控制效果。美国根据自身产业界的技术水平和全球运营的状况,通过推动区域性数据流动框架和《云法》(Cloud Act)打造了数据“宽进严出”的阀门,并在国际经贸协定谈判中极力维护或植入对其产业界有利的规则。至于大西洋彼岸的欧盟,其坚定地沿着“数字单一市场”战略,通过创设各种法律工具打破各成员国之间数据流动的壁垒,筑高数据流出欧盟的门槛,并通过“长臂管辖”实现欧盟外企业自愿或非自愿地将数据带回欧盟境内。同样,欧盟也在国际经贸协定谈判中争取符合自身利益的规则。

  

   反观中国,2017年生效的《网络安全法》、2021年9月生效的《数据安全法》,以及2021年11月生效的《个人信息保护法》在增强中国对全球数据掌握和控制的效果方面不甚清晰。与此同时,中国正在参与世界贸易组织(以下简称WTO)电子商务规则的谈判,④中国数据竞争战略的不清晰实际上已经直接导致了中国在国际经贸协定谈判中对于数据跨境流动和本地化的立场“隐而难发”。⑤此外,中国已于2021年9月正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(以下简称CPTPP),⑥但海外媒体智库普遍认为中国需要通过修法的方式“放松”国内数据跨境流动管控才能符合CPTPP的规定。⑦因此在未来谈判过程中,如何利用CPTPP中的不符措施和例外措施、是否需要国内修法、对哪些国内法在多大程度上进行修订等关键问题,都需要从国家数据竞争的角度来考虑。

  

   为此,本文呼吁采取一个关于数据跨境流动乃至国家间数据竞争的综合性视角。这样的视角不仅能够有效指导国内进一步立法的方向和策略,而且对于国际经贸协定谈判应采取的立场和方针的确定,也有重大意义。但不无遗憾的是,我国既有的关于数据跨境流动的研究主要关注单一方面的局面。例如,有些学者关注域外执法司法领域数据跨境调取与我国立场之间的冲突;⑧有些学者关注各国内部对数据跨境流动的规制要求及相互之间形成的博弈和互动;⑨还有些学者从国际经贸谈判的角度研究数据跨境流动问题。⑩从国家间数据竞争角度观察,需要综合地看待国内和国际联动,才能相对完整地勾勒出数据跨境流动背后的政治经济学。有鉴于此,本文沿着上述思路尝试对全球数字经济最重要的三个主体——美国、欧盟和中国做出分析,勾勒其各自的数据竞争战略,并最终落脚到三个国家和地区目前正在开展的WTO电子商务谈判中相关条款与其竞争战略的耦合程度。由于WTO谈判处于各国提出各自方案的阶段,并没有形成统一案文,而CPTPP条文则已经形成且中国已经开始对其进行评估,因此,本文还将以CPTPP相关条文作为分析基线,剖析美国和欧盟在WTO谈判中最新案文所展现出的立场与CPTPP协定中相关条款的“偏离程度”,以及中国目前国内立法和政策与CPTPP条款可能存在的差距。这样的分析有利于厘清中国在国际经贸谈判中面临的形势和压力,同时也是呼吁中国尽快确定自己的数据竞争战略以便能像美欧那样“统筹国内国外”。

  

   二 国内法筹划:美欧数据竞争的战略框架

  

   (一)美国的数据竞争战略框架

  

   从业务层面的数据跨境流动来说,美国一直推行亚太经济合作组织(以下简称APEC)项下的《跨境隐私规则体系》(Cross Border Privacy Rules,以下简称CBPRs)。从2011年以来,美国成功地将其重要盟友(墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中国台北、菲律宾等8个经济体)纳入该体系,并在2020年8月首次提出将该体系“从APEC框架独立出来”,以在更大的范围内吸引更多的国家和地区加入。(11)这套制度的实质是通过提供较低保护水平的数据跨境流动机制,“削弱”加入其中的国家或地区按照自主意愿管控数据跨境的权力,然后借由美国产业界超强的实力,最终实现数据向美国企业和美国本土的汇聚集中。(12)一方面,数据一旦为美国公司所掌握,则美国的外国投资委员会(CFIUS)将有权严格审查能够赋予外国组织或个人访问“敏感个人数据”的并购或投资;(13)另一方面,特朗普当政时期的“清洁网络计划”,拜登政府最新签署的《关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令》(14),以及美国商务部建立的《确保信息和通信技术及服务(ICTS)供应链安全》暂行最终规则(15)等措施,将“外国敌手”所拥有或控制、或受其管辖或指挥的人所设计、开发、制造或提供的某些联网软件应用程序和设备排除在美国的供应链外,进一步避免了美国数据(包括美国公司所掌握的来自美国境外的数据)的“不当流出”。从为执法和司法目的跨境调取数据来说,美国的法院程序和2018年通过的《云法》都在强化对受美国法管辖的实体和个人的数据跨境调取能力。(16)特别是《云法》没有修改原先的《存储通信法》(Stored Communications Act)中禁止受美国法管辖的实体和个人向境外政府提供关于通信内容数据的规定,而是进一步利用该规定,确立了与美国政府签署了协定的“适格国家”才能够直接向美国的公司调取数据。

  

   上述法律和政策方面的“组合拳”客观上达成的效果有三。一是掌握。对数据(低保护水平)自由流动的倡导,使得美国企业能够在业务层面尽可能多和便利地掌握全球数据,并可以将其“带回”美国总部(或者美国公司自主选择的地点)进行分析。二是排除。美国排除了“外国敌手”的信息技术产品通过参与美国企业业务运营而掌握数据的可能性,并严格审查和限制外国的个人或公司通过并购和投资获得美国数据的行为。三是调取和限制。只要是美国公司所控制(control)、拥有(possess)、保管(custody)的数据,无论是否存储在美国境内,都受美国司法和执法程序的管辖,只要有现实需求就应当向美国当局提供;而外国政府如果需要向美国公司调取较为敏感的内容数据,只能通过美国政府的司法协助或者成为《云法》项下的“适格国家”。

  

   通过上述三方面的举动,美国事实上已经将自己的企业打造成了美国在网络空间的国家利益的载体,适用于数据的法律和政策工具随着美国企业走向全球,最终实现了其整体的数据战略——尽可能地掌握和控制全球数据。

  

   (二)欧盟的数据竞争战略框架

  

   欧盟围绕着“数字单一市场”和“技术主权”两条主线打造适用于数据的法律和政策工具。“数字单一市场”的目的是将欧盟各个成员国整合成一个不存在贸易壁垒的统一市场。(17)“技术主权”则是“欧洲必须具有的能力,即必须根据自己的价值观并遵守自己的规则来做出自己的选择”。(18)

  

   沿着这两条主线,就欧盟内部市场来说,《通用数据保护条例》(以下简称GDPR)开宗明义,在第1条就明确“该条例规定了有关在处理个人数据方面保护自然人的规则和有关个人数据自由流动的规则”,以及“个人数据在联盟内的自由流动不应由于与保护自然人的个人数据处理有关的原因而受到限制或禁止”。(19)欧盟的《非个人数据自由流动条例》(The Regulation on the Free Flow of Non-personal Data)同样指出,“该条例旨在通过制定与数据本地化要求、向主管部门提供数据以及为专业用户移植数据有关的规则,确保除个人数据外的数据在联盟内自由流动。”(20)在通过两部条例打通了个人数据和非个人数据在欧盟内的自由流动后,欧盟在2020年2月发布的《欧洲数据战略》(21)中提出,“本战略所列的措施致力于构建数据经济的综合性方法,旨在提升整个欧盟单一市场对于数据、数据赋能产品和服务的使用和需求。”该战略最核心的举措是建立“单一欧洲数据空间”(a single European data space)。

  

在2021年,欧盟规划的数据相关立法的草案,例如旨在激励各方数据共享的《数据法案》,以及针对科技巨头收集、使用、共享数据中限制创新和竞争问题的《数字市场法案》等相继问世。(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134584.html
文章来源:《国际法研究》2021年第6期
收藏