摘要: 当前数字经济在全球范围内蓬勃发展,规模庞大,数据跨境流动呈现全球化增长态势,数字治理成为必要。各国纷纷建立相应的数据流动规则,在数据调取、传输、使用等方面做出相应的规制。在数字治理领域,一些国家已取得较为良好的实践效果,其中具有代表性的有注重隐私和人权保护的欧盟和注重数据自由流动的美国。我国在数据治理方面,相继颁布了《中华人民共和国网络安全法》、《个人信息保护法》等有关数据保护的法律规范,但在具体的数据跨境流动方面,还缺少专门的法律规制。本文以粤港澳大湾区为研究对象,讨论在粤港澳大湾区建立数据跨境流动规则,为我国构建完备的数据跨境流动规则体系先行进行探索实践,打破数据流动壁垒,促进数据要素的自由流动,融入国际数据流动,推动高质量数字经济建设。
Abstract:
At present, the digital economy is booming globally, the scale is huge, and the cross-border flow of data shows a globalized growth trend, making digital governance necessary. Countries have established corresponding rules on data flow and made corresponding regulations on data access, transmission and use. In the field of digital governance, some countries have achieved relatively good practical results, among which the representative ones are the European Union, which focuses on privacy and human rights protection, and the United States, which focuses on the free flow of data. In terms of data governance, China has successively enacted the Cybersecurity Law of the People’s Republic of China, the Personal Information Protection Law and other legal norms related to data protection, but there is still a lack of specialized legal regulation on specific cross-border data flows. This paper takes Guangdong, Hong Kong and Macao Greater Bay Area as the research object, discusses the establishment of data cross-border flow rules in Guangdong, Hong Kong and Macao Greater Bay Area, and carries out exploratory practice for China to build a complete data cross-border flow rule system first, breaks down the barriers of data flow, promotes the free flow of data elements, integrates into the international data flow, and promotes the construction of high-quality digital economy.
1. 引言
根据国际数据公司(IDC)的测算,中国的数据量增长迅猛,将在2025年达到48.6 GB,居全球第一。且在2022年我国的数字经济规模就已高达50.2万亿元,居世界第二1。粤港澳大湾区独特的制度和开放活跃的经济具有发展数字经济的优势条件。数据要素的跨境流动是数字经济可持续发展的关键环节,在粤港澳大湾区率先探索建立数据跨境流动规则,将提升我国数据治理能力,提升发展数字经济的国际竞争力。
2. 粤港澳大湾区先行建立数据跨境流动规则的必要性
2.1. 我国数据跨境流动规则尚不完善
当前我国有关数据保护和数据跨境流通的法律法规以《个人信息保护法》、《数据安全法》《网络安全法》等为主要制度框架体系,这些法律缺少对跨境数据流动的具体规定和相应规制方式,在有关数据跨境传输的方式,数据主权,数据调取,安全例外条款等方面大多只具有总括性的原则性规定或者缺少规定,关于跨境数据的规定在法律法规中较为分散,通常出现在某一条款的附带叙述之中 [1] 。通过总结全国数据跨境流动和保护方面的相关法律法规,发现我国对跨境数据的规定除了三部现行有效的法律,其他的目前主要以征求意见稿和草案的形式出现,如数据出境安全评估办法(征求意见稿)、个人信息出境安全评估办法(征求意见稿)等。跨境数据传输的统一标准也还未建立,相关规定呈现碎片化、零散化的现象,在各个行业具有不同的规定且大多也处于试行和征求意见阶段,如金融数据跨境安全要求(正在征求意见),汽车数据安全管理的若干规定(试行)。
没有统一完善的标准不利于全国数字治理的开展和数字经济的发展。而在粤港澳大湾区先行先试数据跨境流动规则,通过构建三地协同治理体制机制,借助香港、澳门独特的地理、经济、制度条件,能为完善数据治理体系积累实践经验,进一步助力我国摸清当前数据治理的痛点和难点,完善有关跨境数据的法律体系,更好发展数字经济。
2.2. 大湾区建立数据跨境流动规则的有利条件
2.2.1. 粤港澳大湾区具有经济优势
粤港澳统计部门公布的经济数据显示,大湾区在2022年的经济总量已超13万亿元人民币2。大湾区位于沿海地区,对外发展程度高,经济实力雄厚,经济发展水平在全国处于领先地位。同时大湾区还具有较强的经济互补性和市场活跃度,可以实现服务业、制造业、新兴产业的强势联合与互补。扎实的经济基础能为数据要素的充分流动、数据跨境规则的建立提供经济支撑。通过整合三地的资源优势,创建跨越三个地区的跨境数据流动规则,能打通数据流动通道,也能进一步激发经济发展动能,繁荣数字经济。
2.2.2. 粤港澳大湾区具有相应的政策支持与法律支撑
广东省重视数字经济的发展,自2012年国家支持粤港澳大湾区数字经济政策出台以来,广东省积极响应国家号召,大力部署数字经济发展格局,如在2016年发布了《广东省促进大数据发展行动计划(2016~2020年)》,2019年发布了《粤港澳大湾区发展规划纲要》,2021年出台了《广东省数据要素市场化配置改革行动方案》3。一系列政策的出台有助于衔接港澳数据流动规则,为粤港澳大湾区实现数据跨境的畅通流动提供了坚实的政策支持,也表明了国家和当地政府大力发展数字经济的决心。
港澳地区在数据保护方面有相应的法律支撑。香港地区是亚洲最早就个人信息订立单一和完整的保障法律的地区,其建立了严格的个人隐私保护制度和数据出口规定,在众多隐私法规中最具代表性的为1995年通过的《个人资料(私隐)条例》,主要适用于在中国香港或来自于中国香港控制的个人数据处理行为 [2] 。香港地区的隐私法规参照OECD及欧盟标准建立,与国际数据流动标准接轨,且适时随着经济和社会的发展进行改革。《个人资料(私隐)条例》第33条专门规定了数据的跨境传输,“禁止除在指明情况外将个人信息移转至香港以外地方”,但该条款至今尚未生效实施 [3] 。为促进该条款的尽快生效,2014年香港地区隐私公署公布了《跨境数据传输中的个人数据保护指南》,鼓励数据用户遵守该条款。香港地区完备的数据规定和多年的数据规则实践经验为大湾区数据规则的建立提供了制度范本,且《个人资料(私隐)条例》与我国目前实施的《个人信息保护法》在内容和范围上具有相近性,有助于大湾区协同立法 [4] 。
澳门地区参照葡萄牙《个人资料保护法》并结合实际情况于2005颁布了《澳门特别行政区个人资料保护法》。《个人资料保护法》并未直接规定数据跨境传输,但规定了个人资料转移的原则,即适当保护原则,与欧盟的充分性保护原则具有相似性 [5] 。与香港地区的隐私公署相似,在相关法规的基础上,澳门地区设立了个人资料保护办公室专门管理个人资料。个人资料保护办公室针对澳门地区的不同行业制定了相应的数据保护细化指引,涉及数据跨境流动内容,具有重要参考意义 [6] 。
2.2.3. 技术支持与数字基础设施建设的探索实践
数字经济的发展离不开信息技术的支持与数字化基础设施的建设。粤港澳大湾区内经济实力雄厚,高校云集,具有大量的专业人才,科技创新能力强,区块链、云计算、隐私增强等技术的创新应用为数字经济的发展提供了强大的技术支持,湾区内成立的粤港澳大湾区大数据研究院、湾区数字科技联盟等机构为技术创新提供智力支持。2022年,粤港澳共同发布了国内首份《跨境数据流通合规与技术应用白皮书》,探索了如何利用区块链、数据网关、隐私计算等最新技术,对推进数据高效、合规跨境流动的技术提出了解决方案4。
数字化基础设施平台以区块链等信息技术为基础,是实现粤港澳大湾区数据流通,打破制度壁垒的关键。随着技术的发展,大湾区数字基础设施的建设步伐也在加快。2021年由广东省政府主导,众多高校、企业、科研院所共同参与建设的粤港澳大湾区国家技术创新中心揭牌成立,其精心研发的数据保护与数据跨境服务平台,为企业提供如数据分级分类、风险管理等数据跨境业务合规服务。2022年上线运行的粤澳跨境数据验证平台围绕金融信息先行进行了数据跨境流通探索。2023年粤港澳大湾区科研科创数算协同创新平台项目正式启动,以期实现大湾区科研科创数据共享流通。除此之外,数据流通审计平台,粤港电子签名证书互认、海关和出入境检验检疫RFID应用等跨境数据流通基础设施项目也在陆续探索建立之中。大湾区的数据跨境流动基础设施建设成效显著,这些数字化基础设施的构建利于疏通数据跨境管道,实现数字经济的融合发展。
3. 粤港澳大湾区先行先试数据跨境流动规则的挑战和难点
3.1. 法域冲突下难以形成统一的法律规制和治理标准
粤港澳大湾区三地均有相应的数据流动规制法律规范,香港地区的《个人资料(私隐)条例》,澳门地区的《澳门特别行政区个人资料保护法》,广东省依据内地的《数据安全法》等,这些法律不仅在数据和隐私的范围界定上具有差异性,在数据流动的具体规制方面也具有不同的规则要求。同时,香港地区的《个人资料(私隐)条例》中关于数据出境的条款仍未生效,并不能与内地的有关法规完全接轨,法律制度的衔接和融合存在困难 [7] 。在执法方面,粤港澳三地具有不同的管控措施与审查机制。广东省沿用我国在内陆地区采取的严格的数据出境合规审查和流动监管,而香港地区和澳门地区主要采取充分认定的原则,流通环境相对较为自由 [8] 。在司法领域,粤港澳三地的司法体系相互独立,对起诉、举证、管辖法院等程序上的要求各有不同,难以解决三地的多元纠纷问题,不利于数据在三地合规有序的流动。
2023年6月,国家互联网信息办公室与香港特区政府签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称“合作备忘录”,合作备忘录的发布有助于减小粤港澳三地在数据流动上的制度差异,给出了粤港澳大湾区建立数据跨境安全自由流动的大方向。但备忘录的具体配套落地措施还在制定之中,尚缺少实施细则。
3.2. 粤港澳跨境流动协同规制缺少统一的监管机构
统一的监管机构是数据跨境流动的重要保障。香港地区设立了专门的数据保护机构即香港个人资料私隐专员公署,负责管理个人资料、监督隐私条例的实施。澳门地区也设置了类似的数据保护机构——个人资料保护办公室。但大陆地区暂时还未设立专门机构进行数据管理,管理机构部门多且分散,涉及网信办、发改委、公安部等不同部门,各地区也有设置相应的数据管理机构,但存在职能模糊、层级不清的情况 [9] 。为解决这一问题,国务院提出了组建国家数据局的议案,有望对数据管理和保护建立统一的监管机构。
从香港地区的隐私保护条例和个人资料私隐专员公署的职权范围来看,其只管辖在香港辖区内使用的数据,有关数据保护的条例并不具有境外的法律适用性5。澳门地区和内地的监管机构都严格限制信息的跨境转移,相比数据的自由流动更注重数据的安全保护 [10] 。由此可以看出,目前三地的数据管理机构分散,且主要聚焦于地区内部的数据保护,而缺乏对数据跨境流动的监管,不利于数据要素的自由流动。分散的管理机制,模糊的职能安排是粤港澳大湾区实现数据跨境协调治理的痛点和阻碍,组建职能明确、监管有效的数据跨境管理机构是大湾区实现数据安全自由流动面临的重要挑战。
3.3. 粤港澳大湾区实现数据跨境流动面对的国际冲击
在互联网数字时代,数据是数字经济发展的核心生产要素,国际贸易的发展有赖于数据的跨境流动。数据的跨境流动已成为全球互联互通的重要途径,也受到越来越多国家的重视,各国为抢占全球数字经济发展的优势格局纷纷建立完善数据跨境流动法律法规 [11] 。例如欧盟主要通过《通用数据保护条例》(简称GDPR)对数据跨境流动进行监管;美国有《云法案》,《美墨加协定》等。同时,各国纷纷进行国际合作,其中美欧双方多次就数据跨境流动进行磋商,达成如《隐私盾协议》、《跨大西洋数据隐私框架》等协议以确保双方数据在美欧之间自由流动。
在大国博弈背景下,欧美等国家通过签订双边或多边协定畅通国与国之间数据流通的渠道,而中国关于数据跨境的法律制度和体系尚不完善,且欠缺国际合作,面临着较大的数据流通保护壁垒问题,整体在国际竞争中处于弱势地位 [12] 。在此背景下,在大湾区建立数据跨境流动规则需要面对较大的国际竞争冲击。
4. 对粤港澳大湾区数据跨境流动规则实践的建议
4.1. 完善数据跨境立法,统一数据跨境流动标准
目前,三地已有的数据立法和实践经验能为建立统一的法律规制提供指引,建议在完善国内立法的同时,三地针对大湾区内数据流动规制协同立法,尽快推动开展大湾区数据跨境的相关立法工作,做好粤港澳三地之间的法规制度衔接,缓解规则冲突,统一粤港澳数据跨境流动规则,探索建立三地协同治理机制。在统一法律规制的大框架下,明确数据跨境流动的具体安全评估规则和评估流程,公布评估标准。
4.2. 设立统一的数据跨境流动监管机构,实现数据共建共享共治
大湾区数字经济发达,市场交易频繁,数据规模大、流动快,要实现大规模的数据监管,需要在大湾区内建立一个统一的监管机构,由其统一的负责数据监管工作,下设具体工作部门,明确划分各个部门的工作职责,对各个环节的数据交易往来流通进行评估审查。三地的机构可以进行协同治理,各自派出专业人员尝试建立大湾区统一的数据监管机构,内部对不同性质的跨境数据进行差异化管控,平衡数据安全与数据流动间的关系,满足各行各业对数据跨境流动的需求。
4.3. 打造数据跨境政务服务平台,开展地区探索试点工作
除了设立粤港澳统一的数据监管机构外,还有必要打造统一的线上数据跨境政务服务平台,并在大湾区内有序开展平台运行试点工作 [13] 。以大数据和区块链技术为依托,创新治理方式,打造服务于大众的数据跨境平台,方便数据的调取、储存、传输、应用等,实现数据跨境的高效流通和合理规制。大湾区各行各业的数据往来频繁,打造统一的政务服务平台利于监管机构开展工作并对跨境数据进行分类治理,实现数据的有序流动和监管的透明公正。
4.4. 积极参与数字治理国际规则制定
迈入信息时代,以互联网为代表,数据要素为核心驱动的数字经济成为未来经济发展的主力军。要抓住数字经济发展的机遇,中国要积极参与数字治理的国际规则制定,在保障数据主权与数据安全的前提下,衔接国际数据流动标准,共筑网络空间命运共同体,提升国际竞争优势,促进数字经济的持续健康发展。
在中国签订的国际条约和协定中,《区域全面经济伙伴关系协定》(简称RCEP)是首个对数据跨境流动做出专款规定的协议 [14] 。除此之外,中国正在积极申请加入对数据跨境流动监管要求更高的《全面与进步跨太平洋伙伴关系协定》(简称CPTPP)和《数字经济伙伴关系协定》(简称DEPA)。中国应顺应国际数字经济贸易规则发展趋势,在数据跨境治理上提出中国式方案,尝试在双边或多边经济贸易协定中将数据跨境作为独立的一章作为谈判内容,争取构建数据流动规则的主动权 [15] 。充分利用“一带一路”等政策,扩大数据跨境流动的合作范围,增强数据跨境的国际交流与合作,实现数字经济的高质量发展。
NOTES
1《IDC:2025年中国将拥有全球最大的数据圈》。
2央广网,https://china.cnr.cn/news/20230323/t20230323_526191913.shtml
3资料来源于中国政府网、广东省人民政府网。
4跨境数据流通合规与技术应用白皮书(2022年)。
5个人资料私隐专员公署官网 https://www.pcpd.org.hk/scindex.html。