译文 | OECD发布《跨境数据流动报告》，剖析七国集团三大政策和技术举措

摘译 | 李秋娟/赛博研究院实习研究员

来源 | OECD Library

数据及其跨境流动对于实现数字技术在数字经济和社会方面的潜力、促进商业模式的创新至关重要。在这种情况下，保持对跨境数据流动的高度信任是实现数字化转型、保持数据保护高标准的关键。为此，OECD发布该报告，总结七国集团促进可信跨境数据流动的协议和举措，具体内容包括单边政策和法规、政府间进程以及技术和组织层面的关键努力。

可信跨境数据流动的关键政策和举措

在过去的几十年里，各国制定并实施了一系列政策和法规，单方面管理跨境数据流动以建立信任。这些单边政策和法规具有一些共同点：

首先，它们的共同目标是支持跨境数据流动，并且符合公共政策目标。

其次，它们在规定、机制和工具类型上越来越通用。单边政策和法规使用或认可的规定或机制可分为两大类：

（1）“开放保障措施”主要依靠数据传输实体来确保对所涉及的公共政策目标的持续保护，而不是一般性地规定必须如何满足这些要求。

（2）“预先授权的保障措施”通常以公共部门事前参与为特征。例如，公共部门将接收国单方面列入白名单、将预先批准的特定条款纳入合同中、对具有约束力的公司规则的预先批准等。

政府间论坛也开展了一系列工作，推进合作并实现可信的跨境数据流动。具体包括：七国集团和二十国集团的审议（略）、多边组织的标准制定工作和研究分析倡议、区域合作伙伴之间的标准或约束性协议以及各种优惠性质的贸易协定。

多边进程总结了经合组织、联合国、世贸组织和世界银行的行动。

1、经济合作与发展组织

经合组织很早就认识到了跨境数据流动和信任在数字经济中的作用。在经合组织2016年数字经济部长级宣言（坎昆宣言）中，各国宣布将“支持信息自由流动以促进创新和创造力，加强贸易和电子商务，并通过尊重人权和法治的政策增加人们的福祉，加强互联网的开放性，同时尊重隐私和数据保护框架、加强数字安全”。在此背景下，经合组织工作计划的重点是提供数据治理的通用框架，加强数字环境信任。

经合组织理事会的建议以高水平、可操作和结果导向为原则，适应了各国监管体系和机构设置之间的差异，促进了不同国家监管框架的一致性，并且有助于培养跨境数据流动各方间的信任。其对跨境数据流动的建议包括：

①保护隐私和跨境数据流动指南

经合组织保护隐私和跨境数据流动指南规定了第一套国际商定的隐私原则。该指南明确了两个相互关联趋势的关系：一是承认信息在全球经济中的重要性；二是计算机技术使个人信息的自动处理成为可能，影响个人权利的担忧也正在浮现。该指南技术中立地为政策制定者制定隐私框架提供了重要的指导和参考点。

②在保护隐私的执法中开展跨境合作

跨境数据流动的日趋频繁增加了个人的隐私风险，并突出了执法当局之间加强合作的必要性。各国政府有必要改善其国内隐私执法框架，使其隐私执法机构能够与外国当局合作，并在执法中相互协助。

③加强数据访问和共享

该建议旨在帮助政府制定一致的数据治理政策框架，释放跨部门、国家、组织和社区的数据的潜在优势，加强整个数据生态系统的信任，刺激对数据的投资，并激励跨国有效且负责任的数据访问、共享和使用。

④维护数字安全

具体包括：经合组织关于促进经济和社会繁荣的数字安全风险管理建议、关键活动数字安全建议、密码学政策指南建议等。这些数字安全建议旨在弥合技术和政策，支持数字转型，并保护关键活动、人权和基本价值观。

2、联合国

联合国贸易和发展会议·2021年数字经济报告分析了“跨境数据流动与发展：数据为谁流动”的问题。报告发现，国际上关于如何规范跨境数据流动的辩论陷入僵局，立场趋于两极分化，主要经济大国影响很大；全球数字公司正在扩展自己的数据生态系统。此外，尽管存在碎片化风险，但主要数据领域之间存在可能趋同的迹象。虽然该报告并未寻求提供一个包罗万象的解决方案，但它呼吁以更全面、协调的方式创新全球数字治理。

为此，联合国官方统计大数据和数据科学专家委员会于2022年启动了联合国PET实验室(the UN Privacy Enhancing Technologies Lab)，致力于研发使国际数据共享更加安全的方法，测试合规跨境传输数据的解决方案。

3、世界贸易组织

自2017年以来，WTO在“电子商务联合声明倡议”下，将注意力集中至电子商务贸易方面。截至2022年5月，代表全球贸易90%以上的86个WTO成员已参与该谈判。其2021年12月发布的声明表示，WTO正在协商建立跨境数据流动规则。与此相关，2021年1月发布的《WTO电子商务谈判中关于跨境数据传输和数据本地化纪律的联合行业声明》鼓励WTO谈判者商定数据安全跨境流动框架。

4、世界银行

世界银行的《2021年世界发展报告：数据让生活更美好》试图回答有关治理安排的问题，涉及数据使用的安全和道德。具体到跨境数据流动，报告认为，数据正在重塑实体经济中的竞争、贸易和税收，对中低收入国家构成重大风险。在此基础上，报告呼吁在反垄断执法、平台监管、数据标准、贸易协定和税收政策方面采取国际协调行动，使数据经济政策能够响应各国追求有效、公平和效益的需求。

区域安排也在解决跨境数据流动问题。特别是亚太经济合作组织(APEC)、东南亚国家联盟(ASEAN)、欧盟(EU)和欧洲委员会，它们都是G7成员参与制定区域标准的关键区域实体，在促进成员之间的可信跨境数据流动发挥巨大作用。其中：

APEC隐私框架（最初于2005年制定，以经合组织隐私指南为蓝本，2015年基于经合组织隐私指南的修订而更新）列出了APEC信息隐私原则，构成了APEC跨境隐私执法安排(CPEA)和APEC跨境隐私规则(CBPR)系统的基础。

东盟个人数据保护框架旨在加强东盟国家对个人数据的保护，促进框架参与者之间的合作。该框架不产生具有法律约束力的国内或国际义务，但它鼓励参与经济体合作、促进和实施框架中规定的隐私原则，同时确保东盟成员国之间的信息自由流动。2021年1月，东盟通过了数据管理框架(DMF)和跨境数据流动示范合同条款(MCC)，帮助成员国及企业减少谈判、合规的成本，同时在数据跨境传输时保护个人数据。

欧盟《通用数据保护条例》(GDPR)可以说是建立可信跨境数据流动最雄心勃勃的尝试。GDPR为组织和公司如何处理个人数据建立了强制性规则，并直接适用于参与欧洲经济区的所有国家和地区，这意味着数据能够在欧盟各国之间自由流动。GDPR还制定了通用规则（包括充分性决定、标准合同条款或具有约束力的公司规则等）来管理从欧盟到非欧盟国家数据的流动。在此之后，欧盟陆续通过了《非个人数据自由流动框架条例》《数据治理法案》《数字服务法案》和《数字市场法案》等“数据工具包”。

除了上述努力，多项贸易优惠和数字经济协议也越来越多地参与到可信跨境数据流动问题中来。2008年至2020年，已有涉及72个经济体的29项协议引入了数据跨境流动的规定。

这些数据跨境流动规定中约有一半是非约束性规则，例如韩国-秘鲁自由贸易协定（FTA）、中美洲-墨西哥自由贸易协定；另一半是约束性规则，典型如跨太平洋伙伴关系全面和进步协议（CPTPP），美国、墨西哥和加拿大协定(USMCA)和欧盟-英国贸易与合作协定。

几乎所有协议都对限制数据流动以满足“合法公共政策目标”的例外情况作了规定，且强调了国内隐私立法的必要性。从这个意义上说，政府越来越倾向于使用贸易协定来支持数据流动和数字贸易，并认识到在此背景下需要对个人数据进行保护。

与此同时，各国也开始了新一轮数字经济协议(DEA)的谈判，内容涉及人工智能、电子支付等问题。例如，英国和新加坡已于2022年签署数字经济协议（UKSDEA）。

虽然不同的实体拥有大量数据，但由于信任不足、数据共享受阻或其他问题，企业、个人和政府在跨境数据访问时并不总能从数据中获得最大收益。基于这一需求，“数据中介”开始出现，用于协调共享数据者与访问数据者之间的关系，促进社会对数据的使用和重用。

本节重点介绍数据空间——一种促进跨境数据流动的去中心化数据中介。数据空间是一个基于开放和透明标准的共享数据系统，其目标是实现合作、降低进入门槛并促进数字经济创新。近年来典型的数据空间包括欧洲倡议Gaia-X、国际数据空间(IDS)协会、欧洲共同数据空间、日本数据社会联盟(DSA)的DATA-EX、日本数据交换公司(JDEX)、数据交换协会(DXA)等。

总体而言，“数据空间”的特点是将数据提供者、用户和中介机构聚集在一起，提高互操作性和信任度，从而促进实体和个人之间的数据共享。它可以横向跨部门应用，也可以纵向应用于部门内部。在技术层面上，在不同端点之间汇集或链接、访问、处理、使用、共享数据的通用标准是数据空间的基础。

数据中介或多或少与可信跨境数据流动相关联。数据空间的通用规则克服了跨组织共享数据的法律和技术门槛，通过技术、语义、组织和法律互操作实现信任。数据空间要在国际上扩展，一个关键条件是数据空间的规则要同参与者所在国家的数据治理框架保持一致性。因此，政府对“数据跨境自由流动与信任”的共同雄心和实践，可能会间接推动国际数据空间的建立。

未来，应当继续加深对阻碍跨境数据流动因素的研究，从而指引国际合作导向、创建有利的政策环境，并提供切实可行的解决方案。这对于促进可信的跨境数据流动、利用数据的全部潜力、乃至促进全球经济和社会的繁荣都至关重要。