- 关于跨境数据治理的困境[2022-06-20]
- 数据治理实施的4个难点[2022-06-17]
- 理论支撑:企业财务大数据[2022-06-16]
- 数据治理的时代演变之道[2022-06-15]
- 数据治理的经济分析[2022-06-14]
- 实施数据治理时常犯的10[2022-06-13]
- 数据质量管理办法[2022-06-10]
- 治数VS养数[2022-06-09]
- 华为是怎么做数据治理的[2022-06-09]
- 数据发现对数据治理的重[2022-06-08]
关于跨境数据治理的困境与对策
对数据要素的掌控和应用是发展数字经济的关键,世界主要国家和经济体都在积极推进数据治理的规则体系建设。但是,由于国家和地区间发展水平、经济规模、意识形态等存在差异,全球数据治理规则必然出现碎片化和阵营化趋势。跨国公司人员、业务、客户等覆盖多个司法辖区,可能引发不同类型和数量的数据在国家和地区间流动,这些情况将对跨国公司的跨境数据治理合规带来挑战。
一、跨国公司涉及的跨境数据治理场景
跨国公司的相关数据需要在不同区域之间进行转移流动,由于不同国家和地区的监管要求存在差异,跨境数据流动过程中可能面临双重或者多重的管辖与监管,而引起跨国公司开展跨境数据治理的动因可以归为业务模式、集中经营和合规监管等三类。
(一)业务模式引发的跨境数据流动
跨国公司经常采用跨区域经营的模式,会导致业务流和资金流的跨境流动,并引起数据流的跨境活动。例如,常见的跨境电商、跨境金融等跨境业务模式,以及汽车等全球性制造业领域,都是涉及由全球化引起的研发、销售、人员等多维度的数据跨境流动问题,数据跨境流动是这类业务模式的基础。智能设备、工业装备及数量庞大的物联网终端都可能存在数据回传问题,相关设备的跨境使用会引起数据跨境流动。例如,苹果公司(Apple)的隐私政策提及,“Apple 产品和服务将你与世界连接。为了实现这一目标,你的个人数据可能会被传输到世界各地的实体或被其访问(包括 Apple 附属公司),用于进行包括本隐私政策中所述的、与你使用我们的产品和服务相关的处理活动”。
(二)集中经营引发的跨境数据流动
为了降低管理运营成本或者输出统一标准的产品或服务,很多跨国公司会采取集中经营的模式,即总部(全球多中心)负责研发、分析等后台业务,并在全球各地进行制造、销售等前端工作,必然要求将其世界各地的员工、客户及供应商数据进行跨境传输并集中化处理、存储和利用。这类场景往往出现在全球连锁性质的跨国公司中。例如,优衣库在其隐私政策中提及,“为了确保全球业务的一致性、连续性和系统安全性,并为提升本公司品牌对用户的服务质量,本公司可能会将用户提供的个人信息提供给本公司的境外的母公司及境外的迅销集团下属的其他公司”;星巴克也提及,“为了进行集团全球业务的管理以及保障我们的服务水准,在必要且符合适用法律法规的前提下进行个人信息的跨境传输”。
(三)合规监管引发的跨境数据流动
虽然一些公司的业务、人员和客户等都不涉及数据跨境,但是由于海外上市融资等合规监管可能引发跨境数据流动,一些公司需向境外提供相关数据,这就形成了跨境数据流动。例如,在美国上市的很多中国概念股,应美国证券交易委员会(SEC)等机构的政策要求,需提供审计底稿数据,乃至部分业务数据。此外,还有一类富有争议的跨境数据流动场景来自跨境执法的信息获取。例如,美国《澄清境外数据的合法使用法案》(Clarifying LawfulOverseas Use of Data)、《欧洲议会和欧洲理事会关于刑事犯罪电子证据的调取令和保全令的规定的提案》(Proposal for a REGULATION OF THEEUROPEAN PARLIAMENT AND OF THE COUNCILon European Production and Preservation Orders forelectronic evidence in criminal matters)等都提出,基于刑事案件的需要,可以要求公司提供境外数据,从而引起跨境数据流动。再进一步则是由于管辖权冲突引发的跨境数据流争议。
二、跨国公司开展跨境数据业务面临的挑战
随着世界各国和地区开始关注并对跨境数据流进行规制,跨国公司基于跨境数据流动开展全球性业务开始面临各类挑战。
(一)数据治理规则碎片化
虽然世界各国普遍认识到跨境数据流动对经济贸易的发展具有重要意义,但是各国对跨境数据的治理方式方法存在较大的分歧。例如,美国支持自由流动的跨境数据治理规则,而欧盟支持区域内数据自由流动与区域外高水平保护要求。欧盟和美国之间关于跨境数据流动问题的谈判也一直在共识与分歧之间摇摆。欧盟和美国先后在 2000年达成《美欧安全港框架》(U.S.-EU Safe HarborFramework),在 2016 年达成《欧美隐私盾框架》(EU-U.S. Privacy Shield Framework),但是这两个协议分别于 2015 年和 2020 年被欧洲法院判定失效。直到 2022 年 3 月,欧盟和美国才就新的《跨大西洋数据隐私框架》(Trans-Atlantic Data PrivacyFramework)达成原则性协议。更多发展中国家,例如印度、巴西等,也围绕跨境数据流动制定了更为严格的规定。主要国家和地区通过制定数据治理规则争夺数字经济的控制权和发展权,事实上加剧了国家间数据治理规则的碎片化,给跨国公司进行数据合规带来了挑战。部分国家间在数据跨境治理规则方面的冲突性规定,让跨国公司陷入“进退两难”的境地。
(二)模糊不定的安全例外
安全例外是各国支持跨境数据流动的基本前提,但是,模糊不定的安全例外对跨国公司造成较大影响。事实上,美国提倡的自由流动,中国主张的安全、有序流动,以及日本提出的基于信任流动,都含有安全例外内容。世界贸易组织(WTO)已经启动的“与贸易有关的电子商务”的规则谈判,也涉及安全例外规则;在《跨太平洋伙伴关系全面进步协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)等多边协定中,既有跨境数据流治理的共识规则,也有基于安全的例外规定。但是,不同国家和地区对安全的范围和边界的界定存在差异,特别是在数字经济领域,安全例外以模糊处理的情况较多。例如,欧盟对《通用数据保护条例》(GDPR)仅指出有关国家安全的个人数据处理活动不适用本条例,但是没有对安全例外进行说明;CPTPP 第29.2 条“安全例外”也有类似模糊的表达,即因基本安全所需的信息提供和措施不在该协议范围内。
(三)制度设计与实践背离
一般认为,数据治理涉及安全和发展两个维度,但是当前全球尚无成熟的模式可供参考。由于隐私泄露、个人信息滥用、数据安全等问题突出,对公民合法权益乃至国家安全造成危害,包括欧盟、中国、巴西、印度等国家和地区均由政府主导制定数据治理规则的顶层设计,作为前述问题当事主体的企业,往往处于被动接受的状态。在实践中,数据从生产到流通、利用等各个环节一般是由多参与者协同完成,并导致数据广泛地存在于终端、网络、平台、系统之中且处于多方控制之下,数据治理是一个典型的“多利益相关方模式”治理问题,企业基于数据实践对规则提出的合理意见应当获得足够的重视,否则将在实施过程中面临困境。这方面典型案例如 GDPR 中的“被遗忘权”“数据可携权”等,在实践中遇到了技术操作难题。随着数据作为一种战略性资源这一理念逐渐获得认可,国家之间对数据的竞争态势日益形成,政府主导数据治理规则的态势更加明显,规则与实践脱节的可能性进一步增加。
(四)全球化与本地化困境
跨国公司本质上是利用全球资源服务全球市场,因此全球化是其基本特征,既包含人员、业务和客户的全球化,也包含技术系统和数据的全球化。由于美国在数字技术、产品和服务领域实力远超其他国家,除美国总体上支持数据跨境自由流动外,其他主要国家和地区都有不同程度的数据本地化约束。实际上,美国自身也在例如健康、电信、征信等特殊领域有数据本地化的要求。由此,跨国公司的全球化特征与数据治理的本地化约束之间产生了巨大的鸿沟。此外,与数据本地化约束相伴的长臂管辖规则增加,进一步对跨国公司全球化发展形成了冲击。例如美国《澄清境外数据的合法使用法案》的规定或将与多个国家和地区的本土数据规则产生冲突。
三、跨国公司应对跨境数据治理挑战的对策建议
全球经济形态正在逐渐转向数字经济,对数据的利用能力和程度将成为跨国公司的核心竞争力之一,也会成为有利于塑造其在全球市场的竞争优势。因此,跨国公司必须采取必要措施应对跨境数据治理挑战,这是数字文明时代跨国公司必须回答的重要命题。
(一)重构跨国公司全球化数据合规体系
在全球尚未达成统一规则或共识的前提下,世界范围的数据治理规则具有多样性、变化性、复杂性等特征,不同国家和地区的规则关切重点也存在差异,例如欧盟注重个人对数据的控制、美国注重数据给企业带来的利益、中国注重安全与发展的统一,对合规体系的弹性空间提出了更高的要求。跨国公司对合规的理解不应局限于“符合法律规则”,在当前的背景下,合规还会涉及国家安全、公共利益、文化传统乃至风俗习惯等不同维度的要求。特别是在“棱镜门计划”和“脸书数据门”等重大事件后,国家安全成为越来越多国家开展数据治理考量的重要因素。跨国公司的全球化数据合规体系需要深度理解和适应不同国家的治理体系,打破传统合规思维,积极进行升级乃至重构。
(二)加强跨境数据治理的本地化合规投入
跨国公司可根据业务类型及数据收集、使用的范围等,配置相应的机构和投入相应的资源开展数据合规能力建设,例如在中国设立首席数据合规官一类的职位,更好地提供本地化服务并便于与监管部门沟通。涉及处理大量个人信息和重要数据的跨国公司,可能需要考虑采取本地化存储和处理方案,对数据的处理和利用也需要透明、可审计,必要时可寻找第三方评估和审计机构的认证。
(三)加强数据治理技术的研发投入和应用
作为治理对象的数据,对技术系统和平台具有非常强的依赖性,数据治理需要政策研究与技术研发之间进行协同,跨境数据治理也是如此。跨国公司可以通过加大在技术创新上的投入提升数据治理的能力和水平,夯实跨境数据治理的基础。例如,在跨境数据可能涉及个人信息的场景中,区块链、多方安全计算、数据标识和确权技术等将能发挥重要作用。中国《数据安全法》明确提出,“国家支持数据开发利用和数据安全技术研究”。政府应该鼓励通过技术创新来达到数据治理的相关目标,并满足国家、企业、个人的诉求和关切。
(四)加强与主管部门沟通交流与实践分享
跨国公司在数据跨境方面的需求最强烈、场景最复杂,对治理规则的合理性、可行性等具有较大的发言权,应主动加强与主管部门的深入交流,并积极在各场合分享跨境数据治理优秀行业实践。数据治理规则的最终目的是促进健康发展,为保证法律政策的科学有效性,主管部门制定政策时应考虑能够支持企业更好地参与全球数字产业链构建,重视企业特别是跨国公司所带来的生产力创新和价值创造。政府需要以更开放的态度将跨国公司纳入决策过程,使规则能够更加普遍、平衡反应各方诉求,增强规则的被接受度和可操作性。企业也可在深入交流过程中加强对有关要求和概念的理解,例如“重要数据”的定义及其目录,以及“关键信息基础设施”的范围等。