信任下的数据自由流动:克服跨境数据流的障碍 我RERFINgPPE JNU变化中20 封面:一些/AF-studio 内部:一些/AliseFox 内容 3介绍 41数据自由流动与信任(DFFT) 52政策和业务挑战 52.1政策角度 62.2业务角度来看 73最近政策过程和可用的工具 73.1政策层 83.2工具层 94行动呼吁 94.1制度机制 94.2互操作性及其他方面的业务工具 105的结论 11贡献者 12尾注 免责声明 本文件由世界经济论坛发布,作为对项目、见解领域或互动的贡献。本文所表达的调查结果、解释和结论是世界经济论坛推动和认可的合作过程的结果 ,但其结果不一定代表世界经济论坛的观点,也不一定代表其全体成员、合作伙伴或其他利益相关者的观点。 ©2023年世界经济论坛。保留所有权利。不得以任何形式或任何方式(包括影印和录音)或任何信息存储和检索系统复制或传播本出版物的任何部分。 2023年1月,信任下的数据自由流动:克服跨境数据流的障碍 介绍 数据跨境流动对全球经济至关重要——携带信息并实现创新、价值和财富。当数据跨境流动时,有可能为更多的人提供更多服务,并为人类和地球带来更多利益。 许多国家正在制定限制数据流的法规,以应对隐私、国家安全和知识产权的挑战,或出于保护国内就业等经济原因 。这种限制,即使出于好意,也可能导致监管分散和业务挑战,尤其是在与数据本地化要求相结合时。如果受到破坏,这最终可能会削弱全球贸易流动和 限制所有人的社会福利。不幸的是,目前支离破碎的方法已经停滞不前(甚至可能倒退)实施跨境数据流框架的政策努力。 本文强调了此类数据流的重要性,并敦促公共和私营部门的全球领导人采取集体行动,努力达成共识,以期实施“数据自由流动 信任“(DFFT)——通过政策机制和企业具体工具促进基于信任的数据交换的总括概念。但是,需要注意的是,本文主要关注跨境企业对企业(B2B)数据传输。 目的不是提供一份明确或详尽的政策建议和工具清单,以应对眼前和长期的挑战。相反,它是审查DFFT当前面临的挑战,评估迄今为止取得的进展,为企业提供政策机制和具体工具的方向,更重要的是,从政策和业务的角度促进关于如何实现DFFT的全球讨论。 1 数据自由流动与信任 (DFFT) 2020年,全球数据流量达到每月230EB或2300亿 GB,预计到2026年将增加两倍以上,达到每月780EB。1 在过去十年中,数字贸易一直是全球贸易中增长最快的领域,平均每年增长5.4%,对全球增长的贡献超过商品贸易。2 一项研究表明,到2023年,跨境B2B商务预计将占数字贸易的三分之二(1.78万亿美元)。3 对于全球企业,日本经济产业省(METI)最近领导的研究确定了涉及跨境数据传输的一系列行业和运营。它们包括:a)在线应用程序的提供商和开发人员;b)向海外外包商传输数据; c)通过物联网(IoT)从其他国家实时收集和分析数据;d)提供平台服务和互联网作为 服务;以及e)网络安全服务。例如,通过使用物联网平台进行收集和分析 对于全球销售的设备,公用事业的运行条件,操作环境,维修等的实时数据,这些公司将能够预测故障的发生,并根据这些数据制定优化的维护计划。4简而言之,这些领域的活动产生了提高人们生活质量的基本产品和服务。 跨境数据政策必须应对这些经济和社会影响,同时牢记确保信任的重要性。在G20峰会上 2019年,日本首相安倍晋三宣布启动“信任数据自由流动”(DFFT)的“大阪轨道”,这是数据流开放和信任共存并相互补充的数据流愿景。5 事实上,G7国家的成员已经认识到“DFFT是创新,繁荣和民主价值观的基础”。6这一愿景也延续到了最近在巴厘岛举行的G20峰会上,G20《巴厘岛领导人宣言》明确提到,“我们仍然致力于进一步实现数据自由流动,促进跨境数据流。7 框注1跨境数据流的多利益相关方方法 在政府间层面进行政策对话的同时,多方利益攸关方之间也进行了积极讨论,以通过公私伙伴关系帮助和补充关于跨境数据政策的政府间对话。例如,世界经济论坛发布了与DFFT相关的白皮书,“探索国际数据流治理”,“跨境数据流路线图”,*“数据自由流动” 使用信任(DFFT):通往自由和可信数据流的途径“和”重建信任和治理: 迈向信任的数据自由流动(DFFT)“,旨在帮助政策制定者在涉及多个利益相关者的同时推进DFFT。8, *这些多利益相关方方法的建议包括:a)默认情况下允许数据流动;b)建立数据保护水平;c)优先考虑网络安全;d)国家之间的硬连线问责制;e)优先考虑连接性、技术性 互操作性、数据可移植性和数据来源;以及f)面向未来的政策环境 。12 2 政策和业务挑战 尽管正在讨论推进DFFT,但政治现实和格局仍然是基于经济发展,保护隐私以及其他人权和国家安全问题目标的国家法规的拼凑。13 由此产生的地缘政治碎片化和政策方法对充分实现DFFT提出了挑战 。 2.1 政策的角度 数据政策在个人数据的跨境传输方面差异很大,但可以分为三种基本模式:(1)开放 保障;(2)预先授权的保障措施;(3)有限的转让。14,这些模型可能最终 但当前多元化的政策和法规格局给寻求跨境共享数据的企业和其他实体带来了成本、运营复杂性和不确定性。 表1跨境数据传输模型 在如何保障向私营部门的转让方面,往往以公共准则为依据,这些做法往往留有酌处权。它们包括私营部门的充足性、合同和事后问责制。 根据一系列透明的标准,在转让之前需要公共部门批准的机制。其中包括公共部门的充足性和其他事前法律文书,如合同条款或具有约束力的公司规则。 这些对公司和其他组织的跨境数据流提出了严格且不太透明的要求,可能包括政府在安全评估后逐案和临时授权。它们通常包括在原产国存储和有时处理个人数据的条件。有限的传输通常适用于定义不太明确的数据分类,例如“重要”或“关键”数据。 经合组织最近的一份报告显示,越来越多的国家正在采用数据 或在其领土内处理。数据本地化措施也变得越来越严格:年,其中三分之二的措施涉及存储要求和流量禁令。16 这些数据本地化规则的经济影响令人震惊。例如,根据信息 )的报告,一些研究表明,数据本地化和其他数据流障碍造成了影响。 一些国家的重大经济成本:“使美国GDP减少0.1-0.36%;导致巴西和欧盟一些云服务价格上涨10.5%至54%;巴西、中国、欧盟、印度、印度尼西亚、韩国和越南的GDP下降0.7%至1.7%。17FrontierEconomics的另一项研究表明,两者之间的差异 一条适度自由化的道路和一条适度限制的道路每年在欧盟 GDP中的价值略高于1.5%,相当于 根据国际货币基金组织的长期预测,欧盟大约一年的GDP增长。 18 业务的角度在全球监管碎片化和数据本地化程度不断提高的背景下,研究来自多层次的监管要求;c)由于公司需求和相关研究费用工作表明,公司正面临一系列障碍。19,20,21最近的努力之一是经的频繁变化,缺乏法律稳定性;d)理解不足济产业省的报告,该报告基于对私营部门的采访。22跨境数据流业务现实的监管机构;e)与获得数据处理认证相关的重大成本;以及f)缺乏对“跨境流动”、“个人数据”和其他概念报告指出了以下障碍:a)国家内部的法规重叠,这可能是由的明确定义。国内监管机构之间的数字孤岛造成的;b)导致缺乏法律透明度 跨境数据传输和业务痛点 类型的跨境数据传输业务痛点的例子 1在线应用产品开发的公司–初创企业和中小企业的进入门槛太高,因为各国的法律法规各不相同2转移到外国第三国公司进行外包–跨境多地区数据整合和数据访问是否构成“跨境转移”不明确 –在将数据跨境传输到第三国时,公司必须确保目的地国家/地区与来源 国相同的保护和管理系统 3通过物联网实时数据分析来自国外1设备,不–随着“安全信息”等新数据类别的出现,对非个人数据的法规越来越包括个人数据多。通常范围模糊,容易突然变化 –数据本地化规则的逐案审查流程可能会破坏实时监控的优势,这是物联网的基本功能 4通过物联网设备从国外进行实时数据分析–“个人数据”的定义不仅适用于法律,还适用于指南和行政通知,使其 -包括个人数据难以实施和解释 5提供平台服务和IaaS2–跨境转账的要求非常复杂,需要频繁的客户协议6提供网络安全服务–除了全球规则和标准外,安全相关信息可能需要特定地区的认证,这带来了巨大的成本负担 2.2 表2 注:1.物联网;2.IaaS(互联网即服务) 资料来源:FumikoKudo、RyosukeSakaki和JonathanSoble,“每个国家都有自己的数字法律。我们如何让数据在它们之间自由流动?“,世界经济论坛,2022年:https://www.weforum.org/议程/2022/05/跨境数据监管- DFFT/ 框注2跨境数据流动障碍实例 (摘自经济产业省报告书第10页“公司视角下的问题”) 一家公司表示,“个人数据”跨境传输的定义和规定不仅适用于条例的正文,而且适用于准则和行政协议,因此难以解释。23另一家公司说 当数据跨境传输到第三国时,企业被要求确保其同行在其数据管理系统和运营中提供与数据来源国相同级别的保护,即使同行位于不同的监管管辖区;遵守这些法规会给企业带来不成比例的负担和责任。 希望通过双边协议、七国集团和二十国集团的审议以及其他国际组织的对话,最终消除这些障碍。由于解决这些障碍可能需要时间,因此企业还需要工具来 驾驭当今不同的监管方法和工具,并降低与跨境数据流相关的风险 。 3 最近的政策过程和可用的工具 3.1政策层 正如经济合作与发展组织(经合组织)最近的一份报告所描述的那样,许多现有的协议、进程和倡议 寻求促进信任的跨境数据流动。24各国已经制定了一系列政策和法规,单方面管理跨境数据流,以建立信任。此外,政府间的一系列进程 论坛有助于推进合作。其中包括:a)G7和G20的审议; b)制定标准的努力以及促进多边组织对话的研究和分析举措;c)区域伙伴之间制定标准或具有约束力的协定;d)各种优惠贸易协定。 表3跨境数据流的政策流程 在某些条件下,允许将某些类型的数据传输到国内领土以外的国家的国内方法:25 –开放保障措施:这些保障措施主要依靠转让实体来确保对所涉及的公共政策目标的持续保护,而对如何满足这些要求没有一般性规定 –预先授权的保障措施:这些保障措施通常的特点是公共部门事前更多地参与,以确保可信 的数据传输。它们包括:要求在合同中纳入公共部门预先核准的具体条款;公共部门对组织具有约束力的公司规则的预先批准;或国内认证计划 间级流程 –审议由七国集团和20国集团(G20) –多边方法 –促进多边组织(如经合组织、联合国、世界贸易组织、世界银行)之间对话的标准制定工作以及研究和分析举措 –区域安排 –区域伙伴之间制定标准或具有约束力的协定 (例如亚太经济合作组织(亚太经合组织)、东南亚国家联盟(东盟)、欧洲联盟(欧盟) ) –优惠贸易协定 –消除贸易壁垒并为两国之间或少数国家之间的国际贸易制定规则的条约26(例如《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《欧盟-英国贸易与合作协定》、《英国-新加坡数字经济协定》) 峰会上,数字部长们将DFFT视为 “G7促进数据信任自由流 )加强DFFT的证据基础;b)利用共 ;c)持续的监管合作;d)在数字以及e)分享有关国际数据空间前 同年,在印尼举行的G20峰会上,主席对G20数字经济部长会议的总结描述了G20的重要性 进一步开展工作,确定“现有监管方法和工具之间的共同点、互补性和趋同要素,使数据能够以信任的方式流动,以促进未来的互操作性”。28 3.2 工具层 随着这些政策讨论,已经开发了技术、法律和其他工具,以减轻与数据共享相关的业务风险,并促进更顺畅的跨境数据流。 降低法律风险和降低合规成本的一种工具是使用示范或标准合同条款进行跨境数据传输。当局已经制定了条款,这些条款是寻求跨境共享数据的实体之间合同的推荐甚至要求的。当纳入合同时