1 数据之重:美中两国数据治理和网络安全方法 国观智库 美国中美研究中心联合课题组2023年2月 目录 执行摘要1 第一部分——数据治理和网络安全给国家来带新问题与新挑战3 一.数据治理和网络安全研究对象和范围3 二.数据治理和网络安全研究目的4 三.数据治理和网络安全研究方法5 四.相关政策建议6 第二部分——中国和美国在数据治理和网络安全方面的做法7 一、中国7 前言7 1.中国数据治理和网络安全制度的法律框架8 2.“雷声大,雨点大”:中国积极建立数据治理和网络安全法规12 3.中国的数据治理机制:初步结论13 二、美国14 1.联邦法律层面14 2.州法律层面20 第三部分——全球数据治理、跨境数据流和网络安全方法22 一、数字商务22 二、在数字经济协定中保留“监管权”24 三、关于数字商务的多边规则制定26 四、全球网络安全规范28 第四部分——结论:寻找数据安全定律的途中32 参考文献34 北京市西城区南柳巷3号T:(010)62158609www.grandviewcn.com 执行摘要 数据是数字经济的命脉。随着中国和美国都试图在定义第四次工业革命的关键数据产业中占据优势,数据也成了策略竞争的舞台。习近平主席谈到数据革命给生产流程、生活方式和社会治理方式带来的深刻变化,并强调了深化互联网、大数据和人工智能与实体经济融合的必要性。美国国家安全顾问杰克·沙利文(JakeSullivan)称数据是一种“力量倍增器”技术,在未来十年将尤为重要。正是由于数字化带来的巨大利益,中国和美国都大步迈向数字前沿,但是他们的方式并不相同。在主权、监管和安全——释放和保护数据价值的三大关键要素上,中国和美国的做法异远大于同。 中国将数据视为独立的“生产要素”,这一做法独特且颇具远见卓识。中国采取的数据治理和网络安全的方法是自上而下的,由国家以协调一致的方式推动。方法也是全面的,旨在在安全性、隐私性、包容性和商业等相互竞争的因素之间取得微妙的平衡。在隐私和个人信息保护方面,中国采取了规范性的做法。虽然大多数非个人数据或多或少被允许自由跨境流动,但个人数据只有在目的地国被认为拥有具有内置保障措施的类似数据保护制度的情况下才能自由跨境流动。此类数据,特别是关于敏感和其他“重要数据”必须通过安全评估,且这种安全评估涵盖范围广泛而严格(尽管不针对任何特定的国家)。中央领导层在数据治理和网络安全方面的总体目标是制定一个深入、流动和开放的市场的长期参数,在这个市场中,数据要素可以进行有效和可信赖的国内和跨境无缝交易,同时防止数据误用、滥用或成为对抗国家的武器。 相比之下,美国的数据治理方法更加自由放任,由私营部门主导。一方面,美国政府极力保护数据畅通无阻的权利,包括畅通无阻的跨境流动。在数字市场准入方面的立场激进,监管宽松。除了有限的安全和执法例外情况,例如不得将敏感数据传输给外国对手,以及政府可以无条件访问受美国管辖的机构和个人可能存储在海外的数据,数据可以不受阻碍地移动。个人数据和非个人数据的处理没有实质性的区别。另一方面,美国在国家层面缺乏全面的数据保护和隐私制度。数据相关规则由联邦和各州相关法律、美国联邦贸易委员会的裁决、特定行业的隐私义务和机构级数据保护标准“拼凑”而成。 中国和美国对数据治理和网络安全的不同愿景和方法阻碍了多边层面跨境数据流动规则的发展。在各自的国内监管框架——特别是在安全和隐私框架方面——进一步统一之前,多变层面推行跨境数字贸易自由化流动相关规则仍将十分艰难。在这种情况下,推出区域层面的规则成为退而求其次的选择。《数字经济伙伴关系协定》(DEPA)和《全面与进步跨太平洋伙伴关系协定》(CPTPP)等区域框架正逐渐成为跨境数据治理规则制定方面的事实标准。在这一前提 下,美国和中国可以通过第三方框架探索跨境数据流领域的潜在合作机会——尽管必须指出,任何一方都不容易克服这其中的诸多障碍并在第三方平台上协调他们方法。 网络安全合作的情况也是如此。近年来,网络安全已成为数据治理中越来越重要的组成部分。由于频繁的勒索病毒攻击、数据泄露等安全事件,数据正日益直接影响社会稳定、经济发展和国家安全。然而,围绕核心网络安全规则达成全球共识一直很难,迄今为止提出的各种建议和倡议通常都是自愿、无约束力的。不管愿不愿意,全球网络安全规则的制定将不得不由在国内范围执行的规则和标准的拼凑而成,或者最多是由区域范围的规则和标准拼凑而成。但愿与跨境数据流动的情况一样,大型数字生态系统之间的网络安全规范可以逐渐实现趋同。如果没有这种融合,这些生态系统之间至少可以形成一种基本的共存。 在可预见的未来,无论是在中美层面还是在全球层面,为数据治理规则和规范铺路从而应对数字政策挑战仍将是一项具有挑战性的工作。然而,鉴于数据对21世纪生活方式以及社会、工业和经济进程的深远影响,必须以饱满的智慧和决心寻求全球、区域和双边治理规则和规范的协调。 第一部分——数据治理和网络安全给国家来带新问题与新挑战 在全球大宗商品价格攀升、核心通胀高企、经济增速减弱的世界中,总要有些亮点来呵护大家对未来的信心。数字经济就被寄予这样的厚望。 随着主要经济体竞相建立由5G、人工智能(AI)、云计算和物联网(IoT)等一系列创新推动的数字经济,数字前沿成为一个充满机遇和挑战的领域。预计到2025年,新数字技术构成的全球市场规模预计将达到数万亿美元,数字市场将具有巨大的增长潜力。作为全球排名前两位的经济体,中美两国都不愿错过数字经济大潮,各自迅速推动本国经济以及国际经济的数字化。中国将发展数字经济置于“双循环经济”愿景的核心,美国强调数字贸易是其新的印太经济框架(IPEF)的核心组成部分。 中美两国各自构建起基于数字经济的庞大愿景,而要将愿景变为现实,数据治理和网络安全是难以回避的问题。数字经济驱动全球发展,数据则负责驱动数字经济。数据治理和网络安全就是基于数据这个基本要素进行规划管理与协调合作,保障数据能在安全有序运行。 一.数据治理和网络安全研究对象和范围 数据治理的概念最早在20世纪90年代网络大爆炸的时代就已被提及。按照国际标准化组织的定义,数据治理是指对数据资产管理行使权力和控制的活动集合,包括规划、监督和执行等,旨在为组织的数字化转型奠基并赋能,助力实现数据资产的价值最大化,并拓展数字化应用的想象空间。也有研究认为,数据是一种资产,通过服务产生价值,数据治理是在数据产生价值的过程中,治理团队做出的评价、指导和控制。 数据的价值在于流动与汇聚,这通过数据开放、交换和交易等形式实现。但流动与汇聚如果只遵循市场规则,会在一国市场内会造成数据垄断,在全球范围内会带来数据霸权,就需要针对数据流动中存在的问题进行数据治理,衍生出网络安全问题。数据垄断会导致数据滥用, 出现“大数据杀熟”“诱导性推送”等问题,甚至是个人数据非法采集等问题,于是需要通过有效监管,规范网络安全,促进数据使用安全。 全球数据治理和网络安全是个全新的领域,范式建构也是开放的。作为数字经济驱动力的数据产生规模大,随着物联网、人工智能的推进,每时每刻都有新的数据产生,数据总量指数级增长。现有的数据储存、分析和使用方案需要不断迭代,才能满足需求。因此数据治理和网络安全不能只立足现实,还要放眼未来,在构建数据市场规则和提高数据治理水平方面建立开放型讨论框架。 二.数据治理和网络安全研究目的 数据治理和网络安全是对数据资产进行规划、监控、执行、管理的一种带有强烈目的性的实践活动,目的是释放并保护数据的价值。为实现这一目标,需要重视数据“3S”因素,即主权 (Sovereignty)、监管(Supervise)和安全(Security)。 当数据被认为是国家的一种战略资源后,不但赋予数据广阔的开发与增长的空间,同时也带来新的领域:在国家间如何对涉及跨境的数据属权进行有效分割,这就是数据主权问题。数据主权是国家主权在网络应用中的自然延伸,国家拥有对本国信息资源进行保护、开发和利用的权力,全部包本国信息不受该国干涉,自主进行信息的生产、加工、存储、流通、交换和传播,同时对本国数据的输出和国外数据的输入进行监管的权力。 对数据的监管是国家主权利益的重要组成部分,体现出对数据的掌控和分析能力。审慎监管的基础是数据确权。在境内需要厘清数据归属权、使用权和收益权于个人还是平台,或者是公共产品。数据治理需要政府、企业、个人三方广泛参与,但三方的诉求虽然都集中在数据领域,但治理重点却有所差异。政府的切入点是数据的监管权,平台专注推动信息要素自由流动,而个人则要充分保护自身数据。 数据治理就是要保障目标三角尽量满足各方需求,通过覆盖数据全生命周期中的各种过程和状态,利用手段和活动释放、保护数据的价值。目前的共识是在保证有效监管的前提下,在推动数据自由流动和保护个人数据权利之间进行权衡,即在效率与公平间调整。 当前云端数据对数据监管构成进一步挑战,云计算和云存储将数据的所有权和控制权分隔开。用户可以随时访问储存在云端的数据,而对数据的控制权却掌握在提供云存储服务的服务商手中。发生数据跨境流动的情境下,涉及各方都会主张拥有数据权利,会形成数据主权声索的重叠乃至冲突。以类似GDP的GDD(GrossDomesticData)的模型进行划分,是数据监管在实施上较为可行的方式。 近年来网络安全在数据治理中占据的考量越来越大,数据跨境流动给治理和安全带来了诸多挑战,对传统安全观来说,这是一个全新的领域。数字经济时代,数据已经成为国家基础性战略资源和新型生产要素,伴随而来的数据安全风险日益升级,勒索软件攻击、数据泄露等安全事件频繁发生,直接影响到社会稳定、经济发展和国家安全。社会各方面对于用户画像、算法推荐等新技术新应用高度关注,对相关产品和服务中存在的信息滥用和安全漏洞等问题反映强烈。如何在保障安全和隐私前提下推动数据合理有效利用,数据安全如何体系化、具体化的落地,如何使用关键技术来满足全数据应用场景的安全需求等,成为数据安全治理实践方面的新思考、新挑战。 三.数据治理和网络安全研究方法 由于数字经济被视为重要战略领域,针对“3S”因素近年来中国和美国相继出台了一系列政策文件和法律文件,这些体现公共意志的文件也构成了分析北京和华盛顿在数据治理和网络安全框架的基础性文本。通过研究政策形成路径,以及决策过程中的关键参与者和部门,能更清晰地了解中美两国在数据治理和网络安全方面的重点和脉络。 政策文件和法律文件构成了数据治理和网络安全国内文本,在这方面还有一部分文本是两国签订的相关双边和多边贸易协定。数字经济已经成为国际贸易中的重要组成部分,各国在保障数据跨境贸易和加强协同监管方面做了不少尝试,但目前得到都只是阶段性的成果,并没有建立起固定的框架。 最新的一次尝试是在2022年6月中旬,中美两国都参加了世贸组织第12届部长级会议。会议中各国讨论了《关于电子商务的工作计划》, (https://docs.wto.org/dol2fe/Pages/SS/directdoc.aspx?filename=q:/WT/MIN22/W23.pdf&Open=True) 各方同意在2023年底之前召开第13次部长会议之前,维持目前不对电子数据传输征收关税的做法。 四.相关政策建议 中国和美国都采取了各种严格的方法来进行数据治理,并全力保护数据安全,但由于在地缘政治竞争时代,北京和华盛顿的数据治理像是两台在不同点上开凿隧道的工程车辆,彼此之间几乎没有协调,再加上数据治理领域拥有一定话语权的欧盟则在第三点开凿,这种分头行动使全球数据治理和网络安全的前景仍然充满挑战。 本研究的初级结果是要了解中美在数据治理和网络安全方面政策法规的不同,正视差异。对不同国家的数据治理和网络安全政策加深了解,是研究的出发点。要意识到在形成统一的标准、均衡考量各国情况差别和利益述求之前,实现真正的数据自由跨境流动并不容易。 本研究的中级结果是为管控相关分歧提供框架。国际上多轨并行的数据治理和