信任下的数据自由流动:克服跨境数据流动的障碍 BRIEFINGPAPERJANUARY20 封面:Gettyimages/AF-studio 内部:Gettyimages/AliseFox Contents 3Introduction 41具有信任的数据自由流(DFFT) 52政策和业务挑战 52.1政策角度 62.2业务视角 73最近的政策流程和可用工具 73.1政策层 83.2工具层 94行动呼吁 94.1体制机制 94.2用于互操作性和其他方面的业务工具 105结论 11贡献者 12尾注 免责声明 本文件由世界经济论坛发布,作为对项目、洞察领域或互动的贡献。本文所表达的调查结果,解释和结论是世界经济论坛促进和认可的合作进程的结果 ,但其结果不一定代表世界经济论坛的观点,也不一定代表其成员,合作伙伴或其他利益相关者的整体。 ©2023年世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或通过任何方式复制或传播,包括影印和记录,或通过任何信息存储和检索系统。 2023年1月数据自由流动与信任:克服跨境数据流动的障碍 Introduction 数据跨境流动对全球经济至关重要-承载信息并实现创新 ,价值和财富。当数据跨境流动时,有可能为更多人提供更多信息,并为人类和地球带来更多利益。 许多国家正在提出限制数据流的法规,以应对隐私,国家安全和知识产权的挑战,或者出于经济原因,例如保护国内工作。这种限制,即使是善意的,也可能导致监管碎片化和业务挑战,特别是在与数据本地化要求相结合时。如果遭到破坏,这最终可能会削弱全球贸易流动和。 不幸的是,当前分散的方法使实施跨境数据流框架的政策努力停滞不前(甚至可能倒退)。 本文强调了此类数据流的重要性,并敦促公共和私营部门的全球领导人采取集体行动,努力实现对它们的共同理解 ,以期实现“数据自由流动与 信任”(DFFT)-通过政策机制和企业的具体工具促进基于信任的数据交换的总括概念。但是,重要的是要注意,本文主要关注跨境的企业对企业(B2B)数据传输。 目的不是提供可以应对当前和长期挑战的明确或详尽的政策建议和工具清单。相反,它是审查DFFF当前面临的挑战,评估迄今取得的进展,为政策机制提供方向,为企业提供具体工具,更重要的是,从政策和商业的角度促进关于如何实现DFFF的全球讨论。 1 具有信任的数据自由流(DFFT) 2020年全球数据流量达到每月230艾字节,即2300亿GB,预计到2026年将超过三倍,每月将达到780艾字节。1 在过去十年中,数字贸易一直是全球贸易中增长最快的领域,平均每年增长5.4%,对全球增长的贡献超过了货物贸易。2 一项研究表明,到2023年,跨境B2B电子商务预计将占数字贸易的三分之二(1.78万亿美元)。3 对于全球企业而言,日本经济产业省(METI)领导的最新研究确定了一系列涉及跨境数据传输的行业和运营。它们包括:a)在线应用程序的提供商和开发人员;b)将数据传输到海外外包商; c)通过物联网(IoT)从其他国家/地区进行实时数据收集和分析;d)提供平台服务和互联网作为 服务;e)网络安全服务。例如,通过使用物联网平台来收集和分析 对于全球销售的设备,有关公用事业的操作条件,操作环境,维修等的实时数据,公司将能够预测故障的发生并根据这些数据制定优化的维护计划。4简而言之,这些领域的活动产生了提高人们生活质量的基本产品和服务。 跨境数据政策必须应对这些经济和社会影响,同时铭记确保信任的重要性。在G20 2019年,日本首相安倍晋三宣布启动“具有信任的数据自由流动”(DFFT)的“大阪轨道”,这是一个数据流的愿景 ,其中数据流的开放性和信任共存并相互补充。5 事实上,七国集团成员已经认识到“DFFT是创新、繁荣和民主价值观的基础”。6这一愿景也被推进到最近在巴厘岛举行的G20峰会上,《G20巴厘岛领导人宣言》明确提到,“我们将继续致力于进一步实现数据自由流动,并促进跨境数据流动。7 BOX1跨境数据流的多利益相关方方法 在政府间一级的政策对话的同时,多方利益攸关方之间也进行了积极的讨论,以通过公共和私人伙伴关系帮助和补充有关跨境数据政策的政府间对话。例如,世界经济论坛发布了与DFFT相关的白皮书,“探索国际数据流治理”,“跨境数据流路线图”,*“数据自由流动”。 信任(DFFT):自由和可信数据流的路径”和“重建信任和治理: 通过信任实现数据自由流动(DFFT),旨在帮助政策制定者在涉及多个利益相关者的同时推进DFFT。8, *这些多利益相关方方法的建议包括:a)默认允许数据流动 ;b)建立数据保护水平;c)优先考虑网络安全;d)国家之间的硬连线问责制;e)优先考虑连通性、技术 互操作性、数据可移植性和数据来源;以及f)面向未来的政策环境。12 2 政策和业务挑战 尽管正在进行讨论以推进DFFF,但政治现实和景观仍然是基于经济发展,保护隐私以及其他人权和国家安全关切的目标的国家法规的拼凑而成。13 由此产生的地缘政治分裂和政策方法对充分实现DFFF提出了挑战 。 2.1 政策角度 在个人数据的跨境转移方面,数据政策差异很大,但可以分为三种基本模式:(1)开放 保障措施;(2)预先授权的保障措施;(3)有限转让。14,这些模型可能最终 但当前多元化的政策和法规格局给寻求跨境共享数据的企业和其他实体带来了成本、运营复杂性和不确定性。 表1跨境数据传输模型 往往会根据公共准则,在如何保护向私营部门的转移方面留有酌处权。它们包括私营部门的充分性,合同和事后问责制。 根据一系列透明标准,在转让之前需要公共部门批准的机制。这些包括公共部门的充分性和其他事前法律文书,如合同条款或具有约束力的公司规则。 这些措施对公司和其他组织的跨境数据流动提出了严格和不太透明的要求,可能包括在安全评估后由政府逐案和临时授权。它们通常包括在原籍国存储和有时处理个人数据的条件。有限的传输通常可以应用于定义较少的数据分类,例如“重要”或“关键”数据。 ,越来越多的国家正在采用数据 :2021年,三分之二的 16 这些数据本地化规则的经济效果令人震惊。例如,根据信 )的报告,一些研究表明, 一些国家的重大经济成本:“美国GDP减少0.1-0.36%;导致巴西和欧盟的一些云服务价格上涨10.5%至54%;巴西,中国,欧盟,印度,印度尼西亚,韩国和越南的GDP减少0.7%至1.7%。”17前沿经济学的另一项研究表明 , 一条适度自由化和适度限制性的道路每年在欧盟GDP中的价值略高于1.5%,相当于 根据国际货币基金组织的长期预测,欧盟大约有一年的GDP增长。18 商业视角在全球监管碎片化和数据本地化不断上升的背景下,研究工作来自多层次的监管要求;c)由于公司要求和相关研究成表明,公司正面临一系列障碍。19,20,21最近的努力之一是本的频繁变化而缺乏法律稳定性;d)METI的报告,该报告基于对私营部门的采访。22监管机构对跨境数据流动的商业现实;e)与获得数据处理认证相关的巨大成本;f)缺乏对“跨境流动”、“个人数据”和其该报告确定了以下障碍:a)国家内部的法规重叠,这可能他概念的明确定义。是由国内监管机构之间的数字孤岛造成的;b)缺乏法律透明度导致 跨境数据传输和业务痛点 跨境数据传输的类型业务痛点示例 1在线应用公司的产品开发-对于初创企业和中小企业来说,进入门槛太高,因为各国的法律法 规各不相同 2转到国外第三国公司外包–尚不清楚多个地区之间的数据集成和数据访问是否构成“跨境转移” –在将数据跨境传输到第三国时,公司必须确保目的地国家的保护和管 理系统与来源国家相同 3通过IoT进行国外实时数据分析1设备-不–随着“安全信息”等新数据类别的出现,对非个人数据的法规越包括个人数据来越多。通常范围模糊,容易突然变化 –数据本地化规则的逐案审查过程可能会破坏实时监控的优势,实时监控是物联网的一项基本功能 4通过物联网设备从国外进行实时数据分析“个人数据”的定义不仅延伸到法律,还延伸到准则和行政通知,使 -包括个人数据其难以实施和解释 5提供平台服务和IaaS2-跨境转移的要求非常复杂,需要频繁的客户协议6提供网络安全服务-除了全球规则和标准外,可能还需要针对安全相关信息的特定区域认证 ,这会带来巨大的成本负担 2.2 TABLE2 注:1.物联网(物联网) ;2.IaaS(互联网即服务) 资料来源:FumikoKudo,LosukeSakaki和JonathanSoble,“每个国家都有自己的数字法律。我们如何使数据在它们之间自由流动?”,世界经济论坛,2022年:https: //www.weforum.org/agenda/2022/05/cross-border-data-regulation-dfft / 方框2跨境数据流障碍示例 (摘自METI报告第10页的“公司观点的问题”。) 一家公司表示,“个人数据”跨境转移的定义和规定不仅延伸到条例的正文,还延伸到准则和行政协议,难以解释。23另一家公司评论说 当数据跨境传输到第三国时,要求企业确保其对应方在其数据管理系统和操作中提供与数据起源国相同的保护水平,即使这些对应方处于不同的监管管辖区域;遵守这些法规给企业带来了不成比例的负担和责任。 希望通过双边协议,七国集团和二十国集团的审议以及其他国际组织的对话,最终将缓解此类障碍。由于解决这些障碍可能需要时间,因此企业还需要工具 驾驭当今不同的监管方法和工具,并减轻与跨境数据流相关的风险。 3 最近的政策流程和可用工具 3.1政策层 正如经济合作与发展组织(OECD)最近的一份报告所述,许多现有的协议、程序和倡议 寻求促进可信的跨境数据流。24各国制定了一系列政策和条例 ,单方面管理跨境数据流动,以建立信任。此外,政府间的一系列进程 论坛有助于推进合作。其中包括:a)七国集团和二十国集团的审议; b)制定标准的努力以及促进多边组织对话的研究和分析举措;c)区域伙伴之间的标准制定或具有约束力的协定 ;d)各种优惠贸易协定。 表3跨境数据流的策略流程 能够在某些条件下将某些类型的数据转移到国内领土以外的国家的国内方法:25 –开放的保障措施:这些保障措施主要依靠转让实体来确保对所涉及的公共政策目标的持续保护,而通常不规定如何满足这些要求 –预先授权的保障措施:这些保障措施的特点通常是公共部门事先更多地参与以确保可信的 数据传输。它们包括:将公共部门预先批准的特定条款纳入合同;公共部门对组织具有约束力的公司规则的预先批准;或国内认证计划 政府间进程 –G7和G20的审议 –多边办法 –制定标准的努力以及促进多边组织(如经合组织、联合国、世界贸易组织、世界银行)之间对话的研究和分析举措 –区域安排 –区域伙伴之间的标准制定或具有约束力的协定 (例如,亚太经济合作组织[亚太经合组织]、东南亚国家联盟[东盟]、欧洲联盟[欧盟]) –优惠贸易协定 –消除贸易壁垒并为两国之间或一小部分国家之间的国际贸易制定规则的条约26(例如 ,《跨太平洋伙伴关系全面与进步协定》[CPTPP],《欧盟-英国贸易与合作协定 》,《英国-新加坡数字经济协定》) 峰会上,数字部长们将DFFT 视为六个部长级讨论点之一,并通过了“G7行动计划,以信 。这包括:a)加强DFFT的证据建立共同点,以促进未来的互操作性;c)持 在数字贸易的背景下促进DFFT;e 分享有关国际数据空间前景的知识。27 同年,在印尼G20峰会上,主席对G20数字经济部长会议的总结描述了 进一步的工作,以确定“现有监管方法和工具之间的共性,互补性和融合要素,使数据能够与信任一起流动,以促进未来的互操作性”。28 3.2 工具层 除了这些政策讨论之外,还开发了技术、法律和其他工具,以减轻与数据共享相关的业务风险,并促进跨境数据流动的顺畅 。 降低法律风险和降低合规成本的一个工具是使用模型或标准合同条款进行跨境数据传输。当局制定了建议或甚至要求寻求跨境