《G20成员国跨境数据流动规则》发布,盘点各国数据安全治理差异
The following article is from 赛博研究院 Author 赛博研究院
近日,联合国贸易和发展会议发布调查报告《G20成员国跨境数据流动规则》(G20 Members’Regulations of Cross-Border Data Flows)。该报告对G20成员国和特邀嘉宾进行了调查,介绍了数据的多维性质以及各国相关政策和立法,讨论了多利益攸关方监管方法之间的共同点、差异和融合要素,力图促进成员国之间就跨境数据流动问题达成合意、建立协调的数据治理方法。
报告重点涵盖调查结果和结论两大部分:
01
调查结果
报告从“现有法律法规”和“政策协调与对话”视角出发,对G20成员国的数据跨境流动政策进行了总结。
现有法律法规
本节包括“关键定义”、“数据规则所涵盖的领域和行业”和“跨境数据流动政策类型”三项内容。
关键定义
个人数据
各国对“个人数据”的定义大致相同,但规定的详细程度有所差异。一些国家的法律将个人数据的定义限制为与已识别或可识别的自然人有关的任何信息,而没有进一步的细节。部分国家的描述更为具体,如墨西哥的一项法律对“可识别”作了进一步释明,强调“当他/她的身份可以直接或间接地从任何信息确定时,视为可识别”。欧盟、韩国、英国的法律文本中也有类似的澄清。
定义也因可识别信息类型的特征而有所不同。例如,加拿大《隐私法》列出了23个具体特征,沙特阿拉伯《个人数据保护法》列出了11个特征,美国《隐私法》列出了11个特征,欧盟、英国提供的定义涵盖了10个类别,而韩国《个人信息保护法》包含3个类别。新加坡《个人数据保护法关键概念咨询指南》通过提供可识别个人身份特征的案例,扩展了该法案对个人数据的定义。
也有国家对如何记录或存储个人数据进行了描述。如澳大利亚、中国、印度尼西亚和美国所使用的定义中包括这方面的内容。
敏感数据
“敏感数据”一词被普遍理解为个人数据的一个子集。各国的定义因列入敏感信息的要素种类而异(见表1)。
表1:敏感数据定义中包含的元素
关键数据
“关键数据”的定义往往被模糊化处理。其中,有三个国家在其提交的文件中提到了关键数据这一概念(韩国涉及云计算,沙特阿拉伯涉及关键系统网络安全控制,土耳其涉及统计数据)。但该概念仅在韩国《云计算服务信息保护标准》中出现定义,意为“电子审批、人力资源、会计管理等重要的内部信息数据”。
数据规则涵盖的领域
该调查报告突出了数据类型的多维性以及受数据流动影响的领域多样性。正如“可信的数据自由流动”这一术语所表明的,为确保数据在国内外受到类似程度的保护,国际数据传输一般需要一定程度的信任或法律保障。为此,有很大一部分与跨境数据流动相关的法律法规侧重于保护个人数据和隐私。
除此之外,还有一些不那么广泛但更具体的数据跨境规则,涉及电子通信、卫生、金融交易和公共部门等领域。例如,其中一项专门涉及儿童在线隐私保护问题的法律被纳入2021年G20数字部长宣言。在有关非个人数据跨境领域,议题的内容可分为四类:地理空间数据、商业秘密和知识产权、贸易和网络安全。
跨境数据流动政策类型
跨境数据流动的监管政策方法可分为单边、双边和多边三种类型。
单边方法
首先,大多数成员使用充分性标准、标准合同条款或有约束力的公司规则来实现国际数据传输。在允许数据流动发生之前,它们提供了对数据保护的评估。
其次,政府批准的数据传输计划是另一种促进数据自由流动的单边机制。印度尼西亚在地理空间数据、健康数据和个人数据保护方面采用了这些措施。同样,土耳其的银行法也规定,其银行监管机构委员会有权禁止跨境数据流动。
第三,数据主体同意也是跨境数据流动的一个条件(通常适用于个人数据)。
另一种方法与数据本地化有关。它是单方面的,但能产生限制数据自由流动的效果。例如,俄罗斯居民产生的个人数据必须首先在其本国境内存储,然后才能转移到国外。另外,在云计算的背景下,沙特阿拉伯要求在国内维护云和物联网系统的数据。土耳其要求金融部门和资本市场的数据在国内存储主要和次要版本。印度尼西亚和韩国要求在国内保存和处理地理空间数据。不过,印度尼西亚关于地理空间信息的规则有一个例外,即当国内没有经过培训的劳动力或相应设备时,数据可以在国外进行处理。
双边方法
加拿大、墨西哥、新加坡和美国提交的法律涉及国际各方为实现数据流动而签订的合同和谅解备忘录(主面向个人数据以及与商品交易有关的数据),并规定由本地数据控制者监督(外国)数据处理者履行相关保障措施。
司法合作是实现跨境数据流动的基本要素。阿根廷、加拿大、俄罗斯、英国和美国建立了双边司法合作。
数据保护方面的国际监管合作也发挥着重要作用,可以通过监管机构之间就执法等问题作出国际安排,以及政府间达成对话和协议来实现。这也是《2021年七国集团数据自由信任流动合作路线图》中提到的关键举措。
多边方法
例如,土耳其多边税收行政互助公约、欧盟关于建立数字单一市场的指令、新加坡使用亚太经济合作组织跨境隐私规则系统等,其本质均是尽可能地促进数据的自由流动。
政策协调与对话
1、领导机构和部门进行数据治理
明确政府数据治理战略有助于协调社会和经济需求。在被调查的13个国家中,有6个国家表示它们建立了负责数据治理问题的部门。在英国,这一责任由两个实体分担——数字、文化、媒体和体育部带头建立一般数据治理框架,中央数字和数据办公室则负责管理政府数据。
2、关于数据治理的多利益攸关方对话机制
越来越多的国家建立了多利益攸关方对话机制。在调查中,15个国家中有10个表示它们已经建立了这样的机制。
例如,加拿大在多方利益攸关方协商后推出了《数字宪章》,议会目前正在讨论《数字宪章实施法案》。墨西哥于2022年2月推出了“Abramos México”倡议,旨在以公开、开放和协作的方式多部门协调制定国家开放数据政策。韩国设立了由总理领导的“开放数据战略委员会”,其他部长参与,由私营部门共同担任主席。沙特阿拉伯国家监管委员会设立协作监管机制,通过该机制,与数字相关的各种法规得以协调和实施……
02
结论
联合国调查突出了跨境数据流动有关法律法规的多样性。鉴于数据的重要性日益增加,这一趋势可能会持续下去,越来越多的部门会受到数据流动监管的影响。
尽管在更细的层面上仍然存在差异,但各国对于数据的定义确实存在很大的重叠。其中大部分定义与个人数据相关,一些国家也在监管非个人数据。深入了解它们存在的共性和差异,对于未来探索非常重要。
另外,数据流动不仅仅只涉及贸易领域,法律法规也不局限于贸易环境。在对数据治理提问做出回应的国家中,均不是商务部在牵头处理数据治理问题。然而,国际跨境数据流动目前主要是在贸易协定的背景下展开讨论的。此外,在地域上,目前参与制定国际协议的国家过于有限,低收入国家往往不是这些协议的缔约方。在范围上,仅以一种方式监管跨境数据流动、在公平分享经济发展收益的同时适当处理风险的国际方案还不存在。
为此,国际层面可以扩大关于制定数据治理框架的讨论,同时为不同数字能力水平的国家提供足够的政策空间。
END