董学耕：数据产品超市——探索数据跨境安全有序流动的实现途径

摘要：本文综述了国际数据跨境流动政策趋势，对我国数据跨境安全有序流动政策法律体系进行了分析。概括起来，数据跨境利用与境内利用差别有三：一是信息处理者满足国家网信部门相关规定；二是按照国际条约、协定执行；三是要求接收方达到我国《个人信息保护法》同等保护水平。中国关于数据跨境利用的法律规定与DEPA以及欧盟等相关规定的原则并无二致，数据跨境利用的法律条件已经具备。海南数据产品超市同时也具备了数据跨境利用的技术实现条件。

关键词：数据产品超市；数据产品；数据交易；数据跨境流动；DEPA

习近平总书记多次强调，数字经济是全球未来发展的方向。数字贸易是数字经济的重要组成部分和国际贸易的重要形态，正在成为经济增长的新引擎、制度构建的新高地、国际竞争的新赛道。

近年来，数据跨境流动支撑了跨国贸易中商品、服务、人才、资本等几乎所有贸易的流动，已成为推动全球经济增长的必要力量。据美国布鲁金斯学会测算，全球数据跨境流动对全球GDP增长的推动作用已超过贸易和投资。据联合国贸易和发展会议(UNCTAD)统计，全球以数字方式交付的服务贸易占全球贸易的比重已达52%。2020年，我国可数字化交付的服务贸易规模达到了2950亿美元，疫情期间逆势增长8.4%，占服务贸易总额的44.5%。2021年我国数字贸易达3600亿美元，同比增长22.3%，展现出强大的韧性与活力。

在推动数字经济全球化方面，我国开展了积极行动。2020年9月，国务委员兼外长王毅在全球数字治理研讨会上提出《全球数据安全倡议》[1]，各国不得强制境外数据本地化存储，不得绕过他国法律直接向企业或者个人调取境外的数据，应当通过司法协助和多双边协议解决跨境数据调取需求，跨境调取数据应当尊重他国主权、司法管辖权和对数据的安全管理权。2021年10月30日，中国国家主席习近平在出席二十国集团领导人第十六次峰会时宣布，中国已经决定申请加入《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，简称DEPA），随后两天，中国正式提出加入申请。中国在海南设立自由贸易港，《中华人民共和国海南自由贸易港法》第四十二条规定：海南自由贸易港依法建立安全有序自由便利的数据流动管理制度，依法保护个人、组织与数据有关的权益，有序扩大通信资源和业务开放，扩大数据领域开放，促进以数据为关键要素的数字经济发展。国家支持海南自由贸易港探索实施区域性国际数据跨境流动制度安排[2]。

文献[3-4]论证了数据关联对象的“决定权”对数据确权的决定性意义，讨论数据产品交易的实现途径，以及破解数据共享、开放的壁垒。本文在此基础上，探索基于数据产品超市提供跨境数据产品服务的途径，作为数据跨境安全有序流动的实现途径之一。

一、国际数据跨境流动政策趋势

我们知道，数据要素具有价值属性、人身属性、公共属性和主权属性，数据跨境流动面临的最大挑战是如何在确保数据主权属性前提下最大化数据价值。

世界经济朝着数字化方向转型，数据驱动的趋势越来越明显，数据自由流动是普遍需求。同时，确保数据的安全为各国共识，数据跨境流动政策必然服务于本国的政治、经济利益[5]。

数据显示，2020年全球数字经济规模的前三位依次是美国、中国、德国。这三种力量，各有不同的数字经济发展诉求与治理重点。

（一）美国以反数据本地化的方式推行数据霸权

美国通过强势的外交政策推动数据自由流动，反对服务器和数据本地化的模式，包括了针对中国的数据封锁。美国倡导消除数据本地化政策与其强大的互联网企业密切相关，除了谷歌、脸谱、亚马逊、微软、苹果等一批本土巨头企业外，几乎所有国际化科技企业都会在美国设立分支机构，在这种市场分布状态下，倡导数据全球自由流动，推行较低的数据安全保护要求，实际上是为数据向美国流动营造有利的政策环境。美国在推广数据自由流动政策的同时，并未放开国内重要数据的管控措施，包括要求国外网络运营商与电信小组签署安全协定，要求通信基础设施位于美国境内，以及要求通信数据、交易数据、用户信息等仅存储在美国境内。美国法律对数据出口的管理范围非常宽泛，即使是向美国境内的外国公民传递数据，也被视为是出口。

（二）欧盟建立附条件的数据跨境自由流动规则

欧盟致力于在成员国内部推动数据自由流动，推行保护主义管辖权，维持可控的个人数据流动，强调隐私保护、知识产权和消费者保护的模式。欧盟以2016年颁布的《通用数据保护条例》(GDPR)和在2018年颁布的《非个人数据自由流动条例》(Regulation on the Free Row of Non-personal Data)，分别对个人数据和非个人数据采取不同的跨境流动策略。

根据《通用数据保护条例》，个人数据可以在欧盟成员国内自由流动，但是，个人数据流出欧盟成员国必须满足法律所规定的条件。欧盟以是否达到“充分保护”作为首要参考规则，可以认定一国、一个区域、一个或多个特定行业或者一个国际组织具备充分保护水平，准许这些符合条件的地区、行业、组织与欧盟进行自由的数据跨境流动。除此之外，非获认定地区的各类组织和企业可以根据欧盟认可的标准合同条款（SCCs）、约束性公司规则、行为规范、认证机制，或者获得数据主体的明确同意等特定减损情形，作为个人数据流出欧盟的合法根据。

在非个人数据自由流动方面，欧盟旨在实现成员国内非个人数据的自由流动，激励各行业在数据服务提供商的转换和数据传输方面制定自律行为准则，禁止成员国对非个人数据的本地化要求做出规定，只能基于符合比例原则的公共安全理由做出例外要求。

但是，德国、法国等出于维护本国数字经济利益的需要而支持必要的数据本地化政策。德国和法国在数字经济发展战略中意图利用数据本地化设施建设为欧洲利益服务。

2022年5月16日，欧盟理事会批准了《数据治理法案》（the Data Governance Act，简称“DGA”），对公共数据再利用等做出规定。主要内容包括：

1.建立公共部门数据再利用机制。使某些类别的公共部门数据能够安全重用，包括商业秘密、个人数据和受知识产权保护的数据。从技术角度来看，允许数据再利用的公共部门机构需要配备适当的设备，以确保隐私和机密性得到充分保护。欧洲委员会将建立一个欧洲单一接入点，其中有一个可搜索的公共部门数据电子登记册。该登记册将通过各成员国设立的国家单一信息点提供。这是一种建立数据目录并将数据在技术上进行诸如上链等保护的策略。

2.推出数据中介新商业模式。数据中介机构本质上是数据共享服务提供商，且在交换数据方面保持中立的要求——不能将此类数据用于其他目的。通过提供一个安全的环境，让公司或个人可以在其中共享数据。第一，对于公司而言，数据中介机构可以采取数字平台的形式，支持公司之间的自愿数据共享，并促进履行《数据治理法案》及欧洲或国家层面的其他立法所提出的数据共享义务。通过数据中介机构，公司将能够共享他们的数据，而不必担心数据被滥用或失去竞争优势。第二，对于个人数据，数据中介机构将帮助个人行使其在一般数据保护条例（GDPR）下的权利。帮助人们完全控制他们的数据，并允许与信任的公司分享数据。这可以通过个人信息管理工具来实现，如个人数据空间或数据钱包，这些是在数据持有者同意的基础上与他人共享此类数据的应用程序。我们可以看到，不管是公司还是个人，都可以通过数据管理工具基于知情同意来授权他人共享数据。第三，数据中介机构需要在指定的主管当局进行备案，而由于其不得将共享数据用于其他目的，因此他们无法直接从数据中受益（如出售数据），不过可能会对他们进行的交易收费。

3.设立欧洲数据创新委员会。欧盟将成立欧洲数据创新委员会（European Data Innovation Board），为欧洲委员会提供咨询和协助，加强数据中介服务的互操作性，并发布关于如何促进数据空间发展的准则等任务。第一，非个人数据的国际访问和传输。委员会可以通过充分性决定，宣布特定的非欧盟国家为使用从欧盟转移的非个人数据需要提供适当保障。这些决定类似于GDPR的有关个人数据的充分性决定——当有关国家采取了同等措施以确保与欧盟或成员国法律提供的保护水平相当时，即被认为存在安全保障。委员会还可以通过示范合同条款（SCCs），在《数据治理法案》涵盖的非个人数据转移到第三国的情况下，为公共部门机构和数据再利用者提供参考。第二，个人数据，欧盟在GDPR中已经有类似的保障措施。

以上公共数据再利用等机制的基本要求就是“同等保护措施”，通过对欧盟外国家、地区的认定，或是通过标准示范合同条款方式，实现数据跨境（跨出欧盟）利用。

（三）中国更加强调数字主权的治理模式并推动数据安全有序流动

中国的立场是把国家安全、产业安全放在重要位置，将数据安全可控视作数据跨境流动的前提条件，兼顾数据的自由流动。中国推动的《全球数据安全倡议》符合独立自主、发展中国家的发展利益，可以避免遭受数据霸权的控制。然而，如何建立具有国际共识、统一框架的方案协调数据主权和数据流动需求成为难点。在《全球数据安全倡议》基础上，中国需要通过双边或者多边协议推动更多国家对中国数据保护水平的认可和有序的数据跨境流动。在中国加入的区域和国际组织中,推动数据跨境流动公约的制定和完善，也需要不断深化。

《中华人民共和国个人信息保护法》对个人信息跨境提供的规则做出规定，基本考虑也是两方面，一是纳入国际协定，如已经生效的RCEP和中国申请加入的CPTPP和DEPA。二是基于与我国《个人信息保护法》同等保护水平的原则。

（四）关于数字经济的单独协定

整体来看，上述三方力量在多个领域存在明显差异。国际社会在强调数据自由跨境流动的“美式模板”和强调公民个人隐私保护的“欧式模板”中间寻找平衡点。如何求同存异，需要“第四方视角”。

《数字经济伙伴关系协定》（DEPA）[6]是新加坡、新西兰和智利于2020年6月12日签署的数字贸易协定，旨在加强彼此之间的数字贸易合作并建立相关规范。它代表了一个趋势——在现有贸易和投资协定之外，单独提出关于数字经济的协定，这是全球第一份专门针对数字经济、数字贸易合作的国际协定。

DEPA具有全面性，包括16个模块：分别是初步规定和一般定义、商业和贸易便利化、数字产品及相关问题的处理、数据问题、广泛的信任环境、商业和消费者信任、数字身份、新兴趋势和技术、创新与数字经济、中小企业合作、数字包容、联合委员会和联络点、透明度、争端解决、例外和最后条款。整体来看，DEPA以电子商务便利化、数据转移自由化、个人信息安全化为主要内容，并就人工智能、金融科技等热点领域的合作进行了专门规定。

DEPA也具有灵活性，采用独特的“模块式协议”——参与方不需要同意DEPA所覆盖的16个模块的全部内容，而可以选择其中部分模块进行缔约。其他国家可根据自身数字经济发展水平和利益诉求选择其中几个模块加入协议，而不必为了满足所有模块而面面俱到。“模块化”结构可供我国借鉴，以符合自己发展水平的方式加入多边合作，也为中国元素融入国际规则提供依据。DEPA第15.2条还规定了安全例外——本协定中任何条款不得解释为：要求一缔约方提供或允许获得其认为如披露则违背其基本安全利益的任何信息。这与我国把国家安全、产业安全放在重要位置是不矛盾的。

关于跨境数据流动，DEPA规定缔约方应允许通过电子方式跨境传输信息，包括个人信息，如这一活动用于涵盖的人开展业务。DEPA协定成员坚持他们现有的CPTPP协定承诺，允许数据跨边界自由流动。DEPA协定有利于营造一个良好的营商环境，使企业无论身在何处都可以为客户提供服务，尤其是通过新的业务模型（如软件即服务，software-as-a-service）以及数字产品和服务（如在线游戏和视频流）。

DEPA协定强调了关于个人信息保护的重要性，DEPA协定第4.2条还制定了加强保护个人信息的框架与原则，包括收集限制、数据质量、用途说明、使用限制、安全保障、透明度、个人参与和问责制等。DEPA要求缔约方在国内建立一个与这些原则相匹配的框架。DEPA协定还明确，缔约方可采取不同法律方法保护个人信息，缔约方将建立机制，以促进各国保护个人信息法律之间的兼容性和互操作性，比如对企业采取数据信任标记和认证框架，从而向消费者表明该企业已经制定了良好的数据管理规范并且值得信赖。

可见，在平衡数据跨境自由流动和个人信息保护上，DEPA采取了比较灵活的措施，既制定了加强保护个人信息的框架与原则，也允许缔约方采取不同法律方法保护个人信息，并制定了相应的对企业的数据信任标记和认证框架。这也是“同等保护措施”的一种体现。

二、数据跨境安全有序流动的法律保障

《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》[7]要求：构建数据安全合规有序跨境流通机制。随着《数据安全法》《个人信息保护法》等法律法规的颁布施行，我国已建立了数据出境的基本合规框架，为数字经济的发展奠定了最坚实的基础。该框架一方面采纳了国际通行的数据跨境流动原则及制度，将我国的数据出境合规规则积极地融入到全球数据跨境流动的规则体系中去；同时，其展现的创新性安全审查审批制度、安全与发展的平衡之道，也为全球的数据跨境流动体系做出了“中国贡献”。

《中华人民共和国个人信息保护法》[8]以第三章专章规定了“个人信息跨境提供的规则”。其中第三十八条规定：一是个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备依照国家网信部门规定通过安全评估、个人信息保护认证或订立标准合同等条件之一。二是中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。三是个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

我们可以看到，基于数据主权属性，在信息处理者满足国家网信部门相关规定前提下（已经实施《数据出境安全评估办法》），《个人信息保护法》对个人信息跨境的基本考虑就是两方面，一是纳入国际条约、协定，二是境外接收方处理个人信息的活动达到本法规定的个人信息保护标准，也就是同等保护水平的原则。当然，基于数据人身属性，数据跨境提供需要关联对象行使决定权，这也就是第三十九条规定的向个人告知并取得个人的单独同意。

因此，数据跨境利用与境内利用差别有三：一是信息处理者满足国家网信部门相关规定；二是按照国际条约、协定执行；三是要求接收方达到我国《个人信息保护法》同等保护水平——这可以通过与信息处理者订立国家网信部门制定的标准合同方式实现。

可以说，中国关于数据跨境利用的法律规定与DEPA以及欧盟等相关规定的原则并无二致，数据跨境利用的法律条件已经具备，剩下的就是技术实现。

三、跨境数据产品超市可从技术上实现数据跨境利用

海南数据产品超市具备了数据跨境利用的技术实现条件[3-4]。

首先，数据产品超市就是具有互认和互操作性的数据交易所，以区块链方式可信交换数据和存证，支持结合场景的数据产品开发利用，以一次授权一次使用方式有效利用跨境数据，应用于跨境贸易、国际电商、跨境旅游消费、远程教育、远程医疗等。

其次，建立公共数据和个人/法人数据目录，目录上链，向开发者公平开放，方便开发者开发利用，以数据产品形式提供服务，数据可用不可见，依托关联对象授权进行使用。其中，在境外的个人信息处理者须达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。先期数据产品超市通过以标准合同方式在境外设立数据产品超市分店，按照同样安全标准进行监管。

再次，依托数据产品超市基础设施，充分利用密码技术和隐私计算技术，建立受严格保护的个人数字空间和法人数字空间，方便用户（个人和法人）便利进行在线授权。

最后，通过数据产品超市形成买卖双方价格博弈机制，实现数据流动可计量和数据产品可交易。数据产品超市作为数据交易所收取交易费用，支撑持续稳定运行。

注释：本文数据（侧重形式）和信息（侧重内容）两词相统一，可以通用。

参考文献：

[1]全球数据安全倡议. http://www.china.org.cn/chinese/2020-09/15/content_76704524.htm

[2]中华人民共和国海南自由贸易港法. 中国人大网

[3]董学耕. 论数据关联对象对数据的决定权与数据产品化确权. 电子政务智库.

[4]董学耕. 数据产品超市——数据产品开发生产、流通交易和安全使用的一体化. 电子政务智库.

[5]刘云. 中美欧数据跨境流动政策比较分析与国际趋势[J]. 中国信息安全，2020(11): 75-78.

[6]数字经济伙伴关系协定.http://gjs.mofcom.gov.cn/article/wj/ftar/202111/20211103216433.shtml

[7]《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》（国务院公报2023年第1号）

[8]中华人民共和国个人信息保护法. 中国人大网

作者简介：董学耕，海南省大数据管理局党委书记、局长，高级工程师；研究方向：数字政府、数字经济、数据要素。

来源 | 电子政务智库微信公众号

责编 | 符丹丹

编辑 | 魏榕辰

觉得内容好看

请点个和↓↓