數(shù)據(jù)本地化的影響與政策動因研究

黃 寧

(1.中國科學技術發(fā)展戰(zhàn)略研究院，北京 100038；2.南開大學經(jīng)濟與社會發(fā)展研究院，天津 300071)

數(shù)據(jù)本地化的影響與政策動因研究

黃 寧1,2

(1.中國科學技術發(fā)展戰(zhàn)略研究院，北京 100038；2.南開大學經(jīng)濟與社會發(fā)展研究院，天津 300071)

數(shù)據(jù)本地化在國際上引起了廣泛的關注和爭論，主要在數(shù)據(jù)安全、產(chǎn)業(yè)保護以及國際貿(mào)易與投資等方面產(chǎn)生影響。在跨境數(shù)據(jù)流動規(guī)制的方式選擇上，存在顯著的差異化現(xiàn)象。美國主張數(shù)據(jù)自由流動，歐盟注重隱私規(guī)制，大量發(fā)展中國家則偏好數(shù)據(jù)本地化政策。這是各經(jīng)濟體基于自身信息技術水平和隱私保護意識，追求規(guī)制凈收益最大化的結果。本文對中國根據(jù)國內條件變化盡快轉向隱私規(guī)制提出了具體建議。

數(shù)據(jù)本地化；跨境數(shù)據(jù)流動；隱私規(guī)制；政策動因

Abstract：Data localization has attracted worldwide attention and controversy.It mainly affects data security,industry protection and international trade and investment.There are obvious differences in the choice of regulation of transborder data flows.The U.S.advocates free flows of data,the EU focuses on privacy regulation,while a large number of developing countries prefer data localization policies.This is because each economy pursues maximization of regulation net profit,based on its own level of information technology and privacy awareness.This paper puts forward some suggestions for China to turn to privacy regulation as soon as possible,as its domestic conditions are changing quickly.

Keywords:Data localization；Transborder data flow；Privacy regulation;Policy motivation

隨著信息通信技術的發(fā)展和普及，全球數(shù)字經(jīng)濟加快成長，跨境數(shù)據(jù)流動規(guī)模也在迅速擴大。2005—2014年全球跨境數(shù)據(jù)流動規(guī)模增長了45倍，并預計在未來5年內還將增長9倍[1]。與此同時，個人隱私保護和國家信息安全問題引發(fā)了普遍擔憂。很多國家紛紛出臺數(shù)據(jù)本地化政策，要求將本國的個人數(shù)據(jù)留存在國內。另一方面，美國等發(fā)達經(jīng)濟體則強烈反對數(shù)據(jù)本地化，認為數(shù)據(jù)本地化政策的蔓延將造成全球范圍的“網(wǎng)絡割據(jù)”，嚴重損害經(jīng)濟增長。

1 數(shù)據(jù)本地化的概念與發(fā)展現(xiàn)狀

1.1 數(shù)據(jù)本地化與跨境數(shù)據(jù)流動規(guī)制

數(shù)據(jù)本地化是指政府要求對在境內收集的個人數(shù)據(jù)的存儲和處理必須在境內進行，不允許將個人數(shù)據(jù)向境外自由轉移。數(shù)據(jù)本地化的政策形式有多種，包括禁止將信息向境外發(fā)送、要求在信息跨境傳輸之前必須征得數(shù)據(jù)主體同意、要求在境內存留信息副本、對數(shù)據(jù)輸出進行征稅等[2]。

數(shù)據(jù)本地化屬于一種跨境數(shù)據(jù)流動規(guī)制。依據(jù)1980年OECD《關于隱私保護與個人數(shù)據(jù)跨境流動的指南》(Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)的權威定義，跨境數(shù)據(jù)流動是指“跨越國境的個人數(shù)據(jù)移動”，其中的“個人數(shù)據(jù)”包括“任何與已被識別或可識別的個人(數(shù)據(jù)主體)有關的信息”。基于規(guī)制基調的不同，跨境數(shù)據(jù)流動規(guī)制分為兩類，第一類傾向于確保跨境數(shù)據(jù)自由流動，第二類傾向于對跨境數(shù)據(jù)流動進行限制。基于規(guī)制方式的差別，第二類規(guī)制又分為兩種。一種是隱私規(guī)制，一般是以數(shù)據(jù)保護法(隱私法或個人信息保護法等)為基礎，根據(jù)隱私保護的原則和標準對跨境數(shù)據(jù)流動進行限制。另一種就是數(shù)據(jù)本地化。與隱私規(guī)制不同的是，數(shù)據(jù)本地化并不考慮數(shù)據(jù)的接收、處理或存儲方的隱私保護水平，往往對數(shù)據(jù)跨境轉移實施絕對的限制，或者要求建立或使用本地的基礎設施或服務器[3]。

1.2 數(shù)據(jù)本地化政策的發(fā)展與現(xiàn)狀

數(shù)據(jù)本地化政策并不是新現(xiàn)象，在計算機和互聯(lián)網(wǎng)技術帶來大量數(shù)據(jù)跨境轉移以后就出現(xiàn)了。從20世紀70年代開始，就有很多發(fā)展中國家認為跨境數(shù)據(jù)流動是一條僅對發(fā)達國家有利的“單行道”，會危害自身的主權、隱私權甚至社會、文化和政治完整性[4]。一些國家進一步付諸行動，開始出臺數(shù)據(jù)本地化政策。例如，巴西在1979年設立“信息產(chǎn)業(yè)特別秘書處”(SEI)，對跨境數(shù)據(jù)流動和國際信息服務進行逐項審查，根據(jù)其對經(jīng)濟、隱私和國家主權的影響決定是否予以批準[5]。1984年巴西出臺的信息產(chǎn)業(yè)政策規(guī)定，如果巴西本地的計算機有能力完成相應的工作，跨國公司必須在巴西境內使用巴西的計算機進行數(shù)據(jù)處理[6]。印度在1993年出臺《公共檔案法》(Public Records Act)，禁止將公共檔案向境外轉移。哈薩克斯坦則從2005年開始,要求所有在國內注冊域名的網(wǎng)站必須在境內的服務器上運營[7]。

近年來，用戶信息大規(guī)模泄露事件在全球頻繁發(fā)生，特別是“斯諾登事件”之后，更多國家陸續(xù)以信息安全和隱私保護為由出臺數(shù)據(jù)本地化政策。其中以發(fā)展中國家最為普遍，且多數(shù)是明確的、覆蓋廣泛的政策。例如，馬來西亞在2010年要求將本國人的數(shù)據(jù)存儲在本地服務器中；印度2011年出臺隱私規(guī)定，嚴格限制“敏感個人數(shù)據(jù)或信息”向境外轉移；印度尼西亞在2012年要求公共服務提供商將數(shù)據(jù)中心放在境內；巴西在2013年出臺法案，規(guī)定政府部門有權力要求網(wǎng)絡連接和互聯(lián)網(wǎng)應用提供商安裝或使用某些設備，以確保數(shù)據(jù)的存儲、使用和傳輸在巴西境內進行；越南從2013年開始要求所有網(wǎng)絡服務企業(yè)必須在越南境內的至少一個數(shù)據(jù)中心運營；尼日利亞在2013年要求信息通信技術公司必須將所有注冊用戶和消費者數(shù)據(jù)存儲在國內[8]；俄羅斯在2014年修訂信息保護法和個人數(shù)據(jù)法，要求收集個人數(shù)據(jù)時，運營商需要保證使用位于俄羅斯境內的數(shù)據(jù)庫[9]。

部分發(fā)達國家雖然也有數(shù)據(jù)本地化動議，但真正實施的很少，實施地域和政策范圍也較小。法國近年來一直在促進本地數(shù)據(jù)中心基礎設施建設，推動本國的云計算、大數(shù)據(jù)和物聯(lián)網(wǎng)產(chǎn)業(yè)，2013年時任法國工業(yè)部長Arnaud Montebourg宣稱支持將數(shù)據(jù)處理業(yè)務限定在法國境內以增加國內就業(yè)；“斯諾登事件”發(fā)生后，德國總理默克爾在2014年提議歐洲建設專門的網(wǎng)絡基礎設施，將數(shù)據(jù)保存在歐洲境內[10]，但沒有獲得響應。出臺明確的數(shù)據(jù)本地化政策的是加拿大和澳大利亞。2012年加拿大不列顛哥倫比亞省和新斯科舍省制定法律，要求公共機構持有的個人信息只能在加拿大境內存儲和獲取。澳大利亞從2012年開始建設的“個人電子健康檔案”系統(tǒng)，要求必須由本地的數(shù)據(jù)中心來存儲和處理個人電子健康檔案[11]。

1.3 中國的數(shù)據(jù)本地化政策

2011年以來，中國出臺了大量的數(shù)據(jù)本地化政策，政策范圍逐漸擴大，效力層級不斷提升。較早的數(shù)據(jù)本地化要求出現(xiàn)在部門性或指導性的文件中。2011年中國人民銀行發(fā)布《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》，要求在中國境內收集的個人金融信息的儲存、處理和分析必須在境內進行。2014年國家衛(wèi)生計生委發(fā)布《人口健康信息管理辦法(試行)》，禁止將人口健康信息存儲在境外的服務器中。2013年開始實施的《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》是中國第一個個人信息保護國家標準，在第5.4.5條簡要規(guī)定，“未經(jīng)個人信息主體的明示同意，或法律法規(guī)明確規(guī)定，或未經(jīng)主管部門同意，個人信息管理者不得將個人信息轉移給境外個人信息獲得者”。

從2014年開始，數(shù)據(jù)本地化要求出現(xiàn)在統(tǒng)一性的國家立法中。雖然2015年出臺的《反恐怖主義法》并沒有提出數(shù)據(jù)本地化要求，但在2014年發(fā)布的《反恐怖主義法(草案)》中曾提出，“在中國境內提供電信業(yè)務、互聯(lián)網(wǎng)服務的，應當將相關設備、境內用戶數(shù)據(jù)留存在中國境內，拒不留存的不得在中國境內提供服務”。2016年通過的《網(wǎng)絡安全法》則規(guī)定，關鍵信息基礎設施的運營者必須將在境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)存儲在境內。2017年4月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》，其中第二條規(guī)定，“網(wǎng)絡運營者在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照本辦法進行安全評估”。該規(guī)定將適用于向境外轉移數(shù)據(jù)量超過1000GB的企業(yè)，以及含有或累計含有50萬人以上的個人信息的企業(yè)。

2 數(shù)據(jù)本地化的影響

2.1 數(shù)據(jù)安全

很多國家出臺數(shù)據(jù)本地化政策都是以國家信息安全和公民隱私保護的名義。國家信息安全和公民隱私保護在信息泄露機制上并沒有實質差別，本質上都屬于數(shù)據(jù)安全問題。數(shù)據(jù)本地化能夠提高數(shù)據(jù)安全的一個潛在假設是存儲地點是決定數(shù)據(jù)安全水平的重要因素。但實際上，存儲地點對數(shù)據(jù)安全的影響是有前提條件的。

一方面，存儲地點的差別并不能從技術上影響數(shù)據(jù)安全。單純從技術的角度，只要服務器接入互聯(lián)網(wǎng)，存儲地點并不能影響數(shù)據(jù)的安全水平[12]。如果數(shù)據(jù)經(jīng)過完備加密，即便將服務器置于境外也不會增加安全風險。反之，如果數(shù)據(jù)缺乏安全管理，即便將服務器置于境內，仍然很容易被境內的數(shù)據(jù)控制者或處理者傳輸至境外，或者被境外機構通過互聯(lián)網(wǎng)竊取。比如2011年微軟與谷歌就先后承認，曾依根據(jù)美國“愛國者法案”的規(guī)定，把歐洲資料中心的信息交給了美國情報機構[13]。

另一方面，數(shù)據(jù)存儲地點能夠影響數(shù)據(jù)保護的法律管轄權。由于各國法律規(guī)定的差異，以及法律適用的域外效力問題，針對數(shù)據(jù)保護案件的法律管轄權的問題較為復雜。但一般來講，如果涉事企業(yè)在一國境內有物理存在(如服務器)，那么相關的案件就在該國的法律管轄權之內[14]。如果沒有物理存在，一國即便通過其他因素(如本國居民的個人可標識信息等)確認了管轄權，在實際中也很難執(zhí)行。如果根據(jù)存儲地點確認了管轄權，政府就可以通過立法和執(zhí)法降低數(shù)據(jù)泄露的風險。比如規(guī)定數(shù)據(jù)保護的最低安全標準，禁止企業(yè)將服務器中的數(shù)據(jù)交給外國政府，以及制定實施嚴格的數(shù)據(jù)泄露責任追究制度等。

在國內數(shù)據(jù)保護標準較高的條件下，限制或禁止數(shù)據(jù)向境外轉移是可以提高數(shù)據(jù)安全水平的。但如果僅僅出臺數(shù)據(jù)本地化政策，卻缺乏充分有效的國內法律保護,企業(yè)反而會為節(jié)省成本故意降低數(shù)據(jù)保護標準，導致數(shù)據(jù)安全水平下降。

2.2 國內產(chǎn)業(yè)保護

數(shù)據(jù)本地化能夠為國內相關產(chǎn)業(yè)提供保護，也因此往往被認為是政策出臺的主要原因。這種保護作用是通過阻礙數(shù)據(jù)跨境傳輸實現(xiàn)的。從作用機制來看，數(shù)據(jù)本地化相當于以非關稅壁壘的形式限制數(shù)據(jù)服務的進口，從而保護本國的信息技術及相關產(chǎn)業(yè)。一方面，數(shù)據(jù)本地化可以把只能提供跨境服務的外國企業(yè)排除出國內市場。另一方面，數(shù)據(jù)本地化還可以通過增加合規(guī)成本削弱外國企業(yè)的競爭優(yōu)勢。例如，新建一個數(shù)據(jù)中心的成本在美國是4300萬美元，在智利是5120萬美元，在巴西是6090萬美元[15]。

早期的數(shù)據(jù)本地化政策對國內相關產(chǎn)業(yè)的促進作用存在先例。20世紀70年代末巴西實施數(shù)據(jù)本地化政策后，巴西本國的數(shù)據(jù)處理企業(yè)從1978年的0家增加到1980年的20家，國內的計算機、數(shù)據(jù)庫和技術人力資源也顯著增加[16]。

隨著“第四次工業(yè)革命”的展開，生產(chǎn)方式正在沿著兩條相互關聯(lián)的路徑演化，一條是生產(chǎn)的深度數(shù)字化(包括云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術的應用)，一條是3D打印的增長，兩條路徑都需要更密集的數(shù)據(jù)流動來確保生產(chǎn)效率最大化[17]。由于這些新興的信息技術產(chǎn)業(yè)都是以大規(guī)模數(shù)據(jù)傳輸作為提供服務的基礎，數(shù)據(jù)本地化政策將能起到更大的保護作用。

2.3 國際貿(mào)易與投資

數(shù)據(jù)本地化會對國際貿(mào)易造成限制。特別是隨著國際貿(mào)易越來越依賴跨境數(shù)據(jù)傳輸，數(shù)據(jù)本地化帶來的潛在貿(mào)易障礙也在增加。第一，數(shù)據(jù)本地化會提高貿(mào)易雙方的對接成本，限制貿(mào)易機會。信息通信技術的發(fā)展降低了貿(mào)易成本，往往是借助經(jīng)由互聯(lián)網(wǎng)的跨境數(shù)據(jù)傳輸實現(xiàn)的。例如，網(wǎng)絡訪問能夠減少發(fā)展中國家與主要出口市場的地理隔離程度，將尋找客戶和進入海外市場的成本削減65%[18]。而數(shù)據(jù)本地化會阻斷跨境數(shù)據(jù)傳輸，損害貿(mào)易機會。第二，傳統(tǒng)的貨物和服務貿(mào)易正在通過數(shù)字化的形式轉變?yōu)榭缇硵?shù)據(jù)流動，數(shù)據(jù)本地化將直接對此造成貿(mào)易障礙。目前全球約12%的貨物貿(mào)易是通過國際電子商務完成的，世界上大約50%的服務貿(mào)易已經(jīng)被數(shù)字化[19]。從美國的數(shù)據(jù)來看，2011年美國國內和國際數(shù)字貿(mào)易對GDP的貢獻率已經(jīng)達到 3.4%～4.8%(5171億至7107億美元)[20]。

數(shù)據(jù)本地化對投資的影響卻并不確定,如前文所述，數(shù)據(jù)本地化會提高跨國公司的合規(guī)成本。跨國公司在權衡投入成本和預期收益后，既可能將部分生產(chǎn)過程轉移至該國，也可能退出該國市場。例如，在中國數(shù)據(jù)本地化政策的影響下，微軟、蘋果、亞馬遜、領英、印象筆記等均在中國設立了數(shù)據(jù)中心，將中國用戶的數(shù)據(jù)存儲在境內的服務器上。而在俄羅斯2014年出臺數(shù)據(jù)本地化政策以后，微軟將其Skype研發(fā)團隊從俄羅斯撤離，Adobe完全中止了在俄羅斯的運營，谷歌則關閉了在俄羅斯的研發(fā)中心[21]。

3 跨境數(shù)據(jù)流動規(guī)制的選擇與數(shù)據(jù)本地化的政策動因

3.1 跨境數(shù)據(jù)流動規(guī)制的差異化選擇

如前文所述，跨境數(shù)據(jù)流動規(guī)制主要有三種方式，分別是數(shù)據(jù)自由流動、隱私規(guī)制和數(shù)據(jù)本地化。從現(xiàn)狀看，各經(jīng)濟體在規(guī)制方式的選擇上呈現(xiàn)出明顯的差異。美國主張數(shù)據(jù)自由流動，歐盟發(fā)展出一套完整的隱私規(guī)制體系，大量的發(fā)展中國家則偏好數(shù)據(jù)本地化政策。

第一，美國偏重數(shù)據(jù)自由流動帶來的經(jīng)濟利益。美國并非沒有認識到數(shù)據(jù)流動中的隱私保護風險，但在經(jīng)濟利益和隱私保護等的權衡上，美國更加偏重經(jīng)濟利益。因此，美國政府和實務界更多地主張以自律規(guī)范保護個人信息，認為強硬的法律結構將“不可避免地阻礙商業(yè)活動[22]”。所以，美國在國內并沒有制定統(tǒng)一的個人信息保護法，而是對私人行業(yè)采取分散立法的模式，并奉行以市場為主導、以行業(yè)自治為中心的信息隱私政策[23]。這也從根本上決定了美國在跨境數(shù)據(jù)流動規(guī)制上的基本態(tài)度，即主張跨境數(shù)據(jù)自由流動。近年來，美國積極推動在一些重要的自由貿(mào)易協(xié)定(FTAs)中納入數(shù)據(jù)自由流動條款。2012年達成的《美-韓自由貿(mào)易協(xié)定》第一次在FTAs中納入了跨境數(shù)據(jù)流動規(guī)則，第15.8條規(guī)定“成員方應努力避免對跨境電子信息流動施加或維持不必要阻礙[24]”。在2012年發(fā)起的《服務貿(mào)易協(xié)定》(Trade in Services Agreement,TiSA)談判的已知文本中，美國、日本、哥倫比亞等國提出的方案主張，在個人數(shù)據(jù)關系到服務貿(mào)易的情況下禁止締約方阻礙跨境數(shù)據(jù)流動[25]。2015年在美國主導下達成的《跨太平洋伙伴關系協(xié)定》(Trans-Pacific Partnership Agreement，TPP)中，則專門引入了“商業(yè)信息跨境自由傳輸條款”。美國雖然在特朗普上臺后退出了TPP，但由于TPP總體符合其產(chǎn)業(yè)利益，美國未來很可能會在其他協(xié)定談判中復制其中的條款，因而TPP對于美國推廣其跨境數(shù)據(jù)流動規(guī)則的意義仍然存在。

第二，歐盟偏重跨境數(shù)據(jù)流動中的隱私保護。歐洲是個人信息保護法的發(fā)祥地，德國黑森州在1970年制定了世界上最早的個人信息保護法，瑞典在1973年頒布了世界上第一部國家級個人信息保護法。歐盟一向認為，個人信息上的權利是基本人權，必須通過立法予以確認和給予相當?shù)谋Ｗo[26]。這也構成了歐盟在跨境數(shù)據(jù)流動規(guī)制上的基本立場，即通過隱私規(guī)制來限制跨境數(shù)據(jù)流動。1981年歐洲委員會通過了《有關個人數(shù)據(jù)自動化處理的個人保護公約》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)，通過規(guī)定數(shù)據(jù)保護的基本原則來協(xié)調跨境數(shù)據(jù)流動。1995年歐洲議會和歐盟理事會通過了《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的第95/46/EC號指令》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，以下簡稱“指令”)，其中第25條明確規(guī)定，“只有在第三國確保提供適當保護水平時，才能將個人數(shù)據(jù)向第三國轉移”。同時也為向不能提供充分保護水平的第三國轉移數(shù)據(jù)提供了“標準合同條款”(SCCs)、“約束性公司規(guī)則”(BCRs)等轉移機制。2016年歐洲議會和歐盟理事會又通過了《統(tǒng)一數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱“條例”)，在向第三國或國際組織轉移個人數(shù)據(jù)方面，增加了更多可實現(xiàn)個人數(shù)據(jù)跨境轉移的條件或情形[27]。

第三，發(fā)展中國家偏好出臺數(shù)據(jù)本地化政策。目前并沒有關于全球各國數(shù)據(jù)本地化政策的完整統(tǒng)計，但現(xiàn)有證據(jù)足以顯示發(fā)展中國家對于數(shù)據(jù)本地化政策的偏好。首先，目前出臺數(shù)據(jù)本地化政策的基本都是發(fā)展中國家。前文已述及，僅有極少數(shù)發(fā)達國家出臺數(shù)據(jù)本地化政策，而且都局限在很小的地域和政策范圍內。其次，代表性的發(fā)展中國家出臺數(shù)據(jù)本地化政策的比例也很高。在金磚五國(BRICS)中，除南非外的四個國家都出臺了數(shù)據(jù)本地化政策。在二十國集團(G20)的11個發(fā)展中國家中，有7個發(fā)展中國家都出臺了數(shù)據(jù)本地化政策(分別是中國、巴西、印度、印度尼西亞、韓國、俄羅斯、土耳其)。

3.2 跨境數(shù)據(jù)流動規(guī)制的收益與成本

為什么不同經(jīng)濟體在跨境數(shù)據(jù)流動規(guī)制的選擇上存在如此顯著的差異？本文認為，這是由規(guī)制的收益和成本決定的。凈收益(即“規(guī)制收益-規(guī)制成本”)最大化是各經(jīng)濟體選擇規(guī)制方式的基本原則，而由于各經(jīng)濟體的內部條件不同，實現(xiàn)凈收益最大化的規(guī)制方式也就存在差別。

首先，跨境數(shù)據(jù)流動規(guī)制在數(shù)據(jù)安全、產(chǎn)業(yè)發(fā)展以及貿(mào)易投資等領域的影響構成了規(guī)制的收益和成本。規(guī)制收益涵蓋經(jīng)濟利益和社會利益，經(jīng)濟利益主要包括產(chǎn)業(yè)利益和貿(mào)易利益。產(chǎn)業(yè)利益是指規(guī)制可能保護內部市場，促進本地信息技術相關產(chǎn)業(yè)的發(fā)展。貿(mào)易利益是指規(guī)制可能會擴大依賴數(shù)據(jù)流動實現(xiàn)的出口利益。社會利益是指規(guī)制可能通過保障數(shù)據(jù)安全滿足公眾訴求，提升社會認可。規(guī)制成本主要是指規(guī)制可能對本地企業(yè)帶來的合規(guī)成本。此外，由于跨境數(shù)據(jù)流動規(guī)制對于投資的影響存在較大不確定性，而且政府會為了避免嚴重的負面影響而在政策執(zhí)行中帶有選擇性，本文不考慮投資因素帶來的收益或成本。

其次，各經(jīng)濟體的信息技術水平和隱私保護意識最終決定了哪種規(guī)制方式的凈收益才是最大的。第一，規(guī)制的產(chǎn)業(yè)利益和貿(mào)易利益主要取決于本地信息技術水平的高低。本地的信息技術水平越高，數(shù)據(jù)和相關服務的出口潛力就越大，跨境數(shù)據(jù)自由流動帶來的貿(mào)易利益也越大。如果信息技術水平較低，阻礙跨境數(shù)據(jù)流動反而有利于保護本地信息技術產(chǎn)業(yè)。第二，規(guī)制的社會利益主要取決于本地隱私保護意識的高低。對于隱私保護意識較高的經(jīng)濟體，通過制定數(shù)據(jù)保護法來規(guī)制跨境數(shù)據(jù)流動能夠獲得較高的社會認可，因為數(shù)據(jù)保護法不僅可以提高境內隱私保護水平，還可以提高轉移至境外的數(shù)據(jù)的安全水平。數(shù)據(jù)自由流動或者單純的數(shù)據(jù)本地化并不能滿足隱私保護需求。而對于隱私保護意識較低的經(jīng)濟體，由于公眾對隱私保護的需求較低，三種規(guī)制方式產(chǎn)生的社會利益差別不大。第三，隱私規(guī)制由于提高了境內的隱私保護標準，構成了較高的規(guī)制成本。而數(shù)據(jù)自由流動或數(shù)據(jù)本地化均不要求企業(yè)提高隱私保護標準，不會對本地企業(yè)造成負擔，所以基本不存在規(guī)制成本。

表1以簡單賦值的方式大致呈現(xiàn)了不同條件下各規(guī)制方式的收益和成本情況。如果存在較大的利益或成本，則賦值為1，否則賦值為0。需要注意的是，因為產(chǎn)業(yè)利益、貿(mào)易利益以及通過限制數(shù)據(jù)流動所可能獲得的社會利益，都是在與主要經(jīng)貿(mào)伙伴開展經(jīng)濟交往的基礎上實現(xiàn)的，因此表1中信息技術水平和隱私保護意識的高低是相對于主要經(jīng)貿(mào)伙伴而言的。四種情況如下：①如果經(jīng)濟體信息技術水平較高而隱私保護意識較低，數(shù)據(jù)自由流動的凈收益最高。數(shù)據(jù)自由流動不僅有利于自身信息技術產(chǎn)業(yè)的發(fā)展和擴張，擴大相關的服務出口，而且沒有規(guī)制成本。另外兩種規(guī)制方式不會帶來規(guī)制收益，隱私規(guī)制還存在較高的規(guī)制成本；②如果信息技術水平和隱私保護意識都較低，數(shù)據(jù)本地化的凈收益最高。數(shù)據(jù)本地化和隱私規(guī)制都可以提供產(chǎn)業(yè)保護，但隱私規(guī)制還要承擔規(guī)制成本。數(shù)據(jù)自由流動雖然沒有規(guī)制成本，卻無法保護本地市場；③如果信息技術水平較低而隱私保護意識較高，可能選擇隱私規(guī)制，也可能出臺數(shù)據(jù)本地化政策。隱私規(guī)制可以保護本地產(chǎn)業(yè)，還可以提升隱私保護水平，但也存在規(guī)制成本。數(shù)據(jù)本地化也可以保護本地產(chǎn)業(yè)，而且沒有規(guī)制成本，但無法滿足隱私保護需求。在現(xiàn)實情況中，最終的選擇取決于社會收益和規(guī)制成本之間的權衡；④如果信息技術水平和隱私保護意識都較高，數(shù)據(jù)自由流動的凈收益最高。隱私規(guī)制帶來的社會收益會與規(guī)制成本相抵消，數(shù)據(jù)本地化則既沒有規(guī)制收益也沒有規(guī)制成本。

表1 不同條件下各規(guī)制方式的收益與成本

3.3 數(shù)據(jù)本地化的政策動因

上述規(guī)制凈收益的分析框架可以解釋各經(jīng)濟體在規(guī)制選擇上的差異化現(xiàn)象。美國信息技術水平較高，但與歐盟等經(jīng)貿(mào)伙伴相比，對于隱私保護的重視程度較低。因此，數(shù)據(jù)自由流動有利于美國的信息技術產(chǎn)業(yè)在全球擴張，同時還能擴大美國的貿(mào)易利益。歐盟的個人隱私保護意識較強，但信息技術水平卻落后于美國，選擇隱私規(guī)制或數(shù)據(jù)本地化可以保護歐盟的信息技術產(chǎn)業(yè)。歐盟在1995年出臺“指令”的目的之一就是與美國進行國際競爭，特別是要限制美國在數(shù)據(jù)處理產(chǎn)業(yè)上的主導地位[28]。在現(xiàn)實中，歐盟主要通過數(shù)據(jù)保護法規(guī)制跨境數(shù)據(jù)流動，原因可能是對于隱私保護的需求超過了數(shù)據(jù)保護法帶來的成本。

對于大多數(shù)發(fā)展中國家來說，無論是信息技術水平，還是個人隱私保護意識，都落后于發(fā)達國家。因此，出臺數(shù)據(jù)本地化政策，既可以保護本國信息技術產(chǎn)業(yè)免受發(fā)達國家產(chǎn)業(yè)的競爭力壓力，也不會為了提高隱私保護水平而產(chǎn)生較高的企業(yè)成本。

而數(shù)據(jù)本地化政策在近年來密集出臺的原因可能是，隨著跨境數(shù)據(jù)流動規(guī)模迅速擴大，以及云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興信息技術產(chǎn)業(yè)的興起，通過數(shù)據(jù)本地化政策促進國內產(chǎn)業(yè)發(fā)展的利益大幅增加。而美國在近年來大力主張跨境數(shù)據(jù)自由流動，既是對其他國家限制措施的回應，更是受到產(chǎn)業(yè)和貿(mào)易利益的驅動。

表1的分析框架并不能完全涵蓋現(xiàn)實中的復雜情況和解釋因素，如本地市場的大小和產(chǎn)業(yè)結構等因素對于規(guī)制收益的影響[29]。此外，法國、德國、加拿大、澳大利亞等國雖然已經(jīng)制定了數(shù)據(jù)保護法，仍要提出數(shù)據(jù)本地化動議或出臺數(shù)據(jù)本地化政策，也無法在表1中顯示。其政策動因可能有兩個：第一，數(shù)據(jù)保護法往往是通過設定隱私保護的前提和標準來限制跨境數(shù)據(jù)流動，在限制程度上要弱于數(shù)據(jù)本地化政策，因此仍然存在選擇“數(shù)據(jù)保護法+數(shù)據(jù)本地化政策”的可能；第二，對于歐盟來說，“指令”或“條例”均是限制數(shù)據(jù)向境外轉移，同時卻要促進成員國間的數(shù)據(jù)流動，因此各成員國仍然有通過數(shù)據(jù)本地化保護本國產(chǎn)業(yè)的動機。

4 結論及對中國的啟示

4.1 主要結論

數(shù)據(jù)本地化的實際影響主要有三個方面。一是在國內數(shù)據(jù)保護標準較高的條件下可以提高數(shù)據(jù)安全水平，二是對于信息技術水平較低的國家可以提供產(chǎn)業(yè)保護，三是會造成一定的國際貿(mào)易障礙并影響投資決策。

數(shù)據(jù)自由流動、隱私規(guī)制和數(shù)據(jù)本地化是跨境數(shù)據(jù)流動規(guī)制的三種主要方式，各經(jīng)濟體采取的規(guī)制方式并不相同。美國主張數(shù)據(jù)自由流動，歐盟實施隱私規(guī)制，大量發(fā)展中國家則出臺數(shù)據(jù)本地化政策。這種規(guī)制方式選擇的差異化現(xiàn)象，是各經(jīng)濟體基于自身信息技術水平和隱私保護意識，追求規(guī)制凈收益最大化的結果。

大量發(fā)展中國家出臺數(shù)據(jù)本地化政策的內在原因是，國內信息技術水平與隱私保護意識都較低。而這些政策在近年密集出臺的原因則是，隨著新興信息技術產(chǎn)業(yè)的發(fā)展和跨境數(shù)據(jù)流動規(guī)模的擴大，保護國內相關產(chǎn)業(yè)的潛在利益也在迅速增加。少數(shù)發(fā)達國家在已制定數(shù)據(jù)保護法的情況下還要出臺數(shù)據(jù)本地化政策，其原因在于，數(shù)據(jù)本地化對跨境數(shù)據(jù)流動的限制程度更高，以及區(qū)域內部國家之間的產(chǎn)業(yè)競爭。

4.2 對中國的啟示

實施數(shù)據(jù)本地化政策符合大多數(shù)發(fā)展中國家的現(xiàn)實，但對于中國來說，影響規(guī)制方式選擇的關鍵因素正在發(fā)生變化。首先，公眾的隱私保護意識在迅速提升。統(tǒng)計數(shù)據(jù)表明，個人信息安全已成為社會普遍焦慮，72%的人群認為個人信息泄露問題嚴重[30]。其次，跨境數(shù)據(jù)流動對中國潛在的貿(mào)易和產(chǎn)業(yè)利益也在增加。一方面，中國的電子商務平臺開始向海外擴張，例如阿里巴巴推動建設的電子世界貿(mào)易平臺(eWTP)在海外的第一個“數(shù)字中樞”已經(jīng)于2017年3月在馬來西亞落地；另一方面，中國的信息技術產(chǎn)業(yè)也開始“走出去”。阿里云、騰訊云等云服務供應商已經(jīng)在美國、澳大利亞、中東等地布局數(shù)據(jù)中心[31]。因此，對于中國凈收益最大的規(guī)制方式正在從數(shù)據(jù)本地化轉向隱私規(guī)制。

中國應學習歐盟等發(fā)達經(jīng)濟體的規(guī)制經(jīng)驗，同時推進國內的規(guī)制實踐，建設符合國情的隱私規(guī)制體系。首先，應指定或設立具體的數(shù)據(jù)保護機構，并授予該機構必要的執(zhí)法權力，盡快參與跨境數(shù)據(jù)流動的區(qū)域性國際合作。鼓勵與歐盟有業(yè)務往來的跨國企業(yè)使用SCCs或申請BCRs認證，申請加入APEC下的CBPRs(跨境隱私規(guī)則)體系，引導企業(yè)提升隱私保護水平。其次，在一定數(shù)量的企業(yè)具備較高的隱私保護水平后，借鑒美歐“安全港”(Safe Harbor)或“隱私盾”(Privacy Shield)模式，與主要貿(mào)易伙伴洽簽規(guī)制雙邊數(shù)據(jù)流動的協(xié)議，強化數(shù)據(jù)流動國際規(guī)制的話語權。最后，結合實踐經(jīng)驗制定數(shù)據(jù)保護法，確立數(shù)據(jù)保護的原則和模式，統(tǒng)一規(guī)制跨境數(shù)據(jù)流動。

[1]McKinsey Global Institute.Digital Globalization：The New Era of Global Flows[R].February 2016.http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[2]CHANDER Anupam,LE Uyên.Data Nationalism[J].Emory law journal,2015(64)：679-704.

[3]U.S.Chamber of Commerce.Business Without Borders：The Importance of Cross-Border Data Transfers to Global Prosperity[R].May 12,2014. https://www.uschamber.com/report/business-without-borders-importance-cross-border-data-transfers-global-prosperity.

[4]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：33.

[5]BORTNICK Jane.International information flow：the developing world perspective[J].Cornell international law journal,1981(14):342.

[6]DAMON Lisa.Freedom of information versus national sovereignty：the need for a new global forum for the resolution of transborder date flow problems[J].Fordham international law journal,1986(10):277.

[7]CHANDER Anupam,LE Uyên.Data nationalism[J].Emory law journal,2015(64)：679-704.

[8]中央網(wǎng)絡安全和信息化領導小組辦公室政策法規(guī)局.外國網(wǎng)絡法選編(第一輯)：美國·俄羅斯[M].北京：中國法制出版社，2015.

[9]STONE Susan,MESSENT James,FLAIG Dorothee.Emerging policy issues：localisation barriers to trade[R].OECD Trade Policy Papers,No.180,2015. http://dx.doi.org/10.1787/5js1m6v5qd5j-en.

[10]MILLARD Christopher.Forced localization of cloud services：Is privacy the real driver?[J].IEEE cloud computing,2015(2):10-14.

[11]新華網(wǎng).谷歌承認把歐洲資料交給美國情報機構[EB/OL].(2011-08-16)[2017-04-21].http://news.xinhuanet.com/world/2011-08/16/c_121867891.htm.

[12]CASTRO Daniel.The false promise of data nationalism[R].Information technology and innovation foundation.2013,https://itif.org/publications/2013/12/09/false-promise-data-nationalism.

[13]CHAO Loretta,TREVISANI Paulo.Brazil legislators bear down on internet bill[EB/OL].Wall St.J.(2013-11-13)[2017-04-21].http://online.wsj.com/news/articles/SB10001424052702304868404579194290325348688.

[14]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：33.

[15]Swedish Board of Commerce.No transfer,no production-a report on cross-border data transfers,global value chains,and the production of goods[R].2015.http://www.kommers.se/In-English/Publications/2015/No-Transfer-No-Production/

[16]LENDLE Andreas,OLARREAGA Marcelo,SCHROPP Simon,VEZINA Pierre.There goes gravity：How eBay reduces trade costs[R].World Bank Policy Research Paper,No.6253,2012.http://dx.doi.org/10.1596/1813-9450-6253.

[17]McKinsey Global Institute.Digital globalization：the new Era of global flows[R].February 2016.http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[18]U.S.International Trade Commission.Digital trade in the U.S.and global economies,part 2[R].USITC Publication 4485,August 2014. https://www.usitc.gov/publications/332/pub4485.pdf.

[19]Microsoft,Google,Adobe Leave Russia Due to Putin’s New Laws[EB/OL].(2014-12-15)[2017-04-21].http://news.softpedia.com/news/Microsoft-Google-Adobe-Leave-Russia-Due-to-Putin-s-New-Laws-467521.shtml.

[20]戴恩·羅蘭德，伊麗莎白·麥克唐納.信息技術法：第2版[M].宋連斌，林一飛，呂國民，譯.武漢：武漢大學出版社，2004：308.

[21]孔令杰.個人資料隱私的法律保護[M].武漢：武漢大學出版社，2009：145.

[22]韓靜雅.跨境數(shù)據(jù)流動國際規(guī)制的焦點問題分析[J].河北法學，2016，34(10)：170-178.

[23]AHMED Usman,CHANDER Anupam.Information goes global：protecting privacy,security,and the new economy in a world of cross-border data flows[R].E15Initiative.Geneva：International Centre for Trade and Sustainable Development(ICTSD) and World Economic Forum,2015.

[24]齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學出版社，2009：173.

[25]高富平.個人數(shù)據(jù)保護和利用國際規(guī)則：源流與趨勢[M].北京：法律出版社，2016：135.

[26]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：31-32.

[27]STONE Susan,MESSENT James,FLAIG Dorothee.Emerging policy issues：localisation barriers to trade[R].OECD trade policy papers,No.180,2015. http://dx.doi.org/10.1787/5js1m6v5qd5j-en.

[28]中國青年政治學院互聯(lián)網(wǎng)法治研究中心.中國個人信息安全和隱私保護報告[R].2016.

[29]新華網(wǎng).2016年的云計算，是一場互聯(lián)網(wǎng)巨頭們的多維戰(zhàn)爭[EB/OL].(2016-12-12)[2017-04-23].http://www.hq.xinhuanet.com/news/2016-12/12/c_1120099550.htm.

(責任編輯 沈蓉)

ImpactsofDataLocalizationandItsPolicyMotivations

Huang Ning1,2

(1.Chinese Academy of Science and Technology for Development,Beijing 100038,China;2.Economic and Social Development Research Institute,Nankai University,Tianjin 300071,China)

F741.2

A

中國科協(xié)高端科技創(chuàng)新智庫青年項目(DXB-ZKQN-2016-001)。

2017-05-02

黃寧(1987-)，男，山東人，南開大學經(jīng)濟與社會發(fā)展研究院與中國科學技術發(fā)展戰(zhàn)略研究院聯(lián)合博士后工作站；研究方向：國際規(guī)則與科技政策。