全球數據治理：概念、障礙與前景

本報告分析了當前數據治理形勢，對數據治理的有關概念進行了定義，總結了數據治理的不同杠桿，指出了數據治理的三個主要方面，并深入研究了未來數據治理將面臨的困難，為推動建立全球數據治理框架提出了五條建議。

數據治理的定義

當前，數據對各行各業的重要性日益凸顯。制造、金融、醫療保健等傳統行業正變得越來越以數據為中心。數據成為喂養人工智能、物聯網和3D打印等數據密集型尖端技術的養料，使相關技術產品研發成為可能。數據為促進經濟社會發展帶來機遇的同時，人們對數據誤用和濫用也衍生了諸多風險，如個人隱私被侵犯、算法不公平、大規模監視等。當今社會，想要更好地發揮數據價值，其關鍵是要明確政府和企業對數據收集、使用、存儲和保護的規則，在合理利用數據價值與控制數據使用風險間做好平衡。

各國政府的政策制定者正積極應對數據保護所面臨的挑戰，并致力于解決跨境數據流通所帶來的一系列問題。2019年6月，日本首相安倍晉三在G20峰會上啟動了“大阪軌道”計劃，倡議在加強數據保護和安全的前提下，建立數據跨境流通框架，包括中國和美國在內的二十四個國家共同簽署了一項聲明，提出了推動數據自由流通的理念。但事實上，國際上對整合各國數據政策、標準、法律，形成全球數據治理框架存在巨大爭議，在全球范圍內實現數據治理變得更加困難。

2019年10月3日，為使“大阪軌道”計劃更具現實意義，推動建立符合安倍意愿的數據治理國際框架，新美國（NewAmerica，是一個致力于振興美國實現國家最高理想的非盈利研究機構）在華盛頓召開了一次專家圓桌會議，對數據治理的相關棘手問題展開實質性討論，旨在為全球數據治理指明前進道路。本報告就會議涉及的關鍵問題進行了總結梳理，指出了建立全球數據治理框架面對的困難與克服困難的方法。

對數據的理解

專業術語中的“數據”是指由計算機以1和0或二進制格式生成、處理和存儲的數字化信息。網絡連接或網絡設備使這種數據從一臺計算機傳輸到另一臺計算機。“數據”和“信息”之間也有區別：“數據”是可機讀的1和0，或“代碼”;“信息”是數據對人類的意義。數據和信息是否有不同的含義取決于它們的類型，如是否與金融、健康、社交媒體、執法等領域有關。

對數據治理的理解

本報告對數據治理定義為：一國政府在制定不同訪問者使用數據的方式時，也要符合別國政府針對共享數據的相關規則，包括別國政府制定發布的政策、標準和法律。“數據治理”在不同的背景下具有多樣性。上述圓桌會議期間，與會人員對數據治理進行了系統性討論，具體如下：

一是從國家安全和執法的角度看，一國政府為了國內和國際安全而建議數據共享時，其他國家卻擔心這些數據會涉及本國國家安全，不希望本國數據與他國共享。

二是從經濟增長和創新的角度看，國家建立并訪問大型數據庫數據的目的是為了研究和發展機器學習、人工智能等數據密集型技術，并推動跨境交易和電子商務發展，以促進數字經濟發展。

三是從數據審核標準的角度看，國家要對數據跨境流通的內容提出競爭性要求，并在確保數據自由流通的同時，提出解決沖突的可行方式。

在上述三個不同領域中，由不同類型的工具或杠桿（lever）對如何收集、使用、傳輸和存儲數據設定規則。這些杠桿基本上為安倍首相提出的“基于信任的數據自由流通”中的“信任”等概念設置了標準。由于“信任”帶有一定的主觀色彩，法規在多大程度上可增強信任度引起了與會人員的激烈辯論，考慮如何配置各種杠桿以實現某些保障措施是會議的核心議題。

支持或限制數據跨境流通是數據治理的主要焦點

政策文件中的“數據本地化”一詞，往往意味著要限制企業將國內數據傳輸到國外，這與安倍所倡導的數據自由流通恰好相反。實際上，“數據本地化”只針對一定范圍內的數據，不同國家“數據本地化”政策所規定的范圍不同。

一是最寬松的數據本地化要求是“鏡像”。也就是說，有關國家規定在允許數據發到國外之前，需要在本國服務器中存儲數據副本。這僅對某些域名或衛生、金融等特定行業的數據存在限制。

二是最嚴格的數據本地化要求是不允許數據跨境流通。有些國家的“數據本地化”政策實施形式十分嚴格，如要求數據本地存儲和本地處理的同時全面禁止向境外傳輸。這可能意味著，別國企業將無法獲取和使用該國數據以創造價值。俄羅斯和印度已對部分數據采用了這種方式，如印度明確本國支付數據不能向境外傳輸。但是至少到目前為止，除少數國家外，大多數政府尚未實施這種嚴格的“數據本地化”政策。

三是本地化存儲處理不是限制數據自由流通的唯一選擇。各國也可能以算法過濾的形式實施數據流通管制，例如規定是否允許某些類型或來自某些地區的數據流入或流出國境。這種方式可以針對個人健康信息、網絡政治話題等敏感數據。算法過濾的范圍主要考慮政府政策重點及其技術能力等方面。

數據治理的不同杠桿

數據治理杠桿是政府、企業或社會組織利用各種規則影響、調節、控制數據治理活動，以實現數據自由流通的各種手段。數據治理杠桿涉及超國家、國家和次國家三個層次，包括雙邊、區域和多邊貿易協定，以及各種與數據相關的法律、法規、標準和規范。此外，集體訴訟也可以發揮一定的作用。所有這些杠桿都是政府、企業以及其他關鍵角色從技術和制度上影響數據流通和存儲的方式。確保數據自由流通的關鍵是明確數據流通應附帶的權利和義務。換言之，應采用什么樣的數據治理杠桿才能建立以安倍首相愿景為中心的“信任”？

技術是政府制定治理決策的重要考量元素

技術協議和標準是數據治理杠桿不可或缺的組成部分，但很多人卻對其知之甚少。對互聯網架構、企業規則、人員限制、政府政策等各類標準進行更加深入的研究將為加快制定國際框架奠定基礎。

一是制定數據治理規則時應考慮互聯網技術的可行性。例如，盡管俄羅斯希望能夠限制使用具有加密消息的應用程序，但俄羅斯政府已證明，由于技術難題，他們無法有效地在俄羅斯境內禁止使用社交應用程序“Telegram”。再如，希望制定數據治理機制，來阻止他人獲取其境內托管網站上的某些數據，卻不考慮互聯網目前是如何設計成全球路由信息的，都將無法實現其目標。在這一點上，網絡流量安全性和互聯網協議互操作性等領域的標準或技術規則起著至關重要的作用。也就是說，在實踐中，對數據自由流通的限制，不僅僅是政府權力或法律權威問題，還體現了政府和企業的技術能力，即數據治理杠桿的子集。

二是制定數據治理規則時要充分考慮技術的影響力。政府和企業在考慮制定數據治理相關政策和法律法規時，也要考慮不同技術有可能帶來的影響。即使這些規則不能在代碼中直接體現，但至少可指定為達到某種目的應使用哪項技術，或明確哪些機構負責實現技術步驟。如規定數據通過互聯網架構流通，那數據流通就不能采用其他方式。技術性能也會對政策的實施效果帶來決定性影響。例如，巴西曾一度要求使用本地電子郵件服務，不得使用美國微軟的電子郵件產品，但這項舉措并未成功，因為本地電子郵件服務不支持附件和用戶需要的其他功能。由此可見，政策規定之所以無效，是因為技術是影響個人和組織行為的一大要素。

三是制定數據治理規則時要充分考慮不同國家的互操作性。在技術和法規層面，需要在不同國家的互聯網系統和治理機制之間保持一定程度的互操作性，以免造成全球互聯網速度大幅下降，或某些數據向某些地方的流通完全中斷。同樣，此類討論也應說明互聯網的工作方式。即使數據治理討論的內容與互聯網治理有所區別，但不可否認的是，數據流通治理與全球互聯網運作密不可分。對于各國間應如何處理這些互操作的問題，目前仍然懸而未決。例如，世界貿易組織對跨境數據流通和網絡安全問題的處理一直沒有標準，這就引出了互聯網時代到來之前制定的世界貿易組織規則是否適用于數字貿易的問題。與此相關的是，大家對數據本地化政策等特定規定是否違背成員的世界貿易組織義務也存在爭議。世界貿易組織等機構的規則制定正面臨著一系列挑戰。

各國數據治理制度不兼容帶來的代價不可小覷

國家間的制度沖突有可能阻礙了數據的自由流通，限制了數據整合與使用，并給必須在不同地區多次存儲同類數據的公司帶來巨大成本。與會者發現，在利用不同的數據治理杠桿創建全球框架時會面臨諸多挑戰，包括：

1.數據流通缺乏統一的量化指標。數據與有形商品不同，并沒有通用杠桿可以量化并跟蹤流通價值所對應的數據流通量。

2.數據分類的責任主體、基準不明。討論期間發現了一個值得注意的問題，不同規則是否應分別處理不同種類的數據，而非按一套規則對所有數據進行批量處理。換言之，并非所有數據流通處理方式都應完全一樣。在許多情況下，對于敏感的個人醫療保健信息、工廠的制造數據、執法數據和“五眼”情報聯盟的國家安全數據來說，它們的處理方式即使與普通數據有相關或重疊之處，也理應有所區別。于是，問題就變成了“誰有權對數據進行分類”，應由企業自行決定還是由監管機構決定，這對行業發展影響很大。例如，行業和政府對哪些類型的數據將歸類為個人數據的決策角色尚未明確。另外，還有一個正在單獨討論中的相關問題，作為《布達佩斯網絡犯罪公約》的一部分，該如何在獲取用戶數據的同時不涉及其實際通信內容。

3.不同國家的數據治理杠桿差異很大。首先，差異來自于對數據治理杠桿的概念定義。不同地區可能采用不同杠桿管理數據隱私、數據安全等，而且大家對數據隱私和數據安全等概念的定義也有區別。例如，在歐洲語境下，“數據保護”的術語通常與“隱私”相關，可以與個人數據主權的概念互換;但在一些國家的語境下，數據保護往往是指為保護數據不受犯罪分子侵害而設置的限制措施，同時允許政府不受限制地訪問個人數據，這些國家都有類似的數據保護法。也可以說，這些國家正在考慮的數據保護法案適用于私人企業但不適用于政府機構。在數據管理體制方面，有必要進一步研究隱私與網絡安全的關系。任由這兩個概念越來越模糊，還是應該對其明確區分？在美國，網絡安全法是從隱私法衍生發展而來。但加利福尼亞州的物聯網安全法是個特例，因為該法規的核心是保護設備數據，而非個人數據。鑒于這些不同，有必要對迄今為止存在的數據治理杠桿運行狀態、杠桿所基于的概念和哲學基礎分區域進行對比分析。在存在如此多的差異的情況下，能否建立一個通用的國際框架是目前的關鍵問題。其次，差異來自于數據治理杠桿的實施操作。各國對數據治理如何概念化、如何控制國家安全和網絡安全、不同杠桿對數字經濟中數據使用帶來的影響都是不一樣的。各國政府對個人控制其數據的權利與私人企業獲取個人數據的范圍之間的平衡方式也存在差異。

數據治理機制需平衡國家、個人和企業三方利益

全球現有的數據治理機制均在國家、個人和企業利益三者之間取得了不同程度的平衡。

如果人們認為，政府是從三方利益結合的角度制定數據治理機制，那么是否有可能在各國政府間建立有效的超國家框架？這個問題更為復雜。

對數據自由流通的限制越來越多

從最基本的層面來看，尋求建立全球數據治理框架的政策制定者必須解決大量有關跨境數據傳輸的基本問題：未來是否應該開放自由數據流通？自由數據流通是大勢所趨嗎？如果是，需要制定哪些保障措施，克服哪些障礙，才能在各地區間建立互操作性？

（一）保障數據安全和促進本地發展是國家限制數據自由流通的主要原因。國家限制跨境數據傳輸的動機可能有幾種，而且相互交織重疊。第一個原因是政府為了增強數據安全性。這種動機的基礎假設是：與保護措施相比，數據的存儲位置對其安全更為重要。

另外一個驅動力是確保本地公民數據價值仍保留在國內，以促進國內數字產業發展。各國政府還可能出于安全和情報部門的執法目的和其他政治或社會用途，尋求增強其數據訪問的技術能力。

（二）數據跨境流通政策無法限制所有的數據。盡管數據可能永遠不會自由流通，但大多數專家認為，數據自由流通幾乎是當今的現狀。盡管世界各地均具備互聯網數據的過濾機制，也有一些“數據本地化”政策規定將數據保留在某些地理區域內，但大多數的數據確實在全球互聯網上不受限制的流通。究其原因，一方面，現有限制不會阻止所有類型的數據或者各國執行能力存在差異;另一方面，部分國家針對虛擬專用網絡的互聯網審查方案表明，實施中存在許多技術障礙。也就是說，全球范圍內存在一系列基于地理位置的互聯網流量阻止協議、數據傳輸限制措施，在一定程度上限制了數據跨境流動，但目前還無法限制所有的數據。

（三）跨境數據流通的挑戰。推動數據自由流通，首先要考慮限制數據跨境流通的障礙可能存在沖突的區域。日本經濟產業省負責起草《20國集團領導人聲明》數字部分的官員伊藤正彥認為，這些障礙主要存在于發達經濟體與新興市場經濟體、美國與歐盟之間。

1.發達經濟體與新興經濟體之間的沖突是限制數據自由流通的障礙。一些國家政府正在以美國等國家所得收益不成比例為由，加大限制數據流通的力度。澳大利亞、加拿大、日本、新加坡、歐洲部分地區以及其他地區的決策者和行業團體，傾向于支持自由數據流通，以促進全球貿易發展，而來自印度等新興經濟體的其他利益相關方則認為，這不一定符合他們的最大利益。

印度不愿簽署《G20大阪協議》，認為限制跨境數據傳輸可能會增強印度國內初創生態系統競爭力，保護印度公民隱私，并將印度定位為數據監管的全球參與者。與之相反，其他一些新興經濟體接受支持數據流通的規則，如智利、哥倫比亞、墨西哥等拉丁美洲國家接受數據跨境流通。但是，如果印度的杠桿能夠在國內取得成效，且其他國家也采取了類似做法，則限制數據流通很可能會成為全球互聯網的規范，或至少成為大部分國家的選擇。

2.美國與歐洲之間的沖突是限制數據自由流通的障礙。由于擔心美國缺乏足夠的隱私保護，歐洲聯盟法院曾限制從歐洲到美國的數據流通，而且很可能再次限制。歐盟在處理貿易協議中的數據流通和隱私問題時，也對美國采取了不同杠桿。歐盟將隱私從貿易協議中移除，取而代之的是依據《通用數據保護條例》中的單獨法律安排“適當性協議”處理與美國的數據交換。

（四）聯盟使跨境數據流通成為可能。隨著數據沖突日益加劇，未來，數據可能無法克服所有障礙自由流通。法律問題使跨境數據流通保障措施形成的沖突更加凸顯，即當多個國家對同一數據主張管轄權時，該如何界定責任和問責機制。例如，擁有數據的個人和組織、存儲數據的服務提供商、訪問數據的個人和機構以及數據中描述的個人國籍等，該如何確定這些主體的權利和義務？有觀點認為，只要企業在特定國家運營，就應該遵守執行該國的數據規則。這種做法使該國不再需要數據本地化以保持對本國數據的控制。以犯罪為例，最重要的因素是調查案件發生地，而非數據所在地。

國內與國際杠桿之間的關系

當國際數據框架中的首要共同原則與國家法律相抵觸時，往往很難達成一致。核心挑戰是處理國際與國內數據治理杠桿間的適當關系。多名專家認為，國內與國際數據治理杠桿之間缺乏兼容性。與會者指出，許多國家內部對政策法規缺乏共識。

法律不兼容致使國內與國際數據治理無法協同

與會者表示，拼湊而成的法律總會出現問題。在互聯網治理初期甚至是現在，大多數國家將全球網絡治理視為國內問題，并通過法律做出相關規定。但現實是人們必須認識到想要解決全球數據治理問題就需要世界各國作出多邊努力。

因此，各國必須制定國內和國際數據治理規則協同工作的方式，以便最恰當、最有效地管理全球數據流通。反之，若各國繼續對全球電信系統制定更多“自私”的法律，最終會為全球數據融合帶來更多不利影響。正如斯坦福大學互聯網與社會中心的中間責任總監達芙妮·凱勒所說，企業遵守不同司法管轄區的特定數據規則似乎“完全合理”，但每個國家每個法院都希望企業遵守自己的規則才是問題所在。

實現全球數據治理面臨諸多難題

1.實現各國制度兼容是實現國內與國際數據協同治理的第一個困難。各國之間是否應該合作兼容監管制度，政府權利和個人優先權的關系是否應該成為各國政府的首要關切，這是各國考慮合作制定數據自由流通規則的重點問題。

2.確定國際機構是實現國內與國際數據協同治理的第二個困難。哪些國際機構可能是適合解決某些數據治理問題的場所，例如，世界貿易組織中的安全例外規則是如何限制數據自由流通的。

3.維持相對全球性的數據系統是實現國內與國際數據協同治理的第三個困難。如果某些國家希望保持相對自由的數據流通，這些國家難免會對全球網絡施加過多限制，應如何管理國內與國際杠桿間的關系，應如何把控監管程度以及如何避免過度監管。

國際數據治理框架聯盟

國際數據框架應納入哪些國家？應包括多少成員？限制成員資格有何后果？是否應針對不同的數據治理子集形成不同的聯盟？此次討論并未就上述問題給出明確答案，但強調了界定上述問題時所涉及的一系列關鍵權衡點。理解這些權衡將是下一步確定數據治理框架聯盟時的重要步驟。

具體來說，有人支持保持較小的聯盟規模，以便制定具有法律約束力的可執行規則，以保護數據流通在數字貿易和創新中的作用，同時規定對隱私、網絡安全、國家安全和其他相關問題提供數據的例外。其想法是，各國可能更愿意與已建立“信任”和數據治理做法相似的國家建立具有約束力的國際協議，從而降低將例外情況用作保護主義借口的可能性。但是這樣做的風險是，那些無法加入框架聯盟的國家可能會結成一個或多個對立聯盟。

（一）推動對“自由”數據流通的理解形成共識是確定聯盟的首要問題。在確定聯盟組成時，第一個需解決的問題是如何解釋“自由”數據流通概念。一位專家指出，即使是相對自由和民主的社會，也會對自由信息流通劃定界限，如限制知識產權在線轉讓的法律。他還指出，過去幾年全球網絡主權的地位不斷上升，引發了國家對互聯網服務提供商的控制、數據本地化法律等監管變化，帶來了互聯網協議黑名單、域名系統過濾等技術變更，從而證明數據自由流通尚未達成一致。各國可能認為，知識產權相關數據是全球數據自由流通的限制范圍，但對以互聯網網關內容為重點的深度包檢測過濾可能不一樣。如果是否實施互聯網網關深度包檢測過濾協議不是加入聯盟的先決條件，那么聯盟的規模可能會擴大。

（二）聯盟的規模、資格條件及影響是確定聯盟要考慮的第二個關鍵問題。通常，一國對互聯網和數據治理的側重點可以反映該國的整體治理結構和政治目標，所以聯盟成員資格審核參數是否該考慮這些部分？如果是，那聯盟規模會非常小，或者根本不可能組成數據共享聯盟。一位與會者提出，正如一些國家所討論的一樣，如果歐盟與美國、日本、印度等國建立了一種完全兼容的數據治理框架，卻將許多其他國家排除在外，那會有何后果？數據對5G、物聯網、機器學習、人工智能等新興技術很重要，這些被排除在外的國家是否將無法進入數據市場？這些國家是否會因別無選擇，而使數據在全球范圍內流通受到更大的限制？隨著數字經濟的蓬勃發展，世界各國對互聯網的控制日益加強，這可能會使那些對中國數字發展方式感興趣的國家加速采取行動。上述圓桌會議并未回答如何應對將形成的聯盟外部集團問題。

（三）建立全球數據治理框架聯盟的諸多難題。設計或組建聯盟是建立國際框架聯盟的第一個困難。創建全球數據治理框架是否必須從聯盟成員資格著手？如果是，一國應與其他哪些國家設計哪種聯盟？該如何確保聯盟內部數據治理機制兼容性？這些聯盟是否會自然形成？這些聯盟是否已有相關機制可以制定數據治理制度以保護某些目標？形成外部集團是建立國際框架聯盟的第二個困難。如果某些國家被排除在聯盟之外，涉及的權衡取舍條件是什么？這會促使他們設計與聯盟外國家兼容的數據治理機制，如具有某種隱私保護的機制，還是僅僅將這些國家排除在外？這種分組結盟是否會鼓勵分裂全球數據流通，這就違背了組建聯盟以保護數據流通的初衷。

建立治理框架的五點建議

未來，5G、物聯網、人工智能等技術對完善數據流通治理會愈發重要。本報告旨在分析當前形勢，并圍繞數據治理進行討論，以期為建立全球數據治理框架需要深入探討哪些問題奠定基礎。下一步，報告建議圍繞以下問題進行全面研究：

1.全球數據治理框架的研究起點。不同國家處理數據治理問題的地緣政治觀點、技術現狀、歷史基礎和文化視角，都將影響建立全球數據治理的方式。

2.隱私與網絡安全是后續重點研究問題之一。不同國家對隱私和網絡安全的概念是如何定義的？在各國現有數據治理機制中隱私和網絡安全有何關聯？

3.互操作性是后續重點研究問題之二。不同國家的數據治理機制在技術和法律上是否達到了某種程度的兼容，能否保持某些數據流通的互操作性？如果能，通過雙邊協議、多邊協議或國際機構可以協調這種互操作性嗎？

4.聯盟是后續重點研究問題之三。在設計互操作數據治理機制以確保相對自由的數據流通聯盟時，是否應將某些國家納入或排除？如果是，這個決定會帶來哪些影響？

5.互操作性是重點研究問題之四。從多邊會談和條約，到像世界貿易組織這樣的機構，全球數據治理機制應由何種機構負責制定？以及國家間該如何相互協調發展和實施全球數據治理？

綜上所述，數據特別是某些類型的數據，只能在某些國家聯盟之間或內部自由流通。如果并非所有數據都能被平等獲取，那么不同類型的數據可能會形成不同的聯盟。