随着全球数据流动在数字经济中扮演越来越重要的角色,中美两国在跨境数据监管中的模式和政策差异已成为影响全球数据治理的重要因素。从滴滴出行的安全审查到TikTok的存储合规,从中国发布《跨境数据流动促进与规范规定》(PRR)到美国实施第14117号行政令(EO 14,117),这一系列事件不仅重塑了两国数据政策的核心逻辑,也揭示了全球数据治理的复杂动态。本文由中国科学技术大学的多位学者联合撰写,通过梳理关键政策文件和具体案例,探讨中美两国在跨境数据流动监管模式中的差异及其深远影响。
01
背景:全球数据治理的分歧
近年来,全球数据治理呈现出三足鼎立的格局,欧盟、美国和中国分别以“隐私保护”、“自由流动”和“安全优先”著称。其中,“布鲁塞尔效应”成为理解这一治理结构的关键理论。该理论由安努·布拉德福德(Anu Bradford)提出,用以描述欧盟如何通过制定严格的隐私保护法规,如《通用数据保护条例》(GDPR),将其数据治理标准扩展至全球。由于跨国公司为进入欧盟市场而调整其全球运营方式,欧盟的规则往往被动辐射到其他国家和地区,形成了“无声的全球化”。这种效应也推动了其他国家在隐私保护上的竞争,例如美国通过《加州消费者隐私法》(CCPA)对标GDPR,中国则通过《个人信息保护法》(PIPL)提升监管标准。
近年来,中美两国的政策转型尤其引人关注。2024年,中国发布《跨境数据流动促进与规范规定》(PRR),进一步细化数据安全管理;美国则通过第14117号行政令(EO 14,117),收紧对敏感数据的跨境流动限制。两国监管模式的变化既是全球数字经济竞争加剧的反映,也是对数据安全挑战的直接回应。
02
中国的跨境数据流动监管模式
中国的跨境数据流动监管以国家安全为核心,同时兼顾经济发展的需要。其法律框架主要由《网络安全法》《数据安全法》和《个人信息保护法》构成,辅以配套的实施细则。
中国的数据治理以“国家安全整体观”为核心,主要通过以下法律与机制实施:
《国家安全法》与《网络安全法》:确立了数据分类和关键基础设施保护的法律基础。
《数据安全法》(DSL)与《个人信息保护法》(PIPL):明确了个人信息跨境流动的合规路径,包括数据出口安全评估、标准合同及个人信息保护认证(PIPC)。
区域化创新:自贸区被赋予制定行业负面清单的权限,为跨境数据流动提供差异化管理路径。
此外,2024年发布的《跨境数据流动促进与规范规定》(PRR)则开启了新的尝试:其一是降低评估门槛,例如规定个人信息跨境流动如少于10万人可豁免复杂的安全评估以降低中小企业的合规成本;其二是增强地方自主性,如上海自贸区率先发布了涉及智能网联汽车领域的数据流动负面清单,为企业提供明确的操作指引。
案例:
2021年,滴滴出行在美国上市后引发了中国国家网络安全审查。滴滴作为一家处理海量用户出行数据的企业,其数据存储和访问权限问题引发了公众和政府对数据泄露风险的担忧。中国《网络安全法》和《数据安全法》明确要求,运营关键信息基础设施(CII)的企业需将核心数据存储在国内,而滴滴未能满足这一要求。
此次审查不仅导致滴滴被下架整改,还促使2022年《网络安全审查办法》的修订。修订后的办法将海外上市企业纳入审查范围,并扩大了数据审查的适用领域,以确保关键数据不会对国家安全构成威胁。这一事件突显了中国在跨境数据管理上的核心逻辑:通过数据分类与分级保护,强调数据主权和国家安全。滴滴事件也推动了《跨境数据流动促进与规范规定》的发布,进一步降低了小规模数据流动的审查门槛,为企业提供更灵活的合规选项。
03
美国的跨境数据流动监管模式
美国的数据治理模式强调市场驱动,更多依赖行业法规和行政命令的灵活组合。长期以来,其以市场自由为导向,通过以下方式推动跨境数据流动:
行业法规:如《健康保险可携性与责任法案》(HIPAA)和《加州消费者隐私法》(CCPA)。
国际协定:如《美墨加协定》(USMCA)和《亚太经合组织隐私框架》(APEC Privacy Framework)。
然而,美国对特定数据类别和领域施加了严格限制。例如,基于《外国投资风险审查现代化法案》(FIRRMA),美国限制外资企业处理敏感个人数据,包括生物识别信息、健康数据等。
2024年2月28日美国总统乔·拜登颁布第14117号行政命令(Executive Order 14117),标志着美国在数据监管模式上从传统的自由流动向更为封闭的安全优先转变。根据EO 14,117的规定,“敏感个人数据”和“政府相关数据”被更严格的跨境流动规则所管控,尤其对“关注国家”(如中国、古巴等)实施针对性限制。
这一行政令不仅直接增加了在华美资企业的合规压力,也表明美国正通过数据治理强化国家安全与政治博弈。
案例:
作为一款拥有庞大用户群的短视频平台,TikTok因其母公司字节跳动的中国背景而受到美国政府的严格审查。2020年,美国政府引用《外国投资风险审查现代化法案》(FIRRMA)对TikTok进行调查,要求其采取“数据本地化”措施以缓解国家安全风险。最终,TikTok被迫将美国用户数据存储在德克萨斯州的Oracle数据中心,并授权该公司作为数据流动的“守门人”,以确保敏感数据不会被传输至其他国家。
04
中美监管模式的比较与影响
中国的监管模式以统一的法律体系为基础,强调数据主权与全面覆盖。通过《网络安全法》、《数据安全法》和《个人信息保护法》等核心法规,中国建立了数据分类、分级保护和安全审查相结合的多层次管理框架。相比之下,美国采用分散化的行业法规模式,数据保护主要通过州法和行业标准实现。虽然美国倡导数据自由流动,但在特定领域(如CUI和敏感个人数据)实施了严格限制。
两国的共同点在于都将国家安全作为数据治理的核心驱动力。然而,中国通过负面清单和自贸区授权等方式提高了跨境数据流动的灵活性,而美国则通过限制性措施加强了对特定数据类别的管控,特别是在与中国相关的交易中。
05
总结
对在中美两国运营的跨国企业而言,理解并适应不同的法律框架至关重要。在中国,企业应尽早开展数据分类与安全评估工作,并关注自贸区的负面清单更新;在美国,企业需优化数据管理流程,特别是在与“关注国家”相关的数据流动中严格遵循合规要求。
展望未来,中美在数据治理上的博弈将继续推动全球数据治理规则的重构,而企业在平衡合规成本与商业利益的同时,也需探索更为灵活和多元的运营策略。与此同时,全球数据治理规则的制定也需要在开放性和安全性之间找到新的平衡。
编译|陈沛羽
排版|谢霄曈
审核|陈荒拓 智库编审委员会
2024 WPET
公众号|世政经科技研究院
小红书|世界政经科技论坛
网站|wpet.org.cn
