导读:数据的自由流动加速了新技术、新产品、新业态的发展,建立高效便利的数据跨境流通机制,将为数据资源优化配置和创新应用提供坚实保障
作者|魏际刚 李苍舒「国务院发展研究中心,魏际刚系市场经济研究所副所长、研究员」
文章|《中国金融》2024年第22期
《中共中央关于进一步全面深化改革、推进中国式现代化的决定》提出,健全促进实体经济和数字经济深度融合制度。数字经济和实体经济深度融合(以下简称数实深度融合)关键在于数据的高效利用与共享。现时期,经济全球化快速发展,数据的自由流动促进了科技创新和知识共享,加速了新技术、新产品、新业态的发展,数据已成为新的生产要素。建立高效便利的数据跨境流通机制,将为数据资源优化配置和创新应用提供坚实保障。
数据跨境流通机制的内涵特征
数据跨境流通机制具有高效性、便利性、灵活性、可持续性、开放合作等特征。高效性,就是通过简化手续、优化流程和采用先进的信息技术,减少数据传输的时间和成本,加快数据流动速度;便利性,就是为数据主体和数据使用者提供简单易行的操作界面和清晰的指导原则,降低跨境数据交易的复杂度;灵活性,就是数据跨境流通机制能适应不同行业、不同规模企业的需求,以及技术快速变化的环境,灵活调整策略和规范;可持续性,就是建立长期稳定的制度框架,支持数据跨境流动的持续健康发展,同时考虑环境保护和社会责任;开放合作,就是鼓励国际合作,参与国际规则制定,建立公平竞争的环境,反对数据保护主义,促进全球数字贸易的繁荣。高效便利的数据跨境流通机制不仅能够促进经济全球化发展,还能确保数据流动的安全与合规,为数字时代的国际合作奠定坚实基础。
建立高效便利的数据跨境流通机制路径
完善数实深度融合法律体系,建立数据分类分级管理制度
完善法律法规,促进数字经济和实体经济深度融合,确保数据在两大经济形态间安全高效流通与价值最大化。推进国内数据保护标准与国际规则相衔接,明确数据跨境流动的基本原则、条件、程序和法律责任,为企业提供清晰的指引。随着数据价值的提升,国家、机构以及个人的隐私保护和数据安全问题日益凸显,各地区纷纷出台相关法律法规,如欧盟的《通用数据保护条例》(GDPR)、日本的《个人信息保护法》(APPI)、加拿大的《个人信息保护和电子文档法》(PIPEDA)以及澳大利亚的《1988年隐私法》(APPs)。我国应结合国情,借鉴国际有益实践,在法律法规中明确数据保护的基本原则,为数据处理活动设定总纲;清晰界定个人信息、敏感信息、重要数据等核心概念,明确数据处理者的权利与义务,制定数据主体的权利、数据泄露的报告机制、跨境数据转移的条件等;设立专门的数据监管部门,监督法律法规执行。
针对不同类别和级别的数据,设定不同的跨境流动规则和保护措施。基于数据的敏感程度、价值、对国家安全和公共利益的影响等因素,可将数据分为不同类别和级别,如公开数据、内部数据、敏感数据、机密数据等。基于此,企业或组织内部可成立数据管理小组或数据安全委员会,负责数据分类分级的规划与执行;进行全面的数据资产盘点,识别数据源、存储位置、使用情况等,为数据分类分级提供基础;依据标准对数据进行标记和分类,确定每一类数据的保护级别,并根据不同级别数据特点制定相应保护策略,如加密存储、访问控制、定期审计等,确保高等级数据得到更强保护;定期进行数据保护内部审计和外部第三方审计,检查分类分级制度的执行情况,及时发现并纠正问题。
强化数实深度融合安全与保护技术,构建数据跨境流动服务平台
推广使用加密技术、匿名化处理、去标识化等技术手段,提升数实深度融合过程中的数据跨境安全性。具体而言,相关机构应建立数据泄露应急响应机制,及时处理安全事件,对跨境传输的数据实施端到端的加密;在不损害数据使用价值的前提下,对敏感个人信息进行匿名化处理,以降低数据泄露风险;实施严格的访问控制机制,采用多因素认证技术,增强账户安全性,特别是金融领域等高价值数据在跨境流动中易泄露和被窃取,要对数据从创建到销毁的每个阶段实施安全管理,及时发现异常访问或潜在威胁,定期进行安全审计,评估系统安全状况并改进防护措施。
设计统一的数据接口和服务标准,方便不同国家和地区的企业和组织接入,降低对接成本,提高兼容性和互操作性。例如,开发合规性检测工具,自动评估数据跨境传输的合规性,包括检查是否符合目的地国家的法律要求、是否已获得必要的同意等,减少人工审核负担。此外,我国还可与部分国家共同建立数据保护标准互认机制,明确数据在跨境存储和处理时的规则,减少重复认证,简化跨境数据流动程序;构建专用的、高度安全的数据传输通道,支持数据传输的完整性和不可否认性;共同参与国际数据保护协议的制定,提高数据流动的国际兼容性。
加速数字经济与实体经济全球化融合,建立健全数据流动多双边框架
推动国际合作与数据保护标准互认,深化数字经济和实体经济在全球范围内的融合,共同释放数据要素潜力。联合国、世界贸易组织(WTO)、国际电信联盟(ITU)等国际组织的数据保护与数据治理讨论具有前瞻性意义,我国应在积极参与研讨的基础上,与主要经济体和国际伙伴建立双边或多边对话平台,如中欧数据保护对话、跨境隐私规则系统(CBPR)等,增进共识,协调立场;推动标准制定与互认,参与数据安全、隐私保护、数据分类、跨境数据流动等领域的国际标准制定工作;与各国政府和国际组织协商,签订数据保护标准互认协议,减少重复认证,简化数据跨境流动合规程序。
探索建立跨区域数据安全港协议,为特定行业数据流动提供安全便利的渠道。针对金融、医疗、科研等对数据安全要求较高的行业的数据流动需求,应识别国内外数据保护法规差异与冲突,通过调整国内法规或签订谅解备忘录等方式提高数据保护政策的透明度,及时公布并解释本国数据保护法规的变化,增强国际社会对我国数据治理政策的理解和信任。
加强数实深度融合能力建设,开展数据跨境流动项目试点
在特定区域或行业开展数据跨境流动试点项目,积累有益经验并逐步推广。根据国家战略和发展需求,可选择自由贸易区、高新技术产业园区或相关行业等作为试点对象,设定清晰的试点目标,明确试点任务,如测试数据跨境传输的新技术、新标准或新模式,建立数据保护机制、优化数据分类分级管理、探索数据跨境流动的监管方式等;制定涵盖技术路线、管理流程、法律合规、安全保障、评估指标等多个方面的试点实施方案,确保试点工作的系统性和可行性。例如,北京自贸试验区尝试利用多方计算、区块链等技术手段,开展数据跨境流动、新业态准入等试点任务;上海自贸试验区临港新片区按照“负面清单+正面指引”的方式,推进重点领域数据跨境分类分级管理,为国家推进数据安全有序跨境流动提供“临港方案”。
增强公众对数据保护法律法规、技术标准、国际规则的理解和执行能力,提升监管效能。一方面,我国可通过提供数据保护合规培训,包括数据分类、跨境传输合规流程、风险评估与管理等,帮助涉外企业建立健全数据保护体系;另一方面,通过媒体、社交平台、公共讲座等多种渠道普及数据保护知识,提升公众的数据安全意识和隐私保护能力。
建立数实深度融合效果评估机制,强化专业人才培育与交流
建立基于数据流动安全性、合规性、经济效益等多维度的数实深度融合评价体系。一方面,我国可通过监管平台、企业报告、用户反馈等多种渠道,定期收集数据跨境流动相关信息,运用数据分析技术深度挖掘跨境流动特征;另一方面,通过研讨会、听证会等形式组织行业专家、企业代表、消费者团体、监管部门等共同参与评估,广泛收集意见和建议。基于收集的数据和反馈结果,应及时总结机制实施成效、存在的问题、面临的挑战及潜在风险,调整数据跨境流动的政策、法规、技术标准和管理措施,对于新出现的技术、市场变化或国际规则应迅速作出响应。
根据数据跨境流通最新特征和发展趋势,培养相关领域人才的合规意识和专业技能。相关部门应根据数据跨境流动机制的最新要求和行业发展动态,定制培训课程体系,覆盖法律法规、技术应用、风险管理、合规操作等内容,并针对不同角色和需求,分层次实施培训。具体而言,为技术人员提供数据加密、安全审计技术的培训;为业务操作人员提供跨境数据处理的实操指南,利用线上平台和线下研讨会、工作坊相结合的方式,提供灵活多样的学习机会,便于跨地域人才交流,为数据跨境流动的健康发展提供坚实的人才支撑。■
(责任编辑 张一帆)
