數據本地化政策的全球博弈分析

方元欣

一、引言

隨著數據處理技術的深度發展，數據作為一種戰略性資源和核心生產要素，在全球經濟和社會中發揮著越來越重要的作用。出于經濟利益和國家安全考慮，各國對數據跨境交換和轉移采取了不同的措施或政策，其中數據本地化政策尤為常見，是各國立法者和監管者關注的重要議題。本文在提煉數據本地化政策特征的基礎上，圍繞各國的利益考量、戰略布局和談判博弈進行深入研究，并對其未來的演變趨勢進行判斷。

二、數據本地化的基本特征

（一）數據本地化的定義

目前關于“數據本地化”的內涵與外延在國際社會仍未達成普遍共識。聯合國貿易和發展會議（United Nations Conference on Trade and Development，簡稱UNCTAD）2016年的報告將其界定為“通過直接的法律限制或其他規定要求（如本地商業登記要求），將個人數據保留在其原始管轄范圍內” 。而根據世界貿易組織（World Trade Organization，簡稱WTO）2018年發布的報告定義 ，數據本地化政策涉及限制公司將國內用戶數據傳輸到國外的能力，主要以規則形式要求數據服務器位于國家內，或者在國內存儲或處理數據，禁止在未經政府批準的情況下收集或傳輸數據和/或指定有利于當地的政府采購偏好和技術標準公司。美國信息技術產業理事會（Information Technology Industry Council，簡稱ITIC）則將其定義為“對企業在國家邊界內存儲、加工或以其他方式處理數據的要求” 。

作為數據跨境流動的一種規制方式，數據本地化與數據自由跨境流動并非互不相容。以聯合國跨國公司中心（United Nations Centre on Transnational Corporation，簡稱UNCTC）對“數據跨境流動”的定義為對照，“數據跨境流動”指的是“跨越國界對存儲在計算機中的機器可讀的數據進行處理、存儲和檢索”。而有些數據本地化政策僅要求在境內存儲副本或在個人同意的情況下允許數據出境，并不意味著完全限制數據出境。反過來，完全禁止數據跨境傳輸則默認以本地存儲和處理為前提條件。總而言之，數據本地化是針對個人數據和/或部分行業數據提出的在境內存儲或處理的要求。根據各國不同的經濟環境、政策背景和利益考量，數據本地化的具體要求各異，其嚴苛程度、行使手段和適用范圍也各不相同。

（二）數據本地化的分類

經濟合作與發展組織（Organization for Economic Cooperation and Development，簡稱OECD）最新發布的《貿易和跨境數據流動》（Trade& Trans-border Data Flow）報告中 ，數據按流動的自由程度可分為四類：1）沒有任何數據本地化要求，例如，美國、日本、加拿大在法律中沒有個人數據或重要數據出境管理的專用規則，原則上允許數據自由跨境流動；2）只要求將數據的副本存儲在國內計算設施中，對轉移或境外處理數據副本無任何限制，允許在國外托管，傳輸和處理，此類別主要針對電信元數據和業務財務數據，目的通常是確保監管需求，例如印度在《2018年個人數據保護法案》要求所有個人數據必須在印度境內保留一份副本；3）不限制數據跨境流動，但規定數據必須存儲在境內，這意味著數據服務商可以在境外處理數據，但處理后的數據必須返回國內存儲；4）數據只能在境內存儲、處理，并有出境限制。

此外，數據本地化要求可以存在多種手段，包括要求在本地建立辦事處、境內設立數據中心或服務器，有此要求的代表國家包括印度、俄羅斯、越南、印度尼西亞、肯尼亞、阿爾及利亞等。另一種手段則是經個人同意或有關部門審查后傳輸數據，例如歐盟《數據通用保護條例》對個人信息出境從建立數據保護機構、第三國數據保護水平評估、數據主體權益保障等方面都提出了具體要求。這些數據本地化手段根據各國不同的利益考量進行排列組合搭配。

其次，數據本地化的規則適用范圍因數據類型而各異。一般而言，目前數據本地化要求多針對個人數據，而且僅出于對國家安全、隱私保護和經濟利益的考慮，對特定領域的數據存在特定要求。常見的受限制數據類型包括醫療健康、地圖信息、政府數據和銀行、金融、征信、商業記錄等重要行業數據。例如，韓國因擔心國家安保問題，要求地圖數據審查通過后方可出境；印度要求支付信息存儲本地六個月，以打擊黑市經濟活動；澳大利亞政府出于對數據主體隱私和安全的考慮，要求部分個人健康信息在境內存儲、加工或處理；土耳其出于監管目的，要求銀行和電子通信信息在境內處理。

（三）數據本地化的動因

隨著2013年“斯諾登事件”的爆發和2018年《澄清境外數據合法使用法案》（Clarify Lawful Overseas Use of Data Act，簡稱CLOUD Act）的出臺，美國野心勃勃的“長臂管轄”使許多國家對國家信息安全和公民隱私保護產生擔憂。2018年3月，美國國會通過了CLOUD Act，設計了執法機構跨境訪問、獲取、調用數據的規則機制，讓美國政府能夠合法地從全球各地調取數據，同時還規定了將數據發送到境外的條件和過程。雖然目前對“存儲地點是影響數據安全的關鍵因素”的假設仍存疑 ，但是數據存儲地點確實能夠影響數據保護的法律管轄權。盡管各國針對數據保護的法律管轄權規定各有差異，但一般而言，如果涉事企業在一國境內有物理存在，如服務器或數據中心，則相關案件在該國的法律管轄權之內。如果根據存儲地點確認了管轄權，政府就可以通過立法和執法降低數據泄露的風險，比如規定數據保護的最低安全標準，禁止企業將服務器中的數據交給外國政府，以及制定實施嚴格的數據泄露責任追究制度等 。

另一方面，數據本地化是發展中國家保護其國內產業的重要手段。從作用機制來看，數據本地化作為一種新型產業政策，相當于以非關稅壁壘的形式限制數據服務的進口，從而保護本國的信息技術及相關產業。跨國企業在境內建立數據中心，有利于當地數字基礎設施的建設，增加本國就業機會。印度2019年2月發布的《電子商務規則草案》中明確指出“國內數據中心和服務器場等計算設施的位置不僅可以為印度的計算提供支持，還可以促進當地創造就業機會。”此外，合規要求和成本的增加也使得外國企業在本地市場的競爭優勢削弱，而本國信息技術相關產業得以發展。印度科技巨頭Infosys聯合創始人Kris Gopalakrishnan就曾經引領發布云計算小組報告草案，建議政府建立一種“前瞻性”的數據保護機制，對云數據以及存儲在印度實體或印度生成的數據進行本地化，從而推動本國云計算產業的發展。

三、各國對數據本地化立場和發展趨向

當前全球尚未形成數據跨境移動的通用規則，各國以本國利益出發，采取不同立場與措施。美國通過淡化數據主權概念，推崇數字貿易自由化，打擊其他國家的數據本地化措施；歐盟通過發展其單一數字市場，對內促進數據跨境自由移動，對外遴選數字貿易伙伴，為數據資源博弈做好頂層設計；部分發達國家雖未出臺明確的數據跨境流動規制法規，但也采取了不同程度的數據本地化措施；多數發展中國家對推進跨境數據自由流動相對抗拒，普遍采取較為嚴格的數據本地化措施；非洲等國對于數據跨境自由流動和數字貿易自由化較為反感，認為將損害本國產業發展，主張在數據本地化措施上保有自主權。

（一）美國積極發起攻勢，試圖定點消除數據本地化

作為全球數字產業最發達的國家，美國是數據自由跨境流動的最大受益者。據美國國際貿易委員會（International Trade Commission，簡稱ITC）估計，數據自由流動使得美國的GDP增加了3.4至4.8個百分點，同時創造了240萬個就業崗位。在此背景下，自奧巴馬時期起，美國就持續針對“數據的自由流動”加快戰略布局。奧巴馬政府依托推進多邊談判，拉攏“數據盟友”，試圖在全球數據流動規則的制定上占據主導地位。雖然特朗普上臺后主張以諸邊模式代替多邊機制，中斷了奧巴馬政府的總體戰略布局，但就數據跨境流動和禁止數據本地化而言，特朗普政府態度更加強硬，采取的措施加倍激進。整體而言，美國推進數據跨境自由流動的舉措主要呈現以下特征：

一是搶占理論高地，循序漸進推進數據自由跨境流動。2016年7月，美國貿易代表辦公室（USTR）成立“數字貿易工作組”（Digital Trade Working Group，簡稱DTWG），負責識別并解決阻礙全球數字貿易的壁壘。自此，美國每年發布的《關于外貿壁壘的國別貿易評估報告》（National Trade Estimate Report on Foreign Trade Barriers，簡稱NTE報告）逐漸提高對數據跨境流動和各國的數據本地化的重視。2015年的NTE報告僅零星提及數據跨境流動，2016年開始提出數據本地化概念，2017年大范圍盤點各國的數據本地化限制，2018年稱美國要“監測并致力于消除數據本地化要求”，2019年再次重申這一主張，并強調遏制數據本地化趨勢的重要性。在此理論支撐下，美國政府得以快速定點布局，通過強勢主導國際合作機制數據治理規則的頂層設計和以打壓姿態與貿易伙伴簽訂一攬子協議，試圖逐一擊破對其不利的數據本地化壁壘。

二是靈活利用國際多邊合作機制，打造具有美國烙印的游戲規則。2011年，美國主導亞太經合組織（AsiaPacific Economic Cooperation，簡稱APEC）建立“跨境隱私規則體制”（Cross Border Privacy Rules System，簡稱CBPR），通過對企業進行隱私保護認證，實現“認證企業”之間的信息無障礙跨境流動。截至2019年，墨西哥、日本、加拿大、新加坡、韓國、澳大利亞和中國臺灣已加入CBPR，但是只有26家企業通過了CBPR認證，且均來自美日兩國，而且CBPR的管理較為松散，各國可自行選擇跨境傳輸的信息類型，美國也僅選擇了消費者信息。盡管如此，CBPR作為跨境數據流動框架的先行者，逐漸延伸到其他國際合作機制的頂層設計中。此外，奧巴馬政府竭力在WTO中推行服務貿易協定（Trade in Services Agreement，簡稱TiSA），并試圖從個人數據關系到服務貿易禁止締約方數據本地化，不過由于特朗普的“逢奧必反”式外交姿態使談判陷入僵局。就目前而言，服務貿易協定未來的發展形勢尚不明朗，但也需要持續關注。

三是在各種自由貿易談判中開展數據外交，意在主導全球數據跨境流動規則。2012年，美國和韓國簽訂的《美-韓自由貿易協定》（The U.S.-South Korea Free Trade Agreement，簡稱KORUS FTA）首次引入不具有強制性要求的跨境數據流動規則，規定“締約方應努力避免對跨境電子信息流動施加或維持不必要阻礙” ，并提出“允許在韓運營的金融服務企業離境處理數據” 。 2016年在美國主導下達成的《跨太平洋伙伴關系協定》（Trans-Pacific Partnership Agreement，簡稱TPP）中，規定允許包括個人信息在內的跨境傳輸 ，明確地提出了禁止將設立數據中心作為電子商務企業市場準入條件。雖然特朗普上臺后退出了TPP，但其關于數字貿易和電子商務的條例仍沿用至其他協定談判中，如2016年10月簽訂的《新加坡一澳大利亞自由貿易協定》（The Singapore-Australia Free Trade Agreement ，簡稱SAFTA）和2018年9月簽訂的《美墨加協定》（United States-Mexico-Canada Agreement，簡稱USMCA）。事實上，USMCA在實現美國數字產業利益上更勝一籌，不僅擴大了數據跨境流動的范圍 ，增加了禁止個人數據本地化的強制性和約束力，更將此限制延伸至金融領域，即在金融監管機構可以獲得履行監管任務時能獲取數據的前提下禁止金融服務的數據本地化存儲。此外，原本有本地化存儲要求的加拿大不列顛哥倫比亞省和新斯科舍省 也可能受此協定影響。

（二）歐盟保持防守態勢，采取“圈內圈外”雙重標準

歐盟數據資源豐富，數字經濟市場潛力巨大。歐盟委員會2017年發布的《歐洲數字進程報告》（Europes Digital Progress Report）報告顯示，2016年歐盟數字市場價值接近600億歐元，與2015年相比增長了9.5%，根據預測研究，2020年歐盟數字經濟市場可能超過1060億歐元。但就目前的形勢而言，歐盟主要作為信息技術服務的消費方而非提供方，大型網絡或信息技術產業發展較慢。因此歐盟在數據跨境流動的立場和美國有著明顯的區別，在開放數據資源的問題上優先考慮歐盟“單一數字市場”。其基本思路是“內松外緊”，對內破除數據流動壁壘，對外強化監管與隱私保護，只對許可國開放通道，力圖構建一個以歐盟為中心的數據流動空間。

一是對外提高數據出境限制，對內消除內部數據本地化要求。2018年5月，歐盟《一般數據保護條例》（General Data Protection Regulation，簡稱GDPR）生效施行。作為一項強制性法律，GDPR禁止歐盟內部個人數據本地化和跨境數據流動阻礙 ，同時以嚴苛的隱私保護和數據監管規定限制數據出境。10月，歐洲議會正式通過《非個人數據自由流動框架條例》（Regulation on the Free Flow of Non-personal Data）。該法規側重針對非個人數據，即GDPR范圍之外的數據，主要包括機器生產和商業銷售產生的數據，要求在保障公共安全的前提下禁止歐盟內部的產業數據本地化要求 ，從而幫助歐盟“單一數字市場”盡快成型。

二是保持松緊適度，建立數字貿易“朋友圈”。盡管GDPR為歐盟搭建了數據流動的屏障，但并非密不透風，其通過建立起一套完善的個人信息出境管理體系，為涉及個人數據出境業務的企業或機構提供了多種合規渠道和工具，包括數據保護“充分性”認定、約束性公司規則（BCR）和標準合同條款。這為歐盟挑選數字貿易“盟友”和拉攏貿易伙伴提供了新路徑。例如，歐盟可以挑選認可程度比較高的國家或地區進行“充分性”認定 ，進而使這些國家或地區的企業優先通過GDPR認證，優先進入歐盟市場，使用歐盟公民的數據，形成以歐盟為中心的數字貿易“朋友圈”。此外，歐盟與美國之間為實現隱私保護與數據自由流動的平衡，經歷了“安全港”協議到“隱私盾”協議的升級與改良，最終達成互可接受的跨境數據流動協議。截至2018年6月，已有3215家美國企業進行了符合該協議的登錄。

（三）其他國家立場相近，數據本地化措施較為普遍

與美國推崇數據跨境自由流動，歐盟以隱私保護為出發點不同，其他國家對數據自由跨境流動的態度有所保留，尤其以發展中國家為主，大多數都采取了不同程度的數據本地化措施。這種規制方式選擇的差異化現象，是各國基于自身信息技術水平和隱私保護意識，追求規制凈收益最大化的結果。

一是部分發達國家對特定數據提出了本地化要求。雖沒有明確全面的數據本地化法規，澳大利亞2012年頒布的《個人控制的電子健康記錄法》（The Personally Controlled Electronic Health Record，簡稱PCEHR）要求必須由本地的數據中心來存儲和處理個人電子健康檔案。在GDPR出臺前，德國、法國曾要求境內企業將數據存儲在歐洲甚至本國境內的數據中心。韓國雖未實行全面措施，但在地圖 、金融、醫療、教育 各個領域都有輕微的數據本地化要求。

二是多數發展中國家采取了嚴格的數據本地化措施。2015年9月，俄羅斯的數據本地化立法生效，要求所有國內外公司在俄羅斯境內的服務器上存儲和處理俄羅斯公民的個人信息。根據法律規定，任何存儲俄羅斯國民信息的組織，無論是客戶還是社交媒體用戶，都必須將該數據移至俄羅斯服務器。2016年4月，尼日利亞要求企業存儲所有涉及在尼日利亞境內的尼日利亞公民的數據。除非政府另有規定，否則企業需在本地儲存政府數據。2017年4月，土耳其出臺法令，限制個人數據流往境外，并且要求企業在內存儲公民的數據。2018年9月，印度成立了信息數據政策改革工作專家組，該專家組向印度通信和信息產業部遞交新版數據政策草案。該草案核心內容是建議印度政府對在本國產生的數字支付、電子商務等云數據信息，采取本地化儲存措施。同年10月，越南于發布關于網絡安全法草案，要求數字社交媒體服務供應商需在越南設立分支機構或代表處，隨后發布的實施草案以案例形式詳細說明了對特定類別的供應商提起的本地數據存儲要求。11月，印度尼西亞要求提供“公共服務”的供應商在本土建立數據中心和災難恢復中心，其他法規要求需在本地存儲及處理某些個人及財務數據。

三是非洲等國擁護推進數據本地化措施。與其他地區相比，非洲國家在互聯網環境上的差距較大，數字鴻溝顯著。為此，2017年7月非洲國家舉辦的小組討論報告提出采取數據本地化措施、互聯網過濾、技術轉移等相關政策。此外，非洲國家要求在數字貿易、數據跨境自由流動及數據本地化上保有一定的“政策執行余地（Policy Space）”。9月，在WTO舉辦的公開論壇上也有類似聲音。推進數字貿易自由化與數字貿易自由化妨礙了發展中國家產業發展的聲音同時被議論。南非WTO代表認為，跨境數據流動自由化的規則是“反發展”（Anti-Development），并且妨礙本地企業的發展，并主張擁有較為靈活的數據本地化措施，在采取數據保護措施上具有“一定自主權”，以抵御發達國家對本國數字產業的侵蝕。

四、結語

雖然我國數字經濟發展迅速，已成為全球最大的網絡市場，擁有世界數量最大的網民群體，但當前形勢不容忽視，主要存在兩方面挑戰，一是如何防止美國通過推進數據資源自由流動強制撬動網絡主權、數據主權保護，二是如何幫助國內企業處理跨境合規問題，滿足其數據跨境傳輸需求。

（一）加強我國在國際數據治理規則談判中的優勢地位

當前，歐盟、美國、日本都頒布了詳盡的數據跨境流動治理法規，在全球數據治理規則談判中積極發聲，并尋求多種手段實現其訴求。我國受美歐日夾擊，話語權有限，但在數據跨境流動和數據本地化規則上仍有許多立場相近、利益相似的伙伴國，并非處于弱勢地位。對此，我國應加強反制措施，積極發展數字貿易伙伴，加強參與全球數據跨境流動國際監管規則建設。此外，我國應當積極學習發達經濟體的數據流動規制經驗，推進國內的規制實踐，建設符合我國國情的隱私保護體系。首先可考慮設立具體的數據保護機構，并授予該當機構必要的執法權力。其次，充分借鑒美歐“隱私盾”模式和歐洲的充分性認定模式，與主要貿易伙伴洽簽規制雙邊數據流動的協議，強化數據流動國際規則的話語權。最后，加快完善數據分級分類和數據保護法規，積極推進跨境數據有序合法流動。

（二）深入研究跨境合規問題，幫助互聯網企業走出去

當前，我國具有相當體量的數據跨境傳輸需求，但是數據跨境合規問題給企業帶來了較大負擔和風險。目前我國企業面臨兩類基本的數據跨境合規問題，一是從我國收集運營的數據向境外傳輸的問題，二是我國對外提供數據跨境服務企業在海外市場面臨的當地數據出境政策的問題。例如，由于我國的個人信息保護水平與歐盟尚存較大差距，并不滿足歐盟“充分性”認定標準，我國企業可以利用的合法傳輸機制仍然相當有限。例如：“標準合同文本”和“有約束力公司規則”仍很難為中國企業所利用。對于具有一定實力的中國企業，則可以結合業務布局考慮，選擇在歐盟成員國或歐盟認可的“充分保護認定”國家。例如在加拿大、阿根廷、新西蘭等國建立數據中心，作為“數據港”，以盡可能降低數據跨境傳輸成本和合規風險。此外，應幫助我國互聯網企業提高數據傳輸和處理標準，增強數據保護意識，并鼓勵企業根據特定國家的跨境轉移政策或需求，制定不同的合規方案，幫助我國企業在積極開拓海外市場的同時提高風險防御能力和降低成本負擔。

作者單位：國家工業信息安全發展研究中心