如何从分歧到共识——关于跨境数据流动安全问题国际现状的思考

点击蓝字

关注我们

梁正

清华大学人工智能国际治理研究院副院长、人工智能治理研究中心主任、中国科技政策研究中心副主任、公共管理学院教授

随着数字全球化的发展，国际社会需要尽快形成一个新的针对信息安全，尤其是数据安全的国际治理共识和框架，从而确保国际关系和平、稳定的发展。信息安全的根本所在是数据安全，因此需要从全球视野出发，全面了解各国对于跨境数据流动问题的不同认识和理解，促使各国形成对于跨境数据流动规则的国际共识。当然，这并非易事，因为跨境数据流动涵盖数据主权、隐私与安全、法律适用及管辖权、竞争战略等多种复杂元素。

首先，要客观认识跨境数据安全，杜绝因跨境数据安全的迫切性和重要性而盲目照搬传统安全观。目前，国际社会对于信息安全和跨境数据安全并没有形成统一共识，各国只能从自身能力、资源、优势等方面出发，基于本国利益来定义信息安全。但是这样的安全观并不具有国际普遍性，导致各国在跨境数据流动的政策法规方面差异较大。当前，国际社会对跨境数据安全的理解主要有以下三种：一是美国采取的典型的“促进型”模式。美国在全球数字经济中居于领先地位，其战略旨在促进数据自由流动，形成引流效应。美国通过属人保护和数据控制者等名义，以国内立法建立境外执法权，以保护本国利益为由调取使用他国数据；通过影响国际组织规则、打造多边协议等方式，利用强权为其提供获取境外数据的通道，拓展网络空间疆土，掌握和控制全球数据使用，以便满足自身利益需求。二是欧盟、英国、新加坡和日本等数字经济发展较为成熟的地区和国家采取的各具特色的“平衡型”模式。“平衡型”模式的监管思路是通过属人原则获取境内外高标准隐私保护，并在此前提下支持跨境数据流动，以充分性认定、建立信任机制等方式维护数据立法话语权。三是俄罗斯、印度、巴西、南非、土耳其、沙特等国家。因这些国家缺乏强有力的数据引流能力，如果放开管制，其数据可能大规模向发达经济体输出，进而导致这些国家自身竞争力的削弱。因此，这些国家采取属地原则以限制重要数据出境，形成了优先考虑安全保护的“本地化”政策模式。

其次，要客观理解跨境数据安全的主要特征。从全球来看，各大经济体的数据出境治理战略显著呈现出以发达国家为主的“自由流动”和以发展中国家为主的“本地限制”两大类型。发达国家以属人原则和控制延伸为主，实现数据领域的“长臂管辖”，如美国积极鼓励其他国家数据流入，尤其在贸易合作中，要求各国破除跨境数据流动壁垒。同时，通过多边合作渠道圈定数据自由流动区，为本国获取境外数据提供便利通道。发展中国家则一般采取属地原则，以数据本地化实现数据安全和产业保护，比如俄罗斯要求数据本地化，即数据首先存储在俄罗斯境内，在合规的情况下可有序出境。当前，跨境数据安全治理在国际社会中依然被现实主义所驱动，无序、无规则的国际竞争是当前的主要特征。尽管美欧等发达经济体对数据治理体系的构建起步较早，并且率先提出数据战略和相关行动计划，但对于建立在国家安全基础上的跨境数据流动规则，各国仍处于探索阶段，且分歧较大。

最后，要认识到跨境数据流动治理具有一定的技术门槛，一些国家的政府未必能够掌握最核心的技术，即获取数据的能力。目前，在国际冲突事件中，面对黑客组织的舆论引导和数据窃取行为，不论是在技术上还是规则上，国际社会普遍缺乏应对手段。黑客组织的活跃对各国网络空间自主攻防能力提出了更高要求。各国需要强化自身网络风险评估能力，及时排查开源软件和数据系统存在的潜在风险与安全隐患，避免为黑客组织提供可乘之机。各国在研究应对网络威胁策略时，需要摒弃零和博弈思维，不搞单边主义和阵营对抗，携手应对这一共同挑战，以确保全球网络空间的安全与稳定。通过为跨境数据安全建立有序的国际治理框架，明确更加具体的公共应用领域和禁止领域；通过国际规则，消除当前的无序状态——这些将成为国际社会的共识。