第十一期大讲堂回顾 | 相韶华:数据跨境融通使用是提升大湾区竞争力的关键
相韶华
深圳零一学院讲座教授、执行院长
香港国际金融学会创会理事、副会长
演讲实录节选:
粤港澳大湾区协同合作的挑战
从制度层面来说,粤港澳大湾区包含一个国家,两种制度,三个关税区,三种货币(1+2+33),这是其发展成为世界级城市群的独特优势,又是制约其内部进一步融合发展的关键因素。因此,要实现统筹协调发展,开放包容发展,绿色共赢发展,国际上鲜有先例。从社会本身而言,粤港澳三地之间的社会制度、政治制度都有所不同; 从法律层面来说,粤港澳三地之间的法系、法律观念与相关具体法律规定都不尽相同,从而造成粤港澳大湾区内数据传输与治理较为困难。但也就是在这样的情形下,数据跨境流动是一个热点,一个难点,也是提升大湾区竞争力的关键点,它汇聚纷繁复杂的探讨维度——包括像数据确权、隐私保护、法律适用与管辖、乃至国际贸易规则等等。而这其中,香港是全球自贸区外循环和中国内循环的连接纽带。
由于这种数据新形势和新动态,各国也正在积极进行数据跨境流动规则的制定。一方面,需要不断地自我探索,例如《粤港澳大湾区发展规划纲要》明确了要探索有利于人才、资本、信息、技术等创新要素跨境流动和区域融通的政策举措;《深圳经济特区数据条例》提出“数据跨境流通自由港”的政策目标;《横琴粤澳深度合作区建设总体方案》在“促进国际互联网数据跨境安全有序流动”方面提出“开展数据跨境传输安全管理试点”“研究建设固网接入国际互联网的绿色通道”“实现科学研究数据跨境互联互通”;《全面深化前海深港现代服务业合作区改革开放方案》也强调要“健全数字规则,提升监管能力”。
另一方面,也少不了与国际上不同体系的交流、探索或借鉴,我们同时也看到国际上数据要素跨境流动的相关制度在不断地演进。以欧盟发布的《一般数据保护条例》(GDPR)为代表,其在2018年5月25日正式实施,这是全球近20年在数据隐私保护领域最重大的变化。还有在2020年1月1日生效的《加州消费者隐私法案》(CCPA),作为美国第一部全面的数据隐私法,这是一项有里程碑意义的立法,既促进了企业的透明度,又让加州的企业经营者在如何收集、使用和出售个人数据方面拥有更多的责任和控制权。中国港澳地区与国际间联系紧密,曾经出台相关的数据安全法律政策,比如中国香港的《个人资料(私隐)条例》(PCPD)于1996年12月正式生效,这是亚洲最早订立、单一和完整的个人信息保障法律,用六项保障资料原则,涵盖了个人信息由产生到销毁的整个生命周期。中国澳门政府颁布《澳门网络安全法》(MCSL),以规范澳门特别行政区内的网络安全系统,旨在保护关键基础设施营运者的信息网络完全、计算机系统安全,以及数据安全。
中国大陆地区数据安全的相关法律法规
“五法”是当前中国数据安全和个人信息保护的顶层设计布局,它包括《中华人民共和国网络安全法》《网络安全审查办法》《中华人民共和国数据安全法》《个人信息保护法》《数据出境安全评估办法》。
具体说来,《中华人民共和国网络安全法》 自2017 年 6 月 1 日起施行,是中国第一部全面规范网络空间安全管理方面问题的基础性法律,是依法治网、化解网络风险的法律重器;由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》则是相关规范落实的进一步依据;《中华人民共和国数据安全法》则分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行了规定;《中华人民共和国个人信息保护法》的颁行标志着中国个人信息保护领域的法律体系已初步建成,标志着中国数字经济发展迈进一个新的阶段;国家网信办公布的《数据出境安全评估办法》在需申报数据出境安全评估的条件和情形、数据出境风险自评估及评估重点、申报数据出境安全评估材料等进行了规范。
《一般数据保护条例》(GDPR)与《跨境隐私规则》(CBPR)
《一般数据保护条例》 (General Data Protection Regulation (GDPR))是在2018年5月25日正式实施,是全球近20年在数据隐私保护领域最重大的变化,旨在协调整个欧洲的数据隐私法律,保护所有欧盟公民的数据隐私,并重塑整个地区在存储和处理隐私数据上的管理方式。
《跨境隐私规则》(Global Cross-Border Privacy Rules (CBPR) Declaration)是在亚太经合组织(Asia-Pacific Economic Cooperation, APEC)下由美国领导推动的国际隐私法律标准。2022年4月21日,美国、加拿大、日本韩国、菲律宾、新加坡、中国台湾共同发布全球跨境隐私规则声明,正式对外宣告成立全球跨境隐私规则(CBPR)论坛,致力促进数据自由流通与有效的隐私保护。美国方面认为,APEC CBPR机制是更好的数据跨境传输模式,它没有欧盟GDPR规范严格,更有利于促进国家间的数据流动。APEC CBPR本质上是一个自愿的问责机制首先需要国家接受,然后由问责机构(accountability agents)进行独立认证。
在对数据的定义方面,GDPR基于个人信息和隐私保护的目的,它对数据处理的定义是:“对个人数据或个人数据集进行的任何操作或一系列操作,无论是否通过自动化手段,如收集、记录、组织、结构化、存储、调整或更改检索、咨询、使用、通过传输、传播或以其他方式公开、调整或组合、限制、删除或销毁”,它涵盖了所有物联网数据处理活动。
CBPR基于促进数据跨境流动的目的,本质上是一个区域性的数据保护标准,在APEC CBPR框架中也没有对数据处理进行定义,但其对“个人信息控制者”的定义提到了一些具体的处理活动,即“收集、持有、处理、使用、披露或转让个人信息”。
在对特殊类别数据的定义方面,GDPR对敏感个人数据定义是:可以揭示一个人的种族或民族血统、政治观点、宗教或哲学信仰或工会成员身份的数据,以及为唯一识别自然人而对遗传数据、生物特征数据进行的处理。有关健康的数据或关于自然人的性生活或性取向的数据也以这种方式分类。那么根据数据保护法,在没有数据主体同意的情况下,禁止处理这些个人数据,同时,提倡数据匿名化和假名化。APEC CBPR框架只规定了一个最低限度的数据保护标准,CBPR的机制由三部分组成: 第一,规定数据保护基本要求框架;第二,问责机构的选择和认证系统,问责机构是APEC认可的独立第三方,有资格根据框架评估和认证企业隐私实践;第三,内部执行机制。
粤港澳建立大湾区跨境数据安全融通平台
跨境数据打通是大湾区核心竞争力的关键。作为国家改革开放最前沿的大湾区,人流、物流、资金流、信息流打通是大湾区下一轮全球竞争力的核心,其中信息流的打通在新的国际环境中尤为重要。建议粤港澳尽快成立专项委员会, 启动建设一个跨境数据安全融通平台。这个平台不仅要服务大湾区, 而且要在数据安全及融通方面兼顾GDPR 与 CBPR的优点, 成为下一步中国跨境隐私规则(China Cross-Border Privacy Rules (CCBPR) Declaration) 的探路者。希望在平台构建的同时,还要注重国际化人才的培养,这两方面大湾区都可以有实质性的进展,为下一步的RCEP和一带一路拓展打下基础。
在平台建设方面,针对数据要素是未来的科技创新的核心资源,“数流动”的问题也是未来大湾区融通、共赢的关键。粤港澳建立大湾区跨境数据安全融通平台的建设,则是旨在打通境内数字身份与境外数字身份,建设统一数字身份认证,通过第三方身份认证及数据交换平台,以集中数据交换存储,保证可流通、可共享、可溯源。
粤港澳合作加强国际化数据安全人才培养
在数据安全人才培养方面,大湾区目前急需一批既懂国内相关法律法规,又懂国际相关规则的高端人才。“数字科技赋能,湾区人才赋智”, 粤港澳合作加强国际化数据安全人才的培养尤其重要。只有人才的赋智,才能加快全域融通步伐。以人才培育为纽带,可谓是聚合数字经济发展的力量,推进“产学研一体”,为构建产业创新、生态服务、数据安全等夯实人才基础。构建全球数字人才“栖息地”。依托大湾区的相关战略平台,积极推动人才高地建设。
直播回顾:第十一期前海数据经济大讲堂