【友盟+】开发者社区

惠志斌:从美欧隐私盾协定看跨境数据流动的发展及对策

UBDC2016 发表于 2016-4-21 14:50:26 | |阅读模式

UBDC2016
UBDC2016 发表于 2016-4-21 14:50:26 | 显示全部楼层 |阅读模式
4月20日,UBDC全域大数据峰会2016在北京举办。会议以“无数据不智能”为主题,除主论坛之外,分别设立了“数据化运营”、“数据营销”、“IOT和O2O数据应用”、“数据开放与发展纵横谈”四个平行分论坛。
【上海社会科学院信息研究所信息安全研究中心主任】惠志斌在“数据开放与发展纵横谈”论坛上,作了“从美欧隐私盾协定看跨境数据流动的发展及对策”的主题分享。惠志斌认为:中国跨境数据流动管理是非常重要的问题,它会对包括华为、阿里等正在向全球拓展的一些企业发生重要作用。如果政府能够圈定网络安全的红线,同时,推动企业参与全球化的合作,才是真正保护数据主权,最终保障我们国家的数据安全。
惠志斌认为,全球进入数据驱动经济社会创新发展的变革时代,数据的外部性特征决定了需要在更多的维度和更广的范围内开放、流动、融合才能产生更高的价值和效用。
数据跨境流动远超商品、服务、劳动力、金融的增长幅度。未来数据跨境流动趋势将更加明显,对各国经济发展将发挥关键作用。
我国数据的对外开放和跨境流动明显落后,如果不能尽快扭转这一现状,必将制约我国企业新一轮的全球化竞争,也将阻碍我国经济转型和产业升级。
政府应当遵循数字经济发展基本规律,明确我国国家安全和网络安全的“红线”,依法建立一个开放透明且可操作性跨境数据流动分类监管体系,采取立体化管理机制,慎用本地化存储策略,推动国际区域合作、行业龙头牵引等关键策略的实施。
以下为惠志斌在UBDC全域大数据峰会·2016中分享的速记实录:

我讲论道的多一点,接地气多一点。我们现在做很多研究,希望跟实践对接。这次分享理论性强一点,如果有机会能跟企业共同做一些研究,也是我们非常期待的事情。

我今天演讲的题目是“数据经济跨境数据流动管理。”最近,欧美隐私盾比较热,希望我从这个视角讲。我是这么考虑的,其实跨境数据流动是未来经济数据发展,特别是全球经济数据发展非常重大的问题。在这个问题上,我还是希望从一些大的背景框架,或者经济背景框架下去认识这个问题,然后讲一下隐私盾的问题。

今天的报告主要分五个方面:
一、 数据时代的来临
数据的意义,做研究的人都比较熟悉,就是数据、信息、知识到智慧的价值进阶图。数据记录客观,是在数据环境下有效记录下来,所有客观、外围物理、社会生产生活的一些客观事实;信息是基于数据所形成的意义,数据在一定的背景下形成的一个信息,就形成了一定含义;再往上是知识,知识是大量信息在特定环境下形成的一种特定经验,经常是人的经验的总结;再上面是智慧,智慧产生洞见。

比如,912.17亿,这是去年“双11”线上交易额的数据,如果它没有结合其他的数据,它仅仅是一个数据,就是因为它结合了其他一些场景、一些背景之后,比如结合了“双11”这个时间,结合了其他的因素形成一个特定信息即一个交易额,再朝上是集资一些数据整合,比如往年的数据。从这上面提炼出一些经验,比如历年电子商务的发展,阿里的发展,包括我们国家的发展,结合这上面就能产生一些智慧。

数据经济是一种技术,特别是从21世纪第二个十年开始,在这个技术的基础上所产生的商业应用,比如社交媒体、电子商务、智慧城市等全面普及,导致数据经济和大数据的时代来临,各种大量的数据进行不断的融合交汇再产生一些数据,导致数据边际成本越来越低,边际效应越来越大,从而带来了新的经济形态。

为什么讲数据经济时代?因为发生变革最关键的是数据成为核心要素,成为传统有型的要素。比如土地、能源、化石能源等一些物质,包括资源,不是那些要素没有价值,因为那些要素是在发生价值,但是数据的价值是在全面体现,这是数据经济时代之所以称之为数字经济最核心的方面。

各个国家也从政策、国家战略层面,从布局未来本国经济发展以及和跟其他国家竞争的层面,出台了一系列的政策规定。从关键词就可以看出来,包括两个维度,一是开放创新,一是保护。这两个维度都很重要,缺少任何一个都没有办法驱动经济发展。
   
二、数据时代的全球化
从2000年以后全球化整合发展,重要的驱动就是全球化,资本、人力、商品、货物等等在全球的流动带动了近几十年全球经济高速发展。

近二十几年来全球流动要素中,贸易、资本在慢慢趋缓,但是近十年从2005-2015年呈指数式的增长。

麦肯锡的报告指出,这是一个数字化的时代,数字是核心的要素,未来的全球化或者当前,过去十年全球化重要贡献要素是数据的全球流动,数据的全球流动会带来未来全球化最关键、最核心的一个因素。

全球的网络连接,基本连接了全球最主要的一些经济发达体,基本上有人都有光纤、海底光缆的连接。连接方面这十几年也呈现高速发展。

全球网络设备连接,为物联网的发展提供了便利,物联网就是机器未来的连接,将成为一个非常主流的,大布局的数据全球流动。

中国整个网络连接水平总体相比于发达国家来说存在一定差距,这个领域未来增长空间比较大。
   
三、数据时代的主权
影响数据全球化流动的因素中,涉及一个民族、国家的管辖问题。也就是数据主权的问题。理论上说,如果没有民族、国家的边界,数据流动将会更加强劲、更加自由、更加开放。然而,每个国家对自己国家的法律、政策、经济竞争的考量都不一样,所以带来了每个国家对数据流动、数据管辖问题都会产生一些制度,这就是数据主权的问题。

数据主权的源起:1648年《威斯特伐利亚合约》 确立的近代民族国家的基本要素:居民、领土、政府和主权。

网络主权的概念:是国家主权在网络空间的投射、发展与实践,对内指的是国家独立自主地发展、监督、管理本国网络空间事务;对外指的是防止本国网络空间受到外部入侵和攻击。

网络主权的概念:是国家主权在网络空间的投射、发展与实践,对内指的是国家独立自主地发展、监督、管理本国网络空间事务;对外指的是防止本国网络空间受到外部入侵和攻击。

数据主权的功能目标:国家安全、政府执法、公民隐私、产业竞争/发展。
企业要服务,通过数据形成一些创新、一些服务,甚至一些免费服务需要的是数据权益问题由此获得利益,公众也有数据权力的概念,这几个概念相互交织在一起,存在相互的协同、相互平衡、相互博弈的一个过程。

关于数据管辖的边界有三个确定要素:云服务提供商的国别;云服务器地理位置所处的国别;数据反映对象的所属国别。这三个要素其实一直在打架,大家互相争夺,其中有很多的重叠和重合的部分。

不同国家政策法律环境对数据进行管辖,中间还有一条是全球性的、多边的,双边的很多政策法律环境,对这些能够有一个更好的规范。

数据主权的实际效力:

1、无论物理空间和网络空间,主权宣示≠实际效力。

2、数据的流动、共享、融合、进化带来数据权属关系的模糊和国家控制能力的不足。

3、技术发展、商业创新不断削弱各国数据主权管辖的实际能力(FBI、苹果)。

4、国际法缺失和各国法律差异/博弈导致管辖边界的重合/冲突。

5、美国对全球网络空间控制主导对各国数据主权管辖效力形成压制。
结论是,数据经济时代,各国围绕数据资源的竞争更加激烈,数据主权的提出具有现实意义。但相较于传统的国家主权与网络主权,数据主权管辖的边界更加模糊,影响更为复杂,手段更为多元,各国数据主权的实现/拓展不仅仅依靠传统主权(政治/经济/军事力量)的天然延伸,更是依靠各国政策法律的动态调适和技术产业能力的有效匹配。
四、全跨境数据流动分析
全球跨境数据流动管理趋势中强调了在区域内、自由过的协议内容,加入了一个先决条件:个人信息。俄国个人信息保护法强调了个人本地化存储,关注流动化存储,很多人在这方面开始关注。2015年9月份正式生效,出来已经有一两年的时间。
美国安全港和美欧隐私盾:经过十几年的发展,美国安全港遭到废止,美欧隐私盾作为一个替代出来。美国数据保护法作为一个专门法律研究,作为个人数据保护,对数据保护是一个标志性的事件。还有欧盟《涉警务司法目的的数据交换指令》这一方面保护数据有效保护,同时有效执法之间的互补,我觉得个人是信息保护、个人隐私和公共安全方面做不断的调试。
事件脉络:

2013年6月25日,奥地利人Maximillian Schrems向爱尔兰行政当局提出申诉,认为美国NSA的行动违反欧盟《个人数据保护指令 (Directive 95/46/EC)》的要求,要求爱尔兰的信息保护专员(Data Protection Commissioner)对Facebook公司在美国的存储数据的保护情况进行调查。

2015年9月8日,欧美官方宣布达成犯罪调查的数据保护协议(伞协议),该协议将对欧美之间执法机构的跨境个人数据提供高标准的保护水平。

2015年10月8日,欧洲法院6日裁定:从欧盟传输到美国的数据“达不到适当的保护水平”,欧美15年前签署的规范数据交换的《安全港协议》无效。

2015年12月2日,Schrems不依不饶,在比利时、爱尔兰以及德国三国分别提起诉讼,意图阻止Facebook在这些国家进行的欧美之间的数据传输。认为Facebook不能依据安全港协议,而是合同文本,即“示范条款”来证明其商业运作的合法性。

2016年2月2日欧洲委员会宣布欧美双方已经达成一个 “欧盟-美国隐私护盾”(EU-SU Privacy Shield) ,2月29日协议文本正式公开,成为替代安全港协议的欧美商业目数据的跨境流动的新框架。

2016年4月14日,欧盟 “一般数据保护条例”(GDPR)历经4年最终通过欧洲议会投票通过,取代了“个人数据保护指令”,完成了欧盟数据 保护法的重要改革,适用于在欧盟市场提供服务的所有企业。
隐私盾包括《安全港协议》都有联系,正是有了联系之后,带动了隐私盾的法律出台。伞协议要求达到高标准的保护,也就是公务部门获取数据的也开了一个口子,但是需要更好的透明,更好的保护个人隐私数据,这是一个体系,也是值得我们国家去学习的。
《隐私盾协议》共128页,主要分为三个部分,分别是“隐私盾”原则;有关美国商务部具体举措和仲裁事项的两个附件;以及来自联邦贸易委员会、运输部、国家情报总监办公室、国务院、司法部的五封信。相比于《安全港协议》,《隐私盾协定》更好地体现了欧盟《一般数据保护指令》关于数据处理者与数据控制者的义务履行以及数据主体权利的规定,并特别强调了监管措施的执行。

关键进步:

增强数据主体的权利。特别突出数据主体个人数据保护的救济机制,告知公众可借助的救济方案、路径及咨询机构。
落实数据控制者的义务。《隐私盾协议》规定企业必须履行更为严格的数据保护义务并予以稳健的实施。首先,企业通过自主认证“自愿加入”后,必须公示其入盾承诺及相应的隐私政策。其次,企业在入盾后还需完成定期自证审查,并接受联邦贸易委员会、运输部等部门的调查与监督。第三,当企业未完成定期验证时,商务部将撤销其入盾的资格,企业也将归还或删除相应的数据。

明确美国安全机构准入的透明度与安全防护举措。  对美国政府访问数据进行了清晰地界定及限制:一是避免大规模无差别的监控。二是设立专员监督实施。三是针对国家安全准入问题进行年度审查。
《隐私盾协议》重大意义:

体现了欧盟扩大数据保护立法域外效应的意图

扩大数据保护立法的域外效力,向外推行欧盟在数据保护上的价值观。

体现了后斯诺登时代美国重建美欧信任机制的努力

2016年2月24日,奥巴马签署《司法赔偿法案》,赋予欧洲公民与美国本土居民同等有效的司法救济权,使欧盟公民有权在美国法院对个人数据被滥用的行为提起诉讼。该协定成为推进欧美在警察及司法合作领域有关数据保护的“雨伞协定”的关键性因素,欧盟官员对美此举表现出极大的赞赏,极大地推动了《隐私盾协议》的谈判进程。

体现了美欧在跨境数据传输驱动经济利益上达成共识

2014年10月,美国布鲁金斯学会《互联网和跨境数据流动对美欧贸易与投资的重要性》称美欧跨境数据流动比美国与亚洲之间的数据流高50%,是美国与拉丁美洲数据流的两倍。美欧目前的跨境数据利益已达2600亿元。美欧能否充分利用跨境数据流动带来的机遇将影响到大西洋两岸的经济关系。美国在数字贸易方面是既得利益者,当然力争建立保护数据跨境自由流动的贸易规则;便利的美欧跨境数据流动也极大地增加了欧盟中小企业的生产力和全球竞争力。
全球跨境数据流动管理趋势:

1、以提升数据出境后的保护水平为目标,构建数据跨境流动规范体系;
2、以法定的例外与严格的用户授权,为数据跨境流动提供空间;
3、以驱动数字经济为本位,优先寻求区域内的数据自由流动;
4、以扩大本国法律域外效力为手段,掌握数据跨境流动管理的主动权;
5、以国家安全为考量,推出个人数据本地化存储策略;
6、以反恐合作执法为基点,对相关跨境数据采用约束性的数据保护原则。
五、我国跨境数据流动管理的制度现状
目前我国个人数据还存在一些问题,主要是对个人数据流出问题。不让本国数据往外流,但是缺少双向流动,这在制度上安排有明确的缺位。而且国家安全是非常虚幻的,但又神圣的,统领了个人隐私和商业秘密。

我们国家基本信息保护法没有,监管体系分散,这加大了我国企业全球化合规成本和风险。

制度不明确导致其他国家对我们国家不信任,还有多边和双边,当然这是非常长期的问题。

没有制度安排,双边制度和法律健全的时候,对外做生意合规成本会非常之高,有时候不得不采用合规要求,这时对发展产生最大的阻碍。

从我国跨境数据流动管理对策看,符合国家整理利益监管的原则有:鼓励流动原则、依法管理原则、安全可控原则、依托企业原则、国家合作原则。

我国跨境数据流动管理对策的总体思路:数字经济时代,数据是驱动全球经济社会发展的核心资源,积极有序地推动我国数据资源的开放开发和跨境流动是符合我国“网络强国”、“互联网+”、“一带一路”的战略需要,对我国经济社会的创新发展具有重要意义。

建议国家相关主管部门应当遵循数字经济发展基本规律,认清我国IT产业的能力和需求,把握全球产业竞争和政策演进的趋势,明确我国国家安全和网络安全的“红线”,依法建立一个开放透明且可操作性跨境数据流动分类监管体系,推动国际合作机制、行业龙头牵引等关键策略的实施。

分类分级监管体系:确定涉及国家安全、重大公共利益和个人隐私等“敏感数据”的范围,建议明确将个人、关键信息基础设施企业和公共部门的敏感数据纳入跨境数据流动监管范畴,并对大规模数据跨境流动进行风险评估,其他类型的数据跨境流动原则上由落实数据控制主体的安全责任及合同监管等实施保护。

政府如何进行风险评估?主要结合跨境数据平台性质、内容敏感性、数据规模量等因素进行综合评价,可分为高风险、中等风险、低风险和无风险四类,应分别对应不同措施和手段。
总结:
一、  全球进入数据驱动经济社会创新发展的变革时代,数据的外部性特征决定了需要在更多的维度和更广的范围内开放、流动、融合才能产生更高的价值和效用。

二、数据跨境流动远超商品、服务、劳动力、金融的增长幅度。未来数据跨境流动趋势将更加明显,对各国经济发展将发挥关键作用。

三、我国数据的对外开放和跨境流动明显落后,如果不能尽快扭转这一现状,必将制约我国企业新一轮的全球化竞争,也将阻碍我国经济转型和产业升级。

四、较于传统主权与网络主权,数据主权管辖的边界更加模糊,影响更为复杂,手段更为多元,各国数据主权管辖的实现/扩展不仅是传统主权管辖能力的天然延伸,而是各国政策法律动态调适和技术产业能力的有效匹配。

五、政府应当遵循数字经济发展基本规律,明确我国国家安全和网络安全的“红线”,依法建立一个开放透明且可操作性跨境数据流动分类监管体系,采取立体化管理机制,慎用本地化存储策略,推动国际区域合作、行业龙头牵引等关键策略的实施。
六、将个人、关键信息基础设施企业和公共部门的敏感数据纳入跨境数据流动监管范畴,并对大规模数据跨境流动进行风险评估,其他类型的数据跨境流动原则上由落实数据控制主体的安全责任及合同监管等实施保护。
综上所述,我个人觉得中国跨境数据流动管理是非常重要的问题,它会对包括华为、阿里等正在向全球拓展的一些企业发生重要作用。如果政府能够圈定这个红线,保住这个底线,同时,推动企业参与全球化的合作,才是真正保护数据主权,最终保障我们国家的数据安全。这是目前美国人做的,也是值得我们去学习。
以上是我的分享,谢谢大家。




上一篇:周辉:我国数据立法的进展对数据经济的影响
下一篇:陈曙东:万物互联时代的数据驱动创新趋势

您需要登录后才可以发帖 登录 | 立即注册

本版积分规则

发表主题

精彩推荐

同样是分享QQ,最近一栏没有qq空间选项,为什么?
同样是分享,就是没有qq空间 一栏
加了友盟推送,导致点击本地推送消息不响应
已经添加了友盟推送,最近要加一个本地闹钟的功能,发现这样一个问题: 加了这段代码,点击本地推送消息
iOS精简版升级说明
[*]什么是精简版 大部分三方分享平台都需要借助官方SDK来进行实现,而官方SDK由于包含很多复杂功能,因

关注我们

新浪微博
微信

欢迎关注友盟官方微博微信!

在线客服
返回顶部 返回列表