数字化、信息化实现了全球的数据共享,提高了数据处理水平,使得信息处理更加快速高效,有利于更好地实现数据价值,但同时,数据主权、数据安全、数据跨境流通、个人隐私保护等方面都受到了巨大冲击。各国为了保障国家安全,同时更好地推进数字化发展,都在努力探索数据流动和数据安全之间的平衡点,以期建立一个法律、制度、经济和文化相适应的数据治理体系。
从国家政府作为数据治理主体的视角来看,数据治理在各级各类组织“经营合规、风险可控、价值实现”的基础上,应进一步聚焦维护安全、保护隐私、促进发展等诉求和目标。数据治理的概念和内涵将扩展为:一国政府在数据资源及其应用过程中采取的立场、主张及与之对应的政策、策略、管控活动、绩效和风险管理的集合。从数据治理聚焦的问题来看,以国际协议、法律法规、各类标准和行业规范等制度建设为基础,国内数据治理主要关注保护与利用维度,包括数据权属划分、数据流通利用、个人隐私保护等;国际数据治理主要关注安全与发展维度,包括跨境流动规则、域外管辖问题和隐私安全问题等;其共性问题可归纳为数据权属、数据流动和隐私安全 3个方面,如图 2-2所示。
图 2-2数据治理体系框架
为了在这 3个方面进行系统化、标准化的数据管理,各国立足于本国政治、经济、文化、法制现状,制定了相应的法律体系,并结合配套的政府管理机制,对国内数据治理进行指导和规范。各国尽管处于不同的文化背景、经济发展水平,数字化发展的进度和目的也不尽相同,但是对于数据治理都表现出积极的态度,在大数
据被写入发展战略之后,各国更是积极推进数据治理在各个领域的发展,规范数据行为,提升数据价值。
随着信息技术水平的不断提高,数字经济全球化程度日益加深,数据跨境流动成为大数据时代的必然趋势,但同时它也可能会对个人隐私保护、数据权属、国家安全等造成威胁。不同国家和地区在数据本地化要求程度、重点管制数据类型、监管机制上的差异[12],导致数据跨境流动权属难明、认责困难,带来的冲突层出不穷,这种差异也使得各国选择不同的数据治理模式对本国数据进行规范和治理。
2.2.1 国家数据治理
从治理主体的维度,数据治理可分为全球数据治理、国家数据治理、政府数据治理和企业数据治理4个层次。目前国际上虽然 ISO、ITSS、DGI、ISACA、IBM DGCouncil和 DAMA等机构对数据治理进行了理论与实践的研究,但是缺乏权威的国际组织对国家间数据治理、数据主权等问题进行协调和规范,因此,数据主权、数据边境、数据跨境、域外管辖等方面都是从国家层面进行治理的,国家数据治理在关注国家内部各类机构及个人有关数据的生产、质量、储备、使用、流通、安全的同时,也关注数据的全球流通和监管。
以美国、欧盟国家和我国为例,三者的数据规模、活性和应用都处于世界较高水平,数据治理开展较早,发展较为成熟,目前也已经形成相对稳定的数据治理模式,但不管三者采取的是哪种数据治理战略,其核心都是数据流动和数据安全之间的制衡。
2.2.1.1 美国——利益导向模式
大数据时代,各国都认识到数据已经成为国家发展的新引擎,对数据的管理和利用将会给国家带来巨大利益和国际竞争力。作为科技强国,美国国内的脸书(Facebook)、谷歌(Google)、苹果(Apple)等大型信息技术企业为其汇集了全球用户的使用数据和相关信息。美国拥有丰富的数据资源,在全球数据信息产业中处于强势地位。因此,虽然美国的传统文化比较关注对个人隐私的保护,但是美国更加坚持促进数据的自由流动,坚持以利益为导向的数据治理模式,通过数据立法、国际间签订协议等方式,保障美国产业能够最大限度地获取全球的数据资源,并完成变现[1,12]。
从 2009年奥巴马政府签署《透明和开放政府备忘录》以来,美国制定了“开放政府国家行动计划”,不断推进数字政府发展,其后,陆续发布了《大数据研究和发展计划》《支持数据驱动型创新的技术与政策》《联邦大数据研发战略计划》等文件,将大数据列入国家发展战略,对内促进政府和关键行业的数据开放,鼓励组织对开放数据进行发掘创新;对外支持数据跨境流动,在国际合作间通过信息优势,攫取巨大利益。同时,美国构建了个人隐私数据保护机制,通过立法确保个人隐私数据安全。
(1)数据跨境流动
美国数据跨境流动政策主要由利益驱动。早在 20世纪,美国就已形成对数据跨境流动问题的初步策略。1995年,欧盟发布了严格的《数据保护指令》,美国为了维护本国企业的发展,保障数据利益的获取,与欧盟签署《安全港协议》,确保美国企业对欧盟公民个人数据的相关权利。
1997年《全球电子商务框架》明确指出数据跨境自由流动对于全球信息基础设施建设的重要性,“各国在公民隐私保护方面迥然不同的政策,有可能会形成非关税贸易壁垒”。针对此,美国不断采取策略,与其他国家和地区就数据跨境流动与经济利益的平衡问题进行对话。
20年来,美国在这些方面取得了不小的进展。首先,虽然美国与欧盟在个人数据保护策略上存在明显分歧,2015年欧洲法院甚至废除了双方执行 15 年之久的《安全港协议》,但两者之间的策略分歧从未对跨大西洋数据流动产生实质性影响。2016年
《欧美隐私盾协议》的达成为欧美数据跨境流动提供了积极机制,目前Google、Facebook、微软(Microsoft)等 2500家美国公司的跨境数据传输仍依赖于该机制。其次,双边、多边贸易协议成为美国推进数据流动政策的主要渠道。2012年的《美韩自由贸易协定》开创性地在电子商务章节中规定了数据跨境流动的规则,时至今日,其仍是很多国际协定的范本;美国通过亚太经济合作组织(APEC)积极推进《APEC跨境隐私规则体系》建设,该体系强制各加入国家在个人数据跨境流动时放弃坚持数据在国内享有的高保护水平,转而认同美国较低的保护水平,使得各国的个人信息便利地向美国聚拢[13]。此外,美国还于 2018年发布了《澄清域外合法使用数据法案》,即CLOUD法案,该法案规定全球范围内美国企业的数据都可以由美国政府直接调取,美国企业在全球扩展到多少国家,美国的数据主权就扩展到哪里,明确了美国政府对其他国家数据的“长臂管辖”原则。至此,美国的数据主权战略轮廓清晰。
(2)隐私数据保护
数据自由跨境流动虽然能带来巨大利益,但同时也导致个人隐私数据面临着安全风险。为解决大数据发展对隐私保护带来的问题,美国也在积极推动相关立法与政策变革。从 1974 年起,美国就在不断通过立法保障公民个人隐私数据在通信、网络、金融等领域的权利,2012年,美国政府发布《网络环境下消费者数据的隐私保护——在全球数字经济背景下保护隐私和促进创新的政策框架》(简称《隐私权报告》)、《消费者隐私权利法案》,这些法案进一步强化了通知与同意的法律规则、数据保存与处理的安全责任及事后问责制,完善了数据治理在个人隐私数据保护方面的立法体系[2]。
2018年 6月 28日,美国公布《加利福尼亚州消费者隐私保护法案》(CaliforniaConsumerPrivacy Actof 2018,CCPA)。CCPA的主要目的是改变企业在加利福尼亚州进行数据处理的方式,法案生效之后,一系列科技公司将面临非常严格的隐私保护要求,包括披露其收集的关于消费者的个人信息的类别和具体要素、收集信息的来源、收集或出售信息的业务目的以及与之共享信息的第三方的类别等[14]。CCPA法案受到了欧盟 GDPR的影响,是美国加强个人隐私数据安全管控的风向标,在规范设计上比较集中地反映了美国政府在个人数据、个人隐私治理领域的基本价值追求,从制度的角度,为企业使用个人数据、消费者保证个人隐私提供了有效保障。同时,法案还可作为义务设定、合理的权利实现保障、经济的权利实现渠道以及严密的责任追究机制来确保数据控制权力的实现,从而保证消费者的数据访问权,要求企业必须公平、公正地向消费者免费披露和提供消费者要求的个人信息以及其他类别信息的副本。
除了 CCPA,美国还发布了其他与隐私数据保护相关的法案。从20世纪 70年代开始,美国就开始制定相关法律、法案来构建保护隐私数据的法律体系,主要法案及其内容见表2-2。
表 2-2美国隐私数据保护相关法案
时间 |
名称 |
主要内容 |
1974年 |
隐私法案 |
规范政府如何收集、处理个人数据等行为 |
1986年 |
电子通信隐私法 |
是目前关于保护网络个人数据最全面的一部立法 |
1998年 |
儿童在线隐私保护法 |
详细规定了网站经营者必须披露其隐私保护政策,寻求儿童监护人的同意,还规定了经营者违反儿童隐私保护应承担的责任 |
1999年 |
金融服务现代化法案 |
规定了金融机构处理个人私密信息的方式 |
(续表)
时间 |
名称 |
主要内容 |
2014年 |
国家网络安全保护法 |
强化了国土安全部的国家网络安全和通信集成中心在联邦部门和私营部门共享网络安全信息方面的重要作用 |
2015年 |
消费者隐私权法案 (2015 年) |
数据持有商必须要在透明度报告中提供更多关于其用户数据收集的信息 |
2018年 |
加利福尼亚州消费者隐私保护法案(CCPA) |
企业必须保障消费者的数据访问权、数据删除权等个人隐私数据相关权利 |
