跨國公司的跨境數據治理挑戰與對策建議
對數據要素的掌控和應用是發展數字經濟的關鍵,世界主要國家和經濟體都在積極推進數據治理的規則體系建設。但是,由于國家和地區間發展水平、經濟規模、意識形態等存在差異,全球數據治理規則必然出現碎片化和陣營化趨勢。跨國公司人員、業務、客戶等覆蓋多個司法轄區,可能引發不同類型和數量的數據在國家和地區間流動,這些情況將對跨國公司的跨境數據治理合規帶來挑戰。
一、跨國公司涉及的跨境數據治理場景
跨國公司的相關數據需要在不同區域之間進行轉移流動,由于不同國家和地區的監管要求存在差異,跨境數據流動過程中可能面臨雙重或者多重的管轄與監管,而引起跨國公司開展跨境數據治理的動因可以歸為業務模式、集中經營和合規監管等三類。
(一)業務模式引發的跨境數據流動
跨國公司經常采用跨區域經營的模式,會導致業務流和資金流的跨境流動,并引起數據流的跨境活動。例如,常見的跨境電商、跨境金融等跨境業務模式,以及汽車等全球性制造業領域,都是涉及由全球化引起的研發、銷售、人員等多維度的數據跨境流動問題,數據跨境流動是這類業務模式的基礎。智能設備、工業裝備及數量龐大的物聯網終端都可能存在數據回傳問題,相關設備的跨境使用會引起數據跨境流動。例如,蘋果公司(Apple)的隱私政策提及,“Apple 產品和服務將你與世界連接。為了實現這一目標,你的個人數據可能會被傳輸到世界各地的實體或被其訪問(包括 Apple 附屬公司),用于進行包括本隱私政策中所述的、與你使用我們的產品和服務相關的處理活動”。
(二)集中經營引發的跨境數據流動
為了降低管理運營成本或者輸出統一標準的產品或服務,很多跨國公司會采取集中經營的模式,即總部(全球多中心)負責研發、分析等后臺業務,并在全球各地進行制造、銷售等前端工作,必然要求將其世界各地的員工、客戶及供應商數據進行跨境傳輸并集中化處理、存儲和利用。這類場景往往出現在全球連鎖性質的跨國公司中。例如,優衣庫在其隱私政策中提及,“為了確保全球業務的一致性、連續性和系統安全性,并為提升本公司品牌對用戶的服務質量,本公司可能會將用戶提供的個人信息提供給本公司的境外的母公司及境外的迅銷集團下屬的其他公司”;星巴克也提及,“為了進行集團全球業務的管理以及保障我們的服務水準,在必要且符合適用法律法規的前提下進行個人信息的跨境傳輸”。
(三)合規監管引發的跨境數據流動
雖然一些公司的業務、人員和客戶等都不涉及數據跨境,但是由于海外上市融資等合規監管可能引發跨境數據流動,一些公司需向境外提供相關數據,這就形成了跨境數據流動。例如,在美國上市的很多中國概念股,應美國證券交易委員會(SEC)等機構的政策要求,需提供審計底稿數據,乃至部分業務數據。此外,還有一類富有爭議的跨境數據流動場景來自跨境執法的信息獲取。例如,美國《澄清境外數據的合法使用法案》(Clarifying LawfulOverseas Use of Data)、《歐洲議會和歐洲理事會關于刑事犯罪電子證據的調取令和保全令的規定的提案》(Proposal for a REGULATION OF THEEUROPEAN PARLIAMENT AND OF THE COUNCILon European Production and Preservation Orders forelectronic evidence in criminal matters)等都提出,基于刑事案件的需要,可以要求公司提供境外數據,從而引起跨境數據流動。再進一步則是由于管轄權沖突引發的跨境數據流爭議。
二、跨國公司開展跨境數據業務面臨的挑戰
隨著世界各國和地區開始關注并對跨境數據流進行規制,跨國公司基于跨境數據流動開展全球性業務開始面臨各類挑戰。
(一)數據治理規則碎片化
雖然世界各國普遍認識到跨境數據流動對經濟貿易的發展具有重要意義,但是各國對跨境數據的治理方式方法存在較大的分歧。例如,美國支持自由流動的跨境數據治理規則,而歐盟支持區域內數據自由流動與區域外高水平保護要求。歐盟和美國之間關于跨境數據流動問題的談判也一直在共識與分歧之間搖擺。歐盟和美國先后在 2000年達成《美歐安全港框架》(U.S.-EU Safe HarborFramework),在 2016 年達成《歐美隱私盾框架》(EU-U.S. Privacy Shield Framework),但是這兩個協議分別于 2015 年和 2020 年被歐洲法院判定失效。直到 2022 年 3 月,歐盟和美國才就新的《跨大西洋數據隱私框架》(Trans-Atlantic Data PrivacyFramework)達成原則性協議。更多發展中國家,例如印度、巴西等,也圍繞跨境數據流動制定了更為嚴格的規定。主要國家和地區通過制定數據治理規則爭奪數字經濟的控制權和發展權,事實上加劇了國家間數據治理規則的碎片化,給跨國公司進行數據合規帶來了挑戰。部分國家間在數據跨境治理規則方面的沖突性規定,讓跨國公司陷入“進退兩難”的境地。
(二)模糊不定的安全例外
安全例外是各國支持跨境數據流動的基本前提,但是,模糊不定的安全例外對跨國公司造成較大影響。事實上,美國提倡的自由流動,中國主張的安全、有序流動,以及日本提出的基于信任流動,都含有安全例外內容。世界貿易組織(WTO)已經啟動的“與貿易有關的電子商務”的規則談判,也涉及安全例外規則;在《跨太平洋伙伴關系全面進步協定》(CPTPP)和《數字經濟伙伴關系協定》(DEPA)等多邊協定中,既有跨境數據流治理的共識規則,也有基于安全的例外規定。但是,不同國家和地區對安全的范圍和邊界的界定存在差異,特別是在數字經濟領域,安全例外以模糊處理的情況較多。例如,歐盟對《通用數據保護條例》(GDPR)僅指出有關國家安全的個人數據處理活動不適用本條例,但是沒有對安全例外進行說明;CPTPP 第29.2 條“安全例外”也有類似模糊的表達,即因基本安全所需的信息提供和措施不在該協議范圍內。
(三)制度設計與實踐背離
一般認為,數據治理涉及安全和發展兩個維度,但是當前全球尚無成熟的模式可供參考。由于隱私泄露、個人信息濫用、數據安全等問題突出,對公民合法權益乃至國家安全造成危害,包括歐盟、中國、巴西、印度等國家和地區均由政府主導制定數據治理規則的頂層設計,作為前述問題當事主體的企業,往往處于被動接受的狀態。在實踐中,數據從生產到流通、利用等各個環節一般是由多參與者協同完成,并導致數據廣泛地存在于終端、網絡、平臺、系統之中且處于多方控制之下,數據治理是一個典型的“多利益相關方模式”治理問題,企業基于數據實踐對規則提出的合理意見應當獲得足夠的重視,否則將在實施過程中面臨困境。這方面典型案例如 GDPR 中的“被遺忘權”“數據可攜權”等,在實踐中遇到了技術操作難題。隨著數據作為一種戰略性資源這一理念逐漸獲得認可,國家之間對數據的競爭態勢日益形成,政府主導數據治理規則的態勢更加明顯,規則與實踐脫節的可能性進一步增加。
(四)全球化與本地化困境
跨國公司本質上是利用全球資源服務全球市場,因此全球化是其基本特征,既包含人員、業務和客戶的全球化,也包含技術系統和數據的全球化。由于美國在數字技術、產品和服務領域實力遠超其他國家,除美國總體上支持數據跨境自由流動外,其他主要國家和地區都有不同程度的數據本地化約束。實際上,美國自身也在例如健康、電信、征信等特殊領域有數據本地化的要求。由此,跨國公司的全球化特征與數據治理的本地化約束之間產生了巨大的鴻溝。此外,與數據本地化約束相伴的長臂管轄規則增加,進一步對跨國公司全球化發展形成了沖擊。例如美國《澄清境外數據的合法使用法案》的規定或將與多個國家和地區的本土數據規則產生沖突。
三、跨國公司應對跨境數據治理挑戰的對策建議
全球經濟形態正在逐漸轉向數字經濟,對數據的利用能力和程度將成為跨國公司的核心競爭力之一,也會成為有利于塑造其在全球市場的競爭優勢。因此,跨國公司必須采取必要措施應對跨境數據治理挑戰,這是數字文明時代跨國公司必須回答的重要命題。
(一)重構跨國公司全球化數據合規體系
在全球尚未達成統一規則或共識的前提下,世界范圍的數據治理規則具有多樣性、變化性、復雜性等特征,不同國家和地區的規則關切重點也存在差異,例如歐盟注重個人對數據的控制、美國注重數據給企業帶來的利益、中國注重安全與發展的統一,對合規體系的彈性空間提出了更高的要求。跨國公司對合規的理解不應局限于“符合法律規則”,在當前的背景下,合規還會涉及國家安全、公共利益、文化傳統乃至風俗習慣等不同維度的要求。特別是在“棱鏡門計劃”和“臉書數據門”等重大事件后,國家安全成為越來越多國家開展數據治理考量的重要因素。跨國公司的全球化數據合規體系需要深度理解和適應不同國家的治理體系,打破傳統合規思維,積極進行升級乃至重構。
(二)加強跨境數據治理的本地化合規投入
跨國公司可根據業務類型及數據收集、使用的范圍等,配置相應的機構和投入相應的資源開展數據合規能力建設,例如在中國設立首席數據合規官一類的職位,更好地提供本地化服務并便于與監管部門溝通。涉及處理大量個人信息和重要數據的跨國公司,可能需要考慮采取本地化存儲和處理方案,對數據的處理和利用也需要透明、可審計,必要時可尋找第三方評估和審計機構的認證。
(三)加強數據治理技術的研發投入和應用
作為治理對象的數據,對技術系統和平臺具有非常強的依賴性,數據治理需要政策研究與技術研發之間進行協同,跨境數據治理也是如此。跨國公司可以通過加大在技術創新上的投入提升數據治理的能力和水平,夯實跨境數據治理的基礎。例如,在跨境數據可能涉及個人信息的場景中,區塊鏈、多方安全計算、數據標識和確權技術等將能發揮重要作用。中國《數據安全法》明確提出,“國家支持數據開發利用和數據安全技術研究”。政府應該鼓勵通過技術創新來達到數據治理的相關目標,并滿足國家、企業、個人的訴求和關切。
(四)加強與主管部門溝通交流與實踐分享
跨國公司在數據跨境方面的需求最強烈、場景最復雜,對治理規則的合理性、可行性等具有較大的發言權,應主動加強與主管部門的深入交流,并積極在各場合分享跨境數據治理優秀行業實踐。數據治理規則的最終目的是促進健康發展,為保證法律政策的科學有效性,主管部門制定政策時應考慮能夠支持企業更好地參與全球數字產業鏈構建,重視企業特別是跨國公司所帶來的生產力創新和價值創造。政府需要以更開放的態度將跨國公司納入決策過程,使規則能夠更加普遍、平衡反應各方訴求,增強規則的被接受度和可操作性。企業也可在深入交流過程中加強對有關要求和概念的理解,例如“重要數據”的定義及其目錄,以及“關鍵信息基礎設施”的范圍等。
