本文来源:《中国金融》杂志,作者:中国证监会科技监管局局长 姚前,原题《姚前:数据跨境活动的准则建造与技能支撑》
随着互联网经济的展开以及新冠肺炎疫情后经济数字化进程的加快,数据日益成为关键生产要素。习近平总书记曾在不同场合屡次着重数据的重要性:“在互联网经济时代,数据是新的生产要素,是根底性资源和战略性资源,也是重要生产力。”数据已和其他生产要素一同融入经济价值发明进程之中,对社会展开具有广泛影响。
数据跨境活动的价值与含义
从全球范围看,数据活动对全球经济增长的奉献现已超过传统的世界贸易和投资。各国高度关心数据跨境活动。美国凭仗其工业世界竞争优势和强壮灵敏的保障能力,以长臂统辖争夺他国“治外法权”。欧盟对数据出境进行严厉约束,其主要原因是忧虑接纳国家或企业下降个人数据维护规范,因而采纳了以充沛性确定机制为主的世界准则协同结构,旨在优先维护个人信息安全。新兴经济体的数据战略则以防卫型为主,更多地着重数据本地化存储,目的“划疆而治”。
虽然数据本地化可以更好地维护本国数据,也有助于司法取证,保障政府执法权,但从长远看,在维护个人隐私和企业商业秘要、维护国家安全的根底上,答应数据依法、合规、有序跨境活动应是未来方针主方向。首要,数据跨境活动是经济全球化的必定要求。习近平总书记指出:“网络信息是跨国界活动的,信息流引领技能流、资金流、人才流。”如果数据不能自在跨境活动,跨国公司、跨境电商、全球供应链、全球服务外包等商业活动将难以有用展开。其次,数据跨境活动是新式信息技能立异的必定要求。大数据、人工智能(AI)、物联网(IoT)、区块链、云核算等技能,被称为第四次工业革命的标志性技能。它们以数据为核心,以算法为引擎,以算力为支撑,以分布式为特征,跨过时空,打破地舆区域约束。若过于着重数据本地化,不答应数据自在活动,将不利于数字经济的立异与展开。最终,数据跨境活动是构建人类命运一起体的必定要求。新冠肺炎疫情的爆发再次表明,人类社会患难与共。各国应在溯源、药物、疫苗、检测等方面加强合作,共享科研数据和信息,一起研究提出应对策略。
但另一方面,答应数据跨境活动不代表答应数据无序活动,应高度重视数据跨境活动中或许的危险。首要,要重视数据隐私危险。个人数据被恶意运用和生意,将对个人隐私、工业乃至人身安全造成严重要挟。其次,要重视数据安全危险。若数据被走漏、监听和盗取,不只数据主体权利无法得到维护,而且企业商业秘要、知识产权等也会被侵略,乃至整个国家的数字工业竞争力也将受到要挟。最终,要重视国家根底数据安全危险。石油、天然气管道、水、电力、交通、金融、军事、生物、健康、财税等范畴的灵敏数据触及国家安全,一旦走漏或被盗取,将带来严重的不行控危险。
综上所述,咱们应在数据跨境活动与危险防控之间寻找最佳平衡,为此,需求统筹考虑数据跨境活动的准则建造和相关技能支撑。
数据跨境活动的准则建造
一般来说,当一国的公共部分或私家部分想要传输数据给接纳国的公共部分或私家部分,即使是数据主体方与接纳方之间现已达成规制性协议,在大多数情况下也需求分别向本国与对方国的主管部分提交申请,在取得同意之后方可执行数据跨境活动。
现在,我国有关数据出境的法规规范尚在构建进程中。2017年6月1日正式施行的《网络安全法》初次规矩了数据出境的安全评价准则。以此为上位法根底,国家网信办于2017年4月11日制定并发布了《个人信息和重要数据出境安全评价方法(征求意见稿)》,构建了个人信息和重要数据出境安全评价的基本结构,规矩了自行评价和监管机构评价两种评价方法以及安全评价的内容。2017年5月27日,全国信息安全规范化技能委员会对外发布了《信息安全技能-数据出境安全评价攻略(草案)》(即第一稿),对数据出境安全评价流程、评价关键、评价方法、重要数据辨认攻略等内容进行了具体规矩。在进一步细化流程的根底上,该委员会于2017年8月25日发布了《信息安全技能-数据出境安全评价攻略(征求意见稿)》(即第二稿),为个人信息和重要数据出境评价供给了规范性辅导。2020年7月3日,《中华人民共和国数据安全法(草案)》揭露征求意见,其中第九条“国家树立健全数据安全协同治理系统,推进有关部分、职业安排、企业、个人等一起参加数据安全维护作业,构成全社会一起维护数据安全和促进展开的良好环境”,第十条“国家活跃展开数据范畴世界交流与合作,参加数据安全相关世界规矩和规范的制定,促进数据跨境安全、自在活动”,表现了以安全为根底,为数字经济展开、工业勃兴供给坚实保障的活跃思路。
数据跨境活动的准则建造需求特别着重国与国之间的对等准则。所谓的对等,其中主要包含两层涵义。
一是数据维护规范要对等。数据从维护规范较高的国家向规范较低的国家活动,必定会带来数据隐私走漏和安全危险。水往低处流,而数据只能往维护程度高的地方活动。许多国家针对不同数据维护规范施行了保证数据跨境活动安全的各种办法:树立白名单准则,如欧盟;签署多边合作结构,如经合安排(OECD)的隐私结构、欧洲委员会的108号条约准则、亚太经合安排(APEC)的跨境隐私规矩系统(CBPR);签署双边协议,如欧盟和美国之间的“隐私盾协议”;进行充沛性确定,如日本针对欧盟的《通用数据维护条例》(GDPR),制定弥补规矩,得到欧盟的数据维护充沛性确定,完结了日欧之间双向互认。
二是数据跨境执法权利要对等。执法权利对等是战略互信的根底,而美国的长臂统辖则是执法不对等的反面典型。2018年美国公布的《明确境外数据合法运用的法案》(Clarifying Lawful Overseas Use of Data Act,因为每个单词首字母组合为CLOUD,故被简称为“云法案”)规矩:为维护公共安全和冲击包含恐怖主义在内的严重犯罪,美国政府有权利调取存储于他国境内数据;但其他国家若要调取存储在美国的数据,则有必要经过美国所谓的“适格(qualifying )外国政府”检查,其中包含人权等与数据维护无关的规范。这显然是双重规范。“己所不欲,勿施于人”,在不对等的条件下,相关国家完全可以回绝这类不合理的霸凌要求。
作为数据大国,我国在跨境数据活动治理范畴起步相对较晚,总体思路仍是以对外防护为主,没有参加相关世界性规矩安排。在现在情况下,咱们一方面应优化和完善现有的数据跨境活动安全管理结构及相关法律法规,树立灵敏多样、宽严相济的数据分级监管形式;另一方面应根据上述两个对等准则,主动参加触及数据跨境活动的多边或双边协议商洽,研究将世界社会广泛引用的安全港协议(Safe Harbor Agreement)、公司绑定规矩(Binding Corporate Rule)、规范合同范本(Model Contracts)、APEC跨境隐私规矩系统(CBPR)等世界认证规矩归入我国数据跨境活动安全系统,构建与世界社会接轨的数据跨境活动安全认证服务系统,推进互利互惠、合规有序、高质量的数据跨境活动。
数据跨境活动的技能支撑
除了准则建造,各类信息立异技能也是支撑数据跨境合规有序、高质量活动的有用工具。按照《信息安全技能-数据出境安全评价攻略(征求意见稿)》的要求,重要数据在出境前,应对其采纳脱敏等技能处理办法,并对脱敏处理的效果进行验证,以达到合理程度的不行复原。下面以付出符号化技能、区块链技能、联邦学习等为例,谈谈如何依靠技能手段完结数据隐私维护和数据应用之间的平衡。
一是运用符号化技能。付出符号化技能(Payment Tokenization)是由世界芯片卡规范化安排EMVCo于2014年正式发布的一项技能,原理在于经过付出符号(token)代替银行卡号进行买卖验证,然后避免卡号信息走漏带来的危险。付出符号化是运用一个唯一的数值来替代传统的银行卡主账号的进程,一起保证该值的应用被限定在一个特定的商户、途径或设备。付出符号可以运用在银行卡买卖的各个环节,与现有根据银行卡号的买卖一样,可以在工业中跨行运用,具有通用性。其优势表现在三个方面:灵敏信息无需留存;持卡人卡号与卡片有用期在买卖中不出现,付出符号仅可在限定买卖场景运用,付出更安全;付出符号化不只可防范买卖各环节的持卡人灵敏信息走漏,一起也下降了诈骗买卖的产生概率。前几年中国银联和苹果公司合作,在中国推出移动付出计划“苹果付出”,有人曾忧虑个人账户数据会走漏至国外公司,但实际上中国银联在设计中选用了付出符号化技能,有用规避了灵敏信息走漏的危险。
二是运用区块链技能。付出符号化技能将个人数据的“匿名化”交由可信第三方担任,而区块链技能则发明了用户完全自主可控的数据隐私维护新思路。用户的私钥可以本地生成,经过公钥核算发布有用的账户地址,然后间隔账户地址和账户持有人真实身份的相关。经过操控私钥,用户可以在区块链上自主完结买卖,虽然在区块链网络上可以看到每一笔买卖的细节,但无法对应到现实世界中的具体某个人。区块链技能从根本上打破中心化形式下数据操控者对数据的天然垄断,赋予用户真实的数据隐私维护权。区块链技能还可与先进密码学技能结合,展开出各类隐私维护计划。比方,运用根据环签名、群签名等密码学计划维护签名方身份;选用高效的同态加密计划完结密文的多方处理,躲藏用户买卖金额等灵敏信息;选用零知识证明计划,使买卖数据能被检查和验证,但又不能被真实探知。区块链技能这一自主可控的隐私维护新思路,值得数据跨境活动及其监管各方深入研究。
三是运用各种可完结数据“可用而不行见”的立异技能。比方,谷歌在 2016 年率先提出的联邦学习技能(Federated Learning),就是一种加密的可供数据跨境活动运用的分布式机器学习技能。它归纳应用了多方安全核算、云核算、机器学习等各类技能,答应各参加者在不揭露底层数据的前提下,展开高效率的机器学习。联邦学习既完结了异构环境下跨数据中心的大数据分析,又充沛保障了信息安全和个人数据隐私维护,有望成为下一代人工智能协同算法和协作网络的根底。
结 语
数据跨境活动事关经济开放大局,一起又与数据主权、国家安全、地缘政治博弈严密相关。迄今为止,我国的世界数据战略思维尚在定型中,数据跨境活动方针偏于防卫。放眼未来,推进数据跨境合规有序、高质量流转应成为数据治理方针的主方向。为此,咱们既要加强以对等为基本准则的数据跨境活动准则建造,一起又要注重运用各类先进技能手段,以完结数据跨境活动与危险防控的最佳平衡。这是一项具有杰出战略含义的课题,需求数据跨境活动市场相关主体和监管部分进一步深入研究。
视野开拓
由于垂直分工,现实中的产品市场不只是消费品市场,还包括原材料和中间产品市场。衡量分工程度的一个主要指标是原材料和中间产品交易额在总交易中的比重。在大部分现代经济体中,原材料和中间产品交易额相对于最终产品交易额的3倍左右,这一点对理解货币和实体经济的关系非常重要,凯恩斯主义经济学的总量分析之所以有问题,一个重要的原因是它忽略了中间产品的交易-《经济学原理》
