前段時間,美國哥倫比亞特區聯邦地區法院裁決,暫緩實施關於將TikTok從美國移動應用商店下架的行政令,TikTok算是贏得了暫時喘息的機會。
TikTok事件普遍被視為美國保守勢力試圖打擊中國的最新動作,是兩國關係進一步惡化的具體表現。然而放在全球普遍加強數據和隱私保護的大背景下,這一事件反映了全球「數據本地主義」傾向的加劇,而不僅僅是美中關係的一個孤立事件。
緣起
「數據本地化」尚未有嚴謹的學術定義,但在實務界通常是指國家出於各種目的而採取的旨在對數據施加控制的措施,這些措施使數據的流動逐漸退縮至本國內部。
歐洲大陸法的國家有很強的隱私保護意識。網際網路的普及和數字經濟的勃興以及此起彼伏的大規模用戶數據洩露事件加劇了民眾對涉及隱私的個人數據安全的擔憂。有調查顯示,歐洲人,尤其是德國人,比美國人更擔心私營企業對個人數據的使用。歐盟憲章將個人隱私確立為應予以捍衛的基本權利。早在2010年,德國監管機構就曾要求谷歌在其街景服務畫面中將那些拒絕出鏡的居民的房屋進行模糊處理。
2014年爆發的「稜鏡門」事件,給歐盟成員敲響了警鐘,保護歐洲的數據免遭外國的窺探和竊取被提上了緊急議程。2016年4月16日,號稱史上最嚴的數據和隱私保護法律——歐盟《通用數據保護條例》——正式頒布,自2018年5月25日起實施。GDPR實施以來,以其繁瑣複雜的合規要求和幅度驚人的違規處罰,在經濟和社會層面都造成了極大的震動,並給其他國家樹立了榜樣。
根據聯合國貿易發展組織截至2020年4月2日的統計,全球194個國家中,共有132個國家制定了數據和隱私保護的法律,佔國家總數的66%。據國際隱私專業協會最新發布的《2020全球隱私保護立法預測》,2020年註定將成為2018年以來又一個數據和隱私保護立法的高潮年。
2020年1月1日,美國加利福尼亞州《消費者隱私法》開始實施,預計將掀起美國其他各州乃至聯邦的相關立法潮。2020年8月15日,巴西版《一般數據保護法》生效。原定於2020年5月27日起實施(現已延期至2021年5月31日)泰國的《個人數據保護法》深度參考了GDPR的條款。
中國於2017年6月開始實施《網絡安全法》,對網際網路上的數據安全予以管控。作為《網絡安全法》的配套法律,中國《密碼法》自2020年1月1日起實施。2020年5月28日頒布、2021年1月1日起實施的中國《民法典》首次將隱私和個人信息作為公民的人格權的一部分進行保護,並在《網絡安全法》的基礎上提升了保護的範圍和力度。
印度的《個人數據保護法案》已進入立法表決前的最後審議階段,預計在今年通過議會批准。韓國正在調整其現有的隱私保護法律,以期與GDPR相一致;關於《個人信息保護法》的最新修正案也正在等待韓國國會的批准。
(全球數據和隱私保護立法統計,來源:UNCTAD官網)
政府採取數據保護政策,其目的主要分為五類:
獲得數據,即確保執法、情報、安保等機構可通過法律或技術上的途徑獲取開展公務所需的數據;
保護隱私,即保護公民的個人數據免遭侵害,包括來自外國政府和企業的監控;
防止外國侵入,即阻止其他國家為了不良目的而獲取本國公民的數據;
內容管制,即確保國家機關能夠對數字內容進行管控,以符合當地的規範;
促進經濟,即促進和保護當地科技產業。
無論出於何種目的,各國政府對數據的保護均以數據的產生和採集行為發生地作為管轄的基礎,其直接後果將導致數據在國家間的自由流動受到阻礙甚至切斷。這種結果與網際網路經濟所倡導和依賴的信息全球一體化背道而馳。數據重新被領土邊界所分割和圈禁,成為與房地產一樣的不可移動的本地資源,造成「數據本地化」
全面且嚴格的監管標準
GDPR以及目前其他主流的數據和隱私保護法律通常從七個方面作了規定:同意、反對、訪問、清除修改、安全和洩露通知。這類立法從數據所有者的角度出發,在為所有者個人創設與隱私數據相關的寬泛權利的同時,在數據的採集、存儲、處理、使用、傳輸、記錄、流程控制、人員配置、補救措施等方面給數據控制者施加了繁重的義務,並輔之以嚴厲的處罰機制。
由於網際網路運營的跨地域性,各國的數據保護立法通常又具有一定的域外效力。例如,GDPR適用於所有與歐盟公民存在互動或業務往來的商業主體,無論該主體是否位於歐盟境內。這意味著該法的效力已超出了歐盟區,對全球範圍內的企業都可能具有管轄權。
在執法層面,很多國家的監管機關還傾向於將數據保護與其他政策目標結合運用,擴大了數據保護法律的應用範圍並增強了執法手段。2016年3月,德國聯邦卡特爾局對Facebook啟動反壟斷調查,指控Facebook在用戶數據的採集和使用方面涉嫌濫用其在社交媒體市場上的支配地位。
2019年2月7日,FCO公布了其對Facebook的調查決定,認定Facebook在用戶數據的收集、整合和使用等方面存在濫用市場支配地位的行為,即在未徵得有效同意的前提下,將其自有平臺及其他第三方網站和軟體收集的用戶個人信息整合至Facebook帳號。FCO據此要求Facebook修改用戶數據收集和處理的服務條款,不得未經同意將用戶在第三方平臺的數據整合至Facebook帳號。
2020年6月29日,印度政府宣布禁止在國內使用包括TikTok、微信、微博在內的59個由中資公司運營的app,理由是這些軟體涉嫌以未經授權的方式竊取用戶數據並將這些數據秘密傳送至位於印度境外的伺服器,有害於印度的主權和領土完整、防務、國家安全和公共秩序;9月2日,印度政府以同樣的理由宣布禁用另外118款中國app。媒體普遍認為,上述舉措實際上是對近期中印邊境衝突的回應。
沉重的合規成本
數據和隱私保護法律給市場運營主體造成了沉重的成本。這些成本大致可以分為兩部分:守法成本和違法成本。
在守法成本方面,以GDPR為例,涉及的成本主要產生於以下幾個方面:
設置本地數據存儲中心;
聘用數據保護官;
記錄數據處理活動;
合規缺陷評測;
制定規則制度;
優化流程;
培訓員工;
監督持續合規;
諮詢外部合規專家。
根據福布斯雜誌在2018年GDPR實施前所作的調研,美國財富500企業預計合計將為GDPR合規支出78億美元,而英國富時350企業預計合計將支出11億美元。
作為確保數據安全的物理措施,很多國家要求數據控制者在本國設置數據存儲中心。例如,越南要求Facebook、谷歌等提供網際網路服務的企業必須在本國設置數據中心;俄羅斯要求與俄國公民相關的社交媒體信息必循保存在本國。數據存儲本地化的要求推動了相關行業的投資。
仍以俄羅斯為例,市場研究機構iKS-Consulting公司的調查數據顯示,俄羅斯國內的數據存儲中心服務市場價值自2016年開始每年保持超過20%的增長,其中2018年達到285億盧布,2019年將超過360億盧布。
2017年7月12日,在中國《網絡安全法》實施一個多月後,蘋果與中國貴州省政府籤訂戰略合作框架協議,將投資10億美元在貴州建立蘋果在中國的第一個數據中心,用於存儲中國用戶的iCloud數據。
GDPR創造了對於專業數據保護人員尤其是DPO的需求。IAPP預測,隨著GDPR的實施,歐洲將出現超過二萬八千名的DPO缺口,而在美國,這一數字更高達七萬五千人。根據路透社於2018年2月發布的調研結果,僅英國一地,在網上就職平臺上發布的DPO招聘崗位數在2016年4月至2017年12月期間增長了超過七倍。
根據IAPP發布的2019隱私專業人員薪酬調查報告,被調查的歐盟和英國企業中,35%已經聘請了專門的DPO。報告還顯示,全球範圍內隱私專業人員的薪酬中位數自2017年以來增長了超過8000美元,達到2019年的123,050美元。其中,首席隱私官的薪酬中位數為20萬美元,而美國CPO的薪酬中位數更高達21.2萬美元。
GDPR的收益者還包括一些專業服務中介機構。據英國安永會計師事務所估計,部分英國企業將GDPR合規預算的40%用於購買法律諮詢意見。而美國企業的律師費用將更高。服務於五分之一的富時100指數企業的英國頂尖律所Slaughter and May已將GDPR諮詢列為重點特色服務之一。
網絡安全支出的增長也在另一個側面反映了企業在數據保護方面的支出變化。根據諮詢機構Cybersecurity Ventures的預計,全球在網絡安全產品和服務上的支出在2017至2021年期間將累計超過一萬億美元。其中,信息安全產品和服務方面的支出在2018年達到1140億美元,2019年預計達到1240億美元,2022年將達到1704億美元。
時間投入也是個不可忽略的成本。根據隱私保護合規諮詢機構DataGrail於2019年4月對超過300家企業進行的調查,單就為遵守GDPR而召開準備會議這一項,企業就平均花費了2000到4000個小時。其中,49%與企業實施GDPR相關的決策者個人花費了80個小時,34%的決策者投入的時間更超過了160個小時。建立了滿足GDPR要求的系統和制度後,為了維護和執行這些系統和制度而持續投入的時間更是難以估量。
違法導致的罰款可能是GDPR給企業造成的最大的潛在成本。根據GDPR,對違法企業處以的罰款可高達2000萬歐元或該企業全球營業額的4%,以較高者為準。歐洲數據保護委員會的統計數據顯示,在GDPR實施的第一年裡,成員國共報告28100多例GDPR違規案件,罰款總額達55,955,871歐元。
另根據GDPR執法追蹤網站enforcementtracker.com的統計,截至2020年9月,歐盟成員國共開出362張與GDPR相關的罰單,總罰款金額高達491,003,290歐元,平均每單處罰1,356,363歐元,其中「對數據進行處理的法律依據不足」「缺乏足以保障數據安全的技術和組織措施」「違反數據處理的一般原則」等三種違法情形位居罰單數量和金額前三甲。
對跨境投資的影響
日益嚴格的數據保護已對跨境投資造成了負面影響。德勤會計師事務所發布的《2020併購趨勢報告》指出,在歐盟GDPR和美國加州CCPA相繼實施或生效的背景下,70%的受訪企業代表認為對併購標的的數字資產的保護是個值得關注的問題;數據安全的合規要求對企業併購的盡職調查和併購整合而言都構成潛在的風險。
美國伊利諾伊技術學院Jian Jia等人於2019年12月發表的論文《GDPR與風險投資的本地化》調查了GDPR實施一年以來歐盟外部和歐盟內部的風險投資變動情況。調查顯示,歐盟外部對歐盟的風險投資、歐盟內部成員之間的風險投資、同一歐盟國家內部的風險投資的平均單筆交易美元金額分別下降41.89%、35.77%和28.02%,交易數量分別減少26.29%、20.71%和13.67%。
中國貿促會研究院於2020年4月22日發布的《歐盟營商環境報告2019/2020》顯示,選擇歐盟作為首要投資目的地的受訪企業比例僅為24%,相比上一年度的78.63%,下降幅度高達54.63個百分點。
GDPR是阻礙中國企業投資歐盟的主要因素之一。超過96%的受訪企業表示GDPR增加了企業的運營成本,有65.2%認為GDPR的規定不清晰,難以操作。被調查企業認為GDPR幹擾了企業的正常運營活動。65.8%的被調查企業認為GDPR限制了歐盟公司同總公司之間聯繫,60.7%認為GDPR損害了全球公司之間的數據共享和共同研發等業務,29%認為GDPR限制了企業在歐盟投資行業範圍。17.4%的被調查企業認為,GDPR將導致企業減少或放棄對歐盟新增投資。
這種影響也得到安永會計師事務所《2019年全年中國海外投資概覽》的印證。根據安永的統計,2019年中企在歐洲併購金額僅為205.3億美元,同比大幅下降57.1%,且中企海外併購十大目標國家中只有英國一個歐盟成員國,而此前一年歐盟成員國佔據中企海外併購前十大目的地中的六席。
不完全適應WTO規則
數據保護的合規要求對外國企業的影響往往大於對本國企業的影響,由此引發數據保護規則是否符合國際貿易規則的爭議。例如,有學者指出,要求所有數據都保存在運營所在國境內的法律,可能違反《服務貿易協定》第16條關於市場準入承諾的規定和第17條關於國民待遇的規定,因為外國服務提供商將被迫在運營所在國增設存儲伺服器,而本地的服務提供商則無需發生這種額外的成本。
對數據跨境交換的限制也可能違反GATS第16條。例如,WTO上訴機構在美國賭博案中就裁定,通過限制數據跨境交換從而禁止遠程提供賭博服務,構成對GATS第16條的違反。作為例外,GATS第14條(c)款(ii)項允許成員國採取必要的措施以保護個人隱私,GATS的《電信附件》第5(d)段允許成員國採取必要的措施以確保信息的安全與保密,但前提是這些措施不應是武斷的、構成不正當的歧視或者是對服務貿易的變相的限制,而且這些措施應不超出必要的限度。
實踐中,證明一項措施符合以上條件從而構成GATS允許的例外情形十分困難,迄今為止僅有一例成功案例。因此,以GATS的例外規定為依據實施可能限制跨境投資或市場準入的數據保護措施存在引起貿易爭端的風險。
GDPR一經實施即遭受包括美國在內的歐盟貿易夥伴的批評。批評者認為GDPR構成不公平的貿易壁壘。為了避免發生由此引起的貿易爭端,歐盟於2019年5月向WTO提出電子商務規則草案,試圖將網絡中立、自由數據流動和消費者基本權利保護等原則納入WTO貿易規則中。另一方面,歐盟在與非歐盟國家進行新的雙邊自貿協定談判時,開始要求另一方接受關於數據傳輸的「充分性決定」機制。
根據該機制,如歐盟企業擬向該非歐盟國家內的接收方傳輸個人數據,該國應先獲得歐盟委員會的「充分性決定」,即認定該國能提供符合歐盟標準的數據保護。例如,在與澳大利亞的談判中,歐盟要求協議各方承認個人數據和隱私的保護是一項基本權利,並提出各方均有權採取其認為適當的措施以確保對個人數據和隱私的保護,包括制定和實施關於個人數據的跨境傳輸的規則。
獲得歐盟充分性決定的國家將有權獲取歐盟市場內5億消費者的個人數據,進而挖掘這些數據背後的龐大商業利益。這些商業利益被歐盟用作誘使其他國家接受歐盟數據保護標準的籌碼。截至目前,只有包括加拿大、以色列、日本、瑞士、紐西蘭、阿根廷等12個國家獲得歐盟的充分性決定。中國未獲得該決定。
中國企業的應對
越來越多國家對數據保護的嚴格監管已經成為中國企業跨國運營的「頭號麻煩」。2018年12月10日,英國《金融時報》披露,摩拜受到德國監管機關關於涉嫌違反GDPR的調查。2018年4月,網傳騰訊旗下的QQ向國際版將於2018年5月20日起停止向歐洲用戶提供服務。騰訊隨後予以澄清,稱新版本上線後將繼續在歐洲提供服務。坊間認為此次版本更新主要目的在於滿足GDPR的合規要求。
2019年2月底,TikTok與美國聯邦貿易委員會達成和解協議,TikTok同意支付570萬美元的罰款,作為對其違反《兒童網絡隱私保護法》收集關於未滿13歲的兒童的個人數據的處罰。2020年6月12日、6月30日、7月3日、9月2日,歐盟、丹麥、英國和法國分別啟動針對TikTok涉嫌違反GDPR的調查。
面對數據保護處罰的威脅,不願或無力承擔合規成本的企業往往選擇退出「高風險」的市場,而選擇堅守的企業則採取積極的應對措施降低違規風險。2018年5月29日,即GDPR實施後四天,騰訊更新了微信國際版的隱私政策,突出了對數據洩露和內容原創者的智慧財產權保護。根據新政策,國際版的聊天記錄將只存儲72小時,此後將被永久刪除。
2018年5月25日,小米旗下智能燈具品牌Yeelight宣布因未能滿足GDPR要求,暫停在歐洲地區的服務;5月31日,Yeelight完成了針對歐洲地區的軟體升級工作,相關服務全部恢復。對於確有必要將個人數據輸出到歐盟以外區域的企業,歐盟關於數據跨境傳輸的標準合同條款機制是一種比較便利的選擇。根據該機制,只要企業將相應的標準合同條款納入與個人用戶的服務協議中並予以遵守,即可將數據傳輸至第三國。
2018年8月27日,微信支付寶更新了歐洲版的隱私政策,聲明將按照歐盟決定第2004/915/EC號制定的標準合同條款將歐盟用戶的數據傳輸至中國。一些企業更進一步,選擇開發原始碼的方式消除監管機構的疑慮。2019年3月5日,華為網絡安全透明中心在比利時布魯塞爾開幕,到訪者可以看到華為存儲在深圳總部的原始碼。該中心向客戶和獨立第三方測試機構開放,依照業界共同的網絡安全標準,對華為產品進行客觀、公正、獨立的安全測試和驗證。
一些在境外運營的中資網際網路企業使用符合GDPR安全標準的第三方雲服務提供商進行用戶數據的存儲和管理,並與其分擔合規責任。根據字節跳動與甲骨文於2020年9月13日達成的關於TikTok美國業務的協議,甲骨文將作為TikTok可信賴的數據安全合規合作夥伴,有權對TikTok美國的原始碼進行安全檢查,從而代表美國政府解決美國國家安全問題。
新冠肺炎疫情讓越來越多的政府意識到數據對於公共衛生、社會治理、經濟發展和國家安全的重要價值,國家對於本國數據的監管料將繼續趨向嚴格和全面,對涉及數據跨境傳輸的經營和投資行為的阻礙也將有增無減。在WTO的上訴機構因新法官「難產」而停擺的情形下,以數據安全為名的貿易壁壘在短期內也難以得到有效挑戰和糾正。中國出海企業是否能夠迎難而上,突破「數據本地化」的藩籬,在各國的數據邊界中摸索出安全的通道,我們期待實踐給出答案。