 |
“数据比黄金更有价值,人工智能比核武器更危险。”
——特斯拉首席执行官埃隆·马斯克
作为数字经济时代的关键资源,数据对经济发展和国家安全具有重要的战略意义。然而,数据安全问题却引发全球性讨论,并导致美国、中国和欧盟形成三种不同的治理模式。这些模式反映了“发展与安全”之间的矛盾,并受到各地国情和优先事项的影响。
美国模式:以国家安全为重点的自由流动
美国作为世界领先的超级大国,拥有谷歌、微软、苹果、亚马逊等科技巨头。1998年以来,美国商务部每年都会发布数字经济报告,重点关注大数据、人工智能、区块链等行业。然而,美国也面临着巨大的数字安全风险,而数据安全是其数字经济面临的最大威胁。为了保持竞争优势,美国强调数据自由流动和公平竞争。
美国奉行“国家安全第一”的治理理念,尤其注重保护个人敏感数据和政府相关数据。例如,2024年2月,时任总统拜登签署第14117号行政命令,“防止敌对国家获取美国公民的大量敏感个人数据和美国政府相关数据”。该命令限制美国公民与包括中国在内的敌对国家关联实体进行数据交易。美国司法部进一步细化这些措施,定义禁止交易的类别,界定敏感数据,并列出豁免程序。美国网络安全和基础设施安全局也出台严格的法规,以防止敌对国家访问美国的敏感数据。
公私伙伴关系是美国数据安全治理的基石,是监管监督与行业创新之间的桥梁。通过美国国家标准与技术研究院网络安全框架等协作框架,联邦政府与私营部门密切合作,制定实用且适应性强的安全标准。网络安全和基础设施安全局的“联合网络防御协作”等倡议,通过促进实时信息共享和对网络威胁的协调响应,进一步加强了这种合作。这些伙伴关系不仅增强了国家的网络韧性,还确保监管措施能够满足数字经济不断变化的需求。通过利用双方的专业知识和资源,公私合作让美国得以维护安全且动态的数据环境,在保护关键基础设施的同时促进创新。
在国内,美国大力倡导数据自由流动,反对数据本地化,体现了其在全球数字经济中保持竞争优势的决心。通过《澄清海外合法使用数据法案》和《加州消费者隐私法案》等立法,联邦政府最大限度地减少了对数据存储和位置的限制,从而确保美国的数据霸权。这些政策营造出良好的监管环境,鼓励数字平台利用大数据进行商业分析,从而推动创新,并促进了Open AI和谷歌等科技巨头的成长。
 |
欧盟模式:监管与数字主权
欧盟在全球数字经济中处于领先地位,但缺乏占主导地位的数字企业,这促使其关注监管框架以增强竞争力。2020年2月,欧盟发布《欧洲数据战略》,旨在加强欧洲“数字主权”,促进欧洲数字市场的可持续增长。与美国不同,欧盟优先考虑个人自主权和人类尊严,将个人赋权与算法控制相结合。
2022年,欧盟成立欧洲数据保护委员会,以协调各成员国的数据安全工作,并倡导政府主导的强有力监控。该委员会负责确保《通用数据保护条例》(GDPR)的统一实施,解决争议,并指导各国数据保护机构之间的合作。欧洲数据保护监察员负责执行数据保护法,规范数据控制者、处理者和主体。GDPR对违规行为施以严厉的处罚,违反GDPR规定的组织可能面临最高2000万欧元或全球年收入4%的罚款,以较高者为准。例如,2021年,亚马逊因不当数据处理行为被罚款7.46亿欧元。此外,GDPR还要求采取纠正措施,例如改进数据保护措施或者停止数据传输。这些处罚旨在确保问责机制的落实,并保护欧盟范围个人的隐私权。
欧盟采用长臂管辖政策管控境内产生的数据,要求外国公司将数据存储在欧盟境内的服务器。这限制了数据向欧盟以外地区的流动,并增加了外国实体的合规成本。域外监管,又称长臂管辖,是指欧盟对欧洲境内产生的数据进行严格管控,要求外国公司将数据存储在欧盟境内的云服务器上,从而限制数据从欧盟向外部流动。即使没有在欧盟开展业务的公司,在处理欧盟公民或者企业的数据时也必须遵守这些规定。这就迫使外国公司将数据存储在欧洲,不让数据跨境自由流动或者传输到外国,并迫使云提供商采取安全措施保护客户数据,避免被外国政府访问,增加了外国公司在欧盟的数据合规成本。
2018年生效的GDPR是全球最严格数据安全框架。它赋予个人访问、更正和删除其数据的权利,同时要求企业解释其自动化决策流程。GDPR还引入“被遗忘权”和数据可迁移性,增强了个人对自己数据的控制。2022年6月,欧盟出台《数字治理法案》(DGA),强调非个人数据的开放性,并促进欧盟单一市场内的数据流通。GDPR和DGA共同构成欧盟数据治理的基石,确保为跨境数据流动提供强有力的保护,并巩固欧洲的数字主权。
 |
中国模式:平衡安全与发展
与上述两种极端模式不同,中国发挥制度优势,探索出一条具有中国特色的数据安全治理模式。中国采取的是双轨制:一方面,建立一系列制度法规,将数据安全放在首位,重点关注跨境数据流动、个人隐私保护和人工智能风险;另一方面,强调市场主体在数字创新中的驱动作用,鼓励平台企业和政府部门开放数据,将发展作为重中之重。特别是:
中国的数据安全监管体制由中国共产党主导,由中央和地方监管单位组成。中央机构(例如国家安全局)对涉及国家利益的事务实施严格管控,地方机构(例如省级网络安全和信息化办公室)负责处理区域性数据安全事件。中央垂直监管单位直接受中央政府监管,具有非属地性、垂直性和相对独立的特点,具有更强的监管执行力。
中国已颁布“三法一规”(即《数据安全法》《网络安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》)。这些法律兼顾数据安全与发展,旨在解决跨境数据流动和个人隐私等问题。《工业和信息化领域数据安全管理办法(试行)》等行业专项措施进一步强化了中国的数据安全体系。此外,各中央职能部门出台了具体的管理措施,以维护数据安全。
海量数据资源是中国数字经济的重要优势。国家统计局将数据驱动型产业纳入新一代电子信息产业,释放了巨大的经济潜力。然而,数据规模也带来风险,需要出台《“数据要素×”三年行动计划(2024-2026年)》等措施,从而加强数据安全,并推动金融、医疗等领域的跨境监管。这涉及为跨境数据安全归档、分类分级、监督检查和安全评估等制定地方标准,例如,目前已经制定出台了《广东省数据要素市场化配置改革行动方案》和《广东省人民政府办公厅关于开展数据要素市场化配置改革相关试点工作的通知》。此外,深圳前海地区制定了数据经纪人试点工作指南及配套制度。
