近日,微软宣布了一项名为“微软云的欧盟数据边界”的新举措,通过这一做法,可使得欧盟客户在2022年前将其所有数据存储在该地区。该计划适用于微软的核心云服务,即Microsoft 365、Dynamics 365和Azure,这将为那些希望满足本地数据存储要求和实现本地化承诺的客户带来更大的安心。
微软作为科技公司巨头推行欧盟数据本地化,会对其他科技公司带来哪些影响,数据本地化会阻碍数据流通吗?
北京市安理律师事务所高级合伙人王新锐接受21世纪经济报道采访时表示,各国数据本地化立法已渐成趋势,但具体做法会有不小的差别。不同产业结构、不同发展阶段的国家,对数据存储、处理规制会有不同的侧重点。
对外经贸大学数字经济与法律创新研究中心执行主任许可认为,在“数据本地化”内卷的态势下,未来很可能发展成区域性联盟,各国形成自己的朋友圈,在圈内打通数据流动。
微软不是数据本地化的第一例。
早在2019年,为解决TikTok在印度数据隐私问题,字节跳动斥1亿美元建数据中心;近期,特斯拉中国承诺数据本地存储,以加强个人信息保护。
“个人隐私保护、国家安全、国内执法、产业保护等是数据跨境流动规制的常见理由。”北京理工大学智能科技法律研究中心研究员王磊告诉21世纪经济报道记者。
王磊表示,随着信息网络技术和全球化深入发展,数据主权成为国家间竞争越来越关键的要素,不同国家对数据流动的政策取向不同,这取决于该国的技术水平、产业发展情况和面临的信息安全威胁。
由于数据流动新秩序尚未建立,在日益活跃的数据流通实践中有了不同形式的“碰撞”。
2020年6月29日,印度政府宣布禁止在国内使用包括TikTok、微信、微博在内的59个由中资公司运营的app,理由是这些软件涉嫌以未经授权的方式窃取用户数据,并将这些数据秘密传送至位于印度境外的服务器,有害于印度的主权和领土完整、防务、国家安全和公共秩序。
同样在去年,7月16日,大西洋东岸,欧盟法院就备受关注的Schrems II案作出判决,认定美欧数据跨境转移机制“隐私盾”(Privacy Shield)无效;欧盟标准合同条款(“SCC”)继续有效。
在许可看来,微软将欧盟数据存储、处理本地化的举措,是对“隐私盾”被废止的回应。“隐私盾”为美欧跨境数据流动提供制度保障,根据隐私盾协议,用于商业目的的个人数据从欧洲传输到美国后,享有与在欧盟境内同样的数据保护标准,这也促进了美欧不受限制的商业数据流动。
许可分析,隐私盾被废除后,由于美国并非欧盟认定的充分性保护国家,只能通过欧盟标准合同条款(“SCC”)来运作数据跨境。但是“SCC”采取的是一事一议原则,因此极大地增加了数据跨境传输的合规成本。
微软此举可视为降低合规成本、减少客户顾虑。
值得注意的是,隐私盾是欧盟法院继2015年认定“美欧安全港框架”无效以来,废止的第二项美欧间个人数据跨境转移机制。许可认为,这一定程度上反映了大国(地区)之间的不信任。与废除“美欧安全港框架”的理由相似,欧盟认为美国国内法对美国公共机关调取、访问数据的限制无法满足欧盟要求。
“数据本地化的首要目的是直接控制数据所承载的安全和价值以实现国家战略,次要目的则是对附着在数据流上的权利进行保护。”王磊说。
“国际大分工的主流下,数据流动是必然的。如果数据本地化要求非常严格,完全无法跨境流动,会严重削弱该国的国际竞争力。所以数据本地化需要分级分类,设置不同的要求。”王新锐认为。
他以医疗数据为例,关系到生物安全的数据,会较为严格的要求本地化,而其他一些类型的数据可允许有条件跨境流动。“数据本地化管理要根据数据数量、类别、信息颗粒度等进行规制。”
那么,数据本地化的要求对产业、企业会带来哪些影响?
对于大型公司来讲,王新锐认为,如果在数据保护水平较高的国家或地区落地数据本地化,难度相对比较小,会有较为成熟的解决方案,本地人才也有储备。但是如果所在国家或地区数据保护水平不足,那么部署数据设施、人员的成本则会成为不容小觑的支出,而且有时会带来更高的数据安全风险。
王磊也认为,为响应数据本地化要求,数据控制者的经营成本可能会增加,比如需要在本地设置数据存储中心、聘用数据保护官、监督持续合规、记录数据处理活动以及培训员工。此外,数据交流的机会减少,影响跨境投资并购等。
此次微软提出,“我们将在微软核心云服务中扩大技术控制,如锁箱和客户管理的客户数据加密。将在核心云服务中建立这些欧盟数据边界解决方案,以加强目前为客户提供的服务。”
除却对企业与产业的影响,许可还提到数据本地化对所在地的影响。“通过数据本地化的要求,迫使公司在数据所在地设立研发基地、雇佣人员,从而增加投资,促进当地经济发展。”
在经济全球化、数据全球化的整体趋势下,以数据的产生、采集行为发生地作为管辖基础的“数据本地化”,是否会割裂数据的自由流动,是数据本地化面临最大的质疑。
王磊认为,数据流动与数据本地化并不矛盾,一方面,欧盟认为数据流动能够避免数据垄断,促进竞争和市场健康发展;另一方面,通过恰到好处的数据本地化制度,可以保护公民隐私权利,减少数据安全风险,同时更好地保护数据资源,护航本土数据产业发展。
他解释,目前对于确有必要将个人数据输出到欧盟以外区域的企业,以SCC为例,根据欧盟关于数据跨境传输的要求,只要企业将相应的标准合同条款纳入与个人用户的服务协议中并予以遵守,即可将数据传输至第三国。
许可则认为,数据本地化必定阻碍数据流通。“数据本地化一定程度上是大国之间的博弈。在一个国家(地区)进行数据跨境流通限制后,其他国家不甘示弱纷纷做出回应,以实现互相掣肘的状态。目前‘数据本地化’也呈现内卷的样貌。”
未来数据本地化会成为一个趋势吗?
王新锐表示,“数据本地化趋势”的表述不够准确,而且对于本地化,不同国家的立法也有不同程度的要求,有一些是不允许在境外存储,但允许境外访问,有一些则连访问也不允许。
不过,规制数据跨境流动的数据本地化相关立法是大势所趋。“从产业发展的角度,肯定是希望数据自由流动,但是从国家安全的角度,则会把重要、高风险的数据本地化作为一种管控数据安全的有效手段,两者要寻求平衡。”王新锐说。此外,数据本地化要基于该地的产业结构等因素。不同国家的竞争力来源不同,面临的国家安全挑战也不一样。他举例称,新加坡作为亚太地区数据处理中心,与不同经济体联结在一起,如果数据本地化要求很高,会严重削弱其竞争优势。
“数据流动是刚需。”许可表示,但是目前在“数据本地化”内卷的态势下,未来很可能发展成区域性联盟,各国形成自己的朋友圈,在圈内打通数据流动。
(作者:王俊 编辑:李博)