數字化、資訊化實作了全球的資料共享,提高了資料處理水準,使得資訊處理更加快速高效,有利于更好地實作資料價值,但同時,資料主權、資料安全、資料跨境流通、個人隐私保護等方面都受到了巨大沖擊。各國為了保障國家安全,同時更好地推進數字化發展,都在努力探索資料流動和資料安全之間的平衡點,以期建立一個法律、制度、經濟和文化相适應的資料治理體系。
從國家政府作為資料治理主體的視角來看,資料治理在各級各類組織“經營合規、風險可控、價值實作”的基礎上,應進一步聚焦維護安全、保護隐私、促進發展等訴求和目标。資料治理的概念和内涵将擴充為:一國政府在資料資源及其應用過程中采取的立場、主張及與之對應的政策、政策、管控活動、績效和風險管理的集合。從資料治理聚焦的問題來看,以國際協定、法律法規、各類标準和行業規範等制度建設為基礎,國内資料治理主要關注保護與利用次元,包括資料權屬劃分、資料流通利用、個人隐私保護等;國際資料治理主要關注安全與發展次元,包括跨境流動規則、域外管轄問題和隐私安全問題等;其共性問題可歸納為資料權屬、資料流動和隐私安全 3個方面,如圖 2-2所示。
圖 2-2資料治理體系架構
為了在這 3個方面進行系統化、标準化的資料管理,各國立足于本國政治、經濟、文化、法制現狀,制定了相應的法律體系,并結合配套的政府管理機制,對國内資料治理進行指導和規範。各國盡管處于不同的文化背景、經濟發展水準,數字化發展的進度和目的也不盡相同,但是對于資料治理都表現出積極的态度,在大數
據被寫入發展戰略之後,各國更是積極推進資料治理在各個領域的發展,規範資料行為,提升資料價值。
随着資訊技術水準的不斷提高,數字經濟全球化程度日益加深,資料跨境流動成為大資料時代的必然趨勢,但同時它也可能會對個人隐私保護、資料權屬、國家安全等造成威脅。不同國家和地區在資料本地化要求程度、重點管制資料類型、監管機制上的差異[12],導緻資料跨境流動權屬難明、認責困難,帶來的沖突層出不窮,這種差異也使得各國選擇不同的資料治理模式對本國資料進行規範和治理。
2.2.1 國家資料治理
從治理主體的次元,資料治理可分為全球資料治理、國家資料治理、政府資料治理和企業資料治理4個層次。目前國際上雖然 ISO、ITSS、DGI、ISACA、IBM DGCouncil和 DAMA等機構對資料治理進行了理論與實踐的研究,但是缺乏權威的國際組織對國家間資料治理、資料主權等問題進行協調和規範,是以,資料主權、資料邊境、資料跨境、域外管轄等方面都是從國家層面進行治理的,國家資料治理在關注國家内部各類機構及個人有關資料的生産、品質、儲備、使用、流通、安全的同時,也關注資料的全球流通和監管。
以美國、歐盟國家和我國為例,三者的資料規模、活性和應用都處于世界較高水準,資料治理開展較早,發展較為成熟,目前也已經形成相對穩定的資料治理模式,但不管三者采取的是哪種資料治理戰略,其核心都是資料流動和資料安全之間的制衡。
2.2.1.1 美國——利益導向模式
大資料時代,各國都認識到資料已經成為國家發展的新引擎,對資料的管理和利用将會給國家帶來巨大利益和國際競争力。作為科技強國,美國國内的臉書(Facebook)、谷歌(Google)、蘋果(Apple)等大型資訊技術企業為其彙集了全球使用者的使用資料和相關資訊。美國擁有豐富的資料資源,在全球資料資訊産業中處于強勢地位。是以,雖然美國的傳統文化比較關注對個人隐私的保護,但是美國更加堅持促進資料的自由流動,堅持以利益為導向的資料治理模式,通過資料立法、國際間簽訂協定等方式,保障美國産業能夠最大限度地擷取全球的資料資源,并完成變現[1,12]。
從 2009年奧巴馬政府簽署《透明和開放政府備忘錄》以來,美國制定了“開放政府國家行動計劃”,不斷推進數字政府發展,其後,陸續釋出了《大資料研究和發展計劃》《支援資料驅動型創新的技術與政策》《聯邦大資料研發戰略計劃》等檔案,将大資料列入國家發展戰略,對内促進政府和關鍵行業的資料開放,鼓勵組織對開放資料進行發掘創新;對外支援資料跨境流動,在國際合作間通過資訊優勢,攫取巨大利益。同時,美國建構了個人隐私資料保護機制,通過立法確定個人隐私資料安全。
(1)資料跨境流動
美國資料跨境流動政策主要由利益驅動。早在 20世紀,美國就已形成對資料跨境流動問題的初步政策。1995年,歐盟釋出了嚴格的《資料保護指令》,美國為了維護本國企業的發展,保障資料利益的擷取,與歐盟簽署《安全港協定》,確定美國企業對歐盟公民個人資料的相關權利。
1997年《全球電子商務架構》明确指出資料跨境自由流動對于全球資訊基礎設施建設的重要性,“各國在公民隐私保護方面迥然不同的政策,有可能會形成非關稅貿易壁壘”。針對此,美國不斷采取政策,與其他國家和地區就資料跨境流動與經濟利益的平衡問題進行對話。
20年來,美國在這些方面取得了不小的進展。首先,雖然美國與歐盟在個人資料保護政策上存在明顯分歧,2015年歐洲法院甚至廢除了雙方執行 15 年之久的《安全港協定》,但兩者之間的政策分歧從未對跨大西洋資料流動産生實質性影響。2016年
《歐美隐私盾協定》的達成為歐美資料跨境流動提供了積極機制,目前Google、Facebook、微軟(Microsoft)等 2500家美國公司的跨境資料傳輸仍依賴于該機制。其次,雙邊、多邊貿易協定成為美國推進資料流動政策的主要管道。2012年的《美韓自由貿易協定》開創性地在電子商務章節中規定了資料跨境流動的規則,時至今日,其仍是很多國際協定的範本;美國通過亞太經濟合作組織(APEC)積極推進《APEC跨境隐私規則體系》建設,該體系強制各加入國家在個人資料跨境流動時放棄堅持資料在國内享有的高保護水準,轉而認同美國較低的保護水準,使得各國的個人資訊便利地向美國聚攏[13]。此外,美國還于 2018年釋出了《澄清域外合法使用資料法案》,即CLOUD法案,該法案規定全球範圍内美國企業的資料都可以由美國政府直接調取,美國企業在全球擴充到多少國家,美國的資料主權就擴充到哪裡,明确了美國政府對其他國家資料的“長臂管轄”原則。至此,美國的資料主權戰略輪廓清晰。
(2)隐私資料保護
資料自由跨境流動雖然能帶來巨大利益,但同時也導緻個人隐私資料面臨着安全風險。為解決大資料發展對隐私保護帶來的問題,美國也在積極推動相關立法與政策變革。從 1974 年起,美國就在不斷通過立法保障公民個人隐私資料在通信、網絡、金融等領域的權利,2012年,美國政府釋出《網絡環境下消費者資料的隐私保護——在全球數字經濟背景下保護隐私和促進創新的政策架構》(簡稱《隐私權報告》)、《消費者隐私權利法案》,這些法案進一步強化了通知與同意的法律規則、資料儲存與處理的安全責任及事後問責制,完善了資料治理在個人隐私資料保護方面的立法體系[2]。
2018年 6月 28日,美國公布《加利福尼亞州消費者隐私保護法案》(CaliforniaConsumerPrivacy Actof 2018,CCPA)。CCPA的主要目的是改變企業在加利福尼亞州進行資料處理的方式,法案生效之後,一系列科技公司将面臨非常嚴格的隐私保護要求,包括披露其收集的關于消費者的個人資訊的類别和具體要素、收集資訊的來源、收集或出售資訊的業務目的以及與之共享資訊的第三方的類别等[14]。CCPA法案受到了歐盟 GDPR的影響,是美國加強個人隐私資料安全管控的風向标,在規範設計上比較集中地反映了美國政府在個人資料、個人隐私治理領域的基本價值追求,從制度的角度,為企業使用個人資料、消費者保證個人隐私提供了有效保障。同時,法案還可作為義務設定、合理的權利實作保障、經濟的權利實作管道以及嚴密的責任追究機制來確定資料控制權力的實作,進而保證消費者的資料通路權,要求企業必須公平、公正地向消費者免費披露和提供消費者要求的個人資訊以及其他類别資訊的副本。
除了 CCPA,美國還釋出了其他與隐私資料保護相關的法案。從20世紀 70年代開始,美國就開始制定相關法律、法案來建構保護隐私資料的法律體系,主要法案及其内容見表2-2。
表 2-2美國隐私資料保護相關法案
| 時間 | 名稱 | 主要内容 |
| 1974年 | 隐私法案 | 規範政府如何收集、處理個人資料等行為 |
| 1986年 | 電子通信隐私法 | 是目前關于保護網絡個人資料最全面的一部立法 |
| 1998年 | 兒童線上隐私保護法 | 詳細規定了網站經營者必須披露其隐私保護政策,尋求兒童監護人的同意,還規定了經營者違反兒童隐私保護應承擔的責任 |
| 1999年 | 金融服務現代化法案 | 規定了金融機構處理個人私密資訊的方式 |
(續表)
| 2014年 | 國家網絡安全保護法 | 強化了國土安全部的國家網絡安全和通信內建中心在聯邦部門和私營部門共享網絡安全資訊方面的重要作用 |
| 2015年 | 消費者隐私權法案 (2015 年) | 資料持有商必須要在透明度報告中提供更多關于其使用者資料收集的資訊 |
| 2018年 | 加利福尼亞州消費者隐私保護法案(CCPA) | 企業必須保障消費者的資料通路權、資料删除權等個人隐私資料相關權利 |
![線上教育巨頭多鄰國Duolingo入華一周年,中國市場馬力全開[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)