互联网行业:全球数据跨境流动政策比较研究
本报告将全球数据跨境流动政策的基本范式划分为三类:框架内便利型(Framework-based FacilitationApproach),审慎弹性型(PrudentandFlexibleApproach)与约束限制型(RestrictiveApproach)。框架内便利型采用“原则+问责”机制,依托企业负责制和事后问责简化流程。审慎弹性型推行“评估+工具”模式,通过充分性评估匹配合规工具,平衡数据流动与隐私保护。
约束限制型实施“审批+限流”策略,以严格事前审批及区域禁令强化全流程管控。
全球数据跨境流动政策仍以审慎弹性型为主
本报告认为全球数据跨境流动政策以审慎弹性
型政策为主流,在所有数据跨境政策中占比约为59.28%,框架内便利型占比约为26.29%,约束限制型政策占比最低,约为14.43%。审慎弹性型政策的发布数量在2018年达到峰值,主要受欧盟《通用数据保护条例》(GDPR)出台的影响。
部分国家出台的政策在范式上陆续收紧
2018年以后,约束限制型政策逐渐增多,美国、俄罗斯、巴西等经济体普遍强化安全导向的监管措施。例如,俄罗斯2020年发布的《关于批准确保对个人数据主体权利进行充分保护的外国名单》与美国2024年发布的《“应对外国对手获取美国公民敏感个人数据”的最终规则》都属于约束限制性政策。
全球数据跨境流动政策机制及工具包日益丰富
全球数据跨境流动政策机制及工具的使用特
征显示:数据主体知情权覆盖71.79%的政策,发展与安全兼顾的主流政策机制及工具为充分性评估(45.64%)、企业合同条款(38.46%)和标准合同条款(30.26%),多个政策允许三者组合使用。事后问责制(35.38%)与企业负责制(28.72%)也有较广泛的应用。整体而言,注重促进流动的标准化工具占主导,限制性工具占比较低。2016年后事前审批及地城限制规则的使用虽有所增加,但总体占比均在10%以下。
数据跨境流动三种政策范式应用于相应场景
框架内便利型政策以规则适配性强、合规成本
低及促进创新为优势,但存在监管松散、规则碎片化等不足,适用于高频非重要数据流动场最与区域合作。审慎弹性型政策兼顾数据流动与数据保护,规则兼容性较高,但受限于高合规成本与程序复杂性,适用于重要高价值数据跨境场景,依赖数据产业成熟的国家之间的合作。约束限制型政策侧重国家安全、本土数字产业及隐私保障,但可能抑制数字经济发展、抬高企业成本并削弱国际互信,适用于涉及国家安全的重要数据、本土数字产业培育早期。
数据跨境流动国际合作多以促进发展为目标
国际合作中的数据跨境流动政策呈现以下特征:多边机制倾向于采用框架内便利型与审慎弹性型政策,强调标准合同、分级管理、知情同意等工具组合,并通过非本地化存储推动自由流动;而贸易协定则更突出自由流动原则,弱化流程管控。两类机制均较少采用约束限制型政策范式。