目前,很多政府正在重新思考有關跨境資料流的政策。根據麥肯錫顧問公司(McKinsey)的分析,儘管2005到2014年間跨境資料流成長了45倍,但2014年迄今發生的種種事件,已使得不設限的資料全球化不再是主流觀點。
部分政策制定者擔心的是個人隱私權、與資料所有權相關的消費者權利、國內執法和網路安全。另外一些人的動機則是想要掌控或審查網路媒體。還有一些人則希望為全球化企業創造市場障礙,也就是數位保護主義的一種形式。
我們認為,過多的法規儘管實際上會造成資料孤島,讓受困在這些島上的公民和消費者,無法享受與全球數位經濟更緊密連結的許多好處。這類好處包括:取得數位商品和服務,成為全球供應鏈的一部分,加速和分享創新成果,以及協助人們在全球範圍內取得資訊、娛樂和網路連結。
資料正在去全球化
美國支持資料流動不設限,但許多政府已開始質疑這種做法的優點。一些國家限制大多數類型資料的轉移,如中國和俄羅斯。例如,中國自去年起生效的《網絡安全法》要求個人資訊和其他重要資料應儲存在中國境內。
雖然中國的做法充滿爭議,即使在中國境內也有爭議,但其他國家的政府也對跨境資料流施加不同類型的障礙。其中最明顯的,就是歐盟的《一般資料保護法規》(General Data Protection Regulation, GDPR)。這項法規於2018年5月25日生效,目標是要加強歐盟居民保護個人資訊的能力,GDPR僅允許將資料傳輸到被認為有提供充分資料保護的國家。在某些條件下允許例外,像是在具約束力和可執行的公司法規環境下。
在印度,數位支付的數量每年成長超過30%,印度中央銀行已經要求,數位支付業者必須確保所有支付資料僅儲存在位於印度的伺服器裡。此外,印度政府的一個工作小組受到GPDR的啟發,最近提交了更廣泛的《個人資料保護法》(Personal Data Protection Bill)草案。這項草案雖然提議將大多數類型的個人資料副本保存在位於印度的伺服器,但要由政府來決定,哪些資料完全不允許流出印度。這項草案引發很多爭論,其中部分擔憂來自全球科技巨擘,以及印度的資訊科技協會Nasscom。
政策制定者應考慮什麼
政策制定者應該尋求更細緻的解決方案,而不是資料孤島或不設限的資料全球化這兩種極端。這些解決方案處於企業技術開發和政府制定政策的交叉點。
第一,政策制定者必須採用以風險為基礎的方法。極度敏感的資料流動可能需要嚴格管控。這類資料涵蓋大多數類型的個人資料,包括性別、性取向、健康紀錄、政治傾向等,其中特定的資料位元可以連接到個人識別資訊。跨境分享這類資料的風險,遠超過它可能帶來的任何好處。在另一種極端的情況下,某些類型的私人或公共資料的跨境流動,最好能維持不受約束,例如某家全球石油生產商的油井生產量,或者匿名的總體統計資料。跨境分享這類資料所帶來的好處,遠超過它可能帶來的任何風險。
第二,「聯合」生態系統模式也許適用於高度敏感、但分享的益處極大的資料。全球基因體學和健康聯盟(Global Alliance for Genomics and Health)領導的信標專案(Beacon Project),顯示了聯合模式如何運作:資料集仍在國家疆域內受到保護,但一些組織可以透過「信標網路」進行個別或總體查詢,查詢內容取決於組織獲得的存取權限。世界經濟論壇(World Economic Forum)目前主導的「打破健康資料障礙」專案(Breaking Barriers for Health Data),打算為醫療資料的轉移和處理,設置聯合式資料庫查詢。
第三,在某些情況下,多國籍公司也許可以獲准用安全的方式彙集全球數據資料,條件是與該國居民有關的資料鏡像必須儲存在該國境內(編按:資料鏡像是指即時儲存資料副本)。印度財政部已向該國中央銀行提議採取這種做法,它主張,鏡像做法不同於嚴格的資料在地化,可以更好地實現兩個目標,一是讓中央銀行能夠取用支付資料,同時讓印度人能夠因為與全球金融科技產業整合而受益。
第四,讓絕大部分不受約束的資料流,成為區域貿易協定的一部分。 「跨太平洋夥伴全面進步協定」(CPTPP),對於跨境資料流有明文規範;CPTPP是原本的「跨太平洋夥伴協定」(TPP)減去美國。正在進行的北美自由貿易協定(NAFTA)談判,也納入有關數據資料自由流動的規定。歐盟也正在制定新的條款,未來所有的貿易協定都將納入這些條款,目標是在資料保護權和自由數位貿易之間取得平衡。
第五,在數位貿易協定不存在,且在可預見的未來不太可能出現的情況下,制定非約束性規範和原則,然後由各國政府來實施。全球會計準則已經透過這樣的流程來演變。 「國際財務報導準則」(IFRS)是透過以原則為基礎的方法來制定的,已有一百多個國家遵循。相反地,美國遵循的「一般公認會計原則」(GAPP)是透過以規則為基礎的方法所制定的。這兩套標準緩慢但穩定地逐步匯流。類似的由下而上做法,可以在跨境資料流的治理當中發揮一定作用。
由美國在內的27個國家組成的「亞太經濟合作會議」(APEC)展示了由下而上做法的潛力。 APEC最近制定了「跨境隱私保護規則體系」(Cross-Border Privacy Rules),這是一個以原則為基礎的架構,目標是確保更完善的隱私保護,以及比沒有架構時更大的資料流。
最後,隨著區塊鏈技術更加普及,它可以支援某些類型的跨境資料流。區塊鏈可確保安全、防篡改,並能追蹤每一筆交易。企業正迅速採用區塊鏈技術,來儲存和分享全球供應鏈數據資料。例如,一些人已經開始為世界上每顆獲認證的鑽石,開發以區塊鏈為基礎的註冊,因而能完整追蹤這顆鑽石自礦坑挖出來,到消費者手中的整個移動過程。區塊鏈仰賴不可變更且永久存在的分散式分類帳系統,因此在開發這類解決方案時,保護個人資料的法規將變得至關重要。
隨著每家企業成為資料企業,全球化的未來將愈來愈仰賴跨境資料流,而非貨物流。數位全球化具有很大的好處,而且好處不斷增加,因此人們樂見這種發展。然而,對個人隱私和國家安全風險的合理擔憂,不容忽視。相較於全有或全無的處理方法,更細緻的解決方案可能才是最佳的做法。
閱讀更多 思想道 的文章
