一、引 言
自2013年9月设立中国(上海)自由贸易试验区(以下简称为“上海自贸试验区”)以来,我国自贸试验区建设已走过逾十年历程。各个自贸试验区不仅在自身经济建设、社会发展等方面取得有目共睹的成绩,更是在促进对外贸易、试点创新制度以及辐射周边区域发展等方面作出重要贡献。
1上海自贸试验区作为自贸试验区制度的先行者,同时也是十年创新经验的最大贡献者,一直承担着全面深化改革和扩大开放的“试验田”和“排头兵”的角色,在规则制定领域肩负形成一批可复制、可推广制度并在全国推行,进而为参与国际经贸规则制定提供重要参考和经验借鉴的重要使命。
22022年12月,中共中央、国务院发布《关于构建数据基础制度 更好发展数据要素作用的意见》(以下简称为“数据二十条”),提出数据作为新型生产要素,是数字化、网络化、智能化的基础,其基础制度建设事关国家发展和安全大局,“深入参与国际高标准数字规则制定,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”,成为“更好发挥数据要素作用”的重要指导思想。
32023年12月,出于顺应全球经济治理新趋势、新格局需要,国务院印发通知推动上海自贸试验区积极发挥先行先试作用,主动对接国际高标准经贸规则,推进高水平制度型开放。
4上海自贸试验区在国内外经贸形势变化背景下承担起自贸试验区提质升级以及探索创新发展路径的重要使命,其中,《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,以下简称为“DEPA”)作为全球首个专门规制数字经济活动的国际协定,是国际高标准数字贸易规则代表;跨境数据流动(Cross-border Data Flows)
5作为数字贸易规则的核心,更是我们应当积极主动探索对接的重要领域。
6
在已有相关研究中,有学者从宏观层面分析了跨境数据流动规则变动背后体现的数字经济发展趋势,
7亦有研究分析国际上跨境数据流动不同规制模式反映的数据竞争激烈态势及背后不同国家间的战略立场。
8具体落脚到规则完善层面,有学者从CPTPP、DEPA等国际经贸协定中数字贸易规则的发展趋势出发探讨我国的因应之策,
9也有研究直接着眼于我国跨境数据流动国内立法的规则、制度反思。
10这些成果为围绕跨境数据流动规则的进一步研究奠定了较好基础,但也为相关研究留下了较大空间:如以上研究多限于跨境数据流动规则背后宏观理念的探讨或是具体法律规则层面的分析,鲜有从制度路径层面出发探讨跨境数据流动规则的最终实践落地,特别是结合我国自贸试验区建设过程中针对相关规则的制度创新和试点经验,相关成果难以为自贸试验区相关规则的完善与实践发展提供有效指引。
事实上,自贸试验区作为我国对外开放和深化改革的重要平台,其“自下而上”探索跨境数据流动创新规则在实践层面的具体制度实施路径是我国完善自身跨境数据流动规制方式,乃至参与全球跨境数据流动治理的重要面向、符合自贸试验区设立的重要使命之一是形成可复制可推广的制度在全国推行及为参与国际规则制定积累经验。因此,在既有研究基础上,本文尝试在梳理上海自贸试验区跨境数据流动治理现状、DEPA相关核心创新规则及二者发展差距基础上,提出上海自贸试验区未来进一步对接DEPA跨境数据流动规则应当着力的制度路径探索方向,以期能为完善我国跨境数据流动治理机制、深度参与全球数字经济治理提供建议。
二、上海自贸试验区对接DEPA跨境数据流动规则之动因
上海自贸试验区积极主动对接DEPA跨境数据流动规则不仅事关自身“试验田”“排头兵”定位所蕴含任务使命的完成落实,而且在于DEPA中蕴含的创新性、包容性、开放性和专业性内容有助于我国数字贸易强国建设。具体而言,对接动因主要有以下三点:其一,对自贸试验区而言,是落实其先行先试、压力测试职能乃至进一步推动自贸区建设提质升级的必要举措;其二,在国家层面,是探索对接国际高标准经贸规则、推进高水平制度型开放的必由之路;其三,在国际层面,也是我国顺应全球数字经济发展趋势、深度参与全球数字经济治理的必然选择。
(一) 是落实自贸试验区职能、推动自贸试验区建设提质升级的必要举措
在世界面临百年未有之大变局的背景下,中国特色自贸试验区建设是中国推进改革开放事业的重大战略部署。以上海自贸试验区为代表的中国自贸试验区不仅是深化改革、扩大开放的互动试验区,更是中央政策先行与地方授权立法相结合的法治试验区。
11自2013年设立起,上海自贸试验区就承担起新兴制度先行先试、示范带动服务全国的艰巨任务。上海自贸试验区也确实不辱使命,积极探索体制机制创新,形成了一批可复制、可推广的改革创新成果,并作为试点经验在全国范围内予以推广。
12如今,伴随着数字技术的发展以及新一轮科技、产业革命的兴起,自贸试验区建设在面临崭新挑战的同时也意味着新的机遇。
13在这一背景形势下,上海自贸试验区积极主动对接DEPA跨境数据流动规则不仅是发挥自身先行先试、压力测试职能的体现,更是积极主动响应自贸试验区提升战略、促进自身建设提质升级的必要举措。
(二) 是对接国际高标准经贸规则,推进高水平制度型开放的必由之路
经过改革开放40年的发展,2018年12月举行的中央经济工作会议指出,我国进入新一轮高水平开放的新阶段,即由传统的商品和要素流动型开放逐步转向规则等制度型开放。
14之后党的二十大报告进一步提出“稳步扩大规则、规制、管理、标准等制度型开放”。
15这就要求我们在经济发展和对外开放过程中要积极主动对标国际通行规则,在规则、规制、管理、标准等方面进行开放和对接。以数据保护、共享制度为代表的跨境数据流动制度是数字贸易规则的核心,而且同RCEP以及CPTPP相关内容相比,DEPA在限制数据流动的例外条款以及数据本地化措施等方面采取了更加严格的限制,力求在更高标准水平上保障跨境数据自由流动。
16为此,上海自贸试验区积极主动对接DEPA跨境数据流动规则,探索构建与高标准经贸规则相衔接的制度体系和监管模式,是我国对接国际高标准经贸规则、推进高水平制度型开放的必由之路。
(三) 是顺应全球数字经济发展趋势、深度参与全球数字经济治理的必然选择
在数字技术快速发展的同时,全球数字经济也在蓬勃发展。据统计,2022年全球51个主要经济体数字经济占GDP的比重达到46.1%,数字经济不仅成为全球经济发展的重要支撑,更是全球经济增长的活力所在。
172022年12月发布的“数据二十条”也明确要求深化开放合作,实现互利共赢,深入参与国际高标准数字规则制定,其中就包含积极参与数据跨境流动国际规则制定。
18为此,研究作为全球数字经济发展底层支撑的跨境数据流动治理规则、路径具有充分的必要性,通过自贸试验区探索发展符合中国利益的数字经济创新规则也是中国参与全球数字经济治理的重要路径之一。
三、上海自贸试验区跨境数据流动治理现状及同DEPA的差距
伴随着国际贸易、跨国交往的日趋频繁,保证数据在跨境流动过程中的安全与高效便成为数字贸易高质量发展的前提。据统计,2022年我国数据产量达8.1ZB,同比增长22.7%,数字经济规模为50.2万亿元,占国内生产总值的比重提升至41.5%,总量居世界第二。
19数据作为一种全新生产要素,在企业发展和经济增长中发挥的作用正逐渐体现。
20上海自贸试验区也承担起我国探索数据治理体制机制的重要任务。但是通过梳理上海自贸试验区在跨境数据流动治理领域的实践发展现状及对比分析DEPA相关核心内容可以发现,上海自贸试验区在探索数据分级分类保护制度、制定相应重点行业领域清单、完善跨境数据操纵指引以及加强数据跨境流动基础设施建设等领域取得了一定成效,但同DEPA在数据便利化传输机制、数据监管沙盒以及政府数据开放等领域的规定相比仍存在需要进一步补充完善的差距。
(一) 上海自贸试验区规制跨境数据流动的实践发展现状
随着数据作用、价值不断得到彰显,我国日益重视通过实现数据要素价值赋能实体经济发展。在跨境数据流动治理领域,我国强调在兼顾安全与发展平衡关系前提下实现跨境数据流动,对其规制呈现出逐步放宽限制、便捷流动的发展趋势。在这一过程中,上海自贸试验区,尤其是临港新片区管理委员会充分运用自身发展、改革、创新的自主权限,在探索跨境数据流动治理具体实践路径上取得了一定成效。
1. 宏观法律政策层面:我国规制跨境数据流动的发展历程
在法律政策层面,我国先后制定实施《网络安全法》《数据安全法》《个人信息保护法》,以求在平衡安全和发展关系前提下规范跨境数据流动行为。随后,国家互联网信息办公室先后公布《数据出境安全评估办法》《关于实施个人信息保护认证的公告》以及《个人信息出境标准合同办法》,构建起我国跨境数据流动治理中三类具有代表性的管理制度。
21此外,国家互联网信息办公室还先后编制出两版关于申报数据出境安全评估以及备案个人信息出境标准合同的指南文件,以帮助进一步指引规范数据处理者相关行为。
222024年3月21日,作为数据分级分类保护制度重要补充的《数据安全技术 数据分类分级规则》国家标准公布,该标准进一步界定“重要数据”“核心数据”等概念,并给出数据分级、分类的具体规则及流程指引,为进一步规范跨境数据流动行为明晰了方向。
23次日,《促进和规范数据跨境流动规定》(以下简称为“跨境数据流动新规”)正式公布施行。
24相较于征求意见稿中规范在前、促进在后的表述,该规定将促进提到规范之前,并补充规定了免予申报数据出境安全评估的具体情形以及鼓励自贸试验区自主制定数据出境“负面清单”,放宽了对于跨境数据流动的限制,减轻了相关企业的合规压力,体现出我国不断释放数据要素价值、便利数据跨境流动的发展趋势。
2. 具体制度路径层面上海自贸试验区治理跨境数据流动的探索尝试
在制度路径层面,上海自贸试验区也在不断探索跨境数据流动治理在实践层面上的具体落地实施。早在设立之初,上海自贸试验区就秉持“法无禁止即可为”法理,充分发挥自身在探索新兴制度上的灵活性优势。
25例如,上海自贸试验区早期在外资管理领域探索实施的“负面清单”模式不仅有效促进了自贸区范围内对外投资事业的发展,而且也在潜移默化中影响着中国行政管理的理念。
26具体到本文关注的跨境数据流动治理领域,早在2019年临港新片区设立伊始,上海自贸试验区就以政府规章的形式对治理跨境数据流动展开了探索。《临港新片区总体方案》和《临港新片区管理办法》分别从建设信息基础设施、开展跨境数据流动安全评估以及数据保护国际合作规则试点等方面探索治理跨境数据流动,促进信息快捷联通。
27随后,上海市在最新落实推进高水平制度型开放的具体实施方案中提出“上海自贸试验区管委会、临港新片区管委会按照数据分类分级保护制度,根据区内实际需求率先制定重要数据目录”“探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性”“通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等,便利数据处理者开展数据出境自评等数据出境安全合规工作”。
282024年2月8日,上海自贸试验区临港新片区管理委员会制定、印发《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,明确遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理。未来我国将围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求,以跨境需求最迫切的典型场景为切入口,对跨境数据进行分类管理,以及将跨境数据分为不同级别,其中核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。
29据报道,目前涉及智能网联汽车、公募基金市场、跨国公司管理、生物医药临床试验等20个场景的跨境流动分级分类清单目录已编制完成,将于近期对外发布。
302024年4月7日,临港新片区数据跨境服务中心正式启用。该中心致力于为数据处理者提供全方位、全流程更为便利化的数据跨境服务,在自贸区一线打造数据跨境流动的“绿色通道”,以及在探索对接国际高标准经贸规则领域作出贡献。
31总体而言,上海自贸试验区在探索数据分级分类保护制度、制定相应重点行业领域清单、完善跨境数据操纵指引以及加强数据跨境流动基础设施建设等领域取得了一定成效。
(二) DEPA中涉及跨境数据流动的核心创新内容
通过梳理分析DEPA中具体规则
32可以发现,其中涉及跨境数据流动的条款主要集中于第4章数据问题以及第9章创新和数字经济,内容主要涉及个人信息保护要求、跨境数据流动的监管例外、数据共享与创新以及开放政府数据等方面。其中,针对规制跨境数据流动设置例外条款,学界已有相当学者讨论分析。
33而且过去在以WTO为代表的国际贸易框架以及以国际投资协定为代表的国际投资框架下有关一般例外以及安全例外条款的讨论比较充分,也能给跨境数据流动的例外条款内容设计有所启示。
34因此,本文重点关注DEPA中数据保护可信任标志、数据监管沙盒机制以及政府数据开放等涉及跨境数据流动治理的核心创新内容。
1. 采用数据保护可信任标志,提高缔约方间保护机制的兼容性和交互操作性
在数据保护领域,DEPA基于各缔约方间保护个人信息规定、制度存在差异的现实,规定缔约方应当共同致力于建立具有兼容性和交互操作性的保护机制,包括但不限于承认对方的监管结果以及适当承认对方实施的可信任标志或认证框架。
35此处,DEPA规定各缔约方应鼓励企业采用数据保护可信任标志(Data Protection Trustmark,简称为DPTM),这样不仅有助于验证实践中最符合个人信息数据保护的标准和最佳做法,不同缔约方间的互认也更便于数据传输机制的运行。例如在新加坡,DPTM是彰显企业在数据保护领域良好做法的自愿性认证。目前新加坡有7家独立评估机构可开展DPTM评估,单次认证有效期为3年,通过认证的企业名单会公布于新加坡信息通信媒体发展局(IMDA)网站。
36通过DPTM认证,DEPA力图在缔约方间建立跨境数据传输的“白名单”制度,减少政府尤其是不同缔约方政府对企业跨境数据传输的行政干预,以提升数据流通效率。
2. 探索数据监管沙盒、数据共享机制,促进数字环境下创新创造
在数据创新领域,DEPA各缔约方认同跨境数据流动以及在此基础上的数据共享有助于推动实现数据驱动创新。在数据监管沙盒(data regulatory sandbox)以及数据共享机制下,各缔约方借助可信数据共享框架和开放许可协议等形式,通过在法律规定范围内共享数据,有助于促进数字环境下企业的创新创造。为此,各缔约方应在数据监管沙盒及数据共享机制建设上保持合作。
37
沙盒(sandbox)最初为计算机系统中的一个概念,意指计算机系统中可以安全地测试新的代码或程序而不会给整个系统造成风险的一种特定环境。随后在这一概念核心语义基础上衍生出了监管沙盒概念,英国金融行为监管局(Financial Conduct Authority,简称为FCA)创建了第一个正式的监管沙盒并将其定义为“企业可以自由测试创新产品、服务和商业模式而无须承担监管风险的‘安全空间’(safe space)”,其认为这一机制不仅有助于降低企业打造创新产品的成本和监管风险,还有助于鼓励更多创新产品进入市场。
38之后,这一概念逐步从金融监管领域延伸至数据治理领域,出现数据监管沙盒概念。在新加坡,数据监管沙盒制度允许企业及其数据合作伙伴通过与新加坡信通局(IMDA)以及新加坡个人信息保护委员会(PDPC)协商,在安全的环境中探索数据的创新使用方式,以规避当前监管政策的不确定性以及在现实中可能给公司或者消费者大众造成的风险。
39DEPA规定的数据监管沙盒以及数据共享机制意在鼓励缔约方数据管理机构在一定安全监管空间内采取审慎包容的开放态度,以先行先试的姿态对跨境数据流动进行适度宽松的监管,以促进数据创新创造。
3. 鼓励使用在线许可的政府数据开放模式,开发数据交换兼容系统
在政府数据开放领域,DEPA各缔约方认为提升公众获取和使用政府信息(包括数据)的便捷程度有助于促进经济和社会发展、增进市场竞争和创新。因此,面向公众的政府数据也应以开放数据的方式提供,并且应当不断拓展政府数据的获取、使用方式。具体而言,一方面应当明确负责政府数据开放的相关政府部门职责,鼓励以政府开放数据为基础,不断开发新的数据产品和服务;另一方面,应当明晰公众获取开放数据的方式流程,丰富政府开放数据的许可模式,例如鼓励政府部门使用在线许可的数据开放模式,公众仅需在线申请相关标准化许可证即可访问政府开放数据。
40
此外,在第2章商业和贸易便利化章节中,DEPA还规定各缔约方应当努力开发系统以支持彼此贸易管理机关间以及企业间相关文件、电子记录交换,并且各缔约方开发的数据交换系统应当彼此兼容以及可以交互操作。
41由此可见,对于政府数据的开放,数据交换系统的开发和兼容也是应当重点关注的问题。
(三) 上海自贸试验区跨境数据流动治理实践现状同DEPA相关规则存在的差距
通过前文对比可以发现,上海自贸试验区虽然在探索数据分级分类保护制度、制定相应重点行业领域清单以及数据跨境流动基础设施建设等领域取得了一定成绩,但同DEPA核心创新内容相比,仍存在需要在具体对接规则时认真思考完善的差距。具体而言,差距主要体现在欠缺开放性数据保护能力认证机制,双多边数据传输便利化机制上覆盖范围有限;事前监管严格,创新制度路径探索不足以及政府数据开放规定实施不足等方面。
1. 欠缺开放性数据保护能力认证机制,双多边数据传输便利化机制覆盖范围有限
其一,上海自贸试验区目前在数据出境安全评估、个人信息保护认证制度中政府主导性强,欠缺开放性数据保护能力认证机制,企业数据保护认证义务较重。由于我国已经建立起以数据出境安全评估作为主体,个人信息出境标准合同、个人信息保护认证作为重要补充的跨境数据流动治理制度,上海自贸试验区在具体实践中也需遵循相关制度安排,其中涉及到数据保护能力认证的制度主要为数据出境安全评估和个人信息保护认证。不同于DEPA中以新加坡为代表的缔约方规定第三方独立评估机构可开展DPTM评估,我国相关数据保护能力认证制度具有政府主导、个案评估、强制性等特征。
42例如在数据出境安全评估制度中,各级网信部门为受理申报主体,随后其根据申报情况组织各级相关部门进行安全评估。
43在个人信息保护认证制度中,国家市场监督管理总局直属的事业单位,中国网络安全审查技术与认证中心作为认证机构具体负责认证工作的开展。而且在实践运行中,不同于新加坡相关评估制度作为倡导性、鼓励性政策的定位,我国企业参与数据出境评估、个人信息保护认证往往成本较高,义务较重。尽管最新出台的“跨境数据流动新规”呈现出放松监管趋势
44,但数据处理者仍负有较重的跨境数据流动申报义务。根据我国当前立法规定,关键信息基础设施运营者向境外提供个人信息或者重要数据,以及关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
45关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
46在个人信息保护认证制度中,其具体流程包括“认证申请、技术验证、现场审核、认证决定、获证后监督”5个主要环节,企业承担的认证义务较重。
其二,由于我国目前尚未与其他经济体建立跨境数据传输便利化机制,跨境数据流动双、多边互信、互惠范围有限,上海自贸试验区内企业数据流动合规成本较高。当前全球跨境数据流动规则呈现出碎片化、多极化和差异化的发展趋势,在这一背景下,各国不断尝试通过实现跨境数据流动规则接轨以提升数据传输效率。
47如DEPA缔约方新加坡、智利和新西兰其缔约的重要目的之一就在于构建具有兼容性和交互操作性的数据传输保护机制以便捷彼此在跨境数据流动治理领域的互信、互惠。而我国目前尚未明确提出我国数据跨境流动治理方案,也尚未与世界主要经济体、主要贸易伙伴国建立数据跨境传输便利化机制,参与数据跨境流动全球治理不足。这意味着上海自贸试验区内企业在出海经营业务过程中也需针对不同国家(地区)采取差异化,有时甚至是重复性的跨境数据流动保护措施,这无形中也会增加企业合规成本,不利于企业参与国际竞争。
2. 跨境数据流动事前监管严格,创新制度路径探索不足
其一,不同于DEPA侧重的“事后追责”型数据安全治理机制,我国数据出境事前监管特征明显,相应的跨境数据流动流畅度和自由度较低。DEPA中以数据保护可信任标志为代表的数据传输便利化机制设置,意在为跨境数据流动创造相互信任的安全环境,相应对数据流动的审查更多体现为“事后追责”型。而我国跨境数据流动治理背后“重安全、严治理”的治理理念在具体监管实践中就表现为明显的事前监管特征,以数据安全为核心的监管措施将会导致我国跨境数据流动活动流畅度和自由度低于DEPA所鼓励的数据自由跨境流动水平,从而给对接DEPA具体规则造成压力。
48例如《数据出境安全评估办法》明确指出,“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。”
49实践中上海自贸试验区内数据处理者在开展数据出境风险自评估时不仅需要对“出境数据的规模、范围、种类、敏感程度”展开评估,还需要评估境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;相应,网信部门还要评估境外接收方其数据安全保护政策法规以及网络安全环境对出境数据安全产生的影响,以及其保护水平能否满足我国相关要求。
50最新出台的“跨境数据流动新规”虽在免予申报评估的豁免情形中尝试释放数据流动活力,但仍规定了对于数据处理者向境外提供个人信息的情形,应当依照法律履行告知、取得个人单独同意、进行个人信息保护影响评估等义务,同时规定网信部门应当“强化事前事中事后全链条全领域监管”。
51
其二,跨境数据流动治理中体现出的严格监管特征,使得上海自贸试验区在探索数据流动治理创新制度路径上存在不足。对比而言,DEPA中提倡建立数据保护可信任标志、数据监管沙盒以及数据共享等新兴数据治理制度路径。这些新兴制度路径旨在通过政府间合作,建立数据监管合作协议,以及企业间建立数据共享协议来促进跨境数据流动和共享。具体而言,各成员方数据监管机构被鼓励采取一种包容审慎的监管立场,对企业在协议框架内的数据处理行为实施监管豁免,从而激励企业共享包括个人信息在内的企业数据,以支持创新性数字产品、服务或商业模式的开发与测试,进而推动数字经济的繁荣与发展。而我国强调数据安全保护的发展理念,以及在此基础上搭建出的数据出境安全评估等三类跨境数据流动监管模式其事前监管特征明显,难以给侧重于鼓励数据自由流动、提倡事后补充监管的新兴制度路径探索预留空间。
3. 政府数据开放止步原则性规定,具体制度实施路径探索不足
在政府数据开放领域,上海自贸试验区相关规定仍停步于原则层面的宽泛规定,缺乏在具体制度路径实施层面的探索。政府数据开放在实践层面的落地肇始于2009年美国总统奥巴马签署的《透明度和开放政府备忘录》(Memorandum on Transparency and Open Government)。这份文件也成为美国日后庞大政府数据开放门户网站data.gov的开端。
52自2011年《开放政府宣言》(Open Government Declaration)签署以来,越来越多的国家以及城市加入开放政府合作伙伴关系中,通过推动政府数据开放以满足公众知情权以及促进创新。我国也高度重视政府数据开放工作,2015年9月国务院发布行动纲要指出,要“加快政府数据开放共享”。
53之后出台的一系列政策中频繁提及“政务数据开放”“公共数据开放”等内容。
54在政府数据开放理念及制度基础上,有学者认为政府数据开放依托于既有的政府信息公开制度,是政府信息公开的自然延伸。
55也有学者主张在政府数据全民共同所有权属或是公平利用权利理念基础上构建政府数据开放制度。
56但无论如何,政府数据开放作为我国数字政府、数字中国建设的重要组成部分正在稳步推进,我国也发展出独特的政府数据授权运营机制。
572019年上海市在省市级层面先后公布、实施多份政府数据开放文件推动数据分级分类保护制度在政府数据领域贯彻落实,2022年发布实施细则推动具体制度落实。
58但是具体到自贸试验区层面,上海自贸试验区仍遵循上海宏观层面的政府数据规定,尚未推出自贸试验区范围内涉及政府数据的创新制度,例如在政府数据国际合作领域,尚未出台有约束力抑或是有指引性的相关规定。
四、上海自贸试验区对接DEPA跨境数据流动规则的制度路径
针对我国目前跨境数据流动治理发展现状同DEPA相关核心创新规则存在的现实差距,未来上海自贸试验区应当抓住重点,积极推动在丰富开放性数据保护能力认证机制建设、拓展数据传输便利化机制覆盖范围;探索以数据监管沙盒为代表的新兴治理路径、推动监管重心向事中事后转移;以及以类型化方式不断拓展政府数据共享内容,试点建立政府数据国际交换合作机制等方面寻求完善。
(一) 丰富开放性数据保护能力认证机制建设,拓宽数据流动互信互惠范围
在我国不断放松跨境数据流动监管、促进数据传输的背景趋势下,上海自贸试验区应积极主动运用自身改革自主权限,尝试引入第三方认证机构,探索开放性数据保护能力认证机制建设。目前国家政策鼓励支持上海自贸试验区在数据分类分级保护制度框架下自行制定数据出境负面清单,对于清单外的数据可免于进行数据流动审查。
59未来上海自贸试验区除了需要进一步完善负面清单制度,还可考虑在政府主导数据出境安全评估、个人信息保护认证制度之外借鉴DEPA缔约方实践,引入第三方认证机构,开展数据保护能力认证。
60作为对于政府主导数据安全评估的补充,第三方数据保护能力认证机制不仅有助于分担政府相关部门数据安全审核压力,而且提升评估制度的灵活性。此外,作为对于企业数据出境风险自评估的补充,也有助于提升数据安全评估制度的可信度,从而进一步提升我国企业在跨境数据保护领域的资信水平和竞争力。更为重要的是,第三方认证机构的设立有助于我国未来进一步推行DEPA提倡的数据保护可信任标志方式,建立具有兼容性和交互操作性的数据保护机制,为我国加入、对接DEPA扫清障碍。当然,将企业保护个人信息和数据的能力认证交由第三方认证机构,在具备灵活性优势、充分满足企业和公众多元化数据安全需求的同时,也因其关涉到整体数据要素市场的安全性与诚信度,需要数据监管机构密切关注第三方认证机构独立性和专业性等资质问题,建立科学合理的认证流程机制。
61
同时,上海自贸区应当在“构建数字空间命运共同体”理念的指引下探索建立跨境数据流动“白名单”机制,不断拓宽我国数据流动互信互惠范围。
62“数据二十条”指出我国未来应当推动数据跨境流动双边多边协商,推进建立互利互惠的规则等制度安排,鼓励探索数据跨境流动与合作的新途径新模式。
63在当前各国围绕数据竞争态势日趋激烈的背景下,跨境数据流动呈现出“逆全球化、强区域化”的趋势特征,各国争先拓展自身数据安全认证“朋友圈”。
64以DEPA缔约方新加坡和新近加入DEPA的韩国为例,近年来其主导与多个世界主要经济体如欧盟、英国、澳大利亚等签订双、多边数字经济协定,以破除数据跨境流动壁垒。在这一背景趋势下,上海自贸试验区作为众多跨国公司集聚地,也要借鉴跨境数据流动白名单机制的经验,在遵循数据保护政策和法律法规的前提下结合企业数据出境实际需求,探索建立符合我国国情、自贸试验区实践的白名单制度,为已部署数据保护措施并达到数据合规标准的企业提供便利化认证方式,畅通数据跨境流动渠道,适当放松对数据跨境流动的限制。
65例如,针对“一带一路”国家或地区,我国重要贸易伙伴国以及自贸试验区范围内活跃的经济体可在互利互惠、安全便利等原则下率先建立双多边数据跨境流动互信互惠合作机制,通过签署数字贸易及跨境数据流动专项协议,建立国别跨境数据流动制度安排,实现在国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的非重要非敏感数据跨境自由流动,为中国企业“走出去”以及外资企业“引进来”提供便利。
66
(二) 探索数据监管沙盒为代表的新兴治理路径,推动监管重心向事中事后转移
上海自贸试验区同时应当积极主动探索以数据监管沙盒为代表的数据创新治理路径,推动自贸试验区范围内乃至于未来逐步推广到全国数据监管重心由事前向事中事后转移,便捷数据流动,推进数字创新。在数字经济时代,世界各国越加认识到跨境数据流动和数据共享对于推动数据驱动创新的重要意义。在DEPA围绕“数据创新”达成专门条款之后,澳大利亚-英国、韩国-新加坡、澳大利亚-新加坡间签署的双边数字经贸协定中普遍纳入了“数据创新”规则,推动建立以监管沙盒机制为代表的数据创新治理路径。世界各地的监管机构也逐渐接受了监管沙盒作为动态测试新兴技术的手段,据世界银行统计,截至2020年11月,来自全球的57个司法管辖区共建立了73个监管沙盒,发达经济体以及新兴市场和发展中经济体都积极参与其中。
67
相应地,上海自贸试验区也可考虑在监管沙盒机制发展成熟的金融产业领域
68以及不涉及敏感数据的航运贸易、科技、教育产业领域中试点探索建立数据监管沙盒,鼓励其在保障数据来源主体合法权益不受侵害的前提下,在监管沙盒空间内不必拘束于现行监管规则自由探索数据创新产品、服务以及数据服务模式。当然,在数据监管沙盒设置过程中我国要充分借鉴国际社会已有关于监管沙盒设置、运行的经验,分步骤试点、推广有益实践经验,逐步完善申请核准、测试退出总结各阶段流程设置,以及有关准入门槛、运行监管以及退出机制等具体制度设计方案。实际上,上海市公共数据开放平台已在探索“安全计算沙箱”相关服务,其同样用于协助解决数据开放主体和数据利用主体之间的数据使用、数据流通以及价值分配等问题。
69其积累的相关经验也能为数据监管沙盒的建设提供指引,从而为在上海自贸试验区范围内先行尝试探索将我国对于数据的事前事中事后全过程监管逐步转移到事中事后监管,以进一步推动释放数据要素价值。
(三) 以类型化方式拓展政府数据开放内容,试点建立政府数据国际交换合作机制
在数据分级分类保护理念指引下,上海自贸试验区在实践中应以类型化方式不断拓展政府数据开放内容。
702023年上海市发布《上海市公共数据共享实施办法(试行)》,规定政府数据共享应当以共享为原则、不共享为例外,应当通过编制政府数据目录、完善需求管理以及跨层级数据共享等方式促进创新。以上规定指出了政府数据共享的发展方向,未来上海自贸试验区应当以类型化方式积极在商事登记数据、交通运输数据以及医疗服务数据等领域探索推动政府数据在实践中真正开放共享。我国其他自贸试验区在相关领域已经探索了可供借鉴的有益经验,例如北京自贸试验区通过扩展担保类型,将机动车船舶抵押、商标专利质押等纳入统一登记查询范围,在全国率先实现机动车、船舶、知识产权等动产和权利担保登记信息的统一查询,有效解决动产担保权益查询系统分散、规则不统一的问题,切实提高企业动产融资效率和获得性;江苏自贸试验区利用其健康医疗大数据(东部)中心,致力于构建一个涵盖数据存储、管理、计算和应用等环节标准化一站式转化应用平台。此外,它还建立了一套包含实名申请、快速审批、全程监控和多方监管等环节的数据安全管理规范以及调取使用制度,为生命健康产业发展提供稳固支撑。
71
同时,上海自贸试验区亦可在部分数据领域试点建立政府数据国际交换合作机制,推动构建更加开放共赢的国际数据治理合作格局。2023年4月,国家主席习近平向第四届联合国世界数据论坛致贺信表示,“中国愿同世界各国一道,在全球发展倡议框架下深化国际数据合作,以‘数据之治’助力落实联合国2030年可持续发展议程,携手构建开放共赢的数据领域国际合作格局,促进各国共同发展进步。”
72其中,推动政府数据国际合作是深化国际数据合作最为关键同时也是最具挑战性的任务。一方面,我国未来应努力同更多国家或地区签署双边、多边数据合作谅解备忘录文件,加强政府间战略对话,鼓励分享彼此政府数据共享的最佳实践;另一方面,上海自贸试验区也可探索在涉外司法协助数据、环境治理数据等领域试点建立政府数据国际交换合作机制,更大限度地发挥政府数据流动效益。实际上,上海数据交易所已在探索海外平台数据双向流动合作机制,通过在上海数据交易所与亚马逊云科技间建立“数据交易所+全球性数字平台”的合作模式,搭建跨国数据交易平台,促进全球数据交易流通。
73在国家数据局的推动下,国内24家数据交易机构也联合发布《数据交易机构互认互通倡议》,以提高数据流通和交易效率,激发数据要素市场活力。
74未来我国也可进一步借助类似合作模式将数据合作、共享进一步拓宽至政府数据领域和国际合作范围,以进一步加快我国数字政府建设,促进数字经济发展。
五、结 语
上海自贸试验区作为国家深化改革开放的“排头兵”和“试验田”,一直在积极主动运用政策制定优势探索新兴发展理念的落实及创新制度路径的实施。在跨境数据流动治理领域,上海自贸试验区积极主动对接DEPA相关规则、探索制度发展路径不仅事关自身发展,也具有国家乃至国际层面的意义。通过对比梳理我国数据治理发展现状以及DEPA中相关核心创新内容可以发现,上海自贸试验区目前在数据保护能力认证机制、创新制度路径探索以及政府数据开放规定等方面存在不足。相应地,上海自贸试验区未来的努力方向应当聚焦完善数据传输便利化机制,探索以数据监管沙盒为代表的新兴治理路径,推动监管重心后移以及拓展政府数据开放共享内容,试点建立政府数据国际交换合作机制等方面,以求更大限度地实现数据要素价值,完善自身跨境数据流动治理体系,在国际层面提出我国跨境数据流动治理方案,深度参与全球数据治理。
1裴长洪、崔卫杰、赵忠秀等:《中国自由贸易试验区建设十周年:回顾与展望》,《国际经济合作》 2023年第4期;孔庆峰:《中国自贸试验区十周年:成就、挑战与机遇》,载《人民论坛·学术前沿》2023年第19期。
2李墨丝、彭羽、沈玉良:《中国(上海)自由贸易试验区:实现国家战略的可复制和可推广》,载《国际贸易》2013年第12期。
3《中共中央 国务院关于构建数据基础制度 更好发挥数据要素作用的意见》,载《人民日报》2022年12月20日,第1版。
4国务院关于印发《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》的通知,国发〔2023〕23号,2023年12月7日发布。王志芳、张丹:《国际经济政策协调与中国自贸试验区制度创新》,载《东北亚论坛》2022年第4期。
5跨境数据流动(cross-border data flows,trans-border data flows)本质指数据跨越国境进行移动和流转,一般包含两类情形:一是数据跨越国境(流出和流入)的传输与处理;二是数据虽然没有跨越国家,但能够被第三国的主体访问。我国法律文件中一般将其表述为“向境外提供个人信息和重要数据”,即包含“数据出境”以及“个人信息出境”两类。但以上概念并无实质内涵差别,为遵循研究惯例以及统一表述需要,本文将类似行为统一指称为“跨境数据流动”。
6Mira Burri, The Regulation of Data Flows Through Trade Agreements, Law and Policy in International Business, 2017, 48(1):407-448.
7惠志斌、张衡:《面向数据经济的跨境数据流动管理研究》,《社会科学》2016年第8期;韩静雅:《跨境数据流动国际规制的焦点问题分析》,《河北法学》2016年第10期;李宏兵、柴范、翟瑞瑞:《跨境数据流动的全球态势、规则比较与中国策略》,《国际经济合作》2023年第6期;陈颖、薛澜:《全球跨境数据流动治理的演进与趋势》,载《国际经济合作》2024年第2期。
8Guan Zheng, Trilemma and tripartition: The regulatory paradigms of cross-border personal data transfer in the EU, the U.S. and China, Computer Law & Security Review, 2021, 43:1-15. 洪延青:《数据竞争的美欧战略立场及中国因应——基于国内立法与经贸协定谈判双重视角》,载《国际法研究》2021年第6期;邵怿:《跨境数据流动规制的自由化与本地化之辩》,载《政法论丛》2023年第5期;刘业:《美欧数据跨境流动博弈中的欧盟技术主权战略及其实现》,载《国际法研究》2023年第6期。
9许多奇:《治理跨境数据流动的贸易规则体系构建》,载《行政法学研究》2022年第4期;徐程锦:《中国跨境数据流动规制体系的CPTPP合规性研究》,载《国际经贸探索》2023年第2期;张子琳、彭德雷:《CPTPP核心数字贸易规则与中国加入谈判因应——基于与RCEP的对比分析》,载《上海对外经贸大学学报》2024年第2期。从本文所关涉的DEPA切入展开的分析研究有李佳倩、叶前林、刘雨辰等:《DEPA关键数字贸易规则对中国的挑战与应对——基于RCEP、CPTPP的差异比较》,载《国际贸易》2022年第12期;徐美玲、董静娴:《DEPA数据跨境流动规则导向与因应》,载《科学管理研究》2023年第5期;宋晓舒:《DEPA视角下的数字贸易规则发展与应对策略》,载《商业经济研究》2023年第22期;霍俊先:《DEPA数据跨境流动:规制差异与中国因应》,载《国际经贸探索》2024年第3期。
10丁晓东:《数据跨境流动的法理反思与制度重构——兼评<数据出境安全评估办法>》,载《行政法学研究》2023年第1期;梅傲、李淮俊:《论<数据出境安全评估办法>与DEPA中数据跨境流动规则的衔接》,载《上海对外经贸大学学报》2023年第2期。
11张乃根:《中国特色自由贸易试验区建设的国际法问题》,载《国际商务研究》2023年第1期。
12《国务院关于推广中国(上海)自由贸易试验区可复制改革试点经验的通知》,国发〔2014〕65号,2015年1月29日发布。
13盛斌:《中国自由贸易试验区的评估与展望》,载《国际贸易》2017年第6期。
14戴翔:《制度型开放:中国新一轮高水平开放的理论逻辑与实现路径》,载《国际贸易》2019年第3期。
15习近平:《高举中国特色社会主义伟大旗帜为全面建设社会主义现代化国家而团结奋斗——在中国共产党第二十次全国代表大会上的报告》(2022年10月16日),载《人民日报》2022年10月26日,第3版。
16张明:《面向CPTPP的数据跨境流动:规则比较与中国因应》,载《情报杂志》2022年第11期;马忠法、苏婧怡:《RCEP框架下共建中国—东盟跨境数据流动治理合作机制的挑战及因应之道》,载《广西社会科学》2023年第8期;李佳倩、叶前林、刘雨辰等:《DEPA关键数字贸易规则对中国的挑战与应对——基于RCEP、CPTPP的差异比较》,《国际贸易》2022年第12期。
17中国信息通信研究院:《全球数字经济白皮书(2023年)》,载中国信息通信研究院网2024年1月9日,http://www.caict.ac.cn/kxyj/qwfb/bps/ 202401/t20240109_469903.htm,2024年5月1日访问。
18《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(2022年12月2日),载中国政府网2022年12月19日,https://www.gov.cn/zhengce/2022-12/19/content_5732695.htm?eqid=f3439e3400008cd80000000364570bb3,2024年5月1日访问。
19国家互联网信息办公室:《数字中国发展报告(2022年)》,载中国网信网2023年5月23日,https://www.cac.gov.cn/2023-05/22/c_1686402318492248.htm,2024年5月1日访问。
20《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》(2020年3月30日),载中国政府网2020年4月9日,https://www.gov.cn/zhengce/2020-04/09/content_5500622.htm,2024年5月1日访问。另可参见陈兵、林思宇:《数字经济领域数据要素优化配置的法治进路——以推进平台互联互通为抓手》,载《上海财经大学学报》2022年第3期;阳镇:《数字经济如何驱动企业高质量发展?——核心机制、模式选择与推进路径》,载《上海财经大学学报》2023年第3期。
21《数据出境安全评估办法》,国家互联网信息办公室令第11号,2022年7月7日公布;《关于实施个人信息保护认证的公告》,国家市场监督管理总局、国家互联网信息办公室公告2022年第37号,2022年11月4日公布;《个人信息出境标准合同办法》,国家互联网信息办公室令第13号,2023年2月22日公布。
22《国家互联网信息办公室发布<数据出境安全评估申报指南(第二版)>和<个人信息出境标准合同备案指南(第二版)>》,载中国网信网2024年3月22日,https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm,2024年5月1日访问。
23国家市场监督管理总局、国家标准化管理委员会:《数据安全技术 数据分类分级规则》,GB/T 43697-2024。
24《促进和规范数据跨境流动规定》,国家互联网信息办公室令第16号,2024年3月22日公布。
25龚柏华:《“法无禁止即可为”的法理与上海自贸区“负面清单”模式》,载《东方法学》2013年第6期。
26龚柏华:《中国(上海)自由贸易试验区外资准入“负面清单”模式法律分析》,载《世界贸易组织动态与研究》2013年第6期。
27《国务院关于印发中国(上海)自由贸易试验区临港新片区总体方案的通知》,国发〔2019〕15号,2019年8月6日发布;《中国(上海)自由贸易试验区临港新片区管理办法》,上海市人民政府令第19号,2019年8月12日公布。
28《上海市落实〈全面对接国际高标准经贸规则 推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,沪府发〔2024〕1号,2024年2月3日发布。
29《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,沪自贸临管规范〔2024〕3号,2024年2月8日公布。
30王海燕、张骏、顾杰:《全国人大代表袁国华:推动临港跨境数据的开放、开发和使用》,载上观新闻2024年3月6日,https://www.jfdaily.com.cn/news/detail?id=723554,2024年5月1日访问。
31胥会云:《上海打造数据跨境流动“绿色通道”,场景化数据清单将陆续发布》,载第一财经2024年4月7日,https://www.yicai.com/news/102056115.html,2024年5月1日访问。李姝徵:《上海自贸区临港新片区数据跨境服务中心启用》,载中国新闻网2024年4月7日,https://new.qq.com/rain/a/20240407A08HN500,2024年5月1日访问。
32DEPA以电子商务便利化、数据转移自由化、个人信息安全化为主要内容,并就加强人工智能、金融科技等领域的合作进行了规定,包括16个模块:初步规定和一般定义、商业和贸易便利化、数字产品及相关问题的处理、数据问题、广泛的信任环境、商业和消费者信任、数字身份、新兴趋势和技术、创新与数字经济、中小企业合作、数字包容、联合委员会和联络点、透明度、争端解决、例外和最后条款等。
33如有学者讨论了在区域贸易协定、自由贸易协定中规制跨境数据流动的例外条款设置问题,参见陈咏梅、张姣:《跨境数据流动国际规制新发展:困境与前路》,载《上海对外经贸大学学报》2017年第6期;马光:《FTA数据跨境流动规制的三种例外选择适用》,载《政法论坛》2021年第5期。Magdalena Słok-Wódkowska and Joanna Mazur, Between commodification and data protection: Regulatory models governing cross-border information transfers in regional trade agreements, Leiden Journal of International Law, 2024, 37(1):111-138. 也有学者从国际投资法角度切入分析了国际投资协定中相关不符措施、例外条款的设置问题,参见张生:《国际投资法制框架下的跨境数据流动:保护、例外和挑战》,载《当代法学》2019年第5期。Qianwen Zhang, What Can IIAs Contribute to Regulating Cross-border Data Transfer: A Threshold Analysis, ICSID Review - Foreign Investment Law Journal, 2024, 00(00):1-17. 有学者对比分析了DEPA与CPTPP、RCEP中跨境数据流动的例外条件规定,认为DEPA对跨境数据自由流动的例外情形要求更苛刻,相比RCEP缩小了例外范围,变相提高了跨境数据自由流动性标准。参见李佳倩、叶前林、刘雨辰等:《DEPA关键数字贸易规则对中国的挑战与应对——基于RCEP、CPTPP的差异比较》,载《国际贸易》2022年第12期。
34以此为主题的学界研究比较充分,比较有代表性的分析可参见曾令良、陈卫东:《论WTO一般例外条款(GATT第20条)与我国应有的对策》,载《法学论坛》2001年第4期;安佰生:《WTO安全例外条款分析》,载《国际贸易问题》2013年第3期;张丽娟、郭若楠:《国际贸易规则中的“国家安全例外”条款探析》,载《国际论坛》2020年第3期;梁咏:《论国际贸易体制中的安全例外再平衡》,载《法学》2020年第2期;张乃根:《国际经贸条约的安全例外条款及其解释问题》,载《法治研究》2021年第1期;梁丹妮:《国际投资协定一般例外条款研究——与WTO共同但有区别的司法经验》,载《法学评论》2014年第1期;蒋超翊、李若晴:《殊途何以同归——论国际投资法移植WTO一般例外条款的实践困难与突破》,载《国际法研究》2024年第1期。
35参见DEPA第4章第4.2条。
36具体内容可参见新加坡信息通信媒体发展局网站:https://www.imda.gov.sg/how-we-can-help/data-protection-trustmark-certification,2024年5月1日访问。
37参见DEPA第9章第9.4条。
38具体内容可参见英国金融行为监管局网站,https://www.fca.org.uk/publication/research/regulatory-sandbox.pdf,2024年5月1日访问。
39具体内容可参见新加坡信息通信媒体发展局网站,https://www.imda.gov.sg/how-we-can-help/data-innovation/data-regulatory-sandbox,2024年5月1日访问。
40参见DEPA第9章第9.5条。
41参见DEPA第2章第2.2条。
42周念利、姚亭亭:《中国自由贸易试验区推进数据跨境流动的现状、难点及对策分析》,载《国际商务研究》2021年第3期;李俊、赵若锦、范羽晴:《我国数据跨境流动治理成效、问题与完善建议》,载《国际商务研究》2023年第6期。
43参见《数据出境安全评估办法》第4条、第7条、第10条。
44如我国在“跨境数据流动新规”中规定了多项可免于申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的例外情形。参见《促进和规范数据跨境流动规定》第3条、第4条、第5条。
45参见《促进和规范数据跨境流动规定》第7条。
46参见《促进和规范数据跨境流动规定》第8条。
47Andrew D. Mitchell and Jarrod Hepburn, Don’t Fence Me in: Reforming Trade and Investment Law to Better Facilitate Cross-border Data Transfer, Yale Journal of Law and Technology, 2017, 19:182-237.
48梅傲、李淮俊:《数字贸易中数据跨境流动规则的新发展——基于<数据出境安全评估办法>与DEPA的比较》,载《企业经济》2023年第4期。
49参见《数据出境安全评估办法》第3条。
50参见《数据出境安全评估办法》第5条、第8条。
51参见《促进和规范数据跨境流动规定》第10条、第12条。
52Simon Chignard, A brief history of Open Data, Paris Tech Review, March 29, 2013, available at: https://www.paristechreview.com/2013/03/29/brief-history-open-data/, 最后访问时间是2024年5月1日。
53《国务院关于印发促进大数据发展行动纲要的通知》,国发〔2015〕50号,2015年9月5日发布。
54关于公共数据、政务数据、政府数据等概念并无统一定义,有研究认为这几个概念存在范围大小差异,公共数据范围大于政府数据,也有研究中彼此可互相替换。本文在其共同包含核心语义基础上将其统称为“政府数据”,即“国家机关、事业单位,以及其他依照法律法规授权具有管理公共事务职能或提供公共服务的组织在依法履行公共管理职责或者提供公共服务过程中收集和产生的数据”。
55王敬波、李帅:《我国政府信息公开的问题、对策与前瞻》,载《行政法学研究》2017年第2期。
56胡凌:《论地方立法中公共数据开放的法律性质》,载《地方立法研究》2019年第3期;王锡锌、黄智杰:《公平利用权:公共数据开放制度建构的权利基础》,载《华东政法大学学报》2022年第2期。
57《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(2022年12月2日),载中国政府网2022年12月19日,https://www.gov.cn/zhengce/2022-12/19/content_5732695.htm?eqid=f3439e3400008cd80000000364570bb3,2024年5月1日访问。宋烁:《构建以授权运营为主渠道的公共数据开放利用机制》,载《法律科学(西北政法大学学报)》2023年第1期;肖卫兵:《政府数据授权运营法律问题探析》,载《北京行政学院学报》2023年第1期。
58《上海市公共数据开放暂行办法》,沪府令21号,2019年8月29日公布,2019年10月1日施行。上海市经济信息化委关于印发《上海市公共数据开放分级分类指南(试行)》的通知,沪经信推〔2019〕1002号,2019年11月1日公布。上海市经济信息化委等关于印发《上海市公共数据开放实施细则》的通知,沪经信规范〔2022〕12号,2022年12月31日发布。
59参见《促进和规范数据跨境流动规定》第6条。另可参见周念利、于美月、柳春苗:《我国自贸区(港)数据跨境流动试点制度创新研究》,载《国际商务研究》2023年第4期。
60当然在引入第三方认证机制之前,应当由监管机构组织各行业协会、相关企业以及用户代表对于认证机构的资质,合规认证标准,颁发、审核、撤销认证标识的程序以及认证费用等问题进行事前的充分探讨,共同制定出符合各方利益的认证机制。
61刘权:《数据安全认证:个人信息保护的第三方规制》,载《法学评论》2022年第1期。
62龚柏华:《“三共”原则是构建人类命运共同体的国际法基石》,载《东方法学》2018年第1期;马忠法:《论构建人类命运共同体的国际法治创新》,载《厦门大学学报(哲学社会科学版)》2019年第6期。
63《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(2022年12月2日),载中国政府网2022年12月19日,https://www.gov.cn/zhengce/2022-12/19/content_5732695.htm?eqid=f3439e3400008cd80000000364570bb3,2024年5月1日访问。
64洪延青:《数据竞争的美欧战略立场及中国因应——基于国内立法与经贸协定谈判双重视角》,载《国际法研究》2021年第6期;邵怿:《跨境数据流动规制的自由化与本地化之辩》,载《政法论丛》2023年第5期。
65刘俊敏、郭杨:《我国数据跨境流动规制的相关问题研究——以中国(上海)自由贸易试验区临港新片区为例》,载《河北法学》2021年第7期。
66商务部国际贸易经济合作研究院、上海数据交易所:《全球数据跨境流动规则全景图》,2023年11月26日发布,具体网站可参见:https://voe-static.chinadep.com/group1/voe/ 447b6cccabfb42e9a33ba6b8ebd63861.pdf,2024年5月1日访问。
67See Key Data from Regulatory Sandboxes across the Globe, The World Bank, November 1, 2020, available at: https://www.worldbank.org/en/topic/fintech/brief/key-data-from-regulatory-sandboxes-across-the-globe, last visited on May 1, 2024.
68许多奇、董家杰:《我国跨境数据流动中的金融企业合规治理》,载《吉林大学社会科学学报》2024年第3期。
69具体内容可参见上海市公共数据开放平台网站:https://data.sh.gov.cn/view/sandbox/index.html,2024年5月1日访问。
70陈兵、顾丹丹:《数字经济下数据共享理路的反思与再造——以数据类型化考察为视角》,载《上海财经大学学报》2020年第2期。
71商务部国际贸易经济合作研究院:《中国自由贸易试验区发展报告2022》,第137-138页。
72《习近平向第四届联合国世界数据论坛致贺信》,载新华社2023年4月24日,http://www.qstheory.cn/yaowen/ 2023-04/24/c_1129557408.htm,2024年5月1日访问。
73《商务部研究院电子商务所所长杜国臣:上海数据交易所国际专区建立创新跨境数据服务合作模式》,载央广网2024年4月1日,https://tech.cnr.cn/techds/20240401/ t20240401_526648325.shtml,2024年5月1日访问。
74连润、王舒嫄:《数据交易机构互认互通倡议发布》,载《中国证券报》2024年5月27日,第A02版。
The China (Shanghai) Pilot Free Trade Zone aligns with DEPA Cross-border Data Flow Rules: Motivations, Gaps, and Improvement Paths
