本文来自微信公众号:商法认曾说,首发于FT中文网,作者:曾磊(资深涉外律师),原文标题:《TikTok事件背后的“数据本地化”浪潮》,题图来自:视觉中国
前段时间,美国哥伦比亚特区联邦地区法院裁决,暂缓实施关于将TikTok从美国移动应用商店下架的行政令,TikTok算是赢得了暂时喘息的机会。
TikTok事件普遍被视为美国保守势力试图打击中国的最新动作,是两国关系进一步恶化的具体表现。然而放在全球普遍加强数据和隐私保护的大背景下,这一事件反映了全球“数据本地主义”倾向的加剧,而不仅仅是美中关系的一个孤立事件。
缘起
“数据本地化”尚未有严谨的学术定义,但在实务界通常是指国家出于各种目的而采取的旨在对数据施加控制的措施,这些措施使数据的流动逐渐退缩至本国内部。
欧洲大陆法的国家有很强的隐私保护意识。互联网的普及和数字经济的勃兴以及此起彼伏的大规模用户数据泄露事件加剧了民众对涉及隐私的个人数据安全的担忧。有调查显示,欧洲人,尤其是德国人,比美国人更担心私营企业对个人数据的使用。欧盟宪章将个人隐私确立为应予以捍卫的基本权利。早在2010年,德国监管机构就曾要求谷歌在其街景服务画面中将那些拒绝出镜的居民的房屋进行模糊处理。
2014年爆发的“棱镜门”事件,给欧盟成员敲响了警钟,保护欧洲的数据免遭外国(主要是美国)的窥探和窃取被提上了紧急议程。2016年4月16日,号称史上最严的数据和隐私保护法律——欧盟《通用数据保护条例》(GDPR)——正式颁布,自2018年5月25日起实施。GDPR实施以来,以其繁琐复杂的合规要求和幅度惊人的违规处罚,在经济和社会层面都造成了极大的震动,并给其他国家树立了榜样。
根据联合国贸易发展组织(UNCTAD)截至2020年4月2日的统计,全球194个国家中,共有132个国家制定了数据和隐私保护的法律,占国家总数的66%。据国际隐私专业协会(the International Associationof Privacy Professionals,简称“IAPP”)最新发布的《2020全球隐私保护立法预测》,2020年注定将成为2018年以来又一个数据和隐私保护立法的高潮年。
2020年1月1日,美国加利福尼亚州《消费者隐私法》(CCPA)开始实施,预计将掀起美国其他各州乃至联邦的相关立法潮。2020年8月15日,巴西版《一般数据保护法》(LGPD)生效。原定于2020年5月27日起实施(现已延期至2021年5月31日)泰国的《个人数据保护法》(PDPA)深度参考了GDPR的条款。
中国于2017年6月开始实施《网络安全法》,对互联网上的数据安全予以管控。作为《网络安全法》的配套法律,中国《密码法》自2020年1月1日起实施。2020年5月28日颁布、2021年1月1日起实施的中国《民法典》首次将隐私和个人信息作为公民的人格权的一部分进行保护,并在《网络安全法》的基础上提升了保护的范围和力度。
印度的《个人数据保护法案》已进入立法表决前的最后审议阶段,预计在今年通过议会批准。韩国正在调整其现有的隐私保护法律,以期与GDPR相一致;关于《个人信息保护法》的最新修正案也正在等待韩国国会的批准。
(全球数据和隐私保护立法统计,来源:UNCTAD官网)
政府采取数据保护政策,其目的主要分为五类:
获得数据,即确保执法、情报、安保等机构可通过法律或技术上的途径获取开展公务所需的数据;
保护隐私,即保护公民的个人数据免遭侵害,包括来自外国政府和企业的监控;
防止外国侵入,即阻止其他国家为了不良目的而获取本国公民的数据;
内容管制,即确保国家机关能够对数字内容进行管控,以符合当地的规范;
促进经济,即促进和保护当地科技产业。
无论出于何种目的,各国政府对数据的保护均以数据的产生和采集行为发生地作为管辖的基础,其直接后果将导致数据在国家间的自由流动受到阻碍甚至切断。这种结果与互联网经济所倡导和依赖的信息全球一体化背道而驰。数据重新被领土边界所分割和圈禁,成为与房地产一样的不可移动的本地资源,造成“数据本地化”
全面且严格的监管标准
GDPR以及目前其他主流的数据和隐私保护法律通常从七个方面作了规定:同意(consent)、反对(objection)、访问(access)、清除(erasure)、修改(changes)、安全(security)和泄露通知(notice of breach)。这类立法从数据所有者的角度出发,在为所有者个人创设与隐私数据相关的宽泛权利的同时,在数据的采集、存储、处理、使用、传输、记录、流程控制、人员配置、补救措施等方面给数据控制者(主要是指因业务需要有可能接触个人信息的商业主体)施加了繁重的义务,并辅之以严厉的处罚机制。
由于互联网运营的跨地域性,各国的数据保护立法通常又具有一定的域外效力。例如,GDPR适用于所有与欧盟公民存在互动或业务往来的商业主体,无论该主体是否位于欧盟境内。这意味着该法的效力已超出了欧盟区,对全球范围内的企业都可能具有管辖权。
在执法层面,很多国家的监管机关还倾向于将数据保护与其他政策目标结合运用,扩大了数据保护法律的应用范围并增强了执法手段。2016年3月,德国联邦卡特尔局(Bundeskartellamt,简称“FCO”)对Facebook启动反垄断调查,指控Facebook在用户数据的采集和使用方面涉嫌滥用其在社交媒体市场上的支配地位。
2019年2月7日,FCO公布了其对Facebook的调查决定,认定Facebook在用户数据的收集、整合和使用等方面存在滥用市场支配地位的行为,即在未征得有效同意的前提下,将其自有平台及其他第三方网站和软件收集的用户个人信息整合至Facebook账号。FCO据此要求Facebook修改用户数据收集和处理的服务条款,不得未经同意将用户在第三方平台的数据整合至Facebook账号。
2020年6月29日,印度政府宣布禁止在国内使用包括TikTok、微信、微博在内的59个由中资公司运营的app,理由是这些软件涉嫌以未经授权的方式窃取用户数据并将这些数据秘密传送至位于印度境外的服务器,有害于印度的主权和领土完整、防务、国家安全和公共秩序;9月2日,印度政府以同样的理由宣布禁用另外118款中国app。媒体普遍认为,上述举措实际上是对近期中印边境冲突的回应。
沉重的合规成本
数据和隐私保护法律给市场运营主体造成了沉重的成本。这些成本大致可以分为两部分:守法成本和违法成本。
在守法成本方面,以GDPR为例,涉及的成本主要产生于以下几个方面:
设置本地数据存储中心;
聘用数据保护官(Data Protection Officer,简称“DPO”);
记录数据处理活动;
合规缺陷评测;
制定规则制度;
优化流程;
培训员工;
监督持续合规;
咨询外部合规专家。
根据福布斯杂志在2018年GDPR实施前所作的调研,美国财富500企业预计合计将为GDPR合规支出78亿美元,而英国富时350企业预计合计将支出11亿美元。
作为确保数据安全的物理措施,很多国家要求数据控制者在本国设置数据存储中心。例如,越南要求Facebook、谷歌等提供互联网服务的企业必须在本国设置数据中心;俄罗斯要求与俄国公民相关的社交媒体信息必循保存在本国。数据存储本地化的要求推动了相关行业的投资。
仍以俄罗斯为例,市场研究机构iKS-Consulting公司的调查数据显示,俄罗斯国内的数据存储中心服务市场价值自2016年开始每年保持超过20%的增长,其中2018年达到285亿卢布,2019年将超过360亿卢布。
2017年7月12日,在中国《网络安全法》实施一个多月后,苹果与中国贵州省政府签订战略合作框架协议,将投资10亿美元在贵州建立苹果在中国的第一个数据中心,用于存储中国用户的iCloud数据。
GDPR创造了对于专业数据保护人员尤其是DPO的需求。IAPP预测,随着GDPR的实施,欧洲将出现超过二万八千名的DPO缺口,而在美国,这一数字更高达七万五千人。根据路透社于2018年2月发布的调研结果,仅英国一地,在网上就职平台上发布的DPO招聘岗位数在2016年4月至2017年12月期间增长了超过七倍。
根据IAPP发布的2019隐私专业人员薪酬调查报告,被调查的欧盟和英国企业中,35%已经聘请了专门的DPO。报告还显示,全球范围内隐私专业人员的薪酬中位数自2017年以来增长了超过8000美元,达到2019年的123,050美元。其中,首席隐私官(chief privacy officer)的薪酬中位数为20万美元,而美国CPO的薪酬中位数更高达21.2万美元。
GDPR的收益者还包括一些专业服务中介机构。据英国安永会计师事务所估计,部分英国企业将GDPR合规预算的40%用于购买法律咨询意见。而美国企业的律师费用将更高。服务于五分之一的富时100指数企业的英国顶尖律所Slaughter and May已将GDPR咨询列为重点特色服务之一。
网络安全支出的增长也在另一个侧面反映了企业在数据保护方面的支出变化。根据咨询机构Cybersecurity Ventures的预计,全球在网络安全产品和服务上的支出在2017至2021年期间将累计超过一万亿美元。其中,信息安全(网络安全的分支)产品和服务方面的支出在2018年达到1140亿美元,2019年预计达到1240亿美元,2022年将达到1704亿美元。
时间投入也是个不可忽略的成本。根据隐私保护合规咨询机构DataGrail于2019年4月对超过300家企业进行的调查,单就为遵守GDPR而召开准备会议这一项,企业就平均花费了2000到4000个小时。其中,49%与企业实施GDPR相关的决策者个人花费了80个小时,34%的决策者投入的时间更超过了160个小时。建立了满足GDPR要求的系统和制度后,为了维护和执行这些系统和制度而持续投入的时间更是难以估量。
违法导致的罚款可能是GDPR给企业造成的最大的潜在成本。根据GDPR,对违法企业处以的罚款可高达2000万欧元或该企业全球营业额的4%,以较高者为准。欧洲数据保护委员会(European Data ProtectionBureau)的统计数据显示,在GDPR实施的第一年里,成员国共报告28100多例GDPR违规案件,罚款总额达55,955,871欧元(其中5000万欧元为对谷歌的罚款)。
另根据GDPR执法追踪网站enforcementtracker.com的统计,截至2020年9月,欧盟成员国共开出362张与GDPR相关的罚单,总罚款金额高达491,003,290欧元,平均每单处罚1,356,363欧元,其中“对数据进行处理的法律依据不足”“缺乏足以保障数据安全的技术和组织措施”“违反数据处理的一般原则”等三种违法情形位居罚单数量和金额前三甲。
对跨境投资的影响
日益严格的数据保护已对跨境投资造成了负面影响。德勤会计师事务所发布的《2020并购趋势报告》指出,在欧盟GDPR和美国加州CCPA相继实施或生效的背景下,70%的受访企业代表认为对并购标的的数字资产的保护是个值得关注的问题;数据安全的合规要求对企业并购的尽职调查和并购整合而言都构成潜在的风险。
美国伊利诺伊技术学院Jian Jia等人于2019年12月发表的论文《GDPR与风险投资的本地化》调查了GDPR实施一年以来欧盟外部和欧盟内部的风险投资变动情况。调查显示,欧盟外部对欧盟的风险投资、欧盟内部成员之间的风险投资、同一欧盟国家内部的风险投资的平均单笔交易美元金额分别下降41.89%、35.77%和28.02%,交易数量分别减少26.29%、20.71%和13.67%。
中国贸促会研究院于2020年4月22日发布的《欧盟营商环境报告2019/2020》显示,选择欧盟作为首要投资目的地的受访企业比例仅为24%,相比上一年度的78.63%,下降幅度高达54.63个百分点。
GDPR是阻碍中国企业投资欧盟的主要因素之一。超过96%的受访企业表示GDPR增加了企业的运营成本,有65.2%认为GDPR的规定不清晰,难以操作。被调查企业认为GDPR干扰了企业的正常运营活动。65.8%的被调查企业认为GDPR限制了欧盟公司同总公司之间联系,60.7%认为GDPR损害了全球公司之间的数据共享和共同研发等业务,29%认为GDPR限制了企业在欧盟投资行业范围。17.4%的被调查企业认为,GDPR将导致企业减少或放弃对欧盟新增投资。
这种影响也得到安永会计师事务所《2019年全年中国海外投资概览》的印证。根据安永的统计,2019年中企在欧洲并购金额仅为205.3亿美元,同比大幅下降57.1%,且中企海外并购十大目标国家(按并购金额)中只有英国一个欧盟成员国,而此前一年欧盟成员国占据中企海外并购前十大目的地中的六席。
不完全适应WTO规则
数据保护的合规要求对外国企业的影响往往大于对本国企业的影响,由此引发数据保护规则是否符合国际贸易规则的争议。例如,有学者指出,要求所有数据都保存在运营所在国境内的法律,可能违反《服务贸易协定》(GATS)第16条关于市场准入承诺的规定和第17条关于国民待遇的规定,因为外国服务提供商将被迫在运营所在国增设存储服务器,而本地的服务提供商则无需发生这种额外的成本。
对数据跨境交换的限制也可能违反GATS第16条。例如,WTO上诉机构在美国赌博案中就裁定,通过限制数据跨境交换从而禁止远程提供赌博服务,构成对GATS第16条的违反。作为例外,GATS第14条(c)款(ii)项允许成员国采取必要的措施以保护个人隐私,GATS的《电信附件》第5(d)段允许成员国采取必要的措施以确保信息的安全与保密,但前提是这些措施不应是武断的、构成不正当的歧视或者是对服务贸易的变相的限制,而且这些措施应不超出必要的限度。
实践中,证明一项措施符合以上条件从而构成GATS允许的例外情形十分困难,迄今为止仅有一例成功案例。因此,以GATS的例外规定为依据实施可能限制跨境投资或市场准入的数据保护措施存在引起贸易争端的风险。
GDPR一经实施即遭受包括美国在内的欧盟贸易伙伴的批评。批评者认为GDPR构成不公平的贸易壁垒。为了避免发生由此引起的贸易争端,欧盟于2019年5月向WTO提出电子商务规则草案,试图将网络中立、自由数据流动和消费者基本权利保护等原则纳入WTO贸易规则中。另一方面,欧盟在与非欧盟国家进行新的双边自贸协定谈判时,开始要求另一方接受关于数据传输的“充分性决定”机制。
根据该机制,如欧盟企业拟向该非欧盟国家内的接收方传输个人数据,该国应先获得欧盟委员会的“充分性决定”,即认定该国能提供符合欧盟标准的数据保护。例如,在与澳大利亚的谈判中,欧盟要求协议各方承认个人数据和隐私的保护是一项基本权利,并提出各方均有权采取其认为适当的措施以确保对个人数据和隐私的保护,包括制定和实施关于个人数据的跨境传输的规则。
获得欧盟充分性决定的国家将有权获取欧盟市场内5亿消费者的个人数据,进而挖掘这些数据背后的庞大商业利益。这些商业利益被欧盟用作诱使其他国家接受欧盟数据保护标准的筹码。截至目前,只有包括加拿大、以色列、日本、瑞士、新西兰、阿根廷等12个国家获得欧盟的充分性决定。中国未获得该决定。
中国企业的应对
越来越多国家对数据保护的严格监管已经成为中国企业跨国运营的“头号麻烦”。2018年12月10日,英国《金融时报》披露,摩拜受到德国监管机关关于涉嫌违反GDPR的调查。2018年4月,网传腾讯旗下的QQ向国际版将于2018年5月20日起停止向欧洲用户提供服务。腾讯随后予以澄清,称新版本上线后将继续在欧洲提供服务。坊间认为此次版本更新主要目的在于满足GDPR的合规要求。
2019年2月底,TikTok与美国联邦贸易委员会达成和解协议,TikTok同意支付570万美元的罚款,作为对其违反《儿童网络隐私保护法》收集关于未满13岁的儿童的个人数据的处罚。2020年6月12日、6月30日、7月3日、9月2日,欧盟、丹麦、英国和法国分别启动针对TikTok涉嫌违反GDPR的调查。
面对数据保护处罚的威胁,不愿或无力承担合规成本的企业往往选择退出“高风险”的市场,而选择坚守的企业则采取积极的应对措施降低违规风险。2018年5月29日,即GDPR实施后四天,腾讯更新了微信国际版的隐私政策,突出了对数据泄露和内容原创者的知识产权保护。根据新政策,国际版的聊天记录将只存储72小时,此后将被永久删除。
2018年5月25日,小米旗下智能灯具品牌Yeelight宣布因未能满足GDPR要求,暂停在欧洲地区的服务;5月31日,Yeelight完成了针对欧洲地区的软件升级工作,相关服务全部恢复。对于确有必要将个人数据输出到欧盟以外区域的企业,欧盟关于数据跨境传输的标准合同条款机制是一种比较便利的选择。根据该机制,只要企业将相应的标准合同条款纳入与个人用户的服务协议中并予以遵守,即可将数据传输至第三国。
2018年8月27日,微信支付宝更新了欧洲版的隐私政策,声明将按照欧盟决定第2004/915/EC号制定的标准合同条款将欧盟用户的数据传输至中国。一些企业更进一步,选择开发源代码的方式消除监管机构的疑虑。2019年3月5日,华为网络安全透明中心在比利时布鲁塞尔开幕,到访者可以看到华为存储在深圳总部的源代码。该中心向客户和独立第三方测试机构开放,依照业界共同的网络安全标准,对华为产品进行客观、公正、独立的安全测试和验证。
一些在境外运营的中资互联网企业使用符合GDPR安全标准的第三方云服务提供商进行用户数据的存储和管理,并与其分担合规责任。根据字节跳动与甲骨文于2020年9月13日达成的关于TikTok美国业务的协议,甲骨文将作为TikTok可信赖的数据安全合规合作伙伴,有权对TikTok美国的源代码进行安全检查,从而代表美国政府解决美国国家安全问题。
新冠肺炎疫情让越来越多的政府意识到数据对于公共卫生、社会治理、经济发展和国家安全的重要价值,国家对于本国数据的监管料将继续趋向严格和全面,对涉及数据跨境传输的经营和投资行为的阻碍也将有增无减。在WTO的上诉机构因新法官“难产”而停摆的情形下,以数据安全为名的贸易壁垒在短期内也难以得到有效挑战和纠正。中国出海企业是否能够迎难而上,突破“数据本地化”的藩篱,在各国的数据边界中摸索出安全的通道,我们期待实践给出答案。
本文来自微信公众号:商法认曾说,作者:曾磊,资深涉外律师,拥有二十年律师事务所和跨国企业实务经验,擅长绿地投资、企业并购、国际贸易、跨境投资等业务,并曾在美国和东南亚为中国客户提供投资咨询服务。欢迎联系手机+86 13761957699,微信同号