|
|
| 圖1:海峽兩岸數據跨境規則銜接的多重價值(來源:作者自製) |
|
| 表1-01:海峽兩岸數據跨境規則概覽 |
|
| 表1-02:海峽兩岸數據跨境規則概覽 |
中評社╱題:海峽兩岸數據跨境規則銜接的法治邏輯 作者:馮澤華(廣州),廣東工業大學國家安全研究中心研究員、廣東工業大學數字經濟與數據治理重點實驗室分室“數據法治與大數據治理實驗室”執行主任;劉志輝(廣州),廣東工業大學國家安全研究中心科研助理
【摘要】在海峽兩岸融合發展的大背景下,數據跨境的多尺度耦合功能日益凸顯,兩岸數據跨境規則銜接的內生需求愈發強烈。從國家、產業、個人層面看,數據跨境規則銜接具有推動兩岸關係和平發展、驅動兩岸產業有序融合、實現兩岸個人信息協同保護方面的制度理性。然而,由於兩岸數據跨境規則尚未有效銜接,兩岸數據跨境流動面臨共同依據缺位、合作監管失位以及權利協同保障錯位等結構化制度障礙,其成因牽涉法域間規則體系兼容性不足、行政主體合作效能滯後、權利救濟機制不對稱等深層次矛盾。為此,海峽兩岸宜通過單方主導、雙方聯合、第三方協調相結合的方式,在法治框架下協同推進數據跨境規則銜接。
2025年國務院政府工作報告提出要“堅持貫徹新時代黨解決台灣問題的總體方略,完善促進兩岸經濟文化交流合作制度和政策”①。大陸和台灣同屬一個中國,實現海峽兩岸數據跨境規則銜接是中國數字經濟高質量發展的應有之義,也是新時代進一步完善促進兩岸經濟文化交流合作制度和政策的重要方向。近年來,海峽兩岸數據流動環境建設積微成著。2016年起台灣當局陸續推出“數位台灣·創新經濟發展方案”“智慧台灣方案”。2022年8月,台灣當局行政部門“資通安全處”整合相關機構成立“數位發展部”,標志著台灣統籌數字治理與數據基礎建設、保障通訊與信息安全、推動數字化轉型取得階段性進展②。《數字中國發展報告(2023年)》顯示,截至2023年底,中國數據存儲總量達1.73ZB,全國已有超過10個省市上綫公共數據運營平台,20多個省市成立專門的數據交易機構,場外數據交易在數據交易市場中占主導地位,場內數據交易規模呈快速增長態勢③。伴隨兩岸數據基礎設施建設的日臻完善,兩岸數據跨境流動的物質基礎持續鞏固,由此帶來的經濟發展、社會認同、國家統一等綜合效益將愈發明顯,如何完善促進兩岸數據跨境合作的政策制度體系,推動兩岸數據跨境規則銜接終成無法迴避的現實課題。為此,本文以兩岸數據跨境規則銜接的重要性為切入點,多層次分析其對國家、產業、個人的作用,隨後多維探究兩岸數據跨境流動在依據、監管、權利保障方面的制度障礙,最終提出單方主導、雙方聯合、第三方協調相結合的兩岸數據跨境規則協同銜接進路。
一、海峽兩岸數據跨境規則銜接的制度理性
作為生產要素之一的數據在雲計算、大數據、物聯網、人工智能等新興技術高速發展的時代具有無比廣闊的應用空間④,數據跨境流動是賦能技術迭代升級、培育新質生產力、實現科技平權的關鍵一招。於海峽兩岸而言,數據跨境規則銜接具有國家、產業、個人層面的多重價值(如圖1所示)。
[圖1:海峽兩岸數據跨境規則銜接的多重價值]
(一)推動兩岸關係和平發展
2025年正值《反分裂國家法》實施20周年,該法規定國家依法保護台灣同胞權益,鼓勵兩岸開展經濟、教育、科技、文化等方面的交流,推動有利於維護台灣海峽地區和平穩定、發展兩岸關係的活動。為促進兩岸關係發展、經濟文化交流等,大陸出台了“31條”“26條”“22條”“11條”等一系列政策措施。從商品貿易來看,海關總署統計數據顯示2024年兩岸貿易額達2929.71億美元,其中大陸從台灣進口約2177.82億美元,同比增長9.3%;大陸向台灣出口約751.88億美元,同比增長9.8%⑤。在兩岸傳統商品貿易往來密切的背景下,數據及其相關產品“進出口”形勢卻不容樂觀。IBM發布的研究報告稱,2024年全球一場數據洩露的平均成本達488萬美元,同比增長10%,為新冠疫情後最大增幅。涉及客戶個人數據的洩露事件占比46%,接近半數的洩露事件涉及客戶個人身份信息⑥。2025年1月,台灣“數位發展部”表示DeepSeek AI運行涉跨境傳輸及資訊外洩等資安疑慮,屬危害台灣資訊與通訊安全的大陸產品,公務機關與關鍵基礎設施等應限制使用⑦。隨著兩岸數據跨境流動的需求與日俱增,需要更加完善的數據跨境規則予以保障。而推動數據跨境規則銜接正有利於兩岸強化數據法治互信,消解阻礙數據生產要素跨境流通的制度壁壘,切實保障個人隱私安全,促進數據市場與產業的可持續穩定互聯互通,實現兩岸關係和平發展。
(二)驅動兩岸ICT產業有序融合
ICT指信息與通信技術(Information and Communications Technology),行業慣常將ICT產業劃分為製造業和服務業,ICT製造業包括電子元器件和板製造(含半導體元器件和集成電路製造)等⑧。半導體作為集成電路的基礎材料,不僅是ICT產業發展的基石,更是保障國家安全的戰略性物資。台當局“投審司”統計顯示,2023年台商赴美投資金額96.9億美元,是2022年的9倍,投資主要集中於半導體產業⑨。2025年3月,台積電宣布在美國追加1000億美元投資,投資總額達1650億美元,成為美國史上最大的單項外國直接投資。台灣是晶圓代工、封裝測試領域的佼佼者,大陸的集成電路仍主要依靠進口。2018年以來,兩岸IC產品年度貿易額均超過千億美元,6年纍計8710.65億美元,占同期兩岸貿易總額的53.56%⑩。據統計,台灣2024年806.08億美元的貿易順差中,86.83%來自大陸和香港。從出口貨品類別看,“電子零組件”是台灣出口大陸和香港的最大宗貨品,全年出口額916.28億美元,占總額的60.8%,其次為“資通與視聽產品”,占比為14.4%⑪。數據跨境流動是ICT產業發展的內生動力,幾乎所有的數據生產、存儲、處理和傳輸活動都依賴於ICT產業。促進兩岸數據跨境規則銜接,有利於打造ICT產業“硬聯通”的良法善治環境,幫助其更好地“引進來”“走出去”,從而驅動兩岸ICT產業有序融合發展。
(三)實現兩岸個人信息協同保護
在大數據時代,個人信息保護面臨著嚴峻考驗⑫。2021年中國信息通信研究院安全研究所對20餘款市場主流隱私計算產品的安全檢測結果顯示,80%的產品在算法與交換協議方面存在安全隱患,可能導致數據洩露,使“數據可用不可見”淪為空談⑬。2022年台灣地區戶政系統遭黑客入侵,有網友在海外論壇兜售20萬筆台灣民衆戶籍資料⑭。整體而言,海峽兩岸對個人信息的保護呈“差序格局”。2017-2022年,中國大陸先後出台《網絡安全法》《數據安全法》和《個人信息保護法》,構成了大陸個人信息保護的“三駕馬車”。為更好實施這三部法律,2024年8月大陸還出台了《網絡數據安全管理條例》。台灣制定數據法較早,最早可追溯至1995年的“電腦處理個人資料保護法”,由於最初關注的是電腦處理個人資料的保護,立法伊始并沒有使用“數據”的概念,而采用了包含個人信息的“資料”這一概念,一直沿用至今⑮。台灣2012年10月1日正式實施“個人資料保護法”,并於2023年5月31日對該法補充修正。實際上,數據是個人信息和資料的內容,而個人信息和資料是數據的表現形式,個人信息和資料的保護在本質上不存在差別。推動兩岸數據跨境規則銜接,不僅可為涉及個人信息的數據安全有序跨境流動提供法治協同框架、指引兩岸ICT企業處理個人信息、充分保障兩岸人民的個人隱私安全,還能加快構建安全高效的數據流通體系,以數字經濟賦能產業發展。
二、海峽兩岸數據跨境流動的制度障礙
儘管海峽兩岸的數據法律制度均帶有濃厚的大陸法系色彩,但由於法域不同,長期以來形成了不同的法律體系。現階段,兩岸為數據跨境流動設定了差異化規則(如表1所示),尚未實現規則的有效銜接,數據跨境安全有序流動面臨著結構化制度衝突。
(一)兩岸數據跨境共同依據缺位
目前兩岸有關數據跨境的依據散見於不同的規範文件。對大陸而言,數據跨境適用依據取決於數據的性質。比如,關鍵基礎設施的重要數據一般應當境內存儲,按有關辦法通過安全評估後方可向境外提供;數據涉及個人信息的,向境外提供則應滿足通過安全評估、進行保護認證、訂立合同等條件之一。對台灣而言,數據跨境依據主要訴諸與個人資料保護有關的規範。例如,台灣“個人資料保護法”明確個人資料包括姓名、指紋、職業等可識別該個人的資料,并將個人資料跨境處理或利用界定為“國際傳輸”。對海峽兩岸而言,數據跨境缺乏共同的上位法依據。兩岸非關鍵基礎設施的重要數據或非重要數據的跨境應遵循何種規則,不涉及個人信息或識別個人的數據跨境應依照何種標準,均有待明確。以“淘寶台灣”的資安風波為例,台當局“經濟部門”認為淘寶台灣會員同意隱私政策後,會員的相關資料會回傳至大陸阿里巴巴服務器,存在“資安風險”,便對淘寶台灣處以41萬元新台幣罰款,限期6個月內撤資或改正。最終,淘寶台灣(克雷達台灣分公司)於2020年12月31日正式停止營運,但台灣消費者可繼續通過“手機淘寶”購買商品。由於兩岸數據跨境共同依據闕如,難以為數據有序跨境流動提供制度指引,實踐中兩岸數據跨境觸碰彼此法律或不合規現象常常有之。
(二)兩岸數據跨境合作監管失位
數據跨境關涉社會經濟、數據主權,倘若跨境監管不到位,恐危及國家安全。當今世界,不同國家或地區對數據跨境的政策態度和監管要求不盡相同,大致可分為以美國、歐盟為代表的開放監管模式和以中國、俄羅斯、印度為典型的嚴格規制模式兩類⑯。實現兩岸數據高效安全便捷流動,有必要推動數據跨境合作監管。然而,現階段兩岸針對數據跨境監管做出了不同的制度設定,尚未開展跨境監管合作。受數據性質、數據表現形式、數據流動專業要求等因素的影響,大陸對數據跨境監管職責的安排涉及國家網信部門、國務院有關部門、縣級以上地方人民政府有關部門、工業、電信、交通、金融等主管部門、公安、國家安全機關等,力圖構建“大而全”的數據跨境監管網絡。相較而言,台灣對數據跨境監管的部署則顯得“小而精”,主要明確了“中央目的事業主管機關或直轄市、縣(市)政府”承擔檢查、處分非公務機關國際傳輸行為等職責,“個人資料保護委員會”成立後承接上述機構的權責事項,但該會仍在籌備中。此外,台灣還針對資訊通訊安全成立了“資通安全研究院”,但近年頻發的資通安全事件將相關部門職能交叉、行政效率低下等問題暴露無遺。比如,台灣“健保署”退休官員洩露健保被保險人資料長達13年、黑客便宜兜售台灣民衆2357萬筆戶政資料、台灣“銓叙部”超過59萬筆文官職稱資料外洩等數據安全紕漏事故屢禁不絕,反映出台當局數據主管部門的安全監管能力亟待提升。
[表1-01:海峽兩岸數據跨境規則概覽]
[表1-02:海峽兩岸數據跨境規則概覽]
(三)兩岸數據權利協同保障錯位
在數據要素高速流動的時代,數據權利衍生出數據可攜權、個人信息轉移權、資訊自決權等新樣態。就兩岸數據跨境規則而言,其對個人數據權利保障存在雙重錯位。第一,受保障的數據權利類型錯位。大陸《網絡安全法》僅提及個人有權要求網絡運營者删除、更正個人信息;《數據安全法》未對個人數據權利作出明確規定;《個人信息保護法》明確個人有權查閱、複製、更正、補充、删除個人信息以及要求個人信息處理者對其個人信息處理規則進行解釋說明,三大數據法律全面覆蓋了數據跨境涉及的個人數據權利。台灣“個人資料保護法”規定當事人就其個人資料依法享有查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止搜集、處理或利用、請求删除的權利。對比來看,大陸數據跨境規則中個人數據權利的“要求個人信息處理者解釋說明權”是台灣沒有的,而台灣則多出了“請求停止搜集、處理或利用權”。第二,數據權利保障的域外效力錯位。大陸對個人數據權利域外保障的規定具有明確的前置性限定,比如,“損害國家安全、公共利益或者公民、組織合法權益”“以向境內自然人提供產品為目的、分析境內自然人的行為、法律規定的情形”等。台灣方面則粗泛規定公務機關及非公務機關在台灣地區外對“台灣人民”個人資料搜集、處理或利用適用“個人資料保護法”,如此隨意擴張適用範圍而不設定限制條件,不僅其管轄權缺乏合理依據,還易引發法律衝突⑰。儘管如此,實踐中台灣對境外人(法人)處理個人資料的境外行為之管轄略顯消極。比如,黑客曾勒索台灣“中華航空”,未果後公布數十筆政商要員、明星等個人資料,其中就包括台現任“領導人”賴清德、著名藝人林志玲、台積電創辦人張忠謀。台灣當局介入調查後僅表示“中華航空”已發函請會員定期修改密碼,對有關部門及航空公司應承擔數據洩露的何種責任卻避而不談。
|
