随着数据越来越成为经济和社会互动的一部分,政府越来越关注数据的使用和滥用。事实上,数据在许多政策领域提出了具体挑战,包括隐私和数据保护、国家安全、数字安全、知识产权保护、监管范围、竞争政策和产业政策。当数据跨越国际司法管辖区时,这些挑战更加严重;尽管互联网在许多方面是无边界的,但监管却不是。[1]
因此,各国政府一直在更新和调整其数据政策,这导致了越来越多的法规,这些法规要么限制数据跨国际边界移动,要么要求数据存储在本地,这最后一类也被称为本地存储要求或数据本地化。
虽然没有数据本地化的单一或官方定义,但通常将其理解为数据在国内存储和/或处理的明确要求。总体而言,数据本地化措施可分为三大类。
- 第一种措施要求本地存储,但允许将副本发送到国外进行处理。这些措施通常用于确保监管机构不会遇到与管辖范围相关的问题。
- 第二大类涉及授权在当地储存并允许在明确规定的条件下在国外转移或加工的措施。例如,澳大利亚的《电子健康记录法》要求健康记录信息存储在澳大利亚,但在用户(数据主体)或海外注册医疗保健提供者需要访问的情况下,允许访问海外。
- 第三类措施是授权在当地储存和处理并禁止向国外转移(特别例外)的措施。这些更广泛的限制可以适用于一系列数据,包括银行、电信或支付数据,以及更广泛的信息类别。
对现有措施的分析表明,数据本地化正在上升。到2021,39个国家共实施了92项数据本地化措施。其中一半以上是在过去五年中出现的。重要的是,这些措施本身的限制性越来越强;到2021,已有三分之二的措施涉及禁止流动的储存要求(通常由非经合组织国家实施)-图1。
图1:数据本地化正在增长并变得越来越严格
注:数据本地化措施定义为数据在国内存储或处理的明确要求。
资料来源:López González,J.,F.Casalini和J.Porras(2022),“数据本地化措施的初步映射”,经合组织贸易政策文件,第262号,经合组织出版,巴黎,https://doi.org/10.1787/c5ca3fed-en.
数据本地化措施适用于一系列不同的部门和数据类型。就部门而言,确定的措施中有33%是跨部门的。其中一半(约占所有措施的16%)要求将业务数据存储在国内,以供相关部门访问(无流量限制)。然而,另一半包括禁止在个人或“重要/关键”数据的情况下进行传输。另有23%的措施适用于金融、银行或支付,15%适用于公共部门数据,这两项措施都涉及禁止流动的存储要求。
关于数据本地化的国际讨论主要是在优惠贸易协定(PTAs)的背景下进行的。截至2022年4月,共有21份协议规定禁止数据本地化(尽管每个协议都有不同的例外情况)。
尽管人们普遍承认数据本地化可能会产生负面的经济影响,但这些措施的经济和社会影响的实证证据很少。虽然可以根据规定的目标评估收益(例如,该措施是否增加了数据或国家安全,或有助于监管机构获取),但成本和对企业活动的影响可能取决于该措施的性质以及企业依赖数据支持其经济活动的程度。
需要更好地理解和监测不断变化的监管环境,以便更好地对数据本地化的经济和社会影响进行实证分析。这也将有助于制定数据本地化规则,包括在PTAs中,或在世贸组织电子商务联合声明倡议的讨论中。
- 登录 发表评论