当前位置: 首页 >  企业站SEO

2019数据治理报告——云深处的数据规则

发布日期:2020-02-23

作者|王融 腾讯研究院资深专家 王雅蓉腾讯研究院助理研究员

2018年,腾讯研究院发布了业内第一部年度数据治理报告——《迷雾中的新航向》,全面展现了“数据治理”的重点与全貌,变革与走向,以期为数据政策讨论提供参考启发。(点击下方“阅读原文”,获取2018年报告全文)

2019年,我们继续推出年度数据治理报告。区别于2018年首期报告的综合性和全面性,2019报告回应本年度重要关切:国际执法协作领域的数据跨境获取问题,形成专题报告——《云深处的数据规则——CLOUD法案与它的蝴蝶效应》。至此,数据治理已经走向了ミ最为复杂的核心领域。

在数字经济“全球化发展”的长期趋势与“逆全球化”等短期局部现象并存的大背景下,期待通过这份报告的系统梳理,来帮助厘○清当前复杂形势下所面临的重大挑战。如同“数字经济”以“开放创新”为核心驱动,基于其上的“数据治理”也需¤与时俱进,推动制度现代化,以并行实现数字经济安⌒全性和成长性两大战略目标。

本期公众号抢先推出报告核心观点,以飨读者。 引言

数据跨境流动是当前数字经济全球化最重要的政策议题之一。

过去几年,贸易语境下的数据跨境流动议题得到普遍关注,全球政策框架逐步明晰,包括:美国以贸易利益为驱动的数据自由流动主张,欧盟在人权项下的精细管理模式,以及发展中国家出于国家整体利益而实施的数据本地化措施。全球化中的数据跨境流动秩序似乎正在┛形成。

然而,自去年3月美国出台《澄清域外合法使用数据法案(Clarifying Lawful Overseas Use of Data Act,CLOUD Act,以下称“CLOUD法案”)》以来,▂▃▅▆█该法案所确立的以美国为主导的跨境电子证据协助调取机制,让我们的目光投向数据跨境所服务的另一个重要场۩..景——国际执╨法协作。它不仅直指最核心的国家司法主权和数据安全,也←对正±在成形的全球数据跨境流动秩序带来了全面冲击。

至此,两个场景下的数据跨境政策κ构建需要通盘考虑。贸易场景下的数据流动,伴随着数字服务的全球化,发生在商业主体之间或内部,是大规模而持续的;而执法协作场景中的数据跨境,发生在执法部门与商业主体之间,相对个案偶发。尽管两种数据跨境转移(获取)的性质截然不同,但却有着千丝万缕的联系。这也是CLOUD法案虽在近期出台,但却已显露后发制人效果的根本原因。

CLOUD法案从其诞生之初便引起无数争议。然而,经过一年半的喧嚣沉淀,其发展版图与态势逐步浮现。英国、欧盟、澳大利亚已经或正在启动与美双边谈判,重构数字时代的跨境执法数据调取机制。作为对传统司法协助制度的重大改革,CLOUD法案不仅为跨境取证体系带来新鲜血液,提升跨境执法效率,增强公共安全保障能力,同时,通过对等互惠机制,美国对与之签订协议♥的国家让渡部分执法便利,允许其直接向美国服务提供者调取数据,从而弱化了此类国家实施数据本地化的动机,对数据本地化机制带来对冲效果,美国国家安全利益和产业发展利益取得了高度一致。

正如“蝴蝶效应”所描绘的那样,在局部领域的细微变化,将会带动整≒个系统长期而巨大的连锁反应。CLOUD法案本身只是创立了一种法律机制,但在以云计算、物联网、5G为核心的数字基础设施中,其直指网络空间中的核心数据问题。在全球化浪潮中CLOUD法案及其带来的蝴蝶效应,势必对数字经济未来发展以及基于其上的国家数据治理框架,乃至国际网络空间关系带来前所未有的深刻影响。

本报告从理解CLOUD 法案最ъ重要的前提基础——管辖理论入手,对CLOUD▦▩法案的管辖效力、主要机制、争议影响、发展走势等问题展开了全面分析,形成核心观点判断,并在此基础上面向企业、政府部门提出相关建议与启发。

20个核心观点与建议

1.管辖是指国家对其领土及其国民行使主权的具体体现[i],也是研究CLΞOUD法案的起点。CLOUD法案的管辖问题包括两类★:适用主体范围╭╮和刑事调查取证所涉数据的触达范围。

2.在适用主体上,CLOUD法案并没有扩展管辖,其依旧延续其前身——《存储通信法(Stored Communications ≈Act,SCA)》所适用的两类主体,即受美国管辖的电子通信服务提供商(Provider of Electronic Communication Service,ECS)与远程计算服务提供商(Provider of Remote Computing Service, RCS)。这也是美国司法部对外强调其并没有扩展管辖的重要理由。然而,考虑到美国长臂管辖理论和刑事领域管辖本身的扩张性,CLOUD法案在管辖主体方面留下了极大的不确定性。企业需要参考美国长臂管辖中确立的最低联系标准,推演其适用于CLOUD法案场景下所承担的法律义务,以及♤由此而产生的法律合规冲突。

3.而在刑事调查取┓证所涉数据的触达范围方面,CLOUD法案明确扩张适用于受美国管辖的服务提供商在◁美国境外存储的数据,这给他国政府的境内数据安全、数据本地化政策以及司法主权带来直接挑战。

?

4.CⅫLOUD法案服务于刑事调查跨境取证这一目的。在CLOUD 法案之前,服务于这一目的的主要机制是MLAT——双边司法协助条约/协定(Mutual Legal Assistance Treaty/Arrangement,MLAT/MLAA)。传统MLAT机制下,一国执法部门不能径行要求服务提供商跨境提供证据,双方政府需指定一个“中央机关”来负责处理两国之间的司法协助工作。该机制充分尊重了一Ф国司法主权,一国政府可以通过充分审查,自主决定是否给与协助。截止目前我国已与55个国家签订了刑事司法协助条约[ii]。

5.但在经济全球化和数字化浪潮下,这一复杂冗长的协助机制,已不能适应需要。以欧盟为例,当前有85%的刑事调查中会涉及提取电子证据,其中又有65%需要跨境提取电⊙子证据[iii]。即使美欧司■法系统高度接近,其电子数据调取周期也近乎以年计算。MLAT耗时久,取证效率低的缺陷在数字时代充分暴露。

6.除了缺乏效率这一固有缺陷外,MLAT无法适应数字时代的根本原因还在于,随着云计算分布式存储的广泛应用,数据会在不同数据存储中心之间流转,导致很难识别特定数据在给定时间的具体位置,MLAT机制在启动环节就遭遇了困境。在特定案件中,应当寻找与哪一国开展司法协助?传统机制的运转面临根本挑战。因此,美国选择了对MLAT的彻底改革方案,而不是在原有的机制上进行改良[iv]。

7. CLOUD法案即是对MLAT的根本改革方案。本质上看,云计算发展所导致的数据控制者、数据处理者、数据主体、数据存储所在地相分离的情况已经远远超出了原有法律的规制范围,使得企业主体和执法部门陷入了无法可依的尴尬局面。这种对新的解决方案的需求是CLOUD法案诞∮生的原动力,也是CLOUD法案获得微软苹果、谷歌、Facebook等互联网公司支持的根本性原因[v]。

8. 微软与美国政府之间的一系列诉讼加速了这一进程。自2013年以来,微软针对美国政府提起了四起不同的数据隐私诉讼[vi],其目的是寻求政府执法数据获取的法律规则‰的现代化,й确保个人和客户的隐私权得到保护,明确服务提供商特别是云计算这种新的服务形态中,服务提供商的法律义务边界。

9.CLOUD法案所创设的直接向服务提供商获取电子证据的模式,对数据本地化政策带来直接影响,也因▓此产生截然不同的观点。有观点认为,CLOUD法案进一步强化了数据本地化,而反对者则持相反立场。♂究其原因,是二者忽略了讨论的前置条件。早在ⓛCLOUD法案出台之前,以发展中国家为主,各国∩出于产业发展、执法便利、数据安全等因素考虑,已不同程度地实施数据本地化政策,要求服务提供商将数据存储在一国境内。因此,在不同动机驱动下的本地化政策,将受到CLOUD法案的不同影响。由于CLOUD法案对于符合条件的适格国家,提供了对等的执法便利,因此其弱化了该动机下的本地化政策;而对于以国家数据安全视角的本地化政策,CLOUD法案带来了新的担忧,因此这部分国家又在本地化政策基础上,普遍出台“封锁”条款,禁止服务提供商将存于本国境内的数据提供给他国执法部门,这使得服务提供商陷入前所未有的合规窘≥境。

10.这对于服务全球市场的跨国企业更是如此,他们往往需要符合不同国家的法律要求。针对于由其掌握的电子证据,一国要求提供,另一国要求不得提供,企业陷入法律冲突的泥潭,同时也限制了执法部门跨境获取电子证据的能力,对公共安全保障带来负面影响。这是CLOUD法案无法回避的问↘题,因此其精心设计了复杂∠机制,以尽可能解决其带来的法律冲突等负面影响。

11.为了在实现跨境电子取证高效化目标的同时,尽可能降低服务提供商面临的法律冲突,CLOUD法案设置一项核心机制——互惠激励。按照CLOUD法案设定的标准,他国政府可以被划分为两类:适格政府与不合格政府,从而在跨境电子取证方面享受不同程度的优惠待遇。包括:

1)可以直接向受美国管辖的服务提供商要求调取数据;

2)受美国管辖的服务提供商按他国执法部门要求提供数据并不视为违反美国国内法;

3)接受美国执法部门数据调取命令的服务提供商可以将这一事实披露给他国政府;

4)对于美国执法部门提出的数据提供命令,服务提供商可以行使申请撤销或修改命令的权利,从而启动法院的司法礼让分析。

其中:适格政府完整享受以上四种对等优惠待遇;不合格政府不享受任何优惠措施,只能通过传统MLAT机制获取数据,而美国执法部门却可以径行要求受管辖的服务提供商提供美国域外证据。

12.区分上述两类ю政府资格的标准,具有一定的单边色彩。标准包括两方面内容:一是依据CLOUD法案与美国๑签署双边协定;二是该国政府能够为电子通信服务提供商和远程计算服务提供商(也就是CLOUD法案适用的两类主体)提供类似于CLOUD法案规定的实质性和程序性权利保障[vii]。

13. 可以总结为,只有符合CLOUD法案标准的他国政府,在跨境取证方面才能够享受对等便利,同时也消除了美国服务提供商所面临的法律冲突。适格政府能够在执法调查中,直接从美国服务提供商处便利地获取证据,实施数据本地化的必要性大为减少。至此,通过CLOUD法案的精心设计,美国国家利益和产业利益取得了高度一致。

14.CLOUD法案生效后,尽管面临一些批评质疑,但由于其提出了数字全球化时代的司法协助改革方案,总体进展超出预期。2019年10月,英美正式达成基于CLOUD法案之下的协助协议[viii]。欧盟一方面紧随CLOUD法案出台了欧盟执法扩张性立法草案,另一方面也启动了与美国基于CLOUD法案的双边协商[ix]。

15.微软作为行业代表也提出了CLOUD法案后续具体实施中应当遵循的六项原则:[x]

1)除特殊情况外,用户有知情权(保密永远是例外,而不是常态);

2)前置的独立司法授权和最低要求的公开;

3)具体完整的法律☆流程和明确的质疑理由;

4)解决与第三国法律冲突的机制;

5)查询企业数据规则的现代化;

6)透明度。

微软特别强调:执法部门应直接从云客户而不是云服务提供商处调取数据,这两者之间的关系才是执法场景下最直接的法律关系。

16.CLOUD法案并不能一蹴而就解决作为刑事证据的数据跨境获取问题,后续在双边协议谈判中,仍存在如下争议和难点:

1)对通卐信内容数据和非内⿸容数据的保护分歧。美欧都认同该数据分类,但欧盟对非内容数据也坚持高标准保护要求;

2)服务提供商的法律冲突困境,CLOUD法案中设置的抗辩机制如何有效实施;

3)如何合理的设置电子取证中的留存,提取,保全环节;

4)如何在新的执法协作机制中落实双重犯罪原则。

5)管辖权冲突变得频繁和主动,如何以更好的方式予以协调解决Ψ;

6)在涉及第三国利益时,如何通过实体和程序设计,保障ξ第三国权益≠。

上述问题的讨论将进一步明晰CLOUD法案的具体细节,加速CLOUD改革方案的落地推行。在基于CLOUD法案的第一份行政协议——英美协议中,已经对上述问题进行了回应,值得研究参考。

17.对于企业来说,需要加紧准备因CLOUD法案及类似法案(如欧盟《电子证据条例》)、英国《犯罪(海外执行命令)法案》带来的合规挑战。以CLOUD法案为例,需要从“服务类型——管辖——数据”三个方面拓展合规空间,对控制、访问数据的主体实施分离,降低法律冲突:

1)明确自身服务类型(是否属于CLOUD法案管辖的电子通信服务提供商和远程计算机服务提供商)。对这两种服务商的界定不仅依靠CLOUD条文表述,更需要结合相关案例来综合判断;

2)充分利用针对“长臂管辖”的限制原则,寻找管辖豁口,准确理解和适用国际礼让原则;

3)调整公司治理结构,配合技术管理措施,对数据实行分离管理。明确证明并不控制、监管或拥有相关数据。“管理分离”也是短期内最重要的一个合规方向。

不仅互联网企业,包括数字化的金融、航空等传统企业也将面临极大合规挑战。考虑到美国是判例法国家,CLOUD法案生效后,应关注和跟进援引CLOUD法案的相关案例,提炼总结经验。特别是对于将国际化视为重要发展战略的企业来说,需要做好充分的法律合规风险评估。

数字经济的发展·。对全球化提出了全&新的命题,全球化发展路径、组织模式将面临根本性调整。在一定时期内,企业需要承受主体分离、运营分离、数据分离等一系列“隔离”措施的阵痛。

18.跨境电子取证已经远远超越了企业合规视角,卷入了司法主权和数据主权议题,国家将扮演更为重▨要的角色。从美欧跨境电子证据制度改革看,虽然其制度尝试还远未成熟,但已显露出共同性——积极应对数字全球化对跨国执法协作带来的挑战,通过实体和程序设计,来提升执法协作效率,并尽可能减少法律冲突。美国还通过机制设计,消减数据存储地主权,对冲数据本地化政策扩展势头,进一步在全球推广数据自由流动原则。

19. 当下,造成管辖制度激烈冲突的根源在于,各国对于数字时代的管辖权基础有着不同理解主张。这些主张依托和强化本国优势领域,并有着显著的域外扩张特征。美国:在信息产业领域拥有显著优势,因此其管辖以拥有和控制数据的平台企业为切入点,并通过长↑臂管辖理论将其☼放大到极致,同时一定程度上否认数据存储地管辖;欧盟:由于失去产业支撑,其面临几乎失去数据主权的尴尬境地,除了效仿美国的主体管辖外,更强调效果管辖,即欧盟《数据保护通用条例》(GDPR)所提出的只要服务提供给欧盟境内个人即受管辖;发展中国家:实施防御主义的数据本地化政策,则更坚持数据存储地主权。这些管辖主张由于建立在不同的现实基础和利益表达上,短期内难以达成调和。但CLOUD法案的出台和推进,对于“数据本地化政策”的继续推进提出了现实挑战。

20.长远来看,数字化与全球化仍是不可逆转的发展趋势。因此尽管CLOUD法案具有单边色彩,但其核心目标仍然是服务于美国企业的全球化发展目标,为美国企业在全球继续开疆扩土提供政策支持。而对于我国来说,尽管在整体实力上与美国仍存在差距,但在数字经济领域也形成了一定的基础,在全球化方面也有着发展诉求。

数字经济全球化所带来的数据跨境充分流动现象,以及其带来的执法数据获取的挑战,是当前无法回避的重大问题,固守传统规则,无法走出困境。我们应积极正视,审时度势,直面数字化带来的巨大变革,完善数据治理理论基础,统筹贸易场景下的数据跨境流动议题和执法环境下的数据跨境调取议题,适度调整开放,以灵活务实态度参与国际对话,积极构建国际规则,为企业全球化发展提供多重渠道,通过数字经济的发展捍卫数据主权。

来自:腾讯研究院

  • 【网站运营技巧】新手在小...

    【网站运营技巧】新手在小公司工作的8条建议和很多网站运营新手朋友在朋友们在聊天的过程中,他们问的问题种类主要集中在两个方面:网站运营思路和技巧问题,还有就是新手怎么去开展工作。第二点相对第一点可能更加的急迫,他们说很多时候都是自己通过学习了视频教程,或者看了一些网站运营类的书籍,甚至都没有一个完整的项目经验就去面试运营工作了,这种情况下,当我们的新手网站运营朋友刚到一个新公司的时候(尤其是小公司,...

  • 艾瑞咨询:2013年Q3...

    Q3房产市场地区分化,房产网站广告投放费用继续增长 2013年第三季度,在宏观政策方面,全国房地产市场受“国五条”调控政策影响整体发展平稳,同时基于当地市场发展形势不同所采取的有差别的行政调控手段使得各地房地产市场有所分化,有紧有松,整体仍然维持量价双升的态势。根据国家统计局统计数据,2013年1-9月份,商品房销售面积84383万平方米,同比增长23.3%,其中,住宅销售面积增长23.9%;商....

  • 这30件事情,移动端设计...

    文章对移动端设计不同部分的需要注意注意的事项进行了盘点总结,与大家分享。 本文是一份备忘录,它将提醒您有关将应用程序发送到AppStore / GooglePlay之前需要进行设计的事情。 该列表分为几个重要部分: 登录/注册 初次体验 日常互动 通知 帐户设置 饲料 搜索 AppStore / GooglePlay 一、登录/注册 1. 启...

  • 唱鸭负责人李阳:抄袭只会...

    1月10日,有媒体曝出老牌K歌App唱吧即将发布的弹唱功能涉嫌抄袭,其页面、功能、玩法与弹唱App唱鸭高度雷同。唱吧否认抄袭之后,唱鸭已发出法务函,唱鸭负责人李阳表示,欢迎竞争创新共同做大,但赤裸裸的抄袭只会导致低水平竞争。李阳10日傍晚在朋友圈发文:看到唱鸭被抄袭,想说几句:1、即使友商否认,也掩盖不了抄袭的事实。多年前的勇士,今天变恶龙,很不体面。2、帮助年轻人玩音乐是一个全新的方向,欢迎竞争...

  • 首都科技发展战略研究院:...

    在我国289个城市的科技创新指数排名中,北京、深圳、上海、广州、南京、杭州、苏州、武汉、西安、珠海排名前10。北京位列第一,强势领跑全国。报告显示,北京作为全国科技创新中心的实力凸显,创新资源、创新服务和创新绩效三个一级指标均排名第一,支撑创新型国家建设作用不断增强。 中国城市科技创新发展指数排名前20位的城市依次是:北京、深圳、上海、广...

  • 杂志媒体是如何一步步成为...

    在谷歌新闻(Google News)的首页获得一个曝光之后,文章的流量便会突飞猛进式的增长。这种聚合平台与媒体的合作模式我们都不陌生,这一化学反应也被称之为“谷歌新闻碰撞”(Google News bump)。 但就在前不久,提供付费服务的Google News宣布彻底关闭数字杂志服务,为用户办理全额退款。这意味着,今后用户无法通过谷歌新...

  • UFI:2015年亚洲展...

    国际展览业协会(UFI)发布第12届亚洲展览业最新年度报告。报告纪录了亚洲区展览业的成长,2015年亚洲展览总展览面积增长了5.6%,净销售展览面积与空间达到近1970万平方米。 调查结果显示,展览组织者在2015年于亚洲一共向其客户销售了1969万平方米净展览面积,相比去年1864万平方米高的多。当中,56%的比例是在中国销售,也就是...

  • 全国首家智力竞技馆上线 ...

      2017年11月5日下午,全国首家智力竞技馆——水木智娱智力竞技馆启动发布会成功召开。如同“黑网吧”向“高级网咖”转型升级的成功案例,如今水木智竞馆要做的,就是承担起“棋牌室”向“智竞馆”转型的重任,打造“第二代棋牌室”。   据获悉现场云集着非常多位智力运动机构权威、互联网、传媒、投资等各领域关注智力运动发展的知名大咖,如:国内外...

  • 需求的真伪如何判别?

    需求的真伪是相对的,随着市场、企业、产品、时间、用户群、风口等等的改变而发生改变。分析需求,要根据实际情况做出判断。 PM和需求经常会打交道,我一直以来都在思考如何去分析需求的真伪,大家都喜欢从用户角度去讨论需求真伪,比如老生常谈的打孔故事。 但这篇文章不从用户的真实需求出发讨论,我从更多的维度出发考虑需求真伪去谈论自己的观点,以下提到的需求至少...

  • 七麦研究院:2019年1...

    12 月 App Store 新闻回顾 1、苹果 2019 年度精选 App 与游戏名单出炉 12 月 3 日,苹果发布了最新出炉的 2019 年度精选 App 和游戏名单。其中 2019 年度 iPhone App 为《Spectre 相机》,2019 年度 iPad App 为《Flow 由 Moleskine 呈现》,年度 Mac ...

  • 2019数据治理报告——...

    作者 | 王融 腾讯研究院资深专家   王雅蓉  腾讯研究院助理研究员 2018年,腾讯研究院发布了业内第一部年度数据治理报告——《迷雾中的新航向》,全面展现了“数据治理”的重点与全貌,变革与走向,以期为数据政策讨论提供参考启发。(点击下方“阅读原文”,获取2018年报告全文) 2019年,我们继续推出年度数据治理报告。区别于2018年...

  • 百度国潮骄傲大数据

    近来,故宫、大白兔等中国品牌文化IP大受欢迎,国内不少市场都随之刮起“国潮风”。百度与人民网研究院联合发布的《百度国潮骄傲大数据》报告显示,自2009 到2019年10年间,中国品牌的关注度占比由38%增长到70%。 在“最火”中国品牌中,大白兔、老干妈、王老吉、故宫、敦煌、《流浪地球》、李宁、波司登、吉利、华为、自然堂、百雀羚等榜上有名...