域外观察 | OECD发布《数据本地化措施的性质、演变和潜在影响》报告

全文约1100字，预计阅读时间7分钟

文|刘耀华 中国信通院互联网法律研究中心高级研究员

2023年11月10日，经合组织发布报告，探讨了数据本地化措施的性质和演变及其对业务活动的影响。数据本地化呈现以下趋势：数据本地化需求不断增长，且要求越来越严格。报告建议通过持续观察等具体措施，减缓数据本地化对产业的影响，促进全球业务运营。具体内容如下：

一是明确了数据本地化的含义。当前，主要国家立法、相关国际协议、区域性协议等文件中提出了许多关于数据本地化的定义，学术界也通常通过使用“不合理”或“强制”等限定词来区分不同形式的数据本地化要求，反映出对于数据本地化措施的内容尚未形成共识。本报告认为，数据本地化是要求数据在境内进行存储或处理的明确规定。相比其他规定，这一定义更具有客观性，有利于避免更多讨论上的分歧。

二是数据本地化需求不断增长。到2023年，超过三分之二的数据本地化措施提出了本地存储和处理要求，不允许数据流向境外。非经合组织国家是采取更严格限制措施的主要推动者。主要国家和地区针对不同类型的数据采取了不同程度的数据本地化措施，如针对敏感数据（如健康数据或公共部门持有的数据）的本地化措施更加严格，一些国家对商业数据、电信数据的本地化限制则较少。主要国家和地区为了实现数据互通，主要在区域贸易协定（RTA）的背景下讨论数据本地化问题。截至2022年，已有涉及32个国家的27项协议包含了禁止数据本地化的条款，但每个协议都规定了不同的例外情况。

三是产业界对数据本地化的影响反映强烈。产业界各方大多认为数据本地化措施弊大于利。如，OECD-WTO联合组织的一次商业调查结果显示，数据本地化将使得数据管理成本增加15-55%，同时，超过70%的被调查方不认为或不确定数据本地化与国内创新、隐私保护或数据安全等公共政策目标具有直接联系。在电子支付领域，数据本地化措施影响企业的国际网络运营能力，增加中小企业的成本，增加欺诈、网络安全风险。在云计算领域，数据本地化可能使得云计算服务提供商无法提供更便宜、更安全的数字解决方案，因此对下游用户，尤其是中小企业的影响最大。

四是建议通过多种措施缓解不利影响。其中包括：持续监控不断变化的监管环境，以掌握最新趋势，并更广泛地参与到相关工作中；促进交流，讨论原则上尽可能采取限制性较小的数据本地化措施，如，可以探索对非个人数据的访问条件，而非直接采取本地化措施，或将以往限制性更强的数据本地化措施转变为具有透明传输条件的数据本地化措施等；与监管机构、贸易政策制定者、以及包括来自私营部门的其他利益相关方开展对话，继续就相关问题开展合作；考虑依托WTO《关于电子信息的联合声明倡议》等框架展开讨论，争取在保障合法公共政策目标的前提下，制定解决数据本地化问题的全球规则。