迈向数字时代的全球数据进路（下）

翻译：对外经贸大学金融科技实验室

五、数据策略工具包

数据政策框架设定了管理经济中个人数据使用的规则。如果设计合理，这些政策可以支撑公众对数字经济的信任和参与 (世界银行2021年)。这些框架包括标准和政策的设计及其实施，这些标准和政策涉及如何存储数据，谁可以访问数据，如何使用数据，以及它可以用于什么目的 (方框A3)。随着数字服务的激增，数据治理在制定多个目标的公共政策方面变得越来越重要。

各国的数据治理方法具有重要的国际影响，因为数据服务的跨境提供必须遵守当地和外国的框架，产生数据政策的外溢效应。个别司法管辖区往往优先考虑国内因素，而不是其政策对其他国家的影响。

各国的做法差异很大，全球数字经济有三个明显的趋势。解决隐私问题和保护国民数据一直是大多数数据监管框架的重要驱动力。数据监管的很大一部分源于法律上的 ，在某些情况下，是宪法上的 关于隐私的担忧。这是关于个人应该在多大程度上使用自己的数据的辩论。

基于权利的方法，如欧盟在2016年《通用数据保护条例》中的方法，与美国更多基于活动的监管形成对比。美国的公开转让方式主要是本着行业自律的精神，基于 "通知和选择 "的概念（世界银行2021年），而美国的数据隐私保护通常是针对特定部门的，适用于相对狭窄的领域，如医疗保健或金融。一些大型新兴市场如中国，保护个人的隐私，但也强调能够保持对个人数据的访问的公共利益，并引入了数据本地化以保护个人的数据。部分由于对这些不同因素的重视，全球数据治理框架没有总体上明确的方法，随之而来的是分散的风险。

区分公法和私法对于理解数据框架的法律基础非常重要。私法的很大一部分适用于执行私人当事方之间关于数据使用的合同协议，通常涉及某些形式的同意。公法本质上是监管，旨在为数据使用设定标准和规则。私人执法 (例如，允许通过民事诉讼纠正违反合同的行为) 通常侧重于数据是否以提供同意的方式使用。公法提供的基本权利被认为是不可剥夺的，不能被剥夺 (例如，根据GDPR的隐私)。一旦个人或实体 “拥有” 数据，某些类型的使用需要同意的程度也引起了争议，这与关于是否可能对数据拥有财产权的辩论有关 (请参阅方框A4)。

隐私考虑必须与公共利益相平衡，这往往需要私人行为者之间以及官员之间的信息共享。存在个人的私人或机密数据具有社会价值的情况 (例如，出于识别目的)，特别是在被证明有滥用风险的部门 (如金融服务部门)。从披露此类信息中获得的社会价值 (减轻金融稳定和诚信风险) 必须与个人隐私权进行权衡。这种平衡通常以披露要求的形式编织到公法框架中，作为获得或获得某些服务 (例如，金融服务) 或履行某些法律义务 (例如报税或可疑交易报告)的先决条件。也可以根据要求（由监管或执法当局）进行披露。

有充分的理由加强监管协调。部门数据政策创造了可以更好地管理的经济权衡。更严格的隐私保护可能会限制对数据的访问，扼杀创新。14 通过开放银行促进金融竞争可能会给金融稳定带来一些风险。一个部门监管机构孤立地考虑隐私、创新、竞争或金融稳定目标的方法，很可能会对其他目标产生意想不到的后果。平衡这些相互竞争的目标要求对数据政策框架采取协调一致的方法，包括许多国家机构之间的合作，包括中央银行、财政部和经济部、金融监管机构、消费者保护机构，隐私监管机构和竞争机构。这至少需要相关法律和监管框架的一致性，以及监管机构之间讨论和协商的某种形式的体制安排。例如，在发行数字货币以促进其货币和金融稳定目标的背景下，中央银行将需要考虑如何处理因收集个人支付信息而引起的隐私问题，无论是自己还是私人实体处理数字货币 (英格兰银行2021年)。这可能需要一种与国内隐私和消费者保护监管机构协调的机制。然而，在跨界背景下，平衡目标变得更加复杂，每个国家都有自己的政策目标和数据政策框架。

数据政策框架现代化的努力应从澄清数字经济的规则开始，同时确保其具有竞争力和弹性。为了使市场有效运作并正确衡量数据的价值，数字经济的参与者应了解并了解如何收集，处理和访问其数据。

更大的公平性还需要有竞争力的数字经济，人们对科技密集型行业的集中度和高加价表示担忧（Furman等人2019年；Akcigit等人2021年）。提出了若干政策办法：

互操作性:可互操作的平台提供了一种机制，便于根据一套相互接受的规则共享和传输数据。这些平台收集了大量个人网络的数据。事实上，很难将网络的价值与平台中底层数据的价值区分开来。但两者紧密相连。因此，使个人更容易在网络之间移动的工具 (所谓的多归宿) 在减少网络占有率和提高可竞争性方面大有帮助。15 如果降低 “太大而不能倒” 的风险，这可能有利于竞争，也有利于金融部门的稳定。为了实现互操作性，相关参与者必须可以访问平台; 权利和责任也必须分配和管理。

数据可移植性:虽然互操作性可以被认为是连接不同平台的管道网络，但可移植性使人们可以控制通过这些管道流动的内容。可移植性要求的目的，例如在开放银行安排中设想的是通过降低数据主体转换为竞争性服务或跨多个家庭的成本来促进竞争多个服务。可以考虑将可移植性作为在网络环境中更广泛地管理竞争的解决方案。

数据受托人:数据受托人的概念 -- 有责任管理的代理人。该主题的数据和权利并寻求数据处理的同意-已作为有效同意管理问题的潜在解决方案，包括在印度讨论的建议。16 这些可以作为实现隐私目标的解决方案得到支持，同时实现更广泛的共识数据共享的好处。

公共数据实用程序:更多的数据共享可以符合公共利益，包括在大流行接触者追踪和生物医学研究方面。多利益相关者解决方案可以在保护隐私的同时实现数据共享，例如泛欧洲隐私保护邻近追踪 (pepp-pt) 社区倡议。17 值得考虑的是，在独立的中央存储库中 (按照公共信贷局模型) 汇总用于合法公共物品的个人数据。这可以允许公平竞争环境访问数据，为各种规模的企业开发解决方案，但是，它必须解决监视状态和网络安全问题，并且可能由分散的解决方案 (例如互操作性和可移植性) 主导。

六、全球政策合作的案例

数据已成为现代移动的终极因素，跨境数据流正在增加。跨境移动数据的能力支撑着越来越多的经济活动和国际贸易 (图5：计算机、通信和其他服务贸易与传统服务贸易的数据)。数据流对于服务贸易促进跨境支付尤为重要，其高昂的成本一定程度上反映了交换身份和支付细节数据格式的不同标准。

跨境数据保护面临挑战。一个挑战是，公民的个人数据可能会流入或流出没有同等隐私保护水平的司法管辖区。19 还可以说，在不完全市场的情况下，全球公司对国家数据主体的处理和使用没有得到充分的补偿。当局在维持对出于监管或安全目的可能需要的个人数据的控制方面也有合法利益，这会在隐私和其他可能需要的政策目标之间产生紧张关系不同国家的看法不同。加西亚·马西亚（Garcia-Macia）和戈亚尔（Goyal） (2020年、2021年) 指出了可能导致各国寻求在数字经济等垄断行业建立技术贸易壁垒的条件以抵御挑战者的条件。他们警告说，这些决定可能导致主要技术中心之间以及与世界其他地区的数字脱钩。

数据标准的差异对发展中经济体构成特别严重的权衡。跨境数据流推动了发展中经济体最具活力的出口: 数据处理和与数据相关的商业服务。这些服务，从财务会计和纳税申报表到医疗转录和诊断，在2015年为发展中经济体向欧盟出口了价值超过500亿美元的产品，其中五分之一来自非洲 (Mattoo和Meltzer 2018)。因此，当发达经济体收紧数据监管时，发展中经济体面临两难境地: 要么它们必须采用这些更严格的标准，提高出口商的合规成本，要么将面临失去市场准入的局面。

数据本地化法律可能会产生广泛的经济成本，并不成比例地损害较小的经济体。几个国家正在寻求对其国家边界以外的国家主题的数据传输施加具体限制 (所谓的数据本地化)。Menon (2018) 指出，数据本地化政策可能反映出对跨境数据或流量或保护主义政策的网络安全风险的误导，并可能损害数字贸易的利益。由于数据是非竞争性的，因此其跨境使用可能会带来巨大的收益。随着数据集变得足够大，足以解决前沿人工智能预测问题，规模经济也可能出现。因此，减少大型数据集的贸易可能会损害经济增长。在贸易伙伴中面临严格数据本地化要求的较小国家的公司也可能发现，如果不访问大型数据集，竞争和创新变得越来越困难，这可能会产生数字鸿沟，使一些国家无法享受数字化带来的好处。

A.走向全球数据政策框架

有充分的理由在数据治理方面进行国际合作。虽然我们不应该期望所有国家都以同样的方式处理创新、隐私和安全问题，但国际对话与合作可以确保数字经济不会受到过度分裂的影响。追求隐私和个人权利的最佳原则，同时满足社会目标，不必在全球范围内争夺分散的政策方法，从而导致本地化数据市场，这可能会破坏跨境数据共享的许多潜在好处。各国需要在增长和竞争利益与国家和个人隐私问题之间取得平衡的共同最低原则，至关重要的是，要在所有国家都有发言权的情况下做到这一点，以避免出现数字鸿沟 (世界银行2021年)。

共同最低限度国际原则的关键要素，特别是对于已经高度监管并进行了重大国际协调的金融服务，可能包括以下内容:

数据保护原则:关于跨境共享个人数据时可接受保护的共同最低标准的国际协议，将减少寻求遵守的企业的不确定性。这种方法可以借鉴 经合组织《隐私原则》 (1980年和2013年修订)，并对角色等问题进行了进一步思考同意以及数据和个人的定义。

互操作性和数据可移植性原则:鉴于将个人数据作为其业务重要组成部分的企业的全球影响力，有必要讨论关于这种互操作性和可移植性应如何跨国界工作的共同原则 (Furman等人，2019)。具体用例包括跨开放银行计划的跨境支付和跨境数据共享 (支付和市场基础设施委员会2020)。一个具体的挑战是在可以跨境使用中央银行发行的数字货币的互操作性原则上进行协调，包括用于数字识别个人的方法以及数字钱包和数据流的标准。

出于监管目的共享数据的原则:严格的数据框架不仅应控制数据的保护，还应在必要时向包括监管机构在内的公共机构披露数据，以实现某些公共政策目标 (例如，促进刑事执法活动并确定纳税义务)。在许多国家框架中，对保密和保密条款的豁免已经司空见惯 (例如，税法和反洗钱以及打击资助恐怖主义) 并符合许多国际标准和最佳实践(例如打击洗钱和资助恐怖主义的金融行动特别工作组标准以及经济合作与发展组织 (OECD) 的税收倡议)。随着数据制度的发展，仍然需要谨慎地平衡隐私问题与公共政策目标的披露。根据目前的努力，并尽可能地，向公共当局披露数据的原则应旨在在国家框架内达成共识，以便为执行或监管目的进行全球数据共享。

G20还认识到，出于公共政策目的，需要访问私人数据源。由于保密或法律规定等问题，政策制定者和统计人员继续面临从国内私人实体获取数据的障碍，这些障碍在跨境变得更加复杂。2021年4月，二十国集团财长和央行行长要求国际货币基金组织与其他国际组织密切合作，为新的二十国集团数据差距倡议准备一份提案，其中访问私有数据源被列为四个主要优先领域之一。

已经讨论了一些全球和区域数据框架。为提供商业和金融服务交换数据的一些有限的正式安排受多边贸易条约 (特别是通过世界贸易组织 (世贸组织)) 和双边贸易协定的管辖。虽然这些可能具有约束力，但大多数国家都依赖参与者选择加入，一些主要国家选择不这样做。还有一些双边协议和意向声明没有约束力，但实际上是硬性法律 (例如，《欧盟-美国隐私保护协议》，尽管在Schrems诉讼后该协议无效)。某些全球框架也为大型国家间用于官方目的的数据交换规模。还提出了一种由国际标准和惯例组成的更 “软法律” 方法，特别是在数据隐私方面 (例如，先前引用的OECD隐私指南以及APEC互联网和数字经济路线图)。世贸组织的电子商务倡议 (自愿的多边方法) 在早期阶段寻求一个共同的规则体系，以允许跨境数据流动，同时确保隐私保护。

如果没有对数据政策框架采取全球办法，就可能继续采用临时、部门、区域或双边办法。尽管这些引起了人们对零散的担忧，但可以在制定共同的全球原则的同时，采取循序渐进的方法。例子包括双边协议，该协议为解决监管异质性与国际数据流之间的冲突提供了一种方式。虽然关于全球数据监管的新条约制度似乎非常雄心勃勃,现有的合作制度也有扩大的余地。一种方法可能包括以现有标准为基础，例如国际标准化组织 (ISO) 制定的自愿标准。

有必要在国家和国际两级取得平衡。总体而言，此员工讨论说明明确了为实现一系列目标必须克服哪些数据政策。平衡这些目标之间的权衡需要在国家一级采取协调一致的方法，包括不同部门监管机构之间的合作。该说明还提供了一系列选项

例如，自动交换信息以获取 “批量” 纳税人信息。还有一些数据共享制度，专门促进监管和执法官员之间的合作。其中一些是匿名的，主要涉及统计数据 (例如，货币基金组织、世贸组织、国际清算银行); 其他方面，特别是在执法和情报领域，为共享个人机密数据，包括调查信息提供了一个论坛 (例如，国际刑警组织的信息系统，埃格蒙特安全网络)。

传统贸易协定侧重于交换市场准入承诺，而隐私盾反映了一项创新的交易: 数据目的地国承诺以符合其国家标准的方式保护外国公民的隐私; 作为回报，来源国承诺不限制数据流。《跨太平洋伙伴关系全面和进步协定》 (CPTPP) 和《美国-墨西哥-加拿大协定》 (USMCA) 中的数字贸易规则已采取此类方法在多国环境中。然而，在这种情况下，隐私安全紧张局势和欧盟法院的调查结果仍将是一个问题 (Meltzer 2020)。

当制定新标准时，ISO可以并且已经在行业范围内达成共识，包括有关金融机构之间电子数据交换，数据协调等的标准。但是，ISO本身并不是监管机构，因此使用ISO标准简化数据使用取决于国家立法者的同意。

讨论如何在承认国家特权的同时加强全球数据共享框架，包括平衡公共政策需求和隐私考虑。需要在国家和国际两级采取行动，以减轻分散到本地化国家数据池中的风险，这将削弱数据共享为生产率提高，贸易和金融包容性带来的好处。如果没有新的国际协议，将需要找到临时解决方案。在此期间，数据隐私、安全、竞争和稳定之间的紧张关系将在日益一体化的全球数字经济中继续发挥作用。

附件I.什么是数据？

个人数据长期以来一直用于商业、金融和公共政策，但随着数字化的普及。

从古代美索不达米亚到启蒙运动后的人口普查，国家和私人实体一直在寻找有关个人的数据，其范围和细节都在不断扩大。最近的两个技术趋势导致数据的经济相关性爆炸式增长。首先，技术进步大大降低了收集和存储数据的成本。广泛的数字化导致更多数据作为经济和社会活动的副产品产生。其次，分析技术的进步允许更复杂的处理从可用数据中提取更大的价值。包括人工智能和机器学习在内的通用技术推动了跨部门使用海量数据库，预测算法被广泛用于识别有前景的新药，为以前被排除在外的家庭和中小企业提供金融服务，提供有针对性的广告，并提高运营效率。

本员工讨论笔记侧重于个人数据，这些数据可以映射到人们的属性和行为。显著的特点是信息总是在个人层面，不像宏观经济和金融中使用的其他类型的数据可以在实体（部门、公司）或地理（地区或州）层面聚合。这些数据可以反映人类的身体属性和行为（如性别和年龄）、经济特征（包括收入、财产和交易）、社会关系（朋友、职业网络等）、品味（如反映的在网络浏览习惯和购买历史中），以及敏感的个人数据（例如健康特征和安全信息）。在许多情况下，可以识别或定位其数据的个人。现在可行的直接和附带信息收集的令人难以置信的广度和细节，加上个人对其数据控制权的不明确机构，是隐私挑战的核心，也是我们解释的商业和金融机遇的核心。

个人数据为衡量经济提供了新的机遇和挑战。正如Hammer、Kostroch 和 Quirós-Romero（2017）所讨论的，个人数据的数字化捕获的普及可以通过三个主要渠道显着改善经济衡量。

附录I.背景框

框A1 数据与大流行

在大流行期间，使用大型个人数据集来分析病毒的传播和政策的影响的情况激增。来自各种平台的实时大数据已用于接触者追踪和移动追踪。这在使用手机数据和来自社交媒体及其他平台的信息进行的政策分析中得到了体现（世界银行2021）。

隐私保护有时会与必要的跨境医疗数据共享发生冲突。由于难以分享生物医学试验的个体结果（Peloquin等人，2020年）。不同的隐私保护标准使得跨境关键医学研究的合作变得更加困难。在大流行的背景下，解决这种紧张局势变得更加紧迫。

框A2 开放银行

开放银行计划通过金融部门的数据共享促进竞争和创新。这些政策已在许多国家实施，包括澳大利亚、巴西、欧盟、印度、墨西哥、新加坡和英国。开放银行可以被认为是金融部门的数据访问政策，允许在消费者同意的情况下共享数据（Carrière-Swallow和Haksar2021a）。这些政策旨在改变数据以及信息在金融系统中的流动方式：谁拥有，谁没有，谁来决定。他们认识到，在金融服务行业的现有和潜在进入者之间共享数据可以通过新的和更好的产品和服务促进进入、竞争和创新。

开放银行框架因司法管辖区而异。它们的范围从在消费者开始时在所有受监管实体之间进行互惠数据共享的公共授权，到监管机构的公开鼓励，再到私营部门主导的公共中立倡议。开放式应用程序编程接口(APIs)的开发通常有助于数据共享，这些接口允许以标准化格式安全地传输数据。开放式银行业务涉及通过传统征信机构进行的信息共享方面的多项创新。首先，金融机构直接相互交换客户数据，而不是通过中介进行。这使他们不仅可以获得经过处理的信用评分，还可以使用精细数据进行专有分析并提供更多定制产品。其次，在开放银行模型中，用户可以更好地控制他们的数据。尽管信用局倾向于在客户参与某些预定任务时授权数据传输——例如，提交租赁申请——开放银行设想用户可以随意启动数据传输并确定与谁共享什么。

开放银行的成功可能取决于与其他公共基础设施的整合和政策支持。提供数字身份证和制定支付互操作性标准是印度开放银行基础设施的两个关键方面（Carrière-Swallow、Haksar和Patnam2021）。国家数字身份系统可以通过加强实施“了解你的客户”标准的能力来降低身份验证成本并促进遵守洗钱和恐怖主义融资要求。在世界各地，人们一直担心中央政府支持的数字身份提供规模及其在侵犯个人隐私权的应用中的使用潜力。这表明，要成功实施这种基于堆栈的方法，需要一个现代化的隐私框架。

框A3 数据隐私框架的国家方法

隐私：一些框架在宪法条款中将隐私定义为一项基本权利和自由。其他人将该权利视为保护商业和金融交易中数据的普通法概念。一个重要的区别在于国家的作用。当可以确定明确的公共利益时，许多人对数据隐私有例外——例如，为了支持监管要求或执法行动。

溢出效应：许多框架具有域外影响力，在其本国管辖范围之外提供数据保护。通用数据保护条例(GDPR)不仅涵盖欧洲实体，还涵盖欧盟以外的数据处理器，这些数据处理器处理欧盟提供的商品和服务的个人数据或监控欧盟个人的行为。

同意：对处理个人数据的合法同意的建立因国家而异。在大多数框架中，必须自由且明确地同意出于明确的法律目的进行数据处理。有例外，如果可以证明合法利益，大多数框架也允许豁免。

可移植性：这是一项允许数据主体获取其个人数据并将其用于其自身目的的权利。为了鼓励竞争，许多框架要求以结构化、常用和机器可读的格式向数据主体提供个人数据，并且可以将其传输给不同的数据控制者、数据受托人或服务提供商。关于数据主体是否可以要求将数据传输给第三方以及必须在必须便携的信息范围内传输，存在一些差异。

本地化：数据本地化法律要求数据在国内存储或处理。这些政策旨在维护国家的数据主权并保护敏感数据免受滥用和网络安全威胁。一些政府引入了数据本地化法律，要求或鼓励公司将个人数据存储在本国境内，或者在某些情况下限制个人数据的跨境传输。其他人则对活动可能损害国家安全的外国企业建立域外管辖权，并明确允许使用本地化政策来报复在国外实施的歧视性技术贸易和投资措施。

安全要求要求以安全的方式处理数据：这包括防止未经授权或非法处理以及意外丢失或损坏。一些框架没有强加数据安全要求，但包括对因违反企业以风险为基础的方式遵守合理安全实践和程序的义务而导致的某些数据泄露采取行动的权利。

处罚：这些处罚在范围和规模上因司法管辖区而异。GDPR对违规行为进行罚款。处罚范围从全球营业额的2%到4%不等，具体取决于违规的严重程度，并且与其他司法管辖区的处罚相比相对较高。

框A4 数据作为财产

激烈辩论：将数据视为财产，无论是不动产还是更类似于知识产权的东西，都是一个反复出现的想法，一直受到激烈争论。基本前提是数据具有价值，公司愿意为这些数据付费，而且这些数据通常是关于个人、由个人生成或与个人相关的，因此，他们应该对其拥有财产权（例如，排除他人或据此收取费用）。尽管一些监管制度具有类似财产的方面，但总体概念尚未被广泛采用。

并发症：一些司法管辖区出现了关于个人是否可以转让其数据隐私权的宪法问题。数据作为财产可能会导致不平等。例如，财富较少的人（并且更愿意出售他们的数据）将拥有较少的隐私。另一方面，不考虑财产方面可能会产生意想不到的后果，例如未能解决死者数据的财产权问题。

碎片化：各国对数据的财产权有不同的看法，尤其是在将这些权利与其他目标（例如隐私或国家安全）进行权衡时。不同的观点可能导致数据处理者将活动转移到保护较少的司法管辖区（例如，引发诸如“出售隐私”之类的股权问题）。

选项：关于财产法的某些方面——尤其是知识产权法——是否可以作为建立数据监管的参考（例如，谁有权获得因使用个人数据而产生的收入流），仍然存在有价值的讨论。