海峡两岸数据跨境规则衔接的法治逻辑
中评社╱题:海峡两岸数据跨境规则衔接的法治逻辑 作者:冯泽华(广州),广东工业大学国家安全研究中心研究员、广东工业大学数字经济与数据治理重点实验室分室“数据法治与大数据治理实验室”执行主任;刘志辉(广州),广东工业大学国家安全研究中心科研助理
【摘要】在海峡两岸融合发展的大背景下,数据跨境的多尺度耦合功能日益凸显,两岸数据跨境规则衔接的内生需求愈发强烈。从国家、产业、个人层面看,数据跨境规则衔接具有推动两岸关系和平发展、驱动两岸产业有序融合、实现两岸个人信息协同保护方面的制度理性。然而,由于两岸数据跨境规则尚未有效衔接,两岸数据跨境流动面临共同依据缺位、合作监管失位以及权利协同保障错位等结构化制度障碍,其成因牵涉法域间规则体系兼容性不足、行政主体合作效能滞后、权利救济机制不对称等深层次矛盾。为此,海峡两岸宜通过单方主导、双方联合、第三方协调相结合的方式,在法治框架下协同推进数据跨境规则衔接。
2025年国务院政府工作报告提出要“坚持贯彻新时代党解决台湾问题的总体方略,完善促进两岸经济文化交流合作制度和政策”①。大陆和台湾同属一个中国,实现海峡两岸数据跨境规则衔接是中国数字经济高质量发展的应有之义,也是新时代进一步完善促进两岸经济文化交流合作制度和政策的重要方向。近年来,海峡两岸数据流动环境建设积微成着。2016年起台湾当局陆续推出“数位台湾·创新经济发展方案”“智慧台湾方案”。2022年8月,台湾当局行政部门“资通安全处”整合相关机构成立“数位发展部”,标志着台湾统筹数字治理与数据基础建设、保障通讯与信息安全、推动数字化转型取得阶段性进展②。《数字中国发展报告(2023年)》显示,截至2023年底,中国数据存储总量达1.73ZB,全国已有超过10个省市上线公共数据运营平台,20多个省市成立专门的数据交易机构,场外数据交易在数据交易市场中占主导地位,场内数据交易规模呈快速增长态势③。伴随两岸数据基础设施建设的日臻完善,两岸数据跨境流动的物质基础持续巩固,由此带来的经济发展、社会认同、国家统一等综合效益将愈发明显,如何完善促进两岸数据跨境合作的政策制度体系,推动两岸数据跨境规则衔接终成无法回避的现实课题。为此,本文以两岸数据跨境规则衔接的重要性为切入点,多层次分析其对国家、产业、个人的作用,随后多维探究两岸数据跨境流动在依据、监管、权利保障方面的制度障碍,最终提出单方主导、双方联合、第三方协调相结合的两岸数据跨境规则协同衔接进路。
一、海峡两岸数据跨境规则衔接的制度理性
作为生产要素之一的数据在云计算、大数据、物联网、人工智能等新兴技术高速发展的时代具有无比广阔的应用空间④,数据跨境流动是赋能技术迭代升级、培育新质生产力、实现科技平权的关键一招。于海峡两岸而言,数据跨境规则衔接具有国家、产业、个人层面的多重价值(如图1所示)。
[图1:海峡两岸数据跨境规则衔接的多重价值]
(一)推动两岸关系和平发展
2025年正值《反分裂国家法》实施20周年,该法规定国家依法保护台湾同胞权益,鼓励两岸开展经济、教育、科技、文化等方面的交流,推动有利于维护台湾海峡地区和平稳定、发展两岸关系的活动。为促进两岸关系发展、经济文化交流等,大陆出台了“31条”“26条”“22条”“11条”等一系列政策措施。从商品贸易来看,海关总署统计数据显示2024年两岸贸易额达2929.71亿美元,其中大陆从台湾进口约2177.82亿美元,同比增长9.3%;大陆向台湾出口约751.88亿美元,同比增长9.8%⑤。在两岸传统商品贸易往来密切的背景下,数据及其相关产品“进出口”形势却不容乐观。IBM发布的研究报告称,2024年全球一场数据泄露的平均成本达488万美元,同比增长10%,为新冠疫情后最大增幅。涉及客户个人数据的泄露事件占比46%,接近半数的泄露事件涉及客户个人身份信息⑥。2025年1月,台湾“数位发展部”表示DeepSeek AI运行涉跨境传输及资讯外泄等资安疑虑,属危害台湾资讯与通讯安全的大陆产品,公务机关与关键基础设施等应限制使用⑦。随着两岸数据跨境流动的需求与日俱增,需要更加完善的数据跨境规则予以保障。而推动数据跨境规则衔接正有利于两岸强化数据法治互信,消解阻碍数据生产要素跨境流通的制度壁垒,切实保障个人隐私安全,促进数据市场与产业的可持续稳定互联互通,实现两岸关系和平发展。
(二)驱动两岸ICT产业有序融合
ICT指信息与通信技术(Information and Communications Technology),行业惯常将ICT产业划分为制造业和服务业,ICT制造业包括电子元器件和板制造(含半导体元器件和集成电路制造)等⑧。半导体作为集成电路的基础材料,不仅是ICT产业发展的基石,更是保障国家安全的战略性物资。台当局“投审司”统计显示,2023年台商赴美投资金额96.9亿美元,是2022年的9倍,投资主要集中于半导体产业⑨。2025年3月,台积电宣布在美国追加1000亿美元投资,投资总额达1650亿美元,成为美国史上最大的单项外国直接投资。台湾是晶圆代工、封装测试领域的佼佼者,大陆的集成电路仍主要依靠进口。2018年以来,两岸IC产品年度贸易额均超过千亿美元,6年累计8710.65亿美元,占同期两岸贸易总额的53.56%⑩。据统计,台湾2024年806.08亿美元的贸易顺差中,86.83%来自大陆和香港。从出口货品类别看,“电子零组件”是台湾出口大陆和香港的最大宗货品,全年出口额916.28亿美元,占总额的60.8%,其次为“资通与视听产品”,占比为14.4%⑪。数据跨境流动是ICT产业发展的内生动力,几乎所有的数据生产、存储、处理和传输活动都依赖于ICT产业。促进两岸数据跨境规则衔接,有利于打造ICT产业“硬联通”的良法善治环境,帮助其更好地“引进来”“走出去”,从而驱动两岸ICT产业有序融合发展。
(三)实现两岸个人信息协同保护
在大数据时代,个人信息保护面临着严峻考验⑫。2021年中国信息通信研究院安全研究所对20余款市场主流隐私计算产品的安全检测结果显示,80%的产品在算法与交换协议方面存在安全隐患,可能导致数据泄露,使“数据可用不可见”沦为空谈⑬。2022年台湾地区户政系统遭黑客入侵,有网友在海外论坛兜售20万笔台湾民众户籍资料⑭。整体而言,海峡两岸对个人信息的保护呈“差序格局”。2017-2022年,中国大陆先后出台《网络安全法》《数据安全法》和《个人信息保护法》,构成了大陆个人信息保护的“三驾马车”。为更好实施这三部法律,2024年8月大陆还出台了《网络数据安全管理条例》。台湾制定数据法较早,最早可追溯至1995年的“电脑处理个人资料保护法”,由于最初关注的是电脑处理个人资料的保护,立法伊始幷没有使用“数据”的概念,而采用了包含个人信息的“资料”这一概念,一直沿用至今⑮。台湾2012年10月1日正式实施“个人资料保护法”,幷于2023年5月31日对该法补充修正。实际上,数据是个人信息和资料的内容,而个人信息和资料是数据的表现形式,个人信息和资料的保护在本质上不存在差别。推动两岸数据跨境规则衔接,不仅可为涉及个人信息的数据安全有序跨境流动提供法治协同框架、指引两岸ICT企业处理个人信息、充分保障两岸人民的个人隐私安全,还能加快构建安全高效的数据流通体系,以数字经济赋能产业发展。
二、海峡两岸数据跨境流动的制度障碍
尽管海峡两岸的数据法律制度均带有浓厚的大陆法系色彩,但由于法域不同,长期以来形成了不同的法律体系。现阶段,两岸为数据跨境流动设定了差异化规则(如表1所示),尚未实现规则的有效衔接,数据跨境安全有序流动面临着结构化制度冲突。
(一)两岸数据跨境共同依据缺位
目前两岸有关数据跨境的依据散见于不同的规范文件。对大陆而言,数据跨境适用依据取决于数据的性质。比如,关键基础设施的重要数据一般应当境内存储,按有关办法通过安全评估后方可向境外提供;数据涉及个人信息的,向境外提供则应满足通过安全评估、进行保护认证、订立合同等条件之一。对台湾而言,数据跨境依据主要诉诸与个人资料保护有关的规范。例如,台湾“个人资料保护法”明确个人资料包括姓名、指纹、职业等可识别该个人的资料,幷将个人资料跨境处理或利用界定为“国际传输”。对海峡两岸而言,数据跨境缺乏共同的上位法依据。两岸非关键基础设施的重要数据或非重要数据的跨境应遵循何种规则,不涉及个人信息或识别个人的数据跨境应依照何种标准,均有待明确。以“淘宝台湾”的资安风波为例,台当局“经济部门”认为淘宝台湾会员同意隐私政策后,会员的相关资料会回传至大陆阿里巴巴服务器,存在“资安风险”,便对淘宝台湾处以41万元新台币罚款,限期6个月内撤资或改正。最终,淘宝台湾(克雷达台湾分公司)于2020年12月31日正式停止营运,但台湾消费者可继续通过“手机淘宝”购买商品。由于两岸数据跨境共同依据阙如,难以为数据有序跨境流动提供制度指引,实践中两岸数据跨境触碰彼此法律或不合规现象常常有之。
(二)两岸数据跨境合作监管失位
数据跨境关涉社会经济、数据主权,倘若跨境监管不到位,恐危及国家安全。当今世界,不同国家或地区对数据跨境的政策态度和监管要求不尽相同,大致可分为以美国、欧盟为代表的开放监管模式和以中国、俄罗斯、印度为典型的严格规制模式两类⑯。实现两岸数据高效安全便捷流动,有必要推动数据跨境合作监管。然而,现阶段两岸针对数据跨境监管做出了不同的制度设定,尚未开展跨境监管合作。受数据性质、数据表现形式、数据流动专业要求等因素的影响,大陆对数据跨境监管职责的安排涉及国家网信部门、国务院有关部门、县级以上地方人民政府有关部门、工业、电信、交通、金融等主管部门、公安、国家安全机关等,力图构建“大而全”的数据跨境监管网络。相较而言,台湾对数据跨境监管的部署则显得“小而精”,主要明确了“中央目的事业主管机关或直辖市、县(市)政府”承担检查、处分非公务机关国际传输行为等职责,“个人资料保护委员会”成立后承接上述机构的权责事项,但该会仍在筹备中。此外,台湾还针对资讯通讯安全成立了“资通安全研究院”,但近年频发的资通安全事件将相关部门职能交叉、行政效率低下等问题暴露无遗。比如,台湾“健保署”退休官员泄露健保被保险人资料长达13年、黑客便宜兜售台湾民众2357万笔户政资料、台湾“铨叙部”超过59万笔文官职称资料外泄等数据安全纰漏事故屡禁不绝,反映出台当局数据主管部门的安全监管能力亟待提升。
[表1-01:海峡两岸数据跨境规则概览]
[表1-02:海峡两岸数据跨境规则概览]
(三)两岸数据权利协同保障错位
在数据要素高速流动的时代,数据权利衍生出数据可携权、个人信息转移权、资讯自决权等新样态。就两岸数据跨境规则而言,其对个人数据权利保障存在双重错位。第一,受保障的数据权利类型错位。大陆《网络安全法》仅提及个人有权要求网络运营者删除、更正个人信息;《数据安全法》未对个人数据权利作出明确规定;《个人信息保护法》明确个人有权查阅、复制、更正、补充、删除个人信息以及要求个人信息处理者对其个人信息处理规则进行解释说明,三大数据法律全面覆盖了数据跨境涉及的个人数据权利。台湾“个人资料保护法”规定当事人就其个人资料依法享有查询或请求阅览、请求制给复制本、请求补充或更正、请求停止搜集、处理或利用、请求删除的权利。对比来看,大陆数据跨境规则中个人数据权利的“要求个人信息处理者解释说明权”是台湾没有的,而台湾则多出了“请求停止搜集、处理或利用权”。第二,数据权利保障的域外效力错位。大陆对个人数据权利域外保障的规定具有明确的前置性限定,比如,“损害国家安全、公共利益或者公民、组织合法权益”“以向境内自然人提供产品为目的、分析境内自然人的行为、法律规定的情形”等。台湾方面则粗泛规定公务机关及非公务机关在台湾地区外对“台湾人民”个人资料搜集、处理或利用适用“个人资料保护法”,如此随意扩张适用范围而不设定限制条件,不仅其管辖权缺乏合理依据,还易引发法律冲突⑰。尽管如此,实践中台湾对境外人(法人)处理个人资料的境外行为之管辖略显消极。比如,黑客曾勒索台湾“中华航空”,未果后公布数十笔政商要员、明星等个人资料,其中就包括台现任“领导人”赖清德、著名艺人林志玲、台积电创办人张忠谋。台湾当局介入调查后仅表示“中华航空”已发函请会员定期修改密码,对有关部门及航空公司应承担数据泄露的何种责任却避而不谈。