网站首页

海峡两岸数据跨境规则衔接的法治逻辑

jsxw 中评资讯 08-30 13 0

图1:海峡两岸数据跨境规则衔接的多重价值(来源:作者自制)

表1-01:海峡两岸数据跨境规则概览

表1-02:海峡两岸数据跨境规则概览

  中评社╱题:海峡两岸数据跨境规则衔接的法治逻辑 作者:冯泽华(广州),广东工业大学国家安全研究中心研究员、广东工业大学数字经济与数据治理重点实验室分室“数据法治与大数据治理实验室”执行主任;刘志辉(广州),广东工业大学国家安全研究中心科研助理

  【摘要】在海峡两岸融合发展的大背景下,数据跨境的多尺度耦合功能日益凸显,两岸数据跨境规则衔接的内生需求愈发强烈。从国家、产业、个人层面看,数据跨境规则衔接具有推动两岸关系和平发展、驱动两岸产业有序融合、实现两岸个人信息协同保护方面的制度理性。然而,由于两岸数据跨境规则尚未有效衔接,两岸数据跨境流动面临共同依据缺位、合作监管失位以及权利协同保障错位等结构化制度障碍,其成因牵涉法域间规则体系兼容性不足、行政主体合作效能滞后、权利救济机制不对称等深层次矛盾。为此,海峡两岸宜通过单方主导、双方联合、第三方协调相结合的方式,在法治框架下协同推进数据跨境规则衔接。

  2025年国务院政府工作报告提出要“坚持贯彻新时代党解决台湾问题的总体方略,完善促进两岸经济文化交流合作制度和政策”①。大陆和台湾同属一个中国,实现海峡两岸数据跨境规则衔接是中国数字经济高质量发展的应有之义,也是新时代进一步完善促进两岸经济文化交流合作制度和政策的重要方向。近年来,海峡两岸数据流动环境建设积微成着。2016年起台湾当局陆续推出“数位台湾·创新经济发展方案”“智慧台湾方案”。2022年8月,台湾当局行政部门“资通安全处”整合相关机构成立“数位发展部”,标志着台湾统筹数字治理与数据基础建设、保障通讯与信息安全、推动数字化转型取得阶段性进展②。《数字中国发展报告(2023年)》显示,截至2023年底,中国数据存储总量达1.73ZB,全国已有超过10个省市上线公共数据运营平台,20多个省市成立专门的数据交易机构,场外数据交易在数据交易市场中占主导地位,场内数据交易规模呈快速增长态势③。伴随两岸数据基础设施建设的日臻完善,两岸数据跨境流动的物质基础持续巩固,由此带来的经济发展、社会认同、国家统一等综合效益将愈发明显,如何完善促进两岸数据跨境合作的政策制度体系,推动两岸数据跨境规则衔接终成无法回避的现实课题。为此,本文以两岸数据跨境规则衔接的重要性为切入点,多层次分析其对国家、产业、个人的作用,随后多维探究两岸数据跨境流动在依据、监管、权利保障方面的制度障碍,最终提出单方主导、双方联合、第三方协调相结合的两岸数据跨境规则协同衔接进路。

  一、海峡两岸数据跨境规则衔接的制度理性

  作为生产要素之一的数据在云计算、大数据、物联网、人工智能等新兴技术高速发展的时代具有无比广阔的应用空间④,数据跨境流动是赋能技术迭代升级、培育新质生产力、实现科技平权的关键一招。于海峡两岸而言,数据跨境规则衔接具有国家、产业、个人层面的多重价值(如图1所示)。

  [图1:海峡两岸数据跨境规则衔接的多重价值]

  (一)推动两岸关系和平发展

  2025年正值《反分裂国家法》实施20周年,该法规定国家依法保护台湾同胞权益,鼓励两岸开展经济、教育、科技、文化等方面的交流,推动有利于维护台湾海峡地区和平稳定、发展两岸关系的活动。为促进两岸关系发展、经济文化交流等,大陆出台了“31条”“26条”“22条”“11条”等一系列政策措施。从商品贸易来看,海关总署统计数据显示2024年两岸贸易额达2929.71亿美元,其中大陆从台湾进口约2177.82亿美元,同比增长9.3%;大陆向台湾出口约751.88亿美元,同比增长9.8%⑤。在两岸传统商品贸易往来密切的背景下,数据及其相关产品“进出口”形势却不容乐观。IBM发布的研究报告称,2024年全球一场数据泄露的平均成本达488万美元,同比增长10%,为新冠疫情后最大增幅。涉及客户个人数据的泄露事件占比46%,接近半数的泄露事件涉及客户个人身份信息⑥。2025年1月,台湾“数位发展部”表示DeepSeek AI运行涉跨境传输及资讯外泄等资安疑虑,属危害台湾资讯与通讯安全的大陆产品,公务机关与关键基础设施等应限制使用⑦。随着两岸数据跨境流动的需求与日俱增,需要更加完善的数据跨境规则予以保障。而推动数据跨境规则衔接正有利于两岸强化数据法治互信,消解阻碍数据生产要素跨境流通的制度壁垒,切实保障个人隐私安全,促进数据市场与产业的可持续稳定互联互通,实现两岸关系和平发展。

  (二)驱动两岸ICT产业有序融合

  ICT指信息与通信技术(Information and Communications Technology),行业惯常将ICT产业划分为制造业和服务业,ICT制造业包括电子元器件和板制造(含半导体元器件和集成电路制造)等⑧。半导体作为集成电路的基础材料,不仅是ICT产业发展的基石,更是保障国家安全的战略性物资。台当局“投审司”统计显示,2023年台商赴美投资金额96.9亿美元,是2022年的9倍,投资主要集中于半导体产业⑨。2025年3月,台积电宣布在美国追加1000亿美元投资,投资总额达1650亿美元,成为美国史上最大的单项外国直接投资。台湾是晶圆代工、封装测试领域的佼佼者,大陆的集成电路仍主要依靠进口。2018年以来,两岸IC产品年度贸易额均超过千亿美元,6年累计8710.65亿美元,占同期两岸贸易总额的53.56%⑩。据统计,台湾2024年806.08亿美元的贸易顺差中,86.83%来自大陆和香港。从出口货品类别看,“电子零组件”是台湾出口大陆和香港的最大宗货品,全年出口额916.28亿美元,占总额的60.8%,其次为“资通与视听产品”,占比为14.4%⑪。数据跨境流动是ICT产业发展的内生动力,几乎所有的数据生产、存储、处理和传输活动都依赖于ICT产业。促进两岸数据跨境规则衔接,有利于打造ICT产业“硬联通”的良法善治环境,帮助其更好地“引进来”“走出去”,从而驱动两岸ICT产业有序融合发展。

  (三)实现两岸个人信息协同保护

  在大数据时代,个人信息保护面临着严峻考验⑫。2021年中国信息通信研究院安全研究所对20余款市场主流隐私计算产品的安全检测结果显示,80%的产品在算法与交换协议方面存在安全隐患,可能导致数据泄露,使“数据可用不可见”沦为空谈⑬。2022年台湾地区户政系统遭黑客入侵,有网友在海外论坛兜售20万笔台湾民众户籍资料⑭。整体而言,海峡两岸对个人信息的保护呈“差序格局”。2017-2022年,中国大陆先后出台《网络安全法》《数据安全法》和《个人信息保护法》,构成了大陆个人信息保护的“三驾马车”。为更好实施这三部法律,2024年8月大陆还出台了《网络数据安全管理条例》。台湾制定数据法较早,最早可追溯至1995年的“电脑处理个人资料保护法”,由于最初关注的是电脑处理个人资料的保护,立法伊始幷没有使用“数据”的概念,而采用了包含个人信息的“资料”这一概念,一直沿用至今⑮。台湾2012年10月1日正式实施“个人资料保护法”,幷于2023年5月31日对该法补充修正。实际上,数据是个人信息和资料的内容,而个人信息和资料是数据的表现形式,个人信息和资料的保护在本质上不存在差别。推动两岸数据跨境规则衔接,不仅可为涉及个人信息的数据安全有序跨境流动提供法治协同框架、指引两岸ICT企业处理个人信息、充分保障两岸人民的个人隐私安全,还能加快构建安全高效的数据流通体系,以数字经济赋能产业发展。

  二、海峡两岸数据跨境流动的制度障碍

  尽管海峡两岸的数据法律制度均带有浓厚的大陆法系色彩,但由于法域不同,长期以来形成了不同的法律体系。现阶段,两岸为数据跨境流动设定了差异化规则(如表1所示),尚未实现规则的有效衔接,数据跨境安全有序流动面临着结构化制度冲突。

  (一)两岸数据跨境共同依据缺位

  目前两岸有关数据跨境的依据散见于不同的规范文件。对大陆而言,数据跨境适用依据取决于数据的性质。比如,关键基础设施的重要数据一般应当境内存储,按有关办法通过安全评估后方可向境外提供;数据涉及个人信息的,向境外提供则应满足通过安全评估、进行保护认证、订立合同等条件之一。对台湾而言,数据跨境依据主要诉诸与个人资料保护有关的规范。例如,台湾“个人资料保护法”明确个人资料包括姓名、指纹、职业等可识别该个人的资料,幷将个人资料跨境处理或利用界定为“国际传输”。对海峡两岸而言,数据跨境缺乏共同的上位法依据。两岸非关键基础设施的重要数据或非重要数据的跨境应遵循何种规则,不涉及个人信息或识别个人的数据跨境应依照何种标准,均有待明确。以“淘宝台湾”的资安风波为例,台当局“经济部门”认为淘宝台湾会员同意隐私政策后,会员的相关资料会回传至大陆阿里巴巴服务器,存在“资安风险”,便对淘宝台湾处以41万元新台币罚款,限期6个月内撤资或改正。最终,淘宝台湾(克雷达台湾分公司)于2020年12月31日正式停止营运,但台湾消费者可继续通过“手机淘宝”购买商品。由于两岸数据跨境共同依据阙如,难以为数据有序跨境流动提供制度指引,实践中两岸数据跨境触碰彼此法律或不合规现象常常有之。

  (二)两岸数据跨境合作监管失位

  数据跨境关涉社会经济、数据主权,倘若跨境监管不到位,恐危及国家安全。当今世界,不同国家或地区对数据跨境的政策态度和监管要求不尽相同,大致可分为以美国、欧盟为代表的开放监管模式和以中国、俄罗斯、印度为典型的严格规制模式两类⑯。实现两岸数据高效安全便捷流动,有必要推动数据跨境合作监管。然而,现阶段两岸针对数据跨境监管做出了不同的制度设定,尚未开展跨境监管合作。受数据性质、数据表现形式、数据流动专业要求等因素的影响,大陆对数据跨境监管职责的安排涉及国家网信部门、国务院有关部门、县级以上地方人民政府有关部门、工业、电信、交通、金融等主管部门、公安、国家安全机关等,力图构建“大而全”的数据跨境监管网络。相较而言,台湾对数据跨境监管的部署则显得“小而精”,主要明确了“中央目的事业主管机关或直辖市、县(市)政府”承担检查、处分非公务机关国际传输行为等职责,“个人资料保护委员会”成立后承接上述机构的权责事项,但该会仍在筹备中。此外,台湾还针对资讯通讯安全成立了“资通安全研究院”,但近年频发的资通安全事件将相关部门职能交叉、行政效率低下等问题暴露无遗。比如,台湾“健保署”退休官员泄露健保被保险人资料长达13年、黑客便宜兜售台湾民众2357万笔户政资料、台湾“铨叙部”超过59万笔文官职称资料外泄等数据安全纰漏事故屡禁不绝,反映出台当局数据主管部门的安全监管能力亟待提升。

  [表1-01:海峡两岸数据跨境规则概览]
  [表1-02:海峡两岸数据跨境规则概览]

  (三)两岸数据权利协同保障错位

  在数据要素高速流动的时代,数据权利衍生出数据可携权、个人信息转移权、资讯自决权等新样态。就两岸数据跨境规则而言,其对个人数据权利保障存在双重错位。第一,受保障的数据权利类型错位。大陆《网络安全法》仅提及个人有权要求网络运营者删除、更正个人信息;《数据安全法》未对个人数据权利作出明确规定;《个人信息保护法》明确个人有权查阅、复制、更正、补充、删除个人信息以及要求个人信息处理者对其个人信息处理规则进行解释说明,三大数据法律全面覆盖了数据跨境涉及的个人数据权利。台湾“个人资料保护法”规定当事人就其个人资料依法享有查询或请求阅览、请求制给复制本、请求补充或更正、请求停止搜集、处理或利用、请求删除的权利。对比来看,大陆数据跨境规则中个人数据权利的“要求个人信息处理者解释说明权”是台湾没有的,而台湾则多出了“请求停止搜集、处理或利用权”。第二,数据权利保障的域外效力错位。大陆对个人数据权利域外保障的规定具有明确的前置性限定,比如,“损害国家安全、公共利益或者公民、组织合法权益”“以向境内自然人提供产品为目的、分析境内自然人的行为、法律规定的情形”等。台湾方面则粗泛规定公务机关及非公务机关在台湾地区外对“台湾人民”个人资料搜集、处理或利用适用“个人资料保护法”,如此随意扩张适用范围而不设定限制条件,不仅其管辖权缺乏合理依据,还易引发法律冲突⑰。尽管如此,实践中台湾对境外人(法人)处理个人资料的境外行为之管辖略显消极。比如,黑客曾勒索台湾“中华航空”,未果后公布数十笔政商要员、明星等个人资料,其中就包括台现任“领导人”赖清德、著名艺人林志玲、台积电创办人张忠谋。台湾当局介入调查后仅表示“中华航空”已发函请会员定期修改密码,对有关部门及航空公司应承担数据泄露的何种责任却避而不谈。

表2:近十年两岸出台的相关单边政策文件

  三、海峡两岸数据跨境规则衔接的法治进路

  伴随数据基础设施建设的纵深推进,实现数据要素在海峡两岸互联互通,促进两岸经济社会高质量发展指日可待。尽管两岸数据跨境已具备一定“硬联通”物质基础,但尚未实现规则机制“软联通”,由两岸数据跨境“规则之异”带来的“规则之弊”亟待转化为“规则之利”,以助力数据安全有序高效流动。海峡两岸可通过单方主导、双方联合、第三方协调相结合的方式协同推进数据跨境规则衔接。

  (一)单方主导模式

  近十年来,两岸为促进融合发展与更好管辖行政事务分别出台了一系列政策(如表2所示),涵盖经济文化交流、疫情助台企、支持台企于农林领域发展等方方面面。对于数据跨境,大陆可通过制定政策措施的方式,推进数据跨境规则衔接。然而,政策过程幷非一蹴而就,政策制定也不能急于求成,大陆应为数据跨境政策的创设寻求必要的实践指向和制度理性。为此,大陆可参酌欧盟《通用数据保护条例》(GDPR)的充分性认定机制,在审视台湾数据跨境保护是否充分的基础上,研究出台数据跨境“白名单制度”,对特定类型数据和主体以清单批量授权的方式试点数据跨境流动,而后再根据试点情况探索推进数据跨境规则衔接。

  在支持福建建设两岸融合发展示范区的政策背景下,大陆可进一步为数据跨境规则衔接创造更为广阔的政策空间。具体而言,大陆可以“两岸融合发展示范区”为理想政策载体与试验场,探索制定“两岸数据跨境白名单制度”,在示范区局部试点两岸数据跨境流动,根据试点效果创制与调适数据跨境规则,而后再逐步推广与全面铺开。为及时调控数据跨境试点及有效执行数据跨境白名单制度,大陆可通过网信、公安等核心部门分别派遣业务负责人的方式在示范区内组建“数据管理委员会”(后称数管委),由数管委或其下设机构主管两岸数据跨境流动相关事务。示范区可在数管委的领导下,精细化评估台湾的数据权利和数据流动法治建设及实施情况、数据跨境监管机构设置及运行状况、数据保护规范性文件等幷制定白名单,为特定的数据类型和处理主体探索增强数据跨境传输合规性的创新机制。

  (二)双方联合模式

  海峡两岸联合推进数据跨境规则衔接必须坚持一个中国原则和“九二共识”。2024年大陆与台湾政党、团体、代表性人士交流对话取得积极成果,不仅有马英九等多位岛内政党代表性人士受邀参加海峡两岸青年冰雪节、两岸共同弘扬中华文化座谈会等活动,还有台湾多位县市长率团来访大陆,金门县民意代表参访团、澎湖县议会参访团到大陆交流,为推动两岸关系和平发展奠定了坚实基础⑱。海峡两岸关系协会会址设在北京,该会可受有关方面委托与台湾有关部门、受权团体等商谈两岸相关问题,幷可签订协议性文件。海峡交流基金会的主事务所设于台北,该会以协调处理台湾与大陆人民往来有关事务、保障两地人民权益为宗旨,可以办理“政府”委托的事项。两岸联合推进数据跨境规则衔接应积极谋求对话空间,充分发挥海峡两岸关系协会、海峡交流基金会(后统称海峡两会)等社会组织的正面作用。

  [表2:近十年两岸出台的相关单边政策文件]

  一方面,海峡两会可参考《海峡两岸标准计量检验认证合作协议》《海峡两岸渔船船员劳务合作协议》等成熟做法,锚定进一步维护两岸数据安全、促进数字产业和经济发展的共同目标,在平等协商的前提下,就两岸数据跨境流动问题达成合作协议,如签署《海峡两岸数据跨境合作协议》,明确合作范围、合作形式、紧急事件处理等重要事项,为推动两岸数据跨境规则衔接创设制度前提;另一方面,海峡两会亦可在业已签订的《海峡两岸经济合作框架协议》(ECFA)基础上,鉴于两岸数据跨境背后蕴含的巨大经济价值与对货物、服务贸易的带动作用,由两会协商在ECFA内增设有关数据跨境的条款,及时回应经济发展对数据跨境的迫切要求,率先于经济领域推动两岸数据跨境流动及其规则衔接。此外,两岸还可借鉴“区域示范法”的有益经验,通过相关部门委托海峡两会的方式,在海峡两会指导下组建由信息系统管理工程师、数据领域实务工作者、数据法律专家学者等联合组成的起草课题组,起草数据跨境规则区域示范法,以加快调适两岸数据跨境规则的立法差异,两岸亦可依区域示范法适时作出契合自身的规则衔接安排。

  (三)第三方协调模式

  一直以来,海峡两岸积极参加国际组织和经济合作平台。1991年,亚太经济合作组织(APEC)开创了中国以主权国家、台湾和香港以地区经济体加入国际组织的“APEC模式”⑲。随后,中华人民共和国以主权国家身份、中国台湾以地区经济体身份加入了世界贸易组织(WTO)。通过WTO、APEC等第三方国际组织及其机制协调推进两岸数据跨境规则衔接幷非承认大陆与台湾为两个国家,而是在坚持一个中国原则的基础上,主动调适主权国家与其地区经济体的数据跨境规则差异。对此,两岸可在WTO和APEC的引导及其规范框架下,灵活运用《服务贸易总协定》(GATS)、《信息技术协定》(ITA)、《跨境隐私规则》(CBPR)等多边协定,针对数据跨境合规等事项展开可持续常态化交流合作,在国际组织的共建逻辑下动态共商数据跨境规则,调节彼此数据跨境规则的内生张力,共享由两岸数据安全有序便捷跨境流动带来的丰硕发展成果。

  第一,灵活运用GATS和ITA。GATS规定国际服务贸易包括跨境交付、境外消费、商业存在、自然人流动四种方式,其中与数据跨境流动最密切的莫过于“跨境交付”。两岸可根据这一服务贸易类型作出不同范围的承诺,为数据跨境规则衔接提供共同适用的国际法依据。同时,两岸可根据ITA的相关规定积极展开谈判,分阶段削减两岸信息技术产品关税,推动ICT产业融合发展,以旺盛的数据流动现实需求倒逼两岸数据跨境规则衔接。第二,充分发挥CBPR的作用。CBPR是APEC构建的国际认可的隐私保护框架,包括认证标准、准入问卷、评估标准、监管合作安排等重要内容⑳。两岸可藉此开展与数据跨境流动相关的自评估、合规审查、纠纷解决等活动,在法治框架下推动两岸数据跨境规则有效衔接。

  四、结语

  在数字经济时代,鉴于数据要素特有的流动特性和蕴藏的巨大经济价值,如何推动其于两岸安全有序便捷跨境流动应受到更为广泛的社会关注,而数据跨境规则衔接正是实现这一命题的制度旨归。从国家、产业、个人的角度看,两岸数据跨境规则衔接具有促进两岸关系和平、产业融合、个人信息保护方面的多重效益。然而,囿于两岸数据跨境规则尚未衔接,数据跨境面临依据缺位、监管失位、权利保障错位的系统性制度阻碍。基于探索两岸跨境数据规则衔接的可行进路,本文建议单方主导、双方联合、第三方协调三管齐下,通过自主探索制定数据跨境“白名单制度”、充分发挥社会组织作用、灵活运用国际协定等方式,协同推进两岸数据跨境规则衔接。

  本文为2023年度广东省本科高校教学质量与教学改革工程项目“‘逻辑-过程-目标’三维交叉融合的跨境数据法治人才培养策略研究”(项目编号:粤教高函〔2024〕9号)的阶段性成果

  注释:

  ①《李强作的政府工作报告(摘登)》,《人民日报》2025年3月6日,第3版。

  ②李应博:《台湾地区数字经济政策架构及逻辑转向》,《中国评论》2024年7月号总第317期,第58-62页。

  ③国家数据局:《数字中国发展报告(2023年)》,https://www.szzg.gov.cn/2024/szzg/xyzx/202406/P020240630600725771219.pdf。

  ④Xu Ziyi.International Law Protection of Cross-Border Transmission of Personal Information Based on Cloud Computing and Big Data.Mobile Information Systems,(2022):9672693.

  ⑤《2024年两岸进出口贸易额同比增长9.4%》,http://chinawto.mofcom.gov.cn/article/e/r/202501/20250103560781.shtml,最后访问时间:2025年4月23日。

  ⑥International Business Machines Corporation:《2024年数据泄露成本报告》,https://www.ibm.com/downloads/documents/cn-zh/107a02e94948f4ec。

  ⑦《民进党当局也盯上了DeepSeek:公务机关禁用》,https://www.taihainet.com/news/twnews/twsh/2025-02-02/2818871.html,最后访问时间:2025年4月25日。

  ⑧中国信息通信研究院:《ICT产业创新发展白皮书(2020年)》,https://www.caict.ac.cn/kxyj/qwfb/bps/202010/P020201020747846648780.pdf。

  ⑨李雨荃,熊俊莉:《美国“芯片法案”与半导体“去台化”趋势研析》,《台湾研究》2024年第3期,第50-58页。

  ⑩周小柯,李保明:《全球半导体产业格局重塑下两岸半导体产业合作研究》,《亚太经济》2024年第2期,第140-150页。

  ⑪《台官方统计:2024年对大陆与香港贸易顺差近700亿美元》,https://www.chinanews.com.cn/sh/2025/01-09/10350575.shtml,最后访问时间:2025年4月23日。

  ⑫Cheung Anne S.Y.Location privacy: The challenges of mobile service devices.Computer Law &Security Review,NO.30(2014):41-54.

  ⑬中国信息通信研究院安全研究所:《数据安全技术与产业发展研究报告(2021年)》,https://www.caict.ac.cn/kxyj/qwfb/ztbg/202112/P020211229338429232641.pdf。

  ⑭《全台2300万人资料被放在网上兜售,经查公开的20万笔资料均为真实》,https://www.taihainet.com/news/twnews/twdnsz/2022-10-31/2660076.html,最后访问时间:2025年4月24日。

  ⑮王秀哲:《我国台湾地区个人资料立法保护评析》,《理论月刊》2015年第12期,第96-101页。

  ⑯冯泽华,刘志辉:《粤港澳大湾区金融数据跨境流动:现实问题与法治进路》,《金融发展研究》2024年第5期,第67-76页。

  ⑰曾丽凌:《两岸间个人信息跨境提供的规范省思及其完善》,《台湾研究集刊》2022年第6期,第121-140页。

  ⑱《国台办:2024年与台湾政党、团体、代表性人士交流对话取得积极成果》,http://www.gwytb.gov.cn/xwdt/xwfb/wyly/202501/t20250115_12678393.htm,最后访问时间:2025年4月25日。

  ⑲《台湾参与APEC的由来与发展》,https://www.bjstb.gov.cn/bjtb/jtfc/bdtw/jmwh/1310486/index.html,最后访问时间:2025年4月26日。

  ⑳Sullivan Clare.EU GDPR or APEC CBPR? A comparative analysis of the approach of the EU and APEC to cross border data transfers and protection of personal data in the IoT era.Computer Law &Security Review,NO.35(2019):380-397.

  (全文刊载于《中国评论》月刊2025年6月号,总第330期,P19-27)

图1:海峡两岸数据跨境规则衔接的多重价值(来源:作者自制)

表1-01:海峡两岸数据跨境规则概览

表1-02:海峡两岸数据跨境规则概览

  中评社╱题:海峡两岸数据跨境规则衔接的法治逻辑 作者:冯泽华(广州),广东工业大学国家安全研究中心研究员、广东工业大学数字经济与数据治理重点实验室分室“数据法治与大数据治理实验室”执行主任;刘志辉(广州),广东工业大学国家安全研究中心科研助理

  【摘要】在海峡两岸融合发展的大背景下,数据跨境的多尺度耦合功能日益凸显,两岸数据跨境规则衔接的内生需求愈发强烈。从国家、产业、个人层面看,数据跨境规则衔接具有推动两岸关系和平发展、驱动两岸产业有序融合、实现两岸个人信息协同保护方面的制度理性。然而,由于两岸数据跨境规则尚未有效衔接,两岸数据跨境流动面临共同依据缺位、合作监管失位以及权利协同保障错位等结构化制度障碍,其成因牵涉法域间规则体系兼容性不足、行政主体合作效能滞后、权利救济机制不对称等深层次矛盾。为此,海峡两岸宜通过单方主导、双方联合、第三方协调相结合的方式,在法治框架下协同推进数据跨境规则衔接。

  2025年国务院政府工作报告提出要“坚持贯彻新时代党解决台湾问题的总体方略,完善促进两岸经济文化交流合作制度和政策”①。大陆和台湾同属一个中国,实现海峡两岸数据跨境规则衔接是中国数字经济高质量发展的应有之义,也是新时代进一步完善促进两岸经济文化交流合作制度和政策的重要方向。近年来,海峡两岸数据流动环境建设积微成着。2016年起台湾当局陆续推出“数位台湾·创新经济发展方案”“智慧台湾方案”。2022年8月,台湾当局行政部门“资通安全处”整合相关机构成立“数位发展部”,标志着台湾统筹数字治理与数据基础建设、保障通讯与信息安全、推动数字化转型取得阶段性进展②。《数字中国发展报告(2023年)》显示,截至2023年底,中国数据存储总量达1.73ZB,全国已有超过10个省市上线公共数据运营平台,20多个省市成立专门的数据交易机构,场外数据交易在数据交易市场中占主导地位,场内数据交易规模呈快速增长态势③。伴随两岸数据基础设施建设的日臻完善,两岸数据跨境流动的物质基础持续巩固,由此带来的经济发展、社会认同、国家统一等综合效益将愈发明显,如何完善促进两岸数据跨境合作的政策制度体系,推动两岸数据跨境规则衔接终成无法回避的现实课题。为此,本文以两岸数据跨境规则衔接的重要性为切入点,多层次分析其对国家、产业、个人的作用,随后多维探究两岸数据跨境流动在依据、监管、权利保障方面的制度障碍,最终提出单方主导、双方联合、第三方协调相结合的两岸数据跨境规则协同衔接进路。

  一、海峡两岸数据跨境规则衔接的制度理性

  作为生产要素之一的数据在云计算、大数据、物联网、人工智能等新兴技术高速发展的时代具有无比广阔的应用空间④,数据跨境流动是赋能技术迭代升级、培育新质生产力、实现科技平权的关键一招。于海峡两岸而言,数据跨境规则衔接具有国家、产业、个人层面的多重价值(如图1所示)。

  [图1:海峡两岸数据跨境规则衔接的多重价值]

  (一)推动两岸关系和平发展

  2025年正值《反分裂国家法》实施20周年,该法规定国家依法保护台湾同胞权益,鼓励两岸开展经济、教育、科技、文化等方面的交流,推动有利于维护台湾海峡地区和平稳定、发展两岸关系的活动。为促进两岸关系发展、经济文化交流等,大陆出台了“31条”“26条”“22条”“11条”等一系列政策措施。从商品贸易来看,海关总署统计数据显示2024年两岸贸易额达2929.71亿美元,其中大陆从台湾进口约2177.82亿美元,同比增长9.3%;大陆向台湾出口约751.88亿美元,同比增长9.8%⑤。在两岸传统商品贸易往来密切的背景下,数据及其相关产品“进出口”形势却不容乐观。IBM发布的研究报告称,2024年全球一场数据泄露的平均成本达488万美元,同比增长10%,为新冠疫情后最大增幅。涉及客户个人数据的泄露事件占比46%,接近半数的泄露事件涉及客户个人身份信息⑥。2025年1月,台湾“数位发展部”表示DeepSeek AI运行涉跨境传输及资讯外泄等资安疑虑,属危害台湾资讯与通讯安全的大陆产品,公务机关与关键基础设施等应限制使用⑦。随着两岸数据跨境流动的需求与日俱增,需要更加完善的数据跨境规则予以保障。而推动数据跨境规则衔接正有利于两岸强化数据法治互信,消解阻碍数据生产要素跨境流通的制度壁垒,切实保障个人隐私安全,促进数据市场与产业的可持续稳定互联互通,实现两岸关系和平发展。

  (二)驱动两岸ICT产业有序融合

  ICT指信息与通信技术(Information and Communications Technology),行业惯常将ICT产业划分为制造业和服务业,ICT制造业包括电子元器件和板制造(含半导体元器件和集成电路制造)等⑧。半导体作为集成电路的基础材料,不仅是ICT产业发展的基石,更是保障国家安全的战略性物资。台当局“投审司”统计显示,2023年台商赴美投资金额96.9亿美元,是2022年的9倍,投资主要集中于半导体产业⑨。2025年3月,台积电宣布在美国追加1000亿美元投资,投资总额达1650亿美元,成为美国史上最大的单项外国直接投资。台湾是晶圆代工、封装测试领域的佼佼者,大陆的集成电路仍主要依靠进口。2018年以来,两岸IC产品年度贸易额均超过千亿美元,6年累计8710.65亿美元,占同期两岸贸易总额的53.56%⑩。据统计,台湾2024年806.08亿美元的贸易顺差中,86.83%来自大陆和香港。从出口货品类别看,“电子零组件”是台湾出口大陆和香港的最大宗货品,全年出口额916.28亿美元,占总额的60.8%,其次为“资通与视听产品”,占比为14.4%⑪。数据跨境流动是ICT产业发展的内生动力,几乎所有的数据生产、存储、处理和传输活动都依赖于ICT产业。促进两岸数据跨境规则衔接,有利于打造ICT产业“硬联通”的良法善治环境,帮助其更好地“引进来”“走出去”,从而驱动两岸ICT产业有序融合发展。

  (三)实现两岸个人信息协同保护

  在大数据时代,个人信息保护面临着严峻考验⑫。2021年中国信息通信研究院安全研究所对20余款市场主流隐私计算产品的安全检测结果显示,80%的产品在算法与交换协议方面存在安全隐患,可能导致数据泄露,使“数据可用不可见”沦为空谈⑬。2022年台湾地区户政系统遭黑客入侵,有网友在海外论坛兜售20万笔台湾民众户籍资料⑭。整体而言,海峡两岸对个人信息的保护呈“差序格局”。2017-2022年,中国大陆先后出台《网络安全法》《数据安全法》和《个人信息保护法》,构成了大陆个人信息保护的“三驾马车”。为更好实施这三部法律,2024年8月大陆还出台了《网络数据安全管理条例》。台湾制定数据法较早,最早可追溯至1995年的“电脑处理个人资料保护法”,由于最初关注的是电脑处理个人资料的保护,立法伊始幷没有使用“数据”的概念,而采用了包含个人信息的“资料”这一概念,一直沿用至今⑮。台湾2012年10月1日正式实施“个人资料保护法”,幷于2023年5月31日对该法补充修正。实际上,数据是个人信息和资料的内容,而个人信息和资料是数据的表现形式,个人信息和资料的保护在本质上不存在差别。推动两岸数据跨境规则衔接,不仅可为涉及个人信息的数据安全有序跨境流动提供法治协同框架、指引两岸ICT企业处理个人信息、充分保障两岸人民的个人隐私安全,还能加快构建安全高效的数据流通体系,以数字经济赋能产业发展。

  二、海峡两岸数据跨境流动的制度障碍

  尽管海峡两岸的数据法律制度均带有浓厚的大陆法系色彩,但由于法域不同,长期以来形成了不同的法律体系。现阶段,两岸为数据跨境流动设定了差异化规则(如表1所示),尚未实现规则的有效衔接,数据跨境安全有序流动面临着结构化制度冲突。

  (一)两岸数据跨境共同依据缺位

  目前两岸有关数据跨境的依据散见于不同的规范文件。对大陆而言,数据跨境适用依据取决于数据的性质。比如,关键基础设施的重要数据一般应当境内存储,按有关办法通过安全评估后方可向境外提供;数据涉及个人信息的,向境外提供则应满足通过安全评估、进行保护认证、订立合同等条件之一。对台湾而言,数据跨境依据主要诉诸与个人资料保护有关的规范。例如,台湾“个人资料保护法”明确个人资料包括姓名、指纹、职业等可识别该个人的资料,幷将个人资料跨境处理或利用界定为“国际传输”。对海峡两岸而言,数据跨境缺乏共同的上位法依据。两岸非关键基础设施的重要数据或非重要数据的跨境应遵循何种规则,不涉及个人信息或识别个人的数据跨境应依照何种标准,均有待明确。以“淘宝台湾”的资安风波为例,台当局“经济部门”认为淘宝台湾会员同意隐私政策后,会员的相关资料会回传至大陆阿里巴巴服务器,存在“资安风险”,便对淘宝台湾处以41万元新台币罚款,限期6个月内撤资或改正。最终,淘宝台湾(克雷达台湾分公司)于2020年12月31日正式停止营运,但台湾消费者可继续通过“手机淘宝”购买商品。由于两岸数据跨境共同依据阙如,难以为数据有序跨境流动提供制度指引,实践中两岸数据跨境触碰彼此法律或不合规现象常常有之。

  (二)两岸数据跨境合作监管失位

  数据跨境关涉社会经济、数据主权,倘若跨境监管不到位,恐危及国家安全。当今世界,不同国家或地区对数据跨境的政策态度和监管要求不尽相同,大致可分为以美国、欧盟为代表的开放监管模式和以中国、俄罗斯、印度为典型的严格规制模式两类⑯。实现两岸数据高效安全便捷流动,有必要推动数据跨境合作监管。然而,现阶段两岸针对数据跨境监管做出了不同的制度设定,尚未开展跨境监管合作。受数据性质、数据表现形式、数据流动专业要求等因素的影响,大陆对数据跨境监管职责的安排涉及国家网信部门、国务院有关部门、县级以上地方人民政府有关部门、工业、电信、交通、金融等主管部门、公安、国家安全机关等,力图构建“大而全”的数据跨境监管网络。相较而言,台湾对数据跨境监管的部署则显得“小而精”,主要明确了“中央目的事业主管机关或直辖市、县(市)政府”承担检查、处分非公务机关国际传输行为等职责,“个人资料保护委员会”成立后承接上述机构的权责事项,但该会仍在筹备中。此外,台湾还针对资讯通讯安全成立了“资通安全研究院”,但近年频发的资通安全事件将相关部门职能交叉、行政效率低下等问题暴露无遗。比如,台湾“健保署”退休官员泄露健保被保险人资料长达13年、黑客便宜兜售台湾民众2357万笔户政资料、台湾“铨叙部”超过59万笔文官职称资料外泄等数据安全纰漏事故屡禁不绝,反映出台当局数据主管部门的安全监管能力亟待提升。

  [表1-01:海峡两岸数据跨境规则概览]
  [表1-02:海峡两岸数据跨境规则概览]

  (三)两岸数据权利协同保障错位

  在数据要素高速流动的时代,数据权利衍生出数据可携权、个人信息转移权、资讯自决权等新样态。就两岸数据跨境规则而言,其对个人数据权利保障存在双重错位。第一,受保障的数据权利类型错位。大陆《网络安全法》仅提及个人有权要求网络运营者删除、更正个人信息;《数据安全法》未对个人数据权利作出明确规定;《个人信息保护法》明确个人有权查阅、复制、更正、补充、删除个人信息以及要求个人信息处理者对其个人信息处理规则进行解释说明,三大数据法律全面覆盖了数据跨境涉及的个人数据权利。台湾“个人资料保护法”规定当事人就其个人资料依法享有查询或请求阅览、请求制给复制本、请求补充或更正、请求停止搜集、处理或利用、请求删除的权利。对比来看,大陆数据跨境规则中个人数据权利的“要求个人信息处理者解释说明权”是台湾没有的,而台湾则多出了“请求停止搜集、处理或利用权”。第二,数据权利保障的域外效力错位。大陆对个人数据权利域外保障的规定具有明确的前置性限定,比如,“损害国家安全、公共利益或者公民、组织合法权益”“以向境内自然人提供产品为目的、分析境内自然人的行为、法律规定的情形”等。台湾方面则粗泛规定公务机关及非公务机关在台湾地区外对“台湾人民”个人资料搜集、处理或利用适用“个人资料保护法”,如此随意扩张适用范围而不设定限制条件,不仅其管辖权缺乏合理依据,还易引发法律冲突⑰。尽管如此,实践中台湾对境外人(法人)处理个人资料的境外行为之管辖略显消极。比如,黑客曾勒索台湾“中华航空”,未果后公布数十笔政商要员、明星等个人资料,其中就包括台现任“领导人”赖清德、著名艺人林志玲、台积电创办人张忠谋。台湾当局介入调查后仅表示“中华航空”已发函请会员定期修改密码,对有关部门及航空公司应承担数据泄露的何种责任却避而不谈。

标签: