数据跨境流通的因果与新机

数据跨境流通，在未来或是趋势所在，它带来的暗流，会比我们想象中更加汹涌。

在2019年中，让所有旅行爱好者感到“震撼全家”的一桩新闻，相信就是美国签证的“社交媒体审查”了——

从2019年5月31日起，在填写签证申请表格（DS-160）时，申请人要提供近五年来使用过的所有社交媒体平台的用户名。其中包括且不限于微博、豆瓣、QQ空间……

虽然没人知道这一政策具体是怎么实施的，但是一想到大使馆工作人员一脸严肃地翻看着自己QQ空间中的中二发言，或是看看自己在豆瓣上标记了多少烂片，这样的场景简直让人犯尴尬癌。

信息时代有趣的一点是，人们的精神与物理活动几乎都会在服务器留下痕迹，从零零散散的数据胶片中，能够拼凑出一整部影片，以至于让“社交媒体鉴XX份子”这种事变得理所应当。

而当个人放大成城市，城市又放大成国家，这一切就不仅仅只是令人感到尴尬了。

这也是为什么，跨境数据流动问题正在受到越来越多关注。

当我们在讨论数据是资产时，同时也确定了数据是一种所有物。

它的归属层层划分，从数据主体到企业，再到整个国家。从社会到公众，自然不会允许属于数据通过云端传输到其他国家加以利用。进一步讲，健康、交通、金融征信、地图等等方面的数据，已经足以上升到国家安全级别并被加以保护。

而应运而生的，是我们最为熟悉的“数据本地化”政策，要求数据必须在本地储存。

目前全球已经有超过60个国家做出数据本地化存储的要求，不同国家的管理模式不尽相同，像是欧盟会强调数据主体的权利，强调数据主体应该获知数据是如何流通和被应用的；而我国则强调在数据流通发生之前就给予评估审核，避免不合规的数据流通情况发生。

不仅如此，不同国家对于不同类型的数据流通也有着不同要求：

就拿我国来说，对于保险业的数据，仅要求境内存储数据的副本（copy），与此同时数据可在境外存储、处理、访问。

但对于征信信息，则要求“在中国境内采集的信息的整理、保存和加工，应当在中国境内进行”。

从数据类型上来看，除了个人信息以外，各个国家对行业数据的侧重点也不尽相同。像是澳大利亚注重保护健康数据，韩国关注地图数据。

这样的保护政策当然给予数据安全很多保障：一方面保证了一个国家的数据资产不被滥用，守住安全的底线；另一方面也通过数据在地化以保证安全问题的追责。

但从商业角度来讲，数据只有被流通、被处理才能发挥其价值。尤其在AI和云计算普遍应用的今天，数据流通的不顺畅，会为业务发展带来极大的阻碍。

和贸易流通一样，为了避免这种麻烦，很多国家之间也会制定类似于“白名单”式的互免原则，帮助数据在合规的前提下更好的跨境应用。其中就包括欧盟的GDPR和美国一直推动的APEC“跨境隐私保护规则”（CBPR）。

但目前看来，这些规则体系的普及率并不高，表现较好的GDPR白名单中有大概十余个国家和地区（不含中国），真正运作CBPR的实际只有美国和日本。

这种数据流通要求愈发严苛，且缺乏白名单机制之下，究竟是如何影响整体商业环境的呢？从那些反对数据本地化保护的企业或组织角度来看，当数据流通变成“数据淤塞”，其结果是非常恐怖的。

美国国际贸易委员会（ITC）做出报告提出，全球服务贸易中有一半依赖对跨境数据流的访问。而数据本地化往往意味着企业要在当地采购基础设施并雇佣相关的本地员工，产生的成本自然有一部分要落在消费者头上。

ITC甚至表示这种“数据壁垒”使美国国内生产总值下降了0.1-0.3％，相当于每年损失167亿美元至410亿美元。

不仅如此，麦肯锡咨询师Kaplan还提出，由于很多国家所制定的数据隐私法案尚未成熟，外资在投资时会考虑到法案的弹性风险，对文本感到“无法理解”，担心未来在执行投资和经营时会触犯相关法律，因此在一些国家中，外资投资也可能出现萎缩。

这么看来，似乎数据的跨境流通关系着大国的企业发展、关系着小国的经济民生，一旦数据不能自由自在的跨境流通，大型企业就会遭受大量损失，很多国家和地区也会因为缺乏外资投资而暂缓发展……

这些观点虽然是ITC和麦肯锡站在各自立场上的发言，虽然不能肯定是百分百应验的预言，但也有一定的参考之处。

像是数据本地化给企业带来的成本。