在2019年中,让所有旅行爱好者感到“震撼全家”的一桩新闻,相信就是美国签证的“社交媒体审查“了。从2019年5月31日起,在填写签证申请表格(DS-160)时,申请人要提供近五年来使用过的所有社交媒体平台的用户名。其中包括且不限于微博、豆瓣、QQ空间……
虽然没人知道这一政策具体是怎么实施的,但是一想到大使馆工作人员一脸严肃地翻看着自己QQ空间中的中二发言,或是看看自己在豆瓣上标记了多少烂片,这样的场景简直让人犯尴尬癌。
信息时代有趣的一点是,人们的精神与物理活动几乎都会在服务器留下痕迹,从零零散散的数据胶片中,能够拼凑出一整部影片,以至于让“社交媒体鉴XX份子”这种事变得理所应当。
而当个人放大成城市,城市又放大成国家,这一切就不仅仅只是令人感到尴尬了。
这也是为什么,跨境数据流动问题正在受到越来越多关注。
大趋所向之因
当我们在讨论数据是资产时,同时也确定了数据是一种所有物。它的归属层层划分,从数据主体到企业,再到整个国家。从社会到公众,自然不会允许属于数据通过云端传输到其他国家加以利用。进一步讲,健康、交通、金融征信、地图等等方面的数据,已经足以上升到国家安全级别并被加以保护。
而应运而生的,是我们最为熟悉的“数据本地化”政策,要求数据必须在本地储存。目前全球已经有超过60个国家做出数据本地化存储的要求,不同国家的管理模式不尽相同,像是欧盟会强调数据主体的权利,强调数据主体应该获知数据是如何流通和被应用的;而我国则强调在数据流通发生之前就给予评估审核,避免不合规的数据流通情况发生。
不仅如此,不同国家对于不同类型的数据流通也有着不同要求。就拿我国来说,对于保险业的数据,仅要求境内存储数据的副本(copy),与此同时数据可在境外存储、处理、访问。但对于征信信息,则要求“在中国境内采集的信息的整理、保存和加工,应当在中国境内进行”。从数据类型上来看,除了个人信息以外,各个国家对行业数据的侧重点也不尽相同。像是澳大利亚注重保护健康数据,韩国关注地图数据。
这样的保护政策当然给予数据安全很多保障,一方面保证了一个国家的数据资产不被滥用,守住安全的底线;另一方面也通过数据在地化以保证安全问题的追责。但从商业角度来讲,数据只有被流通、被处理才能发挥其价值。尤其在AI和云计算普遍应用的今天,数据流通的不顺畅,会为业务发展带来极大的阻碍。
和贸易流通一样,为了避免这种麻烦,很多国家之间也会制定类似于“白名单”式的互免原则,帮助数据在合规的前提下更好的跨境应用。其中就包括欧盟的GDPR和美国一直推动的APEC“跨境隐私保护规则”(CBPR)。但目前看来,这些规则体系的普及率并不高,表现较好的GDPR白名单中有大概十余个国家和地区(不含中国),真正运作CBPR的实际只有美国和日本。
数据淤塞之果
这种数据流通要求愈发严苛,且缺乏白名单机制之下,究竟是如何影响整体商业环境的呢?从那些反对数据本地化保护的企业或组织角度来看,当数据流通变成“数据淤塞”,其结果是非常恐怖的。
美国国际贸易委员会(ITC)做出报告提出,全球服务贸易中有一半依赖对跨境数据流的访问。而数据本地化往往意味着企业要在当地采购基础设施并雇佣相关的本地员工,产生的成本自然有一部分要落在消费者头上。ITC甚至表示这种“数据壁垒”使美国国内生产总值下降了0.1-0.3%,相当于每年损失167亿美元至410亿美元。
不仅如此,麦肯锡咨询师Kaplan还提出,由于很多国家所制定的数据隐私法案尚未成熟,外资在投资时会考虑到法案的弹性风险,对文本感到“无法理解”,担心未来在执行投资和经营时会触犯相关法律,因此在一些国家中,外资投资也可能出现萎缩。
这么看来,似乎数据的跨境流通关系着大国的企业发展、关系着小国的经济民生,一旦数据不能自由自在的跨境流通,大型企业就会遭受大量损失,很多国家和地区也会因为缺乏外资投资而暂缓发展……
这些观点虽然是ITC和麦肯锡站在各自立场上的发言,虽然不能肯定是百分百应验的预言,但也有一定的参考之处。
像是数据本地化给企业带来的成本。最近一年印度推动数据本地化的过程中,遭受反对的一桩理由就是很多印度初创企业很难承担数据本地化的成本。不仅仅是数据本地化,在欧盟的GDPR以及其他国家的数据保护法案推出之后,这些国家的企业也需要付出一定的人力和资金去更新法务、隐私条款等等,其中也有不少隐性成本。
还有数据性质的划分。其实会有资方说出对法规文本“无法理解”的原因,还是因为数据的商业性和非商业性质很难划分。从电话、信息、邮件,到能够分析出各种结果的人脸、声音、行为轨迹等等。并非一切数据都与商业挂钩,但或许一切数据真的都能挖掘出价值。也难怪企业会在规则的理解上表现得更加谨慎。
监管促生之机
业务在先、监管在后的现象在当今并不少见,甚至在很多时候,监管的出现会给产业发展带来全新的契机。在数据跨境流通当下这种可谓混乱而急切的情况下,尤其如此。
让数据永远只存留在一个国家的服务器里是绝无可能的,必将流通的跨境数据,正在对政府和产业提出全新的要求。
从产业的角度来看,不论未来政策法规多么完善,相比几年前的野蛮生长时期,未来跨境数据流通一定是相对更加困难的。因此尽可能减少不必要的流动,甚至减少数据的存储量以减少在地存储成本将是一种很好的解决方案。因此在AI方面,云计算、边缘计算和终端计算也会越来越多。同样,云服务厂商除了单纯向客户提供基础设施以外,也需要提供相应的云端+终端+边缘计算方案。还有一种很有可能出现的情况是,本地云服务厂商将逐渐进化为数据中枢,向不同行业提供可复用的数据池甚至模型,以减少企业对于数据的需求。
这个道理其实和任何一种产业的发展一样,如果运输成本太高,“本地加工”和“前店后厂”模式就会越来越盛行。
不过除了产业本身以外,更多责任和变数还是出现在掌握着监管权的政府身上。政府除了要尽可能完备地出具监管规则之外,同样有责任顾及监管带来的成本。尤其对于小微企业来说,在给予他们政策扶持的时候,是否也要提供数据存储基础设施方面的支持?以及对本土数据存储设备、云服务等等的发展给予鼓励,以保证在外部竞争变少的前提下,这些企业仍然保有创新的热情,保证服务的质量。
相信没有人想看到,在数据本地化的同时,提供本地化服务的供应商们因为竞争的减少而丧失了发展动力。
结束语
最后我们可以再打开一下脑洞——在实体行业中有自由港、保税区的说法,在一定区域内给予税费优惠政策,允许外来商品组装、加工、再出口等等,以此吸引外资投资,发展工业、仓储、贸易等等产业。那么在未来是否会出现类似的“数据自由港”?
和对外贸易一样,数据的挖掘利用同样也需要大量基础设施,像是存储硬件、计算能力、传输速度等等,尤其还有人才技术的支持。如果未来数据的跨境流通将变得更加艰难,是否会有一些国家和地区凭借着优秀的基础设施和完备的政策赢得世界的信任,成为数据的处理和流通中枢?就像几年前新加坡就曾经提出,打造世界数据管理中心的愿景,希望能够吸引科技企业来新加坡发展内容与服务。
何况和仓储航运不同,大数据的处理和存储属于高科技产业。吸引这些产业来一个城市扎根,长远看来,这样的模式将会造就一个城市甚至一个国家的辉煌。
或许数据跨境流通带来的暗流,会比我们想象中更加汹涌。