翻譯：對外經貿大學金融科技實驗室

五、數據策略工具包

數據政策框架設定了管理經濟中個人數據使用的規則。如果設計合理，這些政策可以支撐公眾對數字經濟的信任和參與 (世界銀行2021年)。這些框架包括標準和政策的設計及其實施，這些標準和政策涉及如何存儲數據，誰可以訪問數據，如何使用數據，以及它可以用于什么目的 (方框A3)。隨著數字服務的激增，數據治理在制定多個目標的公共政策方面變得越來越重要。

各國的數據治理方法具有重要的國際影響，因為數據服務的跨境提供必須遵守當地和外國的框架，產生數據政策的外溢效應。個別司法管轄區往往優先考慮國內因素，而不是其政策對其他國家的影響。

各國的做法差異很大，全球數字經濟有三個明顯的趨勢。解決隱私問題和保護國民數據一直是大多數數據監管框架的重要驅動力。數據監管的很大一部分源于法律上的?，在某些情況下，是憲法上的?關于隱私的擔憂。這是關于個人應該在多大程度上使用自己的數據的辯論。

基于權利的方法，如歐盟在2016年《通用數據保護條例》中的方法，與美國更多基于活動的監管形成對比。美國的公開轉讓方式主要是本著行業自律的精神，基于?"通知和選擇?"的概念（世界銀行2021年），而美國的數據隱私保護通常是針對特定部門的，適用于相對狹窄的領域，如醫療保健或金融。一些大型新興市場如中國，保護個人的隱私，但也強調能夠保持對個人數據的訪問的公共利益，并引入了數據本地化以保護個人的數據。部分由于對這些不同因素的重視，全球數據治理框架沒有總體上明確的方法，隨之而來的是分散的風險。

區分公法和私法對于理解數據框架的法律基礎非常重要。私法的很大一部分適用于執行私人當事方之間關于數據使用的合同協議，通常涉及某些形式的同意。公法本質上是監管，旨在為數據使用設定標準和規則。私人執法 (例如，允許通過民事訴訟糾正違反合同的行為) 通常側重于數據是否以提供同意的方式使用。公法提供的基本權利被認為是不可剝奪的，不能被剝奪 (例如，根據GDPR的隱私)。一旦個人或實體 “擁有” 數據，某些類型的使用需要同意的程度也引起了爭議，這與關于是否可能對數據擁有財產權的辯論有關 (請參閱方框A4)。

隱私考慮必須與公共利益相平衡，這往往需要私人行為者之間以及官員之間的信息共享。存在個人的私人或機密數據具有社會價值的情況 (例如，出于識別目的)，特別是在被證明有濫用風險的部門 (如金融服務部門)。從披露此類信息中獲得的社會價值 (減輕金融穩定和誠信風險) 必須與個人隱私權進行權衡。這種平衡通常以披露要求的形式編織到公法框架中，作為獲得或獲得某些服務 (例如，金融服務) 或履行某些法律義務 (例如報稅或可疑交易報告)的先決條件。也可以根據要求（由監管或執法當局）進行披露。

有充分的理由加強監管協調。部門數據政策創造了可以更好地管理的經濟權衡。更嚴格的隱私保護可能會限制對數據的訪問，扼殺創新。14 通過開放銀行促進金融競爭可能會給金融穩定帶來一些風險。一個部門監管機構孤立地考慮隱私、創新、競爭或金融穩定目標的方法，很可能會對其他目標產生意想不到的后果。平衡這些相互競爭的目標要求對數據政策框架采取協調一致的方法，包括許多國家機構之間的合作，包括中央銀行、財政部和經濟部、金融監管機構、消費者保護機構，隱私監管機構和競爭機構。這至少需要相關法律和監管框架的一致性，以及監管機構之間討論和協商的某種形式的體制安排。例如，在發行數字貨幣以促進其貨幣和金融穩定目標的背景下，中央銀行將需要考慮如何處理因收集個人支付信息而引起的隱私問題，無論是自己還是私人實體處理數字貨幣 (英格蘭銀行2021年)。這可能需要一種與國內隱私和消費者保護監管機構協調的機制。然而，在跨界背景下，平衡目標變得更加復雜，每個國家都有自己的政策目標和數據政策框架。

數據政策框架現代化的努力應從澄清數字經濟的規則開始，同時確保其具有競爭力和彈性。為了使市場有效運作并正確衡量數據的價值，數字經濟的參與者應了解并了解如何收集，處理和訪問其數據。

更大的公平性還需要有競爭力的數字經濟，人們對科技密集型行業的集中度和高加價表示擔憂（Furman等人2019年；Akcigit等人2021年）。提出了若干政策辦法：

互操作性:可互操作的平臺提供了一種機制，便于根據一套相互接受的規則共享和傳輸數據。這些平臺收集了大量個人網絡的數據。事實上，很難將網絡的價值與平臺中底層數據的價值區分開來。但兩者緊密相連。因此，使個人更容易在網絡之間移動的工具 (所謂的多歸宿) 在減少網絡占有率和提高可競爭性方面大有幫助。15 如果降低 “太大而不能倒” 的風險，這可能有利于競爭，也有利于金融部門的穩定。為了實現互操作性，相關參與者必須可以訪問平臺; 權利和責任也必須分配和管理。

數據可移植性:雖然互操作性可以被認為是連接不同平臺的管道網絡，但可移植性使人們可以控制通過這些管道流動的內容。可移植性要求的目的，例如在開放銀行安排中設想的是通過降低數據主體轉換為競爭性服務或跨多個家庭的成本來促進競爭多個服務。可以考慮將可移植性作為在網絡環境中更廣泛地管理競爭的解決方案。

數據受托人:數據受托人的概念 -- 有責任管理的代理人。該主題的數據和權利并尋求數據處理的同意-已作為有效同意管理問題的潛在解決方案，包括在印度討論的建議。16 這些可以作為實現隱私目標的解決方案得到支持，同時實現更廣泛的共識數據共享的好處。

公共數據實用程序:更多的數據共享可以符合公共利益，包括在大流行接觸者追蹤和生物醫學研究方面。多利益相關者解決方案可以在保護隱私的同時實現數據共享，例如泛歐洲隱私保護鄰近追蹤 (pepp-pt) 社區倡議。17 值得考慮的是，在獨立的中央存儲庫中 (按照公共信貸局模型) 匯總用于合法公共物品的個人數據。這可以允許公平競爭環境訪問數據，為各種規模的企業開發解決方案，但是，它必須解決監視狀態和網絡安全問題，并且可能由分散的解決方案 (例如互操作性和可移植性) 主導。

六、全球政策合作的案例

數據已成為現代移動的終極因素，跨境數據流正在增加。跨境移動數據的能力支撐著越來越多的經濟活動和國際貿易 (圖5：計算機、通信和其他服務貿易與傳統服務貿易的數據)。數據流對于服務貿易促進跨境支付尤為重要，其高昂的成本一定程度上反映了交換身份和支付細節數據格式的不同標準。

跨境數據保護面臨挑戰。一個挑戰是，公民的個人數據可能會流入或流出沒有同等隱私保護水平的司法管轄區。19 還可以說，在不完全市場的情況下，全球公司對國家數據主體的處理和使用沒有得到充分的補償。當局在維持對出于監管或安全目的可能需要的個人數據的控制方面也有合法利益，這會在隱私和其他可能需要的政策目標之間產生緊張關系不同國家的看法不同。加西亞·馬西亞（Garcia-Macia）和戈亞爾（Goyal） (2020年、2021年) 指出了可能導致各國尋求在數字經濟等壟斷行業建立技術貿易壁壘的條件以抵御挑戰者的條件。他們警告說，這些決定可能導致主要技術中心之間以及與世界其他地區的數字脫鉤。

數據標準的差異對發展中經濟體構成特別嚴重的權衡。跨境數據流推動了發展中經濟體最具活力的出口: 數據處理和與數據相關的商業服務。這些服務，從財務會計和納稅申報表到醫療轉錄和診斷，在2015年為發展中經濟體向歐盟出口了價值超過500億美元的產品，其中五分之一來自非洲 (Mattoo和Meltzer 2018)。因此，當發達經濟體收緊數據監管時，發展中經濟體面臨兩難境地: 要么它們必須采用這些更嚴格的標準，提高出口商的合規成本，要么將面臨失去市場準入的局面。

數據本地化法律可能會產生廣泛的經濟成本，并不成比例地損害較小的經濟體。幾個國家正在尋求對其國家邊界以外的國家主題的數據傳輸施加具體限制 (所謂的數據本地化)。Menon (2018) 指出，數據本地化政策可能反映出對跨境數據或流量或保護主義政策的網絡安全風險的誤導，并可能損害數字貿易的利益。由于數據是非競爭性的，因此其跨境使用可能會帶來巨大的收益。隨著數據集變得足夠大，足以解決前沿人工智能預測問題，規模經濟也可能出現。因此，減少大型數據集的貿易可能會損害經濟增長。在貿易伙伴中面臨嚴格數據本地化要求的較小國家的公司也可能發現，如果不訪問大型數據集，競爭和創新變得越來越困難，這可能會產生數字鴻溝，使一些國家無法享受數字化帶來的好處。

A.走向全球數據政策框架

有充分的理由在數據治理方面進行國際合作。雖然我們不應該期望所有國家都以同樣的方式處理創新、隱私和安全問題，但國際對話與合作可以確保數字經濟不會受到過度分裂的影響。追求隱私和個人權利的最佳原則，同時滿足社會目標，不必在全球范圍內爭奪分散的政策方法，從而導致本地化數據市場，這可能會破壞跨境數據共享的許多潛在好處。各國需要在增長和競爭利益與國家和個人隱私問題之間取得平衡的共同最低原則，至關重要的是，要在所有國家都有發言權的情況下做到這一點，以避免出現數字鴻溝 (世界銀行2021年)。

共同最低限度國際原則的關鍵要素，特別是對于已經高度監管并進行了重大國際協調的金融服務，可能包括以下內容:

數據保護原則:關于跨境共享個人數據時可接受保護的共同最低標準的國際協議，將減少尋求遵守的企業的不確定性。這種方法可以借鑒 經合組織《隱私原則》 (1980年和2013年修訂)，并對角色等問題進行了進一步思考同意以及數據和個人的定義。

互操作性和數據可移植性原則:鑒于將個人數據作為其業務重要組成部分的企業的全球影響力，有必要討論關于這種互操作性和可移植性應如何跨國界工作的共同原則 (Furman等人，2019)。具體用例包括跨開放銀行計劃的跨境支付和跨境數據共享 (支付和市場基礎設施委員會2020)。一個具體的挑戰是在可以跨境使用中央銀行發行的數字貨幣的互操作性原則上進行協調，包括用于數字識別個人的方法以及數字錢包和數據流的標準。

出于監管目的共享數據的原則:嚴格的數據框架不僅應控制數據的保護，還應在必要時向包括監管機構在內的公共機構披露數據，以實現某些公共政策目標 (例如，促進刑事執法活動并確定納稅義務)。在許多國家框架中，對保密和保密條款的豁免已經司空見慣 (例如，稅法和反洗錢以及打擊資助恐怖主義) 并符合許多國際標準和最佳實踐(例如打擊洗錢和資助恐怖主義的金融行動特別工作組標準以及經濟合作與發展組織 (OECD) 的稅收倡議)。隨著數據制度的發展，仍然需要謹慎地平衡隱私問題與公共政策目標的披露。根據目前的努力，并盡可能地，向公共當局披露數據的原則應旨在在國家框架內達成共識，以便為執行或監管目的進行全球數據共享。

G20還認識到，出于公共政策目的，需要訪問私人數據源。由于保密或法律規定等問題，政策制定者和統計人員繼續面臨從國內私人實體獲取數據的障礙，這些障礙在跨境變得更加復雜。2021年4月，二十國集團財長和央行行長要求國際貨幣基金組織與其他國際組織密切合作，為新的二十國集團數據差距倡議準備一份提案，其中訪問私有數據源被列為四個主要優先領域之一。

已經討論了一些全球和區域數據框架。為提供商業和金融服務交換數據的一些有限的正式安排受多邊貿易條約 (特別是通過世界貿易組織 (世貿組織)) 和雙邊貿易協定的管轄。雖然這些可能具有約束力，但大多數國家都依賴參與者選擇加入，一些主要國家選擇不這樣做。還有一些雙邊協議和意向聲明沒有約束力，但實際上是硬性法律 (例如，《歐盟-美國隱私保護協議》，盡管在Schrems訴訟后該協議無效)。某些全球框架也為大型國家間用于官方目的的數據交換規模。還提出了一種由國際標準和慣例組成的更 “軟法律” 方法，特別是在數據隱私方面 (例如，先前引用的OECD隱私指南以及APEC互聯網和數字經濟路線圖)。世貿組織的電子商務倡議 (自愿的多邊方法) 在早期階段尋求一個共同的規則體系，以允許跨境數據流動，同時確保隱私保護。

如果沒有對數據政策框架采取全球辦法，就可能繼續采用臨時、部門、區域或雙邊辦法。盡管這些引起了人們對零散的擔憂，但可以在制定共同的全球原則的同時，采取循序漸進的方法。例子包括雙邊協議，該協議為解決監管異質性與國際數據流之間的沖突提供了一種方式。雖然關于全球數據監管的新條約制度似乎非常雄心勃勃,現有的合作制度也有擴大的余地。一種方法可能包括以現有標準為基礎，例如國際標準化組織 (ISO) 制定的自愿標準。

有必要在國家和國際兩級取得平衡。總體而言，此員工討論說明明確了為實現一系列目標必須克服哪些數據政策。平衡這些目標之間的權衡需要在國家一級采取協調一致的方法，包括不同部門監管機構之間的合作。該說明還提供了一系列選項

例如，自動交換信息以獲取 “批量” 納稅人信息。還有一些數據共享制度，專門促進監管和執法官員之間的合作。其中一些是匿名的，主要涉及統計數據 (例如，貨幣基金組織、世貿組織、國際清算銀行); 其他方面，特別是在執法和情報領域，為共享個人機密數據，包括調查信息提供了一個論壇 (例如，國際刑警組織的信息系統，埃格蒙特安全網絡)。

傳統貿易協定側重于交換市場準入承諾，而隱私盾反映了一項創新的交易: 數據目的地國承諾以符合其國家標準的方式保護外國公民的隱私; 作為回報，來源國承諾不限制數據流。《跨太平洋伙伴關系全面和進步協定》 (CPTPP) 和《美國-墨西哥-加拿大協定》 (USMCA) 中的數字貿易規則已采取此類方法在多國環境中。然而，在這種情況下，隱私安全緊張局勢和歐盟法院的調查結果仍將是一個問題 (Meltzer 2020)。

當制定新標準時，ISO可以并且已經在行業范圍內達成共識，包括有關金融機構之間電子數據交換，數據協調等的標準。但是，ISO本身并不是監管機構，因此使用ISO標準簡化數據使用取決于國家立法者的同意。

討論如何在承認國家特權的同時加強全球數據共享框架，包括平衡公共政策需求和隱私考慮。需要在國家和國際兩級采取行動，以減輕分散到本地化國家數據池中的風險，這將削弱數據共享為生產率提高，貿易和金融包容性帶來的好處。如果沒有新的國際協議，將需要找到臨時解決方案。在此期間，數據隱私、安全、競爭和穩定之間的緊張關系將在日益一體化的全球數字經濟中繼續發揮作用。

附件I.什么是數據？

個人數據長期以來一直用于商業、金融和公共政策，但隨著數字化的普及。

從古代美索不達米亞到啟蒙運動后的人口普查，國家和私人實體一直在尋找有關個人的數據，其范圍和細節都在不斷擴大。最近的兩個技術趨勢導致數據的經濟相關性爆炸式增長。首先，技術進步大大降低了收集和存儲數據的成本。廣泛的數字化導致更多數據作為經濟和社會活動的副產品產生。其次，分析技術的進步允許更復雜的處理從可用數據中提取更大的價值。包括人工智能和機器學習在內的通用技術推動了跨部門使用海量數據庫，預測算法被廣泛用于識別有前景的新藥，為以前被排除在外的家庭和中小企業提供金融服務，提供有針對性的廣告，并提高運營效率。

本員工討論筆記側重于個人數據，這些數據可以映射到人們的屬性和行為。顯著的特點是信息總是在個人層面，不像宏觀經濟和金融中使用的其他類型的數據可以在實體（部門、公司）或地理（地區或州）層面聚合。這些數據可以反映人類的身體屬性和行為（如性別和年齡）、經濟特征（包括收入、財產和交易）、社會關系（朋友、職業網絡等）、品味（如反映的在網絡瀏覽習慣和購買歷史中），以及敏感的個人數據（例如健康特征和安全信息）。在許多情況下，可以識別或定位其數據的個人。現在可行的直接和附帶信息收集的令人難以置信的廣度和細節，加上個人對其數據控制權的不明確機構，是隱私挑戰的核心，也是我們解釋的商業和金融機遇的核心。

個人數據為衡量經濟提供了新的機遇和挑戰。正如Hammer、Kostroch 和 Quirós-Romero（2017）所討論的，個人數據的數字化捕獲的普及可以通過三個主要渠道顯著改善經濟衡量。

附錄I.背景框

框A1 數據與大流行

在大流行期間，使用大型個人數據集來分析病毒的傳播和政策的影響的情況激增。來自各種平臺的實時大數據已用于接觸者追蹤和移動追蹤。這在使用手機數據和來自社交媒體及其他平臺的信息進行的政策分析中得到了體現（世界銀行2021）。

隱私保護有時會與必要的跨境醫療數據共享發生沖突。由于難以分享生物醫學試驗的個體結果（Peloquin等人，2020年）。不同的隱私保護標準使得跨境關鍵醫學研究的合作變得更加困難。在大流行的背景下，解決這種緊張局勢變得更加緊迫。

框A2 開放銀行

開放銀行計劃通過金融部門的數據共享促進競爭和創新。這些政策已在許多國家實施，包括澳大利亞、巴西、歐盟、印度、墨西哥、新加坡和英國。開放銀行可以被認為是金融部門的數據訪問政策，允許在消費者同意的情況下共享數據（Carrière-Swallow和Haksar2021a）。這些政策旨在改變數據以及信息在金融系統中的流動方式：誰擁有，誰沒有，誰來決定。他們認識到，在金融服務行業的現有和潛在進入者之間共享數據可以通過新的和更好的產品和服務促進進入、競爭和創新。

開放銀行框架因司法管轄區而異。它們的范圍從在消費者開始時在所有受監管實體之間進行互惠數據共享的公共授權，到監管機構的公開鼓勵，再到私營部門主導的公共中立倡議。開放式應用程序編程接口(APIs)的開發通常有助于數據共享，這些接口允許以標準化格式安全地傳輸數據。開放式銀行業務涉及通過傳統征信機構進行的信息共享方面的多項創新。首先，金融機構直接相互交換客戶數據，而不是通過中介進行。這使他們不僅可以獲得經過處理的信用評分，還可以使用精細數據進行專有分析并提供更多定制產品。其次，在開放銀行模型中，用戶可以更好地控制他們的數據。盡管信用局傾向于在客戶參與某些預定任務時授權數據傳輸——例如，提交租賃申請——開放銀行設想用戶可以隨意啟動數據傳輸并確定與誰共享什么。

開放銀行的成功可能取決于與其他公共基礎設施的整合和政策支持。提供數字身份證和制定支付互操作性標準是印度開放銀行基礎設施的兩個關鍵方面（Carrière-Swallow、Haksar和Patnam2021）。國家數字身份系統可以通過加強實施“了解你的客戶”標準的能力來降低身份驗證成本并促進遵守洗錢和恐怖主義融資要求。在世界各地，人們一直擔心中央政府支持的數字身份提供規模及其在侵犯個人隱私權的應用中的使用潛力。這表明，要成功實施這種基于堆棧的方法，需要一個現代化的隱私框架。

框A3 數據隱私框架的國家方法

隱私：一些框架在憲法條款中將隱私定義為一項基本權利和自由。其他人將該權利視為保護商業和金融交易中數據的普通法概念。一個重要的區別在于國家的作用。當可以確定明確的公共利益時，許多人對數據隱私有例外——例如，為了支持監管要求或執法行動。

溢出效應：許多框架具有域外影響力，在其本國管轄范圍之外提供數據保護。通用數據保護條例(GDPR)不僅涵蓋歐洲實體，還涵蓋歐盟以外的數據處理器，這些數據處理器處理歐盟提供的商品和服務的個人數據或監控歐盟個人的行為。

同意：對處理個人數據的合法同意的建立因國家而異。在大多數框架中，必須自由且明確地同意出于明確的法律目的進行數據處理。有例外，如果可以證明合法利益，大多數框架也允許豁免。

可移植性：這是一項允許數據主體獲取其個人數據并將其用于其自身目的的權利。為了鼓勵競爭，許多框架要求以結構化、常用和機器可讀的格式向數據主體提供個人數據，并且可以將其傳輸給不同的數據控制者、數據受托人或服務提供商。關于數據主體是否可以要求將數據傳輸給第三方以及必須在必須便攜的信息范圍內傳輸，存在一些差異。

本地化：數據本地化法律要求數據在國內存儲或處理。這些政策旨在維護國家的數據主權并保護敏感數據免受濫用和網絡安全威脅。一些政府引入了數據本地化法律，要求或鼓勵公司將個人數據存儲在本國境內，或者在某些情況下限制個人數據的跨境傳輸。其他人則對活動可能損害國家安全的外國企業建立域外管轄權，并明確允許使用本地化政策來報復在國外實施的歧視性技術貿易和投資措施。

安全要求要求以安全的方式處理數據：這包括防止未經授權或非法處理以及意外丟失或損壞。一些框架沒有強加數據安全要求，但包括對因違反企業以風險為基礎的方式遵守合理安全實踐和程序的義務而導致的某些數據泄露采取行動的權利。

處罰：這些處罰在范圍和規模上因司法管轄區而異。GDPR對違規行為進行罰款。處罰范圍從全球營業額的2%到4%不等，具體取決于違規的嚴重程度，并且與其他司法管轄區的處罰相比相對較高。

框A4 數據作為財產

激烈辯論：將數據視為財產，無論是不動產還是更類似于知識產權的東西，都是一個反復出現的想法，一直受到激烈爭論。基本前提是數據具有價值，公司愿意為這些數據付費，而且這些數據通常是關于個人、由個人生成或與個人相關的，因此，他們應該對其擁有財產權（例如，排除他人或據此收取費用）。盡管一些監管制度具有類似財產的方面，但總體概念尚未被廣泛采用。

并發癥：一些司法管轄區出現了關于個人是否可以轉讓其數據隱私權的憲法問題。數據作為財產可能會導致不平等。例如，財富較少的人（并且更愿意出售他們的數據）將擁有較少的隱私。另一方面，不考慮財產方面可能會產生意想不到的后果，例如未能解決死者數據的財產權問題。

碎片化：各國對數據的財產權有不同的看法，尤其是在將這些權利與其他目標（例如隱私或國家安全）進行權衡時。不同的觀點可能導致數據處理者將活動轉移到保護較少的司法管轄區（例如，引發諸如“出售隱私”之類的股權問題）。

選項：關于財產法的某些方面——尤其是知識產權法——是否可以作為建立數據監管的參考（例如，誰有權獲得因使用個人數據而產生的收入流），仍然存在有價值的討論。