摘要：新加坡近年来高度重视数字经济发展，在受资源约束和市场规模限制的条件下，充分发挥制度开放优势，通过建立数据跨境流动管理体系和积极寻求国际制度协调，构建完善的数字生态系统，实现了数字经济快速发展。新加坡数据跨境流动管理体系兼顾保护个人信息安全和支持数字经济发展两大目标，建立了相对完善的个人数据保护制度和监管体系，打造了支撑数字经济发展的数字生态系统，其开放的态度和有效的做法对我国数据跨境流动管理提供了有益借鉴。我国应在保障国家信息安全和意识形态安全的基础上，制定有利于促进我国数字经济发展、提升我国数字产业竞争力、支持数字企业走出去的数据跨境流动管理制度体系。
　　 
　　一、新加坡数字经济发展基本情况及对数据跨境流动的认识
　　（一）新加坡数字经济发展和数据跨境流动的基本情况
　　新加坡是东南亚地区数字产业比较发达的国家之一。受市场规模和资源禀赋等制约，新加坡的数字经济产业规模和数字贸易总额体量较小，与全球排名前列的中国、美国和欧盟存在很大差距①。但是，新加坡数字经济发展速度相对较快、产业特色比较突出，是亚太地区第四大互联网数据中心，数字旅游服务业具有比较优势。
　　作为全球贸易自由化程度最高的经济体之一，新加坡在严格保护个人隐私的前提下，对数据跨境流动秉持开放的态度。整体来看，新加坡的数字跨境流动政策比欧盟宽松，对国内数据的保护比美国更为严格。
　　（二）新加坡高度重视数据跨境流动管理能力建设
　　新加坡将数据跨境流动管理能力视为数字经济时代各国培育新竞争力的关键抓手。为此，新加坡政府高度重视发挥全球自由贸易港制度开放的比较优势，积极制定和完善数字跨境流动管理规则，吸引全球资本投资数字基础设施建设和发展数字贸易，弥补国内市场规模不足的限制。
　　同时，新加坡也意识到自身建立数据跨境流动管理能力面临一系列挑战。首先，缺少权威指导和可以直接借鉴的先进经验。其次，缺少全球公认的对个人数据和非个人数据的定义和分类方法，也缺少全球统一的数据保护标准。最后，各国对数据安全的认识和重视存在较大差异，特别是随着贸易保护主义抬头，各国对数据安全的要求正在不断提高，导致数据跨境流动领域的冲突日益加剧和复杂化。
　　从国际规则制定来看，新加坡认为在短期内形成统一的数据跨境流动制度难度非常大，通过双边或多边协议推动在区域范围内形成统一的数据跨境流动制度具有可行性。各国数字经济所处的发展阶段和面临的具体问题不同，各国文化、信息基础设施、核心技术掌控能力存在较大差异，增加了妥协和形成一致意见的难度。即使国际组织出台统一的规则和政策清单，但由于各国的隐私立法和法律实施也存在较大差异，对政策制定的逻辑理解存在不一致，因此极有可能导致执行效果大打折扣甚至南辕北辙。但是，新加坡认为各国就数据安全的基本要求，特别针对个人数据保护议题存在一定的共识空间。因此新加坡高度重视运用在双边协议或多边协议中加入数据跨境流动的相关协议、在局部区域范围内试点数据跨境流动、探索借鉴沙盒监管②模式等阻力更小、可行性更高的方式，积极参与区域合作机制建设和寻求区域内数据自由流动。
　　二、新加坡数据跨境流动管理的做法
　　新加坡通过建立个人数据保护制度和完善相应的监管体系，建立起数据跨境流动管理的制度框架，实现对数据跨境流动的管理。
　　（一）建立个人数据保护制度
　　新加坡从个人数据入手建立数据保护制度。新加坡围绕个人数据保护出台了专门的法律法规，明确了个人数据的内涵以及与非个人数据的边界，并对个人数据保护的责任进行了明确设置。
　　第一，制定个人数据管理的法律法规。2012年10月15日，新加坡国会通过《个人数据保护法》③（PDPA），并于2014年起全面实施，是专门针对个人数据管理的立法，成为新加坡的一部基础性法律。2013年1月2日，颁布PDPA附属条例《个人数据保护条例》④（PDPR）及其实施细则。由此，PDPA与现行法律法规共同构成了新加坡的数据管理体系的法律框架。
　　第二，界定个人数据的内涵和边界。这既是难点，也是数据跨境流动的前提，PDPA将个人数据界定为“通过该数据能识别出自然人身份的数据，或者通过与企业掌握的或者有渠道获取的其他数据一起使用，能够识别出自然人身份的数据”。个人数据的跨境流动必须遵守PDPA，在匿名处理之后不作为个人数据对待、可以自由流动，但必须在数据特定用途、传输对象和可公开的范围等方面符合法律规定。个人数据不包含商业信息数据、保存100年以上的个人信息和去世10年以上者的个人信息。
　　第三，设置个人数据保护责任。个人数据保护的责任主体是私人部门的各类组织⑤，需要承担九大责任，包括：获得个人同意、告知使用目的、依法限制数据使用目的、保证数据的准确性和完整性、保证数据的安全性、满足数据储存限制要求、依法跨境流动、允许个人获取和修改数据、接受问责。九大责任对于受雇期间的雇员、政府机构和组织、商务联系信息等情况不适用。此外，还设有“不许呼叫注册”规则，用于规范通过电话、手机短信和传真等方式的营销行为，该规则对私人部门和政府部门同样适用。
　　（二）建立完善的监管体系
　　新加坡数据跨境流动监管体系主要包括设置主管部门、划分责任边界、设定跨境流动条件、开展国际协调和明确基础设施要求等方面内容。监管重点关注事前和事后两个阶段，事前监管主要通过制定规则的方式提出要求和进行引导，事后监管主要根据投诉和诉讼等情况进行监管和执法。
　　第一，设置主管部门。新加坡数据跨境流动由个人数据保护委员会（PDPC）⑥主要负责监管，信息通信部（MCI）⑦下属的信息通信和媒体发展局（IMDA）⑧共同参与监管。PDPC负责建立个人数据保护机制，进行监管和政策实施。PDPC的目标是提高社会对数据保护重要性的认识，并帮助新加坡的企业建立符合《个人数据保护法》要求的数据保护能力。在教育、医疗、金融等专业领域，PDPC与专业领域行业主管部门对数据跨境流动实行共同管理，相应的行业主管部门也会以保护和促进产业发展、维护国家安全等为目的，对数据跨境流动作出特殊的监管要求。对于数据滥用和数据垄断等违反公平竞争的企业行为，则由竞争和反垄断主管部门负责监管。IMDA与PDPA紧密合作，提供技术支持等。
　　第二，明确主管部门的监管对象和责任边界。PDPC的监管对象是私人部门涉及数据获取、使用、储存、传输和跨境转移的各类组织。PDPC制定数据跨境流动和使用规则，要求监管对象建立完善的数据传输机制、审核机制以及相应的问责工具，没有遵守相关规定组织需要承担相应责任。此外，PDPC会对监管对象（主要是企业）进行评估认证，对符合条件的企业授予数据保护信任标识，受认证的企业在数据使用和传输上能够享受更加便捷的监管要求。
　　第三，设定数据跨境流动的条件。首先，PDPC对数据输入新加坡境内不设限制。其次，对于在新加坡中转的数据，PDPC原则上不进行监管，但如果涉及数据交换，则要对负责数据交换的桥公司按照相同的监管要求进行监管。最严格的监管在数据流出方面。PDPC规定企业在新加坡境内使用数据必须遵守相关规则，将数据转移出新加坡的行为必须合规。一是对数据流动目的地国家或特定部门、地区进行充分性或等效性评估认证。除非数据接收国家和地区满足PDPA法律要求，有能力对个人信息提供相同标准和力度的保护，否则不允许组织将个人数据转移到境外。二是设定允许数据跨境流动的其他法定理由，包括：数据主体同意、履行合同义务必要、关乎生命健康的重大情形、公开的个人数据、数据中转。
　　第四，积极参与国际协调。为了促进数据跨境流动安全便捷，新加坡政府正在积极推动数据跨境流动规则的国际互认。2018年2月，新加坡加入APEC主导的跨境隐私规则体系（CBPR），并着手开发与CBPR对接的认证机制。此外，还充分吸收借鉴ASEAN数字信息管理框架⑩和OECD隐私原则（11）的有关要求，积极推广互通性的、相互协调的、国际公认的标准。
　　第五，对基础设施不设置过于严格的要求。新加坡对数据跨境流动没有明确的本地化要求，不要求建立商业实体、在当地建设数据中心或者进行特定数据容灾备份，对企业投资数据中心（IDC）也没有限制。另外，新加坡对网关不设限制。
　　三、新加坡构建数字生态系统促进数字经济发展的做法
　　IMDA兼具严格监管和鼓励创新发展两大职能，除了依靠PDPC对数据跨境流动进行监管、严格保护个人隐私，还负责为促进新加坡数字经济发展创造良好的营商环境，为企业和员工提供各类支持和帮助。
　　第一，建立数字化商业生态系统。中小企业是数字经济时代创新活力最强的群体，IMDA通过打造数字化生态系统，提升中小企业信息技术能力，为各类企业提供商业机会。一是通过中小企业数字化项目，为中小企业提供超过50项经过批准的基础性的数字化解决方案，帮助其建设适应数字经济发展要求的经营能力。二是为物流和零售行业制定“数字产业发展规划”，为该行业的中小企业提供数字化发展指引和定制化的发展建议。三是为中小企业建设“数字技术服务中心”，有针对性地为中小企业提供更加先进的数据分析、网络安全等专业咨询服务。四是协助企业与当地银行签订互联网备忘录，帮助受到认可的企业获得为银行数字化创新项目提供技术和服务的商业机会。五是为信息通信和媒体行业企业建设“开放创新平台”，撮合供需双方达成合作，并通过建设裕廊集团创新平台、清洁能源园区等实体平台，吸引更多数字技术专家集聚，为创新创业提供技术指导。
　　第二，全面、超前布局人力资源提升计划。IMDA的人力资源培训覆盖范围包括全社会各年龄层群体，包括在职人员、在校学生和年长者。一是通过“数字技术加速器”计划，为超过2.7万名在岗员工提供信息技术技能培训。二是为促进数字经济发展，启动信息技术和媒体产业转型路线图，规划21万基础就业岗位和1.3万专业岗位。三是为4万名学生提供数字制造技术相关内容的介绍与讲解。四是通过“银色数字化行动”，提升4.4万名50岁以上的年长者对信息技术的认知。
　　第三，建设强大的信息基础设施。新加坡高度重视通过信息基础设施建设，为数据经济发展提供的基本能力保障。新加坡光纤到户渗透率全球排名第一，4G网络速度在东盟国家排名第一。近年来，基础设施建设的重点包括部署超过1.8万个Wireless@SG无线热点，以及引入第五个电信运营商，使在全岛任何地方都可以更加方便地接入网络并扩大无线热点的网络覆盖范围。此外，新加坡大力支持跨国企业设立数据中心（IDC），吸引各类资本投资建设数据中心和提升公共云服务，推动新加坡建设亚太地区的数据中心。
　　四、对我国的启示和政策建议
　　（一）新加坡数据跨境流动管理对我国的启示
　　第一，数字跨境流动管理应符合我国国情和发展需要。数字跨境流动是数字经济时代全球经济治理和国内经济管理的热点和难点，数字跨境流动政策是促进数字要素资源集聚和构建数字经济竞争力的基础性政策。当前不存在一套全球统一的规则，短期内也难以形成一套符合各国利益的普适规则。我国应以提升数字经济全球竞争力和坚决保护国家信息安全为目标，充分考虑数字经济发展的一般规律、政策演进的趋势、我国数字经济发展的阶段性特征和面对的地缘政治环境，构建符合我国国情和发展需要的数据跨境流动管理体系。
　　第二，数字跨境流动管理应进一步发挥我国数字经济优势。我国数字经济产业规模居全球前列，已经形成了从硬件生产到软件服务等一套相对完整的产业链，在一定程度上掌握了数字经济全球价值链高端，并在数字技术应用领域诞生了一批全球领先的独角兽企业。在制定数字跨境流动规则和管理体系时，我国应充分发挥市场规模超大、产业链完备、基础设施完善、产品结构丰富、创新动能强劲的优势，充分利用大型数字经济企业全球化资源网络和影响力，让数字经济产业和企业更深入地参与到规则制定和数据跨境流动管理之中，使规则有利于进一步增强我国数字经济比较优势。
　　第三，数字跨境流动管理应有利于破解阻碍数字经济持续发展的瓶颈制约。面对日益复杂的国际形势，数字经济发展面临更激烈的国际竞争和更严峻的安全威胁，实现数字跨境流动对监管能力、产业基础、技术水平的要求更高。我国应以合理保护个人数据为突破口，尽快建立和完善数字跨境流动管理体系、提升管理能力，破除阻碍数据合理跨境流动的制度障碍，在国际合作中提高开放水平和增强互信，促进全球数据要素资源主动地、自发地向我国集聚，夯实保障意识形态安全、产业安全和数据安全的能力基础。
　　（二）政策建议
　　一是以个人数据保护为突破口，积极推动互惠共赢的数据跨境流动机制。在制定数据跨境流动管理制度和数据本地化要求时，要在保障国家信息安全和意识形态安全、保护国内市场以促进产业发展、培育提升国际竞争力、企业“走出去”的需要这四者之间实现平衡。率先和东南亚国家及“一带一路”国家相互开放数据流动，签订保护个人数据安全和个人隐私的协议等，在贸易投资协定中制定相关规则，加快研究参与CBPR机制。稳步推动数据跨境流动国际规则和标准的互认，完善国际执法合作和互助体系建设，探索建立双边或多边数据执法调取协议，为跨境数据流动提供必要的执法保障。
　　二是以分类监管为原则，加快完善数据跨境流动制度体系。加快开展《数据安全法》《个人信息保护法》《个人信息和重要数据出境安全评估办法》等专项法律法规的制修订，明确监管责任主体和职权范围，确立分类监管指导原则。对于个人数据保护，充分参考国际通行法规和实践，积极寻求区域和国际规则对接，根据个人数据保护状况以及对等原则，将部分国家和地区纳入可自由流动范围，稳步探索参与乃至主导规则制定。对于政府部门以及信息通信、金融、交通等重要行业，结合我国国情和发展需要，明确非个人重要数据定义及范围，评估数据出境后的风险等级，指导有关行业主管部门制定细化的重要数据列表或识别标准，合理放宽对风险程度低、应用价值高的数据跨境流动要求。
　　三是以稳步试点和协同共治为手段，着力提升数据安全监管能力。在自贸港或自贸区等高水平开放先行区，或信息基础设施完善、数字产业发达、数字流动监管经验相对丰富的省市进行数据跨境流动试点，降低本地化储存要求，完善数据跨境传输、利用、保护、流转等方面的规则体系和监管方式，加快经验分享和推广。制定指引性的数据跨境流动协议标准，发挥龙头企业引领带动作用，引导企业完善数据出境风险管理能力，强化企业在个人数据安全保护上的责任和义务。研究建立符合行业特点和发展需要的数据安全指南，鼓励行业自律，发挥行业协会和第三方评估机构等协同共治作用。建立政府部门、安全机构、法律部门、重点企业之间快速协同机制，提升重大数据安全事件的快速响应和应对能力。
　　四是以基础设施和产业发展为重点，全面强化数字生态系统保障。加大对云计算服务核心技术研发的投入力度，支持构建自主的操作系统、数据库系统和安全管理系统，提升云计算和数据中心的能源效率。加强信息通信基础设施建设，加快推动5G建设和应用。利用我国巨大的市场和巨型城市体系、积极开发数字技术在智慧城市、先进制造业和现代服务业的应用，促进形成强大的产业生态。积极实施走出去战略，支持我国数字企业出海发展，鼓励走出去企业使用国内数字服务。在开放试点探索建立区域数据中心，开展离岸数据处理业务。加强基础教育中数字经济和数字技术相关的通识内容，加强再就业技能培训中针对数字技术应用技能的培训。
　　注释：
　　①根据Statista统计数据，2019年中国、美国和欧盟数字经济产业规模分别排全球前三，新加坡在前二十名之外；根据世界银行统计数据，2017年美国、英国、德国、法国和中国ICT服务出口金额世界排名分别是第一、二、三、五和六，新加坡在前十名之外。
　　②监管沙盒（Regulatory Sandbox）是英国政府于2015年3月提出的针对金融科技的监管模式，旨在保护消费者/投资者权益、严防风险外溢的前提下，通过主动合理地放宽监管规定鼓励创新。
　　③Personal Data Protection Act，简称PDPA。
　　④Personal Data Protection Regulation，简称PDPR。
　　⑤包括个人、企业、协会等。
　　⑥Personal Data Protection Commission（简称PDPC）：个人数据保护委员会，负责实施PDPA。
　　⑦Ministry of Communications and Information（简称MCI）：通信和信息部，是新加坡政府机构，负责促进信息技术、媒体产业发展和保护网络安全以及媒体产业等。
　　⑧Infocomm Media Development Authority（简称IMDA）：信息和媒体发展局，是通信和信息部下属的法定机构，负责促进信息通信和媒体产业发展与全球合作。
　　⑨APEC Cross Border Privacy Rules，由APEC国家设立并提出的统一数据隐私政策框架，旨在建立信任和促进数据流动，获得CBPR认证的企业可以实时进行数据交换。
　　⑩ASEAN Framework on Digital Data Governance，由泛东盟国家提出，各成员国分享在数字分享方面的最佳实践，以塑造新的数据管理机制。
　　（11）OECD Privacy Principles，由经合组织提出的常用的隐私保护框架，为构建隐私保护准则和推进隐私保护项目提供指导原则，与欧盟各成员国的隐私保护法紧密联系。
　　(本文是作者随中心重大课题调研组赴新加坡考察报告。)
　　 (《调查研究报告》[2019年第220号]，国务院发展研究中心市场经济研究所 王念)