數據跨境監管初探

朱揚勇，熊贇

1. 復旦大學計算機科學技術學院，上海 200438；2. 上海市數據科學重點實驗室，上海 200438

1 引言

跨境數據流動（transborder data flow，TDF或cross-border data flow）①本文中，數據跨境和跨境數據流動的含義及英文一致。概念在1980年經濟合作與發展組織（Organization for Economic Cooperation and Development，OECD）頒布的《關于保護隱私與個人數據跨境流動的準則》里首次被提出，其被界定為個人數據的跨越國界流動[1]。1980年至今，關于跨境數據流動的研究主要聚焦在對跨境流動的法律機制的研究。各國跨境數據流動法律、法規的歷史根源、立法模式、規制方式以及司法確認各不相同。每個國家的經濟、政治和文化環境不一，因此所采取的應對跨境數據流動的管轄模式不一樣，數據保護標準也不統一[2-3]。Estadella-Yuste O[4]指出相關部門需要動態審視關于跨境數據流動的法律法規是否符合跨境數據流動的發展，并制定與其發展相匹配的法律機制。單寅等人[5]指出，國際上對跨境數據流動的監管并未形成統一框架，不同國家采取的監管模式各不相同，他們認為各國以維護各國利益為出發點設計跨境數據監管制度，對不同類型的數據采取分級和分類監管，確保跨境數據流動不會危害國家安全和公共利益。Feldman M B等人[6]指出，出于各國經濟、文化以及個人隱私權等方面的考慮，需對跨境數據流動進行監管，并認為不同國家實行不同的管理機制能夠更好地管理和定義跨境數據流動；Kuner C[7]指出因為各國之間的法律法規和文化不同，對跨境數據流動的監管也不盡相同，認為世界各地使用不同的跨境數據流動監管機制會引起許多問題，使得這類跨境數據流動的法律不能成為全球認同的統一規定。各國數據規章制度存在顯著差異，且各國之間限制數據跨境傳輸的規則存在沖突，使得通過政府間談判取得共識的跨境數據流動的全球治理機制難以實現，導致跨境數據流動治理面臨風險與挑戰[8]。

雖然最初數據跨境被界定為個人數據的跨越國界流動，但是現在國際上對跨境數據流動的理解已經完全超越了個人數據。付偉等人[9]指出，自1980年OECD在《關于保護隱私與個人數據跨境流動的準則》中提出個人數據跨境流動就是個人數據的跨越國界流動，至今有關跨境數據流動的具體定義尚未形成統一的意見；Estadella-Yuste O[4]指出隨著計算機技術和通信技術的進步，跨境數據流動成為國際上一個需要被重新定義的問題，認為跨境數據流動可以被定義為機器可讀形式的跨越國界的數據和信息的傳輸。Casalini F等人[10]指出跨境數據流動對于跨國公司的日常運行非常重要，認為數據有許多類型，就貿易而言，個人信息、企業信息、財務信息和健康信息是該領域相對比較重要的數據信息，跨境數據傳輸甚至還催生了一種新型的微型企業，即微型跨國企業；張郁安等人[11]指出數據出境風險管理制度起源于對信息跨境流動下的個人權益保護，但在巨量的數據資源中已經不僅只包括個人數據了，也包括采購信息、地理位置等數據，且其中相當一部分數據涉及國家安全、公共安全。事實上，除人員跨境引發的數據跨境外，還有商業、資本和服務的跨境流動引起的數據跨境，尤其是跨國企業經營中涉及的數據跨境，跨國企業往往業務眾多、數據交互頻繁，既涉及個人數據，也涉及商戶數據、商品數據、支付數據、物流數據等。因此，當前的數據跨境是指所有類型的數據跨境。一些數據蘊含著企業甚至國家的經濟運行狀況和趨勢，涉及國家政治、社會、經濟多個方面，這些數據的跨境流動是否會影響企業的競爭？是否會影響國家安全和社會穩定？由此帶來的挑戰成為國際政治、經濟討論的議題。要應對這些挑戰，需要弄清楚數據跨境有哪些類型，當前的數據跨境有哪些方式，然后再研究什么數據可出境、什么數據應當被限制出境，出境后如何限制使用。本文從數據本身和數據技術角度對數據跨境類型和跨境方式進行分析，分析了兩種類型的數據跨境和4種數據跨境渠道，提出了跨境數據的分類監管措施；還提出將數據自治模式運用于數據跨境，在強調數據主權（data sovereignty）的前提下，按照市場化方式實現數據跨境運用。本文旨在探索數據跨境治理以及為其立法研究提供技術支持，提升相關立法的可操作性。

2 數據跨境不可避免

數據跨境是指數據跨越一個國家的地理邊境。這里就存在一個數據主權[12]問題，一個國家境內生產的數據是該國人、物和事件在網絡空間中的記錄，理應受領土主權的管轄權管理。因此，數據主權是領土主權的組成部分，是國家主權的一種呈現。數據主權一般指在一國范圍內產生的數據，其跨境傳輸、加工和消除的全過程均按照該國的法律法規進行。此外，數據和土地、能源一樣具有非常高的價值，是一個國家的新型基礎性資源[13]。數據的運用對經濟發展、社會治理、人民生活產生了重大而深刻的影響[14]，這意味著任何主體對數據的非法干預都可能構成對國家核心利益的侵害。數據安全已成為事關國家安全與經濟社會發展的重大問題。從20世紀70年代德國黑森州的相關規制設立后，歐洲地區已經進行了一系列針對數據保護、隱私保護和跨境數據流動的機制性探索。歐盟為構建全球數據跨境治理的框架提供了極具參考價值的藍本與標準[15]。美國雖然強調數據自由跨境，但這不意味著美國完全放任數據跨境。事實上，美國十分強調對跨境數據流動的控制，例如，美國現在實施的在出入境閘口審查筆記本電腦和手機就是對跨境數據的管控。但是，在全球化的大趨勢下，從一國地理邊界上物理硬性截斷數據流動是一種逆全球化行為，顯然是不合適的，數據跨境是不可避免的。

簡單看電子數據交換（electronic data interchange，EDI）系統下產業鏈的運行，EDI字面上的含義就是數據交換。如果經濟貿易活動是跨境的，那么其數據交換就是跨境的。在EDI體系下，A國家的一個工廠通過計算機通信網絡接收到來自B國家用戶的一筆EDI訂貨單，工廠的EDI系統隨即檢查訂貨單，并決定接受訂貨，然后向用戶回送確認信息。工廠的EDI系統根據訂貨單的要求安排生產，同時向K個國家的零部件和配套設備廠商發出EDI訂貨單；向鐵路、海運、航空等部門預訂車輛、艙位和集裝箱；以EDI方式與保險公司和海關聯系，申請保險手續和辦理出口手續；為用戶開EDI發票；同銀行以EDI方式結算賬目等。全部過程都由計算機自動完成。值得注意的是，在互聯網出現之前，EDI系統就在全球產業鏈上運行了，EDI也是跨國公司運行的基礎支撐。

不難看到，產業鏈上的任何一個國家如果截斷了EDI的數據交換，這條產業鏈就不能運行。跨境數據流動問題在EDI體系運行之初就存在了，差不多有50年的歷史，比互聯網出現得早。2015年，瑞典[16]出臺報告，提出跨境數據流動是發達國家在全球價值鏈上的新需求，服務作為中間產品越來越頻繁地通過互聯網進行傳輸，而舊的國際貿易規則無法適應全球價值鏈發展的需要，限制數據跨境流動的措施給貿易帶來障礙。

為打破不同國家及地區在數據跨境傳輸上的壁壘和限制，推動全球數字貿易便利化，更有效地實現數據跨境流動的執法合作，滿足企業間數據跨境傳輸的實際需要，經濟合作與發展組織、亞太經濟合作組織（Asia-Pacific Economic Cooperation，APEC）等國際組織制定了一系列的指南和政策，積極推動跨境數據傳輸自由化。

商業軟件聯盟（Business Software Alliance，BSA）提出數字貿易的推進計劃，指出對跨境數據流動的限制是阻礙數字貿易發展的主要壁壘之一。該計劃包括：一是確保數據無障礙跨境流動；二是以市場為主導，采取全球技術標準；三是擴大信息技術協議的范圍。

美國信息技術與創新基金會（Information Technology and Innovation Foundation，ITIF）分析了數據泄露的5種情形，說明了數據的本地化存儲并不能保證數據的安全，呼吁世界各國在立法中取消數據本地化存儲的規定，以確保數字貿易正常進行[17]。

聯合國跨國公司中心給出的定義是：數據跨境流動是跨越國界地對存儲在計算機里的機器可讀的數據進行處理、存儲和檢索[18]，即機器可讀的數據通過互聯網和信息系統跨越國家邊境的運動。這個定義既給出了數據跨境的概念，又包括了跨境方式，較為混亂。從國際組織及其他國家對跨境數據流動的管理制度來看，跨境數據流動有兩種跨境方式：一是跨越國界地傳輸和處理數據；二是數據在一國境內，但能被他國主體訪問[17]。

3 數據跨境的類型

從大的類別來看，數據跨境可以被分為兩大類：跨境業務下的數據跨境（稱為第一類數據跨境）和無跨境業務的數據跨境（稱為第二類數據跨境）。

（1）跨境業務下的數據跨境

第一類數據跨境是發生在國家之間的各種跨境業務行為導致的數據跨境，包括：個人旅游訪問、健康醫療活動、銀行支付、物流、金融市場、跨國公司日常運營、科學研究活動、全球變化應對等。第一類數據跨境的特點一般是日常性的、小規模的，在互聯網出現之前就存在了，如始于20世紀60年代末的EDI電子商務。

互聯網出現以后，第一類數據跨境隨著全球交流和全球產業鏈的發展而迅速發展。例如，美國企業消費者信用信息收集機構與日本信用組織簽署協議，允許相互利用對方的數據庫，以核查居住在本國的對方僑民的信用記錄。為了降低高昂的勞動成本、節約資源，一些企業會把部分工作外包給其他國家的機構，將包括身份證、信用記錄、稅務、保險等個人數據跨國轉移至一些人工成本相對較低的熱門地區，如印度、菲律賓等國。這種境外安排將工作拆分為數個能夠有效管理的部分，使企業能夠將有限的資源集中在核心領域，大大提升其市場競爭力[19]。

第一類數據跨境具體包括如下幾種。

● 業務交流引起的數據跨境：經過信息化進程的廣泛深入發展，各項業務交流都被信息化了，而信息化必將產生數據，因此業務的跨境交流就形成了數據跨境。例如，人員跨境涉及護照、機票、酒店等數據的跨境；全球供應鏈EDI數據跨境等。

● 產品使用與維護引起的數據跨境：有許多產品實行全球銷售、使用和維護工作，這也將引起數據跨境的發生。例如，Windows軟件、Epson打印機等產品維護系統的補丁軟件就通過網絡全球發放，用戶還可以隨時將使用信息和意見發給生產商，這就形成了數據跨境；通用電氣公司跟蹤飛機發動機，形成了數據的全球無國境傳輸等。

● 互聯網業務：互聯網業務是一大類創新業務，其本身就是無國境的數據流動體，無論是電子商務的全球采購和銷售還是各類社交網絡，都形成了大量數據跨境。

● 媒體傳播：互聯網更多的是被當作新媒體來看待，從利用Web頁面信息傳播到自媒體再到社交網絡都是媒體的性質，這類媒體傳播實際上就是數據的傳播，數據跨境隨時都在發生。

（2）無跨境業務的數據跨境

第二類數據跨境是不涉及跨境業務的純粹的數據跨境，即一個數據集的出境/入境，包括：跨國企業數據中心遷移、中立國數據備份、商業數據資源交易、跨國數據采集、攜帶物理設備出境。第二類數據跨境是非日常的、大規模的，可以考慮在邊境進行審查。需要注意的是，在技術上，第二類數據跨境可以偽裝成第一類數據跨境。

第二類數據跨境具體包括如下幾種。

● 數據中心遷移：跨國企業根據業務需要和成本考量，將數據中心從一個國家遷移到另一個國家，形成大規模數據跨境。

● 數據備份：為了數據安全，跨國企業可能會將數據備份到第三國。另一個情形是為了防備戰爭，將一個國家的重要數據備份到中立國。數據備份會形成數據跨境。

● 數據資源交易：各類數據資源購買、交換，包括政治、經濟、科學、社會等數據在國家之間的交易、共享等引起的數據跨境。

● 攜帶設備出境：出境者攜帶電腦、移動硬盤出境，引起數據跨境，可以分為數據滯留和數據不滯留兩種。如果出境者回歸，但數據留存國外，則數據滯留（可以將數據滯留看成數據資源交易來處理）；如果隨著人員的回歸，數據就回歸了，則數據不滯留。

4 數據跨境的渠道

當前，數據跨境的渠道主要有：通過數據的物理載體（便攜式電腦、移動硬盤、U盤等）將數據攜帶出境/入境；通過互聯網直接將數據傳輸出境/入境（包括數據跨境訪問和處理）；通過專用的通信衛星將數據傳輸出境/入境（包括數據跨境訪問和處理）；通過暗網將數據傳輸出境/入境。

（1）通過數據的物理載體

通過數據的物理載體將數據攜帶出境/入境是一種相對便利和安全的數據跨境方式。采用該方式主要考慮到兩個方面：一是數據規模大，網絡傳輸難以完成；二是網絡傳輸的不安全性。對于前者，除了便攜式電腦、移動硬盤、U盤等，也出現了如亞馬遜數據硬盤集裝箱的物理載體方式，這為大規模的數據傳輸提供了一種補充的解決方案。對于后者，在數據跨境方式的安全性方面，USB接口介質和計算機信息系統之間的數據傳輸控制成為涉密計算機信息系統信息輸入輸出控制的關鍵。研究者已經結合輸入輸出控制系統和管理措施，開發了由USB驅動程序、USB監控服務程序、USB授權管理程序和USB注冊管理程序等組成的專用軟件系統，在涉密計算機信息系統上結合“集中輸入輸出控制軟件系統”使用，根據管理要求對USB接口介質和計算機信息系統之間的信息流向進行控制。

（2）通過互聯網

互聯網已經成為承載種類繁多的數據和海量應用的綜合網絡。通過互聯網直接將數據傳輸出境/入境，是一種常用的數據跨境方式，也是跨境業務下最直接的數據跨境方式。由于大多數情況是利用公開的互聯網環境，因此該方式在數據傳輸安全方面面臨更大的挑戰。互聯網根據用戶需求和業務特征對網絡資源進行智能分配，從而提高資源利用率和服務質量。對于跨境數據流動而言，網絡運營商、數據服務器、路由等都是數據跨境方式涉及的重要因素。面向公開的互聯網環境，加強數據傳輸的安全性（包括數據加密等）十分重要。但是，過度的數據加密和保護可能會帶來跨境數據應用和監管的困難，因此需要平衡數據的使用和保護。

（3）通過專用的通信衛星

衛星通信是無線電通信站之間將人造衛星作為中繼而進行的通信，是宇宙無線電通信的一種形式，工作在微波頻段。與其他通信方式相比，衛星通信具有通信距離遠、覆蓋面廣、工作頻帶寬、通信容量大、具有多址連接能力和廣播特性等優勢。通過專門的通信衛星將數據傳輸出境/入境成為數據跨境的主要方式。

衛星通信已經成為軍隊信息化戰爭中最重要的信息傳輸紐帶，可以將指揮控制機構、各軍兵種、作戰單元、偵察衛星、無人偵察機、潛艇等作戰元素結合在一起，形成將陸海空天地融為一體的信息化戰場態勢。可以看出，這種方式的數據跨境可以進一步加強涉及國家安全的跨境數據與信息化戰爭的有效融合，例如能夠考慮進行各兵種聯合戰斗、各種武器系統聯合作戰、信息共享。衛星通信系統與各種武器平臺、情報分析與指揮系統的結合更加緊密，各種戰場信息能夠及時有效地通過衛星系統傳輸給各個用戶。

為了解決衛星信道傳播時延較長、信道誤碼率較高的問題[20]，新型的寬帶多媒體衛星通信系統逐漸發展起來。寬帶多媒體衛星通信系統可提供更加豐富的業務服務，如可視電話、視頻接入、交互式多媒體應用等。用戶數據傳輸速率高達每秒幾十比特，用戶終端主要是固定式的，也包括PC終端和移動終端。

對于這種數據跨境方式，考慮到一些涉密的跨境數據，還需要借助軍事專用的衛星通信系統，因為這些系統具有很強的抗干擾能力。此外，隨著電子元件和新技術的不斷發展，通信終端的體積將更小、重量更輕、功耗更小，便于攜帶、安裝和應用。

（4）通過暗網

暗網（hidden web[21]或deep web[22]）是難以被搜索引擎等公開渠道訪問和檢索的網絡空間，是互聯網的一個有意隱藏的部分，只能通過暗網技術或特殊的瀏覽器進行訪問。暗網最初是為了保護互聯網用戶的隱私免受流量分析攻擊而發展起來的。暗網在不同程度上實現了匿名性，即隱匿源/目的地址和通信雙方身份[23]。為實現匿名，暗網中的通信都會通過多個站點轉發流量，在傳輸過程中還會執行多次加解密，使得每個站點只知道部分信息，從而保護用戶的隱私，隱匿使用者的身份和通信數據信息，為用戶提供匿名性支持。

暗網限制了標準技術的適用性，其域名不公開發布，暗網存在的時間短或經常更改，具有高度動態性，與明網之間幾乎沒有鏈接。因此，考慮到業務競爭、數據隱私、數據安全保護等問題，采用暗網的方式實現數據的跨境。

但是因為其強大的匿名性，暗網能夠屏蔽其在互聯網上的位置，使這些網站能夠承載惡意和非法的內容，容易被不法分子所利用，這對于網絡安全監管而言是一個極大的挑戰。值得注意的是，對于暗網的隱匿性來說，已經有Tor、IP和ZeroNet等匿名網絡進行暗網域名收集[24]，因此技術都具有兩面性，一方面暗網保護了跨境數據的安全性，另一方面，為了應對網絡安全的監管，需對暗網進行域名收集和追蹤等。

5 跨境數據的分類管理

對于第一類數據跨境問題，其數據主權的界定是一個難點。例如，數據是A國家的跨國公司在B國家的業務活動而生產的，如果這個數據的主權屬于B國家，那么數據將脫離生產主體，這會帶來一系列問題，例如商業秘密泄露；如果這個數據的主權屬于A國家，那么B國家的數據安全將受到嚴重挑戰。因此，一個可能的選擇是雙方共有，即要求跨國公司留一份完整的數據副本在B國家，B國家可以審查數據的國家安全性問題，但負有對數據保密的責任。數據與領土、領空、領海差異很大，數據主權要求獨立自主地處理數據，但數據是國際交往、經貿往來的記錄，在數據跨境流動中，難以實現獨立自主地處理數據，需要通過協商談判解決[25]。另外，數據自治模式是政府數據開放和企業數據流動的一種可行的 模式[26-27]，可以考慮將數據自治模式用于數據跨境。

主權國家有權對境內數據行使主權。為了避免國家陷入封閉的經濟社會，需要考慮對數據跨境進行分類管理，并研究技術可行性。那么，怎樣的數據跨境是必要的、合理的？怎樣的數據跨境是惡意的、有害的？

（1）數據跨境的監管挑戰

表1展示了數據跨境類型及跨境渠道，分析如下。

表1 數據跨境類型及跨境渠道

首先，通過互聯網跨境是主要的數據跨境方式，這完全符合互聯網快速發展的狀況，事實上，互聯網本質上就是為了實現數據全球流動而創造的。由于互聯網數據流量非常大，在不大幅度影響網絡速度的情況下，對網絡中流動的數據內容進行監管是非常困難的。

其次，對專用網絡（包括早期通過電話撥號聯網、現在的衛星聯網）的數據跨境監管目前還沒有很好的技術手段；因為暗網本身不合法，所以要盡量切斷暗網。

再次，對利用物理載體進行數據跨境的監管，可以通過對設備進行檢查的方式，檢查物理載體中的數據內容。這是目前唯一能夠有效進行監管的數據跨境類型。

最后，對于攜帶設備出境的管理，可以參照物理載體出境的監管方式，對出境設備進行檢查，無論數據是否滯留境外，都按照滯留境外對待。

綜上，數據跨境的監管挑戰在于通過網絡的數據跨境需要規制和技術協同監管，在無法通過技術實現監管的情況下，可以規制先行。

（2）跨境數據的類型

目前，還無法從技術上針對數據跨境方式進行有效監管，尤其是通過網絡的數據跨境的監管幾乎還沒有可行的方法，只能先行建立可行的規制，因此應將重點放到對跨境數據進行分類管理。在國家數據主權的框架下，建立規制以對境內數據進行分類管理。可考慮將數據分成必須跨境、禁止跨境、可選跨境3種類型。

● 必須跨境的數據。國家之間在協議框架下進行的各類實體業務往來、人員流動、科技人文交流引起的數據跨境是必需的，否則這些協議就無法執行。為行使數據主權，一種可行的做法是要求當事主體在跨境前將相關數據在本國數據中心上做一個數據備份，例如印度尼西亞2012年通過的《電子系統與交易操作政府條例》明文規定，提供公共服務的電子系統運營者應當把數據中心設置在印度尼西亞境內。此外，針對這些必需的數據跨境，需要從國家數據安全的角度重新審視之前形成的協議是否會由于數據跨境而影響國家數據安全和個人隱私安全，如果存在安全問題就需要修改之前的協議，否則就允許數據跨境。

● 禁止跨境的數據。顯然，涉及國家安全的任何數據都是不允許出境的。由于目前還難以從技術上甄別具體的跨境數據是否涉及國家安全，因此，一些國家就硬性禁止數據離境。例如，俄羅斯國家通信委員會要求電子通信和網絡提供商配備數據留存設備，以實現數據的收集操作，并且在服務器上保留12 h以上；澳大利亞2012年生效的《個人控制電子健康記錄法案》明文規定，不得將個人電子健康記錄移至澳大利亞境外，也不得在境外加工或處理這些記錄。

● 可選跨境的數據。雖然禁止數據跨境的做法保護了數據安全，但也會影響正常的人文交流和經濟往來。從規制和技術方面不能確定數據跨境是否涉及國家安全時，可以將數據跨境的選擇權下放給當事主體，由當事主體自行決定是否允許數據跨境。例如韓國2011年生效的《個人信息保護法》規定，涉及個人數據跨境的數據必須獲得數據主體的同意。這種做法是有益的，例如一個病人可以將自己的電子病歷數據攜帶出境，并提供給境外醫療機構。

數據跨境是必然趨勢，但需要在保障數據跨境利益得以實現的同時，確保國家數據安全、公民隱私不被泄漏。前已述及，如果僅僅從數據保護以及法律規制的方面考慮，將直接制約數據跨境，這是因為目前還沒有合理有效的數據跨境監管手段，數據跨境將增大跨境國家數據安全和公民隱私泄露的風險。然而，過度的數據保護又將制約數據跨境利益的實現。

6 結束語

數據和土地、能源一樣具有高價值，是一個國家的新型基礎性資源。數據的運用對經濟發展、社會治理、人民生活都產生了重大而深刻的影響，這意味著任何主體對數據的非法干預都可能構成對國家核心利益的侵害。跨境數據流動是一類涉及國家數據安全的、規模最大的、范圍最廣的數據流動行為。對于數據跨境，在戰略上必須要有主權意識，在戰術上則需要根據經濟社會和技術的發展狀況靈活把握。

數據的收集、存儲、使用、傳輸等行為已經遍及全球，超越了國家及地域的界限，使得數據跨境流動問題已非一國或一個地區的內部力量就能徹底解決。單靠某個國家或地區，或者幾個國家，幾乎不可能有效地實施合理的數據跨境解決方案，需要國際社會、各個國家的共同努力和積極參與。2020年9月8日，我國提出了《全球數據安全倡議》，數據安全的中國方案值得期待。