我國跨境數據流動制度亟待完善

劉耀華

跨境數據流動政策是數據治理國際化中的重要議題，事關國家數據安全和數字經濟發展。

美國知名智庫布魯金斯學會的研究顯示，在2009年到2018年的10年間，跨境數據流動對全球GDP增長的貢獻度高達10.1%，預計2025年數據跨境流動對全球經濟增長的價值貢獻有望突破11萬億美元。美國、歐盟和其他國家（地區）根據自身安全和經濟發展等訴求，建立了不同的跨境數據流動政策。我國正處于數字經濟快速發展的戰略機遇期，亟須完善跨境數據流動相關制度，明確我國對內對外基本主張。

推本溯源，什么是跨境數據流動？

筆者認為，目前，聯合國跨國公司中心對跨境數據流動的定義最為權威：跨越國界對存儲在計算機中的機器可讀數據進行處理、存儲和檢索。這一定義包含兩種形式上的跨境數據流動：一種是數據跨越國界（流出和流入）傳輸和處理;另一種是數據即使沒有跨越國界，但被第三國主體訪問。全球僅有少數國家將后者作為跨境數據流動進行管理，大多數國家將物理上確實跨越了國界的數據流動作為監管重點，這也是本文的主要關注方向。

跨境數據流動根據主導主體不同，其主要形式可以分為政府主導的及企業主導的跨境數據流動。

政府主導的跨境數據流動一般通過雙邊或多邊的合作機制實現。出于對各國國家主權的相互尊重，一國政府獲取存儲在其他國家的數據，應由政府之間通過合作、磋商等手段實現。然而，有些國家為提升跨境調取數據的效率，打破了傳統的合作機制，采取直接要求企業提供境外數據、通過立法實施長臂管轄等強制性方式獲取所需數據。比如，2013年美國政府為進行反毒品調查要求微軟提供存儲于愛爾蘭數據中心的客戶數據;2018年美國通過《澄清境外數據的合法使用法案》（CLOUD 法案），為美國執法機構訪問在美國境內運營的企業存儲在海外的用戶數據提供明確授權，明確要求服務提供者提供在境外存儲的數據。

企業主導的跨境數據流動主要源自跨境貿易活動。隨著經濟全球化、社會信息化深入發展，企業通過建立電子商務、社交網絡、數字媒體等跨境互聯網平臺實現跨境服務，跨境數據流動現象更加突出。而隨著工業互聯網、云計算等新興技術的發展，數據的流動呈量級式的增長，涉及領域也越來越廣。

知己不殆，各國政府的管理方式和戰略意圖

國際上對跨境數據流動監管并未形成統一框架，各國以維護本國利益為出發點，并在國家安全、隱私保護、產業能力等多元因素的復雜影響下構建跨境數據流動監管制度。

美國依托其強大的互聯網產業倡導數據自由流動。在美國國內，互聯網企業先發優勢帶來的天然數據本地化存儲能夠使美國政府對本國數據實現有效管控。在全球范圍，2018年，亞馬遜、微軟、谷歌、IBM等4家美國企業占全球公共云服務市場份額近70%，掌握對全球數據的巨大控制權，這是其提倡數據自由流動的根本原因。

對外，美國政府極力宣揚APEC的“跨境隱私保護規則”（CBPR）體制，通過拉攏各方加入低水平保護的跨境數據流動秩序，確保各國不會用“國內高水平保護”為理由限制數據流動，最終實現數據向美國聚攏。對內，以國家安全為由對特定數據提出限制出境或嚴格審查要求，如包括電信業務和信息業務（相當于我國基礎和增值）、數據中心、衛星或衛星系統、工業控制系統數據等在內的關鍵基礎設施數據，新興和關鍵技術數據，包括非公通信數據、地理位置數據、生物識別數據以及基因序列數據等在內的敏感個人數據均被納入管控中。

歐盟強調在保護個人數據的前提下允許跨境數據流動。歐盟一直將個人數據作為基本權利進行保護，從1995年的數據保護指令到2018年出臺的《通用數據保護條例》（GDPR），個人數據保護力度不斷提升。歐盟公民個人數據原則上應存儲在歐盟境內，僅在滿足特定條件下才能進行跨境數據流動。

其中最重要的是“白名單制度”，即一個國家或地區的個人數據保護水平經歐盟評估達到GDPR同等保護水平，歐盟公民個人數據才可以被轉移到該國家或地區。當前進入白名單的只有安道爾、阿根廷、加拿大（限于商業組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭和美國（僅限于隱私盾協議）13個國家和地區。

另外，如果企業采取有約束力的公司規則、標準合同條款、已批準的行為準則等充分性保障措施，歐盟公民的個人數據也可以跨境流動到這些企業。歐盟擁有5億多消費者，市場規模龐大，很多國家為使企業在歐盟順利運營，一直與歐盟進行跨境數據流動的談判，歐盟在全球形成了以GDPR為中心的“跨境數據流動圈”。

印度和俄羅斯等發展中國家為實現產業發展和國家安全實行數據本地化。印度和印尼等發展中國家在G20峰會表示，跨境數據流動嚴重阻礙發展中國家從數據貿易中獲利，希望保留對跨境數據流動進行限制的政策空間，可以通過數據本地化存儲促進本國數字產業發展。

印度立法要求一般個人數據和敏感個人數據在印度境內存儲副本后才可以跨境流動，關鍵個人數據、物聯網數據、支付數據等要求只能本地化存儲，不允許跨境流動。印尼正在修訂電子系統運營與交易規則，擬要求公共電子系統運營者擁有的戰略性數據（政府、能源、交通、金融、醫療、IT和通信、國防等）在境內進行存儲。俄羅斯在“棱鏡門”事件后出于對國家安全的擔憂，在2014年通過兩個立法修正案要求所有國內外公司必須在俄境內的服務器上存儲和處理俄公民的個人數據，但是并沒有禁止個人數據跨境傳輸，其跨境數據流動政策核心是對所有個人數據施行本地化留存。比如，2019年，俄聯邦通訊、信息技術和傳媒監督局要求臉書、推特和抖音海外版將用戶數據存儲在俄羅斯國內。

發軔之始，我國跨境數據流動制度還有待完善

在《網絡安全法》出臺前，我國金融、醫療、氣象等行業主管部門已經在法規、部門規章層面制定了數據出境管理相關規則，禁止或限制行業內重要數據出境。隨后，以《網絡安全法》為重要節點，我國在跨境數據流動方面從國家、行業、企業層面開展了一系列頂層設計及管理實踐工作。

《網絡安全法》第三十七條明確了我國數據出境基本管理制度。一是明確了管理范圍，即在境內運營中收集和產生的個人信息和重要數據，因業務需要，確需向境外提供的數據出境活動。二是明確了關鍵信息基礎設施運營者為落實數據出境管理要求的責任主體。三是針對關鍵信息基礎設施存儲的個人信息和重要數據提出數據本地化要求。四是明確采取安全評估管理制度，以降低數據出境安全風險。

在此基礎上，我國在構建跨境數據流動管理制度方面仍存在兩方面主要問題。

一方面，對內有待完善《網絡安全法》中確立的管理要求，明確重點行業領域的具體要求。各國個人信息的跨境管理規定在個人信息保護立法中，通過明確個人信息保護的基本原則確立對于跨境流動的要求。我國《個人信息保護法》未出臺，在個人信息的跨境流動要求上沒有統一和明晰的規定。當前，我國《網絡安全法》第三十七條雖然確立了關鍵信息基礎設施個人信息和重要數據的本地化管理，但缺乏下位法支撐，《關鍵信息基礎設施安全保護條例》、個人和重要數據出境安全評估管理辦法等在內的配套規定遲遲沒有出臺，數據出境安全評估制度無法落地實施。

另一方面，對外尚未能夠在全球跨境數據流動規則建立中掌握主動權，發揮關鍵作用。各國跨境數據流動規則呈現多極化、差異化和復雜化態勢，企業在經營業務過程中需針對不同地區采取差異化數據跨境措施，增加了合規成本。為了減小跨境數據流動的政策障礙，歐美一直在國際規則制定中輸出各自理念，試圖統一多方規則，構建以各自利益為核心的“跨境數據流動圈”。與歐美相比，我國未抓住規則制定的主動權和話語權，未利用有利的國家關系形成以我國為主的“跨境數據流動圈”，歐美數據流動圈不斷擴張，將會對我國未來開展數字貿易、推動數據企業“走出去”造成更大阻礙。

雙管齊下，內外結合完善我國整體管理體系

在當前國際局勢下，構建跨境數據流動管理制度應當服務于我國建設網絡強國、制造強國的戰略目標和整體經濟發展的戰略需要，對內堅持“數據本地化”的底線要求，防止數據不必要輸出，加快構建以數據本地化和數據出境安全評估為核心抓手的跨境數據流動管理制度。對外以合作共贏為目標，爭取貿易伙伴和規則支持者，促進數據合法、有序流動，構建以我國為主的“跨境數據流動圈”。

圍繞這一戰略方向，筆者提出以下具體建議：

（一）以“限制輸出、鼓勵輸入”為目標完善我國跨境數據流動管理制度

我國應完善跨境數據流動制度，明確我國監管政策整體方向，清晰界定制度落實中的關鍵要素。一是貫徹落實《網絡安全法》，完善數據出境管理。總體上堅持數據本地化原則，在開展安全評估前提下推動數據自由流動，盡快出臺《關鍵信息基礎設施安全保護條例》，發布個人信息和重要數據出境安全評估具體管理辦法等配套規定，盡快建立電信和互聯網、工業互聯網等重要行業的跨境數據流動安全評估制度。二是制定出臺《個人信息保護法》，完善我國個人信息保護制度。通過明確我國個人信息保護的具體思路和要求，為我國個人信息的跨境流動明晰方向，同時提升我國個人信息保護水平，在與其他國家的跨境數據流動規則談判中占據主動地位。

（二）在部分地區開展先行先試

選擇粵港澳大灣區作為試點，在嚴格遵守法律法規要求的基礎上最大釋放數據價值。建議優先選擇金融、商貿、衛生數據，搭建滿足監管與業務需求的數據安全流通平臺，綜合應用區塊鏈等先進技術，實現數據安全存儲、數據安全流通等功能，為粵港澳大灣區數據跨境流動及安全監管提供切實可行的技術解決方案。

（三）積極參與全球跨境數據流動規則制定，聯合可信國家構建以中國為主的“跨境數據流動圈”

我國應加強國際交流合作，通過多邊和雙邊機制積極主導、參與跨境數據流動的國際規則塑造。一是依托國際電信聯盟、亞太電信組織、G20、“一帶一路”等機制，加強國際數據治理政策儲備和治理規則研究，提出中國方案，推進構建以我國為主導的“跨境數據流動圈”。二是建立跨境數據流動規則的雙邊對話機制，積極同歐盟、日本等達成類似美歐“隱私盾”的雙邊協議，為我國企業“走出去”提供機會。