論我國數據跨境流動監管規則的構建

馬其家 李曉楠

一、引言

最近有關數據跨境流動的法律規制問題已經成為中美、中印之間監管的焦點問題。2020年8月6日，特朗普政府以TikTok和Wechat涉嫌將美國用戶包括聯邦工作人員的個人信息如網絡位置信息、瀏覽和搜索信息等未經許可地傳輸給中國政府，進而可能損害美國國家安全為由禁止了上述兩款產品在美國的使用。①Executive Order on Addressing the Threat Posed by TikTok，https：//www.whitehouse.gov/presidential-actions/executive-orderaddressing-threat-posed-tiktok/，last visted Aug.20, 2020.印度也以同樣的理由禁止了TikTok和Wechat在當地的應用。②《印度政府正式宣布封禁TikTok等59款中國App》,載網易新聞， http：//news.163.com/20/0630/07/FGBPM0UD0001899O.html。美、印兩國政府的上述單邊主義措施，實際反映了數據跨境自由流動與保護國家安全之間的緊張沖突。與上述單邊保護主義措施相對，我國具有迫切的數據跨境流動需求。預計2020年數據總量有望達到8000EB，占全球數據總量的21%，將成為數據資源大國和全球數據中心。③參見付曦地：《我國有望在明年成為第一數據資源大國》，載《科技金融時報》2019年12月3日，第2版。以阿里巴巴、騰訊、字節跳動等為代表的互聯網公司已經建成了具有國際領先水平的大數據存儲與處理平臺，在跨境網絡支付、跨境電子商務、信息網絡服務等應用領域的發展必然涉及數據的跨境雙向流動。再者，在“一帶一路”倡議下，我國與“一帶一路”沿線國家經貿交往日益增多，貨物貿易、服務貿易流程與內容的電子化和數據化已經成為不可逆轉的趨勢。為此，在數據跨境流動的問題上，我國既有對等反制數據流向美國和印度的法律工具需求，又有強烈的經濟發展現實法律保障需求。

然而，我國目前尚無真正意義上的專門的數據管理法規。在數據跨境流動上，我國《網絡安全法》關于數據本地存儲的規定仍比較籠統，未對個人信息、重要數據的范圍、數據出境安全評估的標準和程序等進行規定。而其他關于數據跨境傳輸的規范則散見于有關特定行業或特定類型數據的部門性法律和法規中，如《中華人民共和國數據安全法（草案）》《中華人民共和國保守國家秘密法》《征信業管理條例》④根據《征信業管理條例》第24條的規定，征信業機構原則上應在境內存儲和處理在中國境內收集的信息。《人類遺傳資源管理條例》⑤根據《人類遺傳資源管理條例》第27條的規定，未經科技部事先批準，不得向境外提供任何境內人類遺傳資源。《人口健康信息管理辦法（試行）》⑥根據《人口健康信息管理辦法（試行）》第10條的規定，禁止醫療機構在境外的服務器中存儲人口健康信息，亦不得托管、租賃在境外的服務器用于處理人口健康信息。等，不當加重了數據出境的合規負擔，難以滿足快速增長的多樣化數據出境需求。此外，跨境數據流動涉及部門多、鏈條長，國家之間或國家與地區之間監管協調難度較大，具有數據跨境需求的公司或者缺乏具體法律操作指引而不敢、不會共享數據，或者隨意對外傳輸數據損害了國家安全、社會利益、數據主體權益。

為適應對外經貿發展需要，實現數據風險防范和各方利益的有效保障，我國應當建立數據有序跨境流動的管控機制。在已有的數據跨境流動法律實踐中，美國、墨西哥、加拿大三國新近簽署的《美墨加協定》（USMCA）在TPP的基礎上針對數據的跨境流動作出了進一步的補充、修改和完善，從數據本地存儲與處理、消費者個人信息保護、網絡安全挑戰合作、互聯網平臺民事責任等方面構筑起便利數據跨境流動的橋梁；⑦參見周念利、陳寰琦：《基于〈美墨加協定〉分析數字貿易規則“美式模板”的深化及擴展》，載《國際貿易問題》2019 年第9期。美國與歐盟達成的《歐盟-美國隱私盾協議》（EU-U.S. Privacy Shield）構建了兩大發達經濟體之間數據跨境流動的暢通渠道；⑧參見張繼紅：《個人數據跨境傳輸限制及其解決方案》，載《東方法學》2018年第6期。歐盟《通用數據保護條例》（GDPR）為數據跨境流動提供了制度示范，⑨參見田曉萍：《貿易壁壘視角下的歐盟〈一般數據保護條例〉》，載《政法論叢》2019年第4期。值得我國借鑒。然而，USMCA、“隱私盾”、GDPR等倡導的數據跨境流動背后暗含著美國和歐盟等各自不同的深層次利益訴求。我國在跨境數據流動法律規則的構建上，既要吸收現有法律成果，又要結合自身的產業發展情況和風險防范能力，在數據的共享和控制之間達至平衡。

二、數據跨境流動的法律挑戰

數據跨境流動關乎國家利益、產業利益、風險控制三者之間的動態平衡。⑩參見惠志斌、張衡：《面向數據經濟的跨境數據流動管理研究》，載《社會科學》2016年第8期。寬松的數據跨境流動規則有利于產業數字化發展，但會增加風險控制難度，對發展中國家來說可能損害其國家利益，對發達國家來說則有助于其通過數據實施全球經濟控制。嚴格的數據跨境流動規則不利于產業數字化發展，但會降低風險控制難度，對發展中國家來說可以避免發達國家的數據霸權。但總的來說，無論是寬松還是嚴格的數據跨境流動規則，均會在國家安全、個人隱私保護、商業利益保護等方面帶來挑戰。

（一）國家安全挑戰

“棱鏡門”已經證實美國通過侵入他國網絡系統，非法獲取他國境內的數據并進行跨境轉移，對他國的國家安全造成了侵害和威脅。此外，基于商業目的的數據跨境流動也引起了國家安全的擔憂。典型的例證是，華為公司在對外擴張5G業務的過程中，遭到了以美國為首發達國家的嚴格業務審查，美國甚至以國家安全問題禁止華為參與本國的5G建設。究其原因，華為作為跨國通訊科技公司，在業務開展過程中需要收集大量的用戶數據，部分數據需要出境傳輸至公司總部或研發中心所在國進行數據處理或分析，這引發了美國等的國家安全擔憂。?參見王光華：《國家安全審查：政治法律化與法律政治化》，載《中外法學》2016年第5期。此外，微軟等跨國公司也被歐盟質疑參與了美國的監視項目。?Martin A. Weiss; Kristin Archick, U.S.-EU Data Privacy： From Safe Harbor to Privacy Shield, EPIC （Mar.10, 2018）, https：//epic.org/crs/R44257.pdf.

總體上講，數據跨境流動帶來的國家安全威脅擔憂并非沒有道理。在世界各國數字產業發展嚴重失衡的情況下，數據由發展中國家不斷積聚到發達國家，可能助長數據霸權的形成，并進一步演化為單邊主義的又一重要武器，加劇全球經濟發展的失衡狀態，深化發展中國家對發達國家的經濟依附。?參見竺彩華：《市場、國家與國際經貿規則體系重構》，載《外交評論（外交學院學報）》2019年第5期。此外，大數據、人工智能等技術的不斷進步，使隱藏在數據中的人類行為模式被識別出來，包括食物喜好、生活習慣、健康狀況、職業選擇偏好等等。通過自由的數據跨境流動，利用大數據分析，一國可能對他國的社會狀況進行精準畫像，并有針對性地開展情報收集和研判等工作，威脅他國國家安全。為此，發展中國家必然對本國領土內的互聯網設備、數據收集、傳輸、使用采取限制或禁止的態度，以保護國家主權的不受侵害，而國家安全挑戰亦將成為發展中國家包括我國制定數據跨境流動規則的重要考量因素。

（二）個人隱私保護挑戰

在數據的跨境流動中，不可避免的涉及個人隱私保護問題。例如跨境電子商務中，消費者通過網絡訂購貨物或服務，訂單信息、收貨地址、聯系方式等個人信息以數據化的形式出境被境外電商獲取。如果境外數據接收方不能提供充分的個人隱私保護措施或者濫用個人數據，就可能侵犯個人隱私權利，進而帶來個人隱私保護挑戰。典型的例證是，Facebook不但存儲美國公民的數據還搜集存儲其他國家公民的數據，全球數以億計的用戶數據遭到泄露，并被非法用于政治選舉分析等。?參見張歡、文銘、汪友海：《從Facebook數據濫用事件談個人信息法律保護》，載《重慶郵電大學學報（社會科學版）》2018年第6期。實際上隨著數字經濟的不斷深化以及全球經濟的互聯互通，個人信息將無可避免地被數字化而融入流通之中。從經濟效應上看，個人數據的取得、加工、分析已經成為互聯網驅動企業獲得競爭優勢的關鍵，跨國公司通過個人數據的跨境流動開展大數據挖掘、智能畫像等開展精準營銷投放和產業布局，并獲得經濟利益。此外，對個人來講，在部分商業場景下如跨境資產配置中，個人數據出境是獲得便捷優質金融服務的前置條件。然而，如前所述，數據跨境流動與個人信息保護相伴相生，如果缺乏針對“跨境數據自由流動”的合理監管，將無法有效保障個人的隱私安全。但目前來講，針對數據跨境流動還未形成統一的國際法保障體系，?參見張生：《國際投資法制框架下的跨境數據流動：保護、例外和挑戰》，載《當代法學》2019年第5期。個人隱私保護協作還局限在個別國與國、國與地區之間的FTA中，政府國際組織如APEC倡導的《跨境隱私保護規則》 （CBPR）也并未成為國際社會普遍采納的通行準則，?參見張金平：《跨境數據轉移的國際規制及中國法律的應對——兼評我國〈網絡安全法〉上的跨境數據轉移限制規則》，載《政治與法律》2016年第12期。因此個人隱私的跨境保護成為數據跨境流動的一大挑戰。

（三）商業利益保護挑戰

對于商業數據的采集、形成及基于商業數據的行業研判，尤其數字化產品本身如計算機軟件、影音等往往是數據控制企業智力和勞動的體現。對于計算機軟件、數字化影音等產品通過知識產權法進行保護不存疑問。盡管較傳統實體類知識產權載體，數字化知識產權載體通過數據流動的方式更易復制、傳播，但總體來說在知識產權法不斷完善的情況下足以對權利主體的利益進行周延保護。值得注意的是，蘊含數據控制主體勞動成果的大數據集合如何保護卻遠未形成共識，有學者認為應當通過不正當競爭規則對不當利用大數據集合的行為加以規制?參見田小軍、曹建峰、朱開鑫：《企業間數據競爭規則研究》，載《競爭政策研究》2019第4期。，有學者則認為應當賦予數據主體以財產權利?參見周林彬、馬恩斯：《大數據確權的法律經濟學分析》,載《東北師大學報（哲學社會科學版）》2018年第2期。。從功能上講，數據集合是大數據分析的前提和對象，通過大數據分析，企業可以有的放矢地調整產能，有針對性地開展市場營銷和產品投放，可為企業帶來商業價值和利益。對商業數據集合法律定性的模糊將給企業的合法商業利益保護帶來挑戰。

總之，數據在內容上既可能表現為個人隱私，也可能體現為商業利益又可能涉及國家安全和公共利益。少量的數據流動可能僅僅損害個人或企業的合法權益，大量的規模化的數據流動，則可能影響到一國的經濟社會安全。數據蘊含利益的多樣性和交織性，尤其是數據量變、質變互相轉換的過程可能使數據表征的利益從單個主體遷移至社會和國家層面，必將對一國的數據跨境監管政策帶來挑戰。

三、我國數據跨境流動規則的框架性構建

（一）規則構建的考量因素

1.結合我國產業發展情況

從全球看，各國數字經濟發展參差不齊，在對待數據跨境流動上的利益和立場存在著巨大差異，甚至沖突。如印度司法部專家委員會指出，倡導數據自由流動只符合美國等少數在數字經濟發展上具有先發優勢國家的利益。而發展中國家、欠發達國家更關注數字基礎設施、數字化技能等電子商務基礎設施的發展，并希望通過數據本地化存儲來促進本國數字產業的發展。?Committee of Experts under the Chairmanship of Justice B.N. Srikrishna, A Free and Fair Digital Economy：Protecting Privacy,Empowering Indians，http：//meity.gov.in/writereaddata/files/Data_Protection_Committee_Report.pdf.

從產業分布上看，2019年全球市值最高的100家企業中美國占了54家，在互聯網領域，美國企業具有巨大的先發和主導優勢，在社交媒體、搜索引擎、電子商務、云計算等領域都處于全球主導地位。?PwC , Global Top 100 companies by market capitalization, https：//www.pwc.com/gx/en/audit-services/publications/assets/global-top-100-companies-2019.pdf.開放的數據跨境流動格局有利于滿足美國數據驅動的技術型企業的發展需要。故而，美國主導下的USMCA盡量取消不必要的數據流動限制，例如不要求數據本地存儲、限制平臺企業的民事責任等。21參見陳寰琦、周念利：《從USMCA看美國數字貿易規則核心訴求及與中國的分歧》，載《國際經貿探索》2019年第6期。與寬松的數據跨境流動倡議相對應，USMCA中倡導的CBPR規則在個人信息保護方面也存在標準偏低的問題。正如有學者指出，在個人數據保護的評價上，如果以歐盟95年數據保護指令221995年12月，歐盟通過了《關于涉及個人數據處理的個人保護以及此類數據自由流動的第 95/46/EC 號指令》（Directive 95/46/EC Of The European Parliament And Of The Council Of 24 October 1995 On The Protection Of Individuals With Regard To The Processing Of Personal Data And On The Free Movement Of Such Data ,簡稱《數據保護指令》），并于1998年12月25日正式生效。為10分標準，CBPR規則僅能達到6分。23參見洪延青：《看清APEC“跨境隱私保護規則”體系背后的政治和經濟》，載數據治理和網絡安全研究聯盟網，http：//www.dgcs-research.net/a/guanyuwomen/2017/1230/3.html。總之，寬松的數據跨境流動規則，有助于美國維持其在數字經濟上的領先地位，符合其經濟利益。

從我國產業發展來看，我國跨境電商以及經濟全球化的蓬勃發展，使得跨境數據流動成為我國企業與其他國家開展貿易的重要一環。阿里巴巴、騰訊、平安、華為等科技公司已經在跨境電商、跨境支付、金融普惠、信息服務等領域形成了領先優勢。根據麥肯錫測算，我國數字經濟規模，穩居全球數字經濟的第二大市場，但寬帶數據流動量卻僅位居全球第八，僅為美國的20%，與龐大的數據經濟體量相比，我國數據流動規模過小。24麥肯錫全球研究院：《中國與世界：理解變化中的經濟聯系》，https：//www.mckinsey.com.cn/wp-content/uploads/2019/12/中國與世界%EF%BC%9A理解變化中的經濟聯系-中文全文-Final.pdf。跨境數據流動已經成為全球主要經濟體之間商業貿易和通信不可或缺的重要環節。在我國不斷加大對外開放的基礎上，數據跨境流動成為繼續推動我國數字經濟發展的必然選擇。我國應加快數據跨境流動的法律建設，在有效管控風險的基礎上，為形成數據跨境流動的有序格局提供制度保障。

2.結合我國法律現狀和風險管控能力

我國目前已經初步構建了跨境數據流動管理的法律法規架構。除了《網絡安全法》第37條對關鍵信息基礎設施個人信息和重要數據跨境流動管理之外，我國對某些重要行業和領域的數據跨境流動作了限制性規定。如《保守國家秘密法》要求防止含有國家秘密的數據流出中國；《征信管理條例》規定征信機構對在中國境內采集的信息的整理、保存和加工，應當在中國境內進行；《地圖管理條例》規定互聯網地圖服務單位應當將存放地圖數據的服務器設在中華人民共和國境內，并制定互聯網地圖數據安全管理制度和保障措施。此外，中國人民銀行對個人金融信息數據，國家衛計委對涉及人口健康信息數據，交通運輸部、工信部等7部委《網絡預約出租汽車經營服務管理暫行辦法》對網約車所采集的個人信息和生成的業務數據等都要求在中國境內存儲。

然而如前所述，我國現有數據跨境傳輸規范散見于各行業或領域的具體法規，涉及數字產品和服務的生產、存儲、使用、監管、商業秘密、個人隱私權保護、版權保護、內容審查等方面的相關數據基礎立法尚不完善，相關標準規范發展滯后，具體監管制度有待細化，跨境數據流動監測的手段還顯不足。25參見許多奇：《個人數據跨境流動規制的國際格局及中國應對》，載《法學論壇》2018年第3期。即便《網絡安全法》試圖在宏觀上明確數據跨境的原則，即關鍵信息基礎設施運營者應在中國境內存儲在境內運營收集和產生的個人信息和重要數據，且僅得出于業務需要，經過相關監管機關安全評估，方可向境外傳輸此類信息和數據，但總體上來說，《網絡安全法》數據境內存儲的規定仍比較籠統，未對重要數據的范圍、個人信息和重要數據出境安全評估的標準和程序等進行規定，并未具體明確數據的分級和分類，并形成足夠細分顆粒度的數據跨境流動管理策略，也沒有數據跨境流動監管的國際合作機制。此外，各行業主管機關僅負責對本行業內企業數據跨境傳輸進行監管制度，在國家層面缺乏集中的監管協調機關，容易產生監管競爭或監管漏洞。如制藥企業、智能設備提供者和線上醫藥平臺可能同樣會收集、獲得并向境外傳輸人口健康數據，但由于不屬于醫療機構，故不屬于國家衛生和計劃生育委員會《人口健康信息管理辦法（試行）》的執法監管權限范圍之內，導致這些企業開展的數據跨境傳輸在實踐中未被有效監管。

作為對比，美國盡管也未進行專門的數據立法，但其在數據跨境流動上卻擁有足夠的制度工具以實現風險控制。有學者就認為支撐美國跨境數據自由流動主張的背后，除了經濟利益考量還有實現有效法律管控的自信。這主要表現在如下幾方面：第一，互聯網企業先發優勢帶來的天然的數據本地化存儲及全球數據管理權。麥肯錫報告稱，美國在信息和通訊技術、媒體和金融行業的數字化程度遠超其他國家，賦予美國對全球數據的巨大控制權或管理權，而無需擔心會有大規模數據由本國轉移到國外。26參見麥肯錫全球研究院：《數字時代的中國：打造具有全球競爭力的新經濟》，https：//www.mckinsey.com.cn/wp-content/uploads/2018/03/20180314 -MGI-Digital-China_CN_Full-Report_Digital-View_small.pdf。第二，美國政府對關鍵部門、行業和領域的數據跨境流動實施了分散、隱蔽但有效的管控。盡管美國不存在普遍性的跨境數據流動立法，但至少在電信、科技、衛生醫療、外商投資等關鍵部門、行業和領域已經建立了分散化、非顯性化的跨境數據流動管制要求。部分要求內化為國家安全審查的一部分，部分要求通過公共采購合同、網絡安全協議等方式得以體現。27ITIF, Cross-Border Data Flows： Where Are the Barriers, and What Do They Cost ? http：//www2.itif.org/2017-cross-border-data-flows.pdf.例如，2018年發布的《外國投資風險審查現代化法》明確將涉及收集美國公民敏感個人數據的外國投資（包括非控制性投資）納入審查范圍，防止外國企業涉足處理美國公民敏感個人數據的美國企業。又如在電信領域，外資運營商通常被要求簽署網絡安全協議，以確保執法偵聽、政府通信和阻止恐怖主義等管理要求得以實施。同時安全協議要求通信數據包括呼叫識別信息、與用戶位置或身份相關的信息、電話號碼、用戶賬單記錄等都應僅在美國境內存儲。28See United States Communication Assistance for Law Enforcement Act, Chapter 1, §103 （1994）.第三，對國際規則具有高度的主導權、話語權和解釋權。美國作為國際貿易規則的主導者，對國際規則具有很強的話語權和解釋權，可以靈活利用規則賦予的空間維護本國利益，甚至在貿易摩擦等極端情形下直接藐視規則。29參見高程：《從規則視角看美國重構國際秩序的戰略調整》，載《世界經濟與政治》2013年第12期。例如，靈活運用“安全例外”和“一般例外”原則，對跨境數據流動以國家安全為由行使相關管理措施。第四，美國通過國內立法賦予本國執法機構對境外數據實施長臂管轄的廣泛權力。30參見夏燕、沈天月：《美國CLOUD法案的實踐及其啟示》，載《中國社會科學院研究生院學報》2019年第5期。美國2018年出臺的《澄清境外數據的合法使用法案》（CLOUD法案）明確賦予美國執法機構跨境調取數據的權力。因此，美國可以基于國家安全和打擊嚴重犯罪需要調取境外存儲的數據，并且可調取數據的范圍并不限于美國人的數據，可調取數據的企業范圍也不限于美國企業或總部在美國的外國企業。外國企業只要在美國提供業務并且與美國發生了充分的聯系，就可能被要求提供數據。31U.S. Department of Justice, Promoting Public Safety, Privacy, and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act, https：//www.justice.gov/opa/press-release/file/1153446/download.

在數據跨境流動上，我國還未形成成熟的體系化管理策略。為此，我國應當進一步加快數據跨境流動的法律制度建設，努力細化國內立法，出臺配套實施細則。同時應注意到，數據跨境流動管理對我國而言還屬于新命題，出于風險管控需要，我國不能像美國一樣單純追求數據的自由流動，而應當在總結監管經驗的基礎上，結合自身國情，在風險可控的前提下，穩步推進數據的跨境流動。

3.結合我國與國際規則互動情況

在國際規則方面，OECD《關于隱私保護和個人跨境數據流動的指南》和APEC《隱私保護框架》均是推薦性標準，且后者基本吸收了前者的立法成果，其關于數據跨境流動的規則或者經過數據主體同意或者采取合理措施確保數據接收者履行充分的個人隱私保護義務并不必然被成員國采納。32參見黃寧、李楊：《“三難選擇”下跨境數據流動規制的演進與成因》，載《清華大學學報（哲學社會科學版）》2017年第5期。而在經貿領域，在歐盟推動下WTO框架下的《貿易總協定》（GATS）第14條明確成員國可以隱私保護為由限制個人數據的跨境流動，在一定程度上為成員國限制數據跨境流動提供了依據。33參見田翔宇：《我國跨境數據流動監管體系的國際法分析——以GATS“一般例外”條款為視角》，載《人民法治》2018年第24期。美國推動TPP、USMCA則試圖在WTO外形成區域性的數據自由流動圈。34參見李娜、沈四寶：《數字化時代跨境數據流動與國際貿易的法律治理》，載《西北工業大學學報（社會科學版）》2019年第1期。此外，歐盟內部通過GDPR基本實現了數據在歐盟成員國間自由流動，同時對歐盟以外的國家和地區又形成了以充分性保護等為基準的豐富的數據跨境流動渠道。

我國未加入APEC下的CBPR體系，未參加TPP等多邊經貿談判，也未與歐盟達成關于數據保護的雙邊協議，總體上還處于完善國內數據保護法規的階段，對外規則融入不足。但如前所述，我國存在數據跨境流動的產業發展需求，且正在進行區域全面經濟伙伴關系（Regional Comprehensive Economic Partnership）、中日韓自由貿易協定談判，談判對象中大多系TPP成員或者已經加入了CBPR體系（如日本、韓國），日本甚至已經通過了歐盟數據保護的充分性認定，經貿談判中涉及的跨境數據流動條款必將受到現有國際規則的影響，甚至會被借鑒到相關的談判文本中。為此，我國應當積極熟悉CBPR體系、TPP、USMCA等中有關數據跨境流動的規則，并借鑒吸收進入我國的國內立法，為后續參與國際談判磋商提供國內法依托。

總之，我國在數據跨境流動上存在現實的利益需求，但國內法相關規則還不健全亟需完善，在國際合作上也還未形成自己的穩定策略，需要借鑒國際組織及歐盟、美國等發達國家在數據跨境流動國際合作中的有益工具如CBPR體系、“隱私盾”、GDPR下的“企業約束規則”（BCR規則）等，在求同存異中實現數據跨境流動的穩步推進。

（二）數據跨境流動的具體規則

1.建立數據分類審核制度

《網絡安全法》第37條雖然要求建立跨境數據流動評估制度，但個人信息和重要數據界定、數據跨境傳輸的評估機制和評估方法等細則尚未出臺。從立法目的上看，《網絡安全法》是基于國家網絡安全視角提出的，針對數據跨境采取了更為直接和嚴格的干預手段，缺乏彈性，難以滿足數據多樣化的數據出境需求。不同類型數據體現的法益存在區別，根據不同的標準，可以對數據進行不同的分類。例如根據載體的不同，數據分為電子數據與非電子數據，或者分為網絡數據與非網絡數據。根據是否能夠識別特定個人，數據分為個人數據與非個人數據。根據占有主體的不同，數據可以分為政府數據與非政府數據，非政府數據是指企業等非政府機構擁有的數據。根據產生方式不同，數據分為原始數據與衍生數據。原始數據是指不依賴于現有數據而產生的數據，例如用戶發表的評論數據、信息系統記錄的日志數據等。衍生數據是指原始數據被記錄、存儲后, 經過算法加工、計算、聚合而成的數據。就數據跨境流動而言，從國家安全、企業商業利益、個人信息權益等角度出發，筆者認為可按來源和重要程度將跨境數據劃分為個人數據、商業數據、特種行業數據，并設定不同的數據出境審核要求和監管標準。

（1）個人數據。根據GDPR定義，個人數據是指已識別到的或可被識別的自然人（“數據主體”）的所有信息，這也被稱為個人數據的“可識別標準”。35梅夏英：《在分享和控制之間：數據保護的私法局限和公共秩序構建》，載《中外法學》2019年第4期。識別要素包括姓名、身份證號碼、定位數據、在線身份等，或者通過該自然人的物理、生理、遺傳、心理、經濟、文化或社會身份的一項或多項要素予以識別。基于數據對個人隱私和國家利益的影響程度，個人數據又可進一步分為三種類型，一般個人數據、敏感個人數據和關鍵個人數據，針對三種數據類型，實施不同的數據本地化和跨境流動限制。對于一般個人數據如身高、體重等和敏感個人數據如種族、征信信息、財產信息和住宿信息等，允許跨境流動，但要履行通知-同意的程序；或者數據接受地達到與本國相同的保護程度；或者數據出境是為了履行數據接收者與數據主體之間的合約所必須等。總之，對于一般數據和敏感個人數據允許有限制的跨境流動，符合國際通行做法，也是成熟經驗總結。但是對于關鍵個人數據，比如健康數據、遺傳數據等，應以禁止跨境流動為原則。例如澳大利亞在《個人控制的電子健康記錄法》（Personally Controlled Electronic Health Records, PCEHR）第77章禁止可識別個人身份的健康數據向境外傳輸。究其原因，一國的關鍵個人數據已經超出了個人隱私的范疇而具有國家安全層面的意義，應當僅能存儲在本國的服務器/數據中心，原則上禁止離境。

（2）商業數據。商業數據，是指一個產業，其價值鏈上各個重要環節的歷史信息和即時信息的集合，其內容包括商業企業內部數據、分銷渠道數據、消費市場數據等，具有重要的經濟價值。36參見李曉陽：《大數據背景下商業數據的財產性》，載《江蘇社會科學》2019年第5期。其不但能揭示某個產業的歷史，還能反映產業的最新發展，更重要的是能預示產業的未來，為該產業價值鏈上各類企業的戰略、研發、營銷、管理等提供可靠的咨詢和指導。大量產業的商業數據的集合，就是商業數據平臺。商業數據平臺不但能進行產業內的橫向和縱向比較，還能進行產業間的比較，更能監控各產業的即時發展情況。事關國計民生的某些產業發展狀況可能通過商業數據跨境流動的方式為他國或第三方獲悉，不但可能損害商業數據中包含的商業秘密、知識產權或誘發不正當競爭，還可能侵害一國的國家利益和公共利益，故數據控制主體在向境外第三人轉移商業數據時應當履行一定的自查義務，必要時應當取得行業部門的同意。

（3）特種行業數據。對各種行業數據，各國出于國家安全和公共利益考量對其跨境流動采取較為謹慎的態度。例如德國在2016年針對某一類型的電信元數據推出了數據本地化存儲的要求，法國在醫療、信息通信等領域也存在相關的數據出境限制要求。通常來講，對特定行業數據應加強安全評估。以金融行業為例，針對電子銀行的跨境業務活動，個人金融信息的儲存、處理和分析，跨境外包，以及征信數據的整理、保存和加工等活動進行嚴格的規定，強調了數據的本地化存儲要求，原則上不得向境外提供。究其原因，宏觀層面來看，是基于國家安全視角；中觀層面，與行業的監管有關；微觀層面，涉及個人敏感信息。因此，針對電信、金融、石油、電力等關鍵行業數據跨境流動應采取審慎的安全風險評估制度，并進一步明確安全風險評估的管理機構、評估機構的資格認定、評估標準、程序，評估結果管理等具體內容。

總之，由于數據本身的多樣性，不同性質的數據在國家安全、公共利益、數據主體權利上的影響存在差異，故而在數據跨境流動的治理上應當區分數據體現的不同利益類型進行分類管理。通常來講，數據中包含的個人隱私、商業利益較易識別，但對國家安全、公共利益則較難判斷。故在數據出境分類審核的制度建設中應強化在法律層面明確哪些數據涉及國家安全和公共利益，以穩定社會預期。要區分個人數據、商業數據、特種行業數據，形成對應的跨境流動管理策略，根據數據的安全屬性及包含的利益類型進行梯度性管理，靈活采用自由流動、本地化副本保留、有條件出境、跨境數據流動限制等從完全開放到完全禁止的跨境數據流動管理措施。

資料顯示，軍莊鎮的地層主要為古生界的奧陶系和石炭系、二疊系，在奧陶系與石炭、二疊系之間存在平行不整合接觸關系，向斜構造明顯[4]，其中石炭系、二疊系地層單位均是以本地區地名命名[5]，巖層中植物化石豐富[6-7].

2.強化數據安全的技術建設

數據的跨境流動依托互聯網網絡，“棱鏡門”事件已經表明在網絡攻擊下，數據存在非法流出境外的隱患。因此有必要強化數據安全的技術安排，通過技術手段預防、限制、制止數據的非法出境行為。USMCA就明確締約各方應加強應對網絡安全事件的能力，加強網絡安全協作，共享網絡安全信息，防范惡意代碼攻擊，并提倡基于風險的方法（risk-based approaches）以識別和防范網絡安全風險。就數據跨境流動而言，除了采取必要技術措施以保障網絡安全、穩定運行，有效應對網絡安全事件，防止數據泄露、毀損、丟失外，還應根據數據流動的特征采取流量路由等必要措施對數據的走向、總量進行必要控制，在威脅國家安全等情況下甚至阻斷數據的傳播。此外，要積極吸收先進技術成果，采用數據加密或數據脫敏從源頭做好個人隱私和其他重要數據的保護。在制度安排上，要建立定期測試、評估、評價技術和管理措施是否有效的體系。

3.完善數據主體等的法律權利

在個人數據保護上，GDPR設定了高標準的示范，并提供了豐富的制度工具如算法可解釋權、刪除權、可攜帶權等供個人主張以應對不當利用個人數據的行為。亞洲太平洋經濟合作組織（APEC）的《跨境隱私保護規則》（CBPR）則在數據跨境流動上規定了數據收集目的明確，數據使用范圍限制，安全保障，透明度，個人參與，權利救濟與問責等法律原則。但我國卻無專門數據立法對數據主體等的權利進行明確規定。此外，在企業數據保護方式的選擇上，目前還沒有統一的法律模式。37參見龍衛球：《再論企業數據保護的財產權化路徑》，載《東方法學》2018年第3期。除了通過不正當競爭法（行為法）、財產權（權力法）的模式選擇外，還有學者提出通過構建大數據有限排他權等知識產權體系對企業數據進行保護。38參見崔國斌：《大數據有限排他權的基礎理論》，載《法學研究》2019年第5期。

數據的跨境流動屬于數據運用的一種，基于前述個人隱私侵犯風險、企業財產權利受損風險，數據主體等權利的缺失將使受害人無法獲得周延的權利救濟，也使行政執法或司法裁判陷于無法可依的境地。為此，我國亟需完善并明確規定數據主體等的權利，在加強行政監管、規范數據控制主體行為的同時，使數據主體及時獲得私法救濟，并調動社會監督的積極性，保證數據跨境流動的合法有序進行。

4.完善數據出境過程中相關主體的風險管理責任

鼓勵行業協會及其他自律組織參與安全評估，建立可落地實施，具有活力的數據管理秩序，作為行政監管的補充。從歐盟的法律實踐看，數據控制者可以成立協會并提出所遵守的詳細行為準則（codes of conduct），該行為準則經由成員國監管機構或者歐盟數據保護委員認可后，可通過有約束力的承諾方式生效。39EU, General Data Protection Regulation，https：//gdpr-info.eu/, last visted Jan. 10, 2020.如前所述，我國目前已經初步構建了跨境數據流動管理的法律法規架構，但具體的監管制度仍有待細化和完善。數據跨境流動監管畢竟屬于新鮮事物，在探索性的監管過程中，既要避免管得過死、過細，實質阻礙了數字經濟的現實需要，又要避免過粗、過于原則，無法發揮指導作用。為此可以通過自律組織依據本行業的具體特點制定探索性政策、指南的方式，對法律規定的跨境數據流動的基本原則及主要制度作進一步細化，為企業和機構提供合規性操作指引。

進一步落實數字控制主體的數據保護自查責任。數據控制主體內部需建立數據保護體系，明確數據各生命周期環節的具體操作規范，加強內部監控，避免不當操作。凡出境業務，需經過合規部門預研、審核，確保涉及數據收集、傳輸、處理等操作的每一步都符合出境的監管要求。從國際經驗看，澳大利亞采取了“創始人”（生成數據的人）的制度，利用數據保護性標識督促數據控制主體履行數據保護義務。40Asia Business Law Institute, Regulation of Cross-Border Transfers of Personal Data in Asia，https：//www.abli.asia/UploadPDF/DP_Compendium_May_2018.pdf.當數據生成時，創始人需要評估未經許可訪問或不當使用數據所帶來的損害及后續影響，如果數據的跨境流動可能會損害國家和他人利益，則該數據應被施加保護標識，在披露或向機構外傳輸前，應采取適當保護措施。通過數據創始人制度（Originator）對數據跨境的要求進行處理，只有獲得Originator 授權并移除標記，相關數據才可跨境。總之，不管是基于風險控制還是利益補償等角度考量，數據控制主體履行相應數據出境自查或者保護義務，符合責任分配的一般法理。具體來講，每個數據控制主體需要根據不同業務要求和操作環境，確定其風險承受水平，人員、數據以及資產的具體風險，并采取相應的保護措施以減輕風險，包括采取風險識別、風險評估、制定風險排除方案等。

總而言之，在數據跨境流動的風險管理上，應當形成政府層面的宏觀審慎監管，行業協會自律監管和精細化指引、數據控制主體積極自查這樣一種各司其職、各負其責的組織架構。當然，除了上述三類主體外，還應發揮市場其他主體功能，如鼓勵第三方機構對提供云計算、大數據業務的服務商、境外智能制造企業進行安全資質信用評級，為境內企業選擇合作方提供參考；鼓勵互聯網服務提供者自愿采取行動限制對數據的惡意訪問或者對敏感信息和重要數據的訪問等，引導多元化市場主體參與數據跨境流動規范建設。但是，鑒于數據跨境流動場景多元化和復雜化趨勢，各方權利義務的具體配置還有待實踐的發展和理論的探索。

5.豐富合法流動渠道

從我國的監管實踐看，除了涉及國家利益、公共利益的特定行業數據、個人數據絕對禁止出境外，對于其他個人數據和商業數據，網信辦《個人信息和重要數據出境安全評估辦法（征求意見稿）》、國家信息安全標準化委員會《信息安全技術 數據出境安全評估指南（征求意見稿）》設定了較為嚴格的事前“許可”監管機制，包括履行“通知-同意”程序、安全自評估、行業主管部門評估等。一刀切的事前“許可”可以提高我國的風險控制能力，但與全球化數字經濟的發展趨勢卻極不適應。數據的跨境流動并不遵循特定路徑，而是通過多種方式、多種渠道，例如E-mail、即時通信、提供數據庫訪問權限，或者是通過內部網絡進行交換。一刀切的事前許可門檻，往往只是增加形式上的行政負擔，最終可能被束之高閣，難以適用。為了滿足數據日常化、規模化的跨境需求，在不涉及國家安全和公共利益的數據跨境流動上，應為“合理有序的數據流動”提供盡可能豐富的合法渠道。從歐盟GDPR關于數據跨境流動規則看，除了用戶同意外，另構建起了“充分性認定”、充分保障措施、數據轉移是為了履行與數據主體之間的協議所必需等事前“許可”的豁免事由。因履行與數據主體之間的協議所必須的數據出境情況可歸結為用戶的默示同意，適用場景有限，故充分性認定和充分保障措施成為歐盟等重點參與構建的數據跨境機制，值得我國借鑒。具體而言：

（1）建立白名單機制。“白名單機制” 建立根據數據保護狀況及對等措施，將部分地區納入可自由流動的國家與地區。例如要獲得歐委會批準的充分性認定資格，一國數據保護立法、執法環境、是否存在有效的損害救濟機制等是首要考量因素。41參見賈開：《跨境數據流動的全球治理：權力沖突與政策合作——以歐美數據跨境流動監管制度的演進為例》，載《汕頭大學學報（人文社會科學版）》2017年第5期。美國CLOUD法案則規定能與其進行境外數據執法合作的“適格外國政府”必須符合法治、人權、有充分的數據保護實體和程序立法等核心標準。42參見魏書音：《CLOUD法案隱含美國數據霸權圖謀》，載《中國信息安全》2018年第4期。從本質上來講，白名單機制是一國認為他國的數據保護水平達到本國的最低要求，進而認為本國數據流入他國會得到充分的保護，而不至于損害數據主體合法權益。但需要注意的是，白名單本身應當是可以靈活調整的，應當建立起定期評估與臨時評估等制度，以保證數據流入國始終保持高標準的數據保護標準。歐盟法院以美國情報機關可能濫用數據收集權力為由最近宣布“隱私盾”無效本身，已經從實踐說明了“白名單”不能是一成不變的。我國在完善數據保護政策和法律規范的前提下，可通過建立白名單機制，以減輕企業合規負擔，暢通數據跨境流動的渠道。此外，在白名單之外還應配套相應的域外執法管轄和責任追究機制，白名單中的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究其法律責任。

（2）充分性保障措施。若向白名單以外國家傳輸數據，只要數據控制者、數據處理者承諾提供充分的數據保護措施，數據就可以跨境流動。從實踐看，充分性保障措施主要包括標準合同條款、具有約束力的集團企業規則、經批準的認證機制等。43參見中國信息通信研究院安全所等：《歐盟GDPR合規指引》，https：//www.cebnet.com.cn/upload/resources/file/2019/05/29/39038.pdf。標準合同條款由政府依據數據保護原則主導制定，通過合同來管控數據出境風險。在合同的具體內容上包含當事人雙方應當遵守的數據保護規定，明確不得跨境的數據類型；要求境內企業對其數據進行分類管理，境外企業不得通過芯片后門等方式獲得禁止跨境的數據；合作雙方均應遵守我國相關數據保護法律規定，合同適用我國法律，并由我國法院管轄。如果數據控制者、數據處理者等主體間采用了標準合同條款，則合同僅需在主管部門備案而無需主管部門批準即可進行數據跨境流動。具有約束力的集團企業規則主要適用于跨國集團企業內部進行數據流動，歐盟的BCR規則認為如果跨國集團遵循一套完整的，經個人數據監管機構認可的數據處理機制，則該集團內部整體成為一個“安全港”，個人數據可以從集團內的一個成員合法傳輸給另一個成員，而無需經主管部門批準。經批準的認證機制上，APEC的跨境商業個人隱私保護規則體系（CBPR）提供了極好的范例。CBPR規則下，獲得政府認可的評估機構對商業機構保護個人隱私與信息的水平進行認證，獲得認證的企業之間可以進行數據的自由交換，當然也包括數據跨境流動。44APEC, APEC Cross－ border Privacy Enforcement Arrangement, https：//www.apec.org/About-Us/About-APEC/Fact-Sheets/APECCross-border-Privacy-Enforcement-Arrangement.aspx, last visted Jan. 10, 2020.

當然，隨著實踐的不斷發展，數據跨境流動的通道將超出上述類型。但總的說來，在不涉及國家利益與公共利益時，應當采用靈活多樣的措施應對數據的跨境流動需求。原則上來講，只要為數據保護提供了充分的制度工具及充分的救濟手段，就應當允許數據的跨境流動。

6.以國際合作促進我國數據跨境流動規則建設

數據跨境流動對以科技驅動的現代經貿發展的重要意義促使歐、美等發達國家著力推動建立數據跨境流動的新秩序。例如美國在APEC“跨境隱私保護規則”下致力于構建經貿領域數據跨境流動規則，形成區域性的數據自由流動圈；歐盟以GPDR為標桿，并利用數據保護立法的先發優勢，使各國的數據保護標準向其靠攏。美國與歐盟在數據跨境流動合作上固然有自己的利益考量，但從效果上看，避免了國際和區域數據保護政策的重復性和碎片化，提高了政策的兼容性，以保護跨境數據流動，防止各國制造數據流動的障礙。我國《數據安全法（草案）》第10條亦提出我國應積極開展數據領域國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。為此我國應當積極參與數據跨境流動的國際合作，融入數據跨境流動的游戲規則，不斷總結發達國家監管經驗的有益做法如數據訪問、保留、安全、審查等相關要求的執法標準，實現國際規則有條件的等同采納、雙多邊規則互通互認、先進規則吸收改造，進而反哺我國數據跨境流動規則完善。但同時需要注意的是，在國際合作中，我國亦應當堅持以自身的管理需要和實際出發，對與履行國際義務和維護國家安全相關的屬于管制物項的數據依法實施出口管制；對在數據和數據開發利用技術等有關的投資、貿易方面對我國采取歧視性的禁止、限制或者其他類似措施的，我國應根據實際情況保留進行對等反制的權利。

四、結語

我國在構建數據跨境流動規則的過程中應當處理好國家安全維護、數據主體權益保障、經濟貿易發展需要之間的利益平衡關系。在信息通信技術與經貿全球化深度耦合背景下，應當承認數據的跨境流動是絕對的，而對數據流動的限制是相對的。我國目前缺少專門的法律規范以推動數據跨境流動的有序進行，既不利于我國數字貿易的全球化開展，也不利于國家安全和個人隱私等的有效維護。

為此我國亟需制定數據跨境流動的法律規則，以適應全球貿易的數字化趨勢。在數據跨境流動法律規則的制定上，我國應當依據不同數據類型體現的國家安全、公共利益、數據主體利益的不同對數據流動進行分類規制，并在法律層面明晰各類數據的范圍。對涉及國家安全、公共利益的數據原則禁止出境，對僅涉及數據主體利益、商業利益的數據應當允許有條件出境。在數據出境監管上，應當構建數據控制主體和數據處理主體自查自糾、行業協會自律監管指導、國家專門機關統籌協調監管三位一體的組織格局；在個人隱私和商業秘密等的保護上，要利用相關加密技術對出境數據進行預處理，并加強數據傳輸網絡的安全防范能力，以防止數據的不當泄露；在法律層面上，應完善數據主體權利和相關主體責任，豐富數據合法出境渠道，實現數據有序可控流動。同時我國應當積極參與數據跨境流動的國際合作，推動數據跨境流動實踐，進而反哺數據跨境流動監管規則的構建。