數據跨境流動國內治理的理論檢視與路徑探究

摘 要：隨著數字密集型產業的發展，數據跨境流動逐漸成為全球貿易和投資增長的新支柱，更是推動數字經濟快速發展的核心引擎。在歷經隱私權、財產利益到國家主權的理念發展變遷后，私權體系下的數據保護秩序遭到破壞，被以國家主權為基礎的公共秩序保護觀所取代，各國開始重新探討國內治理在數據跨境流動中的新定位。我國目前已經構筑起數據保護的基礎性框架，也在不斷完善國內治理規則，建立起了以主權安全為基本理念，以數據本地化儲存為基礎框架，融合安全評估、保護認證、標準合同等保障數據安全出境措施的新體系。實踐中應以比例原則作為實施數據本地化的必要限度；兼采多元協同的監管措施，借鑒亞太經合組織“問責制”以及美國的“行業自治”進行多元化治理；同時倡導求同存異的國際合作局面，積極探索數據跨境流動新模式。

關鍵詞：數據跨境流動；國內治理；本地化儲存原則；數據保護

中圖分類號：F49"""" 文獻標識碼：A""" 文章編號：1001-4225（2024）08-0026-09

一、問題的提出

大數據時代，數據跨境流動已經嵌入貿易和投資等方面，數據跨境流動不僅是國際貿易的重要基石，更是推動數字經濟發展的強大動力。英國于2024年宣布將英國數據中心列為“關鍵國家基礎設施（CNI， Critical National Infrastructure）”，自太空和國防部門于2015年被列為CNI以來，這是近十年來首次新列CNI項目，其對數據保護的重視程度可見一斑。我國通過《數據安全法》《網絡安全法》等法律法規構成了規制數據跨境流動的基本體系。2024年3月22日《促進和規范數據跨境流動規定》①的頒布，大幅度降低了數據出境的限制條件。國務院常務會議審議通過《網絡數據安全管理條例》②，以專章的形式規定了網絡數據跨境安全管理，該條例將于2025年1月1日正式生效。這些立法表明我國正在積極促進數據依法有序自由流動。

在尚未產生豐富數據的時代，個人數據被認為是隱私保護的重要對象，數據保護在國內隱私權法律保護框架下即可實現。然而，隨著互聯網、大數據和云計算的發展，個人數據被賦予了社會性和公開性，數據因其具有脫離物理實體的無形性與虛擬性，使得傳統的主權概念在處理數據跨境流動問題時力有不逮，國家主權也因數據跨境流動而面臨網絡入侵的現實危險。由于對跨境傳輸數據的治理不可避免地與其他相關國家或地區產生管轄權沖突，因而各國大多通過國際合作等方式尋求破解之道，這使得數據跨境流動的解決方案帶有濃厚的國際法色彩。隨著全球范圍內掀起了反對“數據保護主義”的浪潮，國內法的價值遭遇了前所未有的忽視乃至貶抑。但本國數據保護與公民和國家安全息息相關。目前，有關數據跨境流動國內治理的正當性依據、數據流動的自由度應否提高，以及國內數據跨境流動體系如何完善等問題亟待解決。在面臨眾多選擇的分岔路時，既不可“固步自封”地阻斷數據流動，又不能“照本抄錄”地模仿他國做法。我國應當充分挖掘新時代下數據跨境流動國內治理的應然價值，尋求國內治理在數據跨境流動過程中的全新定位。有鑒于此，本文以數據跨境流動的理論變遷為線索，探究其國內治理的合理性基礎及體系框架和制度選擇，同時對實現路徑進行分析闡釋，以促進國內法對數據跨境流動問題的優化適用。

二、數據跨境流動國內治理的

理論變遷與合理性證成

數字經濟的發展使數據流動的治理模式發生重大變化。一方面，數據流動的范圍不斷擴大，當前的數據借助網絡載體可在全球范圍內傳輸流動，涉及多個國家和地區；另一方面，隨著網絡技術的發展，數據傳輸速度極快，數據從數據發出國到達數據接收國幾乎瞬間完成，且數據出入境的時間無法確定，法律屬地主義邊界被模糊。這些變化使得國內法看似失去了適用基礎，國際法成為應對數據跨境流動的理想工具。是故，自20世紀90年代以來，國際組織一直試圖構建新的數據國際治理路徑，組織多方簽訂關于數據跨境流動的國際條約。然而，由于不同國家和地區對個人數據跨境流動的價值取向不盡相同，這些法律文本只能為解決此類問題提供有限的原則性指導，在實踐中往往缺乏適用性和可操作性，具體的規定仍需要各國政府自行制定。美國和歐盟正是借此來延伸其國內數據立法的域外效力，擴大其在數據跨境流動領域的管轄權。此種做法的后果是，國家之間跨境數據流動治理分歧加劇。為避免管轄權被“蠶食”，各國開始將注意力轉向本國境內，嘗試通過強化國內治理以規范數據跨境流動。

（一）數據跨境流動國內治理的理論變遷：從隱私權到財產利益

對數據跨境流動的治理最早可以追溯到對隱私權的保護：數據中包含著大量的個人信息，應當歸入隱私權的保護范圍內。由于個人數據被視為隱私的一部分，因此對個人數據的收集和使用必須經過所有者同意，否則將構成對隱私權的侵犯。在數字行業尚未發展之時，歐盟就已將個人數據權視作一項基本人權，數據保護被認為是隱私權保護的自然延伸，其主張將個人數據權益置于現有人權體系下按照一般人格權進行保護，并否認數據人權的存在。歐盟認為各類行業數據是個人數據的集合，基于對個人隱私權的保護，其在處理數據跨境流動問題上一貫秉持數據安全優先的態度，要求與其進行數據傳輸的相對方必須達到歐盟要求的“充分性保護”標準，不得損害公民的隱私權，否則就拒絕進行數據傳輸。

隨著網絡技術的發展，數字行業開始勃興，各國由此開始注意規范本國數字密集型產業發展，數據權的形式和內涵也不斷發生變化[1]。美國認為，對數據權的保護并非出于維護人類尊嚴，對數據的采集和使用也不必然需要個人同意，作為財產性權利而進行交換儲存的數據已不再只是個人隱私[2]，而是一種可以進入社會分配的資源。以美國Whalen訴Roe案為例，美國最高法院認為將藥物處方數據進行儲存的確會對病人的隱私權產生威脅，但政府出于監管目的收集個人信息且不加公開的行為，不應當被認定為侵犯個人隱私。Whalen案充分肯定了政府對數據信息的合理收集，個人數據在該案中被認為是醫療行業的重要資源。可見，美國主張將數據中所含的非經濟價值剔除，使其成為純粹的經濟問題。目前，一些新興國家注重數據跨境流動帶來的巨大的市場利潤與交易效率。將數據視為經濟資源和財產性權利的觀念，使美國在政策導向上更加注重實施市場主導的數據自由流動政策，旨在通過集合數據資源提升新興技術優勢。

從數據跨境流動的規制動機來看，不可否認，隱私權保護和財產利益保護這兩種導向都有其存在的合理價值和獨特意義。但上述兩種保護思路又各有其短板。在隱私權保護框架下，數據流動基于人格要素同時享有精神與財產雙重利益。而互聯網時代的數據信息在高度共享之中開始具備社會公共屬性，企業的經濟交易依賴于數據信息的收集、利用和流動[3]。個人數據超出了個人隱私或人格權的具體權利范圍，通過一般人格權保護個人數據往往會面臨諸多困難。人格權保護已不足以完全闡釋數據跨境流動的本質。另一方面，盡管數據蘊含經濟價值，但也不可脫離其人格屬性而單純作為財產進行交易。我國《民法典》第993條規定，只要相關的人格權沒有以列舉的方式被排除，就可以成為商業利用的對象，并不能因為其具有經濟價值就完全排除其所具有的人格尊嚴要素。因此，隱私權和財產利益都無法作為我國數據跨境流動國內治理的理論基礎。

事實上，數據屬性早已突破傳統私人領域，展現出公共屬性的特質。這一轉變使得原本建立在私權體系下的數據跨境流動理論基礎變得愈發脆弱。面對這一挑戰，對數據跨境流動問題的分析視角從聚焦于個體權利的私權體系，逐漸轉向更為寬廣的公共秩序視角。其中，國家網絡空間主權理論逐漸占據了舉足輕重的地位。該理論強調國家在網絡空間中的主權權利，為證成數據跨境流動國內治理的合理性提供了新思路。

（二）數據跨境流動國內治理的合理性證成：網絡空間主權之提倡

面對數據跨境流動對個人隱私、公共利益和國家安全的沖擊，各國近年來愈發重視數據安全風險的法律防范。通過國際實踐可知，如若各國放任數據自由流動，將會與本國公共政策引發不可避免的沖突，進而觸及本國經濟社會發展的核心利益。此種連鎖反應已然證明數據保護與國家安全之間存在著無法掙脫的緊密聯系。由是，國家網絡空間主權理論濫觴并發展。傳統國家主權理論最初基于地理邊界的確定性和絕對性而得以確立[4]。隨著互聯網對傳統物理實體空間的突破，社會觀念也受到了前所未有的沖擊。通說認為網絡空間主權是傳統意義上的國家主權的表現和延展，應當利用主權原則對網絡空間秩序和數據信息流動進行規范。數據跨境流動是數據傳輸方將本國數據信息從國內網絡空間傳輸至他國網絡空間的過程，實質上是國家之間數據控制權的轉移，也是兩國網絡空間主權的“碰撞”。對數據跨境流動進行監管，實則是為彌補國家在涉外交易過程中逐漸被剝奪的數據控制權[5]。此種控制權表現為，如果主權國家要對本國跨境傳輸的數據進行限制，那就會不可避免地與其他相關國家或地區發生管轄權沖突，而管轄權正是國家主權的法律表現。

證成網絡空間主權的合法性應基于主權安全與數據流動之間的相關性，進而尋求兩者之間的平衡點。在國家治理層面，隨著技術的進步，數據的可控程度降低，數據安全問題日益嚴重。如今，數據泄露和非法交易頻繁發生。當此類侵權行為發生在國內時，國家可以通過執法和司法保護對其進行救濟。但當數據侵權發生在跨境傳輸過程中時，輸出國對數據控制權的急速下降導致國家與公民的信息安全無法得到保障。各國為了最大程度保護國家利益，勢必不斷強化對網絡主權的控制。這也使得通過國內法治理數據流動有了天然的合理性。目前，西方國家利用“長臂管轄”不斷擴大數據管轄權，圍繞數據跨境流動展開的國家利益博弈不斷激化，通過國內治理保障數據跨境流動已刻不容緩。

三、數據跨境流動國內治理的

體系檢視與制度選擇

從制度體系方面研究我國的數據跨境流動，可以診脈斷癥。一方面，現階段我國相關法律體系雖已成型，但尚不完善，分散式立法使得數據跨境流動的制度體系陷入困境之中；另一方面，各國采取的數據保護措施各不相同，西方國家對我國所采取的數據本地化原則施以猛烈抨擊。另外，數據流動過程監管需要同時兼顧數據輸出國與接收國的法律制度，而眼下的當務之急則是在當前的體系結構下設置配套措施以應對此類挑戰。

（一）我國數據跨境流動的體系檢視

在我國《網絡安全法》正式實施之前，我國數據跨境流動立法一直處于分散立法階段，相關立法主要集中在需處理大量數據的領域，如金融和電信行業。除了《中華人民共和國憲法》和相關領域的部門法對其進行了單獨規定之外，有關條款散見于行政法規和部門規章，立法層級較低，且未形成專門的數據保護。2016年《網絡安全法》開始以“數據”為單位對有關跨境傳輸的行為進行規制，其與后續的《個人信息保護法》《數據安全法》一同形成了數據保護的基礎性法律。自2021年起，我國針對數據跨境流動出臺了一系列配套法規，形成了“3+N”的體系結構。這些法律法規針對數據保護和數據跨境流動作出了較為詳細的規定（見表1），一定程度上對跨境數據流動起到了監管作用。

雖然近年來我國一直針對數據保護加強立法，但由于數據跨境流動涉及網絡安全、商業交易等眾多方面，各部門法均不可避免地會涉及數據跨境流動問題，這導致有關規定分散于各法之中，未形成體系化、結構化的法律體系。此外，原則性標準與具體操作標準分離，實踐中需要檢索不同的法律法規才能準確適用法條規則，實操難度較大。例如，《網絡安全法》規定數據傳輸主體為“關鍵信息基礎設施運營者”，但卻未說明關鍵信息基礎設施的界限為何？對此，《關鍵信息基礎設施安全保護條例》也未明確標準，僅提出由各保護部門依據重要程度、危害程度以及關聯性程度自行認定①。《個人信息保護法》《數據安全法》則將法律規制的主體描述為“數據處理者”，但實踐中數據處理者的范圍十分廣泛，數據的儲存、傳輸等過程涉及眾多主體，這些主體是否都需要承擔維護數據安全的義務尚不明確。此外，相關規定對數據分級分類管理也存在規定不明的問題。目前法律規定限制的對象一般是“重要數據”。《數據出境安全評估辦法》規定“重要數據”是有關國家安全和社會公共利益的數據，但其具體涉及的行業、種類并未細化，界限十分模糊。

（二）數據跨境流動國內治理的制度選擇

1. 數據本地化儲存原則的必要性分析

目前以歐盟、美國為主導的國際條約和協定大多禁止數據本地化。2023年10月28日，歐盟和日本在“歐盟-日本高級別經濟對話”中就跨境數據流動達成了協議。該協議取消了數據本地化要求，使得雙方企業無需繁瑣的程序和高昂的成本即可處理數據②。歐盟表示后續還將與韓國、新加坡等國家商談，加快取消數據本地化的進程。美國為強調自己的霸權地位，企圖在無主空間內利用其領先的技術積累數據資本，獲取經濟優勢，故而一直反對網絡空間主權概念，進而也反對基于網絡主權而設置數據本地化原則。與歐盟主張公民權利、美國主張市場利益不同，我國更加注重國家安全和數據安全，在《網絡安全法》中確立了數據本地化存儲原則。《數據安全法》和《個人信息保護法》承繼了這一要求，并在商業、醫療、基礎設施等被認為會給國家安全帶來風險的領域提出了數據本地化要求，體現出我國的價值導向。這一做法受到了來自部分西方國家的抨擊，其認為雖然本地化原則優先考慮最大程度的安全，卻忽視了數據自由，致使外國企業需要承擔高額成本，可能造成數據孤島，甚至形成“數據保護主義”[6]。那么，在當前國際大環境下，我國目前采取的本地化措施是否適當？

數據儲存原則的不同選擇代表了各國在數據安全和交易效率之間的價值偏好。空間主權要求國家在其網絡空間領域內享有絕對的和排他的數據控制權。在維護主權安全的價值下，不可避免地會導致一部分經濟利益受損；而自由流動則追求數據在不同國家、地區之間的傳輸效率，這種效率導向要求國家在必要時可以減小監管力度。從保障主權的視角來看，本地化儲存原則是一種穩定的選擇，但這種模式下的數據流動自由度最低，可能會阻礙國際貿易的持續增長。隨著新的數據密集型技術普及，數據本地化的負面影響將變得越來越明顯，數據本地化程度最低、數據跨境流動最自由的國家將更先受益于新的數字經濟。誠然，如果過分強調跨境數據流動的安全性，實施大量禁止性和限制性法規的確會給各行業帶來沉重的成本負擔，導致我國數字經濟增長受損。

即便如此，數據安全問題仍不可小覷。目前，各個領域的網絡基礎設施都匯集了大量的國家和社會數據。當一國的網絡空間被他國入侵甚至控制時，該國的主權安全就受到嚴重挑戰。前文已經提到，網絡空間主權的安全是實施數據本地化措施的正當性來源[7]。例如，美國國家安全局曾在微軟、谷歌等網絡服務提供者的配合下，對各國實施了通信資料監聽項目的“棱鏡計劃”，此事件使得各國國家安全和公民隱私受到沖擊，各國開始調整數據跨境流動的法律和政策，如改采用將重要數據儲存在國內，并實施嚴格監管等措施。就美國自身而言，盡管其主張數據自由流動，但這種自由也并非絕對的雙向自由，實際上的要求則是“自由的數據流入”：當美國作為數據輸入方時，其積極主張數據的自由輸入，借此機會建立數據信息優勢；而當美國向外輸出數據時，其對接收數據方要求卻十分嚴苛，如要求接收方務必確保美國能夠完整獲取相關傳輸方的全部信息，如果外國企業不能滿足這一要求，就必須在美國設立數據中心[8]，這實質上也是本地化儲存原則的表現。由此可見，為保障國家主權和安全，有限度地本地化儲存數據在目前仍然是必要且合理的。

2. 數據跨境流動監管的多元化選擇

相對于國內的數據傳輸，數據跨境流動具有數量大、傳輸鏈長、傳輸節點眾多等特點，發生泄露的可能性大大增加。盡管我國已經采取數據保護措施防止數據泄露，但是隨著跨境數據攻擊技術的升級，數據在跨境流動過程中仍很容易被盜取、篡改，在傳輸至接收方后，還存在著儲存安全無法保障的問題。以商業數據為例，為保障商業數據安全，對企業數據跨境流動應當實施“事前—事中—事后”的全階段保護，但由于企業大多只關注數據泄露等損害后果的補救，忽視了事前預防環節，使得數據安全防控滯后于業務運營，僅在發生數據泄露、篡改等問題時企業才開始重視漏洞修復，造成“先破壞、后治理”的情況。此外，我國關于數據跨境流動的事后監管方式也十分單一，對于違法違規向境外傳輸重要數據的企業一般由行政主管部門給予行政處罰，缺乏其他行之有效的監管和懲戒措施。數據傳輸主體的義務僅停留在對公權力的規制進行落實，企業自身的監督機制也未落實到位。是故，需要加快建立包含事前、事中、事后監管的全鏈條監管思路。具體而言，就是在以安全評估、標準合同為代表的事前預防前提下，引入動態監測技術，要求各地方網信部門實際參與數據跨境傳輸業務的指導監督，實時跟蹤數據跨境流動情況，并推動企業建立健全內部監督機制，促進監管過程持續化、日常化。除行政處罰外，將行業禁入、民事賠償等措施納入事后監管，提高違法成本，形成政府監管與企業自治相結合的全方位監管體系。

此外，《促進和規范數據跨境流動規定》對數據出境所要采取的不同審查措施進行了數量標準的限制。第七條對數據出境需要向國家網信部門申報安全評估的主體進行了規定。具體包括所有向境外提供個人信息或重要數據的關鍵信息基礎設施運營者，此類主體不論傳輸數量多少均需進行安全評估申報；向境外提供重要數據，或者自當年累計向境外提供100萬人以上非敏感個人信息或者1萬人以上敏感個人信息的數據處理者（非關鍵信息基礎設施運營者）也需要進行安全評估申報①。第八條則規定了當年累計向境外提供10萬人以上、不滿100萬人的非敏感個人信息或者不滿1萬人敏感個人信息的關鍵信息基礎設施運營者向境外傳輸數據時，需要與境外數據接收方訂立標準合同或者進行個人信息保護認證②。此規定看似對出境審查措施進行了分類處理，但從貨幣主義經濟學通貨膨脹模型分析，當價格總水平持續、顯著上漲，市場上貨幣發行量超過實際所需時，就會發生通貨膨脹，進而出現貨幣貶值以及不同行業、不同商品、服務的價格陸續提高。同理，網絡空間內的數據總量也在逐漸攀升，每天都在產生海量數據，且隨著技術的進步，數據傳輸速度也將大幅躍升。在此情形下，數據貶值無法避免，每年累積處理100萬條信息和向境外提供10萬條信息的數據處理者數量不斷增加，滿足安全評估標準的處理者越來越多，標準合同制度終因安全評估制度的過度實施而喪失獨立地位。可見，采取數量標準無法追上技術更新迭代的腳步。另外，不同行業在面對“數據通貨膨脹”時也因各自壓力彈性的不同而表現不同，媒體與商業領域的數據總量雖然巨大，但與國防、醫療等涉及國計民生的行業相比，其數據重要性則微不足道。總之，設置統一的數據標準無疑會提高普通數據傳輸的門檻，使得我國分級分類的制度設計沒能發揮應有的作用[9]，不利于提升我國企業數據跨境傳輸效率。因而，在設計數據跨境流動的出境審查方案時，應當依據不同行業、不同類別的數據設置多元化的衡量標準，避免以單一的數量標準實施“一刀切”的管理。

數據跨境流動的困境還在于數據的管轄權沖突。如《通用數據保護條例》規定只要為歐盟公民和境內企業提供數據，歐盟就對其享有管轄權[10]；《合法使用法案》則公開宣示美國可以調取本國企業存儲在境外的用戶數據，即無論數據存儲在何處，美國政府都具有管轄權，當歐、美雙方都主張自己對某一案件具有管轄權時，該案件就會陷入進退兩難的境地。這種管轄權沖突嚴重沖擊合同相對方國家的數據主權，不利于各國的國際合作。據此，我國還需要建立應對此類沖突的程序法規則，明確數據跨境傳輸管轄的邊界，通過國際條約或雙邊協定確立數據主權尊重原則，以法律互認和技術合作解決管轄權沖突。

3. 跨境流動國內治理的國際化對接

數據跨境流動管理缺乏統一的國際組織與國際條約。由于不同國家對數據傳輸所持的價值判斷與理念不同，數據跨境流動的國內立法也各有差異，各自實施的法律規則難以兼容。數據跨境流動爭議的實質是其他國家獲取中國境內存儲的數據與中國境內數據控制之間的沖突。我國應當借鑒他國經驗，積極推進國內治理規則與國際規則對接。

目前國際上數據跨境流動治理規則仍存在以歐盟政策與以美國政策為基礎的兩大陣營。歐盟在企業數據傳輸方面突出嚴格的私人利益保護：對于歐盟以外的國家和地區，歐盟主張數據安全優先，拒絕與數據保護程度未達到充分性要求的國家進行數據跨境流動；在內部，其對各成員國之間的數據流動則無限制。此舉意在提升歐盟內部數據企業的交易效率。美國作為網絡技術領先的國家，其為擴大產業優勢、匯集數據流入，一向反對數據壁壘，在此基礎上美國要求相對方不得以公共安全或國內法規定為由阻礙跨境數據流動。可見，美國對數據跨境流動的監管較為寬松。由于歐盟與美國兩者在數據保護領域存在明顯的價值與制度差異，歐盟曾拒絕同美國進行數據傳輸，除非美國企業按照《安全港協議》要求證明自己滿足了歐盟要求的原則，才可互通數據。2016年，《隱私盾協議》的簽署進一步加重了美國的數據保護負擔，該協議要求美國增加對數據跨境流動的審查機制[11]。遺憾的是，因美國國內法對公權力訪問數據的限制過于寬松，情報機關可以任意監控傳輸至美國的數據，歐盟法院認為美國的數據監控制度與歐盟的隱私保護政策無法兼容，在僅僅四年后便裁定《隱私盾協議》無效。盡管歐、美雙方之間的合作遭遇瓶頸，但這仍為不同制度的國家進行數據跨境流動提供了寶貴經驗：可以通過國家間協議方式進行“點對點”的數據傳輸。但此種協議效力的穩定性弱，極易因違反國內法而被宣布無效，且協議的落實依賴于雙方的積極履行，如有一方違約，則會致使雙方企業經濟業務受阻。

四、數據跨境流動國內治理的實現路徑

我國目前在數據本地化原則的框架下建立起了集安全評估、標準合同、個人信息保護認證于一體的分級制度，最新通過的《促進和規范數據跨境流動規定》以及《網絡數據安全管理條例》第五章都對現有的三類數據出境制度的實施和銜接作出進一步明確，同時適當放寬數據跨境流動條件，收窄數據出境安全評估范圍①。以上措施都為在保障國家數據安全的前提下進一步尋求便利數據跨境流動的新路徑奠定基礎。

（一）數據本地化存儲的限度：比例原則

無論各國采取何種方式進行數據跨境流動，目的都是為了統籌數據安全和流動自由，沒有任何一個國家會罔顧數據安全而選擇自由流動，反之亦然。做出不同選擇的原因僅在于各國對二者所占比重的偏好不同。我國做出數據本地化存儲的選擇基于的是國家安全與經濟發展價值。在數字經濟發展之初，發達國家互聯網數據技術發展迅猛，具有全球領先的優勢地位，其主張數據自由流動有利于數據資源向其傾斜。而在《數據安全法》《網絡安全法》出臺時，我國數據保護技術還不成熟，數據產業發展緩慢，安全漏洞普遍存在，采取數據本地化儲存策略有利于保障我國數據安全。歐盟與美國雖都反對強制性的本地化原則，但也都立足于個人隱私保護和安全價值設置有“例外條款”，即允許對涉及隱私權和國家安全的數據進行本地化儲存。誠然，數據本地化原則要求外國企業設立本地數據分支機構，阻斷數據的流動，對經濟發展存在負面影響[12]，但在政策選擇中，應當根據問題嚴重性程度考慮解決問題的方案以及預期成本和效益，依照比例原則提出適宜本國情況的最優解。

比例原則的目的正當性要求具有風險預防作用。就促進數據跨境流動過程中國家安全目標的實現而言，數據本地化不失為最穩妥的選擇，其目的的正當性也符合比例原則的要求。我國應當在確保數據安全的基礎上降低跨境數據本地儲存對經濟和國際合作帶來的負面影響，以正當性要求為依據，在一系列可供選擇的本地化方案中，優先考慮侵入性最小的措施[13]。

另外，比例原則還要求手段不得超過實現目的的必要限度。在保障我國主權安全的前提下，我國已經開始降低數據本地化存儲的嚴格程度。以安全評估制度為例，作為目前我國數據出境前的主要審查環節，安全評估制度正是為保障公共利益而進行設置的限制措施。《網絡安全審查辦法》基于數據保護原則擴大了安全評估的適用范圍，這使得我國數據出境難度較大。但在2022年之后，我國開始大幅度降低數據出境限制，例如，《數據出境安全評估辦法》提出了適用限制數據出境相關措施的詳細的客觀標準；《個人信息出境標準合同辦法》限縮了安全評估制度的適用范圍；《促進和規范數據跨境流動規定》引入了認證制度和負面清單，并且采取分類分級的開放措施。上述規定表明，我國開始由“嚴格的本地化”模式轉向為“有條件的自由流動”模式。這也意味著我國在“數據安全”和“自由流動”之間逐漸采取了更為平衡的價值取向。此舉與歐盟所采取的“充分性認定”標準有異曲同工之處。所謂“充分性認定”，是指歐盟根據第三國的個人信息保護狀況設定白名單[14]，若數據傳輸相對方達到歐盟的保護標準，則不再進行審批。未列入白名單的國家均需要進行單獨審查。該標準本質上也是依據比例原則作出的限制。我國雖然不適宜以白名單方式完全放開與某個國家或地區的數據自由流動，但可以借鑒“充分性認定”標準對外國相關數據處理者進行評估。目前我國已經引入了“個人信息保護認證”和“負面清單”制度，同時采用列舉方式對無需進行安全評估和個人信息出境標準合同的場景進行了規定，這是我國數據本地化儲存原則的一大進步。

（二）監管方式的域外借鑒：“問責制”與“行業自治”

當前實踐中，數據跨境流動監管主要表現在出境前對數據進行事先安全評估，出境后對違法跨境傳輸重要數據的主體給予行政處罰。但持續性的監督并未得到落實。因此，我國可以借鑒亞太經合組織《跨境隱私規則體系》中的“問責制”以及美國的“行業自治”機制進行多元化的監督。

所謂“問責制”，顧名思義，就是要求相關企業為自身有關數據保護和數據跨境流動的行為承擔責任。數字經濟時代，一旦發生數據違規傳輸和數據泄露，被侵權人在證明數據處理者存在違法行為時通常處于弱勢地位，換言之，數據主體在遭受損害的同時無法證明違法行為的發生，當數據侵權發生在域外時尤其如此。盡管行政機關可以依職權進行調查取證，但數據處理調查技術難度高、工作量大，且數據易被刪除、篡改，欲有效證明數據處理者存在過錯，殊為不易。更何況在關鍵基礎設施領域，若長期停止數據服務以供調查取證，將會造成難以估量的損失。建立數據問責制后，數據處理者便有義務向監管機構報告并證明其對數據的儲存和傳輸具有合理性，進而有義務保證跨境流動過程中的數據安全，并在必要時提供證據以“自證清白”。

此外，“問責制”的施行還要求數據處理者在進行數據傳輸前要進行自查。為此，各主體需設置有效的內部監管機構，負責糾正違規傳輸和其他不合規的行為，確保自身已經依照法律規定采取了保護措施，落實了防范義務。這要求數據處理者對其采取的數據保護措施和其完成的數據跨境傳輸過程進行記錄并公開。上述措施能夠有效緩解數據安全監管機構的執法壓力。一旦監管機構確認有關主體已經根據法律法規履行了義務并積極規避風險，則即使出現數據泄露，也可以對其從輕處罰，以此激勵有關主體主動履行數據安全義務。

在要求數據處理者自行規避風險的基礎上，應明確各行業的數據安全保護義務和職責，并通過行業標準予以落實。具言之，可在行業自治的基礎上引入第三方認證機制，進行定期審查，并將審查結果上報給行業協會與監管機構。以美國為例，一般來說，美國的行業自律機制分為兩類。一是通過第三方認證機構開展自律。第三方認證機構提供各種權威認證服務，如隱私和數據治理實踐認證等。認證機構對于認證合格的公司將進行標識，而后，認證機構可通過每年的重新認證工作以及通過隱私反饋機制征集到的投訴來對認證合格的公司進行監督，監督結果同步進行公示。二是制定建議性的行業自律準則。此類準則由相關數據保護自律協會制定，旨在督促違規主體自我改正，以此提供更靈活的數據流動制度和安全保障。

總之，認證機制的引入疊加行業自律協會的自我約束，共同構建起多元協同參與的管理體制，在防止數據儲存漏洞和違規傳輸方面存在重要價值，有利于提高我國數據流動國際競爭力。

（三）數據跨境國際規則的對標：求同存異

當前，跨境數據流動的國際規則體系尚未建立，各方正圍繞WTO談判機制開展談判，以促進多邊協議的形成。世界數字經濟論壇、世界互聯網大會、亞太經合組織等由我國主導或參與的國際治理平臺也正在開展跨境數據流動相關區域合作與談判，試圖構建數據網絡空間共同體。我國一直在申請加入全面與進步跨太平洋伙伴關系協定，但至今仍因數據跨境流動的本地化措施等原因未能正式加入[15]，這也導致了我國在數據跨境流動國際規則制定層面發聲較弱。

在國際合作中，我國應當倡導“求同存異”的理念。盡管我國采取本地化儲存措施，但這并不妨礙我國同其他國家進行數據傳輸[16]。面對不同國家和地區的法律法規、文化背景和市場環境，應當確保數據收集、處理、存儲和傳輸也符合當地法律法規要求。在操作層面，我國可以同其他國家簽訂關于數據跨境流動的協定，對爭議問題進行商談或提出保留，保證雙方可以最大程度地進行合作。只有我國自身的跨境數據流動監管規則體系逐步完善，并通過實踐取得良好成效，才能增加我國在國際合作中的談判籌碼[17]，進而提升數據流動治理效能，提升國際市場對中國企業的信任。

結" 語

數據流動所蘊含的強大動能促使我國必須從內部提升國家對數據流動的治理能力，助推我國在國際數據跨境領域勇立潮頭。這要求我國既不能放縱自治從而危及數據安全，也不能墨守成規限制數字產業勃興。隨著數字經濟的迅速發展，我國針對數據跨境流動的相關規定也該“更新迭代”——構建符合本國國情的數據跨境流動國內治理規則，積極探索數據跨境流動新模式，為提升數據傳輸效能提供切實保障，為中國的數字經濟發展增添持續的動力與活力。

參考文獻：

［1］高疆，盛斌.跨境數據流動與數字貿易：國內監管與國際規則[J].國際經貿探索，2024，40（6）：102-120.

［2］H. JACQUELINE BREHMER. Data Localization： The Unintended Consequences of Privacy Litigation[J]. American University Law Review. 2018， 67（3）： 927.

［3］冉克平.論《民法典》視野下個人隱私信息的保護與利用[J].社會科學輯刊，2021（5）：103-111+2.

［4］熊光清，王瑞.網絡主權：互聯網時代對主權觀念的重塑[J].中國人民大學學報，2024，38（1）：126-138.

［5］TAYLOR， RICHARD D. “Data Localization”： The Internet in the Balance[J]. Telecommunications Policy， 2020， 44： 8.

［6］IKE BRANNON AND HART SCHWARTZ. The New Perils of Data Localization Rules[J]. 2018， 41（2）： 12-13.

［7］郭德香，張佳偉.RCEP對金融數據本地化措施的規制及中國因應[J/OL].征信，2024（9）：44-52.

［8］馬蘭.金融數據跨境流動規制的核心問題和中國因應[J].國際法研究，2020（3）：82-101.

［9］葉傳星，閆文光.論中國數據跨境制度的現狀、問題與紓困路徑[J].北京航空航天大學學報（社會科學版），2024，37（1）：57-71.

［10］DAN JERKER B. Svantesson， Extraterritoriality and Targeting in EU Data Privacy Law： The Weak Spot Undermining the Regulation[J]. International Data Privacy Law， 2015， 5（4）： 226-234.

［11］紀正坦.歐美數據跨境流動規則博弈的嶄新階段與中國因應[C]//《法律研究》集刊2024年第1卷——貿易強國制度構建研究文集.河南財經政法大學法學院，2024：11.

［12］許多奇.論跨境數據流動規制企業雙向合規的法治保障[J].東方法學，2020（2）：185-197.

［13］VIDYASAGAR， G. MAHITH. Does data localization measures really enhance law enforcement？[J]. Nyaayshastra Law Review， 2021， 2（1）： 1-15.

［14］劉俊敏，郭楊.我國數據跨境流動規制的相關問題研究——以中國（上海）自由貿易試驗區臨港新片區為例[J].河北法學，2021，39（7）：76-90.

［15］徐程錦.中國跨境數據流動規制體系的CPTPP合規性研究[J].國際經貿探索，2023，39（2）：69-87.

［16］黃琳琳.金融數據跨境流動的國際貿易法規制[J].上海對外經貿大學學報，2023，30（6）：66-77.

［17］李俊，王曉燕.統籌推進數據跨境流動監管與數字貿易發展[J].中國信息安全，2022（3）：53-56.