限制数据跨境传输的国际冲突与协调

邓志松，戴健民

（北京大成律师事务所，北京 100020）

限制数据跨境传输的国际冲突与协调

邓志松，戴健民

（北京大成律师事务所，北京 100020）

《中华人民共和国网络安全法》于2017年6月1日起施行，其中第三十七条系我国第一次从法律层面上对限制数据跨境传输做出规定。在世界范围内此类规定并不少见，但各国规制模式有所不同并且存在紧张和冲突关系。限制数据跨境传输的国际冲突，对各国数据监管提出重大挑战，也对企业的跨国经营带来风险与不确定性。基于对主要司法区的限制数据传输规制模式差异的现状与原因的比较研究，本文探讨了协调的可能路径以及中国的合理对策。

数据跨境传输；国际冲突与协调；数据本地化

邓志松 男，法学博士，北京大成律师事务所高级合伙人；

戴健民 男，北京大成（上海）律师事务所合伙人。

引言

数据跨境传输，广义上可定义为数据在国家之间的电子移动。①李思羽.数据跨境流动规制的演进与对策[J].《信息安全与通信保密》.2016年第1期.数据天然地具有流动性，互联网产业的良性发展、信息与知识的传播更新等无不依赖于数据的自由流动，而全球化的深入发展则进一步凸显了数据流动的跨国性。②吴沈括.数据跨境流动与数据主权研究[J].《新疆师范大学学报》（哲学社会科学版）.2016年9月第37卷第5期.2015年9月，中国共产党第十八届中央委员会第五次全体会议通过《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》，其中提到，“实施国家大数据战略，推进数据资源开放共享”。实现数据自由流动和开放共享，是我国实施“走出去战略”、完善开放型经济体系的必由之路。

然而，自由与开放并不意味着毫无限制，基于国家主权、国家安全、经济发展和个人隐私等方面的诸多考虑，各主权国家在数据流通过程中通常会施加不同程度的保护。在大数据时代和全球网络安全立法浪潮的背景下，更多的立法者已经注意到需要在网络治理领域引入新的规范布局，在网络安全的高度修正和完善顶层设计。③吴沈括.完善《网络安全法（草案）》二审稿的多维度思考[J].《网事焦点》.2016年第9期.2016年11月7日，《中华人民共和国网络安全法》（以下简称“《网络安全法》”）经三次审议后于十二届全国人大常委会第24次会议正式通过，2017年6月1日起施行。《网络安全法》第三十七条明确了对关键信息基础设施的信息跨境传输的限制，或将对企业在华商业运营产生显著影响。

随着中国对网络安全和数据保护提出新的要求，数据跨境传输业已成为企业合规的一大挑战。特别是对于跨国经营的企业，其在许多情境下都需要跨境传输数据，而同时其可能面对数据所在国法律的限制。如何协调数据跨境传输的需求与限制之间的冲突，成为中国企业走出去、外国企业在华经营都必须面对的问题。

一、数据及其跨境传输

（一）数据跨境传输的概念

数据跨境传输的概念最初由经济合作与发展组织（OECD）于1980年在《关于保护隐私与个人数据跨境流动的指南》中提出：数据跨境流动，即个人数据的跨国界移动。①OECD. Article 1(e), Guidelines governing the protection of privacy and transborder fl ows of personal data (1980)[ EB/OL].https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.虽然该指南在2013年进行了一定修改，但是其中的基本定义没有变化。其中的数据指代“关于可识别和可认定的个人的任何信息”即个人信息。②OECD. Article 1(b), Guidelines governing the protection of privacy and transborder fl ows of personal data (1980),. https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.另本文将“信息”等同于“数据”，不对二者的概念进行细分。国际性非政府组织三边委员会（Trilateral Committee）在其报告中引用了联合国跨国公司中心的概念界定，认为跨境数据流动是“用于处理、储存和检索的，能够电子化和进行机读的数据的跨国境运动”。③Trilateral Committee. Report on the Trilateral Committee on Transborder Data Flows (2010), Page 3,http://web.ita.doc.gov/ITI/itiHome.nsf/0657865ce57c168185256cdb007a1f3a/c444e0e6174952b5852575d1007eaec2/$FILE/Report%20of%20the%20Trilateral%20Committee.pdf.显然，三边委员会所引用概念中的数据不仅指代个人数据。结合对如今数据跨境传输的了解，笔者倾向于认同三边委员会引用的概念，而不将数据跨境传输局限于“个人数据”方面。

（二）数据的分类

从不同的角度上看，数据分类具有不同的方式。且如今的数据体量极大、类别庞杂，数据分类也只是将数据进行大致归类，数据各类别之间的联系无法被完全割裂。跨境流动的数据类型不同，需要法律予以调整的问题也不同。

根据数据承载内容不同，数据可以分为个人数据、商业数据、技术数据和组织（公共）数据。个人数据跨境流动涉及个人人格权和隐私权保护问题，目前在国际和国内层面主要是通过制定个人数据保护法进行规制；对于商业和技术数据的跨境流动，主要采行的规制方式是在国际上订立知识产权和通信条约，并在国内制定知识产权法和竞争法进行规制；对组织（公共）数据而言，主要由各国国内法中的公共安全管理法进行规制。④李思羽.数据跨境流动规制的演进与对策[J].《信息安全与通信保密》.2016年第1期.

根据国家对于数据的保护程度不同，可将数据分为不可披露的数据、限制跨境传输的数据和可自由跨境传输的数据。由于可自由跨境传输的数据不存在冲突问题，自然也就不存在协调问题，本文不再赘述。

1.不可披露的数据

不可披露的数据在本文专指国家秘密。⑤商业秘密虽也属于不可披露的数据范围，但商业秘密的保护主体为商业秘密持有人，国家仅对侵犯商业秘密的行为进行规制，所以商业秘密不纳入本文讨论范围。依据我国《保守国家秘密法》第二条规定，国家秘密是指关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。从定义便可看出，未经法定程序，国家秘密是不允许被披露的。此外，《保守国家秘密法》对国家秘密的定密、层级、知悉范围以及传输的方式都作了严格规定，特别是第二十六条第二款规定：“禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。”

2.限制跨境传输的数据

出于经济安全、社会稳定等方面的考虑，我国法律对某些方面的数据跨境传输进行了限制。例如，《网络安全法》中规定关键信息基础设施的运营者在运营时收集和产生的个人信息和重要数据应在境内储存。2013年1月21日国务院公布的行政法规《征信业管理条例》第二十四条规定，“征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定”；2011年1月21日中国人民银行发布的部门规范性文件《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条规定，“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”。

实际上，在数据的纸质存储时代，国家也有限制数据出境的规定。例如我国《档案法实施办法》第十九条第二款规定：“各级国家档案馆馆藏的二级档案需要出境的，必须经国家档案局审查批准”。如今，随着档案的电子化，他们理所当然地也被限制跨境传输。

（三）网络时代的数据传输

前述的概念界定中提到，跨境数据流动中的数据是指“用于处理、储存和检索的，能够电子化和进行机读的数据”。在信息社会全球浪潮的大背景下，目前以云计算、大数据、移动互联网以及物联网等新生事物为突出代表的新一代信息技术已得到了广泛应用并且已明文上升为国务院确定的“国家级新兴战略产业”。①《国务院关于加快培育和发展战略性新兴产业的决定》（国发〔2010〕32号）[EB/OL].2010年10月10日.http://www.gov.cn/zwgk/2010-10/18/content_1724848.htm.以创新为基因与灵魂的新一代信息技术正在以前所未有的速度冲击现存秩序的藩篱，对现存的互联网治理规范带来一系列全新的挑战，数据的传输方式就因信息技术的发展而发生了极大的变化。②吴沈括.数据跨境流动与数据主权研究[J].《新疆师范大学学报》（哲学社会科学版）.2016年9月第37卷第5期.

我国现行的《档案法实施办法》于1999年修订，其中规定，若各级国家档案馆以及机关、团体、企业事业单位、其他组织和个人需要携带、运输或者邮寄档案出境，必须经省、自治区、直辖市人民政府档案行政管理部门审查批准，海关凭批准文件查验放行。可见当时大部分的数据跨境转移还是在特定方之间通过物质存储媒介传递来实现。如今，技术革新与社会沿革已彻底打破了传统的数据跨境转移的模式，通过互联网进行电子数据的传输已经成为数据转移的主流方式。因而本文中的数据传输，既包括电子数据的传输，包括了特定方之间的对接传输、一方访问另一方的云端数据库或服务器获取数据以及第三方访问云端数据库或服务器获取数据；又包括电子数据实体载体的跨境传输。

二、限制数据跨境传输的国际规制差异

表1. 世界范围内数据本地化立法情况③Albright Stonebridge Group. Data localization, A Challenge to Global Commerce and the Free Flow of Information[R].Sept,2015.

冲突来源于差异，正是因为不同国家对数据跨境传输的限制主体、数据类型以及规制模式存在差异，才导致了传输过程中冲突的产生。目前在国际上存在几种主流的规制模式。下表摘自Albright Stonebridge Group咨询公司于2015年9月发布的一份报告，比较全面地呈现了近年来世界范围内数据本地化（data localization，即将数据储存在本国境内）立法的层级和情况。

（一）主要司法区的不同规制模式

1.欧盟

即将于2018年生效的《一般数据保护条例》（GDPR）第五章规定了跨境传输的有关规范。虽然曾经的《数据保护指令》（EC Directive 95/46, 将被GDPR废止）规定了数据自由流动的原则，禁止成员国以个人数据保护为借口，阻碍数据的自由流动。①姚朝兵.个人信用信息隐私保护的制度构建— —欧盟及美国立法对我国的启示[J].《理论与探索》.2013年第3期.但《指令》和GDPR都对跨境传输作出了限制。

GDPR规定，向第三国传输数据的条件之一是欧盟委员会对该国作出“充分保护认定”(adequate decision)。充分保护认定是欧盟委员会在考察几项具体事项后，认定一国能够充分地保护数据。考察因素包括法治水平、人权保护水平、独立监管机构的有效运行、参与的国际条约等。欧盟委员会作出充分认定后，将对该国至少每四年做一次审核。在没有充分认定的基础上，只有当数据控制方或处理方能够证明其采取了合理保护(appropriate safeguards)时才可向第三国传输，其中包括有约束力的公司规则(binding corporate rules)。第四十九条规定了一些可以在不具备上述要求的情况下跨境传输的例外情况，包括数据主体的明确同意、为公共利益考虑等情形。

以上可以看出，在内部立法层面上欧盟对数据的跨境传输并不从根本上进行禁止。有关“充分保护”的认定由欧盟委员会掌握。与中国《网络安全法》第三十七条中“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”的规定略有相似。在将来中国的数据传输的安全评估体系中，对充分保护的类似认定也可能会作为考量因素之一。

2.美国

在个人数据方面，美国确实没有类似必须存储在本地或对跨境传输加以限制的法律层面的明文规定。相反，美国一直在反对数据本地化的立法趋势，甚至有学者将其称之为“数据贸易保护主义”（data protectionism）。②Testimony of Robert D. Atkinson on International Data Flows before the House Judiciary Committee Subcommittee Courts.Intellectual Property and the Internet. p11.2014年，美国贸易代表办公室（USTR）发布了年度《对外贸易壁垒报告》，报告提到加拿大英属哥伦比亚省（British Columbia）和新斯科舍省（Nova Scotia）的数据本地化立法使学校、医院、国有公用企业和公共机构无法使用美国企业提供的服务，③USTR. 2014National Trade Estimate Report on Foreign Trade Barriers[R].https://ustr.gov/sites/default/files/2014%20NTE%20Report%20on%20FTB.pdf.阻碍了美国的出口贸易。

但是，这并不意味着美国对数据的跨境流动毫无限制。在美国的外资安全审查机制中，对于国外网络运营商通常会要求其与电信小组（Telecom Team）签署安全协定，要求其国内通信基础设施应位于美国境内，将通信数据、交易数据、用户信息等仅存储在美国境内。④石月.国外跨境数据流动管理制度及对我国的启示[EB/OL].http://gb.cri.cn/42071/2015/07/23/6611s5041096.htm.电信小组并非按照法律建立和行事，审查内容无法从公开途径查询。电信小组从上世纪90年代中期开始出现，在“9·11事件”出现后得以进一步发展和加强，由司法部、国防部、国土安全部以及FBI组成。⑤蔡雄山.2016年中国企业国际化法律风险管理报告[R].

因此，在法律层面上美国并不限制数据的跨境自由流动。但在外资安全审查机制中，美国仍然会对进入基础设施市场的外资所掌握的数据加以流动上的限制。此外，美国对军用和民用相关行业的技术数据的跨境实施许可管理。依据其《出口管理条例》（EAR）和《国际军火交易条例》（ITAR）分别对非军用和军用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时，必须获得法律规定的出口许可证。

3.中国

(a) 法律

我国并没有一部专门规制数据跨境传输的法律，有关数据跨境传输的规定散见于《网络安全法》、《保守国家秘密法》、《国家安全法》、《档案法》、《出入境管理法》和、《刑法》等法律。

《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

《保守国家秘密法》第二十五条规定：“机关、单位应当加强对国家秘密载体的管理，任何组织和个人不得有下列行为：（四）邮寄、托运国家秘密载体出境；（五）未经有关主管部门批准，携带、传递国家秘密载体出境。”第二十六条规定：“禁止非法复制、记录、存储国家秘密。禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。禁止在私人交往和通信中涉及国家秘密。”上述两条对国家秘密的传输作出严格限制。

《国家安全法》则从“国家网络空间主权、安全和发展利益”角度对数据的安全可控做出规定。《档案法》中对“档案”进行明确等级划分，并对档案的跨境传输分级进行规制。《出入境管理法》则规定：“对外国人非法获取的文字记录、音像资料、电子数据和其他物品，予以收缴或者销毁，所用工具予以收缴。”《刑法》分则专章规定“危害国家安全罪”，第一百一十一条为“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。

(b) 行政法规

少量行政法规如《保守国家秘密法实施条例》、《国家安全法实施细则》以及《征信业管理条例》等对数据的跨境传输或者本地化存储作了明确规定。

(c) 部门规章

部门规章对跨境数据传输或数据本地化的规定主要包括《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《寄递服务用户个人信息安全管理规定》、《网络预约出租汽车经营服务管理暂行办法》、《档案法实施办法》等。

综合以上可以看出，我国现行法律法规中没有对数据跨境传输进行清晰界定，对于数据跨境传输的规制并不系统，数据保护的侧重性较强。但值得关注的是，2014年2月27日，中央网络安全和信息化领导小组成立，这体现出决策层对网络安全的高度重视。近期我国网络安全相关立法进程加快，随着立法的不断完善，我国对于数据的保护也将不断加强。

（二）原因

以上三个国家（地区）对数据传输规制的不同，大体可以归结为以下三个原因：

一是保护数据安全。随着互联网的蓬勃发展，各个行业对于互联网的依赖逐渐加深。在互联网为全球带来便利的同时，网络攻击、数据泄露等问题也随之而来。为了应对此类问题，各国在网络安全领域出台立法，其中数据本地化作为许多国家保护网络安全的手段体现在了法律之中。

欧盟认为美国的个人数据保护体系过于松散，无法对传输至美国的个人数据提供有效的保护。甚至有学者将美国称为数据保护的“狂野西部”（wild west），是一个法外之地。①Mulvenon, James and Abraham Denmark (2010). Contested Commons: The Future of American Power in a Multipolar World.http://www.cnas.org/ fi les/documents/publications/这种对美国保护体系的不信任感在 “棱镜门”事件曝光后加剧，间接导致了《安全港协议》被法院判决无效。

中国《网络安全法》中明确规制范围为“关键信息基础设施”的运营者和管理者，其背后原因在于一旦此类基础设施遭到攻击，将导致国家、社会公众安全或利益受到严重损害。其他国家如澳大利亚、加拿大等仅在特定领域如医疗、电信、金融中对数据的跨境传输进行限制，原因也是这些基础领域的网络安全对国家、社会的发展至关重要。

二是宪法基础不同。作为一国根本大法，宪法对整个国家的法律体系起决定性的作用。法律的立法目的、具体条文应与宪法精神相吻合，不得与宪法抵触。因此，不同国家的法律规定存在的差异，其根源也可追溯至宪法条文的不同。

欧盟作为经济共同体，其本身不是一个主权国家，因此无法制定宪法。但作为纲领性文件，《欧洲人权公约》（Convention on Human Rights）在一定程度上也具有宪法的性质。公约第八条“尊重隐私和家庭生活权”规定，人人有权享有使自己的私人和家庭生活、家庭和通信得到尊重的权利。公权力机关不得干预上述权利的行使。由此可见，隐私权作为一项基本权利写进了宪法性质的公约之中。这为欧盟出台严格的数据保护条例、指令和政策提供了法理上的基础。1995年欧盟实施《数据保护指令》，第一次将隐私权这一基本权利落实到互联网时代的“数据”概念中。而根据欧盟的规定，指令虽不具有直接适用的普遍效力，但各成员国应参照指令指定本国国内法。而近期通过的GDPR，则直接以条例这一有约束力的法律形式纳入到欧盟隐私保护体系之中。

美国宪法于1789年通过，至今已有200余年的历史。尽管宪法第四修正案规定了“人民的人身、住宅、文件和财产不受无理搜查和扣押的权利，不得侵犯”，从一定程度上保护了公民的隐私，但隐私权却从未被确立为宪法权利（constitutional right）。当然，美国也非常重视公民隐私权的保护。除判例外，美国还制定了多部成文法保护公民隐私权。如1970年《公平信用报告法》、1974年《隐私权法》、1974年《家庭教育权与隐私法》和、1978年《财务隐私权利法》等。

然而，科技的发展使得隐私权的保护越来越难以实现。在面临这个选择困境前，美国却更倾向于以技术发展带动隐私保护。在互联网时代，美国重视技术发展的政策尤为明显。2014年5月，美国总统执行办公室（Executive Of fi ce of the President）发布2014年全球大数据白皮书（Big Data: Seize Opportunities, Preserving Values）。从白皮书所代表的价值判断来看，美国政府更为看重大数据为经济社会发展所带来的创新动力，对于可能与隐私权产生的冲突，则以解决问题的态度来处理。①李明.“大数据时代”的美国隐私权保护制度[EB/OL].http://www.china-cloud.com/yunjishu/shujuzhongxin/20141210_44162.html.

因此，宪法中隐私权的确立，既决定也反映了一个国家的整体价值取向。根据美国商会的研究显示，GDPR的实施将导致欧盟整体GDP降低0.8%到1.3%。②Bauer, Matthias (2013). The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data,Moving Commerce[EB/OL].https://www.uschamber.com/sites/default/files/documents/files/020508_EconomicImportance_Final_Revised_lr.pdf.欧盟在这种形势下仍然选择严格的数据传输限制模式，其部分原因可能包括对隐私权这一基本权利的高度重视。

三是经济原因。美国和其他国家不同之处在于其信息产业非常发达。世界上最大的IT产品生产商和服务提供商均是美国公司。截止2010年，美国企业占据全球IT产业26%的市场份额。③National Science Board (NSB). Science and Engineering Indicators 2012, (NSB, 2012). appendix table 6-13.在全球前20家云计算服务提供商中，17家的总部位于美国。而数据的自由跨境流动对 IT行业的发展至关重要。根据美国国际贸易委员会（International Trade Commission, ITC）的预估，降低信息跨境传输的门槛可以使美国提升0.1%到0.3%的GDP。④United States International Trade Commission.Digital Trade in the U.S. and Global Economies.

美国近年来不断在双边条约中推行数据自由贸易政策，其目的也是为了保护美国信息产业的蓬勃发展，以巩固美国的综合国力。此外，由于美国的强势地位，其接受了来自世界各地的大量数据。

而相比之下，欧盟、澳大利亚、俄罗斯和中国等国家（地区）的信息产业则没有美国发达。但许多国家（地区）也都意识到了这一领域的发展潜力。例如在中国，互联网经济的重要意义日益凸显。在超6亿的网民数量前，网络技术的迭代式发展和互联网公司的创新应用，让互联网经济成为拉动消费需求的重要力量。数据显示，互联网经济在中国GDP中的占比持续攀升，2014年达到7%，占比超过美国。①中国进入互联网经济新时代[EB/OL]. http://news.qq.com/a/20151210/023421.htm.

为了发展信息产业，欧盟于2015年5月6日正式通过了单一数字市场 （Digital Single Market）决议。决议中的主要措施包括：

1.统一市场，降低包裹运输费用，让跨国界的电商交易更便捷；结束欧盟国家之间的地域价格歧视；建立泛欧的版权法；2.完善欧盟的电信行业规则和视听媒体行业框架；3.促进数据在欧盟内免费自由流通，建立“欧洲云” （European Cloud）计划，这将使欧洲170万科研人员和7000万科技从业者受益；4.加强各国政府间电子信息的共享（e-government）， 预计每年能节约50亿欧元的信息成本。②“脱与不脱”？假如英国退出欧盟，对信息产业有何影响？[EB/OL].https://www.huxiu.com/article/153378.html.

欧盟一向支持数据在成员国之间自由流动。1995年《数据保护指令》对这一问题有专门规定。其目的自然是为了促进内部贸易，以保证欧盟内部单一市场的经济稳步增长。从政治经济学的层面分析，面对美国企业的市场份额压力，欧盟、俄罗斯等国出台的限制数据流动政策有一部分原因可能是为了保护内部市场的信息产业发展。

然而无论是出于何种原因，各国之间不同的规定势必会为不同企业，特别是跨国企业的运营带来诸多风险与挑战。

三、数据跨境传输需求与限制之间的冲突

如前所述，跨境数据传输是企业在国际经济贸易中的业务需求，而基于国家主权、国家安全、经济发展和个人隐私等方面诸多考虑，国家会在不同程度上对数据的跨境传输进行限制（或称为保护）。如此，需求与限制之间便产生冲突。实践中，需求与限制之间已经在以下一些情形下发生了冲突：

（一）为开展经营活动向境外传输数据

为开展经营活动向境外传输数据的情形大量出现在跨国公司的经营过程中，几乎可以说是一种常态。

从贸易带动信息流动的角度来看，第一，中国自2012年起已超越美国成为了全球最大的贸易国，截至2012年底，全球有128个国家的最大贸易伙伴是中国；③耿晨.个人数据跨境流动的国际监管和合作制度研究[D].华东政法大学.第二，选择在中国设立机构的跨国公司也为数不少，上海作为中国大陆投资性公司和跨国公司地区总部最集中的城市，截至2013年6月底，累计已有外商设立投资性公司275家，跨国公司地区总部424家、研发中心359家；第三，电子商务发展正进入黄金时期，截至2013年底中国电子商务市场交易规模达10.2万亿，同比增长29.9%。④耿晨.个人数据跨境流动的国际监管和合作制度研究[D].华东政法大学.2013年8月底，国务院正式发布《关于实施支持跨境电子商务零售出口有关政策的意见》，将大力促进跨境电子商务快速发展正式列为国家目标。在此背景下，我国需要进一步促进信息的自由流动以维持良好的贸易势头和经济发展。⑤耿晨.个人数据跨境流动的国际监管和合作制度研究[D].华东政法大学.

数据跨境自由传输的另一端是所谓的“数据主权”。互联网使得国际交流的越发顺畅，但是交流不可能毫无边界，在此情况下，主权的内涵和外延都随着技术进步而扩充，有学者则顺应该趋势提出了“数据主权”的概念。齐爱民教授将捍卫数据主权上升为一种原则，即数据主权原则——对内体现为一国对其政权管辖地域内任何数据的生成、传播、处理、分析、利用和交易等拥有最高权力；对外表现为一国有权决定以何种程序、何种方式参加国际数据活动，并有权采取必要措施，以保障本国的数据权益免受其他国家的侵害。①齐爱民，盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].《苏州大学学报》(哲学社会科学版).2015年第1期.第67页.

我国《网络安全法》第三十七条从储存和提供两个方面对重要数据进行锁定，从而也对数据跨境传输进行锁定，可以说是我国“数据主权”的具体体现。

（二）为配合境外监管向境外传输数据

实践过程中，国外监管机构履行监管或者调查职能时，可能要求在华经营企业提供特定类型数据，但如果中国法律法规规定该类特定资料属于不可披露或者限制跨境传输的数据，那么国外监管机构履行职能的行为便会和中国法律法规发生冲突。对此，典型案例为美国证监会要求五家会计师事务所提供中国在美上市公司审计底稿一案。

2012年12月3日，美国证监会向法院提起诉讼，指控德勤、安永华明、毕马威华振、普华永道中天四大会计事务所中国所以及一家名为立信大华的会计师事务所拒绝向美国证监会提交中国客户的审计底稿和相关工作文件，以配合调查在美国涉嫌欺诈被退市的中国概念股。②财经网.索要工作底稿遭拒 “四大”被美国证监会起诉[EB/OL].http:// fi nance.caijing.com.cn/2012-12-05/112334386.html.

美国《萨班斯-奥克斯利法》第106节规定，如果外国会计师事务所发表了意见或提供其他实质性服务，注册会计师事务所基于此签发了全部或部分审计报告，该外国会计师事务所将被视为已同意当该审计报告受到调查时，向委员会或 SEC 提供其与此相关的工作底稿。③百度文库.萨班斯-奥克斯利法.[EB/OL]http://wenku.baidu.com/link?url=aNyV9clKZJdnzo3cBg-2ccuZpzwXHQ6HlioDx Boij7xbwmooRJfoxYghup2A0MDnS9LVZXrpMbTM208J1YHP-SYxLluMKkXu9OQ3wKGZ2Fy.过去几年，中国概念股频频遭到“猎杀”，美国证监会也开始对这些公司的财务、资信情况展开调查，并要求承担这些公司上市审计工作的会计师事务所配合调查，提交审计工作底稿。

另一方面，我国《会计档案管理办法》第六条规定，会计凭证（包括原始凭证和记账凭证）应当进行归档，也就是形成会计档案；第二十五条规定，单位的会计档案及其复制件需要携带、寄运或者传输至境外的，应当按照国家有关规定执行。我国《档案法实施办法》第十九条对档案出境进行了严格的规定，即一级档案严禁出境，二级档案出境必须经国家档案局批准，三级档案及其他国家、集体、个人所有的档案或者具有保密价值的档案出境，必须经省、自治区、直辖市人民政府档案行政管理部门审核批准。综合上述可以看出，我国实行的是底稿保密制度，即审计底稿的跨境传输必须经档案部门批准。此外，国家证监会、保密局、档案局在《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》，明确要求在境内形成的工作底稿等档案应当存放在境内；如果工作底稿涉及国家秘密、国家安全或者重大利益的，不得在非涉密计算机信息系统中存储、处理和传输；未经有关主管部门批准，也不得将其携带、寄运至境外或者通过信息技术等任何手段传递给境外机构或者个人。

除了以上所述的典型案例之外，在反垄断调查过程中也会存在执法机构调查与外国数据保护规定相冲突的情形。例如，某跨国公司在中国区遭到反垄断执法机构调查，中国反垄断执法机构要求访问其境外服务器以收集证据时，该跨国公司会提出国外法律限制其服务器中的数据被跨境传输。

（三）为应对境外诉讼向境外传输数据

如今中国企业林立于世界，经营过程中难免会与其他组织或个人发生纠纷。若企业涉诉，不可避免地需要向法院提交资料，甚至需要将资料进行披露，如美国便有“证据开示”程序，在这一程序阶段，诉讼双方，有时还会有外部专家，甚至是非诉讼方都会主动或被要求向对方披露与诉讼标的相关的文件和其他资料。④财新网.“证据开示”程序——中国公司在美诉讼教训[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.若这些资料包含不可披露或限制跨境传输的数据，企业未经批准就进行开示披露，便会面临较大法律风险。

2011年7月，InterDigital在美国国际贸易委员会（ITC）及联邦地区法院指控中兴通讯等企业侵犯其专利，要求启动337调查并发布排除令，禁止被诉公司在美国销售3G移动设备。2013年12月20日，就InterDigital诉中兴通讯等专利侵权一案，美国ITC行政法官做出最终裁定，中兴通讯没有违反337条款，不侵犯原告起诉七项中的六项专利权，其余一项也被认定为专利无效。①中兴通讯美国337调查终裁获胜 IDCC 7项专利全“覆没” [EB/OL].http://www.zte.com.cn/cn/press_center/news/201312/t20131220_415098.html.在该案中，中兴通讯遵守了相关数据的限制跨境传输的有关规定。

四、数据跨境传输需求与限制之间的协调

数据跨境传输需求与数据保护或限制的平衡是国家顶层设计和政策实施需要考量的重要内容。对企业而言，尤其对于跨国企业而言，大数据时代下，在数据跨境传输需求和数据保护中寻找平衡点重要性不言而喻。笔者试从冲突的主要表现形式入手，分析企业协调数据跨境传输需求与数据保护的方式。

（一）经营活动中的协调

我国《网络安全法》已经通过并将于今年6月1日正式实施。这是我国第一次在法律层面上对于数据跨境传输作出限制。企业应审慎对待《网络安全法》所带来的法律风险，并以合理、合法的措施维护自身因数据应用而带来的商业利益。

1.密切关注《网络安全法》的后续实施

《网络安全法》授权国务院对关键信息基础设施的具体范围和保护办法进行制定，目前虽尚未从公开渠道获取国务院在此方面的制定动向，但可以预见相关规范会在不远的将来相继出台。企业应对相关规范的制定与实施进行密切关注，并可在必要时通过合法途径提出合理建议和意见。此外，《网络安全法》还授权国家网信部门和国务院有关部门就因业务需求确实需要向境外传输时进行安全评估，安全评估的相关依据文件相信也在制定当中，企业应当一并予以高度关注。

2.数据储存本地化

虽然有研究表明，数据安全并不取决于数据在何地储存，而在于储存技术和方法，②Daniel Castro, The False Promise of Data Nationalism[J], The Information Technology and Innovation Foundation, Dec. 2013.但《网络安全法》第三十七条明确提到，关键信息基础设施的运营者收集的重要信息应当储存在境内。企业应当将存储数据的物理设备置于中国大陆境内，并与境外的设备进行一定的隔离；对于在云端储存数据的企业而言，也需要采取一定的本地化措施。

3.建立企业内部数据安全评估机制

《网络安全法》第三十七条规定，因业务需要，确需向境外提供（数据）的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。除此之外，《网络安全法》还规定了关键信息基础设施的运营者采购网络产品和服务涉及国家安全时须通过国家安全审查、每年至少一次的网络安全检测评估等义务。笔者的建议是，企业应当及时建立、完善自身的数据相关安全评估机制，在相关部门安全评估之前先对涉及数据安全的行为进行自我评估。

除《网络安全法》的有关规定以外，企业还应遵守其他涉及数据跨境传输的相关法律、法规及政策。

（二）配合监管中的协调

1.美国证监会起诉五家会计师事务所案件相关进程

2014年1月23日，美国证监会行政审判法官卡梅伦-埃利奥特（Cameron Elliot）对四大会计师事务所中国所以及立信大华会计师事务所做出初审判决：暂停其在美国的审计业务6个月。③沈祎.“四大”会计师事务所在美国被罚的背后[J].《国际市场》.2014年第2期中国证监会新闻发言人邓舸则对美国证监会暂停全球四大会计师事务所中国所在美业务一事表示遗憾，并希望美国证监会从中美证券监管合作大局出发，作出正确的判断，促进事态得到妥善解决。①中国会计视野.证监会回应暂停四大中国分支在美业务[EB/OL].http://news.esnai.com/2014/0125/98912.shtml.2014年2月12日，四大会计师事务所中国所就美国证监会的裁定正式提出上诉。经过一年的谈判，2015年2月7日，四大会计师事务所中国所与美国SEC达成和解。②中国会计视野.四大中国所与SEC和解恢复审计资格[EB/OL].http://news.esnai.com/2015/0207/110878.shtml.

在案件进行的同时，中美两国证监会也在进行持续沟通。据人民网2013年7月9日报道，应美国证监会、美国公众公司会计监察委员会提出的协查请求，证监会调取了相关在美上市中国概念企业的会计底稿，目前已完成一家公司的会计底稿搜集工作，并已经履行完相关程序，将通知美方准备提供底稿。此举将有效解决中美跨境审计监管的有关纠纷。③人民网.证监会对境外提供审计工作底稿[EB/OL].http:// fi nance.people.com.cn/stock/n/2013/0709/c67815-22126457.html.这也是中国第一次向美国提供审计底稿。

值得的欣慰的是，经过这次会计底稿案件的冲突，财政部发布了《会计师事务所从事中国内地企业境外上市审计业务暂行规定》，其中对此类冲突的协调机制进行了规定：“中国内地企业境外上市涉及法律诉讼等事项需由境外司法部门或监管机构调阅审计工作底稿的，或境外监管机构履行监管职能需调阅审计工作底稿的，按照境内外监管机构达成的监管协议执行。”

2015年9月23日，中国证监会发布消息，中国证监会与美国证券交易委员会(SEC)和美国期货交易委员会，在多边框架下开展跨境执法合作取得新突破。并且中美双方在审计日常监管合作方面也取得重要进展，“双方初步商定，将以底稿‘出境’的方式，对一家中国会计师事务所开展检查试点，通过试点，探索积极有效的日常监管合作方式。”④中国会计视野.中美审计跨境监管获得新突破[EB/OL].http://news.esnai.com/2015/0925/120506.shtml.

2.案件启示

笔者认为，美国证监会起诉五家会计师事务所案件相关进程从两方面为企业在配合监管过程中协调数据跨境传输的冲突提供重要思路：

一是配合监管并不等于一味顺从。美国证监会依据其本国法要求五家会计师事务所提供审计底稿，而五家会计师事务所不提供审计底稿的行为也是基于中国法律法规的规定。会计师事务所完善的合规以及遵守中国法律法规的坚决态度，为后续的和解谈判和两国证监会的沟通赢得了空间。

二是企业在境外机构监管过程中若遇到数据跨境传输的冲突情形，可积极向两国相关部门反映并寻求协调途径。在本案中，中国法律法规并未绝对禁止向境外提供审计底稿，并且《证券法》第一百七十九条第二款规定：“国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制，实施跨境监督管理”。正是由于中国证监会了解了案件详细情况并接受了美国证监会美国公众公司会计监察委员会提出的协查请求，才有了中国向美国提供审计底稿的首次实践，美国证监会也因为该原因撤销了对德勤会计师事务所的起诉。由此可以看出，企业在跨境数据传输冲突中能够为两国机构的接洽提供重要帮助。

（三）应对诉讼中的协调

美国的证据公示开示要求较为严格，诉讼当事方应在知道可能开始诉讼之时起就保存任何可能与诉讼相关的非保密性证据。此外，美国法律通常假设公司对其处理和控制的数据拥有所有权，因此不必担心证据公示可能会侵犯第三方的隐私权。而欧盟的数据保护法律体系则要求数据主体的权利应当得到充分保障，未经同意不得对外公示。尽管GDPR第九条第2款规定的数据处理原则的例外情形中包括“建立、实施和对抗法律请求”，但实际上这种例外仅适用于欧盟内部的法院审理的法律纠纷。⑤Seth Berman. Cross Border Challenges for e-Discovery[J].11Bus. L. Int'l 1232010

对于其他国家禁止向他国提供证据的抵触法（blocking statute），美国最高法院在1987年的Socidti NationaleIndustrielle Aerospatiale v. United States一案中作出判决，判定即使证据公示会导致外国诉讼当事方违反其本国的抵触法，美国法院也可强制要求其提交相应证据。

涉及在美诉讼的中国公司需要熟悉美国的证据开示所涉及的范围，并悉心考量其自身的处境及应对措施。中国公司认为自己可以不受（或可不理睬）美国法律的证据开示规定是不明智的。①财新网.“证据开示”程序——中国公司在美诉讼教训[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.但是中国公司在面临证据开示和数据审查时，可以通过多种方式，避免开示不可披露或者限制跨境传输的数据。

美国的法庭是否会考虑到中国法律的规定，从而缩小对中国公司适用的证据开示范围，这取决于诸多因素。这些因素包括中国公司是否在美有经营场所，以及以下一些考量：1）涉及的文件或其他信息对诉讼的重要程度；2）开示请求的明确程度；3）信息是否源自美国；4）是否有获取相关信息的其他办法；5）不提供资料会在多大程度上损害美国的重大利益，以及开示会在多大程度上影响信息所在国的自身利益。②财新网.“证据开示”程序——中国公司在美诉讼教训[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.在应对诉讼的过程中，企业可依照以上因素，对预开示的材料进行分析，在不影响诉讼的情况下，尽可能明确证据开示的范围、排除不必要开示的证据、寻找可替代的数据或者数据来源，以避免开示不可披露或不可跨境传输的数据。

针对外国法院对中国公司提出的证据开示要求，笔者建议中国公司应当：

1） 明确涉案数据的种类以及相应的中国抵触法规定。针对限制跨境传输的数据，企业在应诉前和应诉时都需要和国内相关部门进行有效沟通，并获得跨境传输数据的批准。针对用户个人数据，企业需提前征得用户的同意，并在中国境内对可识别到个人的信息进行保密处理；

2）明确该外国法院是否对涉案数据有管辖权；

3）积极向外国法院申请保护令以限制公示的数据范围；

4）积极与对方律师或代理人进行庭外沟通以缩小申请公示的数据范围。

五、结语

随着信息技术的飞速发展以及各国在数据保护立法方面的不断完善，数据跨境传输可能引发更多的国家间相关法律规定和实际需要的冲突。这种冲突可能使跨国企业进退维谷，微观而言影响企业的稳定运营，宏观而言影响国家经济的健康发展。因此，在《网络安全法》的后续法规和相关政策制定的过程中，相关部门应当预见到未来在数据跨境传输方面的潜在冲突，并适当在实体和程序方面规划冲突协调机制。

此外，在数据跨境传输的冲突协调方面，美欧之间关于个人信息保护的安全港以及后续的隐私盾安排，为其他国家提供了解决数据跨境传输的范例。当然，在双边或多边贸易协定中也可以安排相似的协调机制。

在经济全球化的今天，数据跨境传输的需求是永远存在的，与此相伴的冲突也可能永远存在。对于企业而言，应时刻注意自身的合规制度建设，在任何情况下都不得违反国家的有关规定。但同时也应密切关注法律、法规及相关政策的制定与落实，通过合法的渠道为国家整体的网络安全、数据保护法律体系建言献策；对于立法机构而言，应意识到数据传跨境传输对于一国的信息产业乃至互联网时代的国民经济发展具有的重要意义。对于涉及国家、社会公众安全及利益的数据应严格保护，而本地化储存的确是一种有效的保护手段。对于其他数据应在保护数据主体的相关权益的前提下，允许一定程度上的自由传输。我国的网络安全法律体系才刚刚起步，未来还需各方共同努力，为我国网络强国的建设不断奋斗。

（责任编辑：钟宇欢）

International Con fl icts and Coordination of Limiting Cross-border Data Flow

DENG Zhi-song, DAI Jian-min

The Cybersecurity Law of the People’s Republic of China will take effect on 1June 2017, Article 37of which is China’s first provision to limit cross-border data flow from the perspective of law. There are quite a few similar provisions in the world, but each country’s modes of regulation are different and are in a tense and conflicted relationship.The international conflicts of limiting cross-border data flow posed a great challenge to each country’s data supervision and brought risks and uncertainties to the transnational operation of enterprises as well. Based on the comparative study of the status quo of and the reasons behind the difference among modes of limiting cross-border data flow in major jurisdictions, this article discusses possible methods of coordination and China’s appropriate countermeasures.

Cross-border Data Flow, International Conflicts and Coordination, Localization of Data

D922

：A

：1001-4225（2017）07-0093-12