数据本地化的影响与政策动因研究

黄 宁

(1.中国科学技术发展战略研究院，北京 100038；2.南开大学经济与社会发展研究院，天津 300071)

数据本地化的影响与政策动因研究

黄 宁1,2

(1.中国科学技术发展战略研究院，北京 100038；2.南开大学经济与社会发展研究院，天津 300071)

数据本地化在国际上引起了广泛的关注和争论，主要在数据安全、产业保护以及国际贸易与投资等方面产生影响。在跨境数据流动规制的方式选择上，存在显著的差异化现象。美国主张数据自由流动，欧盟注重隐私规制，大量发展中国家则偏好数据本地化政策。这是各经济体基于自身信息技术水平和隐私保护意识，追求规制净收益最大化的结果。本文对中国根据国内条件变化尽快转向隐私规制提出了具体建议。

数据本地化；跨境数据流动；隐私规制；政策动因

Abstract：Data localization has attracted worldwide attention and controversy.It mainly affects data security,industry protection and international trade and investment.There are obvious differences in the choice of regulation of transborder data flows.The U.S.advocates free flows of data,the EU focuses on privacy regulation,while a large number of developing countries prefer data localization policies.This is because each economy pursues maximization of regulation net profit,based on its own level of information technology and privacy awareness.This paper puts forward some suggestions for China to turn to privacy regulation as soon as possible,as its domestic conditions are changing quickly.

Keywords:Data localization；Transborder data flow；Privacy regulation;Policy motivation

随着信息通信技术的发展和普及，全球数字经济加快成长，跨境数据流动规模也在迅速扩大。2005—2014年全球跨境数据流动规模增长了45倍，并预计在未来5年内还将增长9倍[1]。与此同时，个人隐私保护和国家信息安全问题引发了普遍担忧。很多国家纷纷出台数据本地化政策，要求将本国的个人数据留存在国内。另一方面，美国等发达经济体则强烈反对数据本地化，认为数据本地化政策的蔓延将造成全球范围的“网络割据”，严重损害经济增长。

1 数据本地化的概念与发展现状

1.1 数据本地化与跨境数据流动规制

数据本地化是指政府要求对在境内收集的个人数据的存储和处理必须在境内进行，不允许将个人数据向境外自由转移。数据本地化的政策形式有多种，包括禁止将信息向境外发送、要求在信息跨境传输之前必须征得数据主体同意、要求在境内存留信息副本、对数据输出进行征税等[2]。

数据本地化属于一种跨境数据流动规制。依据1980年OECD《关于隐私保护与个人数据跨境流动的指南》(Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)的权威定义，跨境数据流动是指“跨越国境的个人数据移动”，其中的“个人数据”包括“任何与已被识别或可识别的个人(数据主体)有关的信息”。基于规制基调的不同，跨境数据流动规制分为两类，第一类倾向于确保跨境数据自由流动，第二类倾向于对跨境数据流动进行限制。基于规制方式的差别，第二类规制又分为两种。一种是隐私规制，一般是以数据保护法(隐私法或个人信息保护法等)为基础，根据隐私保护的原则和标准对跨境数据流动进行限制。另一种就是数据本地化。与隐私规制不同的是，数据本地化并不考虑数据的接收、处理或存储方的隐私保护水平，往往对数据跨境转移实施绝对的限制，或者要求建立或使用本地的基础设施或服务器[3]。

1.2 数据本地化政策的发展与现状

数据本地化政策并不是新现象，在计算机和互联网技术带来大量数据跨境转移以后就出现了。从20世纪70年代开始，就有很多发展中国家认为跨境数据流动是一条仅对发达国家有利的“单行道”，会危害自身的主权、隐私权甚至社会、文化和政治完整性[4]。一些国家进一步付诸行动，开始出台数据本地化政策。例如，巴西在1979年设立“信息产业特别秘书处”(SEI)，对跨境数据流动和国际信息服务进行逐项审查，根据其对经济、隐私和国家主权的影响决定是否予以批准[5]。1984年巴西出台的信息产业政策规定，如果巴西本地的计算机有能力完成相应的工作，跨国公司必须在巴西境内使用巴西的计算机进行数据处理[6]。印度在1993年出台《公共档案法》(Public Records Act)，禁止将公共档案向境外转移。哈萨克斯坦则从2005年开始,要求所有在国内注册域名的网站必须在境内的服务器上运营[7]。

近年来，用户信息大规模泄露事件在全球频繁发生，特别是“斯诺登事件”之后，更多国家陆续以信息安全和隐私保护为由出台数据本地化政策。其中以发展中国家最为普遍，且多数是明确的、覆盖广泛的政策。例如，马来西亚在2010年要求将本国人的数据存储在本地服务器中；印度2011年出台隐私规定，严格限制“敏感个人数据或信息”向境外转移；印度尼西亚在2012年要求公共服务提供商将数据中心放在境内；巴西在2013年出台法案，规定政府部门有权力要求网络连接和互联网应用提供商安装或使用某些设备，以确保数据的存储、使用和传输在巴西境内进行；越南从2013年开始要求所有网络服务企业必须在越南境内的至少一个数据中心运营；尼日利亚在2013年要求信息通信技术公司必须将所有注册用户和消费者数据存储在国内[8]；俄罗斯在2014年修订信息保护法和个人数据法，要求收集个人数据时，运营商需要保证使用位于俄罗斯境内的数据库[9]。

部分发达国家虽然也有数据本地化动议，但真正实施的很少，实施地域和政策范围也较小。法国近年来一直在促进本地数据中心基础设施建设，推动本国的云计算、大数据和物联网产业，2013年时任法国工业部长Arnaud Montebourg宣称支持将数据处理业务限定在法国境内以增加国内就业；“斯诺登事件”发生后，德国总理默克尔在2014年提议欧洲建设专门的网络基础设施，将数据保存在欧洲境内[10]，但没有获得响应。出台明确的数据本地化政策的是加拿大和澳大利亚。2012年加拿大不列颠哥伦比亚省和新斯科舍省制定法律，要求公共机构持有的个人信息只能在加拿大境内存储和获取。澳大利亚从2012年开始建设的“个人电子健康档案”系统，要求必须由本地的数据中心来存储和处理个人电子健康档案[11]。

1.3 中国的数据本地化政策

2011年以来，中国出台了大量的数据本地化政策，政策范围逐渐扩大，效力层级不断提升。较早的数据本地化要求出现在部门性或指导性的文件中。2011年中国人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》，要求在中国境内收集的个人金融信息的储存、处理和分析必须在境内进行。2014年国家卫生计生委发布《人口健康信息管理办法(试行)》，禁止将人口健康信息存储在境外的服务器中。2013年开始实施的《信息安全技术——公共及商用服务信息系统个人信息保护指南》是中国第一个个人信息保护国家标准，在第5.4.5条简要规定，“未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者不得将个人信息转移给境外个人信息获得者”。

从2014年开始，数据本地化要求出现在统一性的国家立法中。虽然2015年出台的《反恐怖主义法》并没有提出数据本地化要求，但在2014年发布的《反恐怖主义法(草案)》中曾提出，“在中国境内提供电信业务、互联网服务的，应当将相关设备、境内用户数据留存在中国境内，拒不留存的不得在中国境内提供服务”。2016年通过的《网络安全法》则规定，关键信息基础设施的运营者必须将在境内运营中收集和产生的个人信息和重要数据存储在境内。2017年4月，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》，其中第二条规定，“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估”。该规定将适用于向境外转移数据量超过1000GB的企业，以及含有或累计含有50万人以上的个人信息的企业。

2 数据本地化的影响

2.1 数据安全

很多国家出台数据本地化政策都是以国家信息安全和公民隐私保护的名义。国家信息安全和公民隐私保护在信息泄露机制上并没有实质差别，本质上都属于数据安全问题。数据本地化能够提高数据安全的一个潜在假设是存储地点是决定数据安全水平的重要因素。但实际上，存储地点对数据安全的影响是有前提条件的。

一方面，存储地点的差别并不能从技术上影响数据安全。单纯从技术的角度，只要服务器接入互联网，存储地点并不能影响数据的安全水平[12]。如果数据经过完备加密，即便将服务器置于境外也不会增加安全风险。反之，如果数据缺乏安全管理，即便将服务器置于境内，仍然很容易被境内的数据控制者或处理者传输至境外，或者被境外机构通过互联网窃取。比如2011年微软与谷歌就先后承认，曾依根据美国“爱国者法案”的规定，把欧洲资料中心的信息交给了美国情报机构[13]。

另一方面，数据存储地点能够影响数据保护的法律管辖权。由于各国法律规定的差异，以及法律适用的域外效力问题，针对数据保护案件的法律管辖权的问题较为复杂。但一般来讲，如果涉事企业在一国境内有物理存在(如服务器)，那么相关的案件就在该国的法律管辖权之内[14]。如果没有物理存在，一国即便通过其他因素(如本国居民的个人可标识信息等)确认了管辖权，在实际中也很难执行。如果根据存储地点确认了管辖权，政府就可以通过立法和执法降低数据泄露的风险。比如规定数据保护的最低安全标准，禁止企业将服务器中的数据交给外国政府，以及制定实施严格的数据泄露责任追究制度等。

在国内数据保护标准较高的条件下，限制或禁止数据向境外转移是可以提高数据安全水平的。但如果仅仅出台数据本地化政策，却缺乏充分有效的国内法律保护,企业反而会为节省成本故意降低数据保护标准，导致数据安全水平下降。

2.2 国内产业保护

数据本地化能够为国内相关产业提供保护，也因此往往被认为是政策出台的主要原因。这种保护作用是通过阻碍数据跨境传输实现的。从作用机制来看，数据本地化相当于以非关税壁垒的形式限制数据服务的进口，从而保护本国的信息技术及相关产业。一方面，数据本地化可以把只能提供跨境服务的外国企业排除出国内市场。另一方面，数据本地化还可以通过增加合规成本削弱外国企业的竞争优势。例如，新建一个数据中心的成本在美国是4300万美元，在智利是5120万美元，在巴西是6090万美元[15]。

早期的数据本地化政策对国内相关产业的促进作用存在先例。20世纪70年代末巴西实施数据本地化政策后，巴西本国的数据处理企业从1978年的0家增加到1980年的20家，国内的计算机、数据库和技术人力资源也显著增加[16]。

随着“第四次工业革命”的展开，生产方式正在沿着两条相互关联的路径演化，一条是生产的深度数字化(包括云计算、大数据、物联网等新技术的应用)，一条是3D打印的增长，两条路径都需要更密集的数据流动来确保生产效率最大化[17]。由于这些新兴的信息技术产业都是以大规模数据传输作为提供服务的基础，数据本地化政策将能起到更大的保护作用。

2.3 国际贸易与投资

数据本地化会对国际贸易造成限制。特别是随着国际贸易越来越依赖跨境数据传输，数据本地化带来的潜在贸易障碍也在增加。第一，数据本地化会提高贸易双方的对接成本，限制贸易机会。信息通信技术的发展降低了贸易成本，往往是借助经由互联网的跨境数据传输实现的。例如，网络访问能够减少发展中国家与主要出口市场的地理隔离程度，将寻找客户和进入海外市场的成本削减65%[18]。而数据本地化会阻断跨境数据传输，损害贸易机会。第二，传统的货物和服务贸易正在通过数字化的形式转变为跨境数据流动，数据本地化将直接对此造成贸易障碍。目前全球约12%的货物贸易是通过国际电子商务完成的，世界上大约50%的服务贸易已经被数字化[19]。从美国的数据来看，2011年美国国内和国际数字贸易对GDP的贡献率已经达到 3.4%～4.8%(5171亿至7107亿美元)[20]。

数据本地化对投资的影响却并不确定,如前文所述，数据本地化会提高跨国公司的合规成本。跨国公司在权衡投入成本和预期收益后，既可能将部分生产过程转移至该国，也可能退出该国市场。例如，在中国数据本地化政策的影响下，微软、苹果、亚马逊、领英、印象笔记等均在中国设立了数据中心，将中国用户的数据存储在境内的服务器上。而在俄罗斯2014年出台数据本地化政策以后，微软将其Skype研发团队从俄罗斯撤离，Adobe完全中止了在俄罗斯的运营，谷歌则关闭了在俄罗斯的研发中心[21]。

3 跨境数据流动规制的选择与数据本地化的政策动因

3.1 跨境数据流动规制的差异化选择

如前文所述，跨境数据流动规制主要有三种方式，分别是数据自由流动、隐私规制和数据本地化。从现状看，各经济体在规制方式的选择上呈现出明显的差异。美国主张数据自由流动，欧盟发展出一套完整的隐私规制体系，大量的发展中国家则偏好数据本地化政策。

第一，美国偏重数据自由流动带来的经济利益。美国并非没有认识到数据流动中的隐私保护风险，但在经济利益和隐私保护等的权衡上，美国更加偏重经济利益。因此，美国政府和实务界更多地主张以自律规范保护个人信息，认为强硬的法律结构将“不可避免地阻碍商业活动[22]”。所以，美国在国内并没有制定统一的个人信息保护法，而是对私人行业采取分散立法的模式，并奉行以市场为主导、以行业自治为中心的信息隐私政策[23]。这也从根本上决定了美国在跨境数据流动规制上的基本态度，即主张跨境数据自由流动。近年来，美国积极推动在一些重要的自由贸易协定(FTAs)中纳入数据自由流动条款。2012年达成的《美-韩自由贸易协定》第一次在FTAs中纳入了跨境数据流动规则，第15.8条规定“成员方应努力避免对跨境电子信息流动施加或维持不必要阻碍[24]”。在2012年发起的《服务贸易协定》(Trade in Services Agreement,TiSA)谈判的已知文本中，美国、日本、哥伦比亚等国提出的方案主张，在个人数据关系到服务贸易的情况下禁止缔约方阻碍跨境数据流动[25]。2015年在美国主导下达成的《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement，TPP)中，则专门引入了“商业信息跨境自由传输条款”。美国虽然在特朗普上台后退出了TPP，但由于TPP总体符合其产业利益，美国未来很可能会在其他协定谈判中复制其中的条款，因而TPP对于美国推广其跨境数据流动规则的意义仍然存在。

第二，欧盟偏重跨境数据流动中的隐私保护。欧洲是个人信息保护法的发祥地，德国黑森州在1970年制定了世界上最早的个人信息保护法，瑞典在1973年颁布了世界上第一部国家级个人信息保护法。欧盟一向认为，个人信息上的权利是基本人权，必须通过立法予以确认和给予相当的保护[26]。这也构成了欧盟在跨境数据流动规制上的基本立场，即通过隐私规制来限制跨境数据流动。1981年欧洲委员会通过了《有关个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data)，通过规定数据保护的基本原则来协调跨境数据流动。1995年欧洲议会和欧盟理事会通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》(Directive on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data，以下简称“指令”)，其中第25条明确规定，“只有在第三国确保提供适当保护水平时，才能将个人数据向第三国转移”。同时也为向不能提供充分保护水平的第三国转移数据提供了“标准合同条款”(SCCs)、“约束性公司规则”(BCRs)等转移机制。2016年欧洲议会和欧盟理事会又通过了《统一数据保护条例》(General Data Protection Regulation，以下简称“条例”)，在向第三国或国际组织转移个人数据方面，增加了更多可实现个人数据跨境转移的条件或情形[27]。

第三，发展中国家偏好出台数据本地化政策。目前并没有关于全球各国数据本地化政策的完整统计，但现有证据足以显示发展中国家对于数据本地化政策的偏好。首先，目前出台数据本地化政策的基本都是发展中国家。前文已述及，仅有极少数发达国家出台数据本地化政策，而且都局限在很小的地域和政策范围内。其次，代表性的发展中国家出台数据本地化政策的比例也很高。在金砖五国(BRICS)中，除南非外的四个国家都出台了数据本地化政策。在二十国集团(G20)的11个发展中国家中，有7个发展中国家都出台了数据本地化政策(分别是中国、巴西、印度、印度尼西亚、韩国、俄罗斯、土耳其)。

3.2 跨境数据流动规制的收益与成本

为什么不同经济体在跨境数据流动规制的选择上存在如此显著的差异？本文认为，这是由规制的收益和成本决定的。净收益(即“规制收益-规制成本”)最大化是各经济体选择规制方式的基本原则，而由于各经济体的内部条件不同，实现净收益最大化的规制方式也就存在差别。

首先，跨境数据流动规制在数据安全、产业发展以及贸易投资等领域的影响构成了规制的收益和成本。规制收益涵盖经济利益和社会利益，经济利益主要包括产业利益和贸易利益。产业利益是指规制可能保护内部市场，促进本地信息技术相关产业的发展。贸易利益是指规制可能会扩大依赖数据流动实现的出口利益。社会利益是指规制可能通过保障数据安全满足公众诉求，提升社会认可。规制成本主要是指规制可能对本地企业带来的合规成本。此外，由于跨境数据流动规制对于投资的影响存在较大不确定性，而且政府会为了避免严重的负面影响而在政策执行中带有选择性，本文不考虑投资因素带来的收益或成本。

其次，各经济体的信息技术水平和隐私保护意识最终决定了哪种规制方式的净收益才是最大的。第一，规制的产业利益和贸易利益主要取决于本地信息技术水平的高低。本地的信息技术水平越高，数据和相关服务的出口潜力就越大，跨境数据自由流动带来的贸易利益也越大。如果信息技术水平较低，阻碍跨境数据流动反而有利于保护本地信息技术产业。第二，规制的社会利益主要取决于本地隐私保护意识的高低。对于隐私保护意识较高的经济体，通过制定数据保护法来规制跨境数据流动能够获得较高的社会认可，因为数据保护法不仅可以提高境内隐私保护水平，还可以提高转移至境外的数据的安全水平。数据自由流动或者单纯的数据本地化并不能满足隐私保护需求。而对于隐私保护意识较低的经济体，由于公众对隐私保护的需求较低，三种规制方式产生的社会利益差别不大。第三，隐私规制由于提高了境内的隐私保护标准，构成了较高的规制成本。而数据自由流动或数据本地化均不要求企业提高隐私保护标准，不会对本地企业造成负担，所以基本不存在规制成本。

表1以简单赋值的方式大致呈现了不同条件下各规制方式的收益和成本情况。如果存在较大的利益或成本，则赋值为1，否则赋值为0。需要注意的是，因为产业利益、贸易利益以及通过限制数据流动所可能获得的社会利益，都是在与主要经贸伙伴开展经济交往的基础上实现的，因此表1中信息技术水平和隐私保护意识的高低是相对于主要经贸伙伴而言的。四种情况如下：①如果经济体信息技术水平较高而隐私保护意识较低，数据自由流动的净收益最高。数据自由流动不仅有利于自身信息技术产业的发展和扩张，扩大相关的服务出口，而且没有规制成本。另外两种规制方式不会带来规制收益，隐私规制还存在较高的规制成本；②如果信息技术水平和隐私保护意识都较低，数据本地化的净收益最高。数据本地化和隐私规制都可以提供产业保护，但隐私规制还要承担规制成本。数据自由流动虽然没有规制成本，却无法保护本地市场；③如果信息技术水平较低而隐私保护意识较高，可能选择隐私规制，也可能出台数据本地化政策。隐私规制可以保护本地产业，还可以提升隐私保护水平，但也存在规制成本。数据本地化也可以保护本地产业，而且没有规制成本，但无法满足隐私保护需求。在现实情况中，最终的选择取决于社会收益和规制成本之间的权衡；④如果信息技术水平和隐私保护意识都较高，数据自由流动的净收益最高。隐私规制带来的社会收益会与规制成本相抵消，数据本地化则既没有规制收益也没有规制成本。

表1 不同条件下各规制方式的收益与成本

3.3 数据本地化的政策动因

上述规制净收益的分析框架可以解释各经济体在规制选择上的差异化现象。美国信息技术水平较高，但与欧盟等经贸伙伴相比，对于隐私保护的重视程度较低。因此，数据自由流动有利于美国的信息技术产业在全球扩张，同时还能扩大美国的贸易利益。欧盟的个人隐私保护意识较强，但信息技术水平却落后于美国，选择隐私规制或数据本地化可以保护欧盟的信息技术产业。欧盟在1995年出台“指令”的目的之一就是与美国进行国际竞争，特别是要限制美国在数据处理产业上的主导地位[28]。在现实中，欧盟主要通过数据保护法规制跨境数据流动，原因可能是对于隐私保护的需求超过了数据保护法带来的成本。

对于大多数发展中国家来说，无论是信息技术水平，还是个人隐私保护意识，都落后于发达国家。因此，出台数据本地化政策，既可以保护本国信息技术产业免受发达国家产业的竞争力压力，也不会为了提高隐私保护水平而产生较高的企业成本。

而数据本地化政策在近年来密集出台的原因可能是，随着跨境数据流动规模迅速扩大，以及云计算、大数据、物联网等新兴信息技术产业的兴起，通过数据本地化政策促进国内产业发展的利益大幅增加。而美国在近年来大力主张跨境数据自由流动，既是对其他国家限制措施的回应，更是受到产业和贸易利益的驱动。

表1的分析框架并不能完全涵盖现实中的复杂情况和解释因素，如本地市场的大小和产业结构等因素对于规制收益的影响[29]。此外，法国、德国、加拿大、澳大利亚等国虽然已经制定了数据保护法，仍要提出数据本地化动议或出台数据本地化政策，也无法在表1中显示。其政策动因可能有两个：第一，数据保护法往往是通过设定隐私保护的前提和标准来限制跨境数据流动，在限制程度上要弱于数据本地化政策，因此仍然存在选择“数据保护法+数据本地化政策”的可能；第二，对于欧盟来说，“指令”或“条例”均是限制数据向境外转移，同时却要促进成员国间的数据流动，因此各成员国仍然有通过数据本地化保护本国产业的动机。

4 结论及对中国的启示

4.1 主要结论

数据本地化的实际影响主要有三个方面。一是在国内数据保护标准较高的条件下可以提高数据安全水平，二是对于信息技术水平较低的国家可以提供产业保护，三是会造成一定的国际贸易障碍并影响投资决策。

数据自由流动、隐私规制和数据本地化是跨境数据流动规制的三种主要方式，各经济体采取的规制方式并不相同。美国主张数据自由流动，欧盟实施隐私规制，大量发展中国家则出台数据本地化政策。这种规制方式选择的差异化现象，是各经济体基于自身信息技术水平和隐私保护意识，追求规制净收益最大化的结果。

大量发展中国家出台数据本地化政策的内在原因是，国内信息技术水平与隐私保护意识都较低。而这些政策在近年密集出台的原因则是，随着新兴信息技术产业的发展和跨境数据流动规模的扩大，保护国内相关产业的潜在利益也在迅速增加。少数发达国家在已制定数据保护法的情况下还要出台数据本地化政策，其原因在于，数据本地化对跨境数据流动的限制程度更高，以及区域内部国家之间的产业竞争。

4.2 对中国的启示

实施数据本地化政策符合大多数发展中国家的现实，但对于中国来说，影响规制方式选择的关键因素正在发生变化。首先，公众的隐私保护意识在迅速提升。统计数据表明，个人信息安全已成为社会普遍焦虑，72%的人群认为个人信息泄露问题严重[30]。其次，跨境数据流动对中国潜在的贸易和产业利益也在增加。一方面，中国的电子商务平台开始向海外扩张，例如阿里巴巴推动建设的电子世界贸易平台(eWTP)在海外的第一个“数字中枢”已经于2017年3月在马来西亚落地；另一方面，中国的信息技术产业也开始“走出去”。阿里云、腾讯云等云服务供应商已经在美国、澳大利亚、中东等地布局数据中心[31]。因此，对于中国净收益最大的规制方式正在从数据本地化转向隐私规制。

中国应学习欧盟等发达经济体的规制经验，同时推进国内的规制实践，建设符合国情的隐私规制体系。首先，应指定或设立具体的数据保护机构，并授予该机构必要的执法权力，尽快参与跨境数据流动的区域性国际合作。鼓励与欧盟有业务往来的跨国企业使用SCCs或申请BCRs认证，申请加入APEC下的CBPRs(跨境隐私规则)体系，引导企业提升隐私保护水平。其次，在一定数量的企业具备较高的隐私保护水平后，借鉴美欧“安全港”(Safe Harbor)或“隐私盾”(Privacy Shield)模式，与主要贸易伙伴洽签规制双边数据流动的协议，强化数据流动国际规制的话语权。最后，结合实践经验制定数据保护法，确立数据保护的原则和模式，统一规制跨境数据流动。

[1]McKinsey Global Institute.Digital Globalization：The New Era of Global Flows[R].February 2016.http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[2]CHANDER Anupam,LE Uyên.Data Nationalism[J].Emory law journal,2015(64)：679-704.

[3]U.S.Chamber of Commerce.Business Without Borders：The Importance of Cross-Border Data Transfers to Global Prosperity[R].May 12,2014. https://www.uschamber.com/report/business-without-borders-importance-cross-border-data-transfers-global-prosperity.

[4]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：33.

[5]BORTNICK Jane.International information flow：the developing world perspective[J].Cornell international law journal,1981(14):342.

[6]DAMON Lisa.Freedom of information versus national sovereignty：the need for a new global forum for the resolution of transborder date flow problems[J].Fordham international law journal,1986(10):277.

[7]CHANDER Anupam,LE Uyên.Data nationalism[J].Emory law journal,2015(64)：679-704.

[8]中央网络安全和信息化领导小组办公室政策法规局.外国网络法选编(第一辑)：美国·俄罗斯[M].北京：中国法制出版社，2015.

[9]STONE Susan,MESSENT James,FLAIG Dorothee.Emerging policy issues：localisation barriers to trade[R].OECD Trade Policy Papers,No.180,2015. http://dx.doi.org/10.1787/5js1m6v5qd5j-en.

[10]MILLARD Christopher.Forced localization of cloud services：Is privacy the real driver?[J].IEEE cloud computing,2015(2):10-14.

[11]新华网.谷歌承认把欧洲资料交给美国情报机构[EB/OL].(2011-08-16)[2017-04-21].http://news.xinhuanet.com/world/2011-08/16/c_121867891.htm.

[12]CASTRO Daniel.The false promise of data nationalism[R].Information technology and innovation foundation.2013,https://itif.org/publications/2013/12/09/false-promise-data-nationalism.

[13]CHAO Loretta,TREVISANI Paulo.Brazil legislators bear down on internet bill[EB/OL].Wall St.J.(2013-11-13)[2017-04-21].http://online.wsj.com/news/articles/SB10001424052702304868404579194290325348688.

[14]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：33.

[15]Swedish Board of Commerce.No transfer,no production-a report on cross-border data transfers,global value chains,and the production of goods[R].2015.http://www.kommers.se/In-English/Publications/2015/No-Transfer-No-Production/

[16]LENDLE Andreas,OLARREAGA Marcelo,SCHROPP Simon,VEZINA Pierre.There goes gravity：How eBay reduces trade costs[R].World Bank Policy Research Paper,No.6253,2012.http://dx.doi.org/10.1596/1813-9450-6253.

[17]McKinsey Global Institute.Digital globalization：the new Era of global flows[R].February 2016.http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

[18]U.S.International Trade Commission.Digital trade in the U.S.and global economies,part 2[R].USITC Publication 4485,August 2014. https://www.usitc.gov/publications/332/pub4485.pdf.

[19]Microsoft,Google,Adobe Leave Russia Due to Putin’s New Laws[EB/OL].(2014-12-15)[2017-04-21].http://news.softpedia.com/news/Microsoft-Google-Adobe-Leave-Russia-Due-to-Putin-s-New-Laws-467521.shtml.

[20]戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法：第2版[M].宋连斌，林一飞，吕国民，译.武汉：武汉大学出版社，2004：308.

[21]孔令杰.个人资料隐私的法律保护[M].武汉：武汉大学出版社，2009：145.

[22]韩静雅.跨境数据流动国际规制的焦点问题分析[J].河北法学，2016，34(10)：170-178.

[23]AHMED Usman,CHANDER Anupam.Information goes global：protecting privacy,security,and the new economy in a world of cross-border data flows[R].E15Initiative.Geneva：International Centre for Trade and Sustainable Development(ICTSD) and World Economic Forum,2015.

[24]齐爱民.拯救信息社会中的人格：个人信息保护法总论[M].北京：北京大学出版社，2009：173.

[25]高富平.个人数据保护和利用国际规则：源流与趋势[M].北京：法律出版社，2016：135.

[26]MOOHAN Gisela,MORTON Elizabeth,et al.Transborder data flow：a review of issues and policies[J].Library review,1988(37)：31-32.

[27]STONE Susan,MESSENT James,FLAIG Dorothee.Emerging policy issues：localisation barriers to trade[R].OECD trade policy papers,No.180,2015. http://dx.doi.org/10.1787/5js1m6v5qd5j-en.

[28]中国青年政治学院互联网法治研究中心.中国个人信息安全和隐私保护报告[R].2016.

[29]新华网.2016年的云计算，是一场互联网巨头们的多维战争[EB/OL].(2016-12-12)[2017-04-23].http://www.hq.xinhuanet.com/news/2016-12/12/c_1120099550.htm.

(责任编辑 沈蓉)

ImpactsofDataLocalizationandItsPolicyMotivations

Huang Ning1,2

(1.Chinese Academy of Science and Technology for Development,Beijing 100038,China;2.Economic and Social Development Research Institute,Nankai University,Tianjin 300071,China)

F741.2

A

中国科协高端科技创新智库青年项目(DXB-ZKQN-2016-001)。

2017-05-02

黄宁(1987-)，男，山东人，南开大学经济与社会发展研究院与中国科学技术发展战略研究院联合博士后工作站；研究方向：国际规则与科技政策。