跨境数据流动的国际形势和中国路径

（上海社会科学院）

数据在当今世界的诸多领域地位日益凸显，数据跨境流动带来的风险不断增强，因此建立健全相应的法律、应对政策和机制被迫切地提到议程上来。本文介绍分析了国际上对于数据跨境流动的主要做法和经验，并据此结合中国国情和上海自贸区的经验，提出我国跨境数据流动治理的具体实践路径和政策建议。

1 全球跨境数据流动的价值与风险

当今全球正进入数据经济时代，数据是推动新一轮技术创新、制度创新和管理创新的关键生产要素，是资本、物资、技术、人员等其他生产要素高效组合的纽带与核心。数据的开放、流动和共享将颠覆传统工业时代的商业形态和产业边界，一个以数据资源的开发利用为核心动力的数据经济时代全面来临。数据经济时代，数据资源需要在更多的维度和更广的领域实现流动与融合才能产生更高的价值。

1.1 全球数据流动产生的价值

当前，数据资源的全球流动推动着信息技术和网络服务的创新发展，进而提升各国的经济效率和社会福祉。2008年以来，数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，不仅支撑了包括商品、服务、资本、人才等几乎所有类型的全球化活动，也在发挥着越来越独立的作用，数据全球化成为推动全球经济发展的重要力量①麦肯锡全球研究院（MGI）2016年2月发布《数据全球化：新时代的全球性流动》（Digital Globalization: The New Era of Global Flows）报告。。

同时，跨境数据流动能够有效降低全球贸易平均成本，提高利用互联网的中小型公司的国际贸易能力和存活率；跨境数据流动也极大地增加了跨国服务和贸易的便利化，使得跨国公司都是根据业务领域而不是地理位置来运营它们的业务。

国家和企业的跨境数据流动有助于信息、知识的传播与共享，可以实现国家和企业创新能力的提升。

1.2 全球数据流动孕育的风险

1.2.1 数据隐私泄露

由于各国数据安全和隐私保护水平与标准并不一致，用户数据从保护水平较高的国家（地区）向保护水平较低的国家（地区）流动时，可能会因接收方保护技术管理能力或者意识法律政策方面的不足，产生导致数据泄露的风险。

1.2.2 外国政府情报监控

跨境数据流动不可避免地涉及到国家情报安全的领域，即外国政府可能通过数据跨境流动获得本国重要和敏感数据，这也是各国针对企业跨境数据流动展开重点监管的主要原因。

1.2.3 本国政府执法困难

跨境数据流动使得本国政府依法获取企业数据难度增加，增加了数据执法的不确定性。尽管各国有包括司法互助协定(MLATs)、司法互助协议(MLAAs)等机制，但在实际操作中面临诸多障碍，将数据纳入在本国司法管辖范围内仍然是各国政府的核心诉求。

1.2.4 本国产业发展失控

跨境数据流动的模式会导致数据资源向少数具备产业和管理优势的国家集中，这可以节约企业的成本，但对用户所在国而言就会面临本国产业发展困难的问题。许多国家出台数据本地化政策一方面出于保护本国用户数据隐私的需要，另一方面也希望借此保护本地数据产业的发展和利益。

1.3 我国跨境数据流动面临的挑战

一是数据安全风险泛化增加我国跨境数据流动风险的复杂。因为在数据的产生、存储、流通的各个环节都会涉及到技术、管理、意识等各个方面，每个环节或者交汇都会涉及到数据安全的问题，数据安全风险的泛化使得跨境数据流动风险更加复杂多样。

二是国内数据保护水平不足影响我国跨境数据流动的实践。就当前我国的现实而言，在个人数据和重要数据保护的体系制度设计和法律法规建设上，存在相当的滞后性和不完善的情况，这使得企业在跨境数据流动的具体策略和执行上面临较大的不确定性和模糊性。

三是既有地缘政治格局阻碍我国跨境数据流动的国际合作。当前美国和欧盟在进行跨境数据流动的国际合作时，相当程度上基于已有的政治互信、经贸往来和地缘政治需求来构建自己的“朋友圈”。这使得我国在进行跨境数据管理时也不得不受限于已有的国际格局和地缘政治。

最后，现有跨境数据流动管理政策中过于严格的限制，可能会加重企业跨境数据的成本，面临国外企业的强烈反对。

当前，数据资源是经济体发展的“血液”，我国跨境数据流动已经关系我国经济发展全局、国家战略安全和整体布局，关系我国企业全球化竞争发展的未来格局，是我国当前网络立法和监管的决策难点，也是西方主要国家攻击我国网信政策的主要问题领域。

2 全球主要国家应对跨境数据流动的政策体系

2.1 美国

总体而言，美国着眼于经济发展、国家安全和执法便利三个出发点。对于个人数据流动的低门槛和限制，促进数据流动的自由化，以便能够发挥自身在产业上的优势，引导数据向美国流动；与此同时，对于涉及国家安全的重要数据，美国则是通过清单管理的方式，对与技术数据相关或者敏感数据相关的技术、产品进行了严格出口限制和投资管制。

举措 法律/政策/协议 具体内容通过贸易谈判/监管合作，主导个人数据跨境规则的制定通过双边的监管合作，保持个人数据相关贸易正常化清单管理，限制与敏感技术数据相关的技术出口和外国投资长臂管辖，以应对新形势下跨境调取数据的执法需要TPP/TTIP美国-墨西哥-加拿大协定”韩-美自由贸易协定亚太经合组织（CBPR）美欧隐私盾（安全港）协议《2019财年约翰·麦凯恩国防授权法》《外国投资风险审查现代化法》《出口管制改革法》《澄清境外数据的合法使用法案》（CLOUD法案）TPP：在确保保护个人信息等合法公共政策目标得到保障的前提下，确保全球信息和数据自由流动，以驱动互联网和数字经济。缔约国也同意，不将设立数据中心作为允许TPP缔约方企业进入市场的前提条件，也不要求转让或获取软件源代码。美国公司必须向商务部“自我证明”遵守了协议中的隐私条款；个人数据被滥用的欧盟公民可以向监察专员提起申诉，欧盟官方可以向美国商务部发起投诉。2018年11月BIS公布的拟制定的针对关键技术和相关产品的出口管理体系框架，包含生物技术、人工智能和机器学习等14项核心前沿技术；《外国投资风险审查现代化法》扩大了“涵盖交易”的范围，包括：（1）涉及所谓“关键技术”“关键基础设施”的公司的非控制性、非被动性投资，包括生产、测试、设计、制造、或开发关键技术、或拥有、运营、制造、供应、或维护关键基础设施。（2）外国人对保存或收集美国公民敏感个人数据的公司进行非控制性、非被动性投资。获取存储在境外的数据适用控制者原则，“适格外国政府认定”为与其他国家签订双边条约设定具体路径。

2.2 欧盟

欧盟一直主张通过高水平的数据保护，来推动数据治理对于人权保护的主张和制定法律规则的影响力，并通过这种方式构建朋友圈。

举措 法律/政策/协议 具体内容消除欧盟境内数据自由流动障碍，实现欧盟数字化单一市场的目标 。《数字化单一市场战略》 消除成员国之间数据自由流动壁垒，推动欧盟数字经济发展。《一般数据保护条例》 GDPR直接适用，消除数据保护规则的差异性。《非个人数据在欧盟境内自由流动框架条例》 消除不合比例的数据本地化要求。实施充分性认定，确定个人数据跨境自由流动白名单国家和地区GDPR白名单国家（13个）：安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭和美国（仅限于隐私盾框架）、日本（私营部门）提供充分的保护。韩国正在谈判之中。

举措 法律/政策/协议 具体内容遵守适当保障措施的条件下，提供多样化的个人数据跨境流动方式。积极采取行动解决电子证据跨境获取问题GDPR《涉刑事电子证据生成和存留命令条例（建议稿）》无需成员国监管机构予以特别批准的适当保障措施：（a）公共当局或机构间的具有法律约束力和执行力的文件；（b）约束性公司规则（BCRs）；（c）标准数据保护条款（欧盟委员会批准/成员国监管机构批准欧盟委员会承认）；（d）批准的行为准则；（e）批准的认证机制。相应监管机构批准的失当保障措施：（a）合同条款；（b）公关机关的行政安排中加入了包含可执行和有效的数据主体权利的条款。欧盟成员国的执法或司法当局可直接向在欧盟境内的服务提供商请求提交电子证据，无论数据存储地位于欧盟境内还是境外。

3 全球跨境数据流动的实践经验

3.1 特征与趋势

数据跨境流动政策与国际政治格局密切相关，数据主权成为大国的战略主张。在现有由西方主导的国际体系下，美欧也主导着数据跨境流动“朋友圈”的建立，而圈内国家往往是长期的政治盟友、经贸伙伴以及被其认定为具有相同价值目标的国家。美国通过长臂管辖扩张其跨境数据执法权，通过对承载数据载体的技术和产业的市场准入和出口管制来维持自身比较优势。

与之相对，中国、俄罗斯通过数据本地化实现数据执法便捷性，并以数据本地化要求设置市场准入壁垒，保护本国产业特别是基础设施的发展。体现了各国在各自国家力量、政治战略和外交理念的框架下，纷纷确立管辖原则，出台法律政策，维护国家利益。

政策内容上，对可能威胁国家安全的关键技术数据和敏感个人数据流动的限制措施成为各国政策的主要重点，数据保护出现了向数据保护主义乃至数据产业保护主义发展的趋势，美国《外国投资审查现代化法》中对涉及关键技术或关键基础设施、敏感个人数据的投资交易的审查以及各国数据本地化的要求，都体现了这一点。

3.2 全球数据港

以新加坡、香港、都柏林为代表，非政治大国的城市成为全球数据流动版图上的重要数据节点，支撑他们的主要政策则有着相当的共同性。一是完善的数据保护法律、数据跨境流动管理和监管机制。二是良好的人才储备、健全的基础设施、专业性的机构设置和税收优惠等。三是积极参与全球性数据跨境流动的合作机制。

3.3 企业实践

3.3.1 建设扩张海外数据中心，提供企业跨境数据合规服务

①阿里云：2018年，阿里云可以提供计算服务的节点将包括华北3个、华东2个、华南、香港、新加坡、美国东部、美国西部、日本、欧洲、中东和澳大利亚等14个，基本覆盖了全球主要互联网市场。

②亚马逊：AWS的公有云赋予了用户对其自身数据的所有权和控制权，包括在不同国家/地区数据中心/服务器间进行数据迁移，为用户提供经欧盟认可地“数据处理附录”（data processing addendum），帮助客户满足欧盟关于跨境数据流动的保护责任。

3.3.2 面对数据执法协助义务困境提出企业主张

①谷歌：2017年6月，谷歌提出一个关于执法机构跨境请求数据的国际法律框架，使某些民主国家能够从美国服务商获取涉嫌严重犯罪的用户电子数据，建议美国与这些国家签订双边跨境数字证据收集协议。同时推动美国《国际通信隐私法案》（ICPA）尽快得到国会通过，提倡内容正当、告知、补偿、互惠、现代化、提高透明度等原则。

②微软：2018年，微软A Cloud for Global Good最新版指出，在“政府对数据的获取”一章中建议政府就数字证据获取制定明确的法律规则，制定法规时考虑信息获取法定程序、异议权、披露、透明度、告知用户、尊重主权等原则；在“推动数据的自由流通”一章，建议政府倡导保护跨境数据流动贸易规则、使国内立法对数据流动的干扰最小化、鼓励电子商务、避免增加壁垒的冲突规则 。

3.3.3 组建联盟，构建行业性的跨境数据流动自律机制

2018年3月，由中国信息通信研究院牵头，联合三大基础电信企业和IP-VPN等相关业务经营者共同组建的“中国跨境数据通信产业联盟”在北京成立。该联盟积极配合行业主管部门的相关工作，在宣传普及国家法律法规、规范会员单位业务经营、建设跨境业务系统平台、启动相关技术研讨、支撑国家政策监管等多个方面都开展了工作，联盟现已发布《中国跨境数据通信产业自律公约》，其中海外观察员名单包括威瑞森、西门子、AT&T等。

4 我国跨境数据流动的创新路径

4.1 我国跨境数据流动的形势分析

受地缘政治、产业竞争、法律标准等复杂因素的影响，各国政府开始全面规范甚至限制跨境数据流动活动，全球数据保护主义趋势日趋明显，中国在全球跨境数据流动体系中面临的艰难处境（影响流入），我国《网络安全法》中关于跨境数据流动的要求非常严苛且操作路径不明（影响流出），双重影响对我国跨境数据流动带来复杂挑战。

在这种复杂的国际背景下，要坚定跨境数据流动政策服务于国家发展大局是最终目标。在中央新一轮开放发展战略的总体指引下，积极有序地推动我国数据资源的开放开发和跨境流动，这对于我国经济社会的创新发展具有重要意义。

4.2 我国应对跨境数据流动的主要策略

我国应当遵循数字经济发展基本规律，认清我国IT产业的能力和需求，把握全球产业竞争和政策演进的趋势，明确我国国家安全和网络安全的“红线”，兼顾维护公民权利和促进产业发展两个方面，同时选择重点地区先行先试，进而在全国推广复制。

具体而言，利用上海自贸区创新发展的试验田，探索建立一个开放、透明且可操作的跨境数据流动监管体系，全面、稳妥地推进全球数据港的建设，力争1-2年在上海自贸区建成特定的功能.示范区，吸引跨境数据业务的一批企业入驻，从技术和政策等方面完善跨境数据流动的解决方案。

4.3 具体实现路径

4.3.1 出台专项法规

依据《中华人民共和国网络安全法》的基本要求，发挥自贸区在跨境服务先行先试功能，探索试点放开电信业务外商投资的管理模式，研究出台《上海（自贸区）跨境数据流动管理试行办法》，该办法包括数据流入和流出的负面清单，跨境数据流动的管理机构、电信增值业务开放以及离岸数据中心建设、数据流动财税优惠以及违法开展跨境数据流动的处罚细则等。

4.3.2 打造功能区域

在上海自贸区范围（洋山港、云海数据中心等），选择具备开发能力的地址空间，作为面向跨境业务功能的数据中心（IDC）承载区，并利用临港海光缆等登陆点，扩容跨境数据通讯专线，建设性能和安全达到国际最高标准的数据基础设施，设立外商投资企业数据出境的审查试验区，明确运营主体，分领域打造若干全球数据港功能示范区，以此为载体吸引跨国业务企业的入驻，实现跨境企业数据集聚和集中管理，进而带动相关产业的集聚。

4.3.3 探索国际合作

需要充分利用“一带一路”倡议、中国国际进口博览会等契机，谋求国家相关主管部门的授权，积极主动，先易后难，基于经济合作和地缘政治等因素，与相关国家和城市洽谈建立跨境数据流动的双边/多边规则，建立白名单机制，根据个人信息保护状况及对等措施，将部分地区纳入可自由流动的国家与地区。推动与相关国家和区域数据的双向流动，在规则设计方面可积极借鉴欧盟长臂管辖的原则，强化数据出境后的风险评估和监管，维护国家数据主权。

4.3.4 组建数据海关

相关部门须联合组建数据海关，以跨部门、平台化的方式开展工作，通过制定数据分类分级监管体系，分行业明确敏感的个人数据和重要数据范畴，并充分运用大数据、人工智能等技术手段建立自动化监管流程，对企业跨境数据流动活动进行实时的风险评估和梯度管理，为企业跨境活动提供必要的技术解决方案指导。

4.3.5 强化标杆示范

政府须依托大型成熟跨境企业，共同研究行业级的跨境数据流动安全管理规范，在电子商务、金融、航空、云服务等领域率先推动行业跨境数据流动标准的出台，建立行业级的数据跨境流动协议范本，通过合同法律机制来管控数据出境风险，以此来带动整个行业的数据保护和数据流动，并积极推动我国的行业标准成为国际或区域性的标准。

4.3.6 创新技术模式

全球数据港必须有效识别和解决数据跨境流动过程中的安全风险。数据经济时代，跨境数据无法从根本上摆脱国家安全和隐私的潜在风险，因此遵循相关法律要求进行技术创新是跨境数据流动管理的重要路径。因此，需要充分调动国内外大数据安全技术公司，为全球数据港打造安全可控的跨境数据流动技术路径，全面支撑相关龙头企业和功能示范区企业的跨境业务。