数据跨境流动监管机制及对中国启示

李楠

一、数据跨境流动监管的基本模式

20世纪90年代，各国逐步形成互联网法律。可以发现，一方面，理念基本一致;另一方面，数据跨境流动权益进行规制。总体上，跨境流动规则呈现全球性趋势特征，区域性特色突出。追求数据自由流动的基本理念，欧盟“单一数字市场”强调，欧盟范围数据自由流动。美国推动数据流动“急先锋”。技术数据跨境的前置审批与管控机制，西方国家对技术数据跨境流动，设置前置审批。随着是云计算的发展，管控难度增大，但欧美国家管控力度有增无减。数据跨境的敏感政府数据、国家安全审查与市场机制，核心是不违反WTO规则，实现相对灵活安全审查目的。数据跨境个人权利为中心流动的区域性特征，1995年， 歐盟实现区域内个人数据的自由流动。

欧盟个人信息是成员国公民基本权利，受法律保护，欧盟境外也受到保护。因此，欧盟采取区域外严格监管措施以及高额罚款惩罚措施，包括遵守各种形式要求，如一是白名单制度，允许本国数据跨境流动到认可的国家或地区。二是严格的用户授权机制，保护个人知情权和选择权，不得以默认方式告知。三是明确的豁免同意的条件，欧盟及其成员国法律设定了必要条件下，除国际条约等情形外，豁免条件为：数据主体表示同意;必要的数据主体履行合同;重大合法的公共利益;必需的维权;公开公众提供信息。四是相对固化合同条款及规则，欧盟范围内数据跨境流动需参考三套条款。五是专门且落地的监管机构，赋予充分的执法权。除外，数据保护官必须依法履行职。六是放松数据跨境流动的行政资源限制，由于监管与执法水平不同，明确提出容易执行行为规范。

亚太地区个人数据跨境进程晚于欧洲，法律要求简单。总体特征重自律，企业合规相对较低。多元利益诉求的亚太地区具有轻监管倾向，重自愿认证体系。数据跨境协调体现用户同意机制，同时还体现营商环境、成本影响。新发布法律明确数据跨境告知与同意要求。又如，取得同意方面，个人可以撤回。相对弹性而非固化合同条款要求，非强制性方式，仅要求取得同意。

二、中国数据跨境流动监管的基本情况

2010 年之后，中国数据跨境规定见于法律，行业管理提出本地化要求。以实体性数据流动禁止规定为主，没有负责机构、程序法律规定、缺乏监管机制。

我国要求数据本地化，明确提出，云计算要设在境内。未经批准敏感信息不得在境外传输和处理以及存储。数据本地化分为三个层次：一是最低层次理论上本地留存仍可跨境;二是中等层次向境外提供数据应遵守规定;三是高度层次禁止数据境外流动。与境外相比，我国数据跨境移动特点在于突出的管控机制，体系化、分级分类监管机制没能形成。敏感技术数据只有密码技术与产品进出口许可有明确法律要求，其他类型数据并没有。法律对个人数据关键信息提出本地化或相对本地化。行政手段影响数据跨境经济效率与安全，一刀切式不符全球化发展，实践出现困难。我国法律和专门数据保护机构缺位影响相关产业发展，很难被欧盟国家列入白名单，与它国缔结数据跨境也较难。它国向中国转移数据，需受严格限制。这不利于我国互联网产业、相关企业国际化，乃至全球数据中心布局，限制国“大数据”、云计算发展。碎片化数据跨境移动对本地化的监管也很难匹配。

三、中国数据跨境流动监管的发展对策

随着数据内容与方式拓展， 人类社会被快速数据化，影响程度与日俱增。信息资源已成为国际竞争重点内容。虽国情差异，但监管机制不尽相同，总体而言处于不断博弈变化中。主要国家监管策略的选择对构建中国数据跨境流动监管模式、机制、策略具有借鉴作用。当前，我国数据跨境监管面临两个重要困难：一方面缺乏高位阶法律依据，另一方面缺乏国际合作机制。数字经济时代，围绕数据的基本生产要素竞争激烈，如何“吸引”数据在中国境内，提升国际营商环境竞争力。各国以自由流动为原则，管理数据跨境。市场规律发挥着全球配置数据资源基础作用。必要性的让用户和政府参与市场失灵领域涉及数据跨境重要利益。对此， 一方面，明确立法规范跨境转移行为;同时数据能更好、依法依规利用，实现数字经济产业强化。另一方面，数字经济时代应积极融入国际数据跨境流动体系，参与规则搭建，争取安全与利益。

全球畅通离不开数字经济时代的全球化贸易数据。任何数据管理都应审慎，应避免行政干预。如我国在全球数字经济中占有优势地位，那么必然实现数据跨境流的“顺差”。借鉴欧盟数据保护经验及亚太新近立法。规范个人数据流动，有必要确立主管机构，明确形式要件。通过完善法律与制度，实现与他国数据保护机制的互认，避免成为“孤岛”。面对数据出境问题，严峻的网络安全态势，欧美国家积极干预措施。我国有必要加强对重要数据的保护。立法时需要充分考虑此类问题。

交换与竞争是市场发现价值的功能，数据产业挖掘数据的价值，须大力提倡。数字经济的全球博弈对个人信息及国家安全需要保护机制。避免本地化一刀切，积极全参与球产业链竞争，促使中国成为网络强国。

（作者单位：山东社会科学院，山东 济南 250002）