我国首部 涉及数据跨境流动地方法规评析

王勇

数据跨境流动呼唤中国出台“法律守护神”

随着数字经济的发展，数据跨境流动成为关系各国政治、经济、社会的核心议题。作为数字经济发展最为迅速的国家之一，中国在数字经济总体规模和电子商务、金融科技等领域都位于世界前列，但是随着我国改革开放政策和“一带一路”倡议的持续深化推进，我国数据跨境流动产生的风险也在不断增加。首先，数据跨境流动引发数据安全风险担忧。例如，全球数据黑色产业链日益成熟，离境数据被恶意利用和買卖的现象频发，个人数据泄露事件不断发生，对个人隐私、财产甚至人身安全造成威胁。其次，数据跨境使得大量数据流向境外，执法机关提取有价值的证据需要耗费更多的时间和人力资源，高效甄别数据价值的挑战更大。再次，数据对国家主权维护有重要意义，是支撑国家安全与发展的重要战略资源，具有极为重要的主权保护价值，数据跨境流动可能威胁国家主权与安全。例如，2013年“斯诺登事件”推动了各国将数据跨境流动纳入政治议题，与国家安全、网络安全等政策紧密挂钩。在上述背景下，中国对数据跨境流动进行法律规制既有利于维护国家安全和保护新兴科技产业，又有利于保障“一带一路”合作倡议深入开展。

上海地方立法先行先试结出“创新成果”

《办法》35条至37条从加强基础设施建设、保障跨境数据安全流动、强化数据保护三个方面对数据跨境流动进行法律规制。《办法》在跨境数据流动的立法技术方面基本上贯彻了数量质量原则、安全保障原则、自由流通原则和合法限制原则，从而符合数据跨境流动法律规制的立法宗旨与目的。《办法》采取“软法规则与硬法规则相结合”的方式对数据的跨境流动进行法律规制。一方面，《办法》关于数据跨境流动法律规制的三个条文（第35-37条）中使用“加强”“加快”“加大”“主动参与”等措辞，这些措辞产生了宣示或倡议的作用，显然属于“软法”规则。另一方面，《办法》第35条提出“建设完备的国际通信设施”、第36条提出“试点开展数据跨境流动的安全评估”“建立数据安全管理机制”、第37条提出“开展国际合作规则试点”等措辞所表明的权利义务规定明确具体，可以强制执行，显然属于“硬法”的范畴。

笔者认为，《办法》规制数据跨境活动具有重要法制意义。首先，《办法》关于数据跨境流动的法律规制对于完善我国数据跨境流动的法律制度具有重要意义。目前，国际上已有一些关于跨境数据流动的法律规制，但相关规则仍然不完善，数据自由流动要求与个人信息、公共利益和国家安全之间的平衡点尚未达到。我国目前关于跨境数据流动的法律规制也很不完善。《办法》用三条法律规定对数据跨境流动进行规制，不仅凸显《办法》本身对于数据跨境流动进行规制的重视，而且对于完善我国数据跨境流动的法律制度本身也具有重要意义。其次，《办法》首次在地方政府规章中对数据的跨境流动进行法律规制，体现了上海市政府对于数据跨境流动法律规制的高度重视。我国之前规制数据跨境流动的法律或是全国性法律法规——如《网络安全法》《征信管理条例》或是部门文件如2013年的《信息安全技术公共及商用服务信息系统个人信息保护指南》;而《办法》是我国首次在地方政府规章中对数据的跨境流动进行法律规制。根据我国《立法法》的规定，上海作为直辖市可以根据法律、行政法规和本市的地方性法规，制定政府规章。可见，《办法》对数据的跨境流动进行法律规制，体现了上海市政府对于数据跨境流动的高度重视。再次，《办法》是我国首个自贸区管理办法对数据的跨境流动进行的法律规制，彰显了上海自贸区先行先试的勇气。截至2019年6月底，我国已经建立了12个自贸区。中国（上海）自由贸易试验区于2013年9月29日正式成立，是中国首个自贸试验区，2014年8月1日起正式施行的《中国（上海）自由贸易试验区条例》是中国首个自贸区条例，《办法》是首个自贸区管理规定对数据的跨境流动进行法律规制。

完善法律规制，为上海自贸新片区建设保驾护航

作为先行先试，笔者认为该《办法》在今后的实践中，还有进一步的修订空间：第一，《办法》应当逐步增加“硬法”规范。总体来说，《办法》关于数据跨境流动的法律规制较为抽象和概括。特别是《办法》中所使用的“加强”“加快”“加大”“主动参与”等措辞，对于具体执行数据跨境流动的法律规制是不利的。笔者建议，上海市政府在积累经验的基础上，根据自贸区临港新片区的实际情况制定更为具体的规制数据跨境流动的法律规范，从而逐步减少“软法”规则，增加《办法》的可执行性。

第二，《办法》应当实施数据跨境流通分国家或区域的管理制度。《办法》应当综合考量国际形势及当前的国家政策，并针对自贸区数据跨境流向的不同国家、不同地区做出评估判断，采取有差别的商业数据流通安全保障措施。对于行业数据流向较为安全的国家或者地区可以采用相应的“白名单制度”，并且减少审批和监管程序，提高行政效率;对于数据流通评估风险较高的国家、地区应当实施更为严格的数据安全保护措施，并建立相应的“红名单制度”。

第三，《办法》应当逐步实施数据跨境流通分类别管理制度。《办法》应将从自贸区向境外流通的数据划分为企业一般数据、重要数据和核心数据三种类别，并且形成相对应的数据跨境流动管理策略。例如，对于自贸区内的5G、IPv6、云计算、物联网、车联网等新一代技术数据至少应归入重要数据流动范围进行比较严格的法律规制;对于集成电路、人工智能、生物医药、总部经济等领域的关键数据应该作为核心数据流动进行严格的法律规制。

第四，《办法》要契合上海自贸试验区的司法实践状况，便利司法案件中数据跨境流动的获取措施。截至2018年4月，浦东法院共受理各类涉自贸区案件97487件，审（执）结92457件，其中八成以上是民商事案件。上海一中院审结的涉自贸区案件共涉及187个案由，其中证券虚假陈述责任纠纷的数量遥遥领先，占比46.81%。通过分析涉自贸区民商事案件的总体情况，可以发现，随着对云技术依赖程度的加深，用户数据被存储的地方与用户往往属于不同的司法管辖范围。执法部门从前期的沟通协调到最终调取数据要花费大量时间和精力。《办法》需完善数据跨境流动的司法执行措施，方便司法人员快速读取、查找相关数据，缩短执法人员在司法程序中证据调取时间，加强对于上海自贸区内知识产权案件数据的司法调取。总之，通过完善《办法》为上海自贸试验区保障关键领域的数据安全以及司法实践中执法人员快速读取、查找相关数据提供保障，从而为上海自贸试验区的经济发展提供更为强劲的法律支撑。

第五，《办法》应逐步建立跨境数据流动的法律责任制度。建立跨境数据流动的法律责任制度应当从侵犯跨境数据安全和阻碍跨境数据流动两个方面进行考虑，对于违反《办法》，盗窃、恶意利用、买卖跨境数据等行为，应当根据其行为性质，让行为人承担国内法上的民事、行政或刑事责任。通过法律责任制度这种外在推动力，既能有效打击违法行为人，促使上海自贸新片区的企业遵守数据跨境流动的法律制度，又能更好地保障自贸新片区内的数据更加安全地跨境流动。

编辑：黄灵  yeshzhwu@foxmail.com