数据跨境流动各国立法和国际合作机制初探

张奕欣 王一楠 吕欣润 卓子寒 邢潇

【内容摘要】各国规则标准的差异会阻碍数据跨境自由流动，影响产业发展。为此各国重视主导推动合作机制以构建数据跨境自由流动圈。我国应关注国际数据跨境流动管理策略的现状和发展趋势，探索自身管理体系和国际合作策略。

【关 键 词】数据跨境流动;安全评估;国际规则

中图分类号：D922.16 文献标识码：A 文章编号：2095-4379-（2020）02-0113-02

一、数字经济发展伴随数据跨境流动风险

中国信通院2019年10月发布的《全球数字经济新图景（2019年）》显示，全球数字经济蓬勃发展在国民经济中占据核心地位，47个国家数字经济总规模超过30.2万亿美元，占GDP比达40.3%。美、中、欧盟位居前三，日、韩、印、加紧随其后。

数字经济发展关键要素是数据。近年来，在经济全球化浪潮下，数据在国际间大规模、高频率流动成为推动国际贸易和投资要素跨境流动的重要力量。同时世界范围重大数据泄露事件频发和数据黑色产业链日益成熟引发广泛担忧。数字跨境流动引发的安全风险促使各国加快该领域立法步伐。

二、多国数据跨境流动立法情况

（一）欧盟

欧盟各国视隐私为基本人权，与他国兼顾其他价值不同，欧盟将隐私权置于不可挑战的位置。2018年全面实施的《通用数据保护条例》（GDPR）将保护标准提高到一个新高度，被称为“史上最严”个人数据保护法律。

GDPR在满足“充分性认定”条件下，欧盟数据可以出境。数据接收国需证明其本国隐私保护水平与欧盟“实质上相当”，考量因素包括：现有法律和立法体系、行政和司法救济有效性、与第三国签订的国际公约等。至今为止，仅有阿根廷、新西兰、以色列等13个非欧国家和地区被认定满足该条件。

如数据进口国未达到欧盟标准，进口国企业或组织可在遵守适当保障措施条件下通过欧盟提供“绿色通道”来取得数据：建立具有约束力的公司制度、标准合同条款、批准的行为规范、批准的认证机制和豁免情形等。该机制虽为进入欧盟市场企业提供了多样化的数据跨境替代方案，但并非完美。实施BCR和SCC所需投入时间和金钱成本较高，而ACC和ACM有效性在2017年爱尔兰Facebook案件中受到挑战，豁免情形无法满足企业高频海量数据需求。

（二）美国

美国尚无统一隐私和数据保护法，相关保护仅通过保护消费者权益以及规范涉及敏感个人信息的行业（如电信、科技、医疗卫生）和商业行为（如电话营销和色情信息邮件强行推送）进行。

数据出境方面，政府对敏感行业进行分散限制。如《出口管制法》要求受管制的科技信息出口需要取得许可，《1996年健康保险流通与责任法》要求医疗机构将电子医疗信息在海外云存储前需签署隐私安全保护协议。

数据入境方面，2018年出台《澄清合法使用境外数据法案》赋予执法机构调取境外存储信息的权力，即政府在一定条件下可要求美企或与美发生充分联系的外国企业提供在境外存储的数据。

美国立法现状反映崇尚数据跨境自由流动理念，背后是其数字经济巨大产业优势自然驱动。数据作为企业经营的“血液”自然从产业竞争力弱的国家流向競争力较强的国家，而美企在社交媒体、云计算、电子商务、搜索引擎等领域处于全球主动地位。此外美国凭借其国家实力不断扩大其境内法的域外适用范围以促进境外数据内流。

（三）印度

印度立法主要为服务出口和促进数字经济发展。数据跨境流动对服务出口至关重要。2016-2017年期间，印度23%技术服务出口欧盟。而提供这些服务常需处理欧盟居民信息，受GDPR管辖和影响。印度在隐私保护方面立法起步较晚，2010年欧盟白皮书曾认定印度的隐私保护水平不足。为满足其数字经济发展需要，印度正积极推动相关国内法律的制定和修改。2018年《个人数据保护法案》草案对数据跨境流动要求甚至比GDPR更为严格：一般和敏感个人数据需在印度境内留有副本，关键个人数据禁止离境。这反映出印度希望尽快提高保护水平以早日达到欧盟“充分性”认定，并希望通过数据本地化存储来促进本国数字产业发展。

三、数据跨境流动的国际合作机制

近年来，各国基于各自立场向WTO多次提交数据跨境流动条款提案。但囿于利益、价值观等存在较大差异，短期内联合国或WTO多边机制很难形成各方接受的单一数据流动规则。于是数字经济大国开始通过双边谈判和多边合作以推动更加灵活的数据跨境流动国际合作。

（一）双边谈判

国家地区间设立“白名单”制度以欧盟GDPR项下的“充分性”认定最为典型。越来越多的国家正在推动国内法律的制定或修改以期尽快与欧盟开展充分性认定谈判。美国与欧盟采用更加灵活的形式–隐私盾（Privacy Shield）。根据隐私盾协议，自愿参加的美企需向美国商务部提交自我确认书，确认其完全遵守其中所有隐私原则等要求。商务部、联邦贸易委员会、交通部等负责监督参加隐私护盾的美企履行义务并做出处罚和制裁。

俄罗斯也对达到其认可数据保护水平的国家采用白名单制，目前共有23个国家进入其白名单。日本在《个人信息法》（APPI）中也将白名单制列为三种向境外转移个人数据合法方法之一。

（二）多边合作等机制

1.CPTPP与USMCA模式

美国正式退出TPP后，2017年11月11日，除美国外的11国就继续推进TPP正式达成一致，签署新的自由贸易协定，新名称为“全面且先进的跨太平洋贸易伙伴关系”（CPTPP）。CPTTP对数据跨境流动进行了原则性规定，即除为“正当公共政策之目的”外，应允许为数据主体利益而进行的数据跨境传输。

2018年11月30日，美国、墨西哥、加拿大三国签署《美墨加三国协议》（USMCA）。USMCA在数据跨境流动方面与CPTPP基本保持一致，可见美国推动数据自由流动的态度从2002年的TPP到2018年的USMCA并未发生根本性变化。

2.APEC的CBPR机制

APEC自2003年起不断完善隐私规则，最终于2011年建立“跨境隐私规则”（CBPR）。目前共有美国、墨西哥、日本、韩国、澳大利亚、加拿大、新加坡和中国台北8个国家和地区加入该机制。CBPR体系是一项自愿认证体系，也是APEC跨境商业个人隐私保护的核心内容，通过认证的企业可相互之间自由传输数据。但至今仅有20余家美国和日本企业通过认证。

四、制定跨境数据流动国际标准的引领和数据流动圈的形成

为便于与欧盟开展数据贸易，多国正仿照欧盟GDPR建立本国隐私保护立法体系，引领数据保护国际标准树立。同时欧盟充分性认定清单也不断扩大，甚至数据保护价值观迥异的美国也试图以隐私盾等灵活形式达到欧盟充分性认定目的。事实上世界正在形成以欧盟为核心的全球数据流动圈。

美国作为数据自由流动的倡导者，一直试图通过主导建立TPP、USMCA、CBPR等来促进数据跨境流动。当前美国正致力将CBPR作为突破口，将APEC以外的其他国家和地区都纳入到CBPR体系来，建立以美为核心的全球流动圈。

五、结语

我国近年也在建立数据跨境流动管理体系。制度构建需要平衡国家安全、个人隐私保护、产业竞争等多方利益。同时数据天然流动性和经济全球化要求其不断跨境交换。一味追求安全而强调对数据绝对控制将导致网络空间分裂和数据流动停滞。我们应密切关注国际数据跨境流动管理发展趋势，积极参与国际合作交流，探索自身数据跨境流动管理体系和国际合作策略，最终建立以我国为主导的多边贸易规则体系，形成符合国家安全和产业利益的全球数据流动圈。

参考文献：

[1]中国信息通信研究院《全球数字经济新图景（2019年）——加速腾飞重塑增长》[Z].2019-10-11.

[2]360安全监测与响应中心、360威脅情报中心、360行业安全研究中心《2018年暗网非法数据交易总结》[Z].2019-1-10.

[3]茶洪旺，付伟，郑婷婷.数据跨境流动政策的国际比较与反思[J].电子政务，2019（05）：123-129.

[4]Aaditya Mattoo Journal of International Economic Law December 1，2018.

[5]上海社会科学院，阿里巴巴数据安全研究院.全球数据跨境流动政策与中国战略研究报告[Z].2019-8-28.