论跨境数据流动规制企业双向合规的法治保障

许多奇

内容摘要：大数据环境下，大规模和复杂的跨境数据流动成为常态。在数据跨境问题上，“走出去”和“引进来”的企业都面临必须满足国内外公权力机关依本国法所提出的数据收集、传输和使用等要求，即实现双向合规。对企业合规现状梳理后发现存在双向合规难的问题。固然原因是多方面的，但从国内来看，缺乏“良法善治”的法治保障是主要原因。具体表现在：制度零散，缺乏顶层设计下的数据跨境系统规范体系;机构不明，缺乏独立的数据跨境风险管理执法机构;手段单一，缺乏完整健全的数据跨境执法流程;国际争端，数据本地化政策影响中国的国际贸易谈判。加强“良法善治”法治保障解决双向合规难问题的对策建议是：科学立法，丰富提升跨境数据流动管理的价值目标，为双向合规提供法律规范体系;机构创新，设立独立的跨境数据监管机构，将双向合规落到实处;协同共治，构建跨境数据安全治理体系，营造良好的合规环境;合作共赢，积极参与跨境数据流动国际规则制定，推动双向合规健康、可持续地开展。

关键词：跨境数据流动数据流动规制双向合规数据安全治理跨境数据流动国际规则数字经济

中图分类号：D912.28文献标识码：A文章编号：1674-4039-（2020）02-0185-197

一、引言

数字经济时代，数据日益成为最重要的生产资料。根据国际数据公司IDC预测，2018年全球数据总量达到33ZB（33万亿GB），预计2025年将达到175ZB，7年数据量复合增长率达到27%。〔1 〕数据资源的快速扩张对全球经济产生了深远的影响。始于20世纪70年代的跨境数据流动，〔2 〕当下已成为全球贸易和投资增长的主要途径。

跨境数据流动对于我国对外贸易及经济发展有着重大的意义。根据学者对五个主营业务板块（电子商务、云计算、第三方支付、物流平台、软件服务）的跨境数据流动活动进行的田野调查和深度访谈，数据跨境流动直接影响了其成本、收益、创新能力乃至实现商业模式的全球扩张，以及帮助企业融入全球供应链。〔3 〕同时，由于跨境数据流动降低了企业贸易和交易的成本，使大量中小型公司几乎和大型企业具有了同样的国际贸易能力。在我国企业“走出去”的同时，国外不少企业也纷纷来我国投资。在数据跨境问题上，“走出去”和“引进来”的企业都面临必须满足国内外公权力机关依本国法所提出的数据收集、传输和使用等要求，即實现双向合规。达到这一目标，要求掌握数据的企业履行保障其控制范围内数据安全的义务;更应依靠国家完善数据立法和加强监管，最大化地保障本国企业的数据安全，使企业在配合国内外数据要求时，能避免因数据泄漏而使商业机密曝光、经营决策遭受损失。

综上所述，商业自由原则以及数据流动对于经济社会的巨大价值需要数据自由跨境，然而由于网络本身具有脆弱性，数据接收国（输出国）的法律规制、社会环境不可控，如果缺乏法律约束机制，数据跨境后轻则侵犯个人隐私，公司、企业遭受财产损失;重则泄露国家秘密、扰乱社会秩序甚至威胁政权。因此，完善数据立法、加强监管等法治保障对于跨境数据流动的规范和风险防范具有至关重要的作用，对于保证“走出去”和“引进来”企业的合规经营意义不可低估。

二、跨境数据流动规制企业双向合规的现状梳理

（一）中国企业“走出去”，应对跨境数据流动规制法律风险大

大数据环境下，大规模和复杂的跨境数据流动成为常态，它也是当前国家、地区间政策博弈最为复杂的领域之一，这使我国“走出去”企业面临着风险不小的营商环境。

第一，跨境数据流动规制各国立法纷繁复杂，“走出去”企业应对各国数据跨境限制性规定存在风险。虽然全球规制与引导跨境数据流动的统一规则尚未形成，据不完全统计，在全球总计231个国家（地区）中，已经有超过135个国家（地区）出台数据保护法，其中大多数有跨境数据流动法律或政策，〔4 〕而毋庸置疑的是，现有规则主要仍以欧美为首的发达国家引领。

欧洲是跨境数据流动治理的发源地，全世界范围内首部数据保护法出现于1970年的德国黑森州。〔5 〕紧随其后，欧洲各国都开始起草并实施数据保护法规，并逐渐开始包含跨境数据流动的内容。承接这样的历史传统，欧盟的跨境数据流动立法在世界范围内产生了广泛的影响。欧盟立法的特点是：统一规则实施欧盟数字化单一市场战略，以数据保护高标准引导全球重建数据保护规则体系。具体表现为：一是实施欧盟数字化单一市场战略，摒除欧盟境内数据自由流动障碍。由于数据流动能带来经济利益，那么显然限制跨境数据流动会大幅增加经济成本，〔6 〕因而在欧盟内部整体上促进数据在充分保护国之间自由流动。二是通过“充分性认定”确定数据跨境自由流动白名单国家，推广欧盟数据保护立法的全球影响力。只有在国家、地区、行业或国际组织能确保充分保护水平时，数据可以在不需要欧盟额外批准和授权的情况下向其传输。〔7 〕截至2019年8月，这种白名单的国家和地区已经有13个，日本、韩国正在与欧盟谈判之中，印度也被考虑纳入谈判议程。〔8 〕三是在遵守适当保障措施的前提下，提供多样化多层次的个人数据跨境流动方式。在缺乏充分性认定和公权力机构之间法律约束力协定 〔9 〕的情况下，欧盟还为非欧盟企业提供了遵守适当保障措施条件下的数据转移机制，包括约束性公司规则，〔10 〕采用欧盟委员会通过的标准数据保护条款，〔11 〕成员国监管当局通过并经欧盟委员会批准的标准数据保护条款，〔12 〕协会、不同类型控制者、处理者组织编写并经批准的行为准则，〔13 〕批准的认证机制 〔14 〕以及第三国控制者或处理者的承诺 〔15 〕等。这些机制为在欧盟收集处理个人数据的企业提供了可选择的数据跨境流动方式。

与欧盟不同，美国立法的特点是：以维护产业竞争优势为主旨，构建跨境数据流动与限制政策。具体做法有：一是利用信息通讯产业和数字经济全球领先优势，在与各国新一轮贸易谈判中都主张将“数据跨境自由流动”纳入协议条款，以破除许多国家利用跨境数据流动设置的市场准入壁垒，防止“互联网巴尔干化”。〔16 〕二是通过限制重要技术数据出口和特定数据领域的外国投资，遏制战略竞争对手发展，确保美国在科技领域的全球领导地位。三是通过“长臂域外管辖”扩大国内法域外适用的范围，以满足新环境下美国政府跨境调取数据的执法需要。考虑到若没有长臂域外管辖权，跨国公司可以通过选择将数据存储在别国的服务器上来阻止本国政府对电子邮件的需求，隐私保护将不依赖于传统的司法监督保障，而是依赖私营企业的“商业决策”。〔17 〕由此，2018年3月28日，美国议会通过《澄清境外数据的合法使用法案》（Clarifying Lawful Overseas Use of Data Act，CLOUD法案），〔18 〕结束了“Microsoft vs. FBI”案中关于美国执法机关是否有权获得美国企业存储在境外服务器中用户数据的争议，赋予美国执法机关对美国企业“控制”的数据，不论其在美国还是在境外都享有主权。通过适用“控制者原则”，该法扩大了美国执法机关调取海外数据的权力，使美国的数据主权扩展至美国企业所在的全球市场;同时依赖于美国的国际经济与政治强势地位以及与相关国家的合作，其他国家要调取存储在美国的数据，则必须通过美国“适格外国政府”的审查，需满足美国所设定的人权、法治和数据自由流动标准。

受欧盟、美国立法的影响，其他国家也纷纷出台了跨境数据流动规则。例如，日本同时与欧盟、APEC等机制对接，使用狭义的个人数据概念，大力推动“匿名化处理数据”的跨境数据自由流动规则构建;〔19 〕新加坡与日本一样确保被传输到他国的数据得到与本国同等的数据保护，同时又设立了豁免条件，以建设亚太地区数据中心为导向，积极参与跨境数据流动区域合作;印度区分敏感数据和非敏感数据，采取数据主体同意转移，以及数据控制人和数据主体之间达成合法契约等方式，在融入全球化和促进本国数字经济发展之间寻求本地化中间路线;〔20 〕俄罗斯则通过数据本地化政策，要求数据回流，经营者必须在本国境内设立服务器，进行俄罗斯公民数据的记录、系统化、累积、存储、修改和检索，以保护主义政策推动IT产业发展;作为发展中国家代表的菲律宾分别于2012和2016年出台《数据隐私法》及其实施条例，并不要求本地化存储，也未限制跨境数据流动，但不管是否跨境流动，都依法要求个人信息控制者对传输给第三方处理的个人数据持续负责…… 〔21 〕

综上所述，各国跨境数据流动法律、法规的历史根源、立法模式、规制方式以及司法确认都各不相同，数据保护标准不统一。在这一背景下，我国企业“走出去”面对的法律风险是巨大的，如果企业事先对跨境数据法律风险准备不足，事中对风险又不善应对，就可能会导致“走出去”后因触犯当地有关数据传输的限制性规定而遭受巨额罚款。

第二，我国与他国之间限制数据跨境传输的规则冲突，也使我国跨境企业的合规经营面临风险与挑战。

跨境数据流动是企业在国际贸易中的业务需求。据媒体报道，自2013年起，中国超过美国成为世界上最大的贸易国，并称是国际贸易的“里程碑”事件。〔22 〕在国际贸易实践中，国外监管机构可能会依照监管职能或调查权限，要求我国相关企业提供中国法律法规规定限制跨境传输或不可披露的特定类型数据，那么便会与中国法律法规发生正面冲突。其典型案例为美国证券交易委员会（Securities and Exchange Commission，以下簡称SEC）要求中国五家会计师事务所提供在美上市公司审计底稿一案。

2012年12月3日，SEC起诉德勤等四大会计师事务所，外加立信大华的会计师事务所拒绝提交中国客户的审计文件。声明调查这些数据是为了配合调查在美国涉嫌欺诈的中国概念股。〔23 〕但我国法律法规规定实行档案、审计底稿保密制度。目前该制度有进一步加强的趋势，根据原《中华人民共和国档案法》《注册会计师法》等法的规定，2016年7月财政部、国家档案局制定了《会计师事务所审计档案管理办法》，其第13条规定“会计师事务所对审计档案负有保密义务，一般不得对外提供……” 〔24 〕2017年3月新修订的《中华人民共和国档案法实施办法》 〔25 〕第18条进一步加强了对档案出境的严格限定。2014年1月23日，SEC行政审判法官卡梅伦·埃利奥特（Cameron Elliot）用长达112页的判决，对四大会计师事务所中国所作出初审判决：暂停其在美国的业务6个月。〔26 〕2014年2月，四大会计师事务所中国所就SEC的判决正式提出上诉。在长达12天的听证会和一年的谈判后，四大会计师事务所中国所与美国SEC达成和解。〔27 〕根据和解协议，每家会计师事务所同意支付50万美元，并承认在2012年对其提起诉讼之前并未出示任何文件。〔28 〕

上述案例表明，我国“走出去”企业面临跨境数据流动规制的法律风险，这不仅来自数据输出国限制数据收集、传输和使用的立法，也来自其行政监管和司法诉讼实践。我国跨境企业不仅需要熟悉输出国涉及跨境数据流动的法律、规章和标准，还要了解、把握输出国的行政监管及司法诉讼程序。如在美诉讼必然碰到的美国“证据开启”程序。在这一程序阶段，诉讼双方会主动或被要求向对方披露与诉讼标的相关的文件或其他资料。〔29 〕美国“证据开启”程序要求比较严格，对于其他国家禁止向他国提供证据的抵触法，1987年，美联邦最高法院Société Nationale Industrielle Aerospatiale. United States一案中作出判决，判定即使证据开示会影响外国的主权管辖权，与该国的国内实践不一致，美国法院也可强制要求其提交相应证据。〔30 〕随着信息技术的跨越式发展以及数据保护立法的全球割据状态，跨境数据流动可能引发更为频繁的相关法律规定与实践需要的冲突。这种国家之间的冲突可能影响企业的稳定运营和技术开发，甚至使跨国企业进退维谷。它也是我国企业“走出去”后应对跨境数据流动规制法律风险大的表现之一。

（二）国外企业“引进来”，跨境数据流动规制难以合规

随着数字经济及全球化的深入发展，中国作为全球最大的新兴市场吸引着日益增多的外资互联网企业在中国投资，外资企业对中国数据市场的关注和跨境数据流动相关法律的质询将在所难免。

第一，我国跨境数据流动法律法规尚不完善，“引进来”的国外企业收集、传输和使用数据尚存在不确定的因素。我国目前仅有一条法律条款针对数据跨境作出明确规定。2017年6月正式实施的《中华人民共和国网络安全法》第37条规定了关键信息基础设施运营者数据本地化原则。该条的一般解释应理解为，外国公司有义务在中国境内为用户保留服务器，即使成本增加，也明确了个人信息和重要数据的本地存储、出境评估等法律义务。〔31 〕但关键信息基础设施的具体认定标准和程序尚不明确，重要信息的具体范畴也未厘清。国家网信办虽然于2019年6月13日发布了《关于〈个人信息出境安全评估办法（征求意见稿）〉公开征求意见的通知》，但统一客观、可操作性强的数据跨境流动安全评估办法、安全评估的主管部门以及具体的评估的落地流程等都尚处于缺位状态，更难以满足各企业之间的数据特征差异较大的多种类合规需求。跨国企业往往业务众多、数据交互频繁，可能既涉及个人数据，也涉及商户数据、商品数据、支付数据、物流数据等不同敏感和非敏感数据的交互融合流动，而我国尚未建立起比较成熟的数据跨境法律制度，目前的立法和执法都无法甄别和适应企业“引进来”的合规确定性和多元化安定性要求，数据出境和入境安全评估亦远未落地实施。总之，“引进来”的国外企业跨境数据合规存在许多不确定的因素，造成难合规的局面。

第二，我国尚不规范的数据分析市场无法遏制“引进来”企业的非合规数据行为。我国数据分析行业还整体缺乏自律，有些企业的经营活动没有道德底线，数据泄露事件频出。中国消费者协会通过测评100款App的个人信息收集与隐私政策情况，发现过度收集信息，隐私政策条款不完整、不合理等问题普遍存在。2019年2月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展App违法违规使用个人信息专项治理活动，发现有些数据分析企业利用电商平台、手机App、城市共享服务、快递服务等手段，在根本未征求用户同意、未完全征得用户同意、未引起用户合理注意（无隐私提示）或用户不勾选便无法使用等前提下，大肆收集与产品、服务本身和使用目的无关的个人信息，存在侵害个人信息、个人隐私和危害数据安全的巨大风险隐患。国外科技企业良莠不齐，一方面，严格合规的国外企业因为担心国内企业的无规运行，无底线竞争，无法有序运营而止步不前，不敢涉足中国市场;另一方面，不规范企业可能凭借其数据收集和分析能力较强的优势，恣意收集和使用个人数据，导致我国企业无法竞争，国内公民的信息遭到泄露和侵害。由于各类数据控制者和处理者的相互关联关系，这些国外企业也极易直接或间接成为我国市场上不合规经营的主体，从而遭遇法律风险。

三、跨境数据流动规制企业双向合规难的原因分析

“走出去”和“引进来”的企业，跨境数据流动规制双向合规难的原因是多方面的：从国际来看，网络空间博弈愈来愈与地缘政治、产业竞争、经贸关系、网络主权、权利保护等各种议题相结合，跨境数据流动也成为当前国家地区间政策博弈最为复杂的领域之一。数据的价值和重要性决定了其被觊觎的高概率，全球数据黑色产业链日益成熟：一方面，网络信息提供者拒不履行安全管理义务;另一方面，越来越多的大数据公司非法获取计算机信息系统数据，频繁恶意利用和买卖离境数据，而各国数据保护标准不一致，造成数据在全球范围内流动缺乏安全可信的在线环境，等等。但从国内来看，缺乏“良法善治”的法治保障是最重要的原因。下面主要对国内原因加以分析：

（一）制度零散，缺乏顶层设计下的数据跨境系统规范体系

如前所述，《网络安全法》第37条和《个人信息出境安全评估办法（征求意见稿）》等，〔32 〕就关键信息基础设施数据出境提出了安全评估要求，对安全评估的责任主体、管理对象、管理要求等内容进行了限定。近年来，国内相关监管部门也开始留意和关注到数据境内留存问题，在金融、征信行业、网络车行业、网络出版和网络地图行业、医疗卫生等特殊领域，都明确要求相关数据必须首先本地化存储。比如2016年2月发布的《网络出版服务管理规定》第8条要求，“网络出版服务的相关服务器和存储设备”必须存放在中国境内。此外，还有民航、域名服务、人口健康等其他行业，不一而足。

由上述法律和部门规章共同构成的我国跨境数据流动制度零乱而不系统，仅有的一条法律规定过于简单，对哪些属于“关键信息基础设施”“重要信息”如何认定？什么是“境内收集信息”？〔33 〕哪些情形属于“境外提供”？〔34 〕都尚不明确。其余规定散落于若干行业管理规范中，制度位阶层次颇低，可操作性和协调性不足。此外，我国《个人信息保护法》至今还未出台，个人信息保护呈现严重的滞后性。《网络安全法》虽然在现有条件下加强和明确了个人信息保护方面的要求，作出了统一的基本性规定，却缺乏具体的差别化执行细则。相比欧盟，以一部数据保护法案为牵引，以基本权利保护为抓手，带动四到五部配套规范协同构成数据出境的顶层制度;再看美国，通过2010年11月第13556号行政命令，將本国各行业关于重要敏感数据管理、保护、控制的规范性文件梳理并建立统一标签，形成《非秘受控数据列表》 〔35 〕等动态监管方式，推动重要敏感数据使用、处理、保护的全流程规范化操作。欧美的立法值得我们借鉴。双向合规，首先要有顶层设计下的系统规范体系，以全流程地引导、保证企业跨境数据流动的规范性操作，减少企业合规的不确定性，降低企业的合规成本。

（二）机构不明，缺乏独立的数据跨境风险管理执法机构

良好的法律是否能够得到良好的遵守，在一定程度上依赖于法律执行监督机制的完善。数据保护主管部门、监管机构承担着对个人和企业数据保护管理与监督落实的行政职能。立法机关只能提供监管框架，而具体监管政策的选择与执行则要交给监管机构进行实践落实。

欧盟建立独立的国家数据保护机构的实践，为各国的跨境数据流动治理提供了样板。欧盟基于《一般数据保护法》第51条的相关内容，要求其成员国有义务建立国家数据保护机构（National Data Protection Authorities， DPAs）。该法要求每一个成员国必须建立一个或多个与数据保护监督相关的公共机构，负责设计和监控属地内的跨境数据流动与数据处理实施情况是否符合法律的要求。各成员国的监管机构应当在根据本法执行任务以及行使权力时保持完全的独立性。〔36 〕欧盟议会和欧洲委员会共同决定任命Wojciech Wiewiórowski为欧洲数据保护主管（European Data Protection Supervisor， EDPS），他于2019年12月6日就职，任期五年。〔37 〕欧盟2018/1725号法规 〔38 〕还规定了欧洲数据保护监督员（第六章）的职责和权力，以及作为监督机构的EDPS的机构独立性。在今天，盘点世界上217个国家的个人数据法律保护，已制定或将要制定统一的个人数据保护法的国家多达101个。其中，75个国家设立了独立的个人数据保护机构，〔39 〕并对个人数据保护机构的“独立性” 〔40 〕进行了明确的法律规定。

当前，我国统一的个人信息保护法阙如，法律未确立独立的数据保护执法机构，数据保护领域存在执法机构不明、监管职能不清等现实困境。由于长期以来我国对数据保护采取“分行业监管”的模式，各行各业的监管部门仅在各自领域内发挥监督管理职能，相关监管机构各自适用法律条文不同，具体执法标准也不统一，又没有一个统一的最终监督部门负责统筹协调。以金融信息和金融数据保护为例，中国人民银行、中国银保监会分别出台规范性文件，国家网信办出台规章，中国人民银行、中国银保监会、中国证监会以及国家网信办四个部门之间监管职责打架。再看消费者保护，市场监管总局、中国人民银行与中国银保监会的消费者权益保护局、中国证监会的投资者保护局之间权限划分不清晰，各个行政执法部门有时抢着执法、监管竞争;有时又互相推诿无人执法，出现“多头执法”“重复监管”和“监管真空”并存的监管失灵现象，导致侵犯个人数据权益和企业商业秘密的行为得不到遏制。2017年6月1日开始实施的《网络安全法》赋予国家网信部门、工业和信息化部以及公安部执法权。2019年1月至12月，中国网信办、工业和信息化部、公安部和国家市场监管总局四部门联合开展了App违法违规收集使用个人数据专项治理行动。〔41〕虽然我国已经将《个人信息保护法》和《数据安全法》列入2020年立法规划，〔42 〕而对于各行业来说，目前只有短时间内的清理整顿行动在形式上为行业发展设立了一条合法与违规的红线。从长远来看，法定的独立执法主体的缺位无法形成长效的执法机制，以保护跨境数据流动中的个人、企业乃至国家的数据权利;数据跨境企业也因为缺乏统一的管理者和执法者，致使双向合规难以保证。

（三）手段单一，缺乏完整健全的数据跨境执法流程

连接良好的法律与自觉守法之间的通道是完整通畅的执法与监管。从我国数据跨境领域来看，执法与监管还存在着“三多三少”的弊端。一是行政禁令多，综合措施少。目前我国有关部门主要以单纯行政禁令的方式，如2017年网信办发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，以及《评估指南（征求意见稿）》等规范性文件，要求企业将特定数据留存在本地，即使个人信息和重要数据确需出境，也必须遵循安全评估流程、要点和方法。〔43 〕二是运动式执法多，常规性执法少。自《网络安全法》实施以来，我国开展了多项以国家网信办牵头的个人数据保护专项整治活动。运动式执法固然能够整合不同部门监管资源，在短期内迅速提高监管效率，打击违法行为，规范市场秩序。但运动式执法的单向一维性、仓促性、滞后性、被动性、整治结果的反弹性 〔44 〕以及可能存在的对法治安定和公平原则的破坏性等弊端，使得其监管绩效往往备受诟病。〔45 〕三是事后惩罚性执法多，事前、事中预防性执法少。事后执法手段主要包括警告、停业整顿以及罚款等，且又处罚不严，对涉事企业的实际处罚与事件的危害后果往往不相匹配，不仅未对违法违规企业形成有效震慑，而且导致公众的数据安全意识普遍不强。相比欧盟在数据保护法案的全面规范之下，建立起覆盖事前、事中、事后，形成有一系列配套措施的体系化、全方位监管流程。欧盟于2018年大幅提升数据保护法令的处罚金额，GDPR对违反核心合规义务罚款的最高限额是上年度公司全球营业额的4%或2000万欧元，而其他非核心合规义务的罚款最高限额为上年度全球营业额的2%或1000万欧元。〔46 〕2018年3月19日，脸书导致5000万用户信息泄露，也就是震惊世界的剑桥公司“窃取”脸书用户信息事件，扎克伯格先后多次出席美国和欧洲议会听证会并接受质询。欧美政府不断对企业施压使扎克伯格不得不放弃脸书原有的商业模式，〔47 〕于2019年确定以加密数字货币作为新的战略突破口。相比来看，我国单一、简单的执法手段已经无法适应大数据时代的监管执法，也无法反制外国对中国企业的过度监管和不合理审查以及惩戒措施。

（四）国际争端，数据本地化政策影响中国的国际贸易谈判

跨境数据政策成为近年来国际贸易谈判中的主要议题。值得注意的是，欧盟于2018年11月14日制定有别于个人数据保护的非个人数据自由流动框架，〔48 〕它是对通用数据保护法规（GDPR）的跟进，也是欧盟推动“数字单一市场”建设的另一重要支柱，该《框架》主要宗旨在于：与网络安全一揽子计划完全一致并发挥协同增效作用的前提下，消除欧盟各成员国的数据本地化要求;确保各成员国监管机关能够及时准确地获取数据;保障云计算等服务提供者能够为专业用户自由地迁移数据。〔49 〕与此同时，跨境数据流动还频频出现在《美-韩自由贸易协定》（FTA）、升级版的《跨太平洋伙伴关系协定》（CPTPP）以及历时七年正在加速推进的《区域全面经济伙伴关系协定》（RCEP）等多项国际贸易谈判中，对跨境贸易产生重要影响。美国出于保护本国数字经济、信息产业發展，巩固较强综合国力的目的，不断在双边和多边条约中推行数据自由流动政策，并借故我国的数据本地化政策，对我国参与数据跨境规制的国际合作设置障碍。2018年中美贸易摩擦升级后，美方利用在国际组织中的影响力，继续酝酿新的贸易诉讼，不断指责中国关于“重要数据”等概念过于宽泛，不公平地限制美国在华开展云计算等高科技服务贸易。〔50 〕尽管美国的指责出于其不可告人的目的，用心叵测，但数据本地化政策极易引发国际争端，不利于为本国企业营造良好的“走出去”外部环境，这一现象还是值得我们认真反思。另外，我国缺乏跨境数据流动领域的国际互信机制，实践中较少参与跨境数据流动国际谈判机制，缺乏话语权，何谈与世界主要经济体建立起跨境数据流动方面的互信合作关系，这不利于企业的国际化发展。

四、法治保障跨境数据流动双向合规的对策建议

根据上文对“走出去”“引进来”数据跨境双向合规难的原因分析，对如何加强“良法善治”法治保障以破解困境，提出以下对策建议：

（一）科学立法，丰富提升跨境数据流动管理的价值目标，为双向合规提供法律规范体系

跨境数据流动的规范与约束须遵循法治国家精神的要求。近年来，我国加快立法构建数据跨境流动法律框架。但立法不仅仅是一个法律规范的制定过程，它首先是一个价值目标的选择过程。数据跨境流动法的价值目标有三个：一是从个人视角出发的数据权利保护目标，保障个人数据权利是欧盟数据跨境立法的核心诉求和原则;二是产业视角出发的促进数字经济发展、提高企业竞争力的目标，本着这一目标，推动数据自由流动成为美国跨境数据流动立法的根本宗旨;三是从国家视角出发的维护网络安全和数据主权的目标，对数据跨境实施本地化策略成为俄罗斯、中国等保障国家安全和公共安全的重要手段。

德国社会学家韦伯认为，权威即是建立在合法性基础之上的权力：任何权力一般都有必要为自己之正当性辩护的必要，都有必要通过诉诸其正当性之原则的、最强烈的自我辩护。〔51 〕那么，我国实施数据本地化策略正当性的依据是什么呢？那就是大数据环境下，跨境数据流动带来的巨大安全风险。一方面，社会的安全稳定在受到传统法律解释因素威胁的同时，也逐渐遭受到网络新型犯罪行为等非传统安全因素的威胁。比如，欺骗计算机的行为是否构成诈骗罪？如何预防和规制制造、散播计算机病毒行为？〔52 〕网络黑客还可能对社会的水或能源等重要基础设施发动网络攻击。比如2014年，在严重的网络攻击和恐怖袭击的威胁下，富豪影院、AMC娱乐和Cinemark影院——北美最大的三家连锁影院——随后宣布推迟放映，加拿大最大的影院公司也退出了放映。〔53 〕这些攻击都被推断来自具有一定的政府或组织背景的境外势力。另一方面，大量数据暴露在互联网上，通过大数据技术也可将工业、交通、医疗等许多领域的数据加以聚合，分析出足量的个人和企业信息。有研究者指出，美国所获得的开源情报占其情报总量的80%-90%。〔54 〕2013年，美国中央情报局的前承包商爱德华·斯诺登披露了“棱镜门”事件，暴露出美国通过一个名为PRISM的监视项目跟踪在线通信，严重损害了他国的国家利益。〔55 〕在这样的背景下，对数据进行本地化存储对于维护国家安全具有十分重要的作用。

尽管实施数据本地化策略有其正当性，但将这一策略绝对化会产生诸多负面作用。首先，数据本地化要求可能迫使企业在本地建设数据中心或分支机构，切断网络节点之间的跨境联系，相对于远程提供服务，经营成本增加。其次，在数据驱动的智能时代，数据自由流动本身会带来网络红利。在棱镜门事件发生后，一些国家政府如俄罗斯、德国等提出拟增加数据跨境流动的条件，公民的在线数据应托管在国内，这些主张依赖于免受外国政府监视、个人隐私保护、支持本地主机业发展，提升国内竞争力等好处。〔56 〕然而，数据本地化政策又有广义与狭义之分，前者对几乎所有行业的互联网用户和数据类型都实行本地化，如中国和俄罗斯等国就出台了广泛的数据本地化政策，〔57 〕这无疑客观上会限制企业，而不能选择离数据中心逻辑最为便利的位置进行存储和利用数据，与提升数据技术能力产生矛盾。再次，数据本地化会使某一市场被孤立起来，给数字经济发展带来负面影响。最后，当一国实施较为严格的数据跨境流动规制后，其他国家也可能采取相似的规制方式。特别是，美国政府试图通过在TISA（Trade in Service Agreement）等下一代地区贸易协定草案文本中加入数据本地化禁令，来实现其目标。〔58 〕不言而喻，继续坚持广泛的数据本地化政策不利于营造良好的“走出去”外部环境。因此，我国政府有必要采取一定分級保护的措施来促进数据跨境规制安全目标的实现，并最大限度地降低跨境数据本地储存的负面影响。

综上所述，数据自由流动与国家安全、公共安全是一对矛盾，如果去除了矛盾的一极，另一极也失去了生命力。也就是说，跨境数据立法的价值选择必须坚持两点论，不能是一点论;两点论又不是均衡论，而是有重点的两点论。习近平总书记于2016年4月19日在全国网络安全和信息化工作会议上指出：“网络安全是动态的而不是静态的，开放的而不是封闭的，相对的而不是绝对的。”这告诉我们，我国构建数据跨境流动法律体系应当坚持安全与发展并重的原则。数据本地化策略以国家与公共安全为主要法律价值目标，但却不是唯一目标。因此，对跨境数据流动的限制既要将企业跨境流动的各方主体纳入监管范围之内，确保政府有合适空间实现“国家与公共安全”的目标，同时也要形成开放的循环体系，从而最小化对国际贸易和经济发展产生扭曲和阻碍。换言之，数据跨境立法应将维护国家和公共安全的价值目标与服务于我国实施“大数据战略” 〔59 〕的目标，服务于我国整体经济发展的战略需要结合起来。

兼顾发展与安全的我国数据跨境立法，主要内容包括：（1）立法以单独立法为宜;（2）跨境数据流动的对象、范围;（3）数据传递的条件和传递许可，采用不同的评估和分级管理方式;（4）数据权利主体的权利与损害救济。

（二）机构创新，设立独立的跨境数据监管机构，将双向合规落到实处

设立独立机构是数据跨境流动管理的国际经验与要求。自从第一步跨境数据保护规制法规于1970年颁布实施以来，独立的数据保护署开始逐步设立并相互合作。〔60 〕根据2018年正式实施的《一般数据保护条例》第45条第2款规定，当评估某个非欧盟国家是否符合“充分性”保护程度时，将该非欧盟国家是否具有有效运作的数据保护官方机构作为是否符合标准的条件之一。〔61 〕对于亚太国家来说，经合组织于2013年通过了《跨境隐私规则体系》（Cross-Border Privacy Rules，CBPR），该体系规定选择参与CBPR系统的组织应满足三个方面的要求，其中第二个方面的要求是：任何想要加入该系统的经济体都必须拥有隐私保护机构并且该机构还必须参加跨境隐私执法安排（Cross-Border Privacy Enforcement Arrangements，CPEA）。〔62 〕对于隐私执法机构，CEPA将其界定为负责执行隐私法的任何公共机构，虽未对其独立性作明确要求，但强调其必须有权进行调查或执行强制执行程序。〔63 〕必须能够审查CBPR投诉的问题，具有一定执法权限。

独立的数据跨境监管机构，无论是执行能力还是保护效果，都更适合大数据时代的需要。我国非常有必要在将要制定的跨境数据流动法框架内新设一个独立的管理机构——全国数据保护委员会，授予该机构相应行政调查权、建议权、登记备案权、处罚权以及提起公益诉讼等权限。虽然在网络信息安全领域，我国已形成以中央网络安全和信息化委员会牵头的统一领导体制，但在个人信息保护具体工作机制层面，仍缺乏统一筹划、部署并与国际对标的独立个人信息保护执行机构。从我国实际出发，如果新设一个部级行政部门在短时间内确实有一定难度，建议也可以通过即将面世的《个人数据保护法》明确一个拥有最终监管权限的行政执法部门，如国家市场监管总局或者工业与信息化部，在分行业监管的基础上，由其负责统筹协调不同行业和领域的具体执法标准和执法权限，避免监管重叠和监管真空现象，以利于企业数据跨境流动双向合规落到实处。

（三）协同共治，构建跨境数据安全治理体系，营造良好的合规环境

构建我国数据安全治理体系，需要发挥政府、行业、企业的各自优势，实现协同共治。主要内容包括：

一是规范政府的监管行为。国家互联网信息办公室基于与其公共利益使命相称的专业技术知识，以及实现相关目标的能力，〔64 〕负责全国互联网信息内容管理工作，并负责监督管理执法。如果一个被规制的企业以遵守法律为基础导向，只是因为跨境数据流动的链条过长，无法事先预知某些环节数据失控，那么可能首先会接受规制者的建议和教育，而无须对其采用更为严格的制裁措施;而如果被规制企业属于“无良计算者”，只关注利润最大化并投机利用跨境数据流动规制中的漏洞，那么面临的惩罚措施就会相当严格，包括警告、数额惊人的罚款乃至撤销资格。〔65 〕

二是建立与完善跨境数据流动的行业自律制度。由于政府规制实施直接控制的能力有限，各国都试图引入行业协会和企业的自律规制。比如美国主张的数据规制体系就更偏重于以行业自律的形式进行自我规制与事后问责，一般通过合同产生约束力，企业加入协会即为同意接受自律规则的约束，〔66 〕以此用较为细致的合同和交易机制设计，来推动跨境数据流动自由化和国际数字市场的发展。

三是檢查、敦促企业履行保障跨境数据安全的义务。检查包括自查和协会抽查;检查、敦促的主要内容有：企业是否审慎保管其掌控的数据？是否采取了足够的安全保障措施？是否有经营行为的相关牌照？〔67 〕企业对内部员工行为是否开展及时的培训和全面的安全纪律？是否有敏锐的风险预警能力？对跨境数据，转出企业是否充分尊重数据主体的知情权？是否足够了解数据后期的存储使用情况？在企业收集数据量、处理次数、享有数据访问权限的人数以及保存数据的时长方面是否遵循最小化原则，等等。通过检查和敦促，增强企业保护个人数据权利、商业秘密和国家数据安全的责任感，提高跨境数据流动企业合规经营的自觉性，敦促企业建立起约束合作、分级分类数据管理、较为“软性”的信息和说服劝导以及保护个人数据隐私等内部机制。

（四）合作共赢，积极参与跨境数据流动国际规则制定，推动双向合规健康、可持续地开展

竞争与协同是经济系统存在和发展的一对矛盾统一体。〔68 〕在当今以贸易保护主义为主要特征的“逆全球化” 〔69 〕或“管理贸易” 〔70 〕国际形势下，我国必须清醒地认识到：以特朗普当选美国总统和英国脱欧为标志事件的“逆全球化”或“管理贸易”也不可能迫使各国回到闭关锁国的旧路，形成“新一代的数字贸易壁垒”。〔71 〕与此相反，我国应抓住促进跨境数据流动的契机，在国际经济中发挥更大的作用，承担更大的责任，最终实现角色转换。具体实践中，由于单边性措施容易引发矛盾和反制措施，我国一方面可考虑多采取双边谈判和多边磋商，借助GATS 〔72 〕、FTAAP 〔73 〕、GPEN 〔74 〕等区域谈判场景提出质疑，如欧盟GDPR规则是否在跨境数据流动方面违反GATS的最惠国待遇原则，在欧盟境内和境外实行双重标准？如何在GDPR个人隐私保护和某些国家主张的言论自由之间保持价值平衡？〔75 〕从中争取最大权利，最终寻求建立符合中国利益的跨境数据流动规则。另一方面可积极参与国际上有关跨境数据流动规则的研讨，在国际竞争的舞台上，代表中国企业利益发出中国声音。在尽快制定符合中国国情《一般个人数据保护法》的基础上，参照欧盟从顶层设计制定专门的非个人数据自由流动规则体系，〔76 〕并适当借鉴美国的做法，与欧盟签订双边或多边协定，使得数以千计的中国企业承诺遵守协议的原则，而得以在欧洲开展业务。尤其值得一提的是，在国务院2019年印发的《临港新片区总体方案》 〔77 〕中明确提出，应在国际通信设施、5G、IPv6、人工智能、生物医药、总部经济以及云计算、物联网等方面，实施国际互联网数据跨境安全有序流动。可见，临港新片区可以作为跨境数据流动对标国际规则，同时在保障数据安全基础上促进国际数据有序流动的压力测试地和最佳试验田，并在这一过程中培育行业自律，区分个人数据、企业数据和公共数据，尤其是如何促进人工智能技术自动产生数据的跨境流动，值得高度关注。〔78 〕培养一批有国际水准的企业数据保护官，在企业数据保护和利用之间形成平衡机制，积极创建促进跨境数据流动的相关行业标准、行动方案与落地机制，推动我国数据保护水平提升和相关数字产业链可持续发展。

结语

大数据时代，跨境数据流动成为世界各国竞争与合作交替进行的重要领域。正如有学者所言，数据是一种具有经济价值的商品，其价值取决于数据质量。〔79 〕因而，如何产出有质量的数据，成为数据价值实现的必要前提，在法学界努力解决有质量数据的确权难题的同时，各国数据规制的“互联网巴尔干化”和跨境数据流动自由化之间的紧张关系亦不容忽视，以双边和多边条约协定为表现形式的数据跨境合作并不能掩盖或代替国家间紧张与竞争的关系，其背后仍隐藏着经济利益或政治主张等有形或无形的诉求。因此，具有明显主权色彩或国家利益倾向的数据并非毫无约束地跨境流动，与他国实现“共享”数据必须找到正当依据。跨境数据流动规制是一个多元法律框架，很难用单一的监管理论囊括多层次的规则、参与方与执行机制。〔80 〕本国个人信息保护、经济利益保障和国家安全维护，要求国家必须以“良法善治”对承载着不同利益层次、位阶诉求的数据流动予以规范和约束，并通过独立的数据保护机构将规范落到实处，从而达到在保护本国个体、社会和国家利益的同时达到数据跨境流动与分享之间的平衡。

Abstract： In the big data environment， large-scale and complex cross-border data flows have become the norm. With regard to cross-border data flows， both "going out" and "bringing in" enterprises must meet data collection， transmission and usage requirements legislated by domestic and foreign authority in accordance with the domestic law， that is， to achieve bilateral compliance. There are many reasons for the bilateral compliance when we clarify the status quo of corporate compliance. From the domestic point of view， however，the main reason is lack of "good law and good governance" from the perspective of the rule of law. Specifically， the system is fragmented， with regard to a standardized system for cross-border data system， there is a lack of systemic design with a top down framework; the institutions are unclear， and an independent law enforcement institution for cross-border data risk management is absent; the regulatory methods are unclear， and the complete Cross-border law enforcement process is absent; international disputes resolution and data localization policies affect China's international trade negotiations. The countermeasures and suggestions for strengthening the rule of law under the guideline of "good law and good governance" to address the two-way compliance difficulties are： scientific law enactment， enrich and improve the value objectives or cross-border data flow management， and to provide a legal specification system for two-way compliance; innovatively reform institutions， establish an independent cross-border data regulator， and put two-way compliance into practice; collaborate to establish cross-border data security governance system， and create a favorable compliance environment; collaborate to achieve a win-win situation， actively participate in the formulation of international rules on cross-border data flow， and promote two-way healthy and sustainable compliance.

Key words： cross-border data flow;  data flow regulation; cross-border flow ; data security governance;  International rules for cross-border data flow;digital economy