论区块链背景下数据跨境流动的规制路径及中国应对

马琳琳

[摘 要]在数字经济时代，数据跨境流动风险积聚。区块链技术的发展一方面为健全数据跨境流动体系提供了有力的技术保障，另一方面也给传统法律监管带来了挑战。习近平总书记承诺“中国开放的大门只会越来越大”，同时要求把区块链作为核心技术自主创新的重要突破口。我国数据跨境流动仍存在立法和实践上的不足。面对上述国际国内局势，我国的应对路径是：完善数据保护立法，建立科学系统的法律规制体系;合理利用区块链技术，加强监管科技的发展;提高企业的合规遵从性，推进行业自律制度的建设;开展国际合作，积极参与国际规则和国际条约的制定。

[关键词] 数据跨境流动; 区块链; 规制路径; 中国应对

[中国分类号] TP311          [文献标识码] A          [文章编号] 2095-3283（2020）05-0035-05

Abstract： In the era of digital economy， the risk of cross-border flow of data accumulates.On the one hand， the development of block chain technology provides a strong technical guarantee for improving the cross-border data flow system， on the other hand， it also brings challenges to traditional legal supervision.General secretary xi jinping has promised that "China's door to the world will only open wider" and called for blockchain as an important breakthrough in independent innovation of core technologies.There are still shortcomings in legislation and practice in the cross-border flow of data in China.In the face of the above international and domestic situations， the countermeasures of China are as follows： perfecting data protection legislation， establishing scientific and systematic legal regulation system;Reasonable use of block chain technology to strengthen the development of monitoring technology;Improve the compliance of enterprises and promote the construction of industry self-discipline system;Carry out international cooperation and actively participate in the formulation of international rules.

Key Words： Data Cross-border Flow Regulation; Block Chain; International Regulatory Path; China's Response

在数字经济时代和经济全球化格局下，数字产业成为世界经济新的增长点，数据的跨境流动开启了全球化的新时代，全球GDP在十多年的时间里以10%的速度增长。①与此同时，愈发频繁的数据跨境流动也给国家安全和社会安全以及个人信息安全带来了新的风险。区块链技术的发展为数据跨境流动规制带来了技术支持，但也带来了崭新的挑战。新兴的区块链技术会如何影响数据跨境流动的规制？在此局势下我国应当如何选择适合中国国情的数据跨境流动的规制路径？本文从数据跨境流动的缘由加以探索，解析相应的区块链技术，通过分析欧盟两国的规制路径，试图探讨中国在现时代和区块链背景下对数据跨境流动规制的应对路径。

一、规制数据跨境流动的缘由

（一）数据跨境流动的定义

20世纪70年代，经济合作与发展组织（OECD）科学技术政策委员会（CSTP）下设的计算机应用工作组（CUG）首次提出“数据跨境流动”的概念[1]。随后，OECD于1985年发布了《数据跨境流动宣言》，首次对数据跨境流动做出法律解释：“计算机化的数据或者信息在国际层面的流动”[2]。联合国跨国公司中心做出的定义为：“跨越国界对机器可读的数据进行处理、存储和读取等活动”[3]。美国国会的报告将其界定为：“跨越国境对计算机中的电子数据进行处理和存储的行为”[4]。综上，将数据跨境流动作出如下理解：第一，主体是可被识别的数据。此数据与信息是同一含义，其中具有公权属性的政府数据基本不用做商业化活动，因此用来跨境流动的数据主要是个人数据。绝大多数的文献将“数据”与“信息”视为一体，以“跨境数据流动”代指“个人数据跨境流动”。第二，数据流动需突破地理边界。数据跨境流动旨在实现数据出口国与数据进口國平衡好数据保护和数据自由流动之间的界限，在维护自身权益不受侵害的前提下实现利益最大化[5]。第三，对数据要进行一定的处理储存等相关操作。数据跨境流动的主要方式和目的是数据收集者和处理者将数据提供给第三方，第三方访问数据取得利益，具体表现在跨境金融、跨境电商、跨境医疗等各项国际贸易活动中。

（二）数据跨境流动规制的源起

1969年，阿帕网在美国建立，现代计算机网络诞生，数据开始有大规模收集和传输的媒介。1973年，挪威对美国阿帕网的接入标志着人类历史上第一次实现了数据跨境流动，随后，随着万维网协议的诞生，互联网技术开始走向商业化，极大地推进了经济全球化的发展，各国之间的经济交往日趋密切，大量数据在网络空间中进行流转。其中涉及国家安全和国家秘密的数据、关键性企业数据以及敏感性个人数据也毫无避免的在境外进行流动，直接给国家安全、社会公共安全及个人隐私造成威胁，成为各国关注的焦点。研究跨境数据流动的法律规制路径，成为各国避免数据风险必然的选择。1973年颁布的《瑞典数据保护法》，是全球范围内首个限制个人数据跨境流动的法律，自此开启了数据跨境流动规制的篇章。

（三）新时期数据跨境流动风险积聚

经济全球化的时代，全球数据爆发增长，数字经济快速扩张，数据跨境流动日益活跃，遍及国家管理、经济和社会发展等多个方面。与此同时，数据本身的普遍性、传播的及时性、空间的开放性和技术的先进性对国家安全、公共安全和个人信息安全带来了严重的威胁，各种各样的新风险逐步显现。

1.国家和公共安全

当下社会的安全稳定不仅受到政治安全、军事安全等传统安全因素的威胁，信息安全、文化安全等非传统安全因素越来越多地涌出水面。例如，伊朗布什尔核电站因为遭到面向工业系统的震网Stuxnet病毒入侵而推迟启动H1，严重破坏工业系统，造成了巨额损失。又如，2014年11月，名为“和平卫士”（Guardians of Peace）的黑客组织将索尼影业员工电邮公之于众，其中涉及了索尼非发行电影拷贝和公司高管薪酬等涉密内容，该网络攻击被美国情报专家认为是获得朝鲜政府资助的行为[6]。再者，智能化终端被广泛应用，收集汇聚了大量外界数据信息。近些年大数据技术迅速发展，经过其处理和加工，本国的重要信息即可显露从而被他国掌握。美国联邦调查局和国家安全局研究人员指出，占美国情报总量80%—90%的开源情报是利用收集的公开数据分析所获得的[7]。2013年，斯诺登披露“棱镜门”事件，针对美国主要的9个网络服务供应商所有的数据信息进行实施跟踪监控，显示出美国通过大数据获取他国的情报，这让很多国家开始重新思考在大数据时代中，如何保障数据主权，以保障国家安全利益和国家主权。

2.个人信息安全

在全球化经济发展过程中，伴随着云计算和大数据的广泛运用，愈来愈多的个人信息被上传到网络，各企业提取出来自于各个国家的个人信息，进行集中储存和处理，从而分析了解不同类型用户的业务需求，以此提高自身生产力，增强企业竞争优势和创新能力。但是对个人数据的收集、分析和使用的过程中难以避免对个人生活造成干预，并且企业对数据的控制能力低下，容易受到攻击导致大规模的信息泄露事件。例如，2011年，索尼因为PlayStation Network 泄露用户个人信息的安全事故而遭到全球起诉，黑客可能到去了7700万用户的姓名、地址设置信用卡详细资料。②2016年，全球也发生过数期网络信息泄露事件，包括俄国网络黑客盗取 2.73 亿用户的邮箱信息、时代华纳30万名客户数据被泄露、苹果 App Store 上千应用存在漏洞、318家凯悦连锁酒店客户信息被窃取、土耳其现 5000w公民信息泄露事件、Verizon 150 万客户记录遭泄露、20 万儿童信息被打包出售、学信网数据泄露等。

3.技术服务安全

一方面，大数据的应用依赖着网络技术，网络技术的崩溃将直接影响相关企业运行。2015年9月 ，推特、阿里云和亚马逊云服务等一系列重要服务接连宕机，使用 AWS 服务器进行运营的网站以及网飞、空中食宿等重要企业都受到了影响。另一方面，网络“黑客”通过电信诈骗、木马病毒以及钓鱼网站等网络技术进行违法犯罪行为，并且多通过境外服务器加以操作或者直接在境外实施对境内的活动，以此增加侦破案件的难度，企图逃避法律规制。随着网络技术发展的不断先进，以及数据价值不断提高，网络黑灰产的攻击者从单独的黑客发展到具有特定目标的专业团体，攻击目标从个人设备扩展到包括关键信息基础设施在内的各类网络终端、设备和软硬盘，攻击方式不断升级，呈现多样化、智能化、隐蔽化趋势[8]。

二、区块链技术对跨境数据流动规制的影响

（一）区块链技术的概念及特点

《2018年中国区块链产业白皮书》中将区块链定义为：区块链是一种由多方共同维护，使用密码学保证传输和访问安全，能够实现数据一致储存、难以篡改、防止抵赖的几项技术，也叫做分布式账本。③总结来说，区块链技术具有如下特点：第一，去中心化。区块链突破了传统的依赖中心节点的信息验证模式，使用集成算法和技术的信任构建机制，实现去中心化。第二，信息不可篡改。区块链以密码学的方法加密，除非能够同时控制住系统中超过51%的节点，否则无法识别任何节点自行修改数据的指示，因此，整个网络形成了一张紧密的大网，信息难以被轻易篡改，区块链的数据稳定性和可靠性极高。第三，开放性。系统是对外开放的，除了涉及到交易各方的商业秘密等私有信息被加密外，任何人都可以通过公开的接口查询区块链数据，开发相关的应用，整个系统信息高度透明。区块链的核心功能是搭建信任机制。由于节点之间的交互遵循固定的算法，任何人都无法干预，并且无须公开自己身份，使得对人的信任改成对机器的信任，因此，人们可以构建在没有中介辅助下的多个参与方进行价值交付、资产交易网络，通过建立执行智能合约，促进契约关系和规则的履行和维护，降低信用建立成本，创造良好有序的市场环境。

（二）区块链技术是健全数据流通体系的有效技术保障

1.加密技术和储存方式是提高数据安全性的有效保障

区块链技术通过非对称加密算法，达成数学共识，使用分布式储存方式，要求系统内所有节点对已验证的数据进行存储备份，实现去中心化，确保每笔交易的数字记录的完全一致，并实现记录储存的永恒性，彻底消除数据篡改和删除的可能。④再者，加密货币的存在形式在技术层面保证了信息的真实性。在公开链中，现有数据是完全透明的，任何网络用户均可访问，建立具有恒定客观的“分布式共享加密数据库”，其存在的公共信息存储库性质简化现有的信息记录和储存模式，不再需要国家或者第三方中介等中央机构来确保数据的精确性，而是直接实现人际点对点社会合作。这预示着當事方在去中心化计算网络中建立“计算信任”来保障交易安全，区块链代表了“从信任人到信任数学的转变”。[9]同时，由于比特币和以太坊节点数目众多，而且没有一个领袖节点，对其发起DDoS攻击和51%攻击的几率大大降低，保障了数据的稳定性和可靠性。另一方面，利用混币原理、环签名、同态加密、零知识证明等加密技术，推动隐私数据保护的实现。

2.共识机制推动大数据权益体系建立

在去中心化的分布式对等网络中，所有节点均有权利也有机会保存数据，并获取区块构建的能力，这为区块链技术提供了强大的共识机制，这种共识机制确保了区块链体系中的每个节点都能识别区块的构建和发展。基于共识机制，在数据资源产生或流通之前，正确有效地绑定并登记存储确权信息和数据资源，这样全网节点可同时验证确权信息的有效性，并识别数据资产的权利所属者。通过对权利数据的确认，建立全新的、可信赖的大数据权益体系，为数据交易、公共数据开放以及个人数据保护提供技术支持，为维护数据主权提供有力保障。同時，全自动化智能合约在数据确权中发挥着重要的作用，在使用大数据建立应用程序的时候，可以使用合约预先确定确已分配方案，而在大数据系统获取权益的时候，直接激活智能合约来进行利益分配，避免纠纷。对于数据资产权利的确认，区块链技术已经被证明是一个用于存储永久性价值数据的理想解决方案，并已经被应用于真实性验证、股权交易、土地所有权等现实场景中。

3.全记录的区块数据可为数据监督与管理提供新手段

区块链技术本质上是一个不可篡改的分布式数据库。在比特币等典型的区块链数据结构中，庞大的区块数据集合包含了每一笔数据交易的全部历史，可以实现对数据资源流转的全生命周期记录。该特性使得区块链技术实现了数据交易过程的可追溯性，便于监管流通过程中的数据，为政府和行业部门控制非法数据的使用和交易提供了有效手段。英国的布莱克特评论说：“利用法律和技术代码之间的交互关系是有可能的。例如，可以通过法律和技术的结合来实现公共监管，改变现有的单一监管模式。事实上，我们可以利用技术代码来确保监管对象遵守法律，同时降低相应成本。这是利用科技加强监管的‘范例之一。”⑤例如，R3的Corda项目是区块链监管科技的代表之一，R3宣布与 Axoni 公司、瑞士信贷公司、联博（AB）公司以及汇丰银行等 7 家公司合作，共同建立一个以区块链技术为支撑的高效自动化信息处理系统，跟踪金融业不清晰、不准确的参考数据，确保金融市场的良好运作。再如，洪都拉斯新任政府利用区块链技术建立土地产权登记备案机制，解决了贪官污吏利用不准确、不完善的土地和商事登记记录侵占公民财产的问题。

（三）区块链给传统跨境数据法律监管带来挑战

区块链网络的分布式性质在给数据监管带来了新的手段，也给传统法律监管带来了挑战。由于区块链运行的网络本质上是去中心化和分布式的，在全球范围内广泛分布的网络节点中建立共享分类账，各节点存储的分类账完全相同，这就使得国家很难成为公共区块链的有效监管主体。此外，若要干预区块链网络，就需要以整个网络作为对象，不可能像以前那样追究单个组织或个人的责任，且网络空间的参与者身份不明，流动性强，随时可以转移到其他地区，因此，法律难以实施有效地约束。

一方面，区块链技术为数据跨境流动提供了有效的技术保障。其去中心化特性加强了陌生人之间的信任，在全球性市场交易中起到了强有力的促进作用;数据的可溯源性，促进监管科技的发展，为跨境数据流动的监管和管理提供了新手段。另一方面，区块链技术的分布式性质冲击了传统法律监管，个人数据的收集、储存和传输等行为已经超越国家和地域界限，现行的欧盟以地理区域为基准的规制路径和美国的行业自律模式必将直接受到冲击，数据跨境流动规制势必要进行创新与升级。

三、我国跨境数据流动规制的现状及应对路径

（一）我国跨境数据流动规制现状

习近平总书记在第二届中国国际进口博览会上承诺“中国开放的大门只会越来越大”，并表示会继续扩大市场开放、完善开放格局、优化营商环境、深化多双边合作和推进共建“一带一路”。⑥近些年，随着改革开放给跨境电商带来的广阔的发展空间，越来越多的中国企业尝试拓展海外业务，成长为全球企业，开始探索“走出去”的道路。同时，中国作为世界第一大消费市场，随着《外商投资法》的颁布，营商环境的不断改善，势必会引入大量外商到中国投资，越来越多的外国企业“引进来”，我国经济实力的增强和科技水平的不断提高，我国对数据流动的需求逐渐增加。同时，习近平总书记提出，区块链技术的综合应用在新的技术革新和产业变革中发挥着重要作用。我们要把区块链作为核心技术自主创新的重要突破口，明确主攻方向，加大投入力度，着力攻克一批关键核心技术，加快推进区块链技术和产业创新发展。⑦

我国数据安全法律制度研究中仍存在如下问题：一是立法的分散性、抽象性，缺乏体系性，对于个人数据权利属性定位不清。二是法律制度不完善，监管方式单一，尚未充分利用监管科技。三是现有法律规则过于抽象，可实施性较低，对数据进行安全等级评估的规定过于笼统。

（二）区块链背景下我国跨境数据流动规制的应对路径

1.完善数据保护立法，建立科学系统的法律规制体系

首先，要完善国内基础性立法，为个人数据保护和跨境数据流动提供法律依据。健全个人数据保护体系，由全国人大常委会制定出台综合完整性的《个人数据保护法》或者《个人信息保护法》，明确个人数据权利定性和归属，提高个人数据保护权的立法位阶，同时完善相应的配套法律法规和部门规章，通过自上而下的合理立法，完善个人数据保护体系，细化个人数据跨境流动规则，平衡个人数据保护与数据跨境流动的利益对比。[10]其次，对数据进行合理分类，对不同数据采取不同的管理模式：严格限制涉及国家安全和国家秘密的数据，要求其必须储存在境内的数据中心;条件限制政府和公共部门掌握的其他数据，在确保安全的条件之下允许跨境流动;将个人数据划分为敏感数据和一般数据，除非满足严格的评估条件或经过数据主体同意的基础，否则禁止敏感数据的流动。[11]再者，制定统一客观的安全评估办法，确定具体的评估内容和科学高效的评估程序，同时要兼顾评估和执法的灵活性，促使行政机构严格依法办事，维护本国市场的稳定发展。

2.合理利用区块链技术，推进监管科技发展

在互联网技术和区块链技术日新月异的当下，数据收集突破了数据主体对个人数据的控制，必将无法完全限制数据在境外储存和处理。区块链作为一项通用的技术，能够帮助传统的法律制度解决这一问题，近期已经有开发者尝试控制区块链系统的能力，使其成为维护法律规范和法律适用的工具，也就是所称为的“监管科技”（RegTech）[12]。我国的区块链技术发展位于世界前列，应当积极通过利用成熟的技术帮助监管主体获得实时交易信息，加强监管力度。目前我国国内一家公司运营实践中，利用大数据及区块链技术支撑数据安全、数据交易、数据确權、隐私保护以及数据资产化等业务。同时利用法律和技术代码的交互关系，通过将法律和技术代码的结合来实现公共监管，改变目前仅依靠法律的单一监管模式。此外，可以利用技术代码来确保监管对象遵守法律，更加高效地执行规定参与者和使用者应当履行的责任和义务，降低相应成本。

3。提高企业的合规遵从性，推动行业自律制度建设

规制数据跨境流动，除了完善立法和加强公权力监管之外，企业作为数据的主要收集者和控制者，同样发挥着重要作用。借鉴美国“问责制”原则，各行业根据自身实际情况选择特定的数据保护标准，确定个人数据保障义务，并通过行业规章加以具体落实。企业应当充分考虑如下内容：获取数据的途径是否合法合规？处理数据时是否保障数据的真实性和安全性？是否采取了足够的安全保障措施审慎保管掌握的数据？数据跨境流动时是否保障了数据主体的知情权？数据接收国的法律能否做到对跨境流动的数据进行安全保障？一旦被侵权能得到有力救济？等等。相对于处罚和救济的事后监管，风险事先预防实施成本低，效果明显。我国的企业自律传统和自律文化相对较低，可以借鉴CBPRs尝试设立激励机制，鼓励企业进行数据安全评估，并定期向社会公布评估报告。[13]

4.开展国际合作，积极参与国际规则或条约制定

在互联、协作、开放和共享的时代主题下，加强全球化跨境数据流动规制合作成为促进国际沟通交流的一种重要方式。目前由于各国规制路径差别较大，在全球范围内尚未形成统一的关于跨境数据流动的国际规则或条约规范。我国作为全球第二大经济体，应当积极主动签订双边协议和多边协议，参与跨境数据流动规制的规则制定，树立与我国国际地位相匹配的数据大国形象。一方面，通过洽签合作协议以及加入CBPR体系，新球建立符合中国立于的跨境数据流动规则。中国是APEC的成员国，有可能也有必要加入CBPR体系，打开在亚太地区开展跨境数字产品贸易和服务的大门，增强国际市场对中国企业的信任。同时，随着中国企业对个人数据保护的提高，可以效仿欧美《隐私盾协议》，与欧盟等重要经济体签署合作协议，构建国际互信合作机制。另一方面，随着我国在国际社会地位的提高，应争取成为跨境数据流动国际规则的制定者，可利用“一带一路”倡议、博鳌论坛、亚洲基础设施开发银行等由中国主导的国际平台，联合有共同利益诉求的国家，制定区域性跨境数据流动的合作机制，增强中国的话语权。

四、结语

随着数字经济的快速扩张，数据跨境流动在新时期对国家安全、个人信息安全和技术安全带来了新的风险。区块链技术的发展，必将健全数据流通体系，其加密技术和储存方式是提高数据安全性的有效保障，共识机制推动大数据权益体系建立，全记录的区块数据可为数据监督与管理提供新手段。与此同时，其分布式和去中心性给传统法律监管带来了新的挑战，在一定程度上冲击到数据跨境流动规制的两大模式：欧盟以地理区域为基准的规制路径和美国的行业自律模式。中国的数据跨境流动规制仍存在缺陷和不足，在此国内外局势下，应当从如下几个方面努力：第一，完善数据保护立法，建立科学系统的法律规制体系;第二，合理利用区块链技术，加强监管科技的发展;第三，提高企业的合规遵从性，推进行业自律制度的建设;第四，开展国际合作，积极参与国际规则或条约的制定。

[注释]

①https： / /www.mckinsey.com / business-functions / digital-mckinsey / our-insights / digital-globalization-the-new-era-of-global-flows.

②http：// www.reuters.com / article / us -sony -stoldendata -idUSTE73P6WB20110426.

③https：//baike.so.com/doc/7904080-8178175.html

④See Walch， Angela （2017）“Open Source Operational Risk： Should Public Blockchains Serve as Financial Market Infrastruc-tures？”In David Lee Kuo Chuen and Robert H Deng（eds.）， Handbook of Digital Banking & Internet Finance， Volume 2， forth-coming. Werbach 指出，不变性并不总是有利于信任，因为它会提供错误的信心。特别是，区块链保证交易记录准确且只记录一次：区块链不能保证进行交易的人是私钥的合法所有者，也不能保证其他因素。Kevin Werbach（2016）‘Trustless Trust.SSRN Network， accessed 9 June 2018.

⑤The UKs Chief Scientific Adviser refers‘RegTechas encompassing‘any technological innovation that can be applied to or usedin regulation， typically to improve efficiency and transparencyGovernment Office for Science（2015）Fintech Futures： The UK asa World Leader in Financial Technologies. London， 47.

⑥习近平2019年11月5日在第二届中国国际进口博览会开幕式的主旨演讲。

⑦习近平2019年10月25日主持十九届中共中央政治局第十八次集体学习时的讲话。

[参考文献]

[1]G.Russell Pipe，International Information Policy： Evolution of Trans-border Data Flows Issues[M].Telematics and Informatics， 1984：409.

[2] OECD Declaration on Transborder Data Flows.Oecd Digital Economy Papers，1985.

[3]UNCTC.Transnational Corporations and Transborder DataFlows[M]..New York：United National Center on Transna-tional Corporations，1982：8.

[4]Congress of the U.S.. International Barriers to Data Flows：Staff Background Report[M]..Washington： GovernmentPrinting Office，1982.

[5]李艳华.全球跨境数据流动的规制路径与中国抉择[J].时代法学，2019，17（5）：106-116.

[6]高山行，刘伟奇.数据跨境流动规制及其应对——对《网络安全法》第三十七条的讨论[J].西安交通大学学报（社会科学版），2017，37（2）：85-91.

[7]陈左宁，王广益，胡苏太，韦海亮.大数据安全与自主可控[J].科学通报，2015，60（Z1）：427-432.

[8]李凤梅，孙旗.跨境数据流动的法律规制研究[J].辽宁行政学院学报，2019（5）：54-58.

[9]王娟娟，宋恺.数据跨境流动的风险分析及对策建議[J].信息通信技术与政策，2019（7）：65-68.

[10]韩静雅.跨境数据流动国际规制的焦点问题分析[J].河北法学，2016，34（10）：170-178.

[11]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].互联网金融法律评论，2015（2）：16-21.

[12]凯伦·杨，林少伟.区块链监管：“法律”与“自律”之争[J].东方法学，2019（3）：121-136.

[13]黄道丽，张敏.大数据背景下我国个人数据法律保护模式分析[J].中国信息安全，2015（6）：111-116.

（责任编辑：顾晓滨 马 琳）