海南自由贸易港数据跨境流动法律规制研究

陈利强 刘羿瑶

一、问题的提出

探索建设中国特色自由贸易港是党中央着眼于国际国内发展大局，深入研究、统筹考虑、科学谋划作出的重大决策，是中国扩大对外开放、积极推动经济全球化的重大举措。《中华人民共和国海南自由贸易港法(草案)》(以下简称《海南自由贸易港法(草案)》)第42条中提出海南自由贸易港建立安全有序便利的数据流动管理制度，依法保护公民、组织与数据有关的权益，扩大数据领域开放，促进以数据为关键要素的数字经济的发展。(1)参见《中华人民共和国海南自由贸易港法(草案)》第42条。《海南自由贸易港法(草案)》中的数据流动既包含数据在境内流动，也包含数据在境外流动，明确了数据流动要满足安全可控这个前提，进而扩大数据领域开放，促使数据得以充分汇聚，在此基础上培育发展数字经济。由此可见，数据跨境流动是海南自由贸易港全方位开放战略布局中的重要一环。然而，数据跨境流动中蕴含着巨大的风险。从国家角度看，其对国家安全会带来一定的威胁；从企业角度看，一些涉及商业秘密或者与贸易相关的重要数据被窃取，会给企业的经济利益造成巨大的损失；从个人角度看，个人数据在跨境流动过程中被泄露，个人隐私权等权利也会遭受损害。因此，海南自由贸易港数据跨境流动法律规制具有重要性、必要性和紧迫性。

法律规制是对数据跨境流动进行规制的必要手段，是保证数据跨境流动各个环节运行有序的必然要求，对海南自由贸易港建设具有重大意义。无论接轨国际还是体现中国特色，海南自由贸易港都尚未形成稳定、安全、高效的数据跨境流动法律规制体系，解决这一问题的根本途径是从法治层面解决立法问题。因此，本文遵循中国特色自贸(区)港法治建构主义的基本法治方式和路径，(2)陈利强：《中国特色自贸区(港)法治建构论》，人民出版社2019年版，第136页。从事权、法治、制度三个角度，为完善海南自由贸易港数据跨境流动法律规制提出法治建议，以期为海南自由贸易港数据跨境流动法律规制提供法治智力保障。

二、海南自由贸易港数据跨境流动法律规制存在的事权法治制度难题

平衡数据跨境流动的安全与数据领域的开放是海南自由贸易港数据跨境流动法律规制的价值诉求。中国在数据跨境流动规制方面尚处于起步阶段，总体上存在规制目标失衡、立法不完善、配套制度不全以及缺乏国际合作四个方面的难题。海南自由贸易港的建设在数据跨境流动领域中，既存在该领域规制难题的共性，也存在其特殊性。随着海南自由贸易港开放性的增强，数据跨境流动会愈加频繁，因而对数据跨境流动的安全性、便利性要求会更高。总体而言，海南自由贸易港数据跨境流动法律规制难题可以从“事权-法治-制度”三个层次进行剖析：一是事权厘定不清难题；二是法律体系不完善难题；三是监管制度不健全难题。

(一)事权厘定不清难题

1.国家事权与地方立法权不协调

《中华人民共和国立法法》(以下简称《立法法》)第8条规定只能制定法律的事项，其中涉及到外汇、金融、税收等领域。国家在这些事项上享有专属立法权(又称国家事权事项)。(3)参见《中华人民共和国立法法》第8条。数据作为载体承载着多领域的信息，在数据跨境流动的规制中，往往存在事权调配不当、国家事权与地方立法权不协调等问题。《中华人民共和国数据安全法(草案)》(以下简称《数据安全法(草案)》)第7条中规定国家网信部门负责统筹协调网络数据安全和相关监管工作。公安机关、国家安全机关以及重点行业主管部门依法在各自职责范围内承担数据安全监管职责，各地区、部门对各自工作中产生、汇总、加工的数据及数据安全负主体责任。(4)参见《中华人民共和国数据安全法(草案)》第7条。这条规定没有明确各部门对数据跨境流动的监管职责，国家层面在该领域亦没有对地方开展有效赋权，致使海南数据跨境流动监管部门职权分配缺少明确的法律依据，易出现部门之间要么各自为政、要么职权交叉的情况，最终导致监管工作陷入困境。

2.事权下放力度不够

海南自由贸易港要扩大数据领域开放，需要在政府数据、金融、外汇等领域有所突破，前提是需要国家层面将事权充分下放至海南。改革自主权实质是事权和管理权限。毋庸置疑，改革创新必定会牵扯到诸多部门的实际利益，调整国家事权可能会和现行法律法规出现冲突，这也是改革很难顺利推进的主要原因。事权下放难、事权厘定难、事权与立法权未协调统一会导致央地关系不协调，进而影响改革的成效。(5)参见前引注②，第2页。

3.事权调配创新不足

海南同时作为数据安全传输试点区域，应创新事权调配，协调各方，推动除政府以外主体参与。现在主要采取的是传统的政府主导下的严格控制模式，战略推行主要依靠国家权力机关，日常监管主要依靠政府部门间的协同管理。私人或者社会力量参与规制的范围和程度有限。当数据涉及到国家、社会公共利益时，为确保国家数据的安全，要求企业及个人数据权利为国家数据权力让位也在所难免，只有这样才能使得国内各项制度能顺利实施，为社会稳定运行提供保障支持。但是当数据不涉及国家安全、社会公共利益的情况下，依旧采取政府严格控制模式，会使监管效率低下，不能充分发挥企业的积极作用。(6)李凤梅、孙旗：《跨境数据流动的法律规制研究》，《辽宁行政学院学报》2019年第5期，第57页。这也是个人、企业数据权利与国家数据权力之间权衡障碍的体现，这种权衡障碍阻碍了跨境数据流动安全技术保障的形成。同时在经济活动中，作为主体地位的企业主体职责弱化，缺乏主观能动性，在经营战略中未能明确数据保护政策，未在经营过程中从人员、业务、制度等方面构建企业内部的管理机制。这些使得数据，尤其是企业数据，在最初的收集、存储、流动、使用等环节丧失了监督，不能及时发现安全风险以及防范漏洞，不能在第一时间改进。

(二)法律体系不完善难题

1.国家层面：立法碎片化

网络是数据的载体，数据是网络空间的组成部分。保障数据安全是在中国网络空间战略下展开的，然而《中华人民共和国网络安全法》(以下简称《网络安全法》)出台之后，并没有及时对数据安全进行单独立法。与数据相关的条文都散落在《中华人民共和国国家安全法》《网络安全法》《中华人民共和国电子商务法》《个人信息和重要数据出境安全评估办法(征求意见稿)》以及部分行业条例中，例如，《征信业管理条例》《地图管理条例》。直到2020年《数据安全法(草案)》出台，它开启了数据安全立法的新篇章，也标志着中国网络安全立法进入新的阶段。从国家层面看，有部分法律规范针对数据跨境流动进行了规定(见表1)，但立法不够系统化，层次感不强，整体呈现出碎片化特征。同时，立法内容具有模糊性。《网络安全法》提出“关键信息基础设施的运营者”在境内收集和产生的两个对象中的“重要数据”，《数据安全法(草案)》中也有提及“重要数据”，但对这一概念并没有给出明确的定义和标准。再比如，关于“网信部门应当统筹协调有关部门……”的规定，(7)参见《中华人民共和国网络安全法》第39条。其中有关部门没有明确究竟是哪些部门。立法模糊性在没有具体实施细则及时出台的情况下增大了司法实践的难度。中国采取的规范体系更倾向数据安全，但是未统筹建立顶层设计下的规范体系，很多情况都未给出明确解决方案，例如，数据收集之后的保障义务以及责任承担、过错责任的适用。数据跨境流动过程中在未经数据主体同意的情况下获取、利用、在境外传播数据相关的商业秘密、知识产权。国家层面的立法模糊性给海南自由贸易港在该领域的立法造成了严重的阻碍。

表1 涉及数据跨境流动相关法律规范统计表

2.地方层面：立法缺失

一方面，国家层面数据立法滞后，造成数据跨境流动领域立法较晚，地方针对数据跨境流动领域立法缺失。另一方面，虽然国家赋予海南特区立法权，根据《立法法》第90条规定，经济特区可以对法律法规进行变通性规定，(8)参见《中华人民共和国立法法》第90条。但从实践看，海南并没有充分利用特区立法权，仅制定了少量的特区法规。尽管《海南自由贸易港法(草案)》规定，海南自由贸易港法规经备案说明后，可以对现行法律或者行政法规“作变通规定”，(9)参见《中华人民共和国海南自由贸易港法(草案)》第10条。然而“变通性”立法的效果还有待实践的检验。海南自由贸易港应当避免类似弱化经济特区立法权的情况，充分利用“变通性”立法。

(三)监管体制不健全难题

1.安全评估机制缺失

《数据安全法(草案)》第三章的数据安全制度明确国家建立集中统一、高效权威的数据安全风险评估机制，提出国家要促进数据安全检测评估、认证服务的发展。数据安全评估机制一直以来被各主体所诟病。如果企业来评估，结果往往具有倾向性；如果监管机构来评估，要克服效率和效果两大难题；如果不对数据进行安全评估，更会加大数据跨境流动的监管难度以及带来更多的风险。海南自由贸易港尚需制定更高效便利的风险评估方式、更科学的评估标准。

2.监管手段单一

数据跨境流动自带风险，国家干预必不可少。中国的监管制度体系未达到覆盖数据全生命周期，未形成闭环监管体系，综合监管措施有待加强。一直以来，中国的数据监管职责以政府为主，管理手段单一。因此，有必要创新海南自由贸易港数据跨境流动的监管机制，多方主体参与监管、采取多种管理手段落实监管。

3.监管限度难把握

海南自由贸易港对数据跨境流动进行规制，不仅要注重保障数据流动自由便利，更要注意规避数据跨境带来的风险。既要保障数据安全，也要避免影响正常的贸易往来。平衡好发展与规制之间的关系，这本身就存在一定的矛盾。规制过于严格，会造成数据流动缓慢，对经济发展造成不利影响。根据有关的数据研究报告，采用限制数据跨境流动措施的国家，其实际GDP都受到一定程度的损失，如欧盟损失GDP达0.48%，中国则高达0.55%。(10)洪延青：《构建数据跨境流动安全评估框架：实现发展与安全的平衡》，《信息安全与通讯保密》2017年第2期，第41页。可见，对数据跨境流动进行规制在一定程度上成为互联网经济发展的一道枷锁。(11)胡炜：《跨境数据流动的国际法挑战及中国应对》，《社会科学家》2017年第11期，第107-112页。海南自由贸易港在监管体制机制的构建方面把握安全底线的同时，也要确保数据跨境自由流动。中国对数据流动监管相对严格，倾向保障数据安全。然而数据只有流动才能发挥更好的作用，过于严格的流动性管理，会影响其价值的发挥，在一定程度上并不利于贸易的发展，也不利于利用数据创造更多的经济价值。

三、外国数据跨境流动法律规制经验比较及借鉴

海南自由贸易港数据跨境流动法律规制必然要借鉴国际经验。虽然不同的国家对于可能出现的风险有不同的应对机制，各个机制又有不同的特点，但是都有经验脉络可循。通过对比不同规制模式(见表2)，对各国国内法不同的规制方法进行比较分析，总结数据跨境流动法律规制的发展特点与趋势，可以更加明确海南自由贸易港数据跨境流动法律规制应如何体现中国特色并接轨国际。

表2 外国数据跨境流动法律规制比较

(一)外国数据跨境流动规制的立法模式

1.统一立法模式

欧盟、俄罗斯、澳大利亚等区域组织或国家是统一立法模式的代表。欧盟对区域外的数据跨境流动采取充分保护原则，并统一立法，《通用数据保护条例》(General Data Protection Regulation，GDPR)就是典型代表。在欧盟领域内，则鼓励数据自由流动，欧盟的立法更多是从个人权利保护项下考虑。不管是《通用数据保护条例》(GDPR)还是《数据保护指令》(以下简称《指令》)，均强调保护个人权利，其中后者专门规定个人数据从欧盟领域内向非成员国转移的规则，该《指令》在个人信息保护方面产生巨大的影响。(12)参见Article 25(2) of the 1995 Data Protection Directive．其中的条款还表明欧盟委员会将根据如下四方面因素来进行判断，这四种因素具体为：一是数据性质，二是数据处理的目的，三是期间数据接收国在法治方面的情况，四是行业规则以及所采取的安全措施等。(13)冯洋：《论个人数据保护全球规则的形成路径——以欧盟充分保护原则为中心的探讨》，《浙江学刊》2018年第4期，第63-72页。GDPR在《指令》基础之上，详细地列举了充分性保护的三重标准：一是法治状况，主要指专门行业立法、综合性立法以及相关法律的实施情况，还包括对人权和基本自由的尊重程度；二是建立有效运行的专门规制机构，且该机构掌握足够的权力；三是加入强调保护个人数据的国际条约，或者是相关的多边协定并承担相应义务。(14)参见Article 45(2) of the 2016 General Data Protection Regulation．欧盟领域内形成了对数据跨境流动规制的完备法律体系，相关一系列配套措施也得以建立，全方位覆盖监管过程。

俄罗斯在国家层面出台《关于信息、信息技术和信息保护法》(Federal Law No.149-FZ on Information，Information Technologies and Data Protection)、《俄罗斯联邦个人数据法》(Federal Law No.152-FZ on Personal Data)等法律(15)黄道丽、胡文华：《全球数据本地化与跨境流动立法规制的基本格局》，《信息安全与通信保密》2019年第9期，第24-25页。要求数据本地化，通过国家统一立法明确数据本地化所遵循的基本规则，规定公民个人数据及相关数据不能进行跨境流动，且还规定在数据流动中各参与者须履行相应的信息告知义务，以及配合协助执法部门所开展的相关活动。(16)参见前引注，第110页。但这并不代表禁止数据跨境流动，如果相关主体能够符合相关的本地化法规政策，则允许部分数据的跨境流动。

澳大利亚针对数据安全围绕两层治理构架制定数据安全管理协议与五项规则，同时还制定关于特殊数据的安全政策与流程，这两层治理构架具体包括政府商业安全指令和全面保护安全政策。澳大利亚将数据分类为个人数据、政府数据以及健康数据并进行专门立法规制。针对个人隐私权，出台《1988年隐私法》(以下简称《隐私法》)，规定个人数据一般不禁止跨境流动，但是相关机构或个人应注重保护数据安全，其中涉及隐私敏感的部分不得进行商业推广。澳大利亚的《隐私法》承认相关外国规则的域外效力，并且部分与《指令》和GDPR相适应。(17)伦一：《澳大利亚跨境数据流动实践及启示》，《信息安全与通信保密》2017年第5期，第25-30页。对于特殊领域，澳大利亚也是从国家层面统一出台相应的法律，比如《个人控制的电子健康记录法》(Personally Controlled Electronic Health Record，PCEHR) 对于可识别的健康数据进行管制，要求禁止这些数据跨境流动。

2.授权立法模式

美国是典型的国家授权立法模式。没有对数据跨境流动进行统一立法，而是将规制办法分散到各行业立法中，不同的行业存在不同规则。比如，在出口环节针对关键领域的数据，出台了《出口管理条例》(Export Administration Regulations，EAR)进行限制。在医疗、金融、教育等领域中都会通过具体的法案，例如《美国健康保险携带和责任法》(Health Insurance Portability and Accountability Act /1996，Public Law 104-191，HIPAA)、《格雷姆-里奇-比利雷法案》(Gramm-Leach-Bliley Financial Modernization Act，GLBA)等。(18)付伟、于长钺：《美欧跨境数据流动管理机制研究及中国的对策建议》，《中国信息化》2017年第6期，第56页。相比国家统一立法模式，这种立法模式的背后是贸易利益的驱动，以达到鼓励数据跨境流动的目的。

(二)外国数据跨境流动规制的监管模式

1.重自由的行业自律模式

美国更加注重数据跨境流动自由，不仅立法散见各行业中，也没有统一的监管机构，具体实施机构主要集中在贸易部门，这与美国的全球贸易战略息息相关。由商务部、司法部、联邦贸易委员会等部门各司其职，各自负责不同法律的具体实施，美国的一些独立机构和委员会也承担了相应的监管职能。(19)茶洪旺、付伟、郑婷：《数据跨境流政策的国际比较与反思》，《电子政务》2019年第6期，第125页。

2.重监管的保护模式

欧盟采取更加严格的监管模式、充分保护模式，该模式主要针对区域外国家。欧盟建立专门机构进行监管，还会对域外的法治状况进行审查，GDPR要求至少每四年进行一次审查。如果不符合充分性保护的要求，则采取相应措施防止数据跨境的流动。(20)李艳华：《全球跨境数据流动的规制路径与中国抉择》，《时代法学》2019年第15期，第109页。欧盟的充分保护模式虽然一定程度上能保护数据安全，但其程序过于繁杂，且还存在认定标准高与可操作性差等问题，这些问题的存在实际阻碍了数据跨境自由流动。

俄罗斯是数据本地化模式的典型代表。其采取的是众多注重数据主权国家采取的数据本地化模式，数据本地化是指强制要求存储重要数据的这些服务器须置于本国境内。同时所出台的一些法律规定了不能进行数据跨境转移，这实际上就是要求数据本地化。(21)马蒂亚斯·鲍尔：《数据本地化的代价：经济恢复期的自损行为(摘译)》，《汕头大学学报(人文社会科学版)》2017年第5期。这种模式有利于保护俄罗斯国家数据主权与安全，但是对于外国企业来说，在俄罗斯建立自己的数据库成本高、负担重。因此，这种模式也存在不利于吸引外资的弊端。

3.平衡自由与监管的折中模式

澳大利亚为平衡相关方利益而采取折中型的规制方式。对一些特殊领域有严格的监管要求，并对数据采取分类监管方式，比如将个人健康有关的信息和数据存储在境内。澳大利亚建立了统一的监管机构，即澳大利亚信息专员办公室(Office of the Australia Information Commissioner，OAIC)，主要有以下四个监管职能：一是推广政府信息；二是保障对个人信息的处理符合《1988年隐私法》及相关的法规；三是作为政府咨询政策平台，确保澳大利亚的数据跨境流动实践接轨国际；四是监督相关机构，为各数据主体提供咨询服务。除了该机构，各州还设立相关机构对本州数据主体进行监管。总体而言，监管以平衡各方利益为导向。(22)参见前引注，第27页。

(三)外国数据跨境流动法律规制的经验借鉴

通过梳理、对比外国数据跨境流动的立法模式和监管模式，可以看出各个国家法律规制模式和路径选择不仅跟该国本身的制度体系有关，也跟该国国家战略息息相关。不同国家间有所区别主要是因为各国对于数据跨境流动规制的价值倾向不同。海南自由贸易港的数据跨境流动法律规制应该借鉴国际经验。首先，在立法方面，国家授予海南自主立法权，允许对法律进行变通。国家授权立法便于海南自由贸易港根据实际情况专项调整数据跨境流动，有利于明确权责，使监管有法可依。其次，在监管方面，外国监管机构趋向专业化。数据保护发展比较早的国家，往往都有设立专门的监管机构或者隐私保护机构。跨境数据和普通数据在数据的主体、范围、流动路径方面有差异，需要专业人员和相关机构监管，海南自由贸易港应该借鉴相关经验，建立专门的监管机构。除此之外，在外国数据跨境流动领域应注重国际合作，无论是推动区域合作协议的达成还是国际规则的制定，欧美国家在数据跨境流动领域都发挥了重要的作用，海南自由贸易港也需积极展开区域合作，提升该领域话语权。

四、破解海南自由贸易港数据跨境流动法律规制难题的建议

海南自由贸易港要想形成安全、有序、便利、开放的数据跨境流动环境，应该坚持“事权法治制度环境一体化”的方略和路径作为“改革调法”的核心理念，(23)参见前引注②，第2页。开展有效的法律规制。通过剖析海南自由贸易港数据跨境流动规制难题，明确破解海南自由贸易港数据跨境流动法律规制的核心难题在于解决立法问题。在借鉴他国有益法治经验基础上，从厘清事权分配、完善法律体系、健全监管制度的角度，为海南数据跨境流动法律规制提出法治建议。(见图1)

图1 海南自由贸易港数据跨境流动法律规制框架

(一)厘清事权分配

1.开展有效赋权

事权分配不清的重要原因在于国家层面有效赋权不足。数据跨境流动领域中国家事权尚未法治化的部分，可以根据实际情况选择由国家层面或者授权海南自由贸易港进行立法。国家事权已经法治化的部分，建议让海南自由贸易港自主进行调法修法，将改革自主权及管理权限放开并真正落到实处。对于海南自由贸易港数据流动的安全、有序、高效、便利的价值诉求，只有采取“特别授权立法模式”，才能平衡开放与监管的矛盾，实现其价值诉求。具体而言，在涉及到国家安全、重点领域的关键数据等方面，属于事权已经法治化的内容，海南自由贸易港应当在这些方面进行调法修法；其他尚未进行规定的涉及到国家事权的内容，可以授权海南自由贸易港进行自主立法。尽管近些年数据安全监管整体趋严，但如果每项政策的实施都需要中央逐一授权批准，则耗时长、成效低，(24)中国(海南)改革发展研究院：《海南自贸试验区要强化改革统筹谋划和系统集成》，《海南日报》2018年11月21日，第12版。不利于实现自由贸易港的便利化诉求。

2.厘清政企职责

数据安全管理的主管部门要明确自身的权利义务以及责任承担。对于不涉及国家安全和社会公共利益等方面的重要数据，让企业更多承担起与其数据权利相当的职责，提高数据保护意识，在经营过程中从各个方面明确、构建数据保护企业内部规则。高度重视数据保护政策，加强安全检测，定期展开合规检查，及时发现问题，不断加强防范风险的能力。在运营过程中，健全数据流动风险管控措施，提高应急处置和责任追惩的能力。政府和市场的平衡是数据跨境流动规制需要寻求的价值取向，政府的管制和行业自律相结合对数据有序的跨境流动具有重要意义。

(二)完善法律体系

1.推动国家授权立法

当前，海南自由贸易港建设过程中与数据跨境流动相关立法规范整体呈现出碎片化、模糊化、原则化的特征，数据跨境流动监管的基本制度、职能划分皆是空白状态。海南自由贸易港需要一部系统化、综合性的《中国(海南)自由贸易港数据跨境流动管理条例》，调整数据跨境流动，在海南自由贸易港内形成完善的数据跨境流动法律规范体系，进而深入推进制度集成创新，形成可复制推广的“海南经验”(见表3)。

表3 中国(海南)自由贸易港数据跨境流动规制立法修法清单

国家层面出台的《数据安全法(草案)》为自由贸易港数据保护指明了方向、奠定了基础。然而《数据安全法(草案)》并未明确数据权利的归属，数据本身具备经济性、可控性，可以作为财产，但是在数据获得的过程中，需要经过个人信息的收集以及整合，涉及到多个主体，包括数据主体、收集者、处理者、控制者等，整个过程十分复杂，很难做到让数据主体每一个环节知情同意。通常对数据收集是通过达成协议、格式条款等方式实现的，对协议和相关的约定有必要进行规范，这样才能保障数据主体的合法权益。对数据的知情权、救济权等权利，是保障数据安全的基础，只有基础性的权利得到保障，才能更好地实现规制数据跨境流动。因此，建议海南自由贸易港立法对数据确权，同时对数据分级分类进行单独立法，因为数据的分级分类至关重要，是数据跨境流动规制的基础。涉及到国家安全、重点领域、个人隐私等方面的数据在海南自由贸易港内，属于何种级别，应如何分类，应当授权海南自由贸易港自主立法确认。

海南自由贸易港法是以制度的形式确定三对关系，分别是中央与地方、政府与市场、对外开放与风险防控，同时与海南自由贸易港长远发展相关的重大问题也应加以确定，为海南改革集成优势的发挥、新时代中国特色社会主义生动范例的打造创造条件，推动海南自由贸易港健康、可持续的发展。(25)刘锋：《南财快评之专家看两会：制定海南自由贸易港法意义重大》来源：http：//finance.sina.com.cn/china/2020-05-26/doc-iirczymk3613068.shtml，2021年1月访问。《海南自由贸易港法(草案)》从国家层面为海南单独立法，体现出中国继续扩大对外开放，积极建设海南自由贸易港的信念。《海南自由贸易港法(草案)》是海南自由贸易港建设的“基本法”和总纲领，对数据跨境流动法律规制作出有方向的指引，为后续相关规则的制定提供依据。建议其增加对数据跨境流动的规定，增加对其安全性要求的表述。

2.加强地方自主立法

根据《海南自由贸易港法(草案)》第10条，海南可以根据实际情况，对法律法规做出变通规定，但需要说明情况。(26)参见《海南自由贸易港法(草案)》第10条。因此，在构建数据跨境流动安全制度方面，海南应该充分利用地方立法权，针对自由贸易港建设的方向和目标制定相适应的数据跨境流动规则，将改革自主权及管理权限放开并真正落到实处。海南政府、行业主管部门、行业协会等自律组织，应该遵循最高层级的立法方向，以问题为导向，全面厘清数据跨境流动治理规范的缺失和漏洞，探索制定相配套的、可操作性强的实施细则，通过综合监管全覆盖、政府高效协调、行业严格自律，保障法律法规顺利实施。

依托信用制度体系，建议设立《海南自由贸易港数据跨境流动黑白名单》。对数据跨境流动过程中存在过违法情况的主体，应当重点监管，限制或者禁止其继续处理数据的资格。信用等级较高的，根据中国与相关国家或者区域的具体制度安排，依据对等原则，可将其纳入自由传输的范畴。在国家数据跨境传输安全管理制度框架下构建保障数据安全且便于数据流动的机制，探索更为便捷合理的企业、个人信息数据安全出境评估办法，实现企业、个人数据入境制度性的有效对接。结合具体实际探索加入区域性国际数据跨境流动的制度安排，使得数据传输的便利性能真正实现。

(三)健全监管体制

1.统一数据风险评估和认证标准

在海南自由贸易港数据分级分类立法基础上，细化出境安全评估规定。根据数据分级分类，制定不同的出境规则以及出现多种数据混合、界限模糊时候的处理规则。需要进一步明确进行数据安全评估的评估机构、评估程序等事项。由于数据出境活动具有隐秘性、连续性，需要构建综合督查制度，积极开展针对数据出境的监督检查，实施抽查与定期检查相结合，发现问题要严厉处罚并及时整改。此外，还需注重技管结合，依托于相关技术来管理网上数据出境活动，通过技术手段来监测，若发现问题则及时监督整改。根据数据风险评估，对涉及国家安全、社会公共重大利益的数据，应该进行最严厉的管控，可以要求本地化存储，或有条件的禁止跨境流动；而未涉及国家、社会重大利益的数据，根据相关法律法规规制，依情况采取较为宽松的制度，这样更加有利于海南数字经济的发展。

2.采取多元手段综合监管

要使数据安全有序流动，监管是最关键的环节。习近平总书记强调“放得开”的前提是要“管得住”，要对建设海南自由贸易港的安全把好关。在整体的建设过程中，某些行业和领域出现一部分风险是正常的，但不能是重大风险，更不能进入“一放就乱、一乱就收、一管就死”的怪圈。海南自由贸易港中的“自由”是有限度的，其底线就是不发生系统性风险。因此，“管”的能力和“放”的空间是成正比的。在重大的措施落实之前，应当开展风险评估，及时弥补监管漏洞，扎紧制度的“篱笆”。要充分运用法治手段、结合市场规则以及契约精神等多元化的方式来代替行政命令式单一手段的监管，以提高“管”的能力以及“管”的精准度。(27)何立峰：《海南自由贸易港建设过程中，不能出现重大风险》，《人民日报》2020年6月2日，第6版。充分调动企业、社会团体和公民的积极性，鼓励行业监督机制的构建，鼓励行业协会、商会等设立调解组织和机构主要负责解决各利益相关方在跨境数据流动过程中所引发的纠纷问题。建立信息点以及时就相关问题公开征询各利益方的意见，确保所出台的相关政策能真正考虑各利益相关方存在的实际诉求，作为政府管理的有效补充，并提高政府管理的效率。

3.加强国际区域合作交流

《海南自由贸易港法(草案)》第42条指出国家支持海南自由贸易港探索加入区域性国际数据跨境流动制度安排。(28)参见《海南自由贸易港法(草案)》第42条。海南应积极推动形成区域跨境数据流动协定，(29)张生：《国际投资法框架下的跨境数据流动：保护、例外和挑战》，《当代法学》2019年第5期。积极参与国际数据跨境流动合作机制。在数字经济蓬勃发展的国际环境下，国家各自推行单边规则，他国被动接受，很容易产生冲突，不利于国家间经贸合作。因此，中国不能被动接受，而应积极参与研讨和制定数据跨境流动国际规则，充分利用“一带一路”、博鳌亚洲论坛、上合峰会等契机，推动区域性多边规则的协商，针对数据跨境流动安全制定相应的标准及规则。增强在跨境数据流动领域的国际话语权，树立大国形象，推动海南自由贸易港的数据跨境流动便利化。