欧盟跨境数据流动规制模式分析与启示

王 倩，刘杨钺，牛 昊

随着全球数据的爆发式增长与大规模跨境流动，越来越多的数据泄露、窃取、滥用等事件引发了世界各国对数据安全的关注和担忧，日益重视对跨境数据流动进行管控与规制。在这一过程中，欧盟形成了独具特色、安全高效的立法规制模式，其既对全球数据安全整体环境产生深刻影响，也对我国构建符合国家利益与安全需要的数据治理体系有着重要借鉴意义。本文试图在阐述跨境数据流动规制必要性的基础上，对欧盟跨境数据流动规制的历史沿革进行梳理，总结其主要特点，分析我国跨境数据流动规制现状，为我国跨境数据流动规制提供建设性意见。

一、跨境数据流动规制的必要性

在跨境数据流动影响人类世界安全稳定之前，其概念早已出现。虽然国际上并没有对“跨境数据流动”这一概念进行统一规定，但综合来看，其具有个人数据能够被除本国外的其他主体获取和使用且不仅仅局限于是否存储于本国这一条件的特点。因此，基于以往的研究与历史材料，本文将跨境数据流动定义为：个人数据无论是存储在国内，还是实际上以跨越国界的形式存在，只要能够被境外主体获取并使用就可以称为跨境数据流动。数据本身具有规模海量、流转快速、类型多样、价值巨大等特征①张莉.数据治理与数据安全［M］.北京：人民邮电出版社，2020：5.，其在促进人类社会发展的同时，人们很难实现对其完全意义上的控制。跨境数据流动在带来经济红利的同时，也对国家、企业和个人安全造成极大威胁。为了防范数据泄露造成的严重后果，维护数据安全，同时寻求国际网络空间话语权，提升综合国力，对跨境数据流动进行规制成为各个国家和地区的必要之举。

（一）直接动力：防范数据泄露产生的严重后果

在“斯诺登事件”之前，全球跨境数据流动基本处于自由流动的状态，各国享受着数据跨境流动带来的巨额收益，对数据的监管和规制并未给予高度重视。随着该事件的出现，全球各国意识到跨境数据为各国带来高额红利的同时，也蕴含着巨大风险，尤其是某些关键重要数据的泄露，不仅会使各国经济遭受致命打击，而且会严重威胁国家主权、安全与发展利益。2021 年2 月发布的第47次《中国互联网络发展状况统计报告》显示，截至2020年12月，国家计算机网络应急技术处理协调中心（CNCERT）监测发现我国境内被篡改的网站数量为243709个；我国境内被植入后门的网站数量为61948个，其中被植入后门的政府网站数量为276个①第47 次《中国互联网络发展状况统计报告》［R/OL］.（2021-02-03）［2021-12-20］.http：//www.cac.gov.cn/2021-02/03/c_1613923423079314.htm.。跨境数据安全尤其是跨境数据泄露展现出巨大威胁：公民数据被他国所窃取、利用，个人隐私受到侵犯；国家数据被泄露，对一国的政治安全和经济安全构成了巨大威胁，严重侵害了受害国的国家主权、安全和发展利益。

（二）外在动力：提升国际网络空间制度性话语权

随着互联网技术的高速发展，网络空间成为继陆地、海洋、太空、外太空之外的“第五空间”②苗绘.GDPR跨境数据流动规则研究［D］.郑州：郑州大学，2020.，为全球发展带来了高额利润和重大机遇。当前，各国纷纷将目光转向网络空间，力图在此领域独占鳌头，争夺话语权。一方面，各国在网络空间领域的发展除了面临技术上的难题之外，必然会受到美国这个超级大国的威胁与遏制。“斯诺登事件”所暴露出的大型网络监视行动，对于美国而言早已成为其用来控制网络空间主导权的惯用伎俩。依靠其先进的互联网技术和管理方法，美国掌握着全球绝大部分互联网的控制权。当前全球IPv4 根服务器一共有13 台，1 台为主根服务器（在美国），其余12台为辅根服务器（其中9 台在美国、2 台在欧洲、1 台在日本）③陈静.国内域名系统建设“软硬”兼备［N］.经济日报，2019-07-04（07）.。另一方面，互联网技术相对处于劣势但立法体系相对成熟的欧盟，正试图通过统一立法等措施构建区域性单一数字市场。Gaia-X（“盖亚X”）计划以及“欧盟数字新政”的制定使欧盟在网络空间博弈中不断获得有利地位，构建单一数字市场的目标不断得到实现。当前，各国争相寻求网络空间话语权，纷纷出台相关政策，加大对跨境数据流动的监管与规制。我国要想寻求网络空间话语权，对跨境数据进行规制实为题中之义。

（三）内在动力：提升我国跨境数据治理能力和综合国力

对跨境数据流动进行规制，既是对跨境数据治理内涵和外延不断深化的过程，也是对各国国内法律法规不断完善和深化的过程。美国在“9·11”事件之后推出的《外国情报监视法》，使美国外国情报监视法庭有权签署秘密指令，授权美国联邦调查局获取第三方的数据记录。其虽然作为“棱镜门”的掩护出现，但也反映出国家在面对跨境数据流动造成的威胁时，法律法规的不断完善和制定不失为一种有效的解决办法。跨境数据流动这一现象虽然不是首次出现，但国内与此相关的研究相对较少，缺乏认真研究和详细规制。国内相关法律内容的不足，使数据安全面临极大风险，数据治理能力有待提升。

跨境数据作为发展数字经济必不可少的一个方面，不仅可以促进各国经济实现大幅度增长，同时还可以提高国家综合国力，成为带动国民经济发展的重要动能。2020 年，自新冠肺炎疫情暴发以来，全球数字经济规模达到32.6万亿美元，同比名义增长3.0%，占GDP比重为43.7%。发达国家数字经济规模大、占比高，2020 年规模达到24.4 万亿美元，占GDP 比重为54.3%；发展中国家数字经济增速更快，2020 年增速达到3.1%。美国数字经济蝉联世界第一，规模达到13.6 万亿美元，中国位居世界第二，规模为5.4 万亿美元①中国信通院余晓晖解读《全球数字经济白皮书——疫情冲击下的复苏新曙光》［EB/OL］.（2021-08-02）［2021-12-20］.https：//mp.weixin.qq.com/s/G3Mi8GlNOVRygGEfGsAiHw.。面对跨境数据流动所蕴含的巨大价值，对跨境数据流动进行规制自然也成为极富价值和意义的举措。

二、欧盟跨境数据流动规制的历史沿革及特点

20 世纪70 年代，随着互联网行业兴起，关于跨境数据流动的规制已然开始。欧盟成立之后，在跨境数据流动规制领域以其独特的历史背景，在不断探索中形成了以尊重数据主体权利为名、以增强网络空间竞争优势为实的“欧盟模式”。对欧盟跨境数据流动规制模式的历史沿革进行分析，剖析欧盟跨境数据流动规制模式，有助于更好把握跨境数据流动规制的内容涵义和框架体系，从而为我国跨境数据流动规制建立提供借鉴。

（一）欧盟跨境数据流动规制的历史沿革

早在欧盟成立以前，欧洲国家就已开始对个人信息进行保护。1970 年，德国黑森州制定了世界上最早的个人信息保护法，瑞典在1973 年制定了世界上第一部国家级个人信息保护法②黄宁，李杨.“三难选择”下跨境数据流动规制的演进与成因［J］.清华大学学报（哲学社会科学版），2017（5）：172-182.。在此阶段，欧洲各国处于跨境数据流动立法探索阶段，主要目的是防止企业通过规避措施将个人数据传输到缺少数据保护的国家，从而对本国数据安全造成威胁。由于欧洲各个国家基于本国国情采取的立法实践使欧共体成员国之间的数据传输极为不便，因而有必要采取措施使欧共体成员国内部形成统一的立法规则，以便各成员国内部的数据传输畅通无阻。由此，1981年《有关个人数据自动化处理的个人保护公约》（以下简称《公约》）应运而生。《公约》的主要目标是减少欧共体成员国内部的立法限制，提出不能以保护隐私为由限制数据流动。作为首个欧洲大陆上以跨境数据流动为主要内容的区域性立法，以及第一份对此有一定约束力的国际文书，《公约》对当时促进欧共体成员国内部的数据传输起了很大作用。由于《公约》并不具有实质约束力，无法向个人和企业提供明确参照标准，且各成员国之间具有较大差异，严重阻碍了欧共体内部之间个人数据的传输流动，使欧共体内部跨境数据流动规制的统一仍然存在很大问题。

1993 年欧盟成立后，欧盟国家对跨境数据流动规制进一步加强。1995 年，《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（以下简称《指令》）的出台，才使上述问题的解决更进一步。《指令》作为欧盟国家个人数据保护进入“大一统”时代的标志，奠定了欧盟在数据跨境流动领域的主导地位，“成为了个人数据隐私保护的标杆”③张梦珠.数据跨境流动的法律制度研究［D］.厦门：厦门大学，2019.。其主要通过“充分性保护模式”“适当性保障措施”及“例外情况”来体现，此三项措施的提出使欧盟跨境数据流动规制更加详细和具体，为欧盟跨境数据传输提供了更加详细的指导和建议。相比于《公约》，《指令》立场更加鲜明，具有较强法律约束力，对数据传输范围、传输对象的定义等实行了更严格的数据保护机制。同时，《指令》在实际运用中也存在以下缺点：第一，不具有直接法律效力，需要欧盟成员国将其内化为本国国内法后才适用；第二，各国历史传统和法律制度各有不同，《指令》在内化为国内法的过程中呈现出参差不齐的状态，使各成员国内部在进行数据传输时受到不同程度的阻碍；第三，欧盟的法律规制呈现出“分割”的特点，其带有的不确定性导致公众开始对网络安全性产生怀疑①曹秋涵.跨境数据流动下欧盟第三国保护水平“充分性”评估制度评述［D］.上海：华东政法大学，2020.；第四，《指令》对数据出境的限制较为严苛，使企业特别是跨国性企业在经营上存在较大障碍。

为了更好地应对全球化带来的数据安全问题及解决《指令》存在的不足，欧盟在2018 年出台的《通用数据保护条例》（GDPR，以下简称《条例》）在效力、管辖、范畴、合法性原则、数据主体权力、控制者与处理者的义务、向第三方国家或国际组织转移数据以及在实施与监督等方面都作出新改动。《条例》的主要目标是保护同盟国之间的数据流动，比起《指令》，其主要进步之处表现为：在所有成员国范围内都具有法律约束力；数据保护标准更加严格、具体；谋求更大的域外效力；在一定程度上放宽了个人数据跨境传输的条件、情形；在监管方面，引入了数据专员制度。《条例》对数据主体权利义务约定较为具体详细，是当前欧盟地区跨境数据流动政策的主要指导性法律文件。其修正了前两部法案的不足，在跨境数据流动保护方面作出了很多改动，使欧盟跨境数据流动规制得到了进一步完善。

欧盟的跨境数据流动规制始终处于不断尝试与摸索中。近年来，欧盟出台了旨在规范个人数据保护机构的《2018/1725号条例》，旨在促进欧盟境内非个人数据自由流动的《非个人数据自由流动条例》，着重解决欧盟与成员国、公共部门与私营部门之间割裂关系的第一版《网络与信息系统安全指令》，力求在法律约束与弹性发展之间达成平衡的第二版《网络与信息系统安全指令》，为应对新出现的数字挑战而提出的《数字服务法案》等法律法规，对个人和非个人数据都进行了相应的规制，规制模式逐渐朝全面化、精细化、严格化、规范化方向发展。

（二）欧盟跨境数据流动规制的特点

1.规制形式：统一立法，事前规制。在跨境数据流动的规制中，欧盟采取统一行动、事前规制的形式，形成了以“充分性保护模式”为主，“适当性保障措施”和“例外情况”为补充的模式。

（1）“充分性保护模式”。在进行数据跨境传输的过程中，欧盟要求数据接收国必须符合欧盟价值观，具有明确标准，所提供的数据保护水平相当于欧盟内部水平，并且具备独立数据保护监督机制的规制方式，此即“充分性保护模式”。这一模式虽然使数据安全得到充分保障，但从现实情况来看，其存在着许多问题。其一，能与欧盟高水平规制模式相媲美的国家少之又少，目前满足欧盟充分性认定水平的国家仅有13 个；其二，各国及其内部各地区在数据保护方向上存在差异，对各国的数据保护水平进行评估存在不少困难；其三，评估一个国家的数据保护水平是一项具有政治敏感性的操作，可能会影响国与国之间的关系。

（2）“适当性保障措施”。在上述情况下，欧盟委员会提出达到“适当性保障措施”也可被视为达到了“充分性保护水平”。也就是说，在数据输入国并未达到“充分性保护模式”条件的情况下，对数据主体进行充分保障也可以成为数据进行跨境数据传输的必要条件。“适当性保障措施”主要包括“标准合同模式”（BCRs）和“约束性公司规则”（SCCs），二者实际上是欧盟跨境数据流动规制中一条稍为宽松可行的路径。其一，“标准合同模式”。此种模式是指当数据跨境流动到数据接收国时，只要数据接收国内有公司或企业符合欧盟“充分性保护水平”，数据跨境传输行为即可展开。“标准合同模式”主要适用于欧盟与跨国公司间的数据跨境传输，有效地增加了数据跨境传输的灵活性与便捷性，不需要数据接收国作为一个整体来满足欧盟“充分性保护水平”的标准，降低了数据接收国达到“充分性保护水平”的要求，提高了欧盟与数据接收国之间数据跨境流动的效率。尽管如此，“标准合同模式”仍然存在一些问题，如“第三方受益条款”方面不能对跨国公司内部进行规制、跨境需求繁多而合同有效性极为短暂、每次签订合同需花费大量时间及精力等。其二，“约束性公司规则”。在上述情况下，相应出现“约束性公司规则”。“约束性公司规则”主要适用于跨国公司对欧盟境内数据的收集和获取，其实践性和操作性比“标准合同条款”更加高效强大。“约束性公司规则”在申请程序上比“标准合同模式”的申请方便快捷很多，大大节省了进行跨境数据流动前所要花费的时间和精力。同时，其可以对跨国公司内部进行规制，是“标准合同模式”强有力的补充措施。虽然“约束性公司规则”在一定程度上弥补了“标准合同模式”的缺点，但仍然存在缺乏相应代理机构、各地由于立法差异而出现数据保护水平不一致的情况。同时，该规则很有可能出现与各成员国当地法规相冲突等问题。

（3）“例外情况”。除了“充分性保护模式”和“适当性保障措施”之外，欧盟还允许“例外情况”的出现，“例外情况”主要包括数据主体同意、涉及公共利益以及法律公开允许等。进行传输的数据若符合“例外情况”，也被允许进行跨境流动。但是“例外情况”也存在条款过于宽泛，在具体操作流程上仍需要进一步细化或进行法律规制等问题。

欧盟长期形成的事前规制模式，实际上在数据进行跨境传输之前为数据设置了一层牢固的屏障，使数据除了受本国充分保护之外，还受到数据接收国同样水平的保护。虽然欧盟高标准、严要求的数据保护水平一度使许多想与其进行数据跨境传输的国家望而却步，但“标准合同模式”和“约束性公司规则”的设置作为“充分性保护模式”的补充规则在很大程度上缓解了这一困境，为各国和欧盟之间的跨境数据流动合作实际上提供了一条更为宽松且可行的路径。但事前规制模式在实施过程中存在对数据安全标准设定较高、法律规定过于抽象以及执行机制较为低效等问题，导致各规则内容流于形式、规制效果较为低效，这在一定程度上影响了欧盟与其他各国跨境数据流动的发展进程。

2.治理目标：以尊重数据主体权利为名、增强网络空间竞争优势为实。欧盟在进行跨境数据流动规制的过程中，始终以保护数据主体权利为由，不断通过立法建立规则体系，但实质是增强其在网络空间中的竞争优势。欧盟形成这样的规制目标，既与其较为重视数据主体安全的价值观相关联，也与其没有如同美国一样强大的互联网技术有关。1981 年的《公约》、1995 年的《指令》以及2018 年的《条例》等文件的颁布，充分体现了欧盟保护个人数据、构建区域性单一数字市场的决心。《公约》作为欧洲大陆上首个对数据跨境流动作出规定的区域性立法①袁立鸣.个人数据跨境流动规则法律研究［D］.上海：华东政法大学，2019.，提出各成员国需要平衡个人隐私保护与个人数据跨境流动两者之间的关系，不能为了个人隐私而绝对禁止个人数据进行跨境数据流动，也不能过度注重个人隐私而忽视个人数据自由流动。随后的《指令》中关于“充分性保护模式”“标准合同模式”以及“约束性公司规则”的提出，都表明了欧盟对于数据主体权利及安全的重视。2018 年《条例》的颁布，在《指令》的基础上增加了被遗忘权、限制处理权、持续控制权以及拒绝权等，进一步扩大了数据主体权利。

与美国“谁拥有数据谁就拥有控制权”这种类型的“长臂管辖”不同的是，欧盟“长臂管辖”最为鲜明的体现是“充分性保护模式”的提出。“充分性保护模式”要求所有试图与其进行数据跨境传输的国家都拥有和其同等程度的数据保护水平，这一做法在很大程度上迫使许多国家不得不修改国内相关法律法规，以迎合欧盟高标准的准入门槛。不得不承认的是，该模式确实使欧盟保护数据主体权利的目标得到较大程度实现，但其实质反映出欧盟试图通过以该模式为代表的一系列法律法规来主导网络空间规则制定，以此增强其在网络空间中的竞争优势，继而在国际竞争中处于有利位置。

3.管辖方式：外严内松，内外兼顾。欧盟在进行跨境数据流动规制的过程中，出于对数据主体权利的保护和构建单一数字市场的双重考虑，形成了“外严内松，内外兼顾”的管辖方式。与其他国家进行双边或多边跨境数据交流的过程中，欧盟呈现出较为保守的态势，尤其是《指令》中提出的“充分性保护模式”要求数据接收国具有和欧盟同等水平的数据保护能力，但事实上，很少有国家能达到欧盟的要求。同时，“充分性保护水平”的认定过程需要一个较长周期，可能会导致很多有意向和欧盟合作的国家转而寻找新的合作方。“标准合同模式”和“约束性公司规则”的提出虽然在一定程度上缓解了这种情况，为各国与欧盟的合作提供了更为可行的路径，但相对来说，欧盟对外政策呈现出较为严格的趋势。

与欧盟在对外数据保护政策上表现出明显的高标准严要求倾向不同的是，对内打造一个单一的数字市场也是欧盟长期以来的数字目标。在此目标下，欧盟内部国内立法呈现出较为宽松的态势。1981年《公约》的主要目标是减少欧共体内部国内法对数据流动造成的障碍，使数据实现区域内自由流动。1995 年的《指令》进行了更详细的规制，具备更强的法律约束力。随后2018 年通过的《条例》在《指令》的基础上，一改之前欧盟各成员国需要将其转换为国内法再进行应用的规则，使其成为区域内欧盟成员国可以直接应用而不必转换的法律，使之具有了更强的法律约束力。同时，欧洲于2019年部署建设网络云设施“盖亚X”计划，旨在创建一个面向欧洲、强大而有竞争力、安全可靠的数据基础架构①张茉楠.跨境数据流动：全球态势与中国对策［J］.开放导报，2020（2）：44-50.，力图打造一个区域性单一数字市场。2020 年2 月，欧盟委员会发布《欧盟数字化总体规划》《欧洲数据战略》以及《人工智能白皮书》三个文本，即“欧盟数字新政”②同①。，这一系列措施表明了欧盟力图构建单一数字市场的决心。相比外部规制体现出的高标准和严要求，欧盟内部规制相对宽松。总体而言，欧盟在跨境数据流动方面的管辖方式始终致力于维持欧盟内部和外部平衡，在打造内部统一市场、维护数据主体权利与争夺网络空间竞争优势之间不断进行尝试和制衡。

三、对我国跨境数据流动规制模式的启示

以欧盟为代表的跨境数据流动规制模式，其实质是在跨境数据流动规制方面更倾向于“数据安全”。相比于立法森严的欧盟，我国在跨境数据流动规制方面正处于初级阶段，结合我国国情，借鉴欧盟在跨境数据流动方面的规制经验对加强我国数据跨境流动治理极为必要。

（一）我国跨境数据流动规制现状

在2017年6月1日的《中华人民共和国网络安全法》（以下简称《网络安全法》）出台以前，我国跨境数据流动并没有专门的立法规制，存在统一立法缺失、相关法律法规较为分散等问题。个人信息规制主要针对个别出现问题的专业性领域进行立法，集中于某一行业或领域，诸如《关于银行业金融机构做好个人金融信息保护工作的通知》《信息安全技术公共及商用服务信息系统个人信息保护指南》《征信业管理条例》《中华人民共和国电子商务法》《中华人民共和国测绘法》等法律法规和文件，主要分布于医药、科学、金融、网络安全、人口健康、信息管理业、地图等领域，尚未形成一套系统、完整的法律规制体系。法律法规的分行业设置虽然可以对各行业或领域进行较为详细的规定，但也可能会出现交叉领域立法设置困难，企业及个人甚至执法者法令搜索烦琐等问题。

《网络安全法》是我国第一部对网络空间进行系统化规划的法律文件，其出台后就成为网络空间安全领域的纲领性文件，标志着我国对数据跨境流动的法律规制从“诸法分立”走向“协调统一”①王璐璐.数据跨境流动法律规制研究［D］.成都：四川省社会科学院，2020.。其目的虽然试图对跨境数据建立一个统一性、基础性法律框架，但也存在原则性规定过多、对数据规定并未触及核心等问题。为进一步完善《网络安全法》，《中华人民共和国数据安全法》于2021年6月颁布并实施。此法从多方面对数据安全前提下的跨境数据流动规则进行规定，是一部数字安全领域的基础性法律。但其存在原则性条例过多、操作空间不足、调整对象过于宽泛等问题，仍需不断更正和完善。2021 年8 月，《中华人民共和国个人信息保护法》构建了一套清晰、系统的个人信息跨境流动规则，在一定程度上弥补了前两部基础性法律调整对象过于宽泛与原则性条例过多等不足，对跨境数据传输进行了较为具体的规定与阐述。我国正处于网络空间治理的探索阶段，主要存在以下几类问题。

1.我国在进行跨境数据流动规制过程中，数据分类机构和数据监督机构缺乏，规制机构设置不够合理。一方面，在跨境数据流动领域，我国当前缺乏相对应的数据分类机构对数据进行详细归类与划分，在数据流动前后并没有相应的监督机构进行监督与管理。我国目前只是将数据区分为个人信息和重要数据，对于数据的分类并未穷尽所有数据的外延，个人信息中有时候也包括重要数据的存在。虽然许多下位法对数据的分类较为详细，但仍然存在难以确定数据属性等问题。另一方面，我国在数据分类机构和数据监督机构的设置过程中存在设置不够合理的问题，对职权和任务的划分并不明确，在实际过程中难以实施。当前我国采取的办法是由该行业或领域负责管理的机构进行监督，此机构往往身兼数职，担任保护、监督、执法等责任，长此以往会导致机构出现难以有效行使职权、任务冗杂等问题。同时，我国当前对跨境数据进行监督的主要机构为政府，并未充分发挥企业监管职能。政府监管稍有不慎，容易引发数据保护和监督工作效率降低的风险。

2.我国在国际网络空间治理领域中话语权不足。2020 年以来，我国虽然已相继签署《区域全面经济伙伴关系协定》（RCEP）和《中欧投资协定》，并向国际社会发起《全球数据安全倡议》，又积极申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP），正式提出申请加入《数字经济伙伴关系协定》（DEPA），但目前我国在数据流动层面的国际性质对话和合作非常匮乏，目前尚未加入GDPR 或CBPR体系，在把握跨境数据流动领域机遇方面存在不足。

3.正确对待跨境数据流动规制的数据本地化问题。出于对防范数据隐私泄露风险、保护企业利益、维护国家安全等因素的考量，当前包括我国在内的诸多国家在互联网空间越来越重视跨境数据流动领域的安全性。数据本地化在很大程度上可以保护国家数据安全，但也应掌握好其中的度，否则会错失在国际互联网空间发展的宝贵机会。

（二）欧盟跨境数据流动规制模式对我国的启示

借鉴欧盟相对成熟的跨境数据流动规制模式，立足于我国跨境数据流动领域现状，在进行跨境数据流动规制的过程中，可以从以下几方面着手完善。

1.完善相关领域立法，构建系统化法律规制体系。欧盟关于跨境数据流动的规制过程实际上是相关法律制度不断完善和建立的过程。在不断摸索与尝试中，欧盟从最初的“充分性保护模式”发展到以“充分性保护模式”为主，“适当性保障措施”和“例外情况”为辅的模式，并形成了较为成熟的GDPR 体系。我国在进行跨境数据流动规制时，可借鉴欧盟为维护数据主体权利、注重数据安全所采取的措施，尽可能保护数据安全，形成一套具有中国特色的跨境数据规制方案。同时，我国在进行跨境数据流动的立法规制时，应尽可能以系统化、整体化、全面化、规范化视角进行规制，以形成一套较为充分且全面的政策法律规制体系，如出台个人数据和隐私保护战略，从顶层设计的角度研究制定数据安全与数据流动之间的关系，制定跨境数据流动相关的法律法规与政策；要提高跨境数据在宪法、民法典等上位法中的地位，明确个人数据、个人隐私的法律属性；要加大力度落实上位法与各行业、领域法律的有效协调和衔接；不断强化和加快落实《中华人民共和国个人信息保护法》，使个人信息、隐私的安全性得到增强；对《个人信息出境安全评估办法（征求意见稿）》和《数据出境安全评估办法（征求意见稿）》等法律的制定必须充分考虑维护数据安全等因素，尽可能有效解决以往法规的不足之处，对相关定义和实施细节进行全面化、系统化和整体化解释，促使我国互联网领域立法朝规范化、系统化方向迈进。

2.明确划分规制职责，合理设置数据分类和监督机构。在进行跨境数据流动规制的过程中，欧盟在数据分类和监督机构设置方面的做法值得借鉴与思考。如欧盟以“充分性保护水平”考察数据接收国时，规定全面考察和掌握数据接收国或国际组织是否拥有1 个以上的独立监督组织，该独立监督组织是否拥有足够的执法权力以履行监督职责①黄现清.跨境数据流动规制中个人隐私数据的保护研究［J］.征信，2020（10）：43-48.。

在跨境数据流动过程中，对数据进行合理分类可以实现数据利用最大化，对绝对不能进行传输的数据实行禁止流动，对在适当条件下可以进行传输的数据实行有条件流动，对于无条件进行传输的数据可以尽量实现充分流动。要有效区分个人数据和非个人数据，二者具有许多不相同的性质，不能混为一谈。要建立统一的个人数据和非个人数据区分标准与实施标准，防止因为二者区分不清导致个人信息泄露的问题；要对非个人信息进行再分级分类，各领域都具有相对应的法律，例如金融、医药、信息等行业，虽然各领域完全不同，但在数据管理上仍存在共同之处，都具有元数据、主要数据、次要数据等重要性之分，每一行业都可以按重要性将数据进行分级分类。同时，一个具有强制力和约束力的监督机构也必不可少。对跨境数据流动进行事前、事中以及事后监督可以最大程度确保数据安全，实现经济利益最大化。我国关于跨境数据与保护层面的立法主要集中在互联网和金融领域，主要由国家互联网信息办公室负责监督。国家互联网信息办公室并非单纯的监督机构，其同样“身兼多职”，在职能执行过程中难免出现许多问题。我国应该建立单独的数据监督机构，负责监督和管理各行业、各领域的监督机构，根据情况制定统一的标准以及允许各监督机构灵活应对实际情况；在制定和通过《个人信息出境安全评估办法（征求意见稿）》和《数据安全管理办法（征求意见稿）》的过程中，可以加强对数据的分级分类管理，对关键数据，如军事、医疗、安全等领域进行严格把控，禁止出境等；对于可以实现信息共享的基础信息，实行尽可能宽松的出境政策。

3.积极参与国际立法，把握网络空间话语权。面对当前互联网空间这一新兴领域，全球各国伺机而动，力图抢占先机，赢得网络空间话语权，在国际上占据有利位置。欧盟在进行跨境数据流动规制的过程中，从《指令》到《条例》，其立法呈现出不断国际化、寻求域外效力的趋势。目前欧盟所形成的GDPR 体系因其法律条例的精准、完善而在国际上广为流传，成为以保护数据主体权利以及数据安全为主的国家纷纷模仿的范例。

我国若想在互联网空间占据有利位置，就必须直面挑战、抓住机遇，积极参与国际合作，在合作过程中献智献力献策，展现大国担当，努力争取网络空间话语权。应鼓励和支持互联网企业采取白名单机制、标准合同条款等措施拓宽欧盟市场，获取数据。目前国际上较有影响力的两大规制体系分别是CBPR 和GDPR，而我国当前并未加入任一体系。在未来的发展中，我国应该结合实际情况，对是否加入这两个体系进行审慎考量。同时，“一带一路”沿线国家跨境数据流动相关产业合作密切，我国与沿线国家进行跨境数据交流与合作具有一定基础。在此基础上，我国应积极与沿线国家构建网络空间领域的“朋友圈”，共同探索多种跨境数据流动合作机制，努力构建网络空间命运共同体，增强与沿线国家在网络空间领域的交流、碰撞，提升我国网络空间领域的影响力。

4.适度推行数据本地化，促进国内经济增长。习近平总书记在中央网络安全和信息化领导小组第一次会议中指出：“没有网络安全就没有国家安全，没有信息化就没有现代化。”①习近平主持召开中央网络安全和信息化领导小组第一次会议强调 总体布局统筹各方创新发展 努力把我国建设成为网络强国［N］.人民日报，2014-02-28（01）.维护网络安全就是维护国家安全。数据本地化作为维护国家网络安全的有利措施，主要分为三种形态：第一种形态为最严格的本地化形态，在这种情况下，本国数据完全被限制出境，也就是说，数据必须完全存储在本国境内，其他国家若想进入本国市场，必须在本国建立数据中心，用来存储其国民数据；第二类，“禁止特定数据出境”，即国家只要求特定数据必须存储在本地，其他数据可以自由流动；第三类，只要满足法律规定的条件，数据便可以出境②孙雯.我国数据出境规则问题研究［D］.上海：华东政法大学，2020.。

我国当前跨境数据流动规制正处于不断尝试与探索阶段，为尽可能维护我国国家数据主权，充分保障个人数据信息安全，便于国内执法，呈现出明显的数据本地化特征。在合理范围内的数据本地化确实有利于数据安全与经济发展，但过度的数据本地化会切断本国与其他国家之间经济合作的可能性，在一定程度上阻碍国内经济发展；同时，还会抑制中小企业寻求对外合作的积极性。另外，过度本地化措施不利于该国在互联网空间中国际地位的提升。因此，我国在进行跨境数据流动规制时，应根据实际情况，在对数据进行合理分类的基础上，选择要进行数据本地化的数据，并思考用何种形态进行数据本地化。