数据跨境流动治理与对策研究*

赵高华，姜 伟，王 普

(中国网络空间研究院 网络安全研究所，北京 100036)

0 引言

自2008年以来，数据流动对经济发展贡献度已超过传统贸易和投资，成为促进全球经济发展的重要力量[1]。全球已有200多个有关数据流动的法律法规，限制性水平在过去十年间翻了一番[2]。各国纷纷从最有利于自身经济发展和数据保护的角度出发，在国家安全、隐私保护、产业能力等多元因素的复杂影响下制定数据跨境流动治理规则，谋求数据安全保护与数据自由流动之间的平衡。

*基金项目：国家重点研发计划(2021YFB3101300，2021YFB3101302，2021YFB3101305)；中宣部宣传思想文化青年英才项目

1 主要国家和地区数据跨境流动特点分析

当前，全球并未形成统一的跨境数据流动监管体系，以美国为代表的“倡导境外数据自由流入但严格限制境内数据流出的数据跨境流动”模式，以及以欧盟为代表的“充分性保护为前提的事前防御规制模式”成为塑造全球数据跨境流动规则体系的主导力量。

1.1 美国数据跨境流动特点分析

美国在数字产业和信息技术方面具有全球领先优势，其以维护数字竞争优势为主旨，对待数据跨境流动“内外有别”。

美国对外积极主张数据跨境自由流动，通过开展数据跨境流动认证及协议等形式，搭建与重要贸易伙伴的跨境流动国际通道，实现数据向美国汇聚。一是畅通美欧之间数据流动渠道。美欧双方虽然在数据保护理念与制度设计方面有所差异，但彼此是重要的数字贸易伙伴，数据交流频繁，双方积极探索灵活又实际的方式以消除数据流动的阻碍。2000年12月，美欧签订《安全港协议》，以调整美国企业出口以及处理欧洲公民的个人数据，后因“棱镜门事件”及Schrems I案，协议被欧盟法院宣布无效；2016年双方重新谈判并签署《欧美隐私盾协议》，增加了禁止美方监控欧盟公民个人信息等内容，但2020年因Schrems II案再次被欧盟法院宣布无效；2022年3月，美欧就跨大西洋数据隐私协议达成一致，推出《跨大西洋数据隐私框架》，美国承诺加强信息情报的隐私和公民自由的保护力度，确保数据能够在欧盟和美国之间自由安全流动。美欧之间就数据跨境流动问题的反复也反映了双方对于数据流动以及隐私保护存在的基础性差别。二是借助区域贸易协定推广和开辟新的数据跨境流动双边或多边规则。自从2000年美国与约旦的协定纳入跨境电商等内容以来，美国和其他国家缔结的自由贸易协定(Free Trade Agreement，FTA)大多包含电子商务或者数据跨境流动内容。与美国签订协议的国家陆续将相关规则运用到本国与其他国家签订的FTA中，实现了美国数据治理规则的传播扩散。这可以看作是美国凭借其科技经济优势，在缔约方相对较少的情况下，成功主导了数据跨境流动规则的制定[3]。三是美国积极推动区域内数据跨境自由流动。2020年，美国、墨西哥、加拿大三国签署《美国—墨西哥—加拿大协定》，约定三方不得禁止或限制数据跨境传输。

美对内严格限制本国数据流出，通常以国家安全为由严格审查重要技术数据出口和特定数据领域的外国投资，以进行数据跨境流动管制。一是严格限制关键技术与特定领域的数据出口。近年来，美国为确保其在信息技术领域内的全球领先地位，严格限制重大科技以及基础领域的技术数据和敏感数据的跨境转移，以遏制战略竞争对手的发展。如美国《出口管制改革法案》明确要求，受管制的数据跨境传输需要取得商务部产业与安全局(BIS)出口许可；再如强迫出售TikTok案，2022年3月达成的最新协议是TikTok把美国用户的信息交由Oracle存储，而字节跳动无权访问，这是在无任何数据安全威胁情况下，严格限制数据跨境流动的霸道行径。二是制定受控非秘信息清单(Controlled Unclassified Information，CUI)，界定“敏感数据”范围。美国《信息安全纲要》规定，依据相关法律法规和政府政策，需要保护和控制传播的非密信息均属于CUI，需采取严格的管理措施。近几年，美国政府大幅提升了对CUI的管控力度。截至2020年，CUI包括了关键基础设施、国防、金融、移民、情报、国际协议、税收、核等20大类、124子类。三是通过“长臂管辖”扩大国内法域外适用的范围。根据美国《澄清海外合法使用数据法案》(Clarfying Lawful Overseas Use of Data Act，简称CLOUD法案)，无论美国网络服务提供商的信息是否存储在美国境内，只要运营主体拥有相关记录，均需按法令要求保存、备份、披露。但外国政府若想调取存储于美国的数据，既需要满足“符合资格的外国政府”条件，又需要满足其他一系列细节性的限制条件。该法案既为美国获得海外数据提供了法律依据，也意味着外国政府想要获得美国境内的数据困难重重。

1.2 欧盟数据跨境流动特点分析

欧盟采用充分性保护为前提的事前防御规制模式，只有与欧盟保护水平一致时才允许数据跨境传输。充分性认定是欧盟数据跨境流动的关键要求，只有当第三方在立法情况、监管机构设立、是否参加包含个人数据保护内容的国际公约或作出相关承诺等几方面满足欧盟标准，与欧盟保护水平基本相同的情况下，才被认为提供了充分保护，才会允许数据进行跨境传输。充分性认定为高标准数据保护提供了借鉴和参考，为数据主体提供有力保护，但也在一定程度上阻碍了欧盟数据向其他国家传输，构筑起数字产业发展贸易壁垒，不具有普遍适用性，仅有14个1国家和地区通过了充分性认证。

为解决充分性认定机制带来的消极影响，满足数字经济发展的现实需要，欧盟针对不同情况设置了多种数据跨境传输方式，其适用情形、特点要求见表1。

表1 保障措施下欧盟数据跨境流动主要方式

欧盟内部实施数字化单一市场战略，以促进欧盟境内数据自由流动和数字经济发展。2015年6月，欧盟提出实施《数字化单一市场战略》，旨在把欧盟28个成员国统一成单一化市场，促进欧盟内部数字经济发展。2018年10月，欧盟出台《非个人数据在欧盟境内自由流动框架条例》，与已实施生效的GDPR形成数据治理的统一框架，用来平衡数据保护、数据安全和数字经济发展。2020年2月，欧盟连续发布《塑造欧洲数字未来》《欧洲数据战略》等战略文件，以促进尚未被有效利用的数据在欧盟境内及各行业之间充分自由流动。

1.3 数据跨境流动国际合作机制研究

经济合作与发展组织(OECD)、亚太经济合作组织(APEC)和世界贸易组织(WTO)等为代表的多边机制在全球跨境数据流动治理中发挥着重要作用。

OECD是全球首个提出跨境数据流动的国际组织。1980年，OECD在《关于保护隐私与个人数据跨境流动的指南》中提出成员国应避免以保护个人隐私和自由的名义，限制跨境数据自由流动，同时确定了国内个人信息和数据保护的基本原则以及国际间数据跨境的基本原则。2013年OECD对指南进行修订，明确了各成员国在跨境数据流动方面的权利和义务。需要注意的是，OECD倡导的跨境数据流动的隐私保护框架只具有指导性，不具有约束力和强制性。此外，受到欧盟规制体系的影响，由OECD倡导的数据跨境流动的相关规则是参照欧洲尊重个人隐私权的价值导向制定的，主张通过严格的法律法规加强对个人数据的保护[4]。

APEC框架下的数据跨境流动体系相对比较成熟。跨境隐私规则体系(Cross Border Privacy Rules，CBPR)是以《APEC隐私框架》为基础构建的全球主要数据跨境流动框架体系之一，也是亚太地区第一个数据保护协同框架，包含了一整套的执行机制和措施，相对比较成熟。该框架于2012年正式启动，并向APEC经济体开放，截至2021年11月，已有9个经济体加 入该 体 系2。《APEC隐私框 架》及CBPR体系带有较强的美国色彩，代表了美国在国际层面对数据跨境流动的利益诉求。美国积极寻求将CBPR扩大至APEC之外[5]。2022年5月，美国联合加拿大等经济体发布《全球跨境隐私规则声明》，宣告成立CBPR论坛，标志着APEC框架下的CBPR体系变成任一国家都可以加入的全球体系。

WTO对数字贸易的相关规制一般在电子商务框架下进行。在该框架下，自2019年1月包括中国在内的76个国家和地区在达沃斯签署《关于电子商务的联合声明》后，数据跨境流动成为各方提案和谈判的主要核心争议之一[6]。欧盟在基于人权优先的基础上提出跨境数据流动条款。巴西也提出了多项基于安全及公共利益例外基础上的跨境数据流动条款提案[7]。2021年12月，86个世贸组织(WTO)成员宣布在电子商务谈判方面取得实质性进展，并将在2022年底就大多数议题达成协议。

2 我国数据跨境流动发展现状

我国高度重视数据安全及数据跨境流动工作，坚持数据安全保护与数字经济发展并重，出台系列法律法规、战略政策，明晰开展数据跨境流动安全管理的方法路径。

2.1 完善数据安全保护及数据跨境流动法律法规体系

近几年，我国数据跨境流动的立法覆盖面逐渐扩展，初步形成较为完整的数据安全保护、个人信息保护和跨境数据依法有序流动的法律体系。《网络安全法》《数据安全法》等就数据出境作了相关规定，构建起安全条件下促进数据自由有序高效流动的基本管理制度。2022年7月发布的《数据出境安全评估办法》，就我国个人信息和重要数据出境安全审查评估等提出全面系统的要求、提供具体的法律解决方案，是我国破题数据跨境流动管理规则的重要实践。

2.2 探索数据跨境流动实施路径

2019年8月，《中国(上海)自由贸易试验区临港新片区总体方案》首次提出“构建国际互联网数据专用通道”，明确建立数据保护能力认证、数据流通备份审查、数据跨境流通和交易风险评估等数据安全管理机制，标志着数据跨境流通法律监管体系迈上新台阶[8]。2020年7月，《智慧海南总体方案(2020～2025年)》提出开展数据跨境传输安全管理试点，探索形成安全便利有序流动的机制，这些实践探索为促进跨境数据自由高效有序流动奠定良好基础。

2.3 积极提升全球数据跨境流动规则制定话语权

2021年11月，我国申请加入《数字经济伙伴关系协定(DEPA)》，这是全球第一个单独的数字经济协定[9]。此外，我国也已就加入全面与进步跨太平洋伙伴关系协定(CPTPP)提出申请。在我国已经陆续加入的中韩自贸协定、区域全面经济伙伴关系协定(RCEP)中，关于数据跨境流动议题成为各方广泛关注焦点。积极开展多边框架下的国际数字贸易合作，有利于提升我国在数据跨境流动等关键议题的话语权。

3 促进我国数据跨境安全自由流动的对策建议

当前，我国数据资源价值加快释放、数字经济发展全球领先。2021年我国数据产量为6.6 ZB，全球占比9.9%，位居世界第二；数字经济总体规模达到45.5万亿元，占国内生产总值39.8%[10]。但在实际发展中，我国在全球竞争中尚未占据战略主动[11]，宜从维护国家安全和社会公共利益、保护个人信息权益等角度出发，进一步完善相关法律法规、积极开展数据跨境国际交流与合作、强化技术安全保障作用，着力防范化解数据跨境安全风险，满足日益频繁的数据跨境流动需求和数字经济发展需要。

3.1 持续完善数据跨境流动等法律法规体系

加快完善《数据出境安全评估办法》配套细则，为数据控制者及处理者进行安全自评和监管部门安全评估提供具体且可操作的标准。同时建立健全数据分级分类管理制度，界定一般数据、重要数据、核心数据边界，加快制定相关行业、领域重要数据和核心数据目录，明确允许自由跨境的数据类别，细化适用的安全评估机制和数据规范管理措施。在完善管理制度方面要合理运用和对接国际数字贸易规则，确保我国数据跨境流动等国内立法与对外高水平国际协定与数字贸易谈判需要相衔接。

3.2 强化数据领域国际交流与合作

在已有数据跨境流动规则基础上，提出数据跨境流动中国方案，积极加强国际交流合作，扩展我国数据跨境流动朋友圈。一是依托金砖国家、世界互联网大会等多边对话机制和国际组织，加强我国数据跨境流动主张的对外宣传，形成数据安全有序跨境流动的国际共识。二是积极开展数据安全治理、数据开发利用等领域的国际交流与合作。构建跨境数据流动监管的国际互信机制，为我国数据跨境流动规则主张“增容扩圈”。三是丰富数据跨境流动规制方式，以开展国际数字贸易为重要突破口，采用灵活多样的措施应对数据的跨境流动需求。

3.3 加强数据安全技术及产品研发应用

充分发挥技术保障作用，以技术手段保障数据跨境流动安全有序。一方面强化隐私计算等数据安全技术应用，加强联邦学习、多方安全计算、差分隐私、同态加密等关键技术研发，运用技术手段构建数据跨境流动安全风险防控体系，实现数据跨境有序安全流动。另一方面注重技术与产业融合发展，建立隐私计算等技术与应用标准和产品认证体系，确保相关产品应用在帮助企业满足数据跨境传输合规认证的同时，促进形成数据链条中的数据处理方、数据需求方、技术提供方、监管方等不同主体共同参与、有序协作的良性生态。

4 结论

随着信息革命和产业变革的演化和发展，数据跨境流动治理成为全球数字治理的重要领域，也是主要国家构建数字经济竞争新优势和维护国家安全的战略手段。以美国“内外有别”的跨境数据规则体系和以欧盟为代表的“以地理区域为基准、充分保护为前提的事前防御规制模式”已逐渐成为全球两大主要跨境数据流动治理体系。国际组织也在规制数据跨境流动发挥积极作用。我国作为数字经济大国，在促进全球数据跨境自由安全流动中面临机遇与挑战，在完善规制数据跨境流动规则的过程中应当处理好国家安全、社会利益和个人隐私保护之间的平衡关系，加强数据领域国际交流与合作，提出促进全球数据跨境安全自由流动的明确主张，注重运用技术手段促进数据跨境安全有序流动，营造安全可信的跨境数据流动环境，为全球数字治理贡献中国方案和中国智慧。