数字企业出海数据安全治理国际合作机理研究

陈 兵， 杨鎏林

(南开大学 法学院，天津 300350)

一、问题的提出

在大数据时代，数据已成为经济发展的基础性战略资源和关键性创新要素。根据中国信通院2021年12月发布的《全球数字治理白皮书》，全球数据流动对经济增长具有明显的拉动效应，数据流动量每增加10%，将带动GDP增长0.2%，2022年全球数据流动量有望超过153 000GB/s，是2012年的9倍[1]。随着数据要素重要性的凸显，各国数据主权博弈日益加剧，数据主权将成为继边防、海防、空防之后，另一个大国博弈的空间[2]。掌握数据跨境安全治理的主动权和主导权，已成为我国防范、化解数据安全风险，提高国际竞争力和国际话语权的关键所在。

我国数据跨境流动的主力军即数字企业，其出海所产生的数据安全治理问题日益突出，已成为我国数据安全治理及新型国际竞争的矛盾焦点。2020年9月2日，印度信息技术部以“有损印度主权与完整、印度国防、国家安全与公共秩序”为由，宣布禁止118个中国手机应用程序在印度使用，此举实质上滥用“国家安全”这一概念，对中国企业采取歧视性限制措施[3]。2021年12月3日，移动出行巨头“滴滴出行”宣布启动美股退市工作，将赴港上市，此时距离“滴滴出行”在纽交所挂牌上市仅过去了5个月时间[4]；2022年7月21日，国家网信办依法对“滴滴出行”进行网络安全审查相关行政处罚，依法打击“滴滴出行”危害国家网络安全、数据安全、侵害公民个人信息等违法行为。此类事件的频发表明，数字企业出海产生的数据安全治理问题已突破传统的商业竞争和利益争夺维度，向更深层次的数据主权和国家数据安全维度升级。

面对愈发严峻的数据安全形势，我国相继颁布《网络安全法》《数据安全法》《个人信息保护法》等法律法规，并出台《数据出境安全评估办法(征求意见稿)》(以下简称《评估办法(征求意见稿)》)《网络数据安全管理条例(征求意见稿)》(以下简称《管理条例(征求意见稿)》)等配套规则，对数字企业出海引发的重要数据和个人信息跨境流动问题进行监管，初步建立了以数据本地化存储为原则、以数据出境安全评估为例外的数据跨境安全治理模式。然而面对复杂的数据安全形势，数据本地化模式的实际效果并不佳，我国数据安全治理机制有待进一步升级。

在国际层面，以数据本地化存储为原则的数据安全治理模式同样面临多层次国际经贸规则的挑战。以《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership，简称CPTPP)为例，CPTPP注重追求高标准数据跨境自由流动，减少甚至消除数据跨境壁垒，实现并放大以美国为代表的发达国家的数据优势和战略利益，对发展中国家的数据本地化模式构成严峻挑战。在与CPTPP成员国的多轮贸易谈判中，有关我国数据本地化模式的讨论势必成为重点和热点问题。

当前，有关数据跨境安全治理的研究较为多样：有学者通过梳理和总结域外数据跨境流动的法律监管经验，提出我国数据跨境流动监管的应对之策[5-7]；也有学者在数据跨境流动的背景下，聚焦企业“走出去”和“引进来”双向合规，探讨解决企业合规难问题的法治保障方案[8]；亦有学者在梳理域外经验的基础上，从数据主权[9]、个人信息跨境流动[10-11]等视角完善和改进数据跨境安全治理方案。

2022年1月12日，国务院发布《关于印发“十四五”数字经济发展规划的通知》，明确提出“健全完善数据跨境流动安全管理相关制度规范”“依托双边和多边合作机制，开展数字经济标准国际协调和数字经济治理合作。积极借鉴国际规则和经验，围绕数据跨境流动等重大问题探索建立治理规则”[12]。2022年4月10日，中共中央、国务院发布《关于加快建设全国统一大市场的意见》，明确指出“培育参与国际竞争合作新优势。以国内大循环和统一大市场为支撑，有效利用全球要素和市场资源，使国内市场与国际市场更好联通。推动制度型开放，增强在全球产业链供应链创新链中的影响力，提升在国际经济治理中的话语权”[13]。聚焦于此，需充分重视数字企业出海背景下数据安全治理国际合作的重要性、迫切性和可行性，加强与各国的沟通和协调，以提升我国在国际数据跨境治理中的话语权和影响力。

二、我国数据安全治理国际合作面临的主要挑战

数字企业出海横跨多个司法管辖区，纵观用户、企业乃至国家等多个数据主体，其所涉及的数据安全治理国际合作问题既包括国内层面的数据安全治理机制，又包括国际层面的国家间合作。因此，有必要剖析数字企业出海背景下我国数据安全治理国际合作所存在的“堵点”，为开展更宽领域、更深层次的数据安全治理国际合作提供有针对性的因应之策。

(一)数据安全风险日趋加大，数据安全治理机制有待完善

作为数字经济大国，我国高度重视数据跨境安全治理，依法保障数据安全有序流动。《网络安全法》第12条指出“保障网络信息依法有序自由流动”，《数据安全法》第11条指出“促进数据跨境安全、自由流动”。基于数据安全考虑，我国仍实行较为严格的数据本地化策略。作为我国数据安全治理领域的三部基础性法律即《网络安全法》《数据安全法》《个人信息保护法》均对数据本地化存储进行了原则性规定，并针对重要数据和个人信息等初步建立了以数据本地化存储为原则、以数据出境安全评估为例外的数据跨境安全治理模式，成为我国数据安全治理机制的核心所在。

毋庸置疑，数据本地化模式在保障我国数据主权、促进我国数字产业发展、缩小与欧美发达国家数字鸿沟等方面发挥了积极作用。尽管如此，数据本地化模式对维护国家数据安全的作用仍然有限。一方面，数据本地化措施实施难度大。在大数据时代，数据的收集、存储、使用、传输等行为已超越国家或地区的地理界限[14]，数据的全球化属性和流动属性日益增强，故完全的数据本地化措施并不现实。虽然国家可以通过立法限制数据跨境流动，充分控制和利用本国数据，但囿于法律的滞后性，难以应对数字企业手段愈发多样、技术愈加复杂的数据跨境传输措施。另一方面，数据安全并不完全取决于数据存储地点[15]。得益于互联网信息通信技术的飞速发展和数字基础设施的大规模普及，全球数据跨境流动激增，加速了全球数据总量爆发式、指数级增长态势[16]。故，短时期内大规模、纵深化的数据跨境传输已成为现实，数据存储地点对实现数据安全的重要性日渐降低，数据存储技术成为一国数据安全治理的重要因素。即使欧盟也承认，数据本地化不会当然比数据跨境传输更安全[15]。

此外，数据本地化模式同样限制了数据自由流动，不利于充分挖掘数据价值。数据要素的生命力和创造力在于流动与分享，唯有数据要素科学有序、安全高效的开放与流通，方能最大化地挖掘和释放数据要素的经济价值与社会价值[17]。然而，在数据本地化模式下，我国数字企业可能面临大量数据无法跨境流动或数据跨境安全评估周期长的现实困境，阻碍了数字企业出海合作。有学者指出，若长期与主要贸易伙伴缺乏合法且便捷的数据流动机制，我国企业走出去的合规成本和运营风险会越来越高，一些研发中心、数据中心等战略资源也可能被迫设在海外[18]，这样不利于我国深入发展数字经济与数字贸易。

一言以蔽之，随着全球数据博弈日趋激烈，以数据本地化存储为核心的数据安全治理机制已难以满足维护国家数据安全的战略需要，且束缚了我国数字企业深入参与国际数字贸易。因此，我国的数据安全治理机制需进一步调适，国际层面的数据治理合作与协调已必不可少。

(二)数据自由流动受限，国际合作参与度有待提升

在国际合作层面，我国的数据本地化模式面临数据自由流动程度受限的合作难题，这在一定程度上使我国难以就数据安全治理问题与各发达数字经济体达成广泛共识，从而影响了我国全面加强国际合作及提升国际话语权。

纵观其他发达数字经济体，多积极推进全球数据自由流动，譬如美国在与各国的贸易谈判中积极加入“数据跨境自由流动”条款[8]；同时，通过《澄清境外数据的合法使用法案》(the Clarifying Lawful Overseas Use of Data Act, 简称CLOUD法案)明确“数据控制者原则”，强化对境外数据的管制力，允许美国执法机关跨境调取美国企业储存在海外服务器的用户数据[19]。欧盟通过《一般数据保护条例》(General Data Protection Regulation，简称GDPR)将数据权利定义为一种基本权利，并致力于形成欧盟单一数字市场，促进数据要素在欧盟范围内的自由流动，对非欧盟成员国则采用充分性认定标准设定数据跨境流动白名单国家[20-21]。日本在数据跨境立法上参考欧盟，积极参与国际双边或多边数据跨境治理协定，推动数据跨境自由流动。新加坡将高标准的数据保护和数据自由流动相结合，积极加入亚太经合组织主导的跨境隐私规则体系(Cross-Border Privacy Rules，简称CBPR体系)，寻求区域内数据自由流动[22]。相比之下，我国的数据自由流动程度与各发达数字经济体存在较大差距，在诸多关键问题上难以达成共识。

在参与国际双边或多边协定方面，数据本地化模式同样阻滞了我国与其他国家或地区达成合作协定，不利于我国实现更高水平的国际合作。2018年12月30日，备受关注的CPTPP正式生效，作为美国退出《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement，简称TPP)后的版本，CPTPP在经济规模和国际影响力上都大不如TPP，但其仍然是能够引领未来国际经贸规则创新变革趋势的高标准自由贸易协定，对世界数字贸易发展和国际经济格局重构都具有极重要的现实意义。在内容上，CPTPP主要沿袭了TPP的内容，并对其进行了适当删减，因此在很大程度上仍然反映了以美国为首的数字经济发达国家的利益。譬如，CPTPP首次寻求明确限制数据本地化措施的使用，使得以我国为代表的发展中国家需重新审视数据本地化模式。根据CPTPP第14.13条，任何缔约方不得要求任何人在该缔约方领土内使用或设置计算设施，作为在其领土内开展业务的条件；除非该限制措施是以实现合法公共政策目标为出发点，且需要满足不构成任意或不合理歧视或变相贸易限制、不施加超出实现目标所需限度的限制[23]。

2021年9月16日，我国正式提出申请加入CPTPP(1)2021年9月16日，中国商务部部长王文涛向《全面与进步跨太平洋伙伴关系协定》(CPTPP)保存方新西兰贸易与出口增长部长奥康纳提交了中国正式申请加入CPTPP的书面信函。参见商务部.中方正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)[EB/OL].(2021-09-16)[2022-04-09].http：∥www.mofcom.gov.cn/article/ae/bldhd/202109/20210903199707.shtml.。CPTPP成员国既包括日本、加拿大等发达经济体，也包括智利、马来西亚、墨西哥和越南等发展中经济体；既有利于我国与发达经济体之间构建强强互补型合作竞争发展新模式，也有利于我国与发展中经济体之间构建共享包容型发展利益共同体新模式[24]，进而助推我国建设更高水平的开放型经济新体制和高标准市场经济体系。在我国加入CPTPP的多层次贸易谈判中，势必围绕数据跨境自由流动问题展开激烈讨论，我国的数据本地化模式不可避免地要做出适当调整。

综上，数据本地化模式实质上阻碍了我国参与更高层次的国际合作。在今后的数据安全治理国际合作中，我国应当及时调整数据本地化模式，强化与现有数据治理国际规则的衔接，兼顾数据安全保护与数据自由流动，为我国与各发达数字经济体实现更高层次的包容互信、互利合作提供良好的制度环境。

(三)外国不当干预频现，数据霸权主义风险有待化解

近年来，外国政府或执法部门泛化国家安全概念，不当干预甚至打压我国数字企业的事件频发，对我国数据主权以及数据安全治理国际合作构成了外部挑战。2020年8月6日，特朗普政府以危害美国国家安全和外交政策为由宣布封禁TikTok，TikTok选择起诉特朗普政府以延缓禁令生效[25]。2021年3月，美国证监会通过《外国公司责任法案》(Holding Foreign Companies Accountable Act，简称HFCA 法案)最终修正案，要求所有在美国上市的外国公司遵守美国会计准则和法律，接受美国公众公司会计监督委员会(PCAOB)对会计底稿的审查[26]。而会计底稿涉及行业敏感信息甚至国家核心数据，京东、网易、中通快递等多家中国企业被迫赴港二次上市。2022年1月，美国联邦通信委员会以危害国家安全为由决定撤销中国联通美洲公司的214牌照，工信部旋即做出回应，对美国泛化国家安全概念、将经济问题政治化表示坚决反对[27]。

依托超大规模的国内市场，通过加快基础设施建设、强化科技创新及促进创新创业，我国数字经济保持快速发展势头，在消费、互联网等领域形成明显优势，成为推动世界数字经济发展的主要力量[28]。随着中国数字产业和数字企业“走出去”，西方发达国家尤其是美国频频推行数据霸权主义，对我国数字企业实施歧视性贸易待遇或动用行政力量进行打压，致使我国的国际环境日趋复杂，国际合作不稳定性不确定性明显增强。究其实质，这种数据霸权是传统霸权在数字经济时代的延续，旨在寻求本国经济的绝对安全。然而，数据霸权主义不仅会对我国的国家安全、数据主权、社会经济等造成威胁，还会对现有的国际合作造成极大冲击，在全球范围内引发一系列的安全困境，会使全球数据安全治理以及合作发展受阻[29]。

在今后的国际数字贸易往来中，即便我国对数据本地化模式进行适当调整，仍可能会遭受美国等外国政府的不当干预。为防范、化解外国数据霸权主义风险，我国仍需构建全面、系统且具有可操作性的阻断外国干预的法律规范体系，有效阻断并反制外国的不当干预，在保障我国数字企业合法利益的同时，为我国参与国际合作创造和谐、稳定、公平、有序的外部环境。

(四)职能管理部门不清晰，国际合作统一性和连贯性有待提高

实现数据安全治理国际合作的系统化常态化，不仅需要科学合理的制度安排，还需要建立职责清晰、分工明确的数据跨境监管机构，统筹负责国家数据主权保护、数据跨境监管制度实施与域外执法合作，提高我国数据安全治理国际合作的统一性和连贯性。

长期以来，我国在数据领域采取分散监管模式，地域间和行业间割裂监管、分散治理问题突出。2017年6月生效的《网络安全法》第8条第2款规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作”。以个人金融数据跨境为例，相关监管事项和国际合作职责划分不仅涉及网信部门，还涉及金融监管等部门(2)针对个人金融数据跨境，网信部门主要根据《网络安全法》采取“原则禁止，以安全评估为例外”的监管模式，而2016年颁布的《中国人民银行金融消费者权益保护实施办法》则采取“原则禁止，以业务必需+客户同意+关联机构+保密为例外”的监管模式，两者的差异性标准给具体执法带来阻力。，这种制度安排既降低了数据跨境领域的监管效率，也不利于我国与各发达数字经济体广泛开展国际合作。尽管我国已建立部际联席会议制度，但政策落实中往往涉及国家市场监督管理总局、工业和信息化部、商务部、国家发展和改革委员会等众多部门，既不利于我国统筹协调数据跨境安全治理的各类国际合作事项，也难以有效遏制域外监管部门对我国国家安全的侵害。我国参与数据安全治理国际合作面临职能部门不清晰、法律风险增加的难题，亟待予以因应。

2021年9月《数据安全法》正式生效，其中第5条提出建立以中央国家安全领导机构负责的国家数据安全工作协调机制，第6条规定各地区、各部门的数据安全监管职责，明确了“中央统筹主导，地方行业自治”的框架(3)《数据安全法》第5条规定：中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。第6条规定：各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。。虽然《数据安全法》并未改变我国数据治理领域的分散监管模式，但其提出的国家数据安全工作协调机制仍然对《网络安全法》有所突破。由于国家层面的数据安全工作协调机制目前尚未建立，其对我国参与数据安全治理国际合作的影响及作用有待实践检验。

三、因应数据安全治理国际合作挑战的主要对策

在数字企业出海合作的复杂国内外背景下，我国数据安全治理国际合作面临诸多风险挑战。为兼顾数据安全保护与数据自由流动，应从升级数据安全治理手段和措施、提高国际合作参与度、提高阻断外国不当干预的能力、建立独立的数据跨境监管机构等方面着手，采取有力举措，为我国实现更高质量的数据安全治理国际合作、提升国际话语权和国际影响力提供保障机制。

(一)升级数据安全治理手段和措施，防范数据安全风险

数据安全性是指在数字信息的整个生命周期中保护数字信息不受未经授权的访问、损坏或盗窃[30]，故单纯的数据本地化存储虽然在物理上具有数据安全外观，但在存储安全性、应用程序稳定性、传输保密性等实质层面却难以提供有效保障。因此，应升级数据安全治理手段和措施，构建数据安全治理新模式，为我国对接更高层次的数据跨境流动国际标准提供安全保障。

首先，全面建立数据分类分级制度，明确不同类型数据的保护水平和保障措施。《数据安全法》第21条明确指出“国家建立数据分类分级保护制度”，《管理条例(征求意见稿)》第5条指出“按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施”。在建立数据分类分级制度过程中，应当进一步明确“重要数据”的内涵标准、认定授权程序及其与“核心数据”的界限等内容，明确各地方、各部门对各类数据的监管职责，提升可操作性[31]。2021年12月31日，全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络数据分类分级指引》(以下简称《指引》)，系统构建了网络数据分类分级的原则、框架和方法，虽然《指引》并非法律层面的强制性规定，不具有强制约束力，但可以为监管部门进行数据分类分级管理提供一定参考。

其次，应进一步细化各类数据跨境的评估内容、评估标准、评估程序等事项，以防范数据跨境传输中的风险。其一，在评估内容上应评估数据跨境目的具有合法性、正当性和必要性；其二，应综合评估数据跨境可能存在的各类风险，譬如数据安全风险、反竞争风险、知识产权侵权风险、金融风险，对涉及国家安全、公共利益和个人隐私的数据设置跨境限制，并加强对数据跨境后风险的全程动态跟踪；其三，在跨境安全评估方式上，可以采取“数据跨境主体自评估+主管部门评估”的方式，以确保数字企业数据跨境安全。

与此同时，还应树立数据跨境全生命周期管理和风险全链条控制理念，强化全周期监管机制，及时预判并管控数字企业出海全过程的数据安全风险。对此，《评估办法(征求意见稿)》第3条规定“坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”，而《管理条例(征求意见稿)》进一步对数据跨境的事前、事中、事后各阶段做出规定。例如，无论数据采用何种方式跨境，事前都需要进行自评估；涉及个人信息的，需要进行个人信息保护影响评估；跨境过程中要履行数据安全保护义务；跨境后要监督数据接收方履行义务，以防范数据跨境安全风险；每年1月31日前编制数据跨境安全报告，报告上一年度数据跨境情况；出现数据侵权纠纷后，数据处理者应当依法承担责任等。因此，为提升数字企业出海数据跨境安全治理实效，应加快《评估办法(征求意见稿)》《管理条例(征求意见稿)》等配套规则的出台与实施。

(二)实现更高层次的数据自由流动，提高国际合作参与度

2020年9月8日，我国发起了《全球数据安全倡议》，表达我国对数据安全的相关主张。倡议书提出“反对利用信息技术破坏他国关键基础设施或窃取重要数据”“不得要求本国企业将境外产生、获取的数据存储在境内”“尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据”等，对推动构建互利共赢的新型国际数据治理体系具有积极意义[32]。不过，上述倡议内容偏原则化，并未涉及隐私保护等问题的具体解决措施，尚未形成可操作的规则体系[18]，对保障我国数据主权、安全和发展利益的作用十分有限。

在数据安全治理国际合作中，一方面，可顺应数据自由流动趋势适当调整数据本地化模式，在确保风险可控的前提下，分阶段分层次推广更高标准的数据自由流动模式，增强与各发达数字经济体以及CPTPP等自由贸易协定的互利合作，避免西方发达数字经济体以我国数据流动缺乏自由度为由，限制我国参与国际数据治理和经贸合作，以遏制我国数字经济高质量发展。同时，应兼顾数据自由流动与数据安全保护，对可能影响我国数据安全的重要数据和核心数据，可通过达成数据共享谅解备忘录和签署司法或执法互助条约等方式加强数据跨境流动的合作[31]。另一方面，可借助我国在“一带一路”沿线国家或地区的影响力，选择与我国贸易投资往来密切、政治互信度较好的国家或地区打开数据跨境治理国际合作新局面，争取在与沿线重要国家或地区的数字贸易往来中，就管辖权冲突或数据治理规则冲突等核心问题，达成若干高水平双边或多边协议，形成数据安全治理的中国方案，获得更多国家对中国方案的互信认同，以提升我国的国际影响力。并且，以“一带一路”沿线国家或地区为依托，积极主动参与国际数据安全治理规则的制定，弥补我国在数据安全治理上的不足，提升国际话语权，为世界贡献“中国智慧”[33]。

在此基础上，抓住《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership，简称RCEP)给我国数据跨境治理带来的有利契机，加快对接RCEP数据跨境治理规则标准，突破我国在欧洲和亚太地区的数据流动壁垒。同时，推动与CPTPP成员国尤其是与日本、新加坡、新西兰等RCEP和CPTPP的共同成员国的贸易谈判，积极寻求数据治理最大公约数，为我国最终加入CPTPP减小外部阻力。

(三)警惕数据霸权主义，提高阻断外国不当干预的能力

美国等发达数字经济体之所以极力推行数据跨境自由流动，根本原因在于其数字经济的规模、质量具有世界领先优势。通过数据跨境自由流动，美国可以获得全球互联网大部分数据，对数据跨境流动施加限制不符合美国国家利益[34]。实践中，美国通过数据控制者原则确立对境外数据的长臂管辖，并对不符合美国国家利益的企业或实体施加不当干预措施，严重损害了以我国为代表的发展中经济体的数据主权、安全和发展利益。

2020年9月，我国商务部发布《不可靠实体清单规定》，明确对损害我国企业、其他组织或者个人合法权益的国外实体，采取限制或者禁止其从事与中国有关的进出口活动、限制或者禁止其在中国境内投资等多种措施。2021年1月，商务部颁布《阻断外国法律与措施不当域外适用办法》(简称《阻断办法》)，以阻断外国法律与措施的不当域外适用，保护中国公民、法人或者其他组织的合法权益。由于《不可靠实体清单规定》和《阻断办法》均属于行政手段，缺乏国家层面强有力的法治支撑和法治保障，难以常态化、法治化地应对外国政府或执法机构滥用制裁手段和长臂管辖措施。

2021年6月我国颁布并实施《反外国制裁法》，为我国政府针对外国政府歧视性待遇采取反制措施提供了法律依据，弥补了我国涉外法律体系的不足。作为防范外国霸权主义和强权政治的纲领性法律文件，《反外国制裁法》既彰显了我国正面应对外国制裁行为的决心，也表明了我国将以一种体系化、长期化的法治思维来应对外国制裁[35]。在具体内容上，《反外国制裁法》的规定较为宽泛，为我国执法机关灵活应对外国制裁措施提供了更多空间。此外，《数据安全法》也纳入了相关规定，对我国数字企业或外国企业在我国的分支机构的数据跨境传输行为进行规范，其第36条指出我国境内的组织、个人向外国司法或执法机构提供存储在我国境内的数据需经我国主管机关批准；其第48条规定数据控制者和处理者违反规定向外国司法或者执法机构提供数据应承担法律责任。

简而言之，上述措施均体现了我国对构建全面系统且具有可操作性的阻断外国干预法律规范体系的努力，提升了我国应对外国数据霸权主义和维护国家数据安全的能力。当然，随着我国数字经济的蓬勃发展，美欧等数字经济强国势必会对我国数字企业采取更加严厉的打压手段，故在今后的法律法规体系建设中，需进一步出台相应配套性规则，以提高阻断外国不当干预的能力。

(四)建立独立的数据跨境监管机构，统筹负责数据跨境国际合作

在机构创新方面，可尝试建立独立的数据跨境监管机构，协调各地区、各行业数据跨境的具体事项，并统筹负责我国数据跨境对外合作事务，系统强化对个人数据、企业数据、公共数据和国家数据的保护管理与制度落实。从国际经验来看，当前已制定或将要制定统一个人数据保护法的国家多达101个，其中75个国家设立了独立的个人数据保护机构[8]。譬如，欧盟GDPR第51条明确要求其成员国有义务建立国家层面的数据保护机构(Data Protection Authority，简称DPA)。

建立独立的数据跨境监管机构符合大数据时代的数据治理需要，将极大地化解职能部门不清晰、对外合作不协调等现实问题，提升数据跨境监管效能。具言之，该机构可代表我国统一处理与其他国家和地区有关数据跨境规则的磋商和协调，保证对外合作的统一性和连贯性。针对外国政府的不当干预和歧视性待遇，该机构可充分行使职权，及时为我国数字企业提供强有力的协助措施。例如，根据《反对外国制裁法》《阻断办法》《不可靠实体清单规定》等法律规范的要求，采取对等性反制措施，保障我国数字企业的合法利益，充分表明我国坚决维护国家主权、尊严和核心利益的立场。

2021年7月，广东省人民政府发布《关于印发广东省数据要素市场化配置改革行动方案的通知》(以下简称《通知》)，从释放公共数据资源价值、促进数据交易流通、强化数据安全保护等方面着力，推进相关改革。《通知》明确提出，“支持广州南沙(粤港澳)数据要素合作试验区、珠海横琴粤澳深度合作区建设，探索建立‘数据海关’，开展跨境数据流通的审查、评估、监管等工作”[36]。虽然“数据海关”的具体职能尚不明确，但在今后建立独立的数据跨境监管机构时，可以广东省的数据海关为试点，就机构设置和职权范围进行有益尝试，为我国探索数据跨境监管机构改革提供宝贵经验。由于短期内建立数据跨境监管机构的难度较大，在该机构正式落地履行职能前，可在中央国家安全领导机构的统筹协调下，根据《数据安全法》第5条的规定建立国家数据安全工作协调机制，实现跨行业、跨部门协同监管，统一各类重要数据和个人信息的跨境监管标准与保护措施。

四、结 语

在数字经济时代，数据要素作为基础性战略资源和关键性生产要素的双重属性愈加突显。为提升国际竞争力，避免因数据泄露对国家安全、商业利益和个人隐私产生危害，各国纷纷制定和出台数据跨境安全治理规则，努力在新一轮的科技革命中占得先机。然而，各国数据跨境安全治理规则的核心立足点在于维护本国的国家利益和重大商业利益，实现并放大本国对数字经济发展的利益诉求。在此背景下，以美国为代表的发达数字经济体极力推行数据跨境自由流动，通过长臂管辖加强对境外数据的控制，加大对发展中国家数字资源的掠夺，以维护其在数据领域的霸权地位。面对日趋复杂的数据安全国际形势，我国应积极参与国际合作，推动数据跨境安全治理体系的建构。以合作促发展，以发展谋共赢，在确保数据安全的前提下积极参与国际合作，必将有助于推动我国数字经济的高质量发展，有助于构建以国内大循环为主体、国内国际双循环相互促进的新发展格局。