跨境数据流动规制的自由化与本地化之辩*

邵 怿

(南方科技大学廉洁研究院,广东 深圳 518055)

对于数据跨境流动的规制,在过去的十数年间,国际社会经历了一个由“自由化”走向“本地化”、再有限回归“自由化”的思潮转变过程。在二十一世纪初期,基于网络自由主义思潮,对于数据流动,国际间普遍遵从市场的导向作用,强调网络作为“公共领域”所应保持的独立性与开放性。然而,自由化的数据跨境流动并没有使信息技术革命的成果普遍惠及于各个国家,尤其是没有惠及广大发展中国家,[1]强者恒强弱者恒弱的局面并没有得到改变。因而,从2016年开始,基于维护本国数据安全与推动本国产业发展等因素,包括俄罗斯、越南乃至欧盟等在内的部分国家,开始以立法的形式限制数据的跨境流出,以实现将特定数据本地化管控的诉求。数据本地化在过去十年间迎来了一个立法高峰期,据经济合作与发展组织的统计,在2017年,除了一些信息化水平较低的地区外,全球绝大多数国家均已实施了不同程度的数据本地化管控,立法所涉及的数据类型包括个人数据、金融数据、医疗数据等。[2]P11-12但数据自由化也并没有完全退出历史舞台,在部分场景之下甚至依旧占据主流,如国际贸易与金融等。考虑到数据自由流动与经贸发展的正相关作用,在各国新一轮多边以及双边自由贸易谈判中,倡导数据自由化流动与减少贸易壁垒也已经成为了公认的重要议题。

具体到我国,自2016年《网络安全法》以来,已经实现了跨境数据流动规制的初步体系化,国内层面,我国以立法的形式明确了数据出境的若干合法要件,同时确立了安全评估制度,国际层面,我国以双多边贸易为载体,对部分类型数据的流动进行了规制。但长久以来的“领土依附”传统限制了我国对部分合法域外数据的利益获取,同时严格本地化的规制模式也开始落后于我国国际经济合作与数据治理实践。因此,如何在本地化与自由化并存的背景之下平衡二者的冲突,如何在维护国家安全的同时最大化数据自由流动所能带来的正向作用,对此,本文将在对国际间主流立法加以梳理的基础之上,以概念的解构与引入作为起点,通过定性研究来概括国际间主流规制手段的路径特征与场景例外,通过量化分析来寻找自由化与本地化模式形成的内部成因与外部驱动,最终加以综合研判并提出跨境数据流动规制的中国方案。

一、自由化:基于国际贸易的衍生

在非干预的前提下,数据天然的具有流动性,然而,数据的跨境流动并不是内生的,其从无到有、从个案到常态,都可以视为国际贸易推动的结果,[3]具体来说,二者的结合与互动主要有以下四种形式:一是通过网络的货物进出口,主要是数字平台;二是与网络数据相关服务的提供与消费;三是基于进出口货物价值与需求的数据收集与分析;最后是数据流动本身所带来的就业机会。此外,数据的跨境流动与经济的发展也处于一种正相关的关系之中,充分的数据跨境流动往往能够带动经济增长的最大化,据经合组织的统计,在2016年,数据的跨境自由流动给全球经济贡献了约2.8万亿美元生产总值,约占全球生产总值的百分之三点五,并且,这一数据在2025年预估将达11万亿美元。[4]从另一个角度来看,也有调查研究表明,全球货物贸易中,约百分之十二是通过国际间数字商业平台开展的,如阿里巴巴、亚马逊等。[5]P90但技术较为成熟的发达国家成为了主要的受益者,据统计,在过去的五年里,全球前十大经济体的国内生产总值有百分之十是由网络所直接贡献的,每2.6个工作岗位中,就有一个直接与网络相关,同时网络数据的跨境流动也为全球带来了巨大的收益,这其中有百分之三十由美国所直接占有。[5]P91不难发现,由于技术层面的差距,网络与数据流动对于发展中国家经济与贸易的总体贡献依旧是远低于发达国家的。[6]如果认为数据的跨境流动是自由贸易与自由市场发展的必然产物,是贸易全球化的重要保障,那么,仅从历史发展的角度来论证,我们似乎可以得出一个直接的结论,即纯粹的数据跨境流动,尤其是商业数据,基于市场导向的自由流动显然是无可厚非的,过度的干预无疑会对经济与贸易的发展造成不必要的阻碍。此外,数据的跨境流动直接受益于全球化与国际经贸往来,但也并不局限于此,其也已经渗透到了包括医疗、教育、体育等几乎所有产业领域并逐渐常态化。①数据的跨境流动已经不再仅仅起到便利国际贸易与提高经济效率的作用,也推动了社会的整体进步,包括社会福利与生活质量的直接提升。[7]

然而,自由化的内核是去法治与无监管,随着数据类型的多样化以及数据重要性的增加,完全的放任也可能会造成如下四个方面的弊端:首先,个人信息数据的跨境流动往往不可避免地对隐私权构成了潜在的威胁,尤其是当前跨国公司对于数据的过度收集更加剧了这一担忧;其次,数据在便利跨国经贸往来的同时,也降低了跨国犯罪的成本,并且,完全自由化的数据跨境流动也会为犯罪的调查与取证带来程序上的负担,不利于责任的追究;再次,数据流动本身是以数据包的形式在网络介质中加以传播,其本身并不含有实质性内容,[8]加之传播数据的体量之大,因而对于其内容的即时检索与解读存在技术上的困难,这既不利于监管的开展,也客观上为数据侵权提供了便利;[9]最后,考虑到数据在互联网时代的重要价值,当一国的重要数据流入并存储于他国服务器时,也会相应地对国家安全造成一定的威胁,[10]“棱镜门”事件便是一个极为深刻的实例。在此背景之下,对于广大发展中国家和技术欠发达国家而言,一方面,网络与数据自由化的红利并未大量获取,另一方面,自由化背后的弊端却实实在在地承受着,换言之,跨境数据流动的完全自由化措施虽然能够有利于经济与贸易的发展,但其在安全、公平等方面的弊端也是上述国家所难以承受的。在经济发展与数据安全的双向价值诉求之下,自由主义思潮开始在网络空间逐渐退却,随之而来的是网络空间主权思想的兴起,具体到数据跨境流动层面便是数据自由化跨境流动被或激进或温和的数据本地化政策与立法取代。但二者并非处于一个非此即彼的对立状态,而是在不同的领域,按照动态的比例,处于一种衡平的互动之中。

二、本地化:基于限制程度的初步解读

数据本地化首先基于一个基本的共识,即数据之于当前数字世界具有关键性作用,因此,其必须被限制在一国领土范围之内,[11]因此,其通常要求特定类型的数据在境内存储、处理和管理,而不允许或限制将这些数据跨境传输到其他国家或地区。数据本地化的核心要求是通过对数据“流出”环节采取限制,以将特定数据保留在国内服务器上,进而便利本国公权力主体能够更好地监管和管理这些数据,同时也可以避免数据被不受信任的第三方访问。但数据本地化从立法角度看,所期望达成的价值是多样化的,对于如何限制数据的外流,各国普遍采取了区别但相似的数据流动规范,相似在于各国立法或政策的出发点主要与数字工业政策或经济保护主义相关联,同时也蕴含着对公共政策或国家安全的追求;[12]区别则在于限制程度之上,具体可以量化为下表:

表1 数据跨境流出的限制模式

(一)有条件的自由流动

上表中,最为极端的情况是完全的无限制和完全的禁止流出,采纳这两种立法模式的国家并不多见,对于后者,具有代表性的当属俄罗斯2019年《主权互联网法案》,其规定:俄方相关部门在“紧急情况下可将本国网络与全球互联网断开”,具体实践可以参考2022年俄罗斯与乌克兰的冲突,此次冲突中,俄方于3月正式断开与全球互联网的连接,转而使用本土互联网Runet。[13]相应的,另一个极端,即无限制模式也并不多见,通常主要集中在互联网普及较低以及网络技术发展较为落后的国家。从整体来看,各国实践主要还是集中在有条件流出这一区间,其中,模式1,即“隐私责任限制”,并不禁止数据的跨境流出,也不要求数据流出应当具备特定的条件,但对于数据输出方一般都明确规定了事后问责机制以确保数据不被加以滥用。[14]模式2,即“适格主体评价或条约机制授权”,在当前得到了较多的立法实践,在此情况下,数据接收方通常被要求具有充分或对等的数据保护等级,或是基于国际性公约机制,在上述条件都不具备的情况下,只要满足如下要求,数据依旧可以流入第三方,包括:数据主体同意、数据传输是基于合同履行的需要、基于公共利益,以及数据传输对于保护数据主体重要利益是必要的等。[15]

而模式3,即基于“具有约束力的公司规则”而进行的跨境数据传输,其限制程度要明显强于模式1和2,但相应的,其适用场景具有一定的局限性,主要涉及特定的行业数据,要求跨国公司能够为数据保护提供有效的权利保障与法律救济机制,即便数据流入国并非适格主体,只要保证数据在企业内部系统流动,依然可以被允许。然而,公司规则的认可往往需要经过输入与输出国两方的数据保护机构批准,而这一批准过程往往需要耗费较长时间,并且其结果也往往不具有可预测性。因而,也有部分国家采取了“标准合同条款”的模式来加以代替,[16]即对于数据向第三方的流入,数据保护机构预先准备好相关规范,加入上述规范的合同可以自动被视为能够提供充足的数据安全保障,因而可以便利向第三国进行传输,但这一条款也具有一定的缺陷,主要在于具体权责往往难以实现,同时也会导致更高的行政成本。并且,数据流动也会融入到一个庞大且错综复杂的产业链中,无论是标准合同条款亦或是约束力公司规则,实际上也很难防止数据接受方的下游主体对数据加以滥用。

(二)临时性流出

相比较模式1至3,模式4即“临时性流出”,主要针对的是非适格的数据接收主体,通常指数据输出国的有关公权力机关,根据接收国有关公权力机关的请求,临时性地对特定数据的跨境流出进行许可,并且面向的是相对具体的场景,或较为特殊的数据类型。模式4最为常见的适用场景当属传统的司法互助协议,这一程序主要针对的是司法审判与个案相关的数据,数据存储国往往首先基于接收国的司法或外交部门请求,针对个案进行临时性的数据跨境传输。此外,模式4也可用以针对部分特殊类型数据的跨境传输,如我国《网络安全法》第37条规定:“对于关键信息基础设施的运营者在我国境内收集和产生的个人信息和重要数据,因业务需要,确需向境外提供的,依据国家网信部门会同国务院有关部门制定的办法进行安全评估,评估通过方可流出”。不可否认的是,模式4往往伴随着较为复杂的程序,如基于司法互助协议的数据跨境传输,通常包括“申请-审查-批准-筛选”等环节,[17]这一过程是耗时且低效的。同时,模式4与公司规则一样,也缺乏可预测性,无论是安全评估或者合规性审查,各国相关实践的范围和标准并不明晰,其中也不乏政治因素的导向,这也注定了模式4只能作为常规程序外的补充而存在。

(三)“生成地”与“来源地”的介入

在确定数据跨境流动规制之前,我们依旧有一个前置性的工作需要完成,即对于数据境内与境外的区分。该问题看似简单,因为我们似乎可以通过数据所处的服务器位置来判断其与特定领土的联系,但实则不然。网络空间与实体领土的割裂被技术的进步所进一步放大,尤其是云储存与大数据的发展,将不可避免地剥离数据行为、数据储存与数据主体三者在地理上的联系。因此,我们有必要引入两个全新的介入概念,即“生成地”与“来源地”,[2]P29二者是具有显著区别的,所面对的数据类型也并不相同,数据的生成是一个收集性的行为,其主要代指通过对单一数据源的定性研究而形成的数据,其包含有数据加工与再处理的环节,可以说,生成数据是多个原始数据的集合,但对于生成国而言,其所使用的原始数据既可能来源于本地,也可能来源于第三方,即数据的生成地与来源地可能位于不同的主权领土之内。以分布式储存为例,数据α来源于A国,其后发送至B国,并在此与来自C国的其他数据共同形成新的数据集合β。那么,在这一过程中,A国可以视为原始数据α的来源地(唯一)与生成数据β的来源地(之一),而B国则是β数据的生成地。但如下两个问题也随之而来:首先,B国可否将数据β视为境内数据,进而加以上述的本地化管控;其次,A国与C国可否主张生成数据β为境内数据,进而加以本地化管控。

对于上述两个问题,目前并没有一个统一且权威的回答,并且基于不同的观点与立场,具体到数据跨境流动管制这一环节,也衍生出了两种补充模式:首先,双本地化管控模式,即以数据主体为判断标准,同时认定来源于本国(包括来源于境外的本国主体)以及生成于本国的数据都为境内数据,进而依照同样的标准来加以跨境流动管制;其次,生成地管控,即以数据行为为判断标准,仅认定生成于本国的数据为境内数据,并加以管控,无论其来源是否为本国,反之则为境外数据。[2]P23当然,上述两种模式实际上都较为宽泛,实践中,各国普遍采取的主要是管控程度有所区别的中间模式,通常情况下,基于对等原则,往往会以“来源地例外”模式或“白名单”制度作为补充,包括在一般性的数据本地化规制措施之外,允许生成的数据向来源国自由回流,或允许其在白名单国家或来源地国家间自由流动。[18]P6总的来说,依照限制程度的不同,主要可以归纳为下表所示的四种类型。

表2 结合来源地与生成地的数据跨境管控模式

三、基于主要经济体立法的量化分析

(一)一个初步的结论

如果将上述跨境数据流出的四种模式与数据的“生成”与“来源”两地加以排列组合,会得出一个极其复杂且无序的图谱,但如果依据限制程度的不同,同时结合当前各国的立法实践,除了绝对自由化和严格本地化这两个极端之外,我们可大致将数据跨境流动规制的主流模式分为三类:一、相对宽松的本地化模式,即有条件地允许本地数据向特定国家跨境传输;二、相对严格的本地化模式,即临时性流出与“来源地”例外或“白名单”模式的结合;三,严格的本地化模式,即“双管控”模式与临时性流出或禁止流出模式的结合。据经济合作与发展组织的统计,就国际间已有的数据本地化立法而言,当前获得较多认同的是相对宽松的模式,约占百分之四十二;其次是相对严格的模式,约占百分之三十三,而严格的本地化模式与其他则仅有约百分之二十五的国家支持。[2]P37

(二)变量的引入:数据类型

不可否认,上述结论仅仅是静态层面的,也仅能够粗略地反映一国立法对于数据跨境流动的整体态度,若以数据类型来加以再考量的话,我们则会得出另一组数据,即基于数据类型的本地化规制趋势。具体而言,对于数据的类型,目前参照经济合作组织的标准,主要可以分为三类:首先是个人数据或个人识别信息,其次是特定行业数据,包括商业、金融、健康数据等,最后一类是与国家安全、经济发展、社会与公共利益密切相关的“重要”或“关键”数据,通常包括能源、军事、关键性基础设施、核武等。[2]P22笔者选取了具有代表性的二十国集团,以数据类型与本地化模式类型为参考指标,可以得出下表:②

表3 基于数据类型的20国集团数据本地化立法统计

通过对上述国家立法的一个定量分析,我们可以对上述观点加以进一步的优化,首先,在数据本地化成为国际主流的大背景下,各国将立法与政策的主要焦点落实在了个人数据的保护之上,换言之,个人数据立法具有较高的优先级,并且,对于个人数据的跨境流动规制,相对宽松的限制模式是一种主流选择,因此,上文非量化分析的结果更多反映的仅是个人数据的本地化规制,不具有普适性;此外,作为另一个主要的着力点,对于金融与商业数据的跨境流动规制,往往是经济发展程度越高的国家与地区越趋向于宽松化的管制,而经济发展程度较低的国家与地区则采取较为严格的本地化管制;最后,对于重要数据与个人健康数据,基于国家安全的考虑,各国普遍都是采取了相对严格的本地化措施。总的来说,各国已经普遍认识到,数据跨境流动规制并非是一个“一刀切”或“一揽子”的过程,而是一个在区别数据类型基础之上加以动态调整的过程。

(三)变量的引入:国际合作与协调机制

即便我们针对数据跨境流动规制加以了分类调整,但这依旧不够全面与动态,原因在于我们仅以国家或国际组织作为单位,以国内立法或区域间立法为分析对象,忽视了另一个重要介入因素的影响,即地缘政治。经合组织将数据本地化立法分为三种,除了国内立法之外,还包括双边规范或政策以及政府间协议。[18]P5以美国为例,其有关国内数据立法并不发达,主要原因在于其更倾向于通过签订自由贸易协定的方式来点对点地确立数据自由流动的“白名单”制度,或者通过政府间协议的方式来参与乃至构建国际公约机制,以在特定共同体内实现基于市场导向的数据流动。如APEC隐私框架下的“跨境隐私规则体系”,这一体系共有包括美国及其传统“盟友”在内共计八个国家或地区的加入,是当前多边监管中较为成熟的机制;又如在2011年《跨太平洋伙伴关系协定》中,也以专章的形式纳入了具有约束力的条款用以规制数据跨境流动以限制数据本地化存储,但参与协议的国家也还是主要以美国传统盟友为主。在构建“白名单”之外,美国的国内立法,如尚未生效的《国家安全和个人数据保护法案2019》,也点对点地为某些“特别关注”国家或机构设立“黑名单”,以形成数据的禁流区。③采取类似措施的国家还包括欧盟、印度、巴西等,以欧盟为例,其规定个人数据可以在成员国之间自由流动,但对于向非成员国的流动,则设立了诸多的门槛,其所加以考量的标准包括有“个人数据保护法治”、“人权保障”等,④这一具有明显意识形态与地缘政治色彩的标准,对于我国而言显然是不友好的。此外,APEC在《隐私框架2005》以及配套的“隐私开创者计划”中也设立了包括国内司法、隐私保护执法机构、信任标志提供商、隐私法规是否与APEC隐私框架的一致性等准入门槛,[19]上述标准的满足对于我国而言,依旧是不现实的。更为直接的排斥还可以参考欧盟发布的《数字服务新发展》研究报告,其中直接提议建立与欧盟政治价值观配套的网络防火墙,限制国际互联网服务。[20]因此,不难看出,就优先级较高的数据来说,如健康数据、重要数据等,严格本地化或者相对严格的本地化依旧是国际间的一致趋势,受到地缘政治的影响较小,但就个人数据、金融数据以及商业数据这三者而言,当前国际间的主流模式可以进一步归纳为在“共同体”内自由流动,而“共同体”外则限制乃至禁止流动。

在此,经过动态与静态层面的分析,同时结合宏观国际政治环境,就跨境数据流动规制的国际主流模式与样貌,我们可以得出一个综合且完善理论:首先,数据跨境流动,无论是完全的市场导向,亦或是完全的本地化约束,两种极端的做法都不是当前各国的主流选择;其次,在肯定了数据本地化的必要性之后,对于采取何种程度的本地化措施,实际上取决于多方面的因素,目前并没有一个国际间的通用标准或模式,需要加以考虑的客观因素包括有数据类型、数据重要程度、经济发展程度等,需要考虑的主观因素包括有各国的现实社会需要、技术发展水平等;最后,基于地缘政治与意识形态的影响,逆全球化思潮已经在网络空间兴起,强区域化趋势与数字保护主义也已经逐渐成为主流。因此,如何突破“集团封锁”与“数字鸿沟”,[21]进而最大化与均衡化数据红利的获取,对于包括我国在内的广大发展中国家而言,都是至关重要且亟待突围的难题。

四、我国的选择:被动防御亦或主动突围

严格的数据本地化在一定意义上具有防御他国恶意管辖与维护本国合法数据权益的作用,然而,正如上文所述,绝对的本地化是不现实的,跨境数据流动的规制必然要考虑不同主权国家之间的规则衔接与可能的立法冲突。作为网络大国与数据大国,我国自然也无法闭门造车,也需要考虑域内立法与域外规则的对接,以及法律规范与技术标准的协调。参考相关立法,2011年《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》可以视为是我国对跨境数据流动规制的第一次尝试,其在第六条中规定:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息”。从文义上来看,对于我国公民的金融数据,该《通知》已经明确了严格的本地化的立法思想,对于数据的域外流动采取了完全禁止的态度。在后续的2014年《人口健康信息管理办法(试行)》、2015年《地图管理条例》、2016年《网络出版服务管理规定》等立法中,严格的本地化依旧是主导取向,当然,这也是与彼时我国的经济与技术发展水平相适应的。但随着相对宽松本地化管控的势起,我国也开始逐步转变传统立法思想,如代表性的《网络安全法》以及《数据安全法》,二者确立了数据出境安全评估机制,规定对于关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据,原则上必须存储于我国境内,确需跨境传输的,应按照国家网信部门会同国务院有关部门制定的办法进行安全评估,亦即数据跨境流出的前置性程序。同时,2021年《个人信息保护法》也规定了个人信息处理者向境外传输个人信息所应当具备的四种条件,除了安全评估之外,还包括有“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”、“个人的单独同意”以及根据我国“缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求”。可以确定的是,《个人信息保护法》就数据跨境流出这一环节来说,已经开始融入“适格主体评价或条约机制授权”与“具有约束力的公司规则”这两种模式,相较之早期的立法,这是一个重大的改变。但这也依旧仅仅是一种被动的防御措施,其实质是与国际主流标准的被动接轨而非突破,成为网络强国需要我国实现话语权的掌握,也需要完成由运动员向裁判员的转型,换言之,即主动突围“集团封锁”并构建跨境数据流动的中国模式,然而,预期达成上述愿景,我们当下首先需要解决如下三个困境。

(一)领土化依附:以《个人信息保护法》第三条为起点

比较来看,作为法律的适用条款,我国《个人信息保护法》第三条与欧盟《通用数据保护条例》的第三条在内容上是高度相似的,后者规定“为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价”、“对发生在欧洲范围内的数据主体的活动进行监控”,而我国规定“(境外活动)以向境内自然人提供产品或者服务为目的”以及“分析、评估境内自然人的行为”。但在合规对象这一问题之上,欧盟是围绕“人”展开的,既包括与欧盟公民有关的域内外数据行为,亦包括欧盟境内设立的数据处理者与控制者的域内外数据行为;而我国是围绕“领土”展开的,既包括境内(信息)活动,也包括对境内产生影响的境外活动。具体到应用场景之中,首先,面对来源地为他国,而生成地为我国的数据,如我国境内相关主体对他国金融或商业数据加以分析,并随之生成了新数据,那么上述两种模式并无区别。但如果将上述过程倒置,对于来源于或储存于我国,但后续在境外生成的数据,如我国公民或法人在境外旅游、贸易、教育等过程中所产生并为他国所收集、处理的数据,在我国法律体系下则属于境外信息活动,进而无法加以有效地保护或提出正当获取的诉求。此外,对于来源与生成都在境外,但处理者与控制者为我国主体的数据,如我国互联网企业在域外服务器所获取的本地数据,按照我国目前的规定,也依旧属于境外信息活动,不受我国立法的约束,也不存在合规义务。然而,后两种假设场景如果适用欧盟或美国立法,结论是完全相反的。

(二)生成数据与交叉数据的规制盲区

目前我国依旧仅仅实现了规制与管控体系的初步完备,在整体之下依旧存在着盲区与冲突,尤其是规则适用与权责划分领域,问题比较集中,并且也直接关系到了安全评估机制的实际效能与执行。具体来说包括两点:首先,交叉数据的管控,以个人收入信息为例,其可为金融机构所持有,进而定性为金融数据,也可为电子商务平台所获得,进而归纳为商业数据或个人信息,亦或者,即便是在个人信息这一大类之下,也可能含有教育、医疗、隐私、未成年人信息等若干级别完全不同的子类。换言之,同样内容的数据可以为不同行业所获取或留存,或基于不同的标准,进而被同时归入不同的两个或多个类别之中,或适用不同的跨境流出标准。对于交叉数据的规制,多标准与多法律的竞合将是不可避免的,尤其是在数据跨境流通这一环节上,考虑到我国《数据出境安全评估办法》中存在有关“敏感程度”的评估,对于交叉数据的分类将直接关系到其后续出境所面临的审查标准与程序;其次,对于生成数据或数据集合的监管盲区,以个人主体为例,当某一数据处理者同时收集消费、隐私、健康、金融等多类数据,并加以“用户画像”,那么对于新生成的数据集合,我们若选择将其视为一个整体并使用单一程序与标准对其加以跨境评估,那么我们依旧会回到上述交叉数据的监管难题之上,若选择回归原数据、加以分别评估的话,一方面在效率层面是不可行的,另一方面也会面临一个难题,即是否需要因为个别数据的禁止出境而否定整体数据集合的出境。不可否认,无论是交叉数据亦或是生成数据,对于其跨境流动的规制向来是各国立法所面临的公认难题,但主动突围与话语权的获取,首先需要的便是对争议话题与前言领域的提前布局与介入,这可以视为是由运动员向裁判转型的有效路径。

(三)双/多边国际合作的不足

在域内立法的革新之外,主动突围的另一个直接思路便是国际合作治理的参与,随着APEC跨境隐私规则体系的建立以及新一轮国际间贸易协定的出台,如《全面与进步跨太平洋伙伴关系协定》(以下简称CPTPP)、《跨太平洋伙伴关系协定》(以下简称TPP)等对数据跨境自由流动的强调,我国也逐渐意识到域外国际合作立法的重要性,尤其是在国际贸易与数字贸易的规则制定、数据保护与隐私法律、争端解决机制等方面,我国进行了诸多积极的尝试,如将相关规则嵌入“自由贸易协定”(FTA)、“区域全面经济伙伴关系协定”(RECP)等双边或多边贸易谈判之中。[22]前者参考已经达成的双边协议,如“中国-新加坡”、“中国-瑞士”、“中国-澳大利亚”等,我国普遍在“具体承诺减让表”中授予了他国银行与保险业金融部门或分部门跨境提供金融信息或金融数据服务的权利,这实际上已经构成了对上述国内早期相关立法的突破,摒弃了严格的本地化模式,并且与部分国家实现了“点对点”的自由流动。但就个人数据与商业数据的跨境流动规制,在当前我国所达成的相关协定则较为模糊,且存有进一步解释的空间。⑤以最新的“中国-新加坡升级自由贸易协定”为例,在其第新十五章中,参考对于商业数据和个人数据的跨境流动仅明确了如下两方面,首先,根据第二条及第三条规定,支持电子商务的发展,减少不必要的壁垒是双方都期望达成的共识,因此对于商业数据的监管应“最小化”,应最大限度的实现商务数据的自由流动。但就适用标准而言,协议仅补充规定了可“适当考虑其他相关的国际标准”,但并未明确相关标准为何。此外,在协议的第七条与第八条中也加入了对于个人信息的保护条款,强调“双方应尽力就各自体制进行信息交换,提升相互之间的兼容性”,这一表述无疑明确了两国就个人信息的跨境流动应当以非本地化为努力方向,但由于双方在体制与立法层面的不同,如同商业数据一样,对于如何具体进行个人信息的交换以及基于何种标准交换,实际上依旧暂未明确。⑤

在多边国际治理参与层面,进展也较为缓慢,我国当前最具代表性的多边成果是在2020年11月通过的《区域全面经济伙伴关系协定》,在《协定》中,与点对点的FTA一样,我国已经明确了部分金融数据在成员国之间的自由流动,但在此之外,对于其他类型的数据,则并未或较少涉及。⑥考虑到我国国内立法的严格属地传统,WTO所倡导的“谋求禁止数据本地化”主张目前很难与我国立法完全相融合,并且,中国问题并非独有,而是发展中国家的普遍担忧,早在2011年TPP第七轮谈判中,美国便主张将强制性的跨境数据流动规制列入草案文本中,然而,这遭到了包括越南、马来西亚等国的直接反对,认为这直接与国家安全相冲突。[23]自此,不难看出,在国际合作的层面,我国已经开始逐渐尝试由相对严格的本地化模式向相对宽松的本地化模式转变,但预期通过加入已有体系来达成规则与标准的对接,显然存在着一定的困难,也不符合我国作为最大发展中国家的定位,因此,主动突围与另起炉灶成为了我国的首选。

五、突围的应然路径

当确定了主动突围是我国当下网络数据立法的应然选择,那么,我们便需要就如下三项工作提前布局:首先,概念的再释义与统一,主要针对的是领土化依附倾向所导致的数据控制弱势以及交叉数据管控盲区这两个困境;其次,区域的能动与创新的发挥,主要解决的是生成数据管控空白这一问题,同时,也为我国数据跨境流出提供了“法中法”选项;最后,基于信任体系的国际规则建立,主要服务于我国国际数据合作与治理的参与,可以视为是“法外法”选项。

(一)去“领土依附”与“本地化”概念的再明确

“领土依附”的传统间接导致了我国在数据跨境流动规制中重“生成”、轻“来源”,对于很多本应属于我国或来源于我国的数据会由于无法可依而难以有效获取并加以管控。为此,结合国际间主流立法选择,有效突围的关键在于应释明“境内”与“境外”的标准,具体来说:首先,积极寻求立法的去“领土依附”,参考欧盟、美国有关的立法实践,应以“人”和“数据来源”作为辨别境内与境外的主要标准,对于来源地和生成地都为我国的数据,应视为完全的境内数据,进而参照当前立法予以相应的规制;其次,对于我国主体在境外生成的数据,如我国公民在域外产生的金融、医疗、教育等数据,应确定“本地(我国)留存”制度,包括一方面基于对等原则,允许其相对自由地域外储存,另一方面也要求新生成数据应在我国留有备份;最后,对于我国境内生成或储存的境外主体的数据,我国也应当基于对等原则,确立点对点的数据流通机制,确保数据能在生成地(我国)与来源地(境外)之间自由流动,这是尊重他国数据主权与数据安全的应有之意,但对于此类数据,我国也应当保有“本地留存”的权利。

此外,也需要指出,去领土依附并不与我国所倡导的网络空间主权思想相抵触,承认并尊重他国网络主权、数据主权与管辖权域外行使之间是可以达成应然平衡的,同样,数据管控权的域外行使与网络数据跨境流动之间也可以实现自由与有序的统一。这需要我们严格坚持以实害结果为导向,对于直接主体与本国主体加以优先管控,对于上下游的间接主体和域外主体,非基于国家安全与公共利益,则弱管控;此外,考虑到自欧盟《通用数据保护条例》以来,域外数据流动的双管控模式已经成为了国际间立法的主流模式,我国的立法跟进从另一个角度来看,也有利于自身数据利益与司法主权的维护,尤其是在面对域外国家恶意干涉的情况下,可以形成有效的战略缓冲,进而实现国家对数据的最高控制权。

(二)重视“分级分类分区域”立法的创新价值

对于交叉数据与生成数据的管控直接关系到我国跨境安全评估机制的落实与否,因此,下一阶段我国立法的补修应以实现整体统一与局部创新为目标,具体来说,首先,统一是整体规则与标准的统一,对于关键性基础概念,我国各级各类立法中仍有冲突发生,因此,下一阶段的立法应加以统一释义,提高立法质量,以良法促善治,[24]对已有的各级各类数据与网络法规、政策、文件等加以主动审查与专项审查,一方面允许并支持差异化立法的存在,另一方面也应避免下位法与上位法之间、同级立法之间的冲突;其次,明确数据的一级分类,并匹配与之相应的跨境流动安全评估兜底标准与一般程序,对于交叉数据,则加以二级分类,如在个人信息一级分类之下,依据敏感级别的不同,细分出个人金融信息、个人健康信息、个人消费信息等,并在上述兜底标准与程序的基础之上,进行或严或松的微调;最后,整体的统一并不意味着管控权力的绝对集中,我们允许相对的集中评估审批,但考虑到数据跨境流动规则与经济发展以及产业需求呈现出一定的正相关关系,因此也应允许部分有条件的区域与地方发挥创新性示范作用,[25]在整体架构之内建设“数据跨境流通自由港”与“个人数据跨境流动白名单”。正如《粤港澳大湾区发展规划纲要》、《中共中央国务院关于支持深圳建设中国特色社会主义先行示范区的意见》等文件中多次提出的“深港澳数据融通机制”,便可以视为单一地方立法向区域协同监管的一次积极探索与创新。可以确定,扩大局部数据自由流动水平、优化评估审查程序,在规则协调以及概念统一的前提之下构建符合地方经济与技术发展水平的“法中法”是一个兼顾防御与突围的中间选择,一方面,“数据特区”的确立可以促进我国域内规则与国际标准的接轨,减少与避免不同法域间的规则硬冲突,同时,对于国际数据要素市场的建立,可以视为是一种正向反馈;另一方面,在特区的内与外设定不同的本地化标准,也可以积极引导数据的分类配置与自主流动,换言之,对于重要数据,主要配置于特区之外,并加以严格限流,而对于非重要数据,则可以依据其敏感程度加以定点储存,允许其有序的跨境流动,或是赋予数据相关主体以法律与标准选择的机会,在确立若干兜底条款的前提之下,发挥市场对于数据资源配置的作用。

(三)信任体系与国际规则话语权的同步建立

构建数据跨境流动的中国模式一方面需要在国内立法中构建“法中法”,进一步多样化本国的相关规制,力求在攻防两端维护我国对于数据的最高控制权;另一方面,也应着眼于国际,通过构建双边信任体系以及参与多边治理规则的制定来发展“法外法”,以中国话语权的获取来破除集团化与区域化的数据封锁。具体来说,我国可以就如下三个方面加以阶段性的努力:第一,重视“战略互信”的构建。如上文所述,由于国家安全、产业竞争力等复杂因素,数据跨境流动的信任大多建立在长期的政治盟友、经贸伙伴以及具有相同价值目标的基础上,因此,构建大国之间或区域之间的“战略互信”是数据跨境流动有序实现的必要前提,也是避免出现竞争性的壁垒升级与政策扶植的必要前提。因此,下一阶段我国立法无疑要对各国数据跨境的基本政策与立法框架加以总结,并找寻不同框架下的政策、法律差异,以及形成这些差异的缘由,进而有针对性地形成国内立法与国际合作的“预衔接”。第二,不同的跨境政策,其后也有不同的技术能力、算法认同等方面的支撑,应从历史沿革和技术演化的长期过程充分考究逻辑、统计等不同学科对数据技术和算法的影响,以及当前和未来的发展趋势,我国也应当在新技术变革带来产业升级的战略背景下构建跨境数据流动规则。第三,加快国际合作的步伐,如尝试加入CPTPP或者APEC隐私框架协议,但也不应因噎废食,为了国际合作而全盘否定或推倒当前国内现有的规制体系。合理的做法是,在规范与完善数据跨境流动规制的基础上,审慎研判全球数字保护主义博弈的潜在风险,深化我国与其他国家在世贸组织、亚太经合组织等大框架内的大合作,强化“人类命运共同体”与“网络空间命运共同体”概念,促进创新协同发展,破除保护主义对全球发展的阻碍。尤其是要进一步推进与友好国家在数字科技领域与经贸领域的小合作,这将一方面有利于我国经济与技术的持续向好发展,另一方面也有利于我国完成从参与者到规则制定者的身份转变。换言之,数据的跨境流动源于国际间的经贸往来,并与之相互作用,那么,下一阶段,预期突围“集团封锁”与“技术鸿沟”,我国也仍应以经济合作为着力点,以贸易合作带动数据合作,以经济利益缓减政治敌意。

结 语

数据作为新时期的国家基础性战略资源,对其开发利用的能力与水平,将深刻影响一个国家的科技进步和经济发展。[26]对于跨境数据流动的规制,在保护主义与逆全球化抬头的当下,我国下一阶段的立法工作应继续坚持两个“摒弃”与一个“开放”相结合的策略。首先,需要“摒弃”的是长期以来在我国国内立法中已经形成的本地化偏好与固有的“领土依附”,随着中国数字经济全球竞争力的提升和高科技企业全球化布局加速,带来的是中国企业对全球数据控制力的提升,因此,对于数据的域内与域外判断,不能一刀切地以领土为判断标准,而应更多地关注数据的来源与数据主体的扩张价值,这一方面将有助于我国进一步维护与落实自身合法数据权益,另一方面也为我国开展数据跨境流动的国际合作奠定了基础。其次,“开放”即合作渠道的开放,包括主动参与国际数据规则议题谈判和国际协议制定,在数据安全可控的前提下,我国应选择性地扩大对外数据合作的范围与程度,加强与新兴国家之间的科技合作,利用多边机制的召集力和广泛影响力,着力推进“一带一路”合作框架下数据流动协议与标准的制定,构建数字空间命运共同体,推动全球跨境数据流动规制形成新局面。正如习近平总书记所提出的,网络安全领域的博弈,在当今的世界,本质上就是国家主权在网络空间的投影和互动博弈。[27]因此,合作与共赢应当是我们坚定不移的重要主张,这体现了中国对网络空间全球治理的担当,也成为指引中国推进网络空间国际合作和全球治理的核心理念。我国推动网络空间治理的目标从根源上看,不是阻断数据的自由流动,而是为了更进一步地构建双边和多边的数据跨境流动信任体系。

注释：

① 参照经济合作组织的标准,数据主要可以分为三类:首先是个人数据或个人识别信息,其次是特定行业数据,包括商业、金融、健康数据等,最后一类是难以准确定义的“重要”数据。参见http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En,2023-8-31.

② 表格信息根据信息技术和创新基金会报告《Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?》以及经济合作与发展组织报告《Trade and cross-border data flows》总结整理,数据截止2023年7月。其中,首先,美国仅统计联邦层面立法,各州立法未予统计;其次,印度《个人信息保护法案2019》已经废除,因而有关个人数据的部分,参考性较弱;最后,欧盟作为一个整体加以统计,部分成员国内部的专门性立法则不予以统计。参见http://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost/;http://www.oecd.org/officialdocuments/publicdisplaydocumentpdf/?cote=TAD/TC/WP(2018)19/FINAL&docLanguage=En,2023-8-31.

③ 参见美国《国家安全和个人数据保护法案2019》SEC.3及SEC.4。

④ 参见欧盟《通用数据保护条例》第45/46条。

⑤ 类似规定还可参见“中国-澳大利亚自由贸易协定”第八章。

⑥ 参见《区域全面经济伙伴关系协定》第八章。