周念利 李金東

（對外經(jīng)濟貿(mào)易大學(xué)中國WTO研究院，北京 100020）

一、引言

近年來，云計算、物聯(lián)網(wǎng)及大數(shù)據(jù)等新興信息通訊技術(shù)的大范圍普及與應(yīng)用促使全球數(shù)字貿(mào)易規(guī)模加速增長。數(shù)字貿(mào)易發(fā)展需建立在數(shù)據(jù)跨境流動基礎(chǔ)之上，但世界主要經(jīng)濟體針對跨境數(shù)據(jù)流動的態(tài)度差異較大。美國是數(shù)據(jù)跨境自由流動的倡導(dǎo)者和相關(guān)數(shù)字貿(mào)易規(guī)則構(gòu)建的積極引領(lǐng)者。在WTO框架下與貿(mào)易相關(guān)的電子商務(wù)諸邊談判中，美國希望能將《美墨加協(xié)定》（USMCA）中的數(shù)據(jù)跨境流動規(guī)則在全球擴展適用。歐盟對實現(xiàn)數(shù)據(jù)跨境自由流動態(tài)度猶疑，希望能在跨境隱私保護和數(shù)據(jù)流動之間保持平衡。俄羅斯的態(tài)度則較為保守，在數(shù)據(jù)流動方面出臺了很多限制性規(guī)定。ECIPE①歐洲國際政治經(jīng)濟中心，European Centre for International Political Economy，簡稱：ECIPE。最新發(fā)表的DTRI②數(shù)字貿(mào)易限制性指數(shù)，Digital Trade Restrictiveness Index，簡稱：DTRI。報告中顯示，俄羅斯在“數(shù)據(jù)限制”指標(biāo)中的“數(shù)據(jù)政策”分指標(biāo)中排名最高。中國是發(fā)展中國家，在網(wǎng)絡(luò)安全、數(shù)據(jù)流動、互聯(lián)網(wǎng)治理上一直將“安全可控”設(shè)定為重要目標(biāo)，這使得中美雙方在數(shù)字貿(mào)易治理的很多議題上分歧較多。本文對俄羅斯出臺的與貿(mào)易相關(guān)的數(shù)據(jù)流動限制性措施展開梳理和分析，對于中國完善數(shù)據(jù)流動管理制度乃至理性參與全球數(shù)字貿(mào)易治理都具有重要的參考價值。

關(guān)于數(shù)據(jù)流動限制的既有研究多注重對相關(guān)限制措施的內(nèi)容、特征及發(fā)展趨向進行描述和分析。考慮到各國經(jīng)濟基礎(chǔ)不同或經(jīng)濟基礎(chǔ)相似而發(fā)展階段不同，各國發(fā)展數(shù)字貿(mào)易的意愿存在差別，所實施的數(shù)字貿(mào)易限制性措施也存在差別，所以這類研究偏好聚焦于對某一代表性國家所實施的代表性的數(shù)據(jù)流動限制措施展開分析。Holleyman（2015）認(rèn)為美國是推動數(shù)字貿(mào)易自由化最積極的國家，但其他國家對參與數(shù)據(jù)或數(shù)據(jù)服務(wù)相關(guān)貿(mào)易態(tài)度謹(jǐn)慎，中國、俄羅斯、印度、印度尼西亞和越南被美國認(rèn)為是數(shù)字貿(mào)易限制最嚴(yán)格的國家。Ferracane（2018）和Castro（2015）致力于對中國和俄羅斯在數(shù)據(jù)流動、公共采購、外國投資、內(nèi)容訪問和標(biāo)準(zhǔn)等方面實施的相關(guān)限制展開研究。何波（2016）從俄羅斯跨境數(shù)據(jù)流動立法規(guī)則和執(zhí)法實踐出發(fā)，分析了俄羅斯推行數(shù)據(jù)本地化的實施效果以及深層次原因。Fefer（2018）認(rèn)為俄羅斯限制數(shù)據(jù)流動的相關(guān)法規(guī)或政策為尋求使用云服務(wù)的公司和國家設(shè)置了障礙。

目前相關(guān)文獻主要基于如下兩個路徑持續(xù)深化和細(xì)化。一是嘗試對數(shù)據(jù)流動限制性措施的嚴(yán)格程度展開定量測度。數(shù)據(jù)流動限制措施種類繁多，適用范圍廣且零散，要用國際統(tǒng)一標(biāo)準(zhǔn)對其進行定量測度并非易事。ECIPE對64個國家包括數(shù)據(jù)流動限制措施在內(nèi)的數(shù)字貿(mào)易壁壘水平進行了評估并打分，分?jǐn)?shù)越高表明限制越多，由此帶來的貿(mào)易成本也越高（Ferracane et al，2018）。二是針對數(shù)據(jù)流動限制性措施的經(jīng)濟效應(yīng)展開研究。以數(shù)據(jù)本地化措施為例，有研究發(fā)現(xiàn)一些國家實施數(shù)據(jù)本地化政策會給該國的GDP帶來損失，數(shù)據(jù)本地化措施會造成巴西GDP下降0.2%、中國下降1.1%、歐盟下降0.4%、印度下降0.1%、印度尼西亞下降0.5%、韓國下降0.4%和越南下降1.7%（ECIPE，2014）。同時，禁止數(shù)據(jù)跨境流動會增加貿(mào)易成本，不利于吸引外資，導(dǎo)致本國的中小企業(yè)成本上升，尤其對云計算等互聯(lián)網(wǎng)技術(shù)依賴度更高的企業(yè)影響更大（國際商會，2018）。

以上分析表明既有研究對數(shù)據(jù)流動限制性措施的內(nèi)容、特征及其經(jīng)濟效應(yīng)進行了描述和分析。俄羅斯在數(shù)據(jù)流動問題上素以保守著稱，對俄羅斯與貿(mào)易相關(guān)的數(shù)據(jù)流動限制性措施的類型、限制水平、法律來源以及典型特征進行全面梳理和分析的文獻還不多見。有鑒于此，本文嘗試從俄羅斯目前的數(shù)據(jù)立法狀況出發(fā)，對俄羅斯與貿(mào)易相關(guān)的限制性措施具體內(nèi)容進行分類，并側(cè)重于對俄羅斯出臺這些措施的原因及實施效果進行分析和評價，最后對中國的數(shù)據(jù)流動管理提出可行的政策建議。

二、俄羅斯出臺的數(shù)據(jù)流動限制性措施主要內(nèi)容及成因分析

（一）俄羅斯實施的數(shù)據(jù)流動限制性措施的主要類型

根據(jù)ECIPE的定義，俄羅斯有關(guān)數(shù)據(jù)流動限制性措施可依據(jù)其實施范圍分為兩類（表1）：一是跨境限制性措施，二是境內(nèi)限制性措施。

跨境限制性措施包含3類：第一類為“禁止跨境傳輸數(shù)據(jù)和數(shù)據(jù)當(dāng)?shù)靥幚硪蟆?，是針對跨境?shù)據(jù)流動所實施的最嚴(yán)格措施，在禁止傳輸數(shù)據(jù)或數(shù)據(jù)本地處理要求的情況下，如果這些國內(nèi)服務(wù)提供商的效率低于外國提供商，公司需要在實施管轄區(qū)內(nèi)建立數(shù)據(jù)中心或轉(zhuǎn)向本地服務(wù)提供商，從而增加成本；第二類為“有條件的數(shù)據(jù)跨境流動政策”，除非滿足某些條件，將數(shù)據(jù)轉(zhuǎn)移到國外是被禁止的，如果條件嚴(yán)格，該措施很容易導(dǎo)致禁止轉(zhuǎn)移數(shù)據(jù)；第三類為“數(shù)據(jù)存儲本地化要求”，這些措施要求跨國公司在國內(nèi)保留某些數(shù)據(jù)的副本，本地存儲要求通常適用于特定數(shù)據(jù)，如會計或簿記數(shù)據(jù)，只要數(shù)據(jù)副本仍在國家領(lǐng)土內(nèi)，公司就可以照常運作。

境內(nèi)限制性措施主要包含5類：第一類為“與數(shù)據(jù)保留相關(guān)的措施”，主要是指規(guī)定公司應(yīng)如何以及在多長時間內(nèi)將某些數(shù)據(jù)保留在其處所內(nèi)以便監(jiān)管機構(gòu)調(diào)查的措施；第二類為“數(shù)據(jù)隱私的主體權(quán)利”，主要指是否同意收集和使用數(shù)據(jù)以及刪除數(shù)據(jù)的權(quán)利；第三類為“數(shù)據(jù)隱私的管理要求”，包括數(shù)據(jù)隱私影響評估、指定數(shù)據(jù)保護人員的要求、要求在數(shù)據(jù)泄露的情況下通知數(shù)據(jù)保護機構(gòu)以及要求允許政府訪問所收集的個人數(shù)據(jù)；第四類為“對違規(guī)行為的制裁”，包含因違反數(shù)據(jù)隱私規(guī)則而受到的罰款和刑事制裁兩個方面；第五類為“與數(shù)據(jù)政策相關(guān)的其他限制性措施”。

表1 俄羅斯所實施的數(shù)據(jù)流動限制性措施種類

ECIPE的DTRI報告（2018）對世界上65個主要經(jīng)濟體實施的數(shù)字貿(mào)易限制性指數(shù)進行了發(fā)布。如表2所示，俄羅斯“數(shù)據(jù)限制”指數(shù)為0.63，排名世界第2。在“數(shù)據(jù)政策”這個二級指標(biāo)上俄羅斯得分全球最高，也就是說俄羅斯采取了世界上最為嚴(yán)格的數(shù)據(jù)政策。此外，俄羅斯在“中介責(zé)任”①包括互聯(lián)網(wǎng)服務(wù)提供商（ISP）、搜索引擎和社交媒體平臺等所承擔(dān)的責(zé)任。和“內(nèi)容訪問”②包括專門針對與內(nèi)容阻止、過濾和通過網(wǎng)絡(luò)帶寬進行區(qū)分的相關(guān)問題。這兩個二級指標(biāo)上的得分分別排在全球第18名和第4名。與之對照，歐盟的主要國家——法國和德國的“數(shù)據(jù)限制”指數(shù)分別為0.45和0.41，排名世界第4和第7；在3個二級指標(biāo)上，法國分別排在第5名、第20名和第12名，德國分別排在第4名、第30名和第13名，排名都相對靠前，可見歐盟對于數(shù)據(jù)流動問題也持較保守的態(tài)度。美國作為全球主要的數(shù)字產(chǎn)品和數(shù)字價值的輸出者，推崇數(shù)據(jù)自由流動，“數(shù)據(jù)限制”指數(shù)為0.15，排名世界第53，在3個二級指標(biāo)上的得分分別排在全球第50名、第48名和第37名。

表2 數(shù)據(jù)流動限制性指標(biāo)排名

（二）俄羅斯有關(guān)數(shù)據(jù)流動限制的相關(guān)立法

俄羅斯很早就建立起了較為完善的數(shù)據(jù)管理法律制度，從聯(lián)邦層面的立法角度來看，立法主要涉及以下3個方面（表3）。

1.跨境數(shù)據(jù)保護

2006年出臺的《關(guān)于信息、信息技術(shù)和信息保護法》（第149-FZ號聯(lián)邦法）規(guī)定了信息持有者或信息系統(tǒng)運營者需要承擔(dān)信息保護義務(wù)。這種保護主要是從預(yù)防、發(fā)現(xiàn)和制止信息泄露3個角度進行切入：相關(guān)義務(wù)方需要確保信息不向無權(quán)限方泄露并能夠在發(fā)現(xiàn)信息泄漏后及時采取彌補措施，例如盡快恢復(fù)被破壞的信息。同年出臺的《俄羅斯聯(lián)邦個人數(shù)據(jù)法》（第152-FZ號聯(lián)邦法）專門針對個人數(shù)據(jù)實施跨境保護措施，旨在保護俄羅斯公民的信息自由及權(quán)利。除了需要滿足前述同等要求外，相關(guān)責(zé)任方還需要確認(rèn)個人數(shù)據(jù)傳輸?shù)哪繕?biāo)國家是否能夠確保個人數(shù)據(jù)的安全，如果安全性無法得到保證，那么需要取消或中止數(shù)據(jù)傳輸。

2.互聯(lián)網(wǎng)訪問、準(zhǔn)入和監(jiān)管

2017年通過的《關(guān)于數(shù)據(jù)、信息技術(shù)和數(shù)據(jù)安全的聯(lián)邦法修正案》（第276-FZ號聯(lián)邦法）對俄羅斯境內(nèi)除了公司網(wǎng)絡(luò)以外的虛擬專用網(wǎng)絡(luò)（VPN）以及類似服務(wù)施以限制。該法案并未禁止使用VPN和類似技術(shù)本身，而是需要VPN和其他受影響平臺的運營商阻止俄羅斯用戶訪問被俄羅斯當(dāng)局阻止的網(wǎng)站和其他資源。根據(jù)2016年出臺的《關(guān)于修改聯(lián)邦反恐法和俄羅斯聯(lián)邦立法法及關(guān)于制定旨在打擊恐怖主義和保護公共安全的附加措施》（第374-FZ號聯(lián)邦法），電信運營商及其他互聯(lián)網(wǎng)服務(wù)提供商將有義務(wù)對用戶的短信、語音及圖像等通信信息進行長達6個月的存儲，以備聯(lián)邦政府查詢。

3.數(shù)據(jù)本地化

2014年出臺的《就“進一步明確互聯(lián)網(wǎng)個人數(shù)據(jù)處理規(guī)范”對俄羅斯聯(lián)邦系列法律的修正案》（第242-FZ號聯(lián)邦法）要求所有收集俄羅斯公民個人數(shù)據(jù)的企業(yè)在俄羅斯聯(lián)邦的數(shù)據(jù)庫中“記錄、系統(tǒng)化、積累、存儲、更新、更改和檢索該信息”。處理俄羅斯公民個人數(shù)據(jù)的運營商必須通知Roskomnadzor①俄羅斯聯(lián)邦通信、信息技術(shù)和大眾媒體監(jiān)督局，The Federal Service for Supervision of Communications, Information Technology and Mass Media，簡稱：Roskomnadzor；它既是被授權(quán)保護個人數(shù)據(jù)的聯(lián)邦執(zhí)行機構(gòu)，也是負(fù)責(zé)俄羅斯互聯(lián)網(wǎng)審查的機構(gòu)。存儲此類個人數(shù)據(jù)的服務(wù)器所在地，而且該法律也適用于參與處理俄羅斯公民個人數(shù)據(jù)的外國公司。2014年通過的《關(guān)于國家支付制度和某些立法法案的聯(lián)邦法修正案（修訂法）》（第319-FZ號聯(lián)邦法）要求在國內(nèi)處理國際支付卡，旨在鞏固國家支付卡系統(tǒng)作為在俄羅斯提供支付清算和運營服務(wù)的單一運營商的作用。資料來源：歐洲國際政治經(jīng)濟中心（ECIPE）數(shù)據(jù)庫。

表3 俄羅斯數(shù)據(jù)流動限制性措施的主要法律依據(jù)

（三）俄羅斯數(shù)據(jù)流動限制政策與美國、歐盟及中國之比較

與對數(shù)據(jù)自由流動持保守態(tài)度的俄羅斯不同，美國是數(shù)據(jù)流動自由化的主要推動者。例如，美韓雙方于2007年正式簽署的自由貿(mào)易協(xié)定（FTA）第15.8條就要求締約國在充分保護個人信息安全的同時，促進數(shù)據(jù)在跨境貿(mào)易過程中的自由流動，防止對電子商務(wù)數(shù)據(jù)流動施以限制?？缇硵?shù)據(jù)自由流動和數(shù)據(jù)存儲非強制本地化策略是由美國在數(shù)字產(chǎn)業(yè)上相較于世界其他國家的比較優(yōu)勢決定的，并且這將有利于引導(dǎo)數(shù)據(jù)由海外向美國流動。

在歐洲，為了進一步消除歐盟內(nèi)部各國間的數(shù)字貿(mào)易壁壘，歐盟委員會于2015年提出了“單一數(shù)字市場”的數(shù)字戰(zhàn)略規(guī)劃，其中包括了“歐洲數(shù)據(jù)自由流動計劃”，以期實現(xiàn)歐盟內(nèi)部數(shù)據(jù)資源的自由流動。與此同時，對于個人數(shù)據(jù)保護，歐盟于2018年起實施的《一般數(shù)據(jù)保護條例》（GDPR）加強并完善了數(shù)據(jù)主體對個人數(shù)據(jù)享有的控制權(quán)利，確立了數(shù)據(jù)處理者保護數(shù)據(jù)安全的義務(wù)。歐盟對數(shù)據(jù)自由流動的態(tài)度介于美國的激進和俄羅斯的保守之間，更希望能在跨境隱私保護和數(shù)據(jù)流動之間保持平衡。

同俄羅斯和歐盟一樣，中國也側(cè)重于維護網(wǎng)絡(luò)安全，對本地數(shù)據(jù)的保護十分重視。2016年頒布的《網(wǎng)絡(luò)安全法》第三十七條規(guī)定了中國的數(shù)據(jù)本地化政策，即在中國境內(nèi)收集或產(chǎn)生的數(shù)據(jù)都應(yīng)當(dāng)存儲于中國境內(nèi)；第四十條規(guī)定了網(wǎng)絡(luò)運營者對用戶信息負(fù)有保密的義務(wù)。為進一步加強網(wǎng)絡(luò)生態(tài)治理，中國于2016年提出了《國家信息化發(fā)展戰(zhàn)略綱要》，致力于完善網(wǎng)絡(luò)立法，維護網(wǎng)絡(luò)主權(quán)和國家安全。

（四）俄羅斯數(shù)據(jù)流動限制政策成因分析

1.國內(nèi)網(wǎng)絡(luò)安全戰(zhàn)略布局

互聯(lián)網(wǎng)在俄羅斯迅猛發(fā)展，為其數(shù)字貿(mào)易的興起注入了動力。但與此同時，俄羅斯的信息技術(shù)發(fā)展水平顯著落后于歐美發(fā)達國家，信息化產(chǎn)品的國產(chǎn)率較低。在如此龐大的網(wǎng)絡(luò)用戶規(guī)模背后，俄羅斯網(wǎng)絡(luò)安全面臨著巨大的挑戰(zhàn)。據(jù)俄羅斯著名IT安全公司卡巴斯基于2013年發(fā)布的年度電子信息安全公告顯示，俄羅斯2011年及2012年連續(xù)兩年在全球網(wǎng)絡(luò)安全風(fēng)險指數(shù)這一排行榜中位居第一，俄羅斯互聯(lián)網(wǎng)用戶面臨的風(fēng)險水平高達58.6%。①朱峰,王麗,譚立新.俄羅斯的自主可控網(wǎng)絡(luò)空間安全體系[J].信息安全與通信保密,2014,(9).2014年，《俄羅斯聯(lián)邦網(wǎng)絡(luò)安全戰(zhàn)略構(gòu)想》草案出臺，明確了網(wǎng)絡(luò)安全戰(zhàn)略的基本原則以及實施方向，這意味著俄羅斯將網(wǎng)絡(luò)安全提升到了國家戰(zhàn)略的高度，對于國內(nèi)網(wǎng)絡(luò)安全形勢的重視促使俄羅斯當(dāng)局不斷通過政策手段加強對數(shù)據(jù)流動的限制。

2.應(yīng)對境外壓力的現(xiàn)實需求

作為新興的互聯(lián)網(wǎng)大國，俄羅斯數(shù)據(jù)流動政策的制定主要是為了應(yīng)對來自西方網(wǎng)絡(luò)大國尤其是美國的壓力。早在2003年，美國就推出了《保護網(wǎng)絡(luò)空間國家戰(zhàn)略》。烏克蘭危機后，歐美發(fā)達國家對俄羅斯信息產(chǎn)業(yè)的制裁不斷深化，對俄羅斯信息安全造成了不小的威脅。2018年，美國特朗普政府發(fā)布了最新的《國家網(wǎng)絡(luò)戰(zhàn)略》報告，其中規(guī)定了美國可以使用數(shù)字武器來保護國家安全，允許包括軍方在內(nèi)的各類機構(gòu)進行網(wǎng)絡(luò)操作。②https://www.whitehouse.gov/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf.這象征著美國網(wǎng)絡(luò)安全戰(zhàn)略由“以防為主”向“以攻代防”轉(zhuǎn)變。如今，以美國為首的西方國家不斷在這一領(lǐng)域?qū)Χ砹_斯施壓，來自境外的壓力使得俄羅斯需要采取較為嚴(yán)格的數(shù)據(jù)管理措施。

三、俄羅斯出臺數(shù)據(jù)流動限制性措施的典型特征分析

（一）數(shù)據(jù)輸出規(guī)則針對“白名單”和“黑名單”對象做出明確區(qū)分

近年來俄羅斯逐步建立起了嚴(yán)格的數(shù)據(jù)保護制度和信息管理體系，從網(wǎng)絡(luò)立法的角度來看，目前與數(shù)據(jù)輸出規(guī)則有關(guān)的國家層面的法律有兩部：《關(guān)于信息、信息技術(shù)和信息保護法》（第149-FZ號聯(lián)邦法）和《俄羅斯聯(lián)邦個人數(shù)據(jù)法》（第152-FZ號聯(lián)邦法）。除此以外，《俄羅斯聯(lián)邦外國投資法》《俄羅斯聯(lián)邦安全局法》《俄羅斯聯(lián)邦大眾傳媒法》等法律作為重要補充，也對跨境數(shù)據(jù)流動管理做出了相關(guān)要求和規(guī)定。為保障公民權(quán)利，維護個人數(shù)據(jù)安全，第149-FZ號聯(lián)邦法規(guī)定了數(shù)據(jù)所有者、數(shù)據(jù)運營者、數(shù)據(jù)處理者等相關(guān)方需要承擔(dān)的數(shù)據(jù)保護義務(wù)，確定了利益相關(guān)方在傳播、使用和保護信息時所產(chǎn)生的法律關(guān)系，并對個人數(shù)據(jù)的跨境轉(zhuǎn)移提出了較為嚴(yán)格的保護要求。俄羅斯與美國在這方面的分歧較大，美國倡導(dǎo)數(shù)據(jù)跨境自由流動以充分發(fā)揮其數(shù)字產(chǎn)業(yè)優(yōu)勢，在數(shù)字貿(mào)易中取得領(lǐng)先地位。俄羅斯則更加注重個人隱私權(quán)利保護，以對個人數(shù)據(jù)提供保護的程度作為是否進行數(shù)據(jù)跨境流動的標(biāo)準(zhǔn)。

1.向提供足夠保護的國家轉(zhuǎn)移數(shù)據(jù)無需取得數(shù)據(jù)主體額外同意

根據(jù)第152-FZ號聯(lián)邦法律規(guī)定，在轉(zhuǎn)移個人數(shù)據(jù)的司法管轄區(qū)確保對個人數(shù)據(jù)充分保護時，向境外的個人數(shù)據(jù)傳輸不需要數(shù)據(jù)主體的額外同意。所有簽署“108公約”①《個人數(shù)據(jù)自動處理保護個人公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，即“108公約”），俄羅斯于2001年11月7日簽署該條約，并于2013年9月1日正式生效。的國家（以歐洲國家為主）都被視為對數(shù)據(jù)主體的權(quán)利和利益提供“充分保護”的管轄區(qū)。同時，根據(jù)第152-FZ號聯(lián)邦法案，對于非“108公約”簽署國，Roskomnadzor依然可以將其列入個人信息跨境流動的“白名單”中，其主要評判標(biāo)準(zhǔn)是該國是否設(shè)立了高效的個人信息保護機構(gòu)、是否擁有完善的個人信息保護法律體系，以及是否針對違反個人信息保護法律的行為建立了有效的懲罰措施等。在非“108公約”簽署國中，Roskomnadzor納入“白名單”的官方國家名單包括秘魯、南非、墨西哥、馬里、摩洛哥、澳大利亞、安哥拉、阿根廷、新加坡、貝寧、加拿大、卡塔爾、新西蘭、加蓬、以色列、馬來西亞、佛得角、智利、哥斯達黎加、哈薩克斯坦、蒙古、韓國和突尼斯等，這些國家被視為為跨境轉(zhuǎn)移個人數(shù)據(jù)提供了足夠的保護，向這類國家的數(shù)據(jù)傳輸不受任何限制。值得注意的是，中國和美國兩個國家均未被納入其中。

2.向其他地區(qū)轉(zhuǎn)移數(shù)據(jù)須獲得數(shù)據(jù)主體同意

除了“108公約”簽署國以及Roskomnadzor確定的白名單外，其余國家均屬于“未對數(shù)據(jù)提供足夠保護”的國家。將個人數(shù)據(jù)跨境傳輸?shù)竭@類無法提供足夠保護的國家或地區(qū)必須獲得數(shù)據(jù)主體出具的書面同意，或者需滿足以下條件之一：（一）根據(jù)俄羅斯加入的國際條約，允許跨境數(shù)據(jù)轉(zhuǎn)移的情形；（二）保護俄羅斯憲法體系、國家國防和國家安全、俄羅斯的運輸系統(tǒng)等不受侵犯的情形；（三）為了履行數(shù)據(jù)主體所參與的合同；（四）保護數(shù)據(jù)主體的生命、健康或其他重要利益。

從以上數(shù)據(jù)輸出規(guī)則的相關(guān)規(guī)定中，我們可以看出，俄羅斯的數(shù)據(jù)流動限制基本是在“108公約”的框架內(nèi)進行的，針對歐洲國家的限制較小。但對于其他地區(qū)的國家，尤其是中國和美國這兩個數(shù)字貿(mào)易大國，卻沒有放開這方面的限制。禁止企業(yè)將數(shù)據(jù)輸出到國外，這些限制可能會對那些依靠互聯(lián)網(wǎng)進行交易、以服務(wù)海外客戶并提高運營效率的公司構(gòu)成障礙。例如，限制跨境數(shù)據(jù)流動的規(guī)定可能迫使企業(yè)在一國內(nèi)建立本地服務(wù)器基礎(chǔ)設(shè)施，增加成本、減小規(guī)模。

（二）設(shè)置嚴(yán)密的互聯(lián)網(wǎng)準(zhǔn)入和監(jiān)管措施

相較于美國寬松的互聯(lián)網(wǎng)審查制度，俄羅斯實施的互聯(lián)網(wǎng)準(zhǔn)入和監(jiān)管措施則顯得十分嚴(yán)格，但在合理范圍內(nèi)的過濾網(wǎng)絡(luò)信息、限制訪問網(wǎng)絡(luò)既符合服務(wù)貿(mào)易總協(xié)定(GATS)的相關(guān)規(guī)定，也能夠?qū)S護國家安全、社會穩(wěn)定起正面作用。

1.對互聯(lián)網(wǎng)訪問設(shè)置禁區(qū)

2017年7月通過的第276-FZ號聯(lián)邦法《關(guān)于數(shù)據(jù)、信息技術(shù)和數(shù)據(jù)安全的聯(lián)邦法修正案》要求虛擬專用網(wǎng)絡(luò)（VPN）和類似技術(shù)的運營商阻止俄羅斯用戶訪問被俄羅斯當(dāng)局禁止的網(wǎng)站和其他資源。該法律授權(quán)Roskomnadzor對提供如何規(guī)避政府封鎖的指示網(wǎng)站進行阻止。它還授權(quán)俄羅斯的執(zhí)法機構(gòu)（包括內(nèi)政部和聯(lián)邦安全局）確定違規(guī)者和要求Roskomnadzor創(chuàng)建俄羅斯禁止的在線資源和服務(wù)的特殊登記。

2.公共Wi-Fi用戶實名制

根據(jù)2014年7月和8月陸續(xù)出臺的第758條、第801條政府法令，為打擊極端主義和恐怖主義，俄羅斯政府要求公共Wi-Fi進行用戶識別。政府法令要求互聯(lián)網(wǎng)服務(wù)提供商（ISP）應(yīng)通過身份證件（如護照）識別互聯(lián)網(wǎng)用戶且應(yīng)通過確定數(shù)據(jù)網(wǎng)絡(luò)的唯一硬件標(biāo)識符來識別終端設(shè)備。此外，俄羅斯的所有法律實體都必須每月向ISP提供使用其網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)的個人列表。該法案旨在要求只有在實名制的情況下才能在公共場所免費使用互聯(lián)網(wǎng)。

3.電子監(jiān)視規(guī)則

俄羅斯聯(lián)邦總統(tǒng)于2016年7月簽署了《關(guān)于修改聯(lián)邦反恐法和俄羅斯聯(lián)邦立法法及關(guān)于制定旨在打擊恐怖主義和保護公共安全的附加措施》（第374-FZ號聯(lián)邦法）。該法律載有若干條款，擴大監(jiān)測情報和私人服務(wù)以及私人電子通信，為執(zhí)法機構(gòu)獲取“個人計算機信息”提供了法律依據(jù)。對于互聯(lián)網(wǎng)服務(wù)提供商（ISP）及信息交換服務(wù)提供者，第374-FZ號聯(lián)邦法規(guī)定了其必須將在線傳輸?shù)挠嘘P(guān)內(nèi)容所有連接、傳輸和接收的元數(shù)據(jù)保留1年。

（三）實施嚴(yán)格甚至激進的數(shù)據(jù)本地化政策

數(shù)據(jù)本地化法律通常要求在該國家內(nèi)存儲或處理在特定國家收集的某些類型的數(shù)據(jù)。換句話說，由國家本地化法管轄的那些類型的數(shù)據(jù)不能轉(zhuǎn)移到另一個國家進行存儲和處理，即數(shù)據(jù)必須在位于該國家的服務(wù)器上存儲或處理。數(shù)據(jù)本地化法律有時被稱為“數(shù)據(jù)主權(quán)法”，因為它們反映了某個國家對源自該國的數(shù)據(jù)的主權(quán)主張。

俄羅斯通過第242-FZ號聯(lián)邦法和第319-FZ號聯(lián)邦法，基本建立起了數(shù)據(jù)本地化存儲的規(guī)則。俄羅斯國內(nèi)云數(shù)字產(chǎn)業(yè)相對并不發(fā)達，對美國的云服務(wù)提供商依賴過大，通過這種嚴(yán)格甚至激進的數(shù)據(jù)本地化政策對于其維護國家及個人利益有著積極的保護作用。

1.個人數(shù)據(jù)存儲和處理需在俄羅斯境內(nèi)進行

俄羅斯新的數(shù)據(jù)本地化法（第242-FZ號聯(lián)邦法）于2015年9月生效。法律要求在俄羅斯開展業(yè)務(wù)的網(wǎng)絡(luò)運營商使用建立于俄羅斯境內(nèi)的服務(wù)器或數(shù)據(jù)中心收集、存儲和處理俄羅斯公民的個人數(shù)據(jù)。

此外，俄羅斯通信部要求電信和互聯(lián)網(wǎng)提供商安裝設(shè)備，在其服務(wù)器上收集和保留數(shù)據(jù)至少12小時以便俄羅斯聯(lián)邦安全局（FSB）在必要時訪問數(shù)據(jù)。這些數(shù)據(jù)包括用戶的電話號碼、流行的國內(nèi)和國外在線資源（如Gmail、Yandex、Mail.ru等）的帳戶信息、IP地址和位置數(shù)據(jù)。

作為金磚國家之一，俄羅斯是一個龐大且日益重要的市場，許多海外企業(yè)已經(jīng)擁有俄羅斯用戶、客戶或員工。這一事實意味著俄羅斯新的數(shù)據(jù)本地化法律推動了許多公司（不僅僅是那些位于俄羅斯的公司）為了遵守法律而在其運營中做出重大且可能代價高昂的變革。一些公司通過將某些數(shù)據(jù)業(yè)務(wù)遷移到俄羅斯來回應(yīng)立法。與此同時，某些無法承受這種代價的外國企業(yè)可能會選擇完全撤出俄羅斯市場。即使公司選擇投資維護俄羅斯服務(wù)器以避免違反法律，還必須檢查和隔離其收集的數(shù)據(jù)，以確保俄羅斯公民的數(shù)據(jù)留在俄羅斯。除針對個人數(shù)據(jù)的本地化要求外，金融部門和媒體部門還有部門數(shù)據(jù)本地化要求。

2.線上支付業(yè)務(wù)本地化

2014年，俄羅斯因為烏克蘭危機遭受西方制裁，在Visa和萬事達公司停止為某些俄羅斯銀行服務(wù)之后，俄羅斯于當(dāng)年10月通過了第319-FZ號聯(lián)邦法《關(guān)于國家支付制度和某些立法法案的聯(lián)邦法修正案（修訂法）》，要求國際支付系統(tǒng)在2015年3月31日之前將其對俄羅斯國內(nèi)業(yè)務(wù)的處理能力轉(zhuǎn)移到當(dāng)?shù)貒羞\營商（國家支付卡系統(tǒng)①俄羅斯國家支付卡系統(tǒng)，National Payment Card System Joint Stock Company，簡稱：NSPK JSC。），從2015年4月起，所有不在俄羅斯境內(nèi)處理本地信用卡業(yè)務(wù)的外國企業(yè)必須向中央銀行繳納一定數(shù)額的保證金，從而確保即使它們凍結(jié)服務(wù)，俄羅斯用戶也不會遭受經(jīng)濟上的損失。俄羅斯此措施旨在鞏固國家支付卡系統(tǒng)作為在俄羅斯提供支付清算和運營服務(wù)的單一運營商的作用。

3.數(shù)據(jù)本地化與美國利益之間的沖突①Fefer, R. F., Akhtar, S. I., Morrison, W. M. Digital Trade and US Trade Policy[J]. Current Politics and Economics of the United States, Canada and Mexico, 2017, 19(1).

美國認(rèn)為數(shù)據(jù)本地化是阻礙數(shù)字貿(mào)易最常被引用的政策措施，美國國際貿(mào)易委員會2017年的一份報告顯示，全球數(shù)據(jù)本地化措施的數(shù)量在過去6年中翻了一番。據(jù)估計，2015年全球70%的互聯(lián)網(wǎng)流量通過云數(shù)據(jù)中心，2011年這一比例為30%。全球最大的云計算服務(wù)提供商大多是美國公司，約40%的云數(shù)據(jù)中心服務(wù)器位于北美。2014年，經(jīng)合組織成員國22%的企業(yè)使用云計算服務(wù)，大型企業(yè)使用的比例更高，這一數(shù)字還在加速增長。因此俄羅斯數(shù)據(jù)本地化與美國云計算服務(wù)提供商的利益相沖突，將極大地影響到美國對俄羅斯數(shù)字貿(mào)易的開展。

俄羅斯大力推動數(shù)據(jù)本地化，主要是為了維護公民數(shù)據(jù)安全與國家主權(quán)安全，例如在面對西方制裁時，跨境支付業(yè)務(wù)本地化措施對維護其金融系統(tǒng)安全穩(wěn)定以及保護俄羅斯公民個人數(shù)據(jù)有著積極正面的作用。但短期內(nèi)，這些限制可能會對那些依靠互聯(lián)網(wǎng)進行交易、以服務(wù)海外客戶并提高運營效率的公司構(gòu)成障礙。

四、對中國的啟示

俄羅斯是實施數(shù)據(jù)流動嚴(yán)格管制的典型國家，通過借鑒以俄羅斯為代表的其他國家出臺的數(shù)據(jù)政策經(jīng)驗，對于完善中國數(shù)據(jù)政策體系、促進數(shù)字貿(mào)易發(fā)展、保障數(shù)字貿(mào)易安全具有重要的戰(zhàn)略意義。

（一）推進跨境數(shù)據(jù)流動限制分類管理，減少不必要的數(shù)據(jù)流動限制

通過參考俄羅斯的相關(guān)經(jīng)驗，我們可以發(fā)現(xiàn)，俄羅斯對于數(shù)據(jù)的跨境流動采取分類管理的方式，針對“白名單”和“黑名單”對象做出鮮明區(qū)分，對于不同類型的數(shù)據(jù)流動實行不同程度的限制。但這種數(shù)據(jù)分類主要是建立在國別的基礎(chǔ)之上，因此不可避免地會增大與某些國家間的數(shù)字貿(mào)易壁壘。有鑒于此，中國可以對數(shù)據(jù)進行分類管理，但應(yīng)當(dāng)建立在數(shù)據(jù)類型本身的基礎(chǔ)上：對于個人用戶的敏感數(shù)據(jù)、大型企業(yè)的商業(yè)機密信息以及涉及國家安全的數(shù)據(jù)嚴(yán)格限制跨境轉(zhuǎn)移；對普通的個人、商業(yè)數(shù)據(jù)則可以放松跨境流動限制。目前中國基于新興互聯(lián)網(wǎng)技術(shù)的數(shù)字貿(mào)易相關(guān)產(chǎn)業(yè)呈現(xiàn)出飛速發(fā)展的態(tài)勢，中國也有不少企業(yè)對于數(shù)據(jù)能夠更加便捷地跨境流動有著巨大的需求。針對這部分需求，在維護數(shù)據(jù)安全的前提條件下，應(yīng)當(dāng)積極促進數(shù)據(jù)流動自由化，減少數(shù)字貿(mào)易壁壘。

（二）保持網(wǎng)絡(luò)空間自主可控，非敏感領(lǐng)域適當(dāng)放寬互聯(lián)網(wǎng)準(zhǔn)入和監(jiān)管

針對跨境網(wǎng)絡(luò)數(shù)據(jù)傳輸以及提供相應(yīng)服務(wù)的電信運營商，俄羅斯設(shè)置了十分嚴(yán)密的準(zhǔn)入和監(jiān)管措施，其主要目的是打擊網(wǎng)絡(luò)犯罪及恐怖主義活動。但與此同時，俄羅斯此類措施由于限制了信息的自由流動，可能對數(shù)字貿(mào)易存在負(fù)面影響。因此，在充分保障公民合法使用互聯(lián)網(wǎng)資源的權(quán)利及網(wǎng)絡(luò)資源合法有序自由流動的基礎(chǔ)之上，互聯(lián)網(wǎng)審查措施應(yīng)當(dāng)適度合理，在不涉及國家安全問題的非敏感領(lǐng)域適當(dāng)放寬互聯(lián)網(wǎng)準(zhǔn)入和監(jiān)管，從而將對數(shù)字貿(mào)易的不利影響降到最低。中國于2016年通過的《中華人民共和國網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)安全的監(jiān)督管理做出了相關(guān)規(guī)定，對于推進網(wǎng)絡(luò)空間治理活動起到了積極作用。應(yīng)當(dāng)繼續(xù)制定和完善此類法規(guī)，并將監(jiān)管標(biāo)準(zhǔn)和審核方式透明化、制度化，對互聯(lián)網(wǎng)空間進行有效介入，維護國家安全、網(wǎng)絡(luò)空間主權(quán)和社會公共利益，保持網(wǎng)絡(luò)空間自主可控。

（三）充分發(fā)揮中國互聯(lián)網(wǎng)產(chǎn)業(yè)優(yōu)勢，降低數(shù)據(jù)本地化帶來的額外成本

2013年斯諾登事件發(fā)生之后，世界主要國家都意識到了信息安全的重要性，并制定了一系列關(guān)于數(shù)據(jù)本地化的法律法規(guī)。俄羅斯制定的數(shù)據(jù)本地化法相當(dāng)細(xì)致，且執(zhí)行較為徹底，嚴(yán)格要求企業(yè)將數(shù)據(jù)進行本地化存儲并深入推進了線上支付業(yè)務(wù)本地化。由于全球最大的云計算服務(wù)提供商大多是美國公司，數(shù)據(jù)本地化措施也給包括俄羅斯本國企業(yè)在內(nèi)的跨境業(yè)務(wù)開展帶來了不小的成本負(fù)擔(dān)。盡管數(shù)據(jù)本地化會給類似俄羅斯這樣的信息通信產(chǎn)業(yè)競爭力較低的國家?guī)聿恍〉呢?fù)面影響，但對于中國這樣的互聯(lián)網(wǎng)產(chǎn)業(yè)較為發(fā)達的國家而言，放棄數(shù)據(jù)本地化政策并不符合國家利益。對于中國而言，數(shù)據(jù)本地化政策主要有3個作用：第一，保障個人隱私以及國家安全；第二，便于本國有關(guān)部門執(zhí)法，打擊依托互聯(lián)網(wǎng)進行的犯罪；第三，促進本國網(wǎng)絡(luò)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。因此，既要實現(xiàn)以上3個目標(biāo)，又要對數(shù)字貿(mào)易業(yè)務(wù)開展的成本加以控制，中國就需要充分發(fā)揮互聯(lián)網(wǎng)產(chǎn)業(yè)優(yōu)勢，進一步完善數(shù)據(jù)本地化制度。中國是互聯(lián)網(wǎng)大國，用戶規(guī)模世界第一，在互聯(lián)網(wǎng)創(chuàng)新上也走在世界前列。在政策上，應(yīng)當(dāng)參考俄羅斯及歐盟的相關(guān)立法經(jīng)驗促進數(shù)據(jù)本地化制度的完善。在實踐中，應(yīng)當(dāng)向國內(nèi)新興的云服務(wù)提供商提供更多便利與支持，大力發(fā)展云計算、大數(shù)據(jù)等解決方案；鼓勵中小企業(yè)使用國內(nèi)的云存儲設(shè)備；在減少國內(nèi)企業(yè)由于數(shù)據(jù)本地化而花費額外成本的前提條件下，促進重要數(shù)據(jù)及公民個人數(shù)據(jù)存儲于國內(nèi)，維護網(wǎng)絡(luò)數(shù)據(jù)安全。