黃雅晴

(南京財經(jīng)大學(xué)，江蘇 南京210023)

一、 跨境數(shù)據(jù)流動的規(guī)制難題

①現(xiàn)有文獻(xiàn)對跨境數(shù)據(jù)流動存在多種表述方式，如cross-border data flows，transborder data flows，international information transfer，transborder flows of personal data 等，涉及transfer(傳輸)和flow(流動)之間是否存在差異，國內(nèi)文獻(xiàn)大多未做出嚴(yán)格區(qū)分。 論文認(rèn)為跨境數(shù)據(jù)流動的含義應(yīng)延伸至收集、訪問、傳輸、使用等一系列行為，對傳輸和流動不再做出細(xì)致區(qū)分。

Tiktok 在美并購一案，使得與數(shù)據(jù)有關(guān)的用戶隱私、國家安全、本地存儲和傳輸?shù)葐栴}再度成為焦點(diǎn)。 跨境數(shù)據(jù)流動的規(guī)制同時涉及國內(nèi)法和國際法層面的問題，與隱私保護(hù)、經(jīng)濟(jì)發(fā)展、國家安全等事項密切相關(guān)。 國內(nèi)法層面，各國或通過數(shù)據(jù)(隱私或信息)保護(hù)法中的跨境數(shù)據(jù)流動條款進(jìn)行規(guī)制②涉及該領(lǐng)域法律的通常會使用數(shù)據(jù)、信息、隱私三種不同的法律名稱。 比如歐盟《一般數(shù)據(jù)保護(hù)條例》、美國《隱私法》、俄羅斯《關(guān)于聯(lián)邦信息、信息化和信息保護(hù)法》和《聯(lián)邦個人數(shù)據(jù)法》、我國《數(shù)據(jù)安全法(草案)》和《個人信息保護(hù)法(草案)》。 互聯(lián)網(wǎng)時代數(shù)據(jù)與信息之間并無明確界限，二者之間可以互相轉(zhuǎn)化，個人隱私也基本以信息或數(shù)據(jù)的方式表現(xiàn)。 三種法律名稱在概念界定上存在一定差異，但內(nèi)涵上無實質(zhì)性差別，具體司法實踐中不會造成實質(zhì)影響，因此論文不嚴(yán)格區(qū)分上述三種法律名稱。，或通過分散立法的方式在敏感領(lǐng)域做出規(guī)定，著重考量個人隱私保護(hù)和國家安全。 國際層面，具有較大影響力的規(guī)制以美國和歐盟主導(dǎo)的規(guī)則體系為代表，規(guī)制目標(biāo)同時包括個人隱私保護(hù)和數(shù)據(jù)自由流動，且美國主導(dǎo)規(guī)則的價值趨向更側(cè)重數(shù)據(jù)經(jīng)濟(jì)利益。 國內(nèi)法與國際法的規(guī)制目標(biāo)存在差別，各國數(shù)據(jù)政策和法律必然存在差異，現(xiàn)階段尚無國際統(tǒng)一的約束性規(guī)則。 鑒于跨境數(shù)據(jù)流動帶來的個人數(shù)據(jù)安全擔(dān)憂、數(shù)字產(chǎn)業(yè)發(fā)展影響、國家主權(quán)威脅等風(fēng)險，其規(guī)制路徑面臨數(shù)據(jù)保護(hù)、數(shù)據(jù)自由流動、政府?dāng)?shù)據(jù)保護(hù)自主權(quán)的三難選擇問題。

二、 跨境數(shù)據(jù)流動的域外代表性立法及分析

(一)歐盟：以充分性保護(hù)原則為核心

2018 年5 月25 日《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡稱GDPR)取代《95 指令》③1995 年頒布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)。正式施行，GDPR 旨在加強(qiáng)對歐盟境內(nèi)公民個人數(shù)據(jù)和隱私安全，統(tǒng)一歐盟境內(nèi)數(shù)據(jù)規(guī)則，促進(jìn)實現(xiàn)單一數(shù)字市場的經(jīng)濟(jì)戰(zhàn)略，確保歐盟對其數(shù)據(jù)享有獨(dú)立自主開發(fā)、管理和處置的權(quán)利，通過高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)引導(dǎo)全球重建數(shù)據(jù)保護(hù)規(guī)則。GDPR 關(guān)涉數(shù)據(jù)流動問題的規(guī)定主要包括以下三個方面：

1. 管轄權(quán)范圍

GDPR 擴(kuò)張了域外適用效力，管轄權(quán)實質(zhì)擴(kuò)展為影響主義原則，有力保護(hù)了歐盟境內(nèi)數(shù)據(jù)主體的權(quán)利。 歐盟數(shù)據(jù)保護(hù)委員會(European Data Protection Board，以下簡稱EDPB)發(fā)布的《關(guān)于GDPR 第3 條適用地域范圍的解釋指南》主要確立了兩類考量要素，第3 條第1 款的經(jīng)營場所標(biāo)準(zhǔn)①GDPR 第3 條第1 款：本條例適用在歐盟境內(nèi)設(shè)立經(jīng)營場所的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，無論處理行為是否發(fā)生在歐盟境內(nèi)。和第3條第2 款目標(biāo)指向標(biāo)準(zhǔn)②GDPR 第3 條第2 款：在歐盟境外的數(shù)據(jù)控制者或處理者對歐盟境內(nèi)的個人數(shù)據(jù)進(jìn)行處理，涉及下列情況適用本條例：(a)向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無論是否要求數(shù)據(jù)主體支付價款；(b)對數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控。，涵蓋了設(shè)立在歐盟境內(nèi)和境外的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)處理的情況，滿足上述兩個標(biāo)準(zhǔn)之一即適用GDPR 規(guī)定。 對于經(jīng)營場所的定義，根據(jù)GDPR 前言第22 條③GDPR 前言第22 條：營業(yè)場所指通過穩(wěn)定安排真實有效的開展活動，安排的法律形式(無論是分支機(jī)構(gòu)還是具有法律人格的子公司)并不是判斷是否為營業(yè)場所的決定性因素。，除了法律實體的形式，通過穩(wěn)定安排進(jìn)行實際有效業(yè)務(wù)活動的行為也可能被認(rèn)定為經(jīng)營場所，需要結(jié)合個案事實進(jìn)行判斷分析。 目標(biāo)指向要求必須存在指向歐盟境內(nèi)個人數(shù)據(jù)主體這一要素，無論是提供產(chǎn)品和服務(wù)或是對其行為進(jìn)行監(jiān)控。 被視為監(jiān)控處理活動的性質(zhì)認(rèn)定體現(xiàn)在GDPR 前言第24 條④GDPR 前言第24 條：確定某一處理活動能否被視為對數(shù)據(jù)主體行為的監(jiān)控時，應(yīng)確定自然人是否在互聯(lián)網(wǎng)上被跟蹤，包括后續(xù)可能采用的數(shù)據(jù)處理技術(shù)，包括對自然人進(jìn)行畫像以作出決定，或?qū)υ撟匀蝗说膫€人偏好、行為和態(tài)度進(jìn)行分析或預(yù)測。，要求控制者需具有用于收集和重新使用相關(guān)數(shù)據(jù)的特定目的。

2. 跨境數(shù)據(jù)流動評估路徑⑤GDPR 第五章：向第三國或國際組織傳輸個人數(shù)據(jù)第45、46、47、49 條。

(1)白名單制度，將符合充分保護(hù)標(biāo)準(zhǔn)的國家列入正面清單

第45 條詳細(xì)列舉了符合充分保護(hù)要求需達(dá)到的三重標(biāo)準(zhǔn)⑥包括法治、尊重人權(quán)和基本自由，一般法和部門相關(guān)立法以及對立法的實施，數(shù)據(jù)主體權(quán)利、有效的行政和司法賠償；是否存在一個或多個有效運(yùn)作的監(jiān)管機(jī)構(gòu)，擁有充分的執(zhí)行權(quán)，協(xié)助數(shù)據(jù)主體行使權(quán)利；有關(guān)第三國或國際組織達(dá)成的國際承諾，或因具有法律約束力的公約或文件等產(chǎn)生的義務(wù)等。。 其中是否加入歐盟委員會《108 號公約》⑦1981 年《有關(guān)個人數(shù)據(jù)自動化處理的個人保護(hù)公約》(The Convention For The Protection of individuals With Regard to Automatic Processing of Personal Data)。是重要考量因素之一。 即使獲得認(rèn)定仍需要接受至少4 年一次的定期審核，如有信息顯示無法確保充分性保護(hù)，歐盟委員會通過頒布不具有追溯力的實施法案撤銷、修訂或終止已通過的認(rèn)定⑧GDPR 第45 條第3、4、5 款。。 充分性保護(hù)原則不具有普遍適用性，目前獲得認(rèn)定的國家和地區(qū)只有12 個，其中加拿大獲得的是有限認(rèn)證，鑒于《隱私盾協(xié)議》已失效，美國獲得的有限充分認(rèn)證也因此終止。 已認(rèn)證的國家多位于歐洲大陸或不具有代表性，覆蓋范圍有限。 并且認(rèn)證程序復(fù)雜，需要進(jìn)行實質(zhì)評估而非形式審查，增加了談判的不確定性。

(2)保障措施

無法提供充分保護(hù)可適用第46 條的適當(dāng)保障措施，其中標(biāo)準(zhǔn)合同條款(Standard Contract Clauses，以下簡稱SCCs)和約束性公司規(guī)則(Binding Corporate Rules，以下簡稱BCRs)兩項制度適用范圍最廣。 境外數(shù)據(jù)控制者或處理者可以通過簽訂歐盟委員會和數(shù)據(jù)監(jiān)管機(jī)構(gòu)批準(zhǔn)的SCCs 實現(xiàn)跨境數(shù)據(jù)流動的目的。 雖然SCCs 的操作似乎只需要數(shù)據(jù)出口方與進(jìn)口方簽署即可進(jìn)行數(shù)據(jù)轉(zhuǎn)移，但實際操作仍存在一些弊端，比如合同雙方承擔(dān)連帶責(zé)任的規(guī)定可能造成數(shù)據(jù)出口方因顧及違約責(zé)任后果怠于進(jìn)行數(shù)據(jù)傳輸；合同相對性的固有特征難以解決涉及多方主體的復(fù)雜數(shù)據(jù)傳輸問題，往往耗時長、成本高，難以解決涉及多方主體的復(fù)雜數(shù)據(jù)傳輸。 BCRs約束跨國公司內(nèi)部的數(shù)據(jù)跨境傳輸活動。 跨國公司內(nèi)部往往有大量數(shù)據(jù)傳輸需求，涉及集團(tuán)多方成員，BCRs 避免了SCCs 每次都需要簽訂合同從而增加大量經(jīng)營成本的弊端。第47 條第2 款(F)項規(guī)定了歐盟境外成員違反BCRs 由歐盟境內(nèi)控制者或處理者承擔(dān)責(zé)任，處罰以歐盟境內(nèi)集團(tuán)成員作為連接點(diǎn)。 該項規(guī)定通過歐盟境內(nèi)的連接點(diǎn)擴(kuò)張了承擔(dān)責(zé)任的主體范圍，對跨國公司的規(guī)模、資金、技術(shù)、員工素質(zhì)均提出較高要求。 但BCRs 規(guī)則適用范圍有限，對中小型公司而言無太多可以適用的規(guī)范，難以在大范圍內(nèi)發(fā)揮效用。

(3)特定情形下的減損

上述兩種方式均無法適用時可基于第49 條第1 款7 種特定情形進(jìn)行數(shù)據(jù)傳輸。 其中第1 款(a)項“告知+同意”是最經(jīng)常使用的情形，如果數(shù)據(jù)主體在被告知不符合充分保護(hù)和適當(dāng)保障措施的規(guī)定，以及數(shù)據(jù)流動可能帶來的風(fēng)險仍然同意傳輸，可以不受上述規(guī)定的限制，實際是將控制權(quán)交與數(shù)據(jù)主體自身。

3. 監(jiān)管層次

成員國層面，第六章就監(jiān)管機(jī)構(gòu)的獨(dú)立地位、管轄權(quán)限、職責(zé)或權(quán)力做出詳細(xì)的規(guī)定。 對向歐盟不同成員國提供業(yè)務(wù)或在不同成員國設(shè)立機(jī)構(gòu)的企業(yè)，由一個主監(jiān)管機(jī)構(gòu)對企業(yè)所有數(shù)據(jù)活動負(fù)責(zé)，建立了一站式監(jiān)督機(jī)制，提高監(jiān)管效力。 歐盟層面則設(shè)立EDPB⑨https：/ /edps.europa.eu/about-edps_en.總體任務(wù)包括監(jiān)督并確保歐盟機(jī)構(gòu)在個人信息處理時對個人數(shù)據(jù)和隱私的保護(hù)、就與處理個人數(shù)據(jù)有關(guān)的事宜向歐盟機(jī)構(gòu)提供建議、就解釋數(shù)據(jù)保護(hù)法提供專家意見、與國家監(jiān)管當(dāng)局和其他監(jiān)管機(jī)構(gòu)合作等。負(fù)責(zé)GDPR 的實施。 兩個層面的監(jiān)管機(jī)構(gòu)之間信息互相流通，避免了監(jiān)管范圍重疊或缺失的情形。

(二)美國：以問責(zé)制為原則

美國采用分散立法的方式，通過市場主導(dǎo)、行業(yè)自律的方式進(jìn)行調(diào)整，原則上不限制個人數(shù)據(jù)的跨境流動。 以數(shù)據(jù)控制者和處理者能夠遵守隱私保護(hù)規(guī)定為預(yù)設(shè)前提，僅在造成損害后果的情形下由相關(guān)方承擔(dān)責(zé)任，最大限度降低數(shù)據(jù)流動的障礙，減輕行政機(jī)關(guān)的監(jiān)管壓力，旨在維護(hù)產(chǎn)業(yè)競爭優(yōu)勢，確保美國在數(shù)字經(jīng)濟(jì)和信息通信領(lǐng)域的領(lǐng)導(dǎo)地位①出臺的多項戰(zhàn)略規(guī)劃均提出明確促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的內(nèi)容，如《美國數(shù)字經(jīng)濟(jì)議程》《電子復(fù)興計劃》《數(shù)據(jù)科學(xué)戰(zhàn)略計劃》等，自由貿(mào)易協(xié)定中也包含了數(shù)字貿(mào)易的規(guī)定。。美國數(shù)據(jù)保護(hù)的相關(guān)法律多使用隱私一詞，聯(lián)邦層面的法律法規(guī)如1974 年《隱私法》，對聯(lián)邦行政部門收集、利用和保護(hù)個人數(shù)據(jù)等方面做出規(guī)定；涉及消費(fèi)者網(wǎng)絡(luò)隱私權(quán)的訴訟多通過《聯(lián)邦貿(mào)易委員會法》第5 節(jié)商業(yè)欺詐的規(guī)則解決；此外《電子通信隱私法》《計算機(jī)欺詐和濫用法》《公平信用報告法》《金融服務(wù)現(xiàn)代化法案》《兒童在線隱私保護(hù)法》《在線通訊政策法》等均涉及相關(guān)內(nèi)容。 州層面的法律法規(guī)，最具代表性的是《加州消費(fèi)者隱私法》及其實施細(xì)則，被稱為全美最嚴(yán)格網(wǎng)絡(luò)隱私法，但其對跨境數(shù)據(jù)流動亦未設(shè)明確限制②https：/ /mp.weixin.qq.com/s/AnkWT_st-lj3ioYrZYgnkg.。

繼微軟訴美國案之后，2018 年《澄清合法使用域外數(shù)據(jù)法》(Clarify Lawful Overseas Use of Data Act)為調(diào)取美國公司存儲于境外的數(shù)據(jù)提供了法律依據(jù)，該法案將司法管轄權(quán)由數(shù)據(jù)存儲位置擴(kuò)張為數(shù)據(jù)控制者的控制范圍。 只要內(nèi)容所有者或數(shù)據(jù)控制者是美國企業(yè)或其他組織，無論是否存儲于美國境內(nèi)，這些機(jī)構(gòu)有義務(wù)提供并披露上述內(nèi)容。 法案體現(xiàn)了美國數(shù)據(jù)主權(quán)戰(zhàn)略，是其國內(nèi)法域外效力在數(shù)據(jù)流動領(lǐng)域的體現(xiàn)。 法案雖同時允許適格的外國政府向美國境內(nèi)組織調(diào)取用于偵查執(zhí)法等目的的相關(guān)數(shù)據(jù)，但對適格外國政府的認(rèn)定極為嚴(yán)格③適格外國政府的考慮因素包括國內(nèi)立法水平和執(zhí)法能力是否為公民權(quán)利和隱私提供了足夠的實體和程序保護(hù)；該國家是否為《布達(dá)佩斯網(wǎng)絡(luò)犯罪公約》的成員國，或者至少與公約的第1、2 章內(nèi)容相吻合；對法治和平等原則的尊重；遵守國際人權(quán)義務(wù)等等。。 表面上具備國家之間交互的性質(zhì)，實質(zhì)上是否為適格的外國政府完全由美國自由決定，雙方在實踐中的標(biāo)準(zhǔn)并不對等。

(三)俄羅斯：以數(shù)據(jù)本地化存儲為原則

俄羅斯立法體現(xiàn)了明顯的國家數(shù)據(jù)主權(quán)訴求，總體采納數(shù)據(jù)本地化規(guī)制路徑，要求公民信息及相關(guān)信息和數(shù)據(jù)庫的存儲和處理行為需在境內(nèi)進(jìn)行。 《關(guān)于信息、信息技術(shù)和信息保護(hù)法》第10.1 條第3 款和第16 條第4 款增加了境內(nèi)存儲相關(guān)內(nèi)容，《聯(lián)邦個人數(shù)據(jù)法》第18 條增加第5 款使用本地數(shù)據(jù)庫。 但本地化存儲不意味著絕對禁止流動。 根據(jù)《聯(lián)邦個人數(shù)據(jù)法》第12 條第1 款和第2 款，俄羅斯作為《108 號公約》的簽署國可以與其他締約國之間進(jìn)行數(shù)據(jù)傳輸。 公約以外能夠給予同等保護(hù)的國家采用白名單制度。 向不能給予同等保護(hù)的國家傳輸數(shù)據(jù)可在第4 款規(guī)定的情形下進(jìn)行④https：/ /mp.weixin.qq.com/s/jbMw_6NUK_1nwRJvRzImlg.翻譯來自蘇州信息安全法學(xué)所。。 該種規(guī)制路徑實現(xiàn)了對數(shù)據(jù)流動各環(huán)節(jié)的嚴(yán)格把控，加強(qiáng)政府的執(zhí)法權(quán)和對數(shù)據(jù)資源的控制力，有力保護(hù)了國家數(shù)據(jù)主權(quán)，但也會對外國互聯(lián)網(wǎng)企業(yè)的運(yùn)營造成負(fù)面影響，比如2019 年和2020 年對Facebook 和Twitter 的兩度罰款。過于嚴(yán)苛的本地化措施可能使得外國企業(yè)望而卻步，不利于本國企業(yè)與境外企業(yè)之間的技術(shù)交流，對GDP 也可能產(chǎn)生負(fù)面影響。

三、 跨境數(shù)據(jù)流動的國際監(jiān)管與合作

(一)區(qū)域規(guī)則

APEC《隱私框架》是亞太地區(qū)第一份關(guān)于跨境數(shù)據(jù)流動的文件，強(qiáng)調(diào)數(shù)據(jù)自由流動和個人隱私保護(hù)，提供最低隱私保護(hù)標(biāo)準(zhǔn)，促進(jìn)亞太地區(qū)電子商務(wù)的發(fā)展。 2012 年美國主導(dǎo)并參與的APEC 跨境隱私規(guī)則體系(Cross-Border Privacy Rules，以下簡稱CBPRs)正式啟動。 CBPRs 屬于非約束性體系，不具有強(qiáng)制力，成員經(jīng)濟(jì)體和企業(yè)自愿選擇加入，可以看作是美國行業(yè)自律模式的改良版，是非純粹的行業(yè)自律體系，涉及三方主體：隱私執(zhí)法機(jī)構(gòu)、問責(zé)代理機(jī)構(gòu)和企業(yè)⑤成員國具有調(diào)查權(quán)和起訴權(quán)的隱私執(zhí)法機(jī)構(gòu)加入跨境隱私執(zhí)法安排，并滿足APEC 的9 大原則和50 項具體要求，擁有完全的執(zhí)法能力。 問責(zé)代理機(jī)構(gòu)需要APEC 全體成員認(rèn)可，可以是第三方非公共機(jī)構(gòu)，有效期為一年，每年需要重新審核。 申請加入的企業(yè)依照問責(zé)代理機(jī)構(gòu)提供的自評問卷對自身制定的隱私政策進(jìn)行評估并調(diào)整以符合要求，通過問責(zé)代理機(jī)構(gòu)的審核后可獲得認(rèn)證。。截至目前已經(jīng)有九個國家或地區(qū)加入CBPRs 體系⑥美國、日本、韓國、澳大利亞、加拿大、新加坡、中國臺北、墨西哥和菲律賓。。

(二)雙邊協(xié)議

《隱私盾協(xié)議》(EU-US Privacy Shield Framework)是《安全港協(xié)議》(EU-US Safe Harbor Framework)的替代規(guī)則⑦為解決數(shù)據(jù)跨境轉(zhuǎn)移問題，歐美雙方于2000 年11 月達(dá)成了《安全港協(xié)議》。 2015 年10 月歐盟法院在Schrems Ⅱ案(Case C-362 /14，Maximillian Schrems v.Data Protection Commissioner)宣布2000/520 號歐盟決定(safe harbor decision)無效。 由于美歐之間經(jīng)濟(jì)的緊密聯(lián)系需要數(shù)據(jù)流動，經(jīng)過多輪談判，雙方于2016 年達(dá)成《隱私盾協(xié)議》。，主要內(nèi)容體現(xiàn)在權(quán)力約束、規(guī)范對象、權(quán)利救濟(jì)、合作機(jī)制四個層面，具體內(nèi)容包括：美國政府書面承諾在明確的條件限制、約束和監(jiān)管下出于國家安全目的訪問數(shù)據(jù)；由獨(dú)立于國家安全部門的監(jiān)察員處理移交的投訴；美國企業(yè)承擔(dān)的義務(wù)增多，如公示隱私保護(hù)政策、定期自證審查等；增加數(shù)據(jù)主體的救濟(jì)途徑；設(shè)置年度聯(lián)合審查機(jī)制等。 隱私盾協(xié)議雖然暫時解決了歐美雙方數(shù)據(jù)流動的困境，但也存在不可忽視的問題。 首先是法律機(jī)制，美歐雙方對個人數(shù)據(jù)保護(hù)立法存在明顯差別，二者是否真正達(dá)成踐行共識不無疑問；其次，基于歐盟公民的投訴，數(shù)據(jù)保護(hù)機(jī)關(guān)有權(quán)進(jìn)行調(diào)查并作出中止數(shù)據(jù)流通的決定，協(xié)議的穩(wěn)定性和持續(xù)性難以保障；再次，GDPR本身涉及諸多復(fù)雜概念，EDPB 此后又發(fā)布了二十幾項相關(guān)指南，完全實現(xiàn)所規(guī)定的權(quán)利確屬困難。

2020 年7 月16 日，歐盟法院(CJEU)宣布了對SchremsⅡ⑧Case C-311/18 Data Protection Commissioner v.Facebook Ireland Ltd and Maximillian Schrems(“Schrems Ⅱ”).案件的裁決，認(rèn)定《隱私盾協(xié)議》的基礎(chǔ)第2016/1250 號決定無效。 美國對個人數(shù)據(jù)權(quán)利保護(hù)不充分，《隱私盾協(xié)議》不再作為美國企業(yè)將歐盟境內(nèi)個人數(shù)據(jù)傳輸至美國的法律依據(jù)。 繼《安全港協(xié)議》失效后，《隱私盾協(xié)議》再次失效。歐盟法院認(rèn)定《隱私盾協(xié)議》無效的主要考量在于對公權(quán)力的限制，涉及美國《外國情報監(jiān)控法》第7 章702 條和美國第12333 號行政令⑨https：/ /mp.weixin.qq.com/s/2jtESrr_gOM7tqbaDSuUuA.。 歐盟法院指出美國基于本國安全監(jiān)控法律規(guī)定訪問外國公民個人信息的行為不受制于嚴(yán)格必要的制約，與歐盟法律規(guī)定的嚴(yán)格必要和目的成比例原則相違背①https：/ /mp.weixin.qq.com/s/WTjXYeylIBrVAtMz3PPThg.。 雖然歐盟法院肯定了SCCs 仍然有效，但對SCCs 的適用應(yīng)當(dāng)基于個案進(jìn)行評估審核，如果數(shù)據(jù)進(jìn)口國法律無法達(dá)到充分性保護(hù)水平，公司必須提供額外的保障措施，成員國數(shù)據(jù)保護(hù)機(jī)構(gòu)在個案審核中擁有禁止數(shù)據(jù)傳輸?shù)臋?quán)利，給SCCs 的適用增加了更多的不確定性。 大型企業(yè)或跨國公司為避免風(fēng)險可以在歐盟境內(nèi)設(shè)立存儲服務(wù)器，但對于中小企業(yè)而言成本過高，如若無法有效應(yīng)對還面臨巨額罰款的風(fēng)險。 除此之外，第49 條特殊情況下的減損是否可以作為商業(yè)活動的常規(guī)或持續(xù)性的數(shù)據(jù)轉(zhuǎn)移的依據(jù)尚存疑問。

(三)貿(mào)易協(xié)定

美韓自由貿(mào)易協(xié)定電子商務(wù)章節(jié)第15.8 條明確雙方應(yīng)努力避免對電子信息跨境流動設(shè)置或維持不必要的障礙。附件金融服務(wù)部分規(guī)定②US-Korea FTA，Annex 13-B Section B.締約方應(yīng)允許金融機(jī)構(gòu)在正常業(yè)務(wù)范圍進(jìn)行數(shù)據(jù)跨境傳輸以達(dá)到數(shù)據(jù)處理的目的。

美墨加協(xié)定增加了數(shù)字貿(mào)易的內(nèi)容。 第19.11 條原則上禁止采用限制或禁止數(shù)據(jù)自由流動的措施，但允許為實現(xiàn)合法公共政策目標(biāo)的例外。 第19.12 條不得以使用境內(nèi)計算機(jī)設(shè)施作為開展業(yè)務(wù)的條件表明了反對數(shù)據(jù)本地化的立場。協(xié)定多次提及對美國主導(dǎo)的APEC 隱私體系的承認(rèn)，比如第19.14 條b 款、第19.8 條第2 款，目前三國均已加入APEC 的CBPRs 體系。 第19.18 條首次提出公開政府?dāng)?shù)據(jù)，表明其有助于經(jīng)濟(jì)和社會發(fā)展，與美國追求數(shù)據(jù)經(jīng)濟(jì)價值的理念相符。 金融服務(wù)章節(jié)第17.17 條、第17.18 條對信息傳輸?shù)囊?guī)定設(shè)置了例外情形和前提條件，規(guī)制相對嚴(yán)格。

《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》電子商務(wù)章節(jié)第14.11.2 條明確了數(shù)據(jù)跨境傳輸成員方的義務(wù)。 第14.13.2 條限制了數(shù)據(jù)本地化措施的適用。 法定例外情形體現(xiàn)在第14.11.3條和第14.13.3 條，立法結(jié)構(gòu)采取原則+例外的方式，借鑒了WTO 的《服務(wù)貿(mào)易總協(xié)定》第14 條和《關(guān)稅與貿(mào)易總協(xié)定》第20 條的表述，但對合法公共政策目標(biāo)的含義并未確定，亦未列舉，增加了適用的不確定性。

2020 年11 月15 日簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership，以下簡稱RCEP)第十二章電子商務(wù)涉及了跨境數(shù)據(jù)流動的內(nèi)容③http：/ /fta.mofcom.gov.cn/rcep/rcep_new.shtml.，第14 條計算設(shè)施位置的規(guī)定限制了數(shù)據(jù)本地化措施，第15 條允許因商業(yè)行為通過電子方式傳輸信息，同時也明確了締約方實現(xiàn)合法公共政策目標(biāo)以及保護(hù)其基本安全利益的例外，兼顧了國家安全與經(jīng)濟(jì)發(fā)展的雙重需求。 此外，第八章服務(wù)貿(mào)易附件一金融服務(wù)第9 條也規(guī)定了對金融數(shù)據(jù)的轉(zhuǎn)移與信息處理。 RCEP 并無歐美國家參與，在歐美主導(dǎo)數(shù)據(jù)流動規(guī)則話語權(quán)的背景下，RCEP 為發(fā)展中國家的跨境數(shù)據(jù)流動合作提供了新思路和新前景④https：/ /mp.weixin.qq.com/s/nUrPxtG4LnCxwv6yKHRy3g.。

四、 跨境數(shù)據(jù)流動法律規(guī)制的特點(diǎn)

雖然跨境數(shù)據(jù)流動的法律規(guī)制呈現(xiàn)國內(nèi)法與國際法并行的現(xiàn)狀，但各國國內(nèi)法規(guī)制仍占據(jù)主要地位。 不同國家之間的規(guī)制模式差異較大，其根本原因在于立法價值目標(biāo)的選擇，或注重個人數(shù)據(jù)權(quán)利保護(hù)，或強(qiáng)調(diào)產(chǎn)業(yè)競爭發(fā)展，或維護(hù)數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)安全。 目標(biāo)選擇的背后原因又往往取決于本國數(shù)字產(chǎn)業(yè)的發(fā)展和競爭實力。 競爭力強(qiáng)的國家的企業(yè)往往是數(shù)據(jù)的控制者和處理者，競爭力較弱的國家的用戶更多是數(shù)據(jù)信息的提供者。 因此暫時處于弱勢地位的國家往往會出于經(jīng)濟(jì)戰(zhàn)略布局或可能的個人數(shù)據(jù)泄露和國家安全風(fēng)險的考量，對數(shù)據(jù)流動進(jìn)行程度不一的限制。

雙邊規(guī)制模式如SCCs、《隱私盾協(xié)議》等，在協(xié)議雙方對數(shù)據(jù)保護(hù)機(jī)制和流動規(guī)制路徑存在較大差異的情況下，可能只能滿足某一階段的數(shù)據(jù)流動需求，《安全港協(xié)議》和《隱私盾協(xié)議》的相繼失效，以及SCCs 適用的不確定性和煩瑣性體現(xiàn)了這一模式的弊端。 區(qū)域規(guī)制模式以APEC 隱私框架為代表，成員國自愿加入CBPRs 體系，機(jī)制較為靈活，但至今只有9 個國家或地區(qū)加入CBPRs 體系，并且全部都是美國的盟友，取得CBPRs 認(rèn)證的企業(yè)數(shù)量僅為35 家，其中有3 家日本公司，其余均為美國公司⑤http：/ /cbprs.org/compliance-directory/cbpr-system/.，美國通過區(qū)域規(guī)則構(gòu)建較低數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)以試圖減弱歐盟GDPR 影響力的成果尚不甚理想。貿(mào)易協(xié)定中涉及電子商務(wù)、金融服務(wù)的數(shù)據(jù)傳輸規(guī)定逐漸增多，典型如美墨加協(xié)定、美韓自由貿(mào)易協(xié)定、全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定、RCEP 等，但規(guī)定都較為模糊，具體實施中可能存在困難。 從多邊規(guī)制模式來看，全球范圍內(nèi)尚缺少統(tǒng)一的數(shù)據(jù)(隱私)保護(hù)共識和規(guī)則標(biāo)準(zhǔn)，數(shù)據(jù)跨境監(jiān)管與合作也缺少權(quán)威性的全球機(jī)構(gòu)進(jìn)行協(xié)調(diào)。 WTO 框架下的《服務(wù)貿(mào)易總協(xié)定》被多數(shù)學(xué)者認(rèn)為適合規(guī)制跨境數(shù)據(jù)流動，跨境交付模式往往需要數(shù)據(jù)流動，但規(guī)定過于模糊，WTO 全球合作模式仍有待探索。

此外，從規(guī)制的數(shù)據(jù)類型來看，以個人數(shù)據(jù)為主，對其他類型數(shù)據(jù)的規(guī)定較少。 歐盟《非個人數(shù)據(jù)在歐盟境內(nèi)自由流動框架條例》旨在明確歐盟境內(nèi)可以自由遷移此類數(shù)據(jù)，但對非個人數(shù)據(jù)的跨境流動并未涉及。 美國對于金融服務(wù)、高新技術(shù)數(shù)據(jù)、信用報告等特定領(lǐng)域的非個人數(shù)據(jù)流動則設(shè)置了嚴(yán)格的出境要求⑥非個人數(shù)據(jù)如13556 號行政命令形成的受控非秘信息清單(Controlled Unclassified Information，簡稱CUI)列出的17 個門類數(shù)據(jù)。。 貿(mào)易協(xié)定中對于金融數(shù)據(jù)、政府?dāng)?shù)據(jù)等非個人數(shù)據(jù)已有涉及，但數(shù)量少，規(guī)定較為原則。 總體上非個人數(shù)據(jù)的跨境流動尚未形成明確規(guī)制模式。

五、 我國跨境數(shù)據(jù)流動的法律規(guī)制

(一)國內(nèi)法層面

1. 國內(nèi)立法現(xiàn)狀

《數(shù)據(jù)安全法(草案)》和《個人信息保護(hù)法(草案)》公布之前，我國在諸多領(lǐng)域如包括醫(yī)藥、金融、人口健康、征信、關(guān)鍵信息基礎(chǔ)設(shè)施等，已有涉及數(shù)據(jù)方面的立法，側(cè)重維護(hù)數(shù)據(jù)主權(quán)和國家安全，具體體現(xiàn)在《網(wǎng)絡(luò)安全法》第37 條、《征信管理條例》第24 條、《保險機(jī)構(gòu)開業(yè)信息化建設(shè)驗收指引》第3 項、《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作通知》第6 條等等。 總體上立法層級不一，不同行業(yè)領(lǐng)域存在較大差異，呈現(xiàn)分散化與碎片化的特征。 為明確數(shù)據(jù)跨境流動的具體實施細(xì)則，網(wǎng)信辦相繼發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》《數(shù)據(jù)安全管理辦法(征求意見稿)》，但配套措施存在規(guī)制主體不一致、數(shù)據(jù)分類定性不明、規(guī)制模式單一等問題，目前尚未落地，實施日期待定。

2020 年7 月和10 月發(fā)布的《數(shù)據(jù)安全法(草案)》和《個人信息保護(hù)法(草案)》體現(xiàn)了我國將數(shù)據(jù)和個人信息分類監(jiān)管的特點(diǎn)。 前者側(cè)重數(shù)據(jù)安全保障，維護(hù)國家數(shù)據(jù)主權(quán)，后者聚焦個人信息權(quán)益保護(hù)，促進(jìn)信息有序流動。 同時《數(shù)據(jù)安全法(草案)》對數(shù)據(jù)的定義規(guī)定為任何以電子或者非電子形式對信息的記錄①《數(shù)據(jù)安全法(草案)》第3 條。，其適用客體的范圍類型涵蓋了《網(wǎng)絡(luò)安全法》和《個人信息保護(hù)法(草案)》。 《數(shù)據(jù)安全法(草案)》尚未設(shè)立專章規(guī)制跨境數(shù)據(jù)流動，相關(guān)規(guī)定體現(xiàn)在管轄權(quán)、監(jiān)管體系、數(shù)據(jù)分級分類、安全審查、風(fēng)險評估、出口管制等方面②《數(shù)據(jù)安全法(草案)》第2、19、20、22、23、24、33 條等。。 《個人信息保護(hù)法(草案)》首次設(shè)專章明確了個人信息跨境流動規(guī)則，不同于《個人信息出境安全評估辦法(征求意見稿)》，《個人信息保護(hù)法(草案)》對向境外傳輸個人信息的要求有所放寬：符合第40 條規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及處理個人信息達(dá)到網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，需要通過國家網(wǎng)信部門組織的安全評估③《個人信息保護(hù)法(草案)》第40 條。，符合《網(wǎng)絡(luò)安全法》第37 條保護(hù)國家安全和公共利益的需求一致；在安全評估之外，第38 條還設(shè)置了經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個人信息保護(hù)認(rèn)證以及通過簽訂合同監(jiān)督信息接收方的處理活動達(dá)到草案規(guī)定的信息保護(hù)標(biāo)準(zhǔn)等路徑④《個人信息保護(hù)法(草案)》第37 條。；第39 條明確了境外傳輸信息的告知加單獨(dú)同意要求，單獨(dú)同意作為新增形式要求設(shè)置了更高的標(biāo)準(zhǔn)；第41 條因國際司法協(xié)助或行政執(zhí)法協(xié)助向境外提供個人信息的規(guī)定與《數(shù)據(jù)安全法(草案)》第33 條以及《國際刑事司法協(xié)助法》的思路基本一致，2020 年9 月8 日全球數(shù)字治理研討會提出的《全球數(shù)據(jù)安全倡議》⑤https：/ /mp.weixin.qq.com/s/v6P8ygHuhr7ZUh1eZ_hw5Q.尊重他國主權(quán)、司法管轄權(quán)和對數(shù)據(jù)的管理權(quán)，不得直接向企業(yè)或個人調(diào)取位于他國的數(shù)據(jù)。 應(yīng)通過司法協(xié)助等渠道解決執(zhí)法跨境數(shù)據(jù)調(diào)取需求。亦表明類似立場；第43 條的對等原則同《數(shù)據(jù)安全法(草案)》第24 條體現(xiàn)的立法精神相同；管轄權(quán)上，草案第3 條以屬地管轄為基礎(chǔ)，并規(guī)定了特殊情形下的域外適用效力，與GDPR 的管轄規(guī)定基本一致。 《數(shù)據(jù)安全法(草案)》第2 條和《網(wǎng)絡(luò)安全法》第75 條也有追究境外數(shù)據(jù)活動法律責(zé)任的規(guī)定。 對于監(jiān)管部門的設(shè)置與《數(shù)據(jù)安全法(草案)》第7 條和《網(wǎng)絡(luò)安全法》第8 條相協(xié)調(diào)。 職責(zé)分工上突出了網(wǎng)信部門統(tǒng)籌協(xié)調(diào)的作用，其他部門在其所轄領(lǐng)域內(nèi)發(fā)揮職能作用。 總體而言，形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(草案)》和《個人信息保護(hù)法(草案)》為核心的數(shù)據(jù)規(guī)制法律架構(gòu)。 跨境數(shù)據(jù)流動的規(guī)制立場以維護(hù)國家安全為核心，個人信息保護(hù)和數(shù)據(jù)開發(fā)利用并重。

2. 立法尚存問題及建議

(1)數(shù)據(jù)分級分類保護(hù)標(biāo)準(zhǔn)不明確

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(草案)》《個人信息保護(hù)法(草案)》未作出較為明確的規(guī)定。 《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(草案)》附錄A 列舉了27 個行業(yè)的重要數(shù)據(jù)范圍，附錄B 針對個人數(shù)據(jù)和重要數(shù)據(jù)出境對個人權(quán)益和公共利益影響劃分了等級判定⑥《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(草案)》附錄A 重要數(shù)據(jù)識別指南，附錄B.1 評估個人信息出境對個人權(quán)益產(chǎn)生的影響等級，B.2 評估重要數(shù)據(jù)出境對國家安全、社會公共利益產(chǎn)生的影響等級。，具有規(guī)范指引的作用，適用范圍有限。 目前尚未形成較為系統(tǒng)的框架標(biāo)準(zhǔn)。

對于特定領(lǐng)域或行業(yè)的重要數(shù)據(jù)，可單獨(dú)制定分級分類指引，可參考證監(jiān)會《證券期貨業(yè)數(shù)據(jù)分類分級指引》、中國人民銀行《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》等，結(jié)合特定領(lǐng)域或行業(yè)的數(shù)據(jù)特征進(jìn)行細(xì)分歸類，并從數(shù)據(jù)影響對象、影響程度、影響范圍、數(shù)據(jù)一般特征、數(shù)據(jù)級別標(biāo)識方面制定數(shù)據(jù)安全定級參考表，進(jìn)行梯度化處理。

對非屬于特定領(lǐng)域或行業(yè)的其他數(shù)據(jù)大體劃分為政府一般數(shù)據(jù)、商業(yè)數(shù)據(jù)、個人數(shù)據(jù)。 政府一般數(shù)據(jù)在確保安全的前提下可以流動；商業(yè)數(shù)據(jù)和個人數(shù)據(jù)原則上可以自由流動，但涉及商業(yè)秘密以及個人敏感信息等情形則需要限制或禁止流動。 對每一大類型下的數(shù)據(jù)，結(jié)合數(shù)據(jù)內(nèi)容、監(jiān)管難度、安全風(fēng)險、處理技術(shù)、是否可能影響公共利益的要素綜合考量，細(xì)分?jǐn)?shù)據(jù)等級。 對不同級別的數(shù)據(jù)設(shè)置基本保護(hù)、一般保護(hù)、具體保護(hù)、嚴(yán)格保護(hù)，制定與數(shù)據(jù)級別相對應(yīng)的監(jiān)管和保護(hù)措施。

(2)未對獨(dú)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)的設(shè)置做出規(guī)定⑦h(yuǎn)ttps：/ /mp.weixin.qq.com/s/9kn744cDW-FBMevCFSCp1Q.

網(wǎng)信部門雖具有統(tǒng)籌協(xié)調(diào)的作用，但監(jiān)管工作的實施可能涉及多個部門，各部門的監(jiān)管職責(zé)界限劃分尚不明晰，有可能出現(xiàn)職責(zé)交叉或者監(jiān)管缺失的情形，分散式的監(jiān)管模式可能難以滿足復(fù)雜的執(zhí)法需求。 從國際經(jīng)驗來看，歐盟、澳大利亞、俄羅斯、日本等均具備獨(dú)立的數(shù)據(jù)監(jiān)管或保護(hù)機(jī)構(gòu)。擁有獨(dú)立地位和執(zhí)法能力的數(shù)據(jù)監(jiān)管機(jī)構(gòu)是衡量國家數(shù)據(jù)保護(hù)水平的重要因素，也可幫助國家參與國際數(shù)據(jù)保護(hù)與隱私專員大會的交流和合作。 可以參照GDPR 設(shè)置全國數(shù)據(jù)保護(hù)委員會，或者明確由網(wǎng)信辦承擔(dān)這一職責(zé)，賦予其監(jiān)管權(quán)和執(zhí)法權(quán)，包括數(shù)據(jù)出境的安全評估、審查跨境傳輸合同條款、對違規(guī)和侵犯信息權(quán)益行為的行政調(diào)查權(quán)和處罰權(quán)等。

(3)對數(shù)據(jù)進(jìn)口方的數(shù)據(jù)保護(hù)能力評估的立法層級較低

已有的相關(guān)規(guī)定主要體現(xiàn)在《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(草案)》中，對數(shù)據(jù)接收方所在國家或區(qū)域的政治法律環(huán)境評估依照個人數(shù)據(jù)和重要數(shù)據(jù)兩種情況區(qū)分對待，并對保障能力劃分了高、中、低三個等級⑧《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(草案)》附錄B 個人信息和重要數(shù)據(jù)出境安全風(fēng)險評估方法B.3.3 評估接收方所在國家或區(qū)域的政治法律環(huán)境。。 在此基礎(chǔ)上，可以參照GDPR 第45 條的規(guī)定，以法律形式明確列舉審查標(biāo)準(zhǔn)，對達(dá)到我國數(shù)據(jù)和信息保護(hù)水平的國家建立正面清單(白名單)，積極與之談判。 對不在正面清單的國家可以設(shè)置其他限制條件，比如審查境外數(shù)據(jù)處理者的隱私規(guī)則是否到保護(hù)標(biāo)準(zhǔn)、與數(shù)據(jù)處理者簽訂標(biāo)準(zhǔn)條款格式合同、設(shè)置嚴(yán)格明確的例外條款等。

(二)國際法層面

國際交流與合作層面，我國持積極參與數(shù)據(jù)安全和個人信息保護(hù)國際規(guī)則制定、促進(jìn)數(shù)據(jù)跨境安全自由流動、推動標(biāo)準(zhǔn)互認(rèn)①《數(shù)據(jù)安全法(草案)》第10 條、《個人信息保護(hù)法(草案)》第12 條。的立場。 高水準(zhǔn)的跨境數(shù)據(jù)流動規(guī)制可以幫助國家擴(kuò)大在國際數(shù)字貿(mào)易規(guī)則領(lǐng)域的影響力。 以歐盟和美國為代表的發(fā)達(dá)國家都在爭奪規(guī)則的主導(dǎo)權(quán)，我國在該領(lǐng)域的國際話語權(quán)尚不強(qiáng)。 中澳和中韓自由貿(mào)易協(xié)定僅涉及數(shù)據(jù)信息保護(hù)的原則性規(guī)定，未規(guī)定數(shù)據(jù)跨境流動的內(nèi)容未彩玉，未參與CBPRs 區(qū)域性規(guī)則體系，RCEP 已有關(guān)于數(shù)據(jù)(信息)傳輸和處理的規(guī)定，具體如何實施有待締約方進(jìn)一步明確。 目前以安全評估制度和本地化存儲為主的相對保守的規(guī)制方式對我國數(shù)字貿(mào)易發(fā)展不利，我國有必要以前瞻性的戰(zhàn)略布局參與國際合作，嘗試構(gòu)建符合我國利益的規(guī)則，主動通過雙邊或多邊協(xié)商建立信任機(jī)制，借助亞太自由貿(mào)易區(qū)，“一帶一路”等平臺進(jìn)行磋商與合作。 可由網(wǎng)信辦、商務(wù)部、外交部共同參與談判工作，與我國數(shù)據(jù)保護(hù)水平相近或規(guī)制目標(biāo)類似的國家或地區(qū)達(dá)成共識。 與保護(hù)機(jī)制完善、標(biāo)準(zhǔn)較高的國家進(jìn)行談判時可以參照《隱私盾協(xié)議》達(dá)成階段性合作，形成數(shù)據(jù)流動雙向監(jiān)管體系。 同時為保障合作的可持續(xù)性，不至于出現(xiàn)類似《隱私盾協(xié)議》無效的情形，國內(nèi)法和出境企業(yè)內(nèi)部的數(shù)據(jù)合規(guī)也要不斷更新完善，盡量達(dá)到充分性保護(hù)等類似要求。 在與他國協(xié)商時也需要考量中國出境企業(yè)的利益訴求，如果設(shè)置過于嚴(yán)苛的標(biāo)準(zhǔn)，其他國家可能采取對等措施，給我國企業(yè)發(fā)展帶來負(fù)面影響。 在不會對國家安全利益造成損害且保證數(shù)據(jù)安全的前提下，仍應(yīng)當(dāng)以促進(jìn)數(shù)據(jù)流動為目標(biāo)，繁榮數(shù)字市場。 此外，對于可能出現(xiàn)的管轄權(quán)沖突問題，在立足平等對話和數(shù)據(jù)主權(quán)獨(dú)立的前提下，可以適當(dāng)讓渡管轄權(quán)，結(jié)合國際私法中的屬地管轄原則、效果管轄原則、最密切聯(lián)系原則、不方便法院原則等解決可能出現(xiàn)的管轄沖突。