陳家寧，張建文

（西南政法大學(xué)民商法學(xué)院，重慶，401120）

跨境數(shù)據(jù)流動(dòng)的含義主要包括兩種：一種是數(shù)據(jù)跨越國(guó)界的傳輸、處理與存儲(chǔ)；另一種是數(shù)據(jù)仍在本國(guó)境內(nèi)，但能夠被境外主體進(jìn)行訪問(wèn)。［1］在信息全球化的時(shí)代，數(shù)據(jù)不僅是新的生產(chǎn)要素，更是國(guó)家的重要戰(zhàn)略資產(chǎn)。數(shù)據(jù)流動(dòng)是數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵要素，數(shù)據(jù)的跨境流動(dòng)會(huì)產(chǎn)生巨大的經(jīng)濟(jì)價(jià)值，與此相對(duì)，也會(huì)帶來(lái)數(shù)據(jù)安全問(wèn)題。目前世界各國(guó)政府爭(zhēng)相通過(guò)數(shù)據(jù)政策爭(zhēng)奪跨境數(shù)據(jù)流動(dòng)治理的話語(yǔ)權(quán)。

2017年12月8日，習(xí)近平總書(shū)記在中共中央政治局第二次集體學(xué)習(xí)時(shí)指出，要切實(shí)保障國(guó)家數(shù)據(jù)安全，加強(qiáng)國(guó)際數(shù)據(jù)治理政策儲(chǔ)備和治理規(guī)則研究，提出中國(guó)方案。2020年7月3日，全國(guó)人大官網(wǎng)公布《數(shù)據(jù)安全法（草案）》，草案提出應(yīng)當(dāng)鼓勵(lì)數(shù)據(jù)合法有效利用和有序自由流動(dòng)，以促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。2020年9月8日，王毅外長(zhǎng)在“抓住數(shù)字機(jī)遇，共謀合作發(fā)展”國(guó)際研討會(huì)上提出了《全球數(shù)據(jù)安全倡議》①外交部.中方提出《全球數(shù)據(jù)安全倡議》［EB/OL］.［2020-09-08］.https：//www.fmprc.gov.cn/web/wjbz_673089/xghd_673097/t1812947.shtml.，該倡議是我國(guó)在全球數(shù)據(jù)治理和跨境數(shù)據(jù)流動(dòng)領(lǐng)域的一次重要發(fā)聲。在這一背景下，本文將梳理全球跨境數(shù)據(jù)治理的現(xiàn)狀與面臨的困境，并在《數(shù)據(jù)安全法（草案）》的基礎(chǔ)上提出中國(guó)的跨境數(shù)據(jù)流動(dòng)方案。

一、跨境數(shù)據(jù)流動(dòng)的全球治理與困境

（一）跨境數(shù)據(jù)治理的全球治理現(xiàn)狀

1.歐盟：立法主導(dǎo)，推進(jìn)單一數(shù)字市場(chǎng)，掌握話語(yǔ)權(quán)

歐盟對(duì)跨境數(shù)據(jù)流動(dòng)的治理以政策引導(dǎo)為主，其嚴(yán)格限制個(gè)人數(shù)據(jù)跨境流動(dòng)，無(wú)論是在政策制定還是個(gè)案審查中，歐盟始終將個(gè)人數(shù)據(jù)的保護(hù)放在極高位置，將個(gè)人數(shù)據(jù)權(quán)利作為人權(quán)保護(hù)的一部分。［2］只有在保障個(gè)人數(shù)據(jù)安全和個(gè)人數(shù)據(jù)權(quán)利的前提下，才會(huì)進(jìn)行進(jìn)一步的數(shù)據(jù)利用?！秱€(gè)人數(shù)據(jù)保護(hù)指令》①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with re?gard to the process-ing of personal data and on the free movement of such data，Official Journal L 281，23/11/1995 P.0031－0050.第二十五條提到，只有當(dāng)數(shù)據(jù)轉(zhuǎn)移目的國(guó)達(dá)到歐盟所認(rèn)可的充分保護(hù)水平的條件下，才可以進(jìn)行數(shù)據(jù)轉(zhuǎn)移，但同時(shí)對(duì)內(nèi)禁止以數(shù)據(jù)保護(hù)名義進(jìn)行數(shù)據(jù)本地化。在非個(gè)人數(shù)據(jù)跨境流動(dòng)方面，歐盟的開(kāi)放程度較高，傾向于提高單一市場(chǎng)中的非個(gè)人數(shù)據(jù)跨境流動(dòng)性，限制歐盟成員國(guó)的數(shù)據(jù)本地化，沒(méi)有設(shè)置大量的針對(duì)公共利益的保留和例外條款，而是更注重?cái)?shù)據(jù)流動(dòng)帶來(lái)的價(jià)值。總體而言，歐盟希望在個(gè)人數(shù)據(jù)權(quán)益、個(gè)人隱私與數(shù)據(jù)流動(dòng)之間達(dá)到動(dòng)態(tài)平衡。此外，歐盟推行“數(shù)字單一市場(chǎng)戰(zhàn)略”（Digital Single Market，簡(jiǎn)稱(chēng)DSM）②Commission Communication adopted on 10 May 2017（COM（2017）228 final）.，旨在破除成員國(guó)之間的政策壁壘，增強(qiáng)網(wǎng)絡(luò)信任與安全，實(shí)現(xiàn)數(shù)據(jù)自由流動(dòng)，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展最大化。［3］

引領(lǐng)跨境數(shù)據(jù)流動(dòng)規(guī)則，推進(jìn)數(shù)字單一市場(chǎng)在歐盟乃至全球?qū)崿F(xiàn)，是歐盟的戰(zhàn)略。從《一般數(shù)據(jù)保護(hù)條例》（GDPR）及其“長(zhǎng)臂管轄”條款，到數(shù)據(jù)保護(hù)委員會(huì)（European Data Protection Board，簡(jiǎn)稱(chēng)EDPB）及其協(xié)調(diào)機(jī)制的建立，歐盟致力于推廣并提高其數(shù)據(jù)立法乃至整個(gè)信息產(chǎn)業(yè)的全球影響力。

2.美國(guó)：市場(chǎng)主導(dǎo)，強(qiáng)化“長(zhǎng)臂管轄”以提升影響力

美國(guó)在信息技術(shù)和數(shù)字經(jīng)濟(jì)領(lǐng)域居于世界主導(dǎo)地位，與歐盟相比，美國(guó)更傾向于由市場(chǎng)主導(dǎo)數(shù)據(jù)自由流動(dòng)，以保持其現(xiàn)有的信息優(yōu)勢(shì)。美國(guó)主張通過(guò)自由貿(mào)易協(xié)定談判，將其數(shù)據(jù)跨境流動(dòng)規(guī)則主張和規(guī)則在一定條件下為締約國(guó)所接受。［4］美國(guó)對(duì)數(shù)據(jù)的自由流動(dòng)需求強(qiáng)，因此其跨境數(shù)據(jù)流動(dòng)的對(duì)策都以維護(hù)數(shù)據(jù)自由流動(dòng)為基調(diào)。2018年3月，美國(guó)議會(huì)通過(guò)《澄清境外數(shù)據(jù)的合法使用法案》（Clar?ifying Lawful Overseas Use of Data Act，即CLOUD法案）。該法案秉承“數(shù)據(jù)控制者”原則，無(wú)論傳輸或儲(chǔ)存的信息是否在美國(guó)境內(nèi)，只要服務(wù)提供者控制數(shù)據(jù)，美國(guó)政府均有權(quán)要求其披露信息，允許政府跨境調(diào)取數(shù)據(jù)。然而，外國(guó)機(jī)構(gòu)想要調(diào)取儲(chǔ)存于美國(guó)的數(shù)據(jù)，則需要國(guó)會(huì)認(rèn)定外國(guó)政府符合“符合資格的外國(guó)政府”，再向美國(guó)境內(nèi)數(shù)據(jù)控制者發(fā)出調(diào)取命令?！对品ò浮肥敲绹?guó)在數(shù)據(jù)領(lǐng)域“長(zhǎng)臂管轄”的典型體現(xiàn)，弱化其他國(guó)家對(duì)其境內(nèi)數(shù)據(jù)的實(shí)際掌控，強(qiáng)化美國(guó)對(duì)其掌控?cái)?shù)據(jù)的絕對(duì)控制，以維持在數(shù)據(jù)跨境流動(dòng)的主導(dǎo)地位。

3.俄羅斯：限制流動(dòng)，嚴(yán)密監(jiān)管，強(qiáng)化數(shù)據(jù)本地化政策

與美國(guó)和歐盟相比，俄羅斯的數(shù)據(jù)流動(dòng)政策偏向保守。出于網(wǎng)絡(luò)空間安全的考量，一般情況下，俄羅斯禁止將數(shù)據(jù)轉(zhuǎn)移到國(guó)外，跨國(guó)公司的某些數(shù)據(jù)也應(yīng)在俄羅斯境內(nèi)保留副本。［5］另外，除《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》（第108號(hào)公約）③Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，即“第108號(hào)公約”。2018年5月18日，歐盟委員會(huì)部長(zhǎng)委員會(huì)在于埃爾西諾召開(kāi)的第128屆會(huì)議上通過(guò)了《關(guān)于個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)公約》的修訂協(xié)議。④《關(guān)于修改聯(lián)邦反恐法和俄羅斯聯(lián)邦立法法及關(guān)于制定旨在打擊恐怖主義和保護(hù)公共安全的附加措施》（第374-FZ號(hào)聯(lián)邦法）中有多項(xiàng)條款涉及針對(duì)個(gè)人計(jì)算機(jī)的情報(bào)監(jiān)測(cè)。成員國(guó)和簽署國(guó)以及白名單國(guó)家外，對(duì)其他國(guó)家或地區(qū)的個(gè)人數(shù)據(jù)跨境傳輸須獲得數(shù)據(jù)主體的書(shū)面同意。此外，俄羅斯還設(shè)置了嚴(yán)格的互聯(lián)網(wǎng)電子監(jiān)視和訪問(wèn)限制，不僅要求網(wǎng)絡(luò)用戶實(shí)名制，還增大了針對(duì)私人通信服務(wù)的檢測(cè)力度，要求互聯(lián)網(wǎng)服務(wù)提供商保留實(shí)時(shí)數(shù)據(jù)12小時(shí)以上，以供安全局訪問(wèn)，而通過(guò)在線傳輸、接收和連接方式取得的數(shù)據(jù)則應(yīng)當(dāng)保留1年。④

此外，俄羅斯還建立了嚴(yán)格的數(shù)據(jù)本地化政策，要求所有在俄羅斯境內(nèi)開(kāi)展數(shù)據(jù)活動(dòng)的網(wǎng)絡(luò)運(yùn)營(yíng)商都必須在俄境內(nèi)建立服務(wù)器，并將服務(wù)器所在地通知俄羅斯聯(lián)邦通信、信息技術(shù)和大眾媒體監(jiān)督局，以處理公民的個(gè)人數(shù)據(jù)。

（二）全球跨境數(shù)據(jù)治理的困境——數(shù)字霸權(quán)與數(shù)據(jù)本地化

全球化治理中面臨的區(qū)域保護(hù)主義、貿(mào)易霸權(quán)主義問(wèn)題也同樣在跨境數(shù)據(jù)流動(dòng)治理中存在。各地的跨境數(shù)據(jù)流動(dòng)政策在管轄權(quán)上越發(fā)激進(jìn)。歐盟的“長(zhǎng)臂管轄”體現(xiàn)在，即使數(shù)據(jù)控制者和數(shù)據(jù)處理者在歐盟境內(nèi)沒(méi)有設(shè)立實(shí)體機(jī)構(gòu)，只要其向歐盟居民提供商品或服務(wù)，就會(huì)受到GDPR的約束，將歐盟內(nèi)部嚴(yán)格的跨境數(shù)據(jù)傳輸規(guī)則和個(gè)人數(shù)據(jù)保護(hù)規(guī)則拓展至歐盟外部。［6］同樣，美國(guó)在《云法案》的框架下建立了更加寬泛的管轄權(quán)，利用美國(guó)跨國(guó)企業(yè)在全球數(shù)字經(jīng)濟(jì)中的絕對(duì)主導(dǎo)地位①2018年11月，瑪麗米克發(fā)布的《2018年互聯(lián)網(wǎng)趨勢(shì)》報(bào)告指出，根據(jù)全球各大互聯(lián)網(wǎng)公司的估值衡量，全球20大互聯(lián)網(wǎng)科技公司中，美國(guó)占了12家。這種資本霸權(quán)是歐洲不能比擬的，多數(shù)發(fā)展中國(guó)家更是只有望而卻步。，建立了可以繞過(guò)數(shù)據(jù)所在國(guó)監(jiān)管機(jī)構(gòu)，將美國(guó)執(zhí)法效力擴(kuò)展至數(shù)據(jù)所在國(guó)的“治外法權(quán)”［1］，這也是其全球治理模式的延續(xù)。具有數(shù)據(jù)治理領(lǐng)域政策優(yōu)勢(shì)的國(guó)家或地區(qū)，利用“長(zhǎng)臂管轄”擴(kuò)大自身數(shù)據(jù)產(chǎn)業(yè)優(yōu)勢(shì)，必然會(huì)加大數(shù)據(jù)鴻溝，加大數(shù)字經(jīng)濟(jì)領(lǐng)域發(fā)展差距。

與長(zhǎng)臂管轄相對(duì)應(yīng)，過(guò)于嚴(yán)格的數(shù)據(jù)本地化措施也會(huì)帶來(lái)負(fù)面影響，以貿(mào)易保護(hù)主義的方式為全球數(shù)字經(jīng)濟(jì)發(fā)展帶來(lái)阻礙。首先數(shù)據(jù)本地化政策要求跨國(guó)企業(yè)在本地建立數(shù)據(jù)庫(kù)等基礎(chǔ)設(shè)施，經(jīng)營(yíng)成本增加，貿(mào)易效率降低。另外，過(guò)嚴(yán)的數(shù)據(jù)本地化反而會(huì)對(duì)個(gè)人數(shù)據(jù)安全造成威脅——中小企業(yè)無(wú)力建設(shè)運(yùn)營(yíng)域外數(shù)據(jù)中心，會(huì)選擇將數(shù)據(jù)合規(guī)外包，這增加了數(shù)據(jù)泄露風(fēng)險(xiǎn)。過(guò)嚴(yán)的規(guī)制將束縛創(chuàng)新，阻礙數(shù)字經(jīng)濟(jì)的發(fā)展壯大。因此，世界各國(guó)都在“發(fā)展”和“規(guī)范”之間進(jìn)行取舍，努力找到最佳平衡點(diǎn)。［7］

二、我國(guó)跨境數(shù)據(jù)流動(dòng)治理的現(xiàn)狀

我國(guó)主要通過(guò)數(shù)據(jù)本地化解決數(shù)據(jù)治理與本地執(zhí)法問(wèn)題，暫時(shí)還沒(méi)有形成體系化的法律規(guī)制，多是散見(jiàn)于規(guī)范性文件的對(duì)于特定數(shù)據(jù)的跨境數(shù)據(jù)規(guī)則。②《網(wǎng)絡(luò)安全法》第三十七條：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。立法層面有直接涉及的是《網(wǎng)絡(luò)安全法》，但其對(duì)跨境數(shù)據(jù)流動(dòng)是原則性規(guī)定，缺乏可操作性，本地化規(guī)則強(qiáng)度過(guò)高。［8］

2020年7月，全國(guó)人大頒布的《數(shù)據(jù)安全法（草案）》第十條提到，要積極開(kāi)展數(shù)據(jù)領(lǐng)域國(guó)際交流與合作，促進(jìn)數(shù)據(jù)安全、自由流動(dòng)。相對(duì)于《網(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)跨境的謹(jǐn)慎，《數(shù)據(jù)安全法（草案）》強(qiáng)調(diào)了數(shù)據(jù)流動(dòng)與國(guó)際合作，但仍踐行了分散立法的思路，沒(méi)有對(duì)跨境數(shù)據(jù)流動(dòng)管理具體的操作細(xì)則予以規(guī)定。如何將數(shù)據(jù)安全法落實(shí)到部門(mén)具體實(shí)施中，還需要進(jìn)一步完善立法。值得關(guān)注的是，國(guó)家網(wǎng)信辦于2019年6月發(fā)布了《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》，這是目前對(duì)個(gè)人數(shù)據(jù)跨境傳輸最為具體、最具有可操作性的制度嘗試。雖然該辦法相對(duì)于《民法典》《網(wǎng)絡(luò)安全法》等的原則性更加具體，是對(duì)個(gè)人信息出境進(jìn)行具體規(guī)定所做的一次有益嘗試，但相對(duì)目前國(guó)際數(shù)字貿(mào)易和跨境流動(dòng)的需求，仍存在以下問(wèn)題：

第一，數(shù)據(jù)本地化程度過(guò)高。我國(guó)的數(shù)據(jù)本地化原則上要求數(shù)據(jù)只能在我國(guó)境內(nèi)存儲(chǔ)和處理，個(gè)人數(shù)據(jù)如果要向境外傳輸，必須經(jīng)過(guò)嚴(yán)格的安全審核與評(píng)估。雖然數(shù)據(jù)本地化可以在一定程度上保障數(shù)據(jù)安全，但我國(guó)作為數(shù)據(jù)經(jīng)濟(jì)產(chǎn)業(yè)能力世界第二的數(shù)據(jù)大國(guó)，過(guò)于嚴(yán)格的本地化政策并不利于對(duì)外經(jīng)濟(jì)的運(yùn)行，會(huì)阻礙社會(huì)生產(chǎn)力的提高。［9］

第二，數(shù)據(jù)流動(dòng)缺乏統(tǒng)一的監(jiān)管機(jī)構(gòu)。我國(guó)跨境數(shù)據(jù)監(jiān)管主要是由主管行政機(jī)關(guān)進(jìn)行，各行業(yè)的數(shù)據(jù)由各部門(mén)主管機(jī)構(gòu)負(fù)責(zé)，例如互聯(lián)網(wǎng)數(shù)據(jù)由工業(yè)和信息化部負(fù)責(zé)。因此，在數(shù)據(jù)跨境流動(dòng)的治理機(jī)制上缺乏統(tǒng)一的分工與對(duì)接。當(dāng)前《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》在個(gè)人信息出境安全評(píng)估方面采用監(jiān)管部門(mén)的全面審批機(jī)制。盡管這有利于保障跨境傳輸中的數(shù)據(jù)安全，推動(dòng)數(shù)據(jù)的有效治理，但也加大了企業(yè)運(yùn)營(yíng)與市場(chǎng)監(jiān)管成本。［10］

第三，跨境數(shù)據(jù)治理的國(guó)際規(guī)制參與度較低?？缇硵?shù)據(jù)流動(dòng)安全高效的關(guān)鍵是內(nèi)外制度相協(xié)調(diào)。［11］目前，我國(guó)尚未與歐盟或美國(guó)等大的數(shù)據(jù)經(jīng)濟(jì)體簽訂明確可供執(zhí)行的跨境數(shù)據(jù)流動(dòng)協(xié)議，相較于美歐推進(jìn)的數(shù)據(jù)戰(zhàn)略和頂層設(shè)計(jì)，作為數(shù)據(jù)大國(guó)，我國(guó)尚無(wú)一套清晰的跨境數(shù)據(jù)規(guī)制和國(guó)際戰(zhàn)略，這可能使得“數(shù)據(jù)孤島”的情況加劇，削弱數(shù)字治理的國(guó)際規(guī)則主導(dǎo)權(quán)。

三、跨境數(shù)據(jù)流動(dòng)治理的中國(guó)方案

（一）將維護(hù)國(guó)家數(shù)據(jù)安全與數(shù)據(jù)主權(quán)放在首位

在信息社會(huì)，數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)空間存在與發(fā)展不可缺少的基礎(chǔ)性要素，數(shù)據(jù)安全問(wèn)題涉及到國(guó)家經(jīng)濟(jì)發(fā)展的核心資源和戰(zhàn)略基礎(chǔ)，是直接關(guān)系到創(chuàng)新經(jīng)濟(jì)發(fā)展和數(shù)字經(jīng)濟(jì)發(fā)展的核心性決定性問(wèn)題，因此，任何對(duì)數(shù)據(jù)安全的威脅也可能構(gòu)成對(duì)國(guó)家利益的危害。

在跨境數(shù)據(jù)流動(dòng)治理的制度設(shè)計(jì)上，保障數(shù)據(jù)安全是首要任務(wù)，應(yīng)當(dāng)做到對(duì)內(nèi)自主決定、對(duì)外自主可控。《數(shù)據(jù)安全法（草案）》應(yīng)當(dāng)將邏輯起點(diǎn)放在數(shù)據(jù)安全上，通過(guò)保障數(shù)據(jù)安全保障數(shù)據(jù)發(fā)展。首先，應(yīng)當(dāng)確保本國(guó)數(shù)據(jù)產(chǎn)業(yè)獨(dú)立自主的發(fā)展權(quán)，在核心領(lǐng)域脫離對(duì)外國(guó)技術(shù)的依賴，我國(guó)擁有優(yōu)勢(shì)的技術(shù)應(yīng)當(dāng)優(yōu)先滿足本國(guó)發(fā)展需要。其次，應(yīng)當(dāng)確保我國(guó)在數(shù)據(jù)領(lǐng)域的最高立法權(quán)限，自主制定數(shù)據(jù)領(lǐng)域法律法規(guī)，不受外部勢(shì)力的影響和支配。［12］

但同時(shí)，也應(yīng)當(dāng)考慮到適度的問(wèn)題，不能過(guò)于強(qiáng)調(diào)數(shù)據(jù)本地化而阻礙數(shù)據(jù)正常流動(dòng)，互聯(lián)網(wǎng)作為世界性的通信工具，一國(guó)規(guī)制往往會(huì)造成外部性。［13］應(yīng)當(dāng)平衡數(shù)據(jù)本地化與跨境數(shù)據(jù)流動(dòng)，使數(shù)字經(jīng)濟(jì)能夠在數(shù)據(jù)安全的框架下得到發(fā)展。

（二）完善境內(nèi)數(shù)據(jù)管理機(jī)制

1.建立跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)

設(shè)置統(tǒng)一的數(shù)據(jù)監(jiān)管機(jī)構(gòu)十分必要。歐盟設(shè)置歐洲數(shù)據(jù)委員會(huì)（the European Data Protection Board，簡(jiǎn)稱(chēng)EDPB）統(tǒng)籌歐洲的數(shù)據(jù)安全事項(xiàng)，GDPR第五十一條規(guī)定了歐盟成員國(guó)應(yīng)當(dāng)設(shè)立統(tǒng)一的監(jiān)管機(jī)構(gòu)保護(hù)個(gè)人數(shù)據(jù)。

《數(shù)據(jù)安全法（草案）》明確了數(shù)據(jù)安全的負(fù)責(zé)主體，由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作和統(tǒng)籌協(xié)調(diào)，各地行業(yè)主管部門(mén)承擔(dān)本行業(yè)、本領(lǐng)域的安全監(jiān)管，國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全與相關(guān)監(jiān)管。①《數(shù)據(jù)安全法（草案）》第六條：中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的決策和統(tǒng)籌協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國(guó)家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策。第七條：各地區(qū)、各部門(mén)對(duì)本地區(qū)、本部門(mén)工作中產(chǎn)生、匯總、加工的數(shù)據(jù)及數(shù)據(jù)安全負(fù)主體責(zé)任。工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國(guó)防科技工業(yè)、金融業(yè)等行業(yè)主管部門(mén)承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。存在的問(wèn)題是，數(shù)據(jù)本身具有極強(qiáng)的流動(dòng)性和共享性，因此數(shù)據(jù)的安全監(jiān)管需要統(tǒng)一、協(xié)調(diào)的制度與管理，若各行業(yè)各自承擔(dān)本行業(yè)的安全監(jiān)管責(zé)任，會(huì)出現(xiàn)政策不協(xié)調(diào)、管理效率低下、管理真空等問(wèn)題。因此，作為頂層設(shè)計(jì)的重要組成部分，應(yīng)當(dāng)建立專(zhuān)門(mén)、獨(dú)立、權(quán)責(zé)明確的數(shù)據(jù)監(jiān)管機(jī)關(guān)，負(fù)責(zé)數(shù)據(jù)規(guī)范的具體落實(shí)、數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估和跨境數(shù)據(jù)流動(dòng)治理等活動(dòng)。［10］

2.建立多元化數(shù)據(jù)分級(jí)分類(lèi)機(jī)制

目前的《數(shù)據(jù)安全法（草案）》對(duì)數(shù)據(jù)沒(méi)有提出明確可行的數(shù)據(jù)分級(jí)分類(lèi)標(biāo)準(zhǔn)，僅僅提出了應(yīng)當(dāng)按照數(shù)據(jù)在經(jīng)濟(jì)發(fā)展中的重要程度對(duì)數(shù)據(jù)進(jìn)行分類(lèi)。②《數(shù)據(jù)安全法（草案）》第十九條：國(guó)家根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分級(jí)分類(lèi)保護(hù)。數(shù)據(jù)種類(lèi)紛繁復(fù)雜，但數(shù)據(jù)——特別是重要數(shù)據(jù)的分級(jí)分類(lèi)，是數(shù)據(jù)治理的基礎(chǔ)。因此，數(shù)據(jù)分級(jí)分類(lèi)應(yīng)當(dāng)既有國(guó)家部門(mén)的主導(dǎo)，同時(shí)也與數(shù)字經(jīng)濟(jì)發(fā)展部門(mén)進(jìn)行充分有效地溝通，合理確定重要數(shù)據(jù)范圍及保護(hù)方式，平衡安全與發(fā)展兩大價(jià)值需求。

一是將個(gè)人數(shù)據(jù)與重要數(shù)據(jù)分別管理。鑒于個(gè)人數(shù)據(jù)與重要敏感數(shù)據(jù)涉及的風(fēng)險(xiǎn)和所需保護(hù)的法益各有不同，許多國(guó)家都在嘗試分級(jí)分類(lèi)監(jiān)管，通過(guò)靈活多樣的監(jiān)管模式，確立寬嚴(yán)相濟(jì)的數(shù)據(jù)跨境流動(dòng)管理政策。［1］個(gè)人數(shù)據(jù)跨境傳輸與個(gè)人數(shù)據(jù)權(quán)益、隱私權(quán)息息相關(guān)，而重要數(shù)據(jù)的保護(hù)主要是以國(guó)家安全和公共利益為考量，二者的價(jià)值取向不同，立法重點(diǎn)也應(yīng)不同。因此，個(gè)人信息和重要數(shù)據(jù)分開(kāi)監(jiān)管是一種較為合理的思路。在制定個(gè)人信息跨境保護(hù)機(jī)制時(shí)，可以設(shè)定適當(dāng)?shù)拿袷聶?quán)利義務(wù)，以信息主體權(quán)益保護(hù)為主。而對(duì)于重要數(shù)據(jù)的跨境監(jiān)管，應(yīng)當(dāng)以行政監(jiān)管為主要手段。［14］

二是將個(gè)人數(shù)據(jù)、非個(gè)人數(shù)據(jù)與兩者數(shù)據(jù)集合區(qū)分管理。如果跨境流動(dòng)數(shù)據(jù)是個(gè)人數(shù)據(jù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方提供關(guān)于所交易的個(gè)人數(shù)據(jù)獲得了數(shù)據(jù)主體的同意或者具有其他合法理由的證明。如果數(shù)據(jù)交易的對(duì)象是非個(gè)人數(shù)據(jù)，即具備了匿名化并且不可復(fù)原的條件①《網(wǎng)絡(luò)安全法》第四十二條第一款：網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。，數(shù)據(jù)控制者享有該非個(gè)人數(shù)據(jù)的所有權(quán)，在此情況下，不應(yīng)當(dāng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源。對(duì)于個(gè)人信息和非個(gè)人信息交織在一起無(wú)法區(qū)分的數(shù)據(jù)集合，目前尚沒(méi)有解決方法。筆者觀察到的一些關(guān)于促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的地方法規(guī)（草案），通常會(huì)把此類(lèi)的數(shù)據(jù)集合作為個(gè)人信息法律保護(hù)的對(duì)象。在目前我國(guó)個(gè)人信息法律保護(hù)機(jī)制不夠完善的情況下，對(duì)于無(wú)法區(qū)分或者區(qū)分成本過(guò)高導(dǎo)致不能分割的個(gè)人信息和非個(gè)人信息的數(shù)據(jù)集合而言，采用個(gè)人信息保護(hù)法律制度來(lái)說(shuō)是非常有現(xiàn)實(shí)意義的。

三是對(duì)個(gè)人敏感數(shù)據(jù)設(shè)置高級(jí)別的流動(dòng)管制。個(gè)人敏感數(shù)據(jù)是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人數(shù)據(jù)。歐盟對(duì)敏感數(shù)據(jù)實(shí)施“充分保護(hù)”，即對(duì)敏感數(shù)據(jù)的處理必須經(jīng)過(guò)數(shù)據(jù)主體明示同意，同時(shí)在對(duì)個(gè)人敏感數(shù)據(jù)進(jìn)行大規(guī)模處理前，或個(gè)人數(shù)據(jù)的處理可能給數(shù)據(jù)主體的權(quán)利或自由造成高風(fēng)險(xiǎn)時(shí)，相關(guān)組織有義務(wù)進(jìn)行隱私影響評(píng)估（Privacy Impact Assessment，簡(jiǎn)稱(chēng)PIA）。我國(guó)以此為參考，在敏感數(shù)據(jù)處理和傳輸前，要求征得數(shù)據(jù)主體明示同意。另外，我國(guó)可建立相應(yīng)的安全認(rèn)證標(biāo)準(zhǔn)，如果第三國(guó)的數(shù)據(jù)保護(hù)程度不能滿足我國(guó)的安全認(rèn)證標(biāo)準(zhǔn)，將不允許敏感個(gè)人數(shù)據(jù)的跨境流動(dòng)。［13］

（三）積極開(kāi)展國(guó)際合作，構(gòu)建我國(guó)的跨境數(shù)據(jù)傳輸域外效力規(guī)則體系

國(guó)內(nèi)的數(shù)字基礎(chǔ)設(shè)施已較發(fā)達(dá)，但在國(guó)際上發(fā)展環(huán)境相對(duì)受限。在中國(guó)企業(yè)全球化經(jīng)營(yíng)背景下，《數(shù)據(jù)安全法（草案）》面臨嚴(yán)峻的國(guó)際競(jìng)爭(zhēng)格局，在跨境數(shù)據(jù)流動(dòng)的規(guī)則體系構(gòu)建中缺少話語(yǔ)權(quán)。

王毅外長(zhǎng)在《全球數(shù)據(jù)安全倡議》中提到應(yīng)當(dāng)尊重他國(guó)主權(quán)、司法管轄權(quán)和對(duì)數(shù)據(jù)的管理權(quán)，不得直接向企業(yè)或個(gè)人調(diào)取位于他國(guó)的數(shù)據(jù)，反對(duì)利用信息技術(shù)破壞他國(guó)關(guān)鍵基礎(chǔ)設(shè)施或竊取重要數(shù)據(jù)，不得濫用信息技術(shù)對(duì)他國(guó)進(jìn)行大規(guī)模監(jiān)控，或非法采集他國(guó)公民個(gè)人信息，企業(yè)尊重當(dāng)?shù)胤?，不得?qiáng)制要求本國(guó)企業(yè)將境外產(chǎn)生、獲取的數(shù)據(jù)存儲(chǔ)在本國(guó)境內(nèi)，應(yīng)通過(guò)司法協(xié)助等渠道解決執(zhí)法跨境數(shù)據(jù)調(diào)取需求。該倡議是一套凝聚全球數(shù)據(jù)安全共識(shí)、符合全球共同利益的中國(guó)全球治理方案，有力回應(yīng)了目前跨境數(shù)據(jù)流動(dòng)治理中存在的問(wèn)題，例如針對(duì)數(shù)據(jù)本地化過(guò)激的問(wèn)題，提出不得強(qiáng)制要求數(shù)據(jù)在境內(nèi)存儲(chǔ)，數(shù)字保護(hù)主義違背經(jīng)濟(jì)發(fā)展規(guī)律；針對(duì)美國(guó)《云法案》中的“長(zhǎng)臂管轄”和內(nèi)外不一的數(shù)據(jù)流動(dòng)政策，倡議提出應(yīng)當(dāng)反對(duì)與摒棄單邊主義，不應(yīng)當(dāng)刻意搞雙重標(biāo)準(zhǔn)，干擾和阻礙全球數(shù)字合作與發(fā)展。

目前，我國(guó)尚未與貿(mào)易伙伴建立數(shù)據(jù)跨境流動(dòng)的互信機(jī)制，這將會(huì)阻礙我國(guó)實(shí)現(xiàn)在保護(hù)個(gè)人數(shù)據(jù)目標(biāo)下的數(shù)據(jù)自由流動(dòng)，也會(huì)影響我國(guó)企業(yè)跨境業(yè)務(wù)的開(kāi)展。在歐盟與美國(guó)強(qiáng)化“長(zhǎng)臂管轄”原則和數(shù)據(jù)主體權(quán)益的背景下，我國(guó)應(yīng)當(dāng)與他國(guó)加強(qiáng)跨境數(shù)據(jù)流動(dòng)規(guī)制合作，構(gòu)建國(guó)際互信合作機(jī)制。［14］

我國(guó)作為全球第二大經(jīng)濟(jì)體和數(shù)據(jù)大國(guó)，應(yīng)當(dāng)爭(zhēng)取成為跨境數(shù)據(jù)流動(dòng)治理乃至全球數(shù)據(jù)治理的領(lǐng)導(dǎo)者與政策制定者。在跨境數(shù)據(jù)流動(dòng)的域外規(guī)則建設(shè)中，可利用“一帶一路”倡議、“亞投行”等由中國(guó)主導(dǎo)的多邊合作機(jī)制，聯(lián)合有共同利益訴求的國(guó)家與地區(qū)，制定區(qū)域性跨境數(shù)據(jù)流動(dòng)的合作機(jī)制，增強(qiáng)中國(guó)的話語(yǔ)權(quán)，［15］為全球數(shù)據(jù)資源的共商、共建、共享提供新出路。

四、結(jié)論

在“得數(shù)據(jù)者得天下”的時(shí)代，如何掌握跨境數(shù)據(jù)流動(dòng)治理的主動(dòng)權(quán)和話語(yǔ)權(quán)是大國(guó)間戰(zhàn)略博弈的焦點(diǎn)。誰(shuí)率先占領(lǐng)了數(shù)據(jù)治理的高地，誰(shuí)就掌握了信息全球化的主動(dòng)權(quán)和話語(yǔ)權(quán)。［14］在這場(chǎng)搶占話語(yǔ)權(quán)高地的戰(zhàn)役中，我國(guó)作為數(shù)字經(jīng)濟(jì)大國(guó)，應(yīng)當(dāng)在保障國(guó)家信息安全的前提下，積極參與、引領(lǐng)全球跨境數(shù)據(jù)流動(dòng)的規(guī)則制定。

《數(shù)據(jù)安全法（草案）》將安全置于發(fā)展之中，安全與發(fā)展同步推進(jìn)，在保護(hù)數(shù)據(jù)安全的同時(shí)促進(jìn)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。數(shù)據(jù)流動(dòng)會(huì)釋放出巨大的潛力，進(jìn)而將激發(fā)更有效的貿(mào)易運(yùn)作，催化出高度創(chuàng)新的社會(huì)解決方案，最終有利于更完善的政策選擇，從而進(jìn)一步促進(jìn)貿(mào)易發(fā)展，實(shí)現(xiàn)良性循環(huán)，用數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)。［7］我國(guó)應(yīng)該有強(qiáng)者心態(tài)、開(kāi)放心態(tài)、發(fā)展心態(tài)，在確保關(guān)鍵領(lǐng)域安全的前提下，積極與世界對(duì)接，擴(kuò)大開(kāi)放水平。