張奕欣，王一楠，陳繼鑫，呂欣潤

(1.國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,北京 100029;2.北京德恒律師事務(wù)所,北京 100031)

隨著經(jīng)濟全球化與信息技術(shù)的發(fā)展，全球數(shù)字經(jīng)濟和跨境電子商務(wù)迅速發(fā)展，引起了全球范圍內(nèi)的數(shù)據(jù)流動。作為數(shù)字經(jīng)濟時代的“石油”，數(shù)據(jù)具有極大的商業(yè)價值和經(jīng)濟價值，國家間的數(shù)據(jù)跨境流動更具有特殊性，不僅關(guān)乎數(shù)據(jù)主體權(quán)利和數(shù)據(jù)安全，還關(guān)乎國家利益、國家主權(quán)和安全。因而，為防范數(shù)據(jù)跨境流動中存在的各種風(fēng)險，各國均積極立法規(guī)范數(shù)據(jù)的跨境流動。

面對域外多樣的數(shù)據(jù)跨境立法，中國政府應(yīng)當(dāng)如何應(yīng)對，如何選擇適合自身的立法模式，這就成為當(dāng)下亟待解決的重要問題?；诖耍P者以個人數(shù)據(jù)跨境流動為主要研究對象，聚焦數(shù)據(jù)跨境流動的法律內(nèi)涵，即立法語境下“數(shù)據(jù)”和數(shù)據(jù)“跨境”的基本內(nèi)涵，討論域外數(shù)據(jù)跨境流動的法律規(guī)制，梳理典型國家和區(qū)域組織的數(shù)據(jù)跨境流動法律規(guī)范，討論我國數(shù)據(jù)跨境流動的規(guī)制現(xiàn)狀及問題，為我國完善數(shù)據(jù)跨境流動的法律規(guī)制提出對策建議。

一、數(shù)據(jù)跨境流動的法律內(nèi)涵

根據(jù)2021年6月10日通過的《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)第3條可知，數(shù)據(jù)是指“任何以電子或者其他方式對信息的記錄”。可以看出，數(shù)據(jù)有兩個特征：其一，數(shù)據(jù)必須要表達某種信息，并具有一定的內(nèi)容；其二，數(shù)據(jù)是能夠被客觀體現(xiàn)的外在形式。然而，并非所有的跨境“數(shù)據(jù)”和數(shù)據(jù)“跨境”行為都將受到法律規(guī)制，數(shù)據(jù)跨境流動的法律內(nèi)涵需要進行明確界定。

(一)跨境“數(shù)據(jù)”的法律內(nèi)涵

1.我國立法中跨境數(shù)據(jù)的內(nèi)涵

國家網(wǎng)信辦于2017年4月發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》(以下簡稱《評估辦法》)，將我國所規(guī)范的出境數(shù)據(jù)分為“個人信息”和“重要數(shù)據(jù)”兩大類。

就個人信息而言，《評估辦法》第17條將其定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”；2021年8月公布的《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)將其定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。從中可以看出，跨境個人信息的法律內(nèi)涵為：首先，個人信息與自然人相關(guān)聯(lián)，無論是“已識別”從特定自然人到信息之間的關(guān)聯(lián)還是“可識別”從信息準(zhǔn)確識別或追蹤特定自然人的關(guān)聯(lián)；其次，個人信息不包括經(jīng)過匿名化處理后的信息。個人信息是我國數(shù)據(jù)跨境流動規(guī)制的主要對象。

就重要數(shù)據(jù)部分而言，國家網(wǎng)信辦于2019年6月發(fā)布的《個人信息出境安全評估辦法(征求意見稿)》(以下簡稱《新評估辦法》)刪除了“重要數(shù)據(jù)”部分；之后出臺的《數(shù)據(jù)安全法》要求加強對重要數(shù)據(jù)的保護，但沒有界定何為重要數(shù)據(jù)，其他法律也未有規(guī)定。2021年10月，國家網(wǎng)信辦發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(以下簡稱《數(shù)安評估辦法》)就重要數(shù)據(jù)出境申報、數(shù)據(jù)出境安全評估及評估時網(wǎng)信辦征求相關(guān)行業(yè)主管部門意見進行規(guī)定。但重要數(shù)據(jù)的界定原則、保護內(nèi)容等均仍有疑問。值得一提的是，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2017年5月發(fā)布了《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(草案)》(以下簡稱《評估指南》)，將重要數(shù)據(jù)定義為相關(guān)組織、機構(gòu)和個人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))，并以列舉的方式提出了不同行業(yè)(領(lǐng)域)重要數(shù)據(jù)的范圍。盡管《評估指南》并非嚴(yán)格意義上的法律，但其將重要數(shù)據(jù)按不同行業(yè)所屬列成了清單，具有較強的參考指導(dǎo)意義。

2.外國立法中跨境數(shù)據(jù)的內(nèi)涵

世界其他主要國家或地區(qū)對于數(shù)據(jù)的規(guī)范也主要集中在“個人數(shù)據(jù)”層面上。歐盟將個人對其數(shù)據(jù)的處分權(quán)賦予“基本人權(quán)”的價值屬性，重視對個人數(shù)據(jù)的保護[1]。歐盟《通用數(shù)據(jù)保護條例》(GDPR)第4條與我國《個人信息保護法》對個人信息的界定高度相似，均強調(diào)“已識別”和“可識別”這兩個重要屬性。英國《數(shù)據(jù)保護法》、日本《個人信息保護法》、俄羅斯《個人數(shù)據(jù)保護法》、非盟《網(wǎng)絡(luò)安全個人數(shù)據(jù)保護條約》等立法也均將個人數(shù)據(jù)定義為具有客觀可識別性的自然人信息(1)參見Federal Law No.152-FZ of July 27, 2006 on Personal Data Article 3.1; African Union Convention on Cyber Security and Personal Data Protection Article 1。。

此外，歐洲議會于2018年通過了《非個人數(shù)據(jù)自由流動框架條例》，將“非個人數(shù)據(jù)”定義為“GDPR第4條第(1)點界定的個人數(shù)據(jù)以外的數(shù)據(jù)”。《歐盟非個人數(shù)據(jù)自由流動框架條例指南》則對非個人數(shù)據(jù)進行了更為詳細的界定，認為非個人數(shù)據(jù)包括“最初已確認或可確認的與自然人無關(guān)的數(shù)據(jù)”。

3.個人數(shù)據(jù)的“可識別性”

通過整理和比較全球主流的立法體系可以看出，目前數(shù)據(jù)跨境立法中關(guān)于跨境數(shù)據(jù)的保護范圍主要聚焦于個人數(shù)據(jù)。而在互聯(lián)網(wǎng)經(jīng)濟與電子商務(wù)的發(fā)展背景下，個人數(shù)據(jù)的“可識別性”之界定受到挑戰(zhàn)。

個人信息按其內(nèi)容可劃分為直接信息與間接信息。直接信息即直接來源于人身的各項信息，包括姓名、性別、年齡、身份證號等可以直接識別到具體的數(shù)據(jù)主體的信息。因此，直接信息無疑符合各國數(shù)據(jù)跨境法律所規(guī)制的對象要求。

然而，某些企業(yè)經(jīng)營者，尤其是電子商務(wù)企業(yè)，在業(yè)務(wù)經(jīng)營中會收集諸如用戶的設(shè)備信息和服務(wù)日志信息等間接信息。間接信息是否屬于個人信息，存在一定爭議。從立法規(guī)范來看，我國《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2020)將個人上網(wǎng)記錄和個人常用設(shè)備信息列入個人信息范圍之內(nèi)，并指出個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如用戶畫像或特征標(biāo)簽，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，應(yīng)屬于個人信息。歐盟GDPR第3.2(b)條明確將監(jiān)控數(shù)據(jù)主體活動軌跡的行為納入了該法所規(guī)制的范圍，同時也在其第4(4)條將“用戶畫像”納入了所規(guī)制的數(shù)據(jù)范疇。

實務(wù)中，關(guān)于間接信息是否應(yīng)被歸入個人信息范圍的典型案例為朱燁訴百度侵犯隱私權(quán)案(2)參見江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。。該案二審法院判決認為，網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，因此不再屬于個人信息范疇。

總體而言，目前全球主流的立法中都將跨境收集、處理直屬于個人的直接信息納入跨境數(shù)據(jù)的規(guī)制范圍。反應(yīng)個人網(wǎng)絡(luò)活動軌跡、興趣愛好、消費傾向等內(nèi)容的間接信息是否屬于個人信息仍然存在一定爭議。

(二)數(shù)據(jù)跨境行為的法律內(nèi)涵

數(shù)據(jù)因其特有的屬性，往往并沒有類似于貨物出口跨境的現(xiàn)實交付，同時又因為其信息從屬于一國居民或國家主權(quán)而具有屬人特征，因此數(shù)據(jù)跨境可能存在多種表現(xiàn)形式，其法律內(nèi)涵需要加以界定。

1.我國立法語境下的數(shù)據(jù)跨境

我國對于數(shù)據(jù)出境問題的管轄原則目前兼具屬人和屬地管轄。對于跨境數(shù)據(jù)的產(chǎn)生端，《評估辦法》與《評估指南》的規(guī)定保持一致，要求數(shù)據(jù)產(chǎn)生端必須在中國境內(nèi)。對于跨境數(shù)據(jù)的接收端，上述兩部規(guī)范性文件存在一定差異?！对u估辦法》堅持與產(chǎn)生端一致的屬地原則，規(guī)定數(shù)據(jù)接收端為“位于境外的機構(gòu)、組織、個人”，即無論接收端系中國居民或外國居民，只要位于中國境外即構(gòu)成數(shù)據(jù)跨境行為并受到法律規(guī)制?！对u估指南》則突破單一的屬地管轄原則，兼顧屬人管轄，接收端只要是“境外機構(gòu)、組織或個人”則構(gòu)成數(shù)據(jù)跨境行為(3)根據(jù)《評估辦法》第17條的規(guī)定，“數(shù)據(jù)出境，是指網(wǎng)絡(luò)運營者將在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機構(gòu)、組織、個人”。根據(jù)《評估指南》第3.6條的規(guī)定，“數(shù)據(jù)跨境，是指網(wǎng)絡(luò)運營者通過網(wǎng)絡(luò)等方式，將其在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外機構(gòu)、組織或個人的一次性活動或連續(xù)性活動”。。此外，《新評估辦法》在數(shù)據(jù)的產(chǎn)生端保持了屬地管轄原則，而數(shù)據(jù)的接收端則并未明確釋明管轄原則(4)《新評估辦法》第2條并未對數(shù)據(jù)跨境進行直接定義，而是表述為“網(wǎng)絡(luò)運營者向境外提供在中華人民共和國境內(nèi)運營中收集的個人信息(以下稱個人信息出境)”。。之后的《數(shù)安評估辦法》基本采用了同樣的表述。

上述規(guī)范文件均尚未產(chǎn)生實質(zhì)性的約束效力?？梢钥吹剑对u估辦法》和《評估指南》對數(shù)據(jù)跨境行為的認定盡管有所不同，但邊界較為清晰，即屬地或兼具屬人與屬地。而《新評估辦法》則采取了模糊化的表述，對數(shù)據(jù)跨境的接收端僅作出了概括性規(guī)定。因此，探究其他國家的規(guī)范體系，有助于引導(dǎo)跨境電商企業(yè)充分認識數(shù)據(jù)跨境行為，也可為我國立法推進帶來借鑒參考。

2.代表性國家立法規(guī)范中的數(shù)據(jù)跨境行為

(1)歐盟國家立法規(guī)范的數(shù)據(jù)跨境行為

歐盟在GDPR中規(guī)定了其所調(diào)整的數(shù)據(jù)跨境行為，對于數(shù)據(jù)跨境行為產(chǎn)生端和接收端均采取屬地原則?？梢姡珿DPR對于數(shù)據(jù)跨境行為的界定與《評估辦法》基本一致。2018年，歐洲數(shù)據(jù)保護委員會(EDPB)發(fā)布了《關(guān)于GDPR地域管轄的指引》，從設(shè)立標(biāo)準(zhǔn)和目的標(biāo)準(zhǔn)兩個角度重新解讀了GDPR對數(shù)據(jù)跨境的管轄，并給出實例，還通過補充修訂排除了非特定為歐盟境內(nèi)開展業(yè)務(wù)而產(chǎn)生的數(shù)據(jù)跨境行為。

綜上所述，歐盟GDPR的立法與我國以及很多其他國家及國際組織整體在同一維度，但其通過“打補丁”的方式不斷修正對于數(shù)據(jù)跨境的界定，解決了很多企業(yè)在實踐操作中的疑惑。

(2)OECD所規(guī)范的數(shù)據(jù)跨境行為

早在1980年，經(jīng)合組織(OECD)就提出了跨境數(shù)據(jù)流動執(zhí)行原則，2013年的《隱私框架》第1.e)條將個人數(shù)據(jù)跨境行為定義為“跨越國境的個人數(shù)據(jù)移動”[2]。具體來說，即指位于一國或地區(qū)領(lǐng)土內(nèi)的行為人將數(shù)據(jù)共享、傳輸、披露給位于第三國或地區(qū)的第三方[3]。OECD所調(diào)整的數(shù)據(jù)跨境行為與《評估辦法》基本一致，均強調(diào)數(shù)據(jù)產(chǎn)生端和接收端的屬地屬性。

(3)俄羅斯立法所規(guī)范的數(shù)據(jù)跨境行為

俄羅斯《個人數(shù)據(jù)保護法》將數(shù)據(jù)跨境闡述為“將數(shù)據(jù)流通至外國領(lǐng)土、外國政府部門、外國自然人或外國法律實體”。該法出臺于2006年，因此，對于數(shù)據(jù)跨境行為的認定與全球主流立法存在一定程度的差異，該條沒有限定數(shù)據(jù)跨境的產(chǎn)生端。此外，該法對于數(shù)據(jù)跨境接收端的管轄范圍較之《評估辦法》、GDPR等法律均更為寬泛。數(shù)據(jù)接收端不僅有“外國領(lǐng)土”這一屬地概念，還有“外國政府、自然人、法人”等屬人概念。產(chǎn)生端和接收端雙重的寬泛，將無疑使得俄羅斯本地企業(yè)以及外國企業(yè)在從事有關(guān)俄羅斯業(yè)務(wù)時面臨較為繁重的數(shù)據(jù)跨境合規(guī)義務(wù)。

通過比較代表性國家關(guān)于數(shù)據(jù)跨境行為的規(guī)定，可以總結(jié)出數(shù)據(jù)跨境行為指的是產(chǎn)生于一國境內(nèi)的各種信息，被轉(zhuǎn)移到境外或可被境外主體接觸的行為。全球?qū)?shù)據(jù)跨境的界定則呈現(xiàn)出產(chǎn)生端以屬地為主，接收端則存在屬人、屬地及兼具屬人與屬地等多種模式。

二、數(shù)據(jù)跨境流動的域外規(guī)制模式

明確數(shù)據(jù)跨境流動的法律內(nèi)涵，是進行數(shù)據(jù)跨境流動法律規(guī)制的前提。概覽域外數(shù)據(jù)跨境流動的法律規(guī)制，主要表現(xiàn)為三種趨勢，即以歐盟為代表的“充分保護”與限制流動模式、以美國為代表的行業(yè)自律與自由流動模式和以俄羅斯為代表的數(shù)據(jù)主權(quán)與本地化存儲模式。不同規(guī)制模式蘊含了各國對數(shù)據(jù)跨境流動規(guī)制的不同價值取向，也是其推廣自身數(shù)據(jù)跨境流動規(guī)則、爭奪國際話語權(quán)的表現(xiàn)。

(一)“充分保護”與限制流動：以歐盟為代表

歐盟將個人數(shù)據(jù)作為人權(quán)來保護，側(cè)重數(shù)據(jù)接收國需要達到歐盟對數(shù)據(jù)保護的標(biāo)準(zhǔn)。“充分保護”與限制流動模式是指數(shù)據(jù)輸出國認定第三國或國際組織能夠提供充分或?qū)Φ缺Ｗo后，會將其放入許可的白色清單中，個人數(shù)據(jù)可以自由傳輸至白色清單中的第三國或國際組織。歐盟、新加坡、新西蘭等國家或地區(qū)的立法中均規(guī)定了“充分保護”[4]。歐盟是“充分保護”與限制流動模式最為典型的代表。

2018年5月25日，GDPR正式生效，被稱為“史上最嚴(yán)數(shù)據(jù)保護條例”。GDPR第五章規(guī)定了數(shù)據(jù)跨境流動的基本原則與具體規(guī)則，形成了以“充分保護”標(biāo)準(zhǔn)為核心、以適當(dāng)保障措施和例外情形為補充的多重保障機制。

1.“充分保護”標(biāo)準(zhǔn)

GDPR第45條第1款規(guī)定了“充分保護”標(biāo)準(zhǔn)，在2015年Schrems Ⅰ案中，歐盟法院將充分保護界定為“基于第三國國內(nèi)法和所做的國際承諾，數(shù)據(jù)保護達到與歐盟必要相等程度水平”，即第三國可以采取與歐盟不同的數(shù)據(jù)保護方式，但應(yīng)證明其保護措施能達到與歐盟必要相當(dāng)程度的保護水平[5]。

第三國是否達到“充分保護”標(biāo)準(zhǔn)由歐盟委員會進行認定，且至少四年審查一次，實踐中，在判斷“充分保護”標(biāo)準(zhǔn)時，歐盟委員會傾向于個案認定，即采用情境分析的方法對每個申請主體的情況進行個案裁判[5]。第三國通過“充分性”認定后，歐盟各國的個人數(shù)據(jù)可以自由跨境傳輸至該第三國，既利于保護歐盟各國的個人數(shù)據(jù)，也利于雙方的數(shù)據(jù)自由跨境流動。

2.適當(dāng)保障措施和法定例外情形

由于歐盟個人數(shù)據(jù)保護的重視程度和標(biāo)準(zhǔn)較高，導(dǎo)致進入“充分保護”白名單的國家較少。鑒于全球化時代數(shù)據(jù)跨境流動的需要，對于未進入“充分保護”白名單的國家，GDPR規(guī)定數(shù)據(jù)控制者或處理者可以通過采取適當(dāng)保障措施或基于例外情形實現(xiàn)歐盟各國個人數(shù)據(jù)向第三國或國際組織的跨境傳輸。

適當(dāng)保障指的是數(shù)據(jù)控制者或處理者在未達到“充分保護”標(biāo)準(zhǔn)的情況下，如果提供了適當(dāng)保障，且數(shù)據(jù)主體獲得可強制執(zhí)行的數(shù)據(jù)主體權(quán)利和有效法律救濟，就可以跨境傳輸數(shù)據(jù)[6]。根據(jù)GDPR的規(guī)定，適當(dāng)保障措施可分為需監(jiān)管機構(gòu)特別授權(quán)和不需監(jiān)管機構(gòu)特別授權(quán)的保障措施[7]，不同主體可以根據(jù)自身情況靈活選擇。此外，GDPR還規(guī)定了向第三國或國際組織傳輸個人數(shù)據(jù)的7種法定例外情形，以滿足數(shù)據(jù)跨境流動的現(xiàn)實需要。

綜上所述，GDPR所規(guī)定的適當(dāng)保障措施和例外情形旨在保護個人數(shù)據(jù)的同時促進數(shù)據(jù)的跨境流動，實現(xiàn)數(shù)據(jù)跨境流動保護、限制與自由的平衡。

3.非個人數(shù)據(jù)歐盟內(nèi)自由流動

2018年10月4日，歐洲議會通過了《非個人數(shù)據(jù)自由流動條例》(以下簡稱《條例》)?！稐l例》從禁止歐盟各國數(shù)據(jù)本地化與促進數(shù)據(jù)無障礙遷移兩方面出發(fā)，力圖實現(xiàn)歐盟單一市場內(nèi)非個人數(shù)據(jù)的自由流動與利用?！稐l例》賦予了各成員國報告、廢止數(shù)據(jù)本地化相關(guān)規(guī)定的義務(wù)，同時積極促進非個人數(shù)據(jù)的跨境遷移，鼓勵和促進歐盟層面制定自律行為守則?！稐l例》旨在消除歐盟范圍內(nèi)的非個人數(shù)據(jù)自由流動的地域障礙，實現(xiàn)非個人數(shù)據(jù)在歐盟各成員國內(nèi)的高度自由流動，以推動形成歐盟單一數(shù)字市場，促進歐盟數(shù)字經(jīng)濟的發(fā)展。

總而言之，歐盟形成了一套“內(nèi)外有別”的數(shù)據(jù)跨境流動體系：無論是個人數(shù)據(jù)還是非個人數(shù)據(jù)，歐盟均積極推動數(shù)據(jù)在歐盟范圍內(nèi)的自由流動，而對數(shù)據(jù)流向歐盟范圍以外設(shè)置了限制性標(biāo)準(zhǔn)。

GDPR對世界范圍內(nèi)的數(shù)據(jù)跨境流動規(guī)則具有較強影響力，成為各國進行數(shù)據(jù)保護立法的參考模板。許多國家都依照GDPR規(guī)則完善數(shù)據(jù)保護機制，以期達到GDPR規(guī)定的“充分保護”標(biāo)準(zhǔn)。例如，韓國于2016年修訂了《個人信息保護法》，并積極與歐盟委員會談判，希望能借此加入“充分性認定”白色清單[8]。

(二)行業(yè)自律與自由流動：以美國為代表

不同于歐盟限制數(shù)據(jù)自由跨境流動、提高個人數(shù)據(jù)的保護水平，美國的數(shù)據(jù)跨境流動規(guī)制以行業(yè)自律為核心，注重數(shù)據(jù)的經(jīng)濟效益和自由流動。此外，美國積極參與雙邊或多邊協(xié)議合作，謀求國家間的數(shù)據(jù)自由跨境流動和自由貿(mào)易、增強自身的全球數(shù)據(jù)話語權(quán)。

1.行業(yè)自律模式

美國深刻地意識到數(shù)字時代的數(shù)據(jù)價值，追求經(jīng)濟利益和國家利益。在此背景下，美國在聯(lián)邦層面并未形成統(tǒng)一的數(shù)據(jù)保護法，而是采取行業(yè)自律模式進行數(shù)據(jù)保護，鼓勵放寬數(shù)據(jù)跨境流動的限制。在諸多場景中將個人數(shù)據(jù)視為商業(yè)活動中消費者保護問題，由行業(yè)內(nèi)部制定數(shù)據(jù)跨境流動的相關(guān)規(guī)范，利于在尊重市場發(fā)展規(guī)律的基礎(chǔ)上推動數(shù)據(jù)自由跨境傳輸，實現(xiàn)“數(shù)據(jù)石油”的占有和利用。

相應(yīng)的，美國沒有統(tǒng)一的針對數(shù)據(jù)跨境流動的數(shù)據(jù)保護法，其有關(guān)數(shù)據(jù)跨境流動的立法分散于重點特定領(lǐng)域，限制重要數(shù)據(jù)出口，包括醫(yī)療健康、教育、兒童隱私、金融等領(lǐng)域的數(shù)據(jù)(5)例如，美國《健康保險攜帶和責(zé)任法》規(guī)定了醫(yī)療健康數(shù)據(jù)的跨境傳輸；《外國投資風(fēng)險審查現(xiàn)代化法案》則將涉及關(guān)鍵或敏感數(shù)據(jù)的美國企業(yè)做出的特定非控股外國投資納入安全審查范圍。。此外，美國積極通過立法推動國家間的數(shù)據(jù)自由流動。例如，《澄清合法使用海外數(shù)據(jù)法》(CLOUD法案)確立了數(shù)據(jù)控制者標(biāo)準(zhǔn)，賦予了美國政府調(diào)取存儲于他國境內(nèi)數(shù)據(jù)的合法權(quán)利[9]，即不論數(shù)據(jù)是否存儲在美國境內(nèi)，只要該數(shù)據(jù)為美國公民或企業(yè)所控制，通信服務(wù)商就應(yīng)當(dāng)向美國披露該數(shù)據(jù)信息。

總而言之，美國的數(shù)據(jù)跨境流動規(guī)制以促進數(shù)據(jù)自由跨境傳輸為宗旨，以經(jīng)濟利益和自由貿(mào)易為導(dǎo)向，采取行業(yè)自律模式進行數(shù)據(jù)保護，同時限制重要領(lǐng)域數(shù)據(jù)的跨境流動，呈現(xiàn)出自治性、分散性、靈活性的特點。

2.通過雙邊或多邊合作協(xié)議建立國際數(shù)據(jù)跨境流動規(guī)則

為推動國家間的數(shù)據(jù)自由流動，美國積極開展雙邊或多邊對話與合作，通過雙邊和多邊合作達成國家之間數(shù)據(jù)流動的制度安排，試圖引導(dǎo)國際數(shù)據(jù)跨境流動規(guī)則的建立。

(1)美歐：從“安全港”到“隱私盾”

如上所述，歐美的數(shù)據(jù)保護理念與制度設(shè)計存在差異，這種差異導(dǎo)致雙方的數(shù)據(jù)流動存在障礙。出于經(jīng)濟往來和經(jīng)濟利益的需要，美國與歐盟先后簽訂了《美歐安全港協(xié)議》和《歐美隱私盾協(xié)議》，形成了數(shù)據(jù)跨境流動的合作機制。

《美歐安全港協(xié)議》規(guī)定了雙方信息傳輸、數(shù)據(jù)存儲等內(nèi)容。美國企業(yè)加入該協(xié)議并按要求作出相應(yīng)承諾，即可被認為達到歐盟指令標(biāo)準(zhǔn)，歐盟各國的個人數(shù)據(jù)便可傳輸至美國境內(nèi)進行存儲或處理[10]。《美歐安全港協(xié)議》為美國與歐盟各國搭建了數(shù)據(jù)跨境流動的合法渠道，緩解了雙方數(shù)據(jù)流動的限制問題。

受到“棱鏡門”事件和利益沖突的影響，歐盟法院于2015年宣布《美歐安全港協(xié)議》失效。2016年，美國與歐盟重新談判并簽署了《歐美隱私盾協(xié)議》，在保留《美歐安全港協(xié)議》的基礎(chǔ)之上，增加了更多保障性內(nèi)容，例如，禁止美國官方監(jiān)控獲取歐盟成員國公民個人信息、建立年度審查機制等[11]。

然而，2020年7月，歐盟法院對Schrems II案作出最終判決，直接宣布《歐美隱私盾協(xié)議》無效，同時對GDPR第46條規(guī)定的其他數(shù)據(jù)跨境流動的常規(guī)途徑提出了更高的標(biāo)準(zhǔn)和要求，包括標(biāo)準(zhǔn)合同條款、有約束力的企業(yè)規(guī)則等?！稓W美隱私盾協(xié)議》失效和歐盟數(shù)據(jù)跨境傳輸?shù)母邩?biāo)準(zhǔn)，導(dǎo)致美歐之間的數(shù)據(jù)跨境傳輸陷入了新的僵局和困境。

從“安全港”到“隱私盾”再到“隱私盾”破裂，美國與歐盟的數(shù)據(jù)跨境流動協(xié)議反映了雙方在差異中尋求合作的妥協(xié)。然而，雙方在數(shù)據(jù)保護差異上的利益合作具有極大的不穩(wěn)定性，可能需要不斷的談判與妥協(xié)。

(2)美韓協(xié)定與美墨加協(xié)定

除歐盟之外，美國還積極尋求與其他國家達成數(shù)據(jù)跨境流動協(xié)議。2012年，美國與韓國簽署《美韓自由貿(mào)易協(xié)定》，第一次將數(shù)據(jù)跨境流動引入自由貿(mào)易協(xié)定[11]，其中第15條第8款規(guī)定美韓應(yīng)“盡力避免對電子信息跨境流動施加或保持不必要的障礙”。2020年，美國、墨西哥與加拿大簽發(fā)《美國-墨西哥-加拿大協(xié)定》，其中第19條規(guī)定締約國遵守亞太經(jīng)合組織的隱私跨境規(guī)則，約定三方不得禁止或限制數(shù)據(jù)跨境傳輸。

(3)引導(dǎo)區(qū)域規(guī)則的建立

此外，美國也活躍于引導(dǎo)建立數(shù)據(jù)跨境流動的國際規(guī)則。美國引導(dǎo)亞太經(jīng)合組織(APEC)先后通過了《隱私框架》和《跨境隱私規(guī)則體系》(CPBR)。2004年，美國促成APEC通過《隱私框架》，規(guī)定了個人隱私/數(shù)據(jù)保護的九大原則，其中第69條明確規(guī)定了“應(yīng)避免限制成員國之間的個人信息跨境流動”。2013年，APEC通過CPBR，規(guī)定若成員國承諾遵守《隱私框架》的九項原則，則個人數(shù)據(jù)可以在成員國之間自由流動，而無需受到其他限制。

2015年，在美國的主導(dǎo)下，12個國家達成《跨太平洋戰(zhàn)略經(jīng)濟伙伴協(xié)定》(TPP)，TPP鼓勵數(shù)據(jù)自由跨境流動，禁止數(shù)據(jù)本地化，帶有明顯的美國特點。由于擔(dān)心受到貨幣操縱的影響，美國于2017年宣布退出TPP，但TPP對數(shù)據(jù)跨境流動的影響仍在持續(xù)[11]。2017年12月，以TPP為基礎(chǔ)框架的《全面與進步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)生效(6)CPTPP的成員國為除美國外的原TPP的11個成員國：日本、澳大利亞、文萊、加拿大、智利、馬來西亞、墨西哥、新西蘭、秘魯、新加坡和越南。。CPTPP電子商務(wù)篇章承繼了TPP中禁止數(shù)據(jù)本地化的原則，認為各成員國應(yīng)在能夠?qū)崿F(xiàn)合法公共政策目標(biāo)的前提下，盡可能不限制商業(yè)行為的跨境電子信息傳輸。

綜上所述，美國數(shù)據(jù)跨境流動規(guī)制以鼓勵數(shù)據(jù)自由跨境流動為宗旨，主要包含以行業(yè)自律模式進行數(shù)據(jù)保護和積極參與國際合作以增強數(shù)據(jù)話語權(quán)兩個方面。

(三)數(shù)據(jù)主權(quán)與數(shù)據(jù)本地化模式：以俄羅斯為代表

數(shù)據(jù)本地化是指政府通過制定法律政策等方式將數(shù)據(jù)保留在本國境內(nèi)，屬于數(shù)據(jù)跨境流動的一種限制性政策。數(shù)據(jù)本地化并不等于禁止跨境數(shù)據(jù)流動，在滿足數(shù)據(jù)本地化政策規(guī)定的要求后，數(shù)據(jù)可在允許范圍內(nèi)進行跨境流動[12]。數(shù)據(jù)本地化是注重數(shù)據(jù)安全、數(shù)據(jù)主權(quán)和國家安全的體現(xiàn)，因而，大部分國家都在不同程度上采取了數(shù)據(jù)本地化措施，俄羅斯就是強調(diào)數(shù)據(jù)本地化存儲的國家之一。

俄羅斯的數(shù)據(jù)跨境流動規(guī)制重視數(shù)據(jù)主權(quán)與國家安全，強調(diào)數(shù)據(jù)的本地化存儲，在保護個人數(shù)據(jù)與國家利益的基礎(chǔ)上限制數(shù)據(jù)的自由跨境流動。俄羅斯在數(shù)據(jù)領(lǐng)域具有完備的立法，其立法長期關(guān)注國家、國防和軍事安全，并建立了完善的數(shù)據(jù)本地化規(guī)則。

首先，《俄羅斯聯(lián)邦個人數(shù)據(jù)法》第12條規(guī)定了數(shù)據(jù)跨境流動的基本規(guī)則：數(shù)據(jù)跨境以本地化存儲為前提，在符合法定情形時可以跨境傳輸，此外，俄羅斯也存在類似歐盟的“白名單”制度，允許數(shù)據(jù)在法律規(guī)定的范圍內(nèi)跨境流動。其次，俄羅斯建立了較為完善的數(shù)據(jù)本地化制度，其數(shù)據(jù)本地化規(guī)范主要包含于《俄羅斯聯(lián)邦個人數(shù)據(jù)法》《關(guān)于信息、信息技術(shù)和信息保護法》和《聯(lián)邦行政處罰法修正案》等法律中，涉及個人數(shù)據(jù)的存儲、處理和對數(shù)據(jù)本地化違法行為的行政處罰等各個方面。

總體而言，俄羅斯在建立以《108號公約》、白名單和法定例外情形為主要內(nèi)容的數(shù)據(jù)跨境規(guī)制體系之外，重視數(shù)據(jù)本地化規(guī)則的建立，限制個人數(shù)據(jù)的自由流動。俄羅斯在數(shù)據(jù)本地化存儲方面的要求比美國和歐盟更為嚴(yán)格，數(shù)據(jù)跨境流動程度較之歐盟和美國則相對更低。

俄羅斯的數(shù)據(jù)跨境規(guī)制模式實現(xiàn)了本國數(shù)據(jù)的本地化存儲、處理和監(jiān)督，既利于保護公民隱私權(quán)，又利于維護數(shù)據(jù)主權(quán)、數(shù)據(jù)安全和國家安全。然而，數(shù)據(jù)本地化措施會為國際貿(mào)易與國際合作設(shè)置障礙，增加企業(yè)負擔(dān)與經(jīng)濟成本，不利于境內(nèi)外貿(mào)易往來和數(shù)字經(jīng)濟的發(fā)展。因此，如何平衡數(shù)據(jù)本地化限制與數(shù)據(jù)自由流動，是俄羅斯數(shù)據(jù)跨境流動需要關(guān)注的重點。

三、我國數(shù)據(jù)跨境流動的規(guī)制現(xiàn)狀及問題

數(shù)字經(jīng)濟時代，我國的數(shù)據(jù)圈快速增長，數(shù)據(jù)對經(jīng)濟發(fā)展、人民生活、國家和社會治理的意義也越來越重要，我國對數(shù)據(jù)跨境流動的法律規(guī)制也越來越重視，相關(guān)立法規(guī)范不斷出臺。但縱觀我國數(shù)據(jù)跨境流動規(guī)制現(xiàn)狀，立法體系不完善、數(shù)據(jù)治理能力有待提高、國際合作參與度低等問題仍較為突出。

(一)我國數(shù)據(jù)跨境流動的規(guī)制現(xiàn)狀

1.立法現(xiàn)狀

我國數(shù)據(jù)跨境流動的有關(guān)立法呈現(xiàn)出現(xiàn)行有效法律、征求意見稿和草案兼具的特點，其中重要立法主要包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《新評估辦法》等法律規(guī)范。

《網(wǎng)絡(luò)安全法》首次規(guī)定了數(shù)據(jù)跨境流動的法律要求，確立了對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的數(shù)據(jù)本地化存儲及數(shù)據(jù)跨境傳輸?shù)陌踩u估要求(7)《網(wǎng)絡(luò)安全法》第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！薄ｋS后，國家網(wǎng)信辦于2017年4月發(fā)布了《評估辦法》，規(guī)定了網(wǎng)絡(luò)運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)本地化存儲及數(shù)據(jù)跨境傳輸?shù)陌踩u估要求(8)《評估辦法》第2條規(guī)定：“網(wǎng)絡(luò)運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照本辦法進行安全評估?！?。《評估辦法》堅持?jǐn)?shù)據(jù)本地化存儲要求，規(guī)定了數(shù)據(jù)出境的安全評估重點內(nèi)容，但并未制定評估部門和具體化評估標(biāo)準(zhǔn)，在實踐操作上仍存在一定的障礙。

2019年6月，國家網(wǎng)信辦發(fā)布了《新評估辦法》，規(guī)定安全評估的主體為省級網(wǎng)信部門，重點評估內(nèi)容新增了“合同能否得到有效執(zhí)行”一項要求，該合同是指“網(wǎng)絡(luò)運營者與個人信息接收者簽訂的合同或者其他有法律效力的文件(統(tǒng)稱合同)”。此外，《新評估辦法》規(guī)定境外主體即使在境內(nèi)無商業(yè)實體，在境內(nèi)收集的個人信息出境時，也需要申報并經(jīng)有關(guān)部門評估批準(zhǔn)。《新評估辦法》明確了政府評估部門，評估標(biāo)準(zhǔn)更為細致，且增加了評估“數(shù)據(jù)控制者和接收者的協(xié)議”這一重要內(nèi)容，借鑒了GDPR的相關(guān)規(guī)定。

2021年6月10日通過的《數(shù)據(jù)安全法》表明了我國促進數(shù)據(jù)跨境安全、自由流動的態(tài)度，但沒有制定數(shù)據(jù)跨境的具體規(guī)則，僅僅規(guī)定重要數(shù)據(jù)的出境安全管理辦法由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定，即《數(shù)據(jù)安全法》的出臺并未改變我國數(shù)據(jù)跨境立法不完善的現(xiàn)狀。但可以預(yù)見的是，《數(shù)據(jù)安全法》中確立的數(shù)據(jù)分類分級保護制度必將成為我國數(shù)據(jù)跨境法律規(guī)制的基礎(chǔ)。

2021年8月20日，《個人信息保護法》正式通過，于同年11月1日起施行。該法第三章專門規(guī)定了個人信息跨境的相關(guān)規(guī)則，主要包括三部分：第一，個人信息處理者向境外提供個人信息，可以通過經(jīng)國家網(wǎng)信部門安全評估、經(jīng)專業(yè)機構(gòu)進行個人信息保護認證和與境外接收方訂立合同等方式(9)《個人信息保護法》第38條第1款規(guī)定：“個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當(dāng)具備下列條件之一：(一)依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；(三)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件?！薄２⑶?，個人信息處理者應(yīng)采取保障境外接收方處理個人信息的活動達到該法規(guī)定的個人信息保護標(biāo)準(zhǔn)的必要措施。第二，個人信息處理者向境外提供個人信息的，應(yīng)向個人告知信息出境相關(guān)情況并取得其“單獨同意”。第三，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)；確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估?！秱€人信息保護法》區(qū)分了普通的個人信息處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到一定數(shù)量的個人信息運營者，對后者提出數(shù)據(jù)本地化和出境安全評估的特別要求，并明確了普通個人信息處理者向境外提供個人信息的要求。除以上法律規(guī)范外，我國有關(guān)數(shù)據(jù)跨境流動的規(guī)范還分散于專門立法或行業(yè)規(guī)范之中(10)例如，我國《征信管理條例》規(guī)定，征信數(shù)據(jù)和數(shù)據(jù)處理應(yīng)在我國境內(nèi)進行；《個人金融信息保護技術(shù)規(guī)范》指出，在我國境內(nèi)收集的個人金融信息應(yīng)在境內(nèi)進行存儲處理和分析。。

綜合我國有關(guān)數(shù)據(jù)跨境流動的現(xiàn)行有效法律、草案和征求意見稿，可以預(yù)計我國未來將形成以《數(shù)據(jù)安全法》《個人信息保護法》為核心、以評估辦法為具體要求、重點領(lǐng)域?qū)ｉT規(guī)范的數(shù)據(jù)跨境流動規(guī)制體系。我國現(xiàn)行有效法律強調(diào)數(shù)據(jù)本地化存儲和出境安全評估，而《個人信息保護法》規(guī)定的數(shù)據(jù)本地化政策則更為柔性：對于普通個人信息處理者而言，主管部門的安全評估是其中一種選擇，個人信息處理者可以選擇合同協(xié)議等其他方式向境外傳輸個人信息；對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到一定數(shù)量的個人信息運營者，數(shù)據(jù)出境安全評估則是必然要求?！秱€人信息保護法》的數(shù)據(jù)本地化規(guī)定兼顧了個人信息的保護和利用，合理設(shè)置了數(shù)據(jù)出境的限制條件。

2.國際合作

在數(shù)據(jù)跨境流動的雙邊或多邊合作方面，我國作為APEC成員國，加入了APEC《隱私框架》，但并未加入APEC《跨境隱私規(guī)則體系》(CPBR)。此外，在我國加入的自由貿(mào)易協(xié)定之中，《中韓自由貿(mào)易協(xié)定》和《中澳自由貿(mào)易協(xié)定》涉及個人信息和數(shù)據(jù)保護，但兩份協(xié)定均僅就采取措施保護電商用戶個人信息達成共識，并未有具體的保護規(guī)則和數(shù)據(jù)跨境、數(shù)據(jù)流動的相關(guān)內(nèi)容。

2020年11月，我國與日本、韓國、澳大利亞、新西蘭及東盟十國共同簽署了《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》(RCEP)。RCEP第十二章規(guī)定的電子商務(wù)致力于在亞太區(qū)域內(nèi)達成廣泛適用的電子商務(wù)規(guī)則，提出締約國應(yīng)在線上個人信息保護、非應(yīng)邀商業(yè)電子信息監(jiān)管等領(lǐng)域進行合作。尤其是該章第15條關(guān)于通過電子方式跨境傳輸信息，明確各締約方不得阻止受協(xié)定約束的主體為進行商業(yè)行為而通過電子方式跨境傳輸信息。但RCEP既沒有明確“商業(yè)行為”以及“信息”的概念和范圍，也沒有規(guī)定違反“不得阻止”義務(wù)的后果。此外，還規(guī)定了三類例外情形，即監(jiān)管例外、合法公共政策例外和基本安全例外，給予了各國極大的自由裁量權(quán)(11)此處的“監(jiān)管例外”指RCEP第15條第1款的規(guī)定，即“締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監(jiān)管要求”。“合法公共政策例外”和“基本安全例外”分別指RCEP第15條第3款的規(guī)定，即“本條的任何規(guī)定不得阻止一締約方采取或維持：(一)任何與第二款不符但該締約方認為是其實現(xiàn)合法的公共政策目標(biāo)所必要的措施，只要該措施不以構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制的方式適用；或者(二)該締約方認為對保護其基本安全利益所必需的任何措施。其他締約方不得對此類措施提出異議。”(參見楊署東、謝卓君：《跨境數(shù)據(jù)流動貿(mào)易規(guī)制之例外條款：定位、范式與反思》，網(wǎng)絡(luò)首發(fā)，http://kns.cnki.net/kcms/detail/50.1023.c.20210826.1451.002.html)?？梢姡摋l更傾向于為促進亞太地區(qū)跨境電子商務(wù)發(fā)展的倡導(dǎo)性約定。

現(xiàn)今，我國正式申請加入CPTPP，這不僅有利于發(fā)展數(shù)字貿(mào)易和數(shù)字經(jīng)濟，促成我國與墨西哥、加拿大建立良好貿(mào)易關(guān)系，而且還是我國對國家間數(shù)據(jù)跨境流動的進一步表態(tài)。CPTPP電子商務(wù)一章第14條明確規(guī)定，“每一締約方應(yīng)允許通過電子方式跨境傳輸信息，包括個人信息，如這一活動用于涵蓋的人開展業(yè)務(wù)”。與RCEP規(guī)定“不得阻止”的消極不作為義務(wù)相比，CPTPP采用積極作為義務(wù)的規(guī)定，明確傳輸?shù)摹靶畔ⅰ卑ā皞€人信息”，不采用“商業(yè)行為”一詞，而表述為為開展業(yè)務(wù)之目的，適用客體和場景明顯更廣。不僅如此，CPTPP規(guī)定的例外情形僅有兩類：監(jiān)管例外和范圍更窄的公共政策例外(12)此處的“監(jiān)管例外”指CPTPP第14.11.1條規(guī)定的“締約方認識到每一締約方對通過電子方式傳輸信息可設(shè)有各自的監(jiān)管要求”?！肮舱呃狻敝窩PTPP第14.11.3條規(guī)定的“本條中任何內(nèi)容不得阻止一締約方為實現(xiàn)合法公共政策目標(biāo)而采取或維持與第2款不一致的措施，只要該措施：(a)不以構(gòu)成任意或不合理歧視或?qū)Q(mào)易構(gòu)成變相限制的方式適用；及(b)不對信息傳輸施加超出實現(xiàn)目標(biāo)所需限度的限制”。(參見楊署東、謝卓君：《跨境數(shù)據(jù)流動貿(mào)易規(guī)則之例外條款：定位、范式與反思》，網(wǎng)絡(luò)首發(fā)，http://kns.cnki.net/kcms/detail/50.1023.c.20210826.1451.002.html)。相較于RCEP相關(guān)規(guī)定，CPTPP的內(nèi)容更明晰、確定，致力于消除各締約國電子信息自由傳輸?shù)谋趬尽５档米⒁獾氖?，雖然我國相關(guān)法律中規(guī)定可以按照中國參加的國際條約、協(xié)定條件進行個人信息跨境流動，但就加入CPTPP是否將會對我國國內(nèi)法的數(shù)據(jù)跨境流動規(guī)定的具體實施產(chǎn)生影響，以及產(chǎn)生何種影響，還有待進一步檢視(13)《個人信息保護法》第38條第2款規(guī)定：“中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行?！薄?/p>

(二)我國數(shù)據(jù)跨境流動規(guī)制的主要問題

1.立法體系尚不完善

隨著我國對個人信息和數(shù)據(jù)保護的重視，有關(guān)數(shù)據(jù)跨境流動的立法動態(tài)愈加豐富，《個人信息保護法》和《數(shù)據(jù)安全法》的出臺更是備受關(guān)注，然而，我國有關(guān)數(shù)據(jù)跨境流動的立法體系仍不完善。首先，現(xiàn)行有效規(guī)范主要為《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和行業(yè)性規(guī)范，這些文件的數(shù)量雖多，但始終未形成統(tǒng)一的個人數(shù)據(jù)保護立法，規(guī)范文件效力層級總體較低，數(shù)據(jù)跨境流動立法體系極不完善。其次，現(xiàn)行有效規(guī)范的內(nèi)容主要為概括性指導(dǎo)，未配備有效的實施細則，安全評估制度不完善，缺乏實效性。最后，現(xiàn)行有效的法律規(guī)范主要強調(diào)重要信息的數(shù)據(jù)本地化存儲和處理，不具有廣泛適用性，也不利于數(shù)字經(jīng)濟時代個人信息的合理利用。

2.監(jiān)管體制較為混亂，數(shù)據(jù)治理能力較低

我國未建立專門的數(shù)據(jù)保護或監(jiān)督管理機構(gòu)?！毒W(wǎng)絡(luò)安全法》規(guī)定了行業(yè)主管或監(jiān)管部門為數(shù)據(jù)出境的安全評估機構(gòu)，分散的行業(yè)專門規(guī)范也僅規(guī)定數(shù)據(jù)出境需要安全評估。我國各行業(yè)主管或監(jiān)管部門負責(zé)本行業(yè)的數(shù)據(jù)出境安全評估，導(dǎo)致監(jiān)管體制較為混亂，數(shù)據(jù)安全與保護的治理能力較低：其一，當(dāng)各部門權(quán)責(zé)邊界不明確時，容易出現(xiàn)相互推諉、相互推脫等問題；其二，各行業(yè)主管部門標(biāo)準(zhǔn)難以統(tǒng)一，數(shù)據(jù)出境的評估標(biāo)準(zhǔn)主要依靠各部門自身判斷，容易出現(xiàn)評估標(biāo)準(zhǔn)存在不合理差異的問題?；诖?，《數(shù)安評估辦法》進一步明確由國家網(wǎng)信部門組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級網(wǎng)信部門、專門機構(gòu)等進行安全評估，但是具體如何組織，各方如何協(xié)調(diào)，如何保障安全評估過程的公正性和透明性，以致于為企業(yè)自查提供指引，仍留有疑問。

3.國際合作參與度低

在國際合作層面，我國尚未與他國或區(qū)域組織實現(xiàn)有效的雙邊或多邊合作。其一，我國雖然加入了APEC《隱私框架》，但該框架并不具有強制約束力；其二，各國都在構(gòu)建數(shù)據(jù)跨境制度，參與并試圖影響國際規(guī)則的制定，而我國才處于起步階段，尚未形成自己的穩(wěn)定策略[13]，更遑論對數(shù)據(jù)跨境國際合作的充分參與；其三，在我國與他國達成的19個自由貿(mào)易協(xié)定中，均鮮少涉及數(shù)據(jù)跨境流動，即使有涉及也規(guī)定得較為籠統(tǒng)，缺乏具體的規(guī)則。而在中國積極加入多邊協(xié)定的實踐中，雖有機遇但也面臨新的挑戰(zhàn)：中國作為數(shù)據(jù)大國如何在RCEP和擬加入的CPTPP中化解與日本、澳大利亞和加拿大等國不同數(shù)據(jù)流動立場的分歧，發(fā)揮自身的影響力，細化數(shù)據(jù)跨境流動規(guī)則仍任重而道遠。

我國目前極為缺乏數(shù)據(jù)跨境流動的雙邊或多邊合作，未有效利用區(qū)域或國際平臺參與數(shù)據(jù)跨境流動的規(guī)則制定，既難以融入國際數(shù)據(jù)跨境流動的合作之中，又缺乏數(shù)據(jù)話語權(quán)和影響力。

四、數(shù)據(jù)跨境流動的中國對策

面對我國數(shù)據(jù)跨境流動規(guī)制中存在的問題，我國需要明確價值選擇，確定我國數(shù)據(jù)跨境流動規(guī)制模式，完善立法體系，健全監(jiān)管機制，積極參與國際合作與全球規(guī)則制定，提高數(shù)據(jù)保護的綜合能力和國際影響力。

(一)數(shù)據(jù)跨境流動規(guī)制的價值選擇

數(shù)據(jù)跨境流動規(guī)制關(guān)乎個人權(quán)利保護、數(shù)據(jù)主權(quán)與國家安全以及經(jīng)濟效益。放眼歐盟、美國和俄羅斯對此不同的價值選擇，究其原因，可總結(jié)為歷史背景、發(fā)展要求和技術(shù)考慮等。歷史上，歐洲二戰(zhàn)后興起的人權(quán)觀念深入人心，沖擊著落后的階層等級觀念。隨著《歐洲人權(quán)公約》《歐盟基本權(quán)利憲章》等規(guī)定將個人數(shù)據(jù)權(quán)上升為歐盟成員國憲法性權(quán)利，逐漸促進了歐盟數(shù)據(jù)跨境流動規(guī)則以個人數(shù)據(jù)權(quán)益保護為導(dǎo)向。美國作為互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)源地，是互聯(lián)網(wǎng)技術(shù)和相關(guān)行業(yè)發(fā)展的領(lǐng)先者，其在發(fā)展過程中不斷調(diào)整自身數(shù)據(jù)保護的側(cè)重點：在行業(yè)探索起步階段，美國注意到計算機收集個人信息對個人隱私的侵害，從而注重保護公民個人數(shù)據(jù)和隱私；在911事件發(fā)生后，美國從中吸取教訓(xùn)，著重進行國家安全保護，進而推動了國家數(shù)據(jù)安全相關(guān)立法；在2008年金融危機后，數(shù)字經(jīng)濟成為新的經(jīng)濟發(fā)展增長點，美國意識到了數(shù)據(jù)資源的價值，進而致力于最大化地發(fā)揮數(shù)據(jù)的經(jīng)濟效益。俄羅斯則出于在互聯(lián)網(wǎng)技術(shù)上的相對弱勢，采用了一些美歐企業(yè)作為境內(nèi)信息網(wǎng)絡(luò)提供商，從而需要更多地從數(shù)據(jù)主權(quán)和國家安全角度出發(fā)加以考慮。

回到我國，作為發(fā)展迅速并且經(jīng)濟實力雄厚的發(fā)展中國家，在設(shè)計數(shù)據(jù)跨境流動規(guī)制體系時，我國應(yīng)積極把握大數(shù)據(jù)時代帶來的機遇且勇于面對技術(shù)上、制度上的挑戰(zhàn)，同時也要抓住個人數(shù)據(jù)保護和維護國家安全的內(nèi)核。應(yīng)堅持在充分保護數(shù)據(jù)主體個人權(quán)利和數(shù)據(jù)主權(quán)與安全的基礎(chǔ)上合理利用個人數(shù)據(jù)，減少不合理的數(shù)據(jù)本地化限制措施。一方面，我國要重視保護個人數(shù)據(jù)權(quán)利和維護國家安全，對于國外主體獲取我國數(shù)據(jù)提出限制性要求；另一方面，我國要接軌當(dāng)前數(shù)字經(jīng)濟和國際貿(mào)易的發(fā)展需要，合理設(shè)置數(shù)據(jù)流動壁壘，合理賦予企業(yè)責(zé)任與義務(wù)，實現(xiàn)數(shù)據(jù)保護和利用的平衡。

總而言之，我國的數(shù)據(jù)跨境規(guī)制模式應(yīng)為保護個人與國家權(quán)益基礎(chǔ)上的限制流動模式，與歐盟、俄羅斯的數(shù)據(jù)跨境規(guī)制模式接軌。我國應(yīng)將個人數(shù)據(jù)權(quán)益和國家主權(quán)、安全與利益作為數(shù)據(jù)跨境流動的堅固城墻，同時，合理設(shè)置數(shù)據(jù)跨境的限制標(biāo)準(zhǔn)、合理把控數(shù)據(jù)本地化的程度，實現(xiàn)權(quán)益保護與數(shù)據(jù)自由流動的平衡。

(二)完善立法體系，細化規(guī)范要求

首先，我國當(dāng)前有關(guān)數(shù)據(jù)跨境流動的立法較為薄弱和分散，《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》尚不足以承擔(dān)起數(shù)據(jù)跨境流動法律體系的頂層支撐職能，《個人信息保護法》的出臺，無疑能對個人信息跨境起到一定指引作用。但立法的分散對相關(guān)法律法規(guī)之間的適用和銜接提出了新的要求。數(shù)據(jù)分類分級保護制度有待建立，“關(guān)鍵基礎(chǔ)設(shè)施運營者”“重要數(shù)據(jù)”和“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”等概念有待具體界定，以將不同類型數(shù)據(jù)出境規(guī)則體系化，協(xié)調(diào)不同法律法規(guī)之間的齟齬，形成數(shù)據(jù)跨境流動統(tǒng)一的標(biāo)準(zhǔn)和要求，確立我國數(shù)據(jù)跨境流動規(guī)制的價值取向。

其次，作為我國數(shù)據(jù)跨境流動的重要規(guī)制方式，數(shù)據(jù)出境安全評估和合同協(xié)議應(yīng)予以細致化規(guī)范。一方面，我國應(yīng)加快出臺有關(guān)個人信息出境的具體安全評估辦法，為數(shù)據(jù)控制者/處理者進行安全自評和有關(guān)監(jiān)管部門進行安全評估提供具體且可操作的標(biāo)準(zhǔn)。另一方面，有關(guān)數(shù)據(jù)控制者/處理者和數(shù)據(jù)接收者之間的合同/協(xié)議規(guī)定應(yīng)具體化、標(biāo)準(zhǔn)化、規(guī)范化，以指導(dǎo)合同/協(xié)議雙方在保護個人數(shù)據(jù)的基礎(chǔ)上開展數(shù)據(jù)跨境流動業(yè)務(wù)與合作。具體規(guī)定可參考歐盟于2021年6月發(fā)布的《關(guān)于向第三國轉(zhuǎn)移個人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款》(14)參見COMMISSION IMPLEMENTING DECISION (EU) …/…of 4.6.2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council。，在形式上可構(gòu)建從數(shù)據(jù)控制者到數(shù)據(jù)控制者、從數(shù)據(jù)控制者到數(shù)據(jù)處理者、從數(shù)據(jù)處理者到數(shù)據(jù)處理者、從數(shù)據(jù)處理者到數(shù)據(jù)控制者等多類模式；在內(nèi)容上提供必選條款和可選條款供不同類型數(shù)據(jù)處理者/控制者根據(jù)需要調(diào)整，增強合同/協(xié)議的可適用性和示范性。

此外，我國應(yīng)豐富數(shù)據(jù)跨境流動的規(guī)制方式。例如，我國可以借鑒GDPR的相關(guān)規(guī)定制定數(shù)據(jù)跨境流動白名單，對數(shù)據(jù)接收國的數(shù)據(jù)保護水平進行評估，通過評估的國家或地區(qū)可以進入白名單，實現(xiàn)個人數(shù)據(jù)的自由流動。

(三)健全監(jiān)管體制，提高數(shù)據(jù)保護治理能力

規(guī)制數(shù)據(jù)跨境流動，我國要健全政府監(jiān)管體制，提高綜合數(shù)據(jù)保護治理能力。首先，我國應(yīng)建立專門的數(shù)據(jù)保護機構(gòu)，統(tǒng)一監(jiān)管數(shù)據(jù)跨境流動，加強監(jiān)管實踐，避免政府部門之間相互推諉、責(zé)任缺位，提高數(shù)據(jù)保護的綜合治理水平和國際認可度。其次，我國應(yīng)完善跨境流動過程中個人數(shù)據(jù)受侵害的保護制度，保障受侵害的數(shù)據(jù)主體獲得救濟的權(quán)利，尤其是可獲得司法救濟。雖然《個人信息保護法》規(guī)定了個人信息處理者侵害眾多個人權(quán)益時人民檢察院、法律規(guī)定的組織可提起公益訴訟，但仍缺乏個人數(shù)據(jù)主體提起數(shù)據(jù)跨境流動中侵權(quán)訴訟的相關(guān)規(guī)定?？紤]到相關(guān)數(shù)據(jù)跨境案件的專業(yè)性、保密性及涉外屬性，可以借鑒《歐美隱私盾協(xié)議》相關(guān)規(guī)定，采用專門機構(gòu)仲裁的方式，并對仲裁的前置程序、仲裁范圍、仲裁模式、仲裁效力進行細化[14]。與此同時，應(yīng)注意明確國家對數(shù)據(jù)的合理監(jiān)管，即從歐美“隱私盾”失敗中獲得借鑒，鞏固國家間數(shù)據(jù)保護信任，明確我國出于安全目的的監(jiān)管是必要且合理的，并非是對私主體數(shù)據(jù)不加限制的獲取或?qū)ζ鋫€人數(shù)據(jù)權(quán)利的侵犯。

(四)積極參與國際合作和規(guī)則制定，提升數(shù)據(jù)話語權(quán)

在全球數(shù)據(jù)跨境流動規(guī)制領(lǐng)域，歐盟以GDPR為基礎(chǔ)的權(quán)利保護體系和美國引導(dǎo)的雙邊或多邊數(shù)據(jù)自由流動體系均具有較大的影響力，為歐盟和美國贏得了更多的數(shù)據(jù)話語權(quán)。而我國作為數(shù)據(jù)大國，缺乏有效的國際合作機制，數(shù)據(jù)國際參與度和影響力較低。因此，一方面，我國應(yīng)積極參與數(shù)據(jù)跨境流動的雙邊或多邊對話，通過雙邊或多邊合作機制建立國家間安全、合理的數(shù)據(jù)跨境流動通道。另一方面，我國應(yīng)積極投身數(shù)據(jù)跨境流動的國際規(guī)制制定。中國加入RECP即邁出了建設(shè)性的一步。RECP作為兼有發(fā)達國家和發(fā)展中國家的區(qū)域性多邊協(xié)定，采用了與歐盟高水平個人數(shù)據(jù)保護標(biāo)準(zhǔn)和美國限縮國家安全例外條款主張不同的、相對折衷的多元共治理念，在數(shù)據(jù)跨境流動領(lǐng)域求同存異，一方面倡導(dǎo)自由的數(shù)據(jù)跨境流動，另一方面也給予締約國基于非歧視性監(jiān)管和國家安全目的采取限制數(shù)據(jù)流動的本地化措施。這為發(fā)展中國家抗衡歐盟和美國極具影響力的數(shù)據(jù)規(guī)制提供了豐沃土壤[15]。中國作為負責(zé)任的數(shù)據(jù)大國，應(yīng)通過推動與東盟國家的共治共享，積極引導(dǎo)亞太地區(qū)國家形成新型數(shù)據(jù)流動規(guī)制格局。若中國成功加入CPTPP，則應(yīng)在鞏固原有數(shù)據(jù)跨境流動合作基礎(chǔ)上，通過對例外條款的合理解釋和運用，尋求新維度的數(shù)據(jù)保護合作與數(shù)據(jù)跨境流動，致力于構(gòu)建一個發(fā)展中國家能夠充分參與且具有公平話語權(quán)的共贏共治共享的數(shù)據(jù)流動平臺。

綜上，當(dāng)前歐盟和美國在全球數(shù)據(jù)跨境流動規(guī)制中起主導(dǎo)作用，我國必須提高國際數(shù)據(jù)話語權(quán)，強調(diào)和支持符合我國主張和利益的數(shù)據(jù)跨境流動規(guī)則，以維護國家數(shù)據(jù)主權(quán)和利益。

五、結(jié) 語

基于跨境數(shù)據(jù)保護的必要性和重要性，世界各國積極出臺法律規(guī)制數(shù)據(jù)跨境流動。在全球范圍內(nèi)，數(shù)據(jù)跨境流動的規(guī)制主要呈現(xiàn)出三種趨勢，即以歐盟為代表的“充分保護”與限制流動模式、以美國/區(qū)域組織為代表的行業(yè)自律與自由流動模式和以俄羅斯為代表的數(shù)據(jù)主權(quán)與數(shù)據(jù)本地化模式。面對各國的域外法律規(guī)制，我國在反思自身數(shù)據(jù)跨境規(guī)制現(xiàn)狀及問題基礎(chǔ)上，應(yīng)確定本國應(yīng)對數(shù)據(jù)跨境流動規(guī)制的價值取向，完善數(shù)據(jù)跨境規(guī)制體系。具體而言，我國應(yīng)堅持在保護數(shù)據(jù)主體權(quán)利和數(shù)據(jù)主權(quán)與安全基礎(chǔ)上合理利用個人數(shù)據(jù)，完善數(shù)據(jù)跨境流動立法體系，細化安全評估等規(guī)范要求，豐富數(shù)據(jù)跨境流動的規(guī)制方式，積極參與國際合作和規(guī)則制定，提高數(shù)據(jù)國際話語權(quán)和影響力。