易永豪，唐俐

（海南大學(xué)法學(xué)院，海南 海口 570228）

一、問題的提出

1980年，經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development）正式提出了“數(shù)據(jù)跨境流動(dòng)”（Trans-Border Data Flow）這一概念，意指數(shù)據(jù)與信息在傳輸過程中跨越屬于不同政治國(guó)家的虛擬載體的行為[1]。在信息技術(shù)高速發(fā)展、全球數(shù)據(jù)互聯(lián)互通的當(dāng)下，數(shù)據(jù)的頻繁跨境流動(dòng)是全球信息、資料、技術(shù)等現(xiàn)代發(fā)展要素全球化的必然結(jié)果。與此同時(shí)，數(shù)據(jù)的跨境流動(dòng)也與個(gè)人隱私、國(guó)家安全等問題息息相關(guān)，對(duì)于數(shù)據(jù)跨境流動(dòng)的法律規(guī)制也由此成為國(guó)家發(fā)展戰(zhàn)略中的一個(gè)焦點(diǎn)問題。

據(jù)國(guó)際權(quán)威機(jī)構(gòu)Statista和IDC的統(tǒng)計(jì)和預(yù)測(cè)，全球數(shù)據(jù)圈將從2018年的33ZB（1ZB代表10萬億億字節(jié)）增至2025年的175ZB[2]。全球日益膨脹的數(shù)字相關(guān)市場(chǎng)規(guī)模和經(jīng)濟(jì)體量昭顯著數(shù)字經(jīng)濟(jì)的巨大潛力。而數(shù)據(jù)則是整個(gè)數(shù)字經(jīng)濟(jì)時(shí)代的“石油”和“水”，在促進(jìn)國(guó)民經(jīng)濟(jì)和提升國(guó)家競(jìng)爭(zhēng)力方面發(fā)揮著越來越重要的作用。國(guó)際數(shù)據(jù)公司2019年測(cè)算顯示，到2025年，中國(guó)擁有的數(shù)據(jù)量在全球的占比將提升到27.8%，成為全球首位[3]。數(shù)據(jù)資源的開發(fā)利用將直接影響國(guó)家數(shù)據(jù)安全、數(shù)字產(chǎn)業(yè)發(fā)展和個(gè)人數(shù)據(jù)權(quán)利保護(hù)。但是，在大數(shù)據(jù)把網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界緊密結(jié)合并為人類帶來便利的同時(shí)，數(shù)據(jù)的采集、加工、使用、儲(chǔ)存的每個(gè)環(huán)節(jié)都會(huì)產(chǎn)生信息安全漏洞，“沒有網(wǎng)絡(luò)安全，就沒有國(guó)家安全”，數(shù)據(jù)安全問題是當(dāng)今世界各國(guó)所面臨的現(xiàn)實(shí)又嚴(yán)峻的挑戰(zhàn)。因此，數(shù)據(jù)與信息的有序流動(dòng)是我國(guó)實(shí)現(xiàn)國(guó)家數(shù)字安全、開拓新型開放格局的重要保障。在2019年11月召開的十九屆四中全會(huì)上，“數(shù)據(jù)”這一要素首次被正式承認(rèn)為可參與分配的生產(chǎn)要素，體現(xiàn)了我國(guó)政府對(duì)于數(shù)據(jù)作為經(jīng)濟(jì)生產(chǎn)力的肯定與重視。

總而言之，跨境數(shù)據(jù)流動(dòng)是一項(xiàng)涉及域內(nèi)域外兩套規(guī)制體系的信息交互過程，同時(shí)又是一個(gè)集數(shù)據(jù)主權(quán)、隱私保護(hù)、國(guó)家安全、法律適用及管轄的綜合性議題?？梢哉f，跨境數(shù)據(jù)流動(dòng)治理水平已成為衡量國(guó)家綜合實(shí)力的重要參考標(biāo)準(zhǔn)之一，也是未來大國(guó)戰(zhàn)略博弈的要點(diǎn)之一。我國(guó)需要改變不適宜現(xiàn)代數(shù)據(jù)空間管理體系的舊理念、革新束縛數(shù)據(jù)產(chǎn)業(yè)發(fā)展的舊規(guī)則，以開放、包容、自主的姿態(tài)積極參與多元化的國(guó)際數(shù)據(jù)治理和國(guó)際規(guī)則的制定，并以符合國(guó)家利益的完整體系和先進(jìn)理念引導(dǎo)跨國(guó)企業(yè)做好數(shù)據(jù)合規(guī)工作?？缇硵?shù)據(jù)流動(dòng)規(guī)制的完善與革新是我國(guó)“統(tǒng)籌國(guó)內(nèi)國(guó)際兩個(gè)大局”工作當(dāng)中的重要課題，也是我國(guó)國(guó)家治理能力邁向全面現(xiàn)代化的必由之路。

二、數(shù)據(jù)跨境流動(dòng)規(guī)制的緣起與發(fā)展

（一）跨境數(shù)據(jù)流動(dòng)規(guī)制的緣起

1.初創(chuàng)：歐洲規(guī)制的興起與保守化趨勢(shì)的蔓延

早在20世紀(jì)70年代末，以IBM（International Business Machines Corporation）為代表的美國(guó)企業(yè)就開始開拓計(jì)算機(jī)產(chǎn)業(yè)的國(guó)際市場(chǎng)份額。美國(guó)也就此開始了延續(xù)至今的，長(zhǎng)達(dá)近五十年的數(shù)據(jù)產(chǎn)業(yè)壟斷。絕對(duì)的技術(shù)優(yōu)勢(shì)和先發(fā)優(yōu)勢(shì)讓美國(guó)數(shù)據(jù)產(chǎn)業(yè)在國(guó)際上一直獨(dú)占鰲頭，所以美國(guó)對(duì)跨境數(shù)據(jù)流動(dòng)的法律規(guī)制相對(duì)歐盟、日本等世界其他發(fā)達(dá)國(guó)家和地區(qū)而言更為寬松化。在其立法傾向和政策選擇上，更偏向于發(fā)揮數(shù)據(jù)和信息的商業(yè)價(jià)值而非“人權(quán)價(jià)值”[4]。相對(duì)美國(guó)而言，歐洲的數(shù)據(jù)信息產(chǎn)業(yè)則較為弱勢(shì)，一直無法主導(dǎo)國(guó)際數(shù)據(jù)規(guī)則制定的話語權(quán)。鑒于此情況，歐共體委員會(huì)（Commission of the European Communities，簡(jiǎn)稱CEC）產(chǎn)業(yè)與技術(shù)部在1973年作出“從美國(guó)企業(yè)手中奪回歐洲數(shù)據(jù)處理市場(chǎng)”的決策。在這一戰(zhàn)略決策的號(hào)召下，歐洲各國(guó)開始了一波數(shù)據(jù)安全立法的潮流。1970年，聯(lián)邦德國(guó)的黑森州制定了《黑森州數(shù)據(jù)保護(hù)法》，這是世界第一部專門以保護(hù)公民個(gè)人信息及數(shù)據(jù)為立法目的的法規(guī)，它正式開啟了歐洲進(jìn)行跨境數(shù)據(jù)流動(dòng)規(guī)制的歷程。1973年，瑞典出臺(tái)了《瑞典數(shù)據(jù)法》；1974年，法國(guó)出臺(tái)了《信息、檔案與自由法》；1977年，聯(lián)邦德國(guó)以《黑森州數(shù)據(jù)保護(hù)法》為模板制定出臺(tái)了《聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG）；1984年，英國(guó)出臺(tái)《英國(guó)數(shù)據(jù)保護(hù)法》[5]。其他歐洲各國(guó)如盧森堡、意大利、荷蘭、西班牙等國(guó)也在20世紀(jì)70至80年代分別出臺(tái)其專屬的數(shù)據(jù)管制法案。歐洲的這些數(shù)據(jù)法案，大多以保護(hù)本國(guó)數(shù)據(jù)產(chǎn)業(yè)、維護(hù)本國(guó)公民個(gè)人信息安全為立法的核心理念，對(duì)于數(shù)據(jù)處理者的義務(wù)規(guī)定極為嚴(yán)格，比如德國(guó)的《聯(lián)邦數(shù)據(jù)保護(hù)法》要求：凡是涉及到德國(guó)公民個(gè)人數(shù)據(jù)的相關(guān)企業(yè)，無論數(shù)據(jù)運(yùn)營(yíng)的規(guī)模和企業(yè)資本，都必須要設(shè)立數(shù)據(jù)保護(hù)專員（Data Protection Officer）專門負(fù)責(zé)監(jiān)督企業(yè)遵守落實(shí)《聯(lián)邦數(shù)據(jù)保護(hù)法》。這些充斥著保護(hù)主義的立法雖然在一定程度上切實(shí)地保護(hù)了本地的數(shù)據(jù)產(chǎn)業(yè)和本國(guó)公民的個(gè)人信息安全，但也極大影響了歐美之間正常的數(shù)據(jù)往來。

2.演變：歐美的規(guī)制對(duì)立與規(guī)則競(jìng)爭(zhēng)

在歐洲各國(guó)紛紛為數(shù)據(jù)保護(hù)建立規(guī)則的高墻后，美國(guó)對(duì)此種“數(shù)據(jù)壁壘”表示不滿，指責(zé)歐洲各國(guó)限制跨境數(shù)據(jù)流動(dòng)的法規(guī)是“以保護(hù)個(gè)人數(shù)據(jù)隱私為借口遏制競(jìng)爭(zhēng)對(duì)手的發(fā)展，是變種的經(jīng)濟(jì)保護(hù)主義”，并主張“民主社會(huì)有著信息跨境自由流動(dòng)的傳統(tǒng)，法律應(yīng)該鼓勵(lì)信息自由獲取并限制信息濫用”[6]。歐美的規(guī)制對(duì)立雖然在一定程度上減緩了美國(guó)向全球推行其數(shù)字霸權(quán)的進(jìn)程，但歐洲國(guó)家內(nèi)部的數(shù)據(jù)產(chǎn)業(yè)發(fā)展也因歐洲跨境數(shù)據(jù)流動(dòng)規(guī)制的過于嚴(yán)苛而受到打擊，甚至歐盟內(nèi)部的信息數(shù)據(jù)流動(dòng)都頗為不便，如此過于嚴(yán)苛和死板的規(guī)則干擾了其邁入信息化的進(jìn)程。到20世紀(jì)80年代，以歐美國(guó)家為主導(dǎo)的國(guó)際跨境數(shù)據(jù)流動(dòng)規(guī)制漸漸陷入到僵化和過于保守化的困境之中。歐盟內(nèi)部也在摸索中不斷尋找保護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)產(chǎn)業(yè)發(fā)展之間的平衡。在1980年，由歐洲國(guó)家主導(dǎo)的經(jīng)濟(jì)合作與發(fā)展組織通過了《關(guān)于隱私保護(hù)和個(gè)人跨境數(shù)據(jù)轉(zhuǎn)移指南》（Guidelines on Privacy Protection and Personal Cross-border Data Transfer，以下簡(jiǎn)稱《OECD指南》）?！禣ECD指南》的出臺(tái)也象征著世界跨境數(shù)據(jù)流動(dòng)規(guī)制擺脫了之前安全與發(fā)展二元對(duì)立的舊境況，邁入了一個(gè)嶄新的臺(tái)階。

（二）跨境數(shù)據(jù)流動(dòng)規(guī)制的發(fā)展

1.歐洲規(guī)制的保守化演變

《OECD指南》確認(rèn)了歐盟內(nèi)部各成員方個(gè)人信息保護(hù)的基本原則和有限尺度。正式將跨境數(shù)據(jù)流動(dòng)這一概念定義為“傳輸跨越了國(guó)家邊界的個(gè)人數(shù)據(jù)”。并首次確立了跨境數(shù)據(jù)處理者必須遵守的一系列原則，諸如有限采集原則、目的明確原則、企業(yè)保障原則、透明原則等基本安全原則。也規(guī)定了各成員方之間不得增設(shè)額外的數(shù)據(jù)流動(dòng)限制，特殊情況除外（如其他成員方對(duì)特定數(shù)據(jù)的保護(hù)程度顯著低于數(shù)據(jù)產(chǎn)生方）[7]。

《OECD指南》雖然開創(chuàng)性地確立了一系列國(guó)際跨境數(shù)據(jù)流動(dòng)規(guī)則和原則，但它畢竟只是一本“指南”，沒有實(shí)際的法律約束力，無法真正建構(gòu)行之有效的數(shù)據(jù)流動(dòng)規(guī)則。因此，歐洲理事會(huì)（Council of Europe，CE）于1981年制定了《個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)體保護(hù)公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，以下簡(jiǎn)稱《108號(hào)公約》）。這項(xiàng)國(guó)際協(xié)定對(duì)歐盟成員國(guó)具有法律約束力，也是世界上首部區(qū)域性的跨境數(shù)據(jù)流動(dòng)法則。《108號(hào)公約》確認(rèn)了之前由《OECD指南》所提出的各項(xiàng)數(shù)據(jù)保護(hù)基本原則，并禁止成員方之間額外限制數(shù)據(jù)流動(dòng)、互相“卡脖子”的行為。同時(shí)，《108號(hào)公約》還規(guī)定數(shù)據(jù)由締約方流向非締約方時(shí)，非締約方必須為數(shù)據(jù)的單向跨境流動(dòng)提供不低于締約方當(dāng)前數(shù)據(jù)保護(hù)水準(zhǔn)的適當(dāng)保護(hù)，而至于是否“適當(dāng)”，則是由締約方相關(guān)部門進(jìn)行審核。由此可見，《108號(hào)公約》雖然放松了歐盟成員國(guó)之間的數(shù)據(jù)流動(dòng)限制，但對(duì)于歐盟之外的數(shù)據(jù)處理者仍然有嚴(yán)格的管制。以《108號(hào)公約》為代表的區(qū)域性立法并沒有彌平歐美之間關(guān)于數(shù)據(jù)流動(dòng)的理念分歧與價(jià)值錯(cuò)位，反而加深了二者之間的法域差異。

1995年，歐盟制定并通過了《數(shù)據(jù)保護(hù)指令》（Data Protection Directive，以下簡(jiǎn)稱《95指令》），進(jìn)一步強(qiáng)化了對(duì)歐盟各成員國(guó)個(gè)人信息保護(hù)的程度。其要求各成員國(guó)必須設(shè)立數(shù)據(jù)監(jiān)管部門對(duì)跨境流動(dòng)的數(shù)據(jù)進(jìn)行事前審查和批準(zhǔn)，并要求各成員國(guó)以國(guó)內(nèi)立法的方式確認(rèn)《95指令》的內(nèi)容。在此之后，歐洲的數(shù)據(jù)流動(dòng)規(guī)則便一直奉行“內(nèi)松外嚴(yán)”原則，不斷強(qiáng)化其區(qū)域數(shù)據(jù)保護(hù)[8]。2018年，《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）取代《95指令》。GDPR的出臺(tái)標(biāo)志著歐盟對(duì)于跨境數(shù)據(jù)流動(dòng)規(guī)制仍然秉持?jǐn)?shù)據(jù)保護(hù)主義。GDPR的各項(xiàng)新規(guī)繼續(xù)進(jìn)一步強(qiáng)化對(duì)歐盟外跨境數(shù)據(jù)流動(dòng)的限制，其中第44條規(guī)定“數(shù)據(jù)控制者不得將數(shù)據(jù)轉(zhuǎn)移至未經(jīng)認(rèn)定的第三國(guó)或者國(guó)際組織，且不得將數(shù)據(jù)從該第三國(guó)或國(guó)際組織轉(zhuǎn)移至另一非經(jīng)認(rèn)定的第三國(guó)或國(guó)際組織”。第45條規(guī)定“對(duì)第三國(guó)與國(guó)際組織的資質(zhì)認(rèn)定標(biāo)準(zhǔn)認(rèn)定后，應(yīng)進(jìn)行周期性審查”[9]。GDPR對(duì)個(gè)人信息的跨境保護(hù)可謂全備而詳實(shí)，但如此強(qiáng)有力的保護(hù)也對(duì)數(shù)據(jù)流動(dòng)的靈活性造成了打擊。由于其復(fù)雜而嚴(yán)苛的認(rèn)定標(biāo)準(zhǔn)與程序，迄今為止，世界范圍內(nèi)獲得歐盟“非締約方數(shù)據(jù)流動(dòng)充分性認(rèn)證”的國(guó)家和地區(qū)僅有11個(gè)①分別為阿根廷、馬恩島、新西蘭、加拿大、瑞士、烏拉圭東岸共和國(guó)、根西島、法羅群島、安道爾、澤西島、以色列。。

2.歐美之間合作與對(duì)抗的循環(huán)

在歐盟的高壓態(tài)勢(shì)之下，歐美之間的數(shù)據(jù)往來更為受阻，嚴(yán)重影響了各自相關(guān)產(chǎn)業(yè)的發(fā)展。為避免兩敗俱傷的局面，2000年，美國(guó)與歐盟達(dá)成了《安全港協(xié)議》（U.S.-EU Safe Harbor Framework Documents，SHFD）。SHFD允許相關(guān)企業(yè)因數(shù)據(jù)跨境流動(dòng)的需求而自愿加入SHFD當(dāng)中，從而接受SHFD的監(jiān)管，并以此來避開歐盟嚴(yán)格的《95指令》的約束。同時(shí)，如若相關(guān)企業(yè)之經(jīng)營(yíng)涉及到了數(shù)據(jù)的跨境流動(dòng)而未向美國(guó)商務(wù)部提供企業(yè)隱私政策及報(bào)告，則可能面臨商業(yè)欺詐的指控。在獎(jiǎng)懲機(jī)制并行之下，大量歐美公司加入SHFD。但SHFD也在之后由于多被跨國(guó)公司用于逃避歐盟法律管轄，而在2015年被歐盟法院裁定為無效[10]。于是，歐盟與美國(guó)又于2016年達(dá)成了《隱私盾協(xié)議》（The EU-U.S.Privacy Shield Framework，PSF），PSF作為SHFD的繼承，主要在SHFD的原有基礎(chǔ)上強(qiáng)化了事后救濟(jì)，并明確將監(jiān)管懲處違規(guī)企業(yè)的責(zé)任和權(quán)力賦予了美國(guó)商務(wù)部，同時(shí)還限制了美國(guó)政府對(duì)歐盟公民個(gè)人信息的采集權(quán)。但PSF仍未能長(zhǎng)久，其于2020年7月16日被歐盟法院以“違反GDPR關(guān)于公民數(shù)據(jù)隱私權(quán)相關(guān)規(guī)定”為由裁定為無效[11]。從另一角度而言，PSF的失敗也與美國(guó)數(shù)據(jù)霸權(quán)主義的擴(kuò)張息息相關(guān)，2018年美國(guó)國(guó)會(huì)通過了《澄清境外數(shù)據(jù)合法使用法》(Clarifying Lawful Overseas Use of Data Act，又被稱為“CLOUD法案”或“云法案”)。這項(xiàng)國(guó)內(nèi)法案為美國(guó)政府對(duì)國(guó)內(nèi)公司的數(shù)據(jù)跨境實(shí)行“長(zhǎng)臂管轄”提供了背書。該法案規(guī)定數(shù)據(jù)訪問地或數(shù)據(jù)控制者之中只要有其一在美國(guó)境內(nèi)，美國(guó)便對(duì)其擁有管轄權(quán)，另外，云法案還授權(quán)美國(guó)政府可以與“適格主體”簽署雙邊數(shù)據(jù)互通協(xié)議，“適格主體”需要接受美國(guó)國(guó)會(huì)的審查以確認(rèn)資格，需要在“特定情況”下向美國(guó)政府提供非本國(guó)公民的個(gè)人信息，并且進(jìn)行數(shù)據(jù)互通的終端還需要接受美國(guó)政府的直接監(jiān)督[12]。日本及歐盟各成員國(guó)顯然無法接受這樣的單邊主義協(xié)定。2020年歐盟發(fā)布《歐洲數(shù)據(jù)戰(zhàn)略》，詳細(xì)闡釋了歐盟的數(shù)據(jù)治理思路。該文件提出：“創(chuàng)建一個(gè)單獨(dú)的歐盟數(shù)據(jù)空間，一個(gè)真正獨(dú)立的、為世界各地?cái)?shù)據(jù)開放市場(chǎng)。”其實(shí)質(zhì)是以強(qiáng)化數(shù)據(jù)保護(hù)為由來打壓美國(guó)信息數(shù)據(jù)產(chǎn)業(yè)巨頭以振興本土產(chǎn)業(yè)力量①《歐洲數(shù)據(jù)戰(zhàn)略》提出：“市場(chǎng)力量的不平衡……在大型在線平臺(tái)，少數(shù)參與者可能會(huì)累積大量的數(shù)據(jù)，從中提取有價(jià)值的信息，進(jìn)而為自己積累競(jìng)爭(zhēng)優(yōu)勢(shì)。反過來，這可能會(huì)影響特定情況下的市場(chǎng)競(jìng)爭(zhēng)力……‘?dāng)?shù)據(jù)優(yōu)勢(shì)’帶來的強(qiáng)大的市場(chǎng)支配力可以使大型企業(yè)在相關(guān)平臺(tái)上進(jìn)行規(guī)則制定，單方面地為數(shù)據(jù)訪問和使用設(shè)定條件?！薄榱舜龠M(jìn)歐洲數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，歐盟委員會(huì)基于國(guó)際商會(huì)的建議，于2010年更新了適用于數(shù)據(jù)處理者的標(biāo)準(zhǔn)合同條款（Standard Contractual Clause，SCC2010），后又于2018年更新了約束性公司規(guī)則（Binding Corporate Rules，BCR），兩部法規(guī)相比于GDPR而言，都減少了對(duì)數(shù)據(jù)處理者在進(jìn)行跨境操作時(shí)的義務(wù)和要求。在滿足這兩種標(biāo)準(zhǔn)的情況下，歐盟成員國(guó)也可以向其傳輸個(gè)人數(shù)據(jù)②SCC是指歐盟企業(yè)跨境傳輸個(gè)人數(shù)據(jù)時(shí)，為保證能讓第三國(guó)或地區(qū)按照歐盟標(biāo)準(zhǔn)保護(hù)個(gè)人數(shù)據(jù)而簽訂的合同，在每次進(jìn)行數(shù)據(jù)傳輸時(shí)都必須簽訂該合同。BCR則免去了重復(fù)簽訂合同的麻煩。BCR是歐盟專門針對(duì)總部或者子公司在歐盟的跨國(guó)企業(yè)而制定的規(guī)則體系，而CBPR的規(guī)范對(duì)象僅限于亞太地區(qū)涉及個(gè)人信息跨境傳輸業(yè)務(wù)的企業(yè)，且不包括政府。歐盟的BCR和美國(guó)主導(dǎo)下的CBPR可被看作不同數(shù)據(jù)保護(hù)模式的延展性成果。。

無論是從規(guī)制理念而言還是從具體規(guī)則而言，以美國(guó)為代表的、主張“數(shù)據(jù)開放、貿(mào)易自由”的數(shù)據(jù)自由主義與以歐盟為代表的、主張“數(shù)據(jù)主權(quán)與數(shù)字人權(quán)為先”③關(guān)于是否將數(shù)據(jù)權(quán)利視作人權(quán)的討論（Are data rights for human rights？）早期始于歐盟，尤其在GDPR頒布后，歐盟明確隱私（Privacy）以及數(shù)據(jù)保護(hù)（Data Protection）是歐盟人權(quán)保護(hù)的重要組成部分，《歐盟基本權(quán)利憲章》（Charter of Fundamental Rights）中第8條已經(jīng)明確規(guī)定了對(duì)個(gè)人數(shù)據(jù)的保護(hù)（Protection of Personal Data）。國(guó)內(nèi)學(xué)者認(rèn)為“數(shù)字人權(quán)”即“第四代人權(quán)”，是以“數(shù)據(jù)和信息為載體，展現(xiàn)著智慧社會(huì)中人的數(shù)字化生存樣態(tài)和發(fā)展需求的基本權(quán)利”，包括數(shù)據(jù)信息隱私權(quán)、數(shù)據(jù)信息知情權(quán)等多項(xiàng)權(quán)利。的數(shù)據(jù)保護(hù)主義仍存在著異域規(guī)則間的巨大鴻溝。國(guó)際跨境數(shù)據(jù)流動(dòng)規(guī)制在20世紀(jì)后半葉的發(fā)展史可謂是歐美對(duì)于國(guó)際規(guī)則制定權(quán)的爭(zhēng)奪史。

3.亞太規(guī)則的崛起與發(fā)展

從21世紀(jì)開始，亞洲地區(qū)的經(jīng)濟(jì)科技實(shí)力迅速抬頭，亞太各國(guó)及地區(qū)之間的跨境數(shù)據(jù)流動(dòng)也愈發(fā)頻繁。為了應(yīng)對(duì)新的經(jīng)濟(jì)發(fā)展形勢(shì)，在2008年到2014年間，亞太經(jīng)合組織（APEC）制定了亞洲太平洋經(jīng)濟(jì)合作組織跨境隱私保護(hù)規(guī)則（Asia-Pacific Economic Cooperation Cross-Border Privacy Rules，CBPR）[13]。CBPR采用了“只認(rèn)證執(zhí)法機(jī)構(gòu)資格”的規(guī)制模式，即只由亞太經(jīng)合組織認(rèn)定經(jīng)濟(jì)體內(nèi)部監(jiān)管機(jī)構(gòu)的執(zhí)法資格，將跨境數(shù)據(jù)流動(dòng)的監(jiān)管權(quán)力全部賦予了經(jīng)濟(jì)體內(nèi)部監(jiān)管機(jī)構(gòu)（亞太經(jīng)合組織沒有統(tǒng)一的執(zhí)法機(jī)構(gòu)）。因此，有CBPR的國(guó)際規(guī)則兜底，陸續(xù)有經(jīng)濟(jì)體成員在CBPR的框架下訂立雙邊協(xié)議，并取消了跨境數(shù)據(jù)流動(dòng)中“不必要的阻礙”[14]。在2012年，歐盟與APEC成立了聯(lián)合工作組，專門負(fù)責(zé)審議兩大區(qū)域性組織的數(shù)據(jù)流動(dòng)合作規(guī)則。最終二者于2014年制定了“BCR規(guī)則體系和CBPR規(guī)則體系共同參考”，在兩種規(guī)制體系中制定了新的共同標(biāo)準(zhǔn)，以期實(shí)現(xiàn)數(shù)據(jù)信息方面的有效合作[15]。到目前為止，BCR框架下的國(guó)際主體還在不斷增加，亞太地區(qū)對(duì)國(guó)際規(guī)則的制定權(quán)也隨之?dāng)U展。

綜上可知，從最初的《黑森州數(shù)據(jù)保護(hù)法》到最近的PSF與CBPR，不同法域的數(shù)據(jù)保護(hù)模式因各地域數(shù)據(jù)產(chǎn)業(yè)發(fā)展?fàn)顟B(tài)和立法理念等原因而不盡相同，但又因跨境數(shù)據(jù)流動(dòng)的必要性而被迫走向交互與融合，這樣的融合最后表現(xiàn)為多邊妥協(xié)下產(chǎn)生的區(qū)域性合作治理機(jī)制（見表1）。無論是“數(shù)據(jù)保護(hù)主義”還是“數(shù)據(jù)自由主義”，一個(gè)國(guó)家和地區(qū)的跨境數(shù)據(jù)流動(dòng)規(guī)制總是在經(jīng)濟(jì)價(jià)值和倫理道德乃至國(guó)家安全當(dāng)中面臨兩難選擇。而這個(gè)問題沒有一個(gè)具有普適性的答案，只有認(rèn)真分析本國(guó)本地當(dāng)下的跨境數(shù)據(jù)流動(dòng)所面臨的價(jià)值機(jī)遇與潛藏風(fēng)險(xiǎn)，才能作出適應(yīng)國(guó)情的規(guī)制模式?jīng)Q策。

表1 國(guó)際跨境數(shù)據(jù)流動(dòng)合作治理機(jī)制統(tǒng)計(jì)表

三、我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制的現(xiàn)狀與困境

（一）我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制的現(xiàn)狀

1.開端：《個(gè)人信息保護(hù)指南》的制定

2012年4月12日，中國(guó)工業(yè)和信息化部正式公布《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)指南》），該指南是我國(guó)首次以部門規(guī)章的形式對(duì)跨境數(shù)據(jù)流動(dòng)的規(guī)制進(jìn)行探索，具有開拓性的意義?！秱€(gè)人信息保護(hù)指南》首次提出了處理個(gè)人數(shù)據(jù)的“八大原則”①《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》4.2規(guī)定了個(gè)人信息管理者在使用信息系統(tǒng)對(duì)個(gè)人信息進(jìn)行處理時(shí)，宜遵循的基本原則：（1）目的明確原則；（2）最少夠用原則；（3）公開告知原則；（4）個(gè)人同意原則；（5）質(zhì)量保證原則；（6）安全保障原則；（7）誠(chéng)信履行原則；（8）責(zé)任明確原則。，承認(rèn)了國(guó)際性第三方測(cè)評(píng)機(jī)構(gòu)的地位，并提到了類似于“被遺忘權(quán)”的主體權(quán)利②《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》5.2.3規(guī)定：處理個(gè)人信息前要征得個(gè)人信息主體的同意，包括默許同意或明示同意。收集個(gè)人一般信息時(shí)，可認(rèn)為個(gè)人信息主體默許同意，如果個(gè)人信息主體明確反對(duì)，要停止收集或刪除個(gè)人信息；收集個(gè)人敏感信息時(shí)，要得到個(gè)人信息主體的明示同意。。此外，《個(gè)人信息保護(hù)指南》還主張遵循國(guó)際通行的數(shù)據(jù)流動(dòng)管制方法，將個(gè)人信息分類為一般信息和敏感信息，并明確了“默許同意”和“明確同意”的適用區(qū)別③《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》3.10規(guī)定了默許同意（tacit consent）：在個(gè)人信息主體無明確反對(duì)的情況下，認(rèn)為個(gè)人信息主體同意。。作為開辟式的規(guī)則，《個(gè)人信息保護(hù)指南》是對(duì)歐盟《95指令》的全方位模仿，它基本確定了個(gè)人信息流動(dòng)的分類標(biāo)準(zhǔn)、處理原則和規(guī)制目的，為我國(guó)后續(xù)一系列跨境數(shù)據(jù)流動(dòng)規(guī)則的起草奠定了基礎(chǔ)和確立了底線，意義重大。但另一方面，《個(gè)人信息保護(hù)指南》并非法律，僅是一部指導(dǎo)性的部門工作文件，沒有強(qiáng)制執(zhí)行力的保障，且缺少具體執(zhí)行機(jī)構(gòu)、執(zhí)行手段。總體而言，其理論意義重大，但實(shí)踐性較弱，更大的價(jià)值在于為我國(guó)的跨境數(shù)據(jù)流動(dòng)規(guī)制體系奠定了立法的基本方向。

2.發(fā)展：《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》的出臺(tái)

2016年11月7日，全國(guó)人大常委會(huì)正式通過了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）。這是我國(guó)第一部針對(duì)網(wǎng)絡(luò)安全和信息安全的系統(tǒng)性法律。其中對(duì)于數(shù)據(jù)權(quán)利方面的規(guī)定僅為原則性規(guī)定，缺少權(quán)利范圍和救濟(jì)渠道，但《網(wǎng)絡(luò)安全法》仍然意義匪淺，因?yàn)樗谝淮螌?shù)據(jù)作為獨(dú)立法益進(jìn)行保護(hù)，并首次提到了“重要數(shù)據(jù)”這一概念，為后來的跨境數(shù)據(jù)流動(dòng)規(guī)制確立了基本的方向，比如第37條規(guī)定了數(shù)據(jù)處理者“在境內(nèi)存儲(chǔ)運(yùn)營(yíng)中收集產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)”以及“跨境數(shù)據(jù)流動(dòng)需經(jīng)過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門的安全評(píng)估”?！毒W(wǎng)絡(luò)安全法》出臺(tái)后，我國(guó)開啟了一波數(shù)據(jù)安全立法的浪潮，先后發(fā)布了《數(shù)據(jù)安全管理辦法》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》等多部法律文件，各地也相繼出臺(tái)了地方性的數(shù)據(jù)管理法規(guī)，全國(guó)針對(duì)數(shù)據(jù)管理的立法定規(guī)一時(shí)間有如雨后春筍①目前，山東、天津、安徽、吉林、山西、海南、貴州已出臺(tái)大數(shù)據(jù)條例，河北、廣東、浙江已出臺(tái)數(shù)字經(jīng)濟(jì)條例，深圳出臺(tái)了數(shù)據(jù)條例，上海市正在制定數(shù)據(jù)條例。例如，近日，山東省十三屆人大常委會(huì)第三十次會(huì)議審議通過《山東省大數(shù)據(jù)發(fā)展促進(jìn)條例》，自2022年1月1日起施行。該條例明確公共數(shù)據(jù)和非公共數(shù)據(jù)的范圍；對(duì)數(shù)據(jù)采集劃出“禁區(qū)”，強(qiáng)調(diào)不得重復(fù)采集能夠通過共享方式獲取的公共數(shù)據(jù)；《上海市數(shù)據(jù)條例（草案）》正在公開征求意見，從數(shù)據(jù)權(quán)益保障的角度出發(fā)，確認(rèn)了各類主體的數(shù)據(jù)權(quán)益保護(hù)機(jī)制。截至2021年10月，涉及個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī)就有近70部，法律解釋10條，部門規(guī)章近200部。。

2021年6月10日，全國(guó)人大常委會(huì)通過了《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）?！稊?shù)據(jù)安全法》是我國(guó)首部以規(guī)范數(shù)據(jù)處理相關(guān)行為為立法核心目標(biāo)的法律，也是數(shù)字安全領(lǐng)域的基礎(chǔ)性規(guī)則。《數(shù)據(jù)安全法》明確以“維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益、公民個(gè)人隱私”為立法目標(biāo)，以立法的形式確立了推行大數(shù)據(jù)戰(zhàn)略的國(guó)策，提出建立數(shù)據(jù)分類分級(jí)保護(hù)制度來維護(hù)國(guó)家數(shù)據(jù)主權(quán)和公民數(shù)據(jù)信息安全。另外，還規(guī)定了政府的公共數(shù)據(jù)公開義務(wù)，保障了公民的知情權(quán)。總體而言，《數(shù)據(jù)安全法》承繼了《網(wǎng)絡(luò)安全法》的數(shù)據(jù)管理原則，旗幟鮮明地提出了數(shù)據(jù)分類概念，并規(guī)定了違規(guī)懲戒方式和受害救濟(jì)渠道，為后續(xù)我國(guó)數(shù)據(jù)保護(hù)立法確定了基調(diào)。

3.完善：《個(gè)人信息保護(hù)法》的面世

2021年8月20日，全國(guó)人大常委會(huì)通過了《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）?！秱€(gè)人信息保護(hù)法》是我國(guó)正式邁入數(shù)字化社會(huì)的里程碑，也是我國(guó)參與全球數(shù)字治理的通行證?！秱€(gè)人信息保護(hù)法》作為數(shù)字社會(huì)治理與數(shù)字經(jīng)濟(jì)發(fā)展的基本法，聯(lián)協(xié)《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》，一并構(gòu)成了我國(guó)信息數(shù)據(jù)流動(dòng)的保護(hù)規(guī)范框架?！秱€(gè)人信息保護(hù)法》將涉及境內(nèi)數(shù)據(jù)服務(wù)、境內(nèi)數(shù)據(jù)處理等行為從原先的模糊地帶到明確納入管轄范圍，并要求相關(guān)的數(shù)據(jù)處理者在中國(guó)境內(nèi)設(shè)立專門機(jī)構(gòu)或者指定代表，負(fù)責(zé)個(gè)人信息保護(hù)相關(guān)事務(wù)。以列舉的方式明確了個(gè)人信息跨境的途徑：包括通過國(guó)家網(wǎng)信部門組織的安全評(píng)估、經(jīng)專業(yè)機(jī)構(gòu)認(rèn)證、訂立標(biāo)準(zhǔn)合同、按照中國(guó)締結(jié)或參加的國(guó)際條約和協(xié)定等。另外，還規(guī)定了一系列嚴(yán)格化跨境數(shù)據(jù)處理者義務(wù)的責(zé)任，包括但不限于：采取必要措施保障境外接收方的處理活動(dòng)達(dá)到本法規(guī)定的保護(hù)標(biāo)準(zhǔn)；對(duì)跨境數(shù)據(jù)流動(dòng)則作出了更為嚴(yán)格的“告知—同意”要求；對(duì)跨境提供個(gè)人信息的安全評(píng)估、向境外司法或執(zhí)法機(jī)構(gòu)提供個(gè)人信息、限制跨境提供個(gè)人信息的措施、對(duì)外國(guó)歧視性措施的反制等作了規(guī)定；賦予大型網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)特別義務(wù)?？偟膩碚f，《個(gè)人信息保護(hù)法》正視了中國(guó)當(dāng)下所面臨的數(shù)據(jù)產(chǎn)業(yè)機(jī)遇和數(shù)據(jù)安全危機(jī)，其條文規(guī)則也體現(xiàn)了國(guó)家意欲在“安全”與“發(fā)展”中尋得平衡中點(diǎn)的治理愿景?！秱€(gè)人信息保護(hù)法》正式發(fā)布后，全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶評(píng)價(jià)說：“《個(gè)人信息保護(hù)法》構(gòu)建了一套清晰、系統(tǒng)的個(gè)人信息跨境流動(dòng)規(guī)則，規(guī)范了個(gè)人信息的跨境流動(dòng)?！盵16]

綜上所述，從《個(gè)人信息保護(hù)指南》到《個(gè)人信息保護(hù)法》，我國(guó)對(duì)于跨境數(shù)據(jù)流動(dòng)的規(guī)則愈發(fā)細(xì)致化、體系化和可操作化（見表2），跨境數(shù)據(jù)流動(dòng)規(guī)制的架構(gòu)是不斷走向?qū)嶋H和不斷完善的。這既意味著我國(guó)開始逐漸重視起數(shù)據(jù)利益這一新興的國(guó)家利益，也意味著我國(guó)在數(shù)據(jù)安全和數(shù)據(jù)利益之間尋找平衡點(diǎn)的探索不斷螺旋上升。但另一方面，我國(guó)在跨境數(shù)據(jù)流動(dòng)規(guī)制的建設(shè)仍然處于初始階段，現(xiàn)行的法律規(guī)則仍然存在諸多不合理、不適宜之處，制約著我國(guó)數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，甚至威脅著我國(guó)對(duì)數(shù)據(jù)主權(quán)的獨(dú)立行使。

表2 我國(guó)涉及數(shù)據(jù)跨境流動(dòng)的主要規(guī)范文本統(tǒng)計(jì)表

（二）我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制的困境

1.理念難題：數(shù)據(jù)主權(quán)的“自由困境”

主權(quán)，是一國(guó)在其領(lǐng)域內(nèi)對(duì)國(guó)民與資源的最高的、排他的支配權(quán)力。不同于傳統(tǒng)的主權(quán)形態(tài)，數(shù)據(jù)主權(quán)是產(chǎn)生于信息時(shí)代新生產(chǎn)場(chǎng)景下的新權(quán)力。它所支配的領(lǐng)域范圍全部位于虛擬空間（Virtual Space），它所涉及的資源內(nèi)容全部為觸不可及的上載之物（Uploaded Items）。在國(guó)家主義的語境之下，數(shù)據(jù)主權(quán)意味著國(guó)家對(duì)于在其領(lǐng)域之內(nèi)所產(chǎn)生的數(shù)據(jù)擁有儲(chǔ)存、處理及傳輸?shù)葯?quán)力，且這些權(quán)力是不受他國(guó)干涉的[17]。產(chǎn)生于本國(guó)的數(shù)據(jù)必須在本國(guó)儲(chǔ)存；重要數(shù)據(jù)跨境傳輸需報(bào)備；核心數(shù)據(jù)禁止跨境流動(dòng)等具體規(guī)制手段都是國(guó)家行使其數(shù)據(jù)主權(quán)的具體體現(xiàn)[18]。在數(shù)據(jù)主權(quán)的理念中，本地產(chǎn)生的數(shù)據(jù)，特別是本地產(chǎn)生的個(gè)人信息，其地位就猶如在信息世界中的本國(guó)國(guó)民。國(guó)家基于屬人或?qū)俚卦瓌t對(duì)其進(jìn)行管理和保護(hù)，對(duì)外享有排除和否定其他國(guó)家對(duì)本國(guó)數(shù)據(jù)進(jìn)行干涉的行為之權(quán)利，是彰顯主權(quán)獨(dú)立和數(shù)據(jù)自主的表現(xiàn)[19]。不同國(guó)家對(duì)數(shù)據(jù)主權(quán)的理解和定義有所差別，但認(rèn)定本國(guó)確有在虛擬數(shù)據(jù)信息方面的實(shí)在主權(quán)是所有國(guó)家進(jìn)行跨境數(shù)據(jù)流動(dòng)規(guī)制的根基與底線。一切跨境數(shù)據(jù)流動(dòng)相關(guān)立法都是國(guó)家出于數(shù)據(jù)主權(quán)對(duì)相關(guān)數(shù)據(jù)信息資源進(jìn)行的管理。

相比于其他數(shù)據(jù)產(chǎn)業(yè)強(qiáng)國(guó)，我國(guó)仍然處于數(shù)據(jù)信息產(chǎn)業(yè)的弱勢(shì)地位，數(shù)據(jù)主權(quán)在法理上保證了我國(guó)數(shù)據(jù)信息的基本安全[20]。但主張將數(shù)據(jù)主權(quán)的外延過于寬泛化的數(shù)據(jù)保護(hù)主義則需要警惕和審視。數(shù)據(jù)保護(hù)主義所強(qiáng)調(diào)的絕對(duì)主權(quán)和明確邊界與當(dāng)今全球化的趨勢(shì)是相逆相違的。在國(guó)際經(jīng)貿(mào)合作、區(qū)域間政商往來愈發(fā)頻繁的現(xiàn)實(shí)背景下，堅(jiān)持將所有數(shù)據(jù)都如同其他重要的國(guó)家戰(zhàn)略資源進(jìn)行嚴(yán)格保護(hù)，將會(huì)對(duì)國(guó)際正常的經(jīng)貿(mào)交流產(chǎn)生障礙，也會(huì)對(duì)普通公民的日常生活造成不利影響。例如公民在國(guó)外享受境外的教育、醫(yī)療服務(wù)時(shí)，或進(jìn)行跨境電商、金融投資之時(shí)，不免會(huì)產(chǎn)生個(gè)人信息的跨境流動(dòng)。而如若對(duì)這部分跨境數(shù)據(jù)進(jìn)行嚴(yán)苛限制，不僅將會(huì)對(duì)公民的生活便利造成影響，更會(huì)損害我國(guó)對(duì)外開放的基本國(guó)策。在國(guó)內(nèi)規(guī)則過于嚴(yán)格或缺少雙邊、多邊數(shù)據(jù)跨境流動(dòng)條約的情況下，國(guó)家間和區(qū)域間的正常數(shù)據(jù)流動(dòng)和信息往來也會(huì)因此而割裂，從而導(dǎo)致本為保護(hù)本國(guó)數(shù)據(jù)安全和信息產(chǎn)業(yè)的規(guī)則反而成為拖累數(shù)據(jù)產(chǎn)業(yè)發(fā)展、掣肘數(shù)據(jù)安全技術(shù)進(jìn)步的障礙。

國(guó)際上另有一種與數(shù)據(jù)保護(hù)主義背道而馳的數(shù)據(jù)跨境流動(dòng)原則——數(shù)據(jù)自由主義，數(shù)據(jù)自由主義強(qiáng)調(diào)和關(guān)注數(shù)據(jù)作為純粹資源的商業(yè)價(jià)值和經(jīng)濟(jì)利益，排斥國(guó)家主權(quán)對(duì)數(shù)據(jù)的絕對(duì)控制[21]。在崇尚經(jīng)濟(jì)全球化和貿(mào)易保護(hù)主義被消解的世界大格局之下，數(shù)據(jù)自由主義確實(shí)有其積極正面的導(dǎo)向。這一方面是因?yàn)閿?shù)據(jù)的跨境自由流動(dòng)已經(jīng)成為許多經(jīng)濟(jì)活動(dòng)乃至公民生活的必要條件。另一方面，則是因?yàn)閿?shù)據(jù)的商業(yè)價(jià)值和使用效益已經(jīng)成為了全球資源市場(chǎng)的重要組成部分。在數(shù)據(jù)自由主義看來，數(shù)據(jù)的跨境流動(dòng)應(yīng)類同于其他一般資源要素進(jìn)行市場(chǎng)流動(dòng)。因此，市場(chǎng)是支配數(shù)據(jù)流動(dòng)方向、決定數(shù)據(jù)流動(dòng)規(guī)則的真正裁定者。徹底的數(shù)據(jù)自由主義是如美國(guó)這樣數(shù)據(jù)產(chǎn)業(yè)發(fā)達(dá)的國(guó)家所奉行的數(shù)據(jù)跨境流動(dòng)的總原則。它表達(dá)了一種企圖讓數(shù)據(jù)所在的虛擬空間獨(dú)立于實(shí)際國(guó)家領(lǐng)域，從而實(shí)現(xiàn)跨境數(shù)據(jù)的去主權(quán)化的空想。根據(jù)Mary Meeker所作的《2020互聯(lián)網(wǎng)發(fā)展報(bào)告》，全球互聯(lián)網(wǎng)領(lǐng)軍地位由中美占據(jù)，最大的20家互聯(lián)網(wǎng)公司11個(gè)來自美國(guó)，9家來自中國(guó)，歐洲則一家都沒有[22]。因此，將“數(shù)據(jù)自由”置于至尊地位的結(jié)果并非全面的自由，因?yàn)樗袛?shù)據(jù)的背后都是具體的個(gè)體，個(gè)體最終在政治上仍然依附于國(guó)家。所以，“無主權(quán)”的數(shù)據(jù)必然會(huì)因循市場(chǎng)規(guī)律而流向數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)技術(shù)強(qiáng)大的主權(quán)國(guó)家。將所有數(shù)據(jù)去主權(quán)化之后便是徹底的市場(chǎng)支配，市場(chǎng)的負(fù)外部性會(huì)在此無限放大，強(qiáng)吞弱、小附大，數(shù)據(jù)弱國(guó)和數(shù)據(jù)強(qiáng)國(guó)的“數(shù)據(jù)往來逆差”會(huì)不斷擴(kuò)大，在信息數(shù)據(jù)產(chǎn)業(yè)占于壟斷地位的政治經(jīng)濟(jì)實(shí)體最終會(huì)霸占整個(gè)國(guó)際數(shù)據(jù)信息產(chǎn)業(yè)的話語權(quán)[23]。由此可見，宣稱“數(shù)據(jù)無國(guó)界”的口號(hào)，不過是數(shù)據(jù)霸權(quán)主義的又一“雙標(biāo)”之語。

數(shù)據(jù)保護(hù)主義與數(shù)據(jù)自由主義的沖突和矛盾是對(duì)立統(tǒng)一且長(zhǎng)久存在的。在我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制的構(gòu)建過程中也不免會(huì)受到二者的持續(xù)影響[24]。不過，無論以何種主義作為立法原則，國(guó)際和區(qū)域間的數(shù)據(jù)跨境流動(dòng)的法律實(shí)踐總是存在割裂和沖突。我國(guó)在構(gòu)建跨境數(shù)據(jù)流動(dòng)規(guī)制時(shí)必須認(rèn)識(shí)到國(guó)家間因經(jīng)濟(jì)狀況、政治制度、地緣利益等原因而導(dǎo)致的對(duì)于數(shù)據(jù)跨境流動(dòng)的寬嚴(yán)不同是廣泛存在的?？缇硵?shù)據(jù)流動(dòng)規(guī)則雖然是一種國(guó)內(nèi)的法規(guī)，但其同時(shí)也要與國(guó)際規(guī)則進(jìn)行交軌銜接。由數(shù)據(jù)主權(quán)與數(shù)據(jù)自由所產(chǎn)生的矛盾會(huì)在國(guó)際規(guī)則制定、規(guī)則施行和規(guī)則交互中長(zhǎng)久存在，并不斷影響跨境數(shù)據(jù)流動(dòng)的實(shí)踐，因此其必然成為我國(guó)規(guī)制構(gòu)建的一大難點(diǎn)。

2.實(shí)踐痛點(diǎn)：現(xiàn)有規(guī)制的無序與歧誤

在法律實(shí)踐方面，我國(guó)的數(shù)據(jù)保護(hù)立法雖然起步晚，但相關(guān)的規(guī)范性文件并不算少。不過這些規(guī)則整體而言過于分散且缺乏可執(zhí)行性①涉及個(gè)人數(shù)據(jù)、信息保護(hù)和的法律法規(guī)近70部，司法解釋7部，部門規(guī)章近200部。且大部分是原則性規(guī)定，對(duì)數(shù)據(jù)主體權(quán)利的內(nèi)容、規(guī)制方式以及救濟(jì)途徑都有明顯缺失。上位立法和頂層制度方面缺乏統(tǒng)籌，完整的法律與制度框架尚未形成。。其中對(duì)于數(shù)據(jù)跨境流動(dòng)的規(guī)則更是具有形式不統(tǒng)一、內(nèi)容多矛盾、執(zhí)行難到位等現(xiàn)實(shí)難題。這就導(dǎo)致雖然我國(guó)對(duì)跨境數(shù)據(jù)流動(dòng)的規(guī)則是多層級(jí)、多方面的，但實(shí)際上各種規(guī)制形式和規(guī)則內(nèi)容混亂無序、缺乏體系性。規(guī)則的混亂無序主要體現(xiàn)在三個(gè)方面：

首先，缺乏分級(jí)分類制度。早在2011年，中國(guó)人民銀行就曾發(fā)布《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（以下簡(jiǎn)稱《通知》），其中第6條規(guī)定：在我國(guó)境內(nèi)所生成、采集的公民個(gè)人金融信息只能在我國(guó)境內(nèi)儲(chǔ)存和使用。2014年，原國(guó)家衛(wèi)生計(jì)生委發(fā)布《人口健康信息管理辦法（試行）》，其中第10條規(guī)定：不得將人口健康信息在境外的服務(wù)器中存儲(chǔ)，不得托管、租賃在境外的服務(wù)器。2021年9月29日，工業(yè)和信息化部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）（征求意見稿）》（以下簡(jiǎn)稱《辦法》），其中第10條和第24條規(guī)定了涉及政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、科技、網(wǎng)絡(luò)、生態(tài)、核安全等方面的核心數(shù)據(jù)不允許進(jìn)行跨境流動(dòng)。由此可見，一直以來，我國(guó)的各級(jí)單位其實(shí)對(duì)數(shù)據(jù)安全的重要性和數(shù)據(jù)資源的關(guān)鍵性都有察覺和反應(yīng)，也都在對(duì)跨境數(shù)據(jù)流動(dòng)進(jìn)行有計(jì)劃的規(guī)制和管理。但由于長(zhǎng)期缺乏統(tǒng)一的頂層設(shè)計(jì)和上位立法，我國(guó)現(xiàn)行的數(shù)據(jù)分級(jí)分類規(guī)則整體而言雖然龐大繁多，但也分散而零碎，涉及領(lǐng)域廣泛復(fù)雜、關(guān)系利益盤根錯(cuò)節(jié)。在各級(jí)各部的機(jī)關(guān)機(jī)構(gòu)立法規(guī)章錯(cuò)綜交叉之下，規(guī)則的適用成為現(xiàn)實(shí)難題。

其次，缺少統(tǒng)一的數(shù)據(jù)跨境標(biāo)準(zhǔn)規(guī)范和權(quán)威的數(shù)據(jù)內(nèi)容審核的職責(zé)內(nèi)容監(jiān)督機(jī)構(gòu)。比如跨境數(shù)據(jù)流動(dòng)的管理機(jī)構(gòu)，不同的行政機(jī)構(gòu)和管理部門在其跨境數(shù)據(jù)流動(dòng)規(guī)制中所設(shè)定的管理機(jī)構(gòu)多有錯(cuò)位，相關(guān)管理機(jī)構(gòu)的權(quán)力邊界更是模糊不清、眾說紛紜。又比如在處罰機(jī)制和救濟(jì)渠道方面，《個(gè)人信息保護(hù)法》在第66條規(guī)定：“對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫?；蛘呓K止提供服務(wù)；拒不改正的，并處一百萬元以下罰款?！倍稊?shù)據(jù)安全法》第45條則規(guī)定：“開展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人不履行……數(shù)據(jù)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處五萬元以上五十萬元以下罰款。”二者處罰的行為范圍是重疊相交的，但二者法律位階相同，此時(shí)如何分情境適用便成了麻煩。另外，《個(gè)人信息保護(hù)法》雖然在第50條規(guī)定了信息主體有向人民法院提起訴訟的權(quán)利，但情形僅限于“個(gè)人信息處理者拒絕個(gè)人行使權(quán)利的請(qǐng)求”（而且這一權(quán)利還是在第三章而非總則所載），這樣的救濟(jì)范圍顯然過窄。而其他各部門規(guī)章和規(guī)范性文件亦缺少具體可行的救濟(jì)渠道和賠償標(biāo)準(zhǔn)，如此，規(guī)則雖多，卻無異于是“九龍治水”。雖然多個(gè)領(lǐng)域均有規(guī)則，但準(zhǔn)確適用規(guī)則的成本卻極高，公民個(gè)體和企業(yè)法人會(huì)因?yàn)閺?fù)雜且相互矛盾的規(guī)則而遭遇守法用法的困難，出臺(tái)規(guī)章的不同機(jī)構(gòu)單位也會(huì)因?yàn)楦髯月殭?quán)交叉而發(fā)生執(zhí)法用法的爭(zhēng)議?？此屏Ⅲw的跨境數(shù)據(jù)流動(dòng)規(guī)制，卻未能在不同的立法維度保持統(tǒng)一的坐標(biāo)基點(diǎn)②《個(gè)人信息保護(hù)法》缺少配套的實(shí)施細(xì)則且尚未實(shí)現(xiàn)與國(guó)際接軌，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》缺少具體的分類分級(jí)標(biāo)準(zhǔn)和法律責(zé)任條款，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息和敏感個(gè)人信息的界定不夠明晰；行業(yè)規(guī)章方面，《工業(yè)數(shù)據(jù)分級(jí)分類指南（試行）》和《科學(xué)數(shù)據(jù)管理辦法》缺少懲戒條款，《金融數(shù)據(jù)安全分級(jí)指南》則缺少重要數(shù)據(jù)的識(shí)別標(biāo)準(zhǔn)。。

最后，缺少與國(guó)際數(shù)據(jù)跨境流動(dòng)規(guī)制的規(guī)則接口和應(yīng)用通道。我國(guó)在2021年正式申請(qǐng)加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP），而《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP）也在2022年2月1日起正式生效。這兩份區(qū)際的多面合作協(xié)定都意味著我國(guó)的跨境數(shù)據(jù)流動(dòng)規(guī)則將無可避免地成為區(qū)際規(guī)則和國(guó)際規(guī)則的一部分。在RCEP的第12章中，明確限制了成員方對(duì)數(shù)字貿(mào)易施加限制，包括數(shù)據(jù)本地化的要求。無獨(dú)有偶，CPTPP在跨境數(shù)據(jù)流動(dòng)、禁止數(shù)據(jù)本地化、源代碼等領(lǐng)域的規(guī)定更加嚴(yán)格、詳盡，且還在其框架下設(shè)置了專門的爭(zhēng)端解決機(jī)制。而像這樣的規(guī)則框架顯然會(huì)與我國(guó)的《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法規(guī)產(chǎn)生沖突，也會(huì)讓我國(guó)公民個(gè)人和企業(yè)在跨境數(shù)據(jù)流動(dòng)的相關(guān)糾紛中面臨新的合規(guī)考驗(yàn)。如何在保證我國(guó)數(shù)據(jù)安全和個(gè)人信息安全的前提下，把握住融入國(guó)際規(guī)制體系所帶來的利益？又如何在堅(jiān)持法制獨(dú)立和規(guī)則自主的前提下，保證能夠履行作為協(xié)約簽訂國(guó)的國(guó)際義務(wù)和國(guó)際責(zé)任？這些問題是我國(guó)在完善規(guī)制時(shí)所必須回應(yīng)的。

總體來說，我國(guó)的跨境數(shù)據(jù)流動(dòng)規(guī)制雖然在多個(gè)領(lǐng)域、多種情境下皆有規(guī)章文件。但從整個(gè)跨境數(shù)據(jù)流動(dòng)規(guī)制的頂層設(shè)計(jì)而言，卻不可謂之完備，因?yàn)楦黝愐?guī)則依然欠缺對(duì)“核心數(shù)據(jù)”等重要概念的統(tǒng)一定義，也缺乏對(duì)違反規(guī)則行為統(tǒng)一的處置標(biāo)準(zhǔn)以及相關(guān)主體合法權(quán)益受到侵害時(shí)的具體救濟(jì)渠道。如此的實(shí)踐困局也是我國(guó)當(dāng)前跨境數(shù)據(jù)流動(dòng)規(guī)制的實(shí)際痛點(diǎn)。因此，在考慮充分落實(shí)和細(xì)化相關(guān)立法的實(shí)施細(xì)則和配套措施的同時(shí)，更需注意的是整個(gè)規(guī)制體系的統(tǒng)一與整套規(guī)制模式的標(biāo)準(zhǔn)化。

四、我國(guó)跨境數(shù)據(jù)流動(dòng)法律規(guī)制的未來進(jìn)路

（一）理論革新：形塑數(shù)據(jù)主權(quán)的新形態(tài)

理念在規(guī)制之先，理念是規(guī)則制定的導(dǎo)引和基準(zhǔn)。從國(guó)家角度而言，數(shù)據(jù)主權(quán)是所有跨境數(shù)據(jù)流動(dòng)規(guī)制的核心。從個(gè)人角度而言，數(shù)據(jù)主權(quán)是個(gè)人的信息權(quán)利、數(shù)據(jù)人權(quán)、數(shù)字福利等權(quán)益得以實(shí)現(xiàn)的前提。也是其所屬國(guó)家擁有的切實(shí)主權(quán)。因此，要完善我國(guó)的跨境數(shù)據(jù)流動(dòng)規(guī)制，首先要確認(rèn)和明晰我國(guó)如何去形塑具有中國(guó)特色、適應(yīng)中國(guó)社會(huì)環(huán)境和國(guó)際局勢(shì)的數(shù)據(jù)主權(quán)形態(tài)。

形塑適應(yīng)中國(guó)情勢(shì)的數(shù)據(jù)主權(quán)模式，是為了在保持?jǐn)?shù)據(jù)主權(quán)的獨(dú)立性、自主性的前提下，促進(jìn)我國(guó)數(shù)據(jù)信息產(chǎn)業(yè)的有序發(fā)展，是為了保護(hù)國(guó)家、公民數(shù)據(jù)信息安全。對(duì)于以互聯(lián)網(wǎng)世界為代表的虛擬領(lǐng)域治理，既不可以完全依照如國(guó)家領(lǐng)土這樣純粹外化于實(shí)的主權(quán)一樣進(jìn)行準(zhǔn)則設(shè)立——在舊的威斯特伐利亞主權(quán)(Westphalian sovereignty)體系下的主權(quán)進(jìn)行原則移植；也不可以完全接受如美國(guó)等數(shù)據(jù)產(chǎn)業(yè)、數(shù)據(jù)技術(shù)發(fā)達(dá)的西方國(guó)家所鼓吹的“純粹數(shù)據(jù)自由主義”，作為規(guī)則制定時(shí)所奉行的根本準(zhǔn)則。而應(yīng)該從“持續(xù)擴(kuò)大改革開放、充分保障數(shù)據(jù)安全”的全局眼光出發(fā)進(jìn)行規(guī)則的研究和創(chuàng)制。在當(dāng)下的國(guó)際實(shí)踐中，國(guó)際社會(huì)普遍認(rèn)可主權(quán)概念在物理層面的直接適用，即肯定主權(quán)國(guó)家對(duì)境內(nèi)網(wǎng)絡(luò)基礎(chǔ)設(shè)施享有管轄權(quán)[25]。但對(duì)于邏輯層面（純粹虛擬領(lǐng)域）上的國(guó)家管控，各國(guó)的理論認(rèn)知和實(shí)際規(guī)則不盡相同。習(xí)近平總書記說“要尊重網(wǎng)絡(luò)主權(quán)、維護(hù)和平安全、促進(jìn)開放合作、構(gòu)建良好秩序”①2015年12月16日，習(xí)近平在以“互聯(lián)互通、共享共治——構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”為主題的第二屆世界互聯(lián)網(wǎng)大會(huì)上的發(fā)言中提出尊重網(wǎng)絡(luò)主權(quán)、維護(hù)和平安全、促進(jìn)開放合作、構(gòu)建良好秩序的四項(xiàng)全球互聯(lián)網(wǎng)治理的基本原則。。習(xí)近平總書記對(duì)“網(wǎng)絡(luò)治理體系”的建設(shè)要求其實(shí)也是我國(guó)在所有虛擬領(lǐng)域構(gòu)建治理體系的基本準(zhǔn)則。因此，在現(xiàn)代中國(guó)語境下的數(shù)據(jù)主權(quán)，依然應(yīng)該保持完整、自主、平等、獨(dú)立等屬于國(guó)家主權(quán)的本質(zhì)特征。這意味著在數(shù)據(jù)治理領(lǐng)域依舊要堅(jiān)持黨的領(lǐng)導(dǎo)，依舊要堅(jiān)持走中國(guó)獨(dú)立自主的發(fā)展治理道路，依舊要堅(jiān)持民主法治原則，這是構(gòu)建我國(guó)數(shù)據(jù)主權(quán)最為重要的理論基礎(chǔ)。

另一方面，數(shù)據(jù)主權(quán)的治理轄域并非局限于一國(guó)一境。作為重要市場(chǎng)資源的數(shù)據(jù)天生具有流通交互的屬性和狀態(tài)。各個(gè)國(guó)家和地區(qū)對(duì)于數(shù)據(jù)主權(quán)定義的分歧和不同需要被尊重，跨境流動(dòng)的數(shù)據(jù)安全需要各國(guó)的共同維護(hù)。數(shù)據(jù)資源在流動(dòng)中所帶來的效益，也應(yīng)由國(guó)際社會(huì)所共享。在數(shù)據(jù)跨境流動(dòng)的規(guī)制沖突之中，將所有本國(guó)數(shù)據(jù)都當(dāng)作純粹的境內(nèi)數(shù)據(jù)，從而主張徹底適用本國(guó)規(guī)則，完全排斥外國(guó)規(guī)則，會(huì)導(dǎo)致國(guó)際規(guī)則的激烈沖突；阻礙正常的數(shù)據(jù)流動(dòng)的產(chǎn)業(yè)循環(huán)；更會(huì)使我國(guó)有被排除在國(guó)際規(guī)則制定者之列的風(fēng)險(xiǎn)[26]。因此，在對(duì)我國(guó)數(shù)據(jù)主權(quán)進(jìn)行新的形塑時(shí)，也必須要考慮到與他國(guó)數(shù)據(jù)主權(quán)沖突時(shí)的行動(dòng)原則。在這一點(diǎn)上，“主權(quán)原則的彈性適用”是比較適合國(guó)情的解決方案。所謂“有彈性地”適用主權(quán)原則，也即數(shù)據(jù)跨境流動(dòng)中所涉及的各國(guó)通過磋商和協(xié)定等方式對(duì)特別約定的數(shù)據(jù)和信息放松跨境管制，甚至向共同加入的國(guó)際組織讓渡部分?jǐn)?shù)據(jù)的管轄權(quán)，以期讓部分?jǐn)?shù)據(jù)的跨境過程更為順滑和快捷?！秱€(gè)人信息保護(hù)法》第12條所規(guī)定的“國(guó)家積極參與個(gè)人信息保護(hù)國(guó)際規(guī)則的制定，促進(jìn)個(gè)人信息保護(hù)方面的國(guó)際交流與合作，推動(dòng)與其他國(guó)家、地區(qū)、國(guó)際組織之間的個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)等互認(rèn)”和第38條第2款中提到的“中國(guó)締結(jié)或者參加的國(guó)際條約、協(xié)定對(duì)向境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行”，其實(shí)也反映了現(xiàn)行的規(guī)制方向和形塑路徑，體現(xiàn)了“主權(quán)原則的彈性適用”。

在現(xiàn)今國(guó)際環(huán)境下，以美國(guó)為首的數(shù)據(jù)技術(shù)發(fā)達(dá)國(guó)家反對(duì)將威斯特伐利亞主權(quán)原則直接適用于虛擬領(lǐng)域和數(shù)據(jù)流動(dòng)規(guī)制方面。他們借由強(qiáng)大的產(chǎn)業(yè)優(yōu)勢(shì)和技術(shù)優(yōu)勢(shì)，高舉著“數(shù)字人權(quán)”“信息自由”等政治性濃烈的游說標(biāo)語，實(shí)則通過國(guó)際規(guī)則制定等手段，潛移默化地將其虛擬空間的國(guó)境延伸甚至侵入他國(guó)的領(lǐng)域范圍，大行數(shù)據(jù)霸權(quán)主義和單邊主義，損害他國(guó)數(shù)據(jù)主權(quán)①如上文中提到的“cloud法案”便是美國(guó)在跨境數(shù)據(jù)流動(dòng)規(guī)制上進(jìn)行“長(zhǎng)臂管轄”和施行“片面最惠國(guó)”協(xié)約的典型單邊主義行徑。。而我國(guó)形塑新的數(shù)據(jù)主權(quán)的另一重要目的，就是打破這種蠻橫的數(shù)據(jù)霸權(quán)，并主導(dǎo)建構(gòu)起更為公平、公正、開放、普惠的國(guó)際數(shù)據(jù)流動(dòng)新秩序。而要徹底打破數(shù)據(jù)霸權(quán)，歸根結(jié)底，只有打破其數(shù)據(jù)產(chǎn)業(yè)和數(shù)據(jù)技術(shù)的絕對(duì)壟斷，我國(guó)才能通過打開全球市場(chǎng)來獲取真正的話語權(quán)。這在短時(shí)間內(nèi)，確實(shí)是難以做到的。因此，我國(guó)當(dāng)下形塑數(shù)據(jù)主權(quán)的重點(diǎn)是以前瞻性和全局性的眼光來對(duì)國(guó)內(nèi)規(guī)則進(jìn)行修改完善，并以包容開放的態(tài)度進(jìn)行異域規(guī)則對(duì)接，以期獲得更多國(guó)際主體對(duì)我國(guó)數(shù)據(jù)規(guī)則和數(shù)據(jù)主權(quán)理念的認(rèn)可。

總體而言，我國(guó)形塑新的、有國(guó)際認(rèn)可度的數(shù)據(jù)主權(quán)理念的整體路徑應(yīng)該是：首先以更為公平、更加包容的跨境數(shù)據(jù)流動(dòng)規(guī)則吸引國(guó)際合作伙伴，探索開拓新的合作管轄跨境數(shù)據(jù)流動(dòng)的方式，建立屬于中國(guó)的數(shù)據(jù)市場(chǎng)“朋友圈”；其次，以更為蓬勃而開放的數(shù)據(jù)市場(chǎng)作為根基，向我們的合作國(guó)家輻射、傳播我國(guó)的數(shù)據(jù)主權(quán)理念和數(shù)據(jù)治理方案，從而強(qiáng)化我國(guó)規(guī)則、我國(guó)理念的區(qū)域影響力；再次，以區(qū)域市場(chǎng)和區(qū)域規(guī)則作為跳板，以“市場(chǎng)先行，規(guī)則隨之”的國(guó)際戰(zhàn)略，在全球范圍內(nèi)推行跨境數(shù)據(jù)治理的中國(guó)規(guī)則和中國(guó)理念，在國(guó)際數(shù)據(jù)市場(chǎng)中，以“合縱之法”取得全球范圍內(nèi)規(guī)則制定的話語權(quán)，并推動(dòng)共建全球網(wǎng)絡(luò)空間命運(yùn)共同體[27]。

（二）實(shí)踐改徑：統(tǒng)一分級(jí)分類，強(qiáng)化監(jiān)管合作

如前文所述，我國(guó)現(xiàn)在針對(duì)跨境數(shù)據(jù)流動(dòng)的法律規(guī)則是多位階、多部門、多角度的，立法實(shí)踐不可謂不全面。但法律法規(guī)的冗雜繁多、多而無序也給我國(guó)的跨境數(shù)據(jù)流動(dòng)規(guī)制帶來了困境和難題。其中最為亟待解決的實(shí)踐困境有三：其一是對(duì)數(shù)據(jù)的分級(jí)分類缺乏統(tǒng)一、權(quán)威的完整體系；其二是沒有構(gòu)建出一個(gè)合理高效的數(shù)據(jù)跨境評(píng)估監(jiān)管體系；其三是缺少國(guó)內(nèi)規(guī)則與國(guó)際規(guī)則的制度銜接的接口。只有解決這三大難題才能讓我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制在實(shí)際層面上落地。

1.建立統(tǒng)一的數(shù)據(jù)分級(jí)分類制度

要解決關(guān)鍵概念的混淆和模糊，就必須在位階足夠高的法規(guī)當(dāng)中對(duì)其進(jìn)行統(tǒng)一的一般化闡釋。例如：在《民法典》出臺(tái)之前，個(gè)人信息的定義、內(nèi)涵以及法律意義在學(xué)術(shù)界和實(shí)務(wù)界爭(zhēng)論不休，這樣的爭(zhēng)論也影響了司法實(shí)踐中的具體裁判，同案不同判的現(xiàn)象屢有發(fā)生[28]。因此，高階法律對(duì)關(guān)鍵概念的確認(rèn)能有效地解決概念模糊混淆。而在跨境數(shù)據(jù)流動(dòng)當(dāng)中，關(guān)鍵的便是對(duì)跨境數(shù)據(jù)不同類型、不同級(jí)別的具體定義劃分。在我國(guó)的規(guī)制體系中，不同數(shù)據(jù)類型的分類標(biāo)準(zhǔn)和重要程度在各部法規(guī)中的范圍、類型和表述方式都不盡相同②《數(shù)據(jù)安全法》第21條將涉及國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益的重要數(shù)據(jù)列為國(guó)家核心數(shù)據(jù)，中國(guó)人民銀行在《通知》中將在我國(guó)境內(nèi)所生成、采集的公民個(gè)人金融信息列為禁止出境的“關(guān)鍵數(shù)據(jù)”。原國(guó)家衛(wèi)生計(jì)生委在《人口健康信息管理辦法（試行）》中將人口健康信息列為禁止出境的“關(guān)鍵數(shù)據(jù)”?！毒W(wǎng)絡(luò)安全法》規(guī)定，由關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)列為限制出境的“關(guān)鍵數(shù)據(jù)”。工信部在《辦法》中將涉及政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、科技、網(wǎng)絡(luò)、生態(tài)、核安全等方面的數(shù)據(jù)列為不允許進(jìn)行跨境流動(dòng)的核心數(shù)據(jù)?！秱€(gè)人信息保護(hù)法》則將生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息列為必須謹(jǐn)慎處理的敏感信息。，這些來自不同法規(guī)的概念互相涵蓋、重合、互斥，在具體表述上不統(tǒng)一。在法律位階上，有下位法與上位法相矛盾。要解決概念方面的矛盾沖突，應(yīng)在上位法中確定一個(gè)綜合總領(lǐng)的“母概念”，以高階地位統(tǒng)管所有的“子概念”，再以準(zhǔn)用性或委任性規(guī)則將補(bǔ)充具體的細(xì)項(xiàng)分類。如若子概念規(guī)模龐大或是涉及條目繁多，則可以進(jìn)行一定程度的法規(guī)匯編以方便實(shí)踐適用、厘清權(quán)利義務(wù)關(guān)系。

首先，按照現(xiàn)行的法律規(guī)則，可以將《數(shù)據(jù)安全法》作為這些保障數(shù)據(jù)安全的法規(guī)之母法，總結(jié)并揚(yáng)棄現(xiàn)有規(guī)則中的“關(guān)鍵信息”“重要數(shù)據(jù)”“核心數(shù)據(jù)”等概念。統(tǒng)一將所有數(shù)據(jù)和信息分為三類：第一類是普通數(shù)據(jù)，包括經(jīng)過脫敏后的個(gè)人信息、一般的商業(yè)數(shù)據(jù)等低風(fēng)險(xiǎn)數(shù)據(jù)。對(duì)此類數(shù)據(jù)取輕度管控的標(biāo)準(zhǔn)。第二類是重要數(shù)據(jù)，根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室和工信部在中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)的《專項(xiàng)調(diào)查問題列表與答復(fù)》所述，重要數(shù)據(jù)是指：不涉及國(guó)家秘密，但如果泄露、竊取、篡改、毀損、丟失和非法使用可能危害國(guó)家安全、國(guó)計(jì)民生、公共利益的未公開數(shù)據(jù)，對(duì)于此類數(shù)據(jù)，實(shí)行嚴(yán)格管控的標(biāo)準(zhǔn)。具體而言，可以以行政許可等方式限制此類數(shù)據(jù)處理者的主體資格；以事前的申報(bào)備案；規(guī)定相關(guān)數(shù)據(jù)處理者必須定期提交其業(yè)務(wù)內(nèi)數(shù)據(jù)流動(dòng)情況報(bào)表等方式進(jìn)行嚴(yán)控管制。第三類是核心數(shù)據(jù)，此類數(shù)據(jù)應(yīng)絕對(duì)禁止跨境流動(dòng)，并結(jié)合刑法嚴(yán)厲打擊針對(duì)核心數(shù)據(jù)的犯罪行為。

其次，應(yīng)在《民法典》的法律解釋當(dāng)中將個(gè)人信息進(jìn)行分類，對(duì)普通個(gè)人信息和敏感個(gè)人信息作出定義區(qū)分，并委任相關(guān)單位作為專門的個(gè)人信息保護(hù)機(jī)構(gòu)，再以準(zhǔn)用性規(guī)則將進(jìn)一步細(xì)分信息數(shù)據(jù)類型的規(guī)則制定權(quán)下放到《個(gè)人信息保護(hù)法》中。另外，應(yīng)嚴(yán)格統(tǒng)一個(gè)人信息中涉及政治、軍事、國(guó)土、經(jīng)濟(jì)、國(guó)民生物信息等國(guó)家或社會(huì)重大利益相關(guān)的數(shù)據(jù)的定義范圍、表述方式以及跨境審查程度①應(yīng)允許下位法對(duì)這些“核心數(shù)據(jù)”的定義作出進(jìn)一步擴(kuò)大性規(guī)定，但不可允許其限縮上位法所給出的定義范圍。；還應(yīng)強(qiáng)化對(duì)我國(guó)數(shù)據(jù)產(chǎn)業(yè)的保護(hù)規(guī)制。因?yàn)樵谏虡I(yè)實(shí)踐中，企業(yè)數(shù)據(jù)和個(gè)人信息在范圍上有大規(guī)模重疊，企業(yè)經(jīng)過算法脫敏處理的數(shù)據(jù)，其權(quán)屬已經(jīng)產(chǎn)生了變化，也應(yīng)相應(yīng)調(diào)整此種數(shù)據(jù)的分類和保護(hù)程度[29]。

2.構(gòu)建合理高效的數(shù)據(jù)跨境評(píng)估監(jiān)管體系

我國(guó)跨境數(shù)據(jù)流動(dòng)規(guī)制體系發(fā)展至今，一直在對(duì)各個(gè)方面的錯(cuò)漏進(jìn)行補(bǔ)正。近年來的多部立法已經(jīng)實(shí)現(xiàn)了不少之前學(xué)者們?cè)粲踹^的期盼之舉，比如許多奇教授所主張的核心數(shù)據(jù)禁止出境、分類數(shù)據(jù)儲(chǔ)存機(jī)制以及行業(yè)自律和他律機(jī)制[30]。但就整個(gè)體系而言，最為關(guān)鍵的數(shù)據(jù)跨境的評(píng)估監(jiān)管體系卻仍然缺位。數(shù)據(jù)出境審查制度則散見于《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》等多部法律規(guī)則，數(shù)據(jù)出境的審查機(jī)關(guān)是國(guó)家網(wǎng)信部門，但出境審查制度的具體實(shí)施細(xì)則如出境審查制度到底要審查哪些跨境數(shù)據(jù)，以如何方式和標(biāo)準(zhǔn)分別進(jìn)行審查等卻仍模糊不清。

首先，在立法方向上，應(yīng)該堅(jiān)持開放、包容的原則，以保證數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展為規(guī)制目的，在立法中傳遞更為自由、積極的信號(hào)。比如，在個(gè)人信息的跨境流動(dòng)中采取寬泛同意加自由退出以取代嚴(yán)格的知情同意制度[31]。要吸取歐盟的教訓(xùn)，在嚴(yán)格監(jiān)管中不能丟失市場(chǎng)的資源支配力和數(shù)據(jù)本身的活力，要時(shí)刻關(guān)注數(shù)據(jù)產(chǎn)業(yè)的實(shí)際受用。

其次，要完善跨境數(shù)據(jù)流動(dòng)當(dāng)中的行業(yè)監(jiān)管體系。要在進(jìn)一步的立法環(huán)節(jié)當(dāng)中，逐步去除“一刀切”的監(jiān)管制度，逐步從靜態(tài)的數(shù)據(jù)內(nèi)容監(jiān)管轉(zhuǎn)向動(dòng)態(tài)的流動(dòng)過程監(jiān)管。將監(jiān)管機(jī)關(guān)的權(quán)限列明，為受監(jiān)管企業(yè)的合規(guī)工作提供指引和幫助，重點(diǎn)強(qiáng)化跨境數(shù)據(jù)流動(dòng)的事前監(jiān)管和渠道監(jiān)管。具體而言，可以將國(guó)家主體相關(guān)的數(shù)據(jù)和公民個(gè)人相關(guān)的數(shù)據(jù)進(jìn)行分類監(jiān)管，設(shè)立寬嚴(yán)相濟(jì)的兩套監(jiān)管體系。從監(jiān)管制度上落實(shí)數(shù)據(jù)分類，使不同數(shù)據(jù)獲得不同程度的保護(hù)，在保證數(shù)據(jù)安全的前提下以監(jiān)管促進(jìn)產(chǎn)業(yè)繁榮。

3.積極參與國(guó)際跨境數(shù)據(jù)的合作治理

我國(guó)的國(guó)內(nèi)數(shù)據(jù)治理規(guī)則種類繁多、條目齊全，但依舊缺乏與國(guó)際規(guī)則對(duì)接的細(xì)節(jié)接口，更缺乏將我國(guó)的規(guī)制上升推進(jìn)到國(guó)際層面的結(jié)構(gòu)性推力。要解決這一問題，首先，我國(guó)應(yīng)從最能發(fā)揮數(shù)據(jù)經(jīng)濟(jì)價(jià)值的國(guó)際貿(mào)易端入手，將跨境數(shù)據(jù)流動(dòng)的規(guī)制合作納入到談判內(nèi)容當(dāng)中。具體而言，我國(guó)可以借鑒歐盟GDPR第44條和第45條的規(guī)定，在考察確認(rèn)域外相關(guān)地區(qū)的數(shù)據(jù)保護(hù)水平、風(fēng)險(xiǎn)防范能力以及社會(huì)法制化程度等達(dá)到標(biāo)準(zhǔn)后，根據(jù)對(duì)等原則，仿照設(shè)立“出境白名單”（也可以同時(shí)設(shè)立“黑名單”）制度，并對(duì)被認(rèn)定方展開周期性的審查。其次，我國(guó)應(yīng)在體系構(gòu)建中為與區(qū)域規(guī)則、國(guó)際規(guī)則的銜接預(yù)留制度接口，在手段上主動(dòng)發(fā)起構(gòu)建跨境執(zhí)法機(jī)制和機(jī)構(gòu)，推動(dòng)構(gòu)建多元共治的數(shù)據(jù)跨境流動(dòng)規(guī)則[32]。此外，我國(guó)還應(yīng)當(dāng)積極參與區(qū)域性的多邊經(jīng)貿(mào)合作平臺(tái)，將國(guó)內(nèi)立法向APEC、OECD等隱私保護(hù)框架對(duì)齊，在平臺(tái)中推廣我國(guó)數(shù)據(jù)流動(dòng)的規(guī)制體系，將規(guī)制優(yōu)勢(shì)轉(zhuǎn)化為行業(yè)地域優(yōu)勢(shì)，將行業(yè)地域優(yōu)勢(shì)轉(zhuǎn)化為行業(yè)國(guó)際優(yōu)勢(shì)[33]，通過國(guó)際隱私治理合作的方式側(cè)面加強(qiáng)我國(guó)跨境數(shù)據(jù)治理規(guī)則的影響力，在區(qū)域范圍內(nèi)爭(zhēng)取更多的規(guī)則制定話語權(quán)，并借此逐步推動(dòng)國(guó)際數(shù)據(jù)治理的“亞太新格局”。再次，也要加強(qiáng)國(guó)際協(xié)約在國(guó)內(nèi)司法實(shí)踐上的發(fā)揮，特別是在國(guó)際數(shù)據(jù)規(guī)則糾紛中加強(qiáng)對(duì)國(guó)際通行規(guī)則和已加入?yún)f(xié)約的一般適用，雙管齊下將數(shù)據(jù)流動(dòng)規(guī)制的國(guó)際場(chǎng)景打造成實(shí)現(xiàn)“十四五”規(guī)劃中“國(guó)內(nèi)國(guó)際兩個(gè)大局”的廣闊試驗(yàn)田。