限制數據跨境傳輸的國際沖突與協調

鄧志松，戴健民

（北京大成律師事務所，北京 100020）

限制數據跨境傳輸的國際沖突與協調

鄧志松，戴健民

（北京大成律師事務所，北京 100020）

《中華人民共和國網絡安全法》于2017年6月1日起施行，其中第三十七條系我國第一次從法律層面上對限制數據跨境傳輸做出規定。在世界范圍內此類規定并不少見，但各國規制模式有所不同并且存在緊張和沖突關系。限制數據跨境傳輸的國際沖突，對各國數據監管提出重大挑戰，也對企業的跨國經營帶來風險與不確定性?；趯χ饕痉▍^的限制數據傳輸規制模式差異的現狀與原因的比較研究，本文探討了協調的可能路徑以及中國的合理對策。

數據跨境傳輸；國際沖突與協調；數據本地化

鄧志松 男，法學博士，北京大成律師事務所高級合伙人；

戴健民 男，北京大成（上海）律師事務所合伙人。

引言

數據跨境傳輸，廣義上可定義為數據在國家之間的電子移動。①李思羽.數據跨境流動規制的演進與對策[J].《信息安全與通信保密》.2016年第1期.數據天然地具有流動性，互聯網產業的良性發展、信息與知識的傳播更新等無不依賴于數據的自由流動，而全球化的深入發展則進一步凸顯了數據流動的跨國性。②吳沈括.數據跨境流動與數據主權研究[J].《新疆師范大學學報》（哲學社會科學版）.2016年9月第37卷第5期.2015年9月，中國共產黨第十八屆中央委員會第五次全體會議通過《中共中央關于制定國民經濟和社會發展第十三個五年規劃的建議》，其中提到，“實施國家大數據戰略，推進數據資源開放共享”。實現數據自由流動和開放共享，是我國實施“走出去戰略”、完善開放型經濟體系的必由之路。

然而，自由與開放并不意味著毫無限制，基于國家主權、國家安全、經濟發展和個人隱私等方面的諸多考慮，各主權國家在數據流通過程中通常會施加不同程度的保護。在大數據時代和全球網絡安全立法浪潮的背景下，更多的立法者已經注意到需要在網絡治理領域引入新的規范布局，在網絡安全的高度修正和完善頂層設計。③吳沈括.完善《網絡安全法（草案）》二審稿的多維度思考[J].《網事焦點》.2016年第9期.2016年11月7日，《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）經三次審議后于十二屆全國人大常委會第24次會議正式通過，2017年6月1日起施行?！毒W絡安全法》第三十七條明確了對關鍵信息基礎設施的信息跨境傳輸的限制，或將對企業在華商業運營產生顯著影響。

隨著中國對網絡安全和數據保護提出新的要求，數據跨境傳輸業已成為企業合規的一大挑戰。特別是對于跨國經營的企業，其在許多情境下都需要跨境傳輸數據，而同時其可能面對數據所在國法律的限制。如何協調數據跨境傳輸的需求與限制之間的沖突，成為中國企業走出去、外國企業在華經營都必須面對的問題。

一、數據及其跨境傳輸

（一）數據跨境傳輸的概念

數據跨境傳輸的概念最初由經濟合作與發展組織（OECD）于1980年在《關于保護隱私與個人數據跨境流動的指南》中提出：數據跨境流動，即個人數據的跨國界移動。①OECD. Article 1(e), Guidelines governing the protection of privacy and transborder fl ows of personal data (1980)[ EB/OL].https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.雖然該指南在2013年進行了一定修改，但是其中的基本定義沒有變化。其中的數據指代“關于可識別和可認定的個人的任何信息”即個人信息。②OECD. Article 1(b), Guidelines governing the protection of privacy and transborder fl ows of personal data (1980),. https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.另本文將“信息”等同于“數據”，不對二者的概念進行細分。國際性非政府組織三邊委員會（Trilateral Committee）在其報告中引用了聯合國跨國公司中心的概念界定，認為跨境數據流動是“用于處理、儲存和檢索的，能夠電子化和進行機讀的數據的跨國境運動”。③Trilateral Committee. Report on the Trilateral Committee on Transborder Data Flows (2010), Page 3,http://web.ita.doc.gov/ITI/itiHome.nsf/0657865ce57c168185256cdb007a1f3a/c444e0e6174952b5852575d1007eaec2/$FILE/Report%20of%20the%20Trilateral%20Committee.pdf.顯然，三邊委員會所引用概念中的數據不僅指代個人數據。結合對如今數據跨境傳輸的了解，筆者傾向于認同三邊委員會引用的概念，而不將數據跨境傳輸局限于“個人數據”方面。

（二）數據的分類

從不同的角度上看，數據分類具有不同的方式。且如今的數據體量極大、類別龐雜，數據分類也只是將數據進行大致歸類，數據各類別之間的聯系無法被完全割裂?？缇沉鲃拥臄祿愋筒煌?，需要法律予以調整的問題也不同。

根據數據承載內容不同，數據可以分為個人數據、商業數據、技術數據和組織（公共）數據。個人數據跨境流動涉及個人人格權和隱私權保護問題，目前在國際和國內層面主要是通過制定個人數據保護法進行規制；對于商業和技術數據的跨境流動，主要采行的規制方式是在國際上訂立知識產權和通信條約，并在國內制定知識產權法和競爭法進行規制；對組織（公共）數據而言，主要由各國國內法中的公共安全管理法進行規制。④李思羽.數據跨境流動規制的演進與對策[J].《信息安全與通信保密》.2016年第1期.

根據國家對于數據的保護程度不同，可將數據分為不可披露的數據、限制跨境傳輸的數據和可自由跨境傳輸的數據。由于可自由跨境傳輸的數據不存在沖突問題，自然也就不存在協調問題，本文不再贅述。

1.不可披露的數據

不可披露的數據在本文專指國家秘密。⑤商業秘密雖也屬于不可披露的數據范圍，但商業秘密的保護主體為商業秘密持有人，國家僅對侵犯商業秘密的行為進行規制，所以商業秘密不納入本文討論范圍。依據我國《保守國家秘密法》第二條規定，國家秘密是指關系國家安全和利益，依照法定程序確定，在一定時間內只限一定范圍的人員知悉的事項。從定義便可看出，未經法定程序，國家秘密是不允許被披露的。此外，《保守國家秘密法》對國家秘密的定密、層級、知悉范圍以及傳輸的方式都作了嚴格規定，特別是第二十六條第二款規定：“禁止在互聯網及其他公共信息網絡或者未采取保密措施的有線和無線通信中傳遞國家秘密?！?/p>

2.限制跨境傳輸的數據

出于經濟安全、社會穩定等方面的考慮，我國法律對某些方面的數據跨境傳輸進行了限制。例如，《網絡安全法》中規定關鍵信息基礎設施的運營者在運營時收集和產生的個人信息和重要數據應在境內儲存。2013年1月21日國務院公布的行政法規《征信業管理條例》第二十四條規定，“征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行。征信機構向境外組織或者個人提供信息，應當遵守法律、行政法規和國務院征信業監督管理部門的有關規定”；2011年1月21日中國人民銀行發布的部門規范性文件《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》第六條規定，“在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息”。

實際上，在數據的紙質存儲時代，國家也有限制數據出境的規定。例如我國《檔案法實施辦法》第十九條第二款規定：“各級國家檔案館館藏的二級檔案需要出境的，必須經國家檔案局審查批準”。如今，隨著檔案的電子化，他們理所當然地也被限制跨境傳輸。

（三）網絡時代的數據傳輸

前述的概念界定中提到，跨境數據流動中的數據是指“用于處理、儲存和檢索的，能夠電子化和進行機讀的數據”。在信息社會全球浪潮的大背景下，目前以云計算、大數據、移動互聯網以及物聯網等新生事物為突出代表的新一代信息技術已得到了廣泛應用并且已明文上升為國務院確定的“國家級新興戰略產業”。①《國務院關于加快培育和發展戰略性新興產業的決定》（國發〔2010〕32號）[EB/OL].2010年10月10日.http://www.gov.cn/zwgk/2010-10/18/content_1724848.htm.以創新為基因與靈魂的新一代信息技術正在以前所未有的速度沖擊現存秩序的藩籬，對現存的互聯網治理規范帶來一系列全新的挑戰，數據的傳輸方式就因信息技術的發展而發生了極大的變化。②吳沈括.數據跨境流動與數據主權研究[J].《新疆師范大學學報》（哲學社會科學版）.2016年9月第37卷第5期.

我國現行的《檔案法實施辦法》于1999年修訂，其中規定，若各級國家檔案館以及機關、團體、企業事業單位、其他組織和個人需要攜帶、運輸或者郵寄檔案出境，必須經省、自治區、直轄市人民政府檔案行政管理部門審查批準，海關憑批準文件查驗放行?？梢姰敃r大部分的數據跨境轉移還是在特定方之間通過物質存儲媒介傳遞來實現。如今，技術革新與社會沿革已徹底打破了傳統的數據跨境轉移的模式，通過互聯網進行電子數據的傳輸已經成為數據轉移的主流方式。因而本文中的數據傳輸，既包括電子數據的傳輸，包括了特定方之間的對接傳輸、一方訪問另一方的云端數據庫或服務器獲取數據以及第三方訪問云端數據庫或服務器獲取數據；又包括電子數據實體載體的跨境傳輸。

二、限制數據跨境傳輸的國際規制差異

表1. 世界范圍內數據本地化立法情況③Albright Stonebridge Group. Data localization, A Challenge to Global Commerce and the Free Flow of Information[R].Sept,2015.

沖突來源于差異，正是因為不同國家對數據跨境傳輸的限制主體、數據類型以及規制模式存在差異，才導致了傳輸過程中沖突的產生。目前在國際上存在幾種主流的規制模式。下表摘自Albright Stonebridge Group咨詢公司于2015年9月發布的一份報告，比較全面地呈現了近年來世界范圍內數據本地化（data localization，即將數據儲存在本國境內）立法的層級和情況。

（一）主要司法區的不同規制模式

1.歐盟

即將于2018年生效的《一般數據保護條例》（GDPR）第五章規定了跨境傳輸的有關規范。雖然曾經的《數據保護指令》（EC Directive 95/46, 將被GDPR廢止）規定了數據自由流動的原則，禁止成員國以個人數據保護為借口，阻礙數據的自由流動。①姚朝兵.個人信用信息隱私保護的制度構建— —歐盟及美國立法對我國的啟示[J].《理論與探索》.2013年第3期.但《指令》和GDPR都對跨境傳輸作出了限制。

GDPR規定，向第三國傳輸數據的條件之一是歐盟委員會對該國作出“充分保護認定”(adequate decision)。充分保護認定是歐盟委員會在考察幾項具體事項后，認定一國能夠充分地保護數據。考察因素包括法治水平、人權保護水平、獨立監管機構的有效運行、參與的國際條約等。歐盟委員會作出充分認定后，將對該國至少每四年做一次審核。在沒有充分認定的基礎上，只有當數據控制方或處理方能夠證明其采取了合理保護(appropriate safeguards)時才可向第三國傳輸，其中包括有約束力的公司規則(binding corporate rules)。第四十九條規定了一些可以在不具備上述要求的情況下跨境傳輸的例外情況，包括數據主體的明確同意、為公共利益考慮等情形。

以上可以看出，在內部立法層面上歐盟對數據的跨境傳輸并不從根本上進行禁止。有關“充分保護”的認定由歐盟委員會掌握。與中國《網絡安全法》第三十七條中“因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”的規定略有相似。在將來中國的數據傳輸的安全評估體系中，對充分保護的類似認定也可能會作為考量因素之一。

2.美國

在個人數據方面，美國確實沒有類似必須存儲在本地或對跨境傳輸加以限制的法律層面的明文規定。相反，美國一直在反對數據本地化的立法趨勢，甚至有學者將其稱之為“數據貿易保護主義”（data protectionism）。②Testimony of Robert D. Atkinson on International Data Flows before the House Judiciary Committee Subcommittee Courts.Intellectual Property and the Internet. p11.2014年，美國貿易代表辦公室（USTR）發布了年度《對外貿易壁壘報告》，報告提到加拿大英屬哥倫比亞?。˙ritish Columbia）和新斯科舍省（Nova Scotia）的數據本地化立法使學校、醫院、國有公用企業和公共機構無法使用美國企業提供的服務，③USTR. 2014National Trade Estimate Report on Foreign Trade Barriers[R].https://ustr.gov/sites/default/files/2014%20NTE%20Report%20on%20FTB.pdf.阻礙了美國的出口貿易。

但是，這并不意味著美國對數據的跨境流動毫無限制。在美國的外資安全審查機制中，對于國外網絡運營商通常會要求其與電信小組（Telecom Team）簽署安全協定，要求其國內通信基礎設施應位于美國境內，將通信數據、交易數據、用戶信息等僅存儲在美國境內。④石月.國外跨境數據流動管理制度及對我國的啟示[EB/OL].http://gb.cri.cn/42071/2015/07/23/6611s5041096.htm.電信小組并非按照法律建立和行事，審查內容無法從公開途徑查詢。電信小組從上世紀90年代中期開始出現，在“9·11事件”出現后得以進一步發展和加強，由司法部、國防部、國土安全部以及FBI組成。⑤蔡雄山.2016年中國企業國際化法律風險管理報告[R].

因此，在法律層面上美國并不限制數據的跨境自由流動。但在外資安全審查機制中，美國仍然會對進入基礎設施市場的外資所掌握的數據加以流動上的限制。此外，美國對軍用和民用相關行業的技術數據的跨境實施許可管理。依據其《出口管理條例》（EAR）和《國際軍火交易條例》（ITAR）分別對非軍用和軍用的相關技術數據進行出口許可管理。提供數據處理服務的相關主體或者掌握數據所有權的相關主體在數據出口時，必須獲得法律規定的出口許可證。

3.中國

(a) 法律

我國并沒有一部專門規制數據跨境傳輸的法律，有關數據跨境傳輸的規定散見于《網絡安全法》、《保守國家秘密法》、《國家安全法》、《檔案法》、《出入境管理法》和、《刑法》等法律。

《網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定?！?/p>

《保守國家秘密法》第二十五條規定：“機關、單位應當加強對國家秘密載體的管理，任何組織和個人不得有下列行為：（四）郵寄、托運國家秘密載體出境；（五）未經有關主管部門批準，攜帶、傳遞國家秘密載體出境?！钡诙鶙l規定：“禁止非法復制、記錄、存儲國家秘密。禁止在互聯網及其他公共信息網絡或者未采取保密措施的有線和無線通信中傳遞國家秘密。禁止在私人交往和通信中涉及國家秘密?！鄙鲜鰞蓷l對國家秘密的傳輸作出嚴格限制。

《國家安全法》則從“國家網絡空間主權、安全和發展利益”角度對數據的安全可控做出規定。《檔案法》中對“檔案”進行明確等級劃分，并對檔案的跨境傳輸分級進行規制?！冻鋈刖彻芾矸ā穭t規定：“對外國人非法獲取的文字記錄、音像資料、電子數據和其他物品，予以收繳或者銷毀，所用工具予以收繳。”《刑法》分則專章規定“危害國家安全罪”，第一百一十一條為“為境外竊取、刺探、收買、非法提供國家秘密、情報罪”。

(b) 行政法規

少量行政法規如《保守國家秘密法實施條例》、《國家安全法實施細則》以及《征信業管理條例》等對數據的跨境傳輸或者本地化存儲作了明確規定。

(c) 部門規章

部門規章對跨境數據傳輸或數據本地化的規定主要包括《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》、《寄遞服務用戶個人信息安全管理規定》、《網絡預約出租汽車經營服務管理暫行辦法》、《檔案法實施辦法》等。

綜合以上可以看出，我國現行法律法規中沒有對數據跨境傳輸進行清晰界定，對于數據跨境傳輸的規制并不系統，數據保護的側重性較強。但值得關注的是，2014年2月27日，中央網絡安全和信息化領導小組成立，這體現出決策層對網絡安全的高度重視。近期我國網絡安全相關立法進程加快，隨著立法的不斷完善，我國對于數據的保護也將不斷加強。

（二）原因

以上三個國家（地區）對數據傳輸規制的不同，大體可以歸結為以下三個原因：

一是保護數據安全。隨著互聯網的蓬勃發展，各個行業對于互聯網的依賴逐漸加深。在互聯網為全球帶來便利的同時，網絡攻擊、數據泄露等問題也隨之而來。為了應對此類問題，各國在網絡安全領域出臺立法，其中數據本地化作為許多國家保護網絡安全的手段體現在了法律之中。

歐盟認為美國的個人數據保護體系過于松散，無法對傳輸至美國的個人數據提供有效的保護。甚至有學者將美國稱為數據保護的“狂野西部”（wild west），是一個法外之地。①Mulvenon, James and Abraham Denmark (2010). Contested Commons: The Future of American Power in a Multipolar World.http://www.cnas.org/ fi les/documents/publications/這種對美國保護體系的不信任感在 “棱鏡門”事件曝光后加劇，間接導致了《安全港協議》被法院判決無效。

中國《網絡安全法》中明確規制范圍為“關鍵信息基礎設施”的運營者和管理者，其背后原因在于一旦此類基礎設施遭到攻擊，將導致國家、社會公眾安全或利益受到嚴重損害。其他國家如澳大利亞、加拿大等僅在特定領域如醫療、電信、金融中對數據的跨境傳輸進行限制，原因也是這些基礎領域的網絡安全對國家、社會的發展至關重要。

二是憲法基礎不同。作為一國根本大法，憲法對整個國家的法律體系起決定性的作用。法律的立法目的、具體條文應與憲法精神相吻合，不得與憲法抵觸。因此，不同國家的法律規定存在的差異，其根源也可追溯至憲法條文的不同。

歐盟作為經濟共同體，其本身不是一個主權國家，因此無法制定憲法。但作為綱領性文件，《歐洲人權公約》（Convention on Human Rights）在一定程度上也具有憲法的性質。公約第八條“尊重隱私和家庭生活權”規定，人人有權享有使自己的私人和家庭生活、家庭和通信得到尊重的權利。公權力機關不得干預上述權利的行使。由此可見，隱私權作為一項基本權利寫進了憲法性質的公約之中。這為歐盟出臺嚴格的數據保護條例、指令和政策提供了法理上的基礎。1995年歐盟實施《數據保護指令》，第一次將隱私權這一基本權利落實到互聯網時代的“數據”概念中。而根據歐盟的規定，指令雖不具有直接適用的普遍效力，但各成員國應參照指令指定本國國內法。而近期通過的GDPR，則直接以條例這一有約束力的法律形式納入到歐盟隱私保護體系之中。

美國憲法于1789年通過，至今已有200余年的歷史。盡管憲法第四修正案規定了“人民的人身、住宅、文件和財產不受無理搜查和扣押的權利，不得侵犯”，從一定程度上保護了公民的隱私，但隱私權卻從未被確立為憲法權利（constitutional right）。當然，美國也非常重視公民隱私權的保護。除判例外，美國還制定了多部成文法保護公民隱私權。如1970年《公平信用報告法》、1974年《隱私權法》、1974年《家庭教育權與隱私法》和、1978年《財務隱私權利法》等。

然而，科技的發展使得隱私權的保護越來越難以實現。在面臨這個選擇困境前，美國卻更傾向于以技術發展帶動隱私保護。在互聯網時代，美國重視技術發展的政策尤為明顯。2014年5月，美國總統執行辦公室（Executive Of fi ce of the President）發布2014年全球大數據白皮書（Big Data: Seize Opportunities, Preserving Values）。從白皮書所代表的價值判斷來看，美國政府更為看重大數據為經濟社會發展所帶來的創新動力，對于可能與隱私權產生的沖突，則以解決問題的態度來處理。①李明.“大數據時代”的美國隱私權保護制度[EB/OL].http://www.china-cloud.com/yunjishu/shujuzhongxin/20141210_44162.html.

因此，憲法中隱私權的確立，既決定也反映了一個國家的整體價值取向。根據美國商會的研究顯示，GDPR的實施將導致歐盟整體GDP降低0.8%到1.3%。②Bauer, Matthias (2013). The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data,Moving Commerce[EB/OL].https://www.uschamber.com/sites/default/files/documents/files/020508_EconomicImportance_Final_Revised_lr.pdf.歐盟在這種形勢下仍然選擇嚴格的數據傳輸限制模式，其部分原因可能包括對隱私權這一基本權利的高度重視。

三是經濟原因。美國和其他國家不同之處在于其信息產業非常發達。世界上最大的IT產品生產商和服務提供商均是美國公司。截止2010年，美國企業占據全球IT產業26%的市場份額。③National Science Board (NSB). Science and Engineering Indicators 2012, (NSB, 2012). appendix table 6-13.在全球前20家云計算服務提供商中，17家的總部位于美國。而數據的自由跨境流動對 IT行業的發展至關重要。根據美國國際貿易委員會（International Trade Commission, ITC）的預估，降低信息跨境傳輸的門檻可以使美國提升0.1%到0.3%的GDP。④United States International Trade Commission.Digital Trade in the U.S. and Global Economies.

美國近年來不斷在雙邊條約中推行數據自由貿易政策，其目的也是為了保護美國信息產業的蓬勃發展，以鞏固美國的綜合國力。此外，由于美國的強勢地位，其接受了來自世界各地的大量數據。

而相比之下，歐盟、澳大利亞、俄羅斯和中國等國家（地區）的信息產業則沒有美國發達。但許多國家（地區）也都意識到了這一領域的發展潛力。例如在中國，互聯網經濟的重要意義日益凸顯。在超6億的網民數量前，網絡技術的迭代式發展和互聯網公司的創新應用，讓互聯網經濟成為拉動消費需求的重要力量。數據顯示，互聯網經濟在中國GDP中的占比持續攀升，2014年達到7%，占比超過美國。①中國進入互聯網經濟新時代[EB/OL]. http://news.qq.com/a/20151210/023421.htm.

為了發展信息產業，歐盟于2015年5月6日正式通過了單一數字市場 （Digital Single Market）決議。決議中的主要措施包括：

1.統一市場，降低包裹運輸費用，讓跨國界的電商交易更便捷；結束歐盟國家之間的地域價格歧視；建立泛歐的版權法；2.完善歐盟的電信行業規則和視聽媒體行業框架；3.促進數據在歐盟內免費自由流通，建立“歐洲云” （European Cloud）計劃，這將使歐洲170萬科研人員和7000萬科技從業者受益；4.加強各國政府間電子信息的共享（e-government）， 預計每年能節約50億歐元的信息成本。②“脫與不脫”？假如英國退出歐盟，對信息產業有何影響？[EB/OL].https://www.huxiu.com/article/153378.html.

歐盟一向支持數據在成員國之間自由流動。1995年《數據保護指令》對這一問題有專門規定。其目的自然是為了促進內部貿易，以保證歐盟內部單一市場的經濟穩步增長。從政治經濟學的層面分析，面對美國企業的市場份額壓力，歐盟、俄羅斯等國出臺的限制數據流動政策有一部分原因可能是為了保護內部市場的信息產業發展。

然而無論是出于何種原因，各國之間不同的規定勢必會為不同企業，特別是跨國企業的運營帶來諸多風險與挑戰。

三、數據跨境傳輸需求與限制之間的沖突

如前所述，跨境數據傳輸是企業在國際經濟貿易中的業務需求，而基于國家主權、國家安全、經濟發展和個人隱私等方面諸多考慮，國家會在不同程度上對數據的跨境傳輸進行限制（或稱為保護）。如此，需求與限制之間便產生沖突。實踐中，需求與限制之間已經在以下一些情形下發生了沖突：

（一）為開展經營活動向境外傳輸數據

為開展經營活動向境外傳輸數據的情形大量出現在跨國公司的經營過程中，幾乎可以說是一種常態。

從貿易帶動信息流動的角度來看，第一，中國自2012年起已超越美國成為了全球最大的貿易國，截至2012年底，全球有128個國家的最大貿易伙伴是中國；③耿晨.個人數據跨境流動的國際監管和合作制度研究[D].華東政法大學.第二，選擇在中國設立機構的跨國公司也為數不少，上海作為中國大陸投資性公司和跨國公司地區總部最集中的城市，截至2013年6月底，累計已有外商設立投資性公司275家，跨國公司地區總部424家、研發中心359家；第三，電子商務發展正進入黃金時期，截至2013年底中國電子商務市場交易規模達10.2萬億，同比增長29.9%。④耿晨.個人數據跨境流動的國際監管和合作制度研究[D].華東政法大學.2013年8月底，國務院正式發布《關于實施支持跨境電子商務零售出口有關政策的意見》，將大力促進跨境電子商務快速發展正式列為國家目標。在此背景下，我國需要進一步促進信息的自由流動以維持良好的貿易勢頭和經濟發展。⑤耿晨.個人數據跨境流動的國際監管和合作制度研究[D].華東政法大學.

數據跨境自由傳輸的另一端是所謂的“數據主權”?；ヂ摼W使得國際交流的越發順暢，但是交流不可能毫無邊界，在此情況下，主權的內涵和外延都隨著技術進步而擴充，有學者則順應該趨勢提出了“數據主權”的概念。齊愛民教授將捍衛數據主權上升為一種原則，即數據主權原則——對內體現為一國對其政權管轄地域內任何數據的生成、傳播、處理、分析、利用和交易等擁有最高權力；對外表現為一國有權決定以何種程序、何種方式參加國際數據活動，并有權采取必要措施，以保障本國的數據權益免受其他國家的侵害。①齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則[J].《蘇州大學學報》(哲學社會科學版).2015年第1期.第67頁.

我國《網絡安全法》第三十七條從儲存和提供兩個方面對重要數據進行鎖定，從而也對數據跨境傳輸進行鎖定，可以說是我國“數據主權”的具體體現。

（二）為配合境外監管向境外傳輸數據

實踐過程中，國外監管機構履行監管或者調查職能時，可能要求在華經營企業提供特定類型數據，但如果中國法律法規規定該類特定資料屬于不可披露或者限制跨境傳輸的數據，那么國外監管機構履行職能的行為便會和中國法律法規發生沖突。對此，典型案例為美國證監會要求五家會計師事務所提供中國在美上市公司審計底稿一案。

2012年12月3日，美國證監會向法院提起訴訟，指控德勤、安永華明、畢馬威華振、普華永道中天四大會計事務所中國所以及一家名為立信大華的會計師事務所拒絕向美國證監會提交中國客戶的審計底稿和相關工作文件，以配合調查在美國涉嫌欺詐被退市的中國概念股。②財經網.索要工作底稿遭拒 “四大”被美國證監會起訴[EB/OL].http:// fi nance.caijing.com.cn/2012-12-05/112334386.html.

美國《薩班斯-奧克斯利法》第106節規定，如果外國會計師事務所發表了意見或提供其他實質性服務，注冊會計師事務所基于此簽發了全部或部分審計報告，該外國會計師事務所將被視為已同意當該審計報告受到調查時，向委員會或 SEC 提供其與此相關的工作底稿。③百度文庫.薩班斯-奧克斯利法.[EB/OL]http://wenku.baidu.com/link?url=aNyV9clKZJdnzo3cBg-2ccuZpzwXHQ6HlioDx Boij7xbwmooRJfoxYghup2A0MDnS9LVZXrpMbTM208J1YHP-SYxLluMKkXu9OQ3wKGZ2Fy.過去幾年，中國概念股頻頻遭到“獵殺”，美國證監會也開始對這些公司的財務、資信情況展開調查，并要求承擔這些公司上市審計工作的會計師事務所配合調查，提交審計工作底稿。

另一方面，我國《會計檔案管理辦法》第六條規定，會計憑證（包括原始憑證和記賬憑證）應當進行歸檔，也就是形成會計檔案；第二十五條規定，單位的會計檔案及其復制件需要攜帶、寄運或者傳輸至境外的，應當按照國家有關規定執行。我國《檔案法實施辦法》第十九條對檔案出境進行了嚴格的規定，即一級檔案嚴禁出境，二級檔案出境必須經國家檔案局批準，三級檔案及其他國家、集體、個人所有的檔案或者具有保密價值的檔案出境，必須經省、自治區、直轄市人民政府檔案行政管理部門審核批準。綜合上述可以看出，我國實行的是底稿保密制度，即審計底稿的跨境傳輸必須經檔案部門批準。此外，國家證監會、保密局、檔案局在《關于加強在境外發行證券與上市相關保密和檔案管理工作的規定》，明確要求在境內形成的工作底稿等檔案應當存放在境內；如果工作底稿涉及國家秘密、國家安全或者重大利益的，不得在非涉密計算機信息系統中存儲、處理和傳輸；未經有關主管部門批準，也不得將其攜帶、寄運至境外或者通過信息技術等任何手段傳遞給境外機構或者個人。

除了以上所述的典型案例之外，在反壟斷調查過程中也會存在執法機構調查與外國數據保護規定相沖突的情形。例如，某跨國公司在中國區遭到反壟斷執法機構調查，中國反壟斷執法機構要求訪問其境外服務器以收集證據時，該跨國公司會提出國外法律限制其服務器中的數據被跨境傳輸。

（三）為應對境外訴訟向境外傳輸數據

如今中國企業林立于世界，經營過程中難免會與其他組織或個人發生糾紛。若企業涉訴，不可避免地需要向法院提交資料，甚至需要將資料進行披露，如美國便有“證據開示”程序，在這一程序階段，訴訟雙方，有時還會有外部專家，甚至是非訴訟方都會主動或被要求向對方披露與訴訟標的相關的文件和其他資料。④財新網.“證據開示”程序——中國公司在美訴訟教訓[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.若這些資料包含不可披露或限制跨境傳輸的數據，企業未經批準就進行開示披露，便會面臨較大法律風險。

2011年7月，InterDigital在美國國際貿易委員會（ITC）及聯邦地區法院指控中興通訊等企業侵犯其專利，要求啟動337調查并發布排除令，禁止被訴公司在美國銷售3G移動設備。2013年12月20日，就InterDigital訴中興通訊等專利侵權一案，美國ITC行政法官做出最終裁定，中興通訊沒有違反337條款，不侵犯原告起訴七項中的六項專利權，其余一項也被認定為專利無效。①中興通訊美國337調查終裁獲勝 IDCC 7項專利全“覆沒” [EB/OL].http://www.zte.com.cn/cn/press_center/news/201312/t20131220_415098.html.在該案中，中興通訊遵守了相關數據的限制跨境傳輸的有關規定。

四、數據跨境傳輸需求與限制之間的協調

數據跨境傳輸需求與數據保護或限制的平衡是國家頂層設計和政策實施需要考量的重要內容。對企業而言，尤其對于跨國企業而言，大數據時代下，在數據跨境傳輸需求和數據保護中尋找平衡點重要性不言而喻。筆者試從沖突的主要表現形式入手，分析企業協調數據跨境傳輸需求與數據保護的方式。

（一）經營活動中的協調

我國《網絡安全法》已經通過并將于今年6月1日正式實施。這是我國第一次在法律層面上對于數據跨境傳輸作出限制。企業應審慎對待《網絡安全法》所帶來的法律風險，并以合理、合法的措施維護自身因數據應用而帶來的商業利益。

1.密切關注《網絡安全法》的后續實施

《網絡安全法》授權國務院對關鍵信息基礎設施的具體范圍和保護辦法進行制定，目前雖尚未從公開渠道獲取國務院在此方面的制定動向，但可以預見相關規范會在不遠的將來相繼出臺。企業應對相關規范的制定與實施進行密切關注，并可在必要時通過合法途徑提出合理建議和意見。此外，《網絡安全法》還授權國家網信部門和國務院有關部門就因業務需求確實需要向境外傳輸時進行安全評估，安全評估的相關依據文件相信也在制定當中，企業應當一并予以高度關注。

2.數據儲存本地化

雖然有研究表明，數據安全并不取決于數據在何地儲存，而在于儲存技術和方法，②Daniel Castro, The False Promise of Data Nationalism[J], The Information Technology and Innovation Foundation, Dec. 2013.但《網絡安全法》第三十七條明確提到，關鍵信息基礎設施的運營者收集的重要信息應當儲存在境內。企業應當將存儲數據的物理設備置于中國大陸境內，并與境外的設備進行一定的隔離；對于在云端儲存數據的企業而言，也需要采取一定的本地化措施。

3.建立企業內部數據安全評估機制

《網絡安全法》第三十七條規定，因業務需要，確需向境外提供（數據）的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。除此之外，《網絡安全法》還規定了關鍵信息基礎設施的運營者采購網絡產品和服務涉及國家安全時須通過國家安全審查、每年至少一次的網絡安全檢測評估等義務。筆者的建議是，企業應當及時建立、完善自身的數據相關安全評估機制，在相關部門安全評估之前先對涉及數據安全的行為進行自我評估。

除《網絡安全法》的有關規定以外，企業還應遵守其他涉及數據跨境傳輸的相關法律、法規及政策。

（二）配合監管中的協調

1.美國證監會起訴五家會計師事務所案件相關進程

2014年1月23日，美國證監會行政審判法官卡梅倫-埃利奧特（Cameron Elliot）對四大會計師事務所中國所以及立信大華會計師事務所做出初審判決：暫停其在美國的審計業務6個月。③沈祎.“四大”會計師事務所在美國被罰的背后[J].《國際市場》.2014年第2期中國證監會新聞發言人鄧舸則對美國證監會暫停全球四大會計師事務所中國所在美業務一事表示遺憾，并希望美國證監會從中美證券監管合作大局出發，作出正確的判斷，促進事態得到妥善解決。①中國會計視野.證監會回應暫停四大中國分支在美業務[EB/OL].http://news.esnai.com/2014/0125/98912.shtml.2014年2月12日，四大會計師事務所中國所就美國證監會的裁定正式提出上訴。經過一年的談判，2015年2月7日，四大會計師事務所中國所與美國SEC達成和解。②中國會計視野.四大中國所與SEC和解恢復審計資格[EB/OL].http://news.esnai.com/2015/0207/110878.shtml.

在案件進行的同時，中美兩國證監會也在進行持續溝通。據人民網2013年7月9日報道，應美國證監會、美國公眾公司會計監察委員會提出的協查請求，證監會調取了相關在美上市中國概念企業的會計底稿，目前已完成一家公司的會計底稿搜集工作，并已經履行完相關程序，將通知美方準備提供底稿。此舉將有效解決中美跨境審計監管的有關糾紛。③人民網.證監會對境外提供審計工作底稿[EB/OL].http:// fi nance.people.com.cn/stock/n/2013/0709/c67815-22126457.html.這也是中國第一次向美國提供審計底稿。

值得的欣慰的是，經過這次會計底稿案件的沖突，財政部發布了《會計師事務所從事中國內地企業境外上市審計業務暫行規定》，其中對此類沖突的協調機制進行了規定：“中國內地企業境外上市涉及法律訴訟等事項需由境外司法部門或監管機構調閱審計工作底稿的，或境外監管機構履行監管職能需調閱審計工作底稿的，按照境內外監管機構達成的監管協議執行?！?/p>

2015年9月23日，中國證監會發布消息，中國證監會與美國證券交易委員會(SEC)和美國期貨交易委員會，在多邊框架下開展跨境執法合作取得新突破。并且中美雙方在審計日常監管合作方面也取得重要進展，“雙方初步商定，將以底稿‘出境’的方式，對一家中國會計師事務所開展檢查試點，通過試點，探索積極有效的日常監管合作方式。”④中國會計視野.中美審計跨境監管獲得新突破[EB/OL].http://news.esnai.com/2015/0925/120506.shtml.

2.案件啟示

筆者認為，美國證監會起訴五家會計師事務所案件相關進程從兩方面為企業在配合監管過程中協調數據跨境傳輸的沖突提供重要思路：

一是配合監管并不等于一味順從。美國證監會依據其本國法要求五家會計師事務所提供審計底稿，而五家會計師事務所不提供審計底稿的行為也是基于中國法律法規的規定。會計師事務所完善的合規以及遵守中國法律法規的堅決態度，為后續的和解談判和兩國證監會的溝通贏得了空間。

二是企業在境外機構監管過程中若遇到數據跨境傳輸的沖突情形，可積極向兩國相關部門反映并尋求協調途徑。在本案中，中國法律法規并未絕對禁止向境外提供審計底稿，并且《證券法》第一百七十九條第二款規定：“國務院證券監督管理機構可以和其他國家或者地區的證券監督管理機構建立監督管理合作機制，實施跨境監督管理”。正是由于中國證監會了解了案件詳細情況并接受了美國證監會美國公眾公司會計監察委員會提出的協查請求，才有了中國向美國提供審計底稿的首次實踐，美國證監會也因為該原因撤銷了對德勤會計師事務所的起訴。由此可以看出，企業在跨境數據傳輸沖突中能夠為兩國機構的接洽提供重要幫助。

（三）應對訴訟中的協調

美國的證據公示開示要求較為嚴格，訴訟當事方應在知道可能開始訴訟之時起就保存任何可能與訴訟相關的非保密性證據。此外，美國法律通常假設公司對其處理和控制的數據擁有所有權，因此不必擔心證據公示可能會侵犯第三方的隱私權。而歐盟的數據保護法律體系則要求數據主體的權利應當得到充分保障，未經同意不得對外公示。盡管GDPR第九條第2款規定的數據處理原則的例外情形中包括“建立、實施和對抗法律請求”，但實際上這種例外僅適用于歐盟內部的法院審理的法律糾紛。⑤Seth Berman. Cross Border Challenges for e-Discovery[J].11Bus. L. Int'l 1232010

對于其他國家禁止向他國提供證據的抵觸法（blocking statute），美國最高法院在1987年的Socidti NationaleIndustrielle Aerospatiale v. United States一案中作出判決，判定即使證據公示會導致外國訴訟當事方違反其本國的抵觸法，美國法院也可強制要求其提交相應證據。

涉及在美訴訟的中國公司需要熟悉美國的證據開示所涉及的范圍，并悉心考量其自身的處境及應對措施。中國公司認為自己可以不受（或可不理睬）美國法律的證據開示規定是不明智的。①財新網.“證據開示”程序——中國公司在美訴訟教訓[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.但是中國公司在面臨證據開示和數據審查時，可以通過多種方式，避免開示不可披露或者限制跨境傳輸的數據。

美國的法庭是否會考慮到中國法律的規定，從而縮小對中國公司適用的證據開示范圍，這取決于諸多因素。這些因素包括中國公司是否在美有經營場所，以及以下一些考量：1）涉及的文件或其他信息對訴訟的重要程度；2）開示請求的明確程度；3）信息是否源自美國；4）是否有獲取相關信息的其他辦法；5）不提供資料會在多大程度上損害美國的重大利益，以及開示會在多大程度上影響信息所在國的自身利益。②財新網.“證據開示”程序——中國公司在美訴訟教訓[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.在應對訴訟的過程中，企業可依照以上因素，對預開示的材料進行分析，在不影響訴訟的情況下，盡可能明確證據開示的范圍、排除不必要開示的證據、尋找可替代的數據或者數據來源，以避免開示不可披露或不可跨境傳輸的數據。

針對外國法院對中國公司提出的證據開示要求，筆者建議中國公司應當：

1） 明確涉案數據的種類以及相應的中國抵觸法規定。針對限制跨境傳輸的數據，企業在應訴前和應訴時都需要和國內相關部門進行有效溝通，并獲得跨境傳輸數據的批準。針對用戶個人數據，企業需提前征得用戶的同意，并在中國境內對可識別到個人的信息進行保密處理；

2）明確該外國法院是否對涉案數據有管轄權；

3）積極向外國法院申請保護令以限制公示的數據范圍；

4）積極與對方律師或代理人進行庭外溝通以縮小申請公示的數據范圍。

五、結語

隨著信息技術的飛速發展以及各國在數據保護立法方面的不斷完善，數據跨境傳輸可能引發更多的國家間相關法律規定和實際需要的沖突。這種沖突可能使跨國企業進退維谷，微觀而言影響企業的穩定運營，宏觀而言影響國家經濟的健康發展。因此，在《網絡安全法》的后續法規和相關政策制定的過程中，相關部門應當預見到未來在數據跨境傳輸方面的潛在沖突，并適當在實體和程序方面規劃沖突協調機制。

此外，在數據跨境傳輸的沖突協調方面，美歐之間關于個人信息保護的安全港以及后續的隱私盾安排，為其他國家提供了解決數據跨境傳輸的范例。當然，在雙邊或多邊貿易協定中也可以安排相似的協調機制。

在經濟全球化的今天，數據跨境傳輸的需求是永遠存在的，與此相伴的沖突也可能永遠存在。對于企業而言，應時刻注意自身的合規制度建設，在任何情況下都不得違反國家的有關規定。但同時也應密切關注法律、法規及相關政策的制定與落實，通過合法的渠道為國家整體的網絡安全、數據保護法律體系建言獻策；對于立法機構而言，應意識到數據傳跨境傳輸對于一國的信息產業乃至互聯網時代的國民經濟發展具有的重要意義。對于涉及國家、社會公眾安全及利益的數據應嚴格保護，而本地化儲存的確是一種有效的保護手段。對于其他數據應在保護數據主體的相關權益的前提下，允許一定程度上的自由傳輸。我國的網絡安全法律體系才剛剛起步，未來還需各方共同努力，為我國網絡強國的建設不斷奮斗。

（責任編輯：鐘宇歡）

International Con fl icts and Coordination of Limiting Cross-border Data Flow

DENG Zhi-song, DAI Jian-min

The Cybersecurity Law of the People’s Republic of China will take effect on 1June 2017, Article 37of which is China’s first provision to limit cross-border data flow from the perspective of law. There are quite a few similar provisions in the world, but each country’s modes of regulation are different and are in a tense and conflicted relationship.The international conflicts of limiting cross-border data flow posed a great challenge to each country’s data supervision and brought risks and uncertainties to the transnational operation of enterprises as well. Based on the comparative study of the status quo of and the reasons behind the difference among modes of limiting cross-border data flow in major jurisdictions, this article discusses possible methods of coordination and China’s appropriate countermeasures.

Cross-border Data Flow, International Conflicts and Coordination, Localization of Data

D922

：A

：1001-4225（2017）07-0093-12