個人數據跨境流動規制的國際格局及中國應對

許多奇

(上海交通大學 凱原法學院，上海 200030)

伴隨著互聯網及經濟全球化進程的不斷縱深發展，數據在社會中扮演的角色日益重要，始于20 世紀60-70年代的數據跨境流動(“Transborder Data Flow”，“TDR”或“Cross-border Data Flow”)，今天已成為全球貿易和投資增長的主要途徑。歐盟和美國出于各自的歷史傳統和現實訴求，創建了個人數據跨境流動規制的兩大立法范式。此兩大范式之間既相互競爭，又相互妥協和融合。構成了國際個人數據跨境流動規制的基本格局。深入探討歐盟和美國立法的內容和成因，剖析其所體現的深層次國家需求和利益博弈，對于完善我國的數據跨境流動規制立法和參與國際規則的制定，都具有重要意義。

一、歐美數據跨境流動的規制體系

(一)歐盟：嚴格限制個人數據跨境流動的規制體系

歐盟關于個人數據跨境流動規制的立法體系主要是由1981年歐洲理事會*歐洲理事會是歐盟建立之前歐洲大陸的小聯合國，成立于1949年，由比利時、丹麥、法國、德國、拉脫維亞、西班牙、瑞典等47個成員國組成。的《公約》、1995年的《歐盟指令》和2016年的歐盟《條例》三個標志性法律文件構成的。

1981年歐洲理事會通過的《與個人數據自動化處理有關的個人保護公約》 (European Treaty Series, No. 108)*Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 28.I.1981.，是歐洲第一個針對跨境數據流動進行規制的區域性法律文件。《公約》還僅僅涉及歐洲成員國之間的數據流動，它規定：對正在或將要被自動化處理的跨境數據轉移原則上是可以進行限制的，成員國可以自行制定有關跨境數據傳輸的限制性規定，如轉移數據的類型等。但公約不允許成員國僅僅基于隱私權保護的考慮，就禁止或以特別許可授權的方式限制數據的跨境轉移(第12條)。可見在這一時期，通過立法克服各國國內法造成的數據流動障礙，積極推動成員國之間的數據跨境共享，以實現歐洲內部市場人員、貨物、勞務、貨幣自由流通的目標，是歐洲理事會進行跨境數據流動規制立法的主要關注點。

鑒于數據跨境面臨的數據未經授權的收集、訪問、使用、披露和篡改的潛在威脅，歐盟逐步開始考慮數據脫離歐盟管轄區的實際風險，數據跨境規制日漸嚴格化。歐盟1995年發布的《個人數據保護指令》(EU Directive 95/46/EC)*Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal L 281 , 23/11/1995 P. 0031-0050.即建立了較高的數據保護標準，其中提出了著名的“充分保護原則”。《指令》第25條規定：只有當數據轉移目的國達到歐盟所認可的充分保護水平的條件下，才可以進行數據轉移，從而確立了歐盟個人在電子商務和借助大跨國公司經營的社交媒體和郵件通信時的隱私權保護規范。歐盟承認的具有充分數據保護能力的國家僅包括加拿大、瑞士、阿根廷等12 個。

為了回應新興技術特別是大數據、云計算、智能終端等對個人數據保護造成的沖擊，建立統一的內部法律框架應對新技術的發展，并克服成員國立法保護水平差異給數據經濟市場發展造成的障礙，歐洲議會和歐盟理事會于2016年4月14日通過了新的個人數據保護法，即《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR)。*REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016.該條例將于2018年5月25日正式生效。GDPR不僅在所有成員國范圍內直接具有法律約束力，而且謀求更大的域外效力，明確規定條例對在歐盟境外處理個人數據的行為也具有適用效力，即向歐盟公民提供服務或在歐盟市場內經營的公司，GDPR都有管轄權。在數據跨境問題上，GDPR增加了更多可實現個人數據跨境轉移的條件，并再次強調歐盟不允許將其公民的個人數據轉移至那些不能提供充分保護的地區和國家。GDPR被稱為史上最嚴格、保護水平最高的數據保護規則。

總之，上述“公約”、“指令”和“條例”三個法律文件的約束力逐漸增強，對個人數據跨境轉移的限制越來越嚴格，充分表明了歐盟希望通過立法的不斷完善保障歐洲共同體整體數據保護水平的訴求，也反映了歐盟希望通過構建“數字單一市場”提升數字經濟競爭力的愿望。*黃寧、李楊：《“三難選擇”下跨境數據流動規制的演進與成因》，載《清華大學學報(哲學社會科學版)》2017年第5期。

(二)美國：通過雙邊或多邊協議強化數據跨境的規制體系

在“得數據者得天下”的新信息時代，對跨境數據的收集和分析是掌握國際經濟動向，促進本國經濟發展的重要方式。據美國國際貿易委員會(ITC) 估計，數據流動使得美國的GDP增加了3.4-4.8個百分點，創造了240 萬個就業*United States International Trade Commission (USITC), Digital Trade in the U.S. and Global Economies, Part 2, August 2014, p.1.。美國基于其信息產業的優勢地位以及對數據自由流動的依賴性，通過多種途徑促進數據跨境，主要作法有以下兩種：

1.與歐盟簽訂雙邊協議，為企業獲得數據跨境傳輸資格。由于美國對于個人數據保護未能達到歐盟要求的“充分保護”水平，美國企業在歐盟開展業務，從事相關的跨境個人數據傳輸與交易活動受到嚴重限制。美國需要找到本國企業可以符合歐盟數據保護指令簡單又高效的辦法；歐盟也考慮到與美國之間經濟聯系密切的現實，在商業利益驅動下，經過漫長的談判，美國商務部與歐盟委員會于2000年11月1日達成了《美歐安全港協議》(U.S.-EU Safe Harbor Framework)。《安全港協議》規定了七項隱私權保護原則：通知原則*通知原則即應當告知個人，他們的數據正在被收集以及數據將如何使用。、選擇原則*選擇原則是指：如果公司計劃將個人數據傳輸給其他公司，或者不同于原收集數據目的而利用該數據時，消費者有權選擇退出；對于敏感性數據，消費者可以在數據傳輸前或為不同于原收集目的使用該數據前，以明示的方式選擇加入。、向前轉移原則*向前轉移原則是指，數據收集機構僅能將數據轉移給遵守這些原則的第三方。、安全原則*安全原則是指，任何持有個人數據的組織應當以合理的注意防止數據流失、濫用及未經授權的接入獲取等。、數據完全性原則*數據完全性原則是指，收集數據應當與使用目的相關，并且確保收集數據的正確性。任何機構不得以不符合收集數據目的之方式進行數據處理。、接入原則*接入原則是指，數據收集機構應當允許個人能夠得到本人數據。如果數據有誤，個人可以修改或刪除數據。和執行原則*執行原則是指，應當存在確保上述“安全港原則”成為數據收集機構所遵守的具體規則之主旨，例如個人向機構追索救濟或法律對違規行為的懲罰。《安全港協定》授權一套雙層執行機制，原則上進行行業自律，如有必要，再由政府執法機構執行。。歐盟委員會認為美國的商業機構只要能夠制定并遵守符合上述安全港原則的隱私保護政策，就可以加入安全港并被認定為達到《歐盟指令》所要求的“充分保護水平”，進而可以接收和處理來自歐盟的個人數據。如果違反一系列隱私原則，歐盟數據保護機構有權中止數據跨境流動。《安全港協議》暫時緩和了歐盟強制規范與美國行業自律之間的矛盾，促進了美國企業在歐洲的發展與擴張。

但是，《安全港協議》的達成無法作為長久的解決方案，因為美歐雙方關于數據隱私保護法律的巨大差異仍然存在。*參見Julia M. Fromholtz, the European Union Data Privacy Directive, Berkeley Technology Law Journal, Vol. 15, 2000, p. 483.歐美數據流動制度不協調的矛盾因斯諾登事件的曝光而更加凸顯，并最終導致安全港協議的失效。2013年，前NSA雇員愛德華·斯諾登曝光大量來自美國情報機構的機密文件，其中不乏對歐洲領導人的監控。而蘋果、微軟等這樣的大型科技公司都有意或無意地參與了NSA的監控行動。2015 年10月6日，在簽訂了15 年之后，歐盟法院( Court of Justice of the European Union (CJEU) 裁定基于商業目的的個人數據在歐盟28個成員和美國之間合法轉移的安全港協議無效，裁定的原因是認為安全港協議目前已經無法達到歐盟的數據保護標準，無法阻止公司將數據文件泄露給未授權方*Communication from the commission to the European parliament and the council on the transfer of personal data from the EU to the United States of America under Directive 95 /46 /EC following the judgment by the Court of Justice in Case C-362 /14.。然而，就在安全港協議失效的一年內，歐美在跨境數據流動創造的商業利益驅使下，于2015年末起重新談判，經過反復磋商和多次修改，于2016年7月12日達成《歐美隱私盾協議》(EU-U.S. Privacy Shield Framework)，成為規制雙方數據流動的新妥協方案。

《隱私盾協議》的核心是對大西洋兩岸跨境轉移個人數據的隱私保護進行規范，為大西洋兩岸的歐洲和美國企業從歐盟向美國傳輸個人數據過程中提供歐盟數據保護規定的合規機制，并支持跨大西洋商業合作的發展。與《安全港協議》相同，美國企業也采取自愿加入的方式接受《隱私盾協議》，也要遵守《安全港協議》提出的七項基本原則；但是《隱私盾協議》克服了《安全港協議》存在的一些缺陷及弊端，對美國公司施加更重的個人數據保護義務，在《安全港協議》七大原則的具體實施上要求美國公司從歐盟進口數據履行更多承諾。此外，《隱私盾協議》強化了監督與實施機制，賦予歐盟公民更豐富的救濟權利和救濟手段：一是它賦予歐盟數據保護機構對數據接收者的第三國的數據保護水平享有充分的調查權，突出強調了公司對隱私盾協議相關質詢回應的及時性；二是確保公司一旦違反了隱私盾的條件就要受到制裁，而不像安全港協議缺乏懲罰性手段。制裁的方式包括對與原則不一致的裁定結果必須公開以及要求在特定條件下刪除數據。對于情節較為嚴重的，如長期不履行隱私盾協議的公司，將被移除隱私盾協議的名單，并勒令他們交回或者刪除此前在協議下收集的個人信息。三是賦予歐盟公民向企業申訴的權利，這意味著歐盟公民首次獲得了依據數據保護規則向美國企業主張權利的途徑。

美歐在個人數據保護方式、思路、宗旨等方面存在著巨大差異，《隱私盾協議》從本質上看，仍然是雙方相互妥協、讓步的產物。從內容來講，它更多地體現出歐盟數據保護制度的最新改革成果，進一步拓展了歐盟在國際規則制定中的影響力。從意義來看，《隱私盾協議》為歐盟和美國企業的商業活動提供了制度支持和保障，進一步加強了對歐盟公民個人數據的保護力度，它還標志性地宣告了公權力對個人權利侵犯應當受到嚴格限制的理念。但是，《隱私盾協議》的程序性規章仍存在走過場、不透明等問題，其宣示意義更大于實質意義。“棱鏡門”事件的曝光者斯諾登就將《隱私盾協議》稱為“說明性盾牌”，美國法律仍缺少對來自歐洲數據的充分保護。*Natasha Lomas, Draft Text of EU-US Privacy Shield Deal Fails To Impress the Man Who Slayed Safe Harbor, Feb. 29, 2016, 參見https://techcrunch.com/2016/02/29/lipstick-on-a-pig/, 2018年3月11日最后訪問。

2.借助亞太區域經濟合作推廣自身模式，爭取數據跨境領域的話語權。與歐盟相比，美國在參與數據跨境流動規制方面少有話語權。隨著全球進入信息社會，美國并不甘心在這一領域處于由其他經濟體制制定規則的地位，它依靠其在亞太地區的政治經濟影響力推動構建有別于歐盟的規則體系，并使之逐漸獲得了執行力與約束力。

亞洲太平洋經濟合作組織(APEC)于2004年通過的“隱私框架”(APEC Privacy Framework)，是亞太地區達成的第一份關于數據跨境流動規制的區域性指導文件。“隱私框架”從促進跨境數據自由流動的思想和目的出發，顯然是美國起主導作用的產物。整個框架都將“促進亞太地區電子商務”作為目標；在“框架”第4章，要求成員經濟體“采取一切合理及適當步驟避免和消除任何不必要的信息流動障礙”；框架多次提及要在隱私保護中發揮“行業自律”的作用，這些都明顯地打上了美國數據規制特征的印記。

經合組織的《跨境隱私規則體系》(Cross-Border Privacy Rules，CBPRs)于2012 年正式啟動，并于2013年通過。CBPRs 是美國加入和支持的數據保護倡議。*參見UNCTAD , Data protection regulations and international data flows: Implications for trade and development , Swizer-land: United Nations Publication , 2016 , p.35 , http:// unctad. Org/ en/ pages/ Publication Webflyer. Aspx ?publicationid=1468, 2018年3月11日最后訪問。它以APEC 隱私框架為基礎，也是旨在確保個人信息的跨境自由流動。不同的是，CBPRs 引入了隱私執法機構和問責代理機構，因而對加入的企業形成了實際的約束作用。*參見黃寧、李楊：《“三難選擇”下跨境數據流動規制的演進與成因》，載《清華大學學報(哲學社會科學版)》2017年第5期。

近年來，美國又將跨境數據流動內容納入自由貿易協定(FTA)談判，以期借助政治經濟實力在這些具有較強約束力的“一攬子”協議中推行自己的數據跨境規則。2012年達成的《美韓自由貿易協定》(U.S.-South Korea Free Trade Agreement)第一次在FTAs電子商務章節引入跨境數據流動規則，其中第15.8條規定，成員方應努力避免對跨境電子信息流動施加或維持不必要阻礙。*United States-Korea Free Trade Agreement, S. Korea-U.S., June 30, 2007, 46 I.L.M. 642 (entered into force Mar. 15, 2012), See Mira Burri, The Regulation of Data Flows Through Trade Agreements, Georgetown Journal of International Law, Vol. 48, No. 1, 2017, p.418.2015 年，在美國主導下達成的《跨太平洋戰略經濟伙伴關系協定》 (TPP) 中也專門引入了“商業信息跨境自由傳輸條款”。在現已公布的電子商務章節中，各成員方承諾在維護特定合法政策目標(如個人信息保護) 的前提下確保數據在全球的自由流動以推動數字經濟的發展。TPP明確規定成員方可以為了實現特定合法公共政策目標而采取限制性措施，前提是“該措施不構成任意或不合理歧視的手段或構成對貿易的變相限制”。*參見黃寧、李楊：《“三難選擇”下跨境數據流動規制的演進與成因》，載《清華大學學報(哲學社會科學版)》2017年第5期。總之，由美國主導將跨境數據流動規則納入自由貿易協定談判，使自己“跨境數據自由流動”的主張和規則在一定條件下為締約國所接受，并具有較強的約束力。

二、個人數據跨境流動歐美兩大規制體系的比較分析

個人數據跨境流動的國際基本格局由歐盟和美國兩大規制體系構成，為了對這一基本格局有更深刻的理解與更準確的把握，有必要在前面分述兩大規制體系立法框架和實踐模式的基礎上，進一步從價值取向、規制路徑和規制結果三個方面對歐美兩大體系作一比較分析。

(一)價值取向：個人數據權保護與數據跨境自由流動

個人數據跨境流動歐美兩大規制體系在價值取向上存在數據權保護與數據自由流動的不同訴求。

歐盟更強調個人數據權的保護，這與歐洲的人權保護傳統有著密切的關系。早在1953年，歐洲理事會就批準了《人權保護及基本自由公約》，即著名的《歐洲人權公約》。在公約列明的權利中，第8條規定了“對隱私及家庭生活尊重的權利”。這種歷史文化傳統使歐洲國家通過立法保護個人隱私處于領先地位，1973年至1984年全球共有13個國家制定了數據保護法，其中就有8個歐洲國家。*參見G. Russell, International Information Policy: Evolution of Transborder Data Flow Issues, p.413. 轉引自黃寧、李楊：《“三難選擇”下跨境數據流動規制的演進與成因》，載《清華大學學報(哲學社會科學版)》2017年第5期。長期以來，歐洲數據保護都是與隱私權相聯系的，通說認為數據權是隱私權的一部分，所謂的個人數據和信息保護不過是從“信息視角”對隱私權的一種解讀。*Gloria Gonzalez Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Springer, 2014, p.214.這也構成歐盟在跨境數據流動規制上的基本立場。

與歐盟將數據權作為一種基本人權，并通過苛嚴的立法提升保護水平的作法不同，美國政府和實務界反對立法規范個人數據處理行為，認為強硬的法律結構會“不可避免地阻礙商業活動”*戴恩．羅蘭德 等：《信息技術法》，宋連斌、林一飛、呂國民譯，武漢大學出版社2004年版，第308頁。，而奉行以市場為主導，以行業自律為中心的個人數據保護政策。這種立場從根本上決定了美國在跨境數據流動上的訴求是更加看重數據自由流動和經濟利益，更希望通過促進數據跨境維護業已建立的信息優勢。在大數據時代，美國更清醒地意識到數據利用意味著價值和機遇，也更透徹地理解促進數據跨境流動對國家利益產生的潛在裨益。為此，它更加重視通過鼓勵數據跨境流動確立和固化“數據占有和利用”的優勢，最大限度地攫取“數據金礦”。

在數據跨境流動的價值目標中，數據自由流動和數據權保護兩者缺一不可。一方面，跨境數據流動在全球的價值創造能力不容忽視，不僅歐美之間有巨大的跨境數據流動需求，而且在全球范圍內一半的服務貿易要依靠跨境數據流動實現；另一方面，不斷提高個人數據權保護水平對于提振消費者對數字貿易的信心有積極作用，也是社會發展進步的必然要求。如何在未來的規則設計中，實現數據權保護與數據自由流動兩大目標的協調，是一個值得深入探討的課題。

(二)規制路徑：“充分性”原則與“問責制”原則

歐盟和美國對跨境數據流動采用了不同的規制路徑，歐盟是“以地理區域為基準”，依據“充分性”原則，進行事前防范的規制路徑；美國則是“以組織機構為基準”,依據“問責制”原則，進行事后問責的規制路徑。

歐盟的規制路徑對于歐盟內部和外部的數據流動采用了不同標準。它通過立法(如1995年的《歐盟個人數據保護指令》)，在歐盟內部確立了禁止成員國借數據保護的名義限制個人數據在歐盟境內自由流動的標準；但卻禁止個人數據轉移到歐盟以外的地理區域，除非歐盟以外的國家政府能夠提供“充分”的數據保護。《歐盟數據指令》還說明了如何認定一國是否提供“充分”數據保護的依據，即通過考察數據傳輸的整體過程來判斷一國相關法律的完備程度和執行情況，此外還要考慮數據的性質、數據處理的目的和期限、數據來源國和傳輸目的國等因素。

美國的規制路徑是在原則上允許數據跨境流動的前提下( 不論數據在何地理位置) ，要求控制數據的機構( 或數據控制者) 確保個人數據在跨境傳輸過程中的安全。亞洲太平洋經濟合作組織(APEC)于2012 年在美國主導下建立的《跨境隱私規則體系》( Cross Border Privacy Rules system，CBPRs) ，就帶有明顯的美國規制路徑的特征。GBPRs 規范的對象是涉及到個人數據跨境傳輸的企業，在“問責制” 的基礎上采用行業自律模式。首先企業要進行自我評估，然后接受問責代理機構評估，若通過評估獲得了CBPRs 認證，即被認可為符合隱私保護標準的企業，并且在認證目錄網站可查，對于違反《APEC 隱私框架》相關條款的企業，由隱私保護執行機構進行問責處罰。

歐美兩種不同的規制路徑和原則反映出對于跨境數據流動規制的兩種不同立場，各有其合理性，也各有其不足。歐盟“以地理區域為基準”、“以充分性為原則”的規制路徑，為數據跨境流動設置了統一的標準，有利于建立穩定的個人數據保護秩序并為個人提供合理的權利預期。但不可否認的是，由于該路徑下的“充分性”認定的高標準和批準程序的復雜性，導致了對于數據跨境自由流動的嚴格限制，很可能對貿易造成不必要的阻礙。美國“以組織機構為基準”，“以問責制為原則”的規制路徑，一方面確定了數據控制機構(數據控制者) 在確保個人數據安全中所應遵守的原則，另一方面規定違反原則所應承擔的責任。政府僅在該組織機構導致了違反義務的結果時事后問責，從而大大減輕了對跨境數據流動的限制。但“問責制”以數據控制機構(數據控制者) 會自覺遵守個人數據保護原則為預設立場，如果某數據控制機構或組織缺乏自覺性，就有可能導致政府或監管者在事前或事中對數據控制機構或組織的失控。

(三)規制結果：超強影響力與提升話語權

從1980年OECD出臺與數據跨境流動相關的規則(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)至今，30多年來，歐盟與美國分別主導構建了兩種迥然不同的跨境數據流動規制體系，深刻地影響了各國的相關立法。

從歐盟體系來看，不僅歐盟成員國將《個人數據保護指令》、《通用數據保護條例》的內容內化為本國數據保護法的具體規定，而且許多非歐盟成員國也按照歐盟數據保護標準提升其國內個人數據和信息保護水平。不少東歐國家如阿爾巴尼亞、玻利維亞、克羅地亞、馬其頓、安道爾等國，甚至俄羅斯聯邦都陸續按照歐盟指令和條例制定或修訂了其個人數據保護法律，以確保國內立法與歐盟規定相一致。*參見Miriam Wugmeister, Karin Retzer , Cynthia Rich, Morrison & Forester LLP, Global Solution for Cross-border Data Transfers: Making the Case for Corporate Privacy Rules, 38 Geo. J. Int’ I L., Springs, 2007, pp.449-498.其他地區，如加拿大、阿根廷、澳大利亞、紐西蘭及我國香港、臺灣及澳門地區都制定了新的個人信息保護法律，以確保涉及個人數據傳輸的國際貿易不至于因不符合歐盟指令而遭到質疑。這些都充分顯示了歐盟在數據跨境流動國際規則制定中的超強影響力。

從美國體系來看，其促進個人數據跨境自由流動的理念與規則不僅對經合組織(OECD)、亞太經合組織(CBPR)的成員國具有指引、勸導等柔性規范的作用，而且通過將自身的跨境數據流動規則融入全球經貿規則體系而獲得較強的約束力，起到一定的剛性約束作用。由此，美國也提升了自己在跨境數據流動國際規則制定中的話語權。

三、我國數據跨境傳輸立法應對

(一)我國數據跨境傳輸立法現狀

在全球經濟聯系日益緊密的今天，越來越多的國家和地區需要進行數據交換，個人數據跨境傳輸變得愈加平凡。中國作為世界第二大經濟體, 有著龐大的跨境數據流動需求，并且發展潛力巨大。據阿里研究院統計，2015 年中國跨境電商交易規模達4.8萬億元，同比增長28%，預計到2020年跨境電商交易規模將達到12萬億元，約占中國進出口總額的37.6%。*曹杰、王晶：《跨境數據流動規則分析——以歐美隱私盾協議為視角》，載《國際經貿探索》2017年第4期。此外，越來越多的中國企業正在成長為全球企業開始“走出去”，加之國家“一帶一路”戰略給跨境電商帶來的廣闊發展空間，數據跨境流動對我國對外貿易及經濟發展有著重大的意義。另一方面，當前迅速普及的云計算、大數據、移動互聯網、智能終端等新技術對隱私和數據安全帶來了新的威脅，我國保護個人信息安全和國家信息安全的現實需求日益強烈。在這一背景下，立足當下個人數據跨境流動規制的國際格局，審視我國相關立法，探討構建我國數據跨境規則的具體路徑，是擺在我們面前的重要任務。

我國在數據跨境流動規制領域起步較晚，近年來政府已開始關注數據跨境傳輸問題，但至今仍沒有獨立的關于數據跨境流動的法律，相關內容散現于各類法律法規、部門規章之中，較為零散。已有法規的內容總體而言是嚴格限制國內數據向境外轉移。其中既限制個人數據，2013年《信息安全技術公共及商用服務信息系統個人信息保護指南》第5．4．5節規定：“未經個人信息主體的明示同意，或法律法規明確規定，或未經主管部門同意，個人信息管理者不得將個人信息轉移給境外個人信息獲得者，包括位于境外的個人或境外注冊的組織和機構”；也限制個人健康和金融信息，2011年1月21日中國人民銀行發布的部門規章《人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》第六條規定：“在中國境內收集的個人金融信息的儲存、處理和分析應當在中國境內進行，除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息”；對于國家秘密，更是嚴格限制出境，非法郵寄、托運國家秘密載體出境，或者未經有關主管部門批準，攜帶、傳遞國家秘密載體出境等行為，都會受到刑事責任的追究( 2010 年《保守國家秘密法》第48 條) 。

2015年8 月19 日，國家層面的《關于促進數據發展的行動綱要》正式通過，為全面推進我國數據發展和應用，加快建設數據強國提供了行動綱要。2016年11月7日，《中華人民共和國網絡安全法》 (以下簡稱《網絡安全法》) 經十二屆全國人大常委會第24次會議通過后正式頒布，于2017年6月起正式實施。作為中國網絡領域的基本法律，《網絡安全法》首次對關鍵信息基礎設施的數據跨境傳輸從法律層面上進行了規制。該法第37條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的，依照其規定。” 該條文在社會上引起了廣泛關注，有學者認為這樣的規定有利于保障我國的國家安全、公共安全和個人的隱私安全;也有專家認為這樣的規定會對貿易產生負面影響，乃至于影響整體經濟的發展。*參見鄧志松、戴健民：《〈網絡安全法〉時代數據跨境傳輸的企業合規挑戰》，載《網絡空間研究》2017年第5期。

(二)我國數據跨境傳輸立法評析

以上列舉表明，我國力圖通過數據本地化留存避免跨境數據可能產生的國家安全隱患和個人隱私風險，效果總的來看是好的，但是我們也應該看到，在數據跨境流動作為經濟引擎的環境下，這種保護措施可能加劇信息不對稱現象，從而影響我國的國際競爭力。因為苛嚴的跨境數據流動限制，可能使某一市場被孤立或者受到局限，本國相關企業難以參與到國際化的競爭，消費者也無法享受全球規模帶來的好處，給經濟發展帶來負面影響。*高山行、劉偉奇：《數據跨境流動規制及其應對——對〈網絡安全法〉第三十七條的討論》，載《西安交通大學學報(社會科學版)》，2017年第2期。而且當一國實施較為嚴格的數據跨境流動限制后，其他國家出于對等原則也可能采取相似的跨境流動限制。對于數據跨境流動限制可能帶來直接的經濟損失，來自歐盟的一份公告指出，如果我國的數據本地化策略得到全面的實施，可能減少GDP的1.1%、推動中國出口和長期增長的境外對我國直接投資的1.8%和出口的1.7%。*Bert Verschelde, the Impact of Data Localisation on China’s Economy, ECIPE Bulletin No. 07/2014, p.3. 參見 http://www.ecipe.org/app/uploads/2014/12/ECIPE_bulletin714_dataloc_china.pdf, 2018年3月11日最后訪問。因而，如何平衡加強國家安全防范和個人信息保護與促進跨境數據流動的關系，是我國數據跨境流動規制立法需要解決的難題。

(三)數據跨境流動規制國際格局下我國的應對路徑

目前全球跨境數據流動的統一規則尚未形成，現有規則主要以歐美為首的發達國家引領。在這一國際格局下，我國的應對路徑是：

1.完善數據跨境流動立法，提升法律的可操作性。不論是歐盟范圍內還是歐盟與美國之間已經實現的數據跨境流動，都是在一定法律框架或相關規范下進行的，我國的數據跨境流動也需要完善的法律制度提供保障。然而，我國個人信息保護層面上的數據法制缺位，關涉商業秘密或國家安全的商業數據或政府數據方面的法制也一樣闕如。現有的數據跨境流動和個人數據保護的立法不僅不成系統，還缺乏可操作性。比如2017年6月1日起施行的《中華人民共和國網絡安全法》首次對關鍵信息基礎設施的數據跨境傳輸從法律層面上進行了規定，但卻未明確關鍵信息基礎設施的具體范圍和保護措施，只是授權國務院制定。因此后續國務院應當加快推進與網絡安全法相配套的法規制定。

法治國家精神要求跨境數據流動的規范與約束，須有法可依。科學合理的規范體系，能夠為數據跨境流動提供依據和保障。筆者的具體建議：一是在后續配套法規中，對不同類型的數據采取不同的管理方法。對于涉及國家秘密、國家安全以及經濟安全的數據嚴格禁止跨境，要求必須在境內的數據中心存儲和處理； 對于政府和公共部門掌握的其他數據實施跨境數據流動的條件限制，例如要進行安全風險評估；對普通的個人數據則允許跨境流動，但要滿足安全管理要求，可采用問責制、合同干預等形式進行管理。國家依法采取措施對承載著不同利益層次和位階訴求的數據流動予以規范和約束，妥善規定禁止和限制數據跨境流動的范圍和標準，減少其對經濟和技術發展的阻礙，從而在安全和經濟發展之間謀求平衡，達到在保護本國個體、社會和國家利益的同時也能實現數據跨境流動與分享的理想狀態。二是加強立法的科學性和可操作性。只有通過科學立法以明確可跨境流動數據的類型、范疇、處理方式、保護措施、風險防范等要素和內容，才能既為數據的跨境流動合法與否提供判斷依據，增強行為的可預見性；也為國家對數據的跨境流動規制提供審查或執法依據，確保數據分享的安全性。

2.提高企業的合規遵從性，推進行業自律制度建設。企業是社會的主要組成單元，企業對數據、信息安全法規遵從義務履行的成熟度是衡量社會整體數據、信息安全保障水平的重要標尺。由于大量的數據涉及到國家安全、基礎設施狀況和個人隱私等信息，掌握數據的企業有義務保障其控制范圍內數據的安全，防止數據泄漏損害國家利益及侵犯個人隱私。在跨境問題上，企業還面臨國內外公權力機關依本國法所提出的數據要求，如歐盟通過標準合同或約束性企業規則要求數據轉移者承擔數據轉移安全的直接責任。在這一背景下，企業應從構成IT 社會一員的立場出發，從公司法人治理的高度，將數據、信息安全注入企業文化，形成企業內部人員上至總裁下至普通員工，都以自覺遵從保護個人數據、信息安全的國家法律法規以及企業規章制度為榮；以不履行保護義務的行為為恥的良好風氣。

規制跨境數據流動，除了通過完善立法和加強政府監管外，還應依靠行業自律制度。各行業應根據自身特點確立行業保護個人數據、信息安全的保障義務，并通過行業規章、標準等予以具體落實。規制跨境數據流動的行業自律制度的主要內容應包括：企業是否審慎保管其掌控的數據？是否采取了足夠的安全保障措施？企業對內部員工行為是否有及時的培訓和全面的安全紀律？對跨境數據，轉出企業是否充分尊重數據主體的意志或知情權？是否足夠了解數據后期的存儲使用情況及安全保障情況？數據接收國對本國企業數據安全保障義務的法規完善程度如何、企業的數據安全保障能力如何、承擔責任的能力如何？等等。此外，為防止個人數據被濫用、失竊、非法交易等行為的發生，行業自律制度還可以采用一定的懲罰性賠償措施。總之，行業自律制度可以為企業間的數據跨境流動提供更具靈活性的制度安排和安全保障。

3.大力開展國際合作，積極參與國際規則制定。在互聯、協作、開放和共享成為主題的時代，國際層面就跨境數據流動規制展開合作是不可避免的。目前，盡管諸如歐盟等地區或國家對跨境數據流動實施了積極監管，但就全球范圍內來說尚未形成統一的國際規則或條約規范。在這個統一規則尚未形成的窗口期，我國需要對跨境數據流動的全球規則做前瞻性思考，提早部署研究，爭取做國際規則制定的構建者，而不應成為規則的被動接受者。

具體實踐中，我國可以一方面積極參與國際平臺上有關跨境數據流動規則的研討，代表中國企業利益發出中國聲音；另一方面可考慮借助RCEP、FTAAP 等區域談判尋求建立符合中國利益的跨境數據流動規則。在這方面可以借鑒美國的做法，美國亦不被認為是能充分保護數據權的國家，但《安全港》使得數以千計的美國企業得以在歐洲開展業務。建立類似于“安全港”的合作或加入CBPR 這樣的國際體系，可以增進國際市場對中國企業的信任，為企業爭取參與全球競爭的機會，并在這一過程中培育行業的自律，促進我國數據保護水平的提升和相關行業的可持續發展。隨著我國在國際事務中地位的提升，我國更可以利用諸如博鰲論壇、亞洲基礎設施開放銀行、金磚國家、“一帶一路”戰略等之便開展跨境數據流動的區域性合作協議或規則談判，以增強中國在此領域的話語權。總之，我國通過多層次國際規則的談判或構建，樹立與我國國際地位相匹配的數據大國形象，這不僅是維護國內利益的需要，也是保證跨境數據流動國際合作的健康開展與可持續發展的要求。*參見金善明：《跨境數據流動法律風險防范與規制》，載《中國對外貿易》2016年第6期。