數據跨境流動法律規制的現狀及其應對

曾磊

摘要：全球互聯互通背景下數據的跨境流動是實現經濟、技術等全球化均衡發展的必備要件，同時數據安全亦與國家安全、個人隱私等息息相關，數據跨境流動的規制尺度由此成為數據安全保障的一個焦點問題。當前數據跨境流動的規制比較有代表性的有歐洲模式和美國模式，前者注重個人隱私和人權保障，嚴格限制數據在歐盟范圍之外的跨境流動；后者倡導數據的跨境自由流動并不斷拓寬自身在全球范圍內的管轄權。我國目前已初步建立起以《網絡安全法》《數據安全法（草案）》為主要內容的數據跨境流動規則。但與前述國際規則相比，我國的數據跨境流動規則仍然存在一些問題，包括調整對象過于廣泛，未能準確限定為電子數據；數據分級分類制度、跨境流動審查規則不夠具體；數據安全保護環節的企業責任義務形式單一等。應進一步明確數據的定義，縮小調整范圍，將非電子化數據排除在數據安全法的保護對象之外；建立科學合理的數據分級分類制度以及與國際規則接軌的跨境流動審查制度；構建數據安全審查制度，強化企業守法能力與自我監督機制等，妥善規制數據跨境流動問題。

關鍵詞：數據；數據跨境流動；國際規則；《數據安全法（草案）》

中圖分類號：F710文獻標識碼：A文章編號：1007-8266（2021）06-0094-11

基金項目：2021年甘肅省人民檢察院檢察理論研究課題“懲治與預防網絡犯罪疑難問題研究”（2021-17-3）；2020年度甘肅政法大學校級專項項目“習近平法治思想與馬克思主義法學理論發展”（GZF2020XZX08）；2020年度甘肅省高等學校創新能力提升項目“‘一帶一路’沿線國家網絡犯罪合作治理研究”（2020A-090）

（一）數據安全問題凸顯的歷史脈絡

互聯網的前身“阿帕”（ARPA）誕生于1969年的美國，是美國高級研究計劃署（Advanced Re？ search Project Agency）的簡稱，最初只服務于軍用科研，是冷戰時期美國為了在科技上取得對蘇聯的壓制優勢而誕生的。20世紀70年代后期互聯網開始轉向民用，以IBM（International Business Ma？ chines Corporation）為代表的美國企業在全球開展跨國業務，每年向全世界出口計算機設備和系統，并發展成局域網和互聯網。在此過程中IBM始終在收集、存儲并跨境轉移著龐大的數據，繼而掌握大量他國政府、企業、科研機構的數據與個人信息。隨著信息技術的不斷發展，互聯網與整個社會的融合度與日俱增，截至2020年3月，我國的網民規模已經突破9億戶。[ 1 ]數據的來源十分廣泛，信息技術與社會經濟的交匯融合引發了數據的迅猛增長，個人、企業、移動智能終端、傳感器、可穿戴設備隨時隨地都產生著大量的數據，而信息技術的迅猛發展，使這些海量數據的收集和儲存變得十分容易。2015年9月國務院《促進大數據發展行動綱要》中提到，“數據已成為國家基礎性戰略資源，大數據正日益對全球生產、流動、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響”。[ 2 ]2016年3月的“十三五”規劃綱要也指出“實施國家大數據戰略”，“把大數據作為基礎性戰略資源，全面實施促進大數據發展行動，加快推動數據資源共享開放和開發應用，助力產業轉型升級和社會治理創新”。[ 3 ]可見，在大數據時代，數據已經成為全新的生產要素，被視為國家新型基礎性戰略資源，在促進國民經濟和提升國家競爭力方面發揮著越來越重要的作用。大數據技術與數字經濟價值的互動模式正在多元化發展，且在“互聯網+”業態模式架構下，大數據勢必在網絡空域的縱深領域有更大的發展空間。但是，在大數據把網絡空間與現實世界緊密結合并為人類帶來便利的同時，數據的采集、加工、使用、儲存的每個環節都會產生信息安全漏洞，“沒有網絡安全，就沒有國家安全”，數據安全問題是當今世界各國所面臨的現實又嚴峻的挑戰。

（二）數據安全與全球發展的博弈與平衡

在全球化的背景下，大數據具有總量大（Vol？ ume）、類型多（Variety）、速度快（Velocity）、易變性（Variability）、價值性（Value）的5V特性。各類數據被跨境收集、存儲、使用和轉移已經成為常態。在經濟上，海量高價值數據的快速全球性流動有利于生產力的發展，可促進生產效率的提高，改善人民群眾的生活水平；在文化上，數據流動能使各國的聯系更緊密，促進文化的交流互通，增進各國人民的友好感情；在安全上，信息情報的互通有利于各國通力協作打擊日益猖獗的國際犯罪和極端恐怖勢力，保護人民群眾的生命財產安全。

然而，由于不同國家對數據保護的現行立法體系規則具有差異性，數據掌控者將數據轉移至其他國家的目的有可能是規避本國對數據保護的相關規定，造成數據濫用并侵害數據相關主體的個人數據權或者隱私權；多源信息融合技術的發展使國家秘密與非秘密之間的界限不再清晰，原本不會給國家安全造成威脅的個體數據在達到一定規模并與其他信息融合、經過處理和分析后，也很有可能對國家安全和社會公共利益造成嚴重威脅。大數據具有類型多和易變性的特點，現有法律規則體系無法涵蓋大數據時代的新型數據類型；數據是信息的形式和載體，信息是數據的表達內容，數據中蘊含的信息通過信息技術進行提煉而得出。不同國家的信息技術水平存在著差異，對一國無價值的數據，其他國家卻可能提煉出關乎國家安全的高價值信息。

大數據時代數據安全面臨的挑戰類型多種多樣，海量的大數據具有高價值性，大數據蘊含的潛在價值能為網絡黑客帶來巨大的經濟效益。美國時代華納公司，全球最大的職業社交網站領英、雅虎等都被黑客盜取過海量用戶數據[ 4-5 ]，掌握專業計算機技術的黑客利用各類技術攻擊各大網站，盜取用戶個人信息和企業商業機密，謀取巨大的經濟利益。對于上述問題，應當發展數據技術，完善相關立法，對網絡平臺和關鍵信息基礎設施進行全面保護，防止網絡黑客的入侵。合法合規的數據流動能夠促進社會經濟的發展，提高數據的收集、存儲、使用和流動水平，但數據的非法跨境流動嚴重威脅國家安全、社會安全與個人權益，侵犯國家網絡空間主權。在數據跨境流動方面，必須正確處理限制數據流動的尺度問題。

（一）數據跨境流動國際法律規制的緣起

20世紀70年代后期，以IBM為代表的美國公司依靠技術和商業優勢搶占全球計算機相關產業的半壁江山。1973年，歐洲共同體委員會（Com？ mission of the European Communities，CEC）指出，在數據產業方面，歐共體內部沒有公司能夠與美國公司進行競爭。面對美國對數據產業的壟斷以及歐洲和美國經濟政治利益的分歧，歐洲各國紛紛制定法律限制數據的跨境轉移，同時加大對數據產業的投入，期望能建立強大的計算機相關產業。與我國以“維護國家主權、安全和發展利益”為出發點對數據跨境流動進行立法規制不同，歐洲各國制定的數據保護法雖然也能起到“維護國家主權、安全和發展利益”的作用，但他們的首要理由是保護個人數據，保障個人隱私權不受侵犯。

20世紀70年代開始，歐洲各國掀起數據立法浪潮。1970年西德黑森州制定《黑森州數據保護法》，開創了世界范圍內專門性個人數據保護法的先河；1973年瑞典出臺《瑞典數據法》；1977年西德制定《聯邦數據保護法》；1974年法國出臺《信息、檔案與自由法》；1984年英國頒布《英國數據保護法》。[ 6 ]隨后，丹麥、挪威、奧地利、葡萄牙、西班牙、比利時、盧森堡等相繼從個人數據保護的角度出臺本國的個人數據保護法，對數據的跨境流動做出限制。這些數據保護法以個人數據保護為理由切斷了數據的正常流動，引起了美國對數據壁壘與數據保護主義的不滿。美國指責歐洲各國限制數據跨境流動的做法是“以保護個人數據隱私為借口遏制競爭對手的發展”，是“經濟保護主義”，認為“民主社會有著信息跨境自由流動的傳統，法律應該鼓勵信息自由獲取并限制信息濫用”。[ 7 ]

數據跨境流動能夠為社會經濟帶來效益，大數據時代應鼓勵數據合法合規的跨境流動，對數據跨境流動的限制應該把握好尺度。歐洲各國通過數據立法限制數據跨境流動的做法雖然確實削弱了美國在數據產業方面的壟斷，但也限制了歐洲國家內部的數據跨境流動，不利于歐洲國家的社會經濟發展。因此，歐盟內部不斷檢討和調試有關數據流動的法律，以求在安全和發展中找到平衡。1980年，經濟合作與發展組織（Organization for Economic Co-operation and Development，OECD）通過《關于隱私保護和個人跨境數據轉移指南》（Guidelines on Privacy Protection and Personal Cross- border Data Transfer，以下簡稱《OECD指南》），標志著歐盟對數據流動立法的進一步完善。

（二）《OECD指南》與《有關個人數據自動化處理的個體保護公約》

為統一成員國之間數據跨境流動的規則，把握限制數據跨境流動的尺度，協調與確認歐盟成員國內部個人信息和數據保護的基本原則及國際數據跨境流動的基本框架，《OECD指南》誕生。《OECD指南》共22條，對數據安全保護做出了詳細規定。首先，《OECD指南》對數據安全保護的最低標準做出規定，規定了成員國內部數據處理的原則，如限制收集原則、數據質量原則、目的明確原則、使用限制原則、安全保障原則、透明原則、個人參與原則、責任原則；其次，規定了成員國之間的數據處理原則，除特殊情況外（其他成員國對某一特定類型數據的保護程度低于本國），成員國應避免以隱私保護名義立法限制數據的自由流動。所以，《OECD指南》考慮到了不同情況下數據跨境流動自由和限制的基本問題。

但是，從效力上看，《OECD指南》只是一種推薦性指南，對各國沒有約束力，無法起到統一成員國數據立法的作用。為真正做到統一歐盟成員國數據保護立法，歐洲理事會（Council of Europe）于1981年通過《有關個人數據自動化處理的個體保護公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Da？ ta，以下簡稱《第108號公約》）。該公約對歐盟成員國具有普遍約束力，是全球范圍內第一部對成員國具有法律約束力的區域性公約，它規定了成員國之間個人數據的自由流動原則（除非另一成員國對數據保護的程度低于本國），保障了歐盟成員國之間的數據自由跨境流動。同時，該公約還對數據由締約國向非締約國的單向跨境流動做出了規定，唯有非締約國對個人數據提供了適當的保護，非締約國才能正常接收上述數據。其中，對“適當保護”有兩種具體的判斷方式：第一，由締約國對非締約國的立法進行評估；第二；由締約國對數據跨境轉移的合同條款進行評估。以上兩種方式任選其一即可。可以看出，《第108號公約》放松了成員國內部數據流動的限制性規定，但強化了向成員國以外流動的限制，加深了歐盟國家與包括美國在內的其他區域外國家之間數據跨境流動的分歧。

（三）《服務貿易總協定》一般例外條款對數據流動的法律效果

《OECD指南》和《第108號公約》是規定歐盟國家數據安全保護立法的統一性規范，在保護歐盟成員國之間數據自由流動、保障成員國數據安全的同時，加深了歐美之間對數據自由流動問題的分歧。1995年生效的世界貿易組織（WTO）框架下的《服務貿易總協定》（General Agreement on Trade in Services，GATS）是以擴大國際服務貿易透明度和自由化、促進成員國經濟和發展中國家服務業發展為宗旨的協定，它雖然不是國際數據安全保護的專門協定，但在數據作為全新生產要素的時代，數據流動往往會對跨境服務貿易產生影響，因此GATS對歐盟數據安全立法具有一定的影響。

跨境服務貿易必然容易對國家主權和內政產生影響，為了“不在情況相同的國家間構成武斷的或不公正的歧視，或構成對服務貿易的變相限制”，GATS第14條對成員國可以實施的措施做了一般例外規定。該條規定，為“保護與個人資料的處理和散播有關的個人隱私以及個人記錄和賬戶秘密”，成員國可以對服務貿易進行限制。歐盟把GATS的一般例外條款作為其合法限制國際自由貿易措施的依據，以保護個人隱私為理由于1995年通過《數據保護指令》（Data Protection Directive）（以下簡稱1995年《指令》）限制成員國數據向非成員國流動。

（四）《數據保護指令》與《通用數據保護條例》

1995年《指令》強化了歐盟各國的個人數據保護水平，要求各成員國必須設立數據監管部門對跨境流動的數據進行事前審查和批準，并要求各成員國以國內立法的方式對1995年《指令》的內容予以執行，該指令同時也掀起了世界其他國家數據安全立法的浪潮。[ 8 ]

在網絡技術代際更新加快的背景下，歐盟對數據流動規制的立法也在迎合這種技術潮流，2018年生效的《通用數據保護條例》（General Data Protection Regulation，GDPR）代替了1995年《指令》，完善了數據保護的基本規定，繼續貫徹歐盟對數據跨境流動的“內松外嚴”原則。在數據跨境流動方面，GDPR第五章對數據跨境轉移做出專門規定。第44條強調若不滿足GDPR的相關規定，數據控制者不得將數據轉移至未經認定的第三國或者國際組織，且不得將數據從該第三國或國際組織轉移至另一非經認定的第三國或國際組織。第45條則對第三國與國際組織的資質認定標準、認定后的周期性審查、第三國或國際組織經認定后不再具有認定資質的情況、補救措施等進行了詳細規定。此外，未經歐盟認定而進行數據跨境轉移的違法責任和特殊情況下的數據跨境轉移也在第五章中有詳細規定。

GDPR為個人數據權利提供了強有力的保護，有利于防止第三國或國際組織由于對個人數據立法保護水平差異而造成對個人數據權利的侵害，但由于冗雜的認定程序以及過高的標準，至今獲得歐盟充分性認證的國家和地區只有11個：加拿大、阿根廷、瑞士、安道爾、法羅群島、澤西島、馬恩島、根西島、新西蘭、以色列、烏拉圭東岸共和國。[ 9 ]然而在大數據時代，對數據跨境流動過多限制顯然違背全球化的趨勢與市場規律。

（五）標準合同條款（SCC）、約束性公司規制（BCR）與亞太經濟合作組織跨境隱私保護規制（CBPR）對于數據流動的差異性規制

GDPR第45條對第三國或國際組織對數據保護的資質認定規定了三種標準。第一，第三國或國際組織的法制水平，在數據安全保護的立法、執法與司法環節是否能夠切實保障基本自由和人權。第二，在國際組織是主體的情況下，第三國必須具有能夠保證數據保護規則施行的獨立監管機構，幫助數據主體合法行使權利，推動數據主體與其他成員國監管機構進行合作。第三，第三國或國際組織愿意承擔已加入的數據安全保護公約所規定的法律責任。由于滿足該條的國家和地區寥寥無幾，所以如果滿足1995年《指令》第26條與GDPR第46條的規定，在數據主體明確表示同意、傳輸數據為合同履行所必需且該合同是為數據主體的利益或保護重大公共利益的情況下，沒有被認定為具有充分保護水平的國家和地區，如果滿足歐盟委員會的標準合同條款（Standard Con？ tractual Clause，SCC）或約束性公司規則（Binding Corporate Rules，BCR），歐盟成員國也可以向其傳輸個人數據。

SCC是指歐盟企業跨境傳輸個人數據時，為保證能讓第三國或地區按照歐盟標準保護個人數據而簽訂的合同，在每次進行數據傳輸時都必須簽訂該合同。BCR則免去了重復簽訂合同的麻煩。BCR是專門針對總公司或者子公司在歐盟區域內的跨國公司的規則體系，目的是避免位于歐盟的跨國公司向歐洲之外的分支機構傳輸信息數據所產生的問題。一般情況下，向歐盟以外沒有通過歐盟認定的國家或地區傳輸數據信息時，按照規定簽訂標準合同條款即可，但如果總公司或者子公司處于歐盟區域內，跨國公司集團內的數據傳輸必然十分頻繁，每次都簽訂標準合同條款顯然會降低生產效率，加重企業負擔，因此跨國公司集團內部需要按照GDPR的規定制定公司內部的約束性公司規則，并提交歐盟審批，審批通過后不再需要簽訂標準合同條款。

亞洲太平洋經濟合作組織跨境隱私保護規則（Asia- Pacific Economic Cooperation Cross- Border Privacy Rules，CBPR）與BCR具有相似性，都是針對自愿加入相關規則的跨國企業對本區域個人數據的保護規則體系，[ 10 ]但CBPR與BCR也存在如下差異性：首先，CBPR的規范對象不僅限于亞太區域內符合隱私規則規定的企業，原則上符合條件的企業都可以加入；其次，與BCR體系下歐盟數據保護當局（Data Protection Authority，DPA）對企業進行監管與制裁不同，在CBPR體系下，由本國的問責代理機構對企業進行監管，本國的隱私執法機構對企業違規行為進行制裁；再次，與歐盟不同，亞太經合組織沒有統一的執法機構。在BCR體系下，違反數據保護規則的企業，由歐盟數據保護當局對其進行制裁；在CBPR體系下，違反數據保護規則的企業由本國隱私執法機構依照CBPR的規定對其進行制裁，企業所屬國的隱私執法機構必須通過CBPR體系的認證。所以，實踐中企業申請加入CBPR體系的前提條件是本國的問責代理機構和隱私執法機構通過了CBPR的認證。

（六）總結

歐盟的GDPR從《OECD指南》逐步發展而來，以GATS隱私例外條款為國際法依據，建立了一套針對第三國家或地區的資質認定體系，對歐盟個人數據信息進行保護，嚴格限制數據的跨境流動，保障公民個人隱私權與國家社會利益。為保障大數據時代數據跨境流動，促進生產力發展，歐盟的BCR與SCC體系解決了第三國無法通過GDPR評估時的數據跨境流動問題。由于不同法域的國家政治、經濟、文化差異巨大，不同地域的數據保護模式存在著差異，歐盟的BCR和美國主導下的CB？ PR可被看作不同數據保護模式的延展性成果，將純粹的歐洲保護模式與純粹的美國保護模式進行了融合。為進一步促進數據的跨境自由流動，2012年歐盟和APEC組成聯合工作小組，并于2014年制定“BCR規則體系和CBPR規則體系共同參考”，在重申兩者體系內容的同時又制定了共同的新標準，以期實現長期合作。[ 11 ]

但在實踐中，GDPR的資質認定體系存在著諸多問題，首先，1995年《指令》生效以來，通過認定的國家或地區寥寥無幾，從側面反映出資質認定條件的不合理；其次，歐盟的某些評估標準過于主觀，如GDPR第45條之“法治、對人權與基本自由的尊重”被作為評估標準之一，而具體的法治與人權的評價標準卻不得而知，過于主觀的評價標準容易使之失去公信力。此外，“棱鏡計劃”曝光后，美國主導下的CBPR體系能否真正維護安全的數據跨境流動也不得而知。

（一）我國制定數據安全法的必要性

從個人利益角度出發，“數據欺詐與盜竊”已經連續數年被世界經濟論壇發布的《全球風險報告》列為全球十大風險之一。[ 12 ]當我們使用微信、微博、抖音等軟件記錄美好生活的同時，個人隱私也處于被泄漏的危險之中，個人信息如果被泄漏，很有可能被不法分子用于精準詐騙，[ 13 ]或者再次販賣以謀求巨大的經濟利益。據公安部消息，2019年，我國偵破20萬起電信網絡詐騙案件，抓獲犯罪嫌疑人達16.3萬人，分別同比上升52.7%、123.3%，搗毀5 000多個境內詐騙窩點；且互聯網犯罪呈現出跨國趨勢，同年，我國各地公安機關先后21次赴國外與數十個國家和地區開展警務執法合作，協同當地警員搗毀70個境外詐騙窩點，將4 276名犯罪嫌疑人從境外押解回國。[ 14 ]由此可見，針對目前互聯網犯罪數量多、損失巨大且呈跨國性的犯罪趨勢，數據安全保護至關重要。

從社會公共利益的角度出發，正如習近平總書記在全國網絡安全和信息化工作會議上所指出的：金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運動的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標。[ 15 ]隨著物聯網的飛速發展，智能家具家電、無人駕駛交通工具等人工智能設備正在普及，但如果有人惡意通過技術手段遠程控制核電站、燃氣開關、電站、水壩閘門、鐵路道閘、無人交通工具剎車系統，就極易造成核事故、爆炸、決堤、重大交通事故等，引起無法挽回的重大經濟損失甚至大規模公共傷亡事件，造成社會的動蕩與恐慌。防范上述不確定性的危險，最重要的就是加強數據安全保護。

從國家安全的角度出發，20世紀90年代以來，我國互聯網技術的飛速發展迎來了大數據時代，國際數據公司（International Data Corporation，IDC）發布的《數字化世界——從邊緣到核心》與《IDC：2025年中國將擁有全球最大的數據圈》白皮書預測，2018—2025年中國的數據圈（Data Sphere）①將以30%的年平均增速領先全球，比全球平均增速高3個百分點；2025年中國數據圈將增至48.6ZB，占全球27.8%，成為最大數據圈。[ 16 ]大數據與國家安全密不可分，如此海量的大數據，如果沒有必要的保護，必然不利于國家安全。多源信息融合技術使平時看似無用的普通數據在一定條件下具備了泄漏國家機密的可能，如2018年美軍士兵使用名為Strava的健身軟件健身，由于該軟件有記錄行走路線的功能，結果意外暴露了其所在軍事基地的位置和基地內部結構。[ 17 ]2015年國務院發布《促進大數據發展行動綱要》，肯定了大數據的重要性，指出了其在經濟運行、社會生活方式與國家治理中對創新企業組織方式、提高資源重新分配效率、促進政府科學決策與風險預防水平的重要作用，[ 18 ]確立了大數據作為國家新型基礎性戰略資源的地位。因此，從法律層面對數據安全與發展進行系統性規制十分重要。

從數據主權的角度出發，近年來，放眼國際社會，除日益猖獗的跨國犯罪集團與極端恐怖勢力外，國際霸權主義和強權政治依然盛行，斯諾登披露的“棱鏡計劃”震撼世界各國。歐美不斷適用長臂管轄原則，擴張本國法律的域外效力，美國、印度等國無端對微信、抖音等我國信息技術產業進行打壓。為應對上述情形，我國應通過數據立法，完善數據分類分級制度、數據跨境轉移制度、重要數據保護制度等，保障我國數據的管轄權、獨立權、防衛權、平等權不受侵犯。然而作為全世界網民人數最多的數據大國，[ 19 ]我國至今還沒有一部統一的數據法規制數據的安全運行和流動。而其他全球主要經濟體大多已通過立法的形式對數據相關權利進行規制，美國已經把大數據視為強化國家競爭力的關鍵因素之一，英、法等國不斷推進相關戰略項目來保護本國的網絡安全，[ 20 ]日本以建設世界一流的“信息安全先進國家”和“網絡安全立國”為國家戰略目標，出臺了一系列國家戰略文件；[ 21 ]北約網絡空間安全框表明，目前世界上有100多個國家具備一定的網絡戰能力，公開發布網絡安全戰略的國家達56個。[ 22 ]在全國網絡安全和信息化工作會議上，習近平總書記表示：“沒有網絡安全就沒有國家安全。”[ 15 ]中國作為數據大國，應當進行統一的數據立法，規范數據跨境流動行為。

（二）我國數據安全立法現狀

2016年11月7日，我國頒布《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），這是我國第一部關于網絡安全的整體性立法。該法第一條規定：“為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。”該法是一部為規范互聯網全網體系而制定的法律，大部分是原則性規定，對數據的規定并非核心，但有關數據安全的規定仍然為此后的數據安全立法奠定了方向。整體上，該法維護網絡數據的完整性、保密性、可用性，防止網絡數據的泄漏或者被竊取、篡改，不準提供專門用于危害網絡安全的程序、工具，并且對關鍵信息基礎設施做出了規定；針對個人信息，該法明確網絡運營者有保護用戶數據的義務，應合法收集用戶信息，未經用戶允許不得泄漏、毀壞、向他人提供個人信息，有錯誤的應當及時改正；該法規定重要數據應儲存在境內，未經網信部門或國務院有關部門的安全評估不得跨境傳輸，并要求建立監測預警和應急處置制度。所以，《網絡安全法》明確將數據作為獨立的法益進行保護，規定了公民對個人信息的權利，且首次提到“重要數據”這一概念，重要數據應儲存于境內，未經審批不得進行跨境流動。這為以后的《中華人民共和國數據安全法（草案）》（以下簡稱《數據安全法（草案）》）奠定了基礎。

在數據安全法缺位的情況下，為保障個人的數據權益，我國出臺了包括《數據安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》等多部法律文件。總體來看，我國目前的數據安全法規過于分散化，缺乏體系性，現有涉及個人數據保護的法律法規近70部，法律解釋10條，部門規章近200部，[ 23 ]且大部分是原則性規定，對數據主體權利的內容、規制方式以及救濟途徑都有明顯缺失。[ 24 ]此外，部分地方性法規和部門規章之間相互矛盾，與上位法沖突的情況較常見。如2019年10月1日開始施行的《貴州省大數據安全保障條例》第57條：“違反本條例第二十七條第二款、第二十九條規定的……情節嚴重的，責令暫停相關業務、停業整頓，或者吊銷相關業務許可證、營業執照。”該地方政府規章的內容顯然違反了《中華人民共和國行政處罰法》第11條地方性法規不可以設定吊銷營業執照的規定，過于分散的法規現狀顯然無法為數據安全提供切實可靠的法律依據。

（三）《數據安全法（草案）》的法律分析

《數據安全法（草案）》目前正處于公開征求意見階段，數據安全法是數字安全領域的基礎性法律，[ 25 ]應包括數據安全與發展原則、數據分級分類原則、促進數據跨境安全與自由流動、數據安全相關制度、相關主體的數據安全保護義務、政務數據安全與開放以及相關違法行為的法律責任等內容。

數據安全與發展原則與數據跨境流動息息相關。《數據安全法（草案）》在第二章設置了“數據安全與發展”專章。數據作為國家基礎性戰略資源，在促進國民經濟發展和提升國家國際競爭力方面發揮著重要的作用。因此，國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新發展。網絡安全是國家安全的基礎，數據安全問題是世界各國都面臨的重要問題，必須在發展數據技術的同時保障數據安全。數據跨境流動必須在“發展”與“安全”之間找到平衡點，過度的“發展”或“安全”都有可能造成國家、社會和個人利益的損害。

數據的安全保障是數據技術發展的前提。《數據安全法（草案）》第三章“數據安全制度”通過多種安全制度來保障數據安全。第二十條以數據在經濟社會發展中的重要程度以及遭到篡改、泄漏和破壞后對國家、社會、公民、組織的危害程度為劃分標準，建立數據分類分級保護制度，對各行各業不同重要程度的數據進行分類分級，有針對性地進行專門保護。第二十一條規定，建立統一高效權威的數據安全風險評估、報告、信息共享和預警機制，預防數據遭到篡改、泄漏和破壞，防止損害的發生。第二十二條規定，建立數據安全應急處置機制，在發生數據安全事件時，最大程度降低事件造成的社會危害。第二十三條規定，建立數據安全審查制度，對可能危害國家安全的數據活動進行國家安全審查。第二十四條和第二十五條規定，對特定數據實行出口管制，在遭到世界其他國家的歧視性禁止、限制時，對相關國家采取相應的對等措施，維護國家主權和尊嚴。

《數據安全法（草案）》第四章通過對重要數據的處理者以及數據安全負責人、管理機構課以數據安全保護義務，明確了責任主體，以此保證規定內容的落實。第五章專門對政務數據進行規定，要求國家機關大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，更好地發揮大數據對社會發展的促進作用；國家機關應在法定職責權限內收集和使用數據，避免權力濫用而對公民造成危害；國家機關應監督管理數據安全，落實數據安全保護責任，保障政務數據的安全；國家機關應遵循公正、公平、便民的原則，依法準確向公民公開相關政務數據，保障公民知情權。沒有履行相關義務或者非法從事數據活動的主體，根據第六章的規定承擔相關行政責任或刑事責任。綜上，《數據安全法（草案）》對數據安全與發展、數據分級分類原則、相關責任主體以及法律責任等方面進行了規定，為數據保護與流動確定了基調。

（一）調整對象過于廣泛

《數據安全法（草案）》第三條對“數據”的定義：“本法所稱數據，是指任何以電子或者非電子形式對信息的記錄。”因此，《數據安全法（草案）》的調整對象幾乎涵蓋了所有電子與非電子形式對信息的記錄，調整范圍過于廣泛，超出了該草案的能力范圍。參照《網絡安全法》第七十六條第四款：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”，將《網絡安全法》調整的數據限定為“電子數據”。《促進大數據發展行動綱要》顯示，“信息技術與經濟社會的交匯融合引發了數據迅猛增長，數據已成為國家基礎性戰略資源”。[ 2 ]其中“數據迅猛增長”是由“信息技術與經濟社會的交匯融合”而引發的，“數據”產生于“信息技術”，因而其語義應該更偏向于“電子數據”。如果法律所調整的對象過寬，其效果必然無法達到立法者的意圖，造成立法資源的浪費。

（二）操作性不足、實施空間有限

《數據安全法（草案）》還存在其他可操作性差、可實施性弱的規定。如第二十條規定“對數據實行分級分類保護”，然而對“分級分類保護”進行描述的條文僅此一處，容易使“分級分類保護”無法發揮應有的作用。在大數據戰略下，數據雖然是國家的基礎性戰略資源，但必然存在大量無價值的垃圾數據，通過“分級分類”確定的高價值重要數據才是數據安全法的保護對象。因此，“分級分類”制度可謂核心制度，沒有“分級分類”制度就無法界定該法的調整對象，也無法落實跨境保護制度與重要數據保護制度等其他制度。因此，應設立專章或者通過司法解釋對“數據分級分類制度”進行詳細規定。另外，同樣是在《數據安全法（草案）》第二十條中，有確定重要數據目錄、加強對重要數據保護的規定，但草案附則中沒有對該條中的重要數據進行解釋。雖然2017年4月11日《個人信息和重要數據出境安全評估辦法（征求意見稿）》對重要數據的概念進行了界定，但該辦法至今尚未出臺。欠缺對重要數據這一術語的界定，不利于確定重要數據目錄，亦不利于加強對重要數據的保護，這亦是《數據安全法（草案）》二審稿操作性不足、實施空間有限的體現。

（三）原則性條款過多

2016年的《網絡安全法》首先規定了重要數據境內儲存的原則，《數據安全法（草案）》應對數據跨境流動問題做出更詳細的規定。然而，《數據安全（草案）》與數據跨境流動相關的條文僅有四條，且沒有如何建設這些制度的具體闡述。其中，第十一條規定，國家積極參與數據安全國際規則的制定，但沒有明確國內數據安全法規則與國際數據安全法規則的接軌機制；第二十四條明確了國家對屬于管制物項的數據依法實施出口管制；第三十條是數據出境管理與《網絡安全法》予以銜接的規定；第三十五條規定了境外執法機構跨境對我國數據的調取權限。另外，《數據安全法（草案）》第二十條分級分類制度、第二十一條風險評估制度、第二十二條安全應急處置機制、第二十三條數據安全審查制度的具體內容都不是很明確。立法條文的籠統與模糊，極易導致企業具體實踐中的無所適從和監管主體的肆意執法。因此，應當像GDPR與CPBR一樣，對認證標準、數據跨境審批機構、監管機構等做出詳細規定。

（四）數據安全保護環節企業責任義務形式單一

實踐中，一些互聯網企業掌握和處理著大量的數據資源，因而企業在維護數據安全方面的責任不容忽視。《數據安全法（草案）》對企業的責任義務規定較為籠統。具體體現在，雖然草案第八條是關于企業誠實守信、遵守商業道德的原則性規定，但并未具體說明企業在維護數據安全方面具體應履行哪些義務，例如是否需要定期開展數據安全外部合規審計、進行企業內部的數據安全教育培訓等。同時草案第二十六條雖然有開展安全培訓的相關內容，但并未將開展安全教育的義務主體明確指向企業，規定較為模糊。另外，如果企業違反了上述原則，現有的《數據安全法（草案）》中也欠缺具有針對性和多樣化的企業法律責任形式，如計入誠信檔案、職業禁止等。綜上，目前《數據安全法（草案）》對于企業的數據安全保護義務規定不夠全面，責任形式規定較為單一。應創新企業違法責任形式，引入信用管理，將企業違反數據安全法的行為納入企業信用評級體系，反向督促企業加強數據安全管理。對于直接涉及的公司高層和主管人員，可采取職業禁止的處罰方式，以改善目前草案處罰方式單一無力的狀況。提升企業維護數據安全的意識，防止因數據安全事件給國家、社會、組織和公民帶來損失，真正達到預防數據違法行為的目的。

（一）明確數據定義，縮小調整范圍

數據安全法應該對數據做出重新定義，縮小其內涵。專門規范保護個人信息的法律《中華人民共和國個人信息保護法》目前正在制定中，將對個人信息數據的保護交給該法即可。對于不關乎國家“基礎性戰略資源”的信息數據，如企業商業機密等，通過《中華人民共和國反不正當競爭法》《中華人民共和國侵權責任法》或者《中華人民共和國專利法》《中華人民共和國商標法》《中華人民共和國著作權法》等法律進行調整即可。

數據安全立法要強調國家安全、數據安全與數據流動之間的平衡，指導思想是總體國家安全觀。因此，數據安全法中的數據內涵應該被限定為：大數據戰略下，通過數據分類分級制度確定的承載國家重要利益的作為國家基礎性戰略資源的數據，以及企事業單位等法人的重要數據。對于哪些屬于上述定義中的數據，可以通過分級分類制度進行判斷。此外，為符合大數據時代潮流，增強法律可操作性，應推進重要非電子數據的電子化，在一定期限后，將非電子化數據排除在數據安全法的保護對象之外。[ 26 ]

（二）完善數據跨境流動制度

面對GDPR過高的充分性認證條件，歐盟BCR和美國主導下的CBPR體系是當今世界最主流的兩種數據跨境規則體系。我國互聯網發展晚于歐美，數據立法在近幾年才起步，面對歐美的BCR和CBPR體系，應該堅持維護我國的數據自主權，完善我國特有的數據分級分類制度，[ 27 ]明確哪些數據可以跨境流動，哪些數據事關國家安全不能跨境傳輸，避免審查機關對同一種數據的重復審查，提高工作效率，減輕審查機關的負擔。借鑒歐美經驗，制定科學的數據跨境規則，協調數據安全與社會經濟利益的關系。我國作為數據大國，應積極參與全球數據跨境規則的制定，在全球數據戰略中把握先機。具體來講，我國可效仿GDPR第四十四條的規定，對第三國實施充分性認定，禁止向數據保護水平低于我國的第三國或國際組織進行數據跨境流動。同時效仿GDPR第四十五條，對第三國與國際組織的資質認定標準、認定后的周期性審查、第三國或國際組織經認定后不再具有認定資質的情況、補救措施等做出詳細規定。對于未經認定而進行數據跨境轉移的違法責任，以及特殊情況下未經充分性認定的數據跨境轉移特許等內容進行規定。為保障我國企業數據利益，還可靈活借鑒GDPR中的標準合同條款（SCC）和約束性公司規則（BCR）的規定，充分保障我國企業跨境數據流動的安全和發展利益。[ 28 ]除歐盟GDPR外，也可以從美國主導的APEC跨境隱私規則（CB？ PR）中吸取經驗和教訓，完善我國數據立法的數據跨境流動審查制度、重要數據境內儲存制度以及數據主體審核制度，保障我國數據立法的域外效力和數據主權。

（三）完善相關配套立法，提高數據安全法可實施性

數據安全法作為數據安全領域的基礎法律，其條文大多為原則性規定，為之后的立法起指導作用。我國的數據安全立法與歐美相比起步較晚，各項機制不夠成熟，應盡快抓緊數據安全法的相關配套法律法規的制定工作，提高數據安全法的可實施性。國際層面，我國數據安全法應考慮與國際社會現有立法的銜接，明確制度接口，避免出現與國際社會現有立法明顯沖突與不協調的情形。[ 29 ]同時，積極利用“一帶一路”倡議、博鰲論壇等國際平臺，加強數據安全國際協調與合作，通過數據安全保護多邊合作協議細化數據安全保護域外效力。國內層面，首先，應厘清目前已有的《中華人民共和國國家安全法》（以下簡稱《國家安全法》）、《網絡安全法》與數據安全法的關系，從立法目標來看，它們均是從國家安全與公共利益出發，《網絡安全法》與數據安全法是《國家安全法》在網絡和數據保護方面的細化。[ 30 ]此外，目前我國數據安全領域的法規還包括《中華人民共和國保守國家秘密法》《中華人民共和國對外合作開采海洋石油資源條例》《科學數據管理辦法》《數據安全管理辦法》，以及地方性法規如《貴州省大數據安全保障條例》《天津市數據安全管理辦法（暫行）》《海南自由貿易港建設總體方案》等，這些法規應與即將出臺的數據安全法有效協調和銜接。

（四）強化企業守法能力與自我監督機制

在歐美數據跨境規則體系下，BCR充分發揮了企業自我監督的機能。在大數據時代下，面對海量種類繁多的數據，如果不發揮企業自我監管的機能，僅靠政府承擔過重的監管審批職能容易抑制市場的運行機制，不利于數據的安全合法跨境流動，不利于生產效率的提高。因此應注重企業自我監管機能和國家監管職能的協調發展。[ 31 ]商業的逐利本質決定了企業在非涉及商業機密的數據監管方面可能欠缺積極性，因為它提高了企業的運行成本，此時就需要完善的措施以加強企業的自我監管。具體來講，應加強數據安全保護法治教育，提高企業自我監管意識，尤其是對掌握眾多數據資源的互聯網企業，應推動它們積極建立數據管理機構。建議在草案中增設“數據安全審查制度”，定期對企業數據安全管理工作進行審查和監督。由于數據安全法律業務不可避免地會涉及計算機行業相關知識，企業法務人員必須有意識地與時俱進。另外，行業組織要發揮引領導向作用，充分考慮所屬行業和領域的專業性與獨特性，推動企業建立并完善符合國家數據發展要求的數據管理體系。

在大數據時代，網絡安全是關系到國家安全的重大問題，網絡安全立法一直是我國各界關注的焦點。數據是大數據時代網絡的核心要素，在國家的現代化進程中，無疑是基礎性的戰略資源，且數據跨境流動呈現出愈來愈頻繁的趨勢，因此出臺數據安全法是順應大數據時代潮流的必然要求。20世紀70年代以來，歐美在保護數據安全、促進數據跨境流動方面不斷摸索，至今已經形成了較為成熟的數據安全保障體系，包括數據跨境流動規則。

我國自2016年《網絡安全法》頒布以來，一系列的網絡安全立法正在起步，網絡安全的重要性和網絡安全立法落后的錯位局面也不斷改善。《數據安全法（草案）》目前正在全網公開征求意見，本文主要從數據跨境流動的角度介紹了歐美數據跨境流動的規則體系，分析《數據安全法（草案）》的內容，借鑒歐美規則體系且提出了對草案優化路徑的看法，以期我國網絡安全立法盡快跟上世界潮流。

注釋：

①數據圈是指每年被創建、采集或復制的數據集合。

參考文獻：

[1]中國互聯網絡信息中心.第45次中國互聯網絡發展統計報告[R].2020.

[2]中華人民共和國國務院.促進大數據發展行動綱要[EB/ OL].（2015-09-05）[2021-03-22].http：//www.gov.cn/xin？ wen/2015-09/05/content_2925284.htm.

[3]中華人民共和國國務院.中華人民共和國國民經濟和社會發展第十三個五年規劃綱要[EB/OL].（2016-03-17）[2021- 03- 22].http：//www.gov.cn/xinwen/2016- 03/17/con？ tent_5054992.htm.

[4]2016年十大數據泄露事件：社交網絡成泄漏重災區[EB/ OL].（2016-12-09）[2021-03-22].https：//www.sohu.com/a/ 122021640_526642.

[5]雅虎自曝遭黑客攻擊超15億用戶賬號信息被盜[EB/ OL].（2016-12-15）[2021-03-22].http：//www.cankaoxiaoxi. com/world/20161215/1522272.shtml.

[6]張金平.跨境數據轉移的國際規制及中國法律的應對——兼評我國《網絡安全法》上的跨境數據轉移限制規則[J].政治與法律，2016（12）：136-154.

[7]李艷華.全球跨境數據流動的規制路徑與中國抉擇[J].時代法學，2019（5）：106-116.

[8]程嘯.民法典編纂視野下的個人信息保護[J].中國法學，2019（4）：26-43.

[9]朱雪忠，代志在.總體國家安全觀視域下《數據安全法》的價值與體系定位[J].電子政務，2020（8）：82-92.

[10]王舒毅.日本網絡安全戰略：發展、特點及借鑒[J].中國行政管理，2015（1）：152-156.

[11]沈昌祥.網絡空間安全戰略思考與啟示[J].金融電子化，2014（6）：11-13.

[12]WORLD ECONOMIC FORUM.The global risks report 2020[EB/OL].（2020-01-15）[2021-02-09].https：//www. weforum.org/reports/the-global-risks-re-port-2020.pdf.

[13]王春暉.聚焦《數據安全法（草案）》[N].人民郵電，2020-07-24（008）.

[14]朱曉娟.論跨境電商中個人信息保護的制度構建與完善[J].法學雜志，2021（2）：87-96.

[15]習近平.在網絡安全和信息化工作座談會上的講話[EB/ OL].（2016-04-19）[2021-03-21].http：//www.xinhuanet. com/politics/2016-04/25/c_1118731175.htm.

[16]IDC：預計到2025年中國將擁有全球最大數據圈[EB/ OL].（2019-02-22）[2021-03-22].http：//www.sohu.com/a/ 296399140_100117963.

[17]鄧崧，黃嵐，馬步濤.基于數據主權的數據跨境管理比較研究[J/OL].情報雜志（2021-04-29）[2021-05-12]. http：//kns.cnki.net/kcms/detail/61.1167.G3.20210429.134 2.002.html.

[18]王中美.跨境數據流動的全球治理框架：分歧與妥協[J].國際經貿探索，2021（4）：98-112.

[19]洪延青.推進“一帶一路”數據跨境流動的中國方案——以美歐范式為背景的展開[J].中國法律評論，2021（2）：30-42.

[20]周念利，姚亭亭.數據跨境流動限制性措施對數字貿易出口技術復雜度影響的經驗研究[J].廣東財經大學學報，2021（2）：4-15.

[21]劉典.全球數字貿易的格局演進、發展趨勢與中國應對——基于跨境數據流動規制的視角[J].學術論壇，2021（1）：95-104.

[22]許可.自由與安全：數據跨境流動的中國方案[J].環球法律評論，2021（1）：22-37.

[23]馬其家，李曉楠.論我國數據跨境流動監管規則的構建[J].法治研究，2021（1）：91-101.

[24]薛亦颯.多層次數據出境體系構建與數據流動自由的實現——以實質性審查制變革為起點[J].西北民族大學學報（哲學社會科學版），2020（6）：64-74.

[25]時業偉.跨境數據流動中的國際貿易規則：規制、兼容與發展[J].比較法研究，2020（4）：173-184.

[26]翁國民，宋麗.數據跨境傳輸的法律規制[J].浙江大學學報（人文社會科學版），2020（2）：38-53.

[27]許多奇.論跨境數據流動規制企業雙向合規的法治保障[J].東方法學，2020（2）：185-197.

[28]葉開儒.數據跨境流動規制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J].法學評論，2020（1）：106-117.

[29]張生.國際投資法制框架下的跨境數據流動：保護、例外和挑戰[J].當代法學，2019（5）：148-160.

[30]鄒軍.基于歐盟《通用數據保護條例》的個人數據跨境流動規制機制研究[J].新聞大學，2019（12）：16-27.

[31]田曉萍.貿易壁壘視角下的歐盟《一般數據保護條例》[J].政法論叢，2019（4）：123-135.

責任編輯：方程

The Current Situation of Legal Regulation of Cross-border Data Flow and the Countermeasures

——from the Perspective of International Rules and the Data Security Law（Draft）

ZENG Lei

（Law School，Gansu University of Political Science and Law，Lanzhou 730070，Gansu，China）

Abstract：In the context of global connectivity，cross-border data flow is an essential element to realize the balanced development of economic and technological globalization. At the same time，data security is closely related to national security，personal privacy，etc.，and the regulatory scale of cross-border data flow has become a focus issue of data security. At present，the representative of cross-border data flows regulation is European model and American model. The European model focuses on personal privacy and human rights protections，and severely restricts the cross-border data flow beyond the European Union；and the American model advocates the free cross-border data flow and continues to broaden its global jurisdiction. China has now initially established the rules of cross-border data flow taking the Cyber Security Law and the Data Security Law（draft）as the main content. However，compared with the above-mentioned international rules，there are still some problems with China’s rules concerning cross-border data flow，such as the too broad adjustment object that cannot be accurately limited to electronic data，and so on. We should，first，further clarify the definition of data，narrow the adjustment scope，and exclude the non-electronic data from the protection object of data security law；second，we should establish a scientific and reasonable data classification system and a cross-border flow review system in line with international rules；and third，we should establish a“data security audit system”to strengthen the enterprise’s compliance with the law and self-monitoring mechanism，so as to properly regulate the cross-border data flow.

Key words：data；cross-border data flow；international rules；Data Security Law（draft）