跨境數據流動的法律規制與中國應對

黃雅晴

(南京財經大學，江蘇 南京210023)

一、 跨境數據流動的規制難題

①現有文獻對跨境數據流動存在多種表述方式，如cross-border data flows，transborder data flows，international information transfer，transborder flows of personal data 等，涉及transfer(傳輸)和flow(流動)之間是否存在差異，國內文獻大多未做出嚴格區分。 論文認為跨境數據流動的含義應延伸至收集、訪問、傳輸、使用等一系列行為，對傳輸和流動不再做出細致區分。

Tiktok 在美并購一案，使得與數據有關的用戶隱私、國家安全、本地存儲和傳輸等問題再度成為焦點。 跨境數據流動的規制同時涉及國內法和國際法層面的問題，與隱私保護、經濟發展、國家安全等事項密切相關。 國內法層面，各國或通過數據(隱私或信息)保護法中的跨境數據流動條款進行規制②涉及該領域法律的通常會使用數據、信息、隱私三種不同的法律名稱。 比如歐盟《一般數據保護條例》、美國《隱私法》、俄羅斯《關于聯邦信息、信息化和信息保護法》和《聯邦個人數據法》、我國《數據安全法(草案)》和《個人信息保護法(草案)》。 互聯網時代數據與信息之間并無明確界限，二者之間可以互相轉化，個人隱私也基本以信息或數據的方式表現。 三種法律名稱在概念界定上存在一定差異，但內涵上無實質性差別，具體司法實踐中不會造成實質影響，因此論文不嚴格區分上述三種法律名稱。，或通過分散立法的方式在敏感領域做出規定，著重考量個人隱私保護和國家安全。 國際層面，具有較大影響力的規制以美國和歐盟主導的規則體系為代表，規制目標同時包括個人隱私保護和數據自由流動，且美國主導規則的價值趨向更側重數據經濟利益。 國內法與國際法的規制目標存在差別，各國數據政策和法律必然存在差異，現階段尚無國際統一的約束性規則。 鑒于跨境數據流動帶來的個人數據安全擔憂、數字產業發展影響、國家主權威脅等風險，其規制路徑面臨數據保護、數據自由流動、政府數據保護自主權的三難選擇問題。

二、 跨境數據流動的域外代表性立法及分析

(一)歐盟：以充分性保護原則為核心

2018 年5 月25 日《一般數據保護條例》(General Data Protection Regulation，以下簡稱GDPR)取代《95 指令》③1995 年頒布的《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)。正式施行，GDPR 旨在加強對歐盟境內公民個人數據和隱私安全，統一歐盟境內數據規則，促進實現單一數字市場的經濟戰略，確保歐盟對其數據享有獨立自主開發、管理和處置的權利，通過高標準的數據保護引導全球重建數據保護規則。GDPR 關涉數據流動問題的規定主要包括以下三個方面：

1. 管轄權范圍

GDPR 擴張了域外適用效力，管轄權實質擴展為影響主義原則，有力保護了歐盟境內數據主體的權利。 歐盟數據保護委員會(European Data Protection Board，以下簡稱EDPB)發布的《關于GDPR 第3 條適用地域范圍的解釋指南》主要確立了兩類考量要素，第3 條第1 款的經營場所標準①GDPR 第3 條第1 款：本條例適用在歐盟境內設立經營場所的數據控制者或處理者對個人數據的處理，無論處理行為是否發生在歐盟境內。和第3條第2 款目標指向標準②GDPR 第3 條第2 款：在歐盟境外的數據控制者或處理者對歐盟境內的個人數據進行處理，涉及下列情況適用本條例：(a)向歐盟境內的數據主體提供商品或服務，無論是否要求數據主體支付價款；(b)對數據主體發生在歐盟境內的行為進行監控。，涵蓋了設立在歐盟境內和境外的數據控制者或處理者對個人數據處理的情況，滿足上述兩個標準之一即適用GDPR 規定。 對于經營場所的定義，根據GDPR 前言第22 條③GDPR 前言第22 條：營業場所指通過穩定安排真實有效的開展活動，安排的法律形式(無論是分支機構還是具有法律人格的子公司)并不是判斷是否為營業場所的決定性因素。，除了法律實體的形式，通過穩定安排進行實際有效業務活動的行為也可能被認定為經營場所，需要結合個案事實進行判斷分析。 目標指向要求必須存在指向歐盟境內個人數據主體這一要素，無論是提供產品和服務或是對其行為進行監控。 被視為監控處理活動的性質認定體現在GDPR 前言第24 條④GDPR 前言第24 條：確定某一處理活動能否被視為對數據主體行為的監控時，應確定自然人是否在互聯網上被跟蹤，包括后續可能采用的數據處理技術，包括對自然人進行畫像以作出決定，或對該自然人的個人偏好、行為和態度進行分析或預測。，要求控制者需具有用于收集和重新使用相關數據的特定目的。

2. 跨境數據流動評估路徑⑤GDPR 第五章：向第三國或國際組織傳輸個人數據第45、46、47、49 條。

(1)白名單制度，將符合充分保護標準的國家列入正面清單

第45 條詳細列舉了符合充分保護要求需達到的三重標準⑥包括法治、尊重人權和基本自由，一般法和部門相關立法以及對立法的實施，數據主體權利、有效的行政和司法賠償；是否存在一個或多個有效運作的監管機構，擁有充分的執行權，協助數據主體行使權利；有關第三國或國際組織達成的國際承諾，或因具有法律約束力的公約或文件等產生的義務等。。 其中是否加入歐盟委員會《108 號公約》⑦1981 年《有關個人數據自動化處理的個人保護公約》(The Convention For The Protection of individuals With Regard to Automatic Processing of Personal Data)。是重要考量因素之一。 即使獲得認定仍需要接受至少4 年一次的定期審核，如有信息顯示無法確保充分性保護，歐盟委員會通過頒布不具有追溯力的實施法案撤銷、修訂或終止已通過的認定⑧GDPR 第45 條第3、4、5 款。。 充分性保護原則不具有普遍適用性，目前獲得認定的國家和地區只有12 個，其中加拿大獲得的是有限認證，鑒于《隱私盾協議》已失效，美國獲得的有限充分認證也因此終止。 已認證的國家多位于歐洲大陸或不具有代表性，覆蓋范圍有限。 并且認證程序復雜，需要進行實質評估而非形式審查，增加了談判的不確定性。

(2)保障措施

無法提供充分保護可適用第46 條的適當保障措施，其中標準合同條款(Standard Contract Clauses，以下簡稱SCCs)和約束性公司規則(Binding Corporate Rules，以下簡稱BCRs)兩項制度適用范圍最廣。 境外數據控制者或處理者可以通過簽訂歐盟委員會和數據監管機構批準的SCCs 實現跨境數據流動的目的。 雖然SCCs 的操作似乎只需要數據出口方與進口方簽署即可進行數據轉移，但實際操作仍存在一些弊端，比如合同雙方承擔連帶責任的規定可能造成數據出口方因顧及違約責任后果怠于進行數據傳輸；合同相對性的固有特征難以解決涉及多方主體的復雜數據傳輸問題，往往耗時長、成本高，難以解決涉及多方主體的復雜數據傳輸。 BCRs約束跨國公司內部的數據跨境傳輸活動。 跨國公司內部往往有大量數據傳輸需求，涉及集團多方成員，BCRs 避免了SCCs 每次都需要簽訂合同從而增加大量經營成本的弊端。第47 條第2 款(F)項規定了歐盟境外成員違反BCRs 由歐盟境內控制者或處理者承擔責任，處罰以歐盟境內集團成員作為連接點。 該項規定通過歐盟境內的連接點擴張了承擔責任的主體范圍，對跨國公司的規模、資金、技術、員工素質均提出較高要求。 但BCRs 規則適用范圍有限，對中小型公司而言無太多可以適用的規范，難以在大范圍內發揮效用。

(3)特定情形下的減損

上述兩種方式均無法適用時可基于第49 條第1 款7 種特定情形進行數據傳輸。 其中第1 款(a)項“告知+同意”是最經常使用的情形，如果數據主體在被告知不符合充分保護和適當保障措施的規定，以及數據流動可能帶來的風險仍然同意傳輸，可以不受上述規定的限制，實際是將控制權交與數據主體自身。

3. 監管層次

成員國層面，第六章就監管機構的獨立地位、管轄權限、職責或權力做出詳細的規定。 對向歐盟不同成員國提供業務或在不同成員國設立機構的企業，由一個主監管機構對企業所有數據活動負責，建立了一站式監督機制，提高監管效力。 歐盟層面則設立EDPB⑨https：/ /edps.europa.eu/about-edps_en.總體任務包括監督并確保歐盟機構在個人信息處理時對個人數據和隱私的保護、就與處理個人數據有關的事宜向歐盟機構提供建議、就解釋數據保護法提供專家意見、與國家監管當局和其他監管機構合作等。負責GDPR 的實施。 兩個層面的監管機構之間信息互相流通，避免了監管范圍重疊或缺失的情形。

(二)美國：以問責制為原則

美國采用分散立法的方式，通過市場主導、行業自律的方式進行調整，原則上不限制個人數據的跨境流動。 以數據控制者和處理者能夠遵守隱私保護規定為預設前提，僅在造成損害后果的情形下由相關方承擔責任，最大限度降低數據流動的障礙，減輕行政機關的監管壓力，旨在維護產業競爭優勢，確保美國在數字經濟和信息通信領域的領導地位①出臺的多項戰略規劃均提出明確促進數字經濟發展的內容，如《美國數字經濟議程》《電子復興計劃》《數據科學戰略計劃》等，自由貿易協定中也包含了數字貿易的規定。。美國數據保護的相關法律多使用隱私一詞，聯邦層面的法律法規如1974 年《隱私法》，對聯邦行政部門收集、利用和保護個人數據等方面做出規定；涉及消費者網絡隱私權的訴訟多通過《聯邦貿易委員會法》第5 節商業欺詐的規則解決；此外《電子通信隱私法》《計算機欺詐和濫用法》《公平信用報告法》《金融服務現代化法案》《兒童在線隱私保護法》《在線通訊政策法》等均涉及相關內容。 州層面的法律法規，最具代表性的是《加州消費者隱私法》及其實施細則，被稱為全美最嚴格網絡隱私法，但其對跨境數據流動亦未設明確限制②https：/ /mp.weixin.qq.com/s/AnkWT_st-lj3ioYrZYgnkg.。

繼微軟訴美國案之后，2018 年《澄清合法使用域外數據法》(Clarify Lawful Overseas Use of Data Act)為調取美國公司存儲于境外的數據提供了法律依據，該法案將司法管轄權由數據存儲位置擴張為數據控制者的控制范圍。 只要內容所有者或數據控制者是美國企業或其他組織，無論是否存儲于美國境內，這些機構有義務提供并披露上述內容。 法案體現了美國數據主權戰略，是其國內法域外效力在數據流動領域的體現。 法案雖同時允許適格的外國政府向美國境內組織調取用于偵查執法等目的的相關數據，但對適格外國政府的認定極為嚴格③適格外國政府的考慮因素包括國內立法水平和執法能力是否為公民權利和隱私提供了足夠的實體和程序保護；該國家是否為《布達佩斯網絡犯罪公約》的成員國，或者至少與公約的第1、2 章內容相吻合；對法治和平等原則的尊重；遵守國際人權義務等等。。 表面上具備國家之間交互的性質，實質上是否為適格的外國政府完全由美國自由決定，雙方在實踐中的標準并不對等。

(三)俄羅斯：以數據本地化存儲為原則

俄羅斯立法體現了明顯的國家數據主權訴求，總體采納數據本地化規制路徑，要求公民信息及相關信息和數據庫的存儲和處理行為需在境內進行。 《關于信息、信息技術和信息保護法》第10.1 條第3 款和第16 條第4 款增加了境內存儲相關內容，《聯邦個人數據法》第18 條增加第5 款使用本地數據庫。 但本地化存儲不意味著絕對禁止流動。 根據《聯邦個人數據法》第12 條第1 款和第2 款，俄羅斯作為《108 號公約》的簽署國可以與其他締約國之間進行數據傳輸。 公約以外能夠給予同等保護的國家采用白名單制度。 向不能給予同等保護的國家傳輸數據可在第4 款規定的情形下進行④https：/ /mp.weixin.qq.com/s/jbMw_6NUK_1nwRJvRzImlg.翻譯來自蘇州信息安全法學所。。 該種規制路徑實現了對數據流動各環節的嚴格把控，加強政府的執法權和對數據資源的控制力，有力保護了國家數據主權，但也會對外國互聯網企業的運營造成負面影響，比如2019 年和2020 年對Facebook 和Twitter 的兩度罰款。過于嚴苛的本地化措施可能使得外國企業望而卻步，不利于本國企業與境外企業之間的技術交流，對GDP 也可能產生負面影響。

三、 跨境數據流動的國際監管與合作

(一)區域規則

APEC《隱私框架》是亞太地區第一份關于跨境數據流動的文件，強調數據自由流動和個人隱私保護，提供最低隱私保護標準，促進亞太地區電子商務的發展。 2012 年美國主導并參與的APEC 跨境隱私規則體系(Cross-Border Privacy Rules，以下簡稱CBPRs)正式啟動。 CBPRs 屬于非約束性體系，不具有強制力，成員經濟體和企業自愿選擇加入，可以看作是美國行業自律模式的改良版，是非純粹的行業自律體系，涉及三方主體：隱私執法機構、問責代理機構和企業⑤成員國具有調查權和起訴權的隱私執法機構加入跨境隱私執法安排，并滿足APEC 的9 大原則和50 項具體要求，擁有完全的執法能力。 問責代理機構需要APEC 全體成員認可，可以是第三方非公共機構，有效期為一年，每年需要重新審核。 申請加入的企業依照問責代理機構提供的自評問卷對自身制定的隱私政策進行評估并調整以符合要求，通過問責代理機構的審核后可獲得認證。。截至目前已經有九個國家或地區加入CBPRs 體系⑥美國、日本、韓國、澳大利亞、加拿大、新加坡、中國臺北、墨西哥和菲律賓。。

(二)雙邊協議

《隱私盾協議》(EU-US Privacy Shield Framework)是《安全港協議》(EU-US Safe Harbor Framework)的替代規則⑦為解決數據跨境轉移問題，歐美雙方于2000 年11 月達成了《安全港協議》。 2015 年10 月歐盟法院在Schrems Ⅱ案(Case C-362 /14，Maximillian Schrems v.Data Protection Commissioner)宣布2000/520 號歐盟決定(safe harbor decision)無效。 由于美歐之間經濟的緊密聯系需要數據流動，經過多輪談判，雙方于2016 年達成《隱私盾協議》。，主要內容體現在權力約束、規范對象、權利救濟、合作機制四個層面，具體內容包括：美國政府書面承諾在明確的條件限制、約束和監管下出于國家安全目的訪問數據；由獨立于國家安全部門的監察員處理移交的投訴；美國企業承擔的義務增多，如公示隱私保護政策、定期自證審查等；增加數據主體的救濟途徑；設置年度聯合審查機制等。 隱私盾協議雖然暫時解決了歐美雙方數據流動的困境，但也存在不可忽視的問題。 首先是法律機制，美歐雙方對個人數據保護立法存在明顯差別，二者是否真正達成踐行共識不無疑問；其次，基于歐盟公民的投訴，數據保護機關有權進行調查并作出中止數據流通的決定，協議的穩定性和持續性難以保障；再次，GDPR本身涉及諸多復雜概念，EDPB 此后又發布了二十幾項相關指南，完全實現所規定的權利確屬困難。

2020 年7 月16 日，歐盟法院(CJEU)宣布了對SchremsⅡ⑧Case C-311/18 Data Protection Commissioner v.Facebook Ireland Ltd and Maximillian Schrems(“Schrems Ⅱ”).案件的裁決，認定《隱私盾協議》的基礎第2016/1250 號決定無效。 美國對個人數據權利保護不充分，《隱私盾協議》不再作為美國企業將歐盟境內個人數據傳輸至美國的法律依據。 繼《安全港協議》失效后，《隱私盾協議》再次失效。歐盟法院認定《隱私盾協議》無效的主要考量在于對公權力的限制，涉及美國《外國情報監控法》第7 章702 條和美國第12333 號行政令⑨https：/ /mp.weixin.qq.com/s/2jtESrr_gOM7tqbaDSuUuA.。 歐盟法院指出美國基于本國安全監控法律規定訪問外國公民個人信息的行為不受制于嚴格必要的制約，與歐盟法律規定的嚴格必要和目的成比例原則相違背①https：/ /mp.weixin.qq.com/s/WTjXYeylIBrVAtMz3PPThg.。 雖然歐盟法院肯定了SCCs 仍然有效，但對SCCs 的適用應當基于個案進行評估審核，如果數據進口國法律無法達到充分性保護水平，公司必須提供額外的保障措施，成員國數據保護機構在個案審核中擁有禁止數據傳輸的權利，給SCCs 的適用增加了更多的不確定性。 大型企業或跨國公司為避免風險可以在歐盟境內設立存儲服務器，但對于中小企業而言成本過高，如若無法有效應對還面臨巨額罰款的風險。 除此之外，第49 條特殊情況下的減損是否可以作為商業活動的常規或持續性的數據轉移的依據尚存疑問。

(三)貿易協定

美韓自由貿易協定電子商務章節第15.8 條明確雙方應努力避免對電子信息跨境流動設置或維持不必要的障礙。附件金融服務部分規定②US-Korea FTA，Annex 13-B Section B.締約方應允許金融機構在正常業務范圍進行數據跨境傳輸以達到數據處理的目的。

美墨加協定增加了數字貿易的內容。 第19.11 條原則上禁止采用限制或禁止數據自由流動的措施，但允許為實現合法公共政策目標的例外。 第19.12 條不得以使用境內計算機設施作為開展業務的條件表明了反對數據本地化的立場。協定多次提及對美國主導的APEC 隱私體系的承認，比如第19.14 條b 款、第19.8 條第2 款，目前三國均已加入APEC 的CBPRs 體系。 第19.18 條首次提出公開政府數據，表明其有助于經濟和社會發展，與美國追求數據經濟價值的理念相符。 金融服務章節第17.17 條、第17.18 條對信息傳輸的規定設置了例外情形和前提條件，規制相對嚴格。

《全面與進步跨太平洋伙伴關系協定》電子商務章節第14.11.2 條明確了數據跨境傳輸成員方的義務。 第14.13.2 條限制了數據本地化措施的適用。 法定例外情形體現在第14.11.3條和第14.13.3 條，立法結構采取原則+例外的方式，借鑒了WTO 的《服務貿易總協定》第14 條和《關稅與貿易總協定》第20 條的表述，但對合法公共政策目標的含義并未確定，亦未列舉，增加了適用的不確定性。

2020 年11 月15 日簽署的《區域全面經濟伙伴關系協定》(Regional Comprehensive Economic Partnership，以下簡稱RCEP)第十二章電子商務涉及了跨境數據流動的內容③http：/ /fta.mofcom.gov.cn/rcep/rcep_new.shtml.，第14 條計算設施位置的規定限制了數據本地化措施，第15 條允許因商業行為通過電子方式傳輸信息，同時也明確了締約方實現合法公共政策目標以及保護其基本安全利益的例外，兼顧了國家安全與經濟發展的雙重需求。 此外，第八章服務貿易附件一金融服務第9 條也規定了對金融數據的轉移與信息處理。 RCEP 并無歐美國家參與，在歐美主導數據流動規則話語權的背景下，RCEP 為發展中國家的跨境數據流動合作提供了新思路和新前景④https：/ /mp.weixin.qq.com/s/nUrPxtG4LnCxwv6yKHRy3g.。

四、 跨境數據流動法律規制的特點

雖然跨境數據流動的法律規制呈現國內法與國際法并行的現狀，但各國國內法規制仍占據主要地位。 不同國家之間的規制模式差異較大，其根本原因在于立法價值目標的選擇，或注重個人數據權利保護，或強調產業競爭發展，或維護數據主權和網絡安全。 目標選擇的背后原因又往往取決于本國數字產業的發展和競爭實力。 競爭力強的國家的企業往往是數據的控制者和處理者，競爭力較弱的國家的用戶更多是數據信息的提供者。 因此暫時處于弱勢地位的國家往往會出于經濟戰略布局或可能的個人數據泄露和國家安全風險的考量，對數據流動進行程度不一的限制。

雙邊規制模式如SCCs、《隱私盾協議》等，在協議雙方對數據保護機制和流動規制路徑存在較大差異的情況下，可能只能滿足某一階段的數據流動需求，《安全港協議》和《隱私盾協議》的相繼失效，以及SCCs 適用的不確定性和煩瑣性體現了這一模式的弊端。 區域規制模式以APEC 隱私框架為代表，成員國自愿加入CBPRs 體系，機制較為靈活，但至今只有9 個國家或地區加入CBPRs 體系，并且全部都是美國的盟友，取得CBPRs 認證的企業數量僅為35 家，其中有3 家日本公司，其余均為美國公司⑤http：/ /cbprs.org/compliance-directory/cbpr-system/.，美國通過區域規則構建較低數據保護標準以試圖減弱歐盟GDPR 影響力的成果尚不甚理想。貿易協定中涉及電子商務、金融服務的數據傳輸規定逐漸增多，典型如美墨加協定、美韓自由貿易協定、全面與進步跨太平洋伙伴關系協定、RCEP 等，但規定都較為模糊，具體實施中可能存在困難。 從多邊規制模式來看，全球范圍內尚缺少統一的數據(隱私)保護共識和規則標準，數據跨境監管與合作也缺少權威性的全球機構進行協調。 WTO 框架下的《服務貿易總協定》被多數學者認為適合規制跨境數據流動，跨境交付模式往往需要數據流動，但規定過于模糊，WTO 全球合作模式仍有待探索。

此外，從規制的數據類型來看，以個人數據為主，對其他類型數據的規定較少。 歐盟《非個人數據在歐盟境內自由流動框架條例》旨在明確歐盟境內可以自由遷移此類數據，但對非個人數據的跨境流動并未涉及。 美國對于金融服務、高新技術數據、信用報告等特定領域的非個人數據流動則設置了嚴格的出境要求⑥非個人數據如13556 號行政命令形成的受控非秘信息清單(Controlled Unclassified Information，簡稱CUI)列出的17 個門類數據。。 貿易協定中對于金融數據、政府數據等非個人數據已有涉及，但數量少，規定較為原則。 總體上非個人數據的跨境流動尚未形成明確規制模式。

五、 我國跨境數據流動的法律規制

(一)國內法層面

1. 國內立法現狀

《數據安全法(草案)》和《個人信息保護法(草案)》公布之前，我國在諸多領域如包括醫藥、金融、人口健康、征信、關鍵信息基礎設施等，已有涉及數據方面的立法，側重維護數據主權和國家安全，具體體現在《網絡安全法》第37 條、《征信管理條例》第24 條、《保險機構開業信息化建設驗收指引》第3 項、《人民銀行關于銀行業金融機構做好個人金融信息保護工作通知》第6 條等等。 總體上立法層級不一，不同行業領域存在較大差異，呈現分散化與碎片化的特征。 為明確數據跨境流動的具體實施細則，網信辦相繼發布了《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》《數據安全管理辦法(征求意見稿)》，但配套措施存在規制主體不一致、數據分類定性不明、規制模式單一等問題，目前尚未落地，實施日期待定。

2020 年7 月和10 月發布的《數據安全法(草案)》和《個人信息保護法(草案)》體現了我國將數據和個人信息分類監管的特點。 前者側重數據安全保障，維護國家數據主權，后者聚焦個人信息權益保護，促進信息有序流動。 同時《數據安全法(草案)》對數據的定義規定為任何以電子或者非電子形式對信息的記錄①《數據安全法(草案)》第3 條。，其適用客體的范圍類型涵蓋了《網絡安全法》和《個人信息保護法(草案)》。 《數據安全法(草案)》尚未設立專章規制跨境數據流動，相關規定體現在管轄權、監管體系、數據分級分類、安全審查、風險評估、出口管制等方面②《數據安全法(草案)》第2、19、20、22、23、24、33 條等。。 《個人信息保護法(草案)》首次設專章明確了個人信息跨境流動規則，不同于《個人信息出境安全評估辦法(征求意見稿)》，《個人信息保護法(草案)》對向境外傳輸個人信息的要求有所放寬：符合第40 條規定的關鍵信息基礎設施的運營者以及處理個人信息達到網信部門規定數量的個人信息處理者，需要通過國家網信部門組織的安全評估③《個人信息保護法(草案)》第40 條。，符合《網絡安全法》第37 條保護國家安全和公共利益的需求一致；在安全評估之外，第38 條還設置了經專業機構進行個人信息保護認證以及通過簽訂合同監督信息接收方的處理活動達到草案規定的信息保護標準等路徑④《個人信息保護法(草案)》第37 條。；第39 條明確了境外傳輸信息的告知加單獨同意要求，單獨同意作為新增形式要求設置了更高的標準；第41 條因國際司法協助或行政執法協助向境外提供個人信息的規定與《數據安全法(草案)》第33 條以及《國際刑事司法協助法》的思路基本一致，2020 年9 月8 日全球數字治理研討會提出的《全球數據安全倡議》⑤https：/ /mp.weixin.qq.com/s/v6P8ygHuhr7ZUh1eZ_hw5Q.尊重他國主權、司法管轄權和對數據的管理權，不得直接向企業或個人調取位于他國的數據。 應通過司法協助等渠道解決執法跨境數據調取需求。亦表明類似立場；第43 條的對等原則同《數據安全法(草案)》第24 條體現的立法精神相同；管轄權上，草案第3 條以屬地管轄為基礎，并規定了特殊情形下的域外適用效力，與GDPR 的管轄規定基本一致。 《數據安全法(草案)》第2 條和《網絡安全法》第75 條也有追究境外數據活動法律責任的規定。 對于監管部門的設置與《數據安全法(草案)》第7 條和《網絡安全法》第8 條相協調。 職責分工上突出了網信部門統籌協調的作用，其他部門在其所轄領域內發揮職能作用。 總體而言，形成了以《網絡安全法》《數據安全法(草案)》和《個人信息保護法(草案)》為核心的數據規制法律架構。 跨境數據流動的規制立場以維護國家安全為核心，個人信息保護和數據開發利用并重。

2. 立法尚存問題及建議

(1)數據分級分類保護標準不明確

《網絡安全法》《數據安全法(草案)》《個人信息保護法(草案)》未作出較為明確的規定。 《信息安全技術數據出境安全評估指南(草案)》附錄A 列舉了27 個行業的重要數據范圍，附錄B 針對個人數據和重要數據出境對個人權益和公共利益影響劃分了等級判定⑥《信息安全技術數據出境安全評估指南(草案)》附錄A 重要數據識別指南，附錄B.1 評估個人信息出境對個人權益產生的影響等級，B.2 評估重要數據出境對國家安全、社會公共利益產生的影響等級。，具有規范指引的作用，適用范圍有限。 目前尚未形成較為系統的框架標準。

對于特定領域或行業的重要數據，可單獨制定分級分類指引，可參考證監會《證券期貨業數據分類分級指引》、中國人民銀行《金融數據安全 數據安全分級指南》等，結合特定領域或行業的數據特征進行細分歸類，并從數據影響對象、影響程度、影響范圍、數據一般特征、數據級別標識方面制定數據安全定級參考表，進行梯度化處理。

對非屬于特定領域或行業的其他數據大體劃分為政府一般數據、商業數據、個人數據。 政府一般數據在確保安全的前提下可以流動；商業數據和個人數據原則上可以自由流動，但涉及商業秘密以及個人敏感信息等情形則需要限制或禁止流動。 對每一大類型下的數據，結合數據內容、監管難度、安全風險、處理技術、是否可能影響公共利益的要素綜合考量，細分數據等級。 對不同級別的數據設置基本保護、一般保護、具體保護、嚴格保護，制定與數據級別相對應的監管和保護措施。

(2)未對獨立數據監管機構的設置做出規定⑦https：/ /mp.weixin.qq.com/s/9kn744cDW-FBMevCFSCp1Q.

網信部門雖具有統籌協調的作用，但監管工作的實施可能涉及多個部門，各部門的監管職責界限劃分尚不明晰，有可能出現職責交叉或者監管缺失的情形，分散式的監管模式可能難以滿足復雜的執法需求。 從國際經驗來看，歐盟、澳大利亞、俄羅斯、日本等均具備獨立的數據監管或保護機構。擁有獨立地位和執法能力的數據監管機構是衡量國家數據保護水平的重要因素，也可幫助國家參與國際數據保護與隱私專員大會的交流和合作。 可以參照GDPR 設置全國數據保護委員會，或者明確由網信辦承擔這一職責，賦予其監管權和執法權，包括數據出境的安全評估、審查跨境傳輸合同條款、對違規和侵犯信息權益行為的行政調查權和處罰權等。

(3)對數據進口方的數據保護能力評估的立法層級較低

已有的相關規定主要體現在《信息安全技術數據出境安全評估指南(草案)》中，對數據接收方所在國家或區域的政治法律環境評估依照個人數據和重要數據兩種情況區分對待，并對保障能力劃分了高、中、低三個等級⑧《信息安全技術數據出境安全評估指南(草案)》附錄B 個人信息和重要數據出境安全風險評估方法B.3.3 評估接收方所在國家或區域的政治法律環境。。 在此基礎上，可以參照GDPR 第45 條的規定，以法律形式明確列舉審查標準，對達到我國數據和信息保護水平的國家建立正面清單(白名單)，積極與之談判。 對不在正面清單的國家可以設置其他限制條件，比如審查境外數據處理者的隱私規則是否到保護標準、與數據處理者簽訂標準條款格式合同、設置嚴格明確的例外條款等。

(二)國際法層面

國際交流與合作層面，我國持積極參與數據安全和個人信息保護國際規則制定、促進數據跨境安全自由流動、推動標準互認①《數據安全法(草案)》第10 條、《個人信息保護法(草案)》第12 條。的立場。 高水準的跨境數據流動規制可以幫助國家擴大在國際數字貿易規則領域的影響力。 以歐盟和美國為代表的發達國家都在爭奪規則的主導權，我國在該領域的國際話語權尚不強。 中澳和中韓自由貿易協定僅涉及數據信息保護的原則性規定，未規定數據跨境流動的內容未彩玉，未參與CBPRs 區域性規則體系，RCEP 已有關于數據(信息)傳輸和處理的規定，具體如何實施有待締約方進一步明確。 目前以安全評估制度和本地化存儲為主的相對保守的規制方式對我國數字貿易發展不利，我國有必要以前瞻性的戰略布局參與國際合作，嘗試構建符合我國利益的規則，主動通過雙邊或多邊協商建立信任機制，借助亞太自由貿易區，“一帶一路”等平臺進行磋商與合作。 可由網信辦、商務部、外交部共同參與談判工作，與我國數據保護水平相近或規制目標類似的國家或地區達成共識。 與保護機制完善、標準較高的國家進行談判時可以參照《隱私盾協議》達成階段性合作，形成數據流動雙向監管體系。 同時為保障合作的可持續性，不至于出現類似《隱私盾協議》無效的情形，國內法和出境企業內部的數據合規也要不斷更新完善，盡量達到充分性保護等類似要求。 在與他國協商時也需要考量中國出境企業的利益訴求，如果設置過于嚴苛的標準，其他國家可能采取對等措施，給我國企業發展帶來負面影響。 在不會對國家安全利益造成損害且保證數據安全的前提下，仍應當以促進數據流動為目標，繁榮數字市場。 此外，對于可能出現的管轄權沖突問題，在立足平等對話和數據主權獨立的前提下，可以適當讓渡管轄權，結合國際私法中的屬地管轄原則、效果管轄原則、最密切聯系原則、不方便法院原則等解決可能出現的管轄沖突。