跨境數(shù)據(jù)流動治理的中國方案
——以《數(shù)據(jù)安全法（草案）》為視角

陳家寧，張建文

（西南政法大學(xué)民商法學(xué)院，重慶，401120）

跨境數(shù)據(jù)流動的含義主要包括兩種：一種是數(shù)據(jù)跨越國界的傳輸、處理與存儲；另一種是數(shù)據(jù)仍在本國境內(nèi)，但能夠被境外主體進行訪問。［1］在信息全球化的時代，數(shù)據(jù)不僅是新的生產(chǎn)要素，更是國家的重要戰(zhàn)略資產(chǎn)。數(shù)據(jù)流動是數(shù)字經(jīng)濟發(fā)展的關(guān)鍵要素，數(shù)據(jù)的跨境流動會產(chǎn)生巨大的經(jīng)濟價值，與此相對，也會帶來數(shù)據(jù)安全問題。目前世界各國政府爭相通過數(shù)據(jù)政策爭奪跨境數(shù)據(jù)流動治理的話語權(quán)。

2017年12月8日，習(xí)近平總書記在中共中央政治局第二次集體學(xué)習(xí)時指出，要切實保障國家數(shù)據(jù)安全，加強國際數(shù)據(jù)治理政策儲備和治理規(guī)則研究，提出中國方案。2020年7月3日，全國人大官網(wǎng)公布《數(shù)據(jù)安全法（草案）》，草案提出應(yīng)當(dāng)鼓勵數(shù)據(jù)合法有效利用和有序自由流動，以促進數(shù)字經(jīng)濟發(fā)展。2020年9月8日，王毅外長在“抓住數(shù)字機遇，共謀合作發(fā)展”國際研討會上提出了《全球數(shù)據(jù)安全倡議》①外交部.中方提出《全球數(shù)據(jù)安全倡議》［EB/OL］.［2020-09-08］.https：//www.fmprc.gov.cn/web/wjbz_673089/xghd_673097/t1812947.shtml.，該倡議是我國在全球數(shù)據(jù)治理和跨境數(shù)據(jù)流動領(lǐng)域的一次重要發(fā)聲。在這一背景下，本文將梳理全球跨境數(shù)據(jù)治理的現(xiàn)狀與面臨的困境，并在《數(shù)據(jù)安全法（草案）》的基礎(chǔ)上提出中國的跨境數(shù)據(jù)流動方案。

一、跨境數(shù)據(jù)流動的全球治理與困境

（一）跨境數(shù)據(jù)治理的全球治理現(xiàn)狀

1.歐盟：立法主導(dǎo)，推進單一數(shù)字市場，掌握話語權(quán)

歐盟對跨境數(shù)據(jù)流動的治理以政策引導(dǎo)為主，其嚴(yán)格限制個人數(shù)據(jù)跨境流動，無論是在政策制定還是個案審查中，歐盟始終將個人數(shù)據(jù)的保護放在極高位置，將個人數(shù)據(jù)權(quán)利作為人權(quán)保護的一部分。［2］只有在保障個人數(shù)據(jù)安全和個人數(shù)據(jù)權(quán)利的前提下，才會進行進一步的數(shù)據(jù)利用。《個人數(shù)據(jù)保護指令》①Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with re?gard to the process-ing of personal data and on the free movement of such data，Official Journal L 281，23/11/1995 P.0031－0050.第二十五條提到，只有當(dāng)數(shù)據(jù)轉(zhuǎn)移目的國達(dá)到歐盟所認(rèn)可的充分保護水平的條件下，才可以進行數(shù)據(jù)轉(zhuǎn)移，但同時對內(nèi)禁止以數(shù)據(jù)保護名義進行數(shù)據(jù)本地化。在非個人數(shù)據(jù)跨境流動方面，歐盟的開放程度較高，傾向于提高單一市場中的非個人數(shù)據(jù)跨境流動性，限制歐盟成員國的數(shù)據(jù)本地化，沒有設(shè)置大量的針對公共利益的保留和例外條款，而是更注重數(shù)據(jù)流動帶來的價值?？傮w而言，歐盟希望在個人數(shù)據(jù)權(quán)益、個人隱私與數(shù)據(jù)流動之間達(dá)到動態(tài)平衡。此外，歐盟推行“數(shù)字單一市場戰(zhàn)略”（Digital Single Market，簡稱DSM）②Commission Communication adopted on 10 May 2017（COM（2017）228 final）.，旨在破除成員國之間的政策壁壘，增強網(wǎng)絡(luò)信任與安全，實現(xiàn)數(shù)據(jù)自由流動，促進數(shù)字經(jīng)濟發(fā)展最大化。［3］

引領(lǐng)跨境數(shù)據(jù)流動規(guī)則，推進數(shù)字單一市場在歐盟乃至全球?qū)崿F(xiàn)，是歐盟的戰(zhàn)略。從《一般數(shù)據(jù)保護條例》（GDPR）及其“長臂管轄”條款，到數(shù)據(jù)保護委員會（European Data Protection Board，簡稱EDPB）及其協(xié)調(diào)機制的建立，歐盟致力于推廣并提高其數(shù)據(jù)立法乃至整個信息產(chǎn)業(yè)的全球影響力。

2.美國：市場主導(dǎo)，強化“長臂管轄”以提升影響力

美國在信息技術(shù)和數(shù)字經(jīng)濟領(lǐng)域居于世界主導(dǎo)地位，與歐盟相比，美國更傾向于由市場主導(dǎo)數(shù)據(jù)自由流動，以保持其現(xiàn)有的信息優(yōu)勢。美國主張通過自由貿(mào)易協(xié)定談判，將其數(shù)據(jù)跨境流動規(guī)則主張和規(guī)則在一定條件下為締約國所接受。［4］美國對數(shù)據(jù)的自由流動需求強，因此其跨境數(shù)據(jù)流動的對策都以維護數(shù)據(jù)自由流動為基調(diào)。2018年3月，美國議會通過《澄清境外數(shù)據(jù)的合法使用法案》（Clar?ifying Lawful Overseas Use of Data Act，即CLOUD法案）。該法案秉承“數(shù)據(jù)控制者”原則，無論傳輸或儲存的信息是否在美國境內(nèi)，只要服務(wù)提供者控制數(shù)據(jù)，美國政府均有權(quán)要求其披露信息，允許政府跨境調(diào)取數(shù)據(jù)。然而，外國機構(gòu)想要調(diào)取儲存于美國的數(shù)據(jù)，則需要國會認(rèn)定外國政府符合“符合資格的外國政府”，再向美國境內(nèi)數(shù)據(jù)控制者發(fā)出調(diào)取命令。《云法案》是美國在數(shù)據(jù)領(lǐng)域“長臂管轄”的典型體現(xiàn)，弱化其他國家對其境內(nèi)數(shù)據(jù)的實際掌控，強化美國對其掌控數(shù)據(jù)的絕對控制，以維持在數(shù)據(jù)跨境流動的主導(dǎo)地位。

3.俄羅斯：限制流動，嚴(yán)密監(jiān)管，強化數(shù)據(jù)本地化政策

與美國和歐盟相比，俄羅斯的數(shù)據(jù)流動政策偏向保守。出于網(wǎng)絡(luò)空間安全的考量，一般情況下，俄羅斯禁止將數(shù)據(jù)轉(zhuǎn)移到國外，跨國公司的某些數(shù)據(jù)也應(yīng)在俄羅斯境內(nèi)保留副本。［5］另外，除《關(guān)于個人數(shù)據(jù)自動化處理的個人保護公約》（第108號公約）③Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，即“第108號公約”。2018年5月18日，歐盟委員會部長委員會在于埃爾西諾召開的第128屆會議上通過了《關(guān)于個人數(shù)據(jù)處理的個人保護公約》的修訂協(xié)議。④《關(guān)于修改聯(lián)邦反恐法和俄羅斯聯(lián)邦立法法及關(guān)于制定旨在打擊恐怖主義和保護公共安全的附加措施》（第374-FZ號聯(lián)邦法）中有多項條款涉及針對個人計算機的情報監(jiān)測。成員國和簽署國以及白名單國家外，對其他國家或地區(qū)的個人數(shù)據(jù)跨境傳輸須獲得數(shù)據(jù)主體的書面同意。此外，俄羅斯還設(shè)置了嚴(yán)格的互聯(lián)網(wǎng)電子監(jiān)視和訪問限制，不僅要求網(wǎng)絡(luò)用戶實名制，還增大了針對私人通信服務(wù)的檢測力度，要求互聯(lián)網(wǎng)服務(wù)提供商保留實時數(shù)據(jù)12小時以上，以供安全局訪問，而通過在線傳輸、接收和連接方式取得的數(shù)據(jù)則應(yīng)當(dāng)保留1年。④

此外，俄羅斯還建立了嚴(yán)格的數(shù)據(jù)本地化政策，要求所有在俄羅斯境內(nèi)開展數(shù)據(jù)活動的網(wǎng)絡(luò)運營商都必須在俄境內(nèi)建立服務(wù)器，并將服務(wù)器所在地通知俄羅斯聯(lián)邦通信、信息技術(shù)和大眾媒體監(jiān)督局，以處理公民的個人數(shù)據(jù)。

（二）全球跨境數(shù)據(jù)治理的困境——數(shù)字霸權(quán)與數(shù)據(jù)本地化

全球化治理中面臨的區(qū)域保護主義、貿(mào)易霸權(quán)主義問題也同樣在跨境數(shù)據(jù)流動治理中存在。各地的跨境數(shù)據(jù)流動政策在管轄權(quán)上越發(fā)激進。歐盟的“長臂管轄”體現(xiàn)在，即使數(shù)據(jù)控制者和數(shù)據(jù)處理者在歐盟境內(nèi)沒有設(shè)立實體機構(gòu)，只要其向歐盟居民提供商品或服務(wù)，就會受到GDPR的約束，將歐盟內(nèi)部嚴(yán)格的跨境數(shù)據(jù)傳輸規(guī)則和個人數(shù)據(jù)保護規(guī)則拓展至歐盟外部。［6］同樣，美國在《云法案》的框架下建立了更加寬泛的管轄權(quán)，利用美國跨國企業(yè)在全球數(shù)字經(jīng)濟中的絕對主導(dǎo)地位①2018年11月，瑪麗米克發(fā)布的《2018年互聯(lián)網(wǎng)趨勢》報告指出，根據(jù)全球各大互聯(lián)網(wǎng)公司的估值衡量，全球20大互聯(lián)網(wǎng)科技公司中，美國占了12家。這種資本霸權(quán)是歐洲不能比擬的，多數(shù)發(fā)展中國家更是只有望而卻步。，建立了可以繞過數(shù)據(jù)所在國監(jiān)管機構(gòu)，將美國執(zhí)法效力擴展至數(shù)據(jù)所在國的“治外法權(quán)”［1］，這也是其全球治理模式的延續(xù)。具有數(shù)據(jù)治理領(lǐng)域政策優(yōu)勢的國家或地區(qū)，利用“長臂管轄”擴大自身數(shù)據(jù)產(chǎn)業(yè)優(yōu)勢，必然會加大數(shù)據(jù)鴻溝，加大數(shù)字經(jīng)濟領(lǐng)域發(fā)展差距。

與長臂管轄相對應(yīng)，過于嚴(yán)格的數(shù)據(jù)本地化措施也會帶來負(fù)面影響，以貿(mào)易保護主義的方式為全球數(shù)字經(jīng)濟發(fā)展帶來阻礙。首先數(shù)據(jù)本地化政策要求跨國企業(yè)在本地建立數(shù)據(jù)庫等基礎(chǔ)設(shè)施，經(jīng)營成本增加，貿(mào)易效率降低。另外，過嚴(yán)的數(shù)據(jù)本地化反而會對個人數(shù)據(jù)安全造成威脅——中小企業(yè)無力建設(shè)運營域外數(shù)據(jù)中心，會選擇將數(shù)據(jù)合規(guī)外包，這增加了數(shù)據(jù)泄露風(fēng)險。過嚴(yán)的規(guī)制將束縛創(chuàng)新，阻礙數(shù)字經(jīng)濟的發(fā)展壯大。因此，世界各國都在“發(fā)展”和“規(guī)范”之間進行取舍，努力找到最佳平衡點。［7］

二、我國跨境數(shù)據(jù)流動治理的現(xiàn)狀

我國主要通過數(shù)據(jù)本地化解決數(shù)據(jù)治理與本地執(zhí)法問題，暫時還沒有形成體系化的法律規(guī)制，多是散見于規(guī)范性文件的對于特定數(shù)據(jù)的跨境數(shù)據(jù)規(guī)則。②《網(wǎng)絡(luò)安全法》第三十七條：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。立法層面有直接涉及的是《網(wǎng)絡(luò)安全法》，但其對跨境數(shù)據(jù)流動是原則性規(guī)定，缺乏可操作性，本地化規(guī)則強度過高。［8］

2020年7月，全國人大頒布的《數(shù)據(jù)安全法（草案）》第十條提到，要積極開展數(shù)據(jù)領(lǐng)域國際交流與合作，促進數(shù)據(jù)安全、自由流動。相對于《網(wǎng)絡(luò)安全法》對數(shù)據(jù)跨境的謹(jǐn)慎，《數(shù)據(jù)安全法（草案）》強調(diào)了數(shù)據(jù)流動與國際合作，但仍踐行了分散立法的思路，沒有對跨境數(shù)據(jù)流動管理具體的操作細(xì)則予以規(guī)定。如何將數(shù)據(jù)安全法落實到部門具體實施中，還需要進一步完善立法。值得關(guān)注的是，國家網(wǎng)信辦于2019年6月發(fā)布了《個人信息出境安全評估辦法（征求意見稿）》，這是目前對個人數(shù)據(jù)跨境傳輸最為具體、最具有可操作性的制度嘗試。雖然該辦法相對于《民法典》《網(wǎng)絡(luò)安全法》等的原則性更加具體，是對個人信息出境進行具體規(guī)定所做的一次有益嘗試，但相對目前國際數(shù)字貿(mào)易和跨境流動的需求，仍存在以下問題：

第一，數(shù)據(jù)本地化程度過高。我國的數(shù)據(jù)本地化原則上要求數(shù)據(jù)只能在我國境內(nèi)存儲和處理，個人數(shù)據(jù)如果要向境外傳輸，必須經(jīng)過嚴(yán)格的安全審核與評估。雖然數(shù)據(jù)本地化可以在一定程度上保障數(shù)據(jù)安全，但我國作為數(shù)據(jù)經(jīng)濟產(chǎn)業(yè)能力世界第二的數(shù)據(jù)大國，過于嚴(yán)格的本地化政策并不利于對外經(jīng)濟的運行，會阻礙社會生產(chǎn)力的提高。［9］

第二，數(shù)據(jù)流動缺乏統(tǒng)一的監(jiān)管機構(gòu)。我國跨境數(shù)據(jù)監(jiān)管主要是由主管行政機關(guān)進行，各行業(yè)的數(shù)據(jù)由各部門主管機構(gòu)負(fù)責(zé)，例如互聯(lián)網(wǎng)數(shù)據(jù)由工業(yè)和信息化部負(fù)責(zé)。因此，在數(shù)據(jù)跨境流動的治理機制上缺乏統(tǒng)一的分工與對接。當(dāng)前《個人信息出境安全評估辦法（征求意見稿）》在個人信息出境安全評估方面采用監(jiān)管部門的全面審批機制。盡管這有利于保障跨境傳輸中的數(shù)據(jù)安全，推動數(shù)據(jù)的有效治理，但也加大了企業(yè)運營與市場監(jiān)管成本。［10］

第三，跨境數(shù)據(jù)治理的國際規(guī)制參與度較低?？缇硵?shù)據(jù)流動安全高效的關(guān)鍵是內(nèi)外制度相協(xié)調(diào)。［11］目前，我國尚未與歐盟或美國等大的數(shù)據(jù)經(jīng)濟體簽訂明確可供執(zhí)行的跨境數(shù)據(jù)流動協(xié)議，相較于美歐推進的數(shù)據(jù)戰(zhàn)略和頂層設(shè)計，作為數(shù)據(jù)大國，我國尚無一套清晰的跨境數(shù)據(jù)規(guī)制和國際戰(zhàn)略，這可能使得“數(shù)據(jù)孤島”的情況加劇，削弱數(shù)字治理的國際規(guī)則主導(dǎo)權(quán)。

三、跨境數(shù)據(jù)流動治理的中國方案

（一）將維護國家數(shù)據(jù)安全與數(shù)據(jù)主權(quán)放在首位

在信息社會，數(shù)據(jù)已經(jīng)成為網(wǎng)絡(luò)空間存在與發(fā)展不可缺少的基礎(chǔ)性要素，數(shù)據(jù)安全問題涉及到國家經(jīng)濟發(fā)展的核心資源和戰(zhàn)略基礎(chǔ)，是直接關(guān)系到創(chuàng)新經(jīng)濟發(fā)展和數(shù)字經(jīng)濟發(fā)展的核心性決定性問題，因此，任何對數(shù)據(jù)安全的威脅也可能構(gòu)成對國家利益的危害。

在跨境數(shù)據(jù)流動治理的制度設(shè)計上，保障數(shù)據(jù)安全是首要任務(wù)，應(yīng)當(dāng)做到對內(nèi)自主決定、對外自主可控。《數(shù)據(jù)安全法（草案）》應(yīng)當(dāng)將邏輯起點放在數(shù)據(jù)安全上，通過保障數(shù)據(jù)安全保障數(shù)據(jù)發(fā)展。首先，應(yīng)當(dāng)確保本國數(shù)據(jù)產(chǎn)業(yè)獨立自主的發(fā)展權(quán)，在核心領(lǐng)域脫離對外國技術(shù)的依賴，我國擁有優(yōu)勢的技術(shù)應(yīng)當(dāng)優(yōu)先滿足本國發(fā)展需要。其次，應(yīng)當(dāng)確保我國在數(shù)據(jù)領(lǐng)域的最高立法權(quán)限，自主制定數(shù)據(jù)領(lǐng)域法律法規(guī)，不受外部勢力的影響和支配。［12］

但同時，也應(yīng)當(dāng)考慮到適度的問題，不能過于強調(diào)數(shù)據(jù)本地化而阻礙數(shù)據(jù)正常流動，互聯(lián)網(wǎng)作為世界性的通信工具，一國規(guī)制往往會造成外部性。［13］應(yīng)當(dāng)平衡數(shù)據(jù)本地化與跨境數(shù)據(jù)流動，使數(shù)字經(jīng)濟能夠在數(shù)據(jù)安全的框架下得到發(fā)展。

（二）完善境內(nèi)數(shù)據(jù)管理機制

1.建立跨境數(shù)據(jù)流動監(jiān)管機構(gòu)

設(shè)置統(tǒng)一的數(shù)據(jù)監(jiān)管機構(gòu)十分必要。歐盟設(shè)置歐洲數(shù)據(jù)委員會（the European Data Protection Board，簡稱EDPB）統(tǒng)籌歐洲的數(shù)據(jù)安全事項，GDPR第五十一條規(guī)定了歐盟成員國應(yīng)當(dāng)設(shè)立統(tǒng)一的監(jiān)管機構(gòu)保護個人數(shù)據(jù)。

《數(shù)據(jù)安全法（草案）》明確了數(shù)據(jù)安全的負(fù)責(zé)主體，由中央國家安全領(lǐng)導(dǎo)機構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作和統(tǒng)籌協(xié)調(diào)，各地行業(yè)主管部門承擔(dān)本行業(yè)、本領(lǐng)域的安全監(jiān)管，國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全與相關(guān)監(jiān)管。①《數(shù)據(jù)安全法（草案）》第六條：中央國家安全領(lǐng)導(dǎo)機構(gòu)負(fù)責(zé)數(shù)據(jù)安全工作的決策和統(tǒng)籌協(xié)調(diào)，研究制定、指導(dǎo)實施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策。第七條：各地區(qū)、各部門對本地區(qū)、本部門工作中產(chǎn)生、匯總、加工的數(shù)據(jù)及數(shù)據(jù)安全負(fù)主體責(zé)任。工業(yè)、電信、自然資源、衛(wèi)生健康、教育、國防科技工業(yè)、金融業(yè)等行業(yè)主管部門承擔(dān)本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)。存在的問題是，數(shù)據(jù)本身具有極強的流動性和共享性，因此數(shù)據(jù)的安全監(jiān)管需要統(tǒng)一、協(xié)調(diào)的制度與管理，若各行業(yè)各自承擔(dān)本行業(yè)的安全監(jiān)管責(zé)任，會出現(xiàn)政策不協(xié)調(diào)、管理效率低下、管理真空等問題。因此，作為頂層設(shè)計的重要組成部分，應(yīng)當(dāng)建立專門、獨立、權(quán)責(zé)明確的數(shù)據(jù)監(jiān)管機關(guān)，負(fù)責(zé)數(shù)據(jù)規(guī)范的具體落實、數(shù)據(jù)安全的風(fēng)險評估和跨境數(shù)據(jù)流動治理等活動。［10］

2.建立多元化數(shù)據(jù)分級分類機制

目前的《數(shù)據(jù)安全法（草案）》對數(shù)據(jù)沒有提出明確可行的數(shù)據(jù)分級分類標(biāo)準(zhǔn)，僅僅提出了應(yīng)當(dāng)按照數(shù)據(jù)在經(jīng)濟發(fā)展中的重要程度對數(shù)據(jù)進行分類。②《數(shù)據(jù)安全法（草案）》第十九條：國家根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分級分類保護。數(shù)據(jù)種類紛繁復(fù)雜，但數(shù)據(jù)——特別是重要數(shù)據(jù)的分級分類，是數(shù)據(jù)治理的基礎(chǔ)。因此，數(shù)據(jù)分級分類應(yīng)當(dāng)既有國家部門的主導(dǎo)，同時也與數(shù)字經(jīng)濟發(fā)展部門進行充分有效地溝通，合理確定重要數(shù)據(jù)范圍及保護方式，平衡安全與發(fā)展兩大價值需求。

一是將個人數(shù)據(jù)與重要數(shù)據(jù)分別管理。鑒于個人數(shù)據(jù)與重要敏感數(shù)據(jù)涉及的風(fēng)險和所需保護的法益各有不同，許多國家都在嘗試分級分類監(jiān)管，通過靈活多樣的監(jiān)管模式，確立寬嚴(yán)相濟的數(shù)據(jù)跨境流動管理政策。［1］個人數(shù)據(jù)跨境傳輸與個人數(shù)據(jù)權(quán)益、隱私權(quán)息息相關(guān)，而重要數(shù)據(jù)的保護主要是以國家安全和公共利益為考量，二者的價值取向不同，立法重點也應(yīng)不同。因此，個人信息和重要數(shù)據(jù)分開監(jiān)管是一種較為合理的思路。在制定個人信息跨境保護機制時，可以設(shè)定適當(dāng)?shù)拿袷聶?quán)利義務(wù)，以信息主體權(quán)益保護為主。而對于重要數(shù)據(jù)的跨境監(jiān)管，應(yīng)當(dāng)以行政監(jiān)管為主要手段。［14］

二是將個人數(shù)據(jù)、非個人數(shù)據(jù)與兩者數(shù)據(jù)集合區(qū)分管理。如果跨境流動數(shù)據(jù)是個人數(shù)據(jù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方提供關(guān)于所交易的個人數(shù)據(jù)獲得了數(shù)據(jù)主體的同意或者具有其他合法理由的證明。如果數(shù)據(jù)交易的對象是非個人數(shù)據(jù)，即具備了匿名化并且不可復(fù)原的條件①《網(wǎng)絡(luò)安全法》第四十二條第一款：網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。，數(shù)據(jù)控制者享有該非個人數(shù)據(jù)的所有權(quán)，在此情況下，不應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源。對于個人信息和非個人信息交織在一起無法區(qū)分的數(shù)據(jù)集合，目前尚沒有解決方法。筆者觀察到的一些關(guān)于促進數(shù)字經(jīng)濟發(fā)展的地方法規(guī)（草案），通常會把此類的數(shù)據(jù)集合作為個人信息法律保護的對象。在目前我國個人信息法律保護機制不夠完善的情況下，對于無法區(qū)分或者區(qū)分成本過高導(dǎo)致不能分割的個人信息和非個人信息的數(shù)據(jù)集合而言，采用個人信息保護法律制度來說是非常有現(xiàn)實意義的。

三是對個人敏感數(shù)據(jù)設(shè)置高級別的流動管制。個人敏感數(shù)據(jù)是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人數(shù)據(jù)。歐盟對敏感數(shù)據(jù)實施“充分保護”，即對敏感數(shù)據(jù)的處理必須經(jīng)過數(shù)據(jù)主體明示同意，同時在對個人敏感數(shù)據(jù)進行大規(guī)模處理前，或個人數(shù)據(jù)的處理可能給數(shù)據(jù)主體的權(quán)利或自由造成高風(fēng)險時，相關(guān)組織有義務(wù)進行隱私影響評估（Privacy Impact Assessment，簡稱PIA）。我國以此為參考，在敏感數(shù)據(jù)處理和傳輸前，要求征得數(shù)據(jù)主體明示同意。另外，我國可建立相應(yīng)的安全認(rèn)證標(biāo)準(zhǔn)，如果第三國的數(shù)據(jù)保護程度不能滿足我國的安全認(rèn)證標(biāo)準(zhǔn)，將不允許敏感個人數(shù)據(jù)的跨境流動。［13］

（三）積極開展國際合作，構(gòu)建我國的跨境數(shù)據(jù)傳輸域外效力規(guī)則體系

國內(nèi)的數(shù)字基礎(chǔ)設(shè)施已較發(fā)達(dá)，但在國際上發(fā)展環(huán)境相對受限。在中國企業(yè)全球化經(jīng)營背景下，《數(shù)據(jù)安全法（草案）》面臨嚴(yán)峻的國際競爭格局，在跨境數(shù)據(jù)流動的規(guī)則體系構(gòu)建中缺少話語權(quán)。

王毅外長在《全球數(shù)據(jù)安全倡議》中提到應(yīng)當(dāng)尊重他國主權(quán)、司法管轄權(quán)和對數(shù)據(jù)的管理權(quán)，不得直接向企業(yè)或個人調(diào)取位于他國的數(shù)據(jù)，反對利用信息技術(shù)破壞他國關(guān)鍵基礎(chǔ)設(shè)施或竊取重要數(shù)據(jù)，不得濫用信息技術(shù)對他國進行大規(guī)模監(jiān)控，或非法采集他國公民個人信息，企業(yè)尊重當(dāng)?shù)胤?，不得強制要求本國企業(yè)將境外產(chǎn)生、獲取的數(shù)據(jù)存儲在本國境內(nèi)，應(yīng)通過司法協(xié)助等渠道解決執(zhí)法跨境數(shù)據(jù)調(diào)取需求。該倡議是一套凝聚全球數(shù)據(jù)安全共識、符合全球共同利益的中國全球治理方案，有力回應(yīng)了目前跨境數(shù)據(jù)流動治理中存在的問題，例如針對數(shù)據(jù)本地化過激的問題，提出不得強制要求數(shù)據(jù)在境內(nèi)存儲，數(shù)字保護主義違背經(jīng)濟發(fā)展規(guī)律；針對美國《云法案》中的“長臂管轄”和內(nèi)外不一的數(shù)據(jù)流動政策，倡議提出應(yīng)當(dāng)反對與摒棄單邊主義，不應(yīng)當(dāng)刻意搞雙重標(biāo)準(zhǔn)，干擾和阻礙全球數(shù)字合作與發(fā)展。

目前，我國尚未與貿(mào)易伙伴建立數(shù)據(jù)跨境流動的互信機制，這將會阻礙我國實現(xiàn)在保護個人數(shù)據(jù)目標(biāo)下的數(shù)據(jù)自由流動，也會影響我國企業(yè)跨境業(yè)務(wù)的開展。在歐盟與美國強化“長臂管轄”原則和數(shù)據(jù)主體權(quán)益的背景下，我國應(yīng)當(dāng)與他國加強跨境數(shù)據(jù)流動規(guī)制合作，構(gòu)建國際互信合作機制。［14］

我國作為全球第二大經(jīng)濟體和數(shù)據(jù)大國，應(yīng)當(dāng)爭取成為跨境數(shù)據(jù)流動治理乃至全球數(shù)據(jù)治理的領(lǐng)導(dǎo)者與政策制定者。在跨境數(shù)據(jù)流動的域外規(guī)則建設(shè)中，可利用“一帶一路”倡議、“亞投行”等由中國主導(dǎo)的多邊合作機制，聯(lián)合有共同利益訴求的國家與地區(qū)，制定區(qū)域性跨境數(shù)據(jù)流動的合作機制，增強中國的話語權(quán)，［15］為全球數(shù)據(jù)資源的共商、共建、共享提供新出路。

四、結(jié)論

在“得數(shù)據(jù)者得天下”的時代，如何掌握跨境數(shù)據(jù)流動治理的主動權(quán)和話語權(quán)是大國間戰(zhàn)略博弈的焦點。誰率先占領(lǐng)了數(shù)據(jù)治理的高地，誰就掌握了信息全球化的主動權(quán)和話語權(quán)。［14］在這場搶占話語權(quán)高地的戰(zhàn)役中，我國作為數(shù)字經(jīng)濟大國，應(yīng)當(dāng)在保障國家信息安全的前提下，積極參與、引領(lǐng)全球跨境數(shù)據(jù)流動的規(guī)則制定。

《數(shù)據(jù)安全法（草案）》將安全置于發(fā)展之中，安全與發(fā)展同步推進，在保護數(shù)據(jù)安全的同時促進數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。數(shù)據(jù)流動會釋放出巨大的潛力，進而將激發(fā)更有效的貿(mào)易運作，催化出高度創(chuàng)新的社會解決方案，最終有利于更完善的政策選擇，從而進一步促進貿(mào)易發(fā)展，實現(xiàn)良性循環(huán)，用數(shù)據(jù)驅(qū)動經(jīng)濟。［7］我國應(yīng)該有強者心態(tài)、開放心態(tài)、發(fā)展心態(tài)，在確保關(guān)鍵領(lǐng)域安全的前提下，積極與世界對接，擴大開放水平。