跨境數據流動的國際規則動態與我國對策

孫占利，嚴思雨

（1.廣東財經大學法治與經濟發展研究所/法學院，廣東 廣州 510320；2.廣東財經大學，廣東 廣州 510320）

與傳統的資源不同，數據具有可復制性且不影響其本來的價值，并可以因數據的持續開發利用而不斷產生新的價值。跨境數據流動和利用既可促進傳統產業創新，也可以促進數字經濟發展，但也可能威脅到數據安全乃至國家安全。究竟是促進“數據自由流動”還是加強“數據本地化”，如何在安全和發展中實現平衡，對各國政府提出了考驗①參見上海社會科學院：《全球數據跨境流動政策與中國戰略研究報告》，2019 年8 月28 日，https://mp.weixin.qq.com/s/wxvc9-mFWZuDkIL-fBsWEQ，2020 年4 月11 日訪問。。由于數據資源已經成為基礎性戰略資源，各國為了爭奪數據資源，紛紛利用屬人管轄、屬地管轄等管轄原則來強化對數據資源的管理與控制，并嘗試推動形成符合其利益訴求的國際規則，國際規則博弈激烈而又復雜，研判其發展態勢和如何采取適宜的對策是亟待解決的問題。

一、主要經濟體關于跨境數據流動規則的立場與實踐

（一）歐盟

歐盟雖然在數字技術、應用及市場份額方面無法與美國和我國相媲美，但在2015 年就制定了歐盟單一數字市場戰略，2017 年發布《構建歐盟數據經濟》，2017 年發布《歐洲企業間數據共享指南》，2018 年發布《歐洲數據經濟中的私營部門數據共享指南》，2020 年發布《歐洲數據戰略》，并在相關立法中處于領先位置，彰顯了歐盟通過建立歐盟內部的“單一數字市場”贏得新一輪國際競爭的雄心。歐盟關于跨境數據流動的立法主要是《通用數據保護條例》和《非個人數據在歐盟境內自由流動框架條例》。

2016 年通過、2018 年實施的《通用數據保護條例》（GDPR）繼承了95 指令對歐盟境內外數據流動進行區別對待的理念，對內禁止成員國借數據保護名義限制個人數據在歐盟境內的自由流動，以推進歐盟單一數字市場戰略；對外則予以限制，但在匯集各國和地區做法的基礎上，提出了多種合法的數據跨境流動方式，包括充分性決定機制、有約束力的公司規則機制、標準合同條款機制、行為準則機制、認證機制、國際協議等。需要特別注意的是，GDPR 要求域外國家的企業必須事先通過歐盟委員會的“充分性保護認證”以證明該國的數據保護水平，才能實現與歐盟之間的跨境數據自由流動[1]。“充分保護認證”是歐盟委員會在綜合評估一國的法治水平、人權保護水平、數據保護制度獨立監管機構的運行效果、執法能力、救濟機制、參與的國際條約等因素后，對一國能夠提供與GDPR 相同的數據保護水平的認定[2]。獲得認證并不意味著一勞永逸，此后歐盟委員會還會對該國進行審核。若是沒有獲得“充分保護認證”，境外的數據控制方或處理方就只能在證明其對數據安全采取了合理保護時，才可向數據接收方所在國傳輸。GDPR 還規定了即使不符合上述條件仍可以跨境傳輸的例外，包括獲得數據主體的明確同意，或出于維護公共利益等情形[3]。

對于非個人數據，為消除歐盟成員國的數據本地化限制，實現歐盟單一數字市場戰略，2018 年歐盟《非個人數據在歐盟境內自由流動框架條例》強調，非因公共安全理由，原則上不禁止非個人數據在歐盟境內的自由流動。歐盟還禁止內部成員通過要求使用本國計算設施處理數據、數據存儲和處理本地化的行為，禁止在其他成員境內存儲或處理數據以及將使用本國計算設施作為允許數據流動的條件等方式的限制①See World Trade Organization:Joint Statement On Electronic Commerce Eu Proposal For WTO Disciplines And Commitments Relating To Electronic Commerce Communication From The European Union,dated26 April 2019,https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf,lastedvisiton 1 February 2020.。

歐盟雖然認為通過裁判是無法贏得比賽的，但寄希望于通過建立對中國和美國都具有吸引力的歐盟模式。2020 年11 月歐洲數據保護委員會發布了關于數據跨境傳輸的最新指南，歐盟委員會繼2020 年11 月通過了《歐洲數據治理法案》后，又于2020 年12 月通過了《數字服務法案》與《數字市場法案》，并計劃在2021 年推出《數據法案》等法案。這些指南和法案都直接或間接影響到與歐盟有關的跨境數據流動，并對相關的國際規則乃至其他國家的國內立法產生不同程度的影響。

（二）美國

美國在信息和通信產業處于絕對的領先地位，一直主張跨境數據的自由流動。然而，事實上美國貫徹的是內外有別的政策。2018 年3 月美國通過了《澄清域外合法使用數據法案》（即“云法案”），在該法中，美國依其國家利益采用“數據控制者標準”劃定管轄范圍，無論通信、記錄或其他信息是否存儲在美國境內，服務提供者均應當按《存儲通信法》規定的義務要求保存、備份、披露通信內容、記錄或其他信息，只要上述通信內容、記錄或其他信息為該服務提供者所擁有、監管或控制，都可以成為調取數據的來源[4]。該法僅支持兩種情形下的抗辯，即目標對象不在美國居住的非美國人及披露內容的法律義務將給服務提供者帶來違反“符合資格的外國政府”立法的實質性風險[5]。

但是，美國對他國獲取本國數據卻進行嚴格的限制，以確保外國政府對隱私權和公民自由提供有力的實體與程序保護，要求政府符合“適格外國政府”的主體條件，要求他國在網絡犯罪與電子證據方面有足夠的實體法及程序法、有足夠且透明的機制以確保能夠對外國政府收集與使用電子數據的行為進行問責等②參見公安三所網絡安全法律研究中心：《美CLOUD 法案概述》，2018 年3 月14 日，https://mp.weixin.qq.com/s/k7kYUwtW_F_K9khdK73mXA，2020 年4 月1 日訪問。。此外，美國根據《出口管理條例》和《國際軍火交易條例》對軍用和民用相關行業的技術數據的跨境實施許可管理。2018 年8 月通過的《2019 年外國投資風險審查現代化法》將外國人投資保存或收集美國公民敏感個人數據的公司納入審查范圍。

從美國與其他國家簽署的條約來看，奧巴馬政府時期簽訂的《跨太平洋伙伴關系協定》（TPP）第14.13 條規定，締約方不得將要求受約束的組織和個人使用該締約方領土內的計算設施或者將設施置于其領土之內作為在其領土從事經營的條件。盡管特朗普政府退出了TPP，但2018 年簽署的《美國—墨西哥—加拿大協議》吸收了上述規定。美國也在與其他國家的談判協議中積極推廣反數據本地化政策，但也存在彈性處理或妥協的情況，例如在美國與韓國重新簽署的《美韓自由貿易協定》中，將反數據本地化規則修改為“避免對跨境的電子信息流施加或維持不必要的障礙”，由此對數據跨境流動進行必要控制、保留的出口[4]。

（三）俄羅斯

俄羅斯從維護國家安全角度出發，通過修憲和立法加強數據本地化管理和限制跨境數據流動，以抵御跨境數據流動風險。按照《關于信息、信息技術和信息保護法》和《俄羅斯聯邦個人數據法》的規定，互聯網信息服務組織傳播者、信息擁有者以及運營商有義務將數據留存在俄羅斯境內儲存和處理。在執法層面，俄羅斯也要求進行網絡傳播的信息組織者將俄羅斯用戶的網絡通信數據、用戶本身數據和用戶活動數據在俄羅斯境內保留6 個月，并應告知俄羅斯當局①參見上海社會科學院：《全球數據跨境流動政策與中國戰略研究報告》，2019 年8 月28 日，https://mp.weixin.qq.com/s/wxvc9-mFWZuDkIL-fBsWEQ，2020 年4 月11 日下載。。俄羅斯對履行本地化義務的主體范圍相當廣泛，對個人數據本地化存儲的要求相當嚴苛，在俄羅斯存儲的個人數據要滿足最先、最全、最新的要求②參見洪延青：《俄羅斯數據本地化和跨境流動條款解析》，2018 年10 月19 日，https://mp.weixin.qq.com/s/PZJSUJC_6ztnAV uLxC5NcQ，2020 年4 月2 日下載。。

數據存儲本地化并不等同于禁止數據跨境傳輸，俄羅斯在法律上并沒有禁止個人數據出境，但要求數據首次存儲必須在俄羅斯境內的服務器③同腳注①。。另外，俄羅斯《個人數據保護法》規定在滿足一定條件下，個人信息可以進行跨境傳輸，該等條件包括：接收國符合同等保護要求；經個人信息主體書面同意；俄羅斯聯邦簽署的相關國際性條約；國防和國家安全需要的情況；執行合同時，合同一方為個人信息主體；在無法得到個人信息主體書面同意的情況下，出于保護個人信息主體或者他人生命、健康及其他與生命息息相關的利益時。

（四）東盟與東亞自貿區

2021 年1 月東盟批準《數據管理框架》和《跨境數據流動合同范本》，二者均非立法，主要目的是幫助東盟企業建立有效的數據全生命周期保護和引導東盟企業間的跨境數據流動，進而促進東盟數字經濟的發展。

特別值得提及的是，2020 年11 月15 日，東盟十國與中國、日本、韓國、澳大利亞、新西蘭等15 個國家簽署了《區域全面經濟伙伴關系協定》（RCEP），標志著世界上人口數量最多、經貿規模最大、發展潛力最大的東亞自貿區成功啟航。有關跨境數據流動的規則主要是RCEP 第十五條“通過電子方式跨境傳輸信息”，主要內容為：締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監管要求；一締約方不得阻止涵蓋的人為進行商業行為而通過電子方式跨境傳輸信息。本地化要求直接影響跨境數據流動緊密相關，RCEP 第十四條“計算設施的位置”的主要規定如下：締約方認識到每一締約方對于計算設施的使用或位置可能有各自的措施，包括尋求保證通信安全和保密的要求；締約方不得將要求涵蓋的人使用該締約方領土內的計算設施或者將設施置于該締約方領土之內，作為在該締約方領土內進行商業行為的條件。RCEP 也對跨境傳輸信息和本地化要求的例外情形做了規定，即任何規定不得阻止一締約方采取或維持：締約方認為是其實現合法的公共政策目標所必要的措施，只要該措施不以構成任意或不合理的歧視或變相的貿易限制的方式適用，或者該締約方認為對保護其基本安全利益所必需的任何措施，其他締約方不得對此類措施提出異議。

與跨境數據流動緊密相關的另一個問題是個人信息保護，RCEP 第八條“線上個人信息保護”主要規定如下：每一締約方應當采取或維持保證電子商務用戶個人信息受到保護的法律框架；在制定保護個人信息的法律框架時，每一締約方應當考慮相關國際組織或機構的國際標準、原則、指南和準則；每一締約方應當公布其向電子商務用戶提供個人信息保護的相關信息，包括個人如何尋求救濟和企業如何遵守任何法律要求；締約方應當鼓勵法人通過互聯網等方式公布其與個人信息保護相關的政策和程序；締約方應當在可能的范圍內合作，以保護從一締約方轉移來的個人信息。

二、國際組織推進跨境數據流動國際規則的努力與進展

（一）聯合國

為了國際社會的整體發展，聯合國試圖通過各種方式使各國在數據資源管轄的領域達成共識，倡導在保障數據安全的前提下實現數據資源的開放共享與合作，建立數據資源共同體。聯合國于2007 年啟動實施“全球脈動”項目，試圖通過推動數據高效采集與數據分析方法創新突破，探索數據資源服務于社會經濟的有效途徑，從而為實現全球可持續發展發揮實效。2016 年4 月，聯合國貿易和發展會議（以下簡稱“貿發會議”）發布的《數據保護規則與數據全球流動：貿易與發展的影響》提出，數據流動對于數字經濟貿易的創新、競爭與發展起著愈發重要的作用，應運用專門的文件和促進一種或更多的機制來解決數據跨境流動問題。

2018 年7 月，聯合國秘書長設立的數字合作高級別小組的工作報告《相互依存的數據時代》提到，大數據時代迫切需要形成以人類共同的價值觀為基礎的數字合作，讓更多的利益方參與到數據治理的合作中。小組基于對當前全球數字合作機制的分析，提出了改進全球數字合作架構的模式，以此來激發多方之間有針對性、靈活和開放的磋商。報告建議制定《全球數字信任與安全承諾》來塑造共同的愿景，確定數字穩定性的屬性，闡明并加強對技術負責任地使用的規范，并提出行動重點。報告還建議通過《全球數字合作承諾》完善全球數字合作框架，加強數字治理機制，加強國際和平與安全，促進經濟發展和環境的可持續性發展。

聯合國貿發會議2019 年9 月發布的《2019年數字經濟報告》提議，在全球化的發展過程中，要采取相應的措施扭轉當前數字經濟帶來的不斷擴大的不平等和權力失衡的趨勢。發展共同體需要支持數字經濟發展中的落后國家，可通過加強援助、共同創造有利環境等，確保發展中國家的充分參與，促進數據驅動在數字經濟中創造和獲取價值，在全球范圍內縮小“數字鴻溝”。

（二）WTO

WTO 作為全球經濟治理的重要支柱，是多邊貿易協調機制的核心平臺。根據WTO《服務貿易總協定》（GATS）中的電信服務附件規定，成員國應保證任何其他成員的服務提供者可以跨境傳送、使用在其境內服務器中存儲的信息，但受到GATS 第十四條的一般例外條款的約束，即“本協定的規定不得解釋為阻止任何成員采用或實施以下措施：為保護公共道德或維護公共秩序而必需的；為保護人類、動物或植物的生命或健康而必需的；為確保服從與本協定規定不相抵觸的包括與下述有關的法律和法規所必需的：（1）防止欺詐和欺騙做法的或處理服務合同違約情事的；（2）保護與個人資料的處理和散播有關的個人隱私以及保護個人記錄和賬戶秘密的；（3）安全問題。”該等例外也被概括為個人信息保護例外和安全例外。

近年來，數據成為數字經濟最重要的驅動力，互聯網的無國界性高速便捷傳輸為數據在全球范圍內的自由流動提供了新的渠道。WTO 電子商務議題也及時跟進了這一變化，并成為跨境數據流動問題的重要討論平臺。2019 年，76 個WTO 成員共同提交了《電子商務聯合宣言》，確定了新一輪WTO 電子商務議題談判的重點。WTO電子商務議題談判共召開了九輪實質性磋商會議，針對電子商務征稅、跨境數據流動、網絡安全、數字鴻溝、消費者權益保護等方面進行了討論。跨境電子商務必然伴隨著數據的跨境收集、處理、利用，各成員方在數據跨境自由流動與數據本地化等問題上的分歧較大。

美國向WTO 提交的提案中包含禁止數據本地化要求，主張成員不應禁止或限制個人、企業因商業目的的數據跨境轉移，但存在“合法公共政策目標”例外，并且應在實施限制措施前提供證明。美國還提議進行數據流動的必要性測試，要求成員符合合理公共政策。

歐盟在2019 年提出建議案，認為在跨境數據流動中應將保護個人數據和隱私作為基本權利放在首位，原則上禁止限制跨境數據流動，例外情形下成員可以采用適當的保障措施來確保個人數據和隱私的安全。但是，歐盟內部也存在分歧，如法國、德國有數據本地化要求，而瑞典則傾向于跨境數據自由流動。

新加坡和日本等國主張歐盟式的“相同保護水平”要求，非洲、加勒比和太平洋島國等發展中國家則基于自身電信與互聯網等基礎設施較差的國情條件，反對將數字貿易及跨境電子商務議題納入多邊貿易框架下討論①參見上海社會科學院：《全球數據跨境流動政策與中國戰略研究報告》，2019 年8 月28 日，https://www.secrss.com/articles/13274，2020 年12 月11 日下載。。2019 年4 月我國通過WTO 散發了首輪提案，提出談判應以世貿組織現有協定和框架為基礎，堅持發展導向，尊重成員監管權利和發展中成員的合理訴求，重點討論通過互聯網實現交易的跨境貨物貿易及物流、支付等相關服務，推動建立規范便利、安全可信的電子商務交易和市場環境。2020 年12 月，精編各方提案的WTO 電子商務談判合并案文出臺，其中包括跨境數據流動及與此緊密相關的計算機設施位置、個人信息保護、政府數據開放等問題，期望在2021 年年底舉行的第12 屆部長級會議上取得實質性進展。

總體而言，在WTO 電子商務議題中，“美式數字規則”、“歐式數字規則”及“發展中國家的數字規則”代表著不同的利益訴求，如何平衡數據的利用與保護將成為各成員方討論的重點，需要各方本著共商共建共治的理念，在求同存異的基礎上探尋分歧的彌合之道。

（三）其他國際組織

1980 年經濟合作與發展組織（OECD）發布《關于隱私保護和個人數據跨境流動指南》（以下簡稱《指南》），首次提出了數據跨境流動的概念與原則。《指南》旨在推進各成員采取措施確保數據流動的安全與暢通，不得隨意施加限制，但可根據本國的隱私立法與實際情況對特定種類的數據進行特別限制，也可以互惠原則為由對數據的使用進行限制。雖然《指南》中設置了諸多例外條款，但是各成員對數據跨境流動原則達成了一致意見，即在安全的前提下保障數據的自由流動。該指南至今仍被作為規制個人數據跨境流動以及隱私保護的重要規范②See OECD Guidelines on the Protection of Privacy and Trans border Flows of Personal Data,dated 23 September 1980,https://www.oecd.org/internet/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm,lastvisitedon11 February 2020.。《指南》于2013 年進行了修改，提出了自由流通和合法限制原則，要求成員國應避免以保護隱私為由對跨境數據流動設置超出其保護水平的障礙，但在成員國違反指導原則或出于規避本國隱私立法的目的進行數據流動等情形下可以設置限制。2014 年OECD 通過了《互聯網政策制定原則建議》，提出維護互聯網開放性，支持以多利益相關方式制定互聯網政策（包括保護隱私安全和促進跨境數據自由流動），加強國際合作。

亞太經濟合作組織（APEC）于21 世紀初設立了數字經濟行動框架與行動議程，成立了數據隱私小組，制定了亞太經合組織跨境隱私規則系統（CBPR）與《經合組織隱私框架》。APEC 肯定了數據流動在數字經濟中的價值，認為安全是保障信息和數據的自由流通的重要前提[6]。跨境數據流動應當嚴格遵循APEC 隱私框架的要求，數據使用者在使用數據時必須取得數據主體的同意，或其能夠確保將嚴格遵守APEC 隱私框架的相關規定進行數據的使用。CBPR 還對數據跨境流動采取認證的規定，數據控制者可以自由選擇是否進行CBPR 認證，只有通過CBPR 認證的數據控制者才被認為滿足了隱私保護要求，方可在APEC 區域內實現跨境數據自由傳輸，但該數據控制者也應受到區域內隱私執法當局按照本國法的監管。APEC 還倡導要加強對消費者信息的保護，要在保障數據自由流動的前提下加強監管，平衡數據發展與數據安全。

國際商會（ICC）認為數據本地化所帶來的損失要遠遠大于其帶來的經濟利益，破壞數據流動將不利于世界經濟的可持續發展，強制數據本地化將會限制外國企業的準入，還會造成貿易壁壘，增加微型、中型和中小型企業（MSMEs）的成本。隨著經濟數字化轉型時期的到來，跨境數據流動變得愈發重要。2018 年5 月，ICC 呼吁各成員防止數字保護主義，鼓勵各成員摒棄不合理的數據本地化措施。ICC 數字經濟委員會通過對私營部門的政策領導、監管和鼓勵，促進數字經濟的全球性發展與信息和通信技術的穩定增長，并且提議確保數據的自由流動，禁止數據本地化，不得為數據流動增加限制性壁壘，致力于防范網絡安全風險。

三、跨境數據流動的國際規則的總體觀察與趨勢研判

雖然相關國際組織和主要經濟體以不同的方式嘗試推進跨境數據流動的國際規則，但由于復雜的國家利益沖突、不同的價值追求以及不充分的國家間信任度，相關的博弈激烈而又復雜，需要理清爭議問題及其成因，并對其發展趨勢進行研判，以便我國采取適宜的對策予以積極應對。

（一）數據資源的屬人管轄和屬地管轄沖突嚴重影響數據的跨境流動

一國對某種傳統資源（例如石油資源）的主權管轄以屬地管轄為基礎，但數據資源與傳統資源不同，主要在網絡空間中進行流動，網絡空間的虛擬性與無國界性決定了數據資源管轄的復雜性。網絡信息技術的發展帶動了數據資源的跨境存儲與流動，根據儲存地和占有主體的不同，數據資源將受到多個不同國家法律所管轄[7]。為了爭奪數據資源，一些國家爭相擴展其管轄權。例如，美國《澄清域外合法使用數據法》依據屬人原則要求美國企業協調調取全球各地屬于其管理控制的數據，將管轄的范圍延伸至其他國家的境內范疇。俄羅斯則通過屬地管轄原則加強對本國數據資源本地化管理，其《關于信息、信息技術和信息保護法》和《個人數據法》嚴格要求互聯網信息服務組織傳播者、信息擁有者以及運營商將數據留存在俄羅斯境內，以保護國家安全。可見，國家之間關于數據資源管轄的立法方面存在沖突①《關于信息、信息技術和信息保護法》第十六條第四款，《俄羅斯聯邦個人數據法》第十八條第五款。。一些國家基于對數據安全的考慮，對數據資源的管轄實行本地化存儲政策，對重要數據資源禁止或限制流出境外。

誠然，各國依據主權原則對數據資源可能使用屬人管轄疊加屬地管轄原則，嚴格管制本國數據資源的儲存與流動，從而對跨境數據流動形成事實上的壁壘。然而，其他國家也會進行政策復制，國家間就會出現競爭性的壁壘升級。同時，由于現有的國際法對很多具體管轄權問題表述模糊，使得各國對法律的條文和內涵在理解上存在不一致[8]，進一步加劇了數據資源的管轄沖突。

（二）數據跨境自由流動和本地化存儲成為爭議焦點

數據跨境自由流動和數據本地化存儲本身并不矛盾，然而嚴格的數據本地化存儲往往伴隨著對跨境數據流動的嚴格限制。支持數據跨境自由流動的國家和組織認為數據天然會進行流動，開放與共享是互聯網時代的基本理念，限制數據跨境流動會影響數據價值的實現。數據跨境自由流動意味著國家和組織可以獲得更豐富的數據，從而獲取更大的經濟效益。支持數據本地化存儲的國家和組織則認為數據跨境流動的前提是保證本國數據安全，不得威脅國家利益和國民基本權益。實行數據本地化存儲，監管者對境內的數據、設施、企業與個人可以通過立法、執法、司法等手段實現相對可控，可以避免跨境數據流動帶來的不確定風險，保證本國數據安全。同時，數據本地化存儲還有利于本國產業創新升級。

數據的天然流動性（可復制且不損害其價值）和經濟全球化使得跨境數據流動不可避免，也因此，即使是要求數據本地化存儲的國家，也允許在滿足數據主體同意、協議約定、執法需要、數據安全保障、數據安全審查等條件下進行數據跨境流動。然而，這些條件的設置并無統一的國際規則，各方自行其是將會使相關的爭議持續下去。

（三）各國對如何平衡安全與發展的關系難以達成普遍性共識

從目前國際組織的立場和絕大多數國家的立法來看，跨境數據流動規則應當平衡安全與發展的關系，但對于如何平衡二者關系尚未達成共識，突出表現在對跨境數據流動的限制性條件和設置不同的數據安全保護要求，其根源在于各個國家的數據利益不同，特別是發達國家與發展中國家對數據資源的利用能力存在巨大差異。總體而言，發達國家在重視本國數據安全保護的同時強調跨境數據自由流通，而發展中國家則強調數字資源的主權屬性和跨境數據流通中的數據安全保護。

然而，即使在發達國家之間，對此問題也存在不同的主張或做法，例如歐盟和美國。2000 年7 月，歐盟和美國在承認差別的前提下簽署了《安全港協議》，首次構建了個人數據流動的國際合作機制。美國尊重歐盟對其公民的屬人管轄，通過協議直接要求參與跨境數據交換的美國企業遵守歐盟的數據保護規則[9]。在實際操作中，美國商務部將給出承諾遵守該協議的企業清單，以此保證歐洲公民的數據在國外受到與其在歐盟國內相當的保護，實現雙方在數據領域的交流共享。2013年美國“棱鏡計劃”曝光，歐盟意識到該協議無法阻擋美國對他國網絡數據的肆意攫取。2015 年，隨著歐盟最高法院對奧地利人Max 指控Facebook向美國政府提供數據一案作出的最終判決，《安全港協議》也隨之失效。

基于傳統的盟友關系，歐美為結束跨境數據流動無所依據的尷尬，于2016 年再次達成共識，簽署了《隱私盾協議》。通過該協議，歐盟公民的個人數據保護有了多重的救濟途徑，美國政府和企業也承擔了更為嚴格的數據保護義務。然而，歐美對此問題的矛盾并未因此而化解。2019 年7 月，歐洲數據保護委員會稱美國和歐盟之間需要達成一項國際協議，以確保美國根據新法案提出的數據調取請求符合歐洲法律。特別需要提及的是，2020 年7 月16 日歐洲法院以《歐美隱私盾協議》允許美國對歐盟公民的個人數據進行大規模監控為由判定“無效”。可見，雙方的爭議未能徹底解決，且隨著情勢的變化不斷出現新的爭議。

（四）認可數據安全保障是跨境數據流通的必要條件但對保障標準難以達成一致

在全球互聯互通的時代背景下，跨境數據流動日益頻繁且難以監控。隨著數據流出境外的數量增加，涉及的數據類型和范圍更廣，數據安全乃至國家安全面臨重大威脅。在數據跨境流動過程中，從存儲到傳輸再到投入應用，無一不潛藏著風險。例如，傳輸過程中可能被人為地中斷，利用網絡技術將數據截取加以修改，然后再投入流通，導致數據所記載的信息不真實，更有甚者將截取的信息向外泄露或以其他非法方式進行利用，從而實現非法獲益等不法目的。數據安全得不到充分保障，不但會對數據主體的權利產生侵害，而且可能威脅到一國的國家安全和社會穩定。2013 年美國“棱鏡計劃”的曝光在數據安全領域為各國敲響警鐘，各國開始重視對數據安全的保護，為防止本國的數據遭到他國的監控或遭到其他技術性侵害，紛紛通過立法加強對跨境流動中的數據安全管理，如制定嚴格的數據本地化政策、重要數據或關鍵數據出境的安全審查等措施。

一些國家明確禁止涉及國家安全與公共利益的重要數據進行跨境流動。意大利、匈牙利等國禁止將政府數據存儲于國外“云服務”提供商的服務器中，澳大利亞規定為政府部門開發的數據以及有關個人健康方面的數據不得存儲于公共云數據庫中[10]，韓國要求金融領域內的企業服務器必須設立在韓國境內，印度則要求企業將部分互聯網基礎設施存放于境內，公民的個人信息、政府信息和公司信息不得向境外流動[11]。而且，印度拒絕新的一次電子商務議題談判，拒絕簽署G20峰會通過的涉及數據自由流動等議題的“大阪數字經濟宣言”，對數據全球化流動的國際協商產生了一定的影響。

從聯合國、WTO、OECD 等國際組織的相關會議討論和文件觀察，各國際組織皆以推進跨境數據規范流動和合法利用為目標，并不否定數據安全的重要性，且在不同程度上肯定了數據安全保障是跨境數據流通的必要條件，但由于利益沖突等原因，各方對數據安全的保障標準難以達成一致。目前看來，通過普遍性國際組織形成普遍性的跨境數據流動國際規則遙遙無期，區域性國際組織（例如歐盟和東盟）雖然容易達成共識，且在某些情況下可以促進普遍性的國際共識，但也可能強化與區域外國家和地區的利益沖突與規則矛盾。

（五）個人信息或數據保護成為各國數據治理的重點并構成跨境數據流動的實質性障礙

傳統的數據或信息保護立法重點關注國家機密和商業秘密，但近年來發生了較大變化，對個人信息或數據的保護已經突破了民法隱私權的保護方式，出現在跨境數據流動、網絡安全、數據安全等立法中，呈現出綜合運用民事責任、行政責任及刑事責任的立體化數據治理保護模式。

歐盟、美國、日本、德國等諸多國家紛紛以立法、決議、宣言、會議討論等形式關注個人數據保護。從當前的相關立法來看，合法、正當、必要已經成為普遍遵循的個人數據保護原則，收集個人數據要征得數據主體同意和使用個人數據不得超過事先明示之用途也已經成為立法共識，非法泄露或出售個人數據的行為也是各國立法嚴厲打擊的對象，對未成年人的個人信息及個人敏感信息予以重點保護也是通行做法。我國《民法典》雖未確立個人信息權，但將個人信息作為信息時代的重要權益予以保護，目前正在制定的《個人信息保護法》則是對個人信息的全方位、系統性的專門保護立法。

總體觀察，當前各主要經濟體的數據治理框架重點集中在個人數據或個人信息保護方面，蓋因個人是數據的重要生產者和最原始的數據主體，其合法權利在數據成為生產要素的背景下越發受到重視，相應的保護規則也越來越嚴格，但嚴格的個人信息或數據保護將會成為跨境數據流動的實質性障礙。

四、跨境數據流動國際規則問題的我國對策

面對復雜而又激烈的國際博弈，我國需要在把握跨境數據流動的國際規則的現狀、分歧及成因的基礎上，針對爭議的焦點問題采取適宜的對策予以積極應對。

（一）尊重數據主權和協調各國的數據資源管轄沖突

主權是一個國家固有的、最基本的也是最主要的權利。隨著人類進入數字化時代，大數據、云計算等信息技術廣泛應用于經濟社會、國防軍事等領域，世界各國對數據的依賴快速上升，數據已成為國家基礎性戰略資源，對經濟運行機制、社會生活方式、國家治理能力、國防和軍隊建設等產生重要影響，國家競爭焦點正從資本、土地、人口、資源的爭奪轉向對數據資源的爭奪。

縱觀代表性立法，歐盟秉承人權保護限制個人數據跨境流動，對內則禁止成員國借數據保護名義限制個人信息在歐盟境內的自由流動。美國基于利益導向促進數據跨境自由流動，以“數據貿易保護主義”為由反擊他國的數據本地化政策，但同時又注重本國的數據安全保護，2018 年《澄清海外合法使用數據法》更是允許聯邦執法機構強制位于美國的公司提供被要求的數據，無論是否存儲在美國境內。前文述及，歐美廢除《安全港協議》后于2016 年簽署了《隱私盾協議》，但在2020 年7 月16 日被歐洲法院以該協議允許美國對歐盟公民的個人數據進行大規模監控為由判定“無效”。俄羅斯《個人數據法》等立法則要求信息通信網絡和運營商在俄羅斯設立數據中心和對個人數據在境內存儲。我國《網絡安全法》確立了關鍵信息基礎設施中個人信息和重要數據的本地化存儲和跨境傳輸評估制度，相關立法也在數據分級分類的基礎上確立了不同程度的本地化存儲要求和跨境流動限制。

各國依據國家主權對其數據資源主張數據主權并藉此擁有類似自然資源的永久管轄權。然而，從上述代表性立法可見，由于理念和利益的差異，當不同的國家對數據資源分別主張屬人管轄和屬地管轄時，就會產生數據資源的主權管轄沖突，從而直接影響跨境數據流動。各國的自行其是也使得跨國公司無所適從，影響其國際投資的積極性和效率。數據資源與傳統的自然資源并不完全相同。數據資源具有無形性，這是其與傳統的自然資源的直觀區別，但二者最主要的區別是數據資源具有可復制性且不減損其價值。跨境數據流動有助于各國交換數據資源和充分利用數據資源的價值，造福于全人類的共同福祉，這也是國際社會普遍主張促進跨境數據流動的主要原因。當然，數據的跨境流動應當以數據安全保障為必要條件。

為解決數據資源的主權管轄沖突，應遵循國際法的基本準則，互相尊重各國的數據主權，以公正公平的方式推進構建數據資源主權管轄沖突的協調機制，尋求共同利益最大化，促進跨境數據的有序自由流動。具體而言，首先，涉及國家秘密的數據疊加適用屬地管轄和屬人管轄，保障一國對其國家秘密的控制與排他權利；其次，對不涉及國家秘密的數據資源以屬地管轄為主，以保障各國對其數據資源的主權，但各國有權依據對其中的個人數據實行屬人管轄，以保障一國對本國公民的個人數據安全保護；最后，為了更好地打擊危害全人類的犯罪，允許各國對特定的數據資源采用普遍管轄，但相關國家應保障相關數據的安全且不得用于其他用途。

上述設想只是協調各國對數據資源的管轄沖突的基本路徑，并不能完全解決數據資源的管轄沖突問題，尚需秉承互利共贏理念，探索以數據資源的惠益分享模式解決相關的分歧。

（二）秉承互利共贏理念探索以數據資源的惠益分享模式解決分歧

習近平總書記在講話中多次強調各國之間要相互促進、優勢互補，倡導國際社會共同構建人類命運共同體，建設互相尊重、公平正義、合作共贏的新型國際關系。習近平在2019 年G20 峰會發言中指出：“利用數據資源，不能關起門來搞發展，更不能人為地干擾市場；要共同完善數據治理規則，確保數據的安全有序利用。”

在當前的跨境數據流動中，數據流出國無法從數據流入國獲取收益，但要承擔數據安全風險，且可能有損于該國的數據資源主權。數據資源具有可復制性，也具有可“再生性”（即對數據資源的二次或多次開發利用），此與傳統的自然資源并不相同，各國爭奪數據資源的根本原因在于數據資源的巨大利益。如能建立一種互利共贏的數據資源合作機制，就可以滿足各方的利益訴求，促進數據資源的開放與合作，推進跨境數據的安全有序利用。

數據資源的惠益分享是指數據資源的使用者需要取得資源提供者的同意，并通過協議安排給予數據資源提供者一定的補償或其他收益性合作條件。數據資源的惠益分享模式既可以實現共同利益最大化，也可以通過數據資源的優勢互補實現數據資源的價值最大化，符合互利共贏的理念要求。

數據資源的惠益分享是可行的合作安排，但也需要我國選擇適宜的國家和采取適當的方式來推進與其他國家的合作。建議首先選擇“絲綢之路”沿線國家，以“數字絲綢之力”建設為契機，推行數據資源的惠益分享模式，共同分享數據資源的充分利用所帶來的收益。在積累經驗的基礎上，擴大到與傳統友好型國家進行合作共享。由于西方發達國家的技術霸權思維和不愿意放棄其全球壟斷地位，加之數據資源關乎國家安全，數據資源的用途具有不可控制性，數據資源的利用結果也具有未知性，初期難以且不便與其達成合作安排，需待條件成熟時再與其進行合作。

惠益分享的關鍵在于做出互利共贏的合作安排。合作雙方應在承認國家對數據資源主權和保障數據安全的基礎上，經過公平磋商，以協議的形式約定公平合理的惠益分享方式，惠益可以是貨幣分享方式（包括一次性付費、獲益提成及入門費加提成方式），也可以是非貨幣方式（如數據資源互換、共同合作開發利用數據資源、數字資源處理結果共享等靈活方式）。惠益分享可使得數據輸出國和輸入國公平分享跨境數據流動的益處，幫助數據弱國參與分享數字紅利，促進信息化與經濟全球化的交融發展。

（三）平衡安全與發展的關系，在對數據進行分級分類的基礎上確立不同的跨境數據流動規范

在中央新一輪開放發展戰略的指引下，我國明確在跨境數據流動方面堅持數據安全與發展并驅前行。數據安全管理并非要求將數據限制在我國境內，而是要在對數據進行分級分類的基礎上確立差異化的跨境數據流動規范，信息技術與法律融合采取有效的安全保護措施，保障數據依法有序自由流動，實現數據安全與發展的動態平衡。

平衡數據安全與發展的關系的關鍵是對數據進行分級分類管理。對于數據分類，存在不同的主張，例如將數據分為未分類的公共數據、專屬數據、客戶機密數據。也有依照數據的物理屬性將數據劃分為數值型數據、分類型數據與性質型數據。實際上，數據可以做多種類型的分類，取決于分類的目的，并無唯一正確的分類標準或方法。

就跨境數據流動而言，可分為國家與公共安全數據（按保密法進行分級管理）、個人數據（分為一般個人數據和個人敏感數據，兒童個人數據實行特別管理）、商業數據（分為保密商業數據和非保密商業數據）。在對跨境數據流動進行安全審查時，可通過考量數據的性質、價值和影響劃分數據的安全級別，從而匹配不同的跨境流動管理辦法。我國數據出境安全審查制度大致也是這樣設置的，正在起草的《個人信息保護法》和《數據安全法》也將進一步完善數據分級分類基礎上的安全保護制度。

對于數據安全保護，也應重視技術與法律的融合保護，二者優勢互補發揮協同保護效應。例如，可以結合區塊鏈的分布式賬本技術對數據進行分類分級管理，根據不同的場景（主要是數據的分級分類）需要選擇使用聯盟鏈、私有鏈、公有鏈，并利用區塊鏈的共識機制和智能合約可信地自動執行數據交換，從而保障數據跨境流動的安全與效率的動態平衡。

（四）推進制定國際規則和打造國際合作機制，保障各國平等獲得更多發展機遇

數據具有天然的流動性，數據資源正在全球范圍內流動是不爭且不可避免的事實。國際社會應當積極磋商制定跨境數據流動的國際規則，減少立法差異給跨境數據流動帶來的阻礙。聯合國、WTO 等國際組織已經開始推動制定統一的跨境數據流動國際規則，希望以此來規制跨越國界的數據獲取和使用問題。然而，由于各國經濟實力、科技水平、國家政策等方面的不同，對跨境數據流動的利益訴求也存在差異甚至矛盾，尚未就國際規則達成共識。

根據國際數據公司（IDC）的預測，到2025年中國數據圈將增至48.6ZB，占全球27.8%，成為全球最大的數據圈。我國是最大的發展中國家，也是數據大國，應抓住難得的歷史機遇，主導國際規則的話語權，積極推進跨境數據流動規則的制定，致力于打造公平互利的國際數據合作機制。

我國可通過積極推動國際組織關于跨境數據流動議題的討論，廣泛聽取不同國家的利益訴求，厘清各國跨境數據流動政策、配套機制與技術水平的差異，積極參與跨境數據流動規則的設計，重視跨境數據流動中安全與發展的平衡，在求同存異的基礎上提出多方共同認可的數據跨境的最小限制標準，確保該限制的透明與無歧視性，并通過國際規則將各方共識固定下來，避免各方因數據流動發生摩擦。

我國應當在尊重各國主權原則的前提下加強與他國的雙邊和多邊交流，共享跨境數據流動的經驗和數字紅利，增強國家間的戰略互信，以率先示范的方式打造公平互利的國際合作機制。具體而言，在維護各方利益的前提下，我國可以與其他國家簽訂數據共享協議，明確數據共享的目的，列明可共享的數據目錄，承諾確保處理和轉移數據的安全性和保密性，對數據轉移與共享進行必要的限制。為確保協議的執行，可設立監督機構監管數據資源的流動和使用情況。

美國“凈網計劃”的影響較大，也引發了中美“數據脫鉤”的擔憂。然而，挑戰中蘊含著機遇，我國作為負責任的大國，應本著維護國際社會共同利益、互利共贏及共商共建共治的理念，向數據弱國提供網絡信息技術支持和資金援助，在資金、技術、人才、國際規則話語權等方面支持數據弱國提升自主創新與發展能力，盡力縮小“數字鴻溝”，使各國平等獲得更多發展機遇和更大的發展空間，促進全人類的共同繁榮和人類命運共同體建設。

結語

未來國家層面的新競爭力將主要體現為數據、算法、算力及其融合應用能力。跨境數據流動既可促進產業創新和經濟發展，也可能威脅到數據安全乃至國家安全。激烈而又復雜的利益博弈使得各國對跨境數據流動中如何平衡安全與發展的關系未能達成共識。我國作為負責任的大國，應本著維護國際社會共同利益、互利共贏及共商共建共治的理念，主導國際規則的話語權，增強國家間的戰略互信，在求同存異的基礎上提出多方共同認可的數據跨境的最小限制標準，以率先示范的方式打造公平互利的國際合作機制，積極穩妥推進跨境數據流動國際規則的制定。