論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建

2021-12-06 12:44:27馬其家李曉楠

法治研究 2021年1期

關(guān)鍵詞：規(guī)則

馬其家李曉楠

一、引言

最近有關(guān)數(shù)據(jù)跨境流動的法律規(guī)制問題已經(jīng)成為中美、中印之間監(jiān)管的焦點問題。2020年8月6日，特朗普政府以TikTok和Wechat涉嫌將美國用戶包括聯(lián)邦工作人員的個人信息如網(wǎng)絡(luò)位置信息、瀏覽和搜索信息等未經(jīng)許可地傳輸給中國政府，進(jìn)而可能損害美國國家安全為由禁止了上述兩款產(chǎn)品在美國的使用。①Executive Order on Addressing the Threat Posed by TikTok，https：//www.whitehouse.gov/presidential-actions/executive-orderaddressing-threat-posed-tiktok/，last visted Aug.20, 2020.印度也以同樣的理由禁止了TikTok和Wechat在當(dāng)?shù)氐膽?yīng)用。②《印度政府正式宣布封禁TikTok等59款中國App》,載網(wǎng)易新聞， http：//news.163.com/20/0630/07/FGBPM0UD0001899O.html。美、印兩國政府的上述單邊主義措施，實際反映了數(shù)據(jù)跨境自由流動與保護(hù)國家安全之間的緊張沖突。與上述單邊保護(hù)主義措施相對，我國具有迫切的數(shù)據(jù)跨境流動需求。預(yù)計2020年數(shù)據(jù)總量有望達(dá)到8000EB，占全球數(shù)據(jù)總量的21%，將成為數(shù)據(jù)資源大國和全球數(shù)據(jù)中心。③參見付曦地：《我國有望在明年成為第一數(shù)據(jù)資源大國》，載《科技金融時報》2019年12月3日，第2版。以阿里巴巴、騰訊、字節(jié)跳動等為代表的互聯(lián)網(wǎng)公司已經(jīng)建成了具有國際領(lǐng)先水平的大數(shù)據(jù)存儲與處理平臺，在跨境網(wǎng)絡(luò)支付、跨境電子商務(wù)、信息網(wǎng)絡(luò)服務(wù)等應(yīng)用領(lǐng)域的發(fā)展必然涉及數(shù)據(jù)的跨境雙向流動。再者，在“一帶一路”倡議下，我國與“一帶一路”沿線國家經(jīng)貿(mào)交往日益增多，貨物貿(mào)易、服務(wù)貿(mào)易流程與內(nèi)容的電子化和數(shù)據(jù)化已經(jīng)成為不可逆轉(zhuǎn)的趨勢。為此，在數(shù)據(jù)跨境流動的問題上，我國既有對等反制數(shù)據(jù)流向美國和印度的法律工具需求，又有強(qiáng)烈的經(jīng)濟(jì)發(fā)展現(xiàn)實法律保障需求。

然而，我國目前尚無真正意義上的專門的數(shù)據(jù)管理法規(guī)。在數(shù)據(jù)跨境流動上，我國《網(wǎng)絡(luò)安全法》關(guān)于數(shù)據(jù)本地存儲的規(guī)定仍比較籠統(tǒng)，未對個人信息、重要數(shù)據(jù)的范圍、數(shù)據(jù)出境安全評估的標(biāo)準(zhǔn)和程序等進(jìn)行規(guī)定。而其他關(guān)于數(shù)據(jù)跨境傳輸?shù)囊?guī)范則散見于有關(guān)特定行業(yè)或特定類型數(shù)據(jù)的部門性法律和法規(guī)中，如《中華人民共和國數(shù)據(jù)安全法（草案）》《中華人民共和國保守國家秘密法》《征信業(yè)管理條例》④根據(jù)《征信業(yè)管理條例》第24條的規(guī)定，征信業(yè)機(jī)構(gòu)原則上應(yīng)在境內(nèi)存儲和處理在中國境內(nèi)收集的信息。《人類遺傳資源管理條例》⑤根據(jù)《人類遺傳資源管理條例》第27條的規(guī)定，未經(jīng)科技部事先批準(zhǔn)，不得向境外提供任何境內(nèi)人類遺傳資源。《人口健康信息管理辦法（試行）》⑥根據(jù)《人口健康信息管理辦法（試行）》第10條的規(guī)定，禁止醫(yī)療機(jī)構(gòu)在境外的服務(wù)器中存儲人口健康信息，亦不得托管、租賃在境外的服務(wù)器用于處理人口健康信息。等，不當(dāng)加重了數(shù)據(jù)出境的合規(guī)負(fù)擔(dān)，難以滿足快速增長的多樣化數(shù)據(jù)出境需求。此外，跨境數(shù)據(jù)流動涉及部門多、鏈條長，國家之間或國家與地區(qū)之間監(jiān)管協(xié)調(diào)難度較大，具有數(shù)據(jù)跨境需求的公司或者缺乏具體法律操作指引而不敢、不會共享數(shù)據(jù)，或者隨意對外傳輸數(shù)據(jù)損害了國家安全、社會利益、數(shù)據(jù)主體權(quán)益。

為適應(yīng)對外經(jīng)貿(mào)發(fā)展需要，實現(xiàn)數(shù)據(jù)風(fēng)險防范和各方利益的有效保障，我國應(yīng)當(dāng)建立數(shù)據(jù)有序跨境流動的管控機(jī)制。在已有的數(shù)據(jù)跨境流動法律實踐中，美國、墨西哥、加拿大三國新近簽署的《美墨加協(xié)定》（USMCA）在TPP的基礎(chǔ)上針對數(shù)據(jù)的跨境流動作出了進(jìn)一步的補(bǔ)充、修改和完善，從數(shù)據(jù)本地存儲與處理、消費者個人信息保護(hù)、網(wǎng)絡(luò)安全挑戰(zhàn)合作、互聯(lián)網(wǎng)平臺民事責(zé)任等方面構(gòu)筑起便利數(shù)據(jù)跨境流動的橋梁；⑦參見周念利、陳寰琦：《基于〈美墨加協(xié)定〉分析數(shù)字貿(mào)易規(guī)則“美式模板”的深化及擴(kuò)展》，載《國際貿(mào)易問題》2019 年第9期。美國與歐盟達(dá)成的《歐盟-美國隱私盾協(xié)議》（EU-U.S. Privacy Shield）構(gòu)建了兩大發(fā)達(dá)經(jīng)濟(jì)體之間數(shù)據(jù)跨境流動的暢通渠道；⑧參見張繼紅：《個人數(shù)據(jù)跨境傳輸限制及其解決方案》，載《東方法學(xué)》2018年第6期。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）為數(shù)據(jù)跨境流動提供了制度示范，⑨參見田曉萍：《貿(mào)易壁壘視角下的歐盟〈一般數(shù)據(jù)保護(hù)條例〉》，載《政法論叢》2019年第4期。值得我國借鑒。然而，USMCA、“隱私盾”、GDPR等倡導(dǎo)的數(shù)據(jù)跨境流動背后暗含著美國和歐盟等各自不同的深層次利益訴求。我國在跨境數(shù)據(jù)流動法律規(guī)則的構(gòu)建上，既要吸收現(xiàn)有法律成果，又要結(jié)合自身的產(chǎn)業(yè)發(fā)展情況和風(fēng)險防范能力，在數(shù)據(jù)的共享和控制之間達(dá)至平衡。

二、數(shù)據(jù)跨境流動的法律挑戰(zhàn)

數(shù)據(jù)跨境流動關(guān)乎國家利益、產(chǎn)業(yè)利益、風(fēng)險控制三者之間的動態(tài)平衡。⑩參見惠志斌、張衡：《面向數(shù)據(jù)經(jīng)濟(jì)的跨境數(shù)據(jù)流動管理研究》，載《社會科學(xué)》2016年第8期。寬松的數(shù)據(jù)跨境流動規(guī)則有利于產(chǎn)業(yè)數(shù)字化發(fā)展，但會增加風(fēng)險控制難度，對發(fā)展中國家來說可能損害其國家利益，對發(fā)達(dá)國家來說則有助于其通過數(shù)據(jù)實施全球經(jīng)濟(jì)控制。嚴(yán)格的數(shù)據(jù)跨境流動規(guī)則不利于產(chǎn)業(yè)數(shù)字化發(fā)展，但會降低風(fēng)險控制難度，對發(fā)展中國家來說可以避免發(fā)達(dá)國家的數(shù)據(jù)霸權(quán)。但總的來說，無論是寬松還是嚴(yán)格的數(shù)據(jù)跨境流動規(guī)則，均會在國家安全、個人隱私保護(hù)、商業(yè)利益保護(hù)等方面帶來挑戰(zhàn)。

（一）國家安全挑戰(zhàn)

“棱鏡門”已經(jīng)證實美國通過侵入他國網(wǎng)絡(luò)系統(tǒng)，非法獲取他國境內(nèi)的數(shù)據(jù)并進(jìn)行跨境轉(zhuǎn)移，對他國的國家安全造成了侵害和威脅。此外，基于商業(yè)目的的數(shù)據(jù)跨境流動也引起了國家安全的擔(dān)憂。典型的例證是，華為公司在對外擴(kuò)張5G業(yè)務(wù)的過程中，遭到了以美國為首發(fā)達(dá)國家的嚴(yán)格業(yè)務(wù)審查，美國甚至以國家安全問題禁止華為參與本國的5G建設(shè)。究其原因，華為作為跨國通訊科技公司，在業(yè)務(wù)開展過程中需要收集大量的用戶數(shù)據(jù)，部分?jǐn)?shù)據(jù)需要出境傳輸至公司總部或研發(fā)中心所在國進(jìn)行數(shù)據(jù)處理或分析，這引發(fā)了美國等的國家安全擔(dān)憂。?參見王光華：《國家安全審查：政治法律化與法律政治化》，載《中外法學(xué)》2016年第5期。此外，微軟等跨國公司也被歐盟質(zhì)疑參與了美國的監(jiān)視項目。?Martin A. Weiss; Kristin Archick, U.S.-EU Data Privacy： From Safe Harbor to Privacy Shield, EPIC （Mar.10, 2018）, https：//epic.org/crs/R44257.pdf.

總體上講，數(shù)據(jù)跨境流動帶來的國家安全威脅擔(dān)憂并非沒有道理。在世界各國數(shù)字產(chǎn)業(yè)發(fā)展嚴(yán)重失衡的情況下，數(shù)據(jù)由發(fā)展中國家不斷積聚到發(fā)達(dá)國家，可能助長數(shù)據(jù)霸權(quán)的形成，并進(jìn)一步演化為單邊主義的又一重要武器，加劇全球經(jīng)濟(jì)發(fā)展的失衡狀態(tài)，深化發(fā)展中國家對發(fā)達(dá)國家的經(jīng)濟(jì)依附。?參見竺彩華：《市場、國家與國際經(jīng)貿(mào)規(guī)則體系重構(gòu)》，載《外交評論（外交學(xué)院學(xué)報）》2019年第5期。此外，大數(shù)據(jù)、人工智能等技術(shù)的不斷進(jìn)步，使隱藏在數(shù)據(jù)中的人類行為模式被識別出來，包括食物喜好、生活習(xí)慣、健康狀況、職業(yè)選擇偏好等等。通過自由的數(shù)據(jù)跨境流動，利用大數(shù)據(jù)分析，一國可能對他國的社會狀況進(jìn)行精準(zhǔn)畫像，并有針對性地開展情報收集和研判等工作，威脅他國國家安全。為此，發(fā)展中國家必然對本國領(lǐng)土內(nèi)的互聯(lián)網(wǎng)設(shè)備、數(shù)據(jù)收集、傳輸、使用采取限制或禁止的態(tài)度，以保護(hù)國家主權(quán)的不受侵害，而國家安全挑戰(zhàn)亦將成為發(fā)展中國家包括我國制定數(shù)據(jù)跨境流動規(guī)則的重要考量因素。

（二）個人隱私保護(hù)挑戰(zhàn)

在數(shù)據(jù)的跨境流動中，不可避免的涉及個人隱私保護(hù)問題。例如跨境電子商務(wù)中，消費者通過網(wǎng)絡(luò)訂購貨物或服務(wù)，訂單信息、收貨地址、聯(lián)系方式等個人信息以數(shù)據(jù)化的形式出境被境外電商獲取。如果境外數(shù)據(jù)接收方不能提供充分的個人隱私保護(hù)措施或者濫用個人數(shù)據(jù)，就可能侵犯個人隱私權(quán)利，進(jìn)而帶來個人隱私保護(hù)挑戰(zhàn)。典型的例證是，F(xiàn)acebook不但存儲美國公民的數(shù)據(jù)還搜集存儲其他國家公民的數(shù)據(jù)，全球數(shù)以億計的用戶數(shù)據(jù)遭到泄露，并被非法用于政治選舉分析等。?參見張歡、文銘、汪友海：《從Facebook數(shù)據(jù)濫用事件談個人信息法律保護(hù)》，載《重慶郵電大學(xué)學(xué)報（社會科學(xué)版）》2018年第6期。實際上隨著數(shù)字經(jīng)濟(jì)的不斷深化以及全球經(jīng)濟(jì)的互聯(lián)互通，個人信息將無可避免地被數(shù)字化而融入流通之中。從經(jīng)濟(jì)效應(yīng)上看，個人數(shù)據(jù)的取得、加工、分析已經(jīng)成為互聯(lián)網(wǎng)驅(qū)動企業(yè)獲得競爭優(yōu)勢的關(guān)鍵，跨國公司通過個人數(shù)據(jù)的跨境流動開展大數(shù)據(jù)挖掘、智能畫像等開展精準(zhǔn)營銷投放和產(chǎn)業(yè)布局，并獲得經(jīng)濟(jì)利益。此外，對個人來講，在部分商業(yè)場景下如跨境資產(chǎn)配置中，個人數(shù)據(jù)出境是獲得便捷優(yōu)質(zhì)金融服務(wù)的前置條件。然而，如前所述，數(shù)據(jù)跨境流動與個人信息保護(hù)相伴相生，如果缺乏針對“跨境數(shù)據(jù)自由流動”的合理監(jiān)管，將無法有效保障個人的隱私安全。但目前來講，針對數(shù)據(jù)跨境流動還未形成統(tǒng)一的國際法保障體系，?參見張生：《國際投資法制框架下的跨境數(shù)據(jù)流動：保護(hù)、例外和挑戰(zhàn)》，載《當(dāng)代法學(xué)》2019年第5期。個人隱私保護(hù)協(xié)作還局限在個別國與國、國與地區(qū)之間的FTA中，政府國際組織如APEC倡導(dǎo)的《跨境隱私保護(hù)規(guī)則》（CBPR）也并未成為國際社會普遍采納的通行準(zhǔn)則，?參見張金平：《跨境數(shù)據(jù)轉(zhuǎn)移的國際規(guī)制及中國法律的應(yīng)對——兼評我國〈網(wǎng)絡(luò)安全法〉上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則》，載《政治與法律》2016年第12期。因此個人隱私的跨境保護(hù)成為數(shù)據(jù)跨境流動的一大挑戰(zhàn)。

（三）商業(yè)利益保護(hù)挑戰(zhàn)

對于商業(yè)數(shù)據(jù)的采集、形成及基于商業(yè)數(shù)據(jù)的行業(yè)研判，尤其數(shù)字化產(chǎn)品本身如計算機(jī)軟件、影音等往往是數(shù)據(jù)控制企業(yè)智力和勞動的體現(xiàn)。對于計算機(jī)軟件、數(shù)字化影音等產(chǎn)品通過知識產(chǎn)權(quán)法進(jìn)行保護(hù)不存疑問。盡管較傳統(tǒng)實體類知識產(chǎn)權(quán)載體，數(shù)字化知識產(chǎn)權(quán)載體通過數(shù)據(jù)流動的方式更易復(fù)制、傳播，但總體來說在知識產(chǎn)權(quán)法不斷完善的情況下足以對權(quán)利主體的利益進(jìn)行周延保護(hù)。值得注意的是，蘊含數(shù)據(jù)控制主體勞動成果的大數(shù)據(jù)集合如何保護(hù)卻遠(yuǎn)未形成共識，有學(xué)者認(rèn)為應(yīng)當(dāng)通過不正當(dāng)競爭規(guī)則對不當(dāng)利用大數(shù)據(jù)集合的行為加以規(guī)制?參見田小軍、曹建峰、朱開鑫：《企業(yè)間數(shù)據(jù)競爭規(guī)則研究》，載《競爭政策研究》2019第4期。，有學(xué)者則認(rèn)為應(yīng)當(dāng)賦予數(shù)據(jù)主體以財產(chǎn)權(quán)利?參見周林彬、馬恩斯：《大數(shù)據(jù)確權(quán)的法律經(jīng)濟(jì)學(xué)分析》,載《東北師大學(xué)報（哲學(xué)社會科學(xué)版）》2018年第2期。。從功能上講，數(shù)據(jù)集合是大數(shù)據(jù)分析的前提和對象，通過大數(shù)據(jù)分析，企業(yè)可以有的放矢地調(diào)整產(chǎn)能，有針對性地開展市場營銷和產(chǎn)品投放，可為企業(yè)帶來商業(yè)價值和利益。對商業(yè)數(shù)據(jù)集合法律定性的模糊將給企業(yè)的合法商業(yè)利益保護(hù)帶來挑戰(zhàn)。

總之，數(shù)據(jù)在內(nèi)容上既可能表現(xiàn)為個人隱私，也可能體現(xiàn)為商業(yè)利益又可能涉及國家安全和公共利益。少量的數(shù)據(jù)流動可能僅僅損害個人或企業(yè)的合法權(quán)益，大量的規(guī)?；臄?shù)據(jù)流動，則可能影響到一國的經(jīng)濟(jì)社會安全。數(shù)據(jù)蘊含利益的多樣性和交織性，尤其是數(shù)據(jù)量變、質(zhì)變互相轉(zhuǎn)換的過程可能使數(shù)據(jù)表征的利益從單個主體遷移至社會和國家層面，必將對一國的數(shù)據(jù)跨境監(jiān)管政策帶來挑戰(zhàn)。

三、我國數(shù)據(jù)跨境流動規(guī)則的框架性構(gòu)建

（一）規(guī)則構(gòu)建的考量因素

1.結(jié)合我國產(chǎn)業(yè)發(fā)展情況

從全球看，各國數(shù)字經(jīng)濟(jì)發(fā)展參差不齊，在對待數(shù)據(jù)跨境流動上的利益和立場存在著巨大差異，甚至沖突。如印度司法部專家委員會指出，倡導(dǎo)數(shù)據(jù)自由流動只符合美國等少數(shù)在數(shù)字經(jīng)濟(jì)發(fā)展上具有先發(fā)優(yōu)勢國家的利益。而發(fā)展中國家、欠發(fā)達(dá)國家更關(guān)注數(shù)字基礎(chǔ)設(shè)施、數(shù)字化技能等電子商務(wù)基礎(chǔ)設(shè)施的發(fā)展，并希望通過數(shù)據(jù)本地化存儲來促進(jìn)本國數(shù)字產(chǎn)業(yè)的發(fā)展。?Committee of Experts under the Chairmanship of Justice B.N. Srikrishna, A Free and Fair Digital Economy：Protecting Privacy,Empowering Indians，http：//meity.gov.in/writereaddata/files/Data_Protection_Committee_Report.pdf.

從產(chǎn)業(yè)分布上看，2019年全球市值最高的100家企業(yè)中美國占了54家，在互聯(lián)網(wǎng)領(lǐng)域，美國企業(yè)具有巨大的先發(fā)和主導(dǎo)優(yōu)勢，在社交媒體、搜索引擎、電子商務(wù)、云計算等領(lǐng)域都處于全球主導(dǎo)地位。?PwC , Global Top 100 companies by market capitalization, https：//www.pwc.com/gx/en/audit-services/publications/assets/global-top-100-companies-2019.pdf.開放的數(shù)據(jù)跨境流動格局有利于滿足美國數(shù)據(jù)驅(qū)動的技術(shù)型企業(yè)的發(fā)展需要。故而，美國主導(dǎo)下的USMCA盡量取消不必要的數(shù)據(jù)流動限制，例如不要求數(shù)據(jù)本地存儲、限制平臺企業(yè)的民事責(zé)任等。21參見陳寰琦、周念利：《從USMCA看美國數(shù)字貿(mào)易規(guī)則核心訴求及與中國的分歧》，載《國際經(jīng)貿(mào)探索》2019年第6期。與寬松的數(shù)據(jù)跨境流動倡議相對應(yīng)，USMCA中倡導(dǎo)的CBPR規(guī)則在個人信息保護(hù)方面也存在標(biāo)準(zhǔn)偏低的問題。正如有學(xué)者指出，在個人數(shù)據(jù)保護(hù)的評價上，如果以歐盟95年數(shù)據(jù)保護(hù)指令221995年12月，歐盟通過了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的第 95/46/EC 號指令》（Directive 95/46/EC Of The European Parliament And Of The Council Of 24 October 1995 On The Protection Of Individuals With Regard To The Processing Of Personal Data And On The Free Movement Of Such Data ,簡稱《數(shù)據(jù)保護(hù)指令》），并于1998年12月25日正式生效。為10分標(biāo)準(zhǔn)，CBPR規(guī)則僅能達(dá)到6分。23參見洪延青：《看清APEC“跨境隱私保護(hù)規(guī)則”體系背后的政治和經(jīng)濟(jì)》，載數(shù)據(jù)治理和網(wǎng)絡(luò)安全研究聯(lián)盟網(wǎng)，http：//www.dgcs-research.net/a/guanyuwomen/2017/1230/3.html?？傊?，寬松的數(shù)據(jù)跨境流動規(guī)則，有助于美國維持其在數(shù)字經(jīng)濟(jì)上的領(lǐng)先地位，符合其經(jīng)濟(jì)利益。

從我國產(chǎn)業(yè)發(fā)展來看，我國跨境電商以及經(jīng)濟(jì)全球化的蓬勃發(fā)展，使得跨境數(shù)據(jù)流動成為我國企業(yè)與其他國家開展貿(mào)易的重要一環(huán)。阿里巴巴、騰訊、平安、華為等科技公司已經(jīng)在跨境電商、跨境支付、金融普惠、信息服務(wù)等領(lǐng)域形成了領(lǐng)先優(yōu)勢。根據(jù)麥肯錫測算，我國數(shù)字經(jīng)濟(jì)規(guī)模，穩(wěn)居全球數(shù)字經(jīng)濟(jì)的第二大市場，但寬帶數(shù)據(jù)流動量卻僅位居全球第八，僅為美國的20%，與龐大的數(shù)據(jù)經(jīng)濟(jì)體量相比，我國數(shù)據(jù)流動規(guī)模過小。24麥肯錫全球研究院：《中國與世界：理解變化中的經(jīng)濟(jì)聯(lián)系》，https：//www.mckinsey.com.cn/wp-content/uploads/2019/12/中國與世界%EF%BC%9A理解變化中的經(jīng)濟(jì)聯(lián)系-中文全文-Final.pdf。跨境數(shù)據(jù)流動已經(jīng)成為全球主要經(jīng)濟(jì)體之間商業(yè)貿(mào)易和通信不可或缺的重要環(huán)節(jié)。在我國不斷加大對外開放的基礎(chǔ)上，數(shù)據(jù)跨境流動成為繼續(xù)推動我國數(shù)字經(jīng)濟(jì)發(fā)展的必然選擇。我國應(yīng)加快數(shù)據(jù)跨境流動的法律建設(shè)，在有效管控風(fēng)險的基礎(chǔ)上，為形成數(shù)據(jù)跨境流動的有序格局提供制度保障。

2.結(jié)合我國法律現(xiàn)狀和風(fēng)險管控能力

我國目前已經(jīng)初步構(gòu)建了跨境數(shù)據(jù)流動管理的法律法規(guī)架構(gòu)。除了《網(wǎng)絡(luò)安全法》第37條對關(guān)鍵信息基礎(chǔ)設(shè)施個人信息和重要數(shù)據(jù)跨境流動管理之外，我國對某些重要行業(yè)和領(lǐng)域的數(shù)據(jù)跨境流動作了限制性規(guī)定。如《保守國家秘密法》要求防止含有國家秘密的數(shù)據(jù)流出中國；《征信管理條例》規(guī)定征信機(jī)構(gòu)對在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進(jìn)行；《地圖管理條例》規(guī)定互聯(lián)網(wǎng)地圖服務(wù)單位應(yīng)當(dāng)將存放地圖數(shù)據(jù)的服務(wù)器設(shè)在中華人民共和國境內(nèi)，并制定互聯(lián)網(wǎng)地圖數(shù)據(jù)安全管理制度和保障措施。此外，中國人民銀行對個人金融信息數(shù)據(jù)，國家衛(wèi)計委對涉及人口健康信息數(shù)據(jù)，交通運輸部、工信部等7部委《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》對網(wǎng)約車所采集的個人信息和生成的業(yè)務(wù)數(shù)據(jù)等都要求在中國境內(nèi)存儲。

然而如前所述，我國現(xiàn)有數(shù)據(jù)跨境傳輸規(guī)范散見于各行業(yè)或領(lǐng)域的具體法規(guī)，涉及數(shù)字產(chǎn)品和服務(wù)的生產(chǎn)、存儲、使用、監(jiān)管、商業(yè)秘密、個人隱私權(quán)保護(hù)、版權(quán)保護(hù)、內(nèi)容審查等方面的相關(guān)數(shù)據(jù)基礎(chǔ)立法尚不完善，相關(guān)標(biāo)準(zhǔn)規(guī)范發(fā)展滯后，具體監(jiān)管制度有待細(xì)化，跨境數(shù)據(jù)流動監(jiān)測的手段還顯不足。25參見許多奇：《個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對》，載《法學(xué)論壇》2018年第3期。即便《網(wǎng)絡(luò)安全法》試圖在宏觀上明確數(shù)據(jù)跨境的原則，即關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)在中國境內(nèi)存儲在境內(nèi)運營收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，且僅得出于業(yè)務(wù)需要，經(jīng)過相關(guān)監(jiān)管機(jī)關(guān)安全評估，方可向境外傳輸此類信息和數(shù)據(jù)，但總體上來說，《網(wǎng)絡(luò)安全法》數(shù)據(jù)境內(nèi)存儲的規(guī)定仍比較籠統(tǒng)，未對重要數(shù)據(jù)的范圍、個人信息和重要數(shù)據(jù)出境安全評估的標(biāo)準(zhǔn)和程序等進(jìn)行規(guī)定，并未具體明確數(shù)據(jù)的分級和分類，并形成足夠細(xì)分顆粒度的數(shù)據(jù)跨境流動管理策略，也沒有數(shù)據(jù)跨境流動監(jiān)管的國際合作機(jī)制。此外，各行業(yè)主管機(jī)關(guān)僅負(fù)責(zé)對本行業(yè)內(nèi)企業(yè)數(shù)據(jù)跨境傳輸進(jìn)行監(jiān)管制度，在國家層面缺乏集中的監(jiān)管協(xié)調(diào)機(jī)關(guān)，容易產(chǎn)生監(jiān)管競爭或監(jiān)管漏洞。如制藥企業(yè)、智能設(shè)備提供者和線上醫(yī)藥平臺可能同樣會收集、獲得并向境外傳輸人口健康數(shù)據(jù)，但由于不屬于醫(yī)療機(jī)構(gòu)，故不屬于國家衛(wèi)生和計劃生育委員會《人口健康信息管理辦法（試行）》的執(zhí)法監(jiān)管權(quán)限范圍之內(nèi)，導(dǎo)致這些企業(yè)開展的數(shù)據(jù)跨境傳輸在實踐中未被有效監(jiān)管。

作為對比，美國盡管也未進(jìn)行專門的數(shù)據(jù)立法，但其在數(shù)據(jù)跨境流動上卻擁有足夠的制度工具以實現(xiàn)風(fēng)險控制。有學(xué)者就認(rèn)為支撐美國跨境數(shù)據(jù)自由流動主張的背后，除了經(jīng)濟(jì)利益考量還有實現(xiàn)有效法律管控的自信。這主要表現(xiàn)在如下幾方面：第一，互聯(lián)網(wǎng)企業(yè)先發(fā)優(yōu)勢帶來的天然的數(shù)據(jù)本地化存儲及全球數(shù)據(jù)管理權(quán)。麥肯錫報告稱，美國在信息和通訊技術(shù)、媒體和金融行業(yè)的數(shù)字化程度遠(yuǎn)超其他國家，賦予美國對全球數(shù)據(jù)的巨大控制權(quán)或管理權(quán)，而無需擔(dān)心會有大規(guī)模數(shù)據(jù)由本國轉(zhuǎn)移到國外。26參見麥肯錫全球研究院：《數(shù)字時代的中國：打造具有全球競爭力的新經(jīng)濟(jì)》，https：//www.mckinsey.com.cn/wp-content/uploads/2018/03/20180314 -MGI-Digital-China_CN_Full-Report_Digital-View_small.pdf。第二，美國政府對關(guān)鍵部門、行業(yè)和領(lǐng)域的數(shù)據(jù)跨境流動實施了分散、隱蔽但有效的管控。盡管美國不存在普遍性的跨境數(shù)據(jù)流動立法，但至少在電信、科技、衛(wèi)生醫(yī)療、外商投資等關(guān)鍵部門、行業(yè)和領(lǐng)域已經(jīng)建立了分散化、非顯性化的跨境數(shù)據(jù)流動管制要求。部分要求內(nèi)化為國家安全審查的一部分，部分要求通過公共采購合同、網(wǎng)絡(luò)安全協(xié)議等方式得以體現(xiàn)。27ITIF, Cross-Border Data Flows： Where Are the Barriers, and What Do They Cost ? http：//www2.itif.org/2017-cross-border-data-flows.pdf.例如，2018年發(fā)布的《外國投資風(fēng)險審查現(xiàn)代化法》明確將涉及收集美國公民敏感個人數(shù)據(jù)的外國投資（包括非控制性投資）納入審查范圍，防止外國企業(yè)涉足處理美國公民敏感個人數(shù)據(jù)的美國企業(yè)。又如在電信領(lǐng)域，外資運營商通常被要求簽署網(wǎng)絡(luò)安全協(xié)議，以確保執(zhí)法偵聽、政府通信和阻止恐怖主義等管理要求得以實施。同時安全協(xié)議要求通信數(shù)據(jù)包括呼叫識別信息、與用戶位置或身份相關(guān)的信息、電話號碼、用戶賬單記錄等都應(yīng)僅在美國境內(nèi)存儲。28See United States Communication Assistance for Law Enforcement Act, Chapter 1, §103 （1994）.第三，對國際規(guī)則具有高度的主導(dǎo)權(quán)、話語權(quán)和解釋權(quán)。美國作為國際貿(mào)易規(guī)則的主導(dǎo)者，對國際規(guī)則具有很強(qiáng)的話語權(quán)和解釋權(quán)，可以靈活利用規(guī)則賦予的空間維護(hù)本國利益，甚至在貿(mào)易摩擦等極端情形下直接藐視規(guī)則。29參見高程：《從規(guī)則視角看美國重構(gòu)國際秩序的戰(zhàn)略調(diào)整》，載《世界經(jīng)濟(jì)與政治》2013年第12期。例如，靈活運用“安全例外”和“一般例外”原則，對跨境數(shù)據(jù)流動以國家安全為由行使相關(guān)管理措施。第四，美國通過國內(nèi)立法賦予本國執(zhí)法機(jī)構(gòu)對境外數(shù)據(jù)實施長臂管轄的廣泛權(quán)力。30參見夏燕、沈天月：《美國CLOUD法案的實踐及其啟示》，載《中國社會科學(xué)院研究生院學(xué)報》2019年第5期。美國2018年出臺的《澄清境外數(shù)據(jù)的合法使用法案》（CLOUD法案）明確賦予美國執(zhí)法機(jī)構(gòu)跨境調(diào)取數(shù)據(jù)的權(quán)力。因此，美國可以基于國家安全和打擊嚴(yán)重犯罪需要調(diào)取境外存儲的數(shù)據(jù)，并且可調(diào)取數(shù)據(jù)的范圍并不限于美國人的數(shù)據(jù)，可調(diào)取數(shù)據(jù)的企業(yè)范圍也不限于美國企業(yè)或總部在美國的外國企業(yè)。外國企業(yè)只要在美國提供業(yè)務(wù)并且與美國發(fā)生了充分的聯(lián)系，就可能被要求提供數(shù)據(jù)。31U.S. Department of Justice, Promoting Public Safety, Privacy, and the Rule of Law Around the World： The Purpose and Impact of the CLOUD Act, https：//www.justice.gov/opa/press-release/file/1153446/download.

在數(shù)據(jù)跨境流動上，我國還未形成成熟的體系化管理策略。為此，我國應(yīng)當(dāng)進(jìn)一步加快數(shù)據(jù)跨境流動的法律制度建設(shè)，努力細(xì)化國內(nèi)立法，出臺配套實施細(xì)則。同時應(yīng)注意到，數(shù)據(jù)跨境流動管理對我國而言還屬于新命題，出于風(fēng)險管控需要，我國不能像美國一樣單純追求數(shù)據(jù)的自由流動，而應(yīng)當(dāng)在總結(jié)監(jiān)管經(jīng)驗的基礎(chǔ)上，結(jié)合自身國情，在風(fēng)險可控的前提下，穩(wěn)步推進(jìn)數(shù)據(jù)的跨境流動。

3.結(jié)合我國與國際規(guī)則互動情況

在國際規(guī)則方面，OECD《關(guān)于隱私保護(hù)和個人跨境數(shù)據(jù)流動的指南》和APEC《隱私保護(hù)框架》均是推薦性標(biāo)準(zhǔn)，且后者基本吸收了前者的立法成果，其關(guān)于數(shù)據(jù)跨境流動的規(guī)則或者經(jīng)過數(shù)據(jù)主體同意或者采取合理措施確保數(shù)據(jù)接收者履行充分的個人隱私保護(hù)義務(wù)并不必然被成員國采納。32參見黃寧、李楊：《“三難選擇”下跨境數(shù)據(jù)流動規(guī)制的演進(jìn)與成因》，載《清華大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2017年第5期。而在經(jīng)貿(mào)領(lǐng)域，在歐盟推動下WTO框架下的《貿(mào)易總協(xié)定》（GATS）第14條明確成員國可以隱私保護(hù)為由限制個人數(shù)據(jù)的跨境流動，在一定程度上為成員國限制數(shù)據(jù)跨境流動提供了依據(jù)。33參見田翔宇：《我國跨境數(shù)據(jù)流動監(jiān)管體系的國際法分析——以GATS“一般例外”條款為視角》，載《人民法治》2018年第24期。美國推動TPP、USMCA則試圖在WTO外形成區(qū)域性的數(shù)據(jù)自由流動圈。34參見李娜、沈四寶：《數(shù)字化時代跨境數(shù)據(jù)流動與國際貿(mào)易的法律治理》，載《西北工業(yè)大學(xué)學(xué)報（社會科學(xué)版）》2019年第1期。此外，歐盟內(nèi)部通過GDPR基本實現(xiàn)了數(shù)據(jù)在歐盟成員國間自由流動，同時對歐盟以外的國家和地區(qū)又形成了以充分性保護(hù)等為基準(zhǔn)的豐富的數(shù)據(jù)跨境流動渠道。

我國未加入APEC下的CBPR體系，未參加TPP等多邊經(jīng)貿(mào)談判，也未與歐盟達(dá)成關(guān)于數(shù)據(jù)保護(hù)的雙邊協(xié)議，總體上還處于完善國內(nèi)數(shù)據(jù)保護(hù)法規(guī)的階段，對外規(guī)則融入不足。但如前所述，我國存在數(shù)據(jù)跨境流動的產(chǎn)業(yè)發(fā)展需求，且正在進(jìn)行區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系（Regional Comprehensive Economic Partnership）、中日韓自由貿(mào)易協(xié)定談判，談判對象中大多系TPP成員或者已經(jīng)加入了CBPR體系（如日本、韓國），日本甚至已經(jīng)通過了歐盟數(shù)據(jù)保護(hù)的充分性認(rèn)定，經(jīng)貿(mào)談判中涉及的跨境數(shù)據(jù)流動條款必將受到現(xiàn)有國際規(guī)則的影響，甚至?xí)唤梃b到相關(guān)的談判文本中。為此，我國應(yīng)當(dāng)積極熟悉CBPR體系、TPP、USMCA等中有關(guān)數(shù)據(jù)跨境流動的規(guī)則，并借鑒吸收進(jìn)入我國的國內(nèi)立法，為后續(xù)參與國際談判磋商提供國內(nèi)法依托。

總之，我國在數(shù)據(jù)跨境流動上存在現(xiàn)實的利益需求，但國內(nèi)法相關(guān)規(guī)則還不健全亟需完善，在國際合作上也還未形成自己的穩(wěn)定策略，需要借鑒國際組織及歐盟、美國等發(fā)達(dá)國家在數(shù)據(jù)跨境流動國際合作中的有益工具如CBPR體系、“隱私盾”、GDPR下的“企業(yè)約束規(guī)則”（BCR規(guī)則）等，在求同存異中實現(xiàn)數(shù)據(jù)跨境流動的穩(wěn)步推進(jìn)。

（二）數(shù)據(jù)跨境流動的具體規(guī)則

1.建立數(shù)據(jù)分類審核制度

《網(wǎng)絡(luò)安全法》第37條雖然要求建立跨境數(shù)據(jù)流動評估制度，但個人信息和重要數(shù)據(jù)界定、數(shù)據(jù)跨境傳輸?shù)脑u估機(jī)制和評估方法等細(xì)則尚未出臺。從立法目的上看，《網(wǎng)絡(luò)安全法》是基于國家網(wǎng)絡(luò)安全視角提出的，針對數(shù)據(jù)跨境采取了更為直接和嚴(yán)格的干預(yù)手段，缺乏彈性，難以滿足數(shù)據(jù)多樣化的數(shù)據(jù)出境需求。不同類型數(shù)據(jù)體現(xiàn)的法益存在區(qū)別，根據(jù)不同的標(biāo)準(zhǔn)，可以對數(shù)據(jù)進(jìn)行不同的分類。例如根據(jù)載體的不同，數(shù)據(jù)分為電子數(shù)據(jù)與非電子數(shù)據(jù)，或者分為網(wǎng)絡(luò)數(shù)據(jù)與非網(wǎng)絡(luò)數(shù)據(jù)。根據(jù)是否能夠識別特定個人，數(shù)據(jù)分為個人數(shù)據(jù)與非個人數(shù)據(jù)。根據(jù)占有主體的不同，數(shù)據(jù)可以分為政府?dāng)?shù)據(jù)與非政府?dāng)?shù)據(jù)，非政府?dāng)?shù)據(jù)是指企業(yè)等非政府機(jī)構(gòu)擁有的數(shù)據(jù)。根據(jù)產(chǎn)生方式不同，數(shù)據(jù)分為原始數(shù)據(jù)與衍生數(shù)據(jù)。原始數(shù)據(jù)是指不依賴于現(xiàn)有數(shù)據(jù)而產(chǎn)生的數(shù)據(jù)，例如用戶發(fā)表的評論數(shù)據(jù)、信息系統(tǒng)記錄的日志數(shù)據(jù)等。衍生數(shù)據(jù)是指原始數(shù)據(jù)被記錄、存儲后, 經(jīng)過算法加工、計算、聚合而成的數(shù)據(jù)。就數(shù)據(jù)跨境流動而言，從國家安全、企業(yè)商業(yè)利益、個人信息權(quán)益等角度出發(fā)，筆者認(rèn)為可按來源和重要程度將跨境數(shù)據(jù)劃分為個人數(shù)據(jù)、商業(yè)數(shù)據(jù)、特種行業(yè)數(shù)據(jù)，并設(shè)定不同的數(shù)據(jù)出境審核要求和監(jiān)管標(biāo)準(zhǔn)。

（1）個人數(shù)據(jù)。根據(jù)GDPR定義，個人數(shù)據(jù)是指已識別到的或可被識別的自然人（“數(shù)據(jù)主體”）的所有信息，這也被稱為個人數(shù)據(jù)的“可識別標(biāo)準(zhǔn)”。35梅夏英：《在分享和控制之間：數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建》，載《中外法學(xué)》2019年第4期。識別要素包括姓名、身份證號碼、定位數(shù)據(jù)、在線身份等，或者通過該自然人的物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會身份的一項或多項要素予以識別?；跀?shù)據(jù)對個人隱私和國家利益的影響程度，個人數(shù)據(jù)又可進(jìn)一步分為三種類型，一般個人數(shù)據(jù)、敏感個人數(shù)據(jù)和關(guān)鍵個人數(shù)據(jù)，針對三種數(shù)據(jù)類型，實施不同的數(shù)據(jù)本地化和跨境流動限制。對于一般個人數(shù)據(jù)如身高、體重等和敏感個人數(shù)據(jù)如種族、征信信息、財產(chǎn)信息和住宿信息等，允許跨境流動，但要履行通知-同意的程序；或者數(shù)據(jù)接受地達(dá)到與本國相同的保護(hù)程度；或者數(shù)據(jù)出境是為了履行數(shù)據(jù)接收者與數(shù)據(jù)主體之間的合約所必須等?？傊?，對于一般數(shù)據(jù)和敏感個人數(shù)據(jù)允許有限制的跨境流動，符合國際通行做法，也是成熟經(jīng)驗總結(jié)。但是對于關(guān)鍵個人數(shù)據(jù)，比如健康數(shù)據(jù)、遺傳數(shù)據(jù)等，應(yīng)以禁止跨境流動為原則。例如澳大利亞在《個人控制的電子健康記錄法》（Personally Controlled Electronic Health Records, PCEHR）第77章禁止可識別個人身份的健康數(shù)據(jù)向境外傳輸。究其原因，一國的關(guān)鍵個人數(shù)據(jù)已經(jīng)超出了個人隱私的范疇而具有國家安全層面的意義，應(yīng)當(dāng)僅能存儲在本國的服務(wù)器/數(shù)據(jù)中心，原則上禁止離境。

（2）商業(yè)數(shù)據(jù)。商業(yè)數(shù)據(jù)，是指一個產(chǎn)業(yè)，其價值鏈上各個重要環(huán)節(jié)的歷史信息和即時信息的集合，其內(nèi)容包括商業(yè)企業(yè)內(nèi)部數(shù)據(jù)、分銷渠道數(shù)據(jù)、消費市場數(shù)據(jù)等，具有重要的經(jīng)濟(jì)價值。36參見李曉陽：《大數(shù)據(jù)背景下商業(yè)數(shù)據(jù)的財產(chǎn)性》，載《江蘇社會科學(xué)》2019年第5期。其不但能揭示某個產(chǎn)業(yè)的歷史，還能反映產(chǎn)業(yè)的最新發(fā)展，更重要的是能預(yù)示產(chǎn)業(yè)的未來，為該產(chǎn)業(yè)價值鏈上各類企業(yè)的戰(zhàn)略、研發(fā)、營銷、管理等提供可靠的咨詢和指導(dǎo)。大量產(chǎn)業(yè)的商業(yè)數(shù)據(jù)的集合，就是商業(yè)數(shù)據(jù)平臺。商業(yè)數(shù)據(jù)平臺不但能進(jìn)行產(chǎn)業(yè)內(nèi)的橫向和縱向比較，還能進(jìn)行產(chǎn)業(yè)間的比較，更能監(jiān)控各產(chǎn)業(yè)的即時發(fā)展情況。事關(guān)國計民生的某些產(chǎn)業(yè)發(fā)展?fàn)顩r可能通過商業(yè)數(shù)據(jù)跨境流動的方式為他國或第三方獲悉，不但可能損害商業(yè)數(shù)據(jù)中包含的商業(yè)秘密、知識產(chǎn)權(quán)或誘發(fā)不正當(dāng)競爭，還可能侵害一國的國家利益和公共利益，故數(shù)據(jù)控制主體在向境外第三人轉(zhuǎn)移商業(yè)數(shù)據(jù)時應(yīng)當(dāng)履行一定的自查義務(wù)，必要時應(yīng)當(dāng)取得行業(yè)部門的同意。

（3）特種行業(yè)數(shù)據(jù)。對各種行業(yè)數(shù)據(jù)，各國出于國家安全和公共利益考量對其跨境流動采取較為謹(jǐn)慎的態(tài)度。例如德國在2016年針對某一類型的電信元數(shù)據(jù)推出了數(shù)據(jù)本地化存儲的要求，法國在醫(yī)療、信息通信等領(lǐng)域也存在相關(guān)的數(shù)據(jù)出境限制要求。通常來講，對特定行業(yè)數(shù)據(jù)應(yīng)加強(qiáng)安全評估。以金融行業(yè)為例，針對電子銀行的跨境業(yè)務(wù)活動，個人金融信息的儲存、處理和分析，跨境外包，以及征信數(shù)據(jù)的整理、保存和加工等活動進(jìn)行嚴(yán)格的規(guī)定，強(qiáng)調(diào)了數(shù)據(jù)的本地化存儲要求，原則上不得向境外提供。究其原因，宏觀層面來看，是基于國家安全視角；中觀層面，與行業(yè)的監(jiān)管有關(guān)；微觀層面，涉及個人敏感信息。因此，針對電信、金融、石油、電力等關(guān)鍵行業(yè)數(shù)據(jù)跨境流動應(yīng)采取審慎的安全風(fēng)險評估制度，并進(jìn)一步明確安全風(fēng)險評估的管理機(jī)構(gòu)、評估機(jī)構(gòu)的資格認(rèn)定、評估標(biāo)準(zhǔn)、程序，評估結(jié)果管理等具體內(nèi)容。

總之，由于數(shù)據(jù)本身的多樣性，不同性質(zhì)的數(shù)據(jù)在國家安全、公共利益、數(shù)據(jù)主體權(quán)利上的影響存在差異，故而在數(shù)據(jù)跨境流動的治理上應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)體現(xiàn)的不同利益類型進(jìn)行分類管理。通常來講，數(shù)據(jù)中包含的個人隱私、商業(yè)利益較易識別，但對國家安全、公共利益則較難判斷。故在數(shù)據(jù)出境分類審核的制度建設(shè)中應(yīng)強(qiáng)化在法律層面明確哪些數(shù)據(jù)涉及國家安全和公共利益，以穩(wěn)定社會預(yù)期。要區(qū)分個人數(shù)據(jù)、商業(yè)數(shù)據(jù)、特種行業(yè)數(shù)據(jù)，形成對應(yīng)的跨境流動管理策略，根據(jù)數(shù)據(jù)的安全屬性及包含的利益類型進(jìn)行梯度性管理，靈活采用自由流動、本地化副本保留、有條件出境、跨境數(shù)據(jù)流動限制等從完全開放到完全禁止的跨境數(shù)據(jù)流動管理措施。

資料顯示，軍莊鎮(zhèn)的地層主要為古生界的奧陶系和石炭系、二疊系，在奧陶系與石炭、二疊系之間存在平行不整合接觸關(guān)系，向斜構(gòu)造明顯[4]，其中石炭系、二疊系地層單位均是以本地區(qū)地名命名[5]，巖層中植物化石豐富[6-7].

2.強(qiáng)化數(shù)據(jù)安全的技術(shù)建設(shè)

數(shù)據(jù)的跨境流動依托互聯(lián)網(wǎng)網(wǎng)絡(luò)，“棱鏡門”事件已經(jīng)表明在網(wǎng)絡(luò)攻擊下，數(shù)據(jù)存在非法流出境外的隱患。因此有必要強(qiáng)化數(shù)據(jù)安全的技術(shù)安排，通過技術(shù)手段預(yù)防、限制、制止數(shù)據(jù)的非法出境行為。USMCA就明確締約各方應(yīng)加強(qiáng)應(yīng)對網(wǎng)絡(luò)安全事件的能力，加強(qiáng)網(wǎng)絡(luò)安全協(xié)作，共享網(wǎng)絡(luò)安全信息，防范惡意代碼攻擊，并提倡基于風(fēng)險的方法（risk-based approaches）以識別和防范網(wǎng)絡(luò)安全風(fēng)險。就數(shù)據(jù)跨境流動而言，除了采取必要技術(shù)措施以保障網(wǎng)絡(luò)安全、穩(wěn)定運行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防止數(shù)據(jù)泄露、毀損、丟失外，還應(yīng)根據(jù)數(shù)據(jù)流動的特征采取流量路由等必要措施對數(shù)據(jù)的走向、總量進(jìn)行必要控制，在威脅國家安全等情況下甚至阻斷數(shù)據(jù)的傳播。此外，要積極吸收先進(jìn)技術(shù)成果，采用數(shù)據(jù)加密或數(shù)據(jù)脫敏從源頭做好個人隱私和其他重要數(shù)據(jù)的保護(hù)。在制度安排上，要建立定期測試、評估、評價技術(shù)和管理措施是否有效的體系。

3.完善數(shù)據(jù)主體等的法律權(quán)利

在個人數(shù)據(jù)保護(hù)上，GDPR設(shè)定了高標(biāo)準(zhǔn)的示范，并提供了豐富的制度工具如算法可解釋權(quán)、刪除權(quán)、可攜帶權(quán)等供個人主張以應(yīng)對不當(dāng)利用個人數(shù)據(jù)的行為。亞洲太平洋經(jīng)濟(jì)合作組織（APEC）的《跨境隱私保護(hù)規(guī)則》（CBPR）則在數(shù)據(jù)跨境流動上規(guī)定了數(shù)據(jù)收集目的明確，數(shù)據(jù)使用范圍限制，安全保障，透明度，個人參與，權(quán)利救濟(jì)與問責(zé)等法律原則。但我國卻無專門數(shù)據(jù)立法對數(shù)據(jù)主體等的權(quán)利進(jìn)行明確規(guī)定。此外，在企業(yè)數(shù)據(jù)保護(hù)方式的選擇上，目前還沒有統(tǒng)一的法律模式。37參見龍衛(wèi)球：《再論企業(yè)數(shù)據(jù)保護(hù)的財產(chǎn)權(quán)化路徑》，載《東方法學(xué)》2018年第3期。除了通過不正當(dāng)競爭法（行為法）、財產(chǎn)權(quán)（權(quán)力法）的模式選擇外，還有學(xué)者提出通過構(gòu)建大數(shù)據(jù)有限排他權(quán)等知識產(chǎn)權(quán)體系對企業(yè)數(shù)據(jù)進(jìn)行保護(hù)。38參見崔國斌：《大數(shù)據(jù)有限排他權(quán)的基礎(chǔ)理論》，載《法學(xué)研究》2019年第5期。

數(shù)據(jù)的跨境流動屬于數(shù)據(jù)運用的一種，基于前述個人隱私侵犯風(fēng)險、企業(yè)財產(chǎn)權(quán)利受損風(fēng)險，數(shù)據(jù)主體等權(quán)利的缺失將使受害人無法獲得周延的權(quán)利救濟(jì)，也使行政執(zhí)法或司法裁判陷于無法可依的境地。為此，我國亟需完善并明確規(guī)定數(shù)據(jù)主體等的權(quán)利，在加強(qiáng)行政監(jiān)管、規(guī)范數(shù)據(jù)控制主體行為的同時，使數(shù)據(jù)主體及時獲得私法救濟(jì)，并調(diào)動社會監(jiān)督的積極性，保證數(shù)據(jù)跨境流動的合法有序進(jìn)行。

4.完善數(shù)據(jù)出境過程中相關(guān)主體的風(fēng)險管理責(zé)任

鼓勵行業(yè)協(xié)會及其他自律組織參與安全評估，建立可落地實施，具有活力的數(shù)據(jù)管理秩序，作為行政監(jiān)管的補(bǔ)充。從歐盟的法律實踐看，數(shù)據(jù)控制者可以成立協(xié)會并提出所遵守的詳細(xì)行為準(zhǔn)則（codes of conduct），該行為準(zhǔn)則經(jīng)由成員國監(jiān)管機(jī)構(gòu)或者歐盟數(shù)據(jù)保護(hù)委員認(rèn)可后，可通過有約束力的承諾方式生效。39EU, General Data Protection Regulation，https：//gdpr-info.eu/, last visted Jan. 10, 2020.如前所述，我國目前已經(jīng)初步構(gòu)建了跨境數(shù)據(jù)流動管理的法律法規(guī)架構(gòu)，但具體的監(jiān)管制度仍有待細(xì)化和完善。數(shù)據(jù)跨境流動監(jiān)管畢竟屬于新鮮事物，在探索性的監(jiān)管過程中，既要避免管得過死、過細(xì)，實質(zhì)阻礙了數(shù)字經(jīng)濟(jì)的現(xiàn)實需要，又要避免過粗、過于原則，無法發(fā)揮指導(dǎo)作用。為此可以通過自律組織依據(jù)本行業(yè)的具體特點制定探索性政策、指南的方式，對法律規(guī)定的跨境數(shù)據(jù)流動的基本原則及主要制度作進(jìn)一步細(xì)化，為企業(yè)和機(jī)構(gòu)提供合規(guī)性操作指引。

進(jìn)一步落實數(shù)字控制主體的數(shù)據(jù)保護(hù)自查責(zé)任。數(shù)據(jù)控制主體內(nèi)部需建立數(shù)據(jù)保護(hù)體系，明確數(shù)據(jù)各生命周期環(huán)節(jié)的具體操作規(guī)范，加強(qiáng)內(nèi)部監(jiān)控，避免不當(dāng)操作。凡出境業(yè)務(wù)，需經(jīng)過合規(guī)部門預(yù)研、審核，確保涉及數(shù)據(jù)收集、傳輸、處理等操作的每一步都符合出境的監(jiān)管要求。從國際經(jīng)驗看，澳大利亞采取了“創(chuàng)始人”（生成數(shù)據(jù)的人）的制度，利用數(shù)據(jù)保護(hù)性標(biāo)識督促數(shù)據(jù)控制主體履行數(shù)據(jù)保護(hù)義務(wù)。40Asia Business Law Institute, Regulation of Cross-Border Transfers of Personal Data in Asia，https：//www.abli.asia/UploadPDF/DP_Compendium_May_2018.pdf.當(dāng)數(shù)據(jù)生成時，創(chuàng)始人需要評估未經(jīng)許可訪問或不當(dāng)使用數(shù)據(jù)所帶來的損害及后續(xù)影響，如果數(shù)據(jù)的跨境流動可能會損害國家和他人利益，則該數(shù)據(jù)應(yīng)被施加保護(hù)標(biāo)識，在披露或向機(jī)構(gòu)外傳輸前，應(yīng)采取適當(dāng)保護(hù)措施。通過數(shù)據(jù)創(chuàng)始人制度（Originator）對數(shù)據(jù)跨境的要求進(jìn)行處理，只有獲得Originator 授權(quán)并移除標(biāo)記，相關(guān)數(shù)據(jù)才可跨境。總之，不管是基于風(fēng)險控制還是利益補(bǔ)償?shù)冉嵌瓤剂?，?shù)據(jù)控制主體履行相應(yīng)數(shù)據(jù)出境自查或者保護(hù)義務(wù)，符合責(zé)任分配的一般法理。具體來講，每個數(shù)據(jù)控制主體需要根據(jù)不同業(yè)務(wù)要求和操作環(huán)境，確定其風(fēng)險承受水平，人員、數(shù)據(jù)以及資產(chǎn)的具體風(fēng)險，并采取相應(yīng)的保護(hù)措施以減輕風(fēng)險，包括采取風(fēng)險識別、風(fēng)險評估、制定風(fēng)險排除方案等。

總而言之，在數(shù)據(jù)跨境流動的風(fēng)險管理上，應(yīng)當(dāng)形成政府層面的宏觀審慎監(jiān)管，行業(yè)協(xié)會自律監(jiān)管和精細(xì)化指引、數(shù)據(jù)控制主體積極自查這樣一種各司其職、各負(fù)其責(zé)的組織架構(gòu)。當(dāng)然，除了上述三類主體外，還應(yīng)發(fā)揮市場其他主體功能，如鼓勵第三方機(jī)構(gòu)對提供云計算、大數(shù)據(jù)業(yè)務(wù)的服務(wù)商、境外智能制造企業(yè)進(jìn)行安全資質(zhì)信用評級，為境內(nèi)企業(yè)選擇合作方提供參考；鼓勵互聯(lián)網(wǎng)服務(wù)提供者自愿采取行動限制對數(shù)據(jù)的惡意訪問或者對敏感信息和重要數(shù)據(jù)的訪問等，引導(dǎo)多元化市場主體參與數(shù)據(jù)跨境流動規(guī)范建設(shè)。但是，鑒于數(shù)據(jù)跨境流動場景多元化和復(fù)雜化趨勢，各方權(quán)利義務(wù)的具體配置還有待實踐的發(fā)展和理論的探索。

5.豐富合法流動渠道

從我國的監(jiān)管實踐看，除了涉及國家利益、公共利益的特定行業(yè)數(shù)據(jù)、個人數(shù)據(jù)絕對禁止出境外，對于其他個人數(shù)據(jù)和商業(yè)數(shù)據(jù)，網(wǎng)信辦《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》、國家信息安全標(biāo)準(zhǔn)化委員會《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》設(shè)定了較為嚴(yán)格的事前“許可”監(jiān)管機(jī)制，包括履行“通知-同意”程序、安全自評估、行業(yè)主管部門評估等。一刀切的事前“許可”可以提高我國的風(fēng)險控制能力，但與全球化數(shù)字經(jīng)濟(jì)的發(fā)展趨勢卻極不適應(yīng)。數(shù)據(jù)的跨境流動并不遵循特定路徑，而是通過多種方式、多種渠道，例如E-mail、即時通信、提供數(shù)據(jù)庫訪問權(quán)限，或者是通過內(nèi)部網(wǎng)絡(luò)進(jìn)行交換。一刀切的事前許可門檻，往往只是增加形式上的行政負(fù)擔(dān)，最終可能被束之高閣，難以適用。為了滿足數(shù)據(jù)日常化、規(guī)?；目缇承枨?，在不涉及國家安全和公共利益的數(shù)據(jù)跨境流動上，應(yīng)為“合理有序的數(shù)據(jù)流動”提供盡可能豐富的合法渠道。從歐盟GDPR關(guān)于數(shù)據(jù)跨境流動規(guī)則看，除了用戶同意外，另構(gòu)建起了“充分性認(rèn)定”、充分保障措施、數(shù)據(jù)轉(zhuǎn)移是為了履行與數(shù)據(jù)主體之間的協(xié)議所必需等事前“許可”的豁免事由。因履行與數(shù)據(jù)主體之間的協(xié)議所必須的數(shù)據(jù)出境情況可歸結(jié)為用戶的默示同意，適用場景有限，故充分性認(rèn)定和充分保障措施成為歐盟等重點參與構(gòu)建的數(shù)據(jù)跨境機(jī)制，值得我國借鑒。具體而言：

（1）建立白名單機(jī)制。“白名單機(jī)制” 建立根據(jù)數(shù)據(jù)保護(hù)狀況及對等措施，將部分地區(qū)納入可自由流動的國家與地區(qū)。例如要獲得歐委會批準(zhǔn)的充分性認(rèn)定資格，一國數(shù)據(jù)保護(hù)立法、執(zhí)法環(huán)境、是否存在有效的損害救濟(jì)機(jī)制等是首要考量因素。41參見賈開：《跨境數(shù)據(jù)流動的全球治理：權(quán)力沖突與政策合作——以歐美數(shù)據(jù)跨境流動監(jiān)管制度的演進(jìn)為例》，載《汕頭大學(xué)學(xué)報（人文社會科學(xué)版）》2017年第5期。美國CLOUD法案則規(guī)定能與其進(jìn)行境外數(shù)據(jù)執(zhí)法合作的“適格外國政府”必須符合法治、人權(quán)、有充分的數(shù)據(jù)保護(hù)實體和程序立法等核心標(biāo)準(zhǔn)。42參見魏書音：《CLOUD法案隱含美國數(shù)據(jù)霸權(quán)圖謀》，載《中國信息安全》2018年第4期。從本質(zhì)上來講，白名單機(jī)制是一國認(rèn)為他國的數(shù)據(jù)保護(hù)水平達(dá)到本國的最低要求，進(jìn)而認(rèn)為本國數(shù)據(jù)流入他國會得到充分的保護(hù)，而不至于損害數(shù)據(jù)主體合法權(quán)益。但需要注意的是，白名單本身應(yīng)當(dāng)是可以靈活調(diào)整的，應(yīng)當(dāng)建立起定期評估與臨時評估等制度，以保證數(shù)據(jù)流入國始終保持高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。歐盟法院以美國情報機(jī)關(guān)可能濫用數(shù)據(jù)收集權(quán)力為由最近宣布“隱私盾”無效本身，已經(jīng)從實踐說明了“白名單”不能是一成不變的。我國在完善數(shù)據(jù)保護(hù)政策和法律規(guī)范的前提下，可通過建立白名單機(jī)制，以減輕企業(yè)合規(guī)負(fù)擔(dān)，暢通數(shù)據(jù)跨境流動的渠道。此外，在白名單之外還應(yīng)配套相應(yīng)的域外執(zhí)法管轄和責(zé)任追究機(jī)制，白名單中的組織、個人開展數(shù)據(jù)活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權(quán)益的，依法追究其法律責(zé)任。

（2）充分性保障措施。若向白名單以外國家傳輸數(shù)據(jù)，只要數(shù)據(jù)控制者、數(shù)據(jù)處理者承諾提供充分的數(shù)據(jù)保護(hù)措施，數(shù)據(jù)就可以跨境流動。從實踐看，充分性保障措施主要包括標(biāo)準(zhǔn)合同條款、具有約束力的集團(tuán)企業(yè)規(guī)則、經(jīng)批準(zhǔn)的認(rèn)證機(jī)制等。43參見中國信息通信研究院安全所等：《歐盟GDPR合規(guī)指引》，https：//www.cebnet.com.cn/upload/resources/file/2019/05/29/39038.pdf。標(biāo)準(zhǔn)合同條款由政府依據(jù)數(shù)據(jù)保護(hù)原則主導(dǎo)制定，通過合同來管控數(shù)據(jù)出境風(fēng)險。在合同的具體內(nèi)容上包含當(dāng)事人雙方應(yīng)當(dāng)遵守的數(shù)據(jù)保護(hù)規(guī)定，明確不得跨境的數(shù)據(jù)類型；要求境內(nèi)企業(yè)對其數(shù)據(jù)進(jìn)行分類管理，境外企業(yè)不得通過芯片后門等方式獲得禁止跨境的數(shù)據(jù)；合作雙方均應(yīng)遵守我國相關(guān)數(shù)據(jù)保護(hù)法律規(guī)定，合同適用我國法律，并由我國法院管轄。如果數(shù)據(jù)控制者、數(shù)據(jù)處理者等主體間采用了標(biāo)準(zhǔn)合同條款，則合同僅需在主管部門備案而無需主管部門批準(zhǔn)即可進(jìn)行數(shù)據(jù)跨境流動。具有約束力的集團(tuán)企業(yè)規(guī)則主要適用于跨國集團(tuán)企業(yè)內(nèi)部進(jìn)行數(shù)據(jù)流動，歐盟的BCR規(guī)則認(rèn)為如果跨國集團(tuán)遵循一套完整的，經(jīng)個人數(shù)據(jù)監(jiān)管機(jī)構(gòu)認(rèn)可的數(shù)據(jù)處理機(jī)制，則該集團(tuán)內(nèi)部整體成為一個“安全港”，個人數(shù)據(jù)可以從集團(tuán)內(nèi)的一個成員合法傳輸給另一個成員，而無需經(jīng)主管部門批準(zhǔn)。經(jīng)批準(zhǔn)的認(rèn)證機(jī)制上，APEC的跨境商業(yè)個人隱私保護(hù)規(guī)則體系（CBPR）提供了極好的范例。CBPR規(guī)則下，獲得政府認(rèn)可的評估機(jī)構(gòu)對商業(yè)機(jī)構(gòu)保護(hù)個人隱私與信息的水平進(jìn)行認(rèn)證，獲得認(rèn)證的企業(yè)之間可以進(jìn)行數(shù)據(jù)的自由交換，當(dāng)然也包括數(shù)據(jù)跨境流動。44APEC, APEC Cross－ border Privacy Enforcement Arrangement, https：//www.apec.org/About-Us/About-APEC/Fact-Sheets/APECCross-border-Privacy-Enforcement-Arrangement.aspx, last visted Jan. 10, 2020.

當(dāng)然，隨著實踐的不斷發(fā)展，數(shù)據(jù)跨境流動的通道將超出上述類型。但總的說來，在不涉及國家利益與公共利益時，應(yīng)當(dāng)采用靈活多樣的措施應(yīng)對數(shù)據(jù)的跨境流動需求。原則上來講，只要為數(shù)據(jù)保護(hù)提供了充分的制度工具及充分的救濟(jì)手段，就應(yīng)當(dāng)允許數(shù)據(jù)的跨境流動。

6.以國際合作促進(jìn)我國數(shù)據(jù)跨境流動規(guī)則建設(shè)

數(shù)據(jù)跨境流動對以科技驅(qū)動的現(xiàn)代經(jīng)貿(mào)發(fā)展的重要意義促使歐、美等發(fā)達(dá)國家著力推動建立數(shù)據(jù)跨境流動的新秩序。例如美國在APEC“跨境隱私保護(hù)規(guī)則”下致力于構(gòu)建經(jīng)貿(mào)領(lǐng)域數(shù)據(jù)跨境流動規(guī)則，形成區(qū)域性的數(shù)據(jù)自由流動圈；歐盟以GPDR為標(biāo)桿，并利用數(shù)據(jù)保護(hù)立法的先發(fā)優(yōu)勢，使各國的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)向其靠攏。美國與歐盟在數(shù)據(jù)跨境流動合作上固然有自己的利益考量，但從效果上看，避免了國際和區(qū)域數(shù)據(jù)保護(hù)政策的重復(fù)性和碎片化，提高了政策的兼容性，以保護(hù)跨境數(shù)據(jù)流動，防止各國制造數(shù)據(jù)流動的障礙。我國《數(shù)據(jù)安全法（草案）》第10條亦提出我國應(yīng)積極開展數(shù)據(jù)領(lǐng)域國際交流與合作，參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定，促進(jìn)數(shù)據(jù)跨境安全、自由流動。為此我國應(yīng)當(dāng)積極參與數(shù)據(jù)跨境流動的國際合作，融入數(shù)據(jù)跨境流動的游戲規(guī)則，不斷總結(jié)發(fā)達(dá)國家監(jiān)管經(jīng)驗的有益做法如數(shù)據(jù)訪問、保留、安全、審查等相關(guān)要求的執(zhí)法標(biāo)準(zhǔn)，實現(xiàn)國際規(guī)則有條件的等同采納、雙多邊規(guī)則互通互認(rèn)、先進(jìn)規(guī)則吸收改造，進(jìn)而反哺我國數(shù)據(jù)跨境流動規(guī)則完善。但同時需要注意的是，在國際合作中，我國亦應(yīng)當(dāng)堅持以自身的管理需要和實際出發(fā)，對與履行國際義務(wù)和維護(hù)國家安全相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制；對在數(shù)據(jù)和數(shù)據(jù)開發(fā)利用技術(shù)等有關(guān)的投資、貿(mào)易方面對我國采取歧視性的禁止、限制或者其他類似措施的，我國應(yīng)根據(jù)實際情況保留進(jìn)行對等反制的權(quán)利。

四、結(jié)語

我國在構(gòu)建數(shù)據(jù)跨境流動規(guī)則的過程中應(yīng)當(dāng)處理好國家安全維護(hù)、數(shù)據(jù)主體權(quán)益保障、經(jīng)濟(jì)貿(mào)易發(fā)展需要之間的利益平衡關(guān)系。在信息通信技術(shù)與經(jīng)貿(mào)全球化深度耦合背景下，應(yīng)當(dāng)承認(rèn)數(shù)據(jù)的跨境流動是絕對的，而對數(shù)據(jù)流動的限制是相對的。我國目前缺少專門的法律規(guī)范以推動數(shù)據(jù)跨境流動的有序進(jìn)行，既不利于我國數(shù)字貿(mào)易的全球化開展，也不利于國家安全和個人隱私等的有效維護(hù)。

為此我國亟需制定數(shù)據(jù)跨境流動的法律規(guī)則，以適應(yīng)全球貿(mào)易的數(shù)字化趨勢。在數(shù)據(jù)跨境流動法律規(guī)則的制定上，我國應(yīng)當(dāng)依據(jù)不同數(shù)據(jù)類型體現(xiàn)的國家安全、公共利益、數(shù)據(jù)主體利益的不同對數(shù)據(jù)流動進(jìn)行分類規(guī)制，并在法律層面明晰各類數(shù)據(jù)的范圍。對涉及國家安全、公共利益的數(shù)據(jù)原則禁止出境，對僅涉及數(shù)據(jù)主體利益、商業(yè)利益的數(shù)據(jù)應(yīng)當(dāng)允許有條件出境。在數(shù)據(jù)出境監(jiān)管上，應(yīng)當(dāng)構(gòu)建數(shù)據(jù)控制主體和數(shù)據(jù)處理主體自查自糾、行業(yè)協(xié)會自律監(jiān)管指導(dǎo)、國家專門機(jī)關(guān)統(tǒng)籌協(xié)調(diào)監(jiān)管三位一體的組織格局；在個人隱私和商業(yè)秘密等的保護(hù)上，要利用相關(guān)加密技術(shù)對出境數(shù)據(jù)進(jìn)行預(yù)處理，并加強(qiáng)數(shù)據(jù)傳輸網(wǎng)絡(luò)的安全防范能力，以防止數(shù)據(jù)的不當(dāng)泄露；在法律層面上，應(yīng)完善數(shù)據(jù)主體權(quán)利和相關(guān)主體責(zé)任，豐富數(shù)據(jù)合法出境渠道，實現(xiàn)數(shù)據(jù)有序可控流動。同時我國應(yīng)當(dāng)積極參與數(shù)據(jù)跨境流動的國際合作，推動數(shù)據(jù)跨境流動實踐，進(jìn)而反哺數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構(gòu)建。