我國數據跨境流動的治理框架與實踐方案

李海英　馬民虎

摘? ?要：全球復雜多變的跨境數據治理格局下，我國秉持安全發展的治理目標，綜合運用政策法規、技術標準、行業規范等治理工具，穩步構筑以公權主導的多層規范為基石、多方磋商的協調規約為脈絡、特區試點的沙盒規制為補充的治理框架，廣域開展多元主體共同參與的多方利益充分博弈的治理實踐，基于發展導向推進彈性治理、基于國家安全進行審慎治理、基于風險評估拓展專項治理，進而勾勒數據合規跨境流動的路徑選擇與具象流程，推動數字經濟長足發展，提升國家治理能力與國際話語權。

關鍵詞：數據跨境；數據流動；治理框架；實踐方案

中圖分類號：D922.16? ?文獻標識碼：Ａ? ?DOI：10.11968/tsyqb.1003-6938.2022085

Governance Framework and Practical Scheme of Cross-border Data Flow in China

Abstract Under the complex and changeable pattern of cross-border data governance， China upholds the governance goal of safety and development， comprehensively applies solving tools of policies， regulations， technical standards， industry norms， and steadily builds a solving idea with multi layer norms dominated by public power as the cornerstone， coordinated regulations through multi-party consultation as the vein， and sandbox regulations used in special economic zones. To carry out the extensive governance practice of sufficient game of multi-interests with the participation of multiple subjects， promote the flexible governance based on development， improve prudent governance based on national security， and expand special governance based on risk assessment， so as to outline the path selection and concrete process of cross-border data compliance， promote the long-term development of digital economy， improve the national governance capacity and international right of speech.

Key words cross-border data; data flow; governance framework; practical scheme

第四次工業革命的可持續發展以物聯網、區塊鏈、云計算、人工智能等數據密集型技術的開發應用為關鍵支撐。全球泛在的數字化轉型浪潮下高質量的跨境數據有序流動積極賦能實體經濟、助力國家治理能力現代化、提升國際合作的核心競爭力，“跨境傳輸、存儲和處理數據的能力是現代國際數字經濟的基礎”［1］。

面對海量數據跨境合理利用逐漸成為數字文明核心動能的全新格局，亟待深入分析我國聚焦數據安全與數據流動之間動態平衡的基本戰略，具體描繪迅速形成的集國內政策法規、標準規范、技術工具與國際條約協定等于一體的數據跨境流動的綜合治理思路，通過聚類探討典型案件持續落地中日益趨向有序化、系統化和可實操化的治理經驗，細化勾勒數據合規跨境流動的框架方案，在復雜多變的國際數據移轉中積極維護國家數據主權、保護重要數據和個人信息安全、促進數字經濟健康有序發展。

1? ?我國數據跨境流動的治理框架

跨境數據流動的高效治理是數據治理的重要組成，助力打造數字社會的有序格局。近年來，我國堅守安全發展的治理目標，綜合運用法律法規和其他規范性文件、技術標準與行業自律規則等治理手段，引導激勵從業主體完善內部監管機制，積極參與旨在實現數據安全自由地跨境流動的多雙邊協議磋商，并在遍布全國的數字化自貿區因地制宜地推行數據跨境流動的沙盒治理，全面提升不同類型數據對象全生命周期中跨境流動的風險管控水平，充分發揮數據驅動經濟發展的重大效用，為國家治理體系和治理能力現代化添磚加瓦。

1.1? ? 公權主導的多層規范為基石

數據跨境流動的有序治理依賴國家公權部門主導建設效力等級不一的政策法規體系和一系列規范性文件。我國關于數據跨境流動的基本法律條款最早見于2016年頒布的《網絡安全法》第37條，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”［2］為了更好地執行數據出境安全評估，國家網信部門于2017年和2019年分別發布《個人信息和重要數據出境安全評估辦法（征意稿）》和《個人信息出境安全評估辦法（征意稿）》，卻因為利益相關方構成復雜且數量龐大、具體措施技術性較強且流程繁瑣以及數據市場迅速變化等未能正式實施。

隨著數據安全事件和侵害個人信息的惡性案件頻繁發生，《數據安全法》和《個人信息保護法》等基本法相繼出臺。《數據安全法》表明我國促進數據安全自由跨境流動的態度，主張開展數據安全治理和數據開發利用等領域的國際交流與合作、參與制定數據安全相關國際規則和標準，建立重要數據跨境流動的分級管理制度。《個人信息保護法》設置專章構建個人信息跨境規則，不僅強調必須通過網信部門的安全評估、專業機構的個人信息保護認證、采用網信部門的標準合同或是符合法律法規或網信部門規定的其他條件，還要求境外個人信息處理活動達到同等保護標準。

此后，國家互聯網信息辦公室發布了《個人信息出境標準合同規定（征意稿）》，明確通過簽訂標準合同的方式向境外提供個人信息的前提條件、事前個人信息保護影響評估的重點內容、標準合同的主要內容和備案方式等［3］；頒行了旨在“規范數據出境活動，保護個人權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動”的《數據出境安全評估辦法》，提出“事前評估和持續監督相結合、風險自評估與安全評估相結合”的數據出境安全評估模式及其具體要求和細化流程［4］。同時，國家互聯網信息辦公室與國家市場監督管理總局聯合發布了《個人信息保護認證實施規則》，規定了對個人信息處理者開展個人信息出境等處理活動進行認證的基本原則、模式要求和實施程序等［5］。此外，我國陸續出臺了一些針對細分行業數據跨境流動的監管要求。如《地圖管理條例》要求存放地圖數據的服務器必須在我國境內并建立地圖數據安全管理制度和保障措施［6］。

由此，我國通過《網絡安全法》《數據安全法》《個人信息保護法》等基本法，《數據出境安全評估辦法》《個人信息保護認證實施規則》等規范性文件，《地圖管理條例》《汽車數據管理若干規定（試行）》等特定行業限制規范，輔以一些具有監管趨勢提示意義的征求意見稿以及全國信息安全標準化技術委員會陸續發布的《信息安全技術 個人信息安全規范》（GB/T 35273）《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》（TC260-PG-20222A）等標準化實踐指引，逐步構建公權主導的數據跨境治理的多層規范體系，為更好地開展數據跨境流動提供重要基石和有益參考。

1.2? ? 多方磋商的協調規約為脈絡

數字經濟高速發展的全球新形勢下，鼓勵數據跨境流動的貿易規則逐漸成為多雙邊自由貿易協談的核心議題，甚至在關乎國計民生的金融數據領域亦呈現出促進數據跨境流動的態勢，“在以經營業務為目的并得到客戶授權許可的前提下，締約方不得阻止金融機構以及金融服務提供商出境轉移數據。”［7］同時，我國的《個人信息保護法》和《數據安全法》等均強調主管機關有權按照我國締結或參加的國際條約、協定或按照平等互惠的原則，依法處理外國司法或執行部門關于提供存儲在我國境內數據的要求。前者還全面肯定了依據我國締結或參加的國家條約或協定向境外提供個人信息的合法性，“中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行”［8］；后者則倡導“國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定”［9］。

長期以來，我國一直堅持以世界貿易組織為核心的多邊貿易體制，全面參與世貿組織的電子商務規則多方磋商，積極在實現信任數據自由流動的數字貿易規則建設中展示中國方案，試圖更好地平衡數據跨境流動的安全問題與數字經濟發展之間的關系，打造市場化、法治化、國際化、多維化的數據流轉環境。

2021年3月，我國完成《區域全面伙伴關系協定》（Regional Comprehensive Economic Partnership）的核準工作，承諾自協定正式生效之日起予以遵循［10］。該協定是我國簽署的包含數據跨境流動條款的首個多邊協調規約，在“電子商務”一章中強調了締約方有權自行建立數據跨境流動的監管機制，可以要求計算設施的使用或位置必須具備保證通信安全和通信秘密的獨立措施，但除非為了實現合法的公共政策目標所必須且不得構成肆意或不合理的歧視和變相貿易限制，或者屬于維護基本安全利益所必要的情況，不得阻止商業性數據跨境傳輸［11］。該協定為包括中國、韓國、日本、新西蘭、澳大利亞和東盟十國等在內的締約方提供了更為明確清晰且實操性較強的優化跨境供應鏈和價值資源的重要工具，減少海外運營中強制性數據中心本地化要求，促進數據跨境流動，規范發展跨境商業市場。

我國不僅大力提升《區域全面伙伴關系協定》的建設水平、落實市場開放承諾、履行協定義務、促進政策紅利持續釋放，還積極開展加入《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership）和《數字經濟伙伴關系協定》（Digital Economy Partnership Agreement）的磋商活動。前者建立了締約方之間在保護消費者數據隱私的基礎上安全自由地傳輸數據并禁止服務器本地化的開放機制［12］，后者肯定了締約方應當允許廣泛信息通過電子方式跨境傳輸［13］。

1.3? ? 特區試點的沙盒規制為補充

在我國穩步推進中國特色自貿區建設過程中，面對諸多深化改革和試驗高水平開放政策的特定區域高漲的數據跨境流動需求與相關規范性文件限制較多的艱難局面，從不同地區的產業發展現狀與實際需求出發，積極構建和全面落實包括數據跨境流動的安全試點、跨境數據流通服務與分類監管等在內的沙盒規制方案。

一方面，中共中央、國務院就國家級層面建設的深度合作區和自由貿易港的數據跨境流動的沙盒規制明確總體要求、行動規劃和規則導向等。如《海南自由貿易港總體建設方案》對于數據跨境傳輸安全管理、便利個人信息安全出境評估、探索加入國際數據跨境流動的規制方案等作出了相關策劃，2025年前“在國家數據跨境傳輸安全管理制度框架下，開展數據跨境傳輸安全管理試點，探索形成既能便利數據流動又能保障安全的機制”；2035年前“實現數據安全有序流動。創新數據出境安全的制度設計，探索更加便利的個人信息安全出境評估辦法。開展個人信息入境制度性對接，探索加入區域性國際數據跨境流動制度安排，提升數據傳輸便利性。積極參與跨境數據流動國際規則制定，建立數據確權、數據交易、數據安全和區塊鏈金融的標準和規則。”［14］《橫琴粵澳深度合作區建設總體方案》致力于構建高水平開放的新體系，主張在國家數據跨境傳輸安全管理制度框架下進行建設試點，探索形成安全便捷的數據跨境流動機制，尤其是在確保個人信息和重要數據安全的前提下鼓勵科研數據跨境互聯互通［15］。

另一方面，地方政府奮力勾勒轄區內特定自貿區數據跨境流動的具體范圍、監管模式與保障措施等。如《上海市全面深化服務貿易創新發展試點實施方案》明確指出要推進數據安全有序地跨境流動，“探索跨境數據流動分類監管模式，開展數據跨境傳輸安全管理試點”并指定“臨港新片區開展汽車產業、工業互聯網、醫療研究（涉及人類遺傳資源的除外）等領域數據跨境流動安全評估試點”，“推動建立數據保護能力認證、數據流通備份審查、跨境數據流動和交易風險評估等數據安全管理機制”。同時重點開展參與數字規則國際合作、允許外資金融機構因集團內部管理和風險控制等需要出境相關數據以及優化科研機構訪問自然科學類國際學術前沿網站的保障服務等的探索創新［16］。《南匯新城“十四五”規劃建設行動方案》提出到2025年“初步建成以數據跨境流動為重點的國際數據港”，“開展數據跨境流動安全評估，搭建跨境數據流通公共服務平臺”［17］。《北京市關于打造數字貿易試驗區的實施方案》以“實現跨境數據安全有序流動為著眼點”，以“推動數字經濟和數字貿易的開放和創新發展為目標”，著力開展特定區域跨境數據流動的沙盒規制，最大限度地創新數字服務貿易領域涉及的數據跨境流動規制體系，“打造開放創新、包容普惠的數字經濟和數字貿易營商環境”［18］。

2? ?我國數據跨境流動的治理實踐

數據生產要素的價值攀升與流動需求遞增促使我國意識到高效開展數據跨境治理的重大意義，不僅頒布《網絡安全法》《個人信息保護法》《數據安全法》等位階較高的法律規范，還陸續出臺《信息安全技術 重要數據識別指南（征意稿）》《數據出境安全評估辦法（征意稿）》《網絡數據安全管理條例（征意稿）》《個人信息出境標準合同規定》《工業和信息化領域數據安全管理辦法（試行）（征意稿）》等一系列配套的規范性落地文件，亦積極建設標準規范、技術平臺和國際規則，逐步構建國家網信部門主導且相關主管部門配合、行業組織、國際組織、企業和個人等多元主體共同參與治理、多方利益聯合協調治理與多層規則協同落實治理的實踐機制。

2.1? ? 基于發展導向的彈性治理

國家網信部門及相關主管部門在實際開展跨境數據流動的治理工作時，一直秉持數據治理服務數字經濟發展的基本理念，堅持事前評估和持續監督相結合、風險自評估與安全評估相結合的治理方法，采取約談整改、提供示范文本與具體操作指引、開展安全管理經驗宣傳等彈性治理方式督促相關主體全面自查自糾，助力營建開放公平的非歧視性數字發展環境。如針對視覺中國在未經安全評估情況下與境外企業開展涉及互聯網新聞信息服務的業務合作問題，國家網信辦指導天津網信辦會同北京網信辦、江蘇網信辦等約談視覺中國網站負責人，責令其立即停止違法違規行為并全面徹底整改，既及時有力地阻止了涉事企業繼續擾亂網絡傳播秩序，又給予其一定的彈性整改空間，最大限度地避免行政處罰的負面影響［19］。《數據出境安全評估辦法》明確數據出境安全評估的結果有效期為2年，使得數據控制者和數據處理者能夠申報2年內針對特定境外接收方的數據跨境流動計劃，為連續性數據跨境業務的有序開展提供重要支撐［4］。

2.2? ? 基于國家安全的審慎治理

我國在數據跨境治理實踐中搭建了國家網絡安全審查工作機制和數據安全管理機制，堅決制止威脅國家安全的跨境數據流動。

一方面，我國國家安全機關持續監查并嚴肅處理危害政治安全、國土安全、軍事安全等的跨境數據流動。如李某等人在重點區域周邊私自架設多套氣象觀測設備并將采集到的精確位置信息和多類型敏感氣象數據傳送到境外由某國負責搜集分析全球氣象數據并為軍方提供相關服務的政府部門以科研名義發起成立的氣象觀測組織網站。我國國家安全機關立即會同有關部門開展聯合執法，消除相關風險隱患并通過廣泛通報警示潛在違法犯罪分子［20］。我國國家安全機關調查發現某個承接了所在國家間諜部門大量情報搜集業務的境外咨詢調查公司高薪聘請了我國境內數十名大型航運企業和代理服務公司的管理人員擔任行業咨詢專家并指使其廣泛收集提供我國的航運基礎數據和特定船只載物數據等，迅速開展了聯合執法行動［21］。

另一方面，我國相關主管部門對于威脅生物安全、社會安全、資源安全等的違規現象，積極開展審慎的監查處置工作。如中國人類遺傳資源管理辦公室依據《人類遺傳資源管理暫行辦法》和《行政處罰法》等，對華大科技與華山醫院未經許可與英國牛津大學開展“中國女性單相抑郁癥的大樣本病例對照研究”的國際科研合作并未經許可將部分人類遺傳資源數據從網上傳遞出境的行為，予以行政處罰［22］。2022年7月21日，國家互聯網信息辦公室針對滴滴全球股份有限公司赴美上市過程中大量數據違規出境行為觸發的網絡安全審查作出了高達80.26億元企業罰款的行政處罰決定①，充分反映出我國嚴厲制裁數據違規跨境的強大決心，迅速引起廣泛關注［23］。

2.3? ? 基于風險評估的專項治理

我國在數據跨境流動的治理實踐中充分考慮了不同類型數據流動的實質影響，細化區分跨境主體和數據類型，不僅建立數據分類分級保護制度與風險監測預警機制，還針對關乎公民基本權益的個人信息開展常態化的違法違規收集使用的專項治理行動，亦考慮到衛生健康、交通運輸、教育科技等重點行業涉及數據存在較強的專業性與明顯的差異性，要求相關主管部門在遵循一般性網絡安全、數據安全和個人信息保護規則的前提下，基于本行業的特殊風險與發展利益，制定本領域的重要數據目錄，搭建具有行業特色的專項治理機制。如通過連續開展嚴厲打擊網絡犯罪的凈網行動切斷境內外違法犯罪數據流動的利益鏈條，有效維護廣大居民在網絡空間的合法權益；全球化程度較高的智能網聯汽車領域往往涉及境內外云服務器存儲使用的海量路測數據、位置數據、車聯網系統數據等，如特斯拉的位置數據和前端性能監控數據常常處于跨境處理狀態［24］。我國通過《汽車數據安全管理若干規定（試行）》分級分類汽車數據并開展汽車云計算服務安全評估與汽車數據安全管理認證工作；國家網信部門在APP專項治理工作中發現老虎證券、富途控股等跨境互聯網券商存在違規收集且跨境流轉用戶數據等風險隱患并提出具體整改意見。國家證監會隨即表明嚴格監管的態度，認定此類境外證券經營機構的跨境證券業務不符合《證券法》《證券公司監督管理條例》等并進行監管約談，按照“有效遏制增量，有序化解存量”的治理方針，督促境外券商依法規范面向境內投資者的跨境展業行為［25］。

3? ?數據合規跨境流動的實踐方案

隨著產業數字化和數字產業化浪潮愈演愈烈，全球互聯的時代背景下大量組織和個人對于數據跨境流動具有強烈訴求。如金融產品的整個生命周期中隨處可見數據跨境流動的深切需求。新冠肺炎疫情以來，跨境服務的數字金融激發了全球金融業發展的廣闊空間，即便是付款處理、保險承保和索賠處理等基本金融業務亦會涉及數據跨境流動。國際性金融集團根本無法避免內部數據跨境轉移的常態化需要。甚至由于在一個國家被拒絕的犯罪分子可以在另一個國家開設移動貨幣賬戶并進行交易，金融欺詐、洗錢或信用風險管理等的監查處理也需要相關數據有序跨境。面對我國多元主體立足多層規范并充分考慮多方利益博弈的數據跨境協調治理機制，亟待厘清不同類型數據與不同行業數據的跨境合規要求，及時梳理殊別個案的具象流程，逐步勾勒數據合規跨境流動的框架方案。

3.1? ? ?數據合規跨境流動的路徑選擇

我國目前數據合規跨境流動的具體路徑包括出境安全評估、標準合同和個人信息保護認證等。首先，數據出境安全評估是最主要的合規路徑。如關鍵信息基礎設施的運營者和處理個人信息達到國家網信部門“規定數量”①的個人信息處理者在我國境內運營中收集和產生的個人信息和重要數據若因業務需要確需向境外提供的，以及其他數據處理者在我國境內運營中收集和產生的重要數據，應當按照《數據出境安全評估辦法》的要求進行安全評估；其次，標準合同是歐盟《通用數據保護條例》倡導采用并已獲得廣泛認可且我國《個人信息保護法》予以明確的個人信息跨境方式，主要覆蓋適用安全評估之外的數據跨境流動情形。具體實操過程中，需要自主簽訂標準合同并就合同簽署情況和個人信息影響評估狀況等向國家網信部門備案；再次，個人信息跨境適用個人信息保護認證的情形包括跨國公司或者同一經濟實體下屬子公司或關聯公司之間的個人信息跨境處理活動和在我國境外處理境內自然人信息的活動。《個人信息保護認證實施規則》要求開展跨境處理活動的個人信息處理者應當符合《信息安全技術 個人信息安全規范》和《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》［26］的要求，采用“技術驗證+現場審核+獲證后監督”的復合認證模式。

3.2? ? 數據合規跨境流動的差異要求

基于不同數據對于國家安全、社會穩定和居民權益的殊別影響，不同行業的數據跨境流動持續奉行差異化的合規要求。相關主體在數據跨境流動過程中不僅需要遵循《網絡安全法》《數據安全法》《個人信息保護法》及《數據出境安全評估辦法》《個人信息保護認證實施規則》以及一系列技術標準，還應當遵守所屬行業特定規范性文件的各種要求。如征信機構對于在我國境內采集的信息的整理、保存和加工活動應當依據《征信管理條例》的要求在我國境內進行，征信機構向境外組織或者個人提供信息，應當遵守法律、行政法規和國務院征信業監督管理部門的有關規定；互聯網地圖服務單位應當遵循《地圖管理條例》的要求，將存放地圖數據的服務器設置在我國境內并制定地圖數據安全管理制度和保障措施；生物醫藥行業利用我國人類遺傳資源開展國際合作科學研究，或者因其他特殊情況確需將我國人類遺傳資源數據出境的，應當依據《人類遺傳資源管理條例》取得國務院科學技術行政部門出具的出境證明；汽車行業基于《汽車數據管理若干規定（試行）》的要求，強調重要的汽車數據應當依法在我國境內存儲，確因業務需要向境外提供的必須通過安全評估且實際操作時不得超過評估明確的目的、范圍、方式和數據規模與種類等［27］。

3.3? ? 數據合規跨境流動的具象流程

數據控制者、數據處理者及其他參與主體在面對需要數據跨境流動的具體實踐之際，應當及時梳理關涉的具象場景與業務模式，對照《網絡安全法》《數據安全法》《個人信息保護法》及相關地方性法規和部門規章等的具體規定，根據跨境數據的類型和規模選擇安全評估、標準合同、個人信息保護認證等跨境路徑，同時確保數據跨境流動的意向已經達到征得個人單獨同意或其他合法性基礎。如網絡平臺運營商向境外提供用戶信息時，應當依法做好個人信息影響評估的前置工作，并在除履行合同所必須或法定義務以外，向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使權利的方式和程序等事項，并取得個人的單獨同意。

基于國家對于不同數據的殊別跨境流動要求，參與主體實現特定項目相關數據合規跨境流動的實踐過程必須解決數據識別的棘手問題，即精準辨識待跨境數據到底屬于核心數據、重要數據、一般數據還是個人信息。《個人信息保護法》明確界定了“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。《數據安全法》針對“核心數據”建立了“更為嚴格的管理制度”。《網絡安全法》和《數據安全法》雖然都對“重要數據”進行了規定，卻沒有正面給出對應定義，直至《數據出境安全評估辦法》清晰表明“本辦法所稱重要數據，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。”部分細分行業領域進而依據自身運行特點給出具體的差異化識別標準。如《工業和信息化領域數據安全管理辦法（征意稿）》將重要數據的認定關聯特定危害程度，即威脅政治、國土、軍事、文化、資源或影響與國家安全有關的重點區域、嚴重影響工業和信息化領域生產運行和經濟利益以及公共利益或個人合法權益、引發的級聯效益明顯的數據被稱為重要數據［28］。《汽車數據安全管理若干規定（試行）》指出，重要數據包括重要敏感區域的車流人流和地理數據、車流物流等反映經濟運行情況的數據、汽車充電網運行數據、特定車外視頻和圖像數據、涉及超過10萬人的個人信息、有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。

由此，特定相關數據的跨境流動應當結合行業特點和安全訴求進行評估，考慮是否屬于訂立或履行合同、履行反洗錢等法定義務所必須以及是否屬于集團內部數據跨境流動等例外情況。《網絡數據安全管理條例（征意稿）》將“數據處理者為訂立、履行個人作為一方當事人的合同所必需向境外提供當事人個人信息的，或者為了保護個人生命健康和財產安全而必須向境外提供個人信息”［29］作為跨境數據管理的例外情況。如跨境支付、跨境匯款中的個人信息跨境是完成基礎金融業務的必要條件，可以納入“履行合同所必須”。《網絡安全標準實踐指南——個人信息跨境處理活動安全認證規范》肯定了集團內部數據傳輸的合法性，為內部數據跨境傳輸指明可行通路。

4? ?結語

數據高效跨境流轉是充分發揮數據作為數字經濟時代主要驅動力之重要作用的關鍵環節。我國秉持多元主體參與、多方利益協調與多層規范約束的數據跨境流動的治理思路，探索搭建適應獨具特色的諸多自貿區現實需求的數據跨境流動的沙盒治理模塊，勾勒數據合規跨境流動的路徑選擇、差異要求與具象流程，不僅加速我國數據跨境流動有序治理的進程，還成為國家治理現代化的重要助力。

參考文獻：

［1］? A Roadmap for Cross-Border Data Flows：Future-Proofing Readiness and Cooperation in the New Data Economy［EB/OL］.［2022-10-30］.https：//www3.weforum.org/docs/WEF_A_Roadmap_for_Cross_Bor der_Data_Flows_2020.pdf.

［2］? 中華人民共和國網絡安全法［EB/OL］.［2022-11-07］.http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

［3］? 國家互聯網信息辦公室關于《個人信息跨境標準合同規定（征求意見稿）》公開征求意見的通知［EB/OL］.［2022-06-30］.http：//www.cac.gov.cn/2022-06/30/c_1658205969531631.htm.

［4］? 數據跨境安全評估辦法［EB/OL］.［2022-07-07］.http：//www.cac.gov.cn/2022-07/07/c_1658811536396503.htm.

［5］? 關于實施個人信息保護認證的公告［EB/OL］.［2022-11-20］.https：//m.thepaper.cn/baijiahao_20823048.

［6］? 地圖管理條例［EB/OL］.［2020-12-27］.http：//www.gov.cn/zhengce/2020-12/27/content_5574487.htm.

［7］? Agreement between the United States of America，the United Mexican States，and Canada 7/1/20Text［EB/OL］.［2020-07-01］.https：//ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement/agreement-between.

［8］? 中華人民共和國個人信息保護法［EB/OL］.［2021-08-20］.http：//www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.

［9］? 中華人民共和國數據安全法［EB/OL］.［2021-06-10］.http：//www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml.

［10］? 中國駐東盟使團.中國正式完成《區域全面經濟伙伴關系協定》核準程序［EB/OL］.［2021-04-16］.https：//m.thepaper.cn/baijiahao_12254240.

［11］? Regional Comprehensive Economic Partnership［EB/OL］.［2020-11-15］.https：//www.dfat.gov.au/trade/agreements/in-force/rcep/rcep-text.

［12］? Comprehensive and Progressive Agreement for Trans-Pacific Partnership Text and Resources［EB/OL］.［2022-10-03］.https：//www.mfat.govt.nz/en/trade/free-trade-agreements/free-trade-agreements-in-force/cptpp/comprehensive-and-progressive-agreement-for-trans-pacific-partnership-text-and-resources/#bookmark0.

［13］? Digital Economy Partnership Agreement［EB/OL］.［2022-06-11］.https：//www.mfat.govt.nz/ass ets/Trade-agreements/DEPA/DEPA-Signing-Text-11-June-2020-GMT-v3.pdf.

［14］? 中共中央 國務院印發《海南自由貿易港建設總體方案》［EB/OL］.［2022-06-01］.http：//ww w.gov.cn/zheng ce/2020-06/01/content_5516608.htm.

［15］? 中共中央 國務院印發《橫琴粵澳深度合作區建設總體方案》［EB/OL］.［2022-09-05］.http：//www.gov.cn/z hengce/2021-09/05/content_5635547.htm.

［16］? 上海市全面深化服務貿易創新發展試點實施方案［EB/OL］.［2022-11-13］.https：//www.shanghai.gov.cn/n w12344/20201113/7093dba035ac4aff9503f649d47c3306.html.

［17］? 南匯新城“十四五”規劃建設行動方案［EB/OL］.［2022-04-14］.https：//ghzyj.sh.gov.cn/ghjh/20210414/ed0c 628b0cc6455f919756bd2970e681.html.

［18］? 北京市商務局關于印發《北京市關于打造數字貿易試驗區實施方案》的通知［EB/OL］.［2022-09-21］.http：//www.beijing.gov.cn/zhengce/gfxwj/sj/202009/t20200923_2088196.html.

［19］? 國家網信辦指導有關地方網信辦約談視覺中國網站、IC photo網站負責人 即日起兩家網站暫停服務全面整改［EB/OL］.［2022-12-10］.http：//www.cac.gov.cn/2019-12/10/c_1577513335 176868.htm.

［20］? 國家安全部公布三起危害重要數據安全案例［N］.勞動報，2021-11-01（12）.

［21］? “高薪聘請專家”，這家境外公司將我國數據提供給間諜［EB/OL］.［2022-10-31］.https：//mgmw.cn/baijia/2021-10/31/1302659442.html.

［22］? 華大基金被科技部處罰！違規將部分人類遺傳資源信息傳出境［EB/OL］.［2022-10-26］.https：//www.sohu.com/a/271433358_161795.

［23］? 國家互聯網信息辦公室對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定［EB/OL］.［2022-07-21］.http：//www.cac.gov.cn/2022-07/21/c_1660021534306352.htm.

［24］? 特斯拉遭遇大麻煩？網信辦發新規：汽車數據未經允許禁止傳至境外［EB/OL］.［2022-05-13］.https：//www.163.com/dy/article/G9TIETVK0511838M.html.

［25］? 富途、老虎證券被點名：個人信息保護法下跨境互聯網券商咋辦［EB/OL］.［2022-10-14］.https：//m.thepaper.cn/baijiahao_14901694.

［26］? 個人信息跨境處理活動安全認證規范［EB/OL］.［2022-06-27］.https：//www.shangyexinzhi.com/article/4962386.html.

［27］? 汽車數據管理若干規定（試行）［EB/OL］.［2022-08-20］.http：//www.cac.gov.cn/2021-08/20/c_1631049984897667.htm.

［28］? 工業和信息化領域數據安全管理辦法（征求意見稿）［EB/OL］.［2022-09-30］.https：//m.thepa per.cn/baijiahao_14743843.

［29］? 國家互聯網信息辦公室關于《網絡數據安全管理條例（征求意見稿）》公開征求意見的通知［EB/OL］.［2022-11-14］.http：//www.cac.gov.cn/2021-11/14/c_1638501991577898.htm？ivk_sa=1024320u.

作者簡介：李海英，女，西安交通大學法學院博士研究生，螞蟻集團隱私保護辦公室資深專家，研究方向：信息法律與政策；馬民虎，男，西安交通大學法學院教授，博士生導師，研究方向：信息安全法律研究。