比例原則視域下個人數據跨境流動規制中的利益權衡

張瀠之

(中央財經大學 法學院，北京 100081)

0 引言

2021 年7 月，國務院互聯網信息辦公室(下稱“網信辦”)對“滴滴出行”啟動網絡安全審查。兩日后，“滴滴出行”因嚴重違法收集使用個人信息，被下架并責令整改[1]。隨后，網信辦加大審查力度，對“運滿滿”“貨車幫”等分別啟動網絡安全審查。究其原因在于，其赴美上市行為造成大量國內個人數據流向美國的風險隱患。“滴滴出行”等企業在建構其智能化系統的過程中引發了一系列數據倫理問題與數據安全風險，而海外上市將其推向高潮，轉化為關乎國家安全的利益形態[2]。相較于國內流動，跨境流動不僅會導致本國無法直接監管數據處理者，增加個人數據權利被侵犯的風險，還會威脅國家數據主權、危害國家安全，因此，很多國家采取“嚴格型”規制。

盡管如此，個人數據跨境勢不可擋。相較于新冠疫情造成的傳統商品及資本流動受阻，數據全球化仍勢如破竹。我國數字經濟增速已達GDP 增速3倍以上，其規模占比也呈現增長態勢。在2021 年G20 數字經濟部長會議及聯合國貿發會議中，數據跨境流動便是重點議題。各國強烈呼吁加強數據互聯互通，我國在大會中也肯定了數據跨境流動對經濟發展的助推作用，期望以安全和發展并重為原則，在安全可信的基礎上促進合作共贏[3]。

眾所周知，數據具有非競爭性，這意味著對數據的開放與共享非但不會損害其自身價值，反而因為多方主體的重復利用與深入挖掘而獲得更大的社會價值[4]。但數據大規模流動帶來巨大經濟紅利的同時，也會引發眾多安全風險與監管挑戰[5]。針對個人數據跨境流動問題，不同的國家基于不同的價值取向，在權衡個人數據權利、國家安全與經濟利益的基礎上，形成了不同的治理模式，并擁有截然不同的立場——限制或鼓勵自由流動。如何尋求最為科學的規制路徑，最大程度促進經濟利益發展，是當今數據治理面臨的重要問題。

1 個人數據跨境流動規制中的立場研究

當前，以歐盟、美國與中國為代表，關于個人數據跨境流動規制的全球格局已然形成。

1.1 歐盟：采納“嚴格型”規制，重點保護個人數據權利

一直以來，歐盟都將個人數據上所附載的權利視作基本人權，并強調通過立法對該權利予以保護。在制定數據保護法的全球浪潮中，歐洲國家占比超過60%[6]。歐盟亦加強區域內合作，以統一立法模式提升歐盟的數字競爭實力。

《通用數據保護條例》(GDPR) 是歐盟現行的、史上最嚴格和最高水平的數據保護規制，以多樣化監管模式嚴格保護個人數據權利。首先，以“充分保護原則”作為核心機制，要求只有當數據接收方的數據保護水平達到歐盟承認的標準時，個人數據方可向此處流動，GDPR 第四十五條規定了其判斷標準。其次，僅有少數國家或地區符合歐盟認定標準，歐盟委員會已認定安道爾、阿根廷、加拿大(僅適用于商業機構)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭、日本、韓國以及英國具有同等保護水平，為提高跨境流動的可能，GDPR 制定了一系列補充性監管措施，包括標準合同條款、約束性企業規則、基于經批準的行為準則、認證。最后，還規定了數據泄露報告制度、嚴厲處罰制度等事后監管制度。

歐盟成員國“一致對外”的強監管模式，雖為保護個人數據權利提供了良好范本，并對世界各國提供了有益參考，但是歐盟規制過于嚴格，阻礙國際服務貿易的良好發展趨勢[7]，無法在全球推廣施行。

1.2 美國：采納“寬松型”規制，側重促進經濟發展

美國與歐盟立場迥然不同，其未將個人數據權利作為基本人權，認為歐盟規制阻礙了商業活動的順利開展[8]。據2021 年IT 公司市值排名，前三十名中美國企業占二十一家[9]。據2019 年福布斯全球數字經濟榜單，全球前十強企業中美國有七個，而歐盟國家未擠進前十，甚至在前一百強中亦鮮見其身影[10]。為了發揮本國資本巨頭的優勢地位，美國借助國際組織，在全球范圍內構建并推廣其基本理念。在經濟合作與發展組織(OECD)指南和《APEC隱私框架》以及跨境隱私規則體系(CBPRs)的助力下，美國主張各國不應當限制個人數據跨境自由流動。例如，CBPRs 要求只有發生具體的數據安全事件后，才會對追究數據控制者或數據處理者的責任，未曾出現GDPR 中有關認定“充分保護原則”的有關標準。此外，美國積極簽訂自由貿易協定(FTAs)，例如美墨加三國協議(USMCA)數字貿易章節多次強調個人數據流動對經濟發展的重要性，應避免設置不必要的數字貿易壁壘，并禁止“數據本地化”。

可見，經濟利益是美國的首要考量因素。美國受益于數據發展紅利，通過問責制度下的行業自律模式，降低數據準入門檻，禁止數據本地化，適當弱化對個人數據權利的保護，促進經濟利益的發展。

1.3 我國：采納“嚴格型”規制，高度維護國家安全

我國并未受制于當今世界兩大基本格局下的利益考量，而是走出了符合我國國情的特色道路。正如習近平總書記強調的：“要切實保障國家數據安全”[11]。無論是國內法律抑或部門規章，都體現了我國將維護國家安全作為首要指導原則。我國《網絡安全法》《數據安全法》《個人信息保護法》均規定了個人數據跨境問題，其立法目的在于保障數據、網絡安全，保護個人、組織的合法權益，維護國家主權、安全和發展利益。其中，《個人信息保護法》將個人數據跨境問題獨立成章，規定了個人信息處理者應當具備的條件、采取的必要措施、處理信息的內容等。關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當遵循“境內存儲”和“安全評估”的原則，而其他個人信息處理者則可以在安全評估、認證、標準合同以及其他條件中自由選擇。

以“滴滴出行”事件為導火索，我國正逐步加強監管數據出境行為，2022 年9 月實施的《數據出境安全評估辦法》(以下簡稱《評估辦法》)，全方位規定了評估范圍、評估內容、材料要求、受理部門、評估流程等事項，尤其是明確了數據處理者應當向國家網信部門申報的具體情況(《評估辦法》規定，對“關鍵基礎設施運營者”和“處理100 萬以上個人信息的數據處理者”向境外提供個人信息，或者自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數據處理者向境外提供個人信息的，都需要申報數據出境安全評估)，為網信部門監管數據出境、數據處理者規范自身行為提供了具體行動準則。

安全評估由國家網信部門負責，相比于認證和標準合同，其標準更為嚴苛與復雜。首先，從制度名稱出發，不難看出安全評估偏向“安全”而非“權利”向度，重點保護國家安全。其次，從制度內容來看，只有當個人信息的數量到達一定標準時，數據處理者才需要申報安全評估，但重要數據出境則必須全部申報安全評估，不存在任何數量限制。可見，我國將一定數量的個人數據同不計數量的重要數據并列，表明安全評估不僅保護個人信息，更傾向于保護國家安全與公共利益。此外，相比于歐盟，我國未形成對個人數據保護的悠久歷史，維護國家安全卻更深入人心。因此，雖然我國與歐盟均采納了“嚴格型”規制，但無論是考察立法目的，抑或探尋文化觀念，都可以看出我國與歐盟存在不同的利益傾向。但相比于俄羅斯采取的嚴格本地化立法措施，我國仍積極主張促進個人數據跨境流動，防止再次“閉關鎖國”，體現了張弛有度的中國智慧[12]。

1.4 全球個人數據跨境流動規制之初步融合與理想路徑探尋

當今社會，多方主體共同參與全球治理已成常態，以單一利益為取向的規制已不符合時代要求。在數據傳輸不可避免的時代背景下，持有不同理念的國家在沖突與碰撞中為促進發展而作出利益取舍，并嘗試獲得有益融合。

長期以來，因美國未達到歐盟“充分保護水平”，其企業在歐業務嚴重受阻。為了協調矛盾，在保護個人數據權利的基礎上，共謀商業利益，雙方先后達成了安全港協議與隱私盾協議，但兩部協議后續均被歐盟法院宣告無效，其背后反映了歐盟對個人權利保護的重視與美國對經濟利益的追求之根本矛盾，雖然雙方嘗試妥協與融合，但都因未到達“平衡點”而無法獲得持久發展。需要注意的是，美歐看似對國家安全有所忽視，實則不然。美國利用“長臂管轄”壓制對手，掌握海量數據資源的同時確保本國國家安全；歐盟通過提高數字貿易壁壘抵御數據強國對國家安全的侵害[13]。美歐均利用其經濟政治優勢地位，以自身利益為中心向全球輸出本國理念，霸權主義色彩濃厚，對諸多的發展中國家不利，甚至會阻礙全球數據安全治理的發展。

為了突破美歐的單邊主導格局，提升發展中國家的參與度，我國亦作出有益嘗試。2020 年我國與東盟等簽訂了RCEP，其不但是我國認識到現有國內規制相對保守，國際立場已發生微妙轉變的有力證明，亦強調了國家安全的至上性，為發展中國家抗衡美歐強勢力量提供堅強后盾[14]。首先，RCEP 堅持數據跨境自由流動原則，而我國國內立法中較為保守的態度與之背離。從規則文本出發，RCEP 在第十二章第二條強調電子商務及便利其發展與使用的重要性，第十五條更是明確締約方不得阻止以商業行為而通過電子方式跨境傳輸信息，承認各締約方可以有各自的監管要求。此外，數字經濟伙伴關系協定(DEPA)第四章第三條與全面與進步跨太平洋伙伴關系協定(CPTPP)第十四章第十一條的規則文本一致，均規定締約方應當允許通過電子方式跨境傳輸信息，亦承認各締約方可以有各自的監管要求。可見，RCEP 中的“不得阻止”與DEPA、CPTPP 的“應當允許”都對基于商業行為的個人數據跨境自由流動作出原則性規定，各締約方僅在特殊情況下方可采取限制性監管措施。其次，RCEP 在輸出維護國家安全理念方面作出有益嘗試。相比于CPTPP、DEPA 中關于“公共政策目標例外”的規定，RCEP 增加了“締約方認為”一詞，未強調限制性規制應當具有的“必需性”，具有“自裁決”特征[15]。此外，RCEP規定了CPTPP、DEPA 中尚未規定的“基本安全利益例外”，若締約方出于基本安全利益所必需，可以采取限制性措施而無需遵循RCEP 中關于數據跨境自由流動這一義務要求。

2 科學的利益權衡方法——比例原則之引入

一方面，我國堅持“和平合作、開放包容、互學互鑒、互利共贏”的絲綢之路精神[16]，這也代表著，雖然RCEP 將國家安全提升至重要高度，但我國并不希望效仿美歐過度輸出本國模式，形成小圈子或俱樂部[17]。另一方面，鑒于我國目前仍然偏重“數據本地化”的立法態度與RCEP 中的原則性規定不符，加之我國正致力于加入DEPA、CPTPP，而其例外條款的認定比RCEP 更加嚴格。為了扼制各國出于自身利益的訴求，擴大自身數據治理模式的影響力，造成“分而治之”進而阻礙全球數字經濟的發展，也為了完成我國國內與國際規則的銜接，有必要引入科學的方法論，在各成員國間存在文化、社會、經濟和政治異質性的情況下，從長遠考慮來調和國家之間差異化的利益訴求，提高立法的針對性、準確性與適用性[18]，平衡三大利益，尋求全球個人數據跨境流動規制的“平衡點”。

2.1 比例原則的適用原因

其實，已有學者利用其他科學方法論以平衡上述利益，包括外部性理論[19]、博弈論[20]、“權衡法則”[21]。相比于上述方法，比例原則在近年來取得了重大發展。首先，作為法秩序的最根本原則與最高規范[22]，其適用領域得以突破，延伸至國際法領域[23]；其次，其內涵與外延已逐漸明晰，結構亦從“三階”擴充至“四階”[24]；最后，其不但可以平衡公私主體以及私主體之間的利益，亦可調整政府與市場的關系[25]。概言之，比例原則作為一種具體可行的科學方法論，使得多方主體慣有的主觀色彩變得客觀與具體，也將價值平衡過程由粗放轉為精細[23]。權衡三大利益，在“嚴格型”與“寬松型”規制中取得平衡，正是比例原則的重要功能所在。

2.2 比例原則的輔助手段：成本收益分析方法

作為公法的“帝王原則”，比例原則通過價值平衡以實現最完美的正義，但卻因其充滿道德推理而具有強烈的主觀性與模糊性，難以被客觀且精細化適用[26]，而遭致部分學者的強烈反對，提出以成本收益分析將其取代[27]。成本收益分析是一種用以改善公共政策、法規的技術，以貨幣化衡量的方式幫助決策者判斷何種政策將促成社會福利最優，凈收益最高者最值得采取[28]。

雖然成本收益分析可以數學公式的方法運用至法學表達中，提高法律的準確適用性[29]，但有學者指出，比例原則不可被完全拋棄，其對法律規制具有成本收益分析所不可替代的功效[30]。具體而言，首先，目的正當性具有前端過濾作用，有效更正了成本收益分析在追求最大凈收益途中易落入功利主義陷阱的致命缺點[30]。其次，適當性原則并非形同虛設，可以填補成本收益分析中關于審查手段與目的之間實質關聯性判斷的理論空白。不過，成本收益分析不但可以通過比較“相同有效性”下的最小損害，幫助實現必要性原則追求的個人權利本位，還可以幫助均衡性原則實現成本與收益的總體權衡[31]。綜上，雖成本收益分析無法完全取代比例原則，但卻可以輔助其具體適用。

2.3 比例原則在個人數據跨境流動規制利益權衡中的具體適用

“四階”比例原則包含目的正當性、適當性原則、必要性原則以及均衡性原則。

2.3.1 目的正當性審查

目的正當性要求立法者、行政者所追求的目的符合有約束力的法律所確立的基本價值[31]。在個人數據跨境流動規制中，首先應當判斷規制背后的目的是否違背憲法、國內法律。以我國安全評估制度為例，其重點內容即“評估范圍”列明了數據處理者需展開安全評估的具體情形，這一限制“權利”的做法，是否可以通過目的正當性審查？我國《憲法》第五十一條明確規定“中華人民共和國公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利。”可見個人信息雖源于公民個人，但是公民對其權利的行使仍有邊界，而這一邊界可由國家權力為保證公共利益而合理劃定。此外，《個人信息保護法》等法律亦規定，即便已經取得了個人的單獨同意，但如若其屬于特定種類或達到特定數量，仍需符合其他規制，如境內存儲與安全評估。正如《評估辦法》開篇點明的，安全評估是“為了規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動”，符合我國國內法項下的正當目的。

其次，判斷規制是否會違背國際法。以我國業已加入的RCEP 為例，RCEP 強調經濟發展，包括“認識到電子商務提供的經濟增長和機會”“促進消費者對電子商務信心的重要性”“便利電子商務發展和使用的重要性”，雖亦承認各締約方有尋求通信安全和保密的基本要求，但其仍遵循“原則鼓勵流動，例外允許監管”這一準則。鑒于國際形勢嚴峻，我國國內立法中多出現“維護國家安全”“保障數據安全”“維護國家主權、安全和發展利益”等字眼，雖有強調“促進數據自由流動”，但相比于條約，其有關“促進經濟發展”的字眼稍顯不足。雖然當前國內規制仍可以獲得RCEP 的合法性認定，但其背離RCEP 重要目的。進一步講，相比于RCEP，DEPA和CPTPP 沒有“基本安全例外”，其“公共政策目標例外”認定標準也更為嚴苛，更加強調數據跨境自由而限制國家監管。綜上，無論是我國立法目的中“經濟和社會效益”“增強對數字經濟和貿易發展”等強調經濟利益的規則文本有所欠缺，亦或是制度內容中寬泛的限制性措施，都會因過于強調維護國家安全而難以通過DEPA、CPTPP 項下的目的正當性審查，進而造成我國加入條約的困難。

2.3.2 適當性原則之審查

適當性原則審查主要判斷規制的手段與目的之間是否具有實質的客觀因果關系，即手段是否有助于目的部分或全部實現[31]，包括客觀性審查與主觀性審查，分別針對正在發生效力或已經失效的手段。

由于我國近年來才逐步建立起個人數據跨境流動規制體系，因此尚不存在已然失效的有關立法規制。回顧我國當前規制，以我國《個人信息保護法》中第四十二條為例，該條規定了針對境外組織、個人侵害我國公民的個人信息權益，或危害我國國家安全、公共利益的，國家網信部門可以采取禁止或限制向其提供個人信息的措施。此舉無疑有助于維護國家安全、保護個人數據權利目的之實現，符合適當性原則。同時，我國采取的限制性措施并非完全無益于促進經濟發展。我國雖有安全評估、認證等出境門檻，但一旦符合上述條件，數據流動必然將帶來經濟效益。再以RCEP 中設置的“基本安全利益例外”為例，締約方援引例外條款時，還應當證明其限制性措施與尋求保護的“基本安全利益”具有合理關聯性。其中，關聯性即適當性審查，而何種“基本安全利益”即目的正當性審查。正如針對RCEP 的具體適用，有關專家組曾在個案中指出，涉案措施僅需要與“基本安全利益”之間有“最小合理”的關聯性即可，無需全然服務于此目標[32]。

2.3.3 必要性原則之分析

必要性原則相比效率更關注公平，即重點關注“私權限制”成本而非凈收益的大小，因此其重點也在于保證個人數據權利，無需關注各種社會成本、收益[30]。必要性原則追求手段具有最小損害，實際上是追求相對損害而非絕對損害的最小化，即比較在一個單位內的手段有效性程度下，不同手段所造成的相對損害大小，其計算公式如下：

將其代入個人數據跨境流動規制中，Cr代表制定某規制將對個人數據權利造成的損害，B 表示在該規制下，數據流動所獲得經濟利益，I 即代表其對個人數據權利的相對損害大小，I 值越小，則相對損害越小，也更符合必要性原則。以美歐規制為例。美國對個人數據權利的保護水平較低，與歐盟的《108 號公約》一致[33]，沒有GDPR 中的“數據保護影響評估”“數據可攜帶權”等制度[34]。需要注意的是，首先，美國采取此類規制無疑有助于維護國家安全、保護個人數據權利之目的實現。其次，即便“數據保護影響評估”或其他規制，對自由流動附有條件，會增強企業的合規成本，但滿足條件后數據亦可以自由流動，進而取得經濟利益，因此仍然是適當的規制。若美國期望采取“數據保護影響評估”或其他適當性規制，該如何選擇？此時需借助上述公式，而其具體賦值，應當借助較為成熟的成本收益分析方法，通過市場評估法和愿意接受等非市場評估法，分別計算不同規制項下的具體成本與收益，并結合有關專家意見，判斷何種規制具備最小損害性。

2.3.4 均衡性原則之分析

(1)成本收益分析最大限度精確化均衡性原則

通過必要性原則審查的規制未必符合比例原則，仍需經均衡性原則的審慎分析，方能綜合權衡總體成本與收益，避免過度保護個人權利，促進社會整體福利。

個人權利是公共利益的基礎，公共利益有時會轉化為個人權利，因此，二者之間具有一致性，但均衡性原則主要權衡相互沖突的公共利益和個人權利[31]。國家安全雖屬公共利益，但其與保護個人數據權利具有一致性，因此僅有經濟利益與之沖突。此外，國家安全與個人數據權利并非總呈線性關系，在成本計算中有其特有地位。特定敏感主體如國家領導人的個人數據，雖數量極少，但至關重要。綜上，成本包括個人數據權利、國家安全利益因某項規制的實施所受損害；此外，手段自身耗費的財政成本也應納入考量，尋求相同有效性下的低財政成本，方能符合均衡性原則[35]。而收益則指經濟利益，其計算公式如下：

其中，Cr即個人數據權利因某規制所受損害；Cs即國家安全因某一規制所受損害，包括大規模個人數據出境及少數特定主體或敏感數據出境造成的損害；Cf即實施某規制的財政成本；B 即某規制順利實施后的總體經濟利益，其具體數值仍由專家借助市場評估法與非市場評估法以科學計算。由此，E即某規制推行后的成本與收益比值，E 值越小，則代表某規制更符合均衡性原則。此外，科學的規制要求E 的值必然小于1。當然，若兩項不同的規制中，I1=I2且E1=E2，可以通過比較凈收益并結合專家意見和時機等多重因素，選擇特定時代背景下的“最優”規制。

(2)商談模式彌補成本收益分析的量化局限

不過，用上述計算方法仍可能存在量化局限。雖然具有經濟屬性的權利如財產權可與貨幣維度相連而被精確量化[31]，但個人數據權利與國家安全的成本往往較難通過貨幣表達。若專家無法將上述成本科學量化，仍可借助商談機制以解決比例原則精確化的限度。

在商談模式下，所有利益相關方都有自愿參與商談的權利。因此，在國內規制形成過程中，個人、企業可以積極參與、建言獻策，立法者應當廣泛聽取意見，形成符合廣大人民利益的科學規制；在探尋科學全球性規制的路途中，商談主要體現為國際談判、國際條約的簽訂。

3 我國對個人數據跨境流動規制的因應

3.1 借助比例原則探尋“平衡點”，并以之為奮斗目標

當前美歐大肆輸出“本國模式”，不利于多方主體共同發展，而我國的保守型立場亦阻礙了本國經濟發展。比例原則可以幫助我們探尋可在全球層面推進的“平衡點”。雖受制于我國的基本國情與國際形勢，短時間內形成全球性治理體系仍較為困難，但利用比例原則準確把握趨勢，并以此為奮斗目標，夯實參與全球治理的實力基礎，對我國意義重大。

3.2 進一步強調數據跨境自由流動原則，促進經濟發展

在多方競爭壓力下，中國認識到應當提出符合自身利益的數據競爭戰略，以維護國家安全作為首要目標。但為了防范“三足鼎立”，也為了實現國內規制與RCEP 的對接，并順利加入CPTPP 和DEPA，我國應當借助目的正當性理論，逐步更正“數據本地化”立場，在立法如《網絡安全法》《數據安全法》《個人信息保護法》中增設文本如“經濟和社會效益”“增強對數字經濟和貿易發展”等，以強調經濟利益與數據自由流動的重要性。

3.3 適時限縮數據安全評估制度的適用范圍，防范過度阻攔數據出境

我國《個人信息保護法》規定個人信息出境應當取得個人的單獨同意，對個人數據權利以充分保護。在此基礎上，我國規定針對關鍵信息基礎設施的運營者、國家機關或處理個人信息達到國家網信部門規定數量的個人信息處理者(包括處理個人信息達到一百萬、累計向境外提供超過十萬以上個人信息或一萬以上敏感個人信息的數據處理者)確需向境外提供的，應當通過安全評估。同時，在大數據時代，數據處理者所處理的個人數據很容易達到一百萬的數量級，再加上“累計”向境外提供一定數量級的情況亦被納入評估范圍，因而，我國當前規制是采用了可以涵蓋實踐中眾多場景的強監管手段，無疑大規模限制了個人數據的跨境自由流動。

然而，CPTPP、DEPA 要求締約方采取限制措施時必須滿足“公共政策目標”。無論是“公共政策目標”的內容，即維護公共道德或公共秩序所必須、為保障人類和動植物的聲明或健康所必須；亦或是其本身作為例外條款的制度定位；還是其未以“基本安全利益例外”條款賦予締約國自主決定權，都直接表明了締約國僅在極少數情況下方能采取限制措施。而對比我國評估范圍，可以發現我國目前眾多的數據出境行為都受其規制。可見，我國未遵循CPTPP、DEPA 要求的“例外”限制流動，而是將“例外情況”作為“一般規則”以普遍適用。

因此，為了順利加入CPTPP、DEPA，我國需要適時對當前規制予以放寬，例如提高數量級或延長有效期。不過，究竟將數量級由“一百萬”提升至“一千萬”或“五千萬”，還是將安全評估的有效期從兩年提升至三年或五年，同時提高數量級或延長有效期亦或在二者之間作出選擇，都需要通過縝密的計算方法作出科學評估。作此轉變意味著會在一定程度上損害個人數據權利，因此可以借助必要性原則，運用成本收益分析法，經有關專家計算分析后，綜合選擇出“相同有效性”下對個人數據權利造成最小損害的規制。

3.4 引入白名單機制，細化立法的原則性規定

當前，我國《個人信息保護法》《網絡安全法》《數據安全法》已然搭建了個人數據跨境流動監管法律體系，監管規制主要包括安全評估、認證、標準合同、網絡安全審查與數據安全審查，不過均為原則性規定，僅有出臺執行細則，才能實現上述規制的落地。然而，除了已經通過的《網絡安全審查辦法》《數據出境安全評估辦法》分別為網絡安全審查和數據出境安全評估提供了具體流程與標準，其他的監管規制尚未得到具體落實，關于認證、標準合同更是未出臺任何實施細則的草案。同時，個人數據處理者尤其是跨境企業為了合規，往往會將網絡、數據安全審查以及安全評估作為其開展跨境業務的前置條件，而這會增加不必要的財政成本。因此，應當遵循均衡性原則，細化立法的原則性規定，例如增強標準合同的可適用性和示范性、出臺認證以及數據安全審查的實施細則，從而最大程度減少因規制的不確定性對國際貿易的影響。

除此之外，由《個人信息保護法》第三十八條可知，我國允許個人數據出境的判斷標準，主要是基于境外接收方處理個人信息的活動是否達到我國的個人信息保護標準。我國當前采取“一事一議”的監管手段，沒有采用歐盟的“充分性認定”機制，雖然可以避免政治化傾向，防止落入非歧視原則的陷阱，但數據跨境行為與日俱增，“一事一議”機制必然會耗費大量不必要的財政成本，而這是均衡性原則所不能忽視的內容。為此，可以借助成本收益分析法，精確計算有關財政成本，在時機適當時引入符合本國國情的白名單機制，減輕不必要的負擔。但同時應當注意在設立白名單時，應更加關注境外接收方的數據保護水平，而非境外接收方所屬國家與我國的互信關系，避免使該制度淪為提高貿易壁壘的政治工具。

不過，改革并非一蹴而就，我國可以開展數據區域改革試驗，鼓勵部分自貿港、自貿區“先行走試”，以應對當前國內規制存在的諸如過度阻攔數據出境、實施細則不健全、“一事一議”耗費不必要的財政成本等問題。

3.5 積極提升國際話語權，推進多元共治

目前美歐試圖把中國排除在其“小圈子”之外，但均衡性原則要求只有各利益相關方不斷妥協與融合，才能形成全球性規制。正如習近平總書記所指出：“國際規則只能由聯合國193 個會員國共同制定，不能由個別國家和國家集團來決定；國際規則應該由聯合國193 個會員國共同遵守，沒有也不應該有例外。”[36]因此我國應積極促成世界各國開展友好談判，反對霸權主義和呼吁構建真正的多邊主義，構建網絡空間命運共同體。

我國可以加強區域內合作，利用“一帶一路”的路徑優勢，以“雙邊帶動多邊、以區域帶動整體”的推進策略，并通過推動與東盟等友好國家的共治共享，引領在東亞等地區建立起可以與美歐抗衡的規制格局。在此基礎上，我國應逐步擴大多邊談判，聯合立場相近的成員，充分利用我國在聯合國以及世貿組織的優勢地位，將業已在區域內健全的規制引入多邊談判中，為眾多發展中國家發聲，在平等協商的基礎上，考量各個成員國的訴求，促進全球性規制的形成。

4 結論

長期以來，美歐在平衡個人數據權利與經濟利益上實現規制融合。我國域內仍偏向于數據本地化立場，綜合多因素考慮，應引入比例原則輔以成本收益分析，有助于權衡三大利益，探尋多元共治的“平衡點”。以“平衡點”作為參照，我國應當完善國內規制，諸如強調經濟發展、限縮監管范圍、引入白名單機制、落實立法，還應當在國際上擴大話語權，呼吁構建真正的多邊主義，為發展“一帶一路”事業、實現網絡空間命運共同體和人類命運共同體而奮斗。