數據跨境流動的法治挑戰與應對

杜 昕

(中共廣東省委黨校 法學教研部，廣東 廣州 510030)

0 引言

習近平總書記強調：“數字經濟發展速度之快、輻射范圍之廣、影響程度之深前所未有，正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量”[1]。隨著數字經濟的不斷發展，以數據要素為核心驅動力，以網絡傳播技術為載體的高速率、大容量、低延時的數據跨境流動，正在成為連接全球數字經濟的紐帶，大大拓寬了傳統經濟全球化的廣度與深度，數字經濟全球化已經成為了歷史發展的必然趨勢。據此，我國應在維護國家安全的前提下，主動拓寬數據開放范圍，加快數據跨境流動，在全球競爭中進一步發揮人口優勢與規模優勢，積極融入并引領新一輪經濟全球化。

黨的二十大報告指出：“加強重點領域、新興領域、涉外領域立法，統籌推進國內法治和涉外法治”[2]，數據跨境流動作為數字經濟全球化的驅動力，是新時代相關領域的立法調整對象，數據跨境流動提出的挑戰是推進涉外法治建設不能忽視的重要問題。以“‘滴滴出行’赴美上市”事件為例，根據2022 年7 月21 日國家互聯網信息辦公室 (下簡稱“國家網信辦”)有關負責人就相關行政處罰的決定答記者問可知，滴滴公司在事件當中“存在嚴重影響國家安全的數據處理活動”并且“嚴重侵害用戶個人信息權益”[3]。“‘滴滴出行’赴美上市”事件雖然以行政處罰決定[4]的作出而告終，但卻暴露出一個現實問題——數據跨境流動會對國家安全和個人數據保護層面形成諸多法治挑戰。如何推進我國涉外法治建設以應對數據跨境流動提出的國家安全和個人數據保護層面的法治挑戰，是本文的關注點所在。

1 數據跨境流動提出的法治挑戰

1.1 國家安全層面的挑戰

美國達特茅斯大學塔克商學院院長、原白宮經濟顧問委員會成員馬修·斯勞特和橋水基金聯合首席執行官大衛·麥考密克合作發表的文章《數據即力量(Data is Power)》中指出：“即便與全球經濟的其他要素相比，數據與力量的關聯也更為密切”[5]。國外還有學者認為“數據總是在被不斷加工、分析，數據的分析解釋過程蘊含著它的變革力量”[6]。我國學者也指出“擁有數據存儲和處理技術優勢的主體對特定對象的影響力和控制力不斷增強”[7]。數據蘊含的力量如果被合法地分析利用，會極大促進經濟社會的發展，保障國家的安全，例如挖掘網絡媒體上人們公開發表的一些觀點看法(包括對個人、話題和事件的評估、態度和情緒)，通過進行數據分析，有利于防范不當言論對社會造成的負面影響，從而維護國家安全[8]。但是，大量數據一旦被不法利用，可能嚴重威脅國家安全，甚至導致政治動蕩局面。例如，2018 年曝光的“劍橋分析丑聞”[9]，8 700 萬用戶數據因Facebook 出于商業決策主動對第三方程序開放寬松的API 數據接口，被不當泄露給政治咨詢公司劍橋分析 (Cambridge Analytica)，用于在2016 年總統大選時支持共和黨候選人特朗普。對此，國外學者評論道：“社交媒體公司和劍橋分析等政治數據挖掘公司通過使用個人數據操縱公眾生活建立了自己的業務。他們的工作加劇了種族緊張關系，復興了極端民族主義，加劇了政治沖突，甚至在世界各地的國家制造了新的政治危機——所有這些都削弱了公眾對新聞、投票制度和選舉結果的信任”[10]。“劍橋分析丑聞”等數據不法利用的事件嚴重影響了政治選舉的公平，加劇了美國社會的割裂，危及了國家和政治的安全。所以，防范數據被不法利用，對于維護國家安全至關重要。

在“‘滴滴出行’赴美上市”事件當中，滴滴公司共存在16 項違法事實[3]，其違法獲取或過度收集的用戶信息每一項的數量級均在千萬以上，有些甚至過億。直接獲取的信息種類包括用戶手機相冊中的截圖信息、用戶剪切板信息和應用列表信息、乘客人臉識別信息、年齡段信息、職業信息、親情關系信息、打車地址信息，以及乘客評價代駕服務、App 后臺運行、手機連接記錄儀設備時的精準位置(經緯度)信息。除乘客以外，司機的身份信息、學歷信息也被違法收集。這些信息被違法收集以后，滴滴在未明確告知用戶的情況下，分析得出的間接信息的數量級則均以“億”計，這些信息包括乘客的出行意圖、常駐城市、異地商務或異地旅游情況，其中分析得出的乘客出行意圖信息竟高達539.76 億條。

如此大規模的數據信息，一旦被不法利用，例如用以分析預測我國城市居民的出行情況和人群實時分布情況等，無疑會對我國的公共安全乃至國家安全造成嚴重威脅。“‘滴滴出行’赴美上市”事件起始于2021 年6 月30 日，彼時美國《外國公司問責法》(以下簡稱“HFCAA 法案”)[11]已經生效，該國頒布“CLOUD 法案”也已屆三年。“HFCAA 法案”第三部分規定了向赴美上市外國企業提供服務的會計師事務所負有“額外披露”的義務，需要在審計報告中向美國證券交易委員會(以下簡稱“SEC”)披露如下信息：(1)在法案所規定的期間內該注冊會計師事務所已為上市企業編制的審計報告；(2)在上市企業注冊成立或以其他方式組織的外國司法管轄范圍內，由政府實體持有的上市企業股份的百分比；(3)在與該注冊會計師事務所相關的適用外國司法管轄的政府實體是否對上市企業擁有控股權；(4)、(5)則均為直接針對中國意識形態防范和國家安全泛化的條款。“CLOUD 法案”[12]在第3 節明確規定：“電子通信服務或遠程計算服務的提供商應遵守本法案規定的義務，保存、備份或披露有線或電子通信的內容，以及在其擁有、保管或控制范圍內與客戶或訂戶有關的任何記錄或其他信息，無論該通信、記錄或其他信息是否存儲于美國境內或境外”。“HFCAA 法案”嚴重暴露了美國證券監管的政治化[13]，嚴重破壞了證券行業的市場競爭機制，“CLOUD 法案”則確立了美國數據監管的“長臂管轄”機制。根據美國現行法案和政治風向，滴滴公司赴美上市必然存在數據泄露甚至被不法利用的風險。這一點體現于《網絡安全審查辦法》第十條國家安全風險因素中的第六項：“上市存在……大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險”[14]。因此，數據跨境流動會對國家安全的維護提出全新的法治挑戰，通過立法規制數據力量對維護國家安全至關重要，充分維護國家安全是數據跨境流動監管必須直面的問題。

1.2 個人數據保護層面的挑戰

從滴滴公司存在的16 項違法事實[3]可以看出，侵犯個人數據信息的情況有兩種，其一是未經用戶授權違法獲取數據或超出用戶授權過度收集數據，如違法獲取或過度收集的用戶個人信息數據；其二是背離數據授權使用范圍處理數據，如在未明確告知乘客的情況下分析乘客的出行意圖、常駐城市以及異地商務或異地旅游意向。無論是獲取或收集用戶的個人信息，還是處理用戶的個人信息都需要用戶的授權，且不能超出用戶的授權范圍，這是因為個人信息的收集、使用、共享以及加密保護都應在一定程度上獲得受影響個人的知情通知和同意[15]，使他們有能力控制關涉自身的數據信息[16]。

美國近年來發生的多起案例也表明數據跨境流動會對個人數據保護提出法治挑戰。例如，2017年5 月至7 月，Equifax 發生數據泄露，并于當年9月7 日披露了數據泄露的影響范圍，包括1.479 億美國公民、1 520 萬英國公民和約19 000 名加拿大公民的個人數據信息被泄露，2019 年7 月22 日，Equifax 同意與聯邦貿易委員會(FTC)、美國消費者金融保護局(CFPB)、美國48 個州、華盛頓特區和波多黎各達成和解，協議總額達7 億美元[17]。又如，2019 年7 月29 日Capital One 公開承認，一名黑客未經授權訪問了美國和加拿大1.06 億人 (美國公民約1 億人，加拿大公民約600 萬人)的賬戶和身份信息[18]，2022 年2 月7 日，美國聯邦法院初步批準了Capital One 數據泄露事件有關的集體訴訟和解，和解要求Capital One 建立一個1.9 億美元的結算基金并提供其他救濟服務[19]。此外，2021 年8 月16 日T-Mobile 宣布，一名黑客非法訪問了超過7 600 萬美國公民的個人數據，并就此事件提起了多起數據泄露集體訴訟，2022 年7 月T-Mobile 在密蘇里州聯邦法院的聽證會上同意就數據泄露和隨后的集體訴訟達成3.5 億美元的和解[20]。在這三個案例中，企業的業務范圍均覆蓋全球多個國家，且前兩個案例的數據泄露范圍涉及多國公民。根據訴訟案由可知，這三家企業均因未能有效保護用戶數據安全致使用戶數據未經授權而被非法利用或處于被非法利用的危險之中，其中Capital One 數據泄露案件的黑客佩奇·湯普森[21]還在2019 年4 月發布了如何獲取公司憑證以提取更多數據的說明[22]。從上述案例不難發現，因數據傳輸技術等原因，跨境數據流動存在個人數據泄露的風險，如何保護個人數據安全，避免數據未經授權獲取或使用是數據跨境流動監管必須直面的又一問題。

當然，在保護個人數據的同時也要注意統籌發展和安全。個人數據保護規則的制定和實施要同經濟社會的發展相適應。對此，有研究根據數據產權配置對市場經濟發展的影響得出結論：產權的最優配置關鍵取決于數據的價值，即取決于產生數據的市場和使用數據的市場之間的相對權重，當產生數據的市場權重更大時，應當盡可能保護個人的數據權利；當使用數據的市場權重更大時，應盡可能鼓勵個人授權企業使用數據，促進社會經濟的發展[23]。國內學者也指出：“要在個人信息保護與大數據發展之間實現平衡”[24]，并且“應在立法層面平衡數據交易與個人信息權利保護之間的關系”[25]。因此，如何在促進數字經濟發展的同時保護個人數據安全是數據跨境流動在個人數據保護層面提出的全新法治挑戰。

2 應對挑戰的立法現狀及實踐難點

2.1 國家安全層面的立法現狀及實踐難點

我國現行法律法規對數據跨境流動在國家安全層面的應對主要體現在如下三個方面。

首先是堅持總體國家安全觀。對此，黨的二十大報告指出：“必須堅定不移貫徹總體國家安全觀，把維護國家安全貫穿黨和國家工作各方面全過程，確保國家安全和社會穩定”[2]，堅持總體國家安全觀明確規定在《中華人民共和國數據安全法》(以下簡稱《數據安全法》)[26]第四條當中，并全面貫穿于我國現行法律法規的各項規定，其一，既重視數據處理過程發生在境內的安全，又重視數據跨境流動及在境外開展數據處理活動的安全，這明確體現在《數據安全法》第二條的規定當中；其二，既重視數字經濟的發展問題，又重視數據處理和流動過程的國家安全問題，發展和安全是數字經濟的兩件大事，充分發揮海量數據和豐富應用場景優勢，這明確體現在《數據安全法》第二章的規定當中；其三，既重視自身安全，又重視共同安全，打造網絡空間命運共同體，推動各方朝著互利互惠、共同安全的目標相向而行，這明確體現在《數據安全法》第二十六條和第三十六條的規定當中。

其次是建立數據分類分級保護制度，加強對重要數據的保護。由于數據具有非排他性[5]，這意味著數據的傳輸是幾乎沒有成本和損耗的，那些“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等”[27]的重要數據必須要通過一定的技術手段限制跨境流動。通過構建重要數據評估標準，建立數據分類分級保護制度，從而加強對重要數據的保護。這明確體現在《數據安全法》第二十一條的規定當中。在具體實踐中，我國工業和信息化部發布的《工業和信息化領域數據安全管理辦法(試行)》公開征求意見稿中第二章[28]明確規定了工業和信息化領域數據的分類分級管理，其他各部委及省份也在根據實際情況確定重要數據的具體目錄。

最后是明確數據安全保護義務和法律責任。《數據安全法》在第四章規定了數據安全保護義務，在第五章規定了違反義務需承擔的法律責任，其中第三十一條明確規定了重要數據的出境安全管理，第四十六條則明確規定了違反第三十一條規定，向境外提供重要數據的法律責任。結合上述條文與滴滴公司及該企業直接負責的主管人員的行政處罰情況[4]來看，滴滴公司很可能涉嫌違反《數據安全法》第三十一條規定，將該企業在我國境內運營中收集和產生的重要數據輸出境外。除了《數據安全法》以外，《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第四十條至第四十二條也在國家安全層面對個人信息跨境流動的監管做了具體規定[29]。

綜合上述，重要數據目錄管理具有動態屬性，該屬性引發的時效難題是監管數據跨境流動以維護國家安全的實踐難點。從滴滴公司違法獲取或過度收集的數據信息種類不難看出，這些數據信息的種類與硬軟件功能和數字技術的發展密切關聯。隨著硬軟件功能越來越豐富，數據挖掘和分析技術越來越先進，數據的更新速度會不斷加快，數據規模會越來越龐大，數據種類劃分也會越來越精細，數據目錄的變化周期就會越來越短，重要數據的目錄管理也就越來越呈現出動態屬性，這一動態屬性在 《工業和信息化領域數據安全管理辦法 (試行)》公開征求意見稿第七條[28]就有明確的體現。重要數據目錄列選的動態屬性意味著重要數據的評估標準和保護力度也要緊跟時代的發展，在這一情形下如何保證重要數據目錄列選的時效性是實踐過程中的具體困難。完善立法以解決這一實踐難點，是應對數據跨境流動提出的國家安全挑戰的有效途徑。

2.2 個人數據保護層面的立法現狀及實踐難點

我國現行法律法規對數據跨境流動在個人數據保護層面挑戰的應對主要體現在如下四個方面。

首先是明確個人數據及相關概念的定義。由于數據是記錄事實信息的一種特殊表達方式，是“信息”這一概念的一部分[30]，因此個人數據亦可被解釋為個人信息的一部分。個人信息的定義見于《個人信息保護法》第四條第一款規定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”[29]；數據的定義則見于《數據安全法》第三條規定：“本法所稱數據，是指任何以電子或者其他方式對信息的記錄”[27]。結合這兩部法律可知，個人數據是指任何以電子或者其他方式對個人信息的記錄，屬于受我國法律法規保護的個人信息范疇。

其次是突出對敏感個人數據信息的保護。《個人信息保護法》第二十八條第一款定義了敏感個人信息，是指“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”[29]。根據該條規定，記錄敏感信息的個人數據也應當被特殊保護，在滴滴公司存在的16 項違法事實[3]當中，違法獲取用戶的人臉識別信息就屬于敏感個人信息之一。

再次是規定了處理個人信息的情形、基本原則、具體規則以及對個人數據信息跨境流動監管的規則。處理個人信息的情形具體規定在《個人信息保護法》第四條第二款，即“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形”，處理敏感個人信息的情形則規定在第二十八條第二款。處理個人數據信息包括規定在《個人信息保護法》的七大基本原則，其一是第五條規定的“合法、正當、必要、誠信”原則，其二和其三是第六條第一款和第二款規定的“目的明確合理且直接相關”和“最小范圍”原則，其四是第七條規定的“公開透明”原則，其五是第八條規定的“準確完整”原則，其六、其七是第九條規定的“責任負擔”原則和“數據安全”原則。個人數據信息處理的具體規則包括規定在《個人信息保護法》第十三條的前提條件、第十四條和第十五條規定的“個人同意”的具體要求、第十七條規定的“真實、準確、完整”的告知要求以及第十八條規定的“不告知”情形，第二十九條至第三十二條則規定了敏感個人信息處理的具體規則。對個人數據信息跨境流動監管的規則，則包括《個人信息保護法》第三十八條規定的前提條件和第三十九條規定的“告知—同意”規則[29]。

最后還規定了個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門以及違法行為需承擔的法律責任。例如《個人信息保護法》第六十六條明確規定“對違法處理個人信息的應用程序，責令暫停或者終止提供服務”[29]，對應了網絡安全審查辦公室對“滴滴出行”2021 年7 月2 日啟動網絡安全審查[31]，并于7 月4日下架“滴滴出行” App[32]，7 月9 日下架“滴滴企業版”等25 款App[33]的法律依據。

綜上所述，個人對其個人數據信息的處理可以設定一定授權處理范圍，這明確規定在《個人信息保護法》第四十四條：“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外”[29]。又如Facebook 早在2015 年就發現了劍橋分析公司濫用其用戶信息的行為，亦即Facebook 明知濫用其用戶信息的行為是超出用戶授權范圍的，但兩年多來一直沒有采取有效措施糾正[34]。《個人信息保護法》第六條第二款明確規定了收集個人數據信息“應當限于實現處理目的的最小范圍”[29]，這不僅對個人數據的收集范圍做了限定，還意味著處理數據的范圍應當與既定目的的實現相吻合。由于數字經濟發展迅速，收集數據時的目的與收集完成準備處理數據時的目的可能會在合理范圍內有所變化，如何根據客觀經濟規律認定這一合理范圍，從而協調個人數據保護與經濟發展的關系是實踐過程中的具體困難。

3 突破實踐難點的現實路徑

3.1 以區塊鏈技術賦能重要數據目錄的動態管理

重要數據目錄管理的動態屬性引發的時效難題，是監管數據跨境流動以維護國家安全的實踐難點。隨著數字政府建設的穩步推進，數字技術已經逐步融入到政府管理與服務的方方面面，在實踐中，英國、法國、俄羅斯、瑞士、瑞典、芬蘭、愛沙尼亞等國政府已經在公共服務領域廣泛采用了區塊鏈技術[35]。而針對數據目錄的動態管理方面，現在已經有“目錄區塊鏈”系統應用于數字政府建設的實例。北京市人民政府在2019 年深入實施北京大數據行動計劃，打造了“目錄區塊鏈”[36]系統，該系統秉持職責為根、目錄為干、數據為葉的三級目錄體系建設路徑，將全市政府部門、區的職責、目錄和系統“上鏈”鎖定，完成“上戶口”，實現數據和職責的強關聯、數據變化的實時探知以及數據訪問的全程留痕，有效解決了大數據工作中長期存在的共享難、協同散、應用弱等問題。如果能將北京市“目錄區塊鏈”系統建設的經驗應用于重要數據目錄列選，建設以硬軟件功能為綱、職責為根的目錄體系，從而實現對數據變化的實時探知，可以有效解決重要數據目錄列選的動態屬性引發的時效難題。

所謂以硬軟件功能為綱，是由于數據的產生大多與硬軟件功能相關聯，2021 年9 月1 日，五部門聯合約談了11 家網約車平臺公司，約談要求“各平臺公司要檢視自身存在的問題，立即整改不合規行為……各平臺公司在用戶數據收集、傳輸、存儲、處理等環節，要依法建立相關數據安全管理制度，采取必要的安全技術和管理措施[37]”。據此，不合規行為可能并非只存在于滴滴公司一家，企業獲取因硬件功能產生的數據信息也是通過設計平臺App 的軟件功能運行機制來實現的。因此，要想有效探知重要數據的實時變化情況，就必須以硬軟件功能為綱，對因硬軟件功能產生的數據進行類別劃分，并在此基礎上評估這些數據對于維護國家安全的價值，依據評估結論建立重要數據目錄，并即時關注硬軟件功能的更新情況，以便實時更新重要數據目錄。

所謂以職責為根，是要求各部門、各行業、各地區明確自身在數據識別、分類分級中的工作職責。根據行業要求、特點、業務需求、數據來源和用途等因素，來對識別數據進行分類。并根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度，來對數據進行分級。最后，利用區塊鏈的透明、可回溯、不可篡改等特性[38]，實現重要數據變化的實時探知和重要數據目錄的動態管理，從而有效解決時效性難題。

在具體應用方面，一項研究[39]表明，區塊鏈技術可以有效解決與現有信息收集和共享系統相關的信息安全和效率問題。該研究運用區塊鏈技術構建了一個信息收集和共享模型，可以在保證系統安全和用戶隱私的前提下實時探知并共享患者的醫療記錄。換而言之，區塊鏈技術既可以提供安全的信息系統，同時也增加了患者共享醫療記錄的動機，并且通過開發Android 軟件應用程序來實現可行性。另一項研究[40]也是以醫療數據的收集和共享為視角，證明了通過采用區塊鏈可以保證醫療數據的正確性和患者的隱私，特定數據的完整性也可以通過區塊鏈技術的智能合約控制來實現。此外，還有一些研究[41-42]也表明區塊鏈技術在數據收集和共享方面兼具安全和效率，證實了其應用于重要數據目錄動態管理的可行性。

因此，相關部門可以通過區塊鏈技術開發軟件程序實時檢測重要數據情況，構建以軟件功能為綱、職責為根的重要數據目錄動態管理系統，解決國家數據安全層面的管理時效難題。并在此基礎上建立數據安全監測預警與應急管理機制，從而有效應對數據跨境流動在國家安全維護層面提出的法治挑戰。

3.2 以區塊鏈技術協調個人數據保護和經濟發展

如何確定個人數據利用的底線，劃定處理數據的合理范圍，從而協調個人數據保護與經濟發展的關系，是監管數據跨境流動以保護個人數據的實踐難點。對此，有學者認為：“數字社會中作為權利客體的個人信息具有固有的人格與天然的財產雙重價值……個人信息權的人格權屬性具有對數據財產權的優位性，它因此是信息處理的底線”[43]，他還基于個人數據主體與數據處理者之間的實質不對等關系指出，可以借由“告知—選擇”的行權方式達到弱化權利移轉效果的目的，既可以保護處于弱勢的個人數據主體，也可以降低交易磋商的難度，從而促進數據流通，進而推動經濟發展[44]。不難發現，所謂“告知—選擇”說主要針對數據處理者與個人數據主體之間“一對多式”的格式合同情形，這一情形下個人數據主體顯然居于弱勢，而《中華人民共和國民法典》(下簡稱《民法典》)第四百九十六條至第四百九十八條[45]已經對格式條款加以規定，綜合《個人信息保護法》規定的個人數據信息處理的“告知—同意”模式和《民法典》格式條款的規定可以為解決這一問題提供一條救濟路徑，但該路徑相對比較滯后，亟需一條更為及時的保護途徑。

引入區塊鏈技術來平衡個人數據主體與數據處理者之間的實質不平等關系，相對于傳統救濟途徑，保護更為及時。《個人信息保護法》第四條規定將匿名化處理后的信息排除在了個人信息之外，“匿名化”是指“個人信息經過處理無法識別特定自然人且不能復原的過程”[29]，從這一規定不難發現，企業如果將個人數據信息匿名化處理之后，在無涉國家安全、公共安全等的前提下，可以自由地進行數據跨境流動。這是由于匿名化處理之后，個人數據的人格權屬性得到了最大程度的保護。然而，現實當中很難做到完全匿名化，且完全匿名化處理之后數據的經濟價值也可能會有所降低。如果可以將格式合同關涉個人數據中人格權益的條款由國家監督制定，且可以為行業通用，不能篡改，那么就可以平衡個人數據主體與數據處理者之間的實質不平等關系。而實現這一情形的技術手段，就是以太坊區塊鏈技術。

以太坊區塊鏈技術中的智能合約可以將合同內容用編程的方式寫入區塊鏈網絡當中，一旦合同被寫入，其內容將不可更改，合同雙方必須按約執行[46]。目前已有研究[47]引入智能合約技術以實現基于區塊鏈的激勵兼容機制，兼顧效率的提升和用戶信息安全的需求。國家可以通過立法將保護個人數據中人格權益的條款規范化，并寫入以太坊區塊鏈技術支持的智能合約當中，從而有效杜絕企業濫用個人數據侵害人格權益的行為。這項技術已經被應用到患者醫療數據保護方面，通過執行基于區塊鏈的智能合同來設計安全保護協議，兼顧經濟效益和信息安全[48]。

綜上所述，個人數據利用的底線是不能侵犯個人數據主體的人格尊嚴，結合以太坊區塊鏈技術將人格權益保護條款寫入智能合約，可以有效平衡個人數據主體與數據處理者的市場地位，個人數據財產權益的實現則由市場規律決定，這也契合了黨的二十大報告中“充分發揮市場在資源配置中的決定性作用，更好發揮政府作用”[2]的論述。

4 結論

在數字經濟快速發展且覆蓋全球的今天，數據跨境流動已成為我國必須直面的問題。數據跨境流動監管面臨兩大法治實踐困難，即重要數據目錄的動態管理和個人數據保護與經濟發展的協調平衡。針對這兩大難題，現行立法和相關理論提出了一定的解決途徑，然而這些解決途徑相對比較滯后，難以應對快速發展的數字經濟現實。區塊鏈技術有效彌補了這一局限，用技術監管技術的法治思維，可以適應數字經濟快速發展的實際情況，從而有效應對數據跨境流動提出的法治挑戰。