中國(浙江)自由貿易試驗區推動數據跨境流動難點與對策分析

高曉娜 江瑋 王俞巧

摘要：利用自貿試驗區開展數據跨境流動機制探索是對接高標準經貿規則的有效路徑，為此中國（浙江）自由貿易試驗區明確提出要在國家數據跨境傳輸安全管理制度框架下，試點開展數據跨境流動安全機制探索。從跨境數據流動國際規則比較以及中國（浙江）自由貿易試驗區的實踐探索來看，目前自貿區層面推動數據跨境流動面臨國內相關法律法規缺乏具體實施規則、數據跨境流動監管缺乏技術保障、跨境數據流動領域缺乏國際互信機制、企業數據出境自評估面臨挑戰等難題。建議從典型企業典型應用場景開展先行先試、形成政府-行業-企業三級聯動監管體系、強化數據監管技術保障、對部分國家開展點對點數據傳輸試點、打造數據出境服務平臺等方面破解數據跨境難題，以制度開放引領浙江數字貿易高質量發展。

關鍵詞：中國（浙江）自由貿易試驗區；跨境數據流動；機制探索

隨著數字經濟的發展和技術的進步，數據要素跨境流動逐漸成為促進經濟增長、加速創新以及推動全球化的重要支撐。隨著數據要素價值不斷攀升，數據安全事件卻頻頻發生，國家安全與個人隱私保護受到極大威脅。保障數據安全有序出境，是促進數字經濟健康發展和防范化解數據安全風險的必然要求。目前我國數據跨境流動規則偏向原則化，具體實施細則尚不完善，落地存在難度。浙江作為全國數字經濟強省，在全球新一輪數字經濟競爭中，必然要承擔先行探索和引領的重任。中國（浙江）自由貿易試驗區明確提出要在國家及行業數據跨境傳輸安全管理制度框架下，開展數據跨境傳輸（出境）安全管理試點，因此“數據境內存儲+出境安全審核”的基本監管模式仍然不會改變，自由貿易試驗區的主要任務為通過完善數據分級分類標準、形成典型跨境數據流動應用場景安全管理機制等措施，在安全的前提下探索便利數據跨境流動的監管體系，從以事前監管為主向以數據分級分類為前提的事前監管與事中事后監管相結合的多元體系轉型。本文基于國際數據跨境流動規制比較，結合浙江自貿區數據跨境流動實踐現狀，深入分析浙江自貿區在推動數據跨境流動層面的難點并提出對策建議。

一、數據跨境流動規制國際比較

（一）美國模板：數字貿易利益優先

美國作為信息技術強國，主張數據跨境自由流動規制，通過降低國際數字貿易壁壘，推動本國數字企業獲得更大的市場空間及利益。近年來，美國開始加速構建“數據同盟體系”，通過美國-韓國FTA、《跨太平洋伙伴關系協定》（TPP）、《美墨加貿易協定》（USMCA）、美日數字貿易協定（UJDTA）等推行跨境數據自由流動主張。雖然美國主張數據跨境自由流動，但對個人數據和重要數據采用了不同的管理措施。一是個人數據采取行業自律模式。該模式以事后問責為原則，要求數據控制者在經營中對數據安全采取合理措施。APEC 跨境隱私規則體系（CBPR）是美國主導并大力推行的區域性跨境數據流動體系，其核心包括自我評估、符合性審查、認證、爭端解決和強制執行，強調利用第三方機構對數據的跨境流動進行監管，目前共有美國、墨西哥、加拿大、日本等9個國家和地區加入了CBPR 體系。但 CBPR 并未獲得世界主要經濟體一致認可，比如歐盟認為 CBPR 未能達到 GDPR 對個人信息的保護標準。二是“重要數據”采取嚴格管理措施。美國政府制定了“受控非秘信息列表（CUI）”，將國家經濟數據、政府管理數據、敏感技術數據界定為“重要數據”，并采取了嚴格的管理措施，在中美全面競爭大背景下，美國對敏感個人信息、技術數據采取了更為嚴格的管控措施。

（二）歐盟模板：個人權利優先

歐盟提出了以保護公民數據權利為前提的數據跨境流動規則體系，通過《通用數據保護條例》（GDPR）建立了嚴格的個人數據跨境流動限制體系。一是實現歐盟內部數據自由流動。歐盟對個人數據和重要數據采取差異化管理，通過《通用數據保護條例》（GDPR）和《非個人數據在歐盟境內自由流動框架條款》實現歐盟境內個人數據和重要數據自由流動，并取消了歐盟境內數據本地化存儲的要求。二是通過充分性保護認定機制確定數據跨境流動白名單國家。當個人數據流向歐盟成員國以外的國家，歐盟以是否達到充分保護作為首要條件，當一國或地區通過歐盟的“充分性認定”成為數據跨境流動白名單國家，無需采取其他保護措施，可實現數據跨境自由流動。三是提供多元化個人數據跨境流動機制。當缺乏充分性保護認定時，歐盟為企業提供了“標準合同條款”、“有約束力的公司規則”等數據轉移機制。“標準合同條款”通過合同的方式規定了數據輸出方和數據接受方的數據保護責任，當數據流入國企業與歐盟企業簽訂標準合同后，則被認為符合充分性保護要求。“有約束力的公司規則”主要借鑒了行業自律模式，適用于跨國公司不同國家或地區分支結構數據流動。

（三）中國模板：數據主權安全優先

我國作為數字貿易大國，高度重視數字貿易規則制定，積極探索數字貿易規則中國方案，提出了以數據主權安全為前提的數據跨境流動法律體系。一是數據跨境流動管理制度逐步完善。目前我國跨境數據流動監管法律框架主要以《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》三部上位法為基礎，同時輔以交通、金融、醫療等特定行業的數據流動法規，并結合國家標準與行業標準，形成了“數據境內存儲+出境安全審查”的基本監管模式。二是形成多元數據出境路徑。我國企業可通過數據跨境安全評估、簽訂標準合同、專業機構個人信息保護認證三種方式進行數據跨境傳輸。根據數據類型、行業類型以及數據量等條件觸發不同數據出境路徑。當出境數據為重要數據，或者出境數據規模達到一定量級時需要向國家網信辦申報安全評估。未達到安全評估要求但符合簽訂標準合同條件的，可根據網信辦要求簽訂標準合同后出境。其他情況的個人信息可經過專業機構個人信息保護認證后實現數據出境。三是數據貿易治理規則尚需贏得國際認可。目前我國加入的含高標準數字貿易規則的區域貿易協定僅 RCEP，加入CPTPP 與 DEPA 的申請尚處啟動階段，未來要走的路還很長。而美歐主導的數字貿易規則體系便不適合我國數字貿易的持續發展，因此盡快形成一套高標準、寬口徑的國家層面數字貿易規則體系是當務之急，也是我國爭取世界數字貿易話語權、贏得國際多邊認可的必由之路。

二、中國（浙江）自由貿易試驗區推動數據跨境流動探索

（一）基于現有法律法規探索數據安全管理新機制

在國家數據跨境傳輸安全管理制度框架下，試點開展數據跨境流動安全評估，探索建立數據保護能力認證、數據流動備份審查、跨境數據流動和交易風險評估等數據安全管理機制。試點數據跨境流動，在保護個人隱私等方面加快探索和國際通行規則接軌的數字貿易監管舉措，探索建立以軟件實名認證、數據產地標識為基礎的監管體系，并在示范區開展事中事后監管技術建設和試點示范。

（二）依托國家數據中心網絡加快推進數字新基建

積極部署國際互聯網數據專用通道建設，目前浙江已相繼開通了杭州、寧波、桐鄉、義烏以及舟山五條國際互聯網數據專用通道，顯著改善了互聯網通信質量，增強數據傳輸穩定性，有利于吸引國際金融服務、跨境電商、跨境物流等外向型企業入駐自貿試驗區。支持下一代互聯網（IPv6）、衛星互聯網等網絡基礎設施在各經濟領域深度應用， IPv6被認為是新一代信息基礎設施的代表和數字經濟的底座，解決了 IPv4網絡地址資源不足的問題。

（三）立足自由貿易試驗區需求提升數字貿易平臺能級

建設全球數字安防產業平臺，圍繞數字安防技術、網絡信息技術、區塊鏈技術、數字云服務、數字內容、數字金融六大領域，提升濱江高新區物聯網產業園競爭力。建設數字一體化監管產業平臺，充分利用大數據、人工智能、區塊鏈、5G 等先進信息技術，對涉及關鍵技術、平臺安全、數據安全和個人隱私安全的服務貿易，加大綜合監管。建設跨境數字貿易區塊鏈產業平臺，注重源頭管理，支持海關、稅務機構、外柜管理機構、商業銀行、電商平臺等多方單位實現基于數據的綜合服務與創新應用，提高各類交易和數據流通安全可信度。

三、當前中國（浙江）自由貿易試驗區推動數據跨境流動主要難點

（一）國內相關法律法規缺乏具體實施規則

一是沒有對重要數據和個人數據進行區分。《網絡安全法》將個人信息和重要數據相并列，均采取相同的數據處理辦法，這導致難以實現普通個人數據自由流動。從國際上主要國家數據流動管理實踐上來看，大多對個人數據和重要數據采取了不同的監管機制。例如美國對個人數據和重要數據分別采取行業自律監管模式和嚴格管控模式，而歐盟則通過不同的法案對其進行分類管理。二是重要數據分級分類標準不明確?！稊祿踩ā穼χ匾獢祿捎昧四夸浄绞竭M行重點保護，只提出了數據分級分類的基本要求，但并未直接明確重要數據的認定和統一，而是授權各地區、各部門自行制定。三是未形成基于具體業務場景的應用指南。《數據出境安全評估辦法》明確了數據出境安全評估的流程和要求，但并未出臺配套案例及實施指南，在執行過程中仍面臨落地難度大的問題，評估細則以及具體實施方法等還需細化和明確。

（二）數據跨境流動監管缺乏技術保障

伴隨著數據要素市場化進程，數據價值不斷凸顯，但也面臨數據竊取、數據篡改、數據非法使用等安全風險。數據資產具備流動性，而傳統的信息安全風險評估主要以靜態評估為主，無法適應數據流動過程中不同環境下的評估要求。此外，數據在跨境流動過程中，存在所有權和使用權的分離，這使得數據跟蹤與數據溯源非常困難。數據監管部門在落實數據輸出方與輸入方安全管理義務、數據安全責任事件鑒定方面面臨巨大挑戰。技術是數據流動監管的核心驅動力，決定了數據安全評估、數據全周期安全管理、交易風險評估等結果的科學性和合理性，因此將制度要求轉化為技術要求并進行落實是自貿區推動數據自由流動的關鍵一環。

（三）跨境數據流動領域缺乏國際互信機制

目前，美歐通過雙邊或區域貿易協定推廣其跨境數據流動規則體系，掌握規則制定主導權。以CPTPP 為代表的高標準數字貿易規則其數據條款強調“禁止數據本地存儲”以及“數據自由流動”，這與我國的數據跨境流動規則存在根本性差異，但考慮到目前中美政治關系以及數字經濟領域技術能力差異，“數據境內存儲”是現階段我國仍需堅持的一項基本原則。我國跨境數據流動政策主要采用“數據境內存儲+出境安全審查”的方式，這種規則差異導致我國目前難以參與美國與歐盟主導的雙邊/多邊協議。目前我國未加入APEC 的CBPR 體系，也未進入歐盟委員會確認的白名單國家，尚未與其他國家就數據跨境流動事項達成書面合作協議，數字貿易規則國際影響力較弱，加大了自貿試驗區推動數據跨境流動的壓力。

（四）企業數據出境自評估面臨挑戰

《數據出境安全評估辦法》中規定，當企業有數據跨境需求時，需要評估數據出境的必要性、合法性、安全風險、接收方數據保護能力、數據出境后被篡改和濫用的風險。該規定明確了企業的主體責任，通過自評估的形式對數據出境負責。隨著世界主要經濟體對跨境數據流動監管要求不斷細化，出境數據合規已變成企業的“必答題”?！镀髽I跨境數據流動安全合規白皮書（2023）》中指出企業跨境數據流動面臨不同國家數據監管要求存在法律沖突、企業難以準確高效識別跨境數據類型、跨境數據受到攻擊愈加頻繁等挑戰，企業難以平衡安全與效益，應從管理、技術與運營三個維度構建跨境數據流動合規體系。

四、中國（浙江）自由貿易試驗區推動數據跨境流動對策建議

（一）針對典型企業典型應用場景開展先行先試

目前我國已發布了通用的數據安全治理要求，但缺乏基于關鍵業務場景、特定行業的實踐指南。部分政策規定過于原則化，缺少明確的可操作性方案，增加了企業的合規成本和難度。浙江自貿試驗區集聚了阿里巴巴、網易等超過全國三分之一的跨境電商平臺，涌現出以?？低暋⒄憬笕A等為代表的一大批數字制造與數字貿易企業，擁有豐富的數據跨境應用場景。首先，浙江自貿試驗區積極探索針對典型企業、典型應用場景的數據跨境流動安全管理規范，通過一系列較佳的實踐成就指導企業實現數據跨境合規流動；其次，以國家相關法律法規為基礎，積極推動數據跨境合規流動的行業標準，實現行業的數據保護和數據流動；第三、利用浙江云計算、跨境電商及跨境線上支付等領域形成了國際競爭優勢和豐富的數據跨境應用場景，探索用戶下單、清關以及支付等環節的數據跨境流動安全機制及風控機制。

（二）形成政府-行業-企業三級聯動監管體系

2022年我國數字經濟規模穩居世界第二，數據跨境需求迎來高速增長階段，事前許可方式難以滿足量大、頻繁且出境方式多元的數據跨境流動需求。事前許可的管理模式并不能很好的實現監管目標，往往只會增加行政負擔，因此應充分發揮政府、行業和企業的能動性，形成政府層面審慎監管、行業協會自律監管、數據主體積極自查的政府-行業-企業三級聯動監管體系。鼓勵行業協會及其他自律組織參與安全評估認證，作為政府監管有效補充。各行業協會可依據本行業特點在國家法律框架下對數據跨境流動規制進行進一步細化，為企業提供合規操作指引。例如阿里巴巴圍繞數據生命周期提出了《信息安全技術數據安全能力成熟度模型》（DSMM）并在行業內進行推廣應用，促進企業內部建立數據保護體系，明確數據全生命周期操作規范，從提高數據保護意識、設置專業數據安全人員、利用專業管理工具、建立安全管理制度體系四個方面提升自身數據保護能力。

（三）強化數據監管技術保障

浙江自貿區應強化數據監管技術保障，通過技術手段加強對數據出境行為的監管能力，保障數據安全有序流動。可從以下幾個方面展開：一是加強數據泄露威脅情報共享與溯源能力，建立政府-行業-企業快速協同系統，迅速定位威脅來源；二是針對不同業務場景以及數據輸入國數據保護能力采取流量限制，對數據傳輸的方向及總量進行控制，在緊急情況下甚至可以直接切斷數據傳輸；三是提升企業層面數據安全技術應用，全面掌握數據跨境類型及數據流向，鼓勵企業建立能審查、可以自證清白的數據監管體系，通過技術手段提升企業數據出境合規性；四是構建產業層面數據安全大腦，形成可視化界面全面展示數據跨境情況，加強數據安全事件快速響應能力。

（四）對部分國家開展點對點數據傳輸試點

利用自貿區等制度創新優勢，優先在 RCEP、DE-PA 成員國中選擇部分國家開展數據跨境流動談判，在滿足我國數據主權和安全這一前提下，建立數據流動區域互認互信。目前重慶、廣西等自由貿易試驗區已明確了數據傳輸試點國家，加快數據要素區域流動合作，浙江自貿區應加快確定數據出境合作國家，并在企業層面開展試點?？山梃b歐盟“白名單”制度的理念對數據流向國數據保護能力進行審查，對部分數據流動需求高的國家開展充分性保護認定試點，并將其列入數據出境“白名單”國家。對“白名單”國家減少行政審批程序，促進數據自由流動，對名單外的國家則采取嚴格的數據安全保護措施，“白名單”制度既有利于簡化數據出境審批程序，同時也保證了數據出境安全。

（五）打造數據出境服務平臺

我國數據出境法律體系要求數據出境前進行數據出境安全評估，且評估內容比較復雜，企業及政府獨立開展評估工作面臨較大困難與挑戰，需要借助第三方服務機構對數據安全提供咨詢、安全認證及評估服務，因此應在自貿區內打造數據出境服務平臺，借助制度優勢吸引一批跨境數據服務企業入駐，為企業提供一站式數據出境解決方案。從企業層面來看，服務平臺為企業提供數據處理及數據合規相關服務，降低企業合規成本；從政府層面來看，服務平臺通過提供統一的數據處理規則及合規處理方法，在便利企業的同時也提高了監管部門的效率，解決了政府數據監管與企業數據出境需求的結構性矛盾。北京數據托管服務平臺是國內首個可支持企業數據跨境流動的數據托管服務平臺，浙江自貿區應借鑒相關經驗，加開數據出境服務平臺建設。

參考文獻：

[1]陳少威，賈開.跨境數據流動的全球治理：歷史變遷、制度困境與變革路徑[J].經濟社會體制比較，2020（2）：120-128.

[2]陳統.數據出境風險自評估機制的理解與適用[J].企業經濟，2023（4）：143-152.

[3]高騰玲.跨境數據流動分歧對中國數字貿易的影響[J].對外經貿實務，2021（9）：46-49.

[4]何波.中國參與數據跨境流動國際規則的挑戰與因應[J].行政法學研究，2022（4）：89-103.

[5]劉云.中美歐數據跨境流動政策比較分析與國際趨勢[J].中國信息安全，2020（11）：75-78.

[6]劉俊敏，郭楊.我國數據跨境流動規制的相關問題研究——以中國（上海）自由貿易試驗區臨港新片區為例[J].河北法學，2021（7）：76-90.

[7]馬述忠，房超，梁銀鋒.數字貿易及其時代價值與研究展望[J].國際貿易問題，2018（10）：16-30.

[8]馬其家，李曉楠.論我國數據跨境流動監管規則的構建[J].法治研究，2021，No.133（01）：91-101.

[9]馬其家，李曉楠.國際數字貿易背景下數據跨境流動監管規則研究[J].國際貿易，2021（3）：74-81.

[10]盛斌，陳麗雪.多邊貿易框架下的數字規則：進展、共識與分歧[J].國外社會科學，2022（4）：93-110.

[11]沈玉良，彭羽，高疆，陳歷幸.是數字貿易規則，還是數字經濟規則？——新一代貿易規則的中國取向[J].管理世界，2022（8）：67-83.

[12]孫恒有，聶歡.雙循環新發展格局下中國自由貿易試驗區體制機制創新的瓶頸與對策[J].對外經貿實務，2021（5）：10-13.

[13]魏浩，盧紫薇，劉緣.中國制度型開放的歷程、特點與戰略選擇[J].國際貿易，2022（7）：13-22.

[14]熊鴻儒，田杰棠.突出重圍：數據跨境流動規則的“中國方案”[J].人民論壇·學術前沿，2021（Z1）：54-62.

[15]辛勇飛.中國數據治理規則體系構建：現狀、挑戰與展望[J].人民論壇·學術前沿，2023（6）：6-12.

[16]張衠.跨境數據流動的國際形勢和中國路徑[J].信息安全與通信保密，2018（12）：21-26.

[17]周念利，陳寰琦.數字貿易規則“歐式模板”的典型特征及發展趨向[J].國際經貿探索，2018（3）：96-106.

[18]周念利，陳寰琦.RTAs 框架下美式數字貿易規則的數字貿易效應研究[J].世界經濟，2020（10）：28-51.

[19]趙旸頔，彭德雷.全球數字經貿規則的最新發展與比較——基于對《數字經濟伙伴關系協定》的考察[J].亞太經濟，2020（4）：58-69+149.

[20]中國移動通信有限公司研究院. 企業跨境數據流動安全合規白皮書（2023）[R]. 2023年2月