中日跨境數據流動治理對比研究

黨璽　徐安妮

摘 要： 跨境數據流動治理已成為全球數字貿易發展的核心要素。從數據分類治理的視角比較中日兩國的跨境數據治理現狀發現，中國出于維護網絡安全和數據主權的考慮，對個人信息和重要數據的跨境流動持保守態度；日本秉持“基于信任的數據自由流動治理理念”（Data free flow with trust，DFFT），在強調信任的基礎上盡可能地擴大數據自由流動。借鑒日本相關治理經驗，我國應當提煉跨境數據流動治理理念，在加強分類治理的同時拓寬數據流動方式，構建獨立的數據流動監管機構，為我國跨境數據流動打造堅實的制度基礎，提升數字經濟環境下的國際話語權。

關鍵詞： 跨境數據流動；數據分類；DFFT理念；數據主權；監管規則；數據治理

中圖分類號： D908

文獻標志碼： A

文章編號： 1673－3851 （2023） 04－0198－08

Comparative study on the governance of cross－border data flow between

China and Japan：From the perspective of data classification governance

DANG? Xi， XU? Anni

（School of Law and Politics， Zhejiang Sci－Tech University， Hangzhou 310018，China）

Abstract： ?Cross－border data flow governance has become a core element of global digital trade. It is found from comparing the status quo of cross－border data governance between China and Japan from the perspective of data classification governance that： China takes a conservative approach to the cross－border flow of personal information and vital data out of concern for cybersecurity and data sovereignty; Japan adheres to the concept of "Data free flow with trust" （DFFT）， expanding the free flow of data as much as possible while emphasizing trust. China should draw on the relevant governance experience of Japan， refine the governance concept of cross－border data flow， expand the data flow mode while strengthening classified governance， establish an independent data flow supervision institution， build a solid institutional foundation for cross－border data flow， and enhance the international discourse power in the digital economy environment.

Key words： cross－border data flow; data classification; DFFT concept; data sovereignty; regulatory rules; data governance

數據已成為各國不可或缺的基礎性資源，在全球經濟增長中發揮關鍵作用。自2008年以來，數據流動對全球經濟增長的貢獻已經超過傳統的跨國貿易和投資①。美國國際戰略研究中心（Center for strategic and international studies，CSIS）發布的《亞太地區的數據治理》指出，根據新冠肺炎疫情前的一項研究預測，跨境數據流動將在2020年使全球經濟產出增加3％以上，或將近3萬億美元［1］。數據跨境流動已成為促進數字經濟創新、提高經濟增長效率和增進社會福祉的關鍵動力，跨境數據流動治理規則的構建成為各國數據博弈的關鍵。

當前學界對跨境數據流動治理的研究主要聚焦于美國和歐盟的立法和實踐：美國以“貿易自由”為導向，主張數據跨境自由流動，強烈反對數據本地化，以消除數字貿易壁壘［2］；歐盟通過研究制定較高水平的數據保護規則，構建制度壁壘，減少數據無序流動［3］。相較而言，學界對日本的數據治理框架研究較少。近年來，日本對內不斷完善跨境數據流動法律規制體系，對外積極構建雙邊、多邊機制，謀求引領全球跨境數據流動治理標準和規則制定。日本是重要的經濟體，作為全球跨境數據流動中的關鍵一環，其對數據治理模式的探索不應被忽視。本文在梳理中日兩國跨境數據流動治理理念的基礎上，比較分析雙方針對個人信息、產業數據、重要數據跨境流動的治理模式，以期為我國構建跨境數據流動治理框架、加強國際跨境數據流動合作與交流、深度參與全球數字經濟規則制定提供借鑒。

一、中日跨境數據流動的治理理念

不同國家的價值選擇存在差異，發展目標不同，國家安全關注點有別，因此難以在短時間內達成治理規則的共識。相較于美國主張自由流動的進取型理念和歐盟的數據保護規制型理念，中國的跨境數據流動治理相對保守，強調維護網絡安全和數據主權，而日本提出的“基于信任的數據自由流動治理理念”（以下簡稱為“DFFT理念”），在強調信任的基礎上主張盡可能地擴大數據自由流動。

（一）中國：維護網絡安全和數據主權

中國目前尚未形成明確的跨境數據流動治理理念。在“斯諾登事件”后，基于維護國家網絡安全、維護數據主權、保障個人信息安全等考量，中國在部分行業規章或規范性文件中，對跨境數據流動提出了不同程度的本地化存儲要求（2011年中國人民銀行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》、中國銀行保險監督管理委員會發布的《保險公司開業驗收指引》、2013年國務院發布的《征信業管理條例》、2014年國家衛計委發布的《人口健康信息管理辦法（試行）》、2015年國務院發布的《地圖管理條例》、2016年國務院多部門聯合發布的《網絡預約出租汽車經營服務管理暫行辦法》、2016年廣電總局與工信部發布的《網絡出版服務管理規定》等，都不同程度地提出了服務器和設施本地化的要求，有的則明確禁止在國內收集的數據出境。）。近年來，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）和《中華人民共和國數據安全法》（以下簡稱《數據安全法》）這三部法律的出臺及相關配套措施的制定與完善，構建起中國跨境數據流動的總體法律框架?？傮w而言，中國對跨境數據流動的規制存在“數據本地化”偏好。

“數據本地化”在一定程度上可以實現保障國家信息安全和隱私保護的目標，但該偏好已不適應于我國當前數字經濟產業的發展態勢。2019年，中國在全球數字產業領域的業務總規模就達到了2.567萬億美元，位居世界第一。中國跨境數據流動規模在2010—2017年間大約增長了17倍，保持著較為強勁的增長勢頭。然而，相較于中國龐大的數字經濟體量，在保守的政策導向下，中國的跨境數據流動規模仍然較小，僅占美國跨境數據流動規模的20％［4］。此外，美國主導的APEC跨境隱私規則（APEC cross－border privacy rules system，CBPRs）和歐盟在《通用數據保護條例》（General data protection regulation，GDPR）規制下所秉持的跨境數據治理理念，都與當前我國的“數據本地化”偏好存在不小的沖突，對我國參與由美國、歐盟主導的雙邊、多邊機制和國際規則談判存在一定阻礙。例如，在向WTO提交的電子商務談判提案中，我國并未提出跨境數據流動相關規則主張。我國認為，數據的自由流動和本地化存儲等一系列問題具有復雜性和敏感性，涉及每個成員國的核心利益，需要進行更多的討論美國在向WTO提交的電子商務談判提案中主張成員國不應該禁止、限制跨境數據傳輸；歐盟的提案在主張跨境流動自由的同時強調個人隱私保護，主張協定內容不得限制成員國采取適當措施保護本國公民隱私。WTO，Joint Statement on Electronic Commerce－Communication from China［EB/OL］.（2019－04－24）［2022－04－15］. https：//docs.wto.org/dol2fe/Pages/SS/directdoc.aspx？filename=q：/INF/ECOM/19.pdf&Open=True.）。

在“數字中國”戰略和“網絡強國”戰略定位下，我國跨境數據流動的規模日益擴大，其對數字經濟發展的驅動力也日益顯著。目前，中國積極推動“一帶一路”數字經濟合作向縱深發展，與沿線國家、地區在數字化技術及數字基礎設施建設領域的交流合作日益密切。截至2020年底，我國已與16個國家簽署了“數字絲綢之路”合作諒解備忘錄，與22個國家建立了“絲路電商”雙邊合作機制［5］。同時，在全球區域經濟一體化迅猛發展的新形勢下，我國積極參與制定《區域全面經濟伙伴關系協定》（Regional comprehensive economic partnership，RCEP），并且在2021年9月向全面與進步跨太平洋伙伴關系協定（Comprehensive and progressive agreement for trans－pacific partnership，CPTPP）這個“十一國大群”提交“入群申請”，推動國內制度與國際規則接軌，以構建面向全球的高標準自由貿易區網絡。同年11月，中國申請加入《數字經濟伙伴關系協定》（Digital economy partnership agreement，DEPA），致力于加深數字經濟包容性與參與度［6］。在維護數據安全性的基礎上，如何提升開放成長性成為重要議題。

（二）日本：跨境數據治理DFFT理念

在達沃斯2019年世界經濟論壇年會上，時任日本首相安倍晉三首次向世界提出了“DFFT理念”。該理念有兩個要點：數據自由流動和數據安全保障。日本政府以該理念為核心，在國內、國際兩個場域持續發力。在國內層面，日本為充分確?？缇硵祿鲃拥淖杂苫?，規定除公共利益目的外，原則上禁止數據本地化存儲要求。在數據安全保障方面，日本不斷完善個人信息保護的法律框架，禁止轉移和披露源代碼及算法，禁止轉移或訪問信息通信領域（Information and communication technology，ICT）產品中使用的加密信息［7］。在國際層面，日本不斷拓展基于“DFFT理念”的“國際數據流通網”，積極參與現有國際社會的合作，探討數據跨境轉移所必需的主體間的信任框架構建。諸如《日美數字貿易協定》《日英EPA協定》和《RCEP區域競爭經濟伙伴關系協定》等多邊、區域數據治理規則，都體現著“DFFT理念”。2019年6月，日本借G20大阪峰會之機，再次強調“DFFT理念”的重要性，并且將構建“數據自由流通框架”的進程命名為“大阪軌道”?！按筅孳壍馈庇蓴祿D移機制、法律和監管措施協調、技術標準和產業合作、國際貿易規則四部分組成。日本在啟動“大阪軌道”時也表明，WTO電子商務談判將成為日本推動“大阪軌道”的主要抓手。在WTO電子商務談判中，日本提出了跨境數據自由轉移，禁止在國內設置數據服務器，禁止各國政府持有的統計、交通和災難相關數據僅向國內企業披露，禁止要求披露源代碼和算法等議案［8］，持續釋放“DFFT理念”影響力。

國際社會在跨境數據治理過程中，也會參考和借鑒“DFFT理念”。例如，世界經濟論壇正通過與主要專家、企業和利益相關者展開對話來支持這一理念，力圖將其轉變為一種治理架構［9］。2021年，七國集團數字與技術部長級會議還制定了“DFFT路線圖”，制定了四個跨領域的行動計劃：a）評估數據本地化的影響；b）比較分析各國關于跨境數據流動的政策；c）制定可靠的政府準入指南；d）促進數據的相互共享［10］。

維護網絡安全和數據主權對于中國而言固然重要，但是背離跨境數據流動治理的主流理念，缺席國際數據流動治理規則的制定，無法積極參與并擴大國際數字貿易，可能對中國造成的消極影響是長遠而深刻的。相較于日本對治理理念的打造和推廣，我國應當加快提煉中國跨境數據流動治理理念，通過積極參與全球數字經濟貿易規則制定，打造具有國際影響力的中國理念，為全球數字經濟發展貢獻中國方案。

二、中日跨境數據流動治理分類的比較

中日兩國在跨境數據流動基本理念、具體法律制度規定、跨境數據流動的審查標準等很多方面存在差異。跨境數據流動規則的可預見性不足，使得企業在跨境數據貿易中要付出較高的成本，影響正常的數據跨境交易活動。本文按數據來源及其重要程度，將跨境數據劃分為“個人信息”“非個人信息（產業數據）”以及個人信息與非個人信息在處理過程中對國家安全、公共利益等產生重要影響的“重要數據”，嘗試厘清不同分類下的中日跨境數據流動規則，營造有利于數字貿易發展的環境。

（一）嚴格限制個人信息的流動

我國《個人信息保護法》第三章以專章的形式規定了個人信息跨境流動的規則，在個人信息處理者“因業務需要，確需向境外提供個人信息”情況下，首先應履行向個人的“告知”和“取得單獨同意”義務，并且滿足“通過安全評估”“經個人信息保護認證”“按網信部制定的標準合同與境外接收方約定權利義務”這三種個人信息跨境流動機制之一，方可進行個人信息跨境傳輸。我國《個人信息保護法》第55、56條還明確了個人信息處理者在數據流動中的責任，其在“向境外提供個人信息時”，應事前進行“個人信息保護影響評估”，評估包含數據處理目的、處理方式、對個人權益保障的有效性等內容。

然而，我國數據安全評估、個人信息保護認證等機制尚處于制度設計階段，還沒有一個清晰可循的制度方案。2019年國家互聯網信息辦公室發布的《個人信息出境安全評估辦法（征求意見稿）》，對個人信息的跨境流動以安全評估原則取代本地化存儲原則，條文明確了個人信息出境申報評估要求、重點評估內容、出境合同內容及權利義務要求等內容。在2021年10月《數據出境安全評估辦法（征求意見稿）》中又作出了細化規定。但這些評估辦法尚未落地，相關的安全評估工作亦無法展開。

中日兩國均以強調個人信息保護的立場限制個人信息的跨境流動，在這一點上兩國保持高度一致。但是相較我國，日本早在2003年就制定了《個人信息保護法》，且針對個人信息的跨境流動治理更加體系化。首先，在打造數據流通和共享的環境基礎方面，2016年12月，日本在《促進官民數據活用基本法》中，確定了“促進官民數據活用”的基本理念。該法第11條對數據開放進行了規定：“國家和地方政府應當采取必要措施，在不損害個人和法人的權利利益、國家安全的前提下，使國民通過互聯網和其他先進的信息通信網絡方便地使用其持有的官民數據”，以應對商業活動全球化下大量數據跨境流動的挑戰。其次，在個人信息流通機制的構建方面，日本2020年修訂的《個人信息保護法》進一步明確了個人信息處理業者向日本境外第三方提供個人數據，在以下兩種情況下可以不經過本人同意：第一，向個人信息保護委員會規定的、與日本具有同等個人信息保護制度的“白名單國家”（日本確認的白名單國家必須滿足以下五個條件：a）具有達到日本同等保護水平的法律法規；b）設立了與“個人信息保護委員會”同等的獨立監管機構，實施必要和適當的監管；c）具有對個人信息利用和個人權益保護的共同理念；d）對個人信息的跨境流動施加的限制不得超越保護個人信息的必要范圍；e）能夠為日本的產業創新、經濟社會蓬勃發展以及實現國民的富裕生活做出貢獻。）轉移個人數據。例如，2019年日本與歐盟完成了信息保護的充分性互認，只要滿足法定條件，日本與歐盟之間的數據轉移不需要本人的同意。第二，境外第三方符合個人信息保護委員會規則中規定的以下標準：a）基于信息提供方與接收方之間的合同等，或者信息提供方與接收方屬于同一公司集團且有共同適用于雙方的內部規章、隱私政策等，具有完善的個人信息保護機制；b）取得了CBPRs體系的認證等。這些具體規定可以視為非經個人信息主體同意而進行跨境流動的“例外條款”，為日本個人信息跨境流動提供多元機制保障，也為境內外企業之間的數據交易活動提供很多空間。再次，為促進個人信息最大程度地流動共享，日本在《個人信息保護法》中做出了關于“匿名化加工信息”和“假名化加工信息”的規定。在一定規則下，無需征得本人同意，就可以進行目的外的利用以及提供給第三方。就“假名化加工信息”而言，由于無法識別出特定個人，個人對此并不享有查詢、更正、停止使用等數據請求權，該規定促進對個人信息最大限度地有效利用。最后，日本增設了“個人信息保護委員會”作為個人信息保護的獨立監管機構，其監管對象包括行政機關、地方公共團體以及公民個體的數據流通，監管內容包含推進個人信息保護相關的基本方針，監督對個人信息的處理，加強與國外的聯系等［11］。個人信息保護委員會于2021年1月頒布了《跨境數據流動指南》，細化向國外第三方提供個人信息的要求，以應對個人信息跨境流動帶來的風險。一元監管機制將個人信息處理事業者的監督權限從各領域的主管大臣統一到委員會，消除了重疊監督、主管省廳不明確等問題，為日本跨境數據流動監管提供監管制度保障。

（二）減少產業數據流動的限制

產業數據涉及的政策問題分歧較小，因此更有可能達成多邊共識。美國大力主張并倡導產業數據的自由流動以強化本國企業壟斷地位，加強其規模經濟效應，故沒有針對產業數據流通設置限制措施。根據歐盟委員會2018年11月公布的《非個人數據在歐盟區域內自由流通框架規則》，歐盟主張消除各成員國的數據本地化要求，除公共安全需要外，原則上自由。

我國并未在法律規制上指出產業數據應當怎樣流通，其重點聚焦于“個人信息”和“重要數據”。我國對企業的跨境數據流動側重于監管，防范在商業活動中數據跨境流動帶來的風險。數據本地化存儲仍是跨境數據流動規則制定中不可輕易妥協的課題。例如，我國安裝了互聯網防火墻以阻止谷歌和推特的擴張，并實施了嚴格的數據本地化義務以延遲信息向海外的傳輸；作為進入中國市場的條件，外國公司可能需要交出源代碼和加密密鑰等。［12］諸如此類的限制要求對產業數據的跨境流動產生極大阻礙，限制了我國企業與境外企業的數據貿易發展。

日本對“個人信息”采取了限制措施的同時，對產業數據采取了原則上自由流動的態度［13］。如何推進與個人無關的產業數據的流通，成為日本整備綜合性數據流通環境的關鍵課題。內閣IT綜合戰略室從2016年9月開始召開了“完善數據流通環境研討會”，在研討會上設立“AI、物聯網時代的數據利用工作組”，集中討論了PDS（Personal data store）、信息銀行、數據交易市場等新的數據流通結構，為《促進公私數據靈活使用基本法》第12條規定的“在個人參與下，由各種主體合理使用公私數據”提供數據流通環境支撐［14］。同時，日本積極參與雙邊、多邊跨境數據協定談判，不遺余力地推動跨境數據自由流動規則的構建，拓寬產業數據的流通途徑。日本在亞太地區積極參與由美國主導的跨太平洋伙伴關系協定（Trans－pacific partnership agreement，TPP），并且在美國退出TPP后主導構建全面且先進的跨太平洋伙伴關系協定（CPTPP）。同時，日本積極推動CBPRs體系的建立與發展，通過這一隱私保護認證框架實現經濟體間的數據安全流動。針對歐洲地區，日本又通過修訂《個人信息保護法》積極對接歐盟的數據保護規則，與歐盟實現充分性雙向互認。此外，日本還積極推動打造“美國—歐盟—日本”的跨境數據自由流動框架，試圖創建世界上最大的安全數據傳輸區域。

（三）強化重要數據安全的評估

在對“個人信息”的跨境流動予以嚴格限制的同時，我國《網絡安全法》第37條《網絡安全法》第37條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估?！保┮惨髮Α瓣P鍵信息基礎設施的運營者”（中華人民共和國國務院令第745號 《關鍵信息基礎設施安全保護條例》第2條規定：“關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。” ）在中國境內運營中所收集和產生的“重要數據”進行本地化管理，嚴格規定了區域內企業及個人承擔數據國內存儲義務?！爸匾獢祿笔侵附M織或個人在中國境內收集產生的涉及國家安全、經濟發展和公共利益的數據。

自我國《網絡安全法》首次在法律層面提出“重要數據”的概念后，國家互聯網信息辦公室于2017年發布《重要數據識別指南》作為配套性文件，按照行業劃分重要數據類型，包含通信、電力、金融等28大類（含“其他”）各個領域的重要數據，涉及的范圍較廣，規定比較模糊，且最終并未生效。為進一步落實《網絡安全法》第37條規定，國家互聯網信息辦公室在2018年發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》中提出了建立“網絡運營者自行評估+主管部門監管評估”的雙層評估結構，擴大數據出境評估范圍。2021年頒布的《數據安全法》根據適用主體和數據規模的不同對跨境數據流動制定了安全評估流程《數據安全法》第4條規定：“數據處理者向境外提供數據，符合以下情形之一的，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。（一）關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據；（二）其他數據處理者出境數據中包含重要數據；（三）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；（四）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；（五）國家網信部門規定的其他需要申報數據出境安全評估的情形?！?），并且提出將建立數據分類分級保護制度，制定“重要數據”目錄，對數據實行分類分級保護。全國信息安全標準化技術委員會在《信息安全技術 重要數據識別指南（征求意見稿）》中細化識別重要數據的基本原則、識別流程和規范要求重要數據的描述格式等配套規范要求制度，增強其實操性更強。雖然相關制度尚處于征求意見階段，但中國基于國家安全、網絡安全的需求對“重要數據”跨境流動規制打出的一套組合拳，使國際上一些國家，諸如追求數據自由流動的美國、日本等，對中國的數據本地化傾向頗有指摘，認為這將極大程度限制外國企業的海外擴張，加大跨境數據流動的合規成本。例如，在《網絡安全法》實施后，Apple做出戰略意義上的妥協，宣布在中國境內建立數據中心。此外，基于“在中國運營數據中心必須以中資企業持有多數股份的形式成立合資公司”的規定，Apple中國于2018年1月宣布了將i－Cloud服務在中國的運營轉移到中國企業的計劃。

反觀日本，并未針對“重要數據”作清晰定義。針對重要基礎服務設施的重要數據的轉移、處理、管理等，日本當局從保密性、完整性和可用性等角度進行應對，內閣網絡安全中心對包含信息通訊、金融、航空、鐵路等14個重要基礎設施領域的數據傳輸要求進行修訂。同時，日本于2019年5月修訂了《與確保重要基礎設施信息安全有關的安全標準制定指導方針（第5版）》作為切實實施和持續改進必要的信息安全措施時應參考的指導方針。指導方針要求相關部門聯合起來，促進實施各重要基礎設施領域的安全標準，并將標準滲透到企業，要求其加強自控與風險審查。

三、中國應對跨境數據流動治理的策略

與日本對比，我國對跨境數據流動的治理缺乏具體理念，沒有一套與國際接軌的跨境數據流動治理規則，難以在國際跨境數據流動規則制定過程中發揮深刻的、持續性的影響力。從具體的數據分類治理上看，中國的跨境數據流動治理較為保守且相關規則不夠健全，評估監管方案仍在制定中，可操作性不強，跨境數據流動缺乏有效監管。針對上述問題，我國應當提煉數據跨境流動理念，實行數據的類型化治理，拓寬數據流動方式，嘗試構建獨立的跨境數據流動監管委員會，進一步完善治理體系。

（一）提煉跨境數據流動的理念

一直以來，基于網絡安全、公共秩序維護、隱私保護、本國產業保護和扶植等目的，我國跨境數據流動規制處于政府的嚴格監管之下，制定了限制個人信息和重要數據向國外轉移、強制要求在國內設置數據服務器、必須在國內進行數據加工要求等多種措施。根據歐洲國際政治與經濟中心的報告，中國被認為是世界上對數字交易施加限制最多的國家，數字交易限制指數（DTRI指數）達0.7（俄羅斯排名第2，DTRI指數為0.46；美國排名第22，DRTI指數為0.26；日本排名50，DRTI指數為0.18。詳見：ECIPE.Digital Trade Restrictiveness Index ［EB/OL］. （2018－04－25）［2022－04－14］.

https：//ecipe.org/wp－content/uploads/2018/05/DTRI_FINAL.pdf.）。但是，一方面，我國數字經濟全球競爭力已位居世界第二，以“本地化存儲”為前提設計的跨境數據流動頂層制度未能從推動我國企業全球化發展的戰略目標進行考量。另一方面也為我國數字貿易的發展帶來了壓力，美國、歐盟等國家對我國的“數據本地化”偏好時有指責。

在跨境數據流動體系構建中，我國應當堅持安全與發展并重原則，提煉“保障數據安全，促進數據流動”的跨境數據流動治理理念［15］，厘清限制流動的數據范圍，同時提升對數據的管控能力。我國可以以該理念指導上海自貿區臨港新片區、海南省等地區的跨境數據流動創新試點實踐，在各種雙邊、多邊貿易談判中，推動形成共同認可的數據保護認證、標準合同條款等機制，針對不同國家或地區在數據出境開放與限制程度上實施數據開放的不同承諾，打造多元開放機制，推廣跨境數據流動治理的中國方案。

（二）加強數據流動的分類治理

不同類型數據對國家安全、產業發展和個人權益保護的影響存在差異，其所體現的法益不同，應當根據不同類別設立相對應的流動和監管標準，兼顧數據安全和流動性。對“個人信息”而言，我國應當進一步將其細化將其分為一般個人數據、敏感個人數據和關鍵個人數據。對于一般個人數據和敏感個人數據，在“告知—同意”基礎上，健全完善安全評估、認證等跨境流動其他機制，同時可以考慮構建符合標準的匿名化機制體系，允許滿足標準的匿名數據流動，而對遺傳數據、健康數據等關鍵個人數據原則上禁止流動［16］。對于“產業數據”而言，數字經濟的發展需要以數據自由流動為基礎，我國不應對數據流動作過多限制，從而支持我國科技互聯網企業向海外拓展業務，加強在國際市場上的競爭力。個人信息和產業數據流動中的“重要數據”可能侵害到國家安全和數據主權，需要予以重點關注。但是目前“重要數據”的范圍非常廣泛，阻礙了數字經濟的正常發展。實踐中，多數行業主管部門為便于行業管理更偏向于“一刀切”的做法，未能根據跨境數據流動的具體情形評估風險，做出不同程度的監管要求。據此，我國應當合理確定、引導各相關行業細化“重要數據”列表，及時對外予以公布，以增強規則適用的確定性和可預見性。我國可以考慮在實施風險評估后確定高風險下完全限制出境、中風險下審批后限制出境和低風險下出境后備案等不同的監管方式，對相關主體形成規范性指引。

（三）拓寬跨境數據流動的方式

目前我國跨境數據流動政策主要以數據安全評估為主，在現實中難以適應海量數據的跨境流動需求，因此在堅持跨境數據流動安全底線的前提下，應當盡可能地拓寬跨境數據流動方式。日本在跨境數據流動規則中構建起的“充分性認定”“充分保障措施”等事前同意的豁免事由，值得我國借鑒，具體而言：

第一，建立白名單機制。構建相互認可機制是根據目標國家和地區的數據保護狀況所構建的對等措施，有利于以較低的監管協調成本建立數據自由流動的信任基礎。目前，歐盟通過白名單機制已與13個國家完成充分性認定，其他國家想要獲得歐盟的數據，就必須在法律制度和保護水平上向歐盟靠攏。我國的數據保護政策和法律規范細則尚未完善，不宜貿然與其他國家進行完全充分性互認，但可以通過白名單機制使得低風險數據在目標國家和地區間流動，以減輕企業跨境流動數據的合規負擔。同時結合定期評估和臨時評估機制，靈活調整白名單。

第二，構建充分性保障措施。充分性保障措施主要包括標準合同條款（標準合同條款，由政府依據數據保護原則主導制定，通過合同來管控數據出境風險。如果數據控制者、數據處理者等主體間采用了標準合同條款，則合同僅需在主管部門備案而無需主管部門批準即可進行數據跨境流動。）、具有約束力的集團企業規則（具有約束力的集團企業規則，如果跨國集團遵循經個人數據監管機構認可的數據處理機制，則該集團內部整體成為一個“安全港”，個人數據可以從集團內的一個成員合法傳輸給另一個成員，無需經主管部門批準。）、經批準的認證機制等。國家互聯網信息辦公室已發布了《個人信息出境標準合同規定（征求意見稿）》探索標準合同模式范本，而具有約束力的集團企業規則主要適用于跨國集團企業內部進行數據流動。在我國目前監管機構具體職權尚不明確、數據本地化傾向下，該模式不太符合我國現狀。就經批準的認證機制而言，例如CBPRs體系下，從事數據服務的經營者可以自愿向問責代理機構（問責代理機構，屬于CBPRs體系設立的特別機構，該機構并非國家公權力機構，而是由具有社會公信力的第三方組成的社會機構。該機構有權依據CBPRs體系的要求對企業相關規定進行審查、受理公民因數據被侵犯而提出的投訴、對違規企業采取適當的懲罰措施。）申請，若該認證申請經審查通過，則企業會被認定具有良好資質，實現在CBPRs體系下數據的無障礙流動。中國作為APEC成員國，可以考慮加入APRC框架下的CBPRs體系，減少我國企業進入亞太地區市場的障礙，降低數據的跨境流動成本和風險。

（四）構建數據流動的監管機構

在目前中國的監管體系中，國家網信辦、公安部門、安全部門、中國人民銀行、銀保監會、工商總局等部門分別享有一定的跨境數據流動監管權力，基本形成了行業歸口監管的體系。但是，目前多頭監管機制的實施極易造成監管缺失、重疊或者越位等問題。日本設立了個人信息保護委員會作為獨立的個人信息監管機構，其主要職責是評估他國個人信息保護機制的完善程度、監督處理個人信息經營者的跨境個人數據傳輸行為、協助企業進行個人數據保護合規等，在跨境數據流動中起到整合、協調作用。我國可以借鑒日本的成功經驗和做法，成立一個專門的獨立的跨境數據流動監管委員會，專職負責整合行業要求、細化各類型數據跨境流動規則，促進數據自由、安全、符合規范地跨境流動。

四、結 論

跨境數據流動治理已成為全球數字治理的重要議題，我國對跨境數據流動的治理存在缺乏具體理念指導、數據跨境流動相關規則尚不健全、缺乏有效監管等問題。通過對中日兩國跨境數據治理的比較分析發現，我國亟需打造“保障數據安全，促進數據流動”的跨境數據流動治理理念以應對全球治理挑戰，積極參與雙邊和多邊國際數字貿易及其規則的談判，推動更符合全球數字經濟發展實際與中國利益的國際規則制定。在不同類別的數據跨境流動上，中國應當結合自身發展實際，借鑒域外經驗，針對“個人信息”、“產業數據”和“重要數據”進行類型化治理，拓寬新的數據流通機制，構建獨立的跨境數據流動監管委員會，構建起完整的跨境數據流動治理框架，實現數據流動安全與發展的價值平衡。目前，以數字驅動的全球化4.0新時代已拉開帷幕，對跨境數據流動的安全保護，起始于對數據的分類分級。本文在數據分類上有所涉及，在級別考量上存在不足之處，今后針對不同類型的數據進行進一步的細分治理尚有待深入研究。

參考文獻：

［1］CSIS. Governing Data in the Asia－Pacific［EB/OL］.（2021－04－21）［2022－04－23］.https：//www.csis.org/analysis/governing－data－asia－pacific.

［2］張光，宋歌.數字經濟下的全球規則博弈與中國路徑選擇： 基于跨境數據流動規制視角［J］.學術交流，2022（1）：96－113.

［3］阿里巴巴數據安全研究中心.全球數據跨境流動政策與中國戰略研究［R/OL］.（2019－03）［2022－04－14］.http：//www.sicsi.net/Upload/ueditor_file/ueditor/20200217/1581933527865681.pdf.

［4］McKinsey Global Institute.中國與世界：理解變化中的經濟聯系［EB/OL］.（2019－07） ［2022－04－15］.https：//www.mckinsey.com/mgi/overview.

［5］國家網信辦.數字中國發展報告［R/OL］.（2021－07－02） ［2022－04－13］.http：//www.cac.gov.cn/2021－06/28/c_1626464503226700.htm.

［6］楊燕青，吳光豪.參與全球數字經貿規則制定 推動數字經濟國際合作［N/OL］.（2021－11－26） ［2022－04－14］.https：//epaper.gmw.cn/gmrb/html/2021－11/26/nw.D110000gmrb_20211126_5－12.htm.

［7］IT総合戦略本部.デジタル時代の新たなＩＴ政策大綱より抜粋［R/OL］.（2019－06－07）［2022－04－14］.https：//www.mofa.go.jp/mofaj/files/100167362.pdf.

［8］デロイトトーマツ.歐州？中國を中心とするデータ保護主義の現狀と通商ルールの展望［EB/OL］.（2019－01－31） ［2022－04－15］.https：//www2.deloitte.com/content/dam/Deloitte/jp/Documents/strategy/cbs/jp－cbs－us－data.pdf.

［9］World Economic Forum. Data free flow with trust （DFFT）： paths towards free and trusted data flows［EB/OL］.（2020－05）［2022－04－12］.https：//www.weforum.org/whitepapers/data－free－flow－with－trust－dfft－paths－towards－free－and－trusted－data－flows.

［10］G7 Digital and Technology Ministerial Declaration Annex2.Roadmap for cooperation on data free flow with trust ［EB/OL］. （2021－04－28） ［2022－04－20］. http：//www.g7.utoronto.ca/ict/2021－annex_2－roadmap.html.

［11］陳海彬，王諾亞.日本跨境數據流動治理研究［J］.情報理論與實踐，2021，44（12）：197－204.

［12］ブルッキングス研究所.現実的な対中戦略構築事業 ワーキングペーパー Vol.5日米デジタル同盟に向けて［EB/OL］.（2021－11－17） ［2022－04－19］.https：//www.spf.org/iina/articles/mireya－solis_01.html.

［13］森原 康仁.自由な越境移転か，ローカライゼーションか――米中間の構造問題としてのデータをめぐる角逐［J］.國際経済，2021（11）：1－25.

［14］総務省.情報通信白書 日本と世界のデータ関連制度2018 ［R/OL］.（2018－12－31）［2022－04－16］.https：//www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/n1200000.pdf.

［15］鄧靈斌.日本跨境數據流動規制新方案及中國路徑：基于“數據安全保障”視角的分析［J］.情報資料工作，2022，43（1）：52－60.

［16］馬其家，李曉楠.論我國數據跨境流動監管規則的構建［J］.法治研究，2021（1）：91－101.

（責任編輯：秦紅嫚）

收稿日期：2022-07-12網絡出版日期：2022-12-02

基金項目：浙江省教育廳一般科研項目（Y202045055）；國家社會科學基金青年項目（18CFX085）

作者簡介：黨 璽（1978— ），男，河南南陽人，副教授，博士，主要從事民商法、數據法方面的研究。

① 麥肯錫全球研究院指出，國際貿易和金融資本的快速流動自2008年金融危機以來呈現趨平或下降態勢。與此同時，跨境數據流激增，支撐起包括商品、服務、資本、人才等類型的全球化活動。McKinsey Global Institute.Digital globalization： The new era of global flows［EB/OL］.（2016－03）［2022－04－10］.https：//www.mckinsey.com/business－functions/mckinsey－digital/our－insights/digital－globalization－the－new－era－of－global－flows.