論中國數(shù)據(jù)跨境制度的現(xiàn)狀、問題與紓困路徑

葉傳星，閆文光

（中國人民大學 法學院，北京 100872）

一、問題的提出

2023 年2 月，《個人信息出境標準合同辦法》正式發(fā)布，加上此前業(yè)已發(fā)布的《數(shù)據(jù)出境安全評估辦法》《關于實施個人信息保護認證的公告》等政策法規(guī)，標志著《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第38 條所明確的個人信息跨境提供三大機制全面落地。在上位法依據(jù)方面，《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）首先對特定主體的數(shù)據(jù)出境活動進行了探索，其第37 條規(guī)定“關鍵基礎設施運營者”向境外提供個人信息和重要數(shù)據(jù)的，除法律、行政法規(guī)另有規(guī)定外，應當進行安全評估。《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）第31 條進一步區(qū)分了“關鍵基礎設施運營者”和“其他數(shù)據(jù)處理者”兩個主體，補充了“其他數(shù)據(jù)處理者”的相關規(guī)定，細化、完善了數(shù)據(jù)跨境流動的主體治理范圍。《個人信息保護法》繼續(xù)在上述二者的基礎上通過專章對個人信息跨境規(guī)則進行了頂層設計，其第3 章專門規(guī)定了“個人信息處理者”進行個人信息跨境時應滿足的條件和履行的義務，并將個人信息跨境提供劃分為三類場景：一是個人信息處理者的業(yè)務需要；二是中國參加的國際條約、協(xié)定對個人信息跨境有規(guī)定；三是外國司法或者執(zhí)法機構提出請求。這三類場景各自遵循不同的監(jiān)管規(guī)則，在一定程度上覆蓋了當前實踐中個人信息跨境的各類需求。此外，新修訂的《網(wǎng)絡安全審查辦法》、《中華人民共和國人類遺傳資源管理條例》（以下簡稱《人類遺傳資源管理條例》）、《人口健康信息管理辦法(試行)》、《銀行業(yè)金融機構反洗錢和反恐怖融資管理辦法》、《中國人民銀行金融消費者權益保護實施辦法》、《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》等都對具體場景下的數(shù)據(jù)出境提出了要求，逐步建立起了一套數(shù)據(jù)出境監(jiān)管制度體系。

但是，由于起步較晚，“針對中國網(wǎng)民規(guī)模巨大、企業(yè)平臺眾多、產(chǎn)品業(yè)態(tài)豐富的實際情況，適應法律主體多元、法律關系多樣、法律適用場景多變的特點”[1]，中國的數(shù)據(jù)跨境流動無論在理論上還是在實踐中，均出現(xiàn)了一些問題與缺陷，尚待進一步完善。在理論上，中國的數(shù)據(jù)出境監(jiān)管制度缺乏成熟的基礎理論依據(jù)作為指導，導致雖然在總體思路上秉承著平衡安全與發(fā)展的大方向，但是在具體制度設計時尚未形成科學的、系統(tǒng)的以及一以貫之的規(guī)制路徑，難以準確掌握安全與發(fā)展的邊界，制度之間存在空白重疊且無法有效協(xié)調(diào)適用；在實踐中，缺乏基礎理論的指導導致了制度層面的混亂，尤以因過度注重安全而進行“一刀切”的做法最為顯著，“安全”的邊界不斷擴張和泛化，從而導致一方面在國際上難以與現(xiàn)有規(guī)則體系相銜接，另一方面在國內(nèi)使得產(chǎn)業(yè)界背負巨大的合規(guī)壓力，反噬并扼殺了數(shù)據(jù)的創(chuàng)新性利用。

數(shù)據(jù)已經(jīng)成為繼土地、勞動力、資本、技術之后的第五大生產(chǎn)要素，其價值在于流動，只有動態(tài)的數(shù)據(jù)流匯聚而成的大數(shù)據(jù)才能充分體現(xiàn)數(shù)據(jù)的經(jīng)濟價值，釋放數(shù)字經(jīng)濟的活力。數(shù)據(jù)跨境流動推動了全球數(shù)字經(jīng)濟的發(fā)展和創(chuàng)新，其治理水平已成為衡量一個國家綜合實力的重要參考標準之一，也是未來大國戰(zhàn)略博弈的要點之一[2]。作為世界第二大經(jīng)濟體，數(shù)字經(jīng)濟的繁榮與否對中國而言同樣至關重要，中國的跨境貿(mào)易、技術合作、企業(yè)出海、網(wǎng)絡平臺發(fā)展、科學研究等活動對數(shù)據(jù)出境的需求日益強烈，越來越多的企業(yè)、機構和個人需要進行跨境數(shù)據(jù)傳輸，以實現(xiàn)更好的經(jīng)濟、社會和文化交流，而當前數(shù)據(jù)跨境監(jiān)管體系在理論上的缺失和在實踐中的混亂已經(jīng)嚴重阻礙了數(shù)據(jù)的有序流動，高昂的合規(guī)成本和模糊的監(jiān)管方向使得產(chǎn)業(yè)界難以形成合理的穩(wěn)定預期，許多企業(yè)紛紛停止其數(shù)據(jù)跨境業(yè)務并保持觀望態(tài)度，嚴重影響了數(shù)字經(jīng)濟的健康發(fā)展。因此，筆者擬梳理分析中國數(shù)據(jù)跨境流動制度的現(xiàn)狀，并根據(jù)實踐經(jīng)驗總結存在的難點與痛點，以期能為中國數(shù)據(jù)跨境制度體系的建立找尋到基礎理論的支撐，提出相適應的解決之策。

二、中國數(shù)據(jù)跨境制度的現(xiàn)狀及其困境

截至目前，各界普遍認為中國數(shù)據(jù)出境的路徑包括三類：安全評估、標準合同和保護認證。三者互為補充、相互支撐，共同構建了中國數(shù)據(jù)出境的制度體系。其中，安全評估由國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）于2022 年7 月7 日發(fā)布的《數(shù)據(jù)出境安全評估辦法》作出具體規(guī)定，并提供了詳細的申報指南，旨在通過行政許可的方式[3]重點評估擬出境的重要數(shù)據(jù)，關鍵信息基礎設施運營者處理的個人信息，大規(guī)模的個人信息對維護國家安全、社會公共利益、個人信息權益等的影響，以判斷其出境的風險性。對于非重要數(shù)據(jù)、非關鍵信息基礎設施運營者處理的個人信息和中小規(guī)模個人信息的出境需求，則由《個人信息出境標準合同辦法》和《個人信息保護認證實施規(guī)則》作出規(guī)范。前者采用私主體商事行為+行政備案[4]78-94的方式，僅要求符合條件的個人信息處理者與境外接收方按照給定的模板簽訂個人信息出境標準合同并進行備案，在此基礎上即可實現(xiàn)個人信息出境，最大限度地促進和保障個人信息依法有序自由流動；后者則是將個人信息保護認證和個人信息跨境認證“合二為一”的第三方規(guī)制行為，相較于企業(yè)的自我規(guī)制和政府的行政規(guī)制，可以有效克服市場與政府的“雙重失靈”[5]，從而通過獨立于被規(guī)制對象的專業(yè)機構依據(jù)一定的標準和技術規(guī)范形成個人信息保護社會化服務體系[6]。整體來看，上述規(guī)定更加希望通過限制數(shù)據(jù)的跨境來保障安全，這一思路貫穿了中國近年來的數(shù)據(jù)相關立法，與之相對應的是國家網(wǎng)信辦于2023 年9 月28 日發(fā)布的《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》，實現(xiàn)了中國數(shù)據(jù)相關立法思路的重大轉向，在申報數(shù)據(jù)出境安全評估的條件、評估內(nèi)容等方面做了較多豁免，從而有利于開展數(shù)據(jù)跨境流動。

總體來看，中國數(shù)據(jù)出境制度表現(xiàn)為《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》層面的宏觀設計和《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施規(guī)則》層面的具體落實，安全評估反映出中國在數(shù)據(jù)出境方面聚焦風險規(guī)制，且并未嚴格區(qū)分不同數(shù)據(jù)類型，都由網(wǎng)信部門從風險的角度對數(shù)據(jù)出境活動進行一體評估[7]62-77；標準合同一直被認為是數(shù)據(jù)跨境傳輸領域的有效監(jiān)管工具，歐盟《通用數(shù)據(jù)保護條例》（GDPR）將標準化合同條款（SCC）嵌入跨境數(shù)據(jù)流動的全過程，原因在于，該項機制既能實現(xiàn)監(jiān)管者對于數(shù)據(jù)跨境傳輸重要事項的直接審核，也能基于違約責任督促數(shù)據(jù)處理者積極履行數(shù)據(jù)安全保護義務[8]；保護認證則是通過將行政成本轉移為市場成本來實現(xiàn)更加靈活的數(shù)據(jù)出境，增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感并增加中小微互聯(lián)網(wǎng)企業(yè)的交易機會[9]，避免因盲目追求安全而妨礙正常的數(shù)據(jù)出境流動。

安全評估、標準合同和保護認證三者看似相互補充并組成了一個完整的制度框架，但在實踐中則“碎片化”嚴重，相互之間缺乏科學的邏輯設計，暴露出中國數(shù)據(jù)出境制度在系統(tǒng)性、國際性、可操作性方面存在的短板和待完善之處。

（一）系統(tǒng)性：未形成完整科學的體系

1.存在監(jiān)管空白

從規(guī)制對象上來看，安全評估涵蓋的范圍是對重要數(shù)據(jù)和大規(guī)模個人信息的處理，標準合同針對的是中小規(guī)模的個人信息處理活動，保護認證面向的也是個人信息處理活動。由此可以看出，對于既非個人信息又非重要數(shù)據(jù)的其他類型數(shù)據(jù)，目前均尚未有應當遵守的出境制度予以規(guī)范，處于監(jiān)管真空狀態(tài)。究其原因，難道是這些類型的數(shù)據(jù)并不重要以至于不值得對其出境活動進行監(jiān)管嗎？實踐中顯然并非如此。例如：在醫(yī)療衛(wèi)生行業(yè)，其基礎資源數(shù)據(jù)與業(yè)務資源數(shù)據(jù)包括醫(yī)療衛(wèi)生機構的人員配置數(shù)據(jù)、重要醫(yī)療設備和信息平臺的安保數(shù)據(jù)、特定藥品的供應與規(guī)劃數(shù)據(jù)、重要科研成果數(shù)據(jù)等，通過大數(shù)據(jù)技術對上述數(shù)據(jù)進行分析，就能夠較為容易地獲得一個國家的醫(yī)療政策和醫(yī)療能力變化情況；在貿(mào)易領域，通過一個地方的商品類型、快遞物流信息等供應鏈數(shù)據(jù)就可以判斷出當?shù)氐闹е援a(chǎn)業(yè)、產(chǎn)品銷量、上下游合作方等信息，并可以較為容易地評估當?shù)氐慕?jīng)濟狀況、勞動力狀況、產(chǎn)業(yè)結構，從而發(fā)起精準的經(jīng)濟制裁和封鎖，美國早在2019 年就已經(jīng)注意到了供應鏈數(shù)據(jù)的重要性及其對國家安全的影響，并采取了一系列保護措施[10-11]；在金融領域，Swift 系統(tǒng)對接全球超過11 000 家銀行、證券機構、市場基礎設施和企業(yè)，覆蓋200 多個國家和地區(qū)，年處理金融數(shù)據(jù)數(shù)十億條[12]，近年來更是被美國用于制裁伊朗和俄羅斯，對伊朗和俄羅斯的金融數(shù)據(jù)安全乃至國家安全產(chǎn)生了巨大影響。

此類現(xiàn)象產(chǎn)生的原因源于兩類法規(guī)之間的銜接不暢：一方面，數(shù)據(jù)出境主要制度之間存在空白，安全評估、標準合同和保護認證僅針對重要數(shù)據(jù)和個人信息作出了規(guī)定。另一方面，行業(yè)主管部門和配套法規(guī)制度未能及時跟進，未能發(fā)揮“配套”作用，突出表現(xiàn)為目前國內(nèi)對重要數(shù)據(jù)和核心數(shù)據(jù)缺乏明確且詳細的界定，在分類分級上也存在較多的模糊之處，使得作為數(shù)據(jù)出境制度選擇適用起點的數(shù)據(jù)資產(chǎn)梳理難以有效開展，多數(shù)數(shù)據(jù)處理者無法確定自身業(yè)務中是否涉及對重要數(shù)據(jù)的處理，導致數(shù)據(jù)處理者在安全評估申報上進退兩難。一是基于其自身對業(yè)務的了解，認為某些數(shù)據(jù)的出境將影響數(shù)據(jù)安全，尤其是“量變引起質(zhì)變”后，一旦操作不慎將需要承擔法律責任；二是因為安全自評估和申報的成本較大、流程煩瑣，如果沒有申報的必要反而會浪費大量的人力和物力。

2.存在交叉重疊

從制度內(nèi)容上看，安全評估與標準合同在內(nèi)容上多有重合，二者都規(guī)定了安全自評估，且評估內(nèi)容基本相同。安全評估與標準合同都關注數(shù)據(jù)出境和境外接收方的處理目的、范圍、方式等的合法性、正當性、必要性，都要求說明數(shù)據(jù)的規(guī)模、范圍種類和敏感程度，安全保障措施、應急預案和境外接收方的政策法規(guī)情況皆是二者的評估對象。同時，安全評估中要求雙方簽訂的具有法律效力的文件在內(nèi)容上也與標準合同模板相似，實踐中申請安全評估的主體多參照標準合同模板制定或修改雙方的法律文件。《個人信息出境標準合同辦法》和《數(shù)據(jù)出境安全評估辦法》評估內(nèi)容對比，如表1 所示。

表1 《個人信息出境標準合同辦法》和《數(shù)據(jù)出境安全評估辦法》評估內(nèi)容對比

從法理邏輯上看，安全評估與標準合同的評估內(nèi)容應當有所區(qū)別。由于安全評估針對的是重要數(shù)據(jù)和大規(guī)模個人信息出境對國家安全以及社會公共利益所產(chǎn)生的風險，其重點關注的是數(shù)據(jù)出境活動的安全面向，需要國家公權力的介入并進行實質(zhì)審查，通過外部審批和問責的方式確保將風險降到最低，數(shù)據(jù)出境的實現(xiàn)需要讓位于國家安全的保障；標準合同的立法目的在于保護個人權益，通過明確合同義務履行方式和違約責任承擔方式[4]78-94為個人信息出境提供便捷渠道，這也是為什么標準合同雖然要求自主締約與備案管理相結合，但是并不以備案為前置條件的原因，以合同生效為出境條件的制度設計代表的是通過內(nèi)在的誠實信用降低風險，因而在此語境下數(shù)據(jù)出境活動的實現(xiàn)更具重要性。但是，安全評估與標準合同的評估內(nèi)容基本相同，導致二者在立法目的上的區(qū)分變得模糊，中小規(guī)模的個人信息處理者仍然需要按照重要數(shù)據(jù)和大規(guī)模個人信息處理者的標準開展自評估，這無疑會提升其在技術、管理、法律、資金等方面的成本，提高中小規(guī)模個人信息的出境門檻，原本為“優(yōu)先促發(fā)展”而設計的個人信息出境制度并沒有發(fā)揮應有的作用，反而又回到了“優(yōu)先保安全”的框架內(nèi)。

（二）協(xié)調(diào)性：制度之間適用關系存疑

從上述現(xiàn)狀可知，中國目前的數(shù)據(jù)出境制度是以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為總體框架，以《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》《個人信息保護認證實施規(guī)則》為具體實施路徑，以行業(yè)具體場景下的規(guī)定為配套措施，形成的“框架+路徑+場景”的數(shù)據(jù)出境制度集成模塊。但是，這個集成模塊涉及文件的層級跨度較大，既包括法律也包括部門規(guī)章和規(guī)范性文件，在適用關系上存在較大疑問：一方面，在安全評估、標準合同、保護認證之間缺乏明確且清晰的適用邏輯安排，導致三者的適用順序出現(xiàn)混亂；另一方面，行業(yè)場景制度由于出臺時間跨度較大，且政出多門，即由不同的國家機關起草或出臺，背后自然承載了各自不同的利益考量，因而在適用上多有齟齬。

第一，實踐中，標準合同與保護認證在一定程度上被安全評估所架空。就安全評估、標準合同、保護認證的適用關系而言，安全評估將申報主體限定為“處理100 萬人以上個人信息的數(shù)據(jù)處理者、自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數(shù)據(jù)處理者”。但根據(jù)筆者的調(diào)研結果，能夠滿足上述要求而必須申請安全評估的主體數(shù)量較大，截至2023 年8 月，國家網(wǎng)信辦和各省級網(wǎng)信辦已受理的數(shù)據(jù)出境安全評估申報已達千余件。具體到健康醫(yī)療行業(yè)，根據(jù)對醫(yī)院的調(diào)研結果，中國幾乎每家三甲醫(yī)院累計處理的個人信息數(shù)量均已超過100 萬人，且目前全國的三甲醫(yī)院超過。1 600 余家[13]這就導致大部分具有數(shù)據(jù)出境需求的主體落入了安全評估的范圍內(nèi)，將產(chǎn)生巨大的安全評估工作量，且從行業(yè)實踐來看，有些主體即使不符合安全評估的申報標準，但為了規(guī)避可能產(chǎn)生的風險和法律責任，也會主動選擇向網(wǎng)信部門提起安全評估申請，此類現(xiàn)象極大地架空了標準合同和保護認證的路徑，靈活便捷出境的適用主體范圍被限縮。

第二，理論上，安全評估與標準合同在一定程度上被保護認證所架空。《個人信息保護法》第38 條規(guī)定，個人信息處理者向境外提供個人信息的應當滿足安全評估、標準合同、保護認證三個條件之一，即可以根據(jù)自身條件擇一適用，但保護認證的適用條件相當寬泛，可以同時適用于安全評估和標準合同的適用主體。此外，雖然《數(shù)據(jù)安全法》第30 條規(guī)定了重要數(shù)據(jù)的處理者要定期開展數(shù)據(jù)安全評估，但此安全評估并非數(shù)據(jù)出境安全評估，而是一種定期評估的義務，這就造成了在制度適用上的混淆，也即滿足安全評估和標準合同主體標準的數(shù)據(jù)處理者在出境個人信息時，按照上位法《個人信息保護法》第38 條的規(guī)定，是可以繞開數(shù)據(jù)出境安全評估和標準合同而選擇更加便利的個人信息保護認證途徑的。雖然在實踐中由于“保安全”之達摩克利斯之劍的存在，繞開安全評估和標準合同的行為幾乎不會發(fā)生，但是在理論上卻存在一定的漏洞，暴露出上位法依據(jù)不清或缺失所導致的協(xié)調(diào)性失衡，進而導致制度的適用關系不清。

第三，通用性制度、行業(yè)性制度之間銜接不暢。由于中國的數(shù)據(jù)出境通用性制度起步較晚，先前有關數(shù)據(jù)出境的要求多散見于各行業(yè)主管部門制定的法規(guī)中。由于制定時間各不相同，受當時國際環(huán)境、行業(yè)發(fā)展態(tài)勢、數(shù)據(jù)安全意識、技術先進程度、部門職責利益等因素的影響，各行業(yè)主管部門制定的法規(guī)在禁止出境或限制出境的尺度把握上與當前新制定的通用性制度之間存在差異。按照《數(shù)據(jù)安全法》《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標準合同辦法》的立法精神和立法目的，對于沒有風險的數(shù)據(jù)原則上應當鼓勵數(shù)據(jù)流動，對于可能會帶來風險的重要數(shù)據(jù)以及大規(guī)模的個人信息在經(jīng)過安全評估后仍然可以出境，但是目前有不少行業(yè)規(guī)定是嚴格限制甚至禁止某些數(shù)據(jù)出境的。例如：《人類遺傳資源管理條例》第7 條明確，外國組織、個人及其設立或者實際控制的機構不得向境外提供中國人類遺傳資源；《人口健康信息管理辦法（試行）》第10 條規(guī)定，不得將人口健康信息在境外的服務器中存儲；《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》第34 條規(guī)定，用戶的風險數(shù)據(jù)原則上不得出境。

其中，最具代表性的是人類遺傳資源信息的出境，根據(jù)《人類遺傳資源管理條例》，人類遺傳資源包括人類遺傳資源材料和人類遺傳資源信息。人類遺傳資源材料是指含有人體基因組、基因等遺傳物質(zhì)的器官、組織、細胞等遺傳材料，人類遺傳資源信息是指利用人類遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料。按照該條例第27 條和第28 條的規(guī)定，人類遺傳資源材料出境需要取得科技部出具的人類遺傳資源材料出境證明，而向境外提供人類遺傳資源信息應當向科技部備案并提交信息備份。目前，中國對人類遺傳資源信息出境的主管部門為科技部。由此產(chǎn)生的問題是，人類遺傳資源信息大部分能夠識別到個人層面，因而其應屬于個人信息甚至是敏感個人信息，那么對于屬于個人信息的人類遺傳資源信息出境，應當選擇科技部路徑還是國家網(wǎng)信辦路徑就成為擺在數(shù)據(jù)處理者面前的難題，二者之間所需條件、程序以及相關責任完全不同，且二者之間亦未做好協(xié)調(diào)。

第四，安全評估與安全審查如何適用尚不明確。目前，除安全評估外，重點關注與防范數(shù)據(jù)出境安全風險的制度還包括安全審查，如網(wǎng)絡安全審查、數(shù)據(jù)安全審查、人類遺傳資源出境的科技部審查等。2022 年1 月4 日，經(jīng)國家網(wǎng)信辦等13 部門聯(lián)合修訂的《網(wǎng)絡安全審查辦法》發(fā)布，其適用范圍在“關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務”的基礎上增加了“網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動”，包括掌握超過100 萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市，顯然存在數(shù)據(jù)安全風險的數(shù)據(jù)出境活動也在網(wǎng)絡安全審查范圍內(nèi)，且該辦法第10 條規(guī)定的審查內(nèi)容與安全評估的內(nèi)容具有一定的相似性。作為同樣關注數(shù)據(jù)出境引發(fā)的國家安全、數(shù)據(jù)安全等問題的制度，安全審查與安全評估之間的關系如何、是否平行適用、在機制上如何配合等問題目前尚不明確。例如，經(jīng)過網(wǎng)絡安全審查或科技部審查的數(shù)據(jù)出境，是否還需要再申報安全評估？審查內(nèi)容或評估內(nèi)容是否在一定程度上重復并增加了數(shù)據(jù)處理者的合規(guī)成本？上述問題還需要進一步予以明確，以便為數(shù)據(jù)處理者提供更加清晰的指引，從而既有利于其高效率、高質(zhì)量地合規(guī)，也有利于及時有效地保障中國的國家安全與數(shù)據(jù)安全。

第五，《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》與《數(shù)據(jù)出境安全評估辦法》在一定程度上相互沖突。根據(jù)《規(guī)范和促進數(shù)據(jù)跨境流動的規(guī)定（征求意見稿）》第5 部分和第6 部分的規(guī)定，預計一年內(nèi)向境外提供不滿1 萬人個人信息的，不需要申報數(shù)據(jù)出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。預計一年內(nèi)向境外提供1 萬人以上、不滿100 萬人個人信息，與境外接收方訂立個人信息出境標準合同并向省級網(wǎng)信部門備案或者通過個人信息保護認證的，可以不申報數(shù)據(jù)出境安全評估；向境外提供100 萬人以上個人信息的，應當申報數(shù)據(jù)出境安全評估。由此可以看出，只有當預計向境外提供100 萬人以上個人信息時，才必須通過安全評估的路徑，而《數(shù)據(jù)出境安全評估辦法》則規(guī)定了處理100 萬人以上個人信息、自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息都需要申請安全評估。綜上所述，二者在兩處產(chǎn)生了一定程度上的沖突：一是“歷史出境數(shù)據(jù)”和“未來出境數(shù)據(jù)”的沖突，《數(shù)據(jù)出境安全評估辦法》關注的是數(shù)據(jù)處理者歷史上處理個人信息的體量，從而判斷其出境數(shù)據(jù)是否會產(chǎn)生安全風險，而《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》關注的是數(shù)據(jù)處理者未來將要出境數(shù)據(jù)的體量，從而判斷其可能產(chǎn)生的安全風險，從實踐情況來看，后者顯然更加科學和有利于數(shù)據(jù)處理者；二是《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》沒有再區(qū)分個人信息和敏感個人信息的不同體量，統(tǒng)一將出境數(shù)據(jù)的數(shù)量提升至100 萬人，有利于方便數(shù)據(jù)出境業(yè)務的開展。

（三）國際性：難與國際規(guī)則相銜接

數(shù)據(jù)跨境是數(shù)字經(jīng)濟全球化背景下的產(chǎn)物，需要世界各國之間相互協(xié)作才能產(chǎn)生巨大價值，這就決定了數(shù)據(jù)能否實現(xiàn)高效、自由的流動不能僅僅依靠各個國家或地區(qū)的法規(guī)政策，還與區(qū)域性或全球性的國際規(guī)則和協(xié)定息息相關。近年來，數(shù)據(jù)跨境流動不僅成為國際數(shù)字貿(mào)易規(guī)則的核心議題，也成為各國爭奪數(shù)字產(chǎn)業(yè)、數(shù)字治理話語權的關鍵領域[14]，美國、歐盟、中國等為促進自身數(shù)字經(jīng)濟發(fā)展，促進數(shù)據(jù)自由流動，積極主導制定或參與制定國際協(xié)議，輸出自身的數(shù)據(jù)跨境流動規(guī)則與標準，形成了一系列成果[15]。自2004 年以來，美國先后主導制定了《美國—智利自由貿(mào)易協(xié)定》、《美國—韓國自由貿(mào)易協(xié)定》、《跨太平洋伙伴關系協(xié)定》（TPP）、《美墨加協(xié)定》（USMCA）等，并通過亞太經(jīng)合組織（APEC）積極推進《跨境隱私規(guī)則體系》（CBPRs）[16]，倡導自由的跨境數(shù)據(jù)傳輸，要求各國政府不得以數(shù)據(jù)保護為由限制數(shù)據(jù)的跨境流動。在美國于2017 年宣布退出TPP 后，原11 個成員國宣布將TPP 改名為《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP），保留了原TPP 的大部分內(nèi)容，同樣支持跨境數(shù)據(jù)流動、反對數(shù)據(jù)本地化。

2020 年11 月15 日，中國同東盟十國、日本、韓國、澳大利亞、新西蘭正式簽署《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RCEP），達成了亞太地區(qū)規(guī)模最大的自由貿(mào)易協(xié)定，中國首次在自由貿(mào)易協(xié)定中明確表示支持數(shù)據(jù)跨境自由流動和禁止數(shù)據(jù)本地化。2020 年11 月20 日，習近平在亞太經(jīng)合組織第二十七次領導人非正式會議上發(fā)表講話指出，中國“將積極考慮加入全面與進步跨太平洋伙伴關系協(xié)定”[17]。2021 年11 月，中國正式提出申請加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA）。通過加入CPTPP、DEPA、RCEP 等國際規(guī)則，表明了中國政府加快推動數(shù)據(jù)跨境流動、促進數(shù)字經(jīng)濟貿(mào)易全面發(fā)展、實現(xiàn)數(shù)據(jù)要素高水平開放的決心，跨境數(shù)據(jù)流動貿(mào)易規(guī)制提供了國際合作的基本制度框架，確認了跨境數(shù)據(jù)自由流動的共同發(fā)展方向[18]。

但是，參與制定或者申請加入國際規(guī)則的必備條件之一是需要使國內(nèi)制度與國際規(guī)則相銜接，滿足相關國際規(guī)則的要求和標準，否則將很難實現(xiàn)標準輸出與全面開放的目的。例如，《關于CPTPP 加入程序的決定》明確要求申請加入方采取國內(nèi)行動措施，即完成國內(nèi)相關改革和法律修改，證明其將遵守CPTPP 的現(xiàn)行規(guī)則。就中國目前申請加入的CPTPP 和《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DECP）而言，在數(shù)據(jù)跨境流動的促進與限制方面與中國國內(nèi)目前的制度之間存在著較大的原則性分歧。根據(jù)CPTPP第14.11 條規(guī)定，每一締約方應當允許通過電子方式跨境傳輸信息，除非為了實現(xiàn)合法的公共政策目標方能施加限制性措施，但是這種限制性措施不以構成任意或不合理歧視或?qū)Q(mào)易構成變相限制的方式適用，以及不對數(shù)據(jù)傳輸施加超出實現(xiàn)目標所需限度的限制。在這一方面，DECP 采用了基本相同的條款表述。

可以看出，CPTPP 和DECP 規(guī)定了較高水平的數(shù)據(jù)跨境流動措施，同時對限制數(shù)據(jù)跨境的行為設定了極為嚴苛的條件。一方面，CPTPP 雖然未明確“合法的公共政策目標”的具體內(nèi)容，但是也并沒有授權各成員國自行確定，而在中國目前的國內(nèi)制度中，安全評估、標準合同和保護認證都是對數(shù)據(jù)出境的限制措施，實施目的僅規(guī)定了較為模糊的“為了規(guī)范數(shù)據(jù)出境活動，保護個人信息權益，維護國家安全和社會公共利益”，沒有規(guī)定明確的公共政策目標且無法說明此類限制的必要性，而金融、醫(yī)療等行業(yè)中規(guī)定的禁止數(shù)據(jù)出境條款更是在公共政策目標、歧視性限制和必要性方面缺乏具有足夠說服力的解釋，未來在與CPTPP 的銜接中將存在巨大的挑戰(zhàn)。另一方面，從CPTPP 條款內(nèi)容設置來看，其遵循的邏輯是“應當允許”出境為原則，“施加限制”出境為例外，而中國目前的制度設計則是以安全評估、標準合同和保護認證為主體，尤其是個人信息的出境條件必須滿足上述三者之一，表現(xiàn)出了以限制為原則的邏輯思路，未來其他成員國如果將CPTPP 第14.11 條“應當允許”解釋為等同于USMCA 使用的“不得禁止或限制”的含義[19]，則中國的國內(nèi)制度與國際規(guī)則之間則面臨著完全相反的邏輯設計的困境。

（四）可操作性：成效難達預期

徒法不足以自行，即使再好的制度設計也需要得到實踐的檢驗。除上述制度設計上存在的問題與短板外，在實際操作中，中國數(shù)據(jù)出境制度同樣存在較多的痛點與難點，這極大地提升了數(shù)據(jù)處理者的合規(guī)成本，也給監(jiān)管部門帶來了巨大的監(jiān)管阻礙。

1.部門協(xié)調(diào)成本較高

無論是安全評估還是標準合同，都需要數(shù)據(jù)處理者首先進行自評估，這就要求對數(shù)據(jù)出境涉及的業(yè)務、數(shù)據(jù)鏈路等內(nèi)容進行梳理和評估，而一項數(shù)據(jù)出境業(yè)務往往涉及技術、法務、管理、業(yè)務、營銷等多個部門，有的數(shù)據(jù)處理者也會有多個業(yè)務場景需要進行數(shù)據(jù)出境，這就使得多部門協(xié)同配合成為數(shù)據(jù)出境安全評估申報的重中之重，其配合程度與效率高低將直接決定自評估能否順利進行。但是，實踐中往往只有法務部門能夠重視這項工作，其他部門由于職責范圍不包括這一內(nèi)容而難以對其給予足夠高的重視，部門之間協(xié)調(diào)困難成為安全評估的阻礙因素之一。例如，從筆者對北京地區(qū)具有數(shù)據(jù)出境需求的醫(yī)院進行調(diào)研的結果來看，目前排名前三的醫(yī)療數(shù)據(jù)出境目的為國際合作臨床試驗和文章發(fā)表、國家藥物臨床試驗以及人類遺傳資源信息對外提供或開放使用，占比依次為29%、18%和12%，而醫(yī)院等醫(yī)療機構中往往是以課題組或研究團隊為單位進行數(shù)據(jù)跨境流動，不同課題組對出境數(shù)據(jù)的字段、境外接收方、數(shù)據(jù)量、處理方式等條件具有不同的需求，因而，除本項目組外，其他部門對數(shù)據(jù)出境的驅(qū)動力并不強，配合程序和效率上往往存在滯后性。

2.境內(nèi)外配合難度高

安全評估中，境內(nèi)數(shù)據(jù)處理者需要明確境外數(shù)據(jù)接收方的境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當性、必要性，與其訂立數(shù)據(jù)出境相關合同或者其他具有法律效力的文件，充分約定數(shù)據(jù)安全保護責任義務以及履行責任義務的管理和技術措施、能力等，保障出境數(shù)據(jù)的安全。對于一些已出境及在持續(xù)出境的數(shù)據(jù)，需要境外接收方同步配合對其開展大量的整改工作，加上安全評估為中國獨具特色的數(shù)據(jù)出境制度，實踐中存在部分境外數(shù)據(jù)接收者拒不配合甚至威脅反制的情況，因而境內(nèi)與境外的溝通也是重點和難點之一。

3.人力物力不足

一方面，在合規(guī)側，數(shù)據(jù)資產(chǎn)梳理與自評估包含了巨大的工作量，需要耗費較多的人力和物力。然而，根據(jù)筆者的調(diào)研結果，目前實踐中數(shù)據(jù)處理者主要采用Excel 工作表的形式進行梳理總結并依靠專業(yè)人員進行主觀評價，效率低、數(shù)量大、類別雜，缺少自動化技術手段，且專業(yè)人員不僅需要對相關法律法規(guī)了如指掌，還需要懂得技術與業(yè)務，否則將會很容易出現(xiàn)“雞同鴨講”“隔行如隔山”的情況，一般的中小企業(yè)往往難以負擔如此高昂的成本，也缺乏有效完成自評估的能力和現(xiàn)實條件，最終只能放棄申報數(shù)據(jù)出境而選擇暫停業(yè)務，更有甚者則選擇鋌而走險，在未作申報的情況下仍繼續(xù)開展數(shù)據(jù)出境活動。另一方面，在監(jiān)管側，根據(jù)《數(shù)據(jù)出境安全評估辦法》，所有申報數(shù)據(jù)出境安全評估的審查材料都將匯聚到國家網(wǎng)信辦進行評估，但是全國數(shù)據(jù)出境安全評估申報主體數(shù)量如此之多，每個申報主體的申報材料內(nèi)容又十分繁雜，以國家網(wǎng)信辦的人員數(shù)量要想快速完成如此之大的工作量，十分困難，且國家網(wǎng)信辦并非行業(yè)主管部門，對于來自各行各業(yè)的數(shù)據(jù)出境業(yè)務必定無法全面掌握，在評估目的性、必要性等與業(yè)務場景緊密結合的內(nèi)容時難免在專業(yè)性上捉襟見肘，這將極大地延緩審查速度。實踐中，雖然大部分申報主體在國家網(wǎng)信辦進行審核評估期間仍能繼續(xù)進行數(shù)據(jù)出境活動，國家網(wǎng)信辦對此也予以默認許可，但是這種“潛規(guī)則”的方式缺乏穩(wěn)定性和可預期性，不利于市場主體正常開展業(yè)務。

三、數(shù)據(jù)跨境規(guī)制的理論邏輯

總體而言，中國目前的數(shù)據(jù)出境制度呈現(xiàn)出“以通用規(guī)則為主體，以行業(yè)規(guī)則為補充”的思路和格局。雖然在總體方向上強調(diào)兼顧經(jīng)濟發(fā)展與數(shù)據(jù)利用，在保障安全作為紅線與底線的前提下促進數(shù)據(jù)的跨境流動，統(tǒng)籌兼顧不同領域?qū)?shù)據(jù)跨境的不同關切面向，但是在具體制度設計及實踐中，中國的數(shù)據(jù)出境制度卻出現(xiàn)了混亂情形，難以在實際操作層面真正實現(xiàn)“平衡安全與發(fā)展”的規(guī)制導向，尤以過度注重安全而“一刀切”的做法最為顯著，“安全大于天”的紅線使得“保安全”的邊界不斷擴張和泛化，甚至可以壓倒一切，反噬并扼殺了數(shù)據(jù)的創(chuàng)新性利用，從而導致了上文所述的系統(tǒng)性、協(xié)調(diào)性、國際性和可操作性層面的重重問題。

究其原因，必然是政治、經(jīng)濟、文化、社會、輿論環(huán)境、立法技術等多種因素共同影響的結果。但其中最本質(zhì)的因素是，尚未明確能夠形塑監(jiān)管體系的數(shù)據(jù)出境規(guī)制理論或政治道德哲學，從而難以一以貫之地形成穩(wěn)定、科學和完善的數(shù)據(jù)出境監(jiān)管體系[20]。一方面，數(shù)據(jù)跨境規(guī)制理論能夠間接反映政治、經(jīng)濟、技術、社會等其他因素，是其他因素集中作用和影響的載體；另一方面，全世界各地的數(shù)據(jù)立法體系復雜龐大，不僅數(shù)量較多，而且法律、政策、指南、標準等各類文件縱橫交叉，立法、執(zhí)法、司法相互獨立，美國的聯(lián)邦立法與各州立法、歐盟的立法與各成員國立法相互作用，如果僅從制度層面借鑒分析而不深究其背后的理論邏輯，則往往會以偏概全甚至得出相互矛盾的經(jīng)驗總結。綜合來看，當前主流的數(shù)據(jù)跨境規(guī)制理論包括數(shù)據(jù)自由貿(mào)易、數(shù)據(jù)權利保護、數(shù)據(jù)主權等[7]62-77。

（一）市場話語體系下的數(shù)據(jù)自由貿(mào)易理論

數(shù)據(jù)自由貿(mào)易理論以美國為典型代表，其建構基礎來自市場話語體系。在美國，長期以來的冒險精神使得不論政府還是公民都傾向通過多元、寬松的手段追求經(jīng)濟的發(fā)展，雖然存在一定的安全風險，但是絕不能為了實現(xiàn)零風險而極大地阻礙甚至扼殺市場經(jīng)濟、科技創(chuàng)新以及全球化競爭。因此，美國傾向通過事后救濟的方式來進行風險規(guī)制[21]，并將自由貿(mào)易認定為國家和社會發(fā)展的主要目標之一，在社會中已經(jīng)形成了較為廣泛的市場話語體系[22]。

在這種文化背景下，全球被美國視為一個開展自由貿(mào)易的大市場，數(shù)據(jù)是全球市場上的一種商品，而數(shù)據(jù)自由跨境流動則被視為自由貿(mào)易的重要前提條件。因而，美國鼓勵全球數(shù)據(jù)自由流動，要求其他國家和地區(qū)降低數(shù)據(jù)跨境門檻，弱化監(jiān)管和司法限制，并提出公平信息實踐理論。自2011 年11 月13 日起，美國開始不斷推進并主導APEC 的CBPRs，旨在通過區(qū)域規(guī)則要求締約方確保數(shù)據(jù)跨境的自由流動[23]。同時，在美國國內(nèi)的相關數(shù)據(jù)隱私法規(guī)中，也未采取如歐盟等地區(qū)般嚴格執(zhí)行的知情同意等數(shù)據(jù)授權原則，美國各方可以未經(jīng)同意收集和使用個人數(shù)據(jù)，只需要遵守一些其他相關法規(guī)即可[24-25]。

但是，在自由貿(mào)易的背后，美國單邊主義的霸權文化在數(shù)據(jù)跨境流動領域內(nèi)不斷擴張[26]，其同樣關注通過數(shù)據(jù)實現(xiàn)其全球霸權的延續(xù)，打造新的“數(shù)據(jù)霸權”，保障對其他國家相關主體的“長臂管轄”。因此，雖然美國聯(lián)邦層面在數(shù)據(jù)出境上的整體政策較為寬松，但是美國也并未放松對一些重要數(shù)據(jù)的管制，對于數(shù)據(jù)安全問題極為重視。例如：2018 年通過的《澄清域外合法使用數(shù)據(jù)法案》（CLOUD），針對危害國家安全和重大犯罪的行為規(guī)定了較為強勢的跨境數(shù)據(jù)調(diào)取規(guī)則；《2022 年保護美國人數(shù)據(jù)免受外國監(jiān)視法案》（Protecting Americans’ Data from Foreign Surveillance Act of 2022），旨在防止美國公民敏感的個人數(shù)據(jù)流入惡意的外國實體①。

美國擁有全球數(shù)量最多、規(guī)模最大、國際化程度最高的互聯(lián)網(wǎng)企業(yè)和科技企業(yè)，其在數(shù)據(jù)的產(chǎn)生、收集、分析、利用等方面具有無可比擬的優(yōu)勢，多年來匯聚收集了全世界的海量數(shù)據(jù)，為其“世界警察”角色提供了強力支撐。一方面，表現(xiàn)為經(jīng)濟紅利的增長。例如，谷歌公司、蘋果公司的海外市場收入占比常年保持在它們總營收的50%甚至更高，亞馬遜公司也有差不多1/3 的收入來自海外[27]。另一方面，表現(xiàn)在國家安全和政治安全上。多年來，美國利用自身數(shù)據(jù)和算法的優(yōu)勢，長期對其他國家政府進行類似“棱鏡門”的監(jiān)視，根據(jù)他國貿(mào)易數(shù)據(jù)、供應鏈數(shù)據(jù)發(fā)起精準的貿(mào)易戰(zhàn)和經(jīng)濟制裁，甚至擾亂他國社會穩(wěn)定。所以，這也從側面反映出，數(shù)據(jù)是新時代的石油或原材料，如果主權國家沒有權利管理自身主權范圍內(nèi)的數(shù)據(jù)，那么數(shù)據(jù)就會源源不斷地流向數(shù)字經(jīng)濟發(fā)達的國家和地區(qū)，數(shù)字落后的國家和地區(qū)則無法從中獲得好處[28]，甚至導致數(shù)據(jù)殖民主義[29]的產(chǎn)生。

（二）權利本位體系下的數(shù)據(jù)權利保護理論

權利本位體系下的數(shù)據(jù)權利保護理論以歐盟為典型代表。與美國相反，歐盟走上了一條權利本位的話語體系之路，將數(shù)據(jù)視為公民尊嚴、人格、自由等基本權利的載體和映射，事關公民的身份、隱私等人權能否得到充分的保護，神圣不可侵犯。基本權利保障是第二次世界大戰(zhàn)后歐洲國家創(chuàng)造歐洲公民身份計劃的重要組成部分，是在法西斯主義和納粹主義的毀滅性經(jīng)歷中，歐洲國家領會到的保護人類尊嚴的血淚教訓。在第二次世界大戰(zhàn)后，歐洲國家逐步建立了一個基本權利的超國家體系，并形成了《歐洲人權公約》和《基本權利憲章》——歐洲基本權利的兩大支柱②，由此產(chǎn)生的歐洲數(shù)據(jù)保護系統(tǒng)以數(shù)據(jù)主體為權利主體的中心，處理個人數(shù)據(jù)一直被視為會給人的基本權利帶來重大風險的行為，所以歐盟一直以來對于美國法律是否為歐盟公民的個人數(shù)據(jù)提供足夠的保護保留較大質(zhì)疑[30]。

此外，“國家”安全與利益同樣也是歐盟數(shù)據(jù)跨境制度的重要考量因素之一，第二次世界大戰(zhàn)的陰霾使得個人基本權利被歐盟視為“國家”安全與利益的基石，沒有對公民基本權利的保護，“國家”安全也將無從談起。因此，歐盟GDPR 規(guī)定了較為嚴格的數(shù)據(jù)跨境流動制度。就個人數(shù)據(jù)而言，歐盟委員會可以依據(jù)GDPR 法規(guī)作出“充分性決定”（adequacy decision）來認定非歐盟國家是否有足夠的數(shù)據(jù)保護水平，該決定將評估個人數(shù)據(jù)從歐盟流出進入第三國是否需要附加保護措施。如果第三國不在歐盟“充分性決定”范圍內(nèi)，則可以利用具有約束力的公司規(guī)則、標準合同條款、認證機制等開展個人數(shù)據(jù)跨境活動。

由于歐盟GDPR 具有廣泛的域外效力和強有力的執(zhí)法機制，所有處理歐盟公民信息的個人信息處理者不論其處理行為是否在歐盟境內(nèi)，都需要遵循歐盟的相關法規(guī)，加上歐盟具有擁有巨大潛力和價值的數(shù)字市場，導致其他國家涉外企業(yè)的跨境合規(guī)往往繞不開GDPR。并且，大多數(shù)國家意識到了歐盟數(shù)據(jù)跨境制度對國家安全和人權的有效保護，往往選擇與歐盟進行制度銜接，參考并借鑒歐盟的標準以達到充分性認定水平，這大大促進了歐盟的標準向其他國家的輸出，形成了“布魯塞爾效應”，進一步強化了歐盟的“國家”安全與利益的實現(xiàn)。

但是，與數(shù)據(jù)自由貿(mào)易理論相似，數(shù)據(jù)權利保護理論同樣存在缺陷，主要表現(xiàn)為歐盟認為保障公民的個人數(shù)據(jù)權利具有極高的價值位階。雖然極少數(shù)的互聯(lián)網(wǎng)平臺巨頭已經(jīng)使歐盟認識到不受阻礙的數(shù)字貿(mào)易對歐洲十分重要[31]，促進先進技術和相關服務的創(chuàng)新能夠帶來巨大的利益③，但是數(shù)字經(jīng)濟的發(fā)展、互聯(lián)網(wǎng)平臺的創(chuàng)新等都需要讓步于個人基本權利保護這一紅線，當這些其他利益與個人數(shù)據(jù)權利相沖突時，歐盟法院就會進行比例分析，結果往往是采取更高水平的個人數(shù)據(jù)保護措施和對數(shù)據(jù)跨境流動進行更加嚴格的監(jiān)管，基于事前預防的基本邏輯充分保障歐盟公民的基本人權。因此，歐盟的數(shù)據(jù)在內(nèi)部成員國之間雖可自由流動，但限制了個人數(shù)據(jù)轉移到歐盟境外，采取了多種手段嚴格控制個人數(shù)據(jù)的跨境流動，并為此先后通過SchremsⅠ案和SchremsⅡ案，使得其與美國之間為促進數(shù)據(jù)跨境流動而達成的“安全港”和“隱私盾”協(xié)議變得無效④。

（三）利益平衡體系下的數(shù)據(jù)主權理論

美國的數(shù)據(jù)自由貿(mào)易理論雖傾向通過采用事后救濟和責任承擔的規(guī)制進路來促進數(shù)字經(jīng)濟的發(fā)展，但其背后是以強大的數(shù)據(jù)霸權和數(shù)據(jù)殖民主義作為支撐的；歐盟雖傾向采用事前預防的規(guī)制進路來保障基本人權，但其代價是數(shù)字經(jīng)濟的艱難發(fā)展。

顯然，數(shù)據(jù)自由貿(mào)易理論與數(shù)據(jù)權利保護理論并不能有效滿足中國現(xiàn)階段的發(fā)展需求。

一方面，中國素無數(shù)據(jù)霸權的文化傳統(tǒng)，反而因為政治、經(jīng)濟、科技實力等原因需要強力保護國家主權與安全，維護公民的相關數(shù)據(jù)權益。近年來，美國“長臂管轄權”的適用范圍不斷擴大，從解決美國國內(nèi)問題發(fā)展到介入國際問題、從司法管轄權延伸到立法管轄權和執(zhí)法管轄權、從民事案件擴張到刑事案件[32]，這種向外擴張的路徑難免會與其他國家的利益產(chǎn)生沖突[33]，如美國將中國企業(yè)列入“實體清單”試圖遏制中國產(chǎn)業(yè)發(fā)展[34]，如果核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被非法出境，將會出現(xiàn)被外國政府影響、控制、惡意利用的風險。

此外，在第二次世界大戰(zhàn)期間，中國遭受了日本帝國主義的人權毀滅，對中國人民的人格尊嚴與自由等基本權利帶來了巨大傷害。改革開放以來，黨和國家一直堅持不懈地追求和保障人權，將人民對美好生活的向往作為奮斗目標，不斷發(fā)展全過程人民民主，推進人權法治保障，堅決維護社會公平正義，促進中國人民的生存權、發(fā)展權和其他各項基本權利保障不斷向前推進[35]。人權的保障離不開數(shù)據(jù)主權、國家安全的完整，更需要通過保障公民數(shù)據(jù)權益來實現(xiàn)，因此，中國的數(shù)據(jù)出境制度應重點關注安全底線，防范和提前化解可能存在的風險，將數(shù)據(jù)主權、國家安全、公共利益以及公民權益保障作為數(shù)據(jù)安全立法的重要原則。

另一方面，中國目前正值數(shù)字經(jīng)濟發(fā)展的關鍵期，顯然不能因噎廢食，以犧牲經(jīng)濟發(fā)展為代價。近代以來，清政府采取閉關鎖國的政策，幾乎斷絕了與世界各國之間的大型貿(mào)易往來和科技文化交流，以至于錯失了工業(yè)革命和科技革命，積貧積弱的國力使得中國淪為半殖民地半封建社會，落后就要挨打的歷史教訓時刻警醒我們必須自立自強。當前，數(shù)字經(jīng)濟的快速發(fā)展以及百年未有之大變局形勢為中國的發(fā)展提供了歷史機遇，“兩個一百年”奮斗目標和中國式現(xiàn)代化的推進需要我們不斷做優(yōu)做強數(shù)字經(jīng)濟，數(shù)據(jù)的跨境流動是數(shù)字經(jīng)濟發(fā)展的重要內(nèi)容，只有充分釋放數(shù)字紅利，才能讓人民群眾真正受益。

因此，相較于美國的數(shù)據(jù)自由貿(mào)易和歐盟的數(shù)據(jù)權利保護，中國應當基于利益平衡體系下的數(shù)據(jù)主權理論建構數(shù)據(jù)跨境制度，強調(diào)安全與發(fā)展兼顧、“既要又要”的風險規(guī)制進路。利益平衡體系下的數(shù)據(jù)主權理論以維護國家安全為底色，采取因時制宜的數(shù)據(jù)主權形態(tài)，將分級分類保護作為核心機制，具體包括數(shù)據(jù)保護權與數(shù)據(jù)參與權。在該理論下，安全評估應當處于單列且優(yōu)先使用的地位，但其適用需要遵循嚴格的觸發(fā)條件，即：只有數(shù)據(jù)出境行為及境外數(shù)據(jù)處理活動將對國家安全產(chǎn)生危害時才需要進行安全評估，這種規(guī)定是國家主權之自保權的體現(xiàn)，當境外數(shù)據(jù)處理行為危害到本國國家之安全時，國家有抵御外來侵犯之絕對權利，本國對境外數(shù)據(jù)威脅行為采取防御、處置措施是國家主權作用的當然結果，此為數(shù)據(jù)保護權；數(shù)據(jù)參與權是指當數(shù)據(jù)出境行為與國家安全、公共利益的關聯(lián)性相對較弱時，應當采取標準合同與保護認證并行的方式，積極參與國際化數(shù)據(jù)跨境規(guī)則制定和全球經(jīng)濟發(fā)展。同時，對內(nèi)而言，鼓勵行業(yè)主管部門、自貿(mào)區(qū)等積極參與數(shù)據(jù)跨境制度的制定，根據(jù)行業(yè)特點、地區(qū)特點，因時因地制宜地規(guī)范數(shù)據(jù)跨境流動。

“保安全”與“促發(fā)展”在數(shù)據(jù)跨境流動領域并不是相互對立的，而是有機結合以共同致力于使公民的權利和利益得到有效保障。“促發(fā)展”并非單純追求金錢等利益的增長，而是通過數(shù)據(jù)的流動推進貿(mào)易的開展，進而促進數(shù)字經(jīng)濟的繁榮發(fā)展，讓人民群眾享受到時代發(fā)展的紅利，增強國家的經(jīng)濟實力。落后就要挨打的歷史教訓和改革開放的成功經(jīng)驗告訴我們，經(jīng)濟的發(fā)展將為保障國家安全、社會公共利益以及公民權益提供堅實基礎，因此，“促發(fā)展”可以說是另一種層面上的“保安全”，二者相輔相成、殊途同歸，是數(shù)字經(jīng)濟發(fā)展的鳥之兩翼、車之兩輪，不應存一廢一、偏執(zhí)一面，而應統(tǒng)籌兼顧，找尋融合與平衡之策。

四、構建數(shù)據(jù)主權基礎上的數(shù)據(jù)跨境體系

（一）明確安全與發(fā)展并重的利益平衡原則

2023 年7 月25 日，國務院印發(fā)的《關于進一步優(yōu)化外商投資環(huán)境 加大吸引外商投資力度的意見》指出：“探索便利化的數(shù)據(jù)跨境流動安全管理機制。”2023 年9 月28 日，國家網(wǎng)信辦發(fā)布了《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》，以進一步規(guī)范和促進數(shù)據(jù)依法有序自由流動，同時使得許多數(shù)據(jù)出境行為豁免于安全評估而可以通過保護認證、簽訂標準合同等方式出境，降低了門檻和標準，回應了當前國際社會對中國營商環(huán)境的質(zhì)疑，從而極大地便利了數(shù)據(jù)出境，于經(jīng)濟發(fā)展而言是重大利好。

在數(shù)據(jù)跨境流動的問題上，中國應當明確在數(shù)據(jù)主權和國家安全視野下最大限度地促進數(shù)據(jù)自由流動和經(jīng)濟快速發(fā)展的基本思路，合理平衡“保安全”與“促發(fā)展”理念，防止因“一刀切”式的做法過度擴張安全邊界而產(chǎn)生監(jiān)管異化，從而破壞了科技創(chuàng)新、經(jīng)濟發(fā)展和對外開放的良好格局，增加了數(shù)據(jù)跨境流動的成本，提高了市場主體數(shù)據(jù)處理和業(yè)務開展的成本，打擊了通過數(shù)據(jù)流動進行創(chuàng)新的積極性。

一方面，應當堅持數(shù)據(jù)主權和國家安全的底線不動搖。數(shù)據(jù)主權是國家主權的集中體現(xiàn)，是《聯(lián)合國憲章》中最為核心的原則之一[36]。數(shù)據(jù)作為有重要經(jīng)濟價值的生產(chǎn)要素，對其占有量的多少和處理能力的大小，是一個國家在全球數(shù)字市場中競爭力強弱的外在表現(xiàn)，因而往往會淪為發(fā)達國家輸出法律制度及其背后價值觀的工具，數(shù)據(jù)霸權最終會導致數(shù)據(jù)壟斷，數(shù)字經(jīng)濟實力弱小的國家將被限制在巨大的“數(shù)字鴻溝”之中，因此，當數(shù)據(jù)狀態(tài)安全與否威脅到一個國家的生存和獨立發(fā)展時，該國就有權采取自我保護措施以維護自身數(shù)據(jù)安全。

另一方面，應當清醒地認識到，安全不是絕對的，風險永遠存在。正如習近平所指出的：“網(wǎng)絡安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全，那樣不僅會背上沉重負擔，甚至可能顧此失彼。”[37]在當前的實踐中，中國的數(shù)據(jù)出境制度與監(jiān)管力度過于偏向“保安全”，在具體手段上借鑒了保護“基本權利”的歐盟制度，如安全評估與歐盟GDPR 的核心機制——充分性認定——相類似，需要評估數(shù)據(jù)流入國家或國際組織的數(shù)據(jù)保護水平以及其與歐盟的政治關系、經(jīng)貿(mào)關系、法治水平、人權保護等因素，此外，歐盟GDPR 也規(guī)定了標準合同、第三方認證等制度。

但是，中國與歐盟的法律文化不同，在立法訴求上也存在差異，不能照搬歐盟的制度設計，而是應立足本土法律文化與國情，基于中國當前處于數(shù)字經(jīng)濟彎道超車的歷史機遇期，明確經(jīng)濟發(fā)展的巨大需求。此外，即使是以保護“基本權利”為導向的歐盟，在具體制度開展上也沒有過于遏制數(shù)據(jù)的跨境流動，如“充分性認定”是對一國的狀況進行評估，如果達到了歐盟的數(shù)據(jù)保護標準，則雙方之間的數(shù)據(jù)即可自由流動，不需相關主體再單獨申請，且相較于中國“一事一議”的安全評估，更加有利于數(shù)據(jù)的快速流動。在標準合同方面，歐盟于2001—2010 年先后發(fā)布了三套標準合同（SCC2001C&SCC2001P、SCC2004C、SCC2010P），并于2021 年再次更新發(fā)布了第四套標準合同。總體來看，2021—2010 年發(fā)布的三套標準合同降低了企業(yè)的合規(guī)成本與難度，促進了數(shù)據(jù)的流動。相較于2001—2010 年發(fā)布的三套標準合同，2021 年更新的第四套標準合同整體上強化了對數(shù)據(jù)的保護，細化了數(shù)據(jù)流動的具體場景，體現(xiàn)了不同條件下的規(guī)制梯度。此外，前三套標準合同是在執(zhí)行歐盟《數(shù)據(jù)保護指令》（Data Protection Directive），第四套標準合同則主要是落實GDPR 的產(chǎn)物，可以預見，未來歐盟還將繼續(xù)更新GDPR 背景下的標準合同，更進一步促進數(shù)據(jù)的自由流動，為歐盟數(shù)字統(tǒng)一市場的建立提供支撐。

因此，未來中國的數(shù)據(jù)出境制度應當適當更新，探索更加多元化的方式以促進數(shù)據(jù)的跨境流動，更新和細化不同場景下的制度規(guī)定，增加批量評估的占比。

（二）重構制度體系性與協(xié)調(diào)性

1.安全評估單列且優(yōu)先適用

《個人信息保護法》第38 條規(guī)定，個人信息處理者向境外提供個人信息的，應當滿足安全評估、標準合同和保護認證三個條件之一。這就導致安全評估與標準合同、安全認證的適用關系出現(xiàn)瑕疵，未來應當基于數(shù)據(jù)主權理論明確安全評估單列且優(yōu)先適用的法律地位，且只有在數(shù)據(jù)出境行為及境外數(shù)據(jù)處理活動會對國家安全產(chǎn)生危害時才能觸發(fā)。

在內(nèi)容優(yōu)化上，《數(shù)據(jù)出境安全評估辦法》將數(shù)據(jù)出境安全評估申報的條件落腳在歷史上曾經(jīng)處理過的個人信息數(shù)量或出境的個人信息數(shù)量上，即根據(jù)歷史數(shù)據(jù)處理量來判斷該數(shù)據(jù)處理者的數(shù)據(jù)出境活動將給國家安全、社會安全和個人信息主體權益可能帶來的風險，這雖然具有一定的合理性，但是在實際落地中卻暴露出了較大的短板與缺陷。根據(jù)筆者對相關具有數(shù)據(jù)出境需求的機構的調(diào)研結果，有些數(shù)據(jù)處理者雖然已經(jīng)處理超過100 萬人的個人信息，但是其擬出境的數(shù)據(jù)量卻較小，甚至只有幾條或者幾十條，其內(nèi)容也不屬于敏感的個人信息，在這種情況下，如果仍然申請數(shù)據(jù)出境安全評估，將會給其帶來較大的負擔。例如，在實際的數(shù)據(jù)出境安全評估申報中，有些餐飲企業(yè)和銀行擁有超過100 萬名用戶，但其需要出境的數(shù)據(jù)并非其用戶的個人信息等業(yè)務數(shù)據(jù)，而是其員工個人信息等管理數(shù)據(jù)，這種擬出境的數(shù)據(jù)無論從數(shù)量上還是敏感程度上都不滿足數(shù)據(jù)出境安全評估的規(guī)制目的。又如，根據(jù)上文所述之筆者對國家衛(wèi)生健康委員會及醫(yī)院的訪談調(diào)研結果，中國1 600 余家三甲醫(yī)院中的大部分醫(yī)院都滿足處理超過100 萬人的個人信息的標準，但醫(yī)院的數(shù)據(jù)出境需求往往是某一個課題組的研究需要，其與該課題組的專家具有極高的利益相關性，但與醫(yī)院的利益相關性卻較弱，其需要出境的數(shù)據(jù)體量有時會極小，因而實踐中有不少醫(yī)院認為其不應該作為各課題組數(shù)據(jù)出境的責任主體，且醫(yī)院也缺乏能力對眾多課題組的數(shù)據(jù)出境活動進行監(jiān)管和安全保障，所以只能“一刀切”式地禁止醫(yī)院內(nèi)的數(shù)據(jù)出境活動，這給醫(yī)學健康研究帶來了較大阻礙。

因此，未來的數(shù)據(jù)出境許可條件的設置應當根據(jù)數(shù)據(jù)處理者的實際情況和合理需求制定標準，從而將監(jiān)管資源集中于保障真正關系國家安全、社會安全和公民權益的數(shù)據(jù)出境活動。例如，將《數(shù)據(jù)出境安全評估辦法》第4 條中的“歷史數(shù)據(jù)處理量”轉向“未來數(shù)據(jù)處理量”，在認定數(shù)據(jù)出境安全評估主體標準時關注“預計一年內(nèi)向境外提供”的數(shù)據(jù)量，并增加豁免條款，在“為訂立、履行個人作為一方當事人的合同所必需、按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理、緊急情況下為保護自然人的生命健康和財產(chǎn)安全、科學研究”等方面減輕或免除安全評估的限制。

2.明確重要數(shù)據(jù)范圍目錄

重要數(shù)據(jù)在數(shù)據(jù)跨境監(jiān)管中占有重要地位，其出境后的安全狀態(tài)直接關系著中國的國家安全與數(shù)據(jù)主權，識別重要數(shù)據(jù)的數(shù)量和范圍是數(shù)據(jù)跨境活動開展的前提與基礎，如果無法厘清重要數(shù)據(jù)，則數(shù)據(jù)跨境規(guī)制的安全面向?qū)o從談起。但是，當前無論理論界還是產(chǎn)業(yè)界，均未能明確重要數(shù)據(jù)的范圍、目錄以及具備可操作性的識別標準，這也成為目前最重要的行業(yè)痛點。例如，在醫(yī)療領域，大部分醫(yī)院尚未建立數(shù)據(jù)分類分級制度，也未能形成較成體系的數(shù)據(jù)分類分級方法、策略規(guī)則、目錄清單等，有些雖進行了數(shù)據(jù)分類但沒有進行數(shù)據(jù)分級，對于數(shù)據(jù)資產(chǎn)清單的認識尚不清晰。對此，醫(yī)院的顧慮在于，健康醫(yī)療行業(yè)的重要數(shù)據(jù)定義模糊，國家對醫(yī)療領域的分類分級沒有明確指導，因此醫(yī)院內(nèi)部無法有效區(qū)分數(shù)據(jù)分類分級。

對相關概念的澄清與解釋是數(shù)據(jù)出境制度實施的起點。只有明確了“數(shù)據(jù)分類分級、一般數(shù)據(jù)、重要數(shù)據(jù)以及核心數(shù)據(jù)”等基礎概念，才能為相關主體提供合理預期，便于根據(jù)不同類別和重要程度采取不同的出境路徑和保護措施。因此，應當盡快完善和明晰數(shù)據(jù)分類分級制度，通過“列舉+兜底”的方式明確一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)的邊界與范圍，從重要數(shù)據(jù)的識別到對重要數(shù)據(jù)的管理，從重要數(shù)據(jù)安全合規(guī)使用到重要數(shù)據(jù)安全保護，所有安全要求都需要有專業(yè)化、自動化工具的支持[38]。在重要數(shù)據(jù)的識別上，應當基于國家數(shù)據(jù)主權制度的前提和基礎，先從類別內(nèi)容上做出區(qū)分再根據(jù)重要數(shù)據(jù)的類別內(nèi)容做出等級劃分[39]，充分考慮各行業(yè)場景的共通性與特殊性，通過定量與定性相結合的方式來進行動態(tài)識別。

首先，基于數(shù)據(jù)主權的重要數(shù)據(jù)識別，應當聚焦國家安全、數(shù)據(jù)主權面向，明確重要數(shù)據(jù)與重要的數(shù)據(jù)之間的關系，避免為了過度追求安全而盲目擴張重要數(shù)據(jù)的范圍。其次，充分考慮行業(yè)的安全特性和對數(shù)據(jù)跨境的正當需求，對于一般數(shù)據(jù)，原則上應當通過立法明確允許自由流動，提升市場預期和信心。最后，基于定量與定性相結合的方式動態(tài)識別重要數(shù)據(jù)。一方面，要從數(shù)據(jù)屬性、場景、內(nèi)容等定性的角度評估其對國家安全和數(shù)據(jù)主權的影響程度，判斷其遭遇泄露、非法獲取等情況時產(chǎn)生的危害程度；另一方面，要從定量的角度判斷危害產(chǎn)生的概率，如雖然一組數(shù)據(jù)泄露后產(chǎn)生的危害程度為90%，但這種情況發(fā)生的可能性僅為0.01%，是否應將其納入重要數(shù)據(jù)的范圍就有待商榷。此外，有些數(shù)據(jù)在體量較小時無法對國家安全和數(shù)據(jù)主權產(chǎn)生影響，但經(jīng)過匯聚形成大數(shù)據(jù)后極有可能反映出重要信息，因而數(shù)據(jù)量的大小也是重要數(shù)據(jù)識別中需要重點考慮的因素。

3.鼓勵地方性、行業(yè)性制度

考慮到各行業(yè)主管部門的專業(yè)性以及部分地方的特殊功能定位，應當鼓勵行業(yè)主管部門和部分地方積極參與數(shù)據(jù)跨境制度的制定，并因時因地細化完善相關條件，在部分地區(qū)、部分行業(yè)、部分場景下的數(shù)據(jù)出境監(jiān)管中采取更加便捷、高效、快速的措施，最大限度地滿足各類產(chǎn)業(yè)的發(fā)展需求。

在地方性制度層面，國務院2023 年8 月13 日發(fā)布的《關于進一步優(yōu)化外商投資環(huán)境加大吸引外商投資力度的意見》指出：“探索便利化的數(shù)據(jù)跨境流動安全管理機制。……支持北京、天津、上海、粵港澳大灣區(qū)等地在實施數(shù)據(jù)出境安全評估、個人信息保護認證、個人信息出境標準合同備案等制度過程中，試點探索形成可自由流動的一般數(shù)據(jù)清單。”2023 年11 月26 日，國務院印發(fā)的《全面對接國際高標準經(jīng)貿(mào)規(guī)則推進中國（上海）自由貿(mào)易試驗區(qū)高水平制度型開放總體方案》指出：“在國家數(shù)據(jù)跨境傳輸安全管理制度框架下，允許金融機構向境外傳輸日常經(jīng)營所需的數(shù)據(jù)。涉及金融數(shù)據(jù)出境的，監(jiān)管部門可基于國家安全和審慎原則采取監(jiān)管措施，同時保證重要數(shù)據(jù)和個人信息安全。”此外，就粵港澳大灣區(qū)而言，其橫跨“一國、兩制、三法域”，內(nèi)地與港澳之間的數(shù)據(jù)法存在較大差異，且內(nèi)地與港澳之間的數(shù)據(jù)傳輸屬于跨境傳輸，若采用內(nèi)地法規(guī)則存在較大阻礙，若采用國際公認的保護法規(guī)和慣例則難以與內(nèi)地有關法規(guī)完全接軌，這就導致港澳作為國家對外開放橋頭堡和遠東金融中心的作用被大大限制。為此，國家網(wǎng)信辦與香港特別行政區(qū)政府創(chuàng)新科技及工業(yè)局先后簽署了《關于促進粵港澳大灣區(qū)數(shù)據(jù)跨境流動的合作備忘錄》和《粵港澳大灣區(qū)（內(nèi)地、香港）個人信息跨境流動標準合同實施指引》，明確除被認定為重要數(shù)據(jù)的個人信息外，其他個人信息在廣東九市與香港之間的跨境流動都可以通過訂立標準合同的方式進行，并減少了個人信息保護影響評估的內(nèi)容，對標準合同的登記備案手續(xù)也予以了簡化，更為重要的是，降低了對境外接收方的義務要求，極大地促進了數(shù)據(jù)跨境流動的發(fā)展趨勢，為相關主體提供了更多的操作空間和便利。未來，可以參考此類經(jīng)驗制定一系列規(guī)則，規(guī)范和促進數(shù)據(jù)通過港澳進行跨境傳輸?shù)南嚓P活動。

在行業(yè)性制度層面，網(wǎng)信部門的數(shù)據(jù)跨境規(guī)則與人類遺傳資源信息跨境規(guī)則應當相互協(xié)調(diào)，進一步明確不同主體、不同數(shù)據(jù)的適用情形，合理劃分網(wǎng)信部門與人類遺傳資源信息主管部門的職責分工和監(jiān)管范圍，明確人類遺傳資源信息出境的監(jiān)管部門以及所需要采取的程序、標準、要求、安全保障措施等，為相關數(shù)據(jù)處理者提供清晰的合規(guī)指引。從目前的行業(yè)實踐情況來看，人類遺傳資源信息出境由人類遺傳資源信息主管部門進行監(jiān)管更加有利于跨國科研等業(yè)務的開展。原因有二：一是該制度更為相關數(shù)據(jù)處理者所熟悉，大部分有出境需求的數(shù)據(jù)處理者更加了解人類遺傳資源信息主管部門的數(shù)據(jù)出境流程，在實際數(shù)據(jù)出境時也更多地采取了這一路徑，而對于網(wǎng)信部門的數(shù)據(jù)出境路徑卻十分陌生，學習成本較大；二是相較于網(wǎng)信部門的數(shù)據(jù)出境路徑，人類遺傳資源信息主管部門的數(shù)據(jù)出境條件、流程和標準更加便利，在材料準備方面，相較于數(shù)據(jù)出境安全自評估所需成本較小，而且可以通過統(tǒng)一的信息系統(tǒng)進行流轉，不需要另建系統(tǒng)。

（三）協(xié)調(diào)銜接國際規(guī)則

2023 年7 月10 日，歐盟和美國達成了繼“安全港”和“隱私盾”之后的新的《歐美數(shù)據(jù)隱私框架》（EU-US Data Privacy Framework），設立獨立法庭以審查美國情報機構數(shù)據(jù)收集工作，保障在此框架下個人數(shù)據(jù)可以自由、安全地流動，被稱為“歐美雙方為了維系7.1 萬億美元的跨大西洋經(jīng)濟關系的重要舉措”。2023 年10 月21 日，“英美數(shù)據(jù)橋”（UK-US Data Bridge）生效，屆時將允許組織通過《歐美數(shù)據(jù)隱私框架》的英國擴展進行美英之間數(shù)據(jù)跨境傳輸，英國的組織將能夠?qū)€人數(shù)據(jù)傳輸?shù)将@得《歐美數(shù)據(jù)隱私框架》的英國擴展認證的美國組織，而無需采取進一步的保護措施，以實現(xiàn)英美相關組織之間的數(shù)據(jù)自由流動。2023 年10 月28 日，歐盟和日本就跨境數(shù)據(jù)流達成了協(xié)議。該協(xié)議明確，將取消數(shù)據(jù)本地化要求，使金融服務、運輸、機械、電子商務等多個行業(yè)的企業(yè)受益，讓它們無需進行煩瑣且成本高昂的管理即可處理數(shù)據(jù)。國際上的數(shù)據(jù)跨境將迎來新一輪的合作高峰，從而在全球經(jīng)濟低迷的時代背景下促進國際貿(mào)易的復蘇，提升各國經(jīng)濟發(fā)展，同時給中國社會經(jīng)濟的發(fā)展帶來機遇和啟示。

《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》都明確了積極“參與數(shù)據(jù)安全相關國際規(guī)則和標準的制定”的開放理念，“推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標準等互認”，以更加自信的形象參與全球數(shù)據(jù)治理，發(fā)出中國聲音，提出中國方案，輸出中國標準。同時，國際規(guī)則不僅左右各國之間的利益分配，而且決定一國在國際社會中所能扮演的角色，并對其國際行為合法性進行評判[40]。因此，中國能否有效參與國際數(shù)字規(guī)則制定，形成符合中國產(chǎn)業(yè)利益的方案和主張，并將其融入規(guī)則中，將直接影響中國數(shù)字經(jīng)濟發(fā)展和國際地位的提升。

首先，中國應以更主動進取的姿態(tài)參與數(shù)據(jù)跨境流動國際規(guī)則的構建，在經(jīng)貿(mào)、投資以及其他相關專題談判中啟動數(shù)據(jù)跨境流動談判，做好國內(nèi)制度與國際規(guī)則的銜接工作，加強國際合作與協(xié)調(diào)，促進各國之間的互信和合作。其次，中國應當合理全面地利用解釋手段，在關鍵核心問題上通過文義解釋、目的解釋等方式消除與中國相關制度可能存在的分歧，逐步實現(xiàn)法律規(guī)制的趨同。最后，利用北京“兩區(qū)”、上海自貿(mào)區(qū)、海南自貿(mào)港、粵港澳大灣區(qū)等區(qū)域的制度創(chuàng)新優(yōu)勢，開展跨境數(shù)據(jù)流動試點，形成數(shù)據(jù)跨境規(guī)則的特區(qū)或“監(jiān)管沙盒”，在容錯機制環(huán)境下探索建立數(shù)據(jù)跨境流動的正面清單或負面清單，既能便利中國企業(yè)的數(shù)據(jù)“走出去”，也能讓外國企業(yè)的數(shù)據(jù)“走進來”。例如，北京“兩區(qū)”正在策劃建設數(shù)字貿(mào)易港，希望實現(xiàn)與歐盟之間數(shù)據(jù)跨境流動的特殊安排。

（四）降低合規(guī)成本

隨著人工智能、大數(shù)據(jù)等技術的進一步發(fā)展，利用“法律+科技”的手段實現(xiàn)監(jiān)管與合規(guī)的自動化、智能化已經(jīng)逐漸成為未來的發(fā)展趨勢。監(jiān)管部門應持續(xù)推進監(jiān)管科技工具的發(fā)展繁榮，通過智能監(jiān)管技術實現(xiàn)監(jiān)管的智慧化、自動化、精細化和全面化，把日常監(jiān)管融入個人信息處理者的個人信息出境活動中，共同推動數(shù)字經(jīng)濟健康發(fā)展。個人信息處理者應當主動采用智能化合規(guī)工具重構合規(guī)體系，通過類似ChatGPT 的自然語言處理工具構建規(guī)則引擎，對相關法律法規(guī)進行自動化分析解構，通過法律代碼化和規(guī)則自動化而自動生成符合要求的個人信息出境合同等法律文件，同時通過技術對數(shù)據(jù)收集、存儲、加工、使用、傳輸、刪除等全生命周期進行可視化管理，自動分析企業(yè)數(shù)據(jù)資產(chǎn)與合規(guī)風險，根據(jù)分類分級等規(guī)則自動識別個人信息的數(shù)量、范圍、類型、敏感程度，保障個人信息處理目的、范圍、方式等的合法性、正當性、必要性，自動化完成法律法規(guī)要求的自評估等工作，這樣既能提高合規(guī)的質(zhì)量與效率，又能降低合規(guī)的成本。例如，基于《個人信息保護法》和《數(shù)據(jù)出境安全評估辦法》，設計直觀易懂的評估問卷或手冊，快速排查具體業(yè)務場景的合規(guī)風險，自動生成風險矩陣，可視化追蹤風險處置進度及持續(xù)改進計劃，構建發(fā)現(xiàn)、評估、整改、優(yōu)化的管理閉環(huán)，自動化生成符合規(guī)范要求的數(shù)據(jù)出境風險自評估報告或個人信息影響評估報告，全方位展示最終評估結果和風險處置過程。

五、結語

一方面，數(shù)據(jù)的跨境流動能夠催生新模式、新業(yè)態(tài)和新企業(yè)，深刻改變國際貿(mào)易和分工格局，并借助其公共產(chǎn)品的特性，使國際經(jīng)濟競爭從“零和博弈”轉向“帕累托最優(yōu)”，向自由、開放、合作、共享的方向發(fā)展；但另一方面，數(shù)據(jù)的跨境流動又與數(shù)據(jù)主權、國家安全、公共利益、個人合法權益等非經(jīng)濟領域密切關聯(lián)，甚至會威脅到一國的穩(wěn)定與安全，致使數(shù)據(jù)安全與數(shù)據(jù)自由流動之間關系緊張。

目前，世界各國為搶占數(shù)字經(jīng)濟繁榮高地，紛紛制定更加寬松開放的數(shù)據(jù)跨境流動政策法規(guī)，力求奪取數(shù)字產(chǎn)業(yè)發(fā)展先機，從激烈的國際競爭中勝出。客觀而言，中國現(xiàn)有的數(shù)據(jù)跨境監(jiān)管體系暴露出了較多問題，已經(jīng)對產(chǎn)業(yè)的開放發(fā)展和數(shù)字經(jīng)濟的彎道超車產(chǎn)生了較大阻礙。未來，中國應當對數(shù)據(jù)跨境制度體系進行轉向性調(diào)整，依托數(shù)據(jù)主權基礎平衡安全與發(fā)展，構建更加開放、動態(tài)和穩(wěn)定的數(shù)據(jù)跨境監(jiān)管體系，優(yōu)化營商環(huán)境，提高投資促進工作水平，加大吸引外商投資力度，探索便利化的數(shù)據(jù)跨境流動安全管理機制，形成可自由流動的一般數(shù)據(jù)清單。

注釋：

① 參見：Protecting Americans’ Data from Foreign Surveillance Act of 2022,S.4495,117th Cong.(2022)。

② 參見：Charter of Fundamental Rights of the European Union,2000 O.J C 364/10;Convention for the Protection of Human Rights and Fundamental Freedoms,Art.1,Nov.4,1950,213 U.N.T.S.222。

③ 參見：Commission Regulation 2016/679,2016 O.J.(L 119) 1,60-62(EU)。

④ 參見：Judgment of 6 October 2015 in Schrems v.Data Protection Commissioner,Case C-362/14,ECLI: EU: C: 2015: 650;Judgment of 16 July 2020 in Data Protection Commissioner v.Facebook Ireland Limited and Maximillian Schrems,Case 311/18,ECLI: EU: C:2020: 559。