跨境數據流動全球治理困境及我國的策略

孔怡冰

摘? ?要：目前，各國政府均以公權力要求數據在地化，數據在地化阻礙了數據的價值暢通。美國與歐盟簽訂的《安全港協議》與《隱私盾協議》相繼被判無效凸顯了數據主權的擴張與爭奪，造成了跨境數據流通的困境。為了兼顧數據流通和利益價值的平衡，我國在數據主權大潮中應作出自己的選擇，構建雙邊和多邊合作機制，避免國際間的管轄沖突。參與國際協議和國際規則的制定，增加跨境數據談判內容，主動牽頭構筑跨境數據流動規則體系。適當降低國外司法管轄判決、裁定的承認門檻，承認國外司法管轄的域外效力。

關鍵詞：跨境數據流動；數據本地化；數據在地化；豁免條款

中圖分類號：F49? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2024）04-0157-04

“跨界數據流動”這一概念最早在1980年由OECD頒布的《關于保護隱私與個人數據跨境流動指南》提出，那時“數據”的含義是“個人信息”。隨著數字經濟作為一種新的經濟業態急速發展，各類數據跨越平臺和法域進行交互流動，數據體量成倍增加，數據承載的內容日益復雜，數據資料跨境流動所帶來的政治價值和商業價值凸顯，數據作為基礎戰略資源的重要性不言而喻。《信息安全技術數據出境安全評估指南（征求意見稿）》將數據跨境定義為，數據出境是指將在我國境內收集和產生的電子形式的個人信息和重要數據提供給境外機構、組織、個人的一次性活動或連續性活動。在數據資料的跨境流動和資料本身攜帶的信息利益平衡之間，各國并無統一意見和模式，從而導致跨境數據流動中面臨以下問題：數據流出國與數據流入國之間的保護程度認定、跨境監管力度與法律沖突的調節妥協、數據流動限制的類型和要求各異等。本文將根據數字主權理論，在分析跨境數據流動保護的內涵和機理上，提出我國跨境數據流動治理對策，保護公民數據，保障國家安全。

一、跨境數據流動背景下的數字主權理念沖突

（一）沖突的一方：要求數據存儲于本國而拒不提供他國

早在20世紀70年代，美國即通過先進的技術和設備優勢在世界各國建立跨國公司，開展跨國業務，收集、處理、傳輸大量數據，存儲其他國家政府公共部門、企業、科技機構的多種信息資料。一直與美國存在經濟政治博弈的歐盟在信息產業方面存在明顯弱勢。歐共體理事會曾有言，對于全世界范圍內信息產業結構分配嚴重不均的局面，歐盟不僅要在數據信息處理行業加大投入力度，還要在歐盟各成員國內部統一數據立法。在接下來的幾十年里，歐洲各國紛紛出臺自己的跨境數據轉移限制法律。從1981年歐洲委員會通過的《有關個人數據自動化處理的個人保護公約》，到1995年歐洲議會和歐盟理事會共同通過的《關于涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》、歐盟議會于2018年5月25日生效實施的《通用數據保護條例》……歐盟的一系列法令都旨在協調成員國內部法律、規定、條例的差異，①解決其內部的跨境流動障礙，同時對第三國提出跨境傳輸高標準，以此達到保護本地域信息產業、嚴格限制數據流出、為了消除阻礙個人資料流通的壁壘各成員國對處理這些資料的個人權利與自由的程度應當是平等[3]的目標。

發展中國家并未充分認識到跨境數據資料流動帶來的好處和潛在的巨大價值，認為這種數據的流動會損害國家主權、自身的政治與文化完整性。因此，這些國家采取的態度和措施較為謹慎保守，通過立法的方式限制數據的流通類型，制定不平等的傾斜壁壘標準阻止本國數據傳輸到境外。

（二）沖突的另一方：要求將存儲于他國的數據提供給本國

該沖突體現最為顯著的莫過于美國以“微軟案”為背景的CLOUD法案的出臺。此案件的爭議點是：一國在執法過程中對存儲于境外服務器內的數據是否具有管轄和調取的權力。2018年，時任美國總統的特朗普簽署《澄清合法域外使用數據法》，以法律形式固定了美國“長臂管轄”霸權，展現出強烈的單邊主義傾向。CLOUD法案表面上具有國家間互惠的意義，但卻是對“適格的外國政府”施加各種嚴格限制，而對本國獲取數據條件規定得極為寬松。歐盟也通過GDPR來延長自己的“長臂管轄”。例如，GDPR第3條看似秉持屬地原則，但有學者指出實際上是以“效果原則”進行規制，即若境外企業的內部行為對歐盟的經濟發展產生某種“效果”，歐盟法院對此享有管轄權。

二、數據跨境流動的規范模式

（一）適足性認定

1981年歐洲聯盟頒布了《關于個人數據自動處理過程涉及的各國監管機構與跨境數據轉移的個人保護公約》，其第二條對符合條件進行了界定。特別是，在向歐盟成員國境內進行跨境數據傳輸前，必須對個人資料作出充分的保護。可通過成員國主管部門依據非成員國國家法律或對數據轉讓合同的規定進行評估，來評價是否充分保護。《歐盟的95指令》第四章也細致規定了第三國適足性評估認定。GDPR加強了適足性認定要求，其第45條“基于認定具有充足保護的轉移”中列舉了歐盟委員會進行適足性認定時應當考慮的因素：第一，法治、對人權與基本自由的尊重、第三國或國際組織規則、司法救濟等；第二，是否存在獨立監管機構并具有充分執行權力；第三，是否許下國際承諾，參加了區域或多邊合作體系并愿意承擔責任。但是，這種適足性認定評估條件嚴苛且主觀性較強，無法做到中立客觀，加之審批程序繁冗復雜，所以通過此種認定的國家和地區極少。

（二）協議簽署

在跨境數據資料流動保護方面，美國與歐盟分別是掌握主動權和話語權的國家，他們依托其在全球范圍內的政治地位和經濟實力，通過制定雙邊、區域協議，推動建構了不同的跨境數據規制體系。除了雙邊協定以外，以美國為主導的亞太地區簽定了APEC隱私框架協議、2012年美韓自由貿易協定、2015年TPP（現為CPTPP）協定（特朗普上臺后退出）、2018年《美國—墨西哥—加拿大協定》（USMCA）（美國在這個新的北美自由貿易協定中刪除了跨境流動監管的相關要求，并排除協定方基于公共政策等合法目的而設置的數據本地化）等。其中，在2004年通過的APEC隱私框架（APEC Privacy Framework）是亞太地區簽署的首個關于跨境數據資料流動保護的區域性協議，這份協議“可以看做是美國主導的規制演進路線的起點。”

雖然以歐盟為主導和美國為主導的規制方式大相徑庭，但是兩大主體之間頻繁的經濟、政治往來，對方廣闊的數據貿易市場和商業利益，勢力均衡無法要求對方讓步的現狀，使其在進行競爭較量的同時也達成了某些妥協，其妥協的結果就是2000年達成的《美歐安全港協議》和2016年達成的《歐美隱私盾協議》，但兩者均被歐洲法院裁決無效。對于新的替代跨境數據資料流動方案，歐美正在進行新的磋商，但推進遲緩。就在“隱私盾”協議達成的同年6月，歐盟與美國簽署了《保護傘協議》，“旨在為雙方的執法部門及刑事司法機關之間的個人數據交換提供全面和高水平的保護。”

除了歐美兩大傳統數據大國外，以我國、印度等為代表的國家互聯網信息企業和數字貿易快速發展。中國和東盟國家在2012年簽署的《區域全面經濟伙伴關系協定》（RCEP）中主張多元化的數據資料跨境流動合作，并重點強調了電子數據資料跨境傳輸中的安全問題。

（三）替代方案

在95指令中，歐盟對沒有達到其規定的充分保護水平的國家提供了替代方案，即目前歐盟各成員國與第三國之間使用較為頻繁的標準合同條款和約束性公司規則。其中的標準合同條款更是被GDPR嵌入了跨境數據資料流動的整個過程之中。有學者認為，這是因為這一機制不僅可以讓監管機構對數據跨境傳輸中的重要信息進行直接審查，還可以通過違反法律的規定，促使數據處理者主動進行數據安全保護。歐盟在標準合同條款方面的想法大致是，如果第三國不能滿足歐盟所規定的足夠保護程度，那么就可以將標準的合同條款加入到數據傳輸雙方的合同中，把95指令中的責任和義務轉變成合同義務和違約責任，“納入爭議解決及法律適用等條款，來確保數據主體的權利落到實處”。標準合同條款在之前有三個可用版本，分別為SCC2001C、SCC2004C以及SCC2010P。鑒于Schrems II案決議的余波影響，歐盟委員會已經在2021年6月更新了標準化合同條款（SCCs），并以之替代了前三個舊版本。（2021.6.4歐盟委員會通過標準合同條款2.0 對相關內容進行補充）。約束性公司規則是針對跨國公司內部進行跨境數據資料傳輸而制定的規則體系，GDPR第47條對該替代方案作出了比較細致的規定。但由于其只適用于跨國公司之間的數據資料傳送行為，企業為了迎合此規則會增加自身成本，因此適用空間相對較為狹窄。

在《安全港協議》頒布之前，美國既不可能放棄歐盟有著巨大潛力的數據市場，也不會為了迎合歐盟的高標準而完全改變自己國內的法律體系，歐美之間的數據資料跨境流動傳輸不可能以統一融合的方式實現。為了保證美歐之間數字經濟貿易的正常進行，彌合兩國之間的數據標準差異，《安全港協議》另辟蹊徑，規定參加跨境數據流通的美國公司或企業可以自愿加入該框架，遵守歐盟規則，美國企業既可以接受歐盟監督機構的監管，也可以由美國聯邦貿易委員會進行監督。

（四）豁免條款

GDPR做出了在某些特定情形下數據傳輸的豁免規定。其第49條“特殊情形下的克減”明確表述了這些豁免：如數據主體明確表述同意，數據主體與數據控制者為了履行合同所必需，基于實現公共利益，對于確立、辯護法律訴求而必要等等。

2001年TPP貿易談判過程中，美國于“電子商務”章節納入了約束力條款，規制數據資料的跨境流動，強制要求各方通過電子方式跨境傳輸信息，并且明確禁止數據本地化。但在這些強制約束條款外，還規定了例外情況。TPP協議第14.11條“通過電子方式跨境傳輸信息”第3款和第14.13條“計算設施的位置”第3款均規定，“本條不得阻止締約方為實現合法公共政策目標而采取或維持與第2款不符的措施。”

《區域全面經濟伙伴協定》在第十二章“電子商務”中第十四條“計算設施的位置”強調，締約方不能要求另一方在進行商業行為時以計算機設施設于本領域內為強制條件。但從數據資料傳輸的宏觀立場總體俯瞰之，筆者比較贊同有些學者的觀點，即在對某一項豁免條款進行設置和考慮時必須對“國家基本安全利益”進行合理闡明，認定這一豁免理由是真實的，而并非為了本國的經濟保護建構經濟壁壘。做到數據資料輸入國和輸出國之間的利益平衡，才是設置豁免條款的初衷。

（五）數據在地化

2013年6月，前中情局職員愛德華·斯諾登爆出美國國安局執行的“棱鏡”秘密項目監控事件讓全球嘩然，這也直接加快了各國和各地區的數據本地化立法進程。德國、法國建立政府數據本地云端系統；越南頒布的《互聯網服務和信息管理、提供和使用》中要求互聯網供應商需將其服務器設在越南境內；澳大利亞的《個人控制的電子健康記錄法案》要求，除例外情形外，不得將個人健康檔案資料流入境外；俄羅斯多次修訂法律，并通過《關于信息、信息技術和信息保護法》，在俄羅斯建立了一個數據庫，該數據庫由信息所有者和系統運營商收集、整理、保存和利用俄羅斯聯邦公民的個人信息。有的學者也將這種資料在地化的立法行為稱作“數據民族主義”。

三、我國跨境數據治理中的數據主權問題

為了增強對國家數據的控制能力，我國制定了《網絡安全法》和《關鍵信息基礎設施安全保護條例》等一系列法律和法規，為本土化的關鍵數據資源存儲提供了保障。有關法規要求，重要資料及個人資料必須存放在中國，把資料從收集到存放的整個過程都局限在中國。特別是對于重要領域和產業中的數據流動安全問題，我國制定了一套針對數據出境安全的組織架構。《網絡安全法》第37條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。我國又對數據進行了分類細化，在《信息安全技術數據出境安全評估指南（草案）》等法律中，對煤炭、石油天然氣等關鍵領域的數據進行細致分類，以維護國家數據管理權。

在堅持數據主權的前提下，我國逐步放松對數據流動的控制，讓國家的數據主權安全和數據價值的釋放得到均衡。主動參加國際合作，而不只是局限于對數據的局部控制。2020年11月24日，中國在全球互聯網會議上公布了《網絡主權：理論與實踐（2.0版）》，對互聯網中的互聯互通進行了肯定，并在此基礎上提出了對信息自由的支持。《深圳經濟特區數據條例（征求意見稿）》還規定，要加強跨境數據的國際合作，并建立“數據跨境流動的白名單”。這是深圳出臺的一項重要舉措。

近年來，雖然我國在跨國數據流動管理上取得了長足的進展，但受限于時間、跨國數據流動的復雜程度、實踐經驗的缺乏，我國對跨境數據管理的監管仍存在以下諸多缺陷。

跨境數據流動在立法管轄方面存在空白。我國數據主權立法處于起步階段，還沒有建立起專門化的詳盡可行的跨境數據流動立法體系，與美國、歐盟等發達國家的數據主權治理體系相比有不小差距。雖然已經有《網絡安全法》等法律，并且隨著數字經濟發展在不斷補充規則，但是還存在立法零散化、片面化問題。即使現在已經發布了征求意見稿，但是征求意見稿和現有法律（體系化）銜接不暢、用語沖突，存在文義矛盾。

在數據領域方面的司法管轄和域外規制能力弱。我國的司法管轄是以屬地管轄為基礎，強調數據儲存本地化和數據出境安全評估，對數據的管轄完全獨立自主，但是不能很好融入國際數據流動司法實踐，在國際上的參與度不夠，無法及時順應時代趨勢對管轄權做出靈活改變，國際間數據司法合作有限。

數據信息基礎配套設施完善程度與自身的數字產業發展規模、數據體量有一定差距。許多小型互聯網企業沒有足夠的資金、技術、經驗搭建高標準數據網絡中心，需要借助第三方主體進行數據的儲存、傳輸等工作，“在數據資源利益驅動下難免出現數據因脫離控制者而遭到盜用和泄露的風險”。并且現有的專門數據管理機構存在設置重疊、職能交叉、職能任務不全面等問題。

四、基于數據主權維護的我國跨境數據流動治理對策

放眼世界各國，歐盟、美國、俄羅斯等國家均呈現出統一立法與分領域、分行業立法模式。因此，我國出臺具有統領性和統一性的跨境數據流通管理法律，構建專門立法和完善跨境數據流動規制體系刻不容緩。在此基礎上，采取分散立法模式，增加關鍵領域的數據跨境保護條款，出臺數據跨境管理專門行業的法律法規。同時，對涉及國家安全、關鍵領域的敏感數據，設立分級管理制度、跨境數據流動合同監管規制制度以及與此配套的安全風險防御評估制度等，對涉及國家安全的數據，留在中國境內儲存；對于普通數據再進行細分，要在進行嚴格的評估程序后才可確定是否出境流動。

我國在國際數據保護中應該主動發聲構建雙邊、多邊合作機制，避免國際間的管轄沖突。同時，要參與國際協議和國際規則的制定，努力爭取跨境數據流動中的話語權，增加跨境數據談判內容，主動牽頭構筑跨境數據流動規則體系。

要推進國家關鍵領域數據基礎設施建設，深入研發數據信息安全技術，通過培養優質技術人才和專業研究團隊的方式，提升數據網絡的防御程度。借鑒美國和歐盟的合理經驗，設置數據保護官和專業的數據管理機構，負責數據跨境傳輸、數據安全風險估算、數據流動監測等工作，對涉及數據搜索、儲存的企業進行定期管理，并制定相應的跨境數據流動專門審核機制。同時，政府應積極推進數據資源的共享，并隨著國內數字經濟的發展水平提高適時出臺政策規則，提升數據流通融通性。

參考文獻：

[1]? ?張金平.跨境數據轉移的國際規制及中國法律的應對：兼評我國《網絡安全法》上的跨境數據轉移限制規則[J].政治與法律，2016（12）：136-154.

[2]? ?彭岳.貿易規制視域下數據隱私保護的沖突與解決[J].比較法研究，2018（4）：176-187.

[3]? ?黃寧，李楊.“三難選擇”下跨境數據流動規制的演進與成因[J].清華大學學報（哲學社會科學版），2017，32（5）：172-182，199.

[4]? ?張生.美國跨境數據流動的國際法規制路徑與中國的因應[J].經貿法律評論，2019（4）：79-93.

[5]? ?翟志勇.數據主權的興起及其雙重屬性[J].中國法律評論，2018（6）：196-202.

[6]? ?付偉，于長鉞.美歐跨境數據流動管理機制研究及我國的對策建議[J].中國信息化，2017（6）：55-59.

[7]? ?趙精武.數據跨境傳輸中標準化合同的構建基礎與監管轉型[J].法律科學（西北政法大學學報），2022，40（2）：148-161.

[8]? ?賈開.跨境數據流動的全球治理：權力沖突與政策合作：以歐美數據跨境流動監管制度的演進為例[J].汕頭大學學報（人文社會科學版），2017，33（5）：57-64.

[9]? ?楊璐.跨境數據流動中的基本安全利益例外[J].安徽理工大學學報（社會科學版），2021，23（3）：43-48.

[10]? ?陳詠梅，張姣.跨境數據流動國際規制新發展：困境與前路[J].上海對外經貿大學學報，2017，24（6）：37-52.

[11]? ?胡煒.跨境數據流動立法的價值取向與我國選擇[J].社會科學，2018（4）：95-102.

[責任編輯? ?興? ?華]