數據跨境流動安全保障的困境及法律因應

中圖分類號：F49文獻標識碼：A DOl:10.19881/j.cnki.1006-3676.2025.06.07

21世紀以來，數字技術實現了革命性突破，推動了數字產業化和產業數字化，從而實現與傳統生產要素的深度融合，為數字經濟時代的到來奠定了技術基礎[1。在這一過程中，數據不斷更新迭代，并發揮著至關重要的作用。數據是數字經濟時代的“數字黃金”，如何對其正確利用、合理配置，已經成為考量各國營商環境、政務環境、體制機制與綜合國力的一項重要標準[2]。

數據作為數字經濟發展的核心生產要素，其跨境流動能夠突破傳統經濟發展的地理位置限制，使得各國能夠及時把握世界經濟的發展趨勢，掌握先機，為經濟發展注入強勁動力。因此，數據跨境流動是推動數字經濟發展的有力舉措。當前數據跨境流動主要通過兩種方式開展：一是數據的物理位置變動，二是數據存儲在境內，境外主體通過網絡等方式對于境內數據進行使用等。

健全數據基礎制度已成為推動數字經濟高質量發展的關鍵。我國正在逐步健全數據安全保障制度，以自上而下的方式實施國家大數據戰略，保障數據安全，加快建設數字中國步伐，在全球數字競爭中搶占未來發展制高點。

一、相關文獻綜述

（一）國內研究現狀

國內學者普遍認為數據主權是保障國家數據安全和利益的重要基礎，主張在數據跨境流動中應確立清晰的國家數據主權戰略。再從敬認為，應當完善我國數據主權戰略布局，在數據跨境流動過程中，維護我國數據主權安全[3]；陳曦笛認為，在推動數據主權化的同時，應重視國家的自我轄制，實現國內國際共治數據安全4；鄭令晗等認為，數據主權類型反映著目的，二者是一對多關系。如硬數據主權和軟數據主權這一類型，反映著數據主權的數據保護、數據跨境流動或平衡數據保護與跨境流動的目的[5]。

隨著數字經濟的快速發展，近年來我國數據立法愈加密集，相繼出臺了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）以及《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），來應對數據跨境流動過程中的安全問題。同時，對于數據跨境流動安全，我國還制定了《數據出境安全評估辦法》（以下簡稱《辦法》）、《網絡安全審查辦法》等相應的法規規定，既注重數字主權安全，又兼顧數字經濟發展，既支持數據的跨境流動，又強化規則保護。盡管保障數據跨境流動安全的法律體系已逐漸形成[，但是由于我國數字經濟發展較晚，現行法律對于數據跨境流動安全的保障尚不全面，存在數據定義不清晰、監管協調困難等問題。我國應當在保障安全的情況下，進一步提升數據跨境流動效率，增強數字治理話語權。

（二）國外研究現狀

1.發達國家發展現狀

歐盟與新加坡作為數據跨境流動的重要經濟體，是保障世界范圍內數據跨境流動安全的中流砥柱。歐盟主要通過《通用數據保護條例》（GeneralDataProtectionRegulation，GDPR）“構建了個人數據跨境流動充分性認定白名單”[7]，保障數據跨境流動的安全，同時保障了個人對信息的掌控權，提升了數據跨境流動的透明度。但是這也增加了合規成本，降低了數據跨境流動效率，在一定程度上影響了國際間的數字經濟合作。

新加坡主要通過《個人數據保護法》（ThePersonalDataProtectionAct，PDPA）對進行跨境流動的數據進行保護，“對數據接收國的數據保護水平提出較高要求”[8]。同時該國實行分類豁免機制，對隱私性低的數據豁免跨境傳輸，以提高數據跨境流動的效率。然而，豁免在提高效率的同時也帶來了監管困難，并且對于違規行為的追責成本較高，導致企業和個人維權困難。

2.發展中國家發展現狀

印度對于數據跨境流動采取相對保守的態度，2023年印度出臺了關于數據跨境流動的監管法律《2023年數字個人數據保護法案》（Digital PersonalDataProtectionBill，DPDP），將敏感數據的存儲和處理嚴格限制在印度境內，并且設立了專門進行數據監管的數據保護委員會，以處理數據跨境流動中的問題。由于印度采取保守政策，國際間的經濟交流合作受到了一定的限制。加之，該國家內部法律環境相對落后，數據跨境流動糾紛難以得到妥善的解決。盡管如此，由于數據本地化儲存的要求，個人敏感數據得以受到最高層次的保護。

巴西采取平衡開放的政策，借鑒了歐盟的GDPR，制定了《通用數據保護法》，對個人數據的收集、存儲、處理和跨境傳輸等環節都進行了嚴格的規定一一只有當數據接收國提供了充分的數據保護措施時，才能允許個人數據跨境傳輸。這為個人數據提供了安全的保障平臺，同時憑借與歐盟相似的制度，實現了國際間的經濟合作。然而，巴西也面臨著與歐盟相似的境況，即合規成本的增加以及可能對國際數據流動造成限制。

二、數據跨境流動安全的意義

數據跨境流動是當今世界經濟發展的關鍵議題，為國際金融、貿易、科技等帶來了深遠影響。數據跨境流動的安全與否關系到我國能否在數字競爭中掌握話語權。所以在擴大數據跨境流動規模，激發數據生產要素紅利的同時，應保障我國數據主權安全。

（一）數據跨境流動安全的政治意義

1．國家安全層面

數據主權安全是一個國家對其境內的數據資源進行管理和控制的權利，包括數據管轄權和所有權。但是隨著大數據的蓬勃發展，“數據無國界”[9]的觀點逐步興起，對數據主權構成嚴重威脅。這種觀點認為“數據不應當受傳統法律和主權觀念的限制”。從地緣政治角度看，數據附著了主權國家關注的眾多問題，如果數據不存在主權限制，那么許多數字資源匱乏、發展水平滯后的國家則會受到數字強權國家的壓制，所以“數據無國界”是一種謬論。同時許多國家采取一些措施如在法律中規定“數據本地化儲存”原則1，在一定程度上對于數據的跨境流動進行限制，以維護數據主權安全。保障數據主權安全是經濟全球化背景之下的基本發展問題。

2.公民權利與隱私保護角度

當今數字化浪潮洶涌澎湃，數據跨境流動在全球以前所未有的速度和規模發展。與此同時，數據主體的隱私泄露問題也日益嚴重，引起了國際社會的廣泛關注。不同國家及國際組織制定的關于數據主體隱私保護的國際規則也在逐步完善，但不同國家的法律標準差異很大。一些國家將本國公民數據隱私保護視為國家主權的延伸，將其納入數據跨境流動安全的政治范疇。

從政治穩定的角度來看，數據跨境流動安全關乎公眾對政府的信任。如果公民數據在跨境流動過程中頻繁遭到泄露或濫用，可能會引發公眾對政府數據安全監管能力的質疑，從而影響社會穩定和政府公信力。因此，在采集隱私數據時，也應逐步完善被收集人的知情權保障，同時要求數據使用人在共享、修改、刪除數據時須獲得數據主體的同意，確保數據的控制權掌握在數據主體手中，盡可能使數據主體的合法權益得到保障。

3.國際政治合作與競爭維度

在國際合作方面，數據跨境流動安全是跨國執法和安全合作的重要議題。國家之間需要通過政治協議和合作機制來確保在打擊跨國犯罪過程中數據跨境流動的安全。同時，數據跨境流動安全也成為國家之間競爭的焦點。各國在國際貿易談判和規則制定過程中，會就數據跨境流動安全的界定展開激烈爭論。發達國家往往希望通過主導數據跨境流動安全規則來獲取更多的經濟利益和戰略優勢，而發展中國家則更關注如何在確保數據安全的前提下，實現數據的合理利用和數字經濟的健康發展。

（二）數據跨境流動安全的經濟意義

1.數字經濟產業發展角度

對于數字經濟產業而言，數據跨境流動安全是其健康發展的重要保障。數據作為一種新型生產要素2，在我國的經濟發展中已經占據重要地位。因此，在數字貿易時代，數據是數字市場最主要的競爭資產，對數據的控制成為大國競爭的關鍵因素[10]。為激發我國數據生產要素紅利，《“十四五”數字經濟發展規劃》中明確提出“數據要素是數字經濟深化發展的核心引擎”。數據對提高生產效率的乘數作用不斷凸顯，成為最具時代特征的生產要素。協同推進技術、模式、業態和制度創新，切實用好數據要素，將為經濟社會數字化發展帶來強勁動力。

安全的數據跨境流動能夠促進數字服務貿易的繁榮。如果數據跨境流動安全得不到保障，可能會導致用戶數據泄露，企業聲譽受損，進而影響整個數字經濟產業的發展。數據跨境流動安全還關系到數字產業的國際競爭力。在全球數字經濟競爭中，各國企業都在爭奪數據資源。安全的數據跨境流動環境可以吸引更多的國際投資和高端人才，推動數字產業的創新。提升本國數字產業在全球產業鏈中的地位。

2．企業成本與風險管理視角

企業數據跨境流動安全是數字經濟健康發展的基石[1]。從企業角度看，數據跨境流動安全涉及成本問題。企業需要在數據加密、安全傳輸技術、數據訪問控制等方面投入大量資金。同時，這也是企業風險管理的重要內容。數據泄露可能會給企業帶來巨大損失，包括直接的財務損失和間接的聲譽損失。因此，企業需在數據跨境活動中權衡安全成本與潛在風險，將其視為經濟利益的重要保障。

3.國際貿易與經濟規則層面

在國際貿易中，數據跨境流動安全的經濟界定還體現在規則制定上。一些國家可能會以數據跨境流動安全為由，設置貿易壁壘，要求外國企業將數據存儲在本國境內，或者對跨境數據進行嚴格審查。這種做法雖然在一定程度上保障了本國的數據安全，但也可能會對正常的國際貿易秩序造成干擾，甚至引發貿易摩擦。

經濟一體化組織也會制定統一的數據跨境流動安全規則，通過制定共同的安全標準和認證機制，降低了企業數據跨境流動安全成本，促進了區域內數字貿易的發展。

三、數據跨境流動安全保障面臨的困境

數據跨境流動是當今世界經濟發展的重要形式之一，但數據的跨境流動安全還面臨著許多挑戰。我國法律對于數據跨境流動的規定尚不明確，特別是對“數據”無清晰規定。這導致了侵權違法行為難以得到有效規制。同時，數據跨境流動安全的監管主體不夠明確，導致我國對于出境的數據并未形成嚴密的監管制度。此外，相關處罰方式單一，違法成本較低，難以形成有效威懾，使數據跨境流動面臨巨大風險。由于不同國家的監管制度各不相同，國際合作中難以找到有效的連接點，因此數據跨境流動安全面臨失控的風險。

（一）我國數據跨境流動安全的法律缺漏

1.數據跨境流動安全中的“數據”定義不清晰

我國法律對于數據有多重定義，在《中華人民共和國民法典》（以下簡稱《民法典》）第一百二十七條中對數據保護提出了原則性要求4，但并沒有進一步明晰何為“數據”，更未涉及數據跨境流動場景下的定義；《數據安全法》第三條中對于“數據”的定義也是一言以概之，任何以電子或其他方式記錄的信息即可稱為數據。《辦法》第四條中對于出境數據需要進行評估的種類進行了規定，包括重要數據、個人信息等，但是并未對重要數據和個人信息進行明確的界定。在數據跨境流動的過程之中，我國在重要領域方面秉持著“數據本地化存儲”的基本原則，以保障我國數據跨境流動安全，但是對于何種“數據”應當進行本土化存儲并無明確的規定。我國法律對于“數據”如何界定還存在不清晰的缺陷，對企業來說，“數據”定義不清晰無疑增加了企業對不同數據的管理成本，導致企業存在數據整合和共享的法律難題。更為嚴重的是，難以區分不同種類數據的重要程度導致威脅我國數據安全風險的增加，使我國在數字競爭時代難以占據發展先機。

2.數據跨境流動安全的監管主體模糊

我國現存的法律條文中對于何種跨境流動數據應該進行監管未有明確的法律規定，同時由于數據跨境流動通常同時牽扯不同領域，不同的部門法之間缺乏相應的銜接，導致在進行數據跨境流動監管方面缺乏系統性和指向性，從而使其在監管方面存在相應的空白。在我國數據跨境流動安全監管的格局中，呈現出多主體協同參與、各司其職且相互聯動的復雜治理生態，包括國家部門以及與數據跨境流動有關的行業組織。監管主體眾多但是并沒有統一管轄的主體。對于不同的監管主體來說，缺乏統一的協調管理機制，不同監管主體對同一數據進行監管，可能會產生職權交叉、多頭監管以及互相推諉的問題，也可能會產生人力資源浪費的問題，給政府的工作增加負擔。多重監管主體的存在，會造成企業發展的經濟成本增加，也會造成政府行權負擔過重。

3.數據跨境流動安全的侵權處罰方式單一

我國法律對于數據跨境流動監管的條文多為原則性條文，缺乏具體的實施細則，何種行為屬于違法犯罪行為沒有具體的規定，從而使得在實踐過程中不僅導致數據主體難以保障自己的合法權益，而且導致執法人員因為缺乏執法依據而縮手縮腳，影響了數據跨境流動監管的合法有效性。

我國對于數據流通安全的處罰要求，僅在《數據安全法》第四十六條、《網絡安全法》第五十九條和《中華人民共和國個人信息保護法》第六十六條°中明確了相應的罰款、責令改正、沒收違法所得等行政處罰。罰款、沒收違法所得等處罰相對于數據違法流通所帶來的巨額利益，懲罰是否過于簡單；在巨額利益的誘惑下，行政機關責令改正是否能起到制止違法犯罪的作用，仍然存在疑問。數據跨境流動產生的效益與侵權違法犯罪的成本不成正比，違法者會選擇鏈而走險，侵犯國家、組織和個人的合法數據權益。

數據侵權行為構成犯罪的，《辦法》第十八條中僅規定了追究其刑事責任1°，對于具體刑事處罰措施并沒有進行明確規定。由于具體刑罰措施的缺失，量刑幅度以及刑種難以確定，司法機關對違法行為定罪量刑時難以達成統一。同時我國法律法規對于危害數據跨境流動安全的違法行為沒有制定明確的罪名，導致危害數據跨境流動安全的行為只能通過其他的罪名得到處罰，同案不同判的情況也時有發生，難以適應數據時代對于保護數據權益的要求，不利于維護法律的公平公正，數據跨境流動安全也難以得到保障。

（二）國際數據跨境流動安全的缺陷

在當今全球化進程不斷深化、數字經濟蓬勃發展的時代背景下，數據跨境流動已成為國際交流不可或缺的關鍵環節。然而，不同國家基于各自發展水平以及國家安全戰略的考量，在保障數據跨境流動安全方面呈現出差異化的要求。《區域經濟關系伙伴協定》(Regional Comprehensive Economic Partnership，RCEP）在第一章第三條框架下制定的數據跨境流動規則為：將“數據自由流動”作為基礎性原則，將“數據安全流動”作為例外性原則，兼顧數據的自由流動和充分保護，打破數據流動壁壘11。歐盟采取外嚴內松的流通政策，在GDPR第三章第十二條中更為注重“數據安全流動”，并將其作為基礎性原則，保障數據跨境流動的安全性與規范性1。數據的跨境流動讓數據作為重要的經濟發展生產要素在全世界的范圍內進行流通，同一數據可能會在不同的國家之間進行流通，針對同一數據處理法律關系中，數據控制國、數據來源國、數據交易國之間是否對于數據都具有管轄權，也難以達成統一定論。

四、數據跨境流動安全保障的法律因應

目前，我國保障數據跨境流動安全的法律面臨著“數據\"定義不清、監管制度不明、處罰方式單一的挑戰。數據跨境流動安全可以通過明確“數據”定義與原則、構建多邊監管體系、健全侵權的違法處罰制度，不斷完善保障數據流動安全的法律對策，以適應愈發復雜的數據流動環境。同時與國際規則接軌，保障全球數字經濟的健康、穩定和可持續發展。

（一）國內法完善

1.完善數據跨境流動安全法律條文

首先，明確數據跨境流動安全的“數據”定義。鑒于歐盟在數據保護與治理領域的先行實踐及卓越建樹，我國應審慎參考其成熟經驗，汲取契合本土需求的養分，不斷優化數據定義規范。例如，在歐盟制定的GDPR第二章第九條中，對于個人敏感數據進行了明確的規定，包括種族、政治觀點、基因數據、經處理可識別特定個人的生物識別數據等13。根據我國數據跨境流動的需要，制定《數據安全法》，對數據進行明確定義分類，建立數據分類制度，對法律法規中模糊的部分進行解釋修正。結合我國“數據本地化存儲”的數據安全保障原則，數據分類制度是實現數據精細化的前提，針對數據的敏感程度將高敏感數據進行本土化存儲，為數據跨境流動的安全監管提供法律依據。

其次，確定數據跨境流動安全的基本原則。我國在構建數據跨境流動安全保障體系過程中，應秉持“數據本地化存儲”原則。然而，在全球數據經濟蓬勃發展的時代背景下，“數據本地化存儲”在應對數據跨境流動訴求時，顯露出一定的局限性。因此，我國法律應當在基于此原則的前提下對不同的數據進行差異化的價值評估，依托數據的敏感性與重要性，對數據進行科學甄別與分類監管。為筑牢數據安全防線、規范數據有序運作，應精準錨定關鍵領域數據本地化儲存需求，并架構堅實法律法規框架予以全方位監管支撐。在確保內部“安全底線”不放松的同時，要能夠根據適用主體、領域以及環境的變化進行動態的調整和優化。

我國深刻洞察到數據安全的重要性，積極開展數據安全領域的立法工作，在數據跨境流動監管這一細分且極具戰略敏感性的關鍵場域，專門性法律的缺位成為亟待填補的短板，掣肘著我國數據安全監管體系邁向完備化與精細化的進程。為保障數據跨境流動安全，我國應當結合已出臺的多部法律，對于數據跨境流動出現的新問題制定《數據治理法》，為數據跨境流動安全治理的問題提供法律依據[12]。

2.劃定數據跨境流動安全的監管主體

我國目前形成了多部門協同參與的數據流通監管格局，但不容忽視的是，由于參與監管的主體多元且分屬不同行政架構分支，各自職責范疇依據部門職能定位與法律法規授權而差異化界定，對監管效能提升與協同治理目標達成形成顯著制約。在我國《數據安全法》第十八條第二款中規定了多部門協作對數據跨境流動存在的風險進行監管14，力求在數據跨境流動問題解決進程中達成全方位、無死角覆蓋，填補既有治理漏洞，消弭潛在監管盲區。但是在現實條件之下，多部門協作在實踐進程中，暴露出職責劃分不清、多頭監管與監管缺位并存的機制性困境。我國應當建立以網信監管部門為主體，其他組織、個人為補充的監管協調體系。對于專業領域進行的數據跨境流動，應當由專門的行業組織對數據進行評估，由網信部門對符合行業評估的數據進行監督審核，形成嚴密的數據跨境流動監管網。明確數據跨境流動違法犯罪的追責路徑，對于不同的犯罪主體以及造成的不同危害后果進行合理定責職責，保障數據跨境流動的安全[13]。

3.厘清數據跨境流動安全的侵權處罰責任

數據跨境流動所帶來的經濟利益十分顯著，僅通過簡單的行政處罰方式進行規制，難以起到警示作用。

應當通過行政手段與民事手段相結合，以刑事手段為保障，打造嚴密的數據跨境流動安全保障體系。

首先，行政手段與民事手段相結合。行政手段有其獨特的價值，數據跨境流動安全的保障主體為國家的網信部門，由網信部門通過制定行政法規，確定數據跨境流動的標準。并且網信部門在監管到數據跨境流動過程中的違法犯罪行為時能夠及時給予打擊，通過罰款、責令改正等行政手段來降低犯罪行為帶來的危害。民事手段具備靈活性，針對不同危害數據跨境流動安全的犯罪行為所導致的程度不同的危害后果，《民法典》中設定了不同層級的民事賠償責任。同時，依據危害所造成的實際損失，靈活調整賠償數額，以精準補償受害者的損失。行政機關在制定具體行政法規時，可以向司法機關獲取真實案例，考慮事實依據；司法機關在司法過程中同樣也要考慮到行政機關制定的法規政策，使其作出的司法決定具有公信力和權威性。在保障數據跨境流動安全的過程中，行政手段與民事手段相輔相成，共同發揮作用。行政手段在構建數據市場秩序方面起到關鍵作用，而民事手段則對數據市場進行有效調節。兩種手段有機結合，共同促進數據市場的穩定與健康發展。

其次，刑事手段為保障。刑事處罰是保障數據跨境流動安全的有力手段。當前我國法律規范體系在應對危害數據跨境流動安全犯罪行為層面，尚存在顯著短板，呈現出規則界定模糊、規制欠缺系統性與精細化的困境，亟待從立法完善、司法實踐強化等多維度予以破局重塑。對危害數據安全的違法行為進行打擊，準確認定犯罪行為的性質，避免出現數據法律規制的缺漏；完善《中華人民共和國刑法》第六章第二百八十六條1中對于危害數據跨境流動安全的犯罪行為種類規定；并對侵害數據跨境流動安全的犯罪行為增設專門罪名，打造嚴密的數據跨境流動安全監督網。建立合理合法的量刑制度，要充分考量犯罪行為造成的危害后果及其社會危害性，避免因為刑罰過輕而起不到法律威懾的作用，同時也要避免因為刑罰過重而侵犯犯罪人的人權。

（二）國際規則協調

由于不同國家的經濟發展水平與科技水平各不相同，國際規則很難形成[14]。目前國際間對于數據跨境流動存在不同的條約規范，歐盟針對數據跨境流動制定了GDPR，亞太地區多個國家為了促進數據經濟發展制定了RCEP。在GDPR中，歐盟成立了統一的監管部門歐盟數據保護安全委員會（European DataProtectionBoard），對于歐盟之間的數據跨境流動進行監管，構建起一套高度統一且行之有效的數據跨境流動監管體系，筑牢成員國數據經濟安全防線，強力助推區域內經貿合作邁向縱深，彰顯出卓越的戰略前瞻與協同治理智慧。我國已加入多個國際經濟組織，在參與制定數據跨境流動安全的國際條約時，可以借鑒歐盟的實踐經驗，成立專門的監管部門，完善成員國之間數據跨境流動的監管機制，維護數據經濟發展的合作基礎。在當今全球化數字經濟深度交融、數據作為關鍵戰略資源呈高強度跨境流動態勢的復雜背景下，圍繞保障數據跨境流動之安全議題，審慎考量適度讓渡部分數據主權，對數據經濟不發達的國家進行一部分的利益傾斜，促進數據經濟全球化，同時不能過度喪失主權，使得監管機制成為數據強權國家掠取經濟利益的手段。對于數據控制國、數據來源國以及數據交易國之間的管轄權，可以通過利益平衡原則以及合理性原則[15]，從而達成協議，進行數據管轄，避免多個國家對同一數據享有管轄權，造成職權沖突的問題。

五、結語

數字經濟時代下，數據的跨境流動不僅帶來了巨大的數字經濟效益，同時也意味著數據泄露、篡改、濫用等問題出現的風險不斷增加。在經濟全球化的時代背景下，如何權衡好利益與風險的關系，成為新時代數字經濟健康發展的重要課題。目前，我國依然意識到了數據安全的相關問題，并且出臺了多部數據安全治理的法律，但是由于法律的滯后性，許多數據安全問題難以得到及時有效的解決，導致我國數據跨境流動難以得到有效保障。因此，我國應構建一套切實可行的法律體系，以確保數據跨境流動的安全。該體系應以“數據”的定義為切入點，通過制度創新，建立多方參與的數據跨境流動監管機制，并完善侵權處罰制度。這將有助于進一步釋放數據跨境流動的發展紅利，從而提升我國數字經濟的競爭力。

注釋：

1.“數據本地化儲存”原則是指數據保存在其來源地區，限制數據向境外流動。

2.內容來源于中國政府網：《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》（網址：https://www.gov.cn/gongbao/content/2020/content_5503537.htm）。

3．內容來源于中國政府網：《國務院關于印發“十四五”數字經濟發展規劃的通知》（網址：https://www.gov.cn/zhengce/zhengceku/2022-01/12/content_5667817.htm）。

4.《中華人民共和國民法典》第一百二十七條規定：法律對數據、網絡虛擬財產的保護有規定的，依照其規定。

5．《中華人民共和國數據安全法》第三條規定：本法所稱數據，是指任何以電子或者其他方式對信息的記錄。

6．《數據出境安全評估辦法》第四條：數據處理者向境外提供數據，有下列情形之一的，應當通過所在

地省級網信部門向國家網信部門申報數據出境安全評估：（一）數據處理者向境外提供重要數據；（二）關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息；（三）自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息；（四）國家網信部門規定的其他需要申報數據出境安全評估的情形。

7．《中華人民共和國數據安全法》第四十六條規定：違反本法第三十一條規定，向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

8．《中華人民共和國網絡安全法》第五十九條規定：網絡運行者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

9.《中華人民共和國個人信息保護法》第六十六條規定：違反本法規定處理個人信息，或者處理個人信息未履行本法規定的個人信息保護義務的，由履行個人信息保護職責的部門責令改正，給予警告，沒收違法所得，對違法處理個人信息的應用程序，責令暫停或者終止提供服務；拒不改正的，并處一百萬元以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。有前款規定的違法行為，情節嚴重的，由省級以上履行個人信息保護職責的部門責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款，并可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款，并可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。

10．《數據出境安全評估辦法》第十八條：違反本辦法規定的，依據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等法律法規處理；構成犯罪的，依法追究刑事責任。

11.《區域全面經濟關系伙伴協定》（Regional Comprehensive Economic Partnership，RCEP）第一章第三條，本協定的目標是：（一）建立一個現代、全面、高質量和互惠的經濟伙伴關系框架，以促進區域貿易與投資的擴張，推動全球經濟增長與發展，同時兼顧締約方，特別是最不發達國家締約方，所處的發展階段和經濟需求；（二）通過逐步取消締約方之間實質上所有貨物貿易的關稅和非關稅壁壘，逐步實現締約方之間貨物貿易的自由化和便利化；（三）逐步在締約方之間實施涵蓋眾多服務部門的服務貿易自由化，以實現實質性取消締約方之間在服務貿易方面的限制和歧視性措施；（四）在區域內創造自由、便利和具有競爭力的投資環境，以增加締約方之間的投資機會，提升投資的促進、保護、便利化和自由化（網址：http://fta.mofcom.gov.cn/rcep/rceppdf/dlz_cn.pdf）。

12.《通用數據保護條例》（General Data Protection Regulation，GDPR）第三章第十二條：3.在數據主體根據第15至22條的規定提出請求后，控制者應當提供信息，不應無故拖延，在任何情形下應當在收到請求后一個月內提供信息。在必要的情形下，考慮到請求的復雜性和多樣性，這個期限可以再延長兩個月。如果有此類延長，控制者應當在收到請求的一個月內將此類延長以及延長原因告知數據主體。當數據主體以電子形式做出請求，在可行的情況下，對信息的提供也應當以電子形式提供，除非數據主體有不同請求（網址：https://gdprinfo.eu/）。

13.《通用數據保護條例》（General Data Protection Regulation，GDPR）第二章第九條：對于那些顯

示種族或者民族背景、政治觀念、宗教或者哲學信仰或工會成員的個人數據、基因數據、為了識別特定自然人的生物識別數據、以及和自然人健康。個人性生活或性取向相關的數據，應當禁止處理（網址：https://gdprinfo.eu/）。

14.《中華人民共和國數據安全法》第十八條第二款：國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。

15.《中華人民共和國刑法》第二百八十六條之一：網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制；并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴重危害后果的；（三）致使刑事案件證據滅失，情節嚴重的；（四）有其他嚴重情節的。單位犯前款罪的，對單位判處罰金，對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

參考文獻：

[1]衛志民，楊夢，向暉蓉.跨境數據流動治理：理論邏輯、潛在風險與規制路徑[J].行政管理改革，2025(2）:51-60.

[2] 劉子赫，申來津.數據賦能：數據要素市場化的基本格局與培育機制[J].科技與法律（中英文），2023（3）:47-56.

[3]冉從敬.數據主權治理的全球態勢與中國應對[J].人民論壇，2022（4）：24-27.

[4]陳曦笛.法律視角下數據主權的理念解構與理性重構[J].中國流通經濟，2022，36（7）：118-128.

[5]鄭令晗，郝嫚利.我國數據主權的概念體系及其模型化研究[J].圖書與情報，2023（2）：77-86.

[6]牛曉宏，夏童.數據跨境流動安全管理協同研究[J].現代情報，2024，44（8）：39-50.

[7]楊松，汪宓.數據跨境流動國際規則的困境及應對[J].社會科學輯刊，2025（3）：225-239.

[8]楊松，汪宓.我國數據跨境流動規制的模式選擇與價值功能[J/OL].南通大學學報（社會科學版），2025，41(3）:1-15[2025-06-20].https://link.cnki.net/urlid/32.1754.C.20250422.1326.006.

[9]丁曉東.數據跨境流動的法理反思與制度重構：兼評《數據出境安全評估辦法》[J].行政法學研究，2023(1）:62-77.

[10]高疆，盛斌.跨境數據流動與數字貿易：國內監管與國際規則[J].國際經貿探索，2024，40（6）：102-120.

[11]李晶晶.總體國家安全觀下企業數據跨境流動制度的檢視與優化路徑[J/OL].河北學刊，2025，45(3）:1-9l2025-05-09].http://kns.cnki.net/kcms/detail/13.1020.C.20250402.2224.004.html.

[12]鄧靈斌.數據治理的法律規制：歐盟立法與“中國方案”：基于歐盟《數據治理法》（DGA）的分析與思考[J/OL].圖書館雜志，2024:1-10[2025-03-04].http://kns.cnki.net/kcms/detail/31.1108.G2. 20241031.1415.004.html.

[13]王英，馬海群.數據要素視角下公共數據安全保障的若干問題研究[J].現代情報，2024，44（8）：4-12.

[14]姚天，王宇.數據主權視閾下的數據跨境流動及中國因應[J].國際商務（對外經濟貿易大學學報），

Dilemmas and Legal Countermeasures for the Security Guarantee of Cross-border DataFlow

Zhao Wenxin Zhu Boyu

(Shandong University of Technology，Law College，Shandong，Zibo，255049)

Abstract:[Research purpose] The cross-border flow of data holds a crucial position in the global landscape of digital economy， and its security issues are related to multiple aspects such as national security， economic development， and human rights protection. With the help of treaty rules between countries， the cross-border flow of data enables people to safeguard their rights andinterests in digital interactions. Taking this as a cornerstone， it can fully stimulate the dividends contained in data as a production factor， injecting strong momentum into economic development. It is particularly critical that， in order to effectively maintain the security of China's data sovereignty， building a solid“security line”in the digital field， and helping China move forward steadily in the global digital economic wave，it should deply explore the threats and challenges existing in the security of crossborder data flow. [Research method] Using the SWOT analysis method， this paper analyzes the advantages and disadvantages of China’s cross-border data flow policies from the perspectives of internal capabilities and external environment. Through case analysis method， taking the EU， Singapore and other areas as typical samples，it dissects the institutional flaws existing in the cases. By comparing and analyzing the governance models， laws and regulations of different areas， it identifies the deficiencies in China’s cross-border data flow policies. [Research conclusion] China’s cross-border data flow security is currently facing the problems of unclear definition of “data”，ambiguous regulatory system， and singleform of infringement punishment. To ensure China's data security and prevent the out-of-control of cross-border data flow， it is necessary to clarify the definition of “data” in cross-border data flow. At the same time， a multilateral regulatory system should be constructed， and the infringement punishment system for cross-border data flow should be improved. It should create a healthy ecosystem for the security of cross-border data flow， further unleash the productivity of data，enhancing China’s power of discourse in data security governance，and making contributions to global data security governance.

Keywords:cross-border data flow; data security;data system; digital economy;globalization