滴滴事件為何直接上升到國家安全? 這篇文章給出重要提示 | 文化縱橫_風聞

馬其家 李曉楠 | 對外經濟貿易大學

（本文原載《法治研究》2021年第1期）

【導讀】近期，一則“滴滴出行”App接受網絡安全審查並在應用商店下架、停止新用户註冊的官方通報，引發高度關注。此前，滴滴於6月30日在美國紐交所低調上市。分析人士認為，與以往滴滴所受監管不同，此次通報直接提及“維護國家安全”，意味着作為信息基礎設施運營商的滴滴已觸碰“生死底線”，甚至不排除滴滴在美國監管壓力下可能存在數據信息泄露的隱患。

對此，倡導數據自由流動的人認為此事反應過激，無論是全球貿易、赴美融資還是出海業務，數據跨境已成必然。本文指出，包括美國在內的發達國家互聯網企業的先發優勢，會帶來天然的數據本地化存儲及全球數據管理權，進而享有國際規則制定的主導權、話語權和解釋權。寬鬆的數據跨境流動規則，有助於美國維持其在數字經濟上的領先地位和既得利益，由此可以理解為什麼美國宣揚數據自由流動，並通過《雲法案》加強全球數據控制。但由於各國數字產業發展嚴重失衡，如果任由數據從發展中國家積聚到發達國家，可能助長數據霸權的形成，所以嚴格的數據管制不止存在於中國，也存在於包括印度在內的其他發展中國家。作者認為，處理好維護國家安全、保護數據主體權益、發展經濟貿易這三者的平衡關係，對數據流動進行分類管制，落實數據出境過程中的風險管理責任，同時為合法的數據流動開闢豐富渠道，是當務之急。如果在數據立法還不完善的情況下放任數據跨境，意味着數據主體將無法獲得足夠的權利救濟。

本文節選自《法治研究》2021年第1期******，原題為《論我國數據跨境流動監管規則的構建****》，**文章僅代表作者本人觀點，供諸君思考。

論我國數據跨境流動監管規則的構建

**▍**引言

最近有關數據跨境流動的法律規制問題已經成為中美、中印之間監管的焦點問題。2020年8月6日，特朗普政府以TikTok和Wechat涉嫌將美國用户包括聯邦工作人員的個人信息如網絡位置信息、瀏覽和搜索信息等未經許可地傳輸給中國政府，進而可能損害美國國家安全為由禁止了上述兩款產品在美國的使用。印度也以同樣的理由禁止了TikTok和Wechat在當地的應用。美、印兩國政府的上述單邊主義措施，實際反映了數據跨境自由流動與保護國家安全之間的緊張衝突。

**與上述單邊保護主義措施相對，我國具有迫切的數據跨境流動需求。**預計2020年數據總量有望達到8000EB，佔全球數據總量的21%，將成為數據資源大國和全球數據中心。以阿里巴巴、騰訊、字節跳動等為代表的互聯網公司已經建成了具有國際領先水平的大數據存儲與處理平台，在跨境網絡支付、跨境電子商務、信息網絡服務等應用領域的發展必然涉及數據的跨境雙向流動。再者，在“一帶一路”倡議下，我國與“一帶一路”沿線國家經貿交往日益增多，貨物貿易、服務貿易流程與內容的電子化和數據化已經成為不可逆轉的趨勢。為此，在數據跨境流動的問題上，我國既有對等反制數據流向美國和印度的法律工具需求，又有強烈的經濟發展現實法律保障需求。

**然而，我國目前尚無真正意義上的專門的數據管理法規。**在數據跨境流動上，我國《網絡安全法》關於數據本地存儲的規定仍比較籠統，未對個人信息、重要數據的範圍、數據出境安全評估的標準和程序等進行規定。而其他關於數據跨境傳輸的規範則散見於有關特定行業或特定類型數據的部門性法律和法規中，如《中華人民共和國數據安全法(草案)》《中華人民共和國保守國家秘密法》《徵信業管理條例》《人類遺傳資源管理條例》《人口健康信息管理辦法(試行)》等，不當加重了數據出境的合規負擔，難以滿足快速增長的多樣化數據出境需求。此外，跨境數據流動涉及部門多、鏈條長，國家之間或國家與地區之間監管協調難度較大，具有數據跨境需求的公司或者缺乏具體法律操作指引而不敢、不會共享數據，或者隨意對外傳輸數據損害了國家安全、社會利益、數據主體權益。

為適應對外經貿發展需要，實現數據風險防範和各方利益的有效保障，我國應當建立數據有序跨境流動的管控機制。在已有的數據跨境流動法律實踐中，美國、墨西哥、加拿大三國新近簽署的《美墨加協定》(USMCA) 在TPP的基礎上針對數據的跨境流動作出了進一步的補充、修改和完善，從數據本地存儲與處理、消費者個人信息保護、網絡安全挑戰合作、互聯網平台民事責任等方面構築起便利數據跨境流動的橋樑；美國與歐盟達成的《歐盟-美國隱私盾協議》(EU-U. S. Privacy Shield) 構建了兩大發達經濟體之間數據跨境流動的暢通渠道；歐盟《通用數據保護條例》(GDPR) 為數據跨境流動提供了制度示範，值得我國借鑑。**然而，USMCA、“隱私盾”、GDPR等倡導的數據跨境流動背後暗含着美國和歐盟等各自不同的深層次利益訴求。**我國在跨境數據流動法律規則的構建上，既要吸收現有法律成果，又要結合自身的產業發展情況和風險防範能力，在數據的共享和控制之間達至平衡。

**▍**數據跨境流動的法律挑戰

**數據跨境流動關乎國家利益、產業利益、風險控制三者之間的動態平衡。**寬鬆的數據跨境流動規則有利於產業數字化發展，但會增加風險控制難度，**對發展中國家來説可能損害其國家利益，**對發達國家來説則有助於其通過數據實施全球經濟控制。嚴格的數據跨境流動規則不利於產業數字化發展，但會降低風險控制難度，**對發展中國家來説可以避免發達國家的數據霸權。**但總的來説，無論是寬鬆還是嚴格的數據跨境流動規則，均會在國家安全、個人隱私保護、商業利益保護等方面帶來挑戰。

（一）國****家安全挑戰

“稜鏡門”已經證實美國通過侵入他國網絡系統，非法獲取他國境內的數據並進行跨境轉移，對他國的國家安全造成了侵害和威脅。此外，基於商業目的的數據跨境流動也引起了國家安全的擔憂。典型的例證是，華為公司在對外擴張5G業務的過程中，遭到了以美國為首發達國家的嚴格業務審查，美國甚至以國家安全問題禁止華為參與本國的5G建設。究其原因，華為作為跨國通訊科技公司，在業務開展過程中需要收集大量的用户數據，部分數據需要出境傳輸至公司總部或研發中心所在國進行數據處理或分析，這引發了美國等的國家安全擔憂。此外，微軟等跨國公司也被歐盟質疑參與了美國的監視項目。

總體上講，數據跨境流動帶來的國家安全威脅擔憂並非沒有道理。**在世界各國數字產業發展嚴重失衡的情況下，數據由發展中國家不斷積聚到發達國家，可能助長數據霸權的形成，並進一步演化為單邊主義的又一重要武器，加劇全球經濟發展的失衡狀態，深化發展中國家對發達國家的經濟依附。**此外，大數據、人工智能等技術的不斷進步，使隱藏在數據中的人類行為模式被識別出來，包括食物喜好、生活習慣、健康狀況、職業選擇偏好等等。**通過自由的數據跨境流動，利用大數據分析，一國可能對他國的社會狀況進行精準畫像，並有針對性地開展情報收集和研判等工作，威脅他國國家安全。**為此，發展中國家必然對本國領土內的互聯網設備、數據收集、傳輸、使用採取限制或禁止的態度，以保護國家主權的不受侵害，而國家安全挑戰亦將成為發展中國家包括我國制定數據跨境流動規則的重要考量因素。

（二）個人隱私保護挑戰

在數據的跨境流動中，不可避免的涉及個人隱私保護問題。例如跨境電子商務中，消費者通過網絡訂購貨物或服務，訂單信息、收貨地址、聯繫方式等個人信息以數據化的形式出境被境外電商獲取。**如果境外數據接收方不能提供充分的個人隱私保護措施或者濫用個人數據，就可能侵犯個人隱私權利，進而帶來個人隱私保護挑戰。**典型的例證是，Facebook不但存儲美國公民的數據還蒐集存儲其他國家公民的數據，全球數以億計的用户數據遭到泄露，並被非法用於政治選舉分析等。

實際上隨着數字經濟的不斷深化以及全球經濟的互聯互通，個人信息將無可避免地被數字化而融入流通之中。從經濟效應上看，個人數據的取得、加工、分析已經成為互聯網驅動企業獲得競爭優勢的關鍵，跨國公司通過個人數據的跨境流動開展大數據挖掘、智能畫像等開展精準營銷投放和產業佈局，並獲得經濟利益。**此外，對個人來講，在部分商業場景下如跨境資產配置中，個人數據出境是獲得便捷優質金融服務的前置條件。**然而，如前所述，數據跨境流動與個人信息保護相伴相生，如果缺乏針對“跨境數據自由流動”的合理監管，將無法有效保障個人的隱私安全。但目前來講，針對數據跨境流動還未形成統一的國際法保障體系，個人隱私保護協作還侷限在個別國與國、國與地區之間的FTA中，政府國際組織如APEC倡導的《跨境隱私保護規則》(CBPR) 也並未成為國際社會普遍採納的通行準則，因此個人隱私的跨境保護成為數據跨境流動的一大挑戰。

（三）商業利益保護挑戰

對於商業數據的採集、形成及基於商業數據的行業研判，尤其數字化產品本身如計算機軟件、影音等往往是數據控制企業智力和勞動的體現。對於計算機軟件、數字化影音等產品通過知識產權法進行保護不存疑問。儘管較傳統實體類知識產權載體，數字化知識產權載體通過數據流動的方式更易複製、傳播，但總體來説在知識產權法不斷完善的情況下足以對權利主體的利益進行周延保護。**值得注意的是，藴含數據控制主體勞動成果的大數據集合如何保護卻遠未形成共識，有學者認為應當通過不正當競爭規則對不當利用大數據集合的行為加以規制，有學者則認為應當賦予數據主體以財產權利。**從功能上講，數據集合是大數據分析的前提和對象，通過大數據分析，企業可以有的放矢地調整產能，有針對性地開展市場營銷和產品投放，可為企業帶來商業價值和利益。對商業數據集合法律定性的模糊將給企業的合法商業利益保護帶來挑戰。

**總之，數據在內容上既可能表現為個人隱私，也可能體現為商業利益又可能涉及國家安全和公共利益。**少量的數據流動可能僅僅損害個人或企業的合法權益，大量的規模化的數據流動，則可能影響到一國的經濟社會安全。數據藴含利益的多樣性和交織性，尤其是數據量變、質變互相轉換的過程可能使數據表徵的利益從單個主體遷移至社會和國家層面，必將對一國的數據跨境監管政策帶來挑戰。

**▍**我國數據跨境流動規則的框架性構建

（一）規則構建的考量因素

1. 結合我國產業發展情況

從全球看，各國數字經濟發展參差不齊，在對待數據跨境流動上的利益和立場存在着巨大差異，甚至衝突。如印度司法部專家委員會指出，**倡導數據自由流動只符合美國等少數在數字經濟發展上具有先發優勢國家的利益。**而發展中國家、欠發達國家更關注數字基礎設施、數字化技能等電子商務基礎設施的發展，並希望通過數據本地化存儲來促進本國數字產業的發展。

從產業分佈上看，2019年全球市值最高的100家企業中美國佔了54家，**在互聯網領域，美國企業具有巨大的先發和主導優勢，**在社交媒體、搜索引擎、電子商務、雲計算等領域都處於全球主導地位。**開放的數據跨境流動格局有利於滿足美國數據驅動的技術型企業的發展需要。**故而，美國主導下的USMCA儘量取消不必要的數據流動限制，例如不要求數據本地存儲、限制平台企業的民事責任等。與寬鬆的數據跨境流動倡議相對應，USMCA中倡導的CBPR規則在個人信息保護方面也存在標準偏低的問題。正如有學者指出，在個人數據保護的評價上，如果以歐盟95年數據保護指令為10分標準，CBPR規則僅能達到6分。總之，寬鬆的數據跨境流動規則，有助於美國維持其在數字經濟上的領先地位，符合其經濟利益。

從我國產業發展來看，我國跨境電商以及經濟全球化的蓬勃發展，使得跨境數據流動成為我國企業與其他國家開展貿易的重要一環。阿里巴巴、騰訊、平安、華為等科技公司已經在跨境電商、跨境支付、金融普惠、信息服務等領域形成了領先優勢。**根據麥肯錫測算，我國數字經濟規模，穩居全球數字經濟的第二大市場，但寬帶數據流動量卻僅位居全球第八，僅為美國的20%，與龐大的數據經濟體量相比，我國數據流動規模過小。**跨境數據流動已經成為全球主要經濟體之間商業貿易和通信不可或缺的重要環節。**在我國不斷加大對外開放的基礎上，數據跨境流動成為繼續推動我國數字經濟發展的必然選擇。**我國應加快數據跨境流動的法律建設，在有效管控風險的基礎上，為形成數據跨境流動的有序格局提供製度保障。

2. 結合我國法律現狀和風險管控能力

我國目前已經初步構建了跨境數據流動管理的法律法規架構。除了《網絡安全法》第37條對關鍵信息基礎設施個人信息和重要數據跨境流動管理之外，我國對某些重要行業和領域的數據跨境流動作了限制性規定。如《保守國家秘密法》要求防止含有國家秘密的數據流出中國；《徵信管理條例》規定徵信機構對在中國境內採集的信息的整理、保存和加工，應當在中國境內進行；《地圖管理條例》規定互聯網地圖服務單位應當將存放地圖數據的服務器設在中華人民共和國境內，**並制定互聯網地圖數據安全管理制度和保障措施。****此外，中國人民銀行對個人金融信息數據，國家衞計委對涉及人口健康信息數據，**交通運輸部、工信部等7部委《網絡預約出租汽車經營服務管理暫行辦法》對網約車所採集的個人信息和生成的業務數據等都要求在中國境內存儲。

然而如前所述，我國現有數據跨境傳輸規範散見於各行業或領域的具體法規，涉及數字產品和服務的生產、存儲、使用、監管、商業秘密、個人隱私權保護、版權保護、內容審查等方面的相關數據基礎立法尚不完善，相關標準規範發展滯後，具體監管制度有待細化，跨境數據流動監測的手段還顯不足。即便**《網絡安全法》試圖在宏觀上明確數據跨境的原則，即關鍵信息基礎設施運營者應在中國境內存儲在境內運營收集和產生的個人信息和重要數據，且僅得出於業務需要，經過相關監管機關安全評估，方可向境外傳輸此類信息和數據，**但總體上來説，《網絡安全法》數據境內存儲的規定仍比較籠統，未對重要數據的範圍、個人信息和重要數據出境安全評估的標準和程序等進行規定，並未具體明確數據的分級和分類，並形成足夠細分顆粒度的數據跨境流動管理策略，也沒有數據跨境流動監管的國際合作機制。此外，各行業主管機關僅負責對本行業內企業數據跨境傳輸進行監管制度，在國家層面缺乏集中的監管協調機關，容易產生監管競爭或監管漏洞。如製藥企業、智能設備提供者和線上醫藥平台可能同樣會收集、獲得並向境外傳輸人口健康數據，但由於不屬於醫療機構，故不屬於國家衞生和計劃生育委員會《人口健康信息管理辦法(試行)》的執法監管權限範圍之內，導致這些企業開展的數據跨境傳輸在實踐中未被有效監管。

**作為對比，美國儘管也未進行專門的數據立法，但其在數據跨境流動上卻擁有足夠的制度工具以實現風險控制。**有學者就認為支撐美國跨境數據自由流動主張的背後，除了經濟利益考量還有實現有效法律管控的自信。這主要表現在如下幾方面：

第一，互聯網企業先發優勢帶來的天然的數據本地化存儲及****全球數據管理權。麥肯錫報告稱，美國在信息和通訊技術、媒體和金融行業的數字化程度遠超其他國家，賦予美國對全球數據的巨大控制權或管理權，而無需擔心會有大規模數據由本國轉移到國外。

第二，美國政府對關鍵部門、行業和領域的數據跨境流動實施了分散、隱蔽但有效的管控。儘管美國不存在普遍性的跨境數據流動立法，但至少在電信、科技、衞生醫療、外商投資等關鍵部門、行業和領域已經建立了分散化、非顯性化的跨境數據流動管制要求。部分要求內化為國家安全審查的一部分，部分要求通過公共採購合同、網絡安全協議等方式得以體現。**例如，2018年發佈的《外國投資風險審查現代化法》明確將涉及收集美國公民敏感個人數據的外國投資(包括非控制性投資)納入審查範圍，防止外國企業涉足處理美國公民敏感個人數據的美國企業。**又如在電信領域，外資運營商通常被要求籤署網絡安全協議，以確保執法偵聽、政府通信和阻止恐怖主義等管理要求得以實施。同時安全協議要求通信數據包括呼叫識別信息、與用户位置或身份相關的信息、電話號碼、用户賬單記錄等都應僅在美國境內存儲。

第三，對國際規則**具有高度的主導權、話語權和解釋權。**美國作為國際貿易規則的主導者，對國際規則具有很強的話語權和解釋權，可以靈活利用規則賦予的空間維護本國利益，甚至在貿易摩擦等極端情形下直接藐視規則。例如，靈活運用“安全例外”和“一般例外”原則，對跨境數據流動以國家安全為由行使相關管理措施。

第四，美國通過國內立法賦予本國執法機構**對境外數據實施長臂管轄的廣泛權力。**美國2018年出台的《澄清境外數據的合法使用法案》(CLOUD法案) 明確賦予美國執法機構跨境調取數據的權力。因此，美國可以基於國家安全和打擊嚴重犯罪需要調取境外存儲的數據，並且可調取數據的範圍並不限於美國人的數據，可調取數據的企業範圍也不限於美國企業或總部在美國的外國企業。外國企業只要在美國提供業務並且與美國發生了充分的聯繫，就可能被要求提供數據。

在數據跨境流動上，我國還未形成成熟的體系化管理策略。為此，我國應當進一步加快數據跨境流動的法律制度建設，努力細化國內立法，出台配套實施細則。同時應注意到，**數據跨境流動管理對我國而言還屬於新命題，出於風險管控需要，我國不能像美國一樣單純追求數據的自由流動，**而應當在總結監管經驗的基礎上，結合自身國情，在風險可控的前提下，穩步推進數據的跨境流動。

3. 結合我國與國際規則互動情況

在國際規則方面，OECD《關於隱私保護和個人跨境數據流動的指南》和APEC《隱私保護框架》均是推薦性標準，且後者基本吸收了前者的立法成果，其關於數據跨境流動的規則或者經過數據主體同意或者採取合理措施確保數據接收者履行充分的個人隱私保護義務並不必然被成員國採納。而在經貿領域，在歐盟推動下WTO框架下的《貿易總協定》(GATS)**第14條明確成員國可以隱私保護為由限制個人數據的跨境流動，在一定程度上為成員國限制數據跨境流動提供了依據。**美國推動TPP、USMCA則試圖在WTO外形成區域性的數據自由流動圈。此外，歐盟內部通過GDPR基本實現了數據在歐盟成員國間自由流動，同時對歐盟以外的國家和地區又形成了以充分性保護等為基準的豐富的數據跨境流動渠道。

我國未加入APEC下的CBPR體系，未參加TPP等多邊經貿談判，也未與歐盟達成關於數據保護的雙邊協議，**總體上還處於完善國內數據保護法規的階段，對外規則融入不足。**但如前所述，我國存在數據跨境流動的產業發展需求，且正在進行區域全面經濟夥伴關係(Regional Comprehensive Economic Partnership)、中日韓自由貿易協定談判，談判對象中大多系TPP成員或者已經加入了CBPR體系(如日本、韓國)，日本甚至已經通過了歐盟數據保護的充分性認定，經貿談判中涉及的跨境數據流動條款必將受到現有國際規則的影響，甚至會被借鑑到相關的談判文本中。為此，我國應當積極熟悉CBPR體系、TPP、USMCA等中有關數據跨境流動的規則，並借鑑吸收進入我國的國內立法，為後續參與國際談判磋商提供國內法依託。

總之，我國在數據跨境流動上存在現實的利益需求，但國內法相關規則還不健全亟需完善，在國際合作上也還未形成自己的穩定策略，需要借鑑國際組織及歐盟、美國等發達國家在數據跨境流動國際合作中的有益工具如CBPR體系“、隱私盾”、GDPR下的“企業約束規則”(BCR規則)等，在求同存異中實現數據跨境流動的穩步推進。

（二）數據跨境流動的具體規則

1. 建立數據分類審核制度

《網絡安全法》第37條雖然要求建立跨境數據流動評估制度，但個人信息和重要數據界定、數據跨境傳輸的評估機制和評估方法等細則尚未出台。從立法目的上看，《網絡安全法》是基於國家網絡安全視角提出的，針對數據跨境採取了更為直接和嚴格的干預手段**，缺乏彈性，難以滿足數據多樣化的數據出境需求。**就數據跨境流動而言，從國家安全、企業商業利益、個人信息權益等角度出發，筆者認為可按來源和重要程度將跨境數據劃分為個人數據、商業數據、特種行業數據，並設定不同的數據出境審核要求和監管標準。

**（1）個人數據。**對於一般個人數據如身高、體重等和敏感個人數據如種族、徵信信息、財產信息和住宿信息等，允許跨境流動，但要履行通知-同意的程序；或者數據接受地達到與本國相同的保護程度；或者數據出境是為了履行數據接收者與數據主體之間的合約所必須等。總之，對於一般數據和敏感個人數據允許有限制的跨境流動，符合國際通行做法，也是成熟經驗總結。**但是對於關鍵個人數據，比如健康數據、遺傳數據等，應以禁止跨境流動為原則。**例如澳大利亞在《個人控制的電子健康記錄法》(Personally Controlled Electronic Health Records,PCEHR) 第77章禁止可識別個人身份的健康數據向境外傳輸。究其原因，一國的關鍵個人數據已經超出了個人隱私的範疇而具有國家安全層面的意義，應當僅能存儲在本國的服務器/數據中心，原則上禁止離境。

**(2) 商業數據。**商業數據平台不但能進行產業內的橫向和縱向比較，還能進行產業間的比較，更能監控各產業的即時發展情況。**事關國計民生的某些產業發展狀況可能通過商業數據跨境流動的方式為他國或第三方獲悉，不但可能損害商業數據中包含的商業秘密、知識產權或誘發不正當競爭，還可能侵害一國的國家利益和公共利益，**故數據控制主體在向境外第三人轉移商業數據時應當履行一定的自查義務，必要時應當取得行業部門的同意。

**(3) 特種行業數據。**對各種行業數據，各國出於國家安全和公共利益考量對其跨境流動採取較為謹慎的態度。例如德國在2016年針對某一類型的電信元數據推出了數據本地化存儲的要求，法國在醫療、信息通信等領域也存在相關的數據出境限制要求。通常來講，對特定行業數據應加強安全評估。以金融行業為例，針對電子銀行的跨境業務活動，個人金融信息的儲存、處理和分析，跨境外包，以及徵信數據的整理、保存和加工等活動進行嚴格的規定，**強調了數據的本地化存儲要求，原則上不得向境外提供。**究其原因，宏觀層面來看，是基於國家安全視角；中觀層面，與行業的監管有關；微觀層面，涉及個人敏感信息。因此，針對電信、金融、石油、電力等關鍵行業數據跨境流動應採取審慎的安全風險評估制度，並進一步明確安全風險評估的管理機構、評估機構的資格認定、評估標準、程序，評估結果管理等具體內容。

2. 強化數據安全的技術建設

數據的跨境流動依託互聯網網絡，“稜鏡門”事件已經表明在網絡攻擊下，數據存在非法流出境外的隱患。因此有必要強化數據安全的技術安排，通過技術手段預防、限制、制止數據的非法出境行為。USMCA就明確締約各方應加強應對網絡安全事件的能力，加強網絡安全協作，共享網絡安全信息，防範惡意代碼攻擊，並提倡基於風險的方法(risk-basedapproaches)以識別和防範網絡安全風險。就數據跨境流動而言，除了採取必要技術措施以保障網絡安全、穩定運行，有效應對網絡安全事件，防止數據泄露、毀損、丟失外，**還應根據數據流動的特徵採取流量路由等必要措施對數據的走向、總量進行必要控制，在威脅國家安全等情況下甚至阻斷數據的傳播。**此外，要積極吸收先進技術成果，採用數據加密或數據脱敏從源頭做好個人隱私和其他重要數據的保護。在制度安排上，要建立定期測試、評估、評價技術和管理措施是否有效的體系。

3. 完善數據主體等的法律權利

在個人數據保護上，GDPR設定了高標準的示範，並提供了豐富的制度工具如算法可解釋權、刪除權、可攜帶權等供個人主張以應對不當利用個人數據的行為。亞洲太平洋經濟合作組織(APEC)的《跨境隱私保護規則》(CBPR)則在數據跨境流動上規定了數據收集目的明確，數據使用範圍限制，安全保障，透明度，個人參與，權利救濟與問責等法律原則。但我國卻無專門數據立法對數據主體等的權利進行明確規定。此外，在企業數據保護方式的選擇上，目前還沒有統一的法律模式。除了通過不正當競爭法(行為法)、財產權(權力法)的模式選擇外，還有學者提出通過構建大數據有限排他權等知識產權體系對企業數據進行保護。**數據的跨境流動屬於數據運用的一種，****基於前述個人隱私侵犯風險、企業財產權利受損風險，數據主體等權利的缺失將使受害人無法獲得周延的權利救濟，也使行政執法或司法裁判陷於無法可依的境地。**為此，我國亟需完善並明確規定數據主體等的權利，在加強行政監管、規範數據控制主體行為的同時，使數據主體及時獲得私法救濟，並調動社會監督的積極性，保證數據跨境流動的合法有序進行。

4. 完善數據出境過程中相關主體的風險管理責任

在政府層面由專門機構統籌負責數據跨境流動的審核，切實履行監管職責。我國國家互聯網信息辦公室頒佈的《個人信息和重要數據出境安全評估辦法(草案)》區分行業屬性，在網信辦的協調下，將數據的跨境流動審核權分別授予網信辦、公安部門、安全部門、中國人民銀行、銀保監會、工商總局等具體業務部門。**儘管從監管慣例上看，我國基本形成了行業歸口監管的體系，**例如在金融領域以行業為主的機構監管，在數據跨境流動的監管上實行以行業主管部門為主的審核體制符合我國的監管體制慣性。**但需要指出的是多頭審核機制的實施需要構建起協調機制，**此外數據跨境流動本身也涉及到處理與數據保護相關的國際事務。新加坡於2013年設立個人數據保護委員會(PDPC)成為個人數據保護事務方面的主要權威機構，並代表新加坡政府處理與數據保護相關的國際事務。為此，應通過設立或由專門機構統籌協調不同行業主管部門的審核職能，以阻塞監管漏洞，同時代表我國統一處理數據跨境流動的對外合作事務，以保證政策的完整性和連續性。

鼓勵行業協會及其他自律組織參與安全評估，建立可落地實施，具有活力的數據管理秩序，作為行政監管的補充。從歐盟的法律實踐看，數據控制者可以成立協會並提出所遵守的詳細行為準則(codes of conduct)，該行為準則經由成員國監管機構或者歐盟數據保護委員認可後，可通過有約束力的承諾方式生效。如前所述，我國目前已經初步構建了跨境數據流動管理的法律法規架構，但具體的監管制度仍有待細化和完善。數據跨境流動監管畢竟屬於新鮮事物，在探索性的監管過程中，既要避免管得過死、過細，實質阻礙了數字經濟的現實需要，又要避免過粗、過於原則，無法發揮指導作用。為此可以通過自律組織依據本行業的具體特點制定探索性政策、指南的方式，對法律規定的跨境數據流動的基本原則及主要制度作進一步細化，為企業和機構提供合規性操作指引。

**進一步落實數字控制主體的數據保護自查責任。**數據控制主體內部需建立數據保護體系，明確數據各生命週期環節的具體操作規範，加強內部監控，避免不當操作。凡出境業務，需經過合規部門預研、審核，確保涉及數據收集、傳輸、處理等操作的每一步都符合出境的監管要求。**從國際經驗看，澳大利亞採取了“創始人”(生成數據的人)的制度，利用數據保護性標識督促數據控制主體履行數據保護義務。**當數據生成時，創始人需要評估未經許可訪問或不當使用數據所帶來的損害及後續影響，如果數據的跨境流動可能會損害國家和他人利益，則該數據應被施加保護標識，在披露或向機構外傳輸前，應採取適當保護措施。通過數據創始人制度(Originator)對數據跨境的要求進行處理，只有獲得Originator授權並移除標記，相關數據才可跨境。

當然，除了上述三類主體外，還應發揮市場其他主體功能，如鼓勵第三方機構對提供雲計算、大數據業務的服務商、境外智能製造企業進行安全資質信用評級，為境內企業選擇合作方提供參考；鼓勵互聯網服務提供者自願採取行動限制對數據的惡意訪問或者對敏感信息和重要數據的訪問等，引導多元化市場主體參與數據跨境流動規範建設。

5. 豐富合法流動渠道

從我國的監管實踐看，除了涉及國家利益、公共利益的特定行業數據、個人數據絕對禁止出境外，對於其他個人數據和商業數據，網信辦《個人信息和重要數據出境安全評估辦法(徵求意見稿)》、國家信息安全標準化委員會《信息安全技術數據出境安全評估指南(徵求意見稿)》設定了較為嚴格的事前“許可”監管機制，包括履行“通知-同意”程序、安全自評估、行業主管部門評估等。一刀切的事前“許可”可以提高我國的風險控制能力，但與全球化數字經濟的發展趨勢卻極不適應。一刀切的事前許可門檻，往往只是增加形式上的行政負擔，最終可能被束之高閣，難以適用。

**為了滿足數據日常化、規模化的跨境需求，在不涉及國家安全和公共利益的數據跨境流動上，應為“合理有序的數據流動”提供儘可能豐富的合法渠道。**從歐盟GDPR關於數據跨境流動規則看，除了用户同意外，另構建起了“充分性認定”、充分保障措施、數據轉移是為了履行與數據主體之間的協議所必需等事前“許可”的豁免事由。因履行與數據主體之間的協議所必須的數據出境情況可歸結為用户的默示同意，適用場景有限，故充分性認定和充分保障措施成為歐盟等重點參與構建的數據跨境機制，值得我國借鑑。具體而言：

(1) 建立白名單機制。“白名單機制”建立根據數據保護狀況及對等措施，將部分地區納入可自由流動的國家與地區。**從本質上來講，白名單機制是一國認為他國的數據保護水平達到本國的最低要求，進而認為本國數據流入他國會得到充分的保護，而不至於損害數據主體合法權益。**但需要注意的是，白名單本身應當是可以靈活調整的，應當建立起定期評估與臨時評估等制度，以保證數據流入國始終保持高標準的數據保護標準。歐盟法院以美國情報機關可能濫用數據收集權力為由最近宣佈“隱私盾”無效本身，已經從實踐説明了“白名單”不能是一成不變的。我國在完善數據保護政策和法律規範的前提下，可通過建立白名單機制，以減輕企業合規負擔，暢通數據跨境流動的渠道。此外，在白名單之外還應配套相應的域外執法管轄和責任追究機制，白名單中的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究其法律責任。

**(2)充分性保障措施。**若向白名單以外國家傳輸數據，只要數據控制者、數據處理者承諾提供充分的數據保護措施，數據就可以跨境流動。從實踐看，充分性保障措施主要包括標準合同條款、具有約束力的集團企業規則、經批准的認證機制等。標準合同條款由政府依據數據保護原則主導制定，通過合同來管控數據出境風險。在合同的具體內容上包含當事人雙方應當遵守的數據保護規定，明確不得跨境的數據類型；要求境內企業對其數據進行分類管理，境外企業不得通過芯片後門等方式獲得禁止跨境的數據；合作雙方均應遵守我國相關數據保護法律規定，合同適用我國法律，並由我國法院管轄。

6. 以國際合作促進我國數據跨境流動規則建設

數據跨境流動對以科技驅動的現代經貿發展的重要意義促使歐、美等發達國家着力推動建立數據跨境流動的新秩序。我國《數據安全法(草案)》第10條亦提出我國應積極開展數據領域國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。為此我國應當積極參與數據跨境流動的國際合作，融入數據跨境流動的遊戲規則，不斷總結發達國家監管經驗的有益做法如數據訪問、保留、安全、審查等相關要求的執法標準，實現國際規則有條件的等同採納、雙多邊規則互通互認、先進規則吸收改造，進而反哺我國數據跨境流動規則完善。但同時需要注意的是，在國際合作中，我國亦應當堅持以自身的管理需要和實際出發，對與履行國際義務和維護國家安全相關的屬於管制物項的數據依法實施出口管制；對在數據和數據開發利用技術等有關的投資、貿易方面對我國採取歧視性的禁止、限制或者其他類似措施的，我國應根據實際情況保留進行對等反制的權利。

**▍**結語

我國在構建數據跨境流動規則的過程中應當處理好**國家安全維護、數據主體權益保障、經濟貿易發展需要之間的利益平衡關係。**在信息通信技術與經貿全球化深度耦合背景下，應當承認數據的跨境流動是絕對的，而對數據流動的限制是相對的。我國目前缺少專門的法律規範以推動數據跨境流動的有序進行，既不利於我國數字貿易的全球化開展，也不利於國家安全和個人隱私等的有效維護。

為此我國亟需制定數據跨境流動的法律規則，以適應全球貿易的數字化趨勢。在數據跨境流動法律規則的制定上，我國應當依據不同數據類型體現的國家安全、公共利益、數據主體利益的不同對數據流動進行分類規制，並在法律層面明晰各類數據的範圍。對涉及國家安全、公共利益的數據原則禁止出境，對僅涉及數據主體利益、商業利益的數據應當允許有條件出境。在數據出境監管上，應當構建數據控制主體和數據處理主體自查自糾、行業協會自律監管指導、國家專門機關統籌協調監管三位一體的組織格局；在個人隱私和商業秘密等的保護上，要利用相關加密技術對出境數據進行預處理，並加強數據傳輸網絡的安全防範能力，以防止數據的不當泄露；**在法律層面上，應完善數據主體權利和相關主體責任，豐富數據合法出境渠道，實現數據有序可控流動。**同時我國應當積極參與數據跨境流動的國際合作，推動數據跨境流動實踐，進而反哺數據跨境流動監管規則的構建。