跨境數據觀察 | 數據跨境流動的制度原理與規則設計的深圳思考_風聞

走出去智庫觀察

由走出去智庫（CGGT）提供學術資源支持的《深圳法治評論》2021年第三期已經付印，本期主題聚焦法治助推粵港澳大灣區建設。

推進粵港澳大灣區建設，是以習近平同志為核心的黨中央作出的重大決策和國家戰略。習近平總書記在深圳經濟特區建立 40 週年慶祝大會上強調，把粵港澳大灣區建設成為紮實推進高質量發展的示範，打造國際一流灣區和世界級城市羣。

《深圳法治評論》由中共深圳市委全面依法治市委員會辦公室、深圳市司法局主辦，定位於高端領導決策讀物，聚焦深圳法治建設，刊發高水平、可實操的應用性政策研究，輔助市領導及本市黨政機關領導幹部法治建設方面決策，為支持深圳建設中國特色社會主義法治先行示範城市建言獻策。

自2020年創刊起，走出去智庫（CGGT）即為該高端決策讀物提供學術資源支持。

對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可的文章《數據跨境流動的制度原理與規則設計的深圳思考》刊登在《深圳法治評論》2021年第三期合規欄目，今天走出去智庫（CGGT）刊發該文，供關注跨境數據管理的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、將數據視為類似於土地的資產並嚴格管控的做法，悖離了數據作為“流動性財產”的性質。

2、數據主權並非全新事物，它不過是傳統“信息主權”在數字時代的變形而已。數據所承載的信息內容關涉不同文化、特性、價值觀和意識形態，其深層次衝突難以輕易彌合。

3、深圳可以初步嘗試組織白名單制度，對於各方彼此認可的企業、組織內部或之間的數據跨境流動，除涉及“禁止流動類”數據外，其他均可自由流動。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

**文/**許可

對外經濟貿易大學數字經濟與法律創新研究中心執行主任

這是一個數據全球化的時代。從個人隱私到數據利用，從國際貿易到國家監控，從數字經濟到網絡主權，在瞬息萬變的全球網絡治理中，還沒有哪類議題能像數據跨境流動一樣，激發出如此之多的價值分歧和制度衝突。滴滴公司美國上市後遭遇監管風暴，恰恰凸顯了數據跨境流動的經濟邏輯與政治邏輯、中國主權與美國主權之間的衝突。如欲理解其中的癥結所在，還需要追根溯源，迴歸到數據跨境流動的基本原理之中。

數據跨境流動的第一原理：自由流動

無邊界的網絡空間

現 代 意 義 的 數 據 深 深 嵌 入 在“ 無 邊 界 ”（borderless）的網絡空間的架構之中。在這一空間中，劃分區域的標準是 IP 地址和與之對應的域名，而非國家或地區之間的地域疆界，只要法律允許，用户就可以在全球各地登錄任何國家的網站，進入全球性的信息交流和社會互動平台。不僅如此，隨着雲存儲、雲計算、物聯網等信息技術的迭代，進一步加劇了網絡空間“無邊界性”。

流動性的數據資產

首先，數據並不稀缺，數據無處不在且源源不絕。其次，數據是“非競爭的”（non-rival）。“多重歸屬”的網絡經濟特性，將數據分散到各個網絡平台上，以至於沒有企業可以獨佔所有數據。再次，數據是高度差異化的。不同的消費者在網絡購物、在線約會、社交網絡、在線旅遊等場景下，往往導向更精確、更符合其需求的網絡服務提供者。最後，數據價值並不永久。數據是典型的時效品，老數據不如新數據值錢，而且隨着時間推移，前者越來越沒有價值。大數據與其説是“大”的數據，毋寧説是實時在線的“活”的數據。

**將數據視為類似於土地的資產並嚴格管控的做法，悖離了數據作為“流動性財產”的性質。**正如對大數據的界定所表明的，只有在人、物、組織之間高速流動的數據，才能由“數據”昇華為“數聚”， 進而進化為指導當下、預測未來、引領發展的“數據智能”。

從貨物全球化到數據全球化

數據自由流動是經濟全球化的不竭動力。數據跨境流動改變了傳統貿易和傳統製造業。跨境數據流動在 2005 年到 2015 年的十年間使全球國內生產總值增長了約 10%，2014 年達到 7.8萬億美元，數據流產生的附加值約為 2.8 萬億美元，已經超過貨物貿易的貢獻。

**各國的數據管控無疑對經濟全球化和數字經濟造成了不利影響。**國際治理創新中心（CIGI）和英國皇家國際事務研究所 2016 年的國別研究顯示，數據管控提高了巴西、中國、歐盟、印度、印度尼西亞、俄羅斯、韓國和越南的數據流動成本，並降低數字經濟生產力。歐洲國際政治經濟研究中心（ECIPE）發佈的一系列研究報告指出，數據跨境管控導致歐盟損失 0.48% 的 GDP，印度損失 0.25%、中國損失 0.55%。

數據跨境流動的第二原理：數據主權

數據主權的含義

要理解數據主權，必須從更廣義的概念——網絡主權開始。2015 年，中國國家主席習近平在第二屆世界互聯網大會的主旨演講中，將“尊重網絡主權”列為全球互聯網治理體系四項原則的核心。2016 年公佈的《網絡安全法》，第一條便開宗明義地申明“維護網絡空間主權”的立法主旨。

根據網絡空間的技術特徵，可進一步切分為：網絡物理層主權、網絡邏輯層主權和網絡數據層主權。網絡物理層主權，即國家對計算機、服務器、移動設備、路由器、光纖、交換機、移動設備的主權。網絡邏輯層主權，即國家對計算機代碼，特別是負責網絡互聯和傳輸的通信協議軟件的主權。區別於物理層和邏輯層，數據層主權則是各國論戰的主要舞台。事實上，**數據主權並非全新事物，它不過是傳統“信息主權”在數字時代的變形而已。數據所承載的信息內容關涉不同文化、特性、價值觀和意識形態，其深層次衝突難以輕易彌合。**除抽象價值之爭，數據控制者、使用者、存儲者在地理位置上的分離以及所引發的跨境流動、主體識別和權力行使是國家主權所面臨的具體困難。

基於數據主權的數據跨境流動管控

縱觀全球，數據主權的立足點包括個人權利、國家安全、公共秩序 / 公共安全和經濟發展。

其一，個人權利。1980 年經合組織《關於保護隱私和個人數據跨境流動指南》就已規定，各成員國應取消限制個人數據流動的規定，但所轉移的國家並無隱私權保護規定的不在此限。歐盟以《歐洲人權公約》為基礎，逐漸將“個人數據受保護權”上升為基本人權，成為制約數據流動的核心理由。2013 年，亞太經濟合作組織《跨境隱私規則體系》同樣將“個人信息的隱私與安全建立有意義的保護”作為數據跨境流動的前提。

其二，國家安全。不論是《服務貿易總協議》和《技術性貿易壁壘協定》，還是《全面與進步跨太平洋夥伴關係協定》（CPTPP），均秉承“國家安全例外”原則，各國不得接受或要求他國提供違反其國家重要安全利益之信息。

其三，公共秩序 / 公共安全。《跨太平洋夥伴關係協定》（TPP）第 14 章第 11 條“以電子方式跨境傳輸信息”規定，各簽署國應當允許個人數據的自由跨境流動，除非是出於“正當的公共政策目標”。歐盟《非個人數據在歐盟境內自由流動框架條例》亦確立了非個人數據在歐盟內部的自由流動原則，除非是出於“公共安全原因的限制或禁止”。

其四，經濟發展。近年來，通過數據流動管控推動本國數字產業繁榮的“數據重商主義”開始出現。以印度為例，《保護隱私、賦能印度的自由公平數字經濟》的官方報告明確指出，限制數據跨境流動有助於增加對數字基礎設施的外國直接投資，利用數據中心本地市場的積極溢出效用，創造就業機會並且培養熟練的專業人員，進而建立印度的人工智能生態系統。

數據跨境流動的深圳設計

2021 年 9 月 1 日生效的《數據安全法》第11 條確立了“數據跨境安全、自由流動”原則，這既彰顯出在逆全球化和民粹主義興起的潮流下，我國堅持對外開放與國際合作的基本立場（“自由流動”），又彰顯出對國家安全的高度關切（“數據安全”）。不過，作為頂層設計，《數據安全法》並未就“數據安全跨境流動”和“數據自由跨境流動”的平衡作出充分展開，其有賴於後續法律、法規的落實與細化。在 2020 年 7 月《深圳經濟特區數據條例 ( 徵求意見稿 )》中開創性提出了“建立數據跨境國際合作機制”，但遺憾的是，在最終稿中相關條款沒有保留。鑑於《數據安全法》第6 條已賦予各地對本地區收集和產生的數據及數據安全的管理職權，作為經濟特區和中國特色社會主義先行示範區，深圳在“用足用好經濟特區立法權”的指引下，能夠也應當在《數據安全法》的框架下創制數據跨境流動規則，發揮先試先行先探索的特區使命。在此，我們不妨藉箸代籌，提出如下構想：

基於數據分類分級原則確立分層次跨境流動規則

《數據安全法》第 21 條規定：“根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。”在數據跨境流動層面上，應按照“風險進路”原則，將數據分類分級與數據跨境流動的自由度相匹配。具體而言，可依託《深圳經濟特區數據條例》第 74 條“數據分級分類保護”制度，由市網信部門統籌協調相關主管部門和行業主管部門制定本部門、本行業的數據分級分類目錄，將跨境流動的數據分為如下四類：自由流動類、有條件流動類、限制流動類和禁止流動類。

首先，自由流動類，即不涉及重要數據、核心數據、個人數據的數據可以自由流動，不需要設置行政管制措施。其次，有條件流動類，即個人數據的跨境流動應當遵循《個人信息保護法》的規定，符合第 38、39 條個人信息出境的若干條件；若出境數據達到一定規模（如 100 萬人以上），還需要進行出境安全評估，但其評估是根據業務場景的定期評估，而非一事一議。再次，限制流動類，即關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據，以及其他主體在中國境內收集和產生的重要數據的出境，應當履行出境安全評估。對於因日常經營而進行的數據出境，該評估可以是定期評估；對於因特殊情形而進行的數據出境，該評估應一事一議。就重要數據的認定，深圳市有權在中央重要數據目錄下，確定本地區的重要數據具體目錄。最後，禁止流動類，即與國家安全、國民經濟命脈、重要民生、重大公共利益直接相關的“核心數據”，禁止出境。

立足粵港澳建立數據跨境流動自由港

如今，數據跨境流動國際秩序的地域化日益突出，通過“朋友圈”以平衡數據跨境流動的安全與自由成為重要機制。深圳作為粵港澳大灣區的中心城市之一，可以積極與香港、澳門等地協調溝通，建立互認、互操作的跨境監管框架，推動創設各地數據安全監管機構認可的中立機構、行為指南和國際標準，建設數據跨境流動自由港。為此，**深圳可以初步嘗試組織白名單制度，對於各方彼此認可的企業、組織內部或之間的數據跨境流動，除涉及“禁止流動類”數據外，其他均可自由流動。**此外，深圳還可以研究組建“深港澳數據安全流動委員會”，由深港澳各地區數據安全監管機構負責人和國家數據安全監管機構負責人或代表組成，負責制定《深港澳數據安全流動規則》及委員會議事規則，在保障數據安全、個人信息權益和隱私權、商業秘密，保守國家秘密的基礎上，促進深港澳地區數據開發、數據技術發展和科技創新合作。

總之，深圳要成為競爭力、創新力、影響力卓著的全球標杆城市，應積極參與全球數據生產供應鏈，促進數據互聯互通，增強彼此信任度與互操作性，從而為中國建立面向世界、面向未來的數字經濟貿易規則與數據治理框架，發揮先行示範的重要價值。