（騰訊研究院，北京 100080）

0 引言

在當(dāng)前網(wǎng)絡(luò)空間治理政策中，沒有哪類議題能夠像數(shù)據(jù)跨境流動一樣，包含如此之復(fù)雜的討論面向：數(shù)據(jù)主權(quán)、隱私保護(hù)、法律適用與管轄、乃至國際貿(mào)易規(guī)則。特別是在2013年斯諾登事件后，隨著安全擔(dān)憂情緒的蔓延，各國政府引入了形式多樣的本地化要求，更增加了人們對數(shù)據(jù)跨境流動政策的困惑與誤解。

本文通過對美國、歐盟等最具有代表性的數(shù)據(jù)跨境流動政策的詳細(xì)對比，提煉共性與差異，以澄清有關(guān)該政策的基本認(rèn)知。并基于歐盟制度改革中對數(shù)據(jù)跨境流動政策的反思，提出相關(guān)政策完善建議。

此外，基于中、美、歐對全球網(wǎng)絡(luò)空間治理規(guī)則的影響力，本文分析了全球數(shù)據(jù)跨境流動政策的基本走向，以及其對數(shù)字經(jīng)濟全球化運營可能帶來的深度影響，并面向企業(yè)提出相關(guān)建議。

對于身處復(fù)雜政策框架下的企業(yè)來說，不僅需關(guān)注不同規(guī)制要求，積極尋求多樣化合規(guī)渠道，更需從長遠(yuǎn)建立全球化與本土化相結(jié)合的競爭戰(zhàn)略。

1 關(guān)于討論前提的兩點澄清

1.1 數(shù)據(jù)跨境流動政策與數(shù)據(jù)本地化措施的關(guān)系：本地化并不意味著絕對禁止數(shù)據(jù)跨境流動

數(shù)據(jù)跨境流動政策是指一國（或地區(qū)）政府針對數(shù)據(jù)通過信息網(wǎng)絡(luò)跨越邊境的傳輸、處理活動所采取的基本立場以及配套管理措施的集合①這一界定基本符合當(dāng)前數(shù)據(jù)跨境流動政策討論需要，也具有概念定義的連續(xù)性。關(guān)于“數(shù)據(jù)跨境流動”相關(guān)概念最早正式出現(xiàn)于1980年OECD 《關(guān)于隱私保護(hù)與個人數(shù)據(jù)跨國流通指南》，其中對個人數(shù)據(jù)的跨境流動做了簡單解釋，個人數(shù)據(jù)的跨境流動是指個人數(shù)據(jù)跨越國界的運動。（“trans-border flows of personal data” means movements of personal data across national borders.);1982年聯(lián)合國跨國公司中心對跨境數(shù)據(jù)流動（Trans-border Data Flow）的界定是：跨越國界對存儲在計算機中的機器可讀的數(shù)據(jù)進(jìn)行處理、存儲和檢索。我國信息化專家周宏仁在其專著《信息化論》中也將跨境數(shù)據(jù)流表述為數(shù)據(jù)通過計算機通信系統(tǒng)跨越邊境的運動。。盡管互聯(lián)網(wǎng)信息網(wǎng)絡(luò)對數(shù)據(jù)的傳輸邊際成本極低，互聯(lián)網(wǎng)基礎(chǔ)協(xié)議能夠確定網(wǎng)絡(luò)任意兩點之間傳輸數(shù)據(jù)包的最快路徑，也并不以地理邊境為界，但各國出于隱私、安全等考慮，對從技術(shù)上完全可實現(xiàn)的“數(shù)據(jù)自由流動”現(xiàn)象②“信息自由流動”是互聯(lián)網(wǎng)的技術(shù)基因，萬維網(wǎng)的發(fā)明人Tim Berners-Lee，在一開始并沒有選擇將萬維網(wǎng)專利化，也主要是擔(dān)心這會限制互聯(lián)網(wǎng)的信息自由流動 。從政策層面作出不同程度的干預(yù)。

“數(shù)據(jù)跨境流動政策”這一表述本身是中性且廣義的，它包含了從開放到保守不同立場傾向的政策類型。同時，它既可以針對數(shù)據(jù)流出境內(nèi)的場景（如歐盟對于個人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的管理框架）；也可以適用于數(shù)據(jù)流入境內(nèi)的場景（如出于保護(hù)公共利益需要，對于兒童色情、侵害知識產(chǎn)權(quán)等數(shù)據(jù)，采取措施禁止本國居民通過網(wǎng)絡(luò)訪問獲得③考慮到本文旨在討論“數(shù)據(jù)本地化措施”潮流之后的數(shù)據(jù)跨境政策走向，因此也將更多著眼于針對數(shù)據(jù)“流出”場景的政策分析。）。

相比之下，數(shù)據(jù)本地化措施從概念本身則狹義許多。它是指：出于本國公民隱私保護(hù)、國家數(shù)據(jù)安全，以及執(zhí)法便利等目的，要求數(shù)據(jù)在境內(nèi)存儲、處理的管理要求集合。當(dāng)然，數(shù)據(jù)本地化措施也可以包含寬嚴(yán)程度不同的類型，通常有：（1）僅要求在當(dāng)?shù)赜袛?shù)據(jù)備份，而并不對跨境提供作出過多限制④例如俄羅斯在數(shù)據(jù)本地化執(zhí)法初期，曾一度澄清只要機構(gòu)在俄境內(nèi)存有數(shù)據(jù)副本，則個人數(shù)據(jù)可自由傳輸至境外。見http://www.law360.com/articles/698895/3-things-to-know-about-russia-s-new-data-localization-law .，（2）數(shù)據(jù)留存在當(dāng)?shù)?，且對跨境提供有限制⑤如中國《網(wǎng)絡(luò)安全法》第三十七條針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的數(shù)據(jù)本地化要求。；（3）要求特定類型的數(shù)據(jù)留存在境內(nèi)⑥如澳大利亞2012年《個人控制的電子健康記錄法》。規(guī)定除非特定的例外情況，禁止健康數(shù)據(jù)轉(zhuǎn)移到國外。第77條第一款規(guī)定：“……相關(guān)主體不得(a)在澳大利亞境外持有、獲取該數(shù)據(jù)；（b)在澳大利亞境外處理或處置與該數(shù)據(jù)相關(guān)的信息；（C）致使或者允許他人在澳大利亞境外持有、獲取該數(shù)據(jù)，或在澳大利亞境外處理與該數(shù)據(jù)相關(guān)的信息。；（4）數(shù)據(jù)留存在境內(nèi)的自有設(shè)施上⑦如中國對外資開放的部分電信業(yè)務(wù)中關(guān)于設(shè)施本地化的要求。，等等。

因此， 盡管“數(shù)據(jù)本地化”措施正在成為當(dāng)前全球網(wǎng)絡(luò)空間治理中的一股潮流，但它仍然僅代表了數(shù)據(jù)跨境流動政策的一種方向。而且鑒于“數(shù)據(jù)本地化”政策的豐富類型，本地化并不意味著絕對禁止數(shù)據(jù)的跨境流動，有相當(dāng)部分的數(shù)據(jù)本地化政策仍然給出了很多例外。

1.2 數(shù)據(jù)跨境流動政策適用的數(shù)據(jù)類型：主要圍繞個人數(shù)據(jù)

關(guān)于數(shù)據(jù)跨境流動政策的討論最早始于個人數(shù)據(jù)保護(hù)法律領(lǐng)域。個人數(shù)據(jù)保護(hù)的國際綱領(lǐng)性文件——1980年經(jīng)合組織《關(guān)于保護(hù)隱私和個人數(shù)據(jù)跨境流動指南》，內(nèi)容主要分為“國內(nèi)適用的基本原則”及“國際間適用的基本原則”。后者解決的即是個人數(shù)據(jù)跨境流動問題⑧指南要求：成員國不得不合理的限制數(shù)據(jù)在本國和另一成員國之間的流動。。進(jìn)入“后斯諾登”時代，新一輪的數(shù)據(jù)跨境流動政策對數(shù)據(jù)類型有所擴展。但從各國政策的總體觀察而看，政策對象仍以個人數(shù)據(jù)為主[1]，在有限的案例中擴展至其他數(shù)據(jù)①例如：俄羅斯2014年新修訂的《關(guān)于信息、信息技術(shù)和信息保護(hù)法》中規(guī)定，“自網(wǎng)民接受、傳遞、發(fā)送和（或）處理語音信息、書面文字、圖像、聲音或者其他電子信息六個月內(nèi)，互聯(lián)網(wǎng)信息傳播組織者必須在俄羅斯境內(nèi)對上述信息及網(wǎng)民個人信息進(jìn)行保存。這一規(guī)定不以個人信息為限，但仍與網(wǎng)民的活動信息相關(guān)。。

國內(nèi)關(guān)于數(shù)據(jù)跨境流動政策的部分研究文獻(xiàn)將政府?dāng)?shù)據(jù)納入，并基于政府?dāng)?shù)據(jù)類型，提出相應(yīng)的跨境流動管理策略。此類認(rèn)知需予以澄清。實際上政府?dāng)?shù)據(jù)中涉及國家秘密乃至安全的部分，在屬性上已經(jīng)提出了更高保密性要求，禁止跨境流動本就是應(yīng)有之義；不涉及國家秘密的部分，如果具備公開屬性，則應(yīng)納入政府?dāng)?shù)據(jù)開放調(diào)整范圍，也不牽涉跨境數(shù)據(jù)管理問題。而歸根結(jié)底，政府?dāng)?shù)據(jù)無論是否具有保密屬性，都具有在本地存儲的天然特點，絕大部分也不具有跨境流動的商業(yè)化需求。因此，在數(shù)據(jù)跨境政策討論中，提出政府?dāng)?shù)據(jù)類別，對于認(rèn)知數(shù)據(jù)跨境流動政策并無特別意義②這與政府?dāng)?shù)據(jù)本地化要求并不沖突。很多國家與地區(qū)提出了政府?dāng)?shù)據(jù)應(yīng)存儲于本地的要求，這仍然是出于政府?dāng)?shù)據(jù)自身特點和數(shù)據(jù)安全的天然需要。這與商業(yè)環(huán)境下，因跨境提供服務(wù)或跨境整合數(shù)據(jù)而產(chǎn)生的數(shù)據(jù)流動存在明顯差異。。

綜上，本文聚焦于各國針對經(jīng)貿(mào)往來中，基于商業(yè)目的的數(shù)據(jù)跨境流動政策分析。

2 美歐數(shù)字跨境政策發(fā)展概況及差異

數(shù)據(jù)跨境流動是經(jīng)濟全球化與數(shù)字化的伴生物。美、歐基于各自政治、經(jīng)濟、法律傳統(tǒng)等因素考量，在不同的歷史背景下，發(fā)展出特色鮮明的數(shù)據(jù)跨境流動政策。

2.1 美國數(shù)據(jù)跨境流動政策主要由貿(mào)易利益驅(qū)動

美國在克林頓政府時期，就已形成對數(shù)據(jù)跨境流動問題的初步策略。1997年《全球電子商務(wù)框架》[2]提出：“只有當(dāng)個人隱私和信息自由流動帶來的利益取得平衡時，全球信息基礎(chǔ)設(shè)施才可能興旺起來。美國支持為用戶提供恰當(dāng)?shù)碾[私保護(hù)，以提升用戶使用互聯(lián)網(wǎng)服務(wù)的信心，但各國在公民隱私保護(hù)方面迥然不同的政策，有可能會形成非關(guān)稅貿(mào)易壁壘?！?/p>

對此，美國采取以下策略：（1）依據(jù)個人隱私保護(hù)基本原則③主要指美國合理使用信息原則（Fair Information Practice Principle ,FIPP）它是美國在消費者隱私保護(hù)與個人信息保護(hù)監(jiān)管中所應(yīng)用的重要原則。會同其主要貿(mào)易伙伴推進(jìn)符合市場需求的個人隱私政策。（2）繼續(xù)與歐盟進(jìn)行對話討論以解決數(shù)據(jù)流動問題；（3）通過雙、多邊討論以及地區(qū)性論壇④包括：如亞太經(jīng)濟合作(APEC)論壇、美洲首腦會議(the summit for Americas)、北美自由貿(mào)易協(xié)定(NAFTA)等機制。，就跨境流動問題展開對話。

二十年來，美國在以上三方面取得不同進(jìn)展。首先，盡管與歐盟在個人數(shù)據(jù)保護(hù)路徑上存在明顯分歧，2015年歐洲法院甚至廢除了美歐執(zhí)行已逾15年的歐美安全港，但不可否認(rèn)的是，二者之間的政策分歧從未實質(zhì)性影響跨大西洋數(shù)據(jù)流動。直至2016年新隱私盾協(xié)議的達(dá)成，也仍舊為歐美實現(xiàn)數(shù)據(jù)流動提供了積極機制[3]，目前包括Google 、Facebook, 微軟等2500家美國公司的跨境數(shù)據(jù)傳輸仍依賴于該機制[4]；其次，雙、多邊貿(mào)易協(xié)議已成為美國推進(jìn)其數(shù)據(jù)流動政策的主要渠道。2012年《美-韓自由貿(mào)易協(xié)定》，第一次在貿(mào)易協(xié)定電子商務(wù)章節(jié)中規(guī)定了跨境數(shù)據(jù)流動規(guī)則。TPP談判盡管美國已退出[5]，但由其提出的跨境數(shù)據(jù)流動規(guī)則已成為不少國際協(xié)定電子商務(wù)章節(jié)的范本①其14.11條規(guī)定了通過電子方式進(jìn)行的跨境信息傳輸。第1款指出“各締約方認(rèn)識到每一締約方對于通過電子方式跨境傳輸信息可能有各自的監(jiān)管要求”。第2款規(guī)定“當(dāng)通過電子方式跨境傳輸信息是為所涵蓋的主體執(zhí)行其業(yè)務(wù)時，締約方應(yīng)允許此跨境傳輸，包括個人信息”。同時，本條第3款指出“本條不得禁止締約各方為實現(xiàn)合法公共政策目標(biāo)而采取或維持與第2款不符的措施，前提是該措施：（1）其實施并未構(gòu)成任意或不合理的歧視或構(gòu)成對貿(mào)易的變相限制；及（2）對信息傳輸所施加的限制并未超過為實現(xiàn)合法目標(biāo)所必需的限度?！保淮送?，美國通過亞太合作組織（APEC），積極推進(jìn)《APEC跨境隱私規(guī)則體系》（CBPRs），該體系倡導(dǎo)數(shù)據(jù)治理規(guī)則的實用性，對于通過CBPR認(rèn)證的企業(yè)，被認(rèn)為滿足了隱私保護(hù)要求，可以在APEC區(qū)域內(nèi)實現(xiàn)自由的跨境數(shù)據(jù)傳輸②截止目前，APEC成員美國、墨西哥和日本進(jìn)入了加入CBPR體系的不同階段，加拿大表示即將啟動加入程序。。

2.2 歐盟在人權(quán)項下考慮數(shù)據(jù)跨境流動政策

與美國將數(shù)據(jù)跨境政策與貿(mào)易政策深度捆綁不同，歐盟更多是從個人權(quán)利保護(hù)項下考慮數(shù)據(jù)流動。歐盟1995年《關(guān)于個人數(shù)據(jù)處理保護(hù)與自由流動指令》規(guī)定：歐盟公民的個人數(shù)據(jù)只能向那些與歐盟數(shù)據(jù)保護(hù)水平相同的國家或地區(qū)流動。如果數(shù)據(jù)接收國的法律水平?jīng)]有達(dá)到歐盟委員會認(rèn)可的標(biāo)準(zhǔn)，有兩種替代方式也可實現(xiàn)轉(zhuǎn)移：一類是例外場景，如取得了數(shù)據(jù)主體的明確同意，或該轉(zhuǎn)移是為了履行與數(shù)據(jù)主體之間的協(xié)議所必需等；另一類是企業(yè)能夠證明已采取了充分的保障措施情形③歐盟1995年《個人數(shù)據(jù)保護(hù)指令》第5 章，第25，26 ，27 條的規(guī)定。。

此外，歐盟也通過在全球積極推廣其個人數(shù)據(jù)保護(hù)制度，不斷擴展可以實現(xiàn)數(shù)據(jù)自由流動的地區(qū)。1981 年，歐洲理事會各成員國簽署歐洲《有關(guān)個人數(shù)據(jù)自動化處理之個人保護(hù)公約》（歐洲第108號公約）。加入公約，意味著要建立與歐盟相似的個人數(shù)據(jù)保護(hù)立法，將被視為滿足歐盟跨境數(shù)據(jù)流動 “充分性保護(hù)”標(biāo)準(zhǔn)的重要參考。特別自2010年以來，歐盟加速推進(jìn)公約的全球化進(jìn)程，目前已有46個國家加入公約[6]。

與美歐相比，中國、巴西等國家更多從維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)為目的出發(fā)，制定跨境數(shù)據(jù)流動政策。包括中國、越南、巴西等在內(nèi)的發(fā)展中國家，也包括澳大利亞、加拿大等發(fā)達(dá)國家在不同程度均提出了數(shù)據(jù)本地化措施。此類措施對服務(wù)貿(mào)易全球化可能帶來消極影響[7]，但卻能在一定程度上保障國家信息安全，特別是從執(zhí)法層面，為國家行使司法主權(quán)提供依托。

2.3 美歐數(shù)據(jù)跨境流動政策的具體實施機制有較大差異

美國的數(shù)據(jù)跨境政策也體現(xiàn)出較強的實用靈活性；歐盟政策圍繞公民權(quán)利而展開，但具體實施機制仍在完善之中。

2.3.1 美國

美國在國際上推行寬松的數(shù)據(jù)跨境流動政策，首先需要本國示范。因此在美國一般立法中,難以觀察到禁止或者限制數(shù)據(jù)跨境流動的明確要求④如前文明確，國家秘密及政府?dāng)?shù)據(jù)不在本文討論范圍，因此本文不討論美國《出口管制條例》中涉及的美國技術(shù)秘密部分的數(shù)據(jù)管理要求，以及聯(lián)邦政府?dāng)?shù)據(jù)安全管理框架Fedramp .此處所介紹的美國數(shù)據(jù)跨境政策，主要指向經(jīng)貿(mào)往來中，商業(yè)目的的數(shù)據(jù)跨境流動政策。。但在一些特定案例中，美國也留有了一定的政策回轉(zhuǎn)空間。例如：美國針對外國投資安全審查中，可以與外國投資者簽訂安全協(xié)議，而安全協(xié)議可能包括相關(guān)的數(shù)據(jù)本地化要求。關(guān)于數(shù)據(jù)本地化要求的執(zhí)行落地，也通常會由CIFUS指定的特定政府部門來負(fù)責(zé)監(jiān)督執(zhí)行。

2.3.2 歐盟

歐盟數(shù)據(jù)跨境轉(zhuǎn)移政策主要體現(xiàn)在個人數(shù)據(jù)保護(hù)制度中，相應(yīng)地，其實施機制也依附于個人數(shù)據(jù)保護(hù)執(zhí)法體系。如上述，數(shù)據(jù)控制者①數(shù)據(jù)控制者是歐盟數(shù)據(jù)保護(hù)法規(guī)范的主體，是指獨自或者與他人一起決定個人數(shù)據(jù)處理的目的和方法的自然人、法人、公共機關(guān)、機構(gòu)或其他組織。實施個人數(shù)據(jù)跨境流動活動時，有三種合法方式：（1）數(shù)據(jù)傳輸至“充分性認(rèn)定”地區(qū)；（2）例外場景（包括用戶同意，或者執(zhí)行合同需要等）；（3）充分保障措施。考慮到“例外情形”可適用場景少，并不能夠為日?；?、規(guī)?；臄?shù)據(jù)跨境轉(zhuǎn)移提供穩(wěn)定的合法性基礎(chǔ)[8]，以下主要介紹“充分性認(rèn)定機制”和“充分保障措施”機制。

“充分性認(rèn)定”是一個白名單機制。歐盟委員會負(fù)責(zé)根據(jù)第三國的個人信息保護(hù)立法狀況、執(zhí)法能力，以及是否存在有效的救濟機制等因素，做出綜合評估。截止到目前為止，僅有阿根廷、加拿大等不超過20個國家或地區(qū)通過了歐委會認(rèn)定②歐盟委員會目前已認(rèn)可以下國家達(dá)到了歐盟的“充分性保護(hù)”標(biāo)準(zhǔn)，包括：安道爾，阿根廷，加拿大（商業(yè)組織），法羅群島，根西島，以色列，馬恩島，澤西島，新西蘭，瑞士和烏拉圭。。此外，對于美國這一重要的貿(mào)易伙伴，歐盟還發(fā)展出“安全港框架”，以便針對性的解決與美國之間的數(shù)據(jù)流動問題。

充分保障措施主要體現(xiàn)為“標(biāo)準(zhǔn)合同文本”機制（Standard Clauses Contract，SCC）和“有約束力公司規(guī)則”機制（Binding Corporate Rule，BCR）。對于前者，截止到目前，歐委會已經(jīng)形成了三個合同范本，分別適用于“數(shù)據(jù)控制者到數(shù)據(jù)控制者之間的轉(zhuǎn)移”、“數(shù)據(jù)控制者到數(shù)據(jù)處理者之間的轉(zhuǎn)移”③Available at http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm。此類合同范本通過規(guī)定數(shù)據(jù)輸出方和數(shù)據(jù)接收方基于合同的數(shù)據(jù)保護(hù)責(zé)任④例如規(guī)定：數(shù)據(jù)主體因合同雙方違反數(shù)據(jù)保護(hù)義務(wù)而造成的損害，有權(quán)向合同雙方獲得損害賠償。合同雙方同意，只有在證明任何一方對該條款的違反均沒有責(zé)任的情況下，才能免除雙方的賠償責(zé)任。，來間接提供對個人的保護(hù)機制；對于后者——“有約束力的公司規(guī)則”則是集團(tuán)型跨國企業(yè)可優(yōu)先考慮的機制，集團(tuán)遵循一套完整的，經(jīng)個人數(shù)據(jù)監(jiān)管機構(gòu)認(rèn)可的數(shù)據(jù)處理機制，則該集團(tuán)內(nèi)部整體成為一個“安全港”，個人數(shù)據(jù)可以從集團(tuán)內(nèi)的一個成員合法傳輸給另一個成員。目前，包括埃森哲、寶馬汽車、惠普、摩托羅拉等72家跨國公司獲得了歐盟BCR認(rèn)可⑤Available at http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm。

由于通過充分性認(rèn)定的國家總是少數(shù)，因此充分保障措施機制是歐盟各國數(shù)據(jù)保護(hù)機構(gòu)在跨境數(shù)據(jù)流動管理中最為主要的抓手。

3 數(shù)據(jù)跨境政策面臨的共性問題及對中國的參考建議

盡管在政策目標(biāo)上具有明顯差異，但美歐在數(shù)據(jù)跨境流動政策中也面臨最為基礎(chǔ)的共性問題——如何在全球化的數(shù)字經(jīng)濟中有效達(dá)成數(shù)據(jù)跨境流動監(jiān)管目標(biāo)？特別是在數(shù)據(jù)跨境流動成為普遍趨勢的背景下，對數(shù)據(jù)跨境活動的干預(yù)愈深，這一問題帶來的挑戰(zhàn)就愈大。

美國憑借其在技術(shù)、產(chǎn)業(yè)優(yōu)勢以及靈活的監(jiān)管制度優(yōu)勢，在數(shù)據(jù)跨境伴生而來的隱私保護(hù)、數(shù)據(jù)安全問題并無特別擔(dān)憂，因此僅建立了個案式的、事后監(jiān)管機制，此類機制最大程度地避免了對數(shù)據(jù)跨境流動的干預(yù)，同時也能有效贏得美貿(mào)易利益和安全利益的雙贏。美國面臨的困境是在全球推行數(shù)據(jù)自由流動時，難以提出對“數(shù)據(jù)本地化”進(jìn)行限制的合理標(biāo)準(zhǔn)，畢竟國際貿(mào)易規(guī)則中將安全和公共利益作為了基本例外[9]。

而對于中歐來說，對安全和隱私的擔(dān)憂卻是真實存在著的，因此二者也相應(yīng)地建立了普適性的數(shù)據(jù)跨境流動管理機制[10]。由于中國仍處于制度建設(shè)期，尚無法觀察其實踐效果，但實施有二十余年的歐盟數(shù)據(jù)跨境轉(zhuǎn)移管理機制則較為全面地呈現(xiàn)了其所面臨的實際困境。

3.1 歐盟數(shù)據(jù)跨境流動政策的困境與改良

歐盟2012年啟動個人數(shù)據(jù)保護(hù)立法改革時，曾全面梳理了現(xiàn)有的個人數(shù)據(jù)保護(hù)制度呈現(xiàn)出的種種缺陷。其中最為突出的問題即是：日益增長的全球數(shù)據(jù)流動與現(xiàn)有監(jiān)管制度之間的不適應(yīng)。幾乎所有的歐盟企業(yè)都涉及到向歐盟境外傳輸數(shù)據(jù)，然而1995指令中關(guān)于跨境流動的規(guī)則早已難以適應(yīng)數(shù)據(jù)國際流動[11]。

正如批評意見認(rèn)為：歐盟對個人信息的跨境轉(zhuǎn)移設(shè)置嚴(yán)格條件類似于虛幻假象，因為它假象歐盟的標(biāo)準(zhǔn)能覆蓋到除歐盟以外的全球各處，但實際情形并非如此[12]。的確，歐盟跨境數(shù)據(jù)轉(zhuǎn)移管理的三類方式均已捉襟見肘。因此，歐盟即將生效的個人數(shù)據(jù)保護(hù)新法規(guī)——《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Rules，GDPR）對跨境數(shù)據(jù)流動政策進(jìn)行了大幅優(yōu)化改革，特別著力于提升政策的靈活度：

（1）明確禁止各成員國不得以許可方式管理跨境數(shù)據(jù)流動。多年的實踐表明，歐盟各成員國對跨境流動采取的許可管理方式并沒有實質(zhì)性的提升個人信息出境的保護(hù)水平，相反，事前許可制度卻帶來官僚主義問題。因此，2016年《數(shù)據(jù)保護(hù)通用條例》重點簡化了數(shù)據(jù)跨境傳輸機制，明確禁止了許可管理做法，只要符合了《條例》中跨境數(shù)據(jù)流動的合法條件，則成員國不得再通過許可方式予以限制。

（2）增加了充分性認(rèn)定的對象類型。除了對國家可以作出評估外，還可以對一國內(nèi)的特定地區(qū)、行業(yè)領(lǐng)域以及國際組織的保護(hù)水平作出評估判斷，以進(jìn)一步擴展通過“充分性”決定（adequate decision）覆蓋的地區(qū)。

（3） 擴展“標(biāo)準(zhǔn)合同條款”，除了保留目前已生效的3個標(biāo)準(zhǔn)合同范文。《條例》增加了成員國數(shù)據(jù)監(jiān)管機構(gòu)可以指定其他標(biāo)準(zhǔn)合同條款的渠道，以為企業(yè)提供更多的，符合實際需求的跨境轉(zhuǎn)移合同文本選擇。

（4） 發(fā)揮行業(yè)協(xié)會等第三方監(jiān)督與市場自律作用。條例規(guī)定數(shù)據(jù)控制者可以成立協(xié)會并提出所遵守的詳細(xì)行為準(zhǔn)則（codes of conduct）。該行為準(zhǔn)則經(jīng)由成員國監(jiān)管機構(gòu)或者歐盟數(shù)據(jù)保護(hù)委員認(rèn)可后，可通過有約束力的承諾方式生效。此外，經(jīng)認(rèn)可的市場認(rèn)證標(biāo)志也可以作為數(shù)據(jù)跨境轉(zhuǎn)移的合法機制。

3.2 歐盟經(jīng)驗對中國的參考意義

3.2.1 中國數(shù)據(jù)跨境流動政策發(fā)展概況

2016年11月出臺的《網(wǎng)絡(luò)安全法》首次以國家法律形式明確了中國數(shù)據(jù)跨境流動基本政策。其中第三十七條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

中國數(shù)據(jù)跨境流動政策更多是在斯諾登事件后，基于國家網(wǎng)絡(luò)安全視角而提出。但實際上這種政策視角在2013年前已顯露雛形。如2011年中國人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護(hù)工作的通知》已要求個人金融信息的儲存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進(jìn)行；2013年《征信業(yè)管理條例》規(guī)定征信機構(gòu)對在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進(jìn)行；此后，處于數(shù)據(jù)安全目的，本地化要求進(jìn)一步被寫入網(wǎng)絡(luò)監(jiān)管立法中，除《網(wǎng)絡(luò)安全法》外，包括：2014年國家衛(wèi)計委頒布《人口健康信息管理辦法（試行）》、2015年《地圖管理條例》、2016年《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、2016年《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》等都不同程度提出了數(shù)據(jù)本地化要求。正在制定中的《個人信息和重要數(shù)據(jù)出境安全評估辦法》及其配套的標(biāo)準(zhǔn)指南也將全面搭建起數(shù)據(jù)出境管理框架。

中歐均對日益增長的數(shù)據(jù)跨境流動采取干預(yù)措施，歐盟所積累的政策經(jīng)驗與教訓(xùn)對中國而言具有重要參考價值。特別與歐盟相比，中國對數(shù)據(jù)跨境流動活動的干預(yù)似乎更深更直接，更需要深度考量如何采取科學(xué)有效機制，以有效平衡數(shù)據(jù)流動與安全利益。

其一，“許可”等事前監(jiān)管機制已被證明固有的局限性。一方面，它與全球化數(shù)字經(jīng)濟的發(fā)展趨勢極不適應(yīng)。數(shù)據(jù)的跨境流動并不是遵循特定路徑，而是通過多種方式、多種渠道，例如E-mail、即時通信、提供數(shù)據(jù)庫訪問權(quán)限，或者是通過內(nèi)部網(wǎng)絡(luò)進(jìn)行交換。傳統(tǒng)的許可管理方式與此格格不入。事前建立一刀切的許可門檻，并不有助于監(jiān)管目標(biāo)的實現(xiàn)，而往往只是增加形式上的行政負(fù)擔(dān)。當(dāng)然，在國內(nèi)此前公布的數(shù)據(jù)出境文件征求意見稿中，監(jiān)管機構(gòu)也已然關(guān)注到了這一問題，引入了企業(yè)自評估機制，并體現(xiàn)出將政府評估作為事中、事后監(jiān)管的思路。

其二， 要為“合理有序的數(shù)據(jù)流動”提供盡可能豐富的合法渠道。歐盟數(shù)據(jù)跨境政策的改革方向表明，如果不能提供多樣化的有效合法跨境渠道，則無法向市場傳達(dá)政策方向，從而能夠引導(dǎo)企業(yè)通過可預(yù)期的穩(wěn)定機制在實現(xiàn)自身的數(shù)據(jù)跨境需求時，同時實現(xiàn)監(jiān)管者設(shè)定的用戶隱私、數(shù)據(jù)安全目標(biāo)。這也是歐盟在對數(shù)據(jù)跨境流動機制進(jìn)行改革時，重點落腳于增加有效渠道的根本原因。

3.2.2 中國可借鑒的有益做法

我國目前初步建立的數(shù)據(jù)跨境流動政策，如將數(shù)據(jù)出境安全評估作為單一合規(guī)機制，在現(xiàn)實中恐難以適應(yīng)海量數(shù)據(jù)跨境管理需求。建議參考?xì)W盟及其他國家經(jīng)驗，設(shè)立符合我國國情需要的多樣化合法流動機制，例如：

（1）建立白名單機制。根據(jù)個人信息保護(hù)狀況及對等措施，將部分地區(qū)納入可自由流動的國家與地區(qū)①例如：2017年4月27日，馬來西亞公布個人信息傳輸?shù)陌酌麊危ú莅福?，其中包括中國在?nèi)的23個國家和地區(qū)，認(rèn)定為準(zhǔn)許接收跨境個人數(shù)據(jù)的目的地。See :Malaysia publishes draft "White List" for personal data exports,available at :https://www.hoganlovells.com/en/publications/malaysia-publishes-draft-white-list-for-personal-data-exports.?？紤]到短期內(nèi)各國無法形成相互協(xié)調(diào)的數(shù)據(jù)流動政策體系，因此，數(shù)據(jù)跨境流動政策將深度嵌入雙、多邊的貿(mào)易投資談判。在國與國之間、區(qū)域與區(qū)域之間體現(xiàn)出多樣性、靈活性，形成不同解決方案[13]。如我國近鄰日本、韓國，已分別啟動與美歐的數(shù)據(jù)跨境流動雙邊談判②EU aims for data transfer deal with Japan, South Korea，available at https://ec.europa.eu/newsroom/document.cfm?doc_id=41.,預(yù)計在2018年之前，日韓將分別與歐洲達(dá)成充分性保護(hù)互認(rèn)協(xié)議，同時，由于日韓均已加入美國主導(dǎo)的APEC跨境數(shù)據(jù)流動CBPR機制，日韓與美國的數(shù)據(jù)流動也具備順暢渠道。預(yù)計此類區(qū)域性的數(shù)據(jù)流動協(xié)議在未來將成為解決數(shù)據(jù)流動的主要途徑之一。

（2）根據(jù)安全評估的主要標(biāo)準(zhǔn)，建立指引性的數(shù)據(jù)跨境流動協(xié)議范本，類似于歐盟標(biāo)準(zhǔn)合同范本，引導(dǎo)企業(yè)在數(shù)據(jù)出境中，通過合同法律機制來管控數(shù)據(jù)出境風(fēng)險。

（3）鼓勵行業(yè)協(xié)會及其他自律組織參與安全評估。作為市場機制補充，在安全評估中發(fā)揮作用，從而建立可落地實施，具有活力的數(shù)據(jù)管理秩序。

（4）對不同性質(zhì)的數(shù)據(jù)采取分類管理方法。不僅區(qū)分個人數(shù)據(jù)、重要數(shù)據(jù)，形成對應(yīng)的跨境流動管理策略，也可進(jìn)一步在管理實踐中，根據(jù)數(shù)據(jù)的安全屬性進(jìn)行梯度性管理。

綜上，在信息通信技術(shù)與經(jīng)濟全球化深度耦合背景下，應(yīng)當(dāng)承認(rèn)：數(shù)據(jù)的跨境流動是絕對的，而對數(shù)據(jù)流動的限制是相對的。后者是手段，前者是目標(biāo)。正如在數(shù)據(jù)出境安全評估指南制定過程中，有關(guān)專家指出：安全評估的實質(zhì)是服務(wù)于數(shù)據(jù)出境，是在保障安全的前提下促進(jìn)數(shù)據(jù)的跨境流動?？傊侠淼臄?shù)據(jù)跨境流動政策應(yīng)該秉承適度性原則或必要性原則，在貿(mào)易、發(fā)展與安全利益的相互權(quán)衡之下，尋求最大公約數(shù)。

4 復(fù)雜的數(shù)據(jù)流動政策對跨境業(yè)務(wù)的影響

基于中美歐政策之間的巨大鴻溝，在全球范圍內(nèi)形成協(xié)調(diào)一致的跨境數(shù)據(jù)流動政策還很遙遠(yuǎn)。除了“數(shù)據(jù)自由流動”與“數(shù)據(jù)本地化”之間的沖突，歐美中數(shù)據(jù)流動機制的具體差異，也決定了在未來一定時期，涉及數(shù)據(jù)跨境流動的企業(yè)需要面臨復(fù)雜的政策環(huán)境，這不僅直接關(guān)系業(yè)務(wù)合規(guī)，而且也對成本負(fù)擔(dān)、技術(shù)架構(gòu)乃至戰(zhàn)略布局帶來深度影響。

首先，包括本地化在內(nèi)的各類數(shù)據(jù)跨境流動政策，對依賴全球數(shù)據(jù)聚合的業(yè)務(wù)帶來影響。包括傳統(tǒng)的業(yè)務(wù)類型，例如：金融行業(yè)，跨國銀行集團(tuán)需要建立集中化的數(shù)據(jù)處理中心；跨境物流行業(yè)，集團(tuán)通過匯聚全球數(shù)據(jù)來高效調(diào)配物流資源。此類業(yè)務(wù)的數(shù)據(jù)集中都將面臨挑戰(zhàn)。換言之，物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)應(yīng)用在技術(shù)上完全可實現(xiàn)全球數(shù)據(jù)資源的匯集、并通過對數(shù)據(jù)的加工分析，創(chuàng)造出新的經(jīng)濟價值，而全球割裂的數(shù)據(jù)跨境流動政策將直接影響著此類業(yè)務(wù)的效率，甚至是業(yè)務(wù)模式本身能否持續(xù)開展。

其次，相比于大型企業(yè)，中小企業(yè)受到的沖擊更大。大型企業(yè)往往在數(shù)據(jù)中心部署方面更具優(yōu)勢，可以利用充沛資源和技術(shù)方案實現(xiàn)合規(guī)要求，而處于發(fā)展起步階段的中小企業(yè)，在跨境業(yè)務(wù)中部署數(shù)據(jù)本地化方案將不是一個輕松的決定，這在一定程度上反映了數(shù)據(jù)本地化政策帶來的市場競爭效應(yīng)，其政策門檻削弱了中小企業(yè)對跨境業(yè)務(wù)的參與度和市場創(chuàng)新能力。

再次，“數(shù)據(jù)本地化”政策對沒有本地化需求的跨境業(yè)務(wù)帶來負(fù)擔(dān)。盡管在信息通信服務(wù)領(lǐng)域，“靠近用戶”會驅(qū)動服務(wù)商將數(shù)據(jù)中心建立在本地，提升數(shù)據(jù)傳輸速率，為用戶帶來更好服務(wù)體驗。但不容否認(rèn)，仍有大量業(yè)務(wù)場景并不需要考慮這一因素，反而更關(guān)切因為數(shù)據(jù)本地化帶來的負(fù)擔(dān)成本。例如：面向境外用戶提供旅行產(chǎn)品訂購的網(wǎng)站，在初創(chuàng)期可能并不需要考慮在服務(wù)本地部署數(shù)據(jù)中心；又或者一些數(shù)據(jù)容災(zāi)備份的安全服務(wù)，對數(shù)據(jù)傳輸響應(yīng)速度并無特殊需求，也往往并不需要將數(shù)據(jù)部署在本地。

5 數(shù)據(jù)跨境流動合規(guī)建議

當(dāng)前，不僅金融、電信、互聯(lián)網(wǎng)等跨境服務(wù)離不開數(shù)據(jù)跨境傳輸支撐，包括制造業(yè)、醫(yī)療健康乃至農(nóng)業(yè)生產(chǎn)等更多傳統(tǒng)產(chǎn)業(yè)也產(chǎn)生了大量的數(shù)據(jù)跨境需求。例如：飛機制造商波音公司通過其遍布全球的飛機和航線服務(wù)，建立了全面的數(shù)據(jù)收集系統(tǒng)，用于發(fā)現(xiàn)和診斷問題航班。我國重型機械生產(chǎn)制造企業(yè)三一重工也通過對裝備運行信息的實時采集，提供遠(yuǎn)程跨境診斷服務(wù)。涉及數(shù)據(jù)跨境流動企業(yè)需要建立完善的合規(guī)體系，為業(yè)務(wù)提供法律基礎(chǔ)保障。

5.1 關(guān)注本地數(shù)據(jù)跨境流動政策目的及嚴(yán)苛程度

各國數(shù)據(jù)跨境流動政策目標(biāo)決定了其嚴(yán)格程度和具體要求上的差別。例如以數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)安全為驅(qū)動的數(shù)據(jù)跨境政策，在跨境管理上會趨向于嚴(yán)苛，不僅要求在本地存儲，也對向境外提供采取了嚴(yán)格限制措施，涉及的數(shù)據(jù)范圍也更為廣泛，對企業(yè)運營帶來更深度影響，需深入到業(yè)務(wù)場景和技術(shù)實現(xiàn)方式中提出合規(guī)方案；而以保護(hù)公民個人信息為目標(biāo)的政策，會留有更多的例外空間和合法轉(zhuǎn)移渠道，且僅涉及個人數(shù)據(jù)，企業(yè)可根據(jù)自身需求，選擇適合的合規(guī)途徑。

5.2 積極尋求多樣化合規(guī)渠道

對于我國企業(yè)來說，面臨兩類基本的數(shù)據(jù)跨境合規(guī)問題，一類是從我國收集運營的數(shù)據(jù)向境外傳輸、提供問題；另一類是開展跨境服務(wù)的我國企業(yè)在其他海外市場所面臨的當(dāng)?shù)財?shù)據(jù)出境政策。

對于第一類問題，由于我國目前根據(jù)《網(wǎng)絡(luò)安全法》第三十七條來制定相關(guān)配套辦法標(biāo)準(zhǔn)，將初步建立較為嚴(yán)格的數(shù)據(jù)流動管理制度，企業(yè)應(yīng)根據(jù)要求建立完善的出境數(shù)據(jù)檔案及安全自評估制度，以備相關(guān)主管部門實施監(jiān)督檢查。除了少數(shù)例外情況，數(shù)據(jù)出境的合法路徑主要依賴于企業(yè)的安全自評估和主管部門評估。

而有越來越多的出海企業(yè)將面臨第二類問題。首先，在歐盟市場，由于我國的個人信息保護(hù)水平與歐盟尚存較大差距，并不滿足歐盟“充分性”認(rèn)定標(biāo)準(zhǔn)，歐盟成員國往往會對傳輸至我國境內(nèi)的個人數(shù)據(jù)活動作出限制。在此背景下，我國企業(yè)要根據(jù)歐盟法律要求，積極尋求數(shù)據(jù)跨境轉(zhuǎn)移的合法性基礎(chǔ)。其中：

在歐盟新的數(shù)據(jù)保護(hù)立法GDPR在2018年5月生效之前，中國企業(yè)可以利用的合法傳輸機制仍然相當(dāng)有限。例如：“標(biāo)準(zhǔn)合同文本”和“有約束力公司規(guī)則”仍很難為中國企業(yè)所利用。相比較而言，作為中國企業(yè)的競爭對手——美國企業(yè)（特別是中小企業(yè)）則可以利用“美歐隱私盾”更方便的實現(xiàn)數(shù)據(jù)合法轉(zhuǎn)移①Lisa J. Sotto, Christopher D. Hydak，The EU-US Privacy Shield: A How-To Guide，Hunton & Williams lawyer insights，2016-7-19，而日韓企業(yè)也有望在2018年后通過政府與歐盟達(dá)成的充分性保護(hù)互認(rèn)協(xié)議實現(xiàn)高效的轉(zhuǎn)移數(shù)據(jù)。

若采取例外情形中的“用戶同意”模式，則要滿足歐盟對“同意”的高標(biāo)準(zhǔn)要求，包括向用戶充分說明跨境傳輸?shù)南嚓P(guān)信息，例如：傳輸?shù)哪康膰?，目的國的個人信息保護(hù)水平以及用戶可能面臨的風(fēng)險，并確保用戶的同意是在充分知情的情形下做出的特定授權(quán)。因此，此類高標(biāo)準(zhǔn)要求也決定了“同意”機制多數(shù)情況下僅適用于小規(guī)模的數(shù)據(jù)轉(zhuǎn)移。

對于具有一定實力的中國企業(yè)，則可以結(jié)合業(yè)務(wù)布局考慮，選擇在歐盟成員國或歐盟認(rèn)可的“充分保護(hù)認(rèn)定”國家，例如：加拿大、阿根廷、新西蘭等，在此類國家建立或選擇數(shù)據(jù)中心，作為“數(shù)據(jù)港”，以盡可能降低數(shù)據(jù)跨境傳輸成本和合規(guī)風(fēng)險[14]。此外，在歐盟市場面臨的問題，也將在其他效仿歐盟建立跨境流動機制的國家體現(xiàn)，比如非洲等新興市場國家，企業(yè)需要提前做好合規(guī)路徑儲備。

而在美國以及APEC國家地區(qū)，由于美國所推行的APEC隱私框架中的跨境隱私保護(hù)規(guī)則(CBPRs)進(jìn)展緩慢,我國也未正式加入，我國企業(yè)還不能利用該框架中的跨境數(shù)據(jù)轉(zhuǎn)移機制。因此在美國、APEC等地區(qū)的數(shù)據(jù)跨境轉(zhuǎn)移，我國企業(yè)也需更多考慮數(shù)據(jù)跨境轉(zhuǎn)移合規(guī)問題，并根據(jù)不同國家的跨境轉(zhuǎn)移需求，制定不同的合規(guī)方案。這其中也可結(jié)合各國數(shù)據(jù)保護(hù)水平和國際認(rèn)可程度，選擇相關(guān)國家及地區(qū)作為“數(shù)據(jù)港”，如常見包括澳大利亞、日本、新加坡和我國香港地區(qū)。

5.3 應(yīng)對數(shù)據(jù)本地化帶來的管轄沖突

事實上，盡管根據(jù)不同國家數(shù)據(jù)跨境流動政策可以選擇不同的合規(guī)方案，但最終無法回避管轄沖突問題?；ヂ?lián)網(wǎng)是全球性的，然而立法與監(jiān)管卻是本地的。長期以來，互聯(lián)網(wǎng)的管轄適用問題一直就未得到解決。而當(dāng)前復(fù)雜的全球數(shù)據(jù)流動則更進(jìn)一步加劇了管轄沖突。例如：各國通過數(shù)據(jù)本地化立法，來解決法律適用和本地執(zhí)法問題，但從美國相關(guān)案例，典型如微軟訴美國司法部案中②2013 年12 月，美國紐約南區(qū)聯(lián)邦地區(qū)法院助理法官詹姆斯· 佛朗西斯（James C. Francis）簽發(fā)搜查令，要求微軟公司協(xié)助一起毒品案件的調(diào)查，將一名用戶的電子郵件內(nèi)容和其他賬戶信息提交給美國政府。對此，微軟認(rèn)為，美國政府申請的搜查令只在美國境內(nèi)有效，存放電子郵件內(nèi)容的微軟愛爾蘭數(shù)據(jù)中心，不歸美國政府管轄。而美國司法部認(rèn)為：微軟是美國公司，應(yīng)當(dāng)服從美國法律和司法部門的執(zhí)法要求。即使其服務(wù)器存放在愛爾蘭，仍然是該服務(wù)器的所有者，可以對該服務(wù)器進(jìn)行操作。此案經(jīng)過微軟兩次上訴后，法院裁定：FBI 的搜查令不具域外效力（Extra territorial Effects）；要獲取境外數(shù)據(jù)，應(yīng)通過雙邊司法協(xié)助條約（Mutual Legal Assistance Treaty）方式。，司法部門認(rèn)為其無論數(shù)據(jù)存儲在哪里，都具有其管轄權(quán)，使得企業(yè)處于進(jìn)退兩難境地[15]。實際上，這不僅是大型跨國公司面臨的問題，伴隨互聯(lián)網(wǎng)服務(wù)的全球化趨勢，一些初創(chuàng)企業(yè)也將面臨。

針對法律適用和管轄，政府部門和司法機構(gòu)可以有不同的主張，包括：服務(wù)提供商注冊所在地（總部所在地）、數(shù)據(jù)存儲服務(wù)器所在地，數(shù)據(jù)本身所涉及的數(shù)據(jù)主體所在地等等，多項的法律適用連接點給跨境服務(wù)企業(yè)帶來更多的法定義務(wù)沖突問題。

當(dāng)前階段，司法管轄沖突更多體現(xiàn)為個案式的。例如在涉及訴訟、仲裁等跨境調(diào)查中，由于不同國家法律及監(jiān)管要求的不同而造成的直接沖突。預(yù)計隨著歐盟具有寬泛適用范圍的個人數(shù)據(jù)保護(hù)法GDPR在今年的生效，以及更多數(shù)據(jù)本地化的要求的出現(xiàn)，這種沖突的體現(xiàn)將不再僅僅限于個案，而是深度影響到業(yè)務(wù)運營。

考慮到國家間的司法協(xié)助條約（MLAT）①Mutual Legal Assistance Treaty相互法律協(xié)助條約，是兩個或者兩個以上國家之間的簽署的協(xié)議。根據(jù)國際法為各國政府在刑事調(diào)查和起訴中相互援助方面承擔(dān)義務(wù)。執(zhí)法人員或檢察官在需要幫助的情況下運用MLAT，以便在另一國司法管轄范圍內(nèi)獲得證據(jù)。進(jìn)展緩慢，特別如微軟訴美國司法部案件中所反映出的政府傾向，在國家間繁瑣冗長的司法協(xié)助程序和直接向服務(wù)商發(fā)出協(xié)助配合義務(wù)之間，政府和司法機構(gòu)更容易選擇后者。這實質(zhì)上間接鼓勵著各國政府更愿意選擇數(shù)據(jù)本地化政策，數(shù)據(jù)存儲在本地至少有執(zhí)法便利，在法律適用上本身也是一個強有力的抗辯。

因此，對于面向全球提供服務(wù)的企業(yè)而言，在法律適用沖突中較為安全的選擇是將所服務(wù)的不同國家的公民個人數(shù)據(jù)，存儲在不同國家(或該國政策認(rèn)可的其他地區(qū)），當(dāng)然這無疑產(chǎn)生了新的巨大成本，且仍會面臨復(fù)雜的管轄競合問題，這亟待通過國際層面達(dá)成協(xié)調(diào)機制。

5.4 建立全球化與本土化相結(jié)合的競爭戰(zhàn)略

對于全球化的平臺企業(yè)而言，則需要以“全球化”和“本土化”相結(jié)合的視角，破解數(shù)據(jù)管轄沖突困境。例如：歐盟沒有直接提出數(shù)據(jù)本地化要求，理論上企業(yè)可以選擇多種渠道實現(xiàn)跨境流動。但微軟公司卻已在數(shù)據(jù)本地化之外，嘗試更深度的本地化解決方案。微軟于2016年底與德國電信合作運營數(shù)據(jù)中心，專門向歐盟客戶提供服務(wù)。根據(jù)合作安排，德國電信的子公司 T-Systems 扮演數(shù)據(jù)中心“受托人”角色，負(fù)責(zé)管理微軟在德國的數(shù)據(jù)中心，未經(jīng)該公司許可，微軟員工也無法訪問②Deutsche Telekom to act as Data Trustee for Microsoft Cloud in Germany，2015-11-11,available at https://www.telekom.com/.../deutschetelekom-to-act-as-data-trustee-for-mic.。

正是考慮到在全球政策層面，短期內(nèi)無法提供數(shù)據(jù)安全及管轄沖突的協(xié)調(diào)方案，大型跨國企業(yè)已開始著眼于本地化模式的調(diào)整，包括從技術(shù)架構(gòu)、商業(yè)模式等多方面進(jìn)行改進(jìn)優(yōu)化，通過整合本地化模式，使之既符合當(dāng)?shù)乇O(jiān)管要求，同時也形成更為強大的全球競爭力。

[1]Anupam Chander.Data Nationalism[J]. Emory Law Journal, 2015，64(03)：678-739.

[2] The Framework for Global Electronic Commerce[EB/OL].( 2017-08-19) .https://clintonwhitehouse4.archives.gov/textonly/WH/New/Commerce/index.html.

[3]賈開.跨境數(shù)據(jù)流動的全球治理：權(quán)力沖突與政策合作——以歐美數(shù)據(jù)跨境流動監(jiān)管制度的演進(jìn)為例[J].汕頭大學(xué)學(xué)報，2017(05)：57-64.

[4]Allison Grande.EU Regulators Demand Action On 'Privacy Shield' Issues[EB/OL].Law360.(2017-11-05). https://www.law360.com/articles/991686/eu-regulators-demand-actionon-privacy-shield-issues.

[5]何波.國際貿(mào)易規(guī)則體系下跨境數(shù)據(jù)流規(guī)則梳理與我國應(yīng)對分析[J].汕頭大學(xué)學(xué)報:人文社會科學(xué)版, 2017 (5) :53-56.

[6]Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data [EB/OL].(2018-01-31). http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.

[7]Matthias Bauer, Hosuk Lee-Makiyama.The Costs of Data Localisation: Friendly Fire on Economic Recovery[S].ECIPE Occasional Paper, No.3/2014.

[8]EU Working Party on the Protection of Individuals with regard to the Processing of Personal Data Working Document DG XV D/5025/98 WP 12，Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive Adopted by the Working Party on 24 July 1998[EB/OL ].(2018-01-31).http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf.

[9]Shin-yi Peng, Han-wei Liu，The Legality of Data Residency Requirements: How Can the Trans-Pacific Partnership Help? [J].Journal of World Trade, 2017,51 (02): 183–204.

[10] Tatevik Sargsyan.Data Localization and the Role of Infrastructure for Surveillance, Privacy,and Security[J]，International Journal of Communication, 2016 (10): 2221–2237.

[11]European Commission，Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses[EB/OL ]. (2012-1-25).http://europa.eu/rapid/press-release_IP-12-46_en.htm.

[12]Christopher Kuner.Reality and Illusion in EU Data Transfer Regulation Post Schrems University of Cambridge Faculty of Law Legal Studies Research Paper Series[J].PAPER NO.14/2016，MARCH 2016:31-32.

[13]王融.從美歐安全港框架失效看數(shù)據(jù)跨境流動政策走向[J].中國信息安全, 2016(03) :73-73.

[14]Reuben Binns, Dr. David Millard. Data Havens,or Privacy Sans Frontières? [C]//A Study of International Personal Data Transfers, WebSci '14 Proceedings of the 2014 ACM conference on Web Science, 273-274 .

[15]Jennifer Daskal.Law Enforcement Access to Data Across Borders: The Evolving Security and Rights Issues[J]. Journal of National Security Law & Policy, 2016(08): 473-475.