方元欣

一、引言

隨著數(shù)據(jù)處理技術的深度發(fā)展，數(shù)據(jù)作為一種戰(zhàn)略性資源和核心生產(chǎn)要素，在全球經(jīng)濟和社會中發(fā)揮著越來越重要的作用。出于經(jīng)濟利益和國家安全考慮，各國對數(shù)據(jù)跨境交換和轉移采取了不同的措施或政策，其中數(shù)據(jù)本地化政策尤為常見，是各國立法者和監(jiān)管者關注的重要議題。本文在提煉數(shù)據(jù)本地化政策特征的基礎上，圍繞各國的利益考量、戰(zhàn)略布局和談判博弈進行深入研究，并對其未來的演變趨勢進行判斷。

二、數(shù)據(jù)本地化的基本特征

（一）數(shù)據(jù)本地化的定義

目前關于“數(shù)據(jù)本地化”的內涵與外延在國際社會仍未達成普遍共識。聯(lián)合國貿易和發(fā)展會議（United Nations Conference on Trade and Development，簡稱UNCTAD）2016年的報告將其界定為“通過直接的法律限制或其他規(guī)定要求（如本地商業(yè)登記要求），將個人數(shù)據(jù)保留在其原始管轄范圍內” 。而根據(jù)世界貿易組織（World Trade Organization，簡稱WTO）2018年發(fā)布的報告定義 ，數(shù)據(jù)本地化政策涉及限制公司將國內用戶數(shù)據(jù)傳輸?shù)絿獾哪芰Γ饕砸?guī)則形式要求數(shù)據(jù)服務器位于國家內，或者在國內存儲或處理數(shù)據(jù)，禁止在未經(jīng)政府批準的情況下收集或傳輸數(shù)據(jù)和/或指定有利于當?shù)氐恼少徠煤图夹g標準公司。美國信息技術產(chǎn)業(yè)理事會（Information Technology Industry Council，簡稱ITIC）則將其定義為“對企業(yè)在國家邊界內存儲、加工或以其他方式處理數(shù)據(jù)的要求” 。

作為數(shù)據(jù)跨境流動的一種規(guī)制方式，數(shù)據(jù)本地化與數(shù)據(jù)自由跨境流動并非互不相容。以聯(lián)合國跨國公司中心（United Nations Centre on Transnational Corporation，簡稱UNCTC）對“數(shù)據(jù)跨境流動”的定義為對照，“數(shù)據(jù)跨境流動”指的是“跨越國界對存儲在計算機中的機器可讀的數(shù)據(jù)進行處理、存儲和檢索”。而有些數(shù)據(jù)本地化政策僅要求在境內存儲副本或在個人同意的情況下允許數(shù)據(jù)出境，并不意味著完全限制數(shù)據(jù)出境。反過來，完全禁止數(shù)據(jù)跨境傳輸則默認以本地存儲和處理為前提條件。總而言之，數(shù)據(jù)本地化是針對個人數(shù)據(jù)和/或部分行業(yè)數(shù)據(jù)提出的在境內存儲或處理的要求。根據(jù)各國不同的經(jīng)濟環(huán)境、政策背景和利益考量，數(shù)據(jù)本地化的具體要求各異，其嚴苛程度、行使手段和適用范圍也各不相同。

（二）數(shù)據(jù)本地化的分類

經(jīng)濟合作與發(fā)展組織（Organization for Economic Cooperation and Development，簡稱OECD）最新發(fā)布的《貿易和跨境數(shù)據(jù)流動》（Trade& Trans-border Data Flow）報告中 ，數(shù)據(jù)按流動的自由程度可分為四類：1）沒有任何數(shù)據(jù)本地化要求，例如，美國、日本、加拿大在法律中沒有個人數(shù)據(jù)或重要數(shù)據(jù)出境管理的專用規(guī)則，原則上允許數(shù)據(jù)自由跨境流動；2）只要求將數(shù)據(jù)的副本存儲在國內計算設施中，對轉移或境外處理數(shù)據(jù)副本無任何限制，允許在國外托管，傳輸和處理，此類別主要針對電信元數(shù)據(jù)和業(yè)務財務數(shù)據(jù)，目的通常是確保監(jiān)管需求，例如印度在《2018年個人數(shù)據(jù)保護法案》要求所有個人數(shù)據(jù)必須在印度境內保留一份副本；3）不限制數(shù)據(jù)跨境流動，但規(guī)定數(shù)據(jù)必須存儲在境內，這意味著數(shù)據(jù)服務商可以在境外處理數(shù)據(jù)，但處理后的數(shù)據(jù)必須返回國內存儲；4）數(shù)據(jù)只能在境內存儲、處理，并有出境限制。

此外，數(shù)據(jù)本地化要求可以存在多種手段，包括要求在本地建立辦事處、境內設立數(shù)據(jù)中心或服務器，有此要求的代表國家包括印度、俄羅斯、越南、印度尼西亞、肯尼亞、阿爾及利亞等。另一種手段則是經(jīng)個人同意或有關部門審查后傳輸數(shù)據(jù)，例如歐盟《數(shù)據(jù)通用保護條例》對個人信息出境從建立數(shù)據(jù)保護機構、第三國數(shù)據(jù)保護水平評估、數(shù)據(jù)主體權益保障等方面都提出了具體要求。這些數(shù)據(jù)本地化手段根據(jù)各國不同的利益考量進行排列組合搭配。

其次，數(shù)據(jù)本地化的規(guī)則適用范圍因數(shù)據(jù)類型而各異。一般而言，目前數(shù)據(jù)本地化要求多針對個人數(shù)據(jù)，而且僅出于對國家安全、隱私保護和經(jīng)濟利益的考慮，對特定領域的數(shù)據(jù)存在特定要求。常見的受限制數(shù)據(jù)類型包括醫(yī)療健康、地圖信息、政府數(shù)據(jù)和銀行、金融、征信、商業(yè)記錄等重要行業(yè)數(shù)據(jù)。例如，韓國因擔心國家安保問題，要求地圖數(shù)據(jù)審查通過后方可出境；印度要求支付信息存儲本地六個月，以打擊黑市經(jīng)濟活動；澳大利亞政府出于對數(shù)據(jù)主體隱私和安全的考慮，要求部分個人健康信息在境內存儲、加工或處理；土耳其出于監(jiān)管目的，要求銀行和電子通信信息在境內處理。

（三）數(shù)據(jù)本地化的動因

隨著2013年“斯諾登事件”的爆發(fā)和2018年《澄清境外數(shù)據(jù)合法使用法案》（Clarify Lawful Overseas Use of Data Act，簡稱CLOUD Act）的出臺，美國野心勃勃的“長臂管轄”使許多國家對國家信息安全和公民隱私保護產(chǎn)生擔憂。2018年3月，美國國會通過了CLOUD Act，設計了執(zhí)法機構跨境訪問、獲取、調用數(shù)據(jù)的規(guī)則機制，讓美國政府能夠合法地從全球各地調取數(shù)據(jù)，同時還規(guī)定了將數(shù)據(jù)發(fā)送到境外的條件和過程。雖然目前對“存儲地點是影響數(shù)據(jù)安全的關鍵因素”的假設仍存疑 ，但是數(shù)據(jù)存儲地點確實能夠影響數(shù)據(jù)保護的法律管轄權。盡管各國針對數(shù)據(jù)保護的法律管轄權規(guī)定各有差異，但一般而言，如果涉事企業(yè)在一國境內有物理存在，如服務器或數(shù)據(jù)中心，則相關案件在該國的法律管轄權之內。如果根據(jù)存儲地點確認了管轄權，政府就可以通過立法和執(zhí)法降低數(shù)據(jù)泄露的風險，比如規(guī)定數(shù)據(jù)保護的最低安全標準，禁止企業(yè)將服務器中的數(shù)據(jù)交給外國政府，以及制定實施嚴格的數(shù)據(jù)泄露責任追究制度等 。

另一方面，數(shù)據(jù)本地化是發(fā)展中國家保護其國內產(chǎn)業(yè)的重要手段。從作用機制來看，數(shù)據(jù)本地化作為一種新型產(chǎn)業(yè)政策，相當于以非關稅壁壘的形式限制數(shù)據(jù)服務的進口，從而保護本國的信息技術及相關產(chǎn)業(yè)?？鐕髽I(yè)在境內建立數(shù)據(jù)中心，有利于當?shù)財?shù)字基礎設施的建設，增加本國就業(yè)機會。印度2019年2月發(fā)布的《電子商務規(guī)則草案》中明確指出“國內數(shù)據(jù)中心和服務器場等計算設施的位置不僅可以為印度的計算提供支持，還可以促進當?shù)貏?chuàng)造就業(yè)機會?！贝送?，合規(guī)要求和成本的增加也使得外國企業(yè)在本地市場的競爭優(yōu)勢削弱，而本國信息技術相關產(chǎn)業(yè)得以發(fā)展。印度科技巨頭Infosys聯(lián)合創(chuàng)始人Kris Gopalakrishnan就曾經(jīng)引領發(fā)布云計算小組報告草案，建議政府建立一種“前瞻性”的數(shù)據(jù)保護機制，對云數(shù)據(jù)以及存儲在印度實體或印度生成的數(shù)據(jù)進行本地化，從而推動本國云計算產(chǎn)業(yè)的發(fā)展。

三、各國對數(shù)據(jù)本地化立場和發(fā)展趨向

當前全球尚未形成數(shù)據(jù)跨境移動的通用規(guī)則，各國以本國利益出發(fā)，采取不同立場與措施。美國通過淡化數(shù)據(jù)主權概念，推崇數(shù)字貿易自由化，打擊其他國家的數(shù)據(jù)本地化措施；歐盟通過發(fā)展其單一數(shù)字市場，對內促進數(shù)據(jù)跨境自由移動，對外遴選數(shù)字貿易伙伴，為數(shù)據(jù)資源博弈做好頂層設計；部分發(fā)達國家雖未出臺明確的數(shù)據(jù)跨境流動規(guī)制法規(guī)，但也采取了不同程度的數(shù)據(jù)本地化措施；多數(shù)發(fā)展中國家對推進跨境數(shù)據(jù)自由流動相對抗拒，普遍采取較為嚴格的數(shù)據(jù)本地化措施；非洲等國對于數(shù)據(jù)跨境自由流動和數(shù)字貿易自由化較為反感，認為將損害本國產(chǎn)業(yè)發(fā)展，主張在數(shù)據(jù)本地化措施上保有自主權。

（一）美國積極發(fā)起攻勢，試圖定點消除數(shù)據(jù)本地化

作為全球數(shù)字產(chǎn)業(yè)最發(fā)達的國家，美國是數(shù)據(jù)自由跨境流動的最大受益者。據(jù)美國國際貿易委員會（International Trade Commission，簡稱ITC）估計，數(shù)據(jù)自由流動使得美國的GDP增加了3.4至4.8個百分點，同時創(chuàng)造了240萬個就業(yè)崗位。在此背景下，自奧巴馬時期起，美國就持續(xù)針對“數(shù)據(jù)的自由流動”加快戰(zhàn)略布局。奧巴馬政府依托推進多邊談判，拉攏“數(shù)據(jù)盟友”，試圖在全球數(shù)據(jù)流動規(guī)則的制定上占據(jù)主導地位。雖然特朗普上臺后主張以諸邊模式代替多邊機制，中斷了奧巴馬政府的總體戰(zhàn)略布局，但就數(shù)據(jù)跨境流動和禁止數(shù)據(jù)本地化而言，特朗普政府態(tài)度更加強硬，采取的措施加倍激進。整體而言，美國推進數(shù)據(jù)跨境自由流動的舉措主要呈現(xiàn)以下特征：

一是搶占理論高地，循序漸進推進數(shù)據(jù)自由跨境流動。2016年7月，美國貿易代表辦公室（USTR）成立“數(shù)字貿易工作組”（Digital Trade Working Group，簡稱DTWG），負責識別并解決阻礙全球數(shù)字貿易的壁壘。自此，美國每年發(fā)布的《關于外貿壁壘的國別貿易評估報告》（National Trade Estimate Report on Foreign Trade Barriers，簡稱NTE報告）逐漸提高對數(shù)據(jù)跨境流動和各國的數(shù)據(jù)本地化的重視。2015年的NTE報告僅零星提及數(shù)據(jù)跨境流動，2016年開始提出數(shù)據(jù)本地化概念，2017年大范圍盤點各國的數(shù)據(jù)本地化限制，2018年稱美國要“監(jiān)測并致力于消除數(shù)據(jù)本地化要求”，2019年再次重申這一主張，并強調遏制數(shù)據(jù)本地化趨勢的重要性。在此理論支撐下，美國政府得以快速定點布局，通過強勢主導國際合作機制數(shù)據(jù)治理規(guī)則的頂層設計和以打壓姿態(tài)與貿易伙伴簽訂一攬子協(xié)議，試圖逐一擊破對其不利的數(shù)據(jù)本地化壁壘。

二是靈活利用國際多邊合作機制，打造具有美國烙印的游戲規(guī)則。2011年，美國主導亞太經(jīng)合組織（AsiaPacific Economic Cooperation，簡稱APEC）建立“跨境隱私規(guī)則體制”（Cross Border Privacy Rules System，簡稱CBPR），通過對企業(yè)進行隱私保護認證，實現(xiàn)“認證企業(yè)”之間的信息無障礙跨境流動。截至2019年，墨西哥、日本、加拿大、新加坡、韓國、澳大利亞和中國臺灣已加入CBPR，但是只有26家企業(yè)通過了CBPR認證，且均來自美日兩國，而且CBPR的管理較為松散，各國可自行選擇跨境傳輸?shù)男畔㈩愋?，美國也僅選擇了消費者信息。盡管如此，CBPR作為跨境數(shù)據(jù)流動框架的先行者，逐漸延伸到其他國際合作機制的頂層設計中。此外，奧巴馬政府竭力在WTO中推行服務貿易協(xié)定（Trade in Services Agreement，簡稱TiSA），并試圖從個人數(shù)據(jù)關系到服務貿易禁止締約方數(shù)據(jù)本地化，不過由于特朗普的“逢奧必反”式外交姿態(tài)使談判陷入僵局。就目前而言，服務貿易協(xié)定未來的發(fā)展形勢尚不明朗，但也需要持續(xù)關注。

三是在各種自由貿易談判中開展數(shù)據(jù)外交，意在主導全球數(shù)據(jù)跨境流動規(guī)則。2012年，美國和韓國簽訂的《美-韓自由貿易協(xié)定》（The U.S.-South Korea Free Trade Agreement，簡稱KORUS FTA）首次引入不具有強制性要求的跨境數(shù)據(jù)流動規(guī)則，規(guī)定“締約方應努力避免對跨境電子信息流動施加或維持不必要阻礙” ，并提出“允許在韓運營的金融服務企業(yè)離境處理數(shù)據(jù)” 。 2016年在美國主導下達成的《跨太平洋伙伴關系協(xié)定》（Trans-Pacific Partnership Agreement，簡稱TPP）中，規(guī)定允許包括個人信息在內的跨境傳輸 ，明確地提出了禁止將設立數(shù)據(jù)中心作為電子商務企業(yè)市場準入條件。雖然特朗普上臺后退出了TPP，但其關于數(shù)字貿易和電子商務的條例仍沿用至其他協(xié)定談判中，如2016年10月簽訂的《新加坡一澳大利亞自由貿易協(xié)定》（The Singapore-Australia Free Trade Agreement ，簡稱SAFTA）和2018年9月簽訂的《美墨加協(xié)定》（United States-Mexico-Canada Agreement，簡稱USMCA）。事實上，USMCA在實現(xiàn)美國數(shù)字產(chǎn)業(yè)利益上更勝一籌，不僅擴大了數(shù)據(jù)跨境流動的范圍 ，增加了禁止個人數(shù)據(jù)本地化的強制性和約束力，更將此限制延伸至金融領域，即在金融監(jiān)管機構可以獲得履行監(jiān)管任務時能獲取數(shù)據(jù)的前提下禁止金融服務的數(shù)據(jù)本地化存儲。此外，原本有本地化存儲要求的加拿大不列顛哥倫比亞省和新斯科舍省 也可能受此協(xié)定影響。

（二）歐盟保持防守態(tài)勢，采取“圈內圈外”雙重標準

歐盟數(shù)據(jù)資源豐富，數(shù)字經(jīng)濟市場潛力巨大。歐盟委員會2017年發(fā)布的《歐洲數(shù)字進程報告》（Europes Digital Progress Report）報告顯示，2016年歐盟數(shù)字市場價值接近600億歐元，與2015年相比增長了9.5%，根據(jù)預測研究，2020年歐盟數(shù)字經(jīng)濟市場可能超過1060億歐元。但就目前的形勢而言，歐盟主要作為信息技術服務的消費方而非提供方，大型網(wǎng)絡或信息技術產(chǎn)業(yè)發(fā)展較慢。因此歐盟在數(shù)據(jù)跨境流動的立場和美國有著明顯的區(qū)別，在開放數(shù)據(jù)資源的問題上優(yōu)先考慮歐盟“單一數(shù)字市場”。其基本思路是“內松外緊”，對內破除數(shù)據(jù)流動壁壘，對外強化監(jiān)管與隱私保護，只對許可國開放通道，力圖構建一個以歐盟為中心的數(shù)據(jù)流動空間。

一是對外提高數(shù)據(jù)出境限制，對內消除內部數(shù)據(jù)本地化要求。2018年5月，歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）生效施行。作為一項強制性法律，GDPR禁止歐盟內部個人數(shù)據(jù)本地化和跨境數(shù)據(jù)流動阻礙 ，同時以嚴苛的隱私保護和數(shù)據(jù)監(jiān)管規(guī)定限制數(shù)據(jù)出境。10月，歐洲議會正式通過《非個人數(shù)據(jù)自由流動框架條例》（Regulation on the Free Flow of Non-personal Data）。該法規(guī)側重針對非個人數(shù)據(jù)，即GDPR范圍之外的數(shù)據(jù)，主要包括機器生產(chǎn)和商業(yè)銷售產(chǎn)生的數(shù)據(jù)，要求在保障公共安全的前提下禁止歐盟內部的產(chǎn)業(yè)數(shù)據(jù)本地化要求 ，從而幫助歐盟“單一數(shù)字市場”盡快成型。

二是保持松緊適度，建立數(shù)字貿易“朋友圈”。盡管GDPR為歐盟搭建了數(shù)據(jù)流動的屏障，但并非密不透風，其通過建立起一套完善的個人信息出境管理體系，為涉及個人數(shù)據(jù)出境業(yè)務的企業(yè)或機構提供了多種合規(guī)渠道和工具，包括數(shù)據(jù)保護“充分性”認定、約束性公司規(guī)則（BCR）和標準合同條款。這為歐盟挑選數(shù)字貿易“盟友”和拉攏貿易伙伴提供了新路徑。例如，歐盟可以挑選認可程度比較高的國家或地區(qū)進行“充分性”認定 ，進而使這些國家或地區(qū)的企業(yè)優(yōu)先通過GDPR認證，優(yōu)先進入歐盟市場，使用歐盟公民的數(shù)據(jù)，形成以歐盟為中心的數(shù)字貿易“朋友圈”。此外，歐盟與美國之間為實現(xiàn)隱私保護與數(shù)據(jù)自由流動的平衡，經(jīng)歷了“安全港”協(xié)議到“隱私盾”協(xié)議的升級與改良，最終達成互可接受的跨境數(shù)據(jù)流動協(xié)議。截至2018年6月，已有3215家美國企業(yè)進行了符合該協(xié)議的登錄。

（三）其他國家立場相近，數(shù)據(jù)本地化措施較為普遍

與美國推崇數(shù)據(jù)跨境自由流動，歐盟以隱私保護為出發(fā)點不同，其他國家對數(shù)據(jù)自由跨境流動的態(tài)度有所保留，尤其以發(fā)展中國家為主，大多數(shù)都采取了不同程度的數(shù)據(jù)本地化措施。這種規(guī)制方式選擇的差異化現(xiàn)象，是各國基于自身信息技術水平和隱私保護意識，追求規(guī)制凈收益最大化的結果。

一是部分發(fā)達國家對特定數(shù)據(jù)提出了本地化要求。雖沒有明確全面的數(shù)據(jù)本地化法規(guī)，澳大利亞2012年頒布的《個人控制的電子健康記錄法》（The Personally Controlled Electronic Health Record，簡稱PCEHR）要求必須由本地的數(shù)據(jù)中心來存儲和處理個人電子健康檔案。在GDPR出臺前，德國、法國曾要求境內企業(yè)將數(shù)據(jù)存儲在歐洲甚至本國境內的數(shù)據(jù)中心。韓國雖未實行全面措施，但在地圖 、金融、醫(yī)療、教育 各個領域都有輕微的數(shù)據(jù)本地化要求。

二是多數(shù)發(fā)展中國家采取了嚴格的數(shù)據(jù)本地化措施。2015年9月，俄羅斯的數(shù)據(jù)本地化立法生效，要求所有國內外公司在俄羅斯境內的服務器上存儲和處理俄羅斯公民的個人信息。根據(jù)法律規(guī)定，任何存儲俄羅斯國民信息的組織，無論是客戶還是社交媒體用戶，都必須將該數(shù)據(jù)移至俄羅斯服務器。2016年4月，尼日利亞要求企業(yè)存儲所有涉及在尼日利亞境內的尼日利亞公民的數(shù)據(jù)。除非政府另有規(guī)定，否則企業(yè)需在本地儲存政府數(shù)據(jù)。2017年4月，土耳其出臺法令，限制個人數(shù)據(jù)流往境外，并且要求企業(yè)在內存儲公民的數(shù)據(jù)。2018年9月，印度成立了信息數(shù)據(jù)政策改革工作專家組，該專家組向印度通信和信息產(chǎn)業(yè)部遞交新版數(shù)據(jù)政策草案。該草案核心內容是建議印度政府對在本國產(chǎn)生的數(shù)字支付、電子商務等云數(shù)據(jù)信息，采取本地化儲存措施。同年10月，越南于發(fā)布關于網(wǎng)絡安全法草案，要求數(shù)字社交媒體服務供應商需在越南設立分支機構或代表處，隨后發(fā)布的實施草案以案例形式詳細說明了對特定類別的供應商提起的本地數(shù)據(jù)存儲要求。11月，印度尼西亞要求提供“公共服務”的供應商在本土建立數(shù)據(jù)中心和災難恢復中心，其他法規(guī)要求需在本地存儲及處理某些個人及財務數(shù)據(jù)。

三是非洲等國擁護推進數(shù)據(jù)本地化措施。與其他地區(qū)相比，非洲國家在互聯(lián)網(wǎng)環(huán)境上的差距較大，數(shù)字鴻溝顯著。為此，2017年7月非洲國家舉辦的小組討論報告提出采取數(shù)據(jù)本地化措施、互聯(lián)網(wǎng)過濾、技術轉移等相關政策。此外，非洲國家要求在數(shù)字貿易、數(shù)據(jù)跨境自由流動及數(shù)據(jù)本地化上保有一定的“政策執(zhí)行余地（Policy Space）”。9月，在WTO舉辦的公開論壇上也有類似聲音。推進數(shù)字貿易自由化與數(shù)字貿易自由化妨礙了發(fā)展中國家產(chǎn)業(yè)發(fā)展的聲音同時被議論。南非WTO代表認為，跨境數(shù)據(jù)流動自由化的規(guī)則是“反發(fā)展”（Anti-Development），并且妨礙本地企業(yè)的發(fā)展，并主張擁有較為靈活的數(shù)據(jù)本地化措施，在采取數(shù)據(jù)保護措施上具有“一定自主權”，以抵御發(fā)達國家對本國數(shù)字產(chǎn)業(yè)的侵蝕。

四、結語

雖然我國數(shù)字經(jīng)濟發(fā)展迅速，已成為全球最大的網(wǎng)絡市場，擁有世界數(shù)量最大的網(wǎng)民群體，但當前形勢不容忽視，主要存在兩方面挑戰(zhàn)，一是如何防止美國通過推進數(shù)據(jù)資源自由流動強制撬動網(wǎng)絡主權、數(shù)據(jù)主權保護，二是如何幫助國內企業(yè)處理跨境合規(guī)問題，滿足其數(shù)據(jù)跨境傳輸需求。

（一）加強我國在國際數(shù)據(jù)治理規(guī)則談判中的優(yōu)勢地位

當前，歐盟、美國、日本都頒布了詳盡的數(shù)據(jù)跨境流動治理法規(guī)，在全球數(shù)據(jù)治理規(guī)則談判中積極發(fā)聲，并尋求多種手段實現(xiàn)其訴求。我國受美歐日夾擊，話語權有限，但在數(shù)據(jù)跨境流動和數(shù)據(jù)本地化規(guī)則上仍有許多立場相近、利益相似的伙伴國，并非處于弱勢地位。對此，我國應加強反制措施，積極發(fā)展數(shù)字貿易伙伴，加強參與全球數(shù)據(jù)跨境流動國際監(jiān)管規(guī)則建設。此外，我國應當積極學習發(fā)達經(jīng)濟體的數(shù)據(jù)流動規(guī)制經(jīng)驗，推進國內的規(guī)制實踐，建設符合我國國情的隱私保護體系。首先可考慮設立具體的數(shù)據(jù)保護機構，并授予該當機構必要的執(zhí)法權力。其次，充分借鑒美歐“隱私盾”模式和歐洲的充分性認定模式，與主要貿易伙伴洽簽規(guī)制雙邊數(shù)據(jù)流動的協(xié)議，強化數(shù)據(jù)流動國際規(guī)則的話語權。最后，加快完善數(shù)據(jù)分級分類和數(shù)據(jù)保護法規(guī)，積極推進跨境數(shù)據(jù)有序合法流動。

（二）深入研究跨境合規(guī)問題，幫助互聯(lián)網(wǎng)企業(yè)走出去

當前，我國具有相當體量的數(shù)據(jù)跨境傳輸需求，但是數(shù)據(jù)跨境合規(guī)問題給企業(yè)帶來了較大負擔和風險。目前我國企業(yè)面臨兩類基本的數(shù)據(jù)跨境合規(guī)問題，一是從我國收集運營的數(shù)據(jù)向境外傳輸?shù)膯栴}，二是我國對外提供數(shù)據(jù)跨境服務企業(yè)在海外市場面臨的當?shù)財?shù)據(jù)出境政策的問題。例如，由于我國的個人信息保護水平與歐盟尚存較大差距，并不滿足歐盟“充分性”認定標準，我國企業(yè)可以利用的合法傳輸機制仍然相當有限。例如：“標準合同文本”和“有約束力公司規(guī)則”仍很難為中國企業(yè)所利用。對于具有一定實力的中國企業(yè)，則可以結合業(yè)務布局考慮，選擇在歐盟成員國或歐盟認可的“充分保護認定”國家。例如在加拿大、阿根廷、新西蘭等國建立數(shù)據(jù)中心，作為“數(shù)據(jù)港”，以盡可能降低數(shù)據(jù)跨境傳輸成本和合規(guī)風險。此外，應幫助我國互聯(lián)網(wǎng)企業(yè)提高數(shù)據(jù)傳輸和處理標準，增強數(shù)據(jù)保護意識，并鼓勵企業(yè)根據(jù)特定國家的跨境轉移政策或需求，制定不同的合規(guī)方案，幫助我國企業(yè)在積極開拓海外市場的同時提高風險防御能力和降低成本負擔。

作者單位：國家工業(yè)信息安全發(fā)展研究中心