曾磊

摘要：全球互聯(lián)互通背景下數(shù)據(jù)的跨境流動是實現(xiàn)經(jīng)濟、技術等全球化均衡發(fā)展的必備要件，同時數(shù)據(jù)安全亦與國家安全、個人隱私等息息相關，數(shù)據(jù)跨境流動的規(guī)制尺度由此成為數(shù)據(jù)安全保障的一個焦點問題。當前數(shù)據(jù)跨境流動的規(guī)制比較有代表性的有歐洲模式和美國模式，前者注重個人隱私和人權保障，嚴格限制數(shù)據(jù)在歐盟范圍之外的跨境流動；后者倡導數(shù)據(jù)的跨境自由流動并不斷拓寬自身在全球范圍內的管轄權。我國目前已初步建立起以《網(wǎng)絡安全法》《數(shù)據(jù)安全法（草案）》為主要內容的數(shù)據(jù)跨境流動規(guī)則。但與前述國際規(guī)則相比，我國的數(shù)據(jù)跨境流動規(guī)則仍然存在一些問題，包括調整對象過于廣泛，未能準確限定為電子數(shù)據(jù)；數(shù)據(jù)分級分類制度、跨境流動審查規(guī)則不夠具體；數(shù)據(jù)安全保護環(huán)節(jié)的企業(yè)責任義務形式單一等。應進一步明確數(shù)據(jù)的定義，縮小調整范圍，將非電子化數(shù)據(jù)排除在數(shù)據(jù)安全法的保護對象之外；建立科學合理的數(shù)據(jù)分級分類制度以及與國際規(guī)則接軌的跨境流動審查制度；構建數(shù)據(jù)安全審查制度，強化企業(yè)守法能力與自我監(jiān)督機制等，妥善規(guī)制數(shù)據(jù)跨境流動問題。

關鍵詞：數(shù)據(jù)；數(shù)據(jù)跨境流動；國際規(guī)則；《數(shù)據(jù)安全法（草案）》

中圖分類號：F710文獻標識碼：A文章編號：1007-8266（2021）06-0094-11

基金項目：2021年甘肅省人民檢察院檢察理論研究課題“懲治與預防網(wǎng)絡犯罪疑難問題研究”（2021-17-3）；2020年度甘肅政法大學校級專項項目“習近平法治思想與馬克思主義法學理論發(fā)展”（GZF2020XZX08）；2020年度甘肅省高等學校創(chuàng)新能力提升項目“‘一帶一路’沿線國家網(wǎng)絡犯罪合作治理研究”（2020A-090）

（一）數(shù)據(jù)安全問題凸顯的歷史脈絡

互聯(lián)網(wǎng)的前身“阿帕”（ARPA）誕生于1969年的美國，是美國高級研究計劃署（Advanced Re？ search Project Agency）的簡稱，最初只服務于軍用科研，是冷戰(zhàn)時期美國為了在科技上取得對蘇聯(lián)的壓制優(yōu)勢而誕生的。20世紀70年代后期互聯(lián)網(wǎng)開始轉向民用，以IBM（International Business Ma？ chines Corporation）為代表的美國企業(yè)在全球開展跨國業(yè)務，每年向全世界出口計算機設備和系統(tǒng)，并發(fā)展成局域網(wǎng)和互聯(lián)網(wǎng)。在此過程中IBM始終在收集、存儲并跨境轉移著龐大的數(shù)據(jù)，繼而掌握大量他國政府、企業(yè)、科研機構的數(shù)據(jù)與個人信息。隨著信息技術的不斷發(fā)展，互聯(lián)網(wǎng)與整個社會的融合度與日俱增，截至2020年3月，我國的網(wǎng)民規(guī)模已經(jīng)突破9億戶。[ 1 ]數(shù)據(jù)的來源十分廣泛，信息技術與社會經(jīng)濟的交匯融合引發(fā)了數(shù)據(jù)的迅猛增長，個人、企業(yè)、移動智能終端、傳感器、可穿戴設備隨時隨地都產生著大量的數(shù)據(jù)，而信息技術的迅猛發(fā)展，使這些海量數(shù)據(jù)的收集和儲存變得十分容易。2015年9月國務院《促進大數(shù)據(jù)發(fā)展行動綱要》中提到，“數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源，大數(shù)據(jù)正日益對全球生產、流動、分配、消費活動以及經(jīng)濟運行機制、社會生活方式和國家治理能力產生重要影響”。[ 2 ]2016年3月的“十三五”規(guī)劃綱要也指出“實施國家大數(shù)據(jù)戰(zhàn)略”，“把大數(shù)據(jù)作為基礎性戰(zhàn)略資源，全面實施促進大數(shù)據(jù)發(fā)展行動，加快推動數(shù)據(jù)資源共享開放和開發(fā)應用，助力產業(yè)轉型升級和社會治理創(chuàng)新”。[ 3 ]可見，在大數(shù)據(jù)時代，數(shù)據(jù)已經(jīng)成為全新的生產要素，被視為國家新型基礎性戰(zhàn)略資源，在促進國民經(jīng)濟和提升國家競爭力方面發(fā)揮著越來越重要的作用。大數(shù)據(jù)技術與數(shù)字經(jīng)濟價值的互動模式正在多元化發(fā)展，且在“互聯(lián)網(wǎng)+”業(yè)態(tài)模式架構下，大數(shù)據(jù)勢必在網(wǎng)絡空域的縱深領域有更大的發(fā)展空間。但是，在大數(shù)據(jù)把網(wǎng)絡空間與現(xiàn)實世界緊密結合并為人類帶來便利的同時，數(shù)據(jù)的采集、加工、使用、儲存的每個環(huán)節(jié)都會產生信息安全漏洞，“沒有網(wǎng)絡安全，就沒有國家安全”，數(shù)據(jù)安全問題是當今世界各國所面臨的現(xiàn)實又嚴峻的挑戰(zhàn)。

（二）數(shù)據(jù)安全與全球發(fā)展的博弈與平衡

在全球化的背景下，大數(shù)據(jù)具有總量大（Vol？ ume）、類型多（Variety）、速度快（Velocity）、易變性（Variability）、價值性（Value）的5V特性。各類數(shù)據(jù)被跨境收集、存儲、使用和轉移已經(jīng)成為常態(tài)。在經(jīng)濟上，海量高價值數(shù)據(jù)的快速全球性流動有利于生產力的發(fā)展，可促進生產效率的提高，改善人民群眾的生活水平；在文化上，數(shù)據(jù)流動能使各國的聯(lián)系更緊密，促進文化的交流互通，增進各國人民的友好感情；在安全上，信息情報的互通有利于各國通力協(xié)作打擊日益猖獗的國際犯罪和極端恐怖勢力，保護人民群眾的生命財產安全。

然而，由于不同國家對數(shù)據(jù)保護的現(xiàn)行立法體系規(guī)則具有差異性，數(shù)據(jù)掌控者將數(shù)據(jù)轉移至其他國家的目的有可能是規(guī)避本國對數(shù)據(jù)保護的相關規(guī)定，造成數(shù)據(jù)濫用并侵害數(shù)據(jù)相關主體的個人數(shù)據(jù)權或者隱私權；多源信息融合技術的發(fā)展使國家秘密與非秘密之間的界限不再清晰，原本不會給國家安全造成威脅的個體數(shù)據(jù)在達到一定規(guī)模并與其他信息融合、經(jīng)過處理和分析后，也很有可能對國家安全和社會公共利益造成嚴重威脅。大數(shù)據(jù)具有類型多和易變性的特點，現(xiàn)有法律規(guī)則體系無法涵蓋大數(shù)據(jù)時代的新型數(shù)據(jù)類型；數(shù)據(jù)是信息的形式和載體，信息是數(shù)據(jù)的表達內容，數(shù)據(jù)中蘊含的信息通過信息技術進行提煉而得出。不同國家的信息技術水平存在著差異，對一國無價值的數(shù)據(jù)，其他國家卻可能提煉出關乎國家安全的高價值信息。

大數(shù)據(jù)時代數(shù)據(jù)安全面臨的挑戰(zhàn)類型多種多樣，海量的大數(shù)據(jù)具有高價值性，大數(shù)據(jù)蘊含的潛在價值能為網(wǎng)絡黑客帶來巨大的經(jīng)濟效益。美國時代華納公司，全球最大的職業(yè)社交網(wǎng)站領英、雅虎等都被黑客盜取過海量用戶數(shù)據(jù)[ 4-5 ]，掌握專業(yè)計算機技術的黑客利用各類技術攻擊各大網(wǎng)站，盜取用戶個人信息和企業(yè)商業(yè)機密，謀取巨大的經(jīng)濟利益。對于上述問題，應當發(fā)展數(shù)據(jù)技術，完善相關立法，對網(wǎng)絡平臺和關鍵信息基礎設施進行全面保護，防止網(wǎng)絡黑客的入侵。合法合規(guī)的數(shù)據(jù)流動能夠促進社會經(jīng)濟的發(fā)展，提高數(shù)據(jù)的收集、存儲、使用和流動水平，但數(shù)據(jù)的非法跨境流動嚴重威脅國家安全、社會安全與個人權益，侵犯國家網(wǎng)絡空間主權。在數(shù)據(jù)跨境流動方面，必須正確處理限制數(shù)據(jù)流動的尺度問題。

（一）數(shù)據(jù)跨境流動國際法律規(guī)制的緣起

20世紀70年代后期，以IBM為代表的美國公司依靠技術和商業(yè)優(yōu)勢搶占全球計算機相關產業(yè)的半壁江山。1973年，歐洲共同體委員會（Com？ mission of the European Communities，CEC）指出，在數(shù)據(jù)產業(yè)方面，歐共體內部沒有公司能夠與美國公司進行競爭。面對美國對數(shù)據(jù)產業(yè)的壟斷以及歐洲和美國經(jīng)濟政治利益的分歧，歐洲各國紛紛制定法律限制數(shù)據(jù)的跨境轉移，同時加大對數(shù)據(jù)產業(yè)的投入，期望能建立強大的計算機相關產業(yè)。與我國以“維護國家主權、安全和發(fā)展利益”為出發(fā)點對數(shù)據(jù)跨境流動進行立法規(guī)制不同，歐洲各國制定的數(shù)據(jù)保護法雖然也能起到“維護國家主權、安全和發(fā)展利益”的作用，但他們的首要理由是保護個人數(shù)據(jù)，保障個人隱私權不受侵犯。

20世紀70年代開始，歐洲各國掀起數(shù)據(jù)立法浪潮。1970年西德黑森州制定《黑森州數(shù)據(jù)保護法》，開創(chuàng)了世界范圍內專門性個人數(shù)據(jù)保護法的先河；1973年瑞典出臺《瑞典數(shù)據(jù)法》；1977年西德制定《聯(lián)邦數(shù)據(jù)保護法》；1974年法國出臺《信息、檔案與自由法》；1984年英國頒布《英國數(shù)據(jù)保護法》。[ 6 ]隨后，丹麥、挪威、奧地利、葡萄牙、西班牙、比利時、盧森堡等相繼從個人數(shù)據(jù)保護的角度出臺本國的個人數(shù)據(jù)保護法，對數(shù)據(jù)的跨境流動做出限制。這些數(shù)據(jù)保護法以個人數(shù)據(jù)保護為理由切斷了數(shù)據(jù)的正常流動，引起了美國對數(shù)據(jù)壁壘與數(shù)據(jù)保護主義的不滿。美國指責歐洲各國限制數(shù)據(jù)跨境流動的做法是“以保護個人數(shù)據(jù)隱私為借口遏制競爭對手的發(fā)展”，是“經(jīng)濟保護主義”，認為“民主社會有著信息跨境自由流動的傳統(tǒng)，法律應該鼓勵信息自由獲取并限制信息濫用”。[ 7 ]

數(shù)據(jù)跨境流動能夠為社會經(jīng)濟帶來效益，大數(shù)據(jù)時代應鼓勵數(shù)據(jù)合法合規(guī)的跨境流動，對數(shù)據(jù)跨境流動的限制應該把握好尺度。歐洲各國通過數(shù)據(jù)立法限制數(shù)據(jù)跨境流動的做法雖然確實削弱了美國在數(shù)據(jù)產業(yè)方面的壟斷，但也限制了歐洲國家內部的數(shù)據(jù)跨境流動，不利于歐洲國家的社會經(jīng)濟發(fā)展。因此，歐盟內部不斷檢討和調試有關數(shù)據(jù)流動的法律，以求在安全和發(fā)展中找到平衡。1980年，經(jīng)濟合作與發(fā)展組織（Organization for Economic Co-operation and Development，OECD）通過《關于隱私保護和個人跨境數(shù)據(jù)轉移指南》（Guidelines on Privacy Protection and Personal Cross- border Data Transfer，以下簡稱《OECD指南》），標志著歐盟對數(shù)據(jù)流動立法的進一步完善。

（二）《OECD指南》與《有關個人數(shù)據(jù)自動化處理的個體保護公約》

為統(tǒng)一成員國之間數(shù)據(jù)跨境流動的規(guī)則，把握限制數(shù)據(jù)跨境流動的尺度，協(xié)調與確認歐盟成員國內部個人信息和數(shù)據(jù)保護的基本原則及國際數(shù)據(jù)跨境流動的基本框架，《OECD指南》誕生?！禣ECD指南》共22條，對數(shù)據(jù)安全保護做出了詳細規(guī)定。首先，《OECD指南》對數(shù)據(jù)安全保護的最低標準做出規(guī)定，規(guī)定了成員國內部數(shù)據(jù)處理的原則，如限制收集原則、數(shù)據(jù)質量原則、目的明確原則、使用限制原則、安全保障原則、透明原則、個人參與原則、責任原則；其次，規(guī)定了成員國之間的數(shù)據(jù)處理原則，除特殊情況外（其他成員國對某一特定類型數(shù)據(jù)的保護程度低于本國），成員國應避免以隱私保護名義立法限制數(shù)據(jù)的自由流動。所以，《OECD指南》考慮到了不同情況下數(shù)據(jù)跨境流動自由和限制的基本問題。

但是，從效力上看，《OECD指南》只是一種推薦性指南，對各國沒有約束力，無法起到統(tǒng)一成員國數(shù)據(jù)立法的作用。為真正做到統(tǒng)一歐盟成員國數(shù)據(jù)保護立法，歐洲理事會（Council of Europe）于1981年通過《有關個人數(shù)據(jù)自動化處理的個體保護公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Da？ ta，以下簡稱《第108號公約》）。該公約對歐盟成員國具有普遍約束力，是全球范圍內第一部對成員國具有法律約束力的區(qū)域性公約，它規(guī)定了成員國之間個人數(shù)據(jù)的自由流動原則（除非另一成員國對數(shù)據(jù)保護的程度低于本國），保障了歐盟成員國之間的數(shù)據(jù)自由跨境流動。同時，該公約還對數(shù)據(jù)由締約國向非締約國的單向跨境流動做出了規(guī)定，唯有非締約國對個人數(shù)據(jù)提供了適當?shù)谋Ｗo，非締約國才能正常接收上述數(shù)據(jù)。其中，對“適當保護”有兩種具體的判斷方式：第一，由締約國對非締約國的立法進行評估；第二；由締約國對數(shù)據(jù)跨境轉移的合同條款進行評估。以上兩種方式任選其一即可。可以看出，《第108號公約》放松了成員國內部數(shù)據(jù)流動的限制性規(guī)定，但強化了向成員國以外流動的限制，加深了歐盟國家與包括美國在內的其他區(qū)域外國家之間數(shù)據(jù)跨境流動的分歧。

（三）《服務貿易總協(xié)定》一般例外條款對數(shù)據(jù)流動的法律效果

《OECD指南》和《第108號公約》是規(guī)定歐盟國家數(shù)據(jù)安全保護立法的統(tǒng)一性規(guī)范，在保護歐盟成員國之間數(shù)據(jù)自由流動、保障成員國數(shù)據(jù)安全的同時，加深了歐美之間對數(shù)據(jù)自由流動問題的分歧。1995年生效的世界貿易組織（WTO）框架下的《服務貿易總協(xié)定》（General Agreement on Trade in Services，GATS）是以擴大國際服務貿易透明度和自由化、促進成員國經(jīng)濟和發(fā)展中國家服務業(yè)發(fā)展為宗旨的協(xié)定，它雖然不是國際數(shù)據(jù)安全保護的專門協(xié)定，但在數(shù)據(jù)作為全新生產要素的時代，數(shù)據(jù)流動往往會對跨境服務貿易產生影響，因此GATS對歐盟數(shù)據(jù)安全立法具有一定的影響。

跨境服務貿易必然容易對國家主權和內政產生影響，為了“不在情況相同的國家間構成武斷的或不公正的歧視，或構成對服務貿易的變相限制”，GATS第14條對成員國可以實施的措施做了一般例外規(guī)定。該條規(guī)定，為“保護與個人資料的處理和散播有關的個人隱私以及個人記錄和賬戶秘密”，成員國可以對服務貿易進行限制。歐盟把GATS的一般例外條款作為其合法限制國際自由貿易措施的依據(jù)，以保護個人隱私為理由于1995年通過《數(shù)據(jù)保護指令》（Data Protection Directive）（以下簡稱1995年《指令》）限制成員國數(shù)據(jù)向非成員國流動。

（四）《數(shù)據(jù)保護指令》與《通用數(shù)據(jù)保護條例》

1995年《指令》強化了歐盟各國的個人數(shù)據(jù)保護水平，要求各成員國必須設立數(shù)據(jù)監(jiān)管部門對跨境流動的數(shù)據(jù)進行事前審查和批準，并要求各成員國以國內立法的方式對1995年《指令》的內容予以執(zhí)行，該指令同時也掀起了世界其他國家數(shù)據(jù)安全立法的浪潮。[ 8 ]

在網(wǎng)絡技術代際更新加快的背景下，歐盟對數(shù)據(jù)流動規(guī)制的立法也在迎合這種技術潮流，2018年生效的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）代替了1995年《指令》，完善了數(shù)據(jù)保護的基本規(guī)定，繼續(xù)貫徹歐盟對數(shù)據(jù)跨境流動的“內松外嚴”原則。在數(shù)據(jù)跨境流動方面，GDPR第五章對數(shù)據(jù)跨境轉移做出專門規(guī)定。第44條強調若不滿足GDPR的相關規(guī)定，數(shù)據(jù)控制者不得將數(shù)據(jù)轉移至未經(jīng)認定的第三國或者國際組織，且不得將數(shù)據(jù)從該第三國或國際組織轉移至另一非經(jīng)認定的第三國或國際組織。第45條則對第三國與國際組織的資質認定標準、認定后的周期性審查、第三國或國際組織經(jīng)認定后不再具有認定資質的情況、補救措施等進行了詳細規(guī)定。此外，未經(jīng)歐盟認定而進行數(shù)據(jù)跨境轉移的違法責任和特殊情況下的數(shù)據(jù)跨境轉移也在第五章中有詳細規(guī)定。

GDPR為個人數(shù)據(jù)權利提供了強有力的保護，有利于防止第三國或國際組織由于對個人數(shù)據(jù)立法保護水平差異而造成對個人數(shù)據(jù)權利的侵害，但由于冗雜的認定程序以及過高的標準，至今獲得歐盟充分性認證的國家和地區(qū)只有11個：加拿大、阿根廷、瑞士、安道爾、法羅群島、澤西島、馬恩島、根西島、新西蘭、以色列、烏拉圭東岸共和國。[ 9 ]然而在大數(shù)據(jù)時代，對數(shù)據(jù)跨境流動過多限制顯然違背全球化的趨勢與市場規(guī)律。

（五）標準合同條款（SCC）、約束性公司規(guī)制（BCR）與亞太經(jīng)濟合作組織跨境隱私保護規(guī)制（CBPR）對于數(shù)據(jù)流動的差異性規(guī)制

GDPR第45條對第三國或國際組織對數(shù)據(jù)保護的資質認定規(guī)定了三種標準。第一，第三國或國際組織的法制水平，在數(shù)據(jù)安全保護的立法、執(zhí)法與司法環(huán)節(jié)是否能夠切實保障基本自由和人權。第二，在國際組織是主體的情況下，第三國必須具有能夠保證數(shù)據(jù)保護規(guī)則施行的獨立監(jiān)管機構，幫助數(shù)據(jù)主體合法行使權利，推動數(shù)據(jù)主體與其他成員國監(jiān)管機構進行合作。第三，第三國或國際組織愿意承擔已加入的數(shù)據(jù)安全保護公約所規(guī)定的法律責任。由于滿足該條的國家和地區(qū)寥寥無幾，所以如果滿足1995年《指令》第26條與GDPR第46條的規(guī)定，在數(shù)據(jù)主體明確表示同意、傳輸數(shù)據(jù)為合同履行所必需且該合同是為數(shù)據(jù)主體的利益或保護重大公共利益的情況下，沒有被認定為具有充分保護水平的國家和地區(qū)，如果滿足歐盟委員會的標準合同條款（Standard Con？ tractual Clause，SCC）或約束性公司規(guī)則（Binding Corporate Rules，BCR），歐盟成員國也可以向其傳輸個人數(shù)據(jù)。

SCC是指歐盟企業(yè)跨境傳輸個人數(shù)據(jù)時，為保證能讓第三國或地區(qū)按照歐盟標準保護個人數(shù)據(jù)而簽訂的合同，在每次進行數(shù)據(jù)傳輸時都必須簽訂該合同。BCR則免去了重復簽訂合同的麻煩。BCR是專門針對總公司或者子公司在歐盟區(qū)域內的跨國公司的規(guī)則體系，目的是避免位于歐盟的跨國公司向歐洲之外的分支機構傳輸信息數(shù)據(jù)所產生的問題。一般情況下，向歐盟以外沒有通過歐盟認定的國家或地區(qū)傳輸數(shù)據(jù)信息時，按照規(guī)定簽訂標準合同條款即可，但如果總公司或者子公司處于歐盟區(qū)域內，跨國公司集團內的數(shù)據(jù)傳輸必然十分頻繁，每次都簽訂標準合同條款顯然會降低生產效率，加重企業(yè)負擔，因此跨國公司集團內部需要按照GDPR的規(guī)定制定公司內部的約束性公司規(guī)則，并提交歐盟審批，審批通過后不再需要簽訂標準合同條款。

亞洲太平洋經(jīng)濟合作組織跨境隱私保護規(guī)則（Asia- Pacific Economic Cooperation Cross- Border Privacy Rules，CBPR）與BCR具有相似性，都是針對自愿加入相關規(guī)則的跨國企業(yè)對本區(qū)域個人數(shù)據(jù)的保護規(guī)則體系，[ 10 ]但CBPR與BCR也存在如下差異性：首先，CBPR的規(guī)范對象不僅限于亞太區(qū)域內符合隱私規(guī)則規(guī)定的企業(yè)，原則上符合條件的企業(yè)都可以加入；其次，與BCR體系下歐盟數(shù)據(jù)保護當局（Data Protection Authority，DPA）對企業(yè)進行監(jiān)管與制裁不同，在CBPR體系下，由本國的問責代理機構對企業(yè)進行監(jiān)管，本國的隱私執(zhí)法機構對企業(yè)違規(guī)行為進行制裁；再次，與歐盟不同，亞太經(jīng)合組織沒有統(tǒng)一的執(zhí)法機構。在BCR體系下，違反數(shù)據(jù)保護規(guī)則的企業(yè)，由歐盟數(shù)據(jù)保護當局對其進行制裁；在CBPR體系下，違反數(shù)據(jù)保護規(guī)則的企業(yè)由本國隱私執(zhí)法機構依照CBPR的規(guī)定對其進行制裁，企業(yè)所屬國的隱私執(zhí)法機構必須通過CBPR體系的認證。所以，實踐中企業(yè)申請加入CBPR體系的前提條件是本國的問責代理機構和隱私執(zhí)法機構通過了CBPR的認證。

（六）總結

歐盟的GDPR從《OECD指南》逐步發(fā)展而來，以GATS隱私例外條款為國際法依據(jù)，建立了一套針對第三國家或地區(qū)的資質認定體系，對歐盟個人數(shù)據(jù)信息進行保護，嚴格限制數(shù)據(jù)的跨境流動，保障公民個人隱私權與國家社會利益。為保障大數(shù)據(jù)時代數(shù)據(jù)跨境流動，促進生產力發(fā)展，歐盟的BCR與SCC體系解決了第三國無法通過GDPR評估時的數(shù)據(jù)跨境流動問題。由于不同法域的國家政治、經(jīng)濟、文化差異巨大，不同地域的數(shù)據(jù)保護模式存在著差異，歐盟的BCR和美國主導下的CB？ PR可被看作不同數(shù)據(jù)保護模式的延展性成果，將純粹的歐洲保護模式與純粹的美國保護模式進行了融合。為進一步促進數(shù)據(jù)的跨境自由流動，2012年歐盟和APEC組成聯(lián)合工作小組，并于2014年制定“BCR規(guī)則體系和CBPR規(guī)則體系共同參考”，在重申兩者體系內容的同時又制定了共同的新標準，以期實現(xiàn)長期合作。[ 11 ]

但在實踐中，GDPR的資質認定體系存在著諸多問題，首先，1995年《指令》生效以來，通過認定的國家或地區(qū)寥寥無幾，從側面反映出資質認定條件的不合理；其次，歐盟的某些評估標準過于主觀，如GDPR第45條之“法治、對人權與基本自由的尊重”被作為評估標準之一，而具體的法治與人權的評價標準卻不得而知，過于主觀的評價標準容易使之失去公信力。此外，“棱鏡計劃”曝光后，美國主導下的CBPR體系能否真正維護安全的數(shù)據(jù)跨境流動也不得而知。

（一）我國制定數(shù)據(jù)安全法的必要性

從個人利益角度出發(fā)，“數(shù)據(jù)欺詐與盜竊”已經(jīng)連續(xù)數(shù)年被世界經(jīng)濟論壇發(fā)布的《全球風險報告》列為全球十大風險之一。[ 12 ]當我們使用微信、微博、抖音等軟件記錄美好生活的同時，個人隱私也處于被泄漏的危險之中，個人信息如果被泄漏，很有可能被不法分子用于精準詐騙，[ 13 ]或者再次販賣以謀求巨大的經(jīng)濟利益。據(jù)公安部消息，2019年，我國偵破20萬起電信網(wǎng)絡詐騙案件，抓獲犯罪嫌疑人達16.3萬人，分別同比上升52.7%、123.3%，搗毀5 000多個境內詐騙窩點；且互聯(lián)網(wǎng)犯罪呈現(xiàn)出跨國趨勢，同年，我國各地公安機關先后21次赴國外與數(shù)十個國家和地區(qū)開展警務執(zhí)法合作，協(xié)同當?shù)鼐瘑T搗毀70個境外詐騙窩點，將4 276名犯罪嫌疑人從境外押解回國。[ 14 ]由此可見，針對目前互聯(lián)網(wǎng)犯罪數(shù)量多、損失巨大且呈跨國性的犯罪趨勢，數(shù)據(jù)安全保護至關重要。

從社會公共利益的角度出發(fā)，正如習近平總書記在全國網(wǎng)絡安全和信息化工作會議上所指出的：金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經(jīng)濟社會運動的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標。[ 15 ]隨著物聯(lián)網(wǎng)的飛速發(fā)展，智能家具家電、無人駕駛交通工具等人工智能設備正在普及，但如果有人惡意通過技術手段遠程控制核電站、燃氣開關、電站、水壩閘門、鐵路道閘、無人交通工具剎車系統(tǒng)，就極易造成核事故、爆炸、決堤、重大交通事故等，引起無法挽回的重大經(jīng)濟損失甚至大規(guī)模公共傷亡事件，造成社會的動蕩與恐慌。防范上述不確定性的危險，最重要的就是加強數(shù)據(jù)安全保護。

從國家安全的角度出發(fā)，20世紀90年代以來，我國互聯(lián)網(wǎng)技術的飛速發(fā)展迎來了大數(shù)據(jù)時代，國際數(shù)據(jù)公司（International Data Corporation，IDC）發(fā)布的《數(shù)字化世界——從邊緣到核心》與《IDC：2025年中國將擁有全球最大的數(shù)據(jù)圈》白皮書預測，2018—2025年中國的數(shù)據(jù)圈（Data Sphere）①將以30%的年平均增速領先全球，比全球平均增速高3個百分點；2025年中國數(shù)據(jù)圈將增至48.6ZB，占全球27.8%，成為最大數(shù)據(jù)圈。[ 16 ]大數(shù)據(jù)與國家安全密不可分，如此海量的大數(shù)據(jù)，如果沒有必要的保護，必然不利于國家安全。多源信息融合技術使平時看似無用的普通數(shù)據(jù)在一定條件下具備了泄漏國家機密的可能，如2018年美軍士兵使用名為Strava的健身軟件健身，由于該軟件有記錄行走路線的功能，結果意外暴露了其所在軍事基地的位置和基地內部結構。[ 17 ]2015年國務院發(fā)布《促進大數(shù)據(jù)發(fā)展行動綱要》，肯定了大數(shù)據(jù)的重要性，指出了其在經(jīng)濟運行、社會生活方式與國家治理中對創(chuàng)新企業(yè)組織方式、提高資源重新分配效率、促進政府科學決策與風險預防水平的重要作用，[ 18 ]確立了大數(shù)據(jù)作為國家新型基礎性戰(zhàn)略資源的地位。因此，從法律層面對數(shù)據(jù)安全與發(fā)展進行系統(tǒng)性規(guī)制十分重要。

從數(shù)據(jù)主權的角度出發(fā)，近年來，放眼國際社會，除日益猖獗的跨國犯罪集團與極端恐怖勢力外，國際霸權主義和強權政治依然盛行，斯諾登披露的“棱鏡計劃”震撼世界各國。歐美不斷適用長臂管轄原則，擴張本國法律的域外效力，美國、印度等國無端對微信、抖音等我國信息技術產業(yè)進行打壓。為應對上述情形，我國應通過數(shù)據(jù)立法，完善數(shù)據(jù)分類分級制度、數(shù)據(jù)跨境轉移制度、重要數(shù)據(jù)保護制度等，保障我國數(shù)據(jù)的管轄權、獨立權、防衛(wèi)權、平等權不受侵犯。然而作為全世界網(wǎng)民人數(shù)最多的數(shù)據(jù)大國，[ 19 ]我國至今還沒有一部統(tǒng)一的數(shù)據(jù)法規(guī)制數(shù)據(jù)的安全運行和流動。而其他全球主要經(jīng)濟體大多已通過立法的形式對數(shù)據(jù)相關權利進行規(guī)制，美國已經(jīng)把大數(shù)據(jù)視為強化國家競爭力的關鍵因素之一，英、法等國不斷推進相關戰(zhàn)略項目來保護本國的網(wǎng)絡安全，[ 20 ]日本以建設世界一流的“信息安全先進國家”和“網(wǎng)絡安全立國”為國家戰(zhàn)略目標，出臺了一系列國家戰(zhàn)略文件；[ 21 ]北約網(wǎng)絡空間安全框表明，目前世界上有100多個國家具備一定的網(wǎng)絡戰(zhàn)能力，公開發(fā)布網(wǎng)絡安全戰(zhàn)略的國家達56個。[ 22 ]在全國網(wǎng)絡安全和信息化工作會議上，習近平總書記表示：“沒有網(wǎng)絡安全就沒有國家安全。”[ 15 ]中國作為數(shù)據(jù)大國，應當進行統(tǒng)一的數(shù)據(jù)立法，規(guī)范數(shù)據(jù)跨境流動行為。

（二）我國數(shù)據(jù)安全立法現(xiàn)狀

2016年11月7日，我國頒布《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》），這是我國第一部關于網(wǎng)絡安全的整體性立法。該法第一條規(guī)定：“為了保障網(wǎng)絡安全，維護網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展，制定本法。”該法是一部為規(guī)范互聯(lián)網(wǎng)全網(wǎng)體系而制定的法律，大部分是原則性規(guī)定，對數(shù)據(jù)的規(guī)定并非核心，但有關數(shù)據(jù)安全的規(guī)定仍然為此后的數(shù)據(jù)安全立法奠定了方向。整體上，該法維護網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性，防止網(wǎng)絡數(shù)據(jù)的泄漏或者被竊取、篡改，不準提供專門用于危害網(wǎng)絡安全的程序、工具，并且對關鍵信息基礎設施做出了規(guī)定；針對個人信息，該法明確網(wǎng)絡運營者有保護用戶數(shù)據(jù)的義務，應合法收集用戶信息，未經(jīng)用戶允許不得泄漏、毀壞、向他人提供個人信息，有錯誤的應當及時改正；該法規(guī)定重要數(shù)據(jù)應儲存在境內，未經(jīng)網(wǎng)信部門或國務院有關部門的安全評估不得跨境傳輸，并要求建立監(jiān)測預警和應急處置制度。所以，《網(wǎng)絡安全法》明確將數(shù)據(jù)作為獨立的法益進行保護，規(guī)定了公民對個人信息的權利，且首次提到“重要數(shù)據(jù)”這一概念，重要數(shù)據(jù)應儲存于境內，未經(jīng)審批不得進行跨境流動。這為以后的《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱《數(shù)據(jù)安全法（草案）》）奠定了基礎。

在數(shù)據(jù)安全法缺位的情況下，為保障個人的數(shù)據(jù)權益，我國出臺了包括《數(shù)據(jù)安全管理辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》等多部法律文件。總體來看，我國目前的數(shù)據(jù)安全法規(guī)過于分散化，缺乏體系性，現(xiàn)有涉及個人數(shù)據(jù)保護的法律法規(guī)近70部，法律解釋10條，部門規(guī)章近200部，[ 23 ]且大部分是原則性規(guī)定，對數(shù)據(jù)主體權利的內容、規(guī)制方式以及救濟途徑都有明顯缺失。[ 24 ]此外，部分地方性法規(guī)和部門規(guī)章之間相互矛盾，與上位法沖突的情況較常見。如2019年10月1日開始施行的《貴州省大數(shù)據(jù)安全保障條例》第57條：“違反本條例第二十七條第二款、第二十九條規(guī)定的……情節(jié)嚴重的，責令暫停相關業(yè)務、停業(yè)整頓，或者吊銷相關業(yè)務許可證、營業(yè)執(zhí)照?！痹摰胤秸?guī)章的內容顯然違反了《中華人民共和國行政處罰法》第11條地方性法規(guī)不可以設定吊銷營業(yè)執(zhí)照的規(guī)定，過于分散的法規(guī)現(xiàn)狀顯然無法為數(shù)據(jù)安全提供切實可靠的法律依據(jù)。

（三）《數(shù)據(jù)安全法（草案）》的法律分析

《數(shù)據(jù)安全法（草案）》目前正處于公開征求意見階段，數(shù)據(jù)安全法是數(shù)字安全領域的基礎性法律，[ 25 ]應包括數(shù)據(jù)安全與發(fā)展原則、數(shù)據(jù)分級分類原則、促進數(shù)據(jù)跨境安全與自由流動、數(shù)據(jù)安全相關制度、相關主體的數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放以及相關違法行為的法律責任等內容。

數(shù)據(jù)安全與發(fā)展原則與數(shù)據(jù)跨境流動息息相關?！稊?shù)據(jù)安全法（草案）》在第二章設置了“數(shù)據(jù)安全與發(fā)展”專章。數(shù)據(jù)作為國家基礎性戰(zhàn)略資源，在促進國民經(jīng)濟發(fā)展和提升國家國際競爭力方面發(fā)揮著重要的作用。因此，國家實施大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)基礎設施建設，鼓勵和支持數(shù)據(jù)在各行業(yè)、各領域的創(chuàng)新發(fā)展。網(wǎng)絡安全是國家安全的基礎，數(shù)據(jù)安全問題是世界各國都面臨的重要問題，必須在發(fā)展數(shù)據(jù)技術的同時保障數(shù)據(jù)安全。數(shù)據(jù)跨境流動必須在“發(fā)展”與“安全”之間找到平衡點，過度的“發(fā)展”或“安全”都有可能造成國家、社會和個人利益的損害。

數(shù)據(jù)的安全保障是數(shù)據(jù)技術發(fā)展的前提。《數(shù)據(jù)安全法（草案）》第三章“數(shù)據(jù)安全制度”通過多種安全制度來保障數(shù)據(jù)安全。第二十條以數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度以及遭到篡改、泄漏和破壞后對國家、社會、公民、組織的危害程度為劃分標準，建立數(shù)據(jù)分類分級保護制度，對各行各業(yè)不同重要程度的數(shù)據(jù)進行分類分級，有針對性地進行專門保護。第二十一條規(guī)定，建立統(tǒng)一高效權威的數(shù)據(jù)安全風險評估、報告、信息共享和預警機制，預防數(shù)據(jù)遭到篡改、泄漏和破壞，防止損害的發(fā)生。第二十二條規(guī)定，建立數(shù)據(jù)安全應急處置機制，在發(fā)生數(shù)據(jù)安全事件時，最大程度降低事件造成的社會危害。第二十三條規(guī)定，建立數(shù)據(jù)安全審查制度，對可能危害國家安全的數(shù)據(jù)活動進行國家安全審查。第二十四條和第二十五條規(guī)定，對特定數(shù)據(jù)實行出口管制，在遭到世界其他國家的歧視性禁止、限制時，對相關國家采取相應的對等措施，維護國家主權和尊嚴。

《數(shù)據(jù)安全法（草案）》第四章通過對重要數(shù)據(jù)的處理者以及數(shù)據(jù)安全負責人、管理機構課以數(shù)據(jù)安全保護義務，明確了責任主體，以此保證規(guī)定內容的落實。第五章專門對政務數(shù)據(jù)進行規(guī)定，要求國家機關大力推進電子政務建設，提高政務數(shù)據(jù)的科學性、準確性、時效性，更好地發(fā)揮大數(shù)據(jù)對社會發(fā)展的促進作用；國家機關應在法定職責權限內收集和使用數(shù)據(jù)，避免權力濫用而對公民造成危害；國家機關應監(jiān)督管理數(shù)據(jù)安全，落實數(shù)據(jù)安全保護責任，保障政務數(shù)據(jù)的安全；國家機關應遵循公正、公平、便民的原則，依法準確向公民公開相關政務數(shù)據(jù)，保障公民知情權。沒有履行相關義務或者非法從事數(shù)據(jù)活動的主體，根據(jù)第六章的規(guī)定承擔相關行政責任或刑事責任。綜上，《數(shù)據(jù)安全法（草案）》對數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)分級分類原則、相關責任主體以及法律責任等方面進行了規(guī)定，為數(shù)據(jù)保護與流動確定了基調。

（一）調整對象過于廣泛

《數(shù)據(jù)安全法（草案）》第三條對“數(shù)據(jù)”的定義：“本法所稱數(shù)據(jù)，是指任何以電子或者非電子形式對信息的記錄?！币虼?，《數(shù)據(jù)安全法（草案）》的調整對象幾乎涵蓋了所有電子與非電子形式對信息的記錄，調整范圍過于廣泛，超出了該草案的能力范圍。參照《網(wǎng)絡安全法》第七十六條第四款：“網(wǎng)絡數(shù)據(jù)，是指通過網(wǎng)絡收集、存儲、傳輸、處理和產生的各種電子數(shù)據(jù)”，將《網(wǎng)絡安全法》調整的數(shù)據(jù)限定為“電子數(shù)據(jù)”?！洞龠M大數(shù)據(jù)發(fā)展行動綱要》顯示，“信息技術與經(jīng)濟社會的交匯融合引發(fā)了數(shù)據(jù)迅猛增長，數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源”。[ 2 ]其中“數(shù)據(jù)迅猛增長”是由“信息技術與經(jīng)濟社會的交匯融合”而引發(fā)的，“數(shù)據(jù)”產生于“信息技術”，因而其語義應該更偏向于“電子數(shù)據(jù)”。如果法律所調整的對象過寬，其效果必然無法達到立法者的意圖，造成立法資源的浪費。

（二）操作性不足、實施空間有限

《數(shù)據(jù)安全法（草案）》還存在其他可操作性差、可實施性弱的規(guī)定。如第二十條規(guī)定“對數(shù)據(jù)實行分級分類保護”，然而對“分級分類保護”進行描述的條文僅此一處，容易使“分級分類保護”無法發(fā)揮應有的作用。在大數(shù)據(jù)戰(zhàn)略下，數(shù)據(jù)雖然是國家的基礎性戰(zhàn)略資源，但必然存在大量無價值的垃圾數(shù)據(jù)，通過“分級分類”確定的高價值重要數(shù)據(jù)才是數(shù)據(jù)安全法的保護對象。因此，“分級分類”制度可謂核心制度，沒有“分級分類”制度就無法界定該法的調整對象，也無法落實跨境保護制度與重要數(shù)據(jù)保護制度等其他制度。因此，應設立專章或者通過司法解釋對“數(shù)據(jù)分級分類制度”進行詳細規(guī)定。另外，同樣是在《數(shù)據(jù)安全法（草案）》第二十條中，有確定重要數(shù)據(jù)目錄、加強對重要數(shù)據(jù)保護的規(guī)定，但草案附則中沒有對該條中的重要數(shù)據(jù)進行解釋。雖然2017年4月11日《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》對重要數(shù)據(jù)的概念進行了界定，但該辦法至今尚未出臺。欠缺對重要數(shù)據(jù)這一術語的界定，不利于確定重要數(shù)據(jù)目錄，亦不利于加強對重要數(shù)據(jù)的保護，這亦是《數(shù)據(jù)安全法（草案）》二審稿操作性不足、實施空間有限的體現(xiàn)。

（三）原則性條款過多

2016年的《網(wǎng)絡安全法》首先規(guī)定了重要數(shù)據(jù)境內儲存的原則，《數(shù)據(jù)安全法（草案）》應對數(shù)據(jù)跨境流動問題做出更詳細的規(guī)定。然而，《數(shù)據(jù)安全（草案）》與數(shù)據(jù)跨境流動相關的條文僅有四條，且沒有如何建設這些制度的具體闡述。其中，第十一條規(guī)定，國家積極參與數(shù)據(jù)安全國際規(guī)則的制定，但沒有明確國內數(shù)據(jù)安全法規(guī)則與國際數(shù)據(jù)安全法規(guī)則的接軌機制；第二十四條明確了國家對屬于管制物項的數(shù)據(jù)依法實施出口管制；第三十條是數(shù)據(jù)出境管理與《網(wǎng)絡安全法》予以銜接的規(guī)定；第三十五條規(guī)定了境外執(zhí)法機構跨境對我國數(shù)據(jù)的調取權限。另外，《數(shù)據(jù)安全法（草案）》第二十條分級分類制度、第二十一條風險評估制度、第二十二條安全應急處置機制、第二十三條數(shù)據(jù)安全審查制度的具體內容都不是很明確。立法條文的籠統(tǒng)與模糊，極易導致企業(yè)具體實踐中的無所適從和監(jiān)管主體的肆意執(zhí)法。因此，應當像GDPR與CPBR一樣，對認證標準、數(shù)據(jù)跨境審批機構、監(jiān)管機構等做出詳細規(guī)定。

（四）數(shù)據(jù)安全保護環(huán)節(jié)企業(yè)責任義務形式單一

實踐中，一些互聯(lián)網(wǎng)企業(yè)掌握和處理著大量的數(shù)據(jù)資源，因而企業(yè)在維護數(shù)據(jù)安全方面的責任不容忽視。《數(shù)據(jù)安全法（草案）》對企業(yè)的責任義務規(guī)定較為籠統(tǒng)。具體體現(xiàn)在，雖然草案第八條是關于企業(yè)誠實守信、遵守商業(yè)道德的原則性規(guī)定，但并未具體說明企業(yè)在維護數(shù)據(jù)安全方面具體應履行哪些義務，例如是否需要定期開展數(shù)據(jù)安全外部合規(guī)審計、進行企業(yè)內部的數(shù)據(jù)安全教育培訓等。同時草案第二十六條雖然有開展安全培訓的相關內容，但并未將開展安全教育的義務主體明確指向企業(yè)，規(guī)定較為模糊。另外，如果企業(yè)違反了上述原則，現(xiàn)有的《數(shù)據(jù)安全法（草案）》中也欠缺具有針對性和多樣化的企業(yè)法律責任形式，如計入誠信檔案、職業(yè)禁止等。綜上，目前《數(shù)據(jù)安全法（草案）》對于企業(yè)的數(shù)據(jù)安全保護義務規(guī)定不夠全面，責任形式規(guī)定較為單一。應創(chuàng)新企業(yè)違法責任形式，引入信用管理，將企業(yè)違反數(shù)據(jù)安全法的行為納入企業(yè)信用評級體系，反向督促企業(yè)加強數(shù)據(jù)安全管理。對于直接涉及的公司高層和主管人員，可采取職業(yè)禁止的處罰方式，以改善目前草案處罰方式單一無力的狀況。提升企業(yè)維護數(shù)據(jù)安全的意識，防止因數(shù)據(jù)安全事件給國家、社會、組織和公民帶來損失，真正達到預防數(shù)據(jù)違法行為的目的。

（一）明確數(shù)據(jù)定義，縮小調整范圍

數(shù)據(jù)安全法應該對數(shù)據(jù)做出重新定義，縮小其內涵。專門規(guī)范保護個人信息的法律《中華人民共和國個人信息保護法》目前正在制定中，將對個人信息數(shù)據(jù)的保護交給該法即可。對于不關乎國家“基礎性戰(zhàn)略資源”的信息數(shù)據(jù)，如企業(yè)商業(yè)機密等，通過《中華人民共和國反不正當競爭法》《中華人民共和國侵權責任法》或者《中華人民共和國專利法》《中華人民共和國商標法》《中華人民共和國著作權法》等法律進行調整即可。

數(shù)據(jù)安全立法要強調國家安全、數(shù)據(jù)安全與數(shù)據(jù)流動之間的平衡，指導思想是總體國家安全觀。因此，數(shù)據(jù)安全法中的數(shù)據(jù)內涵應該被限定為：大數(shù)據(jù)戰(zhàn)略下，通過數(shù)據(jù)分類分級制度確定的承載國家重要利益的作為國家基礎性戰(zhàn)略資源的數(shù)據(jù)，以及企事業(yè)單位等法人的重要數(shù)據(jù)。對于哪些屬于上述定義中的數(shù)據(jù)，可以通過分級分類制度進行判斷。此外，為符合大數(shù)據(jù)時代潮流，增強法律可操作性，應推進重要非電子數(shù)據(jù)的電子化，在一定期限后，將非電子化數(shù)據(jù)排除在數(shù)據(jù)安全法的保護對象之外。[ 26 ]

（二）完善數(shù)據(jù)跨境流動制度

面對GDPR過高的充分性認證條件，歐盟BCR和美國主導下的CBPR體系是當今世界最主流的兩種數(shù)據(jù)跨境規(guī)則體系。我國互聯(lián)網(wǎng)發(fā)展晚于歐美，數(shù)據(jù)立法在近幾年才起步，面對歐美的BCR和CBPR體系，應該堅持維護我國的數(shù)據(jù)自主權，完善我國特有的數(shù)據(jù)分級分類制度，[ 27 ]明確哪些數(shù)據(jù)可以跨境流動，哪些數(shù)據(jù)事關國家安全不能跨境傳輸，避免審查機關對同一種數(shù)據(jù)的重復審查，提高工作效率，減輕審查機關的負擔。借鑒歐美經(jīng)驗，制定科學的數(shù)據(jù)跨境規(guī)則，協(xié)調數(shù)據(jù)安全與社會經(jīng)濟利益的關系。我國作為數(shù)據(jù)大國，應積極參與全球數(shù)據(jù)跨境規(guī)則的制定，在全球數(shù)據(jù)戰(zhàn)略中把握先機。具體來講，我國可效仿GDPR第四十四條的規(guī)定，對第三國實施充分性認定，禁止向數(shù)據(jù)保護水平低于我國的第三國或國際組織進行數(shù)據(jù)跨境流動。同時效仿GDPR第四十五條，對第三國與國際組織的資質認定標準、認定后的周期性審查、第三國或國際組織經(jīng)認定后不再具有認定資質的情況、補救措施等做出詳細規(guī)定。對于未經(jīng)認定而進行數(shù)據(jù)跨境轉移的違法責任，以及特殊情況下未經(jīng)充分性認定的數(shù)據(jù)跨境轉移特許等內容進行規(guī)定。為保障我國企業(yè)數(shù)據(jù)利益，還可靈活借鑒GDPR中的標準合同條款（SCC）和約束性公司規(guī)則（BCR）的規(guī)定，充分保障我國企業(yè)跨境數(shù)據(jù)流動的安全和發(fā)展利益。[ 28 ]除歐盟GDPR外，也可以從美國主導的APEC跨境隱私規(guī)則（CB？ PR）中吸取經(jīng)驗和教訓，完善我國數(shù)據(jù)立法的數(shù)據(jù)跨境流動審查制度、重要數(shù)據(jù)境內儲存制度以及數(shù)據(jù)主體審核制度，保障我國數(shù)據(jù)立法的域外效力和數(shù)據(jù)主權。

（三）完善相關配套立法，提高數(shù)據(jù)安全法可實施性

數(shù)據(jù)安全法作為數(shù)據(jù)安全領域的基礎法律，其條文大多為原則性規(guī)定，為之后的立法起指導作用。我國的數(shù)據(jù)安全立法與歐美相比起步較晚，各項機制不夠成熟，應盡快抓緊數(shù)據(jù)安全法的相關配套法律法規(guī)的制定工作，提高數(shù)據(jù)安全法的可實施性。國際層面，我國數(shù)據(jù)安全法應考慮與國際社會現(xiàn)有立法的銜接，明確制度接口，避免出現(xiàn)與國際社會現(xiàn)有立法明顯沖突與不協(xié)調的情形。[ 29 ]同時，積極利用“一帶一路”倡議、博鰲論壇等國際平臺，加強數(shù)據(jù)安全國際協(xié)調與合作，通過數(shù)據(jù)安全保護多邊合作協(xié)議細化數(shù)據(jù)安全保護域外效力。國內層面，首先，應厘清目前已有的《中華人民共和國國家安全法》（以下簡稱《國家安全法》）、《網(wǎng)絡安全法》與數(shù)據(jù)安全法的關系，從立法目標來看，它們均是從國家安全與公共利益出發(fā)，《網(wǎng)絡安全法》與數(shù)據(jù)安全法是《國家安全法》在網(wǎng)絡和數(shù)據(jù)保護方面的細化。[ 30 ]此外，目前我國數(shù)據(jù)安全領域的法規(guī)還包括《中華人民共和國保守國家秘密法》《中華人民共和國對外合作開采海洋石油資源條例》《科學數(shù)據(jù)管理辦法》《數(shù)據(jù)安全管理辦法》，以及地方性法規(guī)如《貴州省大數(shù)據(jù)安全保障條例》《天津市數(shù)據(jù)安全管理辦法（暫行）》《海南自由貿易港建設總體方案》等，這些法規(guī)應與即將出臺的數(shù)據(jù)安全法有效協(xié)調和銜接。

（四）強化企業(yè)守法能力與自我監(jiān)督機制

在歐美數(shù)據(jù)跨境規(guī)則體系下，BCR充分發(fā)揮了企業(yè)自我監(jiān)督的機能。在大數(shù)據(jù)時代下，面對海量種類繁多的數(shù)據(jù)，如果不發(fā)揮企業(yè)自我監(jiān)管的機能，僅靠政府承擔過重的監(jiān)管審批職能容易抑制市場的運行機制，不利于數(shù)據(jù)的安全合法跨境流動，不利于生產效率的提高。因此應注重企業(yè)自我監(jiān)管機能和國家監(jiān)管職能的協(xié)調發(fā)展。[ 31 ]商業(yè)的逐利本質決定了企業(yè)在非涉及商業(yè)機密的數(shù)據(jù)監(jiān)管方面可能欠缺積極性，因為它提高了企業(yè)的運行成本，此時就需要完善的措施以加強企業(yè)的自我監(jiān)管。具體來講，應加強數(shù)據(jù)安全保護法治教育，提高企業(yè)自我監(jiān)管意識，尤其是對掌握眾多數(shù)據(jù)資源的互聯(lián)網(wǎng)企業(yè)，應推動它們積極建立數(shù)據(jù)管理機構。建議在草案中增設“數(shù)據(jù)安全審查制度”，定期對企業(yè)數(shù)據(jù)安全管理工作進行審查和監(jiān)督。由于數(shù)據(jù)安全法律業(yè)務不可避免地會涉及計算機行業(yè)相關知識，企業(yè)法務人員必須有意識地與時俱進。另外，行業(yè)組織要發(fā)揮引領導向作用，充分考慮所屬行業(yè)和領域的專業(yè)性與獨特性，推動企業(yè)建立并完善符合國家數(shù)據(jù)發(fā)展要求的數(shù)據(jù)管理體系。

在大數(shù)據(jù)時代，網(wǎng)絡安全是關系到國家安全的重大問題，網(wǎng)絡安全立法一直是我國各界關注的焦點。數(shù)據(jù)是大數(shù)據(jù)時代網(wǎng)絡的核心要素，在國家的現(xiàn)代化進程中，無疑是基礎性的戰(zhàn)略資源，且數(shù)據(jù)跨境流動呈現(xiàn)出愈來愈頻繁的趨勢，因此出臺數(shù)據(jù)安全法是順應大數(shù)據(jù)時代潮流的必然要求。20世紀70年代以來，歐美在保護數(shù)據(jù)安全、促進數(shù)據(jù)跨境流動方面不斷摸索，至今已經(jīng)形成了較為成熟的數(shù)據(jù)安全保障體系，包括數(shù)據(jù)跨境流動規(guī)則。

我國自2016年《網(wǎng)絡安全法》頒布以來，一系列的網(wǎng)絡安全立法正在起步，網(wǎng)絡安全的重要性和網(wǎng)絡安全立法落后的錯位局面也不斷改善?！稊?shù)據(jù)安全法（草案）》目前正在全網(wǎng)公開征求意見，本文主要從數(shù)據(jù)跨境流動的角度介紹了歐美數(shù)據(jù)跨境流動的規(guī)則體系，分析《數(shù)據(jù)安全法（草案）》的內容，借鑒歐美規(guī)則體系且提出了對草案優(yōu)化路徑的看法，以期我國網(wǎng)絡安全立法盡快跟上世界潮流。

注釋：

①數(shù)據(jù)圈是指每年被創(chuàng)建、采集或復制的數(shù)據(jù)集合。

參考文獻：

[1]中國互聯(lián)網(wǎng)絡信息中心.第45次中國互聯(lián)網(wǎng)絡發(fā)展統(tǒng)計報告[R].2020.

[2]中華人民共和國國務院.促進大數(shù)據(jù)發(fā)展行動綱要[EB/ OL].（2015-09-05）[2021-03-22].http：//www.gov.cn/xin？ wen/2015-09/05/content_2925284.htm.

[3]中華人民共和國國務院.中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要[EB/OL].（2016-03-17）[2021- 03- 22].http：//www.gov.cn/xinwen/2016- 03/17/con？ tent_5054992.htm.

[4]2016年十大數(shù)據(jù)泄露事件：社交網(wǎng)絡成泄漏重災區(qū)[EB/ OL].（2016-12-09）[2021-03-22].https：//www.sohu.com/a/ 122021640_526642.

[5]雅虎自曝遭黑客攻擊超15億用戶賬號信息被盜[EB/ OL].（2016-12-15）[2021-03-22].http：//www.cankaoxiaoxi. com/world/20161215/1522272.shtml.

[6]張金平.跨境數(shù)據(jù)轉移的國際規(guī)制及中國法律的應對——兼評我國《網(wǎng)絡安全法》上的跨境數(shù)據(jù)轉移限制規(guī)則[J].政治與法律，2016（12）：136-154.

[7]李艷華.全球跨境數(shù)據(jù)流動的規(guī)制路徑與中國抉擇[J].時代法學，2019（5）：106-116.

[8]程嘯.民法典編纂視野下的個人信息保護[J].中國法學，2019（4）：26-43.

[9]朱雪忠，代志在.總體國家安全觀視域下《數(shù)據(jù)安全法》的價值與體系定位[J].電子政務，2020（8）：82-92.

[10]王舒毅.日本網(wǎng)絡安全戰(zhàn)略：發(fā)展、特點及借鑒[J].中國行政管理，2015（1）：152-156.

[11]沈昌祥.網(wǎng)絡空間安全戰(zhàn)略思考與啟示[J].金融電子化，2014（6）：11-13.

[12]WORLD ECONOMIC FORUM.The global risks report 2020[EB/OL].（2020-01-15）[2021-02-09].https：//www. weforum.org/reports/the-global-risks-re-port-2020.pdf.

[13]王春暉.聚焦《數(shù)據(jù)安全法（草案）》[N].人民郵電，2020-07-24（008）.

[14]朱曉娟.論跨境電商中個人信息保護的制度構建與完善[J].法學雜志，2021（2）：87-96.

[15]習近平.在網(wǎng)絡安全和信息化工作座談會上的講話[EB/ OL].（2016-04-19）[2021-03-21].http：//www.xinhuanet. com/politics/2016-04/25/c_1118731175.htm.

[16]IDC：預計到2025年中國將擁有全球最大數(shù)據(jù)圈[EB/ OL].（2019-02-22）[2021-03-22].http：//www.sohu.com/a/ 296399140_100117963.

[17]鄧崧，黃嵐，馬步濤.基于數(shù)據(jù)主權的數(shù)據(jù)跨境管理比較研究[J/OL].情報雜志（2021-04-29）[2021-05-12]. http：//kns.cnki.net/kcms/detail/61.1167.G3.20210429.134 2.002.html.

[18]王中美.跨境數(shù)據(jù)流動的全球治理框架：分歧與妥協(xié)[J].國際經(jīng)貿探索，2021（4）：98-112.

[19]洪延青.推進“一帶一路”數(shù)據(jù)跨境流動的中國方案——以美歐范式為背景的展開[J].中國法律評論，2021（2）：30-42.

[20]周念利，姚亭亭.數(shù)據(jù)跨境流動限制性措施對數(shù)字貿易出口技術復雜度影響的經(jīng)驗研究[J].廣東財經(jīng)大學學報，2021（2）：4-15.

[21]劉典.全球數(shù)字貿易的格局演進、發(fā)展趨勢與中國應對——基于跨境數(shù)據(jù)流動規(guī)制的視角[J].學術論壇，2021（1）：95-104.

[22]許可.自由與安全：數(shù)據(jù)跨境流動的中國方案[J].環(huán)球法律評論，2021（1）：22-37.

[23]馬其家，李曉楠.論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構建[J].法治研究，2021（1）：91-101.

[24]薛亦颯.多層次數(shù)據(jù)出境體系構建與數(shù)據(jù)流動自由的實現(xiàn)——以實質性審查制變革為起點[J].西北民族大學學報（哲學社會科學版），2020（6）：64-74.

[25]時業(yè)偉.跨境數(shù)據(jù)流動中的國際貿易規(guī)則：規(guī)制、兼容與發(fā)展[J].比較法研究，2020（4）：173-184.

[26]翁國民，宋麗.數(shù)據(jù)跨境傳輸?shù)姆梢?guī)制[J].浙江大學學報（人文社會科學版），2020（2）：38-53.

[27]許多奇.論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學，2020（2）：185-197.

[28]葉開儒.數(shù)據(jù)跨境流動規(guī)制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[J].法學評論，2020（1）：106-117.

[29]張生.國際投資法制框架下的跨境數(shù)據(jù)流動：保護、例外和挑戰(zhàn)[J].當代法學，2019（5）：148-160.

[30]鄒軍.基于歐盟《通用數(shù)據(jù)保護條例》的個人數(shù)據(jù)跨境流動規(guī)制機制研究[J].新聞大學，2019（12）：16-27.

[31]田曉萍.貿易壁壘視角下的歐盟《一般數(shù)據(jù)保護條例》[J].政法論叢，2019（4）：123-135.

責任編輯：方程

The Current Situation of Legal Regulation of Cross-border Data Flow and the Countermeasures

——from the Perspective of International Rules and the Data Security Law（Draft）

ZENG Lei

（Law School，Gansu University of Political Science and Law，Lanzhou 730070，Gansu，China）

Abstract：In the context of global connectivity，cross-border data flow is an essential element to realize the balanced development of economic and technological globalization. At the same time，data security is closely related to national security，personal privacy，etc.，and the regulatory scale of cross-border data flow has become a focus issue of data security. At present，the representative of cross-border data flows regulation is European model and American model. The European model focuses on personal privacy and human rights protections，and severely restricts the cross-border data flow beyond the European Union；and the American model advocates the free cross-border data flow and continues to broaden its global jurisdiction. China has now initially established the rules of cross-border data flow taking the Cyber Security Law and the Data Security Law（draft）as the main content. However，compared with the above-mentioned international rules，there are still some problems with China’s rules concerning cross-border data flow，such as the too broad adjustment object that cannot be accurately limited to electronic data，and so on. We should，first，further clarify the definition of data，narrow the adjustment scope，and exclude the non-electronic data from the protection object of data security law；second，we should establish a scientific and reasonable data classification system and a cross-border flow review system in line with international rules；and third，we should establish a“data security audit system”to strengthen the enterprise’s compliance with the law and self-monitoring mechanism，so as to properly regulate the cross-border data flow.

Key words：data；cross-border data flow；international rules；Data Security Law（draft）