劉耀華

跨境數(shù)據(jù)流動(dòng)政策是數(shù)據(jù)治理國際化中的重要議題，事關(guān)國家數(shù)據(jù)安全和數(shù)字經(jīng)濟(jì)發(fā)展。

美國知名智庫布魯金斯學(xué)會(huì)的研究顯示，在2009年到2018年的10年間，跨境數(shù)據(jù)流動(dòng)對全球GDP增長的貢獻(xiàn)度高達(dá)10.1%，預(yù)計(jì)2025年數(shù)據(jù)跨境流動(dòng)對全球經(jīng)濟(jì)增長的價(jià)值貢獻(xiàn)有望突破11萬億美元。美國、歐盟和其他國家（地區(qū)）根據(jù)自身安全和經(jīng)濟(jì)發(fā)展等訴求，建立了不同的跨境數(shù)據(jù)流動(dòng)政策。我國正處于數(shù)字經(jīng)濟(jì)快速發(fā)展的戰(zhàn)略機(jī)遇期，亟須完善跨境數(shù)據(jù)流動(dòng)相關(guān)制度，明確我國對內(nèi)對外基本主張。

推本溯源，什么是跨境數(shù)據(jù)流動(dòng)？

筆者認(rèn)為，目前，聯(lián)合國跨國公司中心對跨境數(shù)據(jù)流動(dòng)的定義最為權(quán)威：跨越國界對存儲在計(jì)算機(jī)中的機(jī)器可讀數(shù)據(jù)進(jìn)行處理、存儲和檢索。這一定義包含兩種形式上的跨境數(shù)據(jù)流動(dòng)：一種是數(shù)據(jù)跨越國界（流出和流入）傳輸和處理;另一種是數(shù)據(jù)即使沒有跨越國界，但被第三國主體訪問。全球僅有少數(shù)國家將后者作為跨境數(shù)據(jù)流動(dòng)進(jìn)行管理，大多數(shù)國家將物理上確實(shí)跨越了國界的數(shù)據(jù)流動(dòng)作為監(jiān)管重點(diǎn)，這也是本文的主要關(guān)注方向。

跨境數(shù)據(jù)流動(dòng)根據(jù)主導(dǎo)主體不同，其主要形式可以分為政府主導(dǎo)的及企業(yè)主導(dǎo)的跨境數(shù)據(jù)流動(dòng)。

政府主導(dǎo)的跨境數(shù)據(jù)流動(dòng)一般通過雙邊或多邊的合作機(jī)制實(shí)現(xiàn)。出于對各國國家主權(quán)的相互尊重，一國政府獲取存儲在其他國家的數(shù)據(jù)，應(yīng)由政府之間通過合作、磋商等手段實(shí)現(xiàn)。然而，有些國家為提升跨境調(diào)取數(shù)據(jù)的效率，打破了傳統(tǒng)的合作機(jī)制，采取直接要求企業(yè)提供境外數(shù)據(jù)、通過立法實(shí)施長臂管轄等強(qiáng)制性方式獲取所需數(shù)據(jù)。比如，2013年美國政府為進(jìn)行反毒品調(diào)查要求微軟提供存儲于愛爾蘭數(shù)據(jù)中心的客戶數(shù)據(jù);2018年美國通過《澄清境外數(shù)據(jù)的合法使用法案》（CLOUD 法案），為美國執(zhí)法機(jī)構(gòu)訪問在美國境內(nèi)運(yùn)營的企業(yè)存儲在海外的用戶數(shù)據(jù)提供明確授權(quán)，明確要求服務(wù)提供者提供在境外存儲的數(shù)據(jù)。

企業(yè)主導(dǎo)的跨境數(shù)據(jù)流動(dòng)主要源自跨境貿(mào)易活動(dòng)。隨著經(jīng)濟(jì)全球化、社會(huì)信息化深入發(fā)展，企業(yè)通過建立電子商務(wù)、社交網(wǎng)絡(luò)、數(shù)字媒體等跨境互聯(lián)網(wǎng)平臺實(shí)現(xiàn)跨境服務(wù)，跨境數(shù)據(jù)流動(dòng)現(xiàn)象更加突出。而隨著工業(yè)互聯(lián)網(wǎng)、云計(jì)算等新興技術(shù)的發(fā)展，數(shù)據(jù)的流動(dòng)呈量級式的增長，涉及領(lǐng)域也越來越廣。

知己不殆，各國政府的管理方式和戰(zhàn)略意圖

國際上對跨境數(shù)據(jù)流動(dòng)監(jiān)管并未形成統(tǒng)一框架，各國以維護(hù)本國利益為出發(fā)點(diǎn)，并在國家安全、隱私保護(hù)、產(chǎn)業(yè)能力等多元因素的復(fù)雜影響下構(gòu)建跨境數(shù)據(jù)流動(dòng)監(jiān)管制度。

美國依托其強(qiáng)大的互聯(lián)網(wǎng)產(chǎn)業(yè)倡導(dǎo)數(shù)據(jù)自由流動(dòng)。在美國國內(nèi)，互聯(lián)網(wǎng)企業(yè)先發(fā)優(yōu)勢帶來的天然數(shù)據(jù)本地化存儲能夠使美國政府對本國數(shù)據(jù)實(shí)現(xiàn)有效管控。在全球范圍，2018年，亞馬遜、微軟、谷歌、IBM等4家美國企業(yè)占全球公共云服務(wù)市場份額近70%，掌握對全球數(shù)據(jù)的巨大控制權(quán)，這是其提倡數(shù)據(jù)自由流動(dòng)的根本原因。

對外，美國政府極力宣揚(yáng)APEC的“跨境隱私保護(hù)規(guī)則”（CBPR）體制，通過拉攏各方加入低水平保護(hù)的跨境數(shù)據(jù)流動(dòng)秩序，確保各國不會(huì)用“國內(nèi)高水平保護(hù)”為理由限制數(shù)據(jù)流動(dòng)，最終實(shí)現(xiàn)數(shù)據(jù)向美國聚攏。對內(nèi)，以國家安全為由對特定數(shù)據(jù)提出限制出境或嚴(yán)格審查要求，如包括電信業(yè)務(wù)和信息業(yè)務(wù)（相當(dāng)于我國基礎(chǔ)和增值）、數(shù)據(jù)中心、衛(wèi)星或衛(wèi)星系統(tǒng)、工業(yè)控制系統(tǒng)數(shù)據(jù)等在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)，新興和關(guān)鍵技術(shù)數(shù)據(jù)，包括非公通信數(shù)據(jù)、地理位置數(shù)據(jù)、生物識別數(shù)據(jù)以及基因序列數(shù)據(jù)等在內(nèi)的敏感個(gè)人數(shù)據(jù)均被納入管控中。

歐盟強(qiáng)調(diào)在保護(hù)個(gè)人數(shù)據(jù)的前提下允許跨境數(shù)據(jù)流動(dòng)。歐盟一直將個(gè)人數(shù)據(jù)作為基本權(quán)利進(jìn)行保護(hù)，從1995年的數(shù)據(jù)保護(hù)指令到2018年出臺的《通用數(shù)據(jù)保護(hù)條例》（GDPR），個(gè)人數(shù)據(jù)保護(hù)力度不斷提升。歐盟公民個(gè)人數(shù)據(jù)原則上應(yīng)存儲在歐盟境內(nèi)，僅在滿足特定條件下才能進(jìn)行跨境數(shù)據(jù)流動(dòng)。

其中最重要的是“白名單制度”，即一個(gè)國家或地區(qū)的個(gè)人數(shù)據(jù)保護(hù)水平經(jīng)歐盟評估達(dá)到GDPR同等保護(hù)水平，歐盟公民個(gè)人數(shù)據(jù)才可以被轉(zhuǎn)移到該國家或地區(qū)。當(dāng)前進(jìn)入白名單的只有安道爾、阿根廷、加拿大（限于商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士、烏拉圭和美國（僅限于隱私盾協(xié)議）13個(gè)國家和地區(qū)。

另外，如果企業(yè)采取有約束力的公司規(guī)則、標(biāo)準(zhǔn)合同條款、已批準(zhǔn)的行為準(zhǔn)則等充分性保障措施，歐盟公民的個(gè)人數(shù)據(jù)也可以跨境流動(dòng)到這些企業(yè)。歐盟擁有5億多消費(fèi)者，市場規(guī)模龐大，很多國家為使企業(yè)在歐盟順利運(yùn)營，一直與歐盟進(jìn)行跨境數(shù)據(jù)流動(dòng)的談判，歐盟在全球形成了以GDPR為中心的“跨境數(shù)據(jù)流動(dòng)圈”。

印度和俄羅斯等發(fā)展中國家為實(shí)現(xiàn)產(chǎn)業(yè)發(fā)展和國家安全實(shí)行數(shù)據(jù)本地化。印度和印尼等發(fā)展中國家在G20峰會(huì)表示，跨境數(shù)據(jù)流動(dòng)嚴(yán)重阻礙發(fā)展中國家從數(shù)據(jù)貿(mào)易中獲利，希望保留對跨境數(shù)據(jù)流動(dòng)進(jìn)行限制的政策空間，可以通過數(shù)據(jù)本地化存儲促進(jìn)本國數(shù)字產(chǎn)業(yè)發(fā)展。

印度立法要求一般個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)在印度境內(nèi)存儲副本后才可以跨境流動(dòng)，關(guān)鍵個(gè)人數(shù)據(jù)、物聯(lián)網(wǎng)數(shù)據(jù)、支付數(shù)據(jù)等要求只能本地化存儲，不允許跨境流動(dòng)。印尼正在修訂電子系統(tǒng)運(yùn)營與交易規(guī)則，擬要求公共電子系統(tǒng)運(yùn)營者擁有的戰(zhàn)略性數(shù)據(jù)（政府、能源、交通、金融、醫(yī)療、IT和通信、國防等）在境內(nèi)進(jìn)行存儲。俄羅斯在“棱鏡門”事件后出于對國家安全的擔(dān)憂，在2014年通過兩個(gè)立法修正案要求所有國內(nèi)外公司必須在俄境內(nèi)的服務(wù)器上存儲和處理俄公民的個(gè)人數(shù)據(jù)，但是并沒有禁止個(gè)人數(shù)據(jù)跨境傳輸，其跨境數(shù)據(jù)流動(dòng)政策核心是對所有個(gè)人數(shù)據(jù)施行本地化留存。比如，2019年，俄聯(lián)邦通訊、信息技術(shù)和傳媒監(jiān)督局要求臉書、推特和抖音海外版將用戶數(shù)據(jù)存儲在俄羅斯國內(nèi)。

發(fā)軔之始，我國跨境數(shù)據(jù)流動(dòng)制度還有待完善

在《網(wǎng)絡(luò)安全法》出臺前，我國金融、醫(yī)療、氣象等行業(yè)主管部門已經(jīng)在法規(guī)、部門規(guī)章層面制定了數(shù)據(jù)出境管理相關(guān)規(guī)則，禁止或限制行業(yè)內(nèi)重要數(shù)據(jù)出境。隨后，以《網(wǎng)絡(luò)安全法》為重要節(jié)點(diǎn)，我國在跨境數(shù)據(jù)流動(dòng)方面從國家、行業(yè)、企業(yè)層面開展了一系列頂層設(shè)計(jì)及管理實(shí)踐工作。

《網(wǎng)絡(luò)安全法》第三十七條明確了我國數(shù)據(jù)出境基本管理制度。一是明確了管理范圍，即在境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，因業(yè)務(wù)需要，確需向境外提供的數(shù)據(jù)出境活動(dòng)。二是明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者為落實(shí)數(shù)據(jù)出境管理要求的責(zé)任主體。三是針對關(guān)鍵信息基礎(chǔ)設(shè)施存儲的個(gè)人信息和重要數(shù)據(jù)提出數(shù)據(jù)本地化要求。四是明確采取安全評估管理制度，以降低數(shù)據(jù)出境安全風(fēng)險(xiǎn)。

在此基礎(chǔ)上，我國在構(gòu)建跨境數(shù)據(jù)流動(dòng)管理制度方面仍存在兩方面主要問題。

一方面，對內(nèi)有待完善《網(wǎng)絡(luò)安全法》中確立的管理要求，明確重點(diǎn)行業(yè)領(lǐng)域的具體要求。各國個(gè)人信息的跨境管理規(guī)定在個(gè)人信息保護(hù)立法中，通過明確個(gè)人信息保護(hù)的基本原則確立對于跨境流動(dòng)的要求。我國《個(gè)人信息保護(hù)法》未出臺，在個(gè)人信息的跨境流動(dòng)要求上沒有統(tǒng)一和明晰的規(guī)定。當(dāng)前，我國《網(wǎng)絡(luò)安全法》第三十七條雖然確立了關(guān)鍵信息基礎(chǔ)設(shè)施個(gè)人信息和重要數(shù)據(jù)的本地化管理，但缺乏下位法支撐，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、個(gè)人和重要數(shù)據(jù)出境安全評估管理辦法等在內(nèi)的配套規(guī)定遲遲沒有出臺，數(shù)據(jù)出境安全評估制度無法落地實(shí)施。

另一方面，對外尚未能夠在全球跨境數(shù)據(jù)流動(dòng)規(guī)則建立中掌握主動(dòng)權(quán)，發(fā)揮關(guān)鍵作用。各國跨境數(shù)據(jù)流動(dòng)規(guī)則呈現(xiàn)多極化、差異化和復(fù)雜化態(tài)勢，企業(yè)在經(jīng)營業(yè)務(wù)過程中需針對不同地區(qū)采取差異化數(shù)據(jù)跨境措施，增加了合規(guī)成本。為了減小跨境數(shù)據(jù)流動(dòng)的政策障礙，歐美一直在國際規(guī)則制定中輸出各自理念，試圖統(tǒng)一多方規(guī)則，構(gòu)建以各自利益為核心的“跨境數(shù)據(jù)流動(dòng)圈”。與歐美相比，我國未抓住規(guī)則制定的主動(dòng)權(quán)和話語權(quán)，未利用有利的國家關(guān)系形成以我國為主的“跨境數(shù)據(jù)流動(dòng)圈”，歐美數(shù)據(jù)流動(dòng)圈不斷擴(kuò)張，將會(huì)對我國未來開展數(shù)字貿(mào)易、推動(dòng)數(shù)據(jù)企業(yè)“走出去”造成更大阻礙。

雙管齊下，內(nèi)外結(jié)合完善我國整體管理體系

在當(dāng)前國際局勢下，構(gòu)建跨境數(shù)據(jù)流動(dòng)管理制度應(yīng)當(dāng)服務(wù)于我國建設(shè)網(wǎng)絡(luò)強(qiáng)國、制造強(qiáng)國的戰(zhàn)略目標(biāo)和整體經(jīng)濟(jì)發(fā)展的戰(zhàn)略需要，對內(nèi)堅(jiān)持“數(shù)據(jù)本地化”的底線要求，防止數(shù)據(jù)不必要輸出，加快構(gòu)建以數(shù)據(jù)本地化和數(shù)據(jù)出境安全評估為核心抓手的跨境數(shù)據(jù)流動(dòng)管理制度。對外以合作共贏為目標(biāo)，爭取貿(mào)易伙伴和規(guī)則支持者，促進(jìn)數(shù)據(jù)合法、有序流動(dòng)，構(gòu)建以我國為主的“跨境數(shù)據(jù)流動(dòng)圈”。

圍繞這一戰(zhàn)略方向，筆者提出以下具體建議：

（一）以“限制輸出、鼓勵(lì)輸入”為目標(biāo)完善我國跨境數(shù)據(jù)流動(dòng)管理制度

我國應(yīng)完善跨境數(shù)據(jù)流動(dòng)制度，明確我國監(jiān)管政策整體方向，清晰界定制度落實(shí)中的關(guān)鍵要素。一是貫徹落實(shí)《網(wǎng)絡(luò)安全法》，完善數(shù)據(jù)出境管理?？傮w上堅(jiān)持?jǐn)?shù)據(jù)本地化原則，在開展安全評估前提下推動(dòng)數(shù)據(jù)自由流動(dòng)，盡快出臺《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，發(fā)布個(gè)人信息和重要數(shù)據(jù)出境安全評估具體管理辦法等配套規(guī)定，盡快建立電信和互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等重要行業(yè)的跨境數(shù)據(jù)流動(dòng)安全評估制度。二是制定出臺《個(gè)人信息保護(hù)法》，完善我國個(gè)人信息保護(hù)制度。通過明確我國個(gè)人信息保護(hù)的具體思路和要求，為我國個(gè)人信息的跨境流動(dòng)明晰方向，同時(shí)提升我國個(gè)人信息保護(hù)水平，在與其他國家的跨境數(shù)據(jù)流動(dòng)規(guī)則談判中占據(jù)主動(dòng)地位。

（二）在部分地區(qū)開展先行先試

選擇粵港澳大灣區(qū)作為試點(diǎn)，在嚴(yán)格遵守法律法規(guī)要求的基礎(chǔ)上最大釋放數(shù)據(jù)價(jià)值。建議優(yōu)先選擇金融、商貿(mào)、衛(wèi)生數(shù)據(jù)，搭建滿足監(jiān)管與業(yè)務(wù)需求的數(shù)據(jù)安全流通平臺，綜合應(yīng)用區(qū)塊鏈等先進(jìn)技術(shù)，實(shí)現(xiàn)數(shù)據(jù)安全存儲、數(shù)據(jù)安全流通等功能，為粵港澳大灣區(qū)數(shù)據(jù)跨境流動(dòng)及安全監(jiān)管提供切實(shí)可行的技術(shù)解決方案。

（三）積極參與全球跨境數(shù)據(jù)流動(dòng)規(guī)則制定，聯(lián)合可信國家構(gòu)建以中國為主的“跨境數(shù)據(jù)流動(dòng)圈”

我國應(yīng)加強(qiáng)國際交流合作，通過多邊和雙邊機(jī)制積極主導(dǎo)、參與跨境數(shù)據(jù)流動(dòng)的國際規(guī)則塑造。一是依托國際電信聯(lián)盟、亞太電信組織、G20、“一帶一路”等機(jī)制，加強(qiáng)國際數(shù)據(jù)治理政策儲備和治理規(guī)則研究，提出中國方案，推進(jìn)構(gòu)建以我國為主導(dǎo)的“跨境數(shù)據(jù)流動(dòng)圈”。二是建立跨境數(shù)據(jù)流動(dòng)規(guī)則的雙邊對話機(jī)制，積極同歐盟、日本等達(dá)成類似美歐“隱私盾”的雙邊協(xié)議，為我國企業(yè)“走出去”提供機(jī)會(huì)。