黨璽　徐安妮

摘 要： 跨境數(shù)據(jù)流動治理已成為全球數(shù)字貿(mào)易發(fā)展的核心要素。從數(shù)據(jù)分類治理的視角比較中日兩國的跨境數(shù)據(jù)治理現(xiàn)狀發(fā)現(xiàn)，中國出于維護網(wǎng)絡安全和數(shù)據(jù)主權的考慮，對個人信息和重要數(shù)據(jù)的跨境流動持保守態(tài)度；日本秉持“基于信任的數(shù)據(jù)自由流動治理理念”（Data free flow with trust，DFFT），在強調(diào)信任的基礎上盡可能地擴大數(shù)據(jù)自由流動。借鑒日本相關治理經(jīng)驗，我國應當提煉跨境數(shù)據(jù)流動治理理念，在加強分類治理的同時拓寬數(shù)據(jù)流動方式，構建獨立的數(shù)據(jù)流動監(jiān)管機構，為我國跨境數(shù)據(jù)流動打造堅實的制度基礎，提升數(shù)字經(jīng)濟環(huán)境下的國際話語權。

關鍵詞： 跨境數(shù)據(jù)流動；數(shù)據(jù)分類；DFFT理念；數(shù)據(jù)主權；監(jiān)管規(guī)則；數(shù)據(jù)治理

中圖分類號： D908

文獻標志碼： A

文章編號： 1673－3851 （2023） 04－0198－08

Comparative study on the governance of cross－border data flow between

China and Japan：From the perspective of data classification governance

DANG? Xi， XU? Anni

（School of Law and Politics， Zhejiang Sci－Tech University， Hangzhou 310018，China）

Abstract： ?Cross－border data flow governance has become a core element of global digital trade. It is found from comparing the status quo of cross－border data governance between China and Japan from the perspective of data classification governance that： China takes a conservative approach to the cross－border flow of personal information and vital data out of concern for cybersecurity and data sovereignty; Japan adheres to the concept of "Data free flow with trust" （DFFT）， expanding the free flow of data as much as possible while emphasizing trust. China should draw on the relevant governance experience of Japan， refine the governance concept of cross－border data flow， expand the data flow mode while strengthening classified governance， establish an independent data flow supervision institution， build a solid institutional foundation for cross－border data flow， and enhance the international discourse power in the digital economy environment.

Key words： cross－border data flow; data classification; DFFT concept; data sovereignty; regulatory rules; data governance

數(shù)據(jù)已成為各國不可或缺的基礎性資源，在全球經(jīng)濟增長中發(fā)揮關鍵作用。自2008年以來，數(shù)據(jù)流動對全球經(jīng)濟增長的貢獻已經(jīng)超過傳統(tǒng)的跨國貿(mào)易和投資①。美國國際戰(zhàn)略研究中心（Center for strategic and international studies，CSIS）發(fā)布的《亞太地區(qū)的數(shù)據(jù)治理》指出，根據(jù)新冠肺炎疫情前的一項研究預測，跨境數(shù)據(jù)流動將在2020年使全球經(jīng)濟產(chǎn)出增加3％以上，或將近3萬億美元［1］。數(shù)據(jù)跨境流動已成為促進數(shù)字經(jīng)濟創(chuàng)新、提高經(jīng)濟增長效率和增進社會福祉的關鍵動力，跨境數(shù)據(jù)流動治理規(guī)則的構建成為各國數(shù)據(jù)博弈的關鍵。

當前學界對跨境數(shù)據(jù)流動治理的研究主要聚焦于美國和歐盟的立法和實踐：美國以“貿(mào)易自由”為導向，主張數(shù)據(jù)跨境自由流動，強烈反對數(shù)據(jù)本地化，以消除數(shù)字貿(mào)易壁壘［2］；歐盟通過研究制定較高水平的數(shù)據(jù)保護規(guī)則，構建制度壁壘，減少數(shù)據(jù)無序流動［3］。相較而言，學界對日本的數(shù)據(jù)治理框架研究較少。近年來，日本對內(nèi)不斷完善跨境數(shù)據(jù)流動法律規(guī)制體系，對外積極構建雙邊、多邊機制，謀求引領全球跨境數(shù)據(jù)流動治理標準和規(guī)則制定。日本是重要的經(jīng)濟體，作為全球跨境數(shù)據(jù)流動中的關鍵一環(huán)，其對數(shù)據(jù)治理模式的探索不應被忽視。本文在梳理中日兩國跨境數(shù)據(jù)流動治理理念的基礎上，比較分析雙方針對個人信息、產(chǎn)業(yè)數(shù)據(jù)、重要數(shù)據(jù)跨境流動的治理模式，以期為我國構建跨境數(shù)據(jù)流動治理框架、加強國際跨境數(shù)據(jù)流動合作與交流、深度參與全球數(shù)字經(jīng)濟規(guī)則制定提供借鑒。

一、中日跨境數(shù)據(jù)流動的治理理念

不同國家的價值選擇存在差異，發(fā)展目標不同，國家安全關注點有別，因此難以在短時間內(nèi)達成治理規(guī)則的共識。相較于美國主張自由流動的進取型理念和歐盟的數(shù)據(jù)保護規(guī)制型理念，中國的跨境數(shù)據(jù)流動治理相對保守，強調(diào)維護網(wǎng)絡安全和數(shù)據(jù)主權，而日本提出的“基于信任的數(shù)據(jù)自由流動治理理念”（以下簡稱為“DFFT理念”），在強調(diào)信任的基礎上主張盡可能地擴大數(shù)據(jù)自由流動。

（一）中國：維護網(wǎng)絡安全和數(shù)據(jù)主權

中國目前尚未形成明確的跨境數(shù)據(jù)流動治理理念。在“斯諾登事件”后，基于維護國家網(wǎng)絡安全、維護數(shù)據(jù)主權、保障個人信息安全等考量，中國在部分行業(yè)規(guī)章或規(guī)范性文件中，對跨境數(shù)據(jù)流動提出了不同程度的本地化存儲要求（2011年中國人民銀行發(fā)布的《關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》、中國銀行保險監(jiān)督管理委員會發(fā)布的《保險公司開業(yè)驗收指引》、2013年國務院發(fā)布的《征信業(yè)管理條例》、2014年國家衛(wèi)計委發(fā)布的《人口健康信息管理辦法（試行）》、2015年國務院發(fā)布的《地圖管理條例》、2016年國務院多部門聯(lián)合發(fā)布的《網(wǎng)絡預約出租汽車經(jīng)營服務管理暫行辦法》、2016年廣電總局與工信部發(fā)布的《網(wǎng)絡出版服務管理規(guī)定》等，都不同程度地提出了服務器和設施本地化的要求，有的則明確禁止在國內(nèi)收集的數(shù)據(jù)出境。）。近年來，《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）和《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）這三部法律的出臺及相關配套措施的制定與完善，構建起中國跨境數(shù)據(jù)流動的總體法律框架?？傮w而言，中國對跨境數(shù)據(jù)流動的規(guī)制存在“數(shù)據(jù)本地化”偏好。

“數(shù)據(jù)本地化”在一定程度上可以實現(xiàn)保障國家信息安全和隱私保護的目標，但該偏好已不適應于我國當前數(shù)字經(jīng)濟產(chǎn)業(yè)的發(fā)展態(tài)勢。2019年，中國在全球數(shù)字產(chǎn)業(yè)領域的業(yè)務總規(guī)模就達到了2.567萬億美元，位居世界第一。中國跨境數(shù)據(jù)流動規(guī)模在2010—2017年間大約增長了17倍，保持著較為強勁的增長勢頭。然而，相較于中國龐大的數(shù)字經(jīng)濟體量，在保守的政策導向下，中國的跨境數(shù)據(jù)流動規(guī)模仍然較小，僅占美國跨境數(shù)據(jù)流動規(guī)模的20％［4］。此外，美國主導的APEC跨境隱私規(guī)則（APEC cross－border privacy rules system，CBPRs）和歐盟在《通用數(shù)據(jù)保護條例》（General data protection regulation，GDPR）規(guī)制下所秉持的跨境數(shù)據(jù)治理理念，都與當前我國的“數(shù)據(jù)本地化”偏好存在不小的沖突，對我國參與由美國、歐盟主導的雙邊、多邊機制和國際規(guī)則談判存在一定阻礙。例如，在向WTO提交的電子商務談判提案中，我國并未提出跨境數(shù)據(jù)流動相關規(guī)則主張。我國認為，數(shù)據(jù)的自由流動和本地化存儲等一系列問題具有復雜性和敏感性，涉及每個成員國的核心利益，需要進行更多的討論美國在向WTO提交的電子商務談判提案中主張成員國不應該禁止、限制跨境數(shù)據(jù)傳輸；歐盟的提案在主張跨境流動自由的同時強調(diào)個人隱私保護，主張協(xié)定內(nèi)容不得限制成員國采取適當措施保護本國公民隱私。WTO，Joint Statement on Electronic Commerce－Communication from China［EB/OL］.（2019－04－24）［2022－04－15］. https：//docs.wto.org/dol2fe/Pages/SS/directdoc.aspx？filename=q：/INF/ECOM/19.pdf&Open=True.）。

在“數(shù)字中國”戰(zhàn)略和“網(wǎng)絡強國”戰(zhàn)略定位下，我國跨境數(shù)據(jù)流動的規(guī)模日益擴大，其對數(shù)字經(jīng)濟發(fā)展的驅動力也日益顯著。目前，中國積極推動“一帶一路”數(shù)字經(jīng)濟合作向縱深發(fā)展，與沿線國家、地區(qū)在數(shù)字化技術及數(shù)字基礎設施建設領域的交流合作日益密切。截至2020年底，我國已與16個國家簽署了“數(shù)字絲綢之路”合作諒解備忘錄，與22個國家建立了“絲路電商”雙邊合作機制［5］。同時，在全球區(qū)域經(jīng)濟一體化迅猛發(fā)展的新形勢下，我國積極參與制定《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（Regional comprehensive economic partnership，RCEP），并且在2021年9月向全面與進步跨太平洋伙伴關系協(xié)定（Comprehensive and progressive agreement for trans－pacific partnership，CPTPP）這個“十一國大群”提交“入群申請”，推動國內(nèi)制度與國際規(guī)則接軌，以構建面向全球的高標準自由貿(mào)易區(qū)網(wǎng)絡。同年11月，中國申請加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》（Digital economy partnership agreement，DEPA），致力于加深數(shù)字經(jīng)濟包容性與參與度［6］。在維護數(shù)據(jù)安全性的基礎上，如何提升開放成長性成為重要議題。

（二）日本：跨境數(shù)據(jù)治理DFFT理念

在達沃斯2019年世界經(jīng)濟論壇年會上，時任日本首相安倍晉三首次向世界提出了“DFFT理念”。該理念有兩個要點：數(shù)據(jù)自由流動和數(shù)據(jù)安全保障。日本政府以該理念為核心，在國內(nèi)、國際兩個場域持續(xù)發(fā)力。在國內(nèi)層面，日本為充分確?？缇硵?shù)據(jù)流動的自由化，規(guī)定除公共利益目的外，原則上禁止數(shù)據(jù)本地化存儲要求。在數(shù)據(jù)安全保障方面，日本不斷完善個人信息保護的法律框架，禁止轉移和披露源代碼及算法，禁止轉移或訪問信息通信領域（Information and communication technology，ICT）產(chǎn)品中使用的加密信息［7］。在國際層面，日本不斷拓展基于“DFFT理念”的“國際數(shù)據(jù)流通網(wǎng)”，積極參與現(xiàn)有國際社會的合作，探討數(shù)據(jù)跨境轉移所必需的主體間的信任框架構建。諸如《日美數(shù)字貿(mào)易協(xié)定》《日英EPA協(xié)定》和《RCEP區(qū)域競爭經(jīng)濟伙伴關系協(xié)定》等多邊、區(qū)域數(shù)據(jù)治理規(guī)則，都體現(xiàn)著“DFFT理念”。2019年6月，日本借G20大阪峰會之機，再次強調(diào)“DFFT理念”的重要性，并且將構建“數(shù)據(jù)自由流通框架”的進程命名為“大阪軌道”?！按筅孳壍馈庇蓴?shù)據(jù)轉移機制、法律和監(jiān)管措施協(xié)調(diào)、技術標準和產(chǎn)業(yè)合作、國際貿(mào)易規(guī)則四部分組成。日本在啟動“大阪軌道”時也表明，WTO電子商務談判將成為日本推動“大阪軌道”的主要抓手。在WTO電子商務談判中，日本提出了跨境數(shù)據(jù)自由轉移，禁止在國內(nèi)設置數(shù)據(jù)服務器，禁止各國政府持有的統(tǒng)計、交通和災難相關數(shù)據(jù)僅向國內(nèi)企業(yè)披露，禁止要求披露源代碼和算法等議案［8］，持續(xù)釋放“DFFT理念”影響力。

國際社會在跨境數(shù)據(jù)治理過程中，也會參考和借鑒“DFFT理念”。例如，世界經(jīng)濟論壇正通過與主要專家、企業(yè)和利益相關者展開對話來支持這一理念，力圖將其轉變?yōu)橐环N治理架構［9］。2021年，七國集團數(shù)字與技術部長級會議還制定了“DFFT路線圖”，制定了四個跨領域的行動計劃：a）評估數(shù)據(jù)本地化的影響；b）比較分析各國關于跨境數(shù)據(jù)流動的政策；c）制定可靠的政府準入指南；d）促進數(shù)據(jù)的相互共享［10］。

維護網(wǎng)絡安全和數(shù)據(jù)主權對于中國而言固然重要，但是背離跨境數(shù)據(jù)流動治理的主流理念，缺席國際數(shù)據(jù)流動治理規(guī)則的制定，無法積極參與并擴大國際數(shù)字貿(mào)易，可能對中國造成的消極影響是長遠而深刻的。相較于日本對治理理念的打造和推廣，我國應當加快提煉中國跨境數(shù)據(jù)流動治理理念，通過積極參與全球數(shù)字經(jīng)濟貿(mào)易規(guī)則制定，打造具有國際影響力的中國理念，為全球數(shù)字經(jīng)濟發(fā)展貢獻中國方案。

二、中日跨境數(shù)據(jù)流動治理分類的比較

中日兩國在跨境數(shù)據(jù)流動基本理念、具體法律制度規(guī)定、跨境數(shù)據(jù)流動的審查標準等很多方面存在差異?？缇硵?shù)據(jù)流動規(guī)則的可預見性不足，使得企業(yè)在跨境數(shù)據(jù)貿(mào)易中要付出較高的成本，影響正常的數(shù)據(jù)跨境交易活動。本文按數(shù)據(jù)來源及其重要程度，將跨境數(shù)據(jù)劃分為“個人信息”“非個人信息（產(chǎn)業(yè)數(shù)據(jù)）”以及個人信息與非個人信息在處理過程中對國家安全、公共利益等產(chǎn)生重要影響的“重要數(shù)據(jù)”，嘗試厘清不同分類下的中日跨境數(shù)據(jù)流動規(guī)則，營造有利于數(shù)字貿(mào)易發(fā)展的環(huán)境。

（一）嚴格限制個人信息的流動

我國《個人信息保護法》第三章以專章的形式規(guī)定了個人信息跨境流動的規(guī)則，在個人信息處理者“因業(yè)務需要，確需向境外提供個人信息”情況下，首先應履行向個人的“告知”和“取得單獨同意”義務，并且滿足“通過安全評估”“經(jīng)個人信息保護認證”“按網(wǎng)信部制定的標準合同與境外接收方約定權利義務”這三種個人信息跨境流動機制之一，方可進行個人信息跨境傳輸。我國《個人信息保護法》第55、56條還明確了個人信息處理者在數(shù)據(jù)流動中的責任，其在“向境外提供個人信息時”，應事前進行“個人信息保護影響評估”，評估包含數(shù)據(jù)處理目的、處理方式、對個人權益保障的有效性等內(nèi)容。

然而，我國數(shù)據(jù)安全評估、個人信息保護認證等機制尚處于制度設計階段，還沒有一個清晰可循的制度方案。2019年國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》，對個人信息的跨境流動以安全評估原則取代本地化存儲原則，條文明確了個人信息出境申報評估要求、重點評估內(nèi)容、出境合同內(nèi)容及權利義務要求等內(nèi)容。在2021年10月《數(shù)據(jù)出境安全評估辦法（征求意見稿）》中又作出了細化規(guī)定。但這些評估辦法尚未落地，相關的安全評估工作亦無法展開。

中日兩國均以強調(diào)個人信息保護的立場限制個人信息的跨境流動，在這一點上兩國保持高度一致。但是相較我國，日本早在2003年就制定了《個人信息保護法》，且針對個人信息的跨境流動治理更加體系化。首先，在打造數(shù)據(jù)流通和共享的環(huán)境基礎方面，2016年12月，日本在《促進官民數(shù)據(jù)活用基本法》中，確定了“促進官民數(shù)據(jù)活用”的基本理念。該法第11條對數(shù)據(jù)開放進行了規(guī)定：“國家和地方政府應當采取必要措施，在不損害個人和法人的權利利益、國家安全的前提下，使國民通過互聯(lián)網(wǎng)和其他先進的信息通信網(wǎng)絡方便地使用其持有的官民數(shù)據(jù)”，以應對商業(yè)活動全球化下大量數(shù)據(jù)跨境流動的挑戰(zhàn)。其次，在個人信息流通機制的構建方面，日本2020年修訂的《個人信息保護法》進一步明確了個人信息處理業(yè)者向日本境外第三方提供個人數(shù)據(jù)，在以下兩種情況下可以不經(jīng)過本人同意：第一，向個人信息保護委員會規(guī)定的、與日本具有同等個人信息保護制度的“白名單國家”（日本確認的白名單國家必須滿足以下五個條件：a）具有達到日本同等保護水平的法律法規(guī)；b）設立了與“個人信息保護委員會”同等的獨立監(jiān)管機構，實施必要和適當?shù)谋O(jiān)管；c）具有對個人信息利用和個人權益保護的共同理念；d）對個人信息的跨境流動施加的限制不得超越保護個人信息的必要范圍；e）能夠為日本的產(chǎn)業(yè)創(chuàng)新、經(jīng)濟社會蓬勃發(fā)展以及實現(xiàn)國民的富裕生活做出貢獻。）轉移個人數(shù)據(jù)。例如，2019年日本與歐盟完成了信息保護的充分性互認，只要滿足法定條件，日本與歐盟之間的數(shù)據(jù)轉移不需要本人的同意。第二，境外第三方符合個人信息保護委員會規(guī)則中規(guī)定的以下標準：a）基于信息提供方與接收方之間的合同等，或者信息提供方與接收方屬于同一公司集團且有共同適用于雙方的內(nèi)部規(guī)章、隱私政策等，具有完善的個人信息保護機制；b）取得了CBPRs體系的認證等。這些具體規(guī)定可以視為非經(jīng)個人信息主體同意而進行跨境流動的“例外條款”，為日本個人信息跨境流動提供多元機制保障，也為境內(nèi)外企業(yè)之間的數(shù)據(jù)交易活動提供很多空間。再次，為促進個人信息最大程度地流動共享，日本在《個人信息保護法》中做出了關于“匿名化加工信息”和“假名化加工信息”的規(guī)定。在一定規(guī)則下，無需征得本人同意，就可以進行目的外的利用以及提供給第三方。就“假名化加工信息”而言，由于無法識別出特定個人，個人對此并不享有查詢、更正、停止使用等數(shù)據(jù)請求權，該規(guī)定促進對個人信息最大限度地有效利用。最后，日本增設了“個人信息保護委員會”作為個人信息保護的獨立監(jiān)管機構，其監(jiān)管對象包括行政機關、地方公共團體以及公民個體的數(shù)據(jù)流通，監(jiān)管內(nèi)容包含推進個人信息保護相關的基本方針，監(jiān)督對個人信息的處理，加強與國外的聯(lián)系等［11］。個人信息保護委員會于2021年1月頒布了《跨境數(shù)據(jù)流動指南》，細化向國外第三方提供個人信息的要求，以應對個人信息跨境流動帶來的風險。一元監(jiān)管機制將個人信息處理事業(yè)者的監(jiān)督權限從各領域的主管大臣統(tǒng)一到委員會，消除了重疊監(jiān)督、主管省廳不明確等問題，為日本跨境數(shù)據(jù)流動監(jiān)管提供監(jiān)管制度保障。

（二）減少產(chǎn)業(yè)數(shù)據(jù)流動的限制

產(chǎn)業(yè)數(shù)據(jù)涉及的政策問題分歧較小，因此更有可能達成多邊共識。美國大力主張并倡導產(chǎn)業(yè)數(shù)據(jù)的自由流動以強化本國企業(yè)壟斷地位，加強其規(guī)模經(jīng)濟效應，故沒有針對產(chǎn)業(yè)數(shù)據(jù)流通設置限制措施。根據(jù)歐盟委員會2018年11月公布的《非個人數(shù)據(jù)在歐盟區(qū)域內(nèi)自由流通框架規(guī)則》，歐盟主張消除各成員國的數(shù)據(jù)本地化要求，除公共安全需要外，原則上自由。

我國并未在法律規(guī)制上指出產(chǎn)業(yè)數(shù)據(jù)應當怎樣流通，其重點聚焦于“個人信息”和“重要數(shù)據(jù)”。我國對企業(yè)的跨境數(shù)據(jù)流動側重于監(jiān)管，防范在商業(yè)活動中數(shù)據(jù)跨境流動帶來的風險。數(shù)據(jù)本地化存儲仍是跨境數(shù)據(jù)流動規(guī)則制定中不可輕易妥協(xié)的課題。例如，我國安裝了互聯(lián)網(wǎng)防火墻以阻止谷歌和推特的擴張，并實施了嚴格的數(shù)據(jù)本地化義務以延遲信息向海外的傳輸；作為進入中國市場的條件，外國公司可能需要交出源代碼和加密密鑰等。［12］諸如此類的限制要求對產(chǎn)業(yè)數(shù)據(jù)的跨境流動產(chǎn)生極大阻礙，限制了我國企業(yè)與境外企業(yè)的數(shù)據(jù)貿(mào)易發(fā)展。

日本對“個人信息”采取了限制措施的同時，對產(chǎn)業(yè)數(shù)據(jù)采取了原則上自由流動的態(tài)度［13］。如何推進與個人無關的產(chǎn)業(yè)數(shù)據(jù)的流通，成為日本整備綜合性數(shù)據(jù)流通環(huán)境的關鍵課題。內(nèi)閣IT綜合戰(zhàn)略室從2016年9月開始召開了“完善數(shù)據(jù)流通環(huán)境研討會”，在研討會上設立“AI、物聯(lián)網(wǎng)時代的數(shù)據(jù)利用工作組”，集中討論了PDS（Personal data store）、信息銀行、數(shù)據(jù)交易市場等新的數(shù)據(jù)流通結構，為《促進公私數(shù)據(jù)靈活使用基本法》第12條規(guī)定的“在個人參與下，由各種主體合理使用公私數(shù)據(jù)”提供數(shù)據(jù)流通環(huán)境支撐［14］。同時，日本積極參與雙邊、多邊跨境數(shù)據(jù)協(xié)定談判，不遺余力地推動跨境數(shù)據(jù)自由流動規(guī)則的構建，拓寬產(chǎn)業(yè)數(shù)據(jù)的流通途徑。日本在亞太地區(qū)積極參與由美國主導的跨太平洋伙伴關系協(xié)定（Trans－pacific partnership agreement，TPP），并且在美國退出TPP后主導構建全面且先進的跨太平洋伙伴關系協(xié)定（CPTPP）。同時，日本積極推動CBPRs體系的建立與發(fā)展，通過這一隱私保護認證框架實現(xiàn)經(jīng)濟體間的數(shù)據(jù)安全流動。針對歐洲地區(qū)，日本又通過修訂《個人信息保護法》積極對接歐盟的數(shù)據(jù)保護規(guī)則，與歐盟實現(xiàn)充分性雙向互認。此外，日本還積極推動打造“美國—歐盟—日本”的跨境數(shù)據(jù)自由流動框架，試圖創(chuàng)建世界上最大的安全數(shù)據(jù)傳輸區(qū)域。

（三）強化重要數(shù)據(jù)安全的評估

在對“個人信息”的跨境流動予以嚴格限制的同時，我國《網(wǎng)絡安全法》第37條《網(wǎng)絡安全法》第37條規(guī)定：“關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估?！保┮惨髮Α瓣P鍵信息基礎設施的運營者”（中華人民共和國國務院令第745號 《關鍵信息基礎設施安全保護條例》第2條規(guī)定：“關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等?！?）在中國境內(nèi)運營中所收集和產(chǎn)生的“重要數(shù)據(jù)”進行本地化管理，嚴格規(guī)定了區(qū)域內(nèi)企業(yè)及個人承擔數(shù)據(jù)國內(nèi)存儲義務。“重要數(shù)據(jù)”是指組織或個人在中國境內(nèi)收集產(chǎn)生的涉及國家安全、經(jīng)濟發(fā)展和公共利益的數(shù)據(jù)。

自我國《網(wǎng)絡安全法》首次在法律層面提出“重要數(shù)據(jù)”的概念后，國家互聯(lián)網(wǎng)信息辦公室于2017年發(fā)布《重要數(shù)據(jù)識別指南》作為配套性文件，按照行業(yè)劃分重要數(shù)據(jù)類型，包含通信、電力、金融等28大類（含“其他”）各個領域的重要數(shù)據(jù)，涉及的范圍較廣，規(guī)定比較模糊，且最終并未生效。為進一步落實《網(wǎng)絡安全法》第37條規(guī)定，國家互聯(lián)網(wǎng)信息辦公室在2018年發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》中提出了建立“網(wǎng)絡運營者自行評估+主管部門監(jiān)管評估”的雙層評估結構，擴大數(shù)據(jù)出境評估范圍。2021年頒布的《數(shù)據(jù)安全法》根據(jù)適用主體和數(shù)據(jù)規(guī)模的不同對跨境數(shù)據(jù)流動制定了安全評估流程《數(shù)據(jù)安全法》第4條規(guī)定：“數(shù)據(jù)處理者向境外提供數(shù)據(jù)，符合以下情形之一的，應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。（一）關鍵信息基礎設施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)；（二）其他數(shù)據(jù)處理者出境數(shù)據(jù)中包含重要數(shù)據(jù)；（三）處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息；（四）累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息；（五）國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形?！?），并且提出將建立數(shù)據(jù)分類分級保護制度，制定“重要數(shù)據(jù)”目錄，對數(shù)據(jù)實行分類分級保護。全國信息安全標準化技術委員會在《信息安全技術 重要數(shù)據(jù)識別指南（征求意見稿）》中細化識別重要數(shù)據(jù)的基本原則、識別流程和規(guī)范要求重要數(shù)據(jù)的描述格式等配套規(guī)范要求制度，增強其實操性更強。雖然相關制度尚處于征求意見階段，但中國基于國家安全、網(wǎng)絡安全的需求對“重要數(shù)據(jù)”跨境流動規(guī)制打出的一套組合拳，使國際上一些國家，諸如追求數(shù)據(jù)自由流動的美國、日本等，對中國的數(shù)據(jù)本地化傾向頗有指摘，認為這將極大程度限制外國企業(yè)的海外擴張，加大跨境數(shù)據(jù)流動的合規(guī)成本。例如，在《網(wǎng)絡安全法》實施后，Apple做出戰(zhàn)略意義上的妥協(xié)，宣布在中國境內(nèi)建立數(shù)據(jù)中心。此外，基于“在中國運營數(shù)據(jù)中心必須以中資企業(yè)持有多數(shù)股份的形式成立合資公司”的規(guī)定，Apple中國于2018年1月宣布了將i－Cloud服務在中國的運營轉移到中國企業(yè)的計劃。

反觀日本，并未針對“重要數(shù)據(jù)”作清晰定義。針對重要基礎服務設施的重要數(shù)據(jù)的轉移、處理、管理等，日本當局從保密性、完整性和可用性等角度進行應對，內(nèi)閣網(wǎng)絡安全中心對包含信息通訊、金融、航空、鐵路等14個重要基礎設施領域的數(shù)據(jù)傳輸要求進行修訂。同時，日本于2019年5月修訂了《與確保重要基礎設施信息安全有關的安全標準制定指導方針（第5版）》作為切實實施和持續(xù)改進必要的信息安全措施時應參考的指導方針。指導方針要求相關部門聯(lián)合起來，促進實施各重要基礎設施領域的安全標準，并將標準滲透到企業(yè)，要求其加強自控與風險審查。

三、中國應對跨境數(shù)據(jù)流動治理的策略

與日本對比，我國對跨境數(shù)據(jù)流動的治理缺乏具體理念，沒有一套與國際接軌的跨境數(shù)據(jù)流動治理規(guī)則，難以在國際跨境數(shù)據(jù)流動規(guī)則制定過程中發(fā)揮深刻的、持續(xù)性的影響力。從具體的數(shù)據(jù)分類治理上看，中國的跨境數(shù)據(jù)流動治理較為保守且相關規(guī)則不夠健全，評估監(jiān)管方案仍在制定中，可操作性不強，跨境數(shù)據(jù)流動缺乏有效監(jiān)管。針對上述問題，我國應當提煉數(shù)據(jù)跨境流動理念，實行數(shù)據(jù)的類型化治理，拓寬數(shù)據(jù)流動方式，嘗試構建獨立的跨境數(shù)據(jù)流動監(jiān)管委員會，進一步完善治理體系。

（一）提煉跨境數(shù)據(jù)流動的理念

一直以來，基于網(wǎng)絡安全、公共秩序維護、隱私保護、本國產(chǎn)業(yè)保護和扶植等目的，我國跨境數(shù)據(jù)流動規(guī)制處于政府的嚴格監(jiān)管之下，制定了限制個人信息和重要數(shù)據(jù)向國外轉移、強制要求在國內(nèi)設置數(shù)據(jù)服務器、必須在國內(nèi)進行數(shù)據(jù)加工要求等多種措施。根據(jù)歐洲國際政治與經(jīng)濟中心的報告，中國被認為是世界上對數(shù)字交易施加限制最多的國家，數(shù)字交易限制指數(shù)（DTRI指數(shù)）達0.7（俄羅斯排名第2，DTRI指數(shù)為0.46；美國排名第22，DRTI指數(shù)為0.26；日本排名50，DRTI指數(shù)為0.18。詳見：ECIPE.Digital Trade Restrictiveness Index ［EB/OL］. （2018－04－25）［2022－04－14］.

https：//ecipe.org/wp－content/uploads/2018/05/DTRI_FINAL.pdf.）。但是，一方面，我國數(shù)字經(jīng)濟全球競爭力已位居世界第二，以“本地化存儲”為前提設計的跨境數(shù)據(jù)流動頂層制度未能從推動我國企業(yè)全球化發(fā)展的戰(zhàn)略目標進行考量。另一方面也為我國數(shù)字貿(mào)易的發(fā)展帶來了壓力，美國、歐盟等國家對我國的“數(shù)據(jù)本地化”偏好時有指責。

在跨境數(shù)據(jù)流動體系構建中，我國應當堅持安全與發(fā)展并重原則，提煉“保障數(shù)據(jù)安全，促進數(shù)據(jù)流動”的跨境數(shù)據(jù)流動治理理念［15］，厘清限制流動的數(shù)據(jù)范圍，同時提升對數(shù)據(jù)的管控能力。我國可以以該理念指導上海自貿(mào)區(qū)臨港新片區(qū)、海南省等地區(qū)的跨境數(shù)據(jù)流動創(chuàng)新試點實踐，在各種雙邊、多邊貿(mào)易談判中，推動形成共同認可的數(shù)據(jù)保護認證、標準合同條款等機制，針對不同國家或地區(qū)在數(shù)據(jù)出境開放與限制程度上實施數(shù)據(jù)開放的不同承諾，打造多元開放機制，推廣跨境數(shù)據(jù)流動治理的中國方案。

（二）加強數(shù)據(jù)流動的分類治理

不同類型數(shù)據(jù)對國家安全、產(chǎn)業(yè)發(fā)展和個人權益保護的影響存在差異，其所體現(xiàn)的法益不同，應當根據(jù)不同類別設立相對應的流動和監(jiān)管標準，兼顧數(shù)據(jù)安全和流動性。對“個人信息”而言，我國應當進一步將其細化將其分為一般個人數(shù)據(jù)、敏感個人數(shù)據(jù)和關鍵個人數(shù)據(jù)。對于一般個人數(shù)據(jù)和敏感個人數(shù)據(jù)，在“告知—同意”基礎上，健全完善安全評估、認證等跨境流動其他機制，同時可以考慮構建符合標準的匿名化機制體系，允許滿足標準的匿名數(shù)據(jù)流動，而對遺傳數(shù)據(jù)、健康數(shù)據(jù)等關鍵個人數(shù)據(jù)原則上禁止流動［16］。對于“產(chǎn)業(yè)數(shù)據(jù)”而言，數(shù)字經(jīng)濟的發(fā)展需要以數(shù)據(jù)自由流動為基礎，我國不應對數(shù)據(jù)流動作過多限制，從而支持我國科技互聯(lián)網(wǎng)企業(yè)向海外拓展業(yè)務，加強在國際市場上的競爭力。個人信息和產(chǎn)業(yè)數(shù)據(jù)流動中的“重要數(shù)據(jù)”可能侵害到國家安全和數(shù)據(jù)主權，需要予以重點關注。但是目前“重要數(shù)據(jù)”的范圍非常廣泛，阻礙了數(shù)字經(jīng)濟的正常發(fā)展。實踐中，多數(shù)行業(yè)主管部門為便于行業(yè)管理更偏向于“一刀切”的做法，未能根據(jù)跨境數(shù)據(jù)流動的具體情形評估風險，做出不同程度的監(jiān)管要求。據(jù)此，我國應當合理確定、引導各相關行業(yè)細化“重要數(shù)據(jù)”列表，及時對外予以公布，以增強規(guī)則適用的確定性和可預見性。我國可以考慮在實施風險評估后確定高風險下完全限制出境、中風險下審批后限制出境和低風險下出境后備案等不同的監(jiān)管方式，對相關主體形成規(guī)范性指引。

（三）拓寬跨境數(shù)據(jù)流動的方式

目前我國跨境數(shù)據(jù)流動政策主要以數(shù)據(jù)安全評估為主，在現(xiàn)實中難以適應海量數(shù)據(jù)的跨境流動需求，因此在堅持跨境數(shù)據(jù)流動安全底線的前提下，應當盡可能地拓寬跨境數(shù)據(jù)流動方式。日本在跨境數(shù)據(jù)流動規(guī)則中構建起的“充分性認定”“充分保障措施”等事前同意的豁免事由，值得我國借鑒，具體而言：

第一，建立白名單機制。構建相互認可機制是根據(jù)目標國家和地區(qū)的數(shù)據(jù)保護狀況所構建的對等措施，有利于以較低的監(jiān)管協(xié)調(diào)成本建立數(shù)據(jù)自由流動的信任基礎。目前，歐盟通過白名單機制已與13個國家完成充分性認定，其他國家想要獲得歐盟的數(shù)據(jù)，就必須在法律制度和保護水平上向歐盟靠攏。我國的數(shù)據(jù)保護政策和法律規(guī)范細則尚未完善，不宜貿(mào)然與其他國家進行完全充分性互認，但可以通過白名單機制使得低風險數(shù)據(jù)在目標國家和地區(qū)間流動，以減輕企業(yè)跨境流動數(shù)據(jù)的合規(guī)負擔。同時結合定期評估和臨時評估機制，靈活調(diào)整白名單。

第二，構建充分性保障措施。充分性保障措施主要包括標準合同條款（標準合同條款，由政府依據(jù)數(shù)據(jù)保護原則主導制定，通過合同來管控數(shù)據(jù)出境風險。如果數(shù)據(jù)控制者、數(shù)據(jù)處理者等主體間采用了標準合同條款，則合同僅需在主管部門備案而無需主管部門批準即可進行數(shù)據(jù)跨境流動。）、具有約束力的集團企業(yè)規(guī)則（具有約束力的集團企業(yè)規(guī)則，如果跨國集團遵循經(jīng)個人數(shù)據(jù)監(jiān)管機構認可的數(shù)據(jù)處理機制，則該集團內(nèi)部整體成為一個“安全港”，個人數(shù)據(jù)可以從集團內(nèi)的一個成員合法傳輸給另一個成員，無需經(jīng)主管部門批準。）、經(jīng)批準的認證機制等。國家互聯(lián)網(wǎng)信息辦公室已發(fā)布了《個人信息出境標準合同規(guī)定（征求意見稿）》探索標準合同模式范本，而具有約束力的集團企業(yè)規(guī)則主要適用于跨國集團企業(yè)內(nèi)部進行數(shù)據(jù)流動。在我國目前監(jiān)管機構具體職權尚不明確、數(shù)據(jù)本地化傾向下，該模式不太符合我國現(xiàn)狀。就經(jīng)批準的認證機制而言，例如CBPRs體系下，從事數(shù)據(jù)服務的經(jīng)營者可以自愿向問責代理機構（問責代理機構，屬于CBPRs體系設立的特別機構，該機構并非國家公權力機構，而是由具有社會公信力的第三方組成的社會機構。該機構有權依據(jù)CBPRs體系的要求對企業(yè)相關規(guī)定進行審查、受理公民因數(shù)據(jù)被侵犯而提出的投訴、對違規(guī)企業(yè)采取適當?shù)膽土P措施。）申請，若該認證申請經(jīng)審查通過，則企業(yè)會被認定具有良好資質，實現(xiàn)在CBPRs體系下數(shù)據(jù)的無障礙流動。中國作為APEC成員國，可以考慮加入APRC框架下的CBPRs體系，減少我國企業(yè)進入亞太地區(qū)市場的障礙，降低數(shù)據(jù)的跨境流動成本和風險。

（四）構建數(shù)據(jù)流動的監(jiān)管機構

在目前中國的監(jiān)管體系中，國家網(wǎng)信辦、公安部門、安全部門、中國人民銀行、銀保監(jiān)會、工商總局等部門分別享有一定的跨境數(shù)據(jù)流動監(jiān)管權力，基本形成了行業(yè)歸口監(jiān)管的體系。但是，目前多頭監(jiān)管機制的實施極易造成監(jiān)管缺失、重疊或者越位等問題。日本設立了個人信息保護委員會作為獨立的個人信息監(jiān)管機構，其主要職責是評估他國個人信息保護機制的完善程度、監(jiān)督處理個人信息經(jīng)營者的跨境個人數(shù)據(jù)傳輸行為、協(xié)助企業(yè)進行個人數(shù)據(jù)保護合規(guī)等，在跨境數(shù)據(jù)流動中起到整合、協(xié)調(diào)作用。我國可以借鑒日本的成功經(jīng)驗和做法，成立一個專門的獨立的跨境數(shù)據(jù)流動監(jiān)管委員會，專職負責整合行業(yè)要求、細化各類型數(shù)據(jù)跨境流動規(guī)則，促進數(shù)據(jù)自由、安全、符合規(guī)范地跨境流動。

四、結 論

跨境數(shù)據(jù)流動治理已成為全球數(shù)字治理的重要議題，我國對跨境數(shù)據(jù)流動的治理存在缺乏具體理念指導、數(shù)據(jù)跨境流動相關規(guī)則尚不健全、缺乏有效監(jiān)管等問題。通過對中日兩國跨境數(shù)據(jù)治理的比較分析發(fā)現(xiàn)，我國亟需打造“保障數(shù)據(jù)安全，促進數(shù)據(jù)流動”的跨境數(shù)據(jù)流動治理理念以應對全球治理挑戰(zhàn)，積極參與雙邊和多邊國際數(shù)字貿(mào)易及其規(guī)則的談判，推動更符合全球數(shù)字經(jīng)濟發(fā)展實際與中國利益的國際規(guī)則制定。在不同類別的數(shù)據(jù)跨境流動上，中國應當結合自身發(fā)展實際，借鑒域外經(jīng)驗，針對“個人信息”、“產(chǎn)業(yè)數(shù)據(jù)”和“重要數(shù)據(jù)”進行類型化治理，拓寬新的數(shù)據(jù)流通機制，構建獨立的跨境數(shù)據(jù)流動監(jiān)管委員會，構建起完整的跨境數(shù)據(jù)流動治理框架，實現(xiàn)數(shù)據(jù)流動安全與發(fā)展的價值平衡。目前，以數(shù)字驅動的全球化4.0新時代已拉開帷幕，對跨境數(shù)據(jù)流動的安全保護，起始于對數(shù)據(jù)的分類分級。本文在數(shù)據(jù)分類上有所涉及，在級別考量上存在不足之處，今后針對不同類型的數(shù)據(jù)進行進一步的細分治理尚有待深入研究。

參考文獻：

［1］CSIS. Governing Data in the Asia－Pacific［EB/OL］.（2021－04－21）［2022－04－23］.https：//www.csis.org/analysis/governing－data－asia－pacific.

［2］張光，宋歌.數(shù)字經(jīng)濟下的全球規(guī)則博弈與中國路徑選擇： 基于跨境數(shù)據(jù)流動規(guī)制視角［J］.學術交流，2022（1）：96－113.

［3］阿里巴巴數(shù)據(jù)安全研究中心.全球數(shù)據(jù)跨境流動政策與中國戰(zhàn)略研究［R/OL］.（2019－03）［2022－04－14］.http：//www.sicsi.net/Upload/ueditor_file/ueditor/20200217/1581933527865681.pdf.

［4］McKinsey Global Institute.中國與世界：理解變化中的經(jīng)濟聯(lián)系［EB/OL］.（2019－07） ［2022－04－15］.https：//www.mckinsey.com/mgi/overview.

［5］國家網(wǎng)信辦.數(shù)字中國發(fā)展報告［R/OL］.（2021－07－02） ［2022－04－13］.http：//www.cac.gov.cn/2021－06/28/c_1626464503226700.htm.

［6］楊燕青，吳光豪.參與全球數(shù)字經(jīng)貿(mào)規(guī)則制定 推動數(shù)字經(jīng)濟國際合作［N/OL］.（2021－11－26） ［2022－04－14］.https：//epaper.gmw.cn/gmrb/html/2021－11/26/nw.D110000gmrb_20211126_5－12.htm.

［7］IT総合戦略本部.デジタル時代の新たなＩＴ政策大綱より抜粋［R/OL］.（2019－06－07）［2022－04－14］.https：//www.mofa.go.jp/mofaj/files/100167362.pdf.

［8］デロイトトーマツ.歐州？中國を中心とするデータ保護主義の現(xiàn)狀と通商ルールの展望［EB/OL］.（2019－01－31） ［2022－04－15］.https：//www2.deloitte.com/content/dam/Deloitte/jp/Documents/strategy/cbs/jp－cbs－us－data.pdf.

［9］World Economic Forum. Data free flow with trust （DFFT）： paths towards free and trusted data flows［EB/OL］.（2020－05）［2022－04－12］.https：//www.weforum.org/whitepapers/data－free－flow－with－trust－dfft－paths－towards－free－and－trusted－data－flows.

［10］G7 Digital and Technology Ministerial Declaration Annex2.Roadmap for cooperation on data free flow with trust ［EB/OL］. （2021－04－28） ［2022－04－20］. http：//www.g7.utoronto.ca/ict/2021－annex_2－roadmap.html.

［11］陳海彬，王諾亞.日本跨境數(shù)據(jù)流動治理研究［J］.情報理論與實踐，2021，44（12）：197－204.

［12］ブルッキングス研究所.現(xiàn)実的な対中戦略構築事業(yè) ワーキングペーパー Vol.5日米デジタル同盟に向けて［EB/OL］.（2021－11－17） ［2022－04－19］.https：//www.spf.org/iina/articles/mireya－solis_01.html.

［13］森原 康仁.自由な越境移転か，ローカライゼーションか――米中間の構造問題としてのデータをめぐる角逐［J］.國際経済，2021（11）：1－25.

［14］総務省.情報通信白書 日本と世界のデータ関連制度2018 ［R/OL］.（2018－12－31）［2022－04－16］.https：//www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/pdf/n1200000.pdf.

［15］鄧靈斌.日本跨境數(shù)據(jù)流動規(guī)制新方案及中國路徑：基于“數(shù)據(jù)安全保障”視角的分析［J］.情報資料工作，2022，43（1）：52－60.

［16］馬其家，李曉楠.論我國數(shù)據(jù)跨境流動監(jiān)管規(guī)則的構建［J］.法治研究，2021（1）：91－101.

（責任編輯：秦紅嫚）

收稿日期：2022-07-12網(wǎng)絡出版日期：2022-12-02

基金項目：浙江省教育廳一般科研項目（Y202045055）；國家社會科學基金青年項目（18CFX085）

作者簡介：黨 璽（1978— ），男，河南南陽人，副教授，博士，主要從事民商法、數(shù)據(jù)法方面的研究。

① 麥肯錫全球研究院指出，國際貿(mào)易和金融資本的快速流動自2008年金融危機以來呈現(xiàn)趨平或下降態(tài)勢。與此同時，跨境數(shù)據(jù)流激增，支撐起包括商品、服務、資本、人才等類型的全球化活動。McKinsey Global Institute.Digital globalization： The new era of global flows［EB/OL］.（2016－03）［2022－04－10］.https：//www.mckinsey.com/business－functions/mckinsey－digital/our－insights/digital－globalization－the－new－era－of－global－flows.