全球數(shù)據(jù)安全的認(rèn)知、政策與實(shí)踐

全球數(shù)據(jù)安全的認(rèn)知、政策與實(shí)踐

編者按

需要圍繞當(dāng)前數(shù)據(jù)安全涉及的核心議題，深入分析數(shù)據(jù)安全面臨的主要挑戰(zhàn)以及當(dāng)前的政策實(shí)

踐，在對未來數(shù)據(jù)安全發(fā)展趨勢評估的基礎(chǔ)上，就中國如何進(jìn)一步有效維護(hù)數(shù)據(jù)安全并引領(lǐng)數(shù)據(jù)規(guī)

則制定進(jìn)行思考。

數(shù)據(jù)時(shí)代背景下，一方面數(shù)據(jù)戰(zhàn)略價(jià)值凸顯，各國圍繞數(shù)據(jù)展開戰(zhàn)略競爭；另一方面數(shù)據(jù)成為

安全重災(zāi)區(qū)，近年來，針對數(shù)據(jù)的攻擊、竊取、劫持、濫用等手段不斷推陳出新，給經(jīng)濟(jì)、政治、

社會等各領(lǐng)域帶來巨大風(fēng)險(xiǎn)。需要圍繞當(dāng)前數(shù)據(jù)安全涉及的核心議題，深入分析數(shù)據(jù)安全面臨的主

要挑戰(zhàn)以及當(dāng)前的政策實(shí)踐，在對未來數(shù)據(jù)安全發(fā)展趨勢評估的基礎(chǔ)上，就中國如何進(jìn)一步有效維

護(hù)數(shù)據(jù)安全并引領(lǐng)數(shù)據(jù)規(guī)則制定進(jìn)行思考。

內(nèi)容目錄：

編者按1

內(nèi)容目錄：1

弓I言2

1.1正確理解數(shù)據(jù)安全2

2.2數(shù)據(jù)安全面臨的主要挑戰(zhàn)3

3.3維護(hù)數(shù)據(jù)安全的主要實(shí)踐5

4.4未來數(shù)據(jù)安全維護(hù)主要趨勢7

5.數(shù)據(jù)跨境流動政策認(rèn)知與建議法律評論8

5.1.關(guān)于討論前提的兩點(diǎn)澄清8

5.1.1.數(shù)據(jù)跨境流動政策與數(shù)據(jù)本地化措施的關(guān)系：本地化并不意味著絕對禁止數(shù)據(jù)跨境流動8

5.1.2.數(shù)據(jù)跨境流動政策適用的數(shù)據(jù)類型：主要圍繞個(gè)人數(shù)據(jù)9

5.2.美歐數(shù)字跨境政策發(fā)展概況及差異9

5.2.1.美國數(shù)據(jù)跨境流動政策主要由貿(mào)易利益驅(qū)動10

5.2.2.歐盟在人權(quán)項(xiàng)下考慮數(shù)據(jù)跨境流動政策10

5.2.3.美歐數(shù)據(jù)跨境流動政策的具體實(shí)施機(jī)制有較大差異11

5.3.數(shù)據(jù)跨境政策面臨的共性問題及對中國的參考建議12

5.3.1.前述12

5.3.2.歐盟數(shù)據(jù)跨境流動政策的困境與改良12

5.3.3.歐盟經(jīng)驗(yàn)對中國的參考意義13

5.4.復(fù)雜的數(shù)據(jù)流動政策對跨境業(yè)務(wù)的影響15

第1頁共22頁

5.5.數(shù)據(jù)跨境流動合規(guī)建議15

5.5.1.關(guān)注本地?cái)?shù)據(jù)跨境流動政策目的及嚴(yán)苛程度16

5.5.2.積極尋求多樣化合規(guī)渠道16

5.5.3.應(yīng)對數(shù)據(jù)本地化帶來的管轄沖突17

5.5.4.建立全球化與本土化相結(jié)合的競爭戰(zhàn)略18

6.5結(jié)語18

注釋：18

參考文獻(xiàn)：21

引言

當(dāng)今世界已進(jìn)入數(shù)據(jù)時(shí)代，海量數(shù)據(jù)的產(chǎn)生與流轉(zhuǎn)成為“新常態(tài)"，正如中國發(fā)布的《全球數(shù)據(jù)安

全倡議》所言："作為數(shù)字技術(shù)的關(guān)鍵要素，全球數(shù)據(jù)爆發(fā)增長，海量集聚，成為實(shí)現(xiàn)創(chuàng)新發(fā)展、重

塑人們生活的重要力量，事關(guān)各國安全與經(jīng)濟(jì)社會發(fā)展?！币蕾囆栽綇?qiáng)則脆弱性越大，在數(shù)據(jù)如此重

要的背景下，數(shù)據(jù)亦成為安全“重災(zāi)區(qū)”。近年來，針對數(shù)據(jù)的攻擊、竊取、劫持、濫用等手段不斷推

陳出新，給經(jīng)濟(jì)、政治、社會等領(lǐng)域帶來巨大風(fēng)險(xiǎn)。為切實(shí)保障數(shù)據(jù)安全，國際社會各方在實(shí)踐中

不斷探索，但鑒于數(shù)據(jù)安全的技術(shù)與應(yīng)用特性，有效確保數(shù)據(jù)安全仍然面臨諸多現(xiàn)實(shí)挑戰(zhàn)。

L1正確理解數(shù)據(jù)安全

世界主要國家均高度重視數(shù)據(jù)及其安全，但因各國國情不同，對數(shù)據(jù)問題的核心關(guān)切亦有所不

同，對于何為數(shù)據(jù)安全，并不存在統(tǒng)一認(rèn)知與概念界定。對于數(shù)據(jù)安全的理解總體上與各國發(fā)展階

段和程度密切相關(guān)，但不可否認(rèn)的是，數(shù)據(jù)安全具有安全問題的共性，即本質(zhì)上是一種動態(tài)、平衡、

相對的安全。

首先，數(shù)據(jù)安全是一種動態(tài)的安全。數(shù)據(jù)問題兼具技術(shù)性與社會性，從技術(shù)角度來看，數(shù)據(jù)的

產(chǎn)生、流轉(zhuǎn)與技術(shù)應(yīng)用高度相關(guān)，數(shù)據(jù)形態(tài)與“運(yùn)維”本身處在不斷的發(fā)展變化之中，這就意味著數(shù)據(jù)

安全的內(nèi)涵與外延亦在不斷拓展。從社會角度來看，數(shù)據(jù)涉及社會各層面，與日常生活息息相關(guān)，

必然受到社會環(huán)境與文化傳統(tǒng)的影響。因此，各國對于數(shù)據(jù)安全的理解與把握存在差異，且處于動

態(tài)變化之中。一般而言，發(fā)展程度越高，對于數(shù)據(jù)安全維護(hù)的意識與認(rèn)知會更加成熟。

其次，數(shù)據(jù)安全是一種平衡的安全。任何一個(gè)國家對于數(shù)據(jù)安全的維護(hù)都是有“偏好”的，這種偏

好不是指心理上的，而是基于現(xiàn)實(shí)，在安全訴求與發(fā)展需要之間不斷尋求最符合自身利益的平衡點(diǎn)。

長遠(yuǎn)來看，安全是為了更好地發(fā)展。但在實(shí)踐進(jìn)程中，出于不同發(fā)展階段的需要，發(fā)展會付出一定

的安全代價(jià)，安全亦會事實(shí)上影響發(fā)展進(jìn)程。一般而言，發(fā)展程度越高，對于數(shù)據(jù)安全維護(hù)會更加

第2頁共22頁

偏好發(fā)展，力圖在實(shí)現(xiàn)發(fā)展利益的前提下最大限度地確保安全。

最后，數(shù)據(jù)安全是一種相對的安全。數(shù)據(jù)安全同其他安全一樣，沒有絕對的安全。在當(dāng)前發(fā)展

背景下，數(shù)據(jù)是一種常態(tài)化、泛在化的存在，這不僅意味著數(shù)據(jù)處理涵蓋收集、存儲、使用、加工、

傳輸、提供與公開的“全鏈條"，更意味著數(shù)據(jù)主體涉及國家、企業(yè)乃至個(gè)人。數(shù)據(jù)安全的復(fù)雜性不言

而喻，絕對安全只能是一種理想狀態(tài)，而非現(xiàn)實(shí)目標(biāo)，這也是為什么中國在最新頒布的《中華人民

共和國數(shù)據(jù)安全法》中，將“數(shù)據(jù)安全”務(wù)實(shí)地界定為："通過必要措施，確保數(shù)據(jù)處于有效保護(hù)和合

法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！?/p>

需要指出的是，由于各國處于不同發(fā)展階段，有效應(yīng)用數(shù)據(jù)的能力并不相同，對于數(shù)據(jù)安全的

內(nèi)在利益訴求與面臨的外在現(xiàn)實(shí)約束均有不同。數(shù)據(jù)安全維護(hù)很難齊頭并進(jìn)，而是具有一定“優(yōu)先排

序”。因此，相應(yīng)的數(shù)據(jù)安全維護(hù)政策法規(guī)與治理機(jī)制沒有絕對的“模板"，政策實(shí)踐更會呈現(xiàn)鮮明的“國

情特色”。

比如美國鑒于其技術(shù)與產(chǎn)業(yè)優(yōu)勢，主要從產(chǎn)業(yè)利益出發(fā)，對數(shù)據(jù)持積極利用的態(tài)度，堅(jiān)持以市

場為主導(dǎo)、以行業(yè)自律為主要手段,總體呈現(xiàn)一種“相對寬松”的政策導(dǎo)向[1];歐盟雖然將數(shù)字產(chǎn)業(yè)發(fā)

展列為實(shí)現(xiàn)未來競爭力的戰(zhàn)略方向，但目前來看規(guī)模有限，其對數(shù)據(jù)安全的關(guān)注更多從“理念"與"規(guī)

則”塑造層面入手，提出將價(jià)值觀、個(gè)人權(quán)利和市場價(jià)值相結(jié)合的歐洲“數(shù)據(jù)理念”；俄羅斯從維護(hù)國

家安全的角度出發(fā)高度重視數(shù)據(jù)安全，對于數(shù)據(jù)流通有較嚴(yán)格限制，總體呈現(xiàn)出相對封閉的“孤島"

態(tài)勢。中國數(shù)據(jù)安全觀基于總體國家安全觀，數(shù)據(jù)安全政策整體比較務(wù)實(shí)平衡。一方面大膽將數(shù)據(jù)

作為重要生產(chǎn)要素投入生產(chǎn)，推動數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合、實(shí)現(xiàn)經(jīng)濟(jì)轉(zhuǎn)型。另一方面通過《中

華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法（草案）》

等法律法規(guī)，乃至于緊跟熱點(diǎn)行業(yè)推進(jìn)規(guī)范的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，建設(shè)全

方位的數(shù)據(jù)安全保障體系。同時(shí)中國積極參與國際數(shù)據(jù)安全規(guī)則塑造，于2020年9月發(fā)布《全球數(shù)

據(jù)安全倡議》，呼吁各國致力于維護(hù)開放、公正、非歧視性的數(shù)字環(huán)境。

2.2數(shù)據(jù)安全面臨的主要挑戰(zhàn)

在數(shù)據(jù)時(shí)代，數(shù)據(jù)是一種“泛在"性的存在，其安全的維護(hù)是一個(gè)非常復(fù)雜的系統(tǒng)，但按照涉及議

題的屬性，大致可以將當(dāng)前數(shù)據(jù)安全面臨的主要挑戰(zhàn)或問題劃分為以下四大類：

第一，數(shù)據(jù)確權(quán)難題。有效維護(hù)數(shù)據(jù)安全，首要的問題是對數(shù)據(jù)進(jìn)行確權(quán)。所謂數(shù)據(jù)確權(quán)，是

對數(shù)據(jù)權(quán)內(nèi)容、權(quán)屬、權(quán)利體系和治理機(jī)制等做出明確規(guī)范的過程。由于數(shù)據(jù)問題本身的特殊性，

數(shù)據(jù)確權(quán)從不同主體層面均面臨不同程度的困難。從國家層面來看，就是“數(shù)據(jù)主權(quán)”問題。雖然各國

表述不一，但總體而言均旨在強(qiáng)調(diào)國家對數(shù)據(jù)的主權(quán)，涉及提升數(shù)據(jù)安全管控能力和強(qiáng)化國家關(guān)鍵

數(shù)據(jù)資源保護(hù)能力等各方面。目前，對于該問題的探索還處在初級階段，各國雖然對國家擁有數(shù)據(jù)

第3頁共22頁

主權(quán)沒有異議，但在實(shí)踐中，如何有效維護(hù)，特別是如何平衡數(shù)據(jù)開放、共享與跨境流動之間的關(guān)

系仍然面臨諸多分歧與差異。從社會與個(gè)體層面來看，就涉及數(shù)據(jù)的“產(chǎn)權(quán)”問題，目前學(xué)術(shù)與政策界

對于數(shù)據(jù)特征、數(shù)據(jù)權(quán)利性質(zhì)的內(nèi)容、數(shù)據(jù)權(quán)利配置結(jié)果等重要問題仍存不同看法。數(shù)據(jù)確權(quán)問題

很難有權(quán)威或普適的解決方案，各國需要不斷尋找適合自身安全與發(fā)展需要的解決路徑。

第二，數(shù)據(jù)壟斷困境?；ヂ?lián)網(wǎng)行業(yè)以用戶量和數(shù)據(jù)量為導(dǎo)向形成“贏者通吃"的天然壟斷局面，絕

大部分用戶份額控制在一個(gè)或幾個(gè)巨型互聯(lián)網(wǎng)公司之中。數(shù)據(jù)壟斷會帶來系列問題，一是隱私保護(hù)

問題，以Facebook、Google這類挖掘海量用戶數(shù)據(jù)資源的社交、搜索企業(yè)為代表，這些數(shù)據(jù)被用于

定向推送、協(xié)調(diào)行業(yè)生產(chǎn)資源。但用戶交付個(gè)人信息以換取互聯(lián)網(wǎng)企業(yè)免費(fèi)服務(wù)的同時(shí)，所產(chǎn)生的

大量行為數(shù)據(jù)也被互聯(lián)網(wǎng)企業(yè)所搜集。二是加大數(shù)據(jù)泄露風(fēng)險(xiǎn)，海量數(shù)據(jù)集中在少部分平臺和公司

之中，也增大了大規(guī)模數(shù)據(jù)泄露的風(fēng)險(xiǎn)。三是市場壟斷問題。企業(yè)對于數(shù)據(jù)的排他性支配是否在事

實(shí)上導(dǎo)致準(zhǔn)入壁壘，進(jìn)而使得互聯(lián)網(wǎng)市場趨向壟斷，長遠(yuǎn)看會影響行業(yè)整體的良性發(fā)展態(tài)勢。

第三，數(shù)據(jù)泄露危害。所謂數(shù)據(jù)泄露主要是指受保護(hù)的重要、敏感、核心數(shù)據(jù)丟失、被盜、或

其他未經(jīng)授權(quán)的訪問或公開。近年來數(shù)據(jù)泄露事件屢見不鮮，涉及工業(yè)制造、政府?dāng)?shù)據(jù)、醫(yī)療信息、

個(gè)人賬號、軍工情報(bào)等諸多領(lǐng)域。依據(jù)泄露數(shù)據(jù)的重要性、數(shù)據(jù)數(shù)量規(guī)?？稍斐刹煌潭任：Α?/p>

數(shù)據(jù)泄露影響主體而言，可分為個(gè)人、企業(yè)、社會與國家四個(gè)層次。數(shù)據(jù)泄露侵犯網(wǎng)絡(luò)用戶個(gè)人信

息和隱私，增大用戶被欺詐風(fēng)險(xiǎn)；企業(yè)數(shù)據(jù)泄露造成直接經(jīng)濟(jì)損害，同時(shí)影響企業(yè)可信度；公共數(shù)

據(jù)泄露影響社會治理，違法售賣數(shù)據(jù)等既是犯罪本身也可能引發(fā)其他類型的網(wǎng)絡(luò)犯罪；核心、機(jī)密

數(shù)據(jù)以及大規(guī)模數(shù)據(jù)泄露同樣威脅著國家的政權(quán)安全和主權(quán)安全。

第四，數(shù)據(jù)造假隱患。近年來，數(shù)據(jù)篡改或造假問題日益引起廣泛關(guān)注：一是影響行業(yè)發(fā)展，

數(shù)據(jù)造假已成為社會多領(lǐng)域內(nèi)的問題，包括環(huán)境監(jiān)測、金融數(shù)據(jù)造假。在電商平臺、視頻網(wǎng)站以及

社交平臺上的公開數(shù)據(jù)也有相關(guān)造假手段。這些對于依賴數(shù)據(jù)真實(shí)性的行業(yè)發(fā)展而言都有著不良影

響，更為重要的是會影響國家相關(guān)領(lǐng)域的宏觀判斷與政策制定；二是影響新技術(shù)與應(yīng)用發(fā)展。主要

體現(xiàn)在人工智能和機(jī)器學(xué)習(xí)的應(yīng)用中。眾所周知，無論是算法還是機(jī)器學(xué)習(xí)都需要基于海量數(shù)據(jù)，

數(shù)據(jù)的真實(shí)性與有效性也至為重要，如果基于被篡改的數(shù)據(jù)與作假的數(shù)據(jù)，算法的有效性與學(xué)習(xí)效

果不難想象；三是滋生新的犯罪手段。突出表現(xiàn)在個(gè)人生物識別信息的應(yīng)用過程中，個(gè)人生物識別

信息具有獨(dú)特性、唯一性，并且與個(gè)人身份信息具有高度相關(guān)性，以其可數(shù)據(jù)化和便攜性得以迅速

推廣，涉及生活的方方面面。指紋鎖、小區(qū)人臉識別門禁、疫苗注射登記乃至天網(wǎng)系統(tǒng)都與個(gè)人生

物識別信息密切相關(guān)。利用人工智能的“深度偽造”技術(shù)對這些信息進(jìn)行替換、合成和調(diào)整，從而破壞

個(gè)人生物識別數(shù)據(jù)的排他性和唯一性，不僅會導(dǎo)致個(gè)人身份及信息的盜用，而且會成為進(jìn)行惡意或

非法活動的重要手段。

第4頁共22頁

3.3維護(hù)數(shù)據(jù)安全的主要實(shí)踐

數(shù)據(jù)安全問題復(fù)雜，涉及主體多元，領(lǐng)域廣泛，包括國家、企業(yè)乃至個(gè)人的各方均是數(shù)據(jù)安全

維護(hù)的主要實(shí)踐者，雖然各有專長或?qū)Ｗ㈩I(lǐng)域，但彼此之間又有著緊密關(guān)聯(lián)，共同構(gòu)成不斷發(fā)展的

數(shù)據(jù)安全治理生態(tài)。

首先，是國家層面"三條主線”。隨著數(shù)據(jù)安全重要性日益凸顯，世界各國都在維護(hù)數(shù)據(jù)安全方面

進(jìn)行了諸多嘗試。

一是推進(jìn)數(shù)據(jù)本地化措施。出于保護(hù)國家安全和公民隱私考慮，國家往往會對數(shù)據(jù)存儲做出相

應(yīng)要求。近年來，數(shù)據(jù)本地化浪潮興起，明確提出相關(guān)要求的國家多為發(fā)展中國家和新興經(jīng)濟(jì)體，

但實(shí)際上各國不管“明面”（明確專門就數(shù)據(jù)本地化提出要求）還是“暗里”（相關(guān)數(shù)據(jù)流動限制分散體現(xiàn)

在其他具體的安全例外或行業(yè)規(guī)定）都有相關(guān)規(guī)定。

二是加強(qiáng)數(shù)據(jù)跨境流動規(guī)制。各國出于不同考慮，會對本國數(shù)據(jù)境外傳輸采取相應(yīng)規(guī)制。主要

表現(xiàn)為需經(jīng)數(shù)據(jù)主體同意或特定數(shù)據(jù)經(jīng)審批后方可對外傳輸。如中國強(qiáng)調(diào)評估，2019年《個(gè)人信息

出境安全評估辦法（征求意見稿）》要求個(gè)人信息出境前需進(jìn)行安全評估，評估其合法性和正當(dāng)性，可

能影響國家安全、損害公共利益，或者難以有效保障個(gè)人信息安全的，不得出境。美國雖然鼓勵(lì)數(shù)

據(jù)自由流動，但采取禁止性規(guī)定，即關(guān)乎國家安全和利益的特定類型數(shù)據(jù)受到嚴(yán)格保護(hù)。此外，多

國提出數(shù)據(jù)向境外傳輸后能夠受到與本國同等程度保護(hù)的要求。如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）

對數(shù)據(jù)傳輸目的地實(shí)行數(shù)據(jù)保護(hù)的“充分性認(rèn)定”，通過該認(rèn)定的國家方可自由地將歐盟個(gè)人數(shù)據(jù)傳輸

至該國。

三是圍繞“長臂管轄”展開較量。數(shù)據(jù)領(lǐng)域的長臂管轄問題主要源于網(wǎng)絡(luò)犯罪的取證問題，網(wǎng)絡(luò)犯

罪因其數(shù)據(jù)轉(zhuǎn)移更新快，通過正常審批流程周期長等問題，使得各國為了本國的司法便利而采取長

臂管轄。一方面這有一定的合理性，是探索網(wǎng)絡(luò)犯罪取證的解決之道；但另一方面也確易出現(xiàn)濫用

風(fēng)險(xiǎn)，引發(fā)主權(quán)爭議。比如美國2018年通過了《澄清境外數(shù)據(jù)的合法使用法案》（簡稱CLOUD法案）,

明確加強(qiáng)數(shù)據(jù)領(lǐng)域長臂管轄能力，但在實(shí)踐進(jìn)程中帶來司法管轄權(quán)沖突或異議。各國紛紛出臺相應(yīng)

政策進(jìn)行應(yīng)對。如2018年8月7日，歐盟委員會出臺升級版《阻斷法案》；法國2019年6月發(fā)布

了《重建法國和歐洲主權(quán)、保護(hù)我們的企業(yè)免于域外管轄的法律和措施》報(bào)告；中國2021年1月9

日發(fā)布《阻斷外國法律與措施不當(dāng)域外適用辦法》，4月29日公布了《中華人民共和國個(gè)人信息保

護(hù)法（草案二審稿）》，加強(qiáng)了對向境外司法或執(zhí)法機(jī)構(gòu)提供個(gè)人信息的監(jiān)管，明確非經(jīng)主管機(jī)關(guān)批準(zhǔn)

不得提供等。

其次，行業(yè)層面"重點(diǎn)突出"。不同行業(yè)對于數(shù)據(jù)安全類型的側(cè)重和維護(hù)方式均有所不同，所有需

要和個(gè)人交互的行業(yè)都需要保護(hù)的個(gè)人隱私數(shù)據(jù)之外，重點(diǎn)是對各自“核心數(shù)據(jù)”采取相應(yīng)措施大幅提

第5頁共22頁

升數(shù)據(jù)安全能力。

一是加大數(shù)據(jù)安全管理架構(gòu)優(yōu)化力度，不再僅僅將數(shù)據(jù)安全作為簡單的技術(shù)問題，而是通過涉

及優(yōu)化治理層、管理層、執(zhí)行層和監(jiān)督層四個(gè)層面促進(jìn)整個(gè)數(shù)據(jù)安全治理體系的持續(xù)優(yōu)化；二是不

斷加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)評估力度，通過建立專門部門或工作小組的方式，將數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作常

態(tài)化與機(jī)制化；三是積極采取新技術(shù)手段，通過系統(tǒng)升級，部署人工智能、器學(xué)習(xí)、分析和其他形

式的安全自動化技術(shù)，強(qiáng)化數(shù)據(jù)安全態(tài)勢感知；四是加大人員數(shù)據(jù)安全能力培訓(xùn)，通過打造針對技

術(shù)、自動化與安全專業(yè)人才團(tuán)隊(duì)建設(shè)，維護(hù)和減少系統(tǒng)內(nèi)部漏洞以避免外部惡意攻擊；規(guī)范數(shù)據(jù)處

理流程，對于企業(yè)內(nèi)部人員進(jìn)行數(shù)據(jù)安全培訓(xùn)與道德培訓(xùn)以降低內(nèi)部無意識泄露的風(fēng)險(xiǎn)。

最后，國際層面"積極探索”。各國數(shù)據(jù)在跨境流動中，不斷地通過機(jī)制對接，尋找流動與安全的

平衡點(diǎn)。在此過程中，基于流動背景下的數(shù)據(jù)安全理念不斷擴(kuò)散，相應(yīng)數(shù)據(jù)安全規(guī)則也在逐漸成形。

雖然目前階段各國囿于利益、價(jià)值觀等方面的較大差異，短期內(nèi)在聯(lián)合國或WTO等多邊機(jī)制下很難

形成各方接受的單一數(shù)據(jù)流動規(guī)則，更遑論安全規(guī)則，但各主要國家都在探索可能的路徑。

一是對于個(gè)人數(shù)據(jù)的保護(hù)基本達(dá)成共識。歐盟通過GDPR確立了被稱為“世界上采用最廣泛的個(gè)

人數(shù)據(jù)保護(hù)模式”，雖然保護(hù)的力度有所不同，但大多數(shù)國家在國內(nèi)立法中都在不同程度上適用其原

則。此外，美國亦著力推動APEC跨境隱私規(guī)則(Cross-BorderPrivacyRules,CBPR)體系，增強(qiáng)個(gè)人

信息保護(hù)機(jī)制兼容性。CBPR體系是基于自愿原則在政府支持下開展的，為企業(yè)提供符合國際公認(rèn)標(biāo)

準(zhǔn)的數(shù)據(jù)隱私保護(hù)認(rèn)證體系。

二是通過“相互認(rèn)定”設(shè)立數(shù)據(jù)安全“門檻”。歐盟于2018年發(fā)布的《通用數(shù)據(jù)保護(hù)條例》(GDPR)

通過“充分性認(rèn)定”規(guī)則確定數(shù)據(jù)跨境自由流動白名單國家，對具有充分保護(hù)水平的國家和地區(qū)進(jìn)行充

分性認(rèn)定，從而確定能與歐盟進(jìn)行數(shù)據(jù)自由傳輸?shù)膰液偷貐^(qū)。目前已通過歐盟充分性認(rèn)定的國家

和地區(qū)有13個(gè)。在一定程度上設(shè)立了數(shù)據(jù)安全保護(hù)的“門檻”，打造了一些"模板"。如韓國為與歐盟

達(dá)成“充分性認(rèn)定”，于2020年修改了其國內(nèi)數(shù)據(jù)保護(hù)法。

三是力圖形成兼顧發(fā)展與安全的治理框架。最具代表性的即日本倡議的"可信數(shù)據(jù)自由流動”，該

框架通過G20機(jī)制得到美國和歐盟的認(rèn)可。2019年6月，G20貿(mào)易與數(shù)字經(jīng)濟(jì)部長會議重申可信數(shù)

據(jù)自由流動的概念，強(qiáng)調(diào)跨境數(shù)據(jù)流動對促進(jìn)生產(chǎn)率、創(chuàng)新和可持續(xù)發(fā)展的重要性。該框架著重強(qiáng)

調(diào)兩個(gè)方面：一是信任，即消費(fèi)者和企業(yè)對隱私保護(hù)和安全的信任；二是可互操作性，即不同法律

框架之間的融合。

四是積極推出全球數(shù)據(jù)安全倡議。中國作為數(shù)據(jù)大國，亦積極為全球數(shù)據(jù)治理不斷探索。2020

年9月8日，在北京舉辦的“抓住數(shù)字機(jī)遇，共謀合作發(fā)展”的國際研討會上，中國提出《全球數(shù)據(jù)安

全倡議》。在這份倡議的推動下，2021年3月29日，中國外交部同阿拉伯國家聯(lián)盟秘書處召開中

阿數(shù)據(jù)安全視頻會議，宣布共同發(fā)表《中阿數(shù)據(jù)安全合作倡議》，阿拉伯國家成為全球范圍內(nèi)首個(gè)

第6頁共22頁

與中國共同發(fā)表數(shù)據(jù)安全倡議的地區(qū)，體現(xiàn)了中阿在數(shù)字治理領(lǐng)域的高度共識。

4.4未來數(shù)據(jù)安全維護(hù)主要趨勢

當(dāng)前國際社會積極探索推進(jìn)全球數(shù)據(jù)安全治理，但總體而言尚處起步階段，雖然各類網(wǎng)絡(luò)空間

治理議程均將數(shù)據(jù)安全納入優(yōu)先議程，包括政府、企業(yè)、智庫在內(nèi)的各方也在不斷提供政策建議，

但無論是從共識基礎(chǔ)、規(guī)則形成還是機(jī)制建設(shè)等各方面來看，全球性規(guī)則體系建立還有很長的一段

路要走?；诋?dāng)前形勢與政策實(shí)踐，未來數(shù)據(jù)安全維護(hù)將呈現(xiàn)如下發(fā)展趨勢：

趨勢一：主要國家數(shù)據(jù)安全框架基本成形。隨著各國對數(shù)據(jù)保護(hù)工作的持續(xù)關(guān)注，在數(shù)據(jù)全球

流動、跨境服務(wù)日益頻繁的大趨勢下，主要國家和地區(qū)在數(shù)據(jù)安全管理的適用范圍呈現(xiàn)初步持續(xù)擴(kuò)

大的趨勢，經(jīng)過初期的探索以及相應(yīng)的規(guī)則整合，數(shù)字安全框架趨于成形：一是從戰(zhàn)略高度重視數(shù)

據(jù)安全，圍繞數(shù)據(jù)安全的統(tǒng)一立法成為越來越多國家和地區(qū)的共同模式；二是數(shù)據(jù)的分級分類管理

機(jī)制逐漸清晰，雖然各國對數(shù)據(jù)的細(xì)分或有所不同，但在實(shí)踐上，大體均會根據(jù)數(shù)據(jù)性質(zhì)以及具體

應(yīng)用場景，制定不同保護(hù)標(biāo)準(zhǔn)與實(shí)施措施。三是圍繞數(shù)據(jù)安全的主體責(zé)任落實(shí)更加明確。越來越多

的國家通過既有機(jī)制中增加相應(yīng)數(shù)據(jù)安全職能，或者新建相應(yīng)主管機(jī)制，將數(shù)據(jù)安全責(zé)任進(jìn)一步壓

實(shí)，以確保相應(yīng)數(shù)據(jù)安全戰(zhàn)略與政策能夠有效落地。

趨勢二：各國對于數(shù)據(jù)的控制權(quán)會不斷加強(qiáng)。雖然當(dāng)前技術(shù)能力較為發(fā)達(dá)的國家在數(shù)據(jù)安全問

題上傾向于積極鼓勵(lì)數(shù)據(jù)跨境流動，維護(hù)并進(jìn)一步擴(kuò)大自身的權(quán)益和優(yōu)勢地位。與此同時(shí)，隨著各

國對于數(shù)字經(jīng)濟(jì)的重視，在貿(mào)易協(xié)定等國際協(xié)作上，數(shù)據(jù)本地化要求會得到相應(yīng)限制。但總體來看，

技術(shù)能力相對不足的國家會繼續(xù)傾向于采取數(shù)據(jù)本地化等"數(shù)據(jù)防御主義”措施，在發(fā)展中國家和新興

經(jīng)濟(jì)體中，數(shù)據(jù)本地化浪潮還將不斷延續(xù)。同時(shí)，有條件的數(shù)據(jù)跨境流動將越來越普遍，尤其是政

府?dāng)?shù)據(jù)、健康數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)等關(guān)乎國家安全利益的數(shù)據(jù)；各國之間數(shù)據(jù)跨境流動的審查及認(rèn)

定機(jī)制也將在衡量各國數(shù)據(jù)安全保護(hù)能力的同時(shí)繼續(xù)體現(xiàn)更多政治性因素的考量，構(gòu)建數(shù)據(jù)流動"朋

友圈”的做法亦會延續(xù)。

趨勢三：全球跨境數(shù)據(jù)流動圈呈現(xiàn)復(fù)雜態(tài)勢。經(jīng)過初期發(fā)展，數(shù)據(jù)安全的本地化措施基本到位，

相關(guān)國家的關(guān)注重心會更多地轉(zhuǎn)向在數(shù)據(jù)的流動中如何更好維護(hù)數(shù)據(jù)的安全。美歐日韓等國在此方

面已經(jīng)采取相應(yīng)措施，力圖實(shí)現(xiàn)在所謂“價(jià)值共同體”中的機(jī)制對接。但似乎這種路徑也并不那么順利，

隨著2020年7月，歐盟法院宣布?xì)W盟與美國的隱私盾協(xié)議在跨境數(shù)據(jù)傳輸方面無效，歐盟與美國跨

境流動“通道”存在變數(shù)。同時(shí)，歐盟、英國也試圖進(jìn)一步拓展其與亞太地區(qū)的數(shù)據(jù)流動。2020年6

月，英國制定了脫歐后的科技貿(mào)易戰(zhàn)略，此前歐盟與日本通過充分性認(rèn)定實(shí)現(xiàn)數(shù)據(jù)自由流動，但在

英國脫歐之后，該條款已經(jīng)不再適用于英國，英國希望與日本等亞太國家簽訂更深度融合的數(shù)據(jù)自

由流動協(xié)議［12］。止匕外，地緣政治博弈帶來的影響，如美國聯(lián)合多國針對中國推進(jìn)“清潔數(shù)據(jù)”等做法，

第7頁共22頁

也會在客觀上進(jìn)一步加大未來數(shù)據(jù)流動版圖的復(fù)雜性與不確定性。

趨勢四：最佳實(shí)踐會給數(shù)據(jù)安全帶來新變數(shù)。數(shù)據(jù)安全本身是一個(gè)動態(tài)發(fā)展的問題，隨著相應(yīng)

新技術(shù)與應(yīng)用的拓展，會不斷產(chǎn)生新的安全議題，與此同時(shí)，實(shí)踐證明，數(shù)據(jù)安全政策總會有不同

程度的“落地”問題，需要不斷根據(jù)實(shí)踐反饋校準(zhǔn)與修正。事實(shí)上從發(fā)展的角度看，對于數(shù)據(jù)安全的有

效維護(hù)，除戰(zhàn)略與政策層面之外，實(shí)踐層面的“解決方案”即最佳實(shí)踐亦至關(guān)重要。比如面對數(shù)據(jù)流動

中的隱私保護(hù)問題，企業(yè)和技術(shù)社群積極探索方案，從技術(shù)上解決“合規(guī)”問題，使數(shù)據(jù)既能有效流動

起來，又能解決隱私或安全關(guān)切。比如“聯(lián)邦學(xué)習(xí)"等"隱私算法”技術(shù)手段的應(yīng)用；再比如"工業(yè)數(shù)據(jù)

空間”(IDS),作為一種基于標(biāo)準(zhǔn)化通信接口安全的數(shù)據(jù)共享虛擬結(jié)構(gòu)，它可以將分散的工業(yè)數(shù)據(jù)轉(zhuǎn)換

為一個(gè)可信的數(shù)據(jù)網(wǎng)絡(luò)空間，以規(guī)范的數(shù)據(jù)共享保證數(shù)據(jù)的保密性和所有權(quán)。

5.數(shù)據(jù)跨境流動政策認(rèn)知與建議法律評論

在當(dāng)前網(wǎng)絡(luò)空間治理政策中，沒有哪類議題能夠像數(shù)據(jù)跨境流動一樣，包含如此之復(fù)雜的討論

面向：數(shù)據(jù)主權(quán)、隱私保護(hù)、法律適用與管轄、乃至國際貿(mào)易規(guī)則。特別是在2013年斯諾登事件后,

隨著安全擔(dān)憂情緒的蔓延，各國政府引入了形式多樣的本地化要求，更增加了人們對數(shù)據(jù)跨境流動

政策的困惑與誤解。

通過對美國、歐盟等最具有代表性的數(shù)據(jù)跨境流動政策的詳細(xì)對比，提煉共性與差異，以澄清

有關(guān)該政策的基本認(rèn)知。并基于歐盟制度改革中對數(shù)據(jù)跨境流動政策的反思，提出相關(guān)政策完善建

議。

此外，基于中、美、歐對全球網(wǎng)絡(luò)空間治理規(guī)則的影響力，本文分析了全球數(shù)據(jù)跨境流動政策

的基本走向，以及其對數(shù)字經(jīng)濟(jì)全球化運(yùn)營可能帶來的深度影響，并面向企業(yè)提出相關(guān)建議。

對于身處復(fù)雜政策框架下的企業(yè)來說，不僅需關(guān)注不同規(guī)制要求，積極尋求多樣化合規(guī)渠道，

更需從長遠(yuǎn)建立全球化與本土化相結(jié)合的競爭戰(zhàn)略。

5.1.關(guān)于討論前提的兩點(diǎn)澄清

5.1.1.數(shù)據(jù)跨境流動政策與數(shù)據(jù)本地化措施的關(guān)系：本地化并不意味著絕對禁止數(shù)據(jù)

跨境流動

數(shù)據(jù)跨境流動政策是指一國(或地區(qū))政府針對數(shù)據(jù)通過信息網(wǎng)絡(luò)跨越邊境的傳輸、處理活動所采

取的基本立場以及配套管理措施的集合［1］。盡管信息網(wǎng)絡(luò)對數(shù)據(jù)的傳輸邊際成本極低，互聯(lián)網(wǎng)基礎(chǔ)

協(xié)議能夠確定網(wǎng)絡(luò)任意兩點(diǎn)之間傳輸數(shù)據(jù)包的最快路徑，也并不以地理邊境為界，但各國出于隱私、

安全等考慮，對從技術(shù)上完全可實(shí)現(xiàn)的"數(shù)據(jù)自由流動“現(xiàn)象從政策層面作出不同程度的干預(yù)。

“數(shù)據(jù)跨境流動政策”這一表述本身是中性且廣義的，它包含了從開放到保守不同立場傾向的政策

第8頁共22頁

類型。它既可以針對數(shù)據(jù)流出境內(nèi)的場景(如歐盟對于個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的管理框架)；也可以

適用于數(shù)據(jù)流入境內(nèi)的場景(如出于保護(hù)公共利益需要，對于兒童色情、侵害知識產(chǎn)權(quán)等數(shù)據(jù)，采取

措施禁止本國居民通過網(wǎng)絡(luò)訪問獲得［2］)。

相比之下，數(shù)據(jù)本地化措施從概念本身則狹義許多。它是指：出于本國公民隱私保護(hù)、國家數(shù)

據(jù)安全，以及執(zhí)法便利等目的，要求數(shù)據(jù)在境內(nèi)存儲、處理的管理要求集合。

當(dāng)然，數(shù)據(jù)本地化措施也可以包含寬嚴(yán)程度不同的類型，通常有：

(1)僅要求在當(dāng)?shù)赜袛?shù)據(jù)備份，而并不對跨境提供作出過多限制［3］；

(2)數(shù)據(jù)留存在當(dāng)?shù)?，且對跨境提供有限制?］；

(3)要求特定類型的數(shù)據(jù)留存在境內(nèi)［5］；

(4)數(shù)據(jù)留存在境內(nèi)的自有設(shè)施上［6］,等等。

因此，盡管“數(shù)據(jù)本地化”措施正在成為當(dāng)前全球網(wǎng)絡(luò)空間治理中的一股潮流，但它仍然僅代表了

數(shù)據(jù)跨境流動政策的一種方向。而且鑒于"數(shù)據(jù)本地化”政策的豐富類型，本地化并不意味著絕對禁止

數(shù)據(jù)的跨境流動，有相當(dāng)部分的數(shù)據(jù)本地化政策仍然給出了很多例外。

5.1.2.數(shù)據(jù)跨境流動政策適用的數(shù)據(jù)類型：主要圍繞個(gè)人數(shù)據(jù)

關(guān)于數(shù)據(jù)跨境流動政策的討論最早始于個(gè)人數(shù)據(jù)保護(hù)法律領(lǐng)域。個(gè)人數(shù)據(jù)保護(hù)的國際綱領(lǐng)性文

件--1980年經(jīng)合組織《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流動指南》，內(nèi)容主要分為"國內(nèi)適用的基本

原則”及“國際間適用的基本原則”。后者解決的即是個(gè)人數(shù)據(jù)跨境流動問題［7］。進(jìn)入“后斯諾登"時(shí)代,

新一輪的數(shù)據(jù)跨境流動政策對數(shù)據(jù)類型有所擴(kuò)展。但從各國政策的總體觀察而看，政策對象仍以個(gè)

人數(shù)據(jù)為主①,在有限的案例中擴(kuò)展至其他數(shù)據(jù)［8］。

國內(nèi)關(guān)于數(shù)據(jù)跨境流動政策的部分研究文獻(xiàn)將政府?dāng)?shù)據(jù)納入，并基于政府?dāng)?shù)據(jù)類型，提出相應(yīng)

的跨境流動管理策略。此類認(rèn)知需予以澄清。

實(shí)際上政府?dāng)?shù)據(jù)中涉及國家秘密乃至安全的部分，在屬性上已經(jīng)提出了更高保密性要求，禁止

跨境流動本就是應(yīng)有之義；不涉及國家秘密的部分，如果具備公開屬性，則應(yīng)納入政府?dāng)?shù)據(jù)開放調(diào)

整范圍，也不牽涉跨境數(shù)據(jù)管理問題。

而歸根結(jié)底，政府?dāng)?shù)據(jù)無論是否具有保密屬性，都具有在本地存儲的天然特點(diǎn)，絕大部分也不

具有跨境流動的商業(yè)化需求。因此，在數(shù)據(jù)跨境政策討論中，提出政府?dāng)?shù)據(jù)類別，對于認(rèn)知數(shù)據(jù)跨

境流動政策并無特別意義。

綜上，本文聚焦于各國針對經(jīng)貿(mào)往來中，基于商業(yè)目的的數(shù)據(jù)跨境流動政策分析。

5.2.美歐數(shù)字跨境政策發(fā)展概況及差異

數(shù)據(jù)跨境流動是經(jīng)濟(jì)全球化與數(shù)字化的伴生物。美、歐基于各自政治、經(jīng)濟(jì)、法律傳統(tǒng)等因素

第9頁共22頁

考量，在不同的歷史背景下，發(fā)展出特色鮮明的數(shù)據(jù)跨境流動政策。

5.2.1.美國數(shù)據(jù)跨境流動政策主要由貿(mào)易利益驅(qū)動

美國在克林頓政府時(shí)期，就已形成對數(shù)據(jù)跨境流動問題的初步策略。1997年《全球電子商務(wù)框

架》②提出：“只有當(dāng)個(gè)人隱私和信息自由流動帶來的利益取得平衡時(shí)，全球信息基礎(chǔ)設(shè)施才可能興

旺起來。美國支持為用戶提供恰當(dāng)?shù)碾[私保護(hù)，以提升用戶使用互聯(lián)網(wǎng)服務(wù)的信心，但各國在公民

隱私保護(hù)方面迥然不同的政策，有可能會形成非關(guān)稅貿(mào)易壁壘?！?/p>

對此，美國采取以下策略：

(1)依據(jù)個(gè)人隱私保護(hù)基本原則［9］會同其主要貿(mào)易伙伴推進(jìn)符合市場需求的個(gè)人隱私政策；

(2)繼續(xù)與歐盟進(jìn)行對話討論以解決數(shù)據(jù)流動問題；

(3)通過雙、多邊討論以及地區(qū)性論壇［10］,就跨境流動問題展開對話。

二十年來，美國在以上三方面取得不同進(jìn)展。首先，盡管與歐盟在個(gè)人數(shù)據(jù)保護(hù)路徑上存在明

顯分歧，2015年歐洲法院甚至廢除了美歐執(zhí)行已逾15年的歐美安全港，但不可否認(rèn)的是，二者之

間的政策分歧從未實(shí)質(zhì)性影響跨大西洋數(shù)據(jù)流動。直至2016年新隱私盾協(xié)議的達(dá)成，也仍舊為歐美

實(shí)現(xiàn)數(shù)據(jù)流動提供了積極機(jī)制③，目前包括Google,Facebook,微軟等2500家美國公司的跨境數(shù)據(jù)傳

輸仍依賴于該機(jī)制；

其次，雙、多邊貿(mào)易協(xié)議已成為美國推進(jìn)其數(shù)據(jù)流動政策的主要渠道。2012年《美-韓自由貿(mào)易

協(xié)定》，第一次在貿(mào)易協(xié)定電子商務(wù)章節(jié)中規(guī)定了跨境數(shù)據(jù)流動規(guī)則。TPP談判盡管美國已退出④,

但由其提出的跨境數(shù)據(jù)流動規(guī)則已成為不少國際協(xié)定電子商務(wù)章節(jié)的范本［11］；

此外，美國通過亞太合作組織(APEC),積極推進(jìn)《APEC跨境隱私規(guī)則體系》(CBPRs),該體系

倡導(dǎo)數(shù)據(jù)治理規(guī)則的實(shí)用性，對于通過CBPR認(rèn)證的企業(yè)，被認(rèn)為滿足了隱私保護(hù)要求，可以在APEC

區(qū)域內(nèi)實(shí)現(xiàn)自由的跨境數(shù)據(jù)傳輸［12］0

5.2.2.歐盟在人權(quán)項(xiàng)下考慮數(shù)據(jù)跨境流動政策

與美國將數(shù)據(jù)跨境政策與貿(mào)易政策深度捆綁不同，歐盟更多是從個(gè)人權(quán)利保護(hù)項(xiàng)下考慮數(shù)據(jù)流

動。

歐盟1995年《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動指令》規(guī)定：歐盟公民的個(gè)人數(shù)據(jù)只能向那些

與歐盟數(shù)據(jù)保護(hù)水平相同的國家或地區(qū)流動。如果數(shù)據(jù)接收國的法律水平?jīng)]有達(dá)到歐盟委員會認(rèn)可

的標(biāo)準(zhǔn)，有兩種替代方式也可實(shí)現(xiàn)轉(zhuǎn)移：

一類是例外場景，如取得了數(shù)據(jù)主體的明確同意，或該轉(zhuǎn)移是為了履行與數(shù)據(jù)主體之間的協(xié)議

所必需等；另一類是企業(yè)能夠證明已采取了充分的保障措施情形［13］。

此外，歐盟也通過在全球積極推廣其個(gè)人數(shù)據(jù)保護(hù)制度，不斷擴(kuò)展可以實(shí)現(xiàn)數(shù)據(jù)自由流動的地

第10頁共22頁

區(qū)。

1981年，歐洲理事會各成員國簽署歐洲《有關(guān)個(gè)人數(shù)據(jù)自動化處理之個(gè)人保護(hù)公約》（歐洲第

108號公約）。加入公約，意味著要建立與歐盟相似的個(gè)人數(shù)據(jù)保護(hù)立法，將被視為滿足歐盟跨境數(shù)

據(jù)流動"充分性保護(hù)”標(biāo)準(zhǔn)的重要參考。特別自2010年以來，歐盟加速推進(jìn)公約的全球化進(jìn)程，目前

已有46個(gè)國家加入公約⑤。

與美歐相比，中國、巴西等國家更多從維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)為目的出發(fā)，制定跨境數(shù)據(jù)流

動政策。包括中國、越南、巴西等在內(nèi)的發(fā)展中國家，也包括澳大利亞、加拿大等發(fā)達(dá)國家在不同

程度均提出了數(shù)據(jù)本地化措施。此類措施對服務(wù)貿(mào)易全球化可能帶來消極影響⑥，但卻能在一定程

度上保障國家信息安全，特別是從執(zhí)法層面，為國家行使司法主權(quán)提供依托。

5.2.3.美歐數(shù)據(jù)跨境流動政策的具體實(shí)施機(jī)制有較大差異

美國在國際上推行寬松的數(shù)據(jù)跨境流動政策，首先需要本國示范。

因此在美國一般立法中，難以觀察到禁止或者限制數(shù)據(jù)跨境流動的明確要求［14］。但在一些特定

案例中，美國也留有了一定的政策回轉(zhuǎn)空間。

例如：美國針對外國投資安全審查中，可以與外國投資者簽訂安全協(xié)議，而安全協(xié)議可能包括

相關(guān)的數(shù)據(jù)本地化要求。關(guān)于數(shù)據(jù)本地化要求的執(zhí)行落地，也通常會由CIFUS指定的特定政府部門

來負(fù)責(zé)監(jiān)督執(zhí)行。

歐盟數(shù)據(jù)跨境轉(zhuǎn)移政策主要體現(xiàn)在個(gè)人數(shù)據(jù)保護(hù)制度中，相應(yīng)地，其實(shí)施機(jī)制也依附于個(gè)人數(shù)

據(jù)保護(hù)執(zhí)法體系。

如上述，歐盟數(shù)據(jù)控制者口5］實(shí)施個(gè)人數(shù)據(jù)跨境流動活動時(shí)，有三種合法方式：（1）數(shù)據(jù)傳輸至"充

分性認(rèn)定”地區(qū)；（2）例外場景（包括用戶同意，或者執(zhí)行合同需要等）；（3）充分保障措施?？紤]到“例

外情形”可適用場景少，并不能夠?yàn)槿粘；?、?guī)?；臄?shù)據(jù)跨境轉(zhuǎn)移提供穩(wěn)定的合法性基礎(chǔ)⑦，以下

主要介紹“充分性認(rèn)定機(jī)制"和"充分保障措施”機(jī)制。

"充分性認(rèn)定”是一個(gè)白名單機(jī)制。歐盟委員會負(fù)責(zé)根據(jù)第三國的個(gè)人信息保護(hù)立法狀況、執(zhí)法能

力，以及是否存在有效的救濟(jì)機(jī)制等因素，做出綜合評估。截止到目前為止，僅有阿根廷、加拿大

等不超過20個(gè)國家或地區(qū)通過了歐委會認(rèn)定［16］。此外，對于美國這一重要的貿(mào)易伙伴，歐盟發(fā)展

出"安全港框架”，以針對性的解決與美國之間的數(shù)據(jù)流動問題。

充分保障措施主要體現(xiàn)為"標(biāo)準(zhǔn)合同文本"機(jī)制（StandardClausesContract,SCC）和"有約束力公司

規(guī)則”機(jī)制（BindingCorporateRule,BCR）。對于前者，截止到目前，歐委會已經(jīng)形成了三個(gè)合同范

本，分別適用于"數(shù)據(jù)控制者到數(shù)據(jù)控制者之間的轉(zhuǎn)移"、"數(shù)據(jù)控制者到數(shù)據(jù)處理者之間的轉(zhuǎn)移”口刀。

此類合同范本通過規(guī)定數(shù)據(jù)輸出方和數(shù)據(jù)接收方基于合同的數(shù)據(jù)保護(hù)責(zé)任［18］,來間接提供對個(gè)人的

第11頁共22頁

保護(hù)機(jī)制；對于后者一一"有約束力的公司規(guī)則”則是集團(tuán)型跨國企業(yè)可優(yōu)先考慮的機(jī)制，集團(tuán)遵循一

套完整的，經(jīng)個(gè)人數(shù)據(jù)監(jiān)管機(jī)構(gòu)認(rèn)可的數(shù)據(jù)處理機(jī)制，則該集團(tuán)內(nèi)部整體成為一個(gè)“安全港"，個(gè)人數(shù)

據(jù)可以從集團(tuán)內(nèi)的一個(gè)成員合法傳輸給另一個(gè)成員。目前，包括埃森哲、寶馬汽車、惠普、摩托羅

拉等72家跨國公司獲得了歐盟BCR認(rèn)可［19］。

由于通過充分性認(rèn)定的國家總是少數(shù)，因此充分保障措施機(jī)制實(shí)質(zhì)是歐盟各國數(shù)據(jù)保護(hù)機(jī)構(gòu)在

跨境數(shù)據(jù)流動管理中最為主要的抓手。

5.3.數(shù)據(jù)跨境政策面臨的共性問題及對中國的參考建議

5.3.1.前述

盡管在政策目標(biāo)上具有明顯差異，但美歐在數(shù)據(jù)跨境流動政策中也面臨最為基礎(chǔ)的共性問題

一一如何在全球化的數(shù)字經(jīng)濟(jì)中有效達(dá)成數(shù)據(jù)跨境流動監(jiān)管目標(biāo)？特別是在數(shù)據(jù)跨境流動成為普遍

趨勢的背景下，對數(shù)據(jù)跨境活動的干預(yù)愈深，這一問題帶來的挑戰(zhàn)就愈大。

美國憑借其在技術(shù)、產(chǎn)業(yè)優(yōu)勢以及靈活的監(jiān)管制度優(yōu)勢，在數(shù)據(jù)跨境伴生而來的隱私保護(hù)、數(shù)

據(jù)安全問題并無特別擔(dān)憂，因此僅建立了個(gè)案式的、事后監(jiān)管機(jī)制，此類機(jī)制最大程度的避免了對

數(shù)據(jù)跨境流動的干預(yù)，同時(shí)也能有效贏得美貿(mào)易利益和安全利益的雙贏。

美國面臨的困境是在全球推行數(shù)據(jù)自由流動時(shí)，難以提出對“數(shù)據(jù)本地化”進(jìn)行限制的合理標(biāo)準(zhǔn)，

畢竟國際貿(mào)易規(guī)則中將安全和公共利益作為了基本例外⑧。

而對于中歐來說，對安全和隱私的擔(dān)憂卻是真實(shí)存在的，因此二者也相應(yīng)地建立了普適性的數(shù)

據(jù)跨境流動管理機(jī)制⑨。由于中國仍處于制度建設(shè)期，尚無法觀察其實(shí)踐效果，但實(shí)施有二十余年

的歐盟數(shù)據(jù)跨境轉(zhuǎn)移管理機(jī)制則較為全面地呈現(xiàn)了其所面臨的實(shí)際困境。

5.3.2.歐盟數(shù)據(jù)跨境流動政策的困境與改良

歐盟2012年啟動個(gè)人數(shù)據(jù)保護(hù)立法改革時(shí)，曾全面梳理了現(xiàn)有的個(gè)人數(shù)據(jù)保護(hù)制度呈現(xiàn)出的種

種缺陷。其中最為突出的問題即是：日益增長的全球數(shù)據(jù)流動與現(xiàn)有監(jiān)管制度之間的不適應(yīng)。幾乎

所有的歐盟企業(yè)都涉及到向歐盟境外傳輸數(shù)據(jù)，然而1995指令中關(guān)于跨境流動的規(guī)則早已難以適應(yīng)

數(shù)據(jù)國際流動⑩。

正如批評意見認(rèn)為：歐盟對個(gè)人信息的跨境轉(zhuǎn)移設(shè)置嚴(yán)格條件類似于虛幻假象，因?yàn)樗傧髿W

盟的標(biāo)準(zhǔn)能覆蓋到除歐盟以外的全球各處，但實(shí)際情形并非如此?。的確，歐盟跨境數(shù)據(jù)轉(zhuǎn)移管理

的三類方式均已捉襟見肘。因此，歐盟即將生效的個(gè)人數(shù)據(jù)保護(hù)新法規(guī)一一《通用數(shù)據(jù)保護(hù)條例》

(Generaldataprotectionrules,GDPR)對跨境數(shù)據(jù)流動政策進(jìn)行了大幅優(yōu)化改革，特別著力于提升政

策的靈活度：

1,明確禁止各成員國不得以許可方式管理跨境數(shù)據(jù)流動。多年的實(shí)踐表明，歐盟各成員國對跨境

第12頁共22頁

流動采取的許可管理方式并沒有實(shí)質(zhì)性的提升個(gè)人信息出境的保護(hù)水平，相反，事前許可制度卻帶

來官僚主義問題。因此，2016年《數(shù)據(jù)保護(hù)通用條例》(GDPR)重點(diǎn)簡化了數(shù)據(jù)跨境傳輸機(jī)制，明確

禁止了許可管理做法，只要符合了《條例》中跨境數(shù)據(jù)流動的合法條件，則成員國不得再通過許可

方式予以限制。

2.增加了充分性認(rèn)定的對象類型。除了對國家可以作出評估外，還可以對一國內(nèi)的特定地區(qū)、行

業(yè)領(lǐng)域以及國際組織的保護(hù)水平作出評估判斷，以進(jìn)一步擴(kuò)展通過“充分性”決定(adequatedecision)

覆蓋的地區(qū)。

3.擴(kuò)展“標(biāo)準(zhǔn)合同條款”，除了保留目前已生效的3個(gè)標(biāo)準(zhǔn)合同范文?！稐l例》增加了成員國數(shù)據(jù)

監(jiān)管機(jī)構(gòu)可以指定其他標(biāo)準(zhǔn)合同條款的渠道，以為企業(yè)提供更多的，符合實(shí)際需求的跨境轉(zhuǎn)移合同

文本選擇。

4.發(fā)揮行業(yè)協(xié)會等第三方監(jiān)督與市場自律作用。條例規(guī)定數(shù)據(jù)控制者可以成立協(xié)會并提出所遵守

的詳細(xì)行為準(zhǔn)則(codesofconduct)o該行為準(zhǔn)則經(jīng)由成員國監(jiān)管機(jī)構(gòu)或者歐盟數(shù)據(jù)保護(hù)委員認(rèn)可后，

可通過有約束力的承諾方式生效。此外，經(jīng)認(rèn)可的市場認(rèn)證標(biāo)志也可以作為數(shù)據(jù)跨境轉(zhuǎn)移的合法機(jī)

制。

5.3.3.歐盟經(jīng)驗(yàn)對中國的參考意義

5.3.3.1.中國數(shù)據(jù)跨境流動政策發(fā)展概況

2016年11月出臺的《網(wǎng)絡(luò)安全法》首次以國家法律形式明確了中國數(shù)據(jù)跨境流動基本政策。

中國數(shù)據(jù)跨境流動政策更多是在斯諾登事件后，基于國家網(wǎng)絡(luò)安全視角而提出。但實(shí)際上這種

政策視角在2013年前已顯露雛形。

如2011年中國人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》已要

求個(gè)人金融信息的儲存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進(jìn)行；2013年《征信業(yè)管理?xiàng)l例》規(guī)定征信機(jī)

構(gòu)對在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進(jìn)行。

此后，出于數(shù)據(jù)安全目的，本地化要求進(jìn)一步被寫入網(wǎng)絡(luò)監(jiān)管立法中，除《網(wǎng)絡(luò)安全法》外，

包括：2014年國家衛(wèi)計(jì)委頒布《人口健康信息管理辦法(試行)》、2015年《地圖管理?xiàng)l例》、2016

年《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、2016年《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》等都不同程度

提出了數(shù)據(jù)本地化要求。正在制定中的《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》及其配套的標(biāo)準(zhǔn)

指南也將全面搭建起數(shù)據(jù)出境管理框架。

中歐均對日益增長的數(shù)據(jù)跨境流動采取干預(yù)措施，歐盟所積累的政策經(jīng)驗(yàn)與教訓(xùn)對中國而言具

有重要參考價(jià)值。特別與歐盟相比，中國對數(shù)據(jù)跨境流動活動的干預(yù)似乎更深更直接，更需要深度

考量如何采取科學(xué)有效機(jī)制，以有效平衡數(shù)據(jù)流動所帶來的發(fā)展與安全利益。

第13頁共22頁

其一，“許可”等事前監(jiān)管機(jī)制已被證明固有的局限性。一方面，它與全球化數(shù)字經(jīng)濟(jì)的發(fā)展趨勢

極不適應(yīng)。數(shù)據(jù)的跨境流動并不是遵循特定路徑，而是通過多種方式、多種渠道，例如E-mail、提

供數(shù)據(jù)庫訪問權(quán)限，或者是通過內(nèi)部網(wǎng)絡(luò)進(jìn)行交換。傳統(tǒng)的許可管理方式與此格格不入。事前建立

一刀切的許可門檻，并不有助于監(jiān)管目標(biāo)的實(shí)現(xiàn)，而往往只是增加形式上的行政負(fù)擔(dān)。

當(dāng)然，在國內(nèi)此前公布的數(shù)據(jù)出境文件征求意見稿中，監(jiān)管機(jī)構(gòu)已然關(guān)注到了這一問題，引入

了企業(yè)自評估機(jī)制，并體現(xiàn)出將政府評估作為事中、事后監(jiān)管的思路。

其二，要為"合理有序的數(shù)據(jù)流動”提供盡可能豐富的合法渠道。歐盟數(shù)據(jù)跨境政策的改革方向表

明，如果不能提供多樣化的有效合法跨境渠道，則無法向市場傳達(dá)政策方向，從而能夠引導(dǎo)企業(yè)通

過可預(yù)期的穩(wěn)定機(jī)制在實(shí)現(xiàn)自身的數(shù)據(jù)跨境需求時(shí)，同時(shí)實(shí)現(xiàn)監(jiān)管者設(shè)定的用戶隱私、數(shù)據(jù)安全目

標(biāo)。這也是歐盟在對數(shù)據(jù)跨境流動機(jī)制進(jìn)行改革時(shí)，重點(diǎn)落腳于增加有效渠道的根本原因。

5.3.3.2.中國可借鑒的有益做法

我國目前初步建立的數(shù)據(jù)跨境流動政策，如將數(shù)據(jù)出境安全評估作為單一合規(guī)機(jī)制，在現(xiàn)實(shí)中

恐難以適應(yīng)海量數(shù)據(jù)跨境管理需求。建議參考?xì)W盟及其他國家經(jīng)驗(yàn)，設(shè)立符合我國國情需要的多樣

化合法流動機(jī)制，例如：

(1)建立白名單機(jī)制。根據(jù)個(gè)人信息保護(hù)狀況及對等措施，將部分地區(qū)納入可自由流動的國家與

地區(qū)［20］。

考慮到短期內(nèi)各國無法形成相互協(xié)調(diào)的數(shù)據(jù)流動政策體系，因此，數(shù)據(jù)跨境流動政策將深度嵌

入雙、多邊的貿(mào)易投資談判。在國與國之間、區(qū)域與區(qū)域之間體現(xiàn)出多樣性、靈活性，形成不同解

決方案?。

如我國近鄰日本、韓國，已分別啟動與美歐的數(shù)據(jù)跨境流動雙邊談判［21］,預(yù)計(jì)在2018年之前，

日韓將分別與歐洲達(dá)成充分性保護(hù)互認(rèn)協(xié)議，同時(shí)，由于日韓均已加入美國主導(dǎo)的APEC跨境數(shù)據(jù)流

動CBPR機(jī)制，日韓與美國的數(shù)據(jù)流動也具備順暢渠道。預(yù)計(jì)此類區(qū)域性的數(shù)據(jù)流動協(xié)議在未來將成

為解決數(shù)據(jù)流動的主要途徑之一。

(2)根據(jù)安全評估的主要標(biāo)準(zhǔn)，建立指引性的數(shù)據(jù)跨境流動協(xié)議范本，類似于歐盟標(biāo)準(zhǔn)合同范本,

引導(dǎo)企業(yè)在數(shù)據(jù)出境中，通過合同法律機(jī)制來管控?cái)?shù)據(jù)出境風(fēng)險(xiǎn)。

(3)鼓勵(lì)行業(yè)協(xié)會及其他自律組織參與安全評估。作為市場機(jī)制補(bǔ)充，在安全評估中發(fā)揮作用，

從而建立可落地實(shí)施，具有活力的數(shù)據(jù)管理秩序。

(4)對不同性質(zhì)的數(shù)據(jù)采取分類管理方法。不僅區(qū)分個(gè)人數(shù)據(jù)、重要數(shù)據(jù)，形成對應(yīng)的跨境流動

管理策略，也可進(jìn)一步在管理實(shí)踐中，根據(jù)數(shù)據(jù)的安全屬性進(jìn)行梯度性管理。

綜上，在信息通信技術(shù)與經(jīng)濟(jì)全球化深度耦合背景下，應(yīng)當(dāng)承認(rèn)：數(shù)據(jù)的跨境流動是絕對的，

第14頁共22頁

而對數(shù)據(jù)流動的限制是相對的。后者是手段，前者是目標(biāo)。正如在數(shù)據(jù)出境安全評估指南制定過程

中，有關(guān)專家指出：安全評估的實(shí)質(zhì)是服務(wù)于數(shù)據(jù)出境，是在保障安全的前提下促進(jìn)數(shù)據(jù)的跨境流

動。

5.4.復(fù)雜的數(shù)據(jù)流動政策對跨境業(yè)務(wù)的影響

基于中美歐政策之間的巨大鴻溝，在全球范圍內(nèi)形成協(xié)調(diào)一致的跨境數(shù)據(jù)流動政策還很遙遠(yuǎn)?。

除了“數(shù)據(jù)自由流動”與"數(shù)據(jù)本地化”之間的沖突，歐美中數(shù)據(jù)流動機(jī)制的具體差異，也決定了在未來

一定時(shí)期，涉及數(shù)據(jù)跨境流動的企業(yè)需要面臨復(fù)雜的政策環(huán)境，這不僅直接關(guān)系業(yè)務(wù)合規(guī)，而且也

對成本負(fù)擔(dān)、技術(shù)架構(gòu)乃至戰(zhàn)略布局帶來深度影響。

首先，包括本地化在內(nèi)的各類數(shù)據(jù)跨境流動政策，對依賴全球數(shù)據(jù)聚合的業(yè)務(wù)帶來影響。包括

傳統(tǒng)的業(yè)務(wù)類型，例如：金融行業(yè)，跨國銀行集團(tuán)需要建立集中化的數(shù)據(jù)處理中心；跨境物流行業(yè),

集團(tuán)通過匯聚全球數(shù)據(jù)來高效調(diào)配物流資源。此類業(yè)務(wù)的數(shù)據(jù)集中都將面臨挑戰(zhàn)。

換言之，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)應(yīng)用在技術(shù)上完全可實(shí)現(xiàn)全球數(shù)據(jù)資源的匯集、并通過對數(shù)

據(jù)匯集的加工分析，創(chuàng)造出新的經(jīng)濟(jì)價(jià)值，而全球割裂的數(shù)據(jù)跨境流動政策將直接影響著此類業(yè)務(wù)

的效率，甚至是業(yè)務(wù)模式本身能否持續(xù)開展。

其次，相比于大型企業(yè)，中小企業(yè)受到?jīng)_擊更大。大型企業(yè)往往在數(shù)據(jù)中心部署方面更具優(yōu)勢,

可以利用充沛資源和技術(shù)方案實(shí)現(xiàn)合規(guī)要求，而處于發(fā)展起步階段的中小企業(yè)，在跨境業(yè)務(wù)中部署

數(shù)據(jù)本地化方案將不是一個(gè)輕松的決定，這在一定程度上反映了數(shù)據(jù)本地化政策帶來的市場競爭效

應(yīng)，其政策門檻削弱了中小企業(yè)對跨境業(yè)務(wù)的參與度和市場創(chuàng)新能力。

再次，"數(shù)據(jù)本地化”政策對沒有本地化需求的跨境業(yè)務(wù)帶來負(fù)擔(dān)。盡管在信息通信服務(wù)領(lǐng)域，“靠

近用戶”會驅(qū)動服務(wù)商將數(shù)據(jù)中心建立在本地，提升數(shù)據(jù)傳輸速率，為用戶帶來更好服務(wù)體驗(yàn)。但不

容否認(rèn)，仍有大量業(yè)務(wù)場景并不需要考慮這一因素，反而更關(guān)切因?yàn)閿?shù)據(jù)本地化帶來的負(fù)擔(dān)成本。

例如：面向境外用戶提供旅行產(chǎn)品訂購的網(wǎng)站，在初創(chuàng)期可能并不需要考慮在服務(wù)本地部署數(shù)

據(jù)中心；又或者一些數(shù)據(jù)容災(zāi)備份的安全服務(wù)，對數(shù)據(jù)傳輸響應(yīng)速度并無特殊需求，也往往并不需

要將數(shù)據(jù)部署在本地。

5.5.數(shù)據(jù)跨境流動合規(guī)建議

當(dāng)前，不僅金融、電信、互聯(lián)網(wǎng)等跨境服務(wù)離不開數(shù)據(jù)跨境傳輸支撐，包括制造業(yè)、醫(yī)療健康

乃至農(nóng)業(yè)生產(chǎn)等更多傳統(tǒng)產(chǎn)業(yè)也產(chǎn)生了大量的數(shù)據(jù)跨境需求。

例如：飛機(jī)制造商波音公司通過其遍布全球的飛機(jī)和航線服務(wù)，建立了全面的數(shù)據(jù)收集系統(tǒng)，

用于發(fā)現(xiàn)和診斷問題航班。我國重型機(jī)械生產(chǎn)制造企業(yè)三一重工也通過對裝備運(yùn)行信息的實(shí)時(shí)采集,

提供遠(yuǎn)程跨境診斷服務(wù)。涉及數(shù)據(jù)跨境流動企業(yè)需要建立完善的合規(guī)體系，為業(yè)務(wù)開展提供法律基

第15頁共22頁

礎(chǔ)保障。

5.5.1.關(guān)注本地?cái)?shù)據(jù)跨境流動政策目的及嚴(yán)苛程度

各國數(shù)據(jù)跨境流動政策目標(biāo)決定了其嚴(yán)格程度和具體要求上的差別。例如以數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)安

全為驅(qū)動的數(shù)據(jù)跨境政策，在跨境管理上會趨向于嚴(yán)苛，不僅要求在本地存儲，也對向境外提供采

取了嚴(yán)格限制措施，涉及的數(shù)據(jù)范圍也更為廣泛，對企業(yè)運(yùn)營帶來更深度影響，需深入到業(yè)務(wù)場景

和技術(shù)實(shí)現(xiàn)方式中提出合規(guī)方案；而以保護(hù)公民個(gè)人信息為目標(biāo)的政策要求，會留有更多的例外空

間和合法轉(zhuǎn)移渠道，且僅涉及個(gè)人數(shù)據(jù)，企業(yè)可根據(jù)自身需求，選擇適合的合規(guī)途徑。

5.5.2.積極尋求多樣化合規(guī)渠道

對于我國企業(yè)來說，面臨兩類基本的數(shù)據(jù)跨境合規(guī)問題，一類是從我國收集運(yùn)營的數(shù)據(jù)向境外

傳輸、提供問題；另一類是開展跨境服務(wù)的我國企業(yè)在其他海外市場所面臨的當(dāng)?shù)財(cái)?shù)據(jù)出境政策。

對于第一類問題，我國目前根據(jù)《網(wǎng)絡(luò)安全法》第三十七條來制定相關(guān)配套辦法標(biāo)準(zhǔn)，將初步

建立較為嚴(yán)格的數(shù)據(jù)流動管理制度，企業(yè)應(yīng)根據(jù)要求建立完善的出境數(shù)據(jù)檔案及安全自評估制度，

以備相關(guān)主管部門實(shí)施監(jiān)督檢查。除了少數(shù)例外情況，數(shù)據(jù)出境的合法路徑主要依賴于企業(yè)的安全

自評估和主管部門評估。

而有越來越多的出海企業(yè)將面臨第二類問題。首先，在歐盟市場，由于我國的個(gè)人信息保護(hù)水

平與歐盟尚存較大差距，并不滿足歐盟“充分性”認(rèn)定標(biāo)準(zhǔn)，歐盟成員國往往會對傳輸至我國境內(nèi)的個(gè)

人數(shù)據(jù)活動作出限制。在此背景下，我國企業(yè)要根據(jù)歐盟法律要求，積極尋求數(shù)據(jù)跨境轉(zhuǎn)移的合法

性基礎(chǔ)。其中：

在歐盟新的數(shù)據(jù)保護(hù)立法GDPR在2018年5月生效之前，中國企業(yè)可以利用的合法傳輸機(jī)制仍

然相當(dāng)有限。

例如："標(biāo)準(zhǔn)合同文本"和"有約束力公司規(guī)則”仍很難為中國企業(yè)所利用。相比較而言，作為中國

企業(yè)的競爭對手一一美國企業(yè)（特別是中小企業(yè)）則可以利用“美歐隱私盾”更方便的實(shí)現(xiàn)數(shù)據(jù)合法轉(zhuǎn)

移[22],而日韓企業(yè)也有望在2018年后通過政府與歐盟達(dá)成的充分性保護(hù)互認(rèn)協(xié)議實(shí)現(xiàn)高效的轉(zhuǎn)移

數(shù)據(jù)。

若采取例外情形中的“用戶同意”模式，則要滿足歐盟對“同意”的高標(biāo)準(zhǔn)要求，包括向用戶充分說

明跨境傳輸?shù)南嚓P(guān)信息，例如：傳輸目的國，目的國的個(gè)人信息保護(hù)水平以及用戶可能面臨的風(fēng)險(xiǎn),

并確保用戶的同意是在充分知情的情形下做出的特定授權(quán)。因此，此類高標(biāo)準(zhǔn)要求也決定了“同意”

機(jī)制多數(shù)情況下僅適用于小規(guī)模的數(shù)據(jù)轉(zhuǎn)移。

對于具有一定實(shí)力的中國企業(yè)，則可以結(jié)合業(yè)務(wù)布局考慮，選擇在歐盟成員國或歐盟認(rèn)可的"充

分保護(hù)認(rèn)定”國家，例如：加拿大、阿根廷、新西蘭等，在此類國家建立或選擇數(shù)據(jù)中心，作為“數(shù)據(jù)

第16頁共22頁

港”，以盡可能降低數(shù)據(jù)跨境傳輸成本和合規(guī)風(fēng)險(xiǎn)［14］。此外，在歐盟市場面臨的問題，也將在其他

效仿歐盟建立跨境流動機(jī)制的國家體現(xiàn)，比如非洲等新興市場國家，企業(yè)需要提前做好合規(guī)路徑儲

備。

而在美國以及APEC國家地區(qū)，由于美國所推行的APEC隱私框架中的跨境隱私保護(hù)規(guī)則(CBPRs)

進(jìn)展緩慢，我國也未正式加入，我國企業(yè)還不能利用該框架中的跨境數(shù)據(jù)轉(zhuǎn)移機(jī)制。因此在美國、APEC

等地區(qū)的數(shù)據(jù)跨境轉(zhuǎn)移，我國企業(yè)也需更多考慮數(shù)據(jù)跨境轉(zhuǎn)移合規(guī)問題，并根據(jù)不同國家的跨境轉(zhuǎn)

移需求，制定不同的合規(guī)方案。這其中也可結(jié)合各國數(shù)據(jù)保護(hù)水平和國際認(rèn)可程度，選擇相關(guān)國家

及地區(qū)作為“數(shù)據(jù)港"，如常見包括澳大利亞、新加坡和我國香港地區(qū)。

5.5.3.應(yīng)對數(shù)據(jù)本地化帶來的管轄沖突

事實(shí)上，盡管根據(jù)不同國家數(shù)據(jù)跨境流動政策可以選擇不同的合規(guī)方案，但最終無法回避管轄

沖突問題?；ヂ?lián)網(wǎng)是全球性的，然而立法與監(jiān)管卻是本地的。長期以來，互聯(lián)網(wǎng)的管轄適用問題一

直就未得到解決。而當(dāng)前復(fù)雜的全球數(shù)據(jù)流動則更進(jìn)一步加劇了管轄沖突。

例如：各國通過數(shù)據(jù)本地化立法，來解決法律適用和本地執(zhí)法問題，但從美國相關(guān)案例，典型

如微軟訴美國司法部案中［23］,司法部門認(rèn)為其無論數(shù)據(jù)存儲在哪里，都具有其管轄權(quán)，使得企業(yè)處

于進(jìn)退兩難境地?。實(shí)際上，這不僅是大型跨國公司面臨的問題，伴隨互聯(lián)網(wǎng)服務(wù)的全球化趨勢，

一些初創(chuàng)企業(yè)也將面臨。

針對法律適用和管轄，政府部門和司法機(jī)構(gòu)可以有不同的主張，包括：服務(wù)提供商注冊所在地(總

部所在地卜數(shù)據(jù)存儲服務(wù)器所在地，數(shù)據(jù)本身所涉及的數(shù)據(jù)主體所在地等等，多項(xiàng)的法律適用連接

點(diǎn)給跨境服務(wù)企業(yè)帶來更多的法定義務(wù)沖突問題。

當(dāng)前階段，司法管轄沖突更多體現(xiàn)為個(gè)案式的。例如在涉及訴訟、仲裁等跨境調(diào)查中，由于各

國法律及監(jiān)管要求的不同而造成的直接沖突。預(yù)計(jì)隨著歐盟具有寬泛適用范圍的個(gè)人數(shù)據(jù)保護(hù)法

GDPR在今年5月的生效，以及更多數(shù)據(jù)本地化要求的出現(xiàn)，這種沖突將更加廣泛，不再僅僅限于個(gè)

案，而是深度影響到業(yè)務(wù)運(yùn)營。

考慮到國家間的司法協(xié)助條約(MLAT)［24］進(jìn)展緩慢，特別如微軟訴美國司法部案件中所反映出

的政府傾向，在國家間繁瑣冗長的司法協(xié)助程序和直接向服務(wù)商發(fā)出協(xié)助配合要求之間，政府和司

法機(jī)構(gòu)更容易選擇后者。這實(shí)質(zhì)上間接鼓勵(lì)著各國政府更愿意選擇數(shù)據(jù)本地化政策，數(shù)據(jù)存儲在本

地至少有執(zhí)法便利，在法律適用上本身也是一個(gè)強(qiáng)有力的抗辯。

因此，對于面向全球提供服務(wù)的企業(yè)而言，在法律適用沖突中較為安全的選擇是將所服務(wù)的不

同國家的公民個(gè)人數(shù)據(jù)，存儲在不同國家(或該國政策認(rèn)可的其他地區(qū))，當(dāng)然這無疑產(chǎn)生了新的巨大

成本，且仍會面臨復(fù)雜的管轄競合問題，亟待通過國際層面達(dá)成協(xié)調(diào)機(jī)制。

第17頁共22頁

5.5.4.建立全球化與本土化相結(jié)合的競爭戰(zhàn)略

對于全球化的平臺企業(yè)而言，則需要以“全球化"和“本土化”相結(jié)合的視角，破解數(shù)據(jù)管轄沖突困

境。例如：歐盟沒有直接提出數(shù)據(jù)本地化要求，理論上企業(yè)可以選擇多種渠道實(shí)現(xiàn)跨境流動。但微

軟公司卻已在嘗試更深度的本地化解決方案。微軟于2016年底與德國電信合作運(yùn)營數(shù)據(jù)中心，專門

向歐盟客戶提供服務(wù)。根據(jù)合作安排，德國電信的子公司「Systems扮演數(shù)據(jù)中心“受托人"角色，負(fù)

責(zé)管理微軟在德國的數(shù)據(jù)中心。

正是考慮到在全球政策層面，短期內(nèi)無法提供數(shù)據(jù)安全及管轄沖突的協(xié)調(diào)方案，跨國企業(yè)已開

始著眼于本地化模式的調(diào)整，包括從技術(shù)架構(gòu)、商業(yè)模式等多方面進(jìn)行改進(jìn)優(yōu)化，通過整合本地化

模式，使之既符合當(dāng)?shù)乇O(jiān)管要求，同時(shí)也形成更為強(qiáng)大的全球競爭力。

6.5結(jié)語

綜上所述，數(shù)據(jù)安全作為一個(gè)時(shí)代性議題，需要在發(fā)展中不斷探索。當(dāng)前國際數(shù)據(jù)安全維護(hù)現(xiàn)

狀與趨勢帶來的啟示在于以下幾點(diǎn)。

一是意識要適當(dāng)“超前"。中國作為數(shù)據(jù)大國，考慮到數(shù)據(jù)戰(zhàn)略價(jià)值，尤其是未來數(shù)字經(jīng)濟(jì)發(fā)展需

要，不僅要考慮數(shù)據(jù)能夠“護(hù)得住"，更要考慮數(shù)據(jù)能夠“拿得來"，這就需要在制定國內(nèi)數(shù)據(jù)安全維護(hù)

政策措施時(shí)，要考慮是否達(dá)到安全與發(fā)展的最佳平衡點(diǎn)，是否能夠和其他具有數(shù)據(jù)潛力的國家或地

區(qū)有效對接，促進(jìn)數(shù)據(jù)的流動。

二是策略要足夠“豐富"。要深刻認(rèn)識到數(shù)據(jù)安全是一個(gè)戰(zhàn)略問題，更是一個(gè)實(shí)踐問題，不僅要從

國家層面制定相應(yīng)的戰(zhàn)略，出臺相關(guān)法規(guī)，完善應(yīng)有機(jī)制，更要在實(shí)踐中，發(fā)揮非國家主體，尤其

是行業(yè)和企業(yè)的作用。一方面要聽取他們作為“落地一線”的反饋，不斷校準(zhǔn)與修正相應(yīng)政策，提升政

策的有效性；另一方面要鼓勵(lì)他們尋求更加有效的技術(shù)或標(biāo)準(zhǔn)解決方案，以最佳實(shí)踐提升數(shù)據(jù)安全

的話語權(quán)和影響力。

三是議程設(shè)置要足夠"主動"。當(dāng)前數(shù)據(jù)規(guī)則還在發(fā)展初期，正是加緊“塑造”的戰(zhàn)略機(jī)遇期。不論

是在雙邊、區(qū)域還是多邊場合，對于數(shù)據(jù)規(guī)則探討的議程設(shè)置都應(yīng)該更加積極。一方面要在一些既

有機(jī)制下，就重要議題拿出有影響力的主張或有說服力的案文；另一方面還要主動搭建相關(guān)渠道，

以開放和促進(jìn)數(shù)據(jù)流動的姿態(tài)，引導(dǎo)數(shù)據(jù)安全規(guī)則探討，從而全面提升話語權(quán)。

注釋：

[1]這一界定基本符合當(dāng)前數(shù)據(jù)跨境流動政策討論需要，也具有概念定義的連續(xù)性。關(guān)于"數(shù)據(jù)跨境流

動”相關(guān)概念最早正式出現(xiàn)于1980年OECD《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨國流通指南》，其中對

個(gè)人數(shù)據(jù)的跨境流動做了簡單解釋，個(gè)人數(shù)據(jù)的跨境流動是指個(gè)人數(shù)據(jù)跨越國界的運(yùn)動。

第18頁共22頁

("trans-borderflowsofpersonaldata^meansmovementsofpersonaldataacrossnational

borders.);1982年聯(lián)合國跨國公司中心對跨境數(shù)據(jù)流動(Trans-borderDataFbw)的界定是：跨越

國界對存儲在計(jì)算機(jī)中的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲和檢索。我國信息化專家周宏仁在其

專著《信息化論》中也將跨境數(shù)據(jù)流表述為數(shù)據(jù)通過計(jì)算機(jī)通信系統(tǒng)跨越邊境的運(yùn)動。

[2]考慮到本文旨在討論“數(shù)據(jù)本地化措施”潮流之后的數(shù)據(jù)跨境政策走向，因此也將更多著眼于針對

數(shù)據(jù)"流出"場景的政策分析。

[3]例如俄羅斯在數(shù)據(jù)本她化執(zhí)法初期，曾一度澄清只要機(jī)構(gòu)在俄境內(nèi)存有數(shù)據(jù)副本，則個(gè)人數(shù)據(jù)可

自由傳輸至境外。見

/articles/698895/3-things-to-know-about-russia-s-new-data-localization

-law

[4]如中國《網(wǎng)絡(luò)安全法》第三十七條針對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)本地化要求

[5]如澳大利亞2012年《個(gè)人控制的電子健康記錄法》。規(guī)定除非特定的例外情況，禁止健康數(shù)據(jù)

轉(zhuǎn)移到國外。第77條第一款規(guī)定："相關(guān)主體不得(a)在澳大利亞境外持有、獲取該數(shù)據(jù)；(b)

在澳大利亞境外處理或處置與該數(shù)據(jù)相關(guān)的信息：(C)致使或者允許他人在澳大利亞境外持有、

獲取該數(shù)據(jù)，或在澳大利亞境外處理與該數(shù)據(jù)相關(guān)的信息。

⑹如中國對外資開放的部分電信業(yè)務(wù)中關(guān)于設(shè)施本地化的要求。

[7]指南要求：成員國不得不合理的限制數(shù)據(jù)在本國和另一成員國之間的流動。

[8]例如：俄羅斯2014年新修訂的《關(guān)于信息、信息技術(shù)和信息保護(hù)法》中規(guī)定，"自網(wǎng)民接受、傳

遞、發(fā)送和(或)處理語音信息、書面文字、圖像、聲音或者其他電子信息六個(gè)月內(nèi)，互聯(lián)網(wǎng)信息

傳播組織者必須在俄羅斯境內(nèi)對上述信息及網(wǎng)民個(gè)人信息進(jìn)行保存。這一規(guī)定不以個(gè)人信息為

限，但仍與網(wǎng)民的活動信息相關(guān)。

[9]主要指美國合理使用信息原則(FairinformationPracticePrinciple,FIPP)它是美國在消費(fèi)者隱私保

護(hù)與個(gè)人信息保護(hù)監(jiān)管中所應(yīng)用的重要原則O

[10]包括：如亞太經(jīng)濟(jì)合作(APEC)論壇、美洲首腦會議(thesummitforAmericas)、北美自由貿(mào)易協(xié)

定(NAFTA)等機(jī)制。

[11]其14.11條規(guī)定了通過電子方式進(jìn)行的跨境信息傳輸。第1款指出“各締約方認(rèn)識到每一締約方

對于通過電子方式跨境傳輸信息可能有各自的監(jiān)管要求”。第2款規(guī)定“當(dāng)通過電子方式跨境傳輸

信息是為所涵蓋的主體執(zhí)行其業(yè)務(wù)時(shí)，締約方應(yīng)允許此跨境傳輸，包括個(gè)人信息”。同時(shí)，本條

第3款指出"本條不得禁止締約各方為實(shí)現(xiàn)合法公共政策目標(biāo)而采取或維持與第2款不符的措

施，前提是該措施：(1)其實(shí)施并未構(gòu)成任意或不合理的歧視或構(gòu)成對貿(mào)易的變相限制；及(2)

對信息傳輸所施加的限制并未超過為實(shí)現(xiàn)合法目標(biāo)所必需的限度?！?/p>

第19頁共22頁

[12]截止目前，APEC成員美國、墨西哥和日本進(jìn)入了加入CBPR體系的不同階