論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障

許多奇

內(nèi)容摘要：大數(shù)據(jù)環(huán)境下，大規(guī)模和復(fù)雜的跨境數(shù)據(jù)流動(dòng)成為常態(tài)。在數(shù)據(jù)跨境問題上，“走出去”和“引進(jìn)來”的企業(yè)都面臨必須滿足國(guó)內(nèi)外公權(quán)力機(jī)關(guān)依本國(guó)法所提出的數(shù)據(jù)收集、傳輸和使用等要求，即實(shí)現(xiàn)雙向合規(guī)。對(duì)企業(yè)合規(guī)現(xiàn)狀梳理后發(fā)現(xiàn)存在雙向合規(guī)難的問題。固然原因是多方面的，但從國(guó)內(nèi)來看，缺乏“良法善治”的法治保障是主要原因。具體表現(xiàn)在：制度零散，缺乏頂層設(shè)計(jì)下的數(shù)據(jù)跨境系統(tǒng)規(guī)范體系;機(jī)構(gòu)不明，缺乏獨(dú)立的數(shù)據(jù)跨境風(fēng)險(xiǎn)管理執(zhí)法機(jī)構(gòu);手段單一，缺乏完整健全的數(shù)據(jù)跨境執(zhí)法流程;國(guó)際爭(zhēng)端，數(shù)據(jù)本地化政策影響中國(guó)的國(guó)際貿(mào)易談判。加強(qiáng)“良法善治”法治保障解決雙向合規(guī)難問題的對(duì)策建議是：科學(xué)立法，豐富提升跨境數(shù)據(jù)流動(dòng)管理的價(jià)值目標(biāo)，為雙向合規(guī)提供法律規(guī)范體系;機(jī)構(gòu)創(chuàng)新，設(shè)立獨(dú)立的跨境數(shù)據(jù)監(jiān)管機(jī)構(gòu)，將雙向合規(guī)落到實(shí)處;協(xié)同共治，構(gòu)建跨境數(shù)據(jù)安全治理體系，營(yíng)造良好的合規(guī)環(huán)境;合作共贏，積極參與跨境數(shù)據(jù)流動(dòng)國(guó)際規(guī)則制定，推動(dòng)雙向合規(guī)健康、可持續(xù)地開展。

關(guān)鍵詞：跨境數(shù)據(jù)流動(dòng)數(shù)據(jù)流動(dòng)規(guī)制雙向合規(guī)數(shù)據(jù)安全治理跨境數(shù)據(jù)流動(dòng)國(guó)際規(guī)則數(shù)字經(jīng)濟(jì)

中圖分類號(hào)：D912.28文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1674-4039-（2020）02-0185-197

一、引言

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)日益成為最重要的生產(chǎn)資料。根據(jù)國(guó)際數(shù)據(jù)公司IDC預(yù)測(cè)，2018年全球數(shù)據(jù)總量達(dá)到33ZB（33萬億GB），預(yù)計(jì)2025年將達(dá)到175ZB，7年數(shù)據(jù)量復(fù)合增長(zhǎng)率達(dá)到27%?！? 〕數(shù)據(jù)資源的快速擴(kuò)張對(duì)全球經(jīng)濟(jì)產(chǎn)生了深遠(yuǎn)的影響。始于20世紀(jì)70年代的跨境數(shù)據(jù)流動(dòng)，〔2 〕當(dāng)下已成為全球貿(mào)易和投資增長(zhǎng)的主要途徑。

跨境數(shù)據(jù)流動(dòng)對(duì)于我國(guó)對(duì)外貿(mào)易及經(jīng)濟(jì)發(fā)展有著重大的意義。根據(jù)學(xué)者對(duì)五個(gè)主營(yíng)業(yè)務(wù)板塊（電子商務(wù)、云計(jì)算、第三方支付、物流平臺(tái)、軟件服務(wù)）的跨境數(shù)據(jù)流動(dòng)活動(dòng)進(jìn)行的田野調(diào)查和深度訪談，數(shù)據(jù)跨境流動(dòng)直接影響了其成本、收益、創(chuàng)新能力乃至實(shí)現(xiàn)商業(yè)模式的全球擴(kuò)張，以及幫助企業(yè)融入全球供應(yīng)鏈。〔3 〕同時(shí)，由于跨境數(shù)據(jù)流動(dòng)降低了企業(yè)貿(mào)易和交易的成本，使大量中小型公司幾乎和大型企業(yè)具有了同樣的國(guó)際貿(mào)易能力。在我國(guó)企業(yè)“走出去”的同時(shí)，國(guó)外不少企業(yè)也紛紛來我國(guó)投資。在數(shù)據(jù)跨境問題上，“走出去”和“引進(jìn)來”的企業(yè)都面臨必須滿足國(guó)內(nèi)外公權(quán)力機(jī)關(guān)依本國(guó)法所提出的數(shù)據(jù)收集、傳輸和使用等要求，即實(shí)現(xiàn)雙向合規(guī)。達(dá)到這一目標(biāo)，要求掌握數(shù)據(jù)的企業(yè)履行保障其控制范圍內(nèi)數(shù)據(jù)安全的義務(wù);更應(yīng)依靠國(guó)家完善數(shù)據(jù)立法和加強(qiáng)監(jiān)管，最大化地保障本國(guó)企業(yè)的數(shù)據(jù)安全，使企業(yè)在配合國(guó)內(nèi)外數(shù)據(jù)要求時(shí)，能避免因數(shù)據(jù)泄漏而使商業(yè)機(jī)密曝光、經(jīng)營(yíng)決策遭受損失。

綜上所述，商業(yè)自由原則以及數(shù)據(jù)流動(dòng)對(duì)于經(jīng)濟(jì)社會(huì)的巨大價(jià)值需要數(shù)據(jù)自由跨境，然而由于網(wǎng)絡(luò)本身具有脆弱性，數(shù)據(jù)接收國(guó)（輸出國(guó)）的法律規(guī)制、社會(huì)環(huán)境不可控，如果缺乏法律約束機(jī)制，數(shù)據(jù)跨境后輕則侵犯?jìng)€(gè)人隱私，公司、企業(yè)遭受財(cái)產(chǎn)損失;重則泄露國(guó)家秘密、擾亂社會(huì)秩序甚至威脅政權(quán)。因此，完善數(shù)據(jù)立法、加強(qiáng)監(jiān)管等法治保障對(duì)于跨境數(shù)據(jù)流動(dòng)的規(guī)范和風(fēng)險(xiǎn)防范具有至關(guān)重要的作用，對(duì)于保證“走出去”和“引進(jìn)來”企業(yè)的合規(guī)經(jīng)營(yíng)意義不可低估。

二、跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的現(xiàn)狀梳理

（一）中國(guó)企業(yè)“走出去”，應(yīng)對(duì)跨境數(shù)據(jù)流動(dòng)規(guī)制法律風(fēng)險(xiǎn)大

大數(shù)據(jù)環(huán)境下，大規(guī)模和復(fù)雜的跨境數(shù)據(jù)流動(dòng)成為常態(tài)，它也是當(dāng)前國(guó)家、地區(qū)間政策博弈最為復(fù)雜的領(lǐng)域之一，這使我國(guó)“走出去”企業(yè)面臨著風(fēng)險(xiǎn)不小的營(yíng)商環(huán)境。

第一，跨境數(shù)據(jù)流動(dòng)規(guī)制各國(guó)立法紛繁復(fù)雜，“走出去”企業(yè)應(yīng)對(duì)各國(guó)數(shù)據(jù)跨境限制性規(guī)定存在風(fēng)險(xiǎn)。雖然全球規(guī)制與引導(dǎo)跨境數(shù)據(jù)流動(dòng)的統(tǒng)一規(guī)則尚未形成，據(jù)不完全統(tǒng)計(jì)，在全球總計(jì)231個(gè)國(guó)家（地區(qū)）中，已經(jīng)有超過135個(gè)國(guó)家（地區(qū)）出臺(tái)數(shù)據(jù)保護(hù)法，其中大多數(shù)有跨境數(shù)據(jù)流動(dòng)法律或政策，〔4 〕而毋庸置疑的是，現(xiàn)有規(guī)則主要仍以歐美為首的發(fā)達(dá)國(guó)家引領(lǐng)。

歐洲是跨境數(shù)據(jù)流動(dòng)治理的發(fā)源地，全世界范圍內(nèi)首部數(shù)據(jù)保護(hù)法出現(xiàn)于1970年的德國(guó)黑森州。〔5 〕緊隨其后，歐洲各國(guó)都開始起草并實(shí)施數(shù)據(jù)保護(hù)法規(guī)，并逐漸開始包含跨境數(shù)據(jù)流動(dòng)的內(nèi)容。承接這樣的歷史傳統(tǒng)，歐盟的跨境數(shù)據(jù)流動(dòng)立法在世界范圍內(nèi)產(chǎn)生了廣泛的影響。歐盟立法的特點(diǎn)是：統(tǒng)一規(guī)則實(shí)施歐盟數(shù)字化單一市場(chǎng)戰(zhàn)略，以數(shù)據(jù)保護(hù)高標(biāo)準(zhǔn)引導(dǎo)全球重建數(shù)據(jù)保護(hù)規(guī)則體系。具體表現(xiàn)為：一是實(shí)施歐盟數(shù)字化單一市場(chǎng)戰(zhàn)略，摒除歐盟境內(nèi)數(shù)據(jù)自由流動(dòng)障礙。由于數(shù)據(jù)流動(dòng)能帶來經(jīng)濟(jì)利益，那么顯然限制跨境數(shù)據(jù)流動(dòng)會(huì)大幅增加經(jīng)濟(jì)成本，〔6 〕因而在歐盟內(nèi)部整體上促進(jìn)數(shù)據(jù)在充分保護(hù)國(guó)之間自由流動(dòng)。二是通過“充分性認(rèn)定”確定數(shù)據(jù)跨境自由流動(dòng)白名單國(guó)家，推廣歐盟數(shù)據(jù)保護(hù)立法的全球影響力。只有在國(guó)家、地區(qū)、行業(yè)或國(guó)際組織能確保充分保護(hù)水平時(shí)，數(shù)據(jù)可以在不需要?dú)W盟額外批準(zhǔn)和授權(quán)的情況下向其傳輸。〔7 〕截至2019年8月，這種白名單的國(guó)家和地區(qū)已經(jīng)有13個(gè)，日本、韓國(guó)正在與歐盟談判之中，印度也被考慮納入談判議程。〔8 〕三是在遵守適當(dāng)保障措施的前提下，提供多樣化多層次的個(gè)人數(shù)據(jù)跨境流動(dòng)方式。在缺乏充分性認(rèn)定和公權(quán)力機(jī)構(gòu)之間法律約束力協(xié)定 〔9 〕的情況下，歐盟還為非歐盟企業(yè)提供了遵守適當(dāng)保障措施條件下的數(shù)據(jù)轉(zhuǎn)移機(jī)制，包括約束性公司規(guī)則，〔10 〕采用歐盟委員會(huì)通過的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，〔11 〕成員國(guó)監(jiān)管當(dāng)局通過并經(jīng)歐盟委員會(huì)批準(zhǔn)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款，〔12 〕協(xié)會(huì)、不同類型控制者、處理者組織編寫并經(jīng)批準(zhǔn)的行為準(zhǔn)則，〔13 〕批準(zhǔn)的認(rèn)證機(jī)制 〔14 〕以及第三國(guó)控制者或處理者的承諾 〔15 〕等。這些機(jī)制為在歐盟收集處理個(gè)人數(shù)據(jù)的企業(yè)提供了可選擇的數(shù)據(jù)跨境流動(dòng)方式。

與歐盟不同，美國(guó)立法的特點(diǎn)是：以維護(hù)產(chǎn)業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)為主旨，構(gòu)建跨境數(shù)據(jù)流動(dòng)與限制政策。具體做法有：一是利用信息通訊產(chǎn)業(yè)和數(shù)字經(jīng)濟(jì)全球領(lǐng)先優(yōu)勢(shì)，在與各國(guó)新一輪貿(mào)易談判中都主張將“數(shù)據(jù)跨境自由流動(dòng)”納入?yún)f(xié)議條款，以破除許多國(guó)家利用跨境數(shù)據(jù)流動(dòng)設(shè)置的市場(chǎng)準(zhǔn)入壁壘，防止“互聯(lián)網(wǎng)巴爾干化”?！?6 〕二是通過限制重要技術(shù)數(shù)據(jù)出口和特定數(shù)據(jù)領(lǐng)域的外國(guó)投資，遏制戰(zhàn)略競(jìng)爭(zhēng)對(duì)手發(fā)展，確保美國(guó)在科技領(lǐng)域的全球領(lǐng)導(dǎo)地位。三是通過“長(zhǎng)臂域外管轄”擴(kuò)大國(guó)內(nèi)法域外適用的范圍，以滿足新環(huán)境下美國(guó)政府跨境調(diào)取數(shù)據(jù)的執(zhí)法需要。考慮到若沒有長(zhǎng)臂域外管轄權(quán)，跨國(guó)公司可以通過選擇將數(shù)據(jù)存儲(chǔ)在別國(guó)的服務(wù)器上來阻止本國(guó)政府對(duì)電子郵件的需求，隱私保護(hù)將不依賴于傳統(tǒng)的司法監(jiān)督保障，而是依賴私營(yíng)企業(yè)的“商業(yè)決策”。〔17 〕由此，2018年3月28日，美國(guó)議會(huì)通過《澄清境外數(shù)據(jù)的合法使用法案》（Clarifying Lawful Overseas Use of Data Act，CLOUD法案），〔18 〕結(jié)束了“Microsoft vs. FBI”案中關(guān)于美國(guó)執(zhí)法機(jī)關(guān)是否有權(quán)獲得美國(guó)企業(yè)存儲(chǔ)在境外服務(wù)器中用戶數(shù)據(jù)的爭(zhēng)議，賦予美國(guó)執(zhí)法機(jī)關(guān)對(duì)美國(guó)企業(yè)“控制”的數(shù)據(jù)，不論其在美國(guó)還是在境外都享有主權(quán)。通過適用“控制者原則”，該法擴(kuò)大了美國(guó)執(zhí)法機(jī)關(guān)調(diào)取海外數(shù)據(jù)的權(quán)力，使美國(guó)的數(shù)據(jù)主權(quán)擴(kuò)展至美國(guó)企業(yè)所在的全球市場(chǎng);同時(shí)依賴于美國(guó)的國(guó)際經(jīng)濟(jì)與政治強(qiáng)勢(shì)地位以及與相關(guān)國(guó)家的合作，其他國(guó)家要調(diào)取存儲(chǔ)在美國(guó)的數(shù)據(jù)，則必須通過美國(guó)“適格外國(guó)政府”的審查，需滿足美國(guó)所設(shè)定的人權(quán)、法治和數(shù)據(jù)自由流動(dòng)標(biāo)準(zhǔn)。

受歐盟、美國(guó)立法的影響，其他國(guó)家也紛紛出臺(tái)了跨境數(shù)據(jù)流動(dòng)規(guī)則。例如，日本同時(shí)與歐盟、APEC等機(jī)制對(duì)接，使用狹義的個(gè)人數(shù)據(jù)概念，大力推動(dòng)“匿名化處理數(shù)據(jù)”的跨境數(shù)據(jù)自由流動(dòng)規(guī)則構(gòu)建;〔19 〕新加坡與日本一樣確保被傳輸?shù)剿麌?guó)的數(shù)據(jù)得到與本國(guó)同等的數(shù)據(jù)保護(hù)，同時(shí)又設(shè)立了豁免條件，以建設(shè)亞太地區(qū)數(shù)據(jù)中心為導(dǎo)向，積極參與跨境數(shù)據(jù)流動(dòng)區(qū)域合作;印度區(qū)分敏感數(shù)據(jù)和非敏感數(shù)據(jù)，采取數(shù)據(jù)主體同意轉(zhuǎn)移，以及數(shù)據(jù)控制人和數(shù)據(jù)主體之間達(dá)成合法契約等方式，在融入全球化和促進(jìn)本國(guó)數(shù)字經(jīng)濟(jì)發(fā)展之間尋求本地化中間路線;〔20 〕俄羅斯則通過數(shù)據(jù)本地化政策，要求數(shù)據(jù)回流，經(jīng)營(yíng)者必須在本國(guó)境內(nèi)設(shè)立服務(wù)器，進(jìn)行俄羅斯公民數(shù)據(jù)的記錄、系統(tǒng)化、累積、存儲(chǔ)、修改和檢索，以保護(hù)主義政策推動(dòng)IT產(chǎn)業(yè)發(fā)展;作為發(fā)展中國(guó)家代表的菲律賓分別于2012和2016年出臺(tái)《數(shù)據(jù)隱私法》及其實(shí)施條例，并不要求本地化存儲(chǔ)，也未限制跨境數(shù)據(jù)流動(dòng)，但不管是否跨境流動(dòng)，都依法要求個(gè)人信息控制者對(duì)傳輸給第三方處理的個(gè)人數(shù)據(jù)持續(xù)負(fù)責(zé)…… 〔21 〕

綜上所述，各國(guó)跨境數(shù)據(jù)流動(dòng)法律、法規(guī)的歷史根源、立法模式、規(guī)制方式以及司法確認(rèn)都各不相同，數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不統(tǒng)一。在這一背景下，我國(guó)企業(yè)“走出去”面對(duì)的法律風(fēng)險(xiǎn)是巨大的，如果企業(yè)事先對(duì)跨境數(shù)據(jù)法律風(fēng)險(xiǎn)準(zhǔn)備不足，事中對(duì)風(fēng)險(xiǎn)又不善應(yīng)對(duì)，就可能會(huì)導(dǎo)致“走出去”后因觸犯當(dāng)?shù)赜嘘P(guān)數(shù)據(jù)傳輸?shù)南拗菩砸?guī)定而遭受巨額罰款。

第二，我國(guó)與他國(guó)之間限制數(shù)據(jù)跨境傳輸?shù)囊?guī)則沖突，也使我國(guó)跨境企業(yè)的合規(guī)經(jīng)營(yíng)面臨風(fēng)險(xiǎn)與挑戰(zhàn)。

跨境數(shù)據(jù)流動(dòng)是企業(yè)在國(guó)際貿(mào)易中的業(yè)務(wù)需求。據(jù)媒體報(bào)道，自2013年起，中國(guó)超過美國(guó)成為世界上最大的貿(mào)易國(guó)，并稱是國(guó)際貿(mào)易的“里程碑”事件?！?2 〕在國(guó)際貿(mào)易實(shí)踐中，國(guó)外監(jiān)管機(jī)構(gòu)可能會(huì)依照監(jiān)管職能或調(diào)查權(quán)限，要求我國(guó)相關(guān)企業(yè)提供中國(guó)法律法規(guī)規(guī)定限制跨境傳輸或不可披露的特定類型數(shù)據(jù)，那么便會(huì)與中國(guó)法律法規(guī)發(fā)生正面沖突。其典型案例為美國(guó)證券交易委員會(huì)（Securities and Exchange Commission，以下簡(jiǎn)稱SEC）要求中國(guó)五家會(huì)計(jì)師事務(wù)所提供在美上市公司審計(jì)底稿一案。

2012年12月3日，SEC起訴德勤等四大會(huì)計(jì)師事務(wù)所，外加立信大華的會(huì)計(jì)師事務(wù)所拒絕提交中國(guó)客戶的審計(jì)文件。聲明調(diào)查這些數(shù)據(jù)是為了配合調(diào)查在美國(guó)涉嫌欺詐的中國(guó)概念股。〔23 〕但我國(guó)法律法規(guī)規(guī)定實(shí)行檔案、審計(jì)底稿保密制度。目前該制度有進(jìn)一步加強(qiáng)的趨勢(shì)，根據(jù)原《中華人民共和國(guó)檔案法》《注冊(cè)會(huì)計(jì)師法》等法的規(guī)定，2016年7月財(cái)政部、國(guó)家檔案局制定了《會(huì)計(jì)師事務(wù)所審計(jì)檔案管理辦法》，其第13條規(guī)定“會(huì)計(jì)師事務(wù)所對(duì)審計(jì)檔案負(fù)有保密義務(wù)，一般不得對(duì)外提供……” 〔24 〕2017年3月新修訂的《中華人民共和國(guó)檔案法實(shí)施辦法》 〔25 〕第18條進(jìn)一步加強(qiáng)了對(duì)檔案出境的嚴(yán)格限定。2014年1月23日，SEC行政審判法官卡梅倫·埃利奧特（Cameron Elliot）用長(zhǎng)達(dá)112頁的判決，對(duì)四大會(huì)計(jì)師事務(wù)所中國(guó)所作出初審判決：暫停其在美國(guó)的業(yè)務(wù)6個(gè)月?！?6 〕2014年2月，四大會(huì)計(jì)師事務(wù)所中國(guó)所就SEC的判決正式提出上訴。在長(zhǎng)達(dá)12天的聽證會(huì)和一年的談判后，四大會(huì)計(jì)師事務(wù)所中國(guó)所與美國(guó)SEC達(dá)成和解?！?7 〕根據(jù)和解協(xié)議，每家會(huì)計(jì)師事務(wù)所同意支付50萬美元，并承認(rèn)在2012年對(duì)其提起訴訟之前并未出示任何文件?！?8 〕

上述案例表明，我國(guó)“走出去”企業(yè)面臨跨境數(shù)據(jù)流動(dòng)規(guī)制的法律風(fēng)險(xiǎn)，這不僅來自數(shù)據(jù)輸出國(guó)限制數(shù)據(jù)收集、傳輸和使用的立法，也來自其行政監(jiān)管和司法訴訟實(shí)踐。我國(guó)跨境企業(yè)不僅需要熟悉輸出國(guó)涉及跨境數(shù)據(jù)流動(dòng)的法律、規(guī)章和標(biāo)準(zhǔn)，還要了解、把握輸出國(guó)的行政監(jiān)管及司法訴訟程序。如在美訴訟必然碰到的美國(guó)“證據(jù)開啟”程序。在這一程序階段，訴訟雙方會(huì)主動(dòng)或被要求向?qū)Ψ脚杜c訴訟標(biāo)的相關(guān)的文件或其他資料?！?9 〕美國(guó)“證據(jù)開啟”程序要求比較嚴(yán)格，對(duì)于其他國(guó)家禁止向他國(guó)提供證據(jù)的抵觸法，1987年，美聯(lián)邦最高法院Société Nationale Industrielle Aerospatiale. United States一案中作出判決，判定即使證據(jù)開示會(huì)影響外國(guó)的主權(quán)管轄權(quán)，與該國(guó)的國(guó)內(nèi)實(shí)踐不一致，美國(guó)法院也可強(qiáng)制要求其提交相應(yīng)證據(jù)。〔30 〕隨著信息技術(shù)的跨越式發(fā)展以及數(shù)據(jù)保護(hù)立法的全球割據(jù)狀態(tài)，跨境數(shù)據(jù)流動(dòng)可能引發(fā)更為頻繁的相關(guān)法律規(guī)定與實(shí)踐需要的沖突。這種國(guó)家之間的沖突可能影響企業(yè)的穩(wěn)定運(yùn)營(yíng)和技術(shù)開發(fā)，甚至使跨國(guó)企業(yè)進(jìn)退維谷。它也是我國(guó)企業(yè)“走出去”后應(yīng)對(duì)跨境數(shù)據(jù)流動(dòng)規(guī)制法律風(fēng)險(xiǎn)大的表現(xiàn)之一。

（二）國(guó)外企業(yè)“引進(jìn)來”，跨境數(shù)據(jù)流動(dòng)規(guī)制難以合規(guī)

隨著數(shù)字經(jīng)濟(jì)及全球化的深入發(fā)展，中國(guó)作為全球最大的新興市場(chǎng)吸引著日益增多的外資互聯(lián)網(wǎng)企業(yè)在中國(guó)投資，外資企業(yè)對(duì)中國(guó)數(shù)據(jù)市場(chǎng)的關(guān)注和跨境數(shù)據(jù)流動(dòng)相關(guān)法律的質(zhì)詢將在所難免。

第一，我國(guó)跨境數(shù)據(jù)流動(dòng)法律法規(guī)尚不完善，“引進(jìn)來”的國(guó)外企業(yè)收集、傳輸和使用數(shù)據(jù)尚存在不確定的因素。我國(guó)目前僅有一條法律條款針對(duì)數(shù)據(jù)跨境作出明確規(guī)定。2017年6月正式實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第37條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者數(shù)據(jù)本地化原則。該條的一般解釋應(yīng)理解為，外國(guó)公司有義務(wù)在中國(guó)境內(nèi)為用戶保留服務(wù)器，即使成本增加，也明確了個(gè)人信息和重要數(shù)據(jù)的本地存儲(chǔ)、出境評(píng)估等法律義務(wù)?！?1 〕但關(guān)鍵信息基礎(chǔ)設(shè)施的具體認(rèn)定標(biāo)準(zhǔn)和程序尚不明確，重要信息的具體范疇也未厘清。國(guó)家網(wǎng)信辦雖然于2019年6月13日發(fā)布了《關(guān)于〈個(gè)人信息出境安全評(píng)估辦法（征求意見稿）〉公開征求意見的通知》，但統(tǒng)一客觀、可操作性強(qiáng)的數(shù)據(jù)跨境流動(dòng)安全評(píng)估辦法、安全評(píng)估的主管部門以及具體的評(píng)估的落地流程等都尚處于缺位狀態(tài)，更難以滿足各企業(yè)之間的數(shù)據(jù)特征差異較大的多種類合規(guī)需求?？鐕?guó)企業(yè)往往業(yè)務(wù)眾多、數(shù)據(jù)交互頻繁，可能既涉及個(gè)人數(shù)據(jù)，也涉及商戶數(shù)據(jù)、商品數(shù)據(jù)、支付數(shù)據(jù)、物流數(shù)據(jù)等不同敏感和非敏感數(shù)據(jù)的交互融合流動(dòng)，而我國(guó)尚未建立起比較成熟的數(shù)據(jù)跨境法律制度，目前的立法和執(zhí)法都無法甄別和適應(yīng)企業(yè)“引進(jìn)來”的合規(guī)確定性和多元化安定性要求，數(shù)據(jù)出境和入境安全評(píng)估亦遠(yuǎn)未落地實(shí)施?？傊耙M(jìn)來”的國(guó)外企業(yè)跨境數(shù)據(jù)合規(guī)存在許多不確定的因素，造成難合規(guī)的局面。

第二，我國(guó)尚不規(guī)范的數(shù)據(jù)分析市場(chǎng)無法遏制“引進(jìn)來”企業(yè)的非合規(guī)數(shù)據(jù)行為。我國(guó)數(shù)據(jù)分析行業(yè)還整體缺乏自律，有些企業(yè)的經(jīng)營(yíng)活動(dòng)沒有道德底線，數(shù)據(jù)泄露事件頻出。中國(guó)消費(fèi)者協(xié)會(huì)通過測(cè)評(píng)100款A(yù)pp的個(gè)人信息收集與隱私政策情況，發(fā)現(xiàn)過度收集信息，隱私政策條款不完整、不合理等問題普遍存在。2019年2月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局四部門聯(lián)合開展App違法違規(guī)使用個(gè)人信息專項(xiàng)治理活動(dòng)，發(fā)現(xiàn)有些數(shù)據(jù)分析企業(yè)利用電商平臺(tái)、手機(jī)App、城市共享服務(wù)、快遞服務(wù)等手段，在根本未征求用戶同意、未完全征得用戶同意、未引起用戶合理注意（無隱私提示）或用戶不勾選便無法使用等前提下，大肆收集與產(chǎn)品、服務(wù)本身和使用目的無關(guān)的個(gè)人信息，存在侵害個(gè)人信息、個(gè)人隱私和危害數(shù)據(jù)安全的巨大風(fēng)險(xiǎn)隱患。國(guó)外科技企業(yè)良莠不齊，一方面，嚴(yán)格合規(guī)的國(guó)外企業(yè)因?yàn)閾?dān)心國(guó)內(nèi)企業(yè)的無規(guī)運(yùn)行，無底線競(jìng)爭(zhēng)，無法有序運(yùn)營(yíng)而止步不前，不敢涉足中國(guó)市場(chǎng);另一方面，不規(guī)范企業(yè)可能憑借其數(shù)據(jù)收集和分析能力較強(qiáng)的優(yōu)勢(shì)，恣意收集和使用個(gè)人數(shù)據(jù)，導(dǎo)致我國(guó)企業(yè)無法競(jìng)爭(zhēng)，國(guó)內(nèi)公民的信息遭到泄露和侵害。由于各類數(shù)據(jù)控制者和處理者的相互關(guān)聯(lián)關(guān)系，這些國(guó)外企業(yè)也極易直接或間接成為我國(guó)市場(chǎng)上不合規(guī)經(jīng)營(yíng)的主體，從而遭遇法律風(fēng)險(xiǎn)。

三、跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)難的原因分析

“走出去”和“引進(jìn)來”的企業(yè)，跨境數(shù)據(jù)流動(dòng)規(guī)制雙向合規(guī)難的原因是多方面的：從國(guó)際來看，網(wǎng)絡(luò)空間博弈愈來愈與地緣政治、產(chǎn)業(yè)競(jìng)爭(zhēng)、經(jīng)貿(mào)關(guān)系、網(wǎng)絡(luò)主權(quán)、權(quán)利保護(hù)等各種議題相結(jié)合，跨境數(shù)據(jù)流動(dòng)也成為當(dāng)前國(guó)家地區(qū)間政策博弈最為復(fù)雜的領(lǐng)域之一。數(shù)據(jù)的價(jià)值和重要性決定了其被覬覦的高概率，全球數(shù)據(jù)黑色產(chǎn)業(yè)鏈日益成熟：一方面，網(wǎng)絡(luò)信息提供者拒不履行安全管理義務(wù);另一方面，越來越多的大數(shù)據(jù)公司非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)，頻繁惡意利用和買賣離境數(shù)據(jù)，而各國(guó)數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)不一致，造成數(shù)據(jù)在全球范圍內(nèi)流動(dòng)缺乏安全可信的在線環(huán)境，等等。但從國(guó)內(nèi)來看，缺乏“良法善治”的法治保障是最重要的原因。下面主要對(duì)國(guó)內(nèi)原因加以分析：

（一）制度零散，缺乏頂層設(shè)計(jì)下的數(shù)據(jù)跨境系統(tǒng)規(guī)范體系

如前所述，《網(wǎng)絡(luò)安全法》第37條和《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》等，〔32 〕就關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)出境提出了安全評(píng)估要求，對(duì)安全評(píng)估的責(zé)任主體、管理對(duì)象、管理要求等內(nèi)容進(jìn)行了限定。近年來，國(guó)內(nèi)相關(guān)監(jiān)管部門也開始留意和關(guān)注到數(shù)據(jù)境內(nèi)留存問題，在金融、征信行業(yè)、網(wǎng)絡(luò)車行業(yè)、網(wǎng)絡(luò)出版和網(wǎng)絡(luò)地圖行業(yè)、醫(yī)療衛(wèi)生等特殊領(lǐng)域，都明確要求相關(guān)數(shù)據(jù)必須首先本地化存儲(chǔ)。比如2016年2月發(fā)布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》第8條要求，“網(wǎng)絡(luò)出版服務(wù)的相關(guān)服務(wù)器和存儲(chǔ)設(shè)備”必須存放在中國(guó)境內(nèi)。此外，還有民航、域名服務(wù)、人口健康等其他行業(yè)，不一而足。

由上述法律和部門規(guī)章共同構(gòu)成的我國(guó)跨境數(shù)據(jù)流動(dòng)制度零亂而不系統(tǒng)，僅有的一條法律規(guī)定過于簡(jiǎn)單，對(duì)哪些屬于“關(guān)鍵信息基礎(chǔ)設(shè)施”“重要信息”如何認(rèn)定？什么是“境內(nèi)收集信息”？〔33 〕哪些情形屬于“境外提供”？〔34 〕都尚不明確。其余規(guī)定散落于若干行業(yè)管理規(guī)范中，制度位階層次頗低，可操作性和協(xié)調(diào)性不足。此外，我國(guó)《個(gè)人信息保護(hù)法》至今還未出臺(tái)，個(gè)人信息保護(hù)呈現(xiàn)嚴(yán)重的滯后性。《網(wǎng)絡(luò)安全法》雖然在現(xiàn)有條件下加強(qiáng)和明確了個(gè)人信息保護(hù)方面的要求，作出了統(tǒng)一的基本性規(guī)定，卻缺乏具體的差別化執(zhí)行細(xì)則。相比歐盟，以一部數(shù)據(jù)保護(hù)法案為牽引，以基本權(quán)利保護(hù)為抓手，帶動(dòng)四到五部配套規(guī)范協(xié)同構(gòu)成數(shù)據(jù)出境的頂層制度;再看美國(guó)，通過2010年11月第13556號(hào)行政命令，將本國(guó)各行業(yè)關(guān)于重要敏感數(shù)據(jù)管理、保護(hù)、控制的規(guī)范性文件梳理并建立統(tǒng)一標(biāo)簽，形成《非秘受控?cái)?shù)據(jù)列表》 〔35 〕等動(dòng)態(tài)監(jiān)管方式，推動(dòng)重要敏感數(shù)據(jù)使用、處理、保護(hù)的全流程規(guī)范化操作。歐美的立法值得我們借鑒。雙向合規(guī)，首先要有頂層設(shè)計(jì)下的系統(tǒng)規(guī)范體系，以全流程地引導(dǎo)、保證企業(yè)跨境數(shù)據(jù)流動(dòng)的規(guī)范性操作，減少企業(yè)合規(guī)的不確定性，降低企業(yè)的合規(guī)成本。

（二）機(jī)構(gòu)不明，缺乏獨(dú)立的數(shù)據(jù)跨境風(fēng)險(xiǎn)管理執(zhí)法機(jī)構(gòu)

良好的法律是否能夠得到良好的遵守，在一定程度上依賴于法律執(zhí)行監(jiān)督機(jī)制的完善。數(shù)據(jù)保護(hù)主管部門、監(jiān)管機(jī)構(gòu)承擔(dān)著對(duì)個(gè)人和企業(yè)數(shù)據(jù)保護(hù)管理與監(jiān)督落實(shí)的行政職能。立法機(jī)關(guān)只能提供監(jiān)管框架，而具體監(jiān)管政策的選擇與執(zhí)行則要交給監(jiān)管機(jī)構(gòu)進(jìn)行實(shí)踐落實(shí)。

歐盟建立獨(dú)立的國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)的實(shí)踐，為各國(guó)的跨境數(shù)據(jù)流動(dòng)治理提供了樣板。歐盟基于《一般數(shù)據(jù)保護(hù)法》第51條的相關(guān)內(nèi)容，要求其成員國(guó)有義務(wù)建立國(guó)家數(shù)據(jù)保護(hù)機(jī)構(gòu)（National Data Protection Authorities， DPAs）。該法要求每一個(gè)成員國(guó)必須建立一個(gè)或多個(gè)與數(shù)據(jù)保護(hù)監(jiān)督相關(guān)的公共機(jī)構(gòu)，負(fù)責(zé)設(shè)計(jì)和監(jiān)控屬地內(nèi)的跨境數(shù)據(jù)流動(dòng)與數(shù)據(jù)處理實(shí)施情況是否符合法律的要求。各成員國(guó)的監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)在根據(jù)本法執(zhí)行任務(wù)以及行使權(quán)力時(shí)保持完全的獨(dú)立性?！?6 〕歐盟議會(huì)和歐洲委員會(huì)共同決定任命Wojciech Wiewiórowski為歐洲數(shù)據(jù)保護(hù)主管（European Data Protection Supervisor， EDPS），他于2019年12月6日就職，任期五年?！?7 〕歐盟2018/1725號(hào)法規(guī) 〔38 〕還規(guī)定了歐洲數(shù)據(jù)保護(hù)監(jiān)督員（第六章）的職責(zé)和權(quán)力，以及作為監(jiān)督機(jī)構(gòu)的EDPS的機(jī)構(gòu)獨(dú)立性。在今天，盤點(diǎn)世界上217個(gè)國(guó)家的個(gè)人數(shù)據(jù)法律保護(hù)，已制定或?qū)⒁贫ńy(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法的國(guó)家多達(dá)101個(gè)。其中，75個(gè)國(guó)家設(shè)立了獨(dú)立的個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)，〔39 〕并對(duì)個(gè)人數(shù)據(jù)保護(hù)機(jī)構(gòu)的“獨(dú)立性” 〔40 〕進(jìn)行了明確的法律規(guī)定。

當(dāng)前，我國(guó)統(tǒng)一的個(gè)人信息保護(hù)法闕如，法律未確立獨(dú)立的數(shù)據(jù)保護(hù)執(zhí)法機(jī)構(gòu)，數(shù)據(jù)保護(hù)領(lǐng)域存在執(zhí)法機(jī)構(gòu)不明、監(jiān)管職能不清等現(xiàn)實(shí)困境。由于長(zhǎng)期以來我國(guó)對(duì)數(shù)據(jù)保護(hù)采取“分行業(yè)監(jiān)管”的模式，各行各業(yè)的監(jiān)管部門僅在各自領(lǐng)域內(nèi)發(fā)揮監(jiān)督管理職能，相關(guān)監(jiān)管機(jī)構(gòu)各自適用法律條文不同，具體執(zhí)法標(biāo)準(zhǔn)也不統(tǒng)一，又沒有一個(gè)統(tǒng)一的最終監(jiān)督部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)。以金融信息和金融數(shù)據(jù)保護(hù)為例，中國(guó)人民銀行、中國(guó)銀保監(jiān)會(huì)分別出臺(tái)規(guī)范性文件，國(guó)家網(wǎng)信辦出臺(tái)規(guī)章，中國(guó)人民銀行、中國(guó)銀保監(jiān)會(huì)、中國(guó)證監(jiān)會(huì)以及國(guó)家網(wǎng)信辦四個(gè)部門之間監(jiān)管職責(zé)打架。再看消費(fèi)者保護(hù)，市場(chǎng)監(jiān)管總局、中國(guó)人民銀行與中國(guó)銀保監(jiān)會(huì)的消費(fèi)者權(quán)益保護(hù)局、中國(guó)證監(jiān)會(huì)的投資者保護(hù)局之間權(quán)限劃分不清晰，各個(gè)行政執(zhí)法部門有時(shí)搶著執(zhí)法、監(jiān)管競(jìng)爭(zhēng);有時(shí)又互相推諉無人執(zhí)法，出現(xiàn)“多頭執(zhí)法”“重復(fù)監(jiān)管”和“監(jiān)管真空”并存的監(jiān)管失靈現(xiàn)象，導(dǎo)致侵犯?jìng)€(gè)人數(shù)據(jù)權(quán)益和企業(yè)商業(yè)秘密的行為得不到遏制。2017年6月1日開始實(shí)施的《網(wǎng)絡(luò)安全法》賦予國(guó)家網(wǎng)信部門、工業(yè)和信息化部以及公安部執(zhí)法權(quán)。2019年1月至12月，中國(guó)網(wǎng)信辦、工業(yè)和信息化部、公安部和國(guó)家市場(chǎng)監(jiān)管總局四部門聯(lián)合開展了App違法違規(guī)收集使用個(gè)人數(shù)據(jù)專項(xiàng)治理行動(dòng)?！?1〕雖然我國(guó)已經(jīng)將《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》列入2020年立法規(guī)劃，〔42 〕而對(duì)于各行業(yè)來說，目前只有短時(shí)間內(nèi)的清理整頓行動(dòng)在形式上為行業(yè)發(fā)展設(shè)立了一條合法與違規(guī)的紅線。從長(zhǎng)遠(yuǎn)來看，法定的獨(dú)立執(zhí)法主體的缺位無法形成長(zhǎng)效的執(zhí)法機(jī)制，以保護(hù)跨境數(shù)據(jù)流動(dòng)中的個(gè)人、企業(yè)乃至國(guó)家的數(shù)據(jù)權(quán)利;數(shù)據(jù)跨境企業(yè)也因?yàn)槿狈y(tǒng)一的管理者和執(zhí)法者，致使雙向合規(guī)難以保證。

（三）手段單一，缺乏完整健全的數(shù)據(jù)跨境執(zhí)法流程

連接良好的法律與自覺守法之間的通道是完整通暢的執(zhí)法與監(jiān)管。從我國(guó)數(shù)據(jù)跨境領(lǐng)域來看，執(zhí)法與監(jiān)管還存在著“三多三少”的弊端。一是行政禁令多，綜合措施少。目前我國(guó)有關(guān)部門主要以單純行政禁令的方式，如2017年網(wǎng)信辦發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》，以及《評(píng)估指南（征求意見稿）》等規(guī)范性文件，要求企業(yè)將特定數(shù)據(jù)留存在本地，即使個(gè)人信息和重要數(shù)據(jù)確需出境，也必須遵循安全評(píng)估流程、要點(diǎn)和方法?！?3 〕二是運(yùn)動(dòng)式執(zhí)法多，常規(guī)性執(zhí)法少。自《網(wǎng)絡(luò)安全法》實(shí)施以來，我國(guó)開展了多項(xiàng)以國(guó)家網(wǎng)信辦牽頭的個(gè)人數(shù)據(jù)保護(hù)專項(xiàng)整治活動(dòng)。運(yùn)動(dòng)式執(zhí)法固然能夠整合不同部門監(jiān)管資源，在短期內(nèi)迅速提高監(jiān)管效率，打擊違法行為，規(guī)范市場(chǎng)秩序。但運(yùn)動(dòng)式執(zhí)法的單向一維性、倉(cāng)促性、滯后性、被動(dòng)性、整治結(jié)果的反彈性 〔44 〕以及可能存在的對(duì)法治安定和公平原則的破壞性等弊端，使得其監(jiān)管績(jī)效往往備受詬病。〔45 〕三是事后懲罰性執(zhí)法多，事前、事中預(yù)防性執(zhí)法少。事后執(zhí)法手段主要包括警告、停業(yè)整頓以及罰款等，且又處罰不嚴(yán)，對(duì)涉事企業(yè)的實(shí)際處罰與事件的危害后果往往不相匹配，不僅未對(duì)違法違規(guī)企業(yè)形成有效震懾，而且導(dǎo)致公眾的數(shù)據(jù)安全意識(shí)普遍不強(qiáng)。相比歐盟在數(shù)據(jù)保護(hù)法案的全面規(guī)范之下，建立起覆蓋事前、事中、事后，形成有一系列配套措施的體系化、全方位監(jiān)管流程。歐盟于2018年大幅提升數(shù)據(jù)保護(hù)法令的處罰金額，GDPR對(duì)違反核心合規(guī)義務(wù)罰款的最高限額是上年度公司全球營(yíng)業(yè)額的4%或2000萬歐元，而其他非核心合規(guī)義務(wù)的罰款最高限額為上年度全球營(yíng)業(yè)額的2%或1000萬歐元?！?6 〕2018年3月19日，臉書導(dǎo)致5000萬用戶信息泄露，也就是震驚世界的劍橋公司“竊取”臉書用戶信息事件，扎克伯格先后多次出席美國(guó)和歐洲議會(huì)聽證會(huì)并接受質(zhì)詢。歐美政府不斷對(duì)企業(yè)施壓使扎克伯格不得不放棄臉書原有的商業(yè)模式，〔47 〕于2019年確定以加密數(shù)字貨幣作為新的戰(zhàn)略突破口。相比來看，我國(guó)單一、簡(jiǎn)單的執(zhí)法手段已經(jīng)無法適應(yīng)大數(shù)據(jù)時(shí)代的監(jiān)管執(zhí)法，也無法反制外國(guó)對(duì)中國(guó)企業(yè)的過度監(jiān)管和不合理審查以及懲戒措施。

（四）國(guó)際爭(zhēng)端，數(shù)據(jù)本地化政策影響中國(guó)的國(guó)際貿(mào)易談判

跨境數(shù)據(jù)政策成為近年來國(guó)際貿(mào)易談判中的主要議題。值得注意的是，歐盟于2018年11月14日制定有別于個(gè)人數(shù)據(jù)保護(hù)的非個(gè)人數(shù)據(jù)自由流動(dòng)框架，〔48 〕它是對(duì)通用數(shù)據(jù)保護(hù)法規(guī)（GDPR）的跟進(jìn)，也是歐盟推動(dòng)“數(shù)字單一市場(chǎng)”建設(shè)的另一重要支柱，該《框架》主要宗旨在于：與網(wǎng)絡(luò)安全一攬子計(jì)劃完全一致并發(fā)揮協(xié)同增效作用的前提下，消除歐盟各成員國(guó)的數(shù)據(jù)本地化要求;確保各成員國(guó)監(jiān)管機(jī)關(guān)能夠及時(shí)準(zhǔn)確地獲取數(shù)據(jù);保障云計(jì)算等服務(wù)提供者能夠?yàn)閷I(yè)用戶自由地遷移數(shù)據(jù)?！?9 〕與此同時(shí)，跨境數(shù)據(jù)流動(dòng)還頻頻出現(xiàn)在《美-韓自由貿(mào)易協(xié)定》（FTA）、升級(jí)版的《跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）以及歷時(shí)七年正在加速推進(jìn)的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）等多項(xiàng)國(guó)際貿(mào)易談判中，對(duì)跨境貿(mào)易產(chǎn)生重要影響。美國(guó)出于保護(hù)本國(guó)數(shù)字經(jīng)濟(jì)、信息產(chǎn)業(yè)發(fā)展，鞏固較強(qiáng)綜合國(guó)力的目的，不斷在雙邊和多邊條約中推行數(shù)據(jù)自由流動(dòng)政策，并借故我國(guó)的數(shù)據(jù)本地化政策，對(duì)我國(guó)參與數(shù)據(jù)跨境規(guī)制的國(guó)際合作設(shè)置障礙。2018年中美貿(mào)易摩擦升級(jí)后，美方利用在國(guó)際組織中的影響力，繼續(xù)醞釀新的貿(mào)易訴訟，不斷指責(zé)中國(guó)關(guān)于“重要數(shù)據(jù)”等概念過于寬泛，不公平地限制美國(guó)在華開展云計(jì)算等高科技服務(wù)貿(mào)易?！?0 〕盡管美國(guó)的指責(zé)出于其不可告人的目的，用心叵測(cè)，但數(shù)據(jù)本地化政策極易引發(fā)國(guó)際爭(zhēng)端，不利于為本國(guó)企業(yè)營(yíng)造良好的“走出去”外部環(huán)境，這一現(xiàn)象還是值得我們認(rèn)真反思。另外，我國(guó)缺乏跨境數(shù)據(jù)流動(dòng)領(lǐng)域的國(guó)際互信機(jī)制，實(shí)踐中較少參與跨境數(shù)據(jù)流動(dòng)國(guó)際談判機(jī)制，缺乏話語權(quán)，何談與世界主要經(jīng)濟(jì)體建立起跨境數(shù)據(jù)流動(dòng)方面的互信合作關(guān)系，這不利于企業(yè)的國(guó)際化發(fā)展。

四、法治保障跨境數(shù)據(jù)流動(dòng)雙向合規(guī)的對(duì)策建議

根據(jù)上文對(duì)“走出去”“引進(jìn)來”數(shù)據(jù)跨境雙向合規(guī)難的原因分析，對(duì)如何加強(qiáng)“良法善治”法治保障以破解困境，提出以下對(duì)策建議：

（一）科學(xué)立法，豐富提升跨境數(shù)據(jù)流動(dòng)管理的價(jià)值目標(biāo)，為雙向合規(guī)提供法律規(guī)范體系

跨境數(shù)據(jù)流動(dòng)的規(guī)范與約束須遵循法治國(guó)家精神的要求。近年來，我國(guó)加快立法構(gòu)建數(shù)據(jù)跨境流動(dòng)法律框架。但立法不僅僅是一個(gè)法律規(guī)范的制定過程，它首先是一個(gè)價(jià)值目標(biāo)的選擇過程。數(shù)據(jù)跨境流動(dòng)法的價(jià)值目標(biāo)有三個(gè)：一是從個(gè)人視角出發(fā)的數(shù)據(jù)權(quán)利保護(hù)目標(biāo)，保障個(gè)人數(shù)據(jù)權(quán)利是歐盟數(shù)據(jù)跨境立法的核心訴求和原則;二是產(chǎn)業(yè)視角出發(fā)的促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展、提高企業(yè)競(jìng)爭(zhēng)力的目標(biāo)，本著這一目標(biāo)，推動(dòng)數(shù)據(jù)自由流動(dòng)成為美國(guó)跨境數(shù)據(jù)流動(dòng)立法的根本宗旨;三是從國(guó)家視角出發(fā)的維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)的目標(biāo)，對(duì)數(shù)據(jù)跨境實(shí)施本地化策略成為俄羅斯、中國(guó)等保障國(guó)家安全和公共安全的重要手段。

德國(guó)社會(huì)學(xué)家韋伯認(rèn)為，權(quán)威即是建立在合法性基礎(chǔ)之上的權(quán)力：任何權(quán)力一般都有必要為自己之正當(dāng)性辯護(hù)的必要，都有必要通過訴諸其正當(dāng)性之原則的、最強(qiáng)烈的自我辯護(hù)。〔51 〕那么，我國(guó)實(shí)施數(shù)據(jù)本地化策略正當(dāng)性的依據(jù)是什么呢？那就是大數(shù)據(jù)環(huán)境下，跨境數(shù)據(jù)流動(dòng)帶來的巨大安全風(fēng)險(xiǎn)。一方面，社會(huì)的安全穩(wěn)定在受到傳統(tǒng)法律解釋因素威脅的同時(shí)，也逐漸遭受到網(wǎng)絡(luò)新型犯罪行為等非傳統(tǒng)安全因素的威脅。比如，欺騙計(jì)算機(jī)的行為是否構(gòu)成詐騙罪？如何預(yù)防和規(guī)制制造、散播計(jì)算機(jī)病毒行為？〔52 〕網(wǎng)絡(luò)黑客還可能對(duì)社會(huì)的水或能源等重要基礎(chǔ)設(shè)施發(fā)動(dòng)網(wǎng)絡(luò)攻擊。比如2014年，在嚴(yán)重的網(wǎng)絡(luò)攻擊和恐怖襲擊的威脅下，富豪影院、AMC娛樂和Cinemark影院——北美最大的三家連鎖影院——隨后宣布推遲放映，加拿大最大的影院公司也退出了放映。〔53 〕這些攻擊都被推斷來自具有一定的政府或組織背景的境外勢(shì)力。另一方面，大量數(shù)據(jù)暴露在互聯(lián)網(wǎng)上，通過大數(shù)據(jù)技術(shù)也可將工業(yè)、交通、醫(yī)療等許多領(lǐng)域的數(shù)據(jù)加以聚合，分析出足量的個(gè)人和企業(yè)信息。有研究者指出，美國(guó)所獲得的開源情報(bào)占其情報(bào)總量的80%-90%?！?4 〕2013年，美國(guó)中央情報(bào)局的前承包商愛德華·斯諾登披露了“棱鏡門”事件，暴露出美國(guó)通過一個(gè)名為PRISM的監(jiān)視項(xiàng)目跟蹤在線通信，嚴(yán)重?fù)p害了他國(guó)的國(guó)家利益。〔55 〕在這樣的背景下，對(duì)數(shù)據(jù)進(jìn)行本地化存儲(chǔ)對(duì)于維護(hù)國(guó)家安全具有十分重要的作用。

盡管實(shí)施數(shù)據(jù)本地化策略有其正當(dāng)性，但將這一策略絕對(duì)化會(huì)產(chǎn)生諸多負(fù)面作用。首先，數(shù)據(jù)本地化要求可能迫使企業(yè)在本地建設(shè)數(shù)據(jù)中心或分支機(jī)構(gòu)，切斷網(wǎng)絡(luò)節(jié)點(diǎn)之間的跨境聯(lián)系，相對(duì)于遠(yuǎn)程提供服務(wù)，經(jīng)營(yíng)成本增加。其次，在數(shù)據(jù)驅(qū)動(dòng)的智能時(shí)代，數(shù)據(jù)自由流動(dòng)本身會(huì)帶來網(wǎng)絡(luò)紅利。在棱鏡門事件發(fā)生后，一些國(guó)家政府如俄羅斯、德國(guó)等提出擬增加數(shù)據(jù)跨境流動(dòng)的條件，公民的在線數(shù)據(jù)應(yīng)托管在國(guó)內(nèi)，這些主張依賴于免受外國(guó)政府監(jiān)視、個(gè)人隱私保護(hù)、支持本地主機(jī)業(yè)發(fā)展，提升國(guó)內(nèi)競(jìng)爭(zhēng)力等好處?！?6 〕然而，數(shù)據(jù)本地化政策又有廣義與狹義之分，前者對(duì)幾乎所有行業(yè)的互聯(lián)網(wǎng)用戶和數(shù)據(jù)類型都實(shí)行本地化，如中國(guó)和俄羅斯等國(guó)就出臺(tái)了廣泛的數(shù)據(jù)本地化政策，〔57 〕這無疑客觀上會(huì)限制企業(yè)，而不能選擇離數(shù)據(jù)中心邏輯最為便利的位置進(jìn)行存儲(chǔ)和利用數(shù)據(jù)，與提升數(shù)據(jù)技術(shù)能力產(chǎn)生矛盾。再次，數(shù)據(jù)本地化會(huì)使某一市場(chǎng)被孤立起來，給數(shù)字經(jīng)濟(jì)發(fā)展帶來負(fù)面影響。最后，當(dāng)一國(guó)實(shí)施較為嚴(yán)格的數(shù)據(jù)跨境流動(dòng)規(guī)制后，其他國(guó)家也可能采取相似的規(guī)制方式。特別是，美國(guó)政府試圖通過在TISA（Trade in Service Agreement）等下一代地區(qū)貿(mào)易協(xié)定草案文本中加入數(shù)據(jù)本地化禁令，來實(shí)現(xiàn)其目標(biāo)。〔58 〕不言而喻，繼續(xù)堅(jiān)持廣泛的數(shù)據(jù)本地化政策不利于營(yíng)造良好的“走出去”外部環(huán)境。因此，我國(guó)政府有必要采取一定分級(jí)保護(hù)的措施來促進(jìn)數(shù)據(jù)跨境規(guī)制安全目標(biāo)的實(shí)現(xiàn)，并最大限度地降低跨境數(shù)據(jù)本地儲(chǔ)存的負(fù)面影響。

綜上所述，數(shù)據(jù)自由流動(dòng)與國(guó)家安全、公共安全是一對(duì)矛盾，如果去除了矛盾的一極，另一極也失去了生命力。也就是說，跨境數(shù)據(jù)立法的價(jià)值選擇必須堅(jiān)持兩點(diǎn)論，不能是一點(diǎn)論;兩點(diǎn)論又不是均衡論，而是有重點(diǎn)的兩點(diǎn)論。習(xí)近平總書記于2016年4月19日在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上指出：“網(wǎng)絡(luò)安全是動(dòng)態(tài)的而不是靜態(tài)的，開放的而不是封閉的，相對(duì)的而不是絕對(duì)的?！边@告訴我們，我國(guó)構(gòu)建數(shù)據(jù)跨境流動(dòng)法律體系應(yīng)當(dāng)堅(jiān)持安全與發(fā)展并重的原則。數(shù)據(jù)本地化策略以國(guó)家與公共安全為主要法律價(jià)值目標(biāo)，但卻不是唯一目標(biāo)。因此，對(duì)跨境數(shù)據(jù)流動(dòng)的限制既要將企業(yè)跨境流動(dòng)的各方主體納入監(jiān)管范圍之內(nèi)，確保政府有合適空間實(shí)現(xiàn)“國(guó)家與公共安全”的目標(biāo)，同時(shí)也要形成開放的循環(huán)體系，從而最小化對(duì)國(guó)際貿(mào)易和經(jīng)濟(jì)發(fā)展產(chǎn)生扭曲和阻礙。換言之，數(shù)據(jù)跨境立法應(yīng)將維護(hù)國(guó)家和公共安全的價(jià)值目標(biāo)與服務(wù)于我國(guó)實(shí)施“大數(shù)據(jù)戰(zhàn)略” 〔59 〕的目標(biāo)，服務(wù)于我國(guó)整體經(jīng)濟(jì)發(fā)展的戰(zhàn)略需要結(jié)合起來。

兼顧發(fā)展與安全的我國(guó)數(shù)據(jù)跨境立法，主要內(nèi)容包括：（1）立法以單獨(dú)立法為宜;（2）跨境數(shù)據(jù)流動(dòng)的對(duì)象、范圍;（3）數(shù)據(jù)傳遞的條件和傳遞許可，采用不同的評(píng)估和分級(jí)管理方式;（4）數(shù)據(jù)權(quán)利主體的權(quán)利與損害救濟(jì)。

（二）機(jī)構(gòu)創(chuàng)新，設(shè)立獨(dú)立的跨境數(shù)據(jù)監(jiān)管機(jī)構(gòu)，將雙向合規(guī)落到實(shí)處

設(shè)立獨(dú)立機(jī)構(gòu)是數(shù)據(jù)跨境流動(dòng)管理的國(guó)際經(jīng)驗(yàn)與要求。自從第一步跨境數(shù)據(jù)保護(hù)規(guī)制法規(guī)于1970年頒布實(shí)施以來，獨(dú)立的數(shù)據(jù)保護(hù)署開始逐步設(shè)立并相互合作?！?0 〕根據(jù)2018年正式實(shí)施的《一般數(shù)據(jù)保護(hù)條例》第45條第2款規(guī)定，當(dāng)評(píng)估某個(gè)非歐盟國(guó)家是否符合“充分性”保護(hù)程度時(shí)，將該非歐盟國(guó)家是否具有有效運(yùn)作的數(shù)據(jù)保護(hù)官方機(jī)構(gòu)作為是否符合標(biāo)準(zhǔn)的條件之一?！?1 〕對(duì)于亞太國(guó)家來說，經(jīng)合組織于2013年通過了《跨境隱私規(guī)則體系》（Cross-Border Privacy Rules，CBPR），該體系規(guī)定選擇參與CBPR系統(tǒng)的組織應(yīng)滿足三個(gè)方面的要求，其中第二個(gè)方面的要求是：任何想要加入該系統(tǒng)的經(jīng)濟(jì)體都必須擁有隱私保護(hù)機(jī)構(gòu)并且該機(jī)構(gòu)還必須參加跨境隱私執(zhí)法安排（Cross-Border Privacy Enforcement Arrangements，CPEA）?！?2 〕對(duì)于隱私執(zhí)法機(jī)構(gòu)，CEPA將其界定為負(fù)責(zé)執(zhí)行隱私法的任何公共機(jī)構(gòu)，雖未對(duì)其獨(dú)立性作明確要求，但強(qiáng)調(diào)其必須有權(quán)進(jìn)行調(diào)查或執(zhí)行強(qiáng)制執(zhí)行程序?！?3 〕必須能夠?qū)彶镃BPR投訴的問題，具有一定執(zhí)法權(quán)限。

獨(dú)立的數(shù)據(jù)跨境監(jiān)管機(jī)構(gòu)，無論是執(zhí)行能力還是保護(hù)效果，都更適合大數(shù)據(jù)時(shí)代的需要。我國(guó)非常有必要在將要制定的跨境數(shù)據(jù)流動(dòng)法框架內(nèi)新設(shè)一個(gè)獨(dú)立的管理機(jī)構(gòu)——全國(guó)數(shù)據(jù)保護(hù)委員會(huì)，授予該機(jī)構(gòu)相應(yīng)行政調(diào)查權(quán)、建議權(quán)、登記備案權(quán)、處罰權(quán)以及提起公益訴訟等權(quán)限。雖然在網(wǎng)絡(luò)信息安全領(lǐng)域，我國(guó)已形成以中央網(wǎng)絡(luò)安全和信息化委員會(huì)牽頭的統(tǒng)一領(lǐng)導(dǎo)體制，但在個(gè)人信息保護(hù)具體工作機(jī)制層面，仍缺乏統(tǒng)一籌劃、部署并與國(guó)際對(duì)標(biāo)的獨(dú)立個(gè)人信息保護(hù)執(zhí)行機(jī)構(gòu)。從我國(guó)實(shí)際出發(fā)，如果新設(shè)一個(gè)部級(jí)行政部門在短時(shí)間內(nèi)確實(shí)有一定難度，建議也可以通過即將面世的《個(gè)人數(shù)據(jù)保護(hù)法》明確一個(gè)擁有最終監(jiān)管權(quán)限的行政執(zhí)法部門，如國(guó)家市場(chǎng)監(jiān)管總局或者工業(yè)與信息化部，在分行業(yè)監(jiān)管的基礎(chǔ)上，由其負(fù)責(zé)統(tǒng)籌協(xié)調(diào)不同行業(yè)和領(lǐng)域的具體執(zhí)法標(biāo)準(zhǔn)和執(zhí)法權(quán)限，避免監(jiān)管重疊和監(jiān)管真空現(xiàn)象，以利于企業(yè)數(shù)據(jù)跨境流動(dòng)雙向合規(guī)落到實(shí)處。

（三）協(xié)同共治，構(gòu)建跨境數(shù)據(jù)安全治理體系，營(yíng)造良好的合規(guī)環(huán)境

構(gòu)建我國(guó)數(shù)據(jù)安全治理體系，需要發(fā)揮政府、行業(yè)、企業(yè)的各自優(yōu)勢(shì)，實(shí)現(xiàn)協(xié)同共治。主要內(nèi)容包括：

一是規(guī)范政府的監(jiān)管行為。國(guó)家互聯(lián)網(wǎng)信息辦公室基于與其公共利益使命相稱的專業(yè)技術(shù)知識(shí)，以及實(shí)現(xiàn)相關(guān)目標(biāo)的能力，〔64 〕負(fù)責(zé)全國(guó)互聯(lián)網(wǎng)信息內(nèi)容管理工作，并負(fù)責(zé)監(jiān)督管理執(zhí)法。如果一個(gè)被規(guī)制的企業(yè)以遵守法律為基礎(chǔ)導(dǎo)向，只是因?yàn)榭缇硵?shù)據(jù)流動(dòng)的鏈條過長(zhǎng)，無法事先預(yù)知某些環(huán)節(jié)數(shù)據(jù)失控，那么可能首先會(huì)接受規(guī)制者的建議和教育，而無須對(duì)其采用更為嚴(yán)格的制裁措施;而如果被規(guī)制企業(yè)屬于“無良計(jì)算者”，只關(guān)注利潤(rùn)最大化并投機(jī)利用跨境數(shù)據(jù)流動(dòng)規(guī)制中的漏洞，那么面臨的懲罰措施就會(huì)相當(dāng)嚴(yán)格，包括警告、數(shù)額驚人的罰款乃至撤銷資格?！?5 〕

二是建立與完善跨境數(shù)據(jù)流動(dòng)的行業(yè)自律制度。由于政府規(guī)制實(shí)施直接控制的能力有限，各國(guó)都試圖引入行業(yè)協(xié)會(huì)和企業(yè)的自律規(guī)制。比如美國(guó)主張的數(shù)據(jù)規(guī)制體系就更偏重于以行業(yè)自律的形式進(jìn)行自我規(guī)制與事后問責(zé)，一般通過合同產(chǎn)生約束力，企業(yè)加入?yún)f(xié)會(huì)即為同意接受自律規(guī)則的約束，〔66 〕以此用較為細(xì)致的合同和交易機(jī)制設(shè)計(jì)，來推動(dòng)跨境數(shù)據(jù)流動(dòng)自由化和國(guó)際數(shù)字市場(chǎng)的發(fā)展。

三是檢查、敦促企業(yè)履行保障跨境數(shù)據(jù)安全的義務(wù)。檢查包括自查和協(xié)會(huì)抽查;檢查、敦促的主要內(nèi)容有：企業(yè)是否審慎保管其掌控的數(shù)據(jù)？是否采取了足夠的安全保障措施？是否有經(jīng)營(yíng)行為的相關(guān)牌照？〔67 〕企業(yè)對(duì)內(nèi)部員工行為是否開展及時(shí)的培訓(xùn)和全面的安全紀(jì)律？是否有敏銳的風(fēng)險(xiǎn)預(yù)警能力？對(duì)跨境數(shù)據(jù)，轉(zhuǎn)出企業(yè)是否充分尊重?cái)?shù)據(jù)主體的知情權(quán)？是否足夠了解數(shù)據(jù)后期的存儲(chǔ)使用情況？在企業(yè)收集數(shù)據(jù)量、處理次數(shù)、享有數(shù)據(jù)訪問權(quán)限的人數(shù)以及保存數(shù)據(jù)的時(shí)長(zhǎng)方面是否遵循最小化原則，等等。通過檢查和敦促，增強(qiáng)企業(yè)保護(hù)個(gè)人數(shù)據(jù)權(quán)利、商業(yè)秘密和國(guó)家數(shù)據(jù)安全的責(zé)任感，提高跨境數(shù)據(jù)流動(dòng)企業(yè)合規(guī)經(jīng)營(yíng)的自覺性，敦促企業(yè)建立起約束合作、分級(jí)分類數(shù)據(jù)管理、較為“軟性”的信息和說服勸導(dǎo)以及保護(hù)個(gè)人數(shù)據(jù)隱私等內(nèi)部機(jī)制。

（四）合作共贏，積極參與跨境數(shù)據(jù)流動(dòng)國(guó)際規(guī)則制定，推動(dòng)雙向合規(guī)健康、可持續(xù)地開展

競(jìng)爭(zhēng)與協(xié)同是經(jīng)濟(jì)系統(tǒng)存在和發(fā)展的一對(duì)矛盾統(tǒng)一體。〔68 〕在當(dāng)今以貿(mào)易保護(hù)主義為主要特征的“逆全球化” 〔69 〕或“管理貿(mào)易” 〔70 〕國(guó)際形勢(shì)下，我國(guó)必須清醒地認(rèn)識(shí)到：以特朗普當(dāng)選美國(guó)總統(tǒng)和英國(guó)脫歐為標(biāo)志事件的“逆全球化”或“管理貿(mào)易”也不可能迫使各國(guó)回到閉關(guān)鎖國(guó)的舊路，形成“新一代的數(shù)字貿(mào)易壁壘”?！?1 〕與此相反，我國(guó)應(yīng)抓住促進(jìn)跨境數(shù)據(jù)流動(dòng)的契機(jī)，在國(guó)際經(jīng)濟(jì)中發(fā)揮更大的作用，承擔(dān)更大的責(zé)任，最終實(shí)現(xiàn)角色轉(zhuǎn)換。具體實(shí)踐中，由于單邊性措施容易引發(fā)矛盾和反制措施，我國(guó)一方面可考慮多采取雙邊談判和多邊磋商，借助GATS 〔72 〕、FTAAP 〔73 〕、GPEN 〔74 〕等區(qū)域談判場(chǎng)景提出質(zhì)疑，如歐盟GDPR規(guī)則是否在跨境數(shù)據(jù)流動(dòng)方面違反GATS的最惠國(guó)待遇原則，在歐盟境內(nèi)和境外實(shí)行雙重標(biāo)準(zhǔn)？如何在GDPR個(gè)人隱私保護(hù)和某些國(guó)家主張的言論自由之間保持價(jià)值平衡？〔75 〕從中爭(zhēng)取最大權(quán)利，最終尋求建立符合中國(guó)利益的跨境數(shù)據(jù)流動(dòng)規(guī)則。另一方面可積極參與國(guó)際上有關(guān)跨境數(shù)據(jù)流動(dòng)規(guī)則的研討，在國(guó)際競(jìng)爭(zhēng)的舞臺(tái)上，代表中國(guó)企業(yè)利益發(fā)出中國(guó)聲音。在盡快制定符合中國(guó)國(guó)情《一般個(gè)人數(shù)據(jù)保護(hù)法》的基礎(chǔ)上，參照歐盟從頂層設(shè)計(jì)制定專門的非個(gè)人數(shù)據(jù)自由流動(dòng)規(guī)則體系，〔76 〕并適當(dāng)借鑒美國(guó)的做法，與歐盟簽訂雙邊或多邊協(xié)定，使得數(shù)以千計(jì)的中國(guó)企業(yè)承諾遵守協(xié)議的原則，而得以在歐洲開展業(yè)務(wù)。尤其值得一提的是，在國(guó)務(wù)院2019年印發(fā)的《臨港新片區(qū)總體方案》 〔77 〕中明確提出，應(yīng)在國(guó)際通信設(shè)施、5G、IPv6、人工智能、生物醫(yī)藥、總部經(jīng)濟(jì)以及云計(jì)算、物聯(lián)網(wǎng)等方面，實(shí)施國(guó)際互聯(lián)網(wǎng)數(shù)據(jù)跨境安全有序流動(dòng)?？梢?，臨港新片區(qū)可以作為跨境數(shù)據(jù)流動(dòng)對(duì)標(biāo)國(guó)際規(guī)則，同時(shí)在保障數(shù)據(jù)安全基礎(chǔ)上促進(jìn)國(guó)際數(shù)據(jù)有序流動(dòng)的壓力測(cè)試地和最佳試驗(yàn)田，并在這一過程中培育行業(yè)自律，區(qū)分個(gè)人數(shù)據(jù)、企業(yè)數(shù)據(jù)和公共數(shù)據(jù)，尤其是如何促進(jìn)人工智能技術(shù)自動(dòng)產(chǎn)生數(shù)據(jù)的跨境流動(dòng)，值得高度關(guān)注?！?8 〕培養(yǎng)一批有國(guó)際水準(zhǔn)的企業(yè)數(shù)據(jù)保護(hù)官，在企業(yè)數(shù)據(jù)保護(hù)和利用之間形成平衡機(jī)制，積極創(chuàng)建促進(jìn)跨境數(shù)據(jù)流動(dòng)的相關(guān)行業(yè)標(biāo)準(zhǔn)、行動(dòng)方案與落地機(jī)制，推動(dòng)我國(guó)數(shù)據(jù)保護(hù)水平提升和相關(guān)數(shù)字產(chǎn)業(yè)鏈可持續(xù)發(fā)展。

結(jié)語

大數(shù)據(jù)時(shí)代，跨境數(shù)據(jù)流動(dòng)成為世界各國(guó)競(jìng)爭(zhēng)與合作交替進(jìn)行的重要領(lǐng)域。正如有學(xué)者所言，數(shù)據(jù)是一種具有經(jīng)濟(jì)價(jià)值的商品，其價(jià)值取決于數(shù)據(jù)質(zhì)量?！?9 〕因而，如何產(chǎn)出有質(zhì)量的數(shù)據(jù)，成為數(shù)據(jù)價(jià)值實(shí)現(xiàn)的必要前提，在法學(xué)界努力解決有質(zhì)量數(shù)據(jù)的確權(quán)難題的同時(shí)，各國(guó)數(shù)據(jù)規(guī)制的“互聯(lián)網(wǎng)巴爾干化”和跨境數(shù)據(jù)流動(dòng)自由化之間的緊張關(guān)系亦不容忽視，以雙邊和多邊條約協(xié)定為表現(xiàn)形式的數(shù)據(jù)跨境合作并不能掩蓋或代替國(guó)家間緊張與競(jìng)爭(zhēng)的關(guān)系，其背后仍隱藏著經(jīng)濟(jì)利益或政治主張等有形或無形的訴求。因此，具有明顯主權(quán)色彩或國(guó)家利益傾向的數(shù)據(jù)并非毫無約束地跨境流動(dòng)，與他國(guó)實(shí)現(xiàn)“共享”數(shù)據(jù)必須找到正當(dāng)依據(jù)。跨境數(shù)據(jù)流動(dòng)規(guī)制是一個(gè)多元法律框架，很難用單一的監(jiān)管理論囊括多層次的規(guī)則、參與方與執(zhí)行機(jī)制?！?0 〕本國(guó)個(gè)人信息保護(hù)、經(jīng)濟(jì)利益保障和國(guó)家安全維護(hù)，要求國(guó)家必須以“良法善治”對(duì)承載著不同利益層次、位階訴求的數(shù)據(jù)流動(dòng)予以規(guī)范和約束，并通過獨(dú)立的數(shù)據(jù)保護(hù)機(jī)構(gòu)將規(guī)范落到實(shí)處，從而達(dá)到在保護(hù)本國(guó)個(gè)體、社會(huì)和國(guó)家利益的同時(shí)達(dá)到數(shù)據(jù)跨境流動(dòng)與分享之間的平衡。

Abstract： In the big data environment， large-scale and complex cross-border data flows have become the norm. With regard to cross-border data flows， both "going out" and "bringing in" enterprises must meet data collection， transmission and usage requirements legislated by domestic and foreign authority in accordance with the domestic law， that is， to achieve bilateral compliance. There are many reasons for the bilateral compliance when we clarify the status quo of corporate compliance. From the domestic point of view， however，the main reason is lack of "good law and good governance" from the perspective of the rule of law. Specifically， the system is fragmented， with regard to a standardized system for cross-border data system， there is a lack of systemic design with a top down framework; the institutions are unclear， and an independent law enforcement institution for cross-border data risk management is absent; the regulatory methods are unclear， and the complete Cross-border law enforcement process is absent; international disputes resolution and data localization policies affect China's international trade negotiations. The countermeasures and suggestions for strengthening the rule of law under the guideline of "good law and good governance" to address the two-way compliance difficulties are： scientific law enactment， enrich and improve the value objectives or cross-border data flow management， and to provide a legal specification system for two-way compliance; innovatively reform institutions， establish an independent cross-border data regulator， and put two-way compliance into practice; collaborate to establish cross-border data security governance system， and create a favorable compliance environment; collaborate to achieve a win-win situation， actively participate in the formulation of international rules on cross-border data flow， and promote two-way healthy and sustainable compliance.

Key words： cross-border data flow;? data flow regulation; cross-border flow ; data security governance;? International rules for cross-border data flow;digital economy