黃雅晴

(南京財(cái)經(jīng)大學(xué)，江蘇 南京210023)

一、 跨境數(shù)據(jù)流動(dòng)的規(guī)制難題

①現(xiàn)有文獻(xiàn)對(duì)跨境數(shù)據(jù)流動(dòng)存在多種表述方式，如cross-border data flows，transborder data flows，international information transfer，transborder flows of personal data 等，涉及transfer(傳輸)和flow(流動(dòng))之間是否存在差異，國(guó)內(nèi)文獻(xiàn)大多未做出嚴(yán)格區(qū)分。 論文認(rèn)為跨境數(shù)據(jù)流動(dòng)的含義應(yīng)延伸至收集、訪(fǎng)問(wèn)、傳輸、使用等一系列行為，對(duì)傳輸和流動(dòng)不再做出細(xì)致區(qū)分。

Tiktok 在美并購(gòu)一案，使得與數(shù)據(jù)有關(guān)的用戶(hù)隱私、國(guó)家安全、本地存儲(chǔ)和傳輸?shù)葐?wèn)題再度成為焦點(diǎn)。 跨境數(shù)據(jù)流動(dòng)的規(guī)制同時(shí)涉及國(guó)內(nèi)法和國(guó)際法層面的問(wèn)題，與隱私保護(hù)、經(jīng)濟(jì)發(fā)展、國(guó)家安全等事項(xiàng)密切相關(guān)。 國(guó)內(nèi)法層面，各國(guó)或通過(guò)數(shù)據(jù)(隱私或信息)保護(hù)法中的跨境數(shù)據(jù)流動(dòng)條款進(jìn)行規(guī)制②涉及該領(lǐng)域法律的通常會(huì)使用數(shù)據(jù)、信息、隱私三種不同的法律名稱(chēng)。 比如歐盟《一般數(shù)據(jù)保護(hù)條例》、美國(guó)《隱私法》、俄羅斯《關(guān)于聯(lián)邦信息、信息化和信息保護(hù)法》和《聯(lián)邦個(gè)人數(shù)據(jù)法》、我國(guó)《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》。 互聯(lián)網(wǎng)時(shí)代數(shù)據(jù)與信息之間并無(wú)明確界限，二者之間可以互相轉(zhuǎn)化，個(gè)人隱私也基本以信息或數(shù)據(jù)的方式表現(xiàn)。 三種法律名稱(chēng)在概念界定上存在一定差異，但內(nèi)涵上無(wú)實(shí)質(zhì)性差別，具體司法實(shí)踐中不會(huì)造成實(shí)質(zhì)影響，因此論文不嚴(yán)格區(qū)分上述三種法律名稱(chēng)。，或通過(guò)分散立法的方式在敏感領(lǐng)域做出規(guī)定，著重考量個(gè)人隱私保護(hù)和國(guó)家安全。 國(guó)際層面，具有較大影響力的規(guī)制以美國(guó)和歐盟主導(dǎo)的規(guī)則體系為代表，規(guī)制目標(biāo)同時(shí)包括個(gè)人隱私保護(hù)和數(shù)據(jù)自由流動(dòng)，且美國(guó)主導(dǎo)規(guī)則的價(jià)值趨向更側(cè)重?cái)?shù)據(jù)經(jīng)濟(jì)利益。 國(guó)內(nèi)法與國(guó)際法的規(guī)制目標(biāo)存在差別，各國(guó)數(shù)據(jù)政策和法律必然存在差異，現(xiàn)階段尚無(wú)國(guó)際統(tǒng)一的約束性規(guī)則。 鑒于跨境數(shù)據(jù)流動(dòng)帶來(lái)的個(gè)人數(shù)據(jù)安全擔(dān)憂(yōu)、數(shù)字產(chǎn)業(yè)發(fā)展影響、國(guó)家主權(quán)威脅等風(fēng)險(xiǎn)，其規(guī)制路徑面臨數(shù)據(jù)保護(hù)、數(shù)據(jù)自由流動(dòng)、政府?dāng)?shù)據(jù)保護(hù)自主權(quán)的三難選擇問(wèn)題。

二、 跨境數(shù)據(jù)流動(dòng)的域外代表性立法及分析

(一)歐盟：以充分性保護(hù)原則為核心

2018 年5 月25 日《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡(jiǎn)稱(chēng)GDPR)取代《95 指令》③1995 年頒布的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類(lèi)數(shù)據(jù)自由流動(dòng)的指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)。正式施行，GDPR 旨在加強(qiáng)對(duì)歐盟境內(nèi)公民個(gè)人數(shù)據(jù)和隱私安全，統(tǒng)一歐盟境內(nèi)數(shù)據(jù)規(guī)則，促進(jìn)實(shí)現(xiàn)單一數(shù)字市場(chǎng)的經(jīng)濟(jì)戰(zhàn)略，確保歐盟對(duì)其數(shù)據(jù)享有獨(dú)立自主開(kāi)發(fā)、管理和處置的權(quán)利，通過(guò)高標(biāo)準(zhǔn)的數(shù)據(jù)保護(hù)引導(dǎo)全球重建數(shù)據(jù)保護(hù)規(guī)則。GDPR 關(guān)涉數(shù)據(jù)流動(dòng)問(wèn)題的規(guī)定主要包括以下三個(gè)方面：

1. 管轄權(quán)范圍

GDPR 擴(kuò)張了域外適用效力，管轄權(quán)實(shí)質(zhì)擴(kuò)展為影響主義原則，有力保護(hù)了歐盟境內(nèi)數(shù)據(jù)主體的權(quán)利。 歐盟數(shù)據(jù)保護(hù)委員會(huì)(European Data Protection Board，以下簡(jiǎn)稱(chēng)EDPB)發(fā)布的《關(guān)于GDPR 第3 條適用地域范圍的解釋指南》主要確立了兩類(lèi)考量要素，第3 條第1 款的經(jīng)營(yíng)場(chǎng)所標(biāo)準(zhǔn)①GDPR 第3 條第1 款：本條例適用在歐盟境內(nèi)設(shè)立經(jīng)營(yíng)場(chǎng)所的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，無(wú)論處理行為是否發(fā)生在歐盟境內(nèi)。和第3條第2 款目標(biāo)指向標(biāo)準(zhǔn)②GDPR 第3 條第2 款：在歐盟境外的數(shù)據(jù)控制者或處理者對(duì)歐盟境內(nèi)的個(gè)人數(shù)據(jù)進(jìn)行處理，涉及下列情況適用本條例：(a)向歐盟境內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，無(wú)論是否要求數(shù)據(jù)主體支付價(jià)款；(b)對(duì)數(shù)據(jù)主體發(fā)生在歐盟境內(nèi)的行為進(jìn)行監(jiān)控。，涵蓋了設(shè)立在歐盟境內(nèi)和境外的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)處理的情況，滿(mǎn)足上述兩個(gè)標(biāo)準(zhǔn)之一即適用GDPR 規(guī)定。 對(duì)于經(jīng)營(yíng)場(chǎng)所的定義，根據(jù)GDPR 前言第22 條③GDPR 前言第22 條：營(yíng)業(yè)場(chǎng)所指通過(guò)穩(wěn)定安排真實(shí)有效的開(kāi)展活動(dòng)，安排的法律形式(無(wú)論是分支機(jī)構(gòu)還是具有法律人格的子公司)并不是判斷是否為營(yíng)業(yè)場(chǎng)所的決定性因素。，除了法律實(shí)體的形式，通過(guò)穩(wěn)定安排進(jìn)行實(shí)際有效業(yè)務(wù)活動(dòng)的行為也可能被認(rèn)定為經(jīng)營(yíng)場(chǎng)所，需要結(jié)合個(gè)案事實(shí)進(jìn)行判斷分析。 目標(biāo)指向要求必須存在指向歐盟境內(nèi)個(gè)人數(shù)據(jù)主體這一要素，無(wú)論是提供產(chǎn)品和服務(wù)或是對(duì)其行為進(jìn)行監(jiān)控。 被視為監(jiān)控處理活動(dòng)的性質(zhì)認(rèn)定體現(xiàn)在GDPR 前言第24 條④GDPR 前言第24 條：確定某一處理活動(dòng)能否被視為對(duì)數(shù)據(jù)主體行為的監(jiān)控時(shí)，應(yīng)確定自然人是否在互聯(lián)網(wǎng)上被跟蹤，包括后續(xù)可能采用的數(shù)據(jù)處理技術(shù)，包括對(duì)自然人進(jìn)行畫(huà)像以作出決定，或?qū)υ撟匀蝗说膫€(gè)人偏好、行為和態(tài)度進(jìn)行分析或預(yù)測(cè)。，要求控制者需具有用于收集和重新使用相關(guān)數(shù)據(jù)的特定目的。

2. 跨境數(shù)據(jù)流動(dòng)評(píng)估路徑⑤GDPR 第五章：向第三國(guó)或國(guó)際組織傳輸個(gè)人數(shù)據(jù)第45、46、47、49 條。

(1)白名單制度，將符合充分保護(hù)標(biāo)準(zhǔn)的國(guó)家列入正面清單

第45 條詳細(xì)列舉了符合充分保護(hù)要求需達(dá)到的三重標(biāo)準(zhǔn)⑥包括法治、尊重人權(quán)和基本自由，一般法和部門(mén)相關(guān)立法以及對(duì)立法的實(shí)施，數(shù)據(jù)主體權(quán)利、有效的行政和司法賠償；是否存在一個(gè)或多個(gè)有效運(yùn)作的監(jiān)管機(jī)構(gòu)，擁有充分的執(zhí)行權(quán)，協(xié)助數(shù)據(jù)主體行使權(quán)利；有關(guān)第三國(guó)或國(guó)際組織達(dá)成的國(guó)際承諾，或因具有法律約束力的公約或文件等產(chǎn)生的義務(wù)等。。 其中是否加入歐盟委員會(huì)《108 號(hào)公約》⑦1981 年《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)公約》(The Convention For The Protection of individuals With Regard to Automatic Processing of Personal Data)。是重要考量因素之一。 即使獲得認(rèn)定仍需要接受至少4 年一次的定期審核，如有信息顯示無(wú)法確保充分性保護(hù)，歐盟委員會(huì)通過(guò)頒布不具有追溯力的實(shí)施法案撤銷(xiāo)、修訂或終止已通過(guò)的認(rèn)定⑧GDPR 第45 條第3、4、5 款。。 充分性保護(hù)原則不具有普遍適用性，目前獲得認(rèn)定的國(guó)家和地區(qū)只有12 個(gè)，其中加拿大獲得的是有限認(rèn)證，鑒于《隱私盾協(xié)議》已失效，美國(guó)獲得的有限充分認(rèn)證也因此終止。 已認(rèn)證的國(guó)家多位于歐洲大陸或不具有代表性，覆蓋范圍有限。 并且認(rèn)證程序復(fù)雜，需要進(jìn)行實(shí)質(zhì)評(píng)估而非形式審查，增加了談判的不確定性。

(2)保障措施

無(wú)法提供充分保護(hù)可適用第46 條的適當(dāng)保障措施，其中標(biāo)準(zhǔn)合同條款(Standard Contract Clauses，以下簡(jiǎn)稱(chēng)SCCs)和約束性公司規(guī)則(Binding Corporate Rules，以下簡(jiǎn)稱(chēng)BCRs)兩項(xiàng)制度適用范圍最廣。 境外數(shù)據(jù)控制者或處理者可以通過(guò)簽訂歐盟委員會(huì)和數(shù)據(jù)監(jiān)管機(jī)構(gòu)批準(zhǔn)的SCCs 實(shí)現(xiàn)跨境數(shù)據(jù)流動(dòng)的目的。 雖然SCCs 的操作似乎只需要數(shù)據(jù)出口方與進(jìn)口方簽署即可進(jìn)行數(shù)據(jù)轉(zhuǎn)移，但實(shí)際操作仍存在一些弊端，比如合同雙方承擔(dān)連帶責(zé)任的規(guī)定可能造成數(shù)據(jù)出口方因顧及違約責(zé)任后果怠于進(jìn)行數(shù)據(jù)傳輸；合同相對(duì)性的固有特征難以解決涉及多方主體的復(fù)雜數(shù)據(jù)傳輸問(wèn)題，往往耗時(shí)長(zhǎng)、成本高，難以解決涉及多方主體的復(fù)雜數(shù)據(jù)傳輸。 BCRs約束跨國(guó)公司內(nèi)部的數(shù)據(jù)跨境傳輸活動(dòng)。 跨國(guó)公司內(nèi)部往往有大量數(shù)據(jù)傳輸需求，涉及集團(tuán)多方成員，BCRs 避免了SCCs 每次都需要簽訂合同從而增加大量經(jīng)營(yíng)成本的弊端。第47 條第2 款(F)項(xiàng)規(guī)定了歐盟境外成員違反BCRs 由歐盟境內(nèi)控制者或處理者承擔(dān)責(zé)任，處罰以歐盟境內(nèi)集團(tuán)成員作為連接點(diǎn)。 該項(xiàng)規(guī)定通過(guò)歐盟境內(nèi)的連接點(diǎn)擴(kuò)張了承擔(dān)責(zé)任的主體范圍，對(duì)跨國(guó)公司的規(guī)模、資金、技術(shù)、員工素質(zhì)均提出較高要求。 但BCRs 規(guī)則適用范圍有限，對(duì)中小型公司而言無(wú)太多可以適用的規(guī)范，難以在大范圍內(nèi)發(fā)揮效用。

(3)特定情形下的減損

上述兩種方式均無(wú)法適用時(shí)可基于第49 條第1 款7 種特定情形進(jìn)行數(shù)據(jù)傳輸。 其中第1 款(a)項(xiàng)“告知+同意”是最經(jīng)常使用的情形，如果數(shù)據(jù)主體在被告知不符合充分保護(hù)和適當(dāng)保障措施的規(guī)定，以及數(shù)據(jù)流動(dòng)可能帶來(lái)的風(fēng)險(xiǎn)仍然同意傳輸，可以不受上述規(guī)定的限制，實(shí)際是將控制權(quán)交與數(shù)據(jù)主體自身。

3. 監(jiān)管層次

成員國(guó)層面，第六章就監(jiān)管機(jī)構(gòu)的獨(dú)立地位、管轄權(quán)限、職責(zé)或權(quán)力做出詳細(xì)的規(guī)定。 對(duì)向歐盟不同成員國(guó)提供業(yè)務(wù)或在不同成員國(guó)設(shè)立機(jī)構(gòu)的企業(yè)，由一個(gè)主監(jiān)管機(jī)構(gòu)對(duì)企業(yè)所有數(shù)據(jù)活動(dòng)負(fù)責(zé)，建立了一站式監(jiān)督機(jī)制，提高監(jiān)管效力。 歐盟層面則設(shè)立EDPB⑨https：/ /edps.europa.eu/about-edps_en.總體任務(wù)包括監(jiān)督并確保歐盟機(jī)構(gòu)在個(gè)人信息處理時(shí)對(duì)個(gè)人數(shù)據(jù)和隱私的保護(hù)、就與處理個(gè)人數(shù)據(jù)有關(guān)的事宜向歐盟機(jī)構(gòu)提供建議、就解釋數(shù)據(jù)保護(hù)法提供專(zhuān)家意見(jiàn)、與國(guó)家監(jiān)管當(dāng)局和其他監(jiān)管機(jī)構(gòu)合作等。負(fù)責(zé)GDPR 的實(shí)施。 兩個(gè)層面的監(jiān)管機(jī)構(gòu)之間信息互相流通，避免了監(jiān)管范圍重疊或缺失的情形。

(二)美國(guó)：以問(wèn)責(zé)制為原則

美國(guó)采用分散立法的方式，通過(guò)市場(chǎng)主導(dǎo)、行業(yè)自律的方式進(jìn)行調(diào)整，原則上不限制個(gè)人數(shù)據(jù)的跨境流動(dòng)。 以數(shù)據(jù)控制者和處理者能夠遵守隱私保護(hù)規(guī)定為預(yù)設(shè)前提，僅在造成損害后果的情形下由相關(guān)方承擔(dān)責(zé)任，最大限度降低數(shù)據(jù)流動(dòng)的障礙，減輕行政機(jī)關(guān)的監(jiān)管壓力，旨在維護(hù)產(chǎn)業(yè)競(jìng)爭(zhēng)優(yōu)勢(shì)，確保美國(guó)在數(shù)字經(jīng)濟(jì)和信息通信領(lǐng)域的領(lǐng)導(dǎo)地位①出臺(tái)的多項(xiàng)戰(zhàn)略規(guī)劃均提出明確促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的內(nèi)容，如《美國(guó)數(shù)字經(jīng)濟(jì)議程》《電子復(fù)興計(jì)劃》《數(shù)據(jù)科學(xué)戰(zhàn)略計(jì)劃》等，自由貿(mào)易協(xié)定中也包含了數(shù)字貿(mào)易的規(guī)定。。美國(guó)數(shù)據(jù)保護(hù)的相關(guān)法律多使用隱私一詞，聯(lián)邦層面的法律法規(guī)如1974 年《隱私法》，對(duì)聯(lián)邦行政部門(mén)收集、利用和保護(hù)個(gè)人數(shù)據(jù)等方面做出規(guī)定；涉及消費(fèi)者網(wǎng)絡(luò)隱私權(quán)的訴訟多通過(guò)《聯(lián)邦貿(mào)易委員會(huì)法》第5 節(jié)商業(yè)欺詐的規(guī)則解決；此外《電子通信隱私法》《計(jì)算機(jī)欺詐和濫用法》《公平信用報(bào)告法》《金融服務(wù)現(xiàn)代化法案》《兒童在線(xiàn)隱私保護(hù)法》《在線(xiàn)通訊政策法》等均涉及相關(guān)內(nèi)容。 州層面的法律法規(guī)，最具代表性的是《加州消費(fèi)者隱私法》及其實(shí)施細(xì)則，被稱(chēng)為全美最嚴(yán)格網(wǎng)絡(luò)隱私法，但其對(duì)跨境數(shù)據(jù)流動(dòng)亦未設(shè)明確限制②https：/ /mp.weixin.qq.com/s/AnkWT_st-lj3ioYrZYgnkg.。

繼微軟訴美國(guó)案之后，2018 年《澄清合法使用域外數(shù)據(jù)法》(Clarify Lawful Overseas Use of Data Act)為調(diào)取美國(guó)公司存儲(chǔ)于境外的數(shù)據(jù)提供了法律依據(jù)，該法案將司法管轄權(quán)由數(shù)據(jù)存儲(chǔ)位置擴(kuò)張為數(shù)據(jù)控制者的控制范圍。 只要內(nèi)容所有者或數(shù)據(jù)控制者是美國(guó)企業(yè)或其他組織，無(wú)論是否存儲(chǔ)于美國(guó)境內(nèi)，這些機(jī)構(gòu)有義務(wù)提供并披露上述內(nèi)容。 法案體現(xiàn)了美國(guó)數(shù)據(jù)主權(quán)戰(zhàn)略，是其國(guó)內(nèi)法域外效力在數(shù)據(jù)流動(dòng)領(lǐng)域的體現(xiàn)。 法案雖同時(shí)允許適格的外國(guó)政府向美國(guó)境內(nèi)組織調(diào)取用于偵查執(zhí)法等目的的相關(guān)數(shù)據(jù)，但對(duì)適格外國(guó)政府的認(rèn)定極為嚴(yán)格③適格外國(guó)政府的考慮因素包括國(guó)內(nèi)立法水平和執(zhí)法能力是否為公民權(quán)利和隱私提供了足夠的實(shí)體和程序保護(hù)；該國(guó)家是否為《布達(dá)佩斯網(wǎng)絡(luò)犯罪公約》的成員國(guó)，或者至少與公約的第1、2 章內(nèi)容相吻合；對(duì)法治和平等原則的尊重；遵守國(guó)際人權(quán)義務(wù)等等。。 表面上具備國(guó)家之間交互的性質(zhì)，實(shí)質(zhì)上是否為適格的外國(guó)政府完全由美國(guó)自由決定，雙方在實(shí)踐中的標(biāo)準(zhǔn)并不對(duì)等。

(三)俄羅斯：以數(shù)據(jù)本地化存儲(chǔ)為原則

俄羅斯立法體現(xiàn)了明顯的國(guó)家數(shù)據(jù)主權(quán)訴求，總體采納數(shù)據(jù)本地化規(guī)制路徑，要求公民信息及相關(guān)信息和數(shù)據(jù)庫(kù)的存儲(chǔ)和處理行為需在境內(nèi)進(jìn)行。 《關(guān)于信息、信息技術(shù)和信息保護(hù)法》第10.1 條第3 款和第16 條第4 款增加了境內(nèi)存儲(chǔ)相關(guān)內(nèi)容，《聯(lián)邦個(gè)人數(shù)據(jù)法》第18 條增加第5 款使用本地?cái)?shù)據(jù)庫(kù)。 但本地化存儲(chǔ)不意味著絕對(duì)禁止流動(dòng)。 根據(jù)《聯(lián)邦個(gè)人數(shù)據(jù)法》第12 條第1 款和第2 款，俄羅斯作為《108 號(hào)公約》的簽署國(guó)可以與其他締約國(guó)之間進(jìn)行數(shù)據(jù)傳輸。 公約以外能夠給予同等保護(hù)的國(guó)家采用白名單制度。 向不能給予同等保護(hù)的國(guó)家傳輸數(shù)據(jù)可在第4 款規(guī)定的情形下進(jìn)行④https：/ /mp.weixin.qq.com/s/jbMw_6NUK_1nwRJvRzImlg.翻譯來(lái)自蘇州信息安全法學(xué)所。。 該種規(guī)制路徑實(shí)現(xiàn)了對(duì)數(shù)據(jù)流動(dòng)各環(huán)節(jié)的嚴(yán)格把控，加強(qiáng)政府的執(zhí)法權(quán)和對(duì)數(shù)據(jù)資源的控制力，有力保護(hù)了國(guó)家數(shù)據(jù)主權(quán)，但也會(huì)對(duì)外國(guó)互聯(lián)網(wǎng)企業(yè)的運(yùn)營(yíng)造成負(fù)面影響，比如2019 年和2020 年對(duì)Facebook 和Twitter 的兩度罰款。過(guò)于嚴(yán)苛的本地化措施可能使得外國(guó)企業(yè)望而卻步，不利于本國(guó)企業(yè)與境外企業(yè)之間的技術(shù)交流，對(duì)GDP 也可能產(chǎn)生負(fù)面影響。

三、 跨境數(shù)據(jù)流動(dòng)的國(guó)際監(jiān)管與合作

(一)區(qū)域規(guī)則

APEC《隱私框架》是亞太地區(qū)第一份關(guān)于跨境數(shù)據(jù)流動(dòng)的文件，強(qiáng)調(diào)數(shù)據(jù)自由流動(dòng)和個(gè)人隱私保護(hù)，提供最低隱私保護(hù)標(biāo)準(zhǔn)，促進(jìn)亞太地區(qū)電子商務(wù)的發(fā)展。 2012 年美國(guó)主導(dǎo)并參與的APEC 跨境隱私規(guī)則體系(Cross-Border Privacy Rules，以下簡(jiǎn)稱(chēng)CBPRs)正式啟動(dòng)。 CBPRs 屬于非約束性體系，不具有強(qiáng)制力，成員經(jīng)濟(jì)體和企業(yè)自愿選擇加入，可以看作是美國(guó)行業(yè)自律模式的改良版，是非純粹的行業(yè)自律體系，涉及三方主體：隱私執(zhí)法機(jī)構(gòu)、問(wèn)責(zé)代理機(jī)構(gòu)和企業(yè)⑤成員國(guó)具有調(diào)查權(quán)和起訴權(quán)的隱私執(zhí)法機(jī)構(gòu)加入跨境隱私執(zhí)法安排，并滿(mǎn)足APEC 的9 大原則和50 項(xiàng)具體要求，擁有完全的執(zhí)法能力。 問(wèn)責(zé)代理機(jī)構(gòu)需要APEC 全體成員認(rèn)可，可以是第三方非公共機(jī)構(gòu)，有效期為一年，每年需要重新審核。 申請(qǐng)加入的企業(yè)依照問(wèn)責(zé)代理機(jī)構(gòu)提供的自評(píng)問(wèn)卷對(duì)自身制定的隱私政策進(jìn)行評(píng)估并調(diào)整以符合要求，通過(guò)問(wèn)責(zé)代理機(jī)構(gòu)的審核后可獲得認(rèn)證。。截至目前已經(jīng)有九個(gè)國(guó)家或地區(qū)加入CBPRs 體系⑥美國(guó)、日本、韓國(guó)、澳大利亞、加拿大、新加坡、中國(guó)臺(tái)北、墨西哥和菲律賓。。

(二)雙邊協(xié)議

《隱私盾協(xié)議》(EU-US Privacy Shield Framework)是《安全港協(xié)議》(EU-US Safe Harbor Framework)的替代規(guī)則⑦為解決數(shù)據(jù)跨境轉(zhuǎn)移問(wèn)題，歐美雙方于2000 年11 月達(dá)成了《安全港協(xié)議》。 2015 年10 月歐盟法院在Schrems Ⅱ案(Case C-362 /14，Maximillian Schrems v.Data Protection Commissioner)宣布2000/520 號(hào)歐盟決定(safe harbor decision)無(wú)效。 由于美歐之間經(jīng)濟(jì)的緊密聯(lián)系需要數(shù)據(jù)流動(dòng)，經(jīng)過(guò)多輪談判，雙方于2016 年達(dá)成《隱私盾協(xié)議》。，主要內(nèi)容體現(xiàn)在權(quán)力約束、規(guī)范對(duì)象、權(quán)利救濟(jì)、合作機(jī)制四個(gè)層面，具體內(nèi)容包括：美國(guó)政府書(shū)面承諾在明確的條件限制、約束和監(jiān)管下出于國(guó)家安全目的訪(fǎng)問(wèn)數(shù)據(jù)；由獨(dú)立于國(guó)家安全部門(mén)的監(jiān)察員處理移交的投訴；美國(guó)企業(yè)承擔(dān)的義務(wù)增多，如公示隱私保護(hù)政策、定期自證審查等；增加數(shù)據(jù)主體的救濟(jì)途徑；設(shè)置年度聯(lián)合審查機(jī)制等。 隱私盾協(xié)議雖然暫時(shí)解決了歐美雙方數(shù)據(jù)流動(dòng)的困境，但也存在不可忽視的問(wèn)題。 首先是法律機(jī)制，美歐雙方對(duì)個(gè)人數(shù)據(jù)保護(hù)立法存在明顯差別，二者是否真正達(dá)成踐行共識(shí)不無(wú)疑問(wèn)；其次，基于歐盟公民的投訴，數(shù)據(jù)保護(hù)機(jī)關(guān)有權(quán)進(jìn)行調(diào)查并作出中止數(shù)據(jù)流通的決定，協(xié)議的穩(wěn)定性和持續(xù)性難以保障；再次，GDPR本身涉及諸多復(fù)雜概念，EDPB 此后又發(fā)布了二十幾項(xiàng)相關(guān)指南，完全實(shí)現(xiàn)所規(guī)定的權(quán)利確屬困難。

2020 年7 月16 日，歐盟法院(CJEU)宣布了對(duì)SchremsⅡ⑧Case C-311/18 Data Protection Commissioner v.Facebook Ireland Ltd and Maximillian Schrems(“Schrems Ⅱ”).案件的裁決，認(rèn)定《隱私盾協(xié)議》的基礎(chǔ)第2016/1250 號(hào)決定無(wú)效。 美國(guó)對(duì)個(gè)人數(shù)據(jù)權(quán)利保護(hù)不充分，《隱私盾協(xié)議》不再作為美國(guó)企業(yè)將歐盟境內(nèi)個(gè)人數(shù)據(jù)傳輸至美國(guó)的法律依據(jù)。 繼《安全港協(xié)議》失效后，《隱私盾協(xié)議》再次失效。歐盟法院認(rèn)定《隱私盾協(xié)議》無(wú)效的主要考量在于對(duì)公權(quán)力的限制，涉及美國(guó)《外國(guó)情報(bào)監(jiān)控法》第7 章702 條和美國(guó)第12333 號(hào)行政令⑨https：/ /mp.weixin.qq.com/s/2jtESrr_gOM7tqbaDSuUuA.。 歐盟法院指出美國(guó)基于本國(guó)安全監(jiān)控法律規(guī)定訪(fǎng)問(wèn)外國(guó)公民個(gè)人信息的行為不受制于嚴(yán)格必要的制約，與歐盟法律規(guī)定的嚴(yán)格必要和目的成比例原則相違背①https：/ /mp.weixin.qq.com/s/WTjXYeylIBrVAtMz3PPThg.。 雖然歐盟法院肯定了SCCs 仍然有效，但對(duì)SCCs 的適用應(yīng)當(dāng)基于個(gè)案進(jìn)行評(píng)估審核，如果數(shù)據(jù)進(jìn)口國(guó)法律無(wú)法達(dá)到充分性保護(hù)水平，公司必須提供額外的保障措施，成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)在個(gè)案審核中擁有禁止數(shù)據(jù)傳輸?shù)臋?quán)利，給SCCs 的適用增加了更多的不確定性。 大型企業(yè)或跨國(guó)公司為避免風(fēng)險(xiǎn)可以在歐盟境內(nèi)設(shè)立存儲(chǔ)服務(wù)器，但對(duì)于中小企業(yè)而言成本過(guò)高，如若無(wú)法有效應(yīng)對(duì)還面臨巨額罰款的風(fēng)險(xiǎn)。 除此之外，第49 條特殊情況下的減損是否可以作為商業(yè)活動(dòng)的常規(guī)或持續(xù)性的數(shù)據(jù)轉(zhuǎn)移的依據(jù)尚存疑問(wèn)。

(三)貿(mào)易協(xié)定

美韓自由貿(mào)易協(xié)定電子商務(wù)章節(jié)第15.8 條明確雙方應(yīng)努力避免對(duì)電子信息跨境流動(dòng)設(shè)置或維持不必要的障礙。附件金融服務(wù)部分規(guī)定②US-Korea FTA，Annex 13-B Section B.締約方應(yīng)允許金融機(jī)構(gòu)在正常業(yè)務(wù)范圍進(jìn)行數(shù)據(jù)跨境傳輸以達(dá)到數(shù)據(jù)處理的目的。

美墨加協(xié)定增加了數(shù)字貿(mào)易的內(nèi)容。 第19.11 條原則上禁止采用限制或禁止數(shù)據(jù)自由流動(dòng)的措施，但允許為實(shí)現(xiàn)合法公共政策目標(biāo)的例外。 第19.12 條不得以使用境內(nèi)計(jì)算機(jī)設(shè)施作為開(kāi)展業(yè)務(wù)的條件表明了反對(duì)數(shù)據(jù)本地化的立場(chǎng)。協(xié)定多次提及對(duì)美國(guó)主導(dǎo)的APEC 隱私體系的承認(rèn)，比如第19.14 條b 款、第19.8 條第2 款，目前三國(guó)均已加入APEC 的CBPRs 體系。 第19.18 條首次提出公開(kāi)政府?dāng)?shù)據(jù)，表明其有助于經(jīng)濟(jì)和社會(huì)發(fā)展，與美國(guó)追求數(shù)據(jù)經(jīng)濟(jì)價(jià)值的理念相符。 金融服務(wù)章節(jié)第17.17 條、第17.18 條對(duì)信息傳輸?shù)囊?guī)定設(shè)置了例外情形和前提條件，規(guī)制相對(duì)嚴(yán)格。

《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》電子商務(wù)章節(jié)第14.11.2 條明確了數(shù)據(jù)跨境傳輸成員方的義務(wù)。 第14.13.2 條限制了數(shù)據(jù)本地化措施的適用。 法定例外情形體現(xiàn)在第14.11.3條和第14.13.3 條，立法結(jié)構(gòu)采取原則+例外的方式，借鑒了WTO 的《服務(wù)貿(mào)易總協(xié)定》第14 條和《關(guān)稅與貿(mào)易總協(xié)定》第20 條的表述，但對(duì)合法公共政策目標(biāo)的含義并未確定，亦未列舉，增加了適用的不確定性。

2020 年11 月15 日簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership，以下簡(jiǎn)稱(chēng)RCEP)第十二章電子商務(wù)涉及了跨境數(shù)據(jù)流動(dòng)的內(nèi)容③http：/ /fta.mofcom.gov.cn/rcep/rcep_new.shtml.，第14 條計(jì)算設(shè)施位置的規(guī)定限制了數(shù)據(jù)本地化措施，第15 條允許因商業(yè)行為通過(guò)電子方式傳輸信息，同時(shí)也明確了締約方實(shí)現(xiàn)合法公共政策目標(biāo)以及保護(hù)其基本安全利益的例外，兼顧了國(guó)家安全與經(jīng)濟(jì)發(fā)展的雙重需求。 此外，第八章服務(wù)貿(mào)易附件一金融服務(wù)第9 條也規(guī)定了對(duì)金融數(shù)據(jù)的轉(zhuǎn)移與信息處理。 RCEP 并無(wú)歐美國(guó)家參與，在歐美主導(dǎo)數(shù)據(jù)流動(dòng)規(guī)則話(huà)語(yǔ)權(quán)的背景下，RCEP 為發(fā)展中國(guó)家的跨境數(shù)據(jù)流動(dòng)合作提供了新思路和新前景④https：/ /mp.weixin.qq.com/s/nUrPxtG4LnCxwv6yKHRy3g.。

四、 跨境數(shù)據(jù)流動(dòng)法律規(guī)制的特點(diǎn)

雖然跨境數(shù)據(jù)流動(dòng)的法律規(guī)制呈現(xiàn)國(guó)內(nèi)法與國(guó)際法并行的現(xiàn)狀，但各國(guó)國(guó)內(nèi)法規(guī)制仍占據(jù)主要地位。 不同國(guó)家之間的規(guī)制模式差異較大，其根本原因在于立法價(jià)值目標(biāo)的選擇，或注重個(gè)人數(shù)據(jù)權(quán)利保護(hù)，或強(qiáng)調(diào)產(chǎn)業(yè)競(jìng)爭(zhēng)發(fā)展，或維護(hù)數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)安全。 目標(biāo)選擇的背后原因又往往取決于本國(guó)數(shù)字產(chǎn)業(yè)的發(fā)展和競(jìng)爭(zhēng)實(shí)力。 競(jìng)爭(zhēng)力強(qiáng)的國(guó)家的企業(yè)往往是數(shù)據(jù)的控制者和處理者，競(jìng)爭(zhēng)力較弱的國(guó)家的用戶(hù)更多是數(shù)據(jù)信息的提供者。 因此暫時(shí)處于弱勢(shì)地位的國(guó)家往往會(huì)出于經(jīng)濟(jì)戰(zhàn)略布局或可能的個(gè)人數(shù)據(jù)泄露和國(guó)家安全風(fēng)險(xiǎn)的考量，對(duì)數(shù)據(jù)流動(dòng)進(jìn)行程度不一的限制。

雙邊規(guī)制模式如SCCs、《隱私盾協(xié)議》等，在協(xié)議雙方對(duì)數(shù)據(jù)保護(hù)機(jī)制和流動(dòng)規(guī)制路徑存在較大差異的情況下，可能只能滿(mǎn)足某一階段的數(shù)據(jù)流動(dòng)需求，《安全港協(xié)議》和《隱私盾協(xié)議》的相繼失效，以及SCCs 適用的不確定性和煩瑣性體現(xiàn)了這一模式的弊端。 區(qū)域規(guī)制模式以APEC 隱私框架為代表，成員國(guó)自愿加入CBPRs 體系，機(jī)制較為靈活，但至今只有9 個(gè)國(guó)家或地區(qū)加入CBPRs 體系，并且全部都是美國(guó)的盟友，取得CBPRs 認(rèn)證的企業(yè)數(shù)量?jī)H為35 家，其中有3 家日本公司，其余均為美國(guó)公司⑤http：/ /cbprs.org/compliance-directory/cbpr-system/.，美國(guó)通過(guò)區(qū)域規(guī)則構(gòu)建較低數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)以試圖減弱歐盟GDPR 影響力的成果尚不甚理想。貿(mào)易協(xié)定中涉及電子商務(wù)、金融服務(wù)的數(shù)據(jù)傳輸規(guī)定逐漸增多，典型如美墨加協(xié)定、美韓自由貿(mào)易協(xié)定、全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定、RCEP 等，但規(guī)定都較為模糊，具體實(shí)施中可能存在困難。 從多邊規(guī)制模式來(lái)看，全球范圍內(nèi)尚缺少統(tǒng)一的數(shù)據(jù)(隱私)保護(hù)共識(shí)和規(guī)則標(biāo)準(zhǔn)，數(shù)據(jù)跨境監(jiān)管與合作也缺少權(quán)威性的全球機(jī)構(gòu)進(jìn)行協(xié)調(diào)。 WTO 框架下的《服務(wù)貿(mào)易總協(xié)定》被多數(shù)學(xué)者認(rèn)為適合規(guī)制跨境數(shù)據(jù)流動(dòng)，跨境交付模式往往需要數(shù)據(jù)流動(dòng)，但規(guī)定過(guò)于模糊，WTO 全球合作模式仍有待探索。

此外，從規(guī)制的數(shù)據(jù)類(lèi)型來(lái)看，以個(gè)人數(shù)據(jù)為主，對(duì)其他類(lèi)型數(shù)據(jù)的規(guī)定較少。 歐盟《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》旨在明確歐盟境內(nèi)可以自由遷移此類(lèi)數(shù)據(jù)，但對(duì)非個(gè)人數(shù)據(jù)的跨境流動(dòng)并未涉及。 美國(guó)對(duì)于金融服務(wù)、高新技術(shù)數(shù)據(jù)、信用報(bào)告等特定領(lǐng)域的非個(gè)人數(shù)據(jù)流動(dòng)則設(shè)置了嚴(yán)格的出境要求⑥非個(gè)人數(shù)據(jù)如13556 號(hào)行政命令形成的受控非秘信息清單(Controlled Unclassified Information，簡(jiǎn)稱(chēng)CUI)列出的17 個(gè)門(mén)類(lèi)數(shù)據(jù)。。 貿(mào)易協(xié)定中對(duì)于金融數(shù)據(jù)、政府?dāng)?shù)據(jù)等非個(gè)人數(shù)據(jù)已有涉及，但數(shù)量少，規(guī)定較為原則。 總體上非個(gè)人數(shù)據(jù)的跨境流動(dòng)尚未形成明確規(guī)制模式。

五、 我國(guó)跨境數(shù)據(jù)流動(dòng)的法律規(guī)制

(一)國(guó)內(nèi)法層面

1. 國(guó)內(nèi)立法現(xiàn)狀

《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》公布之前，我國(guó)在諸多領(lǐng)域如包括醫(yī)藥、金融、人口健康、征信、關(guān)鍵信息基礎(chǔ)設(shè)施等，已有涉及數(shù)據(jù)方面的立法，側(cè)重維護(hù)數(shù)據(jù)主權(quán)和國(guó)家安全，具體體現(xiàn)在《網(wǎng)絡(luò)安全法》第37 條、《征信管理?xiàng)l例》第24 條、《保險(xiǎn)機(jī)構(gòu)開(kāi)業(yè)信息化建設(shè)驗(yàn)收指引》第3 項(xiàng)、《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作通知》第6 條等等。 總體上立法層級(jí)不一，不同行業(yè)領(lǐng)域存在較大差異，呈現(xiàn)分散化與碎片化的特征。 為明確數(shù)據(jù)跨境流動(dòng)的具體實(shí)施細(xì)則，網(wǎng)信辦相繼發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》，但配套措施存在規(guī)制主體不一致、數(shù)據(jù)分類(lèi)定性不明、規(guī)制模式單一等問(wèn)題，目前尚未落地，實(shí)施日期待定。

2020 年7 月和10 月發(fā)布的《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》體現(xiàn)了我國(guó)將數(shù)據(jù)和個(gè)人信息分類(lèi)監(jiān)管的特點(diǎn)。 前者側(cè)重?cái)?shù)據(jù)安全保障，維護(hù)國(guó)家數(shù)據(jù)主權(quán)，后者聚焦個(gè)人信息權(quán)益保護(hù)，促進(jìn)信息有序流動(dòng)。 同時(shí)《數(shù)據(jù)安全法(草案)》對(duì)數(shù)據(jù)的定義規(guī)定為任何以電子或者非電子形式對(duì)信息的記錄①《數(shù)據(jù)安全法(草案)》第3 條。，其適用客體的范圍類(lèi)型涵蓋了《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法(草案)》。 《數(shù)據(jù)安全法(草案)》尚未設(shè)立專(zhuān)章規(guī)制跨境數(shù)據(jù)流動(dòng)，相關(guān)規(guī)定體現(xiàn)在管轄權(quán)、監(jiān)管體系、數(shù)據(jù)分級(jí)分類(lèi)、安全審查、風(fēng)險(xiǎn)評(píng)估、出口管制等方面②《數(shù)據(jù)安全法(草案)》第2、19、20、22、23、24、33 條等。。 《個(gè)人信息保護(hù)法(草案)》首次設(shè)專(zhuān)章明確了個(gè)人信息跨境流動(dòng)規(guī)則，不同于《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》，《個(gè)人信息保護(hù)法(草案)》對(duì)向境外傳輸個(gè)人信息的要求有所放寬：符合第40 條規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者以及處理個(gè)人信息達(dá)到網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，需要通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估③《個(gè)人信息保護(hù)法(草案)》第40 條。，符合《網(wǎng)絡(luò)安全法》第37 條保護(hù)國(guó)家安全和公共利益的需求一致；在安全評(píng)估之外，第38 條還設(shè)置了經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證以及通過(guò)簽訂合同監(jiān)督信息接收方的處理活動(dòng)達(dá)到草案規(guī)定的信息保護(hù)標(biāo)準(zhǔn)等路徑④《個(gè)人信息保護(hù)法(草案)》第37 條。；第39 條明確了境外傳輸信息的告知加單獨(dú)同意要求，單獨(dú)同意作為新增形式要求設(shè)置了更高的標(biāo)準(zhǔn)；第41 條因國(guó)際司法協(xié)助或行政執(zhí)法協(xié)助向境外提供個(gè)人信息的規(guī)定與《數(shù)據(jù)安全法(草案)》第33 條以及《國(guó)際刑事司法協(xié)助法》的思路基本一致，2020 年9 月8 日全球數(shù)字治理研討會(huì)提出的《全球數(shù)據(jù)安全倡議》⑤https：/ /mp.weixin.qq.com/s/v6P8ygHuhr7ZUh1eZ_hw5Q.尊重他國(guó)主權(quán)、司法管轄權(quán)和對(duì)數(shù)據(jù)的管理權(quán)，不得直接向企業(yè)或個(gè)人調(diào)取位于他國(guó)的數(shù)據(jù)。 應(yīng)通過(guò)司法協(xié)助等渠道解決執(zhí)法跨境數(shù)據(jù)調(diào)取需求。亦表明類(lèi)似立場(chǎng)；第43 條的對(duì)等原則同《數(shù)據(jù)安全法(草案)》第24 條體現(xiàn)的立法精神相同；管轄權(quán)上，草案第3 條以屬地管轄為基礎(chǔ)，并規(guī)定了特殊情形下的域外適用效力，與GDPR 的管轄規(guī)定基本一致。 《數(shù)據(jù)安全法(草案)》第2 條和《網(wǎng)絡(luò)安全法》第75 條也有追究境外數(shù)據(jù)活動(dòng)法律責(zé)任的規(guī)定。 對(duì)于監(jiān)管部門(mén)的設(shè)置與《數(shù)據(jù)安全法(草案)》第7 條和《網(wǎng)絡(luò)安全法》第8 條相協(xié)調(diào)。 職責(zé)分工上突出了網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)的作用，其他部門(mén)在其所轄領(lǐng)域內(nèi)發(fā)揮職能作用。 總體而言，形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》為核心的數(shù)據(jù)規(guī)制法律架構(gòu)。 跨境數(shù)據(jù)流動(dòng)的規(guī)制立場(chǎng)以維護(hù)國(guó)家安全為核心，個(gè)人信息保護(hù)和數(shù)據(jù)開(kāi)發(fā)利用并重。

2. 立法尚存問(wèn)題及建議

(1)數(shù)據(jù)分級(jí)分類(lèi)保護(hù)標(biāo)準(zhǔn)不明確

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(草案)》《個(gè)人信息保護(hù)法(草案)》未作出較為明確的規(guī)定。 《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》附錄A 列舉了27 個(gè)行業(yè)的重要數(shù)據(jù)范圍，附錄B 針對(duì)個(gè)人數(shù)據(jù)和重要數(shù)據(jù)出境對(duì)個(gè)人權(quán)益和公共利益影響劃分了等級(jí)判定⑥《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》附錄A 重要數(shù)據(jù)識(shí)別指南，附錄B.1 評(píng)估個(gè)人信息出境對(duì)個(gè)人權(quán)益產(chǎn)生的影響等級(jí)，B.2 評(píng)估重要數(shù)據(jù)出境對(duì)國(guó)家安全、社會(huì)公共利益產(chǎn)生的影響等級(jí)。，具有規(guī)范指引的作用，適用范圍有限。 目前尚未形成較為系統(tǒng)的框架標(biāo)準(zhǔn)。

對(duì)于特定領(lǐng)域或行業(yè)的重要數(shù)據(jù)，可單獨(dú)制定分級(jí)分類(lèi)指引，可參考證監(jiān)會(huì)《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》、中國(guó)人民銀行《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》等，結(jié)合特定領(lǐng)域或行業(yè)的數(shù)據(jù)特征進(jìn)行細(xì)分歸類(lèi)，并從數(shù)據(jù)影響對(duì)象、影響程度、影響范圍、數(shù)據(jù)一般特征、數(shù)據(jù)級(jí)別標(biāo)識(shí)方面制定數(shù)據(jù)安全定級(jí)參考表，進(jìn)行梯度化處理。

對(duì)非屬于特定領(lǐng)域或行業(yè)的其他數(shù)據(jù)大體劃分為政府一般數(shù)據(jù)、商業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)。 政府一般數(shù)據(jù)在確保安全的前提下可以流動(dòng)；商業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)原則上可以自由流動(dòng)，但涉及商業(yè)秘密以及個(gè)人敏感信息等情形則需要限制或禁止流動(dòng)。 對(duì)每一大類(lèi)型下的數(shù)據(jù)，結(jié)合數(shù)據(jù)內(nèi)容、監(jiān)管難度、安全風(fēng)險(xiǎn)、處理技術(shù)、是否可能影響公共利益的要素綜合考量，細(xì)分?jǐn)?shù)據(jù)等級(jí)。 對(duì)不同級(jí)別的數(shù)據(jù)設(shè)置基本保護(hù)、一般保護(hù)、具體保護(hù)、嚴(yán)格保護(hù)，制定與數(shù)據(jù)級(jí)別相對(duì)應(yīng)的監(jiān)管和保護(hù)措施。

(2)未對(duì)獨(dú)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)的設(shè)置做出規(guī)定⑦h(yuǎn)ttps：/ /mp.weixin.qq.com/s/9kn744cDW-FBMevCFSCp1Q.

網(wǎng)信部門(mén)雖具有統(tǒng)籌協(xié)調(diào)的作用，但監(jiān)管工作的實(shí)施可能涉及多個(gè)部門(mén)，各部門(mén)的監(jiān)管職責(zé)界限劃分尚不明晰，有可能出現(xiàn)職責(zé)交叉或者監(jiān)管缺失的情形，分散式的監(jiān)管模式可能難以滿(mǎn)足復(fù)雜的執(zhí)法需求。 從國(guó)際經(jīng)驗(yàn)來(lái)看，歐盟、澳大利亞、俄羅斯、日本等均具備獨(dú)立的數(shù)據(jù)監(jiān)管或保護(hù)機(jī)構(gòu)。擁有獨(dú)立地位和執(zhí)法能力的數(shù)據(jù)監(jiān)管機(jī)構(gòu)是衡量國(guó)家數(shù)據(jù)保護(hù)水平的重要因素，也可幫助國(guó)家參與國(guó)際數(shù)據(jù)保護(hù)與隱私專(zhuān)員大會(huì)的交流和合作。 可以參照GDPR 設(shè)置全國(guó)數(shù)據(jù)保護(hù)委員會(huì)，或者明確由網(wǎng)信辦承擔(dān)這一職責(zé)，賦予其監(jiān)管權(quán)和執(zhí)法權(quán)，包括數(shù)據(jù)出境的安全評(píng)估、審查跨境傳輸合同條款、對(duì)違規(guī)和侵犯信息權(quán)益行為的行政調(diào)查權(quán)和處罰權(quán)等。

(3)對(duì)數(shù)據(jù)進(jìn)口方的數(shù)據(jù)保護(hù)能力評(píng)估的立法層級(jí)較低

已有的相關(guān)規(guī)定主要體現(xiàn)在《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》中，對(duì)數(shù)據(jù)接收方所在國(guó)家或區(qū)域的政治法律環(huán)境評(píng)估依照個(gè)人數(shù)據(jù)和重要數(shù)據(jù)兩種情況區(qū)分對(duì)待，并對(duì)保障能力劃分了高、中、低三個(gè)等級(jí)⑧《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》附錄B 個(gè)人信息和重要數(shù)據(jù)出境安全風(fēng)險(xiǎn)評(píng)估方法B.3.3 評(píng)估接收方所在國(guó)家或區(qū)域的政治法律環(huán)境。。 在此基礎(chǔ)上，可以參照GDPR 第45 條的規(guī)定，以法律形式明確列舉審查標(biāo)準(zhǔn)，對(duì)達(dá)到我國(guó)數(shù)據(jù)和信息保護(hù)水平的國(guó)家建立正面清單(白名單)，積極與之談判。 對(duì)不在正面清單的國(guó)家可以設(shè)置其他限制條件，比如審查境外數(shù)據(jù)處理者的隱私規(guī)則是否到保護(hù)標(biāo)準(zhǔn)、與數(shù)據(jù)處理者簽訂標(biāo)準(zhǔn)條款格式合同、設(shè)置嚴(yán)格明確的例外條款等。

(二)國(guó)際法層面

國(guó)際交流與合作層面，我國(guó)持積極參與數(shù)據(jù)安全和個(gè)人信息保護(hù)國(guó)際規(guī)則制定、促進(jìn)數(shù)據(jù)跨境安全自由流動(dòng)、推動(dòng)標(biāo)準(zhǔn)互認(rèn)①《數(shù)據(jù)安全法(草案)》第10 條、《個(gè)人信息保護(hù)法(草案)》第12 條。的立場(chǎng)。 高水準(zhǔn)的跨境數(shù)據(jù)流動(dòng)規(guī)制可以幫助國(guó)家擴(kuò)大在國(guó)際數(shù)字貿(mào)易規(guī)則領(lǐng)域的影響力。 以歐盟和美國(guó)為代表的發(fā)達(dá)國(guó)家都在爭(zhēng)奪規(guī)則的主導(dǎo)權(quán)，我國(guó)在該領(lǐng)域的國(guó)際話(huà)語(yǔ)權(quán)尚不強(qiáng)。 中澳和中韓自由貿(mào)易協(xié)定僅涉及數(shù)據(jù)信息保護(hù)的原則性規(guī)定，未規(guī)定數(shù)據(jù)跨境流動(dòng)的內(nèi)容未彩玉，未參與CBPRs 區(qū)域性規(guī)則體系，RCEP 已有關(guān)于數(shù)據(jù)(信息)傳輸和處理的規(guī)定，具體如何實(shí)施有待締約方進(jìn)一步明確。 目前以安全評(píng)估制度和本地化存儲(chǔ)為主的相對(duì)保守的規(guī)制方式對(duì)我國(guó)數(shù)字貿(mào)易發(fā)展不利，我國(guó)有必要以前瞻性的戰(zhàn)略布局參與國(guó)際合作，嘗試構(gòu)建符合我國(guó)利益的規(guī)則，主動(dòng)通過(guò)雙邊或多邊協(xié)商建立信任機(jī)制，借助亞太自由貿(mào)易區(qū)，“一帶一路”等平臺(tái)進(jìn)行磋商與合作。 可由網(wǎng)信辦、商務(wù)部、外交部共同參與談判工作，與我國(guó)數(shù)據(jù)保護(hù)水平相近或規(guī)制目標(biāo)類(lèi)似的國(guó)家或地區(qū)達(dá)成共識(shí)。 與保護(hù)機(jī)制完善、標(biāo)準(zhǔn)較高的國(guó)家進(jìn)行談判時(shí)可以參照《隱私盾協(xié)議》達(dá)成階段性合作，形成數(shù)據(jù)流動(dòng)雙向監(jiān)管體系。 同時(shí)為保障合作的可持續(xù)性，不至于出現(xiàn)類(lèi)似《隱私盾協(xié)議》無(wú)效的情形，國(guó)內(nèi)法和出境企業(yè)內(nèi)部的數(shù)據(jù)合規(guī)也要不斷更新完善，盡量達(dá)到充分性保護(hù)等類(lèi)似要求。 在與他國(guó)協(xié)商時(shí)也需要考量中國(guó)出境企業(yè)的利益訴求，如果設(shè)置過(guò)于嚴(yán)苛的標(biāo)準(zhǔn)，其他國(guó)家可能采取對(duì)等措施，給我國(guó)企業(yè)發(fā)展帶來(lái)負(fù)面影響。 在不會(huì)對(duì)國(guó)家安全利益造成損害且保證數(shù)據(jù)安全的前提下，仍應(yīng)當(dāng)以促進(jìn)數(shù)據(jù)流動(dòng)為目標(biāo)，繁榮數(shù)字市場(chǎng)。 此外，對(duì)于可能出現(xiàn)的管轄權(quán)沖突問(wèn)題，在立足平等對(duì)話(huà)和數(shù)據(jù)主權(quán)獨(dú)立的前提下，可以適當(dāng)讓渡管轄權(quán)，結(jié)合國(guó)際私法中的屬地管轄原則、效果管轄原則、最密切聯(lián)系原則、不方便法院原則等解決可能出現(xiàn)的管轄沖突。