張奕欣，王一楠，陳繼鑫，呂欣潤

(1.國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,北京 100029;2.北京德恒律師事務(wù)所,北京 100031)

隨著經(jīng)濟(jì)全球化與信息技術(shù)的發(fā)展，全球數(shù)字經(jīng)濟(jì)和跨境電子商務(wù)迅速發(fā)展，引起了全球范圍內(nèi)的數(shù)據(jù)流動(dòng)。作為數(shù)字經(jīng)濟(jì)時(shí)代的“石油”，數(shù)據(jù)具有極大的商業(yè)價(jià)值和經(jīng)濟(jì)價(jià)值，國家間的數(shù)據(jù)跨境流動(dòng)更具有特殊性，不僅關(guān)乎數(shù)據(jù)主體權(quán)利和數(shù)據(jù)安全，還關(guān)乎國家利益、國家主權(quán)和安全。因而，為防范數(shù)據(jù)跨境流動(dòng)中存在的各種風(fēng)險(xiǎn)，各國均積極立法規(guī)范數(shù)據(jù)的跨境流動(dòng)。

面對域外多樣的數(shù)據(jù)跨境立法，中國政府應(yīng)當(dāng)如何應(yīng)對，如何選擇適合自身的立法模式，這就成為當(dāng)下亟待解決的重要問題?；诖?，筆者以個(gè)人數(shù)據(jù)跨境流動(dòng)為主要研究對象，聚焦數(shù)據(jù)跨境流動(dòng)的法律內(nèi)涵，即立法語境下“數(shù)據(jù)”和數(shù)據(jù)“跨境”的基本內(nèi)涵，討論域外數(shù)據(jù)跨境流動(dòng)的法律規(guī)制，梳理典型國家和區(qū)域組織的數(shù)據(jù)跨境流動(dòng)法律規(guī)范，討論我國數(shù)據(jù)跨境流動(dòng)的規(guī)制現(xiàn)狀及問題，為我國完善數(shù)據(jù)跨境流動(dòng)的法律規(guī)制提出對策建議。

一、數(shù)據(jù)跨境流動(dòng)的法律內(nèi)涵

根據(jù)2021年6月10日通過的《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)第3條可知，數(shù)據(jù)是指“任何以電子或者其他方式對信息的記錄”?？梢钥闯?，數(shù)據(jù)有兩個(gè)特征：其一，數(shù)據(jù)必須要表達(dá)某種信息，并具有一定的內(nèi)容；其二，數(shù)據(jù)是能夠被客觀體現(xiàn)的外在形式。然而，并非所有的跨境“數(shù)據(jù)”和數(shù)據(jù)“跨境”行為都將受到法律規(guī)制，數(shù)據(jù)跨境流動(dòng)的法律內(nèi)涵需要進(jìn)行明確界定。

(一)跨境“數(shù)據(jù)”的法律內(nèi)涵

1.我國立法中跨境數(shù)據(jù)的內(nèi)涵

國家網(wǎng)信辦于2017年4月發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》(以下簡稱《評(píng)估辦法》)，將我國所規(guī)范的出境數(shù)據(jù)分為“個(gè)人信息”和“重要數(shù)據(jù)”兩大類。

就個(gè)人信息而言，《評(píng)估辦法》第17條將其定義為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息”；2021年8月公布的《中華人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)人信息保護(hù)法》)將其定義為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。從中可以看出，跨境個(gè)人信息的法律內(nèi)涵為：首先，個(gè)人信息與自然人相關(guān)聯(lián)，無論是“已識(shí)別”從特定自然人到信息之間的關(guān)聯(lián)還是“可識(shí)別”從信息準(zhǔn)確識(shí)別或追蹤特定自然人的關(guān)聯(lián)；其次，個(gè)人信息不包括經(jīng)過匿名化處理后的信息。個(gè)人信息是我國數(shù)據(jù)跨境流動(dòng)規(guī)制的主要對象。

就重要數(shù)據(jù)部分而言，國家網(wǎng)信辦于2019年6月發(fā)布的《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》(以下簡稱《新評(píng)估辦法》)刪除了“重要數(shù)據(jù)”部分；之后出臺(tái)的《數(shù)據(jù)安全法》要求加強(qiáng)對重要數(shù)據(jù)的保護(hù)，但沒有界定何為重要數(shù)據(jù)，其他法律也未有規(guī)定。2021年10月，國家網(wǎng)信辦發(fā)布《數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》(以下簡稱《數(shù)安評(píng)估辦法》)就重要數(shù)據(jù)出境申報(bào)、數(shù)據(jù)出境安全評(píng)估及評(píng)估時(shí)網(wǎng)信辦征求相關(guān)行業(yè)主管部門意見進(jìn)行規(guī)定。但重要數(shù)據(jù)的界定原則、保護(hù)內(nèi)容等均仍有疑問。值得一提的是，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2017年5月發(fā)布了《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南(草案)》(以下簡稱《評(píng)估指南》)，將重要數(shù)據(jù)定義為相關(guān)組織、機(jī)構(gòu)和個(gè)人在境內(nèi)收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))，并以列舉的方式提出了不同行業(yè)(領(lǐng)域)重要數(shù)據(jù)的范圍。盡管《評(píng)估指南》并非嚴(yán)格意義上的法律，但其將重要數(shù)據(jù)按不同行業(yè)所屬列成了清單，具有較強(qiáng)的參考指導(dǎo)意義。

2.外國立法中跨境數(shù)據(jù)的內(nèi)涵

世界其他主要國家或地區(qū)對于數(shù)據(jù)的規(guī)范也主要集中在“個(gè)人數(shù)據(jù)”層面上。歐盟將個(gè)人對其數(shù)據(jù)的處分權(quán)賦予“基本人權(quán)”的價(jià)值屬性，重視對個(gè)人數(shù)據(jù)的保護(hù)[1]。歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)第4條與我國《個(gè)人信息保護(hù)法》對個(gè)人信息的界定高度相似，均強(qiáng)調(diào)“已識(shí)別”和“可識(shí)別”這兩個(gè)重要屬性。英國《數(shù)據(jù)保護(hù)法》、日本《個(gè)人信息保護(hù)法》、俄羅斯《個(gè)人數(shù)據(jù)保護(hù)法》、非盟《網(wǎng)絡(luò)安全個(gè)人數(shù)據(jù)保護(hù)條約》等立法也均將個(gè)人數(shù)據(jù)定義為具有客觀可識(shí)別性的自然人信息(1)參見Federal Law No.152-FZ of July 27, 2006 on Personal Data Article 3.1; African Union Convention on Cyber Security and Personal Data Protection Article 1。。

此外，歐洲議會(huì)于2018年通過了《非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例》，將“非個(gè)人數(shù)據(jù)”定義為“GDPR第4條第(1)點(diǎn)界定的個(gè)人數(shù)據(jù)以外的數(shù)據(jù)”?！稓W盟非個(gè)人數(shù)據(jù)自由流動(dòng)框架條例指南》則對非個(gè)人數(shù)據(jù)進(jìn)行了更為詳細(xì)的界定，認(rèn)為非個(gè)人數(shù)據(jù)包括“最初已確認(rèn)或可確認(rèn)的與自然人無關(guān)的數(shù)據(jù)”。

3.個(gè)人數(shù)據(jù)的“可識(shí)別性”

通過整理和比較全球主流的立法體系可以看出，目前數(shù)據(jù)跨境立法中關(guān)于跨境數(shù)據(jù)的保護(hù)范圍主要聚焦于個(gè)人數(shù)據(jù)。而在互聯(lián)網(wǎng)經(jīng)濟(jì)與電子商務(wù)的發(fā)展背景下，個(gè)人數(shù)據(jù)的“可識(shí)別性”之界定受到挑戰(zhàn)。

個(gè)人信息按其內(nèi)容可劃分為直接信息與間接信息。直接信息即直接來源于人身的各項(xiàng)信息，包括姓名、性別、年齡、身份證號(hào)等可以直接識(shí)別到具體的數(shù)據(jù)主體的信息。因此，直接信息無疑符合各國數(shù)據(jù)跨境法律所規(guī)制的對象要求。

然而，某些企業(yè)經(jīng)營者，尤其是電子商務(wù)企業(yè)，在業(yè)務(wù)經(jīng)營中會(huì)收集諸如用戶的設(shè)備信息和服務(wù)日志信息等間接信息。間接信息是否屬于個(gè)人信息，存在一定爭議。從立法規(guī)范來看，我國《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273-2020)將個(gè)人上網(wǎng)記錄和個(gè)人常用設(shè)備信息列入個(gè)人信息范圍之內(nèi)，并指出個(gè)人信息控制者通過個(gè)人信息或其他信息加工處理后形成的信息，例如用戶畫像或特征標(biāo)簽，能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的，應(yīng)屬于個(gè)人信息。歐盟GDPR第3.2(b)條明確將監(jiān)控?cái)?shù)據(jù)主體活動(dòng)軌跡的行為納入了該法所規(guī)制的范圍，同時(shí)也在其第4(4)條將“用戶畫像”納入了所規(guī)制的數(shù)據(jù)范疇。

實(shí)務(wù)中，關(guān)于間接信息是否應(yīng)被歸入個(gè)人信息范圍的典型案例為朱燁訴百度侵犯隱私權(quán)案(2)參見江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)民事判決書。。該案二審法院判決認(rèn)為，網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，因此不再屬于個(gè)人信息范疇。

總體而言，目前全球主流的立法中都將跨境收集、處理直屬于個(gè)人的直接信息納入跨境數(shù)據(jù)的規(guī)制范圍。反應(yīng)個(gè)人網(wǎng)絡(luò)活動(dòng)軌跡、興趣愛好、消費(fèi)傾向等內(nèi)容的間接信息是否屬于個(gè)人信息仍然存在一定爭議。

(二)數(shù)據(jù)跨境行為的法律內(nèi)涵

數(shù)據(jù)因其特有的屬性，往往并沒有類似于貨物出口跨境的現(xiàn)實(shí)交付，同時(shí)又因?yàn)槠湫畔膶儆谝粐用窕驀抑鳈?quán)而具有屬人特征，因此數(shù)據(jù)跨境可能存在多種表現(xiàn)形式，其法律內(nèi)涵需要加以界定。

1.我國立法語境下的數(shù)據(jù)跨境

我國對于數(shù)據(jù)出境問題的管轄原則目前兼具屬人和屬地管轄。對于跨境數(shù)據(jù)的產(chǎn)生端，《評(píng)估辦法》與《評(píng)估指南》的規(guī)定保持一致，要求數(shù)據(jù)產(chǎn)生端必須在中國境內(nèi)。對于跨境數(shù)據(jù)的接收端，上述兩部規(guī)范性文件存在一定差異?！对u(píng)估辦法》堅(jiān)持與產(chǎn)生端一致的屬地原則，規(guī)定數(shù)據(jù)接收端為“位于境外的機(jī)構(gòu)、組織、個(gè)人”，即無論接收端系中國居民或外國居民，只要位于中國境外即構(gòu)成數(shù)據(jù)跨境行為并受到法律規(guī)制?！对u(píng)估指南》則突破單一的屬地管轄原則，兼顧屬人管轄，接收端只要是“境外機(jī)構(gòu)、組織或個(gè)人”則構(gòu)成數(shù)據(jù)跨境行為(3)根據(jù)《評(píng)估辦法》第17條的規(guī)定，“數(shù)據(jù)出境，是指網(wǎng)絡(luò)運(yùn)營者將在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，提供給位于境外的機(jī)構(gòu)、組織、個(gè)人”。根據(jù)《評(píng)估指南》第3.6條的規(guī)定，“數(shù)據(jù)跨境，是指網(wǎng)絡(luò)運(yùn)營者通過網(wǎng)絡(luò)等方式，將其在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外機(jī)構(gòu)、組織或個(gè)人的一次性活動(dòng)或連續(xù)性活動(dòng)”。。此外，《新評(píng)估辦法》在數(shù)據(jù)的產(chǎn)生端保持了屬地管轄原則，而數(shù)據(jù)的接收端則并未明確釋明管轄原則(4)《新評(píng)估辦法》第2條并未對數(shù)據(jù)跨境進(jìn)行直接定義，而是表述為“網(wǎng)絡(luò)運(yùn)營者向境外提供在中華人民共和國境內(nèi)運(yùn)營中收集的個(gè)人信息(以下稱個(gè)人信息出境)”。。之后的《數(shù)安評(píng)估辦法》基本采用了同樣的表述。

上述規(guī)范文件均尚未產(chǎn)生實(shí)質(zhì)性的約束效力。可以看到，《評(píng)估辦法》和《評(píng)估指南》對數(shù)據(jù)跨境行為的認(rèn)定盡管有所不同，但邊界較為清晰，即屬地或兼具屬人與屬地。而《新評(píng)估辦法》則采取了模糊化的表述，對數(shù)據(jù)跨境的接收端僅作出了概括性規(guī)定。因此，探究其他國家的規(guī)范體系，有助于引導(dǎo)跨境電商企業(yè)充分認(rèn)識(shí)數(shù)據(jù)跨境行為，也可為我國立法推進(jìn)帶來借鑒參考。

2.代表性國家立法規(guī)范中的數(shù)據(jù)跨境行為

(1)歐盟國家立法規(guī)范的數(shù)據(jù)跨境行為

歐盟在GDPR中規(guī)定了其所調(diào)整的數(shù)據(jù)跨境行為，對于數(shù)據(jù)跨境行為產(chǎn)生端和接收端均采取屬地原則?？梢?，GDPR對于數(shù)據(jù)跨境行為的界定與《評(píng)估辦法》基本一致。2018年，歐洲數(shù)據(jù)保護(hù)委員會(huì)(EDPB)發(fā)布了《關(guān)于GDPR地域管轄的指引》，從設(shè)立標(biāo)準(zhǔn)和目的標(biāo)準(zhǔn)兩個(gè)角度重新解讀了GDPR對數(shù)據(jù)跨境的管轄，并給出實(shí)例，還通過補(bǔ)充修訂排除了非特定為歐盟境內(nèi)開展業(yè)務(wù)而產(chǎn)生的數(shù)據(jù)跨境行為。

綜上所述，歐盟GDPR的立法與我國以及很多其他國家及國際組織整體在同一維度，但其通過“打補(bǔ)丁”的方式不斷修正對于數(shù)據(jù)跨境的界定，解決了很多企業(yè)在實(shí)踐操作中的疑惑。

(2)OECD所規(guī)范的數(shù)據(jù)跨境行為

早在1980年，經(jīng)合組織(OECD)就提出了跨境數(shù)據(jù)流動(dòng)執(zhí)行原則，2013年的《隱私框架》第1.e)條將個(gè)人數(shù)據(jù)跨境行為定義為“跨越國境的個(gè)人數(shù)據(jù)移動(dòng)”[2]。具體來說，即指位于一國或地區(qū)領(lǐng)土內(nèi)的行為人將數(shù)據(jù)共享、傳輸、披露給位于第三國或地區(qū)的第三方[3]。OECD所調(diào)整的數(shù)據(jù)跨境行為與《評(píng)估辦法》基本一致，均強(qiáng)調(diào)數(shù)據(jù)產(chǎn)生端和接收端的屬地屬性。

(3)俄羅斯立法所規(guī)范的數(shù)據(jù)跨境行為

俄羅斯《個(gè)人數(shù)據(jù)保護(hù)法》將數(shù)據(jù)跨境闡述為“將數(shù)據(jù)流通至外國領(lǐng)土、外國政府部門、外國自然人或外國法律實(shí)體”。該法出臺(tái)于2006年，因此，對于數(shù)據(jù)跨境行為的認(rèn)定與全球主流立法存在一定程度的差異，該條沒有限定數(shù)據(jù)跨境的產(chǎn)生端。此外，該法對于數(shù)據(jù)跨境接收端的管轄范圍較之《評(píng)估辦法》、GDPR等法律均更為寬泛。數(shù)據(jù)接收端不僅有“外國領(lǐng)土”這一屬地概念，還有“外國政府、自然人、法人”等屬人概念。產(chǎn)生端和接收端雙重的寬泛，將無疑使得俄羅斯本地企業(yè)以及外國企業(yè)在從事有關(guān)俄羅斯業(yè)務(wù)時(shí)面臨較為繁重的數(shù)據(jù)跨境合規(guī)義務(wù)。

通過比較代表性國家關(guān)于數(shù)據(jù)跨境行為的規(guī)定，可以總結(jié)出數(shù)據(jù)跨境行為指的是產(chǎn)生于一國境內(nèi)的各種信息，被轉(zhuǎn)移到境外或可被境外主體接觸的行為。全球?qū)?shù)據(jù)跨境的界定則呈現(xiàn)出產(chǎn)生端以屬地為主，接收端則存在屬人、屬地及兼具屬人與屬地等多種模式。

二、數(shù)據(jù)跨境流動(dòng)的域外規(guī)制模式

明確數(shù)據(jù)跨境流動(dòng)的法律內(nèi)涵，是進(jìn)行數(shù)據(jù)跨境流動(dòng)法律規(guī)制的前提。概覽域外數(shù)據(jù)跨境流動(dòng)的法律規(guī)制，主要表現(xiàn)為三種趨勢，即以歐盟為代表的“充分保護(hù)”與限制流動(dòng)模式、以美國為代表的行業(yè)自律與自由流動(dòng)模式和以俄羅斯為代表的數(shù)據(jù)主權(quán)與本地化存儲(chǔ)模式。不同規(guī)制模式蘊(yùn)含了各國對數(shù)據(jù)跨境流動(dòng)規(guī)制的不同價(jià)值取向，也是其推廣自身數(shù)據(jù)跨境流動(dòng)規(guī)則、爭奪國際話語權(quán)的表現(xiàn)。

(一)“充分保護(hù)”與限制流動(dòng)：以歐盟為代表

歐盟將個(gè)人數(shù)據(jù)作為人權(quán)來保護(hù)，側(cè)重?cái)?shù)據(jù)接收國需要達(dá)到歐盟對數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)?！俺浞直Ｗo(hù)”與限制流動(dòng)模式是指數(shù)據(jù)輸出國認(rèn)定第三國或國際組織能夠提供充分或?qū)Φ缺Ｗo(hù)后，會(huì)將其放入許可的白色清單中，個(gè)人數(shù)據(jù)可以自由傳輸至白色清單中的第三國或國際組織。歐盟、新加坡、新西蘭等國家或地區(qū)的立法中均規(guī)定了“充分保護(hù)”[4]。歐盟是“充分保護(hù)”與限制流動(dòng)模式最為典型的代表。

2018年5月25日，GDPR正式生效，被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)條例”。GDPR第五章規(guī)定了數(shù)據(jù)跨境流動(dòng)的基本原則與具體規(guī)則，形成了以“充分保護(hù)”標(biāo)準(zhǔn)為核心、以適當(dāng)保障措施和例外情形為補(bǔ)充的多重保障機(jī)制。

1.“充分保護(hù)”標(biāo)準(zhǔn)

GDPR第45條第1款規(guī)定了“充分保護(hù)”標(biāo)準(zhǔn)，在2015年Schrems Ⅰ案中，歐盟法院將充分保護(hù)界定為“基于第三國國內(nèi)法和所做的國際承諾，數(shù)據(jù)保護(hù)達(dá)到與歐盟必要相等程度水平”，即第三國可以采取與歐盟不同的數(shù)據(jù)保護(hù)方式，但應(yīng)證明其保護(hù)措施能達(dá)到與歐盟必要相當(dāng)程度的保護(hù)水平[5]。

第三國是否達(dá)到“充分保護(hù)”標(biāo)準(zhǔn)由歐盟委員會(huì)進(jìn)行認(rèn)定，且至少四年審查一次，實(shí)踐中，在判斷“充分保護(hù)”標(biāo)準(zhǔn)時(shí)，歐盟委員會(huì)傾向于個(gè)案認(rèn)定，即采用情境分析的方法對每個(gè)申請主體的情況進(jìn)行個(gè)案裁判[5]。第三國通過“充分性”認(rèn)定后，歐盟各國的個(gè)人數(shù)據(jù)可以自由跨境傳輸至該第三國，既利于保護(hù)歐盟各國的個(gè)人數(shù)據(jù)，也利于雙方的數(shù)據(jù)自由跨境流動(dòng)。

2.適當(dāng)保障措施和法定例外情形

由于歐盟個(gè)人數(shù)據(jù)保護(hù)的重視程度和標(biāo)準(zhǔn)較高，導(dǎo)致進(jìn)入“充分保護(hù)”白名單的國家較少。鑒于全球化時(shí)代數(shù)據(jù)跨境流動(dòng)的需要，對于未進(jìn)入“充分保護(hù)”白名單的國家，GDPR規(guī)定數(shù)據(jù)控制者或處理者可以通過采取適當(dāng)保障措施或基于例外情形實(shí)現(xiàn)歐盟各國個(gè)人數(shù)據(jù)向第三國或國際組織的跨境傳輸。

適當(dāng)保障指的是數(shù)據(jù)控制者或處理者在未達(dá)到“充分保護(hù)”標(biāo)準(zhǔn)的情況下，如果提供了適當(dāng)保障，且數(shù)據(jù)主體獲得可強(qiáng)制執(zhí)行的數(shù)據(jù)主體權(quán)利和有效法律救濟(jì)，就可以跨境傳輸數(shù)據(jù)[6]。根據(jù)GDPR的規(guī)定，適當(dāng)保障措施可分為需監(jiān)管機(jī)構(gòu)特別授權(quán)和不需監(jiān)管機(jī)構(gòu)特別授權(quán)的保障措施[7]，不同主體可以根據(jù)自身情況靈活選擇。此外，GDPR還規(guī)定了向第三國或國際組織傳輸個(gè)人數(shù)據(jù)的7種法定例外情形，以滿足數(shù)據(jù)跨境流動(dòng)的現(xiàn)實(shí)需要。

綜上所述，GDPR所規(guī)定的適當(dāng)保障措施和例外情形旨在保護(hù)個(gè)人數(shù)據(jù)的同時(shí)促進(jìn)數(shù)據(jù)的跨境流動(dòng)，實(shí)現(xiàn)數(shù)據(jù)跨境流動(dòng)保護(hù)、限制與自由的平衡。

3.非個(gè)人數(shù)據(jù)歐盟內(nèi)自由流動(dòng)

2018年10月4日，歐洲議會(huì)通過了《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》(以下簡稱《條例》)。《條例》從禁止歐盟各國數(shù)據(jù)本地化與促進(jìn)數(shù)據(jù)無障礙遷移兩方面出發(fā)，力圖實(shí)現(xiàn)歐盟單一市場內(nèi)非個(gè)人數(shù)據(jù)的自由流動(dòng)與利用。《條例》賦予了各成員國報(bào)告、廢止數(shù)據(jù)本地化相關(guān)規(guī)定的義務(wù)，同時(shí)積極促進(jìn)非個(gè)人數(shù)據(jù)的跨境遷移，鼓勵(lì)和促進(jìn)歐盟層面制定自律行為守則?！稐l例》旨在消除歐盟范圍內(nèi)的非個(gè)人數(shù)據(jù)自由流動(dòng)的地域障礙，實(shí)現(xiàn)非個(gè)人數(shù)據(jù)在歐盟各成員國內(nèi)的高度自由流動(dòng)，以推動(dòng)形成歐盟單一數(shù)字市場，促進(jìn)歐盟數(shù)字經(jīng)濟(jì)的發(fā)展。

總而言之，歐盟形成了一套“內(nèi)外有別”的數(shù)據(jù)跨境流動(dòng)體系：無論是個(gè)人數(shù)據(jù)還是非個(gè)人數(shù)據(jù)，歐盟均積極推動(dòng)數(shù)據(jù)在歐盟范圍內(nèi)的自由流動(dòng)，而對數(shù)據(jù)流向歐盟范圍以外設(shè)置了限制性標(biāo)準(zhǔn)。

GDPR對世界范圍內(nèi)的數(shù)據(jù)跨境流動(dòng)規(guī)則具有較強(qiáng)影響力，成為各國進(jìn)行數(shù)據(jù)保護(hù)立法的參考模板。許多國家都依照GDPR規(guī)則完善數(shù)據(jù)保護(hù)機(jī)制，以期達(dá)到GDPR規(guī)定的“充分保護(hù)”標(biāo)準(zhǔn)。例如，韓國于2016年修訂了《個(gè)人信息保護(hù)法》，并積極與歐盟委員會(huì)談判，希望能借此加入“充分性認(rèn)定”白色清單[8]。

(二)行業(yè)自律與自由流動(dòng)：以美國為代表

不同于歐盟限制數(shù)據(jù)自由跨境流動(dòng)、提高個(gè)人數(shù)據(jù)的保護(hù)水平，美國的數(shù)據(jù)跨境流動(dòng)規(guī)制以行業(yè)自律為核心，注重?cái)?shù)據(jù)的經(jīng)濟(jì)效益和自由流動(dòng)。此外，美國積極參與雙邊或多邊協(xié)議合作，謀求國家間的數(shù)據(jù)自由跨境流動(dòng)和自由貿(mào)易、增強(qiáng)自身的全球數(shù)據(jù)話語權(quán)。

1.行業(yè)自律模式

美國深刻地意識(shí)到數(shù)字時(shí)代的數(shù)據(jù)價(jià)值，追求經(jīng)濟(jì)利益和國家利益。在此背景下，美國在聯(lián)邦層面并未形成統(tǒng)一的數(shù)據(jù)保護(hù)法，而是采取行業(yè)自律模式進(jìn)行數(shù)據(jù)保護(hù)，鼓勵(lì)放寬數(shù)據(jù)跨境流動(dòng)的限制。在諸多場景中將個(gè)人數(shù)據(jù)視為商業(yè)活動(dòng)中消費(fèi)者保護(hù)問題，由行業(yè)內(nèi)部制定數(shù)據(jù)跨境流動(dòng)的相關(guān)規(guī)范，利于在尊重市場發(fā)展規(guī)律的基礎(chǔ)上推動(dòng)數(shù)據(jù)自由跨境傳輸，實(shí)現(xiàn)“數(shù)據(jù)石油”的占有和利用。

相應(yīng)的，美國沒有統(tǒng)一的針對數(shù)據(jù)跨境流動(dòng)的數(shù)據(jù)保護(hù)法，其有關(guān)數(shù)據(jù)跨境流動(dòng)的立法分散于重點(diǎn)特定領(lǐng)域，限制重要數(shù)據(jù)出口，包括醫(yī)療健康、教育、兒童隱私、金融等領(lǐng)域的數(shù)據(jù)(5)例如，美國《健康保險(xiǎn)攜帶和責(zé)任法》規(guī)定了醫(yī)療健康數(shù)據(jù)的跨境傳輸；《外國投資風(fēng)險(xiǎn)審查現(xiàn)代化法案》則將涉及關(guān)鍵或敏感數(shù)據(jù)的美國企業(yè)做出的特定非控股外國投資納入安全審查范圍。。此外，美國積極通過立法推動(dòng)國家間的數(shù)據(jù)自由流動(dòng)。例如，《澄清合法使用海外數(shù)據(jù)法》(CLOUD法案)確立了數(shù)據(jù)控制者標(biāo)準(zhǔn)，賦予了美國政府調(diào)取存儲(chǔ)于他國境內(nèi)數(shù)據(jù)的合法權(quán)利[9]，即不論數(shù)據(jù)是否存儲(chǔ)在美國境內(nèi)，只要該數(shù)據(jù)為美國公民或企業(yè)所控制，通信服務(wù)商就應(yīng)當(dāng)向美國披露該數(shù)據(jù)信息。

總而言之，美國的數(shù)據(jù)跨境流動(dòng)規(guī)制以促進(jìn)數(shù)據(jù)自由跨境傳輸為宗旨，以經(jīng)濟(jì)利益和自由貿(mào)易為導(dǎo)向，采取行業(yè)自律模式進(jìn)行數(shù)據(jù)保護(hù)，同時(shí)限制重要領(lǐng)域數(shù)據(jù)的跨境流動(dòng)，呈現(xiàn)出自治性、分散性、靈活性的特點(diǎn)。

2.通過雙邊或多邊合作協(xié)議建立國際數(shù)據(jù)跨境流動(dòng)規(guī)則

為推動(dòng)國家間的數(shù)據(jù)自由流動(dòng)，美國積極開展雙邊或多邊對話與合作，通過雙邊和多邊合作達(dá)成國家之間數(shù)據(jù)流動(dòng)的制度安排，試圖引導(dǎo)國際數(shù)據(jù)跨境流動(dòng)規(guī)則的建立。

(1)美歐：從“安全港”到“隱私盾”

如上所述，歐美的數(shù)據(jù)保護(hù)理念與制度設(shè)計(jì)存在差異，這種差異導(dǎo)致雙方的數(shù)據(jù)流動(dòng)存在障礙。出于經(jīng)濟(jì)往來和經(jīng)濟(jì)利益的需要，美國與歐盟先后簽訂了《美歐安全港協(xié)議》和《歐美隱私盾協(xié)議》，形成了數(shù)據(jù)跨境流動(dòng)的合作機(jī)制。

《美歐安全港協(xié)議》規(guī)定了雙方信息傳輸、數(shù)據(jù)存儲(chǔ)等內(nèi)容。美國企業(yè)加入該協(xié)議并按要求作出相應(yīng)承諾，即可被認(rèn)為達(dá)到歐盟指令標(biāo)準(zhǔn)，歐盟各國的個(gè)人數(shù)據(jù)便可傳輸至美國境內(nèi)進(jìn)行存儲(chǔ)或處理[10]?！睹罋W安全港協(xié)議》為美國與歐盟各國搭建了數(shù)據(jù)跨境流動(dòng)的合法渠道，緩解了雙方數(shù)據(jù)流動(dòng)的限制問題。

受到“棱鏡門”事件和利益沖突的影響，歐盟法院于2015年宣布《美歐安全港協(xié)議》失效。2016年，美國與歐盟重新談判并簽署了《歐美隱私盾協(xié)議》，在保留《美歐安全港協(xié)議》的基礎(chǔ)之上，增加了更多保障性內(nèi)容，例如，禁止美國官方監(jiān)控獲取歐盟成員國公民個(gè)人信息、建立年度審查機(jī)制等[11]。

然而，2020年7月，歐盟法院對Schrems II案作出最終判決，直接宣布《歐美隱私盾協(xié)議》無效，同時(shí)對GDPR第46條規(guī)定的其他數(shù)據(jù)跨境流動(dòng)的常規(guī)途徑提出了更高的標(biāo)準(zhǔn)和要求，包括標(biāo)準(zhǔn)合同條款、有約束力的企業(yè)規(guī)則等?！稓W美隱私盾協(xié)議》失效和歐盟數(shù)據(jù)跨境傳輸?shù)母邩?biāo)準(zhǔn)，導(dǎo)致美歐之間的數(shù)據(jù)跨境傳輸陷入了新的僵局和困境。

從“安全港”到“隱私盾”再到“隱私盾”破裂，美國與歐盟的數(shù)據(jù)跨境流動(dòng)協(xié)議反映了雙方在差異中尋求合作的妥協(xié)。然而，雙方在數(shù)據(jù)保護(hù)差異上的利益合作具有極大的不穩(wěn)定性，可能需要不斷的談判與妥協(xié)。

(2)美韓協(xié)定與美墨加協(xié)定

除歐盟之外，美國還積極尋求與其他國家達(dá)成數(shù)據(jù)跨境流動(dòng)協(xié)議。2012年，美國與韓國簽署《美韓自由貿(mào)易協(xié)定》，第一次將數(shù)據(jù)跨境流動(dòng)引入自由貿(mào)易協(xié)定[11]，其中第15條第8款規(guī)定美韓應(yīng)“盡力避免對電子信息跨境流動(dòng)施加或保持不必要的障礙”。2020年，美國、墨西哥與加拿大簽發(fā)《美國-墨西哥-加拿大協(xié)定》，其中第19條規(guī)定締約國遵守亞太經(jīng)合組織的隱私跨境規(guī)則，約定三方不得禁止或限制數(shù)據(jù)跨境傳輸。

(3)引導(dǎo)區(qū)域規(guī)則的建立

此外，美國也活躍于引導(dǎo)建立數(shù)據(jù)跨境流動(dòng)的國際規(guī)則。美國引導(dǎo)亞太經(jīng)合組織(APEC)先后通過了《隱私框架》和《跨境隱私規(guī)則體系》(CPBR)。2004年，美國促成APEC通過《隱私框架》，規(guī)定了個(gè)人隱私/數(shù)據(jù)保護(hù)的九大原則，其中第69條明確規(guī)定了“應(yīng)避免限制成員國之間的個(gè)人信息跨境流動(dòng)”。2013年，APEC通過CPBR，規(guī)定若成員國承諾遵守《隱私框架》的九項(xiàng)原則，則個(gè)人數(shù)據(jù)可以在成員國之間自由流動(dòng)，而無需受到其他限制。

2015年，在美國的主導(dǎo)下，12個(gè)國家達(dá)成《跨太平洋戰(zhàn)略經(jīng)濟(jì)伙伴協(xié)定》(TPP)，TPP鼓勵(lì)數(shù)據(jù)自由跨境流動(dòng)，禁止數(shù)據(jù)本地化，帶有明顯的美國特點(diǎn)。由于擔(dān)心受到貨幣操縱的影響，美國于2017年宣布退出TPP，但TPP對數(shù)據(jù)跨境流動(dòng)的影響仍在持續(xù)[11]。2017年12月，以TPP為基礎(chǔ)框架的《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)生效(6)CPTPP的成員國為除美國外的原TPP的11個(gè)成員國：日本、澳大利亞、文萊、加拿大、智利、馬來西亞、墨西哥、新西蘭、秘魯、新加坡和越南。。CPTPP電子商務(wù)篇章承繼了TPP中禁止數(shù)據(jù)本地化的原則，認(rèn)為各成員國應(yīng)在能夠?qū)崿F(xiàn)合法公共政策目標(biāo)的前提下，盡可能不限制商業(yè)行為的跨境電子信息傳輸。

綜上所述，美國數(shù)據(jù)跨境流動(dòng)規(guī)制以鼓勵(lì)數(shù)據(jù)自由跨境流動(dòng)為宗旨，主要包含以行業(yè)自律模式進(jìn)行數(shù)據(jù)保護(hù)和積極參與國際合作以增強(qiáng)數(shù)據(jù)話語權(quán)兩個(gè)方面。

(三)數(shù)據(jù)主權(quán)與數(shù)據(jù)本地化模式：以俄羅斯為代表

數(shù)據(jù)本地化是指政府通過制定法律政策等方式將數(shù)據(jù)保留在本國境內(nèi)，屬于數(shù)據(jù)跨境流動(dòng)的一種限制性政策。數(shù)據(jù)本地化并不等于禁止跨境數(shù)據(jù)流動(dòng)，在滿足數(shù)據(jù)本地化政策規(guī)定的要求后，數(shù)據(jù)可在允許范圍內(nèi)進(jìn)行跨境流動(dòng)[12]。數(shù)據(jù)本地化是注重?cái)?shù)據(jù)安全、數(shù)據(jù)主權(quán)和國家安全的體現(xiàn)，因而，大部分國家都在不同程度上采取了數(shù)據(jù)本地化措施，俄羅斯就是強(qiáng)調(diào)數(shù)據(jù)本地化存儲(chǔ)的國家之一。

俄羅斯的數(shù)據(jù)跨境流動(dòng)規(guī)制重視數(shù)據(jù)主權(quán)與國家安全，強(qiáng)調(diào)數(shù)據(jù)的本地化存儲(chǔ)，在保護(hù)個(gè)人數(shù)據(jù)與國家利益的基礎(chǔ)上限制數(shù)據(jù)的自由跨境流動(dòng)。俄羅斯在數(shù)據(jù)領(lǐng)域具有完備的立法，其立法長期關(guān)注國家、國防和軍事安全，并建立了完善的數(shù)據(jù)本地化規(guī)則。

首先，《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》第12條規(guī)定了數(shù)據(jù)跨境流動(dòng)的基本規(guī)則：數(shù)據(jù)跨境以本地化存儲(chǔ)為前提，在符合法定情形時(shí)可以跨境傳輸，此外，俄羅斯也存在類似歐盟的“白名單”制度，允許數(shù)據(jù)在法律規(guī)定的范圍內(nèi)跨境流動(dòng)。其次，俄羅斯建立了較為完善的數(shù)據(jù)本地化制度，其數(shù)據(jù)本地化規(guī)范主要包含于《俄羅斯聯(lián)邦個(gè)人數(shù)據(jù)法》《關(guān)于信息、信息技術(shù)和信息保護(hù)法》和《聯(lián)邦行政處罰法修正案》等法律中，涉及個(gè)人數(shù)據(jù)的存儲(chǔ)、處理和對數(shù)據(jù)本地化違法行為的行政處罰等各個(gè)方面。

總體而言，俄羅斯在建立以《108號(hào)公約》、白名單和法定例外情形為主要內(nèi)容的數(shù)據(jù)跨境規(guī)制體系之外，重視數(shù)據(jù)本地化規(guī)則的建立，限制個(gè)人數(shù)據(jù)的自由流動(dòng)。俄羅斯在數(shù)據(jù)本地化存儲(chǔ)方面的要求比美國和歐盟更為嚴(yán)格，數(shù)據(jù)跨境流動(dòng)程度較之歐盟和美國則相對更低。

俄羅斯的數(shù)據(jù)跨境規(guī)制模式實(shí)現(xiàn)了本國數(shù)據(jù)的本地化存儲(chǔ)、處理和監(jiān)督，既利于保護(hù)公民隱私權(quán)，又利于維護(hù)數(shù)據(jù)主權(quán)、數(shù)據(jù)安全和國家安全。然而，數(shù)據(jù)本地化措施會(huì)為國際貿(mào)易與國際合作設(shè)置障礙，增加企業(yè)負(fù)擔(dān)與經(jīng)濟(jì)成本，不利于境內(nèi)外貿(mào)易往來和數(shù)字經(jīng)濟(jì)的發(fā)展。因此，如何平衡數(shù)據(jù)本地化限制與數(shù)據(jù)自由流動(dòng)，是俄羅斯數(shù)據(jù)跨境流動(dòng)需要關(guān)注的重點(diǎn)。

三、我國數(shù)據(jù)跨境流動(dòng)的規(guī)制現(xiàn)狀及問題

數(shù)字經(jīng)濟(jì)時(shí)代，我國的數(shù)據(jù)圈快速增長，數(shù)據(jù)對經(jīng)濟(jì)發(fā)展、人民生活、國家和社會(huì)治理的意義也越來越重要，我國對數(shù)據(jù)跨境流動(dòng)的法律規(guī)制也越來越重視，相關(guān)立法規(guī)范不斷出臺(tái)。但縱觀我國數(shù)據(jù)跨境流動(dòng)規(guī)制現(xiàn)狀，立法體系不完善、數(shù)據(jù)治理能力有待提高、國際合作參與度低等問題仍較為突出。

(一)我國數(shù)據(jù)跨境流動(dòng)的規(guī)制現(xiàn)狀

1.立法現(xiàn)狀

我國數(shù)據(jù)跨境流動(dòng)的有關(guān)立法呈現(xiàn)出現(xiàn)行有效法律、征求意見稿和草案兼具的特點(diǎn)，其中重要立法主要包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《新評(píng)估辦法》等法律規(guī)范。

《網(wǎng)絡(luò)安全法》首次規(guī)定了數(shù)據(jù)跨境流動(dòng)的法律要求，確立了對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)本地化存儲(chǔ)及數(shù)據(jù)跨境傳輸?shù)陌踩u(píng)估要求(7)《網(wǎng)絡(luò)安全法》第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！薄ｋS后，國家網(wǎng)信辦于2017年4月發(fā)布了《評(píng)估辦法》，規(guī)定了網(wǎng)絡(luò)運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)本地化存儲(chǔ)及數(shù)據(jù)跨境傳輸?shù)陌踩u(píng)估要求(8)《評(píng)估辦法》第2條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照本辦法進(jìn)行安全評(píng)估。”。《評(píng)估辦法》堅(jiān)持?jǐn)?shù)據(jù)本地化存儲(chǔ)要求，規(guī)定了數(shù)據(jù)出境的安全評(píng)估重點(diǎn)內(nèi)容，但并未制定評(píng)估部門和具體化評(píng)估標(biāo)準(zhǔn)，在實(shí)踐操作上仍存在一定的障礙。

2019年6月，國家網(wǎng)信辦發(fā)布了《新評(píng)估辦法》，規(guī)定安全評(píng)估的主體為省級(jí)網(wǎng)信部門，重點(diǎn)評(píng)估內(nèi)容新增了“合同能否得到有效執(zhí)行”一項(xiàng)要求，該合同是指“網(wǎng)絡(luò)運(yùn)營者與個(gè)人信息接收者簽訂的合同或者其他有法律效力的文件(統(tǒng)稱合同)”。此外，《新評(píng)估辦法》規(guī)定境外主體即使在境內(nèi)無商業(yè)實(shí)體，在境內(nèi)收集的個(gè)人信息出境時(shí)，也需要申報(bào)并經(jīng)有關(guān)部門評(píng)估批準(zhǔn)?！缎略u(píng)估辦法》明確了政府評(píng)估部門，評(píng)估標(biāo)準(zhǔn)更為細(xì)致，且增加了評(píng)估“數(shù)據(jù)控制者和接收者的協(xié)議”這一重要內(nèi)容，借鑒了GDPR的相關(guān)規(guī)定。

2021年6月10日通過的《數(shù)據(jù)安全法》表明了我國促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)的態(tài)度，但沒有制定數(shù)據(jù)跨境的具體規(guī)則，僅僅規(guī)定重要數(shù)據(jù)的出境安全管理辦法由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定，即《數(shù)據(jù)安全法》的出臺(tái)并未改變我國數(shù)據(jù)跨境立法不完善的現(xiàn)狀。但可以預(yù)見的是，《數(shù)據(jù)安全法》中確立的數(shù)據(jù)分類分級(jí)保護(hù)制度必將成為我國數(shù)據(jù)跨境法律規(guī)制的基礎(chǔ)。

2021年8月20日，《個(gè)人信息保護(hù)法》正式通過，于同年11月1日起施行。該法第三章專門規(guī)定了個(gè)人信息跨境的相關(guān)規(guī)則，主要包括三部分：第一，個(gè)人信息處理者向境外提供個(gè)人信息，可以通過經(jīng)國家網(wǎng)信部門安全評(píng)估、經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證和與境外接收方訂立合同等方式(9)《個(gè)人信息保護(hù)法》第38條第1款規(guī)定：“個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列條件之一：(一)依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估；(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；(三)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件?！薄２⑶?，個(gè)人信息處理者應(yīng)采取保障境外接收方處理個(gè)人信息的活動(dòng)達(dá)到該法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)的必要措施。第二，個(gè)人信息處理者向境外提供個(gè)人信息的，應(yīng)向個(gè)人告知信息出境相關(guān)情況并取得其“單獨(dú)同意”。第三，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)；確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評(píng)估?！秱€(gè)人信息保護(hù)法》區(qū)分了普通的個(gè)人信息處理者、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到一定數(shù)量的個(gè)人信息運(yùn)營者，對后者提出數(shù)據(jù)本地化和出境安全評(píng)估的特別要求，并明確了普通個(gè)人信息處理者向境外提供個(gè)人信息的要求。除以上法律規(guī)范外，我國有關(guān)數(shù)據(jù)跨境流動(dòng)的規(guī)范還分散于專門立法或行業(yè)規(guī)范之中(10)例如，我國《征信管理?xiàng)l例》規(guī)定，征信數(shù)據(jù)和數(shù)據(jù)處理應(yīng)在我國境內(nèi)進(jìn)行；《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》指出，在我國境內(nèi)收集的個(gè)人金融信息應(yīng)在境內(nèi)進(jìn)行存儲(chǔ)處理和分析。。

綜合我國有關(guān)數(shù)據(jù)跨境流動(dòng)的現(xiàn)行有效法律、草案和征求意見稿，可以預(yù)計(jì)我國未來將形成以《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為核心、以評(píng)估辦法為具體要求、重點(diǎn)領(lǐng)域?qū)ｉT規(guī)范的數(shù)據(jù)跨境流動(dòng)規(guī)制體系。我國現(xiàn)行有效法律強(qiáng)調(diào)數(shù)據(jù)本地化存儲(chǔ)和出境安全評(píng)估，而《個(gè)人信息保護(hù)法》規(guī)定的數(shù)據(jù)本地化政策則更為柔性：對于普通個(gè)人信息處理者而言，主管部門的安全評(píng)估是其中一種選擇，個(gè)人信息處理者可以選擇合同協(xié)議等其他方式向境外傳輸個(gè)人信息；對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到一定數(shù)量的個(gè)人信息運(yùn)營者，數(shù)據(jù)出境安全評(píng)估則是必然要求。《個(gè)人信息保護(hù)法》的數(shù)據(jù)本地化規(guī)定兼顧了個(gè)人信息的保護(hù)和利用，合理設(shè)置了數(shù)據(jù)出境的限制條件。

2.國際合作

在數(shù)據(jù)跨境流動(dòng)的雙邊或多邊合作方面，我國作為APEC成員國，加入了APEC《隱私框架》，但并未加入APEC《跨境隱私規(guī)則體系》(CPBR)。此外，在我國加入的自由貿(mào)易協(xié)定之中，《中韓自由貿(mào)易協(xié)定》和《中澳自由貿(mào)易協(xié)定》涉及個(gè)人信息和數(shù)據(jù)保護(hù)，但兩份協(xié)定均僅就采取措施保護(hù)電商用戶個(gè)人信息達(dá)成共識(shí)，并未有具體的保護(hù)規(guī)則和數(shù)據(jù)跨境、數(shù)據(jù)流動(dòng)的相關(guān)內(nèi)容。

2020年11月，我國與日本、韓國、澳大利亞、新西蘭及東盟十國共同簽署了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(RCEP)。RCEP第十二章規(guī)定的電子商務(wù)致力于在亞太區(qū)域內(nèi)達(dá)成廣泛適用的電子商務(wù)規(guī)則，提出締約國應(yīng)在線上個(gè)人信息保護(hù)、非應(yīng)邀商業(yè)電子信息監(jiān)管等領(lǐng)域進(jìn)行合作。尤其是該章第15條關(guān)于通過電子方式跨境傳輸信息，明確各締約方不得阻止受協(xié)定約束的主體為進(jìn)行商業(yè)行為而通過電子方式跨境傳輸信息。但RCEP既沒有明確“商業(yè)行為”以及“信息”的概念和范圍，也沒有規(guī)定違反“不得阻止”義務(wù)的后果。此外，還規(guī)定了三類例外情形，即監(jiān)管例外、合法公共政策例外和基本安全例外，給予了各國極大的自由裁量權(quán)(11)此處的“監(jiān)管例外”指RCEP第15條第1款的規(guī)定，即“締約方認(rèn)識(shí)到每一締約方對于通過電子方式傳輸信息可能有各自的監(jiān)管要求”?！昂戏ü舱呃狻焙汀盎景踩狻狈謩e指RCEP第15條第3款的規(guī)定，即“本條的任何規(guī)定不得阻止一締約方采取或維持：(一)任何與第二款不符但該締約方認(rèn)為是其實(shí)現(xiàn)合法的公共政策目標(biāo)所必要的措施，只要該措施不以構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制的方式適用；或者(二)該締約方認(rèn)為對保護(hù)其基本安全利益所必需的任何措施。其他締約方不得對此類措施提出異議。”(參見楊署東、謝卓君：《跨境數(shù)據(jù)流動(dòng)貿(mào)易規(guī)制之例外條款：定位、范式與反思》，網(wǎng)絡(luò)首發(fā)，http://kns.cnki.net/kcms/detail/50.1023.c.20210826.1451.002.html)?？梢?，該條更傾向于為促進(jìn)亞太地區(qū)跨境電子商務(wù)發(fā)展的倡導(dǎo)性約定。

現(xiàn)今，我國正式申請加入CPTPP，這不僅有利于發(fā)展數(shù)字貿(mào)易和數(shù)字經(jīng)濟(jì)，促成我國與墨西哥、加拿大建立良好貿(mào)易關(guān)系，而且還是我國對國家間數(shù)據(jù)跨境流動(dòng)的進(jìn)一步表態(tài)。CPTPP電子商務(wù)一章第14條明確規(guī)定，“每一締約方應(yīng)允許通過電子方式跨境傳輸信息，包括個(gè)人信息，如這一活動(dòng)用于涵蓋的人開展業(yè)務(wù)”。與RCEP規(guī)定“不得阻止”的消極不作為義務(wù)相比，CPTPP采用積極作為義務(wù)的規(guī)定，明確傳輸?shù)摹靶畔ⅰ卑ā皞€(gè)人信息”，不采用“商業(yè)行為”一詞，而表述為為開展業(yè)務(wù)之目的，適用客體和場景明顯更廣。不僅如此，CPTPP規(guī)定的例外情形僅有兩類：監(jiān)管例外和范圍更窄的公共政策例外(12)此處的“監(jiān)管例外”指CPTPP第14.11.1條規(guī)定的“締約方認(rèn)識(shí)到每一締約方對通過電子方式傳輸信息可設(shè)有各自的監(jiān)管要求”?！肮舱呃狻敝窩PTPP第14.11.3條規(guī)定的“本條中任何內(nèi)容不得阻止一締約方為實(shí)現(xiàn)合法公共政策目標(biāo)而采取或維持與第2款不一致的措施，只要該措施：(a)不以構(gòu)成任意或不合理歧視或?qū)Q(mào)易構(gòu)成變相限制的方式適用；及(b)不對信息傳輸施加超出實(shí)現(xiàn)目標(biāo)所需限度的限制”。(參見楊署東、謝卓君：《跨境數(shù)據(jù)流動(dòng)貿(mào)易規(guī)則之例外條款：定位、范式與反思》，網(wǎng)絡(luò)首發(fā)，http://kns.cnki.net/kcms/detail/50.1023.c.20210826.1451.002.html)。相較于RCEP相關(guān)規(guī)定，CPTPP的內(nèi)容更明晰、確定，致力于消除各締約國電子信息自由傳輸?shù)谋趬尽５档米⒁獾氖?，雖然我國相關(guān)法律中規(guī)定可以按照中國參加的國際條約、協(xié)定條件進(jìn)行個(gè)人信息跨境流動(dòng)，但就加入CPTPP是否將會(huì)對我國國內(nèi)法的數(shù)據(jù)跨境流動(dòng)規(guī)定的具體實(shí)施產(chǎn)生影響，以及產(chǎn)生何種影響，還有待進(jìn)一步檢視(13)《個(gè)人信息保護(hù)法》第38條第2款規(guī)定：“中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個(gè)人信息的條件等有規(guī)定的，可以按照其規(guī)定執(zhí)行?！?。

(二)我國數(shù)據(jù)跨境流動(dòng)規(guī)制的主要問題

1.立法體系尚不完善

隨著我國對個(gè)人信息和數(shù)據(jù)保護(hù)的重視，有關(guān)數(shù)據(jù)跨境流動(dòng)的立法動(dòng)態(tài)愈加豐富，《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的出臺(tái)更是備受關(guān)注，然而，我國有關(guān)數(shù)據(jù)跨境流動(dòng)的立法體系仍不完善。首先，現(xiàn)行有效規(guī)范主要為《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和行業(yè)性規(guī)范，這些文件的數(shù)量雖多，但始終未形成統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)立法，規(guī)范文件效力層級(jí)總體較低，數(shù)據(jù)跨境流動(dòng)立法體系極不完善。其次，現(xiàn)行有效規(guī)范的內(nèi)容主要為概括性指導(dǎo)，未配備有效的實(shí)施細(xì)則，安全評(píng)估制度不完善，缺乏實(shí)效性。最后，現(xiàn)行有效的法律規(guī)范主要強(qiáng)調(diào)重要信息的數(shù)據(jù)本地化存儲(chǔ)和處理，不具有廣泛適用性，也不利于數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人信息的合理利用。

2.監(jiān)管體制較為混亂，數(shù)據(jù)治理能力較低

我國未建立專門的數(shù)據(jù)保護(hù)或監(jiān)督管理機(jī)構(gòu)。《網(wǎng)絡(luò)安全法》規(guī)定了行業(yè)主管或監(jiān)管部門為數(shù)據(jù)出境的安全評(píng)估機(jī)構(gòu)，分散的行業(yè)專門規(guī)范也僅規(guī)定數(shù)據(jù)出境需要安全評(píng)估。我國各行業(yè)主管或監(jiān)管部門負(fù)責(zé)本行業(yè)的數(shù)據(jù)出境安全評(píng)估，導(dǎo)致監(jiān)管體制較為混亂，數(shù)據(jù)安全與保護(hù)的治理能力較低：其一，當(dāng)各部門權(quán)責(zé)邊界不明確時(shí)，容易出現(xiàn)相互推諉、相互推脫等問題；其二，各行業(yè)主管部門標(biāo)準(zhǔn)難以統(tǒng)一，數(shù)據(jù)出境的評(píng)估標(biāo)準(zhǔn)主要依靠各部門自身判斷，容易出現(xiàn)評(píng)估標(biāo)準(zhǔn)存在不合理差異的問題?；诖?，《數(shù)安評(píng)估辦法》進(jìn)一步明確由國家網(wǎng)信部門組織行業(yè)主管部門、國務(wù)院有關(guān)部門、省級(jí)網(wǎng)信部門、專門機(jī)構(gòu)等進(jìn)行安全評(píng)估，但是具體如何組織，各方如何協(xié)調(diào)，如何保障安全評(píng)估過程的公正性和透明性，以致于為企業(yè)自查提供指引，仍留有疑問。

3.國際合作參與度低

在國際合作層面，我國尚未與他國或區(qū)域組織實(shí)現(xiàn)有效的雙邊或多邊合作。其一，我國雖然加入了APEC《隱私框架》，但該框架并不具有強(qiáng)制約束力；其二，各國都在構(gòu)建數(shù)據(jù)跨境制度，參與并試圖影響國際規(guī)則的制定，而我國才處于起步階段，尚未形成自己的穩(wěn)定策略[13]，更遑論對數(shù)據(jù)跨境國際合作的充分參與；其三，在我國與他國達(dá)成的19個(gè)自由貿(mào)易協(xié)定中，均鮮少涉及數(shù)據(jù)跨境流動(dòng)，即使有涉及也規(guī)定得較為籠統(tǒng)，缺乏具體的規(guī)則。而在中國積極加入多邊協(xié)定的實(shí)踐中，雖有機(jī)遇但也面臨新的挑戰(zhàn)：中國作為數(shù)據(jù)大國如何在RCEP和擬加入的CPTPP中化解與日本、澳大利亞和加拿大等國不同數(shù)據(jù)流動(dòng)立場的分歧，發(fā)揮自身的影響力，細(xì)化數(shù)據(jù)跨境流動(dòng)規(guī)則仍任重而道遠(yuǎn)。

我國目前極為缺乏數(shù)據(jù)跨境流動(dòng)的雙邊或多邊合作，未有效利用區(qū)域或國際平臺(tái)參與數(shù)據(jù)跨境流動(dòng)的規(guī)則制定，既難以融入國際數(shù)據(jù)跨境流動(dòng)的合作之中，又缺乏數(shù)據(jù)話語權(quán)和影響力。

四、數(shù)據(jù)跨境流動(dòng)的中國對策

面對我國數(shù)據(jù)跨境流動(dòng)規(guī)制中存在的問題，我國需要明確價(jià)值選擇，確定我國數(shù)據(jù)跨境流動(dòng)規(guī)制模式，完善立法體系，健全監(jiān)管機(jī)制，積極參與國際合作與全球規(guī)則制定，提高數(shù)據(jù)保護(hù)的綜合能力和國際影響力。

(一)數(shù)據(jù)跨境流動(dòng)規(guī)制的價(jià)值選擇

數(shù)據(jù)跨境流動(dòng)規(guī)制關(guān)乎個(gè)人權(quán)利保護(hù)、數(shù)據(jù)主權(quán)與國家安全以及經(jīng)濟(jì)效益。放眼歐盟、美國和俄羅斯對此不同的價(jià)值選擇，究其原因，可總結(jié)為歷史背景、發(fā)展要求和技術(shù)考慮等。歷史上，歐洲二戰(zhàn)后興起的人權(quán)觀念深入人心，沖擊著落后的階層等級(jí)觀念。隨著《歐洲人權(quán)公約》《歐盟基本權(quán)利憲章》等規(guī)定將個(gè)人數(shù)據(jù)權(quán)上升為歐盟成員國憲法性權(quán)利，逐漸促進(jìn)了歐盟數(shù)據(jù)跨境流動(dòng)規(guī)則以個(gè)人數(shù)據(jù)權(quán)益保護(hù)為導(dǎo)向。美國作為互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)源地，是互聯(lián)網(wǎng)技術(shù)和相關(guān)行業(yè)發(fā)展的領(lǐng)先者，其在發(fā)展過程中不斷調(diào)整自身數(shù)據(jù)保護(hù)的側(cè)重點(diǎn)：在行業(yè)探索起步階段，美國注意到計(jì)算機(jī)收集個(gè)人信息對個(gè)人隱私的侵害，從而注重保護(hù)公民個(gè)人數(shù)據(jù)和隱私；在911事件發(fā)生后，美國從中吸取教訓(xùn)，著重進(jìn)行國家安全保護(hù)，進(jìn)而推動(dòng)了國家數(shù)據(jù)安全相關(guān)立法；在2008年金融危機(jī)后，數(shù)字經(jīng)濟(jì)成為新的經(jīng)濟(jì)發(fā)展增長點(diǎn)，美國意識(shí)到了數(shù)據(jù)資源的價(jià)值，進(jìn)而致力于最大化地發(fā)揮數(shù)據(jù)的經(jīng)濟(jì)效益。俄羅斯則出于在互聯(lián)網(wǎng)技術(shù)上的相對弱勢，采用了一些美歐企業(yè)作為境內(nèi)信息網(wǎng)絡(luò)提供商，從而需要更多地從數(shù)據(jù)主權(quán)和國家安全角度出發(fā)加以考慮。

回到我國，作為發(fā)展迅速并且經(jīng)濟(jì)實(shí)力雄厚的發(fā)展中國家，在設(shè)計(jì)數(shù)據(jù)跨境流動(dòng)規(guī)制體系時(shí)，我國應(yīng)積極把握大數(shù)據(jù)時(shí)代帶來的機(jī)遇且勇于面對技術(shù)上、制度上的挑戰(zhàn)，同時(shí)也要抓住個(gè)人數(shù)據(jù)保護(hù)和維護(hù)國家安全的內(nèi)核。應(yīng)堅(jiān)持在充分保護(hù)數(shù)據(jù)主體個(gè)人權(quán)利和數(shù)據(jù)主權(quán)與安全的基礎(chǔ)上合理利用個(gè)人數(shù)據(jù)，減少不合理的數(shù)據(jù)本地化限制措施。一方面，我國要重視保護(hù)個(gè)人數(shù)據(jù)權(quán)利和維護(hù)國家安全，對于國外主體獲取我國數(shù)據(jù)提出限制性要求；另一方面，我國要接軌當(dāng)前數(shù)字經(jīng)濟(jì)和國際貿(mào)易的發(fā)展需要，合理設(shè)置數(shù)據(jù)流動(dòng)壁壘，合理賦予企業(yè)責(zé)任與義務(wù)，實(shí)現(xiàn)數(shù)據(jù)保護(hù)和利用的平衡。

總而言之，我國的數(shù)據(jù)跨境規(guī)制模式應(yīng)為保護(hù)個(gè)人與國家權(quán)益基礎(chǔ)上的限制流動(dòng)模式，與歐盟、俄羅斯的數(shù)據(jù)跨境規(guī)制模式接軌。我國應(yīng)將個(gè)人數(shù)據(jù)權(quán)益和國家主權(quán)、安全與利益作為數(shù)據(jù)跨境流動(dòng)的堅(jiān)固城墻，同時(shí)，合理設(shè)置數(shù)據(jù)跨境的限制標(biāo)準(zhǔn)、合理把控?cái)?shù)據(jù)本地化的程度，實(shí)現(xiàn)權(quán)益保護(hù)與數(shù)據(jù)自由流動(dòng)的平衡。

(二)完善立法體系，細(xì)化規(guī)范要求

首先，我國當(dāng)前有關(guān)數(shù)據(jù)跨境流動(dòng)的立法較為薄弱和分散，《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》尚不足以承擔(dān)起數(shù)據(jù)跨境流動(dòng)法律體系的頂層支撐職能，《個(gè)人信息保護(hù)法》的出臺(tái)，無疑能對個(gè)人信息跨境起到一定指引作用。但立法的分散對相關(guān)法律法規(guī)之間的適用和銜接提出了新的要求。數(shù)據(jù)分類分級(jí)保護(hù)制度有待建立，“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者”“重要數(shù)據(jù)”和“處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”等概念有待具體界定，以將不同類型數(shù)據(jù)出境規(guī)則體系化，協(xié)調(diào)不同法律法規(guī)之間的齟齬，形成數(shù)據(jù)跨境流動(dòng)統(tǒng)一的標(biāo)準(zhǔn)和要求，確立我國數(shù)據(jù)跨境流動(dòng)規(guī)制的價(jià)值取向。

其次，作為我國數(shù)據(jù)跨境流動(dòng)的重要規(guī)制方式，數(shù)據(jù)出境安全評(píng)估和合同協(xié)議應(yīng)予以細(xì)致化規(guī)范。一方面，我國應(yīng)加快出臺(tái)有關(guān)個(gè)人信息出境的具體安全評(píng)估辦法，為數(shù)據(jù)控制者/處理者進(jìn)行安全自評(píng)和有關(guān)監(jiān)管部門進(jìn)行安全評(píng)估提供具體且可操作的標(biāo)準(zhǔn)。另一方面，有關(guān)數(shù)據(jù)控制者/處理者和數(shù)據(jù)接收者之間的合同/協(xié)議規(guī)定應(yīng)具體化、標(biāo)準(zhǔn)化、規(guī)范化，以指導(dǎo)合同/協(xié)議雙方在保護(hù)個(gè)人數(shù)據(jù)的基礎(chǔ)上開展數(shù)據(jù)跨境流動(dòng)業(yè)務(wù)與合作。具體規(guī)定可參考?xì)W盟于2021年6月發(fā)布的《關(guān)于向第三國轉(zhuǎn)移個(gè)人數(shù)據(jù)的標(biāo)準(zhǔn)合同條款》(14)參見COMMISSION IMPLEMENTING DECISION (EU) …/…of 4.6.2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council。，在形式上可構(gòu)建從數(shù)據(jù)控制者到數(shù)據(jù)控制者、從數(shù)據(jù)控制者到數(shù)據(jù)處理者、從數(shù)據(jù)處理者到數(shù)據(jù)處理者、從數(shù)據(jù)處理者到數(shù)據(jù)控制者等多類模式；在內(nèi)容上提供必選條款和可選條款供不同類型數(shù)據(jù)處理者/控制者根據(jù)需要調(diào)整，增強(qiáng)合同/協(xié)議的可適用性和示范性。

此外，我國應(yīng)豐富數(shù)據(jù)跨境流動(dòng)的規(guī)制方式。例如，我國可以借鑒GDPR的相關(guān)規(guī)定制定數(shù)據(jù)跨境流動(dòng)白名單，對數(shù)據(jù)接收國的數(shù)據(jù)保護(hù)水平進(jìn)行評(píng)估，通過評(píng)估的國家或地區(qū)可以進(jìn)入白名單，實(shí)現(xiàn)個(gè)人數(shù)據(jù)的自由流動(dòng)。

(三)健全監(jiān)管體制，提高數(shù)據(jù)保護(hù)治理能力

規(guī)制數(shù)據(jù)跨境流動(dòng)，我國要健全政府監(jiān)管體制，提高綜合數(shù)據(jù)保護(hù)治理能力。首先，我國應(yīng)建立專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)，統(tǒng)一監(jiān)管數(shù)據(jù)跨境流動(dòng)，加強(qiáng)監(jiān)管實(shí)踐，避免政府部門之間相互推諉、責(zé)任缺位，提高數(shù)據(jù)保護(hù)的綜合治理水平和國際認(rèn)可度。其次，我國應(yīng)完善跨境流動(dòng)過程中個(gè)人數(shù)據(jù)受侵害的保護(hù)制度，保障受侵害的數(shù)據(jù)主體獲得救濟(jì)的權(quán)利，尤其是可獲得司法救濟(jì)。雖然《個(gè)人信息保護(hù)法》規(guī)定了個(gè)人信息處理者侵害眾多個(gè)人權(quán)益時(shí)人民檢察院、法律規(guī)定的組織可提起公益訴訟，但仍缺乏個(gè)人數(shù)據(jù)主體提起數(shù)據(jù)跨境流動(dòng)中侵權(quán)訴訟的相關(guān)規(guī)定?？紤]到相關(guān)數(shù)據(jù)跨境案件的專業(yè)性、保密性及涉外屬性，可以借鑒《歐美隱私盾協(xié)議》相關(guān)規(guī)定，采用專門機(jī)構(gòu)仲裁的方式，并對仲裁的前置程序、仲裁范圍、仲裁模式、仲裁效力進(jìn)行細(xì)化[14]。與此同時(shí)，應(yīng)注意明確國家對數(shù)據(jù)的合理監(jiān)管，即從歐美“隱私盾”失敗中獲得借鑒，鞏固國家間數(shù)據(jù)保護(hù)信任，明確我國出于安全目的的監(jiān)管是必要且合理的，并非是對私主體數(shù)據(jù)不加限制的獲取或?qū)ζ鋫€(gè)人數(shù)據(jù)權(quán)利的侵犯。

(四)積極參與國際合作和規(guī)則制定，提升數(shù)據(jù)話語權(quán)

在全球數(shù)據(jù)跨境流動(dòng)規(guī)制領(lǐng)域，歐盟以GDPR為基礎(chǔ)的權(quán)利保護(hù)體系和美國引導(dǎo)的雙邊或多邊數(shù)據(jù)自由流動(dòng)體系均具有較大的影響力，為歐盟和美國贏得了更多的數(shù)據(jù)話語權(quán)。而我國作為數(shù)據(jù)大國，缺乏有效的國際合作機(jī)制，數(shù)據(jù)國際參與度和影響力較低。因此，一方面，我國應(yīng)積極參與數(shù)據(jù)跨境流動(dòng)的雙邊或多邊對話，通過雙邊或多邊合作機(jī)制建立國家間安全、合理的數(shù)據(jù)跨境流動(dòng)通道。另一方面，我國應(yīng)積極投身數(shù)據(jù)跨境流動(dòng)的國際規(guī)制制定。中國加入RECP即邁出了建設(shè)性的一步。RECP作為兼有發(fā)達(dá)國家和發(fā)展中國家的區(qū)域性多邊協(xié)定，采用了與歐盟高水平個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)和美國限縮國家安全例外條款主張不同的、相對折衷的多元共治理念，在數(shù)據(jù)跨境流動(dòng)領(lǐng)域求同存異，一方面倡導(dǎo)自由的數(shù)據(jù)跨境流動(dòng)，另一方面也給予締約國基于非歧視性監(jiān)管和國家安全目的采取限制數(shù)據(jù)流動(dòng)的本地化措施。這為發(fā)展中國家抗衡歐盟和美國極具影響力的數(shù)據(jù)規(guī)制提供了豐沃土壤[15]。中國作為負(fù)責(zé)任的數(shù)據(jù)大國，應(yīng)通過推動(dòng)與東盟國家的共治共享，積極引導(dǎo)亞太地區(qū)國家形成新型數(shù)據(jù)流動(dòng)規(guī)制格局。若中國成功加入CPTPP，則應(yīng)在鞏固原有數(shù)據(jù)跨境流動(dòng)合作基礎(chǔ)上，通過對例外條款的合理解釋和運(yùn)用，尋求新維度的數(shù)據(jù)保護(hù)合作與數(shù)據(jù)跨境流動(dòng)，致力于構(gòu)建一個(gè)發(fā)展中國家能夠充分參與且具有公平話語權(quán)的共贏共治共享的數(shù)據(jù)流動(dòng)平臺(tái)。

綜上，當(dāng)前歐盟和美國在全球數(shù)據(jù)跨境流動(dòng)規(guī)制中起主導(dǎo)作用，我國必須提高國際數(shù)據(jù)話語權(quán)，強(qiáng)調(diào)和支持符合我國主張和利益的數(shù)據(jù)跨境流動(dòng)規(guī)則，以維護(hù)國家數(shù)據(jù)主權(quán)和利益。

五、結(jié) 語

基于跨境數(shù)據(jù)保護(hù)的必要性和重要性，世界各國積極出臺(tái)法律規(guī)制數(shù)據(jù)跨境流動(dòng)。在全球范圍內(nèi)，數(shù)據(jù)跨境流動(dòng)的規(guī)制主要呈現(xiàn)出三種趨勢，即以歐盟為代表的“充分保護(hù)”與限制流動(dòng)模式、以美國/區(qū)域組織為代表的行業(yè)自律與自由流動(dòng)模式和以俄羅斯為代表的數(shù)據(jù)主權(quán)與數(shù)據(jù)本地化模式。面對各國的域外法律規(guī)制，我國在反思自身數(shù)據(jù)跨境規(guī)制現(xiàn)狀及問題基礎(chǔ)上，應(yīng)確定本國應(yīng)對數(shù)據(jù)跨境流動(dòng)規(guī)制的價(jià)值取向，完善數(shù)據(jù)跨境規(guī)制體系。具體而言，我國應(yīng)堅(jiān)持在保護(hù)數(shù)據(jù)主體權(quán)利和數(shù)據(jù)主權(quán)與安全基礎(chǔ)上合理利用個(gè)人數(shù)據(jù)，完善數(shù)據(jù)跨境流動(dòng)立法體系，細(xì)化安全評(píng)估等規(guī)范要求，豐富數(shù)據(jù)跨境流動(dòng)的規(guī)制方式，積極參與國際合作和規(guī)則制定，提高數(shù)據(jù)國際話語權(quán)和影響力。