張瀠之

(中央財經(jīng)大學 法學院，北京 100081)

0 引言

2021 年7 月，國務院互聯(lián)網(wǎng)信息辦公室(下稱“網(wǎng)信辦”)對“滴滴出行”啟動網(wǎng)絡安全審查。兩日后，“滴滴出行”因嚴重違法收集使用個人信息，被下架并責令整改[1]。隨后，網(wǎng)信辦加大審查力度，對“運滿滿”“貨車幫”等分別啟動網(wǎng)絡安全審查。究其原因在于，其赴美上市行為造成大量國內個人數(shù)據(jù)流向美國的風險隱患?！暗蔚纬鲂小钡绕髽I(yè)在建構其智能化系統(tǒng)的過程中引發(fā)了一系列數(shù)據(jù)倫理問題與數(shù)據(jù)安全風險，而海外上市將其推向高潮，轉化為關乎國家安全的利益形態(tài)[2]。相較于國內流動，跨境流動不僅會導致本國無法直接監(jiān)管數(shù)據(jù)處理者，增加個人數(shù)據(jù)權利被侵犯的風險，還會威脅國家數(shù)據(jù)主權、危害國家安全，因此，很多國家采取“嚴格型”規(guī)制。

盡管如此，個人數(shù)據(jù)跨境勢不可擋。相較于新冠疫情造成的傳統(tǒng)商品及資本流動受阻，數(shù)據(jù)全球化仍勢如破竹。我國數(shù)字經(jīng)濟增速已達GDP 增速3倍以上，其規(guī)模占比也呈現(xiàn)增長態(tài)勢。在2021 年G20 數(shù)字經(jīng)濟部長會議及聯(lián)合國貿發(fā)會議中，數(shù)據(jù)跨境流動便是重點議題。各國強烈呼吁加強數(shù)據(jù)互聯(lián)互通，我國在大會中也肯定了數(shù)據(jù)跨境流動對經(jīng)濟發(fā)展的助推作用，期望以安全和發(fā)展并重為原則，在安全可信的基礎上促進合作共贏[3]。

眾所周知，數(shù)據(jù)具有非競爭性，這意味著對數(shù)據(jù)的開放與共享非但不會損害其自身價值，反而因為多方主體的重復利用與深入挖掘而獲得更大的社會價值[4]。但數(shù)據(jù)大規(guī)模流動帶來巨大經(jīng)濟紅利的同時，也會引發(fā)眾多安全風險與監(jiān)管挑戰(zhàn)[5]。針對個人數(shù)據(jù)跨境流動問題，不同的國家基于不同的價值取向，在權衡個人數(shù)據(jù)權利、國家安全與經(jīng)濟利益的基礎上，形成了不同的治理模式，并擁有截然不同的立場——限制或鼓勵自由流動。如何尋求最為科學的規(guī)制路徑，最大程度促進經(jīng)濟利益發(fā)展，是當今數(shù)據(jù)治理面臨的重要問題。

1 個人數(shù)據(jù)跨境流動規(guī)制中的立場研究

當前，以歐盟、美國與中國為代表，關于個人數(shù)據(jù)跨境流動規(guī)制的全球格局已然形成。

1.1 歐盟：采納“嚴格型”規(guī)制，重點保護個人數(shù)據(jù)權利

一直以來，歐盟都將個人數(shù)據(jù)上所附載的權利視作基本人權，并強調通過立法對該權利予以保護。在制定數(shù)據(jù)保護法的全球浪潮中，歐洲國家占比超過60%[6]。歐盟亦加強區(qū)域內合作，以統(tǒng)一立法模式提升歐盟的數(shù)字競爭實力。

《通用數(shù)據(jù)保護條例》(GDPR) 是歐盟現(xiàn)行的、史上最嚴格和最高水平的數(shù)據(jù)保護規(guī)制，以多樣化監(jiān)管模式嚴格保護個人數(shù)據(jù)權利。首先，以“充分保護原則”作為核心機制，要求只有當數(shù)據(jù)接收方的數(shù)據(jù)保護水平達到歐盟承認的標準時，個人數(shù)據(jù)方可向此處流動，GDPR 第四十五條規(guī)定了其判斷標準。其次，僅有少數(shù)國家或地區(qū)符合歐盟認定標準，歐盟委員會已認定安道爾、阿根廷、加拿大(僅適用于商業(yè)機構)、法羅群島、根西島、以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭、日本、韓國以及英國具有同等保護水平，為提高跨境流動的可能，GDPR 制定了一系列補充性監(jiān)管措施，包括標準合同條款、約束性企業(yè)規(guī)則、基于經(jīng)批準的行為準則、認證。最后，還規(guī)定了數(shù)據(jù)泄露報告制度、嚴厲處罰制度等事后監(jiān)管制度。

歐盟成員國“一致對外”的強監(jiān)管模式，雖為保護個人數(shù)據(jù)權利提供了良好范本，并對世界各國提供了有益參考，但是歐盟規(guī)制過于嚴格，阻礙國際服務貿易的良好發(fā)展趨勢[7]，無法在全球推廣施行。

1.2 美國：采納“寬松型”規(guī)制，側重促進經(jīng)濟發(fā)展

美國與歐盟立場迥然不同，其未將個人數(shù)據(jù)權利作為基本人權，認為歐盟規(guī)制阻礙了商業(yè)活動的順利開展[8]。據(jù)2021 年IT 公司市值排名，前三十名中美國企業(yè)占二十一家[9]。據(jù)2019 年福布斯全球數(shù)字經(jīng)濟榜單，全球前十強企業(yè)中美國有七個，而歐盟國家未擠進前十，甚至在前一百強中亦鮮見其身影[10]。為了發(fā)揮本國資本巨頭的優(yōu)勢地位，美國借助國際組織，在全球范圍內構建并推廣其基本理念。在經(jīng)濟合作與發(fā)展組織(OECD)指南和《APEC隱私框架》以及跨境隱私規(guī)則體系(CBPRs)的助力下，美國主張各國不應當限制個人數(shù)據(jù)跨境自由流動。例如，CBPRs 要求只有發(fā)生具體的數(shù)據(jù)安全事件后，才會對追究數(shù)據(jù)控制者或數(shù)據(jù)處理者的責任，未曾出現(xiàn)GDPR 中有關認定“充分保護原則”的有關標準。此外，美國積極簽訂自由貿易協(xié)定(FTAs)，例如美墨加三國協(xié)議(USMCA)數(shù)字貿易章節(jié)多次強調個人數(shù)據(jù)流動對經(jīng)濟發(fā)展的重要性，應避免設置不必要的數(shù)字貿易壁壘，并禁止“數(shù)據(jù)本地化”。

可見，經(jīng)濟利益是美國的首要考量因素。美國受益于數(shù)據(jù)發(fā)展紅利，通過問責制度下的行業(yè)自律模式，降低數(shù)據(jù)準入門檻，禁止數(shù)據(jù)本地化，適當弱化對個人數(shù)據(jù)權利的保護，促進經(jīng)濟利益的發(fā)展。

1.3 我國：采納“嚴格型”規(guī)制，高度維護國家安全

我國并未受制于當今世界兩大基本格局下的利益考量，而是走出了符合我國國情的特色道路。正如習近平總書記強調的：“要切實保障國家數(shù)據(jù)安全”[11]。無論是國內法律抑或部門規(guī)章，都體現(xiàn)了我國將維護國家安全作為首要指導原則。我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》均規(guī)定了個人數(shù)據(jù)跨境問題，其立法目的在于保障數(shù)據(jù)、網(wǎng)絡安全，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益。其中，《個人信息保護法》將個人數(shù)據(jù)跨境問題獨立成章，規(guī)定了個人信息處理者應當具備的條件、采取的必要措施、處理信息的內容等。關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，應當遵循“境內存儲”和“安全評估”的原則，而其他個人信息處理者則可以在安全評估、認證、標準合同以及其他條件中自由選擇。

以“滴滴出行”事件為導火索，我國正逐步加強監(jiān)管數(shù)據(jù)出境行為，2022 年9 月實施的《數(shù)據(jù)出境安全評估辦法》(以下簡稱《評估辦法》)，全方位規(guī)定了評估范圍、評估內容、材料要求、受理部門、評估流程等事項，尤其是明確了數(shù)據(jù)處理者應當向國家網(wǎng)信部門申報的具體情況(《評估辦法》規(guī)定，對“關鍵基礎設施運營者”和“處理100 萬以上個人信息的數(shù)據(jù)處理者”向境外提供個人信息，或者自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息的，都需要申報數(shù)據(jù)出境安全評估)，為網(wǎng)信部門監(jiān)管數(shù)據(jù)出境、數(shù)據(jù)處理者規(guī)范自身行為提供了具體行動準則。

安全評估由國家網(wǎng)信部門負責，相比于認證和標準合同，其標準更為嚴苛與復雜。首先，從制度名稱出發(fā)，不難看出安全評估偏向“安全”而非“權利”向度，重點保護國家安全。其次，從制度內容來看，只有當個人信息的數(shù)量到達一定標準時，數(shù)據(jù)處理者才需要申報安全評估，但重要數(shù)據(jù)出境則必須全部申報安全評估，不存在任何數(shù)量限制。可見，我國將一定數(shù)量的個人數(shù)據(jù)同不計數(shù)量的重要數(shù)據(jù)并列，表明安全評估不僅保護個人信息，更傾向于保護國家安全與公共利益。此外，相比于歐盟，我國未形成對個人數(shù)據(jù)保護的悠久歷史，維護國家安全卻更深入人心。因此，雖然我國與歐盟均采納了“嚴格型”規(guī)制，但無論是考察立法目的，抑或探尋文化觀念，都可以看出我國與歐盟存在不同的利益傾向。但相比于俄羅斯采取的嚴格本地化立法措施，我國仍積極主張促進個人數(shù)據(jù)跨境流動，防止再次“閉關鎖國”，體現(xiàn)了張弛有度的中國智慧[12]。

1.4 全球個人數(shù)據(jù)跨境流動規(guī)制之初步融合與理想路徑探尋

當今社會，多方主體共同參與全球治理已成常態(tài)，以單一利益為取向的規(guī)制已不符合時代要求。在數(shù)據(jù)傳輸不可避免的時代背景下，持有不同理念的國家在沖突與碰撞中為促進發(fā)展而作出利益取舍，并嘗試獲得有益融合。

長期以來，因美國未達到歐盟“充分保護水平”，其企業(yè)在歐業(yè)務嚴重受阻。為了協(xié)調矛盾，在保護個人數(shù)據(jù)權利的基礎上，共謀商業(yè)利益，雙方先后達成了安全港協(xié)議與隱私盾協(xié)議，但兩部協(xié)議后續(xù)均被歐盟法院宣告無效，其背后反映了歐盟對個人權利保護的重視與美國對經(jīng)濟利益的追求之根本矛盾，雖然雙方嘗試妥協(xié)與融合，但都因未到達“平衡點”而無法獲得持久發(fā)展。需要注意的是，美歐看似對國家安全有所忽視，實則不然。美國利用“長臂管轄”壓制對手，掌握海量數(shù)據(jù)資源的同時確保本國國家安全；歐盟通過提高數(shù)字貿易壁壘抵御數(shù)據(jù)強國對國家安全的侵害[13]。美歐均利用其經(jīng)濟政治優(yōu)勢地位，以自身利益為中心向全球輸出本國理念，霸權主義色彩濃厚，對諸多的發(fā)展中國家不利，甚至會阻礙全球數(shù)據(jù)安全治理的發(fā)展。

為了突破美歐的單邊主導格局，提升發(fā)展中國家的參與度，我國亦作出有益嘗試。2020 年我國與東盟等簽訂了RCEP，其不但是我國認識到現(xiàn)有國內規(guī)制相對保守，國際立場已發(fā)生微妙轉變的有力證明，亦強調了國家安全的至上性，為發(fā)展中國家抗衡美歐強勢力量提供堅強后盾[14]。首先，RCEP 堅持數(shù)據(jù)跨境自由流動原則，而我國國內立法中較為保守的態(tài)度與之背離。從規(guī)則文本出發(fā)，RCEP 在第十二章第二條強調電子商務及便利其發(fā)展與使用的重要性，第十五條更是明確締約方不得阻止以商業(yè)行為而通過電子方式跨境傳輸信息，承認各締約方可以有各自的監(jiān)管要求。此外，數(shù)字經(jīng)濟伙伴關系協(xié)定(DEPA)第四章第三條與全面與進步跨太平洋伙伴關系協(xié)定(CPTPP)第十四章第十一條的規(guī)則文本一致，均規(guī)定締約方應當允許通過電子方式跨境傳輸信息，亦承認各締約方可以有各自的監(jiān)管要求?？梢姡琑CEP 中的“不得阻止”與DEPA、CPTPP 的“應當允許”都對基于商業(yè)行為的個人數(shù)據(jù)跨境自由流動作出原則性規(guī)定，各締約方僅在特殊情況下方可采取限制性監(jiān)管措施。其次，RCEP 在輸出維護國家安全理念方面作出有益嘗試。相比于CPTPP、DEPA 中關于“公共政策目標例外”的規(guī)定，RCEP 增加了“締約方認為”一詞，未強調限制性規(guī)制應當具有的“必需性”，具有“自裁決”特征[15]。此外，RCEP規(guī)定了CPTPP、DEPA 中尚未規(guī)定的“基本安全利益例外”，若締約方出于基本安全利益所必需，可以采取限制性措施而無需遵循RCEP 中關于數(shù)據(jù)跨境自由流動這一義務要求。

2 科學的利益權衡方法——比例原則之引入

一方面，我國堅持“和平合作、開放包容、互學互鑒、互利共贏”的絲綢之路精神[16]，這也代表著，雖然RCEP 將國家安全提升至重要高度，但我國并不希望效仿美歐過度輸出本國模式，形成小圈子或俱樂部[17]。另一方面，鑒于我國目前仍然偏重“數(shù)據(jù)本地化”的立法態(tài)度與RCEP 中的原則性規(guī)定不符，加之我國正致力于加入DEPA、CPTPP，而其例外條款的認定比RCEP 更加嚴格。為了扼制各國出于自身利益的訴求，擴大自身數(shù)據(jù)治理模式的影響力，造成“分而治之”進而阻礙全球數(shù)字經(jīng)濟的發(fā)展，也為了完成我國國內與國際規(guī)則的銜接，有必要引入科學的方法論，在各成員國間存在文化、社會、經(jīng)濟和政治異質性的情況下，從長遠考慮來調和國家之間差異化的利益訴求，提高立法的針對性、準確性與適用性[18]，平衡三大利益，尋求全球個人數(shù)據(jù)跨境流動規(guī)制的“平衡點”。

2.1 比例原則的適用原因

其實，已有學者利用其他科學方法論以平衡上述利益，包括外部性理論[19]、博弈論[20]、“權衡法則”[21]。相比于上述方法，比例原則在近年來取得了重大發(fā)展。首先，作為法秩序的最根本原則與最高規(guī)范[22]，其適用領域得以突破，延伸至國際法領域[23]；其次，其內涵與外延已逐漸明晰，結構亦從“三階”擴充至“四階”[24]；最后，其不但可以平衡公私主體以及私主體之間的利益，亦可調整政府與市場的關系[25]。概言之，比例原則作為一種具體可行的科學方法論，使得多方主體慣有的主觀色彩變得客觀與具體，也將價值平衡過程由粗放轉為精細[23]。權衡三大利益，在“嚴格型”與“寬松型”規(guī)制中取得平衡，正是比例原則的重要功能所在。

2.2 比例原則的輔助手段：成本收益分析方法

作為公法的“帝王原則”，比例原則通過價值平衡以實現(xiàn)最完美的正義，但卻因其充滿道德推理而具有強烈的主觀性與模糊性，難以被客觀且精細化適用[26]，而遭致部分學者的強烈反對，提出以成本收益分析將其取代[27]。成本收益分析是一種用以改善公共政策、法規(guī)的技術，以貨幣化衡量的方式幫助決策者判斷何種政策將促成社會福利最優(yōu)，凈收益最高者最值得采取[28]。

雖然成本收益分析可以數(shù)學公式的方法運用至法學表達中，提高法律的準確適用性[29]，但有學者指出，比例原則不可被完全拋棄，其對法律規(guī)制具有成本收益分析所不可替代的功效[30]。具體而言，首先，目的正當性具有前端過濾作用，有效更正了成本收益分析在追求最大凈收益途中易落入功利主義陷阱的致命缺點[30]。其次，適當性原則并非形同虛設，可以填補成本收益分析中關于審查手段與目的之間實質關聯(lián)性判斷的理論空白。不過，成本收益分析不但可以通過比較“相同有效性”下的最小損害，幫助實現(xiàn)必要性原則追求的個人權利本位，還可以幫助均衡性原則實現(xiàn)成本與收益的總體權衡[31]。綜上，雖成本收益分析無法完全取代比例原則，但卻可以輔助其具體適用。

2.3 比例原則在個人數(shù)據(jù)跨境流動規(guī)制利益權衡中的具體適用

“四階”比例原則包含目的正當性、適當性原則、必要性原則以及均衡性原則。

2.3.1 目的正當性審查

目的正當性要求立法者、行政者所追求的目的符合有約束力的法律所確立的基本價值[31]。在個人數(shù)據(jù)跨境流動規(guī)制中，首先應當判斷規(guī)制背后的目的是否違背憲法、國內法律。以我國安全評估制度為例，其重點內容即“評估范圍”列明了數(shù)據(jù)處理者需展開安全評估的具體情形，這一限制“權利”的做法，是否可以通過目的正當性審查？我國《憲法》第五十一條明確規(guī)定“中華人民共和國公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利?！笨梢妭€人信息雖源于公民個人，但是公民對其權利的行使仍有邊界，而這一邊界可由國家權力為保證公共利益而合理劃定。此外，《個人信息保護法》等法律亦規(guī)定，即便已經(jīng)取得了個人的單獨同意，但如若其屬于特定種類或達到特定數(shù)量，仍需符合其他規(guī)制，如境內存儲與安全評估。正如《評估辦法》開篇點明的，安全評估是“為了規(guī)范數(shù)據(jù)出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動”，符合我國國內法項下的正當目的。

其次，判斷規(guī)制是否會違背國際法。以我國業(yè)已加入的RCEP 為例，RCEP 強調經(jīng)濟發(fā)展，包括“認識到電子商務提供的經(jīng)濟增長和機會”“促進消費者對電子商務信心的重要性”“便利電子商務發(fā)展和使用的重要性”，雖亦承認各締約方有尋求通信安全和保密的基本要求，但其仍遵循“原則鼓勵流動，例外允許監(jiān)管”這一準則。鑒于國際形勢嚴峻，我國國內立法中多出現(xiàn)“維護國家安全”“保障數(shù)據(jù)安全”“維護國家主權、安全和發(fā)展利益”等字眼，雖有強調“促進數(shù)據(jù)自由流動”，但相比于條約，其有關“促進經(jīng)濟發(fā)展”的字眼稍顯不足。雖然當前國內規(guī)制仍可以獲得RCEP 的合法性認定，但其背離RCEP 重要目的。進一步講，相比于RCEP，DEPA和CPTPP 沒有“基本安全例外”，其“公共政策目標例外”認定標準也更為嚴苛，更加強調數(shù)據(jù)跨境自由而限制國家監(jiān)管。綜上，無論是我國立法目的中“經(jīng)濟和社會效益”“增強對數(shù)字經(jīng)濟和貿易發(fā)展”等強調經(jīng)濟利益的規(guī)則文本有所欠缺，亦或是制度內容中寬泛的限制性措施，都會因過于強調維護國家安全而難以通過DEPA、CPTPP 項下的目的正當性審查，進而造成我國加入條約的困難。

2.3.2 適當性原則之審查

適當性原則審查主要判斷規(guī)制的手段與目的之間是否具有實質的客觀因果關系，即手段是否有助于目的部分或全部實現(xiàn)[31]，包括客觀性審查與主觀性審查，分別針對正在發(fā)生效力或已經(jīng)失效的手段。

由于我國近年來才逐步建立起個人數(shù)據(jù)跨境流動規(guī)制體系，因此尚不存在已然失效的有關立法規(guī)制?；仡櫸覈斍耙?guī)制，以我國《個人信息保護法》中第四十二條為例，該條規(guī)定了針對境外組織、個人侵害我國公民的個人信息權益，或危害我國國家安全、公共利益的，國家網(wǎng)信部門可以采取禁止或限制向其提供個人信息的措施。此舉無疑有助于維護國家安全、保護個人數(shù)據(jù)權利目的之實現(xiàn)，符合適當性原則。同時，我國采取的限制性措施并非完全無益于促進經(jīng)濟發(fā)展。我國雖有安全評估、認證等出境門檻，但一旦符合上述條件，數(shù)據(jù)流動必然將帶來經(jīng)濟效益。再以RCEP 中設置的“基本安全利益例外”為例，締約方援引例外條款時，還應當證明其限制性措施與尋求保護的“基本安全利益”具有合理關聯(lián)性。其中，關聯(lián)性即適當性審查，而何種“基本安全利益”即目的正當性審查。正如針對RCEP 的具體適用，有關專家組曾在個案中指出，涉案措施僅需要與“基本安全利益”之間有“最小合理”的關聯(lián)性即可，無需全然服務于此目標[32]。

2.3.3 必要性原則之分析

必要性原則相比效率更關注公平，即重點關注“私權限制”成本而非凈收益的大小，因此其重點也在于保證個人數(shù)據(jù)權利，無需關注各種社會成本、收益[30]。必要性原則追求手段具有最小損害，實際上是追求相對損害而非絕對損害的最小化，即比較在一個單位內的手段有效性程度下，不同手段所造成的相對損害大小，其計算公式如下：

將其代入個人數(shù)據(jù)跨境流動規(guī)制中，Cr代表制定某規(guī)制將對個人數(shù)據(jù)權利造成的損害，B 表示在該規(guī)制下，數(shù)據(jù)流動所獲得經(jīng)濟利益，I 即代表其對個人數(shù)據(jù)權利的相對損害大小，I 值越小，則相對損害越小，也更符合必要性原則。以美歐規(guī)制為例。美國對個人數(shù)據(jù)權利的保護水平較低，與歐盟的《108 號公約》一致[33]，沒有GDPR 中的“數(shù)據(jù)保護影響評估”“數(shù)據(jù)可攜帶權”等制度[34]。需要注意的是，首先，美國采取此類規(guī)制無疑有助于維護國家安全、保護個人數(shù)據(jù)權利之目的實現(xiàn)。其次，即便“數(shù)據(jù)保護影響評估”或其他規(guī)制，對自由流動附有條件，會增強企業(yè)的合規(guī)成本，但滿足條件后數(shù)據(jù)亦可以自由流動，進而取得經(jīng)濟利益，因此仍然是適當?shù)囊?guī)制。若美國期望采取“數(shù)據(jù)保護影響評估”或其他適當性規(guī)制，該如何選擇？此時需借助上述公式，而其具體賦值，應當借助較為成熟的成本收益分析方法，通過市場評估法和愿意接受等非市場評估法，分別計算不同規(guī)制項下的具體成本與收益，并結合有關專家意見，判斷何種規(guī)制具備最小損害性。

2.3.4 均衡性原則之分析

(1)成本收益分析最大限度精確化均衡性原則

通過必要性原則審查的規(guī)制未必符合比例原則，仍需經(jīng)均衡性原則的審慎分析，方能綜合權衡總體成本與收益，避免過度保護個人權利，促進社會整體福利。

個人權利是公共利益的基礎，公共利益有時會轉化為個人權利，因此，二者之間具有一致性，但均衡性原則主要權衡相互沖突的公共利益和個人權利[31]。國家安全雖屬公共利益，但其與保護個人數(shù)據(jù)權利具有一致性，因此僅有經(jīng)濟利益與之沖突。此外，國家安全與個人數(shù)據(jù)權利并非總呈線性關系，在成本計算中有其特有地位。特定敏感主體如國家領導人的個人數(shù)據(jù)，雖數(shù)量極少，但至關重要。綜上，成本包括個人數(shù)據(jù)權利、國家安全利益因某項規(guī)制的實施所受損害；此外，手段自身耗費的財政成本也應納入考量，尋求相同有效性下的低財政成本，方能符合均衡性原則[35]。而收益則指經(jīng)濟利益，其計算公式如下：

其中，Cr即個人數(shù)據(jù)權利因某規(guī)制所受損害；Cs即國家安全因某一規(guī)制所受損害，包括大規(guī)模個人數(shù)據(jù)出境及少數(shù)特定主體或敏感數(shù)據(jù)出境造成的損害；Cf即實施某規(guī)制的財政成本；B 即某規(guī)制順利實施后的總體經(jīng)濟利益，其具體數(shù)值仍由專家借助市場評估法與非市場評估法以科學計算。由此，E即某規(guī)制推行后的成本與收益比值，E 值越小，則代表某規(guī)制更符合均衡性原則。此外，科學的規(guī)制要求E 的值必然小于1。當然，若兩項不同的規(guī)制中，I1=I2且E1=E2，可以通過比較凈收益并結合專家意見和時機等多重因素，選擇特定時代背景下的“最優(yōu)”規(guī)制。

(2)商談模式彌補成本收益分析的量化局限

不過，用上述計算方法仍可能存在量化局限。雖然具有經(jīng)濟屬性的權利如財產(chǎn)權可與貨幣維度相連而被精確量化[31]，但個人數(shù)據(jù)權利與國家安全的成本往往較難通過貨幣表達。若專家無法將上述成本科學量化，仍可借助商談機制以解決比例原則精確化的限度。

在商談模式下，所有利益相關方都有自愿參與商談的權利。因此，在國內規(guī)制形成過程中，個人、企業(yè)可以積極參與、建言獻策，立法者應當廣泛聽取意見，形成符合廣大人民利益的科學規(guī)制；在探尋科學全球性規(guī)制的路途中，商談主要體現(xiàn)為國際談判、國際條約的簽訂。

3 我國對個人數(shù)據(jù)跨境流動規(guī)制的因應

3.1 借助比例原則探尋“平衡點”，并以之為奮斗目標

當前美歐大肆輸出“本國模式”，不利于多方主體共同發(fā)展，而我國的保守型立場亦阻礙了本國經(jīng)濟發(fā)展。比例原則可以幫助我們探尋可在全球層面推進的“平衡點”。雖受制于我國的基本國情與國際形勢，短時間內形成全球性治理體系仍較為困難，但利用比例原則準確把握趨勢，并以此為奮斗目標，夯實參與全球治理的實力基礎，對我國意義重大。

3.2 進一步強調數(shù)據(jù)跨境自由流動原則，促進經(jīng)濟發(fā)展

在多方競爭壓力下，中國認識到應當提出符合自身利益的數(shù)據(jù)競爭戰(zhàn)略，以維護國家安全作為首要目標。但為了防范“三足鼎立”，也為了實現(xiàn)國內規(guī)制與RCEP 的對接，并順利加入CPTPP 和DEPA，我國應當借助目的正當性理論，逐步更正“數(shù)據(jù)本地化”立場，在立法如《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》中增設文本如“經(jīng)濟和社會效益”“增強對數(shù)字經(jīng)濟和貿易發(fā)展”等，以強調經(jīng)濟利益與數(shù)據(jù)自由流動的重要性。

3.3 適時限縮數(shù)據(jù)安全評估制度的適用范圍，防范過度阻攔數(shù)據(jù)出境

我國《個人信息保護法》規(guī)定個人信息出境應當取得個人的單獨同意，對個人數(shù)據(jù)權利以充分保護。在此基礎上，我國規(guī)定針對關鍵信息基礎設施的運營者、國家機關或處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者(包括處理個人信息達到一百萬、累計向境外提供超過十萬以上個人信息或一萬以上敏感個人信息的數(shù)據(jù)處理者)確需向境外提供的，應當通過安全評估。同時，在大數(shù)據(jù)時代，數(shù)據(jù)處理者所處理的個人數(shù)據(jù)很容易達到一百萬的數(shù)量級，再加上“累計”向境外提供一定數(shù)量級的情況亦被納入評估范圍，因而，我國當前規(guī)制是采用了可以涵蓋實踐中眾多場景的強監(jiān)管手段，無疑大規(guī)模限制了個人數(shù)據(jù)的跨境自由流動。

然而，CPTPP、DEPA 要求締約方采取限制措施時必須滿足“公共政策目標”。無論是“公共政策目標”的內容，即維護公共道德或公共秩序所必須、為保障人類和動植物的聲明或健康所必須；亦或是其本身作為例外條款的制度定位；還是其未以“基本安全利益例外”條款賦予締約國自主決定權，都直接表明了締約國僅在極少數(shù)情況下方能采取限制措施。而對比我國評估范圍，可以發(fā)現(xiàn)我國目前眾多的數(shù)據(jù)出境行為都受其規(guī)制?？梢姡覈醋裱瑿PTPP、DEPA 要求的“例外”限制流動，而是將“例外情況”作為“一般規(guī)則”以普遍適用。

因此，為了順利加入CPTPP、DEPA，我國需要適時對當前規(guī)制予以放寬，例如提高數(shù)量級或延長有效期。不過，究竟將數(shù)量級由“一百萬”提升至“一千萬”或“五千萬”，還是將安全評估的有效期從兩年提升至三年或五年，同時提高數(shù)量級或延長有效期亦或在二者之間作出選擇，都需要通過縝密的計算方法作出科學評估。作此轉變意味著會在一定程度上損害個人數(shù)據(jù)權利，因此可以借助必要性原則，運用成本收益分析法，經(jīng)有關專家計算分析后，綜合選擇出“相同有效性”下對個人數(shù)據(jù)權利造成最小損害的規(guī)制。

3.4 引入白名單機制，細化立法的原則性規(guī)定

當前，我國《個人信息保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》已然搭建了個人數(shù)據(jù)跨境流動監(jiān)管法律體系，監(jiān)管規(guī)制主要包括安全評估、認證、標準合同、網(wǎng)絡安全審查與數(shù)據(jù)安全審查，不過均為原則性規(guī)定，僅有出臺執(zhí)行細則，才能實現(xiàn)上述規(guī)制的落地。然而，除了已經(jīng)通過的《網(wǎng)絡安全審查辦法》《數(shù)據(jù)出境安全評估辦法》分別為網(wǎng)絡安全審查和數(shù)據(jù)出境安全評估提供了具體流程與標準，其他的監(jiān)管規(guī)制尚未得到具體落實，關于認證、標準合同更是未出臺任何實施細則的草案。同時，個人數(shù)據(jù)處理者尤其是跨境企業(yè)為了合規(guī)，往往會將網(wǎng)絡、數(shù)據(jù)安全審查以及安全評估作為其開展跨境業(yè)務的前置條件，而這會增加不必要的財政成本。因此，應當遵循均衡性原則，細化立法的原則性規(guī)定，例如增強標準合同的可適用性和示范性、出臺認證以及數(shù)據(jù)安全審查的實施細則，從而最大程度減少因規(guī)制的不確定性對國際貿易的影響。

除此之外，由《個人信息保護法》第三十八條可知，我國允許個人數(shù)據(jù)出境的判斷標準，主要是基于境外接收方處理個人信息的活動是否達到我國的個人信息保護標準。我國當前采取“一事一議”的監(jiān)管手段，沒有采用歐盟的“充分性認定”機制，雖然可以避免政治化傾向，防止落入非歧視原則的陷阱，但數(shù)據(jù)跨境行為與日俱增，“一事一議”機制必然會耗費大量不必要的財政成本，而這是均衡性原則所不能忽視的內容。為此，可以借助成本收益分析法，精確計算有關財政成本，在時機適當時引入符合本國國情的白名單機制，減輕不必要的負擔。但同時應當注意在設立白名單時，應更加關注境外接收方的數(shù)據(jù)保護水平，而非境外接收方所屬國家與我國的互信關系，避免使該制度淪為提高貿易壁壘的政治工具。

不過，改革并非一蹴而就，我國可以開展數(shù)據(jù)區(qū)域改革試驗，鼓勵部分自貿港、自貿區(qū)“先行走試”，以應對當前國內規(guī)制存在的諸如過度阻攔數(shù)據(jù)出境、實施細則不健全、“一事一議”耗費不必要的財政成本等問題。

3.5 積極提升國際話語權，推進多元共治

目前美歐試圖把中國排除在其“小圈子”之外，但均衡性原則要求只有各利益相關方不斷妥協(xié)與融合，才能形成全球性規(guī)制。正如習近平總書記所指出：“國際規(guī)則只能由聯(lián)合國193 個會員國共同制定，不能由個別國家和國家集團來決定；國際規(guī)則應該由聯(lián)合國193 個會員國共同遵守，沒有也不應該有例外?！盵36]因此我國應積極促成世界各國開展友好談判，反對霸權主義和呼吁構建真正的多邊主義，構建網(wǎng)絡空間命運共同體。

我國可以加強區(qū)域內合作，利用“一帶一路”的路徑優(yōu)勢，以“雙邊帶動多邊、以區(qū)域帶動整體”的推進策略，并通過推動與東盟等友好國家的共治共享，引領在東亞等地區(qū)建立起可以與美歐抗衡的規(guī)制格局。在此基礎上，我國應逐步擴大多邊談判，聯(lián)合立場相近的成員，充分利用我國在聯(lián)合國以及世貿組織的優(yōu)勢地位，將業(yè)已在區(qū)域內健全的規(guī)制引入多邊談判中，為眾多發(fā)展中國家發(fā)聲，在平等協(xié)商的基礎上，考量各個成員國的訴求，促進全球性規(guī)制的形成。

4 結論

長期以來，美歐在平衡個人數(shù)據(jù)權利與經(jīng)濟利益上實現(xiàn)規(guī)制融合。我國域內仍偏向于數(shù)據(jù)本地化立場，綜合多因素考慮，應引入比例原則輔以成本收益分析，有助于權衡三大利益，探尋多元共治的“平衡點”。以“平衡點”作為參照，我國應當完善國內規(guī)制，諸如強調經(jīng)濟發(fā)展、限縮監(jiān)管范圍、引入白名單機制、落實立法，還應當在國際上擴大話語權，呼吁構建真正的多邊主義，為發(fā)展“一帶一路”事業(yè)、實現(xiàn)網(wǎng)絡空間命運共同體和人類命運共同體而奮斗。