浅议跨境数据流动规制

2018-01-22罗蓉

法制博览 2018年34期

罗蓉

北京邮电大学，北京 100876

跨境数据流动规制是各国行使数据主权的体现，是否要求在本国境内储存数据则是争议焦点。党和国家着力实施网络强国战略，“实施‘互联网+’行动计划，发展物联网技术和应用，促进互联网和经济社会融合发展。实施国家大数据战略，推进数据资源开放共享”④，因此数据跨境流动规制仍有必要。

一、数据及数据跨境流动

(一)数据的界定

有学者主张：“信息是认识的表达，是人脑对数据的反应，数据是信息的体现”①；另有学者认为数据即“个人数据、商业数据、技术数据和组织(公共)数据”②；还有学者指出数据是一种“海量、高增长和多样化的信息资产”③。鉴于本文的研究目的，我们将数据定义为“旨在记录认识主体对认识对象之主观反映的信息载体”。数据有以下特征：(1)基础性。数据是信息社会的基础。(2)可复制性。数据以电文的形式储存、复制、传播。(3)流动性。流动性是数据的价值所在。

(二)跨境数据流动及其技术基础

跨境数据流动的应用场景丰富。一是出于商业需要，跨国公司需要将用户个人数据向境外转移。二是数据储存需要，各公司都设有自己的数据储存处理中心，以便境外访问提升数据利用效率。三是大数据、云计算的发展，数据收集、分析处理规模庞大，使得跨境数据流动必不可少。

二、数据主权和跨境数据规制

(一)数据主权

大数据和云计算的应用，使得数据跨境流动成为普遍现象，出现许多安全问题和挑战，进而引发了个人对信息安全的担心和国家层面的考量。数据现代化事关国家命脉，许多国家希望控制数据流动，进而引发了对数据主权(Data Sovereignty)⑤的探讨。数据主权是国家主权在数据上的延伸，具有排他性和独立性。因此数据主权理论是研究跨境规制的理论基础和前提。

(二)数据主权和跨境数据规制

数据主权和跨境数据规制并不是绝对互斥的，事实上取决于各国信息科技发展水平的高级。水平越高的国家，在数据跨境中占据优势地位，在数据流动中掌握主动权；而水平稍弱的国家则有更强烈的数据掌控需求，更加依赖数据主权理论。

基于我国总体国家安全观，我国基于维护数据主权的前提下，不仅要实现国家的数据的有效和排他掌控，还要在安全中谋求发展，有以下两个方面的诉求：

首先，确保国家数据主权在数据领域的最高地位，行使自己的数据主权不受任何干涉。有权决定在本国境内产生和归属于本国的数据的使用规则，并认定其能否出境。

其次，在确保数据主权的同时，保护本国数据产业的发展，安全和发展并重，为本国数据产业使用数据提供便利。

最新的示例便是欧盟于2018年5月25日出台的条例，也即《数据通用保护条例》。我国要在网络安全国际治理体系中占据一席之地，就必须实时关注国外最新立法实践，从中借鉴并与国际规则接轨。

三、跨境数据流动的规制模式

(一)严格流动模式

以欧盟为例，《通用数据保护条例》(GDPR)跨境数据流动要求经评估审查，在满足GDPR规范的基础上，某些特定目的的数据流动是被允许的，并且要求数据流向的国家或地区要具备和欧盟同等的数据保护水平。同时，GDPR赋予数据主体七项数据权利，主要包括知情权、访问权、更正权、删除权、限制处理权、可携带权、拒绝权，充分保障公民的数据权利。

(二)禁止流动模式

以俄罗斯为代表，注重国家安全和数据安全，严格要求数据本地化储存⑥，禁止数据离境，对涉及国家安全的核心数据要强制本地化，并在服务器上存储一定的时间。数据不得向境外流动，也不得境外处理。

(三)折中模式

以印度为例，用户信息完成在印度境内的数据中心储存后，可以向境外流动，以达到数据流动、信息安全和产业发展之前的平衡。

四、对我国跨境数据流动规制的启示

(一)加快推动跨境数据流动立法出台

目前，我国在《中华人民共和国网络安全法》中要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储”。这是我国跨境数据流动规制的上位法，一切网络活动应该遵守的准则。《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿)》已经公开近一年，达到了国际领先水平但尚未正式实施，建议加快推进出台以督促企业重视和合规。

(二)平衡数据本地化与产业发展关系

数据驱动创先是我国新的创新增长点，我们要抓住数据发展的机遇，在数据产业发展和数据安全保护中间寻找平衡点。建议在《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿)》基础上，对企业合规场景进行细化，规定一定的例外情况，并通过合同监管等方式，完成对数据跨境流动的规制，为产业发展提供保障和支持。