2018 年3 月，美国国会通过了CLOUD 法案，欧洲议会近期也宣布将实施欧盟通用的《通用数据保护条例》（即GDPR 法案）。CLOUD 法案与GDPR 法案，都明确了数据保护法规的适用范围和对象，并就数据主权和数据管辖权作出了清晰界定。

美国CLOUD 法案主要是为了解决两个场景：一是美国执法部门所需的数据恰好存储在美国境外；二是外国执法机构需要访问存储在美国的数据。

欧盟GDPR 法案是为了解决两个问题：一是因欧盟内地域差异而导致的数据运营企业和个人的权利、义务界定不同；二是如何处理数据泄露带来的隐私侵权问题。

欧盟GDPR 法案带来了深远影响。一是延伸了传统意义上的监管范围，体现了强烈的国家利益色彩。将数据监管的适用范围从境内扩大到了境外，很大程度上维护了国家的数据主权与信息安全。二是IT 企业在经营跨国业务时或将面临新的壁垒，在美国或欧盟建设和运营数据中心时会出现一系列新的障碍，造成企业合规成本的大幅提高。三是两个法案均对数据跨境纠纷处理预留了一定的缓冲空间，对于新形势下的數据监管国际标准的争夺埋下了伏笔。

法案对我国数据安全保护和监管带来很大启示：

数据管辖权应纳入国家安全的核心范畴。无论是美国CLOUD 法案还是欧盟GDPR 法案，都明确了数据管辖权的范围，这体现了美国和欧盟对数据管辖权的高度重视。当前，数据安全已愈发成为国家安全战略的重要组成部分，维护国家对数据监管的合理性与合法性，是保障国家安全不可或缺的关键战略之一。我国现行的《网络安全法》十分清晰地界定了企业、监管部门、责任人等方面的权利与义务，但对于数据管辖权尚无清晰明确的表述。出于填补上述法理性空白、维护国家战略安全的考虑，及时出台明晰的数据监管法律条例是防止国家利益受损的必要措施。

数据监管法的制定应基于国际视野。在全球数字经济发展大潮下，数据的跨境流动、交易、管辖等方面是数据监管的主要聚焦点。我国目前尚未出台针对国际跨境数据隐私安全纠纷的处理办法，操作细则以及处罚措施。海外数据运营商在我国运营应适用哪些法律和管理条例，我国数据运营商在海外应如何调整企业自身法务战略，都是全球合作和竞争必须考虑的问题。可以预见，未来涉及跨境数据监管与国际执法纠纷将层出不穷，国际监管标准的制定有望成为解决国际数据纠纷的重要手段。

数据监管法的执行应考虑平衡掣肘。一方面，数据监管的执法尺度需要从商业市场的实际角度出发，做到谨慎拿捏。GDPR 法案中对企业和个人用户的数据权利进行了明确划分，这种设计思想包含了对国家监管权利、企业正当利益、个人隐私保护等多方的平衡考虑，符合市场长远发展的需求。

另一方面，美国和欧盟的法案都预留了执法的变通机制。目前，我国《网络安全法》和《个人信息安全规范》等有关法律条例已经对网络运营商和个人敏感信息的保护办法做出详细的规定，但是对于例外情况、特定事件和场景的商榷余地有待完善，后续在制定、执行有关数据法律时应充分弥补在这一点上的空缺。

（赛迪研究院 钟新龙 黄文鸿）