（上海对外经贸大学 法学院，上海 201600）

数字经济是21世纪拉动各国经济发展的重要驱动力量。即使在新冠肺炎疫情的影响下，线上贸易的交易额也在稳步增长[1]。数字经济的蓬勃发展事实上推动了经济全球化的发展，但在频繁的交易往来中数据跨境流动的安全问题日益引发关注。一直以来，美国积极倡导数据跨境流动的自由化，但与之相对应的是更多的国家选择以数据本地化措施来限制数据的自由流动。我国学者在研究该问题时多认为随着经济全球化的不断深入，对数据跨境流动的限制是特殊措施，而自由化是必然趋势[2]。那么为何世界各国政府都不约而同地采用数据本地化这一违背经济发展规律的措施呢？本文将从目前世界经济出现的逆全球化趋势出发分析各国实施限制跨境流动措施的内在原因，结合目前世界现行的数据本地化制度并分析其作用，以此对我国的跨境数据流动法规的完善提出建议。

1 逆全球化趋势与数据本地化

自2008年金融危机以来，‚新自由主义‛思想下的全球化受到了严重的冲击，以生产要素（产品、资本、人员等）全球流动产生全球资源配置效应的经济全球化进程受到了严重的阻碍。作为二战后构建以全球化为特点的国际经济秩序的美、英等国，随着英国脱欧阻碍欧洲一体化、美国特朗普政府上台后推行单边贸易保护主义反而成为自由国际经济秩序的挑战者、背离多边主义的代表者。这种态度转变可以从政策角度分析，即在国际经济秩序中推动全球化进程的国家常常是具有主导地位的强权国家，这些国家在制订国际条约或构建国际组织时必然优先考虑国内层面的政治和经济需求[3]。例如二战后经济全球化经历了‚内含自由主义‛到‚新自由主义‛思想的转变，主要推动因素便是美国从贸易自由化到金融自由化的政策变动[4]。经济全球化体系一直存在难以消除的内在矛盾，即在经济全球化体系中获利呈现出不平等现象，比如经济全球化大大消除了世界范围内尤其是亚洲的贫困，但随之而来的是部分国家制造业流失并面临失业人数不断增加的境况；除了区域层面，国内层面的不平衡也与日俱增，比如全球化进程中美国在金融、投资与数字经济等领域获利颇丰，但中低端制造业却受到冲击而不得不大量转移至发展中国家。基于经济全球化政策是强权国家根据自身的政策需求在国际层面的体现这一理论，国内层面的不均衡甚至对美国、英国的态度转变影响更大。换言之，经济全球化一直存在收益与损失并存的情况，而完全通过收益的补偿来消除这种损失是难以实现的，因而美国社会始终无法解决全球化进程中国内意识形态的割裂。在全球经济发展迅猛的时候，美国跨国企业在投资、贸易中获得了巨大红利，得以通过所谓‚涓滴效应‛（Trickles Down Economics）将利润渗透到全社会各个角落，从而带动各个阶层走向富裕；但随着美国经济的增速不断降低、贸易逆差不断加大，全球化给跨国公司带来的利益无法辐射到全社会弥补国内在全球化进程中相关阶层受到的损失，于是贸易保护主义等逆全球化趋势就不可避免的出现在美国政府的对外政策中，并在世界上产生影响。在全球治理上，多边的、世界性的协议与组织频频受到挑战，WTO的运行陷入僵局以致到了不改革就停摆的尴尬境地，美国退出‚巴黎协定‛与联合国教科文组织，继而在2020年7月宣布停止资助并将于一年后正式退出世界卫生组织；而国家层面的单边主义导致区域主义盛行，英国脱欧、美国连续退出多边协定都是试图在新的双边、区域协定谈判中为自己谋求更多的利益。在国际贸易中，尽管已经有诸多研究表明自由贸易最终能使贫困群体获利最多[5]，但美国政府依然在‚美国优先‛的政策理念下频繁发动单边贸易制裁，破坏以‚互利共赢‛为宗旨的多边贸易体系。在国际人员流动上，越来越多的欧洲国家纷纷出台政策限制难民入境，英国脱欧的一个重要原因便是其限制移民的政策无法与欧盟达成共识；同时，留学签证的限制也在逐步增加[6]。其实美国政府在陶尔米纳G7峰会上就透露过对于全球化的态度：‚（总统）认为世界并非‘全球化的共同体’，不同国家、非政府组织和商业机构为利益在其中互相竞争。‛[7]基于这种理念，逆全球化趋势不断扩大，直到影响到新兴的数字经济领域。

客观来说，经济全球化的发展与科技进步密切相关，支撑数字经济发展的大数据、云存储等互联网技术本身就具备‚全球化‛的物理属性。然而，各国的跨境数据流动管理规范并没有体现技术进步对全球化进程的促进，反而呈现出明显的逆全球化特征。例如2016年4月15日由欧洲议会通过的《通用数据保护条例》就较大程度地限制了数据跨境转移，而2020年7月16日，欧盟法院更是直接宣布所谓的‚隐私盾‛协议无效，致使大量美国公司停止依据该协议从欧盟向美国传输、存储信息。此外，俄罗斯、印度、澳大利亚、韩国等国家也出台了不同程度的数据本地化政策。美国作为数字经济强国与数字服务产业的输出国，其数字企业的运营依赖数据的自由获取和跨境转移，因此美国力图构建一个传输、访问、处理和存储信息完全自由化的国际数据跨境传输体系，但2020年8月5日‚清洁网络‛计划却显示美国政府的实质态度与其所倡导的数据自由传输理念截然相反。例如‚清洁网络‛计划里的清洁云服务一项声称‚个人敏感信息和知识产权不应当被中国公司（例如阿里巴巴、百度、中国移动、中国电信与腾讯）的云系统处理与储存，以防止中国政府获得此类数据‛，以数据安全为由排除中国企业对本国数据的储存，变相地让本国企业垄断数据存储业务以确保本国政府的数据主权[8]不受他国政府侵扰，其政策目标与数据本地化措施类似。事实上，美国数字企业在世界范围内仍占有主导地位，在2019年世界最大四家云服务供应商的市场占比中，亚马逊、微软与谷歌总共超过了一半,排名第四的阿里巴巴仅占5.4%[9]。因此可以认为美国实施数据传输自由化政策是因为全世界大部分数据都在美国数字企业的服务器里，在强大的数字经济支持下美国的数据主权即使在自由化的情况下也能完全实现，但当其他国家的数字企业开始具备一定的竞争能力时美国同样会采取相应的限制性措施；而且美国提倡数据传输自由化主要是为便于其数字经济的扩张，正如美国学者批判数据本地化趋势的主要理论依据是其会损害美国在数字经济领域的‚主场优势‛[10]。由此可见，虽然美国和其他国家对数据跨境流动分别持有‚自由化‛和‚本地化‛理念，但政策目的都是为实现本国的数字主权。有学者就认为，欧盟的《通用数据保护条例》与美国的《澄清境外数据合法使用法案》事实上异曲同工；欧盟是以‚本地化‛措施侧重领土管辖，将域内所有数据控制人收集、处理的个人数据纳入保护范围；而美国则是以‚自由化‛侧重国籍管辖，利用本国数字企业的优势地位在域外收集数据并提供给国内司法系统；两种政策本质上都是对数据资源的争夺[11]。

综上，不论是实行经济全球化或逆全球化政策，还是倡导数据跨境流动的自由化或本地化措施，都是各国国内因素在国际法层面的表现。目前各国与美国对数据跨境流动理念上有差异的根本原因是数字经济发展的不平衡，而这种不平衡即是包括我国在内的大多数国家坚持数据本地化措施的必要性所在。

2 数据本地化的立法经验

数据本地化方式一般指服务、设施、存储本地化。从狭义上讲，数据本地化措施不同于限制跨境数据流动，因为要求数据存储于境内的同时不一定限制跨境数据自然流动[12]。但从广义上说，数据本地化与跨境数据自由流动相对，等同于限制数据跨境流动[13]。本文持广义态度，因为数据的存储与流动呈现出一体性——存储尤其是云存储本质上就是一种传输，如果对云服务提供商的数据存储服务器地点不加限制，在存储之时数据可能已经完成了跨境传输，因此任何限制数据自由流动的措施都必然以本地化措施为前提。

以数据本地化为前提，各国跨境数据流动限制的方式主要包括：（1）跨境转移需要数据主体的同意。第一种是跨境数据转移完全依照数据主体的意志。例如韩国2011年修订的《个人数据》第17条第3款规定，个人信息向境外第三人转移，需取得数据主体的同意。印度2011年出台的《信息技术法案》也有类似规定。其二是将数据主体的同意作为兜底条款。如2018年欧盟《通用数据保护条例》中规定，数据转移如果缺乏评估程序和保障措施而存在潜在的风险，除非转移为数据主体与数据控制人履行合同所必须，否则需要数据主体的同意；未成年人因行为能力不足，其同意需要监护人完成。俄罗斯现行生效的《个人信息保护法》模式也与欧盟类似，首先要求数据控制人确保个人数据传输到国外后可以得到充分保护，如果不能则必须取得数据主体的书面同意。（2）数据控制人需尽到安全保障的义务。欧盟《通用数据保护条例》便是基于数据控制人转移数据时需要确保接收数据的第三国、地区或部门能提供与欧盟相同程度的保护这一原则设计的。除欧盟外，加拿大《跨境处理个人数据指南》要求数据控制人应当通过协议（与境外第三方的）或其他措施确保：第三方在处理数据过程中，未经授权不得处理或披露个人数据；确认第三方具有完善的数据保护政策或流程；定期审核第三方处理或储存个人数据的安全性。（3）主权机关干预模式。马来西亚2013年《个人数据保护法》要求数据控制人跨境传输数据时确保境外接收第三方能够提供相同程度的保护，但主管部门的部长可以依据自由裁量权免除数据控制人所受的上述限制。

数据本地化措施的对象，最主要的是个人信息，其次还有一些重要行业领域。如澳大利亚《个人控制电子健康记录法案》，严格限制跨境数据转移，个人健康信息的存储、处理和访问必须在澳大利亚境内。我国在征信业、金融业、地图管理金融和医疗等行业领域都有相关数据本地化的规定。

3 数据本地化的具体作用

数据本地化一直遭受许多西方学者的批判，他们认为本地化是为了方便政府监视民众和扶持本地信息产业的发展[14]，其中经济因素的影响更为直接，因为本地化会迫使数字企业投资当地相关设施建设，增加运营成本。虽然本地化与数字经济的快速运行格格不入，但是各国数字经济发展的不均衡，而且本地化在当前形势下对于维护国家数据主权、提高政府网络治理能力以及促进国内信息产业发展都有积极作用。

数据本地化最显著的作用是提升政府的数据支配能力。国家层面的数据安全是由数据安全、数据支配权与防止敏感数据遭恶意使用三部分构成[15]，而数据支配程度更是一个国家数据主权的体现，一国政府若没有数据支配权，国家安全的维护便无从谈起。数据本地化的流行普遍认为是2013年美国‚棱镜门‛事件导致的，当时美国国安局直接利用微软、谷歌、雅虎、苹果和YouTube等美国数字企业对世界范围内用户的信息和通信进行监视，甚至涉及各国政要，使得各国意识到自身数据主权存在的问题。2018年3月，特朗普政府出台的《澄清境外数据合法使用法案》更是一个‚合法化‛的‚棱镜计划‛，使得美国执法机构可以依据美国法院的传票，越过他国政府审核，直接要求位于他国的美国企业将信息传递回美国境内。该法案出台后，美国司法部立刻要求微软公司提交海外服务器内存储的涉案客户信息，其取证过程完全无视跨国司法协助的国际法规则。因此，只有将存储本国数据的服务器安置在境内，才能确保本国政府对数据的支配不受外国政府的侵扰。

数据本地化也能提高政府的网络治理能力。数据安全使数据和系统免于破坏和未经授权的访问、披露、使用、修改等。近年来随着数字经济的发展，越来越多的信息泄露正在危害公民个人信息的安全和互联网企业的运行。大型互联网公司储存的用户数据数以亿计，一旦管理不当或被黑客攻破就会造成大量用户身份信息的泄露；而涉及金融、医疗、交通等重要行业领域的信息泄露所导致的后果更为严重。2020年以来，媒体就已经爆出浙江岱山农商银行内部人员泄露客户信息、青岛胶州中心医院数千人就诊名单泄露、国泰航空940万乘客信息流出等诸多数据泄露事件。RSA Security对6000名美国、德国、英国、法国成年人的调查报告显示，调查对象最担心泄露的五类数据信息为：密码信息、金融数据、身份信息、医疗数据和联系方式；36%的人声称个人信息曾经泄露过，而高达75%的人声称以后会更谨慎地在网络平台注册自己的信息[16]。虽然数据本地化并不能直接改善网络治理的现状，但将数据存储、处理和访问等操作都控制在境内的服务器内，可以方便有关机关调查取证，以较好的执法效果来救助受害者、打击网络犯罪以及监管数据控制人，从而落实对个人信息、重要行业数据的保护以及涉及国防安全、公共基础服务数据的保护。

数据本地化能够促进信息产业的发展。数字经济的发展离不开基础设施的创新与升级，而我国数据中心的建设正在朝着大型化、模块化、绿色化方向发展，以更为节能、高效的方式推动我国信息产业的发展[17]。数据本地化能吸引投资，带动当地经济的发展，例如苹果公司与贵州的云上贵州大数据产业发展有限公司合作建设的数据中心预计在贵州投资达10亿美元。不难看出，数据主权的行使本质上需要依赖国内发达的信息产业，美国的‚数字霸权‛所倚仗的正是数字企业在世界市场的主导地位。只有数字经济的竞争力不断得到提高，才能从根本上保障数据主权。

4 完善我国数据本地化措施的建议

我国数据本地化的规定主要在《网络安全法》以及金融、医疗健康和交通等行业条例中。其中《网络安全法》第37条规定：‚关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。‛2017年4月11日，国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（简称《评估办法》），将本地化措施的对象扩大到所有网络运营者收集的数据。同年5月27日，全国信息安全标准化技术委员会发布《信息安全技术数据出境安全评估指南（草案）》（简称《评估指南》），明确了个人信息、个人敏感信息、重要数据等相关概念，并详细列举了重要数据的具体范围。根据国内外数据本地化的立法经验，本文针对完善我国数据本地化制度的几个方面提出建议。

4.1 重要数据出境

第一，封闭式列举需要行业主管和监管部门安全评估的范围。根据《评估办法》，数量超过1000GB的数据；包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；关键信息基础设施运营者向境外提供个人信息和重要数据以及其他可能影响国家安全和社会公共利益的，行业主管和监管部门认为应该评估的数据，都需要经批准出境。列举方式可以给网络运营者明确的指引，使其能够迅速地筛选需要提交给相关部门进行安全评估的重要数据。然而《评估办法》中的开放性条款，即‚行业主管和监管部门认为应该评估‛一条，则可能降低数据本地化措施的预见性，从而对数字企业的运营造成不利后果。因此，应当采用封闭式的列举方法将行政部门的审查权限制在具体的情形内，使网络运营者可以清晰地预见措施实施的后果以调整经营策略。

第二，减轻网络运营者自我评估的义务。《评估指南》列举的近30种重要数据都需要经过网络运营者自我评估数据出境的合法性、正当性与风险可控。参考国外立法对数据控制人义务的规定，欧盟与加拿大在规定数据控制人跨境转移数据的义务时比较注重安全保障，即数据控制人在跨境传输时应当确保数据接收方能够提供相同程度的保护。我国重要数据的出境限制目的在于维护国家安全、经济发展与社会公共利益，与国外数据本地化的对象主要是个人信息有所不同，因此对网络运营者的评估义务添加合法性要件具有必要性。但《评估办法》里要求网络运营者评估的范围超出了合法性与安全保障等内容，网络运营者甚至要评估重要数据可能对国家安全和公共利益的严重影响以及个人信息的敏感度等问题。重要数据出境是否会对国家安全造成影响应当由行使数据主权的政府相关部门确定，个人信息的敏感性应当由数据主体具体判断，而网络运营者缺乏相关的能力和权限对数据进行实质性的审核。因此，建议将自我评估的范围限定在合法性和安全保障两方面，以减少网络运营者的评估负担。

4.2 个人信息出境

第一，对于个人信息的出境保护，需要在跨境数据传输法律体系中建立独立的个人信息分类。将数据类型化并区分限制程度可以有效增强信息安全保护的力度和提高信息传输的效率[18]。例如印度2019年版《个人数据保护法（草案）》将信息分为个人敏感信息、关键个人信息和普通个人信息，对普通个人信息不做跨境传输的限制，对关键个人信息和个人敏感信息则有相对应的严格限制措施。目前我国数据出境法律体系只是将个人信息的敏感度作为出境安全评估的一个要素，并将其交给相关部门和网络运营者进行判断。虽然《信息安全技术个人信息安全规范》对个人信息、个人敏感信息等概念通过列举的方式作了明确限定，但该规范尚未明确其效力仅适用于境内数据传输亦或是统一适用于境内和境外。对此，建议在境内和境外数据传输场景下分别建立个人信息分类体系。首先，这是因为个人信息的敏感度具有‚相对性‛，即部分信息在境内传输场景下可能敏感度较低，但在境外传输时敏感度较高，例如《评估办法》将数量作为个人信息敏感度评估的一个重要指标，即使普通的个人信息含有或累计含有50万人以上时也应当视为敏感度较高。其次，数据境内传输的管控难度较低，可以限缩个人敏感类信息的范围以放宽个人信息的流动，以此实现数据自由化对经济发展的服务功能；但数据跨境传输方面则优先考虑安全因素，可以适当扩大个人敏感信息的范围以提高个人信息跨境传输的安全性。所以如果对个人信息的分类做出统一标准则难以兼顾境内数据传输的经济效益最大化目标和跨境数据传输的安全保护目标。

第二，在个人信息分类的基础上保持、扩大数据主体在跨境传输方面的主导权。数据权利主要是国家依照数据主权对本国数据的管理、利用和数据主体对个人信息的决定权。随着美国《消费者隐私权利法案（草案）》的出台，数据主体对个人信息的处置权受到了挑战，有观点认为以‚知情同意‛为核心的传统数据保护架构马上要被以‚场景‛和‚风险评估‛的方式取代[19]。其主要理由为个人同意方式效率过低而且网络运营者常以格式条款强迫消费者同意信息获取，而让网络运营商依据‚场景‛判断信息的敏感度更加符合个人敏感信息的‚相对性‛特点。但此举事实上是将信息获取和处理的自由裁量权交给了网络运营者，削弱了作为数据主体的消费者对个人信息处置的决定权，这与美国一直倡导的信息数据自由化理念相符合，但与采取数据本地化措施而对跨境数据传输持保守态度国家的政策理念并不符合。与美国目前让网络经营者依据‚场景‛判断信息的敏感度不同，我国目前的个人敏感信息采用列举方式，这种方式的优点在于方便网络经营者明确何种个人信息为敏感信息，但其缺点在于忽视了个人敏感信息的‚相对性‛[20]。然而，与其将难以判断性质的个人信息交给网络经营者来认定其敏感度，不如让数据主体来认定，毕竟信息的敏感度直接取决于数据主体的主观意志。再者，美国《消费者隐私权利法案（草案）》中以‚场景‛为因素让数据控制人判断信息敏感度的方式主要运用于数据收集阶段，在境内通过该措施可以提升网络运营者的运行效率，但该种方式在信息跨境数据传输方面的运用效果还有待观察。我国未来立法应当继续坚定数据主体在个人信息出境的主导权，并对个人信息分类保护。鉴于列举式方式的优点，可以列举出识别度、稳定性和涵盖度低的能够完全自由传输的一般个人信息（例如个人通信、教育、工作信息等）或在特定条件下不需要限制的个人信息（如第三国或数据接收者能提供有效的保护）；所列个人敏感信息的跨境传输则需要数据主体明确、真实的同意；至于不能明确敏感度的信息，应当推定其具有敏感度并将决定权交给数据主体。

5 结语

数据本地化为原则、数据出境为例外这一基本原则是由当前世界经济逆全球化的趋势所决定的。而在数据本地化的浪潮中，我国应当积极发挥本地化的制度优势，学习各国的立法经验，结合我国信息产业发展的实践，进一步完善跨境数据流动法规，平衡国家安全与经济发展的不同政策需求。一方面，强化国家相关部门的数据出境管理职能，牢牢把控数据支配权并坚定、扩大数据主体个人信息出境决定权；另一方面，网络运营者应提高责任意识，从整体上确保数据接收方对数据的保护，而在安全评估方面发挥非实质审查的筛选功能，将重要数据和个人信息出境的决定权交由相关部门和数据主体。