联合国《2019年数字经济报告》中提到，数字经济已经成为全球经济发展和贸易增长的新动能[1]。经济全球化伴随着货物、人员和资金的流动，进入数字经济时代，数据已经成为新的生产要素，数据的跨境流动也越来越频繁，数据之上所附着的价值也随之流转。目前跨境流动的数据类型，已经不仅限于个人数据，还包括大量的企业数据、公共部门数据等非个人数据。因此跨境数据流动不仅关系到个人隐私，也关系到国家安全、数字贸易、公共信息共享等领域。对跨境数据流动的治理这一议题也提上日程，成为国家、社会普遍关注的问题。

1 跨境数据流动的含义

数据流动的最基本的问题是何为数据，因此数据的定义尤其重要。然而对“数据”这一概念给出清晰明确的定义在当前看来实为不易。最早关于数据的定义是来源于数学和计算机科学等领域，但随着数据广泛地运用于人类生活的方方面面，数据也逐渐具有法律属性，具有基本的经济价值的同时也具有了人格属性，进而成为法律规范所调整的内容。

关于跨境数据流动的界定，目前国际社会存在大量争议，并无统一的相关法律法规。比较有代表性的看法是：联合国跨国公司认为，跨境数据流动是指跨越国界对存储在计算机中的可读数据进行处理、存储和检索，其重点在于对数据进行利用的方式；经济合作与发展组织认为，跨境数据流动是指个人数据跨越国界的流动，这是因为数据的跨界流动首先是在个人数据保护领域引起的重视，因此该观点主要是对个人数据、个人隐私的保护。但随着近几年来科学技术的不断发展，大数据被不断运用到新型的行业，数据的跨境流动不仅范围广、频率高，而且数据上所附加的经济利益更加凸显，跨境数据的流动对于全球国际贸易发挥着重要的作用，数字贸易也成为各个国家经济增长的重点。

2 跨境数据的分类

跨境数据的流动中，对于不同的数据类型应该有不同的处理方式，数据的类型非常重要。数据的类型反映出数据的控制者与所有者，谁控制数据以及数据在哪里被控制是各国在制定相关法律时所共同关注的问题，同时这也是决定数字贸易利益分配的基础。

从数据的来源来看，数据的类型非常丰富，来源也多样化。在计算机科学领域，系统采集的数据类型丰富多样，包括表格数据、HTML网页文件、XML文件、RDF(Resource Description Framework，资源描述框架)数据、文本数、图(社交网络)数据、多媒体数据(音频/视频/图像)等[2]。根据其技术特征的不同，这些数据可以划分成结构数据、非结构化数据和半结构化数据等不同类型。结构化数据主要是指符合关系数据模型的二维表数据；半结构化数据包括各种包含结构标记(Tag)的HTML网页、XML文档、RDF数据等；非结构化数据则包括文本数据、图数据以及各种多媒体数据。其中既包括与个人紧密相关的数据，如行车位置数据、网络交易数据、健康医疗数据等个人数据，也包括与个人完全无关的数据，如天气气象、环境监测、地理测绘数据等。

根据数据产生的进程来分类，分为原始数据和衍生数据。直接产生记录的是原始数据，也称底层数据、源数据；经过数据清理、数据可视化的技术加工处理的是衍生数据，也称次生数据、派生数据、成品数据。衍生数据一般是匿名化了的脱敏数据，但匿名化还是可以逆向操作显名化。

技术上的分类在计算机科学领域具有重要意义，然而在社会治理领域，更重要的是个人数据和非个人数据的区分，因为两者法律属性的不同决定了对其保护措施的不同。根据数据是否包含可识别性的符号系统，可分为个人数据和非个人数据。非个人数据根据数据持有人的不同又分为公共部门数据、企业数据和科学研究数据。要定义什么是非个人数据，必须要先划定个人数据的范围，因为个人数据以外的数据都是非个人数据。

综上所述，数据大致可以分为以下几类。

(1)个人数据。个人数据是各国首先关注的重点，个人数据常常涉及到个人信息及个人隐私，虽然各国对于“个人数据”这一说法不尽一致，但其内涵基本是相同的，即与一个已经被识别的或者可以被识别的个人相关联的信息，能够反映其个体特征，包括个人的身份证号码、位置信息、网络身份、生物学信息、经济状况等方面的信息。

(2)非个人数据。非个人数据是与个人数据相对应的，非个人数据的内容比较广泛，主要是公共部门数据、企业数据和科学研究数据这三大类。公共部门数据是指公共部门所持有的数据，公共部门包括政府以及公共事业部门，如图书馆、档案馆，这些部门在履行公共权力过程中收集、整理或者保管的数据。这其中既包括公共部门自身所有的数据，也包括公共部门持有的由第三方所有的数据。世界经济合作与发展组织(OECD)的报告《数字宽带内容：公共部门信息和内容》中将这部分由公共部门持有但第三人所有的数据称为“公共部门内容”[3]。比如在《中华人民共和国政府信息公开条例》第10～12条规定了政府应当公开的信息，包括行政法规、规章和规范性文件；国民经济和社会发展规划、专项规划、区域规划及相关政策；国民经济和社会发展统计信息；财政预算、决算报告；行政事业性收费的项目、依据、标准；政府集中采购项目的目录、标准及实施情况；行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及办理情况；重大建设项目的批准和实施情况；扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况；突发公共事件的应急预案、预警信息及应对情况；环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等信息。这些公共服务数据，应当属于全体公民所有，政府是否有权利代表公民将其出售给有需要的企业，将利润纳入财政收入，尚未有规定。《中华人民共和国政府信息公开条例》对政府公开的信息的范围作了规定[4]，然而政府数据并不等同于政府信息，政府数据是一手的原始记录，未经加工与解读，不具有明确意义，而信息是已经经过加工和解读具有特定的含义，政府数据比信息更有再利用的价值。开放政府数据工作组提出的政府数据开放八原则中就包括数据的原始性，即开放从数据源头采集到的原始数据，而不是被修改或加工过的数据，以及可机读性，即数据可被计算机自动读取和处理。

企业数据是企业在参加市场经济活动中产生的数据，如财务数据、市场信息数据、产品数据、价格数据等。从事数据服务行业的企业，对搜集来的个人数据进行匿名化清洗，编排出不具有个人识别特征的数据集，这一类数据也属于企业数据。如Facebook掌握了大量用户的个人数据，并对数据进行挖掘分析，生产出新的数据，比如年龄在20至25岁之间的用户最常消费的产品类别，30～35岁的女性用户最常去的旅行目的地，35～40岁的男性用户最关注的科技产品类型，这些数据不具有个人识别性，但是具有经济价值，企业可以根据这些数据向用户定向发送广告，获得收益。

企业是数据交易中最活跃的主体，来自企业的数据量最多，种类也最丰富。截至2018年9月1日贵阳大数据交易所签约的企业已超过600家，而在2015年底这个数字还是300家。从华中大数据交易所交易大厅的数据来看，企业出售的数据商品数量也是个人、政府、企业三个类型中最多的，共154个条目。

(3)科学研究数据。科学研究数据不同于企业数据和政府数据，它是受政府资助的科学研究项目中取得的，掌握在科研机构和科学工作者群体中，其利益应当由科研机构、学者和社会共享。科学研究数据包括从结构化的数据库记录到已发表的文章、原始数值数据、图像及描述性说明等。

2013年6月12日，八国集团的科技部长们在伦敦讨论当全人类面临全球挑战时科学作出的贡献时提出，最大化科学研究的经济与社会效益，提高全球科学研究企业之间的透明、一致和协作性。已被确认的全球性挑战之一就是开放科学研究数据[5]，会议为此制定了一系列的原则，要求那些受到资助的科学研究数据开放获取，“通过减少限制来进行最大程度上的开放……并营造一种合适的政策环境来巩固这些开放成果”。2015年，G8峰会中的七国(俄罗斯由于在克里米亚的行动而缺席)的科技部长们在柏林再次讨论全球面临的挑战。在部长们讲话的总结中，开放数据被提到两次。第一次是从效益的角度出发，“开放数据和透明性对于最大化科学研究的影响非常重要。”第二次是在报告中提到，“集团成员国对于全球研究基础设施的论述(CSO on CRIs)。”该报告是在2015年对自2013年八国集团部长声明发布后所取得的进步成果的调查研究。报告提到，应该完成对未来科学数据和信息的共享与管理工作，这反映了自2013年以来该领域取得的一些小进步。

3 跨境数据治理的难点

尽管对于跨境数据的流动这一概念并无统一的定义，但至少有一点可以肯定，那就是数据的跨境流动相比一个国家内部的数据流动要更为复杂。具体而言，跨境数据流动中的主要问题包括以下方面。

第一，跨境数据流动中涉及到对隐私权的保护，某些情况下，数据的跨境流动与对个人隐私权的保护之间产生冲突。法律对个人隐私权的保护力度日益增加，这与当前人们普遍对隐私的意识觉醒有关。另外，科技的进步、各种通讯手段的发展，也使得个人隐私更容易被泄露和滥用。比如，电话号码、收入、房产、住宅位置、甚至家庭成员这些信息都有可能被商业机构获得，从而从中获利或是打搅个人的生活。鼓励数据的跨境流动，可以整合不同的资源，创造更多的经济利益，但数据的跨境流动如果超过一定的限度，又会对个人隐私权造成侵犯。因此，各国在对跨境数据进行监管时，必然要面临这一问题。

第二，跨境数据流动与数据本地化之间的冲突。数据本地化是指一国或一地区的法律要求数据处理者在特定地理区域或领土内锁定数据以进行数据处理。这些规则或行政措施包括要求使用在特定国内或特定地区内经过认证或批准的技术设施，这使得在特定地理区域或者领土之外的处理数据变得困难。数据本地化措施往往针对以下几种数据：健康数据、财务数据、公民数据和公司记录、司法数据和特许保密信息、税务和会计记录、其他类型的数据(包括国家档案、公共登记信息和游戏或赌博信息)。自从2013年6月初，美国斯诺登揭发美国的“棱镜门”事件后，九大互联网巨头卷入了美国监控全球互联网计划，轰动整个世界，自此各国也开始加强对数据本地化的管理。数据本地化的措施实际上分割了互联网空间，为跨越国界的信息自由流动设置新的障碍，但同时数据本地化也是国家主权的一种体现，根据数据所在地的法律规定，该国家的公民或居民的数据收集、处理、储存等活动必须发生在该国境内，即不允许利用他国服务器，对相关数据进行收集、处理、储存等活动。数据本土化在一定程度上降低了国家的安全隐患，维护了国家的主权。

第三，对跨境数据的监管困境重重。跨境数据的流动涉及到的国家众多，对跨境数据流动的监管需要各国共同努力、相互合作。各国之间文化、历史、法律制度不尽相同，对跨境数据流动所采取的措施也存在很大差异。国家利益仍然是一国考虑的首要出发点，在平衡本国经济利益、主权权力的基础上，各国在对数据的跨境流动监管上争执不断。

中国已发起《全球数据安全倡议》，明确将秉持多边主义、兼顾安全发展和坚守公平正义[6]，积极参与全球数字治理，而跨境数据流动治理是全球数字治理的重要领域。国家层面应对跨境数据的流动更加重视，积极制定相应的跨境数据流动规则，对数据的流动进行合理的管制。