刘晓春 胡笳

在新冠肺炎疫情的催化下，全球电子信息时代加速到来，我国的跨境数据流动制度体系在这样的时代背景下也进一步完善，随着2021年8月《个人信息保护法》的颁布，我国建立起从个别行业的立法要求到搭建起个人信息跨境流动的法律框架与体系，对个人数据的跨境流动做了较为全面且系统性的规定，在跨境数据流动评估方式和监管手段上与《数据安全法》和《网络安全法》保持了整体框架上的一致。

跨境数据流动之法律制度体系

（一）国内法层面

不同于世界上其他主要国家采用的评估方式，比如欧盟采用充分性认定，要求第三方国家对个人信息能確保提供适当水平的保护，俄罗斯、澳大利亚则采用企业担保的模式，要求数据控制者通过与数据接收者签订合同担保其遵守数据出口国的法律，日本则通过数据主体同意模式使得数据主体全权管理，国家不直接干涉，我国在对需跨境的个人信息进行评估时强调数据安全问题，因此主要采用安全评估的方式。《个人信息保护法》第三十八条规定，个人信息处理者在向境外提供个人信息时应当满足的条件为通过国家网信部门组织的安全评估、进行个人信息保护认证和签订网信部门制定的标准合同。第四十条在沿用了《网络安全法》和《数据安全法》关于关键信息基础设施规定的基础上，增加了对其所处理的个人信息的数量限制，要求达到国家网信部门规定数量的个人信息处理者应当将收集和产生的个人信息存储在境内。

为完善《网络安全法》《数据安全法》《个人信息保护法》中的规定，今年8月，国家正式公布了《关键信息基础设施安全保护条例》。在该条例中，对关键信息基础设施的认定规则及设施运营者的责任义务进行了明确。在今年10月网信办公布了《数据出境安全评估办法（征求意见稿）》，该办法对数据出境评估的原则、评估对象、评估事项、合同要求等做了详细规定。而在对网络的利用以及网络数据安全的监督管理上，11月出台的《网络数据安全管理条例（征求意见稿）》建立数据分类分级保护制度，同时从数据跨境的条件、数据处理者义务等方面对数据跨境的规则进行了细化。这两份征求意见稿一定程度上支撑了三法中的跨境数据规则，对我国数据跨境规则的完善起到重要作用。

同时，《个人信息保护法》也借鉴了企业担保与数据主体同意两种模式，要求个人信息处理者应当保障境外接收方达到本法规定的个人信息保护标准以及提供个人信息前应征得信息主体同意。由此，《个人信息保护法》在个人信息跨境提供的路径上确立了“3+2”的模式，即三种评估机制和两项必要性措施，确保在“数据自由流动”的基础性原则之上对数据自由流动提供安全性保护和限制。

（二）国际法层面

《个人信息保护法》中个人信息跨境提供规则章中也对我国的国际法义务有明确约定。如第四十一条，在外国司法或执法机构请求提供存储于境内的个人信息时，应当依据所缔结或参加的国际条约、协定的规定处理，或者按照平等互惠原则。该规定沿用了《数据安全保护法》的第三十六条，针对外国政府机关调取境内数据，将数据与地理意义上的国境相绑定，即将数据的地理位置限定在中国境内。

早在2018年，我国就已经颁布了《中华人民共和国国际刑事司法协助法》（下称《国际刑事司法协助法》），将该法与《个人信息保护法》的跨境调取数据规则相结合，对于外国执法机构跨境调取我国公民的个人信息的相关制度设计的轮廓也跃然纸上。除此之外，《个人信息保护法》第四十二条也对可能危害国家安全、公共利益的跨境数据流动进行限制或禁止。此条是基于我国在国际上签订的国际条约，比如我国自2001加入WTO后签署的《服务贸易总协定》（GATS）第十四条关于公共道德和公共秩序的一般例外条款以及国家安全相关的安全例外条款，再如我国正积极考虑加入的《全面与进步跨太平洋伙伴关系协定》（CPTPP）的例外和总则章中第29.1条规定GATS第十四条作必要修订基础上应纳入本协定，同时第29.2条的安全例外则明确指出不得要求缔约方提供或允许获得违背其基本安全利益的任何信息。

最后，《个人信息保护法》第四十三条表明在个人信息保护方面国家可以采取制裁措施，在同年度颁布的《中华人民共和国反外国制裁法》将制裁措施从行政手段转变为立法，实现有法可依的基础上，个人信息保护措施也被纳入范围内，以应对美国等国家在跨境数据流动规制上的“长臂管辖”。

个人信息跨境流动之焦点问题

（一）国家执法机关跨境调取个人信息与数据主权

国家对个人信息跨境利用的主要场景为执法过程中的跨境调取数据。一般来说，一国对数据的管辖权，是基于国际法上一国在其领土范围内享有其他主权国家不可干涉或侵犯的主权的原则。但对于一国调取他国数据和他国调取本国数据两种情形，国家采用不同的对待方式也是屡见不鲜。

首先就前者而言，由于数据本身具有的特性，很多国家不再仅仅满足于传统主权观念的依据数据的储存地来管辖，转而采用“长臂管辖”将其对数据的管辖权拓展到域外，而对其享有管辖权的数据自然是有调取的权力。以美国为例，2016年美国政府调取微软储存在爱尔兰的微软服务器上的数据，但微软拒绝了美国政府的要求并将此事诉诸法庭。之后美国通过颁布《澄清境外合法使用数据法》（即云法案），将数据的边界拓展到技术上的边界，并表明其管辖内的公司均应当应要求提供数据，而无论数据储存在何处。

而我国在《个人信息保护法》中借鉴了《一般数据保护条例》（下称GDPR）的数据主权原理，不仅依赖于属地管辖，还涉及到效果原则，即当数据处理者在境外处理境内自然人的信息并对境内自然人可能产生影响或危害时，法院就享有管辖权。这一数据主权的认定方法使得我国在对个人信息管辖上范围显著扩大，既为我国执法机构在跨境调取数据时提供便利，也为我国在跨境执法中获取他国域下管辖的个人信息数据提供谈判的筹码。

其次，就他国调取本国数据而言，美国则采用了另一种方法，即通过评估“适格外国政府”鼓励他国与美国通过签订国际协议调取数据。而《个人信息保护法》则是借鉴了美国这一立法办法，通过我国缔结的国际条约和协定，或按照平等互惠原则处理外国司法机构调取存储在境内的个人信息的请求。不同的是，该请求必须通过主管机关的批准。如此一来，对他国调取个人信息的要求可能更为严格。

另外，探讨跨境数据流动时，也应当放眼于国际社会，寻求更多的中国声音被听到的机会。在关于跨境数据流动的国际会议及谈判中，欧盟强调对个人隐私的保护而严格限制个人信息的进出口，互联网企业若想将其市场扩展到欧洲，则必须依据欧盟所制定的数据保护法。美国则恰恰相反，因其強大的互联网企业后盾以及企业背后的商业价值，而十分强调“跨境数据的自由流动”，在谈判中也是积极主张减少数据流动的限制措施。但反观欧盟与美国的国内数据保护规则，其核心理念实际上也是与国际谈判中坚持的主张保持一致。

因此，需要在摸索出国内数据保护规则的基础之上，向世界输出中国的想法和立场，才能推动由中国主导的规则体。考虑到目前我国的数据保护规则的发展现状，如何协调好对于数据的保护与利用的平衡成为必要的问题。

（二）企业合规与行业自律

（1）企业跨境数据流动的主要场景

跨境电商

跨境电商是较为典型的涉及数据跨境流动的商业场景，而且跨境电商并非单一业务形态，在整个交易过程中，会涉及用户注册、商品信息、订单处理、电子支付、物流转运、数据分析等多个环节。在这个过程中，会有大量数据包含个人信息，也有相应的运营和商业信息。以支付为例，在跨境支付业务中，需要处理买家的账户信息、支付金额、支付时间等，也需要收集商家的名称、地址、联系方式、证照信息、银行账号等信息，并需要对数据进行跨境处理和传输。在物流领域，涉及的数据包括商品信息、发货和收件地址、物流状态等，在跨境物流的各个合作方之间进行传输。

云计算业务

云计算通过云端存储和处理数据，实现计算和存储资源的优化配置。云计算服务商如果将其数据中心在多个国家和地区进行设置，则其运营不可避免会涉及数据的跨境访问和传输。在云计算领域，因其应用广泛，有可能涉及包罗万象的数据类型的跨境传输问题，包括个人信息，也包括商业和工业产业的数据。

跨国企业内部数据流动

跨国企业在进行管理和运行过程中，内部也会产生员工和业务数据的跨境需求。其中包括内部员工的身份、职位、行为记录等个人信息，也可能包括对外联络过程中涉及的众多个人信息。此外，在跨国企业日常运营中涉及的大量业务数据，也可能因为管理和协调的需要出现跨境传输的需求，例如，通过内部办公软件进行的数据和文件传输，就有可能构成跨境数据传输。

（2）企业跨境数据中的难点问题

企业进行的跨境投资贸易是跨境数据流动的主要生产力。然而，目前因为全球共有超过100多个国家出台了数据保护法，企业出海时面临着本国与他国之间限制数据跨境传输的规则冲突，比如美国证券交易委员会要求中国5家会计事务所提供在美上市公司审计底稿。这些差异使得我国跨境企业的合规经营面临风险与挑战。

本地化存储

首先，一些国家要求对数据进行本地存储，这与信息技术发展的逻辑相冲突，也增加了企业的投资负担，一定程度上阻碍了数据的自由流动。比如，以大数据为例，强制数据本地化存储要求所有域外的数据传输至本地，才能实现组合，如若采用这一要求的国家或地区较多，则得以汇聚在一起的数据总量降低，使得大数据所能发挥的效用减少。

源代码披露

其次，关于源代码披露的要求对科技型企业来说也会造成极大损害。一些国家将强制披露源代码作为市场准入条件之一或在进入市场时不做要求，但在必要情形下强制披露。强制要求披露源代码一方面会“吓退”科技型企业进入他国市场，冲击数字经济的发展，另一方面从企业自身对知识产权的保护来说，源代码披露触及核心，使企业面临技术被公开的风险。

关税问题

随着数字贸易的发展，对企业征收关税及国内税问题也成为各国关注的焦点。对关税而言，是否延长甚至永久化对电子商务免关税是核心，因数字经济所占市场份额的增长，越来越多的国家对长期以来的免关税提出质疑；但对于国内税而言，争议则聚焦在传统税收制度与数字贸易的不适应。企业可以通过转移定价的方式增加在低税收国的利润而降低在高税收国的利润，以此来躲避高税收。比如，“美法数字服务税征收案”的背景下法国通过了《数字税法案》，这一方案使得美法围绕数字税展开了激烈的贸易博弈。

国际救济手段失衡

数字贸易作为新兴产业，与此相关国际规则仍在谈判及建构中，经济贸易协定中国家应承担的义务与其数据监管措施间的关系仍不明确，甚至国家对于跨境数据的监管空间大小也尚须澄清。即使区域性自由贸易协定及WTO谈判在稳步发展，但规则的不明确也使得企业在遭受国家的不公正待遇后，通过投资仲裁的手段寻求救济的效果也难以预料，这一议题有待进一步探讨。

（3）企业数据合规探索之因应

另一方面，也有学者对企业的身份进行新的解读，将数据主权用于描述互联网信息巨头们对海量数据的占有和使用，以区别于传统主权国家基于领土占有所享有的主权权利。基于商业联系的数据主权与基于政治和文化活动的传统主权在立法过程中发生过的权利博弈并非少见，如印度的数据本地化立法就遭到亚马逊、脸书、微软等跨国互联网公司的联合抵制和批评。由此，企业早已不再是只能被动接受政府制定的相关数据跨境流动规则，而是掌握着一定话语权，可以积极为规则的制定建言献策。同时国家也应支持企业自主牵头制定相关技术规则，并动员行业成员联动。正如由微软公司牵头，其他科技公司联合署名的《数字日内瓦公约》，该公约进一步促使企业间通过建立伙伴式协作关系从技术层面保护个人信息安全，最终实现行业自律与国家规制相结合的有利局面。

总结

《个人信息保护法》的出台进一步完善了我国个人信息跨境数据流动的规则体系，也为今后我国在国际平台上的数字贸易谈判奠定了基础。随之而来的相关条例，则进一步细化了规则，为监管部门的工作提供指导方向。但我国的跨境数据流动仍面临着一些难题和挑战，例如，在加入数字经济相关国际条约的过程中，我国相关监管措施与条约要求的匹配程度，目前的数据分级分类规则是否能有效区分风险并实现制度目标，数据跨境制度所要求的各个原则如何具体落地等问题，仍有待进一步探索。

（作者单位系中国社会科学院大学互联网法治研究中心）