许清婷，陈明添

数据是指对客观事件进行记录并可以鉴别的符号，是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合，它是可识别的、抽象的符号。信息与数据既有联系，又有区别。数据是信息的表现形式和载体，可以是符号、文字、数字、语音、图像、视频等。而信息是数据的内涵，信息是加载于数据之上，对数据作具有含义的解释。①https://baike.baidu.com/item，访问时间：2021年11月2日。数据的价值在于信息，大数据发挥价值的前提在于算法分析，数据保持生命力的方式就是流动，这是数据承载信息的价值所决定的。随着大数据产业爆发式地增长，严格限制数据流动尤其是数据跨境流动的机制已无法适应大数据二次利用产业模式的多元性和复杂性。②谢琳：《大数据时代个人信息使用的合法利益豁免》，载《政法论坛》2019年第1 期，第74 页。数据流动豁免制度因无需取得数据主体同意而有可能成为大数据时代流动个人数据的重要合法依据。该制度有助于调整个人数据权利保障和数据自由流动的平衡，因而逐渐被许多国家所认可。甚至连对个人数据实施严格本地化政策的俄罗斯国家也制定了数据流动豁免制度以促进数字贸易的发展。③周念利、李金东:《俄罗斯出台的与贸易相关的数据流动限制性措施研究——兼谈对中国的启示》，载《国际商务研究》2020年第1 期，第86 页。然而，我国关于数据的相关立法目前尚未引入数据流动豁免制度，这一定程度上抑制了数字经济活力的释放。

一、数据流动豁免的价值

（一）数据流动的界定

对于数据流动的含义，目前我国的相关法律法规没有作出明确的定义，学界也没有统一的定义，并且多数学者研究的是跨境数据流动。实际上数据流动包含了数据跨境流动和数据境内流动。目前经济合作与发展组织（OECD）的《隐私保护与个人数据跨境流动指南（Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data，以下简称为“指南”）中对跨境数据流动的定义是最先提出的，也是被认为最权威的，但其所指仅仅是个人数据的跨境流动。“指南”第1 条第3 款将“个人数据跨境流动”简明定义为“跨越国境的个人数据移动”，第2 款将“个人数据”定义为“任何与已被识别或可识别的个人（数据主体）有关的信息”。①黄宁、李杨：《“三难选择”下跨境数据流动规制的演进与成因》，载《清华大学学报（哲学社会科学版）》2017年第5 期，第173 页。数据流动是指数据从一个地区、国家、国际组织传输至另一个地区、国家、国际组织。数据流动属于数据处理的手段或表现形式之一。根据百度百科对数据处理的解释，数据处理（data processing）是对数据的采集、存储、检索、加工、变换和传输。此处数据传输与数据流动具有异曲同工之处，其内涵是一致的，只是表达方式不同，因此数据流动也属于数据处理的一部分。

（二）数据流动豁免的适用意义

数据流动豁免指的是，数据控制者无需取得数据主体同意可对数据主体个人信息进行流动，并且不需要承担相应的民事责任。而数据流动规制目标协调的关键是限制流动的程度，即允许国家依据法律规定或者政策对数据流动限制到何种程度。因为数据跨境流动不仅影响着个人数据权益，尤其对于跨境数据流动，更影响着国家安全。因此从国家安全和个人数据权利角度出发，则要求采取更多跨境数据流动限制措施保护国家利益与个人利益，而数字经济的发展要求减少对跨境数据流动的不必要阻碍。跨境数据流动规制目标分歧反映的是不同国家对自由与安全价值的选择，不同规制目标之间不是非此即彼的关系，而应当是平衡共进的关系。②杨署东、谢卓君：《跨境数据流动贸易规制之例外条款：定位、范式与反思》，载《重庆大学学报（社会科学版）》2021年第1期，第6 页。

数据跨境流动不仅与数字经济发展的经济利益相关，更与个人数据权利保护、国家安全、公共秩序等非经济利益密切关联。许多国家基于不同的价值衡量制定了对数据跨境流动的监管制度，各国国内立法的差异一定程度上阻碍了数据互通，进而形成新型贸易壁垒，对全球数字经济的发展造成了一定的影响。当前，跨境数据流动的全球性统一规制体系并未形成，保障个人数据权利和数据自由流动两个规制目标之间的平衡仍是个难题。③米铁男：《俄罗斯网络数据流通监管研究》，载《中国应用法学》2021年第1 期，第215 页。而数据流动豁免作为例外条款可以通过设置宽松或严格适用条件的方式协调规制目标间的分歧，达到动态平衡的兼容效果。④米铁男：《俄罗斯网络数据流通监管研究》，载《中国应用法学》2021年第1 期，第215 页。数据流动豁免并非是平衡跨境数据流动规制多元目标的唯一手段，其在当前数据法领域并不成熟，但在一定程度上有助于跨境数据贸易规制达到预期效果，实现多元目标并调和各国数据保护法律制度的差异。

二、数据流动豁免主体范围之确定

（一）数据流动豁免主体范围确定的依据

我国跨境数据流动治理机制一直秉持着数据的本地化存储和出境安全评估的理念，这在一定程度上有利于我国独立处理数据资源和充分地保护数据主体的数据权利和安全。然而我国目前有关数据流动治理方面无论是境内流动还是跨境流动，均暂无体系化的规定。近年来陆续出台的《网络安全法》《数据安全法》与《个人信息保护法》，顺应了当前数据时代的需求，但这三部法律立法内容过于原则，缺乏可操作性，且对于数据流动的内容规制更是屈指可数。其中《个人信息保护法》中针对个人数据跨境传输规定了严格的“须经数据主体同意才可传输”的原则，虽然在一定程度上保护了数据主体的权利，但同时可能会给企业增加了过重的合规负担，进而影响数字经济的发展。

但如今经济全球化，数据跨境流动是常有的，我国跨境数据治理的国际规制参与度较低，这可能会导致我国失去跨境数据国际规制定方面的主导话语权，造成“数据孤岛”的现象，不利于一个数据大国的经济发展。①傅盈盈：《数字经济视野下跨境数据流动法律监管制度研究及对我国的启示——以日本为例》，载《经济研究导刊》2021年第33期，第128 页。倘若能够优先开放一定情形下的数据豁免权，确定豁免主体的范围，再逐渐推动与其他数据经济大国签订数据跨境流动合作协议，这对我国数据产业和数据经济的发展具有很大的促进作用。

（二）域外数据流动豁免主体立法之镜鉴

1.域外数据豁免主体立法模式及特点

（1）欧盟：数据输入地区数据保护水平与输出国相当是成为豁免主体的前提

欧盟2018年5月25日生效的《通用数据保护条例》（General Data Protection Regulation，以下简称为GDPR）特别注重“数据权利保护”与“数据自由流动”之间的平衡。GDPR 不仅赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利，同时也强调个人数据的自由流动不能因保护个人数据权利而被过度限制，甚至禁止。②何渊主编：《数据法学》，北京大学出版社2020年8月版，第56 页。这种平衡多元价值的立法理念具有标杆性意义，对世界各国的后续数据立法产生了重大而深远的影响。其中第五章对个人数据传输到第三国或国际组织的规定中有涉及到数据流动豁免的情形作出了规定。

①如果委员会决定第三国、该第三国境内的领土或一个或多个指定部门或有关国际组织确保充分的保护水平，可向第三国或国际组织传输个人数据。此类转让不需要任何具体授权；②只有在控制人或处理者提供了适当的保障措施的情况下，并且有可强制执行的数据主体权利和有效的数据主体法律补救措施的情况下，控制人或处理者才能将个人数据传输到第三国或国际组织；③数据控制人或处理者对个人数据采取了适当的保障措施，以下情形无需监管机构提供任何具体授权可以传输或使用个人数据：a.公共当局或机构之间具有法律约束力和可执行的文书；b.根据第40 条核准的行为守则，以及第三国的管制人或处理者有约束力和可执行的承诺，以适用适当的保障措施，包括数据主体的权利；c.根据第42 条核准的认证机制，以及第三国的控制人或处理者对适用适当保障措施的具有约束力和可执行的承诺，包括数据主体的权利；④法院或法庭的任何判决以及第三国行政机关要求控制人或处理者传输或披露个人数据的任何决定，只有根据请求的第三国与联盟或会员国之间生效的国际协定，如司法协助条约，才能以任何方式得到承认或执行。③《General Data Protection Regulation》https://gdpr-info.eu/，访问时间：2021年11月2日。

GDPR 中规定的数据流动豁免主要是在国际协定，或是数据输入地区数据保护水平与输出国相当的前提下才享有。其中对于公权力机关因行政执法或司法需要可无需数据主体同意或授权即流动个人数据的情形直接被罗列，可以认为该情形应然获得的豁免是许多国家所默认的。在许多国家的数据立法中也明确规定了该情形可以享有数据流动豁免权。欧盟作为以联盟为核心、成员国为支撑的区域组织结构，因循“人权”的治理思维，格外地重视保护个人数据权。④冉从敬、何梦婷、刘先瑞：《数据主权视野下我国跨境数据流动治理与对策研究》，载《图书与情报》2021年第4 期，第5 页。但从GDPR 中所规定了豁免主体来看，是一种数据流通治理变通的体现，这是因为欧盟的成员国也深知促进数据流动是发展如今的数字经济的必然选择。

（2）俄罗斯：采取“本地化”措施，但首次明确规定数据流动豁免主体

“棱镜门”事件后，数据安全问题已成为国家安全问题中不可忽视的一部分，俄罗斯作为一个国家安全意识极强的国家，非常重视数据安全的问题。因此在法益权衡方面，俄罗斯在个人信息保护立法进程中更加突出国家法益优先于个人法益，强调在保障国家主权利益的前提下充分对公民的个人数据权利予以保护。但即便俄罗斯对国家安全更为重视，其仍规定了数据流动豁免制度以减少对数据自由流通的阻碍。

俄罗斯《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》（第242-FZ 号联邦法）第2 条规定：“在个人数据收集期间，包括通过因特网，运营人应确保使用位于俄罗斯联邦境内的数据库以记录、系统化、积累、存储、澄清（更新或修改）和取回俄罗斯联邦公民的个人数据。①《Поправки к ряду законов Российской Федерации«о дальнейшем уточнении норм обработки личных данных в Интернете》(Федеральный закон №242- Ф З)https://rg.ru/，访问时间：2021年11月2日。该条规定严格要求个人数据应当在俄罗斯境内进行使用，立法目的不仅仅是保护公民的个人数据权利，更是注重保护国家安全和权益。《俄罗斯联邦个人数据法》（第152-FZ 号联邦法）第9 条规定：联邦法律规定了对获取信息的限制，以保护宪法秩序、道德、健康、权利和合法利益的基础，确保国防和国家安全，②《Закон Российской Федерации о личных данных》(Федеральный закон №152-ФЗ)h ttps://rg.ru/，访问时间：2021年11月2日。也是体现了俄罗斯强调在保障国家主权利益的前提下给予充分保护公民的个人数据权利。

俄罗斯《信息、信息技术和信息保护法》（第149-FZ 号联邦法）中第17 条规定：如果某些信息的传播受到联邦法律的限制或禁止，则提供如下服务的人不承担流动此类信息的民事法律责任：①转让他人提供的信息，但该信息必须未经修改和更正；②在存储和访问他人的信息时，该当事人无法知晓流动该信息的非法性。此外，网络服务提供商和网站经营者在符合本法规定的情况下限制权利人和用户存取或流动信息，不承担责任。③《Обинформации,информационныхтехнологияхиозашитеинформации》(от 27 июля 2006г.№149-ФЗ)，https://rg.ru/，访问时间：2021年9月20日。

虽然俄罗斯只规定三种可豁免的情形，但是对于具有特殊政治背景的俄罗斯是一种进步。该国家一直是非常重视数据公民的个人数据保护的安全。俄罗斯多部法律中都特别规定了公民个人的合法数据权利的措施。但其仍率先明确规定了数据流动豁免制度不仅有利于促进本国数字经济的发展，更为世界上其他未对数据流动豁免作出规定的国家提供了思路和起到了触动作用。

2.域外数据豁免主体规制经验之启示

由于每个国家的理念和立法原则有区别，各国对数据流动豁免的情形规定各不相同。欧盟和俄罗斯具有典型的代表性，都采取严格的限制数据流动，但仍例外地规定了豁免的情形。欧盟强调数据输入地区数据保护水平与输出国相当，且认为公权力机关应然成为豁免主体，主要是由于欧盟的成员国之间意图逐渐破除数据自动流动的壁垒，进而促进成员国之间的经济合作。而俄罗斯着重强调本国公民的个人数据必须在本国存储和处理，对数据主权高度重视，但其仍成为首个明确规定特定情形下享有数据流动豁免权的国家。这体现出俄罗斯国家意识到一味地实行本地化措施是不利于数字贸易和经济发展的，即便只是规定了三种的豁免情形，但这都是一种突破。而我国作为第一数据大国和第二大经济体更没有理由不适当开放数据自由流动，不规定数据豁免主体范围以促进数字贸易。

对于当前我国关于数据流动豁免情形可以参考欧盟、俄罗斯的立法，主要从公共利益和私人利益角度进行列举分类，但是该列举情形不是穷尽式的，而是具有一定的开放性，以适应大数据二次利用的产业趋势。根据我国的国情和当前数字经济发展的需要，在坚持总体国家安全观的前提下，可以规定以下数据流动豁免权的适用情形：（1）司法与执法需要，如打击网络诈骗等犯罪行为；（2）保障公共利益的需要，如因维护信息技术和网络安全，披露有关犯罪活动或对官方机构造成安全威胁的信息等；（3）履行法律义务的需要，如配合执法机关调查、履行司法协助义务等；（4）海关税务金融因公共利益将相关数据跨境传输；（5）个人的授权同意个人数据进行流动的；（6）个人出于私人或家庭活动需要主动公开，譬如拨打跨境私人电话、发送跨境私人邮件、进行跨境即时通信等；（7）出于内部管理目的企业集团内部进行跨境数据传输，如雇员人力资源数据转移、雇员财务管理数据转移，以及客户常规数据梳理与转移等等；（8）履行合同义务需要，如对外贸易的企业使用境外云盘、进行跨境电子商务交易等；（9）数据输入地区数据保护水平与输出国相当等。①何渊主编：《数据法学》，北京大学出版社2020年8月版，第188 页。

上述的九种情形，其中前四种情形是因公共利益而获得数据流动豁免权，后四种情形是因私人利益而享有数据流动豁免权。最后一种的情形主要是依据国际协定，可以是因公共利益如国际犯罪需要共通犯罪嫌疑人的个人数据，也可以是因私人利益如不同国家之间的企业合作。该情形的规定对于数字贸易有很大的推动作用，加强国与国之间的交流与合作，有利于促进数字经济全球化。

此外，数据流动豁免制度还可设定原则性的规定，以适应数字经济发展中新出现的需要进行数据流流动豁免的情形。未来数据流动豁免制度可以借鉴欧盟的立法。欧盟《通用数据保护条例》规定了处理个人信息的六个合法依据：（1）取得数据主体的同意；（2）履行与数据主体的合同；（3）履行数据控制者应承担的法定义务；（4）保护数据主体或另一个自然人的重要利益；（5）执行公共利益所需或官方机构要求的任务（6）实现数据控制者或第三方的合法利益。②谢琳：《大数据时代个人信息使用的合法利益豁免》，载《政法论坛》2019年第1 期，第74 页。此处的处理包括了数据流动。

三、数据流动豁免主体之分类

（一）因公共利益而豁免的主体

公共利益包括了国家利益、广大人民群众的利益等多个方面，例如科学研究、历史调研、国家安全、公共安全等。举例而言，司法机关为了抓捕逃匿的犯罪嫌疑人，向相应的地区或者国家传输该犯罪嫌疑人的个人数据，此时司法机关具有数据流动豁免权。同时私人商业活动也可能涉及公共利益，比如银行、保险公司等金融机构打击金融诈骗，网络服务提供商防止数据主体滥用服务实施侵犯知识产权或逃税漏税等行为进行数据流动，此时也享有豁免权。③谢琳：《大数据时代个人信息使用的合法利益豁免》，载《政法论坛》2019年第1 期，第77 页。总而言之，因公共利益而豁免的主体是比较广泛的，既包括了公权力机关也包括了各类数据控制者和数据处理者。

（二）因私人利益而豁免的主体

数据流动豁免并不限于公共利益，数据控制者的私人利益也可包括在内，例如在上文中提及的公司履行合同义务需要，如使用境外云盘、进行跨境电子商务交易等；或者出于内部管理目的企业集团内部进行跨境数据传输，如劳动者人力资源数据转移、劳动者财务管理数据转移，以及客户常规数据梳理与转移等等。具体而言包括了从事数据交易中介服务的机构、关键信息基础设施的运营者、网络服务提供商和网站经营者等的非公权力数据控制方。

四、数据流动豁免主体之救济途径

（一）未获得数据流动豁免主体的救济途径

既然豁免附有条件，就应该被监督。数据监管部门对于实施数据流动豁免的主体应当进行合法监督。事实上，对于享有数据流动豁免的主体而言，豁免并非是一劳永逸的，在未获得数据主体同意的情况下，意味着数据控制者肩负着更多的责任，数据控制者需对流动的过程给予全程记录。当然对于符合豁免条件但是未获得豁免的主体，也同样享有一定的救济途径。由于数据流动豁免权属于行政法领域，故未能获得豁免的主体可以通过行政诉讼或者行政复议的方式予以救济。

（二）因数据流动豁免滥用而遭受侵害的主体救济途径

从认识论上看，数据监管部门审查人员的认知也会有不同程度的局限性。从制度周延角度看，还要防范可能存在数据流动豁免申请中的欺骗和对享有流动豁免权主体的寻租。①肖江平：《我国垄断协议豁免执法程序的制度设计——基于＜反垄断法＞修订的分析》，载《华东政法大学学报》2020年第2 期，第60 页。在作出数据流动豁免决定后，赋予数据主体救济的权利，是一种有效的制约。享有豁免权的主体滥用豁免权导致数据主体信息泄露，造成严重后果的，数据监管部门应当及时制止具有豁免权的主体继续流动数据，责令其在一定期限内采取补救措施以减少对数据主体的侵害。数据控制者负有举证责任证明其流动数据符合豁免的规定，否则将受到相应的行政处罚和承担民事赔偿责任。

结语

国家之间的交流与合作离不开数据的流动，数据流动豁免制度对以数据为关键要素的数字经济发展有促进作用，但同时也存在一定的监管难题。古人云：“立治有体，施治有序。”②出自杨时（宋）《河南程氏粹言·论政篇》。建立和完善数据流动豁免制度，是我国作为数字经济的新兴大国必须跨越的难关。③陈奇伟、聂琳峰：《技术+法律：区块链时代个人信息权的法律保护》，载《江西社会科学》2020年第6 期，第50 页。未来，我国应当继续深化个人数据权利保护和促进数字经济发展法律制度的研究，既要在个人数据权利保护与促进数字经济发展之间取得平衡，也要结合数据跨境流动的特殊性，防范豁免机制滥用带来的风险。