卫承霏　蒋洁

摘   要：体量巨大、类型复杂、价值多元的数据资源是备受全球追捧的战略性创新要素，逐渐成为撬动金融贸易、教育科技、文化军事等全方位增长的全新杠杆，亦在超越地理界域的广泛流转中持续加大国家安全、企业利益和个人权益的风险，致使主要国家和地区陆续限制或禁止跨境数据流动。亟待基于国别维度对比欧盟保守的事前防御、美国积极的事后救济、中国谨慎的全程治理逻辑并延展至区域维度的美式数字同盟、中式数字命运共同体、全球碎片式治理的深度对照，进而勾勒中国总体国家安全观指引下跨境数据安全治理的顶层设计，贯彻发展与安全并重原则，加强跨境数据安全保障能力评估，建立跨境数据集中监管机制，探索完善数据跨境治理规则体系的中国方案，携手全球力量共同构建数字空间命运共同体。

关键词：跨境数据；安全治理；多维逻辑；中国应对

中图分类号：D820；TP309.2   文献标识码：Ａ   DOI：10.11968/tsyqb.1003-6938.2022082

Multi-dimensional Logic of Cross-border Data Security Governance and Chinas Response

Abstract Data resources with huge volumes， complex types， and diverse values are strategic innovation elements. They have gradually become a new lever to incite all-around growth of finance and trade， education and technology， culture and military， etc. They are also continuously increasing risks to national security， corporate interests， and individual rights in the extensive circulation beyond geographical boundaries. It results in countries and regions gradually restricting or prohibiting cross-border data flows. It is urgent to compare the European Unions conservative prevention in advance， the United States active post-relief， Chinas cautious whole-process governance logic based on national dimensions and extend to the regional dimension of the United States digital alliance， Chinas digital community， and the global fragmented governance， so as to outline the top-level design of cross-border data security governance under the guidance of Chinas holistic approach to national security. It is important to implement the principle of placing equal emphasis on development and security， strengthen the assessment of cross-border data security capabilities， establish a centralized cross-border data supervision mechanism， explore a Chinese scheme to improve the system of cross-border data governance rules， and jointly build a community with a shared future in the digital space.

Key words cross-border data; security governance; multi-dimensional logic; Chinas response

全球集聚的海量数据是后摩尔时代人类生产生活方式迭代演进的核心驱动力。亟待充分论证爆发式增长的数据资源不仅是数字经济得以扩张的重要支撑，亦是国家主权与国家安全的关键影响因素。技术进步与经济发展大幅提升社会生产效率与居民生活质量，促进金融商贸、教育文化、交通物流等应用场景的全要素数字化转型，亦引发广泛的技术风险、市场风险、政治风险、法律风险以及社会文化风险等。深入分析跨境数据自由流动的迫切需求与全球数据安全面临的多源挑戰与多重威胁，详细阐述主要国家和地区从战略政策、法律法规、行业标准等多个维度构建跨境数据安全治理体系的实践过程，积极勾勒中国秉持数据安全发展战略、迅速建设科学高效且全面共赢的治理机制的最优路径，夯实数据要素市场的安全底座，构筑透明开放的公允营商环境，齐心共建互利共享的数据命运共同体。

1   跨境数据治理格局下的安全价值与风险解构

泛在数据要素市场迫切需要巨量数据资源与有序交易机制的强力支撑。全球数据流动量迅速增长，跨境数据流动作为核心数字技术，对于数字经济发展的重要性日益增大［1］。面对迅速革新的碎片化数据关联挖掘技术、日趋激烈的数据产品和数据服务的国际竞争等，大规模、高频次、多风险的跨境数据流动成为维护国家安全和推进国际数据治理的重要议题［2］，跨境数据处理的安全可控获得各方关注。

1.1    跨境数据处理的安全价值

后疫情时代国际经贸、医疗、社交、教育等領域激增的在线业务往来使得数据跨境采集、存储、流动、删除等处理活动愈加频繁，数据自身安全与数据利用安全对于国家安全、社会稳定、经济发展与个人权益保障的重要价值持续凸显。

一方面，跨境数据固有安全价值。无论是零散碎片化的数据资源，还是结构化的数据集合，抑或是经过一定去真处理的中间数据，均具有复制简单、传播成本低、具有价值属性等特征，本身可能涉及国家安全、公共安全、经济安全和个人信息安全等。如新冠肺炎疫情期间的患者数据、药物数据、医疗器械数据以及相关的人口流动数据、信息查询数据和舆情态势数据的跨境共享为科学的疫情决策提供了安全可靠的数据支撑，助力全球共同抗击疫情，维护居民生命健康安全，稳定经济社会有序运转。

另一方面，数据跨境利用的安全价值。实时的海量异构数据跨境开发利用包括对象数据被传输到域外且予以开发利用和域外组织或个人通过网络使用域内数据等不同情况。跨境产品或服务流动、跨国企业内部经营管理以及域外司法活动中持续产生且需要充分开发利用海量数据，可能会涉及技术、经济、文化、军事等领域的安全问题。如跨境电商模式是通过电子商务平台达成分属不同辖区的主体之间交易的国际活动，运作过程中关涉的跨境磋商、跨境仓储和跨境送达等均会涉及深度挖掘跨境数据以精准评估远距离交易对象、交易内容与交易形式的信任指数，具有维护经济金融安全的重大意义。

1.2    跨境数据处理的安全风险

虽然数据竞争是新一轮国际竞争的核心，有利于弥补顽固的数据鸿沟、丰富全球市场、增加人类福祉，但海量数据跨境过程中的大规模集合很大概率会引发多种形态的安全风险。如主要国家和地区的关键性信息基础设施和超大规模的互联网平台往往承载着具有重大国土安全战略意义的数据资源。跨境数据流动有可能泄露国家秘密、威胁国防安全。持有全国高精地图甲级测绘牌照的滴滴出行在持续性的超大规模平台服务中收集的海量个人信息数据、地理坐标数据、街景建筑数据等的跨境流动严重威胁中国的国土安全、军事安全、经济安全和社会安全等［3］；跨境处理海量个人数据不仅有可能侵害关涉对象的人身权益和财产利益，还可能成为影响所属国家和地区安全稳定的负面因素。印度支付公司服务器在跨境攻击之下泄露的超一亿账户和支付信息经算法加持整合复原后严重威胁用户隐私和财产安全［4］。境外暗网销售中国海量个人金融数据的事件背后蕴藏着通过算法挖掘研判中国金融市场和经济趋势的巨大安全风险［5］；某个海洋公益组织在20多家境外研究机构持续资助和要求下，于中国海岸线设立垃圾监测点，搜集并向境外传输垃圾种类、重量、分布密度以及经纬度、地质、海洋流量等信息，既恶意抹黑中国的环保事业，又直接威胁军事安全［6］。

2   全球跨境数据安全治理的多维逻辑

数字生态蓬勃发展的态势下跨境数据的总体量级与辐射范围持续扩大，主要国家和地区大多秉持促进发展与保障安全并重的基本理念，开始探索海量数据有序安全地跨境流动的综合治理框架，并在数字地缘政治等因素制约下逐渐形成多维博弈。

2.1    国别维度的跨境数据治理逻辑

棱镜门事件以来，主要国家和地区日益重视跨境数据流动引发的各类安全风险，从战略政策、法律法规、技术标准和行业规范等多个层面搭建自主治理模型，显性或隐性激励数据自由流入并通过不低于本区域的保障力度和严格的审批程序等控制数据流出。

2.1.1   欧盟保守的事前防御逻辑

欧盟长期坚持防御态度，“在维持高隐私、安全、安保和道德标准的同时，平衡数据的流动和使用”［7］。通过《通用数据保护条例》（General Data Protection Regulation）、《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data）、《数据法案（草案）》（Data Act）等逐步建立了一整套“以地理区域为基准、充分保护为前提”的鼓励区域内数据自由流动并严格限制域外数据处理的规则体系。

如《通用数据保护条例》构建的充分性评估机制是事前防御逻辑的重要组成，即欧盟数据保护委员会和各成员国的数据保护机构基于潜在第三方国家、地区或国际组织的数据保护立法规则、基本人权和自由意志的保障能力、独立监管机构的运转状况、国际条约和承诺的兑现程度等多元标准，综合评定对方的数据保护措施的契合度和效用度是否达到能够列入欧盟数据自由流动白名单的高度。对于拟向未经充分性认定的国家或地区进行个人数据跨境流动的情况，要求数据实际控制者和处理者基于具有约束力的公司准则（Binding Corporate Rules）和官方制定的标准数据保护条款（Standards Contractual Clauses）等保护措施向欧盟成员国的监管机构进行特定的单独授权申请［8］；《数据法案（草案）》针对非个人数据的跨境流动规定了明确的政府当局或法院判决中承认和执行的先决条件、必要且合理的避免数据肆意传输的防护措施要求、最低限度的合理数据获取范围以及面向数据主体的事前告知义务等［9］。

2.1.2   美国积极的事后救济逻辑

一方面，美国作为全球数字技术和数字生态高度发达的强国，“以长臂管辖为基准、事后问责制为前提”，采用模糊的评价体系与泛化解释方式，积极鼓励跨境数据流动；另一方面，美国也通过《国家网络战略》（National Cyber Strategy of the United States of America）、《网络安全战略》（Cyber Security Strategy）、《澄清境外数据的合法使用法案》（Clarifying Lawful Overseas Use of Data Act）、《外国投资风险审查现代化法案》（The Foreign Investment Risk Review Modernization Act）、《确保信息通信技术与服务供应链安全行政令》（Executive Order on Securing the Information and Communications Technology and Services Supply Chain）、《关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令》（Executive Order on Protecting AmericansSensitive Data from Foreign Adversaries）等，细化分类分级各种数据并严格控制跨境范围与种类，加大违规传输的事后惩罚力度。

如美国的《出口管制条例》（Export Administration Regulations）和《出口管制改革法案》（Export Control Reform Act）严格限制特定技术数据出境［10］；《外国投资风险审查现代化法案》严格审查外国人在美投资关键性基础设施和关联敏感个人信息的生物基因行业［11］；《澄清境外数据的合法使用法案》扩大了美国政府直接调取境外数据的权利，却又给其他国家和地区调取美国境内个人数据设置了严格的审查门槛［12］；《外国公司问责法案》（Holding Foreign Companies Accountable Act）要求所有在美上市的外国公司接受美国公众公司会计监督委员会（Public Company Accounting Oversight Board）对会计底稿数据的全面审查［13］。

2.1.3   中国谨慎的全程治理逻辑

中国作为全球排行第二的数据资源大国，近年来数据产业规模快速增长，数据资源价值加快释放，“数据增长率可能达到年均30%，数据总量也将于2025年提升至全球占比的27.8%”［14］，但数据规模持续扩大与跨境流转亦裹挟诸多安全风险和挑战。通过《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》《个人信息和重要数据处境安全评估办法（征意稿）》《个人信息出境标准合同规定（征意稿）》等法律法规逐步构筑“以数据本地化为基准、以安全评估为前提”的谨慎的全生命周期安全治理框架，保护个人信息权益，维护国家安全和社会公益。

如《网络安全法》首次在法律层面上从国家安全角度对数据出境安全提出具体要求，强调境内个人信息和重要数据的“本地存储，出境评估”［15］；《数据安全法》明确了中国数据分类分级保护制度，进一步完善重要数据出境的安全评估和管理规定［16］；《个人信息保护法》构建完整的个人信息保护框架，明确信息处理者向境外提供个人信息时的安全评估义务、法律责任以及实现路径［17］；《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”，积极开展数据产品或数据服务的跨境交易试点工作，提出“坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”［18］的原则。

2.2    区域维度的跨境数据治理逻辑

2.2.1   基于数字同盟的美式区域治理逻辑

美国围绕数字经济竞争之要旨，主导建立和完善区域性数字同盟，积极推行体现本国价值理念的数据治理主张，试图实现并放大数据优势和战略利益。如美国积极推行由亚太经合组织（The Asia-Pacific Economic Cooperation）主导的《全球跨境隐私规则宣言》（Global Cross-Border Privacy Rules Declaration），要求缔约经济体不得阻碍统一承诺且按照隐私框架搭建个人数据保护原则体系的企业进行的个人数据跨境流动［19］；《美墨加协定》（The United States-Mexico-Canada Agreement）删除了原《跨太平洋伙伴关系协定》（Trans-Pacific Partnership Agreement）中的跨境数据自由流动和数据存储非强制本地化等例外条款［20］。再如，《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership）承继了美国主导的《跨太平洋伙伴关系协定》对于电子商务的规制方案，允许跨境传输数据，但也肯定了缔约方为实现合法公共政策目标采取“不以构成不合理歧视或变相限制贸易的方式适用、不对信息传输施加超出实现目标所需限度的限制”的措施控制跨境数据流动的权力［21］。

2.2.2   基于数字命运共同体的中式区域治理逻辑

中國立足人类是不可分割的安全共同体，倡导坚持共同、综合、合作、可持续的数字安全观，注重跨境贸易金融、文化交流和司法协助中的数据安全问题，积极参与国际数据规则谈判，不仅多次在区域贸易协定中一再重申保障跨境数据安全的立场，也积极表达实现数据安全有序地合法跨境流动的主张。如中国积极与重要贸易伙伴国达成数据流动认证协议，加入《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership），不仅认可出于商业目的进行跨境数据流动，还强调了任何缔约方不得阻止其他缔约方采取保护其基本安全利益所必要的任何措施［22］；《“中国+中亚五国”数据安全合作倡议》在支持多边主义、兼顾安全发展、坚守公平正义的基础上，强调共同应对数据安全风险挑战并在联合国等国际组织框架内开展相关合作［23］。

2.3    全球维度的跨境数据治理逻辑

迄今为止，全球尚未形成全面统一的治理规则体系，数据跨境流动的规制呈现出碎片化状态。虽然世贸组织协定中存在国家安全例外条款，但谈判时并未考虑跨境数据流动，导致相关争端解决中条款难以援引。当务之急是“在保障数据安全和促进全球数据开放利用协调发展的原则指导下，充分利用数据安全技术进步带来的支撑，加强安全监管审计，促进全球数据合作。”［24］有必要在《关税及贸易总协定》（General Agreement on Tariffs and Trade）、《服务贸易总协定》（General Agreement on Trade in Service）、《与贸易有关的知识产权协定》（Agreement on Trade-Related Aspects of Intellectual Property Rights）、《信息技术协定》（Information Technology Agreement）等为全球经贸发展提供制度保障的基础上，推动缔约国积极寻求发展与安全的综合平衡点，尽早形成更好地规制跨境数据有序流动的共识方案。

同时，中国发起的《全球数据安全倡议》旨在“打造命运共同体，推动各方朝着互利互惠、共同安全的目标相向而行”，得到多个国家和地区的认可。主要涉及维护参与方国家安全、保护个人信息、进行数据本地化存储、规范司法跨境调取数据等问题。强调以事实为依据全面客观看待数据安全，反对利用信息技术破坏他国关键性基础设施或窃取重要数据，以及利用其从事危害他国国家安全和社会公共利益的行为；主张采取措施防范、制止利用网络侵害个人信息的行为，反对滥用信息技术从事针对他国的大规模监控或非法采集他国公民个人信息；要求企业严格遵守所在国法律，不得要求本国企业将境外产生、获取的数据存储在境内；倡导尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据，如因打击犯罪等执法需要跨境调取数据，应通过司法协助渠道或其他相关多双边协议解决，且国家间缔结跨境调取数据双边协议不得侵犯第三国司法主权和数据安全等。

3   总体国家安全观下中国强化跨境数据安全治理的应对策略

全球数字产业跨越式发展推进海量数据跨境广域流动，潜藏着巨大的安全风险，务须坚持总体国家安全观。中国面对世界范围内的数据治理规则角力、部分行业数据监管缺位、跨境数据安全防护困难等诸多痛点［25］，亟待全面贯彻总体国家安全观，以发展与安全并重为顶层原则，不断巩固数据安全战略意识，加强关键信息基础设施的安全保护，增强数据安全预警和溯源能力，构筑协调数据本地化与跨境流动需求、加强跨境数据安全保障能力评估、建立跨境数据集中监管等符合切身利益的安全治理体系。

3.1    总体国家安全观的内涵和价值

新一轮科技革命和产业革命给国家安全领域带来众多新挑战和新问题。新形势下的国家安全观超越了传统安全思维，涵括政治、国土、经济、文化、社会、生态、网络等诸多领域，促使安全主体从单一转向多元，既有内部安全也有外部安全，既有传统安全也有非传统安全，既有实体安全也有网络安全［26］。

作为网络空间透明性和开放性的载体，数据跨境流动日益成为影响中国国家安全的重要变量，受到多部政策法规的全力支撑。中国“十四五”规划纲要提出要“加强涉及国家利益、商业秘密、个人隐私的数据保护，加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护”［27］。《数据安全法》明确提出“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力”［28］。总体国家安全观是保障数据安全的核心指南，在其指导下构建数据跨境制度是防范化解数据安全风险的有效路径。面对海量数据跨境流动的宏观环境，只有充分了解总体国家安全观的科学内涵，才能引领数据安全保护规则的制定执行，并为更好地构建跨境数据治理体系提供正确方向与理论支撑。

3.2    中国跨境数据治理的现行布局

3.2.1   系统勾勒数据分类分级标准

数据爆炸性增长的时代产生了众多高价值数据、稀缺數据和核心数据，亦充斥着海量低价值数据、常见数据和普通数据。广域离散的数据集聚不仅导致数据安全保护的标准不一且混沌无序，还在一定程度上制约数据产业与其他行业的协调发展。不同类型数据的级别和价值不同，应当根据数据的重要性和价值指数等予以区别对待［29］。如全国信息安全标准化技术委员会发布的《网络安全标准实践指南——网络数据分类分级指引》中具体勾勒了网络数据分类分级的方法和框架体系，明辨数据定义、描绘数据危害程度、减少法条适用难度，以合法合规、分类多维、分级明确、就高从严、动态调整的定级原则和细化流程，推动数据分类分级的标准化、框架化和系统化，指引相关主管部门细致化、精准化和科学化监管数据分类分级［30］。

3.2.2   持续贯彻数据本地存储原则

中国先后通过《网络安全法》《数据安全法》《个人信息保护法》这“三驾马车”，以数据本土化和属地原则等为核心，构筑数据境内存储和出境安全审查机制，最大限度地保障国家安全、公共利益和个人权益。如《网络安全法》率先在法律层面上从国家安全角度专项规定数据出境安全的具体要求，重点强调关键性信息基础设施的运营主体在中国境内运营过程中产生和收集的重要数据和个人信息均应当遵循本地存储要求。对于确因业务或特殊需要必须向境外提供数据的情况，应当遵循国务院有关部门制定的安全审查评估规范［31］；《数据安全法》进一步完善了数据出境相关规定，将适用范围自关键性信息基础设施运营主体扩大至所有提供重要数据处理服务的主体，不仅积极适用《网络安全法》的相关规定，还定期开展数据处理风险评估并主动向主管部门报送详细结果，且衔接《出口管理法》，对与维护国家安全和利益、履行国际义务相关的管制事项的数据依法执行出口管制制度；《个人信息保护法》则主要针对加强个人数据信息保护提出客观要求，对促进数字经济健康发展列明重要举措，完善个人信息跨境提供规则，同时对跨境提供个人信息的“告知-同意”作出更严格的要求。

3.2.3   细化列明数据出境安全评估标准

面对日趋尖锐的数据出境安全问题，中国以“三架马车”为基础，陆续发布《数据出境安全评估办法》《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定（征意稿）》等关涉数据出境安全的规范性条例，进一步明确数据出境安全评估、认证和标准化合同订立相关的流程规范和具体要求。以“事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动”为原则，重点评估“数据出境实践可能对国家安全、公共利益、个人或者组织合法权益带来的风险”。如《数据出境安全评估办法》补充了“三架马车”的上位法对于数据出境安全治理的配套措施，进一步规范安全评估机制的适用场景、监管部门、实体内容、程序规则、保密要求等，明确跨境数据流动的合规要求，规定评估复议权、评估有效期、评估方的保密义务并给予6个月的合规宽展期；《数据出境安全评估申报指南（第一版）》细化数据出境行为的认定标准，具体说明安全评估适用范围、情形解释、申报方式及流程，并提供相应模板［32］；《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》为个人信息处理主体提供数据跨境的适用场景、认证主体、基本原则和权益保障等方面的具体要求［33］，《个人信息出境标准合同规定（征意稿）》则明确了标准合同的适用范围、义务细则、重点评估内容、备案材料等并提供合同模板，旨在通过合同签订帮助相关服务主体根据自身业务需求实现个人信息合法出境［34］。

3.3    中国跨境数据安全治理的强化策略

3.3.1   贯彻发展与安全并重原则

跨境数据安全治理本质上是寻求发展与安全的有序平衡。一方面，持续增长的海量数据在全球范围内的动态交互与实时共享最大限度地释放价值潜能，为数字经济发展提供不竭动力，日益成为主要国家和地区争相抢占的基础性战略资源和关键性创新要素；另一方面，虚拟空间的极致扩张、信息鸿沟的持续加大、数据军备竞赛的不断升级等促使传统意义上的数据安全日益渗透军事安全、政治安全、国家安全等领域。中国以《网络安全法》的“保障網络信息依法有序自由流动”为主旨，坚守《数据安全法》的“促进数据跨境安全、自由地流动”为理念，始终遵循统筹发展和安全、国内法治与涉外法治、有效保护与合法利用等规则，从数据跨境流动的诸多焦点入手，构建双轨制下的多层次数据跨境治理体系，在跨境数据良性互动的进程中审慎把握安全要素，努力实现经济社会发展和国家数据安全的动态平衡。

3.3.2   协调数据本地化与跨境流动需求

数据本地化策略“虽然在一定程度上实现了维护国家数据安全、缩小与欧美发达国家的数字鸿沟、促进数字产业发展的现实要求，却也因此影响中国充分参与国际数据跨境流动的规则建构和国际话语权提升，降低了数据跨境流动的效率，难以满足国内数字平台集团深度参与国际经贸合作的需要”［35］。中国在坚持数据本地化基准的同时，亦全面满足安全评估机制下的数据跨境流动需求。如《网络安全法》要求“关键信息基础设施的运营者在境内收集和产生的个人信息和重要数据应当在境内存储”，但“因业务需要，确需向境外提供的，应进行安全评估”；《个人信息保护法》规定国家机关向境外提供个人信息时的安全评估义务、关键信息基础设施运营者和处理达到规定数量的个人信息处理者在向境外提供时应当进行安全评估［36］。

3.3.3   加强跨境数据安全保障能力评估

详细可行的安全保障能力评估是跨境数据安全治理的重要工具，有利于更好地发挥数据安全技术的支撑作用，实现数据跨境流动全生命周期各环节的规范化、科学化、有序化、可溯源与可验证等，更好地促进相关领域的国际合作。通过细化管理组织体系、全流程管控程序、分级分类标准、应急处置方案、风险评估机制、事后救济和权益保障，强化数据安全管理能力评估；通过追踪数据收集、存储、加工、传输、分析、交换、应用、销毁等整个过程，强化数据安全的技术能力评估；通过统筹数据安全风险评价、数据安全能力认证、数据安全检查测评、数据安全合规审计、网络安全等级保护机制等综合因子，强化数据安全保障措施的有效性评估；通过量化组织建设、制度流程、技术工具、人员能力等多重维度，强化数据安全能力成熟度评估；通过完备产品认证、服务认证、管理体系认证，强化数据安全认证实施程序。

3.3.4   建立跨境数据集中监管机制

整个社会平稳运作中法律规制高效运行的有力支撑是完善的监管机制。当前数据立法保护与“中央统筹负责，地方与行业自治”的监管逻辑相结合的模式在一定程度上强化了对于跨境数据流动的安全保护，却无法全面妥善地解决数据跨境中凸显的监管主体不明确、监管权限不清晰、监管适用标准和执法程序不适配、不同地区和殊别行业之间监管割裂与治理分散等问题。尽管中国已经建立部级联席会议制度，但相关监管政策在落地执行中反复出现涉及网信、工信、科技、教育、发改委、市场监管、自然资源以及公安机关、国家安全机关等众多部门的问题，容易形成多头监管和互相推诿的现象。在这种情况下，亟待构筑国家层面的数据监管机构，完善跨区域、跨行业、跨部门分散监管的联动协调机制，统筹法规适用选择、数据评估指引、域外执法合作、冲突协商解决等数据跨境关键环节，促进数据作为生产要素的依法高效流动，遏制域外监管机构对国家安全、企业权益、个人利益的肆意侵害。

4   结语

互联网的迭代演进改变了人类社会的运转方式，接近零成本跨越现实地理边界的海量数据资源成为数字经济蓬勃发展的强大动力，却也因频繁发生威胁国家安全、社会稳定、企业利益和居民权益的恶性事件而引发众多主权国家执行审慎的防御性跨境限制和监管措施。基于数据跨境在网络空间命运共同体构建中的重要支撑作用与跨境流动可能引发的安全风险，中国应当坚定安全与发展并重的底线思维，在确保风险可控的前提下，深入参与数据跨境的全球治理实践并不断提升国际话语权，助力公平开放、安全有序的数字经济圈健康发展。

参考文献：

［1］  Digital Economy Report 2021：Cross-border Data Flows and Development：For Whom the Data Flow［EB/OL］.［2021-12-14］.https：//www.un.org/pga/76/2021/12/14/unctad-digital-economy-report/.

［2］  安柯颖.深入研究规范数据跨境流动［N］.人民日报，2022-02-28（9）.

［3］  冯慧敏.中概股审计底稿信息和数据跨境流动困局的形成与纾解［J］.中国注册会计师，2022（11）：73-76.

［4］  1亿用户信息遭出售，支付处理公司Juspay发生数据泄漏［EB/OL］.［2021-01-08］.https：//www.51cto.com/article/639660.html.

［5］  郭德香，李晓豫.我国个人金融数据跨境流动的法治保障［J］.河南财经政法大学学报，2022（6）：80-88.

［6］  环球网重磅披露：某海洋组织接受境外资助，在我国非法设监测点［EB/OL］.［2021-11-08］.http：//k.sina.com.cn/article_5

057784135_12d77a94700100wzdf.html.

［7］  乌尔苏拉·冯·德莱恩.欧盟委员会2019-2024年的政治指导方针［EB/OL］.［2020-02-07］.https：//www.sohu.com/a/371178549_731643.

［8］  陈际红，吴佳蔚，杨润，等.欧盟个人数据传输的两项新工具（SCCs）：历史演变、法律影响和应对策略［EB/OL］.［2021-06-29］.https：//mp.weixin.qq.com/s/AaaJGkorkxwb5gMCN91nJw.

［9］  何渊.欧盟《数据法》草案出台：一个公平和统一的数据访问和共享框架［EB/OL］.［2022-02-24］.https：//mp.weixin.qq.com/s/dU_hmqXnAzmjfhMKdG1C-A.

［10］  美国商务部拟定出口技术管制条例，严格限制AI、量子计算等关键技术［EB/OL］.［2022-02-24］.https：//mp.weixin.qq.com/s/XxVY_qDIFpvrkuWDP_q-DQ.

［11］  Foreign Investment Risk Review Modernization Act［EB/OL］.［2022-02-24］.https：//sgp.fas.org/crs/misc/IN10924.pdf.

［12］  Cloud Act［EB/OL］.［2022-02-24］.https：//www.justsecurity.org/wp-content/uploads/2018/02/Cloud-Act.pdf.

［13］  Holding Foreign Companies Accountable Act Disclosure［EB/OL］.［2021-12-02］.https：//www.sec.gov/rules/final/2021/34-93701.pdf.

［14］  张茉楠.跨境数据流动：全球态势与中国对策［J］.开放导报，2020（2）：44-50.

［15］  张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则［J］.政治与法律，2016（12）：136-154.

［16］  田地，高明，王祺，等.数据治理的国际经验及对我国完善征信数据跨境管理的启示［J］.征信，2021（11）：1-7.

［17］  易永豪，唐俐.我国跨境数据流动法律规制的现状、困境与未来进路［J］.海南大学学报（人文社会科学版），2022（6）：135-147.

［18］  数据出境安全评估办法［EB/OL］.［2022-07-07］.https：//www.thepaper.cn/newsDetail_forward_18912847.

［19］  Global Cross-Border Privacy Rules Declaration［EB/OL］.［2022-04-21］.https：//www.meti.go.jp/press/2022/04/20220421001/20220421001-1.pdf.

［20］  The United States-Mexico-Canada Agreement［EB/OL］.［2021-12-28］.https：//sgp.fas.org/crs/row/R44981.pdf.

［21］  Comprehensive and Progressive Agressment for Trans-Pacific Partnership Preamble［EB/OL］.［2022-03-08］.https：//www.iilj.org/wp-content/uploads/2018/03/CPTPP-consolidated.pdf.

［22］  Regional Comprehensive Economic Partnership Agreement［EB/OL］.［2022-11-30］.https：//rcepsec.org/wp-content/uploads/2020/11/All-Chapters.pdf.

［23］  “中國+中亚五国”数据安全合作倡议［EB/OL］.［2022-06-09］.http：//www.gov.cn/xinwen/2022-06/09/content_5694775.htm.

［24］  钟力，唐会芳，王雨薇.从数据利用视角探讨数据出境安全问题［J］.中国信息安全，2022（3）：70-72.

［25］  王震，陈晓红.加强我国跨境数据流动监管［EB/OL］.［2022-03-09］.http：//finance.people.com.cn/n1/2022/0309/c1004-32370995.html.

［26］  杨郁娟.总体国家安全观视角下的智慧侦查［J］.理论探索，2022（1）：23-28.

［27］  中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要［EB/OL］.［2021-03-13］.http：//www.xinhuanet.com/2021-03/13/c_1127205564_8.htm.

［28］  中华人民共和国数据安全法［EB/OL］.［2021-06-10］.http：//www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7

938f99a788a.shtml.

［29］  郭灵.标准应用践行数据分类分级，打好数据安全基础［EB/OL］.［2022-01-19］.https：//mp.weixin.qq.com/s/7qSOxs9ekJ2vrP1W0CGzHQ.

［30］  袁梦盈.网络安全标准实践指南——数据分类分级指引（征求意见稿）：术语与定义、分类分级原则相关意见［EB/OL］.［2021-10-08］.https：//mp.weixin.qq.com/s/Us0b0OaBUc1xz8WaCc_Jpg.

［31］  中华人民共和国网络安全法［EB/OL］.［2022-11-07］.http：//www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml.

［32］  数据出境安全评估申报指南（第一版）［EB/OL］.［2022-08-31］.http：//www.cac.gov.cn/2022-08/31/c_1663568169996202.htm.

［33］  网络安全标准实践指南——个人信息跨境处理活动安全认证规范［EB/OL］.［2022-06-30］.https：//www.tc260.org.cn/file/zn13.pdf.

［34］  国家互联网信息办公室关于《个人信息出境标准合同规定（征求意见稿）》公开征求意见的通知［EB/OL］.［2022-06-30］.http：//www.cac.gov.cn/2022-06/30/c_1658205969531631.htm.

［35］  陈兵，杨鎏林.因应数字平台集团数据跨境流动安全治理挑战［J］.统一战线学研究，2022（3）：91-107.

［36］  中华人民共和国个人信息保护法［EB/OL］.［2021-08-20］.http：//www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.

作者简介：卫承霏，男，南京财经大学马克思主义学院講师，江苏省习近平新时代中国特色社会主义思想研究中心南京财经大学基地研究员，研究方向：信息安全与数据治理；蒋洁，女，南京信息工程大学法政学院教授，研究方向：信息政策法律与伦理问题研究。