贾宗仁，李方舟，朱 妍，薛 超

1. 自然资源部测绘发展研究中心，北京 100036；

2. 自然资源部人力资源开发中心，北京 100860

0 引 言

在数字经济时代，数据跨境流动已经成为驱动全球经济增长和国际贸易的重要力量，同时也成为关系国际政治、经济和社会的核心议题[1]。全球主要经济体均高度关注数据跨境流动，纷纷出台相关政策法规进行规制，关于数据主权的国际竞争呈现愈演愈烈的趋势[2]。地理信息作为现实世界的各类自然人文对象与数字空间联系的桥梁，更是成为当前数据跨境流动治理的焦点之一。

世界各国纷纷对地理信息数据跨境流动政策做出积极探索，但由于各国地理信息产业不同发展阶段、不同国情等因素，其跨境流动政策也存在差异。然而，目前国内数据跨境流动政策研究主要集中在从区域、国家层面对数据跨境流动政策、理念、模式进行梳理和比较或从地缘政治、经济、科技以及企业等不同视角进行调研和实证[3-4]。针对某一特定领域的数据跨境流动政策的研究相对较少，少数研究仅涉及如金融[5]、智能网联汽车[6]等领域，特别是对于事关国家主权、安全和利益的地理信息领域的数据跨境流动政策研究基本处于空白。

因此，本文对世界部分国家地理信息跨境流动法规政策进行系统梳理，探讨国际地理信息跨境流动法规政策异同性，进而为我国地理信息跨境流动管理制度建设与实践提供借鉴。

1 跨境流动政策的国际格局概述

世界各国基于自身数字经济产业自身实力，以及出于国家安全和地缘政治等因素的考量，对于数据跨境流动政策的路径选择各不相同（表1），主要分为3 种类型：以美国为代表的主张自由流动[7]，以欧盟为代表的以个人信息保护为核心的有条件流动[8]，以俄罗斯为代表的严格管制和本地化存储主张[3]。欧盟、美国等数据主权战略以攻为主，通过管辖权扩张将其数据主权扩展至欧美企业所在全球市场。俄罗斯等其他众多国家和地区主要从维护国家数据安全的角度出发，选择以守为主[9]。不同国家之间的跨境流动政策加剧了对于各国数据管辖权的冲突，已经事实形成全球数据流动的壁垒，同时也深刻影响了地理信息跨境流动的政策导向。

表1 部分国家数据跨境流动政策特点比较Tab.1 Comparison of the characteristics of cross-border data flow policies in some countries

2 国际地理信息跨境流动政策现状分析

2.1 美 国

美国在全球地理信息产业占据领先地位，拥有谷歌、易智瑞、天宝等产业头部企业，业务遍布全球，对地理信息跨境流动需求量非常大。因此，美国主张地理信息跨境自由流动，以维护其数据霸权。但近年来，美国频繁出台政策，对涉及国家安全及核心利益领域的地理信息跨境流出进行严格规制。

个人地理信息数据。一方面美国严格限制外资企业获得个人位置等数据，根据《外国投资风险审查现代化法案》及实施细则，使用定位系统、手机信号塔或WiFi 接入点，如通过移动应用程序、车辆GPS、其他车载地理信息工具或可穿戴电子设备等收集的地理位置数据被列为敏感数据，纳入美国外资投资委员会（The Committee on Foreign Investment in the United States, CFIUS）审查范围；另一方面，采取歧视性的禁止、限制措施，根据美国《国家安全与个人数据保护法案》，中国、俄罗斯等被列为关注国，禁止在关注国存储在美国境内收集的涉及个人地理信息。

非个人的地理信息数据。根据美国《受控非密信息（Controlled Unclassified Information, CUI）》行政命令，政府地理测绘产品信息作为124 个子类之一，纳入CUI 清单实施登记备案及标识管理，并通过技术标准将其范围扩大至非联邦机构，同时控制数据的传播范围[10]。此外，按照美国《出口管理条例》要求，针对特定领域的受控数据传输到位于美国境外的服务器保存或处理，需要取得商务部产业与安全局出口许可。

2.2 欧 盟

欧盟认为隐私是基本人权，个人数据享有保护的优先级[11]。对涉及隐私的地理信息如个人位置数据应按照《通用数据保护条例》（General Data Protection Regulation，GDPR）规定进行高标准的保护，任何机构在搜集、传播、整理、使用欧盟成员国公民的个人数据时必须遵守该条例要求，跨境流动仅限于欧盟成员国以及通过GDPR 认定的达到与欧盟同等的保护水平的国家[12]。各成员国纷纷在GDPR 框架下，通过立法对涉及隐私的地理信息跨境流动进行保护和管制。如德国《联邦州地理空间数据基础设施法》要求地理信息的使用应采取与现有技术水平相适应的保护措施来维护个人数据传输的保密性和完整性。英国（目前已脱欧，但仍遵循GDPR）军械测量局制定的数据保护和隐私政策要求，涉及个人数据的地理信息可能被转移到军械测量局服务器所在的欧洲经济区、美国和澳大利亚，但必须采取适当的措施来防止未经授权或非法处理以及意外丢失、破坏或损坏。

各国通过立法划定限制访问的地理信息范围。德国《地理数据访问法》列举了影响国际关系、军事国防、公共安全、保密性、司法公正、商业秘密、知识产权等若干限制数据访问的情形规定。对于个人数据和限制访问数据之外，欧盟各国对于地理信息跨境流动限制较少，通过《非个人数据在欧盟境内自由流动框架条例》消除各国的数据本地化要求，确保地理信息数据在各国的自由流通[7]。

2.3 俄罗斯

出于本国网络安全面临的现实威胁，俄罗斯推行强制本地化策略，非常重视地理信息主权的规制。一方面，《关于信息、信息技术和信息保护法》规定，互联网用户关于语音、文字、图片、声音、视频或其他信息的互联网信息必须保存在俄罗斯境内；另一方面，《联邦个人数据法》要求涉及俄罗斯公民个人数据的记录、存储、检索等必须使用位于俄罗斯境内的数据库[3]。因此，个人地理信息按照要求应存储于境内数据库。但俄罗斯也划定了允许数据自由流动国家范围，允许数据向《108号公约》缔约国以及白名单国家流动[13]。

俄罗斯对于非个人地理信息跨境流动实施分类管理，根据《将测量点坐标数据和俄罗斯联邦领土地理信息转交至他国或国际组织的程序细则》划分为3 类情形：属于国家秘密的地理信息传输需要俄罗斯联邦政府决定，申请国需要在相关国际协议中明确保护义务；属于限制分发的地理信息，需要与俄罗斯联邦国防部、联邦大地测量和制图局达成协议；属于非保密的地理信息，需要按照公开出版的程序公开后提供。

2.4 印 度

印度采取本地化存储为主导的策略。一方面逐步推进数据本地化，要求建立数据中心，另一方面列出了一系列相对弹性的豁免情形，如初创公司的数据传输、跨国企业内部数据传输、基于合同进行的数据传输等[14]。

个人地理信息，《个人数据保护法案（2019 草案）》将个人数据分为一般、敏感两类进行管理，禁止敏感个人地理信息出境，仅能存储在境内数据中心；而一般个人地理信息，实施有条件向境外转移[14]。非个人地理信息，根据《关于获取和生产地理空间数据以及地理空间数据服务指南》，地理信息数据出境按照阈值（平面测量1 m，高程测量3 m，重力异常1 m Gal等）进行分类管理，超过阈值的地理信息只能由印度实体获取和处理，必须在印度境内存储和处理，不超出阈值的出境不受限制。对于特定测绘活动，如地面移动地图测量、街景测量和印度领海测量，仅允许印度实体实施，CORS 数据仅向印度实体提供。

2.5 韩 国

韩国地理信息跨境规则强调以保护为主，根据不同类型数据建立不同的管理模式。韩国《信息通信网络的利用促进与信息保护等相关法》要求，信息通信服务商或用户应采取必要手段防止任何有关工业、经济、科学、技术等的重要数据通过网络流向境外。与此同时，韩国不断谋求与欧盟、美国数据跨境流动规则的融合，如2017 年欧盟与韩国启动了数据跨境传输谈判。

个人地理信息按照韩国《个人信息保护法案》要求，跨境前需要取得信息主体的知情同意，不得侵犯信息主体的权利[15]。非个人地理信息出境，韩国实施分类管理，按照不同类别适用不同的出境程序主要有两项制度：一是《地理空间数据建设与管理法》规定，未经国土交通部部长许可，不得将基础测绘成果和公共测绘成果带出国外；二是韩国国土交通部《国家地理空间信息安全管理条例》将地理信息划分为航摄影像、卫星影像、电子地图、海洋地理信息和其他地理信息，并通过属性要素、空间精度等指标详细划定了非公开、限制公开和公开的范围，规定属于非公开和限制公开的地理信息不得出境。上述两项均保留在国际协定下的限制出境的豁免权。

2.6 日 本

日本未针对地理信息跨境流动进行专门规定，地理信息数据在满足《日本测绘法》《政府地理信息提供相关指南》等法规政策中关于个人信息保护、国家安全和公共安全相关条款的合规基础上，与其他数据跨境传输并无差异。

个人地理信息根据《个人信息保护法》规定，一般情况下，处理个人地理信息的经营者在向国外第三方提供个人数据时，需获得数据主体的同意；但向经日本个人信息保护委员会认定的具有同等个人信息保护标准的“白名单”国家传输个人地理信息，可不经数据主体同意直接传输[16]。非个人地理信息方面，日本对于一般数据流动不予限制，对于涉及国家安全的地理信息、源代码和算法等跨境流动进行了限制。同时，日本积极采取技术措施保障跨境数据安全，根据《政府地理信息提供相关指南Q&A 合集》，出于国家、公共安全以及个人信息保护的需要，必要时需对地理信息进行加工，通过技术措施去除可能损害国家和公共安全等的信息，具体包括从多边形变换为网格、点数据，降低多边形的形状的准确度和位置精度，降低图像信息分辨率等。

3 地理信息跨境流动政策的异同性分析

3.1 共 性

1）均高度控制地理信息的跨境流动。尽管各国数据主权战略存在差异，但普遍都将地理信息作为与国家安全、公共安全和个人隐私高度相关的特定领域数据，多数国家将其纳入“重要（敏感）数据”范畴，实施严格的跨境流动监管。

2）均强调个人地理信息保护和跨境流动管制。在大数据时代，个人位置数据被广泛搜集，经过分析使个人很容易被识别或定位。同时，个人地理信息具有巨大商业价值，其跨境流动需求较其他地理信息更大。因此各国将其视为核心个人数据，将其作为独立的监管客体，建立了区别于其他地理信息的监管政策。

3）普遍采取分类分级监管模式。地理信息具有多种数据特征，不同的空间特征、属性特征和时序特征等具有不同价值和敏感性，按照重要程度和敏感性对地理信息进行分门别类，能够对不同类型数据实施差异化的保护策略，同时为地理信息开放和共享提供支撑[16]。因此，采取分类分级方式成为国际实施地理信息跨境流动监管的普遍模式。

3.2 差异性

1）出发点不同。地理信息跨境流动政策取向，取决于各国地缘政治、数据主权战略，以及地理信息产业实力和开放程度。欧美等发达国家和地区出于其利益需求，意图构建全球数据跨境流动的国际规则。由于谷歌、海克斯康、空客、易智瑞等欧美跨国地理信息企业在全球已经形成垄断态势，欧美国家迫切需要掌握跨境流动规则制定的话语权，在保障安全基础上尽可能倡导自由流动，以数字全球化契机扩大地理信息产业的全球渗透率。俄罗斯、韩国、印度等出于对本国网络和数据安全面临的现实威胁，强调对其数据主权的绝对掌控，又担心在全球数字经济中被“孤立”，因此采取的措施相对保守，但通过划定流通范围和建立豁免规则保留地理信息跨境流动的渠道。

2）实施机制不同。具体体现在监管的方式的差异。对于个人地理信息，主要以企业自律为基础，政府监管为保障，采取审查认定（欧盟、俄罗斯、日本）、数据主体同意（韩国、日本）、有条件出境（印度）等模式。对于重要（敏感）地理信息，主要采取划定范围施行一般性禁止和审查出境，如俄罗斯、韩国通过设立行政许可采取一事一议的事前行政审查，美国对受控数据的出口许可。

3）重要（敏感）地理信息范围不同。虽然各国对于重要（敏感）地理信息的跨境流动均严格管理，但划定的范围却不相同。各国均将涉及国防、军事、公共安全等要素的地理信息列入重要（敏感）范畴。但美国和欧盟各国仅列举了限制访问和受控地理信息的考虑因素，政策弹性较大。而韩国、印度均将比例尺、平面高程精度等作为划定重要数据的刚性要求。总体来看，考虑各国地理信息安全保密政策和地理信息公开程度，韩国、印度等国较欧美国家划定的重要（敏感）地理信息范围宽泛得多。

4 我国地理信息跨境流动管理发展现状

4.1 现状分析

目前，我国地理信息跨境流动管理仍不完善，规制范围较窄，仅明确了互联网地图服务强制本地化存储、进出口地图需经审核批准、来华测绘成果一般性禁止出境等若干要求（表2），已不适应当前技术条件下监管需求。存在以下问题：一是地理信息种类繁多，现行规定未能涵盖所有类型数据，对于除地图外的其他地理信息缺乏适用；二是现行政策存在一刀切现象，忽略了产业界存在的跨境流动需求；三是主要采取前置审批方式，缺乏有效的监管机制，对地理信息跨境流动的监控、执法基本处于空白。尤其是在自动驾驶快速发展的趋势下，上述问题一方面缺乏对维护国家安全、公共安全和个人利益的法律保障，另一方面也对促进地理信息数据这一重要生产资料的有序流动，推动地理信息产业高质量发展缺少有效指导。

表2 我国现行地理信息跨境流动相关政策Tab.2 Current policies on cross-border flow of geographic information in China

4.2 发展借鉴

针对我国地理信息跨境流动治理中存在的问题，理性借鉴国际相关经验，本文对于我国构建符合自身发展利益诉求的地理信息跨境流动治理模式提出如下发展思考。

1）确立以安全为底线，开放有序流动为原则的管理思路。各国均建立了符合自身利益的跨境流动治理模式，各自立法思路、监管规则具有一定合理性。因此，我国地理信息跨境流动发展应服务于我国建设网络强国、地理信息强国目标，既要实现地理信息跨境流动高度控制，提升对于地理信息跨境流动的可知可控能力，又要杜绝“一刀切”政策推动数据有序流动，促进地理信息产业发展。同时，保持与国际规则的接轨，秉承沟通与交流的理念，参与地理信息安全治理、开发利用等领域国际合作以及地理信息安全相关国际规则和标准的制定，为国际地理信息跨境流动治理推广中国方案。

2）建立分类分级管理制度，加强重要数据管理。借鉴俄罗斯、印度、韩国等国普遍采取的分类分级管理重要（敏感）地理信息方式，可考虑依据属性类别、空间尺度、粒度等指标，从保密性、完整性、可用性、真实性、准确性等多个安全需求角度建立相应的评估体系，按照重要程度和受破坏后危害程度对地理信息进行分类分级，编制地理信息领域重要数据目录。对于地理信息领域重要数据采取一般性禁止原则，实施强制本地化要求。对于个人地理信息以及政府和公共部门、行业非限制性数据，通过制定相关标准，经评估后实施有条件跨境流动。此外，针对国外对我地理信息跨境流动采取的歧视性限制或禁止措施，制定我国可应对的对等反制措施和政策储备。

3）加强地理信息跨境流动评估、监测和执法。鉴于缺少对地理信息领域跨境流动的监管经验，可考虑对我国涉外地理信息企业和合资、外资企业地理信息数据跨境流动情况开展调研评估，摸清相关企业数据跨境流动的数据类型、场景、需求及风险点。同时，借鉴欧盟、美国等对于非法数据跨境流动实施严厉制裁的经验，建立常态化的地理信息跨境流动监控和预警机制，加大地理信息非法跨境流动的执法和惩戒力度，促进行业自律。

5 结 论

从数据跨境流动的国际格局出发，选择美国、欧盟、俄罗斯、印度、韩国、日本等6 个具有代表性的国家和地区的地理信息跨境流动政策现状进行调查和对比研究。分析结果表明，各国均高度控制包括个人数据在内的地理信息跨境流动，并普遍采取分类分级管理模式，但各国政策的出发点、实施机制和重要数据划定范围存在一定差异。结合我国地理信息跨境流动现行政策存在的适用范围窄、“一刀切”现象、缺乏有效监管机制等问题，借鉴国际相关政策经验，提出我国应明确以安全为底线、开放有序流动为原则的管理思路，建立分类分级管理制度，加强重要地理信息跨境评估、监测和执法等政策建议。本文总结的国际地理信息跨境流动政策相关现状有效填补了对于国际地理信息数据跨境政策的认知空白，相关分析和建议可为我国地理信息跨境流动政策的制定提供一定参考。