张奕欣，王一楠，陈继鑫，吕欣润

(1.国家计算机网络应急技术处理协调中心,北京 100029;2.北京德恒律师事务所,北京 100031)

随着经济全球化与信息技术的发展，全球数字经济和跨境电子商务迅速发展，引起了全球范围内的数据流动。作为数字经济时代的“石油”，数据具有极大的商业价值和经济价值，国家间的数据跨境流动更具有特殊性，不仅关乎数据主体权利和数据安全，还关乎国家利益、国家主权和安全。因而，为防范数据跨境流动中存在的各种风险，各国均积极立法规范数据的跨境流动。

面对域外多样的数据跨境立法，中国政府应当如何应对，如何选择适合自身的立法模式，这就成为当下亟待解决的重要问题。基于此，笔者以个人数据跨境流动为主要研究对象，聚焦数据跨境流动的法律内涵，即立法语境下“数据”和数据“跨境”的基本内涵，讨论域外数据跨境流动的法律规制，梳理典型国家和区域组织的数据跨境流动法律规范，讨论我国数据跨境流动的规制现状及问题，为我国完善数据跨境流动的法律规制提出对策建议。

一、数据跨境流动的法律内涵

根据2021年6月10日通过的《中华人民共和国数据安全法》(以下简称《数据安全法》)第3条可知，数据是指“任何以电子或者其他方式对信息的记录”。可以看出，数据有两个特征：其一，数据必须要表达某种信息，并具有一定的内容；其二，数据是能够被客观体现的外在形式。然而，并非所有的跨境“数据”和数据“跨境”行为都将受到法律规制，数据跨境流动的法律内涵需要进行明确界定。

(一)跨境“数据”的法律内涵

1.我国立法中跨境数据的内涵

国家网信办于2017年4月发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)，将我国所规范的出境数据分为“个人信息”和“重要数据”两大类。

就个人信息而言，《评估办法》第17条将其定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”；2021年8月公布的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)将其定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。从中可以看出，跨境个人信息的法律内涵为：首先，个人信息与自然人相关联，无论是“已识别”从特定自然人到信息之间的关联还是“可识别”从信息准确识别或追踪特定自然人的关联；其次，个人信息不包括经过匿名化处理后的信息。个人信息是我国数据跨境流动规制的主要对象。

就重要数据部分而言，国家网信办于2019年6月发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称《新评估办法》)删除了“重要数据”部分；之后出台的《数据安全法》要求加强对重要数据的保护，但没有界定何为重要数据，其他法律也未有规定。2021年10月，国家网信办发布《数据出境安全评估办法(征求意见稿)》(以下简称《数安评估办法》)就重要数据出境申报、数据出境安全评估及评估时网信办征求相关行业主管部门意见进行规定。但重要数据的界定原则、保护内容等均仍有疑问。值得一提的是，全国信息安全标准化技术委员会于2017年5月发布了《信息安全技术数据出境安全评估指南(草案)》(以下简称《评估指南》)，将重要数据定义为相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)，并以列举的方式提出了不同行业(领域)重要数据的范围。尽管《评估指南》并非严格意义上的法律，但其将重要数据按不同行业所属列成了清单，具有较强的参考指导意义。

2.外国立法中跨境数据的内涵

世界其他主要国家或地区对于数据的规范也主要集中在“个人数据”层面上。欧盟将个人对其数据的处分权赋予“基本人权”的价值属性，重视对个人数据的保护[1]。欧盟《通用数据保护条例》(GDPR)第4条与我国《个人信息保护法》对个人信息的界定高度相似，均强调“已识别”和“可识别”这两个重要属性。英国《数据保护法》、日本《个人信息保护法》、俄罗斯《个人数据保护法》、非盟《网络安全个人数据保护条约》等立法也均将个人数据定义为具有客观可识别性的自然人信息(1)参见Federal Law No.152-FZ of July 27, 2006 on Personal Data Article 3.1; African Union Convention on Cyber Security and Personal Data Protection Article 1。。

此外，欧洲议会于2018年通过了《非个人数据自由流动框架条例》，将“非个人数据”定义为“GDPR第4条第(1)点界定的个人数据以外的数据”。《欧盟非个人数据自由流动框架条例指南》则对非个人数据进行了更为详细的界定，认为非个人数据包括“最初已确认或可确认的与自然人无关的数据”。

3.个人数据的“可识别性”

通过整理和比较全球主流的立法体系可以看出，目前数据跨境立法中关于跨境数据的保护范围主要聚焦于个人数据。而在互联网经济与电子商务的发展背景下，个人数据的“可识别性”之界定受到挑战。

个人信息按其内容可划分为直接信息与间接信息。直接信息即直接来源于人身的各项信息，包括姓名、性别、年龄、身份证号等可以直接识别到具体的数据主体的信息。因此，直接信息无疑符合各国数据跨境法律所规制的对象要求。

然而，某些企业经营者，尤其是电子商务企业，在业务经营中会收集诸如用户的设备信息和服务日志信息等间接信息。间接信息是否属于个人信息，存在一定争议。从立法规范来看，我国《信息安全技术 个人信息安全规范》(GB/T 35273-2020)将个人上网记录和个人常用设备信息列入个人信息范围之内，并指出个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，应属于个人信息。欧盟GDPR第3.2(b)条明确将监控数据主体活动轨迹的行为纳入了该法所规制的范围，同时也在其第4(4)条将“用户画像”纳入了所规制的数据范畴。

实务中，关于间接信息是否应被归入个人信息范围的典型案例为朱烨诉百度侵犯隐私权案(2)参见江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。。该案二审法院判决认为，网络用户通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，因此不再属于个人信息范畴。

总体而言，目前全球主流的立法中都将跨境收集、处理直属于个人的直接信息纳入跨境数据的规制范围。反应个人网络活动轨迹、兴趣爱好、消费倾向等内容的间接信息是否属于个人信息仍然存在一定争议。

(二)数据跨境行为的法律内涵

数据因其特有的属性，往往并没有类似于货物出口跨境的现实交付，同时又因为其信息从属于一国居民或国家主权而具有属人特征，因此数据跨境可能存在多种表现形式，其法律内涵需要加以界定。

1.我国立法语境下的数据跨境

我国对于数据出境问题的管辖原则目前兼具属人和属地管辖。对于跨境数据的产生端，《评估办法》与《评估指南》的规定保持一致，要求数据产生端必须在中国境内。对于跨境数据的接收端，上述两部规范性文件存在一定差异。《评估办法》坚持与产生端一致的属地原则，规定数据接收端为“位于境外的机构、组织、个人”，即无论接收端系中国居民或外国居民，只要位于中国境外即构成数据跨境行为并受到法律规制。《评估指南》则突破单一的属地管辖原则，兼顾属人管辖，接收端只要是“境外机构、组织或个人”则构成数据跨境行为(3)根据《评估办法》第17条的规定，“数据出境，是指网络运营者将在中国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人”。根据《评估指南》第3.6条的规定，“数据跨境，是指网络运营者通过网络等方式，将其在中国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动”。。此外，《新评估办法》在数据的产生端保持了属地管辖原则，而数据的接收端则并未明确释明管辖原则(4)《新评估办法》第2条并未对数据跨境进行直接定义，而是表述为“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境)”。。之后的《数安评估办法》基本采用了同样的表述。

上述规范文件均尚未产生实质性的约束效力。可以看到，《评估办法》和《评估指南》对数据跨境行为的认定尽管有所不同，但边界较为清晰，即属地或兼具属人与属地。而《新评估办法》则采取了模糊化的表述，对数据跨境的接收端仅作出了概括性规定。因此，探究其他国家的规范体系，有助于引导跨境电商企业充分认识数据跨境行为，也可为我国立法推进带来借鉴参考。

2.代表性国家立法规范中的数据跨境行为

(1)欧盟国家立法规范的数据跨境行为

欧盟在GDPR中规定了其所调整的数据跨境行为，对于数据跨境行为产生端和接收端均采取属地原则。可见，GDPR对于数据跨境行为的界定与《评估办法》基本一致。2018年，欧洲数据保护委员会(EDPB)发布了《关于GDPR地域管辖的指引》，从设立标准和目的标准两个角度重新解读了GDPR对数据跨境的管辖，并给出实例，还通过补充修订排除了非特定为欧盟境内开展业务而产生的数据跨境行为。

综上所述，欧盟GDPR的立法与我国以及很多其他国家及国际组织整体在同一维度，但其通过“打补丁”的方式不断修正对于数据跨境的界定，解决了很多企业在实践操作中的疑惑。

(2)OECD所规范的数据跨境行为

早在1980年，经合组织(OECD)就提出了跨境数据流动执行原则，2013年的《隐私框架》第1.e)条将个人数据跨境行为定义为“跨越国境的个人数据移动”[2]。具体来说，即指位于一国或地区领土内的行为人将数据共享、传输、披露给位于第三国或地区的第三方[3]。OECD所调整的数据跨境行为与《评估办法》基本一致，均强调数据产生端和接收端的属地属性。

(3)俄罗斯立法所规范的数据跨境行为

俄罗斯《个人数据保护法》将数据跨境阐述为“将数据流通至外国领土、外国政府部门、外国自然人或外国法律实体”。该法出台于2006年，因此，对于数据跨境行为的认定与全球主流立法存在一定程度的差异，该条没有限定数据跨境的产生端。此外，该法对于数据跨境接收端的管辖范围较之《评估办法》、GDPR等法律均更为宽泛。数据接收端不仅有“外国领土”这一属地概念，还有“外国政府、自然人、法人”等属人概念。产生端和接收端双重的宽泛，将无疑使得俄罗斯本地企业以及外国企业在从事有关俄罗斯业务时面临较为繁重的数据跨境合规义务。

通过比较代表性国家关于数据跨境行为的规定，可以总结出数据跨境行为指的是产生于一国境内的各种信息，被转移到境外或可被境外主体接触的行为。全球对数据跨境的界定则呈现出产生端以属地为主，接收端则存在属人、属地及兼具属人与属地等多种模式。

二、数据跨境流动的域外规制模式

明确数据跨境流动的法律内涵，是进行数据跨境流动法律规制的前提。概览域外数据跨境流动的法律规制，主要表现为三种趋势，即以欧盟为代表的“充分保护”与限制流动模式、以美国为代表的行业自律与自由流动模式和以俄罗斯为代表的数据主权与本地化存储模式。不同规制模式蕴含了各国对数据跨境流动规制的不同价值取向，也是其推广自身数据跨境流动规则、争夺国际话语权的表现。

(一)“充分保护”与限制流动：以欧盟为代表

欧盟将个人数据作为人权来保护，侧重数据接收国需要达到欧盟对数据保护的标准。“充分保护”与限制流动模式是指数据输出国认定第三国或国际组织能够提供充分或对等保护后，会将其放入许可的白色清单中，个人数据可以自由传输至白色清单中的第三国或国际组织。欧盟、新加坡、新西兰等国家或地区的立法中均规定了“充分保护”[4]。欧盟是“充分保护”与限制流动模式最为典型的代表。

2018年5月25日，GDPR正式生效，被称为“史上最严数据保护条例”。GDPR第五章规定了数据跨境流动的基本原则与具体规则，形成了以“充分保护”标准为核心、以适当保障措施和例外情形为补充的多重保障机制。

1.“充分保护”标准

GDPR第45条第1款规定了“充分保护”标准，在2015年Schrems Ⅰ案中，欧盟法院将充分保护界定为“基于第三国国内法和所做的国际承诺，数据保护达到与欧盟必要相等程度水平”，即第三国可以采取与欧盟不同的数据保护方式，但应证明其保护措施能达到与欧盟必要相当程度的保护水平[5]。

第三国是否达到“充分保护”标准由欧盟委员会进行认定，且至少四年审查一次，实践中，在判断“充分保护”标准时，欧盟委员会倾向于个案认定，即采用情境分析的方法对每个申请主体的情况进行个案裁判[5]。第三国通过“充分性”认定后，欧盟各国的个人数据可以自由跨境传输至该第三国，既利于保护欧盟各国的个人数据，也利于双方的数据自由跨境流动。

2.适当保障措施和法定例外情形

由于欧盟个人数据保护的重视程度和标准较高，导致进入“充分保护”白名单的国家较少。鉴于全球化时代数据跨境流动的需要，对于未进入“充分保护”白名单的国家，GDPR规定数据控制者或处理者可以通过采取适当保障措施或基于例外情形实现欧盟各国个人数据向第三国或国际组织的跨境传输。

适当保障指的是数据控制者或处理者在未达到“充分保护”标准的情况下，如果提供了适当保障，且数据主体获得可强制执行的数据主体权利和有效法律救济，就可以跨境传输数据[6]。根据GDPR的规定，适当保障措施可分为需监管机构特别授权和不需监管机构特别授权的保障措施[7]，不同主体可以根据自身情况灵活选择。此外，GDPR还规定了向第三国或国际组织传输个人数据的7种法定例外情形，以满足数据跨境流动的现实需要。

综上所述，GDPR所规定的适当保障措施和例外情形旨在保护个人数据的同时促进数据的跨境流动，实现数据跨境流动保护、限制与自由的平衡。

3.非个人数据欧盟内自由流动

2018年10月4日，欧洲议会通过了《非个人数据自由流动条例》(以下简称《条例》)。《条例》从禁止欧盟各国数据本地化与促进数据无障碍迁移两方面出发，力图实现欧盟单一市场内非个人数据的自由流动与利用。《条例》赋予了各成员国报告、废止数据本地化相关规定的义务，同时积极促进非个人数据的跨境迁移，鼓励和促进欧盟层面制定自律行为守则。《条例》旨在消除欧盟范围内的非个人数据自由流动的地域障碍，实现非个人数据在欧盟各成员国内的高度自由流动，以推动形成欧盟单一数字市场，促进欧盟数字经济的发展。

总而言之，欧盟形成了一套“内外有别”的数据跨境流动体系：无论是个人数据还是非个人数据，欧盟均积极推动数据在欧盟范围内的自由流动，而对数据流向欧盟范围以外设置了限制性标准。

GDPR对世界范围内的数据跨境流动规则具有较强影响力，成为各国进行数据保护立法的参考模板。许多国家都依照GDPR规则完善数据保护机制，以期达到GDPR规定的“充分保护”标准。例如，韩国于2016年修订了《个人信息保护法》，并积极与欧盟委员会谈判，希望能借此加入“充分性认定”白色清单[8]。

(二)行业自律与自由流动：以美国为代表

不同于欧盟限制数据自由跨境流动、提高个人数据的保护水平，美国的数据跨境流动规制以行业自律为核心，注重数据的经济效益和自由流动。此外，美国积极参与双边或多边协议合作，谋求国家间的数据自由跨境流动和自由贸易、增强自身的全球数据话语权。

1.行业自律模式

美国深刻地意识到数字时代的数据价值，追求经济利益和国家利益。在此背景下，美国在联邦层面并未形成统一的数据保护法，而是采取行业自律模式进行数据保护，鼓励放宽数据跨境流动的限制。在诸多场景中将个人数据视为商业活动中消费者保护问题，由行业内部制定数据跨境流动的相关规范，利于在尊重市场发展规律的基础上推动数据自由跨境传输，实现“数据石油”的占有和利用。

相应的，美国没有统一的针对数据跨境流动的数据保护法，其有关数据跨境流动的立法分散于重点特定领域，限制重要数据出口，包括医疗健康、教育、儿童隐私、金融等领域的数据(5)例如，美国《健康保险携带和责任法》规定了医疗健康数据的跨境传输；《外国投资风险审查现代化法案》则将涉及关键或敏感数据的美国企业做出的特定非控股外国投资纳入安全审查范围。。此外，美国积极通过立法推动国家间的数据自由流动。例如，《澄清合法使用海外数据法》(CLOUD法案)确立了数据控制者标准，赋予了美国政府调取存储于他国境内数据的合法权利[9]，即不论数据是否存储在美国境内，只要该数据为美国公民或企业所控制，通信服务商就应当向美国披露该数据信息。

总而言之，美国的数据跨境流动规制以促进数据自由跨境传输为宗旨，以经济利益和自由贸易为导向，采取行业自律模式进行数据保护，同时限制重要领域数据的跨境流动，呈现出自治性、分散性、灵活性的特点。

2.通过双边或多边合作协议建立国际数据跨境流动规则

为推动国家间的数据自由流动，美国积极开展双边或多边对话与合作，通过双边和多边合作达成国家之间数据流动的制度安排，试图引导国际数据跨境流动规则的建立。

(1)美欧：从“安全港”到“隐私盾”

如上所述，欧美的数据保护理念与制度设计存在差异，这种差异导致双方的数据流动存在障碍。出于经济往来和经济利益的需要，美国与欧盟先后签订了《美欧安全港协议》和《欧美隐私盾协议》，形成了数据跨境流动的合作机制。

《美欧安全港协议》规定了双方信息传输、数据存储等内容。美国企业加入该协议并按要求作出相应承诺，即可被认为达到欧盟指令标准，欧盟各国的个人数据便可传输至美国境内进行存储或处理[10]。《美欧安全港协议》为美国与欧盟各国搭建了数据跨境流动的合法渠道，缓解了双方数据流动的限制问题。

受到“棱镜门”事件和利益冲突的影响，欧盟法院于2015年宣布《美欧安全港协议》失效。2016年，美国与欧盟重新谈判并签署了《欧美隐私盾协议》，在保留《美欧安全港协议》的基础之上，增加了更多保障性内容，例如，禁止美国官方监控获取欧盟成员国公民个人信息、建立年度审查机制等[11]。

然而，2020年7月，欧盟法院对Schrems II案作出最终判决，直接宣布《欧美隐私盾协议》无效，同时对GDPR第46条规定的其他数据跨境流动的常规途径提出了更高的标准和要求，包括标准合同条款、有约束力的企业规则等。《欧美隐私盾协议》失效和欧盟数据跨境传输的高标准，导致美欧之间的数据跨境传输陷入了新的僵局和困境。

从“安全港”到“隐私盾”再到“隐私盾”破裂，美国与欧盟的数据跨境流动协议反映了双方在差异中寻求合作的妥协。然而，双方在数据保护差异上的利益合作具有极大的不稳定性，可能需要不断的谈判与妥协。

(2)美韩协定与美墨加协定

除欧盟之外，美国还积极寻求与其他国家达成数据跨境流动协议。2012年，美国与韩国签署《美韩自由贸易协定》，第一次将数据跨境流动引入自由贸易协定[11]，其中第15条第8款规定美韩应“尽力避免对电子信息跨境流动施加或保持不必要的障碍”。2020年，美国、墨西哥与加拿大签发《美国-墨西哥-加拿大协定》，其中第19条规定缔约国遵守亚太经合组织的隐私跨境规则，约定三方不得禁止或限制数据跨境传输。

(3)引导区域规则的建立

此外，美国也活跃于引导建立数据跨境流动的国际规则。美国引导亚太经合组织(APEC)先后通过了《隐私框架》和《跨境隐私规则体系》(CPBR)。2004年，美国促成APEC通过《隐私框架》，规定了个人隐私/数据保护的九大原则，其中第69条明确规定了“应避免限制成员国之间的个人信息跨境流动”。2013年，APEC通过CPBR，规定若成员国承诺遵守《隐私框架》的九项原则，则个人数据可以在成员国之间自由流动，而无需受到其他限制。

2015年，在美国的主导下，12个国家达成《跨太平洋战略经济伙伴协定》(TPP)，TPP鼓励数据自由跨境流动，禁止数据本地化，带有明显的美国特点。由于担心受到货币操纵的影响，美国于2017年宣布退出TPP，但TPP对数据跨境流动的影响仍在持续[11]。2017年12月，以TPP为基础框架的《全面与进步跨太平洋伙伴关系协定》(CPTPP)生效(6)CPTPP的成员国为除美国外的原TPP的11个成员国：日本、澳大利亚、文莱、加拿大、智利、马来西亚、墨西哥、新西兰、秘鲁、新加坡和越南。。CPTPP电子商务篇章承继了TPP中禁止数据本地化的原则，认为各成员国应在能够实现合法公共政策目标的前提下，尽可能不限制商业行为的跨境电子信息传输。

综上所述，美国数据跨境流动规制以鼓励数据自由跨境流动为宗旨，主要包含以行业自律模式进行数据保护和积极参与国际合作以增强数据话语权两个方面。

(三)数据主权与数据本地化模式：以俄罗斯为代表

数据本地化是指政府通过制定法律政策等方式将数据保留在本国境内，属于数据跨境流动的一种限制性政策。数据本地化并不等于禁止跨境数据流动，在满足数据本地化政策规定的要求后，数据可在允许范围内进行跨境流动[12]。数据本地化是注重数据安全、数据主权和国家安全的体现，因而，大部分国家都在不同程度上采取了数据本地化措施，俄罗斯就是强调数据本地化存储的国家之一。

俄罗斯的数据跨境流动规制重视数据主权与国家安全，强调数据的本地化存储，在保护个人数据与国家利益的基础上限制数据的自由跨境流动。俄罗斯在数据领域具有完备的立法，其立法长期关注国家、国防和军事安全，并建立了完善的数据本地化规则。

首先，《俄罗斯联邦个人数据法》第12条规定了数据跨境流动的基本规则：数据跨境以本地化存储为前提，在符合法定情形时可以跨境传输，此外，俄罗斯也存在类似欧盟的“白名单”制度，允许数据在法律规定的范围内跨境流动。其次，俄罗斯建立了较为完善的数据本地化制度，其数据本地化规范主要包含于《俄罗斯联邦个人数据法》《关于信息、信息技术和信息保护法》和《联邦行政处罚法修正案》等法律中，涉及个人数据的存储、处理和对数据本地化违法行为的行政处罚等各个方面。

总体而言，俄罗斯在建立以《108号公约》、白名单和法定例外情形为主要内容的数据跨境规制体系之外，重视数据本地化规则的建立，限制个人数据的自由流动。俄罗斯在数据本地化存储方面的要求比美国和欧盟更为严格，数据跨境流动程度较之欧盟和美国则相对更低。

俄罗斯的数据跨境规制模式实现了本国数据的本地化存储、处理和监督，既利于保护公民隐私权，又利于维护数据主权、数据安全和国家安全。然而，数据本地化措施会为国际贸易与国际合作设置障碍，增加企业负担与经济成本，不利于境内外贸易往来和数字经济的发展。因此，如何平衡数据本地化限制与数据自由流动，是俄罗斯数据跨境流动需要关注的重点。

三、我国数据跨境流动的规制现状及问题

数字经济时代，我国的数据圈快速增长，数据对经济发展、人民生活、国家和社会治理的意义也越来越重要，我国对数据跨境流动的法律规制也越来越重视，相关立法规范不断出台。但纵观我国数据跨境流动规制现状，立法体系不完善、数据治理能力有待提高、国际合作参与度低等问题仍较为突出。

(一)我国数据跨境流动的规制现状

1.立法现状

我国数据跨境流动的有关立法呈现出现行有效法律、征求意见稿和草案兼具的特点，其中重要立法主要包括《网络安全法》《数据安全法》《个人信息保护法》《新评估办法》等法律规范。

《网络安全法》首次规定了数据跨境流动的法律要求，确立了对关键信息基础设施运营者的数据本地化存储及数据跨境传输的安全评估要求(7)《网络安全法》第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”。随后，国家网信办于2017年4月发布了《评估办法》，规定了网络运营者在中国境内运营中收集和产生的个人信息和重要数据本地化存储及数据跨境传输的安全评估要求(8)《评估办法》第2条规定：“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”。《评估办法》坚持数据本地化存储要求，规定了数据出境的安全评估重点内容，但并未制定评估部门和具体化评估标准，在实践操作上仍存在一定的障碍。

2019年6月，国家网信办发布了《新评估办法》，规定安全评估的主体为省级网信部门，重点评估内容新增了“合同能否得到有效执行”一项要求，该合同是指“网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同)”。此外，《新评估办法》规定境外主体即使在境内无商业实体，在境内收集的个人信息出境时，也需要申报并经有关部门评估批准。《新评估办法》明确了政府评估部门，评估标准更为细致，且增加了评估“数据控制者和接收者的协议”这一重要内容，借鉴了GDPR的相关规定。

2021年6月10日通过的《数据安全法》表明了我国促进数据跨境安全、自由流动的态度，但没有制定数据跨境的具体规则，仅仅规定重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定，即《数据安全法》的出台并未改变我国数据跨境立法不完善的现状。但可以预见的是，《数据安全法》中确立的数据分类分级保护制度必将成为我国数据跨境法律规制的基础。

2021年8月20日，《个人信息保护法》正式通过，于同年11月1日起施行。该法第三章专门规定了个人信息跨境的相关规则，主要包括三部分：第一，个人信息处理者向境外提供个人信息，可以通过经国家网信部门安全评估、经专业机构进行个人信息保护认证和与境外接收方订立合同等方式(9)《个人信息保护法》第38条第1款规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：(一)依照本法第四十条的规定通过国家网信部门组织的安全评估；(二)按照国家网信部门的规定经专业机构进行个人信息保护认证；(三)按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；(四)法律、行政法规或者国家网信部门规定的其他条件。”。并且，个人信息处理者应采取保障境外接收方处理个人信息的活动达到该法规定的个人信息保护标准的必要措施。第二，个人信息处理者向境外提供个人信息的，应向个人告知信息出境相关情况并取得其“单独同意”。第三，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内；确需向境外提供的，应当通过国家网信部门组织的安全评估。《个人信息保护法》区分了普通的个人信息处理者、关键信息基础设施运营者和处理个人信息达到一定数量的个人信息运营者，对后者提出数据本地化和出境安全评估的特别要求，并明确了普通个人信息处理者向境外提供个人信息的要求。除以上法律规范外，我国有关数据跨境流动的规范还分散于专门立法或行业规范之中(10)例如，我国《征信管理条例》规定，征信数据和数据处理应在我国境内进行；《个人金融信息保护技术规范》指出，在我国境内收集的个人金融信息应在境内进行存储处理和分析。。

综合我国有关数据跨境流动的现行有效法律、草案和征求意见稿，可以预计我国未来将形成以《数据安全法》《个人信息保护法》为核心、以评估办法为具体要求、重点领域专门规范的数据跨境流动规制体系。我国现行有效法律强调数据本地化存储和出境安全评估，而《个人信息保护法》规定的数据本地化政策则更为柔性：对于普通个人信息处理者而言，主管部门的安全评估是其中一种选择，个人信息处理者可以选择合同协议等其他方式向境外传输个人信息；对于关键信息基础设施运营者和处理个人信息达到一定数量的个人信息运营者，数据出境安全评估则是必然要求。《个人信息保护法》的数据本地化规定兼顾了个人信息的保护和利用，合理设置了数据出境的限制条件。

2.国际合作

在数据跨境流动的双边或多边合作方面，我国作为APEC成员国，加入了APEC《隐私框架》，但并未加入APEC《跨境隐私规则体系》(CPBR)。此外，在我国加入的自由贸易协定之中，《中韩自由贸易协定》和《中澳自由贸易协定》涉及个人信息和数据保护，但两份协定均仅就采取措施保护电商用户个人信息达成共识，并未有具体的保护规则和数据跨境、数据流动的相关内容。

2020年11月，我国与日本、韩国、澳大利亚、新西兰及东盟十国共同签署了《区域全面经济伙伴关系协定》(RCEP)。RCEP第十二章规定的电子商务致力于在亚太区域内达成广泛适用的电子商务规则，提出缔约国应在线上个人信息保护、非应邀商业电子信息监管等领域进行合作。尤其是该章第15条关于通过电子方式跨境传输信息，明确各缔约方不得阻止受协定约束的主体为进行商业行为而通过电子方式跨境传输信息。但RCEP既没有明确“商业行为”以及“信息”的概念和范围，也没有规定违反“不得阻止”义务的后果。此外，还规定了三类例外情形，即监管例外、合法公共政策例外和基本安全例外，给予了各国极大的自由裁量权(11)此处的“监管例外”指RCEP第15条第1款的规定，即“缔约方认识到每一缔约方对于通过电子方式传输信息可能有各自的监管要求”。“合法公共政策例外”和“基本安全例外”分别指RCEP第15条第3款的规定，即“本条的任何规定不得阻止一缔约方采取或维持：(一)任何与第二款不符但该缔约方认为是其实现合法的公共政策目标所必要的措施，只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用；或者(二)该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议。”(参见杨署东、谢卓君：《跨境数据流动贸易规制之例外条款：定位、范式与反思》，网络首发，http://kns.cnki.net/kcms/detail/50.1023.c.20210826.1451.002.html)。可见，该条更倾向于为促进亚太地区跨境电子商务发展的倡导性约定。

现今，我国正式申请加入CPTPP，这不仅有利于发展数字贸易和数字经济，促成我国与墨西哥、加拿大建立良好贸易关系，而且还是我国对国家间数据跨境流动的进一步表态。CPTPP电子商务一章第14条明确规定，“每一缔约方应允许通过电子方式跨境传输信息，包括个人信息，如这一活动用于涵盖的人开展业务”。与RCEP规定“不得阻止”的消极不作为义务相比，CPTPP采用积极作为义务的规定，明确传输的“信息”包括“个人信息”，不采用“商业行为”一词，而表述为为开展业务之目的，适用客体和场景明显更广。不仅如此，CPTPP规定的例外情形仅有两类：监管例外和范围更窄的公共政策例外(12)此处的“监管例外”指CPTPP第14.11.1条规定的“缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求”。“公共政策例外”指CPTPP第14.11.3条规定的“本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第2款不一致的措施，只要该措施：(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式适用；及(b)不对信息传输施加超出实现目标所需限度的限制”。(参见杨署东、谢卓君：《跨境数据流动贸易规则之例外条款：定位、范式与反思》，网络首发，http://kns.cnki.net/kcms/detail/50.1023.c.20210826.1451.002.html)。相较于RCEP相关规定，CPTPP的内容更明晰、确定，致力于消除各缔约国电子信息自由传输的壁垒。但值得注意的是，虽然我国相关法律中规定可以按照中国参加的国际条约、协定条件进行个人信息跨境流动，但就加入CPTPP是否将会对我国国内法的数据跨境流动规定的具体实施产生影响，以及产生何种影响，还有待进一步检视(13)《个人信息保护法》第38条第2款规定：“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。”。

(二)我国数据跨境流动规制的主要问题

1.立法体系尚不完善

随着我国对个人信息和数据保护的重视，有关数据跨境流动的立法动态愈加丰富，《个人信息保护法》和《数据安全法》的出台更是备受关注，然而，我国有关数据跨境流动的立法体系仍不完善。首先，现行有效规范主要为《数据安全法》《网络安全法》和行业性规范，这些文件的数量虽多，但始终未形成统一的个人数据保护立法，规范文件效力层级总体较低，数据跨境流动立法体系极不完善。其次，现行有效规范的内容主要为概括性指导，未配备有效的实施细则，安全评估制度不完善，缺乏实效性。最后，现行有效的法律规范主要强调重要信息的数据本地化存储和处理，不具有广泛适用性，也不利于数字经济时代个人信息的合理利用。

2.监管体制较为混乱，数据治理能力较低

我国未建立专门的数据保护或监督管理机构。《网络安全法》规定了行业主管或监管部门为数据出境的安全评估机构，分散的行业专门规范也仅规定数据出境需要安全评估。我国各行业主管或监管部门负责本行业的数据出境安全评估，导致监管体制较为混乱，数据安全与保护的治理能力较低：其一，当各部门权责边界不明确时，容易出现相互推诿、相互推脱等问题；其二，各行业主管部门标准难以统一，数据出境的评估标准主要依靠各部门自身判断，容易出现评估标准存在不合理差异的问题。基于此，《数安评估办法》进一步明确由国家网信部门组织行业主管部门、国务院有关部门、省级网信部门、专门机构等进行安全评估，但是具体如何组织，各方如何协调，如何保障安全评估过程的公正性和透明性，以致于为企业自查提供指引，仍留有疑问。

3.国际合作参与度低

在国际合作层面，我国尚未与他国或区域组织实现有效的双边或多边合作。其一，我国虽然加入了APEC《隐私框架》，但该框架并不具有强制约束力；其二，各国都在构建数据跨境制度，参与并试图影响国际规则的制定，而我国才处于起步阶段，尚未形成自己的稳定策略[13]，更遑论对数据跨境国际合作的充分参与；其三，在我国与他国达成的19个自由贸易协定中，均鲜少涉及数据跨境流动，即使有涉及也规定得较为笼统，缺乏具体的规则。而在中国积极加入多边协定的实践中，虽有机遇但也面临新的挑战：中国作为数据大国如何在RCEP和拟加入的CPTPP中化解与日本、澳大利亚和加拿大等国不同数据流动立场的分歧，发挥自身的影响力，细化数据跨境流动规则仍任重而道远。

我国目前极为缺乏数据跨境流动的双边或多边合作，未有效利用区域或国际平台参与数据跨境流动的规则制定，既难以融入国际数据跨境流动的合作之中，又缺乏数据话语权和影响力。

四、数据跨境流动的中国对策

面对我国数据跨境流动规制中存在的问题，我国需要明确价值选择，确定我国数据跨境流动规制模式，完善立法体系，健全监管机制，积极参与国际合作与全球规则制定，提高数据保护的综合能力和国际影响力。

(一)数据跨境流动规制的价值选择

数据跨境流动规制关乎个人权利保护、数据主权与国家安全以及经济效益。放眼欧盟、美国和俄罗斯对此不同的价值选择，究其原因，可总结为历史背景、发展要求和技术考虑等。历史上，欧洲二战后兴起的人权观念深入人心，冲击着落后的阶层等级观念。随着《欧洲人权公约》《欧盟基本权利宪章》等规定将个人数据权上升为欧盟成员国宪法性权利，逐渐促进了欧盟数据跨境流动规则以个人数据权益保护为导向。美国作为互联网产业发源地，是互联网技术和相关行业发展的领先者，其在发展过程中不断调整自身数据保护的侧重点：在行业探索起步阶段，美国注意到计算机收集个人信息对个人隐私的侵害，从而注重保护公民个人数据和隐私；在911事件发生后，美国从中吸取教训，着重进行国家安全保护，进而推动了国家数据安全相关立法；在2008年金融危机后，数字经济成为新的经济发展增长点，美国意识到了数据资源的价值，进而致力于最大化地发挥数据的经济效益。俄罗斯则出于在互联网技术上的相对弱势，采用了一些美欧企业作为境内信息网络提供商，从而需要更多地从数据主权和国家安全角度出发加以考虑。

回到我国，作为发展迅速并且经济实力雄厚的发展中国家，在设计数据跨境流动规制体系时，我国应积极把握大数据时代带来的机遇且勇于面对技术上、制度上的挑战，同时也要抓住个人数据保护和维护国家安全的内核。应坚持在充分保护数据主体个人权利和数据主权与安全的基础上合理利用个人数据，减少不合理的数据本地化限制措施。一方面，我国要重视保护个人数据权利和维护国家安全，对于国外主体获取我国数据提出限制性要求；另一方面，我国要接轨当前数字经济和国际贸易的发展需要，合理设置数据流动壁垒，合理赋予企业责任与义务，实现数据保护和利用的平衡。

总而言之，我国的数据跨境规制模式应为保护个人与国家权益基础上的限制流动模式，与欧盟、俄罗斯的数据跨境规制模式接轨。我国应将个人数据权益和国家主权、安全与利益作为数据跨境流动的坚固城墙，同时，合理设置数据跨境的限制标准、合理把控数据本地化的程度，实现权益保护与数据自由流动的平衡。

(二)完善立法体系，细化规范要求

首先，我国当前有关数据跨境流动的立法较为薄弱和分散，《数据安全法》《网络安全法》尚不足以承担起数据跨境流动法律体系的顶层支撑职能，《个人信息保护法》的出台，无疑能对个人信息跨境起到一定指引作用。但立法的分散对相关法律法规之间的适用和衔接提出了新的要求。数据分类分级保护制度有待建立，“关键基础设施运营者”“重要数据”和“处理个人信息达到国家网信部门规定数量的个人信息处理者”等概念有待具体界定，以将不同类型数据出境规则体系化，协调不同法律法规之间的龃龉，形成数据跨境流动统一的标准和要求，确立我国数据跨境流动规制的价值取向。

其次，作为我国数据跨境流动的重要规制方式，数据出境安全评估和合同协议应予以细致化规范。一方面，我国应加快出台有关个人信息出境的具体安全评估办法，为数据控制者/处理者进行安全自评和有关监管部门进行安全评估提供具体且可操作的标准。另一方面，有关数据控制者/处理者和数据接收者之间的合同/协议规定应具体化、标准化、规范化，以指导合同/协议双方在保护个人数据的基础上开展数据跨境流动业务与合作。具体规定可参考欧盟于2021年6月发布的《关于向第三国转移个人数据的标准合同条款》(14)参见COMMISSION IMPLEMENTING DECISION (EU) …/…of 4.6.2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council。，在形式上可构建从数据控制者到数据控制者、从数据控制者到数据处理者、从数据处理者到数据处理者、从数据处理者到数据控制者等多类模式；在内容上提供必选条款和可选条款供不同类型数据处理者/控制者根据需要调整，增强合同/协议的可适用性和示范性。

此外，我国应丰富数据跨境流动的规制方式。例如，我国可以借鉴GDPR的相关规定制定数据跨境流动白名单，对数据接收国的数据保护水平进行评估，通过评估的国家或地区可以进入白名单，实现个人数据的自由流动。

(三)健全监管体制，提高数据保护治理能力

规制数据跨境流动，我国要健全政府监管体制，提高综合数据保护治理能力。首先，我国应建立专门的数据保护机构，统一监管数据跨境流动，加强监管实践，避免政府部门之间相互推诿、责任缺位，提高数据保护的综合治理水平和国际认可度。其次，我国应完善跨境流动过程中个人数据受侵害的保护制度，保障受侵害的数据主体获得救济的权利，尤其是可获得司法救济。虽然《个人信息保护法》规定了个人信息处理者侵害众多个人权益时人民检察院、法律规定的组织可提起公益诉讼，但仍缺乏个人数据主体提起数据跨境流动中侵权诉讼的相关规定。考虑到相关数据跨境案件的专业性、保密性及涉外属性，可以借鉴《欧美隐私盾协议》相关规定，采用专门机构仲裁的方式，并对仲裁的前置程序、仲裁范围、仲裁模式、仲裁效力进行细化[14]。与此同时，应注意明确国家对数据的合理监管，即从欧美“隐私盾”失败中获得借鉴，巩固国家间数据保护信任，明确我国出于安全目的的监管是必要且合理的，并非是对私主体数据不加限制的获取或对其个人数据权利的侵犯。

(四)积极参与国际合作和规则制定，提升数据话语权

在全球数据跨境流动规制领域，欧盟以GDPR为基础的权利保护体系和美国引导的双边或多边数据自由流动体系均具有较大的影响力，为欧盟和美国赢得了更多的数据话语权。而我国作为数据大国，缺乏有效的国际合作机制，数据国际参与度和影响力较低。因此，一方面，我国应积极参与数据跨境流动的双边或多边对话，通过双边或多边合作机制建立国家间安全、合理的数据跨境流动通道。另一方面，我国应积极投身数据跨境流动的国际规制制定。中国加入RECP即迈出了建设性的一步。RECP作为兼有发达国家和发展中国家的区域性多边协定，采用了与欧盟高水平个人数据保护标准和美国限缩国家安全例外条款主张不同的、相对折衷的多元共治理念，在数据跨境流动领域求同存异，一方面倡导自由的数据跨境流动，另一方面也给予缔约国基于非歧视性监管和国家安全目的采取限制数据流动的本地化措施。这为发展中国家抗衡欧盟和美国极具影响力的数据规制提供了丰沃土壤[15]。中国作为负责任的数据大国，应通过推动与东盟国家的共治共享，积极引导亚太地区国家形成新型数据流动规制格局。若中国成功加入CPTPP，则应在巩固原有数据跨境流动合作基础上，通过对例外条款的合理解释和运用，寻求新维度的数据保护合作与数据跨境流动，致力于构建一个发展中国家能够充分参与且具有公平话语权的共赢共治共享的数据流动平台。

综上，当前欧盟和美国在全球数据跨境流动规制中起主导作用，我国必须提高国际数据话语权，强调和支持符合我国主张和利益的数据跨境流动规则，以维护国家数据主权和利益。

五、结 语

基于跨境数据保护的必要性和重要性，世界各国积极出台法律规制数据跨境流动。在全球范围内，数据跨境流动的规制主要呈现出三种趋势，即以欧盟为代表的“充分保护”与限制流动模式、以美国/区域组织为代表的行业自律与自由流动模式和以俄罗斯为代表的数据主权与数据本地化模式。面对各国的域外法律规制，我国在反思自身数据跨境规制现状及问题基础上，应确定本国应对数据跨境流动规制的价值取向，完善数据跨境规制体系。具体而言，我国应坚持在保护数据主体权利和数据主权与安全基础上合理利用个人数据，完善数据跨境流动立法体系，细化安全评估等规范要求，丰富数据跨境流动的规制方式，积极参与国际合作和规则制定，提高数据国际话语权和影响力。