张潆之

(中央财经大学 法学院，北京 100081)

0 引言

2021 年7 月，国务院互联网信息办公室(下称“网信办”)对“滴滴出行”启动网络安全审查。两日后，“滴滴出行”因严重违法收集使用个人信息，被下架并责令整改[1]。随后，网信办加大审查力度，对“运满满”“货车帮”等分别启动网络安全审查。究其原因在于，其赴美上市行为造成大量国内个人数据流向美国的风险隐患。“滴滴出行”等企业在建构其智能化系统的过程中引发了一系列数据伦理问题与数据安全风险，而海外上市将其推向高潮，转化为关乎国家安全的利益形态[2]。相较于国内流动，跨境流动不仅会导致本国无法直接监管数据处理者，增加个人数据权利被侵犯的风险，还会威胁国家数据主权、危害国家安全，因此，很多国家采取“严格型”规制。

尽管如此，个人数据跨境势不可挡。相较于新冠疫情造成的传统商品及资本流动受阻，数据全球化仍势如破竹。我国数字经济增速已达GDP 增速3倍以上，其规模占比也呈现增长态势。在2021 年G20 数字经济部长会议及联合国贸发会议中，数据跨境流动便是重点议题。各国强烈呼吁加强数据互联互通，我国在大会中也肯定了数据跨境流动对经济发展的助推作用，期望以安全和发展并重为原则，在安全可信的基础上促进合作共赢[3]。

众所周知，数据具有非竞争性，这意味着对数据的开放与共享非但不会损害其自身价值，反而因为多方主体的重复利用与深入挖掘而获得更大的社会价值[4]。但数据大规模流动带来巨大经济红利的同时，也会引发众多安全风险与监管挑战[5]。针对个人数据跨境流动问题，不同的国家基于不同的价值取向，在权衡个人数据权利、国家安全与经济利益的基础上，形成了不同的治理模式，并拥有截然不同的立场——限制或鼓励自由流动。如何寻求最为科学的规制路径，最大程度促进经济利益发展，是当今数据治理面临的重要问题。

1 个人数据跨境流动规制中的立场研究

当前，以欧盟、美国与中国为代表，关于个人数据跨境流动规制的全球格局已然形成。

1.1 欧盟：采纳“严格型”规制，重点保护个人数据权利

一直以来，欧盟都将个人数据上所附载的权利视作基本人权，并强调通过立法对该权利予以保护。在制定数据保护法的全球浪潮中，欧洲国家占比超过60%[6]。欧盟亦加强区域内合作，以统一立法模式提升欧盟的数字竞争实力。

《通用数据保护条例》(GDPR) 是欧盟现行的、史上最严格和最高水平的数据保护规制，以多样化监管模式严格保护个人数据权利。首先，以“充分保护原则”作为核心机制，要求只有当数据接收方的数据保护水平达到欧盟承认的标准时，个人数据方可向此处流动，GDPR 第四十五条规定了其判断标准。其次，仅有少数国家或地区符合欧盟认定标准，欧盟委员会已认定安道尔、阿根廷、加拿大(仅适用于商业机构)、法罗群岛、根西岛、以色列、马恩岛、泽西岛、新西兰、瑞士、乌拉圭、日本、韩国以及英国具有同等保护水平，为提高跨境流动的可能，GDPR 制定了一系列补充性监管措施，包括标准合同条款、约束性企业规则、基于经批准的行为准则、认证。最后，还规定了数据泄露报告制度、严厉处罚制度等事后监管制度。

欧盟成员国“一致对外”的强监管模式，虽为保护个人数据权利提供了良好范本，并对世界各国提供了有益参考，但是欧盟规制过于严格，阻碍国际服务贸易的良好发展趋势[7]，无法在全球推广施行。

1.2 美国：采纳“宽松型”规制，侧重促进经济发展

美国与欧盟立场迥然不同，其未将个人数据权利作为基本人权，认为欧盟规制阻碍了商业活动的顺利开展[8]。据2021 年IT 公司市值排名，前三十名中美国企业占二十一家[9]。据2019 年福布斯全球数字经济榜单，全球前十强企业中美国有七个，而欧盟国家未挤进前十，甚至在前一百强中亦鲜见其身影[10]。为了发挥本国资本巨头的优势地位，美国借助国际组织，在全球范围内构建并推广其基本理念。在经济合作与发展组织(OECD)指南和《APEC隐私框架》以及跨境隐私规则体系(CBPRs)的助力下，美国主张各国不应当限制个人数据跨境自由流动。例如，CBPRs 要求只有发生具体的数据安全事件后，才会对追究数据控制者或数据处理者的责任，未曾出现GDPR 中有关认定“充分保护原则”的有关标准。此外，美国积极签订自由贸易协定(FTAs)，例如美墨加三国协议(USMCA)数字贸易章节多次强调个人数据流动对经济发展的重要性，应避免设置不必要的数字贸易壁垒，并禁止“数据本地化”。

可见，经济利益是美国的首要考量因素。美国受益于数据发展红利，通过问责制度下的行业自律模式，降低数据准入门槛，禁止数据本地化，适当弱化对个人数据权利的保护，促进经济利益的发展。

1.3 我国：采纳“严格型”规制，高度维护国家安全

我国并未受制于当今世界两大基本格局下的利益考量，而是走出了符合我国国情的特色道路。正如习近平总书记强调的：“要切实保障国家数据安全”[11]。无论是国内法律抑或部门规章，都体现了我国将维护国家安全作为首要指导原则。我国《网络安全法》《数据安全法》《个人信息保护法》均规定了个人数据跨境问题，其立法目的在于保障数据、网络安全，保护个人、组织的合法权益，维护国家主权、安全和发展利益。其中，《个人信息保护法》将个人数据跨境问题独立成章，规定了个人信息处理者应当具备的条件、采取的必要措施、处理信息的内容等。关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当遵循“境内存储”和“安全评估”的原则，而其他个人信息处理者则可以在安全评估、认证、标准合同以及其他条件中自由选择。

以“滴滴出行”事件为导火索，我国正逐步加强监管数据出境行为，2022 年9 月实施的《数据出境安全评估办法》(以下简称《评估办法》)，全方位规定了评估范围、评估内容、材料要求、受理部门、评估流程等事项，尤其是明确了数据处理者应当向国家网信部门申报的具体情况(《评估办法》规定，对“关键基础设施运营者”和“处理100 万以上个人信息的数据处理者”向境外提供个人信息，或者自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息的数据处理者向境外提供个人信息的，都需要申报数据出境安全评估)，为网信部门监管数据出境、数据处理者规范自身行为提供了具体行动准则。

安全评估由国家网信部门负责，相比于认证和标准合同，其标准更为严苛与复杂。首先，从制度名称出发，不难看出安全评估偏向“安全”而非“权利”向度，重点保护国家安全。其次，从制度内容来看，只有当个人信息的数量到达一定标准时，数据处理者才需要申报安全评估，但重要数据出境则必须全部申报安全评估，不存在任何数量限制。可见，我国将一定数量的个人数据同不计数量的重要数据并列，表明安全评估不仅保护个人信息，更倾向于保护国家安全与公共利益。此外，相比于欧盟，我国未形成对个人数据保护的悠久历史，维护国家安全却更深入人心。因此，虽然我国与欧盟均采纳了“严格型”规制，但无论是考察立法目的，抑或探寻文化观念，都可以看出我国与欧盟存在不同的利益倾向。但相比于俄罗斯采取的严格本地化立法措施，我国仍积极主张促进个人数据跨境流动，防止再次“闭关锁国”，体现了张弛有度的中国智慧[12]。

1.4 全球个人数据跨境流动规制之初步融合与理想路径探寻

当今社会，多方主体共同参与全球治理已成常态，以单一利益为取向的规制已不符合时代要求。在数据传输不可避免的时代背景下，持有不同理念的国家在冲突与碰撞中为促进发展而作出利益取舍，并尝试获得有益融合。

长期以来，因美国未达到欧盟“充分保护水平”，其企业在欧业务严重受阻。为了协调矛盾，在保护个人数据权利的基础上，共谋商业利益，双方先后达成了安全港协议与隐私盾协议，但两部协议后续均被欧盟法院宣告无效，其背后反映了欧盟对个人权利保护的重视与美国对经济利益的追求之根本矛盾，虽然双方尝试妥协与融合，但都因未到达“平衡点”而无法获得持久发展。需要注意的是，美欧看似对国家安全有所忽视，实则不然。美国利用“长臂管辖”压制对手，掌握海量数据资源的同时确保本国国家安全；欧盟通过提高数字贸易壁垒抵御数据强国对国家安全的侵害[13]。美欧均利用其经济政治优势地位，以自身利益为中心向全球输出本国理念，霸权主义色彩浓厚，对诸多的发展中国家不利，甚至会阻碍全球数据安全治理的发展。

为了突破美欧的单边主导格局，提升发展中国家的参与度，我国亦作出有益尝试。2020 年我国与东盟等签订了RCEP，其不但是我国认识到现有国内规制相对保守，国际立场已发生微妙转变的有力证明，亦强调了国家安全的至上性，为发展中国家抗衡美欧强势力量提供坚强后盾[14]。首先，RCEP 坚持数据跨境自由流动原则，而我国国内立法中较为保守的态度与之背离。从规则文本出发，RCEP 在第十二章第二条强调电子商务及便利其发展与使用的重要性，第十五条更是明确缔约方不得阻止以商业行为而通过电子方式跨境传输信息，承认各缔约方可以有各自的监管要求。此外，数字经济伙伴关系协定(DEPA)第四章第三条与全面与进步跨太平洋伙伴关系协定(CPTPP)第十四章第十一条的规则文本一致，均规定缔约方应当允许通过电子方式跨境传输信息，亦承认各缔约方可以有各自的监管要求。可见，RCEP 中的“不得阻止”与DEPA、CPTPP 的“应当允许”都对基于商业行为的个人数据跨境自由流动作出原则性规定，各缔约方仅在特殊情况下方可采取限制性监管措施。其次，RCEP 在输出维护国家安全理念方面作出有益尝试。相比于CPTPP、DEPA 中关于“公共政策目标例外”的规定，RCEP 增加了“缔约方认为”一词，未强调限制性规制应当具有的“必需性”，具有“自裁决”特征[15]。此外，RCEP规定了CPTPP、DEPA 中尚未规定的“基本安全利益例外”，若缔约方出于基本安全利益所必需，可以采取限制性措施而无需遵循RCEP 中关于数据跨境自由流动这一义务要求。

2 科学的利益权衡方法——比例原则之引入

一方面，我国坚持“和平合作、开放包容、互学互鉴、互利共赢”的丝绸之路精神[16]，这也代表着，虽然RCEP 将国家安全提升至重要高度，但我国并不希望效仿美欧过度输出本国模式，形成小圈子或俱乐部[17]。另一方面，鉴于我国目前仍然偏重“数据本地化”的立法态度与RCEP 中的原则性规定不符，加之我国正致力于加入DEPA、CPTPP，而其例外条款的认定比RCEP 更加严格。为了扼制各国出于自身利益的诉求，扩大自身数据治理模式的影响力，造成“分而治之”进而阻碍全球数字经济的发展，也为了完成我国国内与国际规则的衔接，有必要引入科学的方法论，在各成员国间存在文化、社会、经济和政治异质性的情况下，从长远考虑来调和国家之间差异化的利益诉求，提高立法的针对性、准确性与适用性[18]，平衡三大利益，寻求全球个人数据跨境流动规制的“平衡点”。

2.1 比例原则的适用原因

其实，已有学者利用其他科学方法论以平衡上述利益，包括外部性理论[19]、博弈论[20]、“权衡法则”[21]。相比于上述方法，比例原则在近年来取得了重大发展。首先，作为法秩序的最根本原则与最高规范[22]，其适用领域得以突破，延伸至国际法领域[23]；其次，其内涵与外延已逐渐明晰，结构亦从“三阶”扩充至“四阶”[24]；最后，其不但可以平衡公私主体以及私主体之间的利益，亦可调整政府与市场的关系[25]。概言之，比例原则作为一种具体可行的科学方法论，使得多方主体惯有的主观色彩变得客观与具体，也将价值平衡过程由粗放转为精细[23]。权衡三大利益，在“严格型”与“宽松型”规制中取得平衡，正是比例原则的重要功能所在。

2.2 比例原则的辅助手段：成本收益分析方法

作为公法的“帝王原则”，比例原则通过价值平衡以实现最完美的正义，但却因其充满道德推理而具有强烈的主观性与模糊性，难以被客观且精细化适用[26]，而遭致部分学者的强烈反对，提出以成本收益分析将其取代[27]。成本收益分析是一种用以改善公共政策、法规的技术，以货币化衡量的方式帮助决策者判断何种政策将促成社会福利最优，净收益最高者最值得采取[28]。

虽然成本收益分析可以数学公式的方法运用至法学表达中，提高法律的准确适用性[29]，但有学者指出，比例原则不可被完全抛弃，其对法律规制具有成本收益分析所不可替代的功效[30]。具体而言，首先，目的正当性具有前端过滤作用，有效更正了成本收益分析在追求最大净收益途中易落入功利主义陷阱的致命缺点[30]。其次，适当性原则并非形同虚设，可以填补成本收益分析中关于审查手段与目的之间实质关联性判断的理论空白。不过，成本收益分析不但可以通过比较“相同有效性”下的最小损害，帮助实现必要性原则追求的个人权利本位，还可以帮助均衡性原则实现成本与收益的总体权衡[31]。综上，虽成本收益分析无法完全取代比例原则，但却可以辅助其具体适用。

2.3 比例原则在个人数据跨境流动规制利益权衡中的具体适用

“四阶”比例原则包含目的正当性、适当性原则、必要性原则以及均衡性原则。

2.3.1 目的正当性审查

目的正当性要求立法者、行政者所追求的目的符合有约束力的法律所确立的基本价值[31]。在个人数据跨境流动规制中，首先应当判断规制背后的目的是否违背宪法、国内法律。以我国安全评估制度为例，其重点内容即“评估范围”列明了数据处理者需展开安全评估的具体情形，这一限制“权利”的做法，是否可以通过目的正当性审查？我国《宪法》第五十一条明确规定“中华人民共和国公民在行使自由和权利的时候，不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利。”可见个人信息虽源于公民个人，但是公民对其权利的行使仍有边界，而这一边界可由国家权力为保证公共利益而合理划定。此外，《个人信息保护法》等法律亦规定，即便已经取得了个人的单独同意，但如若其属于特定种类或达到特定数量，仍需符合其他规制，如境内存储与安全评估。正如《评估办法》开篇点明的，安全评估是“为了规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动”，符合我国国内法项下的正当目的。

其次，判断规制是否会违背国际法。以我国业已加入的RCEP 为例，RCEP 强调经济发展，包括“认识到电子商务提供的经济增长和机会”“促进消费者对电子商务信心的重要性”“便利电子商务发展和使用的重要性”，虽亦承认各缔约方有寻求通信安全和保密的基本要求，但其仍遵循“原则鼓励流动，例外允许监管”这一准则。鉴于国际形势严峻，我国国内立法中多出现“维护国家安全”“保障数据安全”“维护国家主权、安全和发展利益”等字眼，虽有强调“促进数据自由流动”，但相比于条约，其有关“促进经济发展”的字眼稍显不足。虽然当前国内规制仍可以获得RCEP 的合法性认定，但其背离RCEP 重要目的。进一步讲，相比于RCEP，DEPA和CPTPP 没有“基本安全例外”，其“公共政策目标例外”认定标准也更为严苛，更加强调数据跨境自由而限制国家监管。综上，无论是我国立法目的中“经济和社会效益”“增强对数字经济和贸易发展”等强调经济利益的规则文本有所欠缺，亦或是制度内容中宽泛的限制性措施，都会因过于强调维护国家安全而难以通过DEPA、CPTPP 项下的目的正当性审查，进而造成我国加入条约的困难。

2.3.2 适当性原则之审查

适当性原则审查主要判断规制的手段与目的之间是否具有实质的客观因果关系，即手段是否有助于目的部分或全部实现[31]，包括客观性审查与主观性审查，分别针对正在发生效力或已经失效的手段。

由于我国近年来才逐步建立起个人数据跨境流动规制体系，因此尚不存在已然失效的有关立法规制。回顾我国当前规制，以我国《个人信息保护法》中第四十二条为例，该条规定了针对境外组织、个人侵害我国公民的个人信息权益，或危害我国国家安全、公共利益的，国家网信部门可以采取禁止或限制向其提供个人信息的措施。此举无疑有助于维护国家安全、保护个人数据权利目的之实现，符合适当性原则。同时，我国采取的限制性措施并非完全无益于促进经济发展。我国虽有安全评估、认证等出境门槛，但一旦符合上述条件，数据流动必然将带来经济效益。再以RCEP 中设置的“基本安全利益例外”为例，缔约方援引例外条款时，还应当证明其限制性措施与寻求保护的“基本安全利益”具有合理关联性。其中，关联性即适当性审查，而何种“基本安全利益”即目的正当性审查。正如针对RCEP 的具体适用，有关专家组曾在个案中指出，涉案措施仅需要与“基本安全利益”之间有“最小合理”的关联性即可，无需全然服务于此目标[32]。

2.3.3 必要性原则之分析

必要性原则相比效率更关注公平，即重点关注“私权限制”成本而非净收益的大小，因此其重点也在于保证个人数据权利，无需关注各种社会成本、收益[30]。必要性原则追求手段具有最小损害，实际上是追求相对损害而非绝对损害的最小化，即比较在一个单位内的手段有效性程度下，不同手段所造成的相对损害大小，其计算公式如下：

将其代入个人数据跨境流动规制中，Cr代表制定某规制将对个人数据权利造成的损害，B 表示在该规制下，数据流动所获得经济利益，I 即代表其对个人数据权利的相对损害大小，I 值越小，则相对损害越小，也更符合必要性原则。以美欧规制为例。美国对个人数据权利的保护水平较低，与欧盟的《108 号公约》一致[33]，没有GDPR 中的“数据保护影响评估”“数据可携带权”等制度[34]。需要注意的是，首先，美国采取此类规制无疑有助于维护国家安全、保护个人数据权利之目的实现。其次，即便“数据保护影响评估”或其他规制，对自由流动附有条件，会增强企业的合规成本，但满足条件后数据亦可以自由流动，进而取得经济利益，因此仍然是适当的规制。若美国期望采取“数据保护影响评估”或其他适当性规制，该如何选择？此时需借助上述公式，而其具体赋值，应当借助较为成熟的成本收益分析方法，通过市场评估法和愿意接受等非市场评估法，分别计算不同规制项下的具体成本与收益，并结合有关专家意见，判断何种规制具备最小损害性。

2.3.4 均衡性原则之分析

(1)成本收益分析最大限度精确化均衡性原则

通过必要性原则审查的规制未必符合比例原则，仍需经均衡性原则的审慎分析，方能综合权衡总体成本与收益，避免过度保护个人权利，促进社会整体福利。

个人权利是公共利益的基础，公共利益有时会转化为个人权利，因此，二者之间具有一致性，但均衡性原则主要权衡相互冲突的公共利益和个人权利[31]。国家安全虽属公共利益，但其与保护个人数据权利具有一致性，因此仅有经济利益与之冲突。此外，国家安全与个人数据权利并非总呈线性关系，在成本计算中有其特有地位。特定敏感主体如国家领导人的个人数据，虽数量极少，但至关重要。综上，成本包括个人数据权利、国家安全利益因某项规制的实施所受损害；此外，手段自身耗费的财政成本也应纳入考量，寻求相同有效性下的低财政成本，方能符合均衡性原则[35]。而收益则指经济利益，其计算公式如下：

其中，Cr即个人数据权利因某规制所受损害；Cs即国家安全因某一规制所受损害，包括大规模个人数据出境及少数特定主体或敏感数据出境造成的损害；Cf即实施某规制的财政成本；B 即某规制顺利实施后的总体经济利益，其具体数值仍由专家借助市场评估法与非市场评估法以科学计算。由此，E即某规制推行后的成本与收益比值，E 值越小，则代表某规制更符合均衡性原则。此外，科学的规制要求E 的值必然小于1。当然，若两项不同的规制中，I1=I2且E1=E2，可以通过比较净收益并结合专家意见和时机等多重因素，选择特定时代背景下的“最优”规制。

(2)商谈模式弥补成本收益分析的量化局限

不过，用上述计算方法仍可能存在量化局限。虽然具有经济属性的权利如财产权可与货币维度相连而被精确量化[31]，但个人数据权利与国家安全的成本往往较难通过货币表达。若专家无法将上述成本科学量化，仍可借助商谈机制以解决比例原则精确化的限度。

在商谈模式下，所有利益相关方都有自愿参与商谈的权利。因此，在国内规制形成过程中，个人、企业可以积极参与、建言献策，立法者应当广泛听取意见，形成符合广大人民利益的科学规制；在探寻科学全球性规制的路途中，商谈主要体现为国际谈判、国际条约的签订。

3 我国对个人数据跨境流动规制的因应

3.1 借助比例原则探寻“平衡点”，并以之为奋斗目标

当前美欧大肆输出“本国模式”，不利于多方主体共同发展，而我国的保守型立场亦阻碍了本国经济发展。比例原则可以帮助我们探寻可在全球层面推进的“平衡点”。虽受制于我国的基本国情与国际形势，短时间内形成全球性治理体系仍较为困难，但利用比例原则准确把握趋势，并以此为奋斗目标，夯实参与全球治理的实力基础，对我国意义重大。

3.2 进一步强调数据跨境自由流动原则，促进经济发展

在多方竞争压力下，中国认识到应当提出符合自身利益的数据竞争战略，以维护国家安全作为首要目标。但为了防范“三足鼎立”，也为了实现国内规制与RCEP 的对接，并顺利加入CPTPP 和DEPA，我国应当借助目的正当性理论，逐步更正“数据本地化”立场，在立法如《网络安全法》《数据安全法》《个人信息保护法》中增设文本如“经济和社会效益”“增强对数字经济和贸易发展”等，以强调经济利益与数据自由流动的重要性。

3.3 适时限缩数据安全评估制度的适用范围，防范过度阻拦数据出境

我国《个人信息保护法》规定个人信息出境应当取得个人的单独同意，对个人数据权利以充分保护。在此基础上，我国规定针对关键信息基础设施的运营者、国家机关或处理个人信息达到国家网信部门规定数量的个人信息处理者(包括处理个人信息达到一百万、累计向境外提供超过十万以上个人信息或一万以上敏感个人信息的数据处理者)确需向境外提供的，应当通过安全评估。同时，在大数据时代，数据处理者所处理的个人数据很容易达到一百万的数量级，再加上“累计”向境外提供一定数量级的情况亦被纳入评估范围，因而，我国当前规制是采用了可以涵盖实践中众多场景的强监管手段，无疑大规模限制了个人数据的跨境自由流动。

然而，CPTPP、DEPA 要求缔约方采取限制措施时必须满足“公共政策目标”。无论是“公共政策目标”的内容，即维护公共道德或公共秩序所必须、为保障人类和动植物的声明或健康所必须；亦或是其本身作为例外条款的制度定位；还是其未以“基本安全利益例外”条款赋予缔约国自主决定权，都直接表明了缔约国仅在极少数情况下方能采取限制措施。而对比我国评估范围，可以发现我国目前众多的数据出境行为都受其规制。可见，我国未遵循CPTPP、DEPA 要求的“例外”限制流动，而是将“例外情况”作为“一般规则”以普遍适用。

因此，为了顺利加入CPTPP、DEPA，我国需要适时对当前规制予以放宽，例如提高数量级或延长有效期。不过，究竟将数量级由“一百万”提升至“一千万”或“五千万”，还是将安全评估的有效期从两年提升至三年或五年，同时提高数量级或延长有效期亦或在二者之间作出选择，都需要通过缜密的计算方法作出科学评估。作此转变意味着会在一定程度上损害个人数据权利，因此可以借助必要性原则，运用成本收益分析法，经有关专家计算分析后，综合选择出“相同有效性”下对个人数据权利造成最小损害的规制。

3.4 引入白名单机制，细化立法的原则性规定

当前，我国《个人信息保护法》《网络安全法》《数据安全法》已然搭建了个人数据跨境流动监管法律体系，监管规制主要包括安全评估、认证、标准合同、网络安全审查与数据安全审查，不过均为原则性规定，仅有出台执行细则，才能实现上述规制的落地。然而，除了已经通过的《网络安全审查办法》《数据出境安全评估办法》分别为网络安全审查和数据出境安全评估提供了具体流程与标准，其他的监管规制尚未得到具体落实，关于认证、标准合同更是未出台任何实施细则的草案。同时，个人数据处理者尤其是跨境企业为了合规，往往会将网络、数据安全审查以及安全评估作为其开展跨境业务的前置条件，而这会增加不必要的财政成本。因此，应当遵循均衡性原则，细化立法的原则性规定，例如增强标准合同的可适用性和示范性、出台认证以及数据安全审查的实施细则，从而最大程度减少因规制的不确定性对国际贸易的影响。

除此之外，由《个人信息保护法》第三十八条可知，我国允许个人数据出境的判断标准，主要是基于境外接收方处理个人信息的活动是否达到我国的个人信息保护标准。我国当前采取“一事一议”的监管手段，没有采用欧盟的“充分性认定”机制，虽然可以避免政治化倾向，防止落入非歧视原则的陷阱，但数据跨境行为与日俱增，“一事一议”机制必然会耗费大量不必要的财政成本，而这是均衡性原则所不能忽视的内容。为此，可以借助成本收益分析法，精确计算有关财政成本，在时机适当时引入符合本国国情的白名单机制，减轻不必要的负担。但同时应当注意在设立白名单时，应更加关注境外接收方的数据保护水平，而非境外接收方所属国家与我国的互信关系，避免使该制度沦为提高贸易壁垒的政治工具。

不过，改革并非一蹴而就，我国可以开展数据区域改革试验，鼓励部分自贸港、自贸区“先行走试”，以应对当前国内规制存在的诸如过度阻拦数据出境、实施细则不健全、“一事一议”耗费不必要的财政成本等问题。

3.5 积极提升国际话语权，推进多元共治

目前美欧试图把中国排除在其“小圈子”之外，但均衡性原则要求只有各利益相关方不断妥协与融合，才能形成全球性规制。正如习近平总书记所指出：“国际规则只能由联合国193 个会员国共同制定，不能由个别国家和国家集团来决定；国际规则应该由联合国193 个会员国共同遵守，没有也不应该有例外。”[36]因此我国应积极促成世界各国开展友好谈判，反对霸权主义和呼吁构建真正的多边主义，构建网络空间命运共同体。

我国可以加强区域内合作，利用“一带一路”的路径优势，以“双边带动多边、以区域带动整体”的推进策略，并通过推动与东盟等友好国家的共治共享，引领在东亚等地区建立起可以与美欧抗衡的规制格局。在此基础上，我国应逐步扩大多边谈判，联合立场相近的成员，充分利用我国在联合国以及世贸组织的优势地位，将业已在区域内健全的规制引入多边谈判中，为众多发展中国家发声，在平等协商的基础上，考量各个成员国的诉求，促进全球性规制的形成。

4 结论

长期以来，美欧在平衡个人数据权利与经济利益上实现规制融合。我国域内仍偏向于数据本地化立场，综合多因素考虑，应引入比例原则辅以成本收益分析，有助于权衡三大利益，探寻多元共治的“平衡点”。以“平衡点”作为参照，我国应当完善国内规制，诸如强调经济发展、限缩监管范围、引入白名单机制、落实立法，还应当在国际上扩大话语权，呼吁构建真正的多边主义，为发展“一带一路”事业、实现网络空间命运共同体和人类命运共同体而奋斗。