孔怡冰

摘   要：目前，各國政府均以公权力要求数据在地化，数据在地化阻碍了数据的价值畅通。美国与欧盟签订的《安全港协议》与《隐私盾协议》相继被判无效凸显了数据主权的扩张与争夺，造成了跨境数据流通的困境。为了兼顾数据流通和利益价值的平衡，我国在数据主权大潮中应作出自己的选择，构建双边和多边合作机制，避免国际间的管辖冲突。参与国际协议和国际规则的制定，增加跨境数据谈判内容，主动牵头构筑跨境数据流动规则体系。适当降低国外司法管辖判决、裁定的承认门槛，承认国外司法管辖的域外效力。

关键词：跨境数据流动；数据本地化；数据在地化；豁免条款

中图分类号：F49        文献标志码：A      文章编号：1673-291X（2024）04-0157-04

“跨界数据流动”这一概念最早在1980年由OECD颁布的《关于保护隐私与个人数据跨境流动指南》提出，那时“数据”的含义是“个人信息”。随着数字经济作为一种新的经济业态急速发展，各类数据跨越平台和法域进行交互流动，数据体量成倍增加，数据承载的内容日益复杂，数据资料跨境流动所带来的政治价值和商业价值凸显，数据作为基础战略资源的重要性不言而喻。《信息安全技术数据出境安全评估指南（征求意见稿）》将数据跨境定义为，数据出境是指将在我国境内收集和产生的电子形式的个人信息和重要数据提供给境外机构、组织、个人的一次性活动或连续性活动。在数据资料的跨境流动和资料本身携带的信息利益平衡之间，各国并无统一意见和模式，从而导致跨境数据流动中面临以下问题：数据流出国与数据流入国之间的保护程度认定、跨境监管力度与法律冲突的调节妥协、数据流动限制的类型和要求各异等。本文将根据数字主权理论，在分析跨境数据流动保护的内涵和机理上，提出我国跨境数据流动治理对策，保护公民数据，保障国家安全。

一、跨境数据流动背景下的数字主权理念冲突

（一）冲突的一方：要求数据存储于本国而拒不提供他国

早在20世纪70年代，美国即通过先进的技术和设备优势在世界各国建立跨国公司，开展跨国业务，收集、处理、传输大量数据，存储其他国家政府公共部门、企业、科技机构的多种信息资料。一直与美国存在经济政治博弈的欧盟在信息产业方面存在明显弱势。欧共体理事会曾有言，对于全世界范围内信息产业结构分配严重不均的局面，欧盟不仅要在数据信息处理行业加大投入力度，还要在欧盟各成员国内部统一数据立法。在接下来的几十年里，欧洲各国纷纷出台自己的跨境数据转移限制法律。从1981年欧洲委员会通过的《有关个人数据自动化处理的个人保护公约》，到1995年欧洲议会和欧盟理事会共同通过的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》、欧盟议会于2018年5月25日生效实施的《通用数据保护条例》……欧盟的一系列法令都旨在协调成员国内部法律、规定、条例的差异，①解决其内部的跨境流动障碍，同时对第三国提出跨境传输高标准，以此达到保护本地域信息产业、严格限制数据流出、为了消除阻碍个人资料流通的壁垒各成员国对处理这些资料的个人权利与自由的程度应当是平等[3]的目标。

发展中国家并未充分认识到跨境数据资料流动带来的好处和潜在的巨大价值，认为这种数据的流动会损害国家主权、自身的政治与文化完整性。因此，这些国家采取的态度和措施较为谨慎保守，通过立法的方式限制数据的流通类型，制定不平等的倾斜壁垒标准阻止本国数据传输到境外。

（二）冲突的另一方：要求将存储于他国的数据提供给本国

该冲突体现最为显著的莫过于美国以“微软案”为背景的CLOUD法案的出台。此案件的争议点是：一国在执法过程中对存储于境外服务器内的数据是否具有管辖和调取的权力。2018年，时任美国总统的特朗普签署《澄清合法域外使用数据法》，以法律形式固定了美国“长臂管辖”霸权，展现出强烈的单边主义倾向。CLOUD法案表面上具有国家间互惠的意义，但却是对“适格的外国政府”施加各种严格限制，而对本国获取数据条件规定得极为宽松。欧盟也通过GDPR来延长自己的“长臂管辖”。例如，GDPR第3条看似秉持属地原则，但有学者指出实际上是以“效果原则”进行规制，即若境外企业的内部行为对欧盟的经济发展产生某种“效果”，欧盟法院对此享有管辖权。

二、数据跨境流动的规范模式

（一）适足性认定

1981年欧洲联盟颁布了《关于个人数据自动处理过程涉及的各国监管机构与跨境数据转移的个人保护公约》，其第二条对符合条件进行了界定。特别是，在向欧盟成员国境内进行跨境数据传输前，必须对个人资料作出充分的保护。可通过成员国主管部门依据非成员国国家法律或对数据转让合同的规定进行评估，来评价是否充分保护。《欧盟的95指令》第四章也细致规定了第三国适足性评估认定。GDPR加强了适足性认定要求，其第45条“基于认定具有充足保护的转移”中列举了欧盟委员会进行适足性认定时应当考虑的因素：第一，法治、对人权与基本自由的尊重、第三国或国际组织规则、司法救济等；第二，是否存在独立监管机构并具有充分执行权力；第三，是否许下国际承诺，参加了区域或多边合作体系并愿意承担责任。但是，这种适足性认定评估条件严苛且主观性较强，无法做到中立客观，加之审批程序繁冗复杂，所以通过此种认定的国家和地区极少。

（二）协议签署

在跨境数据资料流动保护方面，美国与欧盟分别是掌握主动权和话语权的国家，他们依托其在全球范围内的政治地位和经济实力，通过制定双边、区域协议，推动建构了不同的跨境数据规制体系。除了双边协定以外，以美国为主导的亚太地区签定了APEC隐私框架协议、2012年美韩自由贸易协定、2015年TPP（现为CPTPP）协定（特朗普上台后退出）、2018年《美国—墨西哥—加拿大协定》（USMCA）（美国在这个新的北美自由贸易协定中删除了跨境流动监管的相关要求，并排除协定方基于公共政策等合法目的而设置的数据本地化）等。其中，在2004年通过的APEC隐私框架（APEC Privacy Framework）是亚太地区签署的首个关于跨境数据资料流动保护的区域性协议，这份协议“可以看做是美国主导的规制演进路线的起点。”

虽然以欧盟为主导和美国为主导的规制方式大相径庭，但是两大主体之间频繁的经济、政治往来，对方广阔的数据贸易市场和商业利益，势力均衡无法要求对方让步的现状，使其在进行竞争较量的同时也达成了某些妥协，其妥协的结果就是2000年达成的《美欧安全港协议》和2016年达成的《欧美隐私盾协议》，但两者均被欧洲法院裁决无效。对于新的替代跨境数据资料流动方案，欧美正在进行新的磋商，但推进迟缓。就在“隐私盾”协议达成的同年6月，欧盟与美国签署了《保护伞协议》，“旨在为双方的执法部门及刑事司法机关之间的个人数据交换提供全面和高水平的保护。”

除了欧美两大传统数据大国外，以我国、印度等为代表的国家互联网信息企业和数字贸易快速发展。中国和东盟国家在2012年签署的《区域全面经济伙伴关系协定》（RCEP）中主张多元化的数据资料跨境流动合作，并重点强调了电子数据资料跨境传输中的安全问题。

（三）替代方案

在95指令中，欧盟对没有达到其规定的充分保护水平的国家提供了替代方案，即目前欧盟各成员国与第三国之间使用较为频繁的标准合同条款和约束性公司规则。其中的标准合同条款更是被GDPR嵌入了跨境数据资料流动的整个过程之中。有学者认为，这是因为这一机制不仅可以让监管机构对数据跨境传输中的重要信息进行直接审查，还可以通过违反法律的规定，促使数据处理者主动进行数据安全保护。欧盟在标准合同条款方面的想法大致是，如果第三国不能满足欧盟所规定的足够保护程度，那么就可以将标准的合同条款加入到数据传输双方的合同中，把95指令中的责任和义务转变成合同义务和违约责任，“纳入争议解决及法律适用等条款，来确保数据主体的权利落到实处”。标准合同条款在之前有三个可用版本，分别为SCC2001C、SCC2004C以及SCC2010P。鉴于Schrems II案决议的余波影响，欧盟委员会已经在2021年6月更新了标准化合同条款（SCCs），并以之替代了前三个旧版本。（2021.6.4欧盟委员会通过标准合同条款2.0 对相关内容进行补充）。约束性公司规则是针对跨国公司内部进行跨境数据资料传输而制定的规则体系，GDPR第47条对该替代方案作出了比较细致的规定。但由于其只适用于跨国公司之间的数据资料传送行为，企业为了迎合此规则会增加自身成本，因此适用空间相对较为狭窄。

在《安全港协议》颁布之前，美国既不可能放弃欧盟有着巨大潜力的数据市场，也不会为了迎合欧盟的高标准而完全改变自己国内的法律体系，欧美之间的数据资料跨境流动传输不可能以统一融合的方式实现。为了保证美欧之间数字经济贸易的正常进行，弥合两国之间的数据标准差异，《安全港协议》另辟蹊径，规定参加跨境数据流通的美国公司或企业可以自愿加入该框架，遵守欧盟规则，美国企业既可以接受欧盟监督机构的监管，也可以由美国联邦贸易委员会进行监督。

（四）豁免条款

GDPR做出了在某些特定情形下数据传输的豁免规定。其第49条“特殊情形下的克减”明确表述了这些豁免：如数据主体明确表述同意，数据主体与数据控制者为了履行合同所必需，基于实现公共利益，对于确立、辩护法律诉求而必要等等。

2001年TPP贸易谈判过程中，美国于“电子商务”章节纳入了约束力条款，规制数据资料的跨境流动，强制要求各方通过电子方式跨境传输信息，并且明确禁止数据本地化。但在这些强制约束条款外，还规定了例外情况。TPP协议第14.11条“通过电子方式跨境传输信息”第3款和第14.13条“计算设施的位置”第3款均规定，“本条不得阻止缔约方为实现合法公共政策目标而采取或维持与第2款不符的措施。”

《区域全面经济伙伴协定》在第十二章“电子商务”中第十四条“计算设施的位置”强调，缔约方不能要求另一方在进行商业行为时以计算机设施设于本领域内为强制条件。但从数据资料传输的宏观立场总体俯瞰之，笔者比较赞同有些学者的观点，即在对某一项豁免条款进行设置和考虑时必须对“国家基本安全利益”进行合理阐明，认定这一豁免理由是真实的，而并非为了本国的经济保护建构经济壁垒。做到数据资料输入国和输出国之间的利益平衡，才是设置豁免条款的初衷。

（五）数据在地化

2013年6月，前中情局职员爱德华·斯诺登爆出美国国安局执行的“棱镜”秘密项目监控事件让全球哗然，这也直接加快了各国和各地区的数据本地化立法进程。德国、法国建立政府数据本地云端系统；越南颁布的《互联网服务和信息管理、提供和使用》中要求互联网供应商需将其服务器设在越南境内；澳大利亚的《个人控制的电子健康记录法案》要求，除例外情形外，不得将个人健康档案资料流入境外；俄罗斯多次修订法律，并通过《关于信息、信息技术和信息保护法》，在俄罗斯建立了一个数据库，该数据库由信息所有者和系统运营商收集、整理、保存和利用俄罗斯联邦公民的个人信息。有的学者也将这种资料在地化的立法行为称作“数据民族主义”。

三、我国跨境数据治理中的数据主权问题

为了增强对国家数据的控制能力，我国制定了《网络安全法》和《关键信息基础设施安全保护条例》等一系列法律和法规，为本土化的关键数据资源存储提供了保障。有关法规要求，重要资料及个人资料必须存放在中国，把资料从收集到存放的整个过程都局限在中国。特别是对于重要领域和产业中的数据流动安全问题，我国制定了一套针对数据出境安全的组织架构。《网络安全法》第37條规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。我国又对数据进行了分类细化，在《信息安全技术数据出境安全评估指南（草案）》等法律中，对煤炭、石油天然气等关键领域的数据进行细致分类，以维护国家数据管理权。

在坚持数据主权的前提下，我国逐步放松对数据流动的控制，让国家的数据主权安全和数据价值的释放得到均衡。主动参加国际合作，而不只是局限于对数据的局部控制。2020年11月24日，中国在全球互联网会议上公布了《网络主权：理论与实践（2.0版）》，对互联网中的互联互通进行了肯定，并在此基础上提出了对信息自由的支持。《深圳经济特区数据条例（征求意见稿）》还规定，要加强跨境数据的国际合作，并建立“数据跨境流动的白名单”。这是深圳出台的一项重要举措。

近年来，虽然我国在跨国数据流动管理上取得了长足的进展，但受限于时间、跨国数据流动的复杂程度、实践经验的缺乏，我国对跨境数据管理的监管仍存在以下诸多缺陷。

跨境数据流动在立法管辖方面存在空白。我国数据主权立法处于起步阶段，还没有建立起专门化的详尽可行的跨境数据流动立法体系，与美国、欧盟等发达国家的数据主权治理体系相比有不小差距。虽然已经有《网络安全法》等法律，并且随着数字经济发展在不断补充规则，但是还存在立法零散化、片面化问题。即使现在已经发布了征求意见稿，但是征求意见稿和现有法律（体系化）衔接不畅、用语冲突，存在文义矛盾。

在数据领域方面的司法管辖和域外规制能力弱。我国的司法管辖是以属地管辖为基础，强调数据储存本地化和数据出境安全评估，对数据的管辖完全独立自主，但是不能很好融入国际数据流动司法实践，在国际上的参与度不够，无法及时顺应时代趋势对管辖权做出灵活改变，国际间数据司法合作有限。

数据信息基础配套设施完善程度与自身的数字产业发展规模、数据体量有一定差距。许多小型互联网企业没有足够的资金、技术、经验搭建高标准数据网络中心，需要借助第三方主体进行数据的储存、传输等工作，“在数据资源利益驱动下难免出现数据因脱离控制者而遭到盗用和泄露的风险”。并且现有的专门数据管理机构存在设置重叠、职能交叉、职能任务不全面等问题。

四、基于数据主权维护的我国跨境数据流动治理对策

放眼世界各国，欧盟、美国、俄罗斯等国家均呈现出统一立法与分领域、分行业立法模式。因此，我国出台具有统领性和统一性的跨境数据流通管理法律，构建专门立法和完善跨境数据流动规制体系刻不容缓。在此基础上，采取分散立法模式，增加关键领域的数据跨境保护条款，出台数据跨境管理专门行业的法律法规。同时，对涉及国家安全、关键领域的敏感数据，设立分级管理制度、跨境数据流动合同监管规制制度以及与此配套的安全风险防御评估制度等，对涉及国家安全的数据，留在中国境内储存；对于普通数据再进行细分，要在进行严格的评估程序后才可确定是否出境流动。

我国在国际数据保护中应该主动发声构建双边、多边合作机制，避免国际间的管辖冲突。同时，要参与国际协议和国际规则的制定，努力争取跨境数据流动中的话语权，增加跨境数据谈判内容，主动牵头构筑跨境数据流动规则体系。

要推进国家关键领域数据基础设施建设，深入研发数据信息安全技术，通过培养优质技术人才和专业研究团队的方式，提升数据网络的防御程度。借鉴美国和欧盟的合理经验，设置数据保护官和专业的数据管理机构，负责数据跨境传输、数据安全风险估算、数据流动监测等工作，对涉及数据搜索、储存的企业进行定期管理，并制定相应的跨境数据流动专门审核机制。同时，政府应积极推进数据资源的共享，并随着国内数字经济的发展水平提高适时出台政策规则，提升数据流通融通性。

参考文献：

[1]   张金平.跨境数据转移的国际规制及中国法律的应对：兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律，2016（12）：136-154.

[2]   彭岳.贸易规制视域下数据隐私保护的冲突与解决[J].比较法研究，2018（4）：176-187.

[3]   黄宁，李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报（哲学社会科学版），2017，32（5）：172-182，199.

[4]   张生.美国跨境数据流动的国际法规制路径与中国的因应[J].经贸法律评论，2019（4）：79-93.

[5]   翟志勇.数据主权的兴起及其双重属性[J].中国法律评论，2018（6）：196-202.

[6]   付伟，于长钺.美欧跨境数据流动管理机制研究及我国的对策建议[J].中国信息化，2017（6）：55-59.

[7]   赵精武.数据跨境传输中标准化合同的构建基础与监管转型[J].法律科学（西北政法大学学报），2022，40（2）：148-161.

[8]   贾开.跨境数据流动的全球治理：權力冲突与政策合作：以欧美数据跨境流动监管制度的演进为例[J].汕头大学学报（人文社会科学版），2017，33（5）：57-64.

[9]   杨璐.跨境数据流动中的基本安全利益例外[J].安徽理工大学学报（社会科学版），2021，23（3）：43-48.

[10]   陈咏梅，张姣.跨境数据流动国际规制新发展：困境与前路[J].上海对外经贸大学学报，2017，24（6）：37-52.

[11]   胡炜.跨境数据流动立法的价值取向与我国选择[J].社会科学，2018（4）：95-102.

[责任编辑   兴   华]