齐家2024年11月12日发布:吴召瑶｜个人数据跨境流动监管模式的转型嬗变及其规范进路

随着大数据与人工智能的发展，个人数据跨境流动已成为当下人们热论的重要议题，数据跨境流动成为助推数字经济增长的关键因素，然而其带来的风险也与日俱增，个人隐私保护，企业发展，国家数据主权都面临着极大挑战，如何保证跨境数据流中数据的安全性和完整性，如何防止数据泄露和篡改等风险，以及如何制定符合各国要求的统一技术和安全标准仍是亟待解决的问题。在此背景下，我国制定了一系列的监管策略，对数据跨境流动不断实现从刚性约束到柔性治理的监管过渡，由于数据跨境问题的复杂性，对其监管也存在界定标准悬浮化，关键核心技术供给不足，监管机制不健全，国际规制方面整体较为保守等问题，为此应当抓住数字经济发展的契机，在国内层面：进一步完善数据跨境流动管辖，加强个人数据跨境流动安全的内审机制建设，加强“核心技术”供给投入，同时积极推进构建数据自由港试点。在国际层面：明确和建立数据跨境流动多元化规则，加强国内数据跨境流动规则与国际标准的有效衔接，积极参与跨境数据流动治理的国际合作，搭建“数字丝绸之路”合作平台，建立互信制跨境合作体系，在保障自身权益的同时发展高标准的数据跨境流动监管规则。

对于个人数据跨境流动这一概念，最早体现在各国对个人数据的保护立法之中，目前各国或国际组织对此并没有形成完全统一的定义。1980年，经合组织在《关于隐私保护和个人数据跨境流动的指南》法律文件中首次定义了个人数据跨境流动这一概念，并明确指出：个人数据跨境流动是指个人数据跨国界流动。1990年，联合国跨国公司中心在《计算机化个人数据文件保护准则》中指出，跨境个人数据流动是指跨越国界处理、存储和检索存储在计算机上的可读数据。1981年，欧洲会议公约在其发表的法律文件《个人数据自动化处理中的个人保护公约》表示，个人数据的跨境流动是指通过通信网络、自动数据处理或为自动数据处理之目的进行的个人数据跨境通信。2018年，欧盟在《通用数据保护条例》中指出，跨境个人数据流动是指已处理或打算处理的个人数据向第三国或国际组织的转移。中国也在2021年施行的数据安全法第31条中指出，数据出境是指网络运营商向境外机构、组织或个人提供在中华人民共和国境内活动过程中收集和生成的个人信息和敏感数据。在信息网络时代，数据跨境流动无法避免，随着其流动性的增加，个人数据跨越国界已成为一种趋势和现实。

随着互联网和全球贸易的快速发展，数字经济越来越依赖于跨境数据流动，大量个人数据频繁地在各国之间流动，数据成为助推数字经济增长的关键因素，在全球数据资源的开发、利用、共享中发挥着重要作用，在支撑数字经济发展、增强国家创新实力、增加社会福祉方面扮演着重要角色，与此同时，对跨境数据流动的监管也成为不容忽视的重要议题。

在信息化时代背景下，互联网渐渐融入我们的日常生活，对我们的思想观念、社交方式等都产生了重大影响，互联网是一个无国界的网络空间，在这一空间中，国家和地区之间的地理界线不再是划分区域的依据，取而代之的是IP地址及其相应的域名。互联网是自由开放的，信息技术的发展如云存储、云计算和物联网，进一步推进了网络空间的无边界性，我们自然可以得出数据无国界这一结论。随着互联网时代的到来，主权国家开始将数据的价值视为一种稀缺资源，与此同时，跨境数据流动逐渐成为国际社会交流中不可或缺的环节之一，最大限度地促进数据获取已成为各国在数字经济时代的关键挑战。

数据作为记录客观事物性质、状态以及相互关系等的抽象物理符号而被人们所知晓，随着互联网、云计算、物联网等的不断发展，数据资源的收集、处理、挖掘和分析已经突破了地域的限制，个人数据跨境流动越来越频繁，流动是实现数据价值的前提。数据无处不在且不断地更新，同时数据也是分散的，没有哪个企业能够独占数据，其通常是分布在网络的各个平台上，随着时间的推移，数据不断更新进而将前者取而代之，这使得数据的流动性愈发凸显。只有在人、物、组织间的数据高速流动，才能使其价值不断升华，进而成为指导当下、预测未来、引领发展的重要资源。在法律许可的范围内，网络用户可以在全球各个国家的网站上进行登录，从而进行社交平台的互动和信息交流，互联网的发展普及加速了信息传播的速度，用户可以更快速更便捷地获取海量文化内容，了解不同国家和地区的风土人情，互联网时代的无国界已经成为一种趋势和现实，全球社会空间互联网的实现，必须以个人数据跨境流动为依托，重要的数据信息已深深嵌入无边界网络空间的架构之中。

在当今科技不断发展的时代，数据作为触及大国经济命脉的战略资源其重要性日益凸显，数据跨境流动，数字经济跨境合作已经成为当今时代不断发展的常态，数据主权即主权延伸到网络空间，其基本特征是国家自主对数据资源进行存储、运输、分析和处理等的管控能力，在这种双循环的新发展格局下，数据所具有的主权发展价值与主权保护价值变得越来越重要。数据主权与个人信息保护密切相关，保护个人数据是数据主权的关键要素之一，意味着个人有了解、选择和控制自己的数据，保护个人隐私和维护自身尊严的权利。企业必须遵守有关数据收集、使用、传输、存储和其他数据相关活动的相关法律规范，尊重数据所在国的网络主权，从而维护企业自身的数据安全和商业利益，数据资源所具有的战略价值受到了主权国家的高度重视，数字领域的竞争不仅是技术之争，更是规则之争，目前以跨境数据流动为核心议题的多边经贸规则全球协定为新一轮高水平国际贸易规则指明了方向，我们应当利用规则优势保障数据主权和安全。

为了获取和利用数据跨境流动所带来的诸多红利，各主权国家不断出台一些新的政策，在政治方面和技术方面展开积极布局，以维护自身利益，竞争数据资源，从而在国际竞争中占据有利地位。在政治层面，各个主权国家积极投入到数字领域的全球治理之中，制定了数字化战略和政策，以推动本国数字经济的发展和国际数字经济的合作；在技术层面，主权国家不断加大对科技的投入，不断创新和突破，力图在数据竞争中取得优势。RCEP设置特定例外条款通过缔约方的自裁量权赋予缔约方数据主权，试图构建各缔约方的自主性与RCEP基本架构相协调的数据治理框架，从而保障各缔约方的利益，推动数字资源在亚洲区域的自由流动，如果主权国家无权在其主权范围内管理数据，数据将继续流向数字经济发达国家和地区，数字经济落后的国家将无法从中受益，数据上升为国家的重要战略资源，成为经济社会发展的新引擎。

在当今数字经济全球化时代，个人数据跨境流动成为全球治理中的一个重要议题。从国家间的经济贸易活动到技术活动，从公民个人隐私到企业间的竞争，从国家监控到网络主权，数据在全球范围的流动成为新时代的一个显著特征。数字经济全球化的发展需要以数据跨境流动作为驱动力，在经济全球化发展进程中，数据成为推动经济快速发展的核心动力，以互联网为载体的大容量，高速率的数据跨境流动，加速了传统经济全球化的发展，个人数据跨境流动正在成为连接经济全球化的桥梁纽带，经济全球化的一个重要特征是数字技术驱动的经济时代的到来，数字经济是指以计算机、互联网、移动互联网、物联网、工业互联网、云计算和人工智能、区块链技术为基础进行生产、交换、消费等各种经济活动的总和，数字经济的各种经济活动产生出来的记录或痕迹，构成了经济大数据的最主要来源。

在数字经济时代背景下，个人数据跨境流动成为国家之间、国际组织之间沟通交流的重要方式，通过数据的输入与输出，把资源的整合效率进一步提高，推动经济的进一步发展，从而使数据的经济价值得以实现，跨境数据流动是数字经济的核心，跨境数据流动也是各国互利共赢、共同发展的关键。一方面，各国应本着促进本国数字经济发展、便利跨境数据流动的基本立场，加强数据资源的高效流动，提高本国经济贸易的效率和便利性，增强数字领域的竞争力和创造力。另一方面，多国并存造成了各自根本利益的矛盾和冲突，各国必须根据本国国情，对跨境数据流动进行适当的监管和保护，以保护数据主权，防范与数据相关的风险和威胁。个人数据跨境流动成为经济活动中的一个关键的生产要素，绝大多数的经济活动是由数据驱动，个人数据跨境流动与推动经济全球化的传统生产要素技术，资本不同，以个人数据跨境流动为主要推动力的经济全球化，其影响范围将会更大，覆盖面积将会更广，跨境数据流动是数字经济全球化的核心，是中国制度开放的关键领域，也是参与高水平自由贸易协定谈判不可回避的“拦路虎”，我们应不断提升数字领域的国际竞争力，加快输出自己的数字治理模式，扩大数字管辖权，个人数据的跨境流动正在改变着全球经济的形态，经济全球化正在迈向一个数据跨境流动的新时代。

对于个人数据跨境流动的监管，我国经历了由“刚性”到“柔性”的转变历程，一系列的法律规范是中国跨境数据流动管理的重大创新，也是中国未来数字经济环境和制度开放的重要风向标，中国在数据跨境流动方面，其监管策略不断实现由最初严格的数据本地存储制，到适度宽松的数据跨境政策，再到更加自由的数据监管体系的过渡。

早期中国基于国家网络安全、数据安全和保护个人隐私的考虑，制定了严格的数据本地化措施，数据本地化措施是国家监管跨境数据流动的一种方式，是对跨境数据流动最严格的监管，其深层次的地缘政治影响与跨境数据流动监管有着密切关系，数据本地化从根本上说是为了实现国家战略而对数据的安全和价值进行直接和极端的控制，2016年通过的网络安全法是网络领域一部具有全球意义的法律，也是一部对跨境数据流动做出明确法律规定的法律，这一法规为中国规范个人数据跨境流动提供了重要理论依据。互联网技术的进步使得发现和感知社会风险变得不再那么容易，因此，中国倾向于采用数据本地化措施来作为监管跨境数据流动的主要手段，虽然具体的制度设计尚未成熟，但可以窥见在过去国家对数据本地存储的要求是极为严格的，中国采取数据本地化措施限制数据跨境流动，在一定程度上有利于保护中国公民个人数据安全和隐私，维护中国国家安全，但也有一定局限性，首先，数据本地化措施分散零碎，一般性规定和涉及具体领域的其他规定散见于各类规范性法律文件中，不全面且缺乏系统性，其次，数据本地化措施严格，不能适应数字经济发展的需要，中国的数据本地化措施提及对跨境数据流动在存储、处理等方面的严格要求，而数字经济的发展离不开跨境数据流动，严格的数据本地化措施会对数字经济发展造成障碍。

随着数字经济的发展，中国对数据跨境的监管开始了从“刚性”到“柔性”的转变。国家相继出台了个人信息保护法、数据安全法等法律，加强对跨境数据流动的法律规范，这不仅符合中国当前基本国情，而且具有极高的可行性，在对数据跨境流动的监管立场上，中国以安全保护为原则，提出促进数据安全和跨境自由流动，与强调数据自由流动的美国和强调数据隐私保护的欧盟不同，中国旨在平衡保护国家安全、公民隐私与数据流动的需要，促进数据跨境的有序流动，个人信息保护法、数据安全法明确了个人数据处理规则、个人在数据处理活动中的权利、个人数据控制者的义务等重要制度，2022年颁布了《数据出境安全评估办法》，明确了数据输出安全评估的流程和要求，对规范数据跨境流动具有十分重要的制度价值和实践意义，在大数据和人工智能背景下，数据跨境流动成为一种必然趋势，基于此我国对数据跨境流动的监管也更加开放，不断实现由“严苛本地化”到“开放自由化”的制度转变，网络安全法、数据安全法和个人信息保护法三部法律确立了我国数据出境的制度框架，国家也在此基础上通过了一系列规章和指导意见，明确了数据出境程序的范围、条件和流程，建立了我国数据出境的具体规则体系，《规范和促进数据跨境流动规定（征求意见稿）》，拟议的新规则应允许对目前过于严格的数据输出规则进行重大修正，其对数据输出程序的要求大大放宽，且澄清了一些不需要输出程序的情况，在此规定之下跨境数据监管机制将更加灵活，监管部门将有的放矢对数据出境活动进行监管，标志着我国数据治理法治实践迈出关键一步，中国依法对数据进行分类分级管理，通过先进的立法规定了多种跨境流动方案，以满足关键数据和个人数据出境的需求，从而确立一个更加灵活有效的数据跨境规则，提高数据治理的高效化。

在对个人数据跨境流动的国内管理和治理体系中，“中央集权制”的国家监管模式为规范个人数据的跨境流动奠定了基础，如《个人信息出境标准合同办法》内容的准备和协调工作大都是由国家互联网信息办公室负责，对个人数据跨境流动的监管局限于国家监管系统内部，这使得监管的范围较为狭窄，进而导致可建议改进的事项受到诸多限制。在运行机制中由于缺乏精确分析和民主决策以及制度刚性不足等原因，导致对数据跨境流动执行效果较差，此外，监管体系的制度设计受主客观因素的影响也使得对个人数据跨境流动的监管效果大打折扣，为了惩处在数据流动中存在的一些不规范行为，在“问题导向”监管之下，暴露出重要数据认定模糊等一系列问题，这需要国家借助地方优势，加强数据跨境流动监管法律法规的贯通执行，发挥监管体系的枢纽性作用，有效整合数据跨境流动的监管资源，从而促进个人数据跨境的有序流动，实现对个人数据跨境流动监管的标本兼治效能。

通过制定一系列的监管体系促进数据的跨境流动，成为大数据时代背景下重要的价值目标追求，随着数字经济的不断发展，对数据跨境监管的不断深入推进，制定系统化的监管体系自然成为国家对数据跨境流动监管的不二选择，在征求意见稿中，国家对自贸区制定数据出境“负面清单”进行了积极倡导鼓励，将中央的集中管控在一定情况下向地方进行授权，自贸区可以自行制定数据出境的负面清单，对于敏感关键数据的出境进行限制或禁止，而对于清单外的数据则可从自贸区向境外自由流动，在此规定之下自贸区的跨境数据监管机制将更加灵活。从制度实践的角度看，对数据跨境流动的监管需要制定一种有效的治理措施，在尊重国家核心职权“内部自治”的基础上，又能对地方给予适当授权，从而发挥不同性质职权的制度耦合功能，捋顺中央与地方的职权关系，进而实现对数据跨境流动的有效监管。

在应对数据跨境流动问题上，具体问题具体分析是认识数据跨境流动安全问题，预判风险点位的重要方法，监管措施是否精准有效，不仅需要执法者具备“系统思维”还要有“具体灵活性”的眼界来透过个人数据跨境流动的现象看到问题的本质，并制定一套完整规范的程序来实现数据跨境的有序流动。《数据出境安全评估办法（征求意见稿）》对现行规定和实践惯例进行了重申，实际上是对数据出境手续的触发标准进行了由“系统综合”到“具体面向”的迁移，非个人信息且非重要数据的一般数据的出境活动，无需申报安全评估、订立标准合同或者通过保护认证，但在实际应用中，重要数据的识别一直是一项挑战，重要数据分布的领域和应用多种多样，而且大多数领域缺乏重要数据目录，为此征求意见稿指出未被官方正式确定为重要数据的，其不必申报安全评估，这一规定能够减少不确定性并为企业提供更明确的指导。在新规出台前，个人信息出境活动可能需申报数据出境安全评估，但在新规实施后，一些企业只需降级履行个人信息出境标准合同机制或个人信息保护认证机制即可，这将使得相关企业的压力和成本将大幅降低，征求意见稿明确了三类数据输出活动不应属于出境数据特殊规范机制的范围，从“系统综合”指向“面”的数据跨境流动监管过渡到“具体面向”所代表“点”的数据跨境流动监管，实现了治理效能的有效整合，这是国家在数据跨境流动监管方面的一个重大转变。

对非境内收集产生的个人信息征求意见稿也做了规定，对境外提供非国内收集或生成的个人数据时，无需进行安全评估、订立标准合同或保护认证，而对于境外数据的入境再出境可分为两种情况，如果来自境外的个人数据未经修改或处理就直接提供给境外，则无需满足事先审批的要求，如果源于境外的个人数据在境内处理后输出到境外，如果处理过程涉及在境内处理个人数据或创建新的个人数据，公司必须履行相应的义务，且不能免于事先批准程序的要求，为了提升数据跨境流通的效率与便利，征求意见稿豁免了多个数据出境场景下企业的安全评估、保护认证、签订标准合同的义务，规定在以下三种场景中可豁免数据出境前置程序，在《数据出境安全评估办法》及《个人信息出境标准合同办法》中，将1万人敏感个人数据作为触发传输数据安全评估声明的标准，但征求意见稿中有关敏感个人数据数量的要求已被删除，同时大大放宽了触发阈值的数量，这种相对灵活的计算方法可降低企业的数据治理成本，此外，征求意见稿中不再将处理的个人数据量作为相关义务的触发因素，表明监管机构的监管重点有从企业处理的个人数据总量转向企业跨境传输的个人数据量的趋势，在个人数据跨境流动中，通过对数据进行“具体面向”的分析界定，不断完善数据监管体系框架，从而构建高标准的数据跨境流动监管机制。

中国在跨境数据流动治理领域起步较晚，近年来随着数字经济的迅速发展和数据跨境传输需求的增加，国家越来越重视数据跨境流动问题，加大了相关领域的立法工作，但由于此前在数据跨境流动政策上总体趋向保守，立法滞后，这使得我国在数据跨境流动监管方面仍面临严峻挑战。审视我国的数据跨境监管体系，存在监管机制不健全，相关法律法规较分散，数据分类不明确，关键核心技术供给不足等一系列问题。

目前，中国对数据跨境流动问题保持相对谨慎的态度，强调保护数据隐私和安全，防止数据自由流动损害个人隐私和国家安全，我国通过颁布各种法律法规对跨境数据进行监管，自2016年出台网络安全法后，于2021年又相继出台了数据安全法、个人信息保护法等，专门提及跨境数据的监管问题。此外，国家互联网信息办公室最新颁布的《数据出境安全评估办法》《网络数据安全管理条例（征求意见稿）》等均涉及对跨境数据流动的规制，我国对跨境数据问题的规制给予高度重视，但关于跨境数字贸易领域的相关问题，目前我国并没有一个明确、专门的法律，虽然2016年我国颁布了首部专门对数字贸易进行规制的电子商务法，但其第二条明确规定了该法的适用主体是“中华人民共和国境内的电子商务活动”，可见，对于国际性的数字贸易问题仍缺乏专门的立法，对跨境数据监管的规定散见于不同法律中。在国家构建数据跨境治理系统时，过多的法律法规会导致规则之间缺乏协调、规则过冗杂甚至相互矛盾等问题，地方政府为应对数字时代的发展，出台了地方政策和法规来规范跨境数据流动，但大多数地方政策只是国家立法的重复，如果地方政府重复法律，耗费法律资源来适应“新浪潮”，数据治理就会从“无”到“无处不在”走向极端，相反复杂的法规和政策会增加企业的治理成本，重复立法也会消耗大量立法资源，数据流动注定会涉及多个地点甚至多个国家，很难通过单一政策对数据进行有效监管，在跨境数据问题立法上缺乏顶层设计与整体规划，表面上是一种立法衔接，但无法改变碎片化立法的事实，易导致规则缺乏必要的弹性，使得立法权威和管理的有效性受到减损。

在个人数据跨境流动中，“关键信息”“重要数据”分类不明确，界定标准悬浮化，“悬浮化”主要是指：在个人数据跨境流动的监管中提出的某些法律术语不够精准，不能命中问题“要害”，不能起到“发出一份建议、解决一类问题、完善一批制度”的作用功效，进而致使监管制度执行未能深入数据跨境流动机理之中，悬浮于治理实践之上，法律中使用的术语缺乏准确性和统一性，例如，个人信息保护法规定保护对象是“关键敏感信息”，而新出台的数据输出安全评估措施则规定监管对象是“重要数据”，虽然这些概念的含义相近，但在实际操作中，由于概念表述不统一，很容易导致概念的误用和概念的无限制延伸，甚至导致监管“口袋”，影响数据安全评估的效果。我国在数据跨境流动监管方面制定了相关法律，网络安全法和数据安全法中都提到了数据安全标准的制定，但这只是强调了这些标准的重要性，并没有详细定义其内容、范围和限制，此外，虽然提到国家标准应尽可能与国际规则和标准保持一致，但由于国际社会尚未就跨境数据的监管达成共识，因此具体国际标准的定义及其如何衔接仍需改进。

中国在数字技术关键领域的投入相对较少，构成数字贸易核心的软件、核心元器件、高端芯片等核心技术严重依赖进口，造成了中国在核心关键技术上的巨大缺口，制约了中国数字贸易的发展。宏观贸易数据显示，中国的知识产权使用费是唯一持续逆差且不断增长的项目，5G、人工智能、大数据和区块链等先进数字技术领域的领先服务商大多来自国外，而中国仅有5G、3D打印等少数企业上榜，当前，发达国家对中国核心技术出口的控制越来越严，中国数字贸易发展面临的挑战也与日俱增。

在数据跨境流动的监管中，中国现有的贸易法律法规主要针对货物贸易和服务贸易，缺乏针对数字贸易的专门规则和标准，数字货物和服务的监管体系有待完善，在数据跨境流动方面，虽然中国通过《数据出境安全评估办法》《数据出境安全评估申报指南》等不断完善数据跨境流动的制度框架，但大数据的范围和行业数据的分类方法仍未明确，同时由于数据确权、保护等相关机制仍处于探索阶段，导致数据碎片化、信息孤岛现象持续存在，成为制约企业创新和优化公共服务的瓶颈，在数字贸易开放和便利化方面，数字贸易的开放程度、标准的统一性和数据的互通性是数字商业“引进来”及“走出去”面临的障碍。

当前，我国加入的涉及数字贸易的区域性贸易协定主要有三个：RCEP、CPTPP和DETA，其中，只有DETA是专门规制数字贸易的协定，而其余两个仅在电子商务章节中有涉及，而DEPA和CPTPP关于跨境数据监管领域规制的规定相同，没有更多的创新内容，我国在区域性贸易协定，双边自贸协定中存在一些不足之处，一方面，限制数据流动的区域贸易协定条款含糊不清，关于数据跨境例外条款的适用具有不确定性，目前，中国签署的大多数自贸协定都包含关于电子商务的新章节，强调促进电子商务合作和保护个人数据作为加强数字贸易手段的重要性，然而自贸协定中并没有关于跨境数据监管的实质性条款，更多的是宣示性条款，另一方面，数字贸易监管的范围有限，有关数字贸易的条款主要集中在电子商务一章，对本地数据存储和跨境数据流动等关键问题未作规定，且数字贸易条款的约束力和执行力也较为不足。

在全球数字经济中，各国在个人数据跨境流动方面的合作至关重要，虽然各国在跨境数据流动、数据保护和数据安全方面存在差异，没有达成统一的共识，各国在跨境数据流动方面的政策和法律也存在很大差距，但跨境个人数据流动方面的国际合作是大势所趋。我国重视个人隐私保护，其相对严格的数据跨境监管措施影响了中国的“出境”，不利于数据跨境流动和国际合作，导致参与国际合作相对较低，在国际社会缺乏话语权，我国尚未建立统一完善的国际合作与互信机制，也没有利用现有的自由贸易协定框架在跨境数据流动领域引入新的规则，国际接轨不紧密，在数据跨境流动监管方面，我国的国际参与度有待提高。

中国跨境数据流动监管面临诸多的现实挑战，我们需要不断审视国际发展动态，结合自身发展需求，制定跨境数据流动应对方案和策略，在数据跨境源头强化对数据的监管。

通过对个人数据跨境流动的国内立法考察，虽然我国已经制定了相关的法律规范，但清晰的数据保护立法思路系统尚未形成，完善的个人数据跨境流动规制体系尚未建立，我国在个人数据跨境流动的立法多为一些原则性规定，在数据主体的权利义务、跨境数据流动机制的规制路径等方面缺乏具体规定，我国虽设立了信息跨境规则条款，然而基于个人数据的特殊性、跨境场景的风险性等特点，在数据跨境流动过程中的个人隐私和自主权尚未能够得到有效保护，国家应当设置多元化的分类机制，进一步明确保护标准，如：对于用户所涉及的一般信息、敏感信息、重要个人信息进行分类，进而采取有针对性的分类保护措施，对于一般个人信息跨境流动，可以采取较为宽松的自由流动政策，而对于敏感信息，可以设置规范条款，在立法中，需要进一步明确“关键基础设施运营者”“重要核心数据”等概念，在涉及国家安全、企业利益和个人数据权益的情况下，可根据其来源和重要性设置不同的数据输出审核要求和监管标准，在国家和企业跨境数据传输安全管理体系框架内，实施跨境数据传输安全管理试点项目，促进跨境数据立法、执法和对外合作的政策协同，通过制定安全管理机制，如跨境数据目录、分级分类管理、数据安全保护能力评估和认证、数据流保障审查、跨境数据流动和交易风险评估等，来不断完善数据跨境流动的安全配套措施，建立完善的跨境数据流动监管法律体系。

目前中国的数据跨境流动监管主要基于数据本地化政策，尚未设立专门的数据保护机构，也未制定系统的法律法规，个人数据跨境流动监管由各行业主管部门分别负责，跨境数据流动规则相对分散，如医疗保健数据由医疗保健委员会负责，互联网数据由工业和信息化部负责，然而除了依赖于部门当局实施的详细规则外，跨境数据流动的监管还需要建立一个专门机构来密切协调工作，为此我们需要建立独立的数据保护监督机构来规制数据跨境流动风险，针对跨境数据流动开展针对性的工作，实行多层次差异化监管，从而构建一个完整的监管规制体系，确保跨境数据流动与数据安全之间的动态平衡。国家数据监管体系的建立应分层、互联、兼容，既要有高层次的设计，又要有具体可行的措施，在整个跨境数据传输过程的不同阶段进行评估，并为不同阶段规定不同的义务，在评估之前，应建立一个备案系统，使数据发送公司能够进行适当的存档，存档的内容包括发送数据的类型、发送的目的和数据被发送到的国家，通过该档案库，有助于加强国家网信部门的审查，也有利于鼓励企业履行保护传输数据安全的义务，其次是在审核后的数据风险监控方面，要加强审核通过后的数据风险监控，特别是出境后的数据风险监控，确保数据传输主体出境后仍能采取数据泄露设限、数据安全事件反向通报等措施保护自身数据安全，对于各部门的权力和责任范围也要进一步明确，解决在处理跨境数据时权力重叠和执法能力不平等的问题，明确数据评估程序，要求数据处理者按照评估部门的要求跨境传输，制定跨境数据流动分级、分类标准，从而形成一个高效的数据监管体系。

目前，国际社会尚未建立统一的跨境数据流动治理机制，我国正处于跨境数据流动治理的探索阶段，应积极推进国际数字自由贸易区、数字自由贸易港等试点平台建设，打造跨境数据流动的特区和符合国际高标准规则的可能途径。我国可以利用特定的区域，为探索数据跨境流动的模式和路径先行先试，尤其是在当下大国的博弈日益激烈的情况下，美欧在数据跨境流动规则机制上对我国形成“封锁”，在此形势下，我国应以一些特定地区为突破口，冲破西方国家对我国的“围堵”，例如可以利用粤港澳大湾区优越的地理优势，制定跨境数据协同治理框架，积极参与数据规则治理的国际研究，在数据跨境流动中发挥引领作用，充分利用自贸区先行先试和跨境服务功能，推动数据自由流动国际合作试验区建设。

探索以“特定区域、特定主体、特别授权、特别监管”为试点思路的数据自由港中心试点，通过开展国际数据处理和交换等活动，创建境内外数据实验区，推动自由贸易港跨境数据流动先行先试，借助国际数据产业新优势，建设具有国际影响力的数据自由港，构建国际数字产品交换平台，针对主要国际贸易伙伴和游客来源国、目的地国，优先探索旅游、贸易等领域的跨境数据流动，充分利用地缘优势，以多种能源为补充，建立区域跨境数据流动规则和白名单机制，先行先试，实现数据自由港试点跨境数据流动的公开、透明、安全、可控监管体系建设，围绕数字贸易壁垒约束和政策障碍，促进数字营商环境自由化、便利化，引领数字贸易加快发展，积极借鉴全球典型数字自由贸易港的经验，在特定区域推进数字自由贸易区、数字自由贸易港建设，不断加强区域跨境数据流动治理的各项探索工作，促进试点研究与国际规则制定的有效互动，积极开展跨境数据流动风险测试，从而推动全球数据治理体系建设。

加强数据安全技术是数据跨境自由流动的先决条件之一，通过加强数据安全技术，可以防止和限制非法数据跨界流动，并通过采用适当的技术措施，对突如其来的网络攻击做出及时反应，以防止数据泄露，针对跨境数据流动中可能出现的数据泄露、滥用等各种安全风险，要不断加强技术创新，为跨境数据流动提供可靠的环境和管理能力。在数据安全技术保障方面，首先要研究保护隐私、同态加密、多方安全计算等技术，为安全有序的跨境数据流动提供切实可行的技术解决方案，其次要不断研究学习最先进的数据安全技术，加强安全产品的研发和行业应用，推进政府部门与安全公司进行合作，完善跨境数据流动安全监测和预警基础设施的建设，从而提高获取、分析、调查和协调数据安全信息的能力，以及快速应对安全事件、跟踪和识别恶意行为的技术能力。

我国的技术和数据产业相对薄弱，国内数字产业起步较晚，没有技术和数据产业优势。在此背景下，中国应重点加强数据安全技术建设，以有效应对网络安全事件，防止数据泄露、丢失和损坏，在受到威胁后，还应积极采取纠正措施，阻止或阻断数据扩散，并通过有效措施降低损害和数据丢失的风险。此外，在有关部门的指导下，联合各国IT和互联网企业、金融机构、大型企业等组成国际数据合作联盟，形成合作管理跨境数据流，从而扩大全球数据管理能力，通过加强行业自律体系建设，建立健全的数据安全治理体系。最后应加快人工智能、区块链等信息技术在跨境数据领域的应用，推动社交媒体、搜索引擎在数字商务领域的应用，增强云计算、技术服务等数字商务模式关键核心技术的自主创新能力，以及重点支持云计算、通信、大数据、数字娱乐等新型数字商务模式，增强在5G、大数据、区块链、人工智能、云计算等方面的自主研发能力，率先突破数字贸易相关的核心技术，加快形成数字贸易发展集聚效应，为数据跨境流动营造良好的环境。

在制定我国跨境数据流动规则时，应遵循规范跨境数据流动经贸协定的发展趋势，坚持跨境数据流动规则的多元化发展，并根据我国数字经济的发展水平，适时提升跨境数据流动规则的标准。多元化趋势是现代社会发展的大趋势，一方面，我国应坚持跨境数据流动规则的多元化发展，坚持跨境数据流动的多元化趋势，有助于摆脱以美国和欧盟为主导的跨境数据流动规则的常态，拓宽其发展途径，为国际社会和数据流动规则带来更多的数字治理方案；另一方面，我国应坚持实现跨境数据流动自由与我国数字经济发展相协调，不能盲目追求跨境数据流动的高自由度而忽视其带来的风险，而应根据数字经济的发展水平，来不断调整中国数据跨境流动的自由度。积极遵守DEPA和CPTPP等经贸协定，大力发展数字经济，引导跨境数据流动的安全性，并在数字经济发展水平达到一定程度后进行标准提高，对于中国目前加入的RCEP，中国应积极完善跨境数据流动规则，关注RCEP各方数字经济发展水平的实际差距，同时兼顾各方提升数字包容性，积极推动在规则层面缩小数字鸿沟。

在应对数据跨境流动这一问题中，我们应制定明确的数据安全标准，对数据保护标准的限度给予界定，从而平衡数据保护与经济发展之间的关系，这些标准的制定应更加明确、清晰、更具操作性，有别于美国倡导数据自由流动的灵活标准，确保所制定的标准尽可能与国际标准接轨。在立法中使用的术语应标准化，在法规相同的情况下，术语也应统一，以避免因术语不同而造成概念模糊，应合并和简化地方政策，地方政策和法规如果只是重复和改写相关法律，而不改进和完善国家法律、明确数据保护标准和提供实用指南，不仅缺乏实质价值，还会浪费立法资源，增加企业的治理成本，这些基本标准定义应与大多数全球数据保护标准相似，确保在未来关于建立国际跨国数据流动保护体系的谈判中，可以更好地融入全球数据保护，促进各国就数据保护问题达成共识，同时在适当的框架下制定高水平的数字贸易条款，通过制定一些高水平的数字贸易条款，增强中国在数字贸易方面的竞争力，并将其纳入区域贸易协定，推进国家数字治理体系和能力建设，提升中国数字贸易规则的广度和深度。

数据治理问题已成为各类多边和双边国际组织的焦点议题，我国不断加入经贸协定，不断扩大开放，致力于与其他国家共同走出一条互利共赢的新路径。在具体操作上我们应当以与重要贸易伙伴签订共认互信的多边协议作为突破口，采取“双边带多边、区域带整体”的推进策略，不断扩大数据跨境合作朋友圈，选择与中国贸易投资关系密切、发展潜力大、政治互信好的国家和地区加强合作，利用在“一带一路”沿线国家和地区的影响力，达成一批高水平的双边协议，在个人数据保护、网络安全、关键信息基础设施、技术规范和标准等方面形成制度性协议，为推动数字丝绸之路建设做出安排，在当今数字经济全球化时代，数据正在成为国家的核心竞争力之一，技术即权力，数据即主权，在数据安全问题上，中国既需要做好防守又需要做好反击，虽然近年来中国在数字产业上取得了长足发展，但与美国相比，我国有全球影响力的互联网巨头数量仍然很少。

我们应当适应全球互联网发展趋势并融入其中，既加强与其他国家在数字规则与数字技术方面的沟通，又要重视自身的规则构建，加大科技投入提高自身技术水平，确保自身能力的自主性，从而减少对外部的依赖，只有使自身不断强大才能换来谈判的筹码，才能有力维护国家主权与安全，促进本国数字经济的发展，通过发展完善数据领域的阻断法积极应对他国的长臂管辖，对长期管辖权域外效力的否定以及出于各种目的的相关规定，可通过编写相关国家处理长期管辖权的法律附件加以澄清，数据控制者在遵守其他国家的要求之前，应寻求国家当局的批准，还应防止其他国家行使远程管辖权，同时为企业提供相应的补救措施，以免加重企业责任的负担，因为这不仅会导致国家之间在适用法律和管辖权方面的冲突，也会对相关实体造成损害，此外，要重视个人数据保护的国际合作，明确与第三国司法管辖和规则冲突的解决机制，争取与主要国家达成标准互认框架协议，积极参与国际规则的制定，加强数据跨境流动监管相关制度规定，在内容广度和约束力度上向更高水平协议靠拢，积极推进与各国的监管协调，抓住数字经济发展的契机，消除数据流动壁垒，努力构建全球数据流动环境，我们应在现有法律和政策的基础上，寻求出发点，实现国家利益的最大公约数。

在我国“一带一路”倡议的深化推进之下，“数字丝绸之路”建设蓬勃发展，中国企业走出去的步伐不断加速，外资企业引进来的力度也不断加大，随之而来的数据跨境流动成为当下人们关注的一个热点，然而中国作为全球数字经济第二大市场，其数据跨境流动的规模与经济量所处的境况却不容乐观，由于我国在数据跨境自由流动方面具有较多的顾虑，这导致了我中国参与跨境数据流动治理的国际监管相对薄弱，尚未与国际贸易伙伴建立稳定、长期的跨境数据流动互信机制，这将严重影响中国企业开展跨境活动，更不利于中国数字经济的快速发展。目前，对跨境数据流动的监管形成了以欧美为主的两大监管体系主导的国际模式，我国缺乏与西方国家的合作谈判，因此，我国可以以“一带一路”倡议为契机，加强沿线国家的区域合作，提高网络空间的互联互通，从而变被动为主动，在新兴领域获得更大的话语权。建设数字丝绸之路的初衷，是通过利用数据流动，缩小国家间的“数据鸿沟”，促进数字商业服务、数字技术等各领域的国际合作，“数字丝绸之路”规则的制定应以平等的方式对待不同数字技术水平国家的网络主权，在最大程度上保障沿线国家的共同利益，实现规则的统一。在推进“一带一路”倡议的过程中，应充分发挥中国与其他国家的双边或多边机制的作用，例如中国可以利用区域全面经济伙伴关系的平台，通过在自由贸易协定中设立相关章节，纳入跨境数据流动的具体规则，参与和推动跨境数据流动规则的磋商对话。

在个人数据跨境流动方面，欧美虽然制定了一系列的监管策略，然而至今在全球范围内仍未能形成一个统一有效的国际规则条约，中国应积极参与国家和地区的国际磋商和政治谈判中，提供解决数据流动问题的方案，在就数据安全问题达成共识的基础上，探索数据跨境流动合作的机会，提供多元、合法、高效的跨境数据流动渠道，在多边层面，可以通过国际合作和世贸组织平台制定跨境数据流动国际规则，促进全球数据安全和自由流动，此外，中国应积极倡导在国际贸易协定中纳入安全条款，保护数据安全，从加强数据安全和发展数字经济的角度出发，积极参与更多的双边和多边个人数据跨境流动国际合作，开展数据跨境流动多边和双边协议谈判，与有共同利益的国家和地区建立数据自由流动的互信机制，积极探索个人数据跨境流动的应对策略，制定区域合理合作机制，充分利用“一带一路”建设机遇，提交中国方案，在数字经济治理中发出中国声音，从而增强我国在全球个人数据跨境流动治理中的影响力和话语权。

在当今数字经济迅速发展的时代，个人数据跨境流动成为促进国家贸易合作，推动数据资源共享的关键，本文通过分析个人数据跨境流动监管的逻辑演进，深入思考我国对个人数据跨境流动的监管模式，厘清当前我国在跨境数据流动治理方面面临的问题挑战，为规范和完善我国跨境数据流动治理提供新的思路，从而不断增强我国在数据跨境流动领域的话语权和影响力。随着个人数据跨境流动的日益频繁，数据主权与国家安全也不可避免地面临着威胁，以跨境数据流动监管为博弈点的国际数据话语权之争将成为未来国际社会竞争的前沿阵地，数字技术的发展创造了新的数据传播方式，提高了跨境数据传播的效率和速度，缩短了国与国之间的距离，为全球经济的发展注入了新的活力，如何在数据保护和数据自由之间达到良性平衡是当今世界面临的共同挑战，就目前来说，中国的数据跨境规则与数据跨境立法均需完善，应以欧美数据跨境立法范式为参考，与国际数据跨境立法相衔接，在数据标准、立法和技术保障方面进一步加强，提高跨境数据流动的自由度，推进数据跨境治理的合理进路，向世界展示数据治理的“中国智慧”与“中国方案”。

往期精彩回顾

王勇｜表见代理中本人可归责性问题研究

陈恋｜大数据时代监视型侦查程序研究

严雨晗｜新加坡调解公约视角下我国自贸区国际商事调解制度的完善

目录｜《法律研究》集刊2024年第2卷

王仁政｜合作治理导向下信任结合监管的算法解释机制构建

倪佳玉｜中欧数据出境安全评估办法比较研究

上海市法学会官网

http://www.sls.org.cn

特别声明：本文经上观新闻客户端的“上观号”入驻单位授权发布，仅代表该入驻单位观点，“上观新闻”仅为信息发布平台，如您认为发布内容侵犯您的相关权益，请联系删除!