【摘要】作為數字經濟驅動的產物，跨境數據流動正受到越來越多國家的重視，然而全球跨境數據流動的治理規則卻變得日益復雜。跨境數據流動從過去關注技術問題和個人隱私保護問題，逐漸演變為一個包括國家安全、數據主權、經濟要素等綜合性議題。為此，要結合雙邊和多邊機制，靈活對接跨境數據流動規則，積極應對新技術所帶來的各種挑戰，平衡經濟自由與數據安全的關系。

【關鍵詞】跨境數據流動  數據安全  新技術

【中圖分類號】D73/77    【文獻標識碼】A

二十世紀七十年代以來，以經濟合作與發展組織（OECD）、聯合國跨國公司中心和歐洲理事會為代表的國際組織就開始關注跨境數據流動。1980年，OECD發布的《關于保護隱私與個人數據跨境流動的指南》成為國際上第一份關于隱私保護和跨境數據流動的法律文件，該指南將個人數據跨境流動解釋為“個人數據跨越國境的流動”。此后，雖然學者們關于定義仍未形成統一意見，但是普遍認為“流動”包括數據的跨國訪問、傳輸、轉移和使用等一系列行為。

新冠肺炎疫情在全球蔓延，提升了跨境數據流動的需求。世界各國都意識到限制跨境數據流動不僅阻礙了科學知識擴散和造成生命損失，而且不利于全球經濟恢復和增長。作為數字經濟驅動的產物，跨境數據流動正受到越來越多國家的重視，并被認為是第四次工業革命中全球競爭的關鍵因素。然而，全球跨境數據流動的治理規則卻變得日益復雜，從過去關注技術問題和個人隱私保護問題，逐漸演變為一個包括國家安全、數據主權、經濟要素等綜合性議題。

跨境數據的分類管理

隨著數字經濟的迅速發展，各國對數據流動的限制也在急劇增加。據2019年世界經濟論壇估計，全世界約有200多個有關數據流動的法規，限制性的總體水平在過去十年間翻了一番。法規涉及數據執法需求、數據濫用、數字經濟征稅和不公平競爭等，這說明，一方面到目前為止世界各國在數據流動上的互信程度較低，另一方面人們對數據問題的日益擔憂，使得各國不得不制定相應的數據限制措施。但是，并非所有類型的數據都受到同等程度的限制，限制因國家和數據情況而異。因此，分類管理是跨境數據流動的全球趨勢之一。

根據數據流動性，跨境數據大致可分為三類：一是無條件跨境流動的數據。數據自由跨境流動，沒有附加任何條件與要求。二是有條件跨境流動的數據。這類數據允許跨境流動，但接收國、數據控制器或數據處理器必須滿足特定的監管條件，否則數據不能跨境。這些條件通常包括數據主體的同意、數據跨境流動后的受保護程度等。但是，如果條件過于苛刻，則此類數據實際上就成了禁止跨境流動的數據。例如，歐盟對于數據跨境流動的“充分性認定”程序就屬于這種情形，它要求數據接收國需達到類似歐盟的保護水平時，才允許數據跨境流動。三是禁止跨境流動的數據。這類數據往往被認為非常重要、敏感，不適合進行跨境流動，因此，政府會要求這類數據只能在一國境內存儲、處理和訪問。但是，到底哪些數據屬于禁止跨境流動數據？各國對此認識不一。

需要指出的是，各國對數據進行分類管理的同時，可能會對數據的處理和存儲提出不同要求。在本地存儲方面，這類數據無論是否允許跨境流動，都必須在本地存儲，它們可能包括企業稅務和會計記錄、文件，以及電信公司或其他互聯網持有的用戶數據。例如，美國雖然法律不禁止數據跨境流動，鼓勵數據自由流動，但在實際操作中，當涉及網絡與電信方面時，會要求其國內通信基礎設施應位于美國境內，而且要將通信數據、交易數據、用戶信息等僅存儲在美國境內。在本地處理方面，這類數據要求其處理須在執行國進行。例如，要求運營企業在該國須擁有數據處理中心，或將數據交由本地數據處理企業幫助處理。這些數據通常包括政府數據，或金融、健康、電信等敏感數據。

跨境數據流動的全球態勢

歐盟跨境數據管理體系：基于人權保護的理念。以“充分性認定”為核心的歐式跨境數據流動模式，在斯諾登事件后，對個人數據的管理日趨嚴格。2018年正式生效的《歐盟通用數據保護條例》（GDPR）旨在試圖建立一套高標準、嚴要求的跨境數據流動保護體系。其基本理念是賦予數據主體一套法律權利，將數據隱私和保護作為一項基本人權。

《歐盟通用數據保護條例》對個人數據從歐盟輸出進行了嚴格限制，其中第五章明確規定：“合法的數據轉移前提是，發生在第三國的數據存儲和處理達到歐盟數據保護的水平。”因此，如果數據要流出歐盟，則歐盟需要對其進行“充分性認定”，從而形成以“充分性認定”為核心的“歐式跨境數據流動模式”。但是，如果達不到“充分性認定”標準，則需要數據控制者和處理者提供適當的安全保障措施，主要有約束性企業規則（BCRs）和標準合同條款（SCCs）等。約束性企業規則是一種替代標準合同的選擇，針對的是集團企業在跨國經營過程中的數據跨境傳輸，要求跨國集團總部制定出經歐盟認可的數據處理的形式與流程。標準合同條款則是要求跨國企業簽署該合同，一旦簽署，則負有履行數據保護義務，同時被認定為符合“充分性”的要求。

美國跨境數據管理體系：基于財產權保護的理念。與歐盟數據保護理念不同，美國傾向于將個人數據視為個人財產，可以轉讓給他人，并最終將數據的所有權給予數據收集者和處理者，授予其在一定限制下使用和轉讓這些數據的權力。長期以來，美國一直都是全球數據市場的主導者和最大受益者，其憑借軟硬件的巨大優勢，一方面，以商業利益為導向，鼓勵數據跨境自由流動，實現數據跨境流動的經濟利益最大化；另一方面，對于境內數據采取嚴格適用屬地管轄原則，同時，又以強大的政治力為后盾，爭奪境外數據的管轄權。因此，形成了以“自由流動”和“長臂管轄”為特征的雙重屬性跨境數據流動模式。

在數據流動方面，美國在與其他國家、地區簽訂合作協議時，憑借自身的強勢地位，主導制定跨境數據流動的規則。早在1997年，克林頓政府就曾推出全球第一個跨境流動治理原則《全球電子商務框架》，倡導信息要盡可能自由跨境流動，不能變相成為新的貿易壁壘。此后，美國不僅在世界貿易組織（WTO）積極倡導跨境數據流動不收稅，而且在雙邊或多邊合作協議談判中，進一步強調數據流動的全球屬性，旨在打開推行數據本地化存儲的國家的市場。2000年和2016年美國與歐盟分別簽署《安全港協議》和《歐美隱私盾牌》協定，以解決美歐之間跨境數據流動關于“充分性認定”的問題。2012年美韓簽訂《美韓自由貿易協定》時，在有關“電子商務”的款項中，要求雙方避免限制跨境數據流動，實現數據自由流動。類似的還有2018年的《美國—墨西哥—加拿大協定》（USMCA）、《跨大西洋貿易與投資伙伴協議》（TTIP）、《跨境隱私規則體系》（CBPR）等。

長臂管轄主要體現在《澄清境外數據的合法使用法案》（CLOUD Act）。該法案出臺的背景是，2013年美國在調查一起毒品走私案件時，向微軟公司發出搜查令，要求微軟提供包括用戶信息和郵件的證據。雖然微軟提供了存儲在美國服務器的用戶地址數據，但是微軟以電子郵件存儲在愛爾蘭的服務器上為由，認為美國法院的搜查令不具有域外適用效力，從而拒絕提供電子郵件的內容。該法案的核心條款規定：“無論網絡服務提供商的通信內容、記錄或其他信息是否存儲在美國境內，只要該網絡服務提供者擁有、控制或監管上述內容、記錄或信息，均需要按照該法令的要求保存、備份、披露。”因此，該法案擴大了美國獲取海外數據的權力，即由過去的“數據存儲地標準”轉變為“數據控制者標準”，這就是所謂的“屬人原則”。此外，外國政府若想通過網絡提供商訪問調取儲存在美國的數據，則必須符合該法案所定義的“符合資格的外國政府”及其所要求的一系列細節。綜上所述，該法案一方面為美國獲得海外數據提供法律依據；另一方面，該法案意味著外國政府想要獲得美國境內的數據并非易事，換句話說，為美國防止本國數據流出，設置了各種障礙。

歐美間的跨境數據流動：從《安全港協議》到《歐美隱私盾牌》協定。《安全港協議》是歐盟與美國的第一份跨境數據流動充分性決議。歐美不僅在數據隱私保護理念上有所不同，而且在管理模式上有差異，歐盟為機構立法型管理模式，美國是行業自治型管理模式。但雙方作為重要的貿易投資合作伙伴，為了協調他們之間數據保護方式的差異，促進數據的自由流通，歐盟委員會在2000年12月發布《安全港協議》（Safe Harbor），為歐美之間的數據傳輸提供法律依據。協議同意，美國企業自愿加入和遵守協議，即可被認為達到歐盟的“充分認定”標準。然而，《安全港協議》在執行過程中遇到兩方面問題。第一，《安全港協議》允許美國企業采用自愿、宣誓型的方式加入，這與“充分性認定”相比，不僅手續簡單，而且缺乏透明、充分認定的評估辦法和監督機制。第二，當歐盟數據跨境流入到美國后，如果美國企業沒有充分保護數據，歐盟則難以落實救濟機制，從而歐盟公民的救濟權利難以得到保障。

為解決《安全港協議》失效后的空白和重塑歐美互信，經過協商，2016年2月美國通過了由歐洲理事會起草的《歐美隱私盾牌》協定，這是歐美間有關數據流動的第二份充分性決議。與《安全港協議》相比，《歐美隱私盾牌》協定有所改進，回應了歐盟的相關關切，修訂了一些重要內容，例如“增強透明度、對歐盟數據主體提供多重救濟、對公司的隱私政策規定了更明確的細則及處罰、參與公司的年度審核機制等”。但是，這份協議仍然存在一些重大問題。例如，當個人數據受到不正當使用時，救濟流程過于復雜，不利于申訴；難以根本性地約束美國情報機構過度收集和濫用數據。實踐中許多公司虛假陳述，未能嚴格遵守《歐美隱私盾牌》協定。

2020年7月16日，歐盟法院宣布歐美之間的《歐美隱私盾牌》協定無效，同時確認了歐盟關于向歐盟/歐洲經濟區以外的處理者轉移個人數據的標準合同條款（SCCs）的有效性。一方面，考慮到歐盟法院對Schrems II案件的判決，力圖為跨境數據流動提供更加充分的保護；另一方面，給企業提供一個操作更為便利的工具，增加法律上可預測性和減少不確定性。2021年6月4日，歐盟委員會根據《通用數據保護條例》（GDPR）發布了新的兩組標準合同條款，一個適用于控制者和處理者之間，另一個適用于向第三國轉移個人數據。新標準合同條款的主要特點是：其一，一個單一的切入點涵蓋了廣泛的數據遷移方案，而不是單獨的條款集。其二，通過“模塊化方法”和提供兩方以上加入和使用條款的可能性，為復雜的處理鏈提供更多的靈活性。其三，遵守Schrems II案件判決的實用工具箱，即概述公司為遵守Schrems II案件判決必須采取的不同步驟，以及公司在必要時可能采取的“補充措施”的例子，如加密。另外，對于目前使用以前標準合同條款的控制者和處理者，規定了18個月的過渡期。

此外，2021年6月21日，歐洲數據保護委員會（EDPB）發布了數據傳輸補充措施：一是加密問題。在數據跨境流動過程中，加密只是作為提供充分保護的補充措施，而不是萬能方案，因為算法隨著時間的推移被破解的風險在增大。二是救濟問題。此次補充措施要求數據進出口組織在數據主體獲得救濟方面提供幫助，甚至是直接從這些組織中獲得賠償。

國外跨境數據流動管理體系對我國的啟示

結合雙邊和多邊機制，靈活對接跨境數據流動規則。歐美作為世界有影響力的兩大經濟體，他們在對待數據方面的理念差異和具體制度安排存在分歧，但是有關跨境數據流動的規則制定對全世界來說都具有啟發性。無論是我國的個人信息保護法，還是印度的《個人數據保護法案》都從歐美的跨境數據流動規則中汲取了經驗，同時也有助于靈活對接上述兩大法律體系。

跨境數據流動問題非常復雜。在對接美國和歐盟時，一方面，美國對我國依然保持強勢地位，并且擁有技術優勢；另一方面，歐盟的充分性程序認定難以做到非常客觀和標準化，不透明，容易受一些政治事件的影響。因此，在與歐美對接時，我國可以結合雙邊和多邊機制，利用貿易與投資協定，在某些重要數字領域尋求跨境合作，例如海關、稅收、航空公司、電信等領域，以繞開單獨的數據管理方案。歐盟理事會于2021年3月22日通過《關于稅收領域行政合作的第2011/16/EU號指令的修正案》，以應對數字平臺經濟發展給稅收領域帶來的挑戰。而我國平臺經濟發展良好，跨境貿易份額日益提高，因此應密切關注該法案的實施情況。

積極應對新技術帶來的各種挑戰。一方面，隨著新技術的不斷出現與應用，例如面部識別、精準畫像、深度偽造等，這些新技術不僅對個人數據，而且對個人的基本權利，如未成年人保護、反對歧視等，都提出了新的挑戰。量子計算的發展也對個人數據的保護提出了挑戰。另一方面，這些技術在某些領域的應用也可能是一個巨大優勢，并有可能加強隱私保護。因此，我們要積極應對新技術發展給跨境數據流動帶來的各種影響。

密切關注歐盟新的標準合同。新的標準合同雖然有所改進，并滿足了歐盟的最新要求，但是標準合同文本制度的缺陷仍然存在。一方面，該合同文本是基于一般性情況來制定的，缺乏靈活性，難以充分考慮數據控制者或數據處理者的特殊訴求。另一方面，數據傳輸者與數據接收者簽訂合同并不等于當事人可以毫無障礙地進行個人數據的跨境傳輸。歐盟法院于2020年7月16日指出，雖然“標準合同文本”制度仍有效，但是并不意味著數據跨境流動暢通無阻。對于我國而言，要密切關注兩個新的標準合同的實施進展，評估數據跨境流動的影響。

平衡經濟自由與數據安全的關系。世界許多國家已經或正在制定關于數據跨境流動的政策，以實現各種目標。過去跨境數據流動限制的主要理由是保護個人隱私，但是隨著數據在經濟發展尤其是數字經濟發展中的作用日益凸顯，數據跨境流動的需求日益增加，各種限制理由也日益多元化。數據跨境流動問題與國家主權、安全、執法需要、國際貿易等各類問題深度交融。

斯諾登事件后，許多國家出臺數據本地化制度。在此要求下，跨國企業逐漸進行數據本地化存儲。數據本地化回應了個人信息保護和國家安全的訴求，但是這也增加了跨國企業的經營成本，以及可能限制創新。因此，從宏觀角度來說，各國政府在“數據自由流動”與完全“數據本地化”之間如何選擇，既考驗一個國家的戰略眼光和管理能力，又取決于國家間的互信。從微觀角度來說，各國需要在數據類型分類、風險等級分級等細節方面達成共識。

（作者為中國政法大學商學院副院長、法商管理系主任、教授、博導）

【參考文獻】

①曹杰、王晶：《跨境數據流動規則分析——以歐美隱私盾協議為視角》，《國際經貿探索》，2017年第4期。

②劉澤剛：《歐盟個人數據保護的“后隱私權”變革》，《華東政法大學學報》，2018年第4期。

③胡煒：《跨境數據流動的國際法挑戰及中國應對》，《社會科學家》，2017年第11期。

④韓靜雅：《跨境數據流動國際規制的焦點問題分析》，《河北法學》，2016年第10期。

⑤[德]克里斯托弗·庫勒著，曠野、楊會永譯：《歐洲數據保護法》，北京：法律出版社，2008年。

⑥LillyanaDaza Jaller ,Simon Gaillard and Martín Molinuevo(2020). The regulation of Digital Trade: Key policies and international trends, World Bank report.

⑦Ferracane, M.F. (2017). Restrictions to Cross-Border Data Flows: A Taxonomy,European Centre for International Political Economy (ECIPE): https://ecipe.org/publications/restrictions-to-cross-border-data-flows-a-taxonomy.

⑧金晶：《歐盟〈一般數據保護條例〉：演進、要點與疑義》，《歐洲研究》，2018年第4期。

責編/銀冰瑤    美編/宋揚

聲明：本文為人民論壇雜志社原創內容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。