在数字经济发展的今天，数据作为新的关键生产要素，只有实现在更大范围内的流动共享，才能更好地发挥对经济增长、社会发展、全球化进程的支撑推动作用。

一、数据跨境流动的全球大势

数据跨境流动已成大势所趋，诸国纷纷针对本国国情和优先目标选择适当的数据跨境流动方案。受当前经济全球化和数字化的趋势影响，数据大规模的跨境传输不可避免，多国通过国内立法、签署国际协定的方式确立数据跨境流动规则。

高水准数据跨境流动规则的制定，在抢占数字贸易规则决策者身份的过程中起到重要作用。2019年9月，日本与美国签署的贸易协定提到，“确保各领域数据无障碍跨境传输”以及“禁止对金融业在内的机构提出数据本地化要求”，希望制定旨在促进数据自由流动的规则，继续发挥两国在数字贸易领域世界规则制定方面的引领作用。

各国合作向数据安全化、领域全面化、条例谨慎化和合作全球化方向发展。出于对国民信息隐私安全的审慎考量，新加坡、欧盟等国家在数据跨境流动条例中制定了合作国家的选择标准，对合作国家的数据保护水平提出了一定的要求。此外，日本、美国、欧盟、英国等诸多国家之间签订多个双边、多边协定，协同合作，共同推动数据跨境流动。

重要国际组织为数据跨境流动提供了实践空间。APEC为部分内部成员的数据跨境交互提供了实践机会：APEC部分成员国（美国、日本、加拿大、新加坡等经济体）提出跨境隐私保护规则（CBPR）体系，使各参与经济体之间在尊重隐私基础上实现数据跨境流动。同时，重要国际组织也对数据跨境流动体系进行多次研究探索。联合国、OECD、G20等国际组织主要是出于国际视角，通过Working Paper、研究/调研报告以及发展指南等形式对数据跨境流动的全球发展提供发展框架、思路和指导。

二、国际数据跨境流动主要焦点议题及相关动态

鉴于新出现的监管挑战和复杂性，政府一直在更新与数据相关的政策，使之适应数字时代。因此，数据主权、网络数据安全、数据隐私保护、法律适用与管辖、数据本地化存储、国际贸易规则等逐渐成为数据跨境流动领域各国关注的焦点问题。

出于保护本国数据、维护国家安全及促进国家发展目的，数据本地化存储呼声渐高，诸多国家对关键领域数据进行本地化存储限制。随着各国不断加深对数据价值的认可程度，数据本地化理念受到越来越多国家的重视。印度、巴西、俄罗斯、中国、澳大利亚和加拿大等国的数据本国化存储要求由来已久。印度在2018年发布的《印度电子商务国家政策框架草案》中明确了数据对经济发展的重要意义，并强调限制跨境数据流动对国家创造高价值数字产品的重要性，并表明印度将会逐步推进数据本地化政策，增加本国数据存储能力，促进本国的数据经济发展，实现数据价值的本地化。俄罗斯第242-FZ号联邦法在第二条规定：“该法律要求必须使用位于俄罗斯的服务器来处理俄罗斯公民的个人数据。处理俄罗斯公民个人数据的运营商必须及时将其存储数据的服务器位置上报给俄联邦电信、信息技术和大众传媒监督局（Roskomnadzor）。”2019年6月，土耳其对E-SIM技术施加数据本地化要求，要求所有相关结构、服务器、软件和设备都由授权运营商在土耳其境内建立，所有数据也在境内保存。日本政府也要求涉及国家安全的数据必须实现本地化储存，但对其他数据不做格外限制。我国网络安全法第三十条规定，关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估。

数据跨境流通过程中数据安全与数据隐私保护成为两大关键要素，在网络数据安全和数据隐私保护上，各国针对数据隐私安全进行明确立法的趋势明显，GDPR成为诸多国家的数据隐私保护参考范例。以欧盟为例，其在数据保护领域持续输送制度影响力：GDPR的落地执行，以及欧盟个人数据保护国际公约（108公约）和充分性保护白名单认定程序的推进，均在不断提高欧盟在数据保护领域的国际话语权。2019年度伊始，法国数据保护机构CNIL完成了GDPR生效后第一案，对谷歌实施违规处罚。在数据隐私保护方面，日本设立了“个人信息保护委员会”（PIPC）作为独立的第三方监管机构，制定向境外传输数据的规则和指南。此外，巴西、印度、泰国等国家均在GDPR的框架上起草或颁布了相关法令在个人数据采集、存储、处理和传输共享领域作出规定。

中美欧作为世界三大经济体，在数据方面的关注点和出发点略有不同。以美国为例，其主张全球跨境数据自由流动，特别是数据贸易的自由化，在欧盟通过了相对平等且严苛的GDPR之后，美国以前所未有的速度迅速通过了《澄清域外合法使用数据法》（Clarifying Lawful Overseas Use of Data Act，CLOUD），依法进入“管得更宽”的时代。根据该法案，数据只要到了美国的数据控制者手中，美国政府就基本能够直接从全球各地调取。也就是说，美国企业在全球互联网行业有多大的市场份额，扩展到多少国家，美国的数据主权就能扩展到哪里。从欧盟的角度来讲，其更多的是关注个人数据保护，更多强调在规则、个人隐私保护方面注重它的价值发挥。从中国的角度来讲，我国更注重国家层面的安全，特别是政治安全、意识形态安全或者国家在主权层面的安全。

新冠疫情背景下，各国关于数据跨境流动频繁发力。2020年3月，基于《合法使用境外数据明确法》（《云法案》），澳大利亚联邦政府修订《电信（拦截和接入）法案》，允许协议国在出于执法目的时，互相跨境访问通信数据；同月，澳大利亚信息专员办公室（OAIC）与新加坡个人数据保护委员会（PDPC）签订关于跨境数据流动的谅解备忘录，加强数据治理方面的合作，促进澳大利亚和新加坡之间的经济一体化。2020年6月，英国宣布脱欧后的未来科技贸易战略，允许英国和某些亚太国家间的数据自由流动，并希望与日本等国达成比其作为欧盟成员国时期更进一步的数据协议。欧盟最高法院出于对欧盟公民数据隐私安全的考虑，于2020年7月宣布废除《隐私盾》（Privacy Shield）跨大西洋数据保护协议；中国在2020年7月出台了《数据安全法（草案）》，规定支持、促进数据安全与发展的措施，提升数据安全治理和数据开发利用水平，促进以数据为关键要素的数字经济发展。

三、全球数据流动发展前景及相关建议

各国数据跨境流动政策受到地缘政治、国家安全、隐私保护、产业发展水平等复杂因素的影响程度将持续增加，以“国家安全”关切为核心的“重要敏感数据”将成为跨境流动限制重心。跨境数据流动与数字服务贸易的“有限性特征”将进一步显现，一些国家出于对数据隐私保护、国家主权的完整性，以及国家安全利益等公共政策目标考虑，会不同程度地对跨境数据流动加以政策或法律法规的限制。对涉及国家安全利益的数据，各国的对策将愈加灵活。各国围绕数据主权与长臂管辖权的博弈呈现加剧化态势。

因此，各国应重视数据跨境流动对助推数字经济发展的重要作用，秉持发展与安全并重原则，以合作共赢为目标，以安全可信为前提，针对隐私保护、数据安全、数据确权、数字税收、数据法治等，强化组织与制度创新，有序推动各项工作：一是数据流动要以安全为前提。没有安全，数据自由流动就无从谈起。要坚决反对数据被劫持、遭篡改，甚至被用来对他人、他国进行监控、攻击等行为。二是数据流动要用制度来保障。中国今年出台了多个数据相关制度法规草案，《网络安全法》对数据的运营、备份、存储及其完整性、保密性、可用性等做出明确规定，为中国数字经济的快速发展提供了强有力的法律保障；《数据安全法（草案）》规定了支持促进数据安全与发展的措施，建立健全国家数据安全管理制度，落实开展数据活动的组织、个人的主体责任等；《个人信息保护法（草案）》从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面，全面加强了个人信息的法律保护。三是数据流动要有国际规则。数据跨境自由流动涉及各国不同的监管制度，需要各国加强交流与合作，增进共识和信任，共同推动制定切实可行的国际规则，让数据流动更好地促进技术进步，服务数字经济发展。

作者简介

姜颖，中国信息通信研究院政策与经济研究所数字经济研究部工程师。主要从事数字经济、数字货币、区块链等研究。

联系方式：jiangying1@caict.ac.cn

校  审 | 陈  力、 珊  珊

编  辑 | 凌  霄

推荐阅读

点亮在看共渡难关