跨境数据流动最初是在个人数据保护立法中开始提及，各国在个人数据保护法中对个人数据向第三国转移进行管理。云计算出现以后，大规模的政府数据、商业数据和个人数据通过云服务来存储和处理，数据的跨境流动也更加频繁，于是各国开始重新审视跨境数据流动制度，并关注政府和公共部门数据的跨境管理。

目前国际上对跨境数据流动并没有一个明确的定义和界定。联合国跨国公司中心对跨境数据流动（Transborder Data Flow）的界定是跨越国界对存储在计算机中的机器可读数据进行处理、存储和检索。经合组织（OECD）对跨境数据流动的定义是个人数据的跨越国界流动。

澳大利亚1988年《隐私法》规定的联邦个人隐私原则中对“数据的国际流动”进行了规定，要求机构向海外组织或信息主体以外的某人传送信息应该受到一定的制约。澳大利亚法律改革委员会（ALRC）认为跨境数据流动应当以是否被澳大利亚国界以外进行接入进行区分——如果个人信息在澳大利亚境内存储，但却被位于澳大利亚之外的单位接入或浏览，可被视为是一次数据转移，应当遵从“跨境数据流动原则”。如果信息仅仅是通过路由器暂时在澳大利亚以外存储，并没有被接入，那么这种情况不适用于“跨境数据流动原则”。从国际组织以及其他国家对跨境数据流动的管理制度来看，跨境数据流动有两类理解：一种是数据跨越国界的传输和处理；另一种是数据虽然没有跨越国界，但被第三国的主体能够访问。

国际上关于跨境数据流动的管理并未形成统一框架。综合来看，目前国外对跨境数据流动主要采取以下管理手段：

在欧盟，根据1995年《数据保护指令》，在实施数据处理之前，数据控制者应当向监管机构报告；对可能给数据主体的权利和自由带来特殊危险的数据处理行为在实施之前进行审查。根据欧盟的数据保护指令，数据的处理就包括数据的收集、转移、存储等行为。

2. 要求服务提供商采取措施防止重要数据向境外流动

韩国《信息通信网络的促进利用与信息保护法》第51条规定，政府可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过通信网络向国外流动。

3. 标准格式合同管理

标准格式合同管理模式即由政府对跨境数据处理合同条款中应当包含的安全管理内容进行规定。例如，在欧盟，由数据保护主管部门制定标准格式合同条款，在条款中依据数据保护法的原则纳入数据保护的要求，企业之间签订的跨境数据流动处理合同如果包含了格式合同的条款，则无需经数据保护主管部门同意即可实现跨境数据流动。

4. 通过安全协议限制数据跨境流动

在美国，政府在进行外资安全审查时，通过与外资签订安全协议的方式来控制数据跨境流动，例如，美国在安全协议中要求用户的通信数据只能存储在美国。

5. 数据跨境安全风险评估

目前对跨境数据流动的限制，主要是两个方面，一是要求在境内建设数据中心；二是要求数据必须存储在境内。

一些国家将企业在境内建立数据中心作为允许其开展服务的条件之一。越南在2013年发布法令，要求所有的互联网服务提供者，例如谷歌、脸书等公司在境内建设至少一个自己的数据中心。巴西也在2013年开始制定政策，要求谷歌、脸书等公司在境内建立数据中心。印度政府要求公司须将部分IT基础设施放在境内，给检察部门用于访问加密信息。马来西亚已经通过了一个要求设置本地数据服务器的立法。除此以外，俄罗斯、委内瑞拉和尼日利亚也制定了相关立法，要求用于处理支付信息的IT基础设施在境内存放。

大多数国家除了前述数据中心本地化的要求以外，还要求数据在境内存储。目前有二十多个国家，包括发达国家和发展中国家，提出了数据本地存储的要求。其中发展中国家印度，在建立本地基础设施的基础上，要求存储在这些企业的公民个人信息、政府信息和公司信息不得转移至境外。越南正在计划制定一项法律，要求企业的搜索引擎、数据中心和云服务的数据应当存储在境内。尼日利亚要求所有的ATM国内交易应当通过本地的路由器，并且不得在境外处理交易路由。委内瑞拉通过立法要求国内支付交易应当在境内处理。

相关的发达国家包括：丹麦和挪威的数据保护机构禁止使用服务器在境外的云服务。加拿大的两个省（不列颠哥伦比亚、新斯科舍省）强制要求公共机构（如学校、医院）保存的个人数据必须在加拿大存储和访问。希腊2011年通过法律，要求希腊的交通和位置信息必须存储在境内。韩国要求金融机构的服务器应当存储在境内。澳大利亚政府要求部分关于个人的健康信息应当存储在境内。新西兰的国内收入法要求公司把商业记录信息存储在境内。法国的2010-436法令修改了电子通信规则，要求对电子通信网络进行侦听的系统必须在境内建立和实施。

从前述情况来看，大多数实施跨境数据流动限制的国家并不是对所有数据的跨境流动进行了限制，而主要是针对金融、健康、公共部门或政府机构的数据进行管理。

上述国家实施跨境数据流动限制，其中有两个很重要的原因。一方面在于防范以美国为首的国家对全球的数据侦听和收集，美国《爱国者法案》效力的过度延伸给全球其他国家的国家安全和经济安全带来威胁。例如，2013年12月4日，美国纽约南区法院裁定核准美国政府申请对微软公司的搜查令，要求微软公司提供其存储的一个涉嫌犯罪的用户账号的所有数据，包括邮箱、往来信件和信用卡信息等。另一方面，在数字贸易背景下，以美国为首的发达国家在创新资源和技术研发方面的绝对优势进一步加大了与发展中国家之间的数字鸿沟，给这些国家的本国产业带来冲击。2011年，美国以全球4.4%的人口掌握了全球28.1%的研发支出资源，人均水平相当于印度的112倍。据世界银行统计，2014年，全球互联网服务器由2004年的32亿台增加到137亿台。但其中绝大多数集中在发达国家，发达国家占有67%，仅美国一家就占36%。

然而，美国作为数字贸易和信息通信技术最发达的国家，也是实施网络监控最广泛的国家。在面临全球加强对数据跨境流动管控的背景下，对其本国的一些政策进行了调整，一定程度上减少了数据监控的力度。美国业界也不得不承认，这几年持续增加的监控行为已经导致全球对数据安全的担心。例如，欧盟已经提出重新谈判美欧安全港协议。一些分析者还认为，美国数据服务部门将会因此损失数十亿美元。由于相关的用户为了远离美国情报机构的监控而将数据存储在本地，因此，美国国会开始重新审视爱国者法案。

跨境数据流动一方面促进全球数字贸易的投资和增长，另一方面也带来了一定的安全风险。同理，对跨境数据流动进行限制也会对经济发展带来负面影响。根据美国信息技术与创新基金会2013年发布的《本地化壁垒：全球经济创新的威胁》报告来看，在数字贸易环境下，对跨境数据流动进行限制的国家主要是考虑到以下几个方面的有利因素。

一是可以降低个人数据被滥用的风险。本国政府在发现数据违法行为时能够更好地进行管理或者对违法主体提起诉讼，也可以防止数据在境外被外国政府情报机构或者授权机构强制获取。

二是数据中心本地化的要求可以促进外商在境内的基础设施投资，创造就业岗位。

但过度限制跨境数据流动也会带来不利的影响。

一是数据中心本地化要求构筑的贸易壁垒会阻碍外资对境内产业的投资和技术输入，从而阻碍本国技术的进步和经济的发展。2014年，欧盟国际政治经济中心（ECIPE）通过研究，模拟了跨境数据的影响，结果显示，在短期来看，限制跨境数据流动将会对GDP的增长造成影响。例如巴西从2.3%降低到1.5%，印度从4.4%降低到3.6%，印尼从5.8降低到5.1%，韩国从2.8%降低到1.7%，欧盟从-0.5%降低到-1.6%。

二是完全依靠本国资源构建数据中心也存在一定的风险。仅依靠本国的资源难以满足构建本地数据中心的充分条件。例如，数据中心对能源需求较大，根据美国的预算，数据中心会消耗2%的能源供应，并且这个比例还在上升。一旦出现能源短缺或者黑客攻击等安全事故，导致境内数据中心瘫痪，将无法有效利用境外资源。

三是会增加国内相关企业使用数据中心的成本。特别在发展中国家，信息通信领域的技术和设施还相对落后，因此构建数据中心的成本可能高于其他国家，要求企业只能使用国内数据中心可能造成企业的成本增高。

四是抑制信息通信产业的发展。信息通信产业作为创新产业，一个重要特点就在于高固定成本和低边际成本。要促进这类行业的发展就要求实现市场的最大化，以降低固定成本和单位成本。通常，这些行业都是全球化的公司，例如谷歌、脸书、微软等。限制跨境数据流动将抑制规模经济，不利于行业发展。

从前述分析可以看出，跨境数据流动管理需要均衡安全和发展之间的利益关系。我国作为发展中国家，数字贸易发展与以美国为首的发达国家差距仍然很大。现阶段在全球IT价值链中还缺乏足够的竞争力，在很多领域仍然依赖国外的技术输入和资金投入。同时，在TPP等国际谈判中，美国在极力推动促进跨境数据流动的规则制定，我国要参与TPP，必然要面临跨境数据流动的管理问题。另一方面，目前已经有亚马逊、微软、IBM等美国大型互联网公司筹备在我国开展云计算、大数据服务，大量涉及经济运行、社会服务的数据作为信息资源被其掌控，这些数据一旦跨境被境外情报机构和组织利用，将危害我国国家安全和经济安全。

因此，我国未来的跨境数据流动管理可以考虑从以下方面实施：

一是对跨境数据流动实施分级分类管理。借鉴国际经验，针对金融、石油、电力、水利等涉及关键基础设施的重点领域进行跨境数据流动限制。为这些行业提供服务的企业，要求境内建设数据中心；对为其他中小企业提供服务的，则放宽要求；对数据进行分类管理，政府数据、企业商业秘密数据以及个人敏感数据，不得跨境转移；对其他普通的企业数据和个人数据则允许跨境流动。

二是加强立法和配套手段的建立。通过《网络安全法》、《反恐法》、《个人信息保护法》、《外国投资法》等相关法律，对我国的跨境数据流动制度做出规定，确立跨境数据流动管理的基本原则和制度。同时，制定跨境数据流动标准格式合同管理、安全协议限制和跨境数据流动风险评估机制等配套监管手段。

三是参与跨境数据流动国际合作。通过多边和双边谈判，与其他国家构建共同的跨境数据流动规则，降低规则差异给跨境数据流动管理带来的风险和成本。加强与欧盟、俄罗斯、韩国、印度等实施跨境流动限制国家的沟通与合作，争取这些国家的支持与联盟。

CAICT观点 | 我国国家关键基础设施信息安全保护立法建议

CAICT观点 | 我国国家关键基础设施信息安全保护立法现状