范思博：数据跨境流动中的个人数据保护

点击蓝字

关注我们

作者简介：范思博，法学博士，知识产权方向，专注于网络安全、隐私保护和竞争法领域，先后毕业于上海交通大学，美国威斯康星大学。

本文原载《电子知识产权》2020年第6期，转载时对注释与参考文献进行了省略。

摘  要

数据的自由流动已逐渐成为信息产业乃至包括传统行业在内的所有行业实现利益的重要途径，然而因各国经济发展、立法传统、文化和价值的差异以及国际局势的复杂性，全球统一的数据跨境流动规则短期内不会形成。在此背景下，欧盟从个人信息保护出发，以三个法律文件为标志，逐步确立了严格的数据跨境传输标准;美国则以经济利益为主导，通过双边或多边协议破除他国壁垒和限制，促进数据自由流动;我国近年来出台了多项跨境数据法规及配套指南，但仍存在诸多问题。要实现数据跨境流动带来经济利益的同时平衡对个人数据的保护，还需在战略目标的高度进一步完善立法与监管体系，建立行业自律制度，参与国际双边和多边谈判，争取话语权。

关键词

数据跨境流动;GDPR;隐私盾协议;隐私权

一、问题的提出:主权国家法律管辖权与数据流通性之间的矛盾

2019年11月18日，美国共和党参议员、司法委员会犯罪与国土安全项目会主席JoshHawley向美国参议院提交《2019美国国家安全与个人数据保护法案》(National Security andPersonal Data Protection Act of 2019)。在此前的参议院司法犯罪和恐怖主义小组委员会举行的听证会上，Hawley提出苹果公司与云上贵州大数据产业发展有限公司(云上贵州)的合作将使中国可以依法随时获取在华美国公司的数据。此事件的背景是，按照中国监管部门的要求，苹果公司向中国公民提供云服务须由中国公司运营，且中国客户的数据必须存储在中国。苹果公司向中国内地用户发出通知，自2018年2月28日起，iCloud将由云上贵州运营，遵守中国法律，相关iCloud服务将转至云上贵州。此外，Hawley还提出总部位于北京的字节跳动公司旗下的Tik Tok将会按照中国法律与中国共享美国公民数据，虽然Tik Tok此前表示已将美国用户数据存储在美国，并将遵守美国一切相关法规，Hawley在一份声明中仍指出，“如果您的孩子使用Tik Tok，中国政府就有可能知道他们在哪里，他们的样子，他们的声音以及他们在看什么。”法案在其第二节明确规定关注国家包括中国、俄罗斯以及由美国国务院指定的其他国家，并在第三节规定了规制的科技公司为：跨境提供网站或互联网应用程序等数据服务的实体，并且根据关注国法律所设立的，或者被关注国公司控股，或者为上述公司的子公司。

值得注意的是，法案在第六节规定了特定交易需要获得美国外国投资委员会(TheCommittee on Foreign Investment in the UnitedStates, CFIUS)的批准。CFIUS是审查外国在美投资是否对美国国防、军事和国家安全造成威胁的专管部门，此前CFIUS对Tik Tok母公司字节跳动收购美国社交媒体应用程序Musical.ly进行了长达两年的国家安全层面的调查。法案还要求修正1950年的《美国国防生产法案》，将个人数据保护纳入其审核范围，在2018年8月特朗普签发的《外国投资风险评估现代化法案》(FIRRMA)的基础上进一步扩大CFIUS的职权范围，并将个人数据保护上升到国家安全的政策高度。

法案争夺数据资源的意图由来已久，且在条文中明确针对中国，虽然无法在短期内通过，但为我们敲响了警钟。互联网无国界，数据的自由流动是跨境企业实现利益的重要途径，越来越多的科技企业提供网络平台跨境服务，这也让国际间的数据流动和保护成为了持续性矛盾和难题。个人数据是数据的最主要组成部分，也是跨境数据规制的主要对象。一般来说，涉及消费者的国际贸易必须在不收集和发送跨境个人数据的情况下进行，例如姓名、地址、账单信息等。数据分析、云计算等技术简化了业务流程并提高了运作效率，数据的商业价值不断增加，影响着信息产业乃至包括传统行业在内的所有行业，同时也使企业的运作更加依赖数据，例如监控生产流程、管理跨国员工、跟踪供应链、实时提供线上支持、通过分析数据形成客户偏好侧写等，数据的流动变得更加重要。2013年的“斯诺登事件”已将各主权国家数据资源的争夺与保护上升到战略博弈和产业政策高度，个人数据保护与网络安全同样也是人工智能、云计算、和5G等一系列技术产业领域的重要议题。各国产业政策、法律法规、价值取向等方面存在巨大差异，数据保护也经历了从本地数据到推动数据自由流动再到数据本地化的一系列法规与政策的演进。我国在2015年“十三五”提出“互联网+”计划，国务院发布了《促进大数据发展行动纲要》，贵阳大数据交易所曾预计，到2020年中国大数据产业市场规模将由2014年的767亿元扩大至8228.81亿元。

中国企业为了躲避境外数据合规“雷区”，确保合法合规地获取、流通、应用数据，需要研究相关国家或法域的法律法规与政策，以及这些法规形成的背景、根源和立法动态。同样的，针对在华跨国企业，如何实现中国公民的个人数据保护，也是我国立法机关、执法机关和监管部门考量的重中之重。数据保护涉及数据隐私和数据安全两方面内容，前者的规制与保护主要在数据收集的过程中，而后者主要在数据使用和访问的过程中。具体来说，数据跨境流动由三个环节组成:数据产生-数据传输-数据接收，相应地，实现数据跨境流动需要实现三个层面的保护:在数据产生环节，需要确保数据的来源和收集符合来源国数据安全法律法规，例如个人数据授权同意，公开网络采集数据合规，数据分级、申报、本地处理等要求。在数据传输环节，控制或处理数据的企业首先要识别适用哪一国家法律，明确相关国家对于数据存储的要求，符合存储地、防止泄密等要求;其次需符合来源国对数据出境的规定，经过安全评估或者审批;在签订合约时还要符合相关法域对于合同的实质和形式要求。在数据接收环节，可能遇到接收国数据保护的水平低于来源国认可的标准等刹车农户纷繁复杂的情况。受国家之间政治、利益、法律法规、产业政策、隐私保护文化等影响，在短期内还无法形成全球范围的数据流动保护规则，在此过程中，如何在发展中平衡数据自由流动和个人数据保护，是各国政府的共同课题。

本文旨在通过对比欧盟和美国数据保护的立法与执法经验，梳理我国个人数据保护现状，在推动大数据发展的国家战略背景下，探索我国数据驱动型企业境外合规以及我国监管部门在数据跨境流动中实现个人数据保护的双向路径。

二、欧美对数据跨境流动的规制

(一)欧盟

欧盟的个人信息保护法律体系源于对隐私权的保护，发展背景是信息技术的进步，以不同时期的三个法律文件为三个发展阶段的标志。在欧洲的传统观念中，隐私是人格尊严的一部分，包含个人形象、姓名和名誉，隐私权意味着自己决定信息是否披露、如何披露，也就是说，以自己满意的形式呈现于公众面前，免遭因未经允许的披露和公开带来的尴尬和羞辱。欧洲个人数据保护的逻辑是：个人数据是人的延伸，而人应当独立自主（自治），因而个人数据亦应当由数据主体掌控，体现个人的意志，这也是康德的“以人作为目的”的观念体现。保障数据主体对个人数据的处理事务的自主、自治、自决，是个人数据保护的应有之义。二十世纪六十年代以来，计算机逐渐替代传统方式进行个人信息的收集、传输和处理，数据的高效处理和流动带来了巨大的经济价值。同时带来的问题是，个人信息主体的“自然人格”被“信息形象”或“信息人格”所覆盖，并在流动中造成对自然人格的扭曲。鉴于此，1970年，德国黑森州出台了世界范围内的第一部个人数据保护法，主要涉及公共机构对个人数据的处理，各州纷纷效仿，1977年德国联邦出台了《联邦数据保护法》。随后，欧洲各国陆续出台个人数据保护法，并逐渐开始出现关于数据在欧洲跨国流动的规制。然而，各国立法的差异性，为欧洲市场的一体化进程带来了法律层面的障碍，亟需制定一部区域内统一的法律规范文件，确保数据流动为各国带来经济效益。

1.《关于自动化处理的个人信息保护公约》

在上述背景下，1981年1月28日，欧洲委员会各成员国在法国斯特拉斯堡市签订了《关于自动化处理的个人信息保护公约》(以下简称公约)，第一次在欧洲范围设置统一的个人数据保护模式，也是第一部规制数据跨境流动的国际性法律文件，于1985年生效并吸收非欧洲国家加入。公约第三章关于数据跨境流动，在第12条规定，禁止缔约国仅以隐私保护为由限制个人数据的跨境流动，但在两种情况下除外:(1)一缔约国具有针对特定类型个人数据保护的立法，而对方缔约国并无同等保护;(2)为规避本法，以缔约国为媒介，个人信息从一缔约国传输到另一非缔约国。可见，此阶段的立法主要目的在于为数据的自由流动扫清障碍，实现数据带来的经济利益。

2.《关于个人信息处理保护及个人信息自由传输的指令》

1993年，《马斯特里赫特条约》的生效宣告欧盟正式成立，统一的欧盟市场和个人数据保护立法迎来了全新的时代。1995年10月24日，《关于个人信息处理保护及个人信息自由传输的指令》(以下简称指令)发布，在第1条明确了新指令的目的:(1)旨在保护隐私权和个人数据方面的基本权利和自由;(2)成员国不得因第1款内容禁止或限制成员国之间的个人数据流动。除了确保个人数据在欧盟成员国之间的跨境流动，指令在第四章规定了个人信息从成员国流向“第三国”的条件——第三国需提供与成员国相当水平的个人数据保护。由此，指令进一步拓宽了个人数据跨境流动的范围，并为欧盟的个人数据保护设置了保护网。考虑到大多数国家未必达到相当水平保护，指令在26条规定了6 种例外情况，以及未达到保护要求也不符合例外情况时，若数据控制者通过合同等措施能够提供充分保护，成员国可授权数据向第三国的转移，但此时应通知欧盟委员会以及成员国。指令实施后，针对具体领域的个人数据保护，欧盟相继出台了细化规则，例如1997年适用于电子通讯和互联网服务商领域《关于在电子通讯行业处理个人信息和保护个人隐私的指令》，2008年《关于在犯罪问题方面的个人信息保护和司法合作的政策框架》。从2000年《欧盟基本权利宪章》将个人数据保护纳入基本权利，并纳入随后的《欧盟宪法条约》，到2009年《里斯本条约》的正式生效，个人数据最终作为基本权利被具有成员国约束力的欧盟法保护。

根据指令32条要求，成员国在三年内须制定与指令内容相一致的国内立法，并须建立独立的监管机构，推动了欧盟成员国个人信息保护的立法。然而实践中，因各国背景和对指令解释的差异，造成了成员国之间立法与执法的差异性与不确定性。同时，随着大数据、5G、人工智能、云计算等新技术的发展，欧盟对一部既能协调各成员国数据保护水平，又能统一适用，并且能有效保护新时代个人数据的统一立法的需求与日俱增。

3.《通用数据保护条例》

2016年4月14日，欧洲议会和欧盟理事会通过《通用数据保护条例》(GDPR)，并于2018年5月25日正式生效，取代了指令。GDPR不仅可以直接适用于成员国，而且适用范围得到了大幅扩展，被称为“史上最严数据保护条例”。2019年11月12日，新成立的欧洲数据委员会(EDPB)发布了《GDPR域外适用指南》(以下简称指南)，对GDPR第3条，即地域适用范围条款进行了详尽说明并提供了示例。具体分为以下三个层面:(1)是否在欧盟设立实体;(2)是否为欧洲居民提供商品或服务;(3)是否检测欧洲居民行为。指南同时列举了几种即使没有在欧盟设立实体也落入GDPR调整的商业模式:精准广告、定位服务、医疗私人订制服务、视频监控等。

GDPR在第五章规定了个人数据转移到第三国或国际组织的情形，为数据跨国传输提供了几个层次的路径，详见下图1。

图1  GDPR数据跨境传输路径图

具体来说，GDPR在45条规定了基于第三国或国际组织充分保护的数据转移，并按其规定在其官方网站列出了欧盟认可的充分保护“白名单”，明确允许将数据转移到这些国家。截至2020年3月12日，名单包括13个国家：新西兰、瑞士、安道尔、法罗群岛、阿根廷、根西岛、加拿大(仅商业组织)、以色列、乌拉圭、曼岛、泽西岛、日本和美国(限于隐私盾协议下)如不属于白名单国家，数据的控制者或处理者需提供“适当保护”，具体包括:(1)公共机构或实体之间具有法律约束力并可执行性的文件。EDPB在2020年2月24日发布了对此条的指南，定义了公共机构，包括各级政府以及国际组织，并规定了数据转移到第三国的几项最低保障原则，包括数据保护原则、目的限制原则、数据准确性与最小化原则、存储限制原则及其他适用中的注意事项。(2)有约束力的公司规则(Binding Corporate Rules,BCRs)，源于2003年的74号工作文件，如果跨国企业具有欧盟监管机构认可的有约束力的公司规则，数据转移则无需另行报备和批准，并在47条列明了以上有约束力的规则应明确的内容。欧盟委员会在其官网公布了包括空客、E-Bay、爱马仕、乐高、PayPal等符合BCRs的公司列表。(3)欧盟委员会认可的行为准则或验证机制目前还未出台相关具体规定。相对于BCRs繁琐的申请程序和高昂的成本，第三国企业可选择采用EDPB在2019年12月发布的《标准合同条款》的方式实现跨境数据转移。如不符合“白名单”和“适当保护”，GDPR在49条规定了可以传输到第三国的几项特殊情况，包括数据主体被明确告知但仍明确表示同意、社会公益等。若以上条件皆不满足，那么数据向第三国的转移仅在严格条件下才可进行，例如非重复性并且关乎少量权利，并应进行评估和提供安全保障。

(二)美国

与欧洲不同，美国关于数据的相关法案偏向于使用“隐私”(privacy)一词。美国法律层面隐私权的概念来源Samuel D. Warren 和Louis D. Brandeis在1890年发表于《哈佛法律评论》第4期的《The Right to Privacy》一文，文中提出，隐私权是一种独处权，以及保持自己个性的权利。1965年，Griwold V. Connecticut案确立了自治性隐私权(right to decisionalprivacy)，即不受他人干扰自由地做出决定，如结婚、生育、避孕、收养等;1967年Katz v.United States案确立了物理性隐私权(right tophysical privacy)，即住所或私人领域不被政府入侵或滋扰的权利;1977年，Whalen V. Roe案确立了第三种隐私权，信息性隐私权(Rightto informational privacy)，即控制自己信息的权利。个人信息不仅仅是人格权，也具有财产属性。个体的数据也许并不能形成商业价值，但是当大众资料汇集，形成资料库，就有了重要的商业利用价值。美国科技政策研究中心主席Scott Wallsten近期在一项个人信息量化的研究中表示，“对于各种各样的隐私，不同国家的民众重视程度存在差异，说明有些国家的民众喜欢较强的隐私保护规则，而其他国家正相反。分析在议的任何隐私政策，都需要量化隐私的价值。”例如对于补偿平台共享联系人信息的费用，德国Facebook用户需要每月8美元，而美国用户仅需3.5美元。15对比欧洲的隐私和数据保护，除了个人观念的差异，美国的法律制度和立法传统也不同于欧洲自上而下的立法和统一的执法，对隐私和数据的保护分散于各个行业。更重要的是，在经济层面上，由于互联网巨头聚集，使得美国在信息通讯和数字经济市场处于领先地位，过多的规制会使得互联网企业发展丧失创新与活力，而互联网商品或服务通常跨越国界，这就需要美国从立法层面到贸易谈判都倾向于为数据的跨境自由流动扫清障碍。

1.立法传统

联邦层面没有统一的数据保护基本法，美国国会研究服务局在2019年3月25日发布的《数据保护法:综述》中归纳了美国对个人数据的保护分散于以下立法:《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act, 1999)、《联邦贸易委员会法》(FTC Act, 1914)、《公平信用报告法》(Fair Credit Reporting Act, 1970)、《金融消费者保护法》(Consumer Financial Protection Act, 2010)、《电子通信隐私法》(ElectronicCommunications Privacy Act, 1986)、《计算机欺诈和滥用法》(Computer Fraud and Abuse Act,1986)、《儿童在线隐私保护法》(Children'sOnline Privacy Protection Act, 1999)、《家庭教育权和隐私权法》(Family Educational Rights andPrivacy Act, 1974)、《健康保险流通和责任法》(Health Insurance Portability and Accountability Act, 1996)、《视频隐私保护法》(Video PrivacyProtection Act, 1988)，并预测美国国会拟对以上数据隐私领域和数据安全领域进行统一立法。在以上成文法中，并未对数据跨境流动方面做出限制。于2008年通过的《加州消费者隐私法》(California Consumer Privacy Act, CCPA)被媒体称为“美国最严最全隐私保护法”。然而对于数据跨境流动，CCPA仍秉承留白态度，并未作出任何限制，鼓励数据的自由流动。

2.双边或多边协议

由于上述原因，美国未能符合欧盟严格的数据保护要求，从而限制了美欧贸易往来。出于商业利益的驱使与经济往来的必要，2000年11月1日，《美欧安全港协议》(US-EU SafeHarbor Framework)由美国商务部与欧盟委员会签署，规定只要美国遵守协议的七项原则，即：向外移转原则、安全原则、选择原则、获取原则、通知原则、资料完整原则和执行原则，即被认为达到欧盟指令标准。《美欧安全港协议》暂时缓解了美欧跨境数据流动受限的问题，但由于利益的根本冲突，加上棱镜门事件作为导火索，2015年10月6日，欧盟法院宣布因无法达到保护标准，《美欧安全港协议》失效。然而时隔仅仅一年，2016年7月12日，利益又将美欧重新拉回谈判桌，签订了数据流动新方案《欧美隐私盾协议》(EU-US Privacy ShieldFramework)，双方均做出妥协，仍保留《美欧安全港协议》七项原则，并丰富了内涵:美国企业承担了更多数据保护义务;赋予欧盟公民多样化的救济途径;限制美国政府进行监控，获取个人信息;建立年度审查机制等。但从根本上，美欧在个人数据保护的传统、立法、隐私意识上的巨大差异一直存在，基于商业利益的妥协仍存在很大的不稳定性。

2004年，美国促成亚太经合组织(APEC)通过《隐私框架》(APEC Privacy Framework)。在第三部分约定了九项原则:预防损害原则、告知原则、信息采集限制原则、个人数据使用原则、选择权原则、个人数据完整性原则、安全防护原则、当事人查询和更正原则、问责原则;在第四部分B款第四项约定了数据跨境流动，其中69条要求成员国“应避免限制其与另一成员国之间的个人信息的跨境流动”。

2012年《美韩自由贸易协定》(US-SouthKorea Free Trade Agreement)第一次将数据跨境流动引入自由贸易协定(FTA)。15.8条规定，成员国应“努力避免对跨境电子信息流动施加或保持不必要阻碍”。

2013年，APEC通过了《跨境隐私规则体系》(Cross Border Privacy Rules, CBPR)，目前，已有美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、我国台湾地区加入。CBPR提出，若各成员国公司承诺遵守《隐私框架》九大原则，那么个人数据在这些公司之间流动应不受阻碍，进而，成员国不得再以保护个人信息为由限制数据跨境流动。

2015年，由美国主导，日本、澳大利亚等12个国家达成《跨太平洋战略经济伙伴协定》(TPP)，在14章11条——“以电子方式跨境传输信息”中约定，成员国应当允许个人信息自由跨境流动，除非出于正当公共政策目标。在对14章个人数据保护的注释中，TPP说明，成员国可以采取以下方式履行协定，例如统一制定个人数据保护法、行业部门法或行业自律规则。这样一来，不同数据保护水平、方式的成员国只要满足一定的最低线，就可以声称达到协定要求。虽然在2017年1月23日，出于对货币操纵的担心，特朗普签署行政令宣布退出TPP，但TPP对数据跨境流动的影响将持续。美国在新一轮与各国的贸易谈判中，都将数据跨境自由流动纳入协议，破除成员国法律规制和流动壁垒，促进个人数据自由流动，甚至凝聚向拥有互联网巨头公司的美国。

2018年10月签订并于2020年1月29日修订签发的《美国-墨西哥-加拿大协定》(《美墨加协定》)，在其19条约定遵守APEC跨境传输规则，并约定任何缔约国不得禁止或限制数据跨境传输。

3.政策趋势

近年来，由于互联网企业数据存储地与服务提供地的分离，主权国家出现相关司法管辖等问题。2013年，美国政府因一起刑事案件向微软公司调取相关电子邮件，微软公司表示该数据存储在爱尔兰的服务器，美国政府没有获取的法律依据。2016年美国联邦第二巡回法院认为根据1986年的《储存通讯法案》(StoredCommunications Act, SCA)，搜查令不适用于美国服务商存储在境外的数据，做出了有利于微软公司的二审判决。显然，根据SCA，美国无权管辖那些美国公司所拥有的，却存储在境外的数据。在这样的背景下，2018年3月23日，特朗普正式签署《海外数据适用澄清法案》(CLOUD)，明确规定了美国政府有权在涉嫌危害国家安全、严重刑事犯罪等情形下调取美国互联网企业数据，无论数据存放在境内还是境外。CLOUD通过“控制者原则”的“长臂法案”，扩大了美国执法机关调取境外数据的权力，而他国调取存储在美国的数据须通过“适格外国政府”审查，并满足美国设定的认定条件。

2009年12月13日，由美国15名民主党参议院共同提出制定《数据保护法案》(DataProtection Act)，并设立专门的联邦数据保护局(Data Protection Agency, DPA)，保护个人数据并防止数据滥用。上文提到的《2019美国国家安全与个人数据保护法案》第三节规定的针对特别关注科技公司的数据安全要求，主要包括:(1)数据最小收集原则，即收集的用户数据不得超过运营所需。(2)禁止二次使用原则，即不得用于与运营无关的任何目的，包括提供定向广告、与第三方共享或者提供不必要的人脸识别技术。(3)查看和删除的权利，具体包括:1允许个人查看公司所持有的任何本人数据;2应本人要求，永久删除公司拥有的直接或间接收集的数据。(4)禁止向关注国传输数据或解密信息，例如加密密钥。(5)不得在美国或协议国家以外国家或地区存储美国公民或居民数据或解密信息，例如加密密钥。(6)上报要求，公司首席执行官或同级别高管人员应每年至少一次向联邦贸易委员会、联邦和各州检察长提交报告。法案第四节也规定了除特别关注科技公司之外的任何跨州或跨境提供数据服务公司，不得将从美国境内收集的个人数据或解密信息传输或存储到关注国。2019年12月23日，美国白宫行政管理和预算办公室发布《联邦数据战略与2020年行动计划》，确立了包括设立GDPR要求的首席数据官等20项行动计划。2020年1月16日，美国国家标准技术研究院(NISI)发布了《隐私框架1.0版》。可见，美国在通过双边或多边协议实现数据自由流动的同时，也在逐渐加大个人数据的保护力度与广度，平衡与协调互联网用户的权利保障和信息自由流动带来的商业利益。

三、我国个人数据跨境流动的立法现状

我国2017年6月1日起实施的《网络安全法》第37条规定了数据的本地化存储要求，将数据出境的主体定义为“关键信息基础设施的运营者”，客体定义为“个人信息和重要数据”。

2017年4月11日，国家互联网信息办公室(以下简称网信办)发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称办法)及信息安全标准化技术委员会在同年5月27日发布的《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称指南)中，将主体的范围扩展为“网络运营者”，规定了数据出境的安全评估流程、要点和方法。根据《指南》，个人信息指“以电子方式或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息，如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等”;数据出境指“网络运营者通过网络等方式，将其在中国境内运营中收集和产生的个人信息和重要数据，通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动”;境内运营指“在中国境内开展业务，提供产品或服务的活动”。评估按照不同条件分为两种，安全自评估和主管部门评估，评估的要点包括出境目的和安全风险等。

公安部于2018年6月27日发布的《网络安全等级保护条例(征求意见稿)》，来源于2007年由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合颁布的《信息安全等级保护管理办法》，新的保护条例对五级保护做了调整，对网络运营者提出了具体的要求并明确了法律责任，并规定“应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定”。

2019年5月28日，网信办发布《数据安全管理办法(征求意见稿)》，细化了《网络安全法》中第四章——“网络信息安全的适用”。该办法明确在中国境内适用，但同时规定，“境内用户访问境内互联网的，其流量不得被路由到境外。”

2019年6月13日，网信办发布新版《个人信息出境安全评估办法(征求意见稿)》(以下简称新办法)，将个人信息与重要数据分开立法，并将出境的行为方式扩展到“通过网络等方式”。新办法规定只要网络运营者在境内收集的个人信息出境，无论数量多少，每两年向所在地省级网信部门申报并进行安全评估。此外，还提出境外主体即使在境内无商业实体，如在境内收集的个人信息出境，同样需进行申报和评估。新办法还首次提出数据出境者和接受者须签订协议，并向网信办申报，协议应包含个人信息出境的目的、类型、保存时限，权利受损时可选择向运营者或接收者双方受偿，匿名化处理等条款，以及明确数据控制者与接收者的责任等必要条款。可以看出，上述办法中关于数据控制者与接收者协议与安全评估的要求借鉴了GDPR，但在协议订立过程中，不能单纯照搬《GDPR标准合同条款》，而应对条款进行细化，使其符合国内企业自身需求和监管机构要求。

2019年10月，国家市场监督管理总局、国家标准化管理委员会发布了修改后的《个人信息安全规范(征求意见稿)》，其中第8.8节与个人数据跨境流动相关。较之前版本，新规摒弃了跨境传输中，个人信息被安全评估的强制性程序，规定信息控制者应符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求，从而与《新办法》中相关规定保持一致。

除此之外，我国对数据跨境流动的规制也散见于一些行业规范中，参见下表:

表1 我国数据跨境流动法律法规

可以看到，近年来我国在跨境数据立法层面取得了不少进步:随着《个人数据保护法》、《数据安全法》纳入立法，《信息安全技术信息系统安全等级保护基本要求》、《个人信息出境安全评估办法》等标准和指南的出台，个人数据的跨境规制由各行业法律法规中较为分散的规定，到逐渐形成统一的法律系统;将个人数据和重要数据这两种不同法益和评估要求的类型分开立法，在立法层面更系统、准确，执法与监管方面更清晰。但同时也存在诸多问题:目前我国主要通过数据本地化实现跨境个人数据保护，路径单一且较为严格，不利于我国参与目前主流的双边或多边谈判，难以在全球数字产业经济中实现经济利益，影响国际竞争力。除此之外，由于我国数据保护尚在起步阶段，对于数据保护的监管能力和社会意识有待提高，导致数据治理能力偏低，不被国际社会所认可。

四、我国实现个人数据保护与数据跨境自由流动的对策

(一)平衡个人数据保护与数据跨境自由流动

如果一个机构能够轻松地进行跨境数据共享，那么企业、消费者和经济都能获得巨大收益。然而在每个发展阶段，不同国家都为跨境数据流动设置了障碍，例如数据本地化要求将数据限制在一国境内。这种对数据的保护采取的行动多种多样并且动机各不相同，但其中一种动机是被误导的自利性，即错误地认为，如果限制数据流动，数据相关工作可以转移到本国公司，从而获益。其他国家或地区则出于对公民数据的隐私和安全性的保护，或者至少认为这是数据保护主义的理由。但是，正如美国信息科技与创新基金会(ITIF)在一份报告中明确指出的那样，要求数据不得离开一个国家的强制性要求，绝对不会增加隐私性或安全性。当涉及到数据安全性时，它并不取决于数据的存储位置，而是取决于存储数据的方式，老挝的安全服务器与巴西的安全服务器没有什么不同。同样，数据的自愿披露也不会受到数据存储位置的负面影响，因为即使数据存储在国外，消费者和公司也可以依靠合同或法律来限制数据自愿披露。存在差异的只可能是那些强制性的数据披露，例如出于执法目的。根据上海社科院发布的《全球数字经济竞争力发展报告(2018)》，中国数字经济竞争力位列全球第二，仅次于美国。我国数字产业能力在全球处于领先地位，一些数据驱动型企业开展全球化发展，逐渐在产业链中占据一席之地。与此同时，一国掌握的数据和利用能力已成为重要的经济、政治和安全资源，处于数据领先地位的国家将会摄取更丰富的资源，进而进一步提升实力，而处于落后地位的国家则将失去更多资源。中国科技产业的迅速发展已影响全球科技产业链格局，美国出于对无法继续稳坐科技产业领先地位获取超额利润的担忧，奉行美国优先政策，并实施对华“否定推定”原则，将44家中国企业列入管制“实体清单”，包括多家电子企业，中国出口相关产品需要先获得美国商务部的许可;2019年签署的《保障信息与通讯技术及服务供应链安全》行政令禁止企业使用威胁国家安全的企业生产的电信设备，迫使华为退出美国市场，这些都将影响中美数据的有效流动。同时，欧盟和美国通过长臂管辖等手段将数据主权扩展到欧盟或美国企业所在的全球市场。

在这样的背景下，要充分认识到数据跨境自由流动不仅仅关乎企业跨境贸易经济利益，也在很大程度上影响着全球的规则和格局，牵涉国家安全和主权。同时，也要充分重视数据跨境流动带来的风险和个人数据保护的重要性。目前我国存在大量违规收集、贩卖用户数据以及数据泄露现象，这些数据被境外存储、买卖和恶意使用都会将境内用户的人身和财产安全置于危险境地。除此之外，通过对个人数据的整理、分析与加工，进行产品的设计与市场经营，精准定位企业产品与服务，可以带来巨大的商业利益。个人数据在数字经济乃至所有产业中均属于重要资源，个人数据保护的缺失，一方面可能致使本国数据资源大量流入境外，资源流失，损害本国企业创新动力和经济利益，进而影响本国产业竞争力;另一方面，保护水平较高的国家出于对本国居民数据安全的保护，限制本国个人数据流入保护水平较低的国家，使水平较低国家进一步丧失商业机会与利益。

(二)数据跨境流动规制路径

1.完善法律体系与监管机制

全国人大法工委宣布我国2020年拟出台《个人信息保护法》和《数据安全法》，从分散法规到集中立法，在法律顶层设计层面进行系统规制。在制定过程中，可适当参考GDPR和CCPA等相关条款，结合我国个人数据保护理念和数字产业特点，平衡个人权利的有效保障和数据自由流动带来的经济利益、企业发展和国家竞争力。在保护策略上，除数据本地化单一措施，还应拓展多种实现路径，以适应未来海量数据流动需求，例如:(1)借鉴欧盟经验，建立充分保护白名单。从欧盟委员会公布的审查报告来看，充分性认定在欧盟的指令时期只需进行形式审查，而GDPR除了将白名单对象从“第三国”扩展到“第三国或国际组织”，更在45条第2款中明确了充分保护的形式与实质审查标准。我国在将部分国家或地区列为数据自由流动白名单之前，应首先通过立法形式明确列举审查标准，制定标准考量的因素应包含:拟实现自由流动国家或地区法治程度、公共安全、国防、国家安全以及数据保护方面的立法、是否具有独立的数据安全监管机构、是否加入数据保护的条约或协定或作出国际承诺等。其次，根据对等原则，积极与拟列为白名单国家或地区，特别是我国提供跨境服务企业主要的出海国家与地区进行谈判，为我国出海企业提供有效数据跨境传输途径。

(2)借鉴欧盟标准合同范本形式，但协议内容不宜照搬，应在符合我国《合同法》、《民法典》、《网络安全法》等法律法规和监管机构要求的前提下，组织学术人员与具有丰富实践经验的法律实务工作者进行充分论证与研讨，制定符合国际标准和中国企业实际情况的指引文本和配套指南，为企业提供明确、细化的条款，帮助企业在境内外开展与数据有关的商业活动中合规。

(3)应对欧盟与美国的长臂管辖，确立符合国家利益的数据调取规定，合理主张数据主权，应对管辖冲突。目前，关于数据的司法管辖冲突是个案式，对于面向全球提供服务的企业而言，法律适用和管辖的不确定性增加了运营和风险控制成本，需要在立法层面为司法机构提出指引。GDPR管辖权的规定较为抽象与广泛，我国宜借鉴美国CCPA，CCPA将管辖明确为“以盈利目的处理个人信息的企业所在地”并设置金额门槛。我国可结合司法实践，选择根据服务商注册地、数据存储服务器所在地，或是数据主体所在地进行管辖，提高执法确定性。

在法律出台后的实施过程中，结合《个人信息出境安全评估办法》的评估要求，按照不同类型数据出台相关指南，细化执行方案，落实实施细则，提升法律的可操作性。同时，设立数据跨境与保护的专门监管机构，作为数据保护监管系统分支，协调部门间权责，对接不同行业的数字驱动企业，为我国已展开或计划进行境外业务和布局的企业提供可行性指引，同时对引进的外资企业在我国境内开展数据有关业务进行合规方面的监督管理。

2.建立行业自律制度

企业是数据跨境流动的主要参与者，同时也是个人数据保护的主要实施者，单纯依靠立法和监管等强制手段效果有限。最大程度实现数据自由流动合规带来的商业利益，以及最大范围实现个人数据的有效保护，还需要依靠行业自律制度与惯例。我国领先的数字驱动型企业已率先在行业自律方面进行了实践。例如，阿里巴巴提出《信息安全技术数据安全能力成熟度模型》，评估数据的生命周期，并在行业内推广;腾讯、蚂蚁金服等出台了各自的隐私保护白皮书，在行业内部逐渐统一和规范数据保护体系和流程。在此基础上，一方面加强企业合规意识，通过培训、企业自评估、第三方机构认证等方式激发企业积极性，另一方面对行业协会、第三方机构制定的规范、合同等进行引导和监督。此外，鼓励、引导企业与境外监管机构的合作，例如设置数据保护官(Data Protection Officer)、使用标准合同文本等。

对于开展跨境服务的国内企业，因目前不满足“充分性认定”，尚没有加入国际隐私框架或协议，可以暂时采用将满足“充分性认定”的国家或地区作为“数据港”，建立数据中心，目前实务中一般将数据中心设在新加坡、新西兰、加拿大等。

3.设立“数据流动与保护”战略目标

“网络强国”战略在党的十八届五中全会上首次提出，习近平总书记在2018年4月的网络安全和信息化工作会议上详细论述了网络强国战略思想，并强调“核心技术是国之重器”。科技的变革带来前所未有的机遇，在电信通讯、医疗、保险等传统行业和“互联网+”、人工智能、云计算、社交媒体等新兴行业，部分中国科技驱动企业拥有占领全球产业链关键位置的实力和机会，但中国科技的崛起也使一些拥有科技强国历史地位的国家将中国和中国企业作为竞争对手和封锁目标。网络的实质就是数据的互联，数据的互联要求数据能充分而有序地自由流动，可见数据流动是实现网络强国的重要一环。立法与监管仅就企业数据合规方面提出要求，而配合高速发展的数字经济，适应纷繁复杂的国际局势，需要将数据的流动与保护提高到战略高度，树立全社会层面的数据保护意识，培养和储备数据科技人才与数据合规人才，建立数据流动与保护试点城市与地区等。

4.合作共赢，推进双边和多边谈判

在“网络强国”的战略目标下，与其他国家合作实现数据流动不可避免。虽然发展中国家同发达国家在网络空间主权上存在观念分歧，但是基于全球一体化的发展趋势，以及同发达国家开展经济贸易往来对提高发展中国家的技术进步、经济发展的重要作用，发展中国家应当努力与发达国家之间达成利益诉求的平衡。随着“一带一路”倡议的深入实施与金砖五国峰会等重要国际会议的开展，中国话语权不断上升。在2015年的第二届世界互联网大会上，习近平总书记提出各国应该共同构建网络空间命运共同体，为开创人类发展更加美好的未来助力，体现了大国担当。相较于数据本地化的单一化保守策略，我国应积极部署数据流动全球规制，从被动的接受规制到主动参与规则制定，承担大国责任，代表企业发声，避免他国因数据保护不力为由拒绝数据流入。应借鉴与中国同属于数字经济领先地位的美国，美国虽未被欧盟承认为充分保护国家，但通过《欧美隐私盾协议》和《美欧安全港协议》突破了GDPR的限制，为美国数字与互联网企业在欧洲开拓市场提供了可行性。但同时也应看到，美国经济政策逐渐转向，“全球收缩”的贸易保护政策与地缘政治都为数据跨境流动设置了壁垒和障碍，对本国经济和世界数字经济格局造成深远影响。如本文第一部分所述，美国已提出特别针对中国的个人数据保护法案，并加强了针对中国的技术出口管制和外国投资审查，因此，我国在积极推进双边和多边谈判与合作的同时，还要为未来可能面临的数据壁垒和封锁做好充分的应对准备。

推荐书目

微信号 : DigitalLaw_ECUPL

探寻数字法治逻辑

展望数字正义图景

数字法治战略合作伙伴：理财魔方

北京市竞天公诚律师事务所上海分所