在各主要国家和地区的法规条例中,数据出境多被聚焦于数据的跨境流动这个维度,即数据从一个国家转移到了另一个国家。因此,各国对数据出境安全高度关切,强调数据在本国境内存储与处理、对数据出境进行安全评估。即便美国和欧盟突出数据自由流动,实质上则是采取双重标准,即数据自由流入、严控流出。1. 中国要求数据境内存储和出境安全审查中国《网络安全法》首次在法律层面从国家安全角度对数据出境安全提出具体要求,强调在境内收集和产生的个人信息和重要数据应当在境内存储,因业务需要确需向境外提供的,应当进行安全评估。中国的《数据安全法》进一步完善了对数据出境的规定,《个人信息保护法》则具体明确了个人信息出境的管理规则。这三部上位法对数据出境安全管理的基本原则是数据境内存储和数据出境安全评估。在此基础上,中国陆续发布了数据出境安全相关的规范条例并公开征求意见,在落地实施环节对数据跨境流动所涉及的数据处理者、数据对象、评估方法等方面给予明确指导。2. 欧盟鼓励相同规则体系下的国际数据自由流动从 2018 年出台的欧盟《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personalData)与《通用数据保护条例》(General DataProtection Regulation,GDPR)可以看出欧盟数据出境安全管理思路。欧盟致力于推动其成员国内部数据的自由流动,而对外要求其他国家只有在具有与欧盟同等保护水平的条件下,才允许将数据传输出境。“充分性认定”是欧盟核心的个人数据出境管控制度,由欧盟委员会负责对欧盟以外国家或地区的数据保护立法实施、执法能力、监管机构设置和国际条约等因素进行综合评估,最终确定数据自由流动的“白名单”国家。可以看到,欧盟这一机制促使其他国家按照 GDPR 的要求进行数据保护,以便本国企业能够与欧盟企业正常进行数据流动,进而有助于欧盟引领全球的数据合作。3. 俄罗斯强调数据本地存储、处理与严控出境俄罗斯在《关于信息、信息技术和信息保护法》(Federal Law on Information, InformationTechnologies and Protection of Information)和《俄罗斯联邦个人信息法》(Russian Federal Law onPersonal Data)中,加强了对信息跨境传输的监管,确立了数据本地化存储的基本规则。俄罗斯对个人数据出境控制相当严苛,一是俄罗斯联邦公民个人信息和数据库需要存放在俄罗斯境内;二是对俄罗斯公民个人数据的处理活动必须使用位于俄罗斯境内的数据库;三是处理数据前履行信息告知的义务。俄罗斯同样存在与欧盟相似的“白名单”制度,要求数据接收国必须符合同等保护要求才可进行跨境数据传输,否则,只有在个人数据主体已书面同意其个人数据出境、个人数据主体作为合同当事人履行合同等前提条件下,才可传输数据出境。4. 美国以最大化自身利益为出发点实施数据出境控制美国基于其在数字贸易与数字技术领域的优势,极力主张全球数据自由流动,同时为遏制战略竞争对手发展,也严格限制了重要关键技术与特定领域数据出境。2010 年,美国推出“受控非机密信息”列表,并通过《出口管制条例》(ExportAdministration Regulations,EAR),对非个人数据采取严格出境管理措施。2016 年,美国推动的《跨太平洋伙伴关系协定》(Trans-Pacific PartnershipAgreement,TPP)主张,应当允许为数据主体利益而进行的数据跨境传输,以破除许多国家所设置的数据本地化存储等市场准入壁垒。2018 年,美国出台了《澄清境外数据合法使用法案》(ClarifyingLawful Overseas Use of Data Act,CLOUD Act),通过“数据控制者”原则的适用,扩大了美国政府直接调取境外数据的权利,同时又给其他国家调取美国境内个人数据设置“符合资格的外国政府”(qualifying foreign governments)审查门槛。美国积极推行由亚太经合组织(APEC)主导的跨境商业个人隐私保护规则体系(CBPR),致力于促进APEC 各经济体之间无障碍的跨境数据传输与流通,并与欧盟达到互认。