当前数据跨境流通政策和立法研究综述

研究成果研究成果

2020年07月25日 09:18:41 作者:侍孝祥、程旭鹏来源:互联网法治研究

一、研究价值和意义

在数字经济时代的背景下，数据逐渐成为最为重要的生产资料。根据国际数据公司IDC预测，2018年全球数据总量已经达到33ZB（33万亿GB），预计2025年将达到175ZB，7年数据量复合增长率达到27%。数据资源的快速扩张对全球经济产生了深远的影响。始于20世纪70年代的跨境数据流动，当下已成为全球贸易和投资增长的主要途径。2019年，麦肯锡全球研究院发布的《MGI中国-世界经济依存度指数》报告指出，中国拥有超过8亿名网民，规模全球居首，虽然近年来跨境数据流有所增长，但总体规模依然有限。中国的宽带数据流动总量位居全球第八，仅为美国的20%，考虑到中国庞大的数字经济体量，这个流动规模可谓小之又小。

2020年1月27日，美国信息技术与创新基金会（ITIF）发布报告《损害调查：为什么我们必须准确地衡量跨境数据流和数字贸易壁垒》。报告指出。大多数影响跨境数据流的政策措施都是基于错误的概念，即数据从一个地方转移到另一个地方会如何影响其保护级别、管理和使用，但它们低估了限制数据流带来的影响。报告认为，如果一个国家想要发展开放且具竞争力的数字经济，那么它应该利用调查手段来增强对跨境数据流的定量分析。报告对日本、经合组织等开展的调查进行了分析，旨在督促主要国家和国际组织的决策者扩大调查的使用范围，更好地识别、衡量和分析跨境数据流和数字贸易，以及对它们造成的壁垒

跨境数据流动对于我国对外贸易及经济发展有着重大的意义。数据跨境流动直接影响了其成本、收益、创新能力乃至实现商业模式的全球扩张，以及帮助企业融入全球供应链。同时，由于跨境数据流动降低了企业贸易和交易的成本，使大量中小型公司几乎和大型企业有了同样的国际贸易能力。商业自由原则以及数据流动对于经济社会的巨大价值需要数据自由跨境，然而由于网络本身具有脆弱性，数据接收国（输出国）的法律规制、社会环境不可控，如果缺乏法律约束机制，数据跨境后轻则侵犯个人隐私，公司、企业遭受财产损失；重则泄露国家秘密、扰乱社会秩序甚至威胁政权。因此，完善数据立法、加强监管等法治保障对于跨境数据流动的规范和风险防范具有至关重要的作用。

二、我国相关政策和立法情况综述

2015年6月24日，为保障网络安全，维护网络空间主权和国家安全，促进经济社会信息化健康发展，不断完善网络安全保护方面的法律法规十分必要。十二届全国人大常委会第十五次会议审议了网络安全法草案。《网络安全法》对关键信息基础设施数据提出了出境安全评估要求，此后，相关主管部门通过规章或规范性文件、标准等不断完善我国数据跨境流动管理政策体系。我国数据跨境流动管理制度体系以《网络安全法》为指引，正在不断制定完善过程之中。《网络安全法》第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

（一）数据跨境流通政策法规

1.《促进大数据发展行动纲要》

2015年8月31日国务院印发《促进大数据发展行动纲要》（国发〔2015〕50号），纲要提出“加大对隐私信息保护、网络安全保障、跨境数据流动的管理，组织开展相关的专项检查和治理。推动和配合相关部门组织开展数据共享、开放、交易、安全等方面的立法研究工作。解决制约大数据产业发展体制机制因素和不确定性的市场因素，为产业和应用发展营造良好法规和市场环境。”

2.《个人信息出境安全评估办法（征求意见稿）》

该《评估办法》是对《网络安全法》第三十七条的落实，其目的是为了在当前数据全球流动、许多国家和地区加强数据本地化和跨境数据流动管理的背景下，通过安全评估手段来保障跨境数据流动中的个人数据安全，防范我国境内用户个人数据出境安全风险，促进数据依法有序自由流动，此后根据征求意见作出重大调整。《征求意见稿》针对个人信息出境的作了专门性规定，将安全评估客体限定在个人信息出境活动。《评估办法》未明示《个人信息和重要数据出境安全评估办法（征求意见稿）》第二条的“境内存储为原则，跨境传输为例外”要求，看似放松了对个人信息出境的规制。但该稿同时取消了《个人信息和重要数据出境安全评估办法（征求意见稿）》第七条的网络运营者自评估程序以及第九条向有关部门申报安全评估的前置条件，将所有个人信息出境活动纳入需要向省级网信部门申报安全评估的范围之内，无疑是提高了网络运营者的合规要求。同时，《征求意见稿》规定向不同的接收者提供个人信息应当分别申报安全评估，向同一接收者多次或连续提供个人信息无需多次评估。对有固定合作接收者的网络运营者的安全评估义务要求有所减轻。

3.《个人信息和重要数据出境安全评估办法（征求意见稿）》

根据《个人信息和重要数据出境安全评估办法（征求意见稿）》，国家网信部门负责统筹协调数据出境安全评估工作，具体数据出境安全评估工作由各行业主管或监管部门负责，而《征求意见稿》则将组织开展个人信息出境安全评估工作的职责统一归于省级网信部门。《征求意见稿》第五条要求省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后组织专家或技术力量进行安全评估。安全评估应当在十五个工作日内完成，情况复杂的可以适当延长。相较于《个人信息和重要数据出境安全评估办法（征求意见稿）》所规定的六十个工作日，该稿大幅缩短了安全评估时间，有利于提高评估效率，符合市场经济的需要。但安全评估的起算时间、情况复杂的认定标准以及延长时限等规定还有待进一步明确.

4.《网络安全审查办法（征求意见稿）》

网络安全审查制度法律基础来源于《国家安全法》第三十五条和五十九条，分别是关于国家安全审查监管机制和针对关键信息基础设施的安全审查的规定。由此我们可以认为，在新版的《审查办法》中，维护国家安全是其立法的首要目标。相较于原《审查办法》，新《审查办法》立法价值上更加聚焦于国家安全，并没有局限在保护企业和用户的合法权益上。相较于2017年发布的《网络产品和服务安全审查办法（试行）》（以下简称“原办法”），新办法对安全审查启动、安全审查需要提供的资料、安全审查程序及安全审查内容等方面做出了修改和完善特别对整个安全审查流程，包括安全审查期限、各参与机构职责划分做出了具体的规定。

5.《数据安全管理办法（征求意见稿）》

《数据安全管理办法(征求意见稿)》涵盖了数据搜集、数据处理使用、数据监督管理等方面的内容，意见稿规定，在我国境内利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理，适用本办法。此外，意见稿特别说明，纯粹家庭和个人事务除外，而法律、行政法规另有规定的，也从其规定。意见稿还指出，国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据依法有序自由流动。意见认为，要“建立覆盖数据采集、处理、流通、应用等环节的安全评估机制，明确相关主体风险评估责任和义务。完善安全检测与评估标准，组建数据安全功能性机构，开展数据应用安全风险评估，重点加强个人隐私、商业秘密、跨境数据等的风险评估和综合防范。”

6.《数据出境安全评估指南》

根据《评估指南》的要求，网络运营者制定的数据出境计划应包括但不限于：（1）数据出境目的、范围、类型、规模；（2）涉及的信息系统；（3）中转国家和地区（如存在）；（4）数据接收方及其所在的国家或地区的基本情况；（5）安全控制措施等。在制定数据出境计划之后，网络运营者将根据《个人信息和重要数据出境安全风险评估方法》（附录B）的流程和判断标准，以《评估指南》中“合法正当”和“风险可控”作为评估要点，对制定的数据出境计划进行安全评估。经评估，出境安全风险为极高或高的，个人信息和重要数据不得出境。此种情形下，网络运营者可以修正数据出境计划，如精简出境数据内容，或采用相关措施降低数据出境风险，如使用技术措施处理数据，降低敏感度、提升数据发送方安全保障能力、限定数据接收方的处理活动或更换数据保护水平更高的接收方等，并可重新展开评估。按照上述评估流程及评估要点进行评估后，符合要求的数据，允许出境。同时网络运营者应当在完成上述评估后，形成评估报告，并至少保存5年。

7. 《中国（上海）自由贸易试验区临港新片区总体方案》

国务院2019年8月6日公布的《中国（上海）自由贸易试验区临港新片区总体方案》（下称“临港新片区方案”）明确提出：“（九）实施国际互联网数据跨境安全有序流动。建设完备的国际通信设施，加快5G、IPv6、云计算、物联网、车联网等新一代信息基础设施建设，提升新片区内宽带接入能力、网络服务质量和应用水平，构建安全便利的国际互联网数据专用通道。支持新片区聚焦集成电路、人工智能、生物医药、总部经济等关键领域，试点开展数据跨境流动的安全评估，建立数据保护能力认证、数据流通备份审查、数据跨境流通和交易风险评估等数据安全管理机制。开展国际合作规则试点，加大对专利、版权、企业商业秘密等权利及数据的保护力度，主动参与引领全球数字经济交流合作。”

临港新片区方案首次提出“构建国际互联网数据专用通道”，这被视作是真正引领未来的举措，也体现了上海适应新科技革命和产业变革趋势，打造新动能的开拓性思路但各国规则的差异性可能导致贸易壁垒，跨境数据流动背后也体现了各个国家的利益考量，比如有的国家要求数据本地化是出于国家安全考虑，有的则将数据当成重要资产，还有的是为了保护消费者隐私。在这样的背景之下，数据跨境流动不仅应受到传统的国际经济法与网络安全、数据保护相关法律的共同规制，还应实现趋同和融合。不能只用传统的国际经济法来规制，而是需要一种一体化或整合性的途径，覆盖数据保护、网络安全等非贸易政策的议题，把传统的国际经济法和网络安全、数据保护的国际法结合在一起，反映网络空间的共性。

8．《中国（上海）自由贸易试验区临港新片区管理办法》

2019年8月20日，上海市政府发布《中国(上海）自由贸易试验区临港新片区管理办法》(以下简称《办法》)。《办法》以政府规章的形式，明确临港新片区的管理体制机制，全面体现新片区改革亮点，衔接国家授权改革措施，为新片区顺利运作提供法治保障。该《办法》第35-37条分别就互联网进出设施建设、数据跨境流通、知识产权和书记保护工作进行了规定，其主要内容包括：一是加强基础设施建设。建设完备的国际通信设施，构建安全便利的国际互联网数据专用通道。二是保障跨境数据安全流动。聚焦集成电路、人工智能、生物医药和总部经济等关键领域，试点开展安全评估，建立数据安全管理机制。三是强化数据保护。开展国际合作规则试点，加大对专利、版权、商业秘密等权利和数据的保护力度。

9．《最高人民法院关于人民法院为中国（上海）自由贸易试验区临港新片区建设提供司法服务和保障的意见》

2019年，12月27日，最高人民法院对外发布《最高人民法院关于人民法院为中国（上海）自由贸易试验区临港新片区建设提供司法服务和保障的意见》《意见》指出：要加大改革创新，推动完善新片区多元化纠纷解决体系。加强新片区国际商事审判组织建设，创新国际商事审判运行机制，支持上海建设成为亚太仲裁中心，积极推动完善新片区多元化纠纷解决机制。要强化审判职能，依法保障新片区以投资贸易自由化为核心的制度体系。加强刑事审判，为新片区营造安全稳定的社会环境，加强行政审判，依法支持新片区重点领域监管，善化解跨境金融纠纷，为新片区营造健康有序的金融市场环境，加强对知识产权及数据的保护力度，充分发挥海事司法职能，推动新片区实施高度开放，加强案件执行力度，完善新片区市场主体救治和退出机制。要加强协同管控，充分发挥司法防范和应对风险压力的作用。建立适应新片区风险压力测试功能的重大敏感案件专项管理机制，建设与新片区相适应的社会信用体系，加强信息化建设，提升新片区纠纷解决的便利化程度，加强案例指导和司法解释，优化新片区法治环境，加强案例指导和司法解释，优化新片区法治环境。

10．《上海法院服务保障中国（上海）自由贸易试验区临港新片区建设的实施意见》

该《意见》指出，要着力提高司法服务保障的能力水平，加快建立完善与新片区新型政策制度体系相适应的体制机制。加快推进国际商事审判组织建设，强化对国际商事、海事纠纷的司法管辖，提高金融审判国际化专业化水平，建立专家咨询与陪审机制，深化国际商事诉讼机制改革，完善域外法查明和适用机制，完善国际商事诉讼便民机制，完善国际商事诉讼便民机制，积极开展国际司法交流合作。五是要大力强化人才保障，加快建设一支高素质国际商事审判队伍。齐配强国际商事审判队伍，加强国际商事审判人才培养。

（二）部分行业监管政策和法规情况

1．关于银行业金融机构做好个人金融信息保护工作的通知

该《通知》规定，“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”经济安全事关管家安全，金融信息跨境流通安全监管必须通过央行的数据审查，保证数据的真实性和安全性

2．《网络预约出租汽车经营服务管理暂行办法》

该《办法》规定，“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流。”

3．《人口健康信息管理办法（试行）》

前国家卫生和计生委（现国家卫健委）2014年5月14日印发《人口健康信息管理办法（试行）》，其中第十条第二款规定：“不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器”。随着人口健康信息化建设全面快速推进和新技术快速发展与应用,全国各级各类医疗卫生计生服务机构采集产生的电子健康档案、电子病历、全员人口信息等人口健康信息的数据量越来越大,人口健康信息互联共享的范围也越来越广,利用人口健康信息服务于群众健康的需求也越来越多。同时,人口健康信息面临的安全威胁也在不断增加,亟需借鉴国际有益经验和做法,研究制定人口健康信息

4．《保险公司开业验收指引》

保监会为规范和指导保险公司开业验收，根据《公司法》、《保险法》、《保险公司管理规定》和《中国保监会行政许可事项实施规程》等有关法律法规的规定，制订了《保险公司开业验收指引（试行）》，该指引对保险公司开业验收总体要求，申请材料，验收标准，验收工作流程做了详细的指引。根据《指引》，要求保险公司的业务数据、财务数据等重要数据应当存放在中国境内。

5．《征信管理条例》

《征信业管理条例》是为规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设制定，由中华人民共和国国务院于2013年1月21日发布，自2013年3月15日起施行。《条例》规定，征信机构对在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。《条例》的出台，解决了征信业发展中无法可依的问题。有利于加强对征信市场的管理，规范征信机构、信息提供者和信息使用者的行为，保护信息主体权益；有利于发挥市场机制的作用，推进社会信用体系建设。

6．《地图管理条例》

该《条例》为了加强地图管理，维护国家主权、安全和利益，促进地理信息产业健康发展，为经济建设、社会发展和人民生活服务，根据《中华人民共和国测绘法》制定。2015年11月11日国务院第111次常务会议通过，2015年11月26日中华人民共和国国务院令第664号公布，自2016年1月1日起施行。《条例》规定，地图管理信息跨境传输应当受到负责部门监督管理。

（三）欧美数据跨境流通立法和政策情况

数据跨境流动是经济全球化与数字化的伴生物。美、欧基于各自政治、经济、法律传统等因素考量，在不同的历史背景下，发展出特色鲜明的数据跨境流动政策。

1．美国数据跨境流动政策主要由贸易利益驱动

美国在克林顿政府时期，就已形成对数据跨境流动问题的初步策略。1997年《全球电子商务框架》提出：“只有当个人隐私和信息自由流动带来的利益取得平衡时，全球信息基础设施才可能兴旺起来。美国支持为用户提供恰当的隐私保护，以提升用户使用互联网服务的信心，但各国在公民隐私保护方面迥然不同的政策，有可能会形成非关税贸易壁垒。”对此，美国采取以下策略：（1）依据个人隐私保护基本原则会同其主要贸易伙伴推进符合市场需求的个人隐私政策；（2）继续与欧盟进行对话讨论以解决数据流动问题；（3）通过双、多边讨论以及地区性论坛，就跨境流动问题展开对话。二十年来，美国在以上三方面取得不同进展。首先，尽管与欧盟在个人数据保护路径上存在明显分歧，2015年欧洲法院甚至废除了美欧执行已逾15年的欧美安全港，但不可否认的是，二者之间的政策分歧从未实质性影响跨大西洋数据流动。直至2016年新隐私盾协议的达成，也仍旧为欧美实现数据流动提供了积极机制，目前包括谷歌（Google）、脸书（Facebook）和微软等2500家美国公司的跨境数据传输仍依赖于该机制。

其次，双、多边贸易协议已成为美国推进其数据流动政策的主要渠道。2012年《美-韩自由贸易协定》，第一次在贸易协定电子商务章节中规定了跨境数据流动规则。TPP谈判尽管美国已退出，但由其提出的跨境数据流动规则已成为不少国际协定电子商务章节的范本；此外，美国通过亚太合作组织（APEC），积极推进《APEC跨境隐私规则体系》（CBPRs），该体系倡导数据治理规则的实用性，对于通过CBPR认证的企业，被认为满足了隐私保护要求，可以在APEC区域内实现自由的跨境数据传输。

2．欧盟在人权项下考虑数据跨境流动政策

与美国将数据跨境政策与贸易政策深度捆绑不同，欧盟更多是从个人权利保护项下考虑数据流动。欧盟1995年《关于个人数据处理保护与自由流动指令》规定：欧盟公民的个人数据只能向那些与欧盟数据保护水平相同的国家或地区流动。如果数据接收国的法律水平没有达到欧盟委员会认可的标准，有两种替代方式也可实现转移：一类是例外场景，如取得了数据主体的明确同意，或该转移是为了履行与数据主体之间的协议所必需等；另一类是企业能够证明已采取了充分的保障措施情形。此外，欧盟也通过在全球积极推广其个人数据保护制度，不断扩展可以实现数据自由流动的地区。1981 年，欧洲理事会各成员国签署欧洲《有关个人数据自动化处理之个人保护公约》（欧洲第108号公约）。加入公约，意味着要建立与欧盟相似的个人数据保护立法，将被视为满足欧盟跨境数据流动“充分性保护”标准的重要参考。特别自2010年以来，欧盟加速推进公约的全球化进程，目前已有46个国家加入公约。与美欧相比，中国、巴西等国家更多从维护网络安全和数据主权为目的出发，制定跨境数据流动政策。包括中国、越南、巴西等在内的发展中国家，也包括澳大利亚、加拿大等发达国家在不同程度均提出了数据本地化措施。此类措施对服务贸易全球化可能带来消极影响⑥，但却能在一定程度上保障国家信息安全，特别是从执法层面，为国家行使司法主权提供依托。

3．美欧数据跨境流动政策的具体实施比较分析

美国在国际上推行宽松的数据跨境流动政策，首先需要本国示范。因此在美国一般立法中,难以观察到禁止或者限制数据跨境流动的明确要求。但在一些特定案例中，美国也留有了一定的政策回转空间。例如：美国针对外国投资安全审查中，可以与外国投资者签订安全协议，而安全协议可能包括相关的数据本地化要求。关于数据本地化要求的执行落地，也通常会由CIFUS指定的特定政府部门来负责监督执行。

欧盟数据跨境转移政策主要体现在个人数据保护制度中，相应地，其实施机制也依附于个人数据保护执法体系。如上述，欧盟数据控制者实施个人数据跨境流动活动时，有三种合法方式：（1）数据传输至“充分性认定”地区；（2）例外场景（包括用户同意，或者执行合同需要等）；（3）充分保障措施。考虑到“例外情形”可适用场景少，并不能够为日常化、规模化的数据跨境转移提供稳定的合法性基础，以下主要介绍“充分性认定机制”和“充分保障措施”机制。“充分性认定”是一个白名单机制。欧盟委员会负责根据第三国的个人信息保护立法状况、执法能力，以及是否存在有效的救济机制等因素，做出综合评估。

截止到目前为止，仅有阿根廷、加拿大等不超过20个国家或地区通过了欧委会认定。此外，对于美国这一重要的贸易伙伴，欧盟发展出“安全港框架”，以针对性的解决与美国之间的数据流动问题。充分保障措施主要体现为“标准合同文本”机制（Standard Clauses Contract，SCC）和“有约束力公司规则”机制（Binding Corporate Rule，BCR）。对于前者，截止到目前，欧委会已经形成了三个合同范本，分别适用于“数据控制者到数据控制者之间的转移”、“数据控制者到数据处理者之间的转移”。此类合同范本通过规定数据输出方和数据接收方基于合同的数据保护责任[18]，来间接提供对个人的保护机制；对于后者——“有约束力的公司规则”则是集团型跨国企业可优先考虑的机制，集团遵循一套完整的，经个人数据监管机构认可的数据处理机制，则该集团内部整体成为一个“安全港”，个人数据可以从集团内的一个成员合法传输给另一个成员。目前，包括埃森哲、宝马汽车、惠普、摩托罗拉等72家跨国公司获得了欧盟BCR认可。由于通过充分性认定的国家总是少数，因此充分保障措施机制实质是欧盟各国数据保护机构在跨境数据流动管理中最为主要的抓手。

三、评价和建议

（一）总体评价

2016年11月出台的《网络安全法》首次以国家法律形式明确了中国数据跨境流动基本政策。中国数据跨境流动政策更多是在斯诺登事件后，基于国家网络安全视角而提出。但实际上这种政策视角在 2013年前已显露雏形。中欧均对日益增长的数据跨境流动采取干预措施，欧盟所积累的政策经验与教训对中国而言具有重要参考价值。特别与欧盟相比，中国对数据跨境流动活动的干预似乎更深更直接，更需要深度考量如何采取科学有效机制，以有效平衡数据流动所带来的发展与安全利益。随后一系列出台的政策法规进一步支撑起了数据跨境流通法律监管体系，首个跨境流通地方性法规《中国（上海）自由贸易试验区临港新片区管理办法》的出台标志着跨境流通法律监管体系进入新台阶。

（二）目前存在的问题

1．数据跨境流通监管的配套立法不完善

《中华人民共和国网络安全法》（“网络安全法”）是我国网络安全管理领域的基础性法律，该法仅在第37条中对关键信息基础设施的运营者在国内收集的个人信息、重要数据进行跨境流通应当进行安全评估作出了较为原则性的规定，与数据跨境流通有关的配套法规目前基本上均处于征求意见阶段或正在研究过程中，尚未正式出台，立法缺位使得在对数据跨境流通进行监管时无明确的法规指引，存在较大的数据安全风险。

2．数据安全管理机制不够全面

根据2019年8月20日正式施行的《中国（上海）自由贸易试验区临港新片区管理办法》第36条的规定，要在新片区试点开展数据跨境流动的安全评估，建立数据保护能力认证、数据流通备份审查、数据跨境流通和交易风险评估等数据安全管理机制。目前，对于数据跨境流动的安全评估、第三方认证、交易风险评估以及数据流通备份审查方面，在《网络安全法》或配套的《数据安全管理办法（征求意见稿）》、《个人信息和重要数据出境安全评估办法（征求意见稿）》等文件中均有提及，但仍需结合数据性质、类型、网络运营者能力等各个方面进行细化。

3．在跨国诉讼中向境外提供数据证据存在一定障碍

随着互联网产业的不断普及，企业掌握了大量电子数据，成为跨国司法纠纷中电子证据的主要来源，在司法实践中发挥着非常重要的作用。然而，涉及向境外提供数据作为证据时，因我国的《国家安全法》、《保守国家秘密法》、《国家安全法》等法律对于涉及国家安全、国家秘密、个人隐私等数据的出境存在严格的限制，在面对欧美法系中的“证据开示”规则时，中国企业面临着合法向境外提供数据作为证据时的障碍，需要采取措施予以解决。

4．与境外国家间就数据合规存在壁垒

数据在跨境流通过程中涉及境内外双向的传输和运用，在规范我国数据出境安全的同时，还需考虑域外数据立法对我国的不利影响，尤其是立法规则冲突而导致贸易阻碍的情况，例如，美国的共和党参议员Josh Hawley在2019年11月时提出的《国家安全与个人数据保护法案》中认为在中国开展业务的美国企业在中国收集的数据必须储存在美国，但根据《网络安全法》在中国境内收集的个人信息、重要数据必须储存在中国，一旦该法案得到实施，将造成数据跨境传输适用规则上的冲突，这就需要加强我国针对数据跨境流通方面的交流，通过合作解决由此而产生的规则壁垒。

（三）数据跨境流通监管建议

我国目前初步建立的数据跨境流动政策，如将数据出境安全评估作为单一合规机制，在现实中恐难以适应海量数据跨境管理需求。建议参考欧盟及其他国家经验，设立符合我国国情需要的多样化合法流动机制。其一，“许可”等事前监管机制已被证明固有的局限性。一方面，它与全球化数字经济的发展趋势极不适应。数据的跨境流动并不是遵循特定路径，而是通过多种方式、多种渠道，例如 E-mail、提供数据库访问权限，或者是通过内部网络进行交换。传统的许可管理方式与此格格不入。事前建立一刀切的许可门槛，并不有助于监管目标的实现，而往往只是增加形式上的行政负担。当然，在国内此前公布的数据出境文件征求意见稿中，监管机构已然关注到了这一问题，引入了企业自评估机制，并体现出将政府评估作为事中、事后监管的思路。其二，要为“合理有序的数据流动”提供尽可能丰富的合法渠道。欧盟数据跨境政策的改革方向表明，如果不能提供多样化的有效合法跨境渠道，则无法向市场传达政策方向，从而能够引导企业通过可预期的稳定机制在实现自身的数据跨境需求时，同时实现监管者设定的用户隐私、数据安全目标。这也是欧盟在对数据跨境流动机制进行改革时，重点落脚于增加有效渠道的根本原因。

具体来说，应当考虑以下制度建设：

（1）建立白名单机制。根据个人信息保护状况及对等措施，将部分地区纳入可自由流动的国家与地区。考虑到短期内各国无法形成相互协调的数据流动政策体系，因此，数据跨境流动政策将深度嵌入双、多边的贸易投资谈判。在国与国之间、区域与区域之间体现出多样性、灵活性，形成不同解决方案如我国近邻日本、韩国，已分别启动与美欧的数据跨境流动双边谈判[21],预计在2018年之前，日韩将分别与欧洲达成充分性保护互认协议，同时，由于日韩均已加入美国主导的APEC跨境数据流动CBPR机制，日韩与美国的数据流动也具备顺畅渠道。预计此类区域性的数据流动协议在未来将成为解决数据流动的主要途径之一。

（2）根据安全评估的主要标准，建立指引性的数据跨境流动协议范本，类似于欧盟标准合同范本，引导企业在数据出境中，通过合同法律机制来管控数据出境风险。

（3）鼓励行业协会及其他自律组织参与安全评估。作为市场机制补充，在安全评估中发挥作用，从而建立可落地实施，具有活力的数据管理秩序。

（4）对不同性质的数据采取分类管理方法。不仅区分个人数据、重要数据，形成对应的跨境流动管理策略，也可进一步在管理实践中，根据数据的安全属性进行梯度性管理。

综上，在信息通信技术与经济全球化深度耦合背景下，应当承认：数据的跨境流动是绝对的，而对数据流动的限制是相对的。后者是手段，前者是目标。正如在数据出境安全评估指南制定过程中，有关专家指出：安全评估的实质是服务于数据出境，是在保障安全的前提下促进数据的跨境流动。

责任编辑：郑通