跨境数据流动的全球态势及对我国的启示 − 《人民论坛》 − 党刊推荐 − 文库 − 宣讲家网

【中图分类号】D73/77 【文献标识码】A

二十世纪七十年代以来，以经济合作与发展组织（OECD）、联合国跨国公司中心和欧洲理事会为代表的国际组织就开始关注跨境数据流动。1980年，OECD发布的《关于保护隐私与个人数据跨境流动的指南》成为国际上第一份关于隐私保护和跨境数据流动的法律文件，该指南将个人数据跨境流动解释为“个人数据跨越国境的流动”。此后，虽然学者们关于定义仍未形成统一意见，但是普遍认为“流动”包括数据的跨国访问、传输、转移和使用等一系列行为。

新冠肺炎疫情在全球蔓延，提升了跨境数据流动的需求。世界各国都意识到限制跨境数据流动不仅阻碍了科学知识扩散和造成生命损失，而且不利于全球经济恢复和增长。作为数字经济驱动的产物，跨境数据流动正受到越来越多国家的重视，并被认为是第四次工业革命中全球竞争的关键因素。然而，全球跨境数据流动的治理规则却变得日益复杂，从过去关注技术问题和个人隐私保护问题，逐渐演变为一个包括国家安全、数据主权、经济要素等综合性议题。

跨境数据的分类管理

随着数字经济的迅速发展，各国对数据流动的限制也在急剧增加。据2019年世界经济论坛估计，全世界约有200多个有关数据流动的法规，限制性的总体水平在过去十年间翻了一番。法规涉及数据执法需求、数据滥用、数字经济征税和不公平竞争等，这说明，一方面到目前为止世界各国在数据流动上的互信程度较低，另一方面人们对数据问题的日益担忧，使得各国不得不制定相应的数据限制措施。但是，并非所有类型的数据都受到同等程度的限制，限制因国家和数据情况而异。因此，分类管理是跨境数据流动的全球趋势之一。

根据数据流动性，跨境数据大致可分为三类：一是无条件跨境流动的数据。数据自由跨境流动，没有附加任何条件与要求。二是有条件跨境流动的数据。这类数据允许跨境流动，但接收国、数据控制器或数据处理器必须满足特定的监管条件，否则数据不能跨境。这些条件通常包括数据主体的同意、数据跨境流动后的受保护程度等。但是，如果条件过于苛刻，则此类数据实际上就成了禁止跨境流动的数据。例如，欧盟对于数据跨境流动的“充分性认定”程序就属于这种情形，它要求数据接收国需达到类似欧盟的保护水平时，才允许数据跨境流动。三是禁止跨境流动的数据。这类数据往往被认为非常重要、敏感，不适合进行跨境流动，因此，政府会要求这类数据只能在一国境内存储、处理和访问。但是，到底哪些数据属于禁止跨境流动数据？各国对此认识不一。

需要指出的是，各国对数据进行分类管理的同时，可能会对数据的处理和存储提出不同要求。在本地存储方面，这类数据无论是否允许跨境流动，都必须在本地存储，它们可能包括企业税务和会计记录、文件，以及电信公司或其他互联网持有的用户数据。例如，美国虽然法律不禁止数据跨境流动，鼓励数据自由流动，但在实际操作中，当涉及网络与电信方面时，会要求其国内通信基础设施应位于美国境内，而且要将通信数据、交易数据、用户信息等仅存储在美国境内。在本地处理方面，这类数据要求其处理须在执行国进行。例如，要求运营企业在该国须拥有数据处理中心，或将数据交由本地数据处理企业帮助处理。这些数据通常包括政府数据，或金融、健康、电信等敏感数据。

跨境数据流动的全球态势

欧盟跨境数据管理体系：基于人权保护的理念。以“充分性认定”为核心的欧式跨境数据流动模式，在斯诺登事件后，对个人数据的管理日趋严格。2018年正式生效的《欧盟通用数据保护条例》（GDPR）旨在试图建立一套高标准、严要求的跨境数据流动保护体系。其基本理念是赋予数据主体一套法律权利，将数据隐私和保护作为一项基本人权。

《欧盟通用数据保护条例》对个人数据从欧盟输出进行了严格限制，其中第五章明确规定：“合法的数据转移前提是，发生在第三国的数据存储和处理达到欧盟数据保护的水平。”因此，如果数据要流出欧盟，则欧盟需要对其进行“充分性认定”，从而形成以“充分性认定”为核心的“欧式跨境数据流动模式”。但是，如果达不到“充分性认定”标准，则需要数据控制者和处理者提供适当的安全保障措施，主要有约束性企业规则（BCRs）和标准合同条款（SCCs）等。约束性企业规则是一种替代标准合同的选择，针对的是集团企业在跨国经营过程中的数据跨境传输，要求跨国集团总部制定出经欧盟认可的数据处理的形式与流程。标准合同条款则是要求跨国企业签署该合同，一旦签署，则负有履行数据保护义务，同时被认定为符合“充分性”的要求。

美国跨境数据管理体系：基于财产权保护的理念。与欧盟数据保护理念不同，美国倾向于将个人数据视为个人财产，可以转让给他人，并最终将数据的所有权给予数据收集者和处理者，授予其在一定限制下使用和转让这些数据的权力。长期以来，美国一直都是全球数据市场的主导者和最大受益者，其凭借软硬件的巨大优势，一方面，以商业利益为导向，鼓励数据跨境自由流动，实现数据跨境流动的经济利益最大化；另一方面，对于境内数据采取严格适用属地管辖原则，同时，又以强大的政治力为后盾，争夺境外数据的管辖权。因此，形成了以“自由流动”和“长臂管辖”为特征的双重属性跨境数据流动模式。

在数据流动方面，美国在与其他国家、地区签订合作协议时，凭借自身的强势地位，主导制定跨境数据流动的规则。早在1997年，克林顿政府就曾推出全球第一个跨境流动治理原则《全球电子商务框架》，倡导信息要尽可能自由跨境流动，不能变相成为新的贸易壁垒。此后，美国不仅在世界贸易组织（WTO）积极倡导跨境数据流动不收税，而且在双边或多边合作协议谈判中，进一步强调数据流动的全球属性，旨在打开推行数据本地化存储的国家的市场。2000年和2016年美国与欧盟分别签署《安全港协议》和《欧美隐私盾牌》协定，以解决美欧之间跨境数据流动关于“充分性认定”的问题。2012年美韩签订《美韩自由贸易协定》时，在有关“电子商务”的款项中，要求双方避免限制跨境数据流动，实现数据自由流动。类似的还有2018年的《美国—墨西哥—加拿大协定》（USMCA）、《跨大西洋贸易与投资伙伴协议》（TTIP）、《跨境隐私规则体系》（CBPR）等。

长臂管辖主要体现在《澄清境外数据的合法使用法案》（CLOUD Act）。该法案出台的背景是，2013年美国在调查一起毒品走私案件时，向微软公司发出搜查令，要求微软提供包括用户信息和邮件的证据。虽然微软提供了存储在美国服务器的用户地址数据，但是微软以电子邮件存储在爱尔兰的服务器上为由，认为美国法院的搜查令不具有域外适用效力，从而拒绝提供电子邮件的内容。该法案的核心条款规定：“无论网络服务提供商的通信内容、记录或其他信息是否存储在美国境内，只要该网络服务提供者拥有、控制或监管上述内容、记录或信息，均需要按照该法令的要求保存、备份、披露。”因此，该法案扩大了美国获取海外数据的权力，即由过去的“数据存储地标准”转变为“数据控制者标准”，这就是所谓的“属人原则”。此外，外国政府若想通过网络提供商访问调取储存在美国的数据，则必须符合该法案所定义的“符合资格的外国政府”及其所要求的一系列细节。综上所述，该法案一方面为美国获得海外数据提供法律依据；另一方面，该法案意味着外国政府想要获得美国境内的数据并非易事，换句话说，为美国防止本国数据流出，设置了各种障碍。

欧美间的跨境数据流动：从《安全港协议》到《欧美隐私盾牌》协定。《安全港协议》是欧盟与美国的第一份跨境数据流动充分性决议。欧美不仅在数据隐私保护理念上有所不同，而且在管理模式上有差异，欧盟为机构立法型管理模式，美国是行业自治型管理模式。但双方作为重要的贸易投资合作伙伴，为了协调他们之间数据保护方式的差异，促进数据的自由流通，欧盟委员会在2000年12月发布《安全港协议》（Safe Harbor），为欧美之间的数据传输提供法律依据。协议同意，美国企业自愿加入和遵守协议，即可被认为达到欧盟的“充分认定”标准。然而，《安全港协议》在执行过程中遇到两方面问题。第一，《安全港协议》允许美国企业采用自愿、宣誓型的方式加入，这与“充分性认定”相比，不仅手续简单，而且缺乏透明、充分认定的评估办法和监督机制。第二，当欧盟数据跨境流入到美国后，如果美国企业没有充分保护数据，欧盟则难以落实救济机制，从而欧盟公民的救济权利难以得到保障。

为解决《安全港协议》失效后的空白和重塑欧美互信，经过协商，2016年2月美国通过了由欧洲理事会起草的《欧美隐私盾牌》协定，这是欧美间有关数据流动的第二份充分性决议。与《安全港协议》相比，《欧美隐私盾牌》协定有所改进，回应了欧盟的相关关切，修订了一些重要内容，例如“增强透明度、对欧盟数据主体提供多重救济、对公司的隐私政策规定了更明确的细则及处罚、参与公司的年度审核机制等”。但是，这份协议仍然存在一些重大问题。例如，当个人数据受到不正当使用时，救济流程过于复杂，不利于申诉；难以根本性地约束美国情报机构过度收集和滥用数据。实践中许多公司虚假陈述，未能严格遵守《欧美隐私盾牌》协定。

2020年7月16日，欧盟法院宣布欧美之间的《欧美隐私盾牌》协定无效，同时确认了欧盟关于向欧盟/欧洲经济区以外的处理者转移个人数据的标准合同条款（SCCs）的有效性。一方面，考虑到欧盟法院对Schrems II案件的判决，力图为跨境数据流动提供更加充分的保护；另一方面，给企业提供一个操作更为便利的工具，增加法律上可预测性和减少不确定性。2021年6月4日，欧盟委员会根据《通用数据保护条例》（GDPR）发布了新的两组标准合同条款，一个适用于控制者和处理者之间，另一个适用于向第三国转移个人数据。新标准合同条款的主要特点是：其一，一个单一的切入点涵盖了广泛的数据迁移方案，而不是单独的条款集。其二，通过“模块化方法”和提供两方以上加入和使用条款的可能性，为复杂的处理链提供更多的灵活性。其三，遵守Schrems II案件判决的实用工具箱，即概述公司为遵守Schrems II案件判决必须采取的不同步骤，以及公司在必要时可能采取的“补充措施”的例子，如加密。另外，对于目前使用以前标准合同条款的控制者和处理者，规定了18个月的过渡期。

此外，2021年6月21日，欧洲数据保护委员会（EDPB）发布了数据传输补充措施：一是加密问题。在数据跨境流动过程中，加密只是作为提供充分保护的补充措施，而不是万能方案，因为算法随着时间的推移被破解的风险在增大。二是救济问题。此次补充措施要求数据进出口组织在数据主体获得救济方面提供帮助，甚至是直接从这些组织中获得赔偿。

国外跨境数据流动管理体系对我国的启示

结合双边和多边机制，灵活对接跨境数据流动规则。欧美作为世界有影响力的两大经济体，他们在对待数据方面的理念差异和具体制度安排存在分歧，但是有关跨境数据流动的规则制定对全世界来说都具有启发性。无论是我国的个人信息保护法，还是印度的《个人数据保护法案》都从欧美的跨境数据流动规则中汲取了经验，同时也有助于灵活对接上述两大法律体系。

跨境数据流动问题非常复杂。在对接美国和欧盟时，一方面，美国对我国依然保持强势地位，并且拥有技术优势；另一方面，欧盟的充分性程序认定难以做到非常客观和标准化，不透明，容易受一些政治事件的影响。因此，在与欧美对接时，我国可以结合双边和多边机制，利用贸易与投资协定，在某些重要数字领域寻求跨境合作，例如海关、税收、航空公司、电信等领域，以绕开单独的数据管理方案。欧盟理事会于2021年3月22日通过《关于税收领域行政合作的第2011/16/EU号指令的修正案》，以应对数字平台经济发展给税收领域带来的挑战。而我国平台经济发展良好，跨境贸易份额日益提高，因此应密切关注该法案的实施情况。

积极应对新技术带来的各种挑战。一方面，随着新技术的不断出现与应用，例如面部识别、精准画像、深度伪造等，这些新技术不仅对个人数据，而且对个人的基本权利，如未成年人保护、反对歧视等，都提出了新的挑战。量子计算的发展也对个人数据的保护提出了挑战。另一方面，这些技术在某些领域的应用也可能是一个巨大优势，并有可能加强隐私保护。因此，我们要积极应对新技术发展给跨境数据流动带来的各种影响。

密切关注欧盟新的标准合同。新的标准合同虽然有所改进，并满足了欧盟的最新要求，但是标准合同文本制度的缺陷仍然存在。一方面，该合同文本是基于一般性情况来制定的，缺乏灵活性，难以充分考虑数据控制者或数据处理者的特殊诉求。另一方面，数据传输者与数据接收者签订合同并不等于当事人可以毫无障碍地进行个人数据的跨境传输。欧盟法院于2020年7月16日指出，虽然“标准合同文本”制度仍有效，但是并不意味着数据跨境流动畅通无阻。对于我国而言，要密切关注两个新的标准合同的实施进展，评估数据跨境流动的影响。

平衡经济自由与数据安全的关系。世界许多国家已经或正在制定关于数据跨境流动的政策，以实现各种目标。过去跨境数据流动限制的主要理由是保护个人隐私，但是随着数据在经济发展尤其是数字经济发展中的作用日益凸显，数据跨境流动的需求日益增加，各种限制理由也日益多元化。数据跨境流动问题与国家主权、安全、执法需要、国际贸易等各类问题深度交融。

斯诺登事件后，许多国家出台数据本地化制度。在此要求下，跨国企业逐渐进行数据本地化存储。数据本地化回应了个人信息保护和国家安全的诉求，但是这也增加了跨国企业的经营成本，以及可能限制创新。因此，从宏观角度来说，各国政府在“数据自由流动”与完全“数据本地化”之间如何选择，既考验一个国家的战略眼光和管理能力，又取决于国家间的互信。从微观角度来说，各国需要在数据类型分类、风险等级分级等细节方面达成共识。

（作者为中国政法大学商学院副院长、法商管理系主任、教授、博导）

【参考文献】

①曹杰、王晶：《跨境数据流动规则分析——以欧美隐私盾协议为视角》，《国际经贸探索》，2017年第4期。

②刘泽刚：《欧盟个人数据保护的“后隐私权”变革》，《华东政法大学学报》，2018年第4期。

③胡炜：《跨境数据流动的国际法挑战及中国应对》，《社会科学家》，2017年第11期。

④韩静雅：《跨境数据流动国际规制的焦点问题分析》，《河北法学》，2016年第10期。

⑤[德]克里斯托弗·库勒著，旷野、杨会永译：《欧洲数据保护法》，北京：法律出版社，2008年。

⑥LillyanaDaza Jaller ,Simon Gaillard and Martín Molinuevo(2020). The regulation of Digital Trade: Key policies and international trends, World Bank report.

⑦Ferracane, M.F. (2017). Restrictions to Cross-Border Data Flows: A Taxonomy,European Centre for International Political Economy (ECIPE): https://ecipe.org/publications/restrictions-to-cross-border-data-flows-a-taxonomy.

⑧金晶：《欧盟〈一般数据保护条例〉：演进、要点与疑义》，《欧洲研究》，2018年第4期。