黄雅晴

(南京财经大学，江苏 南京210023)

一、 跨境数据流动的规制难题

①现有文献对跨境数据流动存在多种表述方式，如cross-border data flows，transborder data flows，international information transfer，transborder flows of personal data 等，涉及transfer(传输)和flow(流动)之间是否存在差异，国内文献大多未做出严格区分。 论文认为跨境数据流动的含义应延伸至收集、访问、传输、使用等一系列行为，对传输和流动不再做出细致区分。

Tiktok 在美并购一案，使得与数据有关的用户隐私、国家安全、本地存储和传输等问题再度成为焦点。 跨境数据流动的规制同时涉及国内法和国际法层面的问题，与隐私保护、经济发展、国家安全等事项密切相关。 国内法层面，各国或通过数据(隐私或信息)保护法中的跨境数据流动条款进行规制②涉及该领域法律的通常会使用数据、信息、隐私三种不同的法律名称。 比如欧盟《一般数据保护条例》、美国《隐私法》、俄罗斯《关于联邦信息、信息化和信息保护法》和《联邦个人数据法》、我国《数据安全法(草案)》和《个人信息保护法(草案)》。 互联网时代数据与信息之间并无明确界限，二者之间可以互相转化，个人隐私也基本以信息或数据的方式表现。 三种法律名称在概念界定上存在一定差异，但内涵上无实质性差别，具体司法实践中不会造成实质影响，因此论文不严格区分上述三种法律名称。，或通过分散立法的方式在敏感领域做出规定，着重考量个人隐私保护和国家安全。 国际层面，具有较大影响力的规制以美国和欧盟主导的规则体系为代表，规制目标同时包括个人隐私保护和数据自由流动，且美国主导规则的价值趋向更侧重数据经济利益。 国内法与国际法的规制目标存在差别，各国数据政策和法律必然存在差异，现阶段尚无国际统一的约束性规则。 鉴于跨境数据流动带来的个人数据安全担忧、数字产业发展影响、国家主权威胁等风险，其规制路径面临数据保护、数据自由流动、政府数据保护自主权的三难选择问题。

二、 跨境数据流动的域外代表性立法及分析

(一)欧盟：以充分性保护原则为核心

2018 年5 月25 日《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)取代《95 指令》③1995 年颁布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data)。正式施行，GDPR 旨在加强对欧盟境内公民个人数据和隐私安全，统一欧盟境内数据规则，促进实现单一数字市场的经济战略，确保欧盟对其数据享有独立自主开发、管理和处置的权利，通过高标准的数据保护引导全球重建数据保护规则。GDPR 关涉数据流动问题的规定主要包括以下三个方面：

1. 管辖权范围

GDPR 扩张了域外适用效力，管辖权实质扩展为影响主义原则，有力保护了欧盟境内数据主体的权利。 欧盟数据保护委员会(European Data Protection Board，以下简称EDPB)发布的《关于GDPR 第3 条适用地域范围的解释指南》主要确立了两类考量要素，第3 条第1 款的经营场所标准①GDPR 第3 条第1 款：本条例适用在欧盟境内设立经营场所的数据控制者或处理者对个人数据的处理，无论处理行为是否发生在欧盟境内。和第3条第2 款目标指向标准②GDPR 第3 条第2 款：在欧盟境外的数据控制者或处理者对欧盟境内的个人数据进行处理，涉及下列情况适用本条例：(a)向欧盟境内的数据主体提供商品或服务，无论是否要求数据主体支付价款；(b)对数据主体发生在欧盟境内的行为进行监控。，涵盖了设立在欧盟境内和境外的数据控制者或处理者对个人数据处理的情况，满足上述两个标准之一即适用GDPR 规定。 对于经营场所的定义，根据GDPR 前言第22 条③GDPR 前言第22 条：营业场所指通过稳定安排真实有效的开展活动，安排的法律形式(无论是分支机构还是具有法律人格的子公司)并不是判断是否为营业场所的决定性因素。，除了法律实体的形式，通过稳定安排进行实际有效业务活动的行为也可能被认定为经营场所，需要结合个案事实进行判断分析。 目标指向要求必须存在指向欧盟境内个人数据主体这一要素，无论是提供产品和服务或是对其行为进行监控。 被视为监控处理活动的性质认定体现在GDPR 前言第24 条④GDPR 前言第24 条：确定某一处理活动能否被视为对数据主体行为的监控时，应确定自然人是否在互联网上被跟踪，包括后续可能采用的数据处理技术，包括对自然人进行画像以作出决定，或对该自然人的个人偏好、行为和态度进行分析或预测。，要求控制者需具有用于收集和重新使用相关数据的特定目的。

2. 跨境数据流动评估路径⑤GDPR 第五章：向第三国或国际组织传输个人数据第45、46、47、49 条。

(1)白名单制度，将符合充分保护标准的国家列入正面清单

第45 条详细列举了符合充分保护要求需达到的三重标准⑥包括法治、尊重人权和基本自由，一般法和部门相关立法以及对立法的实施，数据主体权利、有效的行政和司法赔偿；是否存在一个或多个有效运作的监管机构，拥有充分的执行权，协助数据主体行使权利；有关第三国或国际组织达成的国际承诺，或因具有法律约束力的公约或文件等产生的义务等。。 其中是否加入欧盟委员会《108 号公约》⑦1981 年《有关个人数据自动化处理的个人保护公约》(The Convention For The Protection of individuals With Regard to Automatic Processing of Personal Data)。是重要考量因素之一。 即使获得认定仍需要接受至少4 年一次的定期审核，如有信息显示无法确保充分性保护，欧盟委员会通过颁布不具有追溯力的实施法案撤销、修订或终止已通过的认定⑧GDPR 第45 条第3、4、5 款。。 充分性保护原则不具有普遍适用性，目前获得认定的国家和地区只有12 个，其中加拿大获得的是有限认证，鉴于《隐私盾协议》已失效，美国获得的有限充分认证也因此终止。 已认证的国家多位于欧洲大陆或不具有代表性，覆盖范围有限。 并且认证程序复杂，需要进行实质评估而非形式审查，增加了谈判的不确定性。

(2)保障措施

无法提供充分保护可适用第46 条的适当保障措施，其中标准合同条款(Standard Contract Clauses，以下简称SCCs)和约束性公司规则(Binding Corporate Rules，以下简称BCRs)两项制度适用范围最广。 境外数据控制者或处理者可以通过签订欧盟委员会和数据监管机构批准的SCCs 实现跨境数据流动的目的。 虽然SCCs 的操作似乎只需要数据出口方与进口方签署即可进行数据转移，但实际操作仍存在一些弊端，比如合同双方承担连带责任的规定可能造成数据出口方因顾及违约责任后果怠于进行数据传输；合同相对性的固有特征难以解决涉及多方主体的复杂数据传输问题，往往耗时长、成本高，难以解决涉及多方主体的复杂数据传输。 BCRs约束跨国公司内部的数据跨境传输活动。 跨国公司内部往往有大量数据传输需求，涉及集团多方成员，BCRs 避免了SCCs 每次都需要签订合同从而增加大量经营成本的弊端。第47 条第2 款(F)项规定了欧盟境外成员违反BCRs 由欧盟境内控制者或处理者承担责任，处罚以欧盟境内集团成员作为连接点。 该项规定通过欧盟境内的连接点扩张了承担责任的主体范围，对跨国公司的规模、资金、技术、员工素质均提出较高要求。 但BCRs 规则适用范围有限，对中小型公司而言无太多可以适用的规范，难以在大范围内发挥效用。

(3)特定情形下的减损

上述两种方式均无法适用时可基于第49 条第1 款7 种特定情形进行数据传输。 其中第1 款(a)项“告知+同意”是最经常使用的情形，如果数据主体在被告知不符合充分保护和适当保障措施的规定，以及数据流动可能带来的风险仍然同意传输，可以不受上述规定的限制，实际是将控制权交与数据主体自身。

3. 监管层次

成员国层面，第六章就监管机构的独立地位、管辖权限、职责或权力做出详细的规定。 对向欧盟不同成员国提供业务或在不同成员国设立机构的企业，由一个主监管机构对企业所有数据活动负责，建立了一站式监督机制，提高监管效力。 欧盟层面则设立EDPB⑨https：/ /edps.europa.eu/about-edps_en.总体任务包括监督并确保欧盟机构在个人信息处理时对个人数据和隐私的保护、就与处理个人数据有关的事宜向欧盟机构提供建议、就解释数据保护法提供专家意见、与国家监管当局和其他监管机构合作等。负责GDPR 的实施。 两个层面的监管机构之间信息互相流通，避免了监管范围重叠或缺失的情形。

(二)美国：以问责制为原则

美国采用分散立法的方式，通过市场主导、行业自律的方式进行调整，原则上不限制个人数据的跨境流动。 以数据控制者和处理者能够遵守隐私保护规定为预设前提，仅在造成损害后果的情形下由相关方承担责任，最大限度降低数据流动的障碍，减轻行政机关的监管压力，旨在维护产业竞争优势，确保美国在数字经济和信息通信领域的领导地位①出台的多项战略规划均提出明确促进数字经济发展的内容，如《美国数字经济议程》《电子复兴计划》《数据科学战略计划》等，自由贸易协定中也包含了数字贸易的规定。。美国数据保护的相关法律多使用隐私一词，联邦层面的法律法规如1974 年《隐私法》，对联邦行政部门收集、利用和保护个人数据等方面做出规定；涉及消费者网络隐私权的诉讼多通过《联邦贸易委员会法》第5 节商业欺诈的规则解决；此外《电子通信隐私法》《计算机欺诈和滥用法》《公平信用报告法》《金融服务现代化法案》《儿童在线隐私保护法》《在线通讯政策法》等均涉及相关内容。 州层面的法律法规，最具代表性的是《加州消费者隐私法》及其实施细则，被称为全美最严格网络隐私法，但其对跨境数据流动亦未设明确限制②https：/ /mp.weixin.qq.com/s/AnkWT_st-lj3ioYrZYgnkg.。

继微软诉美国案之后，2018 年《澄清合法使用域外数据法》(Clarify Lawful Overseas Use of Data Act)为调取美国公司存储于境外的数据提供了法律依据，该法案将司法管辖权由数据存储位置扩张为数据控制者的控制范围。 只要内容所有者或数据控制者是美国企业或其他组织，无论是否存储于美国境内，这些机构有义务提供并披露上述内容。 法案体现了美国数据主权战略，是其国内法域外效力在数据流动领域的体现。 法案虽同时允许适格的外国政府向美国境内组织调取用于侦查执法等目的的相关数据，但对适格外国政府的认定极为严格③适格外国政府的考虑因素包括国内立法水平和执法能力是否为公民权利和隐私提供了足够的实体和程序保护；该国家是否为《布达佩斯网络犯罪公约》的成员国，或者至少与公约的第1、2 章内容相吻合；对法治和平等原则的尊重；遵守国际人权义务等等。。 表面上具备国家之间交互的性质，实质上是否为适格的外国政府完全由美国自由决定，双方在实践中的标准并不对等。

(三)俄罗斯：以数据本地化存储为原则

俄罗斯立法体现了明显的国家数据主权诉求，总体采纳数据本地化规制路径，要求公民信息及相关信息和数据库的存储和处理行为需在境内进行。 《关于信息、信息技术和信息保护法》第10.1 条第3 款和第16 条第4 款增加了境内存储相关内容，《联邦个人数据法》第18 条增加第5 款使用本地数据库。 但本地化存储不意味着绝对禁止流动。 根据《联邦个人数据法》第12 条第1 款和第2 款，俄罗斯作为《108 号公约》的签署国可以与其他缔约国之间进行数据传输。 公约以外能够给予同等保护的国家采用白名单制度。 向不能给予同等保护的国家传输数据可在第4 款规定的情形下进行④https：/ /mp.weixin.qq.com/s/jbMw_6NUK_1nwRJvRzImlg.翻译来自苏州信息安全法学所。。 该种规制路径实现了对数据流动各环节的严格把控，加强政府的执法权和对数据资源的控制力，有力保护了国家数据主权，但也会对外国互联网企业的运营造成负面影响，比如2019 年和2020 年对Facebook 和Twitter 的两度罚款。过于严苛的本地化措施可能使得外国企业望而却步，不利于本国企业与境外企业之间的技术交流，对GDP 也可能产生负面影响。

三、 跨境数据流动的国际监管与合作

(一)区域规则

APEC《隐私框架》是亚太地区第一份关于跨境数据流动的文件，强调数据自由流动和个人隐私保护，提供最低隐私保护标准，促进亚太地区电子商务的发展。 2012 年美国主导并参与的APEC 跨境隐私规则体系(Cross-Border Privacy Rules，以下简称CBPRs)正式启动。 CBPRs 属于非约束性体系，不具有强制力，成员经济体和企业自愿选择加入，可以看作是美国行业自律模式的改良版，是非纯粹的行业自律体系，涉及三方主体：隐私执法机构、问责代理机构和企业⑤成员国具有调查权和起诉权的隐私执法机构加入跨境隐私执法安排，并满足APEC 的9 大原则和50 项具体要求，拥有完全的执法能力。 问责代理机构需要APEC 全体成员认可，可以是第三方非公共机构，有效期为一年，每年需要重新审核。 申请加入的企业依照问责代理机构提供的自评问卷对自身制定的隐私政策进行评估并调整以符合要求，通过问责代理机构的审核后可获得认证。。截至目前已经有九个国家或地区加入CBPRs 体系⑥美国、日本、韩国、澳大利亚、加拿大、新加坡、中国台北、墨西哥和菲律宾。。

(二)双边协议

《隐私盾协议》(EU-US Privacy Shield Framework)是《安全港协议》(EU-US Safe Harbor Framework)的替代规则⑦为解决数据跨境转移问题，欧美双方于2000 年11 月达成了《安全港协议》。 2015 年10 月欧盟法院在Schrems Ⅱ案(Case C-362 /14，Maximillian Schrems v.Data Protection Commissioner)宣布2000/520 号欧盟决定(safe harbor decision)无效。 由于美欧之间经济的紧密联系需要数据流动，经过多轮谈判，双方于2016 年达成《隐私盾协议》。，主要内容体现在权力约束、规范对象、权利救济、合作机制四个层面，具体内容包括：美国政府书面承诺在明确的条件限制、约束和监管下出于国家安全目的访问数据；由独立于国家安全部门的监察员处理移交的投诉；美国企业承担的义务增多，如公示隐私保护政策、定期自证审查等；增加数据主体的救济途径；设置年度联合审查机制等。 隐私盾协议虽然暂时解决了欧美双方数据流动的困境，但也存在不可忽视的问题。 首先是法律机制，美欧双方对个人数据保护立法存在明显差别，二者是否真正达成践行共识不无疑问；其次，基于欧盟公民的投诉，数据保护机关有权进行调查并作出中止数据流通的决定，协议的稳定性和持续性难以保障；再次，GDPR本身涉及诸多复杂概念，EDPB 此后又发布了二十几项相关指南，完全实现所规定的权利确属困难。

2020 年7 月16 日，欧盟法院(CJEU)宣布了对SchremsⅡ⑧Case C-311/18 Data Protection Commissioner v.Facebook Ireland Ltd and Maximillian Schrems(“Schrems Ⅱ”).案件的裁决，认定《隐私盾协议》的基础第2016/1250 号决定无效。 美国对个人数据权利保护不充分，《隐私盾协议》不再作为美国企业将欧盟境内个人数据传输至美国的法律依据。 继《安全港协议》失效后，《隐私盾协议》再次失效。欧盟法院认定《隐私盾协议》无效的主要考量在于对公权力的限制，涉及美国《外国情报监控法》第7 章702 条和美国第12333 号行政令⑨https：/ /mp.weixin.qq.com/s/2jtESrr_gOM7tqbaDSuUuA.。 欧盟法院指出美国基于本国安全监控法律规定访问外国公民个人信息的行为不受制于严格必要的制约，与欧盟法律规定的严格必要和目的成比例原则相违背①https：/ /mp.weixin.qq.com/s/WTjXYeylIBrVAtMz3PPThg.。 虽然欧盟法院肯定了SCCs 仍然有效，但对SCCs 的适用应当基于个案进行评估审核，如果数据进口国法律无法达到充分性保护水平，公司必须提供额外的保障措施，成员国数据保护机构在个案审核中拥有禁止数据传输的权利，给SCCs 的适用增加了更多的不确定性。 大型企业或跨国公司为避免风险可以在欧盟境内设立存储服务器，但对于中小企业而言成本过高，如若无法有效应对还面临巨额罚款的风险。 除此之外，第49 条特殊情况下的减损是否可以作为商业活动的常规或持续性的数据转移的依据尚存疑问。

(三)贸易协定

美韩自由贸易协定电子商务章节第15.8 条明确双方应努力避免对电子信息跨境流动设置或维持不必要的障碍。附件金融服务部分规定②US-Korea FTA，Annex 13-B Section B.缔约方应允许金融机构在正常业务范围进行数据跨境传输以达到数据处理的目的。

美墨加协定增加了数字贸易的内容。 第19.11 条原则上禁止采用限制或禁止数据自由流动的措施，但允许为实现合法公共政策目标的例外。 第19.12 条不得以使用境内计算机设施作为开展业务的条件表明了反对数据本地化的立场。协定多次提及对美国主导的APEC 隐私体系的承认，比如第19.14 条b 款、第19.8 条第2 款，目前三国均已加入APEC 的CBPRs 体系。 第19.18 条首次提出公开政府数据，表明其有助于经济和社会发展，与美国追求数据经济价值的理念相符。 金融服务章节第17.17 条、第17.18 条对信息传输的规定设置了例外情形和前提条件，规制相对严格。

《全面与进步跨太平洋伙伴关系协定》电子商务章节第14.11.2 条明确了数据跨境传输成员方的义务。 第14.13.2 条限制了数据本地化措施的适用。 法定例外情形体现在第14.11.3条和第14.13.3 条，立法结构采取原则+例外的方式，借鉴了WTO 的《服务贸易总协定》第14 条和《关税与贸易总协定》第20 条的表述，但对合法公共政策目标的含义并未确定，亦未列举，增加了适用的不确定性。

2020 年11 月15 日签署的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership，以下简称RCEP)第十二章电子商务涉及了跨境数据流动的内容③http：/ /fta.mofcom.gov.cn/rcep/rcep_new.shtml.，第14 条计算设施位置的规定限制了数据本地化措施，第15 条允许因商业行为通过电子方式传输信息，同时也明确了缔约方实现合法公共政策目标以及保护其基本安全利益的例外，兼顾了国家安全与经济发展的双重需求。 此外，第八章服务贸易附件一金融服务第9 条也规定了对金融数据的转移与信息处理。 RCEP 并无欧美国家参与，在欧美主导数据流动规则话语权的背景下，RCEP 为发展中国家的跨境数据流动合作提供了新思路和新前景④https：/ /mp.weixin.qq.com/s/nUrPxtG4LnCxwv6yKHRy3g.。

四、 跨境数据流动法律规制的特点

虽然跨境数据流动的法律规制呈现国内法与国际法并行的现状，但各国国内法规制仍占据主要地位。 不同国家之间的规制模式差异较大，其根本原因在于立法价值目标的选择，或注重个人数据权利保护，或强调产业竞争发展，或维护数据主权和网络安全。 目标选择的背后原因又往往取决于本国数字产业的发展和竞争实力。 竞争力强的国家的企业往往是数据的控制者和处理者，竞争力较弱的国家的用户更多是数据信息的提供者。 因此暂时处于弱势地位的国家往往会出于经济战略布局或可能的个人数据泄露和国家安全风险的考量，对数据流动进行程度不一的限制。

双边规制模式如SCCs、《隐私盾协议》等，在协议双方对数据保护机制和流动规制路径存在较大差异的情况下，可能只能满足某一阶段的数据流动需求，《安全港协议》和《隐私盾协议》的相继失效，以及SCCs 适用的不确定性和烦琐性体现了这一模式的弊端。 区域规制模式以APEC 隐私框架为代表，成员国自愿加入CBPRs 体系，机制较为灵活，但至今只有9 个国家或地区加入CBPRs 体系，并且全部都是美国的盟友，取得CBPRs 认证的企业数量仅为35 家，其中有3 家日本公司，其余均为美国公司⑤http：/ /cbprs.org/compliance-directory/cbpr-system/.，美国通过区域规则构建较低数据保护标准以试图减弱欧盟GDPR 影响力的成果尚不甚理想。贸易协定中涉及电子商务、金融服务的数据传输规定逐渐增多，典型如美墨加协定、美韩自由贸易协定、全面与进步跨太平洋伙伴关系协定、RCEP 等，但规定都较为模糊，具体实施中可能存在困难。 从多边规制模式来看，全球范围内尚缺少统一的数据(隐私)保护共识和规则标准，数据跨境监管与合作也缺少权威性的全球机构进行协调。 WTO 框架下的《服务贸易总协定》被多数学者认为适合规制跨境数据流动，跨境交付模式往往需要数据流动，但规定过于模糊，WTO 全球合作模式仍有待探索。

此外，从规制的数据类型来看，以个人数据为主，对其他类型数据的规定较少。 欧盟《非个人数据在欧盟境内自由流动框架条例》旨在明确欧盟境内可以自由迁移此类数据，但对非个人数据的跨境流动并未涉及。 美国对于金融服务、高新技术数据、信用报告等特定领域的非个人数据流动则设置了严格的出境要求⑥非个人数据如13556 号行政命令形成的受控非秘信息清单(Controlled Unclassified Information，简称CUI)列出的17 个门类数据。。 贸易协定中对于金融数据、政府数据等非个人数据已有涉及，但数量少，规定较为原则。 总体上非个人数据的跨境流动尚未形成明确规制模式。

五、 我国跨境数据流动的法律规制

(一)国内法层面

1. 国内立法现状

《数据安全法(草案)》和《个人信息保护法(草案)》公布之前，我国在诸多领域如包括医药、金融、人口健康、征信、关键信息基础设施等，已有涉及数据方面的立法，侧重维护数据主权和国家安全，具体体现在《网络安全法》第37 条、《征信管理条例》第24 条、《保险机构开业信息化建设验收指引》第3 项、《人民银行关于银行业金融机构做好个人金融信息保护工作通知》第6 条等等。 总体上立法层级不一，不同行业领域存在较大差异，呈现分散化与碎片化的特征。 为明确数据跨境流动的具体实施细则，网信办相继发布了《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《数据安全管理办法(征求意见稿)》，但配套措施存在规制主体不一致、数据分类定性不明、规制模式单一等问题，目前尚未落地，实施日期待定。

2020 年7 月和10 月发布的《数据安全法(草案)》和《个人信息保护法(草案)》体现了我国将数据和个人信息分类监管的特点。 前者侧重数据安全保障，维护国家数据主权，后者聚焦个人信息权益保护，促进信息有序流动。 同时《数据安全法(草案)》对数据的定义规定为任何以电子或者非电子形式对信息的记录①《数据安全法(草案)》第3 条。，其适用客体的范围类型涵盖了《网络安全法》和《个人信息保护法(草案)》。 《数据安全法(草案)》尚未设立专章规制跨境数据流动，相关规定体现在管辖权、监管体系、数据分级分类、安全审查、风险评估、出口管制等方面②《数据安全法(草案)》第2、19、20、22、23、24、33 条等。。 《个人信息保护法(草案)》首次设专章明确了个人信息跨境流动规则，不同于《个人信息出境安全评估办法(征求意见稿)》，《个人信息保护法(草案)》对向境外传输个人信息的要求有所放宽：符合第40 条规定的关键信息基础设施的运营者以及处理个人信息达到网信部门规定数量的个人信息处理者，需要通过国家网信部门组织的安全评估③《个人信息保护法(草案)》第40 条。，符合《网络安全法》第37 条保护国家安全和公共利益的需求一致；在安全评估之外，第38 条还设置了经专业机构进行个人信息保护认证以及通过签订合同监督信息接收方的处理活动达到草案规定的信息保护标准等路径④《个人信息保护法(草案)》第37 条。；第39 条明确了境外传输信息的告知加单独同意要求，单独同意作为新增形式要求设置了更高的标准；第41 条因国际司法协助或行政执法协助向境外提供个人信息的规定与《数据安全法(草案)》第33 条以及《国际刑事司法协助法》的思路基本一致，2020 年9 月8 日全球数字治理研讨会提出的《全球数据安全倡议》⑤https：/ /mp.weixin.qq.com/s/v6P8ygHuhr7ZUh1eZ_hw5Q.尊重他国主权、司法管辖权和对数据的管理权，不得直接向企业或个人调取位于他国的数据。 应通过司法协助等渠道解决执法跨境数据调取需求。亦表明类似立场；第43 条的对等原则同《数据安全法(草案)》第24 条体现的立法精神相同；管辖权上，草案第3 条以属地管辖为基础，并规定了特殊情形下的域外适用效力，与GDPR 的管辖规定基本一致。 《数据安全法(草案)》第2 条和《网络安全法》第75 条也有追究境外数据活动法律责任的规定。 对于监管部门的设置与《数据安全法(草案)》第7 条和《网络安全法》第8 条相协调。 职责分工上突出了网信部门统筹协调的作用，其他部门在其所辖领域内发挥职能作用。 总体而言，形成了以《网络安全法》《数据安全法(草案)》和《个人信息保护法(草案)》为核心的数据规制法律架构。 跨境数据流动的规制立场以维护国家安全为核心，个人信息保护和数据开发利用并重。

2. 立法尚存问题及建议

(1)数据分级分类保护标准不明确

《网络安全法》《数据安全法(草案)》《个人信息保护法(草案)》未作出较为明确的规定。 《信息安全技术数据出境安全评估指南(草案)》附录A 列举了27 个行业的重要数据范围，附录B 针对个人数据和重要数据出境对个人权益和公共利益影响划分了等级判定⑥《信息安全技术数据出境安全评估指南(草案)》附录A 重要数据识别指南，附录B.1 评估个人信息出境对个人权益产生的影响等级，B.2 评估重要数据出境对国家安全、社会公共利益产生的影响等级。，具有规范指引的作用，适用范围有限。 目前尚未形成较为系统的框架标准。

对于特定领域或行业的重要数据，可单独制定分级分类指引，可参考证监会《证券期货业数据分类分级指引》、中国人民银行《金融数据安全 数据安全分级指南》等，结合特定领域或行业的数据特征进行细分归类，并从数据影响对象、影响程度、影响范围、数据一般特征、数据级别标识方面制定数据安全定级参考表，进行梯度化处理。

对非属于特定领域或行业的其他数据大体划分为政府一般数据、商业数据、个人数据。 政府一般数据在确保安全的前提下可以流动；商业数据和个人数据原则上可以自由流动，但涉及商业秘密以及个人敏感信息等情形则需要限制或禁止流动。 对每一大类型下的数据，结合数据内容、监管难度、安全风险、处理技术、是否可能影响公共利益的要素综合考量，细分数据等级。 对不同级别的数据设置基本保护、一般保护、具体保护、严格保护，制定与数据级别相对应的监管和保护措施。

(2)未对独立数据监管机构的设置做出规定⑦https：/ /mp.weixin.qq.com/s/9kn744cDW-FBMevCFSCp1Q.

网信部门虽具有统筹协调的作用，但监管工作的实施可能涉及多个部门，各部门的监管职责界限划分尚不明晰，有可能出现职责交叉或者监管缺失的情形，分散式的监管模式可能难以满足复杂的执法需求。 从国际经验来看，欧盟、澳大利亚、俄罗斯、日本等均具备独立的数据监管或保护机构。拥有独立地位和执法能力的数据监管机构是衡量国家数据保护水平的重要因素，也可帮助国家参与国际数据保护与隐私专员大会的交流和合作。 可以参照GDPR 设置全国数据保护委员会，或者明确由网信办承担这一职责，赋予其监管权和执法权，包括数据出境的安全评估、审查跨境传输合同条款、对违规和侵犯信息权益行为的行政调查权和处罚权等。

(3)对数据进口方的数据保护能力评估的立法层级较低

已有的相关规定主要体现在《信息安全技术数据出境安全评估指南(草案)》中，对数据接收方所在国家或区域的政治法律环境评估依照个人数据和重要数据两种情况区分对待，并对保障能力划分了高、中、低三个等级⑧《信息安全技术数据出境安全评估指南(草案)》附录B 个人信息和重要数据出境安全风险评估方法B.3.3 评估接收方所在国家或区域的政治法律环境。。 在此基础上，可以参照GDPR 第45 条的规定，以法律形式明确列举审查标准，对达到我国数据和信息保护水平的国家建立正面清单(白名单)，积极与之谈判。 对不在正面清单的国家可以设置其他限制条件，比如审查境外数据处理者的隐私规则是否到保护标准、与数据处理者签订标准条款格式合同、设置严格明确的例外条款等。

(二)国际法层面

国际交流与合作层面，我国持积极参与数据安全和个人信息保护国际规则制定、促进数据跨境安全自由流动、推动标准互认①《数据安全法(草案)》第10 条、《个人信息保护法(草案)》第12 条。的立场。 高水准的跨境数据流动规制可以帮助国家扩大在国际数字贸易规则领域的影响力。 以欧盟和美国为代表的发达国家都在争夺规则的主导权，我国在该领域的国际话语权尚不强。 中澳和中韩自由贸易协定仅涉及数据信息保护的原则性规定，未规定数据跨境流动的内容未彩玉，未参与CBPRs 区域性规则体系，RCEP 已有关于数据(信息)传输和处理的规定，具体如何实施有待缔约方进一步明确。 目前以安全评估制度和本地化存储为主的相对保守的规制方式对我国数字贸易发展不利，我国有必要以前瞻性的战略布局参与国际合作，尝试构建符合我国利益的规则，主动通过双边或多边协商建立信任机制，借助亚太自由贸易区，“一带一路”等平台进行磋商与合作。 可由网信办、商务部、外交部共同参与谈判工作，与我国数据保护水平相近或规制目标类似的国家或地区达成共识。 与保护机制完善、标准较高的国家进行谈判时可以参照《隐私盾协议》达成阶段性合作，形成数据流动双向监管体系。 同时为保障合作的可持续性，不至于出现类似《隐私盾协议》无效的情形，国内法和出境企业内部的数据合规也要不断更新完善，尽量达到充分性保护等类似要求。 在与他国协商时也需要考量中国出境企业的利益诉求，如果设置过于严苛的标准，其他国家可能采取对等措施，给我国企业发展带来负面影响。 在不会对国家安全利益造成损害且保证数据安全的前提下，仍应当以促进数据流动为目标，繁荣数字市场。 此外，对于可能出现的管辖权冲突问题，在立足平等对话和数据主权独立的前提下，可以适当让渡管辖权，结合国际私法中的属地管辖原则、效果管辖原则、最密切联系原则、不方便法院原则等解决可能出现的管辖冲突。