数据跨境流动法律规制的域外经验及中国路径

2022-05-31徐玉梅田张辉

理论观察 2022年4期

徐玉梅　田张辉

关键词：数据;跨境流动;国家主权;法律规制

中图分类号：D922.16 文献标识码：A 文章编号：1009 — 2234（2022）04 — 0126 — 05

大数据时代，数据成为国家重要的生产要素，取代传统的国家安全问题成为新的一大国家安全威胁。数据全球化的新趋势带来的有挑战自然也有机遇，正是因为数据所包含的大量的个人、企业、国家信息，所以表现出巨大的价值。数据具有跨境流动的特性，“跨境”即“跨越国境”之意，国际组织及一些国家对其存在着不同的界定。具體表现为两种理解：一是作为客体的数据被跨越国家边界进行传输和处理。二是客体数据虽未跨越国家边界，但处于第三国的主体却能够对其进行访问。

正是因为数据的无形性且进行了实质上的“跨境流动”，紧随而来的就是关于数据安全的问题，比如数据中包含的大量个人隐私信息如果遭到非法收集和处理，个人隐私很有可能受到侵犯。并且面对如上问题，国际上各个国家都不同程度地出现了司法管辖困难、对于数据资源的控制能力减弱和遭受到推行数据霸权国家侵害本国主权的情况。

尽管数据大规模地流动会带来严重的负面影响，但是处于互联网推动的新一轮全球化趋势浪潮中，如何抓住信息数据发展机遇，规避、降低数据流动风险，在保障国家安全的前提下，实现数据的合法合规流动是各国立法重要的着眼点。

美国注重对个人信息的保护源于传统的隐私权，其将隐私保护作为一项基本人权，最早在美国宪法第一修正案中对言论自由的保障限制了政府规范信息流动的能力，包括个人信息。《隐私法案》于1974年出台，其最大意义就是明确了公民可决定是否允许政府处理其从公民处收集到的个人信息，从而在一定程度上达到了保护公民隐私利益的目的。当互联网时代的大幕拉起后，货物、服务的跨境逐渐以电子和数据的形式出现，跨境数据频繁流动的需求和现状成为推动新型全球化的重要特征。

针对个人数据的跨境流动方面，2000年11月《美欧安全港协议》规定了七项隐私权保护原则，以契合《欧盟指令》所规制的充分保护，进而可以接收和处理来自欧盟的个人数据，但在斯诺登事件后，《安全港协议》失效，美国重新考量后斯诺登时代美国数据跨境流动规制。2016年7月重新拟定的《隐私盾框架》，虽然是美欧双方妥协的结果，但仍成为美国跨境数据流动的新框架。在该框架中，增强数据主体权力是贯穿该框架的主基调，尤其规定当公民发现企业在收集整理、使用公民个人数据不当时，公民有权利申诉并获得相应的其他纠纷解决方案。

针对企业数据的跨境流动方面，20世纪90年代的《统一商业秘密法》和《经济间谍法》中明确了企业信息的安全规定，成为了后续企业数据跨境流动规制的基调。到了大数据时代，由于美国长期数据高度自由流动的特性，数据安全事件出现的愈发频繁，于是在2015年通过了本国首个专门针对网络安全信息共享的综合性立法——《网络安全信息共享法》（以下简称“CISA”），其主要目的是为了对企业的信数据安全共享活动增加法规上的照顾，并促使美国公司将网络安全漏洞信息共享给其他企业和政府部门。而后“微软公司诉合众国案”等一系列关于数据信息采集权限问题的争论直接促使了2018年《澄清海外合法使用数据法案》（以下简称《CLOUD法案》）的生成，该法案最显著的特征就是加大对企业的数据跨境流动的规制和增强了政府控制权。其中明确了关于在美国境内和境外的数据信息，是否受美国法律管制的内容。尤其值得注意的是《CLOUD法案》将其法律主体定义为电子通信和远程计算服务提供商，并未对境外服务提供者的法律地位加以明确，但引用在《美国法典》中关于主体的认定，则应当能理解其涵盖的范围，是涉及美国境内所有实际存在的服务提供商，而不仅仅局限于在美国注册的服务商，这在法务实践中更进一步的扩大了管制的范围，进一步的拓宽了《CLOUD法案》的适用范围。但在面对境内外不同的数据跨境流动，《CLOUD法案》设定了截然不同的规则，针对企业数据跨境流动的管理，执行严格的双标政策，着力构建数字贸易壁垒。

针对国家数据的跨境流动方面，美国从90年代开始，就已经以法律条文形式，明确“数字基础设施”为国家战略资产，并且相继出台了多部法案确定数据流动的准绳，因此成为美国跨境数据流动领域确立法案的基石。2016年美国确立了《隐私盾框架》（以下简称《框架》），进一步加深了美国与欧盟的贸易共通体的地位，在《框架》中接纳了欧盟关于域外保护效力的内容，进一步扩展了国家层面的数据跨境流动的保护。对美国政府访问数据限制主要表现在三个方面，一是无差别的监控，二是设立专员监督实施，三是针对国家安全准入问题进行年度审查。

综上所述，在天赋人权和人民主权思想从欧洲飘向美洲大陆时，生命权、自由权和追求幸福等权利就扎根在美国移民心中，美国宪法最早在第三修正案就对自由进行了保护，这也从根本上确定了美国以自由主义为导向的政策。当该自由主义体现在个人数据的保护制度中，以自由理念与市场利益为导向的思想就成为贯穿美国数据跨境流动管理制度的脉络。从而注定了美国个人数据保护制度会极大限制政府在其中扮演的角色和减少政府对数据流动的过度干预。从市场自由层面看，美国坚信市场是调节数据流动的最好手段，市场与行业自治机制预设数据企业会自动遵守行业规则的约束，将数据隐私视为市场利益的一部分[1]。故在经济利益最大化的催使下，美国以商业利益为导向的数据流动政策不断扩张，在国际范围内伸出利益的触角，同时，美国的数据流动监管执法部门以世界警察的姿态高举“保护国家安全”的大旗对别国进行执法，试图推行数据霸权。

在第二次世界大战期间，种族主义政策下的纳粹利用欧洲国家搜集来用于统计国家人口数量和提供红利的种族身份统计信息，对犹太族等民族进行种族“纯化”和屠杀。因此，第二次世界大战之后，在遭受到纳粹主义巨大摧残后的欧洲各国认为十分有必要以地理位置为基础，构建框架形成一个组织并在组织构架中建立公民人权保障体系来避免类似惨案的再次发生。此后，在欧洲理事会的推动下，关于保障欧洲公民基本权利和自由人权的《欧洲人权公约》于1950年在罗马诞生了，尤其是该公约第 8 条[2]重点突出对公民私人住所、生活、通讯信息以及私人信息资料的保护。自此，欧洲普遍将个人信息保护视为一项基本人权，欧洲个人信息的保护属于公民生来所有且不可剥夺的基本人权之一[3]。

针对个人数据的跨境流动方面，欧盟委员会通过了国际上首个保障个人数据的国际公约——《数据保护公约》，在制度设计上，《数据保护公约》以消除成员国之间的数据跨境壁垒为主要内容。而后随着互联网技术的普及和发展，数据保护的诉求也相应地增强，于是欧盟于1995颁布的《数据保护指令》（以下简称《指令》）为个人数据进行了更加全面的保障。它旨在为收集、处理数据时保护隐私、解决隐私问题，以及围绕数据使用的人权问题建立一个框架。该指令的主要内涵一是立法旨在要求各会员国，尤其需要保存其公民的或个人的个人隐私数据;二是积极推动成员国公民个人数据在欧盟内部自由流通。2016年欧盟颁布《欧盟数据保护通用条例》（以下简称“GPDR”），此条例是在前《指令》的基础上，着重在属地原则外增加了属人原则，如针对在欧洲之外的数据服务组织而言，如果数据信息的获取方、数据信息的提交方（被收集数据的使用者）和数据信息的处理方（包括第三方数据处理组织）的任何一方均为欧洲公民或企业法人，就将受得该法律的管辖。

针对企业数据的跨境流动方面，2016年颁布的GDPR对于企业收集和运用跨境数据方面做了多方面的提升。首先是适用范围的扩增，在GDPR第一章关于地域范围的解释中，将适用范围扩大至欧盟内的企业和个人的数据处理。这一适用范围的扩大，更好地解决了跨境企业数据流动中管辖主体不明的问题，使得数据跨境流动更有法可依有法可制。其次是重新规定了监督和披露的责任义务。GDPR规定企业必须获得数据提供者关于某明确合法用途的授权，并可出示数据获取方法的证明，这一规定的确立，从一定程度上解决了企业在跨境数据流动中存在窃取用户信息的风险。并且规定在处理大量敏感数据时企业需聘用数据保护官监督，同时加强内部自我监管和外部的监督，从多角度提高跨境数据的安全性。

针对国家数据的跨境流动方面，欧盟于1995年颁布的《数据保护指令》中对于国家数据的流动建立了较高的保护标准，在该《指令》的内容中，确立了对于个人信息和国家安全领域的充分性保护原则。“充分性保护”是指，欧盟需要对数据信息跨国流动的受援国家进行评定，其实质是规定欧洲国家公民的个人数据仅能在和拥有与欧盟相同个人数据保护水平的会员国中间进行流通[4]。评估内容为数据流动到接收国后是否能够获得与欧盟国家一样的法律保护，即流动的数据能够达到充分性保护是数据允许被流动的前提。正是由于标准的严苛性，截至目前为止，被欧盟认可的达到评估要求的“充分保护水平”的国家仅有12个。2007年的《欧盟基本权利宪章》中明确规定数据信息的保护权，该宪章深化了欧洲盛行的“遗忘权”的法律适用问题，妥善地解决了关于国家数据跨境流动领域的多边适用问题。

综上所述，欧盟法律体系项下的跨境流动监管模式的特点主要体现在四个方面：一是实现欧洲数字单一市场策略。通过GDPR实现数据信息在欧洲国家间的自主流转，以确保欧洲国家能够及时获取数据。二是针对非成员国家，以“充分性”确立数据信息跨国自由流动白名单，推进欧洲数据保护规定的国际影响力。三是在遵循适当保护措施条件下，创造更多样的个人数据跨境流转方法。这个多样化包括对数据做一个分级保护处理，使得在不同情况下，数据可以分级流动。四是积极推动犯罪数据的境外调取。即数据满足刑事诉讼所必需或被提供的数据和服务企业所在欧洲成员国进行的数据服务相关，欧盟便对该数据具有执法权。总体来说，欧盟对数据跨境流动的保护呈现内松外紧的特征，利用技术及市场优势把握全球跨境数据流动规制的主动权。

“安全”是人民生活幸福安全的保障，是国家稳定发展的基石，所以“安全”一直以来都是在国际交往中常常被各个国家提起的词汇。该词在过去很长一段时间，是论证暂停公民自由、发动战争和大规模重新分配资源等活动正当性的理由[5]。随着时代的发展和变化，针对安全观，也有了新的内涵变化，出现了传统国家安全观和非传统国家安全观。

传统国家安全观是在国际处于冷战局面后期之前一直占有重要地位的一种理念，它主要是以本国为思考问题的出发点和中心，利用暴力手段以夺取政权和维护政权安全作为主要目的，以维护政权安全为核心追求的一种国家安全观。但是随着冷战结束后、全球化的热潮来临，国际间的暴力战争不断减少，取而代之的是气候安全、石油危机、生态环境破坏等等以往未出现或者是出现但并不突出的安全问题，上述这些问题逐渐成为主要矛盾。伴随着这些新型安全问题的出现，逐渐形成了以国家间合作共赢为主要方式的研究、解决这些问题的非传统国家安全观[6]。

跨境数据流动的问题也是在新时代下威胁国家安全的一项非传统的国家安全问题，针对此问题，现在世界主要的几种针对数据跨境流动的規则模式都各有重心，比如，以美国为代表的注重数据商业价值，促进数据流动，不过多干预的自由模式;以欧盟为代表的“充分保护”为原则的数据流动规则;以我国为代表的以国家数据安全为中心的数据规则体系建构。

聚焦当下，中国古代立法思想内核以保障社会秩序为特征，阶级概念明晰的立法理念也延续到了中国近代的立法当中，使得中国法律传统表现出稳定的延续性[7]。从而，相较于欧盟与美国对于数据跨境流动保护的措施和立法而言，中国立法的天平应当倒向国家安全一边[8]，也正是将国家安全作为基本前提，才能更好地保障个人利益和自由的实现。

数据跨境流动从某种意义上来说其实也就是一场交易，只是交易的对象与一般的交易略显不同——数据。那么，既然是一种交易的形式，就需要具体的规则对其进行规制，才能使交易行为处于一个稳定的结构秩序之中。但同样，交易作为一种民事相关法律常有的行为，更多的是追求一种意思自治，对应在法的基本价值之中，也就是自由价值。然而，自由与秩序本就是一组矛盾。正如卢梭指出“人生而自由，但却无往不在枷锁之中”[9]，此句经典的描述也深刻点出了自由与秩序的冲突。看似矛盾的叙述——既然人生而自由，却为何仍然无时无刻在一个充满枷锁的社会之中生存，作者认为，自由就像是一把人生而就拥有的利刃，它保护着每个人免受非法的束缚和奴役，但如果滥用会伤害到个体之外的其他人或者是群体，而代表着秩序的法律和规则就像是基于个体在社会生存和促进社会发展而被赋予的盾，用来抵挡被非法使用的自由之矛。简言之，如果人人都可以为了自由无底线地做出任何行为，那么每个人都将不是自由的。

数据跨境流动问题作为一种新型的国家安全问题，制定完善相关的法律法规必是大势所趋，自由对于促进市场交易行为有着极大的作用，但是如果缺少了秩序，交易行为也是无法顺利进行的;如果过度地强调了秩序的建立那么必然会对交易产生阻碍，只有符合客观规律和现实需要的规则才能不仅对于建立有序的市场秩序并且能够有效地促进数据流动交易，反之，则会形成更大的阻碍。那么，在制定法律的之时，平衡数据的自由使用、交易和建立起一套完备的法律法规对交易行为进行规制以求达到理想中的交易秩序应是立法中的一大问题。

综上所述，对于非传统国家问题的规制，立法者以求在立法时构建交易行为的有序结构是一项重要的价值追求，同时也是新时代立法者对于新领域、新问题的新举措，使得原来的过于自由的交易模式改变为有法可依、有规可循的状态，而且一项新的合理的秩序的建立也是有利于更好地实现自由交易和社会发展的保障。

如前文所述，数据的跨境流动本质上是一种交易行为，是传统商业模式的拓展形式，而且数据的收集和使用在生活、贸易、信用监管等方面都发挥着极为重要的作用。之所以现在数据的流动和处理如此的重要，是因为在当今的数据时代，智慧生活的方式背后是需要极为强大的数据支撑的，只有经过收集、存储足够庞大的数据库后，才能发挥大数据的作用，否则便失去了社会效用。

然而，随着海量的数据被国家、企业、个人收集，关于数据安全的事件频发，逐渐地出现了数据收集、处理者由于利益的驱使而侵犯个人权利的行为，在此情形下，现有的国家关于数据规制的法律仍然存在许多的漏洞，不能将数据处理者的行为完备地纳入监管之中，此时便很容易出现不合规、不合法的行为。再然，如前文所述，中国本就有着非常浓重的以家国为重的立法思想——将国家、社会等公共利益作为立法出发点。时至今日，该思想的核心仍然是当今立法的初心。换言之，在这种特殊的思想背景下，中国数据流动的规则体系自然应当区别于主张平等权利保护的欧美地区所建构的以保护个人利益为重的法律体系的建构，而是以国家等公共利益为首要考量来建构如今的规则体系。

除了立法传统思想不同之外，立法价值取向从个人利益转向公共利益也是国家主权的体现。“国家主权”概念最早由西方学者提出，随着内涵的不断丰富，现在可以将其定义为一个国家独立自主处理对内、对外事务的权利，表现为对内部事务的最高控制权和对外不受干涉的独立性，是一个国家不可或缺的特性之一。但“主权”是一个实践的过程并非一成不变的客观事实，它不仅随着时间的不同而变化，也会随着空间的不同而变化[10]，正如随着网络的发展，数字贸易突破了传统的商业模式，成为国家主权在数字空间的又一种表现形式。但由于数字贸易中，形式的突破性、虚拟性与主权的有界性和网络的开放性之间的矛盾，使得国家在此方面难以实现主权权利，甚至遭受到了主权威胁。

综上所述，为了对应数据主权遭受侵害的各种现实问题，在信息技术发展迅速的时代，促进经济发展、维护国家数据主权是数据跨境流动规则制定的目标所在。因此，在制定数据流动规则时，立法应当着重保护公共利益这个主要矛盾，同时兼顾经济发展和私人利益，保障国家数据安全，降低数据流动风险，在此前提下，充分发挥数据的社会效能和积极价值。

“个人信息与传统隐私的最大的不同点就是个人信息可以商品化”[11]，尤其是在新冠肺炎疫情的现实背景下，每一次行程码查询的背后都是个人数据在流动。也正是因为个人数据极具价值，容易受到侵犯，所以尽早对此进行规制极为必要。

1.建立完善我国特有的安全评估体系。新颁布现行的《中华人民共和国个人信息保护法》在总结《民法典》的立法不足的基础上，结合了 GDPR等比较法的经验，新规则以“告知+同意”为核心，制度明确指出，保证个人信息得到所有者充分“知情”且“同意”后才有权力被处理，即现行的个人信息保护规则转变为“告知-知情-同意”的模式。在个人数据跨境安全评估机制问题上，我国既没有采用欧盟的“充分性认定”也没有效仿美国奉行数据自由主义，而是采用安全评估的方式，对出境个人信息的评估原则、评估事项等做了详细规定，并且作者认为政府应通过政策支持鼓励企业积极参与数据安全评估当中，由国家监督并呼吁企业加入行业自律协会，充分发挥企业自身的主观能动性以此弥补政府监管滞后性的弊端。

2.确立域外保护效力，降低数据流动风险。国家对个人信息跨境利用的主要場景为执法过程中的跨境调取数据，我国采用不同的对待方式来应对调取他国数据和他国调取我国数据。立法应当博采众长，面对前者问题，我国可以吸收借鉴欧盟模式采用属地管辖，由此扩大我国对个人跨境数据管辖范围;面对后者情况，我国可在外国请求调取我国境内个人数据通过相关主管部门批准后，学习美国模式按照平等互惠原则来处理此种情形。除此之外，对于意欲窃取我国公民数据、危害我国国家安全的网络运营者或者组织，我国有必要对其设置数据跨境流动黑名单来保证在数字贸易中我国个人数据跨境的安全。

在经济贸易方面，在数据跨境流动规制作为事关主导未来全球经贸格局的时代背景下，建立统一的全球数字化贸易治理框架成为了当下各国的重要议题。聚焦我国的企业数据的保护规制，作者认为企业数据的“走出去”和“引进来”都需要建立完善国内外双向的制度作保障。

1.培养企业合规意识，增强企业国际竞争力。“走出去”的本土跨国企业要立足于全球市场，首先必须遵守全球市场的经济规律，合规经营，因此合规意识既是企业“走出去向上发展”的基本前提，也是衡量一个国家数据保护水平的重要参数。而阻碍我国企业跨国发展最大的障碍就是合规问题，例如企业拥有在经营管理活动中作为个人信息处理者的法律地位[12]，在没有征得数据所有者同意前，在日常经营活动中有意或无意地违法收集和使用个人信息等行为不仅规避了企业的责任，违背了我国数据保护法律法规的规制目的，也在世界舞台中为我国的企业形象造成了负面影响，严重地影响了我国企业真正地融入世界经济。

2.强化企业风险意识，理解把握区域规则。当下，全球化的数字贸易既没有伴随区域性数据流动保护的立法而实现普遍协调，也没有完全实现真正的数据保护，现实中依旧且经常出现造成经济损害的风险。因此，企业在参与国际间贸易时需要敏锐地观察不同地区法律法规的差异，密切关注并顺应在不同司法行政区域的监管要求的变化，尤其是跨国企业要及时关注国外数据监管战略目标背后隐藏的地缘政治目的，尽量避免出现因在国内经营形成的商业习惯而对外国法律规定理解出现差异和懈怠。

3.确保企业数据立法接轨国际水平标准，在国际公认的数据安全立法框架内加强数据传输的程序合规性，建立健全跨境数据监管机制。“一带一路”倡议的优势能够促使我们直接与主要的沿线国家对话，从而签署高水平的双边协议，增强我国在该地区的话语权，从而实现逐步向高标准的协议靠拢。统一立法标准，建立公开、透明、可操作的跨境数据流动监管体系同时也要紧跟时事，在国际中承担更大责任，从规则的顺应者转变为规则的制定者，尽快在国际规则的顶层设计上建立符合我国利益的企业数据跨境流动规则。

习近平主席提出的“总体国家安全观”要求决策者要从根本上建立一个集政治、经济、文化、网络等十六位于一体的国家安全体系。 “在信息化时代，数据的处理能力可以在某种程度上影响一个国家的政治、经济发展程度，甚至于影响一个国家政治力量”[13]。例如在当下爆发的俄乌局势中，以美国为首的西方国家在封锁并占领了舆论高地的情况下，大肆进行信息战，而在这场舆论局势中，除中国以外，没有任何一个国家提前设置网络墙来应对网络上纷飞的垃圾数据，以至于只有极少数人能够做到清醒地甄别数据。因此必须坚持数据安全流动为先，在数据安全的基础上才能更好地实现数据自由流动。

1.完善细化数据流动模型和监管方式，提高规则适用针对性。数据流动模型可以细化为禁止离境的数据和可自由流动的数据等不同类型的数据;监管模式可以是行业评估和数据主管单位合意或者仅由行业本身等多种方式作出评估。由此可以根据不同类型的数据有针对性地进行监管。简言之，为了满足国家安全的需要和数字化经济平稳有序地发展，需要行业和国家因地制宜地对数据实际应用场景做出裁量，以维护国家利益为主导有针对性地制定监管方案。

2.培养企业自觉履行信息监管职责意识，加快建构完备的监管体系。公共数据作为国家数据的重要组成部分，其商业化开发必须极为慎重，否則其严重后果将直接导致境外势力威胁到我国国家安全。公共数据的开发和保护首先应该以管理联动性为基础，加强平台与平台间联动，统一公共数据分级分类的相关政策，使数据的采集标准化。

3.公开数据开放范围，完善数据共享流程。公开公共数据的开放范围，尤其是企业在利用公共数据时，要对其运用和留存的数据明确地进行开放，降低用户和社会的顾虑，同时各级单位部门也应当和企业积极联动，要求企业对于用到的公告数据共享给相关部门进行登记和留存，以便于管理部门对其进行云监管，避免企业违规利用公共数据进行不法行为和向境外势力泄露危及我国国家安全的国家数据。

综上所述，我国作为一个流量数据大国，立法追求博采众长的同时紧跟时代步伐，在经济全球化和通信技术高度融合的条件下，既要有欧洲“人权至上”对数据流动的高度严苛管理，又要融会贯通美式的行业自律和自由流动的模式核心，走一条具有中国特色的数据跨境规制道路。

[1]Paul M. Schwartz，Karl-Nikolaus Peifer，Tra

nsatlantic Data Privacy Law[J].Georgetown Law Journal，2017，106（01）：115-179.

[2]《欧洲人权公约》（The European Convention for the Protection of Human Rights and Fundamental Freedoms）.

[3]Bartosz M. Marcinkowski，Privacy Paradox（es）：in Search of a Transatlantic Data Protection Standard[J].Ohio State Law Journal，2013，74（06）：1167-1193.

[4]王远志.我国银行金融数据跨境流动的法律规制[J].金融监管研究，2020（01）：51-65.

[5]David Baldwin，The Concept of Security[J].Review of International Studies，1997，23（01）：5-26.

[6]刘跃进.安全领域“传统”“非传统”相关概念与理论辨析[J].学术论坛，2021，44（01）：27-48.

[7]赵刘洋.从‘对立’到‘共生’：西方学术界的中国法律传统研究述论[J].东岳论丛，2017，38（02）：112-120.

[8]瞿同祖.《中国法律与中国社会》导论[M].中华书局，2003：375-376.

[9]让·雅克·卢梭.社会契约论[M].何兆武，译.北京：商务印书馆，2003：4.

[10]刘凯.论全球化时代提出国家主权自主有限让渡范式的研究价值[J].国际关系学院学报，2008（04）：14-18+58.