刘明奎

一、问题的提出

大数据时代，数据已经成为新的生产要素和国家基础性战略资源[1]。数据中隐含着个人隐私、社会秩序等人与社会的基因和密码，同时还隐藏着国家秘密，关涉个人隐私、社会秩序和国家安全。然而，数字经济的全球扩张和深度发展促使数据跨境流动成为国际经贸的常态[2]。数据的跨境流动成为各国不得不面对的重要问题。

当前，我国对数据跨境流动的研究，一方面强调发挥数据跨境流动的经济效能，另一方面又顾及数据安全。如许可[3]、许多奇[4]、冯洁菡[5]、吴玄[6]、张金平[7]等。也不乏将当前国际数据治理难题归结为数据主权存在，希望学习美国等国家的数据治理制度，倡导数据跨境自由流动促进经济发展，如孙南翔[8]张晓君[9]等。整体而言，我国的数据跨境流动研究均建立在保障国家安全、社会秩序和保护个人隐私的基础上。研究的方向颇值得肯定，但并未实际把握各国在数据跨境流动问题上的真实战略意图，也忽视了数据作为现代社会记录复刻世界最为重要的方式的性质属性。虽然在结论上与我国刚出台的《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)基本一致，但是在实质上貌合神离。

如何看待各国在数据跨境流动这一问题上的选择？中国在错综复杂的数据跨境流动政策背景下如何因应？本文尝试从四个部分进行解答：第一部分，主要讨论在面对数据跨境流动这一议题时，各国的制度选择；第二部分，对各国的数据跨境流动选择进行分析解剖，指出根据各国自身情况制定数据跨境政策是各国选择的共同逻辑，对数据宽进严出，试图占有更多他国数据，减少本国数据流出是各国共同的目的；第三部分，主要讨论数据本身所具备的性质属性，指出大数据时代，数据的累积效应、结合效应以及未来技术和算法的进步使得任何跨境流出的数据都有可能成为国家安全、社会秩序和个人隐私的重大隐患；第四部分，主要探讨大数据时代中国如何稳慎地因应数据跨境流动这一问题。

二、纷繁表象：各国数据跨境流动的规制体系

数据跨境流动并不是一个新生的问题，在人类未进入信息化时代之前，各国之间信息(1)在数字化时代，数据是信息承载的载体，信息是数据反映的内容，二者是形质关系，但在一般意义上二者能够相互指代，因此本文对数据和信息不做区分。通过传统媒介进行的传递，均属于数据的跨境流动。但是因为其数量太小，所能造成的影响十分微小，并未引起重视。大数据时代，数据被赋予了极为宽泛的含义，我国《数据安全法》规定：本法所称数据，是指任何以电子或者其他方式对信息的记录。易言之，凡是被记载的，均是数据。在移动网络、新媒体等新刻录世界方式的加持下，数据聚集产生海量数据，这些数据包含国家秘密、个人隐私。所以，各国不得不认真对待数据跨境流动问题。当今世界，各国的数据跨境流动政策不一，比较有代表性的有：美国的数据跨境自由流动模式、欧盟的内外有别的数据跨境流动模式和俄罗斯的严格数据跨境流动监管模式。

(一)美国的数据跨境流动自由模式

得益于数据自由流动给美国经济带来的巨大利益，美国历来向全球推广其数据跨境流动的自由模式。所谓数据跨境自由流动(free flow of data)是指数据的跨境流动不存在任何法律和现实的障碍[6]。根据美国国际贸易委员会(ITC) 估计，数据流动使得美国的GDP增加了3.4-4.8 个百分点，创造了240 万个就业[10]1。美国主要通过国内立法、借助国际组织、签订双边多边协议等方式推行自己的数据跨境流动自由模式。

在国内立法层面，美国采取较为分散的立法模式、宽松法律责任追究方式等形式为数据自由流动创造良好的法治环境。美国关于数据流动的立法散见于《隐私法》《电子通信隐私法》《公平信用报告法》《金融服务现代化法案》《在线通讯政策法》等多部法律。州立法中，被认为是对隐私权保护最严格的《加州消费者隐私法》也未对数据跨境流动做出明确限制。美国还通过其影响力向全球推广由其政府制定的“法律”。如1997年克林顿政府制定的《全球电子商务框架》就确立了数据跨境流动的全球准则；2016年，奥巴马政府制定的《两党贸易优先权和责任法》同样强调了数据跨境流动的美国模式，并赋予政府推广美国模式的义务。在责任追究方式上，美国法律采取问责制方法追究造成损害后果的相关方责任。美国最大限度降低数据流动的障碍，维护产业竞争优势，确保美国在数字经济和信息通信领域的领导地位。

美国还借助国际性组织推广其数据跨境自由行动模式。1980年，由美国主导的经济合作与发展组织(OECD)就在《关于保护隐私与个人信息跨境流动指南》中要求会员国努力消除和避免以隐私保护为名的对个人信息跨境流动设定障碍，以达到OECD成员国不增加对数据跨境流动的限制，并倡导这些国家采取和美国相同的数据跨境流动政策。2000年代，美国通过对亚洲太平洋经济合作组织(APEC)的影响，使后者通过“隐私框架协议”，贯彻美国数据跨境自由流动的思想。2013年，OECD的《跨境隐私规则体系》获得通过，由美国支持和倡导的CBPRs 虽是数据隐私保护倡议，但也是确保数据跨境自由流动的倡议。同时期，美国通过对世界贸易组织(WTO)的影响，使WTO的义务、规则、原则和承诺适用于服务贸易和跨境数据流动，确保政府不采取措施妨碍货物和服务数字贸易、限制跨境数据流动或要求数据在本地存储或处理。2015年以后，美国主要通过《跨太平洋战略经济伙伴关系协定》(TPP)组织、《全面与进步跨太平洋伙伴关系协定》(CPTPP)组织等国际性组织的协议推销自己数据跨境流动的价值观和规则。

美国还通过与其他国家签订双边或多边协议的方式来推广其数据跨境自由流动的规则。尽管在网络治理上，美国一直推行多利益攸关方治理模式，极力削弱现实国家主权在网络治理中的地位和作用，但是在不得不面对现实时，美国则通过双边或多边协议等在首先承认和尊重国家主权的原则下推行其数据治理的价值和规则。基于欧盟对个人隐私保护的政策力度严重阻碍了美国与欧盟之间的数据自由流动，经过长期的谈判，美国与欧盟磋商制定的“安全港框架”协议于2000年获得批准，据此协议，获得欧盟认可的美国企业在欧盟从事数据传输活动不再需要获得事先批准。但是，该协议于2015年被欧盟法院废除。其后，美国为了达成相同的目的，又与欧盟协商于2016年签订“隐私盾框架”协议，但该协议以相同的理由被欧盟法院于2020年废除。不光与欧盟之间不断产生双边协议，美国还与韩国、加拿大、墨西哥等国家签订双边或多边协议。2012年，美国与韩国达成《美韩自由贸易协定》，第一次在自由贸易协定中引入跨境数据流动规则。2018年，美国与墨西哥、加拿大签订《美墨加协定》(USMCA)，在数据跨境流动问题上，继续推行美国的价值和战略。

(二)欧盟内外有别的数据跨境流动模式

欧盟的数据跨境流动政策与个人隐私保护紧密联系在一起，在价值观上，其高扬个人隐私保护大旗；在方法论上，其采取内外有别的数据跨境流动策略。

欧盟历来强调个人数据的保护，欧盟认为，个人数据作为个人在网络上的留痕，拥有极强的人身属性。所以，个人对自身在网络上的数据权是主体对隐私权专属关系。个人数据和信息保护是隐私权的自然延伸。1995年，欧盟通过的《欧盟个人数据保护指令》对个人数据跨境流动做出了严格的限制。2018年通过的《通用数据保护条例》(GDPR)被认为是个人数据保护的典范，是针对个人数据出境最普遍、最严格的管控制度之一[4]。

欧盟的数据出境管控是指对欧盟成员国的数据流向欧盟以外国家的控制。在欧盟内部，反而倡导数据“跨境”流动自由主义。例如1995年的《欧盟个人数据保护指令》禁止成员国借助数据保护、个人隐私保护之名限制数据在欧盟内部自由流动。同时，禁止个人数据超越欧盟的法域范围流向未被欧盟认可的国家或地区。GDPR基本延续了《欧盟个人数据保护指令》的政策和精神，旨在加强对欧盟境内各成员国公民个人数据的保护，统一欧盟境内数据流动规则，促进实现统一的欧盟数字市场，确保欧盟对其数据享有独立自主开发、管理和处置的权利，通过高标准的数据保护引导全球重建数据保护规则[11]。GDPR对内限制成员国数据跨境监管，倡导成员国之间的个人数据自由流动；对外建立白名单制度，只有那些被欧盟认可具有个人数据保护能力的国家和地区，才有资格接受欧盟的个人数据跨境流入。目前欧盟建立的白名单有12个国家，但加拿大属有保留的认可，对其数据输入仍存在各种限制。而美国的白名单资格则因为“隐私盾框架”协议在2020年被欧盟法院废止而丧失。

欧盟与美国因数据跨境流动和个人隐私保护的问题，因价值理念的大相径庭，而经济发展又促使美国主导与欧盟展开一轮又一轮的谈判。被废止的“安全港框架”协议和“隐私盾框架”协议既是美国数据跨境流动自由模式为促进本国经济发展的努力，也是欧盟在保护个人隐私的基础上寻求与美国进一步合作的尝试。

(三)俄罗斯严格的数据跨境流动监管模式

数据跨境流动监管是指对数据跨境的流入流出进行审查、监督、控制。数据跨境流动监管模式也是被各国大量采用的模式之一。其中较为典型和彻底的代表是俄罗斯。在传统上，俄罗斯对网络采取自由放任的治理之策。2013年之前，历任俄罗斯总统的普京、梅德韦杰夫都在公开场合表露过，俄罗斯不会对互联网的发展过多干预。但是，2013年美国“棱镜计划”被斯诺登曝光以后，俄罗斯立刻改变了本国的互联网和数据战略。俄罗斯通过修订相关法律，确定了数据本地化存储战略。

2014年5月，俄罗斯通过《俄罗斯联邦〈关于信息、信息技术和信息保护法〉修正案及个别互联网信息交流规范的修正案》，要求境内的互联网信息传播者限期对俄罗斯网民之间传递的各类信息进行保存。2014年7月，俄罗斯又通过《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》。《关于信息、信息技术和信息保护法》明确要求，数据控制者要对在俄罗斯境内收集的公民个人信息实施本地化存储。新修订的《俄罗斯联邦个人数据法》要求收集个人数据时，需要保证使用位于俄罗斯境内的数据库对俄罗斯公民的个人数据进行搜集、记录、整理、保存、核对(更新、变动)和提取。此外，本条还要求数据处理者在处理数据前，要告知数据保护机关包含俄罗斯公民个人数据的数据库所在地的信息[12]。

俄罗斯两次紧锣密鼓地修法，促成了俄罗斯数据跨境流动战略转变，两次修法确立了俄罗斯境内的数据本地化存储原则，同时也增加了俄罗斯境内互联网业务经营者的义务。数据本地化存储的直接目的就是对数据跨境流动的管控。对本地化存储的数据需要进行跨境流动的，无论是通过互联网络还是通过物理载体转移等方式进行出境的，都需要接受俄罗斯相关方面的核检。这与美国数据跨境流动的自由主义形成了鲜明的对比，其代表了当今世界对待数据跨境的一种担心和顾虑，成为数据跨境流动政策的另一极。

三、事物本质：各国数据跨境流动政策的内在逻辑

作为互联网大国，美国在规制跨境数据流动方面从一开始就确立了重数据自由流动而轻政府监管的路径。而与美国形成鲜明对比的是，当前大多数国家都对数据的跨境流动进行了规制。截至2017年，全球64个主要经济体，对数据跨境流动加以限制的国家已近 90%[13]2。各国对数据跨境流动进行规制的理由主要有三个：国家安全、社会秩序和个人隐私。实际上，在这些理由背后还隐藏着其他逻辑。

(一)各国在全球数字经济产业中的地位

不同国家对数据跨境流动规制模式差异较大的原因在于立法目标的选择。目标选择的背后原因又取决于本国数字产业的发展和竞争实力。并不是每个国家都能利用数据这种新时代的“石油”促进本国的经济增长。

当前引领全球数字经济的主要国家是美国和中国，在全球20大互联网企业中，美国占有11个，中国占有9个。国际互联网企业不仅是数据的生产者、收集者更是数据的主要利用者，数据促进经济增长主要由大型互联网企业来完成。与中美相比，欧盟的数字经济发展远远滞后，大型互联网企业在欧盟攻城略地时，欧盟基本上成为“数据输出国”。数据的“跨境流动”并没有促进欧盟的经济发展，反而损害了本国数字产业。与欧盟情况相似的国家还有俄罗斯、印度等国，这些国家一方面整体国家实力欠缺，另一方面数字产业远远落后于发达国家，在互联网跨国企业业务输出的背景下，沦为数据的生产国和流出国，而不是数据的利用国。因为自由竞争，这些国家的数字经济在外国企业的强势介入下会萎靡不振。印度和印尼等发展中国家在 G20峰会表示，跨境数据流动严重阻碍发展中国家从数据贸易中获利，希望保留对跨境数据流动进行限制的政策空间，可以通过数据本地化存储促进本国数字产业发展[14]。

基于保护本国相关产业和发展数字经济的双重考虑，欧盟采取了内外有别的数据流动策略。对内，欧盟主张数据自由流动，禁止成员国以各种借口进行数据本地化[15]，促进经济发展。对外，欧盟将数据出境严格管控隐藏在个人隐私保护的道义大旗下，通过占据人权保护的道义制高点，以强化个人信息保护为由，打压以谷歌为首的美国互联网企业，以此振兴欧盟互联网产业[6]。俄罗斯的数据本地化策略也隐含着本国数字产业发展的考量。

美国之所以在国际社会推行数据跨境流动的自由模式，最为重要的原因是美国的相关产业引领着世界发展，数据的自由流动为美国经济的发展贡献了重要力量。同时，因为美国的互联网先发优势，使其无论在硬件上还是在软件、技术上都远远先进于其他国家，其拥有足够的技术手段来防止本国在数据自由流动中陷于被动的境地。2018 年，亚马逊、微软、谷歌、IBM 等 4 家美国企业占全球公共云服务市场份额近70%，掌握对全球数据的巨大控制权，这是其提倡数据自由流动的根本原因[14]。但是，一旦有国家在互联网产业和互联网技术上对其构成威胁时，美国会毫不犹豫地放弃数据跨境流动自由主义，采取凌厉的制裁措施，以保护本国数据，严防数据外流。2020年，中国的微信、Tik Tok、支付宝软件遭到美国总统签署命令禁止就是美国双标和保护本国数据的极端证明。

(二)价值观推广和规则制定权的争夺

美国和欧盟各自采取不同的数据跨境流动规制模式，一方面应和了本国一贯传承的价值观，另一方面通过价值观的推广，在国际规则制定过程中争夺话语权。

以美国为例，自由主义一直是美国的主流意识形态。在互联网领域，美国一直推广产生于其本国的网络自由主义，宣称互联网是区别于现实世界的“全球公域”，在互联网领域没有国家主权，互联网的治理要采取技术治理主义，由国家、企业、技术团体等利益攸关方共同治理[16]。数据治理是互联网治理的自然延伸，在相关问题上，继续秉持自由主义观念。在数据跨境流动问题上，美国一直是数据跨境自由流动的积极推动者。这一方面出于经济发展的考量，另一方面也积极配合了美国主流意识形态的输出和价值观的推广。由美国主导的涉及数据跨境流动的多个双边或多边协议，如TPP、USMCA都被成功地贯彻了美国的数据价值理念，成为有利于美国的数据跨境流动规则。

欧盟的数据跨境流动政策与美国形成鲜明对比。欧洲注重人权保障与欧陆绵延持久的近代资产阶级革命形成的传统相关。隐私权一向被认为是最基本的人权之一，在欧洲对隐私权的保护极其严格[17]。互联网在美国被创造以来，因为电子记载信息的便捷性、可复制性、不易消灭性，以及电子信息的快速传播性给个人隐私的保护带来极大的挑战。所以，在互联网领域，欧盟采取了更为严格的隐私保护措施。在数据的跨境流动问题上，欧盟的保护堪称之最。在坚持规则底线的同时，欧盟也向外部输出价值观。GDPR已经影响了阿尔巴尼亚甚至俄罗斯联邦等国相关法律的制定。GDPR的“白名单”制度通过认定外国企业符合欧盟个人保护资质而允许其与欧盟进行数字贸易，促使这些企业接受欧盟标准和欧盟价值理念，从而将欧盟的影响力进一步扩大。这些影响能够增加其在国际性规则制定方面的话语权。

在欧盟与美国因数据跨境流动而展开的数次谈判中，欧盟一直占据主动权。谈判均由美方发起，谈判成果被固定在《安全港框架协议》与《隐私盾框架协议》中。但是，因为美国达不到欧盟要求的对个人数据的保护标准，欧盟法院依次宣布废除了这两个协议。《安全港框架协议》《隐私盾框架协议》既是“两国”价值观的碰撞，也是两国为争夺规则制定主动权的努力。

(三)“多取少予”的国家数据战略

以往的研究很少对数据跨境流动进行类型区分。以数据流动的方向划分，数据跨境流动可分为数据跨境流入和数据跨境流出，这种区分是深刻把握各国数据跨境流动模式实质和理解各国相关政策的命门。

概而言之，各国都担心自己的数据流出国界之外，但同时又希望获得更多的他国数据。这可以被称为“多取少予”的国家数据战略。各国的数据战略的基石逻辑无外有三个：首先，都认识到数据是新时代的“石油”，是现实或潜在的财富；其次，都明白数据财富的实质是相对于数据跨境流入国而言的，对于数据流出国而言，无异于财富的丧失；最后，都有一个共同的顾虑：不能预知本国数据流失的全部后果。

以美国为例，与其他重大问题上的双重标准一样，美国在这一问题上仍然采取了一贯的双重标准，表里不一[18]。在数据的“多取”方面，美国采取国内立法、利用国际性组织、签订双边多边协议等方式，诱导相关国家自愿向美国输出数据。除此之外，美国还在2018年2月通过了《澄清域外合法使用数据法案》(《云法案》Cloud Act)，赋予美国政府境外提取数据的合法性，不管数据存储国是否同意。将物理国境延伸至技术国境，是谓“长臂管辖”。在数据的“少予”方面，美国对本国数据跨境流出采取了严格的标准。以刑事司法网络证据的境外调取为例，美国在“形式上”赋予适格外国政府与其同样的境外数据调取权力。但是，又通过人为设置的诸多限制性条件，间接排除了这些权力。美国要求外国政府与其签订协议，前提是: 第一，外国政府签署 《网络犯罪公约》并批准生效，且与《网络犯罪公约》第一、二章有相同的国内立法；第二，美国需要进一步对外国政府的国内立法进行考量，包括是否保障被告人公平审判权利，禁止任意的逮捕与羁押；在数据收集中对隐私与公民自由的实体与程序保障；是否承诺保障全球的信息流动自由等大量的主观评估要素，对适格外国政府的资格作出严格的限制[19]。在其他数据向境外流动问题上，美国还以国家安全为由对特定数据提出限制出境或严格审查要求，如包括电信业务和信息业务、数据中心、卫星或卫星系统、工业控制系统数据等在内的关键基础设施数据，新兴和关键技术数据，包括非公通信数据、地理位置数据、生物识别数据以及基因序列数据等在内的敏感个人数据均被纳入管控中[14][19]。当美国认为其面临数据泄露的风险时，会毫不犹豫地采取断然措施。

在新一轮的数字经济发展中，欧盟已经远远被美国和中国抛在了后面。为了扭转不利局面，欧盟采取以人权保护为原则、法律扩张适用、推动市场选择的方式来影响个人信息跨境国际规则。在数据跨境流动的世界形势下，欧盟采取明显的“守势”，尽可能使自己的数据较少地流出。但是，这并不代表欧盟不想“多取”。2018年实施的GDPR第3条规定，GDPR的适用范围不论数据运营实体是否在欧盟境内，不论数据主体是否欧盟公民，不论数据处理行为是否发生在欧盟境内。这一条被认为是欧盟版的长臂管辖，其暴露了欧盟对数据“多取”的欲望和决心。

俄罗斯、印度等发展中国家，同样因为在数字产业化进程中未占得先机，本国数字产业落后，如果奉行数据跨境流动的自由主义，就会成为纯粹的“数据输出国”，导致海量的数据流失，有可能威胁本国的国家安全、社会秩序和个人隐私。因此，这些国家最终以数据主权和数据民族主义的借口对数据的跨境流动采取保守的本地化政策，以防止过量数据流失。

四、潜在风险：大数据时代数据跨境流出的隐忧

传统研究数据跨境流动，主要把观点集中在数据跨境流动的经济效能上，并且把数据的价值锁定在数据的自由流动之上。然而，这种研究是概略的，并未区分数据流出国和数据流入国。数据跨境流动促进经济增长是相对于数据流入国而言还是数据流出国而言，抑或整体而言，语焉不详。数据的生产力在于解读分析，依据解读分析的结果相应施策，能够提高经济效益。就此而言，数据流出国在数据跨境流动活动中，仅仅是失去了大量的数据资源而无所得，何谈促进经济增长？即使是在流入国的主导下，被动地促进了经济增长，但是，这种被动的经济增长是否值得？能否改变和替代？而现实中，数据流出国的国家安全、社会秩序、个人隐私等重大法益都要面临巨大的风险。

(一)数据的累积效应带来潜在风险

数据并非信息化的产物。然而，人类进入信息时代之后，因为承载信息工具的革命性变更，导致人类社会对现实世界的复刻和传输能力突飞猛进。这种技术的进步，足以颠覆人类在信息化时代之前因为数据缺乏而导致的认知禁锢陷阱。数据的大量积累、叠加必然会带来人类认知的极大拓展，旧有的数据与秘密观念已经不能适应大数据时代数据发展形势。

数据的累积效应是指，数据的不断积累导致原有的不能呈现现实世界的零散数据变为能够逐渐呈现现实世界的有用数据集合的现象。近现代以来，科学的发展无不是建立在实验、获得数据、反复验证数据的基础上。信息社会，大数据的积累为获得较为接近现实和科学的结论提供了基材支撑。在这样的基础上，只需要经过足够长的时间积累足够多的数据量，甚至不需要“管中窥豹”的研究就能够获得自己想要获得的结论。对数据跨境流出国而言，大量的数据外流，只需要经过一定数量的累积，就极有可能导致国家秘密、社会安全信息、个人隐私的泄露。

例如：个体的基因组测序已经应用于医疗、科研领域，个体的数据不可能危害国家安全，即使是少部分的个体基因组测序数据也不会危及国家安全，但大数据级别的基因组测序数据，就足以可能对国家安全、民族安全、种族安全甚至特殊对象安全造成严重危害[20]。个体、少量、大数据级别之间仅仅需要数据的累积就可以完成级别跃迁。

2008年美国H1N1流感的暴发被谷歌成功预测。谷歌多年来每天在全球收集30多亿条搜索指令。美国H1N1流感暴发前数周，谷歌工程师发现全美搜索出现了新状况，经过比对分析，锁定了45条检索词条的组合，通过建立数学模型分析后，预测了H1N1流感的暴发，甚至将具体的范围锁定在州一级行政单位。经事后比对预测准确率达97%[21]3。

我国《个人信息保护法》也注意到了凡是涉及个人信息的数据，只要数量达到一定级别都可能产生危害国家安全、社会秩序的结果。例如，销售记录反映出消费者的个人购买兴趣，医疗记录反映了患者的身体状况，银行记录透露了储户的财产信息，汇总这些信息就可以对国家的经济、政治、民生、国防进行分析[22]。

(二)数据的结合效应带来潜在风险

在前信息化时代，由于数据的欠缺和人们对数据欠缺现实的适应，被认为风马牛不相及的事物，彼此被隔离在人们的认知之外。然而，从更为广阔的视域来观察，作为风马牛不相及的各个事物，统统能够作为一个它们共同整体的部分，而具有千丝万缕的联系。如果没有发现这种联系，没有发现它们之间的规律，那是因为站的不够高，看的不够远。信息化时代之后，大数据的出现为事物之间的结合提供了更为广阔的认知和更为坚实的桥梁。

所谓数据的结合效应，是指通过不同事物之间大量的数据结合，发现客观真实和客观规律的现象。结合数据跨境流出的场景，数据的大量流出可能给流入国提供各个不同数据相互结合、相互补充、相互印证，发现数据流出国不欲对方发现的事实，从而威胁数据流出国国家安全、社会秩序和个人隐私。虽然孤立的非涉密大数据和垃圾大数据对国家安全看似不可能造成危害，但是一旦这些数据可以和其他大数据相融合，就极有可能变为宝贵的数据资源，发掘出有价值的重要信息。

美国军方曾经要求禁止过一款跑步类 APP，因该APP对外公布了用户的使用轨迹。美国军方认为，这可能会泄露美军在国内和海外的众多军事基地。将用户使用轨迹与美国官兵手机中语音通话、即时通讯、电子邮件、通讯录、定位信息、健康信息、消费信息、摄录设备获取的信息以及大量其他 APP 获取的信息相结合，就不难从中获取涉及美国国家秘密、军事秘密等关乎国家安全的敏感信息[20]。

再如：以住房空置率为例，单纯的人口普查信息一般推导不出住房空置率。但是如果结合海量的快递订单和水电运行数据，在某一区域甚至全国范围内得出准确的房屋空置率并非难事[23]。而较大区域的住房空置率，涉及国家的人口、经济、相关产业等重大敏感信息。

(三)算法和技术的进步带来潜在风险

大数据时代，数据本身具有易生成性、易传播性、不易消失性等特性。各种生产生活设备随时复刻现实生成海量数据，此所谓数据的易生成性；借助移动互联网络、云技术等现代信息传播技术，数据可以光速向社会各个角落传输，可以无限复制，此所谓数据的易传播性；数据是信息的载体，承载数据的是现代数据记录、承载设备，与传统信息载体相比，其具有体积小、承载信息量大、易于复制等特点，这就注定了数据的不易消失性。

然而，现代信息技术刻录现实世界的无选择性和数据利用技术、算法的滞后性，导致当下记录的大量的数据的无意识性，看似无用。有研究者认为数据的有用性是极其短暂的[3]。这种观点值得商榷。正是由于数据的易生成性、易传播性、不易消失性，注定了数据积累为大数据以至海量数据，通过不断的累积，不断与其他数据结合，必然能够发现客观现实和规律。进入信息化时代之后，关于数据处理的技术和算法突飞猛进，大量的现在看来毫无用处的垃圾数据，在将来极有可能成为富含信息和价值的“富矿”和宝贝。

技术不断进步，随时可能打破现有技术的空间限制。20世纪前中期，虽然世界还未进入信息时代，还没有大数据的概念，但是依然可以通过对零散数据深入分析，得到极具价值的信息。较为著名的案例有两例：一例是日本通过公开发表的大庆油田铁人王进喜的照片，得出了大庆油田较为准确的地理位置及产油量，在对中国的后续贸易中占得了先机；另一例是沃尔玛超市通过对商品销售额及购物小票内容的分析，将婴儿尿布和啤酒放在一起销售，使销售额大增的故事[24]。

要从大数据技术发展的长远眼光和大数据相互融合的现实背景出发，判断大数据未来可能被使用的各种方式，而不能局限于眼前的价值。当前价值不大的大数据或者所谓“垃圾大数据”，在未来有可能具有重大价值，随着大数据分析能力的提升，极有可能从中提取到关乎国家安全的重要信息。更为现实的是，过去收集到足以危害国家安全的数据或者通过这些数据分析出危害国家安全的信息不现实，但随着大数据技术的发展，目前已具有可能性，并且随着技术和算法不断进步，这种可能性会越来越大。

五、建立稳慎灵活的中国数据跨境流动制度

数据的跨境流入与流出确实给数据流入国和流出国带来完全不同的影响。对于数据流入国而言，获得了巨量的他国数据资源，可以以此进行分析计算，并以分析计算结果为依据制定相应的经济政策、商业政策，有的放矢，有效促进经济发展；还可以掌握他国不欲泄露的敏感信息等等，在数据跨境流动过程中，完全占据主动。对于数据流出国而言，情况则截然相反，无论是经济发展还是国家安全、社会秩序保护、个人隐私保护等均陷于被动。这也是当今世界各国严守本国数据跨境流出，而欲多得他国数据的根本原因。因此，中国的数据跨境流动政策既要高扬数据促进经济发展的国际主旋律，又要灵活施策，严防大量的数据流出，还要斩断他国无视物理国界的跨国数据“长臂管辖”制度。

(一)积极倡导数据跨境流动，加快推动数字技术进步

已有研究证明，数据的跨境流动能够推动经济发展，数据的跨境流出国与流入国之间经济发展水平差距越大，数据跨境流动促进经济发展的效率就越高[25]。在数字产业化进程中，我国占据了先机，成为了仅次于美国的数据强国。因此，对外倡导积极自由的数据跨境流动政策符合我国的国家利益，能够促进我国数字经济的进一步繁荣。在数据安全的前提下，我国应在国际社会积极倡导数据跨境流动。在对等互惠的基础上，与其他国家签订双边条约或多边条约，促进数据的跨境流动。借鉴美国经验，积极推动区域数据跨境流动体系的形成和建立。还可以借鉴欧盟数字保护制度，建立中国的“白名单”制度，对于符合我国要求的数据保护国家和企业列入“白名单”，给予其相对宽松的数据出境政策。

积极倡导数据跨境流动的前提和基础是数据安全。数据安全并不能仅仅依靠法律纸面上的规定，还必须有保护我国数据安全的技术和实力。在全球竞争的背景下，数字技术能力决定着各国在数字经济中的竞争力。数据保护本质上是一种技术议题。2013年，“棱镜门”事件给世界敲响了警钟，美国之所以敢光明正大地在规则层面向全世界推广自己的自由主义价值观念，暗地里又以窃听等手段对全世界进行监控，依靠的正是全世界最领先的网络设施和网络技术。因此，我国的数据安全不能仅限于法律层面的规定，还必须拥有能够保护我国数据安全的技术和能力，能有效应对各式各样的网络攻击，能斩断他国强制蛮横的“长臂管辖”。这就要求我国要加快推动数字技术的进步，摆脱对以美国为首的西方世界的技术依赖。于此而言，道阻且长，(2)在数字技术的硬件基础设施方面，中国严重依赖西方，支撑互联网运行的全球13个根服务器，1个主根服务器和9个辅根服务器在美国，另外3个辅根服务器，2个在欧洲，1个在日本。参见沈逸：《全球网络空间治理原则之争与中国的战略选择》，载《外交评论》2015年第2期。需要我国投入更多的资源，制定更为切实的数字技术发展制度，彻底摆脱对他国的技术依赖。

(二)推广主张中国数据价值观，积极主导国际规制的制定

价值观是国家的核心竞争力之一。欧美在数据跨境流动问题上，秉承了一贯的价值主张，这是其能够在尚无统一确定规则的全球数据跨境流动现实中拥有诸多同盟的重要原因之一。特别是欧盟，高扬人权大旗，坚持个人隐私保护，使其在国际规则的竞争中占得先机。其对个人隐私保护的价值观念和规则广受赞誉和认可。秉承一贯的价值主张也是美国能够在全世界范围内推广其数据跨境流动自由模式的原因之一。与政治上的自由主义一脉相承，美国对网络的治理和数据跨境流动都采取了自由主义，这是其对外推销价值观的一贯做法，也是其政治意识形态向网络领域延伸的必然结果。但不管怎样，长久的一贯坚持是其能够站稳脚跟并为他方接受的优势之一。

我国一向主张主权至上的国际政治理念，在数据问题上，我国仍然坚持数据主权原则，数据的跨境流动需要接受国家的监管。我国秉持的这套价值理念也拥有广泛的国际市场。在2020年签订的《区域全面经济伙伴关系协定》(RCEP)中关于数据跨境流动问题就采取了数据主权的多边主义模式。但是，我国与欧盟、美国相比，在价值观的推广和国际规则的制定方面还相对较为落后。未来我国应积极宣扬数据主权观念，利用欧盟和美国还未影响到的国家和地区，积极在这些地区推广价值观，积极与这些国家和地区签订双边多边协定，推广数据跨境流动的中国模式。并以此为基础，不断扩大我国主张的价值观的影响，争取在未来全球数据跨境流动规则的制定中增加话语权，增加谈判筹码，维护中国的数据利益。

(三)严格落实数据分类分级保护制度

我国业已实施的《数据安全法》第二十一条明确国家建立数据分类分级保护制度，对数据实行分类分级保护。但关于数据的分类分级保护具体细则尚未出台。目前已经实施的由国务院出台的《关键信息基础设施安全保护条例》对《网络安全法》和《数据安全法》《个人信息保护法》强调的关键信息基础设施均进行了界定。但是，仅仅对关键信息基础设施所产生的数据进行保护远远不能达到数据保护的目的。在关键基础设施产生的数据之外，尚存有海量的非关键信息基础设施产生的数据，这些数据同样有“轻重缓急”之分，同样需要进行细致的分类分级。笔者认为，对这些数据，应当以数据源的不同进行分类，以数据的重要性为根据对业已进行分类的数据进行分级，确定较为重要的为保密级，一般数据为可自由流动级别。同时不应忽略数据的累积效应，对达到一定规模的数据集进行特别规制。这一点，《个人信息保护法》对个人信息的数量达到一定规模后已经特殊规范。但还不能仅止于此，任何数据的规模达到一定的数量均需要特殊规制，需要事先评估之后才能出境。

(四)建立非敏感数据出境安全审查备案制度

实际上，将数据分类分级还只是建立在数据的传统观念基础之上，但是当下因为人类跨入大数据时代的时间不多，对数据的累积效应结合效应以及技术和算法进步带来数据的充分利用尚未有充分的认识。在这种背景下，一方面要努力促进经济发展，一方面要重视家、社会安全以及个人隐私保护等诸多问题，所以采取将数据分类分级保护的折中策略。但这并不是否定数据本身所具有的属性和技术进步可能带来的数据的充分开发。因此，稳慎起见，仍需要对那些传统认为没有特殊意义和价值的数据进行兜底性保护。这些非敏感数据包括少量的个人信息、交易记录、公共信息甚至是政务数据等。实践证明，当前施行的数据跨境流出前由企业自己审查的做法非常不可靠。2021年6月30日，国内知名打车APP“滴滴出行”在美国上市，7月2日被国家网络安全审查办公室紧急叫停新用户注册，启动网络安全审查[26]。这使人不得不产生联想[27]。除安全审查之外，还应建立数据出境的备案制度，不管数据的重要性程度，一律备案。建立出境数据备案库，根据出境数据的类别、数量、频次等综合信息对非敏感数据出境是否可能因为数据的累积、结合以及技术算法进步等因素造成泄露国家秘密、危害公共安全、侵犯个人隐私的结果进行安全评估。

在个人隐私的保护方面，《个人信息保护法》十分注重个人隐私的保护。但由于信息的关联性、数据的海量性、处理结果的不确定性等因素，某些特殊的个人信息或个人信息的集合在一定条件下可以转化为具有强主权属性的公共信息[6]。因此，《个人信息保护法》还需要数据跨境审查制度和备案制度方能起到对个人隐私的良好保护作用，以及对国家安全、社会秩序的保护作用。

(五)贯彻实施灵活的数据本地化政策

虽然我国《网络安全法》 第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。但是，根据国务院制定的《关键信息基础设施安全保护条例》，我国的关键信息基础设施范围极小。易言之，我国对海量的非关键信息基础设施产生的数据是不要求本地化存储。现实对这样的数据存储政策作出了否定性的回答，因为美国企业特斯拉生产的特斯拉牌电动汽车装有360°摄像头，在其运行期间，会不间断地将摄入信息转化为数据，存储至美国服务器。2021年，我国多地机关单位拒绝特斯拉汽车驶入[28]。在该事件发生后没多久，特斯拉官方微博即报告，其已在中国建立服务器，将数据存储在中国[29]。

就国内企业而言，经过较长时间的发展，我国的阿里巴巴、腾讯、百度等一批优秀的大型 IT 企业已经成长为世界级的大型跨国企业，这些企业不仅掌握了顶级技术也掌握了我国海量的资源和数据。但这些企业看似中国企业，其股权结构、注册地和上市地恰可能成为我国国家安全的软肋。一旦失控，它们可以随时建立起中国要害人员的个人档案并进行精准的行为预测，甚至可以绘制中国战略资源的流转及节点图[30]。我国不得不防，所以对国内企业的数据也应要求本地化储存。

虽然我国对外并没有主张数据存储的本地化，这也是考虑到国际关系中的对等原则，一旦我国采取这一主张，相对国根据对等原则，也会对我国采取相同的政策，但是考虑到数据自身所特有的属性和技术算法的进步，我国不得不采取更为稳慎的数据跨境流动策略，即在不公开主张数据本地化的背景下，实施灵活的执法策略，分类别、分情况要求事关国家、社会安全、个人隐私的数据进行本地化。