中国(浙江)自由贸易试验区推动数据跨境流动难点与对策分析

2023-06-17高晓娜江玮王俞巧

对外经贸实务 2023年5期

高晓娜江玮王俞巧

摘要：利用自贸试验区开展数据跨境流动机制探索是对接高标准经贸规则的有效路径，为此中国（浙江）自由贸易试验区明确提出要在国家数据跨境传输安全管理制度框架下，试点开展数据跨境流动安全机制探索。从跨境数据流动国际规则比较以及中国（浙江）自由贸易试验区的实践探索来看，目前自贸区层面推动数据跨境流动面临国内相关法律法规缺乏具体实施规则、数据跨境流动监管缺乏技术保障、跨境数据流动领域缺乏国际互信机制、企业数据出境自评估面临挑战等难题。建议从典型企业典型应用场景开展先行先试、形成政府-行业-企业三级联动监管体系、强化数据监管技术保障、对部分国家开展点对点数据传输试点、打造数据出境服务平台等方面破解数据跨境难题，以制度开放引领浙江数字贸易高质量发展。

关键词：中国（浙江）自由贸易试验区；跨境数据流动；机制探索

随着数字经济的发展和技术的进步，数据要素跨境流动逐渐成为促进经济增长、加速创新以及推动全球化的重要支撑。随着数据要素价值不断攀升，数据安全事件却频频发生，国家安全与个人隐私保护受到极大威胁。保障数据安全有序出境，是促进数字经济健康发展和防范化解数据安全风险的必然要求。目前我国数据跨境流动规则偏向原则化，具体实施细则尚不完善，落地存在难度。浙江作为全国数字经济强省，在全球新一轮数字经济竞争中，必然要承担先行探索和引领的重任。中国（浙江）自由贸易试验区明确提出要在国家及行业数据跨境传输安全管理制度框架下，开展数据跨境传输（出境）安全管理试点，因此“数据境内存储+出境安全审核”的基本监管模式仍然不会改变，自由贸易试验区的主要任务为通过完善数据分级分类标准、形成典型跨境数据流动应用场景安全管理机制等措施，在安全的前提下探索便利数据跨境流动的监管体系，从以事前监管为主向以数据分级分类为前提的事前监管与事中事后监管相结合的多元体系转型。本文基于国际数据跨境流动规制比较，结合浙江自貿区数据跨境流动实践现状，深入分析浙江自贸区在推动数据跨境流动层面的难点并提出对策建议。

一、数据跨境流动规制国际比较

（一）美国模板：数字贸易利益优先

美国作为信息技术强国，主张数据跨境自由流动规制，通过降低国际数字贸易壁垒，推动本国数字企业获得更大的市场空间及利益。近年来，美国开始加速构建“数据同盟体系”，通过美国-韩国FTA、《跨太平洋伙伴关系协定》（TPP）、《美墨加贸易协定》（USMCA）、美日数字贸易协定（UJDTA）等推行跨境数据自由流动主张。虽然美国主张数据跨境自由流动，但对个人数据和重要数据采用了不同的管理措施。一是个人数据采取行业自律模式。该模式以事后问责为原则，要求数据控制者在经营中对数据安全采取合理措施。APEC 跨境隐私规则体系（CBPR）是美国主导并大力推行的区域性跨境数据流动体系，其核心包括自我评估、符合性审查、认证、争端解决和强制执行，强调利用第三方机构对数据的跨境流动进行监管，目前共有美国、墨西哥、加拿大、日本等9个国家和地区加入了CBPR 体系。但 CBPR 并未获得世界主要经济体一致认可，比如欧盟认为 CBPR 未能达到 GDPR 对个人信息的保护标准。二是“重要数据”采取严格管理措施。美国政府制定了“受控非秘信息列表（CUI）”，将国家经济数据、政府管理数据、敏感技术数据界定为“重要数据”，并采取了严格的管理措施，在中美全面竞争大背景下，美国对敏感个人信息、技术数据采取了更为严格的管控措施。

（二）欧盟模板：个人权利优先

欧盟提出了以保护公民数据权利为前提的数据跨境流动规则体系，通过《通用数据保护条例》（GDPR）建立了严格的个人数据跨境流动限制体系。一是实现欧盟内部数据自由流动。欧盟对个人数据和重要数据采取差异化管理，通过《通用数据保护条例》（GDPR）和《非个人数据在欧盟境内自由流动框架条款》实现欧盟境内个人数据和重要数据自由流动，并取消了欧盟境内数据本地化存储的要求。二是通过充分性保护认定机制确定数据跨境流动白名单国家。当个人数据流向欧盟成员国以外的国家，欧盟以是否达到充分保护作为首要条件，当一国或地区通过欧盟的“充分性认定”成为数据跨境流动白名单国家，无需采取其他保护措施，可实现数据跨境自由流动。三是提供多元化个人数据跨境流动机制。当缺乏充分性保护认定时，欧盟为企业提供了“标准合同条款”、“有约束力的公司规则”等数据转移机制。“标准合同条款”通过合同的方式规定了数据输出方和数据接受方的数据保护责任，当数据流入国企业与欧盟企业签订标准合同后，则被认为符合充分性保护要求。“有约束力的公司规则”主要借鉴了行业自律模式，适用于跨国公司不同国家或地区分支结构数据流动。

（三）中国模板：数据主权安全优先

我国作为数字贸易大国，高度重视数字贸易规则制定，积极探索数字贸易规则中国方案，提出了以数据主权安全为前提的数据跨境流动法律体系。一是数据跨境流动管理制度逐步完善。目前我国跨境数据流动监管法律框架主要以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》三部上位法为基础，同时辅以交通、金融、医疗等特定行业的数据流动法规，并结合国家标准与行业标准，形成了“数据境内存储+出境安全审查”的基本监管模式。二是形成多元数据出境路径。我国企业可通过数据跨境安全评估、签订标准合同、专业机构个人信息保护认证三种方式进行数据跨境传输。根据数据类型、行业类型以及数据量等条件触发不同数据出境路径。当出境数据为重要数据，或者出境数据规模达到一定量级时需要向国家网信办申报安全评估。未达到安全评估要求但符合签订标准合同条件的，可根据网信办要求签订标准合同后出境。其他情况的个人信息可经过专业机构个人信息保护认证后实现数据出境。三是数据贸易治理规则尚需赢得国际认可。目前我国加入的含高标准数字贸易规则的区域贸易协定仅 RCEP，加入CPTPP 与 DEPA 的申请尚处启动阶段，未来要走的路还很长。而美欧主导的数字贸易规则体系便不适合我国数字贸易的持续发展，因此尽快形成一套高标准、宽口径的国家层面数字贸易规则体系是当务之急，也是我国争取世界数字贸易话语权、赢得国际多边认可的必由之路。

二、中国（浙江）自由贸易试验区推动数据跨境流动探索

（一）基于现有法律法规探索数据安全管理新机制

在国家数据跨境传输安全管理制度框架下，试点开展数据跨境流动安全评估，探索建立数据保护能力认证、数据流动备份审查、跨境数据流动和交易风险评估等数据安全管理机制。试点数据跨境流动，在保护个人隐私等方面加快探索和国际通行规则接轨的数字贸易监管举措，探索建立以软件实名认证、数据产地标识为基础的监管体系，并在示范区开展事中事后监管技术建设和试点示范。

（二）依托国家数据中心网络加快推进数字新基建

积极部署国际互联网数据专用通道建设，目前浙江已相继开通了杭州、宁波、桐乡、义乌以及舟山五条国际互联网数据专用通道，显著改善了互联网通信质量，增强数据传输稳定性，有利于吸引国际金融服务、跨境电商、跨境物流等外向型企业入驻自贸试验区。支持下一代互联网（IPv6）、卫星互联网等网络基础设施在各经济领域深度应用， IPv6被认为是新一代信息基础设施的代表和数字经济的底座，解决了 IPv4网络地址资源不足的问题。

（三）立足自由贸易试验区需求提升数字贸易平台能级

建设全球数字安防产业平台，围绕数字安防技术、网络信息技术、区块链技术、数字云服务、数字内容、数字金融六大领域，提升滨江高新区物联网产业园竞争力。建设数字一体化监管产业平台，充分利用大数据、人工智能、区块链、5G 等先进信息技术，对涉及关键技术、平台安全、数据安全和个人隐私安全的服务贸易，加大综合监管。建设跨境数字贸易区块链产业平台，注重源头管理，支持海关、税务机构、外柜管理机构、商业银行、电商平台等多方单位实现基于数据的综合服务与创新应用，提高各类交易和数据流通安全可信度。

三、当前中国（浙江）自由贸易试验区推动数据跨境流动主要难点

（一）国內相关法律法规缺乏具体实施规则

一是没有对重要数据和个人数据进行区分。《网络安全法》将个人信息和重要数据相并列，均采取相同的数据处理办法，这导致难以实现普通个人数据自由流动。从国际上主要国家数据流动管理实践上来看，大多对个人数据和重要数据采取了不同的监管机制。例如美国对个人数据和重要数据分别采取行业自律监管模式和严格管控模式，而欧盟则通过不同的法案对其进行分类管理。二是重要数据分级分类标准不明确。《数据安全法》对重要数据采用了目录方式进行重点保护，只提出了数据分级分类的基本要求，但并未直接明确重要数据的认定和统一，而是授权各地区、各部门自行制定。三是未形成基于具体业务场景的应用指南。《数据出境安全评估办法》明确了数据出境安全评估的流程和要求，但并未出台配套案例及实施指南，在执行过程中仍面临落地难度大的问题，评估细则以及具体实施方法等还需细化和明确。

（二）数据跨境流动监管缺乏技术保障

伴随着数据要素市场化进程，数据价值不断凸显，但也面临数据窃取、数据篡改、数据非法使用等安全风险。数据资产具备流动性，而传统的信息安全风险评估主要以静态评估为主，无法适应数据流动过程中不同环境下的评估要求。此外，数据在跨境流动过程中，存在所有权和使用权的分离，这使得数据跟踪与数据溯源非常困难。数据监管部门在落实数据输出方与输入方安全管理义务、数据安全责任事件鉴定方面面临巨大挑战。技术是数据流动监管的核心驱动力，决定了数据安全评估、数据全周期安全管理、交易风险评估等结果的科学性和合理性，因此将制度要求转化为技术要求并进行落实是自贸区推动数据自由流动的关键一环。

（三）跨境数据流动领域缺乏国际互信机制

目前，美欧通过双边或区域贸易协定推广其跨境数据流动规则体系，掌握规则制定主导权。以CPTPP 为代表的高标准数字贸易规则其数据条款强调“禁止数据本地存储”以及“数据自由流动”，这与我国的数据跨境流动规则存在根本性差异，但考虑到目前中美政治关系以及数字经济领域技术能力差异，“数据境内存储”是现阶段我国仍需坚持的一项基本原则。我国跨境数据流动政策主要采用“数据境内存储+出境安全审查”的方式，这种规则差异导致我国目前难以参与美国与欧盟主导的双边/多边协议。目前我国未加入APEC 的CBPR 体系，也未进入欧盟委员会确认的白名单国家，尚未与其他国家就数据跨境流动事项达成书面合作协议，数字贸易规则国际影响力较弱，加大了自贸试验区推动数据跨境流动的压力。

（四）企业数据出境自评估面临挑战

《数据出境安全评估办法》中规定，当企业有数据跨境需求时，需要评估数据出境的必要性、合法性、安全风险、接收方数据保护能力、数据出境后被篡改和滥用的风险。该规定明确了企业的主体责任，通过自评估的形式对数据出境负责。随着世界主要经济体对跨境数据流动监管要求不断细化，出境数据合规已变成企业的“必答题”。《企业跨境数据流动安全合规白皮书（2023）》中指出企业跨境数据流动面临不同国家数据监管要求存在法律冲突、企业难以准确高效识别跨境数据类型、跨境数据受到攻击愈加频繁等挑战，企业难以平衡安全与效益，应从管理、技术与运营三个维度构建跨境数据流动合规体系。

四、中国（浙江）自由贸易试验区推动数据跨境流动对策建议

（一）针对典型企业典型应用场景开展先行先试

目前我国已发布了通用的数据安全治理要求，但缺乏基于关键业务场景、特定行业的实践指南。部分政策规定过于原则化，缺少明确的可操作性方案，增加了企业的合规成本和难度。浙江自贸试验区集聚了阿里巴巴、网易等超过全国三分之一的跨境电商平台，涌现出以海康威视、浙江大华等为代表的一大批数字制造与数字贸易企业，拥有丰富的数据跨境应用场景。首先，浙江自贸试验区积极探索针对典型企业、典型应用场景的数据跨境流动安全管理规范，通过一系列较佳的实践成就指导企业实现数据跨境合规流动；其次，以国家相关法律法规为基础，积极推动数据跨境合规流动的行业标准，实现行业的数据保护和数据流动；第三、利用浙江云计算、跨境电商及跨境线上支付等领域形成了国际竞争优势和丰富的数据跨境应用场景，探索用户下单、清关以及支付等环节的数据跨境流动安全机制及风控机制。

（二）形成政府-行业-企业三级联动监管体系

2022年我国数字经济规模稳居世界第二，数据跨境需求迎来高速增长阶段，事前许可方式难以满足量大、频繁且出境方式多元的数据跨境流动需求。事前许可的管理模式并不能很好的实现监管目标，往往只会增加行政负担，因此应充分发挥政府、行业和企业的能动性，形成政府层面审慎监管、行业协会自律监管、数据主体积极自查的政府-行业-企业三级联动监管体系。鼓励行业协会及其他自律组织参与安全评估认证，作为政府监管有效补充。各行业协会可依据本行业特点在国家法律框架下对数据跨境流动规制进行进一步细化，为企业提供合规操作指引。例如阿里巴巴围绕数据生命周期提出了《信息安全技术数据安全能力成熟度模型》（DSMM）并在行业内进行推广应用，促进企业内部建立数据保护体系，明确数据全生命周期操作规范，从提高数据保护意识、设置专业数据安全人员、利用专业管理工具、建立安全管理制度体系四个方面提升自身数据保护能力。

（三）强化数据监管技术保障

浙江自贸区应强化数据监管技术保障，通过技术手段加强对数据出境行为的监管能力，保障数据安全有序流动。可从以下几个方面展开：一是加强数据泄露威胁情报共享与溯源能力，建立政府-行业-企业快速协同系统，迅速定位威胁来源；二是针对不同业务场景以及数据输入国数据保护能力采取流量限制，对数据传输的方向及总量进行控制，在紧急情况下甚至可以直接切断数据传输；三是提升企业层面数据安全技术应用，全面掌握数据跨境类型及数据流向，鼓励企业建立能审查、可以自证清白的数据监管体系，通过技术手段提升企业数据出境合规性；四是构建产业层面数据安全大脑，形成可视化界面全面展示数据跨境情况，加强数据安全事件快速响应能力。

（四）对部分国家开展点对点数据传输试点

利用自贸区等制度创新优势，优先在 RCEP、DE-PA 成员国中选择部分国家开展数据跨境流动谈判，在满足我国数据主权和安全这一前提下，建立数据流动区域互认互信。目前重庆、广西等自由贸易试验区已明确了数据传输试点国家，加快数据要素区域流动合作，浙江自贸区应加快确定数据出境合作国家，并在企业层面开展试点。可借鉴欧盟“白名单”制度的理念对数据流向国数据保护能力进行审查，对部分数据流动需求高的国家开展充分性保护认定试点，并将其列入数据出境“白名单”国家。对“白名单”国家减少行政审批程序，促进数据自由流动，对名单外的国家则采取严格的数据安全保护措施，“白名单”制度既有利于简化数据出境审批程序，同时也保证了数据出境安全。

（五）打造数据出境服务平台

我国数据出境法律体系要求数据出境前进行数据出境安全评估，且评估内容比较复杂，企业及政府独立开展评估工作面临较大困难与挑战，需要借助第三方服务机构对数据安全提供咨询、安全认证及评估服务，因此应在自贸区内打造数据出境服务平台，借助制度优势吸引一批跨境数据服务企业入驻，为企业提供一站式数据出境解决方案。从企业层面来看，服务平台为企业提供数据处理及数据合规相关服务，降低企业合规成本；从政府层面来看，服务平台通过提供统一的数据处理规则及合规处理方法，在便利企业的同时也提高了监管部门的效率，解决了政府数据监管与企业数据出境需求的结构性矛盾。北京数据托管服务平台是国内首个可支持企业数据跨境流动的数据托管服务平台，浙江自贸区应借鉴相关经验，加开数据出境服务平台建设。

参考文献：

[1]陈少威，贾开.跨境数据流动的全球治理：历史变迁、制度困境与变革路径[J].经济社会体制比较，2020（2）：120-128.

[2]陈统.数据出境风险自评估机制的理解与适用[J].企业经济，2023（4）：143-152.

[3]高腾玲.跨境数据流动分歧对中国数字贸易的影响[J].对外经贸实务，2021（9）：46-49.

[4]何波.中国参与数据跨境流动国际规则的挑战与因应[J].行政法学研究，2022（4）：89-103.

[5]刘云.中美欧数据跨境流动政策比较分析与国际趋势[J].中国信息安全，2020（11）：75-78.

[6]刘俊敏，郭杨.我国数据跨境流动规制的相关问题研究——以中国（上海）自由贸易试验区临港新片区为例[J].河北法学，2021（7）：76-90.

[7]马述忠，房超，梁银锋.数字贸易及其时代价值與研究展望[J].国际贸易问题，2018（10）：16-30.

[8]马其家，李晓楠.论我国数据跨境流动监管规则的构建[J].法治研究，2021，No.133（01）：91-101.

[9]马其家，李晓楠.国际数字贸易背景下数据跨境流动监管规则研究[J].国际贸易，2021（3）：74-81.

[10]盛斌，陈丽雪.多边贸易框架下的数字规则：进展、共识与分歧[J].国外社会科学，2022（4）：93-110.

[11]沈玉良，彭羽，高疆，陈历幸.是数字贸易规则，还是数字经济规则？——新一代贸易规则的中国取向[J].管理世界，2022（8）：67-83.