許多奇:論跨境數據流動規制企業雙向合規的法治保障

許多奇 復旦大學法學院教授、博士生導師，上海高級金融學院兼聘教授 ，教育部青年長江學者。

內容摘要

大數據環境下，大規模和複雜的跨境數據流動成為常態。在數據跨境問題上，「走出去」和「引進來」的企業都面臨必須滿足國內外公權力機關依本國法所提出的數據收集、傳輸和使用等要求，即實現雙向合規。對企業合規現狀梳理後發現存在雙向合規難的問題。固然原因是多方面的，但從國內來看，缺乏「良法善治」的法治保障是主要原因。具體表現在：制度零散，缺乏頂層設計下的數據跨境系統規範體系；機構不明，缺乏獨立的數據跨境風險管理執法機構；手段單一，缺乏完整健全的數據跨境執法流程；國際爭端，數據本地化政策影響中國的國際貿易談判。加強「良法善治」法治保障解決雙向合規難問題的對策建議是：科學立法，豐富提升跨境數據流動管理的價值目標，為雙向合規提供法律規範體系；機構創新，設立獨立的跨境數據監管機構，將雙向合規落到實處；協同共治，構建跨境數據安全治理體系，營造良好的合規環境；合作共贏，積極參與跨境數據流動國際規則制定，推動雙向合規健康、可持續地開展。

關鍵詞：跨境數據流動 數據流動規制 雙向合規 數據安全治理 跨境數據流動 國際規則 數字經濟

一

引言

數字經濟時代，數據日益成為最重要的生產資料。根據國際數據公司IDC預測，2018年全球數據總量達到33ZB（33萬億GB），預計2025年將達到175ZB，7年數據量複合增長率達到27%。數據資源的快速擴張對全球經濟產生了深遠的影響。始於20世紀70年代的跨境數據流動，當下已成為全球貿易和投資增長的主要途徑。

跨境數據流動對於我國對外貿易及經濟發展有著重大的意義。根據學者對5個主營業務板塊（電子商務、雲計算、第三方支付、物流平臺、軟體服務）的跨境數據流動活動進行的田野調查和深度訪談，數據跨境流動直接影響了其成本、收益、創新能力乃至實現商業模式的全球擴張，以及幫助企業融入全球供應鏈。同時，由於跨境數據流動降低了企業貿易和交易的成本，使大量中小型公司幾乎和大型企業有了同樣的國際貿易能力。在我國企業「走出去」的同時，國外不少企業也紛紛來我國投資。在數據跨境問題上，「走出去」和「引進來」的企業都面臨必須滿足國內外公權力機關依本國法所提出的數據收集、傳輸和使用等要求，即實現雙向合規。達到這一目標，既要求掌握數據的企業履行保障其控制範圍內數據安全的義務；更依靠國家完善數據立法和加強監管，最大化地保障本國企業的數據安全，使企業在配合國內外數據要求時，能避免因數據洩漏而使商業機密曝光和經營決策遭受損失。

綜上所述，商業自由原則以及數據流動對於經濟社會的巨大價值需要數據自由跨境，然而由於網絡本身具有脆弱性，數據接收國（輸出國）的法律規制、社會環境不可控，如果缺乏法律約束機制，數據跨境後輕則侵犯個人隱私，公司、企業遭受財產損失；重則洩露國家秘密、擾亂社會秩序甚至威脅政權。因此，完善數據立法、加強監管等法治保障對於跨境數據流動的規範和風險防範具有至關重要的作用，對於保證「走出去」和「引進來」企業的合規經營意義不可低估。

二

跨境數據流動規制企業雙向合規的現狀梳理

（一）中國企業「走出去」，應對跨境數據流動規製法律風險大

大數據環境下，大規模和複雜的跨境數據流動成為常態，它也是當前國家、地區間政策博弈最為複雜的領域之一，這使我國「走出去」企業面臨著風險不小的營商環境。

首先，跨境數據流動規制各國立法紛繁複雜，「走出去」企業應對各國數據跨境限制性規定存在風險。雖然全球規制與引導跨境數據流動的統一規則尚未形成，據不完全統計，在全球總計231個國家（地區）中，已經有超過135個國家（地區）出臺數據保護法，其中大多數有跨境數據流動法律或政策，而毋庸置疑的是，現有規則主要仍以歐美為首的發達國家引領。

歐洲是跨境數據流動治理的發源地，全世界範圍內首部數據保護法出現於1970年的德國黑森州。緊隨其後，歐洲各國都開始起草並實施數據保護法規，並逐漸開始包含跨境數據流動的內容。承接這樣的歷史傳統，歐盟的跨境數據流動立法在世界範圍內產生了廣泛的影響。歐盟立法的特點是：統一規則實施歐盟數位化單一市場戰略，以數據保護高標準引導全球重建數據保護規則體系。具體表現為：一是實施歐盟數位化單一市場戰略，摒除歐盟境內數據自由流動障礙。由於數據流動能帶來經濟利益，那麼顯然限制跨境數據流動會大幅增加經濟成本，因而在歐盟內部整體上促進數據在充分保護國之間自由流動。二是通過「充分性認定」確定數據跨境自由流動白名單國家，推廣歐盟數據保護立法的全球影響力。只有在國家、地區、行業或國際組織能確保充分保護水平時，數據可以在不需要歐盟額外批准和授權的情況下向其傳輸。截至2019年8月止，這種白名單的國家和地區已經有13個，日本、韓國正在與歐盟談判之中，印度也被考慮納入談判議程。三是在遵守適當保障措施的前提下，提供多樣化多層次的個人數據跨境流動方式。在缺乏充分性認定和公權力機構之間法律約束力協定的情況下，歐盟還為非歐盟企業提供了遵守適當保障措施條件下的數據轉移機制，包括約束性公司規則、採用歐盟委員會通過的標準數據保護條款、成員國監管當局通過並經歐盟委員會批准的標準數據保護條款、協會、不同類型控制者、處理者組織編寫並經批准的行為準則、批准的認證機制以及第三國控制者或處理者的承諾等。這些機制為在歐盟收集處理個人數據的企業提供了可選擇的數據跨境流動方式。

與歐盟不同，美國立法的特點是：以維護產業競爭優勢為主旨，構建跨境數據流動與限制政策。具體做法有：一是利用信息通訊產業和數字經濟全球領先優勢，在與各國新一輪貿易談判中都主張將「數據跨境自由流動」納入協議條款，以破除許多國家利用跨境數據流動設置的市場準入壁壘，防止「網際網路巴爾幹化」。二是通過限制重要技術數據出口和特定數據領域的外國投資，遏制戰略競爭對手發展，確保美國在科技領域的全球領導地位。三是通過「長臂域外管轄」擴大國內法域外適用的範圍，以滿足新環境下美國政府跨境調取數據的執法需要。考慮到若沒有長臂域外管轄權，跨國公司可以通過選擇將數據存儲在別國的伺服器上來阻止本國政府對電子郵件的需求，隱私保護將不依賴於傳統的司法監督保障，而是依賴私營企業的「商業決策」。由此，2018年3月28日，美國議會通過《澄清境外數據的合法使用法案》（Clarifying Lawful Overseas Use of Data Act,CLOUD法案），結束了「Microsoft vs. FBI」案中關於美國執法機關是否有權獲得美國企業存儲在境外伺服器中用戶數據的爭議，賦予美國執法機關對美國企業「控制」的數據，不論其在美國還是在境外都享有主權。通過適用「控制者原則」，該法擴大了美國執法機關調取海外數據的權力，使美國的數據主權擴展至美國企業所在的全球市場；同時依賴於美國的國際經濟與政治強勢地位以及與相關國家的合作，其他國家要調取存儲在美國的數據，則必須通過美國「適格外國政府」的審查，需滿足美國所設定的人權、法治和數據自由流動標準。

受歐盟、美國立法的影響，其他國家也紛紛出臺跨境數據流動規則。如日本同時與歐盟、APEC等機制對接，使用狹義的個人數據概念，大力推動「匿名化處理數據」的跨境數據自由流動規則構建；新加坡與日本一樣確保被傳輸到他國的數據得到與本國同等的數據保護，同時又設立了豁免條件，以建設亞太地區數據中心為導向，積極參與跨境數據流動區域合作；印度區分敏感數據和非敏感數據，採取數據主體同意轉移，以及數據控制人和數據主體之間達成合法契約等方式，在融入全球化和促進本國數字經濟發展之間尋求本地化中間路線；俄羅斯則通過數據本地化政策，要求數據回流，經營者必須在本國境內設立伺服器，進行俄羅斯公民數據的記錄、系統化、累積、存儲、修改和檢索，以保護主義政策推動IT產業發展；作為發展中國家代表的菲律賓分別於2012和2016年出臺《數據隱私法》及其實施條例，並不要求本地化存儲，也未限制跨境數據流動，但不管是否跨境流動，都依法要求個人信息控制者對傳輸給第三方處理的個人數據持續負責……

綜上所述，各國跨境數據流動法律、法規的歷史根源、立法模式、規制方式以及司法確認都各不相同，數據保護標準不統一。在這一背景下，我國企業「走出去」面對的法律風險是巨大的，如果企業事先對跨境數據法律風險準備不足，事中對風險又不善應對，就可能會導致「走出去」後因觸犯當地有關數據傳輸的限制性規定而遭受巨額罰款。

其次，我國與他國之間限制數據跨境傳輸的規則衝突，也使我國跨境企業的合規經營面臨風險與挑戰。

跨境數據流動是企業在國際貿易中的業務需求。據媒體報導，自2013年起，中國超過美國成為世界上最大的貿易國，並聲稱是國際貿易的「裡程碑」事件。在國際貿易實踐中，國外監管機構可能會依照監管職能或調查權限，要求我國相關企業提供中國法律法規規定限制跨境傳輸或不可披露的特定類型數據，那麼便會與中國法律法規發生正面衝突。其典型案例為美國證券交易委員會（Securities and Exchange Commission, 以下簡稱SEC）要求中國五家會計師事務所提供在美上市公司審計底稿一案。

2012年12月3日，SEC起訴德勤等四大會計師事務所，外加立信大華的會計師事務所拒絕提交中國客戶的審計文件。聲明調查這些數據是為了配合調查在美國涉嫌欺詐的中國概念股。但我國法律法規規定實行檔案、審計底稿保密制度。目前該制度有進一步加強的趨勢，根據原《中華人民共和國檔案法》《註冊會計師法》等法的規定，2016年7月財政部、國家檔案局制定了《會計師事務所審計檔案管理辦法》，其第13條規定「會計師事務所對審計檔案負有保密義務，一般不得對外提供……」2017年3月新修訂的《中華人民共和國檔案法實施辦法》第18條進一步加強了對檔案出境的嚴格限定。2014年1月23日，SEC行政審判法官卡梅倫·埃利奧特（Cameron Elliot）用長達112頁的判決，對四大會計師事務所中國所作出初審判決：暫停其在美國的業務6個月。2014年2月，四大會計師事務所中國所就SEC的判決正式提出上訴。在長達12天的聽證會和一年談判後，四大會計師事務所中國所與美國SEC達成和解。根據和解協議，每家會計師事務所同意支付50萬美元，並承認在2012年對其提起訴訟之前並未出示任何文件。

上述案例表明，我國「走出去」企業面臨跨境數據流動規制的法律風險，這不僅來自數據輸出國限制數據收集、傳輸和使用的立法，也來自其行政監管和司法訴訟實踐。我國跨境企業不僅需要熟悉輸出國涉及跨境數據流動的法律、規章和標準，還要了解、把握輸出國的行政監管及司法訴訟程序。如在美訴訟必然碰到的美國「證據開啟」程序。在這一程序階段，訴訟雙方會主動或被要求向對方披露與訴訟標的相關的文件或其他資料。美國「證據開啟」程序要求比較嚴格，對於其他國家禁止向他國提供證據的牴觸法，1987年，美聯邦最高法院Société Nationale Industrielle Aerospatiale. United States一案中作出判決，判定即使證據開示會影響外國的主權管轄權，與該國的國內實踐不一致，美國法院也可強制要求其提交相應證據。隨著信息技術的跨越式發展以及數據保護立法的全球割據狀態，跨境數據流動可能引發更為頻繁的相關法律規定與實踐需要的衝突。這種國家之間的衝突可能影響企業的穩定運營和技術開發，甚至使跨國企業進退維谷。它也是我國企業「走出去」後應對跨境數據流動規製法律風險大的表現之一。

（二）國外企業「引進來」，跨境數據流動規制難以合規

隨著數字經濟及全球化的深入發展，中國作為全球最大的新興市場吸引著日益增多的外資網際網路企業在中國投資，外資企業對中國數據市場的關注和跨境數據流動相關法律的質詢將在所難免。

首先，我國跨境數據流動法律法規尚不完善，「引進來」的國外企業收集、傳輸和使用數據尚存在不確定的因素。我國目前僅有一條法律條款針對數據跨境作出明確規定。2017年6月正式實施的《中華人民共和國網絡安全法》第37條規定了關鍵信息基礎設施運營者數據本地化原則。該條的一般解釋應理解為，外國公司有義務在中國境內為用戶保留伺服器，即使成本增加，也明確了個人信息和重要數據的本地存儲、出境評估等法律義務。但關鍵信息基礎設施的具體認定標準和程序尚不明確，重要信息的具體範疇也未釐清。國家網信辦雖然於2019年6月13日發布《關於公開徵求意見的通知》，但統一客觀、可操作性強的數據跨境流動安全評估辦法、安全評估的主管部門以及具體的評估的落地流程等都還處於缺位狀態，更難以滿足各企業之間的數據特徵差異較大的多種類合規需求。跨國企業往往業務眾多、數據交互頻繁，可能既涉及個人數據，也涉及商戶數據、商品數據、支付數據、物流數據等不同敏感和非敏感數據的交互融合流動，而我國尚未建立比較成熟的數據跨境法律制度，目前的立法和執法都無法甄別和適應企業「引進來」的合規確定性和多元化安定性要求，數據出境和入境安全評估亦遠未落地實施。總之，「引進來」的國外企業跨境數據合規存在許多不確定的因素，造成難合規的局面。

其次，我國尚不規範的數據分析市場無法遏制「引進來」企業的非合規數據行為。我國數據分析行業還整體缺乏自律，有些企業的經營活動沒有道德底線，數據洩露事件頻出。中國消費者協會通過測評100款APP的個人信息收集與隱私政策情況，發現過度收集信息；隱私政策條款不完整、不合理等問題普遍存在。2019年2月，中央網信辦、工業和信息化部、公安部、國家市場監管總局四部門聯合開展APP違法違規使用個人信息專項治理活動，發現有些數據分析企業利用電商平臺、手機APP、城市共享服務、快遞服務等手段，在根本未徵求用戶同意、未完全徵得用戶同意、未引起用戶合理注意（無隱私提示）或用戶不勾選便無法使用等前提下，大肆收集與產品、服務本身和使用目的無關的個人信息，存在侵害個人信息、個人隱私和危害數據安全的巨大風險隱患。國外科技企業良莠不齊，一方面，嚴格合規的國外企業因為擔心國內企業的無規運行，無底線競爭，無法有序運營而止步不前，不敢涉足中國市場；另一方面，不規範企業可能憑藉其數據收集和分析能力較強的優勢，恣意收集和使用個人數據，導致我國企業無法競爭，國內公民的信息遭到洩露和侵害。由於各類數據控制者和處理者的相互關聯關係，這些國外企業也極易直接或間接成為我國市場上不合規經營的主體，從而遭遇法律風險。

三

跨境數據流動規制企業雙向合規難的原因分析

「走出去」和「引進來」的企業，跨境數據流動規制雙向合規難的原因是多方面的：從國際來看，網絡空間博弈愈來愈與地緣政治、產業競爭、經貿關係、網絡主權、權利保護等各種議題相結合，跨境數據流動也成為當前國家地區間政策博弈最為複雜的領域之一；數據的價值和重要性決定了其被覬覦的高概率，全球數據黑色產業鏈日益成熟：一方面，網絡信息提供者拒不履行安全管理義務；另一方面，越來越多的大數據公司非法獲取計算機信息系統數據，頻繁惡意利用和買賣離境數據，而各國數據保護標準不一致，造成數據在全球範圍內流動缺乏安全可信的在線環境等等。但從國內來看，缺乏「良法善治」的法治保障是最重要的原因。下面主要對國內原因加以分析：

（一）制度零散，缺乏頂層設計下的數據跨境系統規範體系

如前所述，《網絡安全法》第37條和《個人信息出境安全評估辦法（徵求意見稿）》等，就關鍵信息基礎設施數據出境提出了安全評估要求，對安全評估的責任主體、管理對象、管理要求等內容進行了限定。近年來，國內相關監管部門也開始留意和關注到數據境內留存問題，在金融、徵信行業、網絡車行業、網絡出版和網絡地圖行業、醫療衛生等特殊領域，都明確要求相關數據必須首先本地化存儲。如2016年2月發布的《網絡出版服務管理規定》第8條要求，「網絡出版服務的相關伺服器和存儲設備」必須存放在中國境內。此外，還有民航、域名服務、人口健康等其他行業，不一而足。

由上述法律和部門規章共同構成的我國跨境數據流動制度零亂而不系統，僅有的一條法律規定過於簡單，對哪些屬於「關鍵信息基礎設施」「重要信息」如何認定？什麼是「境內收集信息」？哪些情形屬於「境外提供」？都尚不明確。其餘規定散落於若干行業管理規範中，制度位階層次頗低，可操作性和協調性不足。此外，我國《個人信息保護法》至今還未出臺，個人信息保護呈現嚴重的滯後性。《網絡安全法》雖然在現有條件下加強和明確了個人信息保護方面的要求，作出了統一的基本性規定，卻缺乏具體的差別化執行細則。相比歐盟，以一部數據保護法案為牽引，以基本權利保護為抓手，帶動四到五部配套規範協同構成數據出境的頂層制度；再看美國，通過2010年11月第13556號行政命令，將本國各行業關於重要敏感數據管理、保護、控制的規範性文件梳理並建立統一標籤，形成《非秘受控數據列表》等動態監管方式，推動重要敏感數據使用、處理、保護的全流程規範化操作。歐美的立法值得我們借鑑。雙向合規，首先要有頂層設計下的系統規範體系，以全流程地引導、保證企業跨境數據流動的規範性操作，減少企業合規的不確定性，降低企業的合規成本。

（二）機構不明，缺乏獨立的數據跨境風險管理執法機構

良好的法律是否能夠得到良好的遵守，在一定程度上依賴於法律執行監督機制的完善。數據保護主管部門、監管機構承擔著對個人和企業數據保護管理與監督落實的行政職能。立法機關只能提供監管框架，而具體監管政策的選擇與執行則要交給監管機構進行實踐落實。

歐盟建立獨立的國家數據保護機構的實踐，為各國的跨境數據流動治理提供了樣板。歐盟基於《一般數據保護法》第51條的相關內容，要求其成員國有義務建立國家數據保護機構（National Data Protection Authorities, DPAs）。該法要求每一個成員國必須建立一個或多個與數據保護監督相關的公共機構,負責設計和監控屬地內的跨境數據流動與數據處理實施情況是否符合法律的要求。各成員國的監管機構應當在根據本法執行任務以及行使權力時保持完全的獨立性。歐盟議會和歐洲委員會共同決定任命Wojciech Wiewiórowski為歐洲數據保護主管（European Data Protection Supervisor, EDPS），他於2019年12月6日就職，任期五年。歐盟2018/1725號法規還規定了歐洲數據保護監督員（第六章）的職責和權力，以及作為監督機構的EDPS的機構獨立性。在今天，盤點世界上217個國家的個人數據法律保護，已制定或將要制定統一的個人數據保護法的國家多達101個。其中，75個國家設立了獨立的個人數據保護機構，並對個人數據保護機構的「獨立性」進行了明確的法律規定。

當前，我國統一的個人信息保護法闕如，法律未確立獨立的數據保護執法機構，數據保護領域存在執法機構不明、監管職能不清等現實困境。由於長期以來我國對數據保護採取「分行業監管」的模式，各行各業的監管部門僅在各自領域發揮監督管理職能，相關監管機構各自適用法律條文不同，具體執法標準也不統一，又沒有一個統一的最終監督部門負責統籌協調。以金融信息和金融數據保護為例，中國人民銀行、中國銀保監會分別出臺規範性文件，國家網信辦出臺規章，中國人民銀行、中國銀保監會、中國證監會以及國家網信辦四個部門之間監管職責打架。再看消費者保護，國家市場監管總局、中國人民銀行與中國銀保監會的消費者權益保護局、中國證監會的投資者保護局之間權限劃分不清晰，各個行政執法部門有時搶著執法、監管競爭；有時又互相推諉無人執法，出現「多頭執法」「重複監管」和「監管真空」並存的監管失靈現象，導致侵犯個人數據權益和企業商業秘密的行為得不到遏制。2017年6月1日開始實施的《網絡安全法》賦予國家網信部門、工業和信息化部以及公安部執法權。2019年1月-12月，中國網信辦、工業和信息化部、公安部和國家市場監管總局四部門聯合開展了APP違法違規收集使用個人數據專項治理行動。雖然我國已經將《個人信息保護法》和《數據安全法》列入2020年立法規劃，而對於各行業來說，目前只有短時間內的清理整頓行動在形式上為行業發展設立了一條合法與違規的紅線。從長遠來看，法定的獨立執法主體的缺位無法形成長效的執法機制，以保護跨境數據流動中的個人、企業乃至國家的數據權利；數據跨境企業也因為缺乏統一的管理者和執法者，致使雙向合規難以保證。

（三）手段單一，缺乏完整健全的數據跨境執法流程

連接良好的法律與自覺守法之間的通道是完整通暢的執法與監管。從我國數據跨境領域來看，執法與監管還存在著「三多三少」的弊端。一是行政禁令多，綜合措施少。目前我國有關部門主要以單純行政禁令的方式，如2017年網信辦發布《個人信息和重要數據出境安全評估辦法（徵求意見稿）》，以及《評估指南（徵求意見稿）》等規範性文件，要求企業將特定數據留存在本地，即使個人信息和重要數據確需出境，也必須遵循安全評估流程、要點和方法。二是運動式執法多，常規性執法少。自《網絡安全法》實施以來，我國開展了多項以國家網信辦牽頭的個人數據保護專項整治活動。運動式執法固然能夠整合不同部門監管資源，在短期內迅速提高監管效率，打擊違法行為，規範市場秩序。但運動式執法的單向一維性、倉促性、滯後性、被動性、整治結果的反彈性以及可能存在的對法治安定和公平原則的破壞性等弊端，使得其監管績效往往備受詬病。三是事後懲罰性執法多，事前、事中預防性執法少。事後執法手段主要包括警告、停業整頓以及罰款等，且又處罰不嚴，對涉事企業的實際處罰與事件的危害後果往往不相匹配，不僅未對違法違規企業形成有效震懾，而且導致公眾的數據安全意識普遍不強。相比歐盟在數據保護法案的全面規範之下，建立起覆蓋事前、事中、事後，形成有一系列配套措施的體系化、全方位監管流程。歐盟於2018年大幅提升數據保護法令的處罰金額，GDPR對違反核心合規義務罰款的最高限額是上年度公司全球營業額的4%或2000萬歐元，而其他非核心合規義務的罰款最高限額為上年度全球營業額的2%或1000萬歐元。2018年3月19日，臉書導致5000萬用戶信息洩露，也就是震驚世界的劍橋公司「竊取」臉書用戶信息事件，扎克伯格先後多次出席美國和歐洲議會聽證會並接受質詢。歐美政府不斷對企業施壓使扎克伯格不得不放棄臉書原有的商業模式，於2019年確定以加密數字貨幣作為新的戰略突破口。相比來看，我國單一、簡單的執法手段已經無法適應大數據時代的監管執法；也無法反制外國對中國企業的過度監管和不合理審查以及懲戒措施。

（四）國際爭端，數據本地化政策影響中國的國際貿易談判

跨境數據政策成為近年來國際貿易談判中的主要議題。值得注意的是，歐盟於2018年11月14日制定有別於個人數據保護的非個人數據自由流動框架，它是對通用數據保護法規（GDPR）的跟進，也是歐盟推動「數字單一市場」建設的另一重要支柱，該《框架》主要宗旨在於：與網絡安全一攬子計劃完全一致並發揮協同增效作用的前提下，消除歐盟各成員國的數據本地化要求；確保各成員國監管機關能夠及時準確地獲取數據；保障雲計算等服務提供者能夠為專業用戶自由地遷移數據。與此同時，跨境數據流動還頻頻出現在《美-韓自由貿易協定》（FTA）、升級版的《跨太平洋夥伴關係協定》（CPTPP）以及歷時七年正在加速推進的《區域全面經濟夥伴關係協定》(RCEP)等多項國際貿易談判中，對跨境貿易產生重要影響。美國出於保護本國數字經濟、信息產業發展，鞏固較強綜合國力的目的，不斷在雙邊和多邊條約中推行數據自由流動政策，並藉故我國的數據本地化政策，對我國參與數據跨境規制的國際合作設置障礙。2018年中美貿易摩擦升級後，美方利用在國際組織中的影響力，繼續醞釀新的貿易訴訟，不斷指責中國關於「重要數據」等概念過於寬泛，不公平地限制美國在華開展雲計算等高科技服務貿易。儘管美國的指責出於其不可告人的目的，用心叵測，但數據本地化政策極易引發國際爭端，不利於為本國企業營造良好的「走出去」外部環境，這一現象還是值得我們認真反思。另外，我國缺乏跨境數據流動領域的國際互信機制，實踐中較少參與跨境數據流動國際談判機制，缺乏話語權，何談與世界主要經濟體建立起跨境數據流動方面的互信合作關係，這不利於企業的國際化發展。

四

法治保障跨境數據流動雙向合規的對策建議

根據上文對「走出去」「引進來」數據跨境雙向合規難的原因分析，對如何加強「良法善治」法治保障以破解困境，提出以下對策建議：

（一）科學立法，豐富提升跨境數據流動管理的價值目標，為雙向合規提供法律規範體系

跨境數據流動的規範與約束須遵循法治國家精神的要求。近年來，我國加快立法構建數據跨境流動法律框架。但立法不僅僅是一個法律規範的制定過程，它首先是一個價值目標的選擇過程。數據跨境流動法的價值目標有三個：一是從個人視角出發的數據權利保護目標，保障個人數據權利是歐盟數據跨境立法的核心訴求和原則；二是產業視角出發的促進數字經濟發展、提高企業競爭力的目標，本著這一目標，推動數據自由流動成為美國跨境數據流動立法的根本宗旨；三是從國家視角出發的維護網絡安全和數據主權的目標，對數據跨境實施本地化策略成為俄羅斯、中國等保障國家安全和公共安全的重要手段。

德國社會學家韋伯認為，權威即是建立在合法性基礎之上的權力：任何權力一般都有必要為自己之正當性辯護的必要，都有必要通過訴諸其正當性之原則的、最強烈的自我辯護。那麼，我國實施數據本地化策略正當性的依據是什麼呢？那就是大數據環境下，跨境數據流動帶來的巨大安全風險。一方面，社會的安全穩定在受到傳統法律解釋因素威脅的同時，也逐漸遭受到網絡新型犯罪行為等非傳統安全因素的威脅。比如，欺騙計算機的行為是否構成詐騙罪？如何預防和規制製造、散播計算機病毒行為？網絡黑客還可能對社會的水或能源等重要基礎設施發動網絡攻擊。如2014年，在嚴重的網絡攻擊和恐怖襲擊的威脅下，富豪影院、AMC娛樂和 Cinemark影院——北美最大的三家連鎖影院——隨後宣布推遲放映，加拿大最大的影院公司也退出了放映。這些攻擊都被推斷來自具有一定的政府或組織背景的境外勢力。另一方面，大量數據暴露在網際網路上，通過大數據技術也可將工業、交通、醫療等許多領域的數據加以聚合，分析出足量的個人和企業信息。有研究者指出，美國所獲得的開源情報佔其情報總量的80%-90%。2013年，美國中央情報局的前承包商愛德華·斯諾登披露了「稜鏡門」事件，暴露出美國通過一個名為PRISM的監視項目跟蹤在線通信，嚴重損害了他國的國家利益。在這樣的背景下，對數據進行本地化存儲對於維護國家安全具有十分重要的作用。

儘管實施數據本地化策略有其正當性，但將這一策略絕對化會產生諸多負面作用。首先，數據本地化要求可能迫使企業在本地建設數據中心或分支機構，切斷網絡節點之間的跨境聯繫，相對於遠程提供服務，經營成本增加。其次，在數據驅動的智能時代，數據自由流動本身會帶來網絡紅利。在「稜鏡門」事件發生後，一些國家政府如俄羅斯、德國等提出擬增加數據跨境流動的條件，公民的在線數據應託管在國內，這些主張依賴於免受外國政府監視、個人隱私保護、支持本地主機業發展，提升國內競爭力等好處。然而，數據本地化政策又有廣義與狹義之分，前者對幾乎所有行業的網際網路用戶和數據類型都實行本地化，如中國和俄羅斯等國就出臺了廣泛的數據本地化政策，這無疑客觀上會限制企業，而不能選擇離數據中心邏輯最為便利的位置進行存儲和利用數據，與提升數據技術能力產生矛盾。再次，數據本地化會使某一市場被孤立起來，給數字經濟發展帶來負面影響；最後，當一國實施較為嚴格的數據跨境流動規制後，其他國家也可能採取相似的規制方式。特別是，美國政府試圖通過在TISA(Trade in Service Agreement)等下一代地區貿易協定草案文本中加入數據本地化禁令，來實現其目標。不言而喻，繼續堅持廣泛的數據本地化政策不利於營造良好的「走出去」外部環境。因此，我國政府有必要採取一定分級保護的措施來促進數據跨境規制安全目標的實現，並最大限度地降低跨境數據本地儲存的負面影響。

綜上，數據自由流動與國家安全、公共安全是一對矛盾, 如果去除了矛盾的一極, 另一極也失去了生命力。也就是說，跨境數據立法的價值選擇必須堅持兩點論，不能是一點論；兩點論又不是均衡論，而是有重點的兩點論。習近平總書記於2016年4月19日在全國網絡安全和信息化工作會議上指出：「網絡安全是動態的而不是靜態的，開放的而不是封閉的，相對的而不是絕對的。」這告訴我們，我國構建數據跨境流動法律體系應當堅持安全與發展並重的原則。數據本地化策略以國家與公共安全為主要法律價值目標，但卻不是唯一目標。因此，對跨境數據流動的限制既要將企業跨境流動的各方主體納入監管範圍之內，確保政府有合適空間實現「國家與公共安全」的目標，同時也要形成開放的循環體系，從而最小化對國際貿易和經濟發展產生扭曲和阻礙。換言之，數據跨境立法應將維護國家和公共安全的價值目標與服務於我國實施「大數據戰略」的目標，服務於我國整體經濟發展的戰略需要結合起來。

兼顧發展與安全的我國數據跨境立法，主要內容包括：（1）立法以單獨立法為宜；（2）跨境數據流動的對象、範圍；（3）數據傳遞的條件和傳遞許可，採用不同的評估和分級管理方式；（4）數據權利主體的權利與損害救濟。

（二）機構創新，設立獨立的跨境數據監管機構，將雙向合規落到實處

設立獨立機構是數據跨境流動管理的國際經驗與要求。自從第一步跨境數據保護規製法規於1970年頒布實施以來，獨立的數據保護署開始逐步設立並相互合作。根據2018年正式實施的《一般數據保護條例》第45條第2款規定，當評估某個非歐盟國家是否符合「充分性」保護程度時，將該非歐盟國家是否具有有效運作的數據保護官方機構作為是否符合標準的條件之一。對於亞太國家來說，經合組織於2013年通過了《跨境隱私規則體系》（Cross-Border Privacy Rules，CBPR），該體系規定選擇參與CBPR系統的組織應滿足三個方面的要求，其中第二個方面的要求是：任何想要加入該系統的經濟體都必須擁有隱私保護機構並且該機構還必須參加跨境隱私執法安排（Cross-Border Privacy Enforcement Arrangements，CPEA）。對於隱私執法機構，CEPA將其界定為負責執行隱私法的任何公共機構，雖未對其獨立性作明確要求，但強調其必須有權進行調查或執行強制執行程序。必須能夠審查CBPR投訴的問題，具有一定執法權限。

獨立的數據跨境監管機構，無論是執行能力還是保護效果，都更適合大數據時代的需要。我國非常有必要在將要制定的跨境數據流動法框架內新設一個獨立的管理機構——全國數據保護委員會，授予該機構相應行政調查權、建議權、登記備案權、處罰權以及提起公益訴訟等權限。雖然在網絡信息安全領域，我國已形成以中央網絡安全和信息化委員會牽頭的統一領導體制，但在個人信息保護具體工作機制層面，仍缺乏統一籌劃、部署並與國際對標的獨立個人信息保護執行機構。從我國實際出發，如果新設一個部級行政部門在短時間內確實有一定難度，建議也可以通過即將面世的《個人數據保護法》明確一個擁有最終監管權限的行政執法部門，如國家市場監管總局或者工業與信息化部，在分行業監管的基礎上，由其負責統籌協調不同行業和領域的具體執法標準和執法權限，避免監管重疊和監管真空現象，以利於企業數據跨境流動雙向合規落到實處。

（三）協同共治，構建跨境數據安全治理體系，營造良好的合規環境

構建我國數據安全治理體系，需要發揮政府、行業、企業的各自優勢，實現協同共治。主要內容包括：

一是規範政府的監管行為。國家網際網路信息辦公室基於與其公共利益使命相稱的專業技術知識，以及實現相關目標的能力，負責全國網際網路信息內容管理工作，並負責監督管理執法。如果一個被規制的企業以遵守法律為基礎導向，只是因為跨境數據流動的鏈條過長，無法事先預知某些環節數據失控，那麼可能首先會接受規制者的建議和教育，而無須對其採用更為嚴格的制裁措施；而如果被規制企業屬於「無良計算者」，只關注利潤最大化並投機利用跨境數據流動規制中的漏洞，那麼面臨的懲罰措施就會相當嚴格，包括警告、數額驚人的罰款乃至撤銷資格。

二是建立與完善跨境數據流動的行業自律制度。由於政府規制實施直接控制的能力有限，各國都試圖引入行業協會和企業的自律規制。如美國主張的數據規制體系就更偏重於以行業自律的形式進行自我規制與事後問責，一般通過合同產生約束力，企業加入協會即為同意接受自律規則的約束，以此用較為細緻的合同和交易機制設計，來推動跨境數據流動自由化和國際數字市場的發展。

三是檢查、敦促企業履行保障跨境數據安全的義務。檢查包括自查和協會抽查；檢查、敦促的主要內容有：企業是否審慎保管其掌控的數據？是否採取了足夠的安全保障措施？是否有經營行為的相關牌照？企業對內部員工行為是否開展及時的培訓和全面的安全紀律？是否有敏銳的風險預警能力？對跨境數據，轉出企業是否充分尊重數據主體的知情權？是否足夠了解數據後期的存儲使用情況？在企業收集數據量、處理次數、享有數據訪問權限的人數以及保存數據的時長方面是否遵循最小化原則等等。通過檢查和敦促，增強企業保護個人數據權利、商業秘密和國家數據安全的責任感，提高跨境數據流動企業合規經營的自覺性，敦促企業建立起約束合作、分級分類數據管理、較為「軟性」的信息和說服勸導以及保護個人數據隱私等內部機制。

（四）合作共贏，積極參與跨境數據流動國際規則制定，推動雙向合規健康、可持續地開展

競爭與協同是經濟系統存在和發展的一對矛盾統一體。在當今以貿易保護主義為主要特徵的「逆全球化」或「管理貿易」國際形勢下，我國必須清醒地認識到：以川普當選美國總統和英國脫歐為標誌事件的「逆全球化」或「管理貿易」也不可能迫使各國回到閉關鎖國的舊路，形成「新一代的數字貿易壁壘」。與此相反，我國應抓住促進跨境數據流動的契機，在國際經濟中發揮更大的作用，承擔更大的責任，最終實現角色轉換。具體實踐中，由於單邊性措施容易引發矛盾和反制措施，我國一方面可考慮多採取雙邊談判和多邊磋商，藉助GATS、FTAAP、GPEN等區域談判場景提出質疑，如歐盟GDPR規則是否在跨境數據流動方面違反GATS的最惠國待遇原則，在歐盟境內和境外實行雙重標準？如何在GDPR個人隱私保護和某些國家主張的言論自由之間保持價值平衡？從中爭取最大權利，最終尋求建立符合中國利益的跨境數據流動規則；另一方面可積極參與國際上有關跨境數據流動規則的研討，在國際競爭的舞臺上，代表中國企業利益發出中國聲音。在儘快制定符合中國國情《一般個人數據保護法》的基礎上，參照歐盟從頂層設計制定專門的非個人數據自由流動規則體系，並適當借鑑美國的做法，與歐盟籤訂雙邊或多邊協定，使得數以千計的中國企業承諾遵守協議的原則，而得以在歐洲開展業務。尤其值得一提的是，在國務院2019年印發的《臨港新片區總體方案》中明確提出，應在國際通信設施、5G、IPv6、人工智慧、生物醫藥、總部經濟以及雲計算、物聯網等方面，實施國際網際網路數據跨境安全有序流動。可見，臨港新片區可以作為跨境數據流動對標國際規則，同時在保障數據安全基礎上促進國際數據有序流動的壓力測試地和最佳試驗田，並在這一過程中培育行業自律，區分個人數據、企業數據和公共數據，尤其是如何促進人工智慧技術自動產生數據的跨境流動，值得高度關注。培養一批有國際水準的企業數據保護官，在企業數據保護和利用之間形成平衡機制，積極創建促進跨境數據流動的相關行業標準、行動方案與落地機制，推動我國數據保護水平提升和相關數字產業鏈可持續發展。

結語

大數據時代，跨境數據流動成為世界各國競爭與合作交替進行的重要領域。正如有學者所言，數據是一種具有經濟價值的商品，其價值取決於數據質量。因而，如何產出有質量的數據，成為數據價值實現的必要前提，在法學界努力解決有質量數據的確權難題的同時，各國數據規制的「網際網路巴爾幹化」和跨境數據流動自由化之間的緊張關係亦不容忽視，以雙邊和多邊條約協定為表現形式的數據跨境合作並不能掩蓋或代替國家間緊張與競爭的關係，其背後仍隱藏著經濟利益或政治主張等有形或無形的訴求。因此，具有明顯主權色彩或國家利益傾向的數據並非毫無約束地跨境流動，與他國實現「共享」數據必須找到正當依據。跨境數據流動規制是一個多元法律框架，很難用單一的監管理論囊括多層次的規則、參與方與執行機制。本國個人信息保護、經濟利益保障和國家安全維護，要求國家必須以「良法善治」對承載著不同利益層次、位階訴求的數據流動予以規範和約束，並通過獨立的數據保護機構將規範落到實處，從而達到在保護本國個體、社會和國家利益的同時達到數據跨境流動與分享之間的平衡。

上海市法學會歡迎您的投稿

fxhgzh@vip.163.com

相關連結

來源：《東方法學》2020年第2期（總第74期）女學者特刊。轉引轉載請註明出處。

原標題：《許多奇：論跨境數據流動規制企業雙向合規的法治保障》