數(shù)據(jù)跨境流動(dòng)政策認(rèn)知與建議
——從美歐政策比較及反思視角

（騰訊研究院，北京 100080）

0 引言

在當(dāng)前網(wǎng)絡(luò)空間治理政策中，沒(méi)有哪類議題能夠像數(shù)據(jù)跨境流動(dòng)一樣，包含如此之復(fù)雜的討論面向：數(shù)據(jù)主權(quán)、隱私保護(hù)、法律適用與管轄、乃至國(guó)際貿(mào)易規(guī)則。特別是在2013年斯諾登事件后，隨著安全擔(dān)憂情緒的蔓延，各國(guó)政府引入了形式多樣的本地化要求，更增加了人們對(duì)數(shù)據(jù)跨境流動(dòng)政策的困惑與誤解。

本文通過(guò)對(duì)美國(guó)、歐盟等最具有代表性的數(shù)據(jù)跨境流動(dòng)政策的詳細(xì)對(duì)比，提煉共性與差異，以澄清有關(guān)該政策的基本認(rèn)知。并基于歐盟制度改革中對(duì)數(shù)據(jù)跨境流動(dòng)政策的反思，提出相關(guān)政策完善建議。

此外，基于中、美、歐對(duì)全球網(wǎng)絡(luò)空間治理規(guī)則的影響力，本文分析了全球數(shù)據(jù)跨境流動(dòng)政策的基本走向，以及其對(duì)數(shù)字經(jīng)濟(jì)全球化運(yùn)營(yíng)可能帶來(lái)的深度影響，并面向企業(yè)提出相關(guān)建議。

對(duì)于身處復(fù)雜政策框架下的企業(yè)來(lái)說(shuō)，不僅需關(guān)注不同規(guī)制要求，積極尋求多樣化合規(guī)渠道，更需從長(zhǎng)遠(yuǎn)建立全球化與本土化相結(jié)合的競(jìng)爭(zhēng)戰(zhàn)略。

1 關(guān)于討論前提的兩點(diǎn)澄清

1.1 數(shù)據(jù)跨境流動(dòng)政策與數(shù)據(jù)本地化措施的關(guān)系：本地化并不意味著絕對(duì)禁止數(shù)據(jù)跨境流動(dòng)

數(shù)據(jù)跨境流動(dòng)政策是指一國(guó)（或地區(qū)）政府針對(duì)數(shù)據(jù)通過(guò)信息網(wǎng)絡(luò)跨越邊境的傳輸、處理活動(dòng)所采取的基本立場(chǎng)以及配套管理措施的集合①這一界定基本符合當(dāng)前數(shù)據(jù)跨境流動(dòng)政策討論需要，也具有概念定義的連續(xù)性。關(guān)于“數(shù)據(jù)跨境流動(dòng)”相關(guān)概念最早正式出現(xiàn)于1980年OECD 《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨國(guó)流通指南》，其中對(duì)個(gè)人數(shù)據(jù)的跨境流動(dòng)做了簡(jiǎn)單解釋，個(gè)人數(shù)據(jù)的跨境流動(dòng)是指?jìng)€(gè)人數(shù)據(jù)跨越國(guó)界的運(yùn)動(dòng)。（“trans-border flows of personal data” means movements of personal data across national borders.);1982年聯(lián)合國(guó)跨國(guó)公司中心對(duì)跨境數(shù)據(jù)流動(dòng)（Trans-border Data Flow）的界定是：跨越國(guó)界對(duì)存儲(chǔ)在計(jì)算機(jī)中的機(jī)器可讀的數(shù)據(jù)進(jìn)行處理、存儲(chǔ)和檢索。我國(guó)信息化專家周宏仁在其專著《信息化論》中也將跨境數(shù)據(jù)流表述為數(shù)據(jù)通過(guò)計(jì)算機(jī)通信系統(tǒng)跨越邊境的運(yùn)動(dòng)。。盡管互聯(lián)網(wǎng)信息網(wǎng)絡(luò)對(duì)數(shù)據(jù)的傳輸邊際成本極低，互聯(lián)網(wǎng)基礎(chǔ)協(xié)議能夠確定網(wǎng)絡(luò)任意兩點(diǎn)之間傳輸數(shù)據(jù)包的最快路徑，也并不以地理邊境為界，但各國(guó)出于隱私、安全等考慮，對(duì)從技術(shù)上完全可實(shí)現(xiàn)的“數(shù)據(jù)自由流動(dòng)”現(xiàn)象②“信息自由流動(dòng)”是互聯(lián)網(wǎng)的技術(shù)基因，萬(wàn)維網(wǎng)的發(fā)明人Tim Berners-Lee，在一開(kāi)始并沒(méi)有選擇將萬(wàn)維網(wǎng)專利化，也主要是擔(dān)心這會(huì)限制互聯(lián)網(wǎng)的信息自由流動(dòng) 。從政策層面作出不同程度的干預(yù)。

“數(shù)據(jù)跨境流動(dòng)政策”這一表述本身是中性且廣義的，它包含了從開(kāi)放到保守不同立場(chǎng)傾向的政策類型。同時(shí)，它既可以針對(duì)數(shù)據(jù)流出境內(nèi)的場(chǎng)景（如歐盟對(duì)于個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的管理框架）；也可以適用于數(shù)據(jù)流入境內(nèi)的場(chǎng)景（如出于保護(hù)公共利益需要，對(duì)于兒童色情、侵害知識(shí)產(chǎn)權(quán)等數(shù)據(jù)，采取措施禁止本國(guó)居民通過(guò)網(wǎng)絡(luò)訪問(wèn)獲得③考慮到本文旨在討論“數(shù)據(jù)本地化措施”潮流之后的數(shù)據(jù)跨境政策走向，因此也將更多著眼于針對(duì)數(shù)據(jù)“流出”場(chǎng)景的政策分析。）。

相比之下，數(shù)據(jù)本地化措施從概念本身則狹義許多。它是指：出于本國(guó)公民隱私保護(hù)、國(guó)家數(shù)據(jù)安全，以及執(zhí)法便利等目的，要求數(shù)據(jù)在境內(nèi)存儲(chǔ)、處理的管理要求集合。當(dāng)然，數(shù)據(jù)本地化措施也可以包含寬嚴(yán)程度不同的類型，通常有：（1）僅要求在當(dāng)?shù)赜袛?shù)據(jù)備份，而并不對(duì)跨境提供作出過(guò)多限制④例如俄羅斯在數(shù)據(jù)本地化執(zhí)法初期，曾一度澄清只要機(jī)構(gòu)在俄境內(nèi)存有數(shù)據(jù)副本，則個(gè)人數(shù)據(jù)可自由傳輸至境外。見(jiàn)http://www.law360.com/articles/698895/3-things-to-know-about-russia-s-new-data-localization-law .，（2）數(shù)據(jù)留存在當(dāng)?shù)兀覍?duì)跨境提供有限制⑤如中國(guó)《網(wǎng)絡(luò)安全法》第三十七條針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)本地化要求。；（3）要求特定類型的數(shù)據(jù)留存在境內(nèi)⑥如澳大利亞2012年《個(gè)人控制的電子健康記錄法》。規(guī)定除非特定的例外情況，禁止健康數(shù)據(jù)轉(zhuǎn)移到國(guó)外。第77條第一款規(guī)定：“……相關(guān)主體不得(a)在澳大利亞境外持有、獲取該數(shù)據(jù)；（b)在澳大利亞境外處理或處置與該數(shù)據(jù)相關(guān)的信息；（C）致使或者允許他人在澳大利亞境外持有、獲取該數(shù)據(jù)，或在澳大利亞境外處理與該數(shù)據(jù)相關(guān)的信息。；（4）數(shù)據(jù)留存在境內(nèi)的自有設(shè)施上⑦如中國(guó)對(duì)外資開(kāi)放的部分電信業(yè)務(wù)中關(guān)于設(shè)施本地化的要求。，等等。

因此， 盡管“數(shù)據(jù)本地化”措施正在成為當(dāng)前全球網(wǎng)絡(luò)空間治理中的一股潮流，但它仍然僅代表了數(shù)據(jù)跨境流動(dòng)政策的一種方向。而且鑒于“數(shù)據(jù)本地化”政策的豐富類型，本地化并不意味著絕對(duì)禁止數(shù)據(jù)的跨境流動(dòng)，有相當(dāng)部分的數(shù)據(jù)本地化政策仍然給出了很多例外。

1.2 數(shù)據(jù)跨境流動(dòng)政策適用的數(shù)據(jù)類型：主要圍繞個(gè)人數(shù)據(jù)

關(guān)于數(shù)據(jù)跨境流動(dòng)政策的討論最早始于個(gè)人數(shù)據(jù)保護(hù)法律領(lǐng)域。個(gè)人數(shù)據(jù)保護(hù)的國(guó)際綱領(lǐng)性文件——1980年經(jīng)合組織《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》，內(nèi)容主要分為“國(guó)內(nèi)適用的基本原則”及“國(guó)際間適用的基本原則”。后者解決的即是個(gè)人數(shù)據(jù)跨境流動(dòng)問(wèn)題⑧指南要求：成員國(guó)不得不合理的限制數(shù)據(jù)在本國(guó)和另一成員國(guó)之間的流動(dòng)。。進(jìn)入“后斯諾登”時(shí)代，新一輪的數(shù)據(jù)跨境流動(dòng)政策對(duì)數(shù)據(jù)類型有所擴(kuò)展。但從各國(guó)政策的總體觀察而看，政策對(duì)象仍以個(gè)人數(shù)據(jù)為主[1]，在有限的案例中擴(kuò)展至其他數(shù)據(jù)①例如：俄羅斯2014年新修訂的《關(guān)于信息、信息技術(shù)和信息保護(hù)法》中規(guī)定，“自網(wǎng)民接受、傳遞、發(fā)送和（或）處理語(yǔ)音信息、書面文字、圖像、聲音或者其他電子信息六個(gè)月內(nèi)，互聯(lián)網(wǎng)信息傳播組織者必須在俄羅斯境內(nèi)對(duì)上述信息及網(wǎng)民個(gè)人信息進(jìn)行保存。這一規(guī)定不以個(gè)人信息為限，但仍與網(wǎng)民的活動(dòng)信息相關(guān)。。

國(guó)內(nèi)關(guān)于數(shù)據(jù)跨境流動(dòng)政策的部分研究文獻(xiàn)將政府?dāng)?shù)據(jù)納入，并基于政府?dāng)?shù)據(jù)類型，提出相應(yīng)的跨境流動(dòng)管理策略。此類認(rèn)知需予以澄清。實(shí)際上政府?dāng)?shù)據(jù)中涉及國(guó)家秘密乃至安全的部分，在屬性上已經(jīng)提出了更高保密性要求，禁止跨境流動(dòng)本就是應(yīng)有之義；不涉及國(guó)家秘密的部分，如果具備公開(kāi)屬性，則應(yīng)納入政府?dāng)?shù)據(jù)開(kāi)放調(diào)整范圍，也不牽涉跨境數(shù)據(jù)管理問(wèn)題。而歸根結(jié)底，政府?dāng)?shù)據(jù)無(wú)論是否具有保密屬性，都具有在本地存儲(chǔ)的天然特點(diǎn)，絕大部分也不具有跨境流動(dòng)的商業(yè)化需求。因此，在數(shù)據(jù)跨境政策討論中，提出政府?dāng)?shù)據(jù)類別，對(duì)于認(rèn)知數(shù)據(jù)跨境流動(dòng)政策并無(wú)特別意義②這與政府?dāng)?shù)據(jù)本地化要求并不沖突。很多國(guó)家與地區(qū)提出了政府?dāng)?shù)據(jù)應(yīng)存儲(chǔ)于本地的要求，這仍然是出于政府?dāng)?shù)據(jù)自身特點(diǎn)和數(shù)據(jù)安全的天然需要。這與商業(yè)環(huán)境下，因跨境提供服務(wù)或跨境整合數(shù)據(jù)而產(chǎn)生的數(shù)據(jù)流動(dòng)存在明顯差異。。

綜上，本文聚焦于各國(guó)針對(duì)經(jīng)貿(mào)往來(lái)中，基于商業(yè)目的的數(shù)據(jù)跨境流動(dòng)政策分析。

2 美歐數(shù)字跨境政策發(fā)展概況及差異

數(shù)據(jù)跨境流動(dòng)是經(jīng)濟(jì)全球化與數(shù)字化的伴生物。美、歐基于各自政治、經(jīng)濟(jì)、法律傳統(tǒng)等因素考量，在不同的歷史背景下，發(fā)展出特色鮮明的數(shù)據(jù)跨境流動(dòng)政策。

2.1 美國(guó)數(shù)據(jù)跨境流動(dòng)政策主要由貿(mào)易利益驅(qū)動(dòng)

美國(guó)在克林頓政府時(shí)期，就已形成對(duì)數(shù)據(jù)跨境流動(dòng)問(wèn)題的初步策略。1997年《全球電子商務(wù)框架》[2]提出：“只有當(dāng)個(gè)人隱私和信息自由流動(dòng)帶來(lái)的利益取得平衡時(shí)，全球信息基礎(chǔ)設(shè)施才可能興旺起來(lái)。美國(guó)支持為用戶提供恰當(dāng)?shù)碾[私保護(hù)，以提升用戶使用互聯(lián)網(wǎng)服務(wù)的信心，但各國(guó)在公民隱私保護(hù)方面迥然不同的政策，有可能會(huì)形成非關(guān)稅貿(mào)易壁壘。”

對(duì)此，美國(guó)采取以下策略：（1）依據(jù)個(gè)人隱私保護(hù)基本原則③主要指美國(guó)合理使用信息原則（Fair Information Practice Principle ,FIPP）它是美國(guó)在消費(fèi)者隱私保護(hù)與個(gè)人信息保護(hù)監(jiān)管中所應(yīng)用的重要原則。會(huì)同其主要貿(mào)易伙伴推進(jìn)符合市場(chǎng)需求的個(gè)人隱私政策。（2）繼續(xù)與歐盟進(jìn)行對(duì)話討論以解決數(shù)據(jù)流動(dòng)問(wèn)題；（3）通過(guò)雙、多邊討論以及地區(qū)性論壇④包括：如亞太經(jīng)濟(jì)合作(APEC)論壇、美洲首腦會(huì)議(the summit for Americas)、北美自由貿(mào)易協(xié)定(NAFTA)等機(jī)制。，就跨境流動(dòng)問(wèn)題展開(kāi)對(duì)話。

二十年來(lái)，美國(guó)在以上三方面取得不同進(jìn)展。首先，盡管與歐盟在個(gè)人數(shù)據(jù)保護(hù)路徑上存在明顯分歧，2015年歐洲法院甚至廢除了美歐執(zhí)行已逾15年的歐美安全港，但不可否認(rèn)的是，二者之間的政策分歧從未實(shí)質(zhì)性影響跨大西洋數(shù)據(jù)流動(dòng)。直至2016年新隱私盾協(xié)議的達(dá)成，也仍舊為歐美實(shí)現(xiàn)數(shù)據(jù)流動(dòng)提供了積極機(jī)制[3]，目前包括Google 、Facebook, 微軟等2500家美國(guó)公司的跨境數(shù)據(jù)傳輸仍依賴于該機(jī)制[4]；其次，雙、多邊貿(mào)易協(xié)議已成為美國(guó)推進(jìn)其數(shù)據(jù)流動(dòng)政策的主要渠道。2012年《美-韓自由貿(mào)易協(xié)定》，第一次在貿(mào)易協(xié)定電子商務(wù)章節(jié)中規(guī)定了跨境數(shù)據(jù)流動(dòng)規(guī)則。TPP談判盡管美國(guó)已退出[5]，但由其提出的跨境數(shù)據(jù)流動(dòng)規(guī)則已成為不少國(guó)際協(xié)定電子商務(wù)章節(jié)的范本①其14.11條規(guī)定了通過(guò)電子方式進(jìn)行的跨境信息傳輸。第1款指出“各締約方認(rèn)識(shí)到每一締約方對(duì)于通過(guò)電子方式跨境傳輸信息可能有各自的監(jiān)管要求”。第2款規(guī)定“當(dāng)通過(guò)電子方式跨境傳輸信息是為所涵蓋的主體執(zhí)行其業(yè)務(wù)時(shí)，締約方應(yīng)允許此跨境傳輸，包括個(gè)人信息”。同時(shí)，本條第3款指出“本條不得禁止締約各方為實(shí)現(xiàn)合法公共政策目標(biāo)而采取或維持與第2款不符的措施，前提是該措施：（1）其實(shí)施并未構(gòu)成任意或不合理的歧視或構(gòu)成對(duì)貿(mào)易的變相限制；及（2）對(duì)信息傳輸所施加的限制并未超過(guò)為實(shí)現(xiàn)合法目標(biāo)所必需的限度?！保淮送?，美國(guó)通過(guò)亞太合作組織（APEC），積極推進(jìn)《APEC跨境隱私規(guī)則體系》（CBPRs），該體系倡導(dǎo)數(shù)據(jù)治理規(guī)則的實(shí)用性，對(duì)于通過(guò)CBPR認(rèn)證的企業(yè)，被認(rèn)為滿足了隱私保護(hù)要求，可以在APEC區(qū)域內(nèi)實(shí)現(xiàn)自由的跨境數(shù)據(jù)傳輸②截止目前，APEC成員美國(guó)、墨西哥和日本進(jìn)入了加入CBPR體系的不同階段，加拿大表示即將啟動(dòng)加入程序。。

2.2 歐盟在人權(quán)項(xiàng)下考慮數(shù)據(jù)跨境流動(dòng)政策

與美國(guó)將數(shù)據(jù)跨境政策與貿(mào)易政策深度捆綁不同，歐盟更多是從個(gè)人權(quán)利保護(hù)項(xiàng)下考慮數(shù)據(jù)流動(dòng)。歐盟1995年《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》規(guī)定：歐盟公民的個(gè)人數(shù)據(jù)只能向那些與歐盟數(shù)據(jù)保護(hù)水平相同的國(guó)家或地區(qū)流動(dòng)。如果數(shù)據(jù)接收國(guó)的法律水平?jīng)]有達(dá)到歐盟委員會(huì)認(rèn)可的標(biāo)準(zhǔn)，有兩種替代方式也可實(shí)現(xiàn)轉(zhuǎn)移：一類是例外場(chǎng)景，如取得了數(shù)據(jù)主體的明確同意，或該轉(zhuǎn)移是為了履行與數(shù)據(jù)主體之間的協(xié)議所必需等；另一類是企業(yè)能夠證明已采取了充分的保障措施情形③歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》第5 章，第25，26 ，27 條的規(guī)定。。

此外，歐盟也通過(guò)在全球積極推廣其個(gè)人數(shù)據(jù)保護(hù)制度，不斷擴(kuò)展可以實(shí)現(xiàn)數(shù)據(jù)自由流動(dòng)的地區(qū)。1981 年，歐洲理事會(huì)各成員國(guó)簽署歐洲《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》（歐洲第108號(hào)公約）。加入公約，意味著要建立與歐盟相似的個(gè)人數(shù)據(jù)保護(hù)立法，將被視為滿足歐盟跨境數(shù)據(jù)流動(dòng) “充分性保護(hù)”標(biāo)準(zhǔn)的重要參考。特別自2010年以來(lái)，歐盟加速推進(jìn)公約的全球化進(jìn)程，目前已有46個(gè)國(guó)家加入公約[6]。

與美歐相比，中國(guó)、巴西等國(guó)家更多從維護(hù)網(wǎng)絡(luò)安全和數(shù)據(jù)主權(quán)為目的出發(fā)，制定跨境數(shù)據(jù)流動(dòng)政策。包括中國(guó)、越南、巴西等在內(nèi)的發(fā)展中國(guó)家，也包括澳大利亞、加拿大等發(fā)達(dá)國(guó)家在不同程度均提出了數(shù)據(jù)本地化措施。此類措施對(duì)服務(wù)貿(mào)易全球化可能帶來(lái)消極影響[7]，但卻能在一定程度上保障國(guó)家信息安全，特別是從執(zhí)法層面，為國(guó)家行使司法主權(quán)提供依托。

2.3 美歐數(shù)據(jù)跨境流動(dòng)政策的具體實(shí)施機(jī)制有較大差異

美國(guó)的數(shù)據(jù)跨境政策也體現(xiàn)出較強(qiáng)的實(shí)用靈活性；歐盟政策圍繞公民權(quán)利而展開(kāi)，但具體實(shí)施機(jī)制仍在完善之中。

2.3.1 美國(guó)

美國(guó)在國(guó)際上推行寬松的數(shù)據(jù)跨境流動(dòng)政策，首先需要本國(guó)示范。因此在美國(guó)一般立法中,難以觀察到禁止或者限制數(shù)據(jù)跨境流動(dòng)的明確要求④如前文明確，國(guó)家秘密及政府?dāng)?shù)據(jù)不在本文討論范圍，因此本文不討論美國(guó)《出口管制條例》中涉及的美國(guó)技術(shù)秘密部分的數(shù)據(jù)管理要求，以及聯(lián)邦政府?dāng)?shù)據(jù)安全管理框架Fedramp .此處所介紹的美國(guó)數(shù)據(jù)跨境政策，主要指向經(jīng)貿(mào)往來(lái)中，商業(yè)目的的數(shù)據(jù)跨境流動(dòng)政策。。但在一些特定案例中，美國(guó)也留有了一定的政策回轉(zhuǎn)空間。例如：美國(guó)針對(duì)外國(guó)投資安全審查中，可以與外國(guó)投資者簽訂安全協(xié)議，而安全協(xié)議可能包括相關(guān)的數(shù)據(jù)本地化要求。關(guān)于數(shù)據(jù)本地化要求的執(zhí)行落地，也通常會(huì)由CIFUS指定的特定政府部門來(lái)負(fù)責(zé)監(jiān)督執(zhí)行。

2.3.2 歐盟

歐盟數(shù)據(jù)跨境轉(zhuǎn)移政策主要體現(xiàn)在個(gè)人數(shù)據(jù)保護(hù)制度中，相應(yīng)地，其實(shí)施機(jī)制也依附于個(gè)人數(shù)據(jù)保護(hù)執(zhí)法體系。如上述，數(shù)據(jù)控制者①數(shù)據(jù)控制者是歐盟數(shù)據(jù)保護(hù)法規(guī)范的主體，是指獨(dú)自或者與他人一起決定個(gè)人數(shù)據(jù)處理的目的和方法的自然人、法人、公共機(jī)關(guān)、機(jī)構(gòu)或其他組織。實(shí)施個(gè)人數(shù)據(jù)跨境流動(dòng)活動(dòng)時(shí)，有三種合法方式：（1）數(shù)據(jù)傳輸至“充分性認(rèn)定”地區(qū)；（2）例外場(chǎng)景（包括用戶同意，或者執(zhí)行合同需要等）；（3）充分保障措施?？紤]到“例外情形”可適用場(chǎng)景少，并不能夠?yàn)槿粘；?、?guī)?；臄?shù)據(jù)跨境轉(zhuǎn)移提供穩(wěn)定的合法性基礎(chǔ)[8]，以下主要介紹“充分性認(rèn)定機(jī)制”和“充分保障措施”機(jī)制。

“充分性認(rèn)定”是一個(gè)白名單機(jī)制。歐盟委員會(huì)負(fù)責(zé)根據(jù)第三國(guó)的個(gè)人信息保護(hù)立法狀況、執(zhí)法能力，以及是否存在有效的救濟(jì)機(jī)制等因素，做出綜合評(píng)估。截止到目前為止，僅有阿根廷、加拿大等不超過(guò)20個(gè)國(guó)家或地區(qū)通過(guò)了歐委會(huì)認(rèn)定②歐盟委員會(huì)目前已認(rèn)可以下國(guó)家達(dá)到了歐盟的“充分性保護(hù)”標(biāo)準(zhǔn)，包括：安道爾，阿根廷，加拿大（商業(yè)組織），法羅群島，根西島，以色列，馬恩島，澤西島，新西蘭，瑞士和烏拉圭。。此外，對(duì)于美國(guó)這一重要的貿(mào)易伙伴，歐盟還發(fā)展出“安全港框架”，以便針對(duì)性的解決與美國(guó)之間的數(shù)據(jù)流動(dòng)問(wèn)題。

充分保障措施主要體現(xiàn)為“標(biāo)準(zhǔn)合同文本”機(jī)制（Standard Clauses Contract，SCC）和“有約束力公司規(guī)則”機(jī)制（Binding Corporate Rule，BCR）。對(duì)于前者，截止到目前，歐委會(huì)已經(jīng)形成了三個(gè)合同范本，分別適用于“數(shù)據(jù)控制者到數(shù)據(jù)控制者之間的轉(zhuǎn)移”、“數(shù)據(jù)控制者到數(shù)據(jù)處理者之間的轉(zhuǎn)移”③Available at http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm。此類合同范本通過(guò)規(guī)定數(shù)據(jù)輸出方和數(shù)據(jù)接收方基于合同的數(shù)據(jù)保護(hù)責(zé)任④例如規(guī)定：數(shù)據(jù)主體因合同雙方違反數(shù)據(jù)保護(hù)義務(wù)而造成的損害，有權(quán)向合同雙方獲得損害賠償。合同雙方同意，只有在證明任何一方對(duì)該條款的違反均沒(méi)有責(zé)任的情況下，才能免除雙方的賠償責(zé)任。，來(lái)間接提供對(duì)個(gè)人的保護(hù)機(jī)制；對(duì)于后者——“有約束力的公司規(guī)則”則是集團(tuán)型跨國(guó)企業(yè)可優(yōu)先考慮的機(jī)制，集團(tuán)遵循一套完整的，經(jīng)個(gè)人數(shù)據(jù)監(jiān)管機(jī)構(gòu)認(rèn)可的數(shù)據(jù)處理機(jī)制，則該集團(tuán)內(nèi)部整體成為一個(gè)“安全港”，個(gè)人數(shù)據(jù)可以從集團(tuán)內(nèi)的一個(gè)成員合法傳輸給另一個(gè)成員。目前，包括埃森哲、寶馬汽車、惠普、摩托羅拉等72家跨國(guó)公司獲得了歐盟BCR認(rèn)可⑤Available at http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/bcr_cooperation/index_en.htm。

由于通過(guò)充分性認(rèn)定的國(guó)家總是少數(shù)，因此充分保障措施機(jī)制是歐盟各國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)在跨境數(shù)據(jù)流動(dòng)管理中最為主要的抓手。

3 數(shù)據(jù)跨境政策面臨的共性問(wèn)題及對(duì)中國(guó)的參考建議

盡管在政策目標(biāo)上具有明顯差異，但美歐在數(shù)據(jù)跨境流動(dòng)政策中也面臨最為基礎(chǔ)的共性問(wèn)題——如何在全球化的數(shù)字經(jīng)濟(jì)中有效達(dá)成數(shù)據(jù)跨境流動(dòng)監(jiān)管目標(biāo)？特別是在數(shù)據(jù)跨境流動(dòng)成為普遍趨勢(shì)的背景下，對(duì)數(shù)據(jù)跨境活動(dòng)的干預(yù)愈深，這一問(wèn)題帶來(lái)的挑戰(zhàn)就愈大。

美國(guó)憑借其在技術(shù)、產(chǎn)業(yè)優(yōu)勢(shì)以及靈活的監(jiān)管制度優(yōu)勢(shì)，在數(shù)據(jù)跨境伴生而來(lái)的隱私保護(hù)、數(shù)據(jù)安全問(wèn)題并無(wú)特別擔(dān)憂，因此僅建立了個(gè)案式的、事后監(jiān)管機(jī)制，此類機(jī)制最大程度地避免了對(duì)數(shù)據(jù)跨境流動(dòng)的干預(yù)，同時(shí)也能有效贏得美貿(mào)易利益和安全利益的雙贏。美國(guó)面臨的困境是在全球推行數(shù)據(jù)自由流動(dòng)時(shí)，難以提出對(duì)“數(shù)據(jù)本地化”進(jìn)行限制的合理標(biāo)準(zhǔn)，畢竟國(guó)際貿(mào)易規(guī)則中將安全和公共利益作為了基本例外[9]。

而對(duì)于中歐來(lái)說(shuō)，對(duì)安全和隱私的擔(dān)憂卻是真實(shí)存在著的，因此二者也相應(yīng)地建立了普適性的數(shù)據(jù)跨境流動(dòng)管理機(jī)制[10]。由于中國(guó)仍處于制度建設(shè)期，尚無(wú)法觀察其實(shí)踐效果，但實(shí)施有二十余年的歐盟數(shù)據(jù)跨境轉(zhuǎn)移管理機(jī)制則較為全面地呈現(xiàn)了其所面臨的實(shí)際困境。

3.1 歐盟數(shù)據(jù)跨境流動(dòng)政策的困境與改良

歐盟2012年啟動(dòng)個(gè)人數(shù)據(jù)保護(hù)立法改革時(shí)，曾全面梳理了現(xiàn)有的個(gè)人數(shù)據(jù)保護(hù)制度呈現(xiàn)出的種種缺陷。其中最為突出的問(wèn)題即是：日益增長(zhǎng)的全球數(shù)據(jù)流動(dòng)與現(xiàn)有監(jiān)管制度之間的不適應(yīng)。幾乎所有的歐盟企業(yè)都涉及到向歐盟境外傳輸數(shù)據(jù)，然而1995指令中關(guān)于跨境流動(dòng)的規(guī)則早已難以適應(yīng)數(shù)據(jù)國(guó)際流動(dòng)[11]。

正如批評(píng)意見(jiàn)認(rèn)為：歐盟對(duì)個(gè)人信息的跨境轉(zhuǎn)移設(shè)置嚴(yán)格條件類似于虛幻假象，因?yàn)樗傧髿W盟的標(biāo)準(zhǔn)能覆蓋到除歐盟以外的全球各處，但實(shí)際情形并非如此[12]。的確，歐盟跨境數(shù)據(jù)轉(zhuǎn)移管理的三類方式均已捉襟見(jiàn)肘。因此，歐盟即將生效的個(gè)人數(shù)據(jù)保護(hù)新法規(guī)——《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Rules，GDPR）對(duì)跨境數(shù)據(jù)流動(dòng)政策進(jìn)行了大幅優(yōu)化改革，特別著力于提升政策的靈活度：

（1）明確禁止各成員國(guó)不得以許可方式管理跨境數(shù)據(jù)流動(dòng)。多年的實(shí)踐表明，歐盟各成員國(guó)對(duì)跨境流動(dòng)采取的許可管理方式并沒(méi)有實(shí)質(zhì)性的提升個(gè)人信息出境的保護(hù)水平，相反，事前許可制度卻帶來(lái)官僚主義問(wèn)題。因此，2016年《數(shù)據(jù)保護(hù)通用條例》重點(diǎn)簡(jiǎn)化了數(shù)據(jù)跨境傳輸機(jī)制，明確禁止了許可管理做法，只要符合了《條例》中跨境數(shù)據(jù)流動(dòng)的合法條件，則成員國(guó)不得再通過(guò)許可方式予以限制。

（2）增加了充分性認(rèn)定的對(duì)象類型。除了對(duì)國(guó)家可以作出評(píng)估外，還可以對(duì)一國(guó)內(nèi)的特定地區(qū)、行業(yè)領(lǐng)域以及國(guó)際組織的保護(hù)水平作出評(píng)估判斷，以進(jìn)一步擴(kuò)展通過(guò)“充分性”決定（adequate decision）覆蓋的地區(qū)。

（3） 擴(kuò)展“標(biāo)準(zhǔn)合同條款”，除了保留目前已生效的3個(gè)標(biāo)準(zhǔn)合同范文?！稐l例》增加了成員國(guó)數(shù)據(jù)監(jiān)管機(jī)構(gòu)可以指定其他標(biāo)準(zhǔn)合同條款的渠道，以為企業(yè)提供更多的，符合實(shí)際需求的跨境轉(zhuǎn)移合同文本選擇。

（4） 發(fā)揮行業(yè)協(xié)會(huì)等第三方監(jiān)督與市場(chǎng)自律作用。條例規(guī)定數(shù)據(jù)控制者可以成立協(xié)會(huì)并提出所遵守的詳細(xì)行為準(zhǔn)則（codes of conduct）。該行為準(zhǔn)則經(jīng)由成員國(guó)監(jiān)管機(jī)構(gòu)或者歐盟數(shù)據(jù)保護(hù)委員認(rèn)可后，可通過(guò)有約束力的承諾方式生效。此外，經(jīng)認(rèn)可的市場(chǎng)認(rèn)證標(biāo)志也可以作為數(shù)據(jù)跨境轉(zhuǎn)移的合法機(jī)制。

3.2 歐盟經(jīng)驗(yàn)對(duì)中國(guó)的參考意義

3.2.1 中國(guó)數(shù)據(jù)跨境流動(dòng)政策發(fā)展概況

2016年11月出臺(tái)的《網(wǎng)絡(luò)安全法》首次以國(guó)家法律形式明確了中國(guó)數(shù)據(jù)跨境流動(dòng)基本政策。其中第三十七條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

中國(guó)數(shù)據(jù)跨境流動(dòng)政策更多是在斯諾登事件后，基于國(guó)家網(wǎng)絡(luò)安全視角而提出。但實(shí)際上這種政策視角在2013年前已顯露雛形。如2011年中國(guó)人民銀行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》已要求個(gè)人金融信息的儲(chǔ)存、處理和分析應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行；2013年《征信業(yè)管理?xiàng)l例》規(guī)定征信機(jī)構(gòu)對(duì)在中國(guó)境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國(guó)境內(nèi)進(jìn)行；此后，處于數(shù)據(jù)安全目的，本地化要求進(jìn)一步被寫入網(wǎng)絡(luò)監(jiān)管立法中，除《網(wǎng)絡(luò)安全法》外，包括：2014年國(guó)家衛(wèi)計(jì)委頒布《人口健康信息管理辦法（試行）》、2015年《地圖管理?xiàng)l例》、2016年《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、2016年《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》等都不同程度提出了數(shù)據(jù)本地化要求。正在制定中的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》及其配套的標(biāo)準(zhǔn)指南也將全面搭建起數(shù)據(jù)出境管理框架。

中歐均對(duì)日益增長(zhǎng)的數(shù)據(jù)跨境流動(dòng)采取干預(yù)措施，歐盟所積累的政策經(jīng)驗(yàn)與教訓(xùn)對(duì)中國(guó)而言具有重要參考價(jià)值。特別與歐盟相比，中國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)活動(dòng)的干預(yù)似乎更深更直接，更需要深度考量如何采取科學(xué)有效機(jī)制，以有效平衡數(shù)據(jù)流動(dòng)與安全利益。

其一，“許可”等事前監(jiān)管機(jī)制已被證明固有的局限性。一方面，它與全球化數(shù)字經(jīng)濟(jì)的發(fā)展趨勢(shì)極不適應(yīng)。數(shù)據(jù)的跨境流動(dòng)并不是遵循特定路徑，而是通過(guò)多種方式、多種渠道，例如E-mail、即時(shí)通信、提供數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限，或者是通過(guò)內(nèi)部網(wǎng)絡(luò)進(jìn)行交換。傳統(tǒng)的許可管理方式與此格格不入。事前建立一刀切的許可門檻，并不有助于監(jiān)管目標(biāo)的實(shí)現(xiàn)，而往往只是增加形式上的行政負(fù)擔(dān)。當(dāng)然，在國(guó)內(nèi)此前公布的數(shù)據(jù)出境文件征求意見(jiàn)稿中，監(jiān)管機(jī)構(gòu)也已然關(guān)注到了這一問(wèn)題，引入了企業(yè)自評(píng)估機(jī)制，并體現(xiàn)出將政府評(píng)估作為事中、事后監(jiān)管的思路。

其二， 要為“合理有序的數(shù)據(jù)流動(dòng)”提供盡可能豐富的合法渠道。歐盟數(shù)據(jù)跨境政策的改革方向表明，如果不能提供多樣化的有效合法跨境渠道，則無(wú)法向市場(chǎng)傳達(dá)政策方向，從而能夠引導(dǎo)企業(yè)通過(guò)可預(yù)期的穩(wěn)定機(jī)制在實(shí)現(xiàn)自身的數(shù)據(jù)跨境需求時(shí)，同時(shí)實(shí)現(xiàn)監(jiān)管者設(shè)定的用戶隱私、數(shù)據(jù)安全目標(biāo)。這也是歐盟在對(duì)數(shù)據(jù)跨境流動(dòng)機(jī)制進(jìn)行改革時(shí)，重點(diǎn)落腳于增加有效渠道的根本原因。

3.2.2 中國(guó)可借鑒的有益做法

我國(guó)目前初步建立的數(shù)據(jù)跨境流動(dòng)政策，如將數(shù)據(jù)出境安全評(píng)估作為單一合規(guī)機(jī)制，在現(xiàn)實(shí)中恐難以適應(yīng)海量數(shù)據(jù)跨境管理需求。建議參考?xì)W盟及其他國(guó)家經(jīng)驗(yàn)，設(shè)立符合我國(guó)國(guó)情需要的多樣化合法流動(dòng)機(jī)制，例如：

（1）建立白名單機(jī)制。根據(jù)個(gè)人信息保護(hù)狀況及對(duì)等措施，將部分地區(qū)納入可自由流動(dòng)的國(guó)家與地區(qū)①例如：2017年4月27日，馬來(lái)西亞公布個(gè)人信息傳輸?shù)陌酌麊危ú莅福渲邪ㄖ袊?guó)在內(nèi)的23個(gè)國(guó)家和地區(qū)，認(rèn)定為準(zhǔn)許接收跨境個(gè)人數(shù)據(jù)的目的地。See :Malaysia publishes draft "White List" for personal data exports,available at :https://www.hoganlovells.com/en/publications/malaysia-publishes-draft-white-list-for-personal-data-exports.。考慮到短期內(nèi)各國(guó)無(wú)法形成相互協(xié)調(diào)的數(shù)據(jù)流動(dòng)政策體系，因此，數(shù)據(jù)跨境流動(dòng)政策將深度嵌入雙、多邊的貿(mào)易投資談判。在國(guó)與國(guó)之間、區(qū)域與區(qū)域之間體現(xiàn)出多樣性、靈活性，形成不同解決方案[13]。如我國(guó)近鄰日本、韓國(guó)，已分別啟動(dòng)與美歐的數(shù)據(jù)跨境流動(dòng)雙邊談判②EU aims for data transfer deal with Japan, South Korea，available at https://ec.europa.eu/newsroom/document.cfm?doc_id=41.,預(yù)計(jì)在2018年之前，日韓將分別與歐洲達(dá)成充分性保護(hù)互認(rèn)協(xié)議，同時(shí)，由于日韓均已加入美國(guó)主導(dǎo)的APEC跨境數(shù)據(jù)流動(dòng)CBPR機(jī)制，日韓與美國(guó)的數(shù)據(jù)流動(dòng)也具備順暢渠道。預(yù)計(jì)此類區(qū)域性的數(shù)據(jù)流動(dòng)協(xié)議在未來(lái)將成為解決數(shù)據(jù)流動(dòng)的主要途徑之一。

（2）根據(jù)安全評(píng)估的主要標(biāo)準(zhǔn)，建立指引性的數(shù)據(jù)跨境流動(dòng)協(xié)議范本，類似于歐盟標(biāo)準(zhǔn)合同范本，引導(dǎo)企業(yè)在數(shù)據(jù)出境中，通過(guò)合同法律機(jī)制來(lái)管控?cái)?shù)據(jù)出境風(fēng)險(xiǎn)。

（3）鼓勵(lì)行業(yè)協(xié)會(huì)及其他自律組織參與安全評(píng)估。作為市場(chǎng)機(jī)制補(bǔ)充，在安全評(píng)估中發(fā)揮作用，從而建立可落地實(shí)施，具有活力的數(shù)據(jù)管理秩序。

（4）對(duì)不同性質(zhì)的數(shù)據(jù)采取分類管理方法。不僅區(qū)分個(gè)人數(shù)據(jù)、重要數(shù)據(jù)，形成對(duì)應(yīng)的跨境流動(dòng)管理策略，也可進(jìn)一步在管理實(shí)踐中，根據(jù)數(shù)據(jù)的安全屬性進(jìn)行梯度性管理。

綜上，在信息通信技術(shù)與經(jīng)濟(jì)全球化深度耦合背景下，應(yīng)當(dāng)承認(rèn)：數(shù)據(jù)的跨境流動(dòng)是絕對(duì)的，而對(duì)數(shù)據(jù)流動(dòng)的限制是相對(duì)的。后者是手段，前者是目標(biāo)。正如在數(shù)據(jù)出境安全評(píng)估指南制定過(guò)程中，有關(guān)專家指出：安全評(píng)估的實(shí)質(zhì)是服務(wù)于數(shù)據(jù)出境，是在保障安全的前提下促進(jìn)數(shù)據(jù)的跨境流動(dòng)。總之，合理的數(shù)據(jù)跨境流動(dòng)政策應(yīng)該秉承適度性原則或必要性原則，在貿(mào)易、發(fā)展與安全利益的相互權(quán)衡之下，尋求最大公約數(shù)。

4 復(fù)雜的數(shù)據(jù)流動(dòng)政策對(duì)跨境業(yè)務(wù)的影響

基于中美歐政策之間的巨大鴻溝，在全球范圍內(nèi)形成協(xié)調(diào)一致的跨境數(shù)據(jù)流動(dòng)政策還很遙遠(yuǎn)。除了“數(shù)據(jù)自由流動(dòng)”與“數(shù)據(jù)本地化”之間的沖突，歐美中數(shù)據(jù)流動(dòng)機(jī)制的具體差異，也決定了在未來(lái)一定時(shí)期，涉及數(shù)據(jù)跨境流動(dòng)的企業(yè)需要面臨復(fù)雜的政策環(huán)境，這不僅直接關(guān)系業(yè)務(wù)合規(guī)，而且也對(duì)成本負(fù)擔(dān)、技術(shù)架構(gòu)乃至戰(zhàn)略布局帶來(lái)深度影響。

首先，包括本地化在內(nèi)的各類數(shù)據(jù)跨境流動(dòng)政策，對(duì)依賴全球數(shù)據(jù)聚合的業(yè)務(wù)帶來(lái)影響。包括傳統(tǒng)的業(yè)務(wù)類型，例如：金融行業(yè)，跨國(guó)銀行集團(tuán)需要建立集中化的數(shù)據(jù)處理中心；跨境物流行業(yè)，集團(tuán)通過(guò)匯聚全球數(shù)據(jù)來(lái)高效調(diào)配物流資源。此類業(yè)務(wù)的數(shù)據(jù)集中都將面臨挑戰(zhàn)。換言之，物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)應(yīng)用在技術(shù)上完全可實(shí)現(xiàn)全球數(shù)據(jù)資源的匯集、并通過(guò)對(duì)數(shù)據(jù)的加工分析，創(chuàng)造出新的經(jīng)濟(jì)價(jià)值，而全球割裂的數(shù)據(jù)跨境流動(dòng)政策將直接影響著此類業(yè)務(wù)的效率，甚至是業(yè)務(wù)模式本身能否持續(xù)開(kāi)展。

其次，相比于大型企業(yè)，中小企業(yè)受到的沖擊更大。大型企業(yè)往往在數(shù)據(jù)中心部署方面更具優(yōu)勢(shì)，可以利用充沛資源和技術(shù)方案實(shí)現(xiàn)合規(guī)要求，而處于發(fā)展起步階段的中小企業(yè)，在跨境業(yè)務(wù)中部署數(shù)據(jù)本地化方案將不是一個(gè)輕松的決定，這在一定程度上反映了數(shù)據(jù)本地化政策帶來(lái)的市場(chǎng)競(jìng)爭(zhēng)效應(yīng)，其政策門檻削弱了中小企業(yè)對(duì)跨境業(yè)務(wù)的參與度和市場(chǎng)創(chuàng)新能力。

再次，“數(shù)據(jù)本地化”政策對(duì)沒(méi)有本地化需求的跨境業(yè)務(wù)帶來(lái)負(fù)擔(dān)。盡管在信息通信服務(wù)領(lǐng)域，“靠近用戶”會(huì)驅(qū)動(dòng)服務(wù)商將數(shù)據(jù)中心建立在本地，提升數(shù)據(jù)傳輸速率，為用戶帶來(lái)更好服務(wù)體驗(yàn)。但不容否認(rèn)，仍有大量業(yè)務(wù)場(chǎng)景并不需要考慮這一因素，反而更關(guān)切因?yàn)閿?shù)據(jù)本地化帶來(lái)的負(fù)擔(dān)成本。例如：面向境外用戶提供旅行產(chǎn)品訂購(gòu)的網(wǎng)站，在初創(chuàng)期可能并不需要考慮在服務(wù)本地部署數(shù)據(jù)中心；又或者一些數(shù)據(jù)容災(zāi)備份的安全服務(wù)，對(duì)數(shù)據(jù)傳輸響應(yīng)速度并無(wú)特殊需求，也往往并不需要將數(shù)據(jù)部署在本地。

5 數(shù)據(jù)跨境流動(dòng)合規(guī)建議

當(dāng)前，不僅金融、電信、互聯(lián)網(wǎng)等跨境服務(wù)離不開(kāi)數(shù)據(jù)跨境傳輸支撐，包括制造業(yè)、醫(yī)療健康乃至農(nóng)業(yè)生產(chǎn)等更多傳統(tǒng)產(chǎn)業(yè)也產(chǎn)生了大量的數(shù)據(jù)跨境需求。例如：飛機(jī)制造商波音公司通過(guò)其遍布全球的飛機(jī)和航線服務(wù)，建立了全面的數(shù)據(jù)收集系統(tǒng)，用于發(fā)現(xiàn)和診斷問(wèn)題航班。我國(guó)重型機(jī)械生產(chǎn)制造企業(yè)三一重工也通過(guò)對(duì)裝備運(yùn)行信息的實(shí)時(shí)采集，提供遠(yuǎn)程跨境診斷服務(wù)。涉及數(shù)據(jù)跨境流動(dòng)企業(yè)需要建立完善的合規(guī)體系，為業(yè)務(wù)提供法律基礎(chǔ)保障。

5.1 關(guān)注本地?cái)?shù)據(jù)跨境流動(dòng)政策目的及嚴(yán)苛程度

各國(guó)數(shù)據(jù)跨境流動(dòng)政策目標(biāo)決定了其嚴(yán)格程度和具體要求上的差別。例如以數(shù)據(jù)主權(quán)和網(wǎng)絡(luò)安全為驅(qū)動(dòng)的數(shù)據(jù)跨境政策，在跨境管理上會(huì)趨向于嚴(yán)苛，不僅要求在本地存儲(chǔ)，也對(duì)向境外提供采取了嚴(yán)格限制措施，涉及的數(shù)據(jù)范圍也更為廣泛，對(duì)企業(yè)運(yùn)營(yíng)帶來(lái)更深度影響，需深入到業(yè)務(wù)場(chǎng)景和技術(shù)實(shí)現(xiàn)方式中提出合規(guī)方案；而以保護(hù)公民個(gè)人信息為目標(biāo)的政策，會(huì)留有更多的例外空間和合法轉(zhuǎn)移渠道，且僅涉及個(gè)人數(shù)據(jù)，企業(yè)可根據(jù)自身需求，選擇適合的合規(guī)途徑。

5.2 積極尋求多樣化合規(guī)渠道

對(duì)于我國(guó)企業(yè)來(lái)說(shuō)，面臨兩類基本的數(shù)據(jù)跨境合規(guī)問(wèn)題，一類是從我國(guó)收集運(yùn)營(yíng)的數(shù)據(jù)向境外傳輸、提供問(wèn)題；另一類是開(kāi)展跨境服務(wù)的我國(guó)企業(yè)在其他海外市場(chǎng)所面臨的當(dāng)?shù)財(cái)?shù)據(jù)出境政策。

對(duì)于第一類問(wèn)題，由于我國(guó)目前根據(jù)《網(wǎng)絡(luò)安全法》第三十七條來(lái)制定相關(guān)配套辦法標(biāo)準(zhǔn)，將初步建立較為嚴(yán)格的數(shù)據(jù)流動(dòng)管理制度，企業(yè)應(yīng)根據(jù)要求建立完善的出境數(shù)據(jù)檔案及安全自評(píng)估制度，以備相關(guān)主管部門實(shí)施監(jiān)督檢查。除了少數(shù)例外情況，數(shù)據(jù)出境的合法路徑主要依賴于企業(yè)的安全自評(píng)估和主管部門評(píng)估。

而有越來(lái)越多的出海企業(yè)將面臨第二類問(wèn)題。首先，在歐盟市場(chǎng)，由于我國(guó)的個(gè)人信息保護(hù)水平與歐盟尚存較大差距，并不滿足歐盟“充分性”認(rèn)定標(biāo)準(zhǔn)，歐盟成員國(guó)往往會(huì)對(duì)傳輸至我國(guó)境內(nèi)的個(gè)人數(shù)據(jù)活動(dòng)作出限制。在此背景下，我國(guó)企業(yè)要根據(jù)歐盟法律要求，積極尋求數(shù)據(jù)跨境轉(zhuǎn)移的合法性基礎(chǔ)。其中：

在歐盟新的數(shù)據(jù)保護(hù)立法GDPR在2018年5月生效之前，中國(guó)企業(yè)可以利用的合法傳輸機(jī)制仍然相當(dāng)有限。例如：“標(biāo)準(zhǔn)合同文本”和“有約束力公司規(guī)則”仍很難為中國(guó)企業(yè)所利用。相比較而言，作為中國(guó)企業(yè)的競(jìng)爭(zhēng)對(duì)手——美國(guó)企業(yè)（特別是中小企業(yè)）則可以利用“美歐隱私盾”更方便的實(shí)現(xiàn)數(shù)據(jù)合法轉(zhuǎn)移①Lisa J. Sotto, Christopher D. Hydak，The EU-US Privacy Shield: A How-To Guide，Hunton & Williams lawyer insights，2016-7-19，而日韓企業(yè)也有望在2018年后通過(guò)政府與歐盟達(dá)成的充分性保護(hù)互認(rèn)協(xié)議實(shí)現(xiàn)高效的轉(zhuǎn)移數(shù)據(jù)。

若采取例外情形中的“用戶同意”模式，則要滿足歐盟對(duì)“同意”的高標(biāo)準(zhǔn)要求，包括向用戶充分說(shuō)明跨境傳輸?shù)南嚓P(guān)信息，例如：傳輸?shù)哪康膰?guó)，目的國(guó)的個(gè)人信息保護(hù)水平以及用戶可能面臨的風(fēng)險(xiǎn)，并確保用戶的同意是在充分知情的情形下做出的特定授權(quán)。因此，此類高標(biāo)準(zhǔn)要求也決定了“同意”機(jī)制多數(shù)情況下僅適用于小規(guī)模的數(shù)據(jù)轉(zhuǎn)移。

對(duì)于具有一定實(shí)力的中國(guó)企業(yè)，則可以結(jié)合業(yè)務(wù)布局考慮，選擇在歐盟成員國(guó)或歐盟認(rèn)可的“充分保護(hù)認(rèn)定”國(guó)家，例如：加拿大、阿根廷、新西蘭等，在此類國(guó)家建立或選擇數(shù)據(jù)中心，作為“數(shù)據(jù)港”，以盡可能降低數(shù)據(jù)跨境傳輸成本和合規(guī)風(fēng)險(xiǎn)[14]。此外，在歐盟市場(chǎng)面臨的問(wèn)題，也將在其他效仿歐盟建立跨境流動(dòng)機(jī)制的國(guó)家體現(xiàn)，比如非洲等新興市場(chǎng)國(guó)家，企業(yè)需要提前做好合規(guī)路徑儲(chǔ)備。

而在美國(guó)以及APEC國(guó)家地區(qū)，由于美國(guó)所推行的APEC隱私框架中的跨境隱私保護(hù)規(guī)則(CBPRs)進(jìn)展緩慢,我國(guó)也未正式加入，我國(guó)企業(yè)還不能利用該框架中的跨境數(shù)據(jù)轉(zhuǎn)移機(jī)制。因此在美國(guó)、APEC等地區(qū)的數(shù)據(jù)跨境轉(zhuǎn)移，我國(guó)企業(yè)也需更多考慮數(shù)據(jù)跨境轉(zhuǎn)移合規(guī)問(wèn)題，并根據(jù)不同國(guó)家的跨境轉(zhuǎn)移需求，制定不同的合規(guī)方案。這其中也可結(jié)合各國(guó)數(shù)據(jù)保護(hù)水平和國(guó)際認(rèn)可程度，選擇相關(guān)國(guó)家及地區(qū)作為“數(shù)據(jù)港”，如常見(jiàn)包括澳大利亞、日本、新加坡和我國(guó)香港地區(qū)。

5.3 應(yīng)對(duì)數(shù)據(jù)本地化帶來(lái)的管轄沖突

事實(shí)上，盡管根據(jù)不同國(guó)家數(shù)據(jù)跨境流動(dòng)政策可以選擇不同的合規(guī)方案，但最終無(wú)法回避管轄沖突問(wèn)題。互聯(lián)網(wǎng)是全球性的，然而立法與監(jiān)管卻是本地的。長(zhǎng)期以來(lái)，互聯(lián)網(wǎng)的管轄適用問(wèn)題一直就未得到解決。而當(dāng)前復(fù)雜的全球數(shù)據(jù)流動(dòng)則更進(jìn)一步加劇了管轄沖突。例如：各國(guó)通過(guò)數(shù)據(jù)本地化立法，來(lái)解決法律適用和本地執(zhí)法問(wèn)題，但從美國(guó)相關(guān)案例，典型如微軟訴美國(guó)司法部案中②2013 年12 月，美國(guó)紐約南區(qū)聯(lián)邦地區(qū)法院助理法官詹姆斯· 佛朗西斯（James C. Francis）簽發(fā)搜查令，要求微軟公司協(xié)助一起毒品案件的調(diào)查，將一名用戶的電子郵件內(nèi)容和其他賬戶信息提交給美國(guó)政府。對(duì)此，微軟認(rèn)為，美國(guó)政府申請(qǐng)的搜查令只在美國(guó)境內(nèi)有效，存放電子郵件內(nèi)容的微軟愛(ài)爾蘭數(shù)據(jù)中心，不歸美國(guó)政府管轄。而美國(guó)司法部認(rèn)為：微軟是美國(guó)公司，應(yīng)當(dāng)服從美國(guó)法律和司法部門的執(zhí)法要求。即使其服務(wù)器存放在愛(ài)爾蘭，仍然是該服務(wù)器的所有者，可以對(duì)該服務(wù)器進(jìn)行操作。此案經(jīng)過(guò)微軟兩次上訴后，法院裁定：FBI 的搜查令不具域外效力（Extra territorial Effects）；要獲取境外數(shù)據(jù)，應(yīng)通過(guò)雙邊司法協(xié)助條約（Mutual Legal Assistance Treaty）方式。，司法部門認(rèn)為其無(wú)論數(shù)據(jù)存儲(chǔ)在哪里，都具有其管轄權(quán)，使得企業(yè)處于進(jìn)退兩難境地[15]。實(shí)際上，這不僅是大型跨國(guó)公司面臨的問(wèn)題，伴隨互聯(lián)網(wǎng)服務(wù)的全球化趨勢(shì)，一些初創(chuàng)企業(yè)也將面臨。

針對(duì)法律適用和管轄，政府部門和司法機(jī)構(gòu)可以有不同的主張，包括：服務(wù)提供商注冊(cè)所在地（總部所在地）、數(shù)據(jù)存儲(chǔ)服務(wù)器所在地，數(shù)據(jù)本身所涉及的數(shù)據(jù)主體所在地等等，多項(xiàng)的法律適用連接點(diǎn)給跨境服務(wù)企業(yè)帶來(lái)更多的法定義務(wù)沖突問(wèn)題。

當(dāng)前階段，司法管轄沖突更多體現(xiàn)為個(gè)案式的。例如在涉及訴訟、仲裁等跨境調(diào)查中，由于不同國(guó)家法律及監(jiān)管要求的不同而造成的直接沖突。預(yù)計(jì)隨著歐盟具有寬泛適用范圍的個(gè)人數(shù)據(jù)保護(hù)法GDPR在今年的生效，以及更多數(shù)據(jù)本地化的要求的出現(xiàn)，這種沖突的體現(xiàn)將不再僅僅限于個(gè)案，而是深度影響到業(yè)務(wù)運(yùn)營(yíng)。

考慮到國(guó)家間的司法協(xié)助條約（MLAT）①M(fèi)utual Legal Assistance Treaty相互法律協(xié)助條約，是兩個(gè)或者兩個(gè)以上國(guó)家之間的簽署的協(xié)議。根據(jù)國(guó)際法為各國(guó)政府在刑事調(diào)查和起訴中相互援助方面承擔(dān)義務(wù)。執(zhí)法人員或檢察官在需要幫助的情況下運(yùn)用MLAT，以便在另一國(guó)司法管轄范圍內(nèi)獲得證據(jù)。進(jìn)展緩慢，特別如微軟訴美國(guó)司法部案件中所反映出的政府傾向，在國(guó)家間繁瑣冗長(zhǎng)的司法協(xié)助程序和直接向服務(wù)商發(fā)出協(xié)助配合義務(wù)之間，政府和司法機(jī)構(gòu)更容易選擇后者。這實(shí)質(zhì)上間接鼓勵(lì)著各國(guó)政府更愿意選擇數(shù)據(jù)本地化政策，數(shù)據(jù)存儲(chǔ)在本地至少有執(zhí)法便利，在法律適用上本身也是一個(gè)強(qiáng)有力的抗辯。

因此，對(duì)于面向全球提供服務(wù)的企業(yè)而言，在法律適用沖突中較為安全的選擇是將所服務(wù)的不同國(guó)家的公民個(gè)人數(shù)據(jù)，存儲(chǔ)在不同國(guó)家(或該國(guó)政策認(rèn)可的其他地區(qū)），當(dāng)然這無(wú)疑產(chǎn)生了新的巨大成本，且仍會(huì)面臨復(fù)雜的管轄競(jìng)合問(wèn)題，這亟待通過(guò)國(guó)際層面達(dá)成協(xié)調(diào)機(jī)制。

5.4 建立全球化與本土化相結(jié)合的競(jìng)爭(zhēng)戰(zhàn)略

對(duì)于全球化的平臺(tái)企業(yè)而言，則需要以“全球化”和“本土化”相結(jié)合的視角，破解數(shù)據(jù)管轄沖突困境。例如：歐盟沒(méi)有直接提出數(shù)據(jù)本地化要求，理論上企業(yè)可以選擇多種渠道實(shí)現(xiàn)跨境流動(dòng)。但微軟公司卻已在數(shù)據(jù)本地化之外，嘗試更深度的本地化解決方案。微軟于2016年底與德國(guó)電信合作運(yùn)營(yíng)數(shù)據(jù)中心，專門向歐盟客戶提供服務(wù)。根據(jù)合作安排，德國(guó)電信的子公司 T-Systems 扮演數(shù)據(jù)中心“受托人”角色，負(fù)責(zé)管理微軟在德國(guó)的數(shù)據(jù)中心，未經(jīng)該公司許可，微軟員工也無(wú)法訪問(wèn)②Deutsche Telekom to act as Data Trustee for Microsoft Cloud in Germany，2015-11-11,available at https://www.telekom.com/.../deutschetelekom-to-act-as-data-trustee-for-mic.。

正是考慮到在全球政策層面，短期內(nèi)無(wú)法提供數(shù)據(jù)安全及管轄沖突的協(xié)調(diào)方案，大型跨國(guó)企業(yè)已開(kāi)始著眼于本地化模式的調(diào)整，包括從技術(shù)架構(gòu)、商業(yè)模式等多方面進(jìn)行改進(jìn)優(yōu)化，通過(guò)整合本地化模式，使之既符合當(dāng)?shù)乇O(jiān)管要求，同時(shí)也形成更為強(qiáng)大的全球競(jìng)爭(zhēng)力。

[1]Anupam Chander.Data Nationalism[J]. Emory Law Journal, 2015，64(03)：678-739.

[2] The Framework for Global Electronic Commerce[EB/OL].( 2017-08-19) .https://clintonwhitehouse4.archives.gov/textonly/WH/New/Commerce/index.html.

[3]賈開(kāi).跨境數(shù)據(jù)流動(dòng)的全球治理：權(quán)力沖突與政策合作——以歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管制度的演進(jìn)為例[J].汕頭大學(xué)學(xué)報(bào)，2017(05)：57-64.

[4]Allison Grande.EU Regulators Demand Action On 'Privacy Shield' Issues[EB/OL].Law360.(2017-11-05). https://www.law360.com/articles/991686/eu-regulators-demand-actionon-privacy-shield-issues.

[5]何波.國(guó)際貿(mào)易規(guī)則體系下跨境數(shù)據(jù)流規(guī)則梳理與我國(guó)應(yīng)對(duì)分析[J].汕頭大學(xué)學(xué)報(bào):人文社會(huì)科學(xué)版, 2017 (5) :53-56.

[6]Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data [EB/OL].(2018-01-31). http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108.

[7]Matthias Bauer, Hosuk Lee-Makiyama.The Costs of Data Localisation: Friendly Fire on Economic Recovery[S].ECIPE Occasional Paper, No.3/2014.

[8]EU Working Party on the Protection of Individuals with regard to the Processing of Personal Data Working Document DG XV D/5025/98 WP 12，Working Document Transfers of personal data to third countries : Applying Articles 25 and 26 of the EU data protection directive Adopted by the Working Party on 24 July 1998[EB/OL ].(2018-01-31).http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf.

[9]Shin-yi Peng, Han-wei Liu，The Legality of Data Residency Requirements: How Can the Trans-Pacific Partnership Help? [J].Journal of World Trade, 2017,51 (02): 183–204.

[10] Tatevik Sargsyan.Data Localization and the Role of Infrastructure for Surveillance, Privacy,and Security[J]，International Journal of Communication, 2016 (10): 2221–2237.

[11]European Commission，Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses[EB/OL ]. (2012-1-25).http://europa.eu/rapid/press-release_IP-12-46_en.htm.

[12]Christopher Kuner.Reality and Illusion in EU Data Transfer Regulation Post Schrems University of Cambridge Faculty of Law Legal Studies Research Paper Series[J].PAPER NO.14/2016，MARCH 2016:31-32.

[13]王融.從美歐安全港框架失效看數(shù)據(jù)跨境流動(dòng)政策走向[J].中國(guó)信息安全, 2016(03) :73-73.

[14]Reuben Binns, Dr. David Millard. Data Havens,or Privacy Sans Frontières? [C]//A Study of International Personal Data Transfers, WebSci '14 Proceedings of the 2014 ACM conference on Web Science, 273-274 .

[15]Jennifer Daskal.Law Enforcement Access to Data Across Borders: The Evolving Security and Rights Issues[J]. Journal of National Security Law & Policy, 2016(08): 473-475.