跨境數(shù)據(jù)流動的現(xiàn)狀、分析與展望

王 娜 顧綿雪 伍高飛 張玉清1, 曹春杰

1(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710126) 2(中國礦業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院 江蘇徐州 221000) 3(中國科學(xué)院大學(xué)國家計算機網(wǎng)絡(luò)入侵防范中心 北京 101408) 4(海南大學(xué)計算機與網(wǎng)絡(luò)空間安全學(xué)院 ?？?570208)

1 數(shù)據(jù)跨境大環(huán)境

隨著互聯(lián)網(wǎng)、傳感器以及數(shù)字化終端設(shè)備近年來的迅猛發(fā)展，世界正在走向萬物互聯(lián)的時代.海量數(shù)據(jù)的挖掘和運用讓數(shù)據(jù)的價值逐漸凸顯，甚至已經(jīng)成為各個國家爭奪和保護的重要戰(zhàn)略資源.而信息跨境流動更是成為了當今世界跨境交流過程中的國際新常態(tài).然而，新事物的出現(xiàn)，必將會帶來新的機遇和挑戰(zhàn).

自1980年OECD頒布《關(guān)于隱私保護和個人跨境數(shù)據(jù)轉(zhuǎn)移的指南》以來，跨境數(shù)據(jù)流動逐漸在國際社會占據(jù)舉足輕重的地位.發(fā)展到現(xiàn)在，歐洲法院裁決已經(jīng)2次廢止歐美間個人數(shù)據(jù)跨境流動協(xié)議(《安全港協(xié)議》和《隱私盾協(xié)議》)，分析背后的緣由，可見其雙方在部署上的根本性差異.雖然現(xiàn)階段各個國家都在積極部署相關(guān)政策和法律法規(guī)，但國際上還無法針對數(shù)據(jù)跨境制定和使用單一標準的法律規(guī)制和管轄模式，這也是數(shù)據(jù)跨境現(xiàn)如今在社會各界引發(fā)強烈反響和討論的原因所在[1].

2 數(shù)據(jù)跨境簡介

2.1 數(shù)據(jù)跨境概念

跨境數(shù)據(jù)流動，也被稱為“數(shù)據(jù)跨境傳輸”“數(shù)據(jù)的國際流動”等，數(shù)據(jù)跨境基本流程如圖1所示.其中，跨境國家、數(shù)據(jù)主體和數(shù)據(jù)跨境公權(quán)中心始終擁有密不可分的關(guān)系，從數(shù)據(jù)主體進行數(shù)據(jù)搜集、存儲、使用、加工、披露、傳輸、修改以及刪除，再到數(shù)據(jù)跨境時數(shù)據(jù)跨境公權(quán)中心介入，數(shù)據(jù)主體始終掌握對個人數(shù)據(jù)的知情權(quán)和決定權(quán)；并且，跨境國家保護當局享有對該過程中安全技術(shù)、法律法規(guī)進行審查和對數(shù)據(jù)跨境的監(jiān)管等職責.數(shù)據(jù)跨境公權(quán)中心需要成立聯(lián)合數(shù)據(jù)跨境機構(gòu)，建立通用的數(shù)據(jù)跨境平臺，頒布適用的數(shù)據(jù)跨境國際法，同時，該中心依照國際法，享有對數(shù)據(jù)跨境過程中數(shù)據(jù)流通安全和監(jiān)管等職責.

圖1 數(shù)據(jù)跨境流動流程圖

對于數(shù)據(jù)跨境的概念，國際上也并未給出統(tǒng)一明確定義，綜合現(xiàn)如今學(xué)術(shù)界和社會對數(shù)據(jù)跨境流動的研究可知，理解主要有2類：

1) 數(shù)據(jù)在跨越物理國界的傳輸和操作;

2) 數(shù)據(jù)雖然沒有跨越國界，但是可以被第三國的主體訪問和使用[2].

2.2 數(shù)據(jù)跨境的利弊簡述

2.2.1 數(shù)據(jù)跨境的弊端

眾所周知，小到個人身份，大到軍事政治、公安司法等，互聯(lián)網(wǎng)時代下的數(shù)據(jù)都包含了大量敏感信息，或事關(guān)個人隱私，或關(guān)聯(lián)國家安全，因此針對數(shù)據(jù)保存和使用，禁止數(shù)據(jù)跨境，可以有效防止數(shù)據(jù)在流通過程中出現(xiàn)風(fēng)險和泄露問題，從根源上杜絕威脅社會和國家安定事件的發(fā)生.

2.2.2 數(shù)據(jù)跨境的益處

首先，現(xiàn)如今許多企業(yè)貿(mào)易規(guī)模遍布世界各地，若是強行在國界之間建立“數(shù)據(jù)傳輸壁壘”，必然會對企業(yè)和國家之間的正常交流和經(jīng)濟往來造成極大影響.其次，數(shù)據(jù)跨境流動還是信息技術(shù)升級創(chuàng)新的必經(jīng)途徑.大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)以數(shù)據(jù)為核心，集算法、算力于一體，如果過于強調(diào)數(shù)據(jù)本地化，將難以讓數(shù)字經(jīng)濟煥發(fā)新生活力.最后，數(shù)據(jù)跨境流動還是構(gòu)建全球人類命運共同體的必然要求.2020年新冠肺炎疫情讓我們更加認定，只有世界各國加強合作，共享科研數(shù)據(jù)和信息才能更好地應(yīng)對全球問題.

綜上，數(shù)據(jù)跨境中的風(fēng)險固然難以避免，但是，禁止數(shù)據(jù)跨境會限制甚至扼殺國家或企業(yè)發(fā)展的潛能，對經(jīng)濟、政治、科技等重要領(lǐng)域的影響都是十分深遠的.因此，我們的重心不應(yīng)放在如何加強數(shù)據(jù)本地化，而是應(yīng)該思考如何通過法律規(guī)制和現(xiàn)有技術(shù)提升為數(shù)據(jù)跨境流動保駕護航.

3 個人數(shù)據(jù)跨境現(xiàn)有分類研究總結(jié)

數(shù)據(jù)跨境流動近年來已經(jīng)成為學(xué)術(shù)界的研究熱點，數(shù)據(jù)跨境所涉及的安全技術(shù)不同，每個國家監(jiān)管機制不同，對數(shù)據(jù)跨境的態(tài)度以及戰(zhàn)略部署就會出現(xiàn)差異，下面從不同國家數(shù)據(jù)安全技術(shù)和監(jiān)管機制為切入點，對跨境個人數(shù)據(jù)隱私保護現(xiàn)有研究成果進行總結(jié)和分析對比.

3.1 個人數(shù)據(jù)簡介

個人數(shù)據(jù)是指與已識別或可識別的人有關(guān)的任何數(shù)據(jù)，如公民的姓名、電話號碼、身份證號等信息.現(xiàn)如今科技的進步還將個人數(shù)據(jù)的范圍逐漸擴大到由軟件、通信、隨身設(shè)備所產(chǎn)生的與數(shù)據(jù)主體相關(guān)的數(shù)據(jù).

相較于起步早的歐盟(BCR)和美國(加入亞太經(jīng)合組織，CBPR)，我國針對個人數(shù)據(jù)跨境流動的法律規(guī)制體系尚處于不成熟的階段，因此，學(xué)術(shù)界在此領(lǐng)域的研究更多集中于歐盟與美國的規(guī)制分析.

3.2 數(shù)據(jù)跨境安全技術(shù)層面

3.2.1 國外數(shù)據(jù)跨境安全技術(shù)現(xiàn)狀

美國在數(shù)據(jù)跨境安全的戰(zhàn)略重點始終是基礎(chǔ)設(shè)施的建設(shè)，為此，美國政府先后部署7項保護安全基礎(chǔ)設(shè)施的計劃，其中包括：信息共享計劃、研究與開發(fā)計劃、完善法律法規(guī)戰(zhàn)略計劃、確定伙伴關(guān)系計劃、組建工作機構(gòu)計劃、保障政府網(wǎng)絡(luò)安全計劃和網(wǎng)絡(luò)安全教育計劃.此外，針對數(shù)據(jù)安全技術(shù)，美國國家標準與技術(shù)局(NIST)和國家安全局(NSA)通過合作開發(fā)了大量防火墻等安全產(chǎn)品，并搭建聯(lián)邦計算機入侵檢測網(wǎng)絡(luò)和開源數(shù)據(jù)庫系統(tǒng)Accumub，致力于龐大的云計算大數(shù)據(jù)安全技術(shù)設(shè)施建設(shè).同時，美國國防部高級研究技術(shù)局(DARPA)于2017年啟動SHARE項目，試圖創(chuàng)建新的數(shù)據(jù)共享技術(shù)用于全球數(shù)據(jù)的收集和存儲.此外，美國在數(shù)據(jù)跨境戰(zhàn)略計劃中使用多尺度異常檢測技術(shù)，旨在實現(xiàn)對跨境數(shù)據(jù)的異常檢測[3].

歐盟在數(shù)據(jù)跨境安全技術(shù)上，以其“歐盟空間信息基礎(chǔ)設(shè)施”建設(shè)為基礎(chǔ)，采用通用的網(wǎng)絡(luò)服務(wù)技術(shù)和松耦合應(yīng)用集成技術(shù)實現(xiàn)跨境數(shù)據(jù)傳輸[4].2011年8月，歐盟宣布啟動EUDAT項目，旨在建設(shè)一個橫跨歐洲的協(xié)作式科學(xué)管理技術(shù)設(shè)施[5].同年12月，歐盟啟動“開放數(shù)據(jù)戰(zhàn)略”并開發(fā)數(shù)據(jù)門戶網(wǎng)站Europa.eu，實現(xiàn)科研人員和數(shù)據(jù)管理人員的跨境數(shù)據(jù)交換與存儲.此后，歐盟先后啟動DASISH和DwB項目，前者通過數(shù)據(jù)清洗技術(shù)提高數(shù)據(jù)質(zhì)量，并利用安全存儲技術(shù)實現(xiàn)數(shù)據(jù)的安全存儲和監(jiān)管，建立了一個安全共享的跨境數(shù)據(jù)獲取框架[6]；后者通過整合歐洲各國統(tǒng)計結(jié)構(gòu)的數(shù)據(jù)和歐盟的數(shù)據(jù)集，利用用戶認證技術(shù)和安全訪問控制技術(shù)，建立通用的用戶跨境認證程序和數(shù)據(jù)跨境獲取條件，開發(fā)適用于歐盟成員統(tǒng)一的元數(shù)據(jù)服務(wù)系統(tǒng)[3].

英國目前擁有全球領(lǐng)先的高性能電腦芯片ARM架構(gòu)技術(shù)，建立了多個世界一流的高性能計算研究中心，為英國數(shù)據(jù)跨境開放戰(zhàn)略提供了軟件和硬件支持[7].同時，英國政府積極開展國際合作，與美國著名的數(shù)據(jù)處理公司Cloudera進行Hadoop系統(tǒng)開放和應(yīng)用，為數(shù)據(jù)跨境開放戰(zhàn)略提供技術(shù)支撐.2012年5月，英國政府成立世界上首個開放式數(shù)據(jù)研究所ODI，此外，英國政府在2013年投資1.89億英鎊用以支持大數(shù)據(jù)安全技術(shù)的發(fā)展，并成立數(shù)據(jù)戰(zhàn)略委員會，從而推動了數(shù)據(jù)的開放[3].

俄羅斯強調(diào)的是數(shù)據(jù)本地化原則，同時也學(xué)習(xí)歐盟數(shù)據(jù)跨境安全技術(shù)，來實現(xiàn)跨境數(shù)據(jù)傳輸[3]；印度采取數(shù)據(jù)副本管理技術(shù)(CDM)且關(guān)鍵個人數(shù)據(jù)只允許國內(nèi)數(shù)據(jù)中心處理，在一定程度上允許數(shù)據(jù)跨境[6]；日本主要參照歐盟安全技術(shù)方案，對境外的個人敏感數(shù)據(jù)進行安全加密，同時利用身份認證程序進行跨境數(shù)據(jù)的安全存儲[8].

近年來，國家標準化組織(ISO)針對跨境數(shù)據(jù)流通，定義了一個隱私參考體系結(jié)構(gòu)框架，針對數(shù)據(jù)跨境實體，利用匿名和身份認證技術(shù)，實現(xiàn)跨境數(shù)據(jù)的隱私保護.同時，針對跨境數(shù)據(jù)分散存儲問題，利用分布式存儲技術(shù)，拓展云存儲能力，從而挖掘海量數(shù)據(jù)信息.此外，利用機器學(xué)習(xí)模型，建立了完善的隱私風(fēng)險評估體系[9].

3.2.2 我國數(shù)據(jù)跨境安全技術(shù)現(xiàn)狀

我國則利用傳輸安全和SSL/VPN技術(shù)、數(shù)字加密和數(shù)據(jù)恢復(fù)技術(shù)、身份認證和強制訪問控制技術(shù)、數(shù)字水印等溯源技術(shù)，為數(shù)據(jù)跨境提供安全保障[10].同時，我國采取數(shù)據(jù)防泄露(DLP)技術(shù)、云平臺數(shù)據(jù)安全等專用技術(shù)對數(shù)據(jù)進行安全存儲.目前，國內(nèi)很多地區(qū)開始以訪問控制和核心數(shù)據(jù)保護為基礎(chǔ)，從入侵檢測、權(quán)限管控等角度進行全面管理，有效防止隱私信息的泄露[11].此外，我國還利用支付標記技術(shù)，使得敏感信息無需留存，降低欺詐交易的發(fā)生概率.目前，國內(nèi)正在探索使用人工智能技術(shù)和區(qū)塊鏈技術(shù)解決數(shù)據(jù)跨境中可能存在的數(shù)據(jù)樣本學(xué)習(xí)和數(shù)據(jù)溯源問題[12-13].

3.3 數(shù)據(jù)跨境監(jiān)管政策層面

3.3.1 歐盟現(xiàn)狀

歐盟的個人數(shù)據(jù)保護機制最初建立在1995年頒布的《關(guān)于個人信息處理保護及個人信息自由傳輸?shù)闹噶睢?以下簡稱95指令)基礎(chǔ)上[14]，而2016年4月頒布的《通用數(shù)據(jù)保護條例》——GDPR，對數(shù)據(jù)保護提出了更高要求(增加懲罰機制)，旨在保障歐洲同盟國之間的數(shù)據(jù)流動行為可以順利進行.此外，歐盟國家在個人數(shù)據(jù)保護領(lǐng)域還可具體參考和兼容國家本土保護法.

1) 歐盟數(shù)據(jù)出境規(guī)定

針對數(shù)據(jù)出境情況，歐盟的數(shù)據(jù)控制者可以通過以下3種方式實施數(shù)據(jù)跨境活動：

① 數(shù)據(jù)傳輸至“充分性認定”地區(qū)；

② 充分保障措施；

③ 例外場景(包括用戶同意或者執(zhí)行合同需要等，不作主要介紹).

其中，“充分性認定”機制是指通過“充分性認定”確定的少數(shù)允許數(shù)據(jù)自由跨境的國家的白名單.如果在歐盟之外的國家或第三方的數(shù)據(jù)保護水平達到了歐盟認證的“充分保護”水平，即可以在不采取進一步保護措施的前提下自由傳輸數(shù)據(jù).

“充分保障措施機制”的設(shè)立是為了讓不滿足“充分性認定”條件的國家和第三方也能在一定情況下進行數(shù)據(jù)跨境流動活動：

① 數(shù)據(jù)控制者或處理者可提供“適當保障”；

② 以國家擁有可強制執(zhí)行的并且可以為數(shù)據(jù)主體的權(quán)益提供保障的法律體系和補救措施為前提，在無法滿足“充分保護機制”的情況下，歐盟為企業(yè)提供了其他的數(shù)據(jù)跨境轉(zhuǎn)移機制.

2) 國外數(shù)據(jù)入境規(guī)定

若國家屬于出境規(guī)定中提到的“白名單”，則在GDPR規(guī)定的范圍內(nèi)，數(shù)據(jù)可以實現(xiàn)自由流動，若不屬于，歐盟也沒有強制要求數(shù)據(jù)本地化，理論上企業(yè)可以選擇多種渠道實現(xiàn)跨境流動[15].

3.3.2 美國現(xiàn)狀

美國對個人數(shù)據(jù)的保護分散于多部法律中，如《金融消費者保護法》《電子通信隱私法》等[15]，而且保護途徑以企業(yè)的自我監(jiān)管居多.

在對待個人數(shù)據(jù)方面，美國顯然更加看重數(shù)據(jù)自由流動及其帶來的經(jīng)濟效益，因此美國在原則上鼓勵對個人數(shù)據(jù)進行商業(yè)使用，在特定條件下才加以規(guī)制.在對外政策上，美國對市場的開放度和對數(shù)據(jù)的限制政策的關(guān)注度也明顯高于其他國家.

3.3.3 中國現(xiàn)狀

中國雖然互聯(lián)網(wǎng)起步較晚，但隨著數(shù)字時代發(fā)展，我國的個人信息保護體系也在逐漸完善.通過分析總結(jié)，可知我國對個人數(shù)據(jù)保護的具體措施及其特點有以下幾點[16]：

1) 采取個人數(shù)據(jù)本地化存儲措施來保護個人數(shù)據(jù)中的隱私權(quán)；

2) 通過個人數(shù)據(jù)跨境前應(yīng)征得主體同意的方法來保護個人隱私權(quán)；

3) 通過實現(xiàn)個人數(shù)據(jù)跨境流動的安全評估制度來進行個人隱私權(quán)保護.

3.4 小 結(jié)

因為歐盟和美國政策各有所長，也有其明顯的弊端[3]，我們既可以采用融合式個人數(shù)據(jù)跨境流動規(guī)制模式，汲取歐盟和美國雙模式的有益經(jīng)驗，在現(xiàn)有基礎(chǔ)上為個人數(shù)據(jù)跨境自由流動開放更大的空間[16]，也可以建立分級分類跨境數(shù)據(jù)流動管理體系，支持企業(yè)在保障安全的前提下充分挖掘數(shù)據(jù)價值[7].

4 主要國家數(shù)據(jù)跨境研究對比分析

隨著全球國家之間的交流越來越頻繁，數(shù)據(jù)市場已經(jīng)不僅僅局限于個人數(shù)據(jù)的流通[17]，表1為各主要國家對數(shù)據(jù)跨境流動的總體布局戰(zhàn)略以及法律監(jiān)管制度的特點和區(qū)別作了對比分析：

1) 歐盟(成員國).統(tǒng)一標準的設(shè)定雖然保障了個人數(shù)據(jù)權(quán)利，但是，程序的冗雜和標準過高等特點極大地阻礙了數(shù)據(jù)的跨境自由流動.

2) 美國.以組織機構(gòu)為基準，以問責制原則為核心的規(guī)制路徑會導(dǎo)致規(guī)制功能下降，懲罰力度小，威懾力有限.

3)俄羅斯.以地理區(qū)域為基準、以數(shù)據(jù)本地化為基本原則，但高度集中有時往往更易受損，甚至成為國內(nèi)政府監(jiān)視公民行為的借口.

4) 澳大利亞.規(guī)制路徑是在保護數(shù)據(jù)主體隱私權(quán)的基礎(chǔ)上，調(diào)配經(jīng)濟利益的產(chǎn)物，但由于過于兼顧多方面，部分功能會因此而減損，限度也難以掌控.

5) 日本.日本數(shù)據(jù)跨境受歐美規(guī)則和理念的較大影響.政策推進起步晚但效率高，政策方向沿“國內(nèi)—雙多邊—全球”由內(nèi)及外的路線推進，對全球規(guī)則形成具有自身獨特優(yōu)勢[8].

6) 印度.將個人數(shù)據(jù)納入數(shù)據(jù)本地化的規(guī)制范疇，在區(qū)分類型的基礎(chǔ)上,對數(shù)據(jù)分級分類管控，多種監(jiān)管機制并行,并設(shè)有豁免規(guī)則[6]，但由于強勢推進數(shù)據(jù)本地化，會增加運營成本，容易阻礙印度數(shù)字貿(mào)易的發(fā)展.

7) 韓國.個人數(shù)據(jù)跨境流動采用“數(shù)據(jù)主體明確同意”原則.韓國以《個人信息保護法案》為基本通則，通過緊追時代變化的更新與修訂，實現(xiàn)從跨境數(shù)據(jù)流動治理架構(gòu)到治理形態(tài)的不斷迭代[18].

8)中國.相比于歐盟和美國等其他世界主要國家，中國的數(shù)據(jù)跨境管理體系還不夠成熟，在未來完善的過程中還需要注意很多方面的短板.

表1 主要國家政策特點對比圖

5 數(shù)據(jù)跨境全球總體態(tài)勢和挑戰(zhàn)

縱觀全球數(shù)據(jù)跨境局勢，主要呈現(xiàn)三大趨勢[5]：

1) “數(shù)據(jù)本地化”使得跨境數(shù)據(jù)流動與數(shù)字服務(wù)貿(mào)易呈現(xiàn)“有限性特征”；

2) 對涉及國家安全利益的數(shù)據(jù)采取“靈活化”對策；

3) 數(shù)據(jù)主權(quán)爭奪加劇.

國際上不同的國家，數(shù)據(jù)領(lǐng)域情況不同，對數(shù)據(jù)側(cè)重點和處理要求均不一樣，在引入現(xiàn)有法案時都需要有自己的思考，以便法案更大化地適應(yīng)國家現(xiàn)狀，而不是照搬照抄，一成不變；此外，近年來的數(shù)據(jù)跨境實踐證明，現(xiàn)行的法案也面臨許多問題和挑戰(zhàn)[19]：

1) 隱私泄露隱患.

由于差異性的存在，當數(shù)據(jù)在保護水平比較低的國家或地區(qū)進行流動時，有很大可能導(dǎo)致因技術(shù)管理支持不到位或者法律規(guī)制體系完善不足而出現(xiàn)的數(shù)據(jù)泄露情況的發(fā)生.

2) 外國政府情報監(jiān)控.

跨境數(shù)據(jù)流動情況下，國家情報安全領(lǐng)域已經(jīng)無法得到萬全的保障，外國政府很有可能通過數(shù)據(jù)跨境這一手段獲取本國重要領(lǐng)域的敏感數(shù)據(jù)，這也是為何近年來各國針對企業(yè)數(shù)據(jù)跨境流動積極部署并不斷加大監(jiān)管力度的重要緣由.

3) 本國產(chǎn)業(yè)發(fā)展滯后.

跨境數(shù)據(jù)流動的合法化極有可能導(dǎo)致資源不斷向掌握技術(shù)和管理優(yōu)勢的國家集中，這雖然可以節(jié)約企業(yè)的成本，但缺乏數(shù)據(jù)資源不利于用戶所在國的產(chǎn)業(yè)發(fā)展.數(shù)據(jù)本地化原則的出臺，除了是出于保護隱私的需要，另一方面也是為了保障本國數(shù)字產(chǎn)業(yè)的發(fā)展和利益.

因此，在無法統(tǒng)一數(shù)據(jù)跨境處理標準的情況下，我們只有緊跟時代變化，不斷完善我國建立的的數(shù)據(jù)跨境流動管理體系，做到同時保障安全和發(fā)展需要，才能更好助力我國的數(shù)字經(jīng)濟穩(wěn)步向前.

6 對我國的啟示和建議

6.1 中國數(shù)據(jù)跨境基礎(chǔ)設(shè)施和管理體系的不足

6.1.1 數(shù)據(jù)跨境安全技術(shù)薄弱

我國的數(shù)據(jù)跨境安全技術(shù)仍處于研究和摸索階段，與國外的現(xiàn)有能力和水平還存在一定的差距.首先，在跨境數(shù)據(jù)平臺構(gòu)建方面，缺乏一個安全通用的數(shù)據(jù)跨境流通平臺.在跨境數(shù)據(jù)平臺防攻擊方面，在數(shù)據(jù)跨境情況下擴大的防護邊界和更加隱蔽的攻擊方式仍然無法做到全面覆蓋，以至于一旦出現(xiàn)新的攻擊方式或者漏洞問題，平臺的魯棒性難以得到保障.其次，針對跨境數(shù)據(jù)本身，數(shù)據(jù)的安全共享、非結(jié)構(gòu)化數(shù)據(jù)庫的安全防護以及數(shù)據(jù)泄露溯源技術(shù)仍需迫切解決.同時，敏感數(shù)據(jù)所對應(yīng)的密文計算技術(shù)、數(shù)字泄露追蹤技術(shù)的發(fā)展無法滿足數(shù)據(jù)跨境中實際的應(yīng)用需求.最后，數(shù)據(jù)跨境應(yīng)用場景下的個人信息隱私保護需要構(gòu)建以安全技術(shù)為保障的架構(gòu)體系.目前使用的匿名化技術(shù)、身份認證技術(shù)等普遍存在運算效率過低、身份泄露等問題，無法滿足數(shù)據(jù)跨境環(huán)境下的隱私保護需求.

6.1.2 與現(xiàn)行國際規(guī)則不兼容

“數(shù)據(jù)本地化”政策不僅與世貿(mào)組織聲明中“謀求禁止數(shù)據(jù)本地化”的主張和立場難以契合，還會導(dǎo)致目前我國難以參與到發(fā)達國家主導(dǎo)的雙邊/多邊合作框架(如GDPR、APEC的CBPR)以及新一輪貿(mào)易協(xié)定(如CPTPP，USMCA等)中.

6.1.3 監(jiān)管制度不夠靈活

我國在個人信息數(shù)據(jù)出境安全評估方面將所有審批工作交由監(jiān)管部門負責.雖然這有利于避免數(shù)據(jù)跨境流動過程出現(xiàn)安全問題，提升監(jiān)管水平，但是，全面審批在一定程度上會增加相關(guān)部門的監(jiān)管壓力和運營成本.

6.1.4 數(shù)據(jù)保護意識還未完全形成

在數(shù)據(jù)跨境治理體系還不完善的情況下，組織違規(guī)收集、使用數(shù)據(jù)的情況已經(jīng)頻繁發(fā)生.而數(shù)據(jù)跨境流動，意味著傳輸過程中會牽涉到不同國家的不同權(quán)利主體，在傳輸環(huán)節(jié)的監(jiān)管方面也存在許多差異，因此，數(shù)據(jù)保護理念滯后所產(chǎn)生的監(jiān)管框架漏洞將面臨較大的安全風(fēng)險.

6.1.5 管理國際上跨境數(shù)據(jù)的統(tǒng)一規(guī)制缺失

相較于歐盟和美國均根據(jù)自身發(fā)展意愿側(cè)重于不同的數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)監(jiān)管和治理頂層設(shè)計，作為世界主要國家和數(shù)據(jù)大國，中國尚還沒有一套清晰的規(guī)制和國際戰(zhàn)略，法律法規(guī)也較為分散，不成體系，這可能使得“數(shù)據(jù)孤島”情況加劇，導(dǎo)致大國加深“數(shù)據(jù)壟斷”，削弱數(shù)字治理的國際規(guī)則主導(dǎo)權(quán).

6.2 國外跨境數(shù)據(jù)流動的啟示

目前美歐正借助本國數(shù)據(jù)跨境戰(zhàn)略強化規(guī)則主導(dǎo)權(quán)，企圖未來掌控和決定世界貿(mào)易發(fā)展的前進道路，中國應(yīng)該做的就是借助自身發(fā)展優(yōu)勢，從技術(shù)、制度出發(fā)，探索適合中國的跨境數(shù)據(jù)管理模式和治理體系，強化規(guī)則主導(dǎo)權(quán).

6.2.1 研發(fā)數(shù)據(jù)跨境安全技術(shù)，加強基礎(chǔ)設(shè)施建設(shè)

首先，我國應(yīng)該開展數(shù)據(jù)跨境安全技術(shù)體系研究，與國際上進行合作實驗，形成具有國際通用的數(shù)據(jù)跨境安全平臺，明確數(shù)據(jù)跨境安全技術(shù)防護手段，加強基礎(chǔ)設(shè)施建設(shè)；其次，鼓勵高校、科研機構(gòu)和企業(yè)組建產(chǎn)學(xué)研跨境數(shù)據(jù)安全技術(shù)聯(lián)盟，成立聯(lián)合實驗室，助推跨境數(shù)據(jù)安全技術(shù)的研究進程；最后，對于新型跨境數(shù)據(jù)安全技術(shù)的最新前沿成果，積極開展落地應(yīng)用工作，加速成果轉(zhuǎn)化與落地應(yīng)用，從而完善和增強數(shù)據(jù)跨境安全保障能力，加強數(shù)據(jù)的要素作用，推動數(shù)據(jù)驅(qū)動創(chuàng)新[20].

6.2.2 推進分級分類分區(qū)域監(jiān)管制度

在如今數(shù)據(jù)大環(huán)境下，我們需要兼顧全球貿(mào)易發(fā)展態(tài)勢和本國隱私保護，因此，提出以下建議：

1) 嘗試對涉及國家安全的敏感數(shù)據(jù)及關(guān)鍵基礎(chǔ)設(shè)施建立配套的分級管理制度、跨境數(shù)據(jù)流動合同監(jiān)管制度以及安全風(fēng)險評估制度；

2) 成立專門的數(shù)據(jù)保護監(jiān)管機構(gòu)，負責跨境數(shù)據(jù)流動系統(tǒng)化制度的構(gòu)建以及審查、監(jiān)督企業(yè)；

3) 對行業(yè)內(nèi)的重要數(shù)據(jù)或者大型互聯(lián)網(wǎng)公司率先開展數(shù)據(jù)出境管理實踐.

6.2.3 構(gòu)建完善的跨境數(shù)據(jù)流動管轄與信任體系

我國可以在從其他國家汲取經(jīng)驗的同時，制定出臺屬于我國的數(shù)據(jù)管理框架，完善數(shù)據(jù)在收集到出境整個過程中各個環(huán)節(jié)的政策環(huán)境.此外，歐盟模式下的“白名單制度”也可以作為我國完善數(shù)據(jù)跨境制度的參考方向和借鑒方法，將部分國家或地區(qū)納入信任體系，以支持國家之間的數(shù)據(jù)自由流動.

6.2.4 將跨境數(shù)據(jù)流動嵌入國際貿(mào)易投資協(xié)定

考慮到當前世界各國立場差異明顯，我國應(yīng)該以自貿(mào)談判為切入點，深度嵌入雙多邊貿(mào)易協(xié)定.積極與重要國際貿(mào)易伙伴國協(xié)商交流，爭取達成認證協(xié)定，以促進數(shù)據(jù)合法有序流動和國際貿(mào)易環(huán)境下的數(shù)字互聯(lián)互通，構(gòu)建數(shù)字空間命運共同體.

6.2.5 推動建立跨境數(shù)據(jù)流動的全球治理框架

跨境數(shù)據(jù)流動是支撐未來全球數(shù)字貿(mào)易發(fā)展的基礎(chǔ)，在整個數(shù)字貿(mào)易領(lǐng)域內(nèi)影響深遠且范圍廣.因此，建設(shè)跨境流動的規(guī)則體系也必須具有國際視野，不能只局限于本國視角.就目前來看，我們?nèi)匀恍枰扇』ゲ僮餍詸C制，加快探索建立國際執(zhí)法協(xié)作機制以及面向未來的全球數(shù)字貿(mào)易規(guī)則及數(shù)字治理框架.

7 小 結(jié)

數(shù)據(jù)跨境是一個事關(guān)未來全球經(jīng)濟貿(mào)易戰(zhàn)略布局的重要領(lǐng)域，科技的快速更新要求更加便捷的跨境交流，極致的“數(shù)據(jù)本地化”相當于“閉關(guān)鎖國”，不利于國家的經(jīng)濟發(fā)展.因此，雖然現(xiàn)階段多數(shù)國家都采取了重要數(shù)據(jù)本地化的原則，但是，隨著數(shù)字經(jīng)濟時代的來臨，作為發(fā)展經(jīng)濟、科技、國際貿(mào)易等領(lǐng)域的必要手段，數(shù)據(jù)跨境行為會越來越普遍和頻繁.在各自國家力量、政治戰(zhàn)略和外交理念的框架下，我們應(yīng)該如何確立管轄原則，才能兼顧發(fā)展和安全、平衡跨境數(shù)據(jù)自由流動與合法政策目標的矛盾，加強國家數(shù)據(jù)管控權(quán)[21]，這是整個國際都需要思考的問題，也是我們今后需要重點關(guān)注和研究的方向.