葉傳星，閆文光

（中國人民大學(xué) 法學(xué)院，北京 100872）

2023 年2 月，《個人信息出境標(biāo)準(zhǔn)合同辦法》正式發(fā)布，加上此前業(yè)已發(fā)布的《數(shù)據(jù)出境安全評估辦法》《關(guān)于實施個人信息保護認證的公告》等政策法規(guī)，標(biāo)志著《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第38 條所明確的個人信息跨境提供三大機制全面落地。在上位法依據(jù)方面，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）首先對特定主體的數(shù)據(jù)出境活動進行了探索，其第37 條規(guī)定“關(guān)鍵基礎(chǔ)設(shè)施運營者”向境外提供個人信息和重要數(shù)據(jù)的，除法律、行政法規(guī)另有規(guī)定外，應(yīng)當(dāng)進行安全評估。《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）第31 條進一步區(qū)分了“關(guān)鍵基礎(chǔ)設(shè)施運營者”和“其他數(shù)據(jù)處理者”兩個主體，補充了“其他數(shù)據(jù)處理者”的相關(guān)規(guī)定，細化、完善了數(shù)據(jù)跨境流動的主體治理范圍。《個人信息保護法》繼續(xù)在上述二者的基礎(chǔ)上通過專章對個人信息跨境規(guī)則進行了頂層設(shè)計，其第3 章專門規(guī)定了“個人信息處理者”進行個人信息跨境時應(yīng)滿足的條件和履行的義務(wù)，并將個人信息跨境提供劃分為三類場景：一是個人信息處理者的業(yè)務(wù)需要；
二是中國參加的國際條約、協(xié)定對個人信息跨境有規(guī)定；
三是外國司法或者執(zhí)法機構(gòu)提出請求。這三類場景各自遵循不同的監(jiān)管規(guī)則，在一定程度上覆蓋了當(dāng)前實踐中個人信息跨境的各類需求。此外，新修訂的《網(wǎng)絡(luò)安全審查辦法》、《中華人民共和國人類遺傳資源管理條例》（以下簡稱《人類遺傳資源管理條例》）、《人口健康信息管理辦法(試行)》、《銀行業(yè)金融機構(gòu)反洗錢和反恐怖融資管理辦法》、《中國人民銀行金融消費者權(quán)益保護實施辦法》、《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》等都對具體場景下的數(shù)據(jù)出境提出了要求，逐步建立起了一套數(shù)據(jù)出境監(jiān)管制度體系。

但是，由于起步較晚，“針對中國網(wǎng)民規(guī)模巨大、企業(yè)平臺眾多、產(chǎn)品業(yè)態(tài)豐富的實際情況，適應(yīng)法律主體多元、法律關(guān)系多樣、法律適用場景多變的特點”[1]，中國的數(shù)據(jù)跨境流動無論在理論上還是在實踐中，均出現(xiàn)了一些問題與缺陷，尚待進一步完善。在理論上，中國的數(shù)據(jù)出境監(jiān)管制度缺乏成熟的基礎(chǔ)理論依據(jù)作為指導(dǎo)，導(dǎo)致雖然在總體思路上秉承著平衡安全與發(fā)展的大方向，但是在具體制度設(shè)計時尚未形成科學(xué)的、系統(tǒng)的以及一以貫之的規(guī)制路徑，難以準(zhǔn)確掌握安全與發(fā)展的邊界，制度之間存在空白重疊且無法有效協(xié)調(diào)適用；
在實踐中，缺乏基礎(chǔ)理論的指導(dǎo)導(dǎo)致了制度層面的混亂，尤以因過度注重安全而進行“一刀切”的做法最為顯著，“安全”的邊界不斷擴張和泛化，從而導(dǎo)致一方面在國際上難以與現(xiàn)有規(guī)則體系相銜接，另一方面在國內(nèi)使得產(chǎn)業(yè)界背負巨大的合規(guī)壓力，反噬并扼殺了數(shù)據(jù)的創(chuàng)新性利用。

數(shù)據(jù)已經(jīng)成為繼土地、勞動力、資本、技術(shù)之后的第五大生產(chǎn)要素，其價值在于流動，只有動態(tài)的數(shù)據(jù)流匯聚而成的大數(shù)據(jù)才能充分體現(xiàn)數(shù)據(jù)的經(jīng)濟價值，釋放數(shù)字經(jīng)濟的活力。數(shù)據(jù)跨境流動推動了全球數(shù)字經(jīng)濟的發(fā)展和創(chuàng)新，其治理水平已成為衡量一個國家綜合實力的重要參考標(biāo)準(zhǔn)之一，也是未來大國戰(zhàn)略博弈的要點之一[2]。作為世界第二大經(jīng)濟體，數(shù)字經(jīng)濟的繁榮與否對中國而言同樣至關(guān)重要，中國的跨境貿(mào)易、技術(shù)合作、企業(yè)出海、網(wǎng)絡(luò)平臺發(fā)展、科學(xué)研究等活動對數(shù)據(jù)出境的需求日益強烈，越來越多的企業(yè)、機構(gòu)和個人需要進行跨境數(shù)據(jù)傳輸，以實現(xiàn)更好的經(jīng)濟、社會和文化交流，而當(dāng)前數(shù)據(jù)跨境監(jiān)管體系在理論上的缺失和在實踐中的混亂已經(jīng)嚴(yán)重阻礙了數(shù)據(jù)的有序流動，高昂的合規(guī)成本和模糊的監(jiān)管方向使得產(chǎn)業(yè)界難以形成合理的穩(wěn)定預(yù)期，許多企業(yè)紛紛停止其數(shù)據(jù)跨境業(yè)務(wù)并保持觀望態(tài)度，嚴(yán)重影響了數(shù)字經(jīng)濟的健康發(fā)展。因此，筆者擬梳理分析中國數(shù)據(jù)跨境流動制度的現(xiàn)狀，并根據(jù)實踐經(jīng)驗總結(jié)存在的難點與痛點，以期能為中國數(shù)據(jù)跨境制度體系的建立找尋到基礎(chǔ)理論的支撐，提出相適應(yīng)的解決之策。

截至目前，各界普遍認為中國數(shù)據(jù)出境的路徑包括三類：安全評估、標(biāo)準(zhǔn)合同和保護認證。三者互為補充、相互支撐，共同構(gòu)建了中國數(shù)據(jù)出境的制度體系。其中，安全評估由國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“國家網(wǎng)信辦”）于2022 年7 月7 日發(fā)布的《數(shù)據(jù)出境安全評估辦法》作出具體規(guī)定，并提供了詳細的申報指南，旨在通過行政許可的方式[3]重點評估擬出境的重要數(shù)據(jù)，關(guān)鍵信息基礎(chǔ)設(shè)施運營者處理的個人信息，大規(guī)模的個人信息對維護國家安全、社會公共利益、個人信息權(quán)益等的影響，以判斷其出境的風(fēng)險性。對于非重要數(shù)據(jù)、非關(guān)鍵信息基礎(chǔ)設(shè)施運營者處理的個人信息和中小規(guī)模個人信息的出境需求，則由《個人信息出境標(biāo)準(zhǔn)合同辦法》和《個人信息保護認證實施規(guī)則》作出規(guī)范。前者采用私主體商事行為+行政備案[4]78-94的方式，僅要求符合條件的個人信息處理者與境外接收方按照給定的模板簽訂個人信息出境標(biāo)準(zhǔn)合同并進行備案，在此基礎(chǔ)上即可實現(xiàn)個人信息出境，最大限度地促進和保障個人信息依法有序自由流動；
后者則是將個人信息保護認證和個人信息跨境認證“合二為一”的第三方規(guī)制行為，相較于企業(yè)的自我規(guī)制和政府的行政規(guī)制，可以有效克服市場與政府的“雙重失靈”[5]，從而通過獨立于被規(guī)制對象的專業(yè)機構(gòu)依據(jù)一定的標(biāo)準(zhǔn)和技術(shù)規(guī)范形成個人信息保護社會化服務(wù)體系[6]。整體來看，上述規(guī)定更加希望通過限制數(shù)據(jù)的跨境來保障安全，這一思路貫穿了中國近年來的數(shù)據(jù)相關(guān)立法，與之相對應(yīng)的是國家網(wǎng)信辦于2023 年9 月28 日發(fā)布的《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》，實現(xiàn)了中國數(shù)據(jù)相關(guān)立法思路的重大轉(zhuǎn)向，在申報數(shù)據(jù)出境安全評估的條件、評估內(nèi)容等方面做了較多豁免，從而有利于開展數(shù)據(jù)跨境流動。

總體來看，中國數(shù)據(jù)出境制度表現(xiàn)為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》層面的宏觀設(shè)計和《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同辦法》《個人信息保護認證實施規(guī)則》層面的具體落實，安全評估反映出中國在數(shù)據(jù)出境方面聚焦風(fēng)險規(guī)制，且并未嚴(yán)格區(qū)分不同數(shù)據(jù)類型，都由網(wǎng)信部門從風(fēng)險的角度對數(shù)據(jù)出境活動進行一體評估[7]62-77；
標(biāo)準(zhǔn)合同一直被認為是數(shù)據(jù)跨境傳輸領(lǐng)域的有效監(jiān)管工具，歐盟《通用數(shù)據(jù)保護條例》（GDPR）將標(biāo)準(zhǔn)化合同條款（SCC）嵌入跨境數(shù)據(jù)流動的全過程，原因在于，該項機制既能實現(xiàn)監(jiān)管者對于數(shù)據(jù)跨境傳輸重要事項的直接審核，也能基于違約責(zé)任督促數(shù)據(jù)處理者積極履行數(shù)據(jù)安全保護義務(wù)[8]；
保護認證則是通過將行政成本轉(zhuǎn)移為市場成本來實現(xiàn)更加靈活的數(shù)據(jù)出境，增強用戶對中小微互聯(lián)網(wǎng)企業(yè)和新興數(shù)字產(chǎn)業(yè)的信任感并增加中小微互聯(lián)網(wǎng)企業(yè)的交易機會[9]，避免因盲目追求安全而妨礙正常的數(shù)據(jù)出境流動。

安全評估、標(biāo)準(zhǔn)合同和保護認證三者看似相互補充并組成了一個完整的制度框架，但在實踐中則“碎片化”嚴(yán)重，相互之間缺乏科學(xué)的邏輯設(shè)計，暴露出中國數(shù)據(jù)出境制度在系統(tǒng)性、國際性、可操作性方面存在的短板和待完善之處。

（一）系統(tǒng)性：未形成完整科學(xué)的體系

1.存在監(jiān)管空白

從規(guī)制對象上來看，安全評估涵蓋的范圍是對重要數(shù)據(jù)和大規(guī)模個人信息的處理，標(biāo)準(zhǔn)合同針對的是中小規(guī)模的個人信息處理活動，保護認證面向的也是個人信息處理活動。由此可以看出，對于既非個人信息又非重要數(shù)據(jù)的其他類型數(shù)據(jù)，目前均尚未有應(yīng)當(dāng)遵守的出境制度予以規(guī)范，處于監(jiān)管真空狀態(tài)。究其原因，難道是這些類型的數(shù)據(jù)并不重要以至于不值得對其出境活動進行監(jiān)管嗎？實踐中顯然并非如此。例如：在醫(yī)療衛(wèi)生行業(yè)，其基礎(chǔ)資源數(shù)據(jù)與業(yè)務(wù)資源數(shù)據(jù)包括醫(yī)療衛(wèi)生機構(gòu)的人員配置數(shù)據(jù)、重要醫(yī)療設(shè)備和信息平臺的安保數(shù)據(jù)、特定藥品的供應(yīng)與規(guī)劃數(shù)據(jù)、重要科研成果數(shù)據(jù)等，通過大數(shù)據(jù)技術(shù)對上述數(shù)據(jù)進行分析，就能夠較為容易地獲得一個國家的醫(yī)療政策和醫(yī)療能力變化情況；
在貿(mào)易領(lǐng)域，通過一個地方的商品類型、快遞物流信息等供應(yīng)鏈數(shù)據(jù)就可以判斷出當(dāng)?shù)氐闹е援a(chǎn)業(yè)、產(chǎn)品銷量、上下游合作方等信息，并可以較為容易地評估當(dāng)?shù)氐慕?jīng)濟狀況、勞動力狀況、產(chǎn)業(yè)結(jié)構(gòu)，從而發(fā)起精準(zhǔn)的經(jīng)濟制裁和封鎖，美國早在2019 年就已經(jīng)注意到了供應(yīng)鏈數(shù)據(jù)的重要性及其對國家安全的影響，并采取了一系列保護措施[10-11]；
在金融領(lǐng)域，Swift 系統(tǒng)對接全球超過11 000 家銀行、證券機構(gòu)、市場基礎(chǔ)設(shè)施和企業(yè)，覆蓋200 多個國家和地區(qū)，年處理金融數(shù)據(jù)數(shù)十億條[12]，近年來更是被美國用于制裁伊朗和俄羅斯，對伊朗和俄羅斯的金融數(shù)據(jù)安全乃至國家安全產(chǎn)生了巨大影響。

此類現(xiàn)象產(chǎn)生的原因源于兩類法規(guī)之間的銜接不暢：一方面，數(shù)據(jù)出境主要制度之間存在空白，安全評估、標(biāo)準(zhǔn)合同和保護認證僅針對重要數(shù)據(jù)和個人信息作出了規(guī)定。另一方面，行業(yè)主管部門和配套法規(guī)制度未能及時跟進，未能發(fā)揮“配套”作用，突出表現(xiàn)為目前國內(nèi)對重要數(shù)據(jù)和核心數(shù)據(jù)缺乏明確且詳細的界定，在分類分級上也存在較多的模糊之處，使得作為數(shù)據(jù)出境制度選擇適用起點的數(shù)據(jù)資產(chǎn)梳理難以有效開展，多數(shù)數(shù)據(jù)處理者無法確定自身業(yè)務(wù)中是否涉及對重要數(shù)據(jù)的處理，導(dǎo)致數(shù)據(jù)處理者在安全評估申報上進退兩難。一是基于其自身對業(yè)務(wù)的了解，認為某些數(shù)據(jù)的出境將影響數(shù)據(jù)安全，尤其是“量變引起質(zhì)變”后，一旦操作不慎將需要承擔(dān)法律責(zé)任；
二是因為安全自評估和申報的成本較大、流程煩瑣，如果沒有申報的必要反而會浪費大量的人力和物力。

2.存在交叉重疊

從制度內(nèi)容上看，安全評估與標(biāo)準(zhǔn)合同在內(nèi)容上多有重合，二者都規(guī)定了安全自評估，且評估內(nèi)容基本相同。安全評估與標(biāo)準(zhǔn)合同都關(guān)注數(shù)據(jù)出境和境外接收方的處理目的、范圍、方式等的合法性、正當(dāng)性、必要性，都要求說明數(shù)據(jù)的規(guī)模、范圍種類和敏感程度，安全保障措施、應(yīng)急預(yù)案和境外接收方的政策法規(guī)情況皆是二者的評估對象。同時，安全評估中要求雙方簽訂的具有法律效力的文件在內(nèi)容上也與標(biāo)準(zhǔn)合同模板相似，實踐中申請安全評估的主體多參照標(biāo)準(zhǔn)合同模板制定或修改雙方的法律文件。《個人信息出境標(biāo)準(zhǔn)合同辦法》和《數(shù)據(jù)出境安全評估辦法》評估內(nèi)容對比，如表1 所示。

表1 《個人信息出境標(biāo)準(zhǔn)合同辦法》和《數(shù)據(jù)出境安全評估辦法》評估內(nèi)容對比

從法理邏輯上看，安全評估與標(biāo)準(zhǔn)合同的評估內(nèi)容應(yīng)當(dāng)有所區(qū)別。由于安全評估針對的是重要數(shù)據(jù)和大規(guī)模個人信息出境對國家安全以及社會公共利益所產(chǎn)生的風(fēng)險，其重點關(guān)注的是數(shù)據(jù)出境活動的安全面向，需要國家公權(quán)力的介入并進行實質(zhì)審查，通過外部審批和問責(zé)的方式確保將風(fēng)險降到最低，數(shù)據(jù)出境的實現(xiàn)需要讓位于國家安全的保障；
標(biāo)準(zhǔn)合同的立法目的在于保護個人權(quán)益，通過明確合同義務(wù)履行方式和違約責(zé)任承擔(dān)方式[4]78-94為個人信息出境提供便捷渠道，這也是為什么標(biāo)準(zhǔn)合同雖然要求自主締約與備案管理相結(jié)合，但是并不以備案為前置條件的原因，以合同生效為出境條件的制度設(shè)計代表的是通過內(nèi)在的誠實信用降低風(fēng)險，因而在此語境下數(shù)據(jù)出境活動的實現(xiàn)更具重要性。但是，安全評估與標(biāo)準(zhǔn)合同的評估內(nèi)容基本相同，導(dǎo)致二者在立法目的上的區(qū)分變得模糊，中小規(guī)模的個人信息處理者仍然需要按照重要數(shù)據(jù)和大規(guī)模個人信息處理者的標(biāo)準(zhǔn)開展自評估，這無疑會提升其在技術(shù)、管理、法律、資金等方面的成本，提高中小規(guī)模個人信息的出境門檻，原本為“優(yōu)先促發(fā)展”而設(shè)計的個人信息出境制度并沒有發(fā)揮應(yīng)有的作用，反而又回到了“優(yōu)先保安全”的框架內(nèi)。

（二）協(xié)調(diào)性：制度之間適用關(guān)系存疑

從上述現(xiàn)狀可知，中國目前的數(shù)據(jù)出境制度是以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為總體框架，以《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同辦法》《個人信息保護認證實施規(guī)則》為具體實施路徑，以行業(yè)具體場景下的規(guī)定為配套措施，形成的“框架+路徑+場景”的數(shù)據(jù)出境制度集成模塊。但是，這個集成模塊涉及文件的層級跨度較大，既包括法律也包括部門規(guī)章和規(guī)范性文件，在適用關(guān)系上存在較大疑問：一方面，在安全評估、標(biāo)準(zhǔn)合同、保護認證之間缺乏明確且清晰的適用邏輯安排，導(dǎo)致三者的適用順序出現(xiàn)混亂；
另一方面，行業(yè)場景制度由于出臺時間跨度較大，且政出多門，即由不同的國家機關(guān)起草或出臺，背后自然承載了各自不同的利益考量，因而在適用上多有齟齬。

第一，實踐中，標(biāo)準(zhǔn)合同與保護認證在一定程度上被安全評估所架空。就安全評估、標(biāo)準(zhǔn)合同、保護認證的適用關(guān)系而言，安全評估將申報主體限定為“處理100 萬人以上個人信息的數(shù)據(jù)處理者、自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數(shù)據(jù)處理者”。但根據(jù)筆者的調(diào)研結(jié)果，能夠滿足上述要求而必須申請安全評估的主體數(shù)量較大，截至2023 年8 月，國家網(wǎng)信辦和各省級網(wǎng)信辦已受理的數(shù)據(jù)出境安全評估申報已達千余件。具體到健康醫(yī)療行業(yè)，根據(jù)對醫(yī)院的調(diào)研結(jié)果，中國幾乎每家三甲醫(yī)院累計處理的個人信息數(shù)量均已超過100 萬人，且目前全國的三甲醫(yī)院超過。1 600 余家[13]這就導(dǎo)致大部分具有數(shù)據(jù)出境需求的主體落入了安全評估的范圍內(nèi)，將產(chǎn)生巨大的安全評估工作量，且從行業(yè)實踐來看，有些主體即使不符合安全評估的申報標(biāo)準(zhǔn)，但為了規(guī)避可能產(chǎn)生的風(fēng)險和法律責(zé)任，也會主動選擇向網(wǎng)信部門提起安全評估申請，此類現(xiàn)象極大地架空了標(biāo)準(zhǔn)合同和保護認證的路徑，靈活便捷出境的適用主體范圍被限縮。

第二，理論上，安全評估與標(biāo)準(zhǔn)合同在一定程度上被保護認證所架空。《個人信息保護法》第38 條規(guī)定，個人信息處理者向境外提供個人信息的應(yīng)當(dāng)滿足安全評估、標(biāo)準(zhǔn)合同、保護認證三個條件之一，即可以根據(jù)自身條件擇一適用，但保護認證的適用條件相當(dāng)寬泛，可以同時適用于安全評估和標(biāo)準(zhǔn)合同的適用主體。此外，雖然《數(shù)據(jù)安全法》第30 條規(guī)定了重要數(shù)據(jù)的處理者要定期開展數(shù)據(jù)安全評估，但此安全評估并非數(shù)據(jù)出境安全評估，而是一種定期評估的義務(wù)，這就造成了在制度適用上的混淆，也即滿足安全評估和標(biāo)準(zhǔn)合同主體標(biāo)準(zhǔn)的數(shù)據(jù)處理者在出境個人信息時，按照上位法《個人信息保護法》第38 條的規(guī)定，是可以繞開數(shù)據(jù)出境安全評估和標(biāo)準(zhǔn)合同而選擇更加便利的個人信息保護認證途徑的。雖然在實踐中由于“保安全”之達摩克利斯之劍的存在，繞開安全評估和標(biāo)準(zhǔn)合同的行為幾乎不會發(fā)生，但是在理論上卻存在一定的漏洞，暴露出上位法依據(jù)不清或缺失所導(dǎo)致的協(xié)調(diào)性失衡，進而導(dǎo)致制度的適用關(guān)系不清。

第三，通用性制度、行業(yè)性制度之間銜接不暢。由于中國的數(shù)據(jù)出境通用性制度起步較晚，先前有關(guān)數(shù)據(jù)出境的要求多散見于各行業(yè)主管部門制定的法規(guī)中。由于制定時間各不相同，受當(dāng)時國際環(huán)境、行業(yè)發(fā)展態(tài)勢、數(shù)據(jù)安全意識、技術(shù)先進程度、部門職責(zé)利益等因素的影響，各行業(yè)主管部門制定的法規(guī)在禁止出境或限制出境的尺度把握上與當(dāng)前新制定的通用性制度之間存在差異。按照《數(shù)據(jù)安全法》《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》《個人信息出境標(biāo)準(zhǔn)合同辦法》的立法精神和立法目的，對于沒有風(fēng)險的數(shù)據(jù)原則上應(yīng)當(dāng)鼓勵數(shù)據(jù)流動，對于可能會帶來風(fēng)險的重要數(shù)據(jù)以及大規(guī)模的個人信息在經(jīng)過安全評估后仍然可以出境，但是目前有不少行業(yè)規(guī)定是嚴(yán)格限制甚至禁止某些數(shù)據(jù)出境的。例如：《人類遺傳資源管理條例》第7 條明確，外國組織、個人及其設(shè)立或者實際控制的機構(gòu)不得向境外提供中國人類遺傳資源；
《人口健康信息管理辦法（試行）》第10 條規(guī)定，不得將人口健康信息在境外的服務(wù)器中存儲；
《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》第34 條規(guī)定，用戶的風(fēng)險數(shù)據(jù)原則上不得出境。

其中，最具代表性的是人類遺傳資源信息的出境，根據(jù)《人類遺傳資源管理條例》，人類遺傳資源包括人類遺傳資源材料和人類遺傳資源信息。人類遺傳資源材料是指含有人體基因組、基因等遺傳物質(zhì)的器官、組織、細胞等遺傳材料，人類遺傳資源信息是指利用人類遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料。按照該條例第27 條和第28 條的規(guī)定，人類遺傳資源材料出境需要取得科技部出具的人類遺傳資源材料出境證明，而向境外提供人類遺傳資源信息應(yīng)當(dāng)向科技部備案并提交信息備份。目前，中國對人類遺傳資源信息出境的主管部門為科技部。由此產(chǎn)生的問題是，人類遺傳資源信息大部分能夠識別到個人層面，因而其應(yīng)屬于個人信息甚至是敏感個人信息，那么對于屬于個人信息的人類遺傳資源信息出境，應(yīng)當(dāng)選擇科技部路徑還是國家網(wǎng)信辦路徑就成為擺在數(shù)據(jù)處理者面前的難題，二者之間所需條件、程序以及相關(guān)責(zé)任完全不同，且二者之間亦未做好協(xié)調(diào)。

第四，安全評估與安全審查如何適用尚不明確。目前，除安全評估外，重點關(guān)注與防范數(shù)據(jù)出境安全風(fēng)險的制度還包括安全審查，如網(wǎng)絡(luò)安全審查、數(shù)據(jù)安全審查、人類遺傳資源出境的科技部審查等。2022 年1 月4 日，經(jīng)國家網(wǎng)信辦等13 部門聯(lián)合修訂的《網(wǎng)絡(luò)安全審查辦法》發(fā)布，其適用范圍在“關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的基礎(chǔ)上增加了“網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動”，包括掌握超過100 萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，顯然存在數(shù)據(jù)安全風(fēng)險的數(shù)據(jù)出境活動也在網(wǎng)絡(luò)安全審查范圍內(nèi)，且該辦法第10 條規(guī)定的審查內(nèi)容與安全評估的內(nèi)容具有一定的相似性。作為同樣關(guān)注數(shù)據(jù)出境引發(fā)的國家安全、數(shù)據(jù)安全等問題的制度，安全審查與安全評估之間的關(guān)系如何、是否平行適用、在機制上如何配合等問題目前尚不明確。例如，經(jīng)過網(wǎng)絡(luò)安全審查或科技部審查的數(shù)據(jù)出境，是否還需要再申報安全評估？審查內(nèi)容或評估內(nèi)容是否在一定程度上重復(fù)并增加了數(shù)據(jù)處理者的合規(guī)成本？上述問題還需要進一步予以明確，以便為數(shù)據(jù)處理者提供更加清晰的指引，從而既有利于其高效率、高質(zhì)量地合規(guī)，也有利于及時有效地保障中國的國家安全與數(shù)據(jù)安全。

第五，《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》與《數(shù)據(jù)出境安全評估辦法》在一定程度上相互沖突。根據(jù)《規(guī)范和促進數(shù)據(jù)跨境流動的規(guī)定（征求意見稿）》第5 部分和第6 部分的規(guī)定，預(yù)計一年內(nèi)向境外提供不滿1 萬人個人信息的，不需要申報數(shù)據(jù)出境安全評估、訂立個人信息出境標(biāo)準(zhǔn)合同、通過個人信息保護認證。預(yù)計一年內(nèi)向境外提供1 萬人以上、不滿100 萬人個人信息，與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同并向省級網(wǎng)信部門備案或者通過個人信息保護認證的，可以不申報數(shù)據(jù)出境安全評估；
向境外提供100 萬人以上個人信息的，應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估。由此可以看出，只有當(dāng)預(yù)計向境外提供100 萬人以上個人信息時，才必須通過安全評估的路徑，而《數(shù)據(jù)出境安全評估辦法》則規(guī)定了處理100 萬人以上個人信息、自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息的數(shù)據(jù)處理者向境外提供個人信息都需要申請安全評估。綜上所述，二者在兩處產(chǎn)生了一定程度上的沖突：一是“歷史出境數(shù)據(jù)”和“未來出境數(shù)據(jù)”的沖突，《數(shù)據(jù)出境安全評估辦法》關(guān)注的是數(shù)據(jù)處理者歷史上處理個人信息的體量，從而判斷其出境數(shù)據(jù)是否會產(chǎn)生安全風(fēng)險，而《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》關(guān)注的是數(shù)據(jù)處理者未來將要出境數(shù)據(jù)的體量，從而判斷其可能產(chǎn)生的安全風(fēng)險，從實踐情況來看，后者顯然更加科學(xué)和有利于數(shù)據(jù)處理者；
二是《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》沒有再區(qū)分個人信息和敏感個人信息的不同體量，統(tǒng)一將出境數(shù)據(jù)的數(shù)量提升至100 萬人，有利于方便數(shù)據(jù)出境業(yè)務(wù)的開展。

（三）國際性：難與國際規(guī)則相銜接

數(shù)據(jù)跨境是數(shù)字經(jīng)濟全球化背景下的產(chǎn)物，需要世界各國之間相互協(xié)作才能產(chǎn)生巨大價值，這就決定了數(shù)據(jù)能否實現(xiàn)高效、自由的流動不能僅僅依靠各個國家或地區(qū)的法規(guī)政策，還與區(qū)域性或全球性的國際規(guī)則和協(xié)定息息相關(guān)。近年來，數(shù)據(jù)跨境流動不僅成為國際數(shù)字貿(mào)易規(guī)則的核心議題，也成為各國爭奪數(shù)字產(chǎn)業(yè)、數(shù)字治理話語權(quán)的關(guān)鍵領(lǐng)域[14]，美國、歐盟、中國等為促進自身數(shù)字經(jīng)濟發(fā)展，促進數(shù)據(jù)自由流動，積極主導(dǎo)制定或參與制定國際協(xié)議，輸出自身的數(shù)據(jù)跨境流動規(guī)則與標(biāo)準(zhǔn)，形成了一系列成果[15]。自2004 年以來，美國先后主導(dǎo)制定了《美國—智利自由貿(mào)易協(xié)定》、《美國—韓國自由貿(mào)易協(xié)定》、《跨太平洋伙伴關(guān)系協(xié)定》（TPP）、《美墨加協(xié)定》（USMCA）等，并通過亞太經(jīng)合組織（APEC）積極推進《跨境隱私規(guī)則體系》（CBPRs）[16]，倡導(dǎo)自由的跨境數(shù)據(jù)傳輸，要求各國政府不得以數(shù)據(jù)保護為由限制數(shù)據(jù)的跨境流動。在美國于2017 年宣布退出TPP 后，原11 個成員國宣布將TPP 改名為《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP），保留了原TPP 的大部分內(nèi)容，同樣支持跨境數(shù)據(jù)流動、反對數(shù)據(jù)本地化。

2020 年11 月15 日，中國同東盟十國、日本、韓國、澳大利亞、新西蘭正式簽署《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（RCEP），達成了亞太地區(qū)規(guī)模最大的自由貿(mào)易協(xié)定，中國首次在自由貿(mào)易協(xié)定中明確表示支持數(shù)據(jù)跨境自由流動和禁止數(shù)據(jù)本地化。2020 年11 月20 日，***在亞太經(jīng)合組織第二十七次領(lǐng)導(dǎo)人非正式會議上發(fā)表講話指出，中國“將積極考慮加入全面與進步跨太平洋伙伴關(guān)系協(xié)定”[17]。2021 年11 月，中國正式提出申請加入《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》（DEPA）。通過加入CPTPP、DEPA、RCEP 等國際規(guī)則，表明了中國政府加快推動數(shù)據(jù)跨境流動、促進數(shù)字經(jīng)濟貿(mào)易全面發(fā)展、實現(xiàn)數(shù)據(jù)要素高水平開放的決心，跨境數(shù)據(jù)流動貿(mào)易規(guī)制提供了國際合作的基本制度框架，確認了跨境數(shù)據(jù)自由流動的共同發(fā)展方向[18]。

但是，參與制定或者申請加入國際規(guī)則的必備條件之一是需要使國內(nèi)制度與國際規(guī)則相銜接，滿足相關(guān)國際規(guī)則的要求和標(biāo)準(zhǔn)，否則將很難實現(xiàn)標(biāo)準(zhǔn)輸出與全面開放的目的。例如，《關(guān)于CPTPP 加入程序的決定》明確要求申請加入方采取國內(nèi)行動措施，即完成國內(nèi)相關(guān)改革和法律修改，證明其將遵守CPTPP 的現(xiàn)行規(guī)則。就中國目前申請加入的CPTPP 和《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》（DECP）而言，在數(shù)據(jù)跨境流動的促進與限制方面與中國國內(nèi)目前的制度之間存在著較大的原則性分歧。根據(jù)CPTPP第14.11 條規(guī)定，每一締約方應(yīng)當(dāng)允許通過電子方式跨境傳輸信息，除非為了實現(xiàn)合法的公共政策目標(biāo)方能施加限制性措施，但是這種限制性措施不以構(gòu)成任意或不合理歧視或?qū)Q(mào)易構(gòu)成變相限制的方式適用，以及不對數(shù)據(jù)傳輸施加超出實現(xiàn)目標(biāo)所需限度的限制。在這一方面，DECP 采用了基本相同的條款表述。

可以看出，CPTPP 和DECP 規(guī)定了較高水平的數(shù)據(jù)跨境流動措施，同時對限制數(shù)據(jù)跨境的行為設(shè)定了極為嚴(yán)苛的條件。一方面，CPTPP 雖然未明確“合法的公共政策目標(biāo)”的具體內(nèi)容，但是也并沒有授權(quán)各成員國自行確定，而在中國目前的國內(nèi)制度中，安全評估、標(biāo)準(zhǔn)合同和保護認證都是對數(shù)據(jù)出境的限制措施，實施目的僅規(guī)定了較為模糊的“為了規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益”，沒有規(guī)定明確的公共政策目標(biāo)且無法說明此類限制的必要性，而金融、醫(yī)療等行業(yè)中規(guī)定的禁止數(shù)據(jù)出境條款更是在公共政策目標(biāo)、歧視性限制和必要性方面缺乏具有足夠說服力的解釋，未來在與CPTPP 的銜接中將存在巨大的挑戰(zhàn)。另一方面，從CPTPP 條款內(nèi)容設(shè)置來看，其遵循的邏輯是“應(yīng)當(dāng)允許”出境為原則，“施加限制”出境為例外，而中國目前的制度設(shè)計則是以安全評估、標(biāo)準(zhǔn)合同和保護認證為主體，尤其是個人信息的出境條件必須滿足上述三者之一，表現(xiàn)出了以限制為原則的邏輯思路，未來其他成員國如果將CPTPP 第14.11 條“應(yīng)當(dāng)允許”解釋為等同于USMCA 使用的“不得禁止或限制”的含義[19]，則中國的國內(nèi)制度與國際規(guī)則之間則面臨著完全相反的邏輯設(shè)計的困境。

（四）可操作性：成效難達預(yù)期

徒法不足以自行，即使再好的制度設(shè)計也需要得到實踐的檢驗。除上述制度設(shè)計上存在的問題與短板外，在實際操作中，中國數(shù)據(jù)出境制度同樣存在較多的痛點與難點，這極大地提升了數(shù)據(jù)處理者的合規(guī)成本，也給監(jiān)管部門帶來了巨大的監(jiān)管阻礙。

1.部門協(xié)調(diào)成本較高

無論是安全評估還是標(biāo)準(zhǔn)合同，都需要數(shù)據(jù)處理者首先進行自評估，這就要求對數(shù)據(jù)出境涉及的業(yè)務(wù)、數(shù)據(jù)鏈路等內(nèi)容進行梳理和評估，而一項數(shù)據(jù)出境業(yè)務(wù)往往涉及技術(shù)、法務(wù)、管理、業(yè)務(wù)、營銷等多個部門，有的數(shù)據(jù)處理者也會有多個業(yè)務(wù)場景需要進行數(shù)據(jù)出境，這就使得多部門協(xié)同配合成為數(shù)據(jù)出境安全評估申報的重中之重，其配合程度與效率高低將直接決定自評估能否順利進行。但是，實踐中往往只有法務(wù)部門能夠重視這項工作，其他部門由于職責(zé)范圍不包括這一內(nèi)容而難以對其給予足夠高的重視，部門之間協(xié)調(diào)困難成為安全評估的阻礙因素之一。例如，從筆者對北京地區(qū)具有數(shù)據(jù)出境需求的醫(yī)院進行調(diào)研的結(jié)果來看，目前排名前三的醫(yī)療數(shù)據(jù)出境目的為國際合作臨床試驗和文章發(fā)表、國家藥物臨床試驗以及人類遺傳資源信息對外提供或開放使用，占比依次為29%、18%和12%，而醫(yī)院等醫(yī)療機構(gòu)中往往是以課題組或研究團隊為單位進行數(shù)據(jù)跨境流動，不同課題組對出境數(shù)據(jù)的字段、境外接收方、數(shù)據(jù)量、處理方式等條件具有不同的需求，因而，除本項目組外，其他部門對數(shù)據(jù)出境的驅(qū)動力并不強，配合程序和效率上往往存在滯后性。

2.境內(nèi)外配合難度高

安全評估中，境內(nèi)數(shù)據(jù)處理者需要明確境外數(shù)據(jù)接收方的境外接收方處理數(shù)據(jù)的目的、范圍、方式等的合法性、正當(dāng)性、必要性，與其訂立數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件，充分約定數(shù)據(jù)安全保護責(zé)任義務(wù)以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等，保障出境數(shù)據(jù)的安全。對于一些已出境及在持續(xù)出境的數(shù)據(jù)，需要境外接收方同步配合對其開展大量的整改工作，加上安全評估為中國獨具特色的數(shù)據(jù)出境制度，實踐中存在部分境外數(shù)據(jù)接收者拒不配合甚至威脅反制的情況，因而境內(nèi)與境外的溝通也是重點和難點之一。

3.人力物力不足

一方面，在合規(guī)側(cè)，數(shù)據(jù)資產(chǎn)梳理與自評估包含了巨大的工作量，需要耗費較多的人力和物力。然而，根據(jù)筆者的調(diào)研結(jié)果，目前實踐中數(shù)據(jù)處理者主要采用Excel 工作表的形式進行梳理總結(jié)并依靠專業(yè)人員進行主觀評價，效率低、數(shù)量大、類別雜，缺少自動化技術(shù)手段，且專業(yè)人員不僅需要對相關(guān)法律法規(guī)了如指掌，還需要懂得技術(shù)與業(yè)務(wù)，否則將會很容易出現(xiàn)“雞同鴨講”“隔行如隔山”的情況，一般的中小企業(yè)往往難以負擔(dān)如此高昂的成本，也缺乏有效完成自評估的能力和現(xiàn)實條件，最終只能放棄申報數(shù)據(jù)出境而選擇暫停業(yè)務(wù)，更有甚者則選擇鋌而走險，在未作申報的情況下仍繼續(xù)開展數(shù)據(jù)出境活動。另一方面，在監(jiān)管側(cè)，根據(jù)《數(shù)據(jù)出境安全評估辦法》，所有申報數(shù)據(jù)出境安全評估的審查材料都將匯聚到國家網(wǎng)信辦進行評估，但是全國數(shù)據(jù)出境安全評估申報主體數(shù)量如此之多，每個申報主體的申報材料內(nèi)容又十分繁雜，以國家網(wǎng)信辦的人員數(shù)量要想快速完成如此之大的工作量，十分困難，且國家網(wǎng)信辦并非行業(yè)主管部門，對于來自各行各業(yè)的數(shù)據(jù)出境業(yè)務(wù)必定無法全面掌握，在評估目的性、必要性等與業(yè)務(wù)場景緊密結(jié)合的內(nèi)容時難免在專業(yè)性上捉襟見肘，這將極大地延緩審查速度。實踐中，雖然大部分申報主體在國家網(wǎng)信辦進行審核評估期間仍能繼續(xù)進行數(shù)據(jù)出境活動，國家網(wǎng)信辦對此也予以默認許可，但是這種“潛規(guī)則”的方式缺乏穩(wěn)定性和可預(yù)期性，不利于市場主體正常開展業(yè)務(wù)。

總體而言，中國目前的數(shù)據(jù)出境制度呈現(xiàn)出“以通用規(guī)則為主體，以行業(yè)規(guī)則為補充”的思路和格局。雖然在總體方向上強調(diào)兼顧經(jīng)濟發(fā)展與數(shù)據(jù)利用，在保障安全作為紅線與底線的前提下促進數(shù)據(jù)的跨境流動，統(tǒng)籌兼顧不同領(lǐng)域?qū)?shù)據(jù)跨境的不同關(guān)切面向，但是在具體制度設(shè)計及實踐中，中國的數(shù)據(jù)出境制度卻出現(xiàn)了混亂情形，難以在實際操作層面真正實現(xiàn)“平衡安全與發(fā)展”的規(guī)制導(dǎo)向，尤以過度注重安全而“一刀切”的做法最為顯著，“安全大于天”的紅線使得“保安全”的邊界不斷擴張和泛化，甚至可以壓倒一切，反噬并扼殺了數(shù)據(jù)的創(chuàng)新性利用，從而導(dǎo)致了上文所述的系統(tǒng)性、協(xié)調(diào)性、國際性和可操作性層面的重重問題。

究其原因，必然是政治、經(jīng)濟、文化、社會、輿論環(huán)境、立法技術(shù)等多種因素共同影響的結(jié)果。但其中最本質(zhì)的因素是，尚未明確能夠形塑監(jiān)管體系的數(shù)據(jù)出境規(guī)制理論或政治道德哲學(xué)，從而難以一以貫之地形成穩(wěn)定、科學(xué)和完善的數(shù)據(jù)出境監(jiān)管體系[20]。一方面，數(shù)據(jù)跨境規(guī)制理論能夠間接反映政治、經(jīng)濟、技術(shù)、社會等其他因素，是其他因素集中作用和影響的載體；
另一方面，全世界各地的數(shù)據(jù)立法體系復(fù)雜龐大，不僅數(shù)量較多，而且法律、政策、指南、標(biāo)準(zhǔn)等各類文件縱橫交叉，立法、執(zhí)法、司法相互獨立，美國的聯(lián)邦立法與各州立法、歐盟的立法與各成員國立法相互作用，如果僅從制度層面借鑒分析而不深究其背后的理論邏輯，則往往會以偏概全甚至得出相互矛盾的經(jīng)驗總結(jié)。綜合來看，當(dāng)前主流的數(shù)據(jù)跨境規(guī)制理論包括數(shù)據(jù)自由貿(mào)易、數(shù)據(jù)權(quán)利保護、數(shù)據(jù)主權(quán)等[7]62-77。

（一）市場話語體系下的數(shù)據(jù)自由貿(mào)易理論

數(shù)據(jù)自由貿(mào)易理論以美國為典型代表，其建構(gòu)基礎(chǔ)來自市場話語體系。在美國，長期以來的冒險精神使得不論政府還是公民都傾向通過多元、寬松的手段追求經(jīng)濟的發(fā)展，雖然存在一定的安全風(fēng)險，但是絕不能為了實現(xiàn)零風(fēng)險而極大地阻礙甚至扼殺市場經(jīng)濟、科技創(chuàng)新以及全球化競爭。因此，美國傾向通過事后救濟的方式來進行風(fēng)險規(guī)制[21]，并將自由貿(mào)易認定為國家和社會發(fā)展的主要目標(biāo)之一，在社會中已經(jīng)形成了較為廣泛的市場話語體系[22]。

在這種文化背景下，全球被美國視為一個開展自由貿(mào)易的大市場，數(shù)據(jù)是全球市場上的一種商品，而數(shù)據(jù)自由跨境流動則被視為自由貿(mào)易的重要前提條件。因而，美國鼓勵全球數(shù)據(jù)自由流動，要求其他國家和地區(qū)降低數(shù)據(jù)跨境門檻，弱化監(jiān)管和司法限制，并提出公平信息實踐理論。自2011 年11 月13 日起，美國開始不斷推進并主導(dǎo)APEC 的CBPRs，旨在通過區(qū)域規(guī)則要求締約方確保數(shù)據(jù)跨境的自由流動[23]。同時，在美國國內(nèi)的相關(guān)數(shù)據(jù)隱私法規(guī)中，也未采取如歐盟等地區(qū)般嚴(yán)格執(zhí)行的知情同意等數(shù)據(jù)授權(quán)原則，美國各方可以未經(jīng)同意收集和使用個人數(shù)據(jù)，只需要遵守一些其他相關(guān)法規(guī)即可[24-25]。

但是，在自由貿(mào)易的背后，美國單邊主義的霸權(quán)文化在數(shù)據(jù)跨境流動領(lǐng)域內(nèi)不斷擴張[26]，其同樣關(guān)注通過數(shù)據(jù)實現(xiàn)其全球霸權(quán)的延續(xù)，打造新的“數(shù)據(jù)霸權(quán)”，保障對其他國家相關(guān)主體的“長臂管轄”。因此，雖然美國聯(lián)邦層面在數(shù)據(jù)出境上的整體政策較為寬松，但是美國也并未放松對一些重要數(shù)據(jù)的管制，對于數(shù)據(jù)安全問題極為重視。例如：2018 年通過的《澄清域外合法使用數(shù)據(jù)法案》（CLOUD），針對危害國家安全和重大犯罪的行為規(guī)定了較為強勢的跨境數(shù)據(jù)調(diào)取規(guī)則；
《2022 年保護美國人數(shù)據(jù)免受外國監(jiān)視法案》（Protecting Americans’ Data from Foreign Surveillance Act of 2022），旨在防止美國公民敏感的個人數(shù)據(jù)流入惡意的外國實體①。

美國擁有全球數(shù)量最多、規(guī)模最大、國際化程度最高的互聯(lián)網(wǎng)企業(yè)和科技企業(yè)，其在數(shù)據(jù)的產(chǎn)生、收集、分析、利用等方面具有無可比擬的優(yōu)勢，多年來匯聚收集了全世界的海量數(shù)據(jù)，為其“世界警察”角色提供了強力支撐。一方面，表現(xiàn)為經(jīng)濟紅利的增長。例如，谷歌公司、蘋果公司的海外市場收入占比常年保持在它們總營收的50%甚至更高，亞馬遜公司也有差不多1/3 的收入來自海外[27]。另一方面，表現(xiàn)在國家安全和政治安全上。多年來，美國利用自身數(shù)據(jù)和算法的優(yōu)勢，長期對其他國家政府進行類似“棱鏡門”的監(jiān)視，根據(jù)他國貿(mào)易數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)發(fā)起精準(zhǔn)的貿(mào)易戰(zhàn)和經(jīng)濟制裁，甚至擾亂他國社會穩(wěn)定。所以，這也從側(cè)面反映出，數(shù)據(jù)是新時代的石油或原材料，如果主權(quán)國家沒有權(quán)利管理自身主權(quán)范圍內(nèi)的數(shù)據(jù)，那么數(shù)據(jù)就會源源不斷地流向數(shù)字經(jīng)濟發(fā)達的國家和地區(qū)，數(shù)字落后的國家和地區(qū)則無法從中獲得好處[28]，甚至導(dǎo)致數(shù)據(jù)殖民主義[29]的產(chǎn)生。

（二）權(quán)利本位體系下的數(shù)據(jù)權(quán)利保護理論

權(quán)利本位體系下的數(shù)據(jù)權(quán)利保護理論以歐盟為典型代表。與美國相反，歐盟走上了一條權(quán)利本位的話語體系之路，將數(shù)據(jù)視為公民尊嚴(yán)、人格、自由等基本權(quán)利的載體和映射，事關(guān)公民的身份、隱私等人權(quán)能否得到充分的保護，神圣不可侵犯。基本權(quán)利保障是第二次世界大戰(zhàn)后歐洲國家創(chuàng)造歐洲公民身份計劃的重要組成部分，是在法西斯主義和納粹主義的毀滅性經(jīng)歷中，歐洲國家領(lǐng)會到的保護人類尊嚴(yán)的血淚教訓(xùn)。在第二次世界大戰(zhàn)后，歐洲國家逐步建立了一個基本權(quán)利的超國家體系，并形成了《歐洲人權(quán)公約》和《基本權(quán)利憲章》——歐洲基本權(quán)利的兩大支柱②，由此產(chǎn)生的歐洲數(shù)據(jù)保護系統(tǒng)以數(shù)據(jù)主體為權(quán)利主體的中心，處理個人數(shù)據(jù)一直被視為會給人的基本權(quán)利帶來重大風(fēng)險的行為，所以歐盟一直以來對于美國法律是否為歐盟公民的個人數(shù)據(jù)提供足夠的保護保留較大質(zhì)疑[30]。

此外，“國家”安全與利益同樣也是歐盟數(shù)據(jù)跨境制度的重要考量因素之一，第二次世界大戰(zhàn)的陰霾使得個人基本權(quán)利被歐盟視為“國家”安全與利益的基石，沒有對公民基本權(quán)利的保護，“國家”安全也將無從談起。因此，歐盟GDPR 規(guī)定了較為嚴(yán)格的數(shù)據(jù)跨境流動制度。就個人數(shù)據(jù)而言，歐盟委員會可以依據(jù)GDPR 法規(guī)作出“充分性決定”（adequacy decision）來認定非歐盟國家是否有足夠的數(shù)據(jù)保護水平，該決定將評估個人數(shù)據(jù)從歐盟流出進入第三國是否需要附加保護措施。如果第三國不在歐盟“充分性決定”范圍內(nèi)，則可以利用具有約束力的公司規(guī)則、標(biāo)準(zhǔn)合同條款、認證機制等開展個人數(shù)據(jù)跨境活動。

由于歐盟GDPR 具有廣泛的域外效力和強有力的執(zhí)法機制，所有處理歐盟公民信息的個人信息處理者不論其處理行為是否在歐盟境內(nèi)，都需要遵循歐盟的相關(guān)法規(guī)，加上歐盟具有擁有巨大潛力和價值的數(shù)字市場，導(dǎo)致其他國家涉外企業(yè)的跨境合規(guī)往往繞不開GDPR。并且，大多數(shù)國家意識到了歐盟數(shù)據(jù)跨境制度對國家安全和人權(quán)的有效保護，往往選擇與歐盟進行制度銜接，參考并借鑒歐盟的標(biāo)準(zhǔn)以達到充分性認定水平，這大大促進了歐盟的標(biāo)準(zhǔn)向其他國家的輸出，形成了“布魯塞爾效應(yīng)”，進一步強化了歐盟的“國家”安全與利益的實現(xiàn)。

但是，與數(shù)據(jù)自由貿(mào)易理論相似，數(shù)據(jù)權(quán)利保護理論同樣存在缺陷，主要表現(xiàn)為歐盟認為保障公民的個人數(shù)據(jù)權(quán)利具有極高的價值位階。雖然極少數(shù)的互聯(lián)網(wǎng)平臺巨頭已經(jīng)使歐盟認識到不受阻礙的數(shù)字貿(mào)易對歐洲十分重要[31]，促進先進技術(shù)和相關(guān)服務(wù)的創(chuàng)新能夠帶來巨大的利益③，但是數(shù)字經(jīng)濟的發(fā)展、互聯(lián)網(wǎng)平臺的創(chuàng)新等都需要讓步于個人基本權(quán)利保護這一紅線，當(dāng)這些其他利益與個人數(shù)據(jù)權(quán)利相沖突時，歐盟法院就會進行比例分析，結(jié)果往往是采取更高水平的個人數(shù)據(jù)保護措施和對數(shù)據(jù)跨境流動進行更加嚴(yán)格的監(jiān)管，基于事前預(yù)防的基本邏輯充分保障歐盟公民的基本人權(quán)。因此，歐盟的數(shù)據(jù)在內(nèi)部成員國之間雖可自由流動，但限制了個人數(shù)據(jù)轉(zhuǎn)移到歐盟境外，采取了多種手段嚴(yán)格控制個人數(shù)據(jù)的跨境流動，并為此先后通過SchremsⅠ案和SchremsⅡ案，使得其與美國之間為促進數(shù)據(jù)跨境流動而達成的“安全港”和“隱私盾”協(xié)議變得無效④。

（三）利益平衡體系下的數(shù)據(jù)主權(quán)理論

美國的數(shù)據(jù)自由貿(mào)易理論雖傾向通過采用事后救濟和責(zé)任承擔(dān)的規(guī)制進路來促進數(shù)字經(jīng)濟的發(fā)展，但其背后是以強大的數(shù)據(jù)霸權(quán)和數(shù)據(jù)殖民主義作為支撐的；
歐盟雖傾向采用事前預(yù)防的規(guī)制進路來保障基本人權(quán)，但其代價是數(shù)字經(jīng)濟的艱難發(fā)展。

顯然，數(shù)據(jù)自由貿(mào)易理論與數(shù)據(jù)權(quán)利保護理論并不能有效滿足中國現(xiàn)階段的發(fā)展需求。

一方面，中國素?zé)o數(shù)據(jù)霸權(quán)的文化傳統(tǒng)，反而因為政治、經(jīng)濟、科技實力等原因需要強力保護國家主權(quán)與安全，維護公民的相關(guān)數(shù)據(jù)權(quán)益。近年來，美國“長臂管轄權(quán)”的適用范圍不斷擴大，從解決美國國內(nèi)問題發(fā)展到介入國際問題、從司法管轄權(quán)延伸到立法管轄權(quán)和執(zhí)法管轄權(quán)、從民事案件擴張到刑事案件[32]，這種向外擴張的路徑難免會與其他國家的利益產(chǎn)生沖突[33]，如美國將中國企業(yè)列入“實體清單”試圖遏制中國產(chǎn)業(yè)發(fā)展[34]，如果核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被非法出境，將會出現(xiàn)被外國政府影響、控制、惡意利用的風(fēng)險。

此外，在第二次世界大戰(zhàn)期間，中國遭受了日本帝國主義的人權(quán)毀滅，對中國人民的人格尊嚴(yán)與自由等基本權(quán)利帶來了巨大傷害。改革開放以來，黨和國家一直堅持不懈地追求和保障人權(quán)，將人民對美好生活的向往作為奮斗目標(biāo)，不斷發(fā)展全過程人民民主，推進人權(quán)法治保障，堅決維護社會公平正義，促進中國人民的生存權(quán)、發(fā)展權(quán)和其他各項基本權(quán)利保障不斷向前推進[35]。人權(quán)的保障離不開數(shù)據(jù)主權(quán)、國家安全的完整，更需要通過保障公民數(shù)據(jù)權(quán)益來實現(xiàn)，因此，中國的數(shù)據(jù)出境制度應(yīng)重點關(guān)注安全底線，防范和提前化解可能存在的風(fēng)險，將數(shù)據(jù)主權(quán)、國家安全、公共利益以及公民權(quán)益保障作為數(shù)據(jù)安全立法的重要原則。

另一方面，中國目前正值數(shù)字經(jīng)濟發(fā)展的關(guān)鍵期，顯然不能因噎廢食，以犧牲經(jīng)濟發(fā)展為代價。近代以來，清政府采取閉關(guān)鎖國的政策，幾乎斷絕了與世界各國之間的大型貿(mào)易往來和科技文化交流，以至于錯失了工業(yè)革命和科技革命，積貧積弱的國力使得中國淪為半殖民地半封建社會，落后就要挨打的歷史教訓(xùn)時刻警醒我們必須自立自強。當(dāng)前，數(shù)字經(jīng)濟的快速發(fā)展以及百年未有之大變局形勢為中國的發(fā)展提供了歷史機遇，“兩個一百年”奮斗目標(biāo)和中國式現(xiàn)代化的推進需要我們不斷做優(yōu)做強數(shù)字經(jīng)濟，數(shù)據(jù)的跨境流動是數(shù)字經(jīng)濟發(fā)展的重要內(nèi)容，只有充分釋放數(shù)字紅利，才能讓人民群眾真正受益。

因此，相較于美國的數(shù)據(jù)自由貿(mào)易和歐盟的數(shù)據(jù)權(quán)利保護，中國應(yīng)當(dāng)基于利益平衡體系下的數(shù)據(jù)主權(quán)理論建構(gòu)數(shù)據(jù)跨境制度，強調(diào)安全與發(fā)展兼顧、“既要又要”的風(fēng)險規(guī)制進路。利益平衡體系下的數(shù)據(jù)主權(quán)理論以維護國家安全為底色，采取因時制宜的數(shù)據(jù)主權(quán)形態(tài)，將分級分類保護作為核心機制，具體包括數(shù)據(jù)保護權(quán)與數(shù)據(jù)參與權(quán)。在該理論下，安全評估應(yīng)當(dāng)處于單列且優(yōu)先使用的地位，但其適用需要遵循嚴(yán)格的觸發(fā)條件，即：只有數(shù)據(jù)出境行為及境外數(shù)據(jù)處理活動將對國家安全產(chǎn)生危害時才需要進行安全評估，這種規(guī)定是國家主權(quán)之自保權(quán)的體現(xiàn)，當(dāng)境外數(shù)據(jù)處理行為危害到本國國家之安全時，國家有抵御外來侵犯之絕對權(quán)利，本國對境外數(shù)據(jù)威脅行為采取防御、處置措施是國家主權(quán)作用的當(dāng)然結(jié)果，此為數(shù)據(jù)保護權(quán)；
數(shù)據(jù)參與權(quán)是指當(dāng)數(shù)據(jù)出境行為與國家安全、公共利益的關(guān)聯(lián)性相對較弱時，應(yīng)當(dāng)采取標(biāo)準(zhǔn)合同與保護認證并行的方式，積極參與國際化數(shù)據(jù)跨境規(guī)則制定和全球經(jīng)濟發(fā)展。同時，對內(nèi)而言，鼓勵行業(yè)主管部門、自貿(mào)區(qū)等積極參與數(shù)據(jù)跨境制度的制定，根據(jù)行業(yè)特點、地區(qū)特點，因時因地制宜地規(guī)范數(shù)據(jù)跨境流動。

“保安全”與“促發(fā)展”在數(shù)據(jù)跨境流動領(lǐng)域并不是相互對立的，而是有機結(jié)合以共同致力于使公民的權(quán)利和利益得到有效保障。“促發(fā)展”并非單純追求金錢等利益的增長，而是通過數(shù)據(jù)的流動推進貿(mào)易的開展，進而促進數(shù)字經(jīng)濟的繁榮發(fā)展，讓人民群眾享受到時代發(fā)展的紅利，增強國家的經(jīng)濟實力。落后就要挨打的歷史教訓(xùn)和改革開放的成功經(jīng)驗告訴我們，經(jīng)濟的發(fā)展將為保障國家安全、社會公共利益以及公民權(quán)益提供堅實基礎(chǔ)，因此，“促發(fā)展”可以說是另一種層面上的“保安全”，二者相輔相成、殊途同歸，是數(shù)字經(jīng)濟發(fā)展的鳥之兩翼、車之兩輪，不應(yīng)存一廢一、偏執(zhí)一面，而應(yīng)統(tǒng)籌兼顧，找尋融合與平衡之策。

（一）明確安全與發(fā)展并重的利益平衡原則

2023 年7 月25 日，國務(wù)院印發(fā)的《關(guān)于進一步優(yōu)化外商投資環(huán)境 加大吸引外商投資力度的意見》指出：“探索便利化的數(shù)據(jù)跨境流動安全管理機制。”2023 年9 月28 日，國家網(wǎng)信辦發(fā)布了《規(guī)范和促進數(shù)據(jù)跨境流動規(guī)定（征求意見稿）》，以進一步規(guī)范和促進數(shù)據(jù)依法有序自由流動，同時使得許多數(shù)據(jù)出境行為豁免于安全評估而可以通過保護認證、簽訂標(biāo)準(zhǔn)合同等方式出境，降低了門檻和標(biāo)準(zhǔn)，回應(yīng)了當(dāng)前國際社會對中國營商環(huán)境的質(zhì)疑，從而極大地便利了數(shù)據(jù)出境，于經(jīng)濟發(fā)展而言是重大利好。

在數(shù)據(jù)跨境流動的問題上，中國應(yīng)當(dāng)明確在數(shù)據(jù)主權(quán)和國家安全視野下最大限度地促進數(shù)據(jù)自由流動和經(jīng)濟快速發(fā)展的基本思路，合理平衡“保安全”與“促發(fā)展”理念，防止因“一刀切”式的做法過度擴張安全邊界而產(chǎn)生監(jiān)管異化，從而破壞了科技創(chuàng)新、經(jīng)濟發(fā)展和對外開放的良好格局，增加了數(shù)據(jù)跨境流動的成本，提高了市場主體數(shù)據(jù)處理和業(yè)務(wù)開展的成本，打擊了通過數(shù)據(jù)流動進行創(chuàng)新的積極性。

一方面，應(yīng)當(dāng)堅持數(shù)據(jù)主權(quán)和國家安全的底線不動搖。數(shù)據(jù)主權(quán)是國家主權(quán)的集中體現(xiàn)，是《聯(lián)合國憲章》中最為核心的原則之一[36]。數(shù)據(jù)作為有重要經(jīng)濟價值的生產(chǎn)要素，對其占有量的多少和處理能力的大小，是一個國家在全球數(shù)字市場中競爭力強弱的外在表現(xiàn)，因而往往會淪為發(fā)達國家輸出法律制度及其背后價值觀的工具，數(shù)據(jù)霸權(quán)最終會導(dǎo)致數(shù)據(jù)壟斷，數(shù)字經(jīng)濟實力弱小的國家將被限制在巨大的“數(shù)字鴻溝”之中，因此，當(dāng)數(shù)據(jù)狀態(tài)安全與否威脅到一個國家的生存和獨立發(fā)展時，該國就有權(quán)采取自我保護措施以維護自身數(shù)據(jù)安全。

另一方面，應(yīng)當(dāng)清醒地認識到，安全不是絕對的，風(fēng)險永遠存在。正如***所指出的：“網(wǎng)絡(luò)安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全，那樣不僅會背上沉重負擔(dān)，甚至可能顧此失彼。”[37]在當(dāng)前的實踐中，中國的數(shù)據(jù)出境制度與監(jiān)管力度過于偏向“保安全”，在具體手段上借鑒了保護“基本權(quán)利”的歐盟制度，如安全評估與歐盟GDPR 的核心機制——充分性認定——相類似，需要評估數(shù)據(jù)流入國家或國際組織的數(shù)據(jù)保護水平以及其與歐盟的政治關(guān)系、經(jīng)貿(mào)關(guān)系、法治水平、人權(quán)保護等因素，此外，歐盟GDPR 也規(guī)定了標(biāo)準(zhǔn)合同、第三方認證等制度。

但是，中國與歐盟的法律文化不同，在立法訴求上也存在差異，不能照搬歐盟的制度設(shè)計，而是應(yīng)立足本土法律文化與國情，基于中國當(dāng)前處于數(shù)字經(jīng)濟彎道超車的歷史機遇期，明確經(jīng)濟發(fā)展的巨大需求。此外，即使是以保護“基本權(quán)利”為導(dǎo)向的歐盟，在具體制度開展上也沒有過于遏制數(shù)據(jù)的跨境流動，如“充分性認定”是對一國的狀況進行評估，如果達到了歐盟的數(shù)據(jù)保護標(biāo)準(zhǔn)，則雙方之間的數(shù)據(jù)即可自由流動，不需相關(guān)主體再單獨申請，且相較于中國“一事一議”的安全評估，更加有利于數(shù)據(jù)的快速流動。在標(biāo)準(zhǔn)合同方面，歐盟于2001—2010 年先后發(fā)布了三套標(biāo)準(zhǔn)合同（SCC2001C&SCC2001P、SCC2004C、SCC2010P），并于2021 年再次更新發(fā)布了第四套標(biāo)準(zhǔn)合同。總體來看，2021—2010 年發(fā)布的三套標(biāo)準(zhǔn)合同降低了企業(yè)的合規(guī)成本與難度，促進了數(shù)據(jù)的流動。相較于2001—2010 年發(fā)布的三套標(biāo)準(zhǔn)合同，2021 年更新的第四套標(biāo)準(zhǔn)合同整體上強化了對數(shù)據(jù)的保護，細化了數(shù)據(jù)流動的具體場景，體現(xiàn)了不同條件下的規(guī)制梯度。此外，前三套標(biāo)準(zhǔn)合同是在執(zhí)行歐盟《數(shù)據(jù)保護指令》（Data Protection Directive），第四套標(biāo)準(zhǔn)合同則主要是落實GDPR 的產(chǎn)物，可以預(yù)見，未來歐盟還將繼續(xù)更新GDPR 背景下的標(biāo)準(zhǔn)合同，更進一步促進數(shù)據(jù)的自由流動，為歐盟數(shù)字統(tǒng)一市場的建立提供支撐。

因此，未來中國的數(shù)據(jù)出境制度應(yīng)當(dāng)適當(dāng)更新，探索更加多元化的方式以促進數(shù)據(jù)的跨境流動，更新和細化不同場景下的制度規(guī)定，增加批量評估的占比。

（二）重構(gòu)制度體系性與協(xié)調(diào)性

1.安全評估單列且優(yōu)先適用

《個人信息保護法》第38 條規(guī)定，個人信息處理者向境外提供個人信息的，應(yīng)當(dāng)滿足安全評估、標(biāo)準(zhǔn)合同和保護認證三個條件之一。這就導(dǎo)致安全評估與標(biāo)準(zhǔn)合同、安全認證的適用關(guān)系出現(xiàn)瑕疵，未來應(yīng)當(dāng)基于數(shù)據(jù)主權(quán)理論明確安全評估單列且優(yōu)先適用的法律地位，且只有在數(shù)據(jù)出境行為及境外數(shù)據(jù)處理活動會對國家安全產(chǎn)生危害時才能觸發(fā)。

在內(nèi)容優(yōu)化上，《數(shù)據(jù)出境安全評估辦法》將數(shù)據(jù)出境安全評估申報的條件落腳在歷史上曾經(jīng)處理過的個人信息數(shù)量或出境的個人信息數(shù)量上，即根據(jù)歷史數(shù)據(jù)處理量來判斷該數(shù)據(jù)處理者的數(shù)據(jù)出境活動將給國家安全、社會安全和個人信息主體權(quán)益可能帶來的風(fēng)險，這雖然具有一定的合理性，但是在實際落地中卻暴露出了較大的短板與缺陷。根據(jù)筆者對相關(guān)具有數(shù)據(jù)出境需求的機構(gòu)的調(diào)研結(jié)果，有些數(shù)據(jù)處理者雖然已經(jīng)處理超過100 萬人的個人信息，但是其擬出境的數(shù)據(jù)量卻較小，甚至只有幾條或者幾十條，其內(nèi)容也不屬于敏感的個人信息，在這種情況下，如果仍然申請數(shù)據(jù)出境安全評估，將會給其帶來較大的負擔(dān)。例如，在實際的數(shù)據(jù)出境安全評估申報中，有些餐飲企業(yè)和銀行擁有超過100 萬名用戶，但其需要出境的數(shù)據(jù)并非其用戶的個人信息等業(yè)務(wù)數(shù)據(jù)，而是其員工個人信息等管理數(shù)據(jù)，這種擬出境的數(shù)據(jù)無論從數(shù)量上還是敏感程度上都不滿足數(shù)據(jù)出境安全評估的規(guī)制目的。又如，根據(jù)上文所述之筆者對國家衛(wèi)生健康委員會及醫(yī)院的訪談?wù){(diào)研結(jié)果，中國1 600 余家三甲醫(yī)院中的大部分醫(yī)院都滿足處理超過100 萬人的個人信息的標(biāo)準(zhǔn)，但醫(yī)院的數(shù)據(jù)出境需求往往是某一個課題組的研究需要，其與該課題組的專家具有極高的利益相關(guān)性，但與醫(yī)院的利益相關(guān)性卻較弱，其需要出境的數(shù)據(jù)體量有時會極小，因而實踐中有不少醫(yī)院認為其不應(yīng)該作為各課題組數(shù)據(jù)出境的責(zé)任主體，且醫(yī)院也缺乏能力對眾多課題組的數(shù)據(jù)出境活動進行監(jiān)管和安全保障，所以只能“一刀切”式地禁止醫(yī)院內(nèi)的數(shù)據(jù)出境活動，這給醫(yī)學(xué)健康研究帶來了較大阻礙。

因此，未來的數(shù)據(jù)出境許可條件的設(shè)置應(yīng)當(dāng)根據(jù)數(shù)據(jù)處理者的實際情況和合理需求制定標(biāo)準(zhǔn)，從而將監(jiān)管資源集中于保障真正關(guān)系國家安全、社會安全和公民權(quán)益的數(shù)據(jù)出境活動。例如，將《數(shù)據(jù)出境安全評估辦法》第4 條中的“歷史數(shù)據(jù)處理量”轉(zhuǎn)向“未來數(shù)據(jù)處理量”，在認定數(shù)據(jù)出境安全評估主體標(biāo)準(zhǔn)時關(guān)注“預(yù)計一年內(nèi)向境外提供”的數(shù)據(jù)量，并增加豁免條款，在“為訂立、履行個人作為一方當(dāng)事人的合同所必需、按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理、緊急情況下為保護自然人的生命健康和財產(chǎn)安全、科學(xué)研究”等方面減輕或免除安全評估的限制。

2.明確重要數(shù)據(jù)范圍目錄

重要數(shù)據(jù)在數(shù)據(jù)跨境監(jiān)管中占有重要地位，其出境后的安全狀態(tài)直接關(guān)系著中國的國家安全與數(shù)據(jù)主權(quán)，識別重要數(shù)據(jù)的數(shù)量和范圍是數(shù)據(jù)跨境活動開展的前提與基礎(chǔ)，如果無法厘清重要數(shù)據(jù)，則數(shù)據(jù)跨境規(guī)制的安全面向?qū)o從談起。但是，當(dāng)前無論理論界還是產(chǎn)業(yè)界，均未能明確重要數(shù)據(jù)的范圍、目錄以及具備可操作性的識別標(biāo)準(zhǔn)，這也成為目前最重要的行業(yè)痛點。例如，在醫(yī)療領(lǐng)域，大部分醫(yī)院尚未建立數(shù)據(jù)分類分級制度，也未能形成較成體系的數(shù)據(jù)分類分級方法、策略規(guī)則、目錄清單等，有些雖進行了數(shù)據(jù)分類但沒有進行數(shù)據(jù)分級，對于數(shù)據(jù)資產(chǎn)清單的認識尚不清晰。對此，醫(yī)院的顧慮在于，健康醫(yī)療行業(yè)的重要數(shù)據(jù)定義模糊，國家對醫(yī)療領(lǐng)域的分類分級沒有明確指導(dǎo)，因此醫(yī)院內(nèi)部無法有效區(qū)分數(shù)據(jù)分類分級。

對相關(guān)概念的澄清與解釋是數(shù)據(jù)出境制度實施的起點。只有明確了“數(shù)據(jù)分類分級、一般數(shù)據(jù)、重要數(shù)據(jù)以及核心數(shù)據(jù)”等基礎(chǔ)概念，才能為相關(guān)主體提供合理預(yù)期，便于根據(jù)不同類別和重要程度采取不同的出境路徑和保護措施。因此，應(yīng)當(dāng)盡快完善和明晰數(shù)據(jù)分類分級制度，通過“列舉+兜底”的方式明確一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)的邊界與范圍，從重要數(shù)據(jù)的識別到對重要數(shù)據(jù)的管理，從重要數(shù)據(jù)安全合規(guī)使用到重要數(shù)據(jù)安全保護，所有安全要求都需要有專業(yè)化、自動化工具的支持[38]。在重要數(shù)據(jù)的識別上，應(yīng)當(dāng)基于國家數(shù)據(jù)主權(quán)制度的前提和基礎(chǔ)，先從類別內(nèi)容上做出區(qū)分再根據(jù)重要數(shù)據(jù)的類別內(nèi)容做出等級劃分[39]，充分考慮各行業(yè)場景的共通性與特殊性，通過定量與定性相結(jié)合的方式來進行動態(tài)識別。

首先，基于數(shù)據(jù)主權(quán)的重要數(shù)據(jù)識別，應(yīng)當(dāng)聚焦國家安全、數(shù)據(jù)主權(quán)面向，明確重要數(shù)據(jù)與重要的數(shù)據(jù)之間的關(guān)系，避免為了過度追求安全而盲目擴張重要數(shù)據(jù)的范圍。其次，充分考慮行業(yè)的安全特性和對數(shù)據(jù)跨境的正當(dāng)需求，對于一般數(shù)據(jù)，原則上應(yīng)當(dāng)通過立法明確允許自由流動，提升市場預(yù)期和信心。最后，基于定量與定性相結(jié)合的方式動態(tài)識別重要數(shù)據(jù)。一方面，要從數(shù)據(jù)屬性、場景、內(nèi)容等定性的角度評估其對國家安全和數(shù)據(jù)主權(quán)的影響程度，判斷其遭遇泄露、非法獲取等情況時產(chǎn)生的危害程度；
另一方面，要從定量的角度判斷危害產(chǎn)生的概率，如雖然一組數(shù)據(jù)泄露后產(chǎn)生的危害程度為90%，但這種情況發(fā)生的可能性僅為0.01%，是否應(yīng)將其納入重要數(shù)據(jù)的范圍就有待商榷。此外，有些數(shù)據(jù)在體量較小時無法對國家安全和數(shù)據(jù)主權(quán)產(chǎn)生影響，但經(jīng)過匯聚形成大數(shù)據(jù)后極有可能反映出重要信息，因而數(shù)據(jù)量的大小也是重要數(shù)據(jù)識別中需要重點考慮的因素。

3.鼓勵地方性、行業(yè)性制度

考慮到各行業(yè)主管部門的專業(yè)性以及部分地方的特殊功能定位，應(yīng)當(dāng)鼓勵行業(yè)主管部門和部分地方積極參與數(shù)據(jù)跨境制度的制定，并因時因地細化完善相關(guān)條件，在部分地區(qū)、部分行業(yè)、部分場景下的數(shù)據(jù)出境監(jiān)管中采取更加便捷、高效、快速的措施，最大限度地滿足各類產(chǎn)業(yè)的發(fā)展需求。

在地方性制度層面，國務(wù)院2023 年8 月13 日發(fā)布的《關(guān)于進一步優(yōu)化外商投資環(huán)境加大吸引外商投資力度的意見》指出：“探索便利化的數(shù)據(jù)跨境流動安全管理機制。……支持北京、天津、上海、粵港澳大灣區(qū)等地在實施數(shù)據(jù)出境安全評估、個人信息保護認證、個人信息出境標(biāo)準(zhǔn)合同備案等制度過程中，試點探索形成可自由流動的一般數(shù)據(jù)清單。”2023 年11 月26 日，國務(wù)院印發(fā)的《全面對接國際高標(biāo)準(zhǔn)經(jīng)貿(mào)規(guī)則推進中國（上海）自由貿(mào)易試驗區(qū)高水平制度型開放總體方案》指出：“在國家數(shù)據(jù)跨境傳輸安全管理制度框架下，允許金融機構(gòu)向境外傳輸日常經(jīng)營所需的數(shù)據(jù)。涉及金融數(shù)據(jù)出境的，監(jiān)管部門可基于國家安全和審慎原則采取監(jiān)管措施，同時保證重要數(shù)據(jù)和個人信息安全。”此外，就粵港澳大灣區(qū)而言，其橫跨“一國、兩制、三法域”，內(nèi)地與港澳之間的數(shù)據(jù)法存在較大差異，且內(nèi)地與港澳之間的數(shù)據(jù)傳輸屬于跨境傳輸，若采用內(nèi)地法規(guī)則存在較大阻礙，若采用國際公認的保護法規(guī)和慣例則難以與內(nèi)地有關(guān)法規(guī)完全接軌，這就導(dǎo)致港澳作為國家對外開放橋頭堡和遠東金融中心的作用被大大限制。為此，國家網(wǎng)信辦與香港特別行政區(qū)政府創(chuàng)新科技及工業(yè)局先后簽署了《關(guān)于促進粵港澳大灣區(qū)數(shù)據(jù)跨境流動的合作備忘錄》和《粵港澳大灣區(qū)（內(nèi)地、香港）個人信息跨境流動標(biāo)準(zhǔn)合同實施指引》，明確除被認定為重要數(shù)據(jù)的個人信息外，其他個人信息在廣東九市與香港之間的跨境流動都可以通過訂立標(biāo)準(zhǔn)合同的方式進行，并減少了個人信息保護影響評估的內(nèi)容，對標(biāo)準(zhǔn)合同的登記備案手續(xù)也予以了簡化，更為重要的是，降低了對境外接收方的義務(wù)要求，極大地促進了數(shù)據(jù)跨境流動的發(fā)展趨勢，為相關(guān)主體提供了更多的操作空間和便利。未來，可以參考此類經(jīng)驗制定一系列規(guī)則，規(guī)范和促進數(shù)據(jù)通過港澳進行跨境傳輸?shù)南嚓P(guān)活動。

在行業(yè)性制度層面，網(wǎng)信部門的數(shù)據(jù)跨境規(guī)則與人類遺傳資源信息跨境規(guī)則應(yīng)當(dāng)相互協(xié)調(diào)，進一步明確不同主體、不同數(shù)據(jù)的適用情形，合理劃分網(wǎng)信部門與人類遺傳資源信息主管部門的職責(zé)分工和監(jiān)管范圍，明確人類遺傳資源信息出境的監(jiān)管部門以及所需要采取的程序、標(biāo)準(zhǔn)、要求、安全保障措施等，為相關(guān)數(shù)據(jù)處理者提供清晰的合規(guī)指引。從目前的行業(yè)實踐情況來看，人類遺傳資源信息出境由人類遺傳資源信息主管部門進行監(jiān)管更加有利于跨國科研等業(yè)務(wù)的開展。原因有二：一是該制度更為相關(guān)數(shù)據(jù)處理者所熟悉，大部分有出境需求的數(shù)據(jù)處理者更加了解人類遺傳資源信息主管部門的數(shù)據(jù)出境流程，在實際數(shù)據(jù)出境時也更多地采取了這一路徑，而對于網(wǎng)信部門的數(shù)據(jù)出境路徑卻十分陌生，學(xué)習(xí)成本較大；
二是相較于網(wǎng)信部門的數(shù)據(jù)出境路徑，人類遺傳資源信息主管部門的數(shù)據(jù)出境條件、流程和標(biāo)準(zhǔn)更加便利，在材料準(zhǔn)備方面，相較于數(shù)據(jù)出境安全自評估所需成本較小，而且可以通過統(tǒng)一的信息系統(tǒng)進行流轉(zhuǎn)，不需要另建系統(tǒng)。

（三）協(xié)調(diào)銜接國際規(guī)則

2023 年7 月10 日，歐盟和美國達成了繼“安全港”和“隱私盾”之后的新的《歐美數(shù)據(jù)隱私框架》（EU-US Data Privacy Framework），設(shè)立獨立法庭以審查美國情報機構(gòu)數(shù)據(jù)收集工作，保障在此框架下個人數(shù)據(jù)可以自由、安全地流動，被稱為“歐美雙方為了維系7.1 萬億美元的跨大西洋經(jīng)濟關(guān)系的重要舉措”。2023 年10 月21 日，“英美數(shù)據(jù)橋”（UK-US Data Bridge）生效，屆時將允許組織通過《歐美數(shù)據(jù)隱私框架》的英國擴展進行美英之間數(shù)據(jù)跨境傳輸，英國的組織將能夠?qū)€人數(shù)據(jù)傳輸?shù)将@得《歐美數(shù)據(jù)隱私框架》的英國擴展認證的美國組織，而無需采取進一步的保護措施，以實現(xiàn)英美相關(guān)組織之間的數(shù)據(jù)自由流動。2023 年10 月28 日，歐盟和日本就跨境數(shù)據(jù)流達成了協(xié)議。該協(xié)議明確，將取消數(shù)據(jù)本地化要求，使金融服務(wù)、運輸、機械、電子商務(wù)等多個行業(yè)的企業(yè)受益，讓它們無需進行煩瑣且成本高昂的管理即可處理數(shù)據(jù)。國際上的數(shù)據(jù)跨境將迎來新一輪的合作高峰，從而在全球經(jīng)濟低迷的時代背景下促進國際貿(mào)易的復(fù)蘇，提升各國經(jīng)濟發(fā)展，同時給中國社會經(jīng)濟的發(fā)展帶來機遇和啟示。

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》都明確了積極“參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定”的開放理念，“推動與其他國家、地區(qū)、國際組織之間的個人信息保護規(guī)則、標(biāo)準(zhǔn)等互認”，以更加自信的形象參與全球數(shù)據(jù)治理，發(fā)出中國聲音，提出中國方案，輸出中國標(biāo)準(zhǔn)。同時，國際規(guī)則不僅左右各國之間的利益分配，而且決定一國在國際社會中所能扮演的角色，并對其國際行為合法性進行評判[40]。因此，中國能否有效參與國際數(shù)字規(guī)則制定，形成符合中國產(chǎn)業(yè)利益的方案和主張，并將其融入規(guī)則中，將直接影響中國數(shù)字經(jīng)濟發(fā)展和國際地位的提升。

首先，中國應(yīng)以更主動進取的姿態(tài)參與數(shù)據(jù)跨境流動國際規(guī)則的構(gòu)建，在經(jīng)貿(mào)、投資以及其他相關(guān)專題談判中啟動數(shù)據(jù)跨境流動談判，做好國內(nèi)制度與國際規(guī)則的銜接工作，加強國際合作與協(xié)調(diào)，促進各國之間的互信和合作。其次，中國應(yīng)當(dāng)合理全面地利用解釋手段，在關(guān)鍵核心問題上通過文義解釋、目的解釋等方式消除與中國相關(guān)制度可能存在的分歧，逐步實現(xiàn)法律規(guī)制的趨同。最后，利用北京“兩區(qū)”、上海自貿(mào)區(qū)、海南自貿(mào)港、粵港澳大灣區(qū)等區(qū)域的制度創(chuàng)新優(yōu)勢，開展跨境數(shù)據(jù)流動試點，形成數(shù)據(jù)跨境規(guī)則的特區(qū)或“監(jiān)管沙盒”，在容錯機制環(huán)境下探索建立數(shù)據(jù)跨境流動的正面清單或負面清單，既能便利中國企業(yè)的數(shù)據(jù)“走出去”，也能讓外國企業(yè)的數(shù)據(jù)“走進來”。例如，北京“兩區(qū)”正在策劃建設(shè)數(shù)字貿(mào)易港，希望實現(xiàn)與歐盟之間數(shù)據(jù)跨境流動的特殊安排。

（四）降低合規(guī)成本

隨著人工智能、大數(shù)據(jù)等技術(shù)的進一步發(fā)展，利用“法律+科技”的手段實現(xiàn)監(jiān)管與合規(guī)的自動化、智能化已經(jīng)逐漸成為未來的發(fā)展趨勢。監(jiān)管部門應(yīng)持續(xù)推進監(jiān)管科技工具的發(fā)展繁榮，通過智能監(jiān)管技術(shù)實現(xiàn)監(jiān)管的智慧化、自動化、精細化和全面化，把日常監(jiān)管融入個人信息處理者的個人信息出境活動中，共同推動數(shù)字經(jīng)濟健康發(fā)展。個人信息處理者應(yīng)當(dāng)主動采用智能化合規(guī)工具重構(gòu)合規(guī)體系，通過類似ChatGPT 的自然語言處理工具構(gòu)建規(guī)則引擎，對相關(guān)法律法規(guī)進行自動化分析解構(gòu)，通過法律代碼化和規(guī)則自動化而自動生成符合要求的個人信息出境合同等法律文件，同時通過技術(shù)對數(shù)據(jù)收集、存儲、加工、使用、傳輸、刪除等全生命周期進行可視化管理，自動分析企業(yè)數(shù)據(jù)資產(chǎn)與合規(guī)風(fēng)險，根據(jù)分類分級等規(guī)則自動識別個人信息的數(shù)量、范圍、類型、敏感程度，保障個人信息處理目的、范圍、方式等的合法性、正當(dāng)性、必要性，自動化完成法律法規(guī)要求的自評估等工作，這樣既能提高合規(guī)的質(zhì)量與效率，又能降低合規(guī)的成本。例如，基于《個人信息保護法》和《數(shù)據(jù)出境安全評估辦法》，設(shè)計直觀易懂的評估問卷或手冊，快速排查具體業(yè)務(wù)場景的合規(guī)風(fēng)險，自動生成風(fēng)險矩陣，可視化追蹤風(fēng)險處置進度及持續(xù)改進計劃，構(gòu)建發(fā)現(xiàn)、評估、整改、優(yōu)化的管理閉環(huán)，自動化生成符合規(guī)范要求的數(shù)據(jù)出境風(fēng)險自評估報告或個人信息影響評估報告，全方位展示最終評估結(jié)果和風(fēng)險處置過程。

一方面，數(shù)據(jù)的跨境流動能夠催生新模式、新業(yè)態(tài)和新企業(yè)，深刻改變國際貿(mào)易和分工格局，并借助其公共產(chǎn)品的特性，使國際經(jīng)濟競爭從“零和博弈”轉(zhuǎn)向“帕累托最優(yōu)”，向自由、開放、合作、共享的方向發(fā)展；
但另一方面，數(shù)據(jù)的跨境流動又與數(shù)據(jù)主權(quán)、國家安全、公共利益、個人合法權(quán)益等非經(jīng)濟領(lǐng)域密切關(guān)聯(lián)，甚至?xí){到一國的穩(wěn)定與安全，致使數(shù)據(jù)安全與數(shù)據(jù)自由流動之間關(guān)系緊張。

目前，世界各國為搶占數(shù)字經(jīng)濟繁榮高地，紛紛制定更加寬松開放的數(shù)據(jù)跨境流動政策法規(guī)，力求奪取數(shù)字產(chǎn)業(yè)發(fā)展先機，從激烈的國際競爭中勝出。客觀而言，中國現(xiàn)有的數(shù)據(jù)跨境監(jiān)管體系暴露出了較多問題，已經(jīng)對產(chǎn)業(yè)的開放發(fā)展和數(shù)字經(jīng)濟的彎道超車產(chǎn)生了較大阻礙。未來，中國應(yīng)當(dāng)對數(shù)據(jù)跨境制度體系進行轉(zhuǎn)向性調(diào)整，依托數(shù)據(jù)主權(quán)基礎(chǔ)平衡安全與發(fā)展，構(gòu)建更加開放、動態(tài)和穩(wěn)定的數(shù)據(jù)跨境監(jiān)管體系，優(yōu)化營商環(huán)境，提高投資促進工作水平，加大吸引外商投資力度，探索便利化的數(shù)據(jù)跨境流動安全管理機制，形成可自由流動的一般數(shù)據(jù)清單。

注釋：

① 參見：Protecting Americans’ Data from Foreign Surveillance Act of 2022,S.4495,117th Cong.(2022)。

② 參見：Charter of Fundamental Rights of the European Union,2000 O.J C 364/10;Convention for the Protection of Human Rights and Fundamental Freedoms,Art.1,Nov.4,1950,213 U.N.T.S.222。

③ 參見：Commission Regulation 2016/679,2016 O.J.(L 119) 1,60-62(EU)。

④ 參見：Judgment of 6 October 2015 in Schrems v.Data Protection Commissioner,Case C-362/14,ECLI: EU: C: 2015: 650;Judgment of 16 July 2020 in Data Protection Commissioner v.Facebook Ireland Limited and Maximillian Schrems,Case 311/18,ECLI: EU: C:2020: 559。

猜你喜歡 出境個人信息跨境 如何保護勞動者的個人信息？工會博覽(2022年16期)2022-07-16個人信息保護進入“法時代”今日農(nóng)業(yè)(2022年1期)2022-06-01警惕個人信息泄露綠色中國(2019年14期)2019-11-26跨境支付兩大主流渠道對比談中國外匯(2019年20期)2019-11-25在跨境支付中打造銀企直聯(lián)中國外匯(2019年14期)2019-10-14關(guān)于促進跨境投融資便利化的幾點思考中國外匯(2019年21期)2019-05-21中華人民共和國出境入境管理法金橋(2018年9期)2018-09-25中華人民共和國出境入境管理法金橋(2018年7期)2018-09-25中華人民共和國出境入境管理法金橋(2018年5期)2018-09-22В первом квартале 2016 года через КПП Маньчжоули прошли 220 международных грузовых железнодорожных составов中亞信息(2016年4期)2016-07-07

推薦訪問:中國 路徑 現(xiàn)狀