“不畏浮云遮望眼，风物长宜放眼量”——全球视域下的中国数据跨境流动规则探析

前言

伴随互联网和全球贸易的飞速发展，数字经济时代已然到来，数据作为第五大生产要素在当今的企业跨境合作中具有重要地位，跨境流动的数据在促进全球经济协同发展的同时，也伴随着个人隐私、社会公共利益、经济发展以及国家安全的风险，防范数据跨境过程中产生的风险成为全球数据治理重点。与此同时，随着数据主权理论的兴起，各国对于数据跨境的规则讨论从安全风险上升到国家竞争的新高度。近年来，在欧盟通用数据保护条例（General Data Protection Regulation，“GDPR”）就个人数据跨境设置不同的安全要求和前提条件后，各国出于不同目的纷纷加强了数据跨境治理。有鉴于此，本文以我国现实需求为导向，通过总结欧盟、美国、俄罗斯、印度的数据跨境治理模式及核心要点，进而梳理和分析全球视域下我国数据跨境流动治理模式的必要性和长远影响。

一、全球数据跨境流动治理模式及规制体系

近年来，随着新型信息基础设施建设逐步铺开，信息化水平不断提高，数据跨境流动治理已成为世界各国高度关注的全球性问题。各国政府和企业对数据资源的价值与意义已经形成共识，如何对快速发展的数字技术和数字贸易进行有效监管，并在有效实施数据跨境流动治理的同时，寻找到一种可与其他主要贸易伙伴进行有效协调的模式已成为各主要经济体面临的共同挑战。除美国、欧盟等主要发达经济体在积极探索之外，俄罗斯、印度作为主要的发展中国家，也在不断加强其数字经济和数字贸易的治理机制的建设，其中，数据跨境流动治理问题逐渐得到各国重视，总体来看：

• 欧盟作为世界范围内最早对数据跨境流动进行规制的区域性组织之一，建立了较为完善的数据跨境流动规制，欧盟提出要打破数字经济壁垒，建设内部单一的数字市场。其中《关于个人数据自动化处理的个人保护公约》是欧洲首个针对数据跨境流动进行规制的法律文件，此后相继通过了《108号公约关于监管机构及跨境数据流动的附加议定书》、《数据保护指令》，《通用数据保护条例》在1995年颁布的《数据保护指令》的基础上进一步完善了跨境数据治理举措，最终确立了欧盟数据跨境流动的治理方案。

• 美国法律传统奉行“法不禁止即自由”原则，受贸易利益驱动，其鼓励并推行宽松的数据跨境流动政策，主张在确保国家安全利益的前提下最大程度地促进数据自由流动。在数据跨境流动治理上，美国主要采事后监管模式，发生侵权事件后再通过争端解决机制进行追责，但其在宣扬数据自由流动的同时，对联邦政府的重要数据采取了较为严格的管理措施，在投资、采购等方面及环节予以限制，提出数据本地化要求。在国际上，美国对外积极拓展长臂管辖，在全球宣扬数据跨境自由流动理念，以防止其他国家对数据的严格控制。

• 俄罗斯、印度作为严格限制流动模式的代表，尤其注重对数据安全的保护，并强调对核心数据和敏感数据的控制力。俄罗斯于2019年11月完成“主权互联网”立法，在该国关键行业和领域陆续替换国外产品和数据服务，以及对俄罗斯国家顶级域名进行内循环控制，要求实现信息数据的强制本地化；印度数据治理则以民族主义为基调，随着印度将数据治理逐步上升至国家层面，印度各类政府机构和监管部门均深度参与至数据治理中，其数据治理框架以《个人数据保护法草案》和《非个人数据框架》最具代表性。在数据跨境流动治理上，为应对西方国家及企业的“数据殖民主义”，印度将数据视为关键国家资源，严格限制关键个人数据的跨境转移，但在敏感数据上，印度试图实现流转与安全的折中处理，在开放数据跨境流通的同时要求必须事先在本地完成数据备份操作。

下表针对欧盟、美国、俄罗斯、印度的数据跨境治理相关的法律和政策进行分析和梳理，总结其治理模式与核心要点，把握数据跨境流动治理的国际动向，进而立足维护我国数据主权的基本立场，思考总体国家安全观指导下，我国数据跨境流动治理的内在逻辑与外在规范。

（点击查看大图）

如上表所示，欧盟、美国、俄罗斯、印度在实践中各形成了不同的数据跨境流动治理模式，在不同治理模式下，蕴含着不同的立法考量与核心诉求，从俄罗斯、印度以数据主权、国家安全为要义的数据本地化路径，欧盟的附条件数据跨境自由流动规则，到美国开放的数据跨境原则，可以窥见，各国因具体国情及互联网发展阶段不同，在数据跨境安全管理规则制定上对数据主权、自由贸易这两大重要课题的侧重点选择上有所差异。

二、我国数据跨境流动规则分析

在全球经济协同发展的背景下，随着我国数字经济蓬勃发展、 “一带一路”以及网络空间命运共同体的构建，数据作为第五大生产要素在当今的企业跨境合作中逐渐凸显出其重要地位。我国在国家安全主视角下，数据跨境流动规则体系日渐完善，监管力度逐步加强，目前我国主要从个人信息、重要数据、国家秘密、行业数据以及出口管制、境外调取进行多维度的跨境活动监管。

回溯我国数据跨境流动的法律体系构建过程，从最初的《网络安全法》中对个人信息和重要数据的跨境行为规范，到立法活动更多落脚于个人信息方向。随着数字经济发展，数据作为生产要素不仅关涉到个人隐私安全，部分重要数据可能会对于国家安全造成影响，我国随即出台《数据安全法》等相关法律法规对重要数据的跨境活动进行规制。各个行业监管部门也在相关法律指引下，针对各自领域的敏感数据、重要数据进行跨境流动行为规范。

整体而言，我国对于数据跨境主要从两个维度进行规制，一是本地化限制，按照目前中国相关法律法规，本地化要求更多适用于关键信息基础设施运营者（“CIIO”），要求其在境内运营过程中收集和产生的个人信息和重要数据都应当在境内进行存储。同时部分行业敏感数据也存在分散的本地化要求，包括但不限于征信业、银行业、汽车制造业等接触敏感数据、重要数据较为频繁的领域。二是限制性数据跨境，我国目前对于数据跨境活动主要采取限制性规范，要求数据控制主体在数据跨境活动前需符合法律规定条件或按照规定完成安全评估、保护认证等条件。我国对于跨境活动监管规则从多角度多层级进发，具体要求请见下表：

（点击查看大图）

• 个人信息跨境流动规制

  从个人信息的角度，企业在满足相关通用条件的基础之上，应当首先判定其是否有可能落入关键信息基础设施运营者范畴，进而确定适用跨境规则，即本地化前提下的安全评估或其他跨境条件。

  具体而言，企业可采取与境外接收方签订跨境合同、进行审计评估、技术监测等措施以基本满足《个人信息保护法》（“《个保法》”）中强调的企业需满足的各项跨境前提要求。但《个保法》下针对个人信息跨境之“单独同意”的要求具体如何实现，仍有待监管部门进一步地指引。此外，对于数据跨境主体事先进行个人信息保护影响评估，我们理解企业在评估时可参考《信息安全技术 个人信息安全影响评估指南》中的方法论及流程，对是否满足个人信息处理基本原则、对个人权益的影响及安全风险以及安全保护措施有效性等进行评估，并将评估报告及处理情况至少保存三年。

  除满足上述通用要求以外，个人信息处理者在进行个人信息跨境传输时，还需要根据自身的性质适用相应的个人信息跨境传输规则。构成关键信息基础设施运营者或所处理个人信息达到国家网信部门规定数量的个人信息处理主体，第一步，需进行数据本地化，企业应当将在中国境内收集和产生的个人信息存储在境内；第二步，需通过国家网信部门组织的安全评估，应当在通过国家网信部门组织的安全评估后再进行数据跨境传输。参考网信办于2019年发布的《个人信息出境安全评估办法（征求意见稿）》，安全评估的重点在于评估个人信息跨境传输是否符合法律法规及政策规定，传输方与接收方所签署的合同是否能够保障个人信息主体合法权益、是否都得到有效执行，传输方与接收方是否发生过个人信息泄露等不良事件。但目前对于安全评估的具体流程及要求，仍有待立法机关进一步明确。

  而需要满足数据本地化义务的处理者所处理个人信息量级仍暂未公开。同时，如何正确理解在“中国境内收集和产生的个人信息”，是否涵盖处理者于境外获取产生于境内的个人信息的场景，也有待立法和监管部门的进一步澄清。

  对于其他个人信息的处理者，则可以选择满足数据跨境条件，包括但不限于安全评估、个人信息保护认证、标准合同等。但值得注意的是，在现阶段，企业如何进行相关认证、哪些专业机构有权认证仍有待立法者进一步澄清。此外，虽然网信部门尚未发布标准合同，但为了合规准备，实践中已有部分企业参考《个人信息出境安全评估办法（征求意见稿）》、GDPR下的SCCs、东盟发布的MCCs等跨境传输条款对传输范围、方式、频率等事实的明确以及不同数据处理关系下双方权利义务进行约定。

• 重要数据跨境流动规制

  对于重要数据而言，关键信息基础设施运营者应在满足本地化要求的基础上，经安全评估后出境；而其他数据处理者的出境活动，则有待相关管理办法的出台与规范。此外，对于关键信息基础设施运营者的认定而言，根据近日已生效的《关键信息基础设施安全保护条例》，重要行业和领域的主管部门、监督管理部门（简称“保护工作部门”）根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。[1]

• 数据出口管制或境外调取限制

  除个人信息与重要数据之外，如果企业掌握的数据有可能属于管制物项相关数据或企业因特殊情形触发境外监管机构数据调取的，则还应当适用特殊的数据安全保护规则进行数据本地化，或经国内主管机关批准，否则向外国司法或者执法机构提供存储于中华人民共和国境内的数据将会受到严格限制。

• 特定行业数据跨境流动规制

  当企业掌握的数据落入特定行业时，还应遵守相应的行业规范和要求，目前对数据跨境进行特殊规制的主要包括医疗业、银行业、征信业及汽车业，企业在跨境数据中含有人口健康信息、个人金融信息、征信业相关信息、网约车平台采集的个人信息和生成业务数据、汽车全流程中涉及数据及地图数据时，应当遵守相应的本地化要求或审批申报流程，保障数据流动的合规性。

三、总体国家安全观视域下数据跨境流动治理的价值与定位

如前所述，数据作为社会进步和国家发展的重要战略资源，在内容上既可以表现为个人信息，也可以表现为商业利益，甚至涉及国家安全和公共利益。

首先，我国通过《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规及配套措施，不断提升数据跨境治理重要性并提供数据跨境治理的“中国方案”，力图保障数据的保密性、完整性、可用性。

其次，数据跨境流动治理不仅关切个人的权利保障，海量的数据跨境流动甚至可能影响到一国的经济安全、社会安全，乃至国家安全。一方面，数据作为新型战略资源对对全球经济增长、社会发展的贡献愈发凸显，世界主要国家和地区都在致力于研究如何在数据跨境治理中平衡数据自由流动与有效监管的矛盾。网络空间成为国际政治、经济、外交、安全博弈的新空间和新战场，将国家间的博弈纬度从海、陆、空、太空进一步扩展到第五维度。[2]另一方面，数据的跨境流动不仅会削弱数据主体对自身数据的控制权，国家关键数据资源的流失还会危及一国数据主权[3]，潜藏了巨大的国家安全风险隐患。完善数据跨境流动治理体系不仅是保障数据主体权利的基本要求，也是维护国家安全和网络主权的重要保障。

总体而言，全球各国数字产业发展面临严重失衡的情况下，数据由发展中国家不断流动积聚到发达国家，可能助长数据霸权的形成，并进一步演化为单边主义的又一重要武器，加剧全球经济发展的失衡状态，深化发展中国家对发达国家的经济依附。[4]数据跨境流动所引发的国家安全威胁的担忧并非无的放矢。对于包括我国在内的发展中国家而言，国家安全挑战成为数据跨境流动治理体系构建的重要考量因素。但同时，数据的价值在于流动，数据驱动的趋势愈发明显，确保数据安全前提下的自由流动是世界经济的普遍需求。尽管各国对数据跨境流动限制普遍存在，我国立法中也存在数据自由流动的机制安排，以协调数据主权和数据流动的需求。[5]

四、结论

通观我国和全球主要国家和地区数据跨境流动治理模式与规制规则，跨境数据流动治理已经成为经济发展和时代发展的必然要求，全球数据跨境治理正处于高速发展阶段，数据跨境流动背后不仅为数据安全风险，更是逐步涉及国家竞争问题。我国紧随国际数据流动治理热潮，在总体国家安全观视角下结合国家现实需求搭建了较为完善的中国特色的数据治理体系。诚然，我国数据跨境规则的落地仍存有诸多尚待澄清的内容，为确保企业跨境活动的合法合规，我们也期待后续国家立法部门及相关部门就落地方案予以明确指引与澄清，进一步完善我国数据跨境流动治理体系，促进公民权益、经济发展、国家安全等目标的有机协同，在飞速发展与安全保障中找到可实现数据价值最大化的平衡点。

向下滑动阅览

脚注：

[1] 《关键信息基础设施安全保护条例》第十条

[2] 梁亚滨，网络空间：大数据时代国家博弈的新领域[Ｎ]．学习时报，2014-10-20（2）

[3] 齐爱民，论大数据时代数据安全法律综合保护的完善———以《网络安全法》为视角［J］．东北师大学报( 哲学社会科学版)，2017( 4) : 108－114

[4] 参见竺彩华：《市场、国家与国际经贸规则体系重构》，载《外交评论（外交学院学报）》2019 年第 5 期

[5] 刘云，中美欧数据跨境流动政策比较分析与国际趋势，中国信息安全，2021-01-28

本文作者

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

业务领域：反垄断与反不正当竞争，以及网络安全与数据合规

在反垄断领域，宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前，宁宣凤律师就曾积极参与政府起草该项法案的咨询工作，并在该法颁布后，继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域，宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一，宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

业务领域：网络安全、数据合规与治理

吴律师主要协助企业在数字经济转型期发挥数据驱动力，实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明，制定跨境数据传输计划，制定数据商业化合规方案，搭建算法治理体系，梳理企业数据（包括个人信息保护）合规体系，进行网络安全和数据合规自查，协助搭建数据融合的商业及合规框架，构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规，为中国走出去企业建立符合欧盟（GDPR）及美国（CCPA）等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

刘阳璐

律师

合规业务部

感谢实习生甘雨丰、刘婉蓉对本文做出的贡献。

责任编辑：刘斯然

编辑：魏雪婷

人工智能：

• 积跬步，至千里——算法治理之互联网信息服务算法推荐管理 2021-08

• 算法治理系列之——智能时代的算法治理 2021-06

• 算无遗策，画无失理？——算法合规在平台经济反垄断中的应用 2020-11

• AI与大数据的“理想城”：智慧城市合规的基础要点 2020-02

• 2020年“AI”应有大爱  2020-01

• 人工智能系列之人脸识别信息的内涵与合规难题  2019-11

• 人工智能系列开篇：伦理准则与现行规制  2019-09

数据合规：

• 新起点、新征程：《数据安全法》时代下的数据安全与发展 2021-09

• 道路千万条，数说十九条：《汽车数据安全管理若干规定（试行）》重点解读 2021-08

• 横看成岭侧成峰——从《个信法》和《数安法》等看网络空间治理的中国方案 2021-08

• 数中有术、术中有数——数据权益理论与司法实践探析（下篇）2021-08

• 数中有术、术中有数——数据权益理论与司法实践探析（上篇）2021-07

• 利刃出鞘：《数据安全法》下中国数据保护路径解读 2021-06

• 个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5

• 数字征信时代的重要信号——征信业务新规草案解读 2021-1

• 成年人要看的利弊——互联网数据商业化的模式变局 2020-12

• Personal Information Protection Law (Draft): A New Data Regime 2020-11

• “道阻且长，行则将至” --从《个人信息保护法（草案）》看中国个人信息保护的思路和数字经济发展策略 2020-10

• 六个月倒计时！《生物安全法》中的数据合规赛道 2020-10

• 敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
  

• “以人为本”——聚焦央行消费者金融信息保护新规 2020-09
  

• 变化纵横出新意——民法典中个人信息的定位及影响 2020-06

• “欲穷千里目，更上一层楼”——《个人信息安全规范》最新修订要点评述 2020-03
  

• 问答精选-解读《个人金融信息技术保护规范》2020-02
  

• 解读《信息安全技术 个人信息告知同意指南（征求意见稿）》2020-02
  

• 疫情防控 | “风口”的安全降落伞——解读APP收集个人信息的最新规范”2020-02
  

• 2020年网络安全与数据合规：合规创造价值2020-02

• 疫情防控 | 解读网信办《关于做好个人信息保护利用大数据支撑联防联控工作的通知》 2020-02
  

• 疫情防控 | 数据资源流转与公开 2020-02
  

• 疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02

• 宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01

• “数”年快乐——万字长文说“数据融合”  2020-01

• 平安夜里说平安——“数据资产”的误区与合规条件 2019-12

• 按图索骥——图示移动APP个人信息保护的重点 2019-11 

• “数据主权”浪潮下企业如何构建全球数据管理体系——兼评美国《国家安全与个人数据保护法》提案 2019-11

• 大一统而慎始也——新型信用监管机制问答 2019-10

• 竹杖芒鞋轻胜马：医疗大数据发展和合规管理并重  2019-09

• 星光奉献给长夜——儿童个人信息保护的亮点和启示  2019-08

• 投资出行领域，数据是金矿还是烫手山芋？2019-07

• “花径不曾缘客扫，蓬门今始为君开”——《中华人民共和国人类遗传资源管理条例》简析  2019-06

• “特别的爱给特别的你”——《儿童个人信息网络保护规定（征求意见稿）》要点评析  2019-06

• Development Of PrcRegulations On Cross Border Data Transfer  2019-06   

• “却顾所来径，苍苍横翠微”——短评《数据安全管理办法（征求意见稿）》 2019-05

• “利刃从前堪切玉，澄潭到底不容尘”——公安机关个人信息安全保护执法要点评析  2019-05

• 数据监管新要求，电子商务法时代跨境电商将走向何方？  2018-11

• 春风先发苑中梅——《国家健康医疗大数据标准、安全和服务管理办法（试行）》解读及启示  2018-10

• 你的“饼干”安全吗？——Cookie 与个人信息保护 2018-08

• “明者因时而变，知者随事而制” ——《个人信息安全规范》实务探讨 2018-02

• 谨于言而慎于行：互联网信息内容服务管理新规出台  2017-08

• No “Data”, No “Internet of Vehicles”  2017-07
  

• 布局“自动驾驶”：此时不为，更待何时？2017-07

• Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry   2017-07
  

• 图解“车联网”  2017-06
  

• 无“数据”，怎“车联”？——“车联网”数据类核心业务法律监管刍议   2017-05
  

• 为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去  2017-05

• 欲善其事，先利其器——解读《互联网信息内容管理行政执法程序规定》  2017-05

• 你的数据，能不能走出国门？  2017-04
  

• 中国推进个人信息保护   2017-04
  

• 2017年，大数据合规离我们有多远？  2017-01

• 隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势  2016-12
  

• 个人信息保护的百万罚单时代来了？   2016-11

网络安全：

• 国之重器——《关键信息基础设施安全保护条例》解读 2021-08

• 八问八答——《网络安全审查办法（修订草案征求意见稿）》重点解读 2021-07

• Innovations & New Developments of Cybersecurity Review Measures 2020-05
  

• “柳暗花明又一村”——金融产业链的困局及破局思路  2020-03
  

• “欲穷千里目，更上一层楼”——《个人信息安全规范》最新修订要点评述  2020-03
  

• “云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
  

• “管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
  

• 博观而约取，厚积而薄发：《密码法》要点评析及企业合规路径   2019-11

• 千淘万漉虽辛苦，吹尽狂沙始到金——《网络安全审查办法（征求意见稿）》简析   2019-06
  

• 亡羊补牢未为迟：如何应对网络安全勒索事件   2019-06
  

• “欲穷千里目，更上一层楼”——国际新形势下的等保2.0   2019-05
  

• 叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较   2018-09
  

• 羌笛何须怨杨柳，春风“已”度玉门关——《网络安全法》元年纪要及展望   2018-01
  

• 《网安法》生效后不得不知的N件大事   2017-08
  

• “新”电信业务办法：更简、更活、更规范   2017-07

• 必将婴城固守，皆为金城汤池——看《关键信息基础设施安全保护条例（征求意见稿）》  2017-07
  

• Petya来袭，网络安全事件应急预案正当其时   2017-07
  

• Petya attack calls for an   emergency plan   2017-07
  

• 图解安全评估流程——互联网业务安全不可因“新”而废“管”   2017-06
  

• 《网络安全法》及其部分配套规定今起实施   2017-06
  

• “一带一路”背景下中国企业境外并购的网络安全和数据合规问题   2017-06
  

• 十三五“新常态”下企业营商的合规挑战   2017-05
  

• 开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评   2017-05
  

• 画龙画虎先画骨 ——解读《网络产品和服务安全审查办法（试行）》   2017-05
  

• 热点解读：网信办连续颁布三项重磅新规   2017-05

我知道你  在看  哦