數(shù)據(jù)跨境流通是數(shù)字全球化和經(jīng)濟全球化“雙輪”驅動下的必然產物，已成為全球數(shù)字經(jīng)濟一體化和驅動國際貿易發(fā)展的重要支撐。本報告梳理了全球數(shù)據(jù)跨境流通規(guī)則發(fā)展總體態(tài)勢，整理了全球主要國家、地區(qū)及國際組織數(shù)據(jù)跨境流動規(guī)則機制和發(fā)展趨勢，在此基礎上，分析對推動我國數(shù)據(jù)跨境流動發(fā)展的啟示，并提出政策建議。

　　一、 全球數(shù)據(jù)跨境流動政策發(fā)展總體態(tài)勢

　　一是數(shù)據(jù)分級分類管理制度成為主流發(fā)展趨勢。不同類型的數(shù)據(jù)，例如個人數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)等涉及的法律管控、安全風險和所需的保護程度各不相同，越來越多的國家實行數(shù)據(jù)分級分類管理機制，以此開展監(jiān)督管理工作，形成寬嚴并濟的數(shù)據(jù)跨境流動治理模式。

　　二是各國紛紛出臺治理法規(guī)謀求引領國際規(guī)則。隨著全球數(shù)據(jù)跨境流動需求的增加，全球主要經(jīng)濟體將數(shù)據(jù)跨境流動規(guī)則納入多邊和雙邊國際貿易談判當中。現(xiàn)有國際數(shù)字治理框架難以滿足全球數(shù)據(jù)跨境流動治理的需求，亟需建立適應當今數(shù)字經(jīng)濟快速發(fā)展的新的數(shù)字治理框架，以此釋放數(shù)據(jù)的潛在價值。

　　三是長臂管轄導致數(shù)據(jù)主權沖突持續(xù)不斷發(fā)生?！伴L臂管轄”會將一國的執(zhí)法效力拓展至數(shù)據(jù)所在國，侵害數(shù)據(jù)所在國的司法主權，損害數(shù)據(jù)所在國的合法權益。部分國家通過“長臂管轄”擴大了法律適用范圍，以此滿足跨境調取數(shù)據(jù)的執(zhí)法需求，加劇了當前國家之間與數(shù)據(jù)有關的司法主權沖突。

　　二、 主要國家及地區(qū)數(shù)據(jù)跨境流動規(guī)則機制

　?。ㄒ唬┟绹褐鲝垟?shù)據(jù)自由流動，根據(jù)需要限制部分數(shù)據(jù)出境

　　基于在數(shù)字經(jīng)濟中的領先優(yōu)勢和經(jīng)濟全球擴張的巨大需求，美國在雙邊和多邊國際貿易協(xié)定中，一貫強調促進數(shù)據(jù)的自由流動，反對對數(shù)據(jù)跨境流動進行本地化存儲。但美國的跨境數(shù)據(jù)流動管理對內對外卻采取“雙重標準”：對于其國內數(shù)據(jù)出境，美國政府設置了諸多限制及要求。例如，美國外資安全審查機制明確限制并要求國外網(wǎng)絡運營企業(yè)將通信數(shù)據(jù)、交易數(shù)據(jù)、用戶數(shù)據(jù)存儲在美國境內，以及通信基礎設施也必須設置在美國境內；同時，將個人數(shù)據(jù)視為國家安全的組成要素，將涉及個人數(shù)據(jù)的傳輸交易納入外資安全審查范圍。對于數(shù)據(jù)入境，美國憑借自身的信息科技優(yōu)勢，匯聚和融合全球數(shù)據(jù)資源，主張數(shù)據(jù)自由流入美國境內，助力其數(shù)字經(jīng)濟發(fā)展。

　?。ǘW盟：個人數(shù)據(jù)嚴格管控，引導重建全球數(shù)據(jù)規(guī)則體系。

　　歐盟高度重視公民隱私保護，制定高標準的《通用數(shù)據(jù)保護條例》（GDPR），歐盟境內的個人數(shù)據(jù)出境，僅允許流入歐盟認可的能夠提供“充分保護”或采取“適當保障措施”的國家或地區(qū)。未通過的第三國企業(yè)只有采用歐盟委員會批準的“標準數(shù)據(jù)保護條款”或采取“有約束力的公司規(guī)則”，獲得認證后才能開展數(shù)據(jù)跨境傳輸。同時，歐盟的數(shù)據(jù)立法工作長期引領國際數(shù)據(jù)跨境流動的發(fā)展方向，并且歐盟不斷加強其數(shù)據(jù)法規(guī)的國際影響力，很大程度上實現(xiàn)了“歐盟標準”向“國際規(guī)則”的轉換。

　　（三）英國：脫歐后出臺符合本國數(shù)據(jù)保護法要求的數(shù)據(jù)跨境傳輸協(xié)議，確保數(shù)據(jù)跨境流通合法性。

　　英國脫歐過渡期于2020年底結束，歐盟的《通用數(shù)據(jù)保護條款》（GDPR）不再適用于英國，英國信息專員辦公室最近發(fā)布新的標準化條款工具包，一是《國際數(shù)據(jù)傳輸協(xié)議》（IDTA），可以作為一個獨立的協(xié)議來執(zhí)行，以配合主要的商業(yè)合同，確保數(shù)據(jù)傳輸符合英國的數(shù)據(jù)保護法；二是歐盟2021年標準合同條款的附錄（英國附錄）。2022年3月21日起，上述IDTA和歐盟2021年標準合同條款的附錄（英國附錄）正式生效。

　　（四）日本：在貿易協(xié)定中設立數(shù)據(jù)跨境傳輸條款，實現(xiàn)與其他國家和地區(qū)的自由流動。

　　2015年，日本修訂《個人信息保護法》，強化了關于數(shù)據(jù)跨境流動的細則條款，其中包括要求設立個人信息保護委員會作為數(shù)據(jù)跨境流通的監(jiān)管機構，負責制定數(shù)據(jù)出境的規(guī)則和指南；個人數(shù)據(jù)處理者向境外傳輸個人數(shù)據(jù)的時候，需獲得數(shù)據(jù)主體的同意后才可傳輸。同時，日本在《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）、《日歐經(jīng)濟伙伴關系協(xié)定》（EPA）、以及正在談判中的《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（RCEP）、中日韓FTA、日英FTA等多邊和雙邊國際貿易協(xié)定中增加關于跨境數(shù)據(jù)流動的規(guī)則，表明其規(guī)則理念和政策傾向。

　?。ㄎ澹┬录悠拢簲?shù)據(jù)跨境流動的標桿示范城市，監(jiān)管體制機制優(yōu)勢明顯。

　　新加坡通過實施“智慧國家”（Smart Nation）戰(zhàn)略，推動其國內信息基礎設施的現(xiàn)代化發(fā)展，擴大電信業(yè)的投資與推動數(shù)據(jù)中心的建設。建立完善的個人信息保護制度和相應的監(jiān)管框架，監(jiān)管體系重點包括設置主管部門、劃分責任邊界、設定跨境流動條件、開展國際協(xié)調、明確基礎設施要求等方面。構建完善、系統(tǒng)的數(shù)據(jù)跨境流動管理規(guī)則，有助于實現(xiàn)全球數(shù)據(jù)向新加坡匯聚和流動，打造成為數(shù)據(jù)融合的重要中心節(jié)點城市。

　?。┯《龋汗芾泶胧┍Ｊ?，探索尋求適合本國的中間化路線。

　　《印度電子商務框架草案》明確一系列的數(shù)據(jù)本地化存儲的豁免情況，例如初創(chuàng)企業(yè)的數(shù)據(jù)流動、跨國企業(yè)內部數(shù)據(jù)流動、基于合同進行的數(shù)據(jù)流動等方面不會要求數(shù)據(jù)本地化存儲。印度并不想實施嚴格的數(shù)據(jù)保護措施，但是又做不到放任數(shù)據(jù)自由流動。一方面想要融入全球數(shù)字經(jīng)濟發(fā)展格局，另一方面又想保護個人信息安全和國家安全，印度正在探索適應本國國情的中間化道路。

　　（七）俄羅斯：主要采取數(shù)據(jù)本地化存儲管制措施，在國際市場中仍有自己的數(shù)據(jù)流通圈。

　　俄羅斯要求公民個人數(shù)據(jù)必須存儲在俄羅斯境內，處理公民個人數(shù)據(jù)的行動也必須在俄羅斯境內發(fā)生，掌握相關數(shù)據(jù)的企業(yè)有義務告知和協(xié)助俄羅斯政府機關工作。然而，俄羅斯允許數(shù)據(jù)跨境傳輸至“108號公約”締約國和“白名單”國家，“白名單”國家的判定標準為該國是否具備有效的個人信息保護法規(guī)、是否設立了個人信息保護管理機構以及是否針對違法行為建立了有效的管制措施。

　　三、 國際組織數(shù)據(jù)跨境流動規(guī)則機制

　　當前，缺乏一個國際公認的數(shù)據(jù)跨境流動治理體系，經(jīng)濟合作與發(fā)展組織（OECD）、亞太經(jīng)濟合作組織（APEC）、二十國集團（G20）和世界貿易組織（WTO）等國際組織對全球數(shù)字治理也產生了深刻的影響。

　　一是鼓勵數(shù)據(jù)自由流動，適應全球數(shù)字經(jīng)濟發(fā)展需求。OECD是全球第一個提出數(shù)據(jù)跨境流動原則的國際組織，其在1980年發(fā)布的《關于隱私保護和個人數(shù)據(jù)跨境傳輸指南》（以下簡稱“OECD指南”）明確成員國應避免以保護個人隱私為由，限制數(shù)據(jù)的自由流動。APEC通過2015年修訂的《APEC隱私框架》指導亞太地區(qū)的數(shù)據(jù)跨境自由流動。WTO作為全球最重要的多邊貿易機制之一，主要通過減免數(shù)字產品關稅等措施來推動全球范圍內信息技術產品的自由貿易流通。

　　二是重視監(jiān)督管理，特別強調數(shù)據(jù)安全及隱私保護。OECD于2013年根據(jù)新的數(shù)字經(jīng)濟環(huán)境對《OECD指南》進行了修訂，明確提出國家隱私戰(zhàn)略、隱私管理程序和安全漏洞通知等重點管理方向，強調個人隱私保護以及國家之間的安全監(jiān)管機制的高效協(xié)同。APEC框架下的跨境隱私規(guī)則體系（CBPR）要求申請加入的企業(yè)的所在國，至少有一個監(jiān)督管理機構參與隱私保護的監(jiān)管工作，鼓勵提升各國監(jiān)督管理機構的協(xié)作能力。2019年，二十國集團領導人提出了關于“有信任的數(shù)據(jù)自由流動”的“大阪行動路線”構想以及提倡創(chuàng)新跨境數(shù)據(jù)流動的風險監(jiān)管機制，旨在促成一個條理清晰的國際數(shù)據(jù)框架。

　　四、 國際規(guī)則機制對我國的啟示

　　當前，我國數(shù)據(jù)跨境流動規(guī)則機制研究中處在起步探索的階段，梳理匯總全球主要經(jīng)濟體在數(shù)據(jù)跨境流通的規(guī)則機制和發(fā)展現(xiàn)狀，對我國構建符合自身發(fā)展需求的數(shù)據(jù)跨境流動政策具有重大的參考意義。

　　一是建立數(shù)據(jù)分級分類管理體系，保障國家安全及推動數(shù)字經(jīng)濟發(fā)展。既要適應全球數(shù)字經(jīng)濟發(fā)展趨勢，有序推動跨境數(shù)據(jù)流動和多元的管理模式，還要強化本國網(wǎng)絡安全、數(shù)據(jù)安全和個人隱私安全的保護能力。設置低中高風險數(shù)據(jù)跨境的管理框架，明確重要數(shù)據(jù)禁止跨境；個人非敏感數(shù)據(jù)、政府和公共部門的一般數(shù)據(jù)、行業(yè)非限制性技術數(shù)據(jù)有條件跨境；非敏感的商業(yè)數(shù)據(jù)和經(jīng)過評估的個人數(shù)據(jù)允許跨境。

　　二是與貿易伙伴開展數(shù)據(jù)跨境流通合作，加強國際話語權及影響力。將數(shù)據(jù)跨境流動的條款納入國際貿易投資協(xié)定中，例如在RCEP、中日韓FTA等多邊和雙邊貿易談判中增設數(shù)據(jù)跨境流動治理的談判內容，推動與重要貿易伙伴國實現(xiàn)數(shù)據(jù)流動互認條款，通過貿易協(xié)定或安全協(xié)議的方式，打造能夠落地執(zhí)行的合作方式。特別是隨著近年來我國的“一帶一路”倡議從“硬聯(lián)通”轉為“軟聯(lián)通”，應重點與 “一帶一路”國家建立數(shù)據(jù)跨境傳輸?shù)暮献鳈C制，推動與貿易伙伴的數(shù)字互聯(lián)互通。

　　三是建立數(shù)據(jù)跨境“白名單”，完善數(shù)據(jù)流動安全監(jiān)管及信任體系。參考歐盟推行的管制規(guī)則，考慮設立數(shù)據(jù)自由流通的“白名單制度”，對名單中的國家實施個人信息保護及跨境數(shù)據(jù)流動的對等要求。將部分地區(qū)納入可自由流動的“白名單”，打造數(shù)據(jù)跨境流動的信任機制。同時，建立完善的數(shù)據(jù)安全評估體系、數(shù)據(jù)傳輸安全評估機制和數(shù)據(jù)安全協(xié)議等配套措施，對各類數(shù)據(jù)的跨境流動進行必要的風險評估，建立重要信息系統(tǒng)和關鍵數(shù)據(jù)目錄，建設數(shù)據(jù)跨境流動監(jiān)控和預警平臺，保障重要信息系統(tǒng)和設施的安全。

更多精彩，請關注“官方微信”