刘金瑞 | ​探寻数据跨境流动全球规制的中国方案

探寻数据跨境流动全球规制的中国方案

　　一、迈向数据跨境流动全球规制的基本思路

　　数据跨境流动引发的非经济关切是网络空间主权冲突的最集中体现。那么只有相互尊重主权，通过多边充分协商才能凝聚共识、达成合作，才能使莱斯格所言的网络空间“相互竞争的主权”转变为“相互依赖的主权”。由此来看，我国提出的“尊重网络主权、构建网络空间命运共同体”应该成为探讨数据跨境流动全球规制的基本前提。在此前提下，本文总结主要国家的规制共识和立法经验，提出迈向全球规制的基本思路。

　　（一）促进正当可控的数据跨境流动

　　从数据流促进贸易流的角度来看，似乎应该无条件促进数据自由流动。可正如自由贸易也有例外限制一样，数据流动同样有规制的必要，更何况数据跨境流动不只是具有促进贸易的经济面向。各国基于国家安全、私权保护、主权管辖等非经济关切对跨境数据流动采取了不同的规制措施，世界上并不存在不受限制的数据自由流动。相对于数据跨境自由流动，我国提出了数据跨境“安全流动”的理念，就是考虑了这些规制关切。

　　需要指出的是，“数据跨境安全流动”的“安全”，实际已经超出了传统数据安全的理解，如前所述在内涵上还包括数据利用安全，这种利用安全是强调数字经济时代下数据大规模流动和利用的正当性和可控性，而正当性和可控性完全可以涵盖个人权益保护、国家主权管辖等规制关切。不过从语义上看，域外对“数据安全”的理解还停留在传统的数据的完整性、保密性、可用性，这容易造成域外误解我国以“安全”为由制造障碍和壁垒。因此，为了准确表达规制关切和更具号召力，建议将“安全流动”升级为“正当可控流动”，以“促进正当可控的数据跨境流动”作为迈向全球规制的基本理念。

　　此外，“正当可控的数据跨境流动”相较于2019年《G20大阪数字经济宣言》“基于信任的跨境数据流动”，更强调客观性和包容性。“信任”往往指向双方的关系亲疏，容易滑向“朋友”和“对手”的二分，沦为搞排他性“小圈子”和单边主义、保护主义的借口。而“正当可控”是从规制的正当性入手，更有利于迈向合作共赢的全球规制。

　　（二）基于风险关切进行类型化监管

　　正当可控的数据跨境流动，强调风险的可控性，这要求采取基于风险的规制方法。而管控风险一般认为包括四种策略：接受风险、避免风险、控制风险以及转移风险。避免风险、控制风险和转移风险往往对应事前监管、事中监管和事后监管，这三种策略和监管都不可能实现绝对安全，因此风险规制应该接受一定风险的存在，这也是统筹安全与发展关系的原因所在。从这个角度看，无论是美国曾推行的“清洁网络计划”，还是印度的极端数据民族主义，都是试图以阻断数据跨境流动来谋求所谓自身绝对安全的非理性决策。迈向数据跨境流动全球规制，实际上是通过多边合作来实现相对的共同安全。

　　基于风险的规制，需要根据风险程度匹配不同监管方式，进行类型化监管。对于监管的类型化，本文认为除了结合数据分类分级考虑风险程度外，还应该统筹考虑规制数据跨境流动的不同关切。我国区分重要数据出境管理和个人信息跨境提供的“双轨”模式，实际就考虑了维护国家安全和维护个人权益的不同关切。考虑到目前这两种关切已被普遍认同，这种“双轨”区分可以作为全球规制兼容性框架讨论的基础。对于数据跨境流动管制方式，OECD概括为不设管制、事后问责、以保障措施为条件、以专门授权为条件等四种基本类型，形成了管制由弱到强“渐变光谱”。对于不同类型的数据跨境流动，应该在这种规制光谱中选择适合的方式配合使用，建立事前事中事后监管体系。要防止不做区分“一刀切”采用事前监管的做法，以避免对数据流动造成不当阻碍。

　　（三）统筹域内外法治推动制度兼容

　　数据跨境流动包括“数据出境”和“数据入境”两个面向，会涉及域内法治和域外法治两种管辖，任何参与数字经济全球化的国家都需要统筹考虑这两个面向、两种管辖。对于数据跨境流动这一共同挑战，各国由于基本国情、发展阶段和文化传统的不同，虽然在某些问题上存在认识差异，但就国家安全、私权保护、主权管辖等却有着共同关切。应对这些共同关切的法治探索，值得各国立足本国国情相互学习借鉴。欧盟GDPR规定的个人信息跨境流动机制，例如有约束力的公司内部规则、标准合同等途径就得到了其他国家的广泛认同，但“充分性认定”途径的认可度有限。原因在于虽然欧盟在数字贸易谈判中坚决反对本地化，但其“高标准”保护连同严格的“充分性认定”，使得通过认定的国家或地区很有限，会造成事实上的本地化要求，不利于数据跨境流动。

　　即使是同样的关切，往往也并不存在放之四海皆准的规制模式。当就同一问题不同国家存在不同制度设计时，应尽最大可能推动达成制度兼容。从存在共识的规范层次来看，推动制度兼容可分为三种情况：一是在具体制度层面存在共识，可以通过协商达成共同规则，例如双边司法执法数据调取协议；二是仅在基本原则层面存在共识，可以通过协商确立各方共同遵守的最低规制标准，例如CPTPP承认各方可以维持既有的保护用户个人信息的措施；三是仅在价值理念层面存在共识，此时应该现实地承认无法在制度层面达成兼容，但可以就共同关切保持协商对话，例如对关系国家安全数据的讨论。由此观之，设计数据跨境流动全球规制的兼容性框架就尤为重要，这种框架应该从共同关切出发，反映价值理念共识，内嵌基本原则共识，能够引导讨论迈向制度共识。

　　二、探寻数据跨境流动全球规制的兼容性框架

　　探寻数据跨境流动全球规制的兼容性框架，就是要寻找数据跨境流动的“共同法”。所谓共同法，从比较法上看，就是在各法律秩序所提出的相同的法律问题上都能适用的共同解决方案或共同原则，或是其相对理想的类型。在当前数字经济全球化出现“逆流、险滩”的艰难时刻，在西方国家主导的数字贸易谈判无法涵盖国家安全、主权管辖等共同关切的情况下，为避免全球数字治理的“碎片化”，探讨这种共同法极为必要。

　　根据前述基本思路对这种共同法的讨论，结合目前规制共识和制度探索，本文认为数据跨境流动全球规制兼容性框架应该涵盖防范国家安全风险、保护个人信息权益、维护司法执法管辖等三个方面。以下就如何推动不同国家规则兼容达成这三方面“共同法”提出针对性建议。虽然这些建议阐释以完善我国数据跨境管理制度为中心，但这种全球视野下的制度构建，也可以认为是基于我国国内法提出的迈向数据跨境流动全球规制的“中国方案”。

　　（一）防范国家安全风险：厘清重要数据范围以明确“负面清单”

　　由前所述，目前西方国家主导的数字贸易谈判，无论是引入WTO国家安全例外，还是规定专门的“合法公共政策”例外，都不足以作为基于国家安全对跨境数据实施普遍规制措施的正当依据。目前我国提出了重要数据出境管理制度，从全球范围来看极大发展了基于国家安全规制数据跨境流动的法治架构，但由于重要数据范围仍不清晰，不仅造成了不必要的误解，影响了我国数据流和贸易流，还阻碍了我国在国际上以重要数据为由主张国家安全关切。建议分国际和国内两个层面来完善重要数据出境管理制度。

　　在国际层面，应该将为了维护国家安全、公共利益管控重要数据作为独立议题提出，不再认为其仅属于“例外条款”。在数字贸易谈判中，可以借鉴欧盟将个人数据和隐私保护条款与数据跨境流动条款并列的做法，拟定并提出单独的“重要数据条款”，只要符合此条款规定的限制数据流动措施，无须再作为自由贸易例外情况对待，为我国和具有类似关切的国家留下足够的规制空间。考虑到制度体系性，可以提出《数据安全法》规定的“国家核心数据”适用WTO国家安全条款，从而与“重要数据条款”相区分。鉴于重要数据可能严重影响国家安全、公共利益，在规制手段上，应以事前监管为主，主要是依托目前规定的数据出境安全评估制度。就制度兼容而言，由于重要数据关系国家安全，较难达成共识，可以允许各国自行确定重要数据的具体范围。

　　在国内层面，应该在总体国家安全观指导下尽快厘清重要数据的范围和出台重要数据出境安全评估制度，以明确我国数据出境的“负面清单”。《条例征求意见稿》第73条对重要数据的定义采用了“概括+列举”的形式，但“可能危害国家安全、公共利益”的判断标准过于宽泛，具体列举的七大类数据在逻辑上存在重复交叉、有些内涵并不清楚、多数没有考虑重要程度标准。建议从危害程度上进一步明确“重要”的内涵，将重要数据判断标准修改为“可能严重危害国家安全、公共利益”。考虑到不同行业不同领域的复杂性，立法不可能列举出重要数据的具体范围，但可以通过规定重要数据认定制度来代替直接列举重要数据的范围。根据《数据安全法》第21条，首先应由国家数据安全工作协调机制统筹协调有关部门在国家层面制定重要数据目录，然后再由各地区、各部门据此制定本地区、本部门以及相关行业、领域的重要数据具体目录。具体而言，应该规定各行业或领域重要数据具体目录认定的负责部门、标准依据和相应程序。在主管部门组织认定重要数据具体目录的过程中，可以考虑以数据处理者根据相关标准先自主申报、主管部门再予以审核认定的方式为主，辅以主管部门对于重要主体的重要数据可依职权主动认定，对于应申报而未申报的主体应该规定相应的法律责任。

　　（二）保护个人信息权益：健全跨境问责制以缓和事前监管压力

　　目前，各国大都已经建立了某种程度的个人信息保护制度。对于跨境个人信息保护而言，核心问题是个人信息在保护水平存在差异的国家或地区流动，应该如何促进不同水平保护制度的兼容。从目前实践来看，包括两种方式：一是通过事前监管机制，典型代表就是欧盟的“充分性认定”和“适当的保障措施”；二是依靠事后问责机制，典型代表是美国推动的亚太经济合作组织（以下简称“APEC”）的跨境隐私规则（以下简称“CBPR”）体系。

　　2011年，APEC基于其隐私框架通过了CBPR体系。该体系是一种自愿认证体系，加入该体系的数据跨境流动企业必须实施一套符合APEC隐私框架的隐私政策，以满足问责制、通知、选择、安全保护、消费者权利等要求。该体系要求企业所在国至少有一个APEC认可的问责代理机构，按照APEC隐私保护标准对企业进行合规认证并负责调查消费者投诉等；至少有一个隐私执法机构加入APEC跨境隐私执法安排（CPEA），作为争端解决的后盾，并促进各经济体隐私执法机构的互操作性。

　　对比GDPR和CBPR来看，二者在兼容保护水平差异方面存在较大不同：GDPR实际是“就高不就低”，如果达不到充分保护，有关国家或地区就得通过适当保障措施与欧盟保护水平“拉齐”；CBPR实际是“就低不就高”，认可APEC隐私框架即可“入圈”，这实际仅是维持各方共同遵守的最低标准。两种方案各有利弊：GDPR兼容方式成本较高，但一旦通过充分性认定等，企业数据跨境流动会比较便利；CBPR兼容门槛较低，企业容易达到，但主要基于自愿认证，规制力度有限。

　　我国《个人信息保护法》借鉴GDPR事前模式规定了经专业机构认证、订立标准合同等途径，但没有采用“充分性认定”机制，只要求个人信息处理者应当采取必要措施保障境外接收方保护水平达到本法保护标准，似乎一定程度上采用了问责制的思路。就我国个人信息跨境规则与其他国家兼容而言，建议借鉴欧盟和美国的做法，兼采事前监管模式和事后问责模式，可以考虑在双边或者多边谈判中根据对等原则建立“白名单”制度；考虑到事前监管的压力、事中事后监管的需要以及经专业机构认证等事前途径的成本，也应该同步研究健全境外处理者问责机制，以避免过于依赖事前机制而对数据流动造成不当阻碍；应该将这种事后问责机制纳入我国与其他国家缔结的双边或者多边司法协助协定之中，以避免类似CBPR自愿认证体系规制力度不够的问题。此外，出于疫苗研究等科研需要，还应该考虑就科研领域的个人信息出境制定特殊规则。

　　（三）维护司法执法管辖：关注数据访问权而非依赖本地化存储

　　从一国司法执法管辖来看，数据调取存在两个面向：他国调取境内数据、本国调取境外数据。这两种面向都会存在主权管辖冲突，而且近年来随着大数据、云计算等技术的发展，数据跨境流动成为常态，管辖冲突日益频繁，出现了大量“阻断调取”“域外管辖”等现象，有些国家担心数据流向境外无法行使管辖权，还提出了“数据本地化存储”的要求。主权管辖之间的制度兼容，主要是在相互尊重主权前提下缔结双边或者多边司法协助协定（MLAT）。但传统司法协助程序需要通过双方的专责机关沟通处理，往往复杂冗长低效，已经越来越不适应数字经济全球化发展和争议快速解决的需要。

　　在这种情况下，出现了前述CLOUD法规定的从“数据掌控者”直接调取数据的模式，这种模式使得司法执法效率有了极大提升。在CLOUD法之后，2018年4月欧盟的《关于刑事案件中电子证据的欧洲提交和保全令条例的建议》、2019年2月英国的《犯罪（境外提交令）法》都采用了类似的模式。虽然CLOUD法在给予外国政府调取美国“数据掌控者”数据方面存在诸多不合理限制而广受诟病，但其适应时代要求关注数据访问权的立法思路值得肯定。值得注意的是，美国在2019年达成的美墨加协定（USMCA）中，也放弃了之前坚持的金融数据本地化存储的主张，转而强调确保监管机构对相关数据的访问权。该协定第17章“金融服务”第17.18条规定，缔约方的金融监管机构立即、直接、完整和持续地获取相关人员的信息，包括此类人员的交易和运营的基础信息，对于金融监管和监督至关重要，有必要消除对该访问的任何潜在限制。

　　实际上，如果两个国家在充分尊重主权的基础上达成了双边司法协助协定，相互承认对方的域外管辖，那么即使数据不存储在本国境内，只要能够确保及时、直接、完整地获取，并不会对司法执法造成影响。换言之，对于司法执法跨境调取数据而言，数据存储的位置不是关键，关键是确保数据的访问权。当然，为了保障这种数据访问权，可以规定义务主体不及时提供数据时应当承担的法律责任。如此，可以大大减少因司法执法管辖而要求的数据本地化存储。建议我国在与其他国家缔结的双边或者多边司法协助协定中探索建立这种数据访问权模式。

限于篇幅，省去引注，本文主要内容将发表于《行政法学研究》2022年第4期

数据跨境流动规制专题研究