全球数据安全的认知、政策与实践

全球数据安全的认知、政策与实践

编者按

需要围绕当前数据安全涉及的核心议题，深入分析数据安全面临的主要挑战以及当前的政策实

践，在对未来数据安全发展趋势评估的基础上，就中国如何进一步有效维护数据安全并引领数据规

则制定进行思考。

数据时代背景下，一方面数据战略价值凸显，各国围绕数据展开战略竞争；另一方面数据成为

安全重灾区，近年来，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，给经济、政治、

社会等各领域带来巨大风险。需要围绕当前数据安全涉及的核心议题，深入分析数据安全面临的主

要挑战以及当前的政策实践，在对未来数据安全发展趋势评估的基础上，就中国如何进一步有效维

护数据安全并引领数据规则制定进行思考。

内容目录：

编者按1

内容目录：1

弓I言2

1.1正确理解数据安全2

2.2数据安全面临的主要挑战3

3.3维护数据安全的主要实践5

4.4未来数据安全维护主要趋势7

5.数据跨境流动政策认知与建议法律评论8

5.1.关于讨论前提的两点澄清8

5.1.1.数据跨境流动政策与数据本地化措施的关系：本地化并不意味着绝对禁止数据跨境流动8

5.1.2.数据跨境流动政策适用的数据类型：主要围绕个人数据9

5.2.美欧数字跨境政策发展概况及差异9

5.2.1.美国数据跨境流动政策主要由贸易利益驱动10

5.2.2.欧盟在人权项下考虑数据跨境流动政策10

5.2.3.美欧数据跨境流动政策的具体实施机制有较大差异11

5.3.数据跨境政策面临的共性问题及对中国的参考建议12

5.3.1.前述12

5.3.2.欧盟数据跨境流动政策的困境与改良12

5.3.3.欧盟经验对中国的参考意义13

5.4.复杂的数据流动政策对跨境业务的影响15

第1页共22页

5.5.数据跨境流动合规建议15

5.5.1.关注本地数据跨境流动政策目的及严苛程度16

5.5.2.积极寻求多样化合规渠道16

5.5.3.应对数据本地化带来的管辖冲突17

5.5.4.建立全球化与本土化相结合的竞争战略18

6.5结语18

注释：18

参考文献：21

引言

当今世界已进入数据时代，海量数据的产生与流转成为“新常态"，正如中国发布的《全球数据安

全倡议》所言："作为数字技术的关键要素，全球数据爆发增长，海量集聚，成为实现创新发展、重

塑人们生活的重要力量，事关各国安全与经济社会发展。”依赖性越强则脆弱性越大，在数据如此重

要的背景下，数据亦成为安全“重灾区”。近年来，针对数据的攻击、窃取、劫持、滥用等手段不断推

陈出新，给经济、政治、社会等领域带来巨大风险。为切实保障数据安全，国际社会各方在实践中

不断探索，但鉴于数据安全的技术与应用特性，有效确保数据安全仍然面临诸多现实挑战。

L1正确理解数据安全

世界主要国家均高度重视数据及其安全，但因各国国情不同，对数据问题的核心关切亦有所不

同，对于何为数据安全，并不存在统一认知与概念界定。对于数据安全的理解总体上与各国发展阶

段和程度密切相关，但不可否认的是，数据安全具有安全问题的共性，即本质上是一种动态、平衡、

相对的安全。

首先，数据安全是一种动态的安全。数据问题兼具技术性与社会性，从技术角度来看，数据的

产生、流转与技术应用高度相关，数据形态与“运维”本身处在不断的发展变化之中，这就意味着数据

安全的内涵与外延亦在不断拓展。从社会角度来看，数据涉及社会各层面，与日常生活息息相关，

必然受到社会环境与文化传统的影响。因此，各国对于数据安全的理解与把握存在差异，且处于动

态变化之中。一般而言，发展程度越高，对于数据安全维护的意识与认知会更加成熟。

其次，数据安全是一种平衡的安全。任何一个国家对于数据安全的维护都是有“偏好”的，这种偏

好不是指心理上的，而是基于现实，在安全诉求与发展需要之间不断寻求最符合自身利益的平衡点。

长远来看，安全是为了更好地发展。但在实践进程中，出于不同发展阶段的需要，发展会付出一定

的安全代价，安全亦会事实上影响发展进程。一般而言，发展程度越高，对于数据安全维护会更加

第2页共22页

偏好发展，力图在实现发展利益的前提下最大限度地确保安全。

最后，数据安全是一种相对的安全。数据安全同其他安全一样，没有绝对的安全。在当前发展

背景下，数据是一种常态化、泛在化的存在，这不仅意味着数据处理涵盖收集、存储、使用、加工、

传输、提供与公开的“全链条"，更意味着数据主体涉及国家、企业乃至个人。数据安全的复杂性不言

而喻，绝对安全只能是一种理想状态，而非现实目标，这也是为什么中国在最新颁布的《中华人民

共和国数据安全法》中，将“数据安全”务实地界定为："通过必要措施，确保数据处于有效保护和合

法利用的状态，以及具备保障持续安全状态的能力。”

需要指出的是，由于各国处于不同发展阶段，有效应用数据的能力并不相同，对于数据安全的

内在利益诉求与面临的外在现实约束均有不同。数据安全维护很难齐头并进，而是具有一定“优先排

序”。因此，相应的数据安全维护政策法规与治理机制没有绝对的“模板"，政策实践更会呈现鲜明的“国

情特色”。

比如美国鉴于其技术与产业优势，主要从产业利益出发，对数据持积极利用的态度，坚持以市

场为主导、以行业自律为主要手段,总体呈现一种“相对宽松”的政策导向[1];欧盟虽然将数字产业发

展列为实现未来竞争力的战略方向，但目前来看规模有限，其对数据安全的关注更多从“理念"与"规

则”塑造层面入手，提出将价值观、个人权利和市场价值相结合的欧洲“数据理念”；俄罗斯从维护国

家安全的角度出发高度重视数据安全，对于数据流通有较严格限制，总体呈现出相对封闭的“孤岛"

态势。中国数据安全观基于总体国家安全观，数据安全政策整体比较务实平衡。一方面大胆将数据

作为重要生产要素投入生产，推动数字经济和实体经济深度融合、实现经济转型。另一方面通过《中

华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法（草案）》

等法律法规，乃至于紧跟热点行业推进规范的《汽车数据安全管理若干规定（征求意见稿）》，建设全

方位的数据安全保障体系。同时中国积极参与国际数据安全规则塑造，于2020年9月发布《全球数

据安全倡议》，呼吁各国致力于维护开放、公正、非歧视性的数字环境。

2.2数据安全面临的主要挑战

在数据时代，数据是一种“泛在"性的存在，其安全的维护是一个非常复杂的系统，但按照涉及议

题的属性，大致可以将当前数据安全面临的主要挑战或问题划分为以下四大类：

第一，数据确权难题。有效维护数据安全，首要的问题是对数据进行确权。所谓数据确权，是

对数据权内容、权属、权利体系和治理机制等做出明确规范的过程。由于数据问题本身的特殊性，

数据确权从不同主体层面均面临不同程度的困难。从国家层面来看，就是“数据主权”问题。虽然各国

表述不一，但总体而言均旨在强调国家对数据的主权，涉及提升数据安全管控能力和强化国家关键

数据资源保护能力等各方面。目前，对于该问题的探索还处在初级阶段，各国虽然对国家拥有数据

第3页共22页

主权没有异议，但在实践中，如何有效维护，特别是如何平衡数据开放、共享与跨境流动之间的关

系仍然面临诸多分歧与差异。从社会与个体层面来看，就涉及数据的“产权”问题，目前学术与政策界

对于数据特征、数据权利性质的内容、数据权利配置结果等重要问题仍存不同看法。数据确权问题

很难有权威或普适的解决方案，各国需要不断寻找适合自身安全与发展需要的解决路径。

第二，数据垄断困境。互联网行业以用户量和数据量为导向形成“赢者通吃"的天然垄断局面，绝

大部分用户份额控制在一个或几个巨型互联网公司之中。数据垄断会带来系列问题，一是隐私保护

问题，以Facebook、Google这类挖掘海量用户数据资源的社交、搜索企业为代表，这些数据被用于

定向推送、协调行业生产资源。但用户交付个人信息以换取互联网企业免费服务的同时，所产生的

大量行为数据也被互联网企业所搜集。二是加大数据泄露风险，海量数据集中在少部分平台和公司

之中，也增大了大规模数据泄露的风险。三是市场垄断问题。企业对于数据的排他性支配是否在事

实上导致准入壁垒，进而使得互联网市场趋向垄断，长远看会影响行业整体的良性发展态势。

第三，数据泄露危害。所谓数据泄露主要是指受保护的重要、敏感、核心数据丢失、被盗、或

其他未经授权的访问或公开。近年来数据泄露事件屡见不鲜，涉及工业制造、政府数据、医疗信息、

个人账号、军工情报等诸多领域。依据泄露数据的重要性、数据数量规模可造成不同程度危害。从

数据泄露影响主体而言，可分为个人、企业、社会与国家四个层次。数据泄露侵犯网络用户个人信

息和隐私，增大用户被欺诈风险；企业数据泄露造成直接经济损害，同时影响企业可信度；公共数

据泄露影响社会治理，违法售卖数据等既是犯罪本身也可能引发其他类型的网络犯罪；核心、机密

数据以及大规模数据泄露同样威胁着国家的政权安全和主权安全。

第四，数据造假隐患。近年来，数据篡改或造假问题日益引起广泛关注：一是影响行业发展，

数据造假已成为社会多领域内的问题，包括环境监测、金融数据造假。在电商平台、视频网站以及

社交平台上的公开数据也有相关造假手段。这些对于依赖数据真实性的行业发展而言都有着不良影

响，更为重要的是会影响国家相关领域的宏观判断与政策制定；二是影响新技术与应用发展。主要

体现在人工智能和机器学习的应用中。众所周知，无论是算法还是机器学习都需要基于海量数据，

数据的真实性与有效性也至为重要，如果基于被篡改的数据与作假的数据，算法的有效性与学习效

果不难想象；三是滋生新的犯罪手段。突出表现在个人生物识别信息的应用过程中，个人生物识别

信息具有独特性、唯一性，并且与个人身份信息具有高度相关性，以其可数据化和便携性得以迅速

推广，涉及生活的方方面面。指纹锁、小区人脸识别门禁、疫苗注射登记乃至天网系统都与个人生

物识别信息密切相关。利用人工智能的“深度伪造”技术对这些信息进行替换、合成和调整，从而破坏

个人生物识别数据的排他性和唯一性，不仅会导致个人身份及信息的盗用，而且会成为进行恶意或

非法活动的重要手段。

第4页共22页

3.3维护数据安全的主要实践

数据安全问题复杂，涉及主体多元，领域广泛，包括国家、企业乃至个人的各方均是数据安全

维护的主要实践者，虽然各有专长或专注领域，但彼此之间又有着紧密关联，共同构成不断发展的

数据安全治理生态。

首先，是国家层面"三条主线”。随着数据安全重要性日益凸显，世界各国都在维护数据安全方面

进行了诸多尝试。

一是推进数据本地化措施。出于保护国家安全和公民隐私考虑，国家往往会对数据存储做出相

应要求。近年来，数据本地化浪潮兴起，明确提出相关要求的国家多为发展中国家和新兴经济体，

但实际上各国不管“明面”（明确专门就数据本地化提出要求）还是“暗里”（相关数据流动限制分散体现

在其他具体的安全例外或行业规定）都有相关规定。

二是加强数据跨境流动规制。各国出于不同考虑，会对本国数据境外传输采取相应规制。主要

表现为需经数据主体同意或特定数据经审批后方可对外传输。如中国强调评估，2019年《个人信息

出境安全评估办法（征求意见稿）》要求个人信息出境前需进行安全评估，评估其合法性和正当性，可

能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。美国虽然鼓励数

据自由流动，但采取禁止性规定，即关乎国家安全和利益的特定类型数据受到严格保护。此外，多

国提出数据向境外传输后能够受到与本国同等程度保护的要求。如欧盟《通用数据保护条例》（GDPR）

对数据传输目的地实行数据保护的“充分性认定”，通过该认定的国家方可自由地将欧盟个人数据传输

至该国。

三是围绕“长臂管辖”展开较量。数据领域的长臂管辖问题主要源于网络犯罪的取证问题，网络犯

罪因其数据转移更新快，通过正常审批流程周期长等问题，使得各国为了本国的司法便利而采取长

臂管辖。一方面这有一定的合理性，是探索网络犯罪取证的解决之道；但另一方面也确易出现滥用

风险，引发主权争议。比如美国2018年通过了《澄清境外数据的合法使用法案》（简称CLOUD法案）,

明确加强数据领域长臂管辖能力，但在实践进程中带来司法管辖权冲突或异议。各国纷纷出台相应

政策进行应对。如2018年8月7日，欧盟委员会出台升级版《阻断法案》；法国2019年6月发布

了《重建法国和欧洲主权、保护我们的企业免于域外管辖的法律和措施》报告；中国2021年1月9

日发布《阻断外国法律与措施不当域外适用办法》，4月29日公布了《中华人民共和国个人信息保

护法（草案二审稿）》，加强了对向境外司法或执法机构提供个人信息的监管，明确非经主管机关批准

不得提供等。

其次，行业层面"重点突出"。不同行业对于数据安全类型的侧重和维护方式均有所不同，所有需

要和个人交互的行业都需要保护的个人隐私数据之外，重点是对各自“核心数据”采取相应措施大幅提

第5页共22页

升数据安全能力。

一是加大数据安全管理架构优化力度，不再仅仅将数据安全作为简单的技术问题，而是通过涉

及优化治理层、管理层、执行层和监督层四个层面促进整个数据安全治理体系的持续优化；二是不

断加强数据安全风险评估力度，通过建立专门部门或工作小组的方式，将数据安全风险评估工作常

态化与机制化；三是积极采取新技术手段，通过系统升级，部署人工智能、器学习、分析和其他形

式的安全自动化技术，强化数据安全态势感知；四是加大人员数据安全能力培训，通过打造针对技

术、自动化与安全专业人才团队建设，维护和减少系统内部漏洞以避免外部恶意攻击；规范数据处

理流程，对于企业内部人员进行数据安全培训与道德培训以降低内部无意识泄露的风险。

最后，国际层面"积极探索”。各国数据在跨境流动中，不断地通过机制对接，寻找流动与安全的

平衡点。在此过程中，基于流动背景下的数据安全理念不断扩散，相应数据安全规则也在逐渐成形。

虽然目前阶段各国囿于利益、价值观等方面的较大差异，短期内在联合国或WTO等多边机制下很难

形成各方接受的单一数据流动规则，更遑论安全规则，但各主要国家都在探索可能的路径。

一是对于个人数据的保护基本达成共识。欧盟通过GDPR确立了被称为“世界上采用最广泛的个

人数据保护模式”，虽然保护的力度有所不同，但大多数国家在国内立法中都在不同程度上适用其原

则。此外，美国亦着力推动APEC跨境隐私规则(Cross-BorderPrivacyRules,CBPR)体系，增强个人

信息保护机制兼容性。CBPR体系是基于自愿原则在政府支持下开展的，为企业提供符合国际公认标

准的数据隐私保护认证体系。

二是通过“相互认定”设立数据安全“门槛”。欧盟于2018年发布的《通用数据保护条例》(GDPR)

通过“充分性认定”规则确定数据跨境自由流动白名单国家，对具有充分保护水平的国家和地区进行充

分性认定，从而确定能与欧盟进行数据自由传输的国家和地区。目前已通过欧盟充分性认定的国家

和地区有13个。在一定程度上设立了数据安全保护的“门槛”，打造了一些"模板"。如韩国为与欧盟

达成“充分性认定”，于2020年修改了其国内数据保护法。

三是力图形成兼顾发展与安全的治理框架。最具代表性的即日本倡议的"可信数据自由流动”，该

框架通过G20机制得到美国和欧盟的认可。2019年6月，G20贸易与数字经济部长会议重申可信数

据自由流动的概念，强调跨境数据流动对促进生产率、创新和可持续发展的重要性。该框架着重强

调两个方面：一是信任，即消费者和企业对隐私保护和安全的信任；二是可互操作性，即不同法律

框架之间的融合。

四是积极推出全球数据安全倡议。中国作为数据大国，亦积极为全球数据治理不断探索。2020

年9月8日，在北京举办的“抓住数字机遇，共谋合作发展”的国际研讨会上，中国提出《全球数据安

全倡议》。在这份倡议的推动下，2021年3月29日，中国外交部同阿拉伯国家联盟秘书处召开中

阿数据安全视频会议，宣布共同发表《中阿数据安全合作倡议》，阿拉伯国家成为全球范围内首个

第6页共22页

与中国共同发表数据安全倡议的地区，体现了中阿在数字治理领域的高度共识。

4.4未来数据安全维护主要趋势

当前国际社会积极探索推进全球数据安全治理，但总体而言尚处起步阶段，虽然各类网络空间

治理议程均将数据安全纳入优先议程，包括政府、企业、智库在内的各方也在不断提供政策建议，

但无论是从共识基础、规则形成还是机制建设等各方面来看，全球性规则体系建立还有很长的一段

路要走。基于当前形势与政策实践，未来数据安全维护将呈现如下发展趋势：

趋势一：主要国家数据安全框架基本成形。随着各国对数据保护工作的持续关注，在数据全球

流动、跨境服务日益频繁的大趋势下，主要国家和地区在数据安全管理的适用范围呈现初步持续扩

大的趋势，经过初期的探索以及相应的规则整合，数字安全框架趋于成形：一是从战略高度重视数

据安全，围绕数据安全的统一立法成为越来越多国家和地区的共同模式；二是数据的分级分类管理

机制逐渐清晰，虽然各国对数据的细分或有所不同，但在实践上，大体均会根据数据性质以及具体

应用场景，制定不同保护标准与实施措施。三是围绕数据安全的主体责任落实更加明确。越来越多

的国家通过既有机制中增加相应数据安全职能，或者新建相应主管机制，将数据安全责任进一步压

实，以确保相应数据安全战略与政策能够有效落地。

趋势二：各国对于数据的控制权会不断加强。虽然当前技术能力较为发达的国家在数据安全问

题上倾向于积极鼓励数据跨境流动，维护并进一步扩大自身的权益和优势地位。与此同时，随着各

国对于数字经济的重视，在贸易协定等国际协作上，数据本地化要求会得到相应限制。但总体来看，

技术能力相对不足的国家会继续倾向于采取数据本地化等"数据防御主义”措施，在发展中国家和新兴

经济体中，数据本地化浪潮还将不断延续。同时，有条件的数据跨境流动将越来越普遍，尤其是政

府数据、健康数据、个人隐私数据等关乎国家安全利益的数据；各国之间数据跨境流动的审查及认

定机制也将在衡量各国数据安全保护能力的同时继续体现更多政治性因素的考量，构建数据流动"朋

友圈”的做法亦会延续。

趋势三：全球跨境数据流动圈呈现复杂态势。经过初期发展，数据安全的本地化措施基本到位，

相关国家的关注重心会更多地转向在数据的流动中如何更好维护数据的安全。美欧日韩等国在此方

面已经采取相应措施，力图实现在所谓“价值共同体”中的机制对接。但似乎这种路径也并不那么顺利，

随着2020年7月，欧盟法院宣布欧盟与美国的隐私盾协议在跨境数据传输方面无效，欧盟与美国跨

境流动“通道”存在变数。同时，欧盟、英国也试图进一步拓展其与亚太地区的数据流动。2020年6

月，英国制定了脱欧后的科技贸易战略，此前欧盟与日本通过充分性认定实现数据自由流动，但在

英国脱欧之后，该条款已经不再适用于英国，英国希望与日本等亚太国家签订更深度融合的数据自

由流动协议［12］。止匕外，地缘政治博弈带来的影响，如美国联合多国针对中国推进“清洁数据”等做法，

第7页共22页

也会在客观上进一步加大未来数据流动版图的复杂性与不确定性。

趋势四：最佳实践会给数据安全带来新变数。数据安全本身是一个动态发展的问题，随着相应

新技术与应用的拓展，会不断产生新的安全议题，与此同时，实践证明，数据安全政策总会有不同

程度的“落地”问题，需要不断根据实践反馈校准与修正。事实上从发展的角度看，对于数据安全的有

效维护，除战略与政策层面之外，实践层面的“解决方案”即最佳实践亦至关重要。比如面对数据流动

中的隐私保护问题，企业和技术社群积极探索方案，从技术上解决“合规”问题，使数据既能有效流动

起来，又能解决隐私或安全关切。比如“联邦学习"等"隐私算法”技术手段的应用；再比如"工业数据

空间”(IDS),作为一种基于标准化通信接口安全的数据共享虚拟结构，它可以将分散的工业数据转换

为一个可信的数据网络空间，以规范的数据共享保证数据的保密性和所有权。

5.数据跨境流动政策认知与建议法律评论

在当前网络空间治理政策中，没有哪类议题能够像数据跨境流动一样，包含如此之复杂的讨论

面向：数据主权、隐私保护、法律适用与管辖、乃至国际贸易规则。特别是在2013年斯诺登事件后,

随着安全担忧情绪的蔓延，各国政府引入了形式多样的本地化要求，更增加了人们对数据跨境流动

政策的困惑与误解。

通过对美国、欧盟等最具有代表性的数据跨境流动政策的详细对比，提炼共性与差异，以澄清

有关该政策的基本认知。并基于欧盟制度改革中对数据跨境流动政策的反思，提出相关政策完善建

议。

此外，基于中、美、欧对全球网络空间治理规则的影响力，本文分析了全球数据跨境流动政策

的基本走向，以及其对数字经济全球化运营可能带来的深度影响，并面向企业提出相关建议。

对于身处复杂政策框架下的企业来说，不仅需关注不同规制要求，积极寻求多样化合规渠道，

更需从长远建立全球化与本土化相结合的竞争战略。

5.1.关于讨论前提的两点澄清

5.1.1.数据跨境流动政策与数据本地化措施的关系：本地化并不意味着绝对禁止数据

跨境流动

数据跨境流动政策是指一国(或地区)政府针对数据通过信息网络跨越边境的传输、处理活动所采

取的基本立场以及配套管理措施的集合［1］。尽管信息网络对数据的传输边际成本极低，互联网基础

协议能够确定网络任意两点之间传输数据包的最快路径，也并不以地理边境为界，但各国出于隐私、

安全等考虑，对从技术上完全可实现的"数据自由流动“现象从政策层面作出不同程度的干预。

“数据跨境流动政策”这一表述本身是中性且广义的，它包含了从开放到保守不同立场倾向的政策

第8页共22页

类型。它既可以针对数据流出境内的场景(如欧盟对于个人数据转移到欧盟以外的管理框架)；也可以

适用于数据流入境内的场景(如出于保护公共利益需要，对于儿童色情、侵害知识产权等数据，采取

措施禁止本国居民通过网络访问获得［2］)。

相比之下，数据本地化措施从概念本身则狭义许多。它是指：出于本国公民隐私保护、国家数

据安全，以及执法便利等目的，要求数据在境内存储、处理的管理要求集合。

当然，数据本地化措施也可以包含宽严程度不同的类型，通常有：

(1)仅要求在当地有数据备份，而并不对跨境提供作出过多限制［3］；

(2)数据留存在当地，且对跨境提供有限制［4］；

(3)要求特定类型的数据留存在境内［5］；

(4)数据留存在境内的自有设施上［6］,等等。

因此，尽管“数据本地化”措施正在成为当前全球网络空间治理中的一股潮流，但它仍然仅代表了

数据跨境流动政策的一种方向。而且鉴于"数据本地化”政策的丰富类型，本地化并不意味着绝对禁止

数据的跨境流动，有相当部分的数据本地化政策仍然给出了很多例外。

5.1.2.数据跨境流动政策适用的数据类型：主要围绕个人数据

关于数据跨境流动政策的讨论最早始于个人数据保护法律领域。个人数据保护的国际纲领性文

件--1980年经合组织《关于保护隐私和个人数据跨境流动指南》，内容主要分为"国内适用的基本

原则”及“国际间适用的基本原则”。后者解决的即是个人数据跨境流动问题［7］。进入“后斯诺登"时代,

新一轮的数据跨境流动政策对数据类型有所扩展。但从各国政策的总体观察而看，政策对象仍以个

人数据为主①,在有限的案例中扩展至其他数据［8］。

国内关于数据跨境流动政策的部分研究文献将政府数据纳入，并基于政府数据类型，提出相应

的跨境流动管理策略。此类认知需予以澄清。

实际上政府数据中涉及国家秘密乃至安全的部分，在属性上已经提出了更高保密性要求，禁止

跨境流动本就是应有之义；不涉及国家秘密的部分，如果具备公开属性，则应纳入政府数据开放调

整范围，也不牵涉跨境数据管理问题。

而归根结底，政府数据无论是否具有保密属性，都具有在本地存储的天然特点，绝大部分也不

具有跨境流动的商业化需求。因此，在数据跨境政策讨论中，提出政府数据类别，对于认知数据跨

境流动政策并无特别意义。

综上，本文聚焦于各国针对经贸往来中，基于商业目的的数据跨境流动政策分析。

5.2.美欧数字跨境政策发展概况及差异

数据跨境流动是经济全球化与数字化的伴生物。美、欧基于各自政治、经济、法律传统等因素

第9页共22页

考量，在不同的历史背景下，发展出特色鲜明的数据跨境流动政策。

5.2.1.美国数据跨境流动政策主要由贸易利益驱动

美国在克林顿政府时期，就已形成对数据跨境流动问题的初步策略。1997年《全球电子商务框

架》②提出：“只有当个人隐私和信息自由流动带来的利益取得平衡时，全球信息基础设施才可能兴

旺起来。美国支持为用户提供恰当的隐私保护，以提升用户使用互联网服务的信心，但各国在公民

隐私保护方面迥然不同的政策，有可能会形成非关税贸易壁垒。”

对此，美国采取以下策略：

(1)依据个人隐私保护基本原则［9］会同其主要贸易伙伴推进符合市场需求的个人隐私政策；

(2)继续与欧盟进行对话讨论以解决数据流动问题；

(3)通过双、多边讨论以及地区性论坛［10］,就跨境流动问题展开对话。

二十年来，美国在以上三方面取得不同进展。首先，尽管与欧盟在个人数据保护路径上存在明

显分歧，2015年欧洲法院甚至废除了美欧执行已逾15年的欧美安全港，但不可否认的是，二者之

间的政策分歧从未实质性影响跨大西洋数据流动。直至2016年新隐私盾协议的达成，也仍旧为欧美

实现数据流动提供了积极机制③，目前包括Google,Facebook,微软等2500家美国公司的跨境数据传

输仍依赖于该机制；

其次，双、多边贸易协议已成为美国推进其数据流动政策的主要渠道。2012年《美-韩自由贸易

协定》，第一次在贸易协定电子商务章节中规定了跨境数据流动规则。TPP谈判尽管美国已退出④,

但由其提出的跨境数据流动规则已成为不少国际协定电子商务章节的范本［11］；

此外，美国通过亚太合作组织(APEC),积极推进《APEC跨境隐私规则体系》(CBPRs),该体系

倡导数据治理规则的实用性，对于通过CBPR认证的企业，被认为满足了隐私保护要求，可以在APEC

区域内实现自由的跨境数据传输［12］0

5.2.2.欧盟在人权项下考虑数据跨境流动政策

与美国将数据跨境政策与贸易政策深度捆绑不同，欧盟更多是从个人权利保护项下考虑数据流

动。

欧盟1995年《关于个人数据处理保护与自由流动指令》规定：欧盟公民的个人数据只能向那些

与欧盟数据保护水平相同的国家或地区流动。如果数据接收国的法律水平没有达到欧盟委员会认可

的标准，有两种替代方式也可实现转移：

一类是例外场景，如取得了数据主体的明确同意，或该转移是为了履行与数据主体之间的协议

所必需等；另一类是企业能够证明已采取了充分的保障措施情形［13］。

此外，欧盟也通过在全球积极推广其个人数据保护制度，不断扩展可以实现数据自由流动的地

第10页共22页

区。

1981年，欧洲理事会各成员国签署欧洲《有关个人数据自动化处理之个人保护公约》（欧洲第

108号公约）。加入公约，意味着要建立与欧盟相似的个人数据保护立法，将被视为满足欧盟跨境数

据流动"充分性保护”标准的重要参考。特别自2010年以来，欧盟加速推进公约的全球化进程，目前

已有46个国家加入公约⑤。

与美欧相比，中国、巴西等国家更多从维护网络安全和数据主权为目的出发，制定跨境数据流

动政策。包括中国、越南、巴西等在内的发展中国家，也包括澳大利亚、加拿大等发达国家在不同

程度均提出了数据本地化措施。此类措施对服务贸易全球化可能带来消极影响⑥，但却能在一定程

度上保障国家信息安全，特别是从执法层面，为国家行使司法主权提供依托。

5.2.3.美欧数据跨境流动政策的具体实施机制有较大差异

美国在国际上推行宽松的数据跨境流动政策，首先需要本国示范。

因此在美国一般立法中，难以观察到禁止或者限制数据跨境流动的明确要求［14］。但在一些特定

案例中，美国也留有了一定的政策回转空间。

例如：美国针对外国投资安全审查中，可以与外国投资者签订安全协议，而安全协议可能包括

相关的数据本地化要求。关于数据本地化要求的执行落地，也通常会由CIFUS指定的特定政府部门

来负责监督执行。

欧盟数据跨境转移政策主要体现在个人数据保护制度中，相应地，其实施机制也依附于个人数

据保护执法体系。

如上述，欧盟数据控制者口5］实施个人数据跨境流动活动时，有三种合法方式：（1）数据传输至"充

分性认定”地区；（2）例外场景（包括用户同意，或者执行合同需要等）；（3）充分保障措施。考虑到“例

外情形”可适用场景少，并不能够为日常化、规模化的数据跨境转移提供稳定的合法性基础⑦，以下

主要介绍“充分性认定机制"和"充分保障措施”机制。

"充分性认定”是一个白名单机制。欧盟委员会负责根据第三国的个人信息保护立法状况、执法能

力，以及是否存在有效的救济机制等因素，做出综合评估。截止到目前为止，仅有阿根廷、加拿大

等不超过20个国家或地区通过了欧委会认定［16］。此外，对于美国这一重要的贸易伙伴，欧盟发展

出"安全港框架”，以针对性的解决与美国之间的数据流动问题。

充分保障措施主要体现为"标准合同文本"机制（StandardClausesContract,SCC）和"有约束力公司

规则”机制（BindingCorporateRule,BCR）。对于前者，截止到目前，欧委会已经形成了三个合同范

本，分别适用于"数据控制者到数据控制者之间的转移"、"数据控制者到数据处理者之间的转移”口刀。

此类合同范本通过规定数据输出方和数据接收方基于合同的数据保护责任［18］,来间接提供对个人的

第11页共22页

保护机制；对于后者一一"有约束力的公司规则”则是集团型跨国企业可优先考虑的机制，集团遵循一

套完整的，经个人数据监管机构认可的数据处理机制，则该集团内部整体成为一个“安全港"，个人数

据可以从集团内的一个成员合法传输给另一个成员。目前，包括埃森哲、宝马汽车、惠普、摩托罗

拉等72家跨国公司获得了欧盟BCR认可［19］。

由于通过充分性认定的国家总是少数，因此充分保障措施机制实质是欧盟各国数据保护机构在

跨境数据流动管理中最为主要的抓手。

5.3.数据跨境政策面临的共性问题及对中国的参考建议

5.3.1.前述

尽管在政策目标上具有明显差异，但美欧在数据跨境流动政策中也面临最为基础的共性问题

一一如何在全球化的数字经济中有效达成数据跨境流动监管目标？特别是在数据跨境流动成为普遍

趋势的背景下，对数据跨境活动的干预愈深，这一问题带来的挑战就愈大。

美国凭借其在技术、产业优势以及灵活的监管制度优势，在数据跨境伴生而来的隐私保护、数

据安全问题并无特别担忧，因此仅建立了个案式的、事后监管机制，此类机制最大程度的避免了对

数据跨境流动的干预，同时也能有效赢得美贸易利益和安全利益的双赢。

美国面临的困境是在全球推行数据自由流动时，难以提出对“数据本地化”进行限制的合理标准，

毕竟国际贸易规则中将安全和公共利益作为了基本例外⑧。

而对于中欧来说，对安全和隐私的担忧却是真实存在的，因此二者也相应地建立了普适性的数

据跨境流动管理机制⑨。由于中国仍处于制度建设期，尚无法观察其实践效果，但实施有二十余年

的欧盟数据跨境转移管理机制则较为全面地呈现了其所面临的实际困境。

5.3.2.欧盟数据跨境流动政策的困境与改良

欧盟2012年启动个人数据保护立法改革时，曾全面梳理了现有的个人数据保护制度呈现出的种

种缺陷。其中最为突出的问题即是：日益增长的全球数据流动与现有监管制度之间的不适应。几乎

所有的欧盟企业都涉及到向欧盟境外传输数据，然而1995指令中关于跨境流动的规则早已难以适应

数据国际流动⑩。

正如批评意见认为：欧盟对个人信息的跨境转移设置严格条件类似于虚幻假象，因为它假象欧

盟的标准能覆盖到除欧盟以外的全球各处，但实际情形并非如此⑪。的确，欧盟跨境数据转移管理

的三类方式均已捉襟见肘。因此，欧盟即将生效的个人数据保护新法规一一《通用数据保护条例》

(Generaldataprotectionrules,GDPR)对跨境数据流动政策进行了大幅优化改革，特别着力于提升政

策的灵活度：

1,明确禁止各成员国不得以许可方式管理跨境数据流动。多年的实践表明，欧盟各成员国对跨境

第12页共22页

流动采取的许可管理方式并没有实质性的提升个人信息出境的保护水平，相反，事前许可制度却带

来官僚主义问题。因此，2016年《数据保护通用条例》(GDPR)重点简化了数据跨境传输机制，明确

禁止了许可管理做法，只要符合了《条例》中跨境数据流动的合法条件，则成员国不得再通过许可

方式予以限制。

2.增加了充分性认定的对象类型。除了对国家可以作出评估外，还可以对一国内的特定地区、行

业领域以及国际组织的保护水平作出评估判断，以进一步扩展通过“充分性”决定(adequatedecision)

覆盖的地区。

3.扩展“标准合同条款”，除了保留目前已生效的3个标准合同范文。《条例》增加了成员国数据

监管机构可以指定其他标准合同条款的渠道，以为企业提供更多的，符合实际需求的跨境转移合同

文本选择。

4.发挥行业协会等第三方监督与市场自律作用。条例规定数据控制者可以成立协会并提出所遵守

的详细行为准则(codesofconduct)o该行为准则经由成员国监管机构或者欧盟数据保护委员认可后，

可通过有约束力的承诺方式生效。此外，经认可的市场认证标志也可以作为数据跨境转移的合法机

制。

5.3.3.欧盟经验对中国的参考意义

5.3.3.1.中国数据跨境流动政策发展概况

2016年11月出台的《网络安全法》首次以国家法律形式明确了中国数据跨境流动基本政策。

中国数据跨境流动政策更多是在斯诺登事件后，基于国家网络安全视角而提出。但实际上这种

政策视角在2013年前已显露雏形。

如2011年中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》已要

求个人金融信息的储存、处理和分析应当在中国境内进行；2013年《征信业管理条例》规定征信机

构对在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。

此后，出于数据安全目的，本地化要求进一步被写入网络监管立法中，除《网络安全法》外，

包括：2014年国家卫计委颁布《人口健康信息管理办法(试行)》、2015年《地图管理条例》、2016

年《网络出版服务管理规定》、2016年《网络预约出租汽车经营服务管理暂行办法》等都不同程度

提出了数据本地化要求。正在制定中的《个人信息和重要数据出境安全评估办法》及其配套的标准

指南也将全面搭建起数据出境管理框架。

中欧均对日益增长的数据跨境流动采取干预措施，欧盟所积累的政策经验与教训对中国而言具

有重要参考价值。特别与欧盟相比，中国对数据跨境流动活动的干预似乎更深更直接，更需要深度

考量如何采取科学有效机制，以有效平衡数据流动所带来的发展与安全利益。

第13页共22页

其一，“许可”等事前监管机制已被证明固有的局限性。一方面，它与全球化数字经济的发展趋势

极不适应。数据的跨境流动并不是遵循特定路径，而是通过多种方式、多种渠道，例如E-mail、提

供数据库访问权限，或者是通过内部网络进行交换。传统的许可管理方式与此格格不入。事前建立

一刀切的许可门槛，并不有助于监管目标的实现，而往往只是增加形式上的行政负担。

当然，在国内此前公布的数据出境文件征求意见稿中，监管机构已然关注到了这一问题，引入

了企业自评估机制，并体现出将政府评估作为事中、事后监管的思路。

其二，要为"合理有序的数据流动”提供尽可能丰富的合法渠道。欧盟数据跨境政策的改革方向表

明，如果不能提供多样化的有效合法跨境渠道，则无法向市场传达政策方向，从而能够引导企业通

过可预期的稳定机制在实现自身的数据跨境需求时，同时实现监管者设定的用户隐私、数据安全目

标。这也是欧盟在对数据跨境流动机制进行改革时，重点落脚于增加有效渠道的根本原因。

5.3.3.2.中国可借鉴的有益做法

我国目前初步建立的数据跨境流动政策，如将数据出境安全评估作为单一合规机制，在现实中

恐难以适应海量数据跨境管理需求。建议参考欧盟及其他国家经验，设立符合我国国情需要的多样

化合法流动机制，例如：

(1)建立白名单机制。根据个人信息保护状况及对等措施，将部分地区纳入可自由流动的国家与

地区［20］。

考虑到短期内各国无法形成相互协调的数据流动政策体系，因此，数据跨境流动政策将深度嵌

入双、多边的贸易投资谈判。在国与国之间、区域与区域之间体现出多样性、灵活性，形成不同解

决方案⑫。

如我国近邻日本、韩国，已分别启动与美欧的数据跨境流动双边谈判［21］,预计在2018年之前，

日韩将分别与欧洲达成充分性保护互认协议，同时，由于日韩均已加入美国主导的APEC跨境数据流

动CBPR机制，日韩与美国的数据流动也具备顺畅渠道。预计此类区域性的数据流动协议在未来将成

为解决数据流动的主要途径之一。

(2)根据安全评估的主要标准，建立指引性的数据跨境流动协议范本，类似于欧盟标准合同范本,

引导企业在数据出境中，通过合同法律机制来管控数据出境风险。

(3)鼓励行业协会及其他自律组织参与安全评估。作为市场机制补充，在安全评估中发挥作用，

从而建立可落地实施，具有活力的数据管理秩序。

(4)对不同性质的数据采取分类管理方法。不仅区分个人数据、重要数据，形成对应的跨境流动

管理策略，也可进一步在管理实践中，根据数据的安全属性进行梯度性管理。

综上，在信息通信技术与经济全球化深度耦合背景下，应当承认：数据的跨境流动是绝对的，

第14页共22页

而对数据流动的限制是相对的。后者是手段，前者是目标。正如在数据出境安全评估指南制定过程

中，有关专家指出：安全评估的实质是服务于数据出境，是在保障安全的前提下促进数据的跨境流

动。

5.4.复杂的数据流动政策对跨境业务的影响

基于中美欧政策之间的巨大鸿沟，在全球范围内形成协调一致的跨境数据流动政策还很遥远⑬。

除了“数据自由流动”与"数据本地化”之间的冲突，欧美中数据流动机制的具体差异，也决定了在未来

一定时期，涉及数据跨境流动的企业需要面临复杂的政策环境，这不仅直接关系业务合规，而且也

对成本负担、技术架构乃至战略布局带来深度影响。

首先，包括本地化在内的各类数据跨境流动政策，对依赖全球数据聚合的业务带来影响。包括

传统的业务类型，例如：金融行业，跨国银行集团需要建立集中化的数据处理中心；跨境物流行业,

集团通过汇聚全球数据来高效调配物流资源。此类业务的数据集中都将面临挑战。

换言之，物联网、云计算、大数据应用在技术上完全可实现全球数据资源的汇集、并通过对数

据汇集的加工分析，创造出新的经济价值，而全球割裂的数据跨境流动政策将直接影响着此类业务

的效率，甚至是业务模式本身能否持续开展。

其次，相比于大型企业，中小企业受到冲击更大。大型企业往往在数据中心部署方面更具优势,

可以利用充沛资源和技术方案实现合规要求，而处于发展起步阶段的中小企业，在跨境业务中部署

数据本地化方案将不是一个轻松的决定，这在一定程度上反映了数据本地化政策带来的市场竞争效

应，其政策门槛削弱了中小企业对跨境业务的参与度和市场创新能力。

再次，"数据本地化”政策对没有本地化需求的跨境业务带来负担。尽管在信息通信服务领域，“靠

近用户”会驱动服务商将数据中心建立在本地，提升数据传输速率，为用户带来更好服务体验。但不

容否认，仍有大量业务场景并不需要考虑这一因素，反而更关切因为数据本地化带来的负担成本。

例如：面向境外用户提供旅行产品订购的网站，在初创期可能并不需要考虑在服务本地部署数

据中心；又或者一些数据容灾备份的安全服务，对数据传输响应速度并无特殊需求，也往往并不需

要将数据部署在本地。

5.5.数据跨境流动合规建议

当前，不仅金融、电信、互联网等跨境服务离不开数据跨境传输支撑，包括制造业、医疗健康

乃至农业生产等更多传统产业也产生了大量的数据跨境需求。

例如：飞机制造商波音公司通过其遍布全球的飞机和航线服务，建立了全面的数据收集系统，

用于发现和诊断问题航班。我国重型机械生产制造企业三一重工也通过对装备运行信息的实时采集,

提供远程跨境诊断服务。涉及数据跨境流动企业需要建立完善的合规体系，为业务开展提供法律基

第15页共22页

础保障。

5.5.1.关注本地数据跨境流动政策目的及严苛程度

各国数据跨境流动政策目标决定了其严格程度和具体要求上的差别。例如以数据主权和网络安

全为驱动的数据跨境政策，在跨境管理上会趋向于严苛，不仅要求在本地存储，也对向境外提供采

取了严格限制措施，涉及的数据范围也更为广泛，对企业运营带来更深度影响，需深入到业务场景

和技术实现方式中提出合规方案；而以保护公民个人信息为目标的政策要求，会留有更多的例外空

间和合法转移渠道，且仅涉及个人数据，企业可根据自身需求，选择适合的合规途径。

5.5.2.积极寻求多样化合规渠道

对于我国企业来说，面临两类基本的数据跨境合规问题，一类是从我国收集运营的数据向境外

传输、提供问题；另一类是开展跨境服务的我国企业在其他海外市场所面临的当地数据出境政策。

对于第一类问题，我国目前根据《网络安全法》第三十七条来制定相关配套办法标准，将初步

建立较为严格的数据流动管理制度，企业应根据要求建立完善的出境数据档案及安全自评估制度，

以备相关主管部门实施监督检查。除了少数例外情况，数据出境的合法路径主要依赖于企业的安全

自评估和主管部门评估。

而有越来越多的出海企业将面临第二类问题。首先，在欧盟市场，由于我国的个人信息保护水

平与欧盟尚存较大差距，并不满足欧盟“充分性”认定标准，欧盟成员国往往会对传输至我国境内的个

人数据活动作出限制。在此背景下，我国企业要根据欧盟法律要求，积极寻求数据跨境转移的合法

性基础。其中：

在欧盟新的数据保护立法GDPR在2018年5月生效之前，中国企业可以利用的合法传输机制仍

然相当有限。

例如："标准合同文本"和"有约束力公司规则”仍很难为中国企业所利用。相比较而言，作为中国

企业的竞争对手一一美国企业（特别是中小企业）则可以利用“美欧隐私盾”更方便的实现数据合法转

移[22],而日韩企业也有望在2018年后通过政府与欧盟达成的充分性保护互认协议实现高效的转移

数据。

若采取例外情形中的“用户同意”模式，则要满足欧盟对“同意”的高标准要求，包括向用户充分说

明跨境传输的相关信息，例如：传输目的国，目的国的个人信息保护水平以及用户可能面临的风险,

并确保用户的同意是在充分知情的情形下做出的特定授权。因此，此类高标准要求也决定了“同意”

机制多数情况下仅适用于小规模的数据转移。

对于具有一定实力的中国企业，则可以结合业务布局考虑，选择在欧盟成员国或欧盟认可的"充

分保护认定”国家，例如：加拿大、阿根廷、新西兰等，在此类国家建立或选择数据中心，作为“数据

第16页共22页

港”，以尽可能降低数据跨境传输成本和合规风险［14］。此外，在欧盟市场面临的问题，也将在其他

效仿欧盟建立跨境流动机制的国家体现，比如非洲等新兴市场国家，企业需要提前做好合规路径储

备。

而在美国以及APEC国家地区，由于美国所推行的APEC隐私框架中的跨境隐私保护规则(CBPRs)

进展缓慢，我国也未正式加入，我国企业还不能利用该框架中的跨境数据转移机制。因此在美国、APEC

等地区的数据跨境转移，我国企业也需更多考虑数据跨境转移合规问题，并根据不同国家的跨境转

移需求，制定不同的合规方案。这其中也可结合各国数据保护水平和国际认可程度，选择相关国家

及地区作为“数据港"，如常见包括澳大利亚、新加坡和我国香港地区。

5.5.3.应对数据本地化带来的管辖冲突

事实上，尽管根据不同国家数据跨境流动政策可以选择不同的合规方案，但最终无法回避管辖

冲突问题。互联网是全球性的，然而立法与监管却是本地的。长期以来，互联网的管辖适用问题一

直就未得到解决。而当前复杂的全球数据流动则更进一步加剧了管辖冲突。

例如：各国通过数据本地化立法，来解决法律适用和本地执法问题，但从美国相关案例，典型

如微软诉美国司法部案中［23］,司法部门认为其无论数据存储在哪里，都具有其管辖权，使得企业处

于进退两难境地⑮。实际上，这不仅是大型跨国公司面临的问题，伴随互联网服务的全球化趋势，

一些初创企业也将面临。

针对法律适用和管辖，政府部门和司法机构可以有不同的主张，包括：服务提供商注册所在地(总

部所在地卜数据存储服务器所在地，数据本身所涉及的数据主体所在地等等，多项的法律适用连接

点给跨境服务企业带来更多的法定义务冲突问题。

当前阶段，司法管辖冲突更多体现为个案式的。例如在涉及诉讼、仲裁等跨境调查中，由于各

国法律及监管要求的不同而造成的直接冲突。预计随着欧盟具有宽泛适用范围的个人数据保护法

GDPR在今年5月的生效，以及更多数据本地化要求的出现，这种冲突将更加广泛，不再仅仅限于个

案，而是深度影响到业务运营。

考虑到国家间的司法协助条约(MLAT)［24］进展缓慢，特别如微软诉美国司法部案件中所反映出

的政府倾向，在国家间繁琐冗长的司法协助程序和直接向服务商发出协助配合要求之间，政府和司

法机构更容易选择后者。这实质上间接鼓励着各国政府更愿意选择数据本地化政策，数据存储在本

地至少有执法便利，在法律适用上本身也是一个强有力的抗辩。

因此，对于面向全球提供服务的企业而言，在法律适用冲突中较为安全的选择是将所服务的不

同国家的公民个人数据，存储在不同国家(或该国政策认可的其他地区)，当然这无疑产生了新的巨大

成本，且仍会面临复杂的管辖竞合问题，亟待通过国际层面达成协调机制。

第17页共22页

5.5.4.建立全球化与本土化相结合的竞争战略

对于全球化的平台企业而言，则需要以“全球化"和“本土化”相结合的视角，破解数据管辖冲突困

境。例如：欧盟没有直接提出数据本地化要求，理论上企业可以选择多种渠道实现跨境流动。但微

软公司却已在尝试更深度的本地化解决方案。微软于2016年底与德国电信合作运营数据中心，专门

向欧盟客户提供服务。根据合作安排，德国电信的子公司「Systems扮演数据中心“受托人"角色，负

责管理微软在德国的数据中心。

正是考虑到在全球政策层面，短期内无法提供数据安全及管辖冲突的协调方案，跨国企业已开

始着眼于本地化模式的调整，包括从技术架构、商业模式等多方面进行改进优化，通过整合本地化

模式，使之既符合当地监管要求，同时也形成更为强大的全球竞争力。

6.5结语

综上所述，数据安全作为一个时代性议题，需要在发展中不断探索。当前国际数据安全维护现

状与趋势带来的启示在于以下几点。

一是意识要适当“超前"。中国作为数据大国，考虑到数据战略价值，尤其是未来数字经济发展需

要，不仅要考虑数据能够“护得住"，更要考虑数据能够“拿得来"，这就需要在制定国内数据安全维护

政策措施时，要考虑是否达到安全与发展的最佳平衡点，是否能够和其他具有数据潜力的国家或地

区有效对接，促进数据的流动。

二是策略要足够“丰富"。要深刻认识到数据安全是一个战略问题，更是一个实践问题，不仅要从

国家层面制定相应的战略，出台相关法规，完善应有机制，更要在实践中，发挥非国家主体，尤其

是行业和企业的作用。一方面要听取他们作为“落地一线”的反馈，不断校准与修正相应政策，提升政

策的有效性；另一方面要鼓励他们寻求更加有效的技术或标准解决方案，以最佳实践提升数据安全

的话语权和影响力。

三是议程设置要足够"主动"。当前数据规则还在发展初期，正是加紧“塑造”的战略机遇期。不论

是在双边、区域还是多边场合，对于数据规则探讨的议程设置都应该更加积极。一方面要在一些既

有机制下，就重要议题拿出有影响力的主张或有说服力的案文；另一方面还要主动搭建相关渠道，

以开放和促进数据流动的姿态，引导数据安全规则探讨，从而全面提升话语权。

注释：

[1]这一界定基本符合当前数据跨境流动政策讨论需要，也具有概念定义的连续性。关于"数据跨境流

动”相关概念最早正式出现于1980年OECD《关于隐私保护与个人数据跨国流通指南》，其中对

个人数据的跨境流动做了简单解释，个人数据的跨境流动是指个人数据跨越国界的运动。

第18页共22页

("trans-borderflowsofpersonaldata^meansmovementsofpersonaldataacrossnational

borders.);1982年联合国跨国公司中心对跨境数据流动(Trans-borderDataFbw)的界定是：跨越

国界对存储在计算机中的机器可读的数据进行处理、存储和检索。我国信息化专家周宏仁在其

专著《信息化论》中也将跨境数据流表述为数据通过计算机通信系统跨越边境的运动。

[2]考虑到本文旨在讨论“数据本地化措施”潮流之后的数据跨境政策走向，因此也将更多着眼于针对

数据"流出"场景的政策分析。

[3]例如俄罗斯在数据本她化执法初期，曾一度澄清只要机构在俄境内存有数据副本，则个人数据可

自由传输至境外。见

/articles/698895/3-things-to-know-about-russia-s-new-data-localization

-law

[4]如中国《网络安全法》第三十七条针对关键信息基础设施运营者的数据本地化要求

[5]如澳大利亚2012年《个人控制的电子健康记录法》。规定除非特定的例外情况，禁止健康数据

转移到国外。第77条第一款规定："相关主体不得(a)在澳大利亚境外持有、获取该数据；(b)

在澳大利亚境外处理或处置与该数据相关的信息：(C)致使或者允许他人在澳大利亚境外持有、

获取该数据，或在澳大利亚境外处理与该数据相关的信息。

⑹如中国对外资开放的部分电信业务中关于设施本地化的要求。

[7]指南要求：成员国不得不合理的限制数据在本国和另一成员国之间的流动。

[8]例如：俄罗斯2014年新修订的《关于信息、信息技术和信息保护法》中规定，"自网民接受、传

递、发送和(或)处理语音信息、书面文字、图像、声音或者其他电子信息六个月内，互联网信息

传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。这一规定不以个人信息为

限，但仍与网民的活动信息相关。

[9]主要指美国合理使用信息原则(FairinformationPracticePrinciple,FIPP)它是美国在消费者隐私保

护与个人信息保护监管中所应用的重要原则O

[10]包括：如亚太经济合作(APEC)论坛、美洲首脑会议(thesummitforAmericas)、北美自由贸易协

定(NAFTA)等机制。

[11]其14.11条规定了通过电子方式进行的跨境信息传输。第1款指出“各缔约方认识到每一缔约方

对于通过电子方式跨境传输信息可能有各自的监管要求”。第2款规定“当通过电子方式跨境传输

信息是为所涵盖的主体执行其业务时，缔约方应允许此跨境传输，包括个人信息”。同时，本条

第3款指出"本条不得禁止缔约各方为实现合法公共政策目标而采取或维持与第2款不符的措

施，前提是该措施：(1)其实施并未构成任意或不合理的歧视或构成对贸易的变相限制；及(2)

对信息传输所施加的限制并未超过为实现合法目标所必需的限度。”

第19页共22页

[12]截止目前，APEC成员美国、墨西哥和日本进入了加入CBPR体系的不同阶