【跨境数据流动的监管与治理探究12000字（论文）】

引言伴随着数字经济的快速发展，信息产业以一种全新的形态快速扩张，在当前全球大数据的环境之下，大规模的数据跨境流动逐渐常态化。当前形势下，数字经济在总体上呈现出总额大、增速快、占比逐年提高的特点。2019年全球的数字经济规模达到31.8万亿元，相比前一年规模增长了1.6万亿元，数据所带来的效益已然成为促进各国GDP增长的新动力。从全球的情况来看，美国数字经济规模蝉联全球第一，中国凭借自身的国内市场优势位居全球第二；但中国的数字经济规模增速为15.6%，远超美国及其他发达国家，位居全球首位数据来源：中国信息通信研究院《全球数字经济新图景（2020年）》，2020年10月发布。。从一系列的数据可以得出，中美两国在数字经济发展方面的竞争正在逐步走向白热化阶段，尤其是在新冠肺炎疫情的冲击之下，传统产业受到严重打击，越来越多的国家决策者意识到要依托数字经济来推动自己国家的发展。数据来源：中国信息通信研究院《全球数字经济新图景（2020年）》，2020年10月发布。图1数据来源：中商产业研究院整理虽然数据跨境流动促进各国GDP增长，但其无规则的流动会侵害到一国的主权安全。部分国家出于保护本国利益不受外国侵犯的目的，对跨境数据采取一系列的管控措施。在2013年斯诺登事件后，许多国家选择了严格的数据本地化政策，但对于数据本地化能否真正解决跨境数据的治理难点，不少学者都持保留意见。本文从跨境数据的治理难点入手，认为跨境数据流动的治理是未来发展贸易所必须面临的一个难题，针对我国现有监管体系的缺陷提出应对路径，平衡好国家安全、商业利益与个人隐私三者之间的关系。图1数据来源：中商产业研究院整理跨境数据的治理难点数据跨境流动涉及主权安全、商业利益与个人信息安全三者之间的动态平衡。数据自由流动能增加国家间的交流，但也会增加管控的难度。紧缩的数据跨境流动规则会提高跨国公司合作的成本，但能减少风险。但总的来看，宽松或严格的政策，均会对国家安全、商业利益以及个人隐私保护带来一系列的挑战。（一）国家安全挑战自从2013年“棱镜门”事件曝光以后，包括微软、苹果、雅虎等在内的9大互联网皆参与其中，该事件已经证实美国非法侵入他国的网络，收集公民的电话记录、转账记录、通讯录等个人信息，以反恐的名义获取别国的数据并进行数据转移，严重侵害了他国的安全[1]。同时跨境公司在开展业务过程中会将数据传输给总公司或者研发中心所在地进行分析与处理，数据的外流引发了各国对自身安全的担忧，进而通过严格的业务审批来限制数据的跨境流动[2]。总的来看，在全球数字产业发展不平衡的现状之下，发达国家凭借其先进的科技水平促使全球的数据流向其大数据库中，组成了数据霸权局面的形成，从而成为发达国家推行单边主义的又一利器，加剧全球经济的不平衡状态。此外，随着大数据分析、画像分析等技术的逐渐精准化，发达国家可以通过大量数据刻画出人们的行为模式，包括购物习惯、身体健康情况、食物偏好等，并通过这些行为模式进行评价，了解别国的情况。因此，发展中国家包括我国采取一系列的立法措施来禁止或者限制数据跨境流动，采取数据本地化的政策，有意识地将互联网空间分割开来，用以维护国家主权。（二）个人隐私保护挑战数据流动中必然会涉及到对隐私权的保护，当今时代，立法者越来越重视保护大众的隐私权，这与当前人们的权利意识觉醒息息相关，智能技术的发展必然会使网上交易不断增加，在海外交易开展中，消费者通过网络订购海外的商品，个人信息以数据的形式流向国外，如果这些个人信息没有采取有效的保护措施就很有可能发生泄露现象。事实上随着数字经济的发展，个人信息不可避免的会卷入大数据库之中，宽松的数据跨境流动政策，有利于资源的整合，创造出更大的经济效益，跨国公司通过对大数据的处理刻画智能图像，并开展特色项目与精准产业布局，提高自身在专业领域的竞争力；个人数据出境能够帮助获得更优质的金融服务。然而，如果数据跨境流动超过一定的限度，同时又没有统一的国际法保障体系，将无法保障个人信息不泄露。因此，保护个人隐私是监管规则制定所要考虑的一方面。（三）商业利益保护挑战当前贸易开展不再局限于面对面的交易，通常在网上开展跨境交易，如果没有要求商家进行交易时需要以商业的形式，则其跨境营业所得以及税收往往都交给总公司所在地的国家，这样会导致分公司所在地的政府无法获得税收，当地收入分配体制会因此无法发挥作用，经济发展不平衡的程度会不断加深。国际上对数字化产品通过知识产权法加以保护，但对于数据控制主体的采集数据并形成大集合的行为如何保护没有形成共识，数据的集合是开展大数据分析的前提，通过大数据分析，企业可以采取一系列的有效措施来调整产业结构，提高产业的潜在价值，法律未明确商业数据的边界会提高贸易成本，也会给地区经济收入分配带来新的困难。二、各国治理跨境数据的机制选择——以欧美数据跨境流动的监管机制为例发达国家与发展中国家在跨境数据流动的监管机制选择上存在较大的差异，发达国家因其强大的互联网竞争力希望数据流动标准宽松，而发展中国家因跨境企业实力差而希望数据流动限制更严。但过分倚重商业利益则会损害到个人隐私权利，过分保护个人隐私则会严重遏制数字经济的发展，同时，网络主权是一个主权国家开展业务活动的基础所在，数据的大规模流动会带来不确定因素，为此应该选择合理的监管机制来平衡国家安全、商业利益与个人隐私三者之间的关系。通过对全球各国对跨境数据的监管机制选择，可以发现和美国的监管体制极具代表性，也可以发现他们都是从本国的现实需求出发的，从传统文化出发，选择适合本国发展的监管机制。欧盟：个人权利优先的规制体系欧盟因其历史传统文化而对隐私权的保护极为重视，他们认为隐私是人格尊严的一部分，个人数据是每个自然人所附带的，而每个人都是独立自主的，因而个人信息也应该由产生它的主体来进行掌握，这也正是哲学家康德的“人是目的本身”的观念体现。欧盟于1995年发布的《指令》采取个人隐私权优先于使用权的模式保护公民的权利，同时对数据跨境流动采取严格限制的态度，如果数据传输到境外，则该国家必然要达到欧盟认可的充分保护水平，而欧盟官方所承认的能够充分保护数据的国家仅有12个国家，这一规定确立了欧盟个人在跨境公司经营的社交平台与邮件通信时的隐私权保护规范。该《指令》曾被认为为全球跨境数据规则的构建提供了模板。但随着国家间商品贸易不断繁荣，这一指令严格限制了数据的流动，不适合贸易的开展，需要根据实际情况展开修改。正是由于《指令》难以适应全球发展潮流，为了应对新开发的技术功能特别是人脸识别、大数据库等采取更严格的标准保护个人数据，欧盟《通用数据保护条例》（GDPR）这一最新的立法成果。GDPR的适用范围得到了大幅度增加，根据最新发布的《GDPR域外适用指南》，个人数据转若想要转移到境外，则有如下几种方式，详见下图。图2GDPR数据传输路径图具体来讲，就是GDPR在其官方网站列出了欧盟认可的能提供充分保护的国家，明确允许数据在这些“白名单”国家，截至2020年，位于白名单的国家仅有13个[3]图2GDPR数据传输路径图欧盟采取的个人权利优先规制体系虽然体现出对个人权利的重视，但在一定程度与当前一体化进程相违背，有碍数字经济的发展。上述的“指令”“条例”对跨境数据流动的监管越来越严格，适用的地域范围也变得越来越大，这都充分体现出欧盟意图以法律法规形式来进一步提升区域数据保水平。（二）美国：商业利益优先的规制体系在数据日益重要的时代，拥有数据能预测发展形势，能够根据分析结果采取有效的应对策略。根据统计，美国大规模数据中心约占全球数据中心的45%。美国凭借着其在互联网、大数据技术方面的霸主地位，选择了商业利益优先的规制体系，通过各企业自觉遵守行业规章制度为主，对数据流动的限制较少。对比欧洲对待数据保护的态度，美国对个人信息保护持放任发展的态度，并认为过于严格的法律法规会限制本国数字企业的发展，依靠市场调节来平衡个人隐私和商业利益间的矛盾才是最具有针对性的措施。正是基于其数字大国的绝对话语权以及对数据流动带来经贸增长的依赖，美国积极推动数字经济的自由发展，提倡跨境数据的自由流动，采取的主要做法有以下两种：1.与欧盟签订双边协议，为本国开展经济贸易提供便利条件。美国并未达到欧盟的保护要求，两地间的数据流动并非自由，美国企业的海外贸易受到影响。为应对这一情况，美国寻找本国企业能够位列欧盟的白名单列表、数据能够自由流动的方法，而欧盟也有与美国开展经贸往来的意向，双方因为贸易的需求，美国商务部与欧盟委员会在协商之下签订了《美欧安全港协议》，协议为美国企业在欧洲开展贸易合作提供了便利[4]。但该协议并不能解决美欧双方在立法上的巨大差异，并在之后的斯诺登事件曝光后直接失效。在安全港协议失效一年内，《欧美隐私盾协议》又在双方的谈判下出台，对双方的个人数据保护进行了规范，为欧美企业开展贸易提供了依据[5]。2.依靠自身在亚太区域的影响力推广自身模式，构建与欧盟不同的规则体系。亚太经合组织在美国的主导之下制定了《隐私框架》，旨在“促进亚太地区电子商务”，要求成员国采取合理措施减少不必要的信息流动障碍，促进数据跨境流动畅通。美国还将跨境数据流动规则纳入自由贸易谈判协议之中，通过自身强大的综合国力在这些协议中推行适合自身发展的数据跨境规则[6]。2015年，美国提议制定的《跨太平洋战略经济伙伴关系协定》(TPP)中也加入了数据无壁垒流动的规定，该规定要求成员国除非为了实现本国特定的公共利益目的可以对数据流动设立障碍，其他情况下都要确保数据跨境流动的自由。可以看出，由美国主导的自由贸易协定规则都要求数据在各国除了本国安全以外都不能对数据流动进行限制，要求缔约国接受自由流动的条款。美国选择商业利益优先的数据规制体系与其独特的本土文化、科技实力和综合国力密不可分，该种选择只适合美国这样的数据强国发展，却不宜推广至国际社会，刻意推广此类规则方式是对其他数据主权国家的侵犯。三、我国治理数据跨境流动现有的监管机制虽然我国的互联网技术方面开始发展的时间比较晚，但是我国凭借网民基数大、网络数据样本多的优势迅速发展信息技术，面临着“弯道超车”的机遇，我国目前未出台有关数据跨境流动统一的法律，有关监管内容也是出现在各个法律法规之中，现有的监管规则呈现在以下两个方面：（一）初步构建跨境数据流动管理的法律法规框架近年来，我国在跨境数据流动层面取得了较多的立法成果，相关法律法规正在逐步出台。除了《网络安全法》第37条对数据跨境流动有相关描述外，我国的一些行业规范也对数据跨境流动做出了限制，详见下表：表1我国数据跨境流动法律法规表1我国数据跨境流动法律法规从《个人信息保护法（草案）》的规定中可以看出立法机关改变了以往“属地原则”的思路，制定了“属地原则”为主，还包含“属人原则”“保护原则”等[7]，该原则的制定拓宽了法律的适用范围，除了境内的信息流动以外，还包括境外的中国公民的数据流动信息，同时也规定了对损害中国公民、组织合法权益的，依法追究责任，极大拓宽了数据保护的范围，有利于维护本国数据流动的安全。从以上的各项规定中可以看出立法机关正在逐步完善相关法律。我国治理规则与国际治理规则的互动情况国际上，我国未参加《跨太平洋战略经济伙伴关系协定》，也不是欧盟官方承认的能提供“充分保护”的国家，总体上我国目前还处在完善国内法律法规的阶段，在数据跨境流动中的国际话语权较少，我国未能在国际社会上主张中国方案，我国跨境电子商务在行业规则上没有有利地位。但如前所述，我国的数字经济规模增长迅速，存在跨境数据产业发展的需求，同时我国已向东盟交存《区域全面经济伙伴关系协定》，该协定中的大部分国家都加入了美国主导的经济伙伴关系协定或者是APEC的跨境隐私保护规则体制，日本甚至已经成为欧盟认定的能提供“充分保护”的国家之一，在开展区域谈判的过程中对跨境数据流动的处理难免会参照现有规则的影响，甚至会直接应用当前国际规则。我国与国际规则间互动较少，只能成为规则的被动接受者，国际话语权严重受到限制。从实际来看，欧美之间签订的《隐私盾协议》在全球范围内起到了示范作用，我国与欧盟在数据跨境流动方面交流合作的机会不断增多，应当抓紧机遇制定与我国实际情况相适应的国际规则[8]。同时，我国应当对国际上各体系协定有关跨境数据流动的规则进行深入解读，在推动国内立法进程时可以适当的参考，也能够为之后我国开展国际交流合作时有国内法依据。总的来看，我国存在跨境电子经济发展的需求，在开展跨境贸易时未形成适合自身的稳定战略，需要从发达国家在开展跨境贸易中订立的协定中吸收经验，一步一步与国际规则实现接轨。四、我国现有跨境数据流动监管机制的缺陷我国虽然在推动跨境数据治理规则的构建，但对数据流动问题总体还不够重视，依旧是国内企业自行应对数据流动带来的各种问题。同时国内还存在着大量违法贩卖个人数据、违规收集用户数据、滥用用户数据以及数据保护不到位等现象，这些用户数据被国外组织拿到以后将会给境内用户带来巨大的人身和财产威胁。从我国现有的跨境数据流动监管规则来看，存在以下四个问题：（一）网络空间主权及国际规则制定的话语权受限欧盟、美国的发达经济体对待跨境数据流动的方式虽然截然不同，但其最终的目的都是增强自身在数字经济领域的影响力，在跨境自由流动圈内保持绝对的霸主地位。一旦各国间的数据自由流动促进经济大幅度增长，发达国家通过跨境数据形成经济圈，则可能通过霸权主义对经济圈外的国家进行排斥。我国与发达国家存在着发展需求的矛盾，尽管在《网络安全法》通过法条的形式确定了网络空间主权的概念，但是由于我国在互联网方面的关键技术和资源较为薄弱，难以和发达国家实现真正的地位平等[9]。尤其是当前我国与美国的贸易摩擦不断升级，美国很有可能凭借其数据强国的地位，将跨境数据流动作为切入口，出台针对中国的制裁措施，来压制中国在全球跨境数据治理体系中的地位。同时，我国参与的国际组织较少，没有加入APEC下的CBPR体系，也没有参与美国主导下的TPP多边经贸谈判，对于谈判中所涉及到的跨境数据流动条款基本没有任何的参与权，这严重限制了我国在经贸协议中的规则制定话语权（二）信息保护相关法规制度可操作性低，安全评估体系不完善如前所述，我国有关跨境数据传输的法律规范都在具体的行业规范中涉及到，但没有一部系统的完整的法律对跨境数据流动进行有效的监管，涉及电子产品的生产、数据的储存、商业秘密的保护等方面的规定也不明确。同时，我国保护个人信息的规定也存在于各行业规范之中，还未出台专门的法律规范，因此，我国未成为全球具有个人信息保护立法的国家和地区之一。我国现有的跨境数据流动立法除了缺乏系统化以外，可操作性也很低，《网络安全法》对信息的具体保护措施和保护的范围未进行有效规定，而能进行规定的主体只有国务院和国家网信部门，其他机关都无法进行规制，在后续过程中只有两者合作才能推进与网络安全法相匹配的一系列规定，其他部门对于跨境数据流动的问题都只能提出建议，并无决定权[10]。当前大型科技平台有采用“体系化”的思路运营各项业务，平台内包含设计、消费、号码等多样化信息，根据《网络安全法》的规定，对于跨境数据，开展贸易需求下，经相关监管机构安全评估后方可传输至境外，但该法并未对不同种类的数据出境的安全评估标准和程序进行明确的规定，安全评估体系未对各类数据进行具体的分级分类，数据类型的边界模糊，由于我国的评估体系落后于欧盟等发达国家，国内的评估标准也得不得到发达国家的认可，这限制了跨国电子贸易中数据的流动，阻碍了企业的发展。（三）“本土化”数据治理体系与贸易全球化趋势相背离我国采取“本土化”数据治理体系避免跨境数据产生国家主权隐患和个人信息泄露风险，但该政策与全球数据一体化的进程相背离，数字经济时代之下更加强调电子数据的融合和共享，过于强调对本国数据的控制权会减缓我国数据共享的步伐，导致本国与全球网络空间产生隔阂感，阻碍我国对外开放的步伐，境外企业也会因保守的政策而减少对我国的投资，对我国市场的评估产生误差。同时，该政策加剧了信息不对称的现象，国内的企业因为严格的数据流动政策而无法参加国家合作，消费者也无法享受到数字经济时代带来的红利。而且其他国家也会根据平等原则对我国采取同样严格的数据流动政策，欧盟根据数据统计后指出，境外对我国的直接投资会因本地化政策而下降1.8%，给经济发展带来一系列负面影响。我国的数字经济规模总量优势明显，拥有足够的能力引导数字经济发展，但“本土化”政策无法将我国的优势地位发挥作用，在疫情防控的背景之下也无法实现最大化的经济复苏。（四）跨境数据流动监管机构分散，缺乏统筹监管我国的跨境数据的监管机构分散，没有统一的监管机制，跨境数据覆盖面广，电信、经济、交通、公共事业等重要行业均存在数据的跨境流动，所涉及的行政部门众多，由于没有统一的监管，相关法规对数据管理存在不同的标准，在实践过程中容易出现矛盾。同时，各行各业只负责对其领域内的数据进行监管，很容易产生监管之间的竞争，发生多主体监管或监控空白等矛盾，比如在医疗方面，制药企业、智能程序、线上医药平台等都会收集人口健康数据并传输至境外，但其并不是法律上的医疗机构，故不属于《人口健康信息管理办法（试行）》的监管范围以内，在实践过程中这部分企业的数据跨境流动就很难得到有效的监管。国际上对跨境数据的监管也没有统一的标准，各国因为人文、历史、法律制度的不同，对跨境数据的态度也存在着很大的差异，监管的标准难以统一，但都是从国家利益出发制定规则，由于国家综合实力的不同，各国在数据跨境流动监管上的争执陆续产生。五、我国跨境数据流动监管机制的完善2020年我国的数据总量约占全球数据总量的21%，是全球数据处理大国，国内以阿里巴巴、腾讯、百度等为代表的大型数字公司已经打造出一个集数据存储与处理于一体的平台，提供跨境交流、跨境支付等功能，数据间的跨境流动必然会更加扩大我国的数据跨境需求，国内数字贸易必然会快速发展。同时，国际上部分国家对我国采取数据限制流动等单边主义措施，如美国、印度以微信涉嫌将其国内用户的个人信息未经本人许可传输至国内为由，禁止微信在美国、印度国内的使用，此类措施限制了我国数据跨境的自由流动。为此，在数据跨境流动的应对上，我国既要根据国内的治理需求制定一系列的法律法规来应对国际上其他国家对我国采取的封锁措施，也要完善制度体系来保障数字贸易的自由发展。数字经济时代下，全球各行各业互联互通、共享资源，网络空间中国与国之间的界限模糊化是不可逆转的趋势，中国作为全球最大的市场必然会引来大量的外国投资者来华开展电子贸易，外国电子企业会提前了解中国的法律法规，同时国内企业也可能受到外国规则的限制。目前国际并未达成共同的跨境数据流动治理共识，现有的规则主要以欧美发达国家主导，我国的跨境数据流动实践较少，因此，很有必要借鉴欧美政策中的精华部分，综合考虑国内的实际情况，制定适合本国发展的跨境数据流动规则：坚持网络空间主权并积极参与国际层面规则制定当前数据全球化已成为不可抵挡的趋势，我国作为一个发展中国家在国际规则制定上处于弱势地位，从全球各国对跨境数据的态度可以看出，尽管跨境数据流动能够带来商业利益，推动宏观经济发展，但大部分发达国家和发展中国家出于国家安全的考虑还是对其进行了限制，因此，国家利益至上是各主权国家的共识，我国应当以自身的发展利益为核心，进一步提高国际话语权，力图与发达国家的利益平等。国家主权平等原则是最基本的原则，我国在发展数字经济的过程中要把握好国家安全底线，坚持网络空间主权，对于涉及国家安全的数据严格限制出境，并要求此类数据要在国内的数据中心进行存储和利用，国家安全审查机构要严格审查包含国家秘密的数据并加强对国外投资企业的资格审查和管理，保证国家的安全。目前全球的跨境数据规则还未统一，欧美为首的发达国家力图取得数据跨境流动的绝对控制权，建立符合他们利益的规则，在达成国际共识前，我国积极参加规则的讨论和制定，提早做好部署准备。我国一方面可以积极参加国际平台的研究，提出中国方案，另一方面可以借助亚太自由贸易区、亚太经济合作组织等区域开展谈判，从本国的实际发展情况和监管能力出发，维护本国的利益，建立符合中国利益的区域数据流动规则，并逐步推进规则适用于全球。同时，我国应采取差异化对待，部分竞争力强的中国互联网企业在跨境商务中需要宽松的数据流动政策，中国政府在制定政策过程中应当给予强势企业部分优惠，帮助企业拓展海外业务，为国内企业更好地占领国外市场提供保障。此外，我国可以寻求利益共同体，组成统一战线，建立符合自身发展的跨境数据流动机制，对欧美等发达国家提出的不平等方案进行反驳和改正，增强发展中国家在跨境数据流动领域的影响力。（二）完善个人保护立法，平衡个人信息保护与跨境数据流动的关系无论是从国内法律建设的角度出发还是从国际发展的视角出发，完善个人信息保护立法，处理好个人信息保护与数据跨境流动两者之间的关系都是大势所趋，我国目前并未制定专门的法律来保护个人隐私，个缺乏针对性的个人隐私保护法律。因此，我国要尽快出台个人信息保护法，确定法律所保护的范围，对涉及隐私的数据跨境流动进行单独规定，平衡好个人信息保护与数据流动二者间关系[11]。同时国家网信部门与国务院应当加强合作，加快出台与《网络安全法》相接轨的规章制度，对数据进行分类管理，出台数据分级分类、机构监管等规定，明确数据分类的标准。对不同种类的数据采取独特的流动政策，对于涉及公共利益的数据严格禁止跨境流动；对普通的公民个人信息，则采取相对宽松的数据流动政策，满足一定的安全要求即可流动，同时采用问责制、合同订立等形式进行管理，对违规泄露个人信息的企业平台采取一定的惩罚措施。国家依法对不同利益诉求的数据流动采取规范和约束，根据数据的实际情况进行限制，减少规则对经济发展产生的负面影响，做到保护好个人信息的同时最大限度促进数据流动。此外，我国应加强数据安全的技术建设，完善关于跨境数据的安全评估系统，对数据进行种类认定、备份审查、交易风险研判、数据脱敏等一系列手段保障数据流动的安全、有序、合法。对于数据非法出境的情况，网信部门应强化数据安全的技术手段，限制、制止数据非法流动，采用数据加密的方式从源头做好个人信息和重要数据保护的工作。后续管理中，监管部门要定时展开系统的测试、评价，根据评价结果及时调整。（三）确立个人信息保护与经济贸易发展并重的立法原则个人信息保护与商业贸易发展两者间存在着辩证法上的关系，从短期效益看，加强个人信息的保护会增加企业用于跨境贸易的开销，阻碍数据的流动，限制跨境企业拓宽市场。但从长远的角度来看，适当提高对个人信息保护的力度将提高各国公民的安全感，从而在一定程度上提高公民的消费能力，促进网上购物等电子产业的规模化增长，提高数字经济的规模总量。因此，我国在数据跨境流动规则制定上既要考虑到商业效益，也要兼顾考虑个人隐私的保护，在二者间寻求平衡，确立二者并重的原则。从当前的形势看，互联网、数据库等新兴技术的发展需要政策的扶持，宽松的管理方式是有必要的，在具体操作过程中需要管理者根据实际情况不断改变限制的程度。在“网络强国”的既定目标之下，我国与其他国家开展经济贸易合作是不可避免的，我国一方面不断推进个人信息保护立法进程，另一方面也应当改变数据本地化的单一政策，发挥自身数字经济领先地位的优势，借鉴美国的做法，虽然未被欧盟承认为“充分保护国家”，但通过签订“安全港协议”和“隐私盾协议”突破欧盟保护条例的限制，开拓欧洲市场，推动经济发展。（四）完善跨境数据流动制度体系，构建统一监管体系当前《民法典》已生效，有关跨境数据安全的法律草案已经出台，各地地方政府、行业管理部门应当根据立法者的思路，从基层实际情况出发，以解决数据跨境流动中出现的各种问题为导向。同时，在实际的操作过程之中，对于一些能够推动数据安全流动的举措政府部门应当加强推广，及时上报国家网信部门，提出相应的建议，不断改进跨境数据流动的制度体系，保障立法的灵活性。在执行过程中，数据主管部门应严格依照法律对跨境数据采取监管措施，通过高度的法律执行力来促使企业在开展国际贸易过程中注重对国家安全和个人隐私的保护，降低数据流动的风险。面对监管机构协同性差的问题，我国应构建责任主体明确、分工明确、有层次感的监管体系，提高监管部门间的协调性。首先是对跨境数据流动进行统一管理，成立一个跨部门的独立的监管机构，国家网信部门会同邮政、新能源、互联网、基础设施等行业的监管机构，形成合力，将各行业内的关键数据用相同的标准进行研判，各部门定期开展情况汇报，对本行业的风险处置、监管漏洞等事件进行交流沟通。其次是加强与国际数据监管机构的理论交流，各国间的数据保护标准存在差异，通过与其他国家数据监管机构的沟通，能够使我国的数据要求与国际的要求相一致，提高我国监管机构的国际化水平。同时我国也可以加强与“一带一路”沿线国家、亚太经合组织、上海合作组织的多边合作，构建区域性监管组织，达成区域内的数据保护水平对等、数据跨境流动治理能力对等。（五）建立数据分类审核监管制度从全球各国对数据监管采取的方式来看，分类监管是大部分国家所采取的方式，但日本、澳大利亚等国家采取极其精细的规则对数据进行分类，采取复杂的操作方式，这显然是不符合我国的现状，我国应从当前国情出发，精确定位，对数据进行合理的分类。《网络安全法》虽然说明网络运营者按照安全保护等级制度采用数据分类的措施，但个人隐私和关键信息的界限模糊、数据跨境传输的评估细则未出台，立法者基于国家安全的目的对数据跨境采取了限制措施，该制度难以适应当前的形势。跨境数据根据不同的价值衡量标准，从跨境数据的三大治理难点出发，可以将数据分为个人数据、商业数据、特种行业数据，对各种数据采取差异化的监管标准和审核要求[12]。1.个人数据。个人数据是全球各国所关注的重点，其被定义为是人类个体的所有信息，包括个人的姓名、身份信息、地址等。以个人数据的重要程度为标准，可以将个人数据分为一般个人数据、敏感个人数据和关键个人数据，一般个人数据如姓名、身高、体重等和敏感个人数据如地址、身份证号码、财产信息等，允许跨境流动，但流动前需要经过主体的同意，或者数据传输到达地与本国的保护程度相同；但对于与个人密切相关的关键数据，原则上在本国的数据中心内流动，非必要不允许流往境外，因为个人的关键数据信息会涉及国家利益，应禁止离境。2.商业数据。商业数据是产业在生产链上的各种数据总和，这类数据有一定参考价值，其能呈现出一个企业的兴衰，还能展望产业的成长趋势，为产业之后的研发、营销重心、管理等提供可靠的数据支撑。大量商业数据集合后就会形成商业数据平台，有了数据的支撑，就能够进行比较得出最优发展模式。国有产业数据流入其他国家，可能侵害到一家的公共利益，因此数据主体在向第三方转移商业数据时要开展自查，监管部门对商业数据进行必要的审核。3．特种行业数据。对于行业数据，世界各国出于国家安全和公共利益的考虑采取了谨慎的态度，我国可以借鉴国外的做法，对特定行业加强安全评估，关键行业的数据根据具体的行业准则实施严格的限制要求，原则上不允许跨境流动，针对石油、电力、水利等关键行业的数据应谨慎对待，严格审核，避免关键数据泄露带来的国家安全风险。数据的多