对我国跨境数据流动法律规则的分析及建议

何柳

摘要：互联网技术的发展使得数据成为一项十分重要的财富，大数据影响着社会生活的方方面面，尤其是在贸易领域。通过数据的快速流动，自由贸易变得更加便捷，全球的经济迈向了新阶段。但是跨境数据流动也面临着与国家网络安全、公民个人隐私的冲突。《网络安全法》中也制定关于跨境数据流动的相关条款，但对于限制跨境流动的重要数据以及关键信息基础设施等概念没有明确的定义，个人信息的保护也不够完善。因此，我国在对跨境数据流动进行法律规制时，应对数据进行分类处理，明确禁止流动、限制流动和自由流动的数据类型;其次在制定国内立法的同时，要与现有的国际规则充分协调;最后要在双边多边的国际条约谈判中，重视跨境数据流动的规则的谈判，提升我国在网络空间的国际治理中国的话语权。

关键词：跨境数据流动;网络安全法;网络空间治理

随着数字时代的到来，全球贸易得到了迅速发展，大数据时代为贸易的自由化提供了更便捷的平臺，跨境的数据流动成为常态。一方面，跨境数据流动的频繁性、高效性为数字经济的发展奠定了基础;另一方面，流动的数据对国家安全、网络安全和个人隐私造成的影响不容忽视。许多国家和地区也意识到数据对国家的政治、经济及文化等方面的重要影响，制定了相关的法律法规以规制跨境数据流动。但是由于各国的制度不尽相同，在全球范围内跨境数据流动究竟应该遵照一个怎么的规则进行良好运行目前并没有达成共识，跨境数据流动的全球机制还处于空白。我国也意识到跨境的数据流动不能是完全处于自由的状态，在新出台的《网络安全法》中也对数据跨境作出了相关规定，但依旧存在一些关键概念定义不明确等问题。本文拟从跨境数据流动的法律规制与现实困境人手，分析我国的《网络安全法》中相关规定以及存在的问题，从而对完善我国跨境数据流动的法律规定提出建议。

一、跨境数据流动的规制与困境

（1）跨境数据流动的重要性与必要性

大数据时代，数据即是一种财富。然而，静态的数据拥有并不能产生人们所期待的效益，唯有在交易流动中方能凸显数据在现代经济生活中的作用并促其效益最大化。不管是传统的国际贸易还是新兴的电子商务都因为便捷的数据流动而产生更多的价值。发达的信息技术也为很多传统行业带来了革新，比如云计算、大数据技术的出现，为传统行业的数据也逐步走向电子化提供了便利，数据的传输更加JI央捷。

金融危机后，全球的贸易增速放缓，但与此同时数字贸易却快速增长。自2005年以来，使用的跨境带宽量增长了45倍，由于信息，搜索，通信，视频，交易和公司内部流量的流量继续激增，预计未来五年内将增加9倍。目前，全球化已经成为世界发展的一个大趋势，其中经济全球化是最显著的特征，支撑经济全球化发展的最为重要的因素就在于数据的世界各国及地区的快速流动，形成数据网络，为各主体之间的信息交换提供了一个广阔的平台。

不难看出，数据的跨境流动在信息时代是一个大趋势，这种交流也是基于全球化的深入而逐步推进的，并将在以后深刻影响全球各国家及地区的互融互通。以跨国公司为例，跨国公司通过收集、整合、分析从其位于不同国家及地区的子公司的相关数据，可以实现其资本的优良配置。各子公司之间以及其与其他公司或者个人甚至国家之间也依托于互联网进行高效的商业往来，为跨国公司带来了巨大的经济效益。因此，数据的跨境流动对于全球的发展是一个强大的助推力，各国也搭乘互联网的便车使经济发展迈人一个新的阶段。

（2）跨境数据流动对国家安全的影响

跨境数据流动关系着网络安全，而网络空间的稳定和谐也影响着国家整体的和平稳定。数据作为一种新的生产要素，给经济发展带来机遇的同时，也带来了挑战。一个国家的稳定与网络环境是否安全息息相关，“棱镜门，监控事件的曝光，显示出国家政府机构一直是网络攻击的重灾区。比如，2013年韩国金融机构遭遇大规模高级持续性威胁攻击，2015年乌克兰电网系统遭“Black Energy（黑暗力量）”攻击。这些事件表明，正是由于跨境数据流动的管理海存在漏洞，使得境外的个人或是组织能够对国家机构的网络系统进行攻击，对网络安全造成严重的威胁，对整个国家的正常运行产生巨大的阻碍。

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。而这些行业与人们的正常生活密不可分，一旦出现安全问题，整个社会的运转都会停滞，整个国家都会陷入阴影之中。一些掌握国家经济命脉的行业的数据信息一旦遭到攻击被泄露，可能对整个国家的经济产生致命的打击。

所以，网络安全关乎国家命运，这种非传统因素的威胁比传统的威胁更具破坏力。重视网络安全，严守国家网络空间，是国家治理应该面向的新方向。

（3）跨境数据流动对个人隐私的影响

互联网把世界变成了一个整体，地理上的物理界限变得模糊。人们通过网络经营者提供的在线服务进行各种活动，但与此同时，人们上传的各类私人注册信息由企业收集并基于一些经济目的储存在企业的网络端，这时候如果企业遭受到网络攻击，个人隐私信息就会完全泄露。另一方面，企业对收集到的个人信息如果滥用也会对人们产生诸多负面影响。个人信息在开放的互联网之下，如果没有完备的管理制度，那么个人的隐私就处于随时可能暴露的状况，对正常的生活造成不良的影响。比如，来自境外的不法分子，通过攻击处于网站防护比较低的一些境内网站，或是在跨国的数据传输中截获到这些数据，其中就包括个人信息，如姓名、电话号码及家庭地址等，从而将这些包含隐私的个人信息出售给其他不法分子，实施电信诈骗、网络诈骗等犯罪活动，给很多人造成巨大的经济损失。

另外，很多境内企业出于经济利益的考量，将服务器设立在境外，那么企业在经营中所收集到的相关私人信息，在数据的传输中，无疑是面临很多风险。

（4）跨境数据流动规制的国际规则的困境

在意识到跨境数据流动的风险后，许多国家出台了相关规定限制跨境的数据流动。在跨境数据的规制中，欧盟和美国有两种不同的规制体系。欧盟一向认为，个人信息上的权利是基本人权，必须通过立法予以确认和给予相当的保护。而美国的立场与欧盟则是截然不同的。美国政府的立场是，反对个人信息之上的权利作为基本人权对待，也反对立法规范个人信息处理行为。欧盟对待用户的个人隐私信息保护方面一直是采取严格的态度，从1981年的“公约”到1995年的指令再到最近的2016年的《一般数据保护条例》，对个人隐私的保护越加严密。而美国在规制跨境数据流动上，更多的是出于经济目的的考量，认为不应该对跨境数据流动进行阻碍，要保证数据的跨境自由流动。尽管明显与目前限制数据跨境流动的趋势相悖，但美国依靠其强大的经济地位，在很多谈判中比如TPP，将保证数据跨境流动的自由作为条件，进而将这种数据跨境流动的体系推行。

在全球化、网络化条件下，单靠一个国家实现网络空间的有效治理是不可能的，它客观上要求国际社会在网络空间全球治理方面采取合作行为，将网络空间视为人类共生共在的空间，世界各国应建立一个统一联动的网络空间全球治理机制和合作框架。可以看到，由于经济发展水平的不平衡，各国的信息技术发展水平也参差不齐，对数据的管理也会受到现实技术的制约而无法达到同一水平。因此各国保护的力度不同，相应的对跨境数据流动的规制也有很大区别。这也是目前跨境数据流动规制的一个困境，即尚未在全球范围内建立起统一的标准，而各国出于对自身经济发展、公共利益的考量都有对跨境数据流动有自己的标准，因此在一定程度上会造成各国之间数据流动的阻碍。

二、《网络安全法》对跨境数据流动的规制及问题

我国在2016年颁布的《网络安全法》是顺应时代的一部法律，在信息时代，这部法律符合了我国维护网络空间的国家安全，保护公共利益的价值追求，在其中也规定了有关数据跨境流动的制度。这款条文可以看做是我国对数据跨境流动的规制的一个新尝试，但其中还存在一些问题。

（1）关键概念模糊不清

在《网络安全法》第三章第二节里是关于关键信息基础设施的运行安全的相关规定，之所以在这一节有限制数据跨境流动的规定，主要原因在于，有关于通信、能源、电力、交通、水利等行业也在发展中顺应了时代的需要逐渐实现了数据电子化，那么这些行业一旦因为网络安全得不到保障而瘫痪，那么对整个社会的正常运转都会造成不可估计的损失。因此对关键基础设施运营中收集的个人信息和重要数据提出了数据本地化的要求，对其的跨境流动也作出了限制。但是对于其中应当本地化的重要数据和个人信息并没有进一步明确规定，因此在实际操作中可能会存在诸多问题。另外则是在关键信息基础设施运营者在采购网络产品和服务的，可能影响国家安全的，应当接受审查。这里也对一些提供网络产品和服务的境外经营者提出了很高的要求，因为对影响国家安全的定义比较模糊，境外经营者可能面临一些不必要的审查。

最重要的则是关键信息基础设施的范围中包括了提供云计算、大数据服务的单位。这可能会对许多提供新技术数据服务的网络商產生影响，如果要求他们采取数据本地化的措施，第一是本地存储的要求会使他们的经营条件增加，从而增加经营成本;第二是经安全识衬占方可跨境传输的要求会使他们的日常经营活动受到影响。

（2）数据本地化与跨境数据流动的冲突

因为出于对国家安全和公共利益及个人隐私的考虑，越来越多的国家在“棱镜门”事件后加快了数据本地化的相关立法，这与数据跨境流动的自由性产生不可避免的矛盾。尤其是美国在WTO谈判中一直积极推行其跨境数据流动自由化的主张，认为数据跨境流动不应该造成贸易壁垒。不仅如此，在奥巴马当政时期极力推动的TPP（跨太平洋伙伴关系协定）中关于跨境数据流动的促进目的更为明显，为了高要求的服务贸易自由化，确保信息和数据全球自由化流动。在数字贸易越来越发达的今天，跨境数据流动是促进贸易的重要条件，便捷的数据流动带来了更高的工作效率，而数据本地化的要求在一定程度上阻碍了这种流动。因此对跨境数据流动合理规制，既维护国家利益、社会公共利益及个人隐私又能使数字贸易健康持续发展是立法的价值所在。

三、完善我国跨境数据流动法律规制的建议

数据跨境流动是数字经济时代中最为典型的一种形式，数据流动产生经济价值，但从前文的分析可以看到，在数据的跨境流动中也隐藏着现实的安全问题，维护我国网络空间的安全是维护国家利益的必然使命，因此我国的网络安全法尽管对数据的跨境流动作出了相关的规定，但并未完全解决数据在跨境时产生的问题。那么对跨境数据流动如何合理规制是一个亟待解决的课题。

（1）对数据实行分类管理制度

首先，应当对数据进行分类管理。从国外的现实经验来看，对数据进行分类管理可以避免数据在跨境流动时的监管缺失。有关于国家安全和社会公共利益的数据，特别是与民众生活密切相关的关键信息基础设施所产生的数据应当严格禁止其跨境流动;而关于一般企业所产生的数据，应该由专门的风险部门进行审查，如果其传输至境外某地不会使数据处于低于国内保护标准的状况下，则可以允许其进行跨境流动;而个人数据的跨境流动，则应该得到同意后方可进行传输。

（2）在国际规则里寻求跨境数据流动的平衡点

其次是在现有的国际规则中，积极寻求国内立法与国际规则协调。目前最有影响力的国际规则是WTO规则体系，而与跨境数据流动最为密切相关的则是促进自由贸易与维护网络安全的之间的协调，由于在全球范围内的数据跨境流动规则并不统一，在尚未建成一致规范以前，各国应主动寻求在WTO规则框架下跨境数据流动规则的合法性。从WTO规则的设立的促进自由贸易的宗旨来看，数据的自由流动是必要条件，但从现实的发展来看，合理限制数据流动是保证国家安全社会稳定的必由之路。因此在目前的状况下，如何达到二者的平衡，笔者认为从对WTO规则中的例外条款的解释来协调国内维护网络安全的立法是可行的。

（3）在国际合作中积极参与相关规则的制定

最后，是在国际合作中积极参与或主导关于跨境数据流动规则的制定。在数据跨境流动领域尚未形成全球性的主导性的规则时，我国应当把握主动权。在这个统一规则尚未形成的窗口期，我国需要对跨境数据流动的全球规则做前瞻性思考，提早部署研究，争取做国际规则制定的构建者，而不应成为规则的被动接受者。我国在双边或多边的合作中将数据跨境流动作为重要议题进行谈判，就双方的跨境数据流动管理模式交换意见，在谈判中推进全球网络空间治理的新局面。网络空间的国际治理是全球治理的新兴领域，我国作为发展中的大国，应当把握机遇，为全球网络治理出谋划策，贡献中国力量。

参考文献

[1]金善明.跨境数据流动法律风险防范与规制[J].中国对外贸易，2016（6）：36-37.

[2]齐爱民.拯救信息社会中的人格：个人信息保护法总论[M].北京北京大学出版社，2009年：173.

[3]同上

[4]李传军.论网络空间全球治理中的国际合作[J].广东行政学院学报.2017（5）：1-6.

[5]许多奇一个人数据跨境流动规制的国际格局及中国应对[J].法学论坛.2018（3）：130-137.

（1）https：//www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows.

（2）《習近平在网络安全和信息化工作座谈会上的讲话》，http：//www.xinhuanet.com//politics/2016-04/25/c-1118731175.htm，访问时间：2018年10月29日。

（3）《中华人民共和国网络安全法》第37条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的，依照其规定。

（4）《关键信息基础设施安全保护条例》（征求意见稿）第十八条下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位。