欧美跨境数据流动合作的演进历程、分歧溯源与未来展望*

张倩雯 张文艺

(西南交通大学 成都 611730)

近年来，技术的进步变革了数据收集和共享的方式，提高了生产力和经济效益。数据已成为世界各国新的重要经济增长级，促进了以数据驱动为核心的新型贸易发展。伴随云服务的出现，一国的数据越来越频繁地在另一国家存储、处理和分析，建立在跨境数据流动基础之上的数字经济正蓬勃发展。跨境数据流动因而被称为促进商业的“21世纪全球化标志”和“将全球经济联系的结缔组织”[1]。2018年5月，正式生效的欧盟《通用数据保护条例》(GDPR)，取代了此前的《数据保护指令》。欧盟法院根据GDPR裁定欧盟与美国的隐私盾协议失效，引发了关于跨境数据流动自由与限制的分歧。本文以欧盟与美国的个人跨境数据流动规则为研究对象，基于欧盟法院宣告安全港原则和隐私盾协议失效的两个判例，厘清欧美跨境数据流动合作从安全港原则到隐私盾协议的演进历程，深度溯源欧盟和美国对于跨境数据流动规制的分歧，展望后Schrems II时代下欧美跨境数据流动的合作前景。本文通过分析隐私盾协议失效对全球跨境数据流动规则的影响，提出我国的应对策略，以期为中国引领全球数字贸易规则制定提供借鉴。

1 欧美跨境数据流动合作的演进历程

1.1 安全港原则的建立与失效

《数据保护指令》规定，欧盟与第三国进行跨境数据流动的商业活动时，第三国必须提供基本等同于欧盟立法的充分的数据隐私保护。为了满足该“充分性”要求，避免美国企业在与欧盟的业务往来中受到阻碍，促进美国与欧盟之间的经贸往来，美国与欧盟经过长时间谈判，最终于2000年7月正式建立了作为安全保障机制的安全港原则。然而，数据传输的指数级增长和备受关注的数据安全漏洞，如爱德华·斯诺登对“棱镜”计划的揭露使欧盟对美国个人数据保护水平产生信任危机。

美国国家安全局对电子通信相关数据的广泛访问不仅引发了欧盟对美国立法或实践能否充分保护个人数据的普遍质疑，也成为爱尔兰公民Schrems提起诉讼的直接原因之一。2015年，欧盟法院针对“Schrems诉数据保护专员关于个人隐私在跨境数据流动中遭受侵犯案”(以下简称“Schrems I案”)，作出了一项里程碑式的判决，即欧盟法院裁定安全港原则不再能够提供“充分性”的保护[2]。

Schrems I案是继“爱尔兰数字版权”案、“谷歌西班牙诉AEPD”案之后的第3个强调隐私和个人数据需要受到高水平保护的欧盟法院案例，也是欧盟与美国关于跨境数据流动与隐私保护分歧的开端。考虑到在判决作出之时，已有5000多家美国公司依靠“自我认证”制度来确保在欧盟和美国之间传输个人数据，安全港原则的失效将使这些公司失去保护屏障，面临跨大西洋数据流动机制重构的困境。此外，欧盟与美国之间的信任危机已经出现。爱德华·斯诺登揭秘事件使双方过去赖以维系的数据安全互信共识出现裂痕，而安全港原则的失效加剧了欧盟对美国的不信任感。安全港原则的失效可以被视为“布鲁塞尔效应”的一次间接例证，否决欧盟与美国跨境数据流动的安全港原则可能导致美国采取更接近“欧盟模式”的标准[3]。

1.2 隐私盾协议的达成与失效

为了确保跨大西洋数据流动的高效、经济和安全，安全港原则失效以后，欧盟数据保护机构的工作组呼吁欧盟“与美国当局展开讨论，以找到政治、法律和技术解决方案”，从而能够向美国传输“尊重基本权利”的数据。经过双方多次谈判，2016年2月，欧盟委员会和美国商务部宣布就“跨大西洋数据流动的新框架：欧盟—美国隐私盾”达成协议，并改进了安全港原则存在的不足，包括通过引入监察员制度来确保独立监督等。然而，基于对美国国内的隐私法律和情报活动的审视，隐私盾协议在解决欧盟个人隐私和数据保护问题上能否经受住未来可能向欧盟法院提出的法律挑战仍然具有不确定性。

2016年5月，基于安全港原则失效后Schrems对Facebook适用标准合同条款传输个人数据的有效性问题提出申诉，数据保护专员形成了调查报告并向法院提起诉讼，继而引发了对隐私盾协议所确保的保护是否充分的审查(以下简称“Schrems Ⅱ案”)。2020年7月，欧盟法院再次裁定隐私盾协议失效。隐私盾协议有效的关键在于第三国“应确保有效的独立数据保护监督，并应当规定与成员国数据保护机构的合作机制”，并且“应当向数据主体提供有效和可执行的权利以及有效的行政和司法补救”。欧盟法院认为，针对美国《外国情报监视法》第702条、《12333号行政命令》以及《总统政策指令28》，美国国家安全机构访问和使用从欧盟传输至美国的个人数据时，监察员受限于国务院，无权独立约束美国情报部门，数据主体在美国无法获得有效司法保障。同时根据《欧盟基本权利宪章》第52(1)条“相称性”原则的要求，美国国内法律对各种国家安全机构获取个人数据的保护，没有以欧盟法律所要求的方式和程度加以限制，创造出基本相当于欧盟法律所要求的保护情况。因此，由于美国缺乏对个人数据保护的有效监督和约束，隐私盾协议失去其效力[4]。

从安全港原则失效到隐私盾协议失效，欧美跨境数据流动双边合作协议两次遭到欧盟法院的否定。一方面，欧盟进一步巩固了其关于跨境数据流动规制和隐私权保护的立场；另一方面，欧美跨境数据流动合作背后暗含着双方深刻的分歧和矛盾。Schrems Ⅱ案将产生广泛而深远的影响。隐私盾协议失效或许是实现欧盟“技术主权”之路的一个重要节点[5]，也是推动美国国内隐私立法改革的重要力量，同时也为中国参与全球跨境数据流动规制提供了参考。

2 欧美跨境数据流动合作的分歧溯源

2.1 技术能力差异

在新一轮“数字革命”较量中，美国凭借其强大的数字技术能力暂时领先欧盟。美国拥有包括亚马逊、苹果，谷歌、Facebook和微软等全球互联网科技巨头公司。这些科技巨头是技术创新和产品研发的重要力量，主导着“数字革命”的未来走向，掌握着经济发展和社会变革的关键技术。硅谷的成功离不开企业与政府的通力合作。为保障其互联网科技公司的高速发展，自里根政府时期以来，美国基于其国家地位和发展需要，始终秉持着跨境数据自由流动的立场，反对数字保护主义[6]，坚定地推行一系列诸如《全球电子商务框架》和《两党贸易优先权和责任法》的政策，以实现和维护其国家利益[7]。数字全球化进一步增强了美国互联网科技公司的技术能力。

相比美国，欧盟境内国际知名互联网科技公司较少，市场竞争力较弱。欧盟长期依赖美国互联网科技公司，不仅压缩了欧盟本土数字企业的发展空间，削弱了技术创新的能力，还增加了欧盟公民个人数据和隐私泄露的风险。为了改变当前数字技术国际格局，欧盟将个人数据保护置于首要地位，严格地限制个人数据的跨境自由流动，增加了外国企业进入欧盟市场的合规成本。欧盟以“数字单一市场”作为“技术主权”和全球经济影响力的基础保障；计划培育一批科技创新企业，扩大数字治理的“欧盟模式”在全球的适用和认可范围；将欧盟打造为未来最具吸引力的技术创新发展地之一。

由此可见，美国强大的技术能力需要通过全球范围内的大规模跨境数据流动来巩固和提升。然而由于欧盟的技术能力相对较弱，市场竞争优势不明显，欧盟更加重视对个人数据和隐私的保护，采取措施限制美国互联网科技公司进入欧盟市场，遂导致欧盟与美国之间就数据监管、传输和保护等议题存在分歧。

2.2 价值主张分歧

价值主张分歧是欧盟法院先后判决安全港原则和隐私盾协议无效的根本原因。具体而言，是欧盟主张的“技术主权”与美国实施的“监控资本主义”之间的冲突。谷歌、Facebook等大型互联网科技公司的商业运营模式被称为“监控资本主义”[8]。该模式与传统企业经营收益方式显著不同，即在大范围乃至全球范围内收集、处理和共享数据，再以大数据为生产要素，单方面监控、预测和改变人们的生产、消费行为，最终产生利润和获得市场。“监控资本主义”触及消费者生活的方方面面，然而由于信息了解的不对称，消费者对互联网科技公司如何收集加工海量数据的过程却并不知情。“监控资本主义”的不公开和不透明极易侵犯消费者的隐私，这导致数据主体和政府对隐私保护、数据安全的信任度持续走低[9]。

面对美国在数字经济领域全方位领先的形势以及“监控资本主义”的马太效应[10]，2020年2月，欧盟通过发布《塑造欧洲的数字未来》《人工智能白皮书》和《欧洲数据战略》，从共识凝聚、技术创新和战略布局3个维度筹谋了其数字经济未来的发展方向，以期夺回“技术主权”。有学者从基础设施和工具、标准和法律规则，以及价值观和社会模式3个层面分析欧盟“技术主权”的实质内涵[11]，笔者认为其中价值理念是实现“技术主权”的根本前提，制度安排是关键路径，基础设施建设是重要抓手。

“技术主权”与“监控资本主义”冲突的背后是全球数字经济的一体化性质与主权国家对安全和国内法治负有责任之间的结构性矛盾[12]，这也是欧美跨境数据流动分歧的根源。仅在2017-2019年，欧盟就对谷歌公司进行了3次反垄断调查，处以了总计95亿美元的罚款。亚马逊公司也分别被德国、奥地利等欧盟成员国的反垄断监管机构和欧盟委员会调查。在隐私盾协议失效一年之后，2021年Schrems向欧盟法院第3次起诉 Facebook(以下简称“Schrems Ⅲ案”)。Schrems Ⅲ案使近年来在境外频繁遭受审查和巨额处罚的谷歌、亚马逊等科技巨头的处境雪上加霜。

2.3 法律文化冲突

隐私盾协议无效还反映了欧美深刻的文化分歧，再次印证了跨大西洋数据流动机制自始潜在的不稳定性，揭示了欧盟和美国在数据保护、国家安全以及隐私保护问题上长期存在的分歧。欧盟的隐私观念源于确保每一个人的“尊严”，而美国的文化价值则源于对“自由”的追求[13]。特别是由于经历了两次世界大战等历史原因，欧盟高度重视对人权及其它基本权利的保护，这充分体现在欧盟颁布的一系列法律文件中。欧盟实行严格且全面的个人隐私和数据保护规则，强调数据主体有权控制和监督个人数据。相反，美国基于自由市场经济则坚持倡导企业自我监管。美国企业实体的强大市场地位使欧盟无法推动美国进行全面的监管改革，而美国倡导的自我监管模式也没有为欧盟所实质接受。

3 后Schrems II时代下欧美跨境数据流动的合作展望

3.1 欧美跨境数据流动合作意愿

虽然现实中欧盟与美国在跨境数据流动合作中遇到困难，但二者在经贸领域的深度依存关系决定未来双方的合作意愿仍应强烈。欧盟与美国是重要的数字经济合作伙伴。一方面，美国是欧盟最大的贸易投资伙伴。另一方面，跨北大西洋海域即欧盟与美国之间铺设的海底电缆密度最大，而海底电缆的投资者多为其使用者，如亚马逊、谷歌、Facebook等美国科技巨头。跨大西洋数据流动有助于欧盟成员国和企业利用数据和数字工具提高生产力和创新能力，提升国际竞争力。虽然欧美现阶段就跨境数据流动规则存在较大分歧，但鉴于欧盟与美国间经贸合作频繁，且一国的跨境数据流动规则与外商投资保护密切相关[14]，欧盟与美国未来很可能仍然会寻求通过谈判达成新的共识。鉴于维护国家安全、公共利益和个人隐私可能成为国家规制跨境数据流动的合法理由[15]，在未来的谈判中，欧美对于跨境数据流动达成合意的关键在于协调经济发展与隐私保护、安全维护的关系。2021年6月，《欧美峰会联合声明》提出“共同努力确保安全、稳定和可信赖地保护消费者，加强隐私保护，同时维持跨大西洋商业的跨境数据流动”，这或许是双方合作意愿的信号。

3.2 欧美跨境数据流动合作路径

a.重构跨大西洋数据隐私框架。欧美合作意愿仍然强烈。2022年3月25日，欧盟委员会与美国发布《跨大西洋数据隐私框架联合声明》。这意味着在隐私盾协议失效一年多以后，欧美原则上再次达成关于构建跨大西洋数据隐私框架的合作，并着力解决Schrems Ⅱ案所导致的国家监视、隐私保护和权利救济等问题。美国在该框架中作出前所未有的改革承诺，将建立一套新的约束保障措施和规则对美国情报机构获取欧盟公民数据予以限制，确保情报监视活动符合国家安全目标的必要性和相称性。为了弥补个人司法救济的不足，美国将建立包括“数据保护审查法院”在内的独立的两级救济机制，帮助调查和解决欧盟公民对美国情报机构获取其数据的申诉[16]。

新的数据隐私框架将为跨大西洋数据流动提供长期和可信赖的法律基础，在充分保护公民基本权利的同时，促进数据自由、安全地跨境流动，推动形成竞争与包容的数字经济。但是鉴于安全港原则和隐私盾协议先后两次失效，新的跨大西洋数据隐私框架仍然面临不确定性，欧美很可能会在此基础上继续考虑其它跨境数据流动合作路径。

b.使用标准合同条款。Schrems Ⅱ案确认了可采用标准合同条款继续向美国传输欧盟数据，这也是目前欧美开展跨境数据流动合作合法有效、具有互操作性的方式。GDPR第46条规定标准合同条款和具有约束力公司规则是传输个人数据至第三国的适当保障措施。具有约束力公司规则是一套严格的内部约束规则，被称为数据保护的“黄金标准”，但其对于企业特别是中小型企业适用存在明显弊端：除了必须建立数据传输的合法基础外，主管监管机构的审批期限较长，并且成本高昂。所以，标准合同条款成为了企业的优先选择。使用标准合同条款，还需要采取额外的保障措施确保传输至第三国的数据保护水平实质等同于欧盟标准。2021年6月，欧盟委员会公布了最新版标准合同条款，同时欧洲数据保护委员会增加了关于额外保障措施具体要求的“补充措施建议”，并于随后提出涵盖四项欧洲基本保障的指南。至此，欧盟为美国企业跨境数据流动提供了新框架。

c.获取欧盟充分性认定。因企业合规成本较高，适用难度较大，标准合同条款和具有约束力公司规则不足以作为支撑欧美跨境数据流动的保障机制[17]。相较而言，获取欧盟充分性认定对于美国是更为一劳永逸的方式。截至2022年2月，共有14个国家和地区获得了欧盟的充分性认定。但目前美国仅少数州合乎GDPR“充分”的保护要求。正如Schrems Ⅱ案判决所示，美国无法为用户对其数据享有的隐私权提供有效司法救济。在2015年“谷歌Cookie设置消费者诉讼”案中，美国法院并未承认用户隐私权是基本人权，原告作为权利受损人又难以满足严苛的起诉证明要求[18]，故用户难以通过司法程序证明其存在“被监视”的损失。美国要想遵守GDPR中关于数据和隐私保护的权利与义务规定，其或可颁布、修改联邦内的数据和隐私保护法来达到该目的。美国互联网科技公司在欧盟拥有巨大的市场，企业合规风险日增有望迫使美国政府作出让步，在严格遵守欧盟法律的前提下一定程度上改变“美国模式”，以保护美国企业海外投资经营利益并促进欧美数字贸易安全、高效、稳定地发展。当“布鲁塞尔效应”开始逐渐作用于美国时，美国获取欧盟充分性认定的时间或许也将随之到来。

3.3 欧美跨境数据流动合作前景

a.“个案审查”增加不确定性。Schrems II案确立了欧盟法院的个案实质审查机制，即针对根据标准合同条款进行数据跨境传输的企业，欧盟数据出口者与第三国数据接收者应当对该传输是否足以对数据提供充分性保护进行个案审查。如果审查不通过，则传输应当暂停或终止。这样的个案审查制度将从两方面增加欧美跨境数据流动合作的不确定性。

一方面是对现有跨境数据流动合作框架的冲击。鉴于部分欧洲国家和美国之间的隐私盾与欧盟和美国之间的隐私盾相似程度很高，这些欧洲国家和美国之间的跨境数据流动合作机制是否受到影响，以及这些国家的数据保护立法是否仍然符合欧盟的充分性保护认定存在不确定性[19]。

另一方面是个案审查制度赋予了审查主体一定的自由裁量权，主观因素也增加了审查结果的不确定性[20]。对于从欧盟向美国传输数据的企业而言，数据出口者和接收者必须核实美国是否符合欧盟法律所要求的保护水平，同时要考虑传输的数据类别和美国的法律制度。数据接收者有义务告知数据出口者标准合同条款不能或者不再提供充分保护的情况，出口者则有义务暂停或终止数据传输。考虑到美国的国家安全法律和实践，完全符合欧盟严格的保护要求仍然存在困难，数据出口者和数据接收者可能倾向于避免扩大审查范围和内容，将尽职调查重点放在垂直行业和自身安全需求上，在一定程度上涵盖第三国的法律规定。审查的主观考量和保留可能会增加美国安全部门获取来自欧盟的数据的不确定性。

b.加州隐私法提供新路径。虽然美国数据隐私法多针对具体行业和部门，尚未就跨境数据流动的问题制定一部全面涉及个人数据和隐私保护权利的国家法律，但是2020年1月1日生效的《加利福尼亚消费者隐私法》使加利福尼亚州率先建立数据隐私法。其后，加利福尼亚州又颁布了《加利福尼亚隐私权法》，该法与《加利福尼亚消费者隐私法》共同构成了加利福尼亚州的数据隐私法律制度。2021年3月，弗吉尼亚州州长签署了《弗吉尼亚消费者数据保护法》，使弗吉尼亚州成为继加利福尼亚州之后美国第二个正式颁布全面消费者隐私立法的州。

GDPR第45条明确欧盟委员会充分性决定可以对某一地区作出，加利福尼亚州有可能先于美国获得欧盟对州层面的充分性认定。《加利福尼亚消费者隐私法》包括3个主要部分：赋予消费者信息知情权和“被遗忘权”；消费者有权要求公司不出于商业目的出售数据或与第三方共享数据；拥有起诉违法公司的权利。它与GDPR都赋予个人对个人数据更多的控制权，限制公司对数据的使用，并赋予监管机构对不合规组织进行罚款的权力。加利福尼亚州的隐私立法已经非常贴近GDPR的要求。这或许是因为硅谷拥有世界众多顶尖互联网科技公司，修改立法有助于保护这些科技巨头的投资利益。加利福尼亚等州的立法可能为美国改革数据监管和隐私保护制度，解决“监控资本主义”带来的信任危机提供可行途径。

4 中国的应对策略

世界正处于百年未有之大变局，全球数字贸易规则制定的话语权争夺愈发激烈，这直接反映在欧美跨境数据流动的合作博弈中。中国作为数字经济大国，应准确把握当前数字贸易规则发展趋势，从国际和国内两个层面做好应对准备，提供全球跨境数据流动规则的“中国方案”。

4.1 国际视角

a.坚持安全、合作与共赢的原则。尊重网络主权、维护和平安全、促进开放合作和构建良好秩序是构建网络空间命运共同体的“四项原则”。尊重一国的网络主权是国家主权在网络空间的具体体现，也是坚持总体国家安全观的客观要求。捍卫我国网络主权亦受到国际形势变化影响。欧美合作可能会强化对数据本地化的禁止，扩大跨境数据流动范围，进一步限制中国互联网科技公司参与跨国投资与数字贸易，这从欧美近年均加强对中国的外资安全审查可见端倪，例如2020年美国颁布的“TIK TOK禁令”，欧盟宣布排除华为5G技术等。我国外交部在谈到中美关系时提到，“合则两利，斗则俱伤”。在对待跨境数据流动的问题上，中国必须守住安全底线，相互尊重彼此核心利益和共同关切，坚持合作共赢的发展原则，建立跨境数据流动国际互信机制，实现数字经济时代的共赢。

b.推动“数字丝绸之路”建设。在第一届“一带一路”国际合作高峰论坛上，习近平总书记强调推动建设“数字丝绸之路”，“一带一路”沿线国家共同致力于数字互联、信息共享和技术合作。欧盟是中国共建“一带一路”的重要合作伙伴。中国可以在维护国家安全和发展利益的基础上探寻中欧跨境数据流动合作。中国具有先进的5G创新技术、基础设施建设能力和海外投资实力。尽管当前欧盟5G技术的推广应用进展缓慢，但欧盟在全球数据消费中占有非常大的比重。根据中国已经在《中欧全面投资协定》谈判中做出电子通信、计算机服务领域的市场准入承诺，中欧未来若要实现跨境数据自由流动，一方面可参照日本、韩国的GDPR合规路径，在完善个人数据跨境流动规则的基础上，寻求欧盟委员会“充分保护”认定；另一方面中欧或可使用GDPR第46条规定的5类适当保障措施。鉴于目前欧盟委员会认定“充分保护”的高标准，后一路径对于中欧合作或许更加切实可行。

我国应积极推动“数字丝绸之路”建设，加快与欧盟开展跨境数据流动双边合作机制的谈判，在此过程中逐步增强中欧数字互信。通过“数字丝绸之路”架起沟通桥梁，中欧建立跨境数据流动合作关系，这将有助于扩大中国跨境数据流动规制立场的区域及全球影响力，实现“一带一路”高质量数字经济发展。

c.参与制定国际数字规则标准。当前全球数字贸易规则大体形成“美国模式”“欧盟模式”与“中国模式”三足鼎立的局面[21]。美欧为掌握数字贸易规则主导权正在积极推动双边或区域合作。《全面与进步跨太平洋伙伴关系协定》(CPTPP)电子商务章节囊括了美国关于跨境数据流动的主要立场和规则要求，并与《美墨加协定》数字贸易章节代表了美国主导下的区域或双边规则框架[22]。拜登政府已在起草环太平洋数字贸易协定。“数字TPP”或许将成为美国未来拓展其跨境数据流动立场的重要途径。欧盟在与新加坡、墨西哥等国的自由贸易协定中已采用“欧式模板”，在目前与印度尼西亚、澳大利亚进行的自由贸易协定谈判中也为纳入GDPR数据保护规则留足了规制空间。2021年，商务部印发了《数字经济对外投资合作工作指引》，明确提出“积极参与国际数字规则标准制定，推动中国数字标准走出去”。中国作为联合国安理会常任理事国之一，亦是WTO的重要成员国以及“一带一路”倡议的发起方，应积极把握国际数字规则标准制定主导权。

中国正在申请加入CPTPP与《数字经济伙伴关系协定》。在维护数据安全的基础上，中国需要对跨境数据自由流动、数据本地化措施、源代码以及数字产品非歧视待遇等具有重要分歧的议题积极但审慎地评估，推动谈判进程[23]。如何缩小数字鸿沟，促进各国积极开展数字合作，制定兼顾我国数字经济发展和维护国家主权的国际数字规则标准，是我国参与数字贸易国际规则制定的关键。

4.2 国内视角

a.加强企业对外投资数据合规建设。随着我国企业对外投资规模扩大，欧美等西方国家也加紧了本国的数据监管和安全审查，国内企业的跨境数据流动将受到更加严格的境内外审查和合规要求。以欧盟为例，在欧盟参与跨境数据流动的每一企业平均花费的GDPR合规成本约为1000万元；若企业被认定为不符合GDPR合规要求，则会面临巨额罚款。

在企业合规成本日益增加的背景下，我国可从完善政府监管和加强企业合规建设两方面着手解决。在政府方面，在维护国家安全与公共安全的前提下，我国可适当减少部分跨境数据流动规制措施，对标GDPR、CPTPP等高标准数字经贸协定，创新并整合监管机构，避免出现多重监管和监管空白，减轻企业合规压力。构建政府监管、行业自律和企业自觉三方参与的跨境数据流动治理体系，营造全社会协同共治的合规环境[24]。在企业方面，企业应严格遵守其经营地所在国和用户所在国的法律规定，履行跨境数据安全保障义务，建立个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。在全面增强技术、制度体系和经济实力的同时，企业还应设立专门的数据合规部门，做好数据跨境风险预警，排除合规障碍。

b.自贸区试点跨境数据流动规则。 从统筹国内法治与涉外法治的视角出发，在坚持国内国际双循环的新发展格局，进一步扩大对外开放的背景下，我国可借助自贸区推动跨境数据流动先行先试。2020年8月，商务部印发《全面深化服务贸易创新发展试点总体方案》，建议在北京、上海、海南等条件较好的地区开展数据跨境传输安全管理试点，对标国际高标准高水平，推动数字营商环境便利化。

首先，可在自贸区建立数据出境的安全评估机制。通过探索数据分级分类标准，结合地区跨境传输的数据类型、数据接收地和数据使用目的等具体情况，设计一套逻辑完整、程序公平和操作便捷的评估机制。同时，应提升自贸区信息技术能力，增强安全评估机制的科学性、准确性。其次，国家应为自贸区探索跨境数据流动规则创造良好的外部法治、经济和政策环境[25]。国家网信部门可以借鉴GDPR的标准合同条款，制定跨境数据流动标准合同以供自贸区使用。截至目前，北京数字贸易试验区、上海和浙江自贸区、海南自贸港已相继出台跨境数据流动方案。在此基础之上，我国可进一步扩大自贸区跨境数据流动规则试点范围，结合各自贸区的产业及区位特征，划分行业、地域进行跨境数据流动改革试验，有效落实总体方案。最后，自贸区跨境数据流动规则的探索和成功经验也将为我国参与谈判加入CPTPP与《数字经济伙伴关系协定》奠定坚实的基础。

c.完善国内跨境数据流动立法。促进数据跨境自由流动，不仅需要加强政府监管与企业合规建设，对标国际高标准数字规则，还需要完善国内立法。我国已施行《网络安全法》《数据安全法》《个人信息保护法》，但上述规范大多数条款为原则规定，有待细化规定以平衡个人信息保护与数据跨境自由流动。例如，在后续立法中明确个人信息保护具体标准、数据分类目录、安全评估审查、独立的监管机构等内容[26]。《个人信息保护法》中22次提到“安全”一词，无论是跨境数据流动还是在我国境内处理个人信息，安全评估的重要性可见一斑。我国应尽快出台《个人信息出境安全评估办法》等行政法规，制定重要数据分类保护目录，建立数据安全审查制度，发布企业数据跨境合规指南等进一步为我国企业数据跨境营造安全、有序的法治环境，增强其抵御境内外法律风险的能力。

此外，我国可在信息保护和数据安全制度下增设独立的监管机构。GDPR第六章对设立“独立的数据监管机构”进行了专章规定，是否设立独立的监管机构是欧盟评估第三国或地区的数据和隐私保护水平是否充分的重要审查因素之一。对标GDPR，我国《个人信息保护法》并未单独设立独立监管机构。《数据安全法》和《个人信息保护法》中都强调了国家网信部门或者有关部门的监督管理作用，但海量的数字平台和应用程序大大增加了监管难度。为了提高监管效率和促进跨境数据流动，设立独立的监管机构或有必要。