全球主要經濟體推動數據跨境流動的制度探索和規則框架

　　數據跨境流通是數字全球化和經濟全球化“雙輪”驅動下的必然產物，已成為全球數字經濟一體化和驅動國際貿易發展的重要支撐。本報告梳理了全球數據跨境流通規則發展總體態勢，整理了全球主要國家、地區及國際組織數據跨境流動規則機制和發展趨勢，在此基礎上，分析對推動我國數據跨境流動發展的啟示，并提出政策建議。

　　一、 全球數據跨境流動政策發展總體態勢

　　一是數據分級分類管理制度成為主流發展趨勢。不同類型的數據，例如個人數據、重要數據、敏感數據等涉及的法律管控、安全風險和所需的保護程度各不相同，越來越多的國家實行數據分級分類管理機制，以此開展監督管理工作，形成寬嚴并濟的數據跨境流動治理模式。

　　二是各國紛紛出臺治理法規謀求引領國際規則。隨著全球數據跨境流動需求的增加，全球主要經濟體將數據跨境流動規則納入多邊和雙邊國際貿易談判當中?，F有國際數字治理框架難以滿足全球數據跨境流動治理的需求，亟需建立適應當今數字經濟快速發展的新的數字治理框架，以此釋放數據的潛在價值。

　　三是長臂管轄導致數據主權沖突持續不斷發生?！伴L臂管轄”會將一國的執法效力拓展至數據所在國，侵害數據所在國的司法主權，損害數據所在國的合法權益。部分國家通過“長臂管轄”擴大了法律適用范圍，以此滿足跨境調取數據的執法需求，加劇了當前國家之間與數據有關的司法主權沖突。

　　二、 主要國家及地區數據跨境流動規則機制

　?。ㄒ唬┟绹褐鲝垟祿杂闪鲃?，根據需要限制部分數據出境

　　基于在數字經濟中的領先優勢和經濟全球擴張的巨大需求，美國在雙邊和多邊國際貿易協定中，一貫強調促進數據的自由流動，反對對數據跨境流動進行本地化存儲。但美國的跨境數據流動管理對內對外卻采取“雙重標準”：對于其國內數據出境，美國政府設置了諸多限制及要求。例如，美國外資安全審查機制明確限制并要求國外網絡運營企業將通信數據、交易數據、用戶數據存儲在美國境內，以及通信基礎設施也必須設置在美國境內；同時，將個人數據視為國家安全的組成要素，將涉及個人數據的傳輸交易納入外資安全審查范圍。對于數據入境，美國憑借自身的信息科技優勢，匯聚和融合全球數據資源，主張數據自由流入美國境內，助力其數字經濟發展。

　?。ǘW盟：個人數據嚴格管控，引導重建全球數據規則體系。

　　歐盟高度重視公民隱私保護，制定高標準的《通用數據保護條例》（GDPR），歐盟境內的個人數據出境，僅允許流入歐盟認可的能夠提供“充分保護”或采取“適當保障措施”的國家或地區。未通過的第三國企業只有采用歐盟委員會批準的“標準數據保護條款”或采取“有約束力的公司規則”，獲得認證后才能開展數據跨境傳輸。同時，歐盟的數據立法工作長期引領國際數據跨境流動的發展方向，并且歐盟不斷加強其數據法規的國際影響力，很大程度上實現了“歐盟標準”向“國際規則”的轉換。

　?。ㄈ┯好摎W后出臺符合本國數據保護法要求的數據跨境傳輸協議，確保數據跨境流通合法性。

　　英國脫歐過渡期于2020年底結束，歐盟的《通用數據保護條款》（GDPR）不再適用于英國，英國信息專員辦公室最近發布新的標準化條款工具包，一是《國際數據傳輸協議》（IDTA），可以作為一個獨立的協議來執行，以配合主要的商業合同，確保數據傳輸符合英國的數據保護法；二是歐盟2021年標準合同條款的附錄（英國附錄）。2022年3月21日起，上述IDTA和歐盟2021年標準合同條款的附錄（英國附錄）正式生效。

　?。ㄋ模┤毡荆涸谫Q易協定中設立數據跨境傳輸條款，實現與其他國家和地區的自由流動。

　　2015年，日本修訂《個人信息保護法》，強化了關于數據跨境流動的細則條款，其中包括要求設立個人信息保護委員會作為數據跨境流通的監管機構，負責制定數據出境的規則和指南；個人數據處理者向境外傳輸個人數據的時候，需獲得數據主體的同意后才可傳輸。同時，日本在《全面與進步跨太平洋伙伴關系協定》（CPTPP）、《日歐經濟伙伴關系協定》（EPA）、以及正在談判中的《區域全面經濟伙伴關系協定》（RCEP）、中日韓FTA、日英FTA等多邊和雙邊國際貿易協定中增加關于跨境數據流動的規則，表明其規則理念和政策傾向。

　?。ㄎ澹┬录悠拢簲祿缇沉鲃拥臉藯U示范城市，監管體制機制優勢明顯。

　　新加坡通過實施“智慧國家”（Smart Nation）戰略，推動其國內信息基礎設施的現代化發展，擴大電信業的投資與推動數據中心的建設。建立完善的個人信息保護制度和相應的監管框架，監管體系重點包括設置主管部門、劃分責任邊界、設定跨境流動條件、開展國際協調、明確基礎設施要求等方面。構建完善、系統的數據跨境流動管理規則，有助于實現全球數據向新加坡匯聚和流動，打造成為數據融合的重要中心節點城市。

　?。┯《龋汗芾泶胧┍Ｊ?，探索尋求適合本國的中間化路線。

　　《印度電子商務框架草案》明確一系列的數據本地化存儲的豁免情況，例如初創企業的數據流動、跨國企業內部數據流動、基于合同進行的數據流動等方面不會要求數據本地化存儲。印度并不想實施嚴格的數據保護措施，但是又做不到放任數據自由流動。一方面想要融入全球數字經濟發展格局，另一方面又想保護個人信息安全和國家安全，印度正在探索適應本國國情的中間化道路。

　　（七）俄羅斯：主要采取數據本地化存儲管制措施，在國際市場中仍有自己的數據流通圈。

　　俄羅斯要求公民個人數據必須存儲在俄羅斯境內，處理公民個人數據的行動也必須在俄羅斯境內發生，掌握相關數據的企業有義務告知和協助俄羅斯政府機關工作。然而，俄羅斯允許數據跨境傳輸至“108號公約”締約國和“白名單”國家，“白名單”國家的判定標準為該國是否具備有效的個人信息保護法規、是否設立了個人信息保護管理機構以及是否針對違法行為建立了有效的管制措施。

　　三、 國際組織數據跨境流動規則機制

　　當前，缺乏一個國際公認的數據跨境流動治理體系，經濟合作與發展組織（OECD）、亞太經濟合作組織（APEC）、二十國集團（G20）和世界貿易組織（WTO）等國際組織對全球數字治理也產生了深刻的影響。

　　一是鼓勵數據自由流動，適應全球數字經濟發展需求。OECD是全球第一個提出數據跨境流動原則的國際組織，其在1980年發布的《關于隱私保護和個人數據跨境傳輸指南》（以下簡稱“OECD指南”）明確成員國應避免以保護個人隱私為由，限制數據的自由流動。APEC通過2015年修訂的《APEC隱私框架》指導亞太地區的數據跨境自由流動。WTO作為全球最重要的多邊貿易機制之一，主要通過減免數字產品關稅等措施來推動全球范圍內信息技術產品的自由貿易流通。

　　二是重視監督管理，特別強調數據安全及隱私保護。OECD于2013年根據新的數字經濟環境對《OECD指南》進行了修訂，明確提出國家隱私戰略、隱私管理程序和安全漏洞通知等重點管理方向，強調個人隱私保護以及國家之間的安全監管機制的高效協同。APEC框架下的跨境隱私規則體系（CBPR）要求申請加入的企業的所在國，至少有一個監督管理機構參與隱私保護的監管工作，鼓勵提升各國監督管理機構的協作能力。2019年，二十國集團領導人提出了關于“有信任的數據自由流動”的“大阪行動路線”構想以及提倡創新跨境數據流動的風險監管機制，旨在促成一個條理清晰的國際數據框架。

　　四、 國際規則機制對我國的啟示

　　當前，我國數據跨境流動規則機制研究中處在起步探索的階段，梳理匯總全球主要經濟體在數據跨境流通的規則機制和發展現狀，對我國構建符合自身發展需求的數據跨境流動政策具有重大的參考意義。

　　一是建立數據分級分類管理體系，保障國家安全及推動數字經濟發展。既要適應全球數字經濟發展趨勢，有序推動跨境數據流動和多元的管理模式，還要強化本國網絡安全、數據安全和個人隱私安全的保護能力。設置低中高風險數據跨境的管理框架，明確重要數據禁止跨境；個人非敏感數據、政府和公共部門的一般數據、行業非限制性技術數據有條件跨境；非敏感的商業數據和經過評估的個人數據允許跨境。

　　二是與貿易伙伴開展數據跨境流通合作，加強國際話語權及影響力。將數據跨境流動的條款納入國際貿易投資協定中，例如在RCEP、中日韓FTA等多邊和雙邊貿易談判中增設數據跨境流動治理的談判內容，推動與重要貿易伙伴國實現數據流動互認條款，通過貿易協定或安全協議的方式，打造能夠落地執行的合作方式。特別是隨著近年來我國的“一帶一路”倡議從“硬聯通”轉為“軟聯通”，應重點與 “一帶一路”國家建立數據跨境傳輸的合作機制，推動與貿易伙伴的數字互聯互通。

　　三是建立數據跨境“白名單”，完善數據流動安全監管及信任體系。參考歐盟推行的管制規則，考慮設立數據自由流通的“白名單制度”，對名單中的國家實施個人信息保護及跨境數據流動的對等要求。將部分地區納入可自由流動的“白名單”，打造數據跨境流動的信任機制。同時，建立完善的數據安全評估體系、數據傳輸安全評估機制和數據安全協議等配套措施，對各類數據的跨境流動進行必要的風險評估，建立重要信息系統和關鍵數據目錄，建設數據跨境流動監控和預警平臺，保障重要信息系統和設施的安全。

更多精彩，請關注“官方微信”