摘要：在数字化浪潮的推进下，数据成为新的生产要素，习近平总书记多次强调要发展数字经济，提出“推动实施国家大数据战略，加快完善数字基础设施，推进数据资源整合和开放共享，保障数据安全，加快建设数字中国”。如今，数字治理成为全球治理的新领域，数据跨境流动成为现代商业贸易发展的重要推力。在此背景下，为实现数据跨境流动的安全管治，我国近年来开始重视数据保护和流通方面的立法问题，但仍面临诸多挑战。故现将深入分析我国现阶段初步构建的数据跨境流动管理制度，通过比较和剖析欧美等国的数据跨境流动规制的特点与优势，基于数据主权视角探寻数据跨境流动管理的中国路径。

关键词：数据跨境流动；国际比较；中国途径；数据主权

一、我国数据跨境流动管理的现状分析

（一）逐步构建数据跨境流动规则

近年来，我国有关跨境数据流动的法规标准持续出台，并逐渐成熟化、细致化，我国始终强调数据主权安全治理，坚持站在国家主权视角管理数据跨境流动。在国内法律制度层面，《网络安全法》《数据安全法》《个人信息保护法》等法律对数据跨境流动作出顶层设计。其中，2016年公布的《网络安全法》形成了“本地储存，出境评估”制度，为我国的数据跨境流动治理指明原则与方向。2021年公布的《数据安全法》强调了参与国际相关规则的制定，以及与其他国家或地区规则体系的衔接，为我国在数据安全领域的国际交流与合作奠定基础。同时，2021年发布的《个人信息保护法》规范了个人信息处理活动，对促进数字经济发展具有重要推动作用。此外，2021年国务院发布的《关键信息基础设施安全保护条例》进一步明确了关键信息基础设施安全保护的具体要求和措施，为我国关键信息技术设施保护工作的深入开展奠定坚实的基础。《关键信息基础设施安全保护条例》与《网络安全法》、《数据安全法》和《个人信息保护法》共同构架起“三法一条例”的数据安全保障网，是数据安全领域的基本法律框架。在此基础上，监管部门对数据跨境流动也越发关注。2022年国家网信办发布的《数据出境安全评估办法》进一步规范了数据出境活动，明确了重点数据的定义，为我国跨境数据流通提供了重要的配套落地规则。2022年中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》加快构建了我国数据基础制度体系，保障数据要素的安全和发展。之后，网信办于今年2月发布《个人信息出境标准合同办法》，对数据出境主体向境外提供个人信息时在何种条件下才应与境外接收方签订标准合同作出了规定，为向境外提供个人信息提供了具体指引。

另一方面，在国际规则层面，我国处于初步踏上与国际接轨的道路过程。我国于2020年正式签署《区域全面经济伙伴关系协定》，与日本、韩国、澳大利亚等国家就数据跨境流动达成了一致协议，为促进区域内数据跨境流动奠定基础。2021年，我国陆续申请加入《全面与进步跨太平洋伙伴关系协定》与《数字经济伙伴关系协定》，积极参与全球数据跨境流动规则的制定，旨在扩大开放，与国际社会各方共同打造一个公平、高效的数据跨境规则体系。

（二）国内多地在数据跨境业务中先行先试

目前，国内各地正在加快数据跨境流动的实践探索，不断完善数据跨境交易规则机制和细化方案。广东省、港澳、上海临港新片区层面均展开了先行探索，注重数据安全和强调数据主权，并以政策文件的形式予以规范。

一是广东省层面。2021年发布的《广州市建设国家数字经济创新发展试验区实施方案》明确广州将率先探索构建以数据为关键要素的数字经济新生态，将广州打造成为粤港澳数字要素流通试验田。目前，广东省还印发了《2023年粤港共建智慧城市群合作任务清单》，持续推进与澳门签署《粤澳共建智慧城市群合作协议》。在广州南沙、深圳前海、珠海横琴开展“数据海关”试点，成立深圳数据交易所，并于今年3月出台《深圳市数据交易管理暂行办法》，开展跨境数据流通的审查、评估和监管。

二是港澳层面。香港早在1995年便出台了《个人资料（私隐）条例》，是亚洲最早全面保障个人信息的法规，也是香港地区关于个人信息和隐私保护的基本法律依据。在此基础上，香港特别行政区财政司长陈茂波于2022年领导成立了“数字化经济发展委员会”，进一步推动数据服务的产业发展。并于今年6月，国家网信办与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，积极探索并建立粤港澳大湾区数据跨境流动安全规则。澳门数字化发展协会在澳门《个人资料保护法》与欧盟《通用数据保护条例》现行法律框架下，率先构建起了“中国澳门-欧盟数据跨境流动通道”。

三是上海临港新片区层面。上海制定《关于支持中国（上海）自由贸易试验区临港新片区深化拓展特殊经济功能走在高质量发展前列的若干意见》。在深化国际规则的对接方面，临港新片区积极探索与新加坡、香港等国家和地区深化合作，进一步促进跨境数据贸易便利化。在推动国际数据合作方面，新片区统筹数据流动与经济、金融等领域的国际合作，支持国际数据产品在上海数据交易所挂牌交易，推动发展一批国际化的数商。

二、欧美等发达国家的数据跨境流动治理模式

（一）美国数据跨境流动的治理模式

目前，美国在跨境数据流动领域中占领先地位，数据交易模式多样，重视数据主权并倡导跨境数据自由流动。据了解，美国数据跨境流动有如下特点。第一，发展多元数据交易模式。美国主要有三种数据交易模式，分别是数据平台C2B分销模式、数据平台B2B集中销售模式和数据平台B2B2C分销集销混合模式。其中，数据平台B2B2C分销集销混合模式是美国交易市场中最具代表性的模式，属于数据经纪商的范畴。B2B2C分销集销混合模式下，数据平台以数据经纪商身份，收集用户个人数据并将其转让、共享给他人。C2B分销模式下，用户将自己的个人数据贡献给数据平台，数据平台给予用户一些商品、服务等价物或优惠、积分等对价利益。B2B集中销售模式下，数据平台以中间代理人身份为数据提供方和购买方提供数据交易撮合服务。

第二，形成“宽流入、严流出”的数据流转模式。为实现自身发展，维护国家数据主权和数字经济实力，美国反对数据本地化，采用“长臂管辖”推动全球数据流入美国。在“宽流入”方面，美国在国际合作中不断丰富准许数据自由流入的主权战略方案，并与区域、国家等签署协议。在“严流出”方面，美国限制外国数字企业进入美国市场，防控国内数据外流。2020年，美国采取“清洁网络计划”，清除中国应用程序的同时限制数据被“非美国人”访问。接着先后通过了《出口管理法》、《商业管制清单》等细分领域的政策法规，进一步限制本国数据流出。

第三，数据要素市场政策开放。联邦层面不对信息隐私权制定统一法律，而是侧重于以制度规范化数据经纪商相关行为。数据经纪商是美国数据交易服务的主要提供者，其从多个渠道广泛搜集消费者不同维度的信息。2018 年，佛蒙特州正式通过了《数据经纪商监管法案》，将数据经纪人定义为“收集、出售或向第三方授权使用与该企业没有直接关联的消费者个人信息的公司”，并对数据经纪商的义务进行了明确，以便为消费者、政策制定者和监管者提供相关信息。

（二）欧盟数据跨境流动的治理模式

欧盟是首个对个人数据流通进行立法的区域组织，注重“数据权利保护”与“数据自由流通”的平衡，在数据市场建设上具有前瞻性。据研究，欧盟数据跨境流动有如下特点。第一，确立“个人数据”和“非个人数据”的二元架构。一方面，欧盟为保障数据主权，将“个人数据”作为跨境数据治理的核心，立足个人数据展开国内数据保护与域外数据管辖。另一方面，欧洲议会于2018年通过了《非个人数据自由流动条例》，以数据安全为前提，促进欧盟境内非个人数据自由流动，消除欧盟成员国数据本地化的限制。

第二，采用数据中介服务。数据中介服务指通过技术、法律或其他手段，在数量不确定的数据主体、数据持有者与数据使用者之间为了数据共享而建立商业关系的服务。2022年正式生效的欧盟《数据治理法案》明确提出“数据中介”，通过培育基于信任机制的数据流通交易生态和建立欧盟层面的监管框架，增强欧盟的数据共享机制，提升数据可用性。

第三，提出充分性认定规则。欧盟于1995年发布的《数据保护令》中首次提出“充分性保护原则”的概念，明确充分性认定是指只有当第三国对于个人数据的保护水平达到欧盟的要求，欧盟成员国的个人数据才能进行数据跨境流动。同时，《数据保护令》也明确规定了数据跨境传输的各项规则，保障欧盟个人数据传输至非欧盟地区的安全性。

（三）日本数据跨境流动的治理模式

在数据跨境流动领域，日本逐渐形成了政府主导、民间参与、严密监督的跨境数据流动管辖机制，且具有如下特点。第一，推进政府引导和民间主导的数据流通发展模式。一方面，政府引导数据流通环境向好发展。日本政府签订《区域全面经济伙伴关系协定》等法规，积极推进与外资企业进行数据流通规则的制定。另一方面，民间主导数据流通市场发展。2018年日本民间企业牵头成立了政府与民间数据流动共享协议会，从而推进地方政府的数字化转型。第二，设立数据银行。日本将数据打造成一种新型资产，利用数据交易平台和数据银行提供良好的流通环境，注重个人隐私保护，释放个人数据价值。第三，制定数据流通政策法规。日本政府发布《第五期科学技术基本计划》，通过超智能社会5.0引领数据流通政策法规制定，不断完善法律法规，对个人信息的定义、数据跨境流动等方面的规定进行了补充，维护数据市场持续健康发展。第四，推进数据跨域流动。日本签订了《欧盟日本数据共享协议》，允许个人信息在欧盟和日本间自由流动，并由此形成了全球最大的数据自由流通区域。与此同时，日本企业将采集更多的数据资源，促进大数据和人工智能企业发展。

三、数据跨境流动管理的中国路径

基于以上对我国数据跨境流动管理的现状分析和对欧美等发达国家的数据跨境流动治理模式的国际比较，现对我国在数据流动领域的中国路径提出建议。

（一）持续完善立法，保障我国跨境数据流动安全。目前，为了坚决维护数据主权问题，我国正逐步构建数据跨境流动规则。但鉴于建设时间较短和起步较晚的限制，我国未能建立起系统化的数据主权治理政策体系，我国现有《网络安全法》《数据安全法》《个人信息保护法》等法律对数据跨境流动作出顶层设计，其大部分是原则性规定。因此，我国应继续以维护国家主权为原则，加强完善数据立法。加快建立个人数据的信息保护，对数据主体权利的内容、规制方式以及救济途径等方面做出明确的规定，通过设置具有影响力和约束力的数据立法的同时，补充相应的配套规制体系，提高我国数据安全制度的体系化程度，从而保障数据安全流通。

（二）积极参与国际合作，争取我国在全球数字治理中的话语权。近年来，我国构建全方面对外开放新格局，推进“一带一路”战略，正持续加强与各国的经济合作。但目前国际接轨较为模糊，缺少相应的与国际数据安全法则接轨的机制保障。因此积极参与制定国际规则并实现国际接轨是推动我国数字经济发展的重要举措。我国可以通过借鉴美欧的双边执法合作，与贸易往来紧密的国家进行双边谈判，并在此基础上积极参与区域性多边协调机制。例如，我国可以积极与“一带一路”沿线国家就数据跨境流动管理规制进行双边谈判与协调，可通过与其签订协议，尝试衔接国际协定与国内治理，与已经构建起良好协作关系的国家或区域进行数据跨境流通的规则制定，从而全面推动国国际合作。

（三）参考“充分性保护原则”，完善数据跨境流动安全评估体系。2022年，国家互联网信息办公室出台了《数据出境安全评估办法》，全面地提出了我国数据出境“安检”的规定，明确了数据跨境传输和境外汇聚的安全风险。数据出境安全评估对规范我国数据出境活动，维护国家安全和社会公共利益有着重要意义，为完善我国数据跨境流动安全评估方法，我国可以参考欧盟的“充分性保护原则”，设置专门的代理机构对第三国对于个人数据的保护水平是否达到本国要求做出详细的评估，提高数据跨境流动的效率。此外，在安全评估的同时，也可借鉴欧盟采用数据中介服务的行为，进一步加强数据评估的统一性和专业性。

参考文献：

[1]张茉楠.加快统筹制定数据跨境流动的中国方案[A].开放导报，2023（1）：70-71.

[2]冉从敬，何梦婷，刘先瑞.数据主权视野下我国跨境数据流动治理与对策研究[J].图书与情报，2021（04）：6-7.

[3]李琴.数据跨境流动的国际规制及中国应对[D].吉林：吉林大学，2019：39-42.

（该文章受到上海立信会计金融学院大学生创新创业训练计划项目资助 项目编号：S202311047104）