跨境数据流动监管域外经验与中国进路.pdf

1、2023 年第 3 期012Theory Exploration理论探索作者简介：刘志广，男，华东政法大学，主要研究方向为经济法，E-mail:跨境数据流动监管域外经验与中国进路刘志广华东政法大学经济法学院，上海，200042摘要：数据跨境流动具有其内在的优势与弊端，合理构建数据跨境流动监管规则，有利于在保障数据安全的同时促进经济的高速发展。当前背景下，在世界上具有影响力的数据跨境流动监管规则包括欧盟的“数据人权理论”规则和美国的“数据贸易理论”规则。二者均希望占领数据跨境规则的话语高地，但究其本质，二者均具有利己观念。随着我国 数据安全出境评估办法 等一系列法律的出台，我国数据监管顶层观念逐

2、渐明晰，明晰概念，根据我国国情对规则进行具体适用，有利于我国数据产业的健康发展，并可以为数据跨境流动国际治理问题提供中国方案。关键字：数据跨境流动；域外经验；发展与安全协同；规则评析Overseas Experience in the Regulation of Cross-border Data Flow and the Chinese ApproachLiu ZhiguangSchool of Economic Law East China University of Political Science and Law,Shanghai,200042Abstract:Cross borde

3、r data flow has its inherent advantages and disadvantages.Reasonable construction of regulatory rules for data cross border flow is conducive to promoting rapid economic development while ensuring data security.In the current context,influential regulatory rules for cross-border data flows in the wo

4、rld include the“Data Human Rights Theory”rules of the European Union and the“Data Trade Theory”rules of the United States.Both hope to occupy the discourse highland of cross-border data rules,but in essence,both have a sense of self-interest.With the introduction of a series of laws such as the“Data

5、 Security Exit Assessment Measures”in China,the top-level concept of data supervision in China has gradually become clear,and the specific application of rules based on Chinas national conditions is conducive to the healthy development of Chinas data industry,and can provide Chinas solutions for int

6、ernational governance issues of cross-border data flow.Keywords:Cross-border Data Flow;Extraterritorial Experience;Development and Security Synergy;Rule Analysis引言随着科学技术的快速发展，数据现已经作为一项单独的生产要素呈现在人们面前，国家政府、企业和个人都越来越多地利用数据，数据流动发挥着巨大的价值。党的第十九届五中全2023 年第 3 期013Theory Exploration理论探索会指出，“建立数据资源产权、交易流通、跨境传

7、输和安全保护等基础制度和标准规范，推动数据资源开发利用”。这为我国数据法治指引了大方向。通过对数据进行整合分析，数据持有者可以及时捕捉市场变化、促进知识共享、促进科技的快速发展1。在一定程度上，数据流动的速度决定了数字经济产业发展的步伐。但同时，数据跨境流动也带来了许多风险。数据在出境后无法受到主权国家的管辖，相当于主权国家将一部分数据主权让渡给他人。因此，我国在数据跨境流动监管上需要明晰国内数字经济产业发展现状，细化与之相适应的法律规范，以达到保障数字经济产业快速发展与保障数据的安全跨境流动并重。国际方面，欧盟和美国同为世界上的经济发达体，但由于二者在电子商务、数字经济领域发展水平上存在较大

8、差异，这深刻影响了二者在跨境数据流动监管上所采取的态度2。美国拥有着亚马逊、微软、谷歌等多个大型跨国互联网公司，其采集并处理的数据远远大于欧盟企业所能达到的范畴。因此，美国在数据跨境流动监管上一直积极促进数据在全世界范围内的流动运用。欧盟在数字经济的发展上远远落后于美国，其更依赖于外部互联网企业提供服务。因此，欧盟在数据跨境流动监管上往往倾向于谨慎的态度，以避免数据跨境流动侵犯其人民权利。国内方面，2022 年 9 月生效的 数据出境安全评估办法（以下简称 评估办法）规定了数据出境管理的适用范围、数据出境监管流程、数据出境安全评估等事项，为我国数据出境监管制定了基本规则框架。中国作为数据创造和

9、数据消费大国，在“数据自由流动”与“数据本土化”之间如何抉择，如何在保证数据安全的同时促进数字经济产业快速发展，是我国跨境数据流动监管应当着重考量的问题3。本文通过对欧盟与美国数据流动监管规则的总结，明晰各方在数据流动监管规则上所秉持的价值理念，通过对我国 数据出境安全评估办法 一系列规则的分析，总结我国在数据跨境监管上应当秉持的价值理念，并对具体规则提出细化建议，以期实现其立法目的。1 欧盟数据人权本源模式欧盟将附着在数据上的个人隐私、信息视作基本人权，在此基础上构建的数据跨境流动监管规则，鲜明地体现了保障与数据相关的基本权利和构建欧盟单一数据市场的特征4。早在 1995 年，欧盟便制定 关

10、于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC 号指令，对成员国国民数据进行保护。2010 年，欧盟通过 欧盟个人数据保护整体方案，倡导将欧盟内部的个人数据保护标准推广至全世界，成为国际保护准则。随后，在2012 年 在互联世界中保护隐私:面向 21 世纪的欧盟数据保护框架、2017 年，欧盟在 全球化世界中个人数据的交换和保护 中反复重申了这一立场。在欧盟制定的一系列数据跨境监管文件中，最具有影响力的当属 2016 年的 一般数据保护条例（General Data Protection Regulation，GDPR）5。GDPR 基于影响原则和属地原则确定适用范围。

11、影响原则，指数据控制者或者处理者在欧盟之外，但在欧盟领土内基于数据处理产生了实际影响。属地原则，指数据控制者或者处理者在欧盟范围内设有机构6。这两大原则，使 GPDR 具有广泛的域外适用性，可适用于那些不在欧盟境内设立、但向欧盟境内的数据主体提供商品或者服务，或者监控数据主体在欧洲境内发生的活动的数据控制者或者处理者。在确定数据跨境流动标准上，GPDR 延续了 1995 年欧盟 关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC 号指令 所确定的“充分水平保护”规则7。GPDR 规定，对于欧盟内部的数据，要求成员国在保障与个人数据处理相关的隐私权的2023 年第 3 期0

12、14Theory Exploration理论探索前提下，允许个人数据在成员国之间自由流动。对于涉及第三方国家的数据流动，欧盟则要求第三方国家需满足如下“充分水平保护”：第一，该国的法律实施、司法运行、权利形式和保障情况；第二，该国是否设定可不受国内政治局势影响的专业评估、监管机构；第三，该国是否积极承担国际义务，加入相关国际条约8。这使得欧盟在与第三方国家、国际组织或企业进行数据保护谈判时拥有重要的法律权利，增加了欧盟在数据市场的法律影响力。但究其本质，人们可以发现该规定实际上是欧盟数据主权的域外延伸。首先，欧盟在数据跨境监管上采取严格主义，其秉持“数据附带人权”的观念，认为欧盟人民的数据上附

13、着其人民的基本人权，要求欧盟外部组织在数据监管规则上需提供“充分水平保护”。此举乃是变相的将欧盟数据监管观念推向全世界。换句话说，欧盟认为在全世界的视域下，其数据监管规则具有文明优越性，世界上其他国家在对数据人权的保护都没有达到欧盟的标准。欧盟的这一举动在当前背景下容易造成数据全球化合作的分崩离析。欧盟对数据实施事前监管方式，欧盟数据保护委员会负责监督数据监管规则GDPR的实际适用情况，具有独立的监管地位。由于其对数据所采取的严格监管措施，使得企业不得不花费巨大的成本进行数据合规方面的建设，导致在欧盟内部的跨国互联网企业、数据交易平台合规成本极大，这些因素在一定程度上都抑制了 GDPR 的推广

14、9。2 美国数据贸易流动模式美国在电子交易、电子商务、互联网通讯平台等数字经济产业上拥有着市场与技术等多重优势，依托如微软、谷歌、苹果等多个大型互联网平台，其业务范围涵盖全球并储存着海量的数据资源。早在克林顿政府时期，美国就主张“最大限度地实现跨境信息自由流动”，在国际规则制定过程中，确保“国与国之间的监管差异不会成为实质性的贸易壁垒”。该立法理念在美国主导的贸易协定上体现的淋漓尽致。例如 2012 年生效的 美韩自由贸易协定 规定了“要清楚认识数据信息对促进贸易的重要性，同样认识到保护个人信息安全的重要性，各方应努力避免对跨境电子数据信息设置或维持不必要的限制条件”。此外，2016 年，在美

15、国的主导和推动下，跨太平洋伙伴关系协定 第一次在电子商务章节中对跨境数据自由流动做出了具有约束力的承诺10。尽管美国后来退出了该协议，但其提出的跨境数据流动监管规则却仍保有强大的影响力，并成为越来越多国际数字贸易协议的范本。此外，美国在数据跨境保护上不倾向于制定统一的数据流动监管框架，而是针对特定行业以及特定领域进行针对性的立法，并通过联邦和州法规的相互衔接对数据流动监管问题进行规制。美国通过其行业自律监管机制，先后建立了诸如在线隐私联盟（Online Privacy Alliances，OPA）、在线隐私封条（TRUSTe）等隐私保护组织，并通过了大量个人数据保护与流动标准、个人隐私保护倡议

16、、行业内部数据保护倡议等规则，通过国家法律层面和行业内部倡议层面共同对数据流动进行监管。与欧盟不同，美国在数据监管规则上采取“市场导向”，其在个人数据保护与跨境数据贸易的天平上更倾向于后者，在美国主导的监管模式中，数据流动更加高效与灵活11。例如在美国主导的亚太经济合作组织（Asia-Pacific Economic Cooperation，APEC）所 构 建 的跨 境 隐 私 保 护 规 则（Cross-Border Privacy Rules，CBPR）只对其组织内成员具有约束力。对于未加入 APEC 的国家没有制定等同严格的规定，这充分体现了 CBPR 在跨境数据流动监管上的包容性和自

17、愿性。此外，CBPR 规则对数据监管采取一种事后监管的规范模式，通过认定相关的问责代理机构，默认企业具有保护个2023 年第 3 期015Theory Exploration理论探索人数据安全的能力，允许企业进行跨境数据流动，待企业出现问题后，再对企业进行问责。以美国为主导的跨境数据监管模式大大的促进了数据跨境流动，在当今全球市场割裂的大背景下具有一定的意义。这类监管模式在促进数据流动的同时也为众多发展中国家引入了新型技术并提供了众多劳动就业机会。然而，随着近年数据产业的高速发展，人们已经可以通过算法分析、大数据分析等新兴技术从海量数据中处理出更多有关国家安全的数据信息。美国也意识到了这一问题

18、，于是在2018 年通过了 澄清域外合法使用数据法案（Clarifying Lawful Overseas Use of Data Act，CLOUD）。根据该法案的规定，如果美国政府在执法时需要调取企业的数据，那么无论企业的数据储存于美国国内还是国外，企业均需按照规定向美国政府提交。CLOUD 法案彰显了美国近年来在数据监管上的长臂管辖主张，由于美国跨国互联网企业的网络通讯平台遍布全球，拥有着全球各地人民的数据，CLOUD 法案使得许多国家国内制定的数据监管规则面临着失效的危机。在这种情况下，各国应当积极应对，以防止美国通过其国内法律对其他国家人民的数据安全造成侵害。3 数据跨境流动监管现状

19、总结无论是以数据人权为视角的欧盟还是以市场贸易为视角的美国，究其本质，二者在数据流动监管这一问题上都存在着长臂管辖和利己观念。欧盟认为其成员国公民的数据在流动时，接收国必须保持与欧盟对等的标准，并通过一系列规则将其内部的数据保护标准拓展到全世界。欧盟认为其在数据保护上充分考虑的成员国公民的人权，但如果全世界均按照欧盟的标准制定数据跨境监管法规则可能会走向文明优越主义，同时也不利于全球贸易发展。美国因拥有全世界领先的跨国互联网企业，其在数据流动监管上积极倡导数据的流动，但由于近年来各种数据安全事件的发生，其对于数据贸易自由的监管倾向也在发生变化。其通过 CLOUD 法案可以随意调取其国内企业在其

20、他国家的数据，这对于其他国家的数据主权、数据安全造成了很大的威胁。尽管两大监管模式在近年有趋同的迹象，但两大经济体由于在数据监管上内在秉持的立法观念、需要平衡的各方利益、行业发展形态均不相同，故两大监管模式的差异还将长期存在。在数据监管这一问题上，我国既没有完全跟随欧盟的“数据人权”理念，也没有照搬照抄美国的“数据贸易自由”观念。我国在数据跨境监管上体现出要兼顾安全与促进贸易的目的，习近平总书记在网络安全、数字经济领域多次强调了我国的发展理念。习近平总书记指出：“做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势，成长久之业”

21、12。2020年我国发布了 全球数据安全倡议。在文中，我国倡议：“我们呼吁各国秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系”；“我们重申，各国应致力于维护开放、公正、非歧视性的营商环境，推动实现互利共赢、共同发展”。这一倡议也体现了我国现阶段在数据跨境流动问题上要同时保证发展与安全的理念。4评估办法 相关规则评析及完善建议随着我国 中华人民共和国网络安全法（以下简称网络安全法）、中华人民共和国个人信息保护法（以下简称个人信息保护法）、中华人民共和国数据安全法（以下简称数据安全法）等一系列法律法规的出台，我们在数据跨境流动监管这一问题上的立场逐渐明晰。2

22、023 年第 3 期016Theory Exploration理论探索特别是 评估办法 的出台，集中规定了我国数据跨境流动监管的具体规则。我国数据跨境流动监管规则的理念可以总结如下：一方面，我国在数据跨境流动监管这一问题上应当立足实际，谨慎对待和保障数据安全，维护数字经济产业健康发展。这要求我们在部分规则的制定上应当倾向于“保障数据安全”的理念，对重要数据采取严格监管。另一方面，我国数字经济产业规模已经跃居全球第二，处于快速发展阶段。在这种背景下，我国对于数据跨境流动不可以采用欧盟纯粹的“数据人权”主义，而应当采取多种手段，积极促进数据快速流动。4.1 关于 评估办法 评估对象首先，评估办法

23、第 4 条规定：下列情形属于需要进行评估的事项：（1）数据评估申请者向境外提供重要数据的；（2）关键信息基础设施运营者和处理 100 万人以上个人信息的；（3）自上年 1 月 1 日起累计向境外提出个人信息或者个人敏感信息达到一定标准的。可见，评估办法 规定了需要进行评估的对象包括重要数据、达到一定数量的普通个人信息和敏感个人信息。从法律渊源的角度进行分析，我们可知 评估办法 是采用了 数据安全法 和 个人信息保护法 中的概念。但 评估办法 在具体概念上没有进行更为细致的规定。虽然 评估办法 第 19 条进一步规定“本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能

24、危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”，但立法在该概念上并没有做进一步解释。在缺乏细化解释的制度框架下，评估执法人员就有可能以最严格的标准对“重要数据”进行解释，以防范自己的执法风险与责任。对此，在对数据进行跨境监管时，我国应当进一步细化具体规则，对不同级别的数据采用不同的监管标准。对 评估办法 中规定的“重要数据”，因其涉及到国家根本利益，应对其采用高级别的数据跨境监管规则。对于 评估办法 中规定的“关键信息基础设施运营者”即金融、交通、能源等领域运营者处理的数据，应采用中级别的数据跨境监管规则。金融、交通、能源等基础设施领域的数据具有聚合性的特点，这些领域的少量数据不会

25、影响到国家根本利益，但数据持有者对上述数据进行聚合、分析，便有可能分析出大量涉及国家机密、商业秘密的数据结果。因此，对于关键信息基础设施领域，应当采用中级别的监管标准13。对于个人数据，在类别上可以区分为敏感个人数据与非敏感个人数据。对于敏感个人数据，由于其携带大量公民隐私，在监管评估上应该适用与关键信息基础设施运营者同等的标准，即采用中级别的跨境监管标准。针对非敏感个人数据而言，少量处理非敏感个人信息的行为不会对国家安全、商业市场带来影响。因此，应当充分保障少量的非敏感个人数据积极跨境流动，此举会大大促进数字经济产业和互联网企业的发展。对于数量较多的非敏感个人数据，如他人在境外对其非法处理、

26、分析，依然会影响到市场的健康发展。因此，对数量较多的非敏感个人数据，应当采用低级别的数据跨境流动监管规则，以期在促进经济发展的同时保障数据安全。4.2 关于 评估办法 评估事项在具体评估事项上，我国 评估办法 在规定上借鉴了许多欧盟与美国的既往规定，评估办法 第 8 条规定：数据出境应当重点评估出境数据对国家安全、公共安全和个人利益的影响，主要包括：（1）数据出境的目的、范围、方式；（2）境外接受方的政策对我国出境数据的影响；境外接收方的数据保护水平是否达到我国法律规定所要求的强制性标准；（3）出境数据的规模、范围、种类，出境过程中和出境后可能遭受的非法侵害；（4）数据安全和个人信息权利是否都

27、能得到保障；（5）数据流动合约中是否对数据安全保障问题是否进行了充分约定；（6）遵守2023 年第 3 期017Theory Exploration理论探索中国法律、行政法规、部门规章情况；（7）国家网信部门认为需要评估的其他事项。在数据跨境监管上，应当立足实际对上述规则进行解释。上述规则的第二项对于防御欧美的数据长臂管辖主义具有一定的实践意义，有利于保障我国数据跨境的安全。但在当前全世界互联网技术发展不平衡的背景下，如果对与任何经济体的数据跨境监管均采用上述单一标准，则有可能造成规则的僵化。举例来说，对于发达国家，其拥有众多的跨国互联网企业，无论是官方制定的还是市场自发形成的数据监管规则均已

28、相对成熟，其在数据跨境监管上比较容易符合我国所规定的数据保护水平应达到我国法律、行政法规和强制性国家标准。但对于众多发展中国家来说，该规则可能会产生变相抑制数据跨境流动的风险，将数据安全主权概念泛化。由于发展中国家的数字经济产业发展规模远远落后于发达国家，其对于数据跨境流动监管规则的制定也不够全面，在与我国进行数据跨境流动监管时很有可能达不到我国所要求的同等保护水平。然而，如因对方数字经济产业发展水平不高导致影响两国之间的数据跨境流动，则不符合我国积极促进数据高质量流动的意愿，也不利于我国在数据跨境流动领域国际话语权的建立。因此，在对与众多发展中国家的数据跨境流动进行监管时，应当立足实际，对其

29、适用部分简化政策，以保证 评估办法 立法目的的实现。4.3 关于 评估办法 评估方式评估办法 第 5 条、第 6 条规定：数据处理者在申报数据出境安全评估前，应当开展自评估；申报数据出境安全评估，应当提交以下材料：（1）申报书；（2）数据出境风险自评估报告；（3）数据处理者与境外接收方拟订立的法律文件；（4）安全评估工作需要的其他材料。可见，评估办法 在国家评估监管程序前置了数据申请评估人自评估程序，该项规定对于完善评估机制，促进多元主体参入评估流程具有重要作用。美国针对信息保护和数据监管没有制定统一的法典，而是通过各领域专门法律、官方与行业监管协调机制对数据的处理与流动进行监管。例如美国通过

30、 儿童在线隐私保护法、健康保险携带和责任法案、金融消费者保护法 对各领域进行专门的监管。在这些法律制定的过程中，行业协会发挥了巨大的作用。由于不同行业对数据的处理有着不同的特点，因此，通过不同法规对不同领域的数据处理和流动监管可以避免“一刀切”的情况发生，更有利于在保障数字经济产业发展的同时保护数据安全。评估办法 规定了自评估机制，在这个过程中，各行业协会可以充分发挥作用，在 评估办法 的规定下进一步细化相关规则，厘清具体规定在本行业内适用的标准，制定具体行业细化规则，将其作为企业自评估的参考标准。此外，企业内部也应当根据行业标准进一步细化相应规则，完善企业内部自评估机制，设立专门的企业数据监

31、管部门，在促进企业高速发展的同时保障企业数据安全。政府、行业协会、企业之间可以对于具体数据评估事项进行协调沟通，进一步完善相应机制。4.4 关于 评估办法 救济途径相对于 评估办法 征求意见稿而言，评估办法 增加了对跨境数据评估的救济途径，评估办法 第 13 条规定：数据处理者对评估结果有异议的，可以在收到评估结果 15 个工作日内向国家网信部门申请复评，复评结果为最终结论。该条规定为数据申请评估人提供了一定的救济路径，即其可以向国家网信部门申请复评，以纠正错误评估结果。但是，该条规定在具体实践上还存在着一定问题，即对 评估办法 所规定的最终结论是否可以进行进一步救济，是否属于可诉的具体行政行

32、为14。针对这一问题，当前学界主要有两种观点。第一种观点认为，评估办法 所规定的最2023 年第 3 期018Theory Exploration理论探索终结论是基于国家数据安全的考量，不属于可诉的具体行政行为，而属于特殊的行政终局行为。该种观点主要有以下的理论依据：第一，数据跨境涉及到众多的国家秘密、重大商业秘密，不可以进入到诉讼程序，否则会损害国家根本利益。第二，法院在数据跨境流动监管这一问题上不具备行政机关丰富的实践经验和专业能力。因此，此种行为应当认定为行政终局行为。但此种观点有将数据安全概念泛化的风险，只通过行政途径对数据跨境流动进行监管有可能会造成个案的不公。第二种观点认为，应当对

33、 评估办法 所规定的最终结论进行限缩解释，最终结论不是指行政终局行为，而仅指国家网信部门作出的最终结论。这种最终结论属于具体行政行为，对这种具体行政行为是可诉的。此种结论将评估行为归结为与其他具体行政行为相等同的行为。其认为虽然数据跨境流动中有部分数据携带着国家安全、商业秘密和个人隐私的信息，但仍有大量的数据属于正常经济活动的基础资源，不涉及数据安全因素。因此，对于数据跨境流动的评估，自然应当给与完全的救济渠道，在最终结论后给与数据处理人行政复议和行政诉讼的通道。但这种观点在具体适用时可能面临着一系列难题：第一，具体复议机关，根据 中华人民共和国行政复议法 第 14 条规定：对国务院行政部门作

34、出的具体行政行为不服的，向作出该具体行为的国务院部门申请复议。因此，对国家网信部门作出的评估决定不服的，应当由国家网信部门进行复议。针对同一个行为，网信部门的多次反复处理，是否会造成程序的重复，又是否会对实际认定结果产生影响，是行政复议程序中可能面临的问题。第二，在数据跨境领域，法院相对于行政机关可能不具备相应的实践经验和业务专业能力。如果数据申请评估人选择通过司法途径进行权利救济，那么在法院认定时是否能够对相应行为进行充分认定，是数据跨境流动行政诉讼将面临的最大问题。在未来的实践中，我国应当基于数据跨境流动发展样态对 评估办法 中所规定的最终结论进行符合实际发展与安全的细化解释，以防止在具体

35、数据评估过程中适用标准模糊不清、适用规范不完备的情况。5 结束语数据跨境流动对于数字经济的发展具有重要的促进作用，但同时可能会造成大量的风险产生。欧盟和美国均希望在数据跨境流动方面引领世界规则走向，但究其本质，两大经济体均具有一定的利己观念和长臂管辖性质。我国 数据安全出境评估办法 的出台为数据跨境流动评估规定了若干规则，但在具体适用时，还应当立足我国国情，对相应规则进一步细化，以实现保障数字经济安全与发展齐头并进的宏伟目标。参考文献1 王娜,顾绵雪,伍高飞,张玉清,曹春杰.跨境数据流动的现状、分析与展望 J.信息安全研究.2021(06):488-495.2 黄志雄,韦欣妤.美欧跨境数据流动

36、规则博弈及中国因应以 隐私盾协议 无效判决为视角J.同济大学学报(社会科学版).2021(02):31-43.3 崔静.欧美数据跨境流动监管的经验做法及我国的策略选择 J.经济体制改革,2021(02):173-179.4 丁晓东.数据跨境流动的法理反思与制度重构兼评 数据出境安全评估办法J.行政法学研究.2023(01):62-77.5 冉从敬,刘瑞琦,何梦婷.国际个人数据跨境流动治理模式及我国借鉴研究 J.信息资源管理学报.2021(03):30-39.6 Yik-Chan Chin,Jingwu Zhao.Governing Cross-Border Data Flows:Interna

37、tional Trade Agreements and Their LimitsJ.Laws.2022(11):1-22.2023 年第 3 期019Theory Exploration理论探索7 刘金瑞.迈向数据跨境流动的全球规制:基本关切与中国方案 J.行政法学研究.2022(04):73-88.8 高敏涵.个人数据跨境流动的法律规制问题研究D.北京.外交学院,2022:12.9 冯雅.个人数据跨境流动国际规制问题研究 D.西安.西北大学,2021:23.10 冯洁菡,周濛:跨境数据流动规制:核心议题、国际方案及中国因应 J.深圳大学学报(人文社会科学版),2021(04):88-97.11 许可.自由与安全:数据跨境流动的中国方案 J.环球法律评论,2021(01):22-37.12 中共中央党史和文献研究院.习近平关于网络强国论述摘编 M.北京:中央文献出版社,2021:90.13 刘金瑞.数据安全范式革新及其立法展开 J.环球法律评论.2021(01):5-21.14 张凌寒.论数据出境安全评估的法律性质与救济路径 J.行政法学研究.2023(01):45-61.