1、2023年第9期专题:跨境数据流动中的全球数据主权博弈与治理*本文系国家社会科学基金一般项目“双循环 新格局下国家数据主权安全风险的多维治理研究”(项目编号:22BTQ104)和国家社会科学基金青年项目“数据要素确权的法律供给研究”(项目编号:21CFX007)研究成果。跨境数据本地化:主权考量、安全底线与战略定位*盛祥,于琳,黄海瑛摘要跨境数据本地化已被列入很多国家/地区的法律条文,从多维方式来研究跨境数据本地化有助于对我国数据本地化进行科学的战略定位,维护我国的数据主权,实现数据安全与数据跨境高效流动的双重价值平衡。基于维护数据主权考量,文章以66个国家/地区的数据本地化措施为分析样本,从
2、多个维度剖析数据本地化策略,检视我国数据本地化策略并提出完善对策。研究发现:大多数国家/地区的价值取向是促进数据跨境流动,存在“显性”“隐性”及其二者组合等3种模式,以及本地存储与本地备份两类强度要求,客体类型侧重于个人数据。我国数据本地化策略侧重于维护数据安全,存在本地存储数据类型过多、双重本地化要求过严、数据本地化立法强度升级等问题。文章提出我国跨境数据流动的战略定位设想:正视数据主权的相对性、区别适用绝对的本地存储、坚持显性数据本地化为主、数据类型先分类再分级。关键词数据主权数据本地化国际策略数据安全数据自由流动引用本文格式盛祥,于琳,黄海瑛.跨境数据本地化:主权考量、安全底线与战略定位
3、J.图书馆论坛,2023,43(9):21-29.Localization of Cross-Border Data:Sovereignty Considerations,Security Bottom Line and Strategic PositioningSHENG Xiang,YU Lin&HUANG HaiyingAbstractCross-border data localization has been included in the legal provisions of many countries.Studyingcross-border data localizatio
4、n from a multidimensional approach helps to make a scientific strategic positioning ofChinas data localization,safeguard Chinas data sovereignty,and achieve the dual value balance of data securityand efficient data flow across borders.Based on the consideration of maintaining data sovereignty,the ar
5、ticleanalyzes the data localization strategies of 66 countries(regions)from various dimensions,reviews Chinas datalocalization strategies,and proposes some countermeasures for improvement.The study found that the valueorientation of most countries is to facilitate the cross-border flow of data,with
6、three models of explicit,implicit and a combination of both,and two types of intensity requirements:local storage and local backup,while the object type focuses on personal data.Chinas data localization strategy focuses on maintaining datasecurity,and there are problems such as too many types of loc
7、ally stored data,overly strict dual localizationrequirements,and escalating intensity of data localization legislation.The article proposes a strategic positioningscenario for cross-border data flows in China:face up to the relative nature of data sovereignty,differentiate theapplication of absolute
8、 local storage,insist on the predominance of explicit data localization,and adjust data typesby classifying before grading them.Keywordsdata sovereignty;data localization;international strategy;data security;data free flow21专题:跨境数据流动中的全球数据主权博弈与治理0引言2023年3月,我国组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹
9、推进数字中国、数字经济、数字社会规划和建设。从国际形势看,数据主权、数据安全、用户隐私保护、数据本地化存储、跨境数据流动等已成为各国关注焦点,国家数据局显然面对着全球数据资源竞争的复杂博弈。数据主权不是一个空间架构,而是一个实体概念1。数据本地化是用于维护数据主权的策略工具,数据主权安全是数据本地化策略所致力于实现的最终目标。随着全球数据安全形势日益严峻,数据本地化趋势进一步凸显,世界各国加速数据本地化进程。一方面,数据具有重要的主权保护价值2,关系国家安全、国民经济命脉、重要民生、重大公共利益的数据一旦出境而为他国所处理,势必给本国的主权和国家安全造成很大的风险3;另一方面,数据跨境流动虽已
10、成必然之势4,但在缺乏数据科技实力、没有相应制度保障数据安全的情况下,盲目地开放和共享本国的数据资源,有可能将数据大国的优势异化为威胁总体国家安全的风险5。我国所担心的安全并不仅是数据被恶意利用,更重要的是境外势力或外国政权的恶意监控对国家基本政治制度的威胁6。数据本地化是我国具有实用色彩的策略性选择6,我国近年相继出台网络安全法 网络安全审查办法 数据安全法 个人信息保护法 数据出境安全评估办法以推行数据本地化措施。数据本地化要求通过限制数据跨境流动确保数据主权安全,是主权国家在数据领域的主权主张的规范表达。广义上的数据本地化包括任何对数据跨境流动作出的限制,狭义的数据本地化仅指将数据的存储
11、和处理置于数据来源国境内的数据中心和服务器的要求6。鉴于各国对数据本地化的认知差异性,数据本地化必然存在不同表达,为达成概念认知上的共识,本文在概念使用上采取广义的数据本地化。本文基于国家数据主权的价值立场,考察世界各国数据本地化的策略实践,在此基础上展开分析与评价,反思当前我国数据本地化策略存在的问题,在借鉴国际数据本地化有益经验的基础上,为完善我国数据本地化措施提出对策,以期实现数据跨境自由流动与数据主权安全维护之间的价值平衡。1研究综述数据本地化研究集中于数据本地化的概念、价值、模式、域外立法、规制与完善,以及数据跨境的冲突与协调等方面。(1)数据本地化的概念理解。Julian Box对
12、“数据驻留”(Data Localization)、“数据主权”(Data Sovereignty)与“数据本地化”(DataResidency)作出区分:数据驻留是出于监管或政策考虑,企业、行业机构或政府指定其数据存储于他们选择的地理位置;数据主权不仅要求存储在指定的位置,还受物理存储数据的国家的法律管辖;数据本地化则要求在特定边界内产生的数据留在边界内7。(2)数据本地化的价值评价。国内学者对数据本地化进行了正当性的阐述,给予数据本地化充分的肯定8;而国外学者认为数据本地化容易造成加拉帕戈斯综合症(Galapagos syndrome),即短期的孤立舒适生活导致长期的灭绝,在具有全球性的电
13、子商务市场上尤其如此9,对数据本地化给予反思或否定的态度。(3)数据本地化模式。Anupam Chander指出,事实上的数据本地化也被称为软数据本地化(soft data localization),其对公司施加本地化压力的法律制度不是直接要求数据或流程本地化,而是使替代方案具有法律风险,因此可能是不明智的10。(4)数据本地化的域外立法。主要集中于欧盟和美国,也有少量研究成果关注印度11、俄罗斯12、越南13的数据本地化立法实践。SimnHernndez等对俄罗斯数据本地化要求所面临的法律问题进行全面评估,得出结论:俄罗斯数据本地化要求具有事实上的将处理该国公民个人数222023年第9期专
14、题:跨境数据流动中的全球数据主权博弈与治理据的跨境互联网服务数量降至零的效果,因违反服务贸易总协定(General Agreement onTrade in Services,GATS)而不能成立14。(5)数据本地化的规制与完善。SusannahHodson提出,全面与进步跨太平洋伙伴关系协定(Comprehensive and Progressive Agree-ment for Trans-Pacific Partnership,CPTPP)通过禁止更广泛的数据本地化措施,包括不构成违反国民待遇或市场准入纪律,改善了GATS纪律,为解决全球服务供应商面临的数据本地化措施提供了新模式,在促
15、进企业日益增长的跨国界传输和存储数据需求与政府出于公共利益进行监管的权力之间实现了适当平衡15。(6)数据本地化与数据跨境的冲突与协调。境内存储与跨境流动之间的价值冲突是数据本地化的研究热点,也是数据本地化存在诸多争议的症结所在。在数据跨境执法领域,数据本地化并未受到学者一致认可。吴玄认为过于严苛的数据本地化法律无助于解决跨境数据执法的困境16;赵海乐认为我国数据本地化要求需与我国已加入的区域全面经济伙伴关系协定(Regional Com-prehensive Economic Partnership,RCEP)和未来可能加入的CPTPP电子商务规则相协调17。综上,当前数据本地化相关研究涉及
16、主题较多,但就域外数据本地化研究而言,主要集中于欧美,缺乏对各国数据本地化措施的考察,也没有基于数据本地化的国际策略来审视我国数据本地化措施。鉴于此,本文以各国数据本地化措施为研究样本,从客体类型、模式选择、强度要求和价值取向等维度考察数据本地化国际策略,以此为分析框架检视我国数据本地化策略并提出应对之策。2跨境数据本地化的主权考量美国信息技术和创新基金会(InformationTechnology and Innovation Foundation,ITIF)2021年发布全球数据本地化趋势报告18,指出数据本地化要求的国家数量从2017年的35个增加到2021年62个,数据本地化措施总数(
17、包括显性和隐性)从2017年67项增加到2021年144项。全球互联背景下,数据本地化趋势非但不会削弱,反而在复杂的国际形势下进一步强化19。ITIF调研世界各地的数据本地措施形成“附录A:数据本地化措施列表”18,详细列举了66个国家/地区显性的、隐性的、被提议的或草案阶段的数据本地化措施。本文以此为样本数据来源,对列表中66个国家/地区的数据本地化措施展开多维度归纳与分析。2.1价值取向的主权考量:数据自由流动与维护数据安全主权国家的数据本地化限制出境的数据种类、本地化存储严格程度、数据跨境传输条件等因素,能反映出该国在数据自由流动与数据安全之间的策略侧重。如表1所示,有18个国家/地区的
18、策略侧重维护数据安全,其数据本地化策略存在如下特征。其一,限制多种数据出境。例如,俄罗斯数据本地化涉及个人数据、财务/税务/银行数据、支付数据、政府数据、ICT/电信数据、公共本地云数据等。其二,严格的个人数据本地化要求。侧重维护数据安全的国家/地区对个人数据跨境采取严格的数据本地化措施,要求个人数据必须在境内存储、处理,例如沙特阿拉伯要求公司在境内存储和处理个人数据。其三,设置严格的数据跨境传输条件。例如,欧盟虽然不禁止个人数据跨境流动,但数据跨境要求复杂、标准极高,给企业数据跨境带来诸多困难。表1各国数据本地化策略的侧重价值维护数据安全数据跨境流动国家/地区肯尼亚、尼日利亚、南非、欧盟、俄
19、罗斯、印度、土耳其、沙特阿拉伯、阿拉伯联合酋长国、哈萨克斯坦、乌兹别克斯坦、孟加拉国、斯里兰卡、印度尼西亚、韩国、越南、巴西、中国科特迪瓦、加纳、卢旺达、塞内加尔、安道尔、亚美尼亚、阿塞拜疆、比利时、波斯尼亚和黑塞哥维那、保加利亚、塞浦路斯、丹麦、意大利、芬兰、格鲁吉亚、德国、希腊、科索沃、黑山、卢森堡、马耳他、摩尔多瓦、摩纳哥、荷兰、北马其顿、波兰、罗马尼亚、圣马力诺、科维特、塞尔维亚、瑞典、瑞士、乌克兰、英国、阿尔及利亚、埃及、约旦、巴基斯坦、马来西亚、巴西、智利、秘鲁、委内瑞拉、澳大利亚、新西兰、加拿大、墨西哥、美国数量184823专题:跨境数据流动中的全球数据主权博弈与治理其四,数据跨
20、境规则具有模糊性。部分国家/地区要求数据跨境需经监管机构批准,但获得批准的条件要求并不明确。例如,土耳其个人数据保护法规定,个人数据向提供足够保护措施的国家传输,无需经过数据主体同意,可向不能提供足够保护措施的国家传输需经批准,然而土耳其尚未公布达到充分保护标准的国家名单,也尚未批准寻求特别批准的公司。另有48个国家/地区的策略侧重数据自由流动,特征与上述侧重维护数据安全的本地化相反。其一,限制出境的数据类型不多。主要对政府记录、健康和基因等重要数据提出本地化存储要求。例如,澳大利亚个人控制电子健康记录法仅要求个人健康数据只能在境内存储,对其他数据不作出本地化要求。其二,不限制个人数据出境或者
21、不对个人数据出境设置严格条件。例如,安道尔、亚美尼亚、阿塞拜疆等国家规定,经过数据主体同意,即可向不能提供充分保护的国家传输个人数据。2.2模式选择的主权考量:“显性”和“隐性”及其组合依据数据本地化要求是否明示,数据本地化立法可分为显性数据本地化和隐性数据本地化。前者直接地、明确地要求数据本地化存储、处理,禁止境外传输或者要求在境内建立服务器和数据中心,措施文本表达与本地化立法目的具有同一性;后者是指没有明文规定要求数据本地化存储,但通常针对数据跨境规定诸多限制性条件,设立较高的门槛,对不符合条件的数据跨境行为处以巨额罚款,此种模式迫使企业不得不因沉重的合规负担而主动放弃数据跨境需求,间接实
22、现数据本地化立法目的。如表2所示,显性数据本地化(39.39%)和隐性数据本地化(36.36%)都是各国家/地区普遍采取的立法方式,另有16个国家(24.24%)兼采这两种立法方式。显性数据本地化的“明确”体现在客体、要求、立法态度上。其一,客体类型明确,即针对的数据类型较为固定,主要集中在个人数据、财务/税务/银行数据、ICT/电信数据、政府数据和支付数据五大类型。其二,要求明确,即明确要求特定数据在本地数据中心存储、托管、处理、访问。其三,立法态度明确,事实上,采取显性数据本地化立法的国家在数字化时代到来前,就对纸质的特定记录作出了明确的本地化要求。欧盟被认为是隐性数据本地化立法的典型代表
23、。欧盟通用数据保护条例(General DataProtection Regulation,GDPR)第五章对个人数据跨境作出了极为严格的传输条件,要求第三方国家或国际组织能够提供不低于GDPR的数据保护水平,由欧盟委员会根据各国个人数据相关立法、是否具有独立监管机构、是否有与个人数据保护相关的国际承诺或义务等因素综合评估保护程度是否充分,获得充分性认定后即可实现数据跨境,目前获得欧盟充分性认定的国家仅有14个21。对于无法提供充分性保护的第三方国家或国际组织,欧盟允许特定商事主体在采取适当保障后实现数据跨境,GDPR第46条规定“约束性的企业规则”“标准数据保护条款”“经批准的行为准则”“经
24、批准的认证机制”等4种替代性数据传输保障。此外,GDPR第49条针对不满足充分性认定或未采取适当保障的第三方国家或国际组织,规定“数据主体明确同意”“订立或履行合同所必要”“公共利益”“法律诉求”“重大利益”等特定情形下的豁免,即出现上述情况允许数据跨境传输。表2各国数据本地化策略的模式模式显性数据本地化隐性数据本地化显性+隐性的数据本地化国家/地区加纳、肯尼亚、尼日利亚、塞内加尔、芬兰、比利时、保加利亚、塞浦路斯、法国、卢森堡、德国、希腊、荷兰、波兰、阿尔及利亚、沙特阿拉伯、哈萨克斯坦、乌兹别克斯坦、巴基斯坦、越南、巴西、智利、委内瑞拉、澳大利亚、新西兰、美国科特迪瓦、安道尔、亚美尼亚、阿塞
25、拜疆、波斯尼亚和黑塞哥维那、欧盟、格鲁吉亚、意大利、科索沃、马耳他、摩尔多瓦、摩纳哥、黑山共和国、北马其顿、圣马力诺、塞尔维亚、瑞士、乌克兰、英国、埃及、约旦、科威特、斯里兰卡、马来西亚卢旺达、南非、丹麦、罗马尼亚、俄罗斯、瑞典、土耳其、阿拉伯联合酋长国、孟加拉国、印度、印度尼西亚、韩国、秘鲁、中国、加拿大、墨西哥数量262416242023年第9期专题:跨境数据流动中的全球数据主权博弈与治理2.3强度要求的主权考量:数据本地存储与数据本地备份根据数据本地化强度,显性数据本地化可细分为绝对的数据本地存储和数据本地备份。前者要求数据必须在本地的数据中心或服务器存储、托管、处理;后者仅要求数据控制
26、者须在本地备份数据,不强制要求境内存储,经过备份的数据在符合法律规定的条件下可以向境外传输。如表3所示,绝大部分国家采取绝对的数据本地存储(88%)。各国一般将该强度适用于对国家、社会、个人至关重要的数据,例如加拿大的不列颠哥伦比亚和新斯科舍两省规定,学校、医院等公共机构持有的个人数据只能在加拿大存储和访问。即便是倡导数据自由主义的美国,也明确规定国防、税务、医疗等关键部门的数据应当存储于本地,并对其采取出口限制措施20。不过,在绝对的数据本地化存储模式下,各国本地化要求也存在些许差别:一是部分国家要求数据必须在境内存储、处理,但允许境外访问,例如俄罗斯虽然要求个人数据本地化,但并未禁止他国从
27、境外远程访问位于俄罗斯境内的个人数据。二是部分国家仅要求一定期限的境内存储,如德国电信法要求电信服务提供商必须在境内的服务器存储电话号码、通信时间、通信地点等数据4-10周。三是部分国家明确要求在境内存储,但也规定向境外传输的例外情形或特殊条件,如卢森堡明确要求金融机构必须在境内处理数据,除非得到明确同意或为该机构所属集团的一个实体处理数据。表3各国数据本地化策略的强度强度绝对的数据本地存储数据本地备份国家/地区加纳、肯尼亚、尼日利亚、塞内加尔、比利时、保加利亚、塞浦路斯、法国、德国、希腊、卢森堡、荷兰、波兰、阿尔及利亚、哈萨克斯坦、乌兹别克斯坦、越南、巴西、秘鲁、委内瑞拉、澳大利亚、新西兰、
28、美国、卢旺达、南非、罗马尼亚、俄罗斯、瑞典、土耳其、阿拉伯联合酋长国、沙特阿拉伯、印度、印度尼西亚、韩国、中国、墨西哥、加拿大丹麦、芬兰、孟加拉国、巴基斯坦、智利数量3752.4客体类型的主权考量:侧重于个人数据各国数据本地化措施所限制跨境的数据类型较为广泛,39个国家/地区对个人数据跨境作出限制性规定。个人数据是各国数据本地化立法普遍规制的数据类型:一方面,个人数据中承载了公民的个人隐私,公民隐私权的保护效果依赖于国家对个人数据的实际控制;另一方面,一国海量个人数据,必然反映该国的政治、经济、社会情况,存在泄露国家秘密的风险,需要主权国家对其重点监管22。通过考察39个国家/地区有关数据本地
29、化措施(包含拟议措施),个人数据本地化措施基本上可以类型化为4种。(1)个人数据仅能在境内存储,禁止跨境传输、处理。持此种要求的国家中,哈萨克斯坦、乌兹别克斯坦、巴西、孟加拉国将范围限定在所有个人数据,而肯尼亚、加拿大的不列颠哥伦比亚、新斯科舍两省则是将个人数据范围限定在与公共利益相关的个人数据。(2)个人数据原则上境内存储,跨境传输需经监管机构批准或经数据主体同意。此种模式下的数据跨境受制于监管机构的批准、授权,虽然为企业提供了跨境传输的机会,但此种规定的初衷依旧出于维护国家数据主权。例如,沙特阿拉伯的国家数据治理暂行条例明确规定“以确保维护对此类数据的数字国家主权”。(3)个人数据副本必须
30、在境内存储。例如,巴基斯坦允许个人数据跨境传输,但必须在境内留有副本。(4)允许个人数据向提供同等数据保护水平的国家传输。这是绝大部分欧洲国家/地区采取的数据本地化策略。对于提供同等保护的国家通常以“白名单”列举,对于无法提供同等或足够数据保护的国家,若存在征得个人同意、为订立或履行合同所必要、重大利益等情形则可以向境外传输,也有部分国家采取许可制,将上述情形作为监管机构批准向无法提供足够数据保护的国家传输个人数据的前提。如表4所示,除个人数据的跨境传输是各国数据本地化策略的规制重点,财务/税务/银行数25专题:跨境数据流动中的全球数据主权博弈与治理客体个人数据财务/税务/银行数据政府记录和云
31、服务数据ICT/电信数据支付数据医疗数据测绘数据公共本地云数据博彩数据非个人数据关键信息基础设施相关的数据其他被认为影响国家安全和公共利益的数据国家/地区科特迪瓦、肯尼亚、南非、安道尔、亚美尼亚、阿塞拜疆、波斯尼亚和黑塞哥维那、欧盟、格鲁吉亚、科索沃、马耳他、摩尔多瓦、摩纳哥、黑山、北马其顿、罗马尼亚、俄罗斯、圣马力诺、塞尔维亚、瑞士、土耳其、乌克兰、埃及、约旦、科威特、沙特阿拉伯、阿拉伯联合酋长国、哈萨克斯坦、乌兹别克斯坦、孟加拉国、印度、巴基斯坦、斯里兰卡、韩国、巴西、中国、加拿大、墨西哥、美国比利时、丹麦、芬兰、德国、意大利、卢森堡、俄罗斯、瑞典、土耳其、英国、阿尔及利亚、孟加拉国、印度
32、、印度尼西亚、马来西亚、韩国、越南、中国、新西兰、墨西哥、美国肯尼亚、卢旺达、塞内加尔、丹麦、欧盟、法国、荷兰、俄罗斯、土耳其、孟加拉国、印度、印度尼西亚、韩国、巴西尼日利亚、卢旺达、德国、希腊、俄罗斯、土耳其、哈萨克斯坦、印度、印度尼西亚、越南、中国、美国加纳、尼日利亚、南非、俄罗斯、土耳其、印度、越南、智利、委内瑞拉、中国肯尼亚、英国、阿拉伯联合酋长国、印度、印度尼西亚、中国、澳大利亚塞浦路斯、土耳其、印度、韩国、中国俄罗斯、沙特阿拉伯、秘鲁、墨西哥保加利亚、波兰、罗马尼亚印度南非中国数量39211412107543111表4各国数据本地化策略涉及的客体据、政府记录和云服务数据、ICT/电
33、信数据、支付数据、医疗数据、测绘数据、公共本地云数据,甚至博彩数据等也是各国数据本地化所涉及的重要数据类型。上述数据类型基本上囊括了一国经济、政治、信息技术、社会民生等重要领域的情报信息。在数据出境场景下,这些数据极易被境外主体不正当使用、不受控制地流转、遭到网络攻击或黑客入侵乃至间谍刺探23。3跨境数据本地化的安全底线3.1价值安全底线:呈现维护数据安全的态势当前全球数据安全与数据跨境流动仍处于失衡状态,各国基于不同立场制定数据本地化策略。各国经济技术等实力不均,各大经济体的数据出境治理战略显著地呈现出以发达国家为主的“自由流动”和以发展中国家为主的“本地限制”两大类型23。通过前述各国数据
34、本地化策略的分析可知,在数据安全与数据自由流动之间,大多数国家的数据本地化策略倾向于促进数据自由流动,表现为尽量减少对数据出境的类型限制、将个人数据跨境的决定权交由个人、不设过严的数据跨境传输条件等。然而,我国数据本地化策略则表现出限制出境数据类型多样、个人数据跨境受公权管控、数据跨境传输条件严苛等样态,数据本地化策略整体呈现出“重数据安全、轻数据流动”态势。3.2强度安全底线:数据本地化立法强度升级我国数据本地化策略主要采取绝对的数据本地存储,在诸多法律、行政法规、部门规章等文件中明确规定本地存储要求。在数据本地化策略中,立法是最为重要的类型,因为法律的效力位阶往往比其他措施更高。我国数据本
35、地化立法主要规制两类数据的跨境传输,一类是个人数据,一类是重要数据。个人数据是各国数据本地化策略重点管控的数据类型,以我国个人数据本地化措施为例,个人信息保护法针对国家机关、关键信息基础设施运营者以及处理个人信息达到规定数量的个人数据处理者,明确要求个人数据在境内存储;重要数据是立法者结合我国国情对数据作出的独特分级,网络安全法 汽车数据集安全管理若干规定(试行)等法律规范均明确提出重要数据的本地存储要求。尽管立法作出了个人数据和重要数据附条件的跨境传输规定,即“确需向境外提供的,应当进行安全评估”,但“确需”一词仍表露出,立法机关对两类数据出境持否定态度,并且重要数据相较于个人数据的出境要求
36、,还增加了“因业务需要”的规定。“确需”和“因业务需要”一再表明,个人数据262023年第9期专题:跨境数据流动中的全球数据主权博弈与治理和重要数据出境之前难免要通过向境外提供的必要性审查,一旦被认为达不到“确需”或“业务需要”的条件,即丧失跨境传输的前提,即便满足跨境传输的其他条件也无法实现数据跨境。3.3模式安全底线:双重本地化要求过于严苛我国数据本地化策略采取“显性+隐性”双重本地化模式,以显性数据本地化为主,以隐性数据本地化为补充。显性数据本地化策略早在1989年实施的保守国家秘密法中就有所体现,该法明确禁止跨境传输国家秘密。2000年出台的电信条例、2006年出台的电子银行业务管理办
37、法、2013年出台的征信业管理条例、2014年出台的人口健康信息管理办法(试行)、2016年出台的网络出版服务管理规定以及地图管理条例等法律文件对各行业、领域的数据做出了显性数据本地化要求。2017年出台的网络安全法在法律层面对重要数据和个人信息作出“境内存储,确需向境外提供的,应当进行安全评估”规定。此后数据安全法个人信息保护法 网络安全审查办法 数据出境安全评估办法等法律相继出台,基本沿用网络安全法的规定,逐渐形成了“以境内存储为原则,允许通过安全评估的数据出境为例外”的数据本地化规则。隐性数据本地化策略则主要体现为,对数据处理者义务与责任的规定。例如,网络安全审查办法 规定了掌握超过10
38、0万用户个人信息的网络平台运营者境外上市的网络安全审查义务、数据安全法规定了违法向境外提供重要数据的法律责任等。日渐增多的法律规范使显性数据本地化不断扩充着境内存储要求所能涵摄的数据范围,日渐严苛的数据跨境传输条件使隐性数据本地化不断限缩着可以出境的数据类型,相较于采取单一模式的国家,我国所采取的“显性+隐性”双重本地化模式更为严苛。3.4客体安全底线:本地存储的数据类型过多如表4所示,我国数据本地化涵盖个人数据、财务/税务/银行数据、ICT/电信数据、支付数据、医疗数据、测绘数据,以及其他被认为影响国家安全和公共利益的数据,要求本地化的数据类型数量仅次于印度。而除印度、俄罗斯、土耳其以及我国
39、要求的本地化数据类型数量达到6种以上外,绝大部分国家的数据本地化策略基本上将数据类型控制在3种以内。虽然将某些重要领域的数据限制在境内有助于实现主权国家对数据的管控,但面对经济全球化趋势,还应当对数据主权的基本内涵保有理性认识,即数据主权是一个具备多属性面向的概念范畴,其不仅是一种政治主权,还是一种经济主权24。对数据跨境的过度限制或禁止,很可能会将本国数据本地化策略异化为逆全球化,难以兼顾主权国家的安全利益与发展利益。4跨境数据本地化的战略定位4.1价值定位:正视数据主权的相对性我国一直强调的数据主权依旧囿于传统主权观念,传统的威斯特伐利亚主权理论下的主权表现出强烈的不相容性和绝对性24。然
40、而,数据主权虽然是主权在数据领域的延续,但与传统国家主权相比更具相对性。这种相对性在对内对外两个维度均有体现:对内体现为国家对数据管控的相对性,即数据的跨境流通意味着国家无法对数据实行完全的控制25;对外体现为国家独立自主的相对性,即一国在全球网络空间中不可能做到完全独立和完全自主,全球互联互通的背景下,主权国家已经由各自独立走向相互依赖。因此,我国数据本地化策略应正视数据主权的相对性,不仅要看到数据主权的政治属性,还要看到数据主权的经济属性。既要有以维护数据安全为价值导向的数据本地存储制度,又要有以促进数字经济发展为价值驱动的数据跨境流动机制,兼顾数据安全保护与数字经济发展。4.2强度定位:
41、区别适用绝对的本地存储尽管我国法律、行政法规、部门规章以及规范性文件的数据本地化规则存在一定差异,但所有含有数据本地化规则的法律文件几乎均表明了同一立法态度和要求,即数据应当存储于境内。我国数据本地化将绝对的数据本地存储模式几乎适用于所有的数据类型,高强度的数据本地化立27专题:跨境数据流动中的全球数据主权博弈与治理法不仅无法充分维护国家数据主权,也不利于在数据跨境流动中维护国家经济利益24。调节数据本地化策略强度,不应实行绝对的数据本地存储“一刀切”。例如,对于个人数据,在不考虑数据规模的情况下,无论是一般个人数据跨境,还是敏感个人数据跨境,均具有极强的个人属性,个人数据跨境主要影响私主体利
42、益而非国家利益,因此应当将个人数据跨境决定权交由个人,经个人同意即可出境;除非当个人数据出境数量达到一定规模时,其社会属性得以凸显,国家安全利益受到威胁的可能性更大,此时达到量级的个人数据出境在取得个人同意的基础上,还应通过国家主导的安全评估方可出境。除此之外,为实现国家对本国数据的有效控制,可将数据本地备份作为数据跨境的基本前提,要求所有出境数据均应在境内备份,以便境内的数据调取和数据利用。4.3模式定位:坚持显性数据本地化为主当前我国“以显性数据本地化为主,以隐性数据本地化为补充”的策略导向具有一定合理性。尤其对于数据出境而言,显性数据本地化更容易降低合规成本,因为相较于隐性数据本地化具有
43、极大的不确定性和不透明性,显性数据本地化会明确地规定可为或不可为。就数据出境而言,应坚持显性数据本地化,尽可能减少隐性数据本地化措施数量,降低我国企业涉外业务的合规成本。一方面,应防止显性数据本地化异化为隐性数据本地化。我国采取“以境内存储为原则,以通过安全评估的数据出境为例外”的本地化规则。过于模糊或过于严苛的安全评估标准均有可能导致显性数据本地化演变为隐性数据本地化,因此数据出境安全评估在评估主体、评估对象、评估标准等方面的内容要求需做进一步细化与量化。另一方面,应统一显性数据本地化规则。我国早在20世纪80年代就启动数据本地化立法,至今有超过20部法律文本涉及显性数据本地化规则,散见在不
44、同行业、领域的法律规范中18。这些行业、领域的数据本地化规则不仅存在差异,而且与网络安全法等法律确定的数据本地化基本规则也存在差异,因而数据本地化规则需进一步统一。值得注意的是,仍要充分认识到隐性数据本地化依然为世界各国普遍采用。尽管限制数据出境,但允许向提供同等保护水平的数据接收方传输本国数据,只是同等保护水平或者充分性认定较为严格。于我国而言,为满足数据输出国的数据保护要求,相应地提高数据保护水平即可,尽可能不做出数据本地化规定。4.4客体定位:数据类型应先分类再分级我国数据本地化策略需要解决两个核心问题:一是限制何种数据出境,二是怎样限制数据出境。针对第一个问题,数据本地化措施已经明确要
45、限制个人数据、重要数据以及其他特定领域数据出境,但还需进一步完善上述数据的分类分级。我国数据本地化措施之所以会出现数据类型交叉重合问题,主要原因可归结于数据分类方式。我国数据本地化先是在各行业、各领域进行规定,无论法律或政策等措施的制定者先前是否有数据分类的理念,我国数据本地化存在事实上依据行业领域的数据分类方式。然而,后来在立法中出现的“重要数据”“核心数据”及其本地化规则,则是依据重要程度对数据进行划分。事实上,依据重要程度的数据分类方式本质上属于数据分级。目前,我国数据本地化策略实际上是将数据分类与数据分级并行,应调整为按照“先分类、再分级”的思路划分数据类型。参考文献1文禹衡,戴文怡.
46、数据主权安全能力成熟度评估应用研究以DSSCMM模型应用于中国的评估为例J.图书与情报,2021(4):39-51.2方滨兴.论网络空间主权M.北京:科学出版社,2019:326.3程啸.个人信息保护法理解与适用M.北京:中国法制出版社,2021:301.4陈兵,胡珍.数字经济下统筹数据安全与发展的法治路径J.长白学刊,2021(5):84-93,2.5肖冬梅,文禹衡.在全球数据洪流中捍卫国家数据主权安全J.红旗文稿,2017(9):34-36.282023年第9期专题:跨境数据流动中的全球数据主权博弈与治理6刘金河,崔保国.数据本地化和数据防御主义的合理性与趋势J.国际展望,2020,12(
47、6):89-107,149-150.7BOX J.Data sovereignty vs data residency vs data localizationEB/OL.2022-09-20.https:/ International Regimes and Korean PracticesJ.Journal of World Trade,2018,52(2):187-208.10 ANUPAM C.Is Data Localization a Solution forSchrems II?J.Journal of International EconomicLaw,2020,23(3):7
48、71-784.11 戴永红,陈思齐.印度数据本地化:网络利益边疆的碰撞与机遇J.南亚研究季刊,2022(2):93-112,159.12 孙祁,尤利娅哈里托诺娃.数据主权背景下俄罗斯数据跨境流动的立法特点及趋势J.俄罗斯研究,2022(2):89-107.13 洪昇.浅析越南数据本地化储存的立法必要性和启示意义J.信息安全与通信保密,2019(7):52-60.14 HERNANDEZ S,RAINA A.Legal Problems withData Localization Requirements:The Case of theRussian FederationJ.Global Tra
49、de and CustomsJournal,2020,15(9):445-459.15 HODSON S.Applying WTO and FTA Disciplines toData Localization MeasuresJ.World Trade Review,2019(4):579-608.16 吴玄.云计算下数据跨境执法:美国云法与中国方案J.地方立法研究,2022,7(3):96-110.17 赵海乐.论我国数据本地化措施与FTA缔约的协调J.国际经济法学刊,2022(2):29-40.18 ITIF.How Barriers to Cross-Border Data Flows
50、 AreSpreading Globally,What They Cost,and How toAddress ThemEB/OL.2022-08-03.https:/itif.org/publications/2021/07/19/how-barriers-cross-border-data-flows-are-spreading-globally-what-they-cost/.19 裴炜.全球互联背景下数据本地化发展趋势与展望J.中国信息安全,2021(5):72-74,81.20 唐彬彬.数据本地化法律规制的反思与完善J.情报杂志,2022,41(5):162-168,197.21 A
浙ICP备2021020529号-1 | 浙B2-20240490 
