跨境数据流动规制的自由化与本地化之辩.pdf

1、+-10-1396274（2 0 2 3)0 5文章编号10 0 20ct.10,2023Zheng Fa Lun Cong2023年10 月政法论丛No.5第5期跨境数据流动规制的自由化与本地化之辩邵峰（南方科技大学廉洁研究院，广东深圳518 0 55）【内容摘要】针对常态化的跨境数据流动，国际间的主流规制模式已经不再是绝对自由主义或严格本地化限制，而是在区别数据类型的基础上，采取了立体化的“共同体”间自由流动与“共同体”外限制流动相结合的模式。这一转向的本质是逆全球化、强区域化趋势在网络空间的蔓延。可以预见，短期内围绕数字保护主义的博奔依旧不会消失，而面对这一现实的趋势以及可能的冲击，力求

2、突围“集团封锁”，一方面，应进一步完善国内立法，尤其是结合数据生成与来源这两个关键环节对何为“跨境”加以去领土化的解读，并在此基础之上进一步鼓励发展分级分类分区域的跨境数据流动监管体系；另一方面，也应基于对等原则，协同发展“点对点”与“点对面”的数据双/多边互信机制，以有效应对与防范来自域外的恶意数据管辖，达成战略的缓冲与国际话语权的双掌握，同时实现我国由国际数据治理参与者向规则制定者的转变。【关键词】跨境数据流动数据本地化数据安全自由贸易协定【中图分类号】DF0-05【文献标识码】A对于数据跨境流动的规制，在过去的十数年间，国际社会经历了一个由“自由化”走向“本地化”、再有限回归“自由化”的

3、思潮转变过程。在二十一世纪初期，基于网络自由主义思潮，对于数据流动，国际间普遍遵从市场的导向作用，强调网络作为“公共领域”所应保持的独立性与开放性。然而，自由化的数据跨境流动并没有使信息技术革命的成果普遍惠及于各个国家,尤其是没有惠及广大发展中国家，1强者恒强弱者恒弱的局面并没有得到改变。因而，从2016年开始，基于维护本国数据安全与推动本国产业发展等因素，包括俄罗斯、越南乃至欧盟等在内的部分国家,开始以立法的形式限制数据的跨境流出，以实现将特定数据本地化管控的诉求。数据本地化在过去十年间迎来了一个立法高峰期，据经济合作与发展组织的统计，在2 0 17 年，除了一些信息化水平较低的地区外，全球

4、绝大多数国家均已实施了不同程度的数据本地化管控，立法所涉及的数据类型包括个人数据、金融数据、医疗数据等。2 1P1-12但数据自由化也并没有完全退出历史舞台，在部分场景之下甚至依旧占据主流，如国际贸易与金融等。考虑到数据自由流动与经贸发展的正相关作用，在各国新一轮多边以及双边自由贸易谈判中，倡导数据自由化流动与减少贸易壁垒也已经成为了公认的重要议题具体到我国，自2 0 16 年网络安全法以来，已经实现了跨境数据流动规制的初步体系化，国内层面，我国以立法的形式明确了数据出境的若干合法要件，同时确立了安全评估制度，国际层面，我国以双多边贸易为载体，对部分类型数据的流动进行了规制。但长久以来的“领土

5、依附”传统限制了我国对部分合法域外数据的利益获取，同时严格本地化的规制模式也开始落后于我国国际经济合作与数据治理实践。因此，如何在本地化与自由化并存的背景之下平衡二者的冲突，如何在维护国家安全的同时最大化数据自由流动所能带来的正向作用,对此,本文将在对国际间主流立法加以梳理的基础之上,以概念的解构与引人作为起点，通过定性研究来概括国际间主流规制手段的路径特征与场景例外，通过量化分析来寻找自由化与本地化模式形成的内部成因与外部驱动，最终加*基金项目：本文系北京社科基金规划项目“北京数字自贸区建设的规制研究”（2 2 FXC022）的阶段性研究成果。作者简介：邵怪（19 9 0-），男，江苏靖江人

6、，法学博士，南方科技大学廉洁研究院副教授，北京化工大学文法学院副教授。主要研究方向：网络法、数据法。2023年政法论丛140以综合研判并提出跨境数据流动规制的中国方案一、自由化：基于国际贸易的衍生在非干预的前提下，数据天然的具有流动性，然而，数据的跨境流动并不是内生的,其从无到有、从个案到常态，都可以视为国际贸易推动的结果，【3 具体来说，二者的结合与互动主要有以下四种形式：一是通过网络的货物进出口，主要是数字平台；二是与网络数据相关服务的提供与消费；三是基于进出口货物价值与需求的数据收集与分析；最后是数据流动本身所带来的就业机会。此外，数据的跨境流动与经济的发展也处于一种正相关的关系之中，充

7、分的数据跨境流动往往能够带动经济增长的最大化，据经合组织的统计，在2 0 16 年，数据的跨境自由流动给全球经济贡献了约2.8 万亿美元生产总值，约占全球生产总值的百分之三点五，并且，这一数据在2 0 2 5年预估将达11万亿美元。4 从另一个角度来看，也有调查研究表明，全球货物贸易中，约百分之十二是通过国际间数字商业平台开展的，如阿里巴巴、亚马逊等。51P但技术较为成熟的发达国家成为了主要的受益者，据统计，在过去的五年里，全球前十大经济体的国内生产总值有百分之十是由网络所直接贡献的，每2.6 个工作岗位中，就有一个直接与网络相关，同时网络数据的跨境流动也为全球带来了巨大的收益，这其中有百分之

8、三十由美国所直接占有。5】P91不难发现，由于技术层面的差距，网络与数据流动对于发展中国家经济与贸易的总体贡献依旧是远低于发达国家的。6 如果认为数据的跨境流动是自由贸易与自由市场发展的必然产物，是贸易全球化的重要保障，那么，仅从历史发展的角度来论证，我们似乎可以得出一个直接的结论，即纯粹的数据跨境流动，尤其是商业数据，基于市场导向的自由流动显然是无可厚非的，过度的干预无疑会对经济与贸易的发展造成不必要的阻碍。此外，数据的跨境流动直接受益于全球化与国际经贸往来，但也并不局限于此,其也已经渗透到了包括医疗、教育、体育等几乎所有产业领域并逐渐常态化。数据的跨境流动已经不再仅仅起到便利国际贸易与提高

9、经济效率的作用，也推动了社会的整体进步，包括社会福利与生活质量的直接提升。7 然而，自由化的内核是去法治与无监管，随着数据类型的多样化以及数据重要性的增加，完全的放任也可能会造成如下四个方面的端：首先，个人信息数据的跨境流动往往不可避免地对隐私权构成了潜在的威胁，尤其是当前跨国公司对于数据的过度收集更加剧了这一担忧；其次，数据在便利跨国经贸往来的同时，也降低了跨国犯罪的成本,并且，完全自由化的数据跨境流动也会为犯罪的调查与取证带来程序上的负担，不利于责任的追究；再次，数据流动本身是以数据包的形式在网络介质中加以传播，其本身并不含有实质性内容，8 加之传播数据的体量之大，因而对于其内容的即时检索

10、与解读存在技术上的困难,这既不利于监管的开展，也客观上为数据侵权提供了便利；9 最后，考虑到数据在互联网时代的重要价值，当一国的重要数据流人并存储于他国服务器时，也会相应地对国家安全造成一定的威胁，【10 “棱镜门”事件便是一个极为深刻的实例。在此背景之下,对于广大发展中国家和技术欠发达国家而言，一方面，网络与数据自由化的红利并未大量获取,另一方面，自由化背后的弊端却实实在在地承受着，换言之，跨境数据流动的完全自由化措施虽然能够有利于经济与贸易的发展，但其在安全、公平等方面的弊端也是上述国家所难以承受的。在经济发展与数据安全的双向价值诉求之下，自由主义思潮开始在网络空间逐渐退却，随之而来的是网

11、络空间主权思想的兴起,具体到数据跨境流动层面便是数据自由化跨境流动被或激进或温和的数据本地化政策与立法取代。但二者并非处于一个非此即彼的对立状态，而是在不同的领域，按照动态的比例，处于一种衡平的互动之中。二、本地化：基于限制程度的初步解读数据本地化首先基于一个基本的共识，即数据之于当前数字世界具有关键性作用，因此，其必须被限制在一国领土范围之内，【11I因此,其通常要求特定类型的数据在境内存储、处理和管理，而不允许或限制将这些数据跨境传输到其他国家或地区。数据本地化的核心要求是通过对数据“流出”环节采取限制，以将特定数据保留在国内服务器上，进而便利本国公权力主体能够更好地监管和管理这些数据，同

12、时也可以避免数据被不受信任的第三方访问。但数据本地化从立法角度看，所期望达成的价值是多样化的，对于如何限制数据的外流，各国普遍采取了区别但相似的数据流动规范，相似在于各国立法或政策的出发点主要与数字工业政策或经济保护主义相关联，同时也邵峰：跨境数据流动规制的自由化与本地化之辩141第5期蕴含着对公共政策或国家安全的追求；【12 区别则在于限制程度之上，具体可以量化为下表：表1数据跨境流出的限制模式无限制有条件的自由流动临时性流出禁止流出1.隐私2.适格主体3.具有约束4.基于个案责任限评价或条约力的公司规裁判或临时制机制授权则(BCRs)许可从左到右，限制程度依次增加（一）有条件的自由流动上表

13、中，最为极端的情况是完全的无限制和完全的禁止流出，采纳这两种立法模式的国家并不多见，对于后者，具有代表性的当属俄罗斯2 0 19 年主权互联网法案，其规定：俄方相关部门在“紧急情况下可将本国网络与全球互联网断开”，具体实践可以参考2022年俄罗斯与乌克兰的冲突,此次冲突中，俄方于3月正式断开与全球互联网的连接，转而使用本土互联网Runet。13 相应的，另一个极端，即无限制模式也并不多见，通常主要集中在互联网普及较低以及网络技术发展较为落后的国家。从整体来看，各国实践主要还是集中在有条件流出这一区间，其中，模式1,即“隐私责任限制”，并不禁止数据的跨境流出，也不要求数据流出应当具备特定的条件，

14、但对于数据输出方一般都明确规定了事后问责机制以确保数据不被加以滥用。14 模式2,即“适格主体评价或条约机制授权”，在当前得到了较多的立法实践，在此情况下，数据接收方通常被要求具有充分或对等的数据保护等级，或是基于国际性公约机制，在上述条件都不具备的情况下，只要满足如下要求，数据依旧可以流人第三方，包括：数据主体同意、数据传输是基于合同履行的需要、基于公共利益，以及数据传输对于保护数据主体重要利益是必要的等。【15而模式3,即基于“具有约束力的公司规则”而进行的跨境数据传输，其限制程度要明显强于模式1和2,但相应的,其适用场景具有一定的局限性，主要涉及特定的行业数据，要求跨国公司能够为数据保护

15、提供有效的权利保障与法律救济机制，即便数据流人国并非适格主体，只要保证数据在企业内部系统流动，依然可以被允许。然而，公司规则的认可往往需要经过输入与输出国两方的数据保护机构批准，而这一批准过程往往需要耗费较长时间，并且其结果也往往不具有可预测性。因而，也有部分国家采取了“标准合同条款”的模式来加以代替，16 即对于数据向第三方的流入，数据保护机构预先准备好相关规范，加人上述规范的合同可以自动被视为能够提供充足的数据安全保障，因而可以便利向第三国进行传输，但这一条款也具有一定的缺陷，主要在于具体权责往往难以实现，同时也会导致更高的行政成本。并且，数据流动也会融人到一个庞大且错综复杂的产业链中，无

16、论是标准合同条款亦或是约束力公司规则，实际上也很难防止数据接受方的下游主体对数据加以滥用(二）临时性流出相比较模式1至3，模式4 即“临时性流出”，主要针对的是非适格的数据接收主体,通常指数据输出国的有关公权力机关，根据接收国有关公权力机关的请求，临时性地对特定数据的跨境流出进行许可，并且面向的是相对具体的场景，或较为特殊的数据类型。模式4 最为常见的适用场景当属传统的司法互助协议,这一程序主要针对的是司法审判与个案相关的数据，数据存储国往往首先基于接收国的司法或外交部门请求，针对个案进行临时性的数据跨境传输。此外，模式4 也可用以针对部分特殊类型数据的跨境传输，如我国网络安全法第3 7 条规

17、定：“对于关键信息基础设施的运营者在我国境内收集和产生的个人信息和重要数据，因业务需要，确需向境外提供的，依据国家网信部门会同国务院有关部门制定的办法进行安全评估，评估通过方可流出”。不可否认的是，模式4 往往伴随着较为复杂的程序，如基于司法互助协议的数据跨境传输，通常包括“申请-审查-批准-筛选”等环节，17 这一过程是耗时且低效的。同时，模式4 与公司规则一样，也缺乏可预测性，无论是安全评估或者合规性审查，各国相关实践的范围和标准并不明晰，其中也不乏政治因素的导向，这也注定了模式4 只能作为常规程序外的补充而存在。（三）“生成地”与“来源地”的介入在确定数据跨境流动规制之前，我们依旧有一个

18、前置性的工作需要完成，即对于数据境内与境外的区分。该问题看似简单，因为我们似乎可以通过数据所处的服务器位置来判断其与特定领土的联系，但实则不然。网络空间与实体领土的割裂被技术的进步所进一步放大,尤其是云储存与大数据的发展，将不可避免地剥离数据行为、数据储存与数据主体三者在地理上的联系。因此，我们有必要引人两个全新的介人概念，即“生成地”与“来源地”，2 P29二者是具有显著区别的，所面对的数据类型也并不相同，数据的生成是一个收集性的行为,其主要代指通过对单一数据源的定性研究而形成的数据,其包含有数据加工与再处理的环节，可以说，生成数据是多个原始数据的集合，2023年政法论丛142但对于生成国而

19、言，其所使用的原始数据既可能来源于本地，也可能来源于第三方,即数据的生成地与来源地可能位于不同的主权领土之内。以分布式储存为例,数据来源于A国，其后发送至B国，并在此与来自C国的其他数据共同形成新的数据集合。那么，在这一过程中，A国可以视为原始数据的来源地（唯一）与生成数据的来源地（之一）,而B国则是数据的生成地。但如下两个问题也随之而来：首先,B国可否将数据视为境内数据，进而加以上述的本地化管控其次，A国与C国可否主张生成数据为境内数据，进而加以本地化管控对于上述两个问题，目前并没有一个统一且权威的回答，并且基于不同的观点与立场，具体到数据跨境流动管制这一环节，也衍生出了两种补充模式：首先，

20、双本地化管控模式，即以数据主体为判断标准，同时认定来源于本国（包括来源于境外的本国主体）以及生成于本国的数据都为境内数据，进而依照同样的标准来加以跨境流动管制；其次，生成地管控，即以数据行为为判断标准，仅认定生成于本国的数据为境内数据，并加以管控，无论其来源是否为本国，反之则为境外数据。2 1P23当然，上述两种模式实际上都较为宽泛，实践中，各国普遍采取的主要是管控程度有所区别的中间模式,通常情况下，基于对等原则，往往会以“来源地例外”模式或“白名单”制度作为补充，包括在一般性的数据本地化规制措施之外,允许生成的数据向来源国自由回流，或允许其在白名单国家或来源地国家间自由流动。18 P6总的来

21、说，依照限制程度的不同，主要可以归纳为下表所示的四种类型表2结合来源地与生成地的数据跨境管控模式无限制相对宽松的本地化管控严格本地化双管控1.“白名单 模式，允3.源数据与生成数2.“来源地 模式，仅许生成数据地向特据的都视为境内数允许来源地国备份定国家或地区流出据从左到右，限制程度依次增加三、基于主要经济体立法的量化分析（一）一个初步的结论如果将上述跨境数据流出的四种模式与数据的“生成”与“来源”两地加以排列组合，会得出一个极其复杂且无序的图谱，但如果依据限制程度的不同，同时结合当前各国的立法实践，除了绝对自由化和严格本地化这两个极端之外，我们可大致将数据跨境流动规制的主流模式分为三类：一、

22、相对宽松的本地化模式，即有条件地允许本地数据向特定国家跨境传输；二、相对严格的本地化模式,即临时性流出与“来源地”例外或“白名单”模式的结合；三，严格的本地化模式，即“双管控”模式与临时性流出或禁止流出模式的结合。据经济合作与发展组织的统计，就国际间已有的数据本地化立法而言，当前获得较多认同的是相对宽松的模式，约占百分之四十二；其次是相对严格的模式，约占百分之三十三，而严格的本地化模式与其他则仅有约百分之二十五的国家支持2P37二变量的引入：数据类型不可否认，上述结论仅仅是静态层面的，也仅能够粗略地反映一国立法对于数据跨境流动的整体态度，若以数据类型来加以再考量的话，我们则会得出另一组数据，即

23、基于数据类型的本地化规制趋势。具体而言，对于数据的类型，目前参照经济合作组织的标准，主要可以分为三类：首先是个人数据或个人识别信息，其次是特定行业数据，包括商业、金融、健康数据等，最后一类是与国家安全、经济发展、社会与公共利益密切相关的“重要”或“关键”数据，通常包括能源、军事、关键性基础设施、核武等。2 1P22笔者选取了具有代表性的二十国集团，以数据类型与本地化模式类型为参考指标，可以得出下表：?表3基于数据类型的2 0 国集团数据本地化立法统计国家个人数据商业、金融数据医疗数据重要数据阿根廷相对宽松无规定无规定无规定澳大利亚相对宽松无规定相对严格无规定加拿大相对宽松无规定无规定相对严格英

24、国相对宽松相对宽松无规定无规定印度相对宽松相对宽松严格限制严格限制印度尼西亚相对宽松相对宽松无规定无规定日本相对宽松相对宽松无规定无规定韩国相对宽松相对严格相对严格相对严格墨西哥相对宽松无规定相对宽松无规定南非相对宽松无规定无规定无规定严格限制土耳其相对宽松无规定无规定（十年以内）严格限制（仅针对美国无规定无规定无规定特别关注国家）相对宽松（紧急情紧急情况下紧急情况下俄罗斯严格限制况下严格禁止）严格禁止严格禁止（成员国内）（成员国内）相成员国进一欧盟严格限制相对宽松限制对宽松限制步规定通过对上述国家立法的一个定量分析，我们可以对上述观点加以进一步的优化，首先，在数据本地化成为国际主流的大背景下

25、，各国将立法与政策的主要焦点落实在了个人数据的保护之上，换言之，个人数据立法具有较高的优先级，并且，对于个人数据的跨邵143怪：跨境数据流动规制的自由化与本地化之辩第5期境流动规制，相对宽松的限制模式是一种主流选择，因此，上文非量化分析的结果更多反映的仅是个人数据的本地化规制,不具有普适性;此外,作为另一个主要的着力点，对于金融与商业数据的跨境流动规制，往往是经济发展程度越高的国家与地区越趋向于宽松化的管制，而经济发展程度较低的国家与地区则采取较为严格的本地化管制；最后,对于重要数据与个人健康数据，基于国家安全的考虑，各国普遍都是采取了相对严格的本地化措施。总的来说，各国已经普遍认识到，数据跨

26、境流动规制并非是一个“一刀切”或“一揽子”的过程,而是一个在区别数据类型基础之上加以动态调整的过程。（三）变量的引入：国际合作与协调机制即便我们针对数据跨境流动规制加以了分类调整，但这依旧不够全面与动态，原因在于我们仅以国家或国际组织作为单位，以国内立法或区域间立法为分析对象，忽视了另一个重要介人因素的影响，即地缘政治。经合组织将数据本地化立法分为三种，除了国内立法之外，还包括双边规范或政策以及政府间协议。【18 P5以美国为例,其有关国内数据立法并不发达，主要原因在于其更倾向于通过签订自由贸易协定的方式来点对点地确立数据自由流动的“白名单”制度，或者通过政府间协议的方式来参与乃至构建国际公约

27、机制，以在特定共同体内实现基于市场导向的数据流动。如APEC隐私框架下的“跨境隐私规则体系”，这一体系共有包括美国及其传统“盟友”在内共计八个国家或地区的加入，是当前多边监管中较为成熟的机制；又如在2 0 11年跨太平洋伙伴关系协定中，也以专章的形式纳人了具有约束力的条款用以规制数据跨境流动以限制数据本地化存储，但参与协议的国家也还是主要以美国传统盟友为主。在构建“白名单”之外，美国的国内立法，如尚未生效的国家安全和个人数据保护法案2 0 19，也点对点地为某些“特别关注”国家或机构设立“黑名单”，以形成数据的禁流区。采取类似措施的国家还包括欧盟、印度、巴西等,以欧盟为例,其规定个人数据可以在

28、成员国之间自由流动，但对于向非成员国的流动，则设立了诸多的门槛，其所加以考量的标准包括有“个人数据保护法治”、“人权保障”等，这一具有明显意识形态与地缘政治色彩的标准，对于我国而言显然是不友好的。此外，APEC在隐私框架2 0 0 5以及配套的“隐私开创者计划”中也设立了包括国内司法、隐私保护执法机构、信任标志提供商、隐私法规是否与APEC隐私框架的一致性等准入门槛，【19 上述标准的满足对于我国而言，依旧是不现实的。更为直接的排斥还可以参考欧盟发布的数字服务新发展研究报告，其中直接提议建立与欧盟政治价值观配套的网络防火墙，限制国际互联网服务。【2 0 1因此，不难看出，就优先级较高的数据来说

29、，如健康数据、重要数据等，严格本地化或者相对严格的本地化依旧是国际间的一致趋势，受到地缘政治的影响较小，但就个人数据、金融数据以及商业数据这三者而言，当前国际间的主流模式可以进一步归纳为在“共同体”内自由流动，而“共同体”外则限制乃至禁止流动。在此，经过动态与静态层面的分析，同时结合宏观国际政治环境，就跨境数据流动规制的国际主流模式与样貌，我们可以得出一个综合且完善理论：首先，数据跨境流动，无论是完全的市场导向，亦或是完全的本地化约束，两种极端的做法都不是当前各国的主流选择；其次，在肯定了数据本地化的必要性之后,对于采取何种程度的本地化措施，实际上取决于多方面的因素，目前并没有一个国际间的通用

30、标准或模式，需要加以考虑的客观因素包括有数据类型、数据重要程度、经济发展程度等，需要考虑的主观因素包括有各国的现实社会需要、技术发展水平等；最后，基于地缘政治与意识形态的影响，逆全球化思潮已经在网络空间兴起，强区域化趋势与数字保护主义也已经逐渐成为主流。因此，如何突破“集团封锁”与“数字鸿沟”，【2 1 进而最大化与均衡化数据红利的获取，对于包括我国在内的广大发展中国家而言，都是至关重要且呕待突围的难题四、我国的选择：被动防御亦或主动突围严格的数据本地化在一定意义上具有防御他国恶意管辖与维护本国合法数据权益的作用，然而，正如上文所述，绝对的本地化是不现实的，跨境数据流动的规制必然要考虑不同主权

31、国家之间的规则衔接与可能的立法冲突。作为网络大国与数据大国，我国自然也无法闭门造车，也需要考虑域内立法与域外规则的对接,以及法律规范与技术标准的协调。参考相关立法，2 0 11年人民银行关于银行业金融机构做好个人金融信息保护工作的通知可以视为是我国对跨境数据流动规制的第一次尝试，其在第六条中规定：“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”。从文义上来看，对于我国公民的金融数据，该通知已经明确了严格的本地化的2023年政法论丛144立法思想，对于数据的域外流动采取了完全禁止的态度。在后续的

32、2 0 14 年人口健康信息管理办法（试行）、2 0 15年地图管理条例、2 0 16 年网络出版服务管理规定等立法中，严格的本地化依旧是主导取向，当然，这也是与彼时我国的经济与技术发展水平相适应的。但随着相对宽松本地化管控的势起，我国也开始逐步转变传统立法思想，如代表性的网络安全法以及数据安全法，二者确立了数据出境安全评估机制，规定对于关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据，原则上必须存储于我国境内，确需跨境传输的，应按照国家网信部门会同国务院有关部门制定的办法进行安全评估，亦即数据跨境流出的前置性程序。同时，2 0 2 1年个人信息保护法也规定了个人信息处理者向境外传

33、输个人信息所应当具备的四种条件，除了安全评估之外，还包括有“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”“个人的单独同意”以及根据我国“缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供存储于境内个人信息的请求”。可以确定的是，个人信息保护法就数据跨境流出这一环节来说，已经开始融人“适格主体评价或条约机制授权”与“具有约束力的公司规则”这两种模式，相较之早期的立法，这是一个重大的改变。但这也依旧仅仅是一种被动的防御措施，其实质是与国际主流标准的被动接轨而非突破，成为网络强国需要我国实现话语权的掌

34、握，也需要完成由运动员向裁判员的转型，换言之，即主动突围“集团封锁”并构建跨境数据流动的中国模式，然而，预期达成上述愿景，我们当下首先需要解决如下三个困境。（一）领土化依附：以个人信息保护法第三条为起点比较来看，作为法律的适用条款，我国个人信息保护法第三条与欧盟通用数据保护条例的第三条在内容上是高度相似的,后者规定“为欧盟内的数据主体提供商品或服务一一不论此项商品或服务是否要求数据主体支付对价”、“对发生在欧洲范围内的数据主体的活动进行监控”，而我国规定“（境外活动)以向境内自然人提供产品或者服务为目的”以及“分析、评估境内自然人的行为”。但在合规对象这一问题之上，欧盟是围绕“人”展开的，既包

35、括与欧盟公民有关的域内外数据行为，亦包括欧盟境内设立的数据处理者与控制者的域内外数据行为；而我国是围绕“领土”展开的，既包括境内（信息）活动，也包括对境内产生影响的境外活动。具体到应用场景之中，首先，面对来源地为他国，而生成地为我国的数据,如我国境内相关主体对他国金融或商业数据加以分析，并随之生成了新数据，那么上述两种模式并无区别。但如果将上述过程倒置，对于来源于或储存于我国，但后续在境外生成的数据，如我国公民或法人在境外旅游、贸易、教育等过程中所产生并为他国所收集、处理的数据，在我国法律体系下则属于境外信息活动，进而无法加以有效地保护或提出正当获取的诉求。此外,对于来源与生成都在境外，但处理

36、者与控制者为我国主体的数据，如我国互联网企业在域外服务器所获取的本地数据，按照我国目前的规定，也依旧属于境外信息活动，不受我国立法的约束，也不存在合规义务。然而，后两种假设场景如果适用欧盟或美国立法，结论是完全相反的。（二）生成数据与交叉数据的规制盲区目前我国依旧仅仅实现了规制与管控体系的初步完备，在整体之下依旧存在着盲区与冲突，尤其是规则适用与权责划分领域，问题比较集中，并且也直接关系到了安全评估机制的实际效能与执行。具体来说包括两点：首先，交叉数据的管控，以个人收入信息为例,其可为金融机构所持有,进而定性为金融数据，也可为电子商务平台所获得，进而归纳为商业数据或个人信息，亦或者，即便是在个

37、人信息这一大类之下，也可能含有教育、医疗、隐私、未成年人信息等若干级别完全不同的子类。换言之，同样内容的数据可以为不同行业所获取或留存，或基于不同的标准，进而被同时归人不同的两个或多个类别之中，或适用不同的跨境流出标准。对于交叉数据的规制，多标准与多法律的竞合将是不可避免的，尤其是在数据跨境流通这一环节上，考虑到我国数据出境安全评估办法中存在有关“敏感程度”的评估，对于交又数据的分类将直接关系到其后续出境所面临的审查标准与程序；其次，对于生成数据或数据集合的监管盲区，以个人主体为例，当某一数据处理者同时收集消费、隐私、健康、金融等多类数据，并加以“用户画像”，那么对于新生成的数据集合，我们若选

38、择将其视为一个整体并使用单一程序与标准对其加以跨境评估，那么我们依旧会回到上述交叉数据的监管难题之上，若选择回归原数据、加以分别评估的话，一方面在效率层面是不可行的,另一方面也会面临一个难题，即是否需要因为个别数据的禁止出境而否定整体数据集合的出境。不可否认，无论是交叉数据亦或是生成数据，邵峰：跨境数据流动规制的自由化与本地化之辩145第5期对于其跨境流动的规制向来是各国立法所面临的公认难题，但主动突围与话语权的获取，首先需要的便是对争议话题与前言领域的提前布局与介入，这可以视为是由运动员向裁判转型的有效路径（三）双/多边国际合作的不足在域内立法的革新之外，主动突围的另一个直接思路便是国际合作

39、治理的参与，随着APEC跨境隐私规则体系的建立以及新一轮国际间贸易协定的出台，如全面与进步跨太平洋伙伴关系协定（以下简称CPTPP）、跨太平洋伙伴关系协定（以下简称TPP）等对数据跨境自由流动的强调，我国也逐渐意识到域外国际合作立法的重要性，尤其是在国际贸易与数字贸易的规则制定、数据保护与隐私法律、争端解决机制等方面，我国进行了诸多积极的尝试，如将相关规则嵌人“自由贸易协定”（FTA）、“区域全面经济伙伴关系协定”（RECP）等双边或多边贸易谈判之中。2 2】前者参考已经达成的双边协议，如“中国-新加坡”、“中国-瑞士”“中国-澳大利亚”等，我国普遍在“具体承诺减让表”中授予了他国银行与保险业

40、金融部门或分部门跨境提供金融信息或金融数据服务的权利，这实际上已经构成了对上述国内早期相关立法的突破，摒弃了严格的本地化模式，并且与部分国家实现了“点对点”的自由流动。但就个人数据与商业数据的跨境流动规制，在当前我国所达成的相关协定则较为模糊,且存有进一步解释的空间。以最新的“中国-新加坡升级自由贸易协定”为例，在其第新十五章中，参考对于商业数据和个人数据的跨境流动仅明确了如下两方面，首先，根据第二条及第三条规定，支持电子商务的发展，减少不必要的壁垒是双方都期望达成的共识，因此对于商业数据的监管应“最小化”，应最大限度的实现商务数据的自由流动。但就适用标准而言，协议仅补充规定了可“适当考虑其他

41、相关的国际标准”但并未明确相关标准为何。此外，在协议的第七条与第八条中也加人了对于个人信息的保护条款，强调“双方应尽力就各自体制进行信息交换，提升相互之间的兼容性”，这一表述无疑明确了两国就个人信息的跨境流动应当以非本地化为努力方向，但由于双方在体制与立法层面的不同，如同商业数据一样，对于如何具体进行个人信息的交换以及基于何种标准交换，实际上依旧暂未明确。在多边国际治理参与层面，进展也较为缓慢，我国当前最具代表性的多边成果是在2 0 2 0 年11月通过的区域全面经济伙伴关系协定，在协定中，与点对点的FTA一样，我国已经明确了部分金融数据在成员国之间的自由流动，但在此之外，对于其他类型的数据，

42、则并未或较少涉及。考虑到我国国内立法的严格属地传统，WTO所倡导的“谋求禁止数据本地化”主张目前很难与我国立法完全相融合，并且，中国问题并非独有，而是发展中国家的普遍担忧,早在2 0 11年TPP第七轮谈判中，美国便主张将强制性的跨境数据流动规制列人草案文本中，然而，这遭到了包括越南、马来西亚等国的直接反对，认为这直接与国家安全相冲突。2 3 自此，不难看出，在国际合作的层面，我国已经开始逐渐尝试由相对严格的本地化模式向相对宽松的本地化模式转变，但预期通过加入已有体系来达成规则与标准的对接，显然存在着一定的困难，也不符合我国作为最大发展中国家的定位，因此，主动突围与另起炉灶成为了我国的首选五、

43、突围的应然路径当确定了主动突围是我国当下网络数据立法的应然选择，那么，我们便需要就如下三项工作提前布局：首先，概念的再释义与统一，主要针对的是领土化依附倾向所导致的数据控制弱势以及交叉数据管控盲区这两个困境；其次，区域的能动与创新的发挥，主要解决的是生成数据管控空白这一问题，同时，也为我国数据跨境流出提供了“法中法”选项；最后，基于信任体系的国际规则建立，主要服务于我国国际数据合作与治理的参与，可以视为是“法外法”选项（一）去“领土依附”与“本地化”概念的再明确“领土依附”的传统间接导致了我国在数据跨境流动规制中重“生成”、轻“来源”，对于很多本应属于我国或来源于我国的数据会由于无法可依而难以

44、有效获取并加以管控。为此，结合国际间主流立法选择，有效突围的关键在于应释明“境内”与“境外”的标准，具体来说：首先，积极寻求立法的去“领土依附”，参考欧盟、美国有关的立法实践，应以“人”和“数据来源”作为辨别境内与境外的主要标准，对于来源地和生成地都为我国的数据，应视为完全的境内数据，进而参照当前立法予以相应的规制；其次，对于我国主体在境外生成的数据，如我国公民在域外产生的金融、医疗、教育等数据，应确定“本地（我国）留存”制度，包括一方面基于对等原则，允许其相对自由地域外储存,另一方面也要求新生成数据应在我国留有备份；最后，对于我国境内生成或储存的境外主体的数据，我国也应当基于对等原则，确立点

45、对点的数据流通机制，确保数据能在生成地（我国）与来源地（境外）之间自由流动，这是尊重他国数据主权与20233年政法论丛146数据安全的应有之意，但对于此类数据，我国也应当保有“本地留存”的权利。此外，也需要指出，去领土依附并不与我国所倡导的网络空间主权思想相抵触，承认并尊重他国网络主权、数据主权与管辖权域外行使之间是可以达成应然平衡的，同样，数据管控权的域外行使与网络数据跨境流动之间也可以实现自由与有序的统一。这需要我们严格坚持以实害结果为导向，对于直接主体与本国主体加以优先管控，对于上下游的间接主体和域外主体，非基于国家安全与公共利益，则弱管控；此外，考虑到自欧盟通用数据保护条例以来，域外数

46、据流动的双管控模式已经成为了国际间立法的主流模式,我国的立法跟进从另一个角度来看，也有利于自身数据利益与司法主权的维护，尤其是在面对域外国家恶意干涉的情况下，可以形成有效的战略缓冲，进而实现国家对数据的最高控制权二）童重视“分级分类分区域”立法的创新价值对于交叉数据与生成数据的管控直接关系到我国跨境安全评估机制的落实与否，因此，下一阶段我国立法的补修应以实现整体统一与局部创新为目标，具体来说,首先,统一是整体规则与标准的统一,对于关键性基础概念，我国各级各类立法中仍有冲突发生，因此，下一阶段的立法应加以统一释义，提高立法质量，以良法促善治，【2 4 对已有的各级各类数据与网络法规、政策、文件等

47、加以主动审查与专项审查，一方面允许并支持差异化立法的存在，另一方面也应避免下位法与上位法之间、同级立法之间的冲突；其次，明确数据的一级分类，并匹配与之相应的跨境流动安全评估兜底标准与一般程序，对于交叉数据，则加以二级分类，如在个人信息一级分类之下，依据敏感级别的不同，细分出个人金融信息、个人健康信息、个人消费信息等，并在上述兜底标准与程序的基础之上，进行或严或松的微调；最后，整体的统一并不意味着管控权力的绝对集中，我们允许相对的集中评估审批，但考虑到数据跨境流动规则与经济发展以及产业需求呈现出一定的正相关关系，因此也应允许部分有条件的区域与地方发挥创新性示范作用，2 5 在整体架构之内建设“数

48、据跨境流通自由港”与“个人数据跨境流动白名单”。正如粤港澳大湾区发展规划纲要、中共中央国务院关于支持深圳建设中国特色社会主义先行示范区的意见等文件中多次提出的“深港澳数据融通机制”，便可以视为单一地方立法向区域协同监管的一次积极探索与创新。可以确定，扩大局部数据自由流动水平、优化评估审查程序，在规则协调以及概念统一的前提之下构建符合地方经济与技术发展水平的“法中法”是一个兼顾防御与突围的中间选择，一方面，“数据特区”的确立可以促进我国域内规则与国际标准的接轨，减少与避免不同法域间的规则硬冲突，同时，对于国际数据要素市场的建立，可以视为是一种正向反馈；另一方面，在特区的内与外设定不同的本地化标准

49、，也可以积极引导数据的分类配置与自主流动，换言之，对于重要数据，主要配置于特区之外，并加以严格限流，而对于非重要数据，则可以依据其敏感程度加以定点储存，允许其有序的跨境流动,或是赋予数据相关主体以法律与标准选择的机会，在确立若干兜底条款的前提之下，发挥市场对于数据资源配置的作用，（三）信任体系与国际规则话语权的同步建立构建数据跨境流动的中国模式一方面需要在国内立法中构建“法中法”，进一步多样化本国的相关规制,力求在攻防两端维护我国对于数据的最高控制权；另一方面，也应着眼于国际，通过构建双边信任体系以及参与多边治理规则的制定来发展“法外法”，以中国话语权的获取来破除集团化与区域化的数据封锁。具体

50、来说，我国可以就如下三个方面加以阶段性的努力：第一，重视“战略互信”的构建。如上文所述，由于国家安全、产业竞争力等复杂因素，数据跨境流动的信任大多建立在长期的政治盟友、经贸伙伴以及具有相同价值目标的基础上，因此，构建大国之间或区域之间的“战略互信”是数据跨境流动有序实现的必要前提，也是避免出现竞争性的壁垒升级与政策扶植的必要前提。因此，下一阶段我国立法无疑要对各国数据跨境的基本政策与立法框架加以总结,并找寻不同框架下的政策、法律差异，以及形成这些差异的缘由，进而有针对性地形成国内立法与国际合作的“预衔接”。第二，不同的跨境政策,其后也有不同的技术能力、算法认同等方面的支撑，应从历史沿革和技术演