全球数据本地化与跨境流动立法规制的基本格局

数据本地化与跨境流动已经成为全球数据监管的一大重点，近年来，围绕数据跨境监管的规则制定与实施争议从未间断。总体来说，各国呈现出立法差异化、博弈激烈化，同时在某些方面又不乏趋同化的复杂态势。

本文认为，全球数据本地化与跨境流动立法的差异主要体现为：

●数据本地化要求程度不同、重点管制的数据类型不同以及数据跨境流动的监管机制不同；

●共性则主要体现为：区分数据类型，分类管控；

●多种监管机制并行，灵活适用；多利益攸关方合作，寻求共识。

基于现有的数据类型、敏感阈值划分和存储机制所产生的监管差异与共性构成了全球数据本地化与跨境流动规制的基本格局，反映了深层次的国家需求和利益博弈。

数据本地化与跨境流动立法全球化

数据是数字经济时代的基本要素。经济全球化格局下，电子商务、云服务等跨境服务日益频繁，数据跨境流动逐渐走向常态化，成为影响全球经济贸易的重要因素。

与此同时，“棱镜门”事件和全球数字基础设施攻击事件的频发凸显了数据跨境的诸多安全风险。如何有效平衡个人隐私保护、国家安全保障等安全利益与数据跨境流动所产生的经济价值的冲突成为各国面临的共同难题。

在此背景下，一方面， 倡导数据自由化，减少贸易壁垒成为各国新一轮多边、双边谈判的重要议题；另一方面，基于维护国家安全和社会公共秩序、保护个人隐私、提升执法效率、促进本土产业发展等考量， 各国推动数据跨境监管的规则制定，掀起有关数据本地化的立法浪潮，应对数据跨境可能引发的安全风险。

在数据本地化立法方面，据美国信息技术创新基金 2017 年 4 月统计，除信息化水平较低的非洲外，绝大多数国家均已实施了不同程度的数据本地化政策，如图 1 所示。

该图中浅蓝色表示没有数据本地化要求的国家或地区；中蓝色表示对于 1-2 种类型数据跨境有限制的国家或地区；深蓝色表示对于 3 种以上类型的数据跨境有限制的国家或地区。

综观各国立法， 数据本地化体现为不同的法律合规性要求，包括禁止数据离境、数据本地留存副本、数据离境前实施安全评估、要求数据中心建在本国境内等。

图 1 全球数据本地化与跨境传输立法现状图

在数据跨境流动立法方面，各国有关跨境数据流动的规则主要集中于个人数据以及金融、医疗等特殊领域的数据。

1973 年《瑞典数据保护法》在全球范围内首次通过法律限制个人数据跨境流动。

欧盟 1995 年《个人数据保护指令》（Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data，以下简称“95 指令”） 系统规定了个人数据保护要求，限制成员国向非成员国的跨境数据流动。

2016 年通过、2018 年实施的《通用数据保护条例》（General Data Protection Regulation，GDPR）继承了 95 指令的境内外数据流动规制的二元划分机制，将数据跨境流动分为欧盟境内成员国间、欧盟与其境外国家两个层次。

对内禁止成员国借数据保护名义限制个人信息在欧盟境内的自由流动；对外则予以限制，但在汇集各国和地区做法的基础上，提出了多种合法的数据跨境流动方式，包括充分性决定机制、有约束力的公司规则机制、标准合同条款机制、行为准则机制、认证机制、国际协议等。

此外，在数据主体同意、企业追求合法利益、为履行合同义务所必须等例外情形下，数据也可向欧盟境外第三国传输。

对于非个人数据，为消除欧盟成员国数据本地化的限制，实现欧盟“单一数字市场”战略，2018 年欧盟《非个人数据自由流动条例》（Regulation on a framework for the free flow of non-personal data in the European Union）强调除非公共安全理由， 原则上不禁止数据的跨境流动。

在美国，为保障云计算服务的安全，《联邦政府云计算战略》（Federal Cloud Computing Strategy）规定可以对数据进行控制并且制定相关政策确定数据应储存在何处。

2015 年，美国国防部规定所有为该部门服务的云计算服务提供商须在境内储存数据。

2016 年，美国国家税务局发布规定要求税务信息系统应当位于美国境内。

此外，美国还在外资安全审查机制和合同机制中对进入基础设施市场的外资所掌握的数据加以跨境流动上的限制。

在我国，对涉及政府信息安全、国家秘密、征信业、互联网地图服务、网络借贷、个人金融和人口健康等领域产生的特定相关数据规定了不同程度的本地化要求和跨境限制。

2016 年，《网络安全法》确立了关键信息基础设施中个人信息和重要数据的本地化存储和跨境传输评估法律制度。

2017 年 4 月，国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法》（征求意见稿），构建了适用于所有网络运营者的个人信息和重要数据出境安全评估制度。

时隔 2 年之后，2019 年 6 月国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》。相较前一份征求意见稿，该办法将个人信息出境与重要数据出境要求加以区分， 个人信息出境规范更加重视个体权益保障的立法定位更为清晰。

可以看出，下位配套规范在致力于落实《网络安全法》本地化与跨境流动制度要求的同时，也在根据现实情况不断调整实施路径和监管设计。

在国际组织层面，世界贸易组织（WTO）《服务贸易总协定》电信服务附件中明确了成员国要允许数据跨境传输的要求，但也规定了例外措施。

经济合作与发展组织（OECD）《关于隐 私保护与个人数据跨境流动的指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）要求成员国避免限制个人数据跨境流动，但也规定了数据控制者有责任证明采取了适当安全措施（实际包括跨境安全保证）。

亚太经济合作发展组织（APEC）的《隐私框架》（Privacy Framework）与《跨境隐私规则体系》（Cross － Border Privacy Rules） 规定了企业可以通过认证方式证明符合跨境传输安全要求。跨太平洋伙伴关系协定（CPTPP）规则在电子商务、电信和金融服务等章节的规定与 WTO 的做法则一脉相承。

差异比较

随着数字经济全球化程度的加深，以及全球互联网的日益融合，跨境数据流动已经成为时代发展的必然要求。但与此同时，其所带来的隐私保护问题、数据主权问题、国家安全问题使得各国在此问题上存在诸多分歧，不同主权国家规制传统与制度环境的差异导致跨境数据流动的规制冲突日益严重。

各国数据本地化与跨境流动监管立法的差异主要体现在：数据本地化要求程度不同、重点管制的数据类型不同以及数据跨境流动的监管机制不同。

2.1数据本地化要求程度不同

以欧盟和美国为例，欧盟从人权保护的历史传统出发，将数据权作为一种基本人权，创建了严格限制个人数据跨境流动，以提升数据权保护水平的立法范式。美国基于其信息产业的优势地位以及对数据自由流动的依赖性，奉行以市场为主导，以行业自律为中心的个人数据保护政策，通过签订双边或多边协议，促进数据跨境，维护业已建立的“数据占有和利用” 优势，获得最大的经济利益，并以“数据贸易保护主义”为由反对和打击他国的数据本地化政策。

2014 年，美国贸易代表办公室针对加拿大的数据本地化立法，发布报告指责该立法阻碍美国出口贸易；2017 年针对中国向 WTO 提交文件，敦促中国暂缓实施阻碍数据跨境流动的政策；2018 年则要求印度软化其本地化立场。

欧美之外，其他国家推行的数据本地化程度也有所不同。韩国《个人信息保护法》（Personal Information Protection Act）原则上仅要求经数据主体知情同意即可向境外传输；

俄罗斯《关于信息、信息技术和信息保护法》（Federal Law No. 149-FZ on Information, Information Technologies and Data Protection）《俄罗斯联邦个人数据法》（Federal Law No. 152-FZ On Personal Data）则要求个人数据应当境内存储，且还要求信息拥有者、信息运营者应当在俄罗斯建立数据中心， 但在俄罗斯境内存储副本即可，不要求仅能在俄罗斯境内存储；

印度尼西亚《信息与电子交易条例》（Information and Electronic Transaction Regulation）要求电子系统运营者将其数据中心、灾难恢复中心设于印度尼西亚境内；

印度《个人数据保护法草案 2018》（Personal Data Protection Bill 2018）《印度电子商务国家政策框架草案》（Electronic Commerce in India: Draft National Policy Framework）则对个人数据及其他数据规定了广泛的数据本地化要求，且对印度政府认定的“关键个人数据”以及电子商务平台、社交媒体、搜索引擎等产生的数据要求仅能在印度境内存储。

2.2重点管制的数据类型不同

关于数据跨境流动政策的讨论最早始于个人数据保护法律领域。[3] 这一点以欧盟最为典型。但随着数据跨境流动的复杂性增加，诸多国家在个人数据之外，也开始重视其他种类的数据。

例如，韩国《空间数据的建立、管理法》(Act on the Establishment,Management, etc. of Spatial Data)、《 金融控股公司法》(Financial Holding Company Act)、《信息通信网络的利用促进与信息保护等相关法》（Act on Promotion of Information and Communications Network Utilisation）等对个人数据之外的地理和空间数据、金融数据，以及与国家安全、主要政策、国内开发的尖端技术或设备相关的重要数据进行重点管制；

印度《公共记录法 1993》（ThePublic Records Act, 1993）以及尚在制定中的《印度电子商务国家政策框架草案》针对 IOT 设备在公共空间收集的团体数据以及电子商务平台、社交媒体、搜索引擎等产生的数据加以特别管控；

美国针对政府云服务数据、重要技术数据， 澳大利亚针对个人健康数据，加拿大针对银行金融数据，荷兰针对公共数据，芬兰针对会计数据加以重点管制。

2.3数据跨境流动的监管机制不同

目前，数据本地化和跨境流动的主要监管模式可划分为事前监管和事后问责机制（但不应机械地理解为一国的监管模式只采用一种机制）。事前监管机制主要是指事前对一国或组织的数据保护水平进行评估，仅在该国或组织能够提供充分保护水平的前提下，才允许数据跨境传输。欧盟的数据保护充分性认定为事前监管的典型代表。

目前，该机制已被俄罗斯、印度、巴西、马来西亚等国吸收借鉴。事后问责机制是指原则上不事先限制数据的跨境流动， 但数据跨境流动违反安全保障要求，对个人、企业或国家造成损害的情形下，需承担相应的责任。

这一点以美国为代表，并在美国主导的OECD《关于隐私保护与个人数据跨境流动的指南》以及 APEC《隐私框架》中均建立了问责机制。《加拿大联邦个人信息保护与电子文件法 》（Canadian Federal Law Personal Information Protection and Electronic Documents Act） 也采用了事后“问责制”的管理模式，在原则上允许数据跨境流动的前提下，对数据控制者的数据安全管理责任做出规定，要求其承担在数据跨境的整个过程中的安全责任。

共性分析

“数据本地化”已经成为国际趋势，这种国家政策立法的趋势反映出各国对于数据价值越来越深刻的认识，无论是从“数据主权”的国家战略层面，还是“数据经济”的产业发展层面，亦或是“数据隐私”的个人保障层面， 数据本地化以提升数据主体对数据的控制力为核心内容，用以固化互联网和信息技术的国家边界。

总体来说，各国数据本地化与跨境流动立法的共性主要体现在：区分数据类型，分类管控；多种监管机制并行，灵活适用；多利益攸关方合作，寻求共识。

3.1区分数据类型，分类管控

数据本身所承载的经济价值日益凸显。但不同类型的数据价值、承载的利益以及所面临的风险有所不同。

各国整体信息技术发展阶段、行业发展、企业商业模式、区域国情和历史发展等综合国情各不相同，虽然出于隐私保护、经济发展、国家安全、数据主权等诸多相同因素的考量，各国设置了不同的本地化和跨境流动规则，但尚没有一个国家是对所有类型的数据跨境流动加以限制，而是根据数据的类型不同，考量敏感阈值等因素，加以区分管控。

例如， 印度《个人数据保护法草案 2018》区分一般个人数据、敏感个人数据和关键个人数据，敏感个人数据包括密码、财务数据、健康数据、官方标识符、性生活、性取向、生物数据、基因数据、宗教或政治信仰等；关键个人数据则由印度政府确定后公布，对这两类数据的本地化和跨境设置了更严格的要求，体现了印度通过实现数据本地化进而实现数据价值本地化这一治理逻辑链。

印度尼西亚《信息与电子交易条例》修订草案将电子数据划分为战略性电子数据、高电子数据、低电子数据。战略性电子数据是指对公共利益、公共服务、国家行政连续性、国防和安全有战略影响的数据，例如情报数据、人口数据或印尼公民数据，以及国家防御和安全数据。

高电子数据是指对电子数据所有者及其相关领域利益影响有限的数据，例如企业金融数据或业务数据。

低电子数据是指战略电子数据和高电子数据之外的数据，例如企业人力资源管理信息和公共信息。

修订草案同时针对这三种数据分别规定了不同的要求。韩国《信息通信网络的利用促进与信息保护等相关法》明确限制重要信息向国外流出，规定政府可要求信息通信服务提供者或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动。

这类的重要信息包括：①国家安全与主要政策相关信息；②国内开发的尖端技术或设备相关内容的信息。

3.2多种监管机制并行，灵活适用

鉴于数据本地化与跨境流动所关涉的复杂问题，各国基于本国或地区的情况，采取了不同的监管措施。但各国并未采取“一刀切”的方式， 仅设置一种监管机制，而是一方面设置了通用的数据跨境流动机制，另一方面为了有效结合各行业和领域的特殊性，相应地制定了一些替代措施来处理特殊场景下的数据跨境离境情况， 即对不同类型的数据跨境，采用不同的管控方式进行管理。

如前所述，欧盟《通用数据保护条例》在充分性决定机制的基础上，又设计了包括标准合同条款、有约束力的公司规则、行业准则机制、认证机制等多种替代措施。

此外， 还规定了数据主体同意、企业追求的合法利益、为履行合同义务所必须等多种例外情形。此类规定也被巴西、印度等国所效仿。美国方面则通过国内立法、外资审查机制、合同以及国际双边或多边协议，积极构建符合国家利益的数据本地化与跨境流动规则体系。

3.3多利益攸关方合作，寻求共识

随着数据跨境流动和本地化立法分歧与摩擦的增多，数据本地化与跨境流动已成为各国博弈和利益角逐的重要领域。在数字全球化时代， 尤其是在数据本地化和跨境流动领域，简单的单边主义已经不能适应时代的需求。国际多边规则成为各国主张和推行符合本国利益诉求，同时寻求国际共识的重要渠道。

当前，WTO《服务贸易总协定》、OECD《关于隐私保护与个人数据跨境流动的指南》、APEC《隐私框架》与《跨境隐私规则体系》，及 TPP 规则为规范数据跨境流动的重要国际规则。不难发现，在分歧巨大的当下，加强国际合作，推进共识，成为各国数据本地化和跨境流通的重要措施之一。

例如，欧盟修订后的《第 108 号公约》特别新增了国际合作条款，强调在数据领域国际合作的重要性，并通过充分性认定机制，积极推进欧日、欧韩等国的数据流动双边协议，构建欧盟的数据跨境流动同盟圈。

美国方面，双、多边贸易协议已成为美国推进其数据流动政策的主要渠道。自2002 年以来，美国已与澳大利亚、智利、摩洛哥、阿曼、秘鲁、新加坡、中美洲诸国、巴拿巴、哥伦比亚、韩国等签订了双边自由贸易协定，推行数据贸易自由化的原则。在美韩自由贸易协定的跨境服务一章，新设相关条款禁止数字贸易壁垒，特别是本地化要求。

为降低个人数据跨境传输的安全风险，欧盟废除了欧美之间运行多年的《安全港协议》（Safe Harbor Principles），2016 年重新签署了《欧美隐私盾协议》（EU-U.S. Privacy Shield）。2018 年9 月，美国、墨西哥、加拿大签订协议（USMCA） 均对数据跨境与本地化做出了规范。

此外，美国还通过亚太合作组织（APEC），积极推进《APEC跨境隐私规则体系》（CBPRs）的实施，通过推进“数据日内瓦公约”（Geneva Convention on the Status of Data），推行美国的数据流动政策。

展望

随着各国对于数据价值越来越深刻的认识， 数据本地化作为战略理念日益受到国家重视，这种重视并不是一味地强调数据本地化的适用问题，而是将数据本地化视为一个利益平衡过程。很多国家推动数据本地化政策都面临较大的国际压力，数据跨境监管的规则制定与实施争议仍在继续。

事实上，离开安全谈纯粹的流动， 其对所保护的权益而言将是危险的，而一味限制流动保障安全，对数字经济的发展也会是巨大打击。

本文认为，基于现有的数据类型、敏感阈值划分和存储机制所产生的监管差异与共性构成了全球数据本地化与跨境流动规制的基本格局，反映了深层次的国家需求和利益博弈。

可以预见的是，未来相当长时间内围绕数据跨境传输的角力仍将持续，但从更宏观的尺度上， 数据跨境流动也是寻求跨境网络安全信息共享机制的基石，因此国际数据跨境流动的整体合规性仍有待于国家间层面的双边或多边协议、合作等形式的顶层构建，在部分国家、个别领域实现率先突破。

黄道丽：公安部第三研究所网络安全法律研究中心主任， 研究方向为网络与信息安全法学。

胡文华：公安部第三研究所助理研究员， 研究方向为网络安全与个人数据保护政策立法。

选自《信息安全与通信保密》2019年第九期

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。