中美欧数据跨境流动政策比较分析与国际趋势

文│清华大学智能法治研究院院长助理/法学院助理研究员 刘云

2020年9月，国务委员兼外长王毅在全球数字治理研讨会上提出《全球数据安全倡议》（以下简称《倡议》）。根据《倡议》内容，各国不得强制境外数据本地化存储，不得绕过他国法律直接向企业或者个人调取境外的数据，应当通过司法协助和多双边协议解决跨境数据调取需求，跨境调取数据应当尊重他国主权、司法管辖权和对数据的安全管理权。在推动《倡议》形成更广泛国际共识的过程中，需要避免落入数据本地化的质疑和跨境流动的陷阱，应充分了解美国、欧盟为代表的数据跨境流动模式，建立和平、安全、开放、合作、有序的网络空间命运共同体。

一、美国以反数据本地化的方式推行数据霸权

美国长期致力于树立数据跨境流动政策反数据本地化、维护自由贸易的形象。奥巴马政府时期签订的《跨太平洋伙伴关系协定》（TPP）第14.13条规定，缔约方不得将要求受约束的组织和个人使用该缔约方领土内的计算设施或者将设施置于其领土之内作为在其领土从事经营的条件。尽管特朗普政府退出了TPP，但是，2018年签署的《美国—墨西哥—加拿大协议》（USMCA）完全吸收了上述规定，美国也在与英国、日本、韩国等谈判的贸易协议中，积极推广上述反数据本地化政策。

美国智库和政府中存在专门围堵中国数据本地化政策的意见和措施。美国华盛顿的信息技术与创新基金会（Information Technology and Innovation Foundation）在其2017年发布的报告《跨境数据流动：障碍在哪里，成本是多少》（Cross-Border Data Flows：Where Are the Barriers，and What Do They Cost？）中，建议特朗普政府针对中国的数据保护政策采取法律措施。美国国会参议员乔什·霍利（Josh Hawley）在2019年提交了《国家安全和个人数据保护法议案》（National Security and Personal Data Protection Act），明确将中国、俄罗斯和国务卿指定的其他国家列为遏制对象，禁止在美国提供服务的中国应用开发者在中国存储数据，禁止美国公司在中国存储美国公民数据。尽管该议案尚未通过，但是，美国近年来发起一系列针对中国科技企业的打压行为，都反映出美国所谓的数据安全防控意识，力图将中国企业围堵在美国乃至全球网络空间之外。2020年8月，美国国务卿蓬佩奥宣布发起针对中国的“清洁网络”（Clean Network）计划，发布专门打压TikTok（抖音海外版）和WeChat（微信海外版）的两份行政令，并且意图在亚太经合组织（APEC）隐私框架下通过新的跨境转移数据缔结的跨境隐私保护规则体系（Cross-Border Privacy Rules）排挤中国。

美国倡导消除数据本地化政策与其强大的互联网企业密切相关。除了谷歌、脸谱、亚马逊、微软、苹果等一批本土巨头企业外，几乎所有国际化科技企业都会在美国设立分支机构。在这种市场分布状态下，倡导数据全球自由流动，推行较低的数据安全保护要求，实际上是为数据向美国流动营造有利的政策环境。美国的数据霸权政策并未取得广泛支持，相当一部分国家直接或者变相反对美国的数据自由流动政策。欧盟直接拒绝了美国倡导的反数据本地化要求，并且一度将美国认定为“不充分保护国家”。韩国在与美国重新签署的《美韩自由贸易协定》（KORUS FTA）中，将反数据本地化规则修改为“避免对跨境的电子信息流施加或维持不必要的障碍”，由此对数据跨境流动进行必要控制、保留的出口。

美国在对外推销反数据本地化政策的同时，于2018年2月通过了《澄清域外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act），即《云法案》（CLOUD Act），通过国内立法的方式授予本国广泛的数据权力。根据《云法案》，美国依其国家利益采用“数据控制者标准”划定管辖范围，无论通信、记录或其他信息是否存储在美国境内，服务提供者均应当按《存储通信法案》（Stored Communications Act）所规定的义务要求保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有（possession）、监管（custody）或控制（control），都可以成为调取数据的来源。此外，《云法案》允许“符合资格的外国政府”在与美国政府签订行政协定后，向美国境内的组织直接发出调取数据的命令，美国也相应可以向协议国境内的组织直接调取数据。在签订《云法案》相关的双边协议过程中，美国设立的一项条件就是取消数据本地化政策，由此让需要从美国调取数据的国家将更多的数据流向美国，最终的结果就是对美国产生更强烈的依赖。

需要说明的是，美国在推广数据自由流动政策的同时，并未放开国内重要数据的管控措施。美国外资安全审查委员会（CFIUS）具有广泛的权力阻止外资企业损害美国国家安全，可采取的措施包括要求国外网络运营商与电信小组签署安全协定、要求通信基础设施位于美国境内，以及要求通信数据、交易数据、用户信息等仅存储在美国境内。此外，美国对军用和民用相关技术数据跨境实施许可管理制度。根据《出口管理条例》（Export Administration Regulation）和《国际军火交易条例》（International Traffic in Arms Regulations）分别对非军用和军用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时，必须获得法律规定的出口许可证。其中，美国法律对数据出口的管理范围非常宽泛，即使是向美国境内的外国公民传递数据，也被视为是出口。

二、欧盟建立附条件的数据跨境自由流动规则

欧盟致力于在成员国内部推动数据自由流动，但是，德国、法国等出于维护本国数字经济利益的需要而支持必要的数据本地化政策。欧盟在2016年颁布的《通用数据保护条例》（GDPR）和在2018年颁布的《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data），分别对个人数据和非个人数据采取不同的跨境流动策略。

根据《通用数据保护条例》，个人数据可以在欧盟成员国内自由流动，但是，个人数据流出欧盟成员国必须满足法律所规定的条件。欧盟以是否达到“充分保护”作为首要参考规则，可以认定一国、一个区域、一个或多个特定行业或者一个国际组织具备充分保护水平，准许这些符合条件的地区、行业、组织与欧盟进行自由的数据跨境流动。欧盟目前已经认可的充分性保护地区包括安道尔、阿根廷、加拿大（仅限商业组织）、以色列、日本、新西兰、瑞士、乌拉圭，以及分别隶属于丹麦、英国的法罗群岛、根西岛、马恩岛、泽西岛。除此之外，非获认定地区的各类组织和企业可以根据欧盟认可的标准合同条款、约束性公司规则、行为规范、认证机制，或者获得数据主体的明确同意等特定减损情形，作为个人数据流出欧盟的合法根据。

在《非个人数据自由流动条例》发布之后，欧盟在2019年5月发布了《欧盟内非个人数据自由流动框架条例指南》（Guidance on the Regulation on a Framework for the Free Flow of Non-personal Data in the European Union）。欧盟旨在实现成员国内非个人数据的自由流动，激励各行业在数据服务提供商的转换和数据传输方面制定自律行为准则，禁止成员国对非个人数据的本地化要求做出规定，只能基于符合比例原则的公共安全理由做出例外要求。欧盟建立了一个合作机制，确保各主管当局能够继续行使访问其他成员国正在处理的数据的权力。然而，该条例并不能解决非个人数据向欧盟之外流动的法律要求。

欧盟的数据流动政策制定者在考虑个人信息权利保障的同时，也积极考虑对欧洲数字经济发展利益的影响。欧盟在2020年2月发布的《欧洲数据战略》（A European Strategy for Data）没有直接提及数据本地化的要求，致力于构建自由而积极的数据流动体系，但是，要求构建促使更多数据在欧盟境内存储和处理的环境，在2021年底建立欧洲数据流分析框架以监测和维护欧洲在数据跨境流动中的战略利益。此外，《欧洲数据战略》将维护公共安全、秩序和其他合法的公共政策目标作为数据自由流动的例外。欧盟内部市场专员蒂埃里·布雷顿（Thierry Breton）在2018年提出，欧盟的隐私条例应该要求数据在欧洲进行物理存储；其在2020年1月向立法者提出建议：在欧洲产生的数据应该在欧洲处理。布雷顿是法国总统马克龙的盟友，其观点得到欧洲各国数据保护、网络安全和外交官员的高调支持，其中包括德国经济部长彼得·阿尔特迈尔（Peter Altmaier）。阿尔特迈尔寻求推出名为Gaia-X的本土云存储服务，以使欧洲的云数据存储不再依赖外国供应商。阿尔特迈尔在2019年底宣布该项目时指出，欧洲需要“确保数据主权的数据基础设施”。德国在立法和实践方面，已经成为数据主权的重要倡导者。

三、中国以数据主权安全为数据跨境流动的前提

中国数据跨境流动始于重要数据保护的相关立法。2006年，中国颁布《电子银行业务管理办法》，确立金融数据存储地应兼顾外资企业的需求，要求中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内，外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。此后，2011年的《关于银行业金融机构做好个人金融信息保护工作的通知》、2011年的《保险公司开业验收指引》、2013年的《征信业管理条例》、2014年的《人口健康信息管理办法（试行）》、2015年的《地图管理条例》、2016年的《网络出版服务管理规定》、2016年的《网络预约出租汽车经营服务管理暂行办法》、2016年的《网络安全法》、2020年的《数据安全法（草案）》和2020年的《个人信息保护法（草案）》等，均对数据的本地化存储做了明确要求。

《网络安全法》第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”这是中国第一次对数据跨境流动做出统一规定，提出了中国数据主权的典型要求，也引发了国际社会的广泛关注。相比于《网络安全法》突出数据本地化，《数据安全法（草案）》则兼顾了数据跨境流动的需要。其第10条规定：“国家积极开展数据领域国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。”该草案明确将数据自由流动作为中国支持的一项原则，但是其前提是能够保障数据跨境安全。此外，《数据安全法（草案）》第32条和《个人信息保护法（草案）》第三章为数据跨境流动需求提供了有效的机制安排。

中国的发展面临西方国家价值观的敌视，这导致中国的主权安全威胁在网络空间更加严峻，美国对中国实施的科技围堵进一步印证了这种危险是客观存在的。据此，保障数据必要的保密性、完整性和可用性得以实现，成为中国数据安全相关立法的重要需求。此外，尽管世界各国对重要数据的跨境流动限制普遍存在，中国立法中也存在数据自由流动的机制安排，但是中国立法技术的不当处理引发了误解，导致相关问题成为国际社会关注的焦点问题。为此，《倡议》再次声明中国在数据跨境流动议题上的基本诉求，这些要求契合大多数国家的法律实践，除了在国际社会继续推动《倡议》的影响力外，还需要进一步在中国国内立法过程中采取科学的立法技术推进相关措施的落地。

四、全球数据主权与数据流动的平衡趋势

世界经济朝着数字化方向转型，数据驱动的趋势越来越明显，确保数据的安全、自由流动是普遍需求。同时，数据安全具有基础性、牵连性的效果，数据跨境流动政策都必然服务于本国的政治、经济利益。美国正在通过强势的外交政策推动数据自由流动和针对中国的数据封锁，这引发了印度等国家和地区的跟从。欧盟以《通用数据保护条例》的保护主义管辖权维持可控的个人数据流动，德国和法国在数字经济发展战略中意图利用数据本地化设施建设为欧洲利益服务。中国推动的《全球数据安全倡议》符合独立自主、发展中国家的发展利益，可以避免遭受数据霸权的控制。然而，如何建立具有国际共识、统一框架的方案协调数据主权和数据流动需求成为难点。

在过去的实践中，经济合作与发展组织（OECD）于1980年/1993年制定了《关于隐私保护和个人数据跨境流动的指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），联合国大会在1990年通过了《计算机处理的个人数据文档规范指南》（Guidelines for the Regulation of Computerized Personal Data Files），亚太经合组织在2005年通过了《隐私保护框架》（Privacy Framework）（2015年修订），但是，这些规定都是由西方国家主导制定，尚未充分体现数据跨境流动的公平利益和国家安全的关切。近年来，日本政府借助世界经济论坛（World Economic Forum）和20国集团（G20）等在2019年提出了“可信任的数据自由流动”（Data Free Flow with Trust，DFFT）概念，希望在保障国内和国际法律框架都得到应有尊重的条件下，增强每个框架之间的互操作性，以促进数据更自由地流动。DFFT不依赖于单一的合作论坛，而是依赖于国际贸易、法律法规、技术和其他治理领域，利用各种双边、多边、区域、国际机制，确定面向政府、企业或用户的具有约束力和非约束性的规则，提出了十余项基本原则供各种机制推动实现。这种松散的实现方案会导致其实际作用大打折扣。

中国、美国、欧盟等主要国家和地区共同参与的数据流动框架是国际社会所缺乏的，这一缺漏也许可以借助世界贸易组织做出合理的安排。2017年12月，71个世界贸易组织成员方在世界贸易组织第11次部长级会议上发布了《电子商务联合声明》（WTO Joint Statement Initiative on E-commerce，JSI），重申全球电子商务的重要性及其为包容性贸易和发展所创造的机会。2019年1月，76个世界贸易组织成员方发布了一项新的声明，一致同意制定一个谈判日程，希望启动制定新的电子商务规则谈判，中国自此开始成为JSI行动的积极参与成员之一。在这一机制中，只有承认数据主权、有效保护重要数据、促进个人数据有序流动，才能实现符合中国预期的安排。

尽管网络空间的国家界限模糊，但是，从法律和实践的角度看，具有现实控制力的地理位置仍然很重要。通过必要的数据本地化或者跨境控制措施，将显著促进维护网络空间主权，可以获得数据，即确保本国公共机构可通过法律或技术途径获取开展公务所需的数据；保护隐私，即避免本国公民遭受来自外国政府和企业的监控；防止外国侵入，即阻止其他国家为了不良目的而获取本国公民的数据；实现内容管制，即确保国家机关能够对网络信息内容进行管控，以符合本地的法律要求；促进经济发展，即通过积累数据的方式促进和保护当地科技产业。

网络空间是一个共享领域，需要国家和全球层面的利益相关者分担责任。在《全球数据安全倡议》基础上，中国需要通过双边或者多边协议推动更多国家对中国数据保护水平的认可和有序的数据跨境流动。在中国加入的区域和国际组织中，推动数据跨境流动公约的制定和完善，也需要不断深化。

（本文刊登于《中国信息安全》杂志2020年第11期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。