跨境數據流動監管難題及應對之策

摘 要:數字貿易促進經濟發展的同時，也加劇了跨境數據流動監管的難度。近些年，我國政府對跨境數據流動的安全問題給予了高度的重視，通過加強對跨境數據流動的安全監管，在很大程度上維護了數據安全和國家安全，促進了數字貿易的健康發展。構建便捷、高效、安全的數據跨境流動監管體系并非易事，當前我國跨境數據流動監管依然面臨著法律法規不完善、全球數據治理規則沖擊、數據監管難度大以及數據安全事件頻發等現實問題，亟需通過法律制度體系建設、加強跨境數據全鏈條管理和分級分類管理、強化跨境數據流動監管國際合作等途徑，營造全球開放的數字經濟營商環境。

關鍵詞:數字貿易 跨境數據流動 數據監管

【中圖分類號】F752.68 【文獻標識碼】A

隨著數字經濟時代的來臨，數字貿易逐漸成為全球貿易往來的新常態。數字貿易是指通過信息與通信技術（ICT）發揮重要作用的貿易形式，包括貿易方式數字化與貿易對象數字化兩大特征。前者包括基于ICT開展的線上宣傳、交易、結算等促成的實物商品貿易，后者包括通過信息通信網絡（語音和數據網絡等）傳輸的數字服務貿易，如數據、數字產品、數字化服務等貿易。國務院發展研究中心發布的《數字貿易發展與合作報告2023》顯示：2022年全球數字服務貿易規模為3.82萬億美元，同比增長3.9%，占全球服務貿易的53.7%；同期中國數字服務進出口總值達到了3710.8億美元，同比增長3.2%，增速在規模前十國家中排名第三；迅速發展的數字貿易帶來了巨大的數據流動，在過去三年當中，全球跨境數據流動規模增長120.6%，遠高于數字服務貿易規模增長的36.9%。據麥肯錫估測，到2025年，全球數據流動對經濟增長的貢獻將達11萬億美元[1]。

中國不僅是數字貿易大國，同時也是數據流動大國，2021年中國數據跨境流動量約占全球的23%，到2025年將位居全球數據圈之首，占比27.8%[2]。作為連接全球經濟的紐帶和新秩序博弈的焦點，跨境數據流動在極大提升跨國協作效率的同時，也面臨著數據主權、國家安全、利益沖突、隱私保護、數據監管等問題[3]。中國政府逐漸認識到其中存在的潛在風險，對跨境數據流動的安全問題給予了高度的重視[4][5]，并通過加強對跨境數據流動的安全監管，在很大程度上維護了數據安全和國家安全，促進了數字貿易的健康發展。

加強跨境數據流動監管是全球通行做法

數字經濟時代，世界各國普遍重視數據主權與數據安全，對于跨境數據流動監管問題進行了規則制定與整體部署，主要可以區分為以下幾種類型：

西方發達國家主要是通過跨境執法及選擇性執法來加強數據流動監管[6]。其中，美國試圖打造以其為核心的全球數字生態系統，建立符合美國利益的跨境數據流動監管體系。同時，美國以防止行業惡性競爭、隱私泄露以及保護國家安全為由，反對互聯網科技巨頭的壟斷行為，對涉及美國國家安全的數據采取了較為嚴格的限制性措施。另外，憑借自身的經濟及技術優勢，美國還對數據跨境流動實施長臂管轄，嚴格限制涉及重大科技及關鍵基礎設施領域的本土數據轉移。2018年美國通過了《澄清境外數據的合法使用法案》，主張“誰擁有數據誰就擁有數據控制權”原則，保障了美國跨國企業對全球市場信息數據的及時掌握，提高了美國企業的行業競爭力與全球影響力，也賦予了美國政府跨境收集數據的權利，對其他國家的數據主權與信息安全造成了極大影響。歐盟對于跨境數據流動的監管則更為嚴格，但在歐盟范圍內數據流動相對自由，主張在保持高度隱私、安全和道德標準前提下，推動單一數據市場的構建。2016年歐洲通過了《通用數據保護條例》，著力推出了一攬子數據戰略計劃，嚴格限制數據在歐洲地區以外自由流動，同時強調加強成員國內部之間的數據共享與數據流動，打造歐洲共同數據空間。

新興經濟體國家主要是通過構建數據本地化政策體系，維護國家數據安全[7]。面對全球跨境數據流動中存在的各類安全與風險問題，包括中國在內的新興發展中國家主要通過加強對數據的主權控制，并應用本地化策略來對跨境數據流動實施嚴格的監管。在具體措施方面：中國《網絡安全法》第三十七條規定：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。俄羅斯允許數據在境外傳輸以及處理，但對于公民的個人信息，則要求必須在本國境內的服務器上存儲和處理。印度則不斷完善數據本地化政策，要求外來企業建立相應的數據中心，對金融數據強制進行本地化存儲。

國際組織主要是倡導減少跨境數據流動障礙，提高跨境數據流通效率，充分釋放數據價值。2021年，在G20數字經濟部長會議以及當年的聯合國大會中，數據治理與數據流通作為重點議題得到了廣泛探討，各國均呼吁加強數據互聯互通，彌合數據流通分歧。同年，G7集團就跨境數據使用和數字貿易原則達成一致，在數字貿易宣言中提出了針對數據跨境流動的原則，拓寬了跨境數據流動的含義與相關監管的適用范圍。

我國跨境數據流動監管體系已經初步形成

在數據成為生產要素與戰略資源的背景下，數據主權應運而生，對跨境數據流動進行監管是維護數據主權的應有之義。近年來，我國從跨境數據流動重大關切入手，積極探索構建便捷、高效、安全的跨境數據流動監管體系，已經初步形成了一些制度成果和實踐經驗。

相關法律法規逐步出臺

隨著數字貿易的興起，跨境數據流動成為社會各界廣泛關注的問題。近年來，有關部門針對跨境數據流動的立法工作逐步展開，相關法律法規逐步出臺，對跨境數據流動監管起到了基礎性指導作用[8]。例如，2016年頒布的《網絡安全法》是我國第一部網絡安全領域的法律法規，為跨境數據安全流動與數據監管起到了奠基性作用。2021年出臺的《數據安全法》，則是我國第一部關于數據安全的法律，圍繞促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益等內容進行了詳細的規定，對促進我國數字貿易的發展以及實現跨境數據流動的安全可持續具有十分重要的意義。同年出臺的《個人信息保護法》，針對個人信息安全進行了詳細的說明，有力地保證了上網安全和個人信息權益。2022年出臺的《數據出境安全評估辦法》對數據出境安全評估的范圍、條件和程序進行了相應的規定，為數據出境安全評估工作提供了具體指引，對于規范數據出境活動，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，具有重大意義。顯而易見，我國在跨境數據流動方面的法律法規逐漸完善，監管工作基本實現了有法可依，跨境數據流動監管的準確性和可靠性大大提升。

地方實踐積累大量經驗

各地在積極開展數字貿易活動的過程中，也結合自身發展實際，對跨境數據流動監管提出了各具特色的地方性措施。例如，北京市明確表示將率先探索數據跨境流通，積極參與數據跨境流通國際規則和數據技術標準的制定，聚焦促進關鍵要素跨境流動，提出分類分級推動數據安全有序跨境流通，持續推進數據出境安全評估制度落地實施。此外，北京還支持各區建立數字貿易港、跨國企業數據流通服務中心以及數字貿易試驗區，鼓勵企業開展跨境數據流通業務合作?；浉郯拇鬄硡^立足自身作為高水平對外開放門戶的先天優勢和重要使命，圍繞健康、醫療、金融、科研、政務等領域，在推進跨境數據流通合作方面進行了系列創新探索，提出了具有地區特色的“灣區方案”。具體包括：針對大灣區跨境數據流動的特點及現實需求，加快推進粵港澳大灣區規則銜接、機制對接，實現跨境數據流動創新監管和協同治理；加快推動數據跨境流動基礎設施建設，如離岸數據中心、離岸數據服務外包試驗區、離岸數據直聯通道等，促進數據跨境流動技術創新，構建數據跨境可信流通體系，培育跨境數據產業生態；等等。這類地方性實踐經過長時間的檢驗，將為我國開展數字貿易、加強跨境數據流動監管提供豐富的參考和借鑒。

我國跨境數據流動監管面臨的幾大難題

數字貿易促進經濟發展的同時，也加劇了跨境數據監管的難度。當前，我國跨境數據監管體系構建依舊面臨諸多困境，亟需尋求解決路徑。

國內現有跨境數據流動監管法律法規不完善

盡管我國在數據領域的立法工作起步較早，成果較多。但數字經濟發展環境瞬息萬變，既有的法律法規難以滿足新時期的監管需要，在諸多細分領域仍然存在法律空白。例如，在數據保護方面，盡管《數據安全法》《個人信息保護法》對我國數據跨境流動的基本原則和制度框架進行了規定，但尚未及時修訂原有具體行業領域的數據管理規定，特別是企業間的數據共享和跨境數據流動的保護規定不夠明確，缺乏細化的限制和監管要求，不能較好規范商業隱私數據泄露和濫用行為。同時，我國尚未建立跨境數據流動監管的統一標準，不同地方在實踐中執法隨意性較大，這不僅導致企業面臨不同的數據進出口法規要求，合規成本大幅度上升，更為重要的是，跨境數據審查的流程和標準不明確，導致審查程序不透明和不可預測，增加了企業在進行數字貿易和數據在跨境流動中的不確定性。

跨境數據流動監管面臨全球跨境數據流動規則的挑戰

當前，世界各國關于跨境數據流動的規則與政策仍存在較大不確定性，流動規則整體上呈現多極化、差異化和復雜化態勢，數據流出與流入地之間在數據保護、數據監管等方面的法律法規存在差異甚至是沖突。企業在開展數字貿易的過程中，面臨著不同類型數據法律法規的雙重管轄與約束，特別是當數字貿易產業鏈涉及多個國家或地區時，管轄與限制可能更多，企業合規成本也就更高。在規則不一、監管各異的情況下，存在大量灰色地帶。若是嚴格刻板監管會給數字貿易活動造成諸多不便甚至阻礙，放任不管則會給我國的數據安全與數據主權造成嚴重威脅，給跨境數據流動監管工作帶來較大困擾。同時，美西方國家在嚴格限制自身敏感數據出口的同時，試圖在其內部之間建立新的數據跨境流動操作合作圈，將中國等發展中國家排除在外，對我國的國家安全、數據主權、社會經濟等造成不小的威脅和挑戰。

大規模數據跨境流動使得監管識別難度倍增

隨著數字貿易規模不斷擴大，跨境數據的種類以及規模呈指數型增長，造成的識別與監管壓力成倍上升。在數字貿易活動中，跨境流動的不僅包括文本數據，還包括圖片、音頻、視頻等多種多樣的數據類型。多源異構的數據類型需要監管機構開發多模態數據分析技術來進行監管，難度和成本不言而喻。同時，企業進行的實時跨境數據傳輸活動，流動規模大、交易頻率高，對監管部門的響應速度要求極高，而我國跨境數據流動監管尚且存在相關技術供給能力不足、治理體系不完善等短板，在實踐中難以準確、高效地進行數據識別，當數據涌入速度急劇上升時，甚至有可能產生系統故障，造成相應的監管事故。此外，數據流動可以通過加密、隱匿的方式進行，加劇了監管的復雜性和難度，而在技術水平相對滯后的情況下，監管機構很難有效識別隱蔽途徑的跨境數據流動，準確追蹤數據的源頭和去向。

數據安全風險事件頻發造成較大的監管壓力

跨境數據流動規模的不斷上升，也使得各類數據風險事件頻發，帶來了負面社會輿論，對數據安全監管工作造成了較大的壓力。首先是數據泄露和濫用事件，在數字貿易中，大量的隱私數據很有可能在傳輸過程中被泄露和濫用，對個人隱私、企業商業機密、國家數據安全產生無法估計的后果，對監管部門造成極大的輿論壓力。2018年，美國社交平臺Facebook5000萬用戶數據泄露事件即為全球數據安全監管敲響了警鐘。近年來，我國的數據泄露事件呈上升趨勢。2021年，監管部門審查發現滴滴出行APP存在嚴重違法違規收集使用個人信息問題，以及拒不履行監管部門的明確要求，陽奉陰違、惡意逃避監管等其他違法違規問題。其違法處理個人信息達647.09億條，數量巨大，其中包括人臉識別信息、精準位置信息、身份證號等多類敏感個人信息。其次是國際數據爭端，近年來，以美國為首的西方國家以國家安全為由對中國的科技企業進行信息限制和技術封鎖，與此同時又不斷開展針對中國的網絡安全攻擊與信息竊密，通過長臂管轄的手段，要求外來企業向美國政府提供經營數據。例如，2021年9月，美國商務部以應對全球芯片危機為名，強勢要求包括韓國三星在內的多家半導體企業向其提供商業機密數據。隨著數字貿易蓬勃發展，數據販賣、隱私泄露等威脅個人和國家信息安全的負面事件不斷涌現，強化監管力度、筑牢安全底線刻不容緩。

強化跨境數據流動監管的意見建議

如前所述，當前我國跨境數據流動監管面臨著法律法規不完善、全球數據治理規則沖擊、數據監管難度大以及數據安全事件頻發等現實問題，亟需通過法律制度體系建設、加強跨境數據全鏈條管理和分級分類管理、強化跨境數據流動監管國際合作等途徑，營造全球開放的數字經濟營商環境。

完善跨境數據流動監管法律體系建設

強化跨境數據流動監管，離不開法律體系建設。首先需要整合現有的法律法規，綜合多領域需求，構建更加清晰、明確的跨境數據流動監管法律體系。數字貿易與跨境數據流動都是數字經濟快速發展的產物，我國自2017年6月1日開始實施的網絡安全法就要求跨境數據流動需進行安全評估，2024年3月22日，國家網信辦出臺了《促進和規范數據跨境流動規定》，對數據出境制度作出優化調整。推動數字貿易以及跨境數據流動法律體系建設，應以《促進和規范數據跨境流動規定》為指導，首先，從上至下逐級完善法律法規，監管體系，由過往的禁止性、限制性法律傾向轉變為鼓勵性、引導性傾向，充實并完善跨境數據流動監管的法律依據。其次，應大力推動跨境數據流動監管政策試點，設立數字自由貿易區，在數字自貿區內，針對跨境數據流動、數據安全監管、數字貿易規則等方面進行創新性的制度設計，并通過實踐反復檢驗政策效果，形成較為成熟、適應性強、推廣性高的制度成果向其他地區推廣。最后，應深化跨境數據流動監管的法律實踐，探索具有中國特色的跨境數據流動監管方案。在完善相關法律體系之后，如何執行法律規定成為重中之重。在跨境數據流動監管中，要注意結合數字貿易以及跨境數據流動的實際情況，列出相應的執法清單及負面行為清單，為監管機構提供清晰可靠的執法依據，做到精準執法、高效監管。

加強跨境數據流動的全鏈條管理

加強跨境數據流動的全鏈條管理是確保數據安全和企業數字貿易合規性的關鍵措施。所謂全鏈條管理，就是要求監管機構跟蹤數據從生成到存儲、傳輸、處理和最終銷毀的整個生命周期，以便全方位、全流程審查潛在的風險和問題。首先，對于重要數據的訪問，應該設置相應的強化控制和身份驗證機制，確保只有經過授權的用戶才可以訪問和處理數據，降低數據外泄的可能性。其次，在數據傳輸和存儲過程中應廣泛采用加密技術，包括傳輸層安全性和數據加密算法，確保數據跨境傳輸和存儲的安全性。同時，建立詳細的審計和日志記錄系統，記錄數據的流動和處理過程，包括訪問記錄、數據修改記錄和異常事件記錄，以便隨時進行溯源和調查。再次，強化跨境數據的合規性審查，及時發現潛在的風險和隱患點，對數據流動的異常行為、不正常的數據流向進行實時監測并生成警報以便及時響應，確保數據跨境流動符合國際和國內的法律和政策要求。最后，在數字貿易合同建立、數據交接等環節確立相應的數據安全標準，并加強對相關從業人員的數字安全意識培訓，普及數據安全和合規政策，明晰權屬、厘清責任，減少內部風險產生的可能性。

對跨境數據流動實施分級分類監管

跨境流動數據豐富多樣，安全等級層次不一，相關監管絕不能“一刀切”，而是要建立政府主導、多方參與的數據分級分類監管機制。這樣，才能有效維護我國的數據主權與數據安全，同時保障數字貿易的正常開展，實現統籌兼顧、多元共治的目標。一方面，應當對數字貿易中所涉及到的數據進行分類與標記，以數據的敏感性和重要性為依據，區分不同類型數據的安全級別，賦予不同的監管強度。具體來說，對于涉及到我國國家安全的重點領域，例如銀行、電力、通信、醫療等關鍵行業部門的數據，應該實施高等級的跨境數據流動限制，將數據存儲在國內數據中心以實施嚴格的數據監管；對于我國企業經營活動所產生的跨境數據，如不涉及到經濟命脈以及國家安全，應該放寬監管限制，支持和促進數據的跨境自由流動；如果企業經營活動產生的跨境數據涉及到個人信息、政府信息等較為敏感的數據，則需根據所涉數據的敏感等級進行相應的脫敏處理后再準許數據跨境流動。另一方面，有必要建立健全重要數據識別和目錄備案，確定各地區、各部門以及相關行業、領域的重要數據具體細則，分行業對重要數據進行管理，壓緊壓實企業數據安全保護主體責任，充分發揮行業協會、科研機構、安全企業等作用，合力筑牢作為新型生產要素的數據安全保障。

加強跨境數據流動監管的國際合作

跨境數據流動涉及到不同國家和地區，加強監管必然涉及廣泛的國際合作，以平衡跨境數據自由流動的市場需要和國家及公民個人數據安全。首先，需要在國際標準和規則制定方面開展國際合作，與歐美發達國家、發展中國家、周邊鄰國以及國際組織，就跨境數據流動準則展開友好協商，共同解決跨境數據流動治理中法律法規不一致和制度赤字問題，合作探索區域性乃至全球性的跨境數據流動共同標準和監管準則，營造統一、透明、公正、合理的監管秩序。各國也要明確個人數據權利、數據處理原則、數據安全要求等方面的規定，以提升本國法律法規的國際適應性。其次，可以通過簽署雙邊和多邊協議為跨境數據流動監管提供行為依據，明確雙方或者多方在跨境數據流動監管中的責任與義務，為合作開展跨境數據流動監管提供統一的行為準則，建立起跨境數據流動的信任機制。再次，推動建立跨國聯合執法機構，提高跨境數據流動監管的威懾力，協調和監督跨境數據流動，解決跨境數據流動中的爭端和糾紛。建立境外數據訪問和調取的合作機制，以便各國執法機構在必要時能夠合法訪問和調取跨境數據。最后，加強跨境數據流動治理的相關培訓和能力建設，包括加強法律法規的培訓、促進技術人員的交流與合作、提供政策指導和咨詢支持等，實現跨境數據流動國際合作治理的多方參與和利益平衡。

【本文作者為 宋華盛 九三學社中央經濟委副主任、浙江大學經濟學院教授 ；周建軍，浙江大學國家制度研究院研究員】

注釋

[1]《“數字服貿”為開放型世界經濟注入新動能》，新華網百家號，https://baijiahao.baidu.com/s?id=1776113597730182447&wfr=spider&for=pc，2023年9月4日更新。

[2]《王曉紅：中國數據跨境流動量2025年或將位居全球之首》，中新經緯，http://www.jwview.com/jingwei/html/08-29/501101.shtml，2022年8月29日更新。

[3]洪永淼、張明、劉穎：《推動跨境數據安全有序流動 引領數字經濟全球化發展》，《中國科學院院刊》，2022年第10期，第1418—1425頁。

[4]李金、徐姍、卓子寒等：《數據跨境流轉的風險測度與分析——基于數據出境統計信息的實證研究》，《管理世界》，2023年第7期，第180—201頁。

[5]梁正：《跨境數據流動中的信息安全問題探究》，《人民論壇》，2023年第17期，第38—41頁。

[6]李艷：《大國博弈下的跨境數據流動國際規則構建》，《當代世界》，2023年第5期，第25—30頁。

[7]盛祥、于琳、黃海瑛：《跨境數據本地化：主權考量、安全底線與戰略定位》，《圖書館論壇》，2023年第9期，第21—29頁。

[8]張龑：《網絡空間安全立法的雙重基礎》，《中國社會科學》，2021年第10期，第83—104頁。

責編：羅 婷／美編：石 玉