全球主要经济体推动数据跨境流动的制度探索和规则框架

　　数据跨境流通是数字全球化和经济全球化“双轮”驱动下的必然产物，已成为全球数字经济一体化和驱动国际贸易发展的重要支撑。本报告梳理了全球数据跨境流通规则发展总体态势，整理了全球主要国家、地区及国际组织数据跨境流动规则机制和发展趋势，在此基础上，分析对推动我国数据跨境流动发展的启示，并提出政策建议。

　　一、 全球数据跨境流动政策发展总体态势

　　一是数据分级分类管理制度成为主流发展趋势。不同类型的数据，例如个人数据、重要数据、敏感数据等涉及的法律管控、安全风险和所需的保护程度各不相同，越来越多的国家实行数据分级分类管理机制，以此开展监督管理工作，形成宽严并济的数据跨境流动治理模式。

　　二是各国纷纷出台治理法规谋求引领国际规则。随着全球数据跨境流动需求的增加，全球主要经济体将数据跨境流动规则纳入多边和双边国际贸易谈判当中。现有国际数字治理框架难以满足全球数据跨境流动治理的需求，亟需建立适应当今数字经济快速发展的新的数字治理框架，以此释放数据的潜在价值。

　　三是长臂管辖导致数据主权冲突持续不断发生。“长臂管辖”会将一国的执法效力拓展至数据所在国，侵害数据所在国的司法主权，损害数据所在国的合法权益。部分国家通过“长臂管辖”扩大了法律适用范围，以此满足跨境调取数据的执法需求，加剧了当前国家之间与数据有关的司法主权冲突。

　　二、 主要国家及地区数据跨境流动规则机制

　　（一）美国：主张数据自由流动，根据需要限制部分数据出境

　　基于在数字经济中的领先优势和经济全球扩张的巨大需求，美国在双边和多边国际贸易协定中，一贯强调促进数据的自由流动，反对对数据跨境流动进行本地化存储。但美国的跨境数据流动管理对内对外却采取“双重标准”：对于其国内数据出境，美国政府设置了诸多限制及要求。例如，美国外资安全审查机制明确限制并要求国外网络运营企业将通信数据、交易数据、用户数据存储在美国境内，以及通信基础设施也必须设置在美国境内；同时，将个人数据视为国家安全的组成要素，将涉及个人数据的传输交易纳入外资安全审查范围。对于数据入境，美国凭借自身的信息科技优势，汇聚和融合全球数据资源，主张数据自由流入美国境内，助力其数字经济发展。

　　（二）欧盟：个人数据严格管控，引导重建全球数据规则体系。

　　欧盟高度重视公民隐私保护，制定高标准的《通用数据保护条例》（GDPR），欧盟境内的个人数据出境，仅允许流入欧盟认可的能够提供“充分保护”或采取“适当保障措施”的国家或地区。未通过的第三国企业只有采用欧盟委员会批准的“标准数据保护条款”或采取“有约束力的公司规则”，获得认证后才能开展数据跨境传输。同时，欧盟的数据立法工作长期引领国际数据跨境流动的发展方向，并且欧盟不断加强其数据法规的国际影响力，很大程度上实现了“欧盟标准”向“国际规则”的转换。

　　（三）英国：脱欧后出台符合本国数据保护法要求的数据跨境传输协议，确保数据跨境流通合法性。

　　英国脱欧过渡期于2020年底结束，欧盟的《通用数据保护条款》（GDPR）不再适用于英国，英国信息专员办公室最近发布新的标准化条款工具包，一是《国际数据传输协议》（IDTA），可以作为一个独立的协议来执行，以配合主要的商业合同，确保数据传输符合英国的数据保护法；二是欧盟2021年标准合同条款的附录（英国附录）。2022年3月21日起，上述IDTA和欧盟2021年标准合同条款的附录（英国附录）正式生效。

　　（四）日本：在贸易协定中设立数据跨境传输条款，实现与其他国家和地区的自由流动。

　　2015年，日本修订《个人信息保护法》，强化了关于数据跨境流动的细则条款，其中包括要求设立个人信息保护委员会作为数据跨境流通的监管机构，负责制定数据出境的规则和指南；个人数据处理者向境外传输个人数据的时候，需获得数据主体的同意后才可传输。同时，日本在《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《日欧经济伙伴关系协定》（EPA）、以及正在谈判中的《区域全面经济伙伴关系协定》（RCEP）、中日韩FTA、日英FTA等多边和双边国际贸易协定中增加关于跨境数据流动的规则，表明其规则理念和政策倾向。

　　（五）新加坡：数据跨境流动的标杆示范城市，监管体制机制优势明显。

　　新加坡通过实施“智慧国家”（Smart Nation）战略，推动其国内信息基础设施的现代化发展，扩大电信业的投资与推动数据中心的建设。建立完善的个人信息保护制度和相应的监管框架，监管体系重点包括设置主管部门、划分责任边界、设定跨境流动条件、开展国际协调、明确基础设施要求等方面。构建完善、系统的数据跨境流动管理规则，有助于实现全球数据向新加坡汇聚和流动，打造成为数据融合的重要中心节点城市。

　　（六）印度：管理措施保守，探索寻求适合本国的中间化路线。

　　《印度电子商务框架草案》明确一系列的数据本地化存储的豁免情况，例如初创企业的数据流动、跨国企业内部数据流动、基于合同进行的数据流动等方面不会要求数据本地化存储。印度并不想实施严格的数据保护措施，但是又做不到放任数据自由流动。一方面想要融入全球数字经济发展格局，另一方面又想保护个人信息安全和国家安全，印度正在探索适应本国国情的中间化道路。

　　（七）俄罗斯：主要采取数据本地化存储管制措施，在国际市场中仍有自己的数据流通圈。

　　俄罗斯要求公民个人数据必须存储在俄罗斯境内，处理公民个人数据的行动也必须在俄罗斯境内发生，掌握相关数据的企业有义务告知和协助俄罗斯政府机关工作。然而，俄罗斯允许数据跨境传输至“108号公约”缔约国和“白名单”国家，“白名单”国家的判定标准为该国是否具备有效的个人信息保护法规、是否设立了个人信息保护管理机构以及是否针对违法行为建立了有效的管制措施。

　　三、 国际组织数据跨境流动规则机制

　　当前，缺乏一个国际公认的数据跨境流动治理体系，经济合作与发展组织（OECD）、亚太经济合作组织（APEC）、二十国集团（G20）和世界贸易组织（WTO）等国际组织对全球数字治理也产生了深刻的影响。

　　一是鼓励数据自由流动，适应全球数字经济发展需求。OECD是全球第一个提出数据跨境流动原则的国际组织，其在1980年发布的《关于隐私保护和个人数据跨境传输指南》（以下简称“OECD指南”）明确成员国应避免以保护个人隐私为由，限制数据的自由流动。APEC通过2015年修订的《APEC隐私框架》指导亚太地区的数据跨境自由流动。WTO作为全球最重要的多边贸易机制之一，主要通过减免数字产品关税等措施来推动全球范围内信息技术产品的自由贸易流通。

　　二是重视监督管理，特别强调数据安全及隐私保护。OECD于2013年根据新的数字经济环境对《OECD指南》进行了修订，明确提出国家隐私战略、隐私管理程序和安全漏洞通知等重点管理方向，强调个人隐私保护以及国家之间的安全监管机制的高效协同。APEC框架下的跨境隐私规则体系（CBPR）要求申请加入的企业的所在国，至少有一个监督管理机构参与隐私保护的监管工作，鼓励提升各国监督管理机构的协作能力。2019年，二十国集团领导人提出了关于“有信任的数据自由流动”的“大阪行动路线”构想以及提倡创新跨境数据流动的风险监管机制，旨在促成一个条理清晰的国际数据框架。

　　四、 国际规则机制对我国的启示

　　当前，我国数据跨境流动规则机制研究中处在起步探索的阶段，梳理汇总全球主要经济体在数据跨境流通的规则机制和发展现状，对我国构建符合自身发展需求的数据跨境流动政策具有重大的参考意义。

　　一是建立数据分级分类管理体系，保障国家安全及推动数字经济发展。既要适应全球数字经济发展趋势，有序推动跨境数据流动和多元的管理模式，还要强化本国网络安全、数据安全和个人隐私安全的保护能力。设置低中高风险数据跨境的管理框架，明确重要数据禁止跨境；个人非敏感数据、政府和公共部门的一般数据、行业非限制性技术数据有条件跨境；非敏感的商业数据和经过评估的个人数据允许跨境。

　　二是与贸易伙伴开展数据跨境流通合作，加强国际话语权及影响力。将数据跨境流动的条款纳入国际贸易投资协定中，例如在RCEP、中日韩FTA等多边和双边贸易谈判中增设数据跨境流动治理的谈判内容，推动与重要贸易伙伴国实现数据流动互认条款，通过贸易协定或安全协议的方式，打造能够落地执行的合作方式。特别是随着近年来我国的“一带一路”倡议从“硬联通”转为“软联通”，应重点与 “一带一路”国家建立数据跨境传输的合作机制，推动与贸易伙伴的数字互联互通。

　　三是建立数据跨境“白名单”，完善数据流动安全监管及信任体系。参考欧盟推行的管制规则，考虑设立数据自由流通的“白名单制度”，对名单中的国家实施个人信息保护及跨境数据流动的对等要求。将部分地区纳入可自由流动的“白名单”，打造数据跨境流动的信任机制。同时，建立完善的数据安全评估体系、数据传输安全评估机制和数据安全协议等配套措施，对各类数据的跨境流动进行必要的风险评估，建立重要信息系统和关键数据目录，建设数据跨境流动监控和预警平台，保障重要信息系统和设施的安全。

更多精彩，请关注“官方微信”