總體國家安全觀下的跨境數據流動安全治理研究

徐擁軍 王興廣

1 引言

“數據”作為除土地、勞動力、資本、技術之外的第五大生產要素，正加速驅動數字經濟時代的發展戰略轉型，在國家基礎性戰略資源體系中的地位日益凸顯。數據價值的充分發揮有賴于在特定場域的有序流動。自1980年經合組織發布《隱私保護和個人數據跨境流動指南》（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）以來，跨境數據流動在全球經濟、政治和社會發展方面的重要性愈發顯著[1]。在經濟、信息全球化的背景下，大規模、高頻次的跨境數據流動逐漸成為支撐全球數字經濟發展、拓展網絡信息空間的內生驅動力。在帶來多方面“正效應”的同時，跨境數據流動亦在數字地緣政治加速演進的條件下對國家安全、數據主權和公民個人隱私安全等構成沖擊與挑戰。

2014年，習近平總書記在中央國家安全委員會第一次全體會議上，首次創造性提出“總體國家安全觀”。此后，總體國家安全觀的理論內涵不斷豐富與拓展，構成我國新時代開展國家安全治理、構建新安全格局的根本遵循與行動指南。黨的二十大報告首次將“國家安全”以專章單列的形式予以全面、系統闡釋，強調“必須堅定不移貫徹總體國家安全觀，把維護國家安全貫穿黨和國家工作各方面全過程”，并凸顯強化數據安全保障體系建設之于維護國家安全的重要作用。鑒于跨境數據流動在實踐過程中顯現出的多重風險和多元挑戰，加強跨境數據流動安全治理成為我國在數據安全領域貫徹總體國家安全觀的必然要求。

本研究將堅持總體國家安全觀和跨境數據流動安全治理協調共生作為切入點，擬主要探究的問題有三：第一，從必然的角度出發，為什么要從總體國家安全觀的視角下探究跨境數據流動安全治理，二者具有怎樣的內在聯系？第二，從實然的角度出發，我國跨境數據流動安全治理面臨哪些現實困境？第三，從應然的角度出發，以總體國家安全觀為指導，我國在新時代加強跨境數據流動安全治理應當采用何種策略？

2 研究回顧與概念厘定

2.1 研究回顧

自20世紀七八十年代以來，在全球化和信息化浪潮的雙重推動下，于實踐中衍生而來的跨境數據流動理論研究開始興起。加拿大學者W.E.坎迪夫（W.E.Cundiff）于1979年即指明跨境數據流動存在侵蝕國家邊界、沖擊社會權力場所的風險[2]。我國跨境數據流動研究始于20世紀90年代末，代表性學者如程衛東較早對跨境數據流動監管的必要性[3]和策略[4]予以深入探討。21世紀以來，跨境數據流動對國家安全和個人隱私造成的影響不斷趨向復雜，助推跨境數據流動安全治理的研究范疇日漸拓寬?？缇硵祿鲃影踩卫淼暮诵囊馓N大體經歷了從過去聚焦技術、個人隱私保護到當下綜合關注國家安全、數據主權和經濟要素[5]以及利益沖突、數據監管[6]等問題的范式嬗變?？v觀已有研究成果，可以歸納為如下方面。

第一，跨境數據流動安全治理的現實動因?；诟鲊鴶祿踩卫砟芰Φ牟粚ΨQ及其面臨的“數據霸權主義”威脅等因素，“數據主權和數據的跨境流動”[7]被明確為全球數據安全治理的重點領域之一，部分學者據此重點探討了“國家數據主權與本地存儲要求”[8]的國際治理規則分歧，并從數據入境、出境的視角深入分析了國家數據主權存在的安全風險[9]。具體而言，跨境數據流動容易造成國家關鍵領域安全[10]、企業經濟利益損失與商業秘密竊取[11]、國外非法訪問與黑客攻擊[12]、個人隱私泄露等多層次安全風險，構成各國從隱私和數據保護、國家安全、政治性限制、基于道德的互聯網限制、商業性限制等[13]方面入手，加強跨境數據流動安全治理的現實原因。

第二，跨境數據流動安全治理的規制范式。當前，全球跨境數據流動規制體系不斷碎片化、陣營化，主要國家和地區的跨境數據流動治理規則“源殊派異”的矛盾樣態凸顯。大體概括為：（1）美國以“數據自由論”為核心范式[14]，強調自身在全球話語權中的主導地位，謀求全球數據向其自由流動；（2）歐盟以“數據主權論”為核心范式，積極創設引導數據在歐盟內自由安全流動的法律環境[15]；（3）中國強調以“兼顧發展與安全”為核心范式，其立法總體傾向于歐盟模式以“防止數據過度出口”[16]；（4）印度、越南、俄羅斯等部分發展中國家[17]以“嚴格管控”為核心范式，推行數據本地化或限制數據跨境流動的政策。

第三，跨境數據流動安全治理的中國因應。雖然跨境數據流動的共識性規則尚未在國際層面統一確立[18]，但歐盟《通用數據保護條例》（General Data Protection Regulation, GDPR）[19]、《服務貿易總協定》（General Agreement on Trade in Services, GATS）[20]、《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）[21]等國際法治規則的充分供給能為彌補我國跨境數據流動的立法不足[22]、構建跨境數據流動規制框架[23]提供參照。部分學者提出我國應堅持數據安全流動為先的基本立場[24]，深刻反思歐美跨境數據流動博弈過程中反映出的規則矛盾[25]。聚焦于數據自由與安全流動“雙原則模式”的權衡[26]，諸多學者深入探究了我國加強跨境數據流動安全治理的策略，如消除國際跨境數據流動法律壁壘[27]、推進安全評估和行業自律制度建設[28]、通過打破歐美主導格局加快形成數據安全治理的中國方案[29]等。

客觀而言，已有研究為跨境數據流動安全治理提供了較為扎實的基礎，對我國跨境數據流動面臨的國際博弈、權力沖突與現實挑戰予以充分觀照。雖然已有學者在總體國家安全觀視角下深入研究了我國企業跨境數據合規治理的路徑[30]，但多數研究仍需從總體國家安全觀的高度探究跨境數據流動安全治理和國家安全風險防范二者耦合的內生邏輯與行動方案，助力我國深化非傳統安全研究、落實總體國家安全實踐[31]?；诖?，本文旨在重點分析我國跨境數據流動安全治理的現實困境，并以總體國家安全觀為方法論指導提出因應策略。

2.2 概念厘定

本文所言“跨境數據流動”意指“基于特定渠道將數據跨越主權國家邊界，傳輸至其他地區進行處理、存儲或再傳輸的行為”。借鑒學界根據治理結構對“數據安全治理”的內涵進行二元界分的做法[32]，本文認為宏觀意義上的“跨境數據流動安全治理”是指國家依據頂層數據安全戰略，通過采取法律、政策、監管、技術等一系列措施，協調行業、社會組織、科研機構、個人等多元利益相關方協作開展的一系列治理活動集合，以最大程度地防范跨境數據流動安全風險、保障其在安全可控的條件下依法有序流動；微觀意義上的這一概念側重指稱特定行業、企業的數據處理者在“場景化安全”導向下開展的數據跨境流動管理及具體制度實施活動，即出于自身業務需求實現“內部自治”。緣于在總體國家安全觀視角下探究跨境數據流動安全治理，因此本文遵循宏觀意義上的概念認知。

3 總體國家安全觀和跨境數據流動安全治理之間的關系

3.1 總體國家安全觀為跨境數據流動安全治理提供了目標遵循

總體國家安全觀雖并未將“數據安全”作為某一專指性概念而明確提出，但“信息安全”是總體國家安全觀的非傳統安全要素之一，因此可以將“數據安全”理解為其概念體系中的一個派生要素。作此判斷的依據在于，“數據的雙層結構”理論以“數據是信息的載體，信息是數據的內容”為核心要素[33]，這奠定了廓清數據安全與信息安全之間緊密關聯的先決條件；亦如學者指出，在大數據時代，信息安全問題更多地被轉化為數據安全問題[34]。因此，由“信息安全”衍生而來的“數據安全”是總體國家安全觀的重要組成部分，囊括了數字經濟全球化時代強調跨境數據流動安全的核心要義，有必要以總體國家安全觀為遵循，運用全局性思維識別研判、防范化解跨境數據流動過程中的各種風險要素，維護國家安全、國民安全、國際安全等的辯證統一。

3.2 加強跨境數據流動安全治理是貫徹總體國家安全觀的應有之義

《中華人民共和國數據安全法》（以下簡稱《數據安全法》）明確規定，“維護數據安全，應當堅持總體國家安全觀”，為我國在新時代加強數據安全治理指明了法律依據?？缇硵祿鲃硬⒎且粋€孤立領域，其在實踐過程中引發的國家（數據）主權、社會利益、個人信息等安全風險通?！盃恳话l而動全身”。因此，考慮到跨境數據流動安全治理是微觀層面數據安全治理的關鍵內容，因此理應將其置于貫徹總體國家安全觀的宏觀視域下予以考察。規避跨境數據流動安全風險由特定地域、特定場景的“局部性”風險逐步疊加擴散為威脅國家安全的“全局性”風險，維持跨境數據有序流動與維護國家安全之間的合理性張力，是在總體國家安全觀下加強跨境數據流動安全治理的內在要求。

4 我國跨境數據流動安全治理面臨的現實困境

在大國間博弈持續加劇的背景下，對我國當前跨境數據流動實踐加以審視并同國際情況加以對照，能夠發現我國在跨境數據流動安全治理方面存在諸多現實困境。

4.1 多法并軌：跨境數據流動規制依據尚需聚焦、協調

以《中華人民共和國國家安全法》（以下簡稱《國家安全法》）的公布實施為肇始，我國首次在國家立法層面強調“重要領域信息系統及數據的安全可控”之于維護國家主權、安全和發展利益的關鍵作用。此后，我國先后頒布了《中華人民共和國反恐怖主義法》《數據安全法》《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）《中華人民共和國海南自由貿易港法》《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等法律法規，逐漸形成支撐跨境數據流動合規治理的法律架構。然而，作為數據安全治理的后發國家，我國在跨境數據流動法律規制方面仍存在一些完善空間。

（1）關鍵性立法規制視角尚需延展?，F行立法以《數據安全法》《網絡安全法》《個人信息保護法》等基礎性法律指明的跨境數據流動總則性依據為主，其他依據則主要散見于部門規章和規范性文件，效力層階相對較低。雖然我國已于2022年7月發布了《數據出境安全評估辦法》（國家互聯網信息辦公室令第11號），具體明確了數據出境安全評估和風險自評估等規定，但其規制視角仍需從“事前評估”向“全程管控”延伸。在文物出境領域，我國文化部曾頒布施行《文物出境審核標準》（文物博發〔2007〕30號）和《文物進出境審核管理辦法》（文化部令第42號），為指導文物出境鑒定和審批工作提供了專門依據支撐。在橫向對照之下，延展跨境數據流動安全立法全流程規制視角，統籌數據出境入境雙向監管并重是今后加強跨境數據流動安全治理的應有之義。

（2）部分配套規則出臺緩慢、有待加快建立。一方面，我國早自2017年起就聚焦跨境數據流動安全治理相繼發布了多項征求意見稿，但《個人信息和重要數據出境安全評估辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》等遲遲沒有正式頒布實施。另一方面，國家互聯網信息辦公室（以下簡稱國家互聯網信息辦）雖已根據《數據出境安全評估辦法》《個人信息出境標準合同辦法》配套發布《數據出境安全評估申報指南（第一版）》《個人信息出境標準合同備案指南（第一版）》等相關實施細則，但《數據安全法》所明確的我國實行數據安全檢測評估認證、分級分類保護、國家核心數據管理等制度在跨境數據流動安全治理場景下的具體落地尚需持續探索。此外，我國對于工業和信息化領域、汽車以及銀保監會監管等重要數據的出境行為已有所規制，但自然資源、能源、衛生健康等其他行業領域的規制依據較為欠缺，重要行業數據出境法律規制建設尚需從“單點突破”加快向“多點迸發”轉變。

（3）同相關法律規制的協調機制欠缺。當前，我國跨境數據流動相關法律規定在管轄范圍、執法權力、行政程序等方面存有一定重疊、缺失與矛盾，為跨境數據流動實踐帶來不可估量的合規風險[35]。以檔案領域為例，《檔案行政許可程序規定》（國家檔案局令第7號）明確要求檔案行政管理部門受理檔案出境審批申請并在20日內作出行政許可決定，而《數據出境安全評估辦法》則規定“國家網信部門受理申報后，根據申報情況組織國務院有關部門、省級網信部門、專門機構等進行評估”。由此，經過鑒定程序的檔案作為對國家和社會具有長久保存價值的數據[36]，是否屬于數據出境相關法律法規中“重要數據”的概念范疇，是否應當遵從數據領域相關規定進行出境安全風險評估，是否需要網信主管部門協同參與出境審批等。此類問題皆不明確。建立介于不同領域之間的法律協調機制是推進跨境數據流動依法合規治理亟待解決的問題。

4.2 監管離散：跨境數據流動監管多頭分散、全局統籌不佳

（1）跨境數據流動的戰略先行意識不強，缺乏頂層設計和系統規劃。具體而言，我國跨境數據流動安全監管，尚需深度融入網絡強國、數字中國建設等重大戰略布局，進一步發揮其對于維護國家主權、安全與發展利益的戰略性基礎作用。比如，《促進大數據發展行動綱要》（國發〔2015〕50號）明確肯定了數據資源的潛在價值對“增強網絡空間數據主權保護能力，維護國家安全”的重要作用，但我國實質上并未對跨境數據流動安全治理進行頂層設計和整體規劃。

（2）跨境數據流動監管主體相對分散、責任邊界尚不明晰，多元主體協同治理模式有待構建。在國家層面，國家互聯網信息辦、公安部、工業和信息化部、國家發展和改革委員會（以下簡稱國家發展改革委 ）、商務部等是當前我國數據管理和網絡安全工作的核心責任主體；在行業層面，則表現為金融、保險、交通、個人健康等特殊類型的重要數據安全管理由中國人民銀行、中國銀行保險監督管理委員會、交通部、國家衛生健康委員會等各行業主管部門“分而治之”。上述部門在履行相應職責的過程中通常同時牽涉不同司局或不同層級的單位，面臨跨境數據流動安全治理權責協調不佳的桎梏。2023年，黨的二十屆二中全會通過了《黨和國家機構改革方案》，明確指出組建由國家發展改革委管理的國家數據局，具體承擔“協調推進數據基礎制度建設”職責，奠定了下好全國“數據一盤棋”的體制基礎。新組建的國家數據局的職能設計呈現出鮮明的基礎性和宏觀性特征，并不涉及數據安全監管和特定行業領域數據治理等微觀事項[37]，而國家互聯網信息辦原本承擔的統籌推進信息化發展和網絡數據安全監管的主要職責也未發生改變[38]，這在一定程度上為進一步厘清跨境數據流動安全治理主體的權責邊界、探索多元主體協同機制構建提供了契機。

（3）跨境數據流動監管流程不完整、不順暢，未形成監管閉環?；趯σ延蟹梢巹t與行為實踐的分析，我國跨境數據流動監管呈現出“重前端、輕后端”的特征，重點關注數據出境前的安全評估和出境風險的事前預防，但對數據境外存儲、數據出境后的風險防控與合規管控、第三國中轉傳輸、數據復進境等具體要求關注相對欠缺，構建“事前——事中——事后”全鏈條閉環監管模式是我國在未來開展跨境數據流動合規治理的重要走向。

4.3 風險復雜：跨境數據流動隱蔽性強、風險應對困難

（1）被動出境識別困難是跨境數據流動隱蔽性強的重要表現。數據被動出境是相對于主動出境的一種重要形式，在大數據、人工智能、物聯網、5G等技術快速發展的背景下，數據被動出境更難以察覺，其行為動因來源于“不能預見、不能避免并不能克服的客觀情況”[35]，通常情形是數據控制主體難以應對境外網絡攻擊、惡意爬蟲技術侵入數字平臺或數據庫系統等，構成我國跨境數據流動安全治理面臨的外部風險挑戰之一。比如，2022年，國家計算機病毒應急處理中心在西北工業大學遭遇美國國家安全局（National Security Agency, NSA）網絡攻擊事件的調查報告中指出，NSA下設的“特定入侵行動辦公室”（Office of Tailored Access Operation, TAO）近年來對我國開展惡意網絡攻擊高達上萬次，通過控制各類網絡設備先后竊取了超過140GB的高價值數據，對我國國家安全和數據主權造成了嚴重侵害[39]。

（2）跨境數據流動安全風險的精確識別與應對處置能力相對較弱。概而言之，非法竊取、惡意篡改、數據泄露等是跨境數據流動過程中容易出現的安全風險，直接關系到國家總體安全與公民隱私安全?？缇硵祿鲃影踩L險識別與應對處置，不能僅僅依靠法律規制發揮作用，更有賴于借助先進技術和網絡安全防護措施開展跨境數據分級分類監管，充分應對持續升級、復雜多變的數據出境安全風險。然而，囿于數據加密、數據脫敏、數據安全訪問與控制等技術在安全防護能力方面呈現出“單點性”狀態，尤其是重要數據分類分級與屬性識別、跨境數據流動監測預警技術在我國尚不成熟，并未在跨境數據流動監管實踐中得以普遍推廣，因此難以應對復雜化場景下數據出境潛在的突發性、隱蔽性和傳遞性風險。

4.4 管轄沖突：跨境數據流動國際規則話語權有待提升

（1）我國跨境數據流動治理理念、法律規制、政策導向等與國際規則的不互恰性突出構成了引發跨境數據流動安全風險的重要因素之一，尤其是在應對國外“長臂管轄”方面的能力相對薄弱。與歐盟、美國相比，我國在跨境數據流動與境外數據調取中相對處于劣勢與被動地位。依據“充分性認定”規則，歐盟將具有同等個人數據保護水平的14個國家和地區納入數據跨境自由流動“白名單”（即等同于歐盟內部的數據傳輸），但并不包含中國[40]；美國出臺《澄清域外合法使用數據法案》（Clarifying Lawful Overseas Use of Data Act, CLOUD Act），通過“數據控制者”原則賦權本國執法機構“正當”調取海外數據，這種“長臂管轄”式的跨境數據流動管制形式對我國維護國家安全和數據主權、拓展數字經濟發展的國際空間造成嚴重影響與沖擊。

（2）我國數字經濟實力的領先地位和相對優勢同國際跨境數據流動規則制定的話語權適配度不高。近年來，我國數字經濟發展規模增長強勁，實現了從27.2萬億元（2017年）到50.2萬億元（2022年）的快速攀升，總量連續多年穩居世界第2[41]。在數字經濟快速發展的連帶效應之下，我國跨境數據流動需求持續提升、參與國際規則制定的現實訴求不斷增長。然而，部分西方國家在保護本國核心和關鍵領域數據主權的同時，意欲聯合基于共同利益的合作伙伴打壓、遏制中國等新興經濟體，搶占跨境數據流動國際規則制定的主導權，如通過濫施“長臂管轄”和“雙重標準”推行數據霸權主義，采取單邊“強制域外取證”[42]措施嚴重侵害他國司法、數據主權和合法權益。根據國務院發展研究中心2020年出版的《跨境數據流動：戰略與政策》，我國在過去一段時間內并“未主動參與雙邊、多邊及區域框架下的國際合作”[43]107。相對而言，我國難以深度融入以西方為主導的跨境數據流動安全治理體系，在提升跨境數據流動國際規則制定的影響力與話語權方面任重而道遠。

5 總體國家安全觀下跨境數據流動安全治理策略

在總體國家安全觀的戰略導向下，我國應從治理思維、主體、方式和空間等維度入手強化跨境數據流動安全治理，防范化解由跨境數據無序流動引發的非傳統安全風險，助推國家安全體系和能力現代化。

5.1 堅持底線安全觀，完善跨境數據流動法律規制體系

底線安全觀，深刻彰顯了堅持底線思維之于貫徹總體國家安全觀的底層方法論邏輯，其核心要求在于正確認識國家安全面臨的復雜嚴峻形勢，通過深化底線思維運用，科學研判、精準防范各種國家安全風險。我國需明晰跨境數據流動立法對于全方位守牢國家安全、公共安全和個人隱私安全底線的重要作用，逐步建立健全一套結構完備、內容精細、邏輯自洽的跨境數據流動法律規制體系。

（1）加快關鍵領域立法，促進現行法律規制走向雙向兼顧。除《數據安全法》《個人信息保護法》等基礎性法律外，我國當前在行政法規、部門規章層次并未正式出臺跨境數據流動直接相關的專門規定。國家立法部門可以著眼于維護國家安全和數據主權的高度，加快完善跨境數據流動法律法規體系。比如，可參考文物領域的《文物進出境審核管理辦法》，推進制定《個人信息和重要數據進出境管理辦法》，其內容應當包括但不限于：管理機構（人員）及職責、出境審核程序和標準、臨時出境數據復進境、違法出境責任追究等，努力規避因現行法律規則對“跨境數據流動”行為規范不足而可能引發的數據安全風險。

（2）聚焦特殊敏感數據，促進現行法律規制走向具體精細。國外跨境數據流動專項立法起步相對較早，其立法理念呈現出鮮明的“小切口”和“精細化”特征，重點對涉及國家安全、健康醫療、金融信息等特殊敏感數據進行了充分觀照。比如，韓國在2014年頒布《空間數據的建立和管理法案》（Act on the Establishment and Management of Spatial Data），明確規定“禁止將地圖數據存儲在國外”[44]；澳大利亞《2012年個人健康檔案法案》（My Health Records Act 2012）規定，系統運營商、注冊存儲庫運營商等不得在澳大利亞境外保存、處理或獲取個人健康檔案及相關信息[45]。由此，借鑒國際立法實踐，我國應以總體國家安全觀為指導，統籌“國家安全”和“國民安全”并重，逐步實現跨境數據流動國家立法的精細化。

（3）強調立法可操作性，促進現行法律規則走向完備自洽。一是宜加快《個人信息出境安全評估辦法》《個人信息和重要數據出境安全評估辦法》和國家標準《信息安全技術 數據出境安全評估指南》出臺，明確并細化不同行業領域重要敏感數據出境安全評估的內容與流程；二是依托于標準化主管部門和規模宏大、運營成熟的跨境企業，加快推進電子商務、金融、航空等行業級跨境數據流動安全管理相關標準制訂[46]，推動跨境數據流動法律法規與標準建設統籌并進；三是加強與相關法律規制的協調銜接，如以《數據安全法》為遵循，由國家網信部門會同有關部門適時制定關鍵信息基礎設施運營者之外的重要數據出境風險評估與監管制度。

5.2 秉持共同安全觀，統籌推進跨境數據流動安全監管

“共同安全觀”作為總體國家安全觀的微觀組成，旨在引導不同領域、不同部門的行為主體秉持“大安全”和協同治理理念，加強國家安全工作全局性謀劃與一體化推進，探求國家安全命運共同體建構?！稊祿踩ā芬詧猿挚傮w國家安全觀為立法導向，強調“建立健全數據安全治理體系”，為多主體協同參與跨境數據流動安全監管、聚焦本源性問題提升數據安全治理效能提供了法律遵循。

（1）堅持統分結合，構建多元主體協同參與的管理體制?！秶野踩ā访鞔_規定，“中央國家安全領導機構實行統分結合、協調高效的國家安全制度與工作機制”，并分別提出構建“跨部門會商工作機制”和“國家安全協同聯動機制”，為我國構建跨境數據流動安全監管機制提供了法律依據。在組建國家數據局的統一部署之下，我國應加快探索形成跨境數據流動安全治理“宏觀發展——安全監管——具體領域”[37]的三元協同格局，整合國家網信主管部門、安全部門、公安部門、行業組織、教育科研機構、相關專業機構等多元主體的力量優勢參與跨境數據流動安全治理與風險管控，可以適當賦予網絡空間安全協會等行業組織承擔一定的跨境數據流動安全風險審查職責[47]，助推政府監管、社會監督、行業自律深度融合。

（2）加強試點推廣，探索重點領域安全治理的先行方案。我國應聚焦特定地域，總結跨境數據流動試點工作的先行經驗并在全國范圍和重點行業領域進行宣傳推廣。比如，四川省大數據中心、重慶市大數據應用發展管理局簽署大數據協同發展合作備忘錄，為我國跨區域跨境數據流動工作試點和安全評估提供了可供參考的“川渝模式”[48]。也可著眼于特定行業與場景，通過“項目制”試點模式逐步形成可供推廣的跨境數據流動安全治理模式。比如，上海已推動特定功能區國際互聯網專用通道建設，將外資金融機構作為試點對象，允許其在合規前提下向境外單位報送內部管理、風險控制等相關數據[49]。

5.3 運用整體安全觀，提升跨境數據流動風險管控效能

“整體安全觀”是依托系統性思維和方法踐行總體國家安全觀的內涵闡釋，倡導以“整體性”作為安全治理的價值導向，從全局性的角度出發對國家各方面、各領域面臨的安全風險予以精準識別、分析、研判與化解。加強跨境數據流動安全風險管控，有賴于秉持整體性安全思維，加強全流程管控、數據分級分類、強化技術保障等多措并舉。

（1）識別關鍵節點，開展全流程科學管控。由于跨境數據流動安全風險管控是一項需要統籌規劃、協同發力的工作，因此應在遵從相關法律法規的基礎上探索構建“前端評估——中端執行——末端治理”全流程監管模式。在前端評估環節，網絡運營者應堅持跨境數據流動合法性、必要性和最小化原則，重點根據《數據出境安全評估辦法》《數據出境安全評估申報指南（第一版）》《信息安全技術 數據出境安全評估指南（征求意見稿）》等開展數據出境安全風險自評估，并向國家網信主管部門和有關行業主管部門申報數據出境安全評估；在中端執行環節，網絡運營者應對數據泄露、非法獲取和利用等風險予以嚴格管控和實時保護，確保數據處理和傳輸過程安全；在末端治理環節，則應加強數據出境安全風險的干預處置與溯源追責，必要時重新開展數據出境安全風險評估、跨境數據流動合規審計與風險持續審查等。

（2）注重外部合規，推進分級分類精準管控。我國應當按照《數據安全法》有關規定引入數據分級分類監管制度，在數據出境安全風險系統性防控的基礎上開展精準治理，達到“因數制宜、分類施策”的目標。一方面，分類審視不同行業領域、不同類型數據對維護國家安全、社會穩定和個人隱私安全的差異化影響，可將其劃分為核心數據、重點數據和一般數據，并分別采取從嚴管控數據出境、滿足條件控制出境、自由出境等措施。另一方面，考慮到跨境數據流動受到不同主權國家和國際組織法律規則的管轄與約束，我國應立足實際分類構建全球重點國家和地區跨境數據流動風險矩陣（如表1[50]），精準確定數據跨境重點流向地域的外部合規策略，最大限度地降低數據安全風險和管理成本。

表1 全球重點國家、地區跨境數據流動風險矩陣示例Table 1 Example of the Risk Matrix of Cross-Border Data Flow in Key Countries and Regions in the World

（3）強化技術保障，提升安全風險防范能力。近年來，以美國為首的西方發達國家在科技領域對華的封鎖態勢愈發顯著，甚至在網絡安全領域出臺“分層網絡威懾”（layered cyber deterrence）戰略直指中國。對此，我國應聚焦跨境數據流動安全治理現實需求，加強數據安全保護技術投入、研發與推廣應用；以產學研用四位一體為導向，積極引導數據服務機構、高等院校、科研機構等圍繞數據傳輸安全與區塊鏈、人工智能、隱私計算、密碼技術等開展交叉研究；重點加強數據分級分類、數據加密與脫敏、數據流轉溯源監測等自主創新技術攻關，逐步構建面向跨境數據流動全鏈路的安全風險防控機制，不斷彌補當前數據安全技術防護能力不足、精準性不強的局限。

5.4 踐行國際安全觀，為全球數據安全治理貢獻中國方案

總體國家安全觀是對基于“人類命運共同體”理念落實全球安全倡議、構建“人類安全共同體”的價值體認。其中，以普遍、平等、包容、合作為核心要義的“國際安全觀”在總體國家安全觀“五大要素”“五對關系”中處于依托性地位，主張實現國家安全治理空間從傳統的“國家中心”到未來走向“國際一體”的延展與躍遷。我國在積極維護國家安全和數據主權的同時，也要主動謀求國際合作，為促進國際跨境數據流動規則完善和全球數據安全治理貢獻中國智慧與力量。

（1）嚴格落實《全球數據安全倡議》，持續傳播跨境數據流動安全治理的中國聲音。2020年9月，我國發布《全球數據安全倡議》，倡導“各國反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據”“尊重他國主權、司法管轄權和對數據的安全管理權”；2023年2月，我國發布《全球安全倡議概念文件》，將“深化信息安全領域國際合作”作為重點合作方向之一，為促進數據跨境安全和自由流動提供了中國方案。以此為契機，我國應充分利用二十國集團、亞太經合組織、金磚國家、上海合作組織、東盟等國際和地區機制，以及“一帶一路”國際合作高峰論壇、世界互聯網大會等，向世界宣傳闡釋維護全球網絡空間和數據安全的中方主張，呼吁主權國家和非國家行為體合力推動全球數據治理，提升不同法域數據保護和傳輸規則的互操作性，促進全球數據安全治理互信共治。

（2）積極加入跨境數據流動多邊機制，提升數據安全治理的中國話語權。第一，我國應持續推進落實《中國——阿拉伯聯盟數據安全合作倡議》《“中國+中亞五國”數據安全合作倡議》，積極加入新加坡、智利、新西蘭聯合發起的《數字經濟伙伴關系協定》（Digital Economy Partnership Agreement,DEPA）、亞太經合組織（APEC）的“跨境隱私規則體系”（Cross-Border Privacy Rules,CBPRs）[51]等雙邊、多邊或區域性協定。第二，我國應重點明確開展跨境數據流動安全監管的國際執法協作框架和條件，構建符合國家安全、數據主權和發展利益的“雙邊——多邊”數據跨境執法調取方案，應對、反制國外某些國家對我國施行的“長臂管轄”和“數據霸權”[52]。第三，跨境數據流動安全治理不單是理念、政策、規則的博弈，更牽涉到深層次的話語權博弈。我國在推進加入跨境數據流動多邊規制的同時，應注重提升自身的話語權，積極引導利益攸關方尋求“協調、可互操作性的跨境數據流動框架”[53]建構，努力消除全球跨境數據流動領域的叢林法則與零和博弈，避免在數據安全治理領域陷入“修昔底德陷阱”。

（3）持續推動國際規則建立與完善，促進全球網絡空間命運共同體建設。一方面，我國應堅定遵守《聯合國憲章》確立的主權平等原則和以國際法為基礎的國際秩序，主動加強與其他主權國家和國際組織的雙向互動，促進各國政府、國際組織、互聯網企業、技術社群、智庫等主體開展深度合作，推動制定并完善符合各國數字經濟發展和數據安全共同利益的國際規則。具體而言，可以考慮發起“數據絲綢之路”計劃，適當借鑒GDPR和CBPRs的合理成分，推動構建“一帶一路”倡議下的跨境數據流動多邊合作規制[43]96。另一方面，我國亦應深刻領會網絡空間命運共同體之于人類命運共同體的重要作用，通過秉持以“共商共建共享”為核心要義的全球治理觀和以“構建‘人類安全共同體’”為行動取向的國際安全觀，有效防范和化解個人信息和重要數據跨境流動安全風險，為建設一個“更加公正合理的網絡空間治理體系”和“普遍安全的世界”注入力量。

6 結語

當前，我國將“統籌發展與安全的關系”作為跨境數據流動安全治理的出發點與落腳點，側重強調在維護國家安全、數據主權和個人隱私安全的基礎上倡導跨境數據安全有序流動。今后，我國應立足于總體國家安全觀，在跨境數據流動安全治理實踐中全面貫徹底線安全觀、共同安全觀、整體安全觀和國際安全觀；也要在制定、完善跨境數據流動國際規則的過程中，注重從“適應者”“參與者”向“引領者”“變革者”轉變，不斷促進全球數據安全治理向更公正、更合理的方向發展。

作者貢獻說明

徐擁軍：提出研究思路和部分重要觀點，指導論文撰寫與修訂；

王興廣：設計研究方案，收集資料，提出部分重要觀點，論文撰寫與修訂。