數據主權視閾下我國數據出境的法律規制及完善

陳斌彬 王斌楠

摘要：在數字經濟全球化時代，各國數據大規模出境已成常態。為防范和應對數據出境中出現的侵害一國公民隱私、公共安全、國家安全和發展利益的各類風險事件，各國紛紛援引“數據主權”對之施以規制。其中，歐盟“以地理區域為基準”和美國“以組織機構為基準”這兩種規制路徑最為典型。前者重數據隱私之保護，偏向嚴格和保守；后者重數據價值之利用，趨于自由和激進。兩者雖取向不一，但都在傳統屬人和屬地管轄基礎上引入了效果管轄原則，創設了數據立法的域外適用。我國目前也在主權語境下形成了《網絡安全法》《數據安全法》《個人信息保護法》三足鼎立的數據規制體系，但其中涉及數據出境的規則條款仍顯簡單與粗糙，亟須微觀上細化完善。同時，宏觀上我國對外也應重視數據主權行使的整體考量，以網絡空間命運共同體為先導，兼顧他國合理關切，積極推動雙多邊數據跨境合作規則的達成，從而內外兼修，構建一個既能維護我國數據主權利益，又能促進數據產業全面發展的數據出境規制體系。

關鍵詞：數據出境；數據主權；立法管轄；效果原則

中圖分類號：D996文獻標識碼：A

文章編號：1006-1398（2024）02-0049-15

在大數據、云計算、5G聯接、物聯網等新一代信息技術的驅動下，數字經濟在全球異軍突起，發展迅猛。與之相應，作為數字經濟的基本單位，數據更是當今開展國際貿易須臾不可或缺的重要載體。根據麥肯錫全球研究院2019年4月發布的《數據全球化：新時代的全球性流動》證實，2009年至2018年十年間，數據跨境流動對全球經濟增長貢獻度高達101%，極大地支撐了包括商品、服務、資本、人才等其他類型的全球化活動，發揮著越來越獨立的作用。See McKinsey Global Institute，Digital Globalization：The new era of global flows，Sep，12，2021，https：//wwwmckinseycom/bussiness-functions/digital-mckinsey/our-insights/Digital-Globalization-the-new-era-of-global-flows最新一份研究表明，2022年全球互聯網協議數據流量（包括各國國內和國際流量）超過2016年之前人類用過的所有數據流量的總和，預計2025年跨境數據流動對全球經濟增長的價值貢獻預計會突破11萬億美元。See UNCTADDigital Economic Report 2022，Jan，19，2023，https：//unctadorg/system/files/official-document/der2022_enpdf然而，數據身上承載著個人隱私、商業秘密乃至國家機密等，對其不當處理和濫用會給個人、企業和國家經濟利益帶來潛在威脅與侵害。同時，數據出境涉及數據的所有者、接收者和使用者等多元主體，流轉路徑涵蓋數據的起源地、中轉地及目的地等，復雜多變。倘若其中某一環節被惡意攔截、修改、泄露、復制等，都會帶來數據安全風險甚至危及國家主權和政權的安全。2013年的“棱鏡門”、2017年席卷全球的“勒索”病毒攻擊和2018年的“劍橋分析丑聞”等事件就是典型的例證?？梢?，數據出境于一國而言是把雙刃劍，如何對之施以適當的規制，達致安全和發展兩不誤成為擺在各國面前亟需解決的時代課題。然而，囿于各國間政治制度，隱私保護傳統與數字經濟發展階段之差異，目前全球缺乏一個統一的多邊數據共享協議，對數據出境的規制主要停留在國別層面。很多國家和地區紛紛運用“數據主權”出臺相應的數據管轄立法，不斷強化自身在此領域的話語權。在這其中，歐盟和美國出于各自的歷史傳統和現實訴求，創建了數據出境規制的兩大立法范式。兩大范式之間既相互競爭，又相互妥協和融合，構成了國際個人數據跨境流動規制的基本格局，許多奇：《個人數據跨境流動規制的國際格局及中國應對》，《法學論壇》2018年第3期，第130頁。頗值研究和鏡鑒。本文嘗試在此基礎上力圖從國內法和國際法兩個維度提出完善我國數據出境的規制之策。

一數據出境與“數據主權”

（一）“數據出境”概念辨析

數據是指任何以電子或者其他方式對信息的記錄?！稊祿踩ā返?條。今天，在全球化和數字化的背景下，數據如新時代的“石油”，不僅在一國的重要性日益凸顯，成為與土地、勞動力、資本和技術并駕齊驅的生產要素，而且已然構成一國國際競爭力、影響力及戰略定力的重要組成部分，是各國競相爭奪的基礎性戰略資源。然而，無論作為生產要素抑或戰略資源，數據的價值效用只有通過流通與共享才能得以彰顯和發揮。今天，小到個人的海外購物，跨境支付，中到企業的跨境電商、并購合作業務甚或大到國家間的跨境執法合作，司法電子取證等，都無不以數據的出境為繼發條件。關于數據出境概念，表1列舉了一些國際組織和國家所給的定義。從這些定義可見，不同時期國際社會對“數據出境”中“境”之界定存有差異。以20世紀90年代為分水嶺，在此之前因為網絡技術的不發達和高昂的通訊成本導致各國數據主要依靠離散的點對點式的傳輸，甚至是依賴人工攜帶紙質材料才能出境，故而早期經合組織、歐洲理事會、聯合國跨國公司中心和美國國會的定義中特別強調“跨越國境”的表述，即數據的傳輸只有跨越地理位置意義上的國境才能稱為真正的“出境”。而與之不同，隨著21世紀初諸多新興信息傳輸技術的涌現和遠程訪問的日益便利化，數據跨越國界（境）已不再是“數據出境”的必要條件，故而晚近歐盟理事會和我國給出的定義更傾向于從效果即以第三國（國際組織）或境外機構、組織和個人是否接收訪問到本國境內數據作為界定數據出境的標準，至于其間數據是否發生跨越國界的流動則在所不問。

由上可見，雖然國際社會對“數據出境”的界定不盡相同，但綜合他們的表述，不難發現“數據出境”蘊含著三個核心元素：一是出境的數據是個人數據或存儲在計算機中的電子數據；二是出境的樣態為任何一次或連續性的傳輸活動；三是出境的方式既可以是主動出境，即數據從一國傳輸到另一國，也可以是被動出境，即境內數據被境外主體訪問、查詢和下載。概言之，“數據出境”存在于以下兩種情形：第一，站在一國的視角，其表現為本國境內生成的數據被位于他國（境外）的機構、組織、個人所處理；根據《數據安全法》第3條，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供與公開等行為。第二，從全球的層面看，其表現為數據在兩個或兩個以上的領土主權疆界（實體）或數據主權管轄畛域（虛擬）間的穿梭流動，此情形即為數據跨境流動。

（二）“數據主權”：規制數據出境的利器

由上可見，無論是從一國的視角，還是站在全球的層面來界定，數據出境同傳統貨物出境一樣都繞不過國家主權的藩籬。只不過與傳統貨物相比，數據天生具有無形性、流動性和可分性。并且，如前所述，當前數據存儲方式又發生了較大變化，不僅從當地的存儲器逐漸轉變為全球數據庫的遠程存儲，還越來越多的被存儲到“云”（cloud）端之上。由于云端是通過虛擬化平臺來對應終端操作完成數據復制、轉移和擴展，不像國家領土那樣有著明確的地域界線，無需接受邊檢人員的檢查。加之云計算高速的運算能力，一國難以實時跟蹤和判斷其間穿梭流動的數據是否已跨越了實際的國界或疆域。這種云存儲技術幾乎抹煞了數據地域性的識別標記，使得數據的出境具有依托于但不局限于一國領土的特質，從而令以往的國家主權管控變得難以為繼。進言之，在大數據和云時代的背景下，一方面，一國的關鍵信息基礎設施、數據和網絡信息等對于一國安全的重要性越來越不亞于領陸、領水和領空的完整；王淑敏：《全球數字鴻溝彌合：國際法何去何從》，《政法論叢》2021年第6期，第12頁。另一方面，一國已不能再同以往那樣通過屬地和屬人管轄獨占、專有地控制與領土、居民等相關的所有數據。數據出境正越來越“將國家置于危險境地”See Data Stored Abroad： Ensuring Lawful Access and Privacy Protection in the Digital Era： Hearing Before the HCommon the Judiciary， 115th Cong（2017）。國際社會尤其是眾多的發展中國家正是看到既有國家主權制度受到的沖擊，并切身感知到單向數據出境流動對本國安全的威脅才疾呼各國將數據納入主權的管控范疇?！皵祿鳈唷币惨虼藨\而生。

那么，何謂“數據主權”？耙梳目前學界的觀點，主要有三種認知和理解：其一，主張數據主權為網絡空間中的國家主權，或者說是網絡主權的一個子集；典型的如曹磊：《網絡空間的數據權研究》，《國際觀察》2013年第1期，第53—58頁；梁坤：《基于數據主權的國家刑事取證管轄模式》，《法學研究》2019年第2期，第188—208頁。其二，認為數據主權是國家對本國數據的最高權力，體現為對本國數據的占有、管轄、利用和保護。典型的齊愛民、盤佳：《數據權、數據主權的確立與大數據保護的基本原則》，《蘇州大學學報（哲學社會科學版）》2015年第1期，第64—70+191頁；杜雁蕓：《大數據時代國家數據主權問題研究》，《國際觀察》2016年第3期，第1—14頁。其三，認為數據主權管轄和控制的對象除了數據外，還包括與數據相關的技術、設備和服務商等。典型的如孫南翔、張曉君：《論數據主權——基于虛擬空間博弈與合作的考察》，《太平洋學報》2015年第2期，第63—71頁。以筆者之見，“數據主權”既為一種“主權”，對其理解就應遵循“主權”一詞的本貌。首先，追本溯源，主權是國家的根本屬性，是國家區別于國內的地方行政區域或國際上其他實體的重要標志，體現的是一國獨立自主地處理國內外一切事務的權力。王鐵崖主編：《國際法》，北京：法律出版社，1995年，第66頁。并且，主權還是一個持續發展與不斷變化的概念，有著獨特的時間與空間維度。See Franz Xaver Perrez， Cooperative Sovereignty： From Independence to Interdependence in the Structure of International Environmental Law， Kluwer Law International， 2000，p2不同的歷史背景就會有不同的主權內涵。而數據主權正是國家主權順應當下數字經濟社會蓬勃發展的必然結果，是在全球新一輪信息技術革命和產業變革背景下一國為因應數據出境給自身帶來安全風險的一種必備利器，具有鮮明的時代特征。其應用主體當然是國家，故而那種將數據主權描繪成個人（機構）的數據權的表述并不恰當。多數西方學者在論及數據主權時多指個人數據主權。典型的代表文獻可PDe Filippi， SMcCarthy， “Cloud Computing： Centralization and Data Sovereignty”， in European Journal of Law and Technology， Vol3， No2， 2012， p15其次，依國際法，主權包含國家對內的最高統治權和對外的獨立權。對應到數據主權，此處的對內最高統治權就是指國家對本國數據所具有的排他的自由行使的統治權，具體體現為國家對本國數據的管轄權；而此處的對外獨立權則指國家在國際上不依賴他國，不受任何國家的擺布而獨立參與全球數據事務的治理。同時，數據主權規范的對象——數據具有特殊性，其之存儲和傳輸不僅須臾離不開相關介質、設備等物理設施，而且還是網絡空間必不可缺的構建顆粒。就此意義而言，以上三種觀點看似不一，但實則都不同程度指向數據主權的某一面向（屬性或對象），雖然并不完整，但沒有沖突。因此，筆者認為一個內涵清晰的數據主權概念應是上述三種觀點之綜合：那就是數據主權首先應是國家主權在網絡空間中的延續和發展，或者說是國家網絡主權的核心組成部分，其內涵可界定為對內的數據管轄權和對外的數據合作治理權兩個部分。

（三）“數據主權邊界”：行使數據主權的前提

那么，如何判定數據主權內涵中的“對內”與“對外”呢？這就要先確立“數據主權邊界”?！皵祿鳈噙吔纭弊鳛橐粐鴶祿鳈嘈惺沟囊罁徒缇€，能為一國突破屬地管轄的羈絆以對數據出境流動施以規制提供合理的依據與界線，故而是確保一國對外有效行使數據主權，減少與他國沖突的關鍵。由于實踐中各國數據是以網絡為主要傳播渠道，故要厘清“數據主權邊界”就不能局限于命題表述本身，而應深入到數據流動所端賴的網絡空間，探析其與國家領土相區別的運行特質：沒有特別說明，本文所言的國家領土包括領陸、領水、領陸和領水以下的底土以及領路和領水之上的領空。關于國家領土的界定，王鐵崖：《國際法》，第229頁。

第一，空間的虛擬性。依國際電信聯盟的權威定義，網絡空間是“由包括計算機、計算機系統、網絡及其軟件支持、計算機數據、內容數據、流量數據以及用戶在內的所有要素或部分要素組成的物理或非物理領域”See ITU，ITU Toolkit For Cybercrime Legislationhttps：//wwwituint/ITU-D／cyb／cybersecurity／docs／itu-toolkit-cybercrime-legislationpdf．。此定義表明，網絡空間在空間歸屬上，確有實體空間的部分構造，但更多還是屬于由軟件系統和數據組成的虛擬空間。這種空間在外觀上是由世界各地相互連接的小型網絡組成，但其本質上就是一種由海量的二進制數據顆粒聚合而成的關聯體。地球上所有可以通過有線連接或無線（衛星）鏈接訪問的地方都可以訪問之。因此，網絡空間劃分區域的標準是IP地址和對應的域名。人們只需單擊鼠標，就可以將數據傳送到全球各個角落。這種技術架構一方面造就了網絡空間中法律關系的虛擬性，即除了當事人之外沒有其他物理因素；See Tobias Lutz，Private International Law Onine－Internet Regulation and Civil liability in the EU．Oxford University Press，2020，p26另一方面卻使得傳統國家主權賴以作用的領土邊界不能簡單地被移植過來。易言之，在網絡空間中，主權國家的地理邊境在某種程度上被虛化了，并不像現實中那么清晰。See Richard Portes &Hélène Rey，The Determinants of Cross-Border Equity Flows： The Geography of Information， UC Berkeley Recent Workhttps：//escholarshiporg/uc/item/51w4v95p

第二，結構的層級性?！端质謨?0》將網絡空間結構分為三層：《塔林手冊20》的全稱為《網絡行動國際法塔林手冊20版》。其由位于愛沙尼亞首都塔林的北約卓越合作網絡防御中心邀請包括中國在內的19位專家于2017年2月共同編寫的。手冊作為全球首部國際網絡空間治理規則的學術建議草案，雖非一般國際法，不具有約束力，但在網絡空間治理領域極具影響力。物理層，主要由各種硬件設備及其他基礎設施，如電腦、電纜、存儲器、服務器等；邏輯層，主要是存儲在物理層上的數據及各種確保數據交換的應用、規則和協議，如 TCP /IP 等；社會層，主要是指參與網絡活動的主體即個人或機構，典型的如網絡數據的處理者或控制者等。［美］邁克爾·施密特：《網絡行動國際法塔林手冊20版》，北京：社會科學文獻出版社，2018年，第58頁。在這三個層級中，位于邏輯層的數據看似以電子或類似無形面目出現、具有移動性和可復制性，但其存儲和傳輸卻須臾離不開社會層和物理層的幫助。一言以蔽之，沒有各個網絡參與主體（社會層）事先人為地下達傳輸指令和各環節的網絡設施（物理層）提供硬件傳輸支持，日常萬千的數據流動顯然無從發生。

第三，“邊界”的雙重性。從整體上看，網絡空間雖為虛擬的鏈接，屬于非物理空間，在象征意義上與陸地、海洋和天空完全不同，但在功能意義上卻依賴于物理場所和網絡主體。故其雖不像上述三個物理空間那樣有著清晰的邊界印記，但也絕非如某些國家所言的全球公域。誠如有學者所言，網絡空間與它們的相似的不是物理上的相似性，而是它們的國際性、主權性質。See Radim Polcák， Dan Jerker BＳvantesson，Information Sovereignty Powers and the Rule of law，Edward Elgar Publishing，inc，2017，p56 像“網絡存儲設施”的位置、“網絡主體”的國籍與“網絡行為”發生地等，都會對一國網絡數據的流向及其所在國的數據主權利益構成影響，故而它們在理論上都可能會“化身”為一國網絡空間的“邊境”，成為劃分和確立數據主權作用邊界的重要標準。筆者基于網絡空間的結構化特點，將這些標準歸為以下三類：一是物理層所在地標準。毋庸置疑，數據所存儲的電腦、磁盤等物品的位置反映了數據的屬地性?；跀祿奈锢硖卣?，數據的屬地性早被廣泛接受。楊永紅：《美國域外數據管轄權研究》，《法商研究》2022年第2期，第147頁。所以，當數據存儲設備在一國的領陸、領水、領空范圍之內，則該國就有能力控制在其主權領土上的數據存儲設備，進而控制數據和行使管轄權。若他國侵犯、干涉、非法獲取，不正當使用一國境內的數據及數據存儲設備，就將構成對該國主權的侵犯。張曉君：《數據主權規則建設的模式與借鑒——兼論中國數據主權的規則構建》，《現代法學》2020年第6期，第138頁。 二是社會層所屬地標準。數據之所以能出境流動，皆肇因于不同國家或地區數據所有者（如個人、企業、國家等）的“同意”或數據控制者（數據發送方、數據接收方或數據傳輸服務方等）對數據的收集、存儲、加工、訪問、傳輸與公開等。為表述方便，本文以下就將數據所有者和數據控制者（處理者）合稱為數據主體。就此而言，在立法上確認數據主體的國籍國或經常居住地國對這些數據主體行使管轄權并無不當。三是網絡數據處理效果地標準。在數字技術日益進步和數字經濟日益全球化的今天，不同國家民眾之間的交往正日益進化成一種在線的數據關系。一國的個人或機構在前述所言的云端或另一國境內的服務器上針對另一國民眾的數據進行在線關聯分析或聚合處理早已司空見慣，但倘若這種在線處理行為已經或可能會損害另一國網絡數據安全和數據主體的合法權益，則受影響的數據主體所在國為維護自身數據主權利益也可基于效果原則（effects doctrine）對這些發生在境外的在線數據處理行為行使管轄權。

綜上，筆者所倡的 “數據主權邊界”并非是一成不變的概念，其具有雙重屬性——既有形又無形。當數據存儲于一國領土境內，此時的“數據主權邊界”就是有形的，與國家領土邊界無異；當數據存儲于本國領土之外，此時的“數據主權邊界”就會突破國家領土邊界而延伸到他國境內。不過這種延伸不是現實世界中的領土擴張，而是一種觀念上的延伸，邊界大小取決于本國數據主權與他國數據主權交織碰撞的結果?？梢哉f，不同于物理層所在地標準，依社會層所屬地和數據處理效果地這兩類標準確立的“數據主權邊界”具有無形性，其更多存在人們的認知思維中，本質上是兩國（數據存儲地國與數據非存儲地國）數據主權抵牾博弈后所形成的一種均衡狀態。這就意味著數據主權在行使方式上更加需要國家之間的共同協作。最后仍要指出的，“數據主權邊界”作為一國主權在網絡空間和數據領域行使的依據和界線，是以數據主權的概念被廣泛接受為邏輯預設前提的?？梢哉f，關鍵信息基礎設施、數據和網絡信息等方面的安全對于一國安全的重要性不亞于領陸、領水和領空的完整，王淑敏：《全球數字鴻溝彌合：國際法何去何從》，《政法論叢》2021年第6期，第12頁。各國尤其是發展中國家正是看到數據資源的重要性并切身感知到單向的數據出境對本國安全的威脅才疾呼明確數據主權。如2015年1月9日，中國，俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦、烏茲別克斯坦聯合向聯合國提交“信息安全國際行為準則”更新草案，主張明確各國網絡空間的數據主權以規范網絡空間行為。易言之，數據主權是國家主權在數字經濟全球化時代下的延續和發展，是一國因應數據安全風險和規制數據出境的必備利器。

同國家領土主權一樣，數據主權不僅屬于政治范疇，更屬于法律范疇。近年來，為趨利避害，爭奪數據資源和維護國家利益，各國基于上述的三類“數據主權邊界”標準，紛紛通過立法確認和運用數據主權以對本國數據安全、網絡信息安全、隱私保護等領域進行管轄，為數據跨境洪流修筑安全堤壩已成趨勢。一國管轄權可表現在立法、司法和執法三個方面。由于法律本身就是主權者意志的體現，且司法和執法管轄權的發揮均以立法管轄為前提。故沒特別說明，本文主要從立法管轄角度探討數據跨境流動的主權規制。

二數據出境主權規制的典型路徑：以歐美為例

（一）歐盟的規制路徑：以地理區域為基準

1歐盟對數據出境的規制立法。歐盟是全球數據出境規制的發祥地。早在1970年，德國黑森聯邦州就制定了全球首部個人數據保護法——《黑森州數據法》。隨后，瑞典、奧地利、盧森堡等其他8個成員國也都陸續效仿出臺了各自的數據法案，規定了數據出境傳輸的申報與批準程序。為避免各成員數據立法管制參差不齊造成的數據流動壁壘，歐洲理事會于1981年通過了《個人數據自動化處理中的個人保護公約》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下簡稱《公約》）?！豆s》確立了各成員國最低程度的數據傳輸保障義務和相互協作框架，允許成員可以對擬跨境遷移的數據保留類型等方面的限制，但不允許成員僅以保護隱私為借口而實行禁令或通過其它特別授權方式限制數據出境。See European Treaty Series-No108Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data， Strasbourg， 1981128遺憾的是，由于最終簽署加入《公約》的國家數量不如預期，故《公約》發揮的實際協調效果相當有限。例如，截止到1995年，加入《公約》的歐共同體國家不到10個。See Cate， Fred H， “The EU Data Protection Directive， Information Privacy， and the Public Interest”， Maurer School of Law： Indiana University， Iowa Law Review， 1995， p432故而，歐盟理事會于1995年發布了《關于涉及個人數據處理的個人保護與自由流動指令》（Directive 95 /46 /EC，以下簡稱《指令》）。See Directive 95 /46 /EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data．相較于《公約》，為防范個人數據流向保護水平較低國家，《指令》特別提出了對歐盟外的數據接收國課以“充分性認定”（Adequacy Decision）的標準要求，從而為成員國提供了統一的數據保護標準和跨境數據流動方式，展現出歐盟對個人隱私保護的良苦用心。See Frontier Economics LtdThe Value of Cross-border Data Flows to Europe： Risks and Opportunities， Report Prepared for Digital Europe， June 2021， pp19-20

不過，隨著以大數據、云計算、人工智能等新一代信息技術的出現及其對個人數據保護造成的沖擊，《指令》中原有的只適用數據控制者（網絡平臺）的一些規定越發顯得滯后。同時，為配合2015年“數字單一市場戰略”的施行，歐盟理事會于2016年4月14日頒布了《通用數據保護條例》（General Data Protection Rules，以下簡稱GDPR）。經過兩年多的預備期，GDPR于2018年5月25日正式取代《指令》，并作了以下幾個方面的改進：第一，將法律位階提升至“條例”層級，明確了對所有成員國的直接法律拘束力，避免了先前《指令》因成員國自身國內立法轉化水準和執行尺度不同而出現的規制落差；第二，在數據的類型和主體權利上，加入了個人敏感數據，首次將“被遺忘權”與“可攜帶權”納入個人數據權的范疇；第三，拓展了數據主權的域外規制空間，將那些以歐盟客戶為在線服務對象，但總部卻位于歐盟境外的外國數據公司或在歐盟境內有經營機構的外國數據公司納入管轄范圍；第四，將原有“充分性認定”對象從第三國擴展至國際組織；第五，允許針對成員國間的數據侵權行為建立對等制裁機制，加大事后違規的處罰力度。

2歐盟數據出境規制立法的實質。歐盟對數據出境的規制是立基于歐盟全境展開，實施的是一種以地理區域為基準的管轄路徑。這從GDPR的內容可資佐證：首先，第3條第1款明確了GDPR適用于“機構設立（establishing）在歐盟境內的數據控制者或處理者對個人數據的處理，不管該行為是否發生在歐盟境內”。此款開宗明義確立了歐盟對其境內數據的屬地管轄權。其次，GDPR對數據出境的規制分為歐盟境內成員國之間、歐盟與其境外國家兩個層面，兩者要求截然不同。對于前者，歐盟采取的是無條件允許流動的立場，極力支持數據在歐盟境內的自由流動。第1條第3款就重申成員國不得以保護個人數據權利為由，限制或禁止個人數據在歐盟境內自由流通。對于后者，歐盟采取的則是嚴格限制流動的立場。即數據流動到歐盟境外原則上是被禁止的，除非其能滿足較高的充分保護條件。第五章的第46條和47條就分別規定了歐盟境內的數據控制者或處理者只有符合以下兩種情形之一時才能向歐盟以外的第三國或國際組織傳輸個人數據。See GDPR，Article 46-47這兩種情形包括：（1）數據接收國或國際組織對個人數據有充足保護，且其保護水平被歐盟委員會評估和認可為與歐盟相當，或數據接收國在GDPR“充分性保護”要求的國家和地區名單之列。（2）數據控制者或處理者對擬出境的數據已提供了適當的保障措施。包括為數據主體提供可執行的權利與有效的法律救濟措施，在合同中采用了歐盟委員會或數據監管機構制定的數據保護標準條款，要求數據傳輸方和接收方應是進行聯合經濟活動的企業集團成員或一組相關的企業成員（包括他們的員工），且他們都已按照一致性機制制定了一套有約束力的企業規則等；此外，第49條又做了進一步補充，規定了上述兩種情形之外的其它可以向外傳輸數據的特殊情形：包括數據主體獲悉風險后仍明確同意、數據主體請求執行合同或行使抗辯要求、為維護公共利益或保護數據主體切身利益所必需、或傳輸的是那些專門給具有正當利益的人提供咨詢的登記冊中的數據。See GDPR，Article 49可見，歐盟對其數據流動的立法規制無疑是以是否超越歐盟區域為分水嶺而建構的，立場內松外嚴，具有鮮明的地理區域特色。

除了基于地理區域的屬地管轄，歐盟在數據出境規制上還帶有屬人管轄成分。這從GDPR第3條第1款后半部分的“不管該行為是否發生在歐盟境內”的表述可見一斑。這意味著只要是歐盟境內注冊的數據企業，不管他們身居歐盟境外何處，其處理個人數據的行為都要接受GDPR調整。顯然，這是一種屬人管轄。進一步地，該條第2款要求歐盟境外數據控制者或處理者凡以“向歐盟境內數據主體提供商品或服務或監控他們的活動”為目的而處理個人數據也應受GDPR的管轄。See Shakila Bu-PashaCross-border issues under EU data protection law with regards to personal data protection， Information & Communications Technology Law， 2017 Vol26， No3， pp213-228這就是著名的“靶向準則”（targeting criterion）。在此準則中，境外數據控制者或處理者雖既非歐盟企業，也非處理歐盟境內的數據，但只要他們處理數據的行為構成向歐盟境內數據主體提供商品或服務所必需的環節（正面效果）或者對發生在歐盟境內數據主體的日常行為進行監控（負面效果），都應接受GDPR的管轄。無疑，此處立法確立的管轄既非基于傳統的屬地原則的管轄，也非屬人原則管轄，而系前文言及的基于效果原則（effects doctrine）的一種效果管轄。此種管轄不同于國際法上的“保護性管轄”?！氨Ｗo性管轄”是指國家以保護本國重大利益為基礎對外國人在外國犯罪行使管轄。而GDPR這里所要防范的危害效果顯然還沒有上升到犯罪層面，筆者把這種具有保護性管轄意味但程度上又較之不及的管轄原則稱為效果管轄。有關效果管轄內容，Wolff ?Heintschel von Heinegg， Territorial Sovereignty and Neutrality in Cyberspace，89 International Law Studies 123，p133，2013

綜上，歐盟這種以地理區域為基準的主權規制路徑本質上是一種以屬地管轄為主兼具屬人管轄與效果管轄在內的綜合性立法安排。一方面以保護本歐盟境內的個人數據權利為歸依，通過屬地管轄為出境數據設定了最低保護標準，強調境外數據接收方唯有提供與歐盟相當的數據保護水平或符合其他特定情形條件時才允許數據出境，另一方面又通過屬人和效果管轄的輔助實現歐盟域外數據保護的有限擴張，整體立場偏向嚴格和保守。

（二）美國的規制路徑：以數據組織機構為基準

1美國對數據出境的規制立法。美國對數據出境的規制總體持寬松自由的立場。其在聯邦層面沒有像歐盟那樣制定一部類似GDPR的綜合個人信息保護法，而是對不同行業的數據采取“個案式”的分散立法管制。比如，在金融領域，針對金融服務數據與隱私的保護，美國1978年和1999年分別制定的《金融隱私權法》與《金融服務現代化法》就先后確立了金融機構對公民金融隱私的尊重和保護義務，嚴禁在未通知客戶并未經其同意的情形下隨意向境內外第三方披露交易數據。又如，在通訊領域，1979年的《出口管制條例》則將人工智能、信息安全、導航定位等關鍵技術數據（含軟件）列入出口管制的對象。2018年的《出口管制改革法案》又進一步對“新興和基礎技術（emerging and foundational technologies）”作了定義，強化和擴大了對高技術領域數據的出口管制。再如，在外資并購領域，2018年的《外國投資風險評估現代化法》要求美國外資審查委員會（CFIUS）將關鍵基礎設施的信息、關鍵技術數據及個人敏感數據的跨境流動納入國家的安全審查。然而，值得一提的是，為解決2017年“美國政府訴微軟公司案”中爭議不休的聯邦政府調取域外數據的合法性問題，2013年12月，美國聯邦政府為偵查一起販毒案件向紐約南區法院申請搜查微軟公司和扣押其辦公場所的特定電子郵件賬戶信息。南區法院應允簽發了搜查令。微軟以該電子郵件信息存于愛爾蘭都柏林的服務器不在美國境內為由拒絕，并于2014年3月上訴聯邦第二巡回法院，主張南區法院簽發搜查令違背了1986年的《存儲通信法》。第二巡回法院支持了微軟的訴求，認為國會無意將《存儲通信法》的搜查令條款適用于美國境外，搜查令不能在美國之外執行。美國政府于2017年6月就此案向美國最高法院提起了上訴。而后，最高法院在審理期間，國會通過了CLOUD 法案。微軟同意美國政府的立場，最終予以撤案。美國國會于2018年3月24日出臺了著名的《澄清境外數據合法使用法案》（Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD 法案），對1986年生效的《存儲通信法》（Stored Communication Act，以下簡稱SCA法）作了顛覆性修正，授權美國執法機構有權訪問和徑直調取其境內互聯網服務提供商存儲于境外任何地方的電子數據。See CLOUD Act§103（a）這一部分編纂在18 USC§2713中，以下類同。2019年11月，美國又在CLOUD法案基礎上公布了《國家安全與個人數據保護法》（National Security and Personal Data Protection Act），授權美國執法機構為維護所謂的“國家安全”，在必要情況下可通過實施數據安全措施或加強外資審查等方式阻止美國境內數據跨境傳輸到中國、俄羅斯等特別關注國家。See National Security and Personal Data Protection Act of 2019， Feb，2，2022， https：//trackbillcom/bill/us-congress-denate-bill-2889-national-security-and-personal-data-protection-act-of-2019/17775410/

除了對內的分散立法，美國對外還竭力發揮自身的主導作用，通過各種雙邊、多邊的談判與合作推動符合其利益訴求的國際數據跨境規則落地。這類國際規則主要有三：一是以《隱私盾協議》《美韓自由貿易協定》《美日數字貿易協定》等為代表的雙邊協定；二是以《美墨加協定》為代表的區域多邊協定；三是以OECD的《關于隱私保護和個人數據跨境流動指南》（Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data）及APEC《隱私框架》（Privacy Framework）為代表的軟法性文件。衡諸這些規則，其中關涉數據出境規制的條款內容大同小異：首先在概念界定上，基本達成“個人數據”為“任何已識別或可識別的自然人的信息”的共識；其次在立場上，倡導數據流動自由，要求締約方發揮“行業自律”作用，避免對數據出境形成不必要的干預或阻礙；再次在措施上，要求締約方促其企業接受基于APEC《隱私框架》之上的《跨境隱私規則》（Cross-Border Privacy Rules，以下簡稱CBPRs）的認證，推進各方在數據保護措施上的互通性。正是通過這些國際規則的確認和施行，美國實現了其數據主權規制理念在全球的推廣和滲透，提升了自身在全球數據市場的話語權和控制力。

2美國數據出境規制立法的實質。與歐盟立基于地理區域的管轄路徑不同，美國對數據出境的規制始終落在一線的數據控制組織或機構身上。從CLOUD法案第103（a）條要求美國人“應遵守本章關于保存、備份、披露電子通信內容、記錄及其他與消費者相關的數據或它們所擁有、監控消費者的任何數據之規定。不管這些數據存儲于美國境內還是境外”的規定可見，即便數據的存儲地不在美國本土，但只要數據的控制者具有“美國人”的身份，那么其依照美國SCA法所保存的任何信息所有權之管轄都應歸屬于美國。由于這里定義的“美國人”（United States person）不僅指美國公民（國民）及在美國境內注冊的美國企業，也包括那些在美國永久居住的外國公民和在美國境外注冊但總部在美國或受美國本土企業控制的外國居民企業。See CLOUD Act§105（a）（2）這就意味著CLOUD法案確立的數據管轄已非純粹的屬人管轄。其已從主張具有“美國人”身份的數據控制者的屬人管轄進化到對具有“美國人”身份的數據控制者所持數據的所有權管轄，從而實現對具有“美國人”身份數據控制者所在國數據的占有和攫取，確立了所謂的數據長臂管轄規則。由于美國事實上擁有全球最主要的頭部數據控制企業和遍布世界的云服務網絡，故美國的這種長臂管轄觸角幾乎可以延伸到全球各地，對他國尤其是數據存儲國的數據主權安全構成極大的挑戰?？梢哉f，在CLOUD法案項下，只要美國單方面認為他國數據處理行為對其安全利益構成潛在的威脅，那么其執法機構就可以無需他國同意徑直通過作為中間管道的美國數據控制企業調取域外數據。由此可見，美國這種以組織機構為基準的規制路徑早已突破了屬人的管轄安排，帶有一種強烈的基于“美國人”效果管轄色彩，使得CLOUD法案在域外的適用上已不像歐盟靶向準則那樣僅限于對歐盟境內數據主體提供商品服務或構成損害影響的國家，范圍無疑要比GDPR寬泛得多。

綜上，美國這種以組織機構為基準的主權規制是一種以屬人管轄為主兼具屬地管轄與效果管轄在內的綜合性立法安排。其表面上推崇數據自由，反對干預數據跨境流動，但實質是以謀求美國數字利益優先，即一方面嚴格限制美國境內的核心和敏感數據流入他國，另一方面又要求與美國有居民連結點的境外個人和企業要隨時應美國政府之需提供所擁有的一切數據，規制立場趨于自由和激進。加之近年來，美國將數據跨境政策與貿易政策深度捆綁，頻繁借道各類自由貿易協定（FTA）的談判將自有很多規則植入其中的數字貿易條款，使之化身為硬法規范，迫使其他締約方接受遵循，從而實現其數據主權規制理念在全球的滲透和推廣。無疑，美國這種強調數據自由出境的規制理念昭然若揭，有很大程度的虛偽性，與其長期奉行的“霸權”和“強權”的政治傳統一脈相傳。

三我國的適用路徑：探索安全與自由相平衡的規制模式

歐美對數據出境的規制路徑迥異。美國作為全球頭號的數字經濟大國，基于其跨國科技企業獲取和控制數據的領先優勢，必然要求最大范圍地實現數據的共享；與美國相比，歐盟更多是數據提供地而非控制地，數字經濟競爭力較為不足，故而采用了防御性的數據管轄安排，筑起“制度高墻”，只允許與其同等隱私保護水平的國家進行數據互通。不過，兩者都不約而同地通過效果原則來管轄境外的數據處理活動，重視通過數據立法的域外適用擴大自身的影響。如歐盟通過GDPR 影響他國的立法，形成所謂的“布魯塞爾效應”。而美國則通過CLOUD法案及各類 FTA推廣其政策，開辟新的雙邊或多邊規則，構筑所謂的“數據同盟體系”典型的如美國主導的包括英國、澳大利亞、新西蘭和加拿大在內的“五眼聯盟”數據情報共享體系。我國目前也在主權語境下形成了《網絡安全法》《數據安全法》和《個人信息保護法》三足鼎立的數據規制體系，但數據出境規則的國際化程度和可操作性都遠未及歐美。劉天驕：《數據主權與長臂管轄的理論分野與實踐沖突》，《環球法律評論》2020年第2期，第191頁。因此，基于前文對數據主權包含對內數據管轄權和對外的數據合作治理權兩個部分的界定，筆者主張我國對數據出境的主權規制理應遵循國內法與國際法內外雙重聯動的進路：一方面要苦練內功，完善國內立法，增強對自身數據的保護與治理能力，優化對內數據管轄權的行使；另一方面應審時度勢，積極參與全球雙多邊數據規則的談判和制定，更好地彰顯對外的數據合作治理權。這種內外聯動的規制進路具體包括：

（一）完善與數據出境相關的規制條款，優化數據主權對內的行使

1確立數據出境規制的基本原則，優化數據主權的對內管轄。不同歷史背景下的主權會有不同的內涵。數據主權正是傳統國家主權順應當下數字經濟社會蓬勃發展的產物。一方面，同傳統國家主權一樣，很多國家通過立法確立和運用數據主權以對數據流動、網絡信息、隱私保護等領域進行管轄，以此維護本國數據安全和保護數據權利，并在一定程度上對抗來自發達國家的數據霸權。另一方面，與傳統領土不同，數據的要素和戰略資源價值只有通過流動才能得以彰顯，更何況鼓勵數據跨境流動，實施大數據戰略是很多新興國家尤其像我國這種數據大國和貿易大國的發展需求使然。故而如果我們過分強調本國數據主權對數據流動的絕對管轄權（如數據本地化措施），則由此可能會形成國家獨占數據，嚴重限制或弱化數據出境帶來的經濟發展和全球治理效益。有學者就此指出，數據主權如果依照傳統的國家主權觀念行使，那就無法平衡數據自由與數據保護兩大核心要素的沖突，故而需要在尋求二者平衡的基礎上構建適應全球化的數據主權規則。卜學民、馬其家：《論數據主權的謙抑性：法理、現實與規則構造》，《情報雜志》2021年第8期，第63頁。筆者也認為，數據似水，流動雖為其天性，但“水能載舟，亦能覆舟”，同樣離不開安全的保障。沒有安全，數據出境要么無從談起，要么泛濫成災。概言之，數據出境流動所需的安全與自由是一體兩面。解決其中的矛盾不是非此即彼，而應結合個案場景施以有效的平衡。就此而言，我國所需要的是一種相對而非絕對，雙向而非單向的數據主權。這種數據主權應是一種維護本國數據安全和支持本國數據自由流動的有機耦合體。相應地，我們對之的行使不但不能再像傳統國家領土主權那樣僅僅強調通過管轄實現數據出境安全的一面，還應考慮到如何順應本國數據產業國際化之需，即通過發揮立法的保駕護航功能推動數據出境的自由。具體到數據出境的主權規制上，筆者力主我國應將《數據安全法》第11條的“促進數據跨境安全、自由流動”明確列為規制的基本原則，使我國在國家、企業及個人數據安全等核心領域繼續保留必要管轄范圍的同時，又能很好地貫徹數據出境總體自由的大方向，達致維護數據安全與促進數據產業發展之兼得。需要指出的，有學者從數據自由流動的性質出發推導出我國數據跨境規制應“以自由流動為基礎，安全流動為限制”似有不妥，明顯曲解了第11條的本義。因為此處的“促進數據跨境安全、自由流動”要求并沒有對“安全”與“自由”的主次關系做出排序。相反地，若單從立法將“安全”前置的表述來看，立法者似乎更強調數據的安全流動先于自由流動。相關內容許可：《自由與安全：數據跨境流動的中國方案》，《環球法律評論》2021年第1期，第28—29頁。

2落實數據分類分級管理制度，細化數據出境規定。運用數據主權保障數據跨境安全與自由的流動不能僅僅停留在立法原則層面，尚需有具體的細則以對擬出境的數據類型及潛在風險作一評估，并以此對兩者進行排序，確立具有一定梯度的可操作的規制標準。我國現行的數據主權立法規制恰恰缺乏類似的操作細則。比如，雖然《數據安全法》第21條提出了建立數據分類分級保護制度的要求，并特別強調加強對重要數據的保護和對國家核心數據實行更嚴格的管理制度，《網絡安全法》第21條與《數據安全法》第21條。但迄今未見國家層面的立法，反倒浙江、重慶等地及證監會、工信部、人民銀行等部委提前出臺了所轄地區及行業的數據分類分級指南。比如，浙江省2021年7月發布了《數字化改革公共數據分類分級指南》、重慶市2021年10月發布了《公共數據分類分級指南（試行）》、工信部2020年2月發布了《工業數據分類分級指南（試行）》，證監會和人民銀行則分別于2018年9月和2020年10月發布了《證券期貨業數據分類分級指引》和《金融數據安全數據安全分級指南》。這種各自為政的規制立法勢必造成標準不一，極易引發國內數據市場的割裂和數據跨省跨部門的套利出境。是故，我國理應盡快落實第21條的要求，出臺全國性的數據分類分級保護條例，厘定數據類別（如國家核心數據、重要數據、公共數據、法人數據及個人信息）與數據級別（如核心級、重要級、敏感級、內部級、公開級）的基準與方法，以為各地區、各部門及相關行業制定重要數據目錄提供統一的上位法依據。除了第21條，《數據安全法》中還有涉及數據安全出境的其他限制條款，如22條的風險預警機制、23條的應急處置機制、24條的安全審查機制及第25條的特殊物項數據出口管制等。它們在內容上也同樣過于簡單與粗糙，亟需配套措施加以細化。需要注意的是，由于越來越多的FTA都對數據跨境流動規制設置了包括一般例外、安全例外及特定例外在內的三種例外條款，有關FTA對數據跨境流動規制的三種例外條款內容，詳見馬光：《FTA數據跨境流動規制的三種例外的選擇適用》，《政法論壇》2021年第5期，第14—23頁。今后在出臺這些細則時也應注意與我國已締結（如RCEP）或擬締結的FTA（如CPTPP、 DEPA）中的例外條款相對接，及時調整國內現行的數據出境規制機制的不足，避免因出現“兩張皮”而在執法措施實施的必要性和非歧視性上招致其他締約方的指控。RCEP即《區域全面經濟伙伴關系協定》，其于2022年1月1日正式生效。我國已于2020年11月15日簽署加入；CPTPP即《全面與進步的跨太平洋伙伴關系協定》，其于2018年12月30日生效。2021 年 9 月 16 日，我國提交了正式申請加入CPTPP 的書面信函；DEPA即《數字經濟伙伴關系協定》，其于2020年6月12日生效。2021年10月30日，習近平主席在出席G20羅馬峰會時，宣布中國決定申請加入DEPA。

3區分數據本地化適用場景，創設多元化的數據出境條件。數據本地化是當今很多國家行使數據主權以維護本國數據安全的必要手段。我國立法也對關鍵信息基礎設施的運營者課以了數據（信息）本地化的義務?！毒W絡安全法》第37條、《數據安全法》第31條與《個人信息保護法》第40條。不過，數據本地化會對數據出境構成障礙，若過于嚴苛很容易招致他國的對等報復。這對我國那些正在大量進軍海外市場的互聯網企業和電商企業而言也是一把雙刃劍。因此我國立法尚需對數據本地化適用場景作一區分，對本地化措施的形態及要求進行細化和分級，避免一刀切采用嚴格的出境限制，徹底滌除中國是數據本地化最嚴苛國家的誤解。此外，《個人信息保護法》第38條雖借鑒了GDPR，提供了包括申請評估、請求認證及訂立合同三種可供個人信息處理者（平臺或企業）選擇的信息出境條件，《個人信息保護法》第38條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：（1）依照本法第40條的規定通過國家網信部門組織的安全評估；（2）按照國家網信部門的規定經專業機構進行個人信息保護認證；（3）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（4）法律、行政法規或者國家網信部門規定的其他條件。但從合規成本角度考慮，除非個人信息處理者本身又是關鍵信息基礎設施的運營者而無從選擇，否則大家必然會傾向選擇后兩種。個中的原因有二：一是如果個人信息處理者為關鍵信息基礎設施的運營者，那么依《網絡安全法》第37條，其只能選擇通過安全評估；二是依《數據出境安全評估辦法（征求意見稿）》第11條，個人信息通過申請安全評估出境需要等待45個工作日。這種時間成本對絕大多數的網絡平臺企業而言顯然過于高昂。然遺憾的是，至今我國網信部門并沒有公布有認證資格的專業機構名單和標準化的合同樣本可供企業選擇。再者，《個人信息保護法》在第40條第2款特別強調 “法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定”，然究竟哪些個人信息無需評估就可自由出境？尚無具體規定的出臺。很多互聯網平臺企業無不對之翹首以盼。建議后續的立法機關或監管層應盡快順應“民聲”，對此予以完善釋明，避免給業界以“口惠而實不至”之嫌。

4優化數據立法的域外管轄條款，消弭今后適用上的不確定性。數據的跨境流動具有依托于但又不局限于一國領土的特質。對數據輸出國而言，境外完成的在線數據處理行為對其產生影響不足為怪，故僅憑數據跨境前的屬地管轄并不周延。為此，我國的《數據安全法》和《個人信息保護法》也效仿英美引入了效果管轄，創設了域外適用條款?！稊祿踩ā返?條，《個人信息保護法》第3條。如《個人信息保護法》第3條第2款幾乎同GDPR一樣規定了“靶向準則”，將那些以向我國境內自然人提供產品或服務為目的，或分析、評估我國境內自然人行為的境外信息處理活動納入管轄范疇。由于此處的“分析、評估”在含義上要比GDPR的“監控”（ monitoring）一詞寬泛得多，很容易讓境外機構產生一切針對我國境內自然人行為的信息處理活動都要遵循《個人信息保護法》的擔憂。事實上，“分析與評估”我國境內自然人行為很大部分可能還停留在研究階段，對我國負面影響遠不如“監控”行為那么明顯。倘不加區分，動輒就將之納入調整范疇，似有泛化之嫌，很容易與他國固有的數據屬地管轄權及司法權形成沖突而招致非議。事實上，我國的《數據安全法》所確立的域外管轄也只限于國家安全、公共利益或者公民、組織合法權益受到境外數據處理活動損害的情形?！稊祿踩ā返?條第2款。為此，筆者建議后續應對《個人信息保護法》域外管轄情形予以優化，使之能與《數據安全法》相彌合并以必要的方式行使。以筆者見之，這里的“必要性”是指我國對境外信息（數據）處理活動主張域外管轄，除了其與我國有實質聯結因素之外，還應對我國產生顯著的負面影響，比如對國內信息主體造成損害或損害之威脅等。進言之，我國通過立法行使數據主權以確立數據的域外管轄權，固然可“以子之矛，攻子之盾”，有效地應對美國的數據霸權主義，但從長遠來看，我國還是要兼顧他國合理的關切，對其中“分析及評估”這一立法用語予以明確和適當限縮，凸顯其對我國帶來的損害或損害之威脅的負面效應，從而為境外信息處理者在線處理我國個人信息時提供可預見性的判斷標準，避免今后該條款因適用過于寬泛而遭到他國的阻斷。

（二）加強數據主權整體對外的行使與合作，推動國際數據共治規則的達成

網絡的開放性與數據主權的邊界性的沖突必然決定了各國在對外行使數據主權上需要相互的合作與協調。特別地，數據出境為網絡安全與國際經貿交叉融合的新領域，是一個兼具內政與外交，個人與國家，企業與國家，國家與國家關系的綜合性問題。桂暢旎：《2019國際網絡空間發展與治理態勢》，《中國信息安全》2020年第1期，第74頁。對其的規制已然構成全球網絡空間治理的重點，僅靠個別國家更是難以奏效，亟需全球合作共治。2019年10月20日，習近平主席在給第六屆世界互聯網大會的賀信中指出：發展好、運用好、治理好互聯網，讓互聯網更好造福人類，是國際社會的共同責任。各國應順應時代潮流，勇擔發展責任，共迎風險挑戰，共同推進網絡空間全球治理，努力推動構建網絡空間命運共同體?！读暯较虻诹鶎檬澜缁ヂ摼W大會致賀信》，《人民日報》2019年10月21日，第1版。這里的“網絡空間命運共同體”貫徹了主權平等與合作原則，是對“全球公域”的揚棄和發展。它通過賦予了每一個國家以平等身份共同治理國際網絡空間的權利，為多邊、民主、透明的全球互聯網治理體系奠定了基礎。張新寶、許可：《網絡空間主權的治理模式及其制度構建》，《中國社會科學》2016年第8期，第142頁。因此，我國應以之作為數據對外合作的理念，在相互尊重各國數據主權的基礎上，積極推動多層次的國際數據共治規則的達成，具體包括：

首先，應積極創新雙邊合作思路，通過構建靈活多樣的雙邊機制，打造數據跨境流通的“朋友圈”。毋庸諱言，各國在數據出境規制立場上素有差異，完全謀求先有共識而后才合作，難度甚大。但如果變換思路，尋求政治互信，創新雙邊協商機制，亦可以在“存異”下“求同”而開展合作。歐美之間曾有的《安全港協議》和《隱私盾協議》就是例證。在這兩部協議中，締約一方（美國）做出其將按照締約另一方（歐盟）數據的標準對該方（歐盟）數據主體的隱私進行同等保護的承諾，同時締約另一方（歐盟）則以允許雙方企業的數據互通作為對價，從而在無需改變各自國內數據監管政策的情形下實現雙方（美歐）企業數據出境流動的合法化?！栋踩蹍f議》和《隱私盾協議》系美歐雙方分別于2000年12月和2016年7月簽署達成。雖然這兩部協議在2015年10月和2020年7月分別被歐盟法院裁定失效，但在這兩個協議累計實施的19年間，其為美歐之間的4500多家企業的數據跨境流動提供了彈性的規范機制，確保了美歐經貿往來的正?；?。這種協議模式跳出了傳統的解決國際規制沖突“要么統一，要么互相承認”的思維窠臼，展現了一種從求同到求和的新型合作思路。國內有學者將這種有別于建立在主權國家談判并達成共識基礎上的傳統雙邊體系的模式稱之為“公私合作體系”。具體參見陳少威、賈開：《跨境數據流動的全球治理：歷史變遷，制度困境與變革路徑》，《經濟社會體制比較》2020年第2期，第123頁。我國目前尚無與他國有開展數據跨境雙邊合作的先例。這極大不利于我國數字貿易的可持續發展和數據企業海外業務的拓展。建議我國今后借鑒這種合作思路，加強與美歐等重要貿易伙伴的溝通，通過建立類似《隱私盾協議》的互信機制，逐一打通我國與他國的跨境數據傳輸通道，尋求數據雙邊合作的“增容擴圈”。

其次，應主動利用現有的國際平臺和多邊機制，嘗試啟動制定數據跨境流動規則的多邊談判，發出自己的聲音。雖然美歐的數據跨境規則已產生了外溢作用，但全球統一的數據跨境治理協議仍然處在多極并進和多元博弈的狀態之中。作為負責任，有擔當的發展中大國，我國在數據治理上不能僅是獨善其身，還應兼濟天下，有義務利用自身在數字經濟上的先行優勢，致力于探索全球數字鴻溝的彌合：一方面，我國應借助自身的影響力，利用當下和“一帶一路”沿線國家加強基礎設施“硬聯通”以及規則標準“軟聯通”建設的契機，習近平主席在博鰲亞洲論壇2021年年會開幕式上的視頻主旨演講中指出，中國將同各方攜手，高質量共建“一帶一路”，加強基礎設施“硬聯通”以及規則標準“軟聯通”。 習近平：《同舟共濟克時艱，命運與共創未來》，《經濟日報》2021年4月21日，第2版。發動沿線國家開展雙多邊談判，設計出針對沿線國家的企業數據互通認證和標準合同工具，簡化各自數據出境的審批手續，促進各國間數字的互聯互通；另一方面，我國也可總結參與達成RCEP協議的談判經驗，在日后商定新的或修訂已有FTA的談判中，推行自身的數據跨境治理理念，引導區域經貿數據治理統一規則的形成。此外，盡管WTO在應對層出不窮的數字貿易問題上已捉襟見肘，但它仍是當前討論和建構數字貿易治理體制的重要平臺。彭岳：《數字貿易治理及其規制路徑》，《比較法研究》2021年第4期，第173頁。我國也應積極參與WTO電子商務的諸邊談判，引領發展中國家作為整體就數據跨境流動和數據本地化等議題與發達國家成員展開協調，通過共商共建實現數字貿易的良善治理。

最后，應繼續推進全球數據跨境治理軟法體系的構建。在目前全球統一的多邊數據治理協議尚未形成的現實背景下，軟法機制無疑是凝結各國共識，增進各國互信和彌補數據跨境規制空白的重要工具。近年來，我國很重視國際軟法的作用，在2020年9月8日就發起了首份《全球數據安全倡議》，針對數據跨境流動、隱私保護、供應鏈和基礎設施安全等提出了八項規范國家和企業數據處理行為的建議，并獲得國際社會的關注和重視?！度驍祿踩h》，中國政府網，（2020-09-08）［2021-11-25］，http：//wwwxinhuanetcom/2020-09/08/c_1126466972htm今后，我國應進一步發揮數據大國的擔當，一方面依托聯合國“主渠道”及G20等各種國際平臺和對話機制充分聽取各方意見，修改完善上述的倡議文本，推動其進入相關國際議程，形成共識成果；另一方面加強與美歐等主要數據經濟體的對話，在尋求各國數據利益的最大公約數下適時申請加入CBPRs等一些較具成熟和影響力的區域性數據跨境軟法協議，以此突破我國在亞太地區和美歐的數據流動壁壘，為本國數據企業拓寬國際市場，更好地“走出去”提供新助力。

結語

數字經濟時代下的數據出境流動帶來的經濟效益及各種安全風險的雙刃劍效應拷問著各國數據主權的治理能力。如何在發展與規范之間尋求有效平衡，成為擺在各國面前亟需解決的時代課題。歐美基于各自的法律文化傳統與數字經濟基礎形成了“以地理區域為基準”和“以組織機構為基準”兩種不同的數據跨境規制模式，并日益向全球推廣，形成各自單邊主導的反映自身利益的數據跨境流動“小圈子”。我國與數據規制相關的三法雖已出臺，但與之相比，起步較晚，且其中涉及數據出境的規制條款不同程度存在著簡單粗糙及配套細則缺失等問題，操作性普遍不強。加之在對外的數據主權國際合作上，我國無論在參與雙邊抑或多邊的談判上都較歐美顯得被動。這些問題的疊加都造成我國數據立法對外的影響力乏善可陳，明顯與我國作為全球第二數據大國的地位極不匹配。是故，為打破歐美數據規則單邊主導全球數據市場的跛足局面，匡扶國際規則正義，今后我國在數據出境流動上須重視內國治理與全球治理互動融合的“整體性治理”，內外兼修：既要以促進數據跨境安全、自由流動為準則，借鑒歐美成熟有益的經驗，加快完善國內數據出境流動規制體系的建設和改革；又要以網絡空間命運共同體理念為指導，積極參與和推動雙多邊數據合作規則及標準的制定，使國內法與國際法相得益彰，形成既能維護自身數據主權利益，又能兼顧他國合理關切；既能促進數據自由流動又能為其提供安全保護的中國方案，從而向世人展示杰出的中國理念、中國智慧和中國擔當。

Legal Regulation and Improvement of Chinas Data Export

from National Sovereign Perspective

CHEN Bin-bin， WANG Bin-nan

Abstract： In the era of globalization of the digital economy， large-scale data exports from various countries have become the norm. In order to prevent and cope with the risks of infringement on the privacy of citizens， the public safety， national security， and development interests during the export of data， countries have invoked “data sovereignty” to regulate the data export. The European Unions “geographically-based” and the United States “organizationally-based” are the two most typical regulatory paths. The former focuses on the protection of data privacy， tending to be strict and conservative， while the latter attaches the utilization of data value， tending towards freedom and radicalism. Although the two have different orientations， they both introduce the principle of effective jurisdiction on the basis of traditional personal and territorial jurisdiction， creating the extraterritorial application of data legislation. At present， China has also formed three data regulatory systems in the context of sovereignty， namely the Cyber Security Law， the Data Security Law and the Personal Information Protection Law. However， the rules and provisions related to data export are still simple and rough， and need to be refined and improved at a micro level. Meanwhile， at the macro level， China should also pay attention to the overall consideration of the exercise of data sovereignty， take into account the reasonable concerns of other countries and actively promote the achievement of bilateral and multilateral data cross-border cooperation rules with the concept of a community with shared future in cyberspace， so as to build a regulatory system of data export that can safeguard the interests of Chinas data sovereignty while promote the development of the data industries.

Keywords： data export; data sovereignty; legislative jurisdiction; effect principle

作者簡介：陳斌彬，華僑大學法學院教授，法學博士，法經濟學博士后，主要研究方向：國際經濟法與金融法 （E-mail：xmucbb@sinacom；福建 泉州 362021）。王斌楠，華僑大學助理研究員，主要研究方向：經濟法、高等教育管理。

基金項目：國家社會科學基金項目“數字中國建設背景下我國因應金融科技的監管法制創新研究”（20BFX152）；華僑大學實驗教學與管理改革項目“新發展理念下華僑大學貴儀共享績效考核機制研究”（SY2021G03）

【責任編輯：陳西玲】