數據跨境流動，一般是指位于不同國家或地區的服務器之間的數據傳輸。目前來看數據跨境流動治理尚未單獨作為一個全球議題，對其討論往往從屬于數字貿易談判。但我國很早就認識到僅從貿易角度探討數據跨境流動的局限性，2019年在WTO電子商務諸邊談判最初提案中也強調，應該將電子商務界定為通過互聯網進行的跨境貨物貿易以及相關支付和物流等服務，數據跨境流動等問題具有復雜性和敏感性，應該進行更多的探討。

基于這種深刻把握，近年來我國提出了“數據跨境安全流動”的新理念新范式，發起了《全球數據安全倡議》，并就構建數據出境監管制度進行了積極探索。2017年之前，對金融、征信、人口健康、互聯網地圖、網約車等特定領域的數據出境，通過行政法規、部門規章和規范性文件等進行了規范。2017年之后，先后頒行《網絡安全法》《數據安全法》《個人信息保護法》，建立起全面的數據出境管理制度。

一、數據跨境安全流動的理念?

在《網絡安全法》“網絡信息依法有序自由流動”的基礎上，《數據安全法》確立了“數據跨境安全流動”的價值理念和基本原則，可以結合其與《個人信息保護法》《全球數據安全倡議》的相關表述，從保護與利用并重、統籌國內與國際兩個方面來理解。?

（一）有效保護與合法利用并重?

《數據安全法》第11條明確規定國家“促進數據跨境安全、自由流動”，這里的“自由”應該連同第7條“數據依法有序自由流動”一并理解。此時“依法有序”是核心，“自由”只是延續《網絡安全法》類似表述，用來描述數據“流動”狀態，彰顯“促進數據開發利用”的立法價值，實際并沒有多少規制層面的意義。因此，對于數據跨境流動而言，我國的核心規制理念是確保數據“安全流動”。

對于數據安全，《數據安全法》第3條將之定義為“通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力”。從表述上看，強調確保數據“有效保護”和“合法利用”并重。筆者認為，這里的“有效保護”和“合法利用”可以分別對應數據的“自身安全”和“利用安全”，數據自身安全就是傳統數據安全概念所強調的數據自身的完整性、保密性、可用性，而數據利用安全是強調防范數據大規模聚合和分析引發的安全風險。這實際上是順應了數字經濟時代數據大規模流動和利用的現實需求，極大擴展了“數據安全”的內涵。

基于這種新理念，《數據安全法》構建了數據自身安全與利用安全并重的新范式，其在“促進數據開發利用”的同時，對數據利用安全作了原則性規范，強調“應當有利于促進經濟社會發展，增進人民福祉，符合社會公德和倫理”，“不得危害國家安全、公共利益，不得損害個人、組織的合法權益”。確保數據跨境安全流動，就是既要確保流動數據的自身安全，也要確保數據跨境符合這種利用安全的要求。《全球數據安全倡議》就明確提出，各國不得利用數據從事危害他國國家安全和社會公共利益的行為。?

（二）統籌國內法治與涉外法治?

數據跨境流動屬于關系國家數據安全的全球性議題，參與相關國際規則的制定必須堅持總體國家安全觀，統籌推進國內法治和涉外法治。我國發起《全球數據安全倡議》，就是貫徹總體國家安全觀，“打造命運共同體，推動各方朝著互利互惠、共同安全的目標相向而行”，推動形成國際共識的具體舉措，其中涉及數據跨境安全流動的主張包括：

第一，維護國家安全。應以事實為依據全面客觀看待數據安全問題，反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據，以及利用其從事危害他國國家安全和社會公共利益的行為。

第二，保護個人信息。采取措施防范、制止利用網絡侵害個人信息的行為，反對濫用信息技術從事針對他國的大規模監控、非法采集他國公民個人信息。

第三，數據本地化存儲。應要求企業嚴格遵守所在國法律，不得要求本國企業將境外產生、獲取的數據存儲在境內。

第四，司法跨境調取數據。應尊重他國主權、司法管轄權和對數據的安全管理權，未經他國法律允許不得直接向企業或個人調取位于他國的數據；如因打擊犯罪等執法需要跨境調取數據，應通過司法協助渠道或其他相關多雙邊協議解決；國家間締結跨境調取數據雙邊協議，不得侵犯第三國司法主權和數據安全。?

二、雙軌多層規制的制度構造?

綜合《網絡安全法》《數據安全法》《個人信息保護法》規定來看，我國從數據跨境流動的不同關切入手，以“重要數據”和“個人信息”為抓手建立了兩種獨立的數據出境規制制度：一是為了維護國家安全的重要數據出境安全管理制度，主要規定在《數據安全法》和《網絡安全法》；二是為了維護個人權益的個人信息跨境提供制度，主要規定在《個人信息保護法》。這兩種制度在監管目標、適用范圍、規制手段上均存在顯著區別，形成了“雙軌并行”的模式。在這兩種制度之中，又區分了關鍵信息基礎設施運營者、重要數據處理者、處理個人信息達到規定數量的處理者等不同主體，還規定了司法執法跨境調取等不同場景規則，呈現出“多層規制”的特征。主要制度簡要梳理如下：?

（一）維護國家安全的重要數據出境管理制度?

為了切實維護網絡空間主權和國家安全，《網絡安全法》借鑒域外經驗，設立了關鍵信息基礎設施保護制度，第37條就關鍵信息基礎設施的重要數據出境管理作了專門規定：關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲；因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

考慮到重要數據出境不僅限于關鍵信息基礎設施，《數據安全法》根據實踐發展和數據安全管理工作的需要，將重要數據出境管理的適用范圍擴大到所有的重要數據處理者。第31條明確規定：關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理，適用《網絡安全法》的規定；其他數據處理者在我國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。此外，還與《出口管制法》相銜接，在第25條規定了數據出口管制制度，“國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制”。

對于重要數據出境管理制度，《網絡安全法》《數據安全法》只是明確了基本框架，具體制度設計有待配套規定予以明確。對于核心抓手“重要數據”，國家網信辦2021年11月發布的《網絡數據安全管理條例（征求意見稿）》（以下簡稱“《條例征求意見稿》”）第73條界定了其內涵和外延，規定“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據”，并列舉了可能涉及的七大類數據，但表述非常寬泛，缺乏操作性。國家網信辦2021年10月發布的《數據出境安全評估辦法（征求意見稿）》提出了重要數據出境安全評估細則，其中評估事項包括：數據出境的目的、范圍、方式的合法性、正當性、必要性，出境數據的數量、范圍、種類、敏感程度，數據出境可能對國家安全、公共利益等帶來的風險，數據出境和再轉移后泄露、毀損、篡改、濫用的風險等。?

（二）保護個人權益的個人信息跨境提供制度?

為保護個人信息權益，適應個人信息跨境流動日益頻繁的現實需要，《個人信息保護法》第3章專章規定了個人信息跨境提供制度，主要包括：一是明確個人信息跨境提供的合法途徑，包括特定情形通過國家網信部門組織的安全評估，經專業機構進行個人信息保護認證，與境外接收方訂立標準合同，滿足法律、行政法規或者國家網信部門規定的其他條件，以及按照我國締結或參加的國際條約、協定的有關規定。二是要求個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。三是對跨境提供個人信息的“告知——同意”作出更嚴格的規定，要求應當取得個人的單獨同意。

《個人信息保護法》第40條規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在我國境內收集和產生的個人信息存儲在境內，確需向境外提供的，應當通過國家網信部門組織的安全評估；法律、行政法規和國家網信部門規定可以不進行安全評估的，從其規定。該規定的原因在于，關鍵信息基礎設施涉及的個人信息和數量巨大的個人信息集合，都可能影響國家安全，那么其出境也如同重要數據一樣應該通過國家網信部門組織的安全評估。

對于個人信息跨境提供制度，《個人信息保護法》確立的制度框架仍需要配套規定予以細化。除了前述《數據出境安全評估辦法（征求意見稿）》對第40條“安全評估”作出規定外，經專業機構認證、訂立標準合同等個人信息跨境合法途徑的細則有待出臺。

（三）尊重主權管轄的司法跨境調取數據制度?

關于司法執法跨境調取數據，我國歷來主張應以尊重各國主權管轄為原則，《全球數據安全倡議》重申了這一主張。《數據安全法》第36條和《個人信息保護法》第41條都貫徹了該原則，延續了2018年《國際刑事司法協助法》的跨境司法協助模式，表述也基本一致，具體而言：我國主管機關根據有關法律和我國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關于提供數據/存儲于境內個人信息的請求，非經我國主管機關批準，境內的組織、個人不得向外國司法或者執法機構提供存儲于我國境內的數據/個人信息。《數據安全法》第48條還對此專門規定了較重的罰則，以“為有關組織、個人拒絕外國不合理要求提供更為充分的法律依據”。

此外，“斯諾登事件”之后，濫用公權力獲取私主體數據成為各國關注的焦點。為打消其他國家對我國司法跨境調取數據的顧慮，《數據安全法》第35條還規范了我國司法執法機關調取數據的行為，明確公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行。

三、要繼續深化中國探索?

總結來看，就數據跨境流動，我國堅持“安全流動”的理念，構建了“重要數據”和“個人信息”出境規制“雙軌并行”分層次的制度框架。我國個人信息跨境提供規則，借鑒了域外立法經驗，在強化個人權益保護的同時，為個人信息跨境流動提供了多種合法途徑，有利于推動我國與其他經濟體接軌，促進我國數字經濟發展。我國關于重要數據出境管理的探索，從世界范圍來看極大發展了基于國家安全關切規制數據跨境流動的法治架構，為全球應對數據跨境流動國家安全挑戰提供了新的制度選項。

但需要指出的是，目前我國法律層面僅規定了“雙軌”管控的制度框架，配套制度遠未健全，重要數據范圍、出境安全評估等核心規則仍不明確，不僅影響了我國數據流和貿易流，還極易導致我國被誤解和指責以“安全”為由阻礙數據流動和制造貿易壁壘。從全球化視野看，我國目前的制度設計多聚焦“數據外流”，避免數據被不當獲取，規制手段多為事前監管，并沒有同步考慮這些規制措施對“數據內流”的影響，基本還是一種防御主義。長遠看，這不僅無法滿足我國數字經濟發展的實踐需要，也無法適應我國在這一輪數字經濟全球化中的全面布局，我國數據跨境流動制度仍有較大完善空間。

限于篇幅，省去引注，本文主要內容將發表于《行政法學研究》2022年第4期