關于數(shù)據(jù)跨境流動，各國基于數(shù)據(jù)主權或數(shù)字經濟發(fā)展的需求有著不同的法律和規(guī)定。對于“跨境”，它不僅是一種物理意義上的數(shù)據(jù)傳輸，還涉及不同法律系統(tǒng)之間的協(xié)調和適應。數(shù)據(jù)跨境流動與數(shù)據(jù)出境是緊密相關的。數(shù)據(jù)跨境流動指的是數(shù)據(jù)跨越國界的移動，這包括數(shù)據(jù)的上傳、下載、訪問和處理等各種形式。同時，數(shù)據(jù)跨境流動是一個“三層”的概念，它不僅包含數(shù)據(jù)的流 出，也包括數(shù)據(jù)的流入和數(shù)據(jù)的流過，因此數(shù)據(jù)跨境流動包含數(shù)據(jù)的出境、數(shù)據(jù)的過境以及數(shù)據(jù)的入境。而數(shù)據(jù)出境則是數(shù)據(jù)從一個國家移動到另一個國家的現(xiàn)象，它是數(shù)據(jù)跨境流動的一部分。目前比較受關注的是數(shù)據(jù)的出境問題。

1.“跨境”的邊界厘清

數(shù)據(jù)跨境流動，首先需要理解“跨境”的邊界在哪里，這對于理解全球范圍內數(shù)據(jù)跨境流動的現(xiàn)狀與未來的發(fā)展至關重要。有學者認為，數(shù)據(jù)“跨境” 的內涵與外延界定主要分為兩類：一類是數(shù)據(jù)能夠跨越物理國界進行存儲、傳輸與處理；另一類是數(shù)據(jù)雖未跨越國界，但可以被第三國的主體使用或訪問。 在第二類情形中，數(shù)據(jù)雖未跨越國界，但實際上基于 DNS 域名系統(tǒng)與 BGP（邊界網關協(xié)議），受訪問的數(shù)據(jù)已經傳輸出去，實現(xiàn)了“跨境”。而對于進行數(shù)據(jù)跨境流動時，“跨境”的范圍是否僅指國界，還需要進一步厘清。

OECD 在《隱私保護和個人數(shù)據(jù)跨境流動的準則》中明確指出，個人數(shù)據(jù)的跨境流動是指“個人數(shù)據(jù)跨越國界的流動”，這里的國界包括國家和政治疆界。《108號公約》基于約束締約國個人數(shù)據(jù)保護和促進數(shù)據(jù)跨境流動的需要，規(guī)范的是締約國之間的關系，因此，個人數(shù)據(jù)跨境流動中“跨境”的邊界也限定在國界，與 OECD 大體一致。此后，歐盟的《95 指令》對“跨境”的定義進行了擴展，它在第 4 章中規(guī)定：“成員國應當規(guī)定，只有在第三國確保提供充分保護的情況下，方可將正在處理或準備處理的個人數(shù)據(jù)傳輸至第三國。”而此規(guī)定并不影響遵守本指令其他規(guī)定所適用的國內法。由此可知，《95 指令》規(guī)范的是成員國與第三國之間的數(shù)據(jù)跨境流動。鑒于 1993 年 11 月《馬斯特里赫特條約》正式生效，歐洲聯(lián)盟正式成立，歐洲三大共同體納入歐洲聯(lián)盟，實質上 《95 指令》規(guī)定的是歐盟與歐盟外第三國之間的數(shù)據(jù)跨境流動，因此，這里的 “跨境”跨的是歐盟的邊境。 

此后，GDPR 沿用了《95 指令》的提法，將數(shù)據(jù)跨境定義為跨越歐盟疆界 的數(shù)據(jù)流動。值得一提的是，歐盟的數(shù)據(jù)跨境流動呈現(xiàn)出兩個特點，分別為內 部成員國之間的數(shù)據(jù)流動，以及跨歐盟疆界的數(shù)據(jù)流動。由于歐盟是經濟一體 化組織，不屬于國家范疇而是被界定為經濟體，加之歐盟對數(shù)據(jù)跨境概念的擴 展，因此“跨境”不再單單指跨越國家、政治疆界，而是可以理解為跨越國家、 政治、經濟意義上的疆界。2021 年 1 月，東盟發(fā)布《東盟數(shù)據(jù)跨境流動示范合同條款》，將數(shù)據(jù)跨境流動理解為跨越東盟疆界的數(shù)據(jù)流動，進一步確立了數(shù)據(jù) 跨境流動也包含跨越經濟意義疆界的數(shù)據(jù)流動的內涵。 

除歐盟、東盟外，日本、韓國、新加坡等國家所明確的數(shù)據(jù)跨境流動是指 跨越國界的數(shù)據(jù)流動。例如，新加坡《2012 年個人數(shù)據(jù)保護法》規(guī)定，對于跨 境傳輸?shù)臄?shù)據(jù)，個人數(shù)據(jù)保護委員會應根據(jù)該法律建立個人信息保護標準，除非被傳輸?shù)臄?shù)據(jù)能夠獲得與新加坡境內同等水平的保護，否則不得進行數(shù)據(jù)跨境流動。我國《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》及《個人信息出境標準合同辦法》所提出的數(shù)據(jù)跨境流動有其特殊 之處。我國堅持“一國兩制”方針，如果數(shù)據(jù)在中國內地與香港、澳門之間進行傳輸，也屬于數(shù)據(jù)跨境流動。2023 年 6 月 29 日，國家互聯(lián)網信息辦公室與 香港特別行政區(qū)政府創(chuàng)新科技及工業(yè)局簽署《關于促進粵港澳大灣區(qū)數(shù)據(jù)跨境 流動的合作備忘錄》，提到要在國家數(shù)據(jù)跨境安全管理制度框架下，建立粵港澳 大灣區(qū)數(shù)據(jù)跨境流動安全規(guī)則，從而促進粵港澳大灣區(qū)數(shù)據(jù)跨境安全有序流動。這也說明，目前我國法律定義的數(shù)據(jù)跨境流動是指跨越中國內地的數(shù)據(jù)流動。

2.數(shù)據(jù)跨境流動與數(shù)據(jù)出境的區(qū)別

前文提到，數(shù)據(jù)跨境流動可以理解為跨越國家、政治、經濟疆界的數(shù)據(jù)流動。“跨越”指的是從一方到另一方，包含了三種方向的行為。因此，數(shù)據(jù)跨境流動是一種三向行為，不僅包括數(shù)據(jù)從國家、政治、經濟疆界的流出，也包括數(shù)據(jù)流入特定的國家、政治、經濟疆界，同時還包括數(shù)據(jù)流經特定的國家、政 治、經濟疆界。由此可見，數(shù)據(jù)跨境流動包含數(shù)據(jù)出境行為，數(shù)據(jù)出境是數(shù)據(jù)跨境流動的一個子集。不過，目前存在數(shù)據(jù)跨境流動與數(shù)據(jù)出境行為等同使用的情況，有時會用數(shù)據(jù)跨境流動來 特指數(shù)據(jù)出境。數(shù)據(jù)跨境流動的三個維度如圖 1-1 所示。

圖片

作為大數(shù)據(jù)時代的“石油”，數(shù)據(jù)的重要性不言而喻，因此大部分國家對數(shù)據(jù)的自由流入持歡迎態(tài)度。 比如，美國在各大國際協(xié)議中強調 的“有限例外”以及長臂管轄，目的都是讓更多的數(shù)據(jù)流入美國。再比 如，我國對數(shù)據(jù)入境的監(jiān)管僅限制在數(shù)據(jù)內容的合規(guī)審查，即數(shù)據(jù)內容不能違反《中華人民共和國電信 條例》第五十六條規(guī)定的基本要求，如不能違反憲法基本原則、危害國家安全、 破壞民族團結、破壞國家宗教政策、違反公序良俗等。

對于數(shù)據(jù)過境的定義，我國在《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第四條中已有初步涉及，即“數(shù)據(jù)處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數(shù)據(jù)”。這符合數(shù)據(jù)過境的一般行為，當然數(shù)據(jù)過境行為遠不止于此。隨著全球數(shù)據(jù)貿易的發(fā)展，以及跨境數(shù)據(jù)標注、跨境數(shù)據(jù)計算、跨境數(shù)據(jù)分析、跨境數(shù)據(jù)交易經紀等新興產業(yè)的出現(xiàn)，數(shù)據(jù)過境的表現(xiàn)形式和定義未來將會進一步豐富。由于數(shù)據(jù)過境不涉及我國的個人信息和重要數(shù)據(jù)，因此我國當前沒有將數(shù)據(jù)過境行為納入監(jiān)管。 

然而，對于數(shù)據(jù)出境，大部分國家都設立了相應的規(guī)則。數(shù)據(jù)處理者如果將數(shù)據(jù)傳輸至境外，必須滿足所在國家的數(shù)據(jù)出境合規(guī)體系。例如，歐盟的GDPR 通過提供一系列機制，如充分性認定、標準合同條款、約束性企業(yè)規(guī)則 和安全認證等，確保個人數(shù)據(jù)在傳輸至歐盟之外的國家時，仍能得到相應水平 的保護。 

我國也不例外。圍繞數(shù)據(jù)出境安全，我國搭建起《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等數(shù)據(jù)出境頂層法律體系，并制定了數(shù)據(jù)出境安全 評估、個人信息出境標準合同（簡稱“標準合同”）以及個人信息保護認證等路 徑。至于具體什么行為屬于數(shù)據(jù)出境，我國國家互聯(lián)網信息辦公室發(fā)布的《數(shù) 據(jù)出境安全評估申報指南（第二版）》對數(shù)據(jù)出境的定義進行了細化。根據(jù)《數(shù) 據(jù)出境安全評估申報指南（第二版）》，我國的數(shù)據(jù)出境主要包含三種情形：第一種是數(shù)據(jù)處理者將在境內運營中收集和產生的數(shù)據(jù)傳輸、存儲至境外；第二種是數(shù)據(jù)處理者收集和產生的數(shù)據(jù)存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；第三種是符合《個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他數(shù)據(jù)處理活動。針對第一種情形的規(guī)定很好理解，這也是大多數(shù)人認為的數(shù)據(jù)出境行為。針對第二種情形，如前所述，基于 DNS 域名系統(tǒng)與 BGP，受訪問的數(shù)據(jù)實際上已經傳輸至境外。 而在第三種情形中，《個人信息保護法》第三條第二款規(guī)定：“在中華人民共和 國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的， 也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估 境內自然人的行為；（三）法律、行政法規(guī)規(guī)定的其他情形?！?/p>

3.數(shù)據(jù)跨境流動的兩大解析視角

數(shù)據(jù)跨境流動是一個具有綜合性、復雜性的行為，涉及多個層面的問題。 從不同邏輯視角看待數(shù)據(jù)跨境流動，得出的結論以及采取的措施也是不同的。對于數(shù)據(jù)跨境流動，全球經濟體主要圍繞兩個基本邏輯進行討論（如圖 1-2 所示）：

一個是基于數(shù)據(jù)主權與國家安全視角，強調數(shù)據(jù)出境監(jiān)管以保障安全，這是針對數(shù)據(jù)字段出境的監(jiān)管，屬于狹義的數(shù)據(jù)跨境流動；另一個是基于數(shù)字貿易視角，強調自由流動以促進全球經濟的發(fā)展，這個視角下的數(shù)據(jù)跨境流動指 的是以數(shù)據(jù)為載體的數(shù)字內容流動，而不單單是數(shù)據(jù)字段的流動，屬于廣義的數(shù)據(jù)跨境流動。