引言

由于全球受到新冠肺炎疫情的影响，世界各国加速线上化、数字化、云化。后疫情时代的今天，数字产业与服务已经成为经济快速发展的支柱。近年来，我国也实施了“互联网+”、“智慧+”等一系列行动，有效提升了我国公共服务水平，让人民群众的生活变得更加便利快捷。目前，5G 网络与新型基础设施正在推进，与行业融合应用快速发展，将成为数字经济发展的强劲驱动。一切皆可数字化，使得个人数据收集、使用过程中，有时还未确定收集数据的平台是否安全可靠，数据就已经被获取。数据快速流动的同时，也催生了各类社会问题：数据产业间的关联效应扩大数据递增效应，数据融合产生了数据保护归属问题，数据黑色产业链不断扩大。这些变化都对个人数据的保护问题提出了更高的要求，尤其是数据跨境。在“斯诺登事件”发生之前，美国一直都是数据的天堂。但之后，世界各国对数据跨境施加了更强法律监管。目前世界顶流的科技巨头公司，如 Facebook（脸书）、Twitter（推特）、Microsoft（微软）、Apple（苹果）等美国公司都在接受各国数据监管机构的调查，接连被各国政府开出了巨额罚款。“数据本地化”逐渐成为各国对抗美国霸权和保卫本国数据资源的主要手段。2020 年 7 月，欧盟法院判决美国与欧盟于签订的“隐私盾”协议无效，这已经是欧盟第二次否决欧美之间的个人数据流动协议无效。由于各国愈加重视本国的数据安全，数据跨境法律监管制度作为维护数据安全的重要一环也变得愈加重要。 我国也在其中之列。

而随着全球数字化程度的不断加深，无论是中国内地还是世界各地，越来越多的企业涉足数字产业，数据的跨境流动已经成为经济活动中不或缺的组成部分。但是对于数据的跨境流动的监管与合规，全球的法律框架相去甚远，很多理论和实务的问题亟待解决。本文将结合国外的数据跨境流动相关法律制度、《数据出境安全评估办法（征求意见稿》以及我国其他相关现行有效的、征求意见中的法律法规，简要介绍跨境数据流动的域内、域外的法律监管框架以及如何应对此种监管的数据跨境合规问题。

一、我国数据跨境法律监管框架

数据跨境法律监管制度是依据法律法规对个人数据跨境使用行为进行的监督管理。其中有两层涵义：一是有法可依，即要有个人数据处理与使用的专门法律，确定数据使用的基本原则。二是合法合规，即要有专门的数据监管机构与配套的监管措施，防止个人数据在跨境流动过程中发生丢失、被盗、泄露、使用不当等行为。依据数据跨境中涉及到的数据控制者对数据监管权利的大小和数据获取方式的来源，将数据跨境的法律监管行为分为政府监管、企业监管、第三方平台监管三个类别。政府监管，需要有专门的数据监管机构，有一定的行政权力；企业监管，则设立专人负责，一般由法律专业人士担当，无行政执法权利，负责企业数据合规。第三方平台监管由建立该平台的企业负责，负责监管平台数据来源和使用方式是否有异常，以及用该平台的商家是否对收集的数据采取了充分保护。

（一）.现行有效的主要法律法规

1.《网络安全法》

2016年11月7日，全国人大常务委员会发布《中华人民共和国网络安全法》，并于2017年6月1日正式生效。《网络安全法》第一次从法律层级对于数据跨境流动提出了安全要求，主要体现在第三十七条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

2.《数据安全法》

2021年6月10日，全国人大常委会发布《中华人民共和国数据安全法》，并于2021年9月1日正式生效。《数据安全法》并未就数据跨境流通作详细规定，而是就数据跨境流通的问题引用《网络安全法》的相应规定并明确由国务院与国家网信部门制定具体规则。

3.《个人信息保护法》

2021年8月20日，全国人大常委会发布《个人信息保护法》，并于2021年11月1日正式生效。针对跨境数据流动方面，《个人信息保护法》借鉴有关国家和地区的做法，赋予了必要的域外适用效力，以充分保护我国境内个人的权益。《个人信息保护法》第三条规定，以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为等发生在我国境外的个人信息处理活动，也适用本法；并要求境外的个人信息处理者在境内设立专门机构或者指定代表，负责个人信息保护相关事务。同时，《个人信息保护法》的第三章明确规定了个人信息跨境提供的要求与条件。

4.《个人金融信息保护技术规范》

2020年2月13日，中国人民银行发布《个人金融信息保护技术规范》，并于同日正式生效。其中第7.1.3（d）条明确规定：“在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息，应在境内存储、处理和分析。因业务需要，确需向境外机构（含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构）提供个人金融信息的，具体要求如下：（a）应符合国家法律法规及行业主管部门有关规定；（b）应获得个人金融信息主体明示同意；（c）应依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估，确保境外机构数据安全保护能力达到国家、行业有关部门与金融业机构的安全要求；（d）应与境外机构通过签订协议、现场核查等方式，明确并监督境外机构有效履行个人金融信息保密、数据删除、案件协查等职责义务。”

（二）正在制定中的法律法规

1.《数据出境安全评估办法（征求意见稿）》

2021年10月29日，网信办在其官网上公布了《数据出境安全评估办法（征求意见稿）》征求意见。该评估办法中就数据出境安全评估作出了较为详细的规定，如强制申报安全评估的情形、申报材料、安全评估重点事项、评估程序、评估结果的时效以及结果失效的情形等。

2.《数据安全管理办法（征求意见稿）》

2019年5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》，并请社会公众于2019年6月28日前提出意见。该管理办法中明确要求网络运营者在向境外提供重要数据前，应当评估可能带来的安全风险，并经行业主管监管部门同意，行业主管监管部门不明确的，应经省级网信部门批准。

3.《个人信息出境安全评估办法（征求意见稿）》

2019年6月13日，国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》，并请社会公众于2019年7月13日前提出意见。该安全评估办法中明确规定，网络运营者与境外个人信息接收者需要签订数据合同，且需要向网信部门申报。同时对数据合同的具体内容也作出了一定要求。

二、国外数据跨境监管制度的演进

1.国际/区域组织法律监管制度建立阶段

1980 年，经合组织制定了《关于保护隐私于个人数据跨境流动的准则》（以下简称《流动准则》），是首份有关数据保护的国际性法律文件，也是数据跨境监管的首次尝试。1981 年，欧盟制定了《关于个人数据自动化处理的个人保护公约》（以下简称《数据公约》），其中主要讲明了有关个人数据保护的基本原则，首次涉及到了数据跨境监管措施。1990 年，联合国发布了《关于自动化处理中的个人数据档案保护指南》（以下简称《保护指南》），对两个及以上国家间的个人数据流动做出了规定。在此阶段，经合组织及联合国组织支持跨境数据的自由流动，而欧盟强调了数据跨境前的“授权与同意”。其他各国还未开始对数据跨境实施监管。

2.各国法律监管制度建立阶段

1995 年，欧盟为适应互联网的快速发展，将《数据公约》更新为《关于个人保护中有关个人数据处理以及此类数据的自由流动指令》（以下简称《95 指令》），要求各国成立独立的数据监管机构，同时由该机构承担数据审查的责任。自 2002 年起，加拿大、日本、德国等国纷纷出台了各自的法律监管制度。在此阶段，世贸组织、欧盟继续完善数据跨境监管的相关内容，各国数据跨境由自由流动转向限制流动。其中，加拿大、日本和德国要求必须在获得数据主体同意后才能进行数据流动，俄罗斯需在境内设立对跨境数据的存储，而韩国的重要数据不能出境。

3.国际/区域组织及各国法律监管制度完善阶段

为适应大数据时代数字经济发展变化，2013 年经合组织更新了《流动准则》，新增问责制原则，最大程度地保护了数据主体的利益。同年，亚太组织制定了跨境隐私框架，对数据跨境采取认证机制。2015 年，《跨太平洋伙伴关系协定》由原来的4 国发展为 12 国，并达成基本协议，将数据跨境纳入多边贸易规则。欧盟在 2016年制定了保护严格、原则清晰的《一般数据保护条例》（以下简称“GDPR”）。该条例在 2018 年正式实施，扩大了数据跨境的适用范围。

1995 年，欧盟为适应互联网的快速发展，将《数据公约》更新为《关于个人保护中有关个人数据处理以及此类数据的自由流动指令》（以下简称《95 指令》），要求各国成立独立的数据监管机构，同时由该机构承担数据审查的责任。自 2002 年起，加拿大、日本、德国等国纷纷出台了各自的法律监管制度。在此阶段，各国在限制数据跨境中采用多种监管措施，保证跨境数据在一定限制中快速流动，如新加坡和巴西等国使用统一的合同形式，亚太组织采取自我约束机制，经合组织采用问责制，跨太平洋组织和欧盟推行一定区域内的数据自由流动，中国采取数据评估模式，印度要求数据流动前的本地化，美国则在实施数据的“长臂管辖”。

4.域外数据跨境制度的演进规律

数据跨境法律监管制度经历了三代，第一代，规定了监管的基本内容；第二代，在基础上进行扩展，增加了更多样化的流动形式；第三代，形式更加具体。其进程与个人数据保护进程基本保持一致。 其中，欧盟的数据跨境法律监管基本与世界法律监管制度演进保持一致，并在数据保护法中一直保持着领先的地位。欧盟数据保护标准指导或启发了其他国家和地区对数据保护法律改革的思考。欧盟完备而又高要求的数据保护法案，使欧盟在数据资源争夺中占有一席之地。同时也影响了参与数据跨境监管与合作的其他国家，尤其影响了数据保护标准较低的其他国家进行数据跨境.美国以《隐私法》作为数据保护的基准，拉拢盟军，使各国的个人数据便利地向美国聚拢。美国不设立高水平且具有“统一性”的个人数据保护法，同时对其他国家称其本国法律已经做到了对个人数据较高保护。综上，通过对数据跨境法律监管制度的梳理，可以看出数据跨境经历了由宽松自由转向限制流动，再到限制中快速流动的转变。总而言之，数据跨境不论是要获得主体同意，还是签订合同，或是采取其他认证方式，均体现了数据跨境的监管理念：政府通过相当水平的监管，以杜绝企业对个人数据的随意处置，进一步强化对个人数据的保障力度。

5.中外数据跨境的差异与共性

在数据跨境法律监管制度的三个方面，我们可以看到一些差异与共性。首先，在众多法律制度中，主体同意被认为是数据跨境的先决条件，在大多数国家和地区都发挥着重要作用；数据本地化与分级管理被为是数据跨境中一项有争议制度，其可能会阻碍国际贸易的持续增长，但却可以减少被国外监听的风险。其次，实施机制中三种制度是数据跨境的主要方式，我们可以看到其重要性各不相同，合同形式被众多国家接受，非合同形式和组织内部保障措施的方式是对于合同形式的补充。监管机构在监督各数据主体时，处罚权的设置是对过去数据监管的一大进步。 第三，监管机构要强有力才能解决遇到的各种事情，监督大大小小的企业。但处罚条款应进一步细化，应对不同类型的违法行为可给与不同的处罚。毕竟管理才是第一目的，处罚是辅助手段。 第四，在立法实践中，各法域的数据跨境监管制度产生了一些分歧，这是因为不同法域的立法注重的细节不同。保障基本人权和个人隐私，保护国家利益和国家主权，防止外国监视等要求是支持这些制度的典型动机。

三、我国数据跨境法律监管制度存在的问题及完善的建议

（一）我国数据跨境监管存在的问题

中外对数据跨境监管的理念不同，监管力度不同。在整个数据跨境过程中，监管制度的核心目的是保护个人数据安全和确保数据在一定限度内自由流动。无论是审核批准制度的选择，还是实施机制的设计，还是问责制度的确定，都是在这一核心目的的指引下完成的。各国监管理念不同，导致各国保护效果不同。欧盟关注以“数据基本权利”为基础的个人数据及个人自由的重要性，跨境数据监管严格；美国意在数字经济的发展，获得贸易利益，因而跨境数据监管松散。中国则在充分参考世界各国经验的基础上，走出了一条有中国特色的道路，跨境数据监管注重管理强化。我国较国际社会数据跨境法律监管制度起步晚，但正在不断完善。我国数据跨境法律监管制度中主要问题是数据出境评估内容还不够具体，可能会加大数据监管机构的审批压力。此外，我国也未与友好往来的国家达成数据保护程度的相互认可，无法进行区域内的数据自由流动。

（二）完善我国数据跨境监管制度的建议

1.完善数据跨境的法律监管体系，明确监管内容

我国应提供丰富合理的数据流动渠道和高效安全的跨境数据审批流程，明确数据跨境中的三个重点：“跨境流动的数据范围”、“谁在进行数据跨境”、“如何进行数据跨境”，实现对个人数据和重要数据出境的全生命周期保护。并进一步完善行业自律、加强行业道德、提高公民的个人数据保护意识，赋予公民知情权，促使公民在数据保护中处于积极态度。在公司制度中增加数据保护的内容，鼓励公司在运行中建立自我审查机制，完善公司自身的管理水平，以应对数据跨境的发展趋势。建立政府、企业、个人共同参与、共同治理的数据跨境监督管理体系，打造有法可依、合法合规的个人数据保护环境以应对国际交往中的冲突。

2.增强域外保护管辖权，积极寻求多方合作

大数据时代，属地管辖原则已无法及时、有效应对数据跨境带来的问题，脸书、苹果和谷歌等跨国公司都曾经因违规收集客户信息，或泄露客户银行卡、信用卡、购物历史和网上访问记录等被欧美数据监管机构罚款。如果数据跨境监管仅仅采用属地管辖原则，往往没有权利处理域外发生数据泄露问题，无法保护本国公民的合法利益。因此，我国数据跨境监管应同时采用属地管辖原则与属人管辖原则，可以为我国在数据跨境中依法、合法赋权，增大我国在数据跨境过程中域外保护管辖权。并积极寻求多方合作，参与国际数据跨境的规划与监管，掌握国际个人数据保护的最新动向，并建立与之相适应的法律规定，立足于开放环境中维护我国数据安全。

四、对企业合规的建议

跨境数据流动的合规对于企业的风险管理尤为重要，特别是涉及国际贸易、跨境支付、大数据、云计算等领域的数字科技企业。如果管理不当，很可能导致企业面临高额的罚款，甚至阻碍其业务在某一个法域继续运营。基于对我国国内政府的监管框架、各国家、区域监管政策的了解以及监管趋向的体察，总结以下针对企业方应对监管的合规要点。

首先，要了解我国的跨境数据流动法律规则不仅包括本国的法律规则，也包括与数据业务有关的其他法域的法律规则。在充分认识法律规则的前提下才能认识到企业开展数据跨境流动活动时可能潜在的风险。

其次，应当明确定位企业的性质。法律规则对于不同主体赋予的数据合规义务各有差异。例如，根据《网络安全法》的规定，关键信息基础设施的运营者要比一般的网络运营者承担更为严格的数据安全保护义务。因此，企业需要结合自身业务，依据适用的法律规则，正确定位自身角色，方可明确自身需要承担的义务，及需要遵守的规定。

再次，企业应当完善内控制度，这不仅仅是企业现实业务的需求更是法律规定的义务。跨境数据流动的合规，不但是数据跨境传输转移的合规。数据采集、数据加工处理等前序步骤，都会影响数据是否可以跨境传输，以及是否需要履行审批程序。而企业运营过程中，一笔业务可能需要多位人员参与操作，不同业务也可能需要由不同的人员参与操作，并不可能要求每一位操作人员都是跨境数据流动合规方面的专家。因此，企业需要就数据管理建立一套完善的内控制度，从业务合同签署到实际业务操作给予企业人员明确的指引，降低企业违规的风险。

最后，在建立完善的内控制度后，需要在实际业务运营过程中落实内控制度。为此，企业需要加强人员培训，确保相关人员明确知晓自身的岗位职责，并建立风险意识，在遇到不确定的事项时及时上报，获取正确的处理方式。

结语

随着数字经济的不断发展，数据已经成为一种不可或缺的生产要素。全世界各国和地区纷纷加快立法脚步，保护数据主权的同时加强跨境数据传输的监管与合作。政府与企业作为经济发展中的两个重要角色，都应当做好自己的任务。政府应当在法律与政策的制定中，为我国的企业走出去外国的企业走进来制定“良法”，以便我国企业在国际贸易规则中占据有利地地位。而对于企业来说，面对日益严苛的跨境数据监管以及时时更新变化的规则，企业应当进一步加强自身合规建设，以尽可能控制数据合规风险。

参考文献：

[1程卫东.跨境数据流动的法律监管[J].政治与法律,1998(03):72-76.

[2]梁俊兰.国外 TDF 研究的历程及其实质[J].国外社会科学,1997(06):45-49.

[3] 姚维保,韦景竹.个人数据流动法律规制策略研究[J].图书情报知识,2008(02):38-42.

[4]  黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017,32(05):172-182+199.

[5] 韩静雅.跨境数据流动国际规制的焦点问题分析[J].河北法学,2016,34(10):170-178.

[7]王融.数据跨境流动政策认知与建议——从美欧政策比较及反思视角[J].信息安全与通信保密,2018(03):41-53.

[8]石静霞,张舵.跨境数据流动规制的国家安全问题[J].广西社会科学,2018(08):128-133.

[9]张继红.个人数据跨境传输限制及其解决方案[J].东方法学,2018(06):37-48.