数据跨境流动的法律思考

2024年第04期    作者:杨迅 李嘉仪    阅读 235 次

随着数字技术的发展，数据的价值日趋体现，数据的跨境流动也日渐频繁。然而，有关数据流动的法律规则几乎空白。本文将从数据跨境流动的现状出发，结合世界上几个主要国家关于数据流动的法律政策，探索数据权益、数据主权、数据安全等与数据跨境流动有关的法律框架。

 

一、数据跨境流动全景扫描

在全球数字经济发展的大背景下，数据已经成为最具价值的生产要素之一，被公认为21世纪的“新石油”和“新黄金”。在21世纪的今天，数据的重要意义就如同20世纪的石油，是推动发展和进步的驱动力。换言之，数据已经成为当今经济生活中不可忽视的重要因素。

1.数据的本质

数据通常是指原始的输入，其本身可能是无意义的。当其被处理或安排时，会产生有意义的输出，即信息。数据被处理成信息，会使其具有可解释性，并被赋予重要意义。

数据作为一种特殊资源，有别于一般的商品和服务。相较于一个物上只能存在一份所有权的排他性物权，一份数据可以同时被不同主体掌握或使用，且不会被耗尽。此外，多个数据汇总产生的总价值往往大于单个数据所产生的价值。单独的一个数据，比如某一商品的海关通关数据或者某一条用户评价，其价值是有限的；只有大量数据在空间维度和时间维度进行叠加，才能产生更大的价值。而数据的流动，则是数据集中和叠加的必要途径。

2.数据的权利属性

信息的非独占性决定了信息不具有康德所说的“生而具有的法权”或“自然法权”。对有形物的权利规定往往是对事实占有关系的法律肯定，而数据不存在实际占有的状态，因此需要对数据进行法律地位上的创设。

在物权法定原则下谈论“信息权利”是无意义的。数据，既不是一个物，也不是债权，更不是知识产权。在这种情况下，谁能够宣称有权定义数据的权利或者权益呢？

虽然数据的处理者可以通过技术手段限制数据访问，从而达到不同程度上的对数据排他占有的效果，但是该种排他性仅仅是技术上的控制，并不是法律上确权的当然证明。无论数据是在中国境内还是在国际环境中流转，都需要有明确的权利边界，否则数据的流动就可能是无序的，数据的实际控制者往往也不愿意面对数据权益失去控制的情形。

在数据所有权无法明确的情况下，与其探究数据的所有权，不如探讨数据的控制和收益。比如2022年12月19日颁布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）创新性地提出了“数据资源持有权、数据加工使用权和数据产品经营权的三权分置”观点。在司法实践中，牵涉到相应平台数据的，例如点击率、点评数、好评数等，纵然无法判断其归属，但这些数据是真真切切地由平台控制，平台也能够通过这样的控制来获得收益。由此可见，我国现有的法律体系虽然无法确认数据所有权，但是可以确定数据的贡献者，从而赋予数据贡献者一定程度的数据控制权，以及通过分享数据权在一定程度上获得的数据收益权。

3.数据流通的性质

数据的使用是数据价值的实现形式。数据使用者通过对海量数据的分析,获得有巨大价值的产品和服务。该巨大价值并不仅仅来自于单一数据集量上的变化，而是数据在各个不同领域应用成果的总成。

数据的使用需要数据的自由流动。但是正如经济学家斯蒂格勒所说的“天下没有免费的午餐”，如果数据能被免费使用，就会缺少贡献数据的动力。企业在生产经营活动中积累了很多冗余的数据，比如研究自动驾驶的车企就累积了大量驾驶行为数据。这些数据对车企而言，仅仅是为了研发产品，通过更新换代获得更好的驾驶体验；而对于加油站、市政规划、保险公司来说，可能都具有极大的价值。但是，如果不对车企进行相应的利益补偿，车企有什么动力将数据投入流动领域呢？

促进数据流动，需要给予数据贡献方一定程度的鼓励。贡献出数据的一方，往往需要在数据收集、整合、甄别全流程中投入资源，还需要将数据排列成具有意义的数据库形式。尤其是针对法律上无法流转的数据（比如敏感个人信息），往往还需要经过数据清洗、脱敏等程序，确保其均为可以流转的非敏感数据。如果没有对前述行为的激励，就难以自然形成规模化的数据贡献和流动。因此，对数据实际控制权的承认和对数据贡献者的报偿是数据流动的保障。

二、数据流动与数据安全的国家政策

世界主要经济体都认识到了数据的巨大价值和数据流动的重要性。但出于国家安全和国家利益考虑，不同国家采取了不同的政策。

1.美国

美国的数据政策以促进数据自由为核心。从里根政府开始，促进数据的全球流动成为美国政府数据政策的基调。当时，美国拥有世界上主要的IT和互联网公司，是数据的主要生产者。如今，美国在IT基础设施建设方面仍处于全球领先地位，在数据储存和流动中也仍占据主导地位。世界主要的数据中心和云服务提供商均为美国所主导，到目前为止，我国仍有许多公司需要美国提供的云服务。也正是基于这些数字领域基础设施的领先地位，美国可以几乎不受限制地接触到全球各地的数据。因此，从里根政府的经济合作与发展组织，到克林顿政府的《全球电子商务框架》，再到奥巴马政府的《两党贸易和优先权责任法》及TPP，均通过反对数据本地化，倡导全球范围的数据跨境流动，实现美国对全球数据的掌控。

美国对数据的全球掌控给他国带来了安全隐患。2018年3月23日，美国总统签署《澄清境外数据合法使用法案》（Clarifying Lawful Overseas Use of Data Act, “CLOUD Act”，以下简称《云法案》），以解决“美国政府诉微软公司案”中所体现的获取域外数据合法性问题，为执法机构获取境外数据以及外国政府获取美国境内数据提供依据。《云法案》扩大了美国法律的适用范围，实现数据领域的“长臂管辖权”，赋予了美国执法机构调取境外数据的权力。一言以蔽之，全球范围内只要是美国和美国企业能够控制的数据，美国政府就可以随意取用，不受数据所在地国家的法律限制；同时，美国和美国企业有权不向外国政府提供其所控制的数据，除非该外国政府受到美国的信任。可见，无论是在赋予美国获取域外数据的权力方面，还是在限制外国获取美国企业家控制下的数据等方面，《云法案》都赋予了美国极大的自由裁量权。这体现了美国对其他国家数据主权的不尊重，是单边主义和美国中心主义的表现。

2.欧盟

欧盟的数据政策重点在于对数据的保护。2018年5月，欧盟的《通用数据保护条例》（General Data Protection Regulation，即GDPR）正式生效实施。GDPR明确了保护个人数据是公民的基本权利，一方面扩大了个人数据的保护范围，给予个人数据以普遍法律的保护；另一方面提升了对个人数据的保护水平，强调个人数据风险的事前防范。在数据的自由流动方面，GDPR允许数据在欧盟成员国之间自由流动；但针对面向欧盟之外的数据传输，其规定只有在满足一定约束性条件和数据保护条款的基础上，该等数据传输才可能被允许。

对于非个人信息，“欧盟鼓励和促进利益相关者在欧盟层面上制定行业自律的行为准则，在透明性和互操作性原则的基础上，适当考虑开放标准，以便促进数据经济的竞争性发展。”欧洲议会和欧盟理事共同颁布的《非个人数据自由流动条例》限制了数据本地化，促进了非个人数据在欧盟境内的自由流动，对当地的数据获取以及专业用户的数据迁移等问题作出了规范。其中，“数据本地化要求”是指欧盟一些成员国的法律要求某些数据的处理行为必须在特定区域或者特定领土内才可以进行，这也成为限制数据自由流动的主要障碍。为了实现非个人数据的跨境自由流动，《非个人数据自由流动条例》要求成员国政府在删除本国现有的数据本地化要求的基础上，引入新的数据本地化要求或对现有的数据本地化要求进行修改，并在欧盟内设置多个数据处理点，使其达到监管控制目的，并确保数据对其具有可获得性。

3.中国

2017年，我国外交部和国家互联网信息办公室基于数据领域与网络空间的交叉与重合，发布了《网络空间国际合作战略》，明确了数据领域的国家主权原则对网络空间的适用。国家主权原则适用于数据，意味着若他国侵犯、干涉、非法获取、不正当使用在我国境内的数据及数据存储设备，将构成对我国主权的侵犯。

自2021年9月起施行的《中华人民共和国数据安全法》（以下简称《数据安全法》）从数据安全与发展、数据安全保护义务、政务数据安全与开放等方面强调数据保护、保障数据安全。《数据安全法》出于国家安全考虑，提出了数据安全出境和本地化储存的监管要求。在行政规章层面，相关主管机关也对医疗健康数据、金融业务数据、保险数据、汽车行驶数据等行业中重要的数据提出了本地化储存要求。我国正在根据本国的政治与经济利益，平衡数据自由流动与数据安全，既要在政策层面大力发展大数据产业，又要兼顾国家安全层面，对数据流动进行必要的限制。

进一步地，“数据二十条”还坚持“促进数据合规高效流通使用、赋能实体经济”这一主线，并以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。

三、数据流动的法理学思考

目前，国际层面尚无适应全球数据治理的法律体系和框架。传统的民事法律体系是基于对“物”的独占，以处分权为基础的权利。数据在不同的环节具有不同的属性：在生产环节，数据往往是对客观世界的描述和归结，具有公共属性；在流动环节，数据往往随着使用而被赋予更高的价值。因此，需要“以数据的‘生产—流动’为分析框架”，重塑“数据生产环节的数据控制权配置和数据流动环节的数据利用权”，从而平衡数据生产和数据使用中的利益分配。

正如著名法学家博登海默所说：“平等、自由、安全和公共福利，都不应该被看成绝对的孤立的事物。”法的概念应该把平等、自由、安全和公共福利囊括其中，缺一不可。

数据自由流动，才能让人们分享流动带来的收益；同时，确认权利的边界，明确参与人获取、使用、分配的规则，才能为分配数据流动带来的价值提供公平的机会。从形式公平角度看，通过形式公平保证大家获取数据的机会均等；从实质公平角度看，需要避免因使用、处理数据的能力不同导致的结果不公平，避免数据垄断。跨国数据流动同样需要平衡效率、公平与安全：在不威胁国家安全的前提下，鼓励数据的跨境流动，以及保障数据流动带来的价值在各国之间公平分配。

1.数据共享不等于数据公有

数据共享是基于承认数据提供方对数据控制的边界的共同使用，是数据提供方依照一定规则自愿将其数据提供给他人使用；他人在使用该数据时，应当根据数据流动的规则，与数据提供方分享收益。数据公有则不具有数据控制的边界，数据公之于众之后，任何人都可以在法律允许的范围内自由利用和独享利用的收益。

数据共享要求在数据自由流动的过程中，确保参与各方都可以从数据流动和使用中获取利益。但是，数据的自由流动有其边界：对个体权益而言，每个参与方都不能随意利用他人的数据造成不正当竞争；对公共利益来说，数据的使用不能以损害国家安全、社会公共安全为代价。这些都需要建立数据流动的确定规则，明确数据流动的要求，统一数据权益分配的制度。

2.数据主权不是民事意义上的权利

国家对数据的主权是管辖意义上的公权，而非民事意义上独占性的权利。

数据主权是国家主权在大数据时代的核心表现，是国家安全和发展的核心利益所在。国家对数据拥有主权，同时意味着国家可以通过行使法定权力对数据有关的行为进行管辖。数据主权对内体现了国家对数据制定和执行法律的权力,对外体现了国家在网络空间和数字领域的管辖权边界。

“大数据和云处理的发展已经超越了原先以国土疆界为划分的安全概念,挑战了主权概念，带来了复杂的权责关系。”但是，信息网络的超越国界并不代表网络空间没有主权的边界。数据的流转必然需要服从一定的规则，而规则的执行必须以公权力为后盾，因此网络空间也必须遵循国家数据主权。

国家对数据的主权，并不是民事意义上的独占权。国家对数据的主权是制定规则的权力，意味着特定国家法律适用于数据有关行为，以及国家强制力的管辖。对数据的主权并不是民事法律意义上的占有，亦非指向从数据相关行为中获益。国家对数据的主权，更多的是出于保障国家安全考虑限制数据的流动，不具有民事权利的独占属性。换言之，对数据的主权并不以限制数据跨越国界流动为必然；某程度上，对数据跨境流动的规范本身就是国家主权的体现。

3.数据安全考量不是数据流动的阻碍

对数据的保护并不等同于数据保护主义。数据保护是为了实现国家对数据流动的规制，从而采取的合理限制措施；而不是否定数据自由流动，拒绝国家之间数据的正常自由交流。

数据自由与数据保护两种理念博弈的核心在于：在数据主权领域，数据自由流动与数据保护之间需要取得平衡。不论是严格的本地化，抑或是完全自由的数据流动，都不可能满足国家实现各种数据发展目标的需求。对于新的数据法律体系，在鼓励数据流动的同时，还应考虑到对人权、国家安全、贸易、竞争、税收和互联网整体治理可能产生的影响。

数据安全考量不是数据流动的阻碍。对于网络空间，不仅需要重塑国家界限，还需要在实践中以国家现实的控制力有效保障数据安全。必要的数据本地化或者对跨境流动的控制，在一定程度上能够促进和保护当地科技产业和经济的良性发展。在数据流动发挥更大价值的同时，确保本国公共机构可通过法律或技术途径获取开展公务所需的数据，避免本国公民遭受来自外国政府和企业的监控，阻止其他国家为了不良目的而获取本国公民的数据，确保国家机关能够对网络信息内容进行管控，以符合本地的法律要求。

4.建立全球数据流动规则

数据的流动需要确定性的制度保障，为此，需明确数据流动的条件、方式和分享数据收益的规则。简言之，在数据流动领域，政府的作用不应局限于对数据流动的个案审查，更多的是应该作为制度的制定者和规则的维护者。在制度层面，完善有关数据的国内立法，确保数据流动与共享的可预见性，同时在国际上通过双边与多边协议推进数字主权国际公约的制定；在组织保障层面，改变多头管辖的格局，明确监管部门职责，为数字技术的创新、数字产业的发展提供良好的基础；在市场层面，依托市场主体全面开放合作，鼓励数据流动、提倡数据共享，同时加强与其他国家的合作交流，消除数据流动的贸易壁垒，实现数字时代的互利共赢。

我国正在经历从商品大国向数据大国转变的阶段，因此，我国有条件也有能力成为推动制定国际数据流动规则的积极力量，在数据主权问题上体现“共商共建共享”全球治理观的“中国主张”。我国政府、社会组织、私营部门、技术和法律专家应积极参与数字治理，促进全球数据流动标准的制定和研发，为全球数据有序、有效流动贡献中国智慧。

 

杨迅上海市通力律师事务所合伙人业务方向：网络安全、知识产权

李嘉仪

辽宁成功金盟律师事务所律师

业务方向：知识产权、信息安全、公司业务