鄧志松，戴健民

（北京大成律師事務(wù)所，北京 100020）

限制數(shù)據(jù)跨境傳輸?shù)膰H沖突與協(xié)調(diào)

鄧志松，戴健民

（北京大成律師事務(wù)所，北京 100020）

《中華人民共和國網(wǎng)絡(luò)安全法》于2017年6月1日起施行，其中第三十七條系我國第一次從法律層面上對限制數(shù)據(jù)跨境傳輸做出規(guī)定。在世界范圍內(nèi)此類規(guī)定并不少見，但各國規(guī)制模式有所不同并且存在緊張和沖突關(guān)系。限制數(shù)據(jù)跨境傳輸?shù)膰H沖突，對各國數(shù)據(jù)監(jiān)管提出重大挑戰(zhàn)，也對企業(yè)的跨國經(jīng)營帶來風(fēng)險與不確定性。基于對主要司法區(qū)的限制數(shù)據(jù)傳輸規(guī)制模式差異的現(xiàn)狀與原因的比較研究，本文探討了協(xié)調(diào)的可能路徑以及中國的合理對策。

數(shù)據(jù)跨境傳輸；國際沖突與協(xié)調(diào)；數(shù)據(jù)本地化

鄧志松 男，法學(xué)博士，北京大成律師事務(wù)所高級合伙人；

戴健民 男，北京大成（上海）律師事務(wù)所合伙人。

引言

數(shù)據(jù)跨境傳輸，廣義上可定義為數(shù)據(jù)在國家之間的電子移動。①李思羽.數(shù)據(jù)跨境流動規(guī)制的演進與對策[J].《信息安全與通信保密》.2016年第1期.數(shù)據(jù)天然地具有流動性，互聯(lián)網(wǎng)產(chǎn)業(yè)的良性發(fā)展、信息與知識的傳播更新等無不依賴于數(shù)據(jù)的自由流動，而全球化的深入發(fā)展則進一步凸顯了數(shù)據(jù)流動的跨國性。②吳沈括.數(shù)據(jù)跨境流動與數(shù)據(jù)主權(quán)研究[J].《新疆師范大學(xué)學(xué)報》（哲學(xué)社會科學(xué)版）.2016年9月第37卷第5期.2015年9月，中國共產(chǎn)黨第十八屆中央委員會第五次全體會議通過《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃的建議》，其中提到，“實施國家大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)資源開放共享”。實現(xiàn)數(shù)據(jù)自由流動和開放共享，是我國實施“走出去戰(zhàn)略”、完善開放型經(jīng)濟體系的必由之路。

然而，自由與開放并不意味著毫無限制，基于國家主權(quán)、國家安全、經(jīng)濟發(fā)展和個人隱私等方面的諸多考慮，各主權(quán)國家在數(shù)據(jù)流通過程中通常會施加不同程度的保護。在大數(shù)據(jù)時代和全球網(wǎng)絡(luò)安全立法浪潮的背景下，更多的立法者已經(jīng)注意到需要在網(wǎng)絡(luò)治理領(lǐng)域引入新的規(guī)范布局，在網(wǎng)絡(luò)安全的高度修正和完善頂層設(shè)計。③吳沈括.完善《網(wǎng)絡(luò)安全法（草案）》二審稿的多維度思考[J].《網(wǎng)事焦點》.2016年第9期.2016年11月7日，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“《網(wǎng)絡(luò)安全法》”）經(jīng)三次審議后于十二屆全國人大常委會第24次會議正式通過，2017年6月1日起施行?！毒W(wǎng)絡(luò)安全法》第三十七條明確了對關(guān)鍵信息基礎(chǔ)設(shè)施的信息跨境傳輸?shù)南拗?，或?qū)ζ髽I(yè)在華商業(yè)運營產(chǎn)生顯著影響。

隨著中國對網(wǎng)絡(luò)安全和數(shù)據(jù)保護提出新的要求，數(shù)據(jù)跨境傳輸業(yè)已成為企業(yè)合規(guī)的一大挑戰(zhàn)。特別是對于跨國經(jīng)營的企業(yè)，其在許多情境下都需要跨境傳輸數(shù)據(jù)，而同時其可能面對數(shù)據(jù)所在國法律的限制。如何協(xié)調(diào)數(shù)據(jù)跨境傳輸?shù)男枨笈c限制之間的沖突，成為中國企業(yè)走出去、外國企業(yè)在華經(jīng)營都必須面對的問題。

一、數(shù)據(jù)及其跨境傳輸

（一）數(shù)據(jù)跨境傳輸?shù)母拍?/p>

數(shù)據(jù)跨境傳輸?shù)母拍钭畛跤山?jīng)濟合作與發(fā)展組織（OECD）于1980年在《關(guān)于保護隱私與個人數(shù)據(jù)跨境流動的指南》中提出：數(shù)據(jù)跨境流動，即個人數(shù)據(jù)的跨國界移動。①OECD. Article 1(e), Guidelines governing the protection of privacy and transborder fl ows of personal data (1980)[ EB/OL].https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.雖然該指南在2013年進行了一定修改，但是其中的基本定義沒有變化。其中的數(shù)據(jù)指代“關(guān)于可識別和可認定的個人的任何信息”即個人信息。②OECD. Article 1(b), Guidelines governing the protection of privacy and transborder fl ows of personal data (1980),. https://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.另本文將“信息”等同于“數(shù)據(jù)”，不對二者的概念進行細分。國際性非政府組織三邊委員會（Trilateral Committee）在其報告中引用了聯(lián)合國跨國公司中心的概念界定，認為跨境數(shù)據(jù)流動是“用于處理、儲存和檢索的，能夠電子化和進行機讀的數(shù)據(jù)的跨國境運動”。③Trilateral Committee. Report on the Trilateral Committee on Transborder Data Flows (2010), Page 3,http://web.ita.doc.gov/ITI/itiHome.nsf/0657865ce57c168185256cdb007a1f3a/c444e0e6174952b5852575d1007eaec2/$FILE/Report%20of%20the%20Trilateral%20Committee.pdf.顯然，三邊委員會所引用概念中的數(shù)據(jù)不僅指代個人數(shù)據(jù)。結(jié)合對如今數(shù)據(jù)跨境傳輸?shù)牧私猓P者傾向于認同三邊委員會引用的概念，而不將數(shù)據(jù)跨境傳輸局限于“個人數(shù)據(jù)”方面。

（二）數(shù)據(jù)的分類

從不同的角度上看，數(shù)據(jù)分類具有不同的方式。且如今的數(shù)據(jù)體量極大、類別龐雜，數(shù)據(jù)分類也只是將數(shù)據(jù)進行大致歸類，數(shù)據(jù)各類別之間的聯(lián)系無法被完全割裂?？缇沉鲃拥臄?shù)據(jù)類型不同，需要法律予以調(diào)整的問題也不同。

根據(jù)數(shù)據(jù)承載內(nèi)容不同，數(shù)據(jù)可以分為個人數(shù)據(jù)、商業(yè)數(shù)據(jù)、技術(shù)數(shù)據(jù)和組織（公共）數(shù)據(jù)。個人數(shù)據(jù)跨境流動涉及個人人格權(quán)和隱私權(quán)保護問題，目前在國際和國內(nèi)層面主要是通過制定個人數(shù)據(jù)保護法進行規(guī)制；對于商業(yè)和技術(shù)數(shù)據(jù)的跨境流動，主要采行的規(guī)制方式是在國際上訂立知識產(chǎn)權(quán)和通信條約，并在國內(nèi)制定知識產(chǎn)權(quán)法和競爭法進行規(guī)制；對組織（公共）數(shù)據(jù)而言，主要由各國國內(nèi)法中的公共安全管理法進行規(guī)制。④李思羽.數(shù)據(jù)跨境流動規(guī)制的演進與對策[J].《信息安全與通信保密》.2016年第1期.

根據(jù)國家對于數(shù)據(jù)的保護程度不同，可將數(shù)據(jù)分為不可披露的數(shù)據(jù)、限制跨境傳輸?shù)臄?shù)據(jù)和可自由跨境傳輸?shù)臄?shù)據(jù)。由于可自由跨境傳輸?shù)臄?shù)據(jù)不存在沖突問題，自然也就不存在協(xié)調(diào)問題，本文不再贅述。

1.不可披露的數(shù)據(jù)

不可披露的數(shù)據(jù)在本文專指國家秘密。⑤商業(yè)秘密雖也屬于不可披露的數(shù)據(jù)范圍，但商業(yè)秘密的保護主體為商業(yè)秘密持有人，國家僅對侵犯商業(yè)秘密的行為進行規(guī)制，所以商業(yè)秘密不納入本文討論范圍。依據(jù)我國《保守國家秘密法》第二條規(guī)定，國家秘密是指關(guān)系國家安全和利益，依照法定程序確定，在一定時間內(nèi)只限一定范圍的人員知悉的事項。從定義便可看出，未經(jīng)法定程序，國家秘密是不允許被披露的。此外，《保守國家秘密法》對國家秘密的定密、層級、知悉范圍以及傳輸?shù)姆绞蕉甲髁藝栏褚?guī)定，特別是第二十六條第二款規(guī)定：“禁止在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密?！?/p>

2.限制跨境傳輸?shù)臄?shù)據(jù)

出于經(jīng)濟安全、社會穩(wěn)定等方面的考慮，我國法律對某些方面的數(shù)據(jù)跨境傳輸進行了限制。例如，《網(wǎng)絡(luò)安全法》中規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在運營時收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)在境內(nèi)儲存。2013年1月21日國務(wù)院公布的行政法規(guī)《征信業(yè)管理條例》第二十四條規(guī)定，“征信機構(gòu)在中國境內(nèi)采集的信息的整理、保存和加工，應(yīng)當(dāng)在中國境內(nèi)進行。征信機構(gòu)向境外組織或者個人提供信息，應(yīng)當(dāng)遵守法律、行政法規(guī)和國務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定”；2011年1月21日中國人民銀行發(fā)布的部門規(guī)范性文件《人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》第六條規(guī)定，“在中國境內(nèi)收集的個人金融信息的儲存、處理和分析應(yīng)當(dāng)在中國境內(nèi)進行。除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機構(gòu)不得向境外提供境內(nèi)個人金融信息”。

實際上，在數(shù)據(jù)的紙質(zhì)存儲時代，國家也有限制數(shù)據(jù)出境的規(guī)定。例如我國《檔案法實施辦法》第十九條第二款規(guī)定：“各級國家檔案館館藏的二級檔案需要出境的，必須經(jīng)國家檔案局審查批準”。如今，隨著檔案的電子化，他們理所當(dāng)然地也被限制跨境傳輸。

（三）網(wǎng)絡(luò)時代的數(shù)據(jù)傳輸

前述的概念界定中提到，跨境數(shù)據(jù)流動中的數(shù)據(jù)是指“用于處理、儲存和檢索的，能夠電子化和進行機讀的數(shù)據(jù)”。在信息社會全球浪潮的大背景下，目前以云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)等新生事物為突出代表的新一代信息技術(shù)已得到了廣泛應(yīng)用并且已明文上升為國務(wù)院確定的“國家級新興戰(zhàn)略產(chǎn)業(yè)”。①《國務(wù)院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定》（國發(fā)〔2010〕32號）[EB/OL].2010年10月10日.http://www.gov.cn/zwgk/2010-10/18/content_1724848.htm.以創(chuàng)新為基因與靈魂的新一代信息技術(shù)正在以前所未有的速度沖擊現(xiàn)存秩序的藩籬，對現(xiàn)存的互聯(lián)網(wǎng)治理規(guī)范帶來一系列全新的挑戰(zhàn)，數(shù)據(jù)的傳輸方式就因信息技術(shù)的發(fā)展而發(fā)生了極大的變化。②吳沈括.數(shù)據(jù)跨境流動與數(shù)據(jù)主權(quán)研究[J].《新疆師范大學(xué)學(xué)報》（哲學(xué)社會科學(xué)版）.2016年9月第37卷第5期.

我國現(xiàn)行的《檔案法實施辦法》于1999年修訂，其中規(guī)定，若各級國家檔案館以及機關(guān)、團體、企業(yè)事業(yè)單位、其他組織和個人需要攜帶、運輸或者郵寄檔案出境，必須經(jīng)省、自治區(qū)、直轄市人民政府檔案行政管理部門審查批準，海關(guān)憑批準文件查驗放行?？梢姰?dāng)時大部分的數(shù)據(jù)跨境轉(zhuǎn)移還是在特定方之間通過物質(zhì)存儲媒介傳遞來實現(xiàn)。如今，技術(shù)革新與社會沿革已徹底打破了傳統(tǒng)的數(shù)據(jù)跨境轉(zhuǎn)移的模式，通過互聯(lián)網(wǎng)進行電子數(shù)據(jù)的傳輸已經(jīng)成為數(shù)據(jù)轉(zhuǎn)移的主流方式。因而本文中的數(shù)據(jù)傳輸，既包括電子數(shù)據(jù)的傳輸，包括了特定方之間的對接傳輸、一方訪問另一方的云端數(shù)據(jù)庫或服務(wù)器獲取數(shù)據(jù)以及第三方訪問云端數(shù)據(jù)庫或服務(wù)器獲取數(shù)據(jù)；又包括電子數(shù)據(jù)實體載體的跨境傳輸。

二、限制數(shù)據(jù)跨境傳輸?shù)膰H規(guī)制差異

表1. 世界范圍內(nèi)數(shù)據(jù)本地化立法情況③Albright Stonebridge Group. Data localization, A Challenge to Global Commerce and the Free Flow of Information[R].Sept,2015.

沖突來源于差異，正是因為不同國家對數(shù)據(jù)跨境傳輸?shù)南拗浦黧w、數(shù)據(jù)類型以及規(guī)制模式存在差異，才導(dǎo)致了傳輸過程中沖突的產(chǎn)生。目前在國際上存在幾種主流的規(guī)制模式。下表摘自Albright Stonebridge Group咨詢公司于2015年9月發(fā)布的一份報告，比較全面地呈現(xiàn)了近年來世界范圍內(nèi)數(shù)據(jù)本地化（data localization，即將數(shù)據(jù)儲存在本國境內(nèi)）立法的層級和情況。

（一）主要司法區(qū)的不同規(guī)制模式

1.歐盟

即將于2018年生效的《一般數(shù)據(jù)保護條例》（GDPR）第五章規(guī)定了跨境傳輸?shù)挠嘘P(guān)規(guī)范。雖然曾經(jīng)的《數(shù)據(jù)保護指令》（EC Directive 95/46, 將被GDPR廢止）規(guī)定了數(shù)據(jù)自由流動的原則，禁止成員國以個人數(shù)據(jù)保護為借口，阻礙數(shù)據(jù)的自由流動。①姚朝兵.個人信用信息隱私保護的制度構(gòu)建— —歐盟及美國立法對我國的啟示[J].《理論與探索》.2013年第3期.但《指令》和GDPR都對跨境傳輸作出了限制。

GDPR規(guī)定，向第三國傳輸數(shù)據(jù)的條件之一是歐盟委員會對該國作出“充分保護認定”(adequate decision)。充分保護認定是歐盟委員會在考察幾項具體事項后，認定一國能夠充分地保護數(shù)據(jù)?？疾煲蛩匕ǚㄖ嗡?、人權(quán)保護水平、獨立監(jiān)管機構(gòu)的有效運行、參與的國際條約等。歐盟委員會作出充分認定后，將對該國至少每四年做一次審核。在沒有充分認定的基礎(chǔ)上，只有當(dāng)數(shù)據(jù)控制方或處理方能夠證明其采取了合理保護(appropriate safeguards)時才可向第三國傳輸，其中包括有約束力的公司規(guī)則(binding corporate rules)。第四十九條規(guī)定了一些可以在不具備上述要求的情況下跨境傳輸?shù)睦馇闆r，包括數(shù)據(jù)主體的明確同意、為公共利益考慮等情形。

以上可以看出，在內(nèi)部立法層面上歐盟對數(shù)據(jù)的跨境傳輸并不從根本上進行禁止。有關(guān)“充分保護”的認定由歐盟委員會掌握。與中國《網(wǎng)絡(luò)安全法》第三十七條中“因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”的規(guī)定略有相似。在將來中國的數(shù)據(jù)傳輸?shù)陌踩u估體系中，對充分保護的類似認定也可能會作為考量因素之一。

2.美國

在個人數(shù)據(jù)方面，美國確實沒有類似必須存儲在本地或?qū)缇硞鬏敿右韵拗频姆蓪用娴拿魑囊?guī)定。相反，美國一直在反對數(shù)據(jù)本地化的立法趨勢，甚至有學(xué)者將其稱之為“數(shù)據(jù)貿(mào)易保護主義”（data protectionism）。②Testimony of Robert D. Atkinson on International Data Flows before the House Judiciary Committee Subcommittee Courts.Intellectual Property and the Internet. p11.2014年，美國貿(mào)易代表辦公室（USTR）發(fā)布了年度《對外貿(mào)易壁壘報告》，報告提到加拿大英屬哥倫比亞?。˙ritish Columbia）和新斯科舍?。∟ova Scotia）的數(shù)據(jù)本地化立法使學(xué)校、醫(yī)院、國有公用企業(yè)和公共機構(gòu)無法使用美國企業(yè)提供的服務(wù)，③USTR. 2014National Trade Estimate Report on Foreign Trade Barriers[R].https://ustr.gov/sites/default/files/2014%20NTE%20Report%20on%20FTB.pdf.阻礙了美國的出口貿(mào)易。

但是，這并不意味著美國對數(shù)據(jù)的跨境流動毫無限制。在美國的外資安全審查機制中，對于國外網(wǎng)絡(luò)運營商通常會要求其與電信小組（Telecom Team）簽署安全協(xié)定，要求其國內(nèi)通信基礎(chǔ)設(shè)施應(yīng)位于美國境內(nèi)，將通信數(shù)據(jù)、交易數(shù)據(jù)、用戶信息等僅存儲在美國境內(nèi)。④石月.國外跨境數(shù)據(jù)流動管理制度及對我國的啟示[EB/OL].http://gb.cri.cn/42071/2015/07/23/6611s5041096.htm.電信小組并非按照法律建立和行事，審查內(nèi)容無法從公開途徑查詢。電信小組從上世紀90年代中期開始出現(xiàn)，在“9·11事件”出現(xiàn)后得以進一步發(fā)展和加強，由司法部、國防部、國土安全部以及FBI組成。⑤蔡雄山.2016年中國企業(yè)國際化法律風(fēng)險管理報告[R].

因此，在法律層面上美國并不限制數(shù)據(jù)的跨境自由流動。但在外資安全審查機制中，美國仍然會對進入基礎(chǔ)設(shè)施市場的外資所掌握的數(shù)據(jù)加以流動上的限制。此外，美國對軍用和民用相關(guān)行業(yè)的技術(shù)數(shù)據(jù)的跨境實施許可管理。依據(jù)其《出口管理條例》（EAR）和《國際軍火交易條例》（ITAR）分別對非軍用和軍用的相關(guān)技術(shù)數(shù)據(jù)進行出口許可管理。提供數(shù)據(jù)處理服務(wù)的相關(guān)主體或者掌握數(shù)據(jù)所有權(quán)的相關(guān)主體在數(shù)據(jù)出口時，必須獲得法律規(guī)定的出口許可證。

3.中國

(a) 法律

我國并沒有一部專門規(guī)制數(shù)據(jù)跨境傳輸?shù)姆桑嘘P(guān)數(shù)據(jù)跨境傳輸?shù)囊?guī)定散見于《網(wǎng)絡(luò)安全法》、《保守國家秘密法》、《國家安全法》、《檔案法》、《出入境管理法》和、《刑法》等法律。

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！?/p>

《保守國家秘密法》第二十五條規(guī)定：“機關(guān)、單位應(yīng)當(dāng)加強對國家秘密載體的管理，任何組織和個人不得有下列行為：（四）郵寄、托運國家秘密載體出境；（五）未經(jīng)有關(guān)主管部門批準，攜帶、傳遞國家秘密載體出境?！钡诙鶙l規(guī)定：“禁止非法復(fù)制、記錄、存儲國家秘密。禁止在互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)或者未采取保密措施的有線和無線通信中傳遞國家秘密。禁止在私人交往和通信中涉及國家秘密。”上述兩條對國家秘密的傳輸作出嚴格限制。

《國家安全法》則從“國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”角度對數(shù)據(jù)的安全可控做出規(guī)定?！稒n案法》中對“檔案”進行明確等級劃分，并對檔案的跨境傳輸分級進行規(guī)制。《出入境管理法》則規(guī)定：“對外國人非法獲取的文字記錄、音像資料、電子數(shù)據(jù)和其他物品，予以收繳或者銷毀，所用工具予以收繳。”《刑法》分則專章規(guī)定“危害國家安全罪”，第一百一十一條為“為境外竊取、刺探、收買、非法提供國家秘密、情報罪”。

(b) 行政法規(guī)

少量行政法規(guī)如《保守國家秘密法實施條例》、《國家安全法實施細則》以及《征信業(yè)管理條例》等對數(shù)據(jù)的跨境傳輸或者本地化存儲作了明確規(guī)定。

(c) 部門規(guī)章

部門規(guī)章對跨境數(shù)據(jù)傳輸或數(shù)據(jù)本地化的規(guī)定主要包括《人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護工作的通知》、《寄遞服務(wù)用戶個人信息安全管理規(guī)定》、《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》、《檔案法實施辦法》等。

綜合以上可以看出，我國現(xiàn)行法律法規(guī)中沒有對數(shù)據(jù)跨境傳輸進行清晰界定，對于數(shù)據(jù)跨境傳輸?shù)囊?guī)制并不系統(tǒng)，數(shù)據(jù)保護的側(cè)重性較強。但值得關(guān)注的是，2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，這體現(xiàn)出決策層對網(wǎng)絡(luò)安全的高度重視。近期我國網(wǎng)絡(luò)安全相關(guān)立法進程加快，隨著立法的不斷完善，我國對于數(shù)據(jù)的保護也將不斷加強。

（二）原因

以上三個國家（地區(qū)）對數(shù)據(jù)傳輸規(guī)制的不同，大體可以歸結(jié)為以下三個原因：

一是保護數(shù)據(jù)安全。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，各個行業(yè)對于互聯(lián)網(wǎng)的依賴逐漸加深。在互聯(lián)網(wǎng)為全球帶來便利的同時，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等問題也隨之而來。為了應(yīng)對此類問題，各國在網(wǎng)絡(luò)安全領(lǐng)域出臺立法，其中數(shù)據(jù)本地化作為許多國家保護網(wǎng)絡(luò)安全的手段體現(xiàn)在了法律之中。

歐盟認為美國的個人數(shù)據(jù)保護體系過于松散，無法對傳輸至美國的個人數(shù)據(jù)提供有效的保護。甚至有學(xué)者將美國稱為數(shù)據(jù)保護的“狂野西部”（wild west），是一個法外之地。①Mulvenon, James and Abraham Denmark (2010). Contested Commons: The Future of American Power in a Multipolar World.http://www.cnas.org/ fi les/documents/publications/這種對美國保護體系的不信任感在 “棱鏡門”事件曝光后加劇，間接導(dǎo)致了《安全港協(xié)議》被法院判決無效。

中國《網(wǎng)絡(luò)安全法》中明確規(guī)制范圍為“關(guān)鍵信息基礎(chǔ)設(shè)施”的運營者和管理者，其背后原因在于一旦此類基礎(chǔ)設(shè)施遭到攻擊，將導(dǎo)致國家、社會公眾安全或利益受到嚴重損害。其他國家如澳大利亞、加拿大等僅在特定領(lǐng)域如醫(yī)療、電信、金融中對數(shù)據(jù)的跨境傳輸進行限制，原因也是這些基礎(chǔ)領(lǐng)域的網(wǎng)絡(luò)安全對國家、社會的發(fā)展至關(guān)重要。

二是憲法基礎(chǔ)不同。作為一國根本大法，憲法對整個國家的法律體系起決定性的作用。法律的立法目的、具體條文應(yīng)與憲法精神相吻合，不得與憲法抵觸。因此，不同國家的法律規(guī)定存在的差異，其根源也可追溯至憲法條文的不同。

歐盟作為經(jīng)濟共同體，其本身不是一個主權(quán)國家，因此無法制定憲法。但作為綱領(lǐng)性文件，《歐洲人權(quán)公約》（Convention on Human Rights）在一定程度上也具有憲法的性質(zhì)。公約第八條“尊重隱私和家庭生活權(quán)”規(guī)定，人人有權(quán)享有使自己的私人和家庭生活、家庭和通信得到尊重的權(quán)利。公權(quán)力機關(guān)不得干預(yù)上述權(quán)利的行使。由此可見，隱私權(quán)作為一項基本權(quán)利寫進了憲法性質(zhì)的公約之中。這為歐盟出臺嚴格的數(shù)據(jù)保護條例、指令和政策提供了法理上的基礎(chǔ)。1995年歐盟實施《數(shù)據(jù)保護指令》，第一次將隱私權(quán)這一基本權(quán)利落實到互聯(lián)網(wǎng)時代的“數(shù)據(jù)”概念中。而根據(jù)歐盟的規(guī)定，指令雖不具有直接適用的普遍效力，但各成員國應(yīng)參照指令指定本國國內(nèi)法。而近期通過的GDPR，則直接以條例這一有約束力的法律形式納入到歐盟隱私保護體系之中。

美國憲法于1789年通過，至今已有200余年的歷史。盡管憲法第四修正案規(guī)定了“人民的人身、住宅、文件和財產(chǎn)不受無理搜查和扣押的權(quán)利，不得侵犯”，從一定程度上保護了公民的隱私，但隱私權(quán)卻從未被確立為憲法權(quán)利（constitutional right）。當(dāng)然，美國也非常重視公民隱私權(quán)的保護。除判例外，美國還制定了多部成文法保護公民隱私權(quán)。如1970年《公平信用報告法》、1974年《隱私權(quán)法》、1974年《家庭教育權(quán)與隱私法》和、1978年《財務(wù)隱私權(quán)利法》等。

然而，科技的發(fā)展使得隱私權(quán)的保護越來越難以實現(xiàn)。在面臨這個選擇困境前，美國卻更傾向于以技術(shù)發(fā)展帶動隱私保護。在互聯(lián)網(wǎng)時代，美國重視技術(shù)發(fā)展的政策尤為明顯。2014年5月，美國總統(tǒng)執(zhí)行辦公室（Executive Of fi ce of the President）發(fā)布2014年全球大數(shù)據(jù)白皮書（Big Data: Seize Opportunities, Preserving Values）。從白皮書所代表的價值判斷來看，美國政府更為看重大數(shù)據(jù)為經(jīng)濟社會發(fā)展所帶來的創(chuàng)新動力，對于可能與隱私權(quán)產(chǎn)生的沖突，則以解決問題的態(tài)度來處理。①李明.“大數(shù)據(jù)時代”的美國隱私權(quán)保護制度[EB/OL].http://www.china-cloud.com/yunjishu/shujuzhongxin/20141210_44162.html.

因此，憲法中隱私權(quán)的確立，既決定也反映了一個國家的整體價值取向。根據(jù)美國商會的研究顯示，GDPR的實施將導(dǎo)致歐盟整體GDP降低0.8%到1.3%。②Bauer, Matthias (2013). The Economic Importance of Getting Data Protection Right: Protecting Privacy, Transmitting Data,Moving Commerce[EB/OL].https://www.uschamber.com/sites/default/files/documents/files/020508_EconomicImportance_Final_Revised_lr.pdf.歐盟在這種形勢下仍然選擇嚴格的數(shù)據(jù)傳輸限制模式，其部分原因可能包括對隱私權(quán)這一基本權(quán)利的高度重視。

三是經(jīng)濟原因。美國和其他國家不同之處在于其信息產(chǎn)業(yè)非常發(fā)達。世界上最大的IT產(chǎn)品生產(chǎn)商和服務(wù)提供商均是美國公司。截止2010年，美國企業(yè)占據(jù)全球IT產(chǎn)業(yè)26%的市場份額。③National Science Board (NSB). Science and Engineering Indicators 2012, (NSB, 2012). appendix table 6-13.在全球前20家云計算服務(wù)提供商中，17家的總部位于美國。而數(shù)據(jù)的自由跨境流動對 IT行業(yè)的發(fā)展至關(guān)重要。根據(jù)美國國際貿(mào)易委員會（International Trade Commission, ITC）的預(yù)估，降低信息跨境傳輸?shù)拈T檻可以使美國提升0.1%到0.3%的GDP。④United States International Trade Commission.Digital Trade in the U.S. and Global Economies.

美國近年來不斷在雙邊條約中推行數(shù)據(jù)自由貿(mào)易政策，其目的也是為了保護美國信息產(chǎn)業(yè)的蓬勃發(fā)展，以鞏固美國的綜合國力。此外，由于美國的強勢地位，其接受了來自世界各地的大量數(shù)據(jù)。

而相比之下，歐盟、澳大利亞、俄羅斯和中國等國家（地區(qū)）的信息產(chǎn)業(yè)則沒有美國發(fā)達。但許多國家（地區(qū)）也都意識到了這一領(lǐng)域的發(fā)展?jié)摿?。例如在中國，互?lián)網(wǎng)經(jīng)濟的重要意義日益凸顯。在超6億的網(wǎng)民數(shù)量前，網(wǎng)絡(luò)技術(shù)的迭代式發(fā)展和互聯(lián)網(wǎng)公司的創(chuàng)新應(yīng)用，讓互聯(lián)網(wǎng)經(jīng)濟成為拉動消費需求的重要力量。數(shù)據(jù)顯示，互聯(lián)網(wǎng)經(jīng)濟在中國GDP中的占比持續(xù)攀升，2014年達到7%，占比超過美國。①中國進入互聯(lián)網(wǎng)經(jīng)濟新時代[EB/OL]. http://news.qq.com/a/20151210/023421.htm.

為了發(fā)展信息產(chǎn)業(yè)，歐盟于2015年5月6日正式通過了單一數(shù)字市場 （Digital Single Market）決議。決議中的主要措施包括：

1.統(tǒng)一市場，降低包裹運輸費用，讓跨國界的電商交易更便捷；結(jié)束歐盟國家之間的地域價格歧視；建立泛歐的版權(quán)法；2.完善歐盟的電信行業(yè)規(guī)則和視聽媒體行業(yè)框架；3.促進數(shù)據(jù)在歐盟內(nèi)免費自由流通，建立“歐洲云” （European Cloud）計劃，這將使歐洲170萬科研人員和7000萬科技從業(yè)者受益；4.加強各國政府間電子信息的共享（e-government）， 預(yù)計每年能節(jié)約50億歐元的信息成本。②“脫與不脫”？假如英國退出歐盟，對信息產(chǎn)業(yè)有何影響？[EB/OL].https://www.huxiu.com/article/153378.html.

歐盟一向支持數(shù)據(jù)在成員國之間自由流動。1995年《數(shù)據(jù)保護指令》對這一問題有專門規(guī)定。其目的自然是為了促進內(nèi)部貿(mào)易，以保證歐盟內(nèi)部單一市場的經(jīng)濟穩(wěn)步增長。從政治經(jīng)濟學(xué)的層面分析，面對美國企業(yè)的市場份額壓力，歐盟、俄羅斯等國出臺的限制數(shù)據(jù)流動政策有一部分原因可能是為了保護內(nèi)部市場的信息產(chǎn)業(yè)發(fā)展。

然而無論是出于何種原因，各國之間不同的規(guī)定勢必會為不同企業(yè)，特別是跨國企業(yè)的運營帶來諸多風(fēng)險與挑戰(zhàn)。

三、數(shù)據(jù)跨境傳輸需求與限制之間的沖突

如前所述，跨境數(shù)據(jù)傳輸是企業(yè)在國際經(jīng)濟貿(mào)易中的業(yè)務(wù)需求，而基于國家主權(quán)、國家安全、經(jīng)濟發(fā)展和個人隱私等方面諸多考慮，國家會在不同程度上對數(shù)據(jù)的跨境傳輸進行限制（或稱為保護）。如此，需求與限制之間便產(chǎn)生沖突。實踐中，需求與限制之間已經(jīng)在以下一些情形下發(fā)生了沖突：

（一）為開展經(jīng)營活動向境外傳輸數(shù)據(jù)

為開展經(jīng)營活動向境外傳輸數(shù)據(jù)的情形大量出現(xiàn)在跨國公司的經(jīng)營過程中，幾乎可以說是一種常態(tài)。

從貿(mào)易帶動信息流動的角度來看，第一，中國自2012年起已超越美國成為了全球最大的貿(mào)易國，截至2012年底，全球有128個國家的最大貿(mào)易伙伴是中國；③耿晨.個人數(shù)據(jù)跨境流動的國際監(jiān)管和合作制度研究[D].華東政法大學(xué).第二，選擇在中國設(shè)立機構(gòu)的跨國公司也為數(shù)不少，上海作為中國大陸投資性公司和跨國公司地區(qū)總部最集中的城市，截至2013年6月底，累計已有外商設(shè)立投資性公司275家，跨國公司地區(qū)總部424家、研發(fā)中心359家；第三，電子商務(wù)發(fā)展正進入黃金時期，截至2013年底中國電子商務(wù)市場交易規(guī)模達10.2萬億，同比增長29.9%。④耿晨.個人數(shù)據(jù)跨境流動的國際監(jiān)管和合作制度研究[D].華東政法大學(xué).2013年8月底，國務(wù)院正式發(fā)布《關(guān)于實施支持跨境電子商務(wù)零售出口有關(guān)政策的意見》，將大力促進跨境電子商務(wù)快速發(fā)展正式列為國家目標。在此背景下，我國需要進一步促進信息的自由流動以維持良好的貿(mào)易勢頭和經(jīng)濟發(fā)展。⑤耿晨.個人數(shù)據(jù)跨境流動的國際監(jiān)管和合作制度研究[D].華東政法大學(xué).

數(shù)據(jù)跨境自由傳輸?shù)牧硪欢耸撬^的“數(shù)據(jù)主權(quán)”?；ヂ?lián)網(wǎng)使得國際交流的越發(fā)順暢，但是交流不可能毫無邊界，在此情況下，主權(quán)的內(nèi)涵和外延都隨著技術(shù)進步而擴充，有學(xué)者則順應(yīng)該趨勢提出了“數(shù)據(jù)主權(quán)”的概念。齊愛民教授將捍衛(wèi)數(shù)據(jù)主權(quán)上升為一種原則，即數(shù)據(jù)主權(quán)原則——對內(nèi)體現(xiàn)為一國對其政權(quán)管轄地域內(nèi)任何數(shù)據(jù)的生成、傳播、處理、分析、利用和交易等擁有最高權(quán)力；對外表現(xiàn)為一國有權(quán)決定以何種程序、何種方式參加國際數(shù)據(jù)活動，并有權(quán)采取必要措施，以保障本國的數(shù)據(jù)權(quán)益免受其他國家的侵害。①齊愛民，盤佳.數(shù)據(jù)權(quán)、數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護的基本原則[J].《蘇州大學(xué)學(xué)報》(哲學(xué)社會科學(xué)版).2015年第1期.第67頁.

我國《網(wǎng)絡(luò)安全法》第三十七條從儲存和提供兩個方面對重要數(shù)據(jù)進行鎖定，從而也對數(shù)據(jù)跨境傳輸進行鎖定，可以說是我國“數(shù)據(jù)主權(quán)”的具體體現(xiàn)。

（二）為配合境外監(jiān)管向境外傳輸數(shù)據(jù)

實踐過程中，國外監(jiān)管機構(gòu)履行監(jiān)管或者調(diào)查職能時，可能要求在華經(jīng)營企業(yè)提供特定類型數(shù)據(jù)，但如果中國法律法規(guī)規(guī)定該類特定資料屬于不可披露或者限制跨境傳輸?shù)臄?shù)據(jù)，那么國外監(jiān)管機構(gòu)履行職能的行為便會和中國法律法規(guī)發(fā)生沖突。對此，典型案例為美國證監(jiān)會要求五家會計師事務(wù)所提供中國在美上市公司審計底稿一案。

2012年12月3日，美國證監(jiān)會向法院提起訴訟，指控德勤、安永華明、畢馬威華振、普華永道中天四大會計事務(wù)所中國所以及一家名為立信大華的會計師事務(wù)所拒絕向美國證監(jiān)會提交中國客戶的審計底稿和相關(guān)工作文件，以配合調(diào)查在美國涉嫌欺詐被退市的中國概念股。②財經(jīng)網(wǎng).索要工作底稿遭拒 “四大”被美國證監(jiān)會起訴[EB/OL].http:// fi nance.caijing.com.cn/2012-12-05/112334386.html.

美國《薩班斯-奧克斯利法》第106節(jié)規(guī)定，如果外國會計師事務(wù)所發(fā)表了意見或提供其他實質(zhì)性服務(wù)，注冊會計師事務(wù)所基于此簽發(fā)了全部或部分審計報告，該外國會計師事務(wù)所將被視為已同意當(dāng)該審計報告受到調(diào)查時，向委員會或 SEC 提供其與此相關(guān)的工作底稿。③百度文庫.薩班斯-奧克斯利法.[EB/OL]http://wenku.baidu.com/link?url=aNyV9clKZJdnzo3cBg-2ccuZpzwXHQ6HlioDx Boij7xbwmooRJfoxYghup2A0MDnS9LVZXrpMbTM208J1YHP-SYxLluMKkXu9OQ3wKGZ2Fy.過去幾年，中國概念股頻頻遭到“獵殺”，美國證監(jiān)會也開始對這些公司的財務(wù)、資信情況展開調(diào)查，并要求承擔(dān)這些公司上市審計工作的會計師事務(wù)所配合調(diào)查，提交審計工作底稿。

另一方面，我國《會計檔案管理辦法》第六條規(guī)定，會計憑證（包括原始憑證和記賬憑證）應(yīng)當(dāng)進行歸檔，也就是形成會計檔案；第二十五條規(guī)定，單位的會計檔案及其復(fù)制件需要攜帶、寄運或者傳輸至境外的，應(yīng)當(dāng)按照國家有關(guān)規(guī)定執(zhí)行。我國《檔案法實施辦法》第十九條對檔案出境進行了嚴格的規(guī)定，即一級檔案嚴禁出境，二級檔案出境必須經(jīng)國家檔案局批準，三級檔案及其他國家、集體、個人所有的檔案或者具有保密價值的檔案出境，必須經(jīng)省、自治區(qū)、直轄市人民政府檔案行政管理部門審核批準。綜合上述可以看出，我國實行的是底稿保密制度，即審計底稿的跨境傳輸必須經(jīng)檔案部門批準。此外，國家證監(jiān)會、保密局、檔案局在《關(guān)于加強在境外發(fā)行證券與上市相關(guān)保密和檔案管理工作的規(guī)定》，明確要求在境內(nèi)形成的工作底稿等檔案應(yīng)當(dāng)存放在境內(nèi)；如果工作底稿涉及國家秘密、國家安全或者重大利益的，不得在非涉密計算機信息系統(tǒng)中存儲、處理和傳輸；未經(jīng)有關(guān)主管部門批準，也不得將其攜帶、寄運至境外或者通過信息技術(shù)等任何手段傳遞給境外機構(gòu)或者個人。

除了以上所述的典型案例之外，在反壟斷調(diào)查過程中也會存在執(zhí)法機構(gòu)調(diào)查與外國數(shù)據(jù)保護規(guī)定相沖突的情形。例如，某跨國公司在中國區(qū)遭到反壟斷執(zhí)法機構(gòu)調(diào)查，中國反壟斷執(zhí)法機構(gòu)要求訪問其境外服務(wù)器以收集證據(jù)時，該跨國公司會提出國外法律限制其服務(wù)器中的數(shù)據(jù)被跨境傳輸。

（三）為應(yīng)對境外訴訟向境外傳輸數(shù)據(jù)

如今中國企業(yè)林立于世界，經(jīng)營過程中難免會與其他組織或個人發(fā)生糾紛。若企業(yè)涉訴，不可避免地需要向法院提交資料，甚至需要將資料進行披露，如美國便有“證據(jù)開示”程序，在這一程序階段，訴訟雙方，有時還會有外部專家，甚至是非訴訟方都會主動或被要求向?qū)Ψ脚杜c訴訟標的相關(guān)的文件和其他資料。④財新網(wǎng).“證據(jù)開示”程序——中國公司在美訴訟教訓(xùn)[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.若這些資料包含不可披露或限制跨境傳輸?shù)臄?shù)據(jù)，企業(yè)未經(jīng)批準就進行開示披露，便會面臨較大法律風(fēng)險。

2011年7月，InterDigital在美國國際貿(mào)易委員會（ITC）及聯(lián)邦地區(qū)法院指控中興通訊等企業(yè)侵犯其專利，要求啟動337調(diào)查并發(fā)布排除令，禁止被訴公司在美國銷售3G移動設(shè)備。2013年12月20日，就InterDigital訴中興通訊等專利侵權(quán)一案，美國ITC行政法官做出最終裁定，中興通訊沒有違反337條款，不侵犯原告起訴七項中的六項專利權(quán)，其余一項也被認定為專利無效。①中興通訊美國337調(diào)查終裁獲勝 IDCC 7項專利全“覆沒” [EB/OL].http://www.zte.com.cn/cn/press_center/news/201312/t20131220_415098.html.在該案中，中興通訊遵守了相關(guān)數(shù)據(jù)的限制跨境傳輸?shù)挠嘘P(guān)規(guī)定。

四、數(shù)據(jù)跨境傳輸需求與限制之間的協(xié)調(diào)

數(shù)據(jù)跨境傳輸需求與數(shù)據(jù)保護或限制的平衡是國家頂層設(shè)計和政策實施需要考量的重要內(nèi)容。對企業(yè)而言，尤其對于跨國企業(yè)而言，大數(shù)據(jù)時代下，在數(shù)據(jù)跨境傳輸需求和數(shù)據(jù)保護中尋找平衡點重要性不言而喻。筆者試從沖突的主要表現(xiàn)形式入手，分析企業(yè)協(xié)調(diào)數(shù)據(jù)跨境傳輸需求與數(shù)據(jù)保護的方式。

（一）經(jīng)營活動中的協(xié)調(diào)

我國《網(wǎng)絡(luò)安全法》已經(jīng)通過并將于今年6月1日正式實施。這是我國第一次在法律層面上對于數(shù)據(jù)跨境傳輸作出限制。企業(yè)應(yīng)審慎對待《網(wǎng)絡(luò)安全法》所帶來的法律風(fēng)險，并以合理、合法的措施維護自身因數(shù)據(jù)應(yīng)用而帶來的商業(yè)利益。

1.密切關(guān)注《網(wǎng)絡(luò)安全法》的后續(xù)實施

《網(wǎng)絡(luò)安全法》授權(quán)國務(wù)院對關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和保護辦法進行制定，目前雖尚未從公開渠道獲取國務(wù)院在此方面的制定動向，但可以預(yù)見相關(guān)規(guī)范會在不遠的將來相繼出臺。企業(yè)應(yīng)對相關(guān)規(guī)范的制定與實施進行密切關(guān)注，并可在必要時通過合法途徑提出合理建議和意見。此外，《網(wǎng)絡(luò)安全法》還授權(quán)國家網(wǎng)信部門和國務(wù)院有關(guān)部門就因業(yè)務(wù)需求確實需要向境外傳輸時進行安全評估，安全評估的相關(guān)依據(jù)文件相信也在制定當(dāng)中，企業(yè)應(yīng)當(dāng)一并予以高度關(guān)注。

2.數(shù)據(jù)儲存本地化

雖然有研究表明，數(shù)據(jù)安全并不取決于數(shù)據(jù)在何地儲存，而在于儲存技術(shù)和方法，②Daniel Castro, The False Promise of Data Nationalism[J], The Information Technology and Innovation Foundation, Dec. 2013.但《網(wǎng)絡(luò)安全法》第三十七條明確提到，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集的重要信息應(yīng)當(dāng)儲存在境內(nèi)。企業(yè)應(yīng)當(dāng)將存儲數(shù)據(jù)的物理設(shè)備置于中國大陸境內(nèi)，并與境外的設(shè)備進行一定的隔離；對于在云端儲存數(shù)據(jù)的企業(yè)而言，也需要采取一定的本地化措施。

3.建立企業(yè)內(nèi)部數(shù)據(jù)安全評估機制

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，因業(yè)務(wù)需要，確需向境外提供（數(shù)據(jù)）的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。除此之外，《網(wǎng)絡(luò)安全法》還規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)涉及國家安全時須通過國家安全審查、每年至少一次的網(wǎng)絡(luò)安全檢測評估等義務(wù)。筆者的建議是，企業(yè)應(yīng)當(dāng)及時建立、完善自身的數(shù)據(jù)相關(guān)安全評估機制，在相關(guān)部門安全評估之前先對涉及數(shù)據(jù)安全的行為進行自我評估。

除《網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定以外，企業(yè)還應(yīng)遵守其他涉及數(shù)據(jù)跨境傳輸?shù)南嚓P(guān)法律、法規(guī)及政策。

（二）配合監(jiān)管中的協(xié)調(diào)

1.美國證監(jiān)會起訴五家會計師事務(wù)所案件相關(guān)進程

2014年1月23日，美國證監(jiān)會行政審判法官卡梅倫-埃利奧特（Cameron Elliot）對四大會計師事務(wù)所中國所以及立信大華會計師事務(wù)所做出初審判決：暫停其在美國的審計業(yè)務(wù)6個月。③沈祎.“四大”會計師事務(wù)所在美國被罰的背后[J].《國際市場》.2014年第2期中國證監(jiān)會新聞發(fā)言人鄧舸則對美國證監(jiān)會暫停全球四大會計師事務(wù)所中國所在美業(yè)務(wù)一事表示遺憾，并希望美國證監(jiān)會從中美證券監(jiān)管合作大局出發(fā)，作出正確的判斷，促進事態(tài)得到妥善解決。①中國會計視野.證監(jiān)會回應(yīng)暫停四大中國分支在美業(yè)務(wù)[EB/OL].http://news.esnai.com/2014/0125/98912.shtml.2014年2月12日，四大會計師事務(wù)所中國所就美國證監(jiān)會的裁定正式提出上訴。經(jīng)過一年的談判，2015年2月7日，四大會計師事務(wù)所中國所與美國SEC達成和解。②中國會計視野.四大中國所與SEC和解恢復(fù)審計資格[EB/OL].http://news.esnai.com/2015/0207/110878.shtml.

在案件進行的同時，中美兩國證監(jiān)會也在進行持續(xù)溝通。據(jù)人民網(wǎng)2013年7月9日報道，應(yīng)美國證監(jiān)會、美國公眾公司會計監(jiān)察委員會提出的協(xié)查請求，證監(jiān)會調(diào)取了相關(guān)在美上市中國概念企業(yè)的會計底稿，目前已完成一家公司的會計底稿搜集工作，并已經(jīng)履行完相關(guān)程序，將通知美方準備提供底稿。此舉將有效解決中美跨境審計監(jiān)管的有關(guān)糾紛。③人民網(wǎng).證監(jiān)會對境外提供審計工作底稿[EB/OL].http:// fi nance.people.com.cn/stock/n/2013/0709/c67815-22126457.html.這也是中國第一次向美國提供審計底稿。

值得的欣慰的是，經(jīng)過這次會計底稿案件的沖突，財政部發(fā)布了《會計師事務(wù)所從事中國內(nèi)地企業(yè)境外上市審計業(yè)務(wù)暫行規(guī)定》，其中對此類沖突的協(xié)調(diào)機制進行了規(guī)定：“中國內(nèi)地企業(yè)境外上市涉及法律訴訟等事項需由境外司法部門或監(jiān)管機構(gòu)調(diào)閱審計工作底稿的，或境外監(jiān)管機構(gòu)履行監(jiān)管職能需調(diào)閱審計工作底稿的，按照境內(nèi)外監(jiān)管機構(gòu)達成的監(jiān)管協(xié)議執(zhí)行。”

2015年9月23日，中國證監(jiān)會發(fā)布消息，中國證監(jiān)會與美國證券交易委員會(SEC)和美國期貨交易委員會，在多邊框架下開展跨境執(zhí)法合作取得新突破。并且中美雙方在審計日常監(jiān)管合作方面也取得重要進展，“雙方初步商定，將以底稿‘出境’的方式，對一家中國會計師事務(wù)所開展檢查試點，通過試點，探索積極有效的日常監(jiān)管合作方式?！雹苤袊鴷嬕曇?中美審計跨境監(jiān)管獲得新突破[EB/OL].http://news.esnai.com/2015/0925/120506.shtml.

2.案件啟示

筆者認為，美國證監(jiān)會起訴五家會計師事務(wù)所案件相關(guān)進程從兩方面為企業(yè)在配合監(jiān)管過程中協(xié)調(diào)數(shù)據(jù)跨境傳輸?shù)臎_突提供重要思路：

一是配合監(jiān)管并不等于一味順從。美國證監(jiān)會依據(jù)其本國法要求五家會計師事務(wù)所提供審計底稿，而五家會計師事務(wù)所不提供審計底稿的行為也是基于中國法律法規(guī)的規(guī)定。會計師事務(wù)所完善的合規(guī)以及遵守中國法律法規(guī)的堅決態(tài)度，為后續(xù)的和解談判和兩國證監(jiān)會的溝通贏得了空間。

二是企業(yè)在境外機構(gòu)監(jiān)管過程中若遇到數(shù)據(jù)跨境傳輸?shù)臎_突情形，可積極向兩國相關(guān)部門反映并尋求協(xié)調(diào)途徑。在本案中，中國法律法規(guī)并未絕對禁止向境外提供審計底稿，并且《證券法》第一百七十九條第二款規(guī)定：“國務(wù)院證券監(jiān)督管理機構(gòu)可以和其他國家或者地區(qū)的證券監(jiān)督管理機構(gòu)建立監(jiān)督管理合作機制，實施跨境監(jiān)督管理”。正是由于中國證監(jiān)會了解了案件詳細情況并接受了美國證監(jiān)會美國公眾公司會計監(jiān)察委員會提出的協(xié)查請求，才有了中國向美國提供審計底稿的首次實踐，美國證監(jiān)會也因為該原因撤銷了對德勤會計師事務(wù)所的起訴。由此可以看出，企業(yè)在跨境數(shù)據(jù)傳輸沖突中能夠為兩國機構(gòu)的接洽提供重要幫助。

（三）應(yīng)對訴訟中的協(xié)調(diào)

美國的證據(jù)公示開示要求較為嚴格，訴訟當(dāng)事方應(yīng)在知道可能開始訴訟之時起就保存任何可能與訴訟相關(guān)的非保密性證據(jù)。此外，美國法律通常假設(shè)公司對其處理和控制的數(shù)據(jù)擁有所有權(quán)，因此不必擔(dān)心證據(jù)公示可能會侵犯第三方的隱私權(quán)。而歐盟的數(shù)據(jù)保護法律體系則要求數(shù)據(jù)主體的權(quán)利應(yīng)當(dāng)?shù)玫匠浞直Ｕ?，未?jīng)同意不得對外公示。盡管GDPR第九條第2款規(guī)定的數(shù)據(jù)處理原則的例外情形中包括“建立、實施和對抗法律請求”，但實際上這種例外僅適用于歐盟內(nèi)部的法院審理的法律糾紛。⑤Seth Berman. Cross Border Challenges for e-Discovery[J].11Bus. L. Int'l 1232010

對于其他國家禁止向他國提供證據(jù)的抵觸法（blocking statute），美國最高法院在1987年的Socidti NationaleIndustrielle Aerospatiale v. United States一案中作出判決，判定即使證據(jù)公示會導(dǎo)致外國訴訟當(dāng)事方違反其本國的抵觸法，美國法院也可強制要求其提交相應(yīng)證據(jù)。

涉及在美訴訟的中國公司需要熟悉美國的證據(jù)開示所涉及的范圍，并悉心考量其自身的處境及應(yīng)對措施。中國公司認為自己可以不受（或可不理睬）美國法律的證據(jù)開示規(guī)定是不明智的。①財新網(wǎng).“證據(jù)開示”程序——中國公司在美訴訟教訓(xùn)[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.但是中國公司在面臨證據(jù)開示和數(shù)據(jù)審查時，可以通過多種方式，避免開示不可披露或者限制跨境傳輸?shù)臄?shù)據(jù)。

美國的法庭是否會考慮到中國法律的規(guī)定，從而縮小對中國公司適用的證據(jù)開示范圍，這取決于諸多因素。這些因素包括中國公司是否在美有經(jīng)營場所，以及以下一些考量：1）涉及的文件或其他信息對訴訟的重要程度；2）開示請求的明確程度；3）信息是否源自美國；4）是否有獲取相關(guān)信息的其他辦法；5）不提供資料會在多大程度上損害美國的重大利益，以及開示會在多大程度上影響信息所在國的自身利益。②財新網(wǎng).“證據(jù)開示”程序——中國公司在美訴訟教訓(xùn)[EB/OL].http://opinion.caixin.com/2013-07-10/100554013.html.在應(yīng)對訴訟的過程中，企業(yè)可依照以上因素，對預(yù)開示的材料進行分析，在不影響訴訟的情況下，盡可能明確證據(jù)開示的范圍、排除不必要開示的證據(jù)、尋找可替代的數(shù)據(jù)或者數(shù)據(jù)來源，以避免開示不可披露或不可跨境傳輸?shù)臄?shù)據(jù)。

針對外國法院對中國公司提出的證據(jù)開示要求，筆者建議中國公司應(yīng)當(dāng)：

1） 明確涉案數(shù)據(jù)的種類以及相應(yīng)的中國抵觸法規(guī)定。針對限制跨境傳輸?shù)臄?shù)據(jù)，企業(yè)在應(yīng)訴前和應(yīng)訴時都需要和國內(nèi)相關(guān)部門進行有效溝通，并獲得跨境傳輸數(shù)據(jù)的批準。針對用戶個人數(shù)據(jù)，企業(yè)需提前征得用戶的同意，并在中國境內(nèi)對可識別到個人的信息進行保密處理；

2）明確該外國法院是否對涉案數(shù)據(jù)有管轄權(quán)；

3）積極向外國法院申請保護令以限制公示的數(shù)據(jù)范圍；

4）積極與對方律師或代理人進行庭外溝通以縮小申請公示的數(shù)據(jù)范圍。

五、結(jié)語

隨著信息技術(shù)的飛速發(fā)展以及各國在數(shù)據(jù)保護立法方面的不斷完善，數(shù)據(jù)跨境傳輸可能引發(fā)更多的國家間相關(guān)法律規(guī)定和實際需要的沖突。這種沖突可能使跨國企業(yè)進退維谷，微觀而言影響企業(yè)的穩(wěn)定運營，宏觀而言影響國家經(jīng)濟的健康發(fā)展。因此，在《網(wǎng)絡(luò)安全法》的后續(xù)法規(guī)和相關(guān)政策制定的過程中，相關(guān)部門應(yīng)當(dāng)預(yù)見到未來在數(shù)據(jù)跨境傳輸方面的潛在沖突，并適當(dāng)在實體和程序方面規(guī)劃沖突協(xié)調(diào)機制。

此外，在數(shù)據(jù)跨境傳輸?shù)臎_突協(xié)調(diào)方面，美歐之間關(guān)于個人信息保護的安全港以及后續(xù)的隱私盾安排，為其他國家提供了解決數(shù)據(jù)跨境傳輸?shù)姆独?。?dāng)然，在雙邊或多邊貿(mào)易協(xié)定中也可以安排相似的協(xié)調(diào)機制。

在經(jīng)濟全球化的今天，數(shù)據(jù)跨境傳輸?shù)男枨笫怯肋h存在的，與此相伴的沖突也可能永遠存在。對于企業(yè)而言，應(yīng)時刻注意自身的合規(guī)制度建設(shè)，在任何情況下都不得違反國家的有關(guān)規(guī)定。但同時也應(yīng)密切關(guān)注法律、法規(guī)及相關(guān)政策的制定與落實，通過合法的渠道為國家整體的網(wǎng)絡(luò)安全、數(shù)據(jù)保護法律體系建言獻策；對于立法機構(gòu)而言，應(yīng)意識到數(shù)據(jù)傳跨境傳輸對于一國的信息產(chǎn)業(yè)乃至互聯(lián)網(wǎng)時代的國民經(jīng)濟發(fā)展具有的重要意義。對于涉及國家、社會公眾安全及利益的數(shù)據(jù)應(yīng)嚴格保護，而本地化儲存的確是一種有效的保護手段。對于其他數(shù)據(jù)應(yīng)在保護數(shù)據(jù)主體的相關(guān)權(quán)益的前提下，允許一定程度上的自由傳輸。我國的網(wǎng)絡(luò)安全法律體系才剛剛起步，未來還需各方共同努力，為我國網(wǎng)絡(luò)強國的建設(shè)不斷奮斗。

（責(zé)任編輯：鐘宇歡）

International Con fl icts and Coordination of Limiting Cross-border Data Flow

DENG Zhi-song, DAI Jian-min

The Cybersecurity Law of the People’s Republic of China will take effect on 1June 2017, Article 37of which is China’s first provision to limit cross-border data flow from the perspective of law. There are quite a few similar provisions in the world, but each country’s modes of regulation are different and are in a tense and conflicted relationship.The international conflicts of limiting cross-border data flow posed a great challenge to each country’s data supervision and brought risks and uncertainties to the transnational operation of enterprises as well. Based on the comparative study of the status quo of and the reasons behind the difference among modes of limiting cross-border data flow in major jurisdictions, this article discusses possible methods of coordination and China’s appropriate countermeasures.

Cross-border Data Flow, International Conflicts and Coordination, Localization of Data

D922

：A

：1001-4225（2017）07-0093-12