（上海對外經(jīng)貿(mào)大學(xué) 法學(xué)院，上海 201600）

數(shù)字經(jīng)濟是21世紀拉動各國經(jīng)濟發(fā)展的重要驅(qū)動力量。即使在新冠肺炎疫情的影響下，線上貿(mào)易的交易額也在穩(wěn)步增長[1]。數(shù)字經(jīng)濟的蓬勃發(fā)展事實上推動了經(jīng)濟全球化的發(fā)展，但在頻繁的交易往來中數(shù)據(jù)跨境流動的安全問題日益引發(fā)關(guān)注。一直以來，美國積極倡導(dǎo)數(shù)據(jù)跨境流動的自由化，但與之相對應(yīng)的是更多的國家選擇以數(shù)據(jù)本地化措施來限制數(shù)據(jù)的自由流動。我國學(xué)者在研究該問題時多認為隨著經(jīng)濟全球化的不斷深入，對數(shù)據(jù)跨境流動的限制是特殊措施，而自由化是必然趨勢[2]。那么為何世界各國政府都不約而同地采用數(shù)據(jù)本地化這一違背經(jīng)濟發(fā)展規(guī)律的措施呢？本文將從目前世界經(jīng)濟出現(xiàn)的逆全球化趨勢出發(fā)分析各國實施限制跨境流動措施的內(nèi)在原因，結(jié)合目前世界現(xiàn)行的數(shù)據(jù)本地化制度并分析其作用，以此對我國的跨境數(shù)據(jù)流動法規(guī)的完善提出建議。

1 逆全球化趨勢與數(shù)據(jù)本地化

自2008年金融危機以來，?新自由主義?思想下的全球化受到了嚴重的沖擊，以生產(chǎn)要素（產(chǎn)品、資本、人員等）全球流動產(chǎn)生全球資源配置效應(yīng)的經(jīng)濟全球化進程受到了嚴重的阻礙。作為二戰(zhàn)后構(gòu)建以全球化為特點的國際經(jīng)濟秩序的美、英等國，隨著英國脫歐阻礙歐洲一體化、美國特朗普政府上臺后推行單邊貿(mào)易保護主義反而成為自由國際經(jīng)濟秩序的挑戰(zhàn)者、背離多邊主義的代表者。這種態(tài)度轉(zhuǎn)變可以從政策角度分析，即在國際經(jīng)濟秩序中推動全球化進程的國家常常是具有主導(dǎo)地位的強權(quán)國家，這些國家在制訂國際條約或構(gòu)建國際組織時必然優(yōu)先考慮國內(nèi)層面的政治和經(jīng)濟需求[3]。例如二戰(zhàn)后經(jīng)濟全球化經(jīng)歷了?內(nèi)含自由主義?到?新自由主義?思想的轉(zhuǎn)變，主要推動因素便是美國從貿(mào)易自由化到金融自由化的政策變動[4]。經(jīng)濟全球化體系一直存在難以消除的內(nèi)在矛盾，即在經(jīng)濟全球化體系中獲利呈現(xiàn)出不平等現(xiàn)象，比如經(jīng)濟全球化大大消除了世界范圍內(nèi)尤其是亞洲的貧困，但隨之而來的是部分國家制造業(yè)流失并面臨失業(yè)人數(shù)不斷增加的境況；除了區(qū)域?qū)用妫瑖鴥?nèi)層面的不平衡也與日俱增，比如全球化進程中美國在金融、投資與數(shù)字經(jīng)濟等領(lǐng)域獲利頗豐，但中低端制造業(yè)卻受到?jīng)_擊而不得不大量轉(zhuǎn)移至發(fā)展中國家。基于經(jīng)濟全球化政策是強權(quán)國家根據(jù)自身的政策需求在國際層面的體現(xiàn)這一理論，國內(nèi)層面的不均衡甚至對美國、英國的態(tài)度轉(zhuǎn)變影響更大。換言之，經(jīng)濟全球化一直存在收益與損失并存的情況，而完全通過收益的補償來消除這種損失是難以實現(xiàn)的，因而美國社會始終無法解決全球化進程中國內(nèi)意識形態(tài)的割裂。在全球經(jīng)濟發(fā)展迅猛的時候，美國跨國企業(yè)在投資、貿(mào)易中獲得了巨大紅利，得以通過所謂?涓滴效應(yīng)?（Trickles Down Economics）將利潤滲透到全社會各個角落，從而帶動各個階層走向富裕；但隨著美國經(jīng)濟的增速不斷降低、貿(mào)易逆差不斷加大，全球化給跨國公司帶來的利益無法輻射到全社會彌補國內(nèi)在全球化進程中相關(guān)階層受到的損失，于是貿(mào)易保護主義等逆全球化趨勢就不可避免的出現(xiàn)在美國政府的對外政策中，并在世界上產(chǎn)生影響。在全球治理上，多邊的、世界性的協(xié)議與組織頻頻受到挑戰(zhàn)，WTO的運行陷入僵局以致到了不改革就停擺的尷尬境地，美國退出?巴黎協(xié)定?與聯(lián)合國教科文組織，繼而在2020年7月宣布停止資助并將于一年后正式退出世界衛(wèi)生組織；而國家層面的單邊主義導(dǎo)致區(qū)域主義盛行，英國脫歐、美國連續(xù)退出多邊協(xié)定都是試圖在新的雙邊、區(qū)域協(xié)定談判中為自己謀求更多的利益。在國際貿(mào)易中，盡管已經(jīng)有諸多研究表明自由貿(mào)易最終能使貧困群體獲利最多[5]，但美國政府依然在?美國優(yōu)先?的政策理念下頻繁發(fā)動單邊貿(mào)易制裁，破壞以?互利共贏?為宗旨的多邊貿(mào)易體系。在國際人員流動上，越來越多的歐洲國家紛紛出臺政策限制難民入境，英國脫歐的一個重要原因便是其限制移民的政策無法與歐盟達成共識；同時，留學(xué)簽證的限制也在逐步增加[6]。其實美國政府在陶爾米納G7峰會上就透露過對于全球化的態(tài)度：?（總統(tǒng)）認為世界并非‘全球化的共同體’，不同國家、非政府組織和商業(yè)機構(gòu)為利益在其中互相競爭。?[7]基于這種理念，逆全球化趨勢不斷擴大，直到影響到新興的數(shù)字經(jīng)濟領(lǐng)域。

客觀來說，經(jīng)濟全球化的發(fā)展與科技進步密切相關(guān)，支撐數(shù)字經(jīng)濟發(fā)展的大數(shù)據(jù)、云存儲等互聯(lián)網(wǎng)技術(shù)本身就具備?全球化?的物理屬性。然而，各國的跨境數(shù)據(jù)流動管理規(guī)范并沒有體現(xiàn)技術(shù)進步對全球化進程的促進，反而呈現(xiàn)出明顯的逆全球化特征。例如2016年4月15日由歐洲議會通過的《通用數(shù)據(jù)保護條例》就較大程度地限制了數(shù)據(jù)跨境轉(zhuǎn)移，而2020年7月16日，歐盟法院更是直接宣布所謂的?隱私盾?協(xié)議無效，致使大量美國公司停止依據(jù)該協(xié)議從歐盟向美國傳輸、存儲信息。此外，俄羅斯、印度、澳大利亞、韓國等國家也出臺了不同程度的數(shù)據(jù)本地化政策。美國作為數(shù)字經(jīng)濟強國與數(shù)字服務(wù)產(chǎn)業(yè)的輸出國，其數(shù)字企業(yè)的運營依賴數(shù)據(jù)的自由獲取和跨境轉(zhuǎn)移，因此美國力圖構(gòu)建一個傳輸、訪問、處理和存儲信息完全自由化的國際數(shù)據(jù)跨境傳輸體系，但2020年8月5日?清潔網(wǎng)絡(luò)?計劃卻顯示美國政府的實質(zhì)態(tài)度與其所倡導(dǎo)的數(shù)據(jù)自由傳輸理念截然相反。例如?清潔網(wǎng)絡(luò)?計劃里的清潔云服務(wù)一項聲稱?個人敏感信息和知識產(chǎn)權(quán)不應(yīng)當(dāng)被中國公司（例如阿里巴巴、百度、中國移動、中國電信與騰訊）的云系統(tǒng)處理與儲存，以防止中國政府獲得此類數(shù)據(jù)?，以數(shù)據(jù)安全為由排除中國企業(yè)對本國數(shù)據(jù)的儲存，變相地讓本國企業(yè)壟斷數(shù)據(jù)存儲業(yè)務(wù)以確保本國政府的數(shù)據(jù)主權(quán)[8]不受他國政府侵擾，其政策目標與數(shù)據(jù)本地化措施類似。事實上，美國數(shù)字企業(yè)在世界范圍內(nèi)仍占有主導(dǎo)地位，在2019年世界最大四家云服務(wù)供應(yīng)商的市場占比中，亞馬遜、微軟與谷歌總共超過了一半,排名第四的阿里巴巴僅占5.4%[9]。因此可以認為美國實施數(shù)據(jù)傳輸自由化政策是因為全世界大部分數(shù)據(jù)都在美國數(shù)字企業(yè)的服務(wù)器里，在強大的數(shù)字經(jīng)濟支持下美國的數(shù)據(jù)主權(quán)即使在自由化的情況下也能完全實現(xiàn)，但當(dāng)其他國家的數(shù)字企業(yè)開始具備一定的競爭能力時美國同樣會采取相應(yīng)的限制性措施；而且美國提倡數(shù)據(jù)傳輸自由化主要是為便于其數(shù)字經(jīng)濟的擴張，正如美國學(xué)者批判數(shù)據(jù)本地化趨勢的主要理論依據(jù)是其會損害美國在數(shù)字經(jīng)濟領(lǐng)域的?主場優(yōu)勢?[10]。由此可見，雖然美國和其他國家對數(shù)據(jù)跨境流動分別持有?自由化?和?本地化?理念，但政策目的都是為實現(xiàn)本國的數(shù)字主權(quán)。有學(xué)者就認為，歐盟的《通用數(shù)據(jù)保護條例》與美國的《澄清境外數(shù)據(jù)合法使用法案》事實上異曲同工；歐盟是以?本地化?措施側(cè)重領(lǐng)土管轄，將域內(nèi)所有數(shù)據(jù)控制人收集、處理的個人數(shù)據(jù)納入保護范圍；而美國則是以?自由化?側(cè)重國籍管轄，利用本國數(shù)字企業(yè)的優(yōu)勢地位在域外收集數(shù)據(jù)并提供給國內(nèi)司法系統(tǒng)；兩種政策本質(zhì)上都是對數(shù)據(jù)資源的爭奪[11]。

綜上，不論是實行經(jīng)濟全球化或逆全球化政策，還是倡導(dǎo)數(shù)據(jù)跨境流動的自由化或本地化措施，都是各國國內(nèi)因素在國際法層面的表現(xiàn)。目前各國與美國對數(shù)據(jù)跨境流動理念上有差異的根本原因是數(shù)字經(jīng)濟發(fā)展的不平衡，而這種不平衡即是包括我國在內(nèi)的大多數(shù)國家堅持數(shù)據(jù)本地化措施的必要性所在。

2 數(shù)據(jù)本地化的立法經(jīng)驗

數(shù)據(jù)本地化方式一般指服務(wù)、設(shè)施、存儲本地化。從狹義上講，數(shù)據(jù)本地化措施不同于限制跨境數(shù)據(jù)流動，因為要求數(shù)據(jù)存儲于境內(nèi)的同時不一定限制跨境數(shù)據(jù)自然流動[12]。但從廣義上說，數(shù)據(jù)本地化與跨境數(shù)據(jù)自由流動相對，等同于限制數(shù)據(jù)跨境流動[13]。本文持廣義態(tài)度，因為數(shù)據(jù)的存儲與流動呈現(xiàn)出一體性——存儲尤其是云存儲本質(zhì)上就是一種傳輸，如果對云服務(wù)提供商的數(shù)據(jù)存儲服務(wù)器地點不加限制，在存儲之時數(shù)據(jù)可能已經(jīng)完成了跨境傳輸，因此任何限制數(shù)據(jù)自由流動的措施都必然以本地化措施為前提。

以數(shù)據(jù)本地化為前提，各國跨境數(shù)據(jù)流動限制的方式主要包括：（1）跨境轉(zhuǎn)移需要數(shù)據(jù)主體的同意。第一種是跨境數(shù)據(jù)轉(zhuǎn)移完全依照數(shù)據(jù)主體的意志。例如韓國2011年修訂的《個人數(shù)據(jù)》第17條第3款規(guī)定，個人信息向境外第三人轉(zhuǎn)移，需取得數(shù)據(jù)主體的同意。印度2011年出臺的《信息技術(shù)法案》也有類似規(guī)定。其二是將數(shù)據(jù)主體的同意作為兜底條款。如2018年歐盟《通用數(shù)據(jù)保護條例》中規(guī)定，數(shù)據(jù)轉(zhuǎn)移如果缺乏評估程序和保障措施而存在潛在的風(fēng)險，除非轉(zhuǎn)移為數(shù)據(jù)主體與數(shù)據(jù)控制人履行合同所必須，否則需要數(shù)據(jù)主體的同意；未成年人因行為能力不足，其同意需要監(jiān)護人完成。俄羅斯現(xiàn)行生效的《個人信息保護法》模式也與歐盟類似，首先要求數(shù)據(jù)控制人確保個人數(shù)據(jù)傳輸?shù)絿夂罂梢缘玫匠浞直Ｗo，如果不能則必須取得數(shù)據(jù)主體的書面同意。（2）數(shù)據(jù)控制人需盡到安全保障的義務(wù)。歐盟《通用數(shù)據(jù)保護條例》便是基于數(shù)據(jù)控制人轉(zhuǎn)移數(shù)據(jù)時需要確保接收數(shù)據(jù)的第三國、地區(qū)或部門能提供與歐盟相同程度的保護這一原則設(shè)計的。除歐盟外，加拿大《跨境處理個人數(shù)據(jù)指南》要求數(shù)據(jù)控制人應(yīng)當(dāng)通過協(xié)議（與境外第三方的）或其他措施確保：第三方在處理數(shù)據(jù)過程中，未經(jīng)授權(quán)不得處理或披露個人數(shù)據(jù)；確認第三方具有完善的數(shù)據(jù)保護政策或流程；定期審核第三方處理或儲存?zhèn)€人數(shù)據(jù)的安全性。（3）主權(quán)機關(guān)干預(yù)模式。馬來西亞2013年《個人數(shù)據(jù)保護法》要求數(shù)據(jù)控制人跨境傳輸數(shù)據(jù)時確保境外接收第三方能夠提供相同程度的保護，但主管部門的部長可以依據(jù)自由裁量權(quán)免除數(shù)據(jù)控制人所受的上述限制。

數(shù)據(jù)本地化措施的對象，最主要的是個人信息，其次還有一些重要行業(yè)領(lǐng)域。如澳大利亞《個人控制電子健康記錄法案》，嚴格限制跨境數(shù)據(jù)轉(zhuǎn)移，個人健康信息的存儲、處理和訪問必須在澳大利亞境內(nèi)。我國在征信業(yè)、金融業(yè)、地圖管理金融和醫(yī)療等行業(yè)領(lǐng)域都有相關(guān)數(shù)據(jù)本地化的規(guī)定。

3 數(shù)據(jù)本地化的具體作用

數(shù)據(jù)本地化一直遭受許多西方學(xué)者的批判，他們認為本地化是為了方便政府監(jiān)視民眾和扶持本地信息產(chǎn)業(yè)的發(fā)展[14]，其中經(jīng)濟因素的影響更為直接，因為本地化會迫使數(shù)字企業(yè)投資當(dāng)?shù)叵嚓P(guān)設(shè)施建設(shè)，增加運營成本。雖然本地化與數(shù)字經(jīng)濟的快速運行格格不入，但是各國數(shù)字經(jīng)濟發(fā)展的不均衡，而且本地化在當(dāng)前形勢下對于維護國家數(shù)據(jù)主權(quán)、提高政府網(wǎng)絡(luò)治理能力以及促進國內(nèi)信息產(chǎn)業(yè)發(fā)展都有積極作用。

數(shù)據(jù)本地化最顯著的作用是提升政府的數(shù)據(jù)支配能力。國家層面的數(shù)據(jù)安全是由數(shù)據(jù)安全、數(shù)據(jù)支配權(quán)與防止敏感數(shù)據(jù)遭惡意使用三部分構(gòu)成[15]，而數(shù)據(jù)支配程度更是一個國家數(shù)據(jù)主權(quán)的體現(xiàn)，一國政府若沒有數(shù)據(jù)支配權(quán)，國家安全的維護便無從談起。數(shù)據(jù)本地化的流行普遍認為是2013年美國?棱鏡門?事件導(dǎo)致的，當(dāng)時美國國安局直接利用微軟、谷歌、雅虎、蘋果和YouTube等美國數(shù)字企業(yè)對世界范圍內(nèi)用戶的信息和通信進行監(jiān)視，甚至涉及各國政要，使得各國意識到自身數(shù)據(jù)主權(quán)存在的問題。2018年3月，特朗普政府出臺的《澄清境外數(shù)據(jù)合法使用法案》更是一個?合法化?的?棱鏡計劃?，使得美國執(zhí)法機構(gòu)可以依據(jù)美國法院的傳票，越過他國政府審核，直接要求位于他國的美國企業(yè)將信息傳遞回美國境內(nèi)。該法案出臺后，美國司法部立刻要求微軟公司提交海外服務(wù)器內(nèi)存儲的涉案客戶信息，其取證過程完全無視跨國司法協(xié)助的國際法規(guī)則。因此，只有將存儲本國數(shù)據(jù)的服務(wù)器安置在境內(nèi)，才能確保本國政府對數(shù)據(jù)的支配不受外國政府的侵擾。

數(shù)據(jù)本地化也能提高政府的網(wǎng)絡(luò)治理能力。數(shù)據(jù)安全使數(shù)據(jù)和系統(tǒng)免于破壞和未經(jīng)授權(quán)的訪問、披露、使用、修改等。近年來隨著數(shù)字經(jīng)濟的發(fā)展，越來越多的信息泄露正在危害公民個人信息的安全和互聯(lián)網(wǎng)企業(yè)的運行。大型互聯(lián)網(wǎng)公司儲存的用戶數(shù)據(jù)數(shù)以億計，一旦管理不當(dāng)或被黑客攻破就會造成大量用戶身份信息的泄露；而涉及金融、醫(yī)療、交通等重要行業(yè)領(lǐng)域的信息泄露所導(dǎo)致的后果更為嚴重。2020年以來，媒體就已經(jīng)爆出浙江岱山農(nóng)商銀行內(nèi)部人員泄露客戶信息、青島膠州中心醫(yī)院數(shù)千人就診名單泄露、國泰航空940萬乘客信息流出等諸多數(shù)據(jù)泄露事件。RSA Security對6000名美國、德國、英國、法國成年人的調(diào)查報告顯示，調(diào)查對象最擔(dān)心泄露的五類數(shù)據(jù)信息為：密碼信息、金融數(shù)據(jù)、身份信息、醫(yī)療數(shù)據(jù)和聯(lián)系方式；36%的人聲稱個人信息曾經(jīng)泄露過，而高達75%的人聲稱以后會更謹慎地在網(wǎng)絡(luò)平臺注冊自己的信息[16]。雖然數(shù)據(jù)本地化并不能直接改善網(wǎng)絡(luò)治理的現(xiàn)狀，但將數(shù)據(jù)存儲、處理和訪問等操作都控制在境內(nèi)的服務(wù)器內(nèi)，可以方便有關(guān)機關(guān)調(diào)查取證，以較好的執(zhí)法效果來救助受害者、打擊網(wǎng)絡(luò)犯罪以及監(jiān)管數(shù)據(jù)控制人，從而落實對個人信息、重要行業(yè)數(shù)據(jù)的保護以及涉及國防安全、公共基礎(chǔ)服務(wù)數(shù)據(jù)的保護。

數(shù)據(jù)本地化能夠促進信息產(chǎn)業(yè)的發(fā)展。數(shù)字經(jīng)濟的發(fā)展離不開基礎(chǔ)設(shè)施的創(chuàng)新與升級，而我國數(shù)據(jù)中心的建設(shè)正在朝著大型化、模塊化、綠色化方向發(fā)展，以更為節(jié)能、高效的方式推動我國信息產(chǎn)業(yè)的發(fā)展[17]。數(shù)據(jù)本地化能吸引投資，帶動當(dāng)?shù)亟?jīng)濟的發(fā)展，例如蘋果公司與貴州的云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司合作建設(shè)的數(shù)據(jù)中心預(yù)計在貴州投資達10億美元。不難看出，數(shù)據(jù)主權(quán)的行使本質(zhì)上需要依賴國內(nèi)發(fā)達的信息產(chǎn)業(yè)，美國的?數(shù)字霸權(quán)?所倚仗的正是數(shù)字企業(yè)在世界市場的主導(dǎo)地位。只有數(shù)字經(jīng)濟的競爭力不斷得到提高，才能從根本上保障數(shù)據(jù)主權(quán)。

4 完善我國數(shù)據(jù)本地化措施的建議

我國數(shù)據(jù)本地化的規(guī)定主要在《網(wǎng)絡(luò)安全法》以及金融、醫(yī)療健康和交通等行業(yè)條例中。其中《網(wǎng)絡(luò)安全法》第37條規(guī)定：?關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。?2017年4月11日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（簡稱《評估辦法》），將本地化措施的對象擴大到所有網(wǎng)絡(luò)運營者收集的數(shù)據(jù)。同年5月27日，全國信息安全標準化技術(shù)委員會發(fā)布《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》（簡稱《評估指南》），明確了個人信息、個人敏感信息、重要數(shù)據(jù)等相關(guān)概念，并詳細列舉了重要數(shù)據(jù)的具體范圍。根據(jù)國內(nèi)外數(shù)據(jù)本地化的立法經(jīng)驗，本文針對完善我國數(shù)據(jù)本地化制度的幾個方面提出建議。

4.1 重要數(shù)據(jù)出境

第一，封閉式列舉需要行業(yè)主管和監(jiān)管部門安全評估的范圍。根據(jù)《評估辦法》，數(shù)量超過1000GB的數(shù)據(jù)；包含核設(shè)施、化學(xué)生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境以及敏感地理信息數(shù)據(jù)等；包含關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)漏洞、安全防護等網(wǎng)絡(luò)安全信息；關(guān)鍵信息基礎(chǔ)設(shè)施運營者向境外提供個人信息和重要數(shù)據(jù)以及其他可能影響國家安全和社會公共利益的，行業(yè)主管和監(jiān)管部門認為應(yīng)該評估的數(shù)據(jù)，都需要經(jīng)批準出境。列舉方式可以給網(wǎng)絡(luò)運營者明確的指引，使其能夠迅速地篩選需要提交給相關(guān)部門進行安全評估的重要數(shù)據(jù)。然而《評估辦法》中的開放性條款，即?行業(yè)主管和監(jiān)管部門認為應(yīng)該評估?一條，則可能降低數(shù)據(jù)本地化措施的預(yù)見性，從而對數(shù)字企業(yè)的運營造成不利后果。因此，應(yīng)當(dāng)采用封閉式的列舉方法將行政部門的審查權(quán)限制在具體的情形內(nèi)，使網(wǎng)絡(luò)運營者可以清晰地預(yù)見措施實施的后果以調(diào)整經(jīng)營策略。

第二，減輕網(wǎng)絡(luò)運營者自我評估的義務(wù)?！对u估指南》列舉的近30種重要數(shù)據(jù)都需要經(jīng)過網(wǎng)絡(luò)運營者自我評估數(shù)據(jù)出境的合法性、正當(dāng)性與風(fēng)險可控。參考國外立法對數(shù)據(jù)控制人義務(wù)的規(guī)定，歐盟與加拿大在規(guī)定數(shù)據(jù)控制人跨境轉(zhuǎn)移數(shù)據(jù)的義務(wù)時比較注重安全保障，即數(shù)據(jù)控制人在跨境傳輸時應(yīng)當(dāng)確保數(shù)據(jù)接收方能夠提供相同程度的保護。我國重要數(shù)據(jù)的出境限制目的在于維護國家安全、經(jīng)濟發(fā)展與社會公共利益，與國外數(shù)據(jù)本地化的對象主要是個人信息有所不同，因此對網(wǎng)絡(luò)運營者的評估義務(wù)添加合法性要件具有必要性。但《評估辦法》里要求網(wǎng)絡(luò)運營者評估的范圍超出了合法性與安全保障等內(nèi)容，網(wǎng)絡(luò)運營者甚至要評估重要數(shù)據(jù)可能對國家安全和公共利益的嚴重影響以及個人信息的敏感度等問題。重要數(shù)據(jù)出境是否會對國家安全造成影響應(yīng)當(dāng)由行使數(shù)據(jù)主權(quán)的政府相關(guān)部門確定，個人信息的敏感性應(yīng)當(dāng)由數(shù)據(jù)主體具體判斷，而網(wǎng)絡(luò)運營者缺乏相關(guān)的能力和權(quán)限對數(shù)據(jù)進行實質(zhì)性的審核。因此，建議將自我評估的范圍限定在合法性和安全保障兩方面，以減少網(wǎng)絡(luò)運營者的評估負擔(dān)。

4.2 個人信息出境

第一，對于個人信息的出境保護，需要在跨境數(shù)據(jù)傳輸法律體系中建立獨立的個人信息分類。將數(shù)據(jù)類型化并區(qū)分限制程度可以有效增強信息安全保護的力度和提高信息傳輸?shù)男蔥18]。例如印度2019年版《個人數(shù)據(jù)保護法（草案）》將信息分為個人敏感信息、關(guān)鍵個人信息和普通個人信息，對普通個人信息不做跨境傳輸?shù)南拗?，對關(guān)鍵個人信息和個人敏感信息則有相對應(yīng)的嚴格限制措施。目前我國數(shù)據(jù)出境法律體系只是將個人信息的敏感度作為出境安全評估的一個要素，并將其交給相關(guān)部門和網(wǎng)絡(luò)運營者進行判斷。雖然《信息安全技術(shù)個人信息安全規(guī)范》對個人信息、個人敏感信息等概念通過列舉的方式作了明確限定，但該規(guī)范尚未明確其效力僅適用于境內(nèi)數(shù)據(jù)傳輸亦或是統(tǒng)一適用于境內(nèi)和境外。對此，建議在境內(nèi)和境外數(shù)據(jù)傳輸場景下分別建立個人信息分類體系。首先，這是因為個人信息的敏感度具有?相對性?，即部分信息在境內(nèi)傳輸場景下可能敏感度較低，但在境外傳輸時敏感度較高，例如《評估辦法》將數(shù)量作為個人信息敏感度評估的一個重要指標，即使普通的個人信息含有或累計含有50萬人以上時也應(yīng)當(dāng)視為敏感度較高。其次，數(shù)據(jù)境內(nèi)傳輸?shù)墓芸仉y度較低，可以限縮個人敏感類信息的范圍以放寬個人信息的流動，以此實現(xiàn)數(shù)據(jù)自由化對經(jīng)濟發(fā)展的服務(wù)功能；但數(shù)據(jù)跨境傳輸方面則優(yōu)先考慮安全因素，可以適當(dāng)擴大個人敏感信息的范圍以提高個人信息跨境傳輸?shù)陌踩?。所以如果對個人信息的分類做出統(tǒng)一標準則難以兼顧境內(nèi)數(shù)據(jù)傳輸?shù)慕?jīng)濟效益最大化目標和跨境數(shù)據(jù)傳輸?shù)陌踩Ｗo目標。

第二，在個人信息分類的基礎(chǔ)上保持、擴大數(shù)據(jù)主體在跨境傳輸方面的主導(dǎo)權(quán)。數(shù)據(jù)權(quán)利主要是國家依照數(shù)據(jù)主權(quán)對本國數(shù)據(jù)的管理、利用和數(shù)據(jù)主體對個人信息的決定權(quán)。隨著美國《消費者隱私權(quán)利法案（草案）》的出臺，數(shù)據(jù)主體對個人信息的處置權(quán)受到了挑戰(zhàn)，有觀點認為以?知情同意?為核心的傳統(tǒng)數(shù)據(jù)保護架構(gòu)馬上要被以?場景?和?風(fēng)險評估?的方式取代[19]。其主要理由為個人同意方式效率過低而且網(wǎng)絡(luò)運營者常以格式條款強迫消費者同意信息獲取，而讓網(wǎng)絡(luò)運營商依據(jù)?場景?判斷信息的敏感度更加符合個人敏感信息的?相對性?特點。但此舉事實上是將信息獲取和處理的自由裁量權(quán)交給了網(wǎng)絡(luò)運營者，削弱了作為數(shù)據(jù)主體的消費者對個人信息處置的決定權(quán)，這與美國一直倡導(dǎo)的信息數(shù)據(jù)自由化理念相符合，但與采取數(shù)據(jù)本地化措施而對跨境數(shù)據(jù)傳輸持保守態(tài)度國家的政策理念并不符合。與美國目前讓網(wǎng)絡(luò)經(jīng)營者依據(jù)?場景?判斷信息的敏感度不同，我國目前的個人敏感信息采用列舉方式，這種方式的優(yōu)點在于方便網(wǎng)絡(luò)經(jīng)營者明確何種個人信息為敏感信息，但其缺點在于忽視了個人敏感信息的?相對性?[20]。然而，與其將難以判斷性質(zhì)的個人信息交給網(wǎng)絡(luò)經(jīng)營者來認定其敏感度，不如讓數(shù)據(jù)主體來認定，畢竟信息的敏感度直接取決于數(shù)據(jù)主體的主觀意志。再者，美國《消費者隱私權(quán)利法案（草案）》中以?場景?為因素讓數(shù)據(jù)控制人判斷信息敏感度的方式主要運用于數(shù)據(jù)收集階段，在境內(nèi)通過該措施可以提升網(wǎng)絡(luò)運營者的運行效率，但該種方式在信息跨境數(shù)據(jù)傳輸方面的運用效果還有待觀察。我國未來立法應(yīng)當(dāng)繼續(xù)堅定數(shù)據(jù)主體在個人信息出境的主導(dǎo)權(quán)，并對個人信息分類保護。鑒于列舉式方式的優(yōu)點，可以列舉出識別度、穩(wěn)定性和涵蓋度低的能夠完全自由傳輸?shù)囊话銈€人信息（例如個人通信、教育、工作信息等）或在特定條件下不需要限制的個人信息（如第三國或數(shù)據(jù)接收者能提供有效的保護）；所列個人敏感信息的跨境傳輸則需要數(shù)據(jù)主體明確、真實的同意；至于不能明確敏感度的信息，應(yīng)當(dāng)推定其具有敏感度并將決定權(quán)交給數(shù)據(jù)主體。

5 結(jié)語

數(shù)據(jù)本地化為原則、數(shù)據(jù)出境為例外這一基本原則是由當(dāng)前世界經(jīng)濟逆全球化的趨勢所決定的。而在數(shù)據(jù)本地化的浪潮中，我國應(yīng)當(dāng)積極發(fā)揮本地化的制度優(yōu)勢，學(xué)習(xí)各國的立法經(jīng)驗，結(jié)合我國信息產(chǎn)業(yè)發(fā)展的實踐，進一步完善跨境數(shù)據(jù)流動法規(guī)，平衡國家安全與經(jīng)濟發(fā)展的不同政策需求。一方面，強化國家相關(guān)部門的數(shù)據(jù)出境管理職能，牢牢把控數(shù)據(jù)支配權(quán)并堅定、擴大數(shù)據(jù)主體個人信息出境決定權(quán)；另一方面，網(wǎng)絡(luò)運營者應(yīng)提高責(zé)任意識，從整體上確保數(shù)據(jù)接收方對數(shù)據(jù)的保護，而在安全評估方面發(fā)揮非實質(zhì)審查的篩選功能，將重要數(shù)據(jù)和個人信息出境的決定權(quán)交由相關(guān)部門和數(shù)據(jù)主體。