曾磊

摘要：全球互聯(lián)互通背景下數(shù)據(jù)的跨境流動(dòng)是實(shí)現(xiàn)經(jīng)濟(jì)、技術(shù)等全球化均衡發(fā)展的必備要件，同時(shí)數(shù)據(jù)安全亦與國(guó)家安全、個(gè)人隱私等息息相關(guān)，數(shù)據(jù)跨境流動(dòng)的規(guī)制尺度由此成為數(shù)據(jù)安全保障的一個(gè)焦點(diǎn)問(wèn)題。當(dāng)前數(shù)據(jù)跨境流動(dòng)的規(guī)制比較有代表性的有歐洲模式和美國(guó)模式，前者注重個(gè)人隱私和人權(quán)保障，嚴(yán)格限制數(shù)據(jù)在歐盟范圍之外的跨境流動(dòng)；后者倡導(dǎo)數(shù)據(jù)的跨境自由流動(dòng)并不斷拓寬自身在全球范圍內(nèi)的管轄權(quán)。我國(guó)目前已初步建立起以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法（草案）》為主要內(nèi)容的數(shù)據(jù)跨境流動(dòng)規(guī)則。但與前述國(guó)際規(guī)則相比，我國(guó)的數(shù)據(jù)跨境流動(dòng)規(guī)則仍然存在一些問(wèn)題，包括調(diào)整對(duì)象過(guò)于廣泛，未能準(zhǔn)確限定為電子數(shù)據(jù)；數(shù)據(jù)分級(jí)分類制度、跨境流動(dòng)審查規(guī)則不夠具體；數(shù)據(jù)安全保護(hù)環(huán)節(jié)的企業(yè)責(zé)任義務(wù)形式單一等。應(yīng)進(jìn)一步明確數(shù)據(jù)的定義，縮小調(diào)整范圍，將非電子化數(shù)據(jù)排除在數(shù)據(jù)安全法的保護(hù)對(duì)象之外；建立科學(xué)合理的數(shù)據(jù)分級(jí)分類制度以及與國(guó)際規(guī)則接軌的跨境流動(dòng)審查制度；構(gòu)建數(shù)據(jù)安全審查制度，強(qiáng)化企業(yè)守法能力與自我監(jiān)督機(jī)制等，妥善規(guī)制數(shù)據(jù)跨境流動(dòng)問(wèn)題。

關(guān)鍵詞：數(shù)據(jù)；數(shù)據(jù)跨境流動(dòng)；國(guó)際規(guī)則；《數(shù)據(jù)安全法（草案）》

中圖分類號(hào)：F710文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-8266（2021）06-0094-11

基金項(xiàng)目：2021年甘肅省人民檢察院檢察理論研究課題“懲治與預(yù)防網(wǎng)絡(luò)犯罪疑難問(wèn)題研究”（2021-17-3）；2020年度甘肅政法大學(xué)校級(jí)專項(xiàng)項(xiàng)目“習(xí)近平法治思想與馬克思主義法學(xué)理論發(fā)展”（GZF2020XZX08）；2020年度甘肅省高等學(xué)校創(chuàng)新能力提升項(xiàng)目“‘一帶一路’沿線國(guó)家網(wǎng)絡(luò)犯罪合作治理研究”（2020A-090）

（一）數(shù)據(jù)安全問(wèn)題凸顯的歷史脈絡(luò)

互聯(lián)網(wǎng)的前身“阿帕”（ARPA）誕生于1969年的美國(guó)，是美國(guó)高級(jí)研究計(jì)劃署（Advanced Re？ search Project Agency）的簡(jiǎn)稱，最初只服務(wù)于軍用科研，是冷戰(zhàn)時(shí)期美國(guó)為了在科技上取得對(duì)蘇聯(lián)的壓制優(yōu)勢(shì)而誕生的。20世紀(jì)70年代后期互聯(lián)網(wǎng)開(kāi)始轉(zhuǎn)向民用，以IBM（International Business Ma？ chines Corporation）為代表的美國(guó)企業(yè)在全球開(kāi)展跨國(guó)業(yè)務(wù)，每年向全世界出口計(jì)算機(jī)設(shè)備和系統(tǒng)，并發(fā)展成局域網(wǎng)和互聯(lián)網(wǎng)。在此過(guò)程中IBM始終在收集、存儲(chǔ)并跨境轉(zhuǎn)移著龐大的數(shù)據(jù)，繼而掌握大量他國(guó)政府、企業(yè)、科研機(jī)構(gòu)的數(shù)據(jù)與個(gè)人信息。隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)與整個(gè)社會(huì)的融合度與日俱增，截至2020年3月，我國(guó)的網(wǎng)民規(guī)模已經(jīng)突破9億戶。[ 1 ]數(shù)據(jù)的來(lái)源十分廣泛，信息技術(shù)與社會(huì)經(jīng)濟(jì)的交匯融合引發(fā)了數(shù)據(jù)的迅猛增長(zhǎng)，個(gè)人、企業(yè)、移動(dòng)智能終端、傳感器、可穿戴設(shè)備隨時(shí)隨地都產(chǎn)生著大量的數(shù)據(jù)，而信息技術(shù)的迅猛發(fā)展，使這些海量數(shù)據(jù)的收集和儲(chǔ)存變得十分容易。2015年9月國(guó)務(wù)院《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中提到，“數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)正日益對(duì)全球生產(chǎn)、流動(dòng)、分配、消費(fèi)活動(dòng)以及經(jīng)濟(jì)運(yùn)行機(jī)制、社會(huì)生活方式和國(guó)家治理能力產(chǎn)生重要影響”。[ 2 ]2016年3月的“十三五”規(guī)劃綱要也指出“實(shí)施國(guó)家大數(shù)據(jù)戰(zhàn)略”，“把大數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源，全面實(shí)施促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)，加快推動(dòng)數(shù)據(jù)資源共享開(kāi)放和開(kāi)發(fā)應(yīng)用，助力產(chǎn)業(yè)轉(zhuǎn)型升級(jí)和社會(huì)治理創(chuàng)新”。[ 3 ]可見(jiàn)，在大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為全新的生產(chǎn)要素，被視為國(guó)家新型基礎(chǔ)性戰(zhàn)略資源，在促進(jìn)國(guó)民經(jīng)濟(jì)和提升國(guó)家競(jìng)爭(zhēng)力方面發(fā)揮著越來(lái)越重要的作用。大數(shù)據(jù)技術(shù)與數(shù)字經(jīng)濟(jì)價(jià)值的互動(dòng)模式正在多元化發(fā)展，且在“互聯(lián)網(wǎng)+”業(yè)態(tài)模式架構(gòu)下，大數(shù)據(jù)勢(shì)必在網(wǎng)絡(luò)空域的縱深領(lǐng)域有更大的發(fā)展空間。但是，在大數(shù)據(jù)把網(wǎng)絡(luò)空間與現(xiàn)實(shí)世界緊密結(jié)合并為人類帶來(lái)便利的同時(shí)，數(shù)據(jù)的采集、加工、使用、儲(chǔ)存的每個(gè)環(huán)節(jié)都會(huì)產(chǎn)生信息安全漏洞，“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”，數(shù)據(jù)安全問(wèn)題是當(dāng)今世界各國(guó)所面臨的現(xiàn)實(shí)又嚴(yán)峻的挑戰(zhàn)。

（二）數(shù)據(jù)安全與全球發(fā)展的博弈與平衡

在全球化的背景下，大數(shù)據(jù)具有總量大（Vol？ ume）、類型多（Variety）、速度快（Velocity）、易變性（Variability）、價(jià)值性（Value）的5V特性。各類數(shù)據(jù)被跨境收集、存儲(chǔ)、使用和轉(zhuǎn)移已經(jīng)成為常態(tài)。在經(jīng)濟(jì)上，海量高價(jià)值數(shù)據(jù)的快速全球性流動(dòng)有利于生產(chǎn)力的發(fā)展，可促進(jìn)生產(chǎn)效率的提高，改善人民群眾的生活水平；在文化上，數(shù)據(jù)流動(dòng)能使各國(guó)的聯(lián)系更緊密，促進(jìn)文化的交流互通，增進(jìn)各國(guó)人民的友好感情；在安全上，信息情報(bào)的互通有利于各國(guó)通力協(xié)作打擊日益猖獗的國(guó)際犯罪和極端恐怖勢(shì)力，保護(hù)人民群眾的生命財(cái)產(chǎn)安全。

然而，由于不同國(guó)家對(duì)數(shù)據(jù)保護(hù)的現(xiàn)行立法體系規(guī)則具有差異性，數(shù)據(jù)掌控者將數(shù)據(jù)轉(zhuǎn)移至其他國(guó)家的目的有可能是規(guī)避本國(guó)對(duì)數(shù)據(jù)保護(hù)的相關(guān)規(guī)定，造成數(shù)據(jù)濫用并侵害數(shù)據(jù)相關(guān)主體的個(gè)人數(shù)據(jù)權(quán)或者隱私權(quán)；多源信息融合技術(shù)的發(fā)展使國(guó)家秘密與非秘密之間的界限不再清晰，原本不會(huì)給國(guó)家安全造成威脅的個(gè)體數(shù)據(jù)在達(dá)到一定規(guī)模并與其他信息融合、經(jīng)過(guò)處理和分析后，也很有可能對(duì)國(guó)家安全和社會(huì)公共利益造成嚴(yán)重威脅。大數(shù)據(jù)具有類型多和易變性的特點(diǎn)，現(xiàn)有法律規(guī)則體系無(wú)法涵蓋大數(shù)據(jù)時(shí)代的新型數(shù)據(jù)類型；數(shù)據(jù)是信息的形式和載體，信息是數(shù)據(jù)的表達(dá)內(nèi)容，數(shù)據(jù)中蘊(yùn)含的信息通過(guò)信息技術(shù)進(jìn)行提煉而得出。不同國(guó)家的信息技術(shù)水平存在著差異，對(duì)一國(guó)無(wú)價(jià)值的數(shù)據(jù)，其他國(guó)家卻可能提煉出關(guān)乎國(guó)家安全的高價(jià)值信息。

大數(shù)據(jù)時(shí)代數(shù)據(jù)安全面臨的挑戰(zhàn)類型多種多樣，海量的大數(shù)據(jù)具有高價(jià)值性，大數(shù)據(jù)蘊(yùn)含的潛在價(jià)值能為網(wǎng)絡(luò)黑客帶來(lái)巨大的經(jīng)濟(jì)效益。美國(guó)時(shí)代華納公司，全球最大的職業(yè)社交網(wǎng)站領(lǐng)英、雅虎等都被黑客盜取過(guò)海量用戶數(shù)據(jù)[ 4-5 ]，掌握專業(yè)計(jì)算機(jī)技術(shù)的黑客利用各類技術(shù)攻擊各大網(wǎng)站，盜取用戶個(gè)人信息和企業(yè)商業(yè)機(jī)密，謀取巨大的經(jīng)濟(jì)利益。對(duì)于上述問(wèn)題，應(yīng)當(dāng)發(fā)展數(shù)據(jù)技術(shù)，完善相關(guān)立法，對(duì)網(wǎng)絡(luò)平臺(tái)和關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全面保護(hù)，防止網(wǎng)絡(luò)黑客的入侵。合法合規(guī)的數(shù)據(jù)流動(dòng)能夠促進(jìn)社會(huì)經(jīng)濟(jì)的發(fā)展，提高數(shù)據(jù)的收集、存儲(chǔ)、使用和流動(dòng)水平，但數(shù)據(jù)的非法跨境流動(dòng)嚴(yán)重威脅國(guó)家安全、社會(huì)安全與個(gè)人權(quán)益，侵犯國(guó)家網(wǎng)絡(luò)空間主權(quán)。在數(shù)據(jù)跨境流動(dòng)方面，必須正確處理限制數(shù)據(jù)流動(dòng)的尺度問(wèn)題。

（一）數(shù)據(jù)跨境流動(dòng)國(guó)際法律規(guī)制的緣起

20世紀(jì)70年代后期，以IBM為代表的美國(guó)公司依靠技術(shù)和商業(yè)優(yōu)勢(shì)搶占全球計(jì)算機(jī)相關(guān)產(chǎn)業(yè)的半壁江山。1973年，歐洲共同體委員會(huì)（Com？ mission of the European Communities，CEC）指出，在數(shù)據(jù)產(chǎn)業(yè)方面，歐共體內(nèi)部沒(méi)有公司能夠與美國(guó)公司進(jìn)行競(jìng)爭(zhēng)。面對(duì)美國(guó)對(duì)數(shù)據(jù)產(chǎn)業(yè)的壟斷以及歐洲和美國(guó)經(jīng)濟(jì)政治利益的分歧，歐洲各國(guó)紛紛制定法律限制數(shù)據(jù)的跨境轉(zhuǎn)移，同時(shí)加大對(duì)數(shù)據(jù)產(chǎn)業(yè)的投入，期望能建立強(qiáng)大的計(jì)算機(jī)相關(guān)產(chǎn)業(yè)。與我國(guó)以“維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益”為出發(fā)點(diǎn)對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行立法規(guī)制不同，歐洲各國(guó)制定的數(shù)據(jù)保護(hù)法雖然也能起到“維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益”的作用，但他們的首要理由是保護(hù)個(gè)人數(shù)據(jù)，保障個(gè)人隱私權(quán)不受侵犯。

20世紀(jì)70年代開(kāi)始，歐洲各國(guó)掀起數(shù)據(jù)立法浪潮。1970年西德黑森州制定《黑森州數(shù)據(jù)保護(hù)法》，開(kāi)創(chuàng)了世界范圍內(nèi)專門性個(gè)人數(shù)據(jù)保護(hù)法的先河；1973年瑞典出臺(tái)《瑞典數(shù)據(jù)法》；1977年西德制定《聯(lián)邦數(shù)據(jù)保護(hù)法》；1974年法國(guó)出臺(tái)《信息、檔案與自由法》；1984年英國(guó)頒布《英國(guó)數(shù)據(jù)保護(hù)法》。[ 6 ]隨后，丹麥、挪威、奧地利、葡萄牙、西班牙、比利時(shí)、盧森堡等相繼從個(gè)人數(shù)據(jù)保護(hù)的角度出臺(tái)本國(guó)的個(gè)人數(shù)據(jù)保護(hù)法，對(duì)數(shù)據(jù)的跨境流動(dòng)做出限制。這些數(shù)據(jù)保護(hù)法以個(gè)人數(shù)據(jù)保護(hù)為理由切斷了數(shù)據(jù)的正常流動(dòng)，引起了美國(guó)對(duì)數(shù)據(jù)壁壘與數(shù)據(jù)保護(hù)主義的不滿。美國(guó)指責(zé)歐洲各國(guó)限制數(shù)據(jù)跨境流動(dòng)的做法是“以保護(hù)個(gè)人數(shù)據(jù)隱私為借口遏制競(jìng)爭(zhēng)對(duì)手的發(fā)展”，是“經(jīng)濟(jì)保護(hù)主義”，認(rèn)為“民主社會(huì)有著信息跨境自由流動(dòng)的傳統(tǒng)，法律應(yīng)該鼓勵(lì)信息自由獲取并限制信息濫用”。[ 7 ]

數(shù)據(jù)跨境流動(dòng)能夠?yàn)樯鐣?huì)經(jīng)濟(jì)帶來(lái)效益，大數(shù)據(jù)時(shí)代應(yīng)鼓勵(lì)數(shù)據(jù)合法合規(guī)的跨境流動(dòng)，對(duì)數(shù)據(jù)跨境流動(dòng)的限制應(yīng)該把握好尺度。歐洲各國(guó)通過(guò)數(shù)據(jù)立法限制數(shù)據(jù)跨境流動(dòng)的做法雖然確實(shí)削弱了美國(guó)在數(shù)據(jù)產(chǎn)業(yè)方面的壟斷，但也限制了歐洲國(guó)家內(nèi)部的數(shù)據(jù)跨境流動(dòng)，不利于歐洲國(guó)家的社會(huì)經(jīng)濟(jì)發(fā)展。因此，歐盟內(nèi)部不斷檢討和調(diào)試有關(guān)數(shù)據(jù)流動(dòng)的法律，以求在安全和發(fā)展中找到平衡。1980年，經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Co-operation and Development，OECD）通過(guò)《關(guān)于隱私保護(hù)和個(gè)人跨境數(shù)據(jù)轉(zhuǎn)移指南》（Guidelines on Privacy Protection and Personal Cross- border Data Transfer，以下簡(jiǎn)稱《OECD指南》），標(biāo)志著歐盟對(duì)數(shù)據(jù)流動(dòng)立法的進(jìn)一步完善。

（二）《OECD指南》與《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)體保護(hù)公約》

為統(tǒng)一成員國(guó)之間數(shù)據(jù)跨境流動(dòng)的規(guī)則，把握限制數(shù)據(jù)跨境流動(dòng)的尺度，協(xié)調(diào)與確認(rèn)歐盟成員國(guó)內(nèi)部個(gè)人信息和數(shù)據(jù)保護(hù)的基本原則及國(guó)際數(shù)據(jù)跨境流動(dòng)的基本框架，《OECD指南》誕生。《OECD指南》共22條，對(duì)數(shù)據(jù)安全保護(hù)做出了詳細(xì)規(guī)定。首先，《OECD指南》對(duì)數(shù)據(jù)安全保護(hù)的最低標(biāo)準(zhǔn)做出規(guī)定，規(guī)定了成員國(guó)內(nèi)部數(shù)據(jù)處理的原則，如限制收集原則、數(shù)據(jù)質(zhì)量原則、目的明確原則、使用限制原則、安全保障原則、透明原則、個(gè)人參與原則、責(zé)任原則；其次，規(guī)定了成員國(guó)之間的數(shù)據(jù)處理原則，除特殊情況外（其他成員國(guó)對(duì)某一特定類型數(shù)據(jù)的保護(hù)程度低于本國(guó)），成員國(guó)應(yīng)避免以隱私保護(hù)名義立法限制數(shù)據(jù)的自由流動(dòng)。所以，《OECD指南》考慮到了不同情況下數(shù)據(jù)跨境流動(dòng)自由和限制的基本問(wèn)題。

但是，從效力上看，《OECD指南》只是一種推薦性指南，對(duì)各國(guó)沒(méi)有約束力，無(wú)法起到統(tǒng)一成員國(guó)數(shù)據(jù)立法的作用。為真正做到統(tǒng)一歐盟成員國(guó)數(shù)據(jù)保護(hù)立法，歐洲理事會(huì)（Council of Europe）于1981年通過(guò)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)體保護(hù)公約》（Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Da？ ta，以下簡(jiǎn)稱《第108號(hào)公約》）。該公約對(duì)歐盟成員國(guó)具有普遍約束力，是全球范圍內(nèi)第一部對(duì)成員國(guó)具有法律約束力的區(qū)域性公約，它規(guī)定了成員國(guó)之間個(gè)人數(shù)據(jù)的自由流動(dòng)原則（除非另一成員國(guó)對(duì)數(shù)據(jù)保護(hù)的程度低于本國(guó)），保障了歐盟成員國(guó)之間的數(shù)據(jù)自由跨境流動(dòng)。同時(shí)，該公約還對(duì)數(shù)據(jù)由締約國(guó)向非締約國(guó)的單向跨境流動(dòng)做出了規(guī)定，唯有非締約國(guó)對(duì)個(gè)人數(shù)據(jù)提供了適當(dāng)?shù)谋Ｗo(hù)，非締約國(guó)才能正常接收上述數(shù)據(jù)。其中，對(duì)“適當(dāng)保護(hù)”有兩種具體的判斷方式：第一，由締約國(guó)對(duì)非締約國(guó)的立法進(jìn)行評(píng)估；第二；由締約國(guó)對(duì)數(shù)據(jù)跨境轉(zhuǎn)移的合同條款進(jìn)行評(píng)估。以上兩種方式任選其一即可?？梢钥闯?，《第108號(hào)公約》放松了成員國(guó)內(nèi)部數(shù)據(jù)流動(dòng)的限制性規(guī)定，但強(qiáng)化了向成員國(guó)以外流動(dòng)的限制，加深了歐盟國(guó)家與包括美國(guó)在內(nèi)的其他區(qū)域外國(guó)家之間數(shù)據(jù)跨境流動(dòng)的分歧。

（三）《服務(wù)貿(mào)易總協(xié)定》一般例外條款對(duì)數(shù)據(jù)流動(dòng)的法律效果

《OECD指南》和《第108號(hào)公約》是規(guī)定歐盟國(guó)家數(shù)據(jù)安全保護(hù)立法的統(tǒng)一性規(guī)范，在保護(hù)歐盟成員國(guó)之間數(shù)據(jù)自由流動(dòng)、保障成員國(guó)數(shù)據(jù)安全的同時(shí)，加深了歐美之間對(duì)數(shù)據(jù)自由流動(dòng)問(wèn)題的分歧。1995年生效的世界貿(mào)易組織（WTO）框架下的《服務(wù)貿(mào)易總協(xié)定》（General Agreement on Trade in Services，GATS）是以擴(kuò)大國(guó)際服務(wù)貿(mào)易透明度和自由化、促進(jìn)成員國(guó)經(jīng)濟(jì)和發(fā)展中國(guó)家服務(wù)業(yè)發(fā)展為宗旨的協(xié)定，它雖然不是國(guó)際數(shù)據(jù)安全保護(hù)的專門協(xié)定，但在數(shù)據(jù)作為全新生產(chǎn)要素的時(shí)代，數(shù)據(jù)流動(dòng)往往會(huì)對(duì)跨境服務(wù)貿(mào)易產(chǎn)生影響，因此GATS對(duì)歐盟數(shù)據(jù)安全立法具有一定的影響。

跨境服務(wù)貿(mào)易必然容易對(duì)國(guó)家主權(quán)和內(nèi)政產(chǎn)生影響，為了“不在情況相同的國(guó)家間構(gòu)成武斷的或不公正的歧視，或構(gòu)成對(duì)服務(wù)貿(mào)易的變相限制”，GATS第14條對(duì)成員國(guó)可以實(shí)施的措施做了一般例外規(guī)定。該條規(guī)定，為“保護(hù)與個(gè)人資料的處理和散播有關(guān)的個(gè)人隱私以及個(gè)人記錄和賬戶秘密”，成員國(guó)可以對(duì)服務(wù)貿(mào)易進(jìn)行限制。歐盟把GATS的一般例外條款作為其合法限制國(guó)際自由貿(mào)易措施的依據(jù)，以保護(hù)個(gè)人隱私為理由于1995年通過(guò)《數(shù)據(jù)保護(hù)指令》（Data Protection Directive）（以下簡(jiǎn)稱1995年《指令》）限制成員國(guó)數(shù)據(jù)向非成員國(guó)流動(dòng)。

（四）《數(shù)據(jù)保護(hù)指令》與《通用數(shù)據(jù)保護(hù)條例》

1995年《指令》強(qiáng)化了歐盟各國(guó)的個(gè)人數(shù)據(jù)保護(hù)水平，要求各成員國(guó)必須設(shè)立數(shù)據(jù)監(jiān)管部門對(duì)跨境流動(dòng)的數(shù)據(jù)進(jìn)行事前審查和批準(zhǔn)，并要求各成員國(guó)以國(guó)內(nèi)立法的方式對(duì)1995年《指令》的內(nèi)容予以執(zhí)行，該指令同時(shí)也掀起了世界其他國(guó)家數(shù)據(jù)安全立法的浪潮。[ 8 ]

在網(wǎng)絡(luò)技術(shù)代際更新加快的背景下，歐盟對(duì)數(shù)據(jù)流動(dòng)規(guī)制的立法也在迎合這種技術(shù)潮流，2018年生效的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）代替了1995年《指令》，完善了數(shù)據(jù)保護(hù)的基本規(guī)定，繼續(xù)貫徹歐盟對(duì)數(shù)據(jù)跨境流動(dòng)的“內(nèi)松外嚴(yán)”原則。在數(shù)據(jù)跨境流動(dòng)方面，GDPR第五章對(duì)數(shù)據(jù)跨境轉(zhuǎn)移做出專門規(guī)定。第44條強(qiáng)調(diào)若不滿足GDPR的相關(guān)規(guī)定，數(shù)據(jù)控制者不得將數(shù)據(jù)轉(zhuǎn)移至未經(jīng)認(rèn)定的第三國(guó)或者國(guó)際組織，且不得將數(shù)據(jù)從該第三國(guó)或國(guó)際組織轉(zhuǎn)移至另一非經(jīng)認(rèn)定的第三國(guó)或國(guó)際組織。第45條則對(duì)第三國(guó)與國(guó)際組織的資質(zhì)認(rèn)定標(biāo)準(zhǔn)、認(rèn)定后的周期性審查、第三國(guó)或國(guó)際組織經(jīng)認(rèn)定后不再具有認(rèn)定資質(zhì)的情況、補(bǔ)救措施等進(jìn)行了詳細(xì)規(guī)定。此外，未經(jīng)歐盟認(rèn)定而進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移的違法責(zé)任和特殊情況下的數(shù)據(jù)跨境轉(zhuǎn)移也在第五章中有詳細(xì)規(guī)定。

GDPR為個(gè)人數(shù)據(jù)權(quán)利提供了強(qiáng)有力的保護(hù)，有利于防止第三國(guó)或國(guó)際組織由于對(duì)個(gè)人數(shù)據(jù)立法保護(hù)水平差異而造成對(duì)個(gè)人數(shù)據(jù)權(quán)利的侵害，但由于冗雜的認(rèn)定程序以及過(guò)高的標(biāo)準(zhǔn)，至今獲得歐盟充分性認(rèn)證的國(guó)家和地區(qū)只有11個(gè)：加拿大、阿根廷、瑞士、安道爾、法羅群島、澤西島、馬恩島、根西島、新西蘭、以色列、烏拉圭東岸共和國(guó)。[ 9 ]然而在大數(shù)據(jù)時(shí)代，對(duì)數(shù)據(jù)跨境流動(dòng)過(guò)多限制顯然違背全球化的趨勢(shì)與市場(chǎng)規(guī)律。

（五）標(biāo)準(zhǔn)合同條款（SCC）、約束性公司規(guī)制（BCR）與亞太經(jīng)濟(jì)合作組織跨境隱私保護(hù)規(guī)制（CBPR）對(duì)于數(shù)據(jù)流動(dòng)的差異性規(guī)制

GDPR第45條對(duì)第三國(guó)或國(guó)際組織對(duì)數(shù)據(jù)保護(hù)的資質(zhì)認(rèn)定規(guī)定了三種標(biāo)準(zhǔn)。第一，第三國(guó)或國(guó)際組織的法制水平，在數(shù)據(jù)安全保護(hù)的立法、執(zhí)法與司法環(huán)節(jié)是否能夠切實(shí)保障基本自由和人權(quán)。第二，在國(guó)際組織是主體的情況下，第三國(guó)必須具有能夠保證數(shù)據(jù)保護(hù)規(guī)則施行的獨(dú)立監(jiān)管機(jī)構(gòu)，幫助數(shù)據(jù)主體合法行使權(quán)利，推動(dòng)數(shù)據(jù)主體與其他成員國(guó)監(jiān)管機(jī)構(gòu)進(jìn)行合作。第三，第三國(guó)或國(guó)際組織愿意承擔(dān)已加入的數(shù)據(jù)安全保護(hù)公約所規(guī)定的法律責(zé)任。由于滿足該條的國(guó)家和地區(qū)寥寥無(wú)幾，所以如果滿足1995年《指令》第26條與GDPR第46條的規(guī)定，在數(shù)據(jù)主體明確表示同意、傳輸數(shù)據(jù)為合同履行所必需且該合同是為數(shù)據(jù)主體的利益或保護(hù)重大公共利益的情況下，沒(méi)有被認(rèn)定為具有充分保護(hù)水平的國(guó)家和地區(qū)，如果滿足歐盟委員會(huì)的標(biāo)準(zhǔn)合同條款（Standard Con？ tractual Clause，SCC）或約束性公司規(guī)則（Binding Corporate Rules，BCR），歐盟成員國(guó)也可以向其傳輸個(gè)人數(shù)據(jù)。

SCC是指歐盟企業(yè)跨境傳輸個(gè)人數(shù)據(jù)時(shí)，為保證能讓第三國(guó)或地區(qū)按照歐盟標(biāo)準(zhǔn)保護(hù)個(gè)人數(shù)據(jù)而簽訂的合同，在每次進(jìn)行數(shù)據(jù)傳輸時(shí)都必須簽訂該合同。BCR則免去了重復(fù)簽訂合同的麻煩。BCR是專門針對(duì)總公司或者子公司在歐盟區(qū)域內(nèi)的跨國(guó)公司的規(guī)則體系，目的是避免位于歐盟的跨國(guó)公司向歐洲之外的分支機(jī)構(gòu)傳輸信息數(shù)據(jù)所產(chǎn)生的問(wèn)題。一般情況下，向歐盟以外沒(méi)有通過(guò)歐盟認(rèn)定的國(guó)家或地區(qū)傳輸數(shù)據(jù)信息時(shí)，按照規(guī)定簽訂標(biāo)準(zhǔn)合同條款即可，但如果總公司或者子公司處于歐盟區(qū)域內(nèi)，跨國(guó)公司集團(tuán)內(nèi)的數(shù)據(jù)傳輸必然十分頻繁，每次都簽訂標(biāo)準(zhǔn)合同條款顯然會(huì)降低生產(chǎn)效率，加重企業(yè)負(fù)擔(dān)，因此跨國(guó)公司集團(tuán)內(nèi)部需要按照GDPR的規(guī)定制定公司內(nèi)部的約束性公司規(guī)則，并提交歐盟審批，審批通過(guò)后不再需要簽訂標(biāo)準(zhǔn)合同條款。

亞洲太平洋經(jīng)濟(jì)合作組織跨境隱私保護(hù)規(guī)則（Asia- Pacific Economic Cooperation Cross- Border Privacy Rules，CBPR）與BCR具有相似性，都是針對(duì)自愿加入相關(guān)規(guī)則的跨國(guó)企業(yè)對(duì)本區(qū)域個(gè)人數(shù)據(jù)的保護(hù)規(guī)則體系，[ 10 ]但CBPR與BCR也存在如下差異性：首先，CBPR的規(guī)范對(duì)象不僅限于亞太區(qū)域內(nèi)符合隱私規(guī)則規(guī)定的企業(yè)，原則上符合條件的企業(yè)都可以加入；其次，與BCR體系下歐盟數(shù)據(jù)保護(hù)當(dāng)局（Data Protection Authority，DPA）對(duì)企業(yè)進(jìn)行監(jiān)管與制裁不同，在CBPR體系下，由本國(guó)的問(wèn)責(zé)代理機(jī)構(gòu)對(duì)企業(yè)進(jìn)行監(jiān)管，本國(guó)的隱私執(zhí)法機(jī)構(gòu)對(duì)企業(yè)違規(guī)行為進(jìn)行制裁；再次，與歐盟不同，亞太經(jīng)合組織沒(méi)有統(tǒng)一的執(zhí)法機(jī)構(gòu)。在BCR體系下，違反數(shù)據(jù)保護(hù)規(guī)則的企業(yè)，由歐盟數(shù)據(jù)保護(hù)當(dāng)局對(duì)其進(jìn)行制裁；在CBPR體系下，違反數(shù)據(jù)保護(hù)規(guī)則的企業(yè)由本國(guó)隱私執(zhí)法機(jī)構(gòu)依照CBPR的規(guī)定對(duì)其進(jìn)行制裁，企業(yè)所屬國(guó)的隱私執(zhí)法機(jī)構(gòu)必須通過(guò)CBPR體系的認(rèn)證。所以，實(shí)踐中企業(yè)申請(qǐng)加入CBPR體系的前提條件是本國(guó)的問(wèn)責(zé)代理機(jī)構(gòu)和隱私執(zhí)法機(jī)構(gòu)通過(guò)了CBPR的認(rèn)證。

（六）總結(jié)

歐盟的GDPR從《OECD指南》逐步發(fā)展而來(lái)，以GATS隱私例外條款為國(guó)際法依據(jù)，建立了一套針對(duì)第三國(guó)家或地區(qū)的資質(zhì)認(rèn)定體系，對(duì)歐盟個(gè)人數(shù)據(jù)信息進(jìn)行保護(hù)，嚴(yán)格限制數(shù)據(jù)的跨境流動(dòng)，保障公民個(gè)人隱私權(quán)與國(guó)家社會(huì)利益。為保障大數(shù)據(jù)時(shí)代數(shù)據(jù)跨境流動(dòng)，促進(jìn)生產(chǎn)力發(fā)展，歐盟的BCR與SCC體系解決了第三國(guó)無(wú)法通過(guò)GDPR評(píng)估時(shí)的數(shù)據(jù)跨境流動(dòng)問(wèn)題。由于不同法域的國(guó)家政治、經(jīng)濟(jì)、文化差異巨大，不同地域的數(shù)據(jù)保護(hù)模式存在著差異，歐盟的BCR和美國(guó)主導(dǎo)下的CB？ PR可被看作不同數(shù)據(jù)保護(hù)模式的延展性成果，將純粹的歐洲保護(hù)模式與純粹的美國(guó)保護(hù)模式進(jìn)行了融合。為進(jìn)一步促進(jìn)數(shù)據(jù)的跨境自由流動(dòng)，2012年歐盟和APEC組成聯(lián)合工作小組，并于2014年制定“BCR規(guī)則體系和CBPR規(guī)則體系共同參考”，在重申兩者體系內(nèi)容的同時(shí)又制定了共同的新標(biāo)準(zhǔn)，以期實(shí)現(xiàn)長(zhǎng)期合作。[ 11 ]

但在實(shí)踐中，GDPR的資質(zhì)認(rèn)定體系存在著諸多問(wèn)題，首先，1995年《指令》生效以來(lái)，通過(guò)認(rèn)定的國(guó)家或地區(qū)寥寥無(wú)幾，從側(cè)面反映出資質(zhì)認(rèn)定條件的不合理；其次，歐盟的某些評(píng)估標(biāo)準(zhǔn)過(guò)于主觀，如GDPR第45條之“法治、對(duì)人權(quán)與基本自由的尊重”被作為評(píng)估標(biāo)準(zhǔn)之一，而具體的法治與人權(quán)的評(píng)價(jià)標(biāo)準(zhǔn)卻不得而知，過(guò)于主觀的評(píng)價(jià)標(biāo)準(zhǔn)容易使之失去公信力。此外，“棱鏡計(jì)劃”曝光后，美國(guó)主導(dǎo)下的CBPR體系能否真正維護(hù)安全的數(shù)據(jù)跨境流動(dòng)也不得而知。

（一）我國(guó)制定數(shù)據(jù)安全法的必要性

從個(gè)人利益角度出發(fā)，“數(shù)據(jù)欺詐與盜竊”已經(jīng)連續(xù)數(shù)年被世界經(jīng)濟(jì)論壇發(fā)布的《全球風(fēng)險(xiǎn)報(bào)告》列為全球十大風(fēng)險(xiǎn)之一。[ 12 ]當(dāng)我們使用微信、微博、抖音等軟件記錄美好生活的同時(shí)，個(gè)人隱私也處于被泄漏的危險(xiǎn)之中，個(gè)人信息如果被泄漏，很有可能被不法分子用于精準(zhǔn)詐騙，[ 13 ]或者再次販賣以謀求巨大的經(jīng)濟(jì)利益。據(jù)公安部消息，2019年，我國(guó)偵破20萬(wàn)起電信網(wǎng)絡(luò)詐騙案件，抓獲犯罪嫌疑人達(dá)16.3萬(wàn)人，分別同比上升52.7%、123.3%，搗毀5 000多個(gè)境內(nèi)詐騙窩點(diǎn)；且互聯(lián)網(wǎng)犯罪呈現(xiàn)出跨國(guó)趨勢(shì)，同年，我國(guó)各地公安機(jī)關(guān)先后21次赴國(guó)外與數(shù)十個(gè)國(guó)家和地區(qū)開(kāi)展警務(wù)執(zhí)法合作，協(xié)同當(dāng)?shù)鼐瘑T搗毀70個(gè)境外詐騙窩點(diǎn)，將4 276名犯罪嫌疑人從境外押解回國(guó)。[ 14 ]由此可見(jiàn)，針對(duì)目前互聯(lián)網(wǎng)犯罪數(shù)量多、損失巨大且呈跨國(guó)性的犯罪趨勢(shì)，數(shù)據(jù)安全保護(hù)至關(guān)重要。

從社會(huì)公共利益的角度出發(fā)，正如習(xí)近平總書記在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上所指出的：金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)動(dòng)的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。[ 15 ]隨著物聯(lián)網(wǎng)的飛速發(fā)展，智能家具家電、無(wú)人駕駛交通工具等人工智能設(shè)備正在普及，但如果有人惡意通過(guò)技術(shù)手段遠(yuǎn)程控制核電站、燃?xì)忾_(kāi)關(guān)、電站、水壩閘門、鐵路道閘、無(wú)人交通工具剎車系統(tǒng)，就極易造成核事故、爆炸、決堤、重大交通事故等，引起無(wú)法挽回的重大經(jīng)濟(jì)損失甚至大規(guī)模公共傷亡事件，造成社會(huì)的動(dòng)蕩與恐慌。防范上述不確定性的危險(xiǎn)，最重要的就是加強(qiáng)數(shù)據(jù)安全保護(hù)。

從國(guó)家安全的角度出發(fā)，20世紀(jì)90年代以來(lái)，我國(guó)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展迎來(lái)了大數(shù)據(jù)時(shí)代，國(guó)際數(shù)據(jù)公司（International Data Corporation，IDC）發(fā)布的《數(shù)字化世界——從邊緣到核心》與《IDC：2025年中國(guó)將擁有全球最大的數(shù)據(jù)圈》白皮書預(yù)測(cè)，2018—2025年中國(guó)的數(shù)據(jù)圈（Data Sphere）①將以30%的年平均增速領(lǐng)先全球，比全球平均增速高3個(gè)百分點(diǎn)；2025年中國(guó)數(shù)據(jù)圈將增至48.6ZB，占全球27.8%，成為最大數(shù)據(jù)圈。[ 16 ]大數(shù)據(jù)與國(guó)家安全密不可分，如此海量的大數(shù)據(jù)，如果沒(méi)有必要的保護(hù)，必然不利于國(guó)家安全。多源信息融合技術(shù)使平時(shí)看似無(wú)用的普通數(shù)據(jù)在一定條件下具備了泄漏國(guó)家機(jī)密的可能，如2018年美軍士兵使用名為Strava的健身軟件健身，由于該軟件有記錄行走路線的功能，結(jié)果意外暴露了其所在軍事基地的位置和基地內(nèi)部結(jié)構(gòu)。[ 17 ]2015年國(guó)務(wù)院發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，肯定了大數(shù)據(jù)的重要性，指出了其在經(jīng)濟(jì)運(yùn)行、社會(huì)生活方式與國(guó)家治理中對(duì)創(chuàng)新企業(yè)組織方式、提高資源重新分配效率、促進(jìn)政府科學(xué)決策與風(fēng)險(xiǎn)預(yù)防水平的重要作用，[ 18 ]確立了大數(shù)據(jù)作為國(guó)家新型基礎(chǔ)性戰(zhàn)略資源的地位。因此，從法律層面對(duì)數(shù)據(jù)安全與發(fā)展進(jìn)行系統(tǒng)性規(guī)制十分重要。

從數(shù)據(jù)主權(quán)的角度出發(fā)，近年來(lái)，放眼國(guó)際社會(huì)，除日益猖獗的跨國(guó)犯罪集團(tuán)與極端恐怖勢(shì)力外，國(guó)際霸權(quán)主義和強(qiáng)權(quán)政治依然盛行，斯諾登披露的“棱鏡計(jì)劃”震撼世界各國(guó)。歐美不斷適用長(zhǎng)臂管轄原則，擴(kuò)張本國(guó)法律的域外效力，美國(guó)、印度等國(guó)無(wú)端對(duì)微信、抖音等我國(guó)信息技術(shù)產(chǎn)業(yè)進(jìn)行打壓。為應(yīng)對(duì)上述情形，我國(guó)應(yīng)通過(guò)數(shù)據(jù)立法，完善數(shù)據(jù)分類分級(jí)制度、數(shù)據(jù)跨境轉(zhuǎn)移制度、重要數(shù)據(jù)保護(hù)制度等，保障我國(guó)數(shù)據(jù)的管轄權(quán)、獨(dú)立權(quán)、防衛(wèi)權(quán)、平等權(quán)不受侵犯。然而作為全世界網(wǎng)民人數(shù)最多的數(shù)據(jù)大國(guó)，[ 19 ]我國(guó)至今還沒(méi)有一部統(tǒng)一的數(shù)據(jù)法規(guī)制數(shù)據(jù)的安全運(yùn)行和流動(dòng)。而其他全球主要經(jīng)濟(jì)體大多已通過(guò)立法的形式對(duì)數(shù)據(jù)相關(guān)權(quán)利進(jìn)行規(guī)制，美國(guó)已經(jīng)把大數(shù)據(jù)視為強(qiáng)化國(guó)家競(jìng)爭(zhēng)力的關(guān)鍵因素之一，英、法等國(guó)不斷推進(jìn)相關(guān)戰(zhàn)略項(xiàng)目來(lái)保護(hù)本國(guó)的網(wǎng)絡(luò)安全，[ 20 ]日本以建設(shè)世界一流的“信息安全先進(jìn)國(guó)家”和“網(wǎng)絡(luò)安全立國(guó)”為國(guó)家戰(zhàn)略目標(biāo)，出臺(tái)了一系列國(guó)家戰(zhàn)略文件；[ 21 ]北約網(wǎng)絡(luò)空間安全框表明，目前世界上有100多個(gè)國(guó)家具備一定的網(wǎng)絡(luò)戰(zhàn)能力，公開(kāi)發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略的國(guó)家達(dá)56個(gè)。[ 22 ]在全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議上，習(xí)近平總書記表示：“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。”[ 15 ]中國(guó)作為數(shù)據(jù)大國(guó)，應(yīng)當(dāng)進(jìn)行統(tǒng)一的數(shù)據(jù)立法，規(guī)范數(shù)據(jù)跨境流動(dòng)行為。

（二）我國(guó)數(shù)據(jù)安全立法現(xiàn)狀

2016年11月7日，我國(guó)頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》），這是我國(guó)第一部關(guān)于網(wǎng)絡(luò)安全的整體性立法。該法第一條規(guī)定：“為了保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展，制定本法。”該法是一部為規(guī)范互聯(lián)網(wǎng)全網(wǎng)體系而制定的法律，大部分是原則性規(guī)定，對(duì)數(shù)據(jù)的規(guī)定并非核心，但有關(guān)數(shù)據(jù)安全的規(guī)定仍然為此后的數(shù)據(jù)安全立法奠定了方向。整體上，該法維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性，防止網(wǎng)絡(luò)數(shù)據(jù)的泄漏或者被竊取、篡改，不準(zhǔn)提供專門用于危害網(wǎng)絡(luò)安全的程序、工具，并且對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施做出了規(guī)定；針對(duì)個(gè)人信息，該法明確網(wǎng)絡(luò)運(yùn)營(yíng)者有保護(hù)用戶數(shù)據(jù)的義務(wù)，應(yīng)合法收集用戶信息，未經(jīng)用戶允許不得泄漏、毀壞、向他人提供個(gè)人信息，有錯(cuò)誤的應(yīng)當(dāng)及時(shí)改正；該法規(guī)定重要數(shù)據(jù)應(yīng)儲(chǔ)存在境內(nèi)，未經(jīng)網(wǎng)信部門或國(guó)務(wù)院有關(guān)部門的安全評(píng)估不得跨境傳輸，并要求建立監(jiān)測(cè)預(yù)警和應(yīng)急處置制度。所以，《網(wǎng)絡(luò)安全法》明確將數(shù)據(jù)作為獨(dú)立的法益進(jìn)行保護(hù)，規(guī)定了公民對(duì)個(gè)人信息的權(quán)利，且首次提到“重要數(shù)據(jù)”這一概念，重要數(shù)據(jù)應(yīng)儲(chǔ)存于境內(nèi)，未經(jīng)審批不得進(jìn)行跨境流動(dòng)。這為以后的《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》（以下簡(jiǎn)稱《數(shù)據(jù)安全法（草案）》）奠定了基礎(chǔ)。

在數(shù)據(jù)安全法缺位的情況下，為保障個(gè)人的數(shù)據(jù)權(quán)益，我國(guó)出臺(tái)了包括《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》等多部法律文件?？傮w來(lái)看，我國(guó)目前的數(shù)據(jù)安全法規(guī)過(guò)于分散化，缺乏體系性，現(xiàn)有涉及個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī)近70部，法律解釋10條，部門規(guī)章近200部，[ 23 ]且大部分是原則性規(guī)定，對(duì)數(shù)據(jù)主體權(quán)利的內(nèi)容、規(guī)制方式以及救濟(jì)途徑都有明顯缺失。[ 24 ]此外，部分地方性法規(guī)和部門規(guī)章之間相互矛盾，與上位法沖突的情況較常見(jiàn)。如2019年10月1日開(kāi)始施行的《貴州省大數(shù)據(jù)安全保障條例》第57條：“違反本條例第二十七條第二款、第二十九條規(guī)定的……情節(jié)嚴(yán)重的，責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓，或者吊銷相關(guān)業(yè)務(wù)許可證、營(yíng)業(yè)執(zhí)照。”該地方政府規(guī)章的內(nèi)容顯然違反了《中華人民共和國(guó)行政處罰法》第11條地方性法規(guī)不可以設(shè)定吊銷營(yíng)業(yè)執(zhí)照的規(guī)定，過(guò)于分散的法規(guī)現(xiàn)狀顯然無(wú)法為數(shù)據(jù)安全提供切實(shí)可靠的法律依據(jù)。

（三）《數(shù)據(jù)安全法（草案）》的法律分析

《數(shù)據(jù)安全法（草案）》目前正處于公開(kāi)征求意見(jiàn)階段，數(shù)據(jù)安全法是數(shù)字安全領(lǐng)域的基礎(chǔ)性法律，[ 25 ]應(yīng)包括數(shù)據(jù)安全與發(fā)展原則、數(shù)據(jù)分級(jí)分類原則、促進(jìn)數(shù)據(jù)跨境安全與自由流動(dòng)、數(shù)據(jù)安全相關(guān)制度、相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放以及相關(guān)違法行為的法律責(zé)任等內(nèi)容。

數(shù)據(jù)安全與發(fā)展原則與數(shù)據(jù)跨境流動(dòng)息息相關(guān)?！稊?shù)據(jù)安全法（草案）》在第二章設(shè)置了“數(shù)據(jù)安全與發(fā)展”專章。數(shù)據(jù)作為國(guó)家基礎(chǔ)性戰(zhàn)略資源，在促進(jìn)國(guó)民經(jīng)濟(jì)發(fā)展和提升國(guó)家國(guó)際競(jìng)爭(zhēng)力方面發(fā)揮著重要的作用。因此，國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新發(fā)展。網(wǎng)絡(luò)安全是國(guó)家安全的基礎(chǔ)，數(shù)據(jù)安全問(wèn)題是世界各國(guó)都面臨的重要問(wèn)題，必須在發(fā)展數(shù)據(jù)技術(shù)的同時(shí)保障數(shù)據(jù)安全。數(shù)據(jù)跨境流動(dòng)必須在“發(fā)展”與“安全”之間找到平衡點(diǎn)，過(guò)度的“發(fā)展”或“安全”都有可能造成國(guó)家、社會(huì)和個(gè)人利益的損害。

數(shù)據(jù)的安全保障是數(shù)據(jù)技術(shù)發(fā)展的前提。《數(shù)據(jù)安全法（草案）》第三章“數(shù)據(jù)安全制度”通過(guò)多種安全制度來(lái)保障數(shù)據(jù)安全。第二十條以數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度以及遭到篡改、泄漏和破壞后對(duì)國(guó)家、社會(huì)、公民、組織的危害程度為劃分標(biāo)準(zhǔn)，建立數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)各行各業(yè)不同重要程度的數(shù)據(jù)進(jìn)行分類分級(jí)，有針對(duì)性地進(jìn)行專門保護(hù)。第二十一條規(guī)定，建立統(tǒng)一高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享和預(yù)警機(jī)制，預(yù)防數(shù)據(jù)遭到篡改、泄漏和破壞，防止損害的發(fā)生。第二十二條規(guī)定，建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，在發(fā)生數(shù)據(jù)安全事件時(shí)，最大程度降低事件造成的社會(huì)危害。第二十三條規(guī)定，建立數(shù)據(jù)安全審查制度，對(duì)可能危害國(guó)家安全的數(shù)據(jù)活動(dòng)進(jìn)行國(guó)家安全審查。第二十四條和第二十五條規(guī)定，對(duì)特定數(shù)據(jù)實(shí)行出口管制，在遭到世界其他國(guó)家的歧視性禁止、限制時(shí)，對(duì)相關(guān)國(guó)家采取相應(yīng)的對(duì)等措施，維護(hù)國(guó)家主權(quán)和尊嚴(yán)。

《數(shù)據(jù)安全法（草案）》第四章通過(guò)對(duì)重要數(shù)據(jù)的處理者以及數(shù)據(jù)安全負(fù)責(zé)人、管理機(jī)構(gòu)課以數(shù)據(jù)安全保護(hù)義務(wù)，明確了責(zé)任主體，以此保證規(guī)定內(nèi)容的落實(shí)。第五章專門對(duì)政務(wù)數(shù)據(jù)進(jìn)行規(guī)定，要求國(guó)家機(jī)關(guān)大力推進(jìn)電子政務(wù)建設(shè)，提高政務(wù)數(shù)據(jù)的科學(xué)性、準(zhǔn)確性、時(shí)效性，更好地發(fā)揮大數(shù)據(jù)對(duì)社會(huì)發(fā)展的促進(jìn)作用；國(guó)家機(jī)關(guān)應(yīng)在法定職責(zé)權(quán)限內(nèi)收集和使用數(shù)據(jù)，避免權(quán)力濫用而對(duì)公民造成危害；國(guó)家機(jī)關(guān)應(yīng)監(jiān)督管理數(shù)據(jù)安全，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)的安全；國(guó)家機(jī)關(guān)應(yīng)遵循公正、公平、便民的原則，依法準(zhǔn)確向公民公開(kāi)相關(guān)政務(wù)數(shù)據(jù)，保障公民知情權(quán)。沒(méi)有履行相關(guān)義務(wù)或者非法從事數(shù)據(jù)活動(dòng)的主體，根據(jù)第六章的規(guī)定承擔(dān)相關(guān)行政責(zé)任或刑事責(zé)任。綜上，《數(shù)據(jù)安全法（草案）》對(duì)數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)分級(jí)分類原則、相關(guān)責(zé)任主體以及法律責(zé)任等方面進(jìn)行了規(guī)定，為數(shù)據(jù)保護(hù)與流動(dòng)確定了基調(diào)。

（一）調(diào)整對(duì)象過(guò)于廣泛

《數(shù)據(jù)安全法（草案）》第三條對(duì)“數(shù)據(jù)”的定義：“本法所稱數(shù)據(jù)，是指任何以電子或者非電子形式對(duì)信息的記錄?！币虼?，《數(shù)據(jù)安全法（草案）》的調(diào)整對(duì)象幾乎涵蓋了所有電子與非電子形式對(duì)信息的記錄，調(diào)整范圍過(guò)于廣泛，超出了該草案的能力范圍。參照《網(wǎng)絡(luò)安全法》第七十六條第四款：“網(wǎng)絡(luò)數(shù)據(jù)，是指通過(guò)網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)”，將《網(wǎng)絡(luò)安全法》調(diào)整的數(shù)據(jù)限定為“電子數(shù)據(jù)”?！洞龠M(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》顯示，“信息技術(shù)與經(jīng)濟(jì)社會(huì)的交匯融合引發(fā)了數(shù)據(jù)迅猛增長(zhǎng)，數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源”。[ 2 ]其中“數(shù)據(jù)迅猛增長(zhǎng)”是由“信息技術(shù)與經(jīng)濟(jì)社會(huì)的交匯融合”而引發(fā)的，“數(shù)據(jù)”產(chǎn)生于“信息技術(shù)”，因而其語(yǔ)義應(yīng)該更偏向于“電子數(shù)據(jù)”。如果法律所調(diào)整的對(duì)象過(guò)寬，其效果必然無(wú)法達(dá)到立法者的意圖，造成立法資源的浪費(fèi)。

（二）操作性不足、實(shí)施空間有限

《數(shù)據(jù)安全法（草案）》還存在其他可操作性差、可實(shí)施性弱的規(guī)定。如第二十條規(guī)定“對(duì)數(shù)據(jù)實(shí)行分級(jí)分類保護(hù)”，然而對(duì)“分級(jí)分類保護(hù)”進(jìn)行描述的條文僅此一處，容易使“分級(jí)分類保護(hù)”無(wú)法發(fā)揮應(yīng)有的作用。在大數(shù)據(jù)戰(zhàn)略下，數(shù)據(jù)雖然是國(guó)家的基礎(chǔ)性戰(zhàn)略資源，但必然存在大量無(wú)價(jià)值的垃圾數(shù)據(jù)，通過(guò)“分級(jí)分類”確定的高價(jià)值重要數(shù)據(jù)才是數(shù)據(jù)安全法的保護(hù)對(duì)象。因此，“分級(jí)分類”制度可謂核心制度，沒(méi)有“分級(jí)分類”制度就無(wú)法界定該法的調(diào)整對(duì)象，也無(wú)法落實(shí)跨境保護(hù)制度與重要數(shù)據(jù)保護(hù)制度等其他制度。因此，應(yīng)設(shè)立專章或者通過(guò)司法解釋對(duì)“數(shù)據(jù)分級(jí)分類制度”進(jìn)行詳細(xì)規(guī)定。另外，同樣是在《數(shù)據(jù)安全法（草案）》第二十條中，有確定重要數(shù)據(jù)目錄、加強(qiáng)對(duì)重要數(shù)據(jù)保護(hù)的規(guī)定，但草案附則中沒(méi)有對(duì)該條中的重要數(shù)據(jù)進(jìn)行解釋。雖然2017年4月11日《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》對(duì)重要數(shù)據(jù)的概念進(jìn)行了界定，但該辦法至今尚未出臺(tái)。欠缺對(duì)重要數(shù)據(jù)這一術(shù)語(yǔ)的界定，不利于確定重要數(shù)據(jù)目錄，亦不利于加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)，這亦是《數(shù)據(jù)安全法（草案）》二審稿操作性不足、實(shí)施空間有限的體現(xiàn)。

（三）原則性條款過(guò)多

2016年的《網(wǎng)絡(luò)安全法》首先規(guī)定了重要數(shù)據(jù)境內(nèi)儲(chǔ)存的原則，《數(shù)據(jù)安全法（草案）》應(yīng)對(duì)數(shù)據(jù)跨境流動(dòng)問(wèn)題做出更詳細(xì)的規(guī)定。然而，《數(shù)據(jù)安全（草案）》與數(shù)據(jù)跨境流動(dòng)相關(guān)的條文僅有四條，且沒(méi)有如何建設(shè)這些制度的具體闡述。其中，第十一條規(guī)定，國(guó)家積極參與數(shù)據(jù)安全國(guó)際規(guī)則的制定，但沒(méi)有明確國(guó)內(nèi)數(shù)據(jù)安全法規(guī)則與國(guó)際數(shù)據(jù)安全法規(guī)則的接軌機(jī)制；第二十四條明確了國(guó)家對(duì)屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制；第三十條是數(shù)據(jù)出境管理與《網(wǎng)絡(luò)安全法》予以銜接的規(guī)定；第三十五條規(guī)定了境外執(zhí)法機(jī)構(gòu)跨境對(duì)我國(guó)數(shù)據(jù)的調(diào)取權(quán)限。另外，《數(shù)據(jù)安全法（草案）》第二十條分級(jí)分類制度、第二十一條風(fēng)險(xiǎn)評(píng)估制度、第二十二條安全應(yīng)急處置機(jī)制、第二十三條數(shù)據(jù)安全審查制度的具體內(nèi)容都不是很明確。立法條文的籠統(tǒng)與模糊，極易導(dǎo)致企業(yè)具體實(shí)踐中的無(wú)所適從和監(jiān)管主體的肆意執(zhí)法。因此，應(yīng)當(dāng)像GDPR與CPBR一樣，對(duì)認(rèn)證標(biāo)準(zhǔn)、數(shù)據(jù)跨境審批機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)等做出詳細(xì)規(guī)定。

（四）數(shù)據(jù)安全保護(hù)環(huán)節(jié)企業(yè)責(zé)任義務(wù)形式單一

實(shí)踐中，一些互聯(lián)網(wǎng)企業(yè)掌握和處理著大量的數(shù)據(jù)資源，因而企業(yè)在維護(hù)數(shù)據(jù)安全方面的責(zé)任不容忽視?！稊?shù)據(jù)安全法（草案）》對(duì)企業(yè)的責(zé)任義務(wù)規(guī)定較為籠統(tǒng)。具體體現(xiàn)在，雖然草案第八條是關(guān)于企業(yè)誠(chéng)實(shí)守信、遵守商業(yè)道德的原則性規(guī)定，但并未具體說(shuō)明企業(yè)在維護(hù)數(shù)據(jù)安全方面具體應(yīng)履行哪些義務(wù)，例如是否需要定期開(kāi)展數(shù)據(jù)安全外部合規(guī)審計(jì)、進(jìn)行企業(yè)內(nèi)部的數(shù)據(jù)安全教育培訓(xùn)等。同時(shí)草案第二十六條雖然有開(kāi)展安全培訓(xùn)的相關(guān)內(nèi)容，但并未將開(kāi)展安全教育的義務(wù)主體明確指向企業(yè)，規(guī)定較為模糊。另外，如果企業(yè)違反了上述原則，現(xiàn)有的《數(shù)據(jù)安全法（草案）》中也欠缺具有針對(duì)性和多樣化的企業(yè)法律責(zé)任形式，如計(jì)入誠(chéng)信檔案、職業(yè)禁止等。綜上，目前《數(shù)據(jù)安全法（草案）》對(duì)于企業(yè)的數(shù)據(jù)安全保護(hù)義務(wù)規(guī)定不夠全面，責(zé)任形式規(guī)定較為單一。應(yīng)創(chuàng)新企業(yè)違法責(zé)任形式，引入信用管理，將企業(yè)違反數(shù)據(jù)安全法的行為納入企業(yè)信用評(píng)級(jí)體系，反向督促企業(yè)加強(qiáng)數(shù)據(jù)安全管理。對(duì)于直接涉及的公司高層和主管人員，可采取職業(yè)禁止的處罰方式，以改善目前草案處罰方式單一無(wú)力的狀況。提升企業(yè)維護(hù)數(shù)據(jù)安全的意識(shí)，防止因數(shù)據(jù)安全事件給國(guó)家、社會(huì)、組織和公民帶來(lái)?yè)p失，真正達(dá)到預(yù)防數(shù)據(jù)違法行為的目的。

（一）明確數(shù)據(jù)定義，縮小調(diào)整范圍

數(shù)據(jù)安全法應(yīng)該對(duì)數(shù)據(jù)做出重新定義，縮小其內(nèi)涵。專門規(guī)范保護(hù)個(gè)人信息的法律《中華人民共和國(guó)個(gè)人信息保護(hù)法》目前正在制定中，將對(duì)個(gè)人信息數(shù)據(jù)的保護(hù)交給該法即可。對(duì)于不關(guān)乎國(guó)家“基礎(chǔ)性戰(zhàn)略資源”的信息數(shù)據(jù)，如企業(yè)商業(yè)機(jī)密等，通過(guò)《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》《中華人民共和國(guó)侵權(quán)責(zé)任法》或者《中華人民共和國(guó)專利法》《中華人民共和國(guó)商標(biāo)法》《中華人民共和國(guó)著作權(quán)法》等法律進(jìn)行調(diào)整即可。

數(shù)據(jù)安全立法要強(qiáng)調(diào)國(guó)家安全、數(shù)據(jù)安全與數(shù)據(jù)流動(dòng)之間的平衡，指導(dǎo)思想是總體國(guó)家安全觀。因此，數(shù)據(jù)安全法中的數(shù)據(jù)內(nèi)涵應(yīng)該被限定為：大數(shù)據(jù)戰(zhàn)略下，通過(guò)數(shù)據(jù)分類分級(jí)制度確定的承載國(guó)家重要利益的作為國(guó)家基礎(chǔ)性戰(zhàn)略資源的數(shù)據(jù)，以及企事業(yè)單位等法人的重要數(shù)據(jù)。對(duì)于哪些屬于上述定義中的數(shù)據(jù)，可以通過(guò)分級(jí)分類制度進(jìn)行判斷。此外，為符合大數(shù)據(jù)時(shí)代潮流，增強(qiáng)法律可操作性，應(yīng)推進(jìn)重要非電子數(shù)據(jù)的電子化，在一定期限后，將非電子化數(shù)據(jù)排除在數(shù)據(jù)安全法的保護(hù)對(duì)象之外。[ 26 ]

（二）完善數(shù)據(jù)跨境流動(dòng)制度

面對(duì)GDPR過(guò)高的充分性認(rèn)證條件，歐盟BCR和美國(guó)主導(dǎo)下的CBPR體系是當(dāng)今世界最主流的兩種數(shù)據(jù)跨境規(guī)則體系。我國(guó)互聯(lián)網(wǎng)發(fā)展晚于歐美，數(shù)據(jù)立法在近幾年才起步，面對(duì)歐美的BCR和CBPR體系，應(yīng)該堅(jiān)持維護(hù)我國(guó)的數(shù)據(jù)自主權(quán)，完善我國(guó)特有的數(shù)據(jù)分級(jí)分類制度，[ 27 ]明確哪些數(shù)據(jù)可以跨境流動(dòng)，哪些數(shù)據(jù)事關(guān)國(guó)家安全不能跨境傳輸，避免審查機(jī)關(guān)對(duì)同一種數(shù)據(jù)的重復(fù)審查，提高工作效率，減輕審查機(jī)關(guān)的負(fù)擔(dān)。借鑒歐美經(jīng)驗(yàn)，制定科學(xué)的數(shù)據(jù)跨境規(guī)則，協(xié)調(diào)數(shù)據(jù)安全與社會(huì)經(jīng)濟(jì)利益的關(guān)系。我國(guó)作為數(shù)據(jù)大國(guó)，應(yīng)積極參與全球數(shù)據(jù)跨境規(guī)則的制定，在全球數(shù)據(jù)戰(zhàn)略中把握先機(jī)。具體來(lái)講，我國(guó)可效仿GDPR第四十四條的規(guī)定，對(duì)第三國(guó)實(shí)施充分性認(rèn)定，禁止向數(shù)據(jù)保護(hù)水平低于我國(guó)的第三國(guó)或國(guó)際組織進(jìn)行數(shù)據(jù)跨境流動(dòng)。同時(shí)效仿GDPR第四十五條，對(duì)第三國(guó)與國(guó)際組織的資質(zhì)認(rèn)定標(biāo)準(zhǔn)、認(rèn)定后的周期性審查、第三國(guó)或國(guó)際組織經(jīng)認(rèn)定后不再具有認(rèn)定資質(zhì)的情況、補(bǔ)救措施等做出詳細(xì)規(guī)定。對(duì)于未經(jīng)認(rèn)定而進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移的違法責(zé)任，以及特殊情況下未經(jīng)充分性認(rèn)定的數(shù)據(jù)跨境轉(zhuǎn)移特許等內(nèi)容進(jìn)行規(guī)定。為保障我國(guó)企業(yè)數(shù)據(jù)利益，還可靈活借鑒GDPR中的標(biāo)準(zhǔn)合同條款（SCC）和約束性公司規(guī)則（BCR）的規(guī)定，充分保障我國(guó)企業(yè)跨境數(shù)據(jù)流動(dòng)的安全和發(fā)展利益。[ 28 ]除歐盟GDPR外，也可以從美國(guó)主導(dǎo)的APEC跨境隱私規(guī)則（CB？ PR）中吸取經(jīng)驗(yàn)和教訓(xùn)，完善我國(guó)數(shù)據(jù)立法的數(shù)據(jù)跨境流動(dòng)審查制度、重要數(shù)據(jù)境內(nèi)儲(chǔ)存制度以及數(shù)據(jù)主體審核制度，保障我國(guó)數(shù)據(jù)立法的域外效力和數(shù)據(jù)主權(quán)。

（三）完善相關(guān)配套立法，提高數(shù)據(jù)安全法可實(shí)施性

數(shù)據(jù)安全法作為數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)法律，其條文大多為原則性規(guī)定，為之后的立法起指導(dǎo)作用。我國(guó)的數(shù)據(jù)安全立法與歐美相比起步較晚，各項(xiàng)機(jī)制不夠成熟，應(yīng)盡快抓緊數(shù)據(jù)安全法的相關(guān)配套法律法規(guī)的制定工作，提高數(shù)據(jù)安全法的可實(shí)施性。國(guó)際層面，我國(guó)數(shù)據(jù)安全法應(yīng)考慮與國(guó)際社會(huì)現(xiàn)有立法的銜接，明確制度接口，避免出現(xiàn)與國(guó)際社會(huì)現(xiàn)有立法明顯沖突與不協(xié)調(diào)的情形。[ 29 ]同時(shí)，積極利用“一帶一路”倡議、博鰲論壇等國(guó)際平臺(tái)，加強(qiáng)數(shù)據(jù)安全國(guó)際協(xié)調(diào)與合作，通過(guò)數(shù)據(jù)安全保護(hù)多邊合作協(xié)議細(xì)化數(shù)據(jù)安全保護(hù)域外效力。國(guó)內(nèi)層面，首先，應(yīng)厘清目前已有的《中華人民共和國(guó)國(guó)家安全法》（以下簡(jiǎn)稱《國(guó)家安全法》）、《網(wǎng)絡(luò)安全法》與數(shù)據(jù)安全法的關(guān)系，從立法目標(biāo)來(lái)看，它們均是從國(guó)家安全與公共利益出發(fā)，《網(wǎng)絡(luò)安全法》與數(shù)據(jù)安全法是《國(guó)家安全法》在網(wǎng)絡(luò)和數(shù)據(jù)保護(hù)方面的細(xì)化。[ 30 ]此外，目前我國(guó)數(shù)據(jù)安全領(lǐng)域的法規(guī)還包括《中華人民共和國(guó)保守國(guó)家秘密法》《中華人民共和國(guó)對(duì)外合作開(kāi)采海洋石油資源條例》《科學(xué)數(shù)據(jù)管理辦法》《數(shù)據(jù)安全管理辦法》，以及地方性法規(guī)如《貴州省大數(shù)據(jù)安全保障條例》《天津市數(shù)據(jù)安全管理辦法（暫行）》《海南自由貿(mào)易港建設(shè)總體方案》等，這些法規(guī)應(yīng)與即將出臺(tái)的數(shù)據(jù)安全法有效協(xié)調(diào)和銜接。

（四）強(qiáng)化企業(yè)守法能力與自我監(jiān)督機(jī)制

在歐美數(shù)據(jù)跨境規(guī)則體系下，BCR充分發(fā)揮了企業(yè)自我監(jiān)督的機(jī)能。在大數(shù)據(jù)時(shí)代下，面對(duì)海量種類繁多的數(shù)據(jù)，如果不發(fā)揮企業(yè)自我監(jiān)管的機(jī)能，僅靠政府承擔(dān)過(guò)重的監(jiān)管審批職能容易抑制市場(chǎng)的運(yùn)行機(jī)制，不利于數(shù)據(jù)的安全合法跨境流動(dòng)，不利于生產(chǎn)效率的提高。因此應(yīng)注重企業(yè)自我監(jiān)管機(jī)能和國(guó)家監(jiān)管職能的協(xié)調(diào)發(fā)展。[ 31 ]商業(yè)的逐利本質(zhì)決定了企業(yè)在非涉及商業(yè)機(jī)密的數(shù)據(jù)監(jiān)管方面可能欠缺積極性，因?yàn)樗岣吡似髽I(yè)的運(yùn)行成本，此時(shí)就需要完善的措施以加強(qiáng)企業(yè)的自我監(jiān)管。具體來(lái)講，應(yīng)加強(qiáng)數(shù)據(jù)安全保護(hù)法治教育，提高企業(yè)自我監(jiān)管意識(shí)，尤其是對(duì)掌握眾多數(shù)據(jù)資源的互聯(lián)網(wǎng)企業(yè)，應(yīng)推動(dòng)它們積極建立數(shù)據(jù)管理機(jī)構(gòu)。建議在草案中增設(shè)“數(shù)據(jù)安全審查制度”，定期對(duì)企業(yè)數(shù)據(jù)安全管理工作進(jìn)行審查和監(jiān)督。由于數(shù)據(jù)安全法律業(yè)務(wù)不可避免地會(huì)涉及計(jì)算機(jī)行業(yè)相關(guān)知識(shí)，企業(yè)法務(wù)人員必須有意識(shí)地與時(shí)俱進(jìn)。另外，行業(yè)組織要發(fā)揮引領(lǐng)導(dǎo)向作用，充分考慮所屬行業(yè)和領(lǐng)域的專業(yè)性與獨(dú)特性，推動(dòng)企業(yè)建立并完善符合國(guó)家數(shù)據(jù)發(fā)展要求的數(shù)據(jù)管理體系。

在大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全是關(guān)系到國(guó)家安全的重大問(wèn)題，網(wǎng)絡(luò)安全立法一直是我國(guó)各界關(guān)注的焦點(diǎn)。數(shù)據(jù)是大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)的核心要素，在國(guó)家的現(xiàn)代化進(jìn)程中，無(wú)疑是基礎(chǔ)性的戰(zhàn)略資源，且數(shù)據(jù)跨境流動(dòng)呈現(xiàn)出愈來(lái)愈頻繁的趨勢(shì)，因此出臺(tái)數(shù)據(jù)安全法是順應(yīng)大數(shù)據(jù)時(shí)代潮流的必然要求。20世紀(jì)70年代以來(lái)，歐美在保護(hù)數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)跨境流動(dòng)方面不斷摸索，至今已經(jīng)形成了較為成熟的數(shù)據(jù)安全保障體系，包括數(shù)據(jù)跨境流動(dòng)規(guī)則。

我國(guó)自2016年《網(wǎng)絡(luò)安全法》頒布以來(lái)，一系列的網(wǎng)絡(luò)安全立法正在起步，網(wǎng)絡(luò)安全的重要性和網(wǎng)絡(luò)安全立法落后的錯(cuò)位局面也不斷改善。《數(shù)據(jù)安全法（草案）》目前正在全網(wǎng)公開(kāi)征求意見(jiàn)，本文主要從數(shù)據(jù)跨境流動(dòng)的角度介紹了歐美數(shù)據(jù)跨境流動(dòng)的規(guī)則體系，分析《數(shù)據(jù)安全法（草案）》的內(nèi)容，借鑒歐美規(guī)則體系且提出了對(duì)草案優(yōu)化路徑的看法，以期我國(guó)網(wǎng)絡(luò)安全立法盡快跟上世界潮流。

注釋：

①數(shù)據(jù)圈是指每年被創(chuàng)建、采集或復(fù)制的數(shù)據(jù)集合。

參考文獻(xiàn)：

[1]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.第45次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展統(tǒng)計(jì)報(bào)告[R].2020.

[2]中華人民共和國(guó)國(guó)務(wù)院.促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要[EB/ OL].（2015-09-05）[2021-03-22].http：//www.gov.cn/xin？ wen/2015-09/05/content_2925284.htm.

[3]中華人民共和國(guó)國(guó)務(wù)院.中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要[EB/OL].（2016-03-17）[2021- 03- 22].http：//www.gov.cn/xinwen/2016- 03/17/con？ tent_5054992.htm.

[4]2016年十大數(shù)據(jù)泄露事件：社交網(wǎng)絡(luò)成泄漏重災(zāi)區(qū)[EB/ OL].（2016-12-09）[2021-03-22].https：//www.sohu.com/a/ 122021640_526642.

[5]雅虎自曝遭黑客攻擊超15億用戶賬號(hào)信息被盜[EB/ OL].（2016-12-15）[2021-03-22].http：//www.cankaoxiaoxi. com/world/20161215/1522272.shtml.

[6]張金平.跨境數(shù)據(jù)轉(zhuǎn)移的國(guó)際規(guī)制及中國(guó)法律的應(yīng)對(duì)——兼評(píng)我國(guó)《網(wǎng)絡(luò)安全法》上的跨境數(shù)據(jù)轉(zhuǎn)移限制規(guī)則[J].政治與法律，2016（12）：136-154.

[7]李艷華.全球跨境數(shù)據(jù)流動(dòng)的規(guī)制路徑與中國(guó)抉擇[J].時(shí)代法學(xué)，2019（5）：106-116.

[8]程嘯.民法典編纂視野下的個(gè)人信息保護(hù)[J].中國(guó)法學(xué)，2019（4）：26-43.

[9]朱雪忠，代志在.總體國(guó)家安全觀視域下《數(shù)據(jù)安全法》的價(jià)值與體系定位[J].電子政務(wù)，2020（8）：82-92.

[10]王舒毅.日本網(wǎng)絡(luò)安全戰(zhàn)略：發(fā)展、特點(diǎn)及借鑒[J].中國(guó)行政管理，2015（1）：152-156.

[11]沈昌祥.網(wǎng)絡(luò)空間安全戰(zhàn)略思考與啟示[J].金融電子化，2014（6）：11-13.

[12]WORLD ECONOMIC FORUM.The global risks report 2020[EB/OL].（2020-01-15）[2021-02-09].https：//www. weforum.org/reports/the-global-risks-re-port-2020.pdf.

[13]王春暉.聚焦《數(shù)據(jù)安全法（草案）》[N].人民郵電，2020-07-24（008）.

[14]朱曉娟.論跨境電商中個(gè)人信息保護(hù)的制度構(gòu)建與完善[J].法學(xué)雜志，2021（2）：87-96.

[15]習(xí)近平.在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[EB/ OL].（2016-04-19）[2021-03-21].http：//www.xinhuanet. com/politics/2016-04/25/c_1118731175.htm.

[16]IDC：預(yù)計(jì)到2025年中國(guó)將擁有全球最大數(shù)據(jù)圈[EB/ OL].（2019-02-22）[2021-03-22].http：//www.sohu.com/a/ 296399140_100117963.

[17]鄧崧，黃嵐，馬步濤.基于數(shù)據(jù)主權(quán)的數(shù)據(jù)跨境管理比較研究[J/OL].情報(bào)雜志（2021-04-29）[2021-05-12]. http：//kns.cnki.net/kcms/detail/61.1167.G3.20210429.134 2.002.html.

[18]王中美.跨境數(shù)據(jù)流動(dòng)的全球治理框架：分歧與妥協(xié)[J].國(guó)際經(jīng)貿(mào)探索，2021（4）：98-112.

[19]洪延青.推進(jìn)“一帶一路”數(shù)據(jù)跨境流動(dòng)的中國(guó)方案——以美歐范式為背景的展開(kāi)[J].中國(guó)法律評(píng)論，2021（2）：30-42.

[20]周念利，姚亭亭.數(shù)據(jù)跨境流動(dòng)限制性措施對(duì)數(shù)字貿(mào)易出口技術(shù)復(fù)雜度影響的經(jīng)驗(yàn)研究[J].廣東財(cái)經(jīng)大學(xué)學(xué)報(bào)，2021（2）：4-15.

[21]劉典.全球數(shù)字貿(mào)易的格局演進(jìn)、發(fā)展趨勢(shì)與中國(guó)應(yīng)對(duì)——基于跨境數(shù)據(jù)流動(dòng)規(guī)制的視角[J].學(xué)術(shù)論壇，2021（1）：95-104.

[22]許可.自由與安全：數(shù)據(jù)跨境流動(dòng)的中國(guó)方案[J].環(huán)球法律評(píng)論，2021（1）：22-37.

[23]馬其家，李曉楠.論我國(guó)數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則的構(gòu)建[J].法治研究，2021（1）：91-101.

[24]薛亦颯.多層次數(shù)據(jù)出境體系構(gòu)建與數(shù)據(jù)流動(dòng)自由的實(shí)現(xiàn)——以實(shí)質(zhì)性審查制變革為起點(diǎn)[J].西北民族大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2020（6）：64-74.

[25]時(shí)業(yè)偉.跨境數(shù)據(jù)流動(dòng)中的國(guó)際貿(mào)易規(guī)則：規(guī)制、兼容與發(fā)展[J].比較法研究，2020（4）：173-184.

[26]翁國(guó)民，宋麗.數(shù)據(jù)跨境傳輸?shù)姆梢?guī)制[J].浙江大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2020（2）：38-53.

[27]許多奇.論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué)，2020（2）：185-197.

[28]葉開(kāi)儒.數(shù)據(jù)跨境流動(dòng)規(guī)制中的“長(zhǎng)臂管轄”——對(duì)歐盟GDPR的原旨主義考察[J].法學(xué)評(píng)論，2020（1）：106-117.

[29]張生.國(guó)際投資法制框架下的跨境數(shù)據(jù)流動(dòng)：保護(hù)、例外和挑戰(zhàn)[J].當(dāng)代法學(xué)，2019（5）：148-160.

[30]鄒軍.基于歐盟《通用數(shù)據(jù)保護(hù)條例》的個(gè)人數(shù)據(jù)跨境流動(dòng)規(guī)制機(jī)制研究[J].新聞大學(xué)，2019（12）：16-27.

[31]田曉萍.貿(mào)易壁壘視角下的歐盟《一般數(shù)據(jù)保護(hù)條例》[J].政法論叢，2019（4）：123-135.

責(zé)任編輯：方程

The Current Situation of Legal Regulation of Cross-border Data Flow and the Countermeasures

——from the Perspective of International Rules and the Data Security Law（Draft）

ZENG Lei

（Law School，Gansu University of Political Science and Law，Lanzhou 730070，Gansu，China）

Abstract：In the context of global connectivity，cross-border data flow is an essential element to realize the balanced development of economic and technological globalization. At the same time，data security is closely related to national security，personal privacy，etc.，and the regulatory scale of cross-border data flow has become a focus issue of data security. At present，the representative of cross-border data flows regulation is European model and American model. The European model focuses on personal privacy and human rights protections，and severely restricts the cross-border data flow beyond the European Union；and the American model advocates the free cross-border data flow and continues to broaden its global jurisdiction. China has now initially established the rules of cross-border data flow taking the Cyber Security Law and the Data Security Law（draft）as the main content. However，compared with the above-mentioned international rules，there are still some problems with China’s rules concerning cross-border data flow，such as the too broad adjustment object that cannot be accurately limited to electronic data，and so on. We should，first，further clarify the definition of data，narrow the adjustment scope，and exclude the non-electronic data from the protection object of data security law；second，we should establish a scientific and reasonable data classification system and a cross-border flow review system in line with international rules；and third，we should establish a“data security audit system”to strengthen the enterprise’s compliance with the law and self-monitoring mechanism，so as to properly regulate the cross-border data flow.

Key words：data；cross-border data flow；international rules；Data Security Law（draft）