文 | 阿文 知產(chǎn)財(cái)經(jīng)全媒體

　　1月4日至1月10日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）協(xié)調(diào)基礎(chǔ)電信企業(yè)、云服務(wù)商、域名注冊(cè)服務(wù)機(jī)構(gòu)、應(yīng)用商店、各省分中心以及國(guó)際合作組織共處理了網(wǎng)絡(luò)安全事件238起，其中跨境網(wǎng)絡(luò)安全事件102起。[1]

　　而就在1月10號(hào)，新西蘭中央銀行宣布其基礎(chǔ)設(shè)施遭到網(wǎng)絡(luò)攻擊。根據(jù)該政府組織的說(shuō)法，一個(gè)身份不明的黑客已破壞了其數(shù)據(jù)系統(tǒng)之一，攻擊者可能已訪問(wèn)了商業(yè)和個(gè)人敏感信息。

　　近年來(lái)，隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，數(shù)據(jù)跨境傳輸成為各國(guó)關(guān)注的焦點(diǎn)問(wèn)題，數(shù)據(jù)能否跨境傳輸，如何跨境傳輸，是國(guó)際雙邊、多邊貿(mào)易談判過(guò)程中的新議題。比如，TPP協(xié)定（跨太平洋伙伴關(guān)系協(xié)定）要求締約方在保障個(gè)人信息安全的前提下，確保全球信息和數(shù)據(jù)的自由流動(dòng)，以此促進(jìn)全球數(shù)字貿(mào)易的發(fā)展；RCEP協(xié)定（區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定）中專門(mén)規(guī)定了數(shù)據(jù)跨境傳輸?shù)囊?guī)則，一方面要求締約方認(rèn)識(shí)到各方對(duì)于數(shù)據(jù)跨境傳輸?shù)牟煌O(jiān)管要求，另一方面要求締約方不得阻止出于商業(yè)原因的數(shù)據(jù)跨境傳輸行為。

　　盡管當(dāng)下國(guó)際經(jīng)濟(jì)格局呈現(xiàn)出逆全球化的態(tài)勢(shì)，但數(shù)字經(jīng)濟(jì)全球化仍系主流趨勢(shì)。數(shù)字經(jīng)濟(jì)在面對(duì)不穩(wěn)定的國(guó)際經(jīng)濟(jì)局面時(shí)表現(xiàn)出的強(qiáng)大韌性，特別是在新冠肺炎疫情大流行期間，在線教育、協(xié)同辦公、跨境電商等服務(wù)的廣泛應(yīng)用，對(duì)促進(jìn)各國(guó)經(jīng)濟(jì)穩(wěn)定發(fā)揮了重要作用。[2]目前我國(guó)在數(shù)據(jù)跨境方面的政策還比較薄弱，如何實(shí)現(xiàn)數(shù)據(jù)的安全跨境傳輸是值得探索的命題。

　　價(jià)值與風(fēng)險(xiǎn)并存

　　數(shù)據(jù)跨境傳輸?shù)膬r(jià)值。在全球價(jià)值鏈的數(shù)字化進(jìn)程中，企業(yè)無(wú)論是在研發(fā)、協(xié)調(diào)生產(chǎn)還是客戶覆蓋等方面，都可以利用來(lái)自其全球分支機(jī)構(gòu)的數(shù)據(jù)進(jìn)行分析決策。有效的供應(yīng)鏈管理不僅要求商品、服務(wù)和資金的順暢流動(dòng)，還要求信息的順暢流動(dòng)。[3]上海財(cái)經(jīng)大學(xué)張占江教授在接受《知產(chǎn)財(cái)經(jīng)》記者采訪時(shí)指出，如果把數(shù)據(jù)作為單獨(dú)的生產(chǎn)要素提煉出來(lái)，其價(jià)值在于：首先，數(shù)據(jù)本身如商品一樣流動(dòng)，同時(shí)它還區(qū)別于普通商品，作為一種信息在流動(dòng)，為每一個(gè)市場(chǎng)主體提供了有效的、分散的決策信息；其次，在復(fù)雜的互聯(lián)網(wǎng)經(jīng)濟(jì)背景下，尤其是在跨境貿(mào)易中，消費(fèi)者和經(jīng)營(yíng)者、經(jīng)營(yíng)者和經(jīng)營(yíng)者之間，存在嚴(yán)重的信息不對(duì)稱，而數(shù)據(jù)的跨境傳輸，可以有效克服這種信息不對(duì)稱，提高整體效率；最后，數(shù)據(jù)在全球?qū)用娴墓蚕砼c利用，可以最大程度發(fā)揮數(shù)據(jù)作為生產(chǎn)要素的價(jià)值，降低邊際成本。

　　數(shù)據(jù)跨境傳輸?shù)娘L(fēng)險(xiǎn)。數(shù)據(jù)跨境傳輸?shù)娘L(fēng)險(xiǎn)存在于數(shù)據(jù)的傳輸、存儲(chǔ)和應(yīng)用三個(gè)環(huán)節(jié)：1.傳輸環(huán)節(jié)的風(fēng)險(xiǎn)，數(shù)據(jù)傳輸過(guò)程可能被中斷，數(shù)據(jù)可能被截獲、被篡改，而由于操作環(huán)節(jié)繁多、涉及路徑廣泛，溯源非常困難；2.存儲(chǔ)環(huán)節(jié)的風(fēng)險(xiǎn)，因受限于數(shù)據(jù)跨境后存儲(chǔ)地的網(wǎng)絡(luò)安全技術(shù)水平等因素，容易出現(xiàn)數(shù)據(jù)泄露問(wèn)題；3.應(yīng)用環(huán)節(jié)的風(fēng)險(xiǎn)，跨境數(shù)據(jù)的承載介質(zhì)多樣、呈現(xiàn)形態(tài)各異、應(yīng)用場(chǎng)景廣泛，而數(shù)據(jù)跨境前后國(guó)家/地區(qū)的政策、法律存在差異，甚至存在沖突，導(dǎo)致數(shù)據(jù)所有者、使用者的權(quán)限不明，數(shù)據(jù)可能被濫用，企業(yè)也可能面臨數(shù)據(jù)合規(guī)的挑戰(zhàn)。例如，不法分子利用網(wǎng)站或軟件的漏洞竊取用戶信息、篡改數(shù)據(jù)導(dǎo)致企業(yè)決策錯(cuò)誤，跨國(guó)企業(yè)利用境外政策的差異發(fā)展灰色產(chǎn)業(yè)，逃避法律制裁等。數(shù)據(jù)跨境傳輸過(guò)程中的風(fēng)險(xiǎn)涉及到諸多復(fù)雜的法律問(wèn)題，包括上述數(shù)據(jù)合規(guī)、隱私保護(hù)、國(guó)際法律適用與管轄等等，對(duì)全球數(shù)字貿(mào)易健康有序發(fā)展提出重大挑戰(zhàn)，不同國(guó)家基于不同目標(biāo)對(duì)于數(shù)據(jù)跨境傳輸持不同態(tài)度。

　　各國(guó)/地區(qū)的典型政策

　　各國(guó)/地區(qū)的數(shù)據(jù)跨境傳輸政策，在立法層面上大致有“自由流動(dòng)”和“本地化”兩種治理思路。其中，發(fā)達(dá)國(guó)家傾向采取“自由流動(dòng)”政策，以此獲得更多的數(shù)據(jù)資源，發(fā)展中國(guó)家傾向采取“本土化”政策進(jìn)行防御。

　　美國(guó)以維護(hù)數(shù)字經(jīng)濟(jì)促進(jìn)數(shù)據(jù)流動(dòng)的方式實(shí)現(xiàn)其在數(shù)據(jù)領(lǐng)域的霸權(quán)地位。在近年來(lái)的多邊貿(mào)易談判中，美國(guó)強(qiáng)烈要求將跨境數(shù)據(jù)自由流動(dòng)納入貿(mào)易協(xié)定中，以破除其他國(guó)家的數(shù)據(jù)出境壁壘。2000年，美國(guó)為突破歐盟數(shù)據(jù)保護(hù)的防線，與歐盟簽訂《安全港協(xié)議》，包括Google、Facebook、Microsoft在內(nèi)的5000多家美國(guó)公司在歐洲運(yùn)營(yíng)中受到該協(xié)議的保護(hù)，有權(quán)將歐洲用戶數(shù)據(jù)傳輸至美國(guó)儲(chǔ)存及處理。2018年，美國(guó)、墨西哥、加拿大簽署《美墨加三國(guó)協(xié)議》，規(guī)定“任何締約方不得將金融機(jī)構(gòu)或跨境金融服務(wù)提供者所采集的金融數(shù)據(jù)本地化儲(chǔ)存，作為在境內(nèi)開(kāi)展業(yè)務(wù)的前提條件”。2018年，美國(guó)設(shè)置《澄清境外數(shù)據(jù)的合法使用法案》，規(guī)定美國(guó)電子通信服務(wù)提供商和遠(yuǎn)程計(jì)算機(jī)服務(wù)提供商儲(chǔ)存在境外的數(shù)據(jù)可以被美國(guó)合法地調(diào)取。[4]

　　歐盟以充分性評(píng)議、建立信任機(jī)制等方式維護(hù)其在數(shù)據(jù)立法領(lǐng)域的話語(yǔ)權(quán)。歐盟早在1995年就通過(guò)了《數(shù)據(jù)保護(hù)指令》，其中規(guī)定：企業(yè)若要在歐盟內(nèi)開(kāi)展與個(gè)人數(shù)據(jù)相關(guān)的業(yè)務(wù)，其數(shù)據(jù)的輸入國(guó)必須具備充分的保護(hù)措施。2016年，歐盟發(fā)布《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR），通過(guò)對(duì)個(gè)人信息的進(jìn)一步解釋和遺忘權(quán)、刪除權(quán)、泄露通知等制度的設(shè)計(jì)，增強(qiáng)了數(shù)據(jù)主體對(duì)于數(shù)據(jù)的控制能力，通過(guò)附加條件對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行約束。[5]當(dāng)前，歐盟GDPR在全球范圍的影響力不斷增強(qiáng)，各國(guó)向歐盟標(biāo)準(zhǔn)積極靠攏，日本、韓國(guó)、印度等均積極申請(qǐng)認(rèn)證，其中日本已通過(guò)立法改革和雙邊承諾晉級(jí)白名單。[6]

　　俄羅斯強(qiáng)調(diào)數(shù)據(jù)主權(quán)，以數(shù)據(jù)本地化存儲(chǔ)為原則保護(hù)數(shù)據(jù)安全。2013年“棱鏡門(mén)”事件披露后，俄羅斯開(kāi)始進(jìn)一步加強(qiáng)對(duì)跨境數(shù)據(jù)流動(dòng)的治理。2014年修改了《關(guān)于信息、信息技術(shù)和信息保護(hù)法》，要求互聯(lián)網(wǎng)信息傳播運(yùn)營(yíng)者需要在產(chǎn)生、傳播和處理數(shù)據(jù)的6個(gè)月內(nèi)，將相關(guān)數(shù)據(jù)和主體信息存儲(chǔ)到俄羅斯境內(nèi)，包括文字、語(yǔ)音、圖像等信息。同年出臺(tái)了《個(gè)人信息保護(hù)法》，規(guī)定了本國(guó)或外國(guó)公司在處理有關(guān)俄羅斯公民個(gè)人信息相關(guān)的數(shù)據(jù)時(shí)，其收集、處理存儲(chǔ)過(guò)程必須在俄羅斯境內(nèi)的服務(wù)器上進(jìn)行。[7]

　　我國(guó)的探索與嘗試

　　我國(guó)有關(guān)數(shù)據(jù)跨境傳輸?shù)姆烧撸簭谋镜鼗饺蚧恼咿D(zhuǎn)變。2016年11月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》出臺(tái)，首次以國(guó)家法律形式明確了數(shù)據(jù)跨境傳輸?shù)恼吡?chǎng)，要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)本地化存儲(chǔ)；確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。

　　2017年4月，網(wǎng)信辦發(fā)布《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》（以下簡(jiǎn)稱《評(píng)估辦法》（征求意見(jiàn)稿）），將數(shù)據(jù)出境安全評(píng)估的責(zé)任主體由關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者擴(kuò)大至所有網(wǎng)絡(luò)運(yùn)營(yíng)者，確立了安全評(píng)估的適用范圍、評(píng)估程序、監(jiān)管機(jī)構(gòu)、評(píng)估內(nèi)容等基本規(guī)則，構(gòu)建了個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估的基本框架。2017年5月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（草案）》（以下簡(jiǎn)稱《評(píng)估指南》），對(duì)數(shù)據(jù)出境安全評(píng)估流程、評(píng)估要點(diǎn)、評(píng)估方法、重要數(shù)據(jù)識(shí)別指南等內(nèi)容進(jìn)行了具體規(guī)定。同年8月發(fā)布第二稿，最新發(fā)布的《評(píng)估指南》（征求意見(jiàn)稿）對(duì)境內(nèi)運(yùn)營(yíng)、數(shù)據(jù)出境等概念進(jìn)行了明確，對(duì)安全評(píng)估的流程進(jìn)行了進(jìn)一步細(xì)化。

　　2019年6月發(fā)布的《評(píng)估辦法》（征求意見(jiàn)稿）不僅將適用范圍限制在個(gè)人信息出境，還顯著更新了《評(píng)估辦法》（征求意見(jiàn)稿）及《評(píng)估指南》的制度設(shè)計(jì)。2020年7月，《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》發(fā)布，草案規(guī)定了支持、促進(jìn)數(shù)據(jù)安全與發(fā)展的措施，提升數(shù)據(jù)安全治理和數(shù)據(jù)開(kāi)發(fā)利用水平，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)發(fā)展。同年8月，商務(wù)部發(fā)布《關(guān)于印發(fā)全面深化服務(wù)貿(mào)易創(chuàng)新發(fā)展試點(diǎn)總體方案的通知》，方案確定北京、上海、廣州、深圳等28個(gè)省市（區(qū)域）將作為全面深化試點(diǎn)地區(qū)，試點(diǎn)期限為3年。附表第115項(xiàng)舉措提出，支持試點(diǎn)地區(qū)聚焦集成電路、人工智能、工業(yè)互聯(lián)網(wǎng)、生物醫(yī)藥、總部經(jīng)濟(jì)等重點(diǎn)領(lǐng)域，試點(diǎn)開(kāi)展數(shù)據(jù)跨境流動(dòng)安全評(píng)估，建立數(shù)據(jù)保護(hù)能力認(rèn)證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流動(dòng)和交易風(fēng)險(xiǎn)評(píng)估等數(shù)據(jù)安全管理機(jī)制。鼓勵(lì)有關(guān)試點(diǎn)地區(qū)參與數(shù)字規(guī)則國(guó)際合作，加大對(duì)數(shù)據(jù)的保護(hù)力度。[8]

　　企業(yè)數(shù)據(jù)跨境傳輸?shù)暮弦?guī)要求。盡管上述《評(píng)估辦法》《評(píng)估指南》尚未正式確定，但企業(yè)在生產(chǎn)經(jīng)營(yíng)中確實(shí)存在數(shù)據(jù)跨境傳輸?shù)男枰?，此時(shí)企業(yè)應(yīng)自覺(jué)做好數(shù)據(jù)合規(guī)工作。名創(chuàng)優(yōu)品（廣州）有限責(zé)任公司法務(wù)總監(jiān)馬騰在接受《知產(chǎn)財(cái)經(jīng)》記者采訪時(shí)指出，一般情況下，我國(guó)禁止將在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息傳輸至境外，若由于業(yè)務(wù)原因需要向境外經(jīng)濟(jì)體提供個(gè)人信息時(shí)，企業(yè)須按照有關(guān)部門(mén)制定的辦法和相關(guān)標(biāo)準(zhǔn)進(jìn)行安全評(píng)估，在符合有關(guān)部門(mén)要求后開(kāi)展數(shù)據(jù)跨境傳輸工作。企業(yè)在跨境傳輸個(gè)人信息時(shí)，應(yīng)事先進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估（DPIA），確保接收國(guó)的法律制度可為個(gè)人信息提供適當(dāng)?shù)谋Ｗo(hù)水平，確保接收者具備充分的數(shù)據(jù)安全措施，并具備安全的數(shù)據(jù)傳輸條件；同時(shí)，企業(yè)應(yīng)設(shè)置數(shù)據(jù)保護(hù)專員崗位，數(shù)據(jù)保護(hù)專員應(yīng)基于公司實(shí)際業(yè)務(wù)和信息系統(tǒng)中的個(gè)人信息處理情況，編制并維護(hù)與之相符的《數(shù)據(jù)跨境傳輸記錄表》。

　　數(shù)字經(jīng)濟(jì)的發(fā)展趨勢(shì)要求數(shù)據(jù)在全球范圍內(nèi)進(jìn)行深度循環(huán)共享，產(chǎn)業(yè)界及行業(yè)學(xué)者也呼吁我國(guó)應(yīng)根據(jù)國(guó)情盡快制定高水準(zhǔn)數(shù)據(jù)跨境流動(dòng)規(guī)則，搶占數(shù)字貿(mào)易規(guī)則決策話語(yǔ)權(quán)，既要在復(fù)雜的國(guó)際形式中維護(hù)國(guó)家安全，保護(hù)公民個(gè)人信息，又要鼓勵(lì)數(shù)字產(chǎn)業(yè)合法合規(guī)進(jìn)行跨境數(shù)據(jù)傳輸，最大化發(fā)揮我國(guó)數(shù)字經(jīng)濟(jì)全球領(lǐng)先優(yōu)勢(shì)。[9]

　　注釋：

　　[1]網(wǎng)絡(luò)安全信息與動(dòng)態(tài)周報(bào)2021年第2期，https://www.cert.org.cn/publish/main/upload/File/WEEKLYREPORT202102.pdf，最后訪問(wèn)時(shí)間2021年1月18日。

　　[2]中國(guó)信息通信研究院：《全球數(shù)字經(jīng)濟(jì)新圖景（2020年）》。

　　[3]“跨境數(shù)據(jù)流的經(jīng)濟(jì)效益之美國(guó)的通訊”，https://raysync.cn/news/post-id-312，最后訪問(wèn)時(shí)間2021年1月16日。4孫方江：“跨境數(shù)據(jù)流動(dòng)：數(shù)字經(jīng)濟(jì)下的全球博弈與中國(guó)選擇”，載于《金融監(jiān)管》，2021年第1期。

　　[5]高山行，劉偉奇：“數(shù)據(jù)跨境流動(dòng)規(guī)制及其應(yīng)對(duì)”，載于《西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》，第37卷第2期。

　　[6]孫方江：“跨境數(shù)據(jù)流動(dòng)：數(shù)字經(jīng)濟(jì)下的全球博弈與中國(guó)選擇”，載于《金融監(jiān)管》，2021年第1期。

　　[7]“美歐俄數(shù)據(jù)主權(quán)交鋒：全球化vs本地化”，https://www.thepaper.cn/newsDetail_forward_7526035，最后訪問(wèn)時(shí)間2021年1月7日。 

　　[8]“破冰在即—商務(wù)部確定試點(diǎn)地區(qū)，數(shù)據(jù)跨境傳輸安全評(píng)估機(jī)制有望落地實(shí)施”，https://www.ocecc.cn/xyyw/253110.shtml，最后訪問(wèn)時(shí)間2021年1月17日。

　　[9]孫方江：“跨境數(shù)據(jù)流動(dòng)：數(shù)字經(jīng)濟(jì)下的全球博弈與中國(guó)選擇”，載于《金融監(jiān)管》，2021年第1期。