设为首页 加入收藏 期刊导航 网站地图

Open Journal of Legal Science
Vol. 11  No. 06 ( 2023 ), Article ID: 75544 , 9 pages
10.12677/OJLS.2023.116807

全球数据跨境流动治理研究综述

田应鑫

贵州大学法学院,贵州 贵阳

收稿日期:2023年8月21日;录用日期:2023年8月30日;发布日期:2023年11月17日

摘要

随着信息技术的发展,数据作为一种新型生产要素,已经成为国家最重要的战略资源和核心竞争力的关键要素。近年来,数字经济迅猛发展,数据的跨境流动规模呈现指数型增长,对全球经济的贡献引人瞩目,数据跨境流动治理成为关系各国政治、经济、社会的重要议题。本文运用系统性文献综述的方法,从全球数据跨境流动主要治理模式、主要国家/地区的治理模式、主要贸易协定中相关规定以及我国治理现状等方面阐述全球数据跨境流动治理现状。通过分析发现,现全球主要研究重心在美国及欧盟,多数国家以美国模式或欧盟模式为参照,对我国申请加入的贸易协定研究也较少,且我国规制方式也存在一定缺点。未来研究中应从多个国家的治理模式入手,并针对性地研究我国申请加入的贸易协定,为我国数据跨境流动治理提出有效的建议。

关键词

数据跨境流动,全球治理体系,数据治理

A Review of Research on the Governance of Global Cross-Border Data Flows

Yingxin Tian

Law School of Guizhou University, Guiyang Guizhou

Received: Aug. 21st, 2023; accepted: Aug. 30th, 2023; published: Nov. 17th, 2023

ABSTRACT

With the development of information technology, data, as a new type of production factor, has become the country’s most important strategic resources and key elements of core competitiveness. In recent years, with the rapid development of the digital economy, the scale of cross-border data flow has shown exponential growth, and its contribution to the global economy has attracted attention, and the governance of cross-border data flow has become an important issue related to the politics, economy and society of various countries. This paper uses the method of systematic literature review to explain the governance status of global cross-border data flow from the aspects of the main governance models of global cross-border data flow, the governance models of major countries/regions, the relevant provisions in major trade agreements, and the current governance status of China. Through analysis, it is found that the main research focus of the world is the United States and the European Union, and most countries use the US model or the EU model as a reference, and there is less research on the trade agreements that China has applied to join, and there are also certain shortcomings in China’s regulatory methods. In future research, we should start from the governance models of many countries, and study the trade agreements that China has applied to join, so as to put forward effective suggestions for the governance of cross-border data flow in China.

Keywords:Cross-Border Flow of Data, Global Governance System, Data Governance

Copyright © 2023 by author(s) and Hans Publishers Inc.

This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).

http://creativecommons.org/licenses/by/4.0/

1. 引言

在互联网全球化时代数据跨境流动的趋势不断增强,全球互联互通背景下,数据跨境流动是实现经济全球化、信息技术全球化等均衡发展的必要条件。技术的进步极大地提高了数据跨境流动的效率,但同时大规模、复杂的数据流动也给规制带来了新的挑战,在数据跨境流动带来经济效益的同时诸如国家安全、个人隐私保护等风险问题也不断引发各国的关注。

2. 数据跨境流动的概念界定

对数据跨境流动进行研究首先要界定数据跨境流动的概念。数据跨境流动本身是一个专业跨度非常大的议题,其中的学科背景知识不仅包括国际政治学和国际关系学,还包括计算机和信息技术、法学等学科,在特定的主题讨论中可能还需要一定的经济金融知识背景。国际政治和国际关系视角下的数据跨境流动更关注其治理,以及如何用国际机制应对数据跨境流动治理过程中的规制及政策走向。相较而言,计算机科学视角下的数据跨境流动则偏向于技术方面。而法学视角下的数据跨境流动更侧重于对法律规制的梳理及其法理核心与适用范围 [1] 。在多学科交叉的过程中,从不同学科视角出发形成的定义都是不同的。

1980年,经济合作与发展组织(OECD)发布的《隐私保护与个人数据跨境流通指引》中首次提出了跨境数据流动(Cross-Border Data Flows)的概念,主要是指个人数据跨越国界流动。而在欧盟的《欧盟数据保护指令》中使用的概念则是“个人数据被传输至第三国”。欧洲条约第108号——《有关个人数据自动化处理的个人保护公约》使用的是“个人数据的跨境流动”,并将其定义为“个人数据无论通过哪种介质被跨越国境地进行传输并被自动处理,或是被跨国境采集但可以被认为是用于自动处理”。除了欧盟范围内重要文件中的这些描述以外,亚太经合组织的相关规定中使用的是“跨越国境的数据传输”、“跨越国境的信息流动”、“信息流动并跨越国境”等一系列不同表述的概念,并在文件中混杂使用。除了这些具有相当影响力的国际和区域性条约与框架之外,还有很多国家内部的相关规制对跨境数据流动的概念有着不同的定义和解释,但总体来讲都与以上表述相仿。

早期针对跨境数据流动的研究仅仅针对个人数据,随着数字经济和新型数字技术的不断发展,越来越多的数据类型参与到跨境流动的大潮中。由于全球互联网技术的快速发展,数据的跨境传输变得更频繁,数据跨境流动的概念也在不断发生变化。东方(2019)认为数据跨境流动是指数据跨越国家、地区或国际组织之间的政治边界,并发生数据传输、存储、处理等行为 [2] 。张茉楠(2020)认为数据本身虽未被传输出境,但能够被别国的主体访问也应该被视为数据跨境流动 [3] 。相丽玲、张佳彧(2021)将数据跨境流动定义为:个人数据跨越国境的访问、收集、流动、处理和存储的全过程,认为跨境数据流动有两个特点:一是个人数据必须具有可识别性,即能够被存储和处理;二是数据在不同法域(国家或地区)间进行流动 [4] 。冉从敬、郭潇凡等(2023)认为数据跨境流动是指一国数据可跨越物理边界在境外被访问、获取、传输和操作 [5] 。

目前,国际上对跨境数据流动的概念界定还存在差异,尚未形成统一认知。综合比较来看,国际上对跨境数据流动的内涵与外延界定主要包括两类:一类是数据跨越国界的传输、处理与存储;另一类是尽管数据尚未跨越国界,但能够被第三国主体进行处理。(由于“数据跨境流动”与“跨境数据流动”二者属于同一概念的不同表达,因此本文中不再区分二者的概念,无论使用“数据跨境流动”或“跨境数据流动”均为同一含义。)

3. 国内外对数据跨境流动主要治理模式的研究现状

由于各个国家和地区的科技发展水平、经济实力、产业结构等方面存在巨大的差异,因此其对数据跨境流动的规制诉求也迥然不同,从而形成了各不相同的治理模式。

从研究现状来看,国内外学者对当下全球数据跨境流动的主要治理模式有着不同的观点。黄道丽、何治乐(2017)认为数据跨境流动的立法折射出个人数据安全保护、执法便利提升和国家主权维护等多元诉求,美国和欧盟代表了全球数据跨境流动治理的两大立法范式 [6] 。Clare Sulivan (2018)分析指出当下存在两种治理模式:美国主导的CBPR模式和欧盟的GDPR模式,认为当下欧盟的GDPR模式更适合物联网时代并将继续确立国际数据保护标准 [7] 。胡炜(2018)认为从全球范围上看,当前存在美国商业利益优先理念下的宽松立法、欧盟个人权利优先理念下的严格立法、俄罗斯数据主权优先理念下的本地存取型立法、澳大利亚利益均衡原则下的折中型立法等四种价值选择 [8] 。许多奇(2018)认为目前全球规制跨境数据流动的统一规则尚未形成,现有规则主要以欧美为首的发达国家引领 [9] 。李艳华(2019)认为全球主要形成了美、欧、俄、澳四大国内路径以及美国主导和欧美立法范式融合的国际路径 [10] 。C. Sullivan (2019)认为目前主要存在欧盟和亚太经合组织两种主要跨境数据流动立法模式 [7] 。Robert Walters (2019)认为跨境数据流动的“法律协调和法律趋同不但可以由国际组织推动形成,还可以通过移植不同国家的法律原则形成” [11] 。Suan Ariel Aaronson等人(2019)认为,当下由于美国、中国、欧盟三个数据巨头使用了不同的数据治理方法,与其他国家之间形成了数字鸿沟,给WTO带来了挑战的同时也带来了新的机会 [12] 。MANTELERO A (2021)指出不同优先目标下的区域话语争夺难以形成扩散至全球的数据流动圈,在数据跨境流动监管和地缘政治冲突的背景下,定义一个全球标准比一个黄金标准更重要 [13] 。冯洁菡、周濛(2021)认为不同国家的数据行业发展程度、隐私保护传统以及国家安全观念具有差异性,因此对跨境数据流动进行规制的严格程度有所不同。目前国际社会形成了两种有代表性的跨境数据流动规制方案,一是欧美单边主导的规制方案,二是中国和东盟促成的多元共治的规制方案 [14] 。阙天舒、王子玥(2022)认为各国际行为体虽然已经意识到数据安全治理的重要性,但对全球数据安全治理并未形成统一的治理框架。全球数据安全治理仅仅由单边、双边和多边框架以及贸易规则拼凑而成 [15] 。王燕(2022)认为以美国、欧盟、中国为代表形成了三种不同的跨境数据流动的治理模式,形成了三种不同的跨境数据流动治理价值取向,而这些不同的数据价值观又折射出国家在数字技术和经济发展、国家安全及人权价值方面的不同利益期待。第一种是以美国为代表的商业利益为导向的数据流通自由价值观;第二种是以欧盟为代表的重视个人数据流动风险,以个人数据权利为依托的跨境数据流动限制模式;第三种是以中国为代表的强调以网络主权和国家安全利益为核心的数据流动价值观,对跨境数据流动持保守态度 [16] 。

由于各个国家和地区的科技发展水平不同,利益诉求、数据战略以及经济发展水平等方面存在巨大的差异,在全球难以形成统一的数据跨境流动治理模式。从国内外研究现状来看,如今全球主要形成了三种数据跨境流动的治理模式:数据自由流动模式、数据权利保护模式、数据本地化保护模式。这三种治理模式各有其特色和侧重点,无论哪种治理模式,其主要着眼点均在于如何维护数据保护与数据自由流动之间、数据保护与经济利益之间的平衡。

4. 全球主要国家和地区对数据跨境流动的治理

数据跨境流动会影响到国家安全、经济安全、公民个人数据隐私保护、国家数据战略、国家税收等经济社会发展的多个方面,各个国家和地区根据数字经济发展水平、发展理念、利益诉求等方面的诸多差异,在数据跨境流动治理中存在各自的特点与彼此间的差异。从现有的研究现状来看,国内外对全球数据跨境流动研究的重点多数在美国以及欧盟。

4.1. 美国

美国具有显著的数字竞争优势,为了获得商业利益极力推动数字服务贸易发展,美国提得数据能够在全球市场中自由传输,其在各类双边或多边协议明确表明了立场。如:美国与欧盟签署的《安全港协议》和《隐私盾协议》,两份合作协议均为美国大型互联网跨国企业实现欧洲市场份额提供了便利。美国与墨西哥和加拿大在新一轮谈判协定USMCA中添加了数字贸易章,要求各方能够针对“电子方式的跨境信息传输”实现“跨境数据自由流动”和“非强制数据本地化存储”。美国于2018年出台《澄清域外合法使用数据法案》(简称CLOUD法案),试图利用CLOUD法案打消其他国家采取数据本地化存储的目的,以此获得更多的商业利益。

许多奇(2018)认为美国基于其互联网科技产业在全球的优势地位以及对数据的依赖性,奉行以市场为主导,以行业自律为中心的个人数据保护政策,通过签订双边或多边协议,促进数据跨境自由流动,维护其对数据资源的占有和利用优势,实现经济利益最大化。H. Jacqueline (2018)认为美国在其国内法及自由贸易协定谈判中均主张数据的自由流通,以促进数字经济和技术的发展,避免隐私保护法规对数据施加国别空间身份 [17] 。田晓萍(2019)认为美国为化解欧盟数据立法产生的贸易壁垒,一方面通过双边协议与欧盟达成妥协,另一方面试图通过区域协议与欧盟争夺国际话语权 [18] 。黄海瑛,何梦婷(2019)对美国的CLOUD法案进行了全面分析,深入地解读了CLOUD法案的基本内容、战略目标和规制模式 [19] 。王金照、李广乾等(2020)认为美国的政策主要倾向于数据自由流动,其次兼顾个人隐私保护和敏感数据限制。美国具有全球领先的IT技术和数字经济实力,为了最大化其产业利益,提倡数据能够在全球市场中自由传输 [20] 。Si Chen (2021)认为美国表面上强调数据的跨境自由流动,实际上却实施了损害他国数据主权的强有力的长臂管辖政策 [21] 。洪延青(2021)分析了美国推行《跨境隐私规则》的制度逻辑、实施情况、影响因素等,提出美国从政治经济利益出发,通过推行基于低水平保护的数据跨境流动模式实现数据向美国汇聚,在巩固和强化美国公司对全球数据掌控的同时,压缩了各国自主选择数据保护水平的规制空间 [22] 。冯洁菡、周濛(2021)认为欧美等发达国家基于自身在数字贸易和个人数据保护领域的影响力,主导着目前主流的国际数据流动规则,其中美国强调数据流动自由,欧盟则更注重隐私保护 [15] 。冉从敬、何梦婷等(2021)认为美国是以属人为主、属地为辅的向外扩张管辖模式 [23] 。Yik-Chan Chin、Jingwu Zhao (2022)认为在商业自由的指导下,美国选择积极推动数据的跨境自由流动 [24] 。阙天舒、王子玥(2022)认为美国更倾向于鼓励数据自由流动,减少数据行政干预,体现出“宽松保护”的立法特征。

作为全球互联网起源的美国,从互联网诞生之初就掌握了互联网的主导权。经过几十年的发展,美国在数据主权的建立和保障实践方面已经形成了较为完备的规模和模式,结合其“互联网掌权者”地位,形成了其独特的跨境数据法律监管模式。美国是全球数字产业、互联网发展最为发达的国家,其互联网技术产业发展迅速,英特尔、高通、苹果、Facebook等互联网巨头在全球数字产业中占据了主导地位,从而主导了全球数字经济的发展。作为资本主义联邦制国家,受商业利益优先理念的影响,美国采取了以行业自律和市场调节机制为主、分散立法宽松监管的立法模式,这一理念也体现在跨境数据流动治理领域。

分析国内外对美国数据跨境流动治理的可以得出:美国总体上主张数据自由跨境流动,但在其国内数据外流时却设置了诸多约束机制,表现出典型的双重标准。凭借其全球领先的互联网技术和数字经济实力,美国在全球范围内广泛推行数据自由流动观念,以促进其数字经济的发展,获取数据流动红利。

4.2. 欧盟

以国内外对数据跨境流动领域的研究一部分主要指向美国,而另一部分则指向欧盟。由于欧洲是全球数据跨境流动治理的先驱,早在20世纪70年代,欧洲就诞生了历史上最早的跨境数据流动规制。这与欧洲的历史、经济、文化背景都是密不可分的。欧洲地区国家众多,经济发展水平普遍较高,对数据处理的需求大,畅通的数据流动方式对欧盟数字经济发展十分重要。同时,欧洲以保护个人隐私权利为传统价值,在数据立法中,始终将个人隐私数据保护置于基本人权层面。因此,欧洲需要破除跨境数据流动壁垒,提高区域内跨境数据流动的效率和自由度,同时平衡对个人隐私的保护。因此,跨境数据流动规制最早在欧洲应运而生。欧洲作为跨境数据流动治理的发源地,影响力遍及全球,欧盟更是跨境数据流动治理的先行者,其规制经验对全球范围内的规制框架影响十分深远。2018年正式生效的欧盟《通用数据保护条例》(GDPR)为全球多个国家的数据跨境流动立法提供了范本,被视为目前全球数据跨境流动领域的最高规范。

Aaditya Mattoo、Joshua P. Meltzer (2018)认为在数据跨境流动中,欧盟的GDPR、约束性公司规则(BCRs)和标准合同条款(SCCs)规定较为严格,尤其对发展中国家造成了挑战。欧盟的GDPR在保护个人隐私方面的立法中取得了较大进展,但却使数据的跨境流动变得更加困难 [25] 。许多奇(2018)认为欧盟从人权保护的历史传统出发,将数据权作为一种基本人权,创建了严格限制个人数据跨境流动,以提升数据权保护水平的立法范式。Clare Sulivan (2019)认为欧盟的GDPR模式将继续为全球的数据保护树立标准。田晓萍(2019)认为欧盟GDPR着力于自然人基本权利保护和内部统一市场构建,但对非欧盟国家而言,它具有贸易保护主义的实际效果,构成数字经济时代的新型贸易壁垒。GDPR一系列复杂而周密的制度安排,抬高市场准入门槛,产生扩张性的域外适用,强化了欧盟个人数据保护制度输出的影响力,进而深刻影响国际数据治理格局 [19] 。Si Chen (2021)认为欧盟以倡导数据保护的名义向世界推广欧洲规则,通过技术主权来推进数据主权 [22] 。洪延青(2021)认为目前,欧盟将自己的数据保护模式奉为圭臬,坚持要求其他国家向其看齐,方可与欧盟进行数据流动。杨帆(2022)指出欧盟数据监管模式具有一定的合理性,但也具有局限性 [26] 。梅傲,李淮俊(2023)指出欧盟通过GDPR机制,数据跨境流动体现出“严治理,促自由”的立法特征 [27] 。金晶(2023)指出欧盟数据跨境流动监管表现为两类法律输出途径:① 数据规则的显性输出,以充分性认定和标准合同条款为典型;② 数据标准的隐形输出,以欧洲法院司法审查为代表。认为欧盟模式的全球化表明,数据规则和标准越严格,法律趋同越容易实现,市场才是全球数据监管竞争的底层逻辑 [28] 。

总结国内外对欧盟数据跨境流动领域的研究可以得出:欧盟非常重视数据流动过程中对个人信息的保护,寻求数据流动与数据保护之间的平衡。以《通用数据保护条例》为标志,建立了全球最严格的个人数据保护体系。欧盟数据政策以个人信息保护为主导,同时兼顾有条件的数据流动。欧盟关于跨境数据流动的立场相对保守,采取“内松外严”的政策主张,对外实行严格的个人数据保护规则,对内鼓励数据自由流动和共享,以推动欧盟数字经济发展。

从国内外对全球主要国家的数据跨境流动治理可以看出研究的重心主要在美国以及欧盟,美国代表了数据自由流动的治理模式,欧盟代表了数据权利保护的治理模式。另外还有数据本地化的治理模式,其代表为中国、俄罗斯、印度等发展中国家,但在国内外研究中对中国、俄罗斯等发展中国家数据跨境流动领域的治理模式研究较少。虽然欧美的治理模式比较具有代表性及借鉴意义,但仅针对欧美的模式进行研究也具有相对的局限性。由于世界各国的科技发展水平不同,各国的国情和利益追求等方面也不同,因此从多个国家的治理实践中进行分析研究也是未来在数据跨境流动治理领域的重点。

从我国所处发展阶段来看,欧美的治理模式对我国数据跨境流动领域的治理具有一定的参考价值,但欧美的经济发展水平、科技发展水平等多方面都与我国具有较大差异,因此应当在综合考虑我国国情的情况下对欧美的治理模式进行参考。相较于欧美,俄罗斯、印度等国的数据治理模式与我国较为相近,在参考欧美模式的同时也需要对其他国家的治理模式进行研究,从多国的治理经验中为我国的治理提出有效的建议。此外,还应当对亚洲其他国家诸如日本、韩国、新加坡等国的治理模式进行研究,更全面的完善我国的数据跨境流动领域治理。

5. 对全球主要贸易协定进行的研究

随着科技的发展,数据跨境流动越来越频繁,新近的诸多贸易协定中对数据跨境流动的规定也越来越多,诸如美国与墨西哥和加拿大所签订的《美墨加协定》(USMCA)、欧美《隐私盾协议》以及我国已经加入的《区域全面经济伙伴关系协定》(RCEP)和我国正在申请加入的《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字伙伴关系协定》(DEPA)等诸多贸易协定。

国内诸多学者也对贸易协定中关于数据跨境流动的内容进行了研究。谢永江、朱琳等(2016)研究了美欧《隐私盾协议》对促进欧美间跨境数据流动和商贸往来的积极意义 [29] 。曹杰、王晶(2017)对《隐私盾协议》《安全港协议》和TPP进行了对比研究,认为从这些协议对比预判形成全球统一跨境数据流动规则难点在于建立折中框架使隐私保护与数据自由流动并重、统一碎片化规制提高实施能力以及完善数据收集细则平衡国家安全与个人隐私。在我国加入RCEP后,RCEP第12章“电子商务”原则上不适用RCEP争端解决程序,但允许缔约方选择适用,这引发了中国是否应当同意数据跨境流动条款具有可诉性的讨论 [30] 。赵海乐(2021)认为RCEP数据跨境流动条款中设置的“公共政策例外”与“基本安全利益例外”将为我国数据跨境流动规制措施提供政策空间,但我国仍须以非歧视的方式进行规制,同时对安全评估、关键信息基础设施等规则进一步澄清。此外,承认RCEP数据跨境流动条款可诉性,将有助于我国避免他国的制度性歧视 [31] 。陈寰琦、陆锐盈(2022)指出构建数据安全规则是推进全球数字贸易治理的重要关切。认为中国申请加入DEPA能够推进中国参与国际层面规则构建的进程、完善国内法律法规的有关规制,对中国申请加入CPTPP乃至其他RTAs协议的谈判都有积极作用,能够提高中国在数字贸易治理中的国际影响力 [32] 。王玫黎、陈雨(2022)认为仅就数据跨境流动而言,从对接难度上看,中国现行规则中的大多数都是符合CPTPP设置的标准的。在文本上与CPTPP差距较大的一些限制规则,如数据本土化制度、限制/禁止出境制度等,在利用好并解释好CPTPP自身规则的情况下也存在对接可能,但这以中国完善数据跨境流动细则为根本前提 [33] 。周念利、于美月(2022)对比DEPA、RCEP后提出从整体上看,DEPA在数字贸易治理规则的“广度”和“深度”上均超越了RCEP。与RCEP相比,DEPA引入了“新兴数字技术”“数字身份”“数据创新”“数字包容”等新议题,还在“数据跨境流动和本地化存储”及“数字产品相关规则”等方面进行了深化。中国在与DEPA对接时,应重点关注和应对“数据跨境流动和本地化存储”“数字产品相关规则”“数字贸易便利化”“新兴趋势和技术相关规则”“数据创新与数据公开”“中小企业及数据包容”等六个方面规则所带来的挑战,理性务实地提升我国的数字贸易治理水平 [34] 。徐程锦(2023)认为中国的跨境数据流动制度并非如外界一般认为的普遍设置数据本地化要求或禁止数据出境,制度总体符合CPTPP规则,或可以援引例外规则进行抗辩。与美欧相比,中国的重要数据和数据出境安全评估机制是对现行跨境数据流动制度的创新和必要补充 [35] 。

从研究现状来看,对贸易协定的研究主要集中在对欧美之间贸易协定的研究、对RCEP关于数据跨境流动条款的研究以及对我国规制现状与CPTPP、DEPA等即将加入的贸易协定中规则的适配性研究。由于贸易协定成为了当下全球数据跨境流动治理的重要手段之一,我国也需要调整国内规制模式以加入到贸易协定当中,为我国的数字经济发展创造更好地条件。因此研究重心也应当转向我国已申请加入的CPTPP以及DEPA当中,由于CPTPP被视为当前对数据跨境流动规制最为严格的贸易协定,应当更深入研究CPTPP相关条款并为我国的规制模式提出针对性修改建议。同时DEPA作为全球第一个数字贸易协定,其规则相对其他贸易协定来说具有更强的专业性,因此,更深入地研究DEPA中关于数据跨境流动的条款,对我国数据跨境流动领域的规则制定重要意义。

6. 我国数据跨境流动治理现状

目前,我国关于数据跨境流动的规则主要规定于《网络安全法》、《数据安全法》、《个人信息保护法》三部法律中,我国的数据跨境流动治理模式可总结为:以数据本地化为主、出境安全评估为辅,以数据自由流动为原则的治理模式。由于我国以数据本地化为主,因此对我国数据跨境流动治理的研究主要着眼于数据本地化。国内外关于数据本地化模式的研究主要集中于内涵、类型、局限性以及完善路径。

Anupam (2019)认为数据本地化会侵蚀隐私和安全,同时也会增加国内监控的风险 [36] 。Raj Shekhar、Aman Yuvraj Choudhary (2022)认为“数据本地化”是指限制数据跨越地理边界自由流动的无数政策措施。任何数据本地化措施都应在合法、适当、必要和平衡需求的限制范围内实施。实施数据本地化措施需要考虑四个因素:① 访问范围;② 访问速度;③ 外国报复的风险;④ 由于强监管导致外国企业离开而导致数据丢失的风险 [37] 。范婴(2022)以数据本地化的内涵和模式为切入点,系统分析了中式数据本地化立法背后的基本理念和理论基础 [38] 。张丽、孙菲阳(2022)认为数据本地化是指主权国家通过制定法律或规则限制本国数据向境外流动,要求将数据存储在生成数据的国家/地区内的设备上,其基本的规则是任何本国或者外国公司在采集和存储与个人信息或关键领域相关数据时,必须使用该国境内的服务器。数据本地化监管通常有两种类型的措施:一是要求特定数据存储在境内,出境需经有关部门审批许可;二是部分关键数据只允许存储在境内,禁止出境。前者往往采取清单式管理措施,而后者则常见于涉及重要安全领域的数据 [39] 。

根据现有研究可以得出结论,数据本地化的弊端有:① 数据本地化会抑制数字经济的发展;② 数据本地化不利于企业的发展;③ 数据本地化同样会产生风险。数据本地化的优点有:① 数据本地化能有效维护国家安全;② 数据本地化能提升政府的数据管理能力;③ 数据本地化能有效推动相关产业发展。

综上所述,数据本地化有利有弊,但无论是国家层面,还是个人层面,任由跨境数据自由流动都会产生很多问题。在实践中,需要把握好保护个人隐私、保护国家安全和数据自由跨境流动之间的平衡,就能在保护数据安全的同时,享受数据跨境流动带来的巨大便利。如何找到这一平衡点,已经成为越来越多国家积极探索的关键问题。我国在数据本地化模式中的主要措施就是对数据进行分级分类管理,对重要数据的出境进行安全评估。但目前我国的在数据分级分类管理上的规定较为笼统,在具体操作上具有一定难度,此外,在对出境数据进行安全评估的实施上同样存在缺少具体规定的问题。因此在将来的研究中,应综合分析我国的科技发展现状、我国的国情以及我国在数据领域的利益诉求等,针对性地为我国数据跨境流动治理提出有效的建议。

7. 结语

当下,数据跨境流动治理已经成为全球各国重点关注的问题,我国作为数据大国,应在推进国内治理理论与实践的基础上,确立适合中国国情的治理路径。在对全球治理模式研究中,应着眼于多个国家,从各国的治理实践中为我国的治理模式汲取有益的治理经验。随着经济全球化的进程不断加快,贸易协定也成为了全球数据治理领域的重要部分,我国申请加入的CPTPP和DEPA对我国的数据跨境流动治理提出了新的要求,未来在对贸易协定的研究中,应更深入地对CPTPP和DEPA的规则进行研究,为我国加入贸易协定提出有效建议,促进我国数字经济的发展。此外,我国的数据本地化模式也存在较多不足,在未来的研究中应根据我国的实际情况制定更具体的数据本地化规则,使“中国模式”为全球数据跨境流动作出更大贡献。

文章引用

田应鑫. 全球数据跨境流动治理研究综述
A Review of Research on the Governance of Global Cross-Border Data Flows[J]. 法学, 2023, 11(06): 5657-5665. https://doi.org/10.12677/OJLS.2023.116807

参考文献

  1. 1. 姚旭. 跨境数据流动治理中的韩国路径与欧盟路径[J]. 韩国研究论丛, 2017(2): 237-249.

  2. 2. 东方. 欧盟、美国跨境数据流动法律规制比较分析及应对挑战的“中国智慧” [J]. 图书馆杂志, 2019, 38(12): 92-97, 104.

  3. 3. 张茉楠. 数字主权背景下的全球跨境数据流动动向与对策[J]. 中国经贸导刊, 2020(18): 49-52.

  4. 4. 相丽玲, 张佳彧. 中外跨境数据流动的法律监管制度研究[J]. 情报理论与实践, 2021, 44(4): 74-78, 49.

  5. 5. 冉从敬, 郭潇凡, 何梦婷. 国际跨境数据流动治理合作: 机理、困境与变革[J/OL]. 图书馆论坛, 2023: 1-9. https://kns.cnki.net/kcms2/detail/44.1306.G2.20230524.1047.004.html

  6. 6. 黄道丽, 何治乐. 欧美数据跨境流动监管立法的“大数据现象”及中国策略[J]. 情报杂志, 2017, 36(4): 47-53.

  7. 7. Sulivan, C. (2019) EU GDPR or APEC CBPR? A Comparative Analysis of the Approach of the EU and APEC to cross Border Data Transfers and Protection of Personal Data in the IoT Era. Computer Law & Security Review, 35, 380-397. https://doi.org/10.1016/j.clsr.2019.05.004

  8. 8. 胡炜. 跨境数据流动立法的价值取向与我国选择[J]. 社会科学, 2018(4): 95-102.

  9. 9. 许多奇. 个人数据跨境流动规制的国际格局及中国应对[J]. 法学论坛, 2018, 33(3): 130-137.

  10. 10. 李艳华. 全球跨境数据流动的规制路径与中国抉择[J]. 时代法学, 2019, 17(5): 106-116.

  11. 11. Walters, R., Trakman, L. and Zeller, B. (2019) Data Protection Law: A Comparative Analysis of Asia-Pacific and European Approaches. Springer, Singapore. https://doi.org/10.1007/978-981-13-8110-2

  12. 12. Aaronson, S.A. and Leblond, P. (2018) Another Digital Divide: The Rise of Data Realms and Its Implications for the WTO. Journal of International Economic Law, 21, 245-272. https://doi.org/10.1093/jiel/jgy019

  13. 13. Mantelero, A. (2021) The Future of Data Protection: Gold Standard vs. Global Standard. Computer Law& Security Review, 40, Article ID: 105500. https://doi.org/10.1016/j.clsr.2020.105500

  14. 14. 冯洁菡, 周濛. 跨境数据流动规制: 核心议题、国际方案及中国因应[J]. 深圳大学学报(人文社会科学版), 2021, 38(4): 88-97.

  15. 15. 阙天舒, 王子玥. 数字经济时代的全球数据安全治理与中国策略[J]. 国际安全研究, 2022, 40(1): 130-154.

  16. 16. 王燕. 跨境数据流动治理的国别模式及其反思[J]. 国际经贸探索, 2022, 38(1): 99-112.

  17. 17. Brehmer, H.J. (2018) Data Localization: The Unintended Consequences of Privacy Litigation. American University Law Review, 67, Article 6.

  18. 18. 田晓萍. 贸易壁垒视角下的欧盟《一般数据保护条例》[J]. 政法论丛, 2019(4): 13.

  19. 19. 黄海瑛, 何梦婷. 基于CLOUD法案的美国数据主权战略解读[J]. 信息资源管理学报, 2019, 9(2): 34-45.

  20. 20. 王金照, 李广乾, 等. 跨境数据流动: 战略与政策[M]. 北京: 中国发展出版社, 2020.

  21. 21. Chen, S. (2021) Research on Data Sovereignty Rules in Cross-Border Data Flow and Chinese Solution. US-China Law Review, 8, 261-273. https://doi.org/10.17265/1548-6605/2021.06.001

  22. 22. 洪延青. 推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开[J]. 中国法律评论, 2021(2): 30-42.

  23. 23. 冉从敬, 何梦婷, 刘先瑞. 数据主权视野下我国跨境数据流动治理与对策研究[J]. 图书与情报, 2021(4): 1-14.

  24. 24. Chin, Y.C. and Zhao, J.W. (2022) Governing Cross-Border Data Flows: International Trade Agreements and Their Limits. Laws, 11, Article 63. https://doi.org/10.3390/laws11040063

  25. 25. Mattoo, A. and Meltzer, J.P. (2018) International Data Flows and Privacy: The Conflict and Its Resolution. Journal of International Economic Law, 21, 769-789. https://doi.org/10.1093/jiel/jgy044

  26. 26. 杨帆. 后“Schrems II案”时期欧盟数据跨境流动法律监管的演进及我国的因应[J]. 环球法律评论, 2022, 44(1): 15.

  27. 27. 梅傲, 李淮俊. 论《数据出境安全评估办法》与DEPA中数据跨境流动规则的衔接[J]. 上海对外经贸大学学报, 2023, 30(2): 62-72.

  28. 28. 金晶. 欧盟的规则, 全球的标准? 数据跨境流动监管的“逐顶竞争” [J]. 中外法学, 2023, 35(1): 46-65.

  29. 29. 谢永江, 朱琳, 尚洁. 欧美隐私盾协议及其对我国的启示[J]. 北京邮电大学学报(社会科学版), 2016, 18(6): 39-44.

  30. 30. 曹杰, 王晶. 跨境数据流动规则分析——以欧美隐私盾协议为视角[J]. 国际经贸探索, 2017, 33(4): 107-116.

  31. 31. 赵海乐. RCEP争端解决机制对数据跨境流动问题的适用与中国因应[J]. 武大国际法评论, 2021, 5(6): 39-55.

  32. 32. 陈寰琦, 陆锐盈. DEPA数据安全规则解析及对中国的启示——基于CPTPP/USMCA/RCEP的对比[J]. 长安大学学报(社会科学版), 2022, 24(2): 22-31.

  33. 33. 王玫黎, 陈雨. 中国数据跨境流动规则与CPTPP的对接研究[J]. 国际贸易, 2022(4): 20-29.

  34. 34. 周念利, 于美月. 中国应如何对接DEPA——基于DEPA与RCEP对比的视角[J]. 理论学刊, 2022(2): 55-64.

  35. 35. 徐程锦. 中国跨境数据流动规制体系的CPTPP合规性研究[J]. 国际经贸探索, 2023, 39(2): 69-87.

  36. 36. Anupam, C. (2019) Data Nationalism. Emory Law, 22, 394-395.

  37. 37. Shekhar, R. and Choudhary, A.Y. (2022) Data Localization and Cross-Border Flow of Data: Balancing the Incongruent Dimension of Barriers, Safeguards and “Free Flow of Data”. RGNUL Financial and Mercantile Law Review (RFMLR), No. 12, 19-42.

  38. 38. 范婴. 数据本地化的内涵分化与模式选择[J]. 情报杂志, 2022, 41(6): 86-91, 79.

  39. 39. 张丽, 孙菲阳. 跨境数据流动: 全球治理趋势与我国的规制策略[M]. 北京: 电子工业出版社, 2022.

期刊菜单