近日，清華大學(xué)人工智能國際治理研究院副院長梁正、清華大學(xué)公共管理學(xué)院博士后張棟、于洋撰寫的《數(shù)據(jù)出境安全治理國際經(jīng)驗比較與啟示》一文在《中國信息安全》雜志2022年第3期上刊登。文章通過比較各國的數(shù)據(jù)出境安全治理模式，總結(jié)數(shù)據(jù)出境安全國際治理經(jīng)驗并提煉出對我國的啟示?，F(xiàn)將全文轉(zhuǎn)載，以饗讀者。

數(shù)據(jù)是重要的戰(zhàn)略性資產(chǎn)，是構(gòu)筑現(xiàn)代競爭優(yōu)勢的關(guān)鍵資源。在數(shù)據(jù)的采集、匯聚、存儲、傳輸、使用、加工以及流轉(zhuǎn)、共享、挖掘、分析、銷毀、刪除等過程中，都有可能發(fā)生信息不當(dāng)泄露的情況，造成數(shù)據(jù)安全風(fēng)險。數(shù)據(jù)安全事件會對個人隱私、經(jīng)濟(jì)發(fā)展、政治穩(wěn)定和國家利益造成不同程度的損害。在數(shù)據(jù)出境的場景下，尤其容易出現(xiàn)境外主體不按授權(quán)使用、出境數(shù)據(jù)不受控制流轉(zhuǎn)、遭受網(wǎng)絡(luò)攻擊或黑客入侵乃至間諜刺探情報等安全風(fēng)險。數(shù)據(jù)出境安全治理受到世界各國和重要組織的廣泛重視。

1

數(shù)據(jù)出境安全治理各國模式比較

數(shù)據(jù)出境流動對數(shù)字經(jīng)濟(jì)發(fā)展、構(gòu)建數(shù)字紅利收入分配體系非常重要。數(shù)字經(jīng)濟(jì)發(fā)展領(lǐng)先的國家通常鼓勵數(shù)據(jù)自由流動，促進(jìn)數(shù)據(jù)發(fā)揮經(jīng)濟(jì)效用；數(shù)字經(jīng)濟(jì)發(fā)展落后的國家在數(shù)字紅利分配中獲利偏低，認(rèn)為無限制的自由流動會對國家安全和本國數(shù)字產(chǎn)業(yè)發(fā)展競爭力造成負(fù)面影響。從全球看，各大經(jīng)濟(jì)體的數(shù)據(jù)出境治理戰(zhàn)略顯著地呈現(xiàn)以發(fā)達(dá)國家為主的“自由流動”和以發(fā)展中國家為主的“本地限制”兩大類型。各大經(jīng)濟(jì)體在不同的戰(zhàn)略導(dǎo)向下選擇使用屬人、屬地和保護(hù)、控制權(quán)等立法原則。發(fā)達(dá)國家以屬人原則和控制延伸為主，實現(xiàn)數(shù)據(jù)領(lǐng)域的長臂管轄；發(fā)展中國家一般采取屬地原則，以數(shù)據(jù)本地化實現(xiàn)數(shù)據(jù)安全和產(chǎn)業(yè)保護(hù)。從制度規(guī)則看，數(shù)據(jù)出境治理又主要有促進(jìn)型、平衡型、本地化、統(tǒng)籌型四大模式。

美國采取的典型的“促進(jìn)型”模式。美國處于全球數(shù)字經(jīng)濟(jì)領(lǐng)先地位，其戰(zhàn)略旨在促進(jìn)數(shù)據(jù)自由流動形成引流效應(yīng)。美國通過屬人保護(hù)和數(shù)據(jù)控制者等名義以國內(nèi)立法建立境外執(zhí)法權(quán)，以保護(hù)本國利益為由調(diào)取使用他國數(shù)據(jù)；通過影響國際組織規(guī)則、打造多邊協(xié)議等利用強(qiáng)權(quán)為其提供獲取境外數(shù)據(jù)的通道，拓展其網(wǎng)絡(luò)空間疆土，掌握和控制全球數(shù)據(jù)使用，以便獲取自身利益。

歐盟、英國、新加坡和日本等數(shù)字經(jīng)濟(jì)發(fā)展較為成熟的國家和地區(qū)采取不同特色的“平衡型”模式。“平衡型”模式的監(jiān)管思路是，通過屬人原則獲取境內(nèi)外高標(biāo)準(zhǔn)隱私保護(hù)，在此前提下支持?jǐn)?shù)據(jù)跨境流動，以充分性認(rèn)定、建立信任機(jī)制等方式維護(hù)數(shù)據(jù)立法話語權(quán)。

俄羅斯、印度、巴西、南非、土耳其、沙特等國家，因缺乏強(qiáng)有力的數(shù)據(jù)引流能力，放開管制可能導(dǎo)致數(shù)據(jù)大規(guī)模向發(fā)達(dá)經(jīng)濟(jì)體輸出而削弱競爭力，因此，采取屬地原則限制重要數(shù)據(jù)出境，形成優(yōu)先考慮安全保護(hù)的“本地化”政策模式。

中國秉持兼顧發(fā)展和安全的“統(tǒng)籌型”模式，關(guān)注國家利益、公共安全與國際合作。中國國內(nèi)數(shù)字立法明確提出了“促進(jìn)數(shù)據(jù)開發(fā)利用與保障數(shù)據(jù)安全并重”“加強(qiáng)數(shù)據(jù)安全防護(hù)能力建設(shè)，保障數(shù)據(jù)依法有序自由流動，促進(jìn)數(shù)據(jù)依法合理有效利用”的政策宗旨。中國在數(shù)據(jù)出境國際規(guī)則構(gòu)建中遵循促成多元共治的理念，兼顧發(fā)達(dá)國家關(guān)注數(shù)字貿(mào)易利益以及發(fā)展中國家關(guān)注數(shù)據(jù)安全與數(shù)據(jù)產(chǎn)業(yè)發(fā)展利益，并支持可以基于公共政策目標(biāo)或者國家安全利益而采取相應(yīng)的限制數(shù)據(jù)流動的本地化措施，實現(xiàn)與各國在獨立自主層面上的合作與治理。

2

數(shù)據(jù)出境安全問題的國際治理經(jīng)驗

數(shù)據(jù)跨境流動涵蓋數(shù)據(jù)主權(quán)、隱私與安全、法律適用及管轄權(quán)、競爭戰(zhàn)略等復(fù)雜元素。世界各大經(jīng)濟(jì)體與重要國際組織經(jīng)過不同的研究探索，形成了一些結(jié)合實踐的代表性模式，可以為解決數(shù)據(jù)跨境安全相關(guān)問題提供治理經(jīng)驗。

（一）數(shù)據(jù)分類分級管理模式

對不同類型的數(shù)據(jù)出境采取不同的管理措施。一是重要的數(shù)據(jù)，禁止自由跨境流動。二是政府和公共部門的一般數(shù)據(jù)和相關(guān)行業(yè)技術(shù)數(shù)據(jù)，有條件地限制跨境流動。三是普通的個人數(shù)據(jù)，允許跨境流動，但要滿足安全管理要求，并通過問責(zé)制、合同干預(yù)等不同形式進(jìn)行管理。問責(zé)制是對數(shù)據(jù)控制者的數(shù)據(jù)安全管理責(zé)任做出規(guī)定，包括對數(shù)據(jù)主體的通知、對數(shù)字商資質(zhì)審查和監(jiān)督等。數(shù)據(jù)處理合同干預(yù)是政府對跨境數(shù)據(jù)處理合同中應(yīng)當(dāng)包含的安全管理內(nèi)容進(jìn)行規(guī)定，企業(yè)簽訂的數(shù)據(jù)處理合同如果包含格式條款，可不需經(jīng)數(shù)據(jù)監(jiān)管部門的具體核批即可實施跨境數(shù)據(jù)流動。

使用不同級別的數(shù)據(jù)出境限制措施。由于數(shù)字行業(yè)發(fā)展水平及數(shù)字貿(mào)易戰(zhàn)略不同，各國對數(shù)據(jù)跨境流動的限制程度有所區(qū)別。一是國家干預(yù)程度不同。有的國家公權(quán)力不直接介入具體數(shù)據(jù)跨境活動，而是通過數(shù)據(jù)本地化立法的處理原則和權(quán)利義務(wù)界定間接束縛數(shù)據(jù)主體與數(shù)據(jù)控制者行為；也有的國家公權(quán)力會直接干涉數(shù)據(jù)出境情況。二是本地化存儲的嚴(yán)格程度不同。有的國家只要求境內(nèi)留存有數(shù)據(jù)副本；有的規(guī)定只能在境內(nèi)存儲和處理數(shù)據(jù)，但行為方可以在境外訪問數(shù)據(jù)；有的要求數(shù)據(jù)的存儲、處理和訪問都只能在境內(nèi)進(jìn)行。三是數(shù)據(jù)本地化的豁免規(guī)定不同。有的國家需要數(shù)據(jù)主體同意；有的以境外接收方可以提供相同數(shù)據(jù)保護(hù)水平作為允許數(shù)據(jù)傳輸?shù)奶囟ㄇ闆r。

（二）自由流動與安全保護(hù)平衡模式

發(fā)達(dá)經(jīng)濟(jì)體出數(shù)字經(jīng)濟(jì)優(yōu)勢地位與對個人隱私的重視，通常選擇在鼓勵促進(jìn)數(shù)據(jù)自由流動同時對個人數(shù)據(jù)出境加強(qiáng)管轄保護(hù)。由于數(shù)字經(jīng)濟(jì)競爭力不同，各經(jīng)濟(jì)體的戰(zhàn)略戰(zhàn)術(shù)也各有特色。

美國采取“戰(zhàn)略進(jìn)攻”模式，構(gòu)筑為其強(qiáng)權(quán)服務(wù)的數(shù)據(jù)同盟體系。一是通過政府撥款和“開放”政策，實現(xiàn)“開放和自由的互聯(lián)網(wǎng)”。美國電信監(jiān)管的公共政策選擇排除對第三方內(nèi)容的互聯(lián)網(wǎng)中介責(zé)任，有助于為美國互聯(lián)網(wǎng)公司的發(fā)展創(chuàng)造環(huán)境。二是嚴(yán)格管控與競爭力相關(guān)的數(shù)據(jù)，限制涉及重大科技及關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)轉(zhuǎn)移，例如實施所謂的“清潔網(wǎng)絡(luò)計劃”等。三是借助“長臂管轄權(quán)”和情報網(wǎng)絡(luò)，打破傳統(tǒng)的“服務(wù)器”屬地原則，實施“數(shù)據(jù)控制者”標(biāo)準(zhǔn)，使政府可跨境調(diào)取數(shù)據(jù)。四是將數(shù)據(jù)跨境政策與貿(mào)易政策深度捆綁，向全球推行美式數(shù)據(jù)流動方案，包括逐步弱化數(shù)據(jù)流動中的個人數(shù)據(jù)保護(hù)規(guī)則，逐步禁止國家利用公共政策目標(biāo)實施數(shù)據(jù)本地化措施。

歐盟因產(chǎn)業(yè)競爭力不足采取“防守反擊”模式，通過制度筑設(shè)謀求引領(lǐng)國際規(guī)則。歐盟《通用數(shù)據(jù)保護(hù)條例》（gdpr）對個人數(shù)據(jù)保護(hù)從“屬地”向“屬人”轉(zhuǎn)變，大幅擴(kuò)展了管轄范圍；采取“用戶授權(quán)+企業(yè)擔(dān)責(zé)”模式，尋求個人數(shù)據(jù)保護(hù)權(quán)利與企業(yè)和政府的合法利益之間的適當(dāng)平衡；通過“充分性認(rèn)定”，確定數(shù)據(jù)跨境自由流動白名單國家，規(guī)定獲得充分性認(rèn)定的國家和地區(qū)可不經(jīng)過數(shù)據(jù)主體授權(quán)接收歐盟個人數(shù)據(jù)。歐盟委員會每四年通過數(shù)據(jù)保護(hù)立法、監(jiān)管機(jī)構(gòu)運作、國際承諾和公約簽訂等維度對“充分性認(rèn)定”的國家和地區(qū)進(jìn)行評估；非白名單國家企業(yè)需要采用歐盟委員會批準(zhǔn)的一系列標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款（sccs）或采取“有約束力的公司規(guī)則”（bcrs）并獲得認(rèn)證后，才能跨境傳輸數(shù)據(jù)。歐盟推行數(shù)字新政戰(zhàn)略，部署歐洲公共數(shù)據(jù)空間等安全可靠的數(shù)據(jù)基礎(chǔ)架構(gòu)，試圖創(chuàng)造世界最大的數(shù)據(jù)安全流動區(qū)。歐盟不斷擴(kuò)大數(shù)據(jù)立法的國際影響，全球數(shù)十個國家都效仿gdpr標(biāo)準(zhǔn)進(jìn)行國內(nèi)立法，形成更廣范圍的數(shù)據(jù)出境歐式標(biāo)準(zhǔn)。

新加坡建立以“相似保護(hù)”為基礎(chǔ)的信任機(jī)制，以爭取成為亞太地區(qū)數(shù)據(jù)中心。新加坡的《個人數(shù)據(jù)保護(hù)法案》（pdpa）規(guī)定，境外數(shù)據(jù)接收者應(yīng)為所傳輸?shù)膫€人數(shù)據(jù)提供與pdpa相稱的保護(hù)標(biāo)準(zhǔn)，可以通過簽訂合同、制定公司規(guī)程、接收國數(shù)據(jù)保護(hù)立法等途徑實現(xiàn)，并允許數(shù)據(jù)出境的其他法律理由，包括數(shù)據(jù)主體同意、履行合同義務(wù)必要、關(guān)乎生命健康的重大情形、公開的個人數(shù)據(jù)、數(shù)據(jù)中轉(zhuǎn)等。

日本構(gòu)建“基于信任”的自由數(shù)據(jù)流通機(jī)制（dfft）。日本與歐盟和美國均達(dá)成了促進(jìn)數(shù)據(jù)流動相關(guān)協(xié)議，建立互操作機(jī)制，參與構(gòu)建了多個國際規(guī)則。日本國內(nèi)立法以跨境數(shù)據(jù)流動政策靈活性為主導(dǎo)；數(shù)據(jù)出境限制性條件較少，只對涉及國家安全的敏感或關(guān)鍵數(shù)據(jù)進(jìn)行監(jiān)管；要求涉及國家安全的數(shù)據(jù)必須實現(xiàn)本地化存儲，但對其他數(shù)據(jù)不做格外限制；設(shè)立“個人信息保護(hù)委員會”（pipc）作為獨立的第三方監(jiān)管機(jī)構(gòu)，制定向境外傳輸數(shù)據(jù)的規(guī)則和指南。

（三）本地化限制模式

以美國科技巨頭濫用數(shù)據(jù)為代表的惡性事件經(jīng)常發(fā)生，導(dǎo)致數(shù)據(jù)本地保護(hù)主義逆全球化發(fā)展。數(shù)據(jù)本地化是指國家出于各種目的采取的旨在對數(shù)據(jù)施加控制的措施，這些措施使數(shù)據(jù)的流動逐漸限制在本國內(nèi)部，其限制程度從弱到強(qiáng)依次為：一是本地數(shù)據(jù)鏡像，允許數(shù)據(jù)副本出境，但在本國或本區(qū)域內(nèi)必須存有數(shù)據(jù)副本。二是數(shù)據(jù)本地存儲，特定情況下允許在境外對數(shù)據(jù)進(jìn)行處理，但處理后的數(shù)據(jù)也必須存儲在本地。三是基于許可制的數(shù)據(jù)出境，法律要求數(shù)據(jù)出境傳輸需獲得預(yù)先批準(zhǔn)或明確同意或符合標(biāo)準(zhǔn)體系，違者面臨罰款；相關(guān)任意執(zhí)法的不確定性會給公司帶來無法估量的風(fēng)險。四是“數(shù)據(jù)本地存儲+數(shù)據(jù)本地處理”，不允許數(shù)據(jù)受到境外接觸。五是“數(shù)據(jù)本地存儲+數(shù)據(jù)本地處理+數(shù)據(jù)本地管理”的歧視性政策，將外國公司完全排除在管理和處理本地數(shù)據(jù)之外。

3

數(shù)據(jù)出境安全治理國際經(jīng)驗及對我國的借鑒

在國際數(shù)字經(jīng)濟(jì)格局博弈與規(guī)則確立的關(guān)鍵時期，數(shù)據(jù)合作與競爭共存、機(jī)遇與風(fēng)險兼具。我國數(shù)據(jù)出境流動制度應(yīng)當(dāng)保護(hù)私人和公共利益，維護(hù)數(shù)據(jù)主權(quán)與國家安全，服務(wù)我國在全球的數(shù)字治理影響力提升。我國需要遵循數(shù)字經(jīng)濟(jì)發(fā)展規(guī)律，借鑒國際經(jīng)驗平衡數(shù)據(jù)開放共享與數(shù)據(jù)安全監(jiān)管，采用恰當(dāng)?shù)拇胧┲С謹(jǐn)?shù)據(jù)便捷流動并發(fā)揮其對經(jīng)濟(jì)增長、社會發(fā)展、全球化進(jìn)程的作用。

（一）高度統(tǒng)籌發(fā)展與安全

要平衡好數(shù)據(jù)安全和經(jīng)濟(jì)發(fā)展之間的關(guān)系，明確數(shù)據(jù)自由流動的價值，積極應(yīng)對數(shù)字經(jīng)濟(jì)安全挑戰(zhàn)，做好數(shù)據(jù)出境安全治理。一是充分看到發(fā)展是最重要的安全。數(shù)據(jù)出境政策舉措應(yīng)首先注重提升我國數(shù)字經(jīng)濟(jì)的市場競爭力、行業(yè)影響力與產(chǎn)業(yè)控制力。二是發(fā)展是人類共同目標(biāo)與挑戰(zhàn)。中國有責(zé)任和擔(dān)當(dāng)引領(lǐng)全球數(shù)字經(jīng)濟(jì)合作，為人類命運共同體建設(shè)做出貢獻(xiàn)。三是在保障基本安全的前提下實施監(jiān)管。盡最大可能減小重要數(shù)據(jù)出境限制對發(fā)展生產(chǎn)力的不利影響，兼顧我國對數(shù)據(jù)開放和數(shù)據(jù)安全的利益訴求。

（二）完善數(shù)據(jù)出境管理規(guī)則

我國現(xiàn)行跨境數(shù)據(jù)流動管理體系總體上以國家安全和執(zhí)法便利需要為主，對促進(jìn)數(shù)字企業(yè)全球化發(fā)展、擴(kuò)大數(shù)字服務(wù)貿(mào)易等考慮不足。應(yīng)當(dāng)完善數(shù)據(jù)跨境流動規(guī)則，形成配套的實施細(xì)則，優(yōu)化實踐操作模式，構(gòu)建以政府為主體的“自上而下”的數(shù)據(jù)安全監(jiān)督和管理制度。

一是優(yōu)化數(shù)據(jù)分級分類管理。明確政府部門、掌握數(shù)據(jù)資源的企業(yè)及組織、數(shù)據(jù)服務(wù)機(jī)構(gòu)等各方的數(shù)據(jù)分級安全管理主體責(zé)任；根據(jù)各行業(yè)數(shù)據(jù)資源特點分業(yè)制定數(shù)據(jù)分類分級安全管理規(guī)則；編制適合數(shù)字經(jīng)濟(jì)新產(chǎn)業(yè)、新形態(tài)、新應(yīng)用模式的分類分級標(biāo)準(zhǔn)；就“敏感數(shù)據(jù)”“重要數(shù)據(jù)”“核心數(shù)據(jù)”的邊界區(qū)分及相應(yīng)保護(hù)制度、數(shù)據(jù)規(guī)范管理措施做出規(guī)定。例如，對重要數(shù)據(jù)的標(biāo)識、備案以及限制傳播措施要求進(jìn)行完善，對科研數(shù)據(jù)、商業(yè)數(shù)據(jù)、政府?dāng)?shù)據(jù)與公共數(shù)據(jù)、個人數(shù)據(jù)的界定和判斷給出可參照的操作指南等。

二是建立數(shù)據(jù)產(chǎn)權(quán)及流轉(zhuǎn)規(guī)則。數(shù)據(jù)價值是經(jīng)算法收集、加工、處理后形成的數(shù)據(jù)集合帶來的經(jīng)濟(jì)和社會效用。結(jié)合數(shù)據(jù)資源要素、算法加工要素構(gòu)建數(shù)據(jù)產(chǎn)權(quán)與流轉(zhuǎn)制度，形成完善的數(shù)據(jù)權(quán)屬認(rèn)定、存儲、轉(zhuǎn)讓、使用、保護(hù)等規(guī)則，健全信息授權(quán)許可、數(shù)據(jù)ip保護(hù)等制度，以完善的制度規(guī)則支持?jǐn)?shù)據(jù)跨境管理、利用與價值發(fā)揮。

（三）融入與推動構(gòu)建數(shù)據(jù)跨境流動國際治理體系

數(shù)據(jù)跨境流動關(guān)乎國家利益、產(chǎn)業(yè)利益、風(fēng)險控制的動態(tài)平衡，既需要尊重各國數(shù)據(jù)主權(quán)，也需要建立彼此的共同規(guī)則。我國需要面向成為全球數(shù)據(jù)中心的戰(zhàn)略目標(biāo)支持?jǐn)?shù)據(jù)跨境流動以建設(shè)開放的經(jīng)濟(jì)體系，在國際合作中推廣數(shù)字規(guī)則的“中國方案”。一是以《全球數(shù)據(jù)安全倡議》為基礎(chǔ)，圍繞數(shù)據(jù)本地化、隱私安全、跨境執(zhí)法協(xié)調(diào)等關(guān)鍵事項提出解決方案，平衡公共安全、產(chǎn)業(yè)發(fā)展、個人信息權(quán)益等訴求。二是調(diào)整部分國內(nèi)立法與對外高水平談判需要相銜接，健全涉及多部門協(xié)調(diào)配合的跨境數(shù)據(jù)流動監(jiān)管體系。三是主動參與跨境數(shù)據(jù)流動全球規(guī)則構(gòu)建，推動國內(nèi)數(shù)據(jù)市場標(biāo)準(zhǔn)國際化，為我國跨境數(shù)據(jù)流動規(guī)則主張增容擴(kuò)圈。四是通過國際公約、區(qū)域合作等建立多軌信息安全合作機(jī)制，建設(shè)信息基礎(chǔ)設(shè)施與合作管理規(guī)則，為企業(yè)指明對內(nèi)合規(guī)、雙向合規(guī)和未來全球合規(guī)的發(fā)展路徑。

（四）優(yōu)化數(shù)據(jù)出境安全的技術(shù)治理

在數(shù)據(jù)安全保障方法中，更有效的是在數(shù)據(jù)存儲、訪問、使用等過程中采用良好的技術(shù)治理，實現(xiàn)數(shù)據(jù)控制、信息保護(hù)以及價值鏈控制。一是強(qiáng)化數(shù)據(jù)安全的技術(shù)建設(shè)。加快大數(shù)據(jù)管理系統(tǒng)和工具軟件的研發(fā)，加大對國際海底光纜、國際互聯(lián)網(wǎng)數(shù)據(jù)交互點等數(shù)據(jù)基礎(chǔ)設(shè)施的建設(shè)，提升數(shù)據(jù)設(shè)施安全能力。二是開展數(shù)據(jù)安全算法開發(fā)與應(yīng)用。圍繞數(shù)據(jù)存儲載體、傳輸介質(zhì)、處理終端提供數(shù)據(jù)安全解決方案，在數(shù)據(jù)處理活動與業(yè)務(wù)應(yīng)用系統(tǒng)中使用數(shù)據(jù)安全動態(tài)保護(hù)與遠(yuǎn)程控制等技術(shù)，如漏洞挖掘、入侵檢測以及區(qū)塊鏈、安全多方計算、同態(tài)加密等方法實現(xiàn)終端安全、內(nèi)容安全、業(yè)務(wù)安全，保障對重要敏感數(shù)據(jù)精準(zhǔn)控制。三是加強(qiáng)數(shù)據(jù)安全管理舉措、優(yōu)化建設(shè)信息安全能力。通過合規(guī)培訓(xùn)、引入數(shù)據(jù)安全專業(yè)服務(wù)等方式使企業(yè)安全掌控數(shù)據(jù)跨境運用。各國政府、國際組織、信息技術(shù)企業(yè)、技術(shù)社群、民間機(jī)構(gòu)和公民個人應(yīng)秉持共商共建共享理念，齊心協(xié)力促進(jìn)保障數(shù)據(jù)安全。