自由贸易试验区扩容，如何创新跨境数据流动制度？

过去几年，我们围绕着全球数字治理中的核心议题——跨境数据流动政策展开深入探讨，形成了部分判断和建议，如《跨境数据流动政策认知与建议》。

然而，在当前外部环境发生剧烈变化的背景下，这些观点是否还站得住脚？是否需要调整？值得重新审视。一方面，数据跨境流动是数字全球化的伴生物，全球化发展态势是考量数据跨境流动体系的背景与起点，对前者态势的判断很大程度上决定了后者的政策轮廓。另一方面，围绕该议题，今年以来国内外均有重要进展变化。在海外，欧盟法院继“安全港”之后再度废除“隐私盾”（schemeII），欧美跨境数据流动再添变数；在国内，促进数字经济、数字贸易发展成为政策热词，海南、上海、北京、浙江等各地自贸港、自贸区陆续发布方案，均提出要创新跨境数据流动管理机制。这些最新进展对跨境数据流动的未来将产生哪些影响，此前的体系化建议是否应当更新调整？本文逐一探讨。

核心观点

1.长期看，数字全球化仍然是未来发展的主流趋势。人们依然希望继续享受数字网络红利。

2.数字服务具有天然的全球化特征，通过信息网络实现全球供给和全球消费。而在供给和消费两端，伴随大量高频的数据跨境流动。跨境数据流动机制日益成为数字经济和数字贸易发展的关键支撑。

3.欧盟法院宣告欧美“隐私盾”协议无效，并不代表着推动数据跨境流动的共识被打破，而是要求对贸易场景流动的数据提供足够的安全保障机制。这也意味着：数据跨境流动规则讨论进入深水区，需要更加系统性地统筹贸易场景数据流动规则与执法场景下的数据跨境规则。

4.结合国内外最新形势，建议对数据跨境流动带来的发展利益和安全风险进行总体平衡把握，积极探索创新机制。具体包括：

（1）在经贸投资等专题谈判中，推进数据跨境流动规则协商。考虑到对等流动白名单机制带来的充足政策红利，可以作为着力推动的方向。除了国家整体以外，还可以考虑在部分区域、行业，以及企业之间寻求突破口。这也是目前我国从自上而下和自下而上（自贸港/区）两条路径并行探索，协同推进的优势所在。

（2）借鉴欧盟经验，完善多渠道数据流动方案。尽可能避免一刀切的许可管理方式，鼓励行业标准和认证成为数据跨境合规转移的重要机制。

（3）探索数据分级分类，对不同类型数据实施相适宜的流动模式。目前可以考虑四个可行方向：一般性商业数据适用自评估、第三方评估；金融行业数据接轨国际通用标准；科研数据纳入特殊管理；过境数据管理除外等思路。

一、长期看数字全球化仍然是未来发展的主流趋势

目前，国内学者对于“数字全球化”发展态势的总体判断是乐观的。针对全球化，江小涓指出：“全球化的三个方面：产品全球化、企业全球化、经济体全球化均体现了较高程度的相互依存性。企业设备、大件消费品、电子消费品，很少有单个国家或者几个国家制造的。以产品为纽带，一个企业必须和多个国外企业紧密协作，同频共振，才能维持正常生产运营，这在大型跨国公司中体现尤为明显。而从经济体来看，全球范围内，没有或少量介入全球化的经济体已经很少，中高度介入的已经是绝大多数。过去二十年，是全球化快速推进的二十年[1]；围绕数字化，李晓东指出：数字化进程不可逆转。数字世界的大门，再想关是关不上的。在逆全球化短期态势下，所有人依然希望享受到数字网络红利。因此长期来看，发展仍然乐观。[2]特别是今年新冠疫情爆发以来，远程医疗、在线教育、共享平台、协同办公、跨境电商等服务广泛应用，显现了更为强劲的弹性与活力，为全球经济增长注入了新动能。

二、实现数字全球化发展，跨境数据流动在其中扮演重要作用

数字服务具有天然的全球化特征，通过信息网络实现全球供给和全球消费。而在供给和消费两端，伴随大量高频的数据跨境流动。正如麦肯锡报告指出：2008年以来的十年间，数据流创造了2.2万亿美元价值，除了带来直接价值外，还间接促进了商品、服务、资本等资源的跨境交流，数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资[3]。

数据跨境流动也为发展中国家带来贸易利益。以印度为例，2019年11月印度国际经济关系研究委员会发布报告《数据跨境流动的经济影响》，指出：国际互联网带宽增加1%，印度的货物贸易总额增加6.9671亿美元。而从2016～2017年度到2017～2018年度，其国际互联网总带宽增长了35%，从而促使货物贸易总额增加了约240亿美元。印度贸易总额增长的大约12%是由国际互联网带宽的增加而推动的。

三、欧盟法院再度废除“隐私盾”并不代表着促进数据流动的共识被打破

2020年7月16日，欧盟法院对SchremsII案做出了判决，宣告欧美“隐私盾”协议无效。尽管法院肯定了另外一条数据跨境转移的合规路径——标准合同条款（SCC）的效力，但法院也进一步指出，数据出口方和接收方都有义务在个案中验证数据接收国是否能够达到欧盟同样标准的保护，当SCC的条件不能被遵守时，应立即中止或禁止数据转移或者要求增加额外的保护措施。[4]

隐私盾协议的失效给美欧数字经济带来直接负面影响，根据美国商务部长的估计，如果欧美数据流通完全停止，给双方带来的潜在损失可能高达7.1万亿美元[5]。

但脱离开纯粹的法律技术视角，从数字经济发展与数据跨境流动的紧密关系来看，会发现数据跨境流动的前景并非一片昏暗：促进数据在全球范围内的流动的共识并没有因为欧盟法院废除“安全港”、“隐私盾”而被打破。即使欧盟更强调数据的保护而非其经济价值，也没有否认数据流动的重要性。席卷全球的冠状病毒（Covid-19）疫情更证明了数据跨境共享至关重要。这也是为什么在判决做出后，欧盟数据保护委员会（EDPB）在第34次全体会议上强调，EDPB将继续发挥建设性作用，确保跨大西洋的个人数据传输，并随时准备向欧盟委员会提供援助和指导，帮助其与美国一起建立一个完全符合欧盟数据保护法的新框架[6]。

既然欧美都认为应当促进数据跨境流通，为何欧盟法院依旧会宣告“隐私盾”协议无效？要回答这个问题就必须厘清欧美跨境数据传输上的核心争点为何。

欧美对于隐私（数据/个人信息）应该得到保护这一问题没有分歧。美国和欧盟都认可应对数据提供较高水平的保护。双方的争议点在于如何协调国家安全与数据保护之间的关系。欧盟并不反对公权部门出于国家安全访问数据，欧盟法院在SchremsII案的判决中指出，第三国当局可出于公共安全、国防和国家安全的目的处理出于商业目的移转的数据，但应有足够的保障机制防止个人权益被过度侵犯。显然，“隐私盾”协议无法提供足够的保障措施。特别是美国当局根据FISA第702条和EO12333进行的监视违反了《宪章》和《欧洲人权公约》，美国法律中的保障措施与欧盟法律的要求“本质上并不等同”，因为其不精确的性质会导致政府滥用的风险。

美欧的分歧，代表了跨境数据流动的规则协商步入了深水区，自此贸易语境下的数据商业性流动和执法语境下的政府数据获取两个议题之间紧密结合。这也正是美国2018年3月出台《澄清域外合法使用数据法案（ClarifyingLawfulOverseasUseofDataAct，CLOUDAct，以下称“CLOUD法案”）》，这部服务于政府执法数据获取的法案会对全球数据跨境流动秩序带来了全面冲击的根本原因。包括欧盟、英国、澳大利亚已经或正在启动与美双边谈判，一方面重构数字时代的跨境执法数据调取机制，另一方面也在推进形成新的数据流动规则。正如2015年欧盟法院在宣告“美欧安全港”失效后，欧盟推动美国建立了具有多项保障措施的“美欧隐私盾”，美欧跨境数据流动并未受到实质性影响，那么在今天“隐私盾”被再次废除后，可以预判将再次推动执法数据调取机制的继续完善。

因此，在当下双边、多边的协商框架下，执法数据调取机制将会是跨境数据流动规则讨论中的一个主要议题，需要通过细致的法律规则，完备的技术和管理措施来建立基础信任关系，从而为数据安全有序地流动打下良好基础。

四、探索创新科学合理的跨境数据流动机制是关键

尽管数据跨境流动在提升经济总体效用方面发挥积极作用，但同时也面临一定的风险和挑战。各国政府出于保护公民隐私、保障国家数据安全、扶持产业发展、便利执法实施等因素考虑，对数据的跨境流动也实施不同程度的管理。美国以贸易利益为驱动，主张数据自由流动，但也不排除特定情形下的本地化要求；欧盟通过GDPR，在全球输出对等充分保护的精细化管理机制；以中国为代表的发展中国家出于国家安全在内的整体利益而实施数据本地化措施。概言之，跨境数据流动政策的核心，是在于通过合理的制度设计，最大程度地取得数字经济的发展利益和安全利益。

我国于2016年11月出台《网络安全法》，首次以国家法律形式明确了相关政策立场，要求关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当本地化存储。确需向境外提供的，应当进行安全评估。法律、行政法规另有规定的，依照其规定。

整体上，我国数据跨境流动制度正处于探索期，虽然在重点领域提出了本地化要求，但在坚持改革开放不动摇，坚持国内国际双循环的基本方略之下，需要为数字经济的全球化发展提供相匹配的制度供给，围绕数据跨境流动议题，提供更加多样化的流动机制。目前，这种机制探索正沿着自上而下和自下而上两条路径并行展开。

（一）自上而下探索安全评估制度

《网络安全法》出台以后，实现数据合法合规跨境流动的重要机制——安全评估制度备受关注。国家网信办也分别于2017年4月，2019年6月出台草案，面向全社会公开征求意见。征求意见稿借鉴欧盟标准合同条款机制(SCC)，对数据出口方和数据接收方之间的数据出境合同做出详细规定，以落实双方就数据保护的权利、义务、责任，并将该合同的文本内容，以及可执行性作为安全评估的主要对象。保障个人能够在其个人数据出境后，围绕个人信息的相关权利得到实现，其基本思路和欧盟标准合同机制有很大的共通性。

（二）自下而上，由各自贸区、自贸港创新管理机制

发展数字贸易，离不开数据跨境流动的支撑。它的重要性不亚于税收、业务开放、数字基础设施建设等优惠政策。今年以来包括海南自贸港、上海自贸区临港片，以及最新的北京、浙江等多地自贸区方案都无一例外在数据跨境流动制度上着墨许多。（目前，中国大陆31个省级行政区中已有21个被批准建立自由贸易实验区。）

尽管具体机制尚未出台，但相关的试验改革却已箭在弦上。特别是各地几乎同步重点发力数字贸易，呈现地方竞争态势，这种自下而上，从实际产业发展实际需求出发的改革路径，将为数据跨境流动管理创新赋予更多活力和想象空间。

五、关于跨境数据流动体系的建议

数字全球化发展依然是未来主旋律。作为数字经济和数字贸易发展的关键支撑政策——跨境数据流动机制需要更多的探索与创新，以平衡把握因此而带来的安全风险和发展利益。

1.积极探索国际规则，推动建立多样化的数据流动圈

由于各国间的利益和立场存在着巨大差异和冲突，短期来看，要建立单一的全球数据圈并不可行。更有可能是基于不同标准体系、不同互信国家或地区、甚至不同行业或类别，建立相应的白名单数据流动圈[9]。

当前，欧盟GDPR在全球范围的影响力不断增强，各国向欧盟标准积极靠拢。近两年，日本、韩国、印度等均积极申请认证，其中，日本已通过立法改革和双边承诺晋级白名单。在GDPR年度评估中，德国、比利时等成员国都提出应扩大“白名单”的范围，与更多的国家达成充分性决议。[10]

实际上，数据跨境流动规则已经成为双边、多边经贸投资合作框架下的主要议题，在当前形势下，我国也应积极与国际通行做法接轨，在经贸、投资以及专题谈判中，启动数据跨境流动规则协商。基于政府背书的对等流动白名单机制，将对参与其中的区域和企业带来充足的政策红利，企业从而获得稳定、便利、且合规负担和风险最小的跨境数据流动方式。因此白名单对等流动也是构建跨境数据流动体系需要着力推动的方向。

其中，按照覆盖范围，可以区分为四个层次来寻找对等流动的突破口。包括：国家、区域、行业、甚至具体到企业，即企业到企业之间的数据流动也可以考虑作为打通数据流动的先行试验田，毕竟数据流动机制在大部分场景下是服务于企业的业务场景。各自贸港/区可以根据本区域的优势和特色，结合成熟的数据跨境业务场景和需求，提出相关试点方案，并与中央保持密切沟通，协同推进。

2.借鉴欧盟经验，完善多渠道数据流动方案

自1995年欧盟数据保护指令，欧盟就系统提出了关于数据跨境流动的规范要求。20年来的实践积累，让欧盟积累了丰富的经验与教训。

其中，最为明确的是，欧盟放弃了事前许可式的跨境管理方式。认为这种方式已难以适应高频化、网络化的数据国际流动。事前一刀切的许可门槛，并不有助于监管目标的实现，而往往只是增加形式上的行政负担。因此需要进一步扩展数据流动的合规方式，如进一步扩展标准合同条款，发挥行业协会等第三方监督与市场自律作用，鼓励行业标准和认证，经认可的市场认证标志也可以作为数据跨境转移的合法机制。

3.探索数据分级分类，对不同类型数据实施适宜的流动模式

可以充分发挥各行业力量，针对数据自身特点，对数据分级分类，形成有针对性的管理机制。至少在目前可以考虑以下四个类别数据。类别并非遵循单一划分标准，而是综合考虑数据自身性质以及对应管理机制的的特殊性：

（1）一般性商业数据等非敏感数据可考虑适用自评估，数据出境合同备案等方式管理；

（2）金融行业数据，可遵循国际惯例或者行业专业化的跨境流动管理方式，探索相关机制。这在国外也并非先例，如新加坡也在银行业推进数据国际流动标准[11]；

（3）科研数据。科研数据有着较强的跨境共享需求，同时，科研数据跨境共享一般都具有点对点，传播范围有限等特征，可以采取有效手段实施落地管理。因此，科研数据也可以作为一类特殊数据，实施特殊管理政策，以促进科学研究。例如《粤港澳粤港澳大湾区发展规划纲要》提出：研究制定专门办法，对科研合作项目需要的医疗数据和血液等生物样品跨境在大湾区内限定的高校、科研机构和实验室使用进行优化管理，促进临床医学研究发展。

（4）过境数据。即不涉及我国个人、机构的数据，而仅是在我国境内传输、存储、处理，这些数据的流动理应也适用特殊的管理体系。早在1995年欧盟数据保护指令中，也排除了仅是利用欧盟境内的设备处理的数据类型。

综上，可尝试从以上四类数据探索相关流动机制，以在实现安全目标的前提下，兼顾发展利益。