康兆逸｜论数据跨境流动安全保护体系的构建

  随着网络技术的持续不断的发展，数据跨境流动的需要愈加明显，其所带来的安全风险也慢慢变得多随之增加。维护国家安全必然需要重视数据跨境流动安全。目前数据流动所给国家安全、公共安全带来的风险包括数据泄露与非法利用、数据主权博弈等，而在规制上，我国面临的难题在于数据流动和数据保护的平衡问题，为了完善我国数据立法，可以对欧盟、美国的数据跨境领域立法进行优劣分析后寻找相应的可借鉴之处。目前来看，为维护国家安全同时推动数据市场的开阔，我国能采用健全监督管理机制、建立数据分类分级保护制度、加强国际合作等三个方面措施进行数据跨境流动安全保护体系的建构。

  数据是随着网络发展而产生的一种新兴资源，是在互联网空间内承载信息的特殊形式。在互联网空间存在、运输、使用的数据承载着大量的信息，使得各方主体能够最终靠数据分析和利用来制定决策，从事经济、社会活动等。我国数据安全法第3条规定：“数据是指任何以电子或者其他方式对信息的记录……而数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”

  对于数据流动，早在20世纪70年代经济合作与发展组织就将数据跨境流动解释为“国际领域计算机化数据或信息的流动”。数据在无形的数据空间中通过计算机通信系统跨过国界，输送到其他几个国家所属范围内的数据平台或数据库。因此，本文所探讨的数据跨境流动安全问题，就是在数据跨境流动、传输这一过程中，如何在保证数据技术和经济发展的正常所需情况下，使得流通的数据得到充分且有效的保护。这其中需要评估数据跨境流动的目的、合法性、必要性等方面。

  随着我国改革开放的不断推进，我国的经济地位得到了显著提升，我国国内企业在国际市场上所占的份额也在持续不断的增加。与此同时，网络技术的快速地发展推动了数字贸易的发展，是各国越发重视数据的利用与保护。数据的共享和流动带来大量经济效益、社会效益的同时，也给国家安全带来了前所未有的威胁，尤其是随着数据空间的逐步扩大和技术的发展，数据跨境流动也与愈加频繁，数据安全问题也更多地上升到国家安全的层面。层出不穷的网络攻击、黑客操作，直接冲击我国重要信息数据的基础设施，危及国家的网络安全。在数据空间内的各类风险具有极强的放大性、跨界性特征，极易形成系统性风险。

  首先，大量国内数据的跨国流动，使得数据被非法利用的风险大幅度提升。依据数据承载信息的不同，其泄露等造成的危险等级也不同，但总体来说都对我国的国家安全造成了一定威胁。例如，大量国内网络站点平台为扩大市场占有率纷纷赴美上市，而美国对外国企业储存、应用的数据主张及时披露。这一些平台所储存的数据覆盖面广，内容繁杂，其深度数据甚至必然的联系到我国关键基础设施，反映我国国情等动态实况。这其中的数据有相当一部分可能涉及我国重要设施、地区的地理位置，一旦被其他几个国家数据机构获得并非法分析利用，将会给我国国家安全造成极大威胁。信息技术的发展也催生了大量的黑客网络攻击活动，非法数据重要、敏感个人数据的泄露、非法交易，不仅严重侵犯了个人隐私权，也会损害国内企业的合法利益、侵犯我国数据主权，不利于国家社会的稳定建设。

  其次，以数据为对象的主权博弈日益增加。与领土、人口、能源等对象不同，因为数据本身的流动性和重大战略价值，数据主权博弈的范围不再局限于个人或企业，政治力量也会牵涉其中。例如，美国于2018年颁布的外国投资风险评估现代化法案（FIRRMA）明确了外国投资所涉及的美国企业经营中掌握的敏感个人数据需要强制申报，以防止外国政府以投资的方式获取或跨境访问美国个人数据，参与数据运营。在此之后，美国商务部展开了对中国公司运营的TikTok应用程序的审查程序，声称其收集大量用户数据并利用数据参与到中国的“军民融合”活动之中。目前国际层面上尚没有统一的数据保护规则，各国的数据主权管辖边界多有重合和冲突。无论是数据保护还是数据利用层面，跨境数据流动问题均无法通过单纯技术性的要求解决，数据主权博弈扩展到国家安全和公共安全领域极大的提升了它的复杂性。

  首先，数据本身承载着巨大的经济价值，各产业能够最终靠收集、分析数据来了解目前领域内的问题、需要，从而制定相应决策来最大化自己的利益，降低自己的损失。无论是数据产生于个人主体、企业主体还是政府主体，不同的数据平台处于不同的经济目的均会收集、储存数据，并使用特定的数据分析技术来加工利用。例如，某宝等线上购物应用可以收集使用者的所在地信息、浏览商品信息、历史购物数据，从而对消费的人潜在的消费欲望和购买力水平做多元化的分析，之后形成个性化推送放在应用首页，提高消费者消费的可能性，增加特定店铺和商品的流量。在互联网空间中，数据多处于共享与流动过程中，这一过程也是数据得以利用、升值的过程。数据处理者对数据价值的追求衍生数据流动的需要，数据流动、收集、处理、利用等过程又推进了数据技术的进一步发展。

  鉴于目前数据空前的多重潜在风险和数据非法利用所带来的恶性后果，我国目前还倾向于采取数据本地化的方式限制数据流动。所谓数据本地化，是指国家要求网络运营者将在本国领土范围内所收集的数据悉数，是一种相对强制性的保护手段。储存在本国境内的数据库中严格的数据跨境流动保护制度必然会与数据的流通利用、数字化的经济的发展相冲突，平衡两者利益也是一个持久的难题。为维护我国的数据安全，来保证我国的国家安全，我们应该完善数据跨境流动规则，确保在跨境流动环节数据的安全与利用的保障。毋庸置疑，数据本地化可以有明显效果地地维护本国数据主权，规避数据跨境风险，应对网络犯罪。但是由于数据本地化措施会限制数据的自由流动，很有可能会加剧数据鸿沟，影响本国数据市场的建设，甚至会阻碍数据技术的进步。

  因此，数据的跨境流动既要建立完善的数据安全保护机制来规范流动和保障安全，有需要采取灵活手段保证数据流动必要程度的自由性。在全球各国均争相完善数据保护制度，抢占数据资源，构建数字市场的大背景下，如何平衡好数据流动和数据保护这两个活动，是我们亟待考虑的问题。

  我国于2016年出台，2017年正式实施的网络安全法是我国数据跨境流动规制体系的建立提供了纲领性的指导，它吸取了国内外优秀的立法经验，将原本极为零散的各类问题纳入统一的保护框架中，能够说是一次颇具智慧的立法实践。网络安全法系统的规定了有关我国网络安全的基本法律监督管理机制，明确了监管的基本主体、权限以及法律责任，针对数据跨境流动问题也作出了及时的回应。从此，我国对数据跨境流动的规制有了明确的主线，多项法律和法规规章以及国家标准也开始围绕该主线在规制的广度与深度上不断加强。

  2021年出台的数据安全法明确了各单位的监管责任，提出了数据安全制度的基本框架。在数据安全法第3章以及第4章，针对数据本地储存和出境审查进行规定，对数据境外流动进行了规范。数据安全法提出了建立数据分级保护制度，要求根据不同类别数据制定特定的数据域外流动规则。其提出了数据出口管制的要求并明确了要建立重点数据目录，针对重要数据的跨境流动管理做出了规范，要求有关部门尽快制定重要数据的出境安全管理办法。数据安全法自此补充了我国数据跨境流动管理领域立法，为我国数据跨境流动安全体系的建立奠定了基础。数据安全法统筹了数据发展、数据治理和数据保护，完善了我国数据安全治理的顶层设计。

  个人隐私信息保护法则从个人信息的角度提出了保护的方法。其第3章针对个人数据跨境流动规则进行了说明，明确了主要的监管部门。个人信息处理者的义务和责任得到了进一步的规定，其向境外提供、传输数据也需要经过国内有关部门进行安全审查。个人隐私信息保护法还专门规定了敏感个人数据的处理规则，体现数据分层次保护的理念。

  尽管随着我们国家大数据的快速地发展，我国针对数据安全的立法也在不断加快脚步。数据安全法和个人隐私信息保护法的出台，填补了我国数据安全保护的立法空白，这两部法律和网络安全法一起，建构起了我国数据安全保护法律体系的基本架构。但是，就目前的立法内容来看，我国有关数据跨境流动的立法均停留的根本原则、基本制度要求的层面，是基础性、指导性的法律。这样的安全方针政策给出了大的规制方向，没能和技术、现实结合起来给出详细规则，尚不能在实践中作为具体依据来贯彻落实。具体而言，我国尚没有建立起明确的跨境流动数据分类标准，只有对重要数据、敏感个人数据等模糊的界定区分，尤其在非个人数据的内涵界定和分类存在不足。对于数据的评估和审查，也没有具体的规范，没形成完整的评估体系和审查制度。在数据跨境流动监管方面，法律虽然明确了“国家网信办”的监管主体地位，但是对于“有关部门”的内涵和权责边界都不进行明确，监督管理体系尚需要细化规范的支撑。

  除此之外，我国在数据保护方面缺乏国际上的合作，进而导致了我国在数据跨境流动方面缺少国际条约、国际规则的参与。无论是欧盟、美国、加拿大，还是日本等，均在数据保护方面有自己独特的立法模式和特点，参与有关数据保护的国际规则或其他法律文件的制定或签约，能够有效推动我们国家数据跨境流动方面的立法，取长补短。此外，缺乏国际合作不利于我国参与数据全球市场的份额，部分可能会影响经济、文化、科技等方面的交流。要鉴于建立数据跨境流动保护机制也还是为了能安全开辟数据市场，在维护国家安全的同时保证我国在国际层面上的话语权。

  欧盟对数据采取保护的方法的时间较早。20世纪70年代，欧洲理事会就出台了涉及数据利用的标准化指南，各国开始对个人数据跨境流动做出了相关立法。1970年德国的黑森州数据法作为世界第一部数据保护法就已经提出了数据监管的规则。之后瑞典、法国、冰岛、英国、爱尔兰、葡萄牙相继制定了数据保护法，在其中对数据流动提出了一定要求。这一阶段的欧洲立法是以各国为单位做的，各国立法原则和内容的差异性使得对数据跨境流动的规制无法协同进行，没形成宏观上的统一标准。1995年通过《数据保护指令》（即《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC号指令》）则对欧盟立法的分散性作出了创造性的改变，建立了欧盟数据保护的法律框架。自此，欧盟各成员国在指令要求下统一数据跨境流动监管立法。此外，自这部指令开始，欧盟逐步构建起了对数据的“充分保护原则”。

  信息技术的更迭使得欧盟一定要制定新的数据保护规则。2016年的通用数据保护条例（以下简称GDPR）给欧盟乃至全社会的数据保护机制产生了深远影响。GDPR不仅全面加强了对欧盟内部数据保护的力度，为适应大数据时代数据流动共享的新情景，还设立了数据跨境转移机制。GDPR专门设置“个人数据向第三国或者国际组织传输”的章节，具体包括充分性认定、适当保护的方法、行为准则、认证制度等。GDPR仍贯彻“充分保护原则”，将相关认定规则进行了全面细化，涉及数据接收国或组织的法治水平、人权保障程度、数据保护机关职能等衡量因素。GDPR所建立的数据跨境流动机制严格但有力地保护了欧盟各国的数据安全，还提高了欧盟法律在域外的效力。但是，GDPR严格的跨境流动要求大幅度提升了企业的合规成本，使得大量中小企业市场占有率限缩乃至退出欧洲市场，数据技术的发展也因GDPR有所限制。

  在处理非个人数据跨境问题时，2018年的欧盟《非个人数据自由流动条例》弥补了GDPR未对非个人数据跨境流动建立规制体系的不足，其目的主要在于消除欧盟各成员国之间的数据流动壁垒，推动欧洲数字化的经济的发展和数字市场的构建。数据法案草案中重点提出了数据共享制度，企图建立内部单一数据市场。具体而言，数据法案草案明确了规则使用的主体范围、规定了服务提供商的义务、赋予用户访问和使用因使用服务产生的数据的权利和与第三方共享数据的权利、规定了数据持有者数据共享时提供数据的法律义务、建立了共享协议的争端解决机制。

  由欧盟立法可见，对于数据的跨境流动，依据数据分类标准不同，对数据跨境流动的保护力度和保护模式也不同。对数据流动的保障需要从维护国家安全、保障数据合理使用、推动数字化的经济发展等多个角度进行衡量。我国需要重视保护数据主权与促进数字化的经济发展之间的平衡，制定合理的跨境流动监管制度和数据保护机制。随着经济全球化发展和各国争先占据数据市场占有率，各国家、国际组织之间在数据流动、共享等方面的联系只会慢慢的密切。对于我国而言，在注重保护数据主权、数据安全的前提之下，必须要肯定数据本身带来的经济价值。

  早在1997年，美国颁布的《全球电子商务框架》就已经为其数据跨境流动监督管理机制的建立奠定了基础。与欧盟的“充分保护原则”不同，美国把数据所具有的经济利益和国家发展利益放在首位。因此，相较于欧盟采取数据安全统一立法的模式，美国选择“行业自律”模式进行数据保护。所谓“行业自律”模式，就是指美国采用行业内部依照领域需要制定数据跨境流动的规范，未制定统一的数据保护立法。涉及数据跨境流动的规定分散在金融、医疗、儿童教育等各领域的专门立法之中，某些特定的程度上尊重了市场的发展规律，有利于推进数据的占有利用。

  对于本国数据特别是个人数据，美国往往将其放在消费者隐私保护的情境下进行规范。2018年颁布的加州消费者隐私法案引领了美国隐私立法，其针对根据营业收入、信息量规模、信息收入标准筛选出的经营实体提出了监督管理要求。CCPA采取开放式列举的方式将直接或间接与特定自然人相关的非公开信息全部包含在规范范围内，包括但不限于生物识别信息、家庭信息、消费者信息、特定电子设备信息。就内容上而言，CCPA赋予了花了钱的人个人数据的知情权、访问权、删除权、公平交易权等控制性权利，加强了花了钱的人个人数据流动的控制力。但是其本质上仍鼓励数据的流动利用，只是强化了平台在治理内容上的责任和对数据处理的权限和义务。能够准确的看出不同于欧盟采取的严格保护规定，美国注重数据保护和数据商业经济价值的实现两者之间的平衡。

  在国内数据之外，美国积极推动国家之间的跨境数据流动，其常通过自身的大国地位和经济实力、科学技术水平与他国和相关组织进行双边或多边谈判，协同其他各国意图构建跨境数据流通规则体系。例如，美欧签订的和《欧美隐私盾协议》、美韩的《美韩自由贸易协定》，美墨加三国的《美国-墨西哥-加拿大协定》等。这些规定都鼓励数据的跨境流动，甚至在不影响成员国实行公共政策的情况下禁止成员国数据本地化，尽可能地减少对跨境数据商业行为的限制。美国2018年颁布的澄清域外数据合法使用法案使得美国能够与合乎条件的国家签订双边数据共享协议，帮助美国跨境调取国内公司存储于海外服务器的美国公民信息，维护其在数字资源上的主导地位。

  无论国内数据还是国际数据，在数据流动方面美国始终采取的是鼓励态度。美国以数据流出机构为承担数据保护义务的责任主体，由数据主管部门承担监管职责，也在某些特定的程度上确保了本国数据特别是个人数据的流动安全。其采用行业自律组织主导制定领域内部数据流动规范，能确保数据跨境流动保护模式的灵活性，提高了数据保护和利用的效率，终究是落实到保障数据流通共享的价值。但是美国分散式立法结构也影响了数据保护立法使用的重复和矛盾问题，影响法律的适用和对数据保护工作的统一协调。对数据自由流动的倾斜也给美国的数据安全带来了一定风险。无论是Facebook数据泄露案件，还是美欧“安全港”到“隐私盾”的协议无效，都体现出了强调数据流动限制了数据安全，也体现出了加强数据跨境交流合作、参与国际数据跨境流动治理的极端重要性。

  根据目前数据时代的快速发展和数据流动的常态化，建立完整的数据跨境流动规范机制迫在眉睫。目前，我国虽然已经在数据安全方面建立了基本的法律保护制度，但是尚停留在原则性指导和基本框架的层面上。具体的数据分级分类保护制度、数据安全审查制度等都尚未得到完整系统的架构。综合上述论述能够准确的看出，全球各国均在数据安全方面面临着数据跨境流动的经济价值和战略价值与其跨境所可能带来的国家安全风险两者利益平衡的问题。如同欧盟GDPR的严格保护制度固然能够对数据安全保持强有力的保护，但是也在某些特定的程度上冲击了数据市场乃至数据技术的发展。而美国对数据自由流动的鼓励在激发数据使用价值的同时，也增加了数据泄露、非法利用的风险。

  因此，完善有关数据跨境流动的规则离不开，我们大家可以在参考国外立法和制度的基础上，以数据安全保护为根本目的，兼顾数据流动的需要，建立既有利于保证我国数据主权和安全，又可以在一定程度上促进我国数据市场的开阔。

  目前，数据安全法第5条和第6条规定，由中央国家安全领导机构负责数据安全统筹协调，工业、交通、金融等各行业领域主管部门承担本领域的数据安全监管职责，公安机关、国家安全机关、国家网信部门也需要承担相应程度的监管义务。我国虽然已经在立法中对监督管理的机构和体系作出了一定安排。但具体的数据安全监督管理机制没有完整构建出来。各机关部门分散，权责边界不明确，进行监管的效果会受到一定影响。

  由于数据本身固有的流动性，以及不相同的领域同种数据可能具备不同的特征和利益，行业数据的技术型门槛有几率会使专门的数据监督管理的机构无法实行专业化管理。单独设立一个专门的数据保护机构非常有可能会出现管理僵化的问题，无法将数据保护的实效和数据流动共享的利益最大化。并且在目前我国“九龙治水”的监督管理机制下，直接设立专门的数据保护机构成本大且所需时间长，不符合我国目前精简政治部门的趋势。因此，建立由中央到地方的垂直监督管理机制能够更有效、快速的发挥监管审查功效。

  具体而言，要建立有效运行的监督管理体制，首先要提高国家网信部门的统筹能力，推动其制定统一的数据跨境流动指导规则。各行业主管部门根据指导规则和领域详细情况制定数据跨境流动的评估和审查标准。为避免各主管部门或监管部门因权责界限模糊出现重复监管、监管失灵等问题，需要明确根本性、基础性的标准和规则均由国家网信部门制定，必要时规定同一个监管方式和统一的根本监管标准。此外，各行业监管部门或机关需要明确其数据监管职能，理顺各行业监管部门或机构之间的平等地位。其制定的数据跨境流动规则应当经网信部门核查批准后在再执行，加强各行业数据主管部门的信息共享，以防重复或使用不相同标准评估跨领域的综合数据出境，尽可能根据行业真实的情况和数据流动特殊需求来确定监管机构。

  此外，在政府部门监督管理体制之外，可以参照美国的“行业自律”模式加强企业的自我监督管理力度。我国已经对行业组织提出了行业自律的要求，弥补行业部门无法对行业内部深入监督执法。企业自身在管理上应利用其信息优势，及时感知市场信息，建立内部数据流动安全评估机制。通过企业自律模式的建立，可以某些特定的程度上降低数据跨境流动规制的失衡，完善了数据跨境流动监管链条，更好地实现数据安全保护和数字化的经济发展之间的平衡。可以参照欧盟的“数据保护官”制度，在企业或行业协会内部设置“数据保护官”承担数据跨境流动监管职责，对数据流动进行审核检查备份、保障流通秩序。自此，我国能够建立起完整且由上到下运行通畅的数据跨境流动监督管理体系。由中央网信部门统领、指导、监管各行业领域执行，行业数据主管部门或监督管理的机构细化规则具体操作，各企业辅助治理加强监督时效，最终实现各领域全面、专业、平衡的监管实效。

  域外有很多国家已经建立了数据分级分类保护制度，对于包含更多国家安全信息、涉及利益级别高、若经域外非法利用将会给国家安全和社会安全造成高度威胁的数据，采取高度严格的保护方式。对于不涉及或少涉及国家利益、社会利益甚至个人利益的数据，可以放宽限制，鼓励自由流动。对此，各国通常将个人数据与非个人数据作为最基础的分类级别，然后再根据自己数据和非个人数据类别中不同数据的特征划分保护级别。

  目前，学界对数据的分级分类进行过了多次讨论。数据安全法第21条也考虑了衡量数据分类分级标准的因素：一是该类数据在整体社会、经济发展中的重要程度；二是数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度。数据安全法提出了“重要数据”和“国家核心数据”两种类别，提出制定重点数据目录，个人隐私信息保护法也列出了敏感个人隐私信息保护规定，这些都体现了初步的分类分级。但若要实现数据流动与数据利用、保护的平衡，必须将基础性的分类分级制度进行细化，依据数据层级的不同灵活采取措施。

  结合目前我国的分类标准来看，“核心数据”和“重要数据”是保护的重点，再考虑到个人数据的敏感程度所可能涉及的人格利益，能明确将数据分为国家核心数据、重要数据、一般个人数据、一般非个人数据四个类别，其中重要数据中应当包括敏感个人数据。由于数据数量众多且内容繁杂，在制定除核心数据和重要数据清单的具体数据类别清单时，可以首先由国家网信办依据数据安全法的标准通过列举或细化利益评价标准的方式来为各地区、各行业提供指导。各地区、各行业根据领域内数据所具有特征、所涉及的利益来制定跟给具体的分级分类制度和数据清单。在其中应当明确需要坚持安全性原则、稳定性原则、可执行原则。

  之后在数据跨境流动分级上，可以就四个类别的数据被非法利用所造成的影响程度进行分级。具体而言，分数据被泄露、非法利用后给国家利益、社会公共利益和企业、个人利益造成很严重影响、或造成严重影响、或造成某些特定的程度影响、或造成影响较小或无影响四个程度。考虑到不同数据类别在泄露、非法利用后影响程度的可能性，将数据分类和影响程度两个标准相结合，具体数据层级如下表格呈现：

  可以看到，由于核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益的数据，其一旦安全遭到破坏带来的影响必然在严重以上程度，因此始终将其作为一级数据对待。对于重要数据采取重点保护的态度，将敏感个人数据与其他重点数据同等级保护。但依据数据泄露程度、利用方式等，重要数据也有几率存在影响程度较小的情况。由于个人数据本身包含人格利益，因此应当采取较非个人数据更为严格的保护手段，因此在即便影响较小，个人数据仍比非个人数据保护级别更高。

  根据数据类别和级别的不同，在跨境流动方面应当采取不同的态度。对于一级数据一定要采取充分保护的手段，采取严格管控要求，确定数据主权和数据本地化管控方案。二级数据要进一步考虑流动需要，坚持比例原则，仍要采取严格的安全管控措施和监管审查机制。三级数据和四级数据则鼓励数据流动，采取不同程度的审查监管措施，放宽流通限制，在合理申报审查的基础上推动数据共享。

  目前相较于其他几个国家，我国在数据跨境的国际合作方面保持谨慎态度，参考目前我国信息技术相对劣势的情况是有一定合理性的。但是无论是“数据入境”还是“数据出境”的法治建设，都需要避免在国际合作中过分被动，否则定会影响我国的数据立法。严控数据共享，也会不利于我国跨国企业的经营，阻碍我国数字贸易市场的扩大。此外，数据跨境流动的监管也需要各国协作配合才能提高监管效率。综合看来，我国应当在坚持“数据跨境安全、自由流动”的立场上，利用多边机制积极开展数据领域国际合作。

  首先对与数据跨境流动贸易来说，可以借鉴欧盟的《相互充分性协议》和美国的《跨境隐私规则体系》建立我国的数据跨境流动“白名单”。“白名单”制度的优点是，可以在形成全球统一的数据流动规则之前，根据各国家和各区域的具体数据安全情况就数据多边贸易展开协商谈判，从而能够形成多样灵活的区域性数据跨境流动协议。具体而言，我国可以以目前的安全评估标准、信息审查机制为基础，根据各国或各区域的数据保护政策、信息技术水平、数据流动目的等对其数据保护状况实施评估，结合数据管理实际需要建立我国的“数据流动白名单”，允许部分国家或地区的数据和我国的数据实现“相对自由”的跨境流动。

  除我国的核心数据和重要数据仍从始至终坚持严格的出境管理政策外，“白名单”中的国家或地区能够轻松的享受相对宽松的数据跨境流动规则，减轻国内数据特别是一般非个人数据向这些国家和地区跨境传输不必要的评估审查负担，加强与这些国家和地区的数据贸易。

  在“白名单”制度逐渐完备的过程中，能够形成我国的数据跨境信任体系，推进数据流动与数据保护齐头并进的良性循环。就像目前，我国已经在2017年联同沙特阿拉伯、泰国、土耳其等国发起了“一带一路”数字化的经济国际合作倡议，开始建设“数字丝绸之路”。就此，我国可通过“一带一路”倡议，积极建设沿路信息基础设施，展开数字贸易合作和数据协作。依托这一区域经济伙伴关系，我们大家可以首先将沿线国家纳入“白名单”，打造“一带一路”数据跨境流动规则体系。

  目前各国都在争相建立数据市场，国际数字贸易治理规则也在持续不断的发展的过程中。中国在日渐重视参与全球治理的趋势下，应当将数据跨境流动也列为参与领域之一，以适应我国数据规模优势和发展数据贸易的需求。我国可以和其他在数据流动方面立场相近的成员一起协作推动“全球数据安全流动”的规制方案，首先避免数据自由流动带来的巨大国家安全风险，其次能够打破目前排斥以中国为首的发展中成员的数据跨境流动机制。在目前我国国际影响力增加，“一带一路”建设深入的情势下，我国参与国际规则制定时，应当坚持我国“尊重数据主权”的根本原则，坚持安全与发展并重，避免因小失大。在国际多边数字贸易我国可以变被动为主动，提出对核心数据适用WTO国家安全条款，对重要数据拟定“重要数据条款”对其流动加以必要限制，维护国家安全和公共利益。在此基础上，保证我国在数据跨境流动方面的国际社会发言权，热情参加国家间双向、多向传输，推动构建新的跨境流动机制，融入“数据跨境流动圈”。

  综上，为维护国家安全，我国必须对数据跨境流动问题予以重视。目前在数据跨境流动上的立法还不够全面，实践中尚需要明确分级分类标准、各机关部门权责界限等。在规制数据跨境流动中，我们一定要要平衡好数据流动和数据保护，既要防止过度限制阻碍数据经济发展和国际数据传输的参与，还应坚持数据保护的基本立场以规避数据泄露、保证国家安全。在明确数据分级分类标准、建立起用中央到地方的监管制度并推进企业自律之后，能够形成较为完备的数据跨境流动国内法律体系，保障数据出入境安全。此后，我国能够在国际数据领域中更有底气，有更大的话语权和参与程度，可以热情参加国际数据跨境流动规则的制定，积极开阔数据市场。

  本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。