本文系最高人民法院2022年度司法研究重大课题“统筹推进国内法治与涉外法治在司法领域的要求及应对——以跨境电商类案件为视角”的阶段性研究成果。

内容提要：数字经济时代，数据的跨境流动在促进数字创新、提高经济增长效率、增进社会福祉等方面发挥着越来越重要的作用，各国亦日益重视，并采取了不同的数据跨境政策。但相应地，数据跨境流动问题频发，我国在这方面也面临诸多法律风险，主要集中于数据安全、隐私保护、企业违规等。本文从上述法律风险产生原因出发，探讨我国跨境数据流动治理中面临的主要问题，并结合浙江自贸区建设实际，探索我国跨境数据流动法律治理体系的完善路径，以及跨境贸易企业及平台在个人信息出境中的合规机制。

关键词：跨境数据流动　企业合规　个人信息出境　跨境电子商务

在全球化浪潮推动下，数据跨境流动的规模持续扩大，各国基于自身利益需求，纷纷探索规制路径，在数据安全和自由流动之间寻求平衡。我国作为互联网大国，亦高度重视数据资源价值，已初步形成数据治理的基本规制体系。

一

跨境数据流动的概况

（一）跨境数据流动的概念

在探讨跨境数据流动(Cross－Border Data Flows)的概念前，首先应明确数据的定义。通常而言，数据是指对客观事件进行记录并可以鉴别的抽象符号，是对客观事物的性质、状态及相互关系等进行记载的物理符号或物理符号的组合。在计算机科学中，数据是指所有能输入计算机并被计算机程序处理的符合介质的总称。其中，最简单的为数字，还可体现为具有一定意义的文字、图像、声音、视频等。数据具有可复制性、流动性、基础性。

关于跨境数据流动，经济合作与发展组织(Organization for Economic Co－operation and Development，OECD)在1980年发布的《隐私保护和个人数据跨境流动指南》中首次提出了跨境数据流动的概念。早期跨境数据流动的研究仅针对个人数据，随着数字经济和新型数字技术不断发展，越来越多的数据类型参与到跨境流动的大潮中。目前，国际上对跨境数据流动的概念界定还存在差异，尚未形成统一认知。综合比较可知，国际上对跨境数据流动的内涵与外延界定主要包括两类：一类是数据跨越国界的传输、处理与存储；另一类是尽管数据尚未跨越国界，但能够被第三国主体进行访问。

关于数据治理，目前尚无统一定义。国际数据管理协会(Data Management Association International，DAMA)认为，数据治理是对数据资产管理行使权力和控制的活动集合。换言之，任何围绕提高数据质量、释放数据价值、保障数据安全开展的行为，都可以被纳入数据治理的范畴。当前数据主体多样、体量巨大、涉及诸多领域和环节，数据治理天然具有多学科、多维度、多层面的特征。

（二）跨境数据流动的分类

1．个人数据

我国《信息安全技术个人信息安全规范》将个人数据定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。OECD发布《隐私保护和个人数据跨境流动指南》提出个人数据跨境流动的概念距今已有四十多年，其间个人数据跨境流动的规模、渠道及相关法律规制均发生了变化，呈现规模快速扩张、类型不断丰富的新趋势。一方面，跨境电商等新兴业态的发展壮大助推了个人数据跨境流动规模的持续扩张；另一方面，移动通信技术在硬件和软件领域的高速发展促进了当前以手机为主的移动网络应用平台的发展，借助相关新兴技术，跨境流动的个人数据类型日益丰富，位置信息、支付信息、社交网络信息等也成为跨境流动的个人信息的重要组成部分。个人数据在跨境流动中由单一逐渐走向丰富，体现了信息化和全球化浪潮给个人带来的巨大便利，也使个人隐私保护成为全球跨境数据流动治理中的一个重点领域。

2．组织数据

组织数据，是由组织采集、持有、使用的数据，其中占比最高、最具代表性的是企业数据。通常而言，企业数据是指所有与企业经营相关的信息、资料，包括公司概况、产品信息、经营数据、研究成果等。在信息化、全球化进程高速发展的当下，很多企业借助数字技术，打破了地域、国境限制，结合自身优势进行全球布局。互联网企业作为全球范围内跨境数据流动的重要参与者和主要载体，享受着数据流动带来的资本、市场等方面的利益。一方面，跨境数据流动能支撑企业全球布局。以互联网企业为例，其开放互联的特性，以及业务线上化、运营国际化等现实需要，使跨境数据流动成为促进互联网企业在全球范围内发展和扩张的巨大动力。例如，以阿里巴巴、亚马逊为代表的电商平台，以抖音为代表的短视频平台，通过互联网采集、分析、处理并跨境传输数据，实现了其业务全球化的商业目标。另一方面，跨境数据流动能显著降低企业运营成本。企业既可以通过互联网以远程方式提供跨境服务，也可以在线签订商业协议、完成资金交付。数量众多的中小型企业在相关技术和平台的支撑下，得以尽享全球化和信息化浪潮的东风。

二

跨境数据流动的法律风险与治理困境

跨境数据流动给世界发展带来诸多好处，同时也蕴含着一定程度的风险。例如，个人生物识别信息、日常行程轨迹、账号密码等个人数据被恶意利用或出售，将造成个人隐私和财产安全隐患；企业运营数据、核心平台代码等商业数据若发生泄露或被不法分子窃取，将导致企业的商业机密和知识产权面临严重威胁。

（一）法律风险

1．数据安全

数据是否得到充分保护，直接关系数字经济运行的有效性。网络安全是发展数字经济的前提条件，而数据合规成为跨国企业需要解决的重要问题。我国企业自准备出海之日起，在熟悉地方法规、民俗文化的同时，也应提前考量数据公开带来的风险。如何兼顾维护用户利益与保障数据安全，是跨境数据流动议题中的难题。从国际社会对跨境数据流动网络安全的重视程度来看，大多数国家和地区基本都日益重视在网络安全领域进行立法，但仍有国家暂未对该领域进行立法保护，使数据安全成为薄弱环节。从企业的网络安全投入看，虽然较多企业意识到网络安全对于企业日常运营的重要性，但仍存在网络安全预算不足、专业技能人才短缺等问题，这在缺乏资源的中小企业中较为普遍。

2．隐私保护

平台经济的发展横跨电子商务、社交媒体和各类应用软件，在用户使用过程中产生的跨境数据多为个人数据。此类数据通过网络上的信息交互，产生的最直接诉求即为对个人信息的保护。在跨境数据流动背景下，就是要确保个人数据在境外依然能够得到与其在境内相同程度的隐私保护。此种保护主要涉及三方面：一是在境内隐私保护制度不完善的情况下，如何限制个人通过跨境数据流动来规避境内监管制度；二是在已有境内隐私保护制度的情况下，如何确保流至境外的个人数据不会发生隐私风险；三是在流至境外的个人数据发生隐私风险时，如何保证相关个人能够得到有效救济。

3．企业违规

为保障数据安全，国家相继出台多部法律法规，明确企业对个人数据、重要数据的保护要求，规定企业在数据存储、处理、出境等方面的责任和义务。但仍有部分企业违反法律规定，因数据泄露被惩处。2022年5月11日，我国首例涉及高铁运行安全的跨境数据泄露案件详情被披露。上海某信息科技公司接受一境外公司委托，在对方规定的北京、上海等16座城市及相应高铁线路上，采集了我国铁路信号信息(包括物联网、蜂窝和高铁移动通信专网敏感信号等数据)，并在数据采集设备上为该境外公司开通了远程登录端口，方便境外公司实时获取对应的测试数据，严重威胁了国家安全。经检索发现，多起企业因未注重数据安全而导致数据存在泄露风险、数据被实际窃取并传输到境外，进而被行政处罚。这些案件都体现了企业在数据安全保障、跨境数据流动方面可能存在违反我国法律法规的行为。

（二）我国的相关法律法规

根据法律制定机关和效力等级的不同，我国从法律(含地方法)、行政法规、部门规章、司法解释和行业标准五个层级对跨境数据流动作出了不同层次的规定和要求。在法律方面，目前与跨境数据流动相关的法律是《网络安全法》《数据安全法》《个人信息保护法》。在行政法规方面，为保障关键信息基础设施安全和维护网络安全，国务院于2021年7月30日发布《关键信息基础设施安全保护条例》。在部门规章层面，工业和信息化部于2022年12月印发《工业和信息化领域数据安全管理办法(试行)》，以及国家互联网信息办公室(以下简称“国家网信办”)等先后发布《网络安全审查办法》《数据出境安全评估办法》《汽车数据安全管理若干规定(试行)》《个人信息保护认证实施规则》《个人信息出境标准合同办法》等。2023年9月28日，国家网信办又发布关于《规范和促进数据跨境流动的规定(征求意见稿)》。为推动相关工作开展，深圳市第七届人民代表大会常务委员会第二次会议于2021年6月29日通过了《深圳经济特区数据条例》，这是我国数据领域首个基础性、综合性地方立法。此外，我国曾发布《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等文件。2023年6月29日，国家网信办与香港特别行政区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》。签署公告中提到，各方将在国家数据跨境安全管理制度框架下，建立粤港澳大湾区数据跨境流动安全规则。上述合作备忘录的签署是数据跨境双边多边协议的开始，既有利于推动国内统一大市场和国内国际双循环经济格局的形成，也有利于打造大湾区内部紧密的数据要素流转利用生态。目前，其配套措施正在制定中。

来源：中国信通院知产与创新中心

作者：池海江 浙江省杭州市中级人民法院副院长；

沈励 浙江省杭州市中级人民法院民四庭(杭州国际商事法庭)庭长；

李洁瑜 浙江省杭州市中级人民法院民四庭(杭州国际商事法庭)审判员

文章仅代表作者观点 不代表广仲立场