数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》

丁晓东

（中国人民大学法学院教授、博士生导师）

摘 要：数据跨境流动需要在法理层面反思。从理论与实践出发，可以提炼数据无国界、数据主权、数据自由贸易、数据人权保护四种基础法理。这些法理存在部分合理性，但也存在重大困境。作为替代，应将数据安全主权作为数据跨境流动的法理基础。数据安全主权秉持安全不可分割与人类命运共同体原则，既平等回应各国对数据安全的合理关切，又反对单边主义与霸权主义，可以成为国际数据跨境流动的重叠共识。我国的《数据出境安全评估办法》等数据出境制度整体上与数据安全主权的法理高度吻合。但在风险认知上，需要采取合理、开放、动态的安全观。在具体法律工具上，需要针对个人信息、重要数据与关键信息基础设施采纳不同的风险评估方式。

 关键词：数据跨境；数据主权；数据贸易；数据人权；数据安全主权

近年来，数据出境问题日益引起社会关注。2022年9月1日，国家互联网信息办公室公布的《数据出境安全评估办法》正式生效。此前，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也在法律层面对数据出境作出若干原则性规定，《网络安全审查办法》《个人信息出境标准合同规定》（征求意见稿）从不同的角度对数据出境进行细化。随着相关法律法规的出台实施，我国的数据出境法律法规已经大致成型。有必要在法理层面对我国数据跨境问题进行整体性反思，在制度层面对相关核心规则进行分析。 

数据跨境不仅是我国面临的问题，也是国际数据治理领域的一个核心议题。从1980年经济合作与发展组织（OECD）发布的《个人数据隐私和跨境数据流保护指南》（Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data）到1994年WTO的发布的服务贸易总协定（General Agreement on Trade in Services, GATS）中的“隐私例外”，从欧盟1981年制定的108号公约（the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, Convention 108）到欧美的数据跨境安全港协议（Safe Harbor）、隐私盾协议（Privacy Shield），从2011年的亚太经合组织（APEC）的跨境隐私规则（APEC Cross-Border Privacy Rules，CBPR）到美墨加协议 (United States-Mexico-Canada Agreement，USMCA)，从我国参与的《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP）到正在申请参与的跨太平洋伙伴关系协定（Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP）、《数字经济伙伴关系协定》（Digital Economy Partnership Agreement, DEPA），数据跨境流动已经成为一个国际法律、国际政治与经济问题。 

本文从法理层面反思数据跨境流动的正当性基础，并在此基础上完善我国的数据跨境流动制度。首先结合理论与实践，提炼数据无国界、数据主权、数据自由贸易、数据人权四种法理基础。其次，借鉴网络法与数据法理论、主权理论、帝国理论、贸易与人权理论进行辨析，指出四种理论既具有部分合理性，也存在若干困境。再次，提出数据跨境流动应当建立在数据安全主权的基础之上的观点。数据安全主权可以成为各国数据跨境流动的重叠共识，同时也高度契合我国的外交政策与数据战略。最后，对《数据出境安全评估办法》（下称《办法》）进行分析，指出其在原理层面与数据安全主权具有高度契合性，但在法律技术上仍然高度依赖欧盟等地区和国家的个人信息出境制度，未来需要进一步探索基于风险的制度工具。在风险认知与风险界定方面，《办法》在具体实施过程中，也应避免绝对、封闭、静态的安全，应关注数据不能合理出境的国家安全风险，探索更为精准有效的数据安全风险防范制度工具。

一、数据跨境的多重法理基础

数据跨境流动的法律争议，并不仅仅是规则争议。正如德沃金（Ronald Dworkin）所言，法律规则的背后隐藏了法律原则或政治道德哲学，规则争议反映了数据跨境流动的不同法理。通过对相关理论与实践进行分析，首先可以提炼数据无国界、数据主权、数据自由市场、数据人权等若干数据跨境流动理论。

（一）数据无国界

数据无国界的立场与互联网乌托邦主义思潮密切相关。当20世纪互联网从军用领域进入科研机构与商用领域，一批互联网学者开始主张互联网的无国界自治。1996年，约翰·巴洛（John P. Barlow）发布了著名的《网络空间独立宣言》。在这一宣言中，互联网是一个独立的“全球社会空间”（global social space），这一空间“由交易、关系和思想本身组成”，现实世界的“财产、表达、身份、移动和语境的法律概念”都不适用于这一空间，因为“它们都是基于物质的，而网络空间内没有物质。”同年，法律学者大卫·约翰逊（David R. Johnson）和大卫·波斯特（David Post）也撰写了著名的论文《法律与边境》，提出互联网天然具有超越主权的特征，互联网法并不适合主权与地域性监管。

从网络无国界出发，数据无国界就是自然结论。在持此类观点的学者与专家看来，互联网本身就是自由和开放的。20世纪70年代初，温特·瑟夫（Vint Cerf）和罗伯特·卡恩（Robert Kahn）设计的TCP/IP协议就奠定了互联网的公共属性。在数据跨境问题上，只有数据可以自由地全球流动，作为全球社会空间的互联网才能实现。除了少数涉及恐怖主义、国家安全、儿童色情等情形下的数据传输问题，任何国家和地区都不应对数据跨境流动施加过多限制。近年来，也有部分学者进一步提出了数据例外主义（data exceptionalism），认为数据具有天然的流动性，主权国家的地域监管无法直接适用在数据问题上。

（二）数据主权

网络与数据无国界的理论遭到了多方批判。很多学者认为，网络与数据无国界的主张在现实中并不存在，互联网不可能逃脱主权国家的监管，所谓超越地域的互联网全球主义，完全是一种乌托邦式的幻想。哈佛大学法学教授、后来曾在小布什政府法律顾问办公室担任司法部助理部长的杰克·戈德史密斯（Jack Goldsmith）提出，自从电报和通信发明以来，基于主权国家或区域性的监管就一直存在，互联网的出现并未改变这一点。互联网的主权与地域监管仍将不可避免，而且仍然是互联网治理的有效方案。

在理论层面，也有很多观点论述数据主权的必要性。例如亚利桑那法学院的安德鲁·武德教授（Andrew Woods）在《耶鲁法律杂志》上撰文，提出在司法诉讼等问题上尊重数据主权，这可以实现基于“主权差别（sovereign difference）”的治理，而非实现一种单一的规则体系。还有学者认为，数据主权可以成为数字经济后发国家的重要工具，有利于这些国家自主发展数字经济，免受“数据殖民主义”（data colonialism）之害。在这些观点看来，数据是新时代的石油或原材料，如果主权国家没有权利管理其主权范围内的数据，那么数据就会源源不断流向数字经济发达的国家和地区，而数字落后国家不能从中得到任何好处。

（三）数据自由贸易

数据跨境的第三种法理建立在数据自由贸易基础上。这种观点以美国为代表。美国将数据跨境自由流动视为自由贸易的一部分，并将各国数据保护的不同标准视为对数据自由流动的挑战。在1980年美国众议院举行的一次听证会上，政府信息和个人权利小组委员会主席就提出，美国公司常常“必须满足不同国家法律法规的各种要求”，这将对美国企业的数据传输和自由贸易造成重大威胁。基于对数据自由贸易的担忧，由美国主导的世界经合组织于1980年发布了《个人数据隐私和跨境数据流保护指南》，以协调各国的隐私与个人信息保护法，保持数据的全球自由流动。在此之前，美国医疗、教育与福利部已于1973年发布了影响深远的 “公平信息实践”原则(Fair Information Practice Principles)。这一原则要求禁止秘密储存个人档案，保障个人知情权，基于个人授权而使用个人信息、个人档案的更正权、信息安全等。OECD将这些原则注入《指南》，为各方提供虽然不具有正式法律效力、但具有“软法”特征的数据自由流动架构。《指南》强调，经合组织成员应“采取一切合理和适当的步骤，确保个人数据的跨境数据流动，包括通过成员国之间的不间断和安全传输。”同时，它还建议各国避免对隐私进行过度保护，避免“以保护隐私和个人自由的名义制定法律、政策和做法，对个人数据的跨境流动造成障碍，超过此类保护的要求”。

在《服务贸易总协定》的谈判历程中，数据跨境作为自由贸易的观点也一直伴随其中。在乌拉圭回合谈判中，一个关键问题即是如何通过协议避免对数据跨境流动和自由贸易造成障碍。在这一过程中，美国运通等企业在其中起了重要作用。这些跨国企业向美国政府施压，提出如果“没有快速、无阻碍的全球通信，（跨国企业）将根本无法运作”。在美国的影响下，《服务贸易总协定》最终没有对数据跨境流动进行太多限制，只是在例外中含混提到了隐私保护可以限制数据跨境流动。当时，除了美国，欧洲公司在金融、保险和其他专业服务领域也处于全球领先地位，也依赖于全球的跨境数据流。因此，各方整体采取了数据自由贸易的立场，对数据跨境中的隐私保护问题采取了模糊化处理的方式。

目前，数据自由贸易的立场在亚太经合组织的跨境隐私规则（CBPR）、美国-墨西哥-加拿大协议（USMCA）中都有鲜明体现，这两个规则都由美国所推动与主导。2011年制定的亚太经合组织跨境隐私规则建立在2005年亚太经合组织隐私框架（APEC Privacy Framework）基础之上，并且与后者一样，都不对主权国家产生直接约束力。但这一规则设立了一种认证机制，即允许加入该规则的国家中的个体、企业加入认证机制。企业一旦获得亚太经济合作组织的认证，就可以在加入该规则的国家之间自由传输数据。因此，可以说亚太经合组织跨境隐私规则最大限度地促进了数据自由贸易。2020年达成的美墨加协议进一步强化了这种立场。该法案首次设立“数字贸易”章节，强调除非是出于合法公共目的，并且采取非歧视性条款，美墨加三国的任何一方都不能限制个人信息跨境流动。此外，该协议也采取了企业认证机制的跨境传输途径，承认亚太经合组织跨境隐私规则的认证是个人信息跨境流动的充分保障。

（四）数据跨境的人权保护

数据跨境流动的第四种法理建立在人权保护理论之上。这种理论以欧盟为代表，并在近年逐渐辐射到很多国家。与美国采取市场化的视角看待数据不同，欧盟倾向于从人权保护的角度看待个人数据保护与数据跨境流动。尤其是近二十年来，欧盟逐步强化了这一立场。2000年制定并于2009年生效的《欧盟基本权利宪章》第8条第1款规定：“每个人都有权保护与其有关的个人数据。”2018年生效的《一般数据保护条例》进一步贯彻了这一立场，将个人数据被保护权视为一种基本人权。在数据跨境流动问题上，欧盟认为，数据只能传输到和欧盟具有同等保护程度的国家和地区，只能在少数特殊情形下进行克减。

最能体现欧盟数据人权立场的是Schrems I和Schrems II案。Schrems I案涉及美国与欧盟之间于2000年达成的安全港协议（Safe Harbor），根据该协议，遵守隐私和安全原则的美国公司可以合法地向欧洲发送和接收数据。这一协议为当时很多美国企业传输数据提供了方案。但随着2013年斯诺登的棱镜门事件爆发，欧盟法院（Court of Justice of the European Union , CJEU）在Schrems I案中认为，美国政府对欧盟居民的权利保护不足。其后，奥巴马政府于2016年重新和欧盟进行了谈判，并达成了隐私盾协议（Privacy Shield）。隐私顿协议增强了美国对欧盟传输个人数据的保护，例如在美国国务院设立了一个隐私保护监察员，以回应欧盟个体关于美国国家安全监控的投诉；并建立了欧盟委员会的常规审查机制。但是，尽管欧盟委员会在每两年的审议中两次通过了隐私盾的审核，但欧盟法院（CJEU）还是在2020年的Schrems II案中再次宣布其无效，认为其未达到欧盟个人数据保护的水准。欧盟法院特别指出，美国政府通过的《美国外国情报监视法》（Foreign Intelligence Surveillance Act, FISA）第702条“外交事务”一节和里根政府的第12333号行政命令，可以让美国政府对欧盟公民的个人数据进行监视，这对欧盟公民的基本权利造成了重大威胁。

二、迈向数据安全主权的法理

对数据跨境流动的已有法理进行反思，可以发现他们有一定的合理之处，但也存在若干重大困境。本文认为可以将数据安全主权作为数据跨境流动的替代。这一法理基础可以被视为已有数据跨境法理的重叠共识或“未完全理论化的协议”。它可以为不同国家和地区提供一种可行方案，兼顾数据全球有效流动与各国关切，而且与我国的对外立场高度契合。

（一）现存数据跨境法理的困境

首先，绝对化的数据无国界已经被实践证明并不现实。数据传输以比特为单位，比特本身的确具有超越国境的特征，可以被光速传播与无限传输。但附着在数据上的个人权益保护、财产属性与国家安全，却不可避免会引来各国的监管。无论是直接涉及国家主权的为“执法司法目的”，还是间接涉及国家主权更多与公共政策相关的为“业务目的”而数据跨境，各国都不可避免对其进行监管。另外也可以想象，如果主权国家或国际社会对数据跨境流动不进行监管，那么其结果必然将是大型跨国企业直接主导数据的跨境传输。正如扎克伯格（Mark Zuckerberg）所言，如今大型跨国科技企业“在很多方面更像一个政府，而不是一家传统公司”。如果无条件地采取数据无国界的立场，数据跨境将失去国际社会与主权国家的民主监督，其规则制定权将仅为少数大型企业所掌握。

其次，绝对化的数据主权也面临数据特殊性的挑战。传统威斯特伐利亚式主权（Westphalian Sovereign）将领土、人口视为其核心要素，并对其主权范围内的资源、财产、产品、知识产权等各类有形财产和无形财产要素进行监管，但与传统要素相比，数据首先具有天然的流动性特征。当不同国家和地区的人们发送电子邮件、跨国交流，就不可避免地会发生数据传输，数据将被切割为一个个的数据包，通过TCP/IP协议而实现非歧视性的传输。数据的这种流动性与传统有形财产或无形财产的流动性不同，商品、货币都会流动，但其流动都是以人们可以感知或预测的方式跨境转移，而数据则并非如此。如果对数据流动施加过多限制，甚至施加类似传统商品的管制措施，则很多正常的国际交流都将面临障碍。此外，数据还具有非竞争性（nonrival）与非排他性（nonexcludable）的特征。数据可以被无限复制，但并不会直接损害数据的价值，也不会在相关主体之间直接引起纷争，这与传统的有形财产或无形财产都存在区别，因为即使是电子货币，也具有稀缺性这一基本特征。就此而言，数据跨境流动虽然涉及主权国家之间的利益分配问题，但这种分配与石油、黄金、货币等传统要素的利益分配不同，更与早期西方殖民主义掠夺其他国家和地区的财产有重大区别。

再次，数据自由贸易立场虽然有一定合理性，但也存在种种问题。数据自由贸易的优点毋庸置疑，例如可以提高全球合作的效率，增加全球财富。在全球化面临脱钩与全球互联网面临莱姆尼教授（Mark Lemely）所说的“分裂网”（Splinternet）的背景下，强调数据贸易与合理的自由流动，尤其具有重要价值。此外，数据自由贸易还可能为第三世界的个体赋能，为个体提供发展机会。正如钱德勒教授（Anupam Chander）所言，“服务业现在与全球市场结合在一起，尽管存在移民障碍，发展中国家的工人仍能够参与利润丰厚的西方市场”。例如在数字经济的外包行业中，很多发展中国家的个体可以提供比发达国家工人性价比更高的服务，为发展中国家的劳动者提供并不完美但更好的机会。

但数据附着了主权国家关注的众多问题，必然受到主权国家及其人民的法律约束。尤其是个人数据或数据隐私，各国对于如何看待隐私、采取何种方式与何种程度保护个人数据，往往非常不同。正如惠特曼教授（James Whitman）所言，美国倾向于以自由（liberty）的观点看待隐私，而欧盟则倾向于以尊严（dignity）的观点看待。在数据隐私保护方式上，美国整体采取了市场进路，欧盟则采取了基本权利进路。如果仅仅以贸易的方式看待数据跨境流动，则实质上是将美国的数据立场无差别地推广到其他国家和地区。这种进路看似“中立”，实则威胁其他主权国家规制数据的权利。在美国掌握全球数据与强化国家安全的背景下，数据自由贸易的问题更为突出。目前，全球主流的互联网与科技企业仍然由美国主导，这些互联网与科技企业在全球收集了大量数据。同时，美国在国家安全问题上又体现现实主义与霸权主义的特征。除了上文提到的《美国外国情报监视法》与第12333号行政命令，美国又在近年制定了《澄清海外合法使用数据法》（Clarifying Lawful Overseas Use of Data Act, CLOUD Act）。根据这一法律，任何受到美国管辖的公司，不论其数据是否储存在美国或国外，当美国联邦执法机构进行执法时，都必须提交数据。《澄清海外合法使用数据法》的长臂管辖使得很多国家的数据本地化法律面临失效的风险，使得美国可以以执法的理由获取全球的大部分数据。面对美国在数据领域的“监视资本主义”（surveillance capitalism），各国都不得不通过各种方式加以应对，以限制美国以自由贸易之名对其他国家的个人与国家数据安全造成威胁。

最后，数据人权的立场在具有合理性的同时，也可能导致单边主义与长臂管辖，甚至走向文明优越主义。以欧盟为例，由于欧盟采取“人权随着数据走”的立场，这导致了欧盟对于数据的超级管辖。就地域管辖而言，《一般数据保护条例》第3条规定，即使个人数据处理行为不是在欧盟内进行，只要数据控制者或处理者位于欧盟，即受欧盟管辖；同时，任何域外国家和地区“为欧盟内的数据主体提供商品或服务”或者进行“监视”，也受其管辖。就跨境而言，《一般数据保护条例》要求所有数据接收方都必须按照欧盟的标准进行保护。正如上文所述，即使是美欧之间达成的安全港与隐私盾协议，也一再被欧盟法院认定为无效。对于绝大多数发展中国家，要想获得欧盟数据跨境传输的认可，其难度更大。在欧盟看来，绝大多数国家和地区对数据人权的保护都未达到欧盟的标准，其潜台词无异于说，欧盟在数据保护方面的更具有文明优越性。

此外，欧盟的数据人权立场也隐含了现实主义立场。这一立场与建构欧盟统一数据市场，为全球建构个人数据保护标杆的战略不谋而合。欧盟《一般数据保护条例》之所以推出，一个重要原因就在于欧盟各国在数据保护方面各自为政，没有形成统一的标准，因此需要一部“条例”（regulation）对各国进行直接适用，对内建立统一的个人数据保护标准，对外则通过布鲁塞尔效应（Brussels Effect）设定可以和美国对抗、影响全球的数据准则。这也就是为什么《一般数据保护条例》会规定，各国都不得再制定更高层级的个人数据保护标准。应当说，欧盟的这一战略与其自身的现实处境密切相关，而且在对外设定标准方面取得了显著成效。自《一般数据保护条例》生效以来，各国纷纷仿效欧盟进行立法；而其数据跨境流动的立场更是迫使很多国家改变了其数据保护规则。有学者因此认为，欧盟在数据跨境方面表面上采取人权话语，实际上却奉行霸权主义，是利用其充分性认证等法律手段进行“船舰外交”（gunboat diplomacy）。

（二）作为重叠共识的数据安全主权

为了回应现有数据跨境理论的困境，可以将数据安全主权作为替代理论。数据安全在各国都具有坚实的法理基础。上文提到，美国倾向于从市场的角度看待个人信息保护，欧盟倾向于从人权的角度看待，但二者都不否认风险进路。就美国而言，美国联邦层面的若干立法都集中于风险较高的领域。例如1970年首部具有个人信息保护法雏形的《公平信用报告法案》（The Fair Credit Reporting Act），就主要针对征信这一高风险领域。其后，美国在金融、视频、电信、医疗、儿童保护等领域的立法，也与风险规制密切相关，这些领域的个人信息一旦被泄露或不当处理，就可能对个人和社会产生重大威胁。

就欧盟而言，欧盟《一般数据保护条例》及相关立法也将风险规制视为重要进路。例如，《一般数据保护条例》第32条规定了与风险相称的技术与组织措施，要求控制者和处理者采取“适当技术与组织措施，以便保证和风险相称的安全水平”。第35条规定了风险评估，要求控制者“在处理之前评估计划的处理进程对个人数据保护的影响”。第36条规定了监管机构的风险监管，要求“当控制者无法识别或减小风险”，监管机构应采取相应措施。此外，个人数据处理的一般原则均可从风险的角度进行解读，例如告知同意为个体提供了风险预防的机会；数据最小化、目的限定、数据安全等原则尽量减低个人信息处理的风险。欧盟虽然强调个人数据保护的人权立场，但这一立场并不排斥风险进路的解读。有不少学者指出，欧盟个人数据保护法中的人权与风险立场如影相随，既具有话语层面的不同，但更多具有重叠共识。

我国与其他发展中国家则更关注风险问题。如果说欧盟有纳粹的历史记忆，具有更为意识形态化的人权立场，那么其他国家和地区则更关注伴随数据的相关风险。以我国为例，我国《个人信息保护法》虽然与欧盟《一般数据保护条例》具有高度相似性，但在个人信息概念、敏感个人信息、用户画像、监管救济与合规制度等方面都与欧盟存在差异，更注重对风险进行监管。此外，我国制定的《网络安全法》《数据安全法》等一系列安全性法律法规，更说明了我国数据监管的风险进路。

当然，各国对于数据风险的认知与容忍度可能不同。例如在信奉市场与强调冒险精神的美国，其对数据风险的容忍度较高，因此其法律更多采取事后救济的方式应对风险。欧盟则对个人数据风险容忍度较低，因此更多引入了预防原则。我国则强调安全与发展兼顾、“既要又要”的风险规制进路。但此类不同不妨碍各国对此进行多边主义协商，达成既兼顾数据有效流动，又关照各国不同风险规制的协议。在食品、药品、汽车、航空等其他领域，各国也有不同的风险认知与容忍度，但它们仍然可能达成商品跨境贸易的协定。

（三）作为我国对外战略的数据安全主权

从数据安全主权建构数据跨境流动，也符合我国在数据涉外问题上的立场。近年来，我国数据的顶层战略逐渐清晰明朗。在数据问题上，我国既没有明确采纳“数据主权”的概念，也没有采纳数据无国界或完全自由贸易的立场，而是从数据安全与风险的角度阐述全球安全立场。2020年，我国发布了《全球数据安全倡议》，这一倡议一方面重申“各国应致力于维护开放、公正、非歧视性的营商环境，推动实现互利共赢、共同发展”，另一方面承认“各国有责任和权利保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全”。倡议提出了一些具体主张，例如积极维护全球信息技术产品和服务的供应链开放、安全、稳定，反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息，不得要求本国企业将境外产生、获取的数据存储在境内，各国应尊重他国主权、司法管辖权和对数据的安全管理权，不得在产品和服务中设置后门，非法获取用户数据、控制或操纵用户系统和设备。这些主张与倡议，表明我国在数据战略上既注重各国的主权安全关切，反对霸权主义与单边主义，又注重全球数据的合理流动与人类命运共同体的建构。

我国加入《区域全面经济伙伴关系协定》（以下简称RCEP）也可以印证这一立场。该协定要求“在制定保护个人信息的法律框架时，各方应考虑国际标准、原则、指南和相关国际组织或机构的标准”；就数据跨境流动而言，各国可以采取措施实现“合法的公共政策目标”，但“该措施的实施方式不得构成任意或不合理的歧视手段或变相限制贸易”。尤其值得注意的是，RCEP还规定，“执行此类合法公共政策的必要性应由执行方决定”，而且各国还可以采取“为保护其基本安全利益（essential security interests）而必要的任何措施”。RCEP数据跨境规则的落地，体现了我国和广大发展中国家以风险为基础的共同意志。目前，我国正在寻求加入《跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA），这两部协定与RECP在某些细节方面存在差异，它们更强调数据流动，对数据本地化等措施持更谨慎等态度，仅允许各国“合法的公共政策目标”而对数据跨境进行限制。但在基础原理方面，这两个协议仍然与我国基于风险的多边合作立场具有契合性。

基于数据安全主权的法理建构数据跨境制度，有利于我国发展独立自主的数据话语体系，为全球数据跨境提供公共产品。目前，美国基于其在数字科技的主导性与数据情报获取能力，采取数据全球流动+国家安全的双重战略，往往能最广泛地获取全球数据，同时服务其商业利益与国家安全。但这对其他国家与地区造成了不对称优势与威胁，形成了一种奈格里（Antonio Negri）、哈特（Michael Hardt）、哈维（David Harvey）等学者所称的新帝国陷阱。而欧盟采取人权立场+欧盟单一市场的战略，既保证了欧盟内部的团结与一体化，又占据了全球数据规则制定的道德高地，不失为欧盟在数字经济落后背景下的一种战略尝试：建设一种更加“文明”“优越”版本的“欧盟数字空间”。但除了欧盟及少部分追随欧盟的国家，这种立场实际上将包括我国在内的大部分国家都宣布为“数据洼地”，充满了欧洲中心主义的傲慢。这种立场既不利于全球绝大部分国家自主制定数据法律政策，也不利于全球数据的合理流动。目前，我国在数字科技领域已经发展为仅次于美国的大国，在全球范围内的影响力也逐渐上升。在这一背景下，采取数据安全主权的数据战略，可以为我国提供具有融贯性的数据对外战略。

三、数据出境安全评估的原则重构

2022年生效的《办法》正是在数据安全主权的背景下制定的，而且是一种较为宽泛和综合性的安全评估。这一立场在法理基础层面具有现实正当性，与本文所主张的数据安全主权进路具有较高的契合性。但在安全与风险的理解方面，也面临一定国家安全泛化的危险，造成安全的反噬。为此，应秉持“人类命运共同体”“安全不可分割”的立场对数据出境安全评估进行原则重构，以更好地落实数据安全主权的基本原理。

（一）《办法》的综合风险预防进路

首先，在评估类型方面，《办法》将重要数据、关键信息基础设施运营者与一定数量的个人信息放在一起加以考虑，认为此类数据出境都应当进行评估。从法律渊源与数据性质来看，这些不同类型的数据差异较大。例如，重要数据源自2017年实施的《网络安全法》第37条提到的应在境内储存的类型，其后在《数据安全法》中进行了进一步详细规定。《办法》进一步从风险的角度对重要数据进行了规定，第19条规定：“本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”关键信息基础设施运营者和个人信息则分别主要源于《网络安全法》和《个人信息保护法》，但在不同法律中也有交叉规定。《办法》将此类不同的数据进行统一规定，说明我国并未严格区分不同数据类型，都从风险的角度对其进行一体评估。

其次，《办法》所要求的评估事项也是综合性的。第5条要求数据处理者对如下事项进行自我评估：“（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。”第8条对国家网信部门的评估重点进行了规定，其中绝大部分与自我评估事项重合，仅增加了境外国家的所在国家和地区的数据环境与数据保护水平等事项，数据处理者往往难以对此类事项进行自我评估。这说明《办法》从综合性角度出发，一体看待各类数据所产生的安全风险。

（二）合理、开放与动态的风险预防

在理解与解释《办法》时，应注意采取合理、开放、动态的预防原则来预防相关风险。首先，数据出境所带来的安全风险并不是绝对和孤立的，不仅数据出境可能造成风险，数据无法合理跨境流动同样存在风险。追求绝对安全与零风险不仅无法实现，反而可能造成更多的其他风险。正如习近平总书记指出：“网络安全是相对的而不是绝对的。没有绝对安全，要立足基本国情保安全，避免不计成本追求绝对安全，那样不仅会背上沉重负担，甚至可能顾此失彼。”在数据出境安全评估上，如果盲目追求绝对安全，导致大量不具备安全隐患的数据无法出境，其结果将反噬国家安全本身。例如，我国曾出现普通商品编码出境受阻，导致海外网站无法溯源商品，大量下架中国制造商品的情形。其实，普通商品编码的国际流动是全球通例，对于维护商品安全具有重要意义。我国网信部门在未来依据《办法》进行评估时，应注意避免此类情形的出现，积极探索白名单等制度。在防范数据出境风险等同时，注重防范数据无法合理出境导致的风险。

其次，数据安全主权是开放而非封闭的，应将数据出境安全评估与对外交流紧密结合，促进我国与其他国家数据流动圈、朋友圈的不断扩大。综观《办法》，可以发现其具有较强的防御色彩，例如要求境外接收方的数据保护水平不得低于我国。此类“数据防御主义”针对美国和欧盟具有较强的合理性，但如果一旦泛化到针对广大发展中国家，就未必能有效维护我国的数据安全主权。我国互联网与科技企业在很多发展中国家都扮演了重要角色，数据在我国与这些国家之间的自由流动，不论对于我国科技与互联网企业发展获取更多数据，还是对于发展中国家减小成本，都具有重要意义。如果将针对美欧的数据防御主义拓展到广大发展中国家，不仅人为给我国的数据产业发展设限，而且还可能引发其他发展中国家效仿，对数据跨境流动竞相设置越来越高的门槛。习近平总书记指出：“网络安全是开放的而不是封闭的。只有立足开放环境，加强对外交流、合作、互动、博弈，吸收先进技术，网络安全水平才会不断提高。”我国网信部门在《办法》实施过程中，应秉持“人类是不可分割的安全共同体”的原则，对各国采取沟通合作态度，避免从单方数据安全进行数据评估。尤其自乌克兰危机发生以来，美欧重启数据协作与谈判，我国更应注重将数据跨境安全评估与对外交流相结合，注重与广大发展中国家协调合作。

最后，数据安全主权是动态而非静态的，应不断探索和调整更为合理的数据风险防范方案。《办法》聚焦数据本身，围绕数据出境的全流程和各主体进行评估，这是制度探索之初的有效设计。但在制度执行上，围绕数据本身而构建制度，存在执法成本高难度大、数据处理者违法成本低难度小等难题。所谓执法成本高难度大，指的是政府需要花费大量时间精力对相关风险进行评估，难以有效对各类风险进行全面预测，对各类风险进行精准的事前预防。所谓数据处理者违法成本低、难度小，指的是数据处理者很容易通过各种手段规避评估。例如数据处理者可以先在国内设立多个处理者，将跨境数据流动控制在10万人个人信息或者1万人敏感个人信息之下，从而规避《办法》所需要评估的门槛。数据处理者通过云盘、邮箱、微信、U盘、笔记本电脑直接将数据传输到国外，也很难被执法部门发现。从法律原理上看，如果未来依据《办法》的评估执法成本过高、收效过低，就应当对评估手段进行调整，探索其他更为有效的数据风险防范手段。例如，未来可以探索更为有效的数据溯源治理，一方面构建“可信任”的跨境数据传输，另一方面对风险点位进行更有效精准的事前预防，避免“撒大网”式泛化评估的弊病。

四、《数据出境安全评估办法》的制度完善

在法律制度层面，《办法》应根据数据安全主权的原则与上文提到合理、开放与动态的风险观进行设计。目前，《办法》在制度层面对此进行了有益的探索，但整体上仍然依赖欧盟等地区和国家的法律方案。需要对其进行调整与完善，针对一定数量的个人信息、重要数据、关键基础设施数据分别探索精准风险评估的制度工具。

（一）一定数量的个人信息出境

《办法》将达到一定数量的个人信息出境纳入其评估范围：自上年1月1日起累计向境外提供10万人个人信息、1万人敏感个人信息。这一规定的直接上位法依据是《个人信息保护法》第40条：“处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估。”在《办法》征求意见阶段，这一规定曾经引起较大争议，认为其评估门槛过低，可能导致评估的泛化。

在制度层面，这一规定的问题在于采取何种方式对一定数量的个人信息出境进行风险评估。目前，《办法》以及相关制度受到了欧盟较大影响。欧盟《一般数据保护条例》提供了多种数据跨境流动的途径，例如第45条规定了“基于认定具有充分保护的转移”，即数据可以传输到具备充分性（adequacy）保护的国家和地区。第46条规定了标准合同条款（standard clauses）、有约束力的企业规则（binding corporate rules）、行为准则（codes of conduct）、认证机制（certification mechanisms）、特别合同条款（ad hoc contractual clauses）等方式。我国与欧盟在若干制度上具有高度相似性。例如《个人信息出境标准合同规定》（征求意见稿）与欧盟标准合同条款具有类似的制度设计。而《办法》要求企业自评估和政府评估都考虑出境对“个人权益”的影响，政府评估还要求评估“境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求”。这些要求显然受到了欧盟“数据保护影响评估”（DPIA）、“充分性认定”（adequacy）、“跨境传输评估”（TIA）等制度的影响。

但正如前文所述，欧盟此类制度设计的理论基础是其欧式的人权标准，契合的是欧盟的意识形态与现实利益。例如对于充分性认定，《一般数据保护条例》规定必须考虑所在国“法治、对人权与基本自由的尊重”、是否拥有独立监管机构、是否具有有效司法救济。目前，欧盟仅认定了新西兰、瑞士、以色列、日本、乌拉圭、英国等14个国家达到了充分保护性标准。对于其他传输机制，Schrems II案也强化了对其个人数据保护标准与人权保护标准的审查。正如EDPB在指南中所言：“无论选择何种第46条GDPR传输工具，都必须确保传输的个人数据具有本质上同等级别的保护。”这些工具与欧盟的数据话语与数据战略更为契合。这种数据人权话语使欧盟在话语权层面占据了道德高地，有效地抵御了美国对欧盟的数据威胁。例如上文提到的Schrems I案、Schrems II案，尽管在美国受到了一大批专家学者的批判，但美国政府仍然不得不接受。同样，尽管《澄清海外合法使用数据法》可以通过行使其长臂管辖而获取很多海外数据，但在欧盟的数据人权话语面前却束手无策。

反观我国，我国采取了数据安全主权的理论基础。《办法》以“一定数量”来作为个人信息出境评估的前提，也再次说明其理论基础在于总体风险，而非欧式的个体人权。在这一背景下，就应当积极探索与国家整体数据风险密切相关的制度框架，抛弃关系较弱的某些制度。目前，《办法》中有的制度和国家层面的数据风险相关，例如企业对个人信息采取的安全保护措施；有的关系较弱，例如个人信息权利中对个体的告知同意要求；还有的则和风险没有太大联系，例如个人信息携带权。如果对《办法》进行严格的字面解释，当某一境外接收方所在国并未规定携带权，或者其告知同意的要求并未达到我国《个人信息保护法》的水准，则此类传输无法通过数据安全评估的要求。但从风险出发，此类跨境传输对国家数据安全风险并无影响，甚至在有的情形下可能更为安全。例如某些国家与地区并不支持或严格限定数据查询权、更正权，此类法律制度虽然影响个体权益的实现，但却可能避免个人数据因为被人冒用查询权、更正权而被泄漏。因此，未来我国在对个人信息出境评估中，应当坚持对风险进行实事求是的评估，避免套用欧盟具有意识形态化的充分性认定进路。

（二）关键信息基础设施的个人信息出境

关键信息基础设施的概念首先在《网络安全法》中进行规定，其后在《个人信息保护法》与《数据安全法》中又被重申。《办法》第4条第2款依据《个人信息保护法》第40条，规定“关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息”，应当进行评估。这实际上是从“设施”+“个人信息”的角度，将此类跨境场景纳入数据评估的范畴。

但在制度层面，这一类型的评估也需要更为精准与契合的工具。对于此类评估，需要明确其评估的风险到底是关键信息基础设施和处理100万人以上个人信息的数据处理者的设施遭受侵害的风险，还是个人信息权益被侵害的风险？在《网络安全法》中，关键信息基础设施是网络安全等级保护的升级，其概念被界定为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”的设施。这就是说，关键信息基础设施的核心在于保护设施安全，而非其持有的少量个人信息的安全。《办法》将“处理100万人以上个人信息的数据处理者”与关键信息基础设施并列，但并未规定向境外提供数据的数量，也意在强调此类处理者的设施安全，而非少量个人信息本身的安全。如果此种理解正确，那么对此类场景的评估应当聚焦于关键信息基础设施遭受境外组织和机构攻击的风险，而不必和向境外提供个人信息进行绑定。即使此类设施没有向境外提供个人信息，或者其向境外提供的是除了个人信息与重要数据之外的一般信息，但只要这类设施容易为境外组织和机构所攻击，则此类情形也应视为存在跨境风险。毕竟，一旦发生黑客攻击或数据泄漏，关键信息基础设施中未向境外提供的个人信息或重要数据就很容易为境外所获取。

（三）重要数据出境

就重要数据而言，这一概念为我国所独有，也需要进一步独立设计可具操作性的风险评估制度。目前，《办法》从多个环节与角度对这类数据的风险进行评估，例如数据出境的必要性、出境数据的性质、数据接收方的安全保障能力、数据泄漏的风险等，但这些规定更多是从一般风险的角度对数据安全进行评估，缺乏与国家数据安全或数据安全主权的直接联系。就连重要数据的定义本身，也采取了“可能危害国家安全、经济运行、社会稳定、公共健康和安全”的泛化定义，缺乏精准评估的抓手。在缺乏精准评估的制度框架下，评估者就有可能“宁严勿宽”，以避免不必要的责任与风险。

数据安全评估一旦变得泛化，就可能落入上文所说的绝对、封闭、静态的安全认知陷阱，造成某些不必要的评估和安全的反噬。例如对于生产一般性商品的企业所产生的数据，从最泛化的安全意义上看也可能属于重要数据，或者至少需要进行数据安全评估。但这类企业所产生的数据几乎不可能对国家层面的数据安全造成影响，即使产生数据安全影响，这类影响也难以进行事先评估与预防。对于互联网平台等公共领域可以获取的数据，这类数据则几乎不可能阻止其出境。从有效预防的角度出发，应对重要数据进行限定，将这类数据界定为具有战略性价值、非公开或半公开的数据，例如道路交通等测绘性信息数据。对此类数据的风险点位进行提炼，设计更具有针对性与法律操作性的评估制度，既有利于国家网信部门进行精准评估，也有利于减少社会误解。

结语

数据是数字经济的核心要素，数据的战略性价值已经毋庸多言。从全球竞争的视角来看，当前各国正处于数据竞争的大航海时代：数据竞争类似五百年前大航海时代各国对于全球新大陆的竞争。五百年前，谁能发现和控制新大陆资源，谁就能获得大国竞争的先发优势。今天，谁能持续掌握数据，拥有获取数据与传播数据的通道，谁就可能在新一轮的全球话语竞争中占据主导地位。目前，美国与欧盟等地区分别推出基于自身价值观与战略利益数据战略。其中美国秉持了施密特（Carl Schmitt）所谓的“海洋政体”的进路，强调数据自由贸易与国家安全例外主义；欧盟则具有明显的“陆地政体”的特征，强调数据人权高地，试图构建一个建立在欧盟价值观基础之上的数据空间。面对美欧等国的数据战略与数据法律政策，我国需要兼收并蓄，推出既能维护国家安全和利益，又具有普适吸引力的数据跨境流动法理，为国际数据法治提供公共产品。

本文从理论与实践出发，在提炼与分析数据无国界、数据主权、数据自由贸易、数据人权的基础上，指出上述理论既具有部分合理性，也面临诸多困境。我国应当将数据跨境流动建立在数据安全主权的基础上。数据安全主权反映了各国数据保护的重叠共识，可以为当前国际社会提供更为合理的数据跨境流动方案，也与我国的数据对外战略相吻合。目前，包括《办法》在内的我国数据出境制度也奠基于这一原理之上。但在安全认知原则上，应采取合理、开放、动态的风险观对《办法》进行理解与解释。在具体制度上，应探索更符合数据安全主权原则的具体制度。