跨境数据流动法律规制协调性之检视与重塑

摘 要：作为数据保护的题中应有之义，跨境数据流动法律规制既具有必要性又具有现实性。在夯实总体国家安全观、促进数字贸易发展双重目标下，规范跨境数据流动法律规制体系的核心在于协调数据安全保障与数据有序流动之间的关系。然而，通过规范检视我国现有跨境数据流动法律规制体系可知，高强度的数据流动控制规则设计与数字贸易发展需求之间并不协调，有阻碍我国数据安全理念全面落实、妨碍数据贸易进一步发展之虞。为克服现有不协调之困境，一方面，应当以维护国家数据安全为基点，在跨境数据流动法律规制体系内部重塑价值位阶;另一方面，应当将内部价值外部化，通过规制设计明确数据出境限制范围之节制性，强调规制规则外部衔接之妥当性，以提升整个跨境数据流动法律规制体系的协调性。

关键词：跨境数据流动;数据安全;法律规制;协调性

基金项目：教育部人文社会科学研究专项任务项目“中国特色社会主义理论体系研究”（20JD70004）;重庆知识产权运营研究中心开放项目“专利质押融资问题研究”（KFJJ208047）。

[中图分类号] D920.1 [文章编号] 1673-0186（2022）003-0087-010

[文献标识码] A      [DOI编码] 10.19631/j.cnki.css.2022.003.006

跨境数据流动法律规制的核心功能在于通过设定法律规范，确立数据流动与数据控制之间的互动关系。前者是数字贸易发展的基础性要求，后者则是国家维护数据秩序的应用性手段，二者的需求着重点存在很大差异，需要法律尽可能地做出平衡合理的安排。我国语境下的跨境数据流动法律规制方案，从2015年的《中华人民共和国国家安全法》中初见端倪，到2017年的《中华人民共和国网络安全法》中逐渐确立，再到2021年在《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》中最终成型，其内容亦在如何兼顾双重需求问题上反复与犹疑。但在跨境数据流动法律规制全球趋严趋紧的形势推动下，协调数据流动与数据控制的难度加大，我国的跨境数据流动法律规制亦整体向重控制倾向转变，法律体系产生很大的“撕裂性”，对数字贸易的运行产生连锁效应，进而影响到跨境数据流动法律规制整体功能的实现。鉴于此，本文拟从数据安全和数字贸易协调共生的视角，对跨境数据流动法律体系之协调性展开问题检视和分析，解决法律规则协同不畅的问题，力促在更宏观、更符合我国数据安全管理和数字贸易发展诉求的基础上，预判跨境数据流动法律体系的合理建构，以便反塑一个持续发展、更为规范、更为互联的数字贸易体系。

一、文献回顾

跨境数据流动研究萌芽于20世纪70年代末期，从关注数据流动可能带来的政治和法律争议，逐渐演变为一个全新的研究领域。主要分为三个研究方向。

第一，关于美欧模式的效果验证和比对研究。雷登伯格在总结跨境数据流动法律规制发展现状时，首次提出“美欧模式二元对立说”，将跨境数据流动规制的法律关系抽象为“个人权利至上”与“市场利益至上”两种对立模式[1]。沿着“二元对立说”，国内学者开始从美欧不同角度进行对比，运用比较经验整合，勾勒出跨境数据流动全球发展路线。程卫东从国家主权的角度出发，分析引介英国和德国对跨境数据流动监管的立法及国际合作现状[2]。姚维保、韦景竹则介绍欧盟个人数据保护法的跨国流动国际协调机制以及执行效率[3]。这样的分类背景下，有关跨境数据流动全球概况研究大多围绕美欧的立法模式、规则设计以及执行机制展开[4]。此外，作为美欧二元模式的扩展，有学者将研究的触角延伸至其他国家，如日本[5]和俄罗斯[6]，对更广泛范围内的数据流动限制性政策进行梳理和分析。

第二，数据主权与跨境数据流动关联性研究。在数据主权概念提出后，跨境数据流动法律规制研究突破原有的国际法和民法研究范式，从新的视角研究跨境数据流动法律规制问题。吴沈括认为数据主权与数据跨境传输问题是当下重大现实问题，建议我国的跨境数据流动法律规制建设应以数据主权为核心逻辑[7]。也有学者从数据主权的角度出发，主张域外数据执法管辖权进行单方扩张，虽然会受到一定阻力的影响，但却是维护我国数据主权的题中应有之义[8]。

第三，求证中国治理模式的合理性和自洽性的研究。这是所有研究的精髓，无论是借助其他国家的经验总结、效果评价，抑或是运用新的研究方式，最终目的都在于借助多种路径的帮衬，对我国的跨境数据流动治理体系建设产生一定的促进作用。石静霞认为，跨境数据流动不仅是互联网技术公司的生成要素，也是国际存在企业的经营需要，建议国内采取分级分类分情况分工具手段解决规制问题，发挥跨境数据流动应有的积极作用[9]。弓永钦等则从实际效率的角度提出“跨境隐私保护规则”体制（CBPR）更具有优势和效率，中国应当加入CBPR的结论[10]。也有学者认为美国主导的《美墨加协定》、美国与欧盟达成的《欧盟-美国隐私盾协议》《通用数据保护条例》等都为中国探索与他国建立数据跨境共享制度提供模版示范[11]。

从现有文献来看，他们多是立足于规范文本分析，力图形成一套圆融自洽的跨境数据流动法律体系。笔者并不反对这样研究的价值所在，只不过抛开数字贸易发展需求，单纯讨论如何在“控制”上作程度加强，其结果难免与经济发展需求产生抵牾与冲突，既不能完全揭示跨境数据流动法律规制所引发的理论与制度上的争议，也无法观照到跨境数据流动法律规制对数字贸易发展施加的连锁效应。

二、跨境数据流动法律体系之协调性应然选择

无论是数据控制抑或是数据流动，二者均具有正当性基础。鉴于此，实现跨境数据流动法律规制协调性的重点在于，平衡基于数据保护需要产生的流动控制与基于数字贸易需要产生的自由流动之间的矛盾，既要保证数字贸易市场的活跃度，又要在数据资源上保有足够的控制力。

（一）跨境数据流动控制之正当性

过去十年中，全球针对数据跨境流动进行限制的国家数量翻了一番①。究其原因，主要源于主权国家作为规制主体，具有集体性的权力和职责，希望通过控制数据流动，实现强力维护国家数据秩序的集体愿景。

第一，基于维护国家数据主权之需求。数据主权的基本表征在于数据资源应受到数据存储地的法律管辖。数据如何存储以及在何地存储原本属于数据控制者和数据使用者的经营自主权范畴。然而，少数处于绝对优势地位的数据“食利者”崛起，利用数据控制者和数据使用者的趋利性，让数据自动向其汇聚，导致数据资源存储和分配的过度集中，特别是向美国管辖范围内的少数数据巨头集中，对数据流出国产生负面影响，削弱国家的数据管辖能力。2019年，全球超级数据中心达到504个，其中接近40%的超级数据中心位于美国。紧随其后的中国、日本、英国、德国和澳大利亚总共才占有32%的比例②。处于控制核心节点的美国，通过积聚他国数据，固化已有的技术优势，深化他国对其经济依附和技术依赖，给他国数据主权带来威胁，对国家数据管辖能力形成挑战[12]。基于此，许多国家在数据流动过程中确立“边疆”以控制国家核心数据的外流，维护国家对数据的管辖能力[13]。

第二，基于保护公民数据安全之需求。公民数据权作为主观权利，其内涵包含个人数据自由、数据自我决定，强调人格尊重和行动自主。绝大多数国家对跨境数据流动进行约束的初衷，皆是保障公民数据权，实现公民的数据自由[14]。例如，欧盟倡导的约束性规制模式就与其标定个人数据的权利属性、优先考虑保护个人数据权的立场有着密切关联[15]。诚然，对数据流动自主权进行规制着实阻碍数据控制者的经营自主权，不利于实现数字贸易的发展。然而，之所以约束数据控制者的自主权，实则是在数据空间失去传统公权力的保护后，公民的数据权利难以得到有效保障。基于此，为保护公民数据权利之需求，通过跨境数据流动法律规制，降低公民个人数据被不当采集的风险，降低其数据主体身份被识别的风险，降低本国公民数据权倾向数据控制者的风险[16]。

第三，基于促进数字经济发展之需求。数据已经成为数字贸易的要素资源，市场主体通过开发海量异构的数据资源取得经济收益。然而，因为数字产业竞争力差距的存在，数字贸易面临数据控制地理上的分化问题，而跨境数据流动控制被认为有助于解决分化，带动国家数字经济的发展。以俄罗斯为例，在2018年施行以数据本地化为主要特征的跨境数据流动法律规制政策后，俄罗斯的数字贸易发展得到极大推动。一方面，俄罗斯信息化基础条件不断完善。基础设施建设程度全球排名从2018年的第56位，上升至2019年的第48位①。另一方面，数字技术市场规模加速扩大，以每年30%～40%的速度增长。受俄罗斯等国成功实践所影响，更多国家相信强有力的数据控制有助于本国数字经济的发展，避免不平等的数据控制关系，纠正技术差距造成的产业发展不平衡、贸易发展不均衡的问题[17]。

（二）跨境数据自由流动之正当性

数据要素的效用发挥，不仅需要静态的海量，更需要重视动态的效能，其流动方向和流动程度极大地影响着全球数字贸易的格局和差序。无论是基于推动企业全球发展、提高生产要素配置或驱动国际贸易快速增长的需要，都赋予跨境数据有序流动的正当性。

第一，基于推动企业全球发展之需求。与传统贸易相同，数字贸易通过全球价值链实现高效分工[18]。全球价值链中供需双方并不直接进行交易磋商，而是委托给各自的代理人决策。然而，由于数据的嵌入，数字贸易建构出一种主体多元的“网状”贸易流通体系，使得供求双方摆脱代理人、直接交易成为可能，大幅压缩了全球价值链的中间环节[19]。一方面，数字贸易生产端参与者获取消费端反馈的成本大幅降低。另一方面，数字贸易消费端参与者针对设计、研发、制造和管理的诸多诉求能够获得生产端的快速响应和精准反馈。消费端和生产端的直接互动，大大降低企业的交易门槛，提高交易效率，价值链收益分配向前后两端迁移，让更多的企业直接融入纵横交错的价值网络，极大地推动全球商业拓展。

第二，基于提高生产要素配置效率之需求。贸易的本质在于匹配供需，无论是传统贸易还是数字贸易，目的都在于通过交换，在全球范围内有效配置生产要素，满足供需双方的需求。不过，数字贸易的供需匹配过程大不相同，具有虚拟化的特点：在虚拟化的互联网平台上达成、使用虚拟化的电子支付方式、采取虚拟化的递送交付方式，不受时空条件的约束[20]。借助跨境数据流动，可供匹配的对象扩展至全球，支撑起几乎所有生产要素的全球化活动，产生更大的经济价值。2015年全球数字贸易价值已超过货物贸易额，2020年全球数字贸易零售交易额占全球零售贸易总额的16.13%①，到2030年数字技术的使用有望使得全球贸易增加34%②。

第三，基于驱动国际贸易快速增长之需求。与传统贸易一样，驱动经济增长依然是数字贸易的目的。海量异构的数据以产能输出的形式实时流出，经过不断地消化、处理，在产业上下游、协作主体之间以最低的成本流动和交换，产生增值服务，生成更多新的数据，形成实时数据回流，淡化要素的稀缺性和属地性，增加流入国的要素供给，实现更大规模的多维度联通，最终转化为数字贸易发展能量，并激发其他生产要素的潜力，大幅提高经济效率与经济效益。伴随数据流动的加快，在2015—2024年期间，数据流最低价值估计为29.7万亿美元③。

上述分析显示“跨境数据流动控制需求”和“跨境数据自由流动需求”均具有正当性基础，然而二者的法律供给需求却南辕北辙：“跨境数据流动控制需求”预期高强度的法律介入以约束数据流动;“跨境数据自由流动需求”则预期低强度的法律介入以降低数字贸易发展的负荷。跨境数据流动法律规制体系则需要将二者融合在一起，不因数据控制或数据流动的单方面吁求而减损相对方的法律供应量，确保功能效益最大化。因此，以“数据控制-数据流动”的互动消长关系作为跨境数据流动法律规制缘起的原动力和发展的支撑力，是具有协调性的跨境数据流动法律规制体系的应然选择。