美國著名政治學者小約瑟夫·奈在《理解國際沖突：理論與歷史》一書中指出，一場信息革命正在改變世界政治，處于信息技術領先地位的國家可攫取更大的權力，相應地，信息技術相對落后的國家則會失去很多權力。數據跨境流動不僅僅是傳統上個人隱私保護的問題，還牽涉商業層面是企業之間跨境貿易和企業走出去的問題，而數據流通的基礎規則，在很大程度上決定了國際貿易的規則，牽涉國家安全和國家主權。

目前，國際上對跨境數據流動沒有統一的界定。從國際組織以及其他國家對跨境數據流動的管理與制度來看，主要有兩類理解：一是數據跨越國界的傳輸和處理;二是數據雖然沒有跨越國界，但能夠被第三國的主體訪問?？缇硵祿魍C制的總體原則是，數據在國外主體處受到的保護程度，不低于在國內保護的程度。

在數字貿易環境下，跨境數據流動成為重要的推動因素，對全球經濟的發展起到重要作用。2014年，麥肯錫全球研究院發布報告《數字時代的全球流動：貿易、金融、人和數據如何連接全球經濟》，指出全球的五流(商品、服務、金融、人員和數據)正在不斷增長，對全球GDP增長的貢獻為每年2500億至4500億美元，相當于全球經濟增長的15%至25%。報告指出，與連通性較低的經濟體相比，連通性較高的經濟體獲得的收益最多高出40%。美國作為全球數字貿易最發達的國家，得益于數據的跨境流動。據美國國際貿易委員會(ITC)估計，數據流動使得美國的GDP增加了3.4至4.8個百分點，同時創造了240萬個就業崗位。

麥肯錫公司的數據顯示，單就數據流動而言，數據聯通最強的都是發達國家，而且多數為西方國家。荷蘭是歐洲互聯網流量的中心，排在第一位，接下來為德國、英國、法國、瑞典、新加坡和美國。不過，歐洲除外的每個洲消費的超過一半的數字化內容是美國生產的，美國作為全球數字化網絡的中心受益匪淺。

[[175111]]
國際框架協議與合作

最典型的框架是亞太隱私保護規則體系(CBPRs)，該體系對我國的影響也比較大。

2011年，亞太經合組織(APEC)建立跨境商業個人隱私保護規則體系(CBPR)，由獲得認可的評估機構對商業機構保護個人隱私與信息的水平進行認證并公布，企業可自愿參與。美國為保障自身安全、最大化自身經濟利益積極加入CBPR，極大提升了CBPR的國際影響力，使CBPR未來可能成為地區主導的跨境數據流動框架。

CBPRs從國家層面來看，是非約束性的體系。國家推出責任代理機構，由它認定各個國家的企業是否遵循了CBPRs的體系，如果遵循的話，在企業加入這個體系以后，企業和企業之間可以進行數據的自由交換。2015年8月底CBPRs和歐盟BCR(歐盟企業之間約束性企業規則)的起草單位就雙方融合之后的可行性進行了探討，一旦體系互認以后會具有非常廣泛的覆蓋性。

BCR和SCC(標準合同條款)國際上用的最好的協議規則，尤其是BCR比較成熟，企業用起來比較靈活和方便。標準格式合同管理模式即由政府對跨境數據處理合同條款中應當包含的安全管理內容進行規定。例如，在歐盟，由數據保護主管部門制定標準格式合同條款，在條款中依據數據保護法的原則納入數據保護的要求，企業之間簽訂的跨境數據流動處理合同如果包含了格式合同的條款，則無需經數據保護主管部門同意即可實現跨境數據流動。

跨境數據流動是一個國家間問題，各國正積極爭取獲得重要貿易伙伴國的數據保護認證。例如，美國與歐盟之間曾長期履行“安全港”協議，承諾遵守“安全港”協議的美國企業能夠獲得數據保護“充分性”的認定，獲得處理來自歐盟成員國數據的資格。該協議確認安全港隱私原則及附屬條款對個人數據的保護達到了歐盟的充分保護要求。

“2013年，美國監控丑聞曝光，歐盟成員國數據保護機構紛紛質疑安全港協定;于是，2014年1月，歐盟和美國開始啟動談判，磋商新的數據跨境協定，以取代當時還有效的安全港協定。2015年10月6日，歐盟法院一紙判決否決了安全港協定，數千美國企業跨大西洋轉移歐盟公民個人數據失去庇護。11月6日，歐洲委員會發布指南，在督促盡快達成新協定的同時，為保障跨大西洋轉移個人數據提出其他可選方案，包括合同方案和有效公司規則。2016年2月2日，歐洲委員會宣布，雙方已經達成一個新協定，名曰“歐盟-美國隱私護盾”(EU-SU Privacy Shield)。2月29日，隱私護盾公之于眾。”

同安全港一樣，隱私護盾也包含七大隱私原則，但是內涵要比安全港隱私原則豐富。

表1：隱私護盾七大隱私原則

此外，巴西、新加坡、墨西哥等國家為融入跨境數據流動國際協作也加快了本國數據保護立法和加入國際認證機制的進程。美國構建全球隱私保護執法網絡(GPEN)，目前認同程度不高，成效還有待觀察。

分級分類管理政策

就跨境數據流動安全管理總體框架而言，目前世界各國尚無統一制度，但一般的通行思路都是對不同數據采取分級分類管理，并有針對性地采取不同的保護措施，確?？缇硵祿鲃硬坏梦＜肮駲嘁婧蛧野踩?/p>

一是重要的數據禁止跨境流動。例如，俄羅斯通過法令，要求本國公民信息必須存儲在俄羅斯境內;澳大利亞規定安全等級較高的政府數據不能存儲在任何離岸公共云數據庫中，而必須存儲在具有較高安全協議的私有云數據庫中;韓國《信息通信網絡的促進利用與信息保護法》第51條規定，政府可要求信息通信服務的提供商或用戶采取必要手段防止任何有關工業、經濟、科學、技術等的重要信息通過通信網絡向國外流動。二是政府和公共部門的一般數據和行業技術數據有條件的限制跨境流動。例如，澳大利亞將政府信息分級，要求對其中的非保密信息也必須經過安全風險評估后才能實施外包。三是普通個人數據允許跨境流動，但需要數據流入國滿足一定安全認證要求。目前多個國家都參與了數據跨境流動的國際或國家間認證，為本國數據流出和接受他國數據流入搭建通道。

美國等制度較為成熟的國家，其跨境數據流動管理思路緊密圍繞本國的核心利益。以美國在TPP貿易協定談判中提出的知識產權條款為例，美國為保護其文化產業，將其《千禧年數字版權法案》中嚴格的知識產權侵權責任條款照搬進TPP談判中，主張允許知識產權人追蹤互聯網服務提供者為用戶所提供的音視頻、圖片等信息產品。在歐盟，根據1995年《數據保護指令》，在實施數據處理之前，數據控制者應當向監管機構報告;對可能給數據主體的權利和自由帶來特殊危險的數據處理行為在實施之前進行審查。

立法與配套手段建立

目前國際上主要存在兩種跨境數據流動的權責模式：

一是知情同意模式，歐盟、日本、俄羅斯等大多數國家都規定，收集數據時必須取得數據提交人的明示同意，以作為后續數據流動的必要條件，強調數據提交人的知情權。

二是目的限制模式，如美國法律規定，數據收集后的再利用必須秉持正當目的，強調通過數據利用的具體情境判斷數據流動的合法性。

跨境數據流通的主要合法性機制除國際框架和協議之外，還包括充分性認定、當事人同意、企業自我評估及數據本土化等思路和機制。

充分性認定以歐盟為例，歐盟有自己的法律規定就是數據要流通到資料保護充分的國家和地區，目前認定的有加拿大、阿根廷等，但是這個認定非常局限，認定的國家的法律模式都是遵循歐盟而來的。

當事人同意是合法的，但當事人可以隨時撤銷，認定充分性有很高的門檻。在網絡條件下沒有達到充分性，經常有可能被撤回，對企業來說是非常不劃算的，這是風險非常高的機制。

企業自我認證和自我評估以英國為例，英國數據保護機構ICO出臺了一個隱私保護的指導方案，企業可以進行自我評估，評估數據流通的狀況是否符合國際上遵循的標準，如果自我評估良好的話，可以對對方國家進行認證和證明，然而歐盟層面不贊同這個機制。安全評估認證制度主要是指數據控制者在將數據轉移至境外前，要對數據安全風險進行評估或者認證。從目前來看，風險評估主要是針對政府和公共部門的數據轉移至境外的情況。根據《澳大利亞政府信息外包、離岸存儲和處理ICT安排政策與風險管理指南》所述，澳大利亞的政府信息分為幾個層級。其中對于非保密的信息，要求政府機構須經安全風險評估之后才能實施外包。

推行非強制性管理手段彌合制度差異。歐盟為建立統一市場，消除各成員國既有制度對跨境數據流動形成的阻礙，采取了一系列非強制性的管理手段，創造一個盡可能統一的法制環境。此類制度雖然不具備強制性，但采納實施的國家或企業將獲得數據流動方面的便利。這種管理手段也被其他國家逐漸接受，成為跨境數據流動監管方面的典型制度。

流動限制之利弊

目前對跨境數據流動的限制，主要是兩個方面，一是要求在境內建設數據中心;二是要求數據必須存儲在境內。一些國家將企業在境內建立數據中心作為允許其開展服務的條件之一。越南在2013年發布法令，要求所有的互聯網服務提供者，例如Google、Facebook等公司在境內建設至少一個自己的數據中心。巴西也在2013年開始制定政策，要求Google、Facebook等公司在境內建立數據中心。印度政府要求公司須將部分IT基礎設施放在境內，給檢察部門用于訪問加密信息。馬來西亞已經通過了一個要求設置本地數據服務器的立法。除此以外，俄羅斯、委內瑞拉和尼日利亞也制定了相關立法，要求用于處理支付信息的IT基礎設施在境內存放。

大多數國家除了前述數據中心本地化的要求以外，還要求數據在境內存儲。表2對這些國家的做法進行了梳理。

表2：部分提出數據本地存儲要求的國家的做法

2014年，歐盟國際政治經濟中心(ECIPE)通過研究，模擬了跨境數據的影響，結果顯示，在短期來看，限制跨境數據流動將會對GDP的增長造成影響。例如巴西從2.3%降低到1.5%，印度從4.4%降低到3.6%，印尼從5.8降低到5.1%，韓國從2.8%降低到1.7%，歐盟從﹣0.5%降低到﹣1.6%。同時，數據中心對能源需求較大，根據美國的預算，數據中心會消耗2%的能源供應，并且這個比例還在上升。一旦出現能源短缺或者黑客攻擊等安全事故，導致境內數據中心癱瘓，將無法有效利用境外資源。特別在發展中國家，信息通信領域的技術和設施還相對落后，因此構建數據中心的成本可能高于其他國家，要求企業只能使用國內數據中心可能造成企業的成本增高。表3分別對數據跨境流動進行限制的利弊進行了總結。

表3：對跨境數據流動進行限制的利與弊