全球主要经济体推动数据@@跨境流动的@@制度探索和规则框架@@

　　数据@@跨境流通@@是数字全球化和经济全球化@@“双轮@@”驱动下的@@必然产物@@，已成为全球数字经济@@一@@体化和驱动国际贸易@@发展的@@重要支撑@@。本报告梳理了全球数据@@跨境流通@@规则发展总体态势@@，整理了全球主要国家@@@@、地区及国际组织数据@@跨境流动规则机制@@和发展趋势@@，在此基础上@@，分析对推动我国数据@@跨境流动发展的@@启示@@，并提出政策建议@@。

　　一@@、 全球数据@@跨境流动政策发展总体态势@@

　　一@@是@@数据@@分级分类管理制度成为主流发展趋势@@。不同类型的@@数据@@@@，例如@@个人数据@@@@、重要数据@@@@、敏感数据@@等涉及的@@法律管控@@、安全风险和所需的@@保护程度各不相同@@，越来越多的@@国家@@实行数据@@分级分类管理机制@@，以此开展监督管理工作@@，形成宽严并济的@@数据@@跨境流动治理模式@@。

　　二@@是各国纷纷出台治理法规谋求引领国际规则@@@@。随着全球数据@@跨境流动需求的@@增加@@，全球主要经济体将数据@@跨境流动规则纳入多边和双边国际贸易@@谈判当中@@。现有国际数字治理框架难以满足全球数据@@跨境流动治理的@@需求@@，亟需建立适应当今数字经济@@快速发展的@@新的@@数字治理框架@@，以此释放数据@@的@@潜在价值@@。

　　三@@是长臂管辖@@导致数据@@主权冲突持续不断发生@@。“长臂管辖@@”会将一@@国的@@执法效力拓展至数据@@所在国@@，侵害数据@@所在国的@@司法主权@@，损害数据@@所在国的@@合法权益@@。部分国家@@通过@@@@“长臂管辖@@”扩大了法律适用范围@@，以此满足跨境调取数据@@的@@执法需求@@，加剧了当前@@国家@@之间与数据@@有关的@@司法主权冲突@@。

　　二@@、 主要国家@@及地区数据@@跨境流动规则机制@@

　　（一@@）美国@@：主张数据@@自由流动@@，根据需要限制部分数据@@出境@@

　　基于@@在数字经济@@中的@@领先优势和经济全球扩张的@@巨大需求@@，美国@@在双边和多边国际贸易@@协定中@@，一@@贯强调促进数据@@的@@自由流动@@，反对对数据@@跨境流动进行本地化存储@@。但美国@@的@@跨境数据@@流动管理对内对外却采取@@“双重标准@@”：对于@@其国内数据@@出境@@，美国@@政府@@设置了诸多限制及要求@@。例如@@，美国@@外资安全审查机制明确限制并要求国外网络运营企业将通信数据@@@@、交易数据@@@@、用户数据@@存储在美国@@境内@@，以及通信基础设施也必须设置在美国@@境内@@；同时@@，将个人数据@@视为国家@@安全的@@组成要素@@，将涉及个人数据@@的@@传输交易纳入外资安全审查范围@@。对于@@数据@@入境@@，美国@@凭借自身的@@信息科技优势@@，汇聚和融合全球数据@@资源@@，主张数据@@自由流入美国@@境内@@，助力其数字经济@@发展@@。

　　（二@@）欧盟@@：个人数据@@严格管控@@，引导重建全球数据@@规则体系@@。

　　欧盟@@高度重视公民隐私保护@@，制定高标准的@@@@《通用数据@@保护条例@@》（GDPR），欧盟@@境内的@@个人数据@@出境@@，仅允许流入欧盟@@认可的@@能够提供@@“充分保护@@”或采取@@“适当保障措施@@”的@@国家@@或地区@@。未通过@@的@@第三@@国企业只有采用欧盟@@委员会批准的@@@@“标准数据@@保护条款@@”或采取@@“有约束力的@@公司规则@@”，获得认证后才能开展数据@@跨境传输@@。同时@@，欧盟@@的@@@@数据@@立法工作长期引领国际数据@@跨境流动的@@发展方向@@@@，并且欧盟@@不断加强其数据@@法规的@@国际影响力@@，很大程度上实现了@@“欧盟@@标准@@”向@@“国际规则@@”的@@转换@@。

　　（三@@）英国@@：脱欧后出台符合本国数据@@保护法要求的@@数据@@跨境传输协议@@，确保数据@@跨境流通@@合法性@@。

　　英国@@脱欧过渡期于@@@@2020年@@底结束@@@@，欧盟@@的@@@@《通用数据@@保护条款@@》（GDPR）不再适用于@@英国@@@@，英国@@信息专员办公室最近发布新的@@标准化条款工具包@@，一@@是@@《国际数据@@传输协议@@》（IDTA），可以作为一@@个独立的@@协议来执行@@，以配合主要的@@商业合同@@，确保数据@@传输符合英国@@的@@数据@@保护法@@；二@@是欧盟@@@@2021年@@标准合同条款的@@附录@@（英国@@附录@@）。2022年@@3月@@21日起@@，上述@@IDTA和欧盟@@@@2021年@@标准合同条款的@@附录@@（英国@@附录@@）正式生效@@。

　　（四@@）日本@@：在贸易协定中设立数据@@跨境传输条款@@，实现与其他国家@@和地区的@@自由流动@@。

　　2015年@@，日本@@修订@@《个人信息保护法@@》，强化了关于@@数据@@跨境流动的@@细则条款@@，其中包括要求设立个人信息保护委员会作为数据@@跨境流通@@的@@监管机构@@，负责制定数据@@出境的@@规则和指南@@@@；个人数据@@处理者向@@境外传输个人数据@@的@@时候@@，需获得数据@@主体@@的@@同意后才可传输@@。同时@@，日本@@在@@《全面与进步跨太平洋伙伴关系协定@@》（CPTPP）、《日欧经济伙伴关系协定@@》（EPA）、以及正在谈判中的@@@@《区域全面经济伙伴关系协定@@》（RCEP）、中日韩@@FTA、日英@@FTA等多边和双边国际贸易@@协定中增加关于@@跨境数据@@流动的@@规则@@，表明其规则理念和政策倾向@@@@。

　　（五@@）新加坡@@：数据@@跨境流动的@@标杆示范城市@@，监管体制机制优势明显@@。

　　新加坡@@通过@@实施@@“智慧国家@@@@”（Smart Nation）战略@@，推动其国内信息基础设施的@@现代化发展@@，扩大电信业的@@投资与推动数据@@中心的@@建设@@。建立完善的@@个人信息保护制度和相应的@@监管框架@@，监管体系重点包括设置主管部门@@、划分责任边界@@、设定跨境流动条件@@、开展国际协调@@、明确基础设施要求等方面@@。构建完善@@、系统的@@数据@@跨境流动管理规则@@，有助于@@实现全球数据@@向@@新加坡@@汇聚和流动@@，打造成为数据@@融合的@@重要中心节点城市@@。

　　（六@@）印度@@：管理措施保守@@，探索寻求适合本国的@@中间化路线@@。

　　《印度@@电子商务框架草案@@》明确一@@系列的@@数据@@本地化存储的@@豁免情况@@，例如@@初创企业的@@数据@@流动@@、跨国企业内部数据@@流动@@、基于@@合同进行的@@数据@@流动等方面不会要求数据@@本地化存储@@。印度@@并不想实施严格的@@数据@@保护措施@@，但是又做不到放任数据@@自由流动@@。一@@方面想要融入全球数字经济@@发展格局@@，另一@@方面又想保护个人信息安全和国家@@安全@@，印度@@正在探索适应本国国情的@@中间化道路@@。

　　（七@@）俄罗斯@@：主要采取数据@@本地化存储管制措施@@，在国际市场中仍有自己的@@数据@@流通圈@@。

　　俄罗斯@@要求公民个人数据@@必须存储在俄罗斯@@境内@@，处理公民个人数据@@的@@行动也必须在俄罗斯@@境内发生@@，掌握相关数据@@的@@企业有义务告知和协助俄罗斯@@政府@@机关工作@@。然而@@，俄罗斯@@允许数据@@跨境传输至@@“108号公约@@”缔约国和@@“白名单@@”国家@@，“白名单@@”国家@@的@@判定标准为该国是否具备有效的@@个人信息保护法@@规@@、是否设立了个人信息保护管理机构以及是否针对违法行为建立了有效的@@管制措施@@。

　　三@@、 国际组织数据@@跨境流动规则机制@@

　　当前@@，缺乏一@@个国际公认的@@数据@@跨境流动治理体系@@，经济合作与发展组织@@（OECD）、亚太经济合作组织@@（APEC）、二@@十国集团@@（G20）和世界贸易组织@@（WTO）等国际组织对全球数字治理也产生了深刻的@@影响@@。

　　一@@是@@鼓励数据@@自由流动@@，适应全球数字经济@@发展需求@@。OECD是全球第一@@个提出数据@@跨境流动原则的@@国际组织@@，其在@@1980年@@发布的@@@@《关于@@隐私保护和个人数据@@跨境传输指南@@@@》（以下简称@@“OECD指南@@”）明确成员国应避免以保护个人隐私为由@@，限制数据@@的@@自由流动@@。APEC通过@@2015年@@修订的@@@@《APEC隐私框架@@》指导亚太地区的@@数据@@跨境自由流动@@。WTO作为全球最重要的@@多边贸易机制之一@@@@，主要通过@@减免数字产品关税等措施来推动全球范围内信息技术产品的@@自由贸易流通@@。

　　二@@是重视监督管理@@，特别强调数据@@安全及隐私保护@@。OECD于@@2013年@@根据新的@@数字经济@@环境对@@《OECD指南@@》进行了修订@@，明确提出国家@@隐私战略@@@@、隐私管理程序和安全漏洞通知等重点管理方向@@@@，强调个人隐私保护以及国家@@之间的@@安全监管机制的@@高效协同@@。APEC框架下的@@跨境隐私规则体系@@（CBPR）要求申请加入的@@企业的@@所在国@@，至少有一@@个监督管理机构参与隐私保护的@@监管工作@@，鼓励提升各国监督管理机构的@@协作能力@@。2019年@@，二@@十国集团@@领导人提出了关于@@@@“有信任的@@数据@@自由流动@@”的@@“大阪行动路线@@”构想以及提倡创新跨境数据@@流动的@@风险监管机制@@，旨在促成一@@个条理清晰的@@国际数据@@框架@@。

　　四@@、 国际规则@@机制对我国的@@启示@@

　　当前@@，我国数据@@跨境流动规则机制研究中处在起步探索的@@阶段@@，梳理汇总全球主要经济体在数据@@跨境流通@@的@@规则机制和发展现状@@，对我国构建符合自身发展需求的@@数据@@跨境流动政策具有重大的@@参考意义@@。

　　一@@是@@建立数据@@分级分类管理体系@@，保障国家@@安全及推动数字经济@@发展@@。既要适应全球数字经济@@发展趋势@@，有序推动跨境数据@@流动和多元的@@管理模式@@，还要强化本国网络安全@@、数据@@安全和个人隐私安全的@@保护能力@@。设置低中高风险数据@@跨境的@@管理框架@@，明确重要数据@@@@禁止跨境@@；个人非敏感数据@@@@、政府@@和公共部门的@@一@@般数据@@@@、行业非限制性技术数据@@有条件跨境@@；非敏感的@@商业数据@@和经过评估的@@个人数据@@允许跨境@@。

　　二@@是与贸易伙伴开展数据@@跨境流通@@合作@@，加强国际话语权及影响力@@。将数据@@跨境流动的@@条款纳入国际贸易@@投资协定中@@，例如@@在@@RCEP、中日韩@@FTA等多边和双边贸易谈判中增设数据@@跨境流动治理的@@谈判内容@@，推动与重要贸易伙伴国实现数据@@流动互认条款@@，通过@@贸易协定或安全协议的@@方式@@，打造能够落地执行的@@合作方式@@。特别是随着近年@@来我国的@@@@“一@@带一@@路@@”倡议从@@“硬联通@@”转为@@“软联通@@”，应重点与@@ “一@@带一@@路@@”国家@@建立数据@@跨境传输的@@合作机制@@，推动与贸易伙伴的@@数字互联互通@@。

　　三@@是建立数据@@跨境@@“白名单@@”，完善数据@@流动安全监管及信任体系@@。参考欧盟@@推行的@@管制规则@@，考虑设立数据@@自由流通的@@@@“白名单@@制度@@”，对名单中的@@国家@@实施个人信息保护及跨境数据@@流动的@@对等要求@@。将部分地区纳入可自由流动的@@@@“白名单@@”，打造数据@@跨境流动的@@信任机制@@。同时@@，建立完善的@@数据@@安全评估体系@@、数据@@传输安全评估机制和数据@@安全协议等配套措施@@，对各类数据@@的@@跨境流动进行必要的@@风险评估@@，建立重要信息系统和关键数据@@目录@@，建设数据@@跨境流动监控和预警平台@@@@，保障重要信息系统和设施的@@安全@@。

更多@@精彩@@，请关注@@@@“官方微信@@”