【经典重温】数据跨境：概念、场景与监管方向

虽然近年来国际组织和各经济体高度关注数据跨境的监管，但是对于数据跨境概念尚缺乏全球统一的定义。结合多方口径，目前的数据跨境主要指数据产生主体与数据使用主体之间跨越国境或者司法管辖区的情况。数据产生与使用的主体包括个人、企业与政府等，数据范围主要包括个人数据、商业数据与公共数据，且以个人数据为主。使用的方式具体包括数据传输、数据存储、数据访问、数据处理等。

目前，数据交易仍处于发展早期，纯粹的跨境数据交易较为鲜见。数据跨境通常伴随有相关的经济活动，数据跨境是相关经济活动造成的结果，通常与企业跨国经营、全球贸易等跨境经济活动相关。其中，近年来尤以服务贸易中涉及的数据跨境场景发展较快。

数据跨境监管存在无法兼顾数据保护、跨境数据自由流动、以及数据主权的“不可能三角”。考虑到各国都较难放弃数据主权，因此数据跨境监管的关注点主要分为两大趋势：

一是重视数据主权与数据保护，严格监管数据跨境流动。该流派以欧盟和我国为代表。欧盟有重视个人数据保护的传统，并颁布一系列法规，包括2016年4月27日通过的《通用数据保护条例》（GDPR）与2019年5月通过的《非个人数据自由流动条例》，二者分别确立个人数据和非个人数据的流动规则。在个人数据方面，欧盟个人数据可传输至获得欧盟“充分性认定”的国家，此外还可通过签订协议、采用特定情形下的豁免等方式进行数据跨境。我国则建立了以数据本地化为基础，附加数据出境安全审查的数据跨境监管框架。

二是重视数据主权与跨境数据自有流动，倡导数据自由流动。该流派以美国为代表。由于美国拥有众多的跨国互联网企业，是全球数据跨境流动的流入方和实际受益者。因此，美国在数据跨境方面更偏向促进数据自由流动。美国主要通过在多边或双边贸易协定中对数据跨境做出规定的方式来保障数据跨境自由流动。不过，针对涉及国家安全的敏感信息，美国也提出了严格的数据跨境审核要求。

值得注意的是，欧盟及美国均在相关法案中赋予了本地监管机构针对数据监管开展长臂管辖的权利，欧盟还在一定程度上引领了其他经济体数据监管的方向，引导各经济体参照其规则开展数据监管。

由于数据主权的重要性，数据跨境的监管原则在当前尚存在较大争议。一方面，这是以美国、欧盟为代表的监管方向之争，可以视作数据流入与数据流出的经济体之间的争议。另一方面，也是数据本地化措施合理与否的争议，可以视作发达国家与发展中国家之间的争议。应当指出的是，我国与美国均属于拥有大型国际互联网企业、领先高科技产业的大型国家，属于数据跨境自由流动的受益方，但我国仍是发展中国家，因此在数据跨境的态度上也首先考虑数据安全，形成数据本地化措施的与数据安全出境评估相结合的监管框架。

虽然数据跨境原则仍然存在争议，但各国际组织等仍在探索推动数据跨境顺畅开展。世界经济论坛（World Economic Forum，WEF）从商业角度出发，提出数据跨境的监管路线图。WEF提出，各国家或地区应在允许数据跨境流动的基础上，通过完善数据保护水平、发展数据安全保护能力、建立责任机制、考虑技术可操作性、重视技术方案等方面，促进全球数据自由流动。