《數據安全法》中關于跨境數據流動的第二條、第十一條、第二十五條、第二十六條、第三十一條、第三十六條和第四十六條、第四十八條等條款，對境內外數據處理活動、數據領域國際交流合作、數據出口管制、國別數據對等開放、數據出境安全管理、數據監管國際合作等都做出規定。從全球看，跨境數據流動監管仍未形成共識。無處不在的數據流動，引發人們關于個人隱私保護、消費者權利保護以及網絡安全的擔憂。中國政府有關業務主管部門在認真貫徹落實《數據安全法》的同時，應積極推動世界貿易組織（WTO）數據監管規則框架改革。

　　一、跨境數據流動國際監管現狀

　　WTO 現有規則框架未能對全球范圍內的數據流動做出有效規范。目前，較受認可的國際規則是WTO 前身即關稅及貿易總協定（GATT）烏拉圭回合談判達成的于 1995 年 1 月生效的《服務貿易總協定》（GATS）對數據限制措施的約束。GATS 的基本原則是支持構建開放的數據流動環境，并沒有限制各經濟體通過合理的方式進行數據監管。將互聯網時代之前的 GATS 規則應用到當下數據監管存在爭議：一方面，跨境數據流動不僅涉及服務貿易，也涉及貨物貿易，應用 GATS 加以規范勢必將服務貿易與貨物貿易割裂；另一方面，數字服務的交叉性為判定一國的數據流動限制措施是否違反國民待遇和市場準入承諾造成困難。

　　WTO 規則框架對數據保護的局限，導致各國紛紛出臺數據安全保護法案。2018 年生效的歐盟《通用數據保護條例》（GDPR），因其嚴苛的規定、高昂的罰款、廣泛的適用范圍而被認為是當今世界對個人數據保護水平最高的法案。根據 GDPR 的充分保護原則，歐盟將對第三國的數據保護水平進行評估，只有獲得充分決定的認證國家才能與歐盟進行數據自由流動。然而，非透明的評估程序使獲得歐盟充分決定的認證困難重重，目前僅有日本、新西蘭、瑞士等 12 個國家或地區通過認證。由于美國數據保護水平未達到歐盟要求，歐盟仍將美國排除在充分決定的認證之外。美國是跨境數據流動的堅定支持者，對跨境數據流動的監管相對較為寬松。具有代表性的是為促進美歐貿易合作于 2000 年達成的《信息安全港框架協議》（Safe Harbor Framework）及 2016 年達成的《隱私盾協議》（Privacy Shield）。美國國會于2018年通過的《澄清境外合法使用數據法案》（CLOUDAct）使執法機構更容易訪問存儲在國外的數據。美國參議院于 2021 年 6 月通過的《創新與競爭法案》（USICA），將允許對不利于美國的不合理數字貿易措施進行調查，對歧視性數字貿易進行審查。日本基于制造業優勢主推可信數據自由流動倡議，支撐其“社會 5.0”理念框架下的數據驅動型經濟戰略。日本與歐盟在互聯網領域利益趨同。2019 年 1 月，日本率先通過歐盟的充分決定認證并與其構建世界上最大的數據安全傳輸區域。

　　跨境數據流動規則還被納入區域貿易協定中。1980 年，經濟合作與發展組織（OECD）發布的《隱私保護與個人數據跨境流動的指南》（GuidelinesGoverning the Protection of Privacy and Transborder Flowsof Personal Data）是第一套國際范疇商定的隱私規則，為后來多國及國際組織跨境數據流動規則制定提供了重要參考。《全面與進步跨太平洋伙伴關系協定》（CPTPP）消除了數據流動的實質性阻礙，允許出于商業需要的數據跨境傳輸，禁止數據本地化要求。以美國為主導的區域跨境數據流動規則，積極推廣亞太經濟合作組織（APEC）的跨境隱私規則（CBPR）體系。于 2019 年達成的美墨加協定（USMCA）充分反映了美國支持跨境數據自由流動的主張，主要規則囊括非歧視性待遇、開放政府數據及計算設施非強制本地化等，且將 CBPR 體系作為個人信息保護條款的參考。

　　中國高度重視數據安全保護及數據產業發展。中國對跨境數據流動持審慎態度，于 2017 年施行的《網絡安全法》規定在中國境內收集和產生的個人信息和重要數據應當在境內存儲，將“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。隨著數字化水平的深入，中國不斷以開放、合作的態度推進跨境數據合法合規流動，以符合自由貿易趨勢。2020 年 9 月，中國提出《全球數據安全倡議》，呼吁各國共同保障重要數據及個人信息安全，妥善處理跨境數據流動問題。于 2021 年 6 月通過的《數據安全法》對數據監管責任、數據保護路徑及法律責任做出明確規定。《數據安全法》表明了中國進一步促進數據跨境安全、自由流動的意愿，鼓勵數據在依法有序的前提下自由流動，并積極參與數據安全相關國際規則和標準的制定。

　　二、跨境數據流動的違法違規表現

　　由于目前尚未形成較為全面的數據流動監管體系，導致跨境數據流動中的違法違規事件屢有發生。在中國，跨境數據流動引發違法違規的表現包括非法獲取計算機系統數據、數據產品市場的不正當競爭、侵犯知識產權以及侵犯個人隱私權四類情況。

　　一是個別企業非法獲取他人計算機系統數據。數據作為新生產要素在市場經濟中發揮著愈發重要的作用，在數據流轉與跨境流動過程中，企業數據資源爆炸式增長，存儲的數據“原材料”和系統安全面臨風險。非法獲取計算機系統數據是相對較為頻發的數據侵權行為，這類案例數量呈逐年增長態勢。境內外不法分子通過“爬蟲”技術等方式入侵其他公司服務器非法獲取數據資源，危害計算機信息系統安全，形成互聯網黑灰產業鏈條。

　　二是數據產品市場的不正當競爭行為。在保護用戶個人隱私信息安全的前提下，數據產品開發者可依法進行數據資源開發與利用。跨境數據廣泛流動過程中更容易被竊取、盜用、轉售謀利，擾亂數據產品市場秩序，破壞公平競爭的市場環境。隨著數據流動范圍擴大、流動速度加快，尤其是跨境數據的流動涉東道國的相關法律法規，導致數據產品市場競爭復雜化，亟須規范與維護全球公平競爭環境。

　　三是數據領域知識產權侵權問題。數字時代的知識產權保護范圍進一步拓寬，涌現出“計算機軟件使用中的商業秘密保護”“源代碼保護”及“數字內容版權保護”等新領域。尚未完善的數字知識產權保護體系難以適應跨境數據自由流動的要求，引發商標、專利、著作權及地理標志等知識產權侵權行為頻發。例如，2011 年的某網絡科技有限公司擅自通過信息網絡向公眾提供國外公司作品和錄音錄像制品案，2018 年的某數碼科技有限公司侵犯他人軟件源代碼的著作權案。數字時代的知識產權依托數據而存在，跨境數據流動加速給知識產權侵權行為帶來可乘之機。

　　四是數據領域侵犯個人隱私權現象。保護用戶個人信息是推進跨境數據流動的前提。企業應依法保護個人隱私權，依法對個人數據進行合理化商業使用。調研發現，部分企業逾越數據合理使用界限，侵犯用戶個人隱私數據并將其商業化使用或實施網絡詐騙。

　　還有些企業在境外開展經營活動時，包括一些互聯網公司在境外發行證券與上市等，違反了國內相關數據保護和信息安全管理規定，片面追求商業利益，沒有壓實關于網絡安全、數據安全甚至國家安全的主體責任。

　　三、促進跨境數據安全合理高效有序流動的政策建議

　　針對跨境數據流動中的違法違規行為，呼喚世界各國加強國際監管合作。中國政府應督促企業依法合規經營，積極參與國際跨境數據流動規則制定，推進 WTO 構建公平合理安全有序的跨境數據監管規則框架。

　　（一）督促企業依法收集、存儲、使用及加工數據

　　《數據安全法》的頒布為中國數據安全流動保駕護航。有關主管部門需要督促企業進一步約束自己的行為，依法依規開展各項業務，鼓勵企業創新，促進數據產業發展。一是嚴格遵守與數據相關的法律法規。企業應嚴格遵守數據安全法，保護用戶的個人隱私權。禁止通過不正當手段竊取、倒賣數據等違法違規行為，維護公平競爭的市場秩序。當企業的正當權益受到侵害時，應按照數據安全法等法律法規捍衛自身合法權益。二是鼓勵創新數據產品及數據安全保護技術。企業要創新數據產品形式，將碎片化、粗放的數據進行提煉、整合及分析，提升數據資源的使用價值，更好地為經濟社會服務。企業要創新計算機系統安全保護措施，提高數據保護技術，增強抵御他人非法獲取計算機信息系統數據的能力。三是積極應對國際數據產品市場競爭中的風險與挑戰。隨著跨境數據流動范圍的不斷拓寬，國內、國際市場界限逐漸模糊，越來越多的數據爭端發生在本國企業與外國企業之間。企業應培養國際視野，提升國際競爭力，在融入國際市場競爭過程中遵守東道國及國際法律法規。

　　（二）積極參與國際跨境數據流動規則制定

　　新冠肺炎疫情凸顯跨境數據流動的重要性，《數據安全法》進一步完善了國內數據監管框架。中國應以 2020 年 9 月提出的《全球數據安全倡議》為基礎，多層次、多渠道參與國際規則制定，同各方攜手創建數字治理國際規則。一是積極參與全球統一的數據監管規則制定。中國應引導 GATS 的改進，加速構建促進個人信息保護、數據有序流動和保護公共利益相協調的新型數字貿易規則。代表廣大發展中國家利益，向 WTO 提交有利于發展中國家數據產業發展的提案，幫助發展中國家彌合數字鴻溝，為互聯網基礎設施較為薄弱的國家提供技術支持。二是加強與美歐日等經濟體在跨境數據流動領域的對話。美歐日跨境數據流動規則制定領域起步較早，擁有一定主導地位。由于各國關切錯位，形成統一規則有較大難度。中國應加強國際合作，求同存異，推動與美歐日等經濟體跨境數據流動對話。借鑒歐盟與美國締結的《隱私盾協議》，與歐盟開展有關數據跨境流動的雙邊協議談判。三是構建跨境數據安全流動合作區域。2020 年，中國參與簽署的《區域全面經濟伙伴關系協定》（RCEP）已包含跨境數據流動相關議題，支持出于商業目的的跨境數據流動。中國應以 RECP 及“一帶一路”倡議為契機，加強區域規則磋商及國際監管合作，構建更大范圍的跨境數據安全流動合作區域。

　　（三）推進 WTO 構建跨境數據流動監管規則框架

　　構建國際統一的跨境數據流動規則框架有助于暢通數據流通渠道，激發數據產業發展活力。WTO應保障各成員國出于合理目的進行數據監管的權力，促進全球數字市場的數據流動、數字創新和良性競爭。一是完善國際數據監管規則體系。WTO 應積極推動與促成數據保護與監管的統一規則，提高隱私保護水平及擴大數據責任方，通過開展反壟斷調查等方式妥善解決數據壟斷與強制授權問題。協調與平衡各方利益，鼓勵發展中國家完善國內互聯網基礎設施建設及數據保護法律體系，積極參與到全球數據開放與競爭之中。二是規范數據產品市場行為。WTO應倡導構建公平競爭的國際數據產品市場環境，抵制通過不正當手段竊取他人數據產品獲利的行為。激發數據產品開發者創新數據產品的熱情與動力，維護公平競爭的市場環境。三是加強數字知識產權的保護。WTO 應強化數字知識產權保護意識，防止跨境數據流動監管不力對數字知識產權的保護產生負面影響。提高《與貿易有關的知識產權協議》（TRIPS）在數字時代的適用性，避免跨境數據流動損害數字知識產權產業發展。四是保障各成員國合理范圍的數據主權。WTO 應防范數據安全管理被少數具有技術優勢和壟斷能力的國家操縱，應照顧到廣大成員國的利益與關切。WTO 需以非歧視性和合理性為原則，保障成員國對數據流動的司法管轄權和安全管理權，承認各國自主決定征收所得稅的權力。