跨境信息流動專題研究

跨境信息流動專題研究

數(shù)字經(jīng)濟時代，數(shù)據(jù)是新的生產(chǎn)要素，也是基礎性資源和戰(zhàn)略性資源。隨著云計算、大數(shù)據(jù)的快速發(fā)展，跨境信息流動規(guī)?；?、頻繁化趨勢明顯。當前，各國受限于國內、國際發(fā)展情況，對跨境信息流動的監(jiān)管要求不統(tǒng)一，圍繞跨境信息流動的國際談判將成為不可避免的重要議題。一概論（一）概念界定及研究范圍當前，全球對于跨境信息流動還未有統(tǒng)一的定義。跨境信息流動在中文中有跨境數(shù)據(jù)流動、跨境數(shù)據(jù)轉移等不同表述方式；英文表述中，聯(lián)合國、OECD、歐盟等常使用“TransborderDataFlow”一詞，而美國、澳大利亞等常使用“Cross-borderDataFlow”一詞，一些文獻，尤其是早期的文獻常常使用“信息自由流動”即“FreeFlowofInformation”。表1國際組織及各國對跨境信息流動的概念界定國家/國際組織概念名稱概念內容來源OECDTransborderDataFlow個人數(shù)據(jù)的跨越國界流動《保護隱私和個人數(shù)據(jù)跨境流動的指導方針》聯(lián)合國TransborderDataFlow跨越國界對存儲在計算機中的機器可讀的數(shù)據(jù)進行處理、存儲和檢索跨國公司中心澳大利亞Cross-borderDataFlow跨境信息流動應當以是否被澳大利亞國界以外接入進行區(qū)分：如果個人數(shù)據(jù)存儲于澳大利亞，卻在澳大利亞境外被訪問的話，即可被視為跨境轉移。如果個人數(shù)據(jù)僅僅因為路由器緣故短暫存儲于澳大利亞境外，卻沒有被訪問的話，可以不受《隱私法》關于跨境信息流動原則的約束澳大利亞法律改革委員會（ALRC）對《隱私法》的解釋中國數(shù)據(jù)出境數(shù)據(jù)出境，是指網(wǎng)絡運營者將在中華人民共和國境內運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，提供給位于境外的機構、組織、個人《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》|Excel下載表1國際組織及各國對跨境信息流動的概念界定從字面意思來看，跨境信息流動包含“跨境”“信息”“流動”三個關鍵詞。“跨境”的含義一般指跨越國境，之所以與國際貿(mào)易中規(guī)定的“跨越關境”有所區(qū)別，主要源于跨境信息流動不涉及關稅、檢驗檢疫、通關等系列海關流程，卻與一國法律法規(guī)政策密切相關?！靶畔ⅰ痹趪飧黜椢募硎鲋杏小癉ata”“Information”，“Information”（信息）的含義一般來講比較寬泛，包含所有的信息流動，包括媒體信息、宣傳信息等，“Data”（數(shù)據(jù)）的表述相對狹義，集中于個人、商業(yè)部門、公共部門生活、運營過程中實際的數(shù)據(jù)。關于信息的種類，當前國際上還未有統(tǒng)一的分類規(guī)定，各國際組織、世界各國按照自身實際需求在相關法律條文、規(guī)定中，對不同的跨境數(shù)據(jù)進行說明，主要有政府數(shù)據(jù)、個人數(shù)據(jù)、敏感數(shù)據(jù)、重要數(shù)據(jù)等。表2關于跨境信息流動中具體信息類別的說明具體內容來源OECD個人資料是指任何關于一個被識別或可以被識別的自然人（本人）的信息，其形式不僅限于電腦處理的個人資料，還包括人工處理的個人資料《保護隱私和個人數(shù)據(jù)跨境流動的指導方針》美國信息隱私又稱個人信息隱私，是指自然人對其個人信息的保密、公開和支配、控制享有的隱私權。信息隱私主要涉及以下兩個方面的內容：①對個人信息的保密、公開和利用的利益；②支配、控制已公開的個人信息的利益《隱私權法》加拿大個人信息為“個人識別信息”，但不包括姓名、職務、辦公地址、辦公電話《個人信息保護和電子文件法》中國個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等《個人信息和重要數(shù)據(jù)出境安全評估辦法》重要數(shù)據(jù)，是指與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關的數(shù)據(jù)，具體范圍參照國家有關標準和重要數(shù)據(jù)識別指南澳大利亞政府數(shù)據(jù)指的是涉及公眾的業(yè)務和權力的數(shù)據(jù)、機關工作手冊、涉及公眾的決策和建議的文件1982年《信息自由法》健康數(shù)據(jù)指的是：①關于個人健康或身體殘疾的數(shù)據(jù)；②個人目前或將來可能接受的治療情況的數(shù)據(jù)；③在治療過程中收集或提供的數(shù)據(jù)；④個人與身份組織、器官捐獻有關的數(shù)據(jù)；⑤能夠對個人健康狀況起到預測作用的或可證明與其他人親緣關系的個人基因數(shù)據(jù)《個人控制的電子健康記錄法》（PCEHR）、1988年《隱私法》個人數(shù)據(jù)指的是理論及實踐中可識別個人身份的數(shù)據(jù)及觀點，無論數(shù)據(jù)或觀點是否真實或以物質形式記錄。可識別的個人數(shù)據(jù)包括了個人的全名、別名或曾用名，個人生日，個人性別，個人目前的住址或曾經(jīng)住址（之前兩個），個人目前雇主或之前雇主姓名，個人的駕駛證件號碼《隱私法》|Excel下載表2關于跨境信息流動中具體信息類別的說明“流動”一詞有“flow”“transfer”，但內涵基本相同，數(shù)據(jù)被跨境讀取、處理、存儲、轉移等都屬于流動范疇。需要注意的是，境外數(shù)據(jù)由一國境內中轉，但未經(jīng)任何變動或加工處理的情形不屬于本國跨境信息流動的管理范疇。同時，對于一國而言，有數(shù)據(jù)出口和數(shù)據(jù)進口之分，一般而言，數(shù)據(jù)進口國很少會自發(fā)制定政策限制數(shù)據(jù)流入，國際談判也主要集中于數(shù)據(jù)出口管理政策。鑒于此，本報告中，跨境信息流動是指數(shù)據(jù)通過互聯(lián)網(wǎng)和信息系統(tǒng)跨越國家邊境的運動?？缇承畔⒘鲃诱?、立場、管理措施是指面向數(shù)據(jù)出口的相關規(guī)定。（二）基本判斷：跨境信息流動是數(shù)字經(jīng)濟發(fā)展的必然以互聯(lián)網(wǎng)為代表的信息技術不斷加速與經(jīng)濟社會各領域深度融合，全球正處于從工業(yè)經(jīng)濟邁向數(shù)字經(jīng)濟的重要歷史機遇期，數(shù)據(jù)成為驅動經(jīng)濟社會創(chuàng)新發(fā)展的重要動力。在全球經(jīng)濟一體化的背景下，全球跨境數(shù)據(jù)量迅猛增長，跨境信息流動成為不可避免的發(fā)展態(tài)勢。當前，跨境信息流動面臨的問題，主要是各國對于數(shù)據(jù)保護、數(shù)據(jù)跨境監(jiān)管的法律規(guī)定不統(tǒng)一。由于各國經(jīng)濟發(fā)展水平、信息產(chǎn)業(yè)結構、政治意識形態(tài)等方面的不同，且跨境信息流動不僅影響到經(jīng)濟的發(fā)展，而且影響到國家安全、公眾利益，因此，各國對于跨境信息流動的主張、管理等方面都有所差異。這也成為跨境信息流動在國際談判中日益重要的原因。未來，隨著互聯(lián)網(wǎng)與經(jīng)濟社會的深度融合，跨境信息流動的國際談判將占有越來越重要的地位。這既是不可避免的趨勢，也是我們必須要提前應對的重要議題。二各國跨境信息流動決策因素及管理措施（一）各國跨境信息流動立場決策因素由于數(shù)據(jù)中包含了諸多信息，隨著跨境信息流動規(guī)模的不斷擴大，信息安全日益成為各個國際組織和國家關注的重點，各國紛紛出臺相關文件和法律對其進行規(guī)范和監(jiān)管，旨在平衡跨境信息流動中涉及的國家安全、產(chǎn)業(yè)發(fā)展和消費者保護三者的關系?？傮w來看，一國跨境信息流動相關政策的制定受國內和國外兩方面因素的影響。國內因素主要包括經(jīng)濟發(fā)展、國家安全和公眾利益三個方面。經(jīng)濟發(fā)展主要圍繞跨境信息流動相關產(chǎn)業(yè)在國家經(jīng)濟發(fā)展中的地位和作用，包括信息產(chǎn)業(yè)的發(fā)展規(guī)模、產(chǎn)業(yè)結構和就業(yè)帶動水平。經(jīng)濟發(fā)展指標主要代表了國家經(jīng)濟發(fā)展、企業(yè)發(fā)展的利益，一般來講，一國信息產(chǎn)業(yè)中數(shù)字服務產(chǎn)業(yè)規(guī)模越大、占比越高，其對降低跨境信息流動限制的訴求越大。國家安全主要是指跨境信息流動對國家安全的影響、網(wǎng)絡治理原則、網(wǎng)絡安全保障能力等方面。國家安全包括政治安全、經(jīng)濟安全、國土安全、社會安全、網(wǎng)絡安全等。一國網(wǎng)絡主權意識、網(wǎng)絡安全保障能力均能夠影響一國對跨境信息流動的限制手段。公眾利益主要圍繞一國的個人隱私保護基礎和要求，個人數(shù)據(jù)保護意識、已有的法律基礎等因素會影響到一國在跨境信息流動方面的管理方式。一般來講，個人隱私保護相關法律基礎越完善，社會文化傳統(tǒng)對個人隱私保護的要求越高，在推進跨境信息流動時，所需滿足的個人隱私保護的要求越高。國際因素主要包括國際治理原則、國際承諾、政治利益、貿(mào)易關系等幾方面的內容。國際治理原則是指一國對于自由貿(mào)易的態(tài)度，以及對國際數(shù)字經(jīng)濟秩序、規(guī)則等相關方面的態(tài)度和立場。國際承諾指一國在多邊、雙邊協(xié)定中已經(jīng)做出的跨境信息流動相關承諾。政治利益和貿(mào)易關系側重一國與美國、歐盟等具有明確國際主張并正在積極推動的國家間的政治、貿(mào)易關系。一般來講，與其有密切的政治利益關系、經(jīng)濟關系的國家更容易受到相關主張的影響。表3各國跨境信息流動決策因素決策因素關注點說明國內國家安全國家安全影響跨境信息流動對一國國家安全（政治安全、經(jīng)濟安全、國土安全、社會安全、網(wǎng)絡安全）等方面的影響網(wǎng)絡治理原則對網(wǎng)絡管轄權、網(wǎng)絡內容、網(wǎng)絡執(zhí)法等方面的原則和要求網(wǎng)絡安全保障能力一國網(wǎng)絡安全保障技術水平、產(chǎn)業(yè)發(fā)展水平以及防御能力經(jīng)濟發(fā)展信息產(chǎn)業(yè)發(fā)展規(guī)模一國在ICT、數(shù)字產(chǎn)品、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等相關行業(yè)的發(fā)展水平信息產(chǎn)業(yè)結構包括一國傳統(tǒng)信息產(chǎn)業(yè)、平臺企業(yè)、新型數(shù)字服務企業(yè)發(fā)展占比、競爭優(yōu)勢就業(yè)帶動水平跨境信息流動相關產(chǎn)業(yè)對一國就業(yè)的帶動作用公眾利益數(shù)據(jù)保護意識社會對個人隱私保護的認識、要求程度已有法律基礎一國國內法規(guī)在個人隱私保護方面的規(guī)定國際國家治理原則一國是否支持自由貿(mào)易，以及對國際數(shù)字經(jīng)濟秩序、規(guī)則的態(tài)度和立場國際承諾在多邊、雙邊協(xié)定中所做出的相關承諾政治利益與美國、歐盟等主要國家的政治利益關系貿(mào)易關系與美國、歐盟等主要國家的貿(mào)易關系|Excel下載表3各國跨境信息流動決策因素（二）各國跨境信息流動管理措施全球各國對于跨境信息流動都有一定的管理措施，按照國家對跨境信息流動立場、態(tài)度不同，所采取的措施類別、嚴格程度也有所差別?？傮w來看，主要采取分級分類的方式進行管理，通過對數(shù)據(jù)的重要程度進行區(qū)分，采取不同級別的限制措施。一般來講，限制措施主要包括完全禁止跨境傳輸、數(shù)據(jù)本地化管理、第三國適當性評估、風險評估、數(shù)據(jù)控制者擔保、數(shù)據(jù)主體同意等。1.完全禁止跨境傳輸對于涉及國家安全、軍事機密、個人關鍵信息等敏感數(shù)據(jù)，各國均做出了禁止跨境流動的規(guī)定，但各個國家對于敏感數(shù)據(jù)的界定不盡相同。禁止跨境傳輸能夠保護敏感數(shù)據(jù)，進一步保障國家安全和公眾利益。但同時也會帶來兩方面的問題，一是過量禁止跨境信息流動會阻礙正常的商業(yè)活動，不利于本國數(shù)字經(jīng)濟發(fā)展。二是國際組織在各類宣言、文件中普遍強調，成員國不可對信息傳輸施加超出實現(xiàn)目標所需要的限制。因此，過多限制跨境信息傳輸可能會在國際談判中處于不利地位。表4各國禁止跨境傳輸相關政策匯總國家具體規(guī)定內容美國2016年美國發(fā)布的《1075——聯(lián)邦、州和地方機構稅收信息安全指南》規(guī)定聯(lián)邦機構必須將稅收系統(tǒng)的接收、處理、儲存或轉移地限制在美國領土、大使館或軍事駐地內澳大利亞澳大利亞《個人控制的電子健康記錄法》將與消費者有關的個人數(shù)據(jù)與個人健康數(shù)據(jù)區(qū)分開，規(guī)定禁止可識別個人身份的健康數(shù)據(jù)向澳大利亞以外地區(qū)傳輸，例外事項除外印度印度在建立本地基礎設施的基礎上，要求存儲在這些企業(yè)的公民個人信息、政府信息和公司信息不得轉移至境外新西蘭公司把商業(yè)記錄信息存儲在境內法國對電子通信網(wǎng)絡進行偵聽的系統(tǒng)必須在境內建立和實施|Excel下載表4各國禁止跨境傳輸相關政策匯總2.數(shù)據(jù)本地化管理數(shù)據(jù)存儲本地化方式主要包括設施本地化、數(shù)據(jù)本地化。設施本地化要求企業(yè)使用數(shù)據(jù)來源國的存儲設施進行數(shù)據(jù)存儲、處理。數(shù)據(jù)本地化要求將數(shù)據(jù)存儲在數(shù)據(jù)來源國境內。數(shù)據(jù)本地化并非禁止數(shù)據(jù)的跨境傳輸，因此并不等同于禁止跨境信息流動。數(shù)據(jù)本地化政策的優(yōu)點有三：一是有助于促進本國數(shù)字產(chǎn)業(yè)的發(fā)展，設施本地化能夠促進本國相關硬件產(chǎn)業(yè)的發(fā)展，而數(shù)據(jù)的本地化必然使企業(yè)增加投資，拉動就業(yè)；二是有助于本國執(zhí)法，數(shù)據(jù)存儲在境內，為國內的行政機構、司法機構開展犯罪偵查、保護國家安全提供了方便；三是有助于本國數(shù)據(jù)管理，在數(shù)據(jù)本地化存儲的基礎上，各國可以根據(jù)自身需求，在對數(shù)據(jù)進行合理限制和規(guī)范的基礎上進行跨境流動，從而防止數(shù)據(jù)的濫用。但數(shù)據(jù)本地化管理并不能完全保障數(shù)據(jù)安全?；ヂ?lián)網(wǎng)時代的數(shù)據(jù)安全保護主要取決于網(wǎng)絡安全保障和防護能力。若一國網(wǎng)絡安全防護能力較差，則數(shù)據(jù)集中存儲反而更容易受到網(wǎng)絡攻擊，導致重要數(shù)據(jù)的泄露。表5各國數(shù)據(jù)本地化相關政策匯總國家限制數(shù)據(jù)美國2015年發(fā)布修訂規(guī)則，要求所有云計算服務提供商在國內存儲數(shù)據(jù)加拿大（不列顛哥倫比亞、新斯科舍?。娭埔蠊矙C構（如學校、醫(yī)院）保存的個人數(shù)據(jù)必須在加拿大存儲和訪問俄羅斯2014年底通過了《數(shù)據(jù)本土化法》（FederalLawNo.526-FZ），要求所有搜集俄羅斯公民個人數(shù)據(jù)的數(shù)據(jù)控制者都應當將其服務器設置在俄羅斯境內越南要求企業(yè)的搜索引擎、數(shù)據(jù)中心和云服務的數(shù)據(jù)應當存儲在境內尼日利亞所有的ATM國內交易應當通過本地的路由器，并且不得在境外處理交易路由器委內瑞拉國內支付交易應當在境內處理丹麥、挪威禁止使用服務器在境外的云服務韓國金融機構的服務器應當存儲在境內巴西要求Google、Facebook等公司在境內建立數(shù)據(jù)中心|Excel下載表5各國數(shù)據(jù)本地化相關政策匯總3.第三國適當性評估第三國適當性評估是指將數(shù)據(jù)保護水平的充分性作為與境外國家傳輸跨境信息的前提。第三國適當性評估的主要目的是保護數(shù)據(jù)安全、防止數(shù)據(jù)濫用。由于各國對數(shù)據(jù)保護標準和水平不同，第三國適當性評估更有利于保證本國數(shù)據(jù)受到應有的保護。但其執(zhí)行情況受限于評估標準，評估標準中的主觀性指標，往往更容易加入一國政府的政治考慮。表6各國第三國適當性評估相關政策匯總國家限制措施歐盟《指令》第四章專門規(guī)定個人數(shù)據(jù)向非成員國跨境轉移的規(guī)則。其第25條規(guī)定，成員國必須確保跨境數(shù)據(jù)轉移的前提是第三國為個人數(shù)據(jù)提供了適當水平的保護，第三國適當性評估由歐盟委員會根據(jù)第三國的所有情況以決議形式做出2016年《指令》的《通用條例》第45條詳細規(guī)定了歐盟委員會對第三國進行適當性評估時應當考慮的因素俄羅斯《個人數(shù)據(jù)保護法》第12條第1款規(guī)定，數(shù)據(jù)向第三國轉移的，數(shù)據(jù)控制者應當確認第三國提供了“充分水平的保護”《個人數(shù)據(jù)保護法》第12條第2款還規(guī)定，即使第三國提供了充分水平的保護，俄羅斯當局也可以以國家安全、國家防衛(wèi)、保護公眾合法權益為由禁止或者進一步限制數(shù)據(jù)轉移澳大利亞《數(shù)據(jù)安全分類系統(tǒng)》中規(guī)定政府數(shù)據(jù)方面，當數(shù)據(jù)通過雙邊安全文書希望實現(xiàn)互惠的分類數(shù)據(jù)保護時，需要采取與澳大利亞保護性安全標識類似的措施，以保證數(shù)據(jù)被置于不低于提供數(shù)據(jù)一方政府要求的保護水平|Excel下載表6各國第三國適當性評估相關政策匯總4.風險評估風險評估是指在數(shù)據(jù)出口前，由相關主管部門對數(shù)據(jù)進行評估，識別其潛在風險，并采取相應措施防范安全風險。這一管理方式，優(yōu)點是防范了數(shù)據(jù)風險，缺點是增加了政府的監(jiān)管成本，對于出口較為頻繁的數(shù)據(jù)，多次審批也降低了企業(yè)效率。表7各國風險評估相關政策匯總國家限制措施澳大利亞《政府信息外包、高岸存儲和處理ICT安排政策與風險管理指南》將政府信息分級，其中對于非保密的信息，要求政府機構進行安全風險評估之后才能實施外包加拿大《關于解決美國愛國者法案和跨境信息流動問題的聯(lián)邦戰(zhàn)略》中財政委員會要求每一個政府機構對數(shù)據(jù)處理合同進行評估以識別任何與美國愛國者法案相關的潛在風險，評估風險層級，并且采取修正措施來解決安全風險問題美國《出口管理條例》（EAR）和《國際軍火交易條例》（ITAR）分別對非軍用和軍用的相關技術數(shù)據(jù)進行出口許可管理|Excel下載表7各國風險評估相關政策匯總5.數(shù)據(jù)控制者擔保數(shù)據(jù)控制者擔保是要求企業(yè)在跨境信息傳輸時通過合同、條款等方式對數(shù)據(jù)的安全性和使用合法性進行擔保。這一管理方式將保護數(shù)據(jù)安全、防止數(shù)據(jù)濫用的責任由政府轉移到企業(yè)。這一管理方式的優(yōu)點是將數(shù)據(jù)保護機制回歸到市場機制，鼓勵企業(yè)為了迎合消費者要求而保障數(shù)據(jù)安全可靠，減輕了政府的行政審批壓力。缺點是：一方面，這一機制需要企業(yè)有較高的自律水平；另一方面，對于中小企業(yè)來說，操作成本較高。表8各國數(shù)據(jù)控制者擔保相關數(shù)據(jù)匯總國家限制措施澳大利亞數(shù)據(jù)控制者在向第三國數(shù)據(jù)接收者轉移個人數(shù)據(jù)之前，原則上必須采取“在當時情況下所有合理措施”確保第三國接收者并沒有違反澳大利亞隱私原則（透明原則除外）|Excel下載表8各國數(shù)據(jù)控制者擔保相關數(shù)據(jù)匯總6.數(shù)據(jù)主體同意數(shù)據(jù)主體同意方式是指企業(yè)在數(shù)據(jù)出口前須獲得數(shù)據(jù)主體的同意。該方式的優(yōu)點是賦予消費者以控制數(shù)據(jù)傳輸及使用的權利，強調數(shù)據(jù)主體對數(shù)據(jù)使用的責任，但有三個方面的缺點：一是數(shù)據(jù)保護水平取決于消費者隱私保護意識，二是企業(yè)可以通過多種形式控制消費者的選擇，三是增加了企業(yè)數(shù)據(jù)處理成本。表9各國數(shù)據(jù)主體同意相關政策匯總國家限制措施泰國《個人信息保護法》草案將要求在海外數(shù)據(jù)轉移之前，數(shù)據(jù)主體必須以書面形式向海外轉移者做出具體同意，同時轉移目的地國的個人資料保護法必須能足夠保護信息日本《個人數(shù)據(jù)保護法》第23條規(guī)定了向第三者提供的限制。日本境內的第三者以及日本境外的第三者都受該條約束《經(jīng)濟與工業(yè)領域個人數(shù)據(jù)保護指南》規(guī)定，同意的方式包括口頭和書面的同意，以及點擊網(wǎng)頁上有關同意的確認鍵。考慮到數(shù)據(jù)主體做出同意后又可能要求數(shù)據(jù)提供者停止向第三者提供的情況，該法做了相關規(guī)定|Excel下載表9各國數(shù)據(jù)主體同意相關政策匯總（三）典型國家分析1.美國（1）基本立場：支持自由的跨境信息流動美國支持跨境數(shù)據(jù)流自由流動，并長期致力于在全球范圍內消除跨境數(shù)據(jù)流自由流動障礙。從決策因素來看，美國以推動經(jīng)濟發(fā)展為主。首先，美國數(shù)字服務產(chǎn)業(yè)發(fā)展全球領先。美國是全球經(jīng)濟、軍事和科技實力最強的國家，以互聯(lián)網(wǎng)和跨境數(shù)據(jù)流為基礎的數(shù)字服務產(chǎn)業(yè)和跨國公司發(fā)展一直處于世界領先的地位。跨境信息自由流動是支持數(shù)字服務產(chǎn)業(yè)發(fā)展的基礎，對跨境數(shù)據(jù)流進行大規(guī)模限制不符合國家利益。其次，美國偏向限制政府權力。美國對個人信息保護采取寬松態(tài)度，將企業(yè)責任最小化至公共責任，以商業(yè)力量保護消費者信息。（2）管理手段：以行業(yè)自律為主美國沒有專門出臺一部針對跨境數(shù)據(jù)流的數(shù)據(jù)保護法規(guī)，有關數(shù)據(jù)出口的限制和法規(guī)零散出現(xiàn)在各領域法案中，重點管理軍用數(shù)據(jù)、技術數(shù)據(jù)、關鍵基礎設施數(shù)據(jù)、關鍵個人數(shù)據(jù)的跨境流動。對于技術數(shù)據(jù)，美國在《出口管理條例》《國際軍火交易條例》中分別對非軍用和軍用的相關技術數(shù)據(jù)進行出口許可管理。提供數(shù)據(jù)處理服務的相關主體或者掌握數(shù)據(jù)所有權的相關主體在數(shù)據(jù)出口時，必須獲得法律規(guī)定的出口許可證。其中，美國法律對數(shù)據(jù)出口的管理范圍非常寬泛，即使是向美國境內的外國公民傳遞數(shù)據(jù)，也被視為出口。對于基礎設施數(shù)據(jù)，美國對包括商用核設施、政府設施、交通系統(tǒng)、銀行和金融、國防工業(yè)基地等在內的關鍵信息基礎設施領域的跨境信息流動進行了嚴格的限制和管理。美國在其《國家基礎設施保護計劃》（2013）中指出，影響關鍵基礎設施的風險環(huán)境是復雜的和不斷變化的。長期以來，關鍵基礎設施一直受物理威脅和自然災害的影響，而現(xiàn)在網(wǎng)絡威脅越來越明顯，諸如網(wǎng)絡安全漏洞、網(wǎng)絡攻擊的信息技術和網(wǎng)絡威脅對關鍵基礎設施產(chǎn)生重要影響。不斷增長的數(shù)據(jù)和信息對于運營和維護基礎設施非常必要，但是這些數(shù)據(jù)和信息很容易受到非法訪問，并影響其保密性、完整性和可用性。對于重要行業(yè)和個人數(shù)據(jù)，美國出臺了多項法案進行管理。例如，在電信領域，CFIUS會要求國外投資者與其下設的電信小組簽署安全協(xié)定，要求其國內通信基礎設施應位于美國境內，將通信數(shù)據(jù)、交易數(shù)據(jù)、用戶信息等僅存儲在美國境內。（3）國際策略：積極在全球范圍內推動跨境數(shù)據(jù)流自由流動美國通過多雙邊談判積極推行跨境數(shù)據(jù)自由流動。美國在韓美自貿(mào)協(xié)定、WTO、TPP、TTIP、TISA等多邊談判以及各類國際論壇中將推進跨境數(shù)據(jù)自由流動作為重點議題，其中TPP中集成了美國認為最全面、最高標準的數(shù)字標準規(guī)則。隨著特朗普上臺及其貿(mào)易政策方向從以規(guī)則為基礎的多邊主義向以實力、實用為基礎的雙邊主義轉變，美國正式退出TPP。TTIP、TISA等多雙邊協(xié)定目前也處于暫停狀態(tài)。但這并不意味著美國關于數(shù)字貿(mào)易規(guī)則的立場和訴求會發(fā)生重大改變，在USTR發(fā)布的《2017年貿(mào)易政策議程和2016年年度報告》中，“總統(tǒng)貿(mào)易政策議程”部分最高優(yōu)先事項一節(jié)，明確點出美國企業(yè)由于別國封堵或不合理地限制數(shù)據(jù)和數(shù)字服務的流動以及竊取交易秘密而受到損害，為此，美國政府將利用所有可能的杠桿鼓勵其他國家開放市場，給美國企業(yè)提供公平、互惠的市場準入。2.歐盟（1）基本立場：支持“充分保護”條件下的跨境信息流動首先，歐盟高度重視個人數(shù)據(jù)保護。歐盟關注個人數(shù)據(jù)跨境流動中涉及的隱私問題，將個人信息保護視為人權的一部分，其監(jiān)管出發(fā)點是嚴格控制個人數(shù)據(jù)流動。其次，歐盟數(shù)字服務產(chǎn)業(yè)落后于北美。歐洲是全球發(fā)達國家較為集中的區(qū)域，但是總體來講，其信息產(chǎn)業(yè)發(fā)展與北美該產(chǎn)業(yè)差距巨大。例如，與北美地區(qū)（美國和加拿大）同行相比，歐洲云計算企業(yè)在融資、企業(yè)價值、并購等方面處于顯著弱勢。2012年北美云計算市場平均季度融資比歐洲高1倍有余，平均企業(yè)價值高于歐洲33%，企業(yè)并購情況是歐洲的1.5倍。（2）管理措施：全面、嚴格的管理體系歐盟通過《歐洲理事會108號公約》、《數(shù)據(jù)保護指令》（1995）、《歐盟議會和歐盟理事會關于共同體機構和組織處理個人數(shù)據(jù)和促進這些數(shù)據(jù)自由流動的個人數(shù)據(jù)保護》（2000）、《通用數(shù)據(jù)保護條例》（2015）等文件對個人數(shù)據(jù)的隱私保護進行了全面、嚴格的規(guī)定，形成了嚴格、全面的管理體系（具體內容將在報告第三部分詳細闡述）。歐盟關于跨境信息流動的規(guī)制對歐盟國和非歐盟國劃分了明確的界限。因此，一些國家為促進本國的電子商務或數(shù)字產(chǎn)業(yè)發(fā)展，與歐盟簽訂了數(shù)據(jù)保護相關的協(xié)議。例如，2016年通過的《美國-歐盟隱私護盾》，提出了七大原則，支持美歐之間的跨境信息流動。總體來看，歐盟以保護為優(yōu)先的策略，雖然加強了個人數(shù)據(jù)保護，但嚴厲的保護措施阻礙了企業(yè)的利益，不利于產(chǎn)業(yè)培養(yǎng)。未來，歐盟有望適當放寬數(shù)據(jù)跨境流動的規(guī)制，促進產(chǎn)業(yè)發(fā)展。2017年3月歐洲委員會發(fā)布數(shù)字化單一市場（DigitalSingleMarket，DSM）中期報告，旨在破除電子商務發(fā)展障礙、發(fā)展跨境電子活動。數(shù)據(jù)方面，委員會表示他們正準備在2017年秋天出臺一部關于非個人數(shù)據(jù)跨境自由流動的法律。3.俄羅斯（1）基本立場：“安全為先”，限制跨境信息流動俄羅斯是典型的以保障國家安全為首要考慮因素的國家。2013年斯諾登揭露了美國全球監(jiān)控計劃，出于本國安全的擔憂，俄羅斯開始考慮加強網(wǎng)絡監(jiān)控和強化數(shù)據(jù)跨境流動管理。俄羅斯信息政策和信息技術及通信委員會的一名發(fā)言人曾于棱鏡門事件后呼吁俄羅斯應該加強其“數(shù)據(jù)主權”，通過立法要求電子郵件、社交網(wǎng)站等企業(yè)將其收集的俄羅斯用戶的數(shù)據(jù)在俄境內留存。（2）管理措施：嚴格的數(shù)據(jù)本地化管理俄羅斯對跨境信息流動管理的態(tài)度經(jīng)歷了“由寬到嚴”的轉變。2006年，俄羅斯通過了兩部數(shù)據(jù)管理相關法律，分別是《關于信息、信息技術和信息保護法》《俄羅斯聯(lián)邦個人數(shù)據(jù)法》，核心在于防范對數(shù)據(jù)的非法獲取、使用，保護公民在個人信息處理中的權利和義務。棱鏡門事件后，俄羅斯于2015年5月、7月兩次對這兩部數(shù)據(jù)管理相關法律進行修改，基本確立了數(shù)據(jù)本地存儲的基本規(guī)則。三國際組織跨境隱私規(guī)則體系分析（一）基本情況隨著經(jīng)濟全球化和數(shù)字經(jīng)濟的發(fā)展，國際社會對跨境信息流動關注度逐漸提高，往往依靠單一國家制定政策很難協(xié)調兩國之間的信息流動問題，因此，各國際組織紛紛出臺政策對跨境信息流動進行規(guī)定和治理。目前，各國際組織制定跨境信息流規(guī)則的基本情況如圖1所示。圖1國際組織制定規(guī)則的基本情況1.發(fā)展與保護的平衡是前提，但在規(guī)范過程中各有側重國際組織在制定規(guī)則時，都是在發(fā)展和保護兩個條件下尋求一個平衡點，但是由于各組織出發(fā)點不同，因此在制定規(guī)則過程中各有側重。大部分經(jīng)濟組織都以發(fā)展為前提，制定規(guī)則的過程中更注重不應因數(shù)據(jù)保護而損害發(fā)展。而歐盟則將個人信息保護置于發(fā)展之前進行考量。因此，在具體實施過程中，經(jīng)濟組織的規(guī)則往往開放性較強，而歐盟的規(guī)則對信息保護的要求更加嚴格。2.覆蓋范圍較廣的國際組織規(guī)則推進步履維艱，區(qū)域性國際組織規(guī)則更具可操作性跨境信息流動談判參與方越多，規(guī)則制定復雜程度就越高，尤其是在參與方各國經(jīng)濟、科技、文化等各方面發(fā)展水平不一致的情況下，就更難找到合乎各方利益的準則。大部分覆蓋范圍廣的國際組織在制定跨境信息流動規(guī)則時舉步維艱，目前，多數(shù)可操作性強、可落地的規(guī)則都是由區(qū)域性國際組織制定的。例如，WTO面向的國家眾多，且各國發(fā)展水平差異較大，發(fā)達國家和發(fā)展中國家訴求不同導致在談判中矛盾難以調和，在制定跨境信息規(guī)則的過程中陷入談判的僵局，難以推進。由于歐洲各國發(fā)展步伐較一致，歐盟早期成員均為發(fā)達國家，目前發(fā)達國家成員依然占大多數(shù)，無論是經(jīng)濟、技術還是政治、文化等方面，歐盟都經(jīng)過了長期的磨合與發(fā)展，因此在推廣規(guī)則時能夠事半功倍，目前歐盟內部已經(jīng)形成了較完善的閉環(huán)，信息在歐盟內實現(xiàn)了自由流動。APEC的CBPR體系也具有較強的可操作性。3.企業(yè)層面規(guī)則可操作性更強，國家層面規(guī)則往往缺乏約束力國際層面的規(guī)則由于需要各方長期談判，約束力較強的國際規(guī)則很難制定，因此，大部分國際組織，如OECD、APEC、G20等在國家層面出具的都是原則性、指導性和倡議性的規(guī)則，這類規(guī)則的約束力較弱，主要依靠企業(yè)、行業(yè)自律。在操作層面，企業(yè)往往是跨境數(shù)據(jù)流動的主體，面向企業(yè)的規(guī)則體系往往更具備可操作性。歐盟BCR體系和APEC的CBPR體系是目前最受關注的兩大規(guī)則體系，二者都是針對企業(yè)而制定的，企業(yè)可以申請加入規(guī)則體系，并保證企業(yè)內部信息流動的安全，接受專門機構的審查，即可實現(xiàn)在規(guī)定范圍內信息跨境流動。企業(yè)規(guī)則對超級跨國公司意義重大，在國家級談判推動停滯時，當企業(yè)需求足以支付單獨加入規(guī)則的成本時，就有了新的選擇。因此這類規(guī)則在可操作性方面更強，也成為當前各國信息跨境新的聚焦點。（二）歐盟、APEC跨境隱私規(guī)則體系分析1.歐盟歐盟于1995年頒布了《有關個人數(shù)據(jù)處理中的個人保護與所涉及的數(shù)據(jù)自由流通的第95/46/EC號指令》（以下簡稱《指令》），此后，第29條工作組配合《指令》實施發(fā)布了一系列解釋文件和指導性文件，共同構成了應用至今的歐盟跨境數(shù)據(jù)保護機制。《指令》為歐盟建立了統(tǒng)一的信息保護機制，解決了內部成員國內部的信息流動問題，在歐盟各國禁止限制個人信息跨境流動。同時，《指令》對歐盟之外的國家和企業(yè)也做了相關的規(guī)定，主要包括充分保護原則和例外規(guī)定。例外規(guī)定包括法定例外和三種保護措施。目前受關注最多的是三種保護措施中針對跨國企業(yè)的BCR規(guī)則。BCR規(guī)則是當企業(yè)所在國不符合充分保護原則時，企業(yè)為進入歐盟國家而自愿申請的自律性規(guī)則，由跨國公司制定，規(guī)定企業(yè)內部數(shù)據(jù)處理和轉移，具有法律約束力。BCR規(guī)則經(jīng)過批準可認定企業(yè)符合《數(shù)據(jù)保護指令》第二十六條第二款中“適當保障措施”的條件，成為“充分保護”例外情況，通過保障大型跨國企業(yè)內部信息的安全，賦予歐盟內跨國公司進行內部數(shù)據(jù)的跨境轉移的權利。但是BCR審批程序復雜而不確定，并且審批時間漫長，前期申請成本和后期維護成本較高，只適用于大型跨國企業(yè)，一般企業(yè)并不適用。2016年5月，歐盟發(fā)布了《一般數(shù)據(jù)保護條例》（以下簡稱《條例》），并將于2018年5月27日正式生效，從而取代正式的《指令》?！稐l例》統(tǒng)一了此前由《指令》和系列解釋文件構成的數(shù)據(jù)保護規(guī)則，并在其基礎上進行了補充和完善，強化了個人權利，明確了執(zhí)行、監(jiān)督、救濟與制裁機制，以及相關實施標準。表10歐盟《指令》與《條例》對比《指令》《條例》法律效力需要各成員國據(jù)此在本國立法并加以執(zhí)行正式實施后將在歐盟范圍內立即生效，無須成員國立法確認，減少了各成員國理解不同而產(chǎn)生的國內立法差異立法管轄權屬地原則；

適用范圍涵蓋組織機構設立在境內的數(shù)據(jù)控制者及其所涉及的數(shù)據(jù)處理行為，以及使用了成員國境內的設備所進行的數(shù)據(jù)處理行為屬地與屬人原則相結合；

適用范圍包括營業(yè)場所設立在歐盟境內的數(shù)據(jù)控制者和處理者所進行的數(shù)據(jù)處理活動，不論處理行為是否發(fā)生在歐盟境內，管轄范圍更加寬泛數(shù)據(jù)轉移規(guī)則規(guī)定了三個層級的數(shù)據(jù)轉移規(guī)則

（1）第三國經(jīng)歐盟委員會認定具有“充分保護”水平；

（2）數(shù)據(jù)轉移滿足法定例外的幾種情形；

（3）保障措施：標準合同文本模式、約束性公司規(guī)則、安全港模式保留了《指令》的數(shù)據(jù)轉移規(guī)則，并在此基礎上進行了修補和完善：

（1）明確了“充分保護水平”的認定標準和實施條件，解除了“充分保護水平”認定時造成的誤解；

（2）豐富了“法定例外條款”的相關內容；

（3）明確了“約束性公司規(guī)則”的法律地位，并對具體內容進行了進一步明確，倡導在歐盟范圍內使用具有普遍認可度的數(shù)據(jù)保護印章與標識制度數(shù)據(jù)主體權利包括有權獲取數(shù)據(jù)，有權知道數(shù)據(jù)源自何處，有權要求糾正不準確的數(shù)據(jù)，有權將不法處理數(shù)據(jù)者訴諸法律，有權在某些情形下收回其允許使用數(shù)據(jù)的許可等新增了更正權、被遺忘權、限制處理權、持續(xù)控制權等主體權利監(jiān)管、救濟與制裁（1）第29條工作組主要負責推進《指令》的落實；

（2）將救濟與制裁具體規(guī)定的權利賦予各成員國（1）設置“歐洲數(shù)據(jù)保護委員會”，負責貫徹《條例》實施及相關數(shù)據(jù)保護工作；

（2）要求數(shù)據(jù)控制者設立“數(shù)據(jù)保護專員”

（3）個人數(shù)據(jù)主體可向監(jiān)管機構進行投訴，或向法院起訴

（4）加大制裁力度規(guī)定違法的懲罰金額由成員國自行確定，懲罰上限處于歐盟立法中最高標準。一般性違法行為，罰款上限為1000萬歐元或上年全球營業(yè)收入的2%（取較大值），嚴重違法行為或造成嚴重后果的，罰款上限為2000萬歐元或上年全球營業(yè)收入的4%（取較大值）|Excel下載表10歐盟《指令》與《條例》對比2.APECAPEC積極致力于推動亞太地區(qū)的跨境信息流動。1998年，APEC部長通過了《電子商務行動藍圖》。2004年，APEC根據(jù)《電子商務行動藍圖》發(fā)布了APEC隱私框架。2007年，部長們通過了“APEC數(shù)據(jù)隱私探路者倡議”，以促進APEC隱私框架在國際層面的實施，該倡議中包含的共同承諾最終促成了APEC跨境隱私規(guī)則體系（以下簡稱“CBPR體系”）。APEC隱私框架主要內容為九大指導原則與幫助APEC經(jīng)濟體加強國內信息保護和促進APEC經(jīng)濟體之間跨境信息流動的實施指南。CBPR體系是針對APEC成員方經(jīng)濟體企業(yè)、由企業(yè)自愿加入的多邊數(shù)據(jù)隱私保護計劃。CBPR規(guī)則建立在APEC隱私框架的基礎上，以企業(yè)為基本單元，致力于推動APEC隱私框架在成員國內獲得更廣泛的認可和實施。CBPR規(guī)則設計了三方規(guī)則相關者，包括隱私執(zhí)法機構、問責代理機構和從事跨境信息流動的企業(yè)，形成規(guī)則問責和執(zhí)法分離的雙重審查機制。CBPR體系首先由APEC各成員經(jīng)濟體申請加入，需要設立一個隱私執(zhí)法機構，同時要求一國至少擁有一個問責代理機構。問責代理機構是CBPR體系的重點與核心，APEC對其審核采取了十分嚴格的標準，申請加入的問責代理機構必須經(jīng)過APEC成員國全體同意，申請才能獲批，并且每年APEC都對其進行重新審核。問責代理機構取得資質后，管理范圍內企業(yè)可申請隱私保護認證，申請?zhí)峤缓?，機構根據(jù)避免傷害、提前通知、有限收集、個人信息使用、有選擇使用、完整性、安全保障、授權和修改及問責原則，對申請企業(yè)進行問卷測評及審查，并對通過審核的企業(yè)進行保護信賴標識，授權其享有在體系內自由地進行個人信息的跨境轉移而不受成員方經(jīng)濟體國內法限制的權利。目前，共有美國、墨西哥、日本、加拿大四個國家和22家企業(yè)（21家美國企業(yè)，1家日本企業(yè)）加入CBPR體系。3.BCR規(guī)則與CBPR體系的對比為調解各國及地區(qū)關于個人信息跨境流動時帶來的隱私保護問題和貿(mào)易保護問題之間的矛盾，國際組織發(fā)揮作用，制定了一系列組織內統(tǒng)一的信息跨境