在經濟全球化和以數字化為核心特征之一的第四次工業革命的發展背景下，數據作為與土地、勞動力、資本和技術并列的新的第五大生產要素，亦是國家戰略的重要資產。而由于人員跨境、商業、資本和服務等的跨境引起的數據跨境，均在我國國家安全、公共安全、個人隱私、商業利益等方面帶來諸多挑戰。

作為數字經濟發展最為迅猛的國家之一，近年中國正積極的構建數據流動管理規制機制。作為數據安全領域基礎性法律的《數據安全法》以多條文規制了數據跨境，如第11條明確對數據跨境提出了比《網絡安全法》[注1]更為嚴格的要求，即“數據跨境安全、自由流動”[注2]，盡管《數據安全法》的頒布完善了我國數據安全領域的法律規制，但是仍存在亟待解決問題，如：《數據安全法》第31條中規定，對“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理適用《網絡安全法》的規定”，而《網絡安全法》中的相關規定較為籠統，亦沒有具體明確的國家標準進行指引。作為數字經濟大國，我國亟需完善數據跨境規制機制以提高我國跨境數據流動管理能力。

2020年10月中國共產黨第十九屆五中全會審議通過的《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》提出了“建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范，推動數據資源開發利用”“積極參與數字領域國際規則和標準制定”。2020年6月1日，中共中央、國務院印發《海南自由貿易港建設總體方案》明確支持海南自由貿易港促進跨境數據安全、自由流動，“在國家數據跨境傳輸安全管理制度框架下，開展數據跨境傳輸安全管理試點，探索形成既能便利數據流動又能保障安全的機制”。2021年6月10日十三屆全國人大常委會第二十九次會議審議通過的《海南自由貿易港法》規定“海南自由貿易港依法建立安全有序自由便利的數據流動管理制度，促進以數據為關鍵要素的數字經濟的發展。”有專家學者認為，在海南開展跨境數據流動管理試點，是我國填補跨境數據流動規制體制漏洞的重要舉措，國家試圖通過充分利用海南自由貿易港的制度優勢，打造中國特色跨境流動管理模式，逐步完善我國數據跨境流動管理的規制體系。

本文嘗試在借鑒國外數據跨境流動管理的經驗做法的基礎上，提出在海南開展數據跨境流動管理試點的幾點建議，以期對我國數據跨境流動管理的規制研究有所裨益。

近年來，跨境數據流動法律問題引起了廣泛關注，而實際上跨境數據流動規制已經有30年的發展歷史，并演化出分別由歐盟和美國主導的兩套規制體系[注3]。各國為了國家安全大多通過立法要求數據本地化策略，如印度《電子商務國家政策框架草案》提出，逐步推進數據本地化，增加本國數據存儲能力。俄羅斯第242-FZ號聯邦法在第二條規定，必須使用位于俄羅斯的服務器來處理俄羅斯公民的個人數據。日本要求涉及國家安全的數據必須實現本地化儲存，但對其他數據不做格外限制。美國先后推出《出口管理條例》和《澄清域外合法使用數據法案》，對數據流動進行政府管制，讓美國執法機構更易跨境調取其公民海外信息，避開其他國家的隱私保護法領域的法律制度。歐盟的GDPR被稱為全球最嚴苛的個人隱私保護，其有效防止了第三國或國際組織對個人數據立法保護水平差異而對個人數據權利造成侵害。

因跨境數據流動涉及到各國不同的規制，相關國際組織確立了跨境數據流動的多邊合作、多邊協定框架。如OECD（經濟合作與發展組織）是全球首個提出跨境數據流動執行原則的國際組織。其1980年發布的《隱私保護和跨境個人數據流動指南》提出，成員國應避免以保護個人隱私和自由的名義，限制跨境數據自由流動。OECD還開發了數字服務貿易限制性指數，對全球40個主要經濟體的數跨境數據流動水平進行評估。《美墨加協定》（USMCA）、《歐盟-美國隱私盾協議》(EU-U.S. Privacy Shield)和歐盟的《通用數據保護條例》(GDPR)中有關對數據跨境的規定已成為全球數據治理的法律規制示范。

我國有關數據跨境流動的法律規制起步相對較晚，且目前尚未加入相關國際規則組織。2016年出臺的《網絡安全法》首次明確了我國數據跨境流動管理的基本框架，對關鍵信息基礎設施數據跨境提出了安全評估要求。隨后，《數據安全管理辦法（征求意見稿）》《網絡安全審查辦法（征求意見稿）》《關于銀行業金融機構做好個人金融信息保護工作的通知》《汽車數據安全管理若干規定（征求意見稿）》等辦法都不同程度提出了數據跨境流動管理要求，如《關于銀行業金融機構做好個人金融信息保護工作的通知》明確規定“在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外，銀行業金融機構不得向境外提供境內個人金融信息”，《汽車數據安全管理若干規定（征求意見稿）》中提出了數據出境強制開展安全評估、數據出境的年度備案等要求。剛剛于2021年6月10日通過的《數據安全法》對于數據跨境問題主要如下：

(一)《數據安全法》多條文涉及跨境數據流動管理之規制

如《數據安全法》第十一條規定，國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。第二十四、二十五、二十六、三十一、三十六條，從建立數據安全審查制度、數據出口管制、重要數據出境管理等對數據出境涉及的問題進行明確的規定。

(二)《數據安全法》對于數據跨境執法有了立場性的規定

《數據安全法》第三十六條對于境外司法執法機構調取中國境內存儲的數據的規定，堅守了《國際刑事司法協助法》對于跨境執法調取數據的傳統模式，對于存儲于境內的數據，除締結或參加的國際條約或協定的特殊要求，非經國家主管機關批準，境內的組織、個人不得向境外司法執法機構提供。

綜上可見，我國已有法律法規涉及數據跨境流動的規制，但除了以上所述有所涉及外，主要分散在不同的行業領域，缺乏統一的國家標準進行指引。不同監管部門的職能疊加，九龍治水，很難對數據的保護、監管起到良好的作用，且我國跨境數據流動全球治理機制缺失。以美國、歐盟等國家及地區為主導的數據跨境流動政策為例，各國、各地區間雖政策法律規制雖有不同，但對于通過多邊合作、多邊協定渠道建立跨境數據流動的國際合作已經達成了共識。中國可嘗試在國內特定地點或自由貿易試驗區探索數據跨境流動機制，穩步推動數據跨境安全自由流動[注4]。

(一) 自貿港的制度優勢及實踐中數據跨境流動管理的創新嘗試

在經濟“新常態”下，自由貿易試驗區（港）建設是中國新一輪開放和制度創新試驗的前沿，其根本任務是以開放倒逼改革，形成可復制、可推廣的新制度，以推動發展方式的根本轉變。[注5]作為制度集成創新的中國唯一自由貿易港，《海南自由貿易港法》的頒布，一方面彰顯了我國不斷擴大對外開放、推動經濟全球化的決心，另一方面為海南制度創新加強了頂層設計。在自由貿易港的制度背景下，海南積極推進探索建立數據跨境流動安全管理試點，能夠為國家探索數據跨境流動規制的完善提供窗口和經驗，在促進經濟增長、加速創新、推動全球化等方面發揮積極作用。

近年來，海南在推動構建數據跨境流動管理體系上做出了積極的創新嘗試，開通國際互聯網數據專用通道，啟動國際海底光纜及登陸點建設、開展國際互聯網數據交互試點、設立國際通信入口局，在電信業務市場準入和增值電信的外地股比限制等方面逐步實現開放。

(二) 自貿港創新數據跨境流動管理制度的建議

跨境數據流動涉及數據的采集、傳輸、存儲、處理等，是跨部門、跨系統、跨區域的龐大系統性工程。《數據安全法》中關于數據跨境流動管理的立法規制、及《海南自由貿易港法》下有助于本土法律與國際規則銜接的特殊優勢，為海南創新數據跨境安全、自由流動的制度設計提供了頂層支撐。筆者建議，海南可充分發揮自由貿易港的制度優勢，自下而上，從實際發展需求出發，探索跨境數據流動管理制度的創新，推動我國數據跨境流動管理的法律規制的完善。

1. 選擇部分園區開展數據跨境流動管理試點。以新加坡構建數字生態系統促進數字經濟發展的做法為例，新加坡除了不斷完善數據跨境流動管理體系之外，也高度關注通過數據跨境流動促進企業發展[注6]。海南目前建有十一大重點園區，其作為推動海南自由貿易港建設的樣板區和試驗區，承載著實施海南自由貿易港“早期安排”政策的重要任務。在此背景下，騰訊、世紀華通、三七互娛等國內知名游戲企業簽約落戶海南生態軟件園，推動了海南游戲出口產業發展；海南博鰲樂城國際醫療旅游先行區開展臨床真實世界數據應用試點、成立海南真實世界研究數據研究院等。海南可以國際優勢產業為切入點，在海南生態軟件園等部分重點產業園區，研究數據便利流通規則。海南可通過打造高質量產業園區，擴大多邊國際數據服務和貿易合作，通過探索建立區域性跨境數據流動規則以健全數據跨境流動安全管理制度體系，如建立白名單制度。歐盟的GDPR中規定，由歐盟委員會將達到“充分性”保護要求的國家列入“白名單”，一旦進入“白名單”則不再受GDPR中跨境數據傳輸的限制。數據跨境流動自由和安全的最大的問題是各國法律的不同，而“白名單”制度具有明顯的政治因素，作為“一帶一路”的發起國和RCEP成員國，基于與成員國之間的友好關系，我國應主動與“一帶一路”和RCEP的國家開展數據跨境的雙邊、多邊合作，借鑒東盟的《東盟數據管理框架》（DMF）和《東盟跨境數據流動示范合同條款》（MCC），積極促成與“一帶一路”、RCEP國家之間的跨境數據自由流動，通過在自由貿易港先行先試數據跨境的便捷流動，推動數據跨境安全、自由流動，培育海南特色的合作競爭新優勢。

2. 降低數據跨境流動成本。海南可通過加強數字基礎設置建設，推動數據跨境安全、自由流動，如可布局海洋新基建，探索海洋科技產業與數據中心的協同科技創新，進一步降低數據中心用電成本，加快推廣應用先進節能技術，并以豐富的海洋資源優勢解決自由貿易發展帶來的大量數據跨境需求，并同步布局大數據中心國家樞紐點。2021年5月，在海南落地的全球首個商用海底數據中心項目進入實施階段，海底數據中心具有低能耗、低成本等優勢，其可大規模的復制推廣能滿足自貿港的發展數據流動需求。另外，海南可通過探索建立電力網和數據網聯動建設、協同運行機制，優化數據中心建設布局，推動算力、算法、數據、應用資源集約化和服務化創新。

3. 研究和制定自貿港跨境數據流動管理機制。以歐盟的GDPR為例，GDPR中規定了豐富的數據跨境流動機制以解決歐盟成員國數據流出后適用的法律法規不同等問題，最為廣泛借鑒的有標準格式合同條款、有約束性公司原則和充分性認定等機制。《海南自由貿易港法》的亮點之一是以貿易投資自由化、便利化來進行各項制度設置，如《跨太平洋合作伙伴全面進步協議》（CPTPP）所著重強調的數據必須伴隨商品和服務的自由貿易而自由流動，海南自由貿易港的貿易投資自由便利亦離不開數據跨境流動自由，但是這不代表允許數據的無序流動。數字貿易和貿易便利化是海南自由貿易港建設的核心內容之一，海南可借鑒國際上經驗作法，通過制定完善數據跨境流動、利用、保護、流轉等方面規則體系，探索創新數據跨境安全的制度設計，建立數據保護能力認證。如可探索建立約束性公司原則，歐盟的GDPR中的約束性公司原則主要用于跨國公司、集團公司，跨國公司、集團公司可通過制定公司內部規則來約束公司內部之間進行數據跨境流動，如果歐盟認可該約束性公司規則提供的數據保護水平，則可不用經另行批準便可在公司內部進行數據跨境傳輸。海南作為有國際競爭力的“稅收洼地”，必定吸引大量的跨國公司在此設立機構甚至總部，海南可利用制度優勢率先在自由貿易港范圍內制定中國特色的約束性公司原則機制，不僅可促進數字貿易的發展，也解決了跨國公司內部數據跨境流動帶來的問題。

作為當今世界最高水平開放形態的自由貿易港，海南自由貿易港可在《數據安全法》的法律框架下，推進我國加入數據跨境流動的全球治理行列進程，探索數據跨境流動管理體系和國際合作策略，逐步建立數據安全、自由流動的中國特色自由貿易港的標準和規則，打造開放型數字經濟創新高地。