2021年6月30日，“滴滴出行”于美国悄然上市。

7月2日，中国网络安全审查办公室（以下简称“网信办”）发布通告：为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

两天之后的7月4日，网信办再次以“存在严重违法违规收集使用个人信息问题”为由，依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

从滴滴上市的招股说明书中可以看到，滴滴创始人、董事长兼CEO程维持股7%；滴滴联合创始人、总裁柳青持股1.7%；而日本软银愿景基金（Soft bank Vision Fund Entity）持股高达21.5%；Uber持股12.8%……如果从股权和投票权上分析，滴滴创始人、董事长兼CEO程维虽然持股7%，但是拥有15.4%的投票权；滴滴联合创始人、总裁柳青持股1.7%，投票权6.7%。另外，滴滴所有董事和高级管理人员持股比例合计10.5%，投票权20.1%。但因为公司的话语权最终由股权决定，因此不难看出滴滴出行上市后，日本软银因持股高达21.5%，投票权21.5%，而高居大股东之首。相比之下，国内机构的持股比例就小的多。所以，外资在滴滴出行中享有绝对的控股权，即滴滴上市后成为了一家由外资控股的中国公司。

那么，为什么滴滴会牵涉到《国安法》与《网络安全法》之中呢？也许，2020年“tiktok诉特朗普政府”[1]一案可以为这一问题打开思路。

（一）案件背景

2020年8月6日，美国特朗普政府根据《国际紧急经济权力法》（以下简称IEEPA）对TikTok及其母公司ByteDance实施制裁，禁止美国公司与其进行一切“交易”，与此同时，特朗普总统援引他在美国外国投资委员会（以下简称CFIUS）法定框架下的权力，分别下令TikTok的母公司ByteDance在90天内剥离TikTok的股份。针对该份行政令，TikTok和ByteDance于2020年8月24日牵头向美国加利福尼亚州巡回法院提起诉讼，认为IEEPA命令违反了宪法以及IEEPA的法定限制，因此应该被禁止。

（二）TIKTOK公司的法律意见

在长达39页的诉状中，针对国家安全问题，TIKTOK的辩称主要集中在以下2点：

1、根据IEEPA，威胁国家安全的行为仅限定在两种情况之中：恐怖主义和大规模杀伤性武器的扩散(terrorism and proliferation of weapons of mass destruction)[2]。TIKTOK是一家美国公司，且没有上述两种行为。

2、特朗普政府猜测该应用程序可能会被中国政府操纵。但是，美国政府很清楚，TIKTOK已经采取了非常规措施来保护其美国用户数据的隐私与安全：第一，TikTok的结构是为了帮助保护美国用户数据的隐私和安全。这些保护措施始于TikTok收集用户数据的做法。TikTok根据其隐私政策收集其用户的有限数据。对于收集的用户数据，TikTok优先考虑其安全存储。诉讼时在美国提供的TikTok版本（即主要受被告美国政府的非法禁令影响的版本，也是申诉关注的版本）将所有美国用户数据存储在美国和新加坡的服务器上，通过软件控制将其与其他ByteDance产品和服务相关的数据隔离。TikTok没有在中国存储任何美国用户数据。第二，在存储时，美国用户数据使用行业标准的密钥管理服务（“KMS”）加密算法进行加密，且该算法由TikTok的美国安全团队管理。第三，TikTok公司和ByteDance都没有向中国政府提供TikTok的用户数据，中国政府也从未要求提供TikTok用户的数据或对TikTok内容进行审核。

（三）针对TIKTOK公司辩称的法律分析

TIKTOK虽然从公司性质以及技术处理上论述了其保护美国公民数据的全面性，但其始终没有从正面回应一个问题，即总部Bytedance位于中国，因此受中国的司法管辖，包括国内法律框架，并且毫无疑问，它有法定义务与中国政府合作。

通过上述分析不难发现，TIKTOK诉特朗普政府一案的实质在于，位于美国的TIKTOK与位于中国的总公司字节跳动分享其所收集的数据当然不存在问题，但美国政府担心的是，一旦中国政府强制要求字节跳动将其子公司TIKTOK所收集的美国用户数据交由政府，字节跳动是否有权利说“不”，而答案明显是否定的。而当下的“滴滴“事件，难道不是该案件时隔一年后的再现吗？不同的是，这次担心数据泄露的是中国政府。于是不难理解，为何此次“滴滴”事件会涉及到《国家安全法》的相关条文。

美国政府在TIKTOK案件中的单边主义措施，实际反映了数据跨境自由流动与保护国家安全之间的紧张冲突。

美国“棱镜门”事件已经从反面证实了数据的跨境流动关乎国家利益、产业利益与风险控制三者之间的动态平衡。宽松的数据跨境流动规则有利于产业数字化发展，但会增加风险控制难度，对发展中国家来说可能损害其国家利益，对发达国家来说则有助于其通过数据实施全球经济控制。严格的数据跨境流动规则不利于产业数字化发展，但会降低风险控制难度，对发展中国家来说可以避免发达国家的数据霸权。但总的来说，无论是宽松还是严格的数据跨境流动规则，均会在国家安全、个人隐私保护、商业利益保护等方面带来挑战。

数据跨境流动带来的国家安全威胁担忧并非没有道理。在世界各国数字产业发展严重失衡的情况下，数据由发展中国家不断积聚到发达国家，可能助长数据霸权的形成，并进一步演化为单边主义的又一重要武器，加剧全球经济发展的失衡状态，深化发展中国家对发达国家的经济依附。[3]此外，大数据、人工智能等技术的不断进步，使隐藏在数据中的人类行为模式被识别出来，包括食物喜好、生活习惯、健康状况、职业选择偏好等等。通过自由的数据跨境流动，利用大数据分析，一国可能对他国的社会状况进行精准画像，并有针对性地开展情报收集和研判等工作，威胁他国国家安全。为此，发展中国家必然对本国领土内的互联网设备、数据收集、传输、使用采取限制或禁止的态度，以保护国家主权的不受侵害，而国家安全挑战亦将成为发展中国家包括我国制定数据跨境流动规则的重要考量因素。

在“一带一路”倡议之下，我国与“一带一路”沿线国家经贸交往日益增多，货物贸易、服务贸易流程与内容的电子化和数据化已经成为不可逆转的趋势。为此，在数据跨境流动的问题上，我国既有对等反制数据流向美国的法律工具需求，又有强烈的经济发展现实法律保障需求。

在我国数据跨境流动规则的构建方面，有学者提出应结合我国产业发展情况、法律现状与风险管控能力以及与国际规则互动情况，在借鉴国际组织及欧盟、美国等发达国家在数据跨境流动国际合作中的有益工具如CBPR体系“隐私盾”、GDPR下的“企业约束规则”(BCR规则)的基础之上稳步推进。[4]笔者赞同此种观点，但认为此种方式仍然有进一步细化的空间。

如前文所述，数据跨境流动规则关涉到数字贸易的顺利开展。严格的数据跨境流动规则将会对数字贸易的开展起到抑制作用；但宽松的数据跨境流动规则在便利数字贸易的开展的同时，又可能造成数据泄露或数据滥用。因此，我国在构建和完善数据跨境流动监管规则时，应着重从三个维度进行考量：一是我国数字贸易产业的发展状况；二是我国现有的数据跨境流动的监管规则；三是我国参与相关国际合作的情况，并在三者之间形成动态平衡。

(一)考量我国数字贸易产业发展情况

一国对待数据跨境流动的立场与本国的数字贸易发展状况息息相关。通常来讲，数字贸易产业先发国家为了进一步便利本国企业的世界扩张，倾向于主张数据的跨境自由流动；而数字贸易产业发展较弱的国家，则无强烈的数据跨境自由流动的现实需要。[5]实践中主要国家的立场选择也佐证了上述论述。

但我国却存在数字贸易发展与数据跨境流动规模不相匹配的状况。从国内产业发展看，阿里巴巴、腾讯、平安、华为等科技公司已经在跨境电商、跨境支付、跨境金融普惠、信息服务等数字贸易领域形成了领先优势，从理论上讲，数据流动规模应当相应匹配数字贸易的发展。但根据麦肯锡测算，我国数字经济规模在稳居全球数字经济第二大市场的情况下，网络中数据流动量却仅位居全球第八位，仅为美国的20%。与庞大的数据经济体量相比，我国数据流动规模过小。[3]为此，需要考量我国数字贸易产业发展状况与跨境数据流动的规模不成比例的现状，我国在构建和完善数据跨境流动法律规则时，应当在谨慎管控风险的基础上，适当放松对数据跨境流动的限制。

(二)考量我国目前的数据出境管控规则

总体而言，我国对数据跨境流动持较为审慎的态度。例如，《网络安全法》第三十七条要求个人信息和重要数据原则上不能出境，只有业务确有需要，且经过安全评估后才能出境。而在涉及具体行业或领域数据的出境方面，我国也有相应法律规范进行了严格限制。例如，征信机构要求在中国境内采集的信息应当在中国境内进行处理；互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内等，且在监管数据出境的安排上，主要也是由各行业主管机关负责对本行业内企业数据跨境传输进行监管。与此同时，在法律规范层面对数据的跨境流动也实行严格管理，包括数据本地化要求、安全评估等有助于为各监管部门加强数据出境的风险管控能力。但也应当看到我国目前数据出境监管制度存在着不足。首先，规定过于原则，存在制度漏洞，未明确“个人数据”“重要数据”“业务确有必要”的具体情形以及安全审查的具体要求和流程，缺乏可操作性。而对其他数据是否应当执行安全审查却并未做出回应。其次，《网络安全法》中的个人数据和重要数据与其他行业数据存在交叉，在监管的体系安排上就可能出现“多龙治水”的局面，或者形成监管重叠或者形成监管漏洞，缺乏监管协调机制。最后，原则上一刀切的措施不允许个人数据和重要数据出境，不利于我国数字贸易的发展，也不符合数字经济全球化的进程趋势。

要解决这一问题，建立新型的数据分类审核制度、落实数据控制主体则变得至关重要。可根据是否能够识别特定个人、占有主体的不同，将数据分为个人数据、商业数据以及特种行业数据三大类别。[7]由行政监管履行监管总职责；行业协会、专业服务机构参与安全评估；同时落实数据保护的自查责任。

(三)考量我国与国际规则的互动情况

在经贸领域，我国新近加入的《区域全面经济伙伴关系》(RCEP)通过电子商务一章对数字贸易中涉及的数据跨境流动问题做出了回应。具体包括:（1）线上个人信息保护。要求在制定保护个人信息的法律框架时，每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则；每一缔约方应当公布个人如何寻求救济，以及企业如何遵守法律要求的相关信息；缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序；缔约方应当在可能的范围内合作，以保护从一缔约方转移来的个人信息。(2)网络安全。包括加强主管部门的能力建设，交流最佳实践，开展国际合作。(3)原则上允许电子商务下数据的跨境流动，除非为了实现合法的公共政策目标或为了保护国家安全利益。

在数字贸易背景下，我国也在积极就数据跨境流动的议题与其他国家达成合作，但同时坚守自己的立场选择，有选择性地开展数据跨境流动监管合作的谈判。就已经达成的RCEP而言，我国下一步会按照协定中有关数据跨境流动的具体规则内容进行国内法的构建和完善。但是，应当明确的是，目前我国与其他国家或地区达成的有关数据跨境流动的协定相对较少。为了积极应对数据贸易全球化的趋势，在国际规则层面，我国应当加强对USMCA、CPTPP、GDPR等中有关数据跨境流动规则的研究，在国内立法层面积极完善我国的数据保护规则，为后续参与国际数字贸易磋商提供国内法依托。

我国在构建数据跨境流动规则的过程中应当处理好国家安全维护、数据主体权益保障、经济贸易发展需要之间的利益平衡关系。在信息通信技术与经贸全球化深度耦合背景下，应当承认数据的跨境流动是绝对的，而对数据流动的限制是相对的。我国目前缺少专门的法律规范以推动数据跨境流动的有序进行，既不利于我国数字贸易的全球化开展，也不利于国家安全和个人隐私等的有效维护。

为此我国亟需制定数据跨境流动的法律规则，以适应全球贸易的数字化趋势。在数据跨境流动法律规则的制定上，我国应当依据不同数据类型体现的国家安全、公共利益、数据主体利益的不同对数据流动进行分类规制，并在法律层面明晰各类数据的范围。同时，落实数据监管的责任主体，鼓励行业协会、专业服务机构参与安全评估。