数字经济时代，数据日益成为最重要的生产资料。数据资源的快速扩张对全球经济产生了深远影响。始于20世纪70年代的跨境数据流动，[1]当下已成为全球贸易和投资增长的主要途径。[2]根据学者对五个主营业务板块(电子商务、云计算、第三方支付、物流平台、软件服务)的跨境数据流动活动进行的田野调查和深度访谈，数据跨境流动直接影响了其成本、收益、创新能力乃至实现商业模式的全球扩张，以及帮助企业融入全球供应链。[3]同时，由于跨境数据流动降低了企业贸易和交易的成本，使大量中小型公司几乎和大型企业具有了同样的国际贸易能力。在我国企业“走出去”的同时，国外不少企业也纷纷来我国投资。在数据跨境问题上，“走出去”和“引进来”的企业都面临必须满足国内外公权力机关依本国法所提出的数据收集、传输和使用等要求，即实现双向合规。

然而由于网络本身具有脆弱性，[4]数据接收国(输出国)的法律规制、社会环境不可控，如果缺乏法律约束机制，数据跨境后轻则侵犯个人隐私，公司、企业遭受财产损失，重则泄露国家秘密、扰乱社会秩序甚至威胁政权。因此，完善数据立法、加强监管等法治保障对于跨境数据流动的规范和风险防范具有至关重要的作用，尤其对于保证我国在“走出去”过程中的企业合规经营意义不可低估。

（一）跨境数据流动规制各国立法纷繁复杂

虽然全球规制与引导跨境数据流动的统一规则尚未形成，据不完全统计，在全球总计231个国家(地区)中，已经有超过135个国家(地区)出台数据保护法，其中大多数有跨境数据流动法律或政策，[5]但毋庸置疑，现有的规则仍主要以欧美为首的发达国家所引领。

欧盟关于个人数据跨境流动规制的立法体系主要由1981年欧洲理事会的《与个人数据自动化处理有关的个人保护公约》(EuropeanTreatySeries，No.108)、[6]1995年的《个人数据保护指令》(EUDirective95/46/EC)[7]以及2016年通用数据保护条例》(GeneralDataProtectionRegulation)（以下简称GDPR）[8]三个标志性法律文件构成，从而确立其严格限制个人数据跨境流动的规制体系；[9]而美国则主要通过与欧盟签订双边协议、借助亚太区域经济合作推广自身的两种方式确立了双边或多边协议强化数据跨境的规制体系。[10]两种体系所对应的价值取向大致可概括为：欧盟更为强调个人数据的保护，美国则奉行以市场为主导、以行业自律为中心来保护个人数据。

在各国跨境数据流动法律、法规的历史根源、立法模式、规制方式以及司法确认都各不相同、数据保护标准不统一这一大背景下，我国企业“走出去”面对的法律风险是巨大的，如果企业事先对跨境数据法律风险准备不足，事中对风险又不善应对，就可能会导致“走出去”后因触犯当地有关数据传输的限制性规定而遭受巨额罚款。

（二）  我国与他国之间存在数据跨境传输的规则冲突

自2013年起，中国超过美国成为世界上最大的贸易国，并称是国际贸易的“里程碑”事件。[11]在国际贸易实践中，国外监管机构可能会依照监管职能或调查权限，要求我国相关企业提供中国法律法规规定限制跨境传输或不可披露的特定类型数据，这样一来便会与中国法律法规发生正面冲突。其典型案例为美国证券交易委员会(SecuritiesandEx-changeCommission，以下简称SEC)要求中国五家会计师事务所提供在美上市公司审计底稿一案。2012年12月3日，SEC起诉德勤等四大会计师事务所，外加立信大华的会计师事务所拒绝提交中国客户的审计文件。声明调查这些数据是为了配合调查在美国涉嫌欺诈的中国概念股。[12]但我国法律法规规定实行档案、审计底稿保密制度。目前该制度有进一步加强的趋势，根据原《中华人民共和国档案法》《注册会计师法》等法的规定，2016年7月财政部、国家档案局制定了《会计师事务所审计档案管理办法》，其第13条规定“会计师事务所对审计档案负有保密义务，一般不得对外提供......”[13]2017年3月新修订的《中华人民共和国档案法实施办法》[14]第18条进一步加强了对档案出境的严格限定。2014年1月23日，SEC行政审判法官卡梅伦·埃利奥特(CameronElliot)用长达112页的判决，对四大会计师事务所中国所作出初审判决:暂停其在美国的业务6个月。[15]2014年2月，四大会计师事务所中国所就SEC的判决正式提出上诉。在长达12天的听证会和一年的谈判后，四大会计师事务所中国所与美国SEC达成和解。[16]根据和解协议，每家会计师事务所同意支付50万美元，并承认在2012年对其提起诉讼之前并未出示任何文件。[17]

上述案例表明，我国“走出去”企业面临跨境数据流动规制的法律风险，不仅来自数据输出国限制数据收集、传输和使用的立法，也来自其行政监管和司法诉讼实践。

企业在“走出去”的过程中所遭遇的跨境数据流动规制合规难问题，其原因是多方面的，既有网络信息提供者拒不履行安全管理义务的因素，也存在越来越多的大数据公司非法获取计算机信息系统数据，频繁恶意利用和买卖离境数据的情况，而各国数据保护标准不一致，造成数据在全球范围内流动缺乏安全可信的在线环境。从我国现状分析来看，跨境数据流动难主要的原因在于以下几点：

（一）制度不完善，缺乏顶层设计之下的规范体系

2017年4月11日，网信办发布《个人信息出境安全评估办法(征求意见稿)》(旧办法)，同年，《信息安全技术数据出境安全评估指南(征求意见稿)》发布，提出了详细的个人信息和重要数据出境的安全评估流程、要点和方法。2019年6月13日，网信办发布《个人信息出境安全评估办法(征求意见稿)》(新办法)，将个人信息和重要数据出境的安全评估区别对待，并较旧办法扩大了个人信息出境的评估范围，明确了个人信息出境的申报评估要求、申报材料、重点评估内容等，就关键信息基础设施数据出境提出了安全评估要求，对安全评估的责任主体、管理对象、管理要求等内容进行了限定。近年来，国内相关监管部门也开始留意和关注到数据境内留存问题，在金融、征信行业、网络车行业、网络出版和网络地图行业、医疗卫生等特殊领域，都明确要求相关数据必须首先本地化存储。比如2016年2月发布的《网络出版服务管理规定》第8条要求，“网络出版服务的相关服务器和存储设备”必须存放在中国境内。此外，还有民航、域名服务、人口健康等其他行业，不一而足。

由上述法律和部门规章共同构成的我国跨境数据流动制度零乱而不系统，仅有的一条法律规定过于简单，对哪些属于“关键信息基础设施”、“重要信息”如何认定、什么是“境内收集信息”、[18]哪些情形属于“境外提供”[19]都尚不明确。其余规定散落于若干行业管理规范中，制度位阶层次颇低，可操作性和协调性不足。此外，我国《个人信息保护法》至今还未出台，个人信息保护呈现滞后性。

《网络安全法》虽然在现有条件下加强和明确了个人信息保护方面的要求，作出了统一的基本性规定，却缺乏具体的差别化执行细则。无论是数据单向合规或是双向合规，首先都要有顶层设计下的系统规范体系，以全流程地引导、保证企业跨境数据流动的规范性操作，减少企业合规的不确定性，降低企业的合规成本。

（二）机构不明，缺乏独立的数据跨境风险管理机构

当前，我国统一的个人信息保护法阙如，法律未确立独立的数据保护执法机构，数据保护领域存在执法机构不明、监管职能不清等现实困境。由于长期以来我国对数据保护采取“分行业监管”的模式，各行各业的监管部门仅在各自领域内发挥监督管理职能，相关监管机构各自适用法律条文不同，具体执法标准也不统一，又没有一个统一的最终监督部门负责统筹协调。以金融信息和金融数据保护为例，中国人民银行、中国银保监会分别出台规范性文件，国家网信办出台规章，中国人民银行、中国银保监会、中国证监会以及国家网信办四个部门之间监管职责“打架”。再如消费者保护，市场监管总局、中国人民银行与中国银保监会的消费者权益保护局、中国证监会的投资者保护局之间权限划分不清晰，各个行政执法部门有时抢着执法、监管竞争；有时又互相推诿无人执法，出现“多头执法”“重复监管”和“监管真空”并存的监管失灵现象，导致侵犯个人数据权益和企业商业秘密的行为得不到有效遏制。2017年6月1日开始实施的《网络安全法》赋予国家网信部门、工业和信息化部以及公安部执法权。2019年1月至12月，中国网信办、工业和信息化部、公安部和国家市场监管总局四部门联合开展了App违法违规收集使用个人数据专项治理行动。[20]虽然我国已经将《个人信息保护法》和《数据安全法》列入2020年立法规划，而对于各行业来说，目前只有短时间内的清理整顿行动在形式上为行业发展设立了一条合法与违规的红线。从长远来看，法定的独立执法主体的缺位无法形成长效的执法机制，以保护跨境数据流动中的个人、企业乃至国家的数据权利；数据跨境企业也因为缺乏统一的管理者和执法者，致使双向合规难以保证。

（三）手段单一，缺乏完整健全的数据跨境执法流程

从我国数据跨境领域来看，执法与监管的特点主要集中在以下几点。第一，行政禁令多，综合措施少。目前我国有关部门主要以单纯行政禁令的方式，如2017年网信办发布《个人信息和重要数据出境安全评估办法(征求意见稿)》，以及《评估指南(征求意见稿)》等规范性文件，要求企业将特定数据留存在本地，即使个人信息和重要数据确需出境，也必须遵循安全评估流程、要点和方法。[21]第二，运动式执法多，常规性执法少。自《网络安全法》实施以来，我国开展了多项以国家网信办牵头的个人数据保护专项整治活动。运动式执法固然能够整合不同部门监管资源，在短期内迅速提高监管效率，打击违法行为，规范市场秩序。但运动式执法的单向一维性、仓促性、滞后性、被动性、整治结果的反弹性[22]以及可能存在的对法治安定和公平原则的破坏性等弊端，使得其监管绩效往往备受诟病。[23]第三，事后惩罚性执法多，事前、事中预防性执法少。事后执法手段主要包括警告、停业整顿以及罚款等，且又处罚不严，对涉事企业的实际处罚与事件的危害后果往往不相匹配，不仅未对违法违规企业形成有效震慑，而且导致公众的数据安全意识普遍不强。

相比之下，欧盟在数据保护法案的全面规范之下，建立起覆盖事前、事中、事后，形成有一系列配套措施的体系化、全方位监管流程。欧盟于2018年大幅提升数据保护法令的处罚金额，GDPR对违反核心合规义务罚款的最高限额是上年度公司全球营业额的4%或2000万欧元，而其他非核心合规义务的罚款最高限额为上年度全球营业额的2%或1000万欧元。[24]2018年3月19日，Facebook导致5000万用户信息泄露，也就是震惊世界的剑桥公司“窃取” Facebook用户信息事件，扎克伯格先后多次出席美国和欧洲议会听证会并接受质询。欧美政府不断对企业施压使扎克伯格不得不放弃Facebook原有的商业模式，[25]于2019年确定以加密数字货币作为新的战略突破口。相比来看，我国单一、简单的执法手段已经无法适应大数据时代的监管执法，也无法反制外国对中国企业的过度监管和不合理审查以及惩戒措施。

（一）完善数据跨境流动立法，提升法律的可操作性。

目前全球跨境数据流动的统一规则尚未形成，现有规则主要以欧美为首的发达国家所引领。在这一国际格局下，我国在立法上的的应对路径应是完善数据跨境流动相关立法，提升法律的可操作性。

不论是欧盟范围内还是欧盟与美国之间已经实现的数据跨境流动，都是在一定法律框架或相关规范下进行的，我国的数据跨境流动也需要完善的法律制度提供保障。2017年6月1日起施行的《中华人民共和国网络安全法》虽首次对关键信息基础设施的数据跨境传输从法律层面上进行了规定，但却未明确关键信息基础设施的具体范围和保护措施，只是授权国务院制定。因此后续国务院应当加快推进与网络安全法相配套的法规制定。

在法律的价值取向方面，由于对数据跨境流动的管控上必须考虑到数据跨境流动是互联网和大数据发展的必然要求，因此不能一味地追求数据本地化政策。从各国的数据立法来看，严格追求数据本地化政策的国家大多是互联网和数据技术不发达的国家，数据本地化政策是一种防守性政策，可以作为这些国家与其他国家和互联网公司谈判的筹码，但这种政策的效果如何目前尚不明朗。但可以预见到的是，各种严格的数据本地化政策不利于全球互联网和大数据的发展，而中国在这个方面处于优势地位，应该采取更开放的政策，鼓励数据在做出特定保护后的自由流通，这样才有助于中国的互联网企业和大数据公司参与全球化的竞争，利于中国互联网企业和大数据公司的全球发展，实现中国大数据国家战略。[26]

（二）完善政府监管机制

我国应从设立机构、明确监管方式、权力约束三个方面加强和改进行业监管。[27]第一，加强数据管理机构对外职责，加强与各国数据保护机构的对话协作，掌握国际上个人数据保护最新动向，为应对国际谈判中涉及的数据流动规则奠定基础。第二，加强国内政府监管，明确主动和被动两种监督审查方式。主动审查是指政府有关部门建立跨境数据流动的审核评估机制，对数据是否跨境流动进行核准，并定期对进行过跨境数据流动的企业进行检查；被动审查是指有关部门应及时处置个人或企业投诉，启动对涉事企业的检查、处理问题，确保企业遵守法律法规。第三，立法明确政府的合法侦听权。“隐私盾”协议[28]在一定程度上平衡了美国政府合法侦听权与欧洲公民个人数据安全之间的诉求。鉴于每个国家对这两方面的权衡各有差异，我国应当研究建立自己的合法侦听制度，从法律的角度明确合法侦听的权力、实施机构和范围等。

（三）强化企业主体保障个人数据安全的义务

提高企业的合规遵从性，推进行业自律制度建设。企业是社会的主要组成单元，企业对数据、信息安全法规遵从义务履行的成熟度是衡量社会整体数据、信息安全保障水平的重要标尺。由于大量的数据涉及到国家安全、基础设施状况和个人隐私等信息，掌握数据的企业有义务保障其控制范围内数据的安全，防止数据泄漏损害国家利益及侵犯个人隐私。在跨境问题上，企业还面临国内外公权力机关依本国法所提出的数据要求，如欧盟通过标准合同或约束性企业规则要求数据转移者承担数据转移安全的直接责任。在这一背景下，企业应从构成IT社会一员的立场出发，从公司法人治理的高度，将数据、信息安全注入企业文化，形成企业内部人员上至高层管理人员下至普通员工，都以自觉遵从保护个人数据、信息安全的国家法律法规以及企业规章制度为荣；以不履行保护义务的行为为耻的良好风气。

各行业应根据自身特点确立行业保护个人数据、信息安全的保障义务，并通过行业规章、标准等予以具体落实。规制跨境数据流动的行业自律制度的主要内容应包括:企业是否审慎保管其掌控的数据；是否采取了足够的安全保障措施；企业对内部员工行为是否有及时的培训和全面的安全纪律强调；对跨境数据，转出企业是否充分尊重数据主体的意志或知情权；是否足够了解数据后期的存储使用情况及安全保障情况；数据接收国对本国企业数据安全保障义务的法规完善程度如何、企业的数据安全保障能力如何、承担责任的能力如何等。此外，为防止个人数据被滥用、失窃、非法交易等行为的发生，行业自律制度还可以采用一定的惩罚性赔偿措施。总之，行业自律制度可以为企业间的数据跨境流动提供更具灵活性的制度安排和安全保障。[29]

大数据时代，跨境数据流动成为世界各国竞争与合作交替进行的重要领域。正如有学者所言，数据是一种具有经济价值的商品，其价值取决于数据质量。[30]因而，如何产出有质量的数据成为数据价值实现的必要前提，在法学界努力解决有质量数据确权难题的同时，各国数据规制的“互联网巴尔干化”和跨境数据流动自由化之间的紧张关系亦不容忽视，以双边和多边条约协定为表现形式的数据跨境合作并不能掩盖或代替国家间紧张与竞争的关系，其背后仍隐藏着经济利益或政治主张等有形或无形的诉求。因此，具有明显主权色彩或国家利益倾向的数据并非毫无约束地跨境流动，与他国实现“共享”数据必须找到正当依据。跨境数据流动规制是一个多元法律框架，很难用单一的监管理论囊括多层次的规则、参与方与执行机制。[31]本国个人信息保护、经济利益保障和国家安全维护，要求国家必须以“良法善治”对承载着不同利益层次、位阶诉求的数据流动予以规范和约束，并通过独立的数据保护机构、强化企业保障数据安全的义务达到将规范落到实处的目的，以求得在保护本国个人、社会和国家利益的同时达到数据跨境流动与分享之间的平衡。