数据主权时代，跨境数据流动的安全与合规挑战

一、跨境数据流动的时代背景

（一）数字经济下的必然趋势

在当今时代，信息技术正以前所未有的迅猛态势发展着，全球化进程也在不断深入推进。在这样的大背景下，数据已然成为数字经济时代的 “新石油”，而跨境数据流动更是成为了一种不可回避的发展趋势。

众多跨国企业在全球不同国家和地区开展业务，需要将各类数据进行跨境传输，比如客户信息、市场调研数据、业务运营数据等，以此来实现全球范围内的资源调配、业务协同以及高效管理。例如，一家大型跨国电商企业，其在不同国家设有仓储、销售等部门，为了精准掌握库存情况、合理安排物流以及分析不同地区消费者的喜好，就必须让相关数据在各区域间流动起来。

同时，跨境数据流动在促进信息共享方面也发挥着关键作用。不同国家的科研机构可以通过数据的跨境交流与共享，整合全球科研资源，加速科研成果的产出。像在应对全球性的公共卫生事件时，各国的医学研究数据若能实现跨境流动、共享，便能让科研人员更全面地分析病毒特点、研发有效的防控措施与治疗方案。

在经济合作方面，跨境数据流动更是如同桥梁一般。它使得各国企业能够打破地域限制，寻求更广阔的合作空间，拓展海外市场，进而推动国际贸易的蓬勃发展。以跨境金融业务为例，银行等金融机构需要跨境传输客户的资金信息、信用记录等数据，才能顺利开展国际汇款、跨境贷款等业务，促进全球资金的流通与合理配置。

总之，跨境数据流动已深度融入到全球经济、科研等诸多领域，成为数字经济时代不可或缺的重要组成部分。

（二）数据主权概念的兴起

随着信息技术的不断进步，数据所蕴含的价值愈发凸显，其不再仅仅是简单的数字信息，而是涉及到国家安全、经济发展、个人隐私等多方面的重要资产。各国逐渐意识到，对本国境内产生的数据拥有控制权、使用权等是保障自身利益的关键所在，于是数据主权的概念应运而生。

过去，数据的跨境流动相对较为自由，管理也相对宽松，但如今情况已然改变。各个国家开始重视起自身的数据主权，对境外获取本国数据以及本国数据流向境外等情况都越发谨慎，维护意识不断增强。

一方面，国家需要保障本国公民的个人信息安全，避免数据在跨境传输过程中被不当收集、滥用，进而侵犯公民的隐私权。例如一些社交平台上的用户个人信息，若毫无约束地跨境流动，很可能被不法分子获取并用于诈骗等违法活动。

另一方面，从国家经济和安全角度来看，部分涉及关键基础设施、核心技术研发等的数据，一旦泄露到国外，可能会对本国的产业发展、国防安全等造成严重威胁。比如一些高科技企业的研发数据、国家能源网络的数据等，都关乎着国家的核心竞争力与安全保障。

在这样的新局面下，跨境数据流动不再像以往那样畅通无阻，而是面临着各国数据主权规则的约束与监管。不同国家基于自身的国情、发展需求等，制定了各异的数据主权相关政策与法规，这使得跨境数据流动需要在满足各方数据主权要求的前提下进行，也给这一领域带来了诸多新的挑战与思考。

二、跨境数据流动的安全挑战

（一）技术层面的隐患

在跨境数据流动的过程中，从技术层面来看，存在着诸多安全隐患。如今，云计算、大数据、物联网等技术手段是实现跨境数据流通的重要依托，然而这些技术本身却有着不容忽视的安全问题。比如，数据在传输过程中，可能会因为技术漏洞出现泄露的情况，被不法分子截获并获取其中的关键信息；也有可能遭到篡改，使得原本准确的数据变得面目全非，进而影响后续基于这些数据所开展的各项业务和决策；甚至还可能出现数据丢失的现象，给数据所有者带来巨大损失。

并且，不同国家和地区在技术标准与法规方面存在着明显差异，这无疑又给跨境数据流动增添了风险。一些国家对于数据存储的加密标准要求很高，而另一些国家可能在数据传输的安全协议上有着独特规定。当数据需要在这些遵循不同技术标准和法规的区域之间流动时，就很容易出现衔接不畅、合规性难以满足等问题，阻碍跨境数据的顺利流通。例如，某跨国企业在将其业务数据从采用一种加密标准的国家传输到使用另一种加密标准的地区时，就需要花费大量精力去进行数据格式的转换以及合规性的调整，稍有不慎就可能引发数据安全事故。

（二）法律差异的阻碍

由于各个国家在数据主权、隐私保护等立法和监管政策上各有不同，跨境数据传输极易陷入法律纠纷与技术障碍的困境，对其顺利进行产生严重影响。

从数据主权方面来说，不同国家基于自身的国家安全、经济发展等考量，对于本国境内产生的数据有着不同程度的控制权要求。有些国家严格限制本国关键数据的外流，而有些国家则相对宽松一些。在隐私保护立法上，像欧盟出台的《通用数据保护条例》，对个人数据的跨境传输条件有着极为严格的规定，要求数据出口方必须确保接收方具备足够的数据保护水平；反观美国，虽然也重视隐私保护，但通过《云法案》等法规，更多地是保障本国政府在必要时能调取境外存储的数据，这种差异就使得在涉及欧美之间的跨境数据流动时，企业往往需要应对复杂的法律要求，一不小心就可能违反其中一方的规定。

而且，当出现跨国的数据争议案件时，不同国家的司法管辖权界定以及法律适用规则的差异，也会让问题变得更加棘手。例如，在跨国的数据侵权纠纷中，到底应该依据哪一方国家的法律来判定责任和进行赔偿，常常会引发长时间的争论与博弈，导致数据的跨境流动无法按照原计划顺利开展，技术层面的对接也可能因为法律的不确定性而被迫搁置。

（三）人为因素的威胁

人为因素同样给跨境数据流动的安全带来了严重威胁。一方面，黑客攻击是一个极为突出的问题，如今黑客的技术手段越来越高明，他们会通过各种方式入侵企业或机构的网络系统，窃取存储在服务器上的跨境数据，或者利用钓鱼、木马等手段诱骗用户泄露个人信息，进而获取相关的数据资源，这些被非法获取的数据可能被用于敲诈勒索、商业竞争等不良用途。

另一方面，内部人员的泄露行为也不容忽视。一些掌握着关键数据的内部员工，可能因为受到利益诱惑，或者出于疏忽大意等原因，将企业或机构的重要跨境数据私自提供给外部人员，导致数据的非法外流。同时，还有部分主体为了追求经济利益等目的，故意从事非法跨境传输活动，比如一些不法分子会收集大量用户数据，试图绕过监管将其传输到境外的数据交易市场进行售卖，这无疑给数据的安全和正常的跨境数据流动秩序造成了极大破坏。

（四）监管协同的难题

跨境数据流动涉及到多个国家和地区的监管部门，目前尚未形成统一的监管框架，在实现有效监管协同和信息共享方面困难重重。

不同国家有着各自独立的监管体系和执法标准，对于跨境数据流动的监管重点和方式也存在差异。例如，有的国家侧重于对数据出境的审查，严格把控本国数据流出的情况；而有的国家则更关注入境数据是否会对本国的市场、安全等方面带来潜在风险。当跨境数据在这些不同监管要求的国家之间流动时，就容易出现监管重叠或者监管空白的区域，导致企业等数据传输主体无所适从，不知道该遵循哪一方的要求。

并且，由于缺乏统一的信息共享机制，一个国家的监管部门很难及时掌握跨境数据在其他国家的具体情况，当出现数据安全问题或者违规行为时，难以迅速开展联合执法等协同行动，无法高效地进行应对和处理，这在很大程度上影响了跨境数据流动的安全性和规范性。

三、跨境数据流动的合规挑战

（一）不同国家的合规要求差异

在跨境数据流动的过程中，不同国家基于自身利益和理念，形成了各异的跨境数据管理模式及合规要求，这给企业带来了颇为复杂的合规压力。

以美国和欧盟为例，美国在联邦层面上，并没有一部综合且全面的数据隐私保护法，而是采取了分行业分散立法模式。在金融数据、健康数据、通讯数据以及家庭、儿童数据等诸多领域，都有专门的数据保护立法。对于跨境数据传输，美国虽未通过立法作出全面规定，但借助行政命令、《2018 年外国投资风险审查现代化法》《出口管制条例》等，在受控非密信息、外资安全审查、出口管制等领域限制美国数据跨境流出，尤其通过多种审查措施限制数据向特定国家流动。比如针对受控非密信息（CUI）进行管控，2010 年 11 月，美国通过第 13556 号行政命令《关于受控非密信息的行政令》，建立了管理受控非密信息的计划，规定其登记、分类、安全保护、获取和传播等问题，受控非密信息共分为 20 个类别、125 个子类，其中像 “禁止外国传播（No foreign dissemination）” 这一类型，就规定了不得将此类信息传播给外国政府、外国国民、国际组织或非美国公民。并且，美国外国投资委员会（CFIUS）会对有可能获得美国关键技术、敏感个人数据的外国投资进行审查，防止相关数据传出境外被他国利用，进而侵害美国国家利益。

而欧盟则以个人数据和非个人数据的分类为基础，设立了全方位的管理规则。在个人数据方面，2016 年 4 月 27 日通过的《通用数据保护条例》（General Data Protection Regulation，GDPR）确定了欧盟个人数据跨境的三种途径：一是经济体或某个经济体内特定范围主体（第三方）统一获得 “充分性认定”（Adequacy Decision），不过欧盟的充分性认定较为全面与严格，20 余年间仅有 15 个第三方通过认定；二是数据跨境传输方为欧盟境内的数据主体提供 “适当保障措施”（Appropriate Safeguards），比如政府间签订有约束力的公司规则、采纳欧盟提供的标准合同条款等；三是在充分性认定和适当保障措施均无法实现的情况下，特定情形下的豁免（Derogations for Specific Situations），部分属于欧盟认定的特定情形下豁免的跨境数据转移场景亦可实现跨境数据转移。在非个人数据方面，欧洲议会在 2019 年 5 月通过的《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data）与 2023 年 6 月通过的《数据法案》（Data Act）共同发挥监管作用，前者重在管理欧盟境内，旨在消除非个人数据在欧盟成员国之间自由流动的障碍，后者重在监管欧盟境外，旨在限制非欧盟国家通过本土立法获取欧盟境内非个人数据，以此应对美国相关法规赋予其监管机构的 “长臂管辖权”。

除此之外，其他国家和地区也有着各自的特点与要求，像《区域全面经济伙伴关系协定》（RCEP）提出了 “数据跨境安全流动” 原则，以开放态度为基础，协调各成员国之间的利益冲突，制定一般原则允许数据在成员国之间自由流动以促进数字经济发展，同时设置合法公共政策目标例外和基本安全利益例外，为各缔约方在特定情况下实施数据流动限制提供合法依据。总之，不同国家和地区间的这些差异，使得企业在跨境数据流动时，必须仔细研究并适应相应的合规要求，否则很容易陷入违规的困境。

（二）我国的合规相关规定

我国为了保障数据安全，保护个人信息权益，促进数据依法有序自由流动，出台了一系列法律法规来对企业商业数据跨境合规做出指引，同时明确了数据出境的审查、审批机制等要求。

其中，《网络安全法》《数据安全法》《个人信息保护法》等基础性法律是重要的基石，从不同维度对数据跨境传输应满足的监管要求进行了规定，它们相互衔接、相互补充，共同构建起我国数据跨境合规的基本框架。例如，要求数据处理者应当按照相关规定识别、申报重要数据，重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等，对于这些重要数据的出境就需要做安全评估申报。

而国家互联网信息办公室令第 16 号《促进和规范数据跨境流动规定》的发布，更是进一步细化和完善了相关规则。该规定明确了多种免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动情形，比如国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供，不包含个人信息或者重要数据的；为订立、履行个人作为一方当事人的合同，确需向境外提供个人信息的（像跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等场景）；按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理，确需向境外提供员工个人信息的；紧急情况下为保护自然人的生命健康和财产安全，确需向境外提供个人信息的；关键信息基础设施运营者以外的数据处理者自当年 1 月 1 日起累计向境外提供不满 10 万人个人信息（不含敏感个人信息）的等等。

同时，规定也指出了应当申报数据出境安全评估的情形，例如关键信息基础设施运营者向境外提供个人信息或者重要数据；关键信息基础设施运营者以外的数据处理者向境外提供重要数据，或者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息（不含敏感个人信息）或者 1 万人以上敏感个人信息等情况。另外，通过数据出境安全评估的结果有效期为 3 年，自评估结果出具之日起计算，有效期届满，需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的，数据处理者可以在有效期届满前 60 个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请，经批准可延长 3 年。各地网信部门还需加强对数据处理者数据出境活动的指导监督，健全完善数据出境安全评估制度，强化事前事中事后全链条全领域监管等工作。

（三）企业面临的双向合规困境

在当今全球化的商业环境下，企业若想拓展国际市场，就不得不面对双向合规的难题，也就是既要遵守国内相关合规规定，又要满足目的地国家或地区的合规要求，这一困境对企业的发展影响重大，积极应对则显得十分必要。

从国内来看，我国有着严格的数据出境审查和审批机制，企业必须依照诸如《网络安全法》《数据安全法》《个人信息保护法》以及《促进和规范数据跨境流动规定》等法律法规开展数据跨境活动，对数据进行分类分级管理，判断是否属于需要申报安全评估、订立合同或者通过认证等不同情况的数据出境情形，按要求履行相应的义务，像进行数据安全保护、采取技术措施保障出境安全、发生数据安全事件及时报告并整改等，否则就可能面临法律责任追究。

而在国际上，不同国家和地区的数据保护水平、隐私法规、行业监管重点等千差万别。例如，欧盟的《通用数据保护条例》（GDPR）对个人数据跨境转移有着极为严格的要求，企业向欧洲经济区之外转移个人数据时，需要确保接收方所在国家或地区已取得欧盟充分性认定，或者为数据主体提供 “适当的保障措施” 等，否则就可能遭受高额罚款，像 Facebook 母公司 Meta 就曾因相关违规行为收到巨额罚单。美国虽采取分行业分散立法模式，但在受控非密信息、外资安全审查、出口管制等方面限制数据出境，并且对外资获取其关键技术、敏感个人数据等审查严格。

企业若忽视了任何一方的合规要求，都可能陷入法律纠纷、遭受巨额罚款、损害企业声誉等不良后果，进而影响其在国际市场上的业务拓展和持续发展。所以，企业必须建立健全的内部合规管理体系，密切关注各国政策法规动态变化，及时调整自身的数据跨境策略，投入足够的人力、物力、财力来满足双向合规的要求，以此降低风险，保障在全球市场中的稳健运营。

四、应对跨境数据流动挑战的策略

（一）企业角度

1. 建立数据合规管理体系

在跨境数据流动面临诸多安全与合规挑战的当下，企业建立数据合规管理体系显得尤为关键。首先，企业要制定详细的数据保护策略，这涵盖了数据收集、存储、处理以及传输等各个环节。例如，明确规定数据收集需遵循合法、正当、必要的原则，获取用户的明确授权；在存储方面，依据数据的重要性和敏感性划分不同等级，采取相应的加密存储措施等。

同时，定期进行合规审查不可或缺。企业可设立专业的内部合规团队或聘请外部专业机构，对数据管理流程和控制措施进行全面评估与检查，及时发现潜在的合规风险点，比如是否存在未按规定对重要数据进行标识、数据访问权限设置不合理等情况，并根据审查结果做出相应调整。

此外，开展必要的员工培训也是重要一环。通过内部培训课程、线上学习平台等多种形式，向员工普及数据合规相关的法律法规、企业内部的数据管理政策以及违规操作可能带来的严重后果等知识，提高员工对数据合规重要性的认识，使其在日常工作中能自觉遵守规定，因为员工往往是数据合规的第一道防线，他们的合规意识和操作直接影响着整个企业的数据合规情况。通过上述多方面的努力，企业才能构建起综合且有效的数据合规管理体系，更好地应对跨境数据流动带来的挑战。

2. 关注政策动态调整措施

跨境数据流动涉及不同国家和地区，而各个国家和地区的政策法规处于动态变化之中，所以企业需要密切留意国际数据保护动态和政策变化，时刻保持警觉。例如，当某国出台新的数据隐私保护法规，对数据跨境传输的条件进行了更为严格的限定，企业若未能及时知晓并做出相应的合规措施调整，就很可能陷入违规的困境。

企业可安排专人负责跟踪关注主要目标市场以及相关国际组织在数据保护方面的政策更新情况，及时分析这些变化对自身跨境数据业务的影响。一旦发现政策变动，迅速评估企业现有的合规措施是否依然适用，如有必要，尽快对数据跨境传输的流程、技术手段以及合同条款等进行相应修改和完善，确保始终符合最新的政策要求，保持适应性与合规性，从而在复杂多变的跨境数据流动环境中稳健运营。

（二）国家角度

1. 完善国内制度体系

我国高度重视跨境数据流动的管理，为应对其中的安全与合规挑战，正进一步加强跨境数据流动制度的整体性、系统性建设。一方面，细化完善数据出境规定，明确不同类型、不同规模的数据在出境时需要遵循的具体条件和审批流程。比如，对于关键信息基础设施运营者所涉及的数据出境，以及达到一定量级的个人信息或重要数据的出境，要严格执行安全评估申报机制，确保数据流出的安全性和合法性。

另一方面，强化国家安全风险评估在跨境数据流动管理中的作用，将涉及国家安全、经济命脉、社会稳定等关键领域的数据纳入重点评估范畴，从源头把控数据跨境可能带来的风险。通过打造高位阶规则体系，为跨境数据流动提供清晰明确、科学合理的制度框架，既能保障我国的数据主权和安全，又能促进数据依法有序自由流动，推动我国数字经济在安全的前提下健康发展。

2. 积极参与全球治理

秉持 “网络空间命运共同体” 理念，我国主动争取跨境数据流动规则制定的主动权，积极融入全球数据治理格局。我国通过参与双边、多边协议等方式，与其他国家和地区共同探讨跨境数据流动的规则制定，贡献中国智慧和方案。例如，在亚太地区，我国与周边国家积极交流合作，参考《区域全面经济伙伴关系协定》（RCEP）等相关协定中关于数据跨境安全流动的原则，探索适合本区域的跨境数据流动管理模式，协调各方利益，推动区域内数据的合理流动与数字经济的协同发展。

同时，在国际舞台上，我国也积极与其他数字经济大国以及国际组织开展对话与协作，针对全球跨境数据流动中存在的法律规范差异、标准规则冲突等关键问题，分享我国的实践经验和治理思路，助力构建公平合理、高效有序的跨境数据流动全球治理体系，让数据更好地在全球范围内发挥价值，实现互利共赢。