通信世界网消息（CWW）随着全球数字经济的快速发展，数据流动变得更加频繁，跨境数据流动监管议题也引起了全球层面的讨论。跨境数据流动监管最早出现在各国的个人数据保护立法中，旨在对个人数据从本国向境外的转移进行监管。

数字经济全球化激起了海量数据需求，云计算和大数据技术的普及让跨境数据流动更加方便、快捷，各国开始重新审视跨境数据流动监管政策，并且聚焦于商业数据等敏感数据的跨境管理。美国、欧盟长期以来通过立法、谈判、对话等方式力图主导跨境数据流动规则的建立。

伴随国家“大数据战略”的落地，我国亟待借鉴国外先进经验，结合国内实际加快建立相关机制和措施，按照“十三五”规划的要求完善跨境数据流动监管。

商业社群主张跨境数据自由流动

作为数字经济的直接受益者，全球商业社群一直是推进数据跨境流动的积极倡议者。全球移动通信系统协会(GSMA)发布的《数字经济2017》（Mobile Economy 2017）指出，建立健全的隐私保护规则对跨境数据流动具有重要意义。该报告指出，随着数字经济全球化的程度加深，各国需要协调彼此的隐私和个人数据保护规则，从而构建一个问责机制以保证跨境数据有效且充分地流动，进而推动数字经济的繁荣；报告强调包括跨境数据流动在内的各类数据行为必须建立在可信的数字环境基础之上，这一点恰恰需要一个充分问责的机制予以保障。

2017年1月，20国集团工商界活动（B20）发布了《20国集团数字转型的关键议题》报告，强调应当以积极的心态看待跨境数据流动，并采取必要措施降低跨境数据流动可能面临的壁垒以释放数字经济潜力；同时，应当高度重视数据保护，以推动全球连接。

美、欧、俄等跨境数据监管思路

国际上对跨境数据流动监管并未形成统一框架，不同国家采取的监管模式各不相同，各国以维护本国利益为出发点设计跨境数据监管制度，对不同类型数据采取分级和分类监管，包括重要数据禁止流动、公共数据有条件流动、普通数据跨境流动满足安全认证要求等,并且采取有针对性的保护措施，确保跨境数据流动不会危害国家安全和公共利益。当前，美、欧、俄在跨境数据流动监管上呈现出差异化的监管思路。

美国退出TPP引发政策调整猜想。美国法律并未对数据跨境流动做强制性规定，其外资安全审查机制要求国外网络运营商将通信数据、交易数据、用户信息等仅存储在美国境内，通信基础设施也必须位于美国境内，并且依据《出口管理条例》和《国际军火交易条例》分别对非军用和军用的相关技术数据进行出口许可管理，只有根据法律规定获得相应的出口许可证的提供数据处理服务或掌握数据所有权的相关主体才能进行数据出口。

美国在奥巴马执政时期推动并主导建立了“跨太平洋伙伴关系协定”（TPP），进而在此框架下主导跨境数据流动的规则制定，其核心原则是支持跨境数据自由流动，反对他国对跨境数据自由流动设限，反对他国的数据本地存储要求。特朗普刚刚上台便宣布退出TPP，引发了业界对美国是否坚持奥巴马时代的跨境数据流动政策的猜测，一些公司甚至已经考虑重新修订个人数据保护制度以适应未来趋势。因此，退出TPP是否意味着数据本地化存储趋势的抬头仍有待观察。

欧盟以充分性保护水平作为与域外国家跨境数据流动的基本要求。从欧盟与美国达成“隐私盾”协议到出台《一般数据保护条例》，欧盟一直在努力打造跨境数据流动的“欧盟标准”，2017年的典型案例便是起草有关跨境数据流动的谈判文本，供欧、日贸易协定中涉及跨境数据流动部分使用。

欧盟将域外国家数据保护水平的充分性作为跨境数据流动的基本要求，域外国家企业如果要实现与欧盟的跨境数据自由流动，必须要事先通过欧盟委员会或欧盟成员国的数据保护水平认证。

所谓的“充分性”标准有两条：一是跨境数据域外流入国的处理规则必须符合欧盟要求，二是有充分确保规则有效实施的相关机制，满足上述标准的国家则进入“白名单”，才可与欧盟实现跨境数据自由流动。

从立法进度来看，欧盟一直努力实现“在高水平的个人数据保护规则和推动数据跨境流动之间寻求道德和利益上的平衡”，这一点既符合欧盟的利益也符合其价值观。

随着俄罗斯、土耳其、越南等国纷纷出台数据存储本地化的措施，欧盟希望采用谈判的方式与这些国家缔结协定，试图用自身标准阻止这些以公共安全为理由变相推动数据本地化存储。

俄罗斯推动数据存储本地化、限制跨境数据流动。俄罗斯是推动数据存储本地化、限制跨境数据流动的代表，其出发点是国家安全立场和实际存在的网络安全威胁，主要措施包括修宪、立法等手段。

2014年，俄罗斯发布联邦第九十七号《俄罗斯联邦<关于信息、信息技术和信息保护法>修正案及个别互联网信息交流规范的修正案》对《关于信息、信息技术和信息保护法》进行了修改，规定“自网民接收、传递、发送和(或)处理语音信息、书面文字、图像、声音或者其他电子信息6个月内，互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存。”

同年，俄罗斯出台了一揽子反恐法案和个人信息存储法案（242-FZ，又称数据本地化法），对两部数据管理法律同时做了修改；在《关于信息、信息技术和信息保护法》第十六条第四款中增加一项，要求信息拥有者、信息系统运营方有义务对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对(更新、变动)、提取的数据库存放在俄罗斯境内；在《俄罗斯联邦个人数据法》第十八条增加第五款，要求收集个人数据(包括使用互联网手段)时，运营商需要保证使用位于俄罗斯境内的数据库，对俄罗斯公民的个人数据进行搜集、记录、整理、保存、核对(更新、变动)和提取。

对我国跨境数据流动监管的建议

国内方面，将于今年6月1日开始实施的《中华人民共和国网络安全法》第三十七条明确了数据跨境流动的基本规则和安全审查制度，《“十三五”国家信息化规划》中明确提出“建立跨境数据流动安全监管制度”。显然，我国已意识到跨境数据流动监管的重要性并制定相关规定。面对当前的产业环境，笔者认为，我国还可以从以下方面着手，完善跨境数据流动监管。

一是完善相关法律法规，明确跨境数据流动监管的主管部门、管理对象、管理原则、管理措施等。

二是从保护和利用的平衡处罚，建立分级分类管理标准和制度，对不同类型、不同级别的数据采取不同的监管手段。

三是要求企业建立内部数据保护体系，明确数据收集、使用、加工、传输全生命周期环节的具体措施，加强事前风险研判与监测。

四是通过认证、谈判等渠道建立跨境数据流动信任机制，充分利用各类“双边”、“多边”合作机制，参与乃至主导一部分跨境数据流动规则，增加我国的国际话语权。

五是深入研究美国、欧盟、俄罗斯、澳大利亚等国家的跨境数据流动监管动态并借鉴合理模式，以便为今后中美双边投资协定（BIT）谈判、中欧贸易磋商、中国互联网企业进入俄罗斯市场中提出针对性建议。

来源：https://m.news.baidu.com/news?fr=mohome&ssid=0&from=844b&uid=&pu=sz%40320_1001%2Cta%40iphone_2_7.0_3_534&bd_page_type=1#/searchpage/searchdetail/http%3A%2F%2Fwww.cww.net.cn%2Farticle%3Fid%3D405548?_k=cu0wop