在经济全球化和以数字化为核心特征之一的第四次工业革命的发展背景下，数据作为与土地、劳动力、资本和技术并列的新的第五大生产要素，亦是国家战略的重要资产。而由于人员跨境、商业、资本和服务等的跨境引起的数据跨境，均在我国国家安全、公共安全、个人隐私、商业利益等方面带来诸多挑战。

作为数字经济发展最为迅猛的国家之一，近年中国正积极的构建数据流动管理规制机制。作为数据安全领域基础性法律的《数据安全法》以多条文规制了数据跨境，如第11条明确对数据跨境提出了比《网络安全法》[注1]更为严格的要求，即“数据跨境安全、自由流动”[注2]，尽管《数据安全法》的颁布完善了我国数据安全领域的法律规制，但是仍存在亟待解决问题，如：《数据安全法》第31条中规定，对“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理适用《网络安全法》的规定”，而《网络安全法》中的相关规定较为笼统，亦没有具体明确的国家标准进行指引。作为数字经济大国，我国亟需完善数据跨境规制机制以提高我国跨境数据流动管理能力。

2020年10月中国共产党第十九届五中全会审议通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出了“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用”“积极参与数字领域国际规则和标准制定”。2020年6月1日，中共中央、国务院印发《海南自由贸易港建设总体方案》明确支持海南自由贸易港促进跨境数据安全、自由流动，“在国家数据跨境传输安全管理制度框架下，开展数据跨境传输安全管理试点，探索形成既能便利数据流动又能保障安全的机制”。2021年6月10日十三届全国人大常委会第二十九次会议审议通过的《海南自由贸易港法》规定“海南自由贸易港依法建立安全有序自由便利的数据流动管理制度，促进以数据为关键要素的数字经济的发展。”有专家学者认为，在海南开展跨境数据流动管理试点，是我国填补跨境数据流动规制体制漏洞的重要举措，国家试图通过充分利用海南自由贸易港的制度优势，打造中国特色跨境流动管理模式，逐步完善我国数据跨境流动管理的规制体系。

本文尝试在借鉴国外数据跨境流动管理的经验做法的基础上，提出在海南开展数据跨境流动管理试点的几点建议，以期对我国数据跨境流动管理的规制研究有所裨益。

近年来，跨境数据流动法律问题引起了广泛关注，而实际上跨境数据流动规制已经有30年的发展历史，并演化出分别由欧盟和美国主导的两套规制体系[注3]。各国为了国家安全大多通过立法要求数据本地化策略，如印度《电子商务国家政策框架草案》提出，逐步推进数据本地化，增加本国数据存储能力。俄罗斯第242-FZ号联邦法在第二条规定，必须使用位于俄罗斯的服务器来处理俄罗斯公民的个人数据。日本要求涉及国家安全的数据必须实现本地化储存，但对其他数据不做格外限制。美国先后推出《出口管理条例》和《澄清域外合法使用数据法案》，对数据流动进行政府管制，让美国执法机构更易跨境调取其公民海外信息，避开其他国家的隐私保护法领域的法律制度。欧盟的GDPR被称为全球最严苛的个人隐私保护，其有效防止了第三国或国际组织对个人数据立法保护水平差异而对个人数据权利造成侵害。

因跨境数据流动涉及到各国不同的规制，相关国际组织确立了跨境数据流动的多边合作、多边协定框架。如OECD（经济合作与发展组织）是全球首个提出跨境数据流动执行原则的国际组织。其1980年发布的《隐私保护和跨境个人数据流动指南》提出，成员国应避免以保护个人隐私和自由的名义，限制跨境数据自由流动。OECD还开发了数字服务贸易限制性指数，对全球40个主要经济体的数跨境数据流动水平进行评估。《美墨加协定》（USMCA）、《欧盟-美国隐私盾协议》(EU-U.S. Privacy Shield)和欧盟的《通用数据保护条例》(GDPR)中有关对数据跨境的规定已成为全球数据治理的法律规制示范。

我国有关数据跨境流动的法律规制起步相对较晚，且目前尚未加入相关国际规则组织。2016年出台的《网络安全法》首次明确了我国数据跨境流动管理的基本框架，对关键信息基础设施数据跨境提出了安全评估要求。随后，《数据安全管理办法（征求意见稿）》《网络安全审查办法（征求意见稿）》《关于银行业金融机构做好个人金融信息保护工作的通知》《汽车数据安全管理若干规定（征求意见稿）》等办法都不同程度提出了数据跨境流动管理要求，如《关于银行业金融机构做好个人金融信息保护工作的通知》明确规定“在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”，《汽车数据安全管理若干规定（征求意见稿）》中提出了数据出境强制开展安全评估、数据出境的年度备案等要求。刚刚于2021年6月10日通过的《数据安全法》对于数据跨境问题主要如下：

(一)《数据安全法》多条文涉及跨境数据流动管理之规制

如《数据安全法》第十一条规定，国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。第二十四、二十五、二十六、三十一、三十六条，从建立数据安全审查制度、数据出口管制、重要数据出境管理等对数据出境涉及的问题进行明确的规定。

(二)《数据安全法》对于数据跨境执法有了立场性的规定

《数据安全法》第三十六条对于境外司法执法机构调取中国境内存储的数据的规定，坚守了《国际刑事司法协助法》对于跨境执法调取数据的传统模式，对于存储于境内的数据，除缔结或参加的国际条约或协定的特殊要求，非经国家主管机关批准，境内的组织、个人不得向境外司法执法机构提供。

综上可见，我国已有法律法规涉及数据跨境流动的规制，但除了以上所述有所涉及外，主要分散在不同的行业领域，缺乏统一的国家标准进行指引。不同监管部门的职能叠加，九龙治水，很难对数据的保护、监管起到良好的作用，且我国跨境数据流动全球治理机制缺失。以美国、欧盟等国家及地区为主导的数据跨境流动政策为例，各国、各地区间虽政策法律规制虽有不同，但对于通过多边合作、多边协定渠道建立跨境数据流动的国际合作已经达成了共识。中国可尝试在国内特定地点或自由贸易试验区探索数据跨境流动机制，稳步推动数据跨境安全自由流动[注4]。

(一) 自贸港的制度优势及实践中数据跨境流动管理的创新尝试

在经济“新常态”下，自由贸易试验区（港）建设是中国新一轮开放和制度创新试验的前沿，其根本任务是以开放倒逼改革，形成可复制、可推广的新制度，以推动发展方式的根本转变。[注5]作为制度集成创新的中国唯一自由贸易港，《海南自由贸易港法》的颁布，一方面彰显了我国不断扩大对外开放、推动经济全球化的决心，另一方面为海南制度创新加强了顶层设计。在自由贸易港的制度背景下，海南积极推进探索建立数据跨境流动安全管理试点，能够为国家探索数据跨境流动规制的完善提供窗口和经验，在促进经济增长、加速创新、推动全球化等方面发挥积极作用。

近年来，海南在推动构建数据跨境流动管理体系上做出了积极的创新尝试，开通国际互联网数据专用通道，启动国际海底光缆及登陆点建设、开展国际互联网数据交互试点、设立国际通信入口局，在电信业务市场准入和增值电信的外地股比限制等方面逐步实现开放。

(二) 自贸港创新数据跨境流动管理制度的建议

跨境数据流动涉及数据的采集、传输、存储、处理等，是跨部门、跨系统、跨区域的庞大系统性工程。《数据安全法》中关于数据跨境流动管理的立法规制、及《海南自由贸易港法》下有助于本土法律与国际规则衔接的特殊优势，为海南创新数据跨境安全、自由流动的制度设计提供了顶层支撑。笔者建议，海南可充分发挥自由贸易港的制度优势，自下而上，从实际发展需求出发，探索跨境数据流动管理制度的创新，推动我国数据跨境流动管理的法律规制的完善。

1. 选择部分园区开展数据跨境流动管理试点。以新加坡构建数字生态系统促进数字经济发展的做法为例，新加坡除了不断完善数据跨境流动管理体系之外，也高度关注通过数据跨境流动促进企业发展[注6]。海南目前建有十一大重点园区，其作为推动海南自由贸易港建设的样板区和试验区，承载着实施海南自由贸易港“早期安排”政策的重要任务。在此背景下，腾讯、世纪华通、三七互娱等国内知名游戏企业签约落户海南生态软件园，推动了海南游戏出口产业发展；海南博鳌乐城国际医疗旅游先行区开展临床真实世界数据应用试点、成立海南真实世界研究数据研究院等。海南可以国际优势产业为切入点，在海南生态软件园等部分重点产业园区，研究数据便利流通规则。海南可通过打造高质量产业园区，扩大多边国际数据服务和贸易合作，通过探索建立区域性跨境数据流动规则以健全数据跨境流动安全管理制度体系，如建立白名单制度。欧盟的GDPR中规定，由欧盟委员会将达到“充分性”保护要求的国家列入“白名单”，一旦进入“白名单”则不再受GDPR中跨境数据传输的限制。数据跨境流动自由和安全的最大的问题是各国法律的不同，而“白名单”制度具有明显的政治因素，作为“一带一路”的发起国和RCEP成员国，基于与成员国之间的友好关系，我国应主动与“一带一路”和RCEP的国家开展数据跨境的双边、多边合作，借鉴东盟的《东盟数据管理框架》（DMF）和《东盟跨境数据流动示范合同条款》（MCC），积极促成与“一带一路”、RCEP国家之间的跨境数据自由流动，通过在自由贸易港先行先试数据跨境的便捷流动，推动数据跨境安全、自由流动，培育海南特色的合作竞争新优势。

2. 降低数据跨境流动成本。海南可通过加强数字基础设置建设，推动数据跨境安全、自由流动，如可布局海洋新基建，探索海洋科技产业与数据中心的协同科技创新，进一步降低数据中心用电成本，加快推广应用先进节能技术，并以丰富的海洋资源优势解决自由贸易发展带来的大量数据跨境需求，并同步布局大数据中心国家枢纽点。2021年5月，在海南落地的全球首个商用海底数据中心项目进入实施阶段，海底数据中心具有低能耗、低成本等优势，其可大规模的复制推广能满足自贸港的发展数据流动需求。另外，海南可通过探索建立电力网和数据网联动建设、协同运行机制，优化数据中心建设布局，推动算力、算法、数据、应用资源集约化和服务化创新。

3. 研究和制定自贸港跨境数据流动管理机制。以欧盟的GDPR为例，GDPR中规定了丰富的数据跨境流动机制以解决欧盟成员国数据流出后适用的法律法规不同等问题，最为广泛借鉴的有标准格式合同条款、有约束性公司原则和充分性认定等机制。《海南自由贸易港法》的亮点之一是以贸易投资自由化、便利化来进行各项制度设置，如《跨太平洋合作伙伴全面进步协议》（CPTPP）所着重强调的数据必须伴随商品和服务的自由贸易而自由流动，海南自由贸易港的贸易投资自由便利亦离不开数据跨境流动自由，但是这不代表允许数据的无序流动。数字贸易和贸易便利化是海南自由贸易港建设的核心内容之一，海南可借鉴国际上经验作法，通过制定完善数据跨境流动、利用、保护、流转等方面规则体系，探索创新数据跨境安全的制度设计，建立数据保护能力认证。如可探索建立约束性公司原则，欧盟的GDPR中的约束性公司原则主要用于跨国公司、集团公司，跨国公司、集团公司可通过制定公司内部规则来约束公司内部之间进行数据跨境流动，如果欧盟认可该约束性公司规则提供的数据保护水平，则可不用经另行批准便可在公司内部进行数据跨境传输。海南作为有国际竞争力的“税收洼地”，必定吸引大量的跨国公司在此设立机构甚至总部，海南可利用制度优势率先在自由贸易港范围内制定中国特色的约束性公司原则机制，不仅可促进数字贸易的发展，也解决了跨国公司内部数据跨境流动带来的问题。

作为当今世界最高水平开放形态的自由贸易港，海南自由贸易港可在《数据安全法》的法律框架下，推进我国加入数据跨境流动的全球治理行列进程，探索数据跨境流动管理体系和国际合作策略，逐步建立数据安全、自由流动的中国特色自由贸易港的标准和规则，打造开放型数字经济创新高地。