【跨境】跨境数据流的游戏规则是什么？

美国***政治学者约瑟夫·奈在《理解**冲突：理论与历史》一书中指出，信息革命正在改变**政治，处于信息技术***地位的**可以相应地夺取更多的权力，信息技术相对落后的**将失去很多力量。数据跨境流动不仅是传统的个人隐私保护问题，也是企业与企业之间跨境贸易和走出去的业务层面问题。数据流的基本规则在很大程度上决定了**贸易、**安全和**主权的规则。

目前，**上还没有统一的跨境数据流定义。从**组织和其他**对跨境数据流动的管理和体系来看，主要有两种理解：一是跨境数据传输和处理；二是虽然数据不跨越国界，但可以由第三国主体访问。跨境数据流通机制的一般原则是，境外实体的数据保护程度不低于境内实体。

麦肯锡的数据显示，仅就数据流而言，强大的数据连通性是发达**，其中大部分是西方**。荷兰是欧洲互联网流量的中心，***，其次是德国、英国、法国、瑞典、新加坡和美国。然而，除了欧洲以外，每一个大陆消费的数字内容有一半以上产自美国，美国作为全球数字网络的中心，从中受益匪浅。

典型的框架是亚太隐私保护规则体系（cbprs），它对中国的影响很大。

2011年，亚太经合组织（APEC）建立了跨境商业个人隐私保护规则体系（CBPR），由公认的商业机构个人隐私和信息保护水平评估机构认证发布，企业可自愿参与。为了确保自身安全，实现自身经济利益***化，美国积极加入CBPR，极大地提高了CBPR的**影响力，使CBPR未来有可能成为一个区域主导的跨境数据流框架。

《减贫战略》是**优等不具约束力的制度。**设立责任机构，决定各国企业是否遵循《减贫战略文件》制度。如果遵循cbprs系统，企业加入系统后，可以自由交换数据。2015年8月底，CBPR和BCR（欧盟企业间有约束力的企业规则）起草单位讨论了双方整合的可行性。一旦这一制度得到相互承认，它将具有非常广泛的覆盖面。

BCR和SCC（标准合同条款）是**上***的协议规则，特别是BCR比较成熟，企业使用更灵活方便。标准格式合同管理模式是政府对跨境数据处理合同条款中应包含的安全管理内容进行规范。例如，在欧盟，数据保护主管部门制定了标准格式的合同条款，其中包括根据数据保护法的原则对数据保护的要求。如果企业之间签订的跨境数据流处理合同中包含格式合同条款，未经数据保护主管部门同意，可以实现跨境数据流。

跨境数据流动是各国之间的难题，各国都在积极争取重要贸易伙伴国的数据保护认证。例如，长期履行美欧“安全港”协议并承诺遵守“安全港”协议的美国企业，可以获得数据保护的“充分性”和欧盟成员国处理数据的资格。协议确认，在安全港隐私原则和附属条款中对个人数据的保护符合欧盟的要求。

与安全港一样，隐私盾也包含七项隐私原则，但其内涵比安全港更为丰富。

表1：隐私保护的七项隐私原则

就跨境数据流安全管理的总体框架而言，目前**上还没有一个统一的体系，但总体思路是对不同的数据采用分级分类管理，并采取不同的保护措施，确保跨境数据流不危害公民权益和**安全。

一是禁止重要数据跨境流动。例如，俄罗斯颁布法令，其公民信息必须存储在俄罗斯；澳大利亚规定，具有较高安全级别的政府数据不能存储在任何离岸公共云数据库中，而必须存储在具有较高安全协议的私有云数据库中；韩国关于推广和利用信息通信网络与信息保护规定，政府信息通信服务提供者或者使用者可以采取必要措施，防止与工业、经济、科学技术等有关的重要信息通过通信网络外流。第二，政府和公共部门的一般数据和行业的技术数据有条件地限制跨境流动。例如，澳大利亚对政府信息进行分类，并要求非机密信息在外包前还必须经过安全风险评估。第三，允许普通个人数据跨境流动，但数据流入国需要满足一定的安全认证要求。目前，许多**都参与了数据跨境流动的**或**间认证，为国内数据外流和其他**数据外流建立渠道。

在美国等系统成熟的**，其跨境数据流管理理念紧紧围绕自己的核心利益。以美国在TPP贸易协定谈判中提出的知识产权条款为例，为了保护其文化产业，美国将《千年数字版权法》中严格的知识产权侵权责任条款纳入TPP谈判，主张允许知识产权人对互联网服务商为用户提供的音频、视频、图片等信息产品进行跟踪。在欧盟，根据1995年的数据保护指令，数据控制者应在数据处理实施前向监管机构报告，并在实施前审查可能对数据主体的权利和自由构成特殊风险的数据处理行为。

目前，**上跨境数据流的权力和责任模式主要有两种：

除**框架和协议外，跨境数据流通的主要合法性机制包括充分性认定、各方同意、企业自我评估和数据本地化等理念和机制。

以欧盟为例，欧盟有自己的法律规定，应将数据分发给有足够数据保护的**和地区。目前有加拿大、阿根廷等，但这种承认非常有限，承认的**的法律模式都是以欧盟为基础的。

当事人的同意是合法的，但当事人可以随时撤销，而且确定充分性的门槛很高。在网络条件下，它是不充分的，往往会被撤回，这对企业来说是非常不经济的，是一种非常高的风险机制。

以英国为例，英国数据保护局ICO已经发布了隐私保护指导方案。企业可以进行自我评估，评估数据流是否符合**标准。如果自我评估良好，他们可以相互认证和证明对方的**。不过，欧盟层面并不认同这一机制。安全评估认证体系主要是指数据管理员在向外界传输数据之前对数据安全风险的评估或认证。目前，风险评估主要针对政府和公共部门向海外转移的数据。根据澳大利亚政府信息外包、离岸存储和处理信息和通信技术安排政策和风险管理准则，澳大利亚政府信息分为几个层次。对于非保密信息，要求政府机构在外包前进行安全风险评估。

实施非强制性管理，就是要弥合制度差异。为了建立统一的市场，消除成员国现有制度对跨境数据流动造成的障碍，欧盟采取了一系列非强制性管理措施，尽可能营造统一的法律环境。虽然这种系统不是强制性的，但采用这种系统的**或企业将能够使用数据流设施。这种管理方式逐渐被其他**所接受，成为跨境数据流监管的典型系统。

目前，对跨境数据流的限制主要有两个：一是在中国建立数据中心；二是在中国存储数据。在一些**，企业在中国建立数据中心是企业开展服务的条件之一。越南在2013年颁布法令，要求所有互联网服务提供商，如谷歌、Facebook和其他公司，在越南至少建立一个自己的数据中心。巴西也在2013年开始制定政策，要求谷歌、Facebook等公司在中国建立数据中心。印度政府要求公司将部分IT基础设施保留在印度，以便检察官获取加密信息。马来西亚已通过立法，要求提供本地数据服务器。此外，俄罗斯、委内瑞拉和尼日利亚立法要求用于处理支付信息的IT基础设施必须存储在该国。