歐盟非個人數據跨境流動監(jiān)管模式研究*

黃 鈺

(中南財經政法大學 武漢 430073)

0 引 言

在“萬物互聯”的時代，社會各行各業(yè)的發(fā)展必然伴隨數據的產生、存儲與流轉，數據資源也逐漸成為各國博弈與合作的高地之一。根據數據主體的不同，大體上可將數據分為個人數據與非個人數據?；旌蠑祿嵸|上是由個人與非個人數據組合而成，因此本文不做單獨分類。在個人數據跨境流動監(jiān)管模式已基本成型的背景下，歐盟近年來愈發(fā)重視對非個人數據跨境流動的監(jiān)管問題。相較個人數據而言，由于金融數據、交通數據等諸多非個人數據關涉一國經濟命脈與社會公共利益，因此非個人數據對內共享程度越高，便更有利于為科技創(chuàng)新與社會公共福祉的提高創(chuàng)造條件。但也正因如此，非個人數據的出境往往也更易引發(fā)對國家主權、社會安全的風險，因此對外跨境流動監(jiān)管的必要性也更強。因此，與個人數據的跨境流動相比，歐盟非個人數據跨境流動監(jiān)管模式的“內外有別”特征也更為明顯。2022年歐盟通過出臺《數據治理法案》、公布《數據法案》草案等措施逐步完善非個人數據跨境流動的監(jiān)管規(guī)則，并力圖在非個人數據跨境流動方面繼續(xù)擴張其域外效力。在我國逐步建立與完善數據跨境流動監(jiān)管體系的過程中，對歐盟相關措施的分析可對我國監(jiān)管規(guī)則的完善提供反思與借鑒。

1 歐盟“內外有別”監(jiān)管模式的形成

對于非個人數據跨境流動的監(jiān)管，歐盟“內外有別”監(jiān)管模式的形成并非一蹴而就，而是經歷了由內及外的發(fā)展歷程。2022年歐盟出臺《數據治理法案》，并公布《數據法案》草案，彌補了非個人數據向歐盟外流動的監(jiān)管漏洞，逐步構建了“內外有別”監(jiān)管模式。

1.1 歐盟域內非個人數據流動監(jiān)管規(guī)則的形成

在2020年以前，歐盟對于非個人數據的監(jiān)管主要聚焦于內部市場的共享與流動。起初，歐盟通過選擇其他領域中的已有規(guī)則對非個人數據的自由流動進行監(jiān)管，例如其將非個人數據置于關于保護數據庫的第96/9號指令或有關知識產權法中加以監(jiān)管[1]。

2017年，歐盟陸續(xù)發(fā)布了《建立歐盟數字經濟》《數字單一市場戰(zhàn)略中期審查報告》，兩份報告均強調了歐盟需在非個人數據跨境流動方面制定相應的專門規(guī)則，不僅要實現對非個人數據的有力保護，還需最大程度促進非個人數據的跨境流動[2]。報告發(fā)布后，歐盟委員會于2017年9月13日發(fā)布《非個人數據自由流通條例》(以下簡稱《條例》)的提案，歷時兩年左右，該條例已于2019年5月28日正式實施。作為首次就非個人數據流動監(jiān)管問題作出統(tǒng)一規(guī)定的條例，其基本形成了歐盟內部非個人數據自由流動的制度框架[3]。在具體內容上，《條例》的篇幅不長，以概括性和原則性條款居多，側重于通過限制各成員國的數據本地化措施，確保成員國有權機關能夠及時獲取數據，增強數據的可訪問性和再利用性，以期達到非個人數據在歐盟內部實現最大程度流動、利用與共享的核心目的。同年，歐盟通過了《開放數據指令》，為消除歐盟范圍內公共信息再利用的障礙，促進公共信息的共享，刺激歐盟內部的數字創(chuàng)新能力提供相應支持與保障。

在監(jiān)管范圍上，無論是《條例》還是《開放數據指令》，此時歐盟對非個人數據流動的監(jiān)管，主要聚焦于歐盟內部，以保障內部數據共享為核心，并未對歐盟內部數據向歐盟域外跨境流動的重要監(jiān)管問題進行體系化規(guī)定，從而埋下了極大的安全隱患。在此種情勢下，若非歐盟國向在歐盟處理其數據的云服務提供商提出過度的、不正當的傳輸或訪問請求，或歐盟非個人數據的主動出境，不僅數據持有人的知識產權和商業(yè)秘密等重要利益可能會受到損害，甚至歐盟的數據安全也會受到威脅。因此，歐盟在構建內部非個人數據共享體系的同時，有必要關注數據出境安全等跨境監(jiān)管問題。

1.2 歐盟非個人數據向域外跨境流動監(jiān)管規(guī)則的初露萌芽

2020年2月，歐盟委員會發(fā)布《歐洲數據戰(zhàn)略》，其目標是使歐盟成為世界最具吸引力、最安全和最具活力的數據敏捷經濟體[4]。對于歐盟內部，該戰(zhàn)略強調建立真正的歐洲數據空間與單一數據市場，消除數據共享的障礙，從而造福于歐盟在公共事業(yè)、科研等領域的發(fā)展與創(chuàng)新。對于數據向歐盟外的流動，該戰(zhàn)略尤其強調數據安全與歐盟模式的推廣。但對于數據向歐盟外部的跨境流動問題，該戰(zhàn)略尤其強調對外加強歐盟全球競爭力和維護數據主權的重要性。在域外對歐盟數據進行訪問時，歐盟必須保證所涉域外行為符合歐盟基本價值觀與立法框架。即使進行國際合作，歐盟也僅與歐盟具有相同標準和價值觀的國家進行跨境合作[4]?？梢钥闯觯瑢τ谟蛲庠L問與數據出境，該戰(zhàn)略不僅特別注重保護歐洲主體的權利，且尤其強調以歐盟價值觀來維護歐盟數據安全，顯示出歐盟在數據信息方面企圖引領世界，推廣歐洲模式與歐盟價值觀的極大野心。

可以說，2020年《歐洲數據戰(zhàn)略》的發(fā)布奠定了之后歐盟近兩年數據立法的基調，歐盟已意識到在全球數據流動的國際環(huán)境下，在各國爭奪數據主權的國際形勢下，有必要建立并完善非個人數據向歐盟境外跨境流動的監(jiān)管與保障措施。在《歐洲數據戰(zhàn)略》的戰(zhàn)略背景下，歐盟通過GDPR所設置的充分性決定以及約束性公司規(guī)則等方法，歐盟個人數據向歐盟域外的跨境流動已基本具有體系化的安全保障。但對于非個人數據，當時歐盟的現有機制僅可為歐盟境內的數據共享提供支持，并不能在非個人數據進行國際跨境流動時，實現對成員國國家主權、數據安全以及數據權益的有力保障。

1.3 歐盟“內外有別”監(jiān)管模式的形成與完善

2022年為落實《歐洲數據戰(zhàn)略》，歐盟在上半年推進了兩項尤其關注非個人數據跨境流動的重要立法舉措，即《數據治理法案》的批準與《數據法案》提案的公布。《數據治理法案》與《數據法案》根植于對“數據”的廣泛定義，確立了包括非個人數據在內的系列數據發(fā)展戰(zhàn)略。兩個法案不僅為歐盟非個人數據的內部流動搭建監(jiān)管法律框架，而且彌補了非個人數據向歐盟域外流動的監(jiān)管漏洞，從而使得歐盟非個人數跨境流動監(jiān)管規(guī)則逐漸走向體系化的發(fā)展路徑。

對于歐盟境內非個人數據的流動，兩個法案均強調促進歐盟內部的數據共享，致力于增強公民對數據共享的信任度。為實現這一目標，《數據治理法案》提出了“數據利他主義”(data altruism)的概念，即在數據主體同意處理與其相關的個人數據的基礎上自愿、無償地共享數據，或數據持有人允許他人或組織無償使用其非個人數據，從而促進醫(yī)療保健、氣候變化等領域的數據共享，實現改善公共服務水平、服務公共決策或科研，促進公共利益的目的[5]。尤其對于如商業(yè)機密數據、知識產權數據等非個人數據，為促進私人與社會組織乃至公共機構充分利用上述數據進行研究與創(chuàng)新，《數據治理法案》以專章對數據的再利用問題進行詳細規(guī)定。

但對于數據向歐盟外的跨境流動監(jiān)管，《數據治理法案》與《數據法案》均引入了類似GDPR的監(jiān)管規(guī)則，填補了歐盟數據跨境流動監(jiān)管制度的版圖空缺。正如《數據法案》的解釋性備忘錄所提到，歐盟之所以再次對數據的跨境傳輸，尤其是非個人數據的跨境傳輸強化安全保障措施，正是出于對非歐盟、歐洲經濟區(qū)(EEA)政府非法獲取數據的擔憂。實際上，在歐盟委員會公布草案之前，歐盟就已開始了為期3個月的公共線上調研工作。其調查顯示，對于國際背景下對非個人數據的保護，76%的受訪者認為外國當局根據外國法律對數據的潛在訪問對其組織構成風險，19%的受訪者更認為向非歐盟國家傳輸數據是一個重大風險[6]。在根據非歐盟國法律提出轉移或提供非個人數據請求的情況下，其極有可能面臨與歐盟法律規(guī)定的此類數據保護義務相沖突，損害歐盟成員國在國家安全或社會基本利益方面的重大風險。譬如，美國通過2018年頒布的《澄清境外數據合法使用法案》(CLOUD)，對境外數據確立“長臂管轄權”，不僅使得歐盟在全球科技和產業(yè)競爭中陷于不利地位，同時也對歐盟成員國的數據安全甚至國家安全造成威脅[7]。而歐盟《數據法案》中關于非個人數據跨境流動監(jiān)管制度的規(guī)定，正是對美國通過CLOUD法案實施數據霸權的一次有力反擊。自此，在對非個人數據流動的監(jiān)管問題上，歐盟不僅擁有了較為完備的促進內部數據共享的體系化機制，也搭建起了數據出境的安全保障機制。

2 歐盟“內外有別”監(jiān)管模式的主要內容與特征

隨著《數據治理法案》的出臺與《數據法案》草案的公布，歐盟對非個人數據跨境流動的監(jiān)管，顯然已將觸角延伸至歐盟之外。通過對法案主要內容的梳理可知，在監(jiān)管效力及于歐盟域外的地域前提下，歐盟對非個人數據在歐盟境內、向歐盟境外流動的監(jiān)管在理念、措施等方面的差別是尤為顯著的。

2.1 主要內容

為促進數據尤其是非個人數據在歐盟內的共享與利用，《數據治理法案》主要通過了四項措施。第一，在數據再利用方面，該法案第二章尤其為非個人數據在歐盟內的再利用創(chuàng)設了諸多有利條件，并且彌補了《數據開放指令》缺陷，允許以保護第三方權利的方式重復使用商業(yè)秘密、知識產權等數據。第二，該法案鼓勵開設數據中介服務，并明確了可成為數據中介服務商的相關條件與應履行的責任。作為數據流動過程的中立參與者，數據中介服務商將在數據持有者(或數據主體)和數據用戶之間建立搭建橋梁，確保進行安全、透明的數據交換。第三，在“數據利他”的理念之下，該法案為數據利他組織的創(chuàng)建設立了相應的登記和監(jiān)督制度，并規(guī)定了透明度義務以及維護數據主體和數據持有者權益的具體要求。第四，法案要求以專家組的形式成立歐洲數據創(chuàng)新委員會，以協助歐洲委員會出臺提高數據互操性和共享性的措施。在《數據治理法案》搭建歐盟內部數據共享法律框架的同時，《數據法案》對其進行補充，進一步明確了可訪問和使用數據的主體與條件，對消費者、企業(yè)以及公共部門之間進行數據(尤其是非個人數據)共享時的權利與義務作出細化規(guī)定，為多種數據處理服務商之間的數據流動與轉換消除了障礙。

然而，相較于對非個人數據在歐盟內部流動的監(jiān)管，兩個法案對非個人數據向歐盟境外的跨境流動秉持了與數據共享截然相反的保守態(tài)度，所采取的措施均圍繞保障數據安全與數據主權展開。一方面，《數據治理法案》通過第七章“國際轉入與轉讓”的規(guī)定極大限制了非個人數據向非歐盟國家的跨境傳輸，并引入類似GDPR的“充分性保障”監(jiān)管規(guī)則。與此一脈相承的是，《數據法案》在第七章也對國際背景下非個人數據的跨境流動監(jiān)管問題進行專章規(guī)定，再一次強調了向非歐盟國家傳輸數據時的安全評估問題。另一方面，尤需注意的時，除第七章的專章規(guī)定之外，《數據治理法案》在第二章“重復使用公共部門機構持有的某些類別的受保護數據”中，對再用戶將公開持有的非個人數據轉移到第三國也設置了包括通知公共機構、經法人許可以及以合同形式承諾在內的三重審查條件?？梢钥闯觯噍^于對歐盟境內數據自由流動的倡導，對于與非歐盟國家之間的數據跨境，歐盟堅持著高標準與嚴要求的嚴苛態(tài)度，其內外有別的態(tài)度十分鮮明。

2.2 顯著特征

2.2.1日益擴張的監(jiān)管地域范圍

確定可監(jiān)管的地域范圍是一法域確定如何進行監(jiān)管的重要前提。對于個人數據的跨境流動，早在2018年歐盟就已通過出臺GDPR明確實現了對該類數據出境的“長臂管轄”式的監(jiān)管。然而對于非個人數據的跨境流動，直至2022年歐盟才將其監(jiān)管范圍明確擴張至歐盟域外。

相較于監(jiān)管個人數據跨境流動的GDPR第3條所采取的，區(qū)分“在歐盟境內設立”與“未在歐盟設立”機構的控制者或處理者對歐盟數據主體的個人數據進行處理的專門規(guī)定的做法[8]，對于非個人數據的跨境流動，根據《條例》第2(1)條的規(guī)定，該條例只適用兩種情形，一為適用于在歐盟境內居住或向在歐盟有住所的用戶提供服務的情況，而無論該服務提供者是否在歐盟境內成立；二為適用于在歐盟境內居住或有住所的自然人或法人為自身需要而實施的行為。結合《歐盟內非個人數據自由流動框架條例指南》對該標準的列舉性解釋可知，在設立地并不處于歐盟的情況下，若該服務提供商所進行的數據處理活動是通過“歐盟境內的服務器”進行的，所處理的數據是“歐盟客戶”的數據，才可屬于該條例的監(jiān)管范圍。可以看出，此時《條例》在監(jiān)管地域范圍上屬地主義的意蘊仍較為濃厚，雖然《條例》規(guī)定的第一種情形弱化“設立地”標準，但兩種情形仍以“居住地”位于歐盟這一重要屬地要素為前提，同時《條例》也明確表明，該條例僅適用于歐盟內非個人數據的處理。

隨著近兩年歐美對數據主權的爭奪愈演愈烈，歐盟愈發(fā)意識到對非個人數據的流動缺乏域外監(jiān)管必然引發(fā)安全風險且不利于維護數據主權，因此2022年的《數據法案》在地域范圍上進行了明顯的擴張。根據《數據法案》第1條第2款對地域范圍的規(guī)定，首先，該法案進一步弱化了“設立地標準”，完全未再提及是否要考慮設立地的相關因素。其次，該法案更加突出“目的標準”，其從數據流動過程中所涉及的多方主體角度，對“目的標準”進行了優(yōu)化、細化與靈活處理。該法案不僅從數據服務、數據產品的提供商角度來判斷，只要目標市場位于歐盟境內，歐盟即可對其進行監(jiān)管；而且從數據接受者、消費者的角度來衡量，只要此類主體位于歐盟境內歐盟即可監(jiān)管。換句話說，無論處理行為位于何處、無論提供商的設立地位于何處，歐盟均可實施監(jiān)管。

可以看出，從《條例》到《數據法案》，強調屬地性的“居住地”“設立地”標準呈現出愈發(fā)弱化的態(tài)勢，“目的標準”愈發(fā)受青睞，并且當前歐盟對“目的標準”的判定更具多樣性、選擇性與靈活性。這產生的必然結果是，相關機構在確定是否可以對非個人數據的域外流動問題進行監(jiān)管時，其可以發(fā)揮更大的自由裁量權來進行“長臂管轄”，從而逐漸實現對外輸出歐盟價值觀與歐盟標準的最終目的。鑒于數據的虛擬性與傳輸的即時性，擴大數據保護法的地域范圍在維護數據安全方面雖具有一定合理性，也是當前各國對數據跨境流動進行監(jiān)管的普遍選擇[9]，但地域范圍的向外延伸必然需要有所限制，以保證適當與合理性，否則必然會對他國司法主權造成威脅。

2.2.2“對內共享、對外限制”的監(jiān)管措施

無論是此前的《條例》，還是《數據治理法案》與《數據法案》，對于非個人數據在歐盟內部的流轉，歐盟的監(jiān)管原則一貫以保證數據的自由流動為核心，其各項監(jiān)管措施的標準也始終圍繞為促進數據共享這一目標。例如《條例》明確禁止了歐盟內部數據本地化的要求，如《數據治理法案》第三章專章設置數據中介服務，以支持和促進數據主體之間的數據流動與共享，再如《數據法案》草案通過第五章專章規(guī)定了數據持有者向公共部門機構和歐盟機構、機關或團體提供數據的相應保障措施等。

然而，對于數據向歐盟境外的流動，歐盟監(jiān)管措施的實施主要圍繞著保證歐盟數據價值的國際競爭力以及維護歐洲數據單一市場發(fā)展的監(jiān)管理念展開。其最常用的手段是在數據跨境前進行嚴苛的“前置審查”。在具體審查要求方面，《數據治理法案》與《數據法案》均設置了嚴格的審查標準。對于一般的數據跨境流動，上述法案均一致要求采用“一切合理的技術、法律與組織措施”來確保非個人數據跨境流動的安全性，其中尤為重要的是限制可進行跨境流動的國家范圍，評估第三國數據保護的水平是否達到了歐盟要求，而評估標準也是極為多樣的，包括考慮到有關國家關于訪問、獲取和保護非個人數據的一般法與部門法，例如公共安全、國防、國家安全、刑法和有關數據保護的法律；第三國公共部門機構對所傳輸數據的可訪問性；第三國是否存在具備獨立性和可有效運作的監(jiān)管機構；第三國關于保護數據的國際承諾，或具有法律約束力的公約、文書以及參與多邊或區(qū)域協商而產生的其他義務，以及可執(zhí)行性和有效法律補救措施的可用性等[10]。同時，在歐盟委員會依據上述條件評估第三國數據保護水平的情況時，數據服務提供商、再用戶等私主體依舊可以通過合同承諾的形式、技術上采取數字加密、技術標準認證等多種形式保證非個人數據的安全。此外，《數據治理法案》對獲得數據重復使用權的自然人或法人的數據跨境流動作出了更嚴格的規(guī)定。其中，對于“機密數據與受知識產權保護”的數據跨境流動，要求重復使用者必須以合同形式作出承諾，以保證相關數據保護義務的履行。對于涉及保護公共健康、社會安全、環(huán)境保護、能源保護與利用、金融安全、公共道德、消費者保護等歐盟社會政策與公共利益的“高度敏感性”數據，《數據治理法案》也增設了嚴苛的限制條件，例如限制技術轉讓或技術安排、限制在第三國的重復使用、限制有權實施數據跨境流動的人員類別等，以避免對歐盟公共政策產生消極影響。

而對于一國司法機關或行政機構對歐盟數據的跨境調取，《數據治理法案》與《數據法案》的審查要求基本一致。首先，均以條約為首要條件。其次，在沒有條約的情況下，數據的跨境調取必須滿足多種實質審查條件，包括要求闡明決定或判決的理由與相稱性(包括決定或判決的具體性質)、審查被調取方的合理反對意見、考慮歐盟或相關成員國的相關法律利益。與此同時，在滿足上述條件的同時，歐盟主體可以提供的數據也必須是“最低數量”的數據,但對于何為“最低數量”,兩個法案均未給出更為明確的解釋，而是采用了帶有一定自由裁量與主觀性的判斷標準，即根據他國請求的“合理”解釋進行判斷。

2.2.3組織機構設置的理念相異性

為實現對非個人數據跨境流動的良好監(jiān)管，設置相應的組織機構是一法域需采取的必要手段。在“內外有別”的監(jiān)管模式下，歐盟相關組織機構對內對外職能發(fā)揮的理念顯然不同。

對內部非個人數據的跨境流動，歐盟相關機構所秉持的理念一貫是以促進數據共享為核心，以最大程度挖掘與利用數據資源為目標。在《數據治理法案》提出的“數據利他主義”概念之下，《數據治理法案》不僅要求成員國制定數據利他主義政策，還主張設置各類“數據利他組織”，通過對數據利他組織的注冊登記、透明度要求等制度設計，來保證數據主體與數據持有人的數據權益，促進內部數據的共享與利用。同時，數據中介的創(chuàng)設可在數據持有者和數據用戶之間建立中間關系、提供中介服務，從而提高數據交換的效率，確保歐盟內數據的交流與共享可以安全、透明地進行。

但對于非個人數據向歐盟境外的跨境流動，歐盟監(jiān)管機構的核心目的并非在于促進數據共享，而是著重強調對數據安全的維護，限制數據向歐盟境外的跨境流動。實際上，無論是在個人數據保護領域還是非個人數據保護領域，歐盟委員會歷來是歐盟在數據保護領域最活躍的機構，其作用不可小覷[11]。但是伴隨著數據跨境流動的飛速發(fā)展，僅依靠歐盟委員會難以實現對數據跨境流動的全面監(jiān)管，因此在GDPR中，歐盟通過設置“數據保護委員會”強化對個人數據跨境流動的監(jiān)管；而《數據治理法案》中，歐盟通過增設“數據創(chuàng)新委員會”，協助歐盟委員會推進數據治理的相關工作，尤其是在向非歐盟國家傳輸數據的問題上，數據創(chuàng)新委員會的任務目的便不再是促進數據共享，而轉變?yōu)楸ＷC數據安全。其需要協助委員會制定標準合同、評估他國的數據保護水平是否可達到與歐盟同等的保護水平，以及制定適用于向他國傳輸高度敏感的非個人數據時的特殊條件。

不難看出，在全球數字治理體系變革與各國爭奪數據主權的國際背景下，歐盟對內部非個人數據流動的監(jiān)管，無論是監(jiān)管措施還是監(jiān)管機構的設置，其核心目的都在于弱化數據本地化、保障數據共享與數據利他，從而維護數據單一市場。然而對于數據向歐盟域外的流動，歐盟的側重點在于進行多種嚴格的審查與限制工作，對數據保護、數據主權與安全的重視遠遠超過了對數據自由流動的考量，以保證歐盟在全球數字市場可獲得更多的競爭優(yōu)勢與話語權。

3 歐盟“內外有別”監(jiān)管模式產生的影響

從《條例》僅規(guī)定歐盟內非個人數據流動的相關機制，到《數據治理法案》《數據法案》草案逐漸系統(tǒng)規(guī)定歐盟數據在境內外流動的相關監(jiān)管問題，歐盟非個人數據跨境流動的監(jiān)管規(guī)則不斷向著體系化的方向發(fā)展。從其發(fā)展過程也可以看出，對于非個人數據跨境流動的監(jiān)管，歐盟一向秉持著內松外緊的截然不同態(tài)度，這不僅對歐盟自身數字貿易的發(fā)展帶來挑戰(zhàn)，更對他國，甚至國際社會非個人數據的跨境流動產生深刻影響。

3.1 數據貿易壁壘的提高

數據的自由流動是數字貿易發(fā)展的前提。毋庸置疑的是，歐盟對內促進數據共享的監(jiān)管思路無疑有助于歐盟內部數據市場的發(fā)展。但不能忽視的是，歐盟對外嚴苛的監(jiān)管模式必然會對歐盟與歐盟域外之間的數據流轉帶來負面影響，而其域外管轄的對外擴張無形中又加劇了此種影響[12]。

從數據出境安全審查、數字經濟發(fā)展和國家安全的關系來說，數據出境審查的寬嚴程度與數字經濟發(fā)展的效率呈負相關關系[13]?！稊祿卫矸ò浮放c《數據法案》雖可有效彌補歐盟非個人數據跨境監(jiān)管制度的空白，給歐盟非個人數據提供更有力的安全保障。但與此同時，當前的制度設計不僅必然加重有向歐盟境外傳輸數據需求的企業(yè)的負擔，而且嚴格的數據跨境標準極有可能使歐盟更難吸引非歐盟跨國公司進入歐盟數據市場，即使進入歐盟市場其也需投入更多的合規(guī)成本。因此，當前嚴苛的標準存在扼殺歐洲吸引國際投資、發(fā)掘國際創(chuàng)新機會的可能[14]。與公權力機關相比，公司作為私主體，其權力與專業(yè)側重均有所區(qū)別，因此要求絕大多數公司來評估與他們進行數據共享的非歐盟國家的法律和營商環(huán)境，在無形中顯然已增加了過多的貿易負擔，甚至已有觀點認為這實際上是在變相要求諸多數據主體停止與非歐盟主體之間的跨境數據流動[15]。因此，若歐盟一味堅持過于嚴苛的審查標準，不斷提高歐盟與非歐盟國家之間數據流動的壁壘，不僅不利于歐盟數據市場的全球拓展，全球數字貿易的發(fā)展也必然會遭受數據流轉效率減緩的消極影響，數據價值的創(chuàng)造與發(fā)揮也必將大打折扣。

3.2 數據保護標準的“歐盟化”

在歐盟“內外有別”的監(jiān)管模式之下，歐盟內部數字市場的形成速度必然呈加速趨勢，歐盟國家的數據保護標準也難免會受到“趨同式”效應的影響。而對于歐盟域外國家來說，在歐盟對外擴張監(jiān)管地域范圍、對數據出境施行嚴苛審查方法，并在全球范圍推廣歐盟標準的現實情況下，非歐盟國家極有可能面臨本國立法逐步向歐盟靠攏的被動局面。當前，國內外學者多用“布魯塞爾效應”來描述歐盟對其他國家或地區(qū)帶來的各方面影響[16]。自GDPR出臺之后，“布魯塞爾效應”在數據立法方面表現的尤為突出，全球個人數據保護的標準也逐漸向歐盟靠攏[17]。而近年來歐盟陸續(xù)公布在非個人數據跨境流動領域的多個法案，同樣企圖在非個人數據跨境流動方面繼續(xù)延續(xù)“布魯塞爾效應”。

歐盟當前將自己標榜為數據監(jiān)管方面的“全球力量”,也采取了更具侵入性的監(jiān)管措施來影響他國的數據保護標準[18]。根據當前的歐盟標準，第三國的數據保護水平必須達到歐盟的“同等條件”，此種要求在無形中變相壓制他國數據保護的標準必須以歐盟為基本遵循[19]。作為全球數字市場的重要一環(huán)，歐盟也正在通過市場機制外化其法律法規(guī)，利用市場的連鎖反應不斷在全球滲透歐盟標準[20]。雖然在此影響下，各國的數據保護標準可能會存在不同程度的提高，但是不同國家顯然具有不同的基本國情與發(fā)展水平，一國理應立足于本國現狀制定符合本國發(fā)展道路的數據保護法律規(guī)則，而不應受制于他國或其他地區(qū)的變相要求。

此外，雖然擴大數據保護法的地域范圍具有一定合理性，是當前各國數據立法的重要部分，可以反映互聯網的無國界性質，可以起到保護本法域內數據主體權利的重要作用。但過于廣泛的地域范圍極有可能引起不同國家或地區(qū)之間的主權矛盾與法律沖突問題，一國所提出的域外主張越廣泛，就必然增加侵犯其他國家主權的風險，從而更易引起國際摩擦[21]。從當前歐盟對非個人數據跨境流動進行監(jiān)管的屬地性逐漸減弱，愈發(fā)側重于靈活的“目的標準”的變化可以看出，其通過擴張監(jiān)管的地域范圍，可以達到將歐盟法律直接適用于第三國的當事人或行為來對第三國的人員和活動施加影響的目的[22]，從而不斷擴大歐盟標準的全球影響，甚至極有可能影響他國司法主權的正當行使。因此，域外監(jiān)管的地域范圍并非無邊無際，而是需要設定相應的限制[23]，在保護本國數據安全與數據主權的同時，確保對他國的尊重。

4 中國數據跨境流動監(jiān)管規(guī)則的完善

回望我國立法及司法實踐，在數據信息保護與數據流動監(jiān)管領域，當前我國已初步形成以《網絡安全法》《數據安全法》和《個人信息保護法》為核心的法律框架[24]。目前全球性的跨境數據流動統(tǒng)一規(guī)則尚未形成，中國的數據跨境流動監(jiān)管制度也尚處于不斷發(fā)展與完善階段，其中確定適恰的地域監(jiān)管范圍以及制定適當的出境審查方法是目前首先需要明確的重要問題。

4.1 確定適恰的地域監(jiān)管范圍

2021年《數據安全法》第2條第2款規(guī)定，在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。從該條款可以看出，當前我國已充分認識到在數據跨境流動問題上擴張監(jiān)管地域范圍的必要性。但在確定可監(jiān)管的地域范圍時，我國需要解決維護數據主權與數據自由流動之間的價值平衡問題。這就要求我國可監(jiān)管的地域范圍需具有相對明確的標準與合理限度。一方面，法院或相關數據管理機構需要結合“禮讓”原則考慮將相關法律法規(guī)適用于域外的恰當性，保證在維護我國數據安全與數據主權的同時，尊重他國的主權與公共利益；另一方面，法律規(guī)則的域外效力必須以該法律規(guī)則具有可執(zhí)行性為重要前提，因此在確定域外可監(jiān)管范圍時尤其需要考量之后面臨的域外可執(zhí)行性問題，避免產生事前雖可進行域外監(jiān)管，事后不能域外執(zhí)行的困境。

在此基礎上，需要解決的有關地域監(jiān)管范圍的兩個具體問題是何為數據出境以及在何種情況下可以對相關域外行為進行監(jiān)管。首先，對于何為數據出境的問題，結合最新的《數據出境安全評估辦法》(簡稱“《評估辦法》”)第2條可知，主要包括數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外，以及數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。為保證維護我國數據安全目的的實現，一方面，當前需對數據處理者做恰當解釋。當境外數據處理者委托境內主體收集、處理相關數據并傳輸至境外處理者時，受委托方也理應進行安全評估并接受監(jiān)管。另一方面，需對位于本國境內卻未在境內注冊的主體，例如使領館、外國常駐新聞機構等，提供、訪問相關數據的行為, 是否屬于數據出境予以明確。其次，確定在何種情況下可以對相關的域外行為進行監(jiān)管更是尤為重要。從當前公布的《網絡數據安全管理條例(征求意見稿)》第2條第2款來看，雖然當前的征求意見稿已意識到采用“目的標準”的重要性，但該標準的適用依舊存在局限性，只有“在我國境外處理我國境內個人和組織數據的活動”時，我國才有監(jiān)管的可能。實際上，我國一方面可合理借鑒歐盟做法，弱化以“處理我國境內個人和組織數據的活動”為前提的“屬人與屬地標準”，并進一步結合市場導向推廣“目的標準”；另一方面,鑒于避免對他國司法主權造成侵害的考量，我國可將對“禮讓”的考量納入兜底條款。

4.2 制定適當的出境審查標準

在數據出境的審查問題上，從當前的《評估辦法》來看，我國擬通過事前評估和持續(xù)監(jiān)督相結合、風險自評與安全評估相結合的方法加強對數據的保護。為制定適當的出境審查標準，當前仍需明確兩個重要問題，其一為需進行審查的具體數據類型與級別，其二為具體審查標準的確定問題。

a.劃定完備的監(jiān)管類型。一方面，《評估辦法》沒有涉及“非重要且非個人數據”的數據出境問題。從歐盟當前的監(jiān)管體系來看，其根據個人、非個人數據的劃分，建立了全方位、體系化的監(jiān)管體系，對于具有高度敏感性的數據是在此基礎上進一步強化保障措施。但目前我國對于“非重要且非個人數據”的數據出境是否不受限制，或應以何種路徑進行監(jiān)管仍存在漏洞?！胺侵匾曳莻€人數據”雖不關涉國家重要的數據安全與利益，但并非不產生數據價值，在監(jiān)管層面，至少應確保以合同形式明確雙方權利與義務，以保證數據權利與數據的順暢流動。另一方面，當前《評估辦法》僅對“重要數據”的概念進行了定義，尚未明確重要數據具體的類型與識別標準，也未明確“核心數據”是否應納入范圍。目前，我國在金融、汽車、電信領域，相關主管部門已陸續(xù)制定了相關數據安全分級指南，數據主體在判斷“重要數據”時應結合定義，并根據具體行業(yè)標準、根據數據出境可能產生的后果進行綜合衡量。

b.確定具體的安全評估事項。 一方面，當前的風險自評與官方評估在評估事項上存在較高重合性，這雖有利于為官方評估提供可供參考的資料，但也易對官方評估的準確性產生影響。這就要求監(jiān)管機構在進行官方評估時，不應過度依賴自評估的結果，而應最大程度發(fā)揮能動性并保證專業(yè)性，始終以維護我國數據主權、安全為底線進行合理、客觀的評估。另一方面，雖然《評估辦法》要求他國數據安全保護政策法規(guī)和網絡安全環(huán)境對出境數據安全的影響，以及境外接收方的數據保護水平達到我國“同等保護”標準，但介于各國法律文本、法律文化各不相同，因此在評估他國是否達到與我國同等的數據保護程度時，需要相關部門充分利用自由裁量權，結合該國司法實踐進行合理評估，最大程度減弱過分僵化、刻板的判斷標準對數據跨境流動與數字貿易發(fā)展產生的負面影響。這是我國在監(jiān)管數據跨境流動時必須平衡與協調的重要問題。當然，我國也可適當參考歐盟所利用的相關具體評價標準，例如他國關于數據的一般法與部門法；他國是否存在具備獨立性和可有效運作的監(jiān)管機構；他國關于保護數據的國際承諾等因素進行具體判斷。此外，《評估辦法》擴大了安全評估范圍的材料類型，將“合同”擴大到“法律文件”[25]。當前擴大解釋的方法無疑可以解決一些未簽訂合同的數據出境場景的評估問題，但“法律文件”缺乏統(tǒng)一、明確的范圍，因此后續(xù)相關機構可以發(fā)布具備一定明顯特征的、多種類型的示范性“法律文件”范本，進一步幫助企業(yè)解決合規(guī)問題、提高評估效率。

5 結 論

圍繞“數字單一市場”和“技術主權”兩條主線，歐盟致力于打造分別適用于歐盟境內與歐盟境外的監(jiān)管模式[26]。在“數字單一市場”的理念下，歐盟秉持數據共享的理念，致力于保障數據資源在歐盟內部的自由流動；而在“技術主權”的要求之下，歐盟對數據出境嚴加審查，強調根據歐盟的價值觀構建數據跨境流動的監(jiān)管規(guī)則，并企圖對他國主權與法律政策施加影響[27]。這一“內外有別”的模式在非個人數據跨境流動的監(jiān)管問題上體現的尤為明顯。在此監(jiān)管模式之下，數據在歐盟內部的流轉速度必然加快，而與歐盟之外的交流互通必然減緩，從而增加了歐盟數據市場內部閉環(huán)發(fā)展的風險，也提高了跨境數字產業(yè)發(fā)展的合規(guī)成本，更增加了全球數字貿易發(fā)展的壁壘。

實際上，無論是歐盟還是我國，對個人數據以及非個人數據跨境流動的監(jiān)管，均需圍繞數據自由與數據安全的平衡問題展開，既需要在數據向域外流動時設定合理的、適當的地域范圍，在維護本國數據主權的同時尊重他國司法主權；又需制定恰當的、明確的數據出境審查規(guī)則，在保證數據安全的同時不阻礙數據的跨境流動，從而保證數據價值的最大化實現。