本文转载自清华大学智能法治研究院

8月2日下午，清华大学法学院、清华大学智能法学院在清华大学法律图书馆楼111会议室举办了“跨境数据流动安全学术研讨会”，来自清华大学、中央财经大学、上海交通大学、对外经贸大学、北京航空航天大学等高校，中国法学会、中国信息通信研究院、国家计算机安全应急协调中心等研究机构，腾讯、蚂蚁金服、京东等企业智库近30名专家学者与会，围绕跨境数据流动制度环境、规则设计、法律冲突、安全风险应对等展开深入探讨。

全球数字化经济背景下，中国与世界经济依赖关系愈发深入紧密，数据跨境流动是带动业务流、贸易流、资本流、技术流全球自由配置的重要牵引，而个人信息和重要数据跨境流动也可能引发不确定的安全风险。

各国高度重视数据跨境流动制度设计，通过数据本地化存储、跨境流动充分性认定、出境安全评估、双多边对话协作、隐私保护等组合拳，积极平衡数字经济开放创新、竞争活力和数据主权、国家安全等方面价值冲突。

在此形势下，研讨跨境数据流动安全治理与技术、规范与实践问题，于国内数据安全立法和国际网络空间治理立规，于我国高科技企业海外竞争优势积聚和产业实力壮大，于抵御反制美出口管制、经济制裁和数据长臂管辖有重大意义。

清华大学智能法治院副院长、法学院副教授刘晗开场致辞，指出5G、人工智能、大数据、IOT、区块链等新兴技术迭代，急需法律回应新的问题，也为法律解决问题带来新的空间和契机。数据跨境安全放置于国家战略、国际格局的视野里也有其重要的的价值考虑和关注。会议齐聚政企学研代表，旨在交流碰撞、切磋理解、凝聚共识。

腾讯数据安全部副总经理龚斌代表业界致辞，提到中美科技冷战和贸易对抗，未来风险愈发不可控，尤其是云平台设施承载数据跨境是经济全球化和产业出海竞争的基础，数据跨境制度规则需要积极平衡国家竞争、国际贸易和公共伦理三个层面的利益关切和价值冲突。

如何把握合理的边界尺度，有赖于学界产业界深入对话，从统筹国内国外两个大局、兼顾发展与安全的视角出发探讨有效的解决方案。

会议包括主题发言和圆桌讨论两大环节。主题发言环节由清华大学法学院博士后刘云主持，发言嘉宾聚焦数据跨境国际形势、规则实践、差异化监管、安全责任承担、司法调证冲突及云云基础设施/移动支付数据跨境安全风险等主题展开分析阐释。

来自上海交通大学数据法律研究中心执行主任、副教授何渊总结了全球跨境数据流动四大特征：

一是理念和路径互不兼容，欧盟是以基本权利为基础，美国是自由市场+强监管，中国强调安全风险防范为主并兼顾经济发展。

二是用户个人信息泄露风险高危；

三是部分国家跨境数据监管立场对数字经济有潜在不利影响；

四是数据主权论兴起，集中表现在数据本地化，但数据本地化将构成实质贸易壁垒，在新技术迭代、设施全面云化后，本地化愈发难以实现。

何老师总结了全球各主要经济体数据本地化规制要素包括规制主体、存储彻底程度、豁免条件和数据范围，梳理我国在金融、地理、征信等行业数据已有的跨境规则后，提出建立数据安全为前提兼容开放、公平、自由的法律规制框架和分级、分类的监管体系，原则上允许数据出境，对重要数据和个人数据实施分级管理，例如在出境安全评估基础上配置个人数据出境负面清单，对不同行业、不同类型数据差异化监管；并建议试验性立法，授权地方政府——譬如上海自贸区先行先试、沙盒监管等。

对外经贸大学法学院助理教授许可对数据流动的内在逻辑和监管问题进行分析。他从数据流动本质提出数据跨境流通两项原理。

一方面，数据自由流动是第一原理，数据互惠分享是数字经济赖以生存的基础生态规则。另一方面，国家对数据的控制是第二原理，其源于长久以来的“信息主权”及其数字时代的衍生物—“数字主权”。

基于上述两项原理，我们可以更灵活地思考数据跨境流动。为此，数据主权可从“国内主权”、“互赖主权”、“威斯特伐利亚主权”、“国际法律主权”四个角度解释。

“互赖主权”适当弱化，推动网络经济和政务的发展，反过来增强国内主权；当数据严重危及国家安全时，又通过国家合作和国际体制令他国不得干涉的“威斯特伐利亚主权”扩展到网络空间的无形疆域中。数据主权表现为守势和攻势。

首先，守势意即对数据流入和流出的控制，譬如数据流入时通过市场准入实现对文化和意识形态的控制；数据流出时基于对个人权利保护、国家安全等公共政策的考虑进行控制；其次，攻势即对境外数据跨境调取规制，譬如美国CLOUD法案采取属人管辖原则，欧盟GDPR保护性管辖规定等等。许老师建议通过数据分级分类、统筹境内境外、基于目的比例原则等走向数据跨境监管精细化。

清华大学法学院副教授吴伟光则从政治、经济、技术、法律等四个角度，综合分析数据跨境安全问题。从经济和技术角度，大企业倾向数据本地化或数据集中化应给予清晰的价值判断，要清楚数据本地化处理和集中化处理各自的影响是什么，才能进一步知道在哪里发力。从政治、法律角度，数据跨境安全不仅限于信息安全本身（诸如数据泄露等），也涉及到主权安全。

吴教授建议打造数据安全信任体——中国需在以德、法为核心的布鲁塞尔影响力、与以美国为核心的华盛顿影响力之外，利用“一带一路”、“上合组织”等平台，通过政治承诺、领导魅力、中国文化魅力，以及管理层面的机制创新、和技术高门槛，打造第三个信任体与前两个信任体达成制衡。

数据跨境安全要从政治、经济、技术、法律层面统一协调进行，形成一套自己的机制，形成中国影响力，而不是被动的仅从法律层面解读和移植他国立法和立场。

北京中伦律师事务所合伙人陈际红律师从数据跨境流动的立法现状、管制动因、监管维度、跨境监管总体原则等角度，对数据跨境流动进行分析。

首先，陈律师提到经济全球化和数字化趋势，导致数据大规模的跨境传输不可避免。中国是数字化、全球化受益国。

其次，数据跨境监管的动因包括促进数据资源的本地化聚集、防止行政管理权和司法管辖权的落空、国家安全和个人数据权益保护等。

第三，数据跨境监管的维度，从数据类型角度，既包括国家秘密、重要数据，也包括个人信息，本质不同宜分类监管。监管框架包括全局监管与局部监管，前者有立法、国家标准等；后者对敏感行业，比如个人信息数据、征信数据、网约车数据、保险数据做特别规定。

最后陈律师总结跨境监管总体原则：一是需有法可依，尽快立法；二是要参与国际治理规则的制定进程；三是应当出台细化的法规；四是区分本地存储和跨境监管的不同监管思路；五是分类监管，数据分类、企业分类、出境事由分类；六是考虑长臂管辖。

腾讯安全管理部法律专家王京婕从企业视角，探讨关于跨境司法调证的法律冲突和应对思考。我国企业面临着不同法域跨境司法调证的法律冲突困境，当满足三个条件即出现法律冲突：

一是调查取证国实施的长臂管辖权（美国CLOUD法案即为典型，欧盟的欧洲议会和欧洲理事会关于刑事犯罪电子证据调取令和保全令规定的提案也有类似效果）；

二是证据所在国存在对数据流通的限制；

三是前两项之间矛盾没有办法通过证据调取国和证据所在国之间数据跨境流动协议或者是司法协助来协调。

跨境流动制度设计上，美国主张数据自由流动，欧盟更注重隐私规制，发展中国家会偏好做数据本地化，国家间有双边、多边协议，包括欧美双边的数据流动框架、欧美隐私盾、欧盟GDPR、中美刑事司法协定等。建议主管机关应考虑已制定法律法规的涉外风险，加强国际交流对话。

圆桌讨论环节安排了三个话题单元，由腾讯数据安全部安全专家、清华大学法学博士陈慧慧主持。

陈博士简要总结了上半场主题发言，提出嘉宾见解主要从数据全球融通和数据主权竞争两个维度理解跨境数据流动，集中反映出产业开放、创新竞争与数据安全、国家利益的张力平衡。

前者关联数字经济活力效益，数据跨境治理牵连国际贸易、技术合作、知识产权、金融资本、基础设施、市场准入等规则与实践，构建集聚产业技术核心竞争力的制度环境和政策工具；后者着眼于国家利益和安全可控，须清醒认识到跨境数据监管的工具化、壁垒化，在目的和比例原则指导下动态把握数据核心主权和边缘利益，有进有退；统筹好抵御、反制甚至进攻的组合拳策略，彼此牵制协同。

例如正在部署实践的云安全审查、关键信息基础设施保护、供应链审查、出境评估、外资审查、业务开放评估等更宜全局联动，定位明晰、互为倚重。

数据跨境治理问题放大来看，是网络空间规则话语权争夺和共同体竞合，是国际经贸辐射力和技术主导权竞争，须政治法律技术经济多方位应对，我国需要尽快形成清晰有力的主张诉求和价值立场，培育信任共同体，呼应声援，行动步调一致。这一宏大且精细的制度叙事有赖于政府学界企业智库多方视角、点面对话、理解共识。

会议下半程将承续并聚焦在出境安全评估、司法调证冲突与抗辩、法律与技术对安全的限定三个具体场景内，继续探讨防御和进攻机制、规则的合理性、有效性。

在第一单元，与会专家从业务与数据安全紧密耦合角度讨论了数据出境安全评估的责任承担和具体实现方式。

来自腾讯数据安全部安全专家孔宁从科技部2015年处罚华大基因未经许可出境人类遗传重要数据的案例引出国家对地理、金融、人口等基础民生重要数据本地化可控诉求更高，云设施平台与真实控制数据走向、应用场景的信息服务商如何合规，数据出境评估怎样才能更有效实现专业性、效率性，国内立法在普世价值伦理上如何避免被攻击孤立，如何能更积极融入国际主流话语体系等问题的思考，提出后续国家在制定通用领域个人信息与重要数据出境相关法律法规应重点聚焦垂直领域尚未覆盖的根本问题，兼顾安全与发展的最优平衡。

中国法学会法治研究所副研究员刘金瑞指出，数据传输牵涉网络的底层，几乎涵盖所有出境场景，涉及个人信息保护法、出口管制法等，应该注重立法的体系性。从合法严谨角度，出境评估草案突破了上位法仅涉及关键信息基础设施的限定，存在较大的争议。

刘博士指出，我国数据安全管制与欧盟GDPR个人信息跨境流通限制的出发点是不同的，欧盟是为了保护人格尊严，我国目前的表述侧重个人信息安全，但具体内涵和定位需要进一步厘清，在此基础上的制度设计可以考虑设计评估审查、许可管理、行政指导等制度。此外，还要注意立法的域外影响，统筹考虑我国的核心主张，促进国际规则的形成。

主持人回应数据传输牵涉网络、接入、平台、应用多级架构，其主体、类型、载体形态、业务场景多极化决定着跨境立法复杂性，涵盖国家安全、网络安全、情报、业务准入和贸易限制等多领域。

欧盟数据出境监管防御的是个人信息保护洼地，国际化视角防止变相的数字经济竞争优势对本土经济构成威胁打击；需明确我国个人信息出境安全的核心利益关切，找准价值观定位，科学指导评估审查、许可管理、行政指导等规则设置，在国际个人信息保护和数据跨境治理领域有主张、有发声、有带动效应。统筹国内国外两个大局，不仅是价值观国际竞争和融入，还要考虑数据对等流动对经济开放、技术交流和产业合作的重大驱动效应。

中央财经大学法学院讲师张金平强调欧盟个人数据出境规则诞生之初就服务于产业政策和国家与地区安全战略，并以GDPR执行一周年报告所列的外资企业数据出境合规以及他国为此与欧盟进行的谈判为例加以佐证。

他还认为，我国的数据出境安全评估制度应着眼于规则博弈对产业创新发展的激励作用，本土企业的数据出境不应成为执法重点，建议为本土企业的数据出境提供例外机制，例如可以效仿欧盟的集团企业有效规则、日本的本土集团企业数据出境例外机制，以此激励本土企业出海壮大。张老师同样强调了为推动境内外经贸深度融合，须采取有效合理制度设计推动数据对等流动，并争取外资企业对营商制度环境的信任与认同。

蚂蚁金服隐私保护办公室资深专家李海英对比分析了欧美在数据跨境上差异化的价值立场，欧盟强调个人信息保护，美国更关切对数据流动、产业发展、执法便利；我国数据保护起点基础不同，须兼顾考虑国家安全、全球经济融入和产业发展，个人信息保护的尺度和方式是否完全借鉴跟随有待斟酌。个人信息出境评估如何定位和实践，李老师建议参照类似情形的国外成熟立法例，出境前评估着眼于规则措施提供一揽子解决方案，考虑设置给予公共利益、个体主动同意、为权利人遭遇危及生命等不利益等豁免情形，政府更多发挥个案审查而把评估作为企业风险管理的内控措施。

主持人简单小结，四位嘉宾均着眼于开放融入趋势下国家竞争力提升，营造良性制度环境推动数据出境安全机制对等、机动、互信；启发后续对数据信托、跨境互认、出境豁免、防御反制应时触发等机制设计和治理技术的进一步深入研讨。

在第二单元，与会专家围绕跨境司法调证的法律冲突与抗辩举证进行了讨论。

结合近日【美华盛顿特区上诉法院裁定驳回3 家中资银行援引中国银行业保密规则及《中美关于刑事司法协助的协定》(MLAA)抗辩在制裁调查中被强制要求提供交易数据】的案例，主持人提出美cloud法案长臂管辖，实现跨境司法数据直接调取，极有可能牵连美交易阻断、技术管控、出口管制、供应链安全审查、重要数据出境限制等干预制裁。

现实压力迫使聚焦讨论跨境司法调证的法律冲突与抗辩举证问题，同时也对美通过法律制度设计达成跨境数据流动对等控制效果进行充分的审视、学习和借鉴。

北京航天航空大学法学院副教授裴炜发言指出，跨境司法调证更多是数据拿来的视角，结合抗辩有效性其规则设计需重视三点：

一是把握数据获取内容和获取国制度环境，各国在国际刑事司法协助操作层面高度关注。

二是数据调取的制度设计有深刻对等性，需斟酌把握获取数据的出发点和诉求；

三是统一的价值观为出发点，但不必然要多元涵纳欧美的价值体系。比较法视角审视欧美保有严格的司法数据出境基准同时，配套宽松有弹性的双边司法协助协商机制，一高一低的制度设计确保在输出彰显高站位严格限制价值观同时，给予落地解决现实问题的实践出口，这一立法技巧值得借鉴。

京东法律研究院秘书长严少敏认为，我国在网络空间治理倡导的网络主权、对等、互利原则有非常好的价值立场和高度认同，能够有效抵御美CLOUD法案对国家主权的侵害。基于公平互惠的长臂管辖法律机制不失为解决数据跨境和司法国际协助的有效制度设计，应更关注如何通过条件限定实现对等流动。如何限定可参考欧盟、澳加的立法例，附加国际协议签署与遵循，法院为唯一有权决策机关，最低限度对隐私和人权的干预，仅为国际网络违法犯罪和反恐打击目的等。

腾讯数据安全部法律专家孙海鸣发言指出，中美欧盟司法域对数据跨境流动规制攻守结合，从“守”的维度而言—欧盟GDPR、(EU)2016/680号指令严格限定个人数据出境的条件、欧盟对美长臂管辖启动“阻断法案”；美利用CFIUS审查、出口管制许可等机制，严密管控数据出境；我国拟出台个人信息、重要数据出境安全评估办法，强化数据出境安全和重要数据本地化。从“攻”的维度—欧盟E-Privacy条例加强攻势；美国CLOUD法案、《爱国者法案》巩固长臂管辖；我国近期立法也试图拓展“域外管辖”。

三大法域各有攻防引发法律冲突，如我国刑事司法协助法与美长臂管辖不兼容、美国出口管制调查与欧盟GDPR冲突、我国出境安全评估与美长臂管辖冲突等，复杂交错的利益格局、价值诉求和规则挤压使得产业出海、开放合作进退两难，亟需探索化解、调和的机制举措。

主持人总结到，产业界和学界形成了积极有益的对话呼应。产业界专家敏锐捕捉到数据跨境流动方面的法律冲突以及攻守道，学界专家从跨境司法调证、数据长臂管辖的抗辩、抵御乃至主动进攻、为我所用的角度建言献策，倡导营造跨境数据治理制度机制的多极竞争生态。

在第三单元，与会专家从法律和技术互为影响限定的角度讨论了跨境数据安全的风险管控效果。

国家计算机网络应急技术处理协调中心高工邹潇湘以个人身份信息出境和医疗隐私数据出境两组数据为切入点，说明个人信息出境安全评估的重要性和必要性；认为个人信息和重要数据出境评估应有区分对待，重要数据不出境是常态、出境是例外。考虑到个人信息分拆出境、安全措施不健全的企业在数据出境时存在安全隐患、豁免条件难以界定等原因，建议出境评估规则设置豁免条款应谨慎考虑。主持人表示，主管机关有更深刻的考虑和兼容性做法，后续从技术实现出发，对出境事由目的、出境数据量级在深入调研基础上争取推动更合理有针对性的豁免规则设计。

中国信息通信研究院互联网法律研究中心主任方禹表示非常认同与会嘉宾意见，指出数据出境安全依赖政策文件和安全评估报告有较大局限性：一是定位不清。法律应当是问题分析研判、综合权衡之下的最末端决策体现，目前在网络空间治理和立法领域出现政治问题法律化，经济问题法律化，贸易问题法律化，安全问题法律化，法律已经不堪重负。二是角色混同。按照人大立法规划，数据安全法和个人信息保护法分别解决发展和安全问题，实践中却目标和立场趋同，且集中在规范性文件层级，发展与安全互为制衡作用未能发挥。三是效果差强人意。大数据技术环境下，重要数据边界模煳，除非数据完全不出境，绝对意义上的国家安全很难实现；个人信息出境评估也受限于出境场景多元复杂，风险管控效果不佳。数据出境从国家安全和个体权益保护两个立场出发应有差异化、通盘考量的制度设计。

中伦（上海）律师事务所合伙人周洋律师从电信业务开放与数据跨境流动的关联性出发，首先引用商务部最新统计数据说明了外资企业对中国经济的积极重大意义；结合执业经验，指出越多的外资企业在华也将是制衡调和中美紧张局势的重要谈判基础。既往我国主管机关对外资企业在反垄断和安全都是温和克制的上，这一点是好的前提和开端。外资企业高度关切中国的数据出境和数据安全政策，如果由于怀疑、质疑和恐惧将导致商业投融资和类似自动驾驶、机器人智能等先进技术产业放弃与中国合作的机会，极大影响对外开放格局和创新竞争环境，这将是战略机遇的重大错失。战术上，周律师强调数据出境安全应秉持怎样的价值立场，制度设计的精细化科学化严谨性，监管人力财力、时限、专业能力是否能有效匹配等有待进一步斟酌。

腾讯数据隐私合规专家赵冉冉从数据出境制度设计影响企业业务经营实践的角度，提出三点思考：

一是合规负担和压力如何克服。工作量随着熟练度提高可以相对减少，专业性和技能却是需要经年的积累培养和强化。评估时间成本极大降低业务安全风险管控、平台犯罪治理和黑产打击的时效性和精准度。评估引发业务中断和无法按期上线带来的经济损失也是巨大的。

二是业务逻辑受限，被迫做适应性调整。例如数据本地化存储规则直接影响业务本地部署或选择远程云端运营，跨国公司集团不同子公司因法域差别，数据出境规则冲突导致难以达成数据出境合同等。

三是上线前评估对互联网创新应用速度有较大障碍，但也为抵御境外不利数据主权的事由要求（司法调证、反洗钱信息披露义务履行）提供有力依据。由此可见，数据跨境安全应通过一整套涵盖法规、标准、技术、窗口咨询意见等，多场景、多层次、多面向、精细化，动态平衡，全局视野，可组合适用的制度体系。

最后，清华大学智能法学院副院长、法学院副教授刘晗对此次研讨会议进行总结，认为整个会议研讨成果丰硕，与会嘉宾见解深刻，并提出三点深刻体会：

一是有必要重新思考数据经济博弈中法良好的法律规则是什么。法律本身无法定义和覆盖制定法律过程中需要权衡的政治、经济、国家战略、社会治理、技术创新等综合要素。法律的本质是维护持续动态的利益妥协衡平过程，面对5G、IOT、人工智能、算法等新技术新问题，保持开放但适度克制观望，不轻举妄动，而要努力维护各种权利和利益的平衡。

二是法律有边界和限度，以创新开放的姿态积极研讨，推动共识理解和信任，将其作为制定规则的前提和基础。讨论下来初步共识是：监管限度在安全合规和开放创新间把握尺度；在国际场域，企业是经济竞争和国际产业实力对抗的前锋，国家法律政策应扮演守护和激励作用。

三是阶段性共识之后应考虑如何避免误解。数据跨境安全核心问题是数据主权，与会专家对于数据主权的流动性和多面性的讨论具有很大启发性。我们需要在数据领域同时坚持消极主权和积极主权的双重思维。从主权角度出发，数据跨境安全应有我国独立的价值主张，需要考虑克服文化理念、意识形态、民族习惯、行为模式上的差异分歧，加强对话交流，避免歪曲、误解和不信任。

 往期回顾 

特别声明：本文为转载/投稿，仅代表该原作者观点。NESTIA仅提供信息发布平台。