大规模进行的个人数据跨境流动对全球经济具有推动作用,对行业发展具有牵引作用,对当今世界经济举足轻重。但是数据的跨境流动也给个人隐私安全、国家信息安全造成了巨大的威胁,很多国家开始制定法规限制数据的流出及流进,这又给经济发展带来了极大的负面影响。所以如何在国际层面既兼顾良好的数据保护、又能保证跨境数据的自由流动,同时还兼顾数据保护的自主权,成了当今的难题。各种国际规约也在积极努力地解决以上难题。我国也应借鉴现有的个人数据跨境流动的规制方法,确立恰当的规制政策,保护我国的数据安全,减少个人数据跨境流动的阻碍对我国经济的影响。要实现个人数据在世界范围内的自由流动,首先应当在“个人数据跨境流动概念”上达成共识,从现行有关跨境数据流动的立法中我们可以归纳出,个人数据跨境流动中“数据”的理解可以分为两大类:一是以欧盟为代表的国家持“个人数据论”即所规制的就是普通意义上未经加工处理的数据;二是以美国为代表的国家持“个人可识别信息论”,即所规制的是数据经过加工处理过的信息。虽然“个人数据”与“个人可识别信息”在内涵上稍有不同,但实践上常混用。也有学者认为跨境数据流动法规还应当包含政府数据,笔者在此认为,政府数据分为两种,其一是国家秘密、国家安全信息,此类信息涉及到国家核心利益,国家对此严格保密、限制,本无跨境流动的需求及必要;其二是依法公开的数据,属于国家行政法等相关法律调整的范围,不涉及跨境数据流动的监管问题。因此,本文未将政府数据的跨境流动监管纳入到讨论范围。鉴于经济全球化正在以不可阻挡的趋势进行,全球的数据跨境流动也如洪流在全球涌动。个人数据跨境流动不仅仅是经济全球化的结果,也是促进经济全球化的润滑剂。伴随着技术的发展,如“棱镜门”类似的侵害个人数据的丑闻也频频发生,在我国某某平台用户数据遭泄露也屡见不鲜,因此立法保护个人数据的意义不言而喻,各国也积极地制定了国内数据保护法。国内的数据保护法一方面保护了公民的个人数据的安全,另一方面也对个人数据的跨境流动造成了阻碍,甚至形成了新的贸易壁垒。因此,个人数据跨境流动的立法应具有双重立法价值:既要保障跨境数据的自由流动,也要让个人数据的安全得到良好的保障。二战后,隐私法的发展虽推动了个人数据跨境流动立法的起步,但是到目前为止仍未形成统一的具有强制力、约束性的国际性立法文件。目前数据跨境流动法律制度的框架在国际层面上仅有全球统一的政策指南文件,如首个全球性标准《关于隐私保护与个人数据流动的指南》、首个国际组织标准《关于隐私保护与个人数据流动的指南》;而在区域层面则有较为完善且有拘束力的法律规制,如欧洲的《一般数据保护条例》(GDPR)、APEC《隐私保护框架》等,这些法律制度均持确保数据跨境流动及保护个人数据安全的立法目的。虽然个人数据跨境流动法律框架已非常丰富,但实际执行的效果有待质疑,例如,欧盟成员国20多个,其中就有10多个国家的数据保护机构无法充分履行其数据保护之职责。由此可见,数据保护机构事实上只能以零散、逐案的方式执行数据传输的部分要求,而不能完全执行欧盟关于个人数据跨境移动的所有相关规定。区域化的个人数据跨境流动制度虽在一定程度上保证了区域内国家的数据自由跨境,但是对区域外的数据跨境造成了事实的阻碍,如何建立一个统一的个人数据跨境流动机制成为当下亟待解决的问题。鉴于OECD《关于隐私保护与个人数据流动的指南》和亚太经合组织APEC《隐私保护框架》提供了两种可能的个人数据跨境传输模式和全球不同的跨境数据传输限制模式。笔者认为,未来跨境数据流动整合有三种可能:第一,在第三国适宜性评估模式下加入替代规则;第二,在数据控制担保模式下加入符合适宜性评估的国家列表;第三,将具有约束力的公司规则(BCRs)与跨境隐私规则系统(CBPRs)整合。当然,能否实现上述三种整合的可能性在很大程度上取决于不同国家是否愿意放弃对数据的控制权,以及在多大程度上愿意放弃对数据的控制权。除了各国对跨境数据流动的立法的差异会导致跨境数据流动受到阻碍外,数据本地化的要求更是对世界范围内跨境数据流动的现实阻碍。数据本地化并不是新鲜事务,早在上个世纪70年代,伴随着计算机信息技术及因特网的迅猛发展就已经出现了数据本地化政策。早期数据本地化政策集中出现在发展中国家,如同恐惧经济全球化浪潮,很多发展中国家认为,个人数据的跨境流动仅会对发达国家有利,并加速发达国家对自己国家的经济侵略、资料掠夺,甚至对国家的政权、对社会的稳定造成冲击。巴西早在1979年就设立了“信息产业特别秘书处”,对数据跨境流动进行审查,并决定是否批准该项数据的跨境流动。2013年的“棱镜门”事件将个人数据跨境流动的安全问题推上了风口浪尖,20多个国家在此之后制定了数据本地化政策,数据本地化成为全球趋势。根据对个人数据跨境流动的限制,数据本地化政策大致可以分为以下三种模式:其一,刚性禁止流动模式;其二,柔性禁止流动模式:其三,本地备份流动模式。“数据本地化”是将产生于该国的数据收集并存储于境内,这种政策的要求蕴含了一国多个目标:国家安全保障、维护公共道德或公共秩序、个人隐私保护、国内执法需求。然而,“数据本地化”的要求往往不符合政策制定者的目标,有时不利于当地企业和消费者,而且往往对国内企业和外国公司产生了负面影响。同时,数据本地化政策自身还存在较多的问题,如数据本地化措施的必要性问题,有观点就认为数据本地化措施是对美国“棱镜计划”的过激反应,旨在满足民众诉求;此外,存留本地的数据保护力度不够,政策执行缺乏透明度,也都是数据本地化的问题所在。随着世界经济联系的日益密切,越来越多的国家和地区需要交换数据,个人数据的跨境传输也越来越普遍。作为世界第二大经济体,中国对跨境数据流动的需求巨大,发展潜力巨大。权威数据显示,2018年我国跨境出口电商交易达7.9万亿,同比增长14.5%,未来我国跨境电子商务交易规模还将进一步快速增长。此外,我国企业越来越多地“走出去”,不断地成长为全球企业,国家“一带一路”战略等为跨境电子商务交易带来了更加宽广的发展空间,这些都显示数据跨境流动对我国对外贸易、经济发展等具有重要意义。另一方面,移动互联网、大数据、智能终端、云计算等新技术的迅速发展,给数据安全和隐私带来了新的威胁、新的挑战,对于个人信息安全和国家信息安全保护的现实需求日益强烈地摆在了中国的面前。在这样一个背景下,回顾我国相关立法,探索基于当前国际数据跨境流动监管模式构建我国数据跨境规则的具体路径,显然是一项急迫而重要的任务。从历史视角来看,五十多年前,德国、法国、意大利、荷兰、比利时、卢森堡六国还在筹划欧共体的建设,欧洲与美国的数据跨境流动谈判也才刚刚拉开序幕,当时数据跨境流动谈判的重点是政治自治、经济安全。而当时的美国,计算机、互联网技术全球业务已经在运行兴起,中国当时则正在倾力探索经济建设道路。五十年后,美国作为世界上最强的国家,世界十大互联网企业中有六个都属于美国。中国崛起成为世界第二大经济体,其互联网发展速度也在近年来急速攀升,出现了如华为、百度这样令世界瞩目的互联网巨鳄。美国开始以维护国家安全、保护知识产权、保护公民隐私权为由对中国进行打压,如今年对华为跨国业务的“围追堵截”便是最好的例证。欧洲已由欧共体转变为了欧盟,总体经济形式较为平稳,数据跨境流动发展尚无突飞猛进之势,国际大型互联网企业也较少。在欧共体时代,个人数据安全作为隐私权的一部分成为欧洲与美国谈判的筹码,现如今,欧盟仍将个人数据安全作为其与美国谈判的筹码,但个人数据安全已脱离隐私权,演变为一种独立的基本人权,这对个人数据安全的保护的程度大大加深。虽然我国数据跨境流动发展快,跨境数据流动的需求大,但在数据跨境流动规制领域,我国起步较晚。近年来,政府开始关注数据跨境传输问题。然而,数据跨境流动仍然没有独立的法律,相关内容分散在各种法律、法规和部门规章中。他山之石可以攻玉,既然对跨境数据传输进行必要限制有助于抵御境内外网络安全威胁、保护数据安全与公民隐私权,符合我国的实际需要,而我国在这方面又不甚完善,因此,我国应该学习借鉴国际上较成功的规制方法,确立恰当的规制政策,保护我国的数据安全,减少数据跨境流动的阻碍对我国经济的不利影响。但具体的限制规则仍需考虑与现有相关国际规则相协调。