互聯(lián)網(wǎng)上的跨境數(shù)據(jù)流動無處不在，個人用戶通過手機商店下載App，跨國企業(yè)在不同國家的分支機構(gòu)之間傳輸商業(yè)數(shù)據(jù)，這些日常的個人和企業(yè)行為都引發(fā)了跨境數(shù)據(jù)流動。在“互聯(lián)網(wǎng)+”時代，互聯(lián)網(wǎng)與各行業(yè)深度結(jié)合，跨境數(shù)據(jù)流動牽涉范圍更廣，對公民個人權(quán)益、企業(yè)商業(yè)利益乃至國家安全影響更深，成為政府管理關(guān)注的重點。

綜合分析世界主要國家跨境數(shù)據(jù)流動安全管理經(jīng)驗，國家在設(shè)計制度時一般都以維護本國關(guān)鍵利益為出發(fā)點，以數(shù)據(jù)分類管理和數(shù)據(jù)主體責(zé)任兩項基本制度為支柱，以融合國家間制度差異的非強制性規(guī)則和國家間互信機制為紐帶，構(gòu)筑一套較為完善的跨境數(shù)據(jù)安全管理制度。

圍繞本國關(guān)鍵利益設(shè)置跨境數(shù)據(jù)流動規(guī)則

美國等制度較為成熟的國家，其跨境數(shù)據(jù)流動管理思路緊密圍繞本國的核心利益，為產(chǎn)業(yè)發(fā)展和國家安全保駕護航。以美國在TPP貿(mào)易協(xié)定談判中提出的知識產(chǎn)權(quán)條款為例，美國為保護其文化產(chǎn)業(yè)，尤其是好萊塢娛樂巨頭的經(jīng)濟利益，將其《千禧年數(shù)字版權(quán)法案》中嚴(yán)格的知識產(chǎn)權(quán)侵權(quán)責(zé)任條款照搬進(jìn)TPP談判中，主張允許知識產(chǎn)權(quán)人追蹤互聯(lián)網(wǎng)服務(wù)提供者為用戶所提供的音視頻、圖片等信息產(chǎn)品，這將賦予知識產(chǎn)權(quán)人跨國收集用戶信息的合法權(quán)利。例如，美國的知識產(chǎn)權(quán)人可以要求他國網(wǎng)站在向他國國民提供有關(guān)節(jié)目下載服務(wù)時，實時向美國知識產(chǎn)權(quán)人提供用戶下載信息，意在以此約束盜版行為，維護美國知識產(chǎn)權(quán)人的利益。

作為信息技術(shù)先進(jìn)國家，美國擁有世界領(lǐng)先的云計算服務(wù)產(chǎn)業(yè)，美國在TPP中推行跨境數(shù)據(jù)自由流動，反對他國政府設(shè)置互聯(lián)網(wǎng)數(shù)據(jù)跨境流動限制措施，反對他國的數(shù)據(jù)本地存儲要求，意在為美國相關(guān)企業(yè)開拓國際市場掃清障礙。

建立跨境流動數(shù)據(jù)分級分類標(biāo)準(zhǔn)和管理制度

就跨境數(shù)據(jù)流動安全管理總體框架而言，目前世界各國尚無統(tǒng)一制度，但一般的通行思路都是對不同數(shù)據(jù)采取分級分類管理，并有針對性地采取不同的保護措施，確?？缇硵?shù)據(jù)流動不得危及公民權(quán)益和國家安全。

一是重要的數(shù)據(jù)禁止跨境流動。例如，俄羅斯通過法令，要求本國公民信息必須存儲在俄羅斯境內(nèi)；澳大利亞規(guī)定安全等級較高的政府?dāng)?shù)據(jù)不能存儲在任何離岸公共云數(shù)據(jù)庫中，而必須存儲在具有較高安全協(xié)議的私有云數(shù)據(jù)庫中；韓國則規(guī)定通信服務(wù)提供商應(yīng)采取必要手段，防止有關(guān)工業(yè)、經(jīng)濟、科學(xué)技術(shù)等重要信息通過互聯(lián)網(wǎng)向國外流動。

二是政府和公共部門的一般數(shù)據(jù)和行業(yè)技術(shù)數(shù)據(jù)有條件的限制跨境流動。例如，澳大利亞將政府信息分級，要求對其中的非保密信息也必須經(jīng)過安全風(fēng)險評估后才能實施外包。

三是普通個人數(shù)據(jù)允許跨境流動，但需要數(shù)據(jù)流入國滿足一定安全認(rèn)證要求。目前多個國家都參與了數(shù)據(jù)跨境流動的國際或國家間認(rèn)證，為本國數(shù)據(jù)流出和接受他國數(shù)據(jù)流入搭建通道。

明確設(shè)置數(shù)據(jù)相關(guān)主體的權(quán)利責(zé)任

目前國際上主要存在兩種跨境數(shù)據(jù)流動的權(quán)責(zé)模式：一是知情同意模式，歐盟、日本、俄羅斯等大多數(shù)國家都規(guī)定，收集數(shù)據(jù)時必須取得數(shù)據(jù)提交人的明示同意，以作為后續(xù)數(shù)據(jù)流動的必要條件，強調(diào)數(shù)據(jù)提交人的知情權(quán)。二是目的限制模式，美國法律規(guī)定，數(shù)據(jù)收集后的再利用必須秉持正當(dāng)目的，強調(diào)通過數(shù)據(jù)利用的具體情境判斷數(shù)據(jù)流動的合法性。

綜合來看，以上兩種模式各有利弊。知情同意模式較為嚴(yán)厲，但復(fù)雜冗長的隱私條款往往使得數(shù)據(jù)提交人的知情權(quán)流于形式；目的限制模式較為寬松，但事后控制不利于提前發(fā)現(xiàn)和預(yù)防數(shù)據(jù)泄露、濫用，且對社會法治化程度要求較高。

推行非強制性管理手段彌合制度差異

歐盟為建立統(tǒng)一市場，消除各成員國既有制度對跨境數(shù)據(jù)流動形成的阻礙，采取了一系列非強制性的管理手段，創(chuàng)造一個盡可能統(tǒng)一的法制環(huán)境。此類制度雖然不具備強制性，但采納實施的國家或企業(yè)將獲得數(shù)據(jù)流動方面的便利。這種管理手段也被其他國家逐漸接受，成為跨境數(shù)據(jù)流動監(jiān)管方面的典型制度。

一是國家間層面的“白名單”制度。歐盟將數(shù)據(jù)保護水平的充分性作為歐盟與境外國家跨境數(shù)據(jù)流動的基本原則。如果在歐盟成員國以外國家的企業(yè)需要處理來自歐盟成員國的跨境數(shù)據(jù)，企業(yè)所在國就要事先通過歐盟委員會或成員國的數(shù)據(jù)保護水平認(rèn)證。歐盟委員會或成員國可通過以下兩個關(guān)鍵要素判定跨境數(shù)據(jù)流入國是否達(dá)到了“充分性”保護要求：要素一是跨境數(shù)據(jù)流入國的數(shù)據(jù)處理規(guī)則必須符合歐盟的要求，要素二是要有確保規(guī)則有效實施的機制。只有對于被認(rèn)定為滿足“充分性”要求的國家（即“白名單”國家），歐盟成員國才可自由向該國企業(yè)轉(zhuǎn)移數(shù)據(jù)。

二是企業(yè)間層面的標(biāo)準(zhǔn)合同制度。歐盟標(biāo)準(zhǔn)合同以數(shù)據(jù)主體權(quán)益保護為目的，規(guī)定了數(shù)據(jù)轉(zhuǎn)移當(dāng)事方和數(shù)據(jù)主體在數(shù)據(jù)保護上的權(quán)責(zé)分配關(guān)系。如果一國企業(yè)在與歐盟成員國企業(yè)的經(jīng)濟往來中使用了標(biāo)準(zhǔn)合同，承諾按照合同履行其數(shù)據(jù)保護義務(wù)，便可以認(rèn)定其滿足了數(shù)據(jù)保護“充分性”要求。

三是特殊情境下的約束性公司規(guī)則，該規(guī)則適用于在跨國企業(yè)內(nèi)部、位于不同國家的分支機構(gòu)之間的數(shù)據(jù)轉(zhuǎn)移。這一規(guī)則協(xié)議范本規(guī)定了數(shù)據(jù)保護原則、數(shù)據(jù)主體的權(quán)利、跨國企業(yè)的責(zé)任及爭議解決方式和救濟措施等事項。該規(guī)則需要得到分支機構(gòu)所在國的批準(zhǔn)，并可成為成員國向不具備“充分性”保護水平的國家轉(zhuǎn)移數(shù)據(jù)的法律依據(jù)。

積極參與或建立國家間認(rèn)證等信任機制

跨境數(shù)據(jù)流動是一個國家間問題，各國正積極爭取獲得重要貿(mào)易伙伴國的數(shù)據(jù)保護認(rèn)證。

一方面，歐美發(fā)達(dá)國家通過認(rèn)證等雙邊機制建立信任關(guān)系。例如，美國與歐盟之間曾長期履行 “安全港”協(xié)議，承諾遵守“安全港”協(xié)議的美國企業(yè)能夠獲得數(shù)據(jù)保護“充分性”的認(rèn)定，獲得處理來自歐盟成員國數(shù)據(jù)的資格。雖然“安全港”協(xié)議已于2015年10月被歐盟司法機構(gòu)認(rèn)定為無效，但認(rèn)證協(xié)議已經(jīng)成為國家間跨境數(shù)據(jù)流動的基本模式，幾經(jīng)周折，目前美歐間也已達(dá)成新的數(shù)據(jù)轉(zhuǎn)移協(xié)議。此外，巴西、新加坡、墨西哥等國家為融入跨境數(shù)據(jù)流動國際協(xié)作也加快了本國數(shù)據(jù)保護立法和加入國際間認(rèn)證機制的進(jìn)程。

另一方面，國際組織也在積極構(gòu)建跨境數(shù)據(jù)流動認(rèn)證體系。2011年，亞太經(jīng)合組織建立跨境商業(yè)個人隱私保護規(guī)則體系，由獲得認(rèn)可的評估機構(gòu)對商業(yè)機構(gòu)保護個人隱私與信息的水平進(jìn)行認(rèn)證并公布，企業(yè)可自愿參與。美國為保障自身安全、最大化自身經(jīng)濟利益積極加入這一體系， 極大提升了該體系的國際影響力，使體系未來可能成為地區(qū)主導(dǎo)的跨境數(shù)據(jù)流動框架。