2022全球及中國數(shù)據(jù)跨境流動規(guī)則和機制建設(shè)

白皮書2021年8月PAGE\*ROMANPAGE\*ROMANII目 錄前言 1一、主要國家和的數(shù)據(jù)跨境流動和機制 2（一）盟：保護水條件進數(shù)據(jù)境流動 2（二）國：自由流原則制敏感據(jù)出口 8（三）本：推動與美的跨境流動 14二、國際組織的跨境流動規(guī)則和制 17（一）OECD：確數(shù)據(jù)跨流動護的基原則 17（二）APEC：主導(dǎo)跨隱私體系（CBPRs） 18（三）盟：發(fā)展示合同和數(shù)據(jù)境認證 20三、我國的數(shù)據(jù)流動規(guī)則和機制 21（一）重要數(shù)據(jù)：原則上境內(nèi)存儲，確有必要跨境提供需進行全評估 （二）個人信息：在數(shù)據(jù)主體同意的前提下，提供安全評估、證等三機制 （三）數(shù)據(jù)跨境調(diào)取：奉行對等原則，并需經(jīng)有關(guān)主管部門批準25四、我國數(shù)據(jù)跨動規(guī)則和機制建臨形勢、主要挑對策建議 26（一）臨形勢 26各國快構(gòu)符其利益規(guī)則度體系 26西方家積推建立全數(shù)據(jù)流動圈 28地緣治成數(shù)跨境流的重量因素 29（二）要挑戰(zhàn) 30數(shù)字術(shù)普使網(wǎng)絡(luò)數(shù)出境易察覺 30以竊我國感據(jù)為目的境擊增多 31境內(nèi)字企違規(guī)定向外提量數(shù)據(jù) 32（三）策建議 34建立全數(shù)跨流動規(guī)體系 34發(fā)展據(jù)跨流安全保能力 35試點索數(shù)跨流動管機制 36推廣據(jù)跨流中國治方案 38PAGEPAGE10前言201620081庫CSIS20214出，疫情大流行前的一項研究曾預(yù)測，跨境數(shù)據(jù)流動將在202033萬億美元2。隨著各國對數(shù)據(jù)跨境流動意義和影響的認識日益深入，規(guī)則和機制構(gòu)建帶來了不小的挑戰(zhàn)。我國是全球數(shù)據(jù)資源大國，數(shù)據(jù)產(chǎn)生量位居世界前列，據(jù)調(diào)查2019年我國共產(chǎn)生了3.9ZB9.3%，居世界第二3和個人隱私權(quán)益。在當前全球尚未建立統(tǒng)一規(guī)則的情況下，我國一方面要加快構(gòu)建數(shù)據(jù)跨境流動規(guī)則體系，建立健全數(shù)動中國治理方案，與合作伙伴建立共同的規(guī)則和制度安排，實現(xiàn)規(guī)則的趨同和互操作，推動數(shù)據(jù)安全有序地跨境流動。一、主要國家和地區(qū)的數(shù)據(jù)跨境流動規(guī)則和機制（一）歐盟：同等保護水平條件下促進數(shù)據(jù)跨境流動基于充分性認定建立數(shù)據(jù)跨境傳輸白名單制度GDPR45條，歐盟委員會做出充分性認定時，（1（2（3加入有關(guān)個人數(shù)據(jù)保護的國際條約或歐盟委員會對獲得認定的國家和地區(qū)至少每四年進行一次評估，以確保其滿足同等保護水平要求。20214月，獲得歐盟委員會充分性認定的國家12個，即安道爾、阿根廷、加拿大（商業(yè)組織、法羅群島、格恩西島以色列、馬納島、日本、澤西島、新西蘭、瑞士和烏拉圭4。此外，歐盟委員會已完成了與英國、GDPR基本相同20212（草案6月正式作出針對3月歐盟委員會正式啟動并通過了關(guān)于向韓國傳輸數(shù)據(jù)的充分性認定程序。在適當保障措施下提供多樣化數(shù)據(jù)跨境傳輸方式述國家或地區(qū)傳輸。GDPR規(guī)定的適當保障措施主要包括：（BindingorporatesBBCR100BCR標準合同條款（Standardotalae，SCCSCCGDPRGDPR2001200420102020月EDPB20216前的三個標準合同文本SCC融合與統(tǒng)一。行為準則（osofcot，oC。CoC是PR新數(shù)據(jù)控制者或處理者可作出具有約束力和可強制執(zhí)行的承諾，承諾遵守經(jīng)批準的行為準則，則歐盟數(shù)據(jù)可向其傳輸。2019EDPB發(fā)布的指南，行為準則草案由代表數(shù)據(jù)控（EDPB審查同意CoC（ification認證是GR新引入的機制。歐盟鼓勵建立數(shù)據(jù)保護認證機制、印章或標識，歐盟委員會制定數(shù)據(jù)保護認證機制的具體要求，并可通過實施性法令來確定認證機制、印章或標識。成員國監(jiān)管機構(gòu)認可的認證機構(gòu)簽發(fā)數(shù)據(jù)保護認證，數(shù)據(jù)控制者和處理者自愿申請認證，得到批準后，可使用印章或標識證明其數(shù)據(jù)活動符合歐盟規(guī)定，并進行數(shù)據(jù)跨境傳輸。此外，如果歐盟以外國家未達到歐盟數(shù)據(jù)保護水平，且未提供適當?shù)谋Ｕ洗胧r，GDPR法定請求權(quán)、公共注冊登記機構(gòu)數(shù)據(jù)傳輸?shù)惹樾巍Ｍㄟ^限制數(shù)據(jù)本地化等促進非個人數(shù)據(jù)自由流動2018數(shù)據(jù)跨境流動的基本規(guī)則。限制成員國的數(shù)據(jù)本地化要求。一是除非基于公共安全24據(jù)本地化要求的詳細信息，并保持更新。一是當成員國主為可實施有效、適當?shù)奶幜P。針對歐盟則的發(fā)展情況和實施效果。以大規(guī)模監(jiān)控侵害個人權(quán)利為由廢除美歐“隱私盾”《199520132020年廢除了上述協(xié)議?！鞍踩邸眳f(xié)議（EUafeHarborFramework。2000月美歐“安全港協(xié)議”正式生效。在該協(xié)議框架下201310月，歐盟法院作出判決，認定“安全154500（ES.PrivacydFrameork。20167協(xié)議強化了美國企業(yè)的數(shù)據(jù)保護義務(wù)和歐洲公民的權(quán)利救2020年7盟執(zhí)能滿足歐盟法的要求為“隱私盾協(xié)議”無法為歐盟轉(zhuǎn)移到美國的個人數(shù)據(jù)提供充分保護。（二）美國：數(shù)據(jù)自由流動原則下限制敏感數(shù)據(jù)出口但同時，基于遏制戰(zhàn)略競爭對手、維護其技術(shù)霸權(quán)目的，美國以國家安全為由嚴格限制敏感數(shù)據(jù)出口。對涉敏感個人數(shù)據(jù)交易進行外國投資安全審查2020年2月，美國《外國投資風險審查現(xiàn)代化法》（FIRRMA）敏感個人數(shù)據(jù)交易納入外國投資安全審查范圍。根據(jù)FIRRMA據(jù)的美國企業(yè)的外國投資，如果該美國企業(yè)滿足相應(yīng)條件，企業(yè)為美國政府或軍事12個月內(nèi)維護或收集100企業(yè)有明確業(yè)務(wù)目標去維護或收100術(shù)的使用、開發(fā)、獲取或披露等。FIRRMA還規(guī)定了“白名單”做法，設(shè)置了“例外國”3Grindr的股權(quán)；20194月，CFIUS要求我國碳云智能PatientsLikeMe的股權(quán)；20203StayNTouch對敏感數(shù)據(jù)大規(guī)?？缇程峁┻M行嚴格管控202169‘不應(yīng)有或不可接受’此外美國國會還提出了相關(guān)立法提案《國家安全與個人數(shù)據(jù)保護法案》（NationalSecurityandPersonalDataProtectionActof 2019）和《保護美國人的數(shù)據(jù)免受外國監(jiān)視法案（ProtectingAmericansDatafromForeignSurveillanceAct）為代表。前者由參議員JoshHawley于2019年提出，法案的管制對象是依“特別關(guān)注國家主要是中國和俄羅斯）法律成立的、提供基于數(shù)據(jù)的在線服務(wù)的科技企業(yè)法案禁止科技企業(yè)向特別關(guān)注國家傳輸用戶數(shù)據(jù)以及破譯相關(guān)用戶數(shù)據(jù)所需的密鑰數(shù)（包括間接通過第三方非特別關(guān)注國家傳輸，禁止特別關(guān)注企業(yè)將其從美國收集的數(shù)據(jù)存儲在美國以外或和美國簽訂協(xié)議共享數(shù)據(jù)的國家以外720214月提出，法案要求商務(wù)部確定可8。通過“長臂管轄”擴大美國境外數(shù)據(jù)調(diào)取權(quán)力20183（ClarifyingOverseasUseofData法案二是法案舍棄了傳統(tǒng)的雙邊或多邊司法協(xié)助條約，允許“符合資格的外國政府”通過與美國簽訂雙邊協(xié)定形式，申互聯(lián)網(wǎng)開放等要求。主導(dǎo)多雙邊協(xié)定限制各國設(shè)置數(shù)據(jù)跨境流動壁壘設(shè)置的本地化存儲等市場壁壘，促進數(shù)據(jù)自由流動。美韓自由貿(mào)易協(xié)定。2012年美國與韓國簽署《美韓自由確，考慮到貿(mào)易中數(shù)據(jù)自由流動和個人信息保護極其重要，雙方應(yīng)當努力避免給電子數(shù)據(jù)的跨境流動強加不必要的障構(gòu)以電子或其他形式跨境傳輸數(shù)據(jù)，用于處理日常的業(yè)務(wù)。（TPP2016年2跨太平洋伙伴關(guān)系協(xié)定談判過程中首次增加了有關(guān)跨境數(shù)據(jù)流動的約束性條款，以減少雙方跨境數(shù)字貿(mào)易的壁壘。2017TPP成為不少國際協(xié)定電子商務(wù)章節(jié)的范本。TPP（1TPP（2不允許締約方以歧視性措施或直接阻止的方式支持本國類（3各締約方同意實施并保持針（4各締約方有義務(wù)采取措施阻止推銷性質(zhì)的商業(yè)電子信息。（MA2018年1月30西哥、加拿大三國簽署《美墨加三國協(xié)定》（SAUSMCA202071日正式生效。在數(shù)據(jù)跨境流動方TPP關(guān)機構(gòu)是在其業(yè)務(wù)許可范圍內(nèi)開展相關(guān)數(shù)據(jù)跨境傳輸活動TPP基礎(chǔ)上新增了數(shù)據(jù)（1限制第三方在互聯(lián)網(wǎng)平臺上發(fā)布（知識產(chǎn)權(quán)除外（2通過建立一個最小化促進政府開放數(shù)據(jù)獲取。（三）日本：積極推動與歐美的數(shù)據(jù)跨境流動借鑒歐盟做法，日本加快制定本國數(shù)據(jù)跨境流動規(guī)則，理念，探索構(gòu)建與歐美乃至更廣范圍的數(shù)據(jù)跨境流動圈。提供靈活多樣的數(shù)據(jù)跨境流動方式2003年發(fā)布，201592017年正式生效。（1設(shè)立個人信息保護委員會”（PIPC）（2）（3）（（b）國（白名單國家。按照日本個人信息當根據(jù)個案來進行評估判斷。例如，通過簽訂合同、認證、簽署諒解備忘錄等方式，日本境內(nèi)的經(jīng)營者將個人數(shù)據(jù)的處理委托給外國的經(jīng)營者；又如，個人數(shù)據(jù)是在同一個集團的內(nèi)部公司間根據(jù)內(nèi)部規(guī)則、隱私政策等規(guī)定進行傳輸，這些規(guī)則和政策同時約束數(shù)據(jù)發(fā)送方和接收方。獲得國際隱私保護框架認證的服務(wù)商。日本加入了APECCBPRs，因此獲得該體系認證的服務(wù)商，不需要取得制度以“OECDISMS國際標準認證體系，JISQ27001標準，并據(jù)此開展認證。白名單國家。根據(jù)日本公布的具有與日本同等保護水平（1有同等（2（3基于對個人信息利用和個人權(quán)益保護的共同理念而與日本達成合作對個人數(shù)據(jù)的國際傳輸施加的限制不得超越保護個人信息的（5展以及實現(xiàn)國民的富裕生活做出貢獻。建立與歐美的數(shù)據(jù)跨境流動機制日本積極跟進美國數(shù)據(jù)跨境自由流動的主張，加入了美APECCBPRTPP后主導(dǎo)了（CPTP1境數(shù)據(jù)流動與各自境內(nèi)數(shù)據(jù)流動并無二致。倡導(dǎo)全球可信數(shù)據(jù)自由流動201920196G20主席國之24個國家和地區(qū)簽署，就全球跨境數(shù)據(jù)流動形成共動。目前，G20關(guān)于跨境數(shù)據(jù)流動的共識還處在理念層面，尚未形成框架性協(xié)議。二、國際組織的數(shù)據(jù)跨境流動規(guī)則和機制（一）OECD：確立數(shù)據(jù)跨境流動和保護的基本原則1980年，OECD頒布《隱私保護和個人數(shù)據(jù)跨境路東指南》，概括性地抽象出個人數(shù)據(jù)（隱私）保護的八項基本原則，主要是收集限制、數(shù)據(jù)質(zhì)量、目的特定、使用限制、安全保護、公開、個人參與、責任等原則，數(shù)據(jù)控制者對是否有效實施上述原則承擔責任。2013年7月，OECD通過了《理事會關(guān)于隱私保護和個人數(shù)據(jù)跨境流動的指南建議2013》，針對部分原則增加了具體實施要求，主要修改包括：（1）強調(diào)完善國際和國內(nèi)隱私保護法律環(huán)境，要求成員國建立隱私執(zhí)法機構(gòu)；通知兩項義務(wù)；（3）制，最大限度地促進數(shù)據(jù)的自由流動；（4）現(xiàn)隱私保護目標的具體手段與措施；（5）球一體化的必要性和重要性，倡導(dǎo)在國際層面建立起一個強大的全球性隱私執(zhí)法機構(gòu)合作網(wǎng)絡(luò)。（二）APEC：美國主導(dǎo)跨境隱私規(guī)則體系（CBPRs）2007年，為落實《APECAPEC19APECC跨境隱私保護規(guī)則體系（CBs。201年1CBs在APEC第19次領(lǐng)導(dǎo)人非正式會議上得到認可。CBPRs系對成員經(jīng)濟體參與CBPRs提出明確要求，并建立了隱私執(zhí)CBPRsAPECAPEC各經(jīng)濟體之間無障礙的跨境信息流動。CBPRsCBPRs，應(yīng)當滿足以下條件9（1該國至少有一個隱私執(zhí)法機構(gòu)加入EC跨境隱私執(zhí)法安排（CEA（2該國必須向PEC電子商務(wù)指導(dǎo)小組主席、數(shù)據(jù)隱私小組主席和CBPRsCPEACBPRs認可的問責代理機構(gòu)；三是該國求的隱私保護法律法規(guī)，及如何執(zhí)行這些法律法規(guī)。問責代理機構(gòu)認可機制。CBPRs使用經(jīng)APEC認可的問APEC隱CBPRsCBPRs行審核，并按年度核實其是否符合認可標準的要求。商業(yè)機構(gòu)隱私保護認證機制。CBPRs的商業(yè)機構(gòu)向問責代理機構(gòu)申請隱私保護認證，問責代理機構(gòu)按照CBPRsCBPRs僅2月APEC批準了處理者隱私識別（PCBPRs實施的最新進展。APEC有九個成員經(jīng)濟CBPRs1115家，有40家商業(yè)機構(gòu)獲得了認證，絕大多數(shù)是美國的商業(yè)機構(gòu)10。（三）東盟：重點發(fā)展示范合同條款和數(shù)據(jù)跨境認證2018“數(shù)據(jù)跨境流動”作為數(shù)字數(shù)據(jù)治理的四大戰(zhàn)略重點之一，明確提出要建立東盟數(shù)據(jù)跨境流動機制，對數(shù)據(jù)流動不作不必要的限制，以增強跨境數(shù)據(jù)流動的確定性。2019月，東盟通過了《東盟跨境數(shù)據(jù)流動機制的關(guān)鍵方法》，建議東盟重點發(fā)展兩個機制，即：東盟示范合同條款（MCCs）和東盟跨境數(shù)據(jù)流動認證。2021122的回應(yīng)和落實，東盟批準發(fā)布《東盟跨境數(shù)據(jù)流動示范合同條款》，作為實施東盟跨境數(shù)據(jù)流動機制的第一步。該合同條款區(qū)分數(shù)據(jù)控制者到數(shù)據(jù)處理者、數(shù)據(jù)控制者到數(shù)據(jù)控制者兩種情形，明確了數(shù)據(jù)輸出方和接收方各自的責任、所需的數(shù)據(jù)保護措施和相關(guān)義務(wù)。MCCs是一項自愿性的標準，是數(shù)據(jù)跨境流動中應(yīng)當遵守的最低標準，無論成員國是否有數(shù)據(jù)保護法律，均可實現(xiàn)數(shù)據(jù)跨境傳輸。政策和做法的成員國及企業(yè)、組織或機構(gòu)以印章或標志。目前東盟尚未出臺認證相關(guān)的標準、要求和程序，后續(xù)東盟發(fā)展數(shù)據(jù)工作組將開展制定工作。此外，東盟允許數(shù)據(jù)傳輸雙方自由使用東盟認可的任何其他有效數(shù)據(jù)傳輸機APECCBPRs具有約束力的公司規(guī)則、行為準則等。三、我國的數(shù)據(jù)跨境流動規(guī)則和機制（一）重要數(shù)據(jù)：原則上境內(nèi)存儲，確有必要跨境提供需進行安全評估我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》確立了重要數(shù)據(jù)出境的基本框架，即重要數(shù)據(jù)原則上應(yīng)當在境內(nèi)存儲，確需向境外提供時應(yīng)當進行安全評估?？梢?，目前我國重要數(shù)據(jù)跨境流動制度的核心是數(shù)據(jù)出境安全評估。數(shù)據(jù)出境安全評估旨在把控數(shù)據(jù)出境的安全風險2017年國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，2019年又發(fā)布了《個人信息出境安全評估辦法（征求意見稿）》，著力構(gòu)建可操作性的數(shù)據(jù)出境安全評估制度。根據(jù)上述辦法，我國數(shù)據(jù)出境安全評估重點評估以下內(nèi)容：（1）出境的必要性；（2）數(shù)量、范圍、類型及其敏感程度等；（3）全保護措施、能力和水平，以及所在國家和地區(qū)的網(wǎng)絡(luò)安全環(huán)境等；（4）數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、毀損、篡改、濫用等風險；（5）家安全、社會公共利益、個人合法利益帶來的風險等。金融等行業(yè)完善數(shù)據(jù)跨境流動規(guī)則和制度我國金融、衛(wèi)生健康、交通運輸?shù)炔块T很早就結(jié)合行業(yè)需求對特定數(shù)據(jù)出境提出了要求，建立健全數(shù)據(jù)跨境流動規(guī)則和機制。相關(guān)要求主要集中在兩個方面：明確要求數(shù)據(jù)本地化存儲。例如，2006年銀監(jiān)會發(fā)布的《電子銀行業(yè)務(wù)管理辦法》第十條規(guī)定，中資銀行業(yè)金甌讓機構(gòu)的電子銀行業(yè)務(wù)運營系統(tǒng)和業(yè)務(wù)處理服務(wù)器設(shè)置在中華人民共和國境內(nèi)；2016年由交通運輸部、工信部等7部委發(fā)布的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》第二十七條規(guī)定，網(wǎng)約車平臺公司應(yīng)當遵守國家網(wǎng)絡(luò)和信息安全有關(guān)規(guī)定，所采集的個人信息和生成的業(yè)務(wù)數(shù)據(jù)，應(yīng)當在中國內(nèi)地存儲和使用，保存期限不少于2年，除法律法規(guī)另有規(guī)定外，上述信息和數(shù)據(jù)不得外流；2016年國家新聞出版廣電總局、工業(yè)和信息化部發(fā)布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》第十二條要求，申請從事網(wǎng)絡(luò)出版服務(wù)應(yīng)當提交網(wǎng)站域名注冊證明、相關(guān)服務(wù)器存放在中華人民共和國境內(nèi)的承諾。明確數(shù)據(jù)出境相關(guān)要求。這方面多數(shù)是籠統(tǒng)性的規(guī)定，缺乏操作性。例如，2013年發(fā)布的《征信業(yè)管理條例》第二十四條規(guī)定，征信機構(gòu)向境外組織或者個人提供信息，應(yīng)當遵守法律、行政法規(guī)和國務(wù)院征信業(yè)監(jiān)督管理部門的有關(guān)規(guī)定；2019年中國人民銀行等四部委發(fā)布的構(gòu)向境外組織或者個人提供信息，應(yīng)當遵守法律法規(guī)以及5月國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定》第十二條規(guī)定，個人信息或者重要數(shù)據(jù)應(yīng)當依法在境內(nèi)存儲，確需向境外提供的，應(yīng)當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。地方加快探索數(shù)據(jù)跨境安全監(jiān)管模式20208月，商務(wù)部發(fā)布《關(guān)于印發(fā)全面深化服務(wù)貿(mào)等條件相對較好的試點地區(qū)開展數(shù)據(jù)跨境傳輸安全管理試點，明確要求支持試點開展數(shù)據(jù)跨境流動安全評估，建立數(shù)據(jù)保護能力認證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流動和交易風險評估等數(shù)據(jù)安全管理機制。根據(jù)北京、上海、浙江、海南等地的自貿(mào)試驗區(qū)方案，各地都在加快數(shù)據(jù)跨境流動機制探索，并采取了一些創(chuàng)新性的舉措。例如，北京明確要加強跨境數(shù)據(jù)保護規(guī)制合作，促進數(shù)字證書和電子簽名的國際互認，探索制定跨境數(shù)據(jù)流動等重點領(lǐng)域規(guī)則，提出數(shù)據(jù)產(chǎn)品跨境交易模式，并設(shè)立了北京國際大數(shù)據(jù)交易所；上海明確要建立數(shù)據(jù)保護能力認證、數(shù)據(jù)流通備份審查、跨境數(shù)據(jù)流動和交易風險評估等數(shù)據(jù)安全管理機制，并提出依托國際光纜登錄口構(gòu)建跨境數(shù)據(jù)中心、新型互聯(lián)網(wǎng)交換中心，建設(shè)新型數(shù)據(jù)監(jiān)管關(guān)口，設(shè)立新片區(qū)跨境數(shù)據(jù)公司。（二）個人信息：在數(shù)據(jù)主體同意的前提下，提供安全評估、認證等三種機制GDPR（1）安全評估，由國家（2）個人信息保護認證，國家網(wǎng)信部（3）標準合同文本，由國家網(wǎng)信部門制定標準合同文本，數(shù)據(jù)輸出方和接收方訂立合同，明確雙方的權(quán)利和義務(wù)，并監(jiān)督接收方的個人信息活動達到法律規(guī)定的個人信息保護標準。目前上述三種機制都還在制度設(shè)計階段。2019年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境安全評估辦法（征求意見稿（1）2）3）（4）（5）（6）其他應(yīng)當評估的內(nèi)容。（三）數(shù)據(jù)跨境調(diào)取：奉行對等原則，并需經(jīng)有關(guān)主管部門批準在一國涉外司法或執(zhí)法過程中，可能會需要調(diào)取他國境內(nèi)數(shù)據(jù)或公民個人信息，這種數(shù)據(jù)跨境調(diào)取通常通過國2018年美國CLOUD法案規(guī)定，美國政府有權(quán)力調(diào)取存儲于他國境內(nèi)數(shù)據(jù)，而其他國家若要調(diào)取存儲在美國的數(shù)據(jù)，則必須通過美國的“符合資格的外國政府”審查。這實質(zhì)上采取了雙重標準，并打破了國際司法或執(zhí)法協(xié)助制度。與美國不同，在數(shù)據(jù)跨境對等原則，明確我國根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定，或者按照平等互惠原則，處理外國司法或者執(zhí)法機構(gòu)關(guān)于提供數(shù)據(jù)的請求；非經(jīng)中華人民共和國主管機關(guān)批準，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。同時，對于從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區(qū)，法律還規(guī)定我國可以采取相應(yīng)的對等措施。四、我國面臨形勢、主要挑戰(zhàn)及對策建議（一）面臨形勢目前全球尚未形成一致的數(shù)據(jù)跨境流動規(guī)則，在數(shù)據(jù)本地化等諸多方面存在分歧，全球數(shù)據(jù)治理還呈現(xiàn)碎片化的狀態(tài)11。歐美目前已形成較為明晰的數(shù)據(jù)跨境流動策略，基于該策略完善境內(nèi)數(shù)據(jù)跨境流動規(guī)則和機制的同時，積極聯(lián)合“志同道合”國家構(gòu)建全球數(shù)據(jù)跨境流動圈，力圖搶占數(shù)據(jù)跨境流動規(guī)則制定話語權(quán)、構(gòu)建數(shù)字競爭優(yōu)勢。各國加快構(gòu)建符合其利益的規(guī)則和制度體系于國家安全、經(jīng)濟發(fā)展、產(chǎn)業(yè)能力等多方面的考量，歐并基于此加快構(gòu)建數(shù)據(jù)跨境流動規(guī)則和制度體系。歐盟強調(diào)數(shù)據(jù)主權(quán)，提出強壯的技術(shù)和產(chǎn)業(yè)、強大的規(guī)則和制度構(gòu)建能力對于數(shù)字時代的歐盟自治至關(guān)重要?；跀?shù)據(jù)主權(quán)戰(zhàn)略，歐盟加快個人信息保護、數(shù)字平臺競爭等方面的規(guī)則和制度建設(shè)，期望能通過統(tǒng)一境內(nèi)規(guī)則和有效境外輸出，確保歐盟對境內(nèi)數(shù)據(jù)資源的掌控能力，以維護其數(shù)字主權(quán)。具體到數(shù)據(jù)跨境流動方面，歐盟強調(diào)以個人隱私保護為先，明確只有在境外達到與歐盟同等水平的保護時，才可向境外傳輸數(shù)據(jù)。領(lǐng)先地位：一是通過“長臂管轄”擴張跨境數(shù)據(jù)獲取能制美國敏感數(shù)據(jù)向戰(zhàn)略競爭對手流動。此外，俄羅斯、印度等國家從發(fā)展本國技術(shù)和產(chǎn)業(yè)、維護國家安全的考量出發(fā)，實行了相對保守的數(shù)據(jù)跨境流動政策，加快推進數(shù)據(jù)本地化。例如，俄羅斯通過修訂儲的基本規(guī)則，要求公民個人信息及相關(guān)信息和數(shù)據(jù)庫需要在俄羅斯境內(nèi)存儲，對俄羅斯公民的個人數(shù)據(jù)的處理活2019強制僅在印度境內(nèi)存儲和處理這些數(shù)據(jù)。西方國家積極推動建立全球數(shù)據(jù)跨境流動圈近幾年，美國、歐盟、日本等在加快構(gòu)建境內(nèi)數(shù)據(jù)跨境流動規(guī)則體系的同時，積極與合作伙伴聯(lián)合，推動建立基于共同理念的全球數(shù)據(jù)跨境流動同盟，并以規(guī)則和制度競爭為手段，打壓和遏制中國等戰(zhàn)略競爭對手，搶占數(shù)據(jù)跨境流動國際規(guī)則制定話語權(quán)。美國早在幾年前就主導(dǎo)建立了APECAPECAPECCBPRs，避免中國獲取左右國家競爭力的數(shù)據(jù)。同時，美國20216月美歐成立貿(mào)易和技歐盟GDPR歐洲委員會也積極在“108號公約”等基礎(chǔ)上，探討建立多邊數(shù)據(jù)流動圈的可能性。APEC2019年日本與美國、歐盟共同商議數(shù)字治理相關(guān)境流動規(guī)則框架等。日本還倡導(dǎo)提出“可信數(shù)據(jù)自由流動”理念，并與美等西方國家探索建立多邊數(shù)據(jù)跨境流動圈。地緣政治成為數(shù)據(jù)跨境流動的重要考量因素考量因素。美國對中國等戰(zhàn)略競爭對手的數(shù)據(jù)封鎖體現(xiàn)在出口管的數(shù)據(jù)安全風險，通過出臺行政命令等方式，對我國信息技術(shù)產(chǎn)品和服務(wù)使用增加限制。20195G網(wǎng)絡(luò)安全建議5G網(wǎng)絡(luò)安全風險評估報告5G網(wǎng)絡(luò)安全風險消減措施工5G供應(yīng)商風險情況，對所謂“高風險”供應(yīng)商設(shè)限；202010月生效的《歐盟外商直接投5月歐盟通過“威權(quán)體制”出口網(wǎng)絡(luò)監(jiān)控技術(shù)。（二）主要挑戰(zhàn)帶來威脅和挑戰(zhàn)。數(shù)字技術(shù)普及使得網(wǎng)絡(luò)數(shù)據(jù)出境更不易察覺5G快速發(fā)展和普及應(yīng)用，使得大量有價值的數(shù)據(jù)被收集使用，數(shù)字技術(shù)在應(yīng)用過程中，通過各類傳感器或采集終端，10TB12以竊取我國敏感數(shù)據(jù)為目的的境外攻擊增多個人敏感信息和重要數(shù)據(jù)等高價值數(shù)據(jù)一直是網(wǎng)絡(luò)攻擊的重要目標。近年來，境外有政治背景的黑客持續(xù)加大對我國的網(wǎng)絡(luò)攻擊力度，攻擊手段更為隱蔽、持續(xù)時間更長、渠道更加多樣化，試圖竊取我國的個人敏感信息和重要數(shù)據(jù)。通過對這些數(shù)據(jù)的挖掘分析，可預(yù)測我國相關(guān)戰(zhàn)略動作，使我國陷入政策被動并威脅我國國家安全。當前，境外機構(gòu)針對我國敏感數(shù)據(jù)的黑客攻擊高發(fā)。據(jù)2020PT2020年120起定向攻擊；251亞型高致病性禽流感疫情箱的賬戶權(quán)限。企業(yè)違規(guī)向境外提供數(shù)據(jù)帶來國家安全隱患安全帶來沖擊和威脅。一是外資企業(yè)將我國數(shù)據(jù)傳輸至境外總部。例如，特斯拉（中國）通過汽車攝像頭、激光雷達等傳感器采集車內(nèi)外環(huán)境，獲得了人臉圖像、個人語音、地理位置等敏感信息，并將上述信息傳輸至境外總部。二是國內(nèi)企業(yè)在海外上市、海外并購等過程中可能向境3——會計師從企業(yè)原始交易數(shù)據(jù)到形成審計結(jié)論的過程中201357日與美國公眾公司會計監(jiān)督委員會PCAOB因案件調(diào)下，獲相應(yīng)的底稿。三是境內(nèi)機構(gòu)通過合作等方式，將敏感數(shù)據(jù)傳輸至境外。（國199836號院未經(jīng)許可與英國牛津大學(xué)開展中國人類遺傳資源國際合傳遞出境。另據(jù)《20202020年我國共發(fā)現(xiàn)國內(nèi)基因數(shù)據(jù)通過網(wǎng)絡(luò)出境717萬余次，流向170273總次數(shù)的38.1%。（三）對策建議建立健全數(shù)據(jù)跨境流動規(guī)則體系完備的本國數(shù)據(jù)跨境流動規(guī)則體系是參與國際治理的