随着全球数字经济的蓬勃发展，数据跨境流动日益频繁，正在成为经济增长的新引擎、全球竞争的新赛道。为发展数字经济并保障数据安全，世界各国都在加紧构建数据跨境流动规则体系，这对我国同样意义重大。因此，有必要从统筹推进国内法治和涉外法治的高度，做好数据跨境流动治理体系的顶层设计，不断优化我国数据治理体系，并推动构建开放包容、协同共治的数据跨境流动全球治理体系。

　　统筹数据出境安全与数字贸易发展

　　数字贸易与数据安全不是此消彼长的关系。2024年3月22日，国家互联网信息办公室公布《促进和规范数据跨境流动规定》，在坚持数据出境安全原则的同时，对数据出境监管予以适度松绑，创造性地设置了便利数据流动的多项制度，进一步丰富和完善了数据跨境流动治理的中国方案。在统筹数据出境安全与数字贸易发展方面，我国的制度创新体现如下。

　　第一，建立跨境数据分类分级管理机制。《网络安全法》《数据安全法》《个人信息保护法》等法律的出台，为我国建立跨境数据分类分级管理机制奠定了基本法律框架。《个人信息保护法》第38条规定，向境外提供个人信息的，须依法申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证。据此，数据处理者可根据《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等规定，选择申报安全评估、订立标准合同或者通过保护认证。实践中，安全评估、标准合同、保护认证的适用边界较为模糊，导致数据出境合规成本、监管成本居高不下。有鉴于此，《促进和规范数据跨境流动规定》对数据出境监管制度作了进一步优化，拓展了免予申报安全评估、订立标准合同、通过保护认证的情形，包括在国际贸易等活动中收集和产生的非个人信息或非重要数据向境外提供、在境外收集和产生的个人信息传输至境内处理后向境外提供等场景。这将进一步助力数字贸易发展，吸引更多的离岸数据中心在国内落地，推动全球数据资源向国内集聚。

　　第二，充分授权自由贸易试验区先行先试。自由贸易试验区可以在国家数据分类分级保护制度框架下，探索数字领域制度型开放，构建数据跨境流动管理新模式。根据《海南自由贸易港法》的授权，海南自由贸易港要依法建立安全有序、自由便利的数据流动管理制度，有序扩大通信资源和业务开放，扩大数据领域开放。《促进和规范数据跨境流动规定》则进一步设置了自由贸易试验区负面清单制度。自由贸易试验区可自行制定数据出境负面清单，负面清单外的数据可自由流动，免予申报安全评估、订立标准合同、通过保护认证。2024年5月9日，天津自由贸易试验区依据该规定发布全国首个数据出境负面清单，为企业数据依法有序高效出境提供便利。自由贸易试验区在数据出境监管方面的先行先试，还表现在对接区域性国际数据跨境流动制度安排方面。《海南自由贸易港法》第42条规定，国家支持海南自由贸易港探索实施区域性国际数据跨境流动制度安排。这为自由贸易试验区对接高标准数据跨境流动规则预留了制度空间。

　　第三，对影响或者可能影响国家安全的数据跨境流动、外资并购等活动依法依规进行国家安全审查。当前，各国对数据跨境流动引发的国家安全风险都高度关注，纷纷明确国家安全审查的法律要求和监管工具。欧盟依据《通用数据保护条例》《外国直接投资审查框架条例》等法律，将数据跨境流动风险纳入国家安全审查范围。美国在强调数据跨境自由流动的同时，也依据《出口管理条例》《外国投资风险审查现代化法案》等法律，通过出口管制、投资审查等措施对数据跨境传输的国家安全风险进行防控。我国则确立了网络安全审查与数据安全审查二维一体的安全审查制度。其中，《网络安全法》第35条、《网络安全审查办法》第2条主要针对关键信息基础设施运营者、网络平台运营者进行安全审查，而《数据安全法》第24条则针对数据本身进行安全审查。网络安全审查、数据安全审查均由监管部门依职权启动，它们与数据处理者主动申报的数据安全评估共同构成了我国数据出境安全审查评估制度。

　　第四，构建和运用应对数据保护主义、数据长臂管辖的法律工具箱。《中共中央　国务院关于构建数据基础制度更好发挥数据要素作用的意见》指出，要反对数据霸权和数据保护主义，有效应对数据领域长臂管辖。当前，一些国家通过单边立法对境外数据实行长臂管辖，对中国等国家采取歧视性的数据保护主义措施。对此，我国法律已基本形成攻防兼备、公私联动的涉外法律体系。任何国家或地区在数据方面对中国采取歧视性措施的，中国可以根据实际情况对等采取措施。而且，根据《反外国制裁法》第12条、《阻断外国法律与措施不当域外适用办法》第9条规定，中国公民、组织可以向人民法院提起追偿诉讼，要求相关主体赔偿因执行外国歧视性措施而造成的损失。

　　推动构建开放包容、协同共治的

　　在完善数据跨境流动国内法规则体系的同时，我国也积极参与国际规则和标准制定，推动构建开放包容、协同共治的数据跨境流动全球治理体系。各国在数据跨境流动方面的法律差异和监管分歧是客观存在的，短期内难以弥合。在此背景下，很难对数据跨境流动的具体模式和规则达成普遍共识。因此，数据跨境流动国际规则谈判不应以消除国内法差异为目标，而应秉持共商共建共享原则，注重提升全球数据治理体系的开放性、包容性与协调性。

　　一方面，依托《全球数据安全倡议》，凝聚国际社会对国家安全、社会公共利益的价值共识。WTO协定、《区域全面经济伙伴关系协定》（RCEP）、《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《数字经济伙伴关系协定》（DEPA）等在强调贸易自由化、数据跨境自由流动原则的同时，也设置了国家安全例外、公共政策例外条款。缔约国为了保护国家安全或实现公共政策目标，可以对数据跨境流动采取限制性措施。虽然不同协定下例外条款的适用范围和条件有所差异，但基本都包含了非歧视性、合比例性的要求。缔约国对数据跨境流动所采取的限制措施不得构成任意或不合理的歧视，不得超出为实现合法目标所必要的限度。因此，在双多边数字贸易协定的缔结和实施过程中，一方面要为国家安全、公共政策预留制度空间，另一方面也要防范国家安全例外、公共政策例外的泛化和滥用，反对以国家安全、公共政策为名施行数据保护主义和数据跨境流动的“双重标准”。

　　另一方面，依托共建“一带一路”倡议和数字丝绸之路建设，推动共建开放包容的“一带一路”跨境数据自由流动圈。当前，美国基于数字企业利益强调数据跨境自由流动，欧盟则基于个人信息保护要求对数据跨境流动施加相对严格的限制。与此不同，中国更强调数字贸易与数据安全的均衡发展，这与共建“一带一路”国家有着更大的利益交汇点。RCEP作为“一带一路”沿线区域最具影响力的经贸协定之一，将商业数据跨境自由流动作为原则，并辅之以国家安全例外与公共政策例外。这与我国跨境数据治理规则体系的改革方向高度契合。目前，我国已经批准RCEP，并推进该协定的国内转化立法工作。未来应考虑以RCEP数据跨境流动规则为蓝本，在预留国家安全、公共政策制度空间的同时，探索共建“一带一路”跨境数据自由流动圈。与此同时，要注重与共建“一带一路”国家数字经济合作的精准性、灵活性，助力共建“一带一路”国家数字经济能力建设，提升各国共建数字丝绸之路的获得感和认同感。

　　（作者系华南理工大学法学院副院长、教授）