摘 要 基于中國國情和發展訴求，在自由貿易試驗區探索數據跨境流動機制是一個有效路徑​‍‌‍​‍‌‍‌‍​‍​‍‌‍​‍‌‍​‍​‍‌‍​‍‌​‍​‍​‍‌‍​‍​‍​‍‌‍‌‍‌‍‌‍​‍‌‍​‍​​‍​‍​‍​‍​‍​‍​‍‌‍​‍‌‍​‍‌‍‌‍‌‍​。 由自由貿易試驗區推進進度和現狀可知，目前數據跨境流動面臨著國家層面相關法律法規尚未形成體系、數據分類分級規則不健全、數據出境管制辦法缺乏彈性、數據跨境傳輸安全評估和管理機制操作難及數據主權爭議等難題。 建議從設置靈活的數據出境路徑、強化信息技術研發應用能力、加快法律制度制定和實施的進度、確定數據分類分級標準和擴大國際影響力等方面應對當前的難點和問題，助力中國早日實現與他國的數據跨境安全流動。

　　關鍵詞：自由貿易試驗區; 數據跨境流動; 數據安全評估

　　一、引言

　　數據跨境流動是支撐數字貿易發展的重要基礎。 雖然數據跨境流動能促進各國的經貿發展和聯系，但它也蘊含著威脅國家安全、泄露個人隱私和侵犯商業秘密等風險。 為此，主要經濟體對數據跨境流動治理理念分歧較大。 美國在區域貿易協定(RTAs)和WTO框架下積極推動數據跨境自由流動; 歐盟高度注重隱私保護，允許個人數據流入到具有充分保護水平的國家和地區; 以俄羅斯為代表的新興國家通過數據存儲本地化等政策限制數據跨境流動。 中國關于數據跨境流動的相關立法主要分為3個部分。 一是《網絡安全法》及其一系列配套法規。 《網絡安全法》是中國首次在法律層面提出個人數據和重要數據出境的規制辦法，具有法律效力。 配套的法律實施細則包括數據安全出境、個人信息出境、網絡安全審查等具體操作指南。 二是《數據安全法(草案)》和《個人信息保護法(草案)》。 盡管這兩部草案尚未最終定稿，但草案內容透露出國家未來數據政策的方向和管制力度。 前者表明了中國積極促進數據跨境安全自由流動的立場，并強調維護中國數據主權; 后者有利于優化中國個人信息保護領域的法律制度，為跨國企業進行數據跨境傳輸業務提供了合規指南，同時為中國與他國建立個人數據互通機制提供合作基礎。 三是對特定部門數據出境的限制性規定。 例如，對涉及國家秘密的信息與密切關乎國家安全的礦產資源、軍事信息、測繪和地圖等關鍵敏感領域采取了嚴格的數據本地化政策，對個人金融信息、信用信息、人類遺傳資源、人口健康信息等領域提出相應的限制數據外流要求。 盡管美國、歐盟、俄羅斯等國家和地區主張的數據跨境流動政策不同，但已通過雙邊、多邊及區域經貿合作渠道建立數據互通共識。 為此，在做好風險防控的前提下，中國可嘗試在國內特定地點或自由貿易試驗區探索數據跨境流動機制，穩步推動數據跨境安全自由流動。

　　針對數據跨境流動規制問題，學者們側重對美國和歐盟的相關政策進行解讀，通過對比美歐的治理理念和政策導向，對中國數據跨境流動發展和管制提出相應的政策建議(王融，2018; 東方，2019; 黃道麗和何治樂，2017; 張衠，2018; 張生，2019)。 從數據類型看，學者對個人數據跨境流動的研究相對豐富(張舵，2018; 許多奇，2018; 杜澤昊，2019; 劉一瑋，2019)。 部分學者也探討數據主權歸屬問題，如杜雁蕓(2016)從大數據視角論述數據主權問題; 洪延青(2018)對美國CLOUD法案涉及的數據主權內容進行研究; 史宇航(2018)基于數據跨境流動政策視角談論網絡主權等。 具體到企業合規問題，婁鶴和陳國彧(2019)對比分析了中國、歐盟和美國各自的數據跨境流動規則，認為三國對數據跨境流動的立場不同抬升了跨國企業的合規成本; 許多奇(2020)發現跨國企業面臨雙向合規的難題。

　　筆者發現，既有文獻大多在研究對象與內容上具有高度重疊現象，而對于中國究竟應如何推進數據跨境流動的深入研究還比較少，且現有文獻主要針對特定行業或特定數據類型展開探討，從特定區域或自由貿易試驗區視角進行的研究還很缺乏。 自由貿易試驗區是建設開放型經濟的最佳試驗區和承載區(吳楊偉和王勝，2018)，在自由貿易試驗區層面探索“自下而上”的數據跨境流動創新制度是較好的選擇。

　　二、中國自由貿易試驗區推動數據跨境流動的創新嘗試

　　(一)中國自由貿易試驗區層面推動數據跨境流動的相關嘗試

　　上海、北京、浙江和海南等自由貿易區(港)在總體實施方案中明確要促進數據跨境安全流動，并嘗試從鞏固電信基礎設施、探索數據跨境安全高效流動機制、營造開放性數字營商環境來構建“三位一體”的數據跨境流動管理體系，統籌兼顧地區的硬性和軟性環境全面發展，為開展數據跨境安全高效流動夯實基礎。

　　1.重視數據流通中的風險防控問題并制定相應的保障措施

　　基于國家層面《網絡安全法》與《網絡安全審查辦法》的數據出境安全管理制度，一些自由貿易試驗區聚焦數據流通全周期中的安全問題，探索全面的安全保障機制。 上海自由貿易試驗區臨港新片區建立網絡安全風險報告與攻防處置流程和反應機制，對網絡安全風險實施全方位追蹤并制定應急解決方案，增強金融、能源、水利、通信等關鍵領域通信核心技術設備的威脅感知與防御能力建設，并對其展開網絡安全審查，采取動態的網絡安全等級保護措施，通過績效考核和工程驗收等安全評估方式降低風險。 浙江和北京的自由貿易試驗區在總體實施方案中也都表示建立風險防控體系，但兩地政策有些差異，前者側重于建立安全、高效的風險防控體系，后者則表示要健全開放型經濟風險防范體系。

　　2.試點建立數據保護能力認證機制

　　數據處理者的數據安全保護能力指企業能滿足信息合規和內控要求，在管理和必備的技術能力方面達標，能夠避免存儲在企業中的用戶數據發生盜用、泄露、纂改等情況。 建立數據保護能力認證機制易于從源頭上減少或杜絕個人隱私泄露、國家安全被侵犯等潛在風險，通過該機制能確保數據在收集、存儲、加工、傳輸等環節是相對安全的。 這為自由貿易試驗區內企業開展數據跨境流動業務增加了一層“安全鎖”，引導數據安全出境，也能順利獲取業務所需的境外數據。 借鑒《通用數據保護條例》(GDPR)的認證機制，上海自由貿易試驗區臨港新片區、北京和浙江的自由貿易試驗區在總體實施方案中均提出建立數據保護能力認證機制，對接先進的國際數據保護規則，為推進完善國內第三方認證機制積累經驗。

　　3.積極部署國際互聯網數據專用通道建設

　　數字經濟發展對網絡性能要求更高，中國現階段的電信基礎設施已不適應數字經濟和全球化經濟高速發展。 國際互聯網數據專用通道能改善現有互聯網通信質量，增強數據傳輸的穩定性，降低時延，提高傳輸效率。 建立直達境外國家和地區的安全、便捷、高性能的信息專用通道，有利于國內外向型企業順利開展國際貿易業務，同時吸引更多優質跨國企業入駐自由貿易試驗區。 例如，重慶與新加坡之間的中新國際互聯網數據專用通道正式開通后，顯著改善了兩地信息互聯互通的網絡空間環境。 上海自由貿易試驗區臨港新片區、河北自由貿易試驗區雄安片區及浙江、天津和北京的自由貿易試驗區也紛紛提出搭建園區到國際通信出入口局的國際互聯網數據專用通道。 國家工信部也已批準海南自由貿易港建立國際互聯網數據專用通道。

　　4.穩步推進與特定地區信息互通或特定類型數據跨境傳輸

　　多數自由貿易試驗區基于地區發展優勢和建設所需，利用其區位和產業優勢，試點與其他國家開展“點對點”的數據跨境傳輸合作，例如中新(重慶)戰略性互聯互通示范項目，廣西成為連接中國與東盟區域信息交流共享的樞紐; 或就某一特定行業開展數字化業務，陜西自由貿易試驗區利用數字博物館將中國文化輸送至“一帶一路”沿線國家和地區; 或有意與周邊地區和國家提出初步合作共識。

　　(二)中國自由貿易試驗區推進開放性數據跨境流動可能存在的問題

　　第一，部分自由貿易試驗區為避免出現數據泄露、盜用等威脅到國家安全的潛在風險，新政策在實際推行中效率低下。 如上海自由貿易試驗區臨港新片區雖已啟動“信息飛魚”等重大建設項目，但在政策制度創新方面推進緩慢，成效不佳。 這是由于一些重要的創新政策存在落地慢、難、滯后等問題，市場主體對政策的整體滿意度和體驗度評價較低，導致臨港新片區對國內外企業的吸引力不足，應加快臨港新片區開放性政策的推行速度。 ①出現該現象的原因可能是在國家層面的數據規制框架下，臨港政府無法精準把握數據政策對外開放的程度，影響新政策的制定力度和推行速度。 另一方面，創新政策措施在實踐中推進較慢，導致中國還未與任何國家和地區建立數據跨境傳輸互信機制或簽署書面合作協議，這種局勢加大了自由貿易試驗區對外開放的壓力。

　　第二，部分政策比較原則化，缺少精準、細致的可操作性方案。 如臨港新片區開放性政策實際落地難的原因之一在于細則不夠明確。 此外，政策文件存在一些模糊性表述，臨港新片區表示針對不同類別的企業和網絡應用數據需實施不同等級的管理辦法，但方案缺少對企業類型和數據類型劃分的解釋說明。 與此類似，商務部提出在雄安試點探索數據跨境流動安全管理機制，但目前還未發現可操作、可落地的具體政策方案​‍‌‍​‍‌‍‌‍​‍​‍‌‍​‍‌‍​‍​‍‌‍​‍‌​‍​‍​‍‌‍​‍​‍​‍‌‍‌‍‌‍‌‍​‍‌‍​‍​​‍​‍​‍​‍​‍​‍​‍‌‍​‍‌‍​‍‌‍‌‍‌‍​。 海南自由貿易港也存在類似問題。 原則性的籠統規定使政策前景不明朗，帶來企業對政策過度解讀或解讀時間過長等問題，降低企業運營效率，影響積極性政策的意愿和效果。

　　第三，與北京、重慶、廣西等自由貿易試驗區主動提出與特定國家和地區開展數據安全高效流動的規劃相比，海南自由貿易港、上海和浙江的自由貿易試驗區在該方面工作不到位，目前還未明確其數據出境的國際合作對象。 北京商務局表示北京自由貿易試驗區將主動與日本、韓國、東盟等經貿合作盟友探索數據跨境流動合作機制，并逐漸擴展到美國、歐盟等國家和地區。 雖然重慶和廣西的自由貿易試驗區總體實施方案未涉及數據跨境安全流動內容，但兩地政府分別有意向與新加坡、東盟實現信息互聯互通，開展數字貿易業務合作。 如重慶市提出探索重慶和新加坡之間的數據跨境便捷流動機制; 廣西自由貿易試驗區與東盟國家共建數據中心，推進大數據產業合作項目。 但仍需注意的是，北京、重慶、廣西的自由貿易試驗區還未與上述國家和地區正式簽署數據跨境流動合作協議。 而海南自由貿易港、上海和浙江的自由貿易試驗區只表示促進數據跨境安全流動，沒有進一步列出具體的試點合作國家或地區，影響探索數據跨境傳輸機制的效率。

　　三、中國自由貿易試驗區推進數據跨境流動的主要難點

　　(一)國內數據跨境流動的法律制度處于探索階段，導致自由貿易試驗區推動個人數據出境面臨不確定性

　　中國在數據治理規制領域起步較晚，促使美國和歐盟的數據治理模式成為國際數據流動規則主流。 近幾年，中國積極投入到與網絡安全相關的法律制度制定中，但仍有幾點不足：其一，當前中國處在數據安全機制建設摸索階段，數據跨境傳輸規則還不完善。 《個人信息保護法(草案)》雖已出臺，但缺少與之配套的實施細則，并且該法律能否順利與國際通行數據流動規則接軌、并作為和歐盟等國家和地區建立數據流動互信機制的合作基礎，尚處于不明確狀態。 其二，數據跨境流動規則不成體系，相關規定散見于各種法律、行政法規和部門規章中。 由于《個人信息保護法(草案)》正式實施時間還未確定，國內法律效力最高的仍是《網絡安全法》及與之配套的系列實施細則，但其內容多是原則性和基礎性表述，缺少系統性、可實踐操作的措施。 《網絡安全法》雖已出臺3年，但由于內容相對粗疏籠統，不夠具體化，增加了執法的難度(周永戰等，2020)。 其三，由實踐中的相關法律法規獲悉，中國對數據跨境流動的舉措多偏向限制性規定，即在“安全可控”前提下允許數據出境。 而《個人信息保護法(草案)》的最終定稿和圍繞該法律的配套法規出臺還需進一步觀察，短期內自由貿易試驗區內企業仍面臨著數據跨境傳輸規則的不確定性。

　　(二)數據分類分級體系尚不健全，導致自由貿易試驗區推行數據跨境流動缺乏基礎

　　明確的數據分類分級法律標尺能夠有效促進數據跨境流動的安全評估、風險防控、安全管理等相關工作開展。 在操作實踐中，對不同類型數據的安全評估標準、細則、流程等屬于不同的操作體系或一般數據是否需要評估等問題，均是在對數據類型和級別掌握和了解的前提下進行。 對于數據安全監管，應當明確予以重點關注和追蹤的數據類型和級別，有的放矢地使用監管資源，既能保證監管質量，也能減輕監管工作量。 在數據安全管理方面，對類別和重要程度不同的數據在保護能力認證方面需有差異，擁有重要數據的控制者應具有較高水平的保護能力，而且一般數據和重要數據的風險評估標準可能也會不同。 海量數據被利用前，需要對其進行脫敏、去標識或加密等技術處理，確保數據來源的安全，而這也是基于數據分類分級后的結果。

　　但中國仍處在數據分類分級標準的探索階段。 《網絡安全法》提出數據分類，重要數據需備份和加密。 《數據安全法(草案)》第19條對數據分類分級辦法有基礎規定。 但這兩部法律屬于原則性規定，對具體分類分級標準及懲罰細則缺少解釋說明。 《個人信息保護法(草案)》也只規范了個人信息和敏感個人信息概念。 在行業部門層面，有《工業數據分級分類指南(試行)》《科學數據管理辦法》和《金融數據安全數據安全分級指南》等，但前兩部試行辦法未對企業違反相關規定時的法律制裁予以說明，導致企業無法認清自己應承擔的法律責任，而后一部的規范對象只是金融部門，目前還是缺少重要數據的識別標準。 綜上，落實數據分類分級工作是實現國家、區域、行業或自由貿易試驗區層面數據跨境流動的前提。

　　(三)數據出境管制辦法缺乏靈活性，無法完全保障自由貿易試驗區數據出境安全和效率

　　在個人信息保護法正式實施前，中國對出境數據主要采取事前安全評估的管制辦法。 《網絡安全法》和《網絡安全審查》規定網絡運營者需進行數據安全評估，而《個人信息出境安全評估辦法》借鑒GDPR標準合同條款(SCCs)，對個人數據安全出境采用類似《合同法》要求。 歐盟GDPR針對數據接收方國家不具有充分保護水平時，企業可通過約束性公司規則(BCRs)、標準合同條款(SCCs)、GDPR第40條經批準的行為準則、第42條認證機制以及第49條特殊情形下的克減等充分保障機制，合法轉移出歐盟域內的個人數據。 和歐盟GDPR相比，中國現存的數據出境管理制度設計比較單一，制度體系不夠完整，而且歐盟也已放棄事前許可的管理模式。

　　數據出境管制辦法缺乏彈性必然不利于實際操作。 因為單一的數據出境管制辦法不適應數字貿易全球化的發展趨勢，且難以滿足自由貿易試驗區內海量數據跨境傳輸的需求。 尤其對一些小規模企業或企業偶爾出境的情況，需事前提交相對繁瑣的評估申請，且這對省級監管部門具備的行政資源要求更高(婁鶴和陳國彧，2019)。 這些現實情況影響自由貿易試驗區內跨國企業正常運營和業務拓展的節奏及進度。 盡管現在《個人信息保護法(草案)》增加了個人數據的跨境提供方式，除了事前安全評估，新增了保護認證和簽署合同等數據出境方式，但短期內自由貿易試驗區數據向外提供路徑仍以事前安全評估為主。

　　(四)主要經濟體執法數據調取有沖突，導致自由貿易試驗區數據跨境流動實踐出現困擾

　　當前跨國企業通常借助網絡實現跨境交易，特別是對云服務的使用，業務需求加劇了數據在各國流動的速度和頻率，數據主權也成為各國博弈焦點。 美歐為保留其對境外數據執法需求，將域外管轄權融入各自國內法律制度中，如美國出臺“CLOUD法案”，歐盟GDPR和《電子證據跨境調取提案》均涉及“長臂管轄”規則，即不再將數據存儲物理地址作為決定數據管轄權的依據。 而中國《數據安全法(草案)》第33條與《國際刑事司法協助法》第4條都是對數據域外管轄權和控制權的“封阻法令”。 中美歐在數據主權問題上的爭議，導致歐盟GDPR和美國出口管制調查不相容、中國《數據安全法(草案)》與美國CLOUD法案相沖突等復雜局面，提高了跨國企業的合規成本。 例如，當美國司法部要求在中國境內經營的美國微軟、IBM等外資企業向其提供執法數據，這些外資企業是履行CLOUD法案義務還是遵守《數據安全法(草案)》規定? 這會使自由貿易試驗區的跨國企業面臨不確定風險。 過度強調數據主權不利于企業發展(付偉和于長鉞，2017)。

　　(五)數據跨境傳輸安全評估和管理機制存在操作難題,影響實施效果

　　數據跨境傳輸安全評估機制的合理性和適用性既會影響企業跨國業務的效率，也會重塑中國在國際數字規則中的地位。 但中國在安全評估的相關理論和認知上還存在短板，如數據跨境傳輸的管理目標與戰略問題、關鍵環節的問責和數據分級分類管理標準問題等。 ①數據跨境安全評估機制在實際應用中也會遇到操作層面的難題。 例如，自由貿易試驗區數據出境采取事前評估方式，這與地區的脫敏技術、傳輸環境、接收方的數據保護能力、數據類別級別等問題息息相關。

　　在數據安全管理機制方面，重要數據或敏感個人數據面臨網絡攻擊的潛在風險更大，這對數據接收方、數據控制者的能力要求更高。 但中國在網絡威脅處理能力上相對薄弱，尤其在信息技術安全監控和網絡攻擊追溯等領域的能力不足。 例如，對進口網絡信息產品和技術的安全監控未涉及對軟件核心技術的檢測分析，且不具有規模化、協同化漏洞分析的評估能力，無法全面掌握產品存在的安全漏洞問題; 在云計算、大數據分析、區塊鏈等新科技領域實力不足，很難做好對新興信息技術產品的監控工作; 面對新的網絡威脅APT，還不具備成熟的監測技術，即使實現監測，但缺少回溯方法，同樣摸不清攻擊源頭(張博卿和孫舒揚，2019)​‍‌‍​‍‌‍‌‍​‍​‍‌‍​‍‌‍​‍​‍‌‍​‍‌​‍​‍​‍‌‍​‍​‍​‍‌‍‌‍‌‍‌‍​‍‌‍​‍​​‍​‍​‍​‍​‍​‍​‍‌‍​‍‌‍​‍‌‍‌‍‌‍​。 跨國企業多數商業活動會涉及數據跨境流動，這對自由貿易試驗區的新興技術能力要求更高。

　　四、中國自由貿易試驗區推動數據跨境流動的對策建議

　　各國的數據跨境流動治理理念迥異勢必影響彼此間的經貿關系。 考慮到數據跨境流動蘊含的風險，中國秉持審慎的數據治理方針，但具有國際競爭力的跨國企業對數據跨境流動有強烈的現實需求。 為緩和與主要經濟體的數據治理摩擦及平衡國內安全和發展的關系，中國應理性把握數據跨境流動的節奏和水平，在自由貿易試驗區層面探索中國特色的數據跨境流動機制。

　　(一)采取靈活的數據出境管制措施并形成一套完整的體系

　　第一，在《個人信息保護法(草案)》未正式實施的這段時期，自由貿易試驗區應重視針對數據出境的事前安全評估方式，并結合地區跨國企業情況完善評估操作細節，如探索具體的評估流程、評估方式和評估標準等。 第二，在確保國家安全的前提下，自由貿易試驗區可借鑒GDPR的充分保障措施，結合地區發展現實，探索合理、行之有效的多種數據出境路徑。 可以對SCCs進一步升級，賦予行業協會監督權利，發揮市場經濟功能，引導企業自律，并將市場認證機制視為數據出境的合規途徑，①為企業提供更多靈活的數據跨境流動合規方案。 第三，SCCs應嚴格按照《合同法》規定，網絡運營者與境外個人數據接收方只需遵循合同法規則，對于雙方其他的權責問題，可制定相應的規范性文件解決，在實踐摸索中改進數據出境規則。 ②

　　第四，有關第三方認證機構以及企業數據保護能力評估標準和細則可借鑒GDPR第42~43條，既做到認證機制實行過程的公平公開性、對企業評估規則的透明性，又要確保認證機構滿足其獨立性及具備專業的知識水平。 第五，重視數據跨境流動的研究工作并建立專門的研究部門，明確管理戰略，掌握地區開展數據安全評估機制的困難并逐一突破，整理散見于國家和地區層面法律制度中的數據出入境規制辦法，及時追蹤國家和其他地區的政策動態，探索數據確權及問責機制等。 ③在與國家層面政策制度不沖突的基礎上，努力形成一套全面規范的數據出境流動規制體系。

　　(二)重視并強化當地的信息技術研發和應用能力

　　信息技術能力決定數據出境安全評估、數據全周期安全管理和動態追蹤、交易風險評估等統計結果的科學性。 但中國維護網絡安全核心技術能力不足，將直接影響政策制度層面的實施效果，尤其是面對美國對華采取技術封鎖的現實基礎，需強化自身信息技術創新能力。 一是繼續保持信息技術研發。 增強在基礎理論、核心器件、算法以及軟件等弱勢領域研究開發的投入力度，特別是加快大數據管理、處理系統和工具方面的研發進度，降低對國外開源軟件的依賴程度。 二是重視新興技術在數據登記、安全評估、安全管理和事中事后監管等環節的應用，提升企業對數據安全的風險識別和管理能力。 例如，在數據登記中應用多方安全計算、區塊鏈等技術可降低數據流通風險，并且多方安全計算技術在保障數據隱私保護和促進數據便捷流動方面表現卓然; 針對數據安全風險評估問題，嘗試利用大數據技術對網絡安全風險發生的規律、動向以及未來趨勢進行研判。 三是培養數字技術人才。 中國在大數據、人工智能、區塊鏈等技術領域人力資本短缺，需繼續培養基礎學科和應用學科的勞動力，利用優惠政策吸引國內外優質人力資源，擴充中國在前沿領域的技術性人才規模。

　　(三)加快推進與數據跨境流動相關的法律制定和實施進度

　　國家層面應為各地自由貿易試驗區探索數據跨境流動機制營造良好的外部發展環境。 在數字經濟全球化及多數國家個人數據跨境流動規則趨向規范化的情形下，中國需加快《個人信息保護法(草案)》正式實施及細則措施出臺進度，并對《數據安全法(草案)》予以完善，為中國個人數據從自由貿易試驗區流出提供立法的安全保障。 雖然兩部立法草案對中國個人信息保護、數據安全維護意義重大，但也存在繼續完善的地方。 一方面，兩部立法草案部分內容過于原則化，缺乏可操作性，與之配套的法律實施細則尚未出臺。 如《個人信息保護法(草案)》第40條對收集和產生的個人信息超過規定數量情形有數據存儲本地化要求，但具體數量尚未公布; 有關認證機制和簽署合同出境方案的細則也是空白。 另一方面，雖然《個人信息保護法(草案)》內容上較多借鑒了歐盟GDPR，但其細節仍與GDPR有些差異，如處理敏感個人信息時對同意原則和方式有特別規定、“告知—同意”是數據跨境傳輸的基本條件、數據存儲本地要求、執法數據調取的審批制度等。 ①建議收集、統計社會各界人士對草案的評價和建議，整理成文本，組織專家召開研討會評估文本內容的可行性，盡快定稿并引用到實踐中。 結合《全面深化服務貿易創新發展試點總體方案》，先在北京、上海、浙江、海南等自由貿易區(港)探索數據跨境安全管理、數據交易和處理等機制。 在實踐操作中進一步改進不足，保留適應國情和對外的經驗做法，形成配套的實施細則。

　　(四)條件較好的自由貿易試驗區可先探索數據分類分級標準，其他自由貿易試驗區可做好前期準備工作

　　《數據安全法(草案)》明確數據分類分級的主體是國家，雖然也提出各地區可制定本地區的重要數據目錄，但這種“自下而上”的分類分級路徑難以支撐國家層面的監管工作，因為各地區的分類分級標準存在差異，標準不同會增大國家對數據安全監管和風險防控的工作難度。 ①為便于統一管理，應由國家或北京自由貿易試驗區先確定數據分類分級標準，其他各地自由貿易試驗區可對擁有數據的主體做好數據摸底、粗略統計等前期準備工作。

　　針對數據分類分級問題，首先，應考慮數據分類分級的參考標準是什么，建議分類標準依照其歸屬業務范疇劃分類別，且分類的顆粒度應保持適度，按照由大到小層層遞進的分類順序; 分級標準可基于數據的敏感程度、關鍵程度或司法管轄要求等3個不同維度進行考慮(陳興躍，2020)。 其次，依據數據類別、級別和特定的應用場景制定適宜的數據安全管理規則。 由經驗可將數據至少區分為四大類并對其采取相應的管制辦法。 對一般性質的非敏感商業數據，可探索企業自評估機制，并結合數據出境備案制等類似方案; 對金融和征信行業數據，對接國際數據流動標準和機制; 類似于科研性質的特殊數據屬于重點關注對象，對此類數據出境采取審慎的管理制度; 對過境數據，可借鑒1995年歐盟數據保護指令的經驗做法，采取適當寬松的管制辦法。 ②最后，注重應用數據技術做好數據安全防護工作，如對敏感、關鍵數據采取技術脫敏、去標識化、加密等防護措施，并對加工前后的數據再次細分，對一般數據采用審計即可(陳興躍，2020)。 在此期間，條件較好的自由貿易試驗區可仿照北京國際大數據交易所實施方案，籌建類似功能的大數據交易中心，依托數據信息登記部門對企業擁有的數據類型進行摸底和記錄; 其他地區的自由貿易試驗區可通過調查問卷或企業上報等傳統方式實現摸底與模糊統計。

　　(五)在雙邊、多邊或區域貿易合作框架下擴大中式數據治理模式的國際影響力

　　由美國和歐盟的歷史經驗可知，在尚未形成普適的國際數據流動規則背景下，利用雙邊、多邊和區域貿易合作框架推廣中式數據治理模式是最有效的途徑。 一方面，在國內條件較好的地區或自由貿易試驗區，繼續推進數據跨境安全管理試點，表明中國創建開放性數字營商環境的積極態度，愿意與志同道合的國家建立數據傳輸互信機制。 另一方面，盡快推動中日韓、中歐、中英之間的貿易談判，尋找合適的機會加入CPTPP，突破中國在歐洲和亞太地區的數據流通壁壘，構筑全球最大的數字經濟共同體。 由此既可以反制美國孤立中國的做法，又能助力中國跨國科技企業對外拓展投資和貿易。 同時，借助中國在“一帶一路”沿線和東盟區域的影響力，與沿線國家和東盟簽訂個人數據、重要數據的《數據跨境傳輸合作協議》，在個人隱私保

　　護、國家安全、網絡安全、ICT供應鏈管理、關鍵信息基礎設施、技術規范和標準等方面實現兼容，通過數據流動認證協定并采用共同適用標準，在統一的數據治理監管規則框架下推動數據合法有序流動，消除或減少中國與東盟和“一帶一路”沿線國家之間的貿易壁壘。 中國可以利用“信息基礎設施援外”幫助沿線國家和東盟國家搭建數字經濟基礎設施，將中國技術和標準適用于數字盟友國，便于彼此間未來海量數據的流通和數據安全監管。 最重要的是，中國可充分利用貿易談判或雙邊對話機會，與他國在數據主權問題上達成合作共識。

　　參考文獻：

　　[1] 陳興躍. 數據分級分類正式入法具有重大實踐指導意義[J]. 信息安全研究, 2020,(10).

　　[2]東方. 歐盟、美國跨境數據流動法律規制比較分析及應對挑戰的“中國智慧”[J]. 圖書館雜志, 2019,(12).

　　[3] 杜雁蕓. 大數據時代國家數據主權問題研究[J]. 國際觀察, 2016,(3).

　　[4] 杜澤昊. 個人數據跨境傳輸的法律規制[D]. 湘潭大學, 2019.

　　[5] 付偉, 于長鉞. 數據權屬國內外研究述評與發展動態分析[J]. 現代情報, 2017,(7).

　　[6] 洪延青. 美國快速通過CLOUD法案明確數據主權戰略[J]. 中國信息安全, 2018,(4).

　　[7] 黃道麗, 何治樂. 歐美數據跨境流動監管立法的“大數據現象”及中國策略[J]. 情報雜志, 2017,(4).

　　作者：周念利 姚亭亭