数据安全：数据跨境流动对数据主权的影响

“数据跨境”这个概念最早出现在1980年，由经济合作与发展组织在个人数据保护的国际纲领性文件《关于保护隐私和个人数据跨境流动指南》中提出，其含义为“个人数据的移动跨越了国家边界”。之后，随着各国数据跨境流动制度的形成以及各类国际公约的发表，数据跨境流动不再只局限于数据的处理与运输跨越了国界，那些虽然被存储在境内但能够被其他国家的机构或个人访问使用的数据也被归纳进了跨境流动数据的范围。

早在1978年，由78个国家代表团参加的政府间信息局国际会议就发表报告，认为数据跨境流动“将国家置于危险境地”。雷蒙·弗农曾在《处于困境中的主权》一书中提到跨国公司对国家主权的影响：“跨国公司在世界性生产结构中的地位对国家主权形成巨大威胁，跨国公司的挑战使国家主权的作用日渐式微。”这同样适用于数据跨境流动和数据主权。报告认为，数据的跨境流动为数据主体国家管理本国数据增加了难度，尤其当数据的流经国家不具备必要的数据保护手段时，流动的数据很有可能被第三方拦截、备份、修改、泄露，为数据主权的实现带来挑战。

事实上，在现实生活中，数据跨境流动的确给数据主权的维护带来了诸多挑战。数据流动是一个非常复杂的过程，涉及多个主体、多个场景，至少涉及数据的所有者、接收者和使用者，数据的起源地、运送地及目的地，信息基础设施的所在地，信息服务提供商的国籍及经营的所在地等。当发生跨境流动行为时，数据涉及的各方都可能主张本国完全的数据权利，很容易形成主权的交互重叠甚至冲突。另外，当前国际社会还没有形成数据跨境流动的相关法律与国际规则，数据主权在国际法中尚属空白，也导致因数据跨境流动产生的争议发生时缺乏相应的法理依据加以解决。

在这种背景下，国际社会对数据跨境流动也表现出了不同的态度，一些商业组织对推动数据跨境流动非常积极。例如，全球移动通信系统协会（GSMA）发布的《数字经济2017》指出，建立健全的隐私保护规则对数据跨境流动具有重要意义。20国集团工商界活动（B20）发布了《20国集团数字转型的关键议题》报告，强调应当以积极的心态看待数据跨境流动。各个国家则主要以加强监管的心态来看待数据跨境流动，而且各具特色，主要表现为美国思路、欧盟思路和俄罗斯思路。

之前，美国一直推行数据跨境自由流动，奥巴马执政时期还推动并主导建立了“跨太平洋伙伴关系协定”（TPP）。其核心原则是支持数据跨境自由流动，反对他国对数据跨境自由流动设限，反对他国的数据本地存储要求。但是，特朗普上台便宣布退出TPP。

欧盟以充分性保护水平作为与域外国家数据跨境流动的基本要求。如果域外国家企业要实现与欧盟的数据跨境自由流动，则必须事先通过欧盟委员会或欧盟成员国的数据保护水平认证。欧盟可谓一直在高水平的个人数据保护规则和推动数据跨境流动之间寻求道德及利益上的平衡。

俄罗斯主要倾向于推动数据本地化存储，限制数据跨境流动。例如，规定“自网民接收、传递、发送和（或）处理语音信息、书面文字、图像、声音或其他电子信息6个月内，互联网信息传播组织者必须在俄罗斯境内对上述信息及网民个人信息进行保存”，还要求信息拥有者、信息系统运营方有义务将对俄罗斯联邦公民个人信息进行收集、记录、整理、保存、核对、提取的数据库存放在俄罗斯境内。

虽然数据跨境流动存在风险，但是必不可少，各国也在采取措施平衡风险。在数据跨境流动前对其进行安全评估是降低风险的举措之一。数据跨境流动安全评估方案如图1所示。