伴随着在线贸易与数字经济的蓬勃发展，数据跨境流动治理愈发成为全球治理的重点。尽管各国政府对数据跨境流动治理存在规制分歧，且此种分歧从目前来看将在相当长一段时间内难以弥合，但国际社会仍在以各种形式持续探索数据跨境流动合作规则，以谋求逐步达成一种数据流动的规制共识和妥协。

我国有关数据跨境流动的规则已经建立，部分规定与《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP）、《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans Pacific Partnership，CPTPP）、《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，DEPA）等多边、区域协定要求存在差异，其中有属于国际贸易安全例外规则的考虑，也有些是数据的技术特点使然。对既定规则进行适当“解构”与重塑，关系相关贸易协定谈判的推进，也是将我国规则融入国际制度建设体系，提升我国在数据跨境流动方面话语权的现实需要。

《网络安全法》《数据安全法》《个人信息保护法》及相关配套制度构建了当前我国数据出境的基本规则。《网络安全法》第三十七条对关键信息基础设施运营者在我国境内运营产生的个人信息和重要数据做出规定，从法律层面确立本地化存储和数据出境安全评估制度。《数据安全法》第三十一条针对重要数据出境管理做出规定，一方面衔接《网络安全法》，明确关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理适用《网络安全法》规定，另一方面弥补空白，明确其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的管理办法由国家网信部门会同国务院有关部门制定。《个人信息保护法》第三章对个人信息跨境提供的规则进行规定，明确个人信息可以通过安全评估、保护认证以及标准合同方式等出境。

在《网络安全法》《数据安全法》《个人信息保护法》构设的数据跨境流动管理框架下，重要数据和个人信息成为数据跨境流动的监管对象，数据出境安全评估、个人信息保护认证、个人信息出境标准合同为重要数据和个人信息出境提供路径。《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》和《个人信息出境标准合同办法》作为配套制度措施，分别对相关路径的适用规则做出进一步明确。基于数据重要程度、数据处理者性质以及数据规模体量等因素，3 种数据出境路径适用于不同的数据处理情形，在适用的优先级别上也非并列关系，作为强制性义务，数据处理者应首先判断自身是否适用数据出境安全评估路径。只有未触发数据出境安全评估适用情形的，才可以选择通过个人信息出境标准合同或者个人信息保护认证进行出境。上述规则在事实上涵盖了所有重要数据以及个人信息出境场景。

除上述规则外，我国加入的多边和区域协定中也包含大量有关数据跨境流动的规范性要求，这构成了数据跨境流动的协定安排，同样对我国具有约束力。以 2022 年 1 月对我国生效的 RCEP 为例，第十二章电子商务章节的第八条对线上个人信息保护做出要求，即“每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架；每一缔约方应当公布其向电子商务用户提供个人信息保护的相关信息，包括：个人如何寻求救济以及企业如何遵守任何法律要求；缔约方应当在可能的范围内合作，以保护从一缔约方转移来的个人信息”。在这一规定下，缔约方对区域内消费者的个人信息保护应予以从跨境传输处理到救济的一系列考虑。第四节从促进电子商务角度对计算设施的位置以及通过电子方式跨境传输信息做出原则性要求，即“除实现合法的公共政策目标所必要的措施或保护其基本安全利益所必要的任何措施外，缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内，作为在该缔约方领土内进行商业行为的条件；一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息”。以上应解释为禁止不必要的计算设备和数据本地化或托管策略，但考虑到各国规制之间的差异甚至分歧，特别设置了例外条款来包容各缔约方内部监管体系，谋求共识以促进数据跨境自由流动。

我国于 2021 年正式申请加入的 CPTPP 和DEPA 针对计算设施位置也做出明确规定，除为实现合法公共政策等目的外，任何缔约方不得将要求涵盖的人在该缔约方领土内使用或部署计算设施作为在其领土内开展业务的条件。这些协定规则与 RCEP 一样，体现了兼顾数据跨境流动自由与数据安全保护，强调市场开放与优化监管并举的理念。比较而言，我国在其中的数据跨境流动、金融领域开放、营商环境要求等方面存在一定差距。

显然，基于我国数据安全与国家安全保障考虑构建起的数据出境规则与考虑到数据双向及多向流动的协定安排存在不同，针对数据流出进行规制的单向考虑导致前者的监管力度整体高于后者，且可能在国际性的持续经济活动中引发投资、贸易活动障碍。一国之外的投资者在多个地区进行投资选择时，如果同一活动在不同地区会产生不同法律后果，其必然会考虑和比较数据存储本地化、数据出境监管要求的合规投入和风险，并据此做出商事活动决策。

国务院 2023 年印发的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》（以下简称《意见》）基于“提高投资运营便利化水平”这一考虑，于第十四条明确，要“探索便利化的数据跨境流动安全管理机制。落实《网络安全法》《数据安全法》《个人信息保护法》等要求，为符合条件的外商投资企业建立绿色通道，高效开展重要数据和个人信息出境安全评估，促进数据安全有序自由流动。支持北京、天津、上海及粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中，试点探索形成可自由流动的一般数据清单，建设服务平台，提供数据跨境流动合规服务”，反映了对我国既有法律规则进行调整的实际需求，也给出了解构的整体思路，但何为“绿色通道”以及如何建立“一般数据清单”，尚有待进一步阐释和澄清。2023 年 9 月，国家网信办发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称《促进规定》），体现了通过“除外规定”的方式对数据出境路径进行排除适用，即不需要申报数据出境安全评估、订立个人信息出境标准合同或通过个人信息保护认证便可进行数据出境的初步探索成果。

如前文所述，当这些协定以区域或多边形式，通过缔约国之间谈判进行固定和国内法转化时，意味着需要对我国数据出境规则中的刚性部分进行适当的保留和缩限，对弹性部分进行可用性阐述和扩张。

2.1　刚性条款——以法律原则为坚持

尽管多边或区域协定在一定程度上对《网络安全法》《数据安全法》《个人信息保护法》等构建的数据跨境规则形成挑战，但无论是《意见》，还是更早的《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》），都并未突破法律的基本原则框架。即使是探索便利化的数据跨境流动，对于重要数据及个人信息的出境，仍然需要通过数据出境安全评估、个人信息标准合同或者个人信息保护认证，以实现对基本法律原则和硬性条件的符合，这构成了法律的刚性条款，也是国际上谈及数据跨境流动时的基本语境前提。

从这一理解出发，未来无论是北京、上海、海南的地方立法，还是粤港澳大湾区关于数据跨境流动“数据保护与数据跨境服务平台”模式的先行先试 ，都是在既有的 3 条路径下进行规划、设计和调整。无论是实践中探讨的如何界定“境外”，还是通过运营商“专供”，都不能规避相应的出境规则适用。例如，不能通过地方立法、协议商定或类似方式，将以单纯采购基础电信运营商的专线视为符合数据出境实质要件，或将服务协议解读为由运营商承担评估责任，规避数据处理者自身应履行的出境评估申报或其他义务。同样，通过自贸区先行先试等方式可以获取压力测试的局部经验，但缺乏直接转化为普遍适用的国内法的法律依据。

同时，对《网络安全法》《数据安全法》《个人信息保护法》刚性原则从配套制度和标准层面进行“试探性”突破，则会成为协定谈判中的“脆弱性”敏感问题。例如，2021 年 11月发布的《网络数据安全管理条例（征求意见稿）》第三十九条规定，“国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示”，尽管该条款引发了“基于监管核验目的，以明文、可读方式进行展示是否必要”的争议，但全国信息安全标准化技术委员会于 2023 年 8 月发布的《信息安全技术 重要数据处理安全要求（征求意见稿）》仍然体现了相关内容。显然，该项规定于协定安排的影响并未得到充分认识和讨论，明文、可读不仅意味着数据内容的强制解密，还会产生源码展示和其他解读，这与 RCEP、DEPA 以及CPTPP等中国已加入或可能最终加入的多边、区域协定的规定存在较大差异。

以 DEPA 为例，第 3.4 条对使用加密术的信息和通信技术产品的解密规则做出明确，即“本节不得解释为阻止一缔约方的执法机关要求服务提供者使用由其控制的加密术，根据该缔约方的法律程序提供未加密的通信”。根据该项规定，执法解密必须限定在：（1）由服务提供者控制而非使用者自行控制的密码技术；（2）需要符合严格的程序性法律要求。在该限定下，《网络数据安全管理条例（征求意见稿）》第三十九条规定的核验如何同时以符合协定和中国法规定的方式进行，将成为其需要面对的考验。

2.2　弹性条款——以可信为基石

虽然《网络安全法》《数据安全法》《个人信息保护法》确立的数据跨境流动规则的原则已经固定，但迎接区域及多边协定，促进数字经济繁荣的愿景也需要非原则性条款与协定条款的互构和链接。值得“庆幸”的是，大量弹性条款的存在和法律原意的可解读性，在坚守法律原则的同时，也为基于可信基础的协定安排提供了内部性的可能空间。

目前，这方面最重要的成果体现为 2023 年6 月国家互联网信息办公室与中国香港特区政府创新科技及工业局签署的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》（以下简称《备忘录》）。可以认为其是粤港澳大湾区基础设施“硬联通”和规则机制“软衔接”整体设计下“软衔接”的重要组成部分，通过建立“贸易单一窗口”“跨境电商综试”，乃至更细粒度的与港澳规则对接事项清单等方式探寻具体落地经验。从《备忘录》及中国与新加坡签署的新版《数字经济合作协议》等的推进情况看，是否和如何进行弹性条款解构，应包括以下几个方面的考虑：

一是各国之间是否具备可信基础。已经开展的国家间协定谈判，显然具有已经或寻求建立互信的意愿基础。无论是中新之间基于经贸传统，还是粤港澳之间基于天然的地域共同体发展需求，如果没有长期累积的基本信任，都很难达成合作。这实际也可以解释在缺乏信任的前提下，欧盟和一些国家进行“充分性认定”的困难。而“可信”在网络空间的体现，即是各国之间不存在网络威胁、攻击的基本安全态势，并在个案的安全维护上有开展合作的基础。这一信任机制如果建立，将符合个人信息、重要数据跨境流动的“脱敏”和“安全”预期。

二是各国法律之间是否可以系统性互构。从法律制度设计及其对社会权利义务调整、安全利益维护等方面来看，无论是大陆法系的法典化表述，还是英美法系判例机制的可重述性，对协定需求的解读都具有相当空间。从个人信息和数据保护上看，RCEP 的部分成员国在过往受到亚太经济合作组织《跨境隐私规则体系》（Cross Border Privacy Rules System，CBPRs）的影响（这在其成员国的国内法中亦有所体现，如泰国 2019 年《个人数据保护法》规定的数据跨境传输条件）。2022 年 4 月，美国发布的《全球跨境隐私规则声明》又进一步扩大了 CBPR 体系的全球适用性，以着力推进其所设想的数据全球范围内的流动。相关国家对数据跨境流动监管呈现相对宽松的特点，与我国数据跨境规则匹配的过程中存在一定的“势差”，即数据易从监管相对宽松的区域流向相对严格的区域，但难以从监管相对严格的区域流向相对宽松的区域，进而引发数据跨境流动障碍。这就要求我国在坚持数据安全基本法律原则的同时，挖掘条款的可解释潜力，弥合与协定条款的差异。

本文认为，在可信前提和互构思路下，结合《数据二十条》《意见》和《促进规定》，数据跨境流动规则的可解释性包括以下内容：

一是将数据处理主体准确适用出境路径作为“绿色通道”建立的基础。数据出境相关立法基于属地与属人原则对我国境内数据的出境活动进行了统一适用，但基于优化营商环境等考虑，可在坚守基本规则的前提下，对出境路径的适用情形做出进一步细化，以供企业进行更灵活选择。以外商投资主体尤其是跨国企业为例，在其基于人力资源管理目的向境外关联方提供员工个人信息时，针对“自上年 1 月 1 日起累计向境外提供 1 万人敏感个人信息” ，允许企业区分员工国别进行人数计算，从而为企业提供更为灵活的数据出境安全评估、个人信息保护认证或是标准合同的路径选择。同时，准确把握“个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供” 这一监管要求的本质，对于拆分合规性的判定应兼具合法性与合理性。例如，境外接收方发生上市架构拆分导致境内数据处理者股权架构调整，使得原本应当通过安全评估出境的个人信息通过标准合同或认证进行出境的，不应视为对数据出境安全评估义务的规避。

数据处理主体准确选择出境路径，安全评估、个人信息保护认证或标准合同相关监管机构准确理解和适用法律规则，是推动建立高效便利的数据跨境流动安全管理机制的基础。对于数据出境安全评估工作面临的关注和疑问，根本上而言需要把握国家间信任程度和国家间法律映射关系，在理解规则和定性主体之上将监管机构和数据处理主体从繁冗的申报文书中释放出来，这样才能形成一视同仁而非厚此薄彼的绿色通道，规则的说服力才能得到彰显，从更高层面上也是基于监管推动的微观主体互动以增进国家间信任关系。

二是基于数据分类分级建立可自由流动的一般数据清单。如前文所述，数据出境规则体系下，重要数据与个人信息是主要监管对象。尽管重要数据与个人信息的出境合规引发广泛关注，但非重要数据、非个人信息等占大多数体量的一般数据可自由、常态化流动的事实不应忽略。《数据二十条》对数据流通价值的肯定以及《意见》提出的试点先行探索，“还原”了立法全貌，为可自由流动的一般数据清单的实现提供了依据。

事实上，包括欧盟在内已有多区域尝试和推动基于充分性认定的“白名单”定性模式。为此，我国针对数据出境的监管，宜从个人信息和重要数据出境的安全评估、标准合同备案或认证的前置条件预设，调整为一般数据可自动、自由出境的初始默认。即企业只需要对照一般数据清单，并将重要数据与个人信息的识别规则等作为补充，通过正反两方面对比排查，即可确定其数据是否可自由、有序出境。当然，一般数据清单的确认并不意味着可以忽略数据出境规则，因为数据体量、时效和分析能力的提升都可能对清单的内容产生影响，因此可自由流动的一般数据清单应保持可信基础上的动态更新。

可自由流动的一般数据清单可考虑包括以下数据类型：

（1）通过电子政务网站公开访问的即时公共数据（如已经试用中的通关数据等）。这是基于互联网络整体可用性的基本要求和传统，基于各国对政府网络的可访问性和信任关系，可考虑以允许访问为一般原则，特定 IP 段为例外限制。

（2）基于统计口径和具有时效性迟延的行业、产业数据。对于区域、多边协定缔约国的企业而言，跨国贸易需要对不同国家、地区的产业、行业进行理解，获取以上数据对于实现相关商业目的而言是不可或缺的。

（3）跨国企业基于人力资源管理、业务经营等活动形成的非个人数据。允许其在“集团”层面对该类数据进行常态化传输。

（4）其他具有区域特点的类型化数据。例如，粤港澳大湾区涉及金融、医疗目的的特定跨境个人数据，但其他试点可以与此不同。

总而言之，可自由流动的一般数据清单应考虑如何降低数据摸排难度，减少数据处理者有关数据出境的成本投入，进而促进市场开放与监管优化。

基于以上考虑，《促进规定》也应体现相应调整，以打消企业、行业对数据出境规则不确定性的重大疑虑：

（1）应当基于多边或区域的可信基础进行规范和促进数据跨境流动的制度设计。无论是欧盟的“充分性认定”、亚太经合组织的 CBPR，还是欧盟的《个人数据自动化处理中的个人保护公约》，都不是无条件和无差别地开放，数据出境规则的任何调整都应置于特定的国家或地区主体关系以及国际贸易秩序中进行考虑。在此前提下，我国在 RCEP、DEPA 和 CPTPP 等不同贸易协定下的数据本地化制度和跨境条件可以不同。

（2）应充分结合并综合运用一般数据清单的宽泛“白名单”和细粒度的“负面清单”，将白名单作为数据出境时的初始默认。《促进规定》通过除外规定体现了这一趋势，但部分条款仍较为原则并存在争议。例如，第四条规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，必须向境外提供内部员工个人信息的，不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”，看似减轻了企业合规成本，但其隐含的集体劳动合同、提供内部员工个人信息必要性等条件实际上可能引发理解方面的困惑，加之数据出境场景的复杂程度，能否适用该条还需要结合个案进行分析；整体上也尚需补足负面清单细粒度不足的短板，其所规定的自由贸易试验区可自行制定本自贸区负面清单，同样也需要符合多边、区域性国家或地区的不同需求。

从《网络安全法》《数据安全法》到《个人信息保护法》的演进体现出立法者对数据法律性质、安全保障和价值实现的认识深化，但数据跨境并非一个前所未见的新生事物，对法律条款的解读和适配是法律工具的传统。在保持数据跨境规则刚性的同时，法律实践和对外交流的需要又要求展现其弹性的一面。

同时，对法律适用的弹性展开是否正确和恰当，未来亦需要司法互认和跨境救济的实例验证，相关立法、释法、执法及司法活动，也将对国家间信任关系和贸易繁荣产生形而上的影响和作用，凡此种种都将成为中国新型全球化方案的一部分。