人类社会进入数字时代后，数据立法成为国家在国际社会中保护其网络主权、应对非传统风险、争夺数据治理话语权、扩大本国数据优势的主要路径。数字贸易的开展及数据的生产要素化客观上要求国家允许数据跨境自由流动，但数据流动引发的网络安全风险则不容小觑。早在2007年，网络恐怖主义分子便通过数据窃取、篡改的方式，对爱沙尼亚国会、政府部门、银行以至媒体的网站展开了攻击，其攻击范围和深度不亚于一场大规模的军事战争，被军事专家称作“国家层面的网络战争”。2018年9月，美国司法部起诉了一名朝鲜网络黑客，指控他攻击索尼影业、发动“WannaCry”勒索软件攻击、窃取孟加拉央行8000万美元，甚至入侵韩国萨德导弹防御系统。 2018年美国白宫首席顾问创立的“剑桥分析”公司利用脸书上获取的数据操控美国大选、英国脱欧公投及肯尼亚总统选举。可见，新型网络攻击及犯罪以窃取和篡改国家信息、公共基础设施的数据为特征，国家必须通过网络安全法治体系建设为稳健、可靠的跨境数据流动保驾护航。

一、跨境数据流动中的网络安全风险

跨境数据流动意指跨越国界的并且能对存储在电脑等机器中的可读数据进行处理、存储和检索的活动。数据跨境自由流动是数字经济制度型开放的应有之义，但数据流动也隐藏着巨大的网络安全风险。信息公共基础设施一旦遭遇大规模的网络攻击，便可能对政府及企业带来灾难性影响。

（一）跨境数据流动增加了强国对弱国数据监听、主权干预的风险。2013年美国国家安全局前工作人员爱德华·斯诺登披露，美国借助于“棱镜项目”对超过35个国家的领导人进行了电话监听。2018年白宫再度爆出丑闻，由其首席顾问史蒂夫·班农（Steve Bannon）和亚历山大·尼克斯（Alexander Nix）建立的“剑桥分析”公司在2016年美国大选中通过窃取5000万脸书用户资料，帮助特朗普赢得美国总统大选，并在2018年英国脱欧公投中推波助澜，进而操纵了肯尼亚2013年和2017年两次政治选举。 实际上，跨境数据监听正是美国数据治理的目标，其2015《网络安全法》第104节授权网络提供商对网络实施监控，网络安全主管部门可要求技术和制造公司向美国政府提供互联网相关信息。2018年《澄清海外合法使用数据法》进一步授权美国执法部门勒令其境内企业向其提交存储在境外服务器中的数据。

（二）跨境数据流动增加了网络基础设施遭遇网络恐怖主义攻击的风险。近年来，国防设施以及电力、供水或航空等基础设施近年来成为网络黑客组织攻击的目标。2022年8月莫斯科时报称，亲俄黑客组织Killnet对美国洛克希德马丁公司（美国航空航天制造商及国防巨头）DDoS系统进行了袭击。同月德国电子制造商赛米控（Semikron）亦遭到勒索软件攻击，部分公司网络被加密，2TB的文件数据被窃取。2021年全球网络攻击次数相对于2020年翻倍，国家工业信息安全发展中心发布的《2020年工业信息安全态势报告》显示，2020年度电力、智能制造、能源等网络基础设施遭遇境外恶意攻击多达200万余次。

（三）跨境数据流动增加了私营企业网络定价、管理、交易系统的脆弱性。2012年8月15日，沙特阿美石油公司的网络定价系统被黑客攻击，导致爱美公司国内石油销售延误17天之久，部分地区因石油供应不足发生危机。爱美公司花了五个月之久才使公司业务彻底恢复正常。2022年5月，思科公司遭到“阎罗王”勒索软件团伙的入侵，“阎罗王”团队恶意劫持了思科员工的个人谷歌账户（包含从浏览器同步的凭证），获得了对思科网络的访问权限并窃取数据，对思科公司的正常运营造成了影响。

二、跨境数据流动的网络安全保障措施

为降低跨境数据流动中的网络安全风险，各国普遍采取网络基础设施保障、数据本地存储、数据出境限制、信息基础设施国有化等措施等提升其网络安全。

（一）关键基础设施保障措施。各国高度关注关键基础设施遭遇网络攻击可能触发的网络风险。2017 年美国发布《增强联邦网络和关键基础设施的网络安全性》的行政命令，要求关键基础设施执行国家和技术机构制定的风险管理标准，对关键基础设施企业指定行政部门负责人管理其网络风险。2022年美国《关键基础设施法》进一步要求关键基础设施实体和联邦机构在发生重大网络安全事件和勒索软件勒索支付后的72小时内向国土安全部(DHS)网络安全和基础设施安全局(CISA)通报事件。欧盟《网络与信息系统安全指令》及《关于在欧盟全境实现高度统一网络安全措施的指令》要求基础服务运营者与数字服务商在网络安全事件发生24小时内向有关部门报告网络安全事件、修补软件漏洞以及准备风险管理措施以保护网络。如果不遵守规定，基础服务运营商将面临高达年营业额2%的罚款，而对于重要服务提供商，最高罚款为年营业额的1.4%。

（二）数据本地存储要求。跨境数据流动增加了数据被窃取、网络安全设施被攻击的风险，数据本地存储要求可保证本地获取数据的真实性及完整性，因此大多发展中国家均制定了数据存储服务器本地建立或数据本地存储的法律规定。2012年印尼《有关电子系统和交易运行》第82号条例要求其境内的公共服务提供商在本地须建立数据中心，以便数据的本地存储。 2013年《巴西互联网法》规定网络服务提供者、互联网应用服务提供者应当在国内设立或使用存储、操作、传播数据的机制，违反规定的互联网公司将被处以高达公司年利润10%的罚款。2014年印度“国家安全委员会”颁布一项政策，规定电子邮件服务提供者必须在印度国内建立服务器，在印度产生的数据均需在印度境内存储。2014年俄罗斯《关于信息、信息技术和信息保护法》规定信息拥有者、信息系统运营方均有义务将对俄罗斯公民个人信息进行收集、记录、整理、保存、核对、提取的数据库存放在俄罗斯境内。

数据本地存储要求在发达国家也不乏见，但一般只对部分敏感信息或特定机构持有的信息适用。例如《美国国际军火交易条例》制定了严格的军火出口数据信息管理规定，要求存储和处理技术数据的服务器必须建立在美国境内。2016年美国《联邦、州和本地机构税务信息安全指南》要求联邦机构只能在美国领土、大使馆或军事设施内的区域内接收、处理、存储、传输联邦税务信息。 2012年澳大利亚《电子健康记录个人控制法》禁止数据控制者将可识别个人身份的健康信息传输至澳大利亚境外，除非该传输行为符合该法的例外情形。 加拿大英属哥伦比亚省和新斯科省要求公共机构如学校、大学、医院、政府公共设施等持有的个人信息必须在加拿大境内存储。

（三）数据出境限制措施。数据出境限制措施除产生数据本地化效应外，能发挥更严厉的跨境数据流动限制效应，故该措施一般仅针对特定类型的数据。

首先，多数国家规定涉及国家安全的数据禁止离境。例如美国国务院国防贸易控制委员会审查国防物品、国防技术和国防相关的技术数据的进出境，要求掌握国防相关数据的云计算服务提供商在获得技术数据出口许可证后方可将数据输出境外。其次，各国普遍禁止金融、银行、征信等重要行业或领域的数据未经许可出境。如美国1978年《财务隐私权利法》对银行财务数据提供了保护，禁止银行持有的数据出境。2010年美国第13556号行政令整理非秘数据，汇编形成了受管控非秘数据列表（CUI）。列入表内的信息通信、金融、医疗卫生等重要行业、重要领域的重要数据未经许可不得出境。 此外，美国《出口管理条例》与《出口管制法案》将重要数据管理与尖端产品、关键技术出口管理相结合，采取分级出境和行政审查相结合的管理方式，严格限制科技信息数据出境。韩国则禁止数据控制者将地图和用于测量的照片以及空间信息运出境外。

（四）网络设施及海底电缆等主权化措施。数据存储服务器的国有化亦会间接推动数据的本地化，欧洲法国、德国等政府投资云基础设施，建立主权云服务中心，便是服务于数据本地获取和存储的目的。 法国政府已经投资两个云计算企业，并持有三分之一股份。德国总理默克尔建议欧洲建立自己的因特网基础设施均服务于数据本地存储的目的。2019年5月特朗普签发《确保信息通信技术与服务供应链安全》及2020年8月美国国务卿蓬佩奥发布的“清洁网络”文件虽具有强烈的针对中国的目的，但其本质也是一种网络设施主权化的措施。美国在运营商、应用、应用商店、云及电缆五个领域清除中国运营商、网络企业和相关应用，而尽可能使用本国供应商及供应设施。

随着网络风险的升级及各国网络及数据管理措施的推进，新型的网络安全措施在不断衍生。一国政府及其数据技术企业对其网络及数据安全的规制和管理水平，将决定该国信息基础设施及跨境数据流动安全的保障程度。

三、中国在跨境数据流动及网络安全规制中的立场及措施

中国跨境数据流动规制高度关注国家安全及网络安全，在国际社会中率先提出网络主权的主张，在顶层制度设计上贯彻主权独立原则，以国家利益和公共利益为标尺，反对一切形式的网络干预。中国数据安全的治理模式为国家为中心的政府管理模式，有别于美国自下而上的多群体利益相关者主义分散治理模式。 在具体制度及措施上，中国政府执行数据分级分类管理办法，主要依托跨境数据安全评估及审查制度确保数据存储、流动及使用的安全。

（一）中国网络与数据安全基本法建立了数据分级分类保护制度。首先，对国家秘密实施严格的跨境数据转移限制。根据《保守国家秘密法》《保守国家秘密法实施条例》及矿业、测绘、统计、军事等特定行业和领域涉及国家秘密保护法规及规章，未经相关部门同意，涉及到国家秘密的数据禁止跨境传输。其次，重要信息境内存储原则。对关系国家安全、国民经济命脉、重要民生、重大公共利益的数据实行境内存储及限制出境制度。例如《网络安全法》第37条规定，关键信息基础设施的运营者在中国境内运营中收集的个人信息和重要数据应在中国境内存储。此外，行业规范及部门规章还对各领域内的跨境数据流动及网络安全风险做了规定。《征信业管理条例》第24条要求，征信机构在中国境内采集信息的整理、保存和加工，应当在中国境内进行。《网络预约出租汽车经营服务管理暂行办法》（2019修订）约定网约车平台公司合法收集的个人信息和生成的业务数据须实行数据本地化，保存期限不少于2年；《保险公司开业验收指引》（2011）同样要求部门规范性文件业务数据、财务数据等重要数据应本地化存储及使用，不得境外传输。 国家卫生和计划生育委员发布的《人口健康信息管理办法（试行）》（2014）要求不得将人口健康信息在境外的服务器中存储，不得托管、租赁在境外的服务器。 由这些措施可见，中国在国防、金融、保险、交通、人口统计等领域，实施了较为广泛的数据本地存储措施，这些措施一方面保障了本土数据供应的完整性及网络安全性，另一方面也因措施较广产生了明显的贸易限制效应。

（二）个人信息及重要数据跨境传输执行安全审查。《网络安全法》规定除个人信息，重要数据的出境亦需经过安全评估，涵盖影响国家政治、经济和社会安全的数据。2022年中国出台《数据安全出境评估办法》，确定数据出境评估的范围包括重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供的个人信息；年度累计向境外提供10万人个人信息或者1万人敏感个人信息，以及国家网信部门规定的其他需要申报的情形。

国家安全评估的内容涉及数据出境的目的、范围、方式等的合法性、正当性、必要性；境外接收方数据安全保护政策法规和环境的影响；境外接收方的数据保护水平是否达到我国法律、行政法规的规定或强制性国家标准；出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用的风险；数据安全和个人信息权益是否能够得到充分有效保障；数据处理者与境外接收方拟订立的法律文件是否充分约定了数据安全保护责任义务；遵守中国法律、行政法规、部门规章情况，以及国家网信部门认为需要评估的其他事项。

（三）平衡数据流动的贸易利益及网络安全价值，减少不必要跨境数据流动限制。中国的限制跨境数据流动的措施以防范网络领域的主权干预及保障关键数据的安全性为核心目标，在不涉及国家主权及安全的领域，中国亦尝试减少不必要跨境数据流动的限制，避免对数字贸易的发展构成不必要的障碍。例如，政府在WTO电子商务谈判及RCEP等区域贸易协定中承诺在商业行为中保障数据流动自由，除非基于国家安全或公共政策的需要，不实施数据存储设施本地化要求。中国还提出了加入CPTPP、DEPA谈判的申请，向国际社会释放出增强数据跨境流动，在保障安全的范畴内减少数据本地化措施的意愿。