跨境数据流动

跨境数据流动一开始是从个人数据保护立法中开始提及，各国在个人数据保护法中对个人数据向第三国转移进行管理。云计算出现以后，大规模的数据、商业数据和个人数据通过云服务来存储和处理，并且数据的跨境更加频繁，各国开始重新审视跨境数据流动制度，并重点关注和公共部门数据的跨境管理。目前国际上对跨境数据流动并没有一个明确的定义和界定。联合国跨国公司中心对跨境数据流动(Transborder Data Flow)的界定是：跨越国界对存储在计算机中的机器可读的数据进行处理、存储和检索。OECD对跨境数据流动的定义是个人数据跨越国界流动。澳大利亚在联邦个人隐私原则中对“数据的国际流动”进行了规定，要求机构向海外组织或信息主体以外的某人传送信息应该受到一定的制约。从国际组织以及其他国家对跨境数据流动的管理制度来看，跨境数据流动有两类理解：一种是数据跨越国界传输和处理；另一种是数据即使没有跨越国界，但被第三国的主体能够访问。

跨境数据流动主要分类

跨境数据流动主要包括两类：数据跨越国界的传输、处理与存储；尽管数据尚未跨越国界，但能够被第三国主体进行访问。也就是说，它是国与国之间信息交流深度与便捷度的指标。可以看到，跨境数据流动的三个关键条件是：技术的先进性、网络的普及、数据的开放。其中，数据的开放*关键。一方面数据的便利获取能加快货物贸易、服务贸易和资本的流动，另一方面数据的大规模采集也能刺激互联网、云计算、大数据、人工智能等新一代信息技术的快速发展，以及信息基础设施的大规模普及。

国外跨境数据流动管理的主要模式

国际上关于跨境数据流动的管理并未形成统一框架，综合来看，国外对不同类型的数据采取不同的管理模式。主要采取分级分类管理的模式，根据禁止程度分为三大类：

一是重要的数据禁止跨境流动。一些国家开始认识到重要数据本地化存储的重要性。然而，各个国家对于重要数据的范围规定不同。例如在美国，并没有法律规定要求数据禁止跨境流动，但是在美国的外资安全审查机制中，对于国外网络运营商通常会要求其与电信小组签署安全协定，要求其国内通信基础设施应位于美国境内，将通信数据、交易数据、用户信息等仅存储在美国境内。印度的电信许可协议中要求各类电信企业(包括互联网服务提供商)，不允许将用户账户信息、用户个人信息(除了外国用户的漫游信息)转移至境外，否则可能面临吊销许可证的后果。意大利、匈牙利等国在当地的法律法规中，禁止将数据存储于国外的Iaas服务提供商。印尼在立法中要求提供公共服务的电子系统运营商必须在印尼国内建立数据中心，交易数据必须存储在境内。澳大利亚《信息外包、离岸存储和处理ICT安排*策与风险管理指南》规定，为部门开发的云服务，属于安全分类的数据不能储存在任何离岸公共云数据库中,应存储在拥有较高级别安全协议的私有云或社区云的数据库中。韩国《信息通信网络的促进利用与信息保护法》规定可要求信息通信服务的提供商或用户采取必要手段防止任何有关工业、经济、科学、技术等的重要信息通过信息通信网络向国外流动。

二是和公共部门的一般数据和相关行业技术数据有条件的限制跨境流动。一些国家针对和公共部门的一般数据跨境实施了限制条件，例如要进行安全风险评估。澳大利亚《信息外包、离岸存储和处理ICT安排*策与风险管理指南》将信息分级，其中对于非保密的信息，要求机构要进安全风险评估之后才能实施外包。加拿大财*委员会要求每一个机构对数据处理合同进行评估以识别任何与美国爱国者法案相关的潜在风险，评估风险层级，并且采取修正措施来解决安全风险问题。

美国对*用和民用相关行业的技术数据的跨境实施实施许可管理。依据其《出口管理条例》(EAR)和《国际*火交易条例》(ITAR)分别对非*用和*用的相关技术数据进行出口许可管理。提供数据处理服务的相关主体或者掌握数据所有权的相关主体在数据出口时，必须获得法律规定的出口许可证。其中，美国法律对数据出口的管理范围非常宽泛，即使是向美国境内的外国公民传递数据，也被视为是出口。

三是普通的个人数据允许跨境流动，但要满足安全管理要求。普通的个人数据在国际上普遍倡导自由跨境流动，但许多国家为了确保个人数据安全，通过问责制、合同干预等不同形式来进行管理。

问责制的管理模式，即对数据控制者(收集数据并决定数据处理目的和方式的主体)的数据安全管理责任作出规定，要求其承担在数据跨境的整个过程中的安全管理责任，包括对数据主体的通知、对外包商的资质审查和监督。例如，加拿大《个人信息保护和电子文件法》规定，传输个人信息时，拥有或保管个人信息的机构应当对个人信息负责，包括已经转移到第三方机构的情形。

数据处理合同干预的管理模式，即由对跨境数据处理合同条款中应当包含的安全管理内容进行规定。例如，在欧盟，由数据保护主管部门制定标准格式合同条款，在条款中依据数据保护法的原则纳入数据保护的要求，企业之间签订的跨境数据流动处理合同如果包含了格式合同的条款，则不需经数据保护主管部门的同意即可实现跨境数据流动。澳大利亚的《隐私保护原则》中对数据出口者和海外数据接收者之间签订合同中应当包含的内容进行了原则性规定。