關于數據跨境流動，各國基于數據主權或數字經濟發展的需求有著不同的法律和規定。對于“跨境”，它不僅是一種物理意義上的數據傳輸，還涉及不同法律系統之間的協調和適應。數據跨境流動與數據出境是緊密相關的。數據跨境流動指的是數據跨越國界的移動，這包括數據的上傳、下載、訪問和處理等各種形式。同時，數據跨境流動是一個“三層”的概念，它不僅包含數據的流 出，也包括數據的流入和數據的流過，因此數據跨境流動包含數據的出境、數據的過境以及數據的入境。而數據出境則是數據從一個國家移動到另一個國家的現象，它是數據跨境流動的一部分。目前比較受關注的是數據的出境問題。

1.“跨境”的邊界厘清

數據跨境流動，首先需要理解“跨境”的邊界在哪里，這對于理解全球范圍內數據跨境流動的現狀與未來的發展至關重要。有學者認為，數據“跨境” 的內涵與外延界定主要分為兩類：一類是數據能夠跨越物理國界進行存儲、傳輸與處理；另一類是數據雖未跨越國界，但可以被第三國的主體使用或訪問。 在第二類情形中，數據雖未跨越國界，但實際上基于 DNS 域名系統與 BGP（邊界網關協議），受訪問的數據已經傳輸出去，實現了“跨境”。而對于進行數據跨境流動時，“跨境”的范圍是否僅指國界，還需要進一步厘清。

OECD 在《隱私保護和個人數據跨境流動的準則》中明確指出，個人數據的跨境流動是指“個人數據跨越國界的流動”，這里的國界包括國家和政治疆界。《108號公約》基于約束締約國個人數據保護和促進數據跨境流動的需要，規范的是締約國之間的關系，因此，個人數據跨境流動中“跨境”的邊界也限定在國界，與 OECD 大體一致。此后，歐盟的《95 指令》對“跨境”的定義進行了擴展，它在第 4 章中規定：“成員國應當規定，只有在第三國確保提供充分保護的情況下，方可將正在處理或準備處理的個人數據傳輸至第三國。”而此規定并不影響遵守本指令其他規定所適用的國內法。由此可知，《95 指令》規范的是成員國與第三國之間的數據跨境流動。鑒于 1993 年 11 月《馬斯特里赫特條約》正式生效，歐洲聯盟正式成立，歐洲三大共同體納入歐洲聯盟，實質上 《95 指令》規定的是歐盟與歐盟外第三國之間的數據跨境流動，因此，這里的 “跨境”跨的是歐盟的邊境。 

此后，GDPR 沿用了《95 指令》的提法，將數據跨境定義為跨越歐盟疆界 的數據流動。值得一提的是，歐盟的數據跨境流動呈現出兩個特點，分別為內 部成員國之間的數據流動，以及跨歐盟疆界的數據流動。由于歐盟是經濟一體 化組織，不屬于國家范疇而是被界定為經濟體，加之歐盟對數據跨境概念的擴 展，因此“跨境”不再單單指跨越國家、政治疆界，而是可以理解為跨越國家、 政治、經濟意義上的疆界。2021 年 1 月，東盟發布《東盟數據跨境流動示范合同條款》，將數據跨境流動理解為跨越東盟疆界的數據流動，進一步確立了數據 跨境流動也包含跨越經濟意義疆界的數據流動的內涵。 

除歐盟、東盟外，日本、韓國、新加坡等國家所明確的數據跨境流動是指 跨越國界的數據流動。例如，新加坡《2012 年個人數據保護法》規定，對于跨 境傳輸的數據，個人數據保護委員會應根據該法律建立個人信息保護標準，除非被傳輸的數據能夠獲得與新加坡境內同等水平的保護，否則不得進行數據跨境流動。我國《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》及《個人信息出境標準合同辦法》所提出的數據跨境流動有其特殊 之處。我國堅持“一國兩制”方針，如果數據在中國內地與香港、澳門之間進行傳輸，也屬于數據跨境流動。2023 年 6 月 29 日，國家互聯網信息辦公室與 香港特別行政區政府創新科技及工業局簽署《關于促進粵港澳大灣區數據跨境 流動的合作備忘錄》，提到要在國家數據跨境安全管理制度框架下，建立粵港澳 大灣區數據跨境流動安全規則，從而促進粵港澳大灣區數據跨境安全有序流動。這也說明，目前我國法律定義的數據跨境流動是指跨越中國內地的數據流動。

2.數據跨境流動與數據出境的區別

前文提到，數據跨境流動可以理解為跨越國家、政治、經濟疆界的數據流動。“跨越”指的是從一方到另一方，包含了三種方向的行為。因此，數據跨境流動是一種三向行為，不僅包括數據從國家、政治、經濟疆界的流出，也包括數據流入特定的國家、政治、經濟疆界，同時還包括數據流經特定的國家、政 治、經濟疆界。由此可見，數據跨境流動包含數據出境行為，數據出境是數據跨境流動的一個子集。不過，目前存在數據跨境流動與數據出境行為等同使用的情況，有時會用數據跨境流動來 特指數據出境。數據跨境流動的三個維度如圖 1-1 所示。

圖片

作為大數據時代的“石油”，數據的重要性不言而喻，因此大部分國家對數據的自由流入持歡迎態度。 比如，美國在各大國際協議中強調 的“有限例外”以及長臂管轄，目的都是讓更多的數據流入美國。再比 如，我國對數據入境的監管僅限制在數據內容的合規審查，即數據內容不能違反《中華人民共和國電信 條例》第五十六條規定的基本要求，如不能違反憲法基本原則、危害國家安全、 破壞民族團結、破壞國家宗教政策、違反公序良俗等。

對于數據過境的定義，我國在《促進和規范數據跨境流動規定》第四條中已有初步涉及，即“數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據”。這符合數據過境的一般行為，當然數據過境行為遠不止于此。隨著全球數據貿易的發展，以及跨境數據標注、跨境數據計算、跨境數據分析、跨境數據交易經紀等新興產業的出現，數據過境的表現形式和定義未來將會進一步豐富。由于數據過境不涉及我國的個人信息和重要數據，因此我國當前沒有將數據過境行為納入監管。 

然而，對于數據出境，大部分國家都設立了相應的規則。數據處理者如果將數據傳輸至境外，必須滿足所在國家的數據出境合規體系。例如，歐盟的GDPR 通過提供一系列機制，如充分性認定、標準合同條款、約束性企業規則 和安全認證等，確保個人數據在傳輸至歐盟之外的國家時，仍能得到相應水平 的保護。 

我國也不例外。圍繞數據出境安全，我國搭建起《網絡安全法》《數據安全法》《個人信息保護法》等數據出境頂層法律體系，并制定了數據出境安全 評估、個人信息出境標準合同（簡稱“標準合同”）以及個人信息保護認證等路 徑。至于具體什么行為屬于數據出境，我國國家互聯網信息辦公室發布的《數 據出境安全評估申報指南（第二版）》對數據出境的定義進行了細化。根據《數 據出境安全評估申報指南（第二版）》，我國的數據出境主要包含三種情形：第一種是數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；第二種是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；第三種是符合《個人信息保護法》第三條第二款情形，在境外處理境內自然人個人信息等其他數據處理活動。針對第一種情形的規定很好理解，這也是大多數人認為的數據出境行為。針對第二種情形，如前所述，基于 DNS 域名系統與 BGP，受訪問的數據實際上已經傳輸至境外。 而在第三種情形中，《個人信息保護法》第三條第二款規定：“在中華人民共和 國境外處理中華人民共和國境內自然人個人信息的活動，有下列情形之一的， 也適用本法：（一）以向境內自然人提供產品或者服務為目的；（二）分析、評估 境內自然人的行為；（三）法律、行政法規規定的其他情形。”

3.數據跨境流動的兩大解析視角

數據跨境流動是一個具有綜合性、復雜性的行為，涉及多個層面的問題。 從不同邏輯視角看待數據跨境流動，得出的結論以及采取的措施也是不同的。對于數據跨境流動，全球經濟體主要圍繞兩個基本邏輯進行討論（如圖 1-2 所示）：

一個是基于數據主權與國家安全視角，強調數據出境監管以保障安全，這是針對數據字段出境的監管，屬于狹義的數據跨境流動；另一個是基于數字貿易視角，強調自由流動以促進全球經濟的發展，這個視角下的數據跨境流動指 的是以數據為載體的數字內容流動，而不單單是數據字段的流動，屬于廣義的數據跨境流動。