数字经济背景下“一带一路”跨境数据传输的法律规制*

齐 鹏

托夫勒在《第三次浪潮》中提出，人类文明以浪潮方式演进，每次浪潮都有若干重要子波。(1)参见惠志斌、张衡：《面向数据经济的跨境数据流动管理研究》，载《社会科学》2016年第8期。直至当前，人类已迈入以数据为载体，万物互联空前增长的数字经济全新子波进程。(2)参见彭岳：《贸易规制视域下数据隐私保护的冲突与解决》，载《比较法研究》2018年第4期。随着信息技术蓬勃发展，数据成为了支撑该全新子波进程发展的重要基础资源。在数字经济子波发展中，人们为攫取更多高质量数据资源潜在价值，(3)See Avi Goldfarb & Catherine Tucker, Privacy and Innovation, Innovation Policy and the Economy, Vol.12, 2012, pp.83-84.往往不得不通过互联网跨境收集、汇总、处理信息形成跨境数据传输(Transborder Data Flow，以下简称TDF)。TDF模式现已成为包括“一带一路”区域在内的全球数字经济发展中越来越常见的重要选择。数字经济发展催生的TDF互通实践，虽然不断降低交易成本、增强实时资源管理水平、助力数字经济规模化扩展，但其常常无序流动，亦凸显出国家安全、个人隐私等保护不周全问题，诸如数字经济发展与国家安全诉求冲突、超界域深度挖掘个人敏感关联、他国长臂管辖与本国司法主权冲突等，(4)参见李海英：《数据服务跨境贸易及调整规则研究》，载《图书与情报》2019年第2期。均对“一带一路”沿线各国经济发展提出了新的挑战。

当前，全球经济增长比任何时候都更加依赖跨境数据流动。构建“一带一路”TDF法律规制体系，不仅是加快沿线数字经济发展的关键前提，而且是“一带一路”国家参与全球数字多边治理，提升“制度性话语权”的重要要素。(5)参见何波：《中国参与数据跨境流动国际规则的挑战与因应》，载《行政法学研究》2022年第4期。我国作为数字经济大国及“一带一路”倡议发起者,需从被动适应规则执行者逐步成长为主动制定规则的引领者，在数字经济发展机遇中，“建立健全数据安全、权利保护、跨境传输管理……基础制度和标准规范，”(6)参见《中共中央、国务院关于加快建设全国统一大市场的意见》。同沿线各国共同探索形成有效降低TDF跨境障碍的合规体系，维护完善多边数字经济治理机制。

有鉴于此，本文试图从跨境数据传输规制目的指向入手，在此基础上比照欧盟、美国、中国和“一带一路”跨境数据治理范式的关联及规制分歧，聚焦我国跨境数据流动规则现状探讨，最终依据数据传输顺位逻辑回应数据全流域传输中的规制问题，(7)参见齐鹏：《“一带一路”数字经济数据跨境风险的系统性应对逻辑》，载《西安交通大学学报(社会科学版)》2021年第5期。提出破解“一带一路”数据跨境传输合规困境，形成数据保护制高点的中国方案。

过去十余年，TDF深入应用为全球GDP增长贡献10.1%，(8)See James Manyika, Jacques Bughin & Jonathan Woetzel, Digital globalization: The New Era of Global Flows, Mckinsey Global Institute, 2018, pp.2-23.已成为社会创新经济增长的重要引擎。数字经济下的数据信息显现创造财富巨大潜力的同时，对于相关数据活动保护也已成为国际合作谈判焦点。基于此，沿线已有16个国家签署加强数字丝绸之路建设合作文件，并就TDF应用、发展着重聚视，形成“数字丝绸之路”发展格局，实现以下维度利益保障。

一是在数据本地化方面保护国家安全。目前，关键数据已成为控制整个国家发展的命门，任由该类型数据自由跨境传输可能形成“数据殖民主义”，严重威胁发展中国家经济安全。(9)参见卜学民：《论数据本地化模式的反思与制度构建》，载《情报理论与实践》2021年第12期。而相对现实空间主权边界，数据主权并无地理意义之分界，TDF自由实现也便不再受存储地理位置束缚，于是，与之相伴跨越国界的竞相争夺数据资源开始助长数据向发达国家汇聚，加剧全球数字经济发展失衡。“棱镜门”、Google境外操纵利比亚大选、“Vault7”计划等标志性事件后，(10)参见杨力：《论数据安全的等保合规范式转型》，载《法学》2022年第6期。包括“一带一路”范围内的许多国家开始改变对数据风险传统认知，重新审视数据自由开放传输规则，不仅严格阻止本国数据向境外传输，(11)如近期部分跨国智能汽车车企，对涉及我国国家秘密单位的地理信息、环境信息的收集，已引起我国政府部门注意。参见黄辛旭：《智能汽车可以收集那些数据？这次终于要明确了》，腾讯网https://new.qq.com/omn/20210514/20210514A0D5V300.html，最后访问日期：2021年5月14日。且严禁外国数据流入。(12)2021年5月7日，黑客攻击了美国最大的成品油管道运营商科洛尼尔，迫使美国宣布进入国家紧急状态。除上述原因外，同时囿于“一带一路”各国数据保护科技发展水平及法律禀赋差异较大，致使当前数据主权管辖边界交互重叠冲突风险骤增，盲目开放共享TDF数据源会对其主权完整性带来严峻挑战。因此，各国开始对TDF活动规制限阀，通过强迫外国企业在其本国境内存放数据服务器或向数据企业提供政府采购优惠待遇等，间接限制TDF流动。

二是在限制数据内容访问方面防范制度性风险。一般而言，武力威胁往往显现于可辨别的实体显性地理空间，且易于感知，而虚拟化呈现的各类数据对于文化价值信仰或社会公共秩序等隐性制度风险则往往难以直接反映出来。某种程度而言，数据攻击更为隐蔽。最为典型的是在政治事件中，为实现选民对政策倡议者支持，倡议者可能营造大量对其有利讯息，并通过数据传输推送，暗示政策诱导广告，以影响左右政治走向。(13)如英国脱欧、美国总统大选等政治营销事件中，均体现出数据引导对人们思想趋势的干涉影响。此外，还有大量虚假热点、焦点新闻充斥网络空间，极易演变为重大舆情事件，鼓动人们往特定方向发展。(14)See Prarrenberger B., Social Anthropology of Technology, Annual Review of Anthropology, Vol.21, 1992, pp.491-516．为防止可能破坏社会政治稳定的危害数据传播、转移至本国境内范围，沿线部分国家现已纷纷设置专门部门对此类数据活动限制，并有望进一步形成符合“一带一路”倡议精神立法姿态，尊重数据接收国历史文化宗教信仰传统的多元化风险防范机制。

三是在限制数据传输方面保护个人隐私。数字经济发展依赖于TDF自由顺畅流动，而全球化TDF无序活动不仅会给国家安全、公共部门数据保护形成严峻挑战，同时，财产属性光环笼罩下的个人数据传输也使当前数字经济发展中人人为保护隐私而焦虑恐慌。随着数字经济中数据讯息空前自由传递，数据财产属性凸显，个人数据也可能面临屡屡遭受侵犯的技术威胁。(15)2021年7月2日，我国网络安全审查办公室宣布，对“滴滴出行”存在严重违法违规收集使用个人信息的问题，启动网络安全审查；
7月10日，国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》进一步明确要求，掌握超过100万用户个人信息的数据处理者赴国外上市，须向网络安全审查办公室申报网络安全审查。当前，以个人数据为主要攻击目标的黑灰产业链正在形成，攻击者已由独立黑客发展为专业团体，攻击对象则从个人终端升级为泛在网络。(16)如2021年初印度支付公司Juspay服务器超一亿用户ID泄露后，借记卡信息随即在暗网中流通；
更有甚者，无法识别出个人ID的数据经算法加持整合也可复原。参见徐瑛晗、纪孟汝：《“三同时”制度：个人数据跨境流动风险监管之创新》，载《情报杂志》2022年第6期。为及时挖掘个人数据中更多有利价值，数据寡头利用技术垄断地位或格式合同广布搜集、攻击个人用户敏感信息几乎无孔不入，以此形成的个人隐私信息泄露等负外部性事件屡见不鲜。(17)如2017年京东员工数据泄漏案涉及数据50亿条；
雅虎全部泄露近30亿账户；
2018年Facebook超过8700万条数据再次被泄露和滥用。参见张维：《2018年是数据泄露年还是数据保护元年？》，载中国新闻网，http://www.chinanews.com/gn/2018/12-29/8715307.shtml，最后访问日期：2018年12月29日。2021年7月23日，经澳大利亚信息专员办公室(Australian Information Commissioner，OAIC)调查，确认Uber侵犯了超百万澳大利亚人的隐私。参见王佳宜、王子岩：《个人数据跨境流动规则的欧美博弈及中国因应——基于双重外部性视角》，载《电子政务》2022年第5期。为避免个人信息数据遭受窥视、非法买卖，“一带一路”沿线各国对此保护呼声日益高涨，截至目前，已有40多个沿线国家或地区进行限制TDF个人数据自由传输的立法尝试。

四是在数据自由传输方面促进企业成长壮大。基于生产要素流动理论，数据作为当前重要的生产要素资源，其自由传输实现将成为企业发展的增强剂。(18)预计到2022年全球60%GDP被数字化。参见《未来企业效率白皮书》。尤其随着无纸化数字经济发展，越来越多的“一带一路”企业交易将采取跨境电子商务方式进行，数字化下的TDF现已成为企业创新的重要因素。一方面，根据要素禀赋差异，基于各国生产要素配置不同，可通过TDF模式实现相关领域生产要素全球范围互通有无，从而降低交易要素成本。尤其在“一带一路”文化差异大、物产丰富的沿线各国、各地区之间，不同国家地区企业TDF自由流动将会更加节约企业成本。为此，商务部于2020年发布《全面深化服务贸易创新发展试点总体方案》在全国设立28个试点，开展跨境数据传输管理。另一方面，TDF自由实现可开拓“一带一路”沿线更多市场，促进区域商品跨境交易。同时，通过大数据电子信息技术，可捕获相关数据并预测市场发展趋势，进而增强沿线企业核心竞争力。

众所周知，数据不仅是经济活动中的重要资源，也已成为创造社会价值的重要资产。具有流动性的数据要素唯有在位于疆界模糊的不同国域间，跨越更多维度实现自由流动，才能产生更高更多的价值。然而，“一带一路”悠久的历史文化积淀及丰富的民族情感交织，很大程度上注定各国TDF保护立法千差万别，不同法域的多重数据规则一定程度可能阻碍TDF自由流动，减少境外数字经济供应商市场准入，影响本区域市场吸引力。同时，部分发达国家运用经济、法律杠杆企图将“一带一路”沿线数字经济发展锁定在全球价值链低端。为妥当解决数据保护与TDF活动间冲突，共建“一带一路”共同体空间信息走廊，促使“一带一路”数字经济空间命运共同体更具活力，可分析借鉴当前国际范围较为成熟的法律规范，尽快形成普适于沿线各国差异性数据安全保护的顶层设计，制定一体化数据管理框架，形成跨境数据流动治理机制，对于改善数据治理和合理数据保护具有重要意义。这既能使沿线各国、各地区对数据共享产生信任，促进跨国贸易和数字经济增长，也能加强沿线各国境内关键敏感数据等有效保护，避免因数据泄露带来国家间或区域间安全隐患和经济损失。

数字经济席卷全球背景下，世界各国已普遍意识到自由获取数据的潜在价值意义。为打破不同国家及地区有关TDF壁垒限制，实现对有利数据资源争夺控制，减少数据保护与数字经济发展冲突的目标考量，全球范围内规制跨境数据流动已形成相关法律框架，主要“由国际机构推动或跨法域移植法律原则形成”，(19)See R Walters, L Trakman & B Zeller, Data Protection Law A Comparative Analysis of Asia Pacific and European Approaches，Social Science Electronic Publishing, 2019, p.427．以“允许这个不断变化世界的参与者们作出他们自己的决定，并从中受益。”(20)See Frank H. Easterbrook,Cyberspace and the Law of the Horse, The University of Chicago Legal Forum,1996, pp.207-216.

(一)欧美TDF多维度规制模式审视

TDF规制本质上是一种国家间的竞争行为，遵循现实主义博弈逻辑。(21)参见李艳华：《隐私盾案后欧美数据的跨境流动监管及中国对策》，载《欧洲研究》2021年第6期。纵观当前域外平衡数据保护与TDF自由流动冲突之回应，较为成熟的规制模式主要体现在欧美相关实践中。欧美作为数字经济发展的重要区域代表，最早试探并形成了一系列围绕TDF规制的区域主义立法及条约，并影响着当前全球TDF规制保护。

1.人权保护优先原则下的单边主义立场

欧盟作为最大的数字服务市场之一，在数据问题上以强调保护个人隐私为首要原则。欧盟这种个人隐私保护优先模式是一种以自身人权价值取向为名义的数据流动限制性措施，旨在在其境内建立一个单一的数字市场，以保护个人、企业和政府免受数据收集、处理和商业化过程中产生的滥用。总体来看，其“秉持开放但主动的方法，并且以欧洲价值观为基础”，(22)参见李墨丝：《欧美日跨境数据流动规则的博弈与合作》，载《国际贸易》2021年第2期。确立了高水平的隐私保护标准。

其中，《与个人数据自动化处理有关的保护公约》(以下简称《公约》)从隐私权规制出发，首次立法突破由欧盟各成员国国内法形成的TDF自由流通国内“门槛”，但由于其内容过于原则笼统，故实践发挥效果极为有限。为进一步升级欧盟区域个人数据安全保护标准，《公约》进一步通过《保护个人数据处理及数据自由流动指令》(以下简称《指令》)，要求成员国向非成员国传输数据时，对于与第三国之间的数据流动，应提供与欧盟同等水平的充分保护条件。遗憾的是，欧盟此次立法，成员国大多数对此问题形成的国内“门槛”远高于欧盟整体规定的充分保护要求，以致其区域TDF自由流动严重受阻。为重拾欧盟成员国企业对数字经济信任，欧盟借鉴参考美国行业自律模式，并基于权威组织统一立法，加速通过《通用数据保护条例》(以下简称GDPR)，将原有28部差异较大的法律合并为1部，以期减轻成员国间合规成本。“棱镜门”后，为消弭双方数据安全疑虑，欧美再次达成旨在提升有关TDF透明度的《隐私盾协议》，直到欧盟法院在“Schrems II案”中由于对美国相关国内法质疑，认为欧盟公民在美国境内未享有对等的司法救济，因此导致再次设计的欧美间《隐私盾协议》无效。(23)参见赵精武：《数据跨境传输中标准化合同的构建基础与监管转型》，载《法律科学(西北政法大学学报)》2022年第2期。为填补该协议缺失造成的企业数据传输规制法律真空，直到2021年欧盟委员会再次颁布两套新的数据跨境传输标准合同条款。(24)参见李仁真、罗琳娜：《欧盟数据跨境传输标准合同条款新发展及启示》，载《情报杂志》2022年第6期。整体来看，虽然欧盟不断尝试升级充分保护“门槛”严苛立法，欲撬动获得欧盟各国达到或至少接近其对数据和隐私高水平保护标准，但上述规制模式仅以本地区一般立法情况为出发点，往往可能忽视各成员国特殊立法情况及域外其他国家立法现状，因此，该模式很难直接沿用至“一带一路”场景。

2.美国贸易优先驱动下的自由流动模式

美国作为全球数字贸易的领先国家，一直秉持最大可能的促进跨境信息自由流动主张。“自由主义”支配下的美国TDF规制模式相较欧盟严苛立法，则显得更为灵活。作为全球数据巨头数量最多国家，美国对全球数据资源具有绝对控制权，因此，无需担心本国会有数据大规模转移到国外。同时，美国更加清醒地意识到鼓励TDF自由流转的经济价值裨益，于是，其更希望通过提升科技能力及立法水平以获得更多数据信息优势。就其现行多部相关立法来看，(25)如1970年《公平信用报告法》、1974年《隐私权法》、1974年《家庭教育权与隐私法》、1978年《财务隐私权利法》等。对于公共部门的TDF保护主要采取成文立法，私营部分则以行业自律方式为主，侧重发挥市场主动调节功效。虽然这种立法设计符合美国市场经济中崇尚调动企业积极性的国情，却往往难以达到欧盟要求的充分保护“门槛”，一定程度显得水土不服，且其滥用政府职权管理和规制TDF的做法，致使与欧盟及其他国家、区域相关TDF活动分歧严重，影响着各国保持与其实现TDF自由输送意愿。

为避免依靠上述地域规制模式不断显现“目光短浅”之短板，可能造成数据保护问题局限于地域管辖问题争执，且更好获取各国数据价值，促成经贸良性互信，美欧将行业自律与强制规范的双层执行机制有机融合，共同达成《安全港协议》约束机制。虽然该协议似乎一定程度降低了欧盟TDF准入“门槛”的实质标准，缓和了两者间异常矛盾的尴尬窘境，但面对TDF新的发展趋势和挑战，欧美双方相关立法矛盾差异仍然存在。(26)See Julia M. Fromholtz, The European Union Data Privacy Directive, Berkeley Technology Law Journal, Vol.15, 2000, p.483.一方面，欧盟认为美国尚未颁布足以覆盖其全境所有领域的数据安全保护立法，据此可推断美国无法保证欧盟传输至其境内的数据能够得到安全保障；
另一方面，当欧盟将大量数据送至美国境内存储分析时，欧洲民众却无权到美国要求诉讼。基于这些考虑，欧盟对美国数据安全担忧与日俱增。为增加彼此信任，消弭双方数据安全疑虑，欧美再次达成旨在提升有关TDF透明度的《隐私盾协议》，首次明确美国TDF访问中需作出权力约束性保证，(27)《隐私盾协议》保证美国政府获取欧洲公民的个人数据时受到《美国第12333号执行令》和《美国总统第28号政策指令》的限制。参见张金平：《跨境数据转移的国际规制及中国法律的应对——兼评我国〈网络安全法〉上的跨境数据转移限制规则》，载《政治与法律》2016年第12期。承诺对批量搜集数据仅用作反恐等特定目的，并对欧盟转移至美国的数据不会经国家安全机构大规模且无差别监控。同时，《隐私盾协议》在TDF监督实施机制中还设置专门独立的监察专员救济机制，对于数据访问行为进行专门监督。除此之外，该协议继续强调行业自律规制，要求美国公司进口数据时，履行更多承诺，并定期接受美国政府合规检查。对企业难以完成定期审查或长期不履行此协议内容时，则可撤销该企业资格，并对已取得的数据勒令交还或删除。(28)See Chris Connolly & Peter van Dijk, Enforcement and Reform of the EU-US Safe Harbor Agreement, in D. Wright, P. De Hert (eds.), Springer International Publishing, 2016, p.261.此外，为防止《安全港协议》适用中无效情形再度发生，《隐私盾协议》进一步设计多部门联合年度审查制度，(29)美国商务部、联邦贸易委员会及其他联邦机构与欧盟委员会、各成员国数据保护当局共同负责对个人TDF年度审查。增加包含惩罚性手段的实施细则，一定程度表明欧盟与美国严格遵循协议决心。但是，该协议程序性规定仍过于笼统模糊，且仅限协议缔约方之间产生约束力，凡此种种，致使美国法律依旧很难满足欧盟数据充分保护“门槛”要求。为占据国际规则制定的先机，美国继续不断谋求在国际组织讨论中发挥主导作用，并在近期的《美墨加协定》《日美数字贸易协定》中体现出抢占TDF全球数据传输规则主导权的积极主张。总之，这种分散灵活的规制策略是建立在美国数字经济高速发展的背景环境下，那么，也就很难直接适应当前“一带一路”数字经济发展域情。

(二)“一带一路”数字经济发展中TDF规制模式分析

从本质上而言，TDF模式选择源于利益冲突取舍。不同国家对于数据价值追寻方向不同，显现在制度层面具有差异化。在传统国际经贸中，发达国家十分重视利用国际规则对发展中国家施压干预。随着数字贸易到来，这种干预也延续到TDF等新的国际数字贸易规则领域。为实现上述诸多TDF规制目标指向，摆脱欧美高标准规制掣肘，“一带一路”沿线已有40多个国家对此进行限制立法尝试(如表1所示)。虽然沿线国家就TDF规制普遍予以重视，但是，除部分与欧盟范围相重叠的国家主体中沿用欧盟区域精神，表现出充分保护“高门槛”要求外，沿线整体立法规制仍体现以下诸多问题：

表1：“一带一路”国家TDF规制立法统计表

其一，“一带一路”TDF区域性规制合作机制缺失。目前，纵观沿线TDF规制机制，大多数国家主要采取单边立法模式。如印度为限制其境内TDF活动，通过《2018个人数据保护法草案》采取闭关自守的TDF限制模式，力争限制域外科技企业在其国内不断扩张；
俄罗斯也通过两次立法完善，明确提出公民数据的存储和处理必须在其境内进行。这种单边立法模式下，有关国家仅仅基于自身安全考虑，要求对TDF活动中数据存储、传输各环节全面控制，可能导致区域性合作规制机制无法运行，使得与域外国家交流成为一种奢望，且可能影响沿线国家数据传输保护合作信心，(30)参见齐鹏：《“一带一路”数字经济数据跨境传输共享治理场景建构》，载《北京工业大学学报(社会科学版)》2022年第2期。在很大程度上失去进一步与沿线国家交换有关TDF规制经验的可能。此外，一直以来，人们普遍意识到“一带一路”沿线国家法律规范差异，使得难以普遍适用任何一国现行TDF规制机制，更何况面对差异化法律文化背景下“一带一路”国家覆盖范围不断递增的趋势，尽快形成尊重区域内文化多样性、相互彼此信赖的TDF合作模式殊为必要。

其二，沿线国家现行TDF分级规制立法操作性不强。形成TDF合理化安全分级分类等级，是实现数据安全传输的重要保障。虽然沿线部分国家已将数据分级分类管控理念融入立法，但由于各国数字贸易规制理念差异政策分歧，目前尚未形成统一划分标准。如印尼《信息与电子交易条例》修订草案中，根据数据对国家、社会公益、个人影响将其分为战略性数据、高风险数据、低风险数据三种；
印度《2018个人数据保护法草案》则根据个人数据类型将数据划分为一般数据、敏感数据和关键数据；
(31)参见李艳华：《全球跨境数据流动的规制路径与中国抉择》，载《时代法学》2019年第5期。泰国《商业机密法》为保护重要商业信息将其分为商业机密及信息。(32)参见胡文华、孔华锋：《印度数据本地化与跨境流动立法实践研究》，载《计算机应用与软件》2019年第8期。此外，还有部分国家并未对TDF数据分类。(33)参见张怡：《越南网络安全法》，载《南洋资料译丛》2018年第3期。如“棱镜门”后，鉴于对域外国家数据安全形势担忧，俄罗斯《关于信息、信息技术和信息保护法》等强烈排斥TDF活动，这也就意味着不存在对数据实施分级管理可能。由此可见，沿线各国立法价值立场及出发点不同，所形成的数据安全管理分类办法也迥然有别。这种差异化的分类无形中将架设起藩篱屏障，降低沿线数据跨境活动吸引力。

其三，尚未设置适宜沿线各国数字经济发展的统一的跨境数据执行机制。“一带一路”倡议秉持共同参与、共享红利、共担责任，非仅仅依靠一国国内单独立法即可实现TDF风险规制，往往还需发挥各国执法合力，形成统一数据传输执法机制。虽然2010年部分国家隐私执行当局联合倡议建立全球隐私执行网络行动计划，且欧盟数据保护监督员、西班牙数据保护机构、波兰等国家及地区数据保护机构已纷纷加入。(34)参见张继红：《个人数据跨境传输限制及其解决方案》，载《东方法学》2018年第6期。但该计划并非专门因“一带一路”沿线国家经济发展目的而设，且尚未形成国际规则草案，因此，仍需对此执行认证事项细化。此外，多元交易主体共同交织的“一带一路”沿线，仅仅倚重政府执行手段，对于个人、企业数据传输合理诉求及冲突化解有失偏颇，难免引起其他数据传输主体异议。因此，在“一带一路”数据跨境传输执法机构设计时，有必要补强其他参与主体。

其四，“一带一路”缺乏统一的TDF规制监督机构。一方面，虽然统计显示沿线已有30个国家设立专门性TDF监管机构(如表1所示)，但是，目前尚未形成沿线各国普遍适用的TDF专门性监管机构，也尚未设置有关TDF数据采集、编辑、使用、存储、提供、共享等全程监督机制。如希腊《个人信息保护法》明确要求个人信息适用前须对信息来源和收集方式记录；
俄罗斯数据规制机构则在合同签订时要求对数据安全性检验；
越南2019年《网络安全法》主要表现出事中防御、事后处理等倾向。另一方面，对于违反规制办法的惩罚条例设计不足。纵观“一带一路”沿线有关TDF规制惩罚规定，大多表现为口号式或较低处罚力度的立法特点。如越南2019年《网络安全法》第3章虽一定程度表明对数据安全隐患行为打击，但纵观该章规定，大多表述为“有责任配合专业保护网络安全力量采取各种预防、防御、阻止、处理……”；
(35)同前注，张怡文。俄罗斯对此则设计出最高罚款金额仅为75,000卢布的小额罚款和限期改正措施等。(36)同前注，李艳华文。这些较低处罚力度的措施显然不足以对无序的TDF发挥足够震慑作用。

其五，数字经济行业认证机构及标准参差不齐。目前，“一带一路”沿线已建立诸多数据保护认证机构及标准。如俄罗斯要求通过CETS No.108标准和RKN第274号令对相关行业认证；
作为全球成立最早的数字认证中心，菲律宾Global Sign则通过其本国法律规定，对通过数字经济行业认证后的主体颁布内嵌2048位根证书等。虽然沿线国家数据保护认证机构不断设立，但仍然缺少由中立第三方独立成立的数据保护认证机构。对此，有部分学者认为，当前还有部分全球公认的数据安全认证体系由于缺乏合作精神，并未引起沿线国家普遍关注，也未能形成沿线各国普遍接受的数据行业认证体系。除此之外，目前沿线国家数据认证行业自律标准也未形成统一性，如ISO/IEC相关标准就有百余种。随着“一带一路”倡议继续推进，沿线国家数量将不断递增，各国、各地区丰富且分散的数据认证行业自律标准对于沿线问题统一规制，势必将产生更多阻碍。

作为“一带一路”倡议发起者，中国拥有数字经济巨大发展潜力。随着我国数字经济实力不断提升，对TDF需求也越来越大。面对类型多样化的数据信息，马克斯·韦伯认为，实现有效规制方有利于管理。(37)See Ackerman B.A., Social Justice in the Liberal Stata, New Haven Yale University Press, 1980, pp.21-23.作为“一带一路”倡议发起者，我国一直以来都反对保护主义、单边主义，就TDF监管保护主要通过部分单行法律法规予以限制。相关立法尝试，可大概划分以下阶段：

第一阶段，2010年以前，尚未形成对TDF安全保护程序性设计。如《保守国家秘密法》《居民身份证法》《消费者权益保护法》等虽涉及对国家秘密或隐私数据保护，但均匮乏救济途径、惩戒措施等。第二阶段，2011年至2016年，主要体现为就部分重要领域相关数据安全保护问题专门立法。其中，金融、医疗、电信、交通、快递等重要领域均形成行业类别丰富、强度参差不齐的数据本地化规则。(38)如《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《人口健康信息管理办法(试行)》《关于加强党政部门云计算服务网络安全管理的意见》《网络预约出租汽车经营服务管理暂行办法》《寄递服务用户个人信息安全管理规定》等。第三阶段，2016年至今。2016年《民法总则(草案)》(一审稿)第108条首先就数据所属问题尝试探讨，最终通过的第127条引致性规范虽仅为宣示性条文，但其法律位阶得到提高，对我国TDF保护立法具有深远影响。但是，该法将数据保护问题委于“其他法律”，很难直接裁判。同年通过的《网络安全法》第37条针对“关键信息基础设施”运营者在中国境内收集个人信息本地化规定，对TDF活动提出安全评估要求。2021年6月《数据安全法》审议出台，在《网络安全法》基础上针对重要数据的跨境流动进行了补充完善。8月《个人信息保护法》审议通过，明确了安全评估、保护认证、标准合同并行的数据跨境流动管理体系。(39)同前注⑤，何波文。刚刚生效的《关键信息基础设施安全保护条例》第2条则对《民法典》进一步补充，明确了关键信息基础设施定义与范围。遗憾的是，该“条例”仅就个人信息和重要数据分类，对于相关数据类型具体保护方法未能明确答复。(40)如仅仅以信息量多少为基准，判断数据传输重要性，忽视了数据传输中本身的递增价值，也缺乏对数据活动的场景因素分析。总言之，虽然我国目前多部法律法规、部门规章均涉及TDF活动规制，但擘肌分理，与域外现有立法及“一带一路”数字经济发展需求相比照，大多数条文多具统领性，具体规制办法仍需完善。

(一)数据传输前：保护准则模式不确定，现行TDF国际合作组织不健全

随着数字经济到来，发达国家更加希望继续保持引领新业态经济中的主导地位。美欧因此率先积极抢占推广有利其自身的TDF权益保护设计规则。其中，欧盟最早实现对TDF严苛立法，一定程度已筑起阻止域外数据进入其场内的数据壁垒。这种设计明显不利于包括我国在内的“一带一路”沿线各国数字经济活动参与。审视以美国为代表的分散灵活立法模式，其倾向推广自身TDF规制的主张，弱化了对其他国家或地区的国情域情关心考虑，故也不利于沿线各国数据活动安全保护。而我国相关立法尝试中，就此问题虽不断探索，也尚未形成专门性解决方案。纵观“一带一路”沿线域情及相关规制机制实践效果，由于殖民地时代，沿线大多数国家深受欧洲文化影响，故在制定TDF保护法律时大多积极参照欧盟立法，美国主导设计的CBPR在亚太地区也已形成较强影响。然而，现实中，“一带一路”沿线国家至少涉及三大法系、七大法圈，沿线不同国家、地区对TDF规制政策理念既不同于美国，也不同于欧盟，且不同国家、区域间数据保护水平并不平衡，因此，若以现有国家或区域TDF规制标准为准则，否定国际协作策略，坚持单边主义规制立法模式，必然引起“一带一路”沿线国家不同法律间冲突，甚至可能导致区域内信任危机。在这样的情况下，如何积极参与国际TDF全球保护合作，在“一带一路”对外合作谈判中就TDF问题发出中国声音，已成为本文试图解决的重要问题。

除此之外，以上TDF自由流动议题分析可见，“一带一路”区域性跨境数据活动政府间合作监管规制组织严重缺失。虽然近年来在我国不断组织倡议下，规制TDF活动的政府间、非政府间论坛数量激增，(41)See Gregory C. Shaffer & Mark A. Pollack, Hard vs. Soft Law: Alternatives, Complements, and Antagonists in International Governance, Minnesota Law Review, Vol.94, 2010, pp.712-732.但是，非政府间论坛难以制定统一的法律文件，对沿线各成员国形成普遍约束。此外，若坚持对沿线现有若干论坛重组，不仅远离“一带一路”发展现实目标，而且可能引发不同国家历史文化、宗教法律等差异冲突，增加法律适用困难。因此，加强TDF国际规制合作，降低全球范围内不同国家、区域间TDF保护水平不平衡，设置沿线数字经济相关的TDF合作规制机制，建立“一带一路”更具一致性的TDF适用规则尤为必要。

(二)数据传输准备：立法过于分散，具体实施细则缺失严重

欧姆认为，与数据流通可能产生的成本相权衡，当TDF带来显著价值时，法律应当保护其行为。(42)See Ohm P, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, UCLA Law Review, Vol.57, 2012, p.1704.纵观当前我国TDF立法现状，虽一定程度彰显出对TDF保护与域外同有之关切，但关涉TDF保护层面的数据立法主要散见于总数超过200部法律法规中，其立法设计整体级别不高。其中，《网络安全法》主要表现为原则性设计，尚无可操作性规制细则；
而《个人信息保护法》仅涉及TDF中部分主体类型的数据内容。仅仅依靠《个人信息保护法》显然难以全面覆盖所有数据保护可能，倘若通过现行分散立法分阶段弥合，也可能造成法律适用冲突，浪费法律资源，既不利于境外国际社会对我国数据保护规则清晰把握，也不利于在全域范围形成独立统一的数据安全监管机构。鉴于数字经济下TDF内容丰富、流动性大且高度分散的特质，逐步形成综合性独立统一的TDF法律规范已成为当前立法完善的最大需求。

关于TDF准备阶段，虽然《国家安全法》《网络安全法》已出台相关规定，但就目前主要依靠部门规章调节，缺乏具体可操作的规制措施、执行程序和奖惩标准，这种立法缺憾下，致使相关设想无法实际发挥同域外国家或地区相同的保护效果。具言之，《网络安全法》等相关配套制度并未详细说明何为“重要数据”，仅将数据按照依附主体为原则简单划分为个人信息、重要数据，这种貌似已实现分类，实践中可能存在操作困难。事实上，数据分类并非终极目标，而是应以数据风险等级设计形成相应的保护措施。但是，不难发现，我国当前更多强调数据安全保障及利用，对数据安全分类评估规定过于笼统，有必要出台专门性立法细化TDF数据分级规范。

(三)数据传输中：缺乏TDF执法机构统一合作，执法队伍主体单一

依托大数据发展影响下的TDF执法规制，不仅更加凸显不同地域间法律文化差异，而且将徒增信息化执法技术难度，相关执法工作更加依赖全球执法合作。建立统一、透明的执法机构已成为相关法律有效践行的重要保障。“一带一路”倡议实施过程中，我国围绕商事贸易等领域，不断固化区域性执法合作机制。目前为止，“一带一路”TDF执法机构尚未形成统一合作模式，包括欧美在内的世界各国并未落实这一合作构想，一方面，以欧美为代表的数字经济发展较快国家或地区，并不希望其他国家或区域抢先设计服务全球各国的TDF统一执法机构，因此，尽可能干扰相关设计思路，并积极倡导有利于发达国家数字经济发展的执法机构。另一方面，我国作为全球第二大数字经济体，为促进全球数字贸易自由发展，有必要突破欧美制度封锁，形成具有中国特色的“一带一路”TDF区域性或全球化统一执法机制。

同时，数据传输活动中包括了各类数据内容，而现行TDF规制执法主体仅限于国家政府机构。尤其在涉外因素裹挟下，企业、行业组织、个人等主体类型一般均被拒之门外。我国相关立法中也主要体现为单一依靠政府机关形成数据流动规制，未对其他数据传输活动参与主体授予执法权限。但是，TDF中数据内容类型繁驳且冲破区域阈值限制涉及国家诸多，对于专业性较强、涉及个人隐私的数据内容，仅依靠政府部门很难及时有效执行化解。因此，在全球数据跨境执法队伍主体尚不健全背景下，对数据流动规制中执法队伍主体类型扩充已成当务之急。

(四)数据传输中后：数据安全评估制度缺失，常态化监督机制不完善

如上所述，域外国家或地区分析TDF活动正当监督目的时，主要通过签订数据安全转移协议以确保安全。从上述双边或多边协定中可见，大多数国家对TDF规制主要基于建立数据安全转移协议下的“白名单”制度，以期筛选适格数据传输目的地。虽然我国现有数据评估标准一定程度也参考了以上制度原则，但事实上并未形成“白名单”制度及评估筛选数据接收国TDF安全保护能力，如何在“一带一路”形成合理化“白名单”制度仍有待细化。

此外，就常态化监督机制设置情况看，欧美两大TDF规制体系均显现出对监督执行力不断提升的特点。其中，欧盟《指令》第28条明确要求其成员国向非成员国传输数据操作时，须至少指定一个公共机构负责依据认定是否符合成员国监督机构所在国法律安全保护标准，并设立数据保护委员会专门负责成员国无法达成一致意见时的数据监督，(43)根据《指令》要求，28个欧盟成员国均已建立独立的数据安全监管部门。同时，GDPR第37条引入保持充分独立性的数据保护专员制度，(44)GDPR第37条规定：“数据控制者和数据处理者在以下情况下须指定一名数据保护专员：(1)由行政机关或公共团体实施数据采集……。”以实现对TDF及时监督。美国在《隐私盾协议》中也要求设立专员配合欧美相关数据保护机构进行监督。遗憾的是，我国TDF保护层面独立监督机制仍然缺位，实践中，其监督职能散布于不同部门。作为企业与政府间的沟通纽带，常设性TDF监督机构的缺失无疑会降低跨国公司等各类数字经济参与主体对政府信赖。随着“一带一路”倡议不断深入实施，沿线已有30多个国家设立专门性监督机构，形成了对TDF碎片化、差异化监督，这种零星的监督机制尚无法普遍覆盖沿线所有争议内容解决需求，当沿线国家数据主体遭受侵害时，往往可能出现无法可依的尴尬窘境，势必将挫伤各国数字经济共同发展的积极性，导致TDF数据保护法律效力大打折扣。纵观国际TDF保护发展趋势，我国应尽快设立独立的专门性TDF监督执法机构，进而积极参与TDF国际保护研讨合作，以期最终建立“一带一路”沿线各国普遍欢迎认可的数据活动监督机制。同时，我国现有数据管理范式根植于规制思想，对于非法跨境数据转移企业的责任追究淡化惩罚问责。如《网络安全法》第66条对违反TDF安全评估规定的惩处设计，与欧美违法企业罚款规定相比，违法成本较低，难以形成具有震慑力的预防期望。就此，欧盟GDPR第83条规定：对违反GDPR企业处最高2千万欧元或全球营业额4%罚款。(45)参见弓永钦：《个人信息保护问题研究：基于跨境电子商务》，人民日报出版社2018年版，第100页。美国对违反《安全港协议》者最高每天处1.6万美元罚款。反观我国当前相关立法惩戒制度设计几乎没有太高威慑力，以至于部分企业怠于保护用户之隐私，(46)参见徐明：《大数据时代的隐私危机及其侵权法应对》，载《中国法学》2017年第1期。甚至为获取巨额财产利益无法抑制其铤而走险的冲动。基于对数据所有者权益补救，有必要采取高额罚款的行政处罚机制设计。(47)参见黄道丽、何治乐：《欧美数据跨境流动监管立法的“大数据现象”及中国策略》，载《情报杂志》2017年第4期。

(五)数据传输后：行业自律力量不充足，自律标准差异严重

大数据背景下，数据潜藏的生产要素价值大大激励着全社会产生搜集数据讯息的动机，人们内心及社会关系网将无孔不入的受到监视。当法律对TDF保护较少，行业自律能力同时萎缩时，数据所有者的能力范围可能遭受践踏。事实上，法律出台往往需要一定周期，但这可能致使企业诸多商机丧失，且过于严格的立法内容也可能遏制企业尝试创新发展的步伐，同时，在法律适用中，执法人员也并非拥有足够的专业知识及精力规制数据使用中的违法行为。基于以上种种，随着“一带一路”数字经济TDF业务日益增多，公众数据安全意识增强，为提高TDF安全规制，除寻求政府间实施规制措施外，一定程度还应倒逼行业组织不断提高私权力担负，强化基于行业自律模式规制能力。一般而言，行业自律组织自身形成的第三方认证机构作为数字经济活动直接参与者，往往更具行业专门知识储备，更易获得全社会信任采纳。但是，我国目前尚未形成具有普遍认可度的第三方跨境数据行业认证机制。此外，根据调研表明，虽然美国形成了诸如BBBOnline等行业自律组织，(48)See Dane Peterson, David Meinert & John Criswell, Consumer Trust: Privacy Policies and Third-Party Seals, Journal of Small Business and Enterprise, Vol.14, 2007, pp.656-668.但这类行业组织往往含有较高会员费用，势必对“一带一路”沿线新兴企业带来一定负担，影响相关企业加入其中的积极性。

事实上，数据风险隐患并非基于对其搜集之初，而更在于传输后具体使用过程。虽然基于不同行业特点创建不同行为准则能够富有针对性的解决相关行业中TDF安全保护问题，但就目前来看，我国现有数据行业自律规则对TDF保护力度仍远远不够，若要求所有数据行业均设置风格各异的自律制度，则可能出现水平参差、难以实施的困境，这也将无形中增加企业管理成本及经营负担，降低沿线各国跨境数据传输交流的信任。

数字经济发展已成为引领世界经济走出低谷的重要动力。在全球数字经济迅速发展浪潮背景下，各国立法者均已注意到TDF规范布局之重要，虽然全球性TDF统一规则尚未实现，但是，部分发达国家或地区已率先形成坚持本区域利益的TDF保护规则。作为“一带一路”倡议发起者，我国如何做好前瞻性思考，有效协调区域TDF需求与限制之冲突，为沿线国家经贸往来打通TDF枷锁，已成为当前发展沿线数字经济应当审慎考虑的问题。在此背景下，结合“一带一路”实践所需及国际TDF保护发展趋势，就TDF保护协商塑造应对路径建议如下：

(一)TDF实施前：选适“一带一路”保护准则模式，搭建沿线TDF规制国际合作组织

当前非地理限制特性下的数字经济已拓展至全球范围，对于跨境数据资源控制保护已成为各国普遍关注的全球性概念。随着“一带一路”倡议推进，TDF无国界化的特征要求我们必须放眼环球，学习世界先进立法经验，坚持前瞻思考积极部署，展开国际数据保护立法合作，(49)参见陈钢：《加强网络服务商行业自律》，载《中国社会科学报》2019年6月25日第6版。逐步形成符合中国利益及“一带一路”发展需求的数据安全保护规则。

就制定“一带一路”区域性TDF活动准则而言，应构建具有“一带一路”特色的多边、双边合作形式，反对建立单边TDF保护设计，避免被动接受部分国家或地区既定不公平标准。具体而言，囿于沿线参与国家数量众多，法律制度各不相同，相应活动准则制定不可避免地涉及相互间法律冲突。若坚持单边标准设计，必然引起沿线国家法律冲突，甚至可能导致域内信任危机。因此，可在沿线国家中选择不同法律文化背景的国家或地区，先行达成部分双边立法合作机制，经过尝试试验形成成功经验后，可进一步向沿线其他国家或地区推广，最终联合已经形成的双边合作模式，形成普适于“一带一路”沿线的区域性TDF活动共同准则，在更广地域范围构筑TDF保护共同体力量。

就具体合作组织形式而言，当前以欧美为首的发达国家都在积极争夺TDF规制主导权，我国应主动对TDF全球规则前瞻思考，搭建有助于“一带一路”TDF规制发展的国际合作组织：一要形成普适于沿线各国的TDF规制框架。借助国际组织平台参与相关议题磋商，发表各国意见形成合作意向，就“一带一路”TDF规制事宜达成谅解备忘录，不断准确把握各方利益关切；
在近期自贸区协定谈判中先尝试调整TDF规制框架，通过部分领域、部分区域间的试点工作，最大限度降低规则适用差异，最终签订正式国际规则条约。二要联合立场相近成员渐进式培育中国主导的“一带一路”数字世贸组织。在同沿线各国磋商谈判基础上，选取沿线数字经济发展较为活跃的城市，建立“一带一路”数字世贸组织联络点，通过打造城市样板，与利益诉求相同的沿线成员联合，渐进式推进“一带一路”数字世贸组织形成。三要在数据大规模流动、聚合中建立“东数西存”存储中心。鉴于我国西北内陆地处“一带一路”沿线地理优势，且数据存储地理环境优越，可尝试开展TDF“东数西存”，率先打造我国数据本地化存储国际中心，确保国家核心数据、重要数据安全，在时机成熟时，向沿线各国“增容扩圈”，塑造有利于沿线各国数字经济发展的数据安全存储环境，将数据TDF安全风险维持在一种可接受可控制范围。四要尝试同已形成TDF完备规制体系的沿线既有国际组织沟通交流。TDF规制安排在走向完善的过程中需要考虑涉外因素，不仅需要完善国内制度，还需加强对外交流、合作、互动，准确把握TDF国际规制规则变化，吸收先进立法技术。因此，要学习相关组织或国家破解TDF流通壁垒的谈判技巧及设计策略，并通过发布TDF白皮书，实时向各国明确中国在参与TDF等国际议题中的“中式方案”定位和立场，定期就TDF规制开展经验交流，破除沿线伙伴疑虑，增强各国政治互信，不断完善构筑面向未来的全球数字经济TDF规则框架。

(二)TDF准备阶段：以柔性治理软法合作为基础，丰富条文操作细则

TDF自由实现是数字经济发展、全球经济合作实现的重要基础。构建有序的TDF规制制度，首要应重视基础性立法工作。

我国作为“一带一路”倡议发起人和中坚力量，有责任为沿线各国发声，肩负起协调沿线TDF规则的责任。在相关TDF规则制定上，有必要在国际立法领域以“指南”“倡议”等柔性治理软法合作为基础，推进相关议题纳入WTO等国际组织规则体系，进而联手应对发达国家主导的TDF规则冲击。然而，“软法法治功能，难以真正对国家形成约束力”。(50)参见张正怡：《数据价值链视域下数据跨境流动的规则导向及应对》，载《情报杂志》2022年第6期。因此，还需顺应全球数据安全保护立法潮流，在《国家安全法》《网络安全法》《网络安全审查办法》等基本法基础上确立我国TDF机制保护框架，尽快出台综合独立统一的高水准基础立法，再进一步制定具体部门规章和行业细则，为TDF安全审查、实施执法惩戒提供制度保障。同时，就相关术语的界定及具体制度设计时，应尽可能悉心调研，全面了解沿线各国相应立法机制特点及政策空间，考量各国历史、民情和价值观，精准把握各国立法技巧，并通过自贸区试点模式试探运行，不断完善相关数字经济立法规范。

在形成“软法”“硬法”规制基础上，明确规制对象和适用程度尤为关键。对此，可构建数据合理分级分类管理制度，强化对敏感信息保护。即后续配套法规设计中，建立TDF数据分级分类管理制度。考虑到双边谈判适用范围过窄、多边谈判立法水平不易统一问题，建议尝试由沿线各国共同磋商设立专门机构，并根据数据内容属性对其进行分类，对于不同数据进行风险评估认证，通过差别化分级评定，适度放宽对沿线各国非敏感数据前端收集限制。一是对于分级评定识别可能涉及国家安全的敏感数据类型，应禁止TDF输送，要求相关数据通信基础设施及数据信息须存储于本国境内，并以报告书形式全面说明风险情形；
二是对政府和公共部门的一般数据、行业非限制性技术数据等可能造成危害公共安全的数据类型，建议履行事先风险评估，并以专项报表形式说明风险可控性；
三是对于非敏感商业数据和经过评估的数据利用，可借鉴欧美相关经验，仅通过登记表方式说明，并须征得原数据主体明示同意，且依合同限制TDF适用范围；
四是对于云储存等实时传输的数据，鉴于其数据安全分级评估不易进行，可采取备案制度，一旦发现裹挟其他类型数据影响国家、社会、企业或个人数据安全，则严肃处理。(51)参见高山行、刘伟奇：《数据跨境流动规制及其应对——对〈网络安全法〉第三十七条的讨论》，载《西安交通大学学报(社会科学版)》2017年第2期。

(三)TDF实施中：嵌入统一多元的TDF执法机制

由于“一带一路”沿线各国习惯、法律、文化等差异化程度明显，跨境执行难免受其影响。尽管当前沿线部分国家已积极探索形成符合自身域情的相关执法机制，但是并未形成满足沿线各国数字经济发展所需的TDF统一执法机制。

为规避涉外案件处理周期过长、执法适用法律竞合等弊端，探索实现“一带一路”倡议下网络空间命运共同体建设目标，有必要尽快设计形成普适于沿线整体数据发展需求的TDF多元化执法机制，以提升“一带一路”TDF执行操作性，减少实际执法冲突的风险隐患。具言之：一是设计沿线各国TDF执法机制建立进度表，督促各国在一定期限内及时设置级别、业务相对应的TDF执法机构，并通过植入执法沟通联络点，共商相关执行程序细则，协商缩小执行机制、执行效果差异；
二是充分利用现行区域性国际组织、双边、多边协议等，统筹“一带一路”各方合力，打造TDF多边合作的统一化执法机构，并通过在TDF中不同数据类型领域分步骤探索尝试，逐渐形成覆盖数字经济发展全领域的多边执法机构；
三是由各国专门的TDF执法机构设置多边执法机制联络员，专门负责沿线执法机制协调沟通，以降低不同法律地域文化冲突，提升沿线TDF执法效率。

此外，鉴于TDF参与主体多样化，数据保护需求差异，有必要改变仅仅依靠政府主体形成的单一化执法框架，形成多元主体参与的执行队伍。一是在执法机制人员构成中，可尝试吸纳沿线各国从事相关工作的政府、企业、科研院所、行业组织及个人发挥优势互补，合力形成服务“一带一路”TDF规制的多元主体执行队伍；
二是积极构建多层次交流、联动执法机制，在执法队伍成员设计中，成立不同领域的专家委员会，加强不同学科专业知识及执行经验交流，并由专家委员会承担发起沿线TDF执行机制完善的重任；
三是为各类主体开展跨境执法活动专设不同身份参与路径，尤其个人参与时，有必要形成特邀观察员机制，从物资保障、制度对接等方面形成配套制度。

(四)TDF中后端：逐步完善TDF目的评估制度，全程嵌入TDF监督问责机制

对“一带一路”数字经济中有关TDF活动进行正当目的评估时，可分不同情形事先采取差别化措施，以降低数据安全维护成本。第一种情形为，仅向个别国家实现跨境数据输出时，可参照欧美立法经验，在数据转移协议中明确提出，以规范数据使用者为目的。另一种情形则是在双边、多边关系输出数据信息情形下，可参照上述域外立法经验，尝试在自贸区试点中通过事先签订评估筛选适格数据接收国条款，借鉴欧盟“白名单制度”，将符合相关条件的国家、地区直接纳入TDF自由流动范围，从而让这些国家和地区在开展TDF时减轻不必要负担。继而进一步放宽沿线各国TDF市场准入，并通过与部分沿线国家谈判合作探索“白名单”合理设置范围，针对不同数据评级，做出不同水平的数据保护承诺，并定期将TDF标准及适用主体“白名单”在官方网站公布，扩充“一带一路”TDF朋友圈，扩大沿线TDF规制参与全球数字经济博弈中的影响力。

基于筛选后的“白名单”机制，可借鉴域外立法设置经验，厘清现有监督部门职能，从制度设计上对TDF全程流转监督。第一，设立不同评级区别化监管模式。参考《隐私盾协议》设置办法，实现向沿线相应国家提交执法权限及流程说明，形成国家间TDF保护执行协助，设立独立的检察官对其执法行为予以监督。对于不同评级评估的数据内容，须采取有所区别的执法措施：若评估显示仅涉及数据安全问题并未侵犯数据主体权益，则可采取降低该类数据进入沿线国家数字经济门槛，对其行为主要侧重全程监督模式；
若评估结果显示该数据可能涉及国家安全或公共利益，则应提高相应申请标准，或禁止其入境并要求对其存储于本地范围且予以实时监控。第二，建立新的专门性数据传输审核监督机构，并赋予监督执法权限。基于沿线国家差异化立法特点，建议设立沿线数字经济TDF保护监督委员会，最大程度反映各成员国监督机构意见，并根据数据主体投诉开展调查，督促数据使用者修改、删除非法数据内容，定期公布监督工作情况等权能。同时，可借鉴GDPR对于设立地在欧盟的机构提出设立数据保护专员制度，负责TDF后续阶段监督。第三，细化奖惩立法设置。科学设置奖惩尺度，有助于增强法律权威，实现主体对其行为可预见性评判。对此，建议借鉴类似欧盟GDPR及美国相关条款，采取高额行政处罚机制予以严厉制裁，提升行业在TDF过程中非法使用、处理数据行为的违法成本，以期实现全行业自觉坚持保护数据安全的良好氛围；
同时，对于在TDF活动中积极采取数据保护措施，维护数据安全的行为也应予以奖励。

(五)TDF活动末端：建立第三方数据行业保护认证机构，倡导细化行业自律标准

面对数字经济发展中层出不穷的侵权违法行为，除通过积极立法、参与国际合作、完善监管体系外，还应提升以企业作为数字经济主要参与主体的积极性，从行业自身发展视角加强约束。有关行业组织认证机构建立方面，一是要积极争取建立类似BBBOnline等有影响力的中立第三方数据保护认证机构，积极融入TDF规制国际标准，从而增强相应评估工作的客观性、中立性，实现促进覆盖“一带一路”沿线各国在内的国家、地区间数字经贸往来。二是需设计合理化的行业组织会员费用，以降低沿线各国加入成本，吸引更多“一带一路”国家参与到相关行业自律活动中。

当TDF行业认证机构建立后，则需进一步明细行业自律标准。普洛夫指出：“行业标准要求法律体系在事后做更多功课。”(52)See Kaplow L., Rules versus Standards: An Economic Analysis, Duke Law Journal, Vol.42, 1992, pp.559-563.可见，行业自律往往可能早于法律形成相关问题监管标准。然而，行业自律标准模糊性可能带来适用上的不确定性，以致难以实现促进TDF自由流动与维护各国公共政策目标之平衡，致使其自律目标大打折扣，甚至存在落空风险。因此，应紧抓“一带一路”战略实施机遇，鼓励国内数字经济企业积极参与“一带一路”沿线国家TDF双边或多边谈判活动，参照当前主要国际立法经验，进一步统一明细行业间规制TDF的自律标准(如表2)，对数据使用者在收集、使用、加工、传输中设置具体义务，并遵循数据最小限制利用原则、数据质量原则、透明处理原则，加强数据使用事前风险预判，严格落实数据行业TDF保护责任，完善行业自律监督体系，推动全球TDF相关国际规则不断完善。

表2：“一带一路”TDF自律规制标准细化表

事实上，发展数字经济之关键并非在于是否应当坚持TDF自由实现，而是应前瞻性思考如何予以实现该意愿，方能促使各方自愿提供更多数据资源，为数字经济发展提供源源不断的动力支撑。就全球数字经济发展趋势来看，随着数字经济日趋活跃，数据价值不断被挖掘，TDF自由实现已成大势所趋。对此，在探索实现“十四五”时期“一带一路”区域TDF自由流动的国际规制路径中，我们需抛弃简单借鉴移植域外立法经验模式，理性审视国内外相关立法现状，积极协调沿线各国立法差异，努力平衡沿线各国意愿和利益，从加强国际合作、完善立法规制、嵌入执法机制、构建监管体系及细化自律标准等层面探索应对路径，在有关发展数字经济TDF安全保护规则制定中彰显大国责任担当。

猜你喜欢 数据保护规制跨境 主动退市规制的德国经验与启示南大法学(2021年4期)2021-03-23——戴尔易安信数据保护解决方案">数据保护护航IT转型
——戴尔易安信数据保护解决方案网络安全和信息化(2019年5期)2019-12-23跨境支付两大主流渠道对比谈中国外汇(2019年20期)2019-11-25在跨境支付中打造银企直联中国外汇(2019年14期)2019-10-14关于促进跨境投融资便利化的几点思考中国外汇(2019年21期)2019-05-21欧盟通用数据保护条例中的数据保护官制度中国科技论坛(2019年12期)2019-01-26共享经济下网约车规制问题的思考消费导刊(2018年8期)2018-05-25浅谈虚假广告的法律规制消费导刊(2017年20期)2018-01-03TPP生物药品数据保护条款研究知识产权(2016年5期)2016-12-01药品试验数据保护对完善中药品种保护制度的启示中国医药科学(2015年2期)2015-02-27 相关热词搜索：数据传输，规制，跨境，