第十一条 【促进数据跨境流动】

国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。

【释义】

本条规范的是国家开展数据领域国际合作，参与数据安全相关国际规则和标准的制定，促进数据跨境流动。在经济和科技全球化的时代背景下，数据的跨境流动将会越来越频繁。在《数据安全法》中表明中国支持数据领域国际合作，促进数据跨境流动的基本立场显得非常必要。同时，由于当前在数据的跨境流动方面并未建立拥有广泛共识的国际规则和标准。因此，我国也应积极参与数据安全相关的国际规则和标准的制定，只有基于统一的数据安全的国际规则和标准，数据的跨境自由流动才能实现。

数据跨境安全、自由流动对于全球数字经济的发展至关重要。数据跨境流动规则需要在隐私、数据保护、消费者保护、经济发展、网络安全、国家安全和执法等国内政策目的和数据的国际性流动之间寻求平衡。而复杂且差异化的国内数据立法和政策导向往往导致国际互信难以建立，从而限制数据跨境传输的方向，制约数据的跨境流动。不同类型数据的跨境传输，如个人数据与非个人数据，敏感数据、关键数据等定义频繁出现在各国的数据保护立法中，不同类型的数据受到不同的法律机制的调整，而各国间对数据分类及定义也不统一，这将导致数据的跨境传输的法律适用问题更加复杂。从各国不同的数据跨境流动规则实践来看，存在四大类数据流动规则：

（一）不设限制的数据自由流动机制。不设限制的数据自由流动意味着数据可以自由地跨境传输而不须满足任何法定条件。鉴于国家及地区之间的互信程度较低，这一数据流动机制较少。典型代表立法是2018年10月欧盟出台的《欧盟非个人数据自由流动条例》（Regulation on a framework for the free flow of non-personal data in the European Union），旨在实现非个人数据在欧盟境内的自由流动，禁止成员国不符合比例原则的公共安全理由以外的数据本地化立法。[23]

（二）有条件的数据流动机制。最典型的有条件的数据跨境流动规则是个人数据保护法律机制，大部分国家的个人数据立法均属于此类数据流动规则，但是各个国家允许数据跨境流动的条件不一，大体上欧美、日韩、澳大利亚等发达国家之间采取的签订双边或多边协议的方式，目前在个人数据流动与共享方面获得的共识较多。欧盟与日本在2019年1月达成了个人数据跨境流动的《欧盟-日本充足性决定》（EU-Japan Adequacy Decision），[24]这将创造世界上最大的安全数据流通区域，欧盟成员国企业将有权访问1.27亿日本消费者的个人数据。这意味着欧盟官方认可日本的个人数据保护水平与欧盟GDPR持平，欧盟公民的个人数据向日本的传输将等同于在欧盟境内的传输，也意味着GDPR成为欧盟与日本之间个人数据流动的统一标准。另外，也存在以欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）为立法范本的发展中国家，如巴西，完全沿用GDPR中的数据跨境传输规则。

（三）数据本地化存储或处理的要求。数据本地化存储或处理的法律规定在许多发展中国家，甚至在部分发达国家的数据保护立法中也并不少见。数据本地化要求的立法目的复杂、迥异且繁多。整体上，发达国家反对宽泛的数据本地化要求，而发展中国家则更多地倾向于宽泛的数据本地化。发展中国家的数据本地化要求多出于国家安全、网络安全、数据安全，以及监管执法、国家战略、地缘政治等宽泛性考量，而发达国家的相关规则目的往往更加具体，多是对特殊数据、敏感数据的强化保护，以保护公民基本权利和尊严。如俄罗斯2015年《数据安全法》规定了个人数据本地化处理的规则，根据该条款，数据运营者必须确保对俄罗斯公民的个人数据的记录、系统化、累积、存储、清晰化（更新或修正）和抽取必须使用位于俄罗斯境内的数据库，因此对个人数据的初次处理应在俄罗斯境内进行，该法允许个人数据在满足法定条件的前提下在境外存储作为二次备份，也允许满足法定条件的境外实体访问位于俄罗斯境内的数据库。印度2019年《个人数据保护法》规定了敏感数据本地存储的规定。印度尼西亚政府在2019年10月实施了“关于执行电子系统和交易的第71号政府条例”（GR71），取代之前的“GR82”，印尼的数据本地化要求仅适用于公共电子系统提供者。

（四）禁止数据跨境流动。禁止数据跨境流动的规定主要针对特殊类别的数据，如印尼法律中的公共电子系统服务提供者的数据，以及澳大利亚法律中的可识别个人的健康数据。澳大利亚2018年11月对《我的健康记录法案》进行了修改，该法案第77章禁止对可识别个人的健康记录在境外存储和处理。[25]欧盟未对健康数据跨境传输设置额外的限制，但是健康数据属于GDPR中的敏感数据，受到更加严格的监管。

发达国家与发展中国家在数据跨境流动方面的分歧在2019年6月的大阪G20峰会得到充分体现。发达国家由于具备强大的数据收割能力，因而积极推进数据的跨境自由传输，反对数据本地化。会议中，日本提出建立允许数据跨境自由流动的“数据流通圈”，为谋求共识，日本政府提出了“信赖”“自由”等宽泛概念。中国、美国、日本等国领导人共同签署了“大阪数字经济宣言”，正式启动“大阪轨道”。然而，印度、印度尼西亚和南非则拒绝在宣言上签字。印度以需要加强数据的本地化存储为由拒绝签字。早在6月8日于日本筑波举行G20部长级会议上，印度商业部长戈亚尔（Piyush Goyal）就曾表示，数据跨国间的分隔与流通“严重阻碍发展中国家从数据贸易中获利”。[26]发展中国家需要时间来培育、建设数据基础设施，从而克服能力上的短板，这对各国在数字经济领域公平竞争十分重要。

只有在数据市场、治理规则和数字基础设施在不同国家间均衡发展的前提下，数据的跨境自由流动才能够公平、安全和有序，并惠及所有人，而不仅是发达国家。

【关联规定】

《中华人民共和国网络安全法》第7条

（撰稿人：魏露露、赵精武）