数字贸易学 课件 第6章 数据及本地存储与跨境流动

第六章数据及本地存储与跨境流动本章导读第六章数据及本地存储与跨境流动随着人类对数据挖掘、搜集、处理和分析能力的提高，数据尤其是大数据成为基础性战略资源，在国民经济中被赋予重要地位。2019年6月，二十国集团（G20）大阪会议提出“信任的数据自由流动”主张，数据跨境流动成为全球数字经济治理最受关切的议题。通过本章学习，可以掌握数据、信息、知识、数据主权、数据本地存储和数据跨境流动的内涵和外延，辨析数据、信息和知识的关系，理解实施数据本地存储和推进数据跨境流动的主要原因和障碍，为洞悉全球数据治理打下基础。本教材对“数据”“信息”“知识”等概念的定义和讨论，均限定在数字贸易范畴。主要内容第一节数据、信息与知识第二节数据主权第三节数据本地存储第四节数据跨境流动第五节本章小结：中国视角第六章数据及本地存储与跨境流动第一节数据、信息与知识第六章数据及本地存储与跨境流动一.数据的内涵与外延（一）数据的内涵在数字经济时代，全球数据量爆发式增长。据美国国际数据公司白皮书《数据时代2025》，2025年全球数据量将达到175ZB。数据成为核心生产要素，是一国战略资源“新油田”。对数据的收集、传输、解释和处理是一国数字经济发展的关键第一节数据、信息与知识第六章数据及本地存储与跨境流动一.数据的内涵与外延（一）数据的内涵数据是对客观事物记录的物理表示联合国欧洲经济委员会（UNECE）指出“数据是信息的物理表示”，可用于记录客观事物的性质、状态和相互关系。数据可用于传输、解释和处理UNECE认为“数据可适用于交流、解释和处理”中国国家标准认为“数据可适用于通信、解释和处理”“交流”和“通信”都较为宽泛，不能完全反映数据流动的特征，“传输”这一说法更为合适。第一节数据、信息与知识第六章数据及本地存储与跨境流动一.数据的内涵与外延（一）数据的内涵数据是一种新型生产要素2020年3月中共中央、国务院在《关于构建更加完善的要素市场化配置体制机制的意见》中提出，“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”，明确表示数据是一种生产要素。数据具有规模性、多样性和高速性特征数据一般规模很大，属于大数据范畴。大数据“3V”特点：规模性（Volume）、多样性（Variety）和高速性（Velocity）第一节数据、信息与知识第六章数据及本地存储与跨境流动数据是利用数字技术对客观事物进行记录的物理表示，是以电子化形式存在并可用于传输、解释和处理的生产要素，具有规模性、多样性和高速性特征。第一节数据、信息与知识第六章数据及本地存储与跨境流动数据融通有障碍尚无专门数据资源管理机构，不同部门和渠道数据口径不规范、标准不统一、时间不准确和可信度不高，制约了跨地区、跨层级、跨部门、跨行业和跨平台的数据融通。数据共享有困难出于保护商业机密或节约数据整理成本考虑，企业不愿共享自身数据。政府部门缺乏公开数据的动力数据安全有隐患数据存在多重交易和多方接入可能性，隐私数据保护边界不清晰，存在数据不当使用、违规违法交易和个人隐私泄露风险。专栏6-1中国面临的大数据应用风险第一节数据、信息与知识第六章数据及本地存储与跨境流动数据监管有差距在平台掌握海量数据情况下，只能依靠平台自觉合规使用数据，无法避免平台滥用数据的不正当价格歧视行为。算法定价具有隐蔽性，用户对平台价格违规行为取证和举证困难，导致出现“大数据杀熟”的监管困境。数字鸿沟难弥合金融、电信和电力等行业数据管理应用能力相对领先，其他行业相对落后。在数据收集和使用上，平台企业和龙头企业比中小微企业优势更明显。代际数字鸿沟仍在扩大，老年群体的数字化生存问题日益凸显。专栏6-1中国面临的大数据应用风险第一节数据、信息与知识第六章数据及本地存储与跨境流动一.数据的内涵与外延（二）数据的外延作为物理表示，数据可以分为结构化数据和非结构化数据。结构化数据是指可以使用关系型数据库表示和存储的二维形式的数据，如商业交易记录、平台用户画像和移动通信网络定位。非结构化数据是指数据结构不规则或不完整、没有预定义的数据模型、不方便使用数据库二维逻辑表来表现的数据，包括视频、音频、图像和文本等形式，如云课堂、数字音乐、卫星图像和平台商品评论。第一节数据、信息与知识第六章数据及本地存储与跨境流动一.数据的内涵与外延（二）数据的外延作为生产要素，数据可以分为社交网络数据、商业系统数据和物联网数据。社交网络数据如电子邮件、博客和互联网搜索商业系统数据如电子商务记录、银行记录和医疗记录物联网数据如传感器数据、设备系统日志和工业网络日志第一节数据、信息与知识第六章数据及本地存储与跨境流动二.信息的内涵与外延（一）信息的内涵1948年美国数学家、信息论创始人克劳德·艾尔伍德·香农指出，信息是“熵的减少，是能够用来消除不确定性的东西”。1948年美国应用数学家、控制论创始人诺伯特·威纳指出，“信息是人和外界相互作用的过程中相互交换的内容的名称”。1985年12月美国联邦政府管理与预算局A-130号法律文件指出，信息是“任何传播内容或知识的表示，比如以任何媒体或形式存在的事实、数据或见解”。在数字经济时代，“信息”的内涵已经改变，有必要赋予其新的理解。第一节数据、信息与知识第六章数据及本地存储与跨境流动二.信息的内涵与外延（一）信息的内涵经济合作与发展组织（OECD）和UNECE认为，“信息有关于事实、事件、事物、过程和想法”。中国《个人信息保护法》（2021年11月）认为，“信息是有意义的数据”，即信息来源于数据，但必须要对数据进行加工处理并且加入个人价值判断后才能形成信息。人类的逻辑思辨必不可少第一节数据、信息与知识第六章数据及本地存储与跨境流动信息是关于事实、事件、事物、过程和想法（包括观念）的经过加工和价值判断后具有逻辑意义的数据。以浙江大学为例，浙江大学位于杭州是事实，浙江大学于1897年在杭州建立是事件，浙江大学自身是事物，自1897年以来浙江大学在杭州的发展历程是过程，有关浙江大学的社会评价是想法。第一节数据、信息与知识第六章数据及本地存储与跨境流动二.信息的内涵与外延（二）信息的外延按照是否科学，是否能够减少数字经济活动的不确定性、揭示数字经济活动的基本规律，信息可被划分为两类：一类是准确的，另一类是不准确的。准确的信息能反映数字经济活动的真实趋势，呈现基本数字经济规律。不准确的信息会干扰人们对数字经济活动基本规律的预判，并产生对数字经济发展趋势的误读。以平台商品评论为例，通过对海量消费者评论数据的加工和价值判断，可以得到以下结论：消费者购买商品时最看重价格。这一论断是否科学和准确，有待进一步的实证检验。第一节数据、信息与知识第六章数据及本地存储与跨境流动二.信息的内涵与外延在实践中数据和信息常常被混淆使用，主要有三种情形。数据等同于信息在中国《电子商务法》（2019年1月）第25条出现“数据信息”之类表述信息包含数据在中国《环境保护税法》（2018年1月）第15条第2款和中国《监察法》（2018年3月）第25条出现“数据等信息”之类表述数据包含信息在中国《快递暂行条例》（2018年5月）第34条，信息被认为是“电子数据”，属于“数据”的一种。第一节数据、信息与知识第六章数据及本地存储与跨境流动二.信息的内涵与外延有学者认为，数据本身是无意义的，在对决策产生影响时，数据才成为信息。本教材认为，数据包含信息，信息来源于数据，信息是在对数据进行加工处理并且加入个人价值判断后形成的。第一节数据、信息与知识第六章数据及本地存储与跨境流动三.知识的内涵与外延（一）知识的内涵在大数据时代，“数据海量、信息爆炸、知识难求”普遍存在。虽然信息提炼了数据中具有逻辑意义的内容，但其价值随时间衰减，只有沉淀转化为知识，才能长久地发挥作用。数据和信息只能回答“是什么、在哪里发生、谁干的”等初级问题，无法解答“为什么发生、会有什么问题”等深层问题。知识对理解经济活动而言十分重要，有必要明确知识的内涵。第一节数据、信息与知识第六章数据及本地存储与跨境流动理论命题6-1消费者数据被转变为知识后，可以无限重复使用，不仅会促进创新，推动经济增长，而且还不会产生与消费者隐私相关的负面效用。参见“LinWilliamCong、DanxiaXie、LongtianZhang，KnowledgeAccumulation,Privacy,andGrowthinaDataEconomy，ManagementScience，2021年第67卷第10期，第6480-6492页”第一节数据、信息与知识第六章数据及本地存储与跨境流动三.知识的内涵与外延（一）知识的内涵联合国2016年发布的《联合国系统的知识管理》指出，知识是经过鉴别、验证并组织进入思维模式的主观且有价值的信息。第一节数据、信息与知识第六章数据及本地存储与跨境流动三.知识的内涵与外延（一）知识的内涵知识通过经验和实践获取，对信息的鉴别和验证是形成知识的基础。国际标准化组织（ISO）认为，知识是“通过经验或教育获得的事实、信息、真理、原则或理解”。中国国家标准认为，知识是“通过学习、实践或探索所获得的认知、判断或技能”。数字经济活动累积的经验为知识的形成提供了土壤2022年1月国务院发布《“十四五”数字经济发展规划》，无论是其指导思想，还是基本原则，抑或是发展目标，都是通过对中国数字经济创新发展事实加以提炼得到的。第一节数据、信息与知识第六章数据及本地存储与跨境流动知识是经过鉴别、验证并组织进入思维模式的主观且有价值的信息，通常源于数字经济活动累积的经验。第一节数据、信息与知识第六章数据及本地存储与跨境流动三.知识的内涵与外延（二）知识的外延知识主要包括可直接获取的显性知识和不可直接获取的默会知识在数字技术助推下，默会知识具有明显的显性化趋势。对消费者偏好和行为的感知原本是存在典型个体差异的，属于默会知识的范畴。随着数字技术的进步，数字化工具和手段的运用使得个体间的感知差异逐渐弱化，人类对消费者偏好和行为的刻画和表达能力从整体上得到提高，使得原本的默会知识进一步显性化。第一节数据、信息与知识第六章数据及本地存储与跨境流动图6-1数据、信息和知识的关系数据信息知识第二节数据主权第六章数据及本地存储与跨境流动一.数据主权的内涵与外延（一）数据主权的内涵1576年法国政治思想家、法学家让·博丹首次提出“国家主权”，认为“国家主权是一个国家的固有属性，是一种以国家为范围的对内最高统治权和对外独立权”。随着人类进入信息时代，美国凭借其领先的信息技术和管理方式掌握了绝大部分互联网控制权，其他国家开始强调“信息主权”，即一国拥有对国内信息传播系统和传播数据内容自主管理的权利。在数字经济时代，海量大数据的存在使一国无法仅凭信息主权就能处理数据跨境流动问题，数据使用权和监管权被频繁提及，“数据主权”的说法应运而生。第二节数据主权第六章数据及本地存储与跨境流动一.数据主权的内涵与外延（一）数据主权的内涵数据存在于终端、网络和系统中，且处于多利益主体控制下，所有数据不可以被任意公开地使用，机构系统内部数据、个人私有数据，以及存储于受控网络平台的特定数据，都具有一定的排他性。第二节数据主权第六章数据及本地存储与跨境流动数据主权是指在一定规则约束下行为主体对其内部数据所拥有的排他性权力。第二节数据主权第六章数据及本地存储与跨境流动一.数据主权的内涵与外延（二）数据主权的外延数据主权包括国家数据主权、组织数据主权和个人数据主权国家数据主权是强主权，反映的是国家对本国数据所拥有的治理权。如政府通过立法决定境内数据能否跨境自由流动组织数据主权和个人数据主权是弱主权，是在国家数据主权下组织和个人对其自身收集和产生的数据所拥有的所有权。如平台对用户浏览记录的合法利用如消费者对自身隐私数据的合理处置第二节数据主权第六章数据及本地存储与跨境流动一.数据主权的内涵与外延（二）数据主权的外延依据中国《数据安全法》（2021年9月）和《深圳经济特区数据条例》（2022年1月），数据主权被划分为国家数据主权、组织数据主权和个人数据主权。有别于传统领土、领海和领空主权，国家层面的数据主权是非传统安全，特殊之处在于没有物理空间边界，已被总体国家安全观统摄，反映的是一国对本国数据拥有的治理权。组织数据主权和个人数据主权是私营部门主导的数据保护措施，反映了在国家数据主权下组织和个人对自身收集和产生的数据的所有权。第二节数据主权第六章数据及本地存储与跨境流动一.数据主权的内涵与外延（二）数据主权的外延国家数据主权是强主权，强调国家对数据的治理权。欧盟2020年2月发布的《欧洲数据战略》、2022年4月通过的《数据治理法》，是强主权模式的体现。组织数据主权和个人数据主权是弱主权，一般由私营部门主导，强调数据主体的数字权利。欧盟2018年5月出台的《通用数据保护条例》（GDPR）是弱主权模式的体现，把个人数据控制权由私营数据控制者交还给数据主体，强调对个人权利的保护。第六章数据及本地存储与跨境流动理论命题6-2通过提高跨境并购的成本和降低跨境并购能够获得的潜在收益，数据保护法规实施会对数字企业的跨境并购产生负面影响。参见“马述忠、吴鹏、房超，东道国数据保护是否会抑制中国电商跨境并购，中国工业经济，2023年第93卷第2期，第93-11页”第二节数据主权第二节数据主权第六章数据及本地存储与跨境流动2018年GDPR出台，成为欧盟统一的数据保护条例。欧盟要求其境内数据处理和控制机构的数据应用行为必须遵守GDPR部分在欧盟境外设立的公司，如果对欧盟境内个人进行监控，或者为欧盟境内个人提供商品和服务，必须遵守GDPR。GDPR使充分性认定成为欧盟主要的数据跨境流动管理机制数据接收国只有在具备与欧盟相当的个人数据保护水平时，才能获得欧盟委员会的充分性认定，数据才能合法流动到该国。未通过欧盟充分性认定的国家要实现与欧盟的数据跨境流动，必须寻找相应的替代性途径，包括签订标准合同、制定约束性企业规则和实行企业认证。通过充分性认定机制，欧盟希望其他国家的数据保护法律能与GDPR融合。专栏6-2《通用数据保护条例》概述第二节数据主权第六章数据及本地存储与跨境流动GDPR要求实施数据安全评估要求欧盟境内所有企业实施最广泛的数据安全评估，包括隐私影响评估、数据安全审计和数据政策检查。要求超过250人的企业必须设立数据保护官，专门负责制订企业隐私政策，向企业最高领导负责。GDPR首次提出数据遗忘权第17条第1款将数据遗忘权定义为“当数据主体依法撤回同意或者数据控制者不再有合法理由继续处理数据时，数据主体有权要求删除数据。”数据遗忘权体现了欧盟对个人数据自主权的维护专栏6-2《通用数据保护条例》概述第二节数据主权第六章数据及本地存储与跨境流动二.数据主权与数据本地存储（一）实施数据本地存储的原因：维护国家数据安全如果不对数据跨境流动施加限制，可能会产生安全隐患。2022年4月，中国国家安全机关公布一起为境外非法提供高铁数据的重大案件。上海某科技公司为牟取利益，持续采集和传递中国铁路信号数据给境外公司，而境外公司与某西方大国间谍情报机关、国防军事单位和多个政府部门均有长期合作关系。第二节数据主权第六章数据及本地存储与跨境流动二.数据主权与数据本地存储（一）实施数据本地存储的原因：维护国家数据安全数据本地存储要求与国家安全相关的数据必须存储在国内服务器如果数据留在境内，网络安全主管部门可以依据国内法律法规强制信息系统所有者或运营者采取足够的安全措施。诸多国家实施数据本地存储以期在最大程度上免受国外监视，减少国家情报泄露风险。俄罗斯、越南和印度尼西亚等国均认为，数据本地存储可以最大程度保护本国数据免受国外监控。第二节数据主权第六章数据及本地存储与跨境流动二.数据主权与数据本地存储（二）实施数据本地存储的原因：保障企业数据安全组织数据主权主要指企业数据主权数据是企业最宝贵资产之一，企业数据不仅包括研究成果、运营、商标、盈利等数据，还包括企业合法收集到的客户原始数据及其加工后的衍生数据。通过提供电子邮件、搜索引擎和社交软件等免费服务，许多数据科技公司获取大量客户原始数据。第二节数据主权第六章数据及本地存储与跨境流动二.数据主权与数据本地存储（二）实施数据本地存储的原因：保障企业数据安全企业数据一旦被传输至境外，企业自身就难以对其有效约束和控制。当企业数据从保护水平较高的国家向保护水平较低的国家流动时，后者很难确保流动过程安全性以及流动后能妥善保管和使用，导致企业数据权益无法得到有效保护。即使数据接收国具备较高保护水平，也难以完全履行保管义务，企业仍面临潜在黑客攻击威胁，稍有不慎就会发生数据泄露事故。第二节数据主权第六章数据及本地存储与跨境流动二.数据主权与数据本地存储（三）实施数据本地存储的原因：保护个人隐私安全在大数据时代，个人数据主权遭到前所未有侵害，隐私泄露和数据胁迫事件频发。各国数据保护体系不一致、标准不统一，导致个人对跨境隐私侵权事件防范难、维权难。英国剑桥分析公司非法使用9000万名脸书用户个人资料，包括种族、性格和信仰等隐私信息，影响美国大选行情，2018年5月宣布破产。2018年7月，新加坡近150万公民医保资料以每份35元的价格在暗网出售，受害者甚至包括新加坡领导人。第二节数据主权第六章数据及本地存储与跨境流动二.数据主权与数据本地存储（三）实施数据本地存储的原因：保护个人隐私安全原则上数据本地存储要求数据境内存储，如果跨境传输要通过安全评估或获信息主体告知同意，这可以有效规避跨国隐私泄露。数据本地存储要求个人信息存储在境内；或是在获得“专业机构个人信息保护认证”、满足“与境外接收方订立合同”条件下出境，且他人不得以违反本人意愿的方式对个人信息进行处理及跨境传输。第二节数据主权第六章数据及本地存储与跨境流动理论命题6-3就消费者数据国际保护而言，增加数据使用透明度可以有效保护消费者隐私、提高消费者效用；一个国家单方面的数据监管会加剧数据使用扭曲和产出扭曲，降低全球福利。参见“YongminChen、XinyuHua、KeithE.Maskus，InternationalProtectionofConsumerData，JournalofInternationalEconomics，2021年第132卷，第103517页”第二节数据主权第六章数据及本地存储与跨境流动三.数据主权与数据跨境流动（一）推进数据跨境流动的障碍：国家数据主权的过度主张国家数据主权是指一国对其境内数据拥有的排他性权力，诸多国家主张这种排他性控制权，要求本国数据只能存储在境内，采取一系列措施阻碍数据跨境流动。自2018年起，德法主张“欧洲数字主权”，通过创建欧洲云，使欧盟政府机构和企业将数据存储在位于欧盟的服务器上，以强化对数据和数字基础设施的主权控制，客观上阻碍了数据跨境流动。德国前总理默克尔更是指出“数据主权至高无上”第二节数据主权第六章数据及本地存储与跨境流动三.数据主权与数据跨境流动（二）推进数据跨境流动的障碍：本国数据产业的过度保护由于各国数字经济发展不均衡，相对弱势的国家为提高本国产业竞争力，会采取限制数据跨境流动的措施。过去十几年，数字经济“马太效应”渐显，众多发展中国家为应对发达国家数字产业竞争，对特定等级数据跨境流动加以限制，以避免本国数据资源包括社交网络数据、商业系统数据和物联网数据流出。2020年4月中国贸促会发布的《欧盟营商环境报告2019/2020》显示，为促进数字产业发展，欧盟出台并大力推行GDPR，使60.7%被调查企业数据跨境业务受阻。第二节数据主权第六章数据及本地存储与跨境流动三.数据主权与数据跨境流动（三）推进数据跨境流动的障碍：公民个人数据权的过度申索个人数据权建立在“个人信息自决理论”基础上为保障人格自由发展，个人需要掌控自身数据对外披露的程度和使用情况，有权知晓个人数据在多大程度上被公开、向谁公开以及如何被公开。个人数据权要求非经数据主体同意，其他主体不得私自传输该主体数据，这会阻碍数据跨境流动，增加数据跨境合规难度。1995年10月欧盟出台《第95/46/EC号保护个人在数据处理和自动流动中权利的指令》，成员国应规定只有在数据主体明确表示同意情形下才可以处理个人数据。跨境数据通常是大数据，如果过度申索个人数据权，要求数据跨境需征得每个数据主体同意，会增加数据跨境流动成本，阻碍数据跨境流动。第三节数据本地存储第六章数据及本地存储与跨境流动一.数据本地存储的内涵与外延（一）数据本地存储的内涵2013年美国“棱镜门”事件曝光，全球对数据安全的担忧蔓延滋长。国家间“数字鸿沟”往往会导致数据流向数字技术强国，倒逼处于相对劣势的国家采取数据本地化的防御策略。很多国家提出了不同程度的数据本地存储要求在数字贸易领域，数据本地存储是一个发展最快的概念，涉及互联网治理、国家安全和国际贸易规则等热门话题。第三节数据本地存储第六章数据及本地存储与跨境流动一.数据本地存储的内涵与外延（一）数据本地存储的内涵数据本地存储要求一国依据法律或法规将在其境内运营中收集和产生的个人数据存储在境内2019年12月印度出台《个人数据保护法案》，规定“个人敏感数据应该储存在印度境内”。2021年11月中国出台《个人信息保护法》，要求“应当将在中华人民共和国境内收集和产生的个人信息存储在境内”。2022年7月俄罗斯修订《个人数据保护法》第266-FZ号联邦法律，“为维护俄罗斯联邦宪法制度原则、道德、健康、权利和公民合法利益以及保障国防和公民安全，个人数据的跨境传输可能会被禁止或限制”。第三节数据本地存储第六章数据及本地存储与跨境流动一.数据本地存储的内涵与外延（一）数据本地存储的内涵数据本地存储要求一国依据法律或法规将在其境内运营中收集和产生的企业或机构数据存储在境内2017年7月澳大利亚出台《审慎标准CPS231》，规定“来自银行、保险和养老金行业的重要数据应当在境内存储”。2020年2月巴西出台《通用数据保护法》，规定“来自特殊部门如金融行业和公共领域的重要数据应当存储在境内”。第三节数据本地存储第六章数据及本地存储与跨境流动一.数据本地存储的内涵与外延（一）数据本地存储的内涵数据本地存储要求一国依据法律或法规将在其境内运营中收集和产生的个人数据和企业或机构数据存储在境内中国2017年6月出台《网络安全法》、2021年9月出台《数据安全法》，规定在中国“境内运营中收集和产生的个人信息和重要数据应当在境内存储”。2016年8月菲律宾出台《数据隐私法实施细则和条例》，要求“对公众与私有数据管理员和处理人员掌握的数据实行本地存储”。第三节数据本地存储第六章数据及本地存储与跨境流动数据本地存储是指一国依据法律或法规将在其境内运营中收集和产生的数据存储在境内的方式和结果。第三节数据本地存储第六章数据及本地存储与跨境流动一.数据本地存储的内涵与外延（二）数据本地存储的外延按照适用情形划分，数据本地存储大致分为基本原则和例外两类。禁止境内数据出境、在境内存储和处理数据等构成基本原则在满足一定条件时，如在境内服务器或数据中心保存数据副本，经数据主体同意或规制机构许可的境内数据出境构成例外。中国《个人信息保护法》第40条表示，确需向境外提供的，应当通过国家网信部门组织的安全评估。第三节数据本地存储第六章数据及本地存储与跨境流动一.数据本地存储的内涵与外延（二）数据本地存储的外延中国《个人信息保护法》：“在中华人民共和国境内收集和产生的个人信息应存储在境内”是基本原则，“满足经专业机构进行个人信息保护认证或与境外接收方订立合同等条件之一即可出境”是例外。印度《个人数据保护法案》：“关键个人数据不得出境”是基本原则，“对于关键个人数据之外的个人数据，满足经数据主体同意、根据机构批准的标准合同条款或集团内部规则进行转移、经印度个人数据保护部门批准等条件之一即可出境”是例外。第三节数据本地存储第六章数据及本地存储与跨境流动2011年1月中国人民银行发布《关于银行业金融机构做好个人金融信息保护工作的通知》，要求对个人金融数据实施本地存储。第6条规定“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息。”2014年10月出台《反恐怖主义法（草案）》，要求对电信和互联网用户的个人数据实施本地存储。第15条规定“在中华人民共和国境内提供电信业务、互联网服务的，应当将相关设备、境内用户数据留存在中华人民共和国境内。”专栏6-3中国对数据本地存储的要求第三节数据本地存储第六章数据及本地存储与跨境流动2017年6月出台《网络安全法》，作为中国网络安全领域第一部全局性的基本大法，对个人数据和企业或机构数据的本地存储做出了规定。第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”第一次明确提出数据“本地储存、出境评估”制度专栏6-3中国对数据本地存储的要求第三节数据本地存储第六章数据及本地存储与跨境流动2021年9月出台《数据安全法》，是中国数据安全领域的基本法，对个人数据的本地存储做出了规定。第36条规定“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”立法中提出的“安全有序自由流动”原则值得关注2021年11月出台《个人信息保护法》，在《数据安全法》基础上对个人数据本地存储的例外情形进行了补充。第38条指出个人数据并不必然要在中国境内存储，更不必然被禁止向境外传输，如果“企业能获得专业机构个人信息保护认证或按照国家网信部门制定的标准合同与境外接收方订立合同”，可以将数据传输至境外。专栏6-3中国对数据本地存储的要求第三节数据本地存储第六章数据及本地存储与跨境流动二.实施数据本地存储的主要障碍（一）跨境数据权属存在争议数据权属是指数据所有权归属云计算、云存储和区块链等数字技术的快速发展导致难以界定数据所有权归属于哪个国家，也就难以实施数据本地存储。在云计算、云存储等云领域，跨境数据不仅可以快速移动，还可以被拆分与其他数据混合，进入不同司法管辖范围，难以判断数据所有权归属于哪个国家，对一国实施数据本地存储造成障碍。一些数字平台企业的总部、数据存储中心和数据处理中心分布在不同国家，会直接引发数据权属争议。第三节数据本地存储第六章数据及本地存储与跨境流动二.实施数据本地存储的主要障碍（一）跨境数据权属存在争议在区块链尤其是完全去中心化的公有链中，数据并非储存在某一单独服务器，而是由所有区块链用户同时存储，任一节点都不能对数据进行加工和排他性控制，即任一节点都不享有数据所有权，各节点所在国家无法阻止数据出境，也就难以实施数据本地存储。第三节数据本地存储第六章数据及本地存储与跨境流动二.实施数据本地存储的主要障碍（二）国家数据治理能力不足如何评判一国是否具有数据治理能力是否有足够技术能力识别并及时切断危及国家安全和社会稳定的数据流动是否能通过立法和行政手段，将数据在产生、使用和流动过程中对国家、社会和个体产生的危害降低到合理限度。是否能进行有效的数据出境安全评估和跨境数据监管执法第三节数据本地存储第六章数据及本地存储与跨境流动二.实施数据本地存储的主要障碍（二）国家数据治理能力不足数据治理能力较弱的国家为什么难以实施数据本地存储数据本地存储要求相关国家具备高效运营当地数据中心和保护数据库免受黑客入侵的技术能力数据本地存储要求一国推行有效的数据安全管理制度和数据跨境流动法律法规，在维护本国数据主权的同时，尽可能降低对国家、企业和个人产生的负面影响。数据本地存储涉及国家安全、经济发展和人权等若干目标，要具备完善的数据出境安全评估配套措施和足够的跨境数据监管执法能力。第四节数据跨境流动第六章数据及本地存储与跨境流动一.数据跨境流动的内涵与外延（一）数据跨境流动的内涵1974年美国学者戈特利布·艾伦在《美国国际法学》发表《通过通信和计算机系统的跨境信息传输：问题、方法和指导原则》一文，指出“跨境数据流动是指存储在计算机中的数据通过电子手段实现跨境流动”，引发学界对数据跨境流动的关注。进入21世纪，与数据跨境流动相关的研究越来越多，但对数据跨境流动的内涵，学界尚未达成普遍共识。第四节数据跨境流动第六章数据及本地存储与跨境流动一.数据跨境流动的内涵与外延（一）数据跨境流动的内涵数据跨境流动建立在一国依据法律法规进行安全评估的基础上中国《个人信息保护法》第40条规定，“数据确需向境外提供的，应当通过国家网信部门组织的安全评估”。欧盟GDPR对数据跨境流动的充分性认定机制包含安全评估，要求评估数据接收国是否具备与欧盟相当的数据保护水平。数据跨境流动表现为一国将在境内运营中收集和产生的数据提供给境外主体中国《网络安全法》第37条和《个人信息保护法》第38条均指出，数据跨境流动表现为“将在中华人民共和国境内收集和产生的”数据“向境外提供”。第四节数据跨境流动第六章数据及本地存储与跨境流动数据跨境流动是指一国依据法律或法规在安全评估基础上将在其境内运营中收集和产生的数据提供给境外主体的过程和结果。第四节数据跨境流动第六章数据及本地存储与跨境流动一.数据跨境流动的内涵与外延（二）数据跨境流动的外延按照流动形式划分，数据跨境流动既包括数据跨越国界的情形，又包括数据虽未跨越国界，但可以被境外主体访问查看的情形，只要确实达到数据出境效果即为跨境流动。中国信息通信研究院发布的《大数据白皮书》（2016年12月）和全国信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南》（2017年5月）均指出，数据跨境流动并不完全等同于数据跨越国境，境外主体获得境内数据的方式可以是数据跨越国境，也可以是境外主体通过访问境内数据载体查看数据。第四节数据跨境流动第六章数据及本地存储与跨境流动二.推进数据跨境流动的主要原因（一）捕捉国际贸易需求数据跨境流动可以使企业基于消费大数据掌握境外消费者偏好，捕捉国际贸易需求。通过数据跨境流动，从事国际贸易活动的企业可以快速便捷地获取别国消费者数据，捕捉消费者需求信息。企业可以基于需求信息打造柔性生产体系，打造多元化、定制化的生产模式，满足消费者的个性化、差异化需求。对出口软件、音乐等数字内容企业而言，产品时效性强，需要不断升级换代以吸引消费者，数据跨境流动可以使企业快速掌握海外消费者需求。第四节数据跨境流动第六章数据及本地存储与跨境流动二.推进数据跨境流动的主要原因（二）降低国际贸易成本推进数据跨境流动可以降低国际贸易成本，提高中小企业存活率。2016年美国国际贸易中心报告显示，数据跨境流动使国际贸易成本平均降低26%，使用互联网交易的中小企业存活率提升到54％，高出线下企业30％。数据跨境流动可以降低外贸企业运营成本在较为宽松的数据跨境流动政策下，企业对数据存储中心选址的自由度提高，可以将数据存储中心设在能源价格较低、兼顾安全和成本因素的位置。数据跨境流动可以降低外贸企业营销成本企业可以利用其掌握的消费者偏好数据实现定向引流，减少大规模广告投入。第四节数据跨境流动第六章数据及本地存储与跨境流动二.推进数据跨境流动的主要原因（二）降低国际贸易成本数据跨境流动可以降低外贸企业沟通成本企业通过购买出口目的国数据增进对目的国国家政策、市场状况的了解，最大程度规避国际贸易谈判的语言障碍、心理障碍和商务礼仪障碍等沟通障碍。第四节数据跨境流动第六章数据及本地存储与跨境流动二.推进数据跨境流动的主要原因（三）促进国际监管协调推进数据跨境流动有利于推动跨境信息交换和跨境监管执法互助，有利于国家间监管协调。在处理跨境网络经济犯罪案件时，数据跨境流动有利于一国执法人员从另一国监管机构处及时获取所需数据，缩短境外取证时间，提高案件办理效率，促进特殊情况下证据的共享。如果各方都过于强势地主张数据主权，执法人员境外取证将面临困难，这无益于国际监管协调，不利于国际贸易争端解决。第六章数据及本地存储与跨境流动理论命题6-4数据跨境流动协议的签署能够显著促进国际服务贸易的开展，并通过克服地理距离限制以促进国际货物贸易。参见“ShuzhongMa、YutingShen、ChaoFang.CanDataFlowProvisionsFacilitateTradeinGoodsandServices?-AnalysisBasedontheTAPEDDatabase，TheJournalofInternationalTrade&EconomicDevelopment，2023年第卷第期，第页”第四节数据跨境流动第四节数据跨境流动第六章数据及本地存储与跨境流动2020年4月上海印发《中国（上海）自由贸易试验区临港新片区通信基础设施专项规划（2020-2025）》建立离岸数据中心，构建国际互联网数据专用通道。离岸数据中心可以自由畅通连接境外业务系统及公共网络，既能解决本地访问速度问题，又能解决国际访问畅通问题。设立数据交易所，组织和监管数据交易。数据交易所应当制订数据交易规则和其他有关业务规则，探索建立分类分层的新型大数据综合交易机制，对数据交易进行合规性审查、登记清算和信息披露。打造立足长三角、面向亚太、通达全球的国际通信枢纽和国际信息港，推进5G、光纤宽带、工业互联网、物联网、数据中心和边缘计算等通信基础设施建设。专栏6-4中国推动数据跨境流动的举措第四节数据跨境流动第六章数据及本地存储与跨境流动2020年8月商务部印发《全面深化服务贸易创新发展试点总体方案》支持试点地区对集成电路、人工智能、工业互联网、生物医药、总部经济等重点领域开展数据跨境流动安全评估鼓励试点地区积极探索建立数据安全管理制度，如数据保护能力认证、数据流通备份审查等。2020年8月海南印发《智慧海南总体方案（2020-2025年）》制定与数据跨境流动紧密联系的数据安全管理机制，优先探索旅游、跨境贸易等领域的数据跨境流动。建立区域性跨境数据流动规则和白名单机制，建立我国的数据跨境流动合作“朋友圈”。专栏6-4中国推动数据跨境流动的举措第四节数据跨境流动第六章数据及本地存储与跨境流动2021年6月中国出台《数据安全法》鼓励数据依法合理有效利用，保障数据依法有序自由流动