肖雄

华东政法大学硕士研究生

要目

一、国际贸易中的跨境数据流动

二、跨境数据流动的监管机制

三、我国对跨境数据流动的立场、困境以及应对路径

在数字贸易时代，数据就是经济的命脉，跨境数据流动是数据传输的桥梁，如何保障桥梁有序畅通是国家与国际组织需要考虑的重要议题。WTO原有规则对跨境数据流动只能起到有限的规制作用，并不能应对指数式发展的数字贸易。多边规则也在为跨界数据流动的规制做努力，例如经合组织隐私指南，亚太经合组织CBPR。WTO电子商务诸边谈判也在进行中，但是中美欧三方并不能达成一致，特别是中美之间对于数据自由流动为原则存在重大分歧。同时区域贸易协定中跨境数据流动的规则蓬勃发展，比如USMCA，CPTTP。中国应该积极参与数字贸易全球治理，从制度与战略层面参与跨境数据流动国际规则的制定，提高数字贸易话语权。

世界正在逐渐全球化和数字化，互联网、云计算和通信技术正在推动新的商业模式的发展，并改变商品和服务的生产和交易方式和地点。在这个数字时代，贸易和生产在很大程度上依赖移动、存储和使用数字信息。越来越多的数据开始跨境流动，并且能够通过全球产业链协调国际生产过程，这将能帮助中小企业进入全球市场。数据它是一种本身可以交易的资产和提供服务的渠道，也是贸易便利化自动化的关键组成部分，在数字时代，数据是国际贸易的命脉。我国作为电子商务第一大国和数字经济第二市场，在数字经济时代，必须要抢占跨境数据流动全球规则的制定权。特朗普上台后与其盟友对中国全方位打压，特别是针对数字高科技企业。华为海外受挫断供，TikTok被要求卖给美国企业、WeChat被禁止交易以及印度要求小米不能移出数据等都与数据的跨境流动有关，我国在此领域需要从制度和战略上双重出击，构建好我国跨境数据流动制度并在国际规则制定中推广。笔者将分析国际贸易中的流动数据的性质，以此区分其与货物贸易、服务贸易的区别，并从多方面分析跨境数据需要的监管原因，探究多边规则、区域贸易协定、WTO规则对数据跨境流动的监管机制，最后分析我国设立跨境数据流动规则面临的症结以及提升路径。

一、国际贸易中的跨境数据流动

贸易的数字化对日常生活和工作的影响也是革命性的，数字化已经渗透到经济活动的各个方面，其影响只会继续扩大和加速。数据的使用也改变了制造业，促进了一场新的生产革命，其也催生了新的“信息产业”，如云计算、大数据分析、5G，这些产业对一个国家的经济作出了重大贡献。所以探析数据的性质，其与传统的服务贸易、货物贸易的区别以及在国际贸易中的作用尤为重要。

跨境流动之数据

关于贸易背景下数据的辩论往往围绕三类数据的流动展开：个人数据或个人可识别信息、部门特定数据(包括商业、金融和健康数据)，以及重要数据。

数据是大量的、无序的或未经处理的点，当分析以确定数据点之间的关系时，它们就成为信息。可以理解为数据的价值在合并时增加，并大于其部分的总和。比如说淘宝在搜集一个人的购物数据时，并不能起什么作用，但是如果将大量用户的购物数据汇集到一起，公司能将某种特定的广告推送给这一类人，以产生经济效应。

《经济学人》将数据描述为一种新的原材料，如石油，其与资本和劳动力相当。但是这种定义类比其实差之毫厘谬以千里。石油的供应者是有限的，只有国家固定的公司企业才有能力提供石油，或者说是出于石油生产链条上，但是数据不一样，每一个与互联网接通的设备持有者都可以产生数据。此外，石油是一种有限资源，但是数据是可以无穷无尽的。还有学者认为可以把数据认作一种财产形式，即个人可以对数据主张财产权和控制权。这种观点也是欧盟委员会《通用数据保护条例》（GDPR）的基础。但是在这种假设之下，监管机构认为数据是一种财产形式，公司将不得不向用户支付许可费，支付收集和使用数据的费用，并且不再免费提供服务。还有将数据作为资本形式、劳动力或者基础设施的观点，此处不再赘余。

数据跨境流动与货物贸易、服务贸易

数据与信息长期以来一直是贸易的关键组成部分。跨境数据流动是指计算机服务器之间跨越国界的信息流动或转移。但是跨界数据流动可能并不符合传统的贸易定义。数据创造了新的贸易形式，其与货物贸易或其他类型的服务有很大不同。

第一，数字服务贸易不同于其他服务贸易，因为供应商和消费者不需要在同一实际地点进行交易。第二，数据贸易流动频繁，在无边界网络上难以确定其位置。同一组数据的交易可以在很短的时间内重复发生(例如每年双十一，如果涉及海外直购，某种商品的购买次数可能在不同的地方出现好多次)。这可能导致很难确定什么是进出口以及数据何时受国内法的管辖。第三，数据贸易是完全发生在互联网平台上的。第四，大部分跨越国界和为新部门提供动力的数据都是由人们创造的个人数据。虽然他们可能受益于基于该数据的服务，但作为该数据来源的人却不能管理控制、交换和核算该数据。这与服务贸易、货物贸易中当事人掌控交易品是不一样的。最后，当数据跨境流动时，它可能与交易关联，也可能不关联。因此，很难将其中一些流动描述为“交易”。

二、跨境数据流动的监管机制

随着数据在经济和社会中越来越重要的作用和价值，数据处理和数据共享的影响触及了大量的国家政策利益。就国际贸易而言，影响跨境数据交换和移动可能性的措施（有条件的跨境数据传输或本地存储要求）尤其重要。各个国家和相关国际组织多年来一直在努力制定全球规则，以管理世贸组织和双边贸易协定中的跨境数据流动。

跨境数据流动需要监管的原因

关于跨境数据流动的大部分辩论争议都是围绕着个人的可识别信息，其引起了国家社会、个人对隐私的关切。“个人数据”是指与已识别或可识别的自然人（“数据主体”）有关的任何信息。数字社会中，在数据驱动的经济模式下，机构或者企业收集和使用数据，用户在没有完全知情同意的情况下提供了他们的个人数据，他们提供的数据会经过整理分析以货币化，但是作为回报他们可以获得了数字技术提供的许多免费服务。此种看似互利互惠的模式中，个人可能会处于一种“衣不蔽体”的状态，从基础的数据库看，族裔、政治或宗教信仰、生物特征数据、健康数据、性取向、精确地理定位数据等都可能不再是隐私。

一些限制数据流动的措施旨在实现不同的监管目标。从这个意义上讲，对数据本地化的要求可以被视为在线等同于离线世界中的一种长期做法，即确保监管机构可以随时获取信息。这些措施可以针对具体部门，反映特定的监管要求，并针对特定的数据，如商业账户、电信或银行数据。最典型的是USMCA中关于金融业的数据存储进行了特别规定，其目的是为了成员金融监管机构可以立即、直接、完全及持续获取“涵盖金融服务提供者”使用的境外金融服务计算设施所处理或存储的信息。

国家安全是很多国家考虑跨境数据流动时需要首要考虑的因素，因为互联网传输的特点，占有终端优势的一方可以以互联网为手段监控他国甚至达成破坏国家安全的目的。比如“棱镜门”事件中美国对欧洲国家的互联网监控。所以很多国家都采取了相关的应对措施，比如2018年3月，美国通过澄清域外合法使用数据法（CloudAct），该法案允许美国政府强制要求互联网企业向政府披露处于该企业控制下的数据，无论数据是否存储于美国境内。该法案使美国获得数字领域的“长臂管辖权”，确保美国对数据的管辖，保护国家安全。

限制数据跨境流动或强制将其存储在本地的其他原因可能是出于鼓励和发展本地数字产业的目的。因为使用保有庞大的本地数据库，可以给予国内相关企业机构相对于外国竞争者的先发优势。这是监督管理数据的方法一种数字产业政策，其表明国家的价值趋向，数据是一种资源，首先需要提供给国家生产商或供应商。

跨境数据监管发展与现状

各主要互联网国家多年来一直在努力制定跨境数据流动的全球规则，以管理WTO和双边贸易协定中的跨境数据流动。最早的国际贸易协定中也有若干协定处理影响数据和数字贸易问题。比如《信息技术协定》（ITA）、《与贸易有关的知识产权协定》（TRIPS）、《服务贸易总协定》（GATS）。其中GATS与跨境数据流动以及数据驱动服务最相关，GATS有关于金融服务、电信和计算机服务的章节。GATS于1995年1月生效，但是它诞生之后才有互联网的普及和全球数据流动的爆炸性增长，所以谈判协议中许多数字产品和服务不包括在内，其中也没有对跨境数据流动做出明确的规定。然而，争端解决机构（DSB）将该协定解释为适用于各种计算机和电信服务，虽然他们认为该协议在技术上是中立的即能适用于不断变化的技术。《TRIPS协定》同样体现了技术中立的特点，对知识产权的保护延伸至在线数字内容。因此，总体上跨境数据流动还是受到WTO规则的约束，但是面对发生巨大变化的贸易形式和指数上涨的跨境数据，世贸组织的规则需要放大和澄清才能适用于新的数据驱动服务。

在2017年12月在布宜诺斯艾利斯举行的第十一届世贸组织部长级会议上，澳大利亚、日本和新加坡在世贸组织其他67个成员国的支持下，发起了电子商务联合声明倡议，他们希望就成员国应该谈判什么以及如何谈判达成共识。为了促进这一倡议的落实，各国已提出建议和相关背景文件。但是其中许多成员没有明确区分电子商务和数据服务，互联网基础设施薄弱的国家与互联网强国的立场也存在很大差异。尽管存在这些差异，2019年1月25日，约76个世贸组织成员同意开始电子商务谈判。虽然商业团体对此表示赞赏，但民间社会组织和国际劳工团体反对谈判，他们认为新协议将威胁就业、隐私和数据安全。

与此同时许多国家，包括美国、加拿大、中国、日本、欧盟、澳大利亚、韩国、新西兰、新加坡、俄罗斯等互联网基础设备比较发达的国家，都希望继续推动谈判。同时赞同的国家之间立场也存在较大差异。美国、加拿大、欧盟和巴西普遍希望制定跨境数据流动的普遍的规则，并提倡跨境数据的自由流动，反对数据本地化措施。欧盟强调保护个人隐私至上的做法与美国产生分歧，同时俄罗斯更关心国家安全和数据自由流动所带来的风险，更愿意使用国内监管来限制此类流动。发展中国家内部也存在分歧，大多数国家的决策者和商界领袖愿意谈判电子商务因为他们认为传统的电子商务可以帮助他们的农民和公司直接与世界各地的消费者进行贸易。与此同时许多国家对谈判数据驱动的服务持谨慎态度，因为他们国内可能缺乏数据驱动的公司，自身的网络基础设施薄弱，比如，非洲和拉丁美洲合起来拥有的主机代管数据中心占世界总数的不到5%，Google,Facebook等互联网巨头通过数据化整合占据了全球移动互联网垄断地位，建立“互联网数据帝国”，此种情况之下，这些国家的担忧也不无道理。

同时，在世贸组织谈判没有取得重大进展的情况下，美国、欧盟、澳大利亚、加拿大和其他国家在其自由贸易协定的电子商务章节中列入了关于跨境数据流动的措辞。随着数字经济不断扩张，重要性不断提高，美国、墨西哥、加拿大、欧盟和日本最近重新命名了“数字贸易”章节。

多边规则对跨境数据流动的规制

经合组织1980年《隐私指南》确立了第一套国际隐私原则，旨在确保在技术带来的新挑战面前保护隐私，并避免对数据流动及其所带来的经济和社会利益施加不合理的限制。这些经合组织准则旨在协助各国制定国家数据隐私政策。2013年对准则进行了更新，鼓励各国在隐私问题上开展合作，并支持制定国际安排，促进隐私框架之间的互操作性。最新的准则确定了各国在制定国家政策时应考虑的具体原则。

亚太经合组织领导人于2011年批准的《亚太经合组织跨境隐私规则》（CBPR）是亚太经组织经济体制定的一个隐私行为框架。CBPR系统为政府和企业制定了一套保护个人数据和允许CBPR成员之间跨境数据流动的原则。它们旨在平衡信息隐私与商业需求和商业利益，并促进数字贸易以刺激该区域的经济增长。而不是制定一套新的国际法规，亚太经合组织框架和CBPR系统确定每个亚太经合组织成员可以根据其国内法律制度量身定做的最佳做法，并允许各国之间的互操作性。CBPR的范围和实施机制可以根据每个成员国的法律法规而有所不同，为政府设计国家隐私方法提供了灵活性。规定了成为CBPR成员的条件，以及亚太经合组织隐私框架原则。随着参与经济和组织数量的增加，CBPR越来越重要，CBPR可能扩展到亚太经合组织之外，变为跨境数据流动和个人隐私保护的国际规则。

在经合组织原则和20国集团先前工作的基础上，2018年20国集团数字经济部长宣言确定了以下原则：“促进对信息和通信技术的使用，并协助各国政府重塑其能力和战略，同时尊重不同国家的适用框架，包括在隐私和数据保护方面。”之后2019年日本主办的G20峰会数字经济部长宣言中重审，数据的自由流动带来了某些挑战。通过继续应对与隐私，数据保护，知识产权和安全性相关的挑战，需要进一步促进数据自由流动并增强消费者和企业的信任。虽然该宣言并没有法律拘束力，但是它体现了各国对于跨境数据流动的关切，以及对于个人隐私保护的重视。现阶段并没有专门针对隐私或跨境数据流动的全面多边规则，电子商务谈判也正在采取多边谈判的方式正在进行，但是各国很难达成妥协，所以此种局面之下20国集团峰会的共识也有益于谈判进行。

WTO规则对跨境数据流动的规制

将互联网时代之前诞生的《服务贸易总协定》规则应用于与数据相关的争端具有挑战性。首先跨境数据流动不仅涉及服务贸易，也涉及货物贸易，当服务成为商品的一个组成部分时，将措施中与商品相关的和与服务相关的部分分离可能是具有挑战性的。其次，GATS和GATT都对数据流动产生影响，因为数据措施可能会影响货物、具有嵌入或嵌入服务的货物和数字化服务。每一协定的承诺和义务各不相同，因此评估一项具体措施的合法性是复杂的，按照不同协定下的义务或者承诺会有不同的结果。例如，根据GATT规则，国民待遇自动延长，而在GATS中，国民待遇是一项谈判承诺，因国家和部门的不同而有所不同。因此，国家关于跨境数据流动或者数据本地化措施的合法性可能取决于受影响产品的行业分类。再次，世贸组织未能达成数字贸易条约，以适应数字贸易的快速发展，目前也没有监管跨境数据流动的全球框架。世贸组织成员国尚未解决跨境数据转移的合法监管问题，也没有对可能扭曲贸易的行为进行分类。

尽管存在以上弊端，WTO争端解决机构依旧认为WTO规则适用于数字服务。并采取技术中立主义，认为WTO规则能够适用于将来产生的新兴技术。例如，当对跨境数据流动采取的限制措施引起争端时，如果该措施有利于国内服务和服务供应商或对外国服务和服务供应商提出不合理的要求，则WTO协定中有关国民待遇的法律义务就可以被作为理由。同样，在成员国已明确作出GATS承诺的行业，限制或禁止跨境数据流动可能违反市场准入义务。此外，GTAS第14条的一般例外规则可以将明显的保护主义数据限制性措施与合法例外措施区分开来。

总而言之，WTO贸易协定，主要是GATS对于跨界数据流动中隐私保护、网络安全等与跨境数据流动有关的内容都有规定。从理论上讲，GATS原则支持数据流动的开放环境，而不限制成员出于合法理由对互联网进行监管，同时也允许成员国设置不违反规定的例外。

区域贸易协定与跨境数据流动的规制

因为世贸组织在与电子商务有关的事项上进展缓慢，同时跨境数据流动有关的问题在区域贸易协定中日益突出。一些主要世界贸易组织成员，如美国、欧盟、日本等，都在世界贸易组织框架下，试图通过利用区域性的贸易协定去达成规制跨境数据流动的目的，比如《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《美墨加贸易协定》（USMCA）等。

CPTPP是以日本为主导亚太地区11个国家缔结的贸易协定，它是以美国特朗普总统上台后宣布退出跨太平洋伙伴关系协议（TPP）为基础达成的贸易协定。TPP协定中的电子商务一章在CPTPP中并没有发生改变，CPTTP载有一套相对完整的数据流动条款，但是也有政府采购和金融部门的例外，CPTPP中包括有关跨境数据流动和个人信息保护的条款，该案文具体规定，当事各方应允许跨境数据转移，同时协定允许出于合法的公共政策目的采取限制性措施，只要这些措施不是歧视性的或构成变相的贸易壁垒。在当地储存方面，CPTPP规定，“任何一方不得要求被涵盖的人在其领土内使用或定位计算机设施，作为在该领土内开展业务的条件”。在CPTPP中，允许采取与此不符的措施，以实现合法的公共政策目标，条件是这些措施不得“变相限制贸易”或“对使用或放置大于实现目标所需的计算机设施施加限制”。关于隐私问题，CPTPP要求各方建立保护个人信息的法律框架，并制定涵盖在线商业的消费者保护法。它鼓励数据隐私制度之间的互操作性，并鼓励消费者保护当局之间的合作。

USMCA是北美自由贸易协定2.0（NAFTA2.0），其中涉及电子商务或者数字贸易的部分，特朗普政府一再向加、墨两国施压，并最终在协议中确定了“跨境数据自由流动”和“数据存储非强制本地化”的要求。USMCA关于数字贸易的第19章包括消费者保护、个人信息保护、通过电子手段跨境信息转移和网络安全等内容。在TPP的基础上，该协议要求各方达到预期目标，有保护个人信息的法律框架，对在线商业活动有消费者保护法，以及不禁止或限制信息的跨境转移。USMCA规定，“任何缔约方不得禁止或限制信息的跨界转让”，并对例外适用上述类似规定。USMCA也包含了对个人信息保护规定，“各方认识到保护数字贸易用户个人信息的经济和社会利益，以及这对增强消费者对数字贸易信心的贡献。”它要求各方应采取或维持一个法律框架，为数字贸易用户的个人信息提供保护，在这一框架的发展中，USMCA参考了《亚太经合组织跨境隐私规则》和经合组织《隐私指南》等方法。它还促使各方“认识到必须确保遵守保护个人信息的措施，并确保对个人信息跨境流动的任何限制都是必要的，并与所带来的风险相称”。总体而言，USMCA要求各方不限制跨境数据流动，当然允许存在例外，目的是为了实现合法的公共政策目标（例如隐私、国家安全），例外实施也受到该措施不是任意的、歧视性的、变相的贸易壁垒，或大于实现特定目标所必需的条件的限制。

欧盟本身是一个高于自贸协定的整体，欧盟对于跨境数据流动与个人隐私保护有专门的规定。2018年5月生效的GDPR是一个建立在以往欧盟数据保护规则之上综合的隐私制度，其赋予个人控制个人数据的新权利，并制定具体的数据保护要求。GDPR适用于（1）欧盟机构的所有企业和组织，这些企业和组织处理欧盟成员的个人数据，而不论数据的实际处理发生在何处；（2）欧盟以外的实体向欧盟个人提供货物或服务(付费或免费）或监测欧盟个人的行为。关于适用范围的规定扩大了GDPR的监控范围，只要是跟欧盟个人和企业存在关联，那么就要遵守GDPR规定。此外根据GDPR，目前有三种选择可以在欧盟内外传输个人数据，并确保隐私得到维护：1.组织可以使用欧盟批准的具有约束力的具体公司规则或示范合同；2.一个组织或国家通过了委员会认可，被认为对个人数据的保护达到了适当水平，这意味着欧盟认为一个国家或组织的法律和条例提供了充分的数据保护；3.美国的一个组织可能会参加美国-欧盟的隐私盾，用于跨大西洋转移个人数据。可见欧盟对跨境数据流动的标准之高，坚持跨境数据流动下的高标准隐私规则，明确任何关于数据跨境流动等承诺均不可优先于隐私保护，并将个人隐私和数据保护作为基本权利。欧盟也正在推动GDPR成为全球标准，以扩大自己在WTO电子商务谈判中的影响权重，一些公司和组织正在努力的遵守GDPR，以避免被排除在欧盟市场之外、罚款或其他处罚，一些国家也在模仿GDPR的全部或部分规定，以有助于与欧盟的贸易协定或者谈判顺利进行。

三、我国对跨境数据流动的立场、困境以及应对路径

我国立场

国内层面上，我国对跨境数据流动有明显的限制，比如网络安全法规定了个人信息和重要数据的数据本地化措施，并且对于数据的跨境流动采取安全评估制度。关键信息基础设施安全保护条例（征求意见稿）规定关键信息基础设施的运行维护应当在境内实施，并再次强调了个人信息和重要数据的境内储存和跨境流动审批。个人信息出境安全评估办法（征求意见稿）细化了跨境信息流动评估制度，规定了评估所需提交材料，评估程序以及部门。数据安全管理办法（征求意见稿）规定了网络运营者发布、共享、交易或向境外提供重要数据的安全风险评估。国际谈判中，我国对美国所主张的数字化传输内容和服务方面的规则过于敏感和复杂，对于跨境数据流动规则并没有明显偏向和表示。从中国目前缔结的协定来看，在跨境数据流动方面存在较多空白。在WTO电子商务谈判中，中国没有在提案中涉及跨境数据流动议题，也不倾向于将该议题纳入谈判，电子商务条款的核心仍在货物贸易领域。这有可能是因为我国互联网产业发展主要通过互联网平台的技术支持开展跨境货物贸易及相关的支付和物流等服务，更多关注贸易便利化层面的传统议题。

总而言之，我国国内法层面采取限制数据跨境流动和个人信息和重要数据本地化措施，国际层面对跨境数据流动议题避而不谈，在谈判中处于防守状态。

面临的困境

代表数据流的全球互联网协议(IP)流量从1992年的每天约100千兆字节（GB）增长到2017年的每秒45,000千兆字节。但这个世界还只是处于数据驱动经济的早期，在首次上网的人越来越多和物联网扩张的推动下，到2022年，全球互联网协议流量预计将达到每秒150,700千兆字节。数据流量的指数型增长会带给经济巨大的活力，促使一些国家产业升级，大力促进物联网、区块链、3D打印、人工智能等新型技术，最终转化为经济成果。与此同时由数据爆发性发展所导致的数据鸿沟也正在加大，美国和中国这两个国家占了区块链技术相关专利的75%，全球物联网支出的50%，以及全球公共云计算市场的75%以上。或许最引人注目的是，它们占全球70个最大数字平台市值的90%。而欧洲在其中的份额为4%，非洲和拉丁美洲的总和仅为1%。数字贸易以及相关的跨境数据流动成为各主要互联网大国争夺话语权的阵地。

同时，在WTO电子商务谈判中，美国提出的跨境数据流动的新议题已获得欧盟、日本、澳大利亚和新加坡等发达经济体和USMCA其他成员国支持。巴西、墨西哥等发展中经济体也将此类议题系统性地纳入其提案。印度虽然也抵制数据跨境自由流动并支持数据本地化，但是拒绝参加电子商务谈判，剩下的国家和只有俄罗斯与中国的立场接近。同时，由于关于CPTPP和USMCA的谈判已经结束，协定中关于“跨境数据流动”规定已经十分成熟。所以中国要在谈判中抵制该议题难度较大。

总的来说，以欧盟GDPR为代表的跨境数据流动机制（重点保护个人隐私）与美国和日本提出的跨境数据流动规则（重点在于数字自由流动）具有内在一致性。相比之下，中国的个人信息保护缺乏明确具体的法律规范，个人信息保护法截至2020年8月尚未通过，而网络安全法又针对个人信息的跨境流动安全评估制度，由于评估主体的差异性，对于个人信息的保护程度可能存在差异和区别。总之，中国与美欧日在跨界数据流动议题上分歧较大。所以无论是为了在WTO电子商务谈判中增强话语权还是为了RCEP谈判、“一带一路”相关议题、中美第二阶段贸易谈判以及未来的中欧自贸谈判顺利进行，我国都需要加紧制定自己的跨界数据流动规则，并寻求多方认同，以期与美国为主导的数字自由流动规则达成平衡。

应对路径

1.制度层面

一是完善跨境数据流动机制，实现保障国家安全与跨境数据自由流动之间的平衡。一方面需要对数据进行分类管理，允许数据合法跨境流动。我国将数据的安全评估作为数据跨境流动的条件是不符合现实情况的，评估机构很难面对兆亿级的数据游刃有余，所以我国需要建立数据分类制度，分为允许自由流动的和需要经过评估的两部分。对于允许自由流动的数据，在境外数据接收方符合中国个人信息保护和网络安全技术标准的前提下，允许数据跨境自由流动，这里可以借鉴欧盟GDPR标准。对于需要经过评估的数据，首先需要确定哪些数据属于评估范围，不能模糊范围边界，一般而言涉及国家安全、网络安全的重要敏感数据属于其范畴，还有与特殊产业行业发展相关的数据也可以纳入其中，比如航空航天、信息技术等。这样既可以达到数据跨境自由流动的目的也能兼顾重要数据评估，对于我国跨国互联网企业数据回流意义重大。另一方面，合理设计国家安全例外，保障国家安全所需的政策空间。安全例外与重要数据一样是一个含糊不清的说法，同时安全例外因为各个国家文化社会背景不同、信息网络发展不同、政治考虑不同而有着不同的内涵与外延。一些国家为了本国产业竞争力和安全利益，而使用国家安全例外限制数据跨境流动，这是属于安全例外条款的泛化适用。我国应当避免此种做法，随着我国跨国互联网企业增多，我国应当保持前瞻性的视角设置安全例外，以免他国以此为由限制我国互联网企业数据跨境自由流动。目前在WTO电子商务谈判中，针对跨境数据流动的例外与限制，美国提出以“合法公共政策目标”为例外，以数据跨境自由流动为原则，违反必要性及但是此种例外不能违反必要性的原则，日本、加拿大、巴西与美国立场相近，但是他们对于“合法公共政策目标”容忍性更高。欧盟没有设置安全例外条款，但是它设置了综合的个人隐私保护条款。总的来说，美国的“合法公共政策目标”例外可以包含隐私保护的内容，但是例外的要求很高，而欧盟将跨界数据自由流动与个人隐私保护置于同等地位，提高了隐私保护的重要性。我国设置安全例外可以参考美国的“合法公共政策目标”的做法，提高政策灵活性，并吸收欧盟个人隐私保护条款，提高隐私保护水平，以免美国为首的西方国家以此为由发难。

二是提高国内数据保护水平，占领道德制高点。个人信息的保护水平如上所述是国家评判他国网络信息安全的重要指标。在数据作为基础生产资料的信息技术时代，高水平的个人信息保护不仅符合我国互联网用户的合法需求而且也是我国企业进出口他国用户数据的关键因素。2020年5月25日全国人大常委会工作报告在下一步主要工作安排中指出建议尽快完成个人信息保护法、数据安全法的制定。现在正处于WTO电子商务诸边谈判关键环节，建议加快立法效率，对标国际先进保护水平，可以参考欧盟GDPR标准，从而改善数据营商环境，保障我国企业能对等的从他国进口数据。

三是在国际规则中，为政府干预设定明确的行政适当程序。即为政府获取个人、企业数据制定正当程序规则。可以支持日本提案，日本认为政府干预网络空间的正当程序不可预测、不明确，给企业经营者带来了成本和障碍。政府干预的正当程序不明确不仅损害了企业利益，也损害了消费者利益。为确保网上商业环境的可预测性，各成员应在世贸组织内同意为政府干预设定明确的行政适当程序。这些程序应包括但不限于颁布相关法律法规和提出异议程序。此项规则可以作为中国企业出海数据跨境流动的保障，比如小米、字节跳动、腾讯、华为在外国数据的自由流动受到当地政府阻碍或强制调查时，同时在他国攻击中国政府窃取数据的背景下，为中国抢占道义制高点。对于美国自己公布Cloud法案获取对境外数据的“长臂管辖权”同时指责他国政府侵犯用户数据的行为进行反制。

2.战略层面

我国作为作为数字经济第二大国和跨境电子商务最大市场，在数字经济上存在重大利益，随着我国互联网技术的发展，IoT、云计算、5G、区块链等新兴技术都以位列世界第一或第二，从我国的人口规模来看，我国拥有庞大的内部可以发掘，可以预见我国在不远的将来将成为全球互联网数字经济第一大国，所以对于跨境数据流动我国在战略必须保持谨慎又开放的态度。首先，我国不宜回避跨境数据流动问题，而应该在国际贸易谈判中应积极参与数字贸易新规则的制定，特别是在WTO电子商务诸边谈判、区域贸易协定、“一带一路”相关协议中。随着“一带一路”深化发展，沿线各国数字交易逐渐增多，由传统的货物贸易扩展到数字经济，我国要为将来“电子丝绸之路”的建设作前瞻性制度构建，转变发展思路。其次，应当通过多方谈判，积极推行我国的跨界数据流动规则，目标指向广大发展中国家，构建符合多方共同利益的数据流动框架，以对抗美国为主导的跨境数据流动规则，打破美国想以推动跨境数据自由流动之名行通过本国互联网企业全球垄断地位获取全球数据之实的目的。再次，现阶段我国对数据流动的基本谈判立场是在以国家安全为首要，经过评估有限制的转移。不管其目的是为了政治安全还是产业发展，随着我国互联网企业出海扩展，我国应该转变思路，为这些企业数据回流中国打好制度基础，以免落人口实。

全球政治形势的变化对国际贸易产生了多维影响，跨境数据规则制定背后的利益博弈是其主要体现之一，中美欧都在规则制定中提高自己的话语权，其中以中美矛盾最为激烈。现今，世界整体数据流量其实还处于互联网数据爆炸时代的前期，随着新技术的突破，往后跨境数据流动量会指数式增长。而在跨境数据流动规则制定上，美国具有先发优势，已经通过TPP、USMCA等区域贸易协定落实，此外，欧洲、日本等其他互联网大国与美国并不存在根本性分歧。因此，我国有必要从战略和制度角度考量，变被动为主动，把握电子商务复边谈判的机会，力争条款利益最大化，并且在其他区域贸易协定中积极推进我国立场。