安全抑或自由：數據主權謙抑性的展開*

唐云陽

（1.四川大學法學院 四川成都 610000）

習近平總書記多次強調：“沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障”［1］，這一基本論調在數智化時代得到了強有力的印證。當前，數據逐漸成為生產要素與戰略性資源，積極重塑著國家權力體系和國家競爭力體系，各國圍繞數據主權相關的數據管理權和控制權展開激烈爭奪，以謀求數據空間治理的主導權。一方面，數據作為新型戰略資源對全球經濟增長的貢獻己超過傳統跨國際貿易和投資［2］，數據流動所釋放出的巨大潛力激發了更有效的貿易運作，催化了高度創新的社會解決方案，以及完善的政策選擇［3］；另一方面，數據自由流動也會削弱國家對本國數據的管控權，而關鍵信息基礎設施存儲數據的流失甚至會威脅一國的數據主權［4］，因此數據主權流通潛藏著重大風險。尤其是當前的數據主權尚未脫離傳統領土主權控制論，仍將數據主權定位于一種領土排他性及防衛性的“維斯特法利亞主權”［5］，這也造成“允許數據自由流動”與“主張國家安全管控”間的權衡成為數據主權最為強烈的表現形式［6］。本文結合當前國家發展戰略及需要，聚焦歐、美等國的數據主權理念及模式，將“謙抑性”原則引入數據主權領域，作為緩和“數據自由流動與數據安全管制”沖突的權衡工具，以期能夠為我國數據主權的積極發展、合理擴張及規則建構提供新思路及新路徑。

1 積極與激進：數據主權擴張的兩種形態

當前，由于各國際行為主體在數據主權治理上并未形成統一的治理框架，而是由未被普遍接受或停留于單邊、雙邊和多邊協定或貿易規則拼湊而成［7］，因而呈現出數據所有權與執法權的分離化、數據管轄權的碎片化與治理主體不確定化、利益訴求多元化與規則制定單邊化的沖突格局。然而，在這種“分而治之”的格局下，各國卻保持數據主權擴張的基本共識。

1.1 數據主權的積極化擴張

（1）擴張性數據主權立法的國際樣態。面對不確定性且頻繁的數據安全風險，各國通過立法規范及區域性規則的積極擴張予以回應。 在區域性組織層面，擴張性立法體現為各國圍繞經濟貿易、數據安全及數字技術等內容積極建構國家間的區域性數據戰略協議或數據規則，以此獲取在他國的數據管轄權及強化本國（組織）數據規則的全球話語地位。 在國家數據立法層面，各國積極推動相關數據立法、數據規則及法律政策擴張，數據立法規制及保護范圍不斷擴大。 如歐盟以個人數據權及其保護為導向，在“公約、指令、條例及規劃”等系列規范文件上密集出臺并成體系化（見表1）。而美國以市場及商業利益為導向，除各州頻繁頒布獨立的數據規則外，對內民主黨和共和黨在有關數據安全與隱私保護上爭相提出相應法案，對外還積極擴張“指南、框架和協定”等法律規范（見表2）?？梢灶A測，在一段時間內各國對數據主權安全及流動的立法規范將繼續保持擴張趨勢。

表1 歐盟數據主權立法的擴張表現

表2 美國數據主權立法的擴張表現

（2）數據主權擴張策略的不同方式。各國在積極建立和發展數據主權規則的同時，因自身實力和利益訴求差異衍生出數據主權的不同擴張策略，一類是以美國為首的部分國家通過數據單邊立法、長臂管轄等手段實現數據主權的自我擴張；另一類是以俄羅斯為主的部分國家采取嚴格性的數據本地化儲存、數據獨占等方式實現數據主權的自我防御。以歐盟為例，《一般數據保護條例》被視為史上最為嚴格、保護水平最高的數據保護規則，很大程度上源于其數據主權策略擴張的多種渠道。

其一，數據管轄的規制對象擴張。 歐盟通過該條例在數據儲存地標準上確立起了數據控制者或處理者標準，如該條例第3 條規定“本條例適用于在歐盟境內的數據控制者、處理者、接收者對個人數據的處理，無論其處理行為是否發生在歐盟境內。 ”此外，間接或者利益相關第三方也被納入GDPR 的管轄范圍。

其二，數據權利的保護范圍擴張。該條例基于強化個人數據權利與個人數據跨境規制的保障考量，在屬地標準和數據控制者標準基礎上還拓展出“數據主體權利”標準，具體表現為以個人數據保護權取代隱私權成為基本權利［8］，建構了以同意權、訪問權等個人數據權利為核心的權利束，并劃分跨境流動可信國家或地區，確?！巴缺Ｗo水平”的條件充分［9］。這種具有保護管轄色彩的最低聯系標準實際上以保障公民基本權利為表象，強行性地擴張了GDPR 的適用范圍。

其三，“效果”原則的管轄擴張。只要境外的公司行為對境內企業、個人的數據權利產生了某種“效果”或“影響”，歐盟法院即可獲取對境外數據的執法管轄權［10］。

其四，白名單制度的排斥擴張。 歐盟在進行“充分性認定”的數據準出評估后，再利用“白名單制度”將符合充分保護標準的國家列入可進行數據傳輸的正面清單，而對應的“黑名單”國家除非妥協或順從于歐盟規則，否則禁止或嚴格限制數據的流通及調取。從當前發展趨勢看，歐盟“白名單”的成員國不斷增加，未納入該名單的部分國家也圍繞“充分性標準”積極尋求與歐盟開展數字貿易合作的空間。

其五，行政執法的管轄擴張。 GDPR 第58 條賦予本條例監管機構的調查權（第1 款）、矯正權（第2 款）、授權或建議權（第3 款），其中矯正權可向數據控制者或處理者發出警告、訓斥、命令賦權（第2 款a、b、c項），甚至可強加臨時性或終局性的限制，包括數據處理的禁令、行政處罰、暫停數據流入等權力。 該條雖為監督之名，卻有行政命令之實，可在不經他國同意的前提下對域外或其他組織的數據相關主體直接行使行政執法的權力，從而實現行政執法管轄之擴張［11］。 綜上，歐盟通過GDPR 建構出“屬地+屬人+效果原則+黑白名單+行政執法”的嚴格模式，塑造了域內全面管控和域外“長臂管轄”的嚴密體系［9］，有效推動了歐盟標準的全球化擴張。

1.2 數據主權的激進式擴張

數據主權的激進式擴張本質上也屬于一種積極性的擴張，但較之后者，前者在擴張方式的限制性以及對他國網絡主權與數據安全的侵害性上，幅度更大，乃至超出一般防御或流通之必要。

（1）激進式擴張之數據防御主義。決定各國數據主權策略的因素是綜合性的，對發展中國家而言，數據安全才是第一要務。 因此秉持“數據國家主義”立場以追求國家整體利益的最大化是有限理性下的優先選擇，即“數據防御主義”［12］。 數據防御主義普遍存在于大部分國家①根據美國信息技術和創新基金會數據顯示，從2017-2021 年，有關數字信息儲存在特定國家的法律法規及政府政策的數量增加了一倍多，達到144 個。，并因數據流動的限制程度差異而形成一般形態與激進形態，前者是數據治理的常規手段，后者則為極端的數據管控措施。具體包括附條件的流通（歐盟、韓國為代表）、本地備份的流通（印度、印尼為代表）以及剛性禁止的流通（俄羅斯為代表）［13］。 其中，剛性的數據本地化模式是激進式防御主義的典型表征。 這種模式要求數據控制者和處理者將公民個人數據的收集、記錄、整理、積累、存儲、更新、修改和檢索全部限制于本國境內及服務器內［14］，必要時還需履行相關信息告知和協助有關部門執法的義務［15］。其嚴苛性和激進性體現為兩方面：一方面，該模式對數據所承載的安全風險及數字價值秉持一種絕對且極端的國家控制，是以犧牲本國數據流動效益為代價所獲得數據防御，并可能對其他國家形成數據壁壘；另一方面，其他的數據跨境流動限制著眼于設計旨在對附著在數據上的權利進行保護的政策工具［12］，而剛性的數據本地化模式屬于一種自我限縮式的過度擴張，它會加劇信息不對稱現象，可能使某一市場被孤立或者受到局限，降低本國的國際競爭力。 因此，對該模式應當保持克制，以防止激進擴張的極端化形態。

（2）激進式擴張之數據進攻主義。在數據主權擴張上，美國崇尚并積極推廣數據自由流通模式，然而其在全球數據治理中卻表征為一種霸權式的對外擴張，即以犧牲別國安全謀求自身所謂的絕對安全及數據自由。

一是數據霸權地位的鞏固。在數據主權歸屬模糊、管轄主體交叉以及國際規則未成形的現狀下［16］，無論是片面追求數據自由或遵循完全化的網絡自由，既是對各國科技與經濟實力差異性的故意忽視，更是通過排除他國在領土之內的主權管轄而去固化部分國家形成已久的“數據優勢”，使其在邊界模糊的網絡空間中擔任規則制定者和執法者［17］。

二是數據霸權秩序的擴張。 當今世界不存在絕對的網絡自由，任何國家都會本能地固守網絡聯通的邊界，實施必要的管制，美國所提倡的“網絡自由”戰略根本目的在于依托互聯網傳播系統的控制，為其數據強權和政治霸權的擴張提供保障以及合法性理由，實現美國霸權主義在虛擬世界的擴張及新秩序構建［18］。

三是數據霸權規則的同化。 美國數據或網絡自由的霸權主義策略采取一種雙重標準，數據輸入國家要么接受規則同化，要么被排斥于規則體系之外被動發展。此外，美國還借助“一攬子”協議強行塑造美國與其他國家在規則上的“制定-接受”關系［19］，這種明顯的意識形態擴張意圖和外交謀略，加劇了國家間的數據爭端及其報復反彈。如“CLOUD”法案限制美國獲取境外數據僅有三類情況，而外國獲取美國數據則需要滿足十一項條件，任何國家恐怕都很難同時滿足如此繁復的條件［20］。

2 必要與均衡：數據主權謙抑性的法理基礎及規范體現

數據主權的謙抑性要求“允許數據自由流動”的擴張與“主張國家管轄權”的擴張間保持有限理性，從而探尋數據安全保護與發展之間的合理界限。即，各國應避免采取完全的數據自由流通模式，這可能成為數據霸權的另類形態。 也應注意謹慎采取絕對的數據本土化模式，忽視國家及國家間的數據價值利用最大化及效益最佳化。 當前對數據主權謙抑性的法理基礎雖有一定研究，但仍不夠深入［21］，有待進一步挖掘。

2.1 數據主權謙抑性的法理基礎

（1）數據主權過度擴張具有雙向侵害性，這要求數據防御限制和進攻擴張保持適度性。 美國雖然通過數據自由戰略將自身的理念價值、數據規則以及分化策略有效擴張至他國，數據霸權主義得以延伸發展，但同時也受到較多抵制及“報復”。部分國家通過強制數據本地化存儲等方式加強數據的控制權，以防范數據跨境流動風險，抑制美國對數據控制的優勢和支配地位；部分國家施行強制性反加密制度，允許政府強迫科技公司為他們的產品安裝后門，實時截取相關國家的數據。 如澳大利亞《反加密法》授權澳大利亞警方可強制任何（在該國運營的）公司幫助政府進行入侵系統、植入惡意軟件或插入后門等黑客行為，以此幫助政府打擊使用加密通信來躲避偵查的“恐怖主義組織”［22］。 部分國家采取“對等報復”方式予以回擊，如英國、巴西等國家通過單方面主張域外管轄權獲取境外數據［23］。 英國《數據保留和調查權力法案》（DRIPA） 的核心目標之一就是允許在美國的控制下獲取難以獲得的數據。

（2）各國數據主權立法存在規則適用的沖突性，自然無法避免主權的域外效力產生，這要求各國行使數據主權時保持謙抑性，否則會陷入“單邊規制單邊”的循環。 各國數據規則間存在法律沖突，具體包括虛假法律沖突和真實法律沖突①虛假沖突指就適用法律，僅一個國家存在利益，其他國家并不存在利益，在此情形下應適用有利益國家的法律。真實法律沖突主要包含以下三類：其一，兩國法律對統一行為作出規范；其二，按照兩國法律對管轄權的規定，對于哪一個國家有權獲取相關數據存在沖突；其三，就適用法律雙方均存在利益。，而僅后者才會產生數據主權沖突，突出表現為兩類。 第一類，各國在數據立法模式和數據主權的域外效力上存在規范差異，如嚴格堅守本地化儲存模式的俄羅斯與推行數據自由流通模式的美國就存在嚴重的立法管轄沖突；第二類，部分國家尚未建立起專門的數據立法，這就導致他國在該國的數據權利行使或本國在他國的數據調取等可能會因規則模糊、缺失而面臨管轄阻力。 加之，數據主權缺乏普遍效力的國際規則，而單邊立法和長臂管轄卻盛行，為避免法律觀點沖突及單邊規則的循環，謙抑性原則能發揮緩沖和過渡作用，并填補網絡空間沖突規則的空缺。

（3）數據主權管轄爭端的解決有賴于各國際行為體間的依賴性，而非獨立性的單邊處理，這要求各國在數據主權對外擴張或對內防御上都應保持謙抑性。 具體包括三個方面：一是數據安全防御不能完全依靠本地化策略所解決。 雖然數據本地化政策能夠保障國家對數據的有效控制，但一國不可能完全切斷與域外國家的數據交流，加之數據跨境逃逸難以規制性，國家管轄的政策性需求與企業經營實際需求的相互制約性，數據可復制性及重復利用性等特點［24］，直接決定了國家對數據主權的絕對掌控無法實現，一昧地防御勢必導致數據主權的弱化及他國抵制， 因此需要數據主權保持適度的軟化和彈性，借助數據自由流動予以緩和處理；二是數據主權權威及數據競爭力的提升也不能完全依托數據自由流通的擴張策略所實現。 如上所述，過度的對外主權擴張會引發對應國家的同等性乃至不平等性的規制報復，在發生管轄沖突時，單邊的長臂管轄并不會得到他國承認乃至重重受阻，這也要求數據擴張需要與他國保持有效的國際協作與互助，建立數據主權的局部共識乃至國際共識，否則只會導致爭端擱置或沖突加??；三是各國際行為體間相互依賴性逐漸強化并取得顯著效果。 為保護本國或本組織之數據主權利益，也是考慮到跨境數據調取之管轄沖突解決， 各國際行為體正積極建構數據治理的“朋友圈”，“圈子化”的數據依賴性特征顯著加強［25］。 而這也對數據主權安全保護、數據管轄爭端處理、數據規則立法以及數字經濟發展發揮了推動作用，且一定程度上平衡了數字強國與弱國數據主權對話的不平等性，協調了國家間的數據差異，增強了數據主權治理的共識性。

2.2 數據主權防御謙抑與數據主權進攻謙抑的動態均衡

以數據本地化為代表的數據主權防御主義與以數據自由流通為代表的數據主權進攻主義是一對相輔相成的共同體，二者并非處于非此即彼的關系，本質上都是基于各國利益訴求的理性考慮和功利選擇［26］。 當前，單一的防御主義或進攻主義都非網絡強國建設的合理發展路徑，乃至產生反作用，由此二者間既要保持獨立的謙抑性，又要互相吸收各自的合理性要素，實現不同利益訴求的動態均衡及有機統一，這也是未來各國際行為體數據主權策略的合理擴張方式（二者關系見圖1）。 實質上，當前的數據本地化模式抑或數據自由流通模式已經具備部分謙抑性的特征。

圖1 數據主權防御謙抑與進攻謙抑的分析框架圖

（1）數據本地化模式的“流動”謙抑。 梳理各國的數據本地化策略發現，本地化程度具備層次差異性，由弱到強主要可分為寬松的本地化模式、相對嚴格的本地化模式、剛性的本地化模式。在寬松的數據本地化模式中，其謙抑性表現為僅要求數據副本的本地化，而對數據跨境流通不做過多限制。如印度尼西亞原則上允許數據跨境流通及境外處理，但調取主體或相關主體應當事先在境內的特定數據中心完成數據備份［27］。此外，即使剛性的數據本地化模式中也存在數據跨境流動的謙抑設計。 雖然澳大利亞《個人控制電子健康記錄法案》禁止在澳大利亞境外持有數據記錄及境外數據訪問，第77 條嚴格規定“不得在澳大利亞境外保存、獲取、處理數據，甚至不得造成或允許他人在境外保存、處理與記錄有關的信息”［28］。但是若境外的數據接收方能提供與本國相當的數據保護水平則可獲得豁免條件［29］?？梢?，即使是采取數據本地化模式的國家也會增設數據自由流通的例外。

（2）數據自由流通模式的“讓步”謙抑。 對美國、歐盟等強權國家（組織）而言，選擇數據跨境自由流動模式可以最大限度地攫取數據效益和鞏固數據霸權地位，但也存在對外讓步與自我限制的內容。一是對他國或組織數據主權規則的讓步妥協。 鑒于美國對歐盟公民個人數據隱私的不對等保護、缺乏對公民數據基本權利的法律補救措施以及“棱鏡門事件”的影響，美國先后與歐盟達成妥協協議，建立了《安全港協議》《隱私盾協議》，要求美國應遵守歐盟相關數據保護標準，并接受聯邦貿易委員會監督。美國還應允許將歐盟數據規則的規制對象延伸至美國政府和國家安全部門，且爭端解決機制從商業糾紛條款升級為具有強制性的終局仲裁［3］；二是對本國數據自由流通的部分限制。 同一國際行為體主張的數據主權可能具有雙重屬性，即使強調數據自由流通模式的美國也普遍采取了部分限制性措施。如CLOUD 法案確立獲取域外數據為原則的同時也作出限制美國獲取域外數據的例外。其讓步性的調取限制僅三類：披露義務是否將會導致服務提供者實質性地違反“合格外國政府”的立法；綜合案件的所有情況，公正的利益是否要求撤銷或修正法律程序；消費者或用戶確實不是“美國人”且不居住在美國［10］。

3 安全與自由：我國數據主權謙抑的現代化路徑

習近平總書記對我國數據安全流動與自由流動的關系曾作出重要闡釋，指出“網絡安全和信息化是一體之兩翼，驅動之雙輪，必須統一謀劃，統籌部署，統一推進，統一實施［30］?！边@也決定了我國數據主權謙抑發展的現代化路徑。

3.1 我國數據防御主義是有限條件下的優先選擇

從立法規范看，我國在數據跨境上采取嚴格的本地化存儲模式，作為中國網絡空間治理的重要制度，對數據跨境流動的限制程度及幅度反映了我國對數據治理的決策邏輯，實質表現為有限理性下的復雜政策抉擇。一方面，在充滿風險與沖突的外部環境下，數據安全是我國總體國家安全觀的下位概念及重要組成，并與意識形態安全、政治安全及經濟安全緊密相連。以數據本地化為基本準則，是欲通過自身技術能力來抵御足以威脅我國數據安全的外來風險及主權干預，并形成中國特色的數據防御系統；另一方面，與美歐等發達國家相比，我國數據法治建設明顯滯后，尚不能滿足大數據時代不斷提高的數據主權要求［31］。 在數據發展與數據安全的抉擇中，由于缺乏數據發展的技術性優勢和制度性保障，我國難以抵御數據監管不力所帶來的數據安全風險，尤其是境外國家或勢力惡意監控的不可控風險，也難以有效處理當前國際間擴張性的域外數據執法管轄權及惡意管轄帶來的司法風險。 因此采取數據本地化的防御主義或數據安全流動是一種有限條件下的優先選擇，抑或說無奈之舉。

然而，隨著跨境數據流通的常態化、跨國企業交流的頻繁化以及數字經濟的持續性發展，嚴格遵循數據本地化模式的弊端逐漸顯現，這就要求我國積極平衡數據發展和數據安全的利益訴求，在秉持數據主權防御性擴張的同時，也要強調國家管控的自我克制和適度性，采取一種進取而克制的總體策略，據此實現中國數據主權的現代化目標。

3.2 數據主權謙抑性建構的原則

（1）堅持數據主權發展模式的兼容性原則。從數據流動規律看，絕對的數據本地化儲存模式不利于“發揮數據的基礎資源作用和創新引擎作用”［32］，而完全的數據自由流通模式因對他國主權的嚴重侵害性而擴張受阻，單一化的利益追求路徑反而不利于本國數據主權模式的優化及利益實現。因此，提倡數據主權防御主義和進攻主義的謙抑性。 一方面是針對缺乏沖突解決機制和數據主權惡意管轄或監控下零和博弈的積極回應，也是全球數據信息化下從國家間相互依存、利益交融出發對數據主權發展路徑的適應性調整［33］；另一方面，數據主權吸收謙抑性要素，是為了反哺自身，即強化各自模式的合理性以及明確其限度性，從而形成有“進攻性”的有限防御主義以及有“防御性”的有限進攻主義。 如我國可適當確立特定范圍及特定數據類型的數據控制者標準，以緩解我國現有數據儲存地標準的僵化，為數據的境外管轄提供合法性基礎。

（2）堅持數據主權治理的合作共治原則。我國在數據安全領域的國際合作機制相對滯后，存在與現行國際規則不兼容、監管制度靈活性不夠以及國際規制缺失等問題［34］。 因此我國數據主權治理應一改以往消極被動之姿態而轉為積極主動之進取，積極融入國際及區域性數據規則、治理機制和安全框架的建構過程，避免因數據主權規則的滯后性與沖突性而導致邊緣化以及話語地位的弱化。一方面，我國要積極參加國際數據治理戰略協議，提供數據治理的中國方案及經驗方法，反映施行數據本地化策略國家的安全利益觀及考量，防范發達國家單邊建構以國家強弱和數據技術水平高低為衡量標準的數據主權規則，抵制數據主權中的大國主義、強權政策以及霸權擴張；另一方面，我國應秉持“數據命運共同體”原則，立足于“一帶一路”沿線國家、ASEAN、SCO、APEC 等國家（組織）的合作基礎，加強國家（組織）間的數據聯合治理及多邊協助，推動各國共識性規則的形成，擴大我國數據安全與流通的“朋友圈”［35］，從而提高數據治理能力與水平。

（3）堅持數據主權擴張的克己性原則。數據主權擴張附有雙向約束力，一國在為本國數據主權設定權力義務邊界的同時，也為他國的數據流通及管轄創設了限制，并且會遭受對應方式下的同等乃至不對等約束。因此，我國在秉持數據主權防御性擴張的同時，也要強調國家管控的自我克制和適度性，采取一種進取而克制的總體策略。首先，我國在強化數據本地化儲存以保護數據安全的同時，也要保留并不斷拓展常規的數據流通路徑，摒棄“絕對屬地主義”思想；其次，數據本地化的克制性表現為對數據的有效控制，而非絕對控制，是對關鍵信息基礎設施儲存數據的重點控制，而非一般數據的全面控制；再次，我國要嚴格遵循本國數據框架的規則效力并受其約束，減少“雙重標準”及單邊規制，在保障國家基本利益不受損的前提下以互惠和禮讓進行數據流通。

3.3 數據跨境流動規則的謙抑性設計

雖然我國《數據安全法》第13 條已確立數據安全與數據自由兼顧的“雙原則模式”，然而實質操作上仍保持著以數據安全管控為基本政策導向，以數據自由流動為兼顧發展的安全流動模式［36］。 因此，如何協調數據自由流動和安全管控間的不同利益訴求是數據主權謙抑性的核心內容。

（1）重要數據出境規則的謙抑性。數據分類分級管理及審查機制雖已在《數據安全法》確立并執行，這是謙抑性的表現之一。 然而現有規范對重要數據管控的確定性與重要數據外延的模糊性形成了鮮明對比［37］，甚至一定程度上背離了數據分類分級制度的預期目標。因此，數據出境規則應當明確重要數據與非重要數據的邊界，并區分不同出境規則。

其一，重要數據范圍的限縮把握。當前，《數據安全法》對重要數據的范圍界定過于寬泛，這可能加劇數據本地化的嚴苛。以關鍵信息基礎設施為例，其區別于關鍵基礎設施，而特指信息系統、控制系統及網絡平臺等［14］，且只要達到“后果上的嚴重程度”即可構成關鍵信息基礎設施。 這一數據概念的定位使其涵括了私人信息數據、重要行業的企業數據及相關領域的業務數據，乃至于關鍵信息基礎設施中的所有數據。相較于其他采取數據本地化儲存的國家，我國數據本地化嚴苛程度略高且管控范圍過廣，應從國家層面、公共利益層面及個人層面的數據保護為基點，將非必要之數據信息排除于本地化儲存范圍，確保重要數據的核心化和必要性，以此限縮數據管控的邊界。

其二，重要數據標準的限縮解釋?！稊祿踩ā穼祿摹爸匾潭取焙汀拔：Τ潭取弊鳛閰^分重要數據和非重要數據的標準，這種標準形式上看較為全面，然而即使為重要的數據信息，也并不意味著嚴格的政府管控或禁止出境，因為這類數據信息的流通并不會造成第21 條之“危害程度”。 因此，《數據安全法》對數據出境的標準劃分應予以限縮解釋，可繼續保留危害程度標準，而由于重要程度標準存在合理性質疑，應將其解釋為“可能造成嚴重不利影響”的數據信息，對未造成危害程度或“嚴重不利影響”的數據信息可降低保護審查力度，允許其在有序地自由流動。

其三，重要數據認定主體的限縮授權。 我國《網絡安全法》《數據安全法》將重要數據與非重要數據的認定權授予“各地區”和“各部門”，由它們確定本地區、本部門以及相關行業、領域的重要數據具體目錄，并以此決定重要數據的安全流動以及非重要數據的自由流動。問題在于，這一授權模式可能因認定主體的認知差異性、各行業或領域的專門性以及各地區情況的特殊性，導致對重要和非重要數據認定的不當限縮或擴張，出現各地區數據認定沖突的現象，甚至引發法律規避問題。 因此，建議限縮重要數據認定主體的授權范圍，將認定主體的“分散授權模式”改為“國務院統一劃定模式”，即由國務院負責機關或部門統一劃定重要數據類型，各地區可參照該重要數據目錄確定本地區的重要數據種類，并由國務院相關部門負責重要數據的認定結果監督以及重要數據的地區認定沖突。 對于認定為重要數據的，應以數據安全流動為主導模式，此時重要數據的出境具備嚴格的條件限制，如要滿足嚴格的數據安全審查、數據風險評估及報告等系列安全要求才可出境。此外，重要數據的出境并不代表對該數據法律管控權或管轄權的喪失，作為數據提供國家仍有權以保障重要數據不被泄露、破壞及非法控制而作出安全保護控制。

（2）非重要數據出境規則。非重要數據只是相對于重要數據和核心數據而言，僅是代表此種數據信息泄露引發的危害程度較小，受到的國家管控偏弱，但并非放任此類數據信息的風險發生。相反，由于此類數據信息的自由流動是創造我國數字經濟規模和價值高低的主要因素，因此對非重要數據的數據管控要區別于重要數據，而選擇數據效益最大化的流動模式。 非重要數據的自由流動應降低國家管控力度，提升流動的速度及廣度，減少數據提供者和數據接收者的猜忌成本及其風險。由此，謙抑性要求非重要數據出境應以市場自由流動為導向，建立數據“信任”關系。 如應避免“用戶賦權-企業擔責”的單向路徑［38］，而選擇“個人同意+客觀標準保護”的雙向通道［39］，減少數據流通的事前禁止機制，而建構事后追責以及“數據隨數據走”的靈活機制，從而實現數據的區別化治理及效益最大化。

4 結語

在數據安全（國家管控）和數據自由流動的普遍爭議下，我國確立了以數據安全為底線，以數據自由流動為常態的謙抑性發展路徑，這種路徑抉擇也破除了長期以來歐美國家對我國數據本地化嚴苛化的誤解與污蔑。然而，我國數據自由流動規則仍處于初步建構階段，尚不完善。 未來，數據自由流動規則應在宏觀層面彌合與國內既有規范及國際規則的沖突，在中觀層面協調好與數據安全流動的關系，在微觀層面具體且明確規則的核心要素與基本內容，從而建構起中國特色的數據主權規則。