国家在数据跨境流动方面的规制措施

数据流动的限制包括数据必须在本国或地区内存储和处理、数据出境要由监管方进行审查批准、数据需要在本国备份、对数据出境征收出口税等多种限制数据自由跨境流动的措施。

关于数据跨境流动限制有不同的观点。有的观点认为，数据跨境流动限制有违贸易自由精神。一是数据本地化要求企业在当地建立数据中心，但数据中心所需核心设备从国外进口，运行自动化程度高，运行能耗大，对所在国经济拉动和就业促进作用不明显，却加重企业负担。有的甚至提出，限制数据跨境流动是非关税壁垒形式的贸易保护主义。二是数据本地化还导致数据隔离，影响云计算、物联网等新技术的创新和运用，消费者也无法享受到全球范围内的低成本、高质量的信息服务。另外，数据面临的安全威胁包括黑客攻击、内部人泄密等，保护数据安全关键在于提升安全防范技术和完善管理制度等，与数据存储的地理位置没有直接关系。美国等国家出于经济利益等考虑，主张数据自由流动。有的观点认为，无序的数据跨境自由流动会导致数据安全得不到有效保护，给个人隐私和国家安全带来巨大威胁，完全靠市场机制无法解决该问题，需要通过立法在保障数据正常流动的基础上适当限制数据跨境流动。

20世纪70年代开始，有关国家开始关注个人信息相关的隐私保护问题，数据跨境流动限制措施开始逐渐被研究和采用。1974年瑞典资料调查委员会以英国不具有资料保护法为由禁止向英国转移个人资料。1980年，经济合作与发展组织制定了《隐私保护和个人数据跨境流动指南》。2013年“棱镜门事件”后，多国加快建立和完善数据本地化制度。据不完全统计，目前共有46个国家和地区采取了数据本地化制度，其中欧洲有30个国家，包括欧盟各成员国、土耳其和俄罗斯。亚洲有8个国家，包括中国、韩国、印度、印度尼西亚、马来西亚、越南、伊朗、哈萨克斯坦。美洲有5个国家，包括美国、加拿大（British Columbia和Nova Scotia两省）、巴西、阿根廷和委内瑞拉。澳大利亚、新西兰和尼日利亚也规定了数据本地化。这些国家和地区对数据本地化的要求可分为以下几类：

1.根据不同的数据控制者分别作出规定。一是政府等公共机构掌握的数据。如加拿大British Columbia和Nova Scotia两省规定，学校、医院、政府等公共机构掌握的个人信息应当在加拿大存储和处理；法国要求政府数据的处理使用本国云服务；荷兰规定公共档案必须存储在本国档案馆中；印度规定政府数据必须存储在本地数据中心，为政府机构提供服务的云计算服务商必须将数据存储在印度境内；印度尼西亚规定提供公共服务的电子系统运营者需要把数据中心和灾难恢复中心建立在本国境内；尼日利亚要求政府信息都必须存储在境内。二是对企业数据的本地化存储作出规定，主要包括企业自身数据（企业财务等特殊数据以及特殊行业企业的数据）和企业掌握的个人信息（瑞典、比利时、芬兰、巴西、印度）、商业信息（新西兰）、地图数据（韩国），电子商务、电子支付等企业的数据（印度尼西亚、土耳其、波兰、委内瑞拉），在线服务商如社交网站、游戏服务提供者、门户网站等企业的数据（越南规定在越南至少应当有一台服务器，以便根据政府的要求用于数据的监管、存储、提供），金融机构数据（瑞典、卢森堡）、媒体公司数据（希腊）、赌博公司数据（保加利亚、罗马尼亚、波兰，其中波兰规定存储在欧盟境内）、发送垃圾广告的企业的数据（越南）。(www.xing528.com)

2.对一般个人信息和特定个人信息分别作出规定。欧盟、土耳其、阿根廷、俄罗斯、伊朗、哈萨克斯坦、韩国规定个人信息的出境均需要受到限制。有的国家规定特定个人信息需要存储在境内，如德国规定通信元数据（包括通信当事人、时间、地点、方式）需要在德国境内存储，澳大利亚个人控制电子健康记录法规定个人健康记录信息需要在本国境内存储，印度规定个人敏感信息需要在本国境内存储。

3.从立法形式可按照是否有专门立法进行区分。有的国家和地区在特定的个人信息保护法律中规定数据本地化，如马来西亚、俄罗斯、韩国的个人信息保护法，澳大利亚的个人控制电子健康记录法。有的则分散在其他法律中，如荷兰公共档案法，保加利亚赌博法等。有些国家是政府在行政管理中提出数据本地化要求，如丹麦数据保护机构在执法过程中多次认定，未使用标准合同条款情况下在非欧盟国家处理丹麦政府数据是违法的；美国一些州在政府采购方面对供应商提出了本地化存储的要求；2015年，美国国防部规定为该部提供云服务的供应商应当将数据存储在美国境内。

另外，除了上述关于数据跨境流动的直接限制性规定，有关商品或服务进出口管制的法律法规也间接涉及数据跨境流动问题，例如密码出口管制、技术出口管制等。