美国数据的跨境流动持开放态度：不对其进行事前审查，并在贸易谈判中坚持数据自由流动、反对数据本地留存等任何限制措施，实质是一种“养鱼千里”的模式。近年来，美国在多个国际场合推行以APEC私隐框架为基础构建的跨境私隐规则体系（Cross Border Privacy Rules，CBPRs）。

　　美设严苛跨境规管体系

　　相对于世界上进行了个人信息保护立法的国家和国际组织的整体水平，APEC私隐框架所提出信息私隐（保护）的九大原则，其数据保护标准较低，执行机制也较有弹性。而根据CBPRs的要求，如果位处不同国家的不同公司统一承诺并遵循APEC私隐框架九大原则，则参与CBPRs的国家不得以保护个人信息为由阻碍个人信息的跨境流动。

　　美国推行CBPRs的目的，在于利用其控制与处理个人信息的跨国公司林立的优势，通过建立低水平保护的个人信息跨境流动秩序，促进个人数据向美国国内汇聚。大鱼需要大水，才能获得足够的养分。美国的数据法制及其立志，只是因应了美国大公司在境外获得数据养分的基本需要。

　　需要关注的是另一方面，即美国近年来通过越来越严格的投资审查等措施，对外国主体访问存储在美国的数据加以限制甚至禁止。2018年，美国通过颁布《外国投资风险评估现代化法案》（FIRRMA）授权外国投资委员会（CFIUS），对涉及关键基础设施、关键技术、敏感个人数据的美国企业的外国投资实施更严格的监管审查；2019年5月，美国政府根据《国际紧急经济权利法》（IEEPA）颁布“维护信息与通讯技术与服务供应链的行政命令”，阻却外国互联网企业向美国数据主体提供服务；2020年8月，美国政府宣布所谓的“清洁网络计划”。2018年通过的“云法案”（《澄清数据在海外的合法使用法》，the Clarifying Lawful Overseas Use of Data Act），在数据的调取上突破了属地管辖，而采用“数据控制者”标准，使得执法机关有权调取存储于美国境外，但由受美国法管辖的电子通讯或网络服务提供者所持有、保管或控制的数据。总之，比起对个人信息出境的监管和审查，美国法律制度及其实施更加重视对个人信息访问主体的限制。

　　三、中国的立法

　　中国形成了自己的模式。在我国的现行法律中，《民法典》第四编第六章将个人信息作为一种民事人格权利的客体，赋予权利人一定控制个人信息处理的权能，并规定了信息处理者和国家机关及其人员的相应义务；《刑法》第253条之一提供了对严重侵犯公民个人信息行为的刑事规制；《网络安全法》第37条规定了关键信息的境内存储和出境安全评估制度，并以第66条规定的法律责任为保障。《个人信息保护法》第三章即为“个人信息跨境提供的规则”，包括个人信息出境的前置条件、个人同意事项、关键信息特别保护（同现行《网络安全法》第37条）、国际合作与反制等内容；《数据安全法》中涉及数据出境的总体方针、敏感数据出境审查、法律责任等相关内容。

　　若与前述欧盟模式作比较，我国个人信息出境实行标准合同模式，与欧盟的充分性认定强调主权间的协作显著不同，以商业契约的模式承载了国家主权的意志。但二者具有相同的功能：欧盟通过法律层面的充分性认定将其数据和个人信息法制的价值传播到其他主权国家，而中国则通过标准合同的方式将中国数据和个人信息法制蕴含的价值植入企业法人等市场主体内部，最终必将影响市场秩序的形式。

　　中国模式具有“筑堤千里”的效果，也符合中国关于主权的立场。若与美国模式相比，我国虽然强调数据的本地存储，但也设定了数据和个人信息出境的规则，主要是一事一议的事前审查机制，为“养鱼千里”之外留下了河道，既将数据出境的主导权牢牢抓住在手，也为中国平台经济的发展预设了空间。总体而言，中国创设符合本国实际的数据出境管制模式，强调管制的主导权，也留下出境的通道，可能的发展是如何将河道变成连成片的海洋。粤港澳大湾区也许是一个上佳的试验之地。

　　去中心化趋势对立法的挑战

　　四、立足于未来的审视

　　站在主权国家的当下观念层面，审视当下各国的数据管制法制，无可厚非。人类社会发展到现在，形成主权国家这种看起来中立的“保证人”制度，以在一个陌生人组成的社会中形成可以信赖的交易秩序。这是一种自上而下的集中式秩序。数据时代对主权提出了新的挑战，大数据打破了边际效益递减的规则，数据平台越大，效益会相应增加，而游动于其上的个人也随之获得利益。大数据时代的平台边界因此注定越过主权国家的国境边界，其尽头只会是全世界。主权国家要规限越过国境边界的平台企业，虽然不无抓手，但也会越来越面临挑战。更大的挑战可能在于，随着区块链技术的成熟，陌生人之间的交易可以通过分布式记账的方式保证可信度，交易安全得以保障，此时，大数据时代的平台经济因此会发展成为一个分布式的自治组织，箇中的要害可能是国家这种保证人角色的弱化。一个没有至高无上的主权国家作为保证人的秩序，充满诱惑。也许悖论在于，一方面，主权国家从强化主权权力的本能出发管制数据，如果数据是一群三文鱼，把这群鱼困在水池中的数据立法，无限放大了主权国家的宰制权，而主权国家基于国境的边界限制，无法理解主权国家之外的数字世界；另一方面这种基于主权思维的管制与数据的游动本质尖锐对立，当下基于主权思维的数据立法可能只是一时的选择。基于数字世界可能的去中心化发展趋势，回头审视主权国家的数据管制立法，显然，任何不利于基于区块链技术的分布式数字秩序形成的立法，都可能面临极大的挑战。时间将给出答案。

　　作者分别为深圳大学港澳基本法研究中心副主任、深圳大学合规研究院研究助理