盡管網(wǎng)絡(luò)信息技術(shù)不斷促進(jìn)全球各地互通互聯(lián)，但各國或地區(qū)不但沒有放棄地域維度的管控思路，數(shù)據(jù)治理的地域化反而借由數(shù)據(jù)本地化等立法有所強(qiáng)化。

　　一、各國或地區(qū)關(guān)于數(shù)據(jù)本地化立法現(xiàn)狀

　　關(guān)于何為數(shù)據(jù)本地化，目前存在多種定義。從廣義上理解，數(shù)據(jù)本地化可以視為任何對數(shù)據(jù)跨境流動加以限制的制度。全球互聯(lián)網(wǎng)治理委員會（Global Commission on InternetGovernance）在其 2015 年的報(bào)告《數(shù)據(jù)本地化規(guī)則對金融服務(wù)的影響》（Addressing the Impact of Data Location Regulation inFinancial Services）中，將數(shù)據(jù)本地化概括為四種類型：一是數(shù)據(jù)出境的地域限制，即要求數(shù)據(jù)必須于某一國家或區(qū)域境內(nèi)存儲和處理；二是數(shù)據(jù)位置的地域限制，即允許數(shù)據(jù)副本出境處理，但在本國或本區(qū)域內(nèi)必須存有副本；三是基于許可制的數(shù)據(jù)出境限制，即要求數(shù)據(jù)出境需經(jīng)有權(quán)機(jī)關(guān)許可；四是基于標(biāo)準(zhǔn)體系的數(shù)據(jù)出境限制，即要求數(shù)據(jù)出境必須采取標(biāo)準(zhǔn)化的步驟以確保數(shù)據(jù)安全和隱私保護(hù)。其中，前兩種類型會直接限制數(shù)據(jù)跨境流動，是當(dāng)前世界數(shù)據(jù)本地化立法的主要類型。

　　無論是以上何種類型，均包含對數(shù)據(jù)出境的限制。經(jīng)濟(jì)合作與發(fā)展組織（OECD）在其 2019 年的調(diào)查報(bào)告《貿(mào)易與跨境數(shù)據(jù)流動》（Trade and Cross-Border Data Flows）中，將數(shù)據(jù)跨境流動的管制強(qiáng)度由弱到強(qiáng)分為四個(gè)層級：第一層級是對數(shù)據(jù)跨境流動不設(shè)任何法律限制，該層級多出現(xiàn)于最不發(fā)達(dá)國家；第二層級是不對數(shù)據(jù)跨境做事前限制，但設(shè)置事后審查和追責(zé)機(jī)制；第三層級是規(guī)定數(shù)據(jù)出境條件和情形，并對數(shù)據(jù)接收國設(shè)置資質(zhì)限制，例如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）采用的就是這種思路；第四層級是最高限制層級，即數(shù)據(jù)能否跨境流動需要經(jīng)過個(gè)案審查。

　　各國或地區(qū)要求本地化的數(shù)據(jù)類型，大致可以分為兩類：一類針對公民個(gè)人信息，例如澳大利亞《由個(gè)人控制的電子健康記錄法》（PCEHR Act）針對公民健康類數(shù)據(jù)，而俄羅斯和馬來西亞則要求存儲本國公民的各類個(gè)人數(shù)據(jù)；另一類則涉及非個(gè)人數(shù)據(jù)，例如德國《電子通信法》（TKG）對原始數(shù)據(jù)的本地存儲進(jìn)行規(guī)定，印度《國家數(shù)據(jù)分享和準(zhǔn)入政策》（NDSAP）則要求所有通過使用公共基金收集的數(shù)據(jù)均存儲于本國境內(nèi)，而我國《網(wǎng)絡(luò)安全法》基于保障網(wǎng)絡(luò)數(shù)據(jù)安全的考量，明確要求在境內(nèi)存儲“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”。

　　除本地化存儲要求外，各國的一些配套措施也在不同程度上推進(jìn)數(shù)據(jù)本地化，例如越南的《互聯(lián)網(wǎng)服務(wù)和在線信息管理、提供和使用條例》（Decreeon the Management，Provision and Use of InternetServices and Online Information）要求信息收集網(wǎng)站、社交網(wǎng)站、移動通信網(wǎng)絡(luò)服務(wù)提供者、在線游戲服務(wù)提供者等，至少將一個(gè)服務(wù)器設(shè)置在越南境內(nèi)；法國也曾建議對收集、管理和商業(yè)應(yīng)用本國境內(nèi)人員個(gè)人數(shù)據(jù)的行為征稅，其中，數(shù)據(jù)的異地存儲有可能因?yàn)椴煌耆弦?guī)而被征收更高的稅額。

　　數(shù)據(jù)跨境流動的限制必然伴隨復(fù)雜的安全評估和審查程序。例如，根據(jù)歐盟 GDPR 規(guī)定，在向歐盟境外第三國傳輸數(shù)據(jù)時(shí)需要經(jīng)過兩個(gè)步驟的審查：其一是數(shù)據(jù)傳輸行為本身是否有合法授權(quán)和依據(jù)；其二是數(shù)據(jù)接收國是否符合歐盟委員會的相關(guān)安全性要求。我國于 2019 年頒布的《個(gè)人信息出境安全評估辦法（征求意見稿）》也有類似機(jī)制，要求將需要進(jìn)行出境前安全評估的個(gè)人信息擴(kuò)展至各類網(wǎng)絡(luò)運(yùn)營者在境內(nèi)運(yùn)營過程中收集的信息，而不僅限于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者。該征求意見稿一方面明確禁止特定情形下的個(gè)人信息出境，另一方面則搭建起個(gè)人信息安全評估出境的一般性流程。

　　類似的安全評估和風(fēng)險(xiǎn)評估要求同樣體現(xiàn)在我國的《數(shù)據(jù)安全法（草案）》和《個(gè)人信息保護(hù)法（草案）》中。2021 年 4 月的《數(shù)據(jù)安全法（草案）》二次審議稿要求建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進(jìn)行國家安全審查；同時(shí)，重要數(shù)據(jù)處理者應(yīng)當(dāng)定期開展風(fēng)險(xiǎn)評估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評估報(bào)告；此外，境外司法或執(zhí)法機(jī)構(gòu)要求調(diào)取中國境內(nèi)數(shù)據(jù)時(shí)，非經(jīng)中國主管機(jī)關(guān)批準(zhǔn)，不得提供。2021 年 4 月的《個(gè)人信息保護(hù)法（草案二次審議稿）》第三章，從跨境數(shù)據(jù)流動角度規(guī)定了個(gè)人信息保護(hù)相關(guān)規(guī)則，重申了《網(wǎng)絡(luò)安全法》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者處理個(gè)人信息的境內(nèi)存儲規(guī)則，亦對其本地化要求進(jìn)行了擴(kuò)充，即將境內(nèi)存儲要求擴(kuò)展至處理個(gè)人信息達(dá)到國家規(guī)定數(shù)量的其他個(gè)人信息處理者；同時(shí)，第三章也就其他情形下的個(gè)人信息出境設(shè)置了限制性條件；此外，國家機(jī)關(guān)處理的個(gè)人信息原則上也應(yīng)當(dāng)在中國境內(nèi)存儲。這些規(guī)定總體上呈現(xiàn)出以強(qiáng)化數(shù)據(jù)本地化來提升數(shù)據(jù)控制和保護(hù)的立法思路。

　　二、數(shù)據(jù)本地化的立法動因與挑戰(zhàn)

　　數(shù)據(jù)本地化這種強(qiáng)調(diào)數(shù)據(jù)地域?qū)傩缘淖龇?，源于國家主?quán)、數(shù)據(jù)安全、個(gè)人信息保護(hù)等多種因素。根據(jù)經(jīng)合組織于 2020 年發(fā)布的報(bào)告《數(shù)據(jù)本地化趨勢和挑戰(zhàn)：基于隱私指南的考量》（DataLocalization Trends and Challenges：Considerationsfor the Review of the Privacy Guidelines），數(shù)據(jù)本地化的立法動因主要集中在九個(gè)方面：一是保障網(wǎng)絡(luò)安全；二是防范外國網(wǎng)絡(luò)間諜；三是協(xié)助執(zhí)法機(jī)關(guān)和國家安全機(jī)關(guān)獲取數(shù)據(jù)；四是減少網(wǎng)絡(luò)犯罪并服務(wù)于其偵查；五是保護(hù)個(gè)人數(shù)據(jù)；六是提升網(wǎng)絡(luò)事件響應(yīng)能力；七是形成地緣政治優(yōu)勢；八是確保政府獲取特定類型數(shù)據(jù)；九是形成經(jīng)濟(jì)競爭優(yōu)勢。

　　盡管存在上述動因，但需要注意到的是，數(shù)據(jù)本地化與全球信息網(wǎng)絡(luò)化大潮之間仍然存在兼容問題。

　　首先，數(shù)據(jù)本地化與互聯(lián)網(wǎng)基本架構(gòu)和新興信息技術(shù)之間存在技術(shù)沖突。在信息網(wǎng)絡(luò)技術(shù)的支撐下，數(shù)據(jù)本身呈現(xiàn)出去地域化的特征，數(shù)據(jù)的全球高速流動和分散存儲是現(xiàn)代互聯(lián)網(wǎng)的內(nèi)在屬性，云計(jì)算正是這一屬性的典型例證。數(shù)據(jù)存儲于何地，以何種方式存儲，是以數(shù)據(jù)高效流動和使用為決定因素，這與當(dāng)前各國數(shù)據(jù)本地化立法的出發(fā)點(diǎn)存在分歧。從這個(gè)角度看，數(shù)據(jù)本地化也不可避免地與數(shù)字經(jīng)濟(jì)發(fā)展產(chǎn)生沖突。

　　其次，數(shù)據(jù)本地化可能造成不同地域之間新的法律沖突。不同國家和地區(qū)對本地化的數(shù)據(jù)類型和范圍要求不盡相同，對數(shù)據(jù)的分類也存在較大差異，這種差異將直接反映在網(wǎng)絡(luò)信息業(yè)者的合規(guī)義務(wù)以及可能由此產(chǎn)生的合規(guī)沖突之上。應(yīng)對合規(guī)要求以及化解合規(guī)沖突需要網(wǎng)絡(luò)信息企業(yè)建立起相應(yīng)的內(nèi)部合規(guī)機(jī)制，而該機(jī)制的有效運(yùn)行又依賴于相應(yīng)的專業(yè)人員和技術(shù)支撐，此時(shí)，合規(guī)義務(wù)不可避免地會轉(zhuǎn)化為企業(yè)的合規(guī)成本，從而加重企業(yè)的運(yùn)營負(fù)擔(dān)?？紤]到網(wǎng)絡(luò)信息業(yè)者自身經(jīng)營能力差異，這種合規(guī)負(fù)擔(dān)對于中小微互聯(lián)網(wǎng)企業(yè)發(fā)展的影響尤為嚴(yán)重。

　　再次，在數(shù)據(jù)全球分布和流動成為網(wǎng)絡(luò)信息產(chǎn)業(yè)的基本要求和核心生命力的背景下，數(shù)據(jù)本地化制度不可避免地會提高網(wǎng)絡(luò)信息業(yè)者的經(jīng)營成本，一方面體，現(xiàn)在網(wǎng)絡(luò)信息業(yè)者需要通過建立當(dāng)?shù)財(cái)?shù)據(jù)存儲中心以符合本地化要求，另一方面，也體現(xiàn)在可能形成新的數(shù)據(jù)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這些成本不可避免地會轉(zhuǎn)嫁至消費(fèi)者端，一定程度上可能迫使網(wǎng)絡(luò)信息業(yè)者避免在某些國家或地區(qū)開展業(yè)務(wù)，并可能進(jìn)一步阻礙新技術(shù)和新產(chǎn)品在全球范圍內(nèi)的擴(kuò)展。

　　最后，即便以強(qiáng)化數(shù)據(jù)治理為由，數(shù)據(jù)本地化亦有可能損及網(wǎng)絡(luò)空間治理的實(shí)際效能。以網(wǎng)絡(luò)犯罪為例，數(shù)據(jù)本地化的重要正當(dāng)性事由之一，在于強(qiáng)化本國偵查機(jī)關(guān)的數(shù)據(jù)取證能力，但該事由并非必然成立。一方面，數(shù)據(jù)本地化制度大多并非針對所有數(shù)據(jù)，因此，無法確保與具體刑事案件證據(jù)材料需求相匹配。另一方面，犯罪分子通常會采取多種方式，利用刑事訴訟的地域管轄權(quán)限制，將相關(guān)數(shù)據(jù)轉(zhuǎn)移至境外，從而人為造成取證困難。更重要的是，在跨境數(shù)據(jù)取證需求普遍化的當(dāng)下，數(shù)據(jù)本地化制度對他國取證形成的限制會借由對等和互惠原則傳遞至本國，反噬本國偵查機(jī)關(guān)的跨境取證能力。

　　數(shù)據(jù)本地化所呈現(xiàn)出的多重弊端也反映在一些國家或地區(qū)對該制度的猶疑搖擺態(tài)度之上。以歐盟為例，歐盟曾于 2013 年提出強(qiáng)化對云計(jì)算的管理，對歐盟境內(nèi)的數(shù)據(jù)出境設(shè)置更高的門檻，并重新審視歐盟與美國之間關(guān)于數(shù)據(jù)跨境流動的“安全港”規(guī)則。歐洲法院在 2020 年的施雷姆斯二號案（Schrems II）中，進(jìn)一步宣布隱私盾協(xié)議無效。

　　然而，促進(jìn)形成單一數(shù)據(jù)市場又是歐盟的一貫?zāi)繕?biāo)。在其 2018 年 6 月形成的歐美內(nèi)部政治協(xié)議中，歐盟單一數(shù)字市場副主席安德魯斯·安西普（AndrusAnsip）明確表示，“數(shù)據(jù)本地化是典型的保護(hù)主義，它與單一市場不相兼容。在實(shí)現(xiàn)人員、貨物、服務(wù)和資金自由流動后，通過此項(xiàng)協(xié)議支持非個(gè)人數(shù)據(jù)的自由流動，以促進(jìn)技術(shù)和商業(yè)模式創(chuàng)新?！痹诖吮尘跋?，2018 年《歐盟非個(gè)人數(shù)據(jù)自由流動框架條例 》（Regulation on A Framework for the Free Flowof Non-Personal Data in the European Union），明確要求除非基于公共安全考量，否則禁止針對非個(gè)人數(shù)據(jù)的本地化要求。

　　三、數(shù)據(jù)本地化立法的發(fā)展趨勢

　　從當(dāng)前世界主要國家和地區(qū)的數(shù)據(jù)政策和立法發(fā)展?fàn)顩r看，以數(shù)據(jù)本地化為代表的網(wǎng)絡(luò)和數(shù)據(jù)的地域性分割趨勢非但不會削弱，反而可能在復(fù)雜的國際形勢下被進(jìn)一步強(qiáng)化。同時(shí)，不同國家或地區(qū)對數(shù)據(jù)本地化的態(tài)度往往與所涉視角緊密相關(guān)：一方面，針對商業(yè)貿(mào)易和網(wǎng)絡(luò)信息產(chǎn)業(yè)發(fā)展而言，去本地化要求是較為普遍的觀點(diǎn)，例如，于 2020 年7 月生效的《美墨加三國協(xié)議》（USMCA）也從促進(jìn)區(qū)域貿(mào)易的角度，對數(shù)據(jù)本地化持否定態(tài)度；另一方面，從數(shù)據(jù)主權(quán)、國家和公共安全以及個(gè)人信息保護(hù)角度看，加強(qiáng)本地化要求又成為重要手段之一，例如，歐盟 GDPR 即反映出此類思路。但是，這些方面的考量因素并非彼此獨(dú)立，而是在網(wǎng)絡(luò)信息時(shí)代相互交織，共同作用于各個(gè)領(lǐng)域的網(wǎng)絡(luò)和數(shù)據(jù)治理規(guī)則。

　　在互聯(lián)互通的網(wǎng)絡(luò)全球化時(shí)代，建構(gòu)開放、包容的命運(yùn)共同體更為關(guān)鍵，如何在尊重國家主權(quán)和保障公民基本權(quán)利的前提下，推動網(wǎng)絡(luò)空間國際治理整體能力的提升，促進(jìn)數(shù)據(jù)資源發(fā)揮最大效能，是網(wǎng)絡(luò)信息時(shí)代提出的重大命題。

　　圍繞數(shù)據(jù)本地化的立法爭議正是這一重大命題的集中體現(xiàn)?；庠摖幾h、最大限度推動國際共識和規(guī)范的形成，需要建立在數(shù)據(jù)跨境流動的場景化的基礎(chǔ)之上，針對不同類型的數(shù)據(jù)在不同場景下的流動特征，設(shè)置不同層級的跨境傳輸限制規(guī)則。

　　首先，在網(wǎng)絡(luò)空間治理層面，需要正視數(shù)據(jù)本地化制度對數(shù)據(jù)跨境流動在客觀上造成的阻礙。從網(wǎng)絡(luò)信息技術(shù)發(fā)展的內(nèi)在屬性出發(fā)，立法者應(yīng)當(dāng)以推動數(shù)據(jù)合理、高效流動為基本原則，數(shù)據(jù)本地化規(guī)則作為例外情形適用。這一原則需要國際層面的共同推動，促進(jìn)本地化基本原則和規(guī)則體系國際共識的形成。

　　其次，在需要適用本地化數(shù)據(jù)治理的情形下，應(yīng)當(dāng)進(jìn)一步區(qū)分不同場景，其核心在于，一方面，就不同場景背后所保護(hù)的具體權(quán)益進(jìn)行分類、分層，另一方面，對該場景下數(shù)據(jù)跨境的具體特征加以明晰。特別是需要區(qū)分商業(yè)場景與社會公共治理場景，以及區(qū)分?jǐn)?shù)據(jù)跨境傳輸?shù)某B(tài)化場景和個(gè)案化場景。

　　再次，在區(qū)分?jǐn)?shù)據(jù)本地化適用場景的前提下，應(yīng)當(dāng)就本地化措施本身進(jìn)行細(xì)化和階層化，避免一刀切式地采用最為嚴(yán)格的出境限制。具體而言，這種階層化包含以下兩個(gè)層面的含義：一是就本地化規(guī)則區(qū)分嚴(yán)格境內(nèi)存儲、副本境內(nèi)存儲等不同層級；二是就數(shù)據(jù)出境規(guī)則設(shè)置審批制、備案制、標(biāo)準(zhǔn)制等不同層級。這意味著，一方面，需要針對特定場景下特定本地化層級的立法設(shè)置依據(jù)比例原則進(jìn)行評估，另一方面，需要針對具體的數(shù)據(jù)跨境活動建立起數(shù)據(jù)出境的個(gè)案影響評估機(jī)制。

　　最后，數(shù)據(jù)本地化規(guī)則不能脫離數(shù)據(jù)治理體系單獨(dú)建設(shè)，需要將本地化要求放置在網(wǎng)絡(luò)空間治理的整體框架下，將數(shù)據(jù)本地化要求與網(wǎng)絡(luò)安全、個(gè)人信息保護(hù)、網(wǎng)絡(luò)空間管轄權(quán)等相關(guān)領(lǐng)域立法相配合，突破部門法的分割視野，形成數(shù)據(jù)治理領(lǐng)域法的協(xié)同建設(shè)。