等保资讯

文 | 华东政法大学国际法学院 张倩雯

数字经济正成为全球投资发展的新动能，也推动着国际经贸规则的革新。数据跨境流动规则是数字经贸国际规则的核心内容，在参与数字经贸国际规则制定过程中，各国应践行网络空间国际治理兼顾安全与发展的理念，构建数据跨境流动国际规则。伴随数字经济的发展，数字企业已成为多国出海投资的重要主体，如何在促进数字企业对外投资的同时保障国际投资中的数据跨境流动安全，是数字时代国际投资规则变革的核心议题。

数据跨境流动关涉的四类安全

数据具有复杂的多面性。在国际投资中，对数据的收集、存储、使用、加工等处理行为可以为国家带来巨大的经济效益。同时，数据跨境流动关涉各类安全利益，当前各国规制数据跨境流动的政策考量主要分为以下四类。

一是国家安全。国家安全即一国的根本安全利益。过去世界贸易组织的相关案例多将一国的根本安全利益解释为与国家领土完整或军事利益相关。但伴随安全风险的多样化，新型安全威胁涌现，尤其是与科技发展相关的网络安全、数据安全问题愈演愈烈。在“棱镜门事件”后，各国愈加重视数据跨境流动中的数据监控、网络攻击风险，以维护一国数据主权为由采取了诸多数据跨境流动规制措施。在逆全球化的背景下，一些国家以维护国家安全为由滥用权利的现象日渐严重。近年来，利用外国投资安全审查制度，以维护本国国家安全或数据安全为由拒绝外国企业投资的案件与日俱增。如何在维护国家安全利益、保护外国投资者合法利益的同时，合理界定国家安全范围、适当限制国家适用国家安全例外条款的自裁决幅度，已成为国际社会共同关注的问题。

二是公共安全。主要包括公共秩序和公共利益。公共安全是东道国在制定外国投资政策时的重要安全考量之一，在当前国际投资法“人本化”的背景下愈加重要。基于国家经济主权原则，国家对其自然资源享有永久主权。何为一国的公共秩序和公共利益，需要结合该国的政治诉求、经济目标、文化历史等要素判断。多数国家的国际投资协定将保护可能枯竭的自然资源、文化产业发展、人类和动植物的生命或健康等世界贸易组织规则包含的内容纳入公共秩序或公共利益范畴，新近缔结的一些国际投资协定纳入了劳工与环境保护等新的公共安全内容。一些国家、地区及国际组织的立法已将维护自身公共利益作为数据跨境流动的例外，例如欧盟《通用数据保护条例》规定，保护欧盟或其成员国的经济或金融利益是重要的一般公共利益，可由此合法地限制数据跨境自由流动。

三是个人信息安全。数据跨境流动中的安全风险不仅涉及国家，也兼及个人。虽然国际投资的主体多为企业，但数字企业的投资却往往涉及个人信息。数字技术在日常生活中的普及在给大众带来便利的同时，也引发了个人信息被侵害的风险。在数据跨境流动过程中，数据将在具有不同管辖权的地域间快速流动，因国家间隐私保护理念、数据出境标准等差异，个人信息被泄露或被滥用的案件频发。虽然伴随各国个人信息保护立法的完善，多数国家要求企业在利用个人信息时应当尽到知情同意告知义务，但是个人信息的利用场景非常复杂，个人因意识不足、时间有限、力量微弱等原因往往难以仅以知情同意获得对其信息的充分保护。

四是其他安全。数据跨境流动还可能带来税收、知识产权保护、消费者保护、合同约定等领域的安全风险。以税收为例，因应数字经济发展，一些国家已经针对跨境数字产品或电子服务征收增值税，但面对跨境支付中潜在的增值税欺诈等问题仍需要从技术与法律两方面加以应对。数据跨境流动还可能带来知识产权保护的问题，近年缔结的部分自由贸易协定在数字贸易规则中对数据跨境流动中的源代码和算法提供了更高水平的知识产权保护，相较而言，国际投资协定对数据跨境流动中的知识产权风险应对较为不足。可见，在数字企业对外投资蓬勃发展的同时，如何合理防范数据跨境流动的安全风险，平衡投资者保护与东道国规制权是各国亟需解决的问题。

欧美数据跨境流动安全审查立法现状

数据既具有重要性，是数字经济产业发展的基本要素；又具有复杂性，包含政务数据、金融数据、个人数据等多种类型，故需要对数据跨境流动进行规制。欧盟和美国在近年的跨境投资相关立法中都纳入了对数据跨境流动安全的审查。

欧盟在其2019年通过的《欧盟外国投资审查框架》中纳入了对数据跨境流动的审查。该框架第4条“应被欧盟成员国或欧盟委员会考虑的因素”明确将虚拟的关键技术设施、关键技术和敏感数据列为评估外国投资是否威胁欧盟安全或公共秩序的核心因素。这些因素涵盖三个方面：一是有形的和虚拟的关键基础设施，包括能源、运输、水、卫生、通信、媒体、数据处理或存储、航空航天、国防、选举或金融基础设施和敏感设施，以及对使用这些基础设施至关重要的土地和房地产；二是人工智能、机器人、半导体、网络安全、航空航天、国防、能源存储、量子和核技术以及纳米技术和生物技术等关键技术；三是获取或控制敏感信息，包括个人数据。2025年初，欧盟委员会要求其成员国对半导体、人工智能和量子技术领域的对外投资开展风险评估，其未来可能会出台有关对外投资中数据跨境流动安全审查的立法。

2018年美国出台了《外国投资风险评估现代化法》，规定维护或收集可能以威胁国家安全的方式被利用的美国公民敏感个人数据的外国投资须经美国外国投资委员会审查和批准。此外，如果交易将使外国投资者获得美国居民敏感个人数据、关键技术或关键基础设施的管理或运营权，同样需要经过美国国家安全审查。这极大扩展了美国外国投资委员会的审查范围，并将敏感个人数据、关键技术、关键基础设施纳入国家安全审查范围，实质上对数据跨境流动施加了前置审批与交易限制。2019年美国出台的《国家安全与个人数据保护法》进一步强化了对外国投资中数据安全问题的审查，意在通过实施数据安全要求和加强对外国投资的审查，保护美国的数据不受外国政府威胁。该法要求美国国务院审查海外国家与数据隐私和安全相关的法律、政策、惯例和规定，确定它们是否会获取美国公民和居民的数据，是否会对美国的国家安全构成重大风险。2024年，美国财政部发布了一项最终规则，以执行2023年8月9日第14105号行政命令——《关于美国在受到关切的国家投资于特定的国家安全技术和产品的问题》。最终规则关注对下一代军事、情报、监视或网络能力至关重要以及对美国构成国家安全风险的对外投资领域，重点涵盖半导体和微电子产品、量子信息技术以及人工智能三类技术，禁止美国人员参与涉及对美国国家安全构成尤为紧迫威胁的特定技术和产品的某些交易。自此，双向投资中的数据跨境流动安全均被纳入审查范围，2025年美国总统签署的《美国优先投资政策》备忘录也反映出对双向投资进行审查的目标。

国际投资中数据跨境流动安全保障的发展趋势

数据跨境流动安全在国际投资中的重要性与日俱增，呈现两方面的发展趋势。

一方面，投资安全与数据安全深度融合。欧盟和美国近期的立法不仅在外国投资中加强对数据跨境流动的安全审查，还在对外投资环节中密切关注数据跨境流动问题。这是由于数字跨国企业发展迅速，已成为国际投资的中坚力量。这些企业几乎覆盖了生活生产中的所有领域，参与了东道国数字基础设施建设，促进了当地基础设施软件和硬件的发展。同时，这些企业也为当地企业创造了更多的电子商务机会，为当地民众提供就业机会，融入到当地的数字经济发展之中。在当前大国科技竞争的背景下，数据作为人工智能的要素之一，其重要性毋庸置疑，国际投资中的数据跨境流动安全问题也因此受到高度关注。

另一方面，数据跨境流动安全的内涵正在不断扩张。当前各国立法重点关注数据跨境流动中的国家安全、公共安全和个人信息安全。伴随科技的进步和时代的发展，国家面对的安全风险也更具有隐蔽性和多样性，因此安全的内涵也在扩张。未来在国际投资领域的国内立法和国际规则制定中，各国需要持续关注数据跨境流动中的其他安全风险。【本文系国家社科基金年度项目《国际投资法制中跨境数据流动的例外条款规制研究》（项目批准号：22BFX209）的阶段性成果】

（来源：人民法院报）