盡管網(wǎng)絡(luò)信息技術(shù)不斷促進全球各地互通互聯(lián)，但各國或地區(qū)不但沒有放棄地域維度的管控思路，數(shù)據(jù)治理的地域化反而借由數(shù)據(jù)本地化等立法有所強化。

　　一、各國或地區(qū)關(guān)于數(shù)據(jù)本地化立法現(xiàn)狀

　　關(guān)于何為數(shù)據(jù)本地化，目前存在多種定義。從廣義上理解，數(shù)據(jù)本地化可以視為任何對數(shù)據(jù)跨境流動加以限制的制度。全球互聯(lián)網(wǎng)治理委員會（Global Commission on InternetGovernance）在其 2015 年的報告《數(shù)據(jù)本地化規(guī)則對金融服務的影響》（Addressing the Impact of Data Location Regulation inFinancial Services）中，將數(shù)據(jù)本地化概括為四種類型：一是數(shù)據(jù)出境的地域限制，即要求數(shù)據(jù)必須于某一國家或區(qū)域境內(nèi)存儲和處理；二是數(shù)據(jù)位置的地域限制，即允許數(shù)據(jù)副本出境處理，但在本國或本區(qū)域內(nèi)必須存有副本；三是基于許可制的數(shù)據(jù)出境限制，即要求數(shù)據(jù)出境需經(jīng)有權(quán)機關(guān)許可；四是基于標準體系的數(shù)據(jù)出境限制，即要求數(shù)據(jù)出境必須采取標準化的步驟以確保數(shù)據(jù)安全和隱私保護。其中，前兩種類型會直接限制數(shù)據(jù)跨境流動，是當前世界數(shù)據(jù)本地化立法的主要類型。

　　無論是以上何種類型，均包含對數(shù)據(jù)出境的限制。經(jīng)濟合作與發(fā)展組織（OECD）在其 2019 年的調(diào)查報告《貿(mào)易與跨境數(shù)據(jù)流動》（Trade and Cross-Border Data Flows）中，將數(shù)據(jù)跨境流動的管制強度由弱到強分為四個層級：第一層級是對數(shù)據(jù)跨境流動不設(shè)任何法律限制，該層級多出現(xiàn)于最不發(fā)達國家；第二層級是不對數(shù)據(jù)跨境做事前限制，但設(shè)置事后審查和追責機制；第三層級是規(guī)定數(shù)據(jù)出境條件和情形，并對數(shù)據(jù)接收國設(shè)置資質(zhì)限制，例如歐盟《通用數(shù)據(jù)保護條例》（GDPR）采用的就是這種思路；第四層級是最高限制層級，即數(shù)據(jù)能否跨境流動需要經(jīng)過個案審查。

　　各國或地區(qū)要求本地化的數(shù)據(jù)類型，大致可以分為兩類：一類針對公民個人信息，例如澳大利亞《由個人控制的電子健康記錄法》（PCEHR Act）針對公民健康類數(shù)據(jù)，而俄羅斯和馬來西亞則要求存儲本國公民的各類個人數(shù)據(jù)；另一類則涉及非個人數(shù)據(jù)，例如德國《電子通信法》（TKG）對原始數(shù)據(jù)的本地存儲進行規(guī)定，印度《國家數(shù)據(jù)分享和準入政策》（NDSAP）則要求所有通過使用公共基金收集的數(shù)據(jù)均存儲于本國境內(nèi)，而我國《網(wǎng)絡(luò)安全法》基于保障網(wǎng)絡(luò)數(shù)據(jù)安全的考量，明確要求在境內(nèi)存儲“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)”。

　　除本地化存儲要求外，各國的一些配套措施也在不同程度上推進數(shù)據(jù)本地化，例如越南的《互聯(lián)網(wǎng)服務和在線信息管理、提供和使用條例》（Decreeon the Management，Provision and Use of InternetServices and Online Information）要求信息收集網(wǎng)站、社交網(wǎng)站、移動通信網(wǎng)絡(luò)服務提供者、在線游戲服務提供者等，至少將一個服務器設(shè)置在越南境內(nèi)；法國也曾建議對收集、管理和商業(yè)應用本國境內(nèi)人員個人數(shù)據(jù)的行為征稅，其中，數(shù)據(jù)的異地存儲有可能因為不完全合規(guī)而被征收更高的稅額。

　　數(shù)據(jù)跨境流動的限制必然伴隨復雜的安全評估和審查程序。例如，根據(jù)歐盟 GDPR 規(guī)定，在向歐盟境外第三國傳輸數(shù)據(jù)時需要經(jīng)過兩個步驟的審查：其一是數(shù)據(jù)傳輸行為本身是否有合法授權(quán)和依據(jù)；其二是數(shù)據(jù)接收國是否符合歐盟委員會的相關(guān)安全性要求。我國于 2019 年頒布的《個人信息出境安全評估辦法（征求意見稿）》也有類似機制，要求將需要進行出境前安全評估的個人信息擴展至各類網(wǎng)絡(luò)運營者在境內(nèi)運營過程中收集的信息，而不僅限于關(guān)鍵信息基礎(chǔ)設(shè)施運營者。該征求意見稿一方面明確禁止特定情形下的個人信息出境，另一方面則搭建起個人信息安全評估出境的一般性流程。

　　類似的安全評估和風險評估要求同樣體現(xiàn)在我國的《數(shù)據(jù)安全法（草案）》和《個人信息保護法（草案）》中。2021 年 4 月的《數(shù)據(jù)安全法（草案）》二次審議稿要求建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查；同時，重要數(shù)據(jù)處理者應當定期開展風險評估，并向有關(guān)主管部門報送風險評估報告；此外，境外司法或執(zhí)法機構(gòu)要求調(diào)取中國境內(nèi)數(shù)據(jù)時，非經(jīng)中國主管機關(guān)批準，不得提供。2021 年 4 月的《個人信息保護法（草案二次審議稿）》第三章，從跨境數(shù)據(jù)流動角度規(guī)定了個人信息保護相關(guān)規(guī)則，重申了《網(wǎng)絡(luò)安全法》關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運營者處理個人信息的境內(nèi)存儲規(guī)則，亦對其本地化要求進行了擴充，即將境內(nèi)存儲要求擴展至處理個人信息達到國家規(guī)定數(shù)量的其他個人信息處理者；同時，第三章也就其他情形下的個人信息出境設(shè)置了限制性條件；此外，國家機關(guān)處理的個人信息原則上也應當在中國境內(nèi)存儲。這些規(guī)定總體上呈現(xiàn)出以強化數(shù)據(jù)本地化來提升數(shù)據(jù)控制和保護的立法思路。

　　二、數(shù)據(jù)本地化的立法動因與挑戰(zhàn)

　　數(shù)據(jù)本地化這種強調(diào)數(shù)據(jù)地域?qū)傩缘淖龇?，源于國家主?quán)、數(shù)據(jù)安全、個人信息保護等多種因素。根據(jù)經(jīng)合組織于 2020 年發(fā)布的報告《數(shù)據(jù)本地化趨勢和挑戰(zhàn)：基于隱私指南的考量》（DataLocalization Trends and Challenges：Considerationsfor the Review of the Privacy Guidelines），數(shù)據(jù)本地化的立法動因主要集中在九個方面：一是保障網(wǎng)絡(luò)安全；二是防范外國網(wǎng)絡(luò)間諜；三是協(xié)助執(zhí)法機關(guān)和國家安全機關(guān)獲取數(shù)據(jù)；四是減少網(wǎng)絡(luò)犯罪并服務于其偵查；五是保護個人數(shù)據(jù)；六是提升網(wǎng)絡(luò)事件響應能力；七是形成地緣政治優(yōu)勢；八是確保政府獲取特定類型數(shù)據(jù)；九是形成經(jīng)濟競爭優(yōu)勢。

　　盡管存在上述動因，但需要注意到的是，數(shù)據(jù)本地化與全球信息網(wǎng)絡(luò)化大潮之間仍然存在兼容問題。

　　首先，數(shù)據(jù)本地化與互聯(lián)網(wǎng)基本架構(gòu)和新興信息技術(shù)之間存在技術(shù)沖突。在信息網(wǎng)絡(luò)技術(shù)的支撐下，數(shù)據(jù)本身呈現(xiàn)出去地域化的特征，數(shù)據(jù)的全球高速流動和分散存儲是現(xiàn)代互聯(lián)網(wǎng)的內(nèi)在屬性，云計算正是這一屬性的典型例證。數(shù)據(jù)存儲于何地，以何種方式存儲，是以數(shù)據(jù)高效流動和使用為決定因素，這與當前各國數(shù)據(jù)本地化立法的出發(fā)點存在分歧。從這個角度看，數(shù)據(jù)本地化也不可避免地與數(shù)字經(jīng)濟發(fā)展產(chǎn)生沖突。

　　其次，數(shù)據(jù)本地化可能造成不同地域之間新的法律沖突。不同國家和地區(qū)對本地化的數(shù)據(jù)類型和范圍要求不盡相同，對數(shù)據(jù)的分類也存在較大差異，這種差異將直接反映在網(wǎng)絡(luò)信息業(yè)者的合規(guī)義務以及可能由此產(chǎn)生的合規(guī)沖突之上。應對合規(guī)要求以及化解合規(guī)沖突需要網(wǎng)絡(luò)信息企業(yè)建立起相應的內(nèi)部合規(guī)機制，而該機制的有效運行又依賴于相應的專業(yè)人員和技術(shù)支撐，此時，合規(guī)義務不可避免地會轉(zhuǎn)化為企業(yè)的合規(guī)成本，從而加重企業(yè)的運營負擔。考慮到網(wǎng)絡(luò)信息業(yè)者自身經(jīng)營能力差異，這種合規(guī)負擔對于中小微互聯(lián)網(wǎng)企業(yè)發(fā)展的影響尤為嚴重。

　　再次，在數(shù)據(jù)全球分布和流動成為網(wǎng)絡(luò)信息產(chǎn)業(yè)的基本要求和核心生命力的背景下，數(shù)據(jù)本地化制度不可避免地會提高網(wǎng)絡(luò)信息業(yè)者的經(jīng)營成本，一方面體，現(xiàn)在網(wǎng)絡(luò)信息業(yè)者需要通過建立當?shù)財?shù)據(jù)存儲中心以符合本地化要求，另一方面，也體現(xiàn)在可能形成新的數(shù)據(jù)和網(wǎng)絡(luò)安全風險。這些成本不可避免地會轉(zhuǎn)嫁至消費者端，一定程度上可能迫使網(wǎng)絡(luò)信息業(yè)者避免在某些國家或地區(qū)開展業(yè)務，并可能進一步阻礙新技術(shù)和新產(chǎn)品在全球范圍內(nèi)的擴展。

　　最后，即便以強化數(shù)據(jù)治理為由，數(shù)據(jù)本地化亦有可能損及網(wǎng)絡(luò)空間治理的實際效能。以網(wǎng)絡(luò)犯罪為例，數(shù)據(jù)本地化的重要正當性事由之一，在于強化本國偵查機關(guān)的數(shù)據(jù)取證能力，但該事由并非必然成立。一方面，數(shù)據(jù)本地化制度大多并非針對所有數(shù)據(jù)，因此，無法確保與具體刑事案件證據(jù)材料需求相匹配。另一方面，犯罪分子通常會采取多種方式，利用刑事訴訟的地域管轄權(quán)限制，將相關(guān)數(shù)據(jù)轉(zhuǎn)移至境外，從而人為造成取證困難。更重要的是，在跨境數(shù)據(jù)取證需求普遍化的當下，數(shù)據(jù)本地化制度對他國取證形成的限制會借由對等和互惠原則傳遞至本國，反噬本國偵查機關(guān)的跨境取證能力。

　　數(shù)據(jù)本地化所呈現(xiàn)出的多重弊端也反映在一些國家或地區(qū)對該制度的猶疑搖擺態(tài)度之上。以歐盟為例，歐盟曾于 2013 年提出強化對云計算的管理，對歐盟境內(nèi)的數(shù)據(jù)出境設(shè)置更高的門檻，并重新審視歐盟與美國之間關(guān)于數(shù)據(jù)跨境流動的“安全港”規(guī)則。歐洲法院在 2020 年的施雷姆斯二號案（Schrems II）中，進一步宣布隱私盾協(xié)議無效。

　　然而，促進形成單一數(shù)據(jù)市場又是歐盟的一貫目標。在其 2018 年 6 月形成的歐美內(nèi)部政治協(xié)議中，歐盟單一數(shù)字市場副主席安德魯斯·安西普（AndrusAnsip）明確表示，“數(shù)據(jù)本地化是典型的保護主義，它與單一市場不相兼容。在實現(xiàn)人員、貨物、服務和資金自由流動后，通過此項協(xié)議支持非個人數(shù)據(jù)的自由流動，以促進技術(shù)和商業(yè)模式創(chuàng)新。”在此背景下，2018 年《歐盟非個人數(shù)據(jù)自由流動框架條例 》（Regulation on A Framework for the Free Flowof Non-Personal Data in the European Union），明確要求除非基于公共安全考量，否則禁止針對非個人數(shù)據(jù)的本地化要求。

　　三、數(shù)據(jù)本地化立法的發(fā)展趨勢

　　從當前世界主要國家和地區(qū)的數(shù)據(jù)政策和立法發(fā)展狀況看，以數(shù)據(jù)本地化為代表的網(wǎng)絡(luò)和數(shù)據(jù)的地域性分割趨勢非但不會削弱，反而可能在復雜的國際形勢下被進一步強化。同時，不同國家或地區(qū)對數(shù)據(jù)本地化的態(tài)度往往與所涉視角緊密相關(guān)：一方面，針對商業(yè)貿(mào)易和網(wǎng)絡(luò)信息產(chǎn)業(yè)發(fā)展而言，去本地化要求是較為普遍的觀點，例如，于 2020 年7 月生效的《美墨加三國協(xié)議》（USMCA）也從促進區(qū)域貿(mào)易的角度，對數(shù)據(jù)本地化持否定態(tài)度；另一方面，從數(shù)據(jù)主權(quán)、國家和公共安全以及個人信息保護角度看，加強本地化要求又成為重要手段之一，例如，歐盟 GDPR 即反映出此類思路。但是，這些方面的考量因素并非彼此獨立，而是在網(wǎng)絡(luò)信息時代相互交織，共同作用于各個領(lǐng)域的網(wǎng)絡(luò)和數(shù)據(jù)治理規(guī)則。

　　在互聯(lián)互通的網(wǎng)絡(luò)全球化時代，建構(gòu)開放、包容的命運共同體更為關(guān)鍵，如何在尊重國家主權(quán)和保障公民基本權(quán)利的前提下，推動網(wǎng)絡(luò)空間國際治理整體能力的提升，促進數(shù)據(jù)資源發(fā)揮最大效能，是網(wǎng)絡(luò)信息時代提出的重大命題。

　　圍繞數(shù)據(jù)本地化的立法爭議正是這一重大命題的集中體現(xiàn)。化解該爭議、最大限度推動國際共識和規(guī)范的形成，需要建立在數(shù)據(jù)跨境流動的場景化的基礎(chǔ)之上，針對不同類型的數(shù)據(jù)在不同場景下的流動特征，設(shè)置不同層級的跨境傳輸限制規(guī)則。

　　首先，在網(wǎng)絡(luò)空間治理層面，需要正視數(shù)據(jù)本地化制度對數(shù)據(jù)跨境流動在客觀上造成的阻礙。從網(wǎng)絡(luò)信息技術(shù)發(fā)展的內(nèi)在屬性出發(fā)，立法者應當以推動數(shù)據(jù)合理、高效流動為基本原則，數(shù)據(jù)本地化規(guī)則作為例外情形適用。這一原則需要國際層面的共同推動，促進本地化基本原則和規(guī)則體系國際共識的形成。

　　其次，在需要適用本地化數(shù)據(jù)治理的情形下，應當進一步區(qū)分不同場景，其核心在于，一方面，就不同場景背后所保護的具體權(quán)益進行分類、分層，另一方面，對該場景下數(shù)據(jù)跨境的具體特征加以明晰。特別是需要區(qū)分商業(yè)場景與社會公共治理場景，以及區(qū)分數(shù)據(jù)跨境傳輸?shù)某B(tài)化場景和個案化場景。

　　再次，在區(qū)分數(shù)據(jù)本地化適用場景的前提下，應當就本地化措施本身進行細化和階層化，避免一刀切式地采用最為嚴格的出境限制。具體而言，這種階層化包含以下兩個層面的含義：一是就本地化規(guī)則區(qū)分嚴格境內(nèi)存儲、副本境內(nèi)存儲等不同層級；二是就數(shù)據(jù)出境規(guī)則設(shè)置審批制、備案制、標準制等不同層級。這意味著，一方面，需要針對特定場景下特定本地化層級的立法設(shè)置依據(jù)比例原則進行評估，另一方面，需要針對具體的數(shù)據(jù)跨境活動建立起數(shù)據(jù)出境的個案影響評估機制。

　　最后，數(shù)據(jù)本地化規(guī)則不能脫離數(shù)據(jù)治理體系單獨建設(shè)，需要將本地化要求放置在網(wǎng)絡(luò)空間治理的整體框架下，將數(shù)據(jù)本地化要求與網(wǎng)絡(luò)安全、個人信息保護、網(wǎng)絡(luò)空間管轄權(quán)等相關(guān)領(lǐng)域立法相配合，突破部門法的分割視野，形成數(shù)據(jù)治理領(lǐng)域法的協(xié)同建設(shè)。