海南自由贸易港数据跨境流动法律规制研究

一方面， 国家层面数据立法滞后， 造成数据跨境流动领域立法较晚， 地方针对数据跨境流
动领域立法缺失。 另一方面， 虽然国家赋予海南特区立法权， 根据 《 立法法》 第 ９０ 条规定，
经济特区可以对法律法规进行变通性规定，⑧ 但从实践看， 海南并没有充分利用特区立法权，
仅制定了少量的特区法规。 尽管 《 海南自由贸易港法 （ 草案） 》 规定， 海南自由贸易港法规经
委员会
２０１６ 年
法律
第 ３７ 条
《 个人信息和重要数据出境安全评
估办法》 （ 征求意见稿）
国家互联网
信息办公室
２０１７ 年
部门规范性文件
全文
《 中华人民共和国数据安全法 （ 草
案） 》
全国人民代
表大会常务
委员会
２０２０ 年
法律
第 １０ 条、 第 ３３ 条
⑦
４
参见 《 中华人民共和国网络安全法》 第 ３９ 条。
３ 监管限度难把握
海南自由贸易港对数据跨境流动进行规制， 不仅要注重保障数据流动自由便利， 更要注意
平衡数据跨境流动的安全与数据领域的开放是海南自由贸易港数据跨境流动法律规制的价
值诉求。 中国在数据跨境流动规制方面尚处于起步阶段， 总体上存在规制目标失衡、 立法不完
善、 配套制度不全以及缺乏国际合作四个方面的难题。 海南自由贸易港的建设在数据跨境流动
领域中， 既存在该领域规制难题的共性， 也存在其特殊性。 随着海南自由贸易港开放性的增
陈利强： 《 中国特色自贸区 （ 港） 法治建构论》 ， 人民出版社 ２０１９ 年版， 第 １３６ 页。
海南自由贸易港数据跨境流动法律规制研究
１ 国家事权与地方立法权不协调
《 中华人民共和国立法法》 （ 以下简称 《 立法法》 ） 第 ８ 条规定只能制定法律的事项， 其
中涉及到外汇、 金融、 税收等领域。 国家在这些事项上享有专属立法权 （ 又称国家事权事
备案说明后， 可以对现行法律或者行政法规 “ 作变通规定” ，⑨ 然而 “ 变通性” 立法的效果还
有待实践的检验。 海南自由贸易港应当避免类似弱化经济特区立法权的情况， 充分利用 “ 变通
性” 立法。
（ 三） 监管体制不健全难题
１ 安全评估机制缺失
《 数据安全法 （ 草案） 》 第三章的数据安全制度明确国家建立集中统一、 高效权威的数据
标准。
２ 监管手段单一
数据跨境流动自带风险， 国家干预必不可少。 中国的监管制度体系未达到覆盖数据全生命
周期， 未形成闭环监管体系， 综合监管措施有待加强。 一直以来， 中国的数据监管职责以政府
为主， 管理手段单一。 因此， 有必要创新海南自由贸易港数据跨境流动的监管机制， 多方主体
参与监管、 采取多种管理手段落实监管。
强， 数据跨境流动会愈加频繁， 因而对数据跨境流动的安全性、 便利性要求会更高。 总体而
言， 海南自由贸易港数据跨境流动法律规制难题可以从 “ 事权 － 法治 － 制度” 三个层次进行剖
析： 一是事权厘定不清难题； 二是法律体系不完善难题； 三是监管制度不健全难题。
（ 一） 事权厘定不清难题
①
②
２
参见 《 中华人民共和国海南自由贸易港法 （ 草案） 》 第 ４２ 条。
育发展数字经济。 由此可见， 数据跨境流动是海南自由贸易港全方位开放战略布局中的重要
一环。 然而， 数据跨境流动中蕴含着巨大的风险。 从国家角度看， 其对国家安全会带来一定
的威胁； 从企业角度看， 一些涉及商业秘密或者与贸易相关的重要数据被窃取， 会给企业的
经济利益造成巨大的损失； 从个人角度看， 个人数据在跨境流动过程中被泄露， 个人隐私权
监管职责， 各地区、 部门对各自工作中产生、 汇总、 加工的数据及数据安全负主体责任。④ 这
条规定没有明确各部门对数据跨境流动的监管职责， 国家层面在该领域亦没有对地方开展有效
赋权， 致使海南数据跨境流动监管部门职权分配缺少明确的法律依据， 易出现部门之间要么各
自为政、 要么职权交叉的情况， 最终导致监管工作陷入困境。
时发现安全风险以及防范漏洞， 不能在第一时间改进。
③
参见 《 中华人民共和国立法法》 第 ８ 条。
⑤
参见前引注②， 第 ２ 页。
④
⑥
参见 《 中华人民共和国数据安全法 （ 草案） 》 第 ７ 条。
李凤梅、 孙旗： 《 跨境数据流动的法律规制研究》 ， 《 辽宁行政学院学报》 ２０１９ 年第 ５ 期， 第 ５７
特 稿
海南自由贸易港数据
跨境流动法律规制研究
陈利强 刘羿瑶 ∗
摘 要： 数据跨境流动规制是海南自由贸易港建设的重要一环。 安全、 有序、
便利、 开放是海南自由贸易港数据跨境流动所持的价值取向。 海南自由贸易港数据跨
境流动法律规制， 面临着事权厘定不清、 法律体系不完善以及监管体制不健全等事权、
法治、 制度三大方面难题。 建议坚持 “ 事权法治制度环境一体化” 的方略和路径， 在
借鉴国际经验的基础上， 在海南自由贸易港数据跨境流动领域构建厘清事权分配、 完
善法律体系、 健全监管体制三位一体法治化路径， 以便对海南自由贸易港数据跨境流
动进行有效法律规制。
关 键 词： 海南自由贸易港； 数据跨境流动； 法律规制
海南自由贸易港数据跨境流动法律规制研究
（ 续表）
《 中华人民共和国个人信息保护法
（ 草案） 》 （ 征求意见稿）
全国人民代
表大会常务
委员会
２０２０ 年
法律
第三章
《 中华人民共和国海南自由贸易港
法 （ 草案） 》
全国人民代
表大会常务
委员会
２０２１ 年
法律
第 ４２ 条
表中内容由作者本人整理制作。
２ 地方层面： 立法缺失
等权利也会遭受损害。 因此， 海南自由贸易港数据跨境流动法律规制具有重要性、 必要性和
紧迫性。
法律规制是对数据跨境流动进行规制的必要手段， 是保证数据跨境流动各个环节运行有
序的必然要求， 对海南自由贸易港建设具有重大意义。 无论接轨国际还是体现中国特色， 海
南自由贸易港都尚未形成稳定、 安全、 高效的数据跨境流动法律规制体系， 解决这一问题的
限。 当数据涉及到国家、 社会公共利益时， 为确保国家数据的安全， 要求企业及个人数据权利
为国家数据权力让位也在所难免， 只有这样才能使得国内各项制度能顺利实施， 为社会稳定运
行提供保障支持。 但是当数据不涉及国家安全、 社会公共利益的情况下， 依旧采取政府严格控
制模式， 会使监管效率低下， 不能充分发挥企业的积极作用。⑥ 这也是个人、 企业数据权利与
糊性在没有具体实施细则及时出台的情况下增大了司法实践的难度。 中国采取的规范体系更倾
向数据安全， 但是未统筹建立顶层设计下的规范体系， 很多情况都未给出明确解决方案， 例
如， 数据收集之后的保障义务以及责任承担、 过错责任的适用。 数据跨境流动过程中在未经数
据主体同意的情况下获取、 利用、 在境外传播数据相关的商业秘密、 知识产权。 国家层面的立
页。
３
（ 二） 法律体系不完善难题
１ 国家层面： 立法碎片化
网络是数据的载体， 数据是网络空间的组成部分。 保障数据安全是在中国网络空间战略下展开
的， 然而 《中华人民共和国网络安全法》 （以下简称 《网络安全法》 ） 出台之后， 并没有及时对数
据安全进行单独立法。 与数据相关的条文都散落在 《中华人民共和国国家安全法》 《网络安全法》
致央地关系不协调， 进而影响改革的成效。⑤
３ 事权调配创新不足
海南同时作为数据安全传输试点区域， 应创新事权调配， 协调各方， 推动除政府以外主体
参与。 现在主要采取的是传统的政府主导下的严格控制模式， 战略推行主要依靠国家权力机
关， 日常监管主要依靠政府部门间的协同管理。 私人或者社会力量参与规制的范围和程度有
安全风险评估机制， 提出国家要促进数据安全检测评估、 认证服务的发展。 数据安全评估机制
一直以来被各主体所诟病。 如果企业来评估， 结果往往具有倾向性； 如果监管机构来评估， 要
克服效率和效果两大难题； 如果不对数据进行安全评估， 更会加大数据跨境流动的监管难度以
及带来更多的风险。 海南自由贸易港尚需制定更高效便利的风险评估方式、 更科学的评估
一、 问题的提出
探索建设中国特色自由贸易港是党中央着眼于国际国内发展大局， 深入研究、 统筹考虑、
∗ 基金项目： 本文为 ２０２０ 年度国家社科基金一般项目 “ 海南自由贸易港建设法治保障创新研究”
（ 项目号： ２０ＢＦＸ２０１） 的阶段性成果。
∗ 作者简介： 陈利强， 浙江工业大学法学院硕士生导师， 浙江外国语学院 “ 一带一路” 学院执行
中提出海南自由贸易港建立安全有序便利的数据流动管理制度， 依法保护公民、 组织与数据有
关的权益， 扩大数据领域开放， 促进以数据为关键要素的数字经济的发展。① 《 海南自由贸易
港法 （ 草案） 》 中的数据流动既包含数据在境内流动， 也包含数据在境外流动， 明确了数据流
动要满足安全可控这个前提， 进而扩大数据领域开放， 促使数据得以充分汇聚， 在此基础上培
法模糊性给海南自由贸易港在该领域的立法造成了严重的阻碍。
表 １ 涉及数据跨境流动相关法律规范统计表
名 称
发布部门
发布时间
效力级别
具体规定
《 信息安全技术公共及商用服务信
息系统个人信息保护指南》
国家标准化
管理委员会
２０１２ 年
部门工作文件
５ ４ ５
《 中华人民共和国网络安全法》
全国人民代
表大会常务
院长、 国际法教授， 浙江省法学会自由贸易园 （ 港） 区法治研究中心主任； 刘羿瑶，
浙江工业大学法学院硕士研究生。
１
科学谋划作出的重大决策， 是中国扩大对外开放、 积极推动经济全球化的重大举措。 《 中华人
民共和国海南自由贸易港法 （ 草案） 》 （ 以下简称 《 海南自由贸易港法 （ 草案） 》 ） 第 ４２ 条
根本途径是从法治层面解决立法问题。 因此， 本文遵循中国特色自贸 （ 区） 港法治建构主义
的基本法治方式和路径， ② 从事权、 法治、 制度三个角度， 为完善海南自由贸易港数据跨境
流动法律规制提出法治建议， 以期为海南自由贸易港数据跨境流动法律规制提供法治智力
保障。
二、 海南自由贸易港数据跨境流动法律规制存Leabharlann Baidu的事权法治制度难题
项） 。③ 数据作为载体承载着多领域的信息， 在数据跨境流动的规制中， 往往存在事权调配不
当、 国家事权与地方立法权不协调等问题。 《 中华人民共和国数据安全法 （ 草案） 》 （ 以下简
称 《 数据安全法 （ 草案） 》 ） 第 ７ 条中规定国家网信部门负责统筹协调网络数据安全和相关监
管工作。 公安机关、 国家安全机关以及重点行业主管部门依法在各自职责范围内承担数据安全
强， 整体呈现出碎片化特征。 同时， 立法内容具有模糊性。 《 网络安全法》 提出 “ 关键信息基
础设施的运营者” 在境内收集和产生的两个对象中的 “ 重要数据” ， 《 数据安全法 （ 草案） 》
中也有提及 “ 重要数据” ， 但对这一概念并没有给出明确的定义和标准。 再比如， 关于 “ 网信
部门应当统筹协调有关部门……” 的规定，⑦ 其中有关部门没有明确究竟是哪些部门。 立法模
国家数据权力之间权衡障碍的体现， 这种权衡障碍阻碍了跨境数据流动安全技术保障的形成。
同时在经济活动中， 作为主体地位的企业主体职责弱化， 缺乏主观能动性， 在经营战略中未能
明确数据保护政策， 未在经营过程中从人员、 业务、 制度等方面构建企业内部的管理机制。 这
些使得数据， 尤其是企业数据， 在最初的收集、 存储、 流动、 使用等环节丧失了监督， 不能及
《中华人民共和国电子商务法》 《个人信息和重要数据出境安全评估办法 （征求意见稿） 》 以及部分
行业条例中， 例如， 《征信业管理条例》 《地图管理条例》。 直到 ２０２０ 年 《数据安全法 （草案） 》 出
台， 它开启了数据安全立法的新篇章， 也标志着中国网络安全立法进入新的阶段。 从国家层面
看， 有部分法律规范针对数据跨境流动进行了规定 （ 见表 １） ， 但立法不够系统化， 层次感不
２ 事权下放力度不够
海南自由贸易港要扩大数据领域开放， 需要在政府数据、 金融、 外汇等领域有所突破， 前
提是需要国家层面将事权充分下放至海南。 改革自主权实质是事权和管理权限。 毋庸置疑， 改
革创新必定会牵扯到诸多部门的实际利益， 调整国家事权可能会和现行法律法规出现冲突， 这
也是改革很难顺利推进的主要原因。 事权下放难、 事权厘定难、 事权与立法权未协调统一会导