盡管網絡信息技術不斷促進全球各地互通互聯，但各國或地區不但沒有放棄地域維度的管控思路，數據治理的地域化反而借由數據本地化等立法有所強化。

　　一、各國或地區關于數據本地化立法現狀

　　關于何為數據本地化，目前存在多種定義。從廣義上理解，數據本地化可以視為任何對數據跨境流動加以限制的制度。全球互聯網治理委員會（Global Commission on InternetGovernance）在其 2015 年的報告《數據本地化規則對金融服務的影響》（Addressing the Impact of Data Location Regulation inFinancial Services）中，將數據本地化概括為四種類型：一是數據出境的地域限制，即要求數據必須于某一國家或區域境內存儲和處理；二是數據位置的地域限制，即允許數據副本出境處理，但在本國或本區域內必須存有副本；三是基于許可制的數據出境限制，即要求數據出境需經有權機關許可；四是基于標準體系的數據出境限制，即要求數據出境必須采取標準化的步驟以確保數據安全和隱私保護。其中，前兩種類型會直接限制數據跨境流動，是當前世界數據本地化立法的主要類型。

　　無論是以上何種類型，均包含對數據出境的限制。經濟合作與發展組織（OECD）在其 2019 年的調查報告《貿易與跨境數據流動》（Trade and Cross-Border Data Flows）中，將數據跨境流動的管制強度由弱到強分為四個層級：第一層級是對數據跨境流動不設任何法律限制，該層級多出現于最不發達國家；第二層級是不對數據跨境做事前限制，但設置事后審查和追責機制；第三層級是規定數據出境條件和情形，并對數據接收國設置資質限制，例如歐盟《通用數據保護條例》（GDPR）采用的就是這種思路；第四層級是最高限制層級，即數據能否跨境流動需要經過個案審查。

　　各國或地區要求本地化的數據類型，大致可以分為兩類：一類針對公民個人信息，例如澳大利亞《由個人控制的電子健康記錄法》（PCEHR Act）針對公民健康類數據，而俄羅斯和馬來西亞則要求存儲本國公民的各類個人數據；另一類則涉及非個人數據，例如德國《電子通信法》（TKG）對原始數據的本地存儲進行規定，印度《國家數據分享和準入政策》（NDSAP）則要求所有通過使用公共基金收集的數據均存儲于本國境內，而我國《網絡安全法》基于保障網絡數據安全的考量，明確要求在境內存儲“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”。

　　除本地化存儲要求外，各國的一些配套措施也在不同程度上推進數據本地化，例如越南的《互聯網服務和在線信息管理、提供和使用條例》（Decreeon the Management，Provision and Use of InternetServices and Online Information）要求信息收集網站、社交網站、移動通信網絡服務提供者、在線游戲服務提供者等，至少將一個服務器設置在越南境內；法國也曾建議對收集、管理和商業應用本國境內人員個人數據的行為征稅，其中，數據的異地存儲有可能因為不完全合規而被征收更高的稅額。

　　數據跨境流動的限制必然伴隨復雜的安全評估和審查程序。例如，根據歐盟 GDPR 規定，在向歐盟境外第三國傳輸數據時需要經過兩個步驟的審查：其一是數據傳輸行為本身是否有合法授權和依據；其二是數據接收國是否符合歐盟委員會的相關安全性要求。我國于 2019 年頒布的《個人信息出境安全評估辦法（征求意見稿）》也有類似機制，要求將需要進行出境前安全評估的個人信息擴展至各類網絡運營者在境內運營過程中收集的信息，而不僅限于關鍵信息基礎設施運營者。該征求意見稿一方面明確禁止特定情形下的個人信息出境，另一方面則搭建起個人信息安全評估出境的一般性流程。

　　類似的安全評估和風險評估要求同樣體現在我國的《數據安全法（草案）》和《個人信息保護法（草案）》中。2021 年 4 月的《數據安全法（草案）》二次審議稿要求建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查；同時，重要數據處理者應當定期開展風險評估，并向有關主管部門報送風險評估報告；此外，境外司法或執法機構要求調取中國境內數據時，非經中國主管機關批準，不得提供。2021 年 4 月的《個人信息保護法（草案二次審議稿）》第三章，從跨境數據流動角度規定了個人信息保護相關規則，重申了《網絡安全法》關于關鍵信息基礎設施運營者處理個人信息的境內存儲規則，亦對其本地化要求進行了擴充，即將境內存儲要求擴展至處理個人信息達到國家規定數量的其他個人信息處理者；同時，第三章也就其他情形下的個人信息出境設置了限制性條件；此外，國家機關處理的個人信息原則上也應當在中國境內存儲。這些規定總體上呈現出以強化數據本地化來提升數據控制和保護的立法思路。

　　二、數據本地化的立法動因與挑戰

　　數據本地化這種強調數據地域屬性的做法，源于國家主權、數據安全、個人信息保護等多種因素。根據經合組織于 2020 年發布的報告《數據本地化趨勢和挑戰：基于隱私指南的考量》（DataLocalization Trends and Challenges：Considerationsfor the Review of the Privacy Guidelines），數據本地化的立法動因主要集中在九個方面：一是保障網絡安全；二是防范外國網絡間諜；三是協助執法機關和國家安全機關獲取數據；四是減少網絡犯罪并服務于其偵查；五是保護個人數據；六是提升網絡事件響應能力；七是形成地緣政治優勢；八是確保政府獲取特定類型數據；九是形成經濟競爭優勢。

　　盡管存在上述動因，但需要注意到的是，數據本地化與全球信息網絡化大潮之間仍然存在兼容問題。

　　首先，數據本地化與互聯網基本架構和新興信息技術之間存在技術沖突。在信息網絡技術的支撐下，數據本身呈現出去地域化的特征，數據的全球高速流動和分散存儲是現代互聯網的內在屬性，云計算正是這一屬性的典型例證。數據存儲于何地，以何種方式存儲，是以數據高效流動和使用為決定因素，這與當前各國數據本地化立法的出發點存在分歧。從這個角度看，數據本地化也不可避免地與數字經濟發展產生沖突。

　　其次，數據本地化可能造成不同地域之間新的法律沖突。不同國家和地區對本地化的數據類型和范圍要求不盡相同，對數據的分類也存在較大差異，這種差異將直接反映在網絡信息業者的合規義務以及可能由此產生的合規沖突之上。應對合規要求以及化解合規沖突需要網絡信息企業建立起相應的內部合規機制，而該機制的有效運行又依賴于相應的專業人員和技術支撐，此時，合規義務不可避免地會轉化為企業的合規成本，從而加重企業的運營負擔。考慮到網絡信息業者自身經營能力差異，這種合規負擔對于中小微互聯網企業發展的影響尤為嚴重。

　　再次，在數據全球分布和流動成為網絡信息產業的基本要求和核心生命力的背景下，數據本地化制度不可避免地會提高網絡信息業者的經營成本，一方面體，現在網絡信息業者需要通過建立當地數據存儲中心以符合本地化要求，另一方面，也體現在可能形成新的數據和網絡安全風險。這些成本不可避免地會轉嫁至消費者端，一定程度上可能迫使網絡信息業者避免在某些國家或地區開展業務，并可能進一步阻礙新技術和新產品在全球范圍內的擴展。

　　最后，即便以強化數據治理為由，數據本地化亦有可能損及網絡空間治理的實際效能。以網絡犯罪為例，數據本地化的重要正當性事由之一，在于強化本國偵查機關的數據取證能力，但該事由并非必然成立。一方面，數據本地化制度大多并非針對所有數據，因此，無法確保與具體刑事案件證據材料需求相匹配。另一方面，犯罪分子通常會采取多種方式，利用刑事訴訟的地域管轄權限制，將相關數據轉移至境外，從而人為造成取證困難。更重要的是，在跨境數據取證需求普遍化的當下，數據本地化制度對他國取證形成的限制會借由對等和互惠原則傳遞至本國，反噬本國偵查機關的跨境取證能力。

　　數據本地化所呈現出的多重弊端也反映在一些國家或地區對該制度的猶疑搖擺態度之上。以歐盟為例，歐盟曾于 2013 年提出強化對云計算的管理，對歐盟境內的數據出境設置更高的門檻，并重新審視歐盟與美國之間關于數據跨境流動的“安全港”規則。歐洲法院在 2020 年的施雷姆斯二號案（Schrems II）中，進一步宣布隱私盾協議無效。

　　然而，促進形成單一數據市場又是歐盟的一貫目標。在其 2018 年 6 月形成的歐美內部政治協議中，歐盟單一數字市場副主席安德魯斯·安西普（AndrusAnsip）明確表示，“數據本地化是典型的保護主義，它與單一市場不相兼容。在實現人員、貨物、服務和資金自由流動后，通過此項協議支持非個人數據的自由流動，以促進技術和商業模式創新。”在此背景下，2018 年《歐盟非個人數據自由流動框架條例 》（Regulation on A Framework for the Free Flowof Non-Personal Data in the European Union），明確要求除非基于公共安全考量，否則禁止針對非個人數據的本地化要求。

　　三、數據本地化立法的發展趨勢

　　從當前世界主要國家和地區的數據政策和立法發展狀況看，以數據本地化為代表的網絡和數據的地域性分割趨勢非但不會削弱，反而可能在復雜的國際形勢下被進一步強化。同時，不同國家或地區對數據本地化的態度往往與所涉視角緊密相關：一方面，針對商業貿易和網絡信息產業發展而言，去本地化要求是較為普遍的觀點，例如，于 2020 年7 月生效的《美墨加三國協議》（USMCA）也從促進區域貿易的角度，對數據本地化持否定態度；另一方面，從數據主權、國家和公共安全以及個人信息保護角度看，加強本地化要求又成為重要手段之一，例如，歐盟 GDPR 即反映出此類思路。但是，這些方面的考量因素并非彼此獨立，而是在網絡信息時代相互交織，共同作用于各個領域的網絡和數據治理規則。

　　在互聯互通的網絡全球化時代，建構開放、包容的命運共同體更為關鍵，如何在尊重國家主權和保障公民基本權利的前提下，推動網絡空間國際治理整體能力的提升，促進數據資源發揮最大效能，是網絡信息時代提出的重大命題。

　　圍繞數據本地化的立法爭議正是這一重大命題的集中體現。化解該爭議、最大限度推動國際共識和規范的形成，需要建立在數據跨境流動的場景化的基礎之上，針對不同類型的數據在不同場景下的流動特征，設置不同層級的跨境傳輸限制規則。

　　首先，在網絡空間治理層面，需要正視數據本地化制度對數據跨境流動在客觀上造成的阻礙。從網絡信息技術發展的內在屬性出發，立法者應當以推動數據合理、高效流動為基本原則，數據本地化規則作為例外情形適用。這一原則需要國際層面的共同推動，促進本地化基本原則和規則體系國際共識的形成。

　　其次，在需要適用本地化數據治理的情形下，應當進一步區分不同場景，其核心在于，一方面，就不同場景背后所保護的具體權益進行分類、分層，另一方面，對該場景下數據跨境的具體特征加以明晰。特別是需要區分商業場景與社會公共治理場景，以及區分數據跨境傳輸的常態化場景和個案化場景。

　　再次，在區分數據本地化適用場景的前提下，應當就本地化措施本身進行細化和階層化，避免一刀切式地采用最為嚴格的出境限制。具體而言，這種階層化包含以下兩個層面的含義：一是就本地化規則區分嚴格境內存儲、副本境內存儲等不同層級；二是就數據出境規則設置審批制、備案制、標準制等不同層級。這意味著，一方面，需要針對特定場景下特定本地化層級的立法設置依據比例原則進行評估，另一方面，需要針對具體的數據跨境活動建立起數據出境的個案影響評估機制。

　　最后，數據本地化規則不能脫離數據治理體系單獨建設，需要將本地化要求放置在網絡空間治理的整體框架下，將數據本地化要求與網絡安全、個人信息保護、網絡空間管轄權等相關領域立法相配合，突破部門法的分割視野，形成數據治理領域法的協同建設。