第一章  跨境法律理论与实践


               确定数据使用的基本原则。二是合法合规，即要有专门的数据监管机构与配套的
               监管措施，防止个人数据在跨境流动过程中发生丢失、被盗、泄露、使用不当等
               行为。依据数据跨境中涉及的数据控制者对数据监管权力的大小和数据获取方式

               的来源，将数据跨境的法律监管行为分为政府监管、企业监管、第三方平台监管
               三个类别。政府监管，需要有专门的数据监管机构，有一定的行政权力；企业监
               管，则设立专人负责，一般由法律专业人士担当，无行政执法权力，负责企业数
               据合规。第三方平台监管由建立该平台的企业负责，负责监管平台数据来源和使

               用方式是否有异常，以及使用该平台的商家是否对收集的数据采取了充分保护。
                   1. 现行有效的主要法律法规
                   （1）《中华人民共和国网络安全法》

                   2016 年 11 月 7 日，全国人大常务委员会发布《中华人民共和国网络安全法》，
               并于 2017 年 6 月 1 日正式生效。《中华人民共和国网络安全法》第一次从法律
               层级对于数据跨境流动提出了安全要求，主要体现在第三十七条：“关键信息基
               础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据
               应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同

               国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其
               规定。”
                   （2）《中华人民共和国数据安全法》

                   2021 年 6 月 10 日，全国人大常委会发布《中华人民共和国数据安全法》，
               并于 2021 年 9 月 1 日正式生效。《中华人民共和国数据安全法》并未就数据跨
               境流通作详细规定，而是就数据跨境流通的问题引用《中华人民共和国网络安全
               法》的相应规定并明确由国务院与国家网信部门制定具体规则。
                   （3）《中华人民共和国个人信息保护法》

                   2021 年 8 月 20 日，全国人大常委会发布《中华人民共和国个人信息保护法》，
               并于 2021 年 11 月 1 日正式生效。针对跨境数据流动方面，《中华人民共和国个
               人信息保护法》借鉴有关国家和地区的做法，赋予了必要的域外适用效力，以充

               分保护我国境内个人的权益。《中华人民共和国个人信息保护法》第三条规定，
               以向境内自然人提供产品或者服务为目的，或者为分析、评估境内自然人的行为
               等发生在我国境外的个人信息处理活动，也适用本法；并要求境外的个人信息处
               理者在境内设立专门机构或者指定代表，负责个人信息保护相关事务。同时，《中



                                                                                       27