3.2　法律基础

数据跨境流动的监管出自各种独特的法律传统和文化，取决于颁布国或地区。举例而言，部分区域性法律文书（如欧洲理事会公约、《欧洲人权公约》和《欧洲联盟基本权利宪章》）将数据保护视为基本人权。其他文书则可能不以人权法为基础，也可能不具有法律约束力。^[50]《APEC隐私框架》在文件中根本未使用“基本权利”和“人权”两个术语。《框架》的目的在于从电子商务中受益。^[51]

Kuner认为，“即使数据保护被认作一项人权，数据跨境流动的监管通常也不被视为法律的‘核心’原则。例如，在马德里决议中，数据跨境流动的监管未包括在列举了数据保护‘基本原则’（合法性和公平性、目的明确、相称性、数据质量、开放性和问责制）的第二部分，而被放在了另一节（第15节）。同样，欧盟指令中，数据跨境流动的规定未放在包含数据处理核心规则的段落（‘第二章：个人数据处理合法性的一般规则’），而是放在另一部分（‘第四章：将个人数据传输至第三国’）。”^[52]

数据跨境流动的监管政策侧重点包括防止规避国家数据保护和隐私法；在数据接收点防范数据处理风险；应对主张境外数据保护和隐私权方面的挑战；增强消费者和个人的信心。若未规定此类政策（例如，由于数据出口国和进口国的法律已经统一），规范数据跨境流动的必要性便有所减少或不存在。因此，此类监管起到的保护作用在于防止数据保护和隐私法的基本原则被规避，但数据跨境流动监管本身并非基本原则之一。^[53]