“看不見”的國際傳播：跨境數據流動與中國應對

徐偲骕 姚建華

【內容摘要】 本文聚焦當前國際間跨境數據流動與數據本地化趨勢之間的張力，結合歐盟《通用數據保護條例》的啟示，提出三個建議：積極研究國際規制，確保自身合規;努力拓寬合法傳輸渠道;構建數據保護“中國標準”，成為國際認可的數據可流向國，提升數據治理的國際話語權。

【關 鍵 詞】 物質性轉向;跨境數據流動;數據本地化;數據治理

近年來，傳播研究中逐漸出現了“物質性轉向”（materiality turn）。Tony Bennett和Joyce Patrick認為這一學術取向主要從歷史維度出發，來考察傳播、媒介與文化的基礎設施。①其思想資源之一的媒介考古學認為，不能脫離設備、系統、編程、平臺等物質基礎來分析媒介的運作機制或權力關系。

這一學術轉向克服了互聯網社會科學研究中的“二分法”，后者將網絡視為“賽博空間”，其特點是非物質的、虛擬的、與物質世界割裂的。②主流傳播研究的本體論基礎實際上就建立在這種非物質性之上，聚焦于象征、語言、思想、符號、內容等對象，而與媒介本身的物質性相關的基礎設施、空間、技術、身體等問題被長期遮蔽。③雖然傳播的物質載體作為歷史事實是源遠流長的，但在當代媒介研究中卻泯滅了，“研究者們孜孜以求地從事媒介內容，津津樂道于媒介話語，而其存儲介質卻慘遭遺棄。”①

本文將這一學術創新引入國際傳播研究中，后者的問題意識長期局限于傳播設備的更新、內容策略的改善，對表象之下各國數據政策的博弈及其對中國企業和個人的影響關注不夠。文章聚焦當前國際間跨境數據流動與數據本地化趨勢之間的張力，結合歐盟《通用數據保護條例》的啟示，提出思考與建議。

一、“看不見”的國際傳播——數據跨境流動

數據似乎并沒有那么強烈的“物質性”，但媒介研究中的物質性實際上泛指一切媒介構成、媒介要素、媒介過程和媒介實踐，從有形的基礎設施到無形的通信協議，從可見的接口和界面到隱形的平臺和算法，實際上都是這種物質性的體現。②然而，即便是已經涉及數據問題的國際傳播研究，也只是把數據看作隱私問題，將數據流動與隱私保護視為對立的兩端，③忽略了數據已經成為新聞傳播乃至新經濟的命脈，是近乎于“石油”的生產性“能源”，數據恰恰應該被理解為網絡時代新聞傳播業和平臺資本主義的“生產資料”④。

（一）國際新聞傳播對數據流動的依賴

在主流研究最為看重的內容生產層面，流量如今決定新聞機構的生死和新聞傳播的效果，媒體開始利用各種受眾行為監測分析技術來掌握受眾的新聞消費習慣，這一實踐逐漸“正常化”并深深“嵌入”新聞機構的日常運作。⑤不僅如此，隨著社交媒體和移動設備成為人們獲取新聞的主要來源，官方媒體也要通過開設主頁、公眾號，開發自己的客戶端等來擴大用戶到達率，而平臺又依賴于算法自動決策以確定展示給不同用戶的不同內容，新聞就同時經歷了記者、編輯和算法的多重篩選。⑥相比前者，算法更依賴用戶數據，在國際傳播中，經過算法推薦的信息要準確到達境外受眾，影響其對中國事務的認知，改善中國形象，就勢必要購買或自行通過客戶端后臺收集其數據，分析其新聞接受行為、習慣乃至態度，在這一過程中，數據的跨境流動必然發生。

（二）全球數字經濟運作的前提：跨境數據流動

1980年，經濟合作與發展組織首次提出“跨境數據流動”的概念。①全球化自此進入數據流動或數據全球化的新時代，傳統貿易插上了信息技術的翅膀，引發了數字信息的空前增長和高速流動，提高了投資決策和資本分配的效率。②大數據與人工智能激發了數據驅動型產業。今天，國家、地區、企業、個人，甚至機器間都需要進行數據交換，互聯網和移動設備則使跨境數據融合以網絡化、動態和實時的方式發生，數據可以在發送方或接收方渾然不覺的情況下跨越許多邊界。因為存儲數據的云的實際位置可能位于第三國，跨境傳輸已經不像以往那樣簡單，即將文件發送到另一個國家的特定位置，而是復雜到了即使是國內兩點間傳輸，也可能導致信息或文件過境其他國家。③數據的開放性、流動性和共享性顛覆了傳統工業時代的商業形態和產業邊界，一個以數據資源的開發利用為核心動力的數據經濟時代全面來臨。

據統計，2011～2016年間移動數據流量增長了18倍。④麥肯錫全球研究所在2016年研究估算，各種形式的全球流動（如商品、服務和資本）至少使全球GDP增長了10%（約7.8萬億美元），其中，互聯網數據流量占2.8萬億美元，且數字貿易和跨境數據流的增速將超過全球貿易的總體增速。⑤麥肯錫還發現，由于嚴重依賴于跨境數據流，86%的科技初創公司自誕生之日就具備了“全球性”（born global）⑥。此外，數據流動使得美國的GDP增加了3.4%～4.8%，創造了240萬個就業崗位。⑦正因如此，美國因其信息產業的優勢地位以及對數據自由流動的依賴性，通過多種途徑促進數據跨境。

云技術的勃興恰是跨境數據流動的集中體現和必然要求，這種分布式計算越來越多地為本土市場以外的客戶提供服務，允許其隨時從任何支持互聯網的設備上訪問數據，無須在本地存儲任何文件。借助于云的跨境數據流動還促進了創新的擴散，全球都可以接觸、利用最新研究成果和技術，并激發更多創意，催生新的企業，研究和開發工作也將受益，各地研究人員能夠共享數據、設計實驗和分析結果，加強協作。可以說，建立在數據流動之上的云技術是驅動信息資本主義發展的引擎，同時也是一種日漸成為主流的認知方式，被視為一種解決世界難題的超常力量，①這一切的前提便是數據的自由傳輸和流動。

此外，改善互聯網接入和跨境數據流對發展中國家的出口增長尤為重要。②世界銀行研究顯示，互聯網的接入可以將發展中國家與主要出口市場的地理隔離程度降低65%。③跨境數據流動有助于克服國際貿易中一系列地方性壁壘，比如，移動銀行服務很好地解決了某些國家和地區銀行業不發達、交易難的問題。④亞太地區尤其是這種“得數據者得天下”的積極踐行者，據測算，亞太地區網絡流量預計將從2016年的361.7EB增至2020年的814.2EB（1EB=230GB）。⑤其中，世界第二大經濟體——中國亦有著巨量跨境數據流動需求，阿里研究院預計，到2020年跨境電商交易規模將達到12萬億元，約占中國進出口總額的37.6%。⑥有學者建議，對數據問題的考量，要從單純關注“個體信息權”和隱私保護的單一維度，擴展至“個體權益、企業競爭和生產關系”三個維度上全面展開，盡快轉向思考與數據合約監管、數據風險管理、數據資源交易等相關的機制設計問題。⑦其中，首先遇到的便是各國日益強烈的數據本土化與限制出境的訴求。

二、逆向而動？各國的數據本地化實踐

由于互聯網的存在，數據可以輕松、迅速地跨越國界。①與實體空間不同，網絡并無明顯的地理邊界，網絡基礎協議能夠確定任意兩點之間傳輸數據包的最快路徑，數據在理論和技術上是可以快速、自由流動的，很難被限制去向，而且數據傳輸的邊際成本極低。②這就意味著數據跨的“境”實際上與真實國境并無聯系，不過是一種基于民族國家秩序的數字空間想象。然而現實情況是各國正出于國家安全、數據主權、經貿利益、隱私保護、公共道德和執法便利等各種原因，采取技術手段、出臺政策法規以實施數據本地化措施——也就是將數據存儲在物理國境線之內，數據保護主義趨勢日益明顯。

（一）各國數據本地化實踐

一項針對64個經濟體的研究顯示，1960～2017年，對跨境數據流動的限制性規定從無發展到87個。這些規定大部分是強制要求公司將數據保存在特定的邊界內，少量涉及限制數據入境。這些限制的類型從無到完全禁止大致可分為四種：No Restrictions（無限制）、Local Storage（本地存儲）、Local Processing（本地處理）以及Ban on Transfer（禁止傳輸）。③雖然過半措施是橫向覆蓋的，比如適用于所有行業收集的個人數據;但約有一半是針對特定行業和部門的，特別是金融行業、在線服務提供商、公共部門、健康護理業等。不過，沒有一個國家在全國范圍內禁止將所有數據轉移到國外。

有趣的是，從這個角度看云技術，它其實有助于將更多數據保存在本地，阻礙其外流，或吸引和鼓勵境外數據多流向境內，并非只是單純促進自由流動那么簡單。可以說，云的落戶可能成為一種向物理主權形式“回歸”的產物，互聯網遠非全球一體。

“棱鏡門”事件之后，鑒于美國互聯網企業在世界上的領先地位，各國都對數據流經美國表示關切和擔憂。《美國愛國者法案》允許其政府獲取存儲在美國境內數據中心或云服務提供商所保存的數據，以便利執法，且不需要數據主體的同意。許多國家和外國公司都擔心數據過境美國后被“合法地”獲取和監視。①印度、巴西、德國等國家均要求與安全有關的數據必須存儲于境內服務器，法國專門為政府數據建立本地云端系統，打造“法式云計算”，以特別限制關鍵基礎設施數據的跨境流動。②2012年，印度頒布了“國家數據共享和可訪問性政策”，規定政府數據必須存儲在本地數據中心;印度國家安全委員會還要求所有電子郵件提供商為其印度業務設置本地服務器來實現數據本地化。2013年，越南也頒布了《互聯網服務和信息管理、提供和使用》，禁止在線傳遞損害“國家安全、社會秩序和安全”的信息，并要求網絡供應商至少將一個服務器設在本地以方便有關部門對信息進行檢查。③

同時，國家還有責任保護本國公民個人隱私、生命財產數據以及本國企業資產數據等。④如印度規定將“敏感的個人數據或信息”轉移到國外僅限于兩個限制性條件——“必要”或當主體同意時。馬來西亞《個人數據保護法》規定，除非經馬來西亞政府批準，否則個人數據不能向境外轉移。阿根廷的《數據保護法》禁止將個人數據傳輸到那些沒有足夠保護水平的國家。澳大利亞《個人控制電子健康記錄法案》禁止除特定例外情形外的個人健康記錄出境。加拿大不列顛哥倫比亞省和新斯科舍省法律規定學校、醫院和公共機構持有的個人數據必須在加拿大存儲和訪問，滿足某些條件才可出境。俄羅斯出臺了《第242-FZ號聯邦法》（又稱數據本地化法）、《俄羅斯聯邦個人數據法》等法律，規定信息擁有者、信息系統運營方有義務將存有俄羅斯聯邦公民個人信息數據庫存放在俄羅斯境內，俄羅斯已經威脅要關閉拒絕在本地存儲數據的網站，如LinkedIn。⑤

維護公共道德、公共秩序和文化價值觀也是一項重要的原因，這通常涉及禁止數據流入境內的場景（其實也是讓外國數據“留在境外的本地”），或對特定行業的在線數據傳輸施加限制。一些國家（新加坡、黎巴嫩、土耳其等）禁止訪問成人娛樂網站，而德國禁止電子商務網站出售納粹紀念品，與賭博和音像制品有關的網上服務也受到較多國家的限制。這些規定阻止了特定類型的信息轉移和流動。①這些領域實際上是自由交易系統失靈而且需要干預的地方，各國通過法律禁令、實體封鎖、選擇性過濾和減慢外國網站的速度來加以控制，新型的數字貿易壁壘發展起來，一些經濟體已經轉向“運營許可”和“內容許可”制度，甚至設想對外國數據流征收歧視性關稅的方法，雖然在技術上很難實現。②

（二）如何看待針對跨境數據流動的限制

數據主權實際是網絡主權在新技術環境下的延伸和補充，意味著國家自主管轄、控制本國數據傳播、流通的絕對權力，這種權力保障一國的網絡基礎設施、數據安全、國民隱私、經貿利益甚至文化安全。各國通過數據本地化政策來限制關鍵數據出/入境，建立管轄原則，增加執法便捷性，設置市場壁壘，保護本國產業，實際上是維護國家利益的題中應有之義。

何況，當前國家面臨的數據主權挑戰已經不一定是另一個國家了。互聯網信息巨頭們對海量數據的占有和使用，已經催生另一種形式的數據主權，私人公司掌握了收集、聚合、存儲、分析、使用數據的關鍵技術，儼然成為信息世界的入口，把控了信息世界的“總開關”。這些企業沒有實際領土，但依托存在于世界各地的云數據中心和海量服務器，推動數據暢通無阻地跨境自由流動。普通用戶享受著即時訪問和便捷的服務，心甘情愿地將數據上交給某幾個互聯網巨頭，他們實際上也已經無法用腳投票，擺脫這些“信息帝國”了。在這種情況下，作為公共權力所有者的國家更有責任防范商業邏輯主導的私有平臺全面接管信息基礎設施。

不過，任何政策都有兩面性，各國的這些政策很大程度上成為國際貿易的新障礙。全球割裂的數據跨境流動政策將給依賴全球數據聚合的業務帶來影響，直接降低此類業務的效率，甚至其業務模式本身能否持續開展都成問題。此外，跨國公司或許可以在別國境內建立服務器和數據中心以存放在該國收集的數據，但對于小公司來說則是一種沉重的負擔，久而久之，外國競爭者遠離該國市場，會導致經濟活力的降低。最后，各國的數據本地化政策還可能違反了世貿組織的服務貿易總協定的非歧視與市場準入等諸項原則。

綜上，跨境數據自由流動與數據本地化之間存在極大的張力和沖突，如何平衡收益與風險、處理好這一對矛盾，是國際傳播領域亟須思考的問題。

三、GDPR對中國數據跨境流動的政策啟示

現有規則未能以一致的、連貫的、可操作的和可預測的方式保護跨境數據傳輸，而且歐盟、美國、世界其他國家和國際組織之間還有各式各樣的協議，可見即使少數國家間也未能就數據自由流動和其他政策目標之間達成必要的共識。 本節以歐盟的《通用數據保護條例》（GDPR）為例，探討其意義、啟示與中國的應對思路。

（一）保護是為了更好地流動

被稱為“史上最嚴格個人信息保護規范”的GDPR于2018年5月25日正式實施，27個歐盟成員國和仍在“脫歐”路上的英國相繼將其納入國內法體系，迅速修訂或制定了個人數據保護的相關法令。該條例“旨在協調整個歐洲的數據隱私法律，保護和授權所有歐盟公民的數據隱私，重塑整個地區處理數據隱私的方式”。①其范圍不僅涵蓋歐盟全境，而且對與歐盟相關的、但不在歐盟境內的第三國企業和機構同樣具有法律效力，②比如與歐盟企業有業務往來或收集歐盟公民數據的企業。條例生效后不久，就有隱私保護組織控訴Google、Facebook、WhatsApp、Instagram四家公司違反GDPR的規定，請求對其發起進一步調查、禁止其相關數據處理行為，并處以數十億歐元的懲戒性罰金。③這引起了國際輿論和業界的廣泛關注。跨國公司為了繼續開展歐洲業務，相繼調整隱私政策以充分合規，防止收到巨額罰單。④一些無力承擔合規成本的小公司則選擇放棄歐洲業務。

歐盟的“數據本地化”并不等于禁止數據跨境流通，而是首先在歐盟境內通過立法來克服各國國內法造成的數據流動障礙，積極推動成員國之間的數據跨境共享，實現歐洲內部數據自由流通。⑤針對聯盟外國家和地區，歐盟允許個人數據流入歐盟認可的、能夠提供“充分保護措施”的國家或地區，也就是說當第三國或者第三國境內某一區域、行業、組織能夠達到歐盟認可的保護水平之時，數據流入不需要獲得額外批準和授權。滿足這一條件的第三國（目前僅有12個國家和地區）進入歐盟“基于充分性決定的傳輸”的“白名單”①。除此之外，針對尚無法達到“充分決定”保護水平的國家、地區和企業，歐盟還發展出了“提供適當保護措施的數據跨境傳輸”“有約束力的公司規則”“特定情況下的例外規定”等“控制者到控制者”之間的標準合同文本，用以處理與符合某些保護水準的特定的數據接收方之間的傳輸。

（二）出海企業積極合規

GDPR一經出臺，尤其是在“一帶一路”政策催生大量出海企業的背景之下，立即就對中國企業帶來高度合規壓力，特別是以BAT為代表的互聯網企業如今也有廣泛的歐洲注冊用戶，均符合GDPR域外適用情形。微信海外版、新浪微博國際版等紛紛更新隱私政策、請求歐洲用戶重新授權，甚至傳出QQ將停止向歐洲區用戶提供服務的消息。華為等有意在人工智能、物聯網領域有所作為的企業也已專門聘請團隊以應對GDPR。盡管如此，大量中國企業仍然并未認真對待GDPR，這可能會引發不良后果。作為競爭對手的歐盟企業有很強的動機對這些中國企業進行投訴舉報，歐盟成員國政府出于保護本國企業的目的也可能主動進行調查。中國企業很可能成為集中投訴和嚴格執法的對象，面臨巨額處罰風險。

受影響的企業主要集中于需要進行大量數據收集和控制的行業，例如金融、生命科學（尤其是健康類的行業）、交通、零售、電商等。②頭部企業或許能夠承擔高昂的合規成本和代理成本，③將境外數據存放在當地的云端，或者直接建立離岸數據中心，但大量中小型企業如仍希望在節省成本的情況下開拓歐洲市場，必須親歷親為，密切關注政策動向，評估合規差距，根據自身業務特點，盡快使自己符合GDPR的傳輸要求。

需要采取的舉措可能包括：對數據進行分類整理，搞清楚所有數據類型，掌握哪些屬于敏感個人數據;重新撰寫、發布企業的隱私政策和條款，向用戶發出通知取得重新授權，用戶的授權與同意應以電子形式留存證據;加入明確授權和撤回按鈕，讓用戶可隨時隨地訪問數據，撤回授權、更正、刪除、注銷等;做好數據加密和匿名化工作、系統缺陷升級工作、數據泄露緊急措施預案等;與第三方數據處理者簽署合同并對其進行審計，避免承擔違規連帶責任（如Cambridge Analytica與Facebook數據泄露事件）;如果企業超過250名員工，就應任命數據保護官（Data Protection Officer）。

（三）拓寬合法傳輸渠道

上述這種“零敲碎打”的方式，主要原因是中國并非“充分決定”的白名單國家，不光如此，“標準合同文本”和“有約束力公司規則”很難適用于中國企業，中歐之間實際上缺乏數據傳輸的制度框架和政策工具。當下數據流動無時無刻不在進行中，新的數據類型和收集需求每天都在出現，即使企業事必躬親地處理每一筆涉及數據流動的交易，這種“單打獨斗”的情況仍然可能存在高風險。

相比而言，即使對數據和隱私保護存在極大分歧，歐美之間的數據流動反倒十分順暢。《安全港框架協議》因故失效后，①經過反復磋商和多次修改，一年之內，歐美又迅速達成了《隱私盾框架協議》，成為規制跨大西洋數據流動的新妥協方案。后者更為強調安全問題，要求個人數據的遷移必須符合告知和選擇原則，第三方至少也要提供相同水準的隱私保護和預防措施，保護個人數據不會遺失、濫用和受到未經授權的存取、泄露、竄改和破壞。②因此，美國企業可以利用“隱私盾”更方便地實現數據合法傳輸。目前，日韓兩國企業也正通過政府與歐盟談判，有望達成“充分性保護”互認協議，實現高效的轉移數據。

當前，跨境數據流動的國際規制已逐漸成為雙邊和區域貿易談判的新議題。可見，以國家為單位的談判才是目前解決跨境數據流動合規的總體性方案。短時間內，中國可能難以成為歐盟認可的白名單國家，但企業也不能放棄合規路徑儲備，可以爭取獲得歐盟在GDPR框架下的相關認證。結合各國數據保護水平和國際認可程度，也可暫時選擇白名單內相關國家及地區作為“數據港”，將所收集數據就近存放。

（四）構建“中國標準”，促進數據流入，提升國際話語權

很明顯，跨境數據流動規制也是國際政治經濟格局的產物，西方大國欲主導這一體系，建立自己的數據流動“朋友圈”，圈內國家往往是長期的政治盟友、經貿伙伴以及被其認定為具有相同價值目標的國家。③GDPR實際上就是歐盟極力推動的跨境數據流動的“歐盟標準”，在它的影響下，許多非歐盟國家也據此來修改自己的數據保護法，提升信息保護水平，確保與歐盟規定相一致。歐盟與其他國家（比如日本）之間的跨境數據流動談判文本也經常是由歐盟首先起草，充分顯示了歐盟在跨境數據流動國際規則制定中的超強影響力。

美國雖然在這一領域的話語權不及歐盟，但也不甘受制于人。與歐盟將數據權作為一種基本人權不同，美國奉行以市場為主導、以行業自律為中心的個人數據保護政策，認為隱私監管、過濾和審查都是貿易保護主義，不合法且不必要。美國反對各國數據本地化的措施，利用其在亞太地區的政治經濟影響力推動有別于歐盟的規則體系，極力倡導數據的跨境自由流動。①亞太經合組織2004年通過了“隱私框架”（APEC Privacy Framework），在此基礎上2013年通過的“跨境隱私規則體系”（Cross-Border Privacy Rules， CBPRs），以及2016年簽署的“跨太平洋戰略經濟伙伴關系協定”（Trans-Pacific Strategic Economic Partnership Agreement）都是在美國的主導下產生的。當前，日韓均已加入CBPRs，與美國之間的跨境數據流動暢通，而因未加入這些協定，中國企業尚不能利用這些框架來進行跨境數據傳輸，處于不利地位。

當然，數據流入與流出是同一個問題的兩面，這一領域奉行同等保護和互惠互利原則，也即一國的個人隱私與出境數據保護水平決定了另一國是否放心自己的數據流入該國。

可喜的是，2019年6月13日，中國國家互聯網信息辦公室發布了《個人信息出境安全評估辦法（征求意見稿）》，提出了出境數據要經過安全評估等新規，全面加強了中國公民個人數據出境的保護水平。加之近年來逐步頒布的《網絡安全法》《信息安全技術個人信息安全規范》《征信業管理條例》《人口健康信息管理辦法（試行）》等法規，中國形成了在數據保護立法方面良好的勢頭，走在了亞洲國家的前列。在實踐中，中國也開始大力打擊網絡電信詐騙，對手機應用收集個人用戶數據目的等進行監管。且相比于歐盟的“過嚴”（強調公共利益）與美國的“過寬”（強調商業利益），中國可能會走出第三條道路，即把握“共享發展”這條主線，強調公共利益與商業利益的協調。②未來有望形成“寬嚴相濟”的跨境數據流動“中國標準”，這一標準因其兼顧性，將可能吸引更多國家加入并主動合規，成為數字經濟時代新秩序的基礎。而在這之前，還有很長的路要走。

（責任編輯：姬德強）

作者簡介：徐 ? ，復旦大學新聞學院博士研究生、加拿大卡爾頓大學訪問學者;姚建華，復旦大學新聞學院副教授。

基金項目：本文系2017年國家建設高水平大學公派研究生項目（留金發[2017]3019，編號：201706100024）成果之一。

① Tony Bennett and Joyce Patrick， （Eds）， Material Powers： Cultural Studies， History and the Material Turn， London： Routledge， 2013.

②John Hondros， “The Internet and the Material Turn”， Westminster Papers in Communication and Culture， Vol.10， No.1，2015， pp.1-3.

③Packer Jeremy and Stephen B. Crofts Wiley， “Introduction： The Materiality of Communication”， in Packer Jeremy and Stephen B. Crofts Wiley， （Eds）， Communication Matters： Materialist Approaches to Media， Mobility and Networks， London： Routledge， 2012， pp.3-16.