數字主權背景下的全球跨境數據流動動向與對策

張茉楠

數字經濟時代，數據不僅成為基礎性生產要素，更成為一國重要的戰略性資產，成為構筑一國核心競爭優勢的關鍵。數字貿易的基礎是跨境數據流動及相關服務。當前，世界各國政府大都傾向于通過宏觀經濟政策加強本國數字經濟與數字貿易的發展，而與此相關的跨境數據流動政策也成為新一輪國際經貿規則中的前沿議題和大國間戰略博弈的焦點。

一、全球跨境數據流動發展態勢及其政策新動向

跨境移動、存儲和處理數據的能力是現代經濟的基礎。目前，國際上對跨境數據流動（Cross-border Data Flows）的概念界定還存在差異，尚未形成統一認知。綜合比較來看，國際上對跨境數據流動的內涵與外延界定主要包括兩類：一類是數據跨越國界的傳輸、處理與存儲;另一類是盡管數據尚未跨越國界，但能夠被第三國主體進行訪問。例如，根據OECD以及聯合國跨國公司中心等國際組織的定義，跨境數據流動是指跨越國界對存儲于計算機中的機器可讀的數據進行處理、存儲與傳輸;而歐盟對此理解則大為不同，歐盟主張，盡管數據未必跨越國界，但如果能夠被其他國家主體進行訪問，也屬于跨境數據流動的范疇。

（一）當前全球跨境數據流動發展總體態勢

近年來，隨著互聯網、云計算、大數據、人工智能等新一代信息技術的快速發展和信息基礎設施的大規模普及，全球互聯網協議流量及全球數據量呈現指數級增長，數據的全球化屬性、資產屬性以及流動屬性日益增強，跨境數據流動正成為推動新型全球化的重要特征。按照世界經濟論壇的說法，目前我們正進入一個被稱為“全球化4.0”的、以數字驅動的全球化新時代。互聯網的全球擴張及其對數據流日益增長的需求正在改變傳統世界經濟和國際貿易的形態，使數字產品和服務成為主要輸出品。十多年以來，數據流動對全球經濟增長貢獻不僅早已超越以商品、服務、資本、貿易、投資為代表的傳統形態，而且隨著國際日益數字化，跨境數據流動更越來越獨立地發揮作用，數據全球化正成為推動新一輪全球化的新的增長引擎。根據美國著名智庫布魯金斯學會的相關研究，2009—2018年的10年間，全球數據跨境流動對全球經濟增長貢獻度高達10.1%，其中，2014年數據跨境流動對全球經濟增長的價值貢獻超過2.8萬億美元，預計2025年有望突破11萬億美元。

（二）“數字主權”下全球跨境數據流動政策新動向

數字經濟時代，無論是貨物貿易還是服務貿易，都離不開信息的全球互聯，離不開數據的跨境流動。近幾年，隨著各國對數據跨境流動的意義及影響的認識日益深入，國際社會既認識到跨境數據流動帶來的巨大收益，也意識到可能對國家安全和個人隱私造成的巨大沖擊。總體而言，美國等發達國家強調跨境數據自由流動立場，但圍繞“數據主權”，出于對數據資源的保護、國家安全的需要以及防止行政權、司法權落空等目的，跨境數據流動所涉及的“跨境數據傳輸”“數據本地化存儲”“數據隱私保護”等重大議題的國內監管與國際規則制定也呈現出新趨勢和新特點，進而可能演變為一場新的國際經貿博弈。

趨勢一：跨境數據流動與數字服務貿易呈現“有限性特征”。

大規模數據流動在創造巨大的經濟財富和價值的同時，也可能引發一系列風險，例如，數據的無序流動就對一國的國家安全利益、監管框架，甚至執法權提出了嚴峻挑戰。一些國家出于數據隱私保護、國家主權的完整性，以及國家安全利益等等公共政策目標，不同程度地對跨境數據流動加以政策或法律法規的限制。因此，無論在多邊的WTO（世界貿易組織）、G20（二十國集團）框架內，還是在雙邊自由貿易協定中，當下的跨境數據流動無不呈現“有限”特征，“本地化”的訴求也從未消失。

為對世界各國數字服務貿易的限制性政策進行評估，并量化其影響，OECD開發了數字服務貿易限制性指數（Digital Services Trade Restrictiveness Index），對涵蓋全球40個國家主要經濟體的數字服務貿易及其跨境數據流動政策進行評估。總體而言，中國、印度尼西亞、南非、巴西、印度、俄羅斯等非OECD國家限制指數偏高，而瑞士、澳大利亞、美國、挪威等OECD國家限制指數偏低。

趨勢二：對涉及國家安全利益的數據采取“靈活化”對策。

鑒于個人數據與重要敏感數據涉及的風險和所需保護的法益各有不同，許多國家都在嘗試分級分類監管的方法，通過靈活多樣的監管模式，確立寬嚴不同的數據跨境流動管理政策。例如，法國規定政府管理、商業開發、稅收數據需要本地存儲;澳大利亞明確禁止與健康醫療相關的數據出境;美國不允許屬于安全分類的數據存儲在任何鏈接公共云數據中，特別是對公民敏感數據，美國的安全審查標準不低于歐盟。如，在《2019年外國投資風險審查現代化法》就明確將外國人投資保存或收集美國公民敏感個人數據的公司納入審查范圍，嚴格限制外國企業收集美國公民數據;韓國規定移動通信服務提供商應采取規范措施，禁止涉及經濟、工業、科學技術等重要數據跨境流動。

趨勢三：圍繞數據主權與長臂管轄權博弈呈現 “加劇化態勢”。

數字經濟越來越依賴于跨境數據流。近年來，世界各國圍繞網絡空間的戰略博弈與數據資源的爭奪日益加強。美歐數據主權戰略屬于“進攻型”，通過“長臂管轄”擴張其跨境數據執法;而中國、俄羅斯等新興經濟體的數據主權戰略屬于“防守型”，通過數據本地化解決數據治理與本地執法問題，因此“長臂管轄”在允許跨越一國傳統地域主權限制獲取境外數據的同時，也加劇了與他國關于數據管轄權以及執法權之間的沖突。如2019年，美國頒布的《云法案》規定，無論數據是否存儲在美國境內或境外都賦予美國政府調取存儲于他國境內數據的法律權限。不僅如此，法案還明確規定，如若美國與他國達成“協議”即可實現彼此數據相互交換，這相當于建立了一個可以繞過數據所在國監管機構，將美國執法效力擴展至數據所在國的“治外法權”，如此一來勢必對全球數字治理框架產生深遠影響，并在很大程度上改變了全球數據主權的游戲規則。

二、世界主要經濟體跨境數據流動政策及其實踐

目前，全球對跨境數據流動監管并未形成統一框架，不同國家采取的監管模式各不相同，各國以維護本國利益為出發點設計跨境數據監管制度。總體來看，各國數據跨境流動政策越來越受到地緣政治、國家安全、隱私保護、產業發展水平等復雜因素的復雜影響。利益的復雜性、價值認同的差異性和國家間信任的缺乏，阻礙了各國在短期內形成規則共識。究竟是推動“數據自由流動”還是加強“數據本地化”，如何在安全性和成長性中實現平衡，考驗各國政府的數據戰略思維和治理能力。

（一）美國：以維護數字競爭優勢和強化“長臂管轄”為主旨，構建數據跨境流動與限制政策

美國在數字經濟和信息技術領域具有全球領先優勢，這是其推崇全球數據自由流動政策的客觀基礎和前提。2016年，特朗普上臺執政以來，美國就嚴格限制涉及重大科學技術及基礎領域的技術數據和敏感數據的跨境轉移，并通過“長臂管轄權”和龐大的情報網絡加以執行。2018年3月，美國議會通過《澄清境外數據的合法使用法案》（CLOUD法案），即《云法案》。該法案秉承“誰擁有數據誰就擁有數據控制權”原則，打破了以往“服務器標準”，而是實施“數據控制者”標準，允許政府跨境調取數據。與此同時，美國還通過限制重要技術數據出口以及特定數據領域的外國投資。例如，2018年8月簽署的《美國出口管制改革法案》就特別規定，出口管制不僅限于“硬件”出口，還包括“軟件”，如，科學技術數據如傳輸到美國境外的服務器或數據出境，必須獲得商務部產業與安全局（BIS）出口許可。在外國投資審查方面，《外國投資風險審查現代化法》（FIRRMA）的一項關鍵內容在于擴大管轄權，對于涉及“關鍵技術”“關鍵基礎設施”“關鍵或敏感數據”的美國企業做出的特定非控股外國投資，都被納入安全審查范圍。

（二）歐盟：以構筑單一數字市場為戰略目標，采取“外嚴內松”引領建立全球數據規制體系

推進歐盟乃至全球的數字單一市場建設、引領國際數據流動和保護規則，是歐盟一直以來倡導的戰略。為此，在歐盟內部，歐盟積極推動成員之間數據自由流動，力促單一數字市場戰略的形成，即“內松”政策;但與之相對，對于歐盟境內數據向歐盟境外傳輸有著嚴格的管控，需要達成“充分性協議”，對于滿足充分性認定的國家可獲得充分性保護，即“外嚴”政策。其跨境數據流動框架主要包括：一是通過2018年生效的《一般數據保護條例》（GDPR）不是一個框架性指南，而是成為由歐盟成員國統一實施的單一法令，其主要目標是消除成員國數據保護規則的差異性，并在“歐洲數據自由流動倡議”框架下消除非個人數據在儲存和處理方面的地域限制，推動歐盟范圍的數據資源自由流動。作為機制保障，歐盟也成立了“數據保護委員會（EDPB）”以及相關協調機制;二是通過“充分性認定”確定數據跨境自由流動白名單國家，推廣歐盟數據保護立法的全球影響力;三是在保障個人權利的前提下，提供多樣化的個人數據傳輸方式，如遵守約束性公司規則（BCRs）、標準數據保護條款等。四是強化歐洲數據主權，推出“數字新政”。2019年，歐洲正式部署建設自己的網絡云設施Gaia-X（“蓋亞X”計劃）旨在通過創建面向歐洲的、強大而有競爭力的、安全可靠的數據基礎架構成為完全獨立的“云替代方案”。2020年2月，歐盟委員會最新發布數字化戰略，包括歐盟數字化總體規劃、《歐洲數據戰略》以及《人工智能白皮書》三個文本，即 “歐盟數字新政”。特別是在《歐盟數字戰略》中強調要確保歐盟成為“數據賦能社會”的榜樣與全球領導者。為此，歐盟將采取立法行動強制大型科技公司與中小型公司共享數據以打破亞馬遜、谷歌等巨頭的壟斷地位。

（三）日本：以跨境數據流動政策靈活性為主導，全面加強與美歐兩大跨境數據流動監管框架對接

在國內立法形式上采取更為彈性化的政策。日本在跨境數據流動方面，限制性條件相對較少，只對涉及國家安全的敏感或關鍵數據進行監管;在數據本地化方面，日本政府要求涉及國家安全的數據必須實現本地化儲存，但對其他數據不做格外限制;在數據隱私保護方面，2017年日本設立了“個人信息保護委員會”（PIPC）作為獨立的第三方監管機構，制定向境外傳輸數據的規則和指南。在參與多邊和雙邊跨境協定談判中更加務實。一方面，日本積極跟隨美國的政策主張，推動跨境數據自由流動，積極參與跨太平洋伙伴關系協定（TPP）以及APEC、CBPRs等數據規則體系。另一方面，日本積極對接歐盟主導的《一般通用數據保護條例》（GDPR）框架，同時，為彌合日本與歐盟在跨境數據流動及數據保護規則方面的差異，日本積極制定相關補充規則。對于敏感數據、涉及數據主體權利以及實現轉移源自歐盟的個人數據強化保護。

（四）新興經濟體：以維護網絡和數據安全為著眼點，實施數據本地化或限制性數據跨境流動政策

除了美歐日等發達經濟體提出較為鮮明和系統化的政策之外，其他新興經濟體大都從數據主權、網絡安全日益關切的立場出發制定相關法律法規。總體而言，對跨境數據流動的限制性措施主要包括：一是要求跨國企業在本國開展業務或提供服務時須在本國境內建立數據中心;二是對數據存儲和服務器地址提出本地化要求。一些新興經濟體將跨國公司在境內建立數據中心作為市場進入的條件之一。越南2013年出臺法律要求在越南境內的所有網絡信息和服務提供者，如Google、Facebook等全球互聯網公司在越南開展業務時須建立新的數據中心;2018年，巴西頒布《巴西通用數據保護法》（LGPD），規定對加工處理的個人數據須在巴西境內收集存儲;印度政府要求公司須將部分信息基礎設施和服務器存于境內，印度中央銀行規定所有在印度的支付企業都要將數據強制性存儲在印度本地，禁止支付數據出境;俄羅斯現行法律法規并未對個人數據出境作特別嚴格的限制，但要求數據首次存儲須在俄羅斯境內服務器上，同時俄劃定數據自由流動范圍，通過《聯邦數據保護法》承認加入“108號公約”的國家為個人數據提供了充分的保護。

三、加強我國跨境數據流動與數字治理的政策建議

數字貿易及其跨境數據流動的相關規制是21世紀全球經貿規則的核心內容之一，對未來世界經貿格局走向也將產生廣泛而深遠的影響。特別是面對美歐等大國借助數字戰略強化規則主導權的新態勢，我國應服務于建設“數字經濟強國”的戰略目標，全面推進我國相關制度建設和頂層設計，探索適合中國國情與發展道路的跨境數據流動治理框架體系，強化規則主導權。

首先，推進分級分類分區域跨境數據流動的監管制度。既要順應全球數字貿易發展趨勢，有序推動跨境數據流動和多元的數據合作管理模式，又要加強本國網絡安全、數據及個人隱私的有效保護。為此建議，一是可考慮對涉及國家安全的敏感數據及關鍵基礎設施建立分級管理制度、跨境數據流動合同監管制度、安全風險評估制度;二是成立專門的數據保護監管機構，構建跨境數據流動的系統化制度安排，對涉及網絡數據搜集、存儲的企業進行審查和管理，針對涉及跨境數據流動的企業建立專門審核機制;三是對行業內重要數據或者BAT等大型互聯網公司率先開展數據出境管理實踐;四是可考慮在海南自由貿易港、上海臨海新片區等區域內先行先試，探索設立數字自由貿易港加快制度性創新。

其次，構建完善跨境數據流動的管轄與信任體系。當前，美歐等發達國家不斷強化數據出境的“長臂管轄”，我國可以積極效仿并依據具體場景適當延長“長臂管轄”的適用范圍，制定出臺重要數據出境的管理框架，為重要數據的保護、管理、利用完善政策環境。此外，可以借鑒歐盟模式，考慮建立“白名單制度”，對相關國家實施個人信息保護及跨境數據流動的對等措施。將部分地區納入可自由流動的國家與地區，構建數據跨境流動的信任體系。

第三，將跨境數據流動嵌入國際貿易投資協定中。鑒于當前世界各國立場存在較大差異，短期內無法形成相互協調的全球跨境數據流動政策體系，因此，我國的跨境數據流動政策應以自貿談判為契機，深度嵌入雙、多邊貿易協定中。如在RCEP、中日韓FTA等多雙邊貿易談判中，增加數據跨境流動的談判內容，積極與重要貿易伙伴國達成數據流動認證協定，促進數據合法有序流動。特別是，隨著近年來“一帶一路”倡議由“硬聯通”轉向“軟聯通”，因此，應著力推進“一帶一路”合作框架下的數據流通的協議和標準，促進數字互聯互通，構建數字空間命運共同體。

最后，推動建立跨境數據流動的全球治理框架。跨境數據流動作為支撐全球數字貿易發展的基礎具有天然的“全球屬性”。因此構筑數據跨境流動的規則體系也必須立足于全球視野。盡管目前已商定了相關的國際標準或者范本，但在不同國家模式及執行方式存在很大差異，因此仍然需要互操作性機制，加快探索建立國際執法協作機制，以及面向未來的全球數字貿易規則及數字治理框架。

（作者為中國國際經濟交流中心美歐所首席研究員）