跨境數據流動的全球治理

劉宏松 程海燁

【內容摘要】 ?跨境數據流動領域并未形成全球性規制體系。國際機制因缺乏效力、難以平衡良好的數據保護和跨境數據自由流動、無法保持自身獨立性等問題，并未達到理想的治理效果。當前，跨境數據流動治理主要在歐盟和美國兩個獨立法域內實施，但美國和歐洲在價值理念和規制模式上的根本性差異、數字化企業競爭，在隱私保護、境外管轄權和數字服務稅等問題上產生了難以彌合的分歧。在此情形下，跨境數據流動的全球治理呈現兩個發展趨勢，一是規制多極化和規制標準的俱樂部化，二是美歐將繼續爭奪跨境數據流動規制的主導權。作為全球第二大數字經濟體，中國同美國和歐盟一樣，也是跨境數據流動議題領域的一個重要行為體。面對上述發展趨勢，中國正加快參與跨境數據流動的全球治理步伐。目前，中國可通過加入亞太經濟合作組織框架下的跨境隱私規制體系、與《一般數據保護條例》的實施方歐盟進行規制協調、將中國跨境數據流動規制體系推向“一帶一路”沿線國家三條路徑，積極參與跨境數據流動的全球治理。

【關鍵詞】 ?跨境數據流動 ?數據保護 ?數字經濟 ?全球治理 ?中國路徑

【作者簡介】 ?劉宏松，上海交通大學國際與公共事務學院教授（上海 ?郵編：200030）;程海燁，上海外國語大學國際關系與公共事務學院博士研究生（上海 ?郵編：200083）

【中圖分類號】 F11 ? ? ? ? ? ? ? ?【文獻標識碼】 A

【文章編號】 1006-1568-（2020）06-0065-24

【DOI編號】 10.13851/j.cnki.gjzw.202006004

聯合國《2019年數字經濟報告》指出，數字經濟已成為全球經濟發展和貿易增長的新動能。 ?作為數字經濟驅動的產物，跨境數據流動 ?（transborder data flow）通過提高生產和流通效率推動全球經濟增長。據估計，2009—2018年，全球跨境數據流動拉動的經濟增長占全球GDP總量的3%，相當于2.3萬億美元，使全球GDP增長10.1%，預計到2025年其為全球GDP貢獻的價值將達到11萬億美元。

目前，跨境數據流動治理領域并未形成全球性規制體系。經濟合作與發展組織（OECD）、亞太經濟合作組織（APEC）、二十國集團（G20）和世界貿易組織（WTO）等國際機制，成為參與全球跨境數據流動治理的主要多邊機制。美國和歐盟作為兩大獨立法域，正積極開展跨境數據流動治理和規制協調。作為世界第二大數字經濟體， ?中國在跨境數據流動治理領域扮演著重要角色，而其他發展中國家的數字經濟水平不及中國，在跨境數據流動治理領域的影響力有限。因此，本文將聚焦OECD、APEC、G20和WTO等多邊機制、美國和歐盟兩大獨立法域以及中國在跨境數據流動治理領域發揮的作用。

既有研究以美國和歐盟為主要研究對象，圍繞立法規制、數據主權與隱私安全、數據民族主義、數字貿易等議題展開討論，而且大多將跨境數據流動視為網絡空間治理的一個分支議題，忽視了其數據主權之外的數字經濟特質。 ?與此類研究不同，本文將研究視域擴展到全球層面的多邊規制行動，并關注跨境數據流動的數字經濟特質。本文將首先理清OECD、APEC、G20和WTO等國際機制開展的多邊規制行動及其面臨的困境，繼而探討美國和歐盟在跨境數據治理領域的分歧及其主要原因，并在此基礎上分析跨境數據流動的全球治理發展趨勢，最后提出作為世界第二大數字經濟體的中國參與跨境數據流動治理的可行路徑。

一、既有多邊規制行動及其困境

盡管聯合國發布了《計算機處理的個人數據文檔規范指南》， ?但該指南僅對個人數據存檔給予規范性指導，并不涉及跨境數據流動的全球治理。在這一領域，OECD、APEC、G20和WTO等國際機制開展了多邊規制行動。

（一）既有多邊規制行動

第一，鼓勵跨境數據流動，推動全球數字經濟發展。OECD、APEC和WTO等組織通過制定跨境數據流動規則，釋放全球數字經濟發展潛力。OECD是全球首個提出跨境數據流動執行原則的國際組織。其在1980年發布的《隱私保護和跨境個人數據流動指南》（以下簡稱《OECD指南》（1980））中指出，成員國應避免以保護個人隱私和自由的名義，限制跨境數據自由流動。 ?APEC通過2005年發布、2015年修訂的《APEC隱私框架》指導亞太地區跨境數據自由流動。 ?WTO作為全球首要多邊貿易機制，主要通過減免數字產品關稅、推動跨境數據自由流動，來促進全球范圍內信息技術產品的自由貿易。目前，82個WTO成員已簽署《信息技術產品協議》（Information Technology Agreement， ITA），嘗試取消一系列計算機、軟件和電子通信產品關稅，促進世界范圍內信息技術產品的貿易自由化，為跨境數據流動提供更好的技術保障。 ?G20則積極倡導各成員國抓住數字機遇，推動全球經濟實現包容性發展。各國在2016年G20杭州峰會上發起《二十國集團數字經濟發展與合作倡議》，為釋放更多的數字經濟潛力、應對數字鴻溝創造更多有利條件。

第二，構建與數字經濟發展相匹配的數據隱私保護框架和數字技術信任體系，消除跨境數據流動壁壘。OECD將個人隱私看作公民的基本權利，倡導構建能夠推動跨境數據流動的數據隱私保護框架。《OECD指南》（1980）強調各成員國應當確保個人數據在跨境流動中安全的可持續性。 ?APEC則重視同時建立消費者信任的數據隱私保護框架和數字技術信任體系。《APEC隱私框架》啟動了跨境隱私規則（Cross-Border Privacy Rules， CBPR）體系，通過設立以“保護個人隱私、獲得消費者信任”為宗旨的“問責代理”機構，在確保企業符合APEC隱私保護標準的同時，提升消費者對電子信息平臺的信任。 ?G20的各成員也在構建數據隱私保護框架與數字技術信任體系上達成了共識。在2017年G20漢堡峰會和2018年G20布宜諾斯艾利斯峰會上，各國領導人承諾，將致力于建設保護個人隱私的法律框架，并不斷重申打造消費者信任的數字技術體系的重要性。 ?WTO則致力于確保跨境數據的流動體現數字貿易的公平性，構建數字貿易信任體系。例如，WTO《服務貿易總協定》（GATS）強調市場準入義務和國民待遇義務;其附加協議《關于電信服務的附件》（Annex on Telecommunications）第5條還規定，即使WTO成員沒有開放本國的電信市場，也要確保本國的公用電信網絡符合非歧視原則。

第三，關注跨境數據流動規制的風險管控和互操作性。《OECD隱私框架》（2013）提出了國家隱私戰略（national privacy strategies）、隱私管理程序（privacy management programs）和安全漏洞通知（security breach notification）三個概念，強調對個人隱私的風險管控及全球層面隱私監管的互操作性。 ?《APEC隱私框架》下的CBPR體系要求申請加入的企業所在國至少有一個隱私執法機構加入跨境隱私執法安排（Cross-border Privacy Enforcement Arrangement， CPEA），監督參與跨境數據流動企業的隱私保護情況，提升各經濟體隱私執法機構的互操作性。 ?在前三屆峰會成果基礎上，2019年《二十國集團領導人大阪峰會宣言》提出，不僅要創新數字化產業和新興技術，還要創新跨境數據流動的風險監管，彌合數字鴻溝等。

（二）既有多邊規制面臨的困境

上述國際機制在跨境數據流動治理領域開展了一系列行動，但也面臨以下三個困境。

第一，效力不足。《OECD隱私框架》（2013）是指導性框架，僅為全球跨境數據流動提供了建設性指導方針。該框架第6條指出，“各成員國應達到個人隱私保護及個人自由的最低標準，” ?但并沒有提出具體和明確的要求，也不具備法律效力。《APEC隱私框架》屬于自愿性框架協議，且只有自愿加入CBPR體系，并通過CPEA認證，達到APEC對消費者隱私保護要求的企業，才能從法律意義上保護消費者隱私。 ?G20是跨境數據流動的全球治理倡議平臺，沒有強制執行機制。盡管各成員國對數字經濟展開較多討論，提出跨境數據自由流動的理想模式，但并未形成良好的多邊規制體系來約束成員國行為。WTO框架下的GATS雖對成員國有約束力，但因其部分條例相互矛盾，法律效力在一定程度上遭到削弱。例如，GATS第2條規定了成員國的最惠國待遇，但第7條卻允許成員國對來自不同國家或地區的服務提供商實行差別對待。 ?此外，GATS并未取得令人滿意的執行效果。大多數成員國僅根據GATS做出承諾，并未付諸實際行動。

第二，難以平衡良好的數據保護和跨境數據自由流動。數據保護和跨境數據自由流動，如同天秤的兩端，天秤偏向任何一端，都會對另一端造成消極影響。OECD、APEC、G20和WTO都未能在兩大目標之間實現平衡。《OECD指南》（1980）、《OECD隱私框架》（2013）雖在前言部分強調尊重個人隱私的重要性，承認數據保護是各國開展跨境數據自由流動的前提，但事實上，OECD更加偏重跨境數據自由流動。 ?APEC反對為跨境數據流動設置障礙，主張成員國只需達到數據保護的最低標準。《APEC隱私框架》序言第3、4條明確提出，限制數據自由流動或對其設置障礙會對全球貿易產生不利影響，要求各成員國“確保”數據能夠自由流動，僅表示“鼓勵”數據保護。 ?G20成員對是否應在數據充分保護的前提下開展跨境數據自由流動存在分歧。 ?WTO雖然在數據隱私保護方面采取了規制行動，但總體上偏重于跨境數據自由流動。盡管WTO正對GATS進行改革，試圖通過與互聯網治理機構開展合作來降低數字服務的網絡安全風險，但目前看來，WTO的規制重點仍是推動跨境數據流動、促進數字貿易自由化。

第三，既有多邊規制受到歐盟和美國兩大規制體系的影響，無法保持自身獨立性。《OECD指南》（1980）是參照歐洲尊重個人隱私權的價值導向制定的。以德國和法國為代表的歐盟成員國，始終堅持將個人的尊嚴、自由和安全置于首要位置，主張通過嚴格的法律法規加強對個人隱私的保護。《APEC隱私框架》及CBPR體系則帶有很強的美國色彩，強調構建以市場為主導、以跨境數據流動為目標的規制體系。 ?目前，部分國家擔心如果完全接受OECD和APEC規制體系，會成為歐盟和美國兩大法域競爭的“犧牲品”。因此，印度、俄羅斯、阿根廷、巴西、伊朗等新興和發展中經濟體為維護本國數據本地化處理的自主權開展了相關立法工作。

二、美歐兩大規制體系的分歧及其主要原因

既有多邊規制面臨上述困境，意味著跨境數據流動的全球治理并沒有真正實現。當前，跨境數據流動治理主要在歐盟和美國兩個獨立法域內實施。歐盟和美國擁有龐大的數字市場規模。2018年，美國數字產業化規模高達1.5萬億美元，其產業數字化規模達到10.8萬億美元。歐盟成員國中的兩大巨頭德國和法國的數字產業化規模分別為2 410億美元和1 728億美元，產業數字化規模分別達到2.15萬億美元和9 822億美元。 ?歐盟和美國憑借龐大的市場規模，成為跨境數據流動議題領域的重要行為體。

（一）美歐兩大規制體系的分歧

盡管美國和歐盟之間在開展跨境數據流動領域先后達成了《安全港協議》（Safe Harbor Framework）和《隱私盾協議》（Privacy Shield Framework），但雙方在隱私保護、境外管轄權和數字服務稅等問題上的分歧難以彌合。

第一，隱私保護問題。自2013年“棱鏡門事件”后，美國臉書（Facebook）公司在2014年又被指控向美國政府泄露用戶的個人數據。 ?由此，2015年10月6日，歐洲法院做出了廢除《安全港協議》的判決， ?明確指出美國在執行該協議時，將其國家安全、公共利益和執法需要置于更高位置，在公民隱私數據泄露時漠視監管要求。 ?《安全港協議》的廢除標志著美歐在跨境數據流動領域的沖突達到了頂點。盡管雙方此后又達成了《隱私盾協議》，但歐盟數據保護委員會（EDPB）對該協議執行和監管的評估結果并不滿意，認為美國方面缺乏實質性監督。 ?2020年7月16日，歐洲法院判決《隱私盾協議》的適用性無效，這意味著臉書、谷歌等諸多美國企業將被迫停止與歐盟開展跨大西洋數據流動。 ?EDPB認為，自臉書泄露用戶信息事件發生后，美國至今并未對國內數據隱私保護做出根本性調整。目前看來，美歐雙方實現進一步協調的可能性微乎其微。

第二，境外管轄權問題。歐盟以“地理區域”為基準，對境內外凡是使用歐盟數據的企業都實施監管。GDPR的“長臂管轄”條例明確規定，即使數據控制者或處理者不在歐盟境內設立實體機構，只要涉及歐盟業務，也需接受歐盟的監管。 ?此外，大多數云服務提供商必須與客戶簽訂合同，保證數據從歐盟轉移到美國時接受歐盟的監管。 ?美國則以“國籍管轄”為基準，對境內外所有美國企業實行數據流動監控和管轄。為了打破GDPR長臂管轄的約束，美國于2018年出臺了《澄清域外合法使用數據法》（CLOUD Act），將美國對跨境數據流動的司法管轄權由“數據所在地”更改為“數據控制者所在地”，規定“無論通信、記錄或信息存儲是否在美國境內，服務提供商都應根據電子通信法律，保存、備份或記錄信息等”。也就是說，此后美國在開展跨境搜查時，微軟公司需要向美國相關部門提交其存儲在愛爾蘭的用戶電子郵件內容。 ?這勢必加劇美歐在跨境數據管轄權問題上的沖突。

第三，數字服務稅問題。在數字經濟背景下，傳統國際稅收秩序面臨雙重挑戰。一方面，跨境數字交易呈現無邊界狀態，影響了以地理為基準的傳統國際稅收范圍。互聯網企業可以在稅率相對較低的國家或地區繳稅，抵扣稅率相對較高國家或地區應繳金額，從而合法規避高額稅款。另一方面，跨國企業可以重新配置以數據為主的無形資產結構，實現全球利潤最大化。 ?例如，2010年，美國互聯網跨國巨頭谷歌公司被披露通過轉移定價實現利潤的全球轉移與再分配，合法避稅近600億美元。 ?為了應對挑戰，從2018年3月開始，歐盟委員會發起了關于數字服務稅的立法提案，擬調整對大型互聯網企業的征稅規則。西班牙、奧地利和法國等歐盟成員國也開展了數字服務稅方面的立法工作。2019年1月，西班牙政府內閣會議通過數字服務稅計劃，準備對全球年收入超過7.5億歐元和在西班牙年收入超過300萬歐元的公司征收3%的新稅;2019年4月，奧地利財政部長在內閣周例會上公布了“一攬子數字征稅”計劃;2019年7月，法國參議院通過了數字服務稅草案，全球首部數字服務稅法落地實施。

歐盟部分成員國征收數字服務稅的單邊行動，引起了美國的強烈不滿。美國反對歐洲國家的征稅方式和征稅范圍，認為其僅對數字廣告和跨境數據流動征收數字服務稅是出于貿易保護目的。 ?因此，美國啟動“301條款”對法國進行調查，并對價值13億美元的法國商品征收25%的報復性關稅。 ?同時，美國借助OECD、G20等多邊機制推動國際稅制改革，如2013年發布的OECD《稅基侵蝕和利潤轉移行動計劃》（BEPS）、 ?2020年發布的《OECD/G20關于實現包容性數字稅框架的“雙支柱”路徑的聲明》 ?等標志性文件，鼓勵各國簽署一致性國際稅制改革協定，實現征稅權的重新配置，促進反稅基侵蝕的全球合作，應對數字服務稅帶來的挑戰。 ?然而，上述指導性改革方案并未實質性解決美歐雙方在數字服務稅問題上的分歧。

（二）美歐兩大規制體系產生分歧的主要原因

美歐兩大規制體系在價值理念和規制模式上的根本性差異，導致其在隱私保護和境外管轄權等問題上產生了分歧。美歐因數字服務稅產生的分歧則是雙方爭奪數字化企業競爭優勢的表現。

第一，美、歐兩大規制體系在價值理念和規制模式上存在根本性差異。

在價值理念方面，歐盟將個人隱私保護視為開展跨境數據流動的前提條件，并將構建法律規制體系作為保護個人隱私必不可少的手段。 ?1950年，歐洲國家就已經達成了專門保障公民基本權利的《歐洲保障人權和基本自由公約》; ?自20世紀60年代起，旨在保護個人隱私的《關于自動化處理個人信息保護公約》（以下簡稱“《第108號公約》”） ?以及奉行“充分保護”原則的《數據保護指令》（1995） ?相繼生效。歐盟跨境數據流動規制體系逐步建立，涉及數據保護的法律文件亦愈發嚴格。在2016年的《數字化單一市場版權指令》 ?指引下，歐洲理事會和歐洲議會批準了《一般數據保護條例》（GDPR）。該條例通過執行“單套規制” ?來打造統一的規制體系，以高額罰金等懲罰性措施來加強數據保護。

美國則將數字經濟發展置于首位，致力于確保跨境數據自由、高效流動，以充分釋放數據流動的經濟效能。在美國看來，GDPR對數據的保護過于嚴苛，既妨礙跨境數據自由流動，又會對數字經濟發展造成不利影響。因此，自《隱私權法》 ?頒布后，美國國內沒有另行出臺過于嚴格的數據隱私保護法律，僅針對特定的領域和人群提出保護用戶個人信息的具體要求。例如，《電子通信隱私法》是一部旨在保護電子通信領域個人信息不受第三方竊聽或攔截的法律; ?《錄像隱私保護法》規定，在電子視頻傳播時禁止公開個人可識別的盒式磁帶或試聽資料等信息; ?《兒童網上隱私保護法》主要針對美國13歲以下的兒童群體，要求互聯網企業遵守保護兒童上網信息的六項基本原則; ?《加州消費者隱私法》則賦予加州公民四項新的隱私保護權利，將企業對用戶數據的使用決定權歸還消費者，使加州公民在消費時擁有更多的個人信息控制權。

在規制模式方面，歐盟和美國采用不同的跨境數據流動規制模式。歐盟采用以地理區域為基準、充分保護為前提的事前防御規制模式。歐盟《第108號公約》第12、14條提出，締約國間開展跨境數據流動時，應具有“同等水平”的數據保護力度。 ?《數據保護指令》（1995）則要求歐盟成員國在向第三方跨境數據流動前，先確認第三方的數據處理能力是否已達到“充分保護”水平。 ?GDPR第3條設置了長臂管轄條例，第5條則提出了個人數據處理原則，包括合法、公正、透明、數據使用最小化等處理方式。 ?美國采用以國籍管轄為基準、問責制為前提的事后監管規制模式，通過行業自律的方式要求企業保障個人數據傳輸的安全性。 ?此外，在美國推動下達成的CBPR體系也強調企業的責任意識，要求企業先進行自我評估，再接受問責代理機構的評估;如評估通過，則被認定為符合隱私保護標準的企業。歐盟和美國曾先后達成《安全港協議》和《隱私盾協議》，嘗試協調雙方不同的規制模式。 ?由于美國泄露用戶隱私事件頻發，歐盟始終對《安全港協議》的數據保護效果持不信任態度，該協議最終被《隱私盾協議》所取代。《隱私盾協議》將規制對象擴展至美國政府及國家安全部門，救濟機制從簡單的商業糾紛解決條款轉變為企業申訴和強制性終局仲裁，并增加了數據主體權利等內容;同時進一步明確了數據轉移前的問責制、增加了對數據使用目的的限制、資源可信度原則等。 ?然而，由于美國方面缺乏實質性監督，歐洲法院已判決其適用性無效。

當前，中國正加快培育數據要素市場，推進數據市場化配置體制機制改革。2019年，中共十九屆四中全會提出提升數據等生產要素推動經濟高質量發展的總要求。2020年，中國發布了關于完善要素市場化配置體制機制的文件，不僅將數據與土地、資本等傳統要素并列為五大市場要素之一，而且進一步細化了數據市場化配置體制機制改革方向。 ?同時，中國正加快參與跨境數據流動的全球治理步伐。目前，中國可以通過三條路徑協同并進，推動跨境數據流動的全球治理，一是加入APEC框架下的CBPR體系，二是與GDPR的實施方歐盟進行規制協調，三是將中國跨境數據流動規制體系推向“一帶一路”沿線國家。

（一）加入APEC框架下的CBPR體系

中國是APEC成員國，加入APEC框架下的CBPR體系，具有可行性。

第一，CBPR體系在《APEC隱私框架》內執行，它的最終目的是促進亞太地區電子商務和數字貿易的蓬勃發展。APEC重視通過互聯網和數字經濟推動區域經濟以更具創新、智能、可持續和包容性的方式增長。 ?數字中國戰略則倡導發展以數據為關鍵要素的數字經濟，堅持數據開放、市場主導原則。 ?因此，數字中國戰略與CBPR體系的宗旨是相吻合的，二者具有相互對接的潛力。

第二，CBPR體系的核心理念與中國的跨境數據流動治理理念基本吻合。CBPR體系要求實現最大范圍的跨境數據流動，不讓網絡封閉成為數字經濟發展的障礙。加入這一規制體系的各個國家，在進行跨境數據流動時，即使數據接收方的數據保護水平不如數據輸出方嚴格，也應準許數據流動，并且不得強制要求非APEC成員的數據接收方設置高于APEC的數據保護水平。 ?中國的跨境數據流動治理理念是堅持在保障個人信息、數據安全、網絡安全基礎上推動數字經濟創新發展。在2019年世界互聯網大會上，中國提出開放是網絡空間合作的前提，也是構建網絡空間命運共同體的重要條件，中國愿搭建雙邊或多邊國際合作平臺。 ?可見，CBPR體系與中國的跨境數據流動治理理念均倡導構建開放合作的網絡空間。

第三，加入CBPR體系，有助于提升中國在跨境數據流動議題領域的話語權，并且有助于避免全球治理規則與國內治理規則出現錯位。 ?中國在加入CBPR體系后，可以參與該體系的規則制定，有助于提升中國在跨境數據流動議題領域的話語權。此外，中國可以根據該規制體系要求，完善國內跨境數據流動規制，在亞太地區實現更加順暢的跨境數據流動。

（二）與GDPR的實施方歐盟進行規制協調

中國可以在加入CBPR體系的同時，與GDPR的實施方歐盟進行規制協調。中國的市場規模雖不及歐盟，但處在同一級別。英國脫歐后，中國與歐盟的市場規模更加接近。因此，中歐雙方具備開展規制協調的市場權力基礎。 ?同時，中國與歐盟開展跨境數據流動的規制協調也具有可行性。

第一，歐盟堅持以人為本的數字經濟發展理念與中國以人民為中心的數字中國戰略目標相符。歐盟在《塑造歐洲的數字未來》戰略中，強調堅持以人為本理念，認為科技服務于民眾，重視通過數字經濟改善人們的生活。 ?而中國在數字中國戰略中，也明確提出運用大數據保障和改善民生，尤其是推動教育、就業、社保等領域大數據的普及。 ?中國與歐盟秉持的數字為民理念構成了雙方進行跨境數據流動規制協調的基礎。

第二，中國和歐盟均重視個人隱私保護。如前文所述，歐盟重視隱私保護，看重數據接收國在隱私保護方面的法律保障體系。中國不僅重視個人信息保護，更關注數據安全和網絡安全。由于GDPR的充分保護原則與美國強調的跨境數據自由流動原則存在沖突，美歐雙方分歧不斷。中國對網絡安全、個人信息保護和數據安全的重視，使得中國和歐盟可以避免在核心原則上出現分歧，因而極大地提升了雙方進行規制協調的可能性。

當然，加入APEC框架下的CBPR體系并與GDPR的實施方歐盟進行規制協調，也會為中國帶來新的挑戰。首先，APEC框架下的CBPR體系是美國主導的俱樂部標準。雖然加入CBPR體系的國家不需要修改本國的數據隱私法，但該體系規定，參與國在管控個人信息出境時不得要求數據接受方提供超過《APEC隱私框架》的保護水平。 ?因此，參與國仍然需要根據APEC最低標準修改本國相關的跨境數據流動條例。這將在一定程度上限制中國在監管標準方面的自主權。其次，數據信息處理主體不對稱，將增加國家與企業及企業之間的互操作成本。中國要求國家統一領導各地區、各部門對數據信息的處理。《中華人民共和國數據安全法（草案）》總則第6條指出，中央國家安全領導機構負責數據安全工作的決策和統籌協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策; ?而CBPR體系和GDPR認可個人數據的收集、處理和使用在企業層面完成。若中國加入CBPR體系并與歐盟進行規制協調，參與跨境數據流動的企業需要接受國家機關和數據流向國家及其企業數據保護機制等多方監督，這將增加跨境數據流動的互操作成本和執行風險。

（三）將中國跨境數據流動規制體系推向“一帶一路”沿線國家

目前，中國正在為開展跨境數據流動做出相應的規制努力，在國內規制體系形成后，將其推向“一帶一路”沿線國家具有可行性。

第一，相對于“一帶一路”沿線國家，中國在市場規模上具有優勢。2018年，中國從“一帶一路”沿線國家的進口總額增長至8 618.67億美元，是2013年的1.27倍，占當年進口總額的比重約為40.36%。 ?與此同時，“一帶一路”沿線國家在數字經濟領域對中國的依賴也在不斷加深。2017年，馬來西亞政府與中國阿里巴巴集團在吉隆坡啟動“數字自由貿易區”，希望通過中國電商平臺為其2020年國內生產總值貢獻約3 284億元。 ?中國的互聯網企業已成為推動“一帶一路”國家數字經濟發展的動力來源，沿線國家的商品正通過電商渠道越來越多地進入中國市場。 ?龐大的市場規模有利于中國將自身規制標準推向“一帶一路”沿線國家。

第二，中國與“一帶一路”沿線國家在“數字絲綢之路”建設方面取得了階段性成果，這構成了中國在跨境數據流動治理領域與“一帶一路”沿線國家開展對話與合作的基礎。目前，中國已與16個國家簽署了關于加強“數字絲綢之路”建設合作的諒解備忘錄，與19個國家簽署了雙邊電子商務合作諒解備忘錄。 ?例如，中國與東盟達成了《中國—東盟戰略伙伴關系2030年愿景》，為加強雙方規制的聯通合作做好了準備。 ?此外，中國與老撾、沙特、塞爾維亞、泰國、土耳其等國家共同發起了《“一帶一路”數字經濟國際合作倡議》， ?將從數字經濟項目對接、數字人才培養和數字經濟治理等方面對非洲敞開合作的大門，為形成中非跨境電子商務生態體系、保障跨境數據流動基礎設施等方面做好鋪墊。同時，中國與非洲達成了《北京行動計劃（2019—2021）》，并將進一步實施“中非科技伙伴計劃2.0”等。 ?“數字絲綢之路”也引起了拉美國家的廣泛關注。2018年，中國與拉美國家在第二屆中國—拉美和加勒比國家共同體論壇上達成了《中國與拉美和加勒比國家合作優先領域共同計劃（2019—2021）》，提出了在網絡安全、通信產業等領域開展合作的共同計劃。拉美國家還發表了《“一帶一路”特別聲明》，明確表示愿意在中國推動下實現建設信息和通信的“數字絲綢之路”，在加強信息互聯互通的同時，共同分享數字紅利。 ?“數字絲綢之路”建設將通過與沿線國家在信息基礎設施、經貿發展、文化交流等領域的全方位交流與合作，進一步縮小“數字鴻溝”， ?為下一步開展跨境數據流動、釋放數據資源價值、推動數字經濟高質量發展做好充分準備。

盡管將中國跨境數據流動規制體系推向“一帶一路”沿線國家前景可期，但這一路徑面臨以下挑戰。首先，建設“數字絲綢之路”跨境數據流動圈將引發新一輪美、歐、中三大力量的“數字地緣政治”競爭。在美國看來，“數字絲綢之路”將打造一條繞過美國的新型全球跨境數據流動“高速公路”，中國正以“數字威權主義”方式在“一帶一路”沿線國家提升科技、經濟和文化等影響力，并爭奪全球數字技術主導權。 ?《美國網絡安全國家戰略》（National Cyber Strategy）聲稱，中國已對美國的經濟、民主、知識產權等領域造成破壞性影響。由此，美國啟動了《美國人工智能倡議》，將包括華為在內的數家中國企業列入“黑名單”，并限制其使用源自美國的軟件和技術。 ?歐盟也擔心“數字絲綢之路”對其技術主權造成潛在威脅，認為中國主導的“數字絲綢之路”通過帶動沿線國家數字技術的進步，不僅提升了中國在全球數字經濟領域的影響力，還有利于中國向外輸出符合其戰略目標的跨境數據流動標準與規范。出于這一考慮，歐盟將通過加快數字化進程、建立數據框架、建設可信賴的泛歐數字環境，提升歐洲數字戰略自主性， ?意欲限制中國規制、標準的輸出力度。其次，與“一帶一路”沿線國家開展跨境數據流動將考驗中國國內數據要素市場的監管體系。目前，中國數據要素市場處于全方位完善期，數據要素監管體系相對發達國家較為薄弱。進入“一帶一路”沿線國家的數據難免存在“數據黑市”“數據黑產”等情況。 ?因此，中國在將跨境數據流動規制體系推向“一帶一路”沿線國家的同時，亟須加強對數據要素市場的監管。

結 束 語

為應對新問題和新挑戰，共同構建和平、安全、開放、合作、有序的網絡空間，中國已發起《全球數據安全倡議》，并明確將秉持多邊主義、兼顧安全發展和堅守公平正義 ，積極參與全球數字治理。跨境數據流動治理是全球數字治理的重要領域。鑒于當前跨境數據流動的全球治理進展、發展趨勢以及中國在推動這一領域全球治理進程中面臨的挑戰， ?中國應做出具體政策應對。首先，積極參與既有多邊平臺的數字治理對話和協調，為全球數字治理貢獻中國智慧。中國應積極參與APEC、G20、WTO等既有多邊平臺有關數字治理的對話和協調，為解決跨境數據流動面臨的困境提出中國的應對方案。其次，中國應在保障數據安全的前提下，健全數據安全監管機制、創新數據要素市場監管模式，降低跨境數據流動的互操作成本和執行風險，營造各國可信賴的跨境數據流動規制環境。再次，中國應堅持以數字科技推動數字經濟發展，不斷擴大數字經濟市場規模，以應對“數字地緣政治”競爭。數字科技是推動數字經濟發展的重要手段，不僅能降低產業成本、增加產業收入、迭代商業模式，更能推動企業從“單邊”到“共建”經營模式轉變。在數字科技推動下，中國數字經濟市場規模將不斷擴大，這將有助于中國在“數字地緣政治”競爭中獲得優勢地位。

[責任編輯：楊 立]