跨境數據流動治理困境與中國—東盟數字經濟合作策略優化

徐怡雯 韓 璐

在“萬物皆互聯，無處不計算”的時代，數據的生成和流動經歷了從被動、主動到自動的飛躍，數據對人類社會的重要性也經歷了從資源、資產再到資本的價值升級。習近平總書記指出，“大數據是信息化發展的新階段”①新華社.審時度勢精心謀劃超前布局力爭主動 實施國家大數據戰略加快建設數字中國[N].人民日報，2017-12-10（1）.，為此，要全面實施國家大數據戰略，加快建設數字中國。近年來，隨著全球跨境數據流動的激增，數據不僅為各國經濟增長提供了新動能，其本身還是一種重要的權力來源，并逐漸成為大國間博弈和較量的新型“角力場”。跨境數據流動（trans-border data flow）即數據在不同法域之間的流動①KUNER C.Trans-border data flows and data privacy Law[M].New York:Oxford University Press，2013：11.，這里的數據類型包括公共數據、個人數據及其他數據②王中美.跨境數據流動的全球治理框架：分歧與妥協[J].國際經貿探索，2021（4）：98-112.，其流動的主要形式有數據的傳輸、存儲、處理和訪問③劉宏松，程海燁.跨境數據流動的全球治理：進展、趨勢與中國路徑[J].國際展望，2020（6）：65-88，148-149.。鑒于海量的數據交互和復雜的流動形式，各國均出臺了數據跨境流動的相關規制。目前，國際影響力較大的規則體系分別由美國和歐盟（以下簡稱美歐）主導，但二者的價值傾向存在沖突，沖突的本質是兩大經濟體在繼陸、海、空、天之外的“第五維戰場”中爭奪主導權。廣大發展中國家和地區要抓住數字經濟的發展契機，努力彌合與發達國家間的“數字鴻溝”，就必須警惕淪為數字時代新型地緣博弈的競技場，構建一套符合自身發展利益的跨境數據流動治理機制。

中國充分認識到跨境數據流動所帶來的機遇和挑戰，積極尋求數字治理領域的對外合作，尤其是注重發展與東盟的戰略伙伴關系。2022年1月，第二屆中國—東盟數字部長會議通過了《關于落實中國—東盟數字經濟合作伙伴關系的行動計劃（2021—2025）》和《2022年中國—東盟數字合作計劃》，就加強數字政策對接、新興技術與創新應用、數字安全、數字能力建設等方面的合作達成共識。2022年11月，國家主席習近平應邀在亞太經合組織工商領導人峰會上發表書面演講，指出在新形勢下，要“推動《區域全面經濟伙伴關系協定》《全面與進步跨太平洋伙伴關系協定》《數字經濟伙伴關系協定》相互銜接，構建開放型亞太經濟”④習近平.堅守初心共促發展開啟亞太合作新篇章：在亞太經合組織工商領導人峰會上的書面演講[N].人民日報，2022-11-18（2）.。此外，俄烏沖突加速了美歐關系的愈合，美國—歐盟貿易和技術委員會（TTC）成立并于2022年3月推動了《跨大西洋數據隱私框架》的簽署；4月，美歐等聯合發起了《互聯網未來宣言》，試圖將中國和俄羅斯排除在互聯網全球治理規則之外；5月，美國宣布正式啟動“印太經濟框架”（Indo-Pacific Economic Framword，以下簡稱IPEF），創始成員國除了美國在亞太地區的傳統盟友，還包括東盟10國中的7個國家⑤印太經濟框架（IPEF）創始成員國包括美國、日本、印度、韓國、澳大利亞、新西蘭、印度尼西亞、馬來西亞、泰國、菲律賓、新加坡、越南、文萊等13個國家，不包括東盟成員國中的柬埔寨、老撾、緬甸。，且與《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，以下簡稱RCEP）和《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreemenc for Trans-Pacific Partnership，以下簡稱CPTPP）的成員國高度重合，形成了針對中國的數字標準“包圍圈”。本文認為，“破圈”的關鍵在于中國亟須深化與東盟國家的戰略伙伴關系，在“數字絲綢之路”的基礎上形成更深層次的利益關系和互利共贏的跨境數據流動秩序。

一、文獻綜述與分析框架

（一）文獻綜述

跨境數據流動治理的最高層次是全球治理，然而當前全球層面的最大治理困境是國際法治供給不足與需求旺盛之間的結構性失衡⑥謝卓君，楊署東.全球治理中的跨境數據流動規制與中國參與：基于WTO、CPTPP和RCEP的比較分析[J].國際觀察，2021（5）：98-126.。這是因為，對跨境數據流動進行規制是一個國內治理與國際治理相互作用的復雜問題，既要考慮國內法治對國際法治的規則外溢（rule externalization）效應，也要考察國際法治對國內法治的規則內化（rule internalization）效應⑦趙駿.全球治理視野下的國際法治與國內法治[J].中國社會科學，2014（10）：79-99，206-207.⑧徐秀軍.規則內化與規則外溢：中美參與全球治理的內在邏輯[J].世界經濟與政治，2017（9）：62-83，158.。近年來，跨境數據流動的全球治理成為國內外學術界的熱點話題，學者們從法律與隱私保護⑨KUNER C.Trans-border data flows and data privacy law[M].New York：Oxford University Press，2013：11.、國家安全與地緣政治⑩KUNER C.Data nationalism and Its discontents[J].Emory law journal，2015（3）：2089-2098.、創新與經濟增長[11]DEPPER R，GARRITY J，LASALLE C，etal.Cross-border data flows，digital innovation,and economic growth[EB/OL].（2017-07-27）[2022-03-01].https://www.huffingtonpost.com/john-garrity/crossborder-data-flows-dib11155408.html.等角度切入，研究各種復雜因素與跨境數據流動的交互作用，研究領域涵蓋了法學、經濟學、公共管理學、國際關系學等眾多學科，形成了一個新興的學科交叉領域。該領域的一個基本共識是，跨境數據流動治理至少涉及三個核心要素：數字產業發展水平、個人隱私和數據保護水平、網絡空間自主權和國家安全水平①馮潔菡，周濛.跨境數據流動規制：核心議題、國際方案及中國因應[J].深圳大學學報（人文社會科學版），2021（4）：88-97.②黃寧，李楊.“三難選擇”下跨境數據流動規制的演進與成因[J].清華大學學報（哲學社會科學版），2017（5）：172-182，199.。不同國家對這些核心要素的價值傾向各有不同，總體而言，發達國家傾向于數據充分自由流動和隨之帶來的經濟效益最大化，發展中國家更強調數據流動對國家主權和國家安全可能造成的沖擊③孫方江.跨境數據流動：數字經濟下的全球博弈與中國選擇[J].西南金融，2021（1）：3-13.。上述分歧使得全球層面的數據治理難以達成一致性意見。當今全球貿易主要以世界貿易組織（WTO）基本規則為框架，該框架體系主要是基于貨物和服務貿易而做的設計，難以滿足數據時代下全球經濟增長的需求。這主要是因為跨境數據流動很難簡單歸類于貨物或服務貿易，數據來源地、儲存地和加工地的分離也使其難以確定適用于何種關稅和貿易規則。

盡管如此，在區域治理層面上不乏一些頗具影響力的多邊和區域規制，最有代表性的是CPTPP與RCEP。前者保留了由美國主導的《跨太平洋伙伴關系協定》（Trans-Pacific Partner‐ship Agreeweat，以下簡稱TPP）的絕大部分條款，總體上鼓勵和支持各成員國在商業活動中進行數據的跨境傳輸，旨在通過擴張制度性權力的方式實現數據的自由流動；后者因成員國之間發展水平差異較大，設立了特殊和差別待遇條款以增強協議的靈活性，同時也更加尊重和包容各成員國合理的數據保護和網絡安全需求④謝卓君，楊署東.全球治理中的跨境數據流動規制與中國參與：基于WTO、CPTPP和RCEP的比較分析[J].國際觀察，2021（5）：98-126.⑤姜團利，王志強.CPTPP和RCEP框架下跨境數據流動議題的對策[J].中國經貿導刊，2021（3）：41-43.。二者雖同為亞太地區的框架協議且成員國有很大程度的重合，但RCEP吸納了更多的發展中國家，較之CPTPP也更充分地體現出跨境數據流動的共治性。中國作為RCEP的成員國，2021年正式提出申請加入CPTPP和首個專注數字經濟伙伴關系的多邊協議《數字經濟伙伴關系協定》（Dijital Economy Partnership Agreement，以下簡稱DEPA），體現出中國持續深化改革開放的決心。值得注意的是，區域規制是一把“雙刃劍”，一方面它為全球法治缺失提供了一種暫時的、可行的替代方案，另一方面卻可能由于區域內成員國發展水平不均衡而加劇“數字鴻溝”。例如，東盟內部本就存在發展不均衡的問題，除了RCEP覆蓋了所有東盟國家，CPTPP和此次由美國主導的IPEF都不約而同地選擇將發展相對滯后的東盟國家排除在外，由此并不利于發展中國家實現數據時代的發展權益。

（二）分析框架

跨境數據流動治理是學科交叉領域的重要議題，既有文獻或從國別規制層面⑥胡煒.跨境數據流動立法的價值取向與我國選擇[J].社會科學，2018（4）：95-102.⑦王燕.跨境數據流動治理的國別模式及其反思[J].國際經貿探索，2022（1）：99-112.和多邊或區域規制層面⑧王中美.跨境數據流動的全球治理框架:分歧與妥協[J].國際經貿探索，2021（4）：98-112.⑨謝卓君，楊署東.全球治理中的跨境數據流動規制與中國參與：基于WTO、CPTPP和RCEP的比較分析[J].國際觀察，2021（5）：98-126.對其治理困境進行分析，或從國內數據立法角度⑩張金平.跨境數據轉移的國際規制及中國法律的應對：兼評我國《網絡安全法》上的跨境數據轉移限制規則[J].政治與法律，2016（12）：136-154.[11]許可.自由與安全:數據跨境流動的中國方案[J].環球法律評論，2021（1）：22-37.和美歐兩大范式博弈角度[12]王佳宜，王子巖.個人數據跨境流動規則的歐美博弈及中國因應：基于雙重外部性視角[J].電子政務，2022（5）：99-111.[13]闕天舒，王子玥.美歐跨境數據流動治理范式及中國的進路[J].國際關系研究，2021（6）：76-96，155.提出中國的應對策略和方案。但是，任何單一視角都不足以用來剖析交叉領域的復雜問題，現有文獻尚未完成對跨境數據流動治理復合型研究的體系構建。本文著眼于中國—東盟的戰略伙伴關系，綜合運用法學、公共管理學、國際關系學等學科的理論知識，提出“數據產權—數據主權—數據治理”的分析框架，用于分析跨境數據流動規制的雙重困境及中國—東盟的戰略選擇（見圖1）。

圖1 文章結構與分析框架圖

首先，數據產權（data property right）是數據時代的一個新型權利概念。盡管其權屬性質還存在爭議，但不可否認，數據作為一種記錄現實世界的資源，已經完成了其資產化和資本化的過程，即通過自身的聚合效應和深度挖掘分析為數據的實際掌控者創造新的價值，進而通過交易和流動成為資本。數據產權如何界定？在既有的權利體系當中，所有權和知識產權是與數據產權緊密關聯的兩個概念。持“數據所有權”觀點的學者認為，數據的實際控制者享有對數據的占有、使用、收益、處分等所有權權能①楊張博，王新雷.大數據交易中的數據所有權研究[J].情報理論與實踐，2018（6）：52-57.。在法理上，所有權是物權的一個下位概念，而物權的客體是特定物、獨立物、有體物②梁慧星，陳華彬.物權法[M].5版.北京：法律出版社，2010：71.。數據顯然不具備獨立性（必須依附于計算機等載體而存在），也不具備物權意義上的特定性（數據天然的可復制性決定了其無法通過公示產生排他效力），更不符合有形的實體特征。因此，我們認為數據產權并非物權意義上的所有權。持“數據知識產權”觀點的學者認為，創造價值的衍生數據是智力勞動的成果，應當將衍生數據作為知識產權的客體予以保護③楊立新，陳小江.衍生數據是數據專有權的客體[N].中國社會科學報，2016-07-1（5）.。這種理論的缺憾在于，知識產權保護的是具有創造性的知識產品④吳漢東.知識產權法概論[M].北京：北京大學出版社，2019：6.，而絕大多數行為主體對數據的收集和加工尚達不到創造性標準。換句話說，知識產權保護的客體是業已形成的創造性整體，而不是其構成要素——數據⑤何敏.知識產權客體新論[J].中國法學，2014（6）：121-137.。有學者認為數據產權應當與知識產權一樣具有人格權和財產權的雙重屬性，數據的人格權屬性是為了保護公民的個人隱私，數據的財產權屬性則是為了合理高效地開發和利用數據資源⑥肖冬梅，文禹衡.數據權譜系論綱[J].湘潭大學學報（哲學社會科學版），2015（6）：69-75.。這種歸類較好地體現了數據產權的本質要求，即使人們在分享數據資產增值所帶來的紅利的同時，亦保護人們不受數據處理不當導致的權利侵害后果。

其次，數據主權（data sovereignty）由國家主權的概念演變而來。安東尼·吉登斯提出主權國家是“擁有邊界的權力集裝器”⑦吉登斯.民族—國家與暴力[M].胡宗澤，趙力濤，譯.北京：三聯書店，1998：145.，這意味著清晰穩定的邊界為國家主權的行使厘定了物理基礎。目前，國際法公認的主權行使的物理空間包括陸地、水域，以及陸地和水域的上空與地下層⑧梁西.國際法[M].3版，武漢:武漢大學出版社，2011：125.。網絡空間因其的邊界虛擬性和模糊性尚未成為共識，而對于依附于網絡空間的數據領域是否存在主權的問題，學術界則更莫衷一是。一方面，支持者認為國家擁有數據主權，并且可以依據數據主權，對其管轄范圍內的數據及相關設備、服務商等進行規制或設定數據流動標準⑨匡梅.跨境數據法律規制的主權壁壘與對策[J].華中科技大學學報（社會科學版），2021（2）：96-105.。狹義的數據主權被認為是國家主權在數據流通領域的自然延伸⑩翟志勇.數據主權的興起及其雙重屬性[J].中國法律評論，2018（6）：196-202.，廣義的數據主權則包括了國家對數據及其傳輸載體、協議、服務商等的管轄權和控制權①孫南翔，張曉君.論數據主權：基于虛擬空間博弈與合作的考察[J].太平洋學報，2015（2）：63-71.。另一方面，反對者認為國家主權的管轄之手不應當伸到數據流通領域，他們的理由是數據及其所依附的網絡空間與公海、太空一樣屬于“全球公域”（global commons），不受任何單一國家的管轄與支配，因此，將“主權”概念應用于網絡空間治理是不合適的②MUELLER M L.Against sovereignty in cyberspace[J].International studies review,2019（4）：779-801.。需指出的是，這種觀點混淆了數據的本質屬性與數據治理的現實困難，用一種看似推崇數據自由的價值觀，實則消弭了國家對本地數據和跨境數據的流動管轄權。網絡空間雖無國界，但網民是有國籍的，網絡公司、網絡基礎設施等實體也應受所在國的管轄。

最后，數據治理（data governance）是治理理論的一個分支。詹姆斯·N.羅西瑙認為，治理是通行于規制空隙之間的那些制度安排，當兩個或更多規制出現重疊、沖突時或者在相互競爭的利益之間需要調解時發揮作用的原則、規范、規則和決策程序③羅西瑙.沒有政府的治理[M].張勝軍，劉小林，等譯.南昌:江西人民出版社，2001：9.。格里·斯托克指出，治理的本質在于它所偏好的統治機制并不依靠政府的權威和制裁，而是依靠眾多行為者的互動和相互影響發揮作用④斯托克，華夏風.作為理論的治理：五個論點[J].國際社會科學雜志（中文版），2019（3）：23-32.。中國學者俞可平認為，治理的理想狀態是“善治”（good governance）⑤俞可平.治理與善治[M].北京：社會科學文獻出版社，2000：8-10.，而善治實際上是包含著諸多標準的一套政治價值體系，被視作是一種“多目標治理”⑥李文釗.理解治理多樣性：一種國家治理的新科學[J].北京行政學院學報，2016（6）：47-57.。本文所說的數據治理雖然在治理對象（數據）上有其自身特點，但是同樣具有治理的一般特征——主體與目標的多樣性。數據治理的多主體性表現為需要政府、企業、個人、非政府組織等眾多行為者的共同努力，才能建立起擁有最廣泛共識的法律法規和制度規則。當前，數據治理基本上還是一種企業或行業的自發行為，因為企業天然需要開發利用數據實現其價值。但實際上，僅依靠企業和行業力量是不夠的，尤其在跨境數據流動治理領域，政府應當發揮更為積極的作用，通過國內規制、雙邊規制、區域或多邊規制、全球合作等方式確保跨境數據安全有序流動。個人也應積極參與數據治理過程，通過授權、建議、舉報、監督等行為維護自身權益。數據治理的多目標性表現為不同主體的價值選擇不同：政府參與數據治理的首要目標是在國際競爭中維護國家安全并積極推動數字經濟的發展，企業參與的目標是在獲取數據時降低合規風險、運用數據時縮減經營成本并最終實現數據增值，個人參與主要是為了保護個人信息不受非法侵害。數據治理的多主體性和多目標性為我們分析數據治理困境提供了依據。

二、跨境數據流動規制的雙重困境

跨境數據流動的規制問題最早源于個人數據保護的需要，1980年，世界經濟合作與發展組織（OECD）頒布的《關于隱私保護和跨境個人數據流動指南》是國際上首個旨在規制跨境數據流動的綱領性文件。隨著各國法律制度的完善和各類國際公約的制定，跨境數據的覆蓋范圍不斷擴大，不只局限于個人數據，也包括政府數據、企業數據及其他社會主體產生的各類公共數據。跨境數據流動治理的主體和目標更加多元化，也引發了法理和治理上的雙重困境。而美國正在醞釀的新型“印太戰略”實際上是對“東盟中心地位”的挑戰和削弱⑦劉稚，安東程.東盟國家視角下的美國“印太戰略”[J].國際展望，2020（3）：114-133，157-158.，意圖通過所謂的“盟友機制”轉嫁其國內經濟發展動力不足、民主制度危機等內生矛盾，從而實現遏制中國在東南亞地區的影響力和“保持美國首要地位”的戰略目標⑧王傳劍，張佳.“印太戰略”下“東盟中心地位”面臨的挑戰及其重構[J].國際觀察，2021（3）：89-129.。印太地區已成為全球數字貿易與規則博弈的重點區域，IPEF的核心議題之一就是創立數字貿易領域所謂的“高標準”并將中國排除在外。這有可能打破中國與東盟之間的既有平衡，不僅不利于中國在地緣政治、數字經濟等方面的國家利益，而且會使東盟面臨“選邊站”的局面，進一步加深中國—東盟跨境數據流動規制困境。

（一）法理困境：數據確權爭議

跨境數據流動規制的法理困境突出表現為產權論和主權論引發的數據確權爭議。

1.數據產權定位模糊問題。在既有的私法權利譜系中，數據產權似乎難以找到合適的位置。數據因不具備獨立性、有形性等物理特征，不能算作完美的物權客體，而且大數據在創造性上的缺失也使之難以成為完美的知識產權保護對象。但是，物權的二元結構體系和知識產權“信息化”趨勢為數據產權的界定提供了鏡鑒。在大陸法系中，物權體系采用自物權和他物權的二元結構，自物權（又稱“完全物權”）通常指所有權，即民事主體在法律限制的范圍內對所有物進行全面支配的物權；他物權（又稱“定限物權”）以他人所有權為前提，即民事主體對于不屬于自己所有的物在一定范圍內進行支配的物權①梁慧星，陳華彬.物權法[M].6版，北京：法律出版社，2010：71.。鑒于此，數據產權的基本框架也可設計為兩部分：一是完全數據產權，即數據生產者和所有者的權利，具體包括數據的占有權、使用權、收益權和處分權；二是定限數據產權，即數據使用者的權利，具體包括數據的用益權、擔保權、抵押權等。在數據時代，知識產權的保護范圍早已超越了傳統的著作權、專利權、商標權等限制，逐步將處于非專有領域的公共信息和未經公開披露的商業信息納入進來，呈現向“信息產權”擴張的趨勢②吳漢東.知識產權法概論[M].北京：北京大學出版社，2019：6.。然而在現實中，大量的數據交易和流動加劇了數據產權定位的模糊性。個人作為原始數據的生產者，理應享有完全數據產權，個人數據的采集和使用尤其要注意對人格權的保護。但通常情況下，個人用戶通過知情同意等方式授權平臺獲取其信息，卻難以修改、刪除這些個人數據，更妄談分享數據增值帶來的紅利。企業作為衍生數據的加工者享有定限數據產權，針對那些“清洗”前的數據，應嚴格限制企業對其所占有數據的控制效力。政府作為公共數據的實際持有者和控制者，應明確數據流動和控制的邊界，對于那些不涉及國家安全和個人隱私的部分，鼓勵進行政務信息公開和數據開放共享，嘗試搭建公共數據授權運營平臺。

2.數據主權爭議問題。在國際公法上，數據主權是一個頗具爭議的概念。不僅如此，跨境數據流動還對數據主權形成了巨大沖擊，削弱了主權的兩大特性——對內的最高權威性和對外的獨立自主性。數據的跨境流動是一個涉及多主體、多場景的復雜過程，至少包括數據的所有者、接受者和使用者等主體，以及數據的發源地、儲存地、傳輸地和目的地等場景。尤其是當數據的流經國家不具備必要的保護能力時，數據很有可能被第三方攔截、備份、修改、泄露，如此便加劇了數據主權面臨的現實挑戰。在數據跨境流動的過程中，所涉各方都有可能主張本國完全或部分享有數據主權，極易造成主權的交互重疊甚至沖突，對于界限分明又相互獨立的傳統主權概念形成了沖擊。例如，云存儲和云計算是一種典型的數據跨境現象。在云存儲和云計算中，用戶數據的存儲和處理轉移到了互聯網遠端的服務器集群上，而云服務商提供的服務器很有可能位于他國境內，這就在客觀上造成了數據跨境的情況。云物理位置的分散性和云存儲、云計算過程中數據的高度流動性，使得“國內數據”（domestic data）成為一個邊界模糊的概念，也為數據主權的行使帶來了巨大困難。在當前的實踐中，各國主要依據本國的相關法案對跨境數據流動進行規制，而面對同一組數據，不同國家的法案所規定的權屬各不相同，難免會引發數據主權上的混亂和司法管轄上的爭議。

（二）治理困境：多元目標權衡

跨境數據流動規制的治理困境主要表現為促進數據產業發展、保護個人數據信息和維護數據安全與國家安全等治理目標之間的權衡。

1.促進數據產業發展。數據的價值在于流動，為數據流動設置壁壘不僅會制約企業的創新力和競爭力，還會限制數據產業和數字經濟的蓬勃發展。以美國為代表的治理模式傾向于促進數據跨境自由流動，支持數據產業自由發展。美國模式的主要特征是采取分散立法的方式，充分發揮市場主導和行業自律的調節作用，原則上不限制個人數據的跨境流動，僅在造成損害后果的情況下由相關方承擔責任，以最大限度降低數據流動的障礙，維護產業競爭優勢。美國推行的這種寬松政策在奧巴馬時期發展到了頂峰，由其主導制定的亞太經濟合作組織隱私框架（APEC Pri‐vacy Framework）是亞太地區第一份關于跨境數據流動的指導性文件，其核心理念就是重視數據的自由流動。同樣由美國主導建立的TPP明確對各締約國提出“非必要不限制”的要求，即若無正當理由，不得限制跨境數據流動，也不得強制數據在本地存儲。美國雖然在特朗普任期內退出TPP，但是其所倡導的數據流動規則已對其他國際協定的電子商務條款產生了深遠影響，例如CPTPP明確禁止要求數據存儲在特定國家內，并且禁止對電子信息的跨境流動征稅。此外，《美韓自由貿易協定》和《美墨加協定》等雙邊或多邊協議均體現了“非必要不限制”的基本原則。在該基本原則下，數據流動可能會導致全球數據資源集中到少數具備產業優勢的國家，形成新的壟斷局面，從而對其他國家尤其是大量用戶所在國的數據產業升級造成不利影響。

2.保護個人數據信息。數據時代頻發的網絡安全事件給個人信息和隱私保護帶來了巨大挑戰，保護個人信息安全已成為世界各國需要面對的共同課題。以歐盟為代表的治理模式將充分性保護水平作為數據跨境流動的基本要求。作為最早對數據跨境流動進行規制的區域組織之一，歐盟擁有較為完善的數據流動規則，先后通過了《個人數據自動化處理中的個人保護公約》（歐洲108號公約）及附加議定書與《數據保護指令》（1995年），并最終由《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）確立了歐盟跨境數據流動管理方案。歐盟模式的主要特征是“內外有別”——在域內采用統一的數據治理規則，要求成員國既要達到充分性保護水平，又不得以保護個人權利為借口限制數據自由流動；域外國家和企業則需通過歐盟委員會或歐盟成員國設立的高標準的數據保護水平認證，才能獲取歐盟公民個人信息。若數據接收國的法律水平沒有達到歐盟認可的標準，則有兩種替代方案：一是取得數據主體的明確同意，二是企業能夠證明采取了充分性保護措施①王融.數據跨境流動政策認知與建議：從美歐政策比較及反思視角[J].信息安全與通信保密，2018（3）：41-53.。GDPR完善了跨境數據傳輸機制，一方面要求數據控制方和處理方必須盡到通知、記錄、保密、評估、協商、報告等相關義務；另一方面增加了數據主體的權利（如增設了數據被遺忘權、數據可攜帶權，延展了知情權和訪問權的范圍），此外還設立了歐盟數據保護委員會（European Data Protection Board）和數據保護官（data protection officer）。正是在GDPR的作用下，2020年，歐盟法院宣布美國對個人數據保護水平未達到歐盟的充分性標準，實則廢止了美歐之間的《隱私盾協議》②2020年7月16日，歐盟法院就Schrems II案作出判決，認定美歐數據跨境傳輸機制《隱私盾協議》無效。見Eourt of Jastice of the Eu‐ropean Union.The Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Data Protection Shield（2020-07-16）[2022-05-12].https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf.。

3.維護數據安全與國家安全。數據安全與國家安全密切相關，當數據跨越國境流入他國境內，一些別有用心者可能利用大數據分析技術，通過分析得出有關數據來源國政治、經濟、社會、軍事等領域的重要信息，威脅數據來源國的國家安全。各國均不同程度地采取了維護國家安全和數據主權的策略。《俄羅斯聯邦個人數據法》規定，“自網民接收、傳遞、發送和（或）處理語音信息、書面文字、圖像、聲音或其他電子信息6個月內，互聯網信息傳播組織者必須在俄羅斯境內對上述信息及網民個人信息進行保存”，要求數據運營商將收集、整理和保存俄羅斯公民個人信息的數據庫存放在俄羅斯境內，這體現出明顯的國家安全和數據主權訴求。德國法律規定，除非有特殊法律依據，否則不允許個體跨境訪問位于其他司法管轄區的服務器。巴西法律提出，除非有充分理由允許將數據傳輸到國外，否則要求在本地處理數據。印度法律甚至禁止本國數據出境，要求所有在本國產生的數據必須保存在本國境內的存儲設備上，其他國家的跨國公司想要進入印度市場，就必須在印度境內建立數據中心。東盟國家中除了新加坡對數據自由流動持較為開放的態度，總體上傾向于數據的本土化保護，像泰國、越南這樣擁有巨大市場的國家都要求跨國互聯網公司將數據儲存在本國境內。即便是美國也不例外，數據自由流動的前提是國家安全不受威脅，當涉及政府數據時，美國則要求“不得將為聯邦政府提供云計算的服務器設于本土大陸之外”，并設計了一系列嚴格的安全審查和監管機制。

（三）中國—東盟數字經濟合作面臨的挑戰

雖然數據產權和數據主權在法理上存在爭議且短期內無法達成共識，但是在跨境數據流動的治理實踐中，各國卻不約而同地將國家安全不受威脅放在首要位置，當數據流動有可能對國家安全產生潛在威脅時，國家則有正當理由采取措施限制數據的跨境流動。這也相當于在某種程度上承認了數據主權的存在。而數據產權的確認過程更為復雜，因其具有財產權和人格權的雙重屬性，在實踐中則對應促進產業發展和保護個人信息兩項治理目標。當前，各國博弈的重點就是在此二者間尋求平衡，最典型的是美歐數據合作。此前，美歐間數據傳輸協議《安全港協議》和《隱私盾協議》都因未達到歐盟充分性保護標準而相繼宣告失敗，但美歐擁有巨大的數字貿易往來和共同經濟利益，因此從未放棄數據治理領域的談判。最新簽署的《跨大西洋數據隱私框架》實際上體現了美國為達到歐盟的高水平隱私保護標準而作出的妥協，美國承諾將采取新的措施以確保信號情報監視活動的“最小必要性”，同時建立包括獨立的“數據保護審查法院”在內的救濟渠道，當歐盟公民認為自己的隱私受到侵犯時，可以通過上述渠道獲得救濟。

與美歐相似的是，中國—東盟數據合作也面臨數字經濟發展和個人隱私保護間的博弈。但是，除了這個共性困境，中國—東盟還至少面對兩個關鍵因素的挑戰。一是相較于歐盟，東盟各國存在巨大的“數字鴻溝”，從而加劇了其他國家與東盟合作的復雜性。以新加坡為代表的發達國家，由于數字基礎設施建設、數據市場規模和數據管理能力整體較好，不僅擁有相對完善的跨境數據流動治理機制，同時還引領著東盟整體機制和區域性國際合作規則的構建；越南、馬來西亞等擁有巨大市場潛力的國家也在積極推進本國的數字化轉型戰略，不斷完善數字治理機制和相關法律法規；而柬埔寨、緬甸、老撾等國家目前還處于網絡基礎設施建設的初級階段，國內尚未形成有效的數據治理機制。因此，中國在與東盟國家合作時必須兼顧這種不平衡的發展狀況。二是從全球層面來看，中國和東盟均為發展中經濟體，數據治理領域的制度性話語權不強，雙方在合作的時候容易受到其他國家的干擾，特別是受到一些發達國家數字霸權主義和“長臂管轄”的威脅。例如，美國主導的IPEF對東盟整體數字競爭力的提升價值如何，抑或是一種摒棄“東盟中心主義”的新型網絡霸權，目前這些問題還有待進一步觀察。但中國—東盟合作時不得不考慮這些外部影響因素。基于上述兩點原因，中國—東盟的數據治理現實遠遠落后于合作的實際需求。

三、優化策略:在共識共贏共存中尋求新平衡

當前，國際上主要的跨境數據流動治理體系分別由歐盟和美國主導，二者既相互競爭又相互融合。2016年，歐盟將《數據保護指令》升級為GDPR便體現了走“中間道路”的趨勢，而近期歐盟共同立法者就新的數據共享規則《數據治理法》達成協議，標志著“中間道路”的數據戰略邁出了關鍵一步。然而，無論是歐盟模式還是美國模式，終究是由發達國家主導制定的，無不體現著發達經濟體的利益訴求。在美歐競合博弈之下，印太地區成為全球數字領域爭奪戰的重點區域。一方面，美歐通過達成《跨大西洋數據隱私框架》等加強數字經濟領域合作，企圖與中國“脫鉤”；另一方面，印太地區數字經濟發展潛力巨大，是替代中國市場的理想對象。東盟國家想要融入全球數據流動網絡，分享數字經濟紅利，若是只能選擇被動接受美歐規則，這與其作為跨境數據生產和消費較為活躍地區的地位不相符，還會加劇全球數字鴻溝。

中國與東盟同為當今世界兩大新興經濟體，在數字經濟和數字治理領域擁有廣闊的合作前景。2020年，在全球新冠疫情沖擊和貿易保護主義回潮的復雜背景下，中國—東盟經貿往來卻呈逆勢增長趨勢，首次互為第一大貿易伙伴。這使得中國—東盟在數字經濟領域形成了更深的利益關系，也為雙方深化數字治理合作提供了某種可能。本文認為，在跨境數據流動治理問題上，中國—東盟戰略合作至少有如下基礎。一是理念基礎。中國—東盟同屬亞洲文化圈，在治理理念上較相近。有別于美歐的思維方式，東盟提出基于共識原則和漸進對話的“東盟方式”①張蘊嶺.東盟50年:在行進中探索和進步[J].世界經濟與政治，2017（7）：21-37，154-155.，強調地區發展的“包容性”②翟崑，王麗娜.印太秩序背景下中國—東盟戰略伙伴關系的再發展[J].東南亞縱橫，2020（4）：34-42.。這與中國一貫堅持的多邊主義和以和平發展為目標的地區秩序不謀而合。二是制度基礎。近年來，中國—東盟在數字經濟領域的合作發展勢頭良好，習近平總書記提出的“一帶一路”倡議和“數字絲綢之路”建設不僅獲得越來越多國家的認同，還為合作落地提供了制度化渠道。三是戰略互補性。中國在數字基礎設施、移動支付、5G網絡、人工智能等方面具備較強的比較優勢，東盟國家總體上還處于數字經濟發展的初級階段，但擁有廣闊的數據市場和巨大的發展潛力。基于此，本文提出，中國政府應促使雙方在“共識、共贏、共存”的理念指導下，依托“數字絲綢之路”等現有制度平臺，構建面向未來的戰略合作框架，搶抓數字經濟發展機遇，尋求跨境數據流動規制的新平衡。

（一）共識：確定共識，堅持底線

共識和底線是構建跨境數據流動秩序的基石，中國—東盟要在明確共識和底線的基礎上，積極尋求數據治理的最大公約數。首先，堅持“東盟中心地位”基本共識。2007年簽署的《東南亞國家聯盟憲章》的核心原則之一就是強調東盟在跨區域合作中的中心地位。2008年，東盟經濟部長會議聯合聲明也表示，各國推行貿易便利化規則是為了確保“東盟中心地位”。“東盟中心地位”至少包括三重含義：一是東盟內部的向心凝聚力和對外影響力；二是表現為不受域外大國戰略裹脅的獨立自主性；三是東盟作為涉及政治安全、經濟合作等區域綜合議題的中心③黃河，張宇婷.美“印太戰略”下“東盟中心地位”的重構研究[J].云南大學學報（社會科學版），2022（3）：121-132.。該理念已經得到了包括中國、美國、日本、印度、澳大利亞等國家的支持。然而，美國出臺的新版“印太戰略”，企圖確保美國在印太地區的戰略優先地位，希望推動美國領導建立的規則體系在印太地區發揮廣泛持久的作用。中國一貫尊重并支持東盟國家，2021年10月，李克強總理出席第十六屆東亞峰會時，重申“支持東盟中心地位”的立場，指出“以東盟為中心、開放包容的區域合作架構順應現實需求，協商一致、不干涉內政、照顧各方舒適度等‘東盟方式’符合東亞傳統，是本地區長期和平繁榮的重要基石”④李克強.在第16屆東亞峰會上的講話[N].人民日報，2021-10-29（2）.。因此，中國—東盟在數據治理領域合作的首要條件是堅持“東盟中心地位”基本共識，并使這一共識深入東盟各國的跨境數據流動治理的原則中，共同抵御數字霸權主義對本地區事務的過度干預。其次，恪守國家安全底線。中國關于維護網絡安全和國家安全的立場是鮮明的，2016年頒布的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）是中國首部涉及數字治理的基礎性法律，其第一條就明確了“維護網絡空間主權和國家安全”的立法目的。2021年頒布的《中華人民共和國數據安全法》（以下簡稱《數據安全法》）主要是為了提升國家數據安全保障能力和數據治理能力。2020年，中國提出的《全球數據安全倡議》得到了東盟各國的高度重視和積極響應，體現出中國—東盟在數據治理和網絡安全問題上的共同立場。在此基礎上，中國在未來合作的戰略框架下應當識別東盟各國數據安全的國家底線，以《全球數據安全倡議》為藍本細化合作框架，最大程度地彌合數字鴻溝，夯實合作的基礎。最后，個人信息保護是合作的著力點。中國高度重視個人信息保護工作，2021年頒布的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）是一個具有里程碑意義的立法事件，標志著國家保護個人信息權益進入了新階段。而東盟探索跨境數據流動的治理路徑，以2016年頒布《東盟個人數據保護框架》為開端，該框架在成員國個體和區域整體兩個層面上為個人數據保護提供了指導，為東盟治理跨境數據流動奠定了基石。但考慮到各國發展階段不同，該框架只是各國達成共識的指導性文件，并不具備法律強制力。因此，在推進合作深化的過程中，應積極將現有的各國已達成共識的指導性文件推動成為具有法律效力的區域性條約并最大限度使《東盟個人數據保護框架》得以與各成員國的國內法相銜接，是落實合作著力點的有效途徑。

（二）共贏：互利共贏，成果共享

中國主張各國積極開展數據治理合作與協調，保持數據市場有序開放，實現互利共贏成果共享，其中的關鍵點和難點是如何統一各國在數據紅利中的利益追求與利益分配。換句話說，在合作框架下設計的各項機制要兼具務實性與靈活性，達到激勵相容原則。一方面，既要促進各國積極參與實施這項制度；另一方面，也要有相應的約束機制，防止制度被利用導致利益分配顯失公平。因此，面對各國的差異，首先，要以務實的態度推進戰略對接，明確戰略合作的重點領域和突破口。目前，在跨境數據流動問題上，爭論的焦點在于關稅征收。國際公認的征稅規則目標是避免雙重征稅與反避稅。但是由于數字經濟對于企業實體存在的依賴性較小，且來源國用戶和所產生的數據在跨國企業利潤的創造中發揮著重要作用，因此，國際稅收規則無法有效地在數字經濟活動發生地征稅。而如果采取零關稅或繼續允許當前各大跨國公司采用“雙層愛爾蘭—荷蘭三明治”形式進行避稅，將極大地損害數據來源國的稅基與應得利益。相對地，如果開征高額的數字稅，又將給各國互聯網企業海內外運營造成負擔。在這個問題上，中國—東盟若想達成互利共贏，一方面，要深刻認識到數字稅的征收和改革將成為大趨勢；另一方面，要積極推進在“東盟+X”的多邊框架內開展數字征稅談判，平衡數字征稅矛盾，具體可參考OECD在2015年提出的稅基侵蝕和利潤轉移包容性框架和2019年提出的“雙支柱方案”。其次，要充分考慮東盟各國的不同發展水平，為合作保留一定的彈性空間。例如，采取分級分類的合作方式，在與新加坡、馬來西亞等數字經濟發展較好的國家合作時，重點對接數字技術、智慧城市、人工智能等領域；對于泰國、菲律賓、柬埔寨等數字經濟發展處于初級階段的國家，則可以將合作重點放在數字基礎設施建設、跨境電商、數字化轉型等方面。針對跨境數據流動治理問題，可采用“原則+例外”的靈活處理方式，在明確原則的同時要注意設置相應的例外條款。例如，中國《網絡安全法》對跨境數據流動的規制，原則上要求關鍵信息基礎設施的運營者必須將中國境內收集和產生的個人信息和重要數據存儲在境內，同時也通過“安全評估”“另從他規”等方式為例外情況留出了裁量空間。歷史上東盟與域外國家的互動經驗表明，有效的區域性公共產品供應機制必須建立在地區共贏的基礎上①張群.東亞區域公共產品供給與中國—東盟合作[J].太平洋學報，2017（5）：44-54.。因此，只有摒棄零和博弈的思維，以降低數字貿易壁壘、促進數據流動所帶來的經濟利益為各國共享為最終目標，中國—東盟數據治理合作才能取得實質性進步。

（三）共存：求同存異，解決爭端

跨境數據流動治理領域的許多議題都牽扯著各國敏感的神經，任何協議的談判和達成都是一場曠日持久的“戰斗”。求同存異推進談判是中國一貫主張和倡導的方式，讓那些已初步達成共識的議題先行討論并簽署協定，積累信心增加信任，再逐步解決爭議較大的議題。從2017年開始的WTO框架下的電子商務談判目前僅就如何納入WTO法律框架進行了初步討論，盡管76個成員國于2019年1月簽署了《關于電子商務的聯合聲明》，但是至今未取得任何實質性進展。在爭端解決方面，WTO爭端解決機制曾被譽為“皇冠上的明珠”，2019年12月，因美國阻撓WTO上訴機構任命新成員而被迫停擺。雖然WTO面臨著自身存續危機以及跨境數據流動對其規則的挑戰，但不可否認的是，WTO爭端解決機制和WTO框架下的《服務貿易總協定》（Agreement on Trade in Service，以下簡稱GATS）仍然是最有希望解決跨境數據流動爭議的國際爭端解決機制和國際協議。例如，GATS的隱私保護例外條款規定成員國可以因隱私保護等原因限制跨境服務貿易，延伸至數字貿易領域，即各國政府應當明確“國家安全”和“個人隱私”的范疇，以方便跨國公司進行合規性審查。當前，國際社會還沒有形成統一的跨境數據流動爭端解決機制，但不乏一些區域性的有益嘗試。中國—東盟數據治理合作也需要妥善處理數據沖突問題，雙方應進一步增強政治信任和數字安全合作，同時可以參考WTO爭端解決機制和GATS建立專門的數據保護機構或仲裁機構（如數字法院），在一些爭議較小的領域初步形成可預測、可操作的沖突緩沖帶。具體來說，一方面，需要為數據確權爭議提供雙方都認可的法理依據；另一方面，則通過個案裁決的方式重新平衡數據自由流動、個人隱私和知識產權保護、打擊網絡犯罪等現實問題，在實踐中逐步積累經驗、擴大影響力，形成有國際競爭力的數據治理規則體系。

四、結語

在共識、共贏、共存中尋求新平衡是一個世界性的課題。由于跨境數據流動在法理和治理方面的困境加上地緣政治博弈的影響，導致發達國家和發展中國家之間關于數字貿易和數據治理的磨合過程異常艱辛。近年來，在逆全球化浪潮中，大國博弈的戰場正在從傳統貿易領域轉向數字經濟領域，美歐等國家和地區紛紛出現貿易保護主義苗頭，走向了維護國家安全和數據主權的“第三條道路”，例如美國常以數據安全審查為“大棒”打壓中國企業。后疫情時代，中國應當抓住與東盟深化合作的新空間和新的發展機遇，在保障數據安全與發展數字經濟方面雙管齊下，以大國的責任擔當促使亞洲國家形成共同抵御風險、促進發展的凝聚力。

中國—東盟深化戰略合作具有堅實基礎和廣闊前景。一方面，基于龐大的數據擁有量和創新性數據交易平臺，中國在堅持數據市場開放和數據安全維護的同時，更加注重個人信息保護工作，在“尊重和保障人權”的道路上穩步前進。近年來，中國先后出臺了《網絡安全法》《數據安全法》《個人信息保護法》，形成了數據治理的國內法律體系。同時，中國也非常重視并積極參與國際規則的構建。在2019年G20大阪峰會上，中國提出在完善跨境數據治理框架的前提下實現數據市場的開放和國際合作的倡議，主張營造公平、公正、非歧視的市場環境，共同完善數據治理規則。2021年，中國正式提出加入CPTPP和DEPA，顯示了中國在跨境數據流動治理領域的開放態度，并與新加坡為代表的東盟國家積極開展數據分級分類、數據流動機制與認證方面的試點建設。另一方面，深化與中國的數據治理合作也符合東盟國家利益。東盟將數據視為一種新型戰略資源，借助跨境數據流動的力量有希望在數字經濟時代實現彎道超車。而中國作為東盟的地理鄰國和最大貿易伙伴，具有較高的數字經濟發展水平和較豐富的數據治理經驗，在治理理念、制度環境、戰略對話等方面都有良好的合作基礎。中國—東盟深化數字經濟合作應以跨境數據流動規制為契合點，探索形成多邊框架下的區域規則體系，以對沖美歐數字戰略對印太地區國家的分化與挑戰。

未來，中國將與東盟國家通力合作，共享數字經濟發展機遇，以前瞻性的戰略布局，深度參與全球和區域規則制定，引領建立符合中國—東盟共同利益的數據治理框架。在這一過程中，尤其應注意國內法治與國際法治的接軌問題、包容性與發展性兼具的地區治理問題及分階段、分步驟的推進與實施問題。中國—東盟戰略合作有助于中國向世界展示“共識、共贏、共存”的中國智慧和中國方案，在數據時代中提升公共產品供給能力和領導力，有助于構建人類命運共同體和網絡空間命運共同體。