數字經濟下的全球規則博弈與中國路徑選擇
——基于跨境數據流動規制視角

張 光，宋 歌

(西北政法大學 國際法研究中心，西安 710000)

數字經濟時代，數據不僅成為一國的基礎性戰略資源，更是構建國家競爭優勢的核心。數據流動對全球經濟的增長貢獻也早已超越以商品、服務、貿易、資本等為代表的一般性傳統生產要素，其作為數字貿易的基礎受到國際社會的高度關注。

當前，各國通過強化宏觀經濟政策來促進本國數字經濟與貿易發展，而跨境數據流動作為數字經貿規則的核心，既是新一輪國際經貿治理規則的前沿議題，也是未來大國間戰略博弈的焦點。

一、跨境數據流動的形成機制及治理意義

(一)跨境數據流動的概念界定

“跨境數據流動”(Trans-border Data Flows，Cross-border Data Flows)也被稱為“數據跨境傳輸”或“數據的國際流動”等。這一概念最早是由經濟合作與發展組織(OECD)科學技術政策委員會(CSTP)下設的計算機應用工作組(CUG)正式提出的。一般而言，跨境數據流動是指數據在不同法域之間的流動。但隨著社會的發展進步，這一概念逐漸受到國家戰略安全、經濟發展水平、個人隱私保護等一系列復雜因素影響，使其得定義不斷延伸。

當前，對于數據跨境流動的概念，國際上也尚未給出統一明確的定義，綜合比較來看，現今學術和社會各界對數據跨境流動的內涵與外延界定主要分為兩類：一類是數據能夠跨越物理國界進行存儲、傳輸與處理；另一類是數據雖未跨越國界，但是可以被第三國的主體使用或訪問。

盡管在表述方面存在一定差異，但總體而言，跨境數據流動的本意旨在實現數據保護與數據自由流動之間的動態平衡，并以此建立一套具有國際共識的全球統一治理框架，這是當前對于研究跨境數據流動的意義之所在。

(二)跨境數據流動發展總體態勢

隨著數字經濟的深入發展，當前國際社會認識到跨境數據流動既能帶來巨大的收益，同時也可能會對網絡安全、數據主權、隱私保護、產業發展等方面造成巨大沖擊。從目前全球數據跨境流動規則的發展格局來看，發達國家同發展中國家各有不同的側重點。

發展中國家在數字經濟及技術領域正處于起步階段，對于數據保護和本地化存儲等問題尤為關注；而對于發達國家而言，其擁有較強的數字貿易比較優勢以及良好的數據產業基礎，則更加強調數據的自由流動立場。

但在發達國家之間，圍繞著數據主權問題，對數據流動規制的關注點也不完全一致。對于上述議題的國際規則制定也可能逐漸成為大國戰略博弈的新焦點。

1.跨境數據流動規制與相關貿易協定呈“碎片化”態勢

當前，各國對于跨境數據流動的規制尚未達成一致的共識。各國間受國家主權、隱私保護、產業發展、地緣政治等多重因素的綜合影響，出于維護自身利益的目的，構建起各具特色的跨境數據規制體系。

從區域層面來看，由于WTO在多哈回合談判未能取得預期進展，部分WTO成員方出于對國家主權、隱私保護等公共政策目標的考量，轉而在雙邊、諸邊及區域間達成RTA(即兩個或多個貿易伙伴之間簽訂的區域貿易協定)，通過制定相關法律法規來局部實現對跨境數據流動的規制。

近年來，RTA的數量和影響力逐漸上升，加入相關RTA也正成為各國就新出現的數字貿易問題達成共識的普遍選擇。當前共有300多份RTA正式生效。

因此，無論是以自由主義+例外條款模式為主，以實現利益共治的數字貿易框架，例如《美墨加協定》(簡稱USMCA)或《全面與進步跨太平洋伙伴關系協定》(簡稱CPTPP)等，還是以干預模式為主，在自由貿易與隱私保護之間實現動態平衡的數字貿易框架，例如歐盟的《通用數據保護條例》(簡稱GDPR)和向WTO提交關于電子商務的提案等，或是近期中國同東盟等國達成的《區域全面經濟伙伴關系》(簡稱RCEP)等，當前各種治理方案都無法對跨境數據流動達成統一的規制手段，使得“碎片化”態勢進一步凸顯。

2.跨境數據流動保護與監管體系呈“分散化”態勢

當前跨境數據流動保護與監管體系呈高度“分散化”的態勢，主要表現在以下幾個方面：

一是對數據保護的立法程序側重程度不一。根據聯合國貿易和發展會議(簡稱UNCTAD)資料顯示，僅有60%的國家通過立法的形式對數據流動進行規制，約有30%的國家尚未就數據流動規制進行立法保護，仍有10%的國家僅對數據流動規制問題進行法案起草工作。

二是對數據保護的權利認知不同。部分國家如歐盟明確將個人數據保護視為一項基本人權，而在美國等大多數發達國家為推動數據自由流動政策，仍將個人數據保護的權利視為基本人權。

三是不同框架下，合法數據跨境流動方式存在差異。例如美國對于境外數據流動問題規定了嚴格的個人負責的“問責原則”。歐盟2016年通過的《通用數據保護條例》延續了其早年通過的《數據保護指令》中關于充分性的保護規則，并進一步完善數據跨境流動的“充分性保護原則”評估標準。我國最新出臺的《個人信息保護法》通過“告知+同意”的方式對個人信息跨境提供的規則做出專章規定，對個人信息跨境流通的合法性依據和相關審查機制進行了體系性構建。既強化了保障自然人相關權利，同時又協調了國家安全與公共利益間的平衡協調。但當前各國對數據跨境流動的監管方式仍有較大差異，對于今后評估某些數據的跨境流動的實際合規性問題帶來巨大的挑戰。

3.跨境數據自由流動與數據主權博弈呈現“加劇化”態勢

當前圍繞著數據主權的戰略博弈日趨激烈。以美國為首的部分發達國家憑借其產業國際競爭優勢和靈活的保障手段，對于數據主權問題采取“進攻型”戰略，2019年頒布的《云法案》通過“長臂管轄”的方式不斷擴大其跨境數據的執法權利，甚至搶奪他國的“治外法權”；歐盟則采取“中立型”戰略，雖尚未要求數據本地化存儲，但為充分保障個人信息安全，對跨境數據流動設置進行嚴格限制來達到數據本地化存儲的目的。對于中國這類新興經濟體，基于發展層面考量，對數據主權問題則采取“防守型”戰略，更多通過數據本地化法律規制手段來解決數據治理與本地執法問題。因此，各國對于數據主權所采取的不同立法政策極大地改變了全球數據主權的治理框架，也在一定程度上加劇了各國間對數據主權問題的沖突。

(三)跨境數據流動規制的必要性

數據作為推動全球創新和經濟增長的關鍵資源，被譽為新時代的石油。當前，世界尚未形成統一的跨境數據流動規制模式，誰能夠掌握跨境數據流動規則制定的話語權，誰就可以獲得先發優勢，引領全球經貿未來格局走向。其規制的必要性主要體現在以下幾個方面：

一是維護國家主權、信息安全的重要保障。許多發展中國家在關鍵信息基礎設施防護、網絡安全保護等方面存在技術上的不足。一旦產生無限制的數據跨境流動，可能會對政治、經濟等領域產生一定的數據安全風險。自2013年美國“棱鏡門”事件曝光后，各國也逐漸意識到建立健全跨境數據流動規制體系的重要性。

二是掌握數字經濟主導權的關鍵環節。數字議題的特殊性和復雜性，主權國家間的立場分歧，使得當前跨境數據流動的全球規則始終無法深入推進。當今正值數字貿易規則建立的關鍵時期，對中國而言，誰能引領推動跨境數據流動規則的建立，誰就能掌握今后國際經貿治理規則的話語權，從而逐漸提升數字經濟的發展優勢，推動數字強國建設。因此，對數字貿易規則作出更多探索具有十分重要的意義。

三是推動全球經濟更加公平的有效途徑。數據具有非排他性和非競爭性的特點，使得數據流動過程中容易產生數字經濟收入分配不均衡、破壞公平競爭等現象產生。如何推動數據朝著依法、合規、有序的方向發展，這既是國家社會的重點關注，也是我國今后的談判方向。中國在承擔其作為數字大國的責任，發揮自身優勢和力量，在積極凝聚世界各國共識的基礎上，推動建立一個統一完備的跨境數據流動全球治理框架，這是規制國際貿易最有效、最公正的路徑選擇。

二、主要經濟體對跨境數據流動的規制路徑與價值取向

不同國家對于數據跨境流動的法律規制呈現出價值選擇多元化的特點。如何兼顧不同國家間發展理念與平衡跨境數據自由流動間的矛盾，建立統一的全球治理框架，這既是國際社會的關注重點，也是我國今后的主要研究方向。當前，世界各國對于跨境數據流動規制主要分為三種：

(一)美國：以強化數字競爭優勢為主旨，以“貿易自由”為導向構建數據跨境流動與限制政策

1.以組織機構為基準，以問責制原則為核心的規制路徑

(1)以問責制原則為核心

美國規制路徑是在保障數據流動的基礎上，由數據控制者或處理者以合法方式對數據的安全性負責，否則將由數據監管機構進行問責。美國通過制定行業隱私保護標準來引導數據控制者或處理者在信息交流中自覺遵守相關規則，并僅在違反法律規定的基礎上進行追責。這種事后問責的規制方式雖降低了監管部門的監管壓力，但也僅能在最低限度來對違法跨境數據流動行為進行規制，威懾力十分有限。

(2)主張數據跨境自由流動

目前美國簽署的FTA中，均重點強調數據跨境自由流動規則。這是因為美國數字產業較為發達，通過推進數據自由流動的政策可以有效保證其在全球數據經濟中的領先地位。因此部分企業如Facebook、Google、PayPal等的發展均建立在美國支持數據自由流動的政策之上。

自2012年美韓在FTA中首次提出“不得給跨境數據自由流動設立條件”概念后，在此后簽訂的FTA中均積極推廣這一規則。例如在TISA中第2條規定“只要符合商業規范，各締約國均不得設置障礙阻礙跨境數據自由流動”；在TPP第14章中規定“允許各締約國以自由貿易為目的進行跨境數字自由流動”；在USMCA中更是設立專門的數字貿易章節(第19章)制定規則。

(3)禁止數據本地化

禁止數據本地化是美國貿易規則的另一規制手段。這一概念最早興起于美國“棱鏡門”事件后，世界各國出于國家安全考量出臺了數據本地化的立法政策，其目的在于防止美國濫用網絡支配地位危害國家安全和隱私保護。但卻招致美方的強烈反對，原因在于：一方面，美國主張網絡本身是開放的，不隸屬于任何一個國家，應當營造一個開放的網絡環境以及強調互聯網本身的開放性。在美韓FTA協定第15條中的規定體現這一點，“在不被締約方法律禁止的前提下，消費者擁有自由選擇數字產品及服務的權利”。另一方面，美方強烈反對強制本地化的要求，并認為數據本地化構成一種新型的貿易壁壘，阻礙全球數據自由流通。

2.美國的價值取向

跨境數據完全自由流動是美國模式的完美詮釋。從美國現有的數字貿易政策來看，無論是雙邊、多邊，還是國內、國外，美國都在釋放一個強烈的信號——數據流動限制阻礙數字貿易發展，美國堅決支持跨境數據自由流動，確保數字貿易市場自由化、開放化。

但從實際情況來看，美國在數據自由化方面的政策的理念是自相矛盾的，批判其他國家采取數據流動限制和本地化措施，但同時自身也采取著相同的限制措施。比如，對國外信息企業進行嚴格的數據審查和限制，甚至禁止外國企業提供的數字服務。強調保障國家數據安全及產業保護，卻通過實施“長臂管轄”來進行治外法權。這些行為都間接表明了美國對數據自由流動和數字貿易保護主義之間的矛盾。從本質上看，美國對于跨境數據自由流動的“雙重標準”，體現其在數字經濟下對數字需求和地位需求的糾結。

一方面，希望主導建立一個沒有限制的數字貿易體系，充分實現數字貿易自由化；另一方面，面對中國等新興經濟體的崛起以及對美國自身數字貿易主導地位的沖擊，其試圖通過其國內法影響國際規則的改變，將美國模式輸出至世界各國，由此建立“美國至上”的發展理念。這就可以理解為什么美國相比其他國家而言頻繁將數字報作為國家戰略安全的重要組成部分。

(二)歐盟：以保障數據主體權利為目標，以“人權保障”為導向

1.以利益均衡為基準，以充分性原則為核心的規制路徑

(1)以充分性原則為核心

歐盟對數據跨境流動規制采用“內松外嚴”的雙重標準。對內積極推動成員間數據的自由流動，禁止內部以實施保護為由阻礙數據自由流通，即“內松”政策；對外實施嚴格的監管政策，對于數據的流動需滿足“充分性原則”的具體標準方可出境，即“外嚴”政策。

歐盟并不是完全禁止數據的跨境流動，而是在允許跨境數據流動的前提下更偏向于對人權的保護。“充分性原則”作為歐盟跨境數據規制的核心原則，是指歐盟要求成員國限制數據的跨境輸出，除非能夠證明數據輸入國或接受國的保護水平能夠達到“充分性”認定標準。這一規定出自歐盟《有關個人數據自動化處理的個人保護公約》第14條“當締約國向第三國進行數據傳輸時，要充分考慮第三國的數據保護水平，如果第三國數據保護水平低于歐洲標準則不得向第三國傳輸”。隨后出臺的《關于設計個人數據處理的個人保護以及此類數據自由流動的指令》更是強化了《公約》的保護水平，在滿足數據出境合法的前提條件下，仍須征得數據主體授權方可傳輸。不僅如此，充分性保護還要求考慮到對敏感信息的保護問題。2018年生效的《通用數據保護條例》擴大了對敏感信息的認定范圍，強化了數據控制者的相關義務。

但需要注意的是，歐盟規定了向第三國傳輸數據必須要遵循“充分性原則”，但也作出相應的法定例外規定。雖然僅包含了六種例外情形，但卻逐漸被泛用化。

(2)保障數據主體權利

保障數據主體權利是歐盟跨境數據流動規制的主要訴求。歐盟認識到跨境數據流動可能會導致侵犯基本人權和隱私的現象激增。為解決上述問題，歐盟最早出臺了《有關個人數據自動化處理的個人保護公約》(以下簡稱“公約”)，通過專章的形式確立了個人數據的跨境流動規定，強調數據主體的自主權與人格尊嚴不受侵犯。隨后出臺《關于數據處理的個人保護以及此類數據自由流動的指令》，在繼承《公約》的基礎上，增設統一的最低個人數據保護水平標準。為順應數字經濟發展趨勢，《通用數據保護條例》以條例的立法形式消除了非個人數據在存儲和處理方面的地域限制，將數據屬地原則改變為屬人+屬地原則相結合。

2.歐盟的價值取向

歐盟不像美國一樣主張純粹的跨境數據自由流動，其規制模式更多通過在維護國家主權、發展數字貿易以及促進數據的自由流動間取得一定平衡。既有效地擴大了法律對跨境數據流動的管轄范圍，加大了對人權的保護力度，也在一定程度上強化了歐盟數據與互聯網產業的發展，有效防止第三國規避本國的數據保護立法，與美國規制模式形成鮮明的對比。但也對數據自由流動設置了過高的標準和冗雜的程序，使得一定程度上限制了數據的跨境自由流動。

(三)中國：以維護數據主權安全為重點，以“主權保護”為導向實施數據本地化或限制性數據跨境流動政策

1.以地理區域為基準，以折中原則為核心的規制路徑

(1)堅持數據本地化政策為核心

隨著數字貿易的深入發展，部分發展中國家逐漸認識到跨境數據流動僅有利于發達國家，對于發展中國家而言，完全的跨境自由流動會危害國家主權和網絡安全。中國也在此基礎上開始制定相應的數據本地化政策來維護自身發展。對于數據本地化要求，最早出臺自《網絡安全法》第37條規定，該條規定采用了“原則+例外”的規制模式，即原則上不允許數據的跨境輸出，只有在特定情形且經有關部門安全評估后方可跨境輸出。

相較于《網絡安全法》對跨境數據流動的嚴格限制，近期出臺的《個人信息保護法》對個人數據的跨境流動設置了更加靈活與寬松的條件。對于跨境數據流動的規制，數據輸出者應當采取必要措施，保障境外接受方處理個人信息的活動也應達到個人信息保護法的保護，在一定程度上加重了境內數據提供者的后續監督義務。中國雖仍堅持數據本地化的政策，但允許有條件地開展數據跨境流動，在一定程度上體現了中國立法機構順應潮流、適度放松數據輸出的重要指導思想。

(2)構建獨特的跨境數據流動專項標準

首先，通過相關部門的安全評估，是中國同意跨境數據流動的首要條件。在《網絡安全法》第37條規定基礎之上，在《個人信息保護法》中對個人信息跨境流通的合法性依據和相關評估審查進行了體系性的建構，允許數據在相關部門完成安全評估的情況下可以跨境輸出。安全性評估的目的在于監督和保證數據流向第三國后，不會威脅我國的國家安全。

數據評估根據主體不同分為“處理者”和“主管部門”兩方面的評估。對于跨境數據流動的一般情形，需要處理者自行評估，在出現可能影響國家安全的情況，處理者應向主管部門通報，由主管部門監管并進行安全評估。評估內容包含合法性、正當性和必要性的要求，合法性包含是否違反數據法律規范；正當性包含數據主體同意；必要性包含處理者目的是否達到“必要”轉移的程度。

其次，以個人同意作為允許數據跨境流動的另一個條件。這意味著中國允許跨境數據流動的一個前提是“個人主體知情同意”。在《網絡安全法》第42條中強調處理者在未經數據主體同意的情形下，不得向第三方轉移個人數據。該條款只是對個人同意進行了框架性規定。而最新出臺的《個人信息保護法》對“個人在個人信息處理活動中的權利”作出專章規定，規定處理者在處理個人信息前，應明確地告知其相關事項，在取得個人同意的前提下方可處理。并在個人信息后續處理的各個環節中，對于不同情形也設立了“單獨同意—重新同意—撤回同意”的全新機制。

最后，中國允許數據跨境自由流動的必要條件是同意個人信息脫敏。《網絡安全法》在第42條也規定了“數據服務提供商對于跨境流動的數據需要進行脫敏處理”。但《網絡安全法》對個人信息脫敏并沒有作出較為細致的規定，這需要相關法律在今后做進一步完善。

2.中國的價值取向

中國的規制模式一方面有助于實現主權國家的多重安全需要。因為數據本地化的措施既有效對跨境數據流動進行嚴格限制，將個人信息數據盡可能地限制在本國境內，又有助于保障個人信息數據的安全，減少因跨境數據流動所帶來的安全風險。同時自美國“棱鏡門”事件后，不少數字經濟處于弱勢地位、網絡空間較為脆弱的發展中國家紛紛加入限制或禁止數據輸出的陣營，逐漸設置數據本地化的規制措施來保障國家安全。因此，在總體上符合發展中國家普遍規制數據跨境輸出的基本態勢。

另一方面，有助于實現特定產業政策目標。雖然發達國家同發展中國家間對于數據本地化存有較大分歧，但數據本地化限制在一定程度上維護了發展中國家數字產業的穩定發展。對中國而言，數據的本地化措施既可以有效推動企業在境內設立數據處理中心，增加數據處理的投資，通過海量數據存儲、加工和使用的方式來提升商業活動的經濟效益，同時又能有效地減少來自部分海外發達國家的企業競爭，推動產業發展需要。但從發展角度來看，中國規制模式對于專業人才也提出了更高要求。我國也仍需加大跨境數據流動規制專業人才的法治隊伍建設，以滿足數字產業新形勢下的發展需要。

三、全球經貿框架下跨境數據流動規則與國際合作規制

(一)WTO規則對跨境數據流動的規制與平衡

與跨境數據流動有關的WTO規則當今也面臨著對數據分類困難的根本性問題。WTO以GATT、GATS及TRIPS為三大法律支柱，來對全球范圍內的商品、服務和知識產權貿易進行監督。然而在當今的數字經濟時代，對于需要跨境數據流動的產品或者服務究竟歸屬于貨物貿易還是服務貿易，當下尚未達成一致規定。如果想要直接套用既有規則框架來規制數字貿易，那么是適用GATT還是GATS，繼而直接影響貿易國家間所需承擔的義務和規則。在WTO缺乏相關規定的情況下，學界主要將跨境數據流動置于GATS的規制當中。但在解決這一基礎性的分類后，還會再次面臨著協議內部的分類。對于跨境數據流動，GATS項下的四種跨境服務貿易模式均與其有一定的關聯性。如果將在線產品和服務劃分為服務，就要在GATS既有的四種服務貿易模式中尋找合適定位。數字貿易的發展擴大了可交易服務的類型，WTO也難以明確地定義GATS承諾項下相關類別具體包括哪些。比如引發較多爭議的跨境電子支付究竟屬于GATS跨境服務模式下的跨境交付還是境外消費，在美國博彩案中,WTO專家組認為通過電子方式提供服務,應納入GATS項下的跨境交付模式。但同時并沒有對這兩種模式做出明確區分，無法給出明確說明。

WTO各成員國間的價值追求差異直接導致治理規則的走向大不相同，在2019年成員間同意單獨設立的WTO電子商務談判也尚未取得預期進展。如何對不斷變化發展的社會現狀進行法律條文的技術性解釋，是當今國內法治和國際法治面臨的共同難題。雖然理論上GATS項下許多服務部門都與跨境數據流動有關，但都無法準確適用于跨境數據流動，同時對于這些問題都缺乏具體的解釋性指導。

(二)雙邊和區域貿易協定對跨境數據流動的規制與平衡

數字貿易的雙邊和區域談判意義重大。現行的多邊貿易規則仍以貨物和服務貿易為基礎，雖仍可以歸入WTO框架下的GATT和GATS中進行規制，但在實踐中對于數字貿易的實質爭議問題無法達成一致共識，難以順應當前數字經濟的發展需要。鑒于當前數字貿易的多邊談判進展緩慢，應先集中精力于雙邊或區域談判，再將雙邊或區域協定中可行的模式推廣到WTO多邊貿易談判當中。這相較于直接推動多邊談判而言更有效率，也能及時滿足當前各國對數字貿易監管的迫切需要。因此，雙邊和區域協定的達成，對及時更新傳統貿易規則，推動數字貿易規則重回以WTO為主的多邊貿易體制具有十分重要的意義。

1.雙邊貿易協定中的規制與平衡

WTO成員國對待跨境數據流動的規制模式和關注重點各有側重，并在各自主導的FTA下有所體現。美國作為數字經濟發展強國，陸續出臺了多項數字貿易政策，如2015年出臺的《美國數字經濟議程》、2017年的《電子復興計劃》、2018年的《數據科學戰略計劃》等。為進一步鞏固其商業和技術優勢，美國積極推動簽署多項FTA以確保上述數據流動規則的實施，意圖通過雙邊協定來彌補WTO在解決該問題中的進展緩慢和不確定性所帶來的漏洞問題。但在跨境服務貿易層面，美國通過的FTA內容都較為寬泛，主要以保障美國核心利益為出發點。歐盟主導的FTA與美國有很大的差別，其對外進行FTA協商內容較為保守，相較于美國在隱私保護和人權保障方面更為謹慎。歐盟的《通用數據保護條例》就明顯體現了在加強個人數據和隱私保護的基礎上，在數字貿易領域打造“單一數字市場”的數字經濟戰略。雖然在近期簽署的《加拿大-歐盟綜合經濟與貿易協定》中，在跨境服務貿易中專設章節，但仍不能有效覆蓋未來可能包含的新技術和新模式，同時也會對跨境數據流動規制增加預期之外的成本，降低執行協議的效率。

2.區域貿易協定中的規制與平衡

(1)USMCA中的規制與平衡

2018年美國與墨西哥、加拿大達成的區域貿易協定《美墨加協定》，相較于《跨太平洋伙伴關系》(簡稱TPP)在數字貿易領域作出了四個方面的改變：一是對電子商務進行數字化拓展，在TPP將關于電子商務的章節更改為數字貿易章節；二是USMCA進一步擴大了信息的涵蓋范圍；三是在規則層面內容更具有操作性；四是更加注重維持自由數字貿易與政府的合法性考量而進行規制之間的平衡。美國市場的開放度和以此帶來的經濟效益，卻忽視了自身所應承擔的相關責任。

(2)CPTPP中的規制與平衡

2018年出臺的《全面與進步跨太平洋伙伴關系協定》作為一項綜合性的自由貿易協定，其設立的關于電子商務的章節，是迄今為止在所有區域貿易協定中作出的最為全面的論述。CPTPP制定較為全面的規定反映出美國在數字貿易領域的特殊需求，尤其是電子商務章節所涵蓋的內容十分豐富。但從整體來看，對于電子商務章節的規定基本延續其前身TPP的相關規定，并沒有對其作出實質性的突破，僅對相關具體規定進行細微調整。例如，數據本地化存儲一直是美國所詬病的政策之一，但卻在CPTPP首次提出實施數據本地化的具體措施，不同于GATT和GATS項下的模糊措辭，對于數據本地化存儲只有在構成“任意或不合理的歧視或變相的貿易限制”以及“對超出現實目標所需的信息轉讓施加的限制”具體情形下方可限制。這一規定間接體現了美國的“雙重標準”：一方面，希望通過區域協定消除數字貿易壁壘，促進數據自由流通；另一方面，又采取國內立法和行政手段設置貿易限制，以加強對美國數字貿易產業的保護。總體而言，CPTPP優先考慮的目標仍是無限制的數據自己流動，而不是歐盟那樣更加重視隱私保護，這也一貫體現了美方的政策理念。

(3)GDPR中的規制與平衡

《通用數據保護條例》是歐盟最為重要的國際數據傳輸機制，其中的充分性決定機制是其運轉的核心。依據GDPR的充分性要求，當數據主體的基本權利得到充分保護時，方可進行國際傳輸，并有歐盟做出對充分性的認定標準。歐盟憑借該機制，通過尋求其他國家與歐盟數據保護法律的融合，從而達到統一標準、掌握規則制定權，以及以構筑單一數字市場為戰略目的。

(4)APEC跨境隱私規則中的規制與平衡

APEC跨境隱私規則(簡稱CBPR)是當前區域監管合作中較為成熟的數據治理框架。CBPR體系作為美國著力推動的區域性跨境數據流動制度安排，在USMCA的個人信息保護條款中就將CBPR作為增強個人信息保護機制兼容性的參照寫入其中。美國積極推動CBPR體系建設，就是為了使之可以成為與歐盟GDPR機制相抗衡的跨境數據流動機制。同時相較于GDPR機制有三個突出特點：一是數據保護標準較低，CBPR在數據處理的準確性和時間限制上要求相對較低。二是執行機制更具彈性。CBPR體系的實施主要是在國內層面，從理論上講，加入CBPR體系更加容易，其作為自我監管型體系，建立的僅僅是底線標準，加入門檻相對較低。反之，GDPR作為自上而下型的法規，對數據主體應當履行的義務標準較高，尋求GDPR充分性標準的國家往往須承擔高昂的監管協調成本。三是當前CBPR體系占據成員數量優勢地位，并還有可能推動更多經濟體加入其中。

(5)TISA中的規制與平衡

《服務貿易協定》(簡稱TISA)是當前WTO中多個成員正積極推進的一項貿易協定，中國也在談判隊伍當中。該談判旨在突破多哈回合困境，推動數字貿易進一步自由化，但實際在跨境數據流動層面，談判各方對于跨境數據自由流動和個人數據保護仍存有較大爭議。TISA旨在設立明確的法律對跨境數據的自由流動進行規制，通過將政府管控控制在有限范圍內，對數據主體進行約束，并在實施過程中逐步消除數據流動的限制問題，逐漸推進數據流動自由化的目標現實。但TISA仍處于談判階段，其談判結果仍充滿不確定性。

(6)RCEP中的規制與平衡

在迫切需要改變歐美單邊主導格局的情形之下，中國同東盟等15個國家于2020年11月15日簽署了《區域全面經濟伙伴關系》。作為當前全球范圍內最大的自由貿易協定，RCEP的出臺為發展中國家引領自身跨境數據流動規制方案并同發達國家間共同參與治理和合作提供了良好的示范。RCEP兼顧了發達國家的核心關注，同時也有利于發展中國家數據安全和數據產業發展利益，并對數字貿易作出專章規定。同發達國家間的FTA一樣，RCEP對跨境數據流動的議題達成初步共識，支持跨境數據的自由流動，但數據的自由流動仍要受到國家安全利益立場和保護公共政策目標的限制，將國家安全利益置于數據自由流動之上，可以說是更為關注“安全的”數據流動。同時需要注意到，RCEP與發達國家間規制方案最大的差異體現在跨境數據傳輸的例外條款規定中，其對跨境數據流動的規制和本地化存儲一視同仁，沒有向USMCA和TPP協定一樣對例外情形作出進一步區分。總體而言，RCEP體現的規制理念弱化了標準過高的隱私保護議題，并給締約方留有更多的自由裁量權來對跨境數據量流動采取限制性措施。從這一點來看，RCEP對跨境數據流動的規制方案可以說是對發達國家訴求的折中，同時也為廣大發展中國家提供了強有力的技術支撐。

(三)全球跨境數據流動的整體規制與平衡

雖然近年來簽訂的各類FTA試圖為數字貿易建立一種全新的法律格局，但實際上數字領域的發展是漸進式的，缺乏真正的監管創新。各國達成的FTA本質上是數字貿易的一種個性化定制過程，除了少數有明確的規定，大多數FTA缺乏一定的透明度和可執行性，阻礙跨境數據流動的有效規制。我們需要注意到，雙邊和區域貿易協定在一定程度上也加劇了數字貿易領域的不平衡發展，圍繞跨境數據流動出現的貿易壁壘和法律碎片化現狀，進一步阻礙了跨境數據流動的操作性，且這種情況短期內不會改變，甚至會逐漸惡化，破壞以規則為基礎的多邊貿易體系建設。因此，未來迫切需要在跨境數據流動的規制上達成全球性的共識。

四、跨境數據流動規制的我國路徑選擇

當前世界各國紛紛在國內國際針對跨境數據流動進行立法，并通過實踐形成各具特色并較為成熟的治理規則。近年來，我國也在跨境數據流動治理領域不斷通過立法進行完善，2021年8月20日通過的《個人信息保護法》也不斷彰顯我國在數字貿易領域改革完善的決心。然而，信息技術的不斷革新給數據和隱私安全帶來前所未有的挑戰。同時，各國對跨境數據流動的治理既有規則也有一定的缺陷和不足，在國際合作機制方面相對滯后。在此背景下，我國既要認清國內和國際形勢，對完善跨境數據流動治理模式精準預判，又需要制定出相應的對策及時應對跨境數據流動所面臨的挑戰，從而推動我國數字經濟朝著更高水平邁進，以滿足建設“數字經濟強國”的戰略目標。

(一)當前面臨的挑戰

首先，立法較為分散，缺乏體系性。我國現有的個人信息保護僅通過統籌性法律如《網絡安全法》《數據安全法》和最新通過的《個人信息保護法》和行業規定進行規制，缺乏一定的合規性體系建設。部分法律對于跨境數據流動規制基本上是原則性規定，這種分散化、抽象的立法模式難以對跨境數據流動的快速發展提供具體的法律依據，仍需在新一輪數據保護監管浪潮下完善合規性的應對措施。

其次，監管方式和數據保護分類形式較為單一。當前對于跨境信息數據的監管由政府部門進行全面審批，盡管推動了政府對數據安全的有效治理，保障了跨境傳輸中的數據安全問題，但也在一定程度上弱化了企業的監管職責，加大了政府治理成本，從而抑制了市場的運行效率。

再次，數據保護意識尚未形成廣泛共識。雖然我國近年來積極加強數據安全領域的監管和治理，但各類違規收集、違法濫用數據的現象仍屢見不鮮。在跨境的數據流動過程中，必然會牽扯到不同的權利主體，同時在跨境傳輸信息的過程中對不同監管主體、不同法律管轄間的權利屬性未達成一致共識。數據保護理念較為滯后，尚無法有效對跨境數據流動提供合法合理的預期。

最后，跨境數據治理的統一國際規制缺失。當前全球對跨境數據流動的保護和規則體系呈高度分散的態勢，且世界各國的數據理念、利益訴求和規制方法各不相同，難以達成共識。隨著經濟全球化和信息通信技術的深度耦合，未來數字貿易發展也將更快。因此，推動構建全球統一的數字貿易治理框架，既是國際社會的關注重點，也是我國今后的主要研究方向。

(二)未來路徑選擇

1.對跨境數據流動規制的總體考量

我國是以保障國家數據安全為前提的“主權保護”規制模式，盡管與美國的“貿易自由”和歐盟的“人權保護”的規模模式有所不同，但在本質上并不存在完全的沖突。當前各國之所以就跨境數據流動規制無法達成共識，主要原因還在于各國間利益需求不同。我國作為數字經濟大國，如何在貿易增長和數據安全中實現動態平衡，將直接關系到我國對未來掌控數據規制的話語主導權，同時也考驗著大國的擔當。面對部分發達國家對我國跨境數據流動的限制和本地化要求，我們不宜回避，而是應借助談判推動構建符合世界大多數國家利益的數據跨境流動規則。我國基于互利共贏的指導思想，對于跨境數據流動的法律規制不應只堅持“主權保護”原則，還應兼顧“貿易自由”及“人權導向”兩大原則，同時結合各國間的提案建議以及我國實際情況進行綜合考量，積極推動全球規則談判。對于數據自由流動和本地化等問題，在保障國家信息安全的基本立場下，推動構建符合全球數字經濟發展需要及滿足我國實現網絡強國戰略目標的跨境數據流動規則體系。

2.在國際規制路徑上加強雙邊、區域、多邊層面的跨境合作

實際上，對于數字貿易問題，多邊談判并不是最佳選擇，自由貿易協定往往能走得比多邊談判更遠，這在WTO等多邊談判組織中幾乎很難做到。但這不意味著數字貿易規則要拋棄多邊談判，正是因為我們需要建立一個行之有效的多邊數字貿易規則，所以對于一些較為急迫、短期內難以達成一致意見的議題，要通過雙邊、區域間貿易協定或自由貿易協定去解決，并將可行的規則逐步推廣到多邊貿易體系規則當中。

鑒于多邊貿易規則對國際貿易自由化具有無可撼動的作用，決不能輕易放棄數字貿易的多邊談判。因此，對于當前數字貿易規則現狀，我們應一一完善，將雙邊貿易協定和區域貿易協定中有效的解決方式吸收到多邊談判中來。區域貿易協定還可以為多邊貿易談判和規則的建立提供基礎和經驗，同時還會逐步加深發展中國家同發達國間的聯系，提升發展中國家參與數字經貿規則制定的積極性，這顯然對于國際貿易自由化及國際貿易的宏觀調控來說是最好的選擇。以中國加入RCEP來看，可以視為中國通過區域協定來積極提升國家貿易開放程度和貿易水平，這是促進貿易自由化的良性循環的重要舉措，直至達成全面的多邊數字貿易規則，建立以規則為基礎的多邊貿易體制為終極目標。

3.加強各國政府間對話合作，建立數據跨境流動的互信機制

一方面，我國應在已有的政府間經濟對話機制中進行協商，逐步與國際社會各方建立跨境數據流動的國際合作與互助機制。針對跨境數據流動中容易出現的個人隱私或財產利益受損等問題，建立共同執法機制與司法互助機制，在調查取證上給予相互協助。同時，通過舉辦世界互聯網大會，與有關國家舉辦國際型有影響力的跨境數據流動論壇等方式，拓展網絡對話合作交流平臺。針對全球性的網絡安全威脅，積極開展國際的跨境數據流動監管機制，適當時建立主席聯席會制度，通過加強對話交流，展開健康有序的國際跨境數據交流與合作。

另一方面，在與世界各國加強交流合作的基礎上，逐步打造聯合監管體系，推動建立數據跨境流動的互信機制。我國應進一步加強與歐美等國際數據強國間的協作，以此避免部分國家對我國數字貿易的不正當限制。在談判中應明確維護國家安全的基本立場，對于例如美國實施“長臂管轄”等不正當性措施予以堅決抵制，并制定相應的反制手段。最終目的不是為了大國間的政治博弈，而是為推動全球跨境數據自由流動提供對等的政策環境，以此為基礎在各國達成互認互信的政策下，推動數字經濟朝著穩定有序的方向發展。

4.在國內立法層面完善數據保護與跨境流動法律制度體系

我國在2021年8月20日通過的《個人信息保護法》，與《網絡安全法》和《數據安全法》共同構成了我國網絡安全與數據合規治理的基礎性法律體系，具有十分重要的意義。其中《個人信息保護法》的一大亮點在于設立“個人信息跨境提供標準合同”規則，在該法草案期間僅要求信息雙方簽訂合同，并沒有對具體條款進行詳細規定。而在正式頒布的文件中進一步明確要求信息雙方應當“按照國家網信部門制定的標準合同與境外接收方訂立合同”，以此為個人信息跨境提供了標準的法律規范，體現了對信息跨境傳輸從嚴監管的趨勢。當前雖然在《個人信息保護法》中對“個人信息跨境”設置了專章規定，初步建立了跨境數據流動規制體系，但未來仍需以具體細致的實施細則進行補充完善。我們也不能忽視當前跨境數據流動具有原則性規定多、法律位階低、多分散于其他行業性規章的法律現狀，仍對跨境數據流動缺乏體系性的規制手段。《個人信息保護法》雖是中國立法的重要進展與成果，但仍需要建立一套統一的工作協調與統籌機制，在未來立法過程中遵循促進信息流動全面合規的基礎上，逐步形成一體化的跨境數據管理制度體系。

5.以法益衡量為手段，建立分級分類分區域的跨境數據流動監管制度

第一，對于涉及個人數據的跨境審核，建議以市場機制為主導，遵循政府監督與企業自律相結合的方式進行監管。可以先以我國最新出臺的《個人信息保護法》中關于跨境數據流動規制的法律為依據，針對不同數據類型，可以具體對一般個人數據和敏感個人數據。同時需要注意到，跨境數據流動的安全評估工作涉及諸多領域，對于評估機構的資格認定、評估標準、管理管控等規則很難依托企業或個人完成。因此，應確保評估標準的一致性與穩定性。同時，對于個人數據的出境，政府最好能貫徹落實《個人信息保護法》中對跨境數據流動標準合同范式的數據跨境流動協議范本，嚴格管控個人數據的出境風險。

第二，對于涉及商業數據的跨境審核，我們需要認識到商業數據的重要性。商業數據不僅反映企業的生產運營情況，揭示產業未來發展趨勢，同時對于以國家和公共利益為主的商業數據可能會危害國家主體安全、誘發國際不正當競爭。因此，對于商業數據跨境傳輸，主體應當設置一定的自查義務，必要時還應取得相關資質部門的審批同意方可傳輸。

第三，對于涉及國家安全數據的跨境審核，應設立寬嚴相濟的數據分級監管模式，以數據的敏感程度以及數據離境后的潛在風險為劃分標準，制定與之相對應的數據跨境規則，實現梯度性監管。一方面，積極借鑒部分發達國家的分類經驗，確定限制數據的內涵及范圍，依據涉及的不同行業領域制定不同的分類標準，根據涉及國家安全數據的影響程度劃分不同數據出境風險等級。同時對于出境數據進行實時實地追蹤審核，依據涉及國家安全出境數據的潛在風險程度，對于完全限制出境、準限制出境、審批后出境、出境后備案等不同情形采取不同的監管模式。

第四，我們需要強調，對于數據跨境流動監管的出發點不是限制，而是規范。我國可以分區域分企業實施試點先行政策。可以考慮在海南自由貿易港等區域先行先試，借助區內制度優勢，以專項試點的方式推動形成全行業數據保護及流動規范，以探索建立數據自由貿易港為發展目標實現監管模式的革新。

6.強化數字貿易下數據安全管理和技術能力建設

保障數據安全是各國在跨境數據流動中的基本原則。只有在數據安全的前提下，才能發揮數據流動對推進數字經濟發展的正向引導作用，促進全球數據的共享和利用。因此，在數據安全管理方面，企業作為數據流動的控制者，應當在跨境數據活動中承擔相應的安全義務。當前企業間尚未建立起具體的跨境數據流動保護制度，對于數據安全管理的自律意識也較為薄弱。

一方面，我國可以借鑒部分發達國家間建立的行業性數據保護自律機制，鼓勵企業加強同國內法監管機構的合作對接，通過在企業內部設置數據安全管理人員，實現安全性管理。

另一方面，政府應當加大數據跨境安全監察力度，通過政策支持鼓勵企業積極參與數據安全管理國際標準的制定，讓國家監督，讓市場補充。在數據技術管理方面，嚴厲打擊數據的非法出境行為，通過技術手段預防、限制和制止相關違法行為。強化數據安全技術安排，通過嚴厲的技術保障措施來維護數據流動安全平穩進行。積極吸收借鑒發達國家先進技術成果，可以采用信息加密或信息脫敏等方式從源頭上做好安全信息保護工作。同時，積極建立跨境數據流動的黑名單制度，將故意竊取我國核心數據、危害國家安全等違規行為的數據控制者納入黑名單，提高執法效果，切實保障我國在數字貿易下的跨境信息流動的安全與穩定。

五、結語

當前正值數字貿易規則建立的關鍵時期，我國在數字貿易中扮演的角色和地位，也將決定著未來我國在全球經貿秩序及經貿格局中的位置。我國作為負責任的大國，應當勇于承擔起責任，發揮自身優勢，充分凝聚起世界各國成員力量，發掘各成員自身的數字經濟價值，努力使自身成為溝通多邊談判的橋梁，逐漸消除數據鴻溝，在促進數字貿易自由化發展的基礎上推動全球數字貿易規則的建立。

跨境數據流動規制作為一個事關未來全球經貿戰略布局的重要議題，在面對數字議題的特殊性和復雜性時，如何兼顧不同國家數據安全發展理念與平衡跨境數據自由流動間的矛盾，構建統一的全球治理框架，這既是國際社會的關注重點，也是我國今后的主要研究方向。

一方面，在國內立法層面，在維護數據安全、兼顧數據保護和數據自由流動的平衡立場上，推動建立完善的數據保護法律體系，并以法益衡量為手段，建立分級分類分區域的跨境數據流動監管制度，強化數字貿易下數據安全管理和技術能力建設，以適應數字經濟的未來發展趨勢。

另一方面，在國際規制路徑上，鑒于當前數字貿易多邊談判進展緩慢，短期內各國無法形成統一協調的治理框架，我國可以先將跨境數據流動規制政策深度嵌入到雙邊、區域貿易協定當中，再將區域協定中可行的模式推廣到全球規則談判中，努力提升我國在跨境數據流動規制中的國際影響力和話語權。