數據跨境流動監管協調的中國路徑

陳 思，馬其家

（對外經濟貿易大學法學院，北京市 100029）

目前，全球對于數據跨境流動并沒有統一的監管規則，加之各國所追求的目標不一致，導致各國數據跨境流動監管規則存在較大差異。例如，美國作為數字產業強國，追求數據的經濟價值，推崇數據自由跨境流動①；歐盟提倡保護個人數據權利，堅持以數據權利保護為基礎的數據跨境流動②；中國主張數據跨境流動應以國家數據安全為前提③。各國數據跨境流動監管中價值取向的差異直接導致全球數據跨境流動監管規則支離破碎、無法統一，也導致國際層面的監管協調成為難題。

現階段國內學者對數據跨境流動監管的研究主要體現在三方面④。一是數據跨境流動域外監管規則分析。自雷登伯格（Reidenberg J R）[1]首次提出數據跨境流動監管的美歐二元對立模式后，國內學者圍繞美歐的立法模式、監管規則展開了對數據跨境流動監管的比較研究。單文華等[2]分析了美歐數據監管理念、數據監管法律體系、數據監管實施體系的差異，介紹了美歐在數據跨境流動監管領域的立法、實踐及其對中國的借鑒意義。譚觀福[3]總結了美歐在數據跨境流動監管方面的分歧，重點比較分析了新近自由貿易協定中數據跨境流動的監管模式，提出了中國數據跨境流動監管制度的完善建議。此外，還有學者對日本、印度和俄羅斯等國家更廣范圍的數據跨境流動監管規則進行了比較分析。二是數據跨境流動監管國內規則的制度設計。馬其家等[4]綜合考量了中國數字貿易產業的發展狀況、國內現有的監管規則以及中國參與國際數據監管合作的具體實踐，主張中國應完善數據出境安全審核制度。趙精武[5]從歐盟制定標準化合同的規制模式和規制邏輯出發，提出中國應為數據跨境流動提供相應的標準化合同，指引數據處理者締結合理、恰當的數據跨境流動合同。三是中國數據跨境流動監管規則的域外效力，以及如何在數據跨境流動中爭奪話語權等。葉開儒[6]從歐盟內部視角對數據跨境流動領域長臂管轄制度進行了分析，提出中國應當改變數據監管防御策略，主動利用本國數據優勢爭奪國際話語權，積極構建數據跨境流動的域外監管規則。邵懌[7]解構了網絡數據長臂管轄權問題，探討了數據跨境流動領域長臂管轄權行使的“全球共管”模式，提出中國應統籌研判數據跨境流動監管的內在邏輯和外在規范，充分銜接國內監管規則與國際監管規則，明確數據跨境流動監管規則的域外適用效力。

可見，現有研究主要集中在通過對域外數據跨境流動監管經驗的比較分析反哺中國數據跨境流動監管實踐和國內具體監管制度的構建上，但對數據跨境流動監管協調的關注度不足，尤其缺乏對數據跨境流動國際監管協調機制的研究。因此，本文擬在分析數據跨境流動監管協調美歐實踐的基礎上，探討中國數據跨境流動監管協調的基本立場，構建中國數據跨境流動監管協調的策略路徑。

一、中國數據跨境流動監管協調中存在的問題

為規范數據跨境流動，推動數字經濟發展，中國先后頒布了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）和《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），基本建立了國內數據跨境流動監管框架。在國際層面，作為全球數據治理體系中最重要的利益相關者之一，中國越來越重視參與數字貿易協定的談判，開始關注與其他國家或地區之間的數據跨境流動監管協調。2020年11月中國參與談判并正式簽署《區域全面經濟伙伴關系協定》（Region?al Comprehensive Economic Partnership，RCEP）。2021年9月中國正式提出申請加入《全面與進步跨太平洋伙伴關系協定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP），同年11月中國又正式提出申請加入《數字經濟伙伴關系協定》（Digital Economy Partnership Agreement，DEPA）。此外，中國也在積極參與新一輪世界貿易組織（World Trade Organization，WTO）電子商務諸邊談判。雖然中國近期對外締結的自由貿易協定都涉及數據跨境流動規則條款，但相較于美歐在數據跨境流動中的監管協調中國還存在一些不足。

（一）數據跨境流動國內監管規則存在著適配性障礙

近年來，中國高度重視數據跨境流動的發展，但現有的數據跨境流動國內監管制度適恰性和協調性不足。一方面，數據跨境流動國內監管體系不完善，數據跨境流動監管能力和保護水平不足，國家層面缺乏統籌協調的監管機構。較強的監管能力和高水平的數據保護是數據安全跨境流動監管的基礎，統籌協調的監管機構能提高中國參與數據跨境流動國際監管協調的效率。如果在數據跨境流動國內監管體系不完善時貿然加入鼓勵數據自由跨境流動的高度開放的數字貿易協定，極易引發數據安全風險。[8]另一方面，中國國內法規之間存在數據跨境流動監管規則不協調的問題。數據跨境流動的國內監管規則是中國參與國際監管協調的基礎，國內監管規則之間不一致必然影響中國參與數據跨境流動國際監管協調的進程?！稊祿踩ā泛汀秱€人信息保護法》實施后，中國數據跨境流動監管規則和框架基本形成，但原有法規中的數據相關規定并未及時修訂，造成了數據跨境流動領域國內法律法規之間的分歧。如2021年實施的《數據安全法》第三十一條允許符合安全評估標準的數據出境，但此前2014年實施的《人口健康信息管理辦法（試行）》并沒有進行修訂，第十條仍明確禁止人口健康信息流出。

（二）中國參與數據跨境流動監管協調的方式單一

目前中國參與數據跨境流動監管協調的主要方式是加入自由貿易協定、加入國際數據管理協會和與域外國家或地區就數據跨境流動簽署協調監管的諒解備忘錄。但是，在中國對外簽署的19個自由貿易協定中，除RCEP 外，其他很少涉及數據跨境流動規則條款。國際數據管理協會是非營利性機構，目標是在世界范圍內推廣數據領域相關指南和最佳實踐，并沒有監管效力。備忘錄也不是監管協調的終點和全部，僅僅意味著國家或區域間完成了數據跨境流動監管規則框架的搭建，還需要繼續磋商制定相應的配套制度，將備忘錄落實到常規監管中。可見，中國參與數據跨境流動監管協調時，不僅協調方式較為單一，在層次和深度上的挖掘與探索也存在不足。此外，中國參與數據跨境流動國際監管協調的頻率較低，監管協調的有效性有限，不能滿足數字經濟時代數據跨境流動發展變化的監管需求。

（三）中國在數據跨境流動監管協調中的話語權較弱

中國在參與數據跨境流動國際監管協調的實踐中話語權不足，難以產生國際影響力。從內部因素來看，一方面，中國對數據跨境流動國際規則制定的參與較少。中國雖然順應了數據跨境流動監管規則的國際發展趨勢，參與了一些規制數據跨境流動的協定，但參與數量有限，尚不能建立起制度優勢。另一方面，數據跨境流動的國內監管體系和中國已參與的國際協定未達到高水平的國際監管標準。例如，RCEP作為中國參與的首個對數據跨境流動進行專門規定的協定，對數據跨境流動的規制水平有了一定的提升，但RCEP中對數據跨境流動監管的規則要求仍低于CPTPP等其他數字貿易協定。相比于其他發達國家，中國在數據跨境流動監管規則的參與數量和參與程度上都相對遜色，在國際監管協調中的實質競爭力較弱。從外部因素來看，發達國家利用其在傳統國際經貿規則中的競爭優勢，通過制定高水平的數字貿易協定在數據跨境流動監管領域取得了主導權。由于加入這些數字貿易協定時需要付出高昂的規則成本，中國等發展中國家在數字貿易協定數據跨境流動監管規則中的話語權被嚴重削弱。[9]

當下中國數據跨境流動監管的國際協調能力不足，尚未形成完善的監管協調，缺乏全方位、多層次的參與溝通渠道。數據跨境流動監管協調中存在的問題不僅會威脅中國數據安全、阻礙中國數據戰略的實施，也會掣肘中國數字經濟的發展。

二、數據跨境流動監管協調的國際實踐

目前，國際層面沒有一個多邊的國際協定能夠協調監管數據跨境流動，世界各國都在積極尋找數據跨境流動領域新的監管協調方式，以美國和歐盟的數據跨境流動監管協調方式為國際主流。

（一）數據跨境流動監管協調的美國實踐

美國掌握著傳統國際貿易規則的制定權，又憑借數字技術的創新優勢，在數字貿易協定的規則制定和協商過程中占據主導地位，推動達成了一系列數字貿易規則成果，在數據跨境流動領域建立了競爭優勢，成為全球數據跨境流動的主導者和最大受益者。

美國在WTO 電子商務諸邊談判進程中，就數據跨境流動監管問題提出了意見。美國主張對數據跨境流動實行寬松的監管政策，鼓勵數據自由跨境流動。[10]但WTO 議題談判進展緩慢，無法適應數據跨境流動的發展速度，在WTO 框架下開展數據跨境流動監管協調步履維艱。為尋求數據跨境流動監管協調的新方式，美國通過制定自由貿易協定向貿易伙伴輸出美國數據跨境流動監管規則，實現以美國數據監管規則為主導的數據跨境流動監管協調。2018年美國簽署《美國-墨西哥-加拿大協定》（United States-Mexico-Canada Agree?ment，USMCA），進一步推動數據自由跨境流動，同時要求締約方建立國內數據監管框架，鼓勵締約方之間加強數據跨境流動監管協調。[11]2022年4月，美國商務部發布《全球跨境隱私規則聲明》，旨在建立全球跨境隱私規則（Cross-Border Privacy Rules，CBPR）論壇，彌合數據監管規則的差異，強化美國在數據跨境流動領域話語權，鞏固美國數據跨境流動監管協調的主導權。

美國貿易代表曾表示，美國未來將在數據跨境流動領域與有相似監管理念和監管協調意愿的國家或地區合作。[12]可見，對于數據跨境流動監管協調，美國提倡所謂的“少邊主義國際化方案”，認為在數據跨境流動監管中實現多邊主義協商一致的成本太高，擁有更多數據資源、有能力控制數據跨境流動風險的少數國家可以先展開小規模的國際監管協調，在國際社會中組建以美國為中心的小型“數據跨境流動監管圈”，為國際社會制定數據跨境流動監管標準，然后再利用該“數據跨境流動監管圈”的影響力，吸引其他國家加入，或將監管標準推行到其他國家境內，使小范圍的監管共識轉變為大范圍的全球共識。

（二）數據跨境流動監管協調的歐盟實踐

歐盟主要依賴充分性保護認定協議開展數據跨境流動監管協調。充分性保護認定本質上是歐盟對與其進行數據往來國家的數據保護體系和數據保護水平的評估，其初衷是希望歐盟公民的個人數據在流出歐盟區域后仍然能夠得到持續的高水平保護。目前，充分性保護認定協議已經逐漸發展為歐盟發展數字經濟和爭奪數據跨境流動領域國際話語權的重要支撐點。[13]

2019年歐盟與日本就數據跨境流動問題達成了充分性保護認定協議，這不僅是《通用數據保護條例》（General Data Protection Regulation，GDPR）生效以來歐盟簽署的第一份充分性保護認定協議，也是歐盟與非歐盟國家之間簽署的第一份充分性保護認定協議，在數據跨境流動監管協調方面具有一定的開創性意義。截至2022年2月底，全球范圍內歐盟已與14個國家⑤達成充分性保護認定協議，意味著這14 個國家將參照歐盟的數據跨境流動監管標準與歐盟進行協調監管。歐盟與其他國家之間達成的充分性保護認定協議代表了數據跨境流動監管協調的一種新模式，這種監管協調在協議雙方之間達成了統一的數據跨境流動監管標準，使監管規則從差異化逐漸走向趨同。越來越多的數據保護標準已經向歐盟靠近，歐盟利用充分性保護認定協議這種“單邊主義行為”參與并主導數據跨境流動監管協調的范圍正在不斷擴大。

（三）美歐之間就數據跨境流動監管協調做出的努力

美國和歐盟數據跨境流動監管的價值取向有著明顯差異，雙方的監管協調存在著難以彌合的鴻溝。為消除雙方之間的制度障礙，美國和歐盟在數據跨境流動監管協調方面做出了較大努力。

2000年的《安全港協議》（Safe Harbor）是美歐在數據跨境流動領域首次進行的監管協調，為美歐數據跨境流動提供了法律依據，在一定程度上調和了美歐數據跨境流動監管規則的差異?！袄忡R門”事件發生后，歐盟宣布《安全港協議》無效。為替代《安全港協議》，美歐開始積極尋找數據跨境流動領域的新妥協辦法，并于2016年簽訂了《隱私盾協議》（Privacy Shield）?！峨[私盾協議》既為美歐數據跨境流動提供了安全保護，也為美歐數據跨境流動監管協調提供了新可能。[14]但是，2020年7月16日歐洲法院（European Court of Justice）在Sch?rems II案件判決中認定《隱私盾協議》無效，美歐之間的數據跨境流動再次陷入困境。2021年6月4日，歐盟公布了《將個人數據從歐盟傳輸到第三國的新標準合同條款》（New Standard Contractual Clauses for the Transfer of Personal Data from the EU to Third Countries，新版SCCs）。[15]新版SCCs吸收了歐盟GDPR中數據跨境流動的核心規則，將其嵌入數據跨境流動監管的全過程，提升了數據跨境流動監管協調的效率，成為保障數據安全跨境流動的重要依據。[16]但美歐之間數據跨境流動監管協調的合法性基礎仍然存在不確定性，為填補美歐數據跨境流動監管協調的空白，2022年3月25日，美國和歐盟就數據跨境流動問題達成原則性協議，承諾將促進美歐之間的數據跨境流動，打破美歐在數據跨境流動領域的對立格局，建立全新的跨大西洋數據跨境流動監管協調方式。

在不同價值取向的驅使下，國家對數據跨境流動監管協調的方式必然呈現差異化和多元化特點，但這并不意味著監管協調方式存在優劣之分。[17]美國和歐盟的監管協調方式消除了監管規則差異導致的數據跨境流動壁壘，在一定程度上實現了數據跨境流動的監管協調，為中國提供了協調監管的參考范式。但是，現階段中國還不具備美國和歐盟的數據治理水平與數據監管文化，無法單純效仿或移植美歐數據跨境流動監管規則和監管協調經驗。

三、中國數據跨境流動監管協調應采取的基本立場

中國已基本確立了數據跨境流動監管理念，建立了數據跨境流動監管框架，中國對于數據跨境流動的監管協調亦應當秉持一定的基本立場。

（一）尊重各國數據主權

數據主權是國家主權在數據領域的表現形式，是各國對數據主張本國權利的主要理據，是影響數字地緣政治競爭的重要因素。[18]目前，數據的跨境流動以發展中國家向發達國家流入為主，這種流動的不均衡使得發達國家在數據跨境流動領域占據了絕對優勢地位，攫取了更多的數據資源。[19]例如美國利用在數據跨境流動中的主導地位，實施數據長臂管轄政策，以獲得對更多數據的控制權。這不但侵犯了他國的數據主權，而且在一定程度上打擊了各國參與數據跨境流動監管協調的積極性。

尊重各國數據主權，歸根結底是在數據跨境流動監管協調中平衡各國的利益訴求，實際上就是平衡發達國家與發展中國家之間的利益訴求。[20]雖然發展中國家與發達國家對于數據跨境流動監管的政策不同、維護數據主權的理念不同，但在數字全球化時代，發展中國家很難脫離發達國家的數據實現數據經濟的高質量發展，發達國家也無法忽視中國等發展中國家的數據。因此，在數據跨境流動監管協調中，各國的數據主權需要多邊合作共同維護。[21]中國應當保持自我克制，以尊重各國數據主權為底線，以安全、自由的數據跨境流動為導向，處理好國內數據監管與國際數據治理的互動關系。

（二）鼓勵正當可控的數據跨境流動

數據的價值在于流動，數據保持生命力的方式就是流動。數據自由跨境流動確實更能促進數字貿易發展，但數據跨境流動并不只具有促進貿易發展的經濟價值，各國還會考慮數據安全、數據主權和個人隱私保護等因素，對數據跨境流動進行必要規制。

跨境數據的正當性和風險的可控性是數據跨境流動監管協調的必要前提?！罢敗焙汀翱煽亍狈謩e對應跨境數據的“自身安全”和“利用安全”?？缇硵祿陨戆踩菙祿旧沓休d的信息完整和可靠；跨境數據利用安全是強調防范和避免由于數據大量頻繁跨境流動而引發的安全風險。[22]鼓勵正當的、可控的數據跨境流動實質上就是保障跨境數據安全，跨境數據安全是數據跨境流動監管的應有之義，也是破解監管協調中“數據治理赤字”和“數據信任赤字”的重要法寶。

中國《數據安全法》提出，在數據跨境流動領域堅持數據安全跨境流動原則與數據自由跨境流動原則，以國家數據安全和數據開放并舉為雙重目標，[23]確保數據安全和促進數據流動是中國數據跨境流動監管的核心目標。因此，在數據跨境流動監管協調中中國有必要在立足總體國家數據安全觀、大數據驅動技術創新和數字經濟發展現實目標的同時，鼓勵正當的、可控的數據跨境流動，這既有利于促進數據的跨境流動，也有利于邁向互惠共贏的國際監管協調。

（三）倡導互惠共贏的監管協調

作為數據大國，中國應積極倡導互惠共贏的監管協調，把平等互信、合作共贏的理念貫徹到監管協調過程中，充分表達中國在數據跨境流動監管協調中的善意。

首先，平等互信是互惠共贏的監管協調的基礎。數據跨境流動監管協調有效運轉的基礎在于建立公平合理的國際秩序，增強協調各方的相互信賴。無論是美國的數據自由跨境流動主義、歐盟的個人數據權利保護主義，還是日本折中的可信數據自由流動主義，出發點都是維護本國的數據特權。這種以本國利益為最終目標的立場，帶有資本主義制度下的利己性和排他性，不利于建立公平合理的數據跨境流動監管規則。中國作為負責任的發展中數據大國，應堅持在平等互信的基礎上與各國展開數據跨境流動的監管協調。在參與數據跨境流動監管協調時，中國絕不會憑借自身的數據優勢打破數據跨境流動的國際秩序，更不會依靠自身的經濟地位侵犯其他國家尤其是不發達國家的數字經濟利益。

其次，合作共贏是互惠共贏的監管協調的目標。中國應積極參與國際社會關于數據跨境流動監管規則的探討和磋商，構建國家間多類型、多線條的溝通模式。同時，積極尋求與各國政府和國際組織等重要貿易伙伴通過雙邊、多邊協議建立數據跨境流動的監管協調機制，共同推進數據跨境流動治理進程，攜手打造網絡空間命運共同體，最終實現數據跨境流動的協調監管與合作共贏。[24]

四、中國數據跨境流動監管協調的策略路徑

目前，以美歐為主導的數據跨境流動監管協調方式代表了發達國家的利益，不符合發展中國家的現實需求。作為數字經濟強國和數據跨境流動大國，中國應充分展現大國擔當，為數據跨境流動監管協調提供中國方案。

（一）數據跨境流動國內監管規則的調整策略

數據跨境流動國內監管規則的調整直接決定著中國能否順利參與國際數據監管，以及能否有效地在國際監管規則博弈中占據有利地位。因此，中國應調整國內數據跨境流動監管規則以適應國際監管規則，使數據跨境流動走上正當可控的發展軌道，增強中國數據跨境流動監管規則的國際影響力。

1.建立統籌協調的數據跨境流動監管機構

數據跨境流動監管立足于國內數據監管規則，即先對數據跨境流動進行有效的國內監管。因此，中國應在國家層面建立統籌協調數據跨境流動的監管機構。如歐盟、日本等數據大國都成立了專門的跨境數據監管機構。歐盟設立的數據保護委員會統一負責數據監管工作，統籌協調歐盟成員國各監管機構之間的差異；日本設立的個人信息保護委員會作為統一的監管機構，對個人數據進行有效監管，同時提高個人數據流動效率。⑥

目前，中國對數據跨境流動的監管主要呈現出各級政府和涉及數據跨境流動行業主管部門的“多頭監管”格局，雖然涉及數據跨境流動的各行業主管部門擁有規則制定權和數據監管權，但缺失國家層面對跨境數據的統籌協調監管，無法明確跨境數據的監管責任歸屬和完善數據跨境流動監管的內部協調制度。中國應建立統一協調的數據跨境流動監管機構，一方面，由國家跨境數據監管機構統一協調行使跨境數據的審核權和確認權，以避免國內不同部門、不同行業、不同地區因數據跨境流動的規則標準不同而出現監管競爭的情況；另一方面由國家跨境數據監管機構根據《數據出境安全評估辦法》統一對跨境數據進行事前評估和持續監督。

2.完善跨境數據安全監管機制

為解決數據安全問題，不僅要在技術上給數據提供安全保護，也要在社會、政策、經濟和個人領域保護數據的綜合安全。中國應立足總體國家安全觀保障數據安全，建立跨境數據安全監管機制。[25]

首先，完善跨境數據分類審核制度。數據分類審核制度具有數據安全風險識別功能，是跨境數據安全監管的基本前提，也是在數據跨境流動中確保數據安全、維護數據主權的重點和難點。[26]完善跨境數據分類審核制度的先決條件是合理界定重要數據，劃清其內涵和外延。國家市場監督管理總局和國家標準化管理委員會聯合發布的《信息安全技術重要數據識別指南（征求意見稿）》明晰了重要數據的核心概念。⑦中國在后續完善重要數據的相關立法時，應明確重要數據的識別標準，將重要數據的識別標準聚焦在安全影響方面，從定性和定量兩方面綜合考量數據安全風險，以便合理地根據跨境數據的重要程度適用國內監管規則。

其次，推動跨境數據安全評估制度落地。明確數據出入境風險評估規則，開展跨境數據規制措施的必要性評估，切實牢固跨境數據安全屏障，保證跨境數據符合“合法公共政策目標”的基本要求。目前，美國和歐盟均已在數據跨境流動領域建立了數據規制措施的必要性評估制度，包括監管影響評估（Regulatory Impact Assessment，RIA）和數據保護影響評估（Data Protection Impact Assessment，DPIA）。CPTPP、USMCA、《日本-歐盟經濟伙伴關系協定》（Japan-EU Economic Partnership Agree?ment，EPA）等重要的數字貿易協定均鼓勵各締約方進行必要性評估。[27]為盡快適應國際貿易協定的評估要求，中國對數據出境和入境要進行必要性評估，發布數據跨境流動必要性評估意見或指南，以嚴格的評估條件和詳盡的評估內容提高數據出入境監管規則的要求，這既可以調整中國數據跨境流動監管規則，也有利于實現中國與國際監管標準的銜接。

最后，完善跨境數據安全風險協同防控制度。由于數據安全風險來源的專業性和影響的普遍性，跨境數據安全風險的治理不僅需要數據安全治理不同部門協同監管，還需要企業和社會組織協同防控，并應鼓勵建立公民個人對數據安全的自治機制。只有多元主體有效參與協同防控，才能做好大數據時代跨境數據安全風險防控工作。

（二）中國數據跨境流動監管協調的參與策略

近年來，國際社會對中國參與數據跨境流動國際監管協調的期望值不斷攀升，中國也有意愿和能力積極參與數據跨境流動國際監管協調，參與全球數據跨境流動監管協調已經成為中國的重要議題。

1.豐富參與監管協調的方式

中國應積極尋求數據跨境流動監管協調的突破口，豐富參與監管協調的方式。要實現數據跨境流動監管的國際協調，必須在參與國之間就數據跨境流動監管問題達成共識。中國應成為推動數據跨境流動國際監管協調的重要參與者，與各個國家、地區和國際組織合作，推動關于數據跨境流動的雙邊、多邊協議的簽署和國際規則的制定。中國應以維護數據安全為出發點，以尊重各國數據主權為著力點，以推動“一帶一路”倡議實施、簽署RCEP、申請加入CPTPP 和DEPA 為突破點，消除中國數據跨境流動壁壘，充分利用WTO的多邊談判機會，與多個國家建立數據跨境流動自貿區。一方面，推行中國的數據跨境流動監管規則和監管標準，積極探索如何更好地參與并促進數據跨境流動的國際監管協調；另一方面，努力與重要貿易伙伴就數據跨境流動簽署雙邊和多邊協定，深度參與、共同推動數據跨境流動的國際監管協調。[28]

2.提升參與監管協調的靈活性

中國是數據產業的先發國家，也是全球數據資源大國，國內數字經濟的快速發展為中國參與數據跨境流動國際監管協調提供了重要的基礎保障。中國應發揮數據產業優勢，提升參與數據跨境流動監管協調的靈活性。

在與不同國家進行數據跨境流動監管時，中國應充分利用在數字經濟和數據產業中不同的優勢地位，[29]根據不同情況靈活選擇、參與、主張最有利于中國利益的數據跨境流動監管規則的國際監管協調，科學把握監管協調的力度和節奏。例如，在與美國進行數據跨境流動監管協調時，無論是在數據產業還是監管規則方面中國都處于下風，中國應堅持維護數據安全這一底線，避免在參與監管協調時損害本國利益。在與歐盟進行數據跨境流動監管協調時，由于歐盟對數據跨境流動監管規則的要求比較嚴格，中國應爭取降低參與協調的規則成本。而在與“一帶一路”沿線國家進行數據跨境流動監管協調時，由于“一帶一路”沿線國家普遍存在數據跨境流動監管規則不完善的情形，中國可以借助本國數據產業和數字經濟發展優勢，主導數據跨境流動監管規則的建立，形成以中國為核心的監管協調圈。

（三）中國數據跨境流動監管協調的構建策略

數據跨境流動監管協調的根本目的在于通過國際協調機制滿足對跨境數據多元化的規制需求，[30]中國需要積極尋求數據跨境流動監管協調的新途徑，力爭成為數據跨境流動監管協調的國際領跑者。

1.監管協調要以《全球數據安全倡議》為中心

中國應憑借長期以來在數字經濟方面積累的技術優勢，發揮數據大國的主觀能動性，開展以《全球數據安全倡議》為中心的監管協調。目前，全球數據跨境流動監管規則仍是各國政府及國際層面探討并重點關注的問題。中國秉持尊重各國數據主權的立場，在2020年9月提出《全球數據安全倡議》，明確了中國在數據安全治理方面的態度，既為全球數據安全治理提供解決方案，也為全球數據跨境流動監管提供安全的環境基礎。

《全球數據安全倡議》為數據跨境流動監管協調貢獻了中國方案，東盟各國和歐盟成員國都表示希望與中國進行數據跨境流動和監管協調，并進一步與中國打造數據跨境流動監管協調伙伴關系。阿拉伯國家集體支持《全球數據安全倡議》，于2021年3月簽署并發表了《中阿數據安全合作倡議》，在個人信息保護、重要數據保護、數據跨境安全執法等方面與中國達成了監管規則的合意，這是中國開展以《全球數據安全倡議》為中心的數據跨境流動監管協調的一次全新嘗試。

此外，中國還應加強與美國、歐盟等數據大國，以及“一帶一路”沿線國家和區域組織的交流與合作，積極發展并輸出數據跨境流動監管規則和監管標準的中國方案，進一步推動各國在數據安全與治理問題上形成共識，擴大《全球數據安全倡議》簽署方及支持方數量，增強與其他國家的合作互信，為數據跨境流動監管協調打開新的窗口。以《全球數據安全倡議》和多方專家組工作成果為基礎，建議將數據安全與數據治理的國際協調問題全面納入相關國際議程，在國際層面推動數據跨境流動的監管協調。

2.建立相互認可的監管協調機制

相互認可機制指的是通過國家間的協商限制或縮小各國數據監管規則差異，形成最低限度的監管協調，是尊重數據主權在數據跨境流動監管協調實施中的體現，是各國自我限制和相互讓渡的合意。相互認可機制在數據跨境流動領域的實施，是各國數據跨境流動監管規則相互制約、相互作用的過程。它不僅融合了各國數據跨境流動監管規則，更可能實現數據跨境流動的國際監管協調。

目前，在多邊和區域性貿易協定中已經存在相互認可機制的實踐?！斗召Q易總協定》（General Agreement on Trade in Service，GATS）第七條第五款建議各締約方在承認多邊同意標準或共同國際標準的基礎上，建立相互認可機制。有貿易協定在制定數據跨境流動規則時借鑒了GATS 的此款規定，RCEP第十二章第八條第二款對個人信息保護引入了國際標準，CPTPP 第14.8 條也有類似的規定，通過設立和承認國際標準在數據跨境流動領域建立相互認可監管協調機制。

相互認可機制是各國在不尋求數據監管規則統一的情況下進行的數據跨境流動監管協調，是對監管等效國家的一種附條件豁免，是一種最低限度的監管協調。雖然相互認可機制并未真正消除各國數據跨境流動監管規則的差異，但這種監管協調可以解決數據跨境流動監管實質性協調不足的問題，使不同數據跨境流動監管規則之間相互信任、相互適應并相互促進。首先，相互認可機制為數據跨境流動的監管協調提供了可行路徑。在監管效果方面，相互認可機制有明確的監管框架和法律約束力，不要求各國對數據跨境流動監管規則進行大幅度調整，只要求對數據跨境流動國內監管規則和制度進行一定程度的相互認可，達到監管效果整體相似即可。[31]在監管成本方面，相互認可機制的實施成本更低、修訂更為簡易，降低了在數據跨境流動領域制定統一規則的成本，更容易達到監管規則的一致效果。其次，相互認可機制蘊含著數據跨境流動從雙邊、多邊走向全球化的戰略選擇，也為加快數據全球化進程提供了數據跨境流動方式上的創新。從長遠看，數據全球化的趨勢不可逆轉，但數據全球化不是一蹴而就的，而是逐步推進的，需要數據跨境流動監管規則的不斷創新，以實現國際層面監管規則的融合。最后，相互認可機制試圖從監管協調出發，逐步走向國際協調，比統一數據跨境流動國際監管規則更容易取得各國的合意與共識。[32]

3.建立行業內互認的監管協調機制

首先，應鼓勵加強行業內部的監管協調，支持行業自律組織制定數據跨境流動領域的國際行業公約，促進行業行為的國際規范和協調發展。中國的行業組織可以牽頭各國行業自律組織制定數據跨境流動的國際行業自律規則，或對現有行業自律規則進行國際協調。根據行業特點協調跨境數據監管的國際標準，或確定全球統一的數據保護原則等。

其次，可以引入第三方評估機構或認證機構參與數據跨境流動監管協調。引入中立的第三方評估機構或認證機構，可以很好地規避協調監管中一國傾向本國利益的情況。當然，對于引入的第三方評估機構或認證機構要有嚴格的控制標準，必須對相關機構進行資格認證、信用認證等，只有符合認證標準的機構方可參與數據跨境流動監管協調。

最后，各國政府可以幫助協調并推進構建數據跨境流動的行業自律制度。由于數據的高流動性和高風險性，政府幫助行業進行協調可能會調動行業自律部門的積極性，增強行業自律協調的可操作性，是數據跨境流動行業自律協調走向成熟的基本保證。雖然行業自律是一種數據主體自愿參與的數據監管協調模式，但政府的正確指引會大大增加數據監管協調的成功性。尤其是中國目前在跨境數據監管上仍處于起步階段，未來會面臨跨境數據監管的很多新問題，還需要政府給予規范和引導。需要注意的是，數據跨境流動的監管需要行業自律和政府監管的有效融合與相互激勵。我國應積極倡導行業自律，給予數據跨境流動適當的發展空間，創造有序、高效的數據跨境流動產業環境。同時以政府監管為補充，但政府監管的力度要適當，不能過多干預行業自律組織的監管協調，避免降低數據跨境流動的效率，防止產生監管不公平的現象。

4.在聯合國倡導下開展數據跨境流動的監管協調

對于數據跨境流動監管的最理想化情況是，建立一個有約束力的數據跨境流動國際監管機構，該監管機構具有協調監管和爭端解決的權力，既為數據跨境流動監管協調提供框架基礎，也在一定程度上解除數據跨境流動可能引發的安全風險。但現實中，各國在政策、法律、經濟、技術上的差異很難完全調和，無法制定國際統一的數據跨境流動監管規則和監管協調模式，更無法建立全球數據跨境流動監管機構。數據跨境流動監管協調只是國際合作的一種探索和嘗試，并不能從根本上解決各國數據跨境流動監管規則不統一的問題。作為數據跨境流動的大國，中國應承擔大國責任，奉行真正的多邊主義理念，推動國際社會進一步探討和嘗試，在聯合國的倡導與主持下，在政府專家組（Groups of Governmental Experts，GGE）和開放成員工作組（Open-Ended Working Group，OEWG）等聯合國框架內，開展數據跨境流動的監管協調。以《聯合國憲章》和國際法的基本原則為準繩，以網絡空間命運共同體為依托，逐步穩妥地構建或簽署多邊且具有可行性及約束力的聯合國數據跨境流動監管與協調法律機制或聯合國數據跨境流動監管與協調公約，以互惠共贏思維協調數據跨境流動監管。

五、結語

價值取向不同使得各國數據跨境流動監管規則存在差異，導致全球數據跨境流動監管規則呈現碎片化的狀態。目前，國際社會尚未針對這一問題建立有效的監管協調機制。本文比較分析了美國和歐盟的監管協調實踐，美國提倡的“少邊主義國際化方案”和歐盟的“單邊主義行為”都不符合發展中國家的現實需求，很容易使中國在數據跨境流動的國際監管中陷入被動局面。

良好的監管協調能夠防范數據跨境流動可能引發的國家間貿易摩擦，激發數字經濟發展活力，是各國實現數據治理利益最大化的有益路徑，也是中國作為數據大國深度參與數據跨境流動監管的必然要求。因此，中國需要堅持多邊主義理念，為構建互惠共贏的監管協調機制提供“中國方案”。首先應當完善國內監管規則，建立統籌的監管機構，完善安全監管機制。其次要更加主動地參與國際監管協調，豐富參與方式，提升參與靈活度。最后，應當積極主導構建數據跨境流動監管協調的新模式，以《全球數據安全倡議》為中心建立相互認可協調機制和行業內互認協調機制，真正發揮監管協調維護國家主權和安全、推動數字貿易高質量發展的潛能效用，增強中國在全球數據治理體系中的話語權。

注釋：

①早在1997年，美國克林頓政府就曾推出《全球電子商務框架》，倡導盡可能允許數據自由跨境流動；2011年奧巴馬政府公布《網絡空間國際戰略》，要建立數據自由跨境流動的網絡空間環境，同時推動簽署《美國-韓國自由貿易協定》《跨太平洋戰略經濟伙伴關系協定》，主張數據自由跨境流動；特朗普政府簽署的《美國-墨西哥-加拿大協定》《美日數字貿易協定》均強調數據自由跨境流動；拜登政府提出的印太經濟框架同樣延續了數據自由跨境流動理念。

②1981年《有關個人數據自動化處理中的個體保護公約》第一條建立了個人數據保護的基本原則。21世紀，個人數據保護逐漸成為歐盟成員國的價值共識，2009年生效的《歐盟基本權利憲章》第八條將保護個人數據的權利規定為公民的一項基本權利。2018年出臺的GDPR第一條明確規定自然人享有保護個人數據的權利。2020年發布的《歐洲數據戰略》簡介中也明確規定了保護個人數據權利的基本方針。

③根據2021年9月施行的《數據安全法》第一條和第十一條的規定，中國堅持在保障國家主權和安全的前提下促進數據安全、自由跨境流動。

④2017年中國施行《網絡安全法》，對于數據跨境流動監管的研究主要集中在域外監管規則的分析方面。2020年7月中國公布《中華人民共和國數據安全法（草案）》，國內學者開始重點關注數據跨境流動監管國內規則的制度設計。此外，為應對美國政府頻繁在數據領域對中國企業實施長臂管轄，中國商務部先后出臺了《不可靠實體清單規定》和《阻斷外國法律與措施不當域外適用辦法》，全國人民代表大會常務委員會通過了《中華人民共和國反外國制裁法》，學界開始探討中國數據跨境流動監管規則的域外效力，以及如何在數據跨境流動中爭奪話語權等問題。

⑤包括安道爾、阿根廷、根西島、加拿大（商業組織）、以色列、澤西島、瑞士、法羅群島、馬恩島、新西蘭、烏拉圭、日本、英國和韓國。

⑥GDPR 第六章第五十一條規定，為保護自然人在數據流動過程中的基本權利與自由，促進歐盟內部個人數據的自由流通，應建立一個或多個獨立監管機構，促進數據流動的有效監管。日本《個人信息保護法》第五十九條規定，設立個人信息保護委員會作為個人數據流動的統一監管機構。

⑦根據《信息安全技術重要數據識別指南（征求意見稿）》，重要數據是以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。重要數據不包括國家秘密和個人信息，但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。