跨境数据流动治理：框架、实践困境与启示

文 | 中国信息安全测评中心 熊菲；清华大学公共管理学院 肖玉贤

近年来，平衡“数据安全与数据流通”成为各国以及国际组织重点关注的新领域，在理论和实践中形成了各具特色的跨境数据流动治理模式，在制度传统、价值取向、法律体系等层面各具倾向。本文在明晰跨境数据流动治理内涵的基础上，从跨境数据治理逻辑出发，围绕现阶段的实践困境，探寻更为有效与平衡的中国治理方案。

一、跨境数据流动治理的内涵与框架

随着互联网技术、通信技术的发展，“与时俱进、与网俱进、与数俱进”成为数字经济发展的方向。其中，跨境数据成为经济全球化的重要驱动与载体。为确保跨境数据安全，各国相继出台法律法规与制度政策，明确跨境数据流动治理内涵。自德国黑森州在 20 世纪 70 年代设立相关规制后，一系列针对跨境数据流动治理的机制探索不断出台。

在实践探索中，跨境数据流动治理被定义为在不同层面对跨境数据流动这一行为进行有效规范并创造更大价值。这一定义侧重面向推动技术创新与优化市场服务的制度规则，明确强调了数据权利。由于全球跨境数据流动的规模扩大和复杂性加剧，跨境数据流动治理的核心也逐步演化为自由流动与安全流动的权衡过程。为最大化实现跨境数据的经济效益，同时确保国家安全与保护个人隐私，各国根据自身的利益陆续出台了各类管控跨境数据流动的战略法规，回应数据治理的现实需求。美国、欧盟等国家和地区通过国内立法及强化执法提升对跨境数据流动的管控力度。在联合国、二十国集团（G20）、亚洲太平洋经济合作组织（APEC）及世界贸易组织（WTO）改革议程中，美国等西方国家基于各自战略诉求提出跨境数据治理方案。面对跨境数据流动这一议题，需要以治理的逻辑看待，而非简单的管理或者管控。跨境数据流动自身带有的多元参与和共享共治的理念，需要在安全性与成长性中寻求平衡。在此过程中，形成了各具特色的跨境数据流动治理模式。以跨境数据流动基本概念为基础，从数据“自由与安全”的主要矛盾出发，本文提出跨境数据流动治理的框架体系（如下图所示）。

图 跨境数据流动治理框架

这一框架的提出既是基于对自由与安全之间辩证统一关系的分析，也是基于国家在设立跨境数据流动规制时所依赖的治理基础。这一框架基于“数据自由理论”和“数据安全理论”，结合国家-社会-个人的利益诉求与实践探索，为确定跨境数据流动的动因提供支撑。与此同时，在跨境数据流动规制演进中，国家安全、经济价值、数字技术、个人权力等因素作为其发展动因，对全球跨境数据流动治理的发展路径提出新诉求。这些动因，既是跨境数据治理逻辑的起点，又会对其发展产生新的影响。在此基础上，各国对数据的占有及对数字安全技术的掌握、数字经济环境下全球价值链和贸易利益的分配，以及参与数据治理的权利主体与收益分配等，都成为驱动国家采取不同跨境数据流动治理模式的内在逻辑和动机，也因此产生了各形各色的操作路径。随着不同治理模式及路径给全球治理带来新的挑战与问题，需要持续探索在跨境数据流动规制演进中的数据治理问题。

一方面，跨境数据流动治理需要平衡流动与安全。首先，基于数据自由理论，通过驱动经济发展、释放数据资源价值、创新数据开发利用技术与数字化商业模式，释放数据红利，开拓数字经济新价值空间；基于数据安全理论，确保金融、地理等国家数据安全、保护个人隐私，以及突破数据安全技术关键瓶颈。其次，在平衡跨境数据流通与数据安全的前提下，不同国家将会因对待数字技术、市场需求、制度规则、数据权利等动因价值定位不同，而选择不同的全球跨境数据流动治理的发展路径。

另一方面，跨境数据流动治理需要行动与迭代。首先，面对不同动因以及动因组合，将会产生各异的路径选择，不同国家将会按照自身实际情况，依据路径选择开展差异化的跨境数据治理行动，从而形成一些典型的做法，如高筑数字贸易壁垒等。其次，典型做法的诞生将为全球治理带来新的关乎地缘政治、法律规范、执法与技术等方面的问题，需要在跨境数据流动规制演进中持续进行探索，满足国家、社会、个人等多方的利益诉求。

综上，在不同的治理逻辑与路径选择影响下，形成了基于国别的跨境数据流动相关模式或做法，并按照不同国家的发展主张，形成“动因-路径-做法-反馈-迭代”的循环过程，支持构建全球良好有序的跨境数据流动治理体系。

二、跨境数据流动治理的路径及实践

数据跨境流动涉及不同的价值考量，由于中美欧在跨境数据流动治理实践中对国家安全、经济价值、个人权益分配的理解不同以及在数字资源和技术能力方面的不同，导致形成跨境数据流动的规制思路和具体实践不尽相同。

（一）国家利益与价值倾向

国家利益与价值倾向在很大程度上决定了各国数据战略的方向与布局。一方面，基于国家利益的考量是各国新一轮制订相关数据战略与政策的关键；另一方面，各国的价值倾向在某种程度上恰好又契合各国国别力量的分配和调整，从而成为影响各国数据治理模式的重要因素。

美国始终高举隐私保护的“政治正确”，希望在社会价值层面占据制高点，并不断高筑数字贸易壁垒。但无论是在全球层面开展的网络监控行为，还是通过大型跨国公司为其保驾护航，美国的做法实质上是为塑造全球网络空间行为规范并有效压制对手行动自由的霸权行为。

欧盟从个人权利角度论证数据保护必要性，希望在内外部寻求均衡位置，以更加符合全球网络空间整体发展态势和内在特殊需求的方式，推行和保障自身的数据战略。欧盟对个人权利的重视使其在企业经济利益保障层面有所欠缺，对社会基本价值的重视在某种程度上也禁锢了其内政外交的选择。

中国的数据治理核心建立在尊重网络主权和数据主权的基础上，用积极的策略和开放的态度在国家利益、实现能力、外部预期与挑战等多种因素之间寻求适当的均衡，保证社会与经济利益的协同发展。在价值层面，中国主要立足国家权力，在跨境数据治理方面考量更多的是以国家利益及公共利益为主，而不只是商业利益或个人权力等单一利益。

（二）权利主体与收益分配

在不同价值观的冲击下，各国参与数据治理的权利主体与收益分配各有侧重。

美国现行的数据安全监督管理体制带有明显的分散规定、多头执法等特点。在联邦政法层面，美国并没有设立专门的跨境数据流动安全监督管理机构，而是由不同机构在各自领域分别履行监管职能。值得注意的是，私营企业在主导美国数据治理中发挥了关键作用。一方面，美国利用其在技术水平与数据资源的优势，实现对全球数据的操控；另一方面，美国又通过企业消除网络空间壁垒使美国利益覆盖全球。

欧盟对社会价值的看重使其在数据治理中更加偏向采取以政府为主导的家长式保护模式，并采用统一立法形式、建立统一监管机构。在《通用数据保护条例》（GDPR）的框架下，欧盟参与跨境数据的行为主体被划分成由欧洲数据保护局、成员国数据保护机构和数据保护官构成的三方行为体。这三方行为体紧密联络、实时互动，形成欧盟跨境数据流动的治理框架。

中国倾向于采用以政府为主导的“多边主义模式”，注重发挥国家、企业、社会等不同主体的协同作用，希望通过打造多方共享共治模式，兼顾不同主体的利益平衡。目前，中国的跨境数据流动管理制度、跨境数据流动的社会协同治理机制仍处于探索阶段。

（三）技术水平与数据资源

信息产业的价值创造过程日趋围绕、依靠数据展开。从某种视角而言，数据的资源化成为数据自由流动的前提与基础。在基础设施和接入设备的投资初期，数据的积累与沉淀使其价值逐渐接近并超过关键基础设施投资本身。掌控并有效运用数据不仅能够带来巨大的经济收益，而且意味着在政治、安全与外交等领域的能力优势。需要注意的是，受国家行为体能力不对称的影响，各国的数据累积和分布也是不均衡的，数据资源作为国家数据主权行使的权力基础，成为表征国家力量消长的指针，成为大国新的竞技场。在现实世界正缓慢失去实力优势与影响力的霸权国家，正尝试将自己的网络空间技术优势转化成为霸权主导下的秩序，积极营造安全的数据跨境场景，保障数据高效的自由流通。新兴国家短时间内很难完全凭借技术发展实现弯道超车，且治理理念仍将长期保持防御型治理思路。这种竞争新态势要求各国围绕以竞争数据资源有效掌控为核心，构建相应的国家网络安全战略，塑造相应的能力并展开相关行动。

（四）数据市场与平台经济

数据要素的全球流动颠覆了传统工业时代的商业形态和产业边界，为平台经济和共享经济等繁荣提供重要动力。在这个过程中，数据跨境改变了传统贸易流动，成为经济全球化的不竭动力。以苹果、微软、谷歌、亚马逊为代表的互联网企业通过自身营造的网络生态系统吸引千万流量、汇聚海量信息，并采取激进的行业并购策略控制数据，提高了市场进入壁垒及转换成本，从而实现新时代商业模式扩张。由于缺乏全球性的治理框架，跨境数据平台全球扩张过程中引发的数据泄露以及主权国家间的数字主权争端、数字监管竞争等现象愈加频繁。美国一直希望主导构建一套“自由主义”的全球数据治理规则，在维护其数字经济先发优势的同时，推动美国数字企业占领更多的市场份额。欧盟强调建设统一市场，通过个人数据隐私、征收数字税等方式，与中美争夺全球市场份额、技术主权和国际规则制定权。总之，各国从维护自身利益出发，选择不同的平台经济监管模式，进一步加剧了平台经济全球治理的协调难度。

三、跨境数据流动治理面临的困境

在开展数字跨境业务的过程中，频繁的跨境流动成为数据在数字经济下实现自身价值的必要方式，跨境数据流动逐渐成为社会治理和国际贸易的焦点议题。跨境数据在给全球带来巨大经济价值的同时，也面临愈来愈多的治理困境与挑战。

（一）地缘政治困境

随着更多国家的数字化转型，数据的战略性意义日益凸显，对数据的管控成为国家治理的重要内容。不同国家基于不同治理理念规制数据，在一定程度上形成了无形的数据与有形的主权治理之间的分野。许多国家将现实地缘政治之间的博弈映射至数据治理领域，如何收集、存储、保护、使用数据正成为突出的地缘政治问题。

一是争夺叙事方式，形成“数据本地化”与“数据自由流动”的对立范式。当前，基于数字化的不同发展阶段，数字发展中国家与发达国家对跨境数据形成了不同的认知。以美国为首的发达国家基于对数据的掌控力明确反对管控数据传输，将部分国家对数据的规制定义为“数据本地化”，并纳入意识形态和价值观因素考量，冠以“数据民族主义”甚至“数字威权”的名义，包括“数据本地化”对“开放的、基于规则的以及创新的全球数字经济构成的威胁”。

二是将数据规则纳入已有贸易协定，构建跨境流动“小圈子”。为应对数据本地化给自身经济带来的损害，美国开始寻求使用经济工具对抗地缘政治对手，在跨境数据方面以更新现有自由贸易协定方式形成跨境数据自由流动的规制范式。美国以“美墨加自由贸易协定”为开端，逐渐将“同意跨境数据自由流动”与美国自由贸易合作挂钩，并将其逐步拓展至印太地区。2022 年 5 月，美国联合多方搭建的印太经济框架（IPEF）明确设定跨境数据流动和数据本地化的标准，逐步建立起美国特色的跨境数据流动“规范”与“小圈子”。

三是国际数据治理陷入“丛林状态”，各方竞相成为数据规则制定者。不同于传统主权国家对国家安全相关规则的垄断，在数据这个与国家安全强相关的领域，科技企业、政府间组织以及非政府组织等多利益相关方参与到规则制定的竞争中，形成国家数据治理的“丛林状态”。20 国集团、7 国集团、经合组织（OECD）以及世界贸易组织均设置了跨境数据议题，却由于难以形成共识因而成效不太显著。非政府组织反倒提出了一些松散但具有创新性的解决方案，如全球科技政治论坛提出的“数字 20”（D-20），即将现有的全球架构嫁接新的数字地缘政治，基于已有的国际规范和标准基础，以 G20 为蓝本，纳入新的利益相关方，集中关注新兴数字技术带来的关键地缘政治挑战。作为一个没有行政权力和约束性决定的自治团体，D-20 的影响仍然有限。地缘政治因素已经成为当前跨境数据困境的主要障碍。

（二）法律规范困境

在跨境数据流动推动全球化进程和全球协作的过程中，始终难以在不同国家和地区形成统一的全球标准和框架。强势方存在推行霸权与企业利益扩张之间的矛盾，弱势方又面临跨境数据驱动创新发展与维护国家安全之间的分歧。全球跨境数据流动监管规制博弈激烈、互动复杂。

一是多元主体利益博弈影响跨境规制难统一。跨境数据流动的跨境性同时也意味着数据经由的不同国家很可能因为不同规制类型与规制思路产生分歧，所以，跨境数据流动治理中最重要的影响因素莫过于各国传统政治经济利益划分所连带的路径依赖与权力外溢。在这个过程中，国家重视的是安全与稳定，社会注重的是价值实现与隐私保护，而企业更看重经济效益，在多利益相关方参与下的跨境数据治理更趋复杂性和多元化。

二是跨境数据流动规制效力难实施。跨境数据流动规制在实践中并不具备完全的法律效力，而更多的是以跨境数据传输方之间的合同条款与行业准则为限，依据不同的参与行为体而变化。虽然为减少国家层面转移数据带来的程序负担，欧盟委员会还制定了约束性公司规则，允许跨国公司在企业内部制定个人数据处理规则，但规则由跨国企业自主裁定，是否真正履行充分保护，外界又难以知晓。无论是依附于国际跨境数据流动规制的跨境数据获取规范，还是个人数据保护，治理效果都有待提升。

三是跨境数据流动监管面临严峻挑战。由于各国在跨境数据流动中对综合性属地管辖原则不同程度的要求，导致跨境数据流动在境外的整个过程事实上处于一国监察范围之外。美国颁布《外国情报监视法》（FISA）就是一个重要标志。这使美国外国情报监视法庭可以有权签署秘密指令，授权美国联邦调查局获取第三方的数据记录。虽然FISA随后更多作为“棱镜门”的掩护规则出现，但其本身也反映了国家对跨境数据流动过程中可能产生的安全威胁作出应对策略。

（三）执法与技术困境

数据作为网络化与智能化的基础关键要素，为全球经济社会发展与人类生产生活带来了活力与动力。一方面，数据具有虚拟性、流动性等内在属性，使其不受国家和地域的限制，为全球化产业格局重塑注入新动力；另一方面，数据因其敏感性、关联性、价值密度低等特征，具有较强的负外部性。由于数据具有作为生产要素的特殊性，造成对跨境数据的监管和执法存在较大难度。

一是监管和执法手段高度依赖技术支撑。数据是现实世界在逻辑空间的映射与刻画，技术决定其粒度、属性、行为等特征。同样，对数据的监管与执法不可能离开技术的支撑。数据流动是技术行为的结果，数据是否流动也必须通过技术才能感知。同时，技术的应用与对应用的监管存在技术对抗。能否发现技术滥用或者危害行为，关键在于能否有效感知技术，例如能否破解加密数据以及能否有效发现泄密窃密等行为。典型的例子就是数据流动溯源，尽管采用区块链、人工智能等安全算法号称能有力保障数据要素安全流动，但是数据监管和执法目前仍面临难题。

二是监管和执法空间高度依赖数字空间的意识形态。数字世界存在自身的规律和生态。早期，无政府主义与去中心化的特征让部分人意图将网络空间打造为“自组织的伊甸园”，导致网络空间充斥反政府情绪，数据监管与执法难以开展。进入新世纪，美国作为互联网发源地，大搞网络监控，完全打掉了其自身所臆造的“互联网自由”。尽管“网络不是法外之地”已成为普遍共识，但是美国等西方国家将意识形态注入监管与执法，搞“双标”，将技术问题政治化，导致数据监管与执法在全联通的数字世界完全被割裂。

三是监管和执法效果高度依赖平台管控的效能。除个人存留的数据外，数据在数字世界主要驻留于三类平台：公共平台、私有平台和“无监管平台”。公共平台与私有平台既受法律制度保护约束又受伦理道德制约，才能为网民提供各类信息和数字服务，或者借助平台获利。相反，“无监管平台”能通过技术手段脱离监管，例如，政府的法规以及社会约束等均无法对暗网的各种数据交易平台产生影响。相较而言，数据监管和执法对前两者能产生有效作用，而对后者几乎难以产生影响。正因为如此，对暗网非法数据交易的监管和执法，目前只有少数几个国家能做到。受此影响，暗网成为个人信息贩卖的主要渠道。

四、跨境数据流动治理的中国对策

跨境数据流动的迫切治理需求与混乱治理格局造就了当前的共轭式国际数据发展环境。在国际竞争的新态势中，国家面临的主要挑战是谋求技术、资源、能力、观念与制度的均衡。这种均衡的结果就是希望以能够承受的成本有效获取保障国家安全以及实现国家发展所需要的数据资源。这在客观上要求围绕以竞争数据资源有效掌控为核心的需求，构建相应的国家网络安全战略，塑造相应的能力，并展开相关的行动。对我国而言，身处技术跃迁的重大机遇期和数据资源激烈竞争的复杂国际背景下，如何打破国际规则困境，在国家利益、实现能力、外部预期与挑战等多种因素之间找到适当的均衡，形成独特的具有中国特色的跨境数据治理方案，具有十分重要的实践意蕴。

一是进一步强化跨境数据流动规制建设。一方面，要强化重要数据保护、数据分级分类、开发利用、共享交易等内向安全问题的核心制度建设，明确数据敏感程度的划分标准，制定与敏感度相匹配的数据出境规则和出境评估具体标准。另一方面，要加强数据收集与数据外流的有效法律管控和制度约束，做好前瞻、国际化的应对措施，并在此基础上做好法的域外效力及反制措施、数据本地化与跨境数据、执法数据跨境调取等制度建设。

二是进一步强化安全监管手段的综合施策。一方面，要建立健全跨境数据安全监管机制，通过改革传统的贸易监管体制机制，整合相关监管力量，加强政府对数据跨境传输及流动的管理力度，明确相关主体的安全保护责任，依法进行监督。另一方面，加强对境外数据活动的“国家安全影响评估”，重点开展数据安全风险监测，有效监管境外数据收集活动，加大对境外互联网资本监管与处置力度，确保国家核心要害部门和关键信息基础设施的数据安全。

三是进一步施展“外交拳”积极打造“盟友圈”。一方面，积极推进跨境数据相关国际规则和标准认证体系建设，推动建立符合我国利益的数据交易与跨境流动的国际规则和标准认证体系。另一方面，加强对新兴经济体的“战略性合作”，充分利用互利共赢的合作契机，争取战略“同盟军”，把握主动权，扩大话语权，在捍卫信息主权和数据主权的博弈斗争中“敢于亮剑、善亮好剑”。

四是进一步规范平台数字经济。一方面，加强建立全方位、多层次、立体化的平台经济国内监管体系，通过细化平台管理规制，进一步构建平台经济、跨境电商秩序，保护网络消费者权益与个人信息安全。另一方面，加强数据领域垄断问题的研究，明确数据垄断的定义、内涵和外延，按照不同行业领域和市场地位，加快制定数据垄断标准等，尤其是加强网络平台算法深度治理，鼓励网络平台服务企业算法代码公开或算法开源，建立算法安全评估制度，建立算法监督检查机制，构建网络平台服务算法联盟。

（本文刊登于《中国信息安全》杂志2023年第10期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。