吴沈括：数据治理的全球态势及中国应对策略

摘要：时至今日，海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件，数据作为基础性战略资源的论断已然成为国际社会的普遍共识，数据治理成为网络空间国际治理领域对话博弈的核心命题之一。国际数据治理的话语对象逐渐从个人数据延伸到非个人数据昭示着世界各国围绕数据的合作与竞争的持续深化。细加审视，目前以欧美为代表的国际数据治理进路已然呈现从立法执法到国际博弈的多层次新走向。面对世界各国借助政策战略尤其是法律制度设计强化数据治理、数据资源控制的新态势，立足于维护我国数据主权、促进数字经济发展的基本价值立场，为更有效地实现国家对数据的最高控制权、助益培育数字经济竞争优势，有必要统筹研判数据治理与数据主权、数字经济的内在逻辑联系和外在规范支撑，进而构想中国具体应对策略的工作抓手。

关键词：数据治理；GDPR；数据主权；数字经济；个人数据；非个人数据

DOI：10.16582/j.cnki.dzzw.2019.01.001

前言：新型信息技术与数据治理相关机遇风险

在数字经济浪潮席卷全球的时代背景下，世界各国都面对着一系列全新的治理挑战。无可否认，海量数据的处理与应用构成了新型数字经济样态存在与发展的关键性必要条件，时至今日，数据作为基础性战略资源的论断已然成为国际社会的普遍共识。[1]

在此图景下，对于数据治理议题而言，已经在全世界范围内聚集了空前广泛的关注度，成为网络空间国际治理领域对话博弈的核心命题之一。不可否认，数据治理问题本身具有非常复杂、宽广的视域，而系统检视这一问题、寻求应对方案的逻辑主线应当是新一代网络信息技术的发展态势以及与数据处理应用相伴随的机遇和风险类型考察。

就此应当指出的是，一方面，围绕各类数据的利用，在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程当中，人们不断拥抱更多的发展机遇；另一方面，围绕各类数据的保护，民众在快速数字化的环境中也持续面对来源更为广泛、程度更为深刻的安全风险。

作为发展成就的示例，根据中国互联网络信息中心2018年发布的《第41次中国互联网络发展状况统计报告》[2]显示，我国的网民规模已达到7.72亿，手机网民规模达到7.53亿，互联网普及率为55.8%，境内外上市互联网企业数量达到102家，总体市值达到8.97万亿人民币。而就信息基础设施而言，我国服务器部署数量也已达到118万台。

与此同时，作为风险威胁的示例，Norton（诺顿）公司于2018年1月发布了一项关于网络安全及数据安全的研究报告[3]，该报告统计分析了包括中国在内的20个世界主要国家和地区在2017年遭受网络犯罪的情况，据其显示，2017年全世界约有9.78亿人受到了网络犯罪的影响，全世界的消费者因黑客攻击共遭受了约1720亿美元的损失。

基于系统化的考察视角，就新型信息技术与数据治理相关机遇而言，我们获得了新的技术支持，例如大数据、人工智能等；也发展了新的业务样态，例如云计算、物联网等；还产生了新的应用内容，例如新式安保监测、远程诊疗、健康保障以及生活娱乐等。

另一方面，就新型信息技术与数据治理相关风险而言，我们面临着新的技术要素风险，例如新型木马、病毒以及僵尸网络威胁等；也面临着新的组织管理风险，例如新型电信网络诈骗侵害等；还面临着新的在线内容风险，例如儿童色情、暴恐信息以及虚假消息等。

综上而言，面对这幅错综斑斓的数据治理画卷，全球各国正立足于本国的核心价值诉求，积极酝酿出台其数据治理战略政策以及法律规范，试图通过建构系统化的制度配套以及多层次的执法司法机制在国际合作与竞争中取得理想的博弈地位。当下具有突出的典型路径意义的是欧盟与美国的数据治理方案，其鲜明地反映了各自的数据治理立场，产生了广泛的国际回响，对欧盟与美国各自数据治理路径的全面理解有助于检视并研判我国在数据治理领域的应对之策。

一、欧盟有关数据治理的规范设计与价值诉求

着眼欧盟的数据治理思路，首先有必要考察的是自2018年5月25日起正式施行的《一般数据保护条例》（General Data Protection Regulation，GDPR）注1。作为相对欧盟个人数据保护1995年指令的升级规范，GDPR在新一代欧盟数据治理规范发展历程中具有里程碑意义，面对欧盟境内数字经济与信息社会2.0的新发展与新趋势，欧洲立法者建构的回应方案是引入具有普遍约束力的欧盟统一立法，提升个人数据流转的治理水平，这同时也对全球数据治理的未来走向产生了现实的深刻影响。[4]

（一）GDPR的价值追求与逻辑内核

在GDPR长达四年的文本酝酿出台过程中，欧盟范围内经历了广泛、复杂的利益博弈，这本身反映了GDPR的制度意义远超技术层面的个人数据规范框架，而是构成了一套蕴含国际博弈、产业竞争以及社会模式等多样要素的多重价值体系。

申言之，一方面，欧盟立法者希望通过GDPR的体系化制度设计强化提升欧盟主体对于自身个人数据享有充分的控制权，同时通过统一化的规范设计改进现有的监管机制，为个人数据处理主体的合规风控提供更为明晰的行为指南，降低业务运营的不确定性。另一方面，通过提升数据治理水平助益欧盟的“数字单一市场”建设规划，进而在数字经济浪潮中谋求世界级领袖地位。

需要指出的是，GDPR并非孤立的制度安排，在数据安全层面，欧盟《2016年网络与信息系统安全指令》是欧盟数据治理法制框架的另一重要支柱，为GDPR的实施提供安全角度的进一步的制度配合与保障。

在此意义上，可以认为GDPR更深层次的逻辑内核是在网络空间和数据领域延伸、拓展传统国家主权理念的各项基本价值追求，进而确保欧盟对其数据享有独立自主开发、占有、管理和处置的最高权力，是为欧盟版本的数据主权理念。

申言之，GDPR反映出欧盟试图捍卫其数据产业独立、自主的发展权，确保独立开发并选择应用数据技术，以优先满足自身各种产业竞争的需要；同时，确保欧盟在数据领域拥有制定配套法律法规的最高立法权力，保证根据自己的意志自行决定如何制定有关数据的法规与制度，而不受任何外部技术优势力量的影响或者支配，甚至培育相应的反制能力。

（二）GDPR的制度特色与核心规范

关于GDPR的制度特色，需要指出的是，它在很大程度上反映了欧盟立法者面对云计算、大数据以及数字单一市场的深入发展，互联网金融以及跨境电商等新经济样态的伴生风险而倾向采纳的风险管理新路径。

由此不难理解，在宏观框架层面，GDPR对于公民权利、经济自由、数据主权、公共安全等多重诉求在不同产业、不同情境中引入了新的动态平衡取舍，包括充实个人的权利内容，提升欧盟内部市场的价值位阶，强调规范落实的机制保障以及建构个人数据跨境传输的全球化管控机制。

在微观制度层面，应当强调的是，一方面，根据GDPR的条文设计，欧盟个人数据治理的制度规范将扩展适用于处理欧盟主体个人数据的所有外国主体；另一方面，GDPR广受注目的新举措是适应新技术新应用的具体场景，为欧盟公民和居民提供了一系列新型“数字权利”，包括被遗忘权、数据可携权等。此外，GDPR还引入了极为严格的责任条款，并通过最高处罚为涉事主体全球营收总额4%的惩罚机制予以强化，引领了高额处罚的国际潮流。

在此图景下，值得给予特别关注的GDPR制度规范涵盖一系列条款，包括第7条关于强化监督数据持有第三方的规定、第8条关于儿童特别保护的规定、第12-14条关于权利人被告知权的规定、第17条关于被遗忘权的规定、第20条关于数据可携权的规定、第21条关于数据挖掘限制的规定以及第33、34条关于严重数据侵权事件报告制度的规定，等等。

（三）GDPR的实施前景与全球影响

GDRP各项制度规范的落地执行是一个立体的机制体系，从相关指南到各类行政、司法判例都是需要深入研判的组成要素。从欧洲数据保护专员公署（EDPS，2018年5月25日后成为欧洲数据保护局EDPB的常设秘书处）的工作部署来看：

其一，贯彻落实GDPR规范内容的主要切入点是里斯本条约等确认的个人数据权等“基本权利”，在遵循欧盟委员会有关数字单一市场的总体安排的前提下，以保护欧盟公民和统一市场为直接的制度目标。

其二，相对于欧盟《1995年个人数据保护指令》，欧盟全境范围内有关个人数据保护的执法力度在2018年5月25日后会绝对加强，构成欧盟各成员国必须履行的、不可克扣的政治责任，其总体强度将类似于欧盟目前有关反不正当竞争、反垄断领域的执法力度。

其三，GDPR的执法主体主要是各国个人数据保护机关（DPAs），突出“一站式”执法模式，由某执法对象（例如某跨国公司）主要营业地的成员国个人数据保护机关履行首要的监管保护职能，而2018年5月25日正式投入运行的欧洲数据保护委员会（European Data Protection Body，EDPB）的主要职能在于协调成员国个人数据保护机关的执法工作。

其四，在国际博弈合作层面，GDPR后续实施过程中会根据实际情况进一步考虑弹性的国际对话机制，包括发挥“约束性公司规则”和“标准条款”两个机制的弹性功能，以减少法定强制情形尤其是“充分性认定”机制的适用场景。

不难想象，通过上述多层次规范实施机制，GDPR将渐次展现其广泛的国际影响力。特别地，一方面，其规范约束更深刻地介入数据处理的全生命周期，进而对于大数据、云计算以及人工智能等以数据收集、处理为核心要素的新技术应用产生显著的导向意义；另一方面，以“设计隐私（privacy by design）”为突出代表的新的数据保护机制将会对全球数据处理主体的现有业务运营模式产生深度的逻辑变革，进一步渗透欧盟特有的数据治理理念；此外，以个人数据跨境制度为有力抓手，GDPR还会对他国的数据治理框架产生跨地域的持续制约，进而对未来国际数据治理生态带来更多的制度变量。

二、美国有关数据治理的制度建设与价值取向

无可否认，凭借GDPR等专项规范的密集酝酿出台，欧盟不但在全球数据治理博弈中取得了制度性优势地位，而且已经对包括美国在内的世界各国的数据治理进程产生了广泛的政策规范影响。在此意义上，美国法制框架下目前最具风向标色彩的立法动向莫过于2018年6月28日由加州州长签署公布、将于2020年1月1日起正式施行的《加利福尼亚州消费者隐私保护法案》[5]（California Consumer Privacy Act of 2018，CCPA）注2。

CCPA旨在改变企业在这个人口众多的州进行数据处理的方式，法案一经生效，包括Google和Facebook在内的科技公司将面临非常严格的隐私保护要求，包括披露其收集的关于消费者的个人信息的类别和具体要素、收集信息的来源、收集或出售信息的业务目的以及与之共享信息的第三方的类别等。正如美国电子隐私信息中心执行主任Marc Rotenberg先生指出，该法案的公布是美国隐私法律发展的一个里程碑时刻，它表明人们高度关注隐私，立法者也将采取行动保护隐私。

（一）CCPA的总体概况

CCPA的主要内容涉及四项要素：法案出台的背景、消费者的权利、企业的义务以及法案中一些用语的详细解释等。

关于法案出台的时代背景，法案表明隐私权是加州宪法中规定的一项不可剥夺的权利，随着消费者与企业共享的个人数据数量的激增，消费者数据泄露将会为个人带来诸如财务欺诈、身份盗窃、声誉损害等破坏性影响，因此为了防止企业滥用个人信息、保护个人对于隐私信息的控制权，特制定该法案。

对于消费者的权利内容，该法案规定了消费者对于个人数据信息所拥有的一系列权利，这些权利包括：①要求收集消费者个人信息的企业向消费者披露企业收集的个人信息的类别和具体要素的权利；②要求商家删除其所收集的有关消费者的个人信息的权利；③要求企业向消费者披露收集个人信息的目的以及与之共享信息的第三方的权利；④选择不出售个人数据信息的权利；等等。

有关企业的义务范围，CCPA法案规定：①企业根据消费者的要求披露收集信息的种类和目的以及共享数据的第三方的义务；②根据消费者的要求删除所收集信息的义务；③尊重消费者选择不出售个人数据信息权利的义务，不得通过拒绝给消费者提供商品或服务，对商品或者服务收取不同的价格或费率等方式来歧视消费者行使该项权利等。

关于相关术语的界定，该法案对“个人信息”“商业目的”“收集”“处理”等词语进行了详细的立法解释。其中“个人信息”是指能够直接或间接地识别、描述与特定的消费者或家庭相关或合理相关的信息，这些信息包括但不限于真实姓名、别名、邮政地址、唯一的个人标识符、在线标识符、互联网协议地址、电子邮件地址、生物信息、商业信息、地理位置数据以及教育信息等。

此外，根据该法案的规定，一旦企业违反隐私保护要求，将面临支付给每位消费者最高750美元的损害赔偿金。加利福尼亚总检察长将负责决定是否针对违法企业采取法律行动。该法案中的主体规定与欧盟《一般数据保护条例》（GDPR）相类似，但并非完全是该条例的翻版，例如并没有如GDPR一样规定告知消费者数据泄露事件的特定时限。

（二）CCPA的制度建构

总体而言，CCPA法案在规范设计上比较集中地反映了美国政府在个人数据、个人隐私治理领域的基本价值追求，其制度性努力突出表现在以下多个方面：

其一，该法案以控制、透明为制度逻辑核心。其强调加利福尼亚州的消费者应该能够控制他们的个人信息，并且他们应当确保有保护措施防止滥用其个人信息。企业既可以尊重消费者的隐私，也可以为他们的商业行为提供高水平的透明度。

其二，该法案以细分权能为制度框架主轴。其意图是通过确保各项细分权利，为消费者提供控制其个人信息的有效方式，从而进一步加强加州消费者的隐私权，包括但不限于有权知道正在收集哪些个人信息，有权知道他们的个人信息是否被出售或披露以及出售或者披露给谁，有权拒绝出售个人信息，有权访问个人信息以及享有平等获得服务和价格的权利，等等。

其三，该法案以处理规则为制度设计依托，注重权益衡量。一方面，该法案围绕数据流转生命周期中的收集、处理、出售、披露、保存以及共享等各个环节，建构各方主体的具体行为规则；另一方面，该法案注意在特定数据处理场景中引入权益平衡规则，尤其是强调如果企业或服务提供商有必要维护消费者个人信息的，其不应被要求遵守消费者请求删除其个人信息的规定，进而助益提供消费者要求的商品或服务，检测安全事件防止恶意的、欺骗的、虚假的或非法活动，调试以识别和修复因损害现有预期功能而产生的错误，行使言论自由以及参与公开的或有同行评审的科学、历史或统计研究，等等。

（三）CCPA的机制配套

在制度框架的系统设计以外，CCPA法案的立法者还试图在执法配套机制上提升数据治理规范的实际施行。为此，一方面，美国立法者引入公权力监管模式兼以私权救济途径，强调权利宣示兼以程序设定，以求实现清晰可行的主体落实机制。

特别地，《加州法案》明确由州总检察长根据相关规范负责执行该法案，并赋予诉讼私权以应对未经授权的访问和泄露、盗窃或披露消费者未加密或未编辑个人信息等特定行为，同时赋予每位加利福尼亚州人法定且可执行的隐私权，通过“选择退出”（opt-out）机制得到充分实现。

另一方面，美国立法者试图通过明晰的作为义务设定、合理的权利实现保障、经济的权利实现渠道以及严密的责任追究机制来确保务实便利的权利实现。

尤其是，《加州法案》明确企业从可验证的消费者处接收到要求访问个人信息的请求后，应立即采取措施向消费者免费披露和提供所要求的个人信息。个人信息的提供可通过邮件或电子方式，如果以电子方式提供，信息应以便携式方式提供，并且在技术上是可行的，且采用易于使用的格式，允许消费者无障碍地将此信息传输给其他实体。并且企业不得因为消费者行使其权利而歧视消费者，包括但不限于拒绝向消费者提供商品或服务，对商品或服务收取不同的价格或费率，向消费者提供不同等级或质量的商品或服务，以及提示消费者将获得不同价格或费率的商品或服务，等等。

三、国际数据治理未来走向与中国的应对策略

(一)国际数据治理的新延伸：非个人数据规制浮现

如果说欧盟GDPR与美国CCPA更多地反映了世界各国在个人数据治理领域的现时博弈态势，那么当下已然浮现、需要我们即时给予同样高度重视的国际数据治理新区域则以非个人数据为突出表征。

事实上，欧美普遍关注到，非个人数据流转问题作为数据流转的B面，提出了与个人数据治理不同的规制要求，其言说背景主要在于随着技术驱动的不断创新，数据的流转机制在不断演进，同时伴随技术的发展与改革、数据流转的各种模式在不断发生变化，数据经济、数字经济样态也在不断发展。

特别地，欧盟认为，在技术驱动创新的大数据时代，非个人数据同样逐渐以核心竞争力的姿态出现，并持续显现其在竞争上的战略性价值：对于经济的发展以及创新点的拓展开发而言，非个人数据正在以新型数据流的形式参与数字经济的打造与建设。注3同时，非个人数据与技术的发展互为扶持，数据为技术提高竞争水平，以其形成的数据框架体系为技术的发展提供新的搭载平台与服务模式，而技术则进一步刺激非个人数据的价值提升，开发数据的潜质满足数据交换的需求，进而共同助益欧盟单一数字经济市场。

以此为思想基础，欧盟《非个人数据自由流动条例》于2018年10月4日由欧洲议会正式通过注4，非个人数据流转的总体目标在条例文本中得以系统展现，其明确了该条例意图解决的问题：①改善单一市场跨境的非个人数据的流动性；②确保主管当局为监管控制目的要求和接收非个人数据的权力不受影响；③使非个人数据存储或其他处理服务的专业用户更容易切换服务提供商和端口数据，同时避免为服务提供商带来过度负担以及扭曲市场。

该条例力求使得非个人数据存储及其处理行为可以在广义概念上被使用的同时，追求与现有政策领域的相关欧盟政策规定保持一致，进而在此体制之下，为数据存储以及其他处理服务创建高效的欧盟数字单一市场框架。其明确在欧盟成员国实施数据自由流动的过程中，应当确保数据经济发展的关键要素的确定性以及完备性，同时在数据和云服务的安全性方面取得进一步改进，而这些问题的解决将有助于优化和完善数据的跨境存储与传输，甚至可以使数据在云服务器和IT系统之间获得更有效的自由流转。

为此，该条例试图通过在成员国之间建立明确的框架并与会员国进行合作的同时，凭借自律规制提高法律确定性和信任水平，并且借助成员国的单一联络点长期保持制度的相关性和有效性，以确保合作的灵活性与可延展性。

总体而言，该条例的立法政策性目标追求与该政策领域的现有规定保持一致，从其政策目标来看，条例追求限定数据本地化规则、促进数据流动市场环境的活跃度与积极性，可以认为，欧盟对于非个人数据跨境的流动保护规则的设定，反映出欧盟在数据治理以及数据有效利用环节新的治理立场。欧盟明确指出现存数据本地化要求的弊端，强调对此类要求进行评估以及必要的限制，并且强调法律确定性的改善是欧盟境内外高效处理跨境数据以及处理可能产生的冲突的有效措施。凡此种种，都在欧盟2018年《非个人数据自由流动条例》的规范设计中得到了充分的展现。

（二）国际数据治理的新走向：立法执法与国际博弈

综上所述，国际数据治理的话语对象逐渐从个人数据延伸到非个人数据昭示着世界各国围绕数据的合作与竞争的持续深化。细加审视，目前以欧美为代表的国际数据治理进路已然呈现从立法执法到国际博弈的多层次新走向。

⒈立法趋势层面

就立法趋势层面考察，在立法推进方面，美欧后续的立法指向在技术应用层面呈现更聚焦的趋势，尤其是人工智能、云服务、区块链以及数字加密等，普遍认为这些是未来网络治理、数据治理的策略优先项，并且美欧各方也特别关注他国在这些领域的立法规划与战略安排。

同时，在数据类型方面，美欧的立法涉及面将呈现进一步扩张的趋势，包括对于非个人数据治理的更多关注，特别是欧盟《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data）正式施行后将统一欧盟境内的非个人数据流动标准，与GDPR一起增强了欧盟监管机关与执法部门对于所有数据集的获取和监管权力。

并且，预计在2019年5月欧盟大选前还可能出台欧盟《网络安全法案》（条例）、《电子隐私条例》以及《电子证据条例》等规范。欧盟委员会对此正大力积极推动，一方面是为了兑现大选前实现欧盟“数字单一市场”建设的政治承诺，为大选造势，另一方面也是为了加速布局制度立法、抢先于他国完成法律体系建设，在网络治理、数据治理的国际博弈中取得制度先机，以弥补欧盟在技术研发上的相对劣势。这些立法将进一步统一欧盟的立法标准，针对范围覆盖所有数据类型，通过削减成员国的独立对外权力，使欧盟以集体抱团的方式一致应对他国在网络空间的治理主张。

此外，在规范体系上，美欧的新动向突出反映在注重推进明文立法的同时开始着力在全球推广数据治理“软法”的建设。具体表现为推广以网络企业为对象的、自律性质的“行为守则”的制定，承诺为遵守其制定的“行为守则”的企业提供更多的优惠待遇，包括市场准入的优待、认证评估与标准适用的优惠等。[5]

另外，美欧各方已积极推广“伦理设计”（ethics by design）的新主张，侧重在符合法律规范的合规要求之外，进一步要求网络企业在设计产品和服务的过程中必须考虑伦理道德的因素，符合当地市场的基本伦理道德标准，从而在实质上使得外国企业认同并落实美欧的伦理道德标准。

⒉执法动向层面

就执法动向层面考察，在执法机制方面，美欧普遍认为立法的关键支撑在于经济高效的执法机制的建设，尤其是数据治理领域中的跨国执法机制建设。

对此，欧盟后续的努力方向主要反映为两个层次：一方面，在欧盟内部将加速推进各类针对特定具体问题（例如恐怖主义在线融资、非个人数据跨境执法调用等等）的专项“信息化联结点”（一种在线数字化信息交换工作平台），实现成员国之间各项执法情报与执法请求的高速共享与处理。特别是对于非个人数据治理问题，要求在《非个人数据自由流动条例》生效后18个月内完成欧盟层面集中的“信息化联结点”建设，专门处理成员国为了司法或执法目的跨境调取网络企业的非个人数据。

另一方面，欧盟还将在数据安全问题上更多结合网络犯罪《布达佩斯公约》的执法机制，同时借助欧洲刑警的执法力量强化欧盟数据治理规范的落地程度。

而美国后续的努力方向将更多地反映在两个方面：一方面，意图通过推动联邦层面的统一国家隐私立法引入相对中央集中的执法体制，突出地表现为以总检察长为核心的执法体制。而对于隐私的统一国家立法，以苹果、谷歌以及微软等为代表的大型跨国企业持积极的支持态度，因为可以有助于消除对其不利的、相对更为严格的地方立法规范以及分散执法体制。另一方面，美国也将在数据安全问题上更多结合网络犯罪《布达佩斯公约》的执法机制，同时借助国际刑警的执法力量强化美国数据治理规范的落地程度，并且辅以适用《云法案》等域外管辖规范，打造跨境执法获取数据的实际案例。

特别值得注意的是，美欧在执法机制建设方面虽有方向性差异，但对于能力建设问题却有着同样的高度重视程度：欧盟委员会后续将着力推动欧盟“网络安全能力建设中心”的设立，通过汇聚政府、企业、智库以及各种网络安全专业人士，推动网络空间治理能力建设的水平，其中特别包括数据治理标准、监管工具以及监管人员培训方案研发等工作。

而美国后续的着力点则是通过对外支援外国执法机关的能力建设，间接打造美方具有支配力的全球执法合作网络，其工作重点将会是亚洲（菲律宾、斯里兰卡为优先重点工作区域）、非洲（尼日利亚、南非为优先重点工作区域）以及拉美南美地区（巴拿马、巴西、哥伦比亚以及阿根廷为优先重点工作区域）。

⒊国际博弈层面

就国际博弈层面考察，首先需要特别注意的是欧盟委员会自GDPR正式施行5个多月以来在一些GDPR重大制度上的基本立场有了明显的演进变化：一方面，对于数据跨境“充分性认定”（adequacy decision）机制而言，从最初的“整体国别认定”变化为也可以接受“部分充分性认定”，也就是可以对一个国家中的部分行政区域例如某个州、某个省做出充分性认定（目前对于加拿大进行中的谈判思路就是如此），还可以对一个国家的某个特定行业或者部门例如金融行业、银行部门做出充分性认定（例如对于日本、韩国，就是重在认定私营部门的充分性，而没有意图包括公营部门），甚至不排除将来对特定的若干大型企业集团做出充分性认定。

另一方面，对于数据跨境中的“约束性公司规则”机制而言，从最初的不可更改、不可谈判变化为可以在国家层面单独针对某个国家通过谈判改变部分规则设计，例如目前印度正在由其政府统一出面与欧盟谈判适用于印度企业的一套特别“约束性公司规则”。

而美国在数据治理的国际博弈问题上一方面较为认同以欧美“隐私盾协议”为代表的协议谈判模式，另一方面也依然坚持在全球推广由其主导的CBPR（跨境隐私保护框架体系）。其中，需要注意的是，虽然美方极力强调“隐私盾协议”的实际执行效果，但欧盟委员会目前实际上对“隐私盾协议”依然存在不满，更明确表明今后在与其他国家的谈判中不会再复制类似美欧“隐私盾协议”的做法。

此外，虽然形式上美欧之间有着共通的价值立场，但在有关数据治理的诸多问题上仍然没有达成实质的一致。[6]尤其是数据处理原则（如欧方主张opt-in机制为主，美方主张opt-out机制为主）以及优先价值排列（如欧方主张人权保护优先，美方主张市场自由优先）等问题上，诸多美国企业虽然表面赞同欧盟GDPR的制度设计，但在实际的业务模式、技术研发上依然是强烈的美国风格，对欧盟而言依然存在相当的不透明度，目前欧盟各级监管机关对此有明显的关切与担忧，这一切都会对未来的国际数据治理态势产生深远的影响。[7]

（三）国际数据治理的新应对：数据主权与数字经济

毋庸置疑，面对世界各国借助政策战略尤其是法律制度设计强化数据治理、数据资源控制的新态势，立足于维护我国数据主权、促进数字经济发展的基本价值立场，为更有效地实现国家对数据的最高控制权、助益培育数字经济竞争优势，有必要统筹研判数据治理与数据主权、数字经济的内在逻辑联系和外在规范支撑，特别需要考虑以下四个方面的工作作为进一步构想中国后续具体对策的有力抓手：

第一，全面动态的全球规则演进研判。“新技术－经济”条件下，数据主权、数字经济已经成为包括欧盟以及美国在内的国际各方高度关注的全球性问题，各方立足自身实际情况和政策基准制定这一领域的数据治理规范，会对他国产生“规范溢出”的影响，同时也无可避免地会受到他国规则的反向制约。由此意味着我国在加速建构、完善相关制度过程中，非常有必要重视实时追踪全球规则变动，实现系统动态研判，持续、及时评估国际博弈各方的力量对比变动，既为有效借鉴域外有益经验，更是为了及时调整国内规范、科学应对国际挑战。

第二，价值清晰的顶层设计框架建构。数据治理、数据主权事关国家的安全与主权，有效的规则体系的建立需要指向明确、逻辑清晰的顶层制度设计。在此环节，应当以总体国家安全观为指导，在网络安全、信息安全的高度将数据的可控性、可用性、完整性与保密性四项核心诉求作为数据治理、数字经济建设的价值出发点与落脚点。与此同时，作为顶层设计的重要组成部分，有必要专门授权成立专业、独立的数据监管机关，负责数据规范的具体落实、数据传输的国际协调以及数据安全的风险评估等职能活动，确保在该领域可以保持不间断的能力建设，也能更好地完成国际博弈任务。

第三，系统可行的差别规范制度安排。在具体制度的规范设计层面，需要特别注意数据领域的特殊性，尤其是数据的性质、种类等问题。申言之，在网络空间中流转的数据并不都具有相同的意义，特别地，在普通数据与敏感、战略性数据之间有着显著的价值差异。为此，通过加速我国个人信息保护以及数据安全等专项立法进程，一方面引入有关数据治理的一般性、普遍性规则，就该领域的共性问题做详尽的规定，另一方面有必要就特定种类的敏感、战略性数据差别设计相应的特别规范，从而提升、强化针对某些特殊场景、特殊要素的规制保护力度。

第四，经济便利的权利责任落实途径。毋庸置疑，数据在信息社会2.0的今天具有全行业的基础性意义，是几乎所有行业良性发展的物质基础。而各行业部门内部实际上有着不同的利益结构，在交通、电商、医疗、教育以及征信等不同的领域，国家主权、公共安全、公民权利与经济收益等要素在不同历史阶段有着不同的内涵与权重，需要配备针对性的规范。

因此，就数据主权、数字经济问题付诸数据治理规范实践时，需要深入考察我国具体行业领域的实际运行情况，及时在法律条文规定中体现其现实情况和态势更新。申言之，在数据治理国际博弈过程中需要通过成文规范、技术标准以及司法判例等多重资源，更多、更灵活地导入利益平衡规则，设定多样的、具有经济性与便利性的权利实现方案以及责任追究方式，为具体场景、具体部门提供更具个性化的规范方案支撑。

注1：有关GDPR的最新官方文本，参见https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504（最后访问：2018年10月28日）。注2：有关《加州法案》的最新官方文本，参见https://www.caprivacy.org/（最后访问：2018年11月28日）。注3：关于欧盟对此的官方价值立场，部分地反映在欧盟委员会2017年9月19日的动议之中，参见http://europa.eu/rapid/press-release_MEMO-17-3191_en.htm（最后访问：2018年10月30日）。注4：有关欧盟《非个人数据自由流动条例》的最新官方文本，参见https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data（最后访问：2018年12月20日）。

参考文献：

（略）

作者简介：

吴沈括，北京师范大学刑事法律科学研究院暨法学院副教授，硕士生导师。

基金项目：国家社会科学基金项目“新一代信息技术与个人信息刑法保护”（批准号：15CFX035）。

刊载于《电子政务》2019年第1期

声明：本文来自电子政务杂志，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。