跨境数据治理转向与中国应对

洪延青，北京理工大学法学院教授

中国已初步形成以数据出境为核心的跨境数据治理体系，但企业全球化经营中的主要摩擦正从“数据出境”转向“域外数据与能力的接入与持续使用受限”：数据未必入境，但跨境访问、远程运维和持续交付权限可能在数据来源地遭到限制或阻断。

跨境治理正逐渐从以数据流动地域为基础的“传输边界”转为以权限、控制面与控制关系为中心的“访问边界”。美国将数据访问界定为一种实质性的风险，强调主体身份与控制关系对准入判断的决定性作用；欧盟则突出供应商受第三国影响的风险，通过市场准入条件加以制度化，形成系统性排除效应。

基于对“安全内核、政治外壳”的区分，中国应围绕数字市场的可参与性韧性，推动企业强化内部治理与证据化合规，建设国家数字合规基础设施，实施组织法隔离与控制链中立化机制，并完善对明显政治化排除措施的程序化救济与争端化机制，以实现安全、发展与权利保护之间的制度平衡。

本文原题为《从传输到访问：跨境数据治理转向与中国应对》，首发于《中国法律评论》2026年第2期“策略”栏目（第194-212页），为阅读方便，脚注从略。如需引用，请参阅原文。购刊请戳这里。

• 本文系2023年度国家社会科学基金一般项目“国际数据跨境流动的政治化和阵营化对立以及中国的法律应对研究”（23BFX151）的阶段性研究成果。

目次

一、问题的提出

二、我国“跨境传输中心”制度的成熟与“数据访问”问题的浮现

（一）以出境为轴的跨境数据治理框架的制度化与工具化

（二）我国“数据访问”规范构造与各法域间界定分歧

三、访问边界的法律技术分析：定义、连接点、对象与工具链

（一）定义模块：“数据访问”概念的能力扩展与影响维度

（二）连接点模块：从地域边界到控制链边界的转型

（三）对象模块：从数据本体到系统资产与服务能力的扩展

（四）工具链模块：从数据流动治理到访问权限的实现机制

三、“访问边界”的系统性排除效应

（一）场景谱系：访问边界下排除与限制措施的典型形态

（二）从六类场景凝练的三类关键连接点

（三）系统性排除效果

（四）美欧访问边界的政治意识形态化

四、开放型应对：访问边界的企业合规与国家制度供给

（一）安全理据的正当内核与国别化极端路径

（二）企业“控制面治理+证据化表达”的海外运营方案

（三）通过国家数字合规基础设施提供公共产品

（四）组织法隔离与控制链中立化机制及自贸区试点路径

（五）对意识形态化、政治化入口排除的程序化反制与争端接口

五、结语

问题的提出

近年来，中国围绕数据跨境流动的法律制度不断完善，逐渐形成了以“数据出境”为核心、兼顾安全与发展的综合治理结构。以《网络安全法》《数据安全法》《个人信息保护法》为基础，配套形成了安全评估、标准合同、认证等多元工具，并通过《促进和规范数据跨境流动规定》对豁免情形、重要数据识别和适用门槛进行了精细化调整，强化了跨境数据流动的合规可预期性。

这种制度演进默认了一个基本前提，即跨境数据治理的核心问题在于识别何种行为构成“向境外传输”（transfer），以及如何满足相应的法律义务。在前述制度的发展和支撑下，企业“合规地把数据传出去”的路径不断清晰和稳定，但跨境运营所需要的另一面——“把域外的数据与能力接进来并持续使用”，却未得到同等强度的制度回应。

当前中国企业在国际化经营与技术合作中的关键摩擦，越来越多并不表现为“数据出不去”，而更集中体现为“数据进不来、用不上”。但对于跨境运营而言，数据并非单向流动即可，而是分布在不同法域、不同法人主体与不同系统之间，以日常协作而持续流动或调用访问。例如，境内团队需要访问境外数据库、全球统一的业务平台或云端系统来完成产品研发、市场交付与技术运维；境外团队也需要访问境内业务数据、运营指标或风控模型来支持全球经营决策。

但现实中，境外数据与能力未必进入中国境内，也未必在境内形成数据复制或本地化存储，而其跨境访问权限却可能在数据来源地法域即被限制甚至完全切断。更重要的是，这种限制往往不仅局限于对中国境内访问渠道的控制，还可能通过我国企业的控制链条、外包运维安排或集团内部组织结构进一步向境外子公司、关联实体及第三方服务供应商扩散，导致中国企业全球化协作的稳定性与持续性受到直接冲击。

之所以形成上述局面，是因为以美国与欧盟为代表的外部法域，近年来在国家安全、网络安全与供应链安全展开的制度建构中，逐步将对数据的“访问”独立出来，赋予其超越传统“数据跨境传输”的更多规范内涵。

一方面，美欧将“访问”扩展为包含“编辑、改变状态与施加影响”等高权限行为，强调通过数据访问可能造成的安全或供应链风险；另一方面，它们还通过“控制链/供应链”等组织关系，将企业内部的控制结构纳入监管范围，并以“访问权限是否可能受特定第三国主体影响”为关键触发条件，使得“数据访问”正逐步从传统跨境传输问题中抽离出来，成为可被独立规制的对象。

尽管中国制度中并非没有“境外主体访问境内数据”这一情形，但这种“访问”概念在我国目前制度框架中主要作为“数据出境义务的触发情形之一”，而非以独立的“访问风险”为核心展开规制。由此形成的制度差距，使得当前同一“数据访问”的事实，在中国与美欧语境下呈现出完全不同的规范后果与治理方式：在中国它主要被理解为数据出境治理问题，而在美欧则逐渐转变为一项以国家安全与供应链安全为核心的、独立的“访问边界”（accessboundary）治理议题。

基于此，本文在不否定我国既有以“数据出境”为轴的跨境数据治理框架的前提下，将跨境“访问”从单纯的出境触发情形中抽离出来，作为一项与全球化经营密切相关的独立治理议题加以分析，并围绕“数据进不来、用不上”的现实摩擦展开三项核心论证：

第一，检验我国将境外访问/调用规范性折叠进“向境外提供”的制度构造是否仍具规范自洽性，并揭示其在跨境运营场景中对“入境数据与能力持续可得性”回应不足的结构性原因。

第二，基于“定义、连接点、对象、工具链”的法律技术框架，系统拆解美欧如何将访问能力化、将控制链关系化、将控制面对象化并将合规要求入口化，从而在认证、采购、运维与标准化等制度入口处产生系统性排除效果，并进一步揭示其在国家安全例外语境下对非技术、非合规要素的制度化嵌入。

第三，在区分“安全内核”与“政治外壳”的基础上，提出中国的开放型应对路径：以“数字市场可参与性韧性”为制度目标，坚持“内核合规化、外壳程序化”，通过国家数字合规基础设施为企业出海提供可复用的标准、证据与可信证明供给，通过组织法隔离与控制链中立化机制（含自贸区试点的制度通道）回应控制链穿透压力，并以程序化反制与争端接口对政治化入口排除提供兜底，从而在安全、发展与权利保护之间形成更具可实施性、可审计性与可救济性的制度结构。

我国“跨境传输中心”制度的成熟与“数据访问”问题的浮现

（一）以出境为轴的跨境数据治理框架的制度化与工具化

从规范谱系观察，我国跨境数据治理首先是在“数据出境”（transfer/outbound transfer）问题域中完成制度建构的：其基本结构是以国家安全与公共利益为底线，以个人信息权益保护为边界，以行政监管的“事前控制+持续监督”为主要手段，将跨境数据流动纳入可识别、可评估、可追责的治理闭环。

首先，“三法”奠基了以“向境外提供”为中心的出境控制逻辑。《网络安全法》在关键信息基础设施运营者（Critical Information Infrastructure Operater，CIIO）语境下确立了具有强约束力的数据本地化与出境安全评估要求：CIIO在境内运营中收集和产生的个人信息、重要数据原则上应当在境内存储，确需向境外提供的，应依照国家网信部门会同国务院有关部门制定的办法进行安全评估。

《个人信息保护法》进一步以专章系统化了个人信息跨境提供规则，明确个人信息处理者“确需向境外提供个人信息”时的合规路径（安全评估、认证、标准合同等），并叠加“告知、单独同意”等实体性保护要求。

同时，《个人信息保护法》还嵌入了带有明显公法对抗色彩的条款：网信部门可对侵害我国公民个人信息权益或危害国家安全、公共利益的境外组织/个人采取限制或禁止提供个人信息措施，并在他国（地区）采取歧视性限制时保留对等反制空间。这意味着，在立法者的初始设想中，“出境”并非单纯的合规技术问题，而是可随国际情势变化而被激活的国家治理工具。

其次是配套规章“工具箱化”，即建立了评估、合同、认证三路径与阈值治理。在“三法”基础上，国家网信部门以部门规章和规范性文件方式将出境制度推向可操作层面：《数据出境安全评估办法》确立了以风险评估为核心的“事前审查+持续监督”框架，成为出境治理的关键闸门。

《个人信息出境标准合同办法》提供了面向一般主体的合同合规路径，突出“自主缔约+备案管理”的行政法结构。《个人信息出境认证办法》以“专业机构认证”为法定途径之一，形成与评估、标准合同并列的第三通道，并明确自2026年1月1日起施行。

更重要的是，2024年《促进和规范数据跨境流动规定》并非另起炉灶，而是在既有路径结构上进行阈值再校准、豁免情形扩展、重要数据识别规则优化、监管资源聚焦的制度再工程；其定位非常清晰：以促进数据依法有序自由流动为政策目标，对既有出境制度的适用条件作“减负式”重排，并引入自贸试验区负面清单机制以增强可预期性。

综上，在中国语境中，“跨境数据治理”的制度主轴被长期锚定在从境内向境外的提供行为之上：立法关注点是“什么数据出境、谁出境、以何种路径出境、出境风险如何可控”，并通过阈值治理、清单治理、备案等行政法技术不断精细化。

（二）我国“数据访问”规范构造与各法域间界定分歧

1.数据访问被纳入“向境外提供”的规范构造

需要特别指出的是，我国并非不重视数据访问行为，而是将其规范性地折叠进“跨境传输”（或“向境外提供”）的法律概念之中。换言之，在我国的制度语言里，访问更多是作为“出境方式之一”来理解，而不是一个独立于数据传输的治理对象。

具体而言，监管机构已在权威解释中明确将“境外访问或调用境内数据”直接纳入了数据出境活动的范围。在《数据出境安全评估办法》的官方阐释中，将数据出境活动归纳为两类典型情形：一是数据被传输、存储至境外；二是数据虽存储于境内，但境外机构、组织或个人可通过网络进行访问或调用。

这一表述的重要制度含义在于：数据的跨境流动不必然表现为物理存储位置的变化，只要境外主体实际获得了对境内数据的访问或调用能力，即可被法律评价为“向境外提供”，进而纳入跨境数据出境监管的范围。由此，企业日常开展的跨境远程运维、云服务接口调用、跨境数据查询等活动，自然被涵盖于现有“出境”治理范畴内。

为进一步明确可操作性，监管机构在2025年10月发布的《数据出境安全管理政策问答》中，对“境外访问或调用”的空间连接标准做出了更为精准的界定：即以访问或调用行为发生地作为判断“境外”的关键依据。具体而言，只有当数据访问或调用行为实际发生于境外，才被视作数据出境活动；而境外机构、组织的工作人员若在境内访问境内存储的数据且未将数据实际传输至境外，则不构成法律意义上的数据出境。

这种精细化的空间界定方式，直接推动企业在跨境数据合规的实践中，围绕身份认证、权限分层管理、跨境远程访问合规性审计、操作日志记录等技术手段，实施一系列以“数据出境”为中心的系统性合规重构。

由此可见，我国对数据访问行为的规制，更多的是服务于对“向境外提供”行为及其所伴随风险的控制与管理。换句话说，在我国的数据跨境治理框架中，“访问”尚未被赋予独立的法律规范意义，而是作为“数据出境”概念的延伸与细化。更直观地说，在当前我国制度语境下，讨论数据的“访问”，多数情况下实际讨论的是“出境”。

2.法域选择差异与远程访问的规范定位

尽管我国数据跨境流动治理中，将“数据访问”（access）规范性地折叠进“跨境传输”（transfer）的框架具备内在自洽性，但这种折叠并非技术上的必然，而是一种规范上的选择。不同法域对跨境传输的触发条件存在明显差异，这导致同样的远程访问（remoteaccess）事实在不同法域的法律认定中，可能表现为“进出不一”。

首先，从技术事实层面来看，远程访问行为高度依赖跨境通信，通常伴随屏幕回显、接口响应、日志回传、指令下发等数据包的跨境流动，但这一技术事实本身并不当然构成法律意义上的跨境传输（transfer）。这是因为跨境传输本质上并非一个技术概念，而是依赖于法域所选择的规范结构与触发条件：即各法域如何认定什么情形才构成数据在境外的“披露”“提供”或“使其可得”。

其次，不同法域对跨境传输构成要件的差异，使得远程访问在法律上的认定存在灵活空间。例如，欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）对数据向第三国传输的界定通常强调一系列累积条件，即出口方受到GDPR适用约束，数据以传输或“以其他方式使数据可得”（otherwise making data available）的方式被提供给位于第三国或国际组织的另一数据控制者（controller）或处理者（processor）。

在这一严格结构下，某些跨境远程访问即使在技术层面上表现为数据包的跨境通信，但如果并不满足“向另一控制者或处理者披露”的法律要件，则未必被纳入GDPR第五章所定义的“国际数据传输”之范畴。相较而言，中国的数据跨境流动治理体系则以“访问或调用行为发生地”为关键连接点，更倾向于将位于境外的主体（无论是否隶属于同一控制者）的远程访问境内数据情形直接视作数据出境行为，从而在远程访问与跨境传输之间构成更强的制度耦合关系。

相比之下，美欧法域近年来出现了将“数据访问”从传统的跨境传输情形中独立出来，并构建为具有独立规范意义的治理对象的趋势：

一是美国在定义层面的扩张，其将数据访问的内涵由基本的“读取/获取”（read/access）权限扩展至包括“编辑”（edit）、“改变状态”（alter）以及“施加影响”（affect）等更高级别的能力，从而使风险关注点由传统的数据跨境外流，向更广义的“影响渠道”转变。

二是美国在连接点层面的扩张，即规制数据访问的触发条件除了传统的地域因素之外，还增加了主体间的“控制关系”（control relationship）维度。这意味着，即使主体物理上位于境外，只要其被认为可能受到特定第三国实体的影响或控制，也可能被纳入监管视野，从而实现一种基于组织与供应链关系的“穿透式监管”。

三是欧盟的路径演进，其在《数据治理法》（Data Governance Act，DGA）与《数据法》（Data Act）中，已明确区分“数据访问”与“跨境传输”，但其基础仍然以数据是否位于欧盟境内（held in the Union）为轴心，而在2026年提出的《网络安全法》（Cybersecurity Act 2.0，CSA2）修订案中，则进一步明确了数据访问的规制重心逐步从地域性的边界扩展至供应链安全与系统安全领域，强调“第三国影响或控制”可能带来的非技术性风险（non-technical risks），并对远程访问、运维权限乃至关键信息通信技术（Information and CommunicationT echnology，ICT）资产的接触权限进行更严格的规制。

在第二部分对美欧法域实践进一步展开具体分析之前，有必要对后文将高频使用的三个核心术语——跨境传输（transfer）、数据访问（access）和远程访问（remoteaccess）作明确区分，以清晰界定它们在本文中的位置与功能：第一，“跨境传输”（transfer）是一种规范性的法律概念，以“向境外提供数据或在境外形成可持续利用状态”（包括数据的境外存储、副本存储、持续利用状态）为核心，通常对应于以地域边界为关键连接点的“流动边界”（transfe rboundary）。

第二，“数据访问”（access）则是围绕数据的“可接触性”与“可处置性”（权限控制）展开的能力性规范法律概念，其最低权限包括基本的读取或获取，更高层次的权限可延伸至对数据的编辑、改变状态、施加影响，乃至对系统的控制。数据访问既可以被归入跨境传输治理框架内（如中国语境），也可被独立化为具有单独治理意义的规制对象（如美欧趋势）。

第三，“远程访问”（remoteaccess）是一种事实性的访问方式，通常指通过跨境网络或跨域通道实现的数据访问行为，在技术层面上伴随跨境通信，但其是否在法律上构成跨境传输，取决于特定法域的规范选择及制度设计。

一句话概括上述三者的关系便是：“远程访问”是普遍发生的数据访问事实，“跨境传输”与“数据访问”则是基于规范选择而可能重合或分离的法律构造。“访问边界”（accessboundary）的提出与形成，正是源于美欧等法域将“数据访问”从“跨境传输”范畴独立化，并进一步在能力、连接关系与规制对象层面进行扩展和深化之后的结果。

访问边界的法律技术分析：定义、连接点、对象与工具链

基于以上对数据跨境流动中“跨境传输”（transfer）与“数据访问”（access）的分析和界定，本节提出一个统一的法律分析框架，以系统分解美欧最新构建的“访问边界”制度。

具体而言，框架的第一部分是定义模块，考察“数据访问”如何被能力化（从读到写/更改，再到控制），以及能力化定义如何将风险类型从“外流风险”推进到“影响风险”；第二，连接点模块，考察规制如何从属地化的“流向和接收者”连接点，转向以控制链、指挥链与供应链为核心的关系化连接点，从而解释为何限制能够穿透至境外实体与境外人员；第三，对象模块，考察规制客体如何从数据本体扩展至系统与关键资产，并进一步覆盖运维、更新、密钥与控制台等“控制面”；第四，工具链模块，考察访问边界如何被装置化为可执行的闸门体系（资格型、结构型、程序型与市场型工具的组合），并通过认证、采购、交易结构与持续运维要求实现规则外溢。

在此框架下，访问边界不被理解为对既有跨境传输规则的简单“补丁”，而被视为一套独立的边界“划定”：其核心不在于是否发生数据跨境移动，而在于是否存在可访问能力及其背后的影响路径。对这一边界划定的法律技术拆解，将为后续部分的中国制度建构提供基础。

（一）定义模块：“数据访问”概念的能力扩展与影响维度

“跨境传输”规制框架下的“数据访问”：以存储地变化与数据披露为核心。在中国现行法律体系中，“数据访问”（access）之所以通常被视作“跨境传输”（transfer）的一种情形，主要是因为现有规制逻辑仍以数据是否跨境提供、是否在境外形成可持续存储的数据副本，以及随之触发的合规评估、标准合同或认证要求作为判断依据。

因此，在这一体系下，“数据访问”往往被用来界定跨境传输行为，即境外主体通过远程调用、跨境接口查询、境外登录等方式获取或查看数据，实质上被视为向境外的“数据披露”或“数据读取”。在此意义上，“数据访问”的主要规制功能是明确境外主体是否能够读取或获取境内数据，从而触发相关的跨境数据治理义务。

美国规制模式的转变，首先在于把“数据访问”从“可读取”扩展到“可编辑与状态改变”。美国法律体系近年来在国家安全治理领域中，将“数据访问”的概念明确从单纯的数据读取扩展为具有更深层次干预能力的权限。

美国总统行政令第14117号中，“数据访问”的定义已不仅限于数据的获取（obtain）、读取（read）、复制（copy）和解密（decrypt），更明确包括编辑（edit）、转移（divert）、释放（release）、影响（affect）及改变状态（alter the state of）等多种能力。随后美国司法部（DOJ）在28CFR第202.201条中对这一界定进行了明确重申，并强调在判断是否构成受规制交易时，不以安全措施的效果为标准，而仅考察主体是否拥有上述能力。

这一法律定义上的扩展具有深刻的制度含义：一方面，“数据访问”不再仅仅关乎数据能否被境外主体看到或获取，更关乎数据及系统能否被外部主体直接干预；另一方面，风险类型从数据泄露或外流扩展到对数据完整性、业务流程甚至系统安全的潜在操控与影响。因此，美国的规制对象也随之自然扩展到信息系统、云计算平台、网络设备及软件等多种载体。美国法律对“数据访问”定义的这种扩展，体现了其不仅关注数据“是否流出”，更关注数据和系统是否被境外主体通过访问渠道加以影响或操控。

欧盟则呈现出一种具有阶段性特征的“双轨”路径。在第一阶段，《数据治理法》（DGA）第31条以“国际访问与传输”（International access and transfer）为标题，将“国际传输”（International transfer）与“政府性访问”（governmental access）并列规制，要求DGA项下相关主体就位于欧盟境内的数据采取适当的技术、法律和组织措施，以防止缺乏合法依据的第三国政府访问或传输。

其制度逻辑在于：当数据“位于欧盟境内”（held inthe Union）时，应当受到欧盟法及成员国法的完整保护，不得因第三国的行政、司法或其他公权力行为而被任意获取或转移。类似地，《数据法》（DataAct）第七章以“Unlawful international governmental access and transfer of non-persona ldata”为题，对数据处理服务提供者（data processing service provider）提出明确义务，要求其采取必要措施，防止第三国政府对“位于欧盟境内”的非个人数据实施非法访问（access）或传输（transfer）。

该条款延续了DGA的结构，区分“访问”与“传输”，并将二者列置于同一规制框架之中，但其关注重点仍然围绕数据的地域属性，即数据是否处于欧盟法域内，以及第三国政府是否通过公权力方式对该等数据实施干预。

总体而言，在DGA与DataAct阶段，欧盟规制的核心仍然是以数据存储地为轴心的地域性边界治理：无论是“传输”还是“政府访问”，其制度设计均建立在“数据位于欧盟境内”这一前提之上，主要回应的是第三国政府获取欧盟境内数据所带来的法域冲突与主权风险问题。

与此相比，2026年1月欧盟提出的《网络安全法》修订案（CSA2）所体现的趋势，则开始超越单纯的数据存储地问题，逐步将规制对象扩展至供应链结构与系统层面的访问控制，从而标志着欧盟规制逻辑由“数据治理”向“系统控制”的进一步演进。

CSA2明确要求对ICT供应链安全采取严格措施，包括限制数据及系统的第三国远程访问和操作，甚至在可能情况下禁止第三国主体对关键ICT资产的远程或现场物理访问。这种规制模式下，“数据访问”概念明显超越了单纯数据的地域性控制，转而关注数据和关键系统是否会受到境外主体的实际控制和影响，体现了对权限与系统控制的深层次规制。

基于上述分析，可进一步构建一个更为清晰且具有可操作性的“数据访问”权限谱系，以便更好地进行比较法分析和制度设计：一是读取型访问权限（read-access）：指主体能够查看、检索、复制数据；二是处置型访问权限（write-access）：指主体能够编辑、修改、删除或改变数据及系统状态；三是控制型访问权限（control-access）：指主体能够通过管理控制台、运维权限、更新部署、密钥管理等方式，全面控制系统及其运行状态。通过明确这一谱系，可以更有效地将美欧制度对“数据访问”权限扩展的理论增量进行清晰描述与比较，体现出规制范式从数据流动到数据及系统控制的转型趋势。

（二）连接点模块：从地域边界到控制链边界的转型

经典的数据跨境传输（transfer）规制模式，通常以明确的地域性连接点为基础来确定法律义务的触发条件与监管边界。具体而言，这种规制模式主要围绕以下几个典型的连接点展开：（1）数据实际所在地或存储地；（2）数据接收方所在地；（3）数据披露或提供行为的实际发生地；（4）数据是否在境外形成了可持续持有和利用的副本。

这种以地域边界为核心的规制模式优势在于规制对象明确、执行路径清晰，其内在前提在于：只要数据未实际跨境存储或形成境外副本，跨境数据所带来的风险即可被有效控制。然而，当前美欧规制实践却逐渐突破了上述以地域边界为中心的传统模式，转而认为跨境数据风险可通过企业内部的控制结构、管理链条和技术运维路径实现穿透，从而产生了以控制链条为核心的规制连接点。

具体来看，美国司法部（Department of Justice，DOJ）根据第14117号行政令的数据安全计划（Data Security Program）中设定规制连接点的核心关注点，并非传统的“数据是否跨越地理边界”，而在于“数据访问是否可能使受关注国家（countries of concern）或受控主体（covered persons）获得数据和系统的访问权限（access）”。“受控主体”（covered person）概念的设定最能体现这种“控制链穿透”机制的制度逻辑与规制力度。

根据美国司法部相关文件，“受控主体”不仅包括在特定“受关注国家”或地区设立或主要营业地位于该等国家或地区的实体，以及被该等国家主体直接或间接持股达到特定比例的实体；而且进一步延伸至“无论实体或个人实际位于何处，只要经司法部长认定可能受到受关注国家主体的拥有（ownership）、控制（control）、管辖（jurisdiction）或指挥（direction）的任何个人或组织”。

这一制度设计直接回应了当前跨境数据规制实践中广泛出现的规避现象：即便中国公司的境外子公司、关联企业、雇员或承包商物理上未处于中国境内，只要其在法律上、组织结构上或管理控制链条上被认定可能受到来自中国的直接或间接影响或指挥，美国政府就可以将其作为规制对象，从而严格限制乃至完全剥夺其对相关数据和系统的访问权限。

这种规制机制的关键突破在于，其连接点不再是传统的数据流动事实（data flow）或地域国境线，而是转向企业的所有权结构（ownership structure）、组织控制链（organizational control chain）及管理指挥关系网络（chain of command）。美国政府认为，只有通过这种从地域到组织控制关系的规制连接点转型，才能真正防止跨国企业利用离岸子公司、第三方云服务平台、远程外包运维等方式规避监管。

由此可见，美国规制的政策逻辑清晰体现为：仅依赖传统地域边界，无法有效防止特定国家实体借助境外主体、远程运维或外包服务获取对敏感数据与系统的持续访问。因此，美国政府通过“受控主体”这一更具弹性、更为广泛的连接点定义，实现了基于企业控制结构、股权关系和管理链条的“穿透式”监管，从而形成一种以“访问边界”（access boundary）取代传统“流动边界”（transfer boundary）的新型跨境数据治理结构。

欧盟的规制路径则呈现阶段性演进趋势。早期的《数据治理法》和《数据法》阶段，欧盟规制连接点仍主要围绕数据是否“位于欧盟境内”（held in the Union），以防范第三国政府或其他主体在缺乏合法依据情形下对境内数据进行访问或传输。但在《网络安全法》修订案提出后，欧盟规制连接点发生了显著变化，逐步从单纯的数据存储地转向供应链与系统控制的层面。

具体而言，CSA2以“高风险供应商”（high-risk supplier）机制作为新的规制连接点，明确关注供应商的组织结构、控制链条以及可能受到第三国影响的风险，无论该供应商位于欧盟境内与否。此外，CSA2还提出针对5G等关键信息通信技术资产中的高风险供应商组件，实施强制性的替换或退网措施，并设置具体的过渡期要求，进而将供应商资格与其对关键ICT资产的访问权限严格绑定。

规制连接点从传统地域边界转向控制链条的这种演进，实质上反映出跨境数据治理对象的重大转变，即规制的重点已从数据本身的跨境流动转移至企业组织结构、控制关系及技术管理路径对数据和系统的持续控制与影响。正是这种规制连接点的转型，使得监管得以超越数据是否实际跨越地理边界的问题，而聚焦于特定主体能否通过组织链条和技术路径获取并持续控制境外数据与系统。

因此，这种规制转型不仅解释了为何中国当前仍将“数据访问”（access）主要视为“数据出境”义务的特殊触发情形，也清晰地说明了美欧为何将“数据访问”逐步从传统的跨境传输中独立出来，形成了单独的法律边界规制技术，即以“访问边界”（accessboundary）取代单纯的“传输边界”（transferboundary）。

（三）对象模块：从数据本体到系统资产与服务能力的扩展

在法律规制体系中，如果说连接点决定了规制边界的位置，那么规制对象则明确了法律保护和规制的具体内容。在以“跨境传输”（transfer）为核心的传统规制模式中，规制对象通常仅限于个人信息、重要数据等具体数据类型。然而，当规制模式逐渐转向以“数据访问”（access）为核心时，规制对象也随之发生显著扩展，至少呈现出以下三个层次的变化：

第一，数据本体层，即传统的数据类型，包括敏感个人数据、政府关联数据、关键行业数据等明确界定的具体数据类型。该层次是跨境数据治理的最基本层面，传统规制模式的核心即集中于此。

第二，系统与控制层，即数据所依赖或附着的技术系统及其访问控制体系，包括云计算控制平台、远程运维后台、身份认证与权限管理系统、加密密钥管理体系、系统配置与更新渠道等。这一层次的规制标志着监管对象从数据本身拓展到对承载数据的技术设施和基础架构的规制。

第三，能力与输出层，主要体现为在人工智能（AI）和数据服务化趋势下所产生的新型数据使用方式。具体而言，数据价值往往不再表现为传统的数据文件形式，而表现为通过算法模型的推理服务、用户画像能力或程序接口调用（API）等形式所产生的数据处理与分析能力。这一层次的规制对象体现了规制重点从传统数据形式向数据驱动的计算能力与服务输出方式的延伸。

以美国第14117号行政令（Executive Order 14117）及其配套的司法部《美国数据字全计划最终规则》为例，其规制对象已明确地从数据本身扩展至数据所附着的信息系统、云服务平台、网络设施、安全设备及软件工具等基础载体。这种规制逻辑体现为，将数据规制的重点从单纯的数据跨境移动延伸到更广义的系统性可访问性结构与访问控制机制。

同样地，欧盟《网络安全法》修订案也体现了类似的规制对象扩展趋势。CSA2不再局限于数据本身的安全保护，而是明确聚焦于与数据访问和运维相关的关键信息通信技术（ICT）资产及其供应链安全。具体而言，CSA2尤其关注第三国政府或主体可能通过远程处理、远程或现场访问方式对ICT资产实施干预，从而可能导致服务中断、系统安全漏洞暴露或关键资产被操控。这意味着欧盟的规制逻辑已从单纯的“数据安全”转变为以“系统安全”及“供应链韧性”为核心的新型规制模式。

与《数据治理法》与《数据法》相比，这种规制对象的转型清晰地揭示出“数据访问”规制的深化逻辑：当规制对象从数据本体扩展到系统资产与供应链依赖时，“数据访问”不再仅限于对数据本身的读取权限，而逐渐涵盖对系统、运维渠道、更新配置乃至系统整体控制能力的监管。

综上，规制对象的转型直接推动了规制模式的深化演进，使得“数据访问”逐步摆脱“跨境传输”模式下的附属地位，而成为一种具有独立法律内涵的边界规制技术。

（四）工具链模块：从数据流动治理到访问权限的实现机制

数据访问的独立规制，并不仅仅体现为术语上的变化，而是对应着一整套具有明确法律效果的行政法治理机制。这种治理机制通过设置特定的规制“闸门”，要求市场主体在合同安排、技术架构、供应链管理和企业组织结构等层面做出相应的调整，以确保数据和系统访问权限的可控性与合规性。从当前国际规制实践来看，这种机制通常体现为以下四个维度的工具组合：

第一，资格型工具。明确规制主体资格，具体包括确定哪些主体具备参与特定业务活动、提供数据服务、实施系统运维以及取得市场准入或认证资格的条件与要求。这一工具的目的在于将数据访问的治理机制落实到主体层面，限制不具备安全资格或受到特定第三国影响主体参与相关活动的机会。

第二，结构型工具。对企业内部的技术与管理结构提出具体规制要求，包括数据本地化措施、限制或取消远程访问与处理权限、系统分段与网络隔离、人员背景审查等。这些措施的核心在于通过结构化手段控制数据访问权限的具体路径，防范主体通过远程运维、第三方服务或其他技术方式绕过监管。

第三，程序型工具。主要表现为一系列程序性治理安排，包括风险评估、动态复审机制、禁限名单管理、合规审计、许可与豁免机制等。程序型工具的价值在于实现规制边界的动态调整和持续管理，使规制框架能够实时回应跨境数据治理环境的变化和新兴风险。

第四，市场型工具。主要体现为将数据访问规制要求嵌入市场化机制和经济活动流程中，例如政府采购流程、市场准入认证体系、应用程序的分发渠道以及公共资金支持项目中。市场型工具利用市场与经济活动的激励约束机制，持续强化数据访问规制措施的落地效果。

从具体国家的规制实践来看，美国和欧盟在上述工具链的部署上体现出不同的实施路径。美国模式的突出特点是以合同和商业交易类型为载体，将数据访问规制深度嵌入市场主体的具体商业活动中。

具体而言，美国司法部数据安全计划中，明确规定“受规制的数据交易”（covered data transactions）并非抽象的数据跨境访问行为，而是明确关联于具体的商业合同关系，如数据经纪业务（data brokerage）、供应商协议（vendor agreements）、雇佣协议（employment agreements）和投资协议（investment agreements）。只要这些商业交易结构使得受关注国家（countries of concern）或受控主体（covered persons）可能获得特定数据访问权限，即被纳入禁止或限制的监管框架中。

这种以合同为导向的规制模式不仅关注实际的数据跨境移动或泄露事实，更关注商业交易或组织关系所带来的潜在数据访问能力。通过对“受控主体”机制的定义，美国模式实现了对企业境外子公司、关联企业和个人的有效监管，规制效果与出口管制（export control）的逻辑类似，即以访问能力作为法律边界的核心。

欧盟模式则集中体现为以风险评估和关键资产供应链安全管理为核心的规制实践。《网络安全法》修订案更为明确地提出了一整套供应链安全管理工具箱，将规制对象明确定位于关键信息通信技术（ICT）资产及其供应链安全控制。

这些工具具体包括：限制甚至禁止第三国主体对关键ICT资产的远程访问、现场访问或远程处理；要求关键系统的本地化处理、网络隔离和严格的系统分段；对供应链上的高风险供应商（high-risksupplier）组件提出强制替换或清退要求，并规定明确的合规过渡期限。此外，欧盟还强调将上述安全要求嵌入市场准入认证、关键行业采购流程与合规管理体系中，通过市场机制进一步强化规制措施的实施效果。

总体而言，这种以访问权限为核心的规制工具链转型，为中国跨境数据治理的制度设计提供了极具参考价值的实践路径，但其在引入本土实践过程中需要经过严格的法治化与本地化的合理调适。

综合上述分析可以发现，美欧模式下“数据访问”（access）的规制已不再是一种简单的禁令或个别合规措施，而逐步演变成一种以结构性合规为核心的工具组合。

这一工具的主要特征在于：通过明确的资格要求、技术结构调整、组织控制链条审查及市场准入管理，将地缘政治和国家安全风险直接内化为企业的经营成本、技术架构和组织结构的调整需求；促使企业主动在数据架构、权限控制、运维安排、人员配置和内部治理体系等方面作出结构性调整；并通过控制链穿透机制有效防止企业利用境外子公司、关联实体或外包运维等方式规避监管。

上述规制分析框架完整揭示了当前美欧规制范式从以“跨境传输”为中心的“传输边界”（transfer boundary）模式，逐步向以数据与系统“访问能力”为核心的“访问边界”（access boundary）模式转型的深层次逻辑。基于上述区分，下文不再从单一“数据是否跨境流动”的角度观察问题，而是转向考察“访问能力”如何在不同法域中被定义、连接、对象化并通过制度工具落地。

“访问边界”的系统性排除效应

当美欧法域以“访问能力”而非“跨境流向”作为核心连接点重划数字边界时，跨境数据治理的主轴便从“流动边界”（transfer boundary）转向“访问边界”（access boundary）。

这种制度转型的根本特征在于，其法律效力的产生与数据实际是否进入中国境内不再具有直接因果关系，而转向通过市场准入、服务交付、远程运维、资本管控、数据交易及科研合作等多个制度环节，向境内主体产生广泛的外溢效应。这种外溢效应既表现为对特定产品与服务的直接市场排除，也体现为对存量关键系统实施的强制性访问限制与控制措施。

更值得注意的是，在盟友间协作扩散效应的推动下，此类制度安排可能进一步演化为以国家安全例外条款为法律依据的系统性排除（systemicexclusion），将中国主体及其提供的ICT产品和服务持续性地排除在核心市场的“合规、认证、运维、采购”环节与数据流通网络之外，进而迫使中国企业不得不退回国内生态，或者接受高度分割式的结构重构作为进入境外市场的前提条件。

（一）场景谱系：访问边界下排除与限制措施的典型形态

为更精确地展示“访问边界”制度从抽象规则到实践治理落地的实际样态，可将其具体实施机制总结为六大高频治理场景。这六类场景构成了一条从“排除型治理”（exclusion）向“管控型治理”（control/mitigation）渐进的连续谱系：前者主要通过市场准入条件设定、认证采购标准及资金流动限制等制度入口，全面地将特定产品或服务排除于关键网络和重要系统之外；后者则主要应用于短期内无法迅速替换的既有系统，通过对远程运维、人员访问权限、系统控制面的严格监管，将“访问能力”显著降级、隔离或本地化。

无论是直接排除还是间接管控，其共同的法律后果不仅限于减少特定数据的跨境流动，更实质性地影响和重构了中国企业能否进入并长期维持境外市场经营资格的制度性入口。

一是产品排除，以“高风险供应商的禁用或替换”为核心的系统退网。产品排除作为访问边界治理最直接且最具结构效应的表现形式，旨在将特定国家主体提供的ICT产品（包括硬件、软件、组件及关键服务模块）从关键网络与重要系统中全面移除或阻断其进入渠道。

这一机制的典型法律实现方式是通过明确的“高风险供应商”识别程序，将产品风险问题转化为准入资格问题，继而利用禁用措施、采购限制、强制性替换要求、认证证书获取与维持的限制、参与标准制定的排除等手段，形成系统性“退网效应”。在这一治理路径中，规制逻辑并不需要依赖实际的数据跨境流动事件，而是将潜在的访问能力或影响路径视为不可接受的风险，通过禁止部署或强制替换直接切断相关访问可能性。

二是服务排除，通过合同安排切断“人—服务”链路的制度机制。与产品排除不同，服务排除并不一定要求立即将既有产品从系统中移除，而是通过合同协议和资格审查措施，阻断特定供应商及其关联主体对关键系统和数据的持续性服务访问权限。

具体表现形式包括在供应商合同、托管运维协议和外包服务协议中设置限制条款，明确禁止特定主体提供技术维护、版本升级、故障排除、远程监控、后台管理以及日志回传分析等相关服务；此外，通过在雇佣协议或人员派遣安排中设置明确的国籍、背景审查或可信资质要求，亦可限制特定人员接触敏感系统或要求特定服务必须由经过审查的本地人员执行。

这一机制的规范内涵在于，“访问边界”所关注的并非仅限于数据的读取行为，更包括通过服务提供所形成的持续性接触与长期影响能力。因此，即使相关产品仍保留在系统中，服务链路一旦被切断，也将因缺乏合法的维护升级渠道而被迫退出市场或不得不重新更换合规供应商。

三是存量关键系统控制面的严格管控，以远程访问与人员资质审查为核心。针对短期内无法迅速替换的关键ICT资产，访问边界的治理策略往往表现为对系统控制面与运维权限的严格管控。

这种管控措施包括限制或完全禁止远程运维和远程访问行为，要求关键系统运维必须在属地内实施；此外，对系统管理员、密钥管理员、软件更新发布人员等关键岗位人员实施严格的资质审查和可信性要求；在技术与组织措施方面，通过网络分段、权限最小化、双人控制机制、全量日志审计以及密钥本地托管等手段，全面强化对运维行为的监管。

该治理路径的核心理念在于将数据访问视作一种潜在的“可影响性能力”，因此，通过对写权限、配置权限与系统控制权限的严格限制，实现了外部法域在不立即更换相关设备的条件下降低潜在安全风险。

四是投资并购的访问边界管控，以资本控制为切入点阻断数据与系统访问。在投资并购领域，访问边界的制度逻辑侧重于通过资本控制关系阻断投资方获得持续的数据、系统及经营决策影响能力。

具体实现机制包括否决敏感交易、要求剥离数据资产、设置敏感数据属地存储和指定特定人员进行管理、限制董事会或高管层的控制权、禁止投资方对关键系统的远程访问或直接接触，亦可能通过缓释协议（mitigation agreement）实施长期监督与审计。这一管控机制的规范结构在于明确切断资本控制权向数据访问与影响权的逻辑转化路径，从资本层面确保外部主体无法获得持续性访问能力。

五是数据经纪与交易的禁止，聚焦“数据可得性”的市场准入管控。在数据经纪与数据交易领域，访问边界治理往往体现为对特定数据类型或特定交易对象的严格禁限措施。这些措施通过限制数据经纪商、数据交易平台和数据购买方的活动，阻断以合法商业购买方式实现数据持续可访问性的渠道。

与传统关注数据是否跨境传输的治理模式不同，这一机制关注数据交易结构是否实质性地赋予了特定主体以数据访问能力。即便数据并未实际出境，只要交易结构导致外部主体获得了合法持续的访问权限，亦可能触发禁止措施。这使得数据市场合规监管的标准从具体传输行为转移到交易活动本身，并在供应链管理上形成连锁式排除效应。

六是科研合作中的数据交换限制，以受控访问和合作资助条件实施主体排除。在科研合作领域，数据共享与交换通常依赖于受控访问数据库、明确的数据使用协议及特定的科研资助条件。访问边界治理的典型模式是通过严格的资格审查将特定主体排除于科研合作网络之外，包括限制或完全禁止特定主体访问受控数据库，禁止向其提供敏感的人类生物样本或多组学数据，或者在科研资助条件中明确限制合作对象及数据共享行为。

这种治理方式的关键并非具体跨境传输行为的发生与否，而是围绕主体是否获得进入受控访问体系的制度资格。一旦相关主体被界定为风险对象，即使通过境外机构或第三方参与，也可能被系统性排除于科研合作的制度网络之外，导致长期的资源供应中断与研究能力发展受限。

（二）从六类场景凝练的三类关键连接点

上述六类场景分属网络安全、供应链治理、投资审查、数据市场监管与科研治理等不同制度领域，但其规制落点呈现高度同构，即均以“访问能力”而非“数据流向”为轴，通过准入资格、服务链条、控制面权限与制度入口配置门槛。对六类场景做横向比较可以发现，美欧法域反复动用的并非六套独立规则，而是三类可识别连接点：系统控制面、组织控制、市场生态。正是这三类连接点的叠加，使访问边界能够在不依赖数据进入中国境内的情况下产生持续外溢。

系统控制面连接点聚焦于关键系统远程访问及运维能力的治理，特别强调对云控制台、运维后台、身份认证体系、密钥管理系统以及更新发布通道的全面监管。治理措施集中体现为对写权限、配置权限与系统控制权限的严格限制，核心在于将数据访问风险视作系统性和运维层面的潜在影响能力，进而实现数据治理与系统工程的高度融合。具体表现为对存量关键系统实施技术和组织措施，显著降低系统的可访问性，并与服务排除措施形成治理闭环：前者通过技术与组织上的限制措施削弱访问能力，后者则通过合同约束与人员资质门槛彻底阻断访问主体的持续服务链路。

组织控制连接点通过深入的控制链穿透机制，将规制对象从传统属地划界扩展到境外子公司、关联企业以及受托运维或服务外包链条中的相关主体。规制的关键风险指标从传统的地域或设立地转移至主体是否可能受到特定第三国政府或其管辖主体的影响或控制。在投资并购审查环节，此连接点体现为对企业控制权与治理结构的长期约束；在高风险供应商制度中则具体表现为对企业实际控制关系的实质性认定，从而确保单纯境外设立不足以规避风险识别。

市场生态连接点体现为通过认证制度、采购标准、资金支持项目、关键行业合规要求以及科研资助条件等多个制度入口，形成对特定主体长期化、资格化且可扩散的排除机制。在该机制下，监管措施并非单一禁令的形式，而是经由“认证、采购、运维、资金/科研”等环节形成治理闭环，使排除措施产生持续的市场准入效力。具体表现为：产品排除借助认证采购与标准化体系实现对存量产品的逐步替换；科研合作限制通过受控数据库访问与科研资助条件，长期化地设置合作共同体准入门槛；数据经纪禁令则通过特定交易结构的规制，将市场排除效应扩散至整个商业合作网络。

当上述三类连接点被制度化并链条化运行时，访问边界的后果便不宜仅概括为“合规成本上升”或“数据可得性下降”，而应进一步把握为一种系统性排除机制：其排除并非只发生在单一交易或单一数据流上，而是通过控制链穿透、控制面禁限与制度入口闭环，逐步将特定国家主体及其ICT产品服务从关键网络、关键系统与关键市场通道中剥离；同时，这一机制还可能通过盟友扩散与规则外溢形成跨法域叠加排除，使“境外设立+境外运营”不足以当然消解排除压力。

（三）系统性排除效果

基于前述场景和机制连接点，系统性排除可以定义为：外部法域在国家安全例外的制度框架下，将访问能力与控制关系转化为市场准入与持续经营资格的核心标准，通过认证体系、政府采购政策、运维管理要求、投资审查程序、数据交易限制及科研合作门槛等制度工具组合，对特定国家主体及其提供的ICT产品和服务实施持续性且可扩散的结构性排除。这种排除的核心效力并非取决于数据是否实际跨境流动，而在于企业是否被允许进入并持续保有由“合规、认证、运维与采购”共同构成的关键市场入口。

系统性排除首先表现为在基础设施和数据流网络层面对特定国家主体及其ICT产品服务的排斥和阻断。具体措施包括通过明确的高风险供应商识别机制以及采购认证限制，阻止相关主体（及其产品和服务）进入关键网络与核心系统。此外，还通过严格的服务交付限制与控制面管控，削弱既有存量设备在关键系统内的可维护性、可更新性及持续服务提供能力。在此治理逻辑下，访问边界的功能不仅在于阻止潜在不当访问，更重要的是通过剥离供应商角色、压缩产品和服务持续性，进而将其从数据流网络的日常运营中去嵌入化，从而产生结构性“退网”和“断服”效应。

系统性排除的第二层次表现为通过盟友体系推动同构化访问边界的跨法域扩散。这种扩散通过标准制定、认证体系、采购政策、投资审查以及数据治理规则的同质化，复制了相似的高风险识别标准和禁限措施，使得排除效应超出单一法域的界限。当产品排除和服务排除在盟友体系内逐渐形成一致性标准，当关键系统控制面的治理要求成为跨市场通行的合规标准，以及当投资审查和数据交易禁限在多个关键市场同步叠加适用时，即便中国企业在境外运营，其控制链和访问能力结构也可能被同步纳入高风险监管轨道。

这一局面最终导致中国ICT产品与服务在国际市场上的经营空间被严重压缩，迫使企业要么退回中国生态内循环，要么在继续国际化时不得不承担高度结构化的“切割式”重构成本，尤其体现在组织治理、人员权限管理、数据通道以及供应链的全面去关联化调整上。

（四）美欧访问边界的政治意识形态化

在前述“系统性排除”的制度分析中，美欧构建的访问边界还体现出一个不可忽视的意图性维度，即风险叙事与政治叙事之间的深度耦合。这一耦合直接导致访问边界制度并非完全以技术安全与合规可证性为核心，而是引入大量超越技术与合规范畴的非客观因素，致使市场准入的判断基准从基于“能力、场景、证据”的可审议架构，向以“国别、控制关系、阵营归属”为导向的身份化、预设式推定结构转移。

美国在近期对华数据领域实施的限制性政策即体现了此种演进路径，其管制重点已从传统单点式“技术封锁”转型为体系化的“数据剥离”，进一步明确朝向突出“风险排除”和“去中国化”（China-Free）的战略目标。这种战略的制度核心并非针对具体风险场景的精细化治理，而是试图通过对数据获取渠道的预置性阻断，在中美之间搭建多层次的隔离与防御结构，形成一种覆盖数据链路全程、带有明显“数字铁幕”特征的治理模式。

当然，上述政治化趋向并不意味着安全风险本身不具有真实性，而是意味着外部制度对于风险识别与评估的证据阈值、推理模式发生了结构性转变。具体而言，监管主体越来越倾向于将“可访问性”与“潜在控制或影响力”直接锚定于企业或组织的身份属性，使得原本可以通过权限分级、运维隔离、密钥托管、第三方审计等合规缓释措施加以管控的风险，直接被转化为对特定国家或特定主体的前置性否决。

这种趋势在美国政府相关政策文件中亦得到明确体现，美方监管重心已经显著从传统的“跨境传输管控”转向更加严格的“跨境可访问性治理”，并明确将“谁有权接触数据”作为监管核心（涵盖逻辑访问、远程读取等多种形式），从而使合规认定过程极易被个人身份、组织结构以及供应链关系等非技术因素主导。

在欧盟的治理表达中，这种制度逻辑体现得同样显著。CSA2提案通过ICT供应链安全机制的重构，明确地将“非技术性风险”纳入核心监管指标，并将风险定义延伸至供应商可能受到第三国影响或干预的潜在可能性。由此，欧盟制度体系中导入了“高风险供应商”识别机制，并以此为基础展开系统化的禁用或风险缓释措施、强制替换与退网要求，以及与认证、标准制定、公共采购和资金项目的制度性联动。

换言之，欧盟的监管逻辑已不再单纯追问“产品或服务是否满足技术安全标准”，而是通过供应商的设立地、控制关系及第三国干预风险，将其地缘政治属性及控制链直接纳入一个统一的治理框架，并经由联盟层面的闭环制度架构将这些政治化因素外溢至市场准入与产业生态参与的全过程。其所造成的影响不仅表现为客户采购门槛的明显提高，更重要的是表现为对特定供应商在认证、标准制定与公共采购等关键治理入口的制度性排除和资格剥夺。

因此，从规范评价的视角来看，当前美欧所构建的访问边界体现出一种“安全内核+政治外壳”的复合治理结构。网络安全、数据安全以及供应链安全等风险问题确实具有客观真实性，但美欧制度实践却在关键治理环节将这些风险高度“身份化”“阵营化”“政治化”，使得非技术因素在制度内部获得合法通行权，从而极大地限缩了企业通过提供技术证据、实施缓释措施而取得“有条件市场进入”的合规空间。正是在这一制度设计之下，系统性排除不再是意外产生的治理副产品，而成为被预置于“市场准入、经营资格、持续监管”链条中的内生性后果。

开放型应对：访问边界的企业合规与国家制度供给

面对美欧围绕访问边界所构筑的结构性排除机制，最直观、最简单的应对方式自然是“针锋相对式”的对等反制。然而，此种封闭式回应不仅难以从根本上解决问题，反而可能加剧产业脱钩风险，令中国数字经济的全球布局陷入被动。

当前，中国已进入高水平对外开放的新阶段，产业的发展与国际竞争力的提升必须建立在开放的市场、可预测的规则环境与持续的国际合作之上。因此，中国应在承认外部机制“安全内核”合理性的基础上，区分“内核”与“外壳”，坚持以开放的逻辑摆脱封闭的困境，避免以短期的政治对抗代替长期的制度建设。

具体而言，国家层面必须提供既能有效回应外部安全关切，又能保持企业海外运营空间的制度性解决方案，由此才能真正实现我国数字产业的全球化发展和高水平开放的目标。

（一）安全理据的正当内核与国别化极端路径

需要认识到，访问边界并非单纯出于政治目的的人为创造，其制度背后存在一个具有客观真实性、能够被认可的安全理据内核。具体而言，一旦远程运维、控制台权限、密钥分发及软件更新通道等“控制面”环节被不当干预或操控，安全风险将不再局限于单纯的数据外流，而可能迅速扩展为系统完整性和可用性的损害、关键基础设施的被控或瘫痪，以及供应链的植入或断供等系统性风险。

同时，服务外包、云端化运维模式与软件供应链的普及，使得风险形态已由传统孤立事件演化为可能快速扩散的结构性风险。因此，从技术安全的视角出发，“以访问能力为核心的安全关切”是完全可以成立的。由此可见，问题的核心并非“风险是否存在”，而是“风险如何被准确识别与有效治理”。

问题在于，美欧的制度实践往往将上述客观存在的安全内核嵌入到具有明显国别化、意识形态化特征的政治外壳中：一方面，以企业主体的国家属性、控制链归属等身份特征取代对企业可核验的技术能力与具体风险场景的客观审查；另一方面，以“一刀切”式的彻底清退措施取代更为合理的“有条件进入”与“风险可缓释”式治理路径，并且在援引国家安全例外的过程中系统性地弱化了理由说明、程序申辩与复审机制。由此，访问边界逐渐偏离其本初的风险治理工具属性，转变为具有明显排他意图的结构性排除工具。

基于上述安全与政治相交织的二元结构特征，中国在进行制度回应时，应避免落入对等封闭与短视反制的被动局面，也不能局限于仅制定针对性的政策对策清单。相反，更合理的路径应当是采取“内核合规化、外壳程序化”的开放型治理方案：一方面，充分承认并理性吸纳访问边界背后合理的安全内核，通过能力化、证据化与合规化方式积极回应境外的正当安全关切；另一方面，对于明显政治化、歧视化的入口排除措施，则需要构建一套制度化的程序救济装置，确保排除的标准、程序和理由都能够被识别、被归责、被申辩，并在必要时诉诸可交涉和可争端化的法律渠道加以矫正。

（二）企业“控制面治理+证据化表达”的海外运营方案

应当注意的是，访问边界并非仅限于美欧法域。伴随数字基础设施、云服务以及软件供应链在全球范围内成为各国国家安全政策的重要议题，越来越多的国家开始强调网络安全、数据安全与供应链安全的治理诉求。这些安全诉求本身具有一定的风险正当性，中国企业若希望在境外维持持续经营资格，就不能将所遭遇的市场准入壁垒简单归因于外部的政治因素，而应主动将之转化为可被识别、可被治理的合规问题。

因此，中国企业应在涉及关键数据流动与核心能力输出场景中，建立起一套能够对外清晰解释、可被第三方核验且可持续运行的海外运营合规方案，以有效回应外部主体对于控制面风险的疑虑，争取国际市场的持续信任与长期经营许可。

具体而言，这种海外运营方案的核心不应是抽象的合规承诺，而需围绕企业控制的风险构建清晰可行的内部治理措施，至少包括以下三项能力：

第一，访问能力分级与权限治理机制，即根据数据访问的安全风险等级，明确区分“读取、写入、控制”三个权限层级，并重点强化对写入与控制权限的约束；第二，控制面治理措施，全面覆盖远程运维通道、特权账号管理、密钥与证书托管机制、更新与配置通道的双人控制与签名认证机制，以及必要时可执行的回滚和冻结程序，确保对关键操作始终实行“最小权限、双人复核、可追溯、可撤回”的安全控制；第三，持续合规运行机制，即将上述治理措施固定为日常运营与审计流程中的有机组成部分，以回应外部市场对于企业持续经营资格的关切，而非局限于一次性合规达标。

但仅凭企业的内部控制机制不足以完全克服外部访问边界设置的首个“证据门槛”。在当前国家安全例外的国际治理环境下，外部法域往往倾向于基于企业主体属性和控制关系进行预防性风险判断；若企业无法提供清晰可核验的权限控制与运维治理证据，极易在认证、公共采购或运维准入环节遭遇一票否决。

因此，企业需要将合规措施从抽象的承诺转化为明确可审、可验的结构性证据，形成“合规证据包”（compliance evidence package）。例如，访问权限矩阵（含读写控分类）、特权账号管理记录、远程运维审批与网络隔离措施、密钥与证书托管架构、更新与配置通道的签名复核机制，以及访问日志与审计轨迹等。

如此，企业才可能将外部的政治化推定拉回到客观、可核验的证据层面，并为后续的程序性救济与争端解决奠定坚实的事实基础。然而，若证据包、可信证明、对外呈示及持续更新完全由单一企业分散自建，则不仅带来高昂且重复的合规成本，也将削弱整体国际竞争力。这即引发了国家层面的公共制度供给需求。

（三）通过国家数字合规基础设施提供公共产品

如果将企业层面的控制面治理与证据包视作“微观合规单元”，则国家有必要提供一套可规模化复用的“宏观制度支撑体系”，以避免企业被迫在“回撤国内市场”与“国内外彻底切割”之间作出被动选择。此类制度供给可被定义为“国家数字合规基础设施”，即国家为支持企业跨境数字经营而建立的规模化、复用性的合规公共产品与制度接口体系。该体系的目标并非替代企业个体的合规责任，而是通过标准化、审计化的制度框架，将分散的企业合规成本转化为可对外清晰交付的“信任基础设施”，从而在多国安全诉求背景下提升我国企业在国际数字市场的参与能力与制度韧性。

具体而言，国家数字合规基础设施应包含以下关键要素：

第一，标准化的“合规语法”，即通过国家标准、行业标准或团体标准等形式，统一明确访问能力分级、控制面治理和证据表达的最低要求与规范格式，以实现跨国市场合规要求的可互译与可复用性；第二，制度化的“可信证明”（attestation/assurance）机制，通过权威第三方安全评估与审计，出具跨境可复用的审计报告与声明，区分“设计型证明”（控制措施是否合理设计）与“运行型证明”（控制措施是否持续有效），同时配备完善的撤销、更正与抽查机制，防止证明异化为形式上的合规凭证；第三，解决“证据可信性”问题的技术底座，通过防篡改存储、可信时间戳、哈希校验、版本管理与最小披露机制，确保审计证据的连续性、完整性与真实性；第四，提供可持续运行的程序性支持，将合规过程从临时项目化转变为日常流程化，以证据包的持续更新、复核和触发重大变更更新机制，并与国内监管衔接，降低企业合规成本。

此外，上述基础设施必须进一步落实为具体可操作的公共服务，而非停留在抽象政策层面，具体包括出海企业的合规模板、控制面治理合同条款库、国别规则解读工具、专家咨询支持服务、翻译和证据固定工具，并与贸易争端解决及壁垒应对机制形成“一键转接”程序接口。唯有如此，国家数字合规基础设施才能有效地将合规证据与可信证明转化为企业可直接使用的公共产品，并使企业的国际市场参与能力和制度韧性从理论转变为可操作的实践路径。在此基础设施支撑之下，还需进一步构建应对“控制链穿透风险”的结构性工具。

（四）组织法隔离与控制链中立化机制及自贸区试点路径

外部访问边界的第二道门槛是“控制链门槛”。在控制链穿透的治理逻辑下，企业仅凭境外设立子公司或关联企业，尚不足以自然地消除风险认定；相反，即使服务主体位于境外，仍可能因企业总部或集团整体的决策影响而被认定为高风险主体，从而在采购、认证、运维准入等关键环节遭受结构性排除。

为避免企业陷入“国内外彻底切割”的困境，应将制度应对的重点置于“控制链风险的可治理化”：以可选择、可备案、可审计的结构性安排，压缩外部机制基于控制链所做出的“一刀切”推定空间。为此，本文提出构建“境外数字经营的组织法隔离与控制链中立化机制”，并进一步明确国家的制度角色。

具体而言，组织法隔离（ring-fencing）可以围绕治理隔离、权限隔离、控制面隔离、审计隔离与合同化隔离五个维度构建：

一是治理隔离，境外实体需设立独立的合规与安全负责人，并明确关键岗位任免、重大安全事项决策的属地化与独立程序；二是权限隔离，明确读/写/控权限的严格分层管理，尤其强调写入与控制权限必须满足“双人控制、最小权限”原则，防止总部远程单方面开启权限；三是控制面隔离，涉及关键密钥与证书需交由境外实体或可信第三方托管，更新与配置通道须具备可审计、可回滚与冻结的能力；四是审计隔离，要求企业形成独立的审计轨迹与可提交的评估报告；五是合同化隔离，通过集团内服务协议与运维合同明确上述隔离要求，以合同形式固化远程访问触发条件、权限审批、日志交付、违约后果及紧急处置权，使隔离安排具备可执行性。

此种结构安排的本质，不是规避外部监管，而是将抽象的控制关系转化为客观的结构事实，使外部审查标准从身份推定回到结构和证据层面。

在这一机制中，国家的角色应明确界定为“制度通道提供者”而非“企业经营替代者”。具体而言，国家可在三方面提供制度支撑：一是确认结构工具的合法性，明确企业为满足境外合规需求实施隔离安排的合法界限，避免企业在双重合规环境下陷入困境；二是建立隔离结构的备案与复审机制，形成具有公信力的“结构中立化证明”，并以定期复审与重大变更更新防止形式化合规；三是明确国内外冲突的协调机制，当隔离结构与国内义务发生冲突时，通过备案程序提供替代履行路径、限定履行范围或明确例外规则，保障企业的制度选择空间。

在具体实施路径上，自贸试验区可作为该机制的试点区域：允许企业在自贸区设立专门面向海外运营的“海外数字经营合规单元”，在业务边界、数据范围与控制面架构上实现可识别的隔离。在国家数字合规基础设施的支持下，完成证据包的构建、可信证明的出具、结构安排的备案与定期复核。自贸区作为制度创新的试验田，具备“负面清单式便利化与风险可控”的优势，能有效整合证据化治理与结构中立化措施，为企业提供既开放又可审计的跨境经营制度通道。

然而，即便如此，仍需承认，在外部措施明显政治化的极端情况下，企业自身的合规与结构性安排尚不能完全消解风险，国家需进一步提供程序化的兜底机制。

（五）对意识形态化、政治化入口排除的程序化反制与争端接口

即使企业已建立高标准的控制面治理机制并提供充分的合规证据，即使组织结构已实现客观的中立化隔离安排，外部访问边界仍可能因其政治化特质而实施排除措施。

以国家属性或意识形态阵营划分为基础的“一刀切”式排除行为，将导致企业在认证撤销、公共采购、标准制定、关键运维许可等市场准入环节长期遭受结构性排除，使企业最终陷入被迫退出国际市场或付出高成本进行国内外彻底切割的被动局面，严重削弱我国企业国际市场的参与能力与韧性。因此，国家层面应构建兜底机制，明确坚持程序化反制的原则，即通过事实确认、法律定性与争端化渠道，将政治化排除措施重新纳入法治化的轨道。

程序化反制的具体路径包括三步：第一，清晰界定“政治化”排除措施类型，例如基于国别、控制链推定而产生的认证拒绝或撤销、公共采购禁入、标准化排除、运维许可拒绝等，识别其程序瑕疵和差别待遇的迹象；第二，构建企业申诉机制与标准化的证据库，将企业个案举证整合为可供交涉和争端解决的统一事实依据；第三，建立法律定性与争端路径分流机制，对规则外溢型排除措施优先采取经贸磋商、监管对话、标准化协商与贸易壁垒应对途径；对域外制裁和长臂管辖型限制采取法律阻断、合规指引与司法抗辩途径；对个案合同争议则采取仲裁、诉讼等救济途径，并提供公共法律资源支持。

兜底机制的重要保障在于建立“交涉、争端”接口，将行业性、扩散性排除措施转化为国际经贸与标准化对话议题，促使对方回到程序正当与比例治理的轨道，避免反制措施成为新的不确定性来源。通过上述制度设计，实现我国企业在国际市场的可持续参与和长期竞争力的制度保障。

结语

展望未来，全球跨境数据治理的博弈主轴将长期确立在“访问边界”之上。随着数字经济的深化，美欧基于权限管理、控制链穿透与政治化前置否决的系统性排除效应或将持续扩散。中国企业在全球化运营中面临的“数据进不来、用不上”以及由此引发的准入资格摩擦，将成为亟须破解的常态化挑战。

面对这一不可逆转的治理范式转向，中国的跨境数据治理须跳出单向度的防御逻辑，坚定走向“高水平开放”的制度重构。未来的制度演进应深入贯彻“内核合规化、外壳程序化”的战略思维：既要正视外部合理的安全诉求，引导企业将控制面治理转化为客观可验的“合规证据包”；又要对政治化的入口排除采取坚决的法律定性与程序化反制。

从国家制度供给的长远布局来看，我国应加快落地三项关键性举措：一是构建标准化的国家数字合规基础设施，为出海企业提供规模化复用的可信证明；二是依托自贸试验区等高水平开放阵地，探索并确立跨境数字经营的“组织法隔离与控制链中立化机制”；三是建立健全与国际经贸规则相衔接的程序化反制与争端解决接口。

唯有主动构建具有国际互操作性的开放型合规与救济体系，中国方能在保障数字主权的前提下，将外部的“一刀切”式剥夺压缩至法治轨道，最终实现高质量发展与高标准安全的动态再平衡。

声明：本文来自中国法律评论，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。