惠志斌　张衡

摘要：数据经济时代，数据的外部性特征决定了数据需要在更多的维度和更广的范围实现开放、流动、融合才能产生更高的价值和效用。从国际范围看，数据全球化趋势明显，各国数据主权管辖全面兴起，全球跨境数据流动管理政策面临重构。对我国而言，跨境数据流动管理需遵循数据经济发展规律，把握全球产业竞争和政策演进的趋势，认清我国产业能力和发展目标，明确我国国家安全和网络安全的“红线”，实现经济发展、国家安全、公民权利等多个价值目标的有机协同，推动我国数据经济的发展和数据主权的实现。

关键词：数据经济；数据全球化；数据主权；跨境数据流动

中图分类号：TP311.13；TP393.4；F49

文献标识码：A

文章编号：0257-5833（2016）0849013—10

作者简介：惠志斌，上海社会科学院信息研究所副研究员；张衡，上海社会科学院信息研究所助理研究员

（上海200235）

全球进入数据驱动经济社会创新发展的数据经济时代，数据经济的特征决定了数据必须在更多的维度和更广的领域实现流动与融合才能产生更高的价值。从这个意义上来看，数据的全球化可以推动信息技术和网络服务的创新发展，促进各类企业的全球运营和商业拓展，进而提升各国的经济效率和社会福祉。然而，数据全球化也不可避免地触发了各国对个人隐私、国家安全和经济前途的风险担忧，尤其是在斯诺登事件的警示下，越来越多的国家基于数据主权对跨境数据流动进行管辖，全球跨境数据流动管理政策面临新一轮重构。

一、数据经济的发展范式

阿尔文。托夫勒在《第三次浪潮》中提出，人类文明以浪潮的方式演进，每次浪潮都有若干重要的子波。发端于二十世纪六十年代的信息文明先后经历了计算机、互联网等重大的工具性革命之后，迎来了云计算、移动互联网、物联网、大数据、人工智能等新一代信息技术群落的形成和扩散，信息文明的—个重要子波——以“数据”驱动经济社会创新发展的数据经济时代正全面来临。

数据经济所具有的内涵与意义可以通过“技术一经济”范式（Tech-Economic Paradigm）予以观测分析。根据弗里曼、多西等学者的研究，技术创新可分为增量创新、基本创新、新技术体系变革和技术经济范式变革四种类型。相较于前三类技术创新，技术经济范式变革所具有的革命性意义在于从生产要素、技术产品、商业形态、组织结构、管理文化等各个方面对整个经济体系产生渗透和重构效应，进而推动各经济领域的全面创新和社会生产效率的成熟迁跃。其中，关键生产要素是指技术经济范式中的一个特定投入或一组投入，成为“关键生产要素”需满足三个条件：（1）使生产成本具有明显下降的能力；（2）在很长时期具有无限供应能力；（3）广泛被应用和易于扩散的能力。由于关键生产要素居于技术创新、制度创新和管理创新等经济增长能力的核心地位，因此也决定了技术经济范式的特征并成为划分不同类型技术经济范式的主要依据。本文从主导性技术、关键生产要素、经济形态、管理模式等方面对由工业文明演进到信息文明的“技术.经济”范式进行梳理和比较，具体如表1所示：

基于“技术一经济”范式的比较分析可以发现，新一代网络信息技术群落的形成使得数据资源价值被全面发掘，并符合关键生产要素的特征：（1）数据具有共享性和外部性等特性，数据要素投入使得数据自身的边际生产成本递减，同时使得传统物质要素资源得到节约；（2）新一代网络信息技术的发展以及网络空间和物理世界的实时/深度融合，数据资源规模呈现指数级增长，将具有无限供给能力；（3）数据资源产生并扩散在经济社会的各个领域，可以激活和提高其他要素的生产率，加速劳动力、资金、机器等传统经济要素的流动共享，带来更高的生产效率。

综上所述，数据是推动新一轮技术创新、制度创新和管理创新的关键生产要素，是资本、物资、技术、人员等其他生产要素高效组合的纽带与核心。数据的开放、流动和共享将颠覆传统工业时代的商业形态和产业边界，推动大规模跨产业协作和创新，衍生出包括平台经济、共享经济等经济模式，激活人类的创新力和生产力，一个以数据资源为核心动力的数据经济时代正全面来临。

二、数据全球化的发展格局

全球化是当今世界与信息文明同步发展的另一个最主要趋势，德国哲学家于尔根.哈贝马斯将全球化界定为“世界经济体系的结构性转变”。经济全球化是全球化最主要的表现形式，具体是指一系列要素、中间产品与最终产品以及服务产品的市场经济活动跨越地理界限形成统一整体，并使跨国界价值链在国际循环中的地位不断上升的经济现象。余永定、张幼文、陈钧浩等学者认为全球化的本质是生产要素跨国界的流动，要素流动正在深刻改变着全球经济运行的方式。

当前，数据成为关键性生产要素，数据的全球流动是全球化的典型形态。事实上，数据全球化趋势在最近十年的全球化发展历程中已经得到显著的体现。2016年2月，国际著名咨询机构麦肯锡全球研究院（MGI）发布《数字全球化：新时代的全球性流动》（Digital Globalization：TheNew Era of GlobM Flows）报告提出，“2008年以来，在全球商品流动趋缓、跨境资本流动出现下滑的趋势下，全球化并没有因此而逆转或停滞。相反，因为跨境数据流的飙升，全球化进入了全新的发展阶段”。根据该报告关于全球化各类要素流动的比较（见图1），在2005-2014年间，全球数据流从4.8Tbps达到211Tbps，增长了45倍；与之对应的全球商品流从10.6万亿美元增长到19万亿美元，全球服务贸易流从2.5万亿美元增长到4.9万亿美元，全球资本流（外商直接投资）从1.39万亿美元增长到1.63万亿美元，远低于全球数据流的增长。此外，从各国对全球化的贡献来看，相较于商品、服务和资本较为稳定的结构，数据的全球化结构处于显著变化之中，15个主要大国以外的国家的数据全球化贡献占比从2005年的13%增加到2014年的23%，表明越来越多的国家、尤其是发展中国家正在积极参与并推动数据全球化I均发展。总体来看，数据流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，不仅支撑起包括商品、服务、资本、人才等其他几乎所有类型的全球化活动，同时也在发挥着越来越独立的作用，例如D～abank等直接针对数据的资产化管理和商业交易体系的兴起。

尽管数据全球化发展迅猛，但各国发展水平仍存在明显差距。根据麦肯锡全球研究院关于全球化连接流动水平的排名（见表2），新加坡、荷兰、美国、德国、中国、英国、法国等主要经济体的全球化水平领先。相较于其他发达国家较为均衡发展的态势，我国的商品和金融全球化流动处于世界前列，但在人员和数据的全球化流动方面明显偏低，其中，数据全球连接性方面仅居于第38位，远落后于美国、德国、英国、法国、日本等经济强国。因此，在数据驱动的新一轮全球化发展浪潮中，我国数据全球化仍有巨大发展空间，将对我国国内经济转型升级和全球竞争力提升具有决定性意义。

三、数据主权的概念与实现

全球化对各国经济社会发展起到了明显的促进作用，但同时也对民族国家主权管辖产生了现实的解构效应。德国著名社会学家乌尔里希·贝克曾提出，“全球化将导致民族国家、民族国家主权被跨国活动主体、被它们的权力机会、方针取向、认同与网络挖掉基础”。当前，数据全球化趋势不可避免地引发了诸多国家对数据主权（Data Sovereignty）的担忧，尤其是在“2013年棱镜门”和“2015年美欧安全港废止”等重大事件的触发下，越来越多的国家对本国数据跨境流动进行规制，围绕数据主权的研究也在全球兴起。

数据主权是对主权、信息主权、网络主权等概念的继承和发展，迄今为止国内外关于数据主权的概念内涵尚未统一，较具代表性观点包括：扎卡里·彼得森等认为数据主权是云计算等新兴互联网应用刺激的结果，也是自互联网诞生之日起就内嵌其中的技术特征与客观特点使然，其最主要的表现形式就是数据所有者、使用者、存储者在地理位置上的分离以及由此带来的权利、权力的识别和有效行使，该观点从技术发展的视角认识数据主权的产生，可以对数据主权与信息主权、网络主权等概念进行较好区分。蔡翠红认为数据主权概念分为广义和狭义两类，广义的数据主权包括国家数据主权和个人数据主权，国家数据主权是个人数据主权得以实现的前提，而国家数据主权又依赖于个人数据主权的支撑和表达。狭义的数据主权仅指国家数据主权，而个人数据主权则可称为数据权，指用户对其数据的自决权和自我控制权，并认为多数西方学者提到的数据主权多指个人数据主权，而中国学者更加强调国家数据主权。该观点辨析了国家数据主权与个人数据权的关系，廓清了数据主权的研究对象。齐爱民等认为数据主权分为数据管理权和数据控制权，但强调数据主权并不意味着对数据跨国流动的完全控制，而是要在管理控制和自由流动之间寻求合理平衡。该观点明确了数据主权概念的应用场景和实施原则。综合相关学者研究，本文认为数据主权是指在云计算为代表的新一代网络信息技术发展环境下产生的政治与法律概念，具体是指一个国家对其政权管辖地域范围内个人、企业、政府等相关组织所产生的数据拥有的最高权力，其核心目标是要保障本国公民数据权利、维护本国企业数据权益，这也是支撑和表达数据主权的基础。因此，数据主权外在表征为一种权力，内涵范畴则是由权利和责任两个方面共同构成，一是主权国家对本国数据所享有的管辖权、利用权、获取权和消除权等权力；二是对涉及个人隐私和财产、企业数据资产以及国家安全相关数据保护的责任，包括对本国公民和其他境内行为体在国际社会的数据行为负责。

尽管一些学者认为数据主权“只是一种幻觉”，但是无论从主权理论的发展规律还是科技变革的内在逻辑来看，数据主权的产生具有必然性。一方面，数据主权是主权国家及其法定代理——政府维护其权威和合法性的必然要求。根据福柯的“治理性”（Govemmentality）理论，国家具有将其权力向新技术、新领域延展的天性，当数据成为国家权力和财富的来源，各国数据经济发展与竞争格局又存在显著的不平衡时，客观上推动政府将数据纳入主权管辖范畴，以此来实现对国家发展的控制和塑造；另一方面，大数据、云计算、物联网等技术应用对各国数据安全和隐私保护带来重大挑战，面对全球范围的数据采集、开发、利用和监控的形势，既有依托企业的保护模式和法律政策难以为继，国家通过数据主权原则可以推动系统性的法律政策变革，对跨国企业、他国政府等各类行为体将具有更加有效的约束，2016年4月欧盟出台的《一般数据保护条例》（General Data Protection Regulation）就是欧盟数据主权的典型体现。

但是，相对领土、人口等其他类型的国家主权管辖对象，数据主权的实现又具有复杂性。首先，数据主权权力关系具有依赖性。任何国家的数据主权都面临来自纵横两方面的制约因素，横向是指一国网络空间的实力和其他国家之间的权力关系，纵向是指国家和超国家、亚国家甚至个人之间的网络空间权力关系。因此，各国的数据主权管辖需要与其他国家和行为体之间形成权利交换与权力妥协，单方面强调对本国数据资源的绝对控制最终将导致数据流动停滞和与网络空间分裂，最终使得本国数据主权受损。其次，数据主权管辖边界具有重叠性。大型跨国公司数据中心的全球分布导致了数据所反映的对象、物理平台、经营主体隶属于不同国家法律管辖范畴，国际法缺失和各国法律差异/博弈导致数据主权管辖边界面临重合和冲突，例如，美国谷歌公司将德国公民数据托管在谷歌设置于爱尔兰分公司的数据中心，德国（属人管辖原则）、爱尔兰（属地管辖原则）和美国（国家执法义务等）三国对其中的数据均有主权管辖的需求和主张。第三，数据主权管辖能力具有不对称性。技术发展、商业创新导致数据性质和权属关系的模糊，海量、异构、实时数据的跨境流动削弱数据主权的管辖能力，美国在网络空间基础资源和技术产、的主导地位对各国数据主权保障能力形成现实压制，即便斯诺登事件之后各国高度重视数据安全技术和产业发展，但全球数据主权保障能力不平衡的现状依然明显。

总体来看，数据全球化与数据主权是“一个硬币的两面”，数据全球化是数据主权管辖的前提背景，数据主权管辖是数据全球化的必然结果，基于数据主权管辖的数据全球流动将推动全球数据资源竞争与合作，避免全球数据资源开发利用的失控和失衡，将推动全球数据经济的健康持续发展。

四、国外跨境数据流动管理的趋势与方法

正是在数据全球化和数据主权的交互作用下，跨境数据流动（Transborder Data Flow。简称TDF）成为各国数据安全管理的重点领域。由于各国数据经济发展水平/模式、法律制度渊源和数据主权目标等方面的差异，全球跨境数据流动政策法律出现了明显分野和博弈。例如，美国主导TPP协议提出成员国之间实现数据自由流动；欧盟数据保护改革进一步扩展了法律的适用范围，废除实施了20年的“安全港协议”，实施新的“隐私屏障”协议；俄罗斯颁布法律要求数据本地化存储。总体来看，国外跨境数据流动管理实践呈现出以下趋势以及与之对应的相关手段方法。

第一，以提升个人数据出境后的保护水平为目标，构建数据跨境流动规范体系。例如部分国家/区域通过充分性保护认定豁免数据跨境转移的限制；以合同方式约定跨境数据传输的隐私和安全控制，具体工具包括标准合同条款、弹性合同条款等；以企业自律性行为准则保证跨国企业内部数据保护水准，例如欧盟推出了“有关国际数据转移的约束性企业规则”（BCRs）、《APEC隐私保护框架》等。

第二，以法定的例外与严格的用户授权为数据跨境流动提供空间。通过文献梳理我们发现，凡是制定统一的个人数据保护法的国家和地区，大多制定了有关数据跨境流动限制的例外条款。允许特定情形下的跨境数据传输。数据使用者可以适用例外条款进行数据跨境传输，而无需获得监管机构的事先许可。此外，许多国家的法律都规定，数据主体的同意是数据跨境传输合法性的基本条件，各国新修订法律普遍提高了“明确告知”和数据主体“同意”的标准。

第三，以驱动数字经济发展为本位，优先寻求区域内的数据自由流动。面对数据经济的趋势，促进数据自由流动的相关内容成为双边/多边国际贸易谈判中的重要内容。较为典型的是2015年10月，在美国主导下十二国签署“跨太平洋战略经济伙伴关系协定”（TPP），确保全球信息和数据自由流动，不将设立数据中心作为允许TPP缔约方企业进入市场的前提条件，也不要求转让或获取软件源代码。此外，针对数据保护水平不同的两地提供弹性规范机制也是有效措施，例如欧美之间跨境数据流动采取的《安全港协议》和《欧美隐私盾》机制。

第四，以扩大本国法律域外效力为手段，掌握跨境数据流动管理的主动权。以欧盟为例，欧盟于1995年颁布的《数据保护指令》适用属地原则，即在欧盟设立机构，或者是通过欧盟境内的设备处理数据才适用欧盟数据保护法。但2016年4月，欧盟正式通过的《一般数据保护条例》则改变了这一原则，将《条例》的适用范围扩张至欧盟境内所有数据主体的个人数据处理.即使相关的数据控制者或者处理者在欧盟境内不具有机构实体，只要数据处理涉及向数据主体提供商品或服务，以及对数据主体的行为进行监测，就适用该法，因此该管理模式也被称为“长臂管辖”。

第五，以国家安全和方便执法为考量，推出本国公民个人数据的本地化存储。斯诺登事件后，数据跨境流动的限制从隐私权保护的主旨演变为国家安全的考量，同时为了加强对数据监控和执法便利，部分国家开始推动个人数据本地化存储策略。2015年9月1日开始实施的俄罗斯新版《个人数据保护法》规定，收集、更新、修改个人数据必须在位于俄罗斯联邦境内的数据库中进行。本条规定并不限制将数据传输至境外，但是对数据的初始收集或任何更新都必须在位于俄罗斯的数据库中进行。

第六，采用强管控和限制性手段，对特定领域敏感类型的数据采取跨境流动管理。例如，针对公共部门数据和管制技术数据跨境流动的主要监管措施包括本地存储、限制出境、安全审查、前置审批等；对敏感商业数据则主要通过安全协议的方式，以wro规则中的“国家安全例外”事项为突破口实施各类安全审查，对敏感数据跨境的限制，作为安全评估的重要因素、合同约定的必要条件体现。

五、我国跨境数据流动管理问题与对策

近年来，我国积极开展跨境数据流动管理的政策法规建设，例如，2015年6月第十二届全国人大常委会第十五次会议审议的《网络安全法（草案）》明确提出开展跨境数据流动监管的战略要求，2015年9月国务院印发的《促进大数据发展行动纲要》提出要切实加强对涉及国家利益、公共安全、商业秘密、个人隐私等跨境数据流动保护的要求，相关法律法规及其规范要求如表3所示：

尽管跨境数据流动管理已经成为我国网络安全与信息化发展的重要政策议题，也备受国内外企业和用户的关注，但无论是从法律法规内容还是管理实践效果来看，仍存在诸多问题。首先，跨境数据流动管理主旨存在偏差。从国际范围来看，大部分国家跨境数据流动管理目的是通过有效保护鼓励数据双向流动，但我国现有法规政策的偏好是对数据流出的管控性安排，将系统性管理窄化为限制性管控并不利于我国国家利益的实现。第二，跨境数据流动管理重心有待平衡。相较于欧盟持续强化用户数据控制权以及美国政企博弈平衡等管理模式，我国跨境数据管理呈现出以国家安全统领个人隐私和商业秘密的倾向，抽象宽泛的国家安全极易导致限制范围的扩张和管理手段的僵化，导致公民和企业数据自决权的降低。其三，跨境数据流动管理能力明显不足。我国数据保护的基础性立法和标准较为匮乏，监管体系较为分散，执法能力存在不足，与国外保护水平存在明显落差。因此也导致我国跨境企业面临十分严苛的海外法律遵从和合规成本。最后，跨境数据流动管理国际合作匮乏。当前我国跨境数据流动管理倾向于采用本地化存储和安全审查，缺乏更加立体性的双边和多边机制的构建，尚未与国际贸易伙伴建立跨境数据流动互信机制，这与我国所具有的经济地位并不相符，也将制约我国未来数据经济的健康发展。

针对上述问题，本文认为，数据经济时代，积极有序地推动我国数据开放开发、鼓励数据双向跨境流动符合我国“网络强国”、“互联网+”、“一带一路”的战略要求，对我国经济社会的创新发展具有重大意义。对管理者而言，应当遵循数据经济发展的基本规律，把握全球产业竞争和政策演进的趋势，认清我国当前产业能力和发展目标，明确我国国家安全和网络安全的‘t红线”，实现经济发展、国家安全、公民权益等多个价值目标的有机协同，真正推动我国数字经济的发展和数据主权的实现。

在上述思路指导下，我国跨境数据流动管理政策法律需要秉持一些基本的原则，具体包括：鼓励流动原则，加强管理是为了鼓励流动而非限制流动，即便近年来各国加强了跨境数据流动监管，但相关政策法律仍是以鼓励数据自由流动为主，我国的相关立法与执法需要以鼓励数据流动为前提和根本。依法管理原则，跨境数据流动管理关系到国内外企业和公民等多元主体的基本权益，必须加强本国数据保护法律建设并依法开展管理，相关法律须透明精准，克服模糊地带。安全可控的原则，政府开展跨境数据流动管理必须明确安全底线，廓清限制流动的数据范围，同时提升能力保持对跨境数据流的可知可控，保障国家安全和用户隐私。依托企业的原则，企业是跨境数据流动的主体，政府需要鼓励企业更多地运用市场化机制手段提升跨境数据流动管理。国际合作的原则，我国数据保护水平的低下限制了我国跨境数据流动多边和双边机制的发展，使得我国跨境企业面I临业务受限、合规风险和成本增加等不利局面，未来我国跨境数据流动管理政策须在国际合作方面实现突破。

基于上述思路和原则，当前我国跨境数据流动管理政策可以在以下方面展开重点推进。

一是加快个人信息立法支撑跨境数据流动管理。个人数据充分性保护是数据跨境自由流动的法律基础。近年来，各国数据保护法改革在跨境数据流动的监管方面都提出了“充分性保护”或“同等保护水平”的要求。通过专门的数据保护法，设立专门的数据保护机构，是欧盟国家与许多国家和地区衡量他国是否具备个人数据充分保护能力的重要标准。长期来看，我国需要将个人信息保护法与网络安全法一样作为国家基础性大法给予重视和推动。短期而言，相关法律法规有必要对健康数据、生物识别数据等重要敏感数据的收集、利用和传输进行规范，赋予用户作为数据主体必要的控制权和知情权，并对大数据环境下的数据交易活动、执法机关要求企业进行执法协助的要件和程序等问题作出一系列制度法规安排。

二是建立“一带一路”国家数据跨境合作机制。我国目前被美国主导的跨太平洋伙伴关系协定（TPP）所排斥，也无法与欧盟等发达国家建立有效的跨境数据流动合作机制。因此，政府需要利用“一带一路”战略实施的契机，鼓励国内IT企业积极参与“数字丝绸之路”建设，推动“一带一路”沿线国家数据跨境合作双边和多边机制建设，建立规则，实现“一带一路”国家的数据自由流动，进而推动全球跨境数据流动相关国际规则的完善。

三是行业龙头主导推动跨境数据保护制度和标准建设。针对数据产业生态的复杂混乱，需要由监管机构牵头、行业龙头企业主导建立跨境数据保护制度标准规范，并向全行业推广实施。龙头型企业可以牵头向国外监管机构申请适用“约束性企业规则”和“标准合同条款”等类似机制，并借鉴国外经验建立跨境数据流动“透明度报告”制度，为我国企业的跨境数据流动提供指导。

四是关键基础设施和重要领域数据的安全协议控制。关键基础设施和重要领域的数据可能涉及国家安全，但采取完全的本地化存储将不利于数据流动。对特定需要跨境流动的数据在相关立法尚不完善的情况下，借鉴国外安全审查机制及签订安全协议的方式，通过协议对涉及这类数据的安全管理人员、数据存储地、数据处理方式、服务范围等内容做出强监管要求，建立对跨境服务的事前、事中、事后的全生命周期管理。

五是通过离岸数据中心建设推动数据产业创新发展。我国可以尝试在特定区域（如自贸区）开放电信业务，试点开展离岸数据中心建设，吸纳国际先进的云计算企业在中国的应用与推广，通过国外产业的落地实现海外数据向国内的流动，推进信息服务外包产业的创新与发展。