张 光，宋 歌

(西北政法大学 国际法研究中心，西安 710000)

数字经济时代，数据不仅成为一国的基础性战略资源，更是构建国家竞争优势的核心。数据流动对全球经济的增长贡献也早已超越以商品、服务、贸易、资本等为代表的一般性传统生产要素，其作为数字贸易的基础受到国际社会的高度关注。

当前，各国通过强化宏观经济政策来促进本国数字经济与贸易发展，而跨境数据流动作为数字经贸规则的核心，既是新一轮国际经贸治理规则的前沿议题，也是未来大国间战略博弈的焦点。

一、跨境数据流动的形成机制及治理意义

(一)跨境数据流动的概念界定

“跨境数据流动”(Trans-border Data Flows，Cross-border Data Flows)也被称为“数据跨境传输”或“数据的国际流动”等。这一概念最早是由经济合作与发展组织(OECD)科学技术政策委员会(CSTP)下设的计算机应用工作组(CUG)正式提出的。一般而言，跨境数据流动是指数据在不同法域之间的流动。但随着社会的发展进步，这一概念逐渐受到国家战略安全、经济发展水平、个人隐私保护等一系列复杂因素影响，使其得定义不断延伸。

当前，对于数据跨境流动的概念，国际上也尚未给出统一明确的定义，综合比较来看，现今学术和社会各界对数据跨境流动的内涵与外延界定主要分为两类：一类是数据能够跨越物理国界进行存储、传输与处理；另一类是数据虽未跨越国界，但是可以被第三国的主体使用或访问。

尽管在表述方面存在一定差异，但总体而言，跨境数据流动的本意旨在实现数据保护与数据自由流动之间的动态平衡，并以此建立一套具有国际共识的全球统一治理框架，这是当前对于研究跨境数据流动的意义之所在。

(二)跨境数据流动发展总体态势

随着数字经济的深入发展，当前国际社会认识到跨境数据流动既能带来巨大的收益，同时也可能会对网络安全、数据主权、隐私保护、产业发展等方面造成巨大冲击。从目前全球数据跨境流动规则的发展格局来看，发达国家同发展中国家各有不同的侧重点。

发展中国家在数字经济及技术领域正处于起步阶段，对于数据保护和本地化存储等问题尤为关注；而对于发达国家而言，其拥有较强的数字贸易比较优势以及良好的数据产业基础，则更加强调数据的自由流动立场。

但在发达国家之间，围绕着数据主权问题，对数据流动规制的关注点也不完全一致。对于上述议题的国际规则制定也可能逐渐成为大国战略博弈的新焦点。

1.跨境数据流动规制与相关贸易协定呈“碎片化”态势

当前，各国对于跨境数据流动的规制尚未达成一致的共识。各国间受国家主权、隐私保护、产业发展、地缘政治等多重因素的综合影响，出于维护自身利益的目的，构建起各具特色的跨境数据规制体系。

从区域层面来看，由于WTO在多哈回合谈判未能取得预期进展，部分WTO成员方出于对国家主权、隐私保护等公共政策目标的考量，转而在双边、诸边及区域间达成RTA(即两个或多个贸易伙伴之间签订的区域贸易协定)，通过制定相关法律法规来局部实现对跨境数据流动的规制。

近年来，RTA的数量和影响力逐渐上升，加入相关RTA也正成为各国就新出现的数字贸易问题达成共识的普遍选择。当前共有300多份RTA正式生效。

因此，无论是以自由主义+例外条款模式为主，以实现利益共治的数字贸易框架，例如《美墨加协定》(简称USMCA)或《全面与进步跨太平洋伙伴关系协定》(简称CPTPP)等，还是以干预模式为主，在自由贸易与隐私保护之间实现动态平衡的数字贸易框架，例如欧盟的《通用数据保护条例》(简称GDPR)和向WTO提交关于电子商务的提案等，或是近期中国同东盟等国达成的《区域全面经济伙伴关系》(简称RCEP)等，当前各种治理方案都无法对跨境数据流动达成统一的规制手段，使得“碎片化”态势进一步凸显。

2.跨境数据流动保护与监管体系呈“分散化”态势

当前跨境数据流动保护与监管体系呈高度“分散化”的态势，主要表现在以下几个方面：

一是对数据保护的立法程序侧重程度不一。根据联合国贸易和发展会议(简称UNCTAD)资料显示，仅有60%的国家通过立法的形式对数据流动进行规制，约有30%的国家尚未就数据流动规制进行立法保护，仍有10%的国家仅对数据流动规制问题进行法案起草工作。

二是对数据保护的权利认知不同。部分国家如欧盟明确将个人数据保护视为一项基本人权，而在美国等大多数发达国家为推动数据自由流动政策，仍将个人数据保护的权利视为基本人权。

三是不同框架下，合法数据跨境流动方式存在差异。例如美国对于境外数据流动问题规定了严格的个人负责的“问责原则”。欧盟2016年通过的《通用数据保护条例》延续了其早年通过的《数据保护指令》中关于充分性的保护规则，并进一步完善数据跨境流动的“充分性保护原则”评估标准。我国最新出台的《个人信息保护法》通过“告知+同意”的方式对个人信息跨境提供的规则做出专章规定，对个人信息跨境流通的合法性依据和相关审查机制进行了体系性构建。既强化了保障自然人相关权利，同时又协调了国家安全与公共利益间的平衡协调。但当前各国对数据跨境流动的监管方式仍有较大差异，对于今后评估某些数据的跨境流动的实际合规性问题带来巨大的挑战。

3.跨境数据自由流动与数据主权博弈呈现“加剧化”态势

当前围绕着数据主权的战略博弈日趋激烈。以美国为首的部分发达国家凭借其产业国际竞争优势和灵活的保障手段，对于数据主权问题采取“进攻型”战略，2019年颁布的《云法案》通过“长臂管辖”的方式不断扩大其跨境数据的执法权利，甚至抢夺他国的“治外法权”；欧盟则采取“中立型”战略，虽尚未要求数据本地化存储，但为充分保障个人信息安全，对跨境数据流动设置进行严格限制来达到数据本地化存储的目的。对于中国这类新兴经济体，基于发展层面考量，对数据主权问题则采取“防守型”战略，更多通过数据本地化法律规制手段来解决数据治理与本地执法问题。因此，各国对于数据主权所采取的不同立法政策极大地改变了全球数据主权的治理框架，也在一定程度上加剧了各国间对数据主权问题的冲突。

(三)跨境数据流动规制的必要性

数据作为推动全球创新和经济增长的关键资源，被誉为新时代的石油。当前，世界尚未形成统一的跨境数据流动规制模式，谁能够掌握跨境数据流动规则制定的话语权，谁就可以获得先发优势，引领全球经贸未来格局走向。其规制的必要性主要体现在以下几个方面：

一是维护国家主权、信息安全的重要保障。许多发展中国家在关键信息基础设施防护、网络安全保护等方面存在技术上的不足。一旦产生无限制的数据跨境流动，可能会对政治、经济等领域产生一定的数据安全风险。自2013年美国“棱镜门”事件曝光后，各国也逐渐意识到建立健全跨境数据流动规制体系的重要性。

二是掌握数字经济主导权的关键环节。数字议题的特殊性和复杂性，主权国家间的立场分歧，使得当前跨境数据流动的全球规则始终无法深入推进。当今正值数字贸易规则建立的关键时期，对中国而言，谁能引领推动跨境数据流动规则的建立，谁就能掌握今后国际经贸治理规则的话语权，从而逐渐提升数字经济的发展优势，推动数字强国建设。因此，对数字贸易规则作出更多探索具有十分重要的意义。

三是推动全球经济更加公平的有效途径。数据具有非排他性和非竞争性的特点，使得数据流动过程中容易产生数字经济收入分配不均衡、破坏公平竞争等现象产生。如何推动数据朝着依法、合规、有序的方向发展，这既是国家社会的重点关注，也是我国今后的谈判方向。中国在承担其作为数字大国的责任，发挥自身优势和力量，在积极凝聚世界各国共识的基础上，推动建立一个统一完备的跨境数据流动全球治理框架，这是规制国际贸易最有效、最公正的路径选择。

二、主要经济体对跨境数据流动的规制路径与价值取向

不同国家对于数据跨境流动的法律规制呈现出价值选择多元化的特点。如何兼顾不同国家间发展理念与平衡跨境数据自由流动间的矛盾，建立统一的全球治理框架，这既是国际社会的关注重点，也是我国今后的主要研究方向。当前，世界各国对于跨境数据流动规制主要分为三种：

(一)美国：以强化数字竞争优势为主旨，以“贸易自由”为导向构建数据跨境流动与限制政策

1.以组织机构为基准，以问责制原则为核心的规制路径

(1)以问责制原则为核心

美国规制路径是在保障数据流动的基础上，由数据控制者或处理者以合法方式对数据的安全性负责，否则将由数据监管机构进行问责。美国通过制定行业隐私保护标准来引导数据控制者或处理者在信息交流中自觉遵守相关规则，并仅在违反法律规定的基础上进行追责。这种事后问责的规制方式虽降低了监管部门的监管压力，但也仅能在最低限度来对违法跨境数据流动行为进行规制，威慑力十分有限。

(2)主张数据跨境自由流动

目前美国签署的FTA中，均重点强调数据跨境自由流动规则。这是因为美国数字产业较为发达，通过推进数据自由流动的政策可以有效保证其在全球数据经济中的领先地位。因此部分企业如Facebook、Google、PayPal等的发展均建立在美国支持数据自由流动的政策之上。

自2012年美韩在FTA中首次提出“不得给跨境数据自由流动设立条件”概念后，在此后签订的FTA中均积极推广这一规则。例如在TISA中第2条规定“只要符合商业规范，各缔约国均不得设置障碍阻碍跨境数据自由流动”；在TPP第14章中规定“允许各缔约国以自由贸易为目的进行跨境数字自由流动”；在USMCA中更是设立专门的数字贸易章节(第19章)制定规则。

(3)禁止数据本地化

禁止数据本地化是美国贸易规则的另一规制手段。这一概念最早兴起于美国“棱镜门”事件后，世界各国出于国家安全考量出台了数据本地化的立法政策，其目的在于防止美国滥用网络支配地位危害国家安全和隐私保护。但却招致美方的强烈反对，原因在于：一方面，美国主张网络本身是开放的，不隶属于任何一个国家，应当营造一个开放的网络环境以及强调互联网本身的开放性。在美韩FTA协定第15条中的规定体现这一点，“在不被缔约方法律禁止的前提下，消费者拥有自由选择数字产品及服务的权利”。另一方面，美方强烈反对强制本地化的要求，并认为数据本地化构成一种新型的贸易壁垒，阻碍全球数据自由流通。

2.美国的价值取向

跨境数据完全自由流动是美国模式的完美诠释。从美国现有的数字贸易政策来看，无论是双边、多边，还是国内、国外，美国都在释放一个强烈的信号——数据流动限制阻碍数字贸易发展，美国坚决支持跨境数据自由流动，确保数字贸易市场自由化、开放化。

但从实际情况来看，美国在数据自由化方面的政策的理念是自相矛盾的，批判其他国家采取数据流动限制和本地化措施，但同时自身也采取着相同的限制措施。比如，对国外信息企业进行严格的数据审查和限制，甚至禁止外国企业提供的数字服务。强调保障国家数据安全及产业保护，却通过实施“长臂管辖”来进行治外法权。这些行为都间接表明了美国对数据自由流动和数字贸易保护主义之间的矛盾。从本质上看，美国对于跨境数据自由流动的“双重标准”，体现其在数字经济下对数字需求和地位需求的纠结。

一方面，希望主导建立一个没有限制的数字贸易体系，充分实现数字贸易自由化；另一方面，面对中国等新兴经济体的崛起以及对美国自身数字贸易主导地位的冲击，其试图通过其国内法影响国际规则的改变，将美国模式输出至世界各国，由此建立“美国至上”的发展理念。这就可以理解为什么美国相比其他国家而言频繁将数字报作为国家战略安全的重要组成部分。

(二)欧盟：以保障数据主体权利为目标，以“人权保障”为导向

1.以利益均衡为基准，以充分性原则为核心的规制路径

(1)以充分性原则为核心

欧盟对数据跨境流动规制采用“内松外严”的双重标准。对内积极推动成员间数据的自由流动，禁止内部以实施保护为由阻碍数据自由流通，即“内松”政策；对外实施严格的监管政策，对于数据的流动需满足“充分性原则”的具体标准方可出境，即“外严”政策。

欧盟并不是完全禁止数据的跨境流动，而是在允许跨境数据流动的前提下更偏向于对人权的保护。“充分性原则”作为欧盟跨境数据规制的核心原则，是指欧盟要求成员国限制数据的跨境输出，除非能够证明数据输入国或接受国的保护水平能够达到“充分性”认定标准。这一规定出自欧盟《有关个人数据自动化处理的个人保护公约》第14条“当缔约国向第三国进行数据传输时，要充分考虑第三国的数据保护水平，如果第三国数据保护水平低于欧洲标准则不得向第三国传输”。随后出台的《关于设计个人数据处理的个人保护以及此类数据自由流动的指令》更是强化了《公约》的保护水平，在满足数据出境合法的前提条件下，仍须征得数据主体授权方可传输。不仅如此，充分性保护还要求考虑到对敏感信息的保护问题。2018年生效的《通用数据保护条例》扩大了对敏感信息的认定范围，强化了数据控制者的相关义务。

但需要注意的是，欧盟规定了向第三国传输数据必须要遵循“充分性原则”，但也作出相应的法定例外规定。虽然仅包含了六种例外情形，但却逐渐被泛用化。

(2)保障数据主体权利

保障数据主体权利是欧盟跨境数据流动规制的主要诉求。欧盟认识到跨境数据流动可能会导致侵犯基本人权和隐私的现象激增。为解决上述问题，欧盟最早出台了《有关个人数据自动化处理的个人保护公约》(以下简称“公约”)，通过专章的形式确立了个人数据的跨境流动规定，强调数据主体的自主权与人格尊严不受侵犯。随后出台《关于数据处理的个人保护以及此类数据自由流动的指令》，在继承《公约》的基础上，增设统一的最低个人数据保护水平标准。为顺应数字经济发展趋势，《通用数据保护条例》以条例的立法形式消除了非个人数据在存储和处理方面的地域限制，将数据属地原则改变为属人+属地原则相结合。

2.欧盟的价值取向

欧盟不像美国一样主张纯粹的跨境数据自由流动，其规制模式更多通过在维护国家主权、发展数字贸易以及促进数据的自由流动间取得一定平衡。既有效地扩大了法律对跨境数据流动的管辖范围，加大了对人权的保护力度，也在一定程度上强化了欧盟数据与互联网产业的发展，有效防止第三国规避本国的数据保护立法，与美国规制模式形成鲜明的对比。但也对数据自由流动设置了过高的标准和冗杂的程序，使得一定程度上限制了数据的跨境自由流动。

(三)中国：以维护数据主权安全为重点，以“主权保护”为导向实施数据本地化或限制性数据跨境流动政策

1.以地理区域为基准，以折中原则为核心的规制路径

(1)坚持数据本地化政策为核心

随着数字贸易的深入发展，部分发展中国家逐渐认识到跨境数据流动仅有利于发达国家，对于发展中国家而言，完全的跨境自由流动会危害国家主权和网络安全。中国也在此基础上开始制定相应的数据本地化政策来维护自身发展。对于数据本地化要求，最早出台自《网络安全法》第37条规定，该条规定采用了“原则+例外”的规制模式，即原则上不允许数据的跨境输出，只有在特定情形且经有关部门安全评估后方可跨境输出。

相较于《网络安全法》对跨境数据流动的严格限制，近期出台的《个人信息保护法》对个人数据的跨境流动设置了更加灵活与宽松的条件。对于跨境数据流动的规制，数据输出者应当采取必要措施，保障境外接受方处理个人信息的活动也应达到个人信息保护法的保护，在一定程度上加重了境内数据提供者的后续监督义务。中国虽仍坚持数据本地化的政策，但允许有条件地开展数据跨境流动，在一定程度上体现了中国立法机构顺应潮流、适度放松数据输出的重要指导思想。

(2)构建独特的跨境数据流动专项标准

首先，通过相关部门的安全评估，是中国同意跨境数据流动的首要条件。在《网络安全法》第37条规定基础之上，在《个人信息保护法》中对个人信息跨境流通的合法性依据和相关评估审查进行了体系性的建构，允许数据在相关部门完成安全评估的情况下可以跨境输出。安全性评估的目的在于监督和保证数据流向第三国后，不会威胁我国的国家安全。

数据评估根据主体不同分为“处理者”和“主管部门”两方面的评估。对于跨境数据流动的一般情形，需要处理者自行评估，在出现可能影响国家安全的情况，处理者应向主管部门通报，由主管部门监管并进行安全评估。评估内容包含合法性、正当性和必要性的要求，合法性包含是否违反数据法律规范；正当性包含数据主体同意；必要性包含处理者目的是否达到“必要”转移的程度。

其次，以个人同意作为允许数据跨境流动的另一个条件。这意味着中国允许跨境数据流动的一个前提是“个人主体知情同意”。在《网络安全法》第42条中强调处理者在未经数据主体同意的情形下，不得向第三方转移个人数据。该条款只是对个人同意进行了框架性规定。而最新出台的《个人信息保护法》对“个人在个人信息处理活动中的权利”作出专章规定，规定处理者在处理个人信息前，应明确地告知其相关事项，在取得个人同意的前提下方可处理。并在个人信息后续处理的各个环节中，对于不同情形也设立了“单独同意—重新同意—撤回同意”的全新机制。

最后，中国允许数据跨境自由流动的必要条件是同意个人信息脱敏。《网络安全法》在第42条也规定了“数据服务提供商对于跨境流动的数据需要进行脱敏处理”。但《网络安全法》对个人信息脱敏并没有作出较为细致的规定，这需要相关法律在今后做进一步完善。

2.中国的价值取向

中国的规制模式一方面有助于实现主权国家的多重安全需要。因为数据本地化的措施既有效对跨境数据流动进行严格限制，将个人信息数据尽可能地限制在本国境内，又有助于保障个人信息数据的安全，减少因跨境数据流动所带来的安全风险。同时自美国“棱镜门”事件后，不少数字经济处于弱势地位、网络空间较为脆弱的发展中国家纷纷加入限制或禁止数据输出的阵营，逐渐设置数据本地化的规制措施来保障国家安全。因此，在总体上符合发展中国家普遍规制数据跨境输出的基本态势。

另一方面，有助于实现特定产业政策目标。虽然发达国家同发展中国家间对于数据本地化存有较大分歧，但数据本地化限制在一定程度上维护了发展中国家数字产业的稳定发展。对中国而言，数据的本地化措施既可以有效推动企业在境内设立数据处理中心，增加数据处理的投资，通过海量数据存储、加工和使用的方式来提升商业活动的经济效益，同时又能有效地减少来自部分海外发达国家的企业竞争，推动产业发展需要。但从发展角度来看，中国规制模式对于专业人才也提出了更高要求。我国也仍需加大跨境数据流动规制专业人才的法治队伍建设，以满足数字产业新形势下的发展需要。

三、全球经贸框架下跨境数据流动规则与国际合作规制

(一)WTO规则对跨境数据流动的规制与平衡

与跨境数据流动有关的WTO规则当今也面临着对数据分类困难的根本性问题。WTO以GATT、GATS及TRIPS为三大法律支柱，来对全球范围内的商品、服务和知识产权贸易进行监督。然而在当今的数字经济时代，对于需要跨境数据流动的产品或者服务究竟归属于货物贸易还是服务贸易，当下尚未达成一致规定。如果想要直接套用既有规则框架来规制数字贸易，那么是适用GATT还是GATS，继而直接影响贸易国家间所需承担的义务和规则。在WTO缺乏相关规定的情况下，学界主要将跨境数据流动置于GATS的规制当中。但在解决这一基础性的分类后，还会再次面临着协议内部的分类。对于跨境数据流动，GATS项下的四种跨境服务贸易模式均与其有一定的关联性。如果将在线产品和服务划分为服务，就要在GATS既有的四种服务贸易模式中寻找合适定位。数字贸易的发展扩大了可交易服务的类型，WTO也难以明确地定义GATS承诺项下相关类别具体包括哪些。比如引发较多争议的跨境电子支付究竟属于GATS跨境服务模式下的跨境交付还是境外消费，在美国博彩案中,WTO专家组认为通过电子方式提供服务,应纳入GATS项下的跨境交付模式。但同时并没有对这两种模式做出明确区分，无法给出明确说明。

WTO各成员国间的价值追求差异直接导致治理规则的走向大不相同，在2019年成员间同意单独设立的WTO电子商务谈判也尚未取得预期进展。如何对不断变化发展的社会现状进行法律条文的技术性解释，是当今国内法治和国际法治面临的共同难题。虽然理论上GATS项下许多服务部门都与跨境数据流动有关，但都无法准确适用于跨境数据流动，同时对于这些问题都缺乏具体的解释性指导。

(二)双边和区域贸易协定对跨境数据流动的规制与平衡

数字贸易的双边和区域谈判意义重大。现行的多边贸易规则仍以货物和服务贸易为基础，虽仍可以归入WTO框架下的GATT和GATS中进行规制，但在实践中对于数字贸易的实质争议问题无法达成一致共识，难以顺应当前数字经济的发展需要。鉴于当前数字贸易的多边谈判进展缓慢，应先集中精力于双边或区域谈判，再将双边或区域协定中可行的模式推广到WTO多边贸易谈判当中。这相较于直接推动多边谈判而言更有效率，也能及时满足当前各国对数字贸易监管的迫切需要。因此，双边和区域协定的达成，对及时更新传统贸易规则，推动数字贸易规则重回以WTO为主的多边贸易体制具有十分重要的意义。

1.双边贸易协定中的规制与平衡

WTO成员国对待跨境数据流动的规制模式和关注重点各有侧重，并在各自主导的FTA下有所体现。美国作为数字经济发展强国，陆续出台了多项数字贸易政策，如2015年出台的《美国数字经济议程》、2017年的《电子复兴计划》、2018年的《数据科学战略计划》等。为进一步巩固其商业和技术优势，美国积极推动签署多项FTA以确保上述数据流动规则的实施，意图通过双边协定来弥补WTO在解决该问题中的进展缓慢和不确定性所带来的漏洞问题。但在跨境服务贸易层面，美国通过的FTA内容都较为宽泛，主要以保障美国核心利益为出发点。欧盟主导的FTA与美国有很大的差别，其对外进行FTA协商内容较为保守，相较于美国在隐私保护和人权保障方面更为谨慎。欧盟的《通用数据保护条例》就明显体现了在加强个人数据和隐私保护的基础上，在数字贸易领域打造“单一数字市场”的数字经济战略。虽然在近期签署的《加拿大-欧盟综合经济与贸易协定》中，在跨境服务贸易中专设章节，但仍不能有效覆盖未来可能包含的新技术和新模式，同时也会对跨境数据流动规制增加预期之外的成本，降低执行协议的效率。

2.区域贸易协定中的规制与平衡

(1)USMCA中的规制与平衡

2018年美国与墨西哥、加拿大达成的区域贸易协定《美墨加协定》，相较于《跨太平洋伙伴关系》(简称TPP)在数字贸易领域作出了四个方面的改变：一是对电子商务进行数字化拓展，在TPP将关于电子商务的章节更改为数字贸易章节；二是USMCA进一步扩大了信息的涵盖范围；三是在规则层面内容更具有操作性；四是更加注重维持自由数字贸易与政府的合法性考量而进行规制之间的平衡。美国市场的开放度和以此带来的经济效益，却忽视了自身所应承担的相关责任。

(2)CPTPP中的规制与平衡

2018年出台的《全面与进步跨太平洋伙伴关系协定》作为一项综合性的自由贸易协定，其设立的关于电子商务的章节，是迄今为止在所有区域贸易协定中作出的最为全面的论述。CPTPP制定较为全面的规定反映出美国在数字贸易领域的特殊需求，尤其是电子商务章节所涵盖的内容十分丰富。但从整体来看，对于电子商务章节的规定基本延续其前身TPP的相关规定，并没有对其作出实质性的突破，仅对相关具体规定进行细微调整。例如，数据本地化存储一直是美国所诟病的政策之一，但却在CPTPP首次提出实施数据本地化的具体措施，不同于GATT和GATS项下的模糊措辞，对于数据本地化存储只有在构成“任意或不合理的歧视或变相的贸易限制”以及“对超出现实目标所需的信息转让施加的限制”具体情形下方可限制。这一规定间接体现了美国的“双重标准”：一方面，希望通过区域协定消除数字贸易壁垒，促进数据自由流通；另一方面，又采取国内立法和行政手段设置贸易限制，以加强对美国数字贸易产业的保护。总体而言，CPTPP优先考虑的目标仍是无限制的数据自己流动，而不是欧盟那样更加重视隐私保护，这也一贯体现了美方的政策理念。

(3)GDPR中的规制与平衡

《通用数据保护条例》是欧盟最为重要的国际数据传输机制，其中的充分性决定机制是其运转的核心。依据GDPR的充分性要求，当数据主体的基本权利得到充分保护时，方可进行国际传输，并有欧盟做出对充分性的认定标准。欧盟凭借该机制，通过寻求其他国家与欧盟数据保护法律的融合，从而达到统一标准、掌握规则制定权，以及以构筑单一数字市场为战略目的。

(4)APEC跨境隐私规则中的规制与平衡

APEC跨境隐私规则(简称CBPR)是当前区域监管合作中较为成熟的数据治理框架。CBPR体系作为美国着力推动的区域性跨境数据流动制度安排，在USMCA的个人信息保护条款中就将CBPR作为增强个人信息保护机制兼容性的参照写入其中。美国积极推动CBPR体系建设，就是为了使之可以成为与欧盟GDPR机制相抗衡的跨境数据流动机制。同时相较于GDPR机制有三个突出特点：一是数据保护标准较低，CBPR在数据处理的准确性和时间限制上要求相对较低。二是执行机制更具弹性。CBPR体系的实施主要是在国内层面，从理论上讲，加入CBPR体系更加容易，其作为自我监管型体系，建立的仅仅是底线标准，加入门槛相对较低。反之，GDPR作为自上而下型的法规，对数据主体应当履行的义务标准较高，寻求GDPR充分性标准的国家往往须承担高昂的监管协调成本。三是当前CBPR体系占据成员数量优势地位，并还有可能推动更多经济体加入其中。

(5)TISA中的规制与平衡

《服务贸易协定》(简称TISA)是当前WTO中多个成员正积极推进的一项贸易协定，中国也在谈判队伍当中。该谈判旨在突破多哈回合困境，推动数字贸易进一步自由化，但实际在跨境数据流动层面，谈判各方对于跨境数据自由流动和个人数据保护仍存有较大争议。TISA旨在设立明确的法律对跨境数据的自由流动进行规制，通过将政府管控控制在有限范围内，对数据主体进行约束，并在实施过程中逐步消除数据流动的限制问题，逐渐推进数据流动自由化的目标现实。但TISA仍处于谈判阶段，其谈判结果仍充满不确定性。

(6)RCEP中的规制与平衡

在迫切需要改变欧美单边主导格局的情形之下，中国同东盟等15个国家于2020年11月15日签署了《区域全面经济伙伴关系》。作为当前全球范围内最大的自由贸易协定，RCEP的出台为发展中国家引领自身跨境数据流动规制方案并同发达国家间共同参与治理和合作提供了良好的示范。RCEP兼顾了发达国家的核心关注，同时也有利于发展中国家数据安全和数据产业发展利益，并对数字贸易作出专章规定。同发达国家间的FTA一样，RCEP对跨境数据流动的议题达成初步共识，支持跨境数据的自由流动，但数据的自由流动仍要受到国家安全利益立场和保护公共政策目标的限制，将国家安全利益置于数据自由流动之上，可以说是更为关注“安全的”数据流动。同时需要注意到，RCEP与发达国家间规制方案最大的差异体现在跨境数据传输的例外条款规定中，其对跨境数据流动的规制和本地化存储一视同仁，没有向USMCA和TPP协定一样对例外情形作出进一步区分。总体而言，RCEP体现的规制理念弱化了标准过高的隐私保护议题，并给缔约方留有更多的自由裁量权来对跨境数据量流动采取限制性措施。从这一点来看，RCEP对跨境数据流动的规制方案可以说是对发达国家诉求的折中，同时也为广大发展中国家提供了强有力的技术支撑。

(三)全球跨境数据流动的整体规制与平衡

虽然近年来签订的各类FTA试图为数字贸易建立一种全新的法律格局，但实际上数字领域的发展是渐进式的，缺乏真正的监管创新。各国达成的FTA本质上是数字贸易的一种个性化定制过程，除了少数有明确的规定，大多数FTA缺乏一定的透明度和可执行性，阻碍跨境数据流动的有效规制。我们需要注意到，双边和区域贸易协定在一定程度上也加剧了数字贸易领域的不平衡发展，围绕跨境数据流动出现的贸易壁垒和法律碎片化现状，进一步阻碍了跨境数据流动的操作性，且这种情况短期内不会改变，甚至会逐渐恶化，破坏以规则为基础的多边贸易体系建设。因此，未来迫切需要在跨境数据流动的规制上达成全球性的共识。

四、跨境数据流动规制的我国路径选择

当前世界各国纷纷在国内国际针对跨境数据流动进行立法，并通过实践形成各具特色并较为成熟的治理规则。近年来，我国也在跨境数据流动治理领域不断通过立法进行完善，2021年8月20日通过的《个人信息保护法》也不断彰显我国在数字贸易领域改革完善的决心。然而，信息技术的不断革新给数据和隐私安全带来前所未有的挑战。同时，各国对跨境数据流动的治理既有规则也有一定的缺陷和不足，在国际合作机制方面相对滞后。在此背景下，我国既要认清国内和国际形势，对完善跨境数据流动治理模式精准预判，又需要制定出相应的对策及时应对跨境数据流动所面临的挑战，从而推动我国数字经济朝着更高水平迈进，以满足建设“数字经济强国”的战略目标。

(一)当前面临的挑战

首先，立法较为分散，缺乏体系性。我国现有的个人信息保护仅通过统筹性法律如《网络安全法》《数据安全法》和最新通过的《个人信息保护法》和行业规定进行规制，缺乏一定的合规性体系建设。部分法律对于跨境数据流动规制基本上是原则性规定，这种分散化、抽象的立法模式难以对跨境数据流动的快速发展提供具体的法律依据，仍需在新一轮数据保护监管浪潮下完善合规性的应对措施。

其次，监管方式和数据保护分类形式较为单一。当前对于跨境信息数据的监管由政府部门进行全面审批，尽管推动了政府对数据安全的有效治理，保障了跨境传输中的数据安全问题，但也在一定程度上弱化了企业的监管职责，加大了政府治理成本，从而抑制了市场的运行效率。

再次，数据保护意识尚未形成广泛共识。虽然我国近年来积极加强数据安全领域的监管和治理，但各类违规收集、违法滥用数据的现象仍屡见不鲜。在跨境的数据流动过程中，必然会牵扯到不同的权利主体，同时在跨境传输信息的过程中对不同监管主体、不同法律管辖间的权利属性未达成一致共识。数据保护理念较为滞后，尚无法有效对跨境数据流动提供合法合理的预期。

最后，跨境数据治理的统一国际规制缺失。当前全球对跨境数据流动的保护和规则体系呈高度分散的态势，且世界各国的数据理念、利益诉求和规制方法各不相同，难以达成共识。随着经济全球化和信息通信技术的深度耦合，未来数字贸易发展也将更快。因此，推动构建全球统一的数字贸易治理框架，既是国际社会的关注重点，也是我国今后的主要研究方向。

(二)未来路径选择

1.对跨境数据流动规制的总体考量

我国是以保障国家数据安全为前提的“主权保护”规制模式，尽管与美国的“贸易自由”和欧盟的“人权保护”的规模模式有所不同，但在本质上并不存在完全的冲突。当前各国之所以就跨境数据流动规制无法达成共识，主要原因还在于各国间利益需求不同。我国作为数字经济大国，如何在贸易增长和数据安全中实现动态平衡，将直接关系到我国对未来掌控数据规制的话语主导权，同时也考验着大国的担当。面对部分发达国家对我国跨境数据流动的限制和本地化要求，我们不宜回避，而是应借助谈判推动构建符合世界大多数国家利益的数据跨境流动规则。我国基于互利共赢的指导思想，对于跨境数据流动的法律规制不应只坚持“主权保护”原则，还应兼顾“贸易自由”及“人权导向”两大原则，同时结合各国间的提案建议以及我国实际情况进行综合考量，积极推动全球规则谈判。对于数据自由流动和本地化等问题，在保障国家信息安全的基本立场下，推动构建符合全球数字经济发展需要及满足我国实现网络强国战略目标的跨境数据流动规则体系。

2.在国际规制路径上加强双边、区域、多边层面的跨境合作

实际上，对于数字贸易问题，多边谈判并不是最佳选择，自由贸易协定往往能走得比多边谈判更远，这在WTO等多边谈判组织中几乎很难做到。但这不意味着数字贸易规则要抛弃多边谈判，正是因为我们需要建立一个行之有效的多边数字贸易规则，所以对于一些较为急迫、短期内难以达成一致意见的议题，要通过双边、区域间贸易协定或自由贸易协定去解决，并将可行的规则逐步推广到多边贸易体系规则当中。

鉴于多边贸易规则对国际贸易自由化具有无可撼动的作用，决不能轻易放弃数字贸易的多边谈判。因此，对于当前数字贸易规则现状，我们应一一完善，将双边贸易协定和区域贸易协定中有效的解决方式吸收到多边谈判中来。区域贸易协定还可以为多边贸易谈判和规则的建立提供基础和经验，同时还会逐步加深发展中国家同发达国间的联系，提升发展中国家参与数字经贸规则制定的积极性，这显然对于国际贸易自由化及国际贸易的宏观调控来说是最好的选择。以中国加入RCEP来看，可以视为中国通过区域协定来积极提升国家贸易开放程度和贸易水平，这是促进贸易自由化的良性循环的重要举措，直至达成全面的多边数字贸易规则，建立以规则为基础的多边贸易体制为终极目标。

3.加强各国政府间对话合作，建立数据跨境流动的互信机制

一方面，我国应在已有的政府间经济对话机制中进行协商，逐步与国际社会各方建立跨境数据流动的国际合作与互助机制。针对跨境数据流动中容易出现的个人隐私或财产利益受损等问题，建立共同执法机制与司法互助机制，在调查取证上给予相互协助。同时，通过举办世界互联网大会，与有关国家举办国际型有影响力的跨境数据流动论坛等方式，拓展网络对话合作交流平台。针对全球性的网络安全威胁，积极开展国际的跨境数据流动监管机制，适当时建立主席联席会制度，通过加强对话交流，展开健康有序的国际跨境数据交流与合作。

另一方面，在与世界各国加强交流合作的基础上，逐步打造联合监管体系，推动建立数据跨境流动的互信机制。我国应进一步加强与欧美等国际数据强国间的协作，以此避免部分国家对我国数字贸易的不正当限制。在谈判中应明确维护国家安全的基本立场，对于例如美国实施“长臂管辖”等不正当性措施予以坚决抵制，并制定相应的反制手段。最终目的不是为了大国间的政治博弈，而是为推动全球跨境数据自由流动提供对等的政策环境，以此为基础在各国达成互认互信的政策下，推动数字经济朝着稳定有序的方向发展。

4.在国内立法层面完善数据保护与跨境流动法律制度体系

我国在2021年8月20日通过的《个人信息保护法》，与《网络安全法》和《数据安全法》共同构成了我国网络安全与数据合规治理的基础性法律体系，具有十分重要的意义。其中《个人信息保护法》的一大亮点在于设立“个人信息跨境提供标准合同”规则，在该法草案期间仅要求信息双方签订合同，并没有对具体条款进行详细规定。而在正式颁布的文件中进一步明确要求信息双方应当“按照国家网信部门制定的标准合同与境外接收方订立合同”，以此为个人信息跨境提供了标准的法律规范，体现了对信息跨境传输从严监管的趋势。当前虽然在《个人信息保护法》中对“个人信息跨境”设置了专章规定，初步建立了跨境数据流动规制体系，但未来仍需以具体细致的实施细则进行补充完善。我们也不能忽视当前跨境数据流动具有原则性规定多、法律位阶低、多分散于其他行业性规章的法律现状，仍对跨境数据流动缺乏体系性的规制手段。《个人信息保护法》虽是中国立法的重要进展与成果，但仍需要建立一套统一的工作协调与统筹机制，在未来立法过程中遵循促进信息流动全面合规的基础上，逐步形成一体化的跨境数据管理制度体系。

5.以法益衡量为手段，建立分级分类分区域的跨境数据流动监管制度

第一，对于涉及个人数据的跨境审核，建议以市场机制为主导，遵循政府监督与企业自律相结合的方式进行监管。可以先以我国最新出台的《个人信息保护法》中关于跨境数据流动规制的法律为依据，针对不同数据类型，可以具体对一般个人数据和敏感个人数据。同时需要注意到，跨境数据流动的安全评估工作涉及诸多领域，对于评估机构的资格认定、评估标准、管理管控等规则很难依托企业或个人完成。因此，应确保评估标准的一致性与稳定性。同时，对于个人数据的出境，政府最好能贯彻落实《个人信息保护法》中对跨境数据流动标准合同范式的数据跨境流动协议范本，严格管控个人数据的出境风险。

第二，对于涉及商业数据的跨境审核，我们需要认识到商业数据的重要性。商业数据不仅反映企业的生产运营情况，揭示产业未来发展趋势，同时对于以国家和公共利益为主的商业数据可能会危害国家主体安全、诱发国际不正当竞争。因此，对于商业数据跨境传输，主体应当设置一定的自查义务，必要时还应取得相关资质部门的审批同意方可传输。

第三，对于涉及国家安全数据的跨境审核，应设立宽严相济的数据分级监管模式，以数据的敏感程度以及数据离境后的潜在风险为划分标准，制定与之相对应的数据跨境规则，实现梯度性监管。一方面，积极借鉴部分发达国家的分类经验，确定限制数据的内涵及范围，依据涉及的不同行业领域制定不同的分类标准，根据涉及国家安全数据的影响程度划分不同数据出境风险等级。同时对于出境数据进行实时实地追踪审核，依据涉及国家安全出境数据的潜在风险程度，对于完全限制出境、准限制出境、审批后出境、出境后备案等不同情形采取不同的监管模式。

第四，我们需要强调，对于数据跨境流动监管的出发点不是限制，而是规范。我国可以分区域分企业实施试点先行政策。可以考虑在海南自由贸易港等区域先行先试，借助区内制度优势，以专项试点的方式推动形成全行业数据保护及流动规范，以探索建立数据自由贸易港为发展目标实现监管模式的革新。

6.强化数字贸易下数据安全管理和技术能力建设

保障数据安全是各国在跨境数据流动中的基本原则。只有在数据安全的前提下，才能发挥数据流动对推进数字经济发展的正向引导作用，促进全球数据的共享和利用。因此，在数据安全管理方面，企业作为数据流动的控制者，应当在跨境数据活动中承担相应的安全义务。当前企业间尚未建立起具体的跨境数据流动保护制度，对于数据安全管理的自律意识也较为薄弱。

一方面，我国可以借鉴部分发达国家间建立的行业性数据保护自律机制，鼓励企业加强同国内法监管机构的合作对接，通过在企业内部设置数据安全管理人员，实现安全性管理。

另一方面，政府应当加大数据跨境安全监察力度，通过政策支持鼓励企业积极参与数据安全管理国际标准的制定，让国家监督，让市场补充。在数据技术管理方面，严厉打击数据的非法出境行为，通过技术手段预防、限制和制止相关违法行为。强化数据安全技术安排，通过严厉的技术保障措施来维护数据流动安全平稳进行。积极吸收借鉴发达国家先进技术成果，可以采用信息加密或信息脱敏等方式从源头上做好安全信息保护工作。同时，积极建立跨境数据流动的黑名单制度，将故意窃取我国核心数据、危害国家安全等违规行为的数据控制者纳入黑名单，提高执法效果，切实保障我国在数字贸易下的跨境信息流动的安全与稳定。

五、结语

当前正值数字贸易规则建立的关键时期，我国在数字贸易中扮演的角色和地位，也将决定着未来我国在全球经贸秩序及经贸格局中的位置。我国作为负责任的大国，应当勇于承担起责任，发挥自身优势，充分凝聚起世界各国成员力量，发掘各成员自身的数字经济价值，努力使自身成为沟通多边谈判的桥梁，逐渐消除数据鸿沟，在促进数字贸易自由化发展的基础上推动全球数字贸易规则的建立。

跨境数据流动规制作为一个事关未来全球经贸战略布局的重要议题，在面对数字议题的特殊性和复杂性时，如何兼顾不同国家数据安全发展理念与平衡跨境数据自由流动间的矛盾，构建统一的全球治理框架，这既是国际社会的关注重点，也是我国今后的主要研究方向。

一方面，在国内立法层面，在维护数据安全、兼顾数据保护和数据自由流动的平衡立场上，推动建立完善的数据保护法律体系，并以法益衡量为手段，建立分级分类分区域的跨境数据流动监管制度，强化数字贸易下数据安全管理和技术能力建设，以适应数字经济的未来发展趋势。

另一方面，在国际规制路径上，鉴于当前数字贸易多边谈判进展缓慢，短期内各国无法形成统一协调的治理框架，我国可以先将跨境数据流动规制政策深度嵌入到双边、区域贸易协定当中，再将区域协定中可行的模式推广到全球规则谈判中，努力提升我国在跨境数据流动规制中的国际影响力和话语权。