吴希贤

一、引言

当前，以数字技术为基础的数字经济和数字贸易在全球范围内快速发展，已经成为世界经济增长的重要引擎，各国纷纷从数字化转型和建设中寻求经济增长的新动力。与此同时，数字鸿沟、数据泄露等问题也纷纷显现，成为各国在全球数字治理体系下亟需共同解决的重要难题。由于数据已经成为新的生产要素，“数据价值链”对于数字经济和数字贸易的发展具有重要促进作用，且各国政府在数据的权属、存储和跨境流动等问题上分歧严重，因此数据治理尤其受到各国政府及国际组织的重点关注。总体而言，数据治理是一个综合复杂的议题，既涉及个人隐私保护、企业商业机密和国家重要敏感信息，又关乎数据主权、数据管辖权和国家安全，其中还交织着全球数据治理协调机制和国际经贸规则。可以说，数据治理已经成为检验各国政府治理能力的重要“验金石”，也是主要经济体参与全球数字治理规制博弈的核心领域之一。

东盟是亚太区域具有重要影响力的国际组织，其在数据治理领域出台了众多的政策文件，已经形成了较为完整的规制体系，同时东盟还在不断完善区域层面数据治理的规制框架。2021年，东盟发布了《东盟数据管理框架》（DMF）和《东盟跨境数据流动的示范合同条款》（MCC），这是东盟在数据治理领域做出的最新努力。作为中国第一大贸易伙伴，东盟在数据治理领域的规制经验非常值得我们研究并借鉴，然而，目前中国对于数据治理领域的区域国别研究尚局限于美欧日俄的规制范式。有鉴于此，本文首先在全球数据治理的背景下总结出东盟数据治理的规制框架，然后在此基础上剖析东盟在数据治理领域所面临的主要挑战，最后探究中国与东盟在数据治理领域开展合作的可能性路径。通过对东盟数据治理问题的系统性研究，希望能有助于补充完善全球数据治理的区域与国别研究内容，同时为中国进一步健全数据治理体系、更好参与全球数据治理的规制博弈提供理论参考。

二、全球数据治理的进展概况

全球数据治理是全球数字治理项下的一个子领域，这一概念的提出主要是为了应对全球数据在数字时代所面临的安全保障、交易监管和跨境流动等挑战。至于全球数据治理的内涵，目前学界尚未就此达成统一的概念界定，大多数学者也仅是从某一个角度给出解读。联合国经济社会局（UNDESA，2020）认为，全球数据治理“是一种通过制定政策法规、国家战略，并建立协调性机构以培育有益的数据生态系统的多维性方法”。国外学者萨克斯和谢尔曼（Sack和Sherman，2019）则将全球数据治理视为“政府与私营部门就数据管理而进行互动的具体规则，包括访问数据的权限以及使用数据的方式”。而国内学者则将全球数据治理界定为：主体在全球范围内“依一定的规则对全球数据的产生、收集、存储、流动等各个环节以及与之相关的各行为体的利益进行规范和协调的过程”（蔡翠红和王远志，2020）。由此看来，全球数据治理应建立在具体的规则制度的基础之上，且数据治理规制是不同主体之间协调互动的核心。

尽管全球数据治理的实践已经发展多年，但迄今为止尚未形成全球统一的数据规制体系。目前，全球数据治理呈现出以美欧两大规制体系为先行主导，中日俄等其他经济体并行积极开展，OECD、APEC、G20、WTO等多边机制为数据治理提供重要参考依据和磋商平台的格局。

欧盟与美国是全球数据治理领域的先行者，二者的数据治理规制并行发展并不断互相影响，但同时美欧数据治理模式又存在显著的差异。早在1995年，欧洲议会和欧盟理事会便奉行对个人数据进行“充分保护”的原则，通过了《数据保护指令》。由此，欧盟区域层面的数据治理规制体系逐步建立。2012年，欧盟委员会公布了《欧洲数据保护条例》草案，将欧盟数据保护法的管辖范围扩大到所有处理欧盟居民数据的外国公司。2016年，为践行欧盟提出的“数字单一市场”战略，欧洲议会和欧盟理事会批准了有“史上最严数据保护法”之称的《通用数据保护条例》（GDPR）。2018年5月，GDPR正式在欧盟境内实施。GDPR是欧盟在区域层面加强数据治理的重要规制，有利于欧盟进一步打通成员国间的数据监管壁垒，更好地挖掘欧盟数据潜力，建设“数字化单一市场”。欧盟数据治理的规制路径主要是通过区域层面的统一立法加强对个人隐私数据的保护，其严苛的法律规定和严厉的惩罚措施体现出欧盟极为重视数据私权保护与数据安全的特征（赵海乐，2021）。与欧盟迥异，美国在数据治理领域更加重视数据的自由流动所带来的经济效益，因此其数据治理规制路径主要依托于国内的行业自律，同时要求其他经济体取消限制数据跨境自由流动的壁垒（Marel，2021）。一方面，美国力促与欧盟达成《安全港协议》和《隐私盾协议》，以此协调美欧之间不同的数据治理规制，促进数据在美欧之间实现跨大西洋的自由流动，为美国的数字企业降低在欧运营成本和获取更多利益提供法律基础。值得注意的是，《安全港协议》和《隐私盾协议》的达成实现了在规制差异的基础上开展数据治理国际合作的可能（贾开，2017）。另一方面，美国在其主导签订的区域贸易协定中强烈要求纳入“禁止限制数据跨境自由流动”的规则条款。从美国主导的《跨太平洋伙伴关系协定》（TPP）到《美墨加协定》（USMCA）和《美日数字贸易协定》（UJDTA），“禁止数据本地化措施”和“鼓励数据跨境自由流动”已经成为美式数字贸易规则的核心诉求，也是美国极力对外输出的“黄金标准”（陈寰琦和周念利，2019；周念利和吴希贤，2020）。

除美欧之外的其他经济体中，日本、俄罗斯和印度的数据治理规制路径较为典型。日本于2003年出台了首部《个人信息保护法》，并在2015年对该法进行修改，增加了关于跨境数据流动的一般性规定和例外性规定（张晓磊，2020）。日本在区域贸易协定方面，一是与欧盟、英国就跨境数据流动展开规则谈判，在《日欧经济伙伴关系协定》和《日英经济伙伴关系协定》中制定数据治理的相关规则；二是在《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《区域全面经济伙伴关系协定》（RCEP）中表明其数据治理的规制路径倾向与合作意愿（陈海彬和王诺亚，2021）。与日本相比，俄罗斯更重视对数据本地化存储的严格管制。俄罗斯早在2006年就出台了《关于信息、信息技术和信息保护法》和《俄罗斯联邦个人数据法》，专门针对个人数据的跨境流动做出了“数据本地化存储”的严格规定。2014年，俄罗斯出台《就“进一步明确互联网个人数据处理规范”对俄罗斯联邦系列法律的修正案》，进一步明确要求企业须在位于俄境内的数据库中存储、处理俄公民个人数据（周念利和李金东，2020）。因此，俄罗斯的数据治理是以强化“数据本地化存储”的管制为核心的独特路径。以印度为代表的大多数新兴经济体奉行“数据防御主义”和“反数字殖民主义”的全球数据治理原则，印度明确反对美日等发达经济体提出的“数据跨境自由流动”的主张，主要原因在于印度认为数据的自由跨境流动会损害其国内数字企业的全球竞争力，不利于国内数字产业的发展（Basu等，2019）。

在多边机制框架下，全球数据治理的实践很早就开展了。1980年OECD制定了全球首个专门规制跨境数据流动的国际框架——《隐私保护与个人数据跨境流动指南》，要求成员国尽量避免对数据跨境流动施加限制措施。1985年OECD发布了《跨境数据流动宣言》，呼吁各国以开放的态度对待数据跨境流动问题。在亚太地区，APEC于2004年出台了《隐私框架》，2011年又推出《跨境隐私规则体系》（CBPR），主张建立数据最初收集者对个人数据保护负责的制度。APEC的数据治理规制在全球数据保护领域具有较大影响力，但需要注意的是，CBPR对APEC成员并不具有强制的法律效力。至于WTO框架下数据治理规制的进展，目前尚停留在电子商务诸边谈判阶段，且成员在数据治理议题上持有巨大分歧，能否达成一致协定仍有待观察。

三、东盟数据治理的规制框架

2016年东盟出台的《东盟个人数据保护框架》成为东盟区域层面数据治理规制的开端。此后的五年内，东盟相继发布了一系列的规划指南和框架协议，为东盟加强域内数据治理构筑了较为完善的政策基础。东盟数据治理的主要领域：一是注重加强域内的个人数据保护，二是强调在安全的前提下促进数据跨境自由流动。由于欧盟是东盟第二大贸易伙伴和最大的外国直接投资来源地，因此在数据跨境流动的规制方面，东盟十分重视对接欧盟的数据监管规则，以期协调域内域外的数据流动规则，从而为东盟企业降低更多贸易壁垒和合规成本。此外，东盟还效仿美国和欧盟，在RCEP中提出了数据治理规则和理念，增加了其在区域贸易协定层面的数据治理实践。

（一）东盟区域层面出台的数据治理规制

2013年的“棱镜门”事件暴露出全球范围内存在的数据治理赤字问题，世界各经济体自此开始重视数据安全，东盟也由此加强区域层面的数据治理行动。2015年11月，东盟在经济共同体成立前夕发布了《2025年东盟经济共同体蓝图》，针对数据治理提出了三项具体规划：一是利用数字技术的创新加快发展大数据和数据分析的商业应用；二是通过进一步加强网络安全合作，制定个人数据的保护措施，构建可信任的数字生态系统；三是构建协调、健全的个人数据保护框架。同年，东盟出台了《2020年东盟信息通信技术总体规划》，再次强调要保障数据安全，并提出制定区域层面的数据保护规则，通过建立东盟个人数据保护指南或框架指导东盟的数据保护实践。东盟在2015年发布的这两份指导性文件为东盟接下来的数据治理实践打开了局面，虽然其中的目标规划并不具有较高的标准，也缺乏具体的相应措施建议，但对于东盟数据治理的发展具有重要的开篇意义。

在上述两份规划文件的指导下，2016年的东盟电信和信息技术部长会议（TELMIN）通过了《东盟个人数据保护框架》，旨在推动东盟实现安全、可持续的数字经济发展，而这一目标的达成不仅需要东盟各成员国健全国内法律法规以加强数据保护，还需要采取措施促进成员国之间的数据流动。东盟在借鉴APEC《隐私框架》及其他国际公认的个人数据保护标准的基础上制定了这一数据治理框架。总体而言，《东盟个人数据保护框架》主要从两方面对东盟域内的数据治理做出规制：第一，在个人数据保护方面，该框架规定企业在未经许可的情况下不得收集、使用和披露个人数据，如获同意，企业应在保障数据准确无误的前提下正当使用个人数据。第二，在数据跨境流动方面，该框架规定企业跨境转移个人数据应提前获得当事人的同意，或采取合理措施确保数据接收者将按照框架中确定的原则保护个人数据。同时，《东盟个人数据保护框架》中还规定了不适用的例外情况，即与各成员国国内法律相冲突时，应当以各国国内法为执行依据（GSMA，2018）。由此看来，《东盟个人数据保护框架》虽然是东盟出台的首个专门针对个人数据保护的区域层面的规制，但该框架对各成员国并不具有法律约束力，仅是为各成员国提供了数据治理合作的框架基础。

在《东盟个人数据保护框架》实施两年后，东盟于2018年发布了《东盟数字数据治理框架》，该框架从战略重点、原则和倡议三个方面对东盟成员国数据治理的政策和监管给予指导，可以说是东盟数据治理规制的重要进展。具体而言，第一，该框架确立了东盟数据治理的四个战略重点，分别是数据生命周期系统、跨境数据流动、数字化新兴技术和法律法规政策。数据生命周期是指数据从生成、收集到存储、处理，再到传输和最终删除的整个过程，而数据治理则贯穿这一过程的每个阶段。数据被视为数字经济发展的关键，但东盟各成员国间跨境数据流动的监管规则并不协调一致，这可能会对数据流动产生阻碍并增加企业合规成本。因此，东盟敦促各成员国必须尽量减少对跨境数据流动的限制。数字化新兴技术对于东盟的数字基础设施建设具有重要的促进作用，包括提高数据的跨境传输效率。东盟内部统一的法律监管政策则有利于提升商业环境和刺激经济增长。第二，在四个战略重点之下，该框架分别制定了具体的数据治理指导原则。在数据生命周期系统方面，数据治理应符合数据完整性和可信性原则、数据使用和访问控制原则、数据安全原则，即数据应是准确可靠的，数据的使用和访问应不违反法律和国家政策，同时应始终确保数据处于安全无风险状态。在跨境数据流动方面，数据治理的原则是最大限度地促进数据在东盟内部自由流动和确保传输的数据得到必要的保护。在数字化新兴技术方面，数据治理遵从能力发展原则，即提倡能力建设，为东盟的数字从业者提供必要的资源，以适应新的趋势和技术。在法律法规政策方面，东盟数据治理提出了个人数据保护及隐私监管原则，呼吁各成员国积极建立国内个人数据保护的法律法规。第三，该框架还依据四大战略重点分别提出了四大倡议，即东盟数据分类框架、东盟跨境数据流动机制、东盟数字创新论坛以及东盟数据保护和隐私论坛，其中前两项倡议最为重要。数据分类框架的倡议考虑到数据生命周期的治理措施可能因数据类型不同而有差异，该框架将对数据的类别、每种类别的含义以及每种类别的安全要求给出具体规定。跨境数据流动机制的初衷是为了促进东盟各成员国间数据安全自由地流动，但该机制也将考虑各成员国当地法律的差异。总之，《东盟数字数据治理框架》是东盟数据治理进程中关键的一步，其详细的战略规划与完善的实施原则为东盟加强数据治理提供了具体方向与做法，这一框架也成为东盟坚持至今的数据治理规制指南。

在上述数据治理框架的指导下，2019年11月，东盟在第19届电信和信息技术部长会议（TELMIN）上通过了《东盟跨境数据流动机制的主要方法》，提议东盟应首先建设《东盟数字数据治理框架》中提出的“东盟数据分类框架”和“东盟跨境数据流动机制”两项重要倡议。为落实这一建议，2021年1月，东盟第一届数字部长会议（ADGSOM）批准发布了《东盟数据管理框架》（DMF）和《东盟跨境数据流动的示范合同条款》（MCC），以指导东盟成员国建立国内数据管理系统，同时确保数据在成员国间安全地跨境流动。《东盟数据管理框架》旨在为东盟企业提供在整个数据生命周期中的数据治理指导，以期通过完善数据治理框架、保障措施和风险管理等管理规范和基本原则，帮助企业最大化应用数据价值。该框架主要由六个基本部分组成：第一，治理和监督部分。企业应当通过建立数据管理职能、业务处理职能和风险监控职能来细化分工。数据管理职能包括设计数据治理框架、制定风险偏好策略、设计数据保护机制和监控实施情况等。业务处理职能包括参与数据分类、识别数据风险和安全事件上报等。第二，政策和程序部分。企业应当通过领导层承诺，明确数据管理的目标、范围和考虑因素，完善数据管理办法。第三，数据清单部分。企业应当加强对数据集的综合管理能力，在对数据进行分类和保护时应重点考虑的因素包括企业所提供服务的性质和类型（数据收集的目的、使用方法等）、法律法规、市场竞争格局（专利、研发等）、成本收益分析（数据交易量等）、客户期望（数据主体、合同义务等）。第四，影响和风险评估部分。企业应对照数据清单，评估各类数据遭到破坏的后果和影响，完善分级保护标准。数据受损的影响参数包括机密性、完整性和可用性三个维度，对企业的影响包括财务影响、声誉影响、运营影响和合规影响四个方面。第五，数据保护控制部分。企业应当从事前预防、事中监测和事后纠正三个方面实施保护措施以防止数据遭到破坏。数据保护措施取决于数据所处的生命周期阶段，还应根据企业业务性质、服务类型和数据敏感性等因素加以调整。第六，监测和持续改进部分。企业应当健全管理和监督职能，明确监测内容、监测方法、评估流程和负责人等。上述六个部分共同组成东盟数据的分类管理框架，该框架对于企业加强数据管理和降低合规成本具有重要的参考价值，也有利于促进东盟域内数据治理规制的进一步完善，推动东盟数字经济发展。

与重点关注数据分类的《东盟数据管理框架》不同，《东盟跨境数据流动示范合同条款》（简称《示范合同条款》）主要是为了促进数据在东盟各成员国间安全有效地跨境流动。《示范合同条款》以合同模板的形式为数据传输者的责任义务列明条款，各方可以直接使用其中的条款达成符合东盟成员国法律要求的、具有约束力的个人数据跨境传输合同。《示范合同条款》中关于数据保护的企业义务主要来自于《东盟个人数据保护框架》，一是收集、使用和披露数据的合法要求，若没有此类法律，则需告知数据主体使用目的并取得同意；二是数据保护的基本要求，即与数据收集、通知、使用、准确性、安全保障、访问、传输、存储等相关的要求；三是数据泄露的通知要求，如出现数据丢失、非法访问、复制、修改、披露、销毁等情形，数据接收方应及时通知有关部门和合同缔约方。《示范合同条款》根据两种不同的数据传输场景提供了两类模板，即数据控制者传输至数据控制者、数据控制者传输至数据处理者。前者是指数据出口商将数据传输至数据进口商后，进口商出于自身目的对数据进行处理，并可能在收到数据后对数据拥有完全控制权，例如广告数据库的销售；后者是指数据进口商在接收到数据后，仅代表数据控制者对数据加以处理，包括向下游数据处理者的继续传输，例如人力资源服务商或物流公司。但无论哪种模板，除标有“可选条款”的内容外，合同中都必须包含关于数据保护的全部条款。《示范合同条款》属于自愿性条款，并不对东盟企业具有强制的约束力，这是考虑到东盟成员国间数据治理水平的差异。此外，尽管《示范合同条款》的初衷是为了促进东盟成员国间数据的跨境流动，但由于模板参考了APEC《隐私框架》和OECD的《隐私保护与个人数据跨境流动指南》，所以企业也可以通过适当调整将其用于东盟成员国以外的数据跨境传输合同中。

（二）东盟缔结的区域贸易协定中的数据治理规制

东盟区域层面出台的数据治理规制主要是为了规范各成员国之间的数据跨境流动，东盟还效仿美欧积极在区域贸易协定中参与数据治理相关规则的谈判，以实现东盟与域外经济体之间安全、有效的跨境数据流动，其中主要的就是东盟与中国、日本、韩国、澳大利亚、新西兰于2020年签订的《区域全面经济伙伴关系协定》（RCEP）。RCEP中的跨境数据流动相关规则体现了东盟主张的“多元共治”的数据治理理念，同时坚持在保障数据安全的前提下促进数据跨境自由流动。即RCEP中的数据治理规则既支持了发达经济体跨境数据自由流动的经济利益诉求，也顾及了发展中经济体以国家安全为首要利益的诉求（冯洁菡和周濛，2021）。

一方面，RCEP支持高度自由的跨境数据流动，这不仅是因为日本、韩国、澳大利亚等发达经济体的数字经济发展水平较高，还考虑到数据作为重要的生产要素，限制数据跨境流动将会对经济发展造成重大的负面影响。据量化模型估计，一个国家的数据限制性指数（DRI）每增加一个百分点，其贸易总产出将减少7个百分点，生产率将下降2.9个百分点，下游产业中的商品和服务价格将在五年内上涨1.5个百分点（Cory和Dascoli，2021）。鉴于数据驱动的创新已经成为数字经济竞争力的核心，数据跨境流动对于东盟成员国的数字经济发展具有重要的促进作用，东盟的数据治理理念本质上是支持数据跨境自由流动的。另一方面，由于RCEP缔约成员的法律监管政策和数据治理水平具有较大差异，因此“一刀切”的数据治理规则并不适用于所有缔约成员，尤其是数字经济发展水平较低的几个东盟成员国，例如老挝、柬埔寨和缅甸。因此，RCEP中规定缔约成员可以出于“公共政策目标”和“国家基本安全利益”原因采取措施来限制数据跨境流动。可以看出，这与东盟在区域层面出台的数据治理规制原则是相符的，即在安全的首要前提下促进数据跨境自由流动。此外，RCEP框架下允许自由跨境流动的数据仅限于日常的商业数据，而由电信、金融等服务产生的重要敏感数据则可根据缔约方国内的监管审慎原因限制自由跨境流动，这与东盟重视保护个人数据的域内规制如出一辙，可说是东盟数据治理规制的域外延伸。

综上所述，东盟的数据治理规制主要体现在区域层面出台的政策文件和区域贸易协定的数据规则条款中。在东盟区域层面，东盟重点从个人数据保护和数据跨境自由流动两方面强化数据治理。东盟为此分别构建了数据分类框架和数据跨境流动机制，不仅为东盟各成员国之间的数据流动提供了数据安全保障，还对接欧盟的GDPR和APEC的CBPR等域外数据治理规制，通过协调全球数据治理规制为东盟企业的全球发展提供机遇。在区域贸易协定层面，RCEP作为东盟签订的最具有代表性的贸易协定，其中的数据规则完全体现了东盟数据治理的理念，也为东盟参与全球数据治理提供了政策实践的契机。可以预见，东盟在今后签订的区域贸易协定中将更灵活地纳入符合“多元共治”理念的数据规则。

四、东盟强化数据治理所面临的主要挑战

从主体定位来看，东盟作为区域性国际组织，是东盟各成员国与国际多边机制之间重要的政策协调渠道，所以东盟强化数据治理既需要兼顾各成员国参差不齐的数字经济发展水平，也要对接不同国际机制的数据治理框架。当前，全球数据治理面临着监管规则碎片化、数据主权冲突和“数据保护主义”兴起等挑战，因此，由这些内外部环境所导致的治理困境都为东盟强化数据治理带来了极大挑战。

第一，东盟成员国数据治理水平发展不平衡，导致东盟区域层面难以出台具有强制性法律约束力的统一的数据治理规制。在数据治理这一议题中，协调的监管规制是强化治理手段的重要基础，有效的政策法规是践行治理理念的根本保障，而统一则是确保治理有效的决定性机制（Kenneth和Duncan，2001）。尽管东盟目前已经出台了众多数据治理规制，但是这些指导性框架对于东盟各成员国而言并不具有强制性实施的法律约束力，因此当这些指导性规则与东盟成员国国内法律规定相冲突时，其作用效果基本为零。而导致这一现象出现的最大原因就是东盟各成员国之间的数据治理水平差距较大。例如，在个人数据保护的国内立法方面，文莱、老挝、缅甸目前为止尚未制定专门的数据保护法，柬埔寨、印度尼西亚仅在部门条例中列明了“保护个人数据安全”的相关规定，泰国的《个人数据保护法》仍在制定中，只有新加坡、马来西亚、越南和菲律宾四个成员国制定了专门且全面的《个人数据保护法》。为了实施个人数据保护法，新加坡还成立了个人数据保护委员会，菲律宾也成立了国家隐私委员会。东盟各成员国之间对于数据保护的重视程度不同，且在数据立法实践方面的步伐也缺乏一致性，各成员国差异较大的数据治理水平增大了东盟统一协调域内数据监管规则的难度。因此，东盟在强化数据治理的进程中势必面临成员国难以在同一水平上达成数据规制的挑战，这最终导致东盟只能出台指导性的政策文件而非约束性的法律法规。

第二，东盟目前的数据治理规制尚不能有效处理个人、企业与国家在数据权利问题上面临的冲突困境，导致东盟的数据治理模式缺乏高效率。首先，个人与企业之间存在数据掌控力量不对等的现状，数据产生于个人与企业之间的互动事实，包含个人隐私的数据其权属应归于个人，但存储权、使用权却被企业掌控，企业甚至在未经个人许可的情况下跨境转移个人数据，侵犯了个人的数据权利。因此，在个人与企业之间，个人处于数据掌控的弱势地位。其次，企业与主权国家之间存在数据资源不对称的现状，导致主权国家在数据治理领域难以克服低效率障碍。随着数字经济的发展，大量优势资源不断向数字巨头企业靠拢，由数字交易产生的大量数据也都被跨国数字巨头企业实际占有和使用，而主权国家则缺乏对重要数据资源的直接控制，从而导致无法在数据治理中高效调用所需的数据。再次，个人与主权国家在数据使用的安全保障问题上面临信任风险。国家应该为个人数据提供安全保障，才能有效提振个人对政府数据治理的信心。然而，国家在调用个人数据的过程中很可能会存在个人数据泄露的风险，同时由于信息不对称，国家也可能存在侵犯个人数据权利的情况（蔡翠红和王远志，2020）。综合东盟目前的数据规制框架，可以看出，东盟尚不能有效解决个人、企业与国家在数据权利存储、安全和使用问题上面临的冲突困境，而这必将导致东盟面临数据治理低效率的挑战。

第三，整体来看，东盟在数字基础设施建设和数据相关技能人才培养方面存在巨大的“数字鸿沟”，导致东盟强化数据治理的能力建设方面存在欠缺。东盟要强化数据治理，必然要加强数字基础设施建设和数字技术创新。无论是对于个人数据保护还是对于数据跨境自由流动而言，数据的存储设施、计算设施、传输设施以及数据加密技术等都是数据治理的重要基础。但东盟各成员国在数字基础设施建设方面存在较大的“数字鸿沟”。新加坡作为东盟中数据基础设施建设和数字技术创新应用最为领先的国家，目前拥有22家数据中心运营商，管理着46个数据中心，是亚太地区仅次于日本、中国和印度的第四大数据中心，国外机构甚至将新加坡列为亚洲数据中心业务运营的十强之一（张伯超，2021）。可以看出，新加坡目前已建成现代化的全球数据港，其数据基础设施建设和数据创新技术的应用甚至跻身全球前列。柬埔寨、老挝和缅甸的数字基础设施建设却处于落后地位。截至2021年，柬埔寨的互联网普及率仅为52.6%，低于全球平均水平（Kemp，2021）。老挝的农村和偏远地区仍然没有普及移动宽带，全国范围内的大容量数据传输所需的固定宽带也特别有限。此外，由于数字基础设施建设落后和数字技能人才培养系统薄弱等原因，柬埔寨、老挝和缅甸在ICT（信息和通信技术）产业发展方面也远远落后于其他东盟成员国。总之，东盟各成员国在数字基础设施建设、数字技术创新和数字人才培养等“硬性”条件方面存在巨大的“数字鸿沟”，而东盟要强化域内数据治理，就必须不断提高数字能力建设。因此，东盟“数字鸿沟”给东盟强化数据治理造成了巨大阻碍。

五、推进中国-东盟开展数据治理合作

当前，在全球数据治理不断推进的大背景下，东盟为实现域内数字经济发展，也在区域层面加强数据治理的规制协调，既试图与国际先进的数据治理框架对接，同时也努力基于自身成员的数据治理实践不断调整规制路径。从中国的角度来看，东盟位于中国“数字丝绸之路”建设的枢纽地带，由于近年来数字经济的快速增长，中国与东盟在数字经济领域的合作充满机遇，双方共建“数字丝绸之路”的合作进展也在不断推进。中国与东盟拥有牢固的数据治理领域的合作基础，双方应在互惠互利的目标下拓宽合作路径，取得更多合作成果。

（一）中国-东盟开展数据治理合作的现实基础

东盟是全球数字经济发展最快的地区，统计数据显示，2020年东盟地区新增4000万互联网用户，该地区网民所占比例高达70%，其中越南和印度尼西亚两国的数字经济增速超过10%，预计东盟地区2025年的数字经济总额将超过3000亿美元（Google等，2020）。中国目前是全球数字经济规模排名第二的经济体，2020年中国数字经济总量达到39.2万亿元，同比名义增速达到9.7%（中国信息通信研究院，2021）。由此看来，中国与东盟在数字经济领域的合作具有广阔的前景，而数据规则作为数字经济发展的基础性制度，是双方开展合作的主要领域之一。中国与东盟在数据治理领域的合作具有坚实的基础，主要体现在以下三个方面。

第一，中国与东盟的数据治理理念相通，双方在数据治理领域有着积极的合作意愿。从上文对东盟数据治理规制的讨论中可以看出，东盟的数据治理理念：一是注重个人隐私数据的保护；二是在确保安全的前提下促进数据的自由跨境流动；三是在多边层面，东盟提倡“多元共治”的数据治理理念，主张根据各国实际的数据治理水平和数字经济发展水平制定合作框架，而非简单的统一治理。中国对于数据治理的理念与东盟相通，甚至得到了东盟的积极响应。2020年9月，中国发布《全球数据安全倡议》，提出“保护数据安全”“秉持发展和安全并重的原则”“相互尊重”“深化合作”等建议，表达出中国的数据治理理念：一是以数据安全为首要前提；二是支持全球各国在数据治理领域展开合作、共同发展；三是将数据主权视为数据治理的重要基础。该倡议一经发布受到东盟的积极响应，中国-东盟关系协调国菲律宾外长洛钦代表东盟表示，《全球数据安全倡议》受到东盟各国高度重视，反映了各国对于数据治理问题的共同关切，东盟愿同中国加强全球数字治理合作。因此，在数据治理理念方面，中国与东盟有着相通之处，且双方在数据治理规则方面也有着坚实的合作基础。2020年签订的RCEP表明中国与东盟在数据治理领域有着进一步合作的积极意愿，其中的跨境数据自由流动规则和个人数据保护规则为未来中国与东盟展开数据治理合作打下了牢固的基础。

第二，中国与东盟的数字经济发展战略高度契合，双方开展数据治理合作的互补性较强。当前，中国与东盟正在不断推进数字经济合作伙伴关系建设，其背后的逻辑：一是东盟在数字化转型道路上面临诸多挑战，而这给中国-东盟数字经济合作提供了大量的机遇；二是中国与东盟在共建“数字丝绸之路”的背景下迎来新的合作高潮。在数字经济发展战略规划方面，中国先后出台《国家信息化发展战略纲要》《“十三五”国家信息化规划》《网络空间国际合作战略》等战略规划，坚持在“主权”“共治”“普惠”的数字治理原则下推动数字经济发展。东盟也相继推出《电子东盟框架协议》《东盟经济共同体蓝图2025》《东盟互联互通总体规划2025》等发展战略，推动东盟数字经济和数据治理加速发展。在中国与东盟的数字经济发展战略高度契合的基础上，双方签订了一系列的合作协议以推进发展战略的对接。例如，2019年中国与东盟发表了《中国-东盟关于“一带一路”倡议同〈东盟互联互通总体规划2025〉对接合作的联合声明》，进一步确定了双方在数字经济领域的合作重点（姜志达和王睿，2020）。总之，在中国与东盟不断推进数字合作战略对接的情形下，双方在数据治理领域的政策对接也在同步推进。

第三，中国与东盟拥有完善的数字经济合作机制，保障双方开展数据治理合作取得丰硕成果。目前，中国与东盟之间已经形成了以“一带一路”倡议、中国-东盟领导人会议和中国-东盟电信部长会议为中心，以地方政府和行业组织为补充的完善的合作机制。中国与东盟共建的“数字丝绸之路”是双方开展数字经济合作的重要平台，无论是跨境电子商务合作，还是数字基础设施投资，由此产生的数据规模与数据传输量都是双方开展数据治理合作的良好基础，而“数字丝绸之路”提供的数据创新合作机制也为双方提供了主要的合作平台。中国-东盟领导人会议和中国-东盟电信部长会议作为常设合作平台，进一步完善了中国与东盟的数据治理合作机制。此外，中国还与东盟成员国政府之间建立了合作机制，例如，与泰国建立“数字经济合作部级对话机制”，与越南签署了“电子商务合作谅解备忘录”。在地方政府层面，中国与东盟城市之间积极建立互惠伙伴关系，开展智慧城市的合作建设。《中国-东盟智慧城市合作倡议领导人声明》中支持中国南宁、厦门、杭州、济南、昆明、深圳、南京、成都等城市同东盟智慧城市建立互惠互利的城市伙伴关系，可以预见，这些城市将在数据治理领域展开重点合作与交流。

（二）中国-东盟开展数据治理合作的路径

在中国-东盟数字经济良好合作的基础上，双方数据治理的合作既要考虑各自国内法律法规和监管政策的特殊规定，也要参考国际数据治理的通行规则，这样才能真正实现互惠互利、合作双赢的目标，也能为地区和全球数据治理提供较好的参考例证。鉴于个人数据保护和跨境数据流动是当前中国与东盟最为关注的数据治理问题，中国与东盟可从两个方面探索具体可行的数据治理合作路径。

第一，在个人数据保护方面，加强中国与东盟在数据分类等领域的政策沟通与对接，以“白名单”制度为基础推进双边数据保护的充分性认证。个人数据和隐私的保护是数据治理的首要问题，也是提振消费者信心、促进数字经济发展的重要抓手。东盟已经在区域层面出台了《东盟个人数据保护框架》等规制，在《东盟数据管理框架》中重点对数据分类的全流程风险进行监控，建立了相对健全的数据分类框架。2021年6月10日，十三届全国人大常委会第二十九次会议通过了中国首部与数据安全相关的专门法律——《中华人民共和国数据安全法》，该法确立了数据安全保护的重要义务，提出了“建立健全数据安全治理体系”的主要任务（杨楠，2021）。但遗憾的是，中国目前在数据分类方面的工作尚未系统展开，因此，中国可从东盟数据分类的工作中借鉴相关经验，与东盟就数据分类等问题开展政策沟通和对接，这既有利于中国进一步完善数据保护的规制框架，也有利于为中国-东盟数据治理合作扩大范围。在数据保护方面，中国与东盟可参考欧盟、日本等设立的“白名单”制度，即通过对其他国家或地区数据保护水平的认证，允许数据在双方之间自由流动。事实上，早在2017年马来西亚就曾发布《个人数据保护（传输个人数据至马来西亚境外）命令2017》，拟将中国纳入马来西亚个人数据保护的“白名单”中（CHRISTOPHER&LEEONG，2017）。因此，中国与东盟可在未来加强政治互信的基础上，提高数据安全评估认证能力，也可根据双方数据治理的现状在“白名单”制度中灵活纳入例外条款，逐步探索适合中国与东盟国情发展的数据治理合作路径。

第二，在跨境数据流动方面，建立中国-东盟数据跨境流动先行试验区，完善数据流动的风险规制体系，以多边监管框架和区域性指导原则为基础，达成数据跨境流动的规制共识。尽管RCEP中“跨境数据自由流动”的相关条款为中国与东盟合作提供了基础的规则框架，但其中也纳入了许多例外性规定，留下了规制性空间，且针对金融、电信等服务的数据尚未列入RCEP数据流动范围内。因此，中国与东盟应在未来的数据治理双边合作中进一步剔除例外性规定，以对标国际高标准的数据治理规制，倒逼双方合作实践的不断推进。从中国角度看，鉴于东盟已经出台《东盟数据管理框架》和《东盟跨境数据流动示范合同条款》两项区域指导性规制，中国可针对这两份文件对应设计出中国的跨境数据流动合同条款，主动与东盟对接数据流动的风险规制，保障双方的数据实现安全、有效地跨境自由流动。另外，目前中国已经将海南全岛设为自由贸易试验区和中国特色自由贸易港，且海南具有与东盟国家隔海相望的天然地理优势，因此中国可考虑将海南自由贸易港设为“数据跨境流动自由港”，作为数字经济的先行试验区，探索与东盟在数据跨境自由流动方面的安全认证与具体实施方案。总之，在跨境数据自由流动方面，中国与东盟应在互相尊重彼此数据主权的前提下，在数据流动风险规制体系建立健全的框架下，以APEC《隐私框架》等多边监管框架和区域性指导原则为基础，积极探索数据治理未来合作路径的新方向。