當前，世界百年變局加速演進，大國博弈與地緣沖突此起彼伏，世界經濟增長動能不足。根據博鰲亞洲論壇發(fā)布的《亞洲數字經濟報告2023》，在世界經濟復蘇總體乏力的背景下，亞洲仍然是全球經濟增長的亮點，其中，數字經濟成為亞洲經濟發(fā)展的重要動力源。為此，全球各主要經濟體正在加快完善數字經濟布局，并傾向于通過立法規(guī)范和政策引導，打造本國數字經濟優(yōu)勢，搶占大國間戰(zhàn)略博弈的又一制高點。當前，數據跨境流動增長迅猛?！稊底仲Q易發(fā)展與合作報告2023》指出，跨境數據流動是開展數字貿易的前提條件，2005—2022年，跨境數據流動規(guī)模從3554Gbps擴張至997301Gbps，增長超280倍。數據跨境規(guī)則開始呈現出區(qū)域化、雙多邊的治理模式。準確把握全球跨境數據流動治理態(tài)勢，進而尋求進一步規(guī)范和促進數據有序流動的路徑策略具有重要現實意義。

一、全球數字經濟政策法規(guī)政策動向

近年來，歐美等主要經濟體十分關注數據要素領域的規(guī)則治理，已出臺超過30項涉及數字經濟與跨境數據的法案、法規(guī)及框架協(xié)議。G20、WTO、APEC等國際合作組織也推出了至少10項數字經濟相關的框架協(xié)議。

國際數字經濟領域政策法規(guī)呈現加速增長態(tài)勢。最早涉及數字經濟與跨境數據的政策法規(guī)的出臺時間可追溯到2000年。從2018年開始，該領域的政策法規(guī)明顯呈現出加速增長的態(tài)勢。政策法規(guī)出臺數量的激增與近年來數字經濟與跨境數據爆發(fā)式增長相契合，反映了數字經濟與跨境數據已成為各國立法機構與政府的關注熱點。

歐美領跑，亞太跟隨的格局已出現。數字經濟與跨境數據相關政策法規(guī)的出臺存在明顯的國別差異。歐盟作為整體在數字經濟政策法規(guī)制定領域占據數量上的領跑地位，已出臺多項政策法規(guī)；美、英兩國緊隨其后，亞太各主要國家及各國際合作組織也有所涉及。歐美已展現出一定的先發(fā)優(yōu)勢。

跨境數據流動成為數字經濟重點關注領域。各經濟體出臺的政策法規(guī)及框架協(xié)議雖各有側重，但其核心內容主要集中在跨境數據流動、數據安全保護等方面。其中，數據跨境流動關注度最高。這也從側面印證了跨境數據流動正成為驅動全球經濟增長的重要新動能。

二、世界主要經濟體跨境數據治理特點

（一）美國：依托技術領先優(yōu)勢對數據“寬進嚴出”

美國通過其占據信息通信技術及產業(yè)發(fā)展的領跑地位，不斷促使大量數據通過美國公司流向美國，帶動了美國數字經濟領先全球。這一態(tài)勢促使美國將數據實際控制權凌駕于數據屬地管理權之上，以攫取數字經濟發(fā)展最大紅利。

2018年2月，美國議會通過《澄清域外合法使用數據法案》（Clarifying Lawful Overseas Use of Data Act，CLOUD Act），旨在解決跨境數據雙向獲取問題。由于大幅弱化甚至取消了數據本土化、屬地化管理，數據將更傾向于從各國流向美國，并使各國更進一步依賴、依附美國數字經濟體系。同年8月，美國通過《2018年外國投資風險審查現代化法案》發(fā)布，明確將關鍵技術或關鍵基礎設施等納入審查范圍。

2022年3月，美國與歐盟就“跨大西洋數據隱私框架”達成原則性協(xié)議，并將成為制定新的跨大西洋數據隱私框架的充分性決定草案基礎。美國在此次協(xié)議中作出了前所未有的承諾：一是加強對通訊情報活動的分層監(jiān)管，美國情報機構對數據的訪問將限制在保障國家安全的范圍內，并且不得過度影響對個人隱私和公民自由的保護。二是建立一個具有獨立性和有約束力的兩級救濟機制，必要時歐盟可以向該機制提出申訴。其中包括設立一個數據保護審查法庭，該法庭由美國政府以外的人員組成，他們將有權對申訴和索賠進行裁決，并在需要時指導補救措施。三是處理歐盟跨境數據的美國企業(yè)需要承擔遵守相關原則的法律義務，歐盟可通過美國商務部對這些企業(yè)遵守原則的情況進行評估。

（二）歐盟：領先探索強化“數字主權”“內松外緊”

對內推行數字單一市場，消除成員國地域限制。2015年5月，歐盟發(fā)布數字化單一市場戰(zhàn)略（Digital Single Market，DSM），涉及數字文化、數字未來、數字生活、數字信任、數字購物、數字連接六大領域，以破除28個成員國之間的“制度圍墻”，實現貨物、人員、服務、資金和數據的自由流動，促進歐洲數字經濟發(fā)展。

對外強化監(jiān)管與數據保護，需達成“充分性認定”。近年來，歐盟已發(fā)布了十余份與“數字主權”相關的政策法案，試圖從發(fā)展關鍵技術、推動數字化轉型、強化監(jiān)管規(guī)則等方面，捍衛(wèi)“數字主權”。2018年5月，歐盟《通用數據保護條例》（General Data Protection Regulation， GDPR）正式生效。其對個人信息的保護達到了前所未有的高度，被稱為“史上最嚴格的數據保護法”。接下來的幾年里，歐盟密集發(fā)布了《非個人數據自由流動條例》《歐洲數據戰(zhàn)略》（A European Strategy for Data）《數據法案》（Data Act）等政策法案，不斷強化數字產業(yè)監(jiān)管框架及數據保護規(guī)則，試圖引領全球數字技術監(jiān)管治理及規(guī)則制定。

平臺企業(yè)監(jiān)管方面，力圖促進公平競爭。為了規(guī)范歐盟數字經濟市場秩序，防止大型數字平臺形成壟斷。2023年8月及2024年3月，歐盟《數字服務法案》（Digital Service Act，DSA）及歐盟《數字市場法案》（Digital Markets Act，DMA）分別正式落地生效。歐盟試圖通過制定數據規(guī)則促進平臺企業(yè)和數字經濟有序發(fā)展。以《數字市場法案》為例，其適用于被稱為單一數字市場“守門人”的大型平臺行為，這些平臺有能力充當私人規(guī)則制定者?！稊底质袌龇ò浮芬鈭D解決平臺充當內部市場的數字“看門人”所產生的負面影響。

（三）英國：逐步走出獨立于歐盟的第一步

隨著數字經濟的快速發(fā)展，英國先后推出了《數字英國》《數字經濟法案》《數字英國戰(zhàn)略（2017）》《國家數據戰(zhàn)略（2020）》等戰(zhàn)略計劃。從連接性、數字技能、數字經濟等方面打造“數字英國”。從2018年開始，英國嚴格執(zhí)行《通用數據保護條例》，并修訂《數據保護法》和《數字經濟法案》，進一步注重數據隱私保護。

2022年2月，英國信息專員辦公室（英國的個人數據保護機構）根據英國脫歐后制定的英國《通用數據保護條例》（英國“GDPR”）與英國《2018年數據保護法》（Data Protection Act 2018）第119A條發(fā)布了標準數據保護條款（Standard Data Protection Clauses）（“英國SCC”）。該條款已于2022年3月21日正式生效，標志著英國在個人數據跨境傳輸方面走出了獨立于歐盟的第一步。

（四）日本：靈活務實積極加強與歐美政策對接

日本在數據跨境領域政策制定更為靈活務實。日本只對涉及本國安全的敏感關鍵數據進行監(jiān)管，對其他數據則不多加限制。對內數據治理方面，早在2003年，日本就發(fā)布了《個人信息保護法》（APPI），在2015年、2020年修訂，2022年4月1日生效。2016年，日本發(fā)布《官民數據活用推進基本法》，保護個人及法人權力利益、確保網絡信息順暢流通、把信息數據有效利用于經濟發(fā)展和社會建設。

對外日本則加強與歐美政策對接，比如日本積極參與跨太平洋伙伴關系協(xié)定（TPP）、《亞太經合組織跨境隱私規(guī)則體系》（APEC CBPR）、《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）等數據規(guī)則，更以歐盟GDPR等數據框架為基礎完善數據規(guī)則體系，此外，日本還積極倡導“基于信任的數據自由流動體系”（Data Free Flow With Trust，DFFT）。

（五）新興經濟體：維護數據安全實施數據本地化監(jiān)管政策

除了美歐英日等發(fā)達經濟體外，其他新興經濟體大多從維護自身數據安全為出發(fā)點，在數據安全、數據治理、平臺監(jiān)管等領域發(fā)布了本地化監(jiān)管策略。總體而言，新興經濟體的共性措施包括：一是加強個人信息保護力度；二是針對電商平臺和電商賣家制定本地化監(jiān)管要求。例如，2019年，新加坡發(fā)布《個人資料保護條例》（PDPA）加強個人信息保護力度。2021年，韓國發(fā)布《電子商務消費者保護法》，旨在保護符合數字交易環(huán)境的消費者權益，并對電商平臺和電商賣家制定監(jiān)管要求。2022年4月，韓國發(fā)布《數據產業(yè)振興和利用促進基本法》，一是成立國家數據政策委員會，構建跨部委間決策機構。二是建立數據交易/分析申報系統(tǒng)，為從業(yè)者提供支持。三是引入數據經紀商作為數字經濟的促進者。四是構建數據爭端解決機制，推進數據要素市場運行。

三、全球經貿框架下雙邊多邊協(xié)議中的跨境數據治理現狀

各國背景、基礎各不相同，為解決各國差異、利益沖突或立場難以調和等問題，多/雙邊機制在全球數字治理中發(fā)揮重要的積極作用，通過數字規(guī)則和秩序的塑造，規(guī)范跨國數據治理，推動數字經濟全球化健康發(fā)展成為必由之路。

（一）G20框架下的跨境數據治理規(guī)則

二十國集團（G20）始于1999年的七國集團財長會議，國際金融危機爆發(fā)后，G20提升為領導人峰會。G20峰會具有廣泛的代表性，近年來峰會議題高度關注數字經濟、數據貿易等多領域，現已成為協(xié)調多方利益、動員多種力量的重要合作平臺。

2016年G20杭州峰會、2017年G20德國漢堡峰會、2018年G20阿根廷布宜諾斯艾利斯峰會、2019年G20日本大阪峰會、2020年G20沙特阿拉伯利雅得峰會、2021年G20意大利里雅斯特峰會均發(fā)布了一系列數字經濟相關共識。其中，在2016年杭州峰會發(fā)布的《G20數字經濟發(fā)展與合作倡議》中，二十國集團探討共同利用數字機遇、應對挑戰(zhàn)，促進數字經濟推動經濟實現包容性增長和發(fā)展的路徑。2023年，聯(lián)合國貿易和發(fā)展會議發(fā)布調查報告《G20成員國跨境數據流動規(guī)則》（G20 Members’Regulations of Cross-Border Data Flows），該報告對G20成員國和特邀嘉賓的跨境數據流動規(guī)則進行了調查，結果顯示跨境數據流動有關法律法規(guī)顯現出多樣性，以及越來越多的部門會受到數據流動監(jiān)管的影響。

（二）WTO框架下的跨境數據治理規(guī)則

世界貿易組織（WTO）中的大多數規(guī)則形成于20世紀末期，彼時全球信息化剛邁入第一個重大拐點由信息化轉向網絡化，數字經濟初露萌芽，因此未能建立有關數字貿易的專門性規(guī)則，其他能夠適用的相關性規(guī)則隨著時間推移適用性也逐步減弱。

科技不斷發(fā)展衍生出的數字經濟得到了WTO的重視。數字貿易議題最早出現在2013年《服務貿易總協(xié)定》（TISA）第二輪正式談判中，之后TISA成員圍繞數字貿易規(guī)則開展了多輪談判，其中“數據跨境流動”成為焦點議題。2023年10月底，美國貿易代表辦公室（USTR）在世貿組織（WTO）的談判中撤回了此前的數字貿易提案，該提案要求WTO電子商務規(guī)則允許自由的跨境數據流動，并禁止數據本地化和軟件源代碼審查的國家要求。當前，WTO框架下直接規(guī)范跨境數據流動的規(guī)則尚未明確，整體看國際上對跨境數據流動的監(jiān)管趨嚴。

（三）APEC框架下的跨境數據治理規(guī)則

亞太經濟合作組織（Asia-Pacific Economic Cooperation，APEC）為確保充分保護個人信息，同時實現經濟體間的數據安全流動，從而讓各經濟體能夠充分享受當今全球數字經濟的利益，在成員經濟體之間設計并發(fā)展了跨境隱私規(guī)則（Cross-Border Privacy Rules，CBPR），這提供了一個現成的、國際認可的隱私保護認證框架。CBPR體系通過數據隱私小組（Data Privacy Subgroup）的聯(lián)合監(jiān)督小組（Joint Oversight Panel）進行統(tǒng)一管理，建立了經濟體、責任代理和申請組織等三級認證制度，并通過經濟體間隱私執(zhí)法機關的合作提供強制效力保障。

2022年4月21日，美國率領一眾經濟體發(fā)布《全球跨境隱私規(guī)則宣言》，宣布建立“全球跨境隱私規(guī)則”體系——Global Cross-Border Privacy Rules System（G-CBPR），將成立全球跨境隱私規(guī)則（G-CBPR）論壇，試圖促進數據在全球范圍的自由流通與有效的隱私保護。這將進一步提升美國在跨境隱私規(guī)則方面的話語權，強化對其他經濟體的數字技術及數字規(guī)則壓制，其打造“數字霸權”的意圖明顯。

四、對我國的啟示

數據跨境流動已經成為全球資金、信息、技術、人才、貨物等資源要素交換、共享的基礎。據2024年全國數據工作會議發(fā)布信息：經初步測算，2023年我國數據生產總量預計超過32ZB。據IDC發(fā)布的Global DataSphere 2023顯示，中國數據量規(guī)模將從2022年的23.88ZB增長至2027年的76.6ZB，復合年均增長率（CAGR）達到26.3%，為全球第一。我國龐大的國內市場和海量的數據資源具有重要戰(zhàn)略意義，亟需綜合施策，為我國數據資源開發(fā)利用和對外合作提供保障支撐。

（一）加強跨境數據分級分類監(jiān)管體系建設，完善基礎性制度

近年我國在個人信息保護、數據安全管理等方面的立法已經取得了積極進展，比如，2024年3月施行的《促進和規(guī)范數據跨境流動規(guī)定》對數據出境安全評估、個人信息出境標準合同、個人信息保護認證等數據出境制度做出了優(yōu)化調整。建議一是緊密跟蹤國際跨境數據治理動態(tài)及政策落地實施情況，建立可靠的跟蹤研究機制，密切關注其實施效果，及時提煉發(fā)展經驗，理清對我國的利弊，做到未雨綢繆，有備無患；二是在已有政策法規(guī)基礎上，結合發(fā)展需要及自身特色，梳理細化分級分類監(jiān)管制度。針對個人數據跨境流動，建議遵循政府監(jiān)管與企業(yè)自律相結合的原則進行監(jiān)管；針對涉及國家安全或產業(yè)發(fā)展的核心數據，建議結合數據離境后的潛在風險進行分析，實現梯度監(jiān)管。

（二）主動構建數據跨境流動區(qū)域性規(guī)則，擴大“數字朋友圈”

針對不同國家和地區(qū)的特點，采取靈活性、針對性數據跨境流動策略。一是積極參與數據跨境隱私規(guī)則的雙邊或多邊對話，通過雙邊或多邊合作機制建立我國與友好國家間安全、合理的數據跨境流動通道。二是在現有基礎上擴大數據領域合作，通過“一帶一路”倡議、上海合作組織等機制，提出跨境數據流動議題的“中國方案”，構建區(qū)域性跨境數據流動規(guī)則。三是探索建立“白名單”機制，對于與我國經貿往來較頻繁、未來業(yè)務開展需求較大的國家和地區(qū)，在數據保護標準對等、數據跨境執(zhí)法權力對等的基礎上，簽署雙邊或多邊數據跨境流動協(xié)議，通過納入數據授權跨境目錄、數據主體授權等模式，實現數據安全有序跨境。

（三）積極參與相關國際規(guī)則制定，構建數字空間命運共同體

堅持“多邊參與、尋求共識”的原則，加強與國際組織、其他國家數據監(jiān)管機構的溝通協(xié)作。一是積極參與數據跨境隱私規(guī)則的國際規(guī)制制定，積極宣傳多元共治理念，在數據跨境隱私規(guī)則領域求同存異，尋求新維度的跨境隱私安全與數據跨境流動規(guī)則。二是積極參與反壟斷、反不正當競爭國際協(xié)調，推動構建互利共贏的國際數據跨境流動規(guī)則制定，為我國企業(yè)國際化發(fā)展營造良好環(huán)境。三是結合雙邊和多邊機制，在G20、APEC、RCEP、WTO等多邊談判中利用貿易與投資協(xié)定，適當嵌入數據跨境流動談判內容，在某些重要數字領域尋求跨境合作，促進數據合法有序流動和國際貿易環(huán)境下的數據互通，構建數字空間命運共同體。四是依托國產化區(qū)塊鏈服務網絡（BSN）等區(qū)塊鏈可信服務網絡和應用平臺，構建有利于我國數字經濟發(fā)展和對外合作的數據跨境流動支撐平臺，為實現信息互通提供技術解決方案，支持我國數字經濟企業(yè)“走出去”。

（作者為國家信息中心信息化和產業(yè)發(fā)展部、未來產業(yè)和平臺經濟研究中心副秘書長，清華大學創(chuàng)新領軍工程博士生）