智库丨跨境数据流动：全球态势与中国对策

文/张茉楠，中国国际经济交流中心美欧研究所首席研究员。

数字经济时代，数据不仅成为基础性生产要素，更成为一国重要的战略性资产，以及构筑一国核心竞争优势的关键。数字贸易的基础是跨境数据流动及相关服务。当前，世界各国政府大都倾向于通过宏观经济政策加强本国数字经济与数字贸易的发展，而与此相关的跨境数据流动政策也成为新一轮国际经贸规则中的前沿议题，以及大国间战略博弈的焦点。

一、全球跨境数据流动发展态势及其政策新动向

跨境移动，存储和处理数据的能力是现代经济的基础。目前，国际上对跨境数据流动（Cross-border Data Flows）的概念界定还存在差异，尚未形成统一认知。综合比较来看，国际上对跨境数据流动的内涵与外延界定主要包括两类：一类是数据跨越国界的传输、处理与存储；另一类是尽管数据尚未跨越国界，但能够被第三国主体进行访问。

（一）当前全球跨境数据流动发展总体态势

近年来，随着互联网、云计算、大数据、人工智能等新一代信息技术的快速发展，以及信息基础设施的大规模普及，全球互联网协议流量及全球数据量呈现指数级增长，数据的全球化属性、资产属性以及流动属性日益增强，跨境数据流动正成为推动新型全球化的重要特征。按照世界经济论坛（World Economic Forum）的说法，目前我们正进入一个被称为“全球化4.0”、以数字驱动的全球化新时代。互联网的全球扩张及其对数据流日益增长的需求，正在改变传统世界经济和国际贸易的形态，使数字产品和服务成为主要输出品。十多年来，数据流动对全球经济增长的贡献，不仅早已超越以商品、服务、资本、贸易、投资为代表的传统形态，而且随着国际日益数字化，跨境数据流动越来越独立地发挥作用，数据全球化正成为推动新一轮全球化的新的增长引擎。根据美国著名智库布鲁金斯学会的相关研究，2009—2018年十年间，全球数据跨境流动对全球经济增长贡献度高达10.1%，其中，2014年数据跨境流动对全球经济增长的价值贡献超过2.8万亿美元，预计2025年有望突破11万亿美元。

（二）“数字主权”下全球跨境数据流动政策新动向

数字经济时代，无论是货物贸易还是服务贸易，都离不开信息的全球互联，离不开数据的跨境流动。近几年，随着各国对数据跨境流动的意义及影响的认识日益深化，国际社会既认识到跨境数据流动能带来巨大收益，也意识到可能对国家安全和个人隐私造成巨大冲击。总体而言，美国等发达国家强调跨境数据自由流动立场，但围绕“数据主权”，出于对数据资源的保护、国家安全的需要以及防止行政权、司法权落空等目的，跨境数据流动所涉及的“跨境数据传输”“数据本地化存储”“数据隐私保护”等重大议题的国内监管与国际规则制定，也呈现新趋势和新特点，进而可能演变为一场新的国际经贸博弈。

趋势一：跨境数据流动与数字服务贸易呈现“有限性特征”

大规模数据流动在创造巨大的经济财富和价值的同时，也可能引发一系列风险。数据的无序流动会对一国的国家安全利益、监管框架，甚至执法权提出严峻挑战。一些国家出于对数据隐私保护、国家主权的完整性，以及国家安全利益等公共政策目标考虑，不同程度地对跨境数据流动加以政策或法律法规的限制。因此，无论在多边的WTO（世界贸易组织）、G20（二十国集团）框架内，还是在双边自由贸易协定中，当下的跨境数据流动无不呈现“有限”特征，“本地化”的诉求也从未消失。

为对世界各国数字服务贸易的限制性政策进行评估，并量化其影响，OECD开发了数字服务贸易限制性指数（Digital Services Trade Restrictiveness Index），对涵盖全球40个主要经济体的数字服务贸易及其跨境数据流动政策进行评估。评估数据显示，中国、印度尼西亚、南非、巴西、印度、俄罗斯等非OECD国家限制指数偏高，而瑞士、澳大利亚、美国、挪威等OECD国家限制指数较低。

趋势二：对涉及国家安全利益的数据采取“灵活化”对策

鉴于个人数据与重要敏感数据涉及的风险和所需保护的法益各有不同，许多国家都在尝试分级分类监管的方法，通过灵活多样的监管模式，确立宽严不同的数据跨境流动管理政策。例如，法国规定政府管理、商业开发、税收数据需要本地存储；澳大利亚明确禁止与健康医疗相关的数据出境；美国不允许属于安全分类的数据存储于任何链接公共云数据；韩国规定移动通信服务提供商应采取规范措施，禁止涉及经济、工业、科学技术等重要数据跨境流动，等等。

趋势三：围绕数据主权与长臂管辖权博弈呈现 “加剧化态势”

数字经济越来越依赖于跨境数据流。近年来，世界各国围绕网络空间的战略博弈与数据资源的争夺日益激烈。美欧数据主权战略属于“进攻型”，通过“长臂管辖”扩张其跨境数据执法；而中国、俄罗斯等新兴经济体的数据主权战略以“防守型”为主，通过数据本地化解决数据治理与本地执法问题，因此 “长臂管辖”在允许跨越一国传统地域主权限制获取境外数据的同时，也加剧了与他国关于数据管辖权以及执法权之间的冲突。如2019年，美国颁布的《云法案》规定，无论数据是否存储在美国境内或境外，都赋予美国政府调取存储于他国境内数据的法律权限。不仅如此，法案还明确规定，如若美国与他国达成“协议”，即可实现彼此数据相互交换，这相当于建立了一个可以绕过数据所在国监管机构，将美国执法效力扩展至数据所在国的“治外法权”，如此一来势必对全球数字治理框架产生深远影响，并在很大程度上改变全球数据主权的游戏规则。

二、世界主要经济体跨境数据流动政策及其实践

目前，全球对跨境数据流动监管并未形成统一框架，不同国家采取的监管模式各不相同，各国以维护本国利益为出发点设计跨境数据监管制度。总体来看，各国数据跨境流动政策越来越受到地缘政治、国家安全、隐私保护、产业发展水平等复杂因素的影响。利益的复杂性、价值认同的差异性和国家间信任的缺乏，阻碍了各国在短期内形成规则共识。究竟是推动“数据自由流动”还是加强“数据本地化”，如何在安全性和成长性中实现平衡，考验各国政府的数据战略思维和治理能力。

（一）美国：以维护数字竞争优势和强化“长臂管辖”为主旨，构建数据跨境流动与限制政策

美国在数字经济和信息技术领域具有全球领先优势，这是其推崇全球数据自由流动政策的客观基础和前提。2016年以来，美国严格限制涉及重大科学技术及基础领域的技术数据和敏感数据的跨境转移，并通过“长臂管辖权”和庞大的情报网络加以执行。2018年3月，美国议会通过《澄清境外数据的合法使用法案》（Clarifying Lawful Overseas Use of Data Act, CLOUD法案，即《云法案》）。该法案秉承“谁拥有数据谁就拥有数据控制权”原则，打破了以往“服务器标准”，而是实施“数据控制者”标准，允许政府跨境调取数据。与此同时，美国还通过限制重要技术数据出口以及特定数据领域的外国投资进行数据跨境流动管制。例如，2018年8月签署的《美国出口管制改革法案》就特别规定，出口管制不仅限于“硬件”出口，还包括“软件”，如科学技术数据传输到美国境外的服务器或数据出境，必须获得商务部产业与安全局（BIS）出口许可。在外国投资审查方面，《外国投资风险审查现代化法》（FIRRMA）的一项关键内容在于扩大管辖权，对于涉及“关键技术”“关键基础设施”“关键或敏感数据”的美国企业做出的特定非控股外国投资，都会被纳入安全审查范围。

（二）欧盟：以构筑单一数字市场为战略目标，“外严内松”引领建立全球数据规制体系

推进欧盟乃至全球的数字单一市场、引领国际数据流动和保护规则，是欧盟一直以来倡导的战略。为此，欧盟在内部积极推动成员国之间数据自由流动，力促单一数字市场战略的形成，即“内松”政策；但与之相对，对于欧盟境内数据向欧盟境外传输有着严格的管控，需要达成“充分性协议”，对于满足充分性认定的国家可获得充分性保护，即“外严”政策。其跨境数据流动框架主要包括：一是通过2018年生效的《一般数据保护条例》（GDPR），使其成为由欧盟成员国统一实施的单一法令，其主要目标是消除成员国数据保护规则的差异性，并在“欧洲数据自由流动倡议”框架下消除非个人数据在储存和处理方面的地域限制，推动欧盟范围的数据资源自由流动。作为机制保障，欧盟也成立了“数据保护委员会（European Data Protection Board, EDPB）”以及相关协调机制；二是通过“充分性认定”，确定数据跨境自由流动白名单国家，推广欧盟数据保护立法的全球影响力；三是在保障个人权利的前提下，提供多样化的个人数据传输方式，如遵守约束性公司规则（BCRs）、标准数据保护条款等；四是强化欧洲数据主权，推出“数字新政”。2019年，欧洲正式部署建设自己的网络云设施Gaia-X（“盖亚X”计划），旨在通过创建面向欧洲的、强大而有竞争力的、安全可靠的数据基础架构，成为完全独立的“云替代方案”。2020年2月，欧盟委员会最新发布数字化战略，包括《欧盟数字化总体规划》《欧洲数据战略》以及《人工智能白皮书》三个文本，即 “欧盟数字新政”。特别是在《欧盟数字战略》中强调要确保欧盟成为“数据赋能社会”的榜样与全球领导者。

（三）日本：以跨境数据流动政策灵活性为主导，全面加强与美欧两大跨境数据流动监管框架对接

在国内立法形式上采取更为弹性化的政策。日本在跨境数据流动方面，限制性条件相对较少，只对涉及国家安全的敏感或关键数据进行监管；在数据本地化方面，日本政府要求涉及国家安全的数据必须实现本地化储存，但对其他数据不做格外限制；在数据隐私保护方面，2017年日本设立了“个人信息保护委员会”（PIPC）作为独立的第三方监管机构，制定向境外传输数据的规则和指南。

在参与多边和双边跨境协定谈判中更加务实。一方面，日本积极跟随美国的政策主张，推动跨境数据自由流动，积极参与跨太平洋伙伴关系协定（TPP）以及APEC、CBPRs等数据规则体系。另一方面，日本积极对接欧盟主导的《一般通用数据保护条例》（GDPR）框架，同时，为弥合日本与欧盟在跨境数据流动及数据保护规则方面的差异，积极制定相关补充规则。对于敏感数据、涉及数据主体权利以及实现转移源自欧盟的个人数据强化保护。

（四）新兴经济体：以维护网络和数据安全为着眼点，实施数据本地化或限制性数据跨境流动政策

除了美欧日等发达经济体提出较为鲜明和系统化的政策之外，其他新兴经济体大都从数据主权、网络安全日益关切的立场出发制定相关法律法规。总体而言，对跨境数据流动的限制性措施主要包括：一是要求跨国企业在本国开展业务或提供服务时须在本国境内建立数据中心；二是对数据存储和服务器地址提出本地化要求。一些新兴经济体将跨国公司在境内建立数据中心作为市场进入的条件之一。例如，越南2013年出台法律要求在境内的所有网络信息和服务提供者，如Google、Facebook等全球互联网公司在越南开展业务时须建立新的数据中心；俄罗斯现行法律法规并未对个人数据出境作特别严格的限制，但要求数据首次存储须在俄罗斯境内服务器上，同时俄划定数据自由流动范围，通过《联邦数据保护法》承认加入“108号公约”的国家为个人数据提供了充分的保护，等等。

三、全球经贸框架下的跨境数据流动与国际合作机制

当前，几乎少有议题像跨境数据流动一样，涵盖如此复杂的政策元素：数据主权、隐私与安全、法律适用及管辖权、竞争政策，等等。跨境数据流动治理与规制正逐渐成为全球新一轮双边/多边贸易谈判的前沿议题。

（一）新一轮国际经贸规则中的跨境数据流动政策

面对日益高涨的数字经济和新一代信息技术的快速发展态势，WTO在塑造适应全球经济新变化贸易规则框架方面曾严重滞后。近两年，为制度性危机带来转机，WTO开始积极推动“增量改革”。2019年1月，包括美国、欧盟、日本、新加坡、澳大利亚、中国、巴西、俄罗斯在内的76个WTO成员共同签署《关于电子商务的联合声明》，确认将在WTO现有协定框架基础上，开展电子商务诸边谈判。其中以美国为代表的发达经济体主张跨境数据自由流动，对电子传输永久免征关税，并禁止数据本地化。而中国则表明，跨境数据流动以及数据存储本地化等问题需进行“进一步解释性讨论”。

与此同时，在WTO多边框架之外，超大型自由贸易协定（Mega FTAs）正成为新一轮国际经贸规则的主轴，呈现出主导全球经贸秩序的新态势。如《全面进步的跨太平洋伙伴关系协定》（CPTPP）、《日本—欧盟经济伙伴关系协定》（EPA）、《美墨加贸易协定》（USMCA）等Mega FTAs中大都包含了相关“数字贸易或电子商务”章节，并加入“数据自由流动”及“禁止数据本地化”等条款。

（二）跨境数据治理的国际合作与协调机制

1. 推动建立基于“共同理念”的全球数据同盟体系

近几年，美日欧之间达成了有关跨境数据流动的制度性安排，如美欧签署的《隐私盾协议》（EU-US Privacy Shield）、欧日之间的“对等充分性协议”。2019年，西方发达国家间制度安排的范围进一步扩大，美欧日正试图联手制定跨境数据流动的规制及其主导权，积极构筑一个基于“共同理念”的“数据共同体”。

（1）美国。近年来，美国不断加紧与其领导的多国情报联盟“五眼联盟”（Five Eyes）构筑“数据同盟体系”，该“数据同盟体系”强化以“国家安全”利益和“共同价值观”为主要考量，聚焦战略对手，谋求网络霸权。2019年7月30日，“五眼联盟”发布声明表示，高科技公司应该在其加密产品级服务中纳入新机制，允许政府有适当合法权限以可读和可用的格式获取数据。

（2）欧盟。欧盟委员会被授权在GDPR框架下拥有对第三国定期评估、修订和撤销“适当性决议”的权利。2019年1月，欧日正式通过“适当性决议”，这意味着双方约定将对方的数据保护系统视为“同等有效”。“适当性决议”除用于商业目的个人数据传输外，还可应用于执法目的。迄今为止，与欧盟建立“适当性决议”的司法辖区包括加拿大、新西兰、瑞士、阿根廷、以色列、安道尔、乌拉圭、美国等国。欧盟委员会表示这将创造世界上最大的数据安全流动区域，并有助于引领建立全球数据流动标准。此外，欧盟正积极与“志同道合”的国家，在“108号公约”或者日本提出的“可信数据自由流动”基础上，探讨建立多边数据流动圈的可能性。

（3）日本。2019年初，日本与美国商务部、美国贸易代表办公室、欧洲委员会三方共同商议数字治理相关议题，涉及允许个人及商业数据相互转移；严格限制向个人数据保护制度不利的国家转移数据；对违反规定的企业加以处罚，建立以西方为中心的跨境数据流动规则框架，甚至以意识形态和政治制度划线的排他性体系，进而打造美日欧三方互认的“数据共同体”。特别是利用2019年担任G20主席国之际，日本率先提出《大阪数字经济宣言》（Osaka Declaration on the Digital Economy），有 45个经济体领导人在宣言中就数据治理开展国际对话的重要性形成共识。

2. 构筑弹性化的多边数据隐私与保护监管合作模式

当前，全球范围内有两大数据隐私与保护监管框架，分别是欧盟的GDPR（General Data Protection Regulation，GDPR）和APEC的（Cross-Border Privacy Rules，CBPR）。自2018年欧盟颁布的《通用数据保护条例》（GDPR）生效以来，该框架显著推动欧盟乃至全球个人信息保护制度完善。GDPR实施一年多来，有24个成员国（占成员国总数89%）均依据GDPR修订了本国法规，确立了本国专门数据保护机构、GDPR规定的主要管理机制。为此，GDPR还设计了主要国家间协调机制，如跨国互助。作为最为成熟的范例模板，GDPR对世界其他国家个人信息和数据保护制度的示范带领作用颇为显著。中国、日本、新加坡等众多国家以GDPR及其附属条件为蓝本，制定修订了自身的数据保护规则。

APEC隐私框架是亚太地区第一个数据保护协同框架，建立了一整套的执行机制和措施，其跨境隐私规则体系（CBPR）是当前多边监管合作中较为成熟的机制。一般而言，加入CBPR标准包括：国内隐私法、隐私保护执法机构、信任标志（trust-mark）提供商、隐私法与APEC隐私框架的一致性等。目前，共有八个国家/地区加入了CBPR，包括美国、日本、加拿大、墨西哥、新加坡、韩国、澳大利亚和中国台湾。就性质而言，CBPR不具有强制性，而是规范 APEC成员经济体企业个人信息跨境传输活动的自愿性多边数据隐私保护计划。因此，既不对各国政府，也不对体系外企业有约束力。

综合而言，这两大框架在国与国之间、区域与区域之间衍生出多样性、灵活性的解决方案。例如，一方面，日韩分别启动与美欧之间的推动跨境数据流动的双边协定，并与欧盟达成充分性保护互认协议；另一方面，日韩均加入了美国主导的 APEC框架下的CBPR机制。目前而言，这两类区域性的跨境数据流动规制框架相对成熟，也有望成为解决全球跨境数据流动的参照系。

四、我国跨境数据流动的政策立场及其面临的挑战

根据国际数据公司IDC发布的《数字化世界—从边缘到核心》和《2025年中国将拥有全球最大的数据圈》两份报告，2018—2025年，我国数据总量年均增速高达30%，远高于全球平均水平。其中，2018年，中国共产生7.6 ZB（1ZB=10亿TB=1万亿GB）数据，预计2025年我国数据总量有望增至48.6ZB，占全球27.8%，其总量远超美国的30.6ZB。

近年来，我国跨境数据流动治理框架持续完善。目前，我国有关跨境数据流动及“数据出境”的法规标准已达5部，如《网络安全法》规定，对关键信息基础设施运营者在境内运营收集产生的个人信息或重要数据应当在境内存储，并对数据出境提出了安全评估要求；《个人信息和重要数据出境安全评估办法》（征求意见稿）提出，要建立“主管部门评估—网络运营者自评估”的两级评估体系，扩大数据出境的评估范围，加强数据出境安全的风险管理等。然而，与我国数字经济与数字贸易高速发展的态势相比，跨境数据流动国际合作机制方面相对滞后，且与主要国家跨境数据流动政策及国际规制相比，仍面临不少挑战。

一是与现行国际规则不兼容。在跨境数据流动属性方面，我国主要基于“属地原则”。“数据本地化”政策不仅难以支持WTO声明中“谋求禁止数据本地化”的主张和立场，也导致目前我国难以参与发达国家主导的双边/多边合作框架，如欧盟主导的GDPR、美国主导的APEC的CBPR，以及强调跨境数据自由流动的新一轮贸易协定，如CPTPP、USMCA等，与其规则相悖。

二是监管制度灵活性不够。当前《个人信息出境安全评估意见稿》在个人信息出境安全评估方面，摒弃了原有的“自评估+监管机构评估”的双轨路线，改而采用监管部门的全面审批机制。尽管这有利于保障跨境传输中的数据安全、推动数据的有效治理，但一定程度上也加大了企业运营成本与市场监管成本。

三是数据保护尚未形成广泛共识。虽然我国近年来不断加强数据领域的治理与监管，但数据治理能力仍存在不足。各类组织违规收集用户数据、缺乏必要的数据安全防护措施、滥用甚至贩卖用户数据等事件屡见不鲜。在跨境数据传输方面，由于跨境传输不仅牵涉不同的权利主体，还牵涉不同传输环节中的不同监管主体、不同法律管辖，因此，数据保护理念滞后所产生的监管框架漏洞将面临较大的安全风险。

四是跨境数据治理的国际规制缺失。相较于美欧推进的数据战略和顶层设计，作为数据大国，中国目前并无一套清晰的跨境数据规制和国际战略，这可能使得“数据垄断”与“数据孤岛”情况加剧，削弱数字治理的国际规则主导权。

五、加强我国跨境数据流动与数字治理的政策建议

数字贸易及其跨境数据流动的相关规制，是21世纪全球经贸规则的核心内容之一，对未来世界经贸格局走向也将产生广泛而深远的影响。面对美欧等大国借助数字战略强化规则主导权的新态势，我国应服务于建设“数字经济强国”的战略目标，全面推进我国相关制度建设和顶层设计，探索适合中国国情与发展道路的跨境数据流动治理框架体系，强化规则主导权。

（一）推进分级分类分区域跨境数据流动的监管制度

既要顺应全球数字贸易发展趋势，有序推动跨境数据流动和多元的数据合作管理模式，又要加强本国网络安全、数据及个人隐私的有效保护。为此建议，一是可考虑对涉及国家安全的敏感数据及关键基础设施建立分级管理制度、跨境数据流动合同监管制度、安全风险评估制度；二是成立专门的数据保护监管机构，构建跨境数据流动的系统化制度安排，对涉及网络数据搜集、存储的企业进行审查和管理，针对涉及跨境数据流动的企业建立专门审核机制；三是对行业内重要数据或者BAT等大型互联网公司率先开展数据出境管理实践；四是可考虑在海南自由贸易港、上海临港新片区等区域内先行先试，探索设立数字自由贸易港，加快制度型创新。

（二）构建完善的跨境数据流动管辖与信任体系

当前，美欧等发达经济体不断强化数据出境的“长臂管辖”，我国可以积极效仿并依据具体场景适当延长“长臂管辖”的适用范围，制定出台重要数据出境的管理框架，为重要数据的保护、管理、利用完善政策环境。此外，可以借鉴欧盟模式，考虑建立“白名单制度”，对相关国家实施个人信息保护及跨境数据流动的对等措施。将部分地区纳入可自由流动的国家与地区，构建数据跨境流动的信任体系。

（三）将跨境数据流动嵌入国际贸易投资协定中

鉴于当前世界各国立场存在较大差异，短期内无法形成相互协调的全球跨境数据流动政策体系，因此，我国的跨境数据流动政策应以自贸谈判为契机，深度嵌入双多边贸易协定。如在RCEP、中日韩FTA等多双边贸易谈判中，增加数据跨境流动的谈判内容，积极与重要贸易伙伴国达成数据流动认证协定，促进数据合法有序流动。特别是随着近年来“一带一路”倡议由“硬联通”转向“软联通”，应着力推进“一带一路”合作框架下的数据流通的协议和标准，促进数字互联互通，构建数字空间命运共同体。

（四）推动建立跨境数据流动的全球治理框架

跨境数据流动作为支撑全球数字贸易发展的基础，具有天然的“全球属性”。因此，构筑数据跨境流动的规则体系也必须立足于全球视野。尽管目前已商定了相关的国际标准或者范本，但在不同国家其模式及执行方式存在很大差异，因此，仍然需要互操作性机制，加快探索建立国际执法协作机制，以及面向未来的全球数字贸易规则及数字治理框架。