数据跨境流动的规则监管与多元治理

1

//  引言

近年来，人们逐渐认识到，只有通过更多的聚合和访问，数据才能发挥出更大的价值。一国或地区对数据流动的治理不仅是为了保障该国或地区的数据安全，保护数字产业，更是为了促进国内企业参与全球贸易、引导国外或其他地区企业遵循其治理规则。但是一国或地区对数据跨境流动的治理极具复杂性。仅限制企业等私主体进行数据跨境流动无法实现数据保护与促进数字经济发展等价值之间的平衡，而云计算等新兴技术的发展又要求监管制定更为有效且与时俱进的数据治理方案。因此，需要探索综合性的数据跨境流动多元治理机制，以实现数据跨境流动法律规则的有效实施，平衡数据保护与数字经济发展之间的关系。为了本文讨论的目的，下文所提到的数据跨境流动不包含执法或司法机构跨境调取数据的情形。

2

//  数据跨境流动的多重面向

2.1. 数据跨境流动中的个人信息保护和数据安全

一国或地区对数据跨境流动的治理应当考虑到个人信息保护和数据安全。

一方面，数据跨境流动过程中可能会发生个人信息滥用和数据泄露事件。位于英国的剑桥分析公司通过内置于Facebook的小程序收集美国公民的个人信息用于政治广告，引发了各方对数据跨境流动中个人信息保护的关注。新技术的发展则进一步对个人数据保护提出新挑战。例如，基于云计算的跨境数据流动模式弱化了存储地理位置的约束；还有许多公司为提高数据传输速度和稳定性而使用位于不同国家内的“镜像”复制网页，为预先确定数据流动的地理位置增加了难度。

另一方面，斯诺登事件的爆发使全球各国认识到数据跨境传输给国家安全带来的潜在隐患。怀着对数据安全的担忧，数字技术的升级使数据跨境流动成为了国家间博弈的焦点。例如，欧盟《车联网个人数据保护指南》规定，汽车和设备制造商等数据控制者应使用不涉及个人数据或不涉及对外传输个人数据的流程，且应努力使对汽车数据的访问不依赖于不必要的外部云能力。

2.2. 数据跨境流动与数字经济商业活动

数据已经日益成为数字经济发展的关键要素，中国数字商业市场规模2025年将突破6千亿。在数字经济时代，数据流动和处理治理处于相关商业活动的核心地位。无论是基于数据收集形成的商业模式，还是基于数据分析形成的商业模式，都离不开数据流动和处理。

全球化经营的互联网平台、其他跨国公司以及数字化寻求生存和转型的传统企业的商业活动都离不开数据跨境流动。其一，全球化经营的互联网平台的商业活动离不开数据的跨境流动，抖音运营国际版Tiktok、淘宝开通全球购、速卖通服务等全球化经营活动都需要数据跨国传输的辅助支持，以进行统筹管理。其二，其他开展全球化经营的跨国公司在其人力、财务管理和经营事务中需要进行数据跨境传输，传输与其提供的有形商品或服务相关的数据、记录和通信。其三，制造商、医疗保健提供商等传统企业的业务开展也离不开数据跨境流动。例如，跨国医疗设备制造商需要通过数据传输来达成维护、维修精密医疗设备的目的。寻求数字化转型的传统企业对跨境流动的需求则更为急切，生物医药行业便是重要例证：疫情期间，阿斯利康、强生等制药公司为面对Delta、Omicron等新型毒株，皆在与世界各地卫生专家和机构合作，借助跨国实验数据传输来分析疫苗有效性，从而更好地研发和改进疫苗。

因此，数据也成为国际贸易协定中的重要关注对象，如WTO已就电子商务议题谈判开展了多次谈判，但因各方利益诉求复杂等因素，尚未取得决定性进展。各个国家近年来开始转而寻求其他单边或双边/区域性解决方案。

3

//  数据跨境流动的规则监管

目前，对数据跨境流动的规制主要通过法律文本中的规则进行。在法律文本对数据跨境流动的规制范式中，欧盟《一般数据保护条例》（以下简称“GDPR”）规定的“充分性保护认定+不存在充分性保护认定时的减损”模式最具代表性，新加坡、日本、韩国以及我国等都或多或少借鉴了GDPR的规制思路和工具。具体而言，对于向第三国或者国际组织的数据跨境传输，首先应通过充分性保护认定的途径进行；在没有充分性保护认定的情况下，监管机构将判断是否存在为跨境传输的数据提供的适当保障措施，包括标准合同条款、有约束力公司规则等有法律约束力和执行力的文件。除了上述规制模式，比较常见规则监管模式还有数据跨境传输安全评估或许可（如我国中央网信办发布的《数据出境安全评估办法（评估意见稿）》）。

上述规则监管措施，大多基于各国家或地区的历史文化背景和现实需求，出于个人信息保护或数据安全等目的，对数据跨境流动进行限制和约束。例如，最具代表性的欧盟GDPR所采取的规则监管措施，一方面缘于其历史背景：二战期间德国纳粹曾试图通过学生档案锁定犹太学生，以进行种族屠杀，此种数据滥用所可能造成的危害奠定了GDPR对个人数据处理活动进行严格保护的价值基础；另一方面缘于其现实需求：全球互联网科技公司市值前20名的公司中无一家欧盟公司，而美国大型互联网公司则在欧盟数字经济市场中占有绝对竞争优势，进而致使欧盟倾向于制定偏防御性的规则，以保护欧洲经济区内部的数字经济发展。

然而，通过法律文本中的规则对数据跨境传输进行监管，未必能够取得理想的治理效果。

首先，“规则监管”的约束与限制，归根结底是“纸面上”的监管。例如，标准格式合同即政府预先制定好的、专用于数据跨境流动的格式合同；安全评估制度也无非要求数据处理者事先提交申报书、自评估报告等材料，供监管部门审批。而且，真实世界中的数据跨境传输并非仅为法律规则所设想的点对点的跨境传输（transfer），还包括大量通过云计算进行的跨境流动（flow）。面对可能发生的违规行为，监管部门只能通过事前的文书审查和许可进行规制，或通过有威慑力的罚款等事后追责措施处理，即只能覆盖到从数据输出者到数据接收者之间“点对点”的监管，而无法覆盖到传输过程中的监管。可以说，这种监管方式不仅具有一定的滞后性，也未必能达到理想的监管效果。

其次，偏重于限制的法律规则，将导致企业大多只能通过繁琐的评估、合同、审计等法律文本证明自身的合规性，这将不可避免地为企业带来极高的合规成本。在成本-效益的分析框架下，企业将被迫选择“固步自封”，放弃在境外市场的经营，这最终必定会削弱一国或地区在全球数字经济中的竞争力。同时，由于不同规模企业所拥有的资源和机会差异，法律文本上的严格限制在实践中难以公平地适用于所有市场主体。高昂的合规成本对依赖数据跨境传输开展商业活动的中小型企业而言将会是灭顶之灾，这又将加剧和固化境内数字经济市场的垄断格局。

虽然我国已经形成了全球最大的数字经济国内市场，但是ICT服务还缺乏出口的竞争力，成为我国数字经济发展的一块短板。保障数据跨境自由流动，推动我国ICT服务出口的发展，才能在未来的数字经济竞争中取得进一步的发展。因此，与欧盟“防御性”的数据跨境流动监管价值取向不同，我国的数据跨境流动治理应当兼具“防御”和“进取”两个方面。考虑到数字经济商业活动的规模和数据固有的属性，本文建议我国应在制定和完善法律规则监管的同时，探索更为多元的治理机制，平衡数据保护与数字经济发展的关系。

4

//  数据跨境流动的多元治理

近年来，各国和地区正在结合本地实际情况，借助在互联网架构或云计算等方面发挥作用的技术或基础设施，创造性地采用更为多元的方案进行数据流动和数据跨境流动的治理。

与数据跨境流动法律规则一致，欧盟的其他数据流动治理措施在一定程度上也是防御性的。早在GDPR生效的2018年，欧盟就出台了《非个人数据流动的框架条例》，并据此开始制定应对亚马逊AWS等大型美国云服务提供商、发展欧洲云服务的SWIPO行为守则，包括针对IaaS（基础设施即服务）市场和针对SaaS（软件即服务）市场两份文件，以确保欧洲经济区内非个人数据在不同云服务间的流动和切换。但SWIPO最后由于主要云服务提供商无法达成一致而未能有效规范欧洲云市场。此后，欧盟委员会于2020年发布“欧洲数据战略”，战略提出建设将必要的基础设施与数据治理机制相结合的欧洲数据空间。对此，国际数据空间（International Data Space）和GAIA-X项目正在致力于在互联网的应用层和云计算的PaaS层开发涵盖数据跨境流动治理在内的数据基础设施。

大西洋彼岸的美国也早已重视起法律文本之外的数据跨境流动解决方案。美国战略与国际研究中心智库（CSIS）特别提出，可以用软件解决方案进行数据跨境流动治理，其中数据安全多方计算和同意管理是软件是两个潜在突破领域。但不同于欧盟的是，在奉行市场经济的美国在市场中自发形成了自下而上的多元数据治理机制。在数据合规和数据治理市场中，涌现出了一批具有全球竞争力和覆盖全球市场的数据隐私管理公司，如One Trust、BigID、Securiti等。这些隐私管理公司通过应用层的软件解决方案，为客户提供数据收集、传输等合规治理工具。

数据流动的多元治理同样也在南半球启程。澳大利亚于2019年推出消费者数据权（Consumer Data Right，以下简称“CDR”），致力于实施消费者数据标准化，从银行业开始，逐步扩展到能源和电信业等行业，推动确立数据共享标准。CDR赋予消费者数据携带的控制权，通过API的“写入访问”改变消费者数据处理方式，促进市场竞争、创造性的商业机会。该制度得到澳大利亚政府的大力支持，且已有国家（如新西兰）开始学习和引进。澳大利亚旨在通过CDR引领全球数据共享标准的制定，若此目标达成，CDR将不可避免地扩展到数据跨境流动治理中。

上述基于互联网架构层或云计算的治理方案主要在以下三个方面发挥作用：其一，它们为企业提供了一条切实可行且门槛较低的合规途径，降低了国内企业（特别是中小企业）参与全球数字经济的成本；其二，它们以技术标准和操作标准等形式将法律文本上“点对点”的数据保护要求落实到了实际发生的数据流动中，统一并增强了对数据的保护水平；其三，他们将原本涉及到主权国家双边协商或国际组织多边协商的数据跨境流动难题，转化为由企业或行业自行参与或购买的设施和服务，大大降低了监管部门进行数据跨境流动治理的门槛。

5

// 小结

综上所述，数据的固有属性决定了数据跨境流动无法脱离其所依赖的互联网架构或云计算技术本身，这同时也对数据跨境流动的治理提出了新的思路。在法律规则监管的基础上，探索更为综合的数据跨境流动多元治理方案，对于亟需提升数字经济全球竞争力中国和当下的世界而言，或许是更为有效的路径。

（为保证阅读流畅性，本文删除了脚注）

参考文献

[1] 上海社会科学院互联网研究中心等：《全球数据跨境流动政策与中国战略研究报告》，http://www.sicsi.net/Upload/ueditor_file/ueditor/20200217/1581933527865681.pdf.

[2] 《欧盟GDPR合规指引》，http://www.caict.ac.cn/kxyj/qwfb/ztbg/201905/P020190528556912534746.pdf。

[3] 前瞻产业研究院，《中国AI数字商业产业展望2021-2025》，https://bg.qianzhan.com/report/detail/2112140926206007.html。

[4] Casalini, F. and J. López González (2019), "Trade and Cross-Border Data Flows", OECD Trade Policy Papers, No. 220, OECD Publishing, Paris, https://doi.org/10.1787/b2023a47-en.

[5] Mishra, Neha, Building Bridges: International Trade Law, Internet Governance, and the Regulation of Data Flows (October 9, 2018). Vanderbilt Journal of Transnational Law (Forthcoming) , NUS Centre for International Law Research Paper No. 19/09, Available at SSRN: https://ssrn.com/abstract=3263271.

[6] Mitchell, Andrew D. and Mishra, Neha, Regulating Cross-Border Data Flows in a Data-Driven World: How WTO Law Can Contribute (May 17, 2019). (2019) 22(3) Journal of International Economic Law, NUS Centre for International Law Research Paper, Available at SSRN: https://ssrn.com/abstract=3390038.

[7] W. Gregory Voss, Cross-Border Data Flows, the GDPR, and Data Governance, 29 Wash. Int’l L.J. 485 (2020).Available at: https://digitalcommons.law.uw.edu/wilj/vol29/iss3/7.

[8] CSIS: Data Protection or Data Utility? Cryptographic Software Solutions for U.S. Innovation Competitiveness. https://www.csis.org/analysis/data-protection-or-data-utility.

[9] SWIPO: Failure to regulate the European cloud market, https://www.cigref.fr/swipo-failure-regulate-european-cloud-market.

[10] Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012020-processing-personal-data-context_en

[11] Kommerskollegium: No Transfer, No Trade the Importance of Cross-Border Data Transfers for Companies Based in Sweden (Ist end, National Board of Trade, January 2014), https://unctad.org/ meetings/en/Contribution/dtl_ict4d2016c01_Kommerskollegium_en.pdf, accessed 2 March 2022.

[12] Kleiner Perkins Caufield & Byers: Internet Trend Report, https://www.kleinerperkins.com/perspectives/internet-trends-report-2018.

[13] Treasury: Review into Open Banking, https://treasury.gov.au/consultation/c2018-t247313

[14] Ministry for Business: Consumer Data Right, https://www.mbie.govt.nz/business-andemployment/business/competition-regulation-and-policy/consumer-data-right/.