1、专题:跨境数据流动中的全球数据主权博弈与治理*本文系国家社会科学基金重大项目“大数据主权安全保障体系建设研究”(项目编号:21&ZD169)和互联网法治研究院(杭州)2022年度互联网法治重点研究课题研究成果。国际跨境数据流动治理合作:机理、困境与变革*冉从敬,郭潇凡,何梦婷摘要跨境数据流动因巨大的经济价值和潜在的地缘政治风险成为数据治理议题关注的焦点。目前世界跨境数据流动处于以欧美为主导的区域性合作与妥协的跨境数据流动规制下,我国推动国际跨境数据流动的多边治理合作道阻且长。文章调研欧盟、美国、日本、俄罗斯等重要组织和主权国家的跨境数据治理政策,结合双边和多边区域贸易协定,梳理国际跨境数据流动
2、规制的内部机理,剖析全球跨境数据流动多边合作治理存在的困境,提出符合我国价值导向的变革路径。文章将跨境数据流动治理内部机理划分为规制主体、规制客体与规制手段等3个维度,分析国际跨境数据流动治理合作的价值理念互斥、监管制度模糊、区域合作碎片化的现实问题,提出以普适共赢为优先的规则制定、以独立机构为依托的第三方监管、以例外条款为补充的合作前提等3种国际跨境数据流动合作治理变革路径,为我国融入全球跨境数据流动治理提供参考。关键词跨境数据流动全球治理数据主权引用本文格式冉从敬,郭潇凡,何梦婷.国际跨境数据流动治理合作:机理、困境与变革J.图书馆论坛,2023,43(9):12-20.On the Gl
3、obal Cooperation in Cross-Border Data Flow Governance:Mechanisms,Difficulties and CountermeasuresRAN Congjing,GUO Xiaofan&HE MengtingAbstractDue to its tremendous economic value and potential geopolitical risks,cross-border data flow hasdrawn much attention,and many countries and regions in the worl
4、d have made relevant policies to defend their owninterests.Up to now,the West has been playing a dominant role in the regulation of cross-border data flow,and itis still a long way for China to promote the multilateral cooperation in cross-border data flow governance.This paperfirst investigates som
5、e important countries(such as the EU countries,the U.S.A.,Japan,Russia)and globalorganizations policies related to cross-border data flow governance.Combining such policies with the bilateral andmultilateral trade agreements,it then sorts out the internal mechanisms of cross-border data flow governa
6、nce,andanalyzes the difficulties to promote the global cooperation in cross-border data flow governance.It divides theinternal governance mechanisms of cross-border data flow into three dimensions,i.e.,regulatory subject,regulatory object and regulatory means,and then points out that the global coop
7、eration in cross-border data flowgovernance has encountered three main difficulties,i.e.,mutually exclusive governance values,fragmentedregional cooperation and ambiguous institutions.Accordingly,it proposes three corresponding ways to overcomethe three main difficulties,i.e.,the rule-making with pr
8、iority on universal situations,the independent third-partyregulation,and the exception clauses in trade agreements.These solutions could provide references for China toaccelerate its integration into the global governance of cross-border data flows.Keywordscross-border data flow;global governance;da
9、ta sovereignty122023年第9期专题:跨境数据流动中的全球数据主权博弈与治理0引言2019年10月,数据首次被我国定义为生产要素。2023年3月,我国组建国家数据局,以统筹推进数字中国、数字经济、数字社会规划和建设。当“经济全球化”逐渐向“数据全球化”转变,数据流动成为数字经济与社会运行的必要条件,预计到2025年数据跨境流动对全球经济增长的价值贡献有望突破11万美元1,跨境数据流动成为数据治理议题的焦点。围绕跨境数据流动带来的诸多利益,各主权国家相继出台政策维护自身利益、争夺数据资源,跨境数据流动纠纷层出不穷,数据博弈趋向白热化。从“Scherms”案(Maximillian
10、 Scherms是欧洲数字权利中心创始人,曾指控Facebook爱尔兰分公司涉嫌侵犯个人隐私、帮助美国情报机构访问欧盟用户数据,并最终胜诉)到“Scherms”案,欧盟与美国在分歧中寻找个人数据跨境流动规则的平衡;日本积极倡导“数据流通圈”概念,试图掌握国际数字贸易规则制定权;印度通过严格的数据本地化保障本国数据跨境流动安全,维护本国数字产业发展。2020 年在“抓住数字机遇,共谋合作发展”国际研讨会上,我国发起全球数据安全倡议,呼吁各国维护发展和安全并重的原则,共同构建网络空间命运共同体2。在该倡议指引下,围绕跨境数据治理的共识逐步形成:解决跨境数据流动问题绝不是各国各行其道,也不是单纯消弭
11、各国数据政策之间的差异,需汇集主权国家政府、国际组织、互联网企业、技术社群乃至公民个人的力量,通过形成国际多边治理合作模式,在保障跨境数据流通自由、安全、国家数据主权的同时实现数据经济利益的最大化。鉴于此,本文以“网络空间命运共同体”为价值导向,重点调研欧盟、美国、日本、俄罗斯等跨境数据治理政策以及世界多边贸易协定,厘清国际跨境数据流动规制的内部机理,剖析全球跨境数据流动多边合作治理困境,探讨变革路径,在丰富跨境数据流动研究理论内涵的基础之上,为我国输出富有中国特色的数据治理理念提供参考。1跨境数据流动研究回顾跨境数据流动概念最早由经济合作与发展组织(Organization for Econ
12、omic Co-operationand Development,OECD)提出3,主要指个人数据跨越国界流动。由于全球互联成本降低,数据的跨境传输利用变得更为频繁,对“跨境”的定义有了变化,认为数据本身虽未被传输出境,但能被别国的主体访问也应被视为数据跨境流动4。与此同时,随着数字贸易领域拓展,政府和公共部门的一般数据、涉及银行金融、交通地理、商业服务等相关行业的重要数据5有时也会面临出境场景,跨境数据类型进一步延伸。本文认为,跨境数据流动是指一国数据可跨越物理边界在境外被访问、获取、传输和操作。当前该领域的相关研究多以主权国家的政策法律、国家间数据博弈冲突案例、国际组织签订的条约协定等为研
13、究对象,可以分为主权安全、贸易以及法理3个视角。主权安全视角多涉及数据流动、数据安全和数据主权三者的平衡关系6,学者梳理了欧盟、美国7、日本8、俄罗斯9等重要主权国家和国际组织的跨境数据治理规则和模式,并基于不同视角进行对比,为我国提供因应措施。也有学者从数据本身探讨对策。比如,黄海瑛等10将数据跨境流动划为数据主权安全风险的第二维度,建议采用“场景评估”模式对数据跨境风险予以厘定;李金等11采用关联网络技术解决实际的跨境数据安全问题,构建重要数据的跨境流动网络,识别数据风险路径。贸易视角关注数据跨境流动规制对数字贸易的影响。刘志雄12认为,美国在贸易谈判中强调数据流动的全球属性,旨在打开推行
14、数据本地化存储的国家的市场,以实现自己的数据战略目标。Sedgewick13提到,鉴于欧美对服务贸易总协定(The General Agreement on Trade inServices,GATS)的推崇,可以依据其框架将跨境数据纳入市场;戴艺晗14根据我国数据战略倾向,梳理出亚太自由贸易区、美墨加三国协定(TheUnited States-Mexico-Canada Agreement,13专题:跨境数据流动中的全球数据主权博弈与治理USMCA)和 数 字 经 济 伙 伴 关 系 协 定(DigitalEconomy Partnership Agreement,DEPA)等参与数字贸易区
15、域谈判的方式;谢卓君等15认为,以世界贸易组织(World Trade Organization,WTO)为代表的多边贸易体制将塑造甚至决定全球数据的治理格局。法理视角多从各国的立法梳理和对比展开。Graham16指出109个国家数据隐私法案潜藏的“布鲁塞尔”效应,认为“欧洲标准”在未来将引发更大规模的数据跨境限制。胡炜17建议在完善国内数据保护实体法规的基础上,借鉴欧盟 欧 洲 数 据 保 护 监 督 机 构(European DataProtection Supervisor,EDPS)、数据保护官(Data Protectioin Officer,DPO)制度,确保以跨境个人数据为主的保
16、护立法和机构配置的效力;叶开儒18则认为,受到国家历史、民情和价值观影响,我国在借鉴和移植欧洲的规制模式之前需经过多方考虑;高山行等19指出“数据分类”管理在网络安全法中的缺失,提出“重要数据”缺乏的解释性将使我国数据安全政策在执行时具有较大的偏差性或无法执行。总体来说,已有研究聚焦单个或某几个国家出台的政策法律、多方签订的国际协定等,提出的规制建议倾向回应性、缺乏主动性。也有少量研究将视角转向整体治理机制,但未深入探索合作的实际困境及其可能的发展方向。本文将基于整体性视角,以多边治理、多边合作为主要目标,综合考量我国的跨境数据流动治理价值取向和实际利益,研判推动全球跨境数据多边治理合作的现实
17、困境和相应的变革路径,在保障国家数据主权安全的同时促进全球数据经济和谐有序发展。2国际跨境数据流动规制的内部机理规制是国际关系的某一既定领域中的原则、规范,也是决策程序,行为主体们的期望以之为中心聚拢20。跨境数据流动规制应以国家意志为中心,跨境数据流动合作治理也需以国家共识为基础,因此规制主体可视为基于不同数据战略来制定规则的各主权国家。相比起其他行为主体(如跨国企业、行业组织、个人),主权国家在推进跨境数据流动合作进程中居于主导地位,能利用不同的规制手段进行管控与限制。文章选取欧盟、美国和日本3个具有典型性的规制主体,将数据资源、数据活动方作为规制对象,归纳规制手段,剖析内部机理。2.1规
18、制主体:跨境数据治理的话语权博弈2.1.1欧盟:高限制的数据人权保障宣言1981年欧盟委员会各成员国签署关于在自动处理个人数据方面保护个人的公约(简称“第108号公约”)。作为全球第一份具有法律约束力的数据保护法律文件,它强调对人权和基本自由的尊重与保护,并在2018年的修订中鼓励数据主体在发现数据不当使用时维护个人利益。日后面对日新月异的信息和通信技术变革,欧盟也秉承着这一原始价值核心,制定了囊括欧盟境内外数据流动的规制体系。1995年,数据保护指令(Data ProtectionDirective,以下简称指令)对欧盟以外的国家设立“充分保护原则”,如合作数据输入国家无法达到“充分性保护”
19、水平,各成员国将采取必要措施对数据流动进行限制。2016年,欧洲议会和理事会颁布更为完备的 通用数据保护条 例(General Data Protection Regulation,GDPR),采用灵活性和自主性较高的“充分性认定”对控制、处理欧盟数据的自然人或法人进行安全评估。比起指令,GDPR是对所有成员国具有直接约束力的立法,可以在欧洲范围内立即执行21。2018年,欧盟2018/1725号条例进一步细化责任制度,在明确数据跨境监管机构的具体指向和基本职能的基础之上,厘清了数据主体权利、司法赔偿机制、行政责任内容和欧盟机构责任承担。1个月后,非个人数据自由流动条例出台,意味着欧盟初步建立
20、起对全类型数据在欧盟境内自由流动的法律框架,成为国际跨境数据治理规制主体中以保障人权为核心的代表。2.1.2美国:低干涉的国家安全霸权战略美国跨境数据治理战略具有较强的国家特色。凭借经济、技术、贸易等优势,美国坚持淡化网络空间国家边界,强调数据流动的全球性,倡导数据自由、低限制跨境流动,反对数据本地化。142023年第9期专题:跨境数据流动中的全球数据主权博弈与治理在数据隐私问题上,美国的监管主体不够明晰,企业也主要遵循“公司合同治理”“行业自律”原则,即如法律未明文规定,就无需限制数据跨境流动。直至欧美“隐私盾协议”破裂,美国才妥协,在与欧盟进行贸易往来时,将美国国家安全局与监管相关数据问题
21、的机构人员分开22。对数据流动的低干涉并不代表美国忽略数据自由传输带来的安全隐患。持“数据自由论”国家通常实行“长臂管辖”23,以满足本国跨境数据的执法需要。2018年,美国颁布澄清境外数据的合法使用法案(The Clarifying LawfulOverseas Use of Data Act,CLOUD Act),以“适格外国政府资格认定”“发布命令的严格限制”两种数据传输方式,给予美国调取他国数据的宽松条件,同时对外国政府调取美国境内数据严加管控,单方面制造数据流动壁垒,体现出鲜明的霸权主义思维。推动全球公共安全、隐私和法治:“云法案”的目的和影响白皮书指出,该法案的宗旨是获取电子证据以
22、达到遏制严重犯罪和恐怖主义的目的,呼吁其他国家了解并接受美国出于国家安全考虑规定的跨境调取模式,其主要目的是为美国在全球数据流动中获取数据利益、扩张数据优势背书。2.1.3日本:求变通的国际数据规则领导面对欧美博弈,日本在求同存异中争取本国在该领域的话语权,构建多边“谋合作、求变通”的跨境数据规制战略。为获得欧盟委员会的“充分性决定”,日本于2017年大幅修改2003年通过的个人信息保护法,明确个人信息保护委员会机构的设置、任务、职权行使的独立性等相关事项24,并于2020年增加扩大敏感数据范围、加强违法处罚、增加域外适用、保障个人权利等内容,为符合欧盟跨境传输数据规则做出了实质性努力。同年9
23、月,日本与美国签订的美日数字贸易协定也达成诸多协定,其中保障所有领域无障碍的跨境数据交易、不强制公开计算机源代码和算法、保证政府数据开放获取等条款为美国倡导的数据自由流动亮起绿灯。在谋求合作之时,日本面对欧盟、美国主导国际跨境数据规制的态势,也在积极尝试主导全球规则的改变。自美国退出跨太平洋伙伴关系协定(Trans-Pacific Partnership,TPP)后,日本顺势而上成为协定主导国,将其更名为全面与进步跨太平洋伙伴关系协定(Comprehen-sive andProgressive Agreement for Trans-Pacific Partnership,CPTPP),推动亚
24、太地区的数字经济发展。在G20大阪峰会上,大阪数字经济宣言在尊重隐私和数据保护的前提下“鼓励不同国内、国际数据隐私框架之间的互操作性”,建立“基于信任的数据自由流动”25,并宣布启动“大阪轨道”,有意以WTO为起点,协商包括跨境数据在内的数字贸易与数据治理问题。这一建议或有效辐射到WTO的100多个成员国,为全球治理规则的确立提供帮助。目前虽然日本并未提出实质性的法律文本,但已建立的双边、多边国际协议为其推广自身理念、占据领导权奠定了基础。2.2规制客体:跨境数据流动中的限制对象跨境数据流动中的规制对象往往是涉及各主权国家的经济、安全利益的对象,其中数据资源、数据活动方成为关注的重中之重。此外
25、,各主权国家也会对数据活动方的权利进行限制。2.2.1数据资源数据作为重要的生产资源,在流通共享的过程中需依据敏感性和重要程度对其进行适当的管控,确保数据发挥价值的同时捍卫本国数据主权。联合国贸易与发展会议在2021年数字经济报告26中从数据收集目的、数据使用方、数据类型、数据敏感性等角度列举划分标准,各国的数据保护法也基本采用类似标准对跨境数据进行分级管理。美国的受控非密信息清单制度将受控非密信息定义为根据适用法律、法规和政府政策进行保护或传播控制的信息,分为20个门类27,其中出口控制信息在未经政府批准之前不得向任何外国公民或外国实体发布;印度尼西亚在第82号政府条例中将数据分为战略性、高
26、风险、低风险三级,并根据等级决定数据本地化的程度;澳大利亚政府信息外包、离岸存储和处理ICT安排政策与风险管理指南将政府信息进行分级,对于非保密的信息,要求政府机构要进15专题:跨境数据流动中的全球数据主权博弈与治理行安全风险评估之后才能实施外包5;我国在数据出境安全评估办法(征求意见稿)中明确5种向境外传输前需要经过安全评估的数据类型;2022年初全国信息安全标准化技术委员会发布信息安全技术重要数据识别指南(征求意见稿),明确重要数据的14种识别情景,进一步明确跨境数据管辖的限定范围。从本质上说,各国倡导的多样化分级分类数据资源规制方式都是推动跨境数据自由流动与数据主权安全的折中之举。2.2
27、.2数据活动方数据活动方是在跨境数据处理、汇总、分析、使用等环节中激发数据价值的主体,但其跨国的性质有时也会给对象国公民乃至数据主权带来威胁,应当受到相关政策的管控。比如,在GDPR中,数据控制者被定义为一国的政府,而代表数据控制者处理个人信息的数据活动方则为规制客体,需承担合法安全处理数据、保障数据主体权力、建立数据保护合规体系等责任,受GDPR的严格管控。亚太经合组织跨境隐私规则体系(The APEC Cross-Border Privacy RulesSystem,CBPRs)将规制客体定义为“个人信息控制者”,受到亚太经合组织跨境隐私执法安排(The APEC Cross-Broder
28、 Privacy Enforce-ment Arrangement,CPEA)框架下的隐私执法机构的调查与管理。针对个人数据跨境的责任承担者,第108号公约(2018年修订版)提出,其适用范围是缔约方管辖范围内的个人数据处理活动,涵盖私营部门和公共部门,不再局限于“自动化的个人数据处理”活动。在个人数据活动之外,东南亚国家联盟(以下简称“东盟”)基于GDPR指导发布跨境数据流动合同范本,明确数据输出方、数据接收方、次级数据处理者的各项责任义务,从企业层面提供数据跨境传输合同范本。我国于2016年审议通过的网络安全法也不局限于个人信息数据类型,将关键信息基础设施的运营者视为数据跨境流动监管对象之
29、一,以网络设施、信息系统等对于行业/领域核心业务重要程度和出现问题时的危害程度来认定关键信息基础设施,其运营者类型包括公共通信、信息服务、能源、交通等涉及公共利益或国家安全的领域,体现出我国对数据主权边界的重视。通过对比发现,对数据活动方的不同定义将影响主权国家针对跨境数据流动领域的司法和执法管辖范围,也侧面反映出跨境数据流动立法的完善程度。2.3规制手段:自愿调和原则下的差异弥合在数据化时代,贸易的核心要素是数据,贸易的过程就是数据跨境流动的过程28,针对跨境数据的博弈与合作便是网络空间内的贸易竞争,各国在较量中达成战略性协作。因此,面对数据跨越国土疆界流动的天然属性,各国基于自愿调和原则设
30、计了不同的数据流动规制手段,文章将其划分为5种,如表1所示。通常情况下,双边、多边国家的跨境数据治理合作方式都基于相同或相近的数据跨境治理理念,合作中讨论的条款数量也较为丰富,内容更为深入,合作广度也更宽。相比之下,区域多边签订的协定只能对诸如承认跨境数据自由流动原则、承认例外的数据存储本地化禁止等内容予以确认,无法触及跨境数据规制的各项细节。虽然其中CBPRs涉及的条款较为全面,但其严格的审核制度也让许多国家望而却步。由于区域组织推进协议的困难,率先签订相关数字贸易协定也序号12345合作方式数据保护认定经贸协定条款增补自由贸易协定条款增补自愿参与的监管机制数字贸易/数字经济协议中的跨境数据
31、条款典型案例欧美隐私盾、欧盟数据保护“充分性认定”(如韩国-欧盟数据跨境充分性认定)、英国-欧盟数据保护协定日本-欧盟经济伙伴关系协定、韩美自由贸易协定全面与进步跨太平洋伙伴关系协定(CPTPP)、区域全面经济伙伴关系协定(RCEP)、美墨加三国协议(USMCA)亚太经合组织跨境隐私规则体系(CBPRs)数字经济伙伴关系协定(DEPA)、英国-新加坡数字经济协定(UKSDEA)、新加坡-澳大利亚数字经济协议(DEA)共识性高高低中中协议范围双边国家双边国家区域多边区域多边多边/双边国家表1世界各国跨境数据流动治理合作方式162023年第9期专题:跨境数据流动中的全球数据主权博弈与治理日渐成为新
32、兴数字经济国家的选择。新加坡作为东盟数字经济发展龙头,已先后同智利、新西兰、澳大利亚、英国签订协议,规定数据本地化、技术数据流动、数据保护等内容,追求跨境数据流动中双边或多边的一致性。这种基于数字经济利益进行调和、借助经济协议形成数据规则共识的合作模式将切实打破跨境数据流动壁垒、提高数字经济协作水平,为协约签订国带来全新数字经济机遇。3国际跨境数据流动治理合作的现实困境数据跨境流动一方面潜藏着巨大的经济潜力,另一方面又推动着数字空间版图的交织,给数字地缘政治带来风险29。在全球数字经济、数字贸易竞争和国家数据主权、网络主权博弈的双重压力下,跨境数据流动多边治理合作面临世界各国治理价值理念互斥、
33、双边监管制度模糊、区域合作碎片化等多重现实困境。3.1单一国家:治理价值理念互斥数据经济发展的水平不同、国家根本战略的差异都将影响一国在跨境数据流动规制上的顶层架构,由此带来的理念偏差将为推动构建全球统一的多边治理合作带来困难。欧盟监管跨境流动数据的方法重视对其公民权利和自由的高水平保障,“人权”概念贯穿于欧盟数据治理体系的全过程,要求数据跨境流动必须经过有权机关的许可,保障在欧外资企业合规使用本国用户数据。对数据战略较为保守、数据产业发展较为落后的国家来说,捍卫“数据主权”、建立数据跨境流动严格规则的主要目的之一是加强国家对社会和经济控制30,保护本国数字产业。加拿大、澳大利亚、新加坡等具有
34、开放传统的国家靠近数字领导者美国的“阵营”,提倡最低程度干涉数据流动31,以降低企业数据运营成本。诸如中国、印度、俄罗斯为代表的部分新兴经济体和发展中国家,将重要数据本地化存储作为必不可少的条件纳入跨境数据流动规制之中。比如,印度在国家数据分享和准入政策中要求,所有通过公共基金收集的数据都必须存储于印度境内;G20大阪峰会上,印度在加强数据本地化存储方面拒绝让步,否定由日本牵头提出的大阪数字经济宣言。国情对政策制定有着至关重要的影响,世界各国也因为数字经济发展水平差异导致的价值理念偏差而难以推进更广泛的多边合作治理模式,推动以“释放数据流动权”为条件之一的全球跨境数据流动多边治理合作较为艰难。
35、面对第三世界国家以“本国个人数据及数据产业保护”为核心的跨境数据治理战略背景,旨在推广数据跨境治理标准的发达国家碰壁概率较高。3.2双边协定:制度模糊隐患滋生由制度模糊带来的隐患主要出现在两个不同价值理念的国家或地区之中,主要原因在于双方签订的协约未能就核心分歧达成一致,从而带来监管冲突与隐患。俄罗斯实行较为严苛的数据本地化战略。2015年出台个人数据法,要求在俄社交网络媒体将俄罗斯用户个人数据存储在本国的数据服务器上。我国TikTok代表于2019年与俄罗斯联邦通讯、信息技术与大众传媒监督局负责人会面,与俄方监督局达成一致。而Facebook和Twitter因拖延数据本地化存储进程、违反俄方
36、要求,分别收到1,500万、1,700万卢布的罚单。与单纯罚款相比,欧盟与美国的制度博弈则更剧烈。2000年,欧盟与美国达成安全港协议(U.S.-EU Safe Harbor Framecoork),欧盟要求跨境数据流动必须有限制地流向具有同等保护水平的国家,然而美国遵循的“行业自律”原则能帮助美方企业从欧盟个人数据保护机构的监管中获得豁免权,使双方矛盾日渐激化,最终以“斯诺登”事件作为导火索终止协定。随后欧盟与美国再度尝试,但2020年签订的隐私盾协议(Privacy Shield)也未能触及分歧的要害,仍以失败告终。直至2022年3月25日,在跨大西洋数据隐私框架(Trans-Atlant
37、ic DataPrivacy Framework)的原则性协议中,美国承诺将制定新的保障措施,欧盟公民可以对美国实施的信号情报活动的合规性进行上诉,上诉由独立的数据保护审查法庭受理32,以维护欧盟公民的跨境数据权益。这是两个不同治理理念主体之间17专题:跨境数据流动中的全球数据主权博弈与治理谋求合作的又一次尝试,将有机会解决隐私盾协议中未得以充分讨论的监管隐患,提供双边主体协商的全新范本。3.3多边协商:合作区域碎片化治理观念差别的浅层表现是全球范围内多样性的规制策略,从获利结果看,会进一步激发全球区域内的数据治理话语权争夺博弈:率先形成数据治理体系的主体有机会向数据实力较为弱小的主权国家或地
38、区单方面输出价值观和制度体系,提高自身数据治理规则的话语权,由此导致跨境数据流动的合作区域碎片化。其中,由欧盟和美国领导构建的合作“碎片”数量较多。欧盟各成员国的数据跨境流动较为自由,同时由于GDPR的基本理念、法系背景等都与世界大部分国家的跨境数据治理倾向不谋而合,从而形成由价值观念链接的区域跨境数据治理双边合作形式,以充分性认定的合作治理关系呈现。目前已有多个国家通过欧盟“充分性认定”,建立了良好的区域性合作关系,也有许多国家受到“欧盟标准”的启发,采纳充分性认定、独立监督机构等跨境传输要求出台本国的跨境数据流动政策,如智利、巴西。与欧盟潜移默化的标准“归化”不同,美国主要与经济往来密切的
39、国家划定“朋友圈”,逐步构建具有较高共识性的合作关系(如USMCA、美韩协定),并基于亚太经合组织构建的CBPRs进一步在国际上扩大合作范围。CBPRs建立在APEC隐私框架九大原则之上,推进组织内部各国之间跨境数据流动的规制,并引入隐私执法机构和问责代理机构,对CBPRs成员国进行约束,具有社群性质。相较于GDPR,CBPRs限制较低,灵活性高,旨在提高体系内部各成员国企业传输数据的便利性,部分与欧盟进行充分性认定的国家也已加入,进一步凸显出全球多边协商治理的区域碎片化程度。4国际跨境数据流动治理合作的变革路径独立国家间的理念差异作为跨境数据流动冲突的根源之一,间接导致双边共识建立的困难与区
40、域范围内的话语权博弈。为形成广泛的基于跨境数据流动的数字经济贸易局面,必须致力于推动全球跨境数据流动合作“圈”的形成。与此同时,国际跨境数据流动治理合作既是挑战也是新的机遇。我国数据治理起步较晚,尚未形成稳定的运行机制,难以充分融入跨境数据治理体系,遑论主导推广符合我国价值导向的跨境数据合作治理秩序。因此,寻找推动全球合作的变革路径,有助于我国找准切入点参与变革进程,发挥世界数字贸易大国的作用,进而提高我国在国际跨境数据治理合作、全球数字贸易规则制定中的影响力。为此,文章将深入全球跨境数据流动治理机理之中,从规制主体、规制客体及规制手段3个方面寻求变革路径。4.1规制主体的话语让渡:以普适共赢
41、为优先的规则制定在跨境数据流动方面,美国和欧盟都希望通过自身领导的CBPRs体系和GDPR体系打通全球的数据流动。对欧盟来说,向世界推荐严苛的数据保护条款将与美国的数据战略冲突,必须有更多鼓励数据自由流动方面的妥协才有机会与美国谈判。美国主导的CBPRs虽以自愿为原则,但耗时且昂贵的评估合规流程对成员国内部的小企业来说成本较高,截至2016年,只有24家美国公司和3家日本公司完全参与到体系之中33。不同优先目标下的区域话语争夺难以形成扩散至全球的数据流动圈,在数据跨境流动监管和地缘政治冲突的背景下,创建适用性更广的全球标准至关重要34。因此,以主权国家和重要地区为代表的规制主体应适当让渡部分话
42、语权,将主导权置于覆盖范围更广、立场较为中立的组织机构当中,利用广域平台拓展全球跨境数据治理合作的可能性。与此同时,广域平台也应适时加快以跨境数据流动为目的的数字贸易规则建设,重视对数据技术、伦理、隐私的相关研究,着眼于成员国内部数据流动立场、原则和保障措施,搭建起全球跨境数据流动的基本框架,允许不同发展水平的国家根据实际情况进行细节扩充,提高多边治理模式的普适性。我国作为自由贸易和数据主权的坚定支持者,更应当积极牵头国际合作规则的制定,为世界新兴经济体与发展中国家利益发声。182023年第9期专题:跨境数据流动中的全球数据主权博弈与治理4.2规制客体的理念重构:以独立机构为依托的第三方监管对
43、规制客体的理念重构应聚焦于对数据资源以及数据活动方权限的限制,多边治理合作既需要明确数据的资产性和权属,为数据分级分类提供依据;还应当建立或引入独立机构,推动本土第三方监管原则代替行业自律原则,让数据流动理念较为保守的国家获得主动权。如今越来越多的国家设立政府层面的第三方监管部门,提高本国对跨境数流动的管控能力。欧盟对外创造DPO概念,对内专门设置EDPS,用于监控数据跨境流动的合规性;日韩也设置独立的委员会对本国个人数据信息的传输进行监督。在对实际数据控制者赋予监管权力的同时,也可设置“双重保险”,对各行业的数据处理者进行监管。作为金融业信托制度的起源国,英国引入全新的第三方机构进行数据管理
44、,试图借助建立数据信托框架下的“数据信托机构”35这一更前沿的方式,对哪些主体在何时何种情况能够实施跨境访问、读取、传输数据等行为进行监管。各类以独立机构为依托的第三方监管模式,将最大限度满足跨境数据流动规制较为严格的国家的需求,加快不同理念的国家间跨境数据流动规则的融合进程,为跨境数据执法管辖提供可靠依据。4.3规制手段的柔性讨论:以例外条款为补充的合作前提例外条例具有较强的灵活性,能够平衡经济目标与非经济目标,对国际与国内关系变化的不确定性做出及时有效反应,协调贸易自由化与国家规制权之间的关系14。将其延伸至跨境数据流动领域,就是对协约国家之间存在的分歧核心提供弹性条款,以具有高解释性的内
45、容规避冲突与矛盾,如以WTO为代表的贸易协定和以TPP、CPTPP、RCEP 为代表的数字贸易协定。在WTO电子商务谈判中,巴西提案承认在不阻止数据自由流动的前提下,各国对于跨境传输信息具有自己的监管要求,并提出包括维护公共道德和公共秩序、保护个人隐私及安全等在内的例外条款,在跨境数据流动方面具有较强的移植性;RCEP和CPTPP作为我国已经加入且具有一定约束力的国际跨境数据流动规制,也设置了“出于国家安全考虑数据存储本地化”的条款,其中前者设置的监管例外、合法公共政策例外和基本安全例外3种场景使得我国能在例外条款的解释性中兼顾本国数据主权利益和跨境数据自由流动,大大促进区域内成员国之间的跨境
46、数据流动。值得注意的是,虽然在跨境数据流动引发的冲突之中,各国因为例外条款的存在而获得了更多的解释权以及回旋的余地,但如何权衡制定例外条款的适用范围、提高例外条款的可操作性,对实际情况提供明晰的解释方案,也将是变革规制手段的一大关键。5结语跨境数据流动涉及的个人隐私、国家安全、数据价值、产业经济等核心立场势必会带来一系列国际利益纠纷,世界各国也将出于自身利益的考虑加大数据博弈的范围和强度。短时间来看,世界跨境数据流动仍将处于以欧美为主导的区域性合作与妥协的跨境数据流动规制下,推动国际跨境数据流动的多边治理合作道阻且长。作为世界第二的数据大国,我国应加快建立符合国家根本战略的跨境数据流动管理机制
47、,积极参与国际数据跨境治理议题,发出“中国之声”。在兼顾国家自身发展和“网络空间命运共同体”的价值探索道路中推动全球跨境数据治理的多边合作进程。参考文献1中国信息通信研究院.全球数字治理白皮书EB/OL.(2021-12-25)2021-12-25.https:/ of the council concerningguidelines governing the protection of privacy andtransborder flows of personal dataEB/OL.(2013-07-11)2022-03-21.https:/legalinstruments.oecd.
48、org/en/instruments/OECD-LEGAL-0188#mainText.4张茉楠.数字主权背景下的全球跨境数据流动动向与对策J.中国经贸导刊,2020(12):49-52.19专题:跨境数据流动中的全球数据主权博弈与治理5何波,石月.跨境数据流动管理实践及对策建议研究J.互联网天地,2016(12):29-32.6黄宁,李杨.“三难选择”下跨境数据流动规制的演进与成因J.清华大学学报(哲学社会科学版),2017,32(5):172-182,199.7王佳宜,王子岩.个人数据跨境流动规则的欧美博弈及中国因应基于双重外部性视角J.电子政务,2022(5):99-111.8李墨丝.欧
49、美日跨境数据流动规则的博弈与合作J.国际贸易,2021(2):82-88.9冉从敬,何梦婷,刘先瑞.数据主权视野下我国跨境数据流动治理与对策研究J.图书与情报,2021(4):1-14.10 黄海瑛,何梦婷,冉从敬.数据主权安全风险的国际治理体系与我国路径研究J.图书与情报,2021(4):15-28.11 李金,申苏浩,孙晓蕾,等.重要数据跨境流动背景下风险路径的识别与分级J.中国管理科学,2021,29(3):90-99.12 刘志雄.跨境数据流动的全球态势及对我国的启示J.人民论坛,2021(33):102-105.13 SEDGEWICK M.B.Transborder data pr
50、ivacy as tradeJ.California Law Review,2017(5):1513-1542.14 戴艺晗.WTO数字贸易政策与区域主义多边化进程J.国际贸易,2021(11):15-22,43.15 谢卓君,杨署东.全球治理中的跨境数据流动规制与中国参与基于WTO、CPTPP和RCEP的比较分析J.国际观察,2021(5):98-126.16 GRAHAM G.Global data privacy laws 2015:109countries,with European laws now in a minorityJ.Privacy Laws&Business Inter
浙ICP备2021020529号-1 | 浙B2-20240490 
