徐偲骕 姚建华

【内容摘要】 本文聚焦当前国际间跨境数据流动与数据本地化趋势之间的张力，结合欧盟《通用数据保护条例》的启示，提出三个建议：积极研究国际规制，确保自身合规;努力拓宽合法传输渠道;构建数据保护“中国标准”，成为国际认可的数据可流向国，提升数据治理的国际话语权。

【关 键 词】 物质性转向;跨境数据流动;数据本地化;数据治理

近年来，传播研究中逐渐出现了“物质性转向”（materiality turn）。Tony Bennett和Joyce Patrick认为这一学术取向主要从历史维度出发，来考察传播、媒介与文化的基础设施。①其思想资源之一的媒介考古学认为，不能脱离设备、系统、编程、平台等物质基础来分析媒介的运作机制或权力关系。

这一学术转向克服了互联网社会科学研究中的“二分法”，后者将网络视为“赛博空间”，其特点是非物质的、虚拟的、与物质世界割裂的。②主流传播研究的本体论基础实际上就建立在这种非物质性之上，聚焦于象征、语言、思想、符号、内容等对象，而与媒介本身的物质性相关的基础设施、空间、技术、身体等问题被长期遮蔽。③虽然传播的物质载体作为历史事实是源远流长的，但在当代媒介研究中却泯灭了，“研究者们孜孜以求地从事媒介内容，津津乐道于媒介话语，而其存储介质却惨遭遗弃。”①

本文将这一学术创新引入国际传播研究中，后者的问题意识长期局限于传播设备的更新、内容策略的改善，对表象之下各国数据政策的博弈及其对中国企业和个人的影响关注不够。文章聚焦当前国际间跨境数据流动与数据本地化趋势之间的张力，结合欧盟《通用数据保护条例》的启示，提出思考与建议。

一、“看不见”的国际传播——数据跨境流动

数据似乎并没有那么强烈的“物质性”，但媒介研究中的物质性实际上泛指一切媒介构成、媒介要素、媒介过程和媒介实践，从有形的基础设施到无形的通信协议，从可见的接口和界面到隐形的平台和算法，实际上都是这种物质性的体现。②然而，即便是已经涉及数据问题的国际传播研究，也只是把数据看作隐私问题，将数据流动与隐私保护视为对立的两端，③忽略了数据已经成为新闻传播乃至新经济的命脉，是近乎于“石油”的生产性“能源”，数据恰恰应该被理解为网络时代新闻传播业和平台资本主义的“生产资料”④。

（一）国际新闻传播对数据流动的依赖

在主流研究最为看重的内容生产层面，流量如今决定新闻机构的生死和新闻传播的效果，媒体开始利用各种受众行为监测分析技术来掌握受众的新闻消费习惯，这一实践逐渐“正常化”并深深“嵌入”新闻机构的日常运作。⑤不仅如此，随着社交媒体和移动设备成为人们获取新闻的主要来源，官方媒体也要通过开设主页、公众号，开发自己的客户端等来扩大用户到达率，而平台又依赖于算法自动决策以确定展示给不同用户的不同内容，新闻就同时经历了记者、编辑和算法的多重筛选。⑥相比前者，算法更依赖用户数据，在国际传播中，经过算法推荐的信息要准确到达境外受众，影响其对中国事务的认知，改善中国形象，就势必要购买或自行通过客户端后台收集其数据，分析其新闻接受行为、习惯乃至态度，在这一过程中，数据的跨境流动必然发生。

（二）全球数字经济运作的前提：跨境数据流动

1980年，经济合作与发展组织首次提出“跨境数据流动”的概念。①全球化自此进入数据流动或数据全球化的新时代，传统贸易插上了信息技术的翅膀，引发了数字信息的空前增长和高速流动，提高了投资决策和资本分配的效率。②大数据与人工智能激发了数据驱动型产业。今天，国家、地区、企业、个人，甚至机器间都需要进行数据交换，互联网和移动设备则使跨境数据融合以网络化、动态和实时的方式发生，数据可以在发送方或接收方浑然不觉的情况下跨越许多边界。因为存储数据的云的实际位置可能位于第三国，跨境传输已经不像以往那样简单，即将文件发送到另一个国家的特定位置，而是复杂到了即使是国内两点间传输，也可能导致信息或文件过境其他国家。③数据的开放性、流动性和共享性颠覆了传统工业时代的商业形态和产业边界，一个以数据资源的开发利用为核心动力的数据经济时代全面来临。

据统计，2011～2016年间移动数据流量增长了18倍。④麦肯锡全球研究所在2016年研究估算，各种形式的全球流动（如商品、服务和资本）至少使全球GDP增长了10%（约7.8万亿美元），其中，互联网数据流量占2.8万亿美元，且数字贸易和跨境数据流的增速将超过全球贸易的总体增速。⑤麦肯锡还发现，由于严重依赖于跨境数据流，86%的科技初创公司自诞生之日就具备了“全球性”（born global）⑥。此外，数据流动使得美国的GDP增加了3.4%～4.8%，创造了240万个就业岗位。⑦正因如此，美国因其信息产业的优势地位以及对数据自由流动的依赖性，通过多种途径促进数据跨境。

云技术的勃兴恰是跨境数据流动的集中体现和必然要求，这种分布式计算越来越多地为本土市场以外的客户提供服务，允许其随时从任何支持互联网的设备上访问数据，无须在本地存储任何文件。借助于云的跨境数据流动还促进了创新的扩散，全球都可以接觸、利用最新研究成果和技术，并激发更多创意，催生新的企业，研究和开发工作也将受益，各地研究人员能够共享数据、设计实验和分析结果，加强协作。可以说，建立在数据流动之上的云技术是驱动信息资本主义发展的引擎，同时也是一种日渐成为主流的认知方式，被视为一种解决世界难题的超常力量，①这一切的前提便是数据的自由传输和流动。

此外，改善互联网接入和跨境数据流对发展中国家的出口增长尤为重要。②世界银行研究显示，互联网的接入可以将发展中国家与主要出口市场的地理隔离程度降低65%。③跨境数据流动有助于克服国际贸易中一系列地方性壁垒，比如，移动银行服务很好地解决了某些国家和地区银行业不发达、交易难的问题。④亚太地区尤其是这种“得数据者得天下”的积极践行者，据测算，亚太地区网络流量预计将从2016年的361.7EB增至2020年的814.2EB（1EB=230GB）。⑤其中，世界第二大经济体——中国亦有着巨量跨境数据流动需求，阿里研究院预计，到2020年跨境电商交易规模将达到12万亿元，约占中国进出口总额的37.6%。⑥有学者建议，对数据问题的考量，要从单纯关注“个体信息权”和隐私保护的单一维度，扩展至“个体权益、企业竞争和生产关系”三个维度上全面展开，尽快转向思考与数据合约监管、数据风险管理、数据资源交易等相关的机制设计问题。⑦其中，首先遇到的便是各国日益强烈的数据本土化与限制出境的诉求。

二、逆向而动？各国的数据本地化实践

由于互联网的存在，数据可以轻松、迅速地跨越国界。①与实体空间不同，网络并无明显的地理边界，网络基础协议能够确定任意两点之间传输数据包的最快路径，数据在理论和技术上是可以快速、自由流动的，很难被限制去向，而且数据传输的边际成本极低。②这就意味着数据跨的“境”实际上与真实国境并无联系，不过是一种基于民族国家秩序的数字空间想象。然而现实情况是各国正出于国家安全、数据主权、经贸利益、隐私保护、公共道德和执法便利等各种原因，采取技术手段、出台政策法规以实施数据本地化措施——也就是将数据存储在物理国境线之内，数据保护主义趋势日益明显。

（一）各国数据本地化实践

一项针对64个经济体的研究显示，1960～2017年，对跨境数据流动的限制性规定从无发展到87个。这些规定大部分是强制要求公司将数据保存在特定的边界内，少量涉及限制数据入境。这些限制的类型从无到完全禁止大致可分为四种：No Restrictions（无限制）、Local Storage（本地存储）、Local Processing（本地处理）以及Ban on Transfer（禁止传输）。③虽然过半措施是横向覆盖的，比如适用于所有行业收集的个人数据;但约有一半是针对特定行业和部门的，特别是金融行业、在线服务提供商、公共部门、健康护理业等。不过，没有一个国家在全国范围内禁止将所有数据转移到国外。

有趣的是，从这个角度看云技术，它其实有助于将更多数据保存在本地，阻碍其外流，或吸引和鼓励境外数据多流向境内，并非只是单纯促进自由流动那么简单。可以说，云的落户可能成为一种向物理主权形式“回归”的产物，互联网远非全球一体。

“棱镜门”事件之后，鉴于美国互联网企业在世界上的领先地位，各国都对数据流经美国表示关切和担忧。《美国爱国者法案》允许其政府获取存储在美国境内数据中心或云服务提供商所保存的数据，以便利执法，且不需要数据主体的同意。许多国家和外国公司都担心数据过境美国后被“合法地”获取和监视。①印度、巴西、德国等国家均要求与安全有关的数据必须存储于境内服务器，法国专门为政府数据建立本地云端系统，打造“法式云计算”，以特别限制关键基础设施数据的跨境流动。②2012年，印度颁布了“国家数据共享和可访问性政策”，规定政府数据必须存储在本地数据中心;印度国家安全委员会还要求所有电子邮件提供商为其印度业务设置本地服务器来实现数据本地化。2013年，越南也颁布了《互联网服务和信息管理、提供和使用》，禁止在线传递损害“国家安全、社会秩序和安全”的信息，并要求网络供应商至少将一个服务器设在本地以方便有关部门对信息进行检查。③

同时，国家还有责任保护本国公民个人隐私、生命财产数据以及本国企业资产数据等。④如印度规定将“敏感的个人数据或信息”转移到国外仅限于两个限制性条件——“必要”或当主体同意时。马来西亚《个人数据保护法》规定，除非经马来西亚政府批准，否则个人数据不能向境外转移。阿根廷的《数据保护法》禁止将个人数据传输到那些没有足够保护水平的国家。澳大利亚《个人控制电子健康记录法案》禁止除特定例外情形外的个人健康记录出境。加拿大不列颠哥伦比亚省和新斯科舍省法律规定学校、医院和公共机构持有的个人数据必须在加拿大存储和访问，满足某些条件才可出境。俄罗斯出台了《第242-FZ号联邦法》（又称数据本地化法）、《俄罗斯联邦个人数据法》等法律，规定信息拥有者、信息系统运营方有义务将存有俄罗斯联邦公民个人信息数据库存放在俄罗斯境内，俄罗斯已经威胁要关闭拒绝在本地存储数据的网站，如LinkedIn。⑤

维护公共道德、公共秩序和文化价值观也是一项重要的原因，这通常涉及禁止数据流入境内的场景（其实也是让外国数据“留在境外的本地”），或对特定行业的在线数据传输施加限制。一些国家（新加坡、黎巴嫩、土耳其等）禁止访问成人娱乐网站，而德国禁止电子商务网站出售纳粹纪念品，与赌博和音像制品有关的网上服务也受到较多国家的限制。这些规定阻止了特定类型的信息转移和流动。①这些领域实际上是自由交易系统失灵而且需要干预的地方，各国通过法律禁令、实体封锁、选择性过滤和减慢外国网站的速度来加以控制，新型的数字贸易壁垒发展起来，一些经济体已经转向“运营许可”和“内容许可”制度，甚至设想对外国数据流征收歧视性关税的方法，虽然在技术上很难实现。②

（二）如何看待针对跨境数据流动的限制

数据主权实际是网络主权在新技术环境下的延伸和补充，意味着国家自主管辖、控制本国数据传播、流通的绝对权力，这种权力保障一国的网络基础设施、数据安全、国民隐私、经贸利益甚至文化安全。各国通过数据本地化政策来限制关键数据出/入境，建立管辖原則，增加执法便捷性，设置市场壁垒，保护本国产业，实际上是维护国家利益的题中应有之义。

何况，当前国家面临的数据主权挑战已经不一定是另一个国家了。互联网信息巨头们对海量数据的占有和使用，已经催生另一种形式的数据主权，私人公司掌握了收集、聚合、存储、分析、使用数据的关键技术，俨然成为信息世界的入口，把控了信息世界的“总开关”。这些企业没有实际领土，但依托存在于世界各地的云数据中心和海量服务器，推动数据畅通无阻地跨境自由流动。普通用户享受着即时访问和便捷的服务，心甘情愿地将数据上交给某几个互联网巨头，他们实际上也已经无法用脚投票，摆脱这些“信息帝国”了。在这种情况下，作为公共权力所有者的国家更有责任防范商业逻辑主导的私有平台全面接管信息基础设施。

不过，任何政策都有两面性，各国的这些政策很大程度上成为国际贸易的新障碍。全球割裂的数据跨境流动政策将给依赖全球数据聚合的业务带来影响，直接降低此类业务的效率，甚至其业务模式本身能否持续开展都成问题。此外，跨国公司或许可以在别国境内建立服务器和数据中心以存放在该国收集的数据，但对于小公司来说则是一种沉重的负担，久而久之，外国竞争者远离该国市场，会导致经济活力的降低。最后，各国的数据本地化政策还可能违反了世贸组织的服务贸易总协定的非歧视与市场准入等诸项原则。

综上，跨境数据自由流动与数据本地化之间存在极大的张力和冲突，如何平衡收益与风险、处理好这一对矛盾，是国际传播领域亟须思考的问题。

三、GDPR对中国数据跨境流动的政策启示

现有规则未能以一致的、连贯的、可操作的和可预测的方式保护跨境数据传输，而且欧盟、美国、世界其他国家和国际组织之间还有各式各样的协议，可见即使少数国家间也未能就数据自由流动和其他政策目标之间达成必要的共识。 本节以欧盟的《通用数据保护条例》（GDPR）为例，探讨其意义、启示与中国的应对思路。

（一）保护是为了更好地流动

被称为“史上最严格个人信息保护规范”的GDPR于2018年5月25日正式实施，27个欧盟成员国和仍在“脱欧”路上的英国相继将其纳入国内法体系，迅速修订或制定了个人数据保护的相关法令。该条例“旨在协调整个欧洲的数据隐私法律，保护和授权所有欧盟公民的数据隐私，重塑整个地区处理数据隐私的方式”。①其范围不仅涵盖欧盟全境，而且对与欧盟相关的、但不在欧盟境内的第三国企业和机构同样具有法律效力，②比如与欧盟企业有业务往来或收集欧盟公民数据的企业。条例生效后不久，就有隐私保护组织控诉Google、Facebook、WhatsApp、Instagram四家公司违反GDPR的规定，请求对其发起进一步调查、禁止其相关数据处理行为，并处以数十亿欧元的惩戒性罚金。③这引起了国际舆论和业界的广泛关注。跨国公司为了继续开展欧洲业务，相继调整隐私政策以充分合规，防止收到巨额罚单。④一些无力承担合规成本的小公司则选择放弃欧洲业务。

欧盟的“数据本地化”并不等于禁止数据跨境流通，而是首先在欧盟境内通过立法来克服各国国内法造成的数据流动障碍，积极推动成员国之间的数据跨境共享，实现欧洲内部数据自由流通。⑤针对联盟外国家和地区，欧盟允许个人数据流入欧盟认可的、能够提供“充分保护措施”的国家或地区，也就是说当第三国或者第三国境内某一区域、行业、组织能够达到欧盟认可的保护水平之时，数据流入不需要获得额外批准和授权。满足这一条件的第三国（目前仅有12个国家和地区）进入欧盟“基于充分性决定的传输”的“白名单”①。除此之外，针对尚无法达到“充分决定”保护水平的国家、地区和企业，欧盟还发展出了“提供适当保护措施的数据跨境传输”“有约束力的公司规则”“特定情况下的例外规定”等“控制者到控制者”之间的标准合同文本，用以处理与符合某些保护水准的特定的数据接收方之间的传输。

（二）出海企业积极合规

GDPR一经出台，尤其是在“一带一路”政策催生大量出海企业的背景之下，立即就对中国企业带来高度合规压力，特别是以BAT为代表的互联网企业如今也有广泛的欧洲注册用户，均符合GDPR域外适用情形。微信海外版、新浪微博国际版等纷纷更新隐私政策、请求欧洲用户重新授权，甚至传出QQ将停止向歐洲区用户提供服务的消息。华为等有意在人工智能、物联网领域有所作为的企业也已专门聘请团队以应对GDPR。尽管如此，大量中国企业仍然并未认真对待GDPR，这可能会引发不良后果。作为竞争对手的欧盟企业有很强的动机对这些中国企业进行投诉举报，欧盟成员国政府出于保护本国企业的目的也可能主动进行调查。中国企业很可能成为集中投诉和严格执法的对象，面临巨额处罚风险。

受影响的企业主要集中于需要进行大量数据收集和控制的行业，例如金融、生命科学（尤其是健康类的行业）、交通、零售、电商等。②头部企业或许能够承担高昂的合规成本和代理成本，③将境外数据存放在当地的云端，或者直接建立离岸数据中心，但大量中小型企业如仍希望在节省成本的情况下开拓欧洲市场，必须亲历亲为，密切关注政策动向，评估合规差距，根据自身业务特点，尽快使自己符合GDPR的传输要求。

需要采取的举措可能包括：对数据进行分类整理，搞清楚所有数据类型，掌握哪些属于敏感个人数据;重新撰写、发布企业的隐私政策和条款，向用户发出通知取得重新授权，用户的授权与同意应以电子形式留存证据;加入明确授权和撤回按钮，让用户可随时随地访问数据，撤回授权、更正、删除、注销等;做好数据加密和匿名化工作、系统缺陷升级工作、数据泄露紧急措施预案等;与第三方数据处理者签署合同并对其进行审计，避免承担违规连带责任（如Cambridge Analytica与Facebook数据泄露事件）;如果企业超过250名员工，就应任命数据保护官（Data Protection Officer）。

（三）拓宽合法传输渠道

上述这种“零敲碎打”的方式，主要原因是中国并非“充分决定”的白名单国家，不光如此，“标准合同文本”和“有约束力公司规则”很难适用于中国企业，中欧之间实际上缺乏数据传输的制度框架和政策工具。当下数据流动无时无刻不在进行中，新的数据类型和收集需求每天都在出现，即使企业事必躬亲地处理每一笔涉及数据流动的交易，这种“单打独斗”的情况仍然可能存在高风险。

相比而言，即使对数据和隐私保护存在极大分歧，欧美之间的数据流动反倒十分顺畅。《安全港框架协议》因故失效后，①经过反复磋商和多次修改，一年之内，欧美又迅速达成了《隐私盾框架协议》，成为规制跨大西洋数据流动的新妥协方案。后者更为强调安全问题，要求个人数据的迁移必须符合告知和选择原则，第三方至少也要提供相同水准的隐私保护和预防措施，保护个人数据不会遗失、滥用和受到未经授权的存取、泄露、窜改和破坏。②因此，美国企业可以利用“隐私盾”更方便地实现数据合法传输。目前，日韩两国企业也正通过政府与欧盟谈判，有望达成“充分性保护”互认协议，实现高效的转移数据。

当前，跨境数据流动的国际规制已逐渐成为双边和区域贸易谈判的新议题。可见，以国家为单位的谈判才是目前解决跨境数据流动合规的总体性方案。短时间内，中国可能难以成为欧盟认可的白名单国家，但企业也不能放弃合规路径储备，可以争取获得欧盟在GDPR框架下的相关认证。结合各国数据保护水平和国际认可程度，也可暂时选择白名单内相关国家及地区作为“数据港”，将所收集数据就近存放。

（四）构建“中国标准”，促进数据流入，提升国际话语权

很明显，跨境数据流动规制也是国际政治经济格局的产物，西方大国欲主导这一体系，建立自己的数据流动“朋友圈”，圈内国家往往是长期的政治盟友、经贸伙伴以及被其认定为具有相同价值目标的国家。③GDPR实际上就是欧盟极力推动的跨境数据流动的“欧盟标准”，在它的影响下，许多非欧盟国家也据此来修改自己的数据保护法，提升信息保护水平，确保与欧盟规定相一致。欧盟与其他国家（比如日本）之间的跨境数据流动谈判文本也经常是由欧盟首先起草，充分显示了欧盟在跨境数据流动国际规则制定中的超强影响力。

美国虽然在这一领域的话语权不及欧盟，但也不甘受制于人。与欧盟将数据权作为一种基本人权不同，美国奉行以市场为主导、以行业自律为中心的个人数据保护政策，认为隐私监管、过滤和审查都是贸易保护主义，不合法且不必要。美国反对各国数据本地化的措施，利用其在亚太地区的政治经济影响力推动有别于欧盟的规则体系，极力倡导数据的跨境自由流动。①亚太经合组织2004年通过了“隐私框架”（APEC Privacy Framework），在此基础上2013年通过的“跨境隐私规则体系”（Cross-Border Privacy Rules， CBPRs），以及2016年签署的“跨太平洋战略经济伙伴关系协定”（Trans-Pacific Strategic Economic Partnership Agreement）都是在美国的主导下产生的。当前，日韩均已加入CBPRs，与美国之间的跨境数据流动畅通，而因未加入这些协定，中国企业尚不能利用这些框架来进行跨境数据传输，处于不利地位。

当然，数据流入与流出是同一个问题的两面，这一领域奉行同等保护和互惠互利原则，也即一国的个人隐私与出境数据保护水平决定了另一国是否放心自己的数据流入该国。

可喜的是，2019年6月13日，中国国家互联网信息办公室发布了《个人信息出境安全评估办法（征求意见稿）》，提出了出境数据要经过安全评估等新规，全面加强了中国公民个人数据出境的保护水平。加之近年来逐步颁布的《网络安全法》《信息安全技术个人信息安全规范》《征信业管理条例》《人口健康信息管理办法（试行）》等法规，中国形成了在数据保护立法方面良好的势头，走在了亚洲国家的前列。在实践中，中国也开始大力打击网络电信诈骗，对手机应用收集个人用户数据目的等进行监管。且相比于欧盟的“过严”（强调公共利益）与美国的“过宽”（强调商业利益），中国可能会走出第三条道路，即把握“共享发展”这条主线，强调公共利益与商业利益的协调。②未来有望形成“宽严相济”的跨境数据流动“中国标准”，这一标准因其兼顾性，将可能吸引更多国家加入并主动合规，成为数字经济时代新秩序的基础。而在这之前，还有很长的路要走。

（责任编辑：姬德强）

作者簡介：徐   ，复旦大学新闻学院博士研究生、加拿大卡尔顿大学访问学者;姚建华，复旦大学新闻学院副教授。

基金项目：本文系2017年国家建设高水平大学公派研究生项目（留金发[2017]3019，编号：201706100024）成果之一。

① Tony Bennett and Joyce Patrick， （Eds）， Material Powers： Cultural Studies， History and the Material Turn， London： Routledge， 2013.

②John Hondros， “The Internet and the Material Turn”， Westminster Papers in Communication and Culture， Vol.10， No.1，2015， pp.1-3.

③Packer Jeremy and Stephen B. Crofts Wiley， “Introduction： The Materiality of Communication”， in Packer Jeremy and Stephen B. Crofts Wiley， （Eds）， Communication Matters： Materialist Approaches to Media， Mobility and Networks， London： Routledge， 2012， pp.3-16.