张茉楠

数字经济时代，数据不仅成为基础性生产要素，更成为一国重要的战略性资产，成为构筑一国核心竞争优势的关键。数字贸易的基础是跨境数据流动及相关服务。当前，世界各国政府大都倾向于通过宏观经济政策加强本国数字经济与数字贸易的发展，而与此相关的跨境数据流动政策也成为新一轮国际经贸规则中的前沿议题和大国间战略博弈的焦点。

一、全球跨境数据流动发展态势及其政策新动向

跨境移动、存储和处理数据的能力是现代经济的基础。目前，国际上对跨境数据流动（Cross-border Data Flows）的概念界定还存在差异，尚未形成统一认知。综合比较来看，国际上对跨境数据流动的内涵与外延界定主要包括两类：一类是数据跨越国界的传输、处理与存储;另一类是尽管数据尚未跨越国界，但能够被第三国主体进行访问。例如，根据OECD以及联合国跨国公司中心等国际组织的定义，跨境数据流动是指跨越国界对存储于计算机中的机器可读的数据进行处理、存储与传输;而欧盟对此理解则大为不同，欧盟主张，尽管数据未必跨越国界，但如果能够被其他国家主体进行访问，也属于跨境数据流动的范畴。

（一）当前全球跨境数据流动发展总体态势

近年来，随着互联网、云计算、大数据、人工智能等新一代信息技术的快速发展和信息基础设施的大规模普及，全球互联网协议流量及全球数据量呈现指数级增长，数据的全球化属性、资产属性以及流动属性日益增强，跨境数据流动正成为推动新型全球化的重要特征。按照世界经济论坛的说法，目前我们正进入一个被称为“全球化4.0”的、以数字驱动的全球化新时代。互联网的全球扩张及其对数据流日益增长的需求正在改变传统世界经济和国际贸易的形态，使数字产品和服务成为主要输出品。十多年以来，数据流动对全球经济增长贡献不仅早已超越以商品、服务、资本、贸易、投资为代表的传统形态，而且随着国际日益数字化，跨境数据流动更越来越独立地发挥作用，数据全球化正成为推动新一轮全球化的新的增长引擎。根据美国著名智库布鲁金斯学会的相关研究，2009—2018年的10年间，全球数据跨境流动对全球经济增长贡献度高达10.1%，其中，2014年数据跨境流动对全球经济增长的价值贡献超过2.8万亿美元，预计2025年有望突破11万亿美元。

（二）“数字主权”下全球跨境数据流动政策新动向

数字经济时代，无论是货物贸易还是服务贸易，都离不开信息的全球互联，离不开数据的跨境流动。近几年，随着各国对数据跨境流动的意义及影响的认识日益深入，国际社会既认识到跨境数据流动带来的巨大收益，也意识到可能对国家安全和个人隐私造成的巨大冲击。总体而言，美国等发达国家强调跨境数据自由流动立场，但围绕“数据主权”，出于对数据资源的保护、国家安全的需要以及防止行政权、司法权落空等目的，跨境数据流动所涉及的“跨境數据传输”“数据本地化存储”“数据隐私保护”等重大议题的国内监管与国际规则制定也呈现出新趋势和新特点，进而可能演变为一场新的国际经贸博弈。

趋势一：跨境数据流动与数字服务贸易呈现“有限性特征”。

大规模数据流动在创造巨大的经济财富和价值的同时，也可能引发一系列风险，例如，数据的无序流动就对一国的国家安全利益、监管框架，甚至执法权提出了严峻挑战。一些国家出于数据隐私保护、国家主权的完整性，以及国家安全利益等等公共政策目标，不同程度地对跨境数据流动加以政策或法律法规的限制。因此，无论在多边的WTO（世界贸易组织）、G20（二十国集团）框架内，还是在双边自由贸易协定中，当下的跨境数据流动无不呈现“有限”特征，“本地化”的诉求也从未消失。

为对世界各国数字服务贸易的限制性政策进行评估，并量化其影响，OECD开发了数字服务贸易限制性指数（Digital Services Trade Restrictiveness Index），对涵盖全球40个国家主要经济体的数字服务贸易及其跨境数据流动政策进行评估。总体而言，中国、印度尼西亚、南非、巴西、印度、俄罗斯等非OECD国家限制指数偏高，而瑞士、澳大利亚、美国、挪威等OECD国家限制指数偏低。

趋势二：对涉及国家安全利益的数据采取“灵活化”对策。

鉴于个人数据与重要敏感数据涉及的风险和所需保护的法益各有不同，许多国家都在尝试分级分类监管的方法，通过灵活多样的监管模式，确立宽严不同的数据跨境流动管理政策。例如，法国规定政府管理、商业开发、税收数据需要本地存储;澳大利亚明确禁止与健康医疗相关的数据出境;美国不允许属于安全分类的数据存储在任何链接公共云数据中，特别是对公民敏感数据，美国的安全审查标准不低于欧盟。如，在《2019年外国投资风险审查现代化法》就明确将外国人投资保存或收集美国公民敏感个人数据的公司纳入审查范围，严格限制外国企业收集美国公民数据;韩国规定移动通信服务提供商应采取规范措施，禁止涉及经济、工业、科学技术等重要数据跨境流动。

趋势三：围绕数据主权与长臂管辖权博弈呈现 “加剧化态势”。

数字经济越来越依赖于跨境数据流。近年来，世界各国围绕网络空间的战略博弈与数据资源的争夺日益加强。美欧数据主权战略属于“进攻型”，通过“长臂管辖”扩张其跨境数据执法;而中国、俄罗斯等新兴经济体的数据主权战略属于“防守型”，通过数据本地化解决数据治理与本地执法问题，因此“长臂管辖”在允许跨越一国传统地域主权限制获取境外数据的同时，也加剧了与他国关于数据管辖权以及执法权之间的冲突。如2019年，美国颁布的《云法案》规定，无论数据是否存储在美国境内或境外都赋予美国政府调取存储于他国境内数据的法律权限。不仅如此，法案还明确规定，如若美国与他国达成“协议”即可实现彼此数据相互交换，这相当于建立了一个可以绕过数据所在国监管机构，将美国执法效力扩展至数据所在国的“治外法权”，如此一来势必对全球数字治理框架产生深远影响，并在很大程度上改变了全球数据主权的游戏规则。

二、世界主要经济体跨境数据流动政策及其实践

目前，全球对跨境数据流动监管并未形成统一框架，不同国家采取的监管模式各不相同，各國以维护本国利益为出发点设计跨境数据监管制度。总体来看，各国数据跨境流动政策越来越受到地缘政治、国家安全、隐私保护、产业发展水平等复杂因素的复杂影响。利益的复杂性、价值认同的差异性和国家间信任的缺乏，阻碍了各国在短期内形成规则共识。究竟是推动“数据自由流动”还是加强“数据本地化”，如何在安全性和成长性中实现平衡，考验各国政府的数据战略思维和治理能力。

（一）美国：以维护数字竞争优势和强化“长臂管辖”为主旨，构建数据跨境流动与限制政策

美国在数字经济和信息技术领域具有全球领先优势，这是其推崇全球数据自由流动政策的客观基础和前提。2016年，特朗普上台执政以来，美国就严格限制涉及重大科学技术及基础领域的技术数据和敏感数据的跨境转移，并通过“长臂管辖权”和庞大的情报网络加以执行。2018年3月，美国议会通过《澄清境外数据的合法使用法案》（CLOUD法案），即《云法案》。该法案秉承“谁拥有数据谁就拥有数据控制权”原则，打破了以往“服务器标准”，而是实施“数据控制者”标准，允许政府跨境调取数据。与此同时，美国还通过限制重要技术数据出口以及特定数据领域的外国投资。例如，2018年8月签署的《美国出口管制改革法案》就特别规定，出口管制不仅限于“硬件”出口，还包括“软件”，如，科学技术数据如传输到美国境外的服务器或数据出境，必须获得商务部产业与安全局（BIS）出口许可。在外国投资审查方面，《外国投资风险审查现代化法》（FIRRMA）的一项关键内容在于扩大管辖权，对于涉及“关键技术”“关键基础设施”“关键或敏感数据”的美国企业做出的特定非控股外国投资，都被纳入安全审查范围。

（二）欧盟：以构筑单一数字市场为战略目标，采取“外严内松”引领建立全球数据规制体系

推进欧盟乃至全球的数字单一市场建设、引领国际数据流动和保护规则，是欧盟一直以来倡导的战略。为此，在欧盟内部，欧盟积极推动成员之间数据自由流动，力促单一数字市场战略的形成，即“内松”政策;但与之相对，对于欧盟境内数据向欧盟境外传输有着严格的管控，需要达成“充分性协议”，对于满足充分性认定的国家可获得充分性保护，即“外严”政策。其跨境数据流动框架主要包括：一是通过2018年生效的《一般数据保护条例》（GDPR）不是一个框架性指南，而是成为由欧盟成员国统一实施的单一法令，其主要目标是消除成员国数据保护规则的差异性，并在“欧洲数据自由流动倡议”框架下消除非个人数据在储存和处理方面的地域限制，推动欧盟范围的数据资源自由流动。作为机制保障，欧盟也成立了“数据保护委员会（EDPB）”以及相关协调机制;二是通过“充分性认定”确定数据跨境自由流动白名单国家，推广欧盟数据保护立法的全球影响力;三是在保障个人权利的前提下，提供多样化的个人数据传输方式，如遵守约束性公司规则（BCRs）、标准数据保护条款等。四是强化欧洲数据主权，推出“数字新政”。2019年，欧洲正式部署建设自己的网络云设施Gaia-X（“盖亚X”计划）旨在通过创建面向欧洲的、强大而有竞争力的、安全可靠的数据基础架构成为完全独立的“云替代方案”。2020年2月，欧盟委员会最新发布数字化战略，包括欧盟数字化总体规划、《欧洲数据战略》以及《人工智能白皮书》三个文本，即 “欧盟数字新政”。特别是在《欧盟数字战略》中强调要确保欧盟成为“数据赋能社会”的榜样与全球领导者。为此，欧盟将采取立法行动强制大型科技公司与中小型公司共享数据以打破亚马逊、谷歌等巨头的垄断地位。

（三）日本：以跨境数据流动政策灵活性为主导，全面加强与美欧两大跨境数据流动监管框架对接

在国内立法形式上采取更为弹性化的政策。日本在跨境数据流动方面，限制性条件相对较少，只对涉及国家安全的敏感或关键数据进行监管;在数据本地化方面，日本政府要求涉及国家安全的数据必须实现本地化储存，但对其他数据不做格外限制;在数据隐私保护方面，2017年日本设立了“个人信息保护委员会”（PIPC）作为独立的第三方监管机构，制定向境外传输数据的规则和指南。在参与多边和双边跨境协定谈判中更加务实。一方面，日本积极跟随美国的政策主张，推动跨境数据自由流动，积极参与跨太平洋伙伴关系协定（TPP）以及APEC、CBPRs等数据规则体系。另一方面，日本积极对接欧盟主导的《一般通用数据保护条例》（GDPR）框架，同时，为弥合日本与欧盟在跨境数据流动及数据保护规则方面的差异，日本积极制定相关补充规则。对于敏感数据、涉及数据主体权利以及实现转移源自欧盟的个人数据强化保护。

（四）新兴经济体：以维护网络和数据安全为着眼点，实施数据本地化或限制性数据跨境流动政策

除了美欧日等发达经济体提出较为鲜明和系统化的政策之外，其他新兴经济体大都从数据主权、网络安全日益关切的立场出发制定相关法律法规。总体而言，对跨境数据流动的限制性措施主要包括：一是要求跨国企业在本国开展业务或提供服务时须在本国境内建立数据中心;二是对数据存储和服务器地址提出本地化要求。一些新兴经济体将跨国公司在境内建立数据中心作为市场进入的条件之一。越南2013年出台法律要求在越南境内的所有网络信息和服务提供者，如Google、Facebook等全球互联网公司在越南开展业务时须建立新的数据中心;2018年，巴西颁布《巴西通用数据保护法》（LGPD），规定对加工处理的个人数据须在巴西境内收集存储;印度政府要求公司须将部分信息基础设施和服务器存于境内，印度中央银行规定所有在印度的支付企业都要将数据强制性存储在印度本地，禁止支付数据出境;俄罗斯现行法律法规并未对个人数据出境作特别严格的限制，但要求数据首次存储须在俄罗斯境内服务器上，同时俄划定数据自由流动范围，通过《联邦数据保护法》承认加入“108号公约”的国家为个人数据提供了充分的保护。

三、加强我国跨境数据流动与数字治理的政策建议

数字贸易及其跨境数据流动的相关规制是21世纪全球经贸规则的核心内容之一，对未来世界经贸格局走向也将产生广泛而深远的影响。特别是面对美欧等大国借助数字战略强化规则主导权的新态势，我国应服务于建设“数字经济强国”的战略目标，全面推进我国相关制度建设和顶层设计，探索适合中国国情与发展道路的跨境数据流动治理框架体系，强化规则主导权。

首先，推进分级分类分区域跨境数据流动的监管制度。既要顺应全球数字贸易发展趋势，有序推动跨境数据流动和多元的数据合作管理模式，又要加强本国网络安全、数据及个人隐私的有效保护。为此建议，一是可考虑对涉及国家安全的敏感数据及关键基础设施建立分级管理制度、跨境数据流动合同监管制度、安全风险评估制度;二是成立专门的数据保护监管机构，构建跨境数据流动的系统化制度安排，对涉及网络数据搜集、存储的企業进行审查和管理，针对涉及跨境数据流动的企业建立专门审核机制;三是对行业内重要数据或者BAT等大型互联网公司率先开展数据出境管理实践;四是可考虑在海南自由贸易港、上海临海新片区等区域内先行先试，探索设立数字自由贸易港加快制度性创新。

其次，构建完善跨境数据流动的管辖与信任体系。当前，美欧等发达国家不断强化数据出境的“长臂管辖”，我国可以积极效仿并依据具体场景适当延长“长臂管辖”的适用范围，制定出台重要数据出境的管理框架，为重要数据的保护、管理、利用完善政策环境。此外，可以借鉴欧盟模式，考虑建立“白名单制度”，对相关国家实施个人信息保护及跨境数据流动的对等措施。将部分地区纳入可自由流动的国家与地区，构建数据跨境流动的信任体系。

第三，将跨境数据流动嵌入国际贸易投资协定中。鉴于当前世界各国立场存在较大差异，短期内无法形成相互协调的全球跨境数据流动政策体系，因此，我国的跨境数据流动政策应以自贸谈判为契机，深度嵌入双、多边贸易协定中。如在RCEP、中日韩FTA等多双边贸易谈判中，增加数据跨境流动的谈判内容，积极与重要贸易伙伴国达成数据流动认证协定，促进数据合法有序流动。特别是，随着近年来“一带一路”倡议由“硬联通”转向“软联通”，因此，应着力推进“一带一路”合作框架下的数据流通的协议和标准，促进数字互联互通，构建数字空间命运共同体。

最后，推动建立跨境数据流动的全球治理框架。跨境数据流动作为支撑全球数字贸易发展的基础具有天然的“全球属性”。因此构筑数据跨境流动的规则体系也必须立足于全球视野。尽管目前已商定了相关的国际标准或者范本，但在不同国家模式及执行方式存在很大差异，因此仍然需要互操作性机制，加快探索建立国际执法协作机制，以及面向未来的全球数字贸易规则及数字治理框架。

（作者为中国国际经济交流中心美欧所首席研究员）