吴玄

上海将肩负数据跨境规则破局的重任

随着信息技术的不断迭代，数据已成为国家治理不可或缺的工具，是当今社会最为宝贵的资源。数据是跨国界流动的，数据流引领技术流、资金流、人才流，数据掌握的多寡成为国家软实力和竞争力强弱的重要标志。

近年来，世界各国为了在全球竞争中获取更多的数据资源，将数据立法与政策提升到了国家战略层面。2019年12月，美国出台的《联邦数据战略与2020年行动计划》，将数据视为战略资源，助力人工智能技术的发展。2020年2月，欧盟发布《欧洲数据战略白皮书》《人工智能白皮书》等文件，明确提出要将欧盟打造为数据驱动型社会的榜样和领导者。

我国同样重视数据在经济社会发展中的作用。2019年10月31日，十九届四中全会通过《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》，首次提出“数据生产要素”概念。2020年3月30日，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，提出加快培育数据要素市场，完善社会主义市场经济体制。

数据生产要素的特性，凸显出数据跨境规则的重要性。一方面，数据跨境规则是国内数据要素市场建设的重要环节。数据价值的实现离不开数据的流动和使用，数据安全关系到国家安全和公民个人权益，对跨境数据的管理是一国数据主权的体现。另一方面，数据跨境规则是国际数字产业竞争的焦点。据统计，2009—2018年，全球数据跨境流动拉动的经济增长占全球GDP总量的3%，相当于2.3万亿美元，使全球GDP增长10.1%，预计到2025年为全球GDP贡献的价值将达到11万亿美元。美欧国家在制定数据跨境规则中，尽可能鼓励境外数据流入，同时以国家安全和个人信息保护等理由严控境内数据流出。

对全球数据资源的有效利用，不仅有助于数据产业的发展和全面数字化转型，也预示着在未来的智能化时代占据先机。跨境数据机制是完成这一目标的最佳法治手段。可以认为，数据跨境规则直接影响到未来全球数字产业的竞争格局。上海作为中国改革的前沿，在数字化与法治化方面具有坚实的产业基础和制度优势。2021年6月，全国人民代表大会常务委员会发布《关于授权上海市人民代表大会及其常务委员会制定浦东新区法规的决定》（以下简称“《决定》”），授权制定浦东新区法规，预示着上海将肩负数据跨境规则破局的重任，为中国数据产业发展闯出一条新路。

当前，国际社会不仅在数据跨境规则层面远未达成共识，在数据的治理和管辖行使的基本理念上也存在分歧——

首先，全球共识尚未达成，数据跨境国际规则呈现出碎片化、区域化特点。国际社会很早就认识到数据跨境流动对全球数据经济发展的促进作用。1980年OECD（经济合作发展组织）首次提出“数据跨境”概念，并在《隐私保护和跨境个人数据流动指南》中要求成员国避免对数据跨境设置障碍。WTO（世界贸易组织）则通过减免数字产品关税，推动数据跨境流动。《APEC（亚洲太平洋经济合作组织）隐私框架》与G20（20国集团）宣言等，也都主张消除数据壁垒，促进全球数据跨境流动。但既有的这些多边规则面临效力低、实践性不强，多为宣示性质和主张性质。随着对数据安全与数据主权的认识不断提升，各国开始采纳数据本地化政策，数据跨境的规则分歧越来越大。

其次，随着数字强权立法的全球化扩张，使得一些国家争夺国际数据跨境规则的制定权。美国与欧盟，利用自身在数据产业和立法技术上的优势，积极将其主张融入国际规则。美国主张数据完全自由流动，反对他国的数据壁垒和数据管辖，欲为其强大的数据产业占据海外市场扫清障碍，促使全球数据流向美国并加以控制。欧盟以数据人权保障为首要价值，扩张欧盟法律的域外适用范围。GDPR（《通用数据保护条例》）建立数据“白名单”制度，规定跨境数据只能流向达到欧盟法律标准的地区。在国际上，美欧已经形成跨境数据流动两大法域，并通过双边、多边协议推广国内立法，积极拓展规则的影响力。如《APEC隐私框架》带有浓厚的美国市场优先的色彩，而《OECD指南》则更多地体现欧盟数据人权保护的治理思路。

最后，我国的数据治理法律框架初具雏形，数据跨境需求与具体制度供给尚不匹配。作为全球第二大数字经济体，中国在跨境数据流动治理领域扮演着重要角色。目前，我国已经通过了《网络安全法》《数据安全法》《个人信息保护法》。上述法律基本确立了中国版本“数据主权”的内涵与数据跨境制度框架，但在实施环节仍缺乏操作性高的方案。2020年8月，我国商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》，在上海等地方建立数据跨境传输安全管理試点，以探索中国特色的数据跨境制度。

如何在数据主权理念的指引下，创新数据跨境管理机制是上海应当考虑的问题。笔者认为，首先需要处理好三对关系：一是安全与发展的关系。数据作为国家基础性战略资源，事关国家主权安全和发展利益。不能以牺牲国家安全为代价，实现挖掘数据价值和促进产业发展。以创新为引领的数字经济和数据跨境流动需要完善的数据安全治理体系予以保障。二是竞争与合作的关系。当前新冠肺炎疫情尚未平息，国际形势复杂，数据跨境国际规则尚未形成。我国提出构建以国内大循环为主体、国内国际双循环相互促进的新发展格局。所谓竞争，是在数据跨境国际规则的制定中提出中国方案，发挥中国影响力;所谓合作，则是通过双边、多边条约的形式实现数据跨境自由流动区。三是中央与地方的关系。数据跨境制度背后涉及数据权属、个人信息保护、数据分级分类制度等数据安全基本问题。这些相关问题都属于中央事权。一方面，《决定》赋予上海市人大及常委会在浦东新区变通法律法规的权力，这是浦东改革发展的最大优势;另一方面，数据具备跨地域流动的特殊性，这要求在行使法律法规变通权时需要慎之又慎。在创新数据跨境制度的同时，一定要避免国家重要数据资源流向境外。

为此，笔者提出以下三项制度创新：一是探索设立数据海关，打造境内关外的数据港。数据跨境安全是动态的安全，《数据安全法》提出的国家重要数据目录也是在不断变动的。通过建设数据海关，为数据多加一道防火墙，有助于防止国家重要数据和公民个人信息流向境外。二是制定数据入境规则，促进本国数据产业发展。目前我国相关法律制度聚焦于数据出境管理，对于数据入境并没有规定。数据产业的发展必然要求越来越多的企业走出去参与国际竞争。面对他国的数据安全和个人信息保护法律要求，确保入境数据的安全，将吸引更多的数据流向我国。为此，应建立相应的数据入境安全制度，指导企业做好相应合规工作。三是建立数据认证机制，完善数据要素市场规则。数据产业的发展离不开配套机制。面对海量的数据，单靠政府部门的监管无异于杯水车薪。为了保障数据跨境的高效、安全，相应的数据安全认证机制不可或缺，相关经验也将为境内数据活动和数据要素市场的完善提供有力支持。

打造浦东数据跨境自由港，将不仅是中国数据跨境管理制度的有益探索，也将为全球数据跨境治理提供“中国方案”。

（作者系上海师范大学法政学院副教授）

编辑：黄灵  yeshzhwu@foxmail.com