蒋旭栋 周士新

作为当前全球数字经济发展最快的地区之一，东南亚六国(1)谷歌和淡马锡于2016年推出名为 e-Conomy SEA研究项目，对东南亚六国进行了统计，结果分别是：越南、泰国、菲律宾、马来西亚、新加坡、印度尼西亚。参见：Google, Temasek and Bain & Company. e-Conomy SEA 2020[EB/OL].(2020-11-10)[2021-09-20]. https://www.bain.com/globalassets/noindex/2020/e_conomy_sea_2020_report.pdf.仅在2020年就新增互联网用户数4000万，用户总量从2015年的2.5亿增长到4亿，已有70%的人口成为网民。其中，越南和印度尼西亚的数字经济以两位数的速度快速增长。据估算，到2025年，东南亚数字经济总额将超过3000亿美元。 与此同时，与数字经济规模扩大相伴而生的是东盟国家数据保护需求的增加。因而，东盟的数据保护制度从2016开始也经历了从无到有、从简到繁、制度化水平不断提升的过程。2021年1月底，东盟发布《东盟数字总体规划2025》(2)ASEAN Secretariat. ASEAN Digital Masterplan 2025[EB/OL]. (2021-08-01)[2022-05-12]. https://asean.org/wp-content/uploads/2021/08/ASEAN-Digital-Masterplan-2025.pdf.(以下简称《2025规划》)及配套的《东盟数据管理框架》(ASEAN Data Management Framework，DMF)(3)ASEAN Secretariat. ASEAN Data Management Framework[EB/OL]. (2021-01-15)[2022-05-12]. https://asean.org/wp-content/uploads/2-ASEAN-Data-Management-Framework_Final.pdf.和《数据跨境流动合同范本》(Model Contractual Clauses for Cross Border Data Flows, MCC，以下简称《合同范本》)，(4)ASEAN Secretariat. ASEAN Model Contractual Clauses for Cross Border Data Flows[EB/OL]. (2021-01-13)[2022-05-13]. https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf.标志着东盟一体化的数据保护制度开始从规划落到实处。

但是，东盟在构建一体化的数据保护制度过程中，也面临制度复杂性的冲击，具体表现为三个相互交叠的问题：一是东盟成员国之间数字经济发展不均衡导致各国对利益与安全的认知不同，相互间的制度需求不能完全匹配，分歧有待弥合；二是域外制度对东盟的诱导性影响，即美欧在数据制度领域的强势地位与东盟追求的“中心地位”之间存在矛盾；三是东盟数据制度一体化进程中面临平衡性难题，特别是数据保护制度如何在数据本地化与自由流动之间作出符合东盟整体利益的政策取舍(trade-offs)，如何平衡经济发展与数据安全的关系，以及如何摆脱现有国际制度的路径依赖从而形成有自身特点的制度创新等，都在考验着东盟制度建设者的智慧。鉴于此，上述三者构成的制度复杂性挑战，已成为东盟在一体化过程中建设数据保护制度时必须妥善处理的问题。

一、数据保护的制度复杂性特征

21世纪以来，针对安全、经贸、气候、能源等一系列全球治理领域出现的各类功能相似且相互重叠的国际制度，国际制度研究开始超越以往仅关注国家与国际制度关系的范畴，转向了国际制度间(inter-institutions)层面研究。(5)孔凡伟. 制度互动研究——国际制度研究的新领域[J].国际观察，2009(3)：44-50.另外，随着各类国际制度间的互动增加，“制度过剩”“制度竞争”“制度竞合”等现象愈发受到学界的重视，各类制度相互交叠、嵌套而形成的制度复杂性成为备受关注的研究议题。如今，为了因应技术进步与数字经济的不断发展，各主要国家都在积极建设并推广以自身利益为导向的国际数据保护制度，亦在形态与功能上形成制度间的相互交叠与嵌套，进而逐渐催生了数据治理领域的制度复杂性。

(一)制度复杂性的概念逻辑

二战后，全球各种国际组织、各类国际制度、各个国际标准如雨后春笋般涌现出来，引发了不同规则之间的冲突与竞争。国际关系学者将由诸多重叠的、非等级的、管理某一特定问题或领域的制度界定为“机制复合体”(regime complex)，并进而将相互嵌套、部分重叠和平行的国际制度不按等级排列的现象(6)K. J. Alter and S. Meunier-Aitsahalia. The Politics of Regime Complexity[J]. Perspectives on Politics，2007，7(1)：13.称为“制度复杂性”(regime complexity)。由是可见，学者往往首先注意各类不同国际制度交错而成的形态，根据不同形态的表现形式给予“制度复杂性”以特殊定位。自20世纪90年代以来，国际关系学者不断完善“制度复杂性”的内涵。例如，罗伯特·基欧汉与戴维·维克托认为，制度复杂性可以定义为“专门的、相对较窄的机制联系，缺乏总体的结构或构建整套的等级”。(7)Robert O. Keohane and David G.Victor. The Regime Complex for Climate Change[J]. Perspectives on Politics，2011，9(1)：8.制度复杂性的核心是各种不同组织如何在国际治理方面建立起相互重叠和相互竞争的权力主张。更为重要的是，机构和规则之间没有等级之分是制度复合体的关键特征。这一特征推动了制度复合体的战略互动。(8)Karen J.Alter and Kal Raustiala. The Rise of International Regime Complexity[J]. Annual Review of Law and Social Science，2018(10)：332.

另一方面，制度复杂性也会强化国际制度的有效性，从而更好地融合各方利益与偏好，减少制度壁垒，加速资源整合，有利于形成一个良性竞争与交融的环境。这类制度复杂性的正面效应在东亚地区的制度演进过程中体现得较为明显。东亚地区存在各种相互交织、功能重叠的国际制度，形成了较为明显的制度复杂性特征。正是这一点为东亚地区国家相互间的协调提供了平台，使其能够达成可行的协议安排，从而提升了制度资源的利用效率。(11)王明国. 国际制度复杂性与东亚一体化进程[J]. 当代亚太，2013(1)：29.例如，在“澜湄合作”问题上，即便是在“制度拥堵”的背景下，制度复杂性也为“新来者”或“迟到者”提供了正向激励的制度竞合(co-opetition)环境，切实降低了各参与方的合作成本，实现了高效的地区治理。(12)卢光盛,金珍.超越拥堵——澜湄合作机制的发展路径探析[J]. 世界经济与政治，2020(7)：97-119.

简言之，从形态上看，制度复杂性是对各类国际制度在某一时期相互交叠的一种静态特征的描述，其本身并不具有绝对的指向性。从功能性的视角看，制度复杂性有双重效应，既可能加剧国际制度间的碎片化，也可能促进其一体化，最终走势取决于不同国际制度背后主导国的协调努力及其利益考虑。

(二)国际数据保护制度的制度复杂性特征

近年来，以网络空间安全治理为代表的新兴领域的国际制度安排层出不穷，其制度复杂性特征明显。约瑟夫·奈使用网络制度复合体(the cyber regime complex)的概念来描述当前网络空间治理状态。他认为，网络制度复合体是介于一个单一且一致性的法律框架和一个完全碎片化的规范性框架之间的状态，它可能一直发生演变，在不同的子议题领域中以不同的速度演进——在深度方面，或者在宽度和履约度方面，其进程有些会进步，有些会退步。(13)Joseph S.Nye. The Regime Complex for Managing Global Cyber Activities[R]. The Global Commission on Internet Governance，2014(5): 9.与此相应，在网络空间安全的数据治理领域，各类新兴的国际制度展现出了较为明显的制度复杂性特征，具体表现在以下三个方面：

一是密度增加。近年来，各国对数据保护的重视程度大幅提升，逐步建立起了不同类型的监管措施来维护数字经济的平稳发展。根据联合国贸发会2020年的调查数据，全球66%的国家制定了有关数据和隐私的立法，其中欧洲国家占比为96%，美洲为69%，亚洲和太平洋地区为57%，非洲为50%。(14)联合国贸发组织. 全球仍有三分之一的国家/地区未立法保护网络数据和隐私[EB/OL]. (2020-04-29)[2022-05-16]. https://news.un.org/zh/story/2020/04/1056222.值得注意的是，数据治理中的域外适用正呈扩张趋势。由于数据始终处于广泛的跨境流动中，数据治理必然超越传统意义上的主权范畴，各国纷纷立法立规，强调数据监管的域外适用性。其中，美国的《澄清境外数据明确法》(CLOUD法案)就特别强调其对数据司法调查的长臂管辖权，欧盟《通用数据保护条例》(GDPR)和中国的《个人信息保护法》对各自的域外管辖权也有专门规定。因此，域外使用的存在致使数据保护在不同法域之间相互影响，进而让个人及企业的数据合规变得错综复杂。

二是非等级制。作为一个新兴的国际制度领域，各国对于如何构建国内数据制度尚在摸索与试错之中，对国际间的制度形态共识更少，故而都在努力推进相互平行的数据治理制度或倡议。2019年G20大阪峰会日本提出的“可信数据自由流动倡议”(DFFT)(15)G7 Information Centre. G7 Roadmap for Cooperation on Data Free Flow with Trust[EB/OL]. (2021-04-28)[2022-05-16]. https://www.internetjurisdiction.net/uploads/pdfs/Roadmap_for_cooperation_on_Data_Free_Flow_with_Trust.pdf.和2020年中国提出的“全球数据安全倡议”(16)中国政府网. 全球数据安全倡议[EB/OL]. (2020-09-08)[2022-05-17]. http://www.gov.cn/xinwen/2020-09/08/content_5541579.htm.等，都强调各方应求同存异，实现互利共赢和共同发展。与此同时，各方在数据制度领域相互竞合，逐渐形成了“小集团竞争”的发展态势，竞争趋势增强。目前，世界主要国家正借助各类国际组织推广自身的数据规则范式。其中的大部分范式先由美、欧等具有核心影响力的国家(地区)先行发起并在小范围内达成协议，而后再推广至其他国家和地区。例如，美国等西方国家为把WTO数字贸易改革引向对其有利的模式，积极推动建立西方数据流动治理范式，路径是先由美欧日举行闭门会议，然后三方发出联合声明，再通过G7、G20等平台宣扬其数据治理的主张。

三是相互嵌套。这一特征在数字贸易规则中表现得尤为明显。据统计，在2010年至2020年的数字贸易谈判中，约有287项谈判涉及数据的使用、流动和存储(17)Angelina Fisher & Thomas Streinz. Confronting Data Inequality[EB/OL]. (2021-01-12)[2022-05-18]. https://www.iilj.org/wp-content/uploads/2021/04/Fisher-Streinz-Confronting-Data-Inequality-IILJ-Working-Paper-2021_1.pdf.，各国(地区)在数据存储是否应强制本地化、如何定义“监管例外”和“公共安全例外”、其衍生出的“数字产品的非歧视待遇”“源代码保护”等问题上因利益不同，无法形成共识且争执不断。美国为促进数据更自由地流动，试图将自身的数据规则嵌入《跨太平洋伙伴关系协定》(TPP)、《美墨加协定》(USMCA)、《美日数字贸易协定》(DTA)，为此删除了上述协定中的数据本地化例外条款。然而，《区域全面经济伙伴关系协定》(RCEP)与《数字经济伙伴关系协定》(DEPA)却保留了“公共安全例外”条款，为数据本地化留下余地。考虑到《全面与进步跨太平洋伙伴关系协定》(CPTPP)与RCEP成员国有重合，如何在不同贸易协定下合规地处理数据就成为各国贸易谈判的重点，各国都期望避免“意大利面条碗”效应阻滞数据流动。

值得关注的是，全球数据治理的复杂性提升了数据跨境治理制度形成的难度。从制度的密度上看，虽然CPTPP、DEPA等多边贸易协定对数据传输、存储、安全等的规定日渐成熟，但是，不同规则间的冲突仍在不断显现，这显示数据规则远未达到如关税、气候、能源、劳工等传统国际制度领域的成熟度。换言之，国际数据制度虽然在理念、规则、规范、标准等领域的复杂性较十年前有了较大程度的提升，但尚未形成一个能真实运作的“复合行为体”。此外，数据跨境治理具有非常明显的特殊性，至少涉及国家主权与个人隐私这两个难以让渡的国家与个人权利问题。约瑟夫·奈认为，隐私保护领域和网络领域没有直接的关系(18)Angelina Fisher & Thomas Streinz. Confronting Data Inequality[EB/OL]. (2021-01-12)[2022-05-18]. https://www.iilj.org/wp-content/uploads/2021/04/Fisher-Streinz-Confronting-Data-Inequality-IILJ-Working-Paper-2021_1.pdf.，但隐私保护恰恰是数据跨境治理中的核心议题之一。因此，鉴于学术界对数据制度领域是否存在“制度复合体”尚无定论，以及为避免概念上的争议，本文在论述过程中直接使用“制度复杂性”的概念进行论述。

二、东盟数据保护制度的复杂性挑战

数据保护是一个复杂议题，相关制度建设会受到来自各方面的影响。从东盟的实际情况来看，数据保护制度复杂性主要受内外双重碎片化的影响：一方面是东盟成员国数据保护制度的碎片化。东盟成员国对建设何种数据保护制度并无共识，皆依其自身国家利益与政治文化习惯进行数据保护立法；另一方面是国际数据保护制度的碎片化。美国、欧盟等东盟域外行为体都在试图将自己的数据保护制度扩散为一种国际规范，影响东盟的数据保护制度构建。上述内外两方面的制度碎片化，合力构成了东盟数据保护制度复杂性的基本形态。

(一)东盟成员国数据保护制度的碎片化

东盟成员国推进国内数据保护立法的进展不一，数据保护制度碎片化程度较为严重。根据是否有专门的数据立法、是否设立独立的数据保护委员会、是否积极同其他国际数据机制对接，东盟国家的数据保护制度大致可以分为三类(见表1)：

表1 东南亚主要国家的个人信息保护法

(续表)

第一类：严格的数据本地化。越南与印度尼西亚对数据跨境流动采取强监管政策，在境内通过专门法律规范数据行为，但不设独立的数据监管机构，对与其他的数据规则对接也比较谨慎。越南和印尼的数据立法进度之所以比新加坡、泰国等国慢，并非全部是经济原因，而是因为两国政治制度与意识形态对外部“威胁”更加敏感。

越南公安部在2021年2月发布《个人信息保护法(草案)》。(19)Giang Thi Huong Tran & Waewpen Piemwichai. Update on Vietnam’s Draft Decree on Personal Data Protection[EB/OL]. (2021-02-09)[2022-05-17].https://www.tilleke.com/wp-content/uploads/2021/12/Tilleke_Vietnam_PDPD_Update_Dec2021-1.pdf.该草案超越了原本的《网络信息安全法》(CyberInformationSecurity)仅限于处理网络商业交易中的个人信息的规定，开始明确由一部法律来整合国内政出多门的数据监管局面。这或许受到了中国国内监管制度的影响，但不同的是，越南的数据立法明确了数据出境的监管机构，即公安部下属的“个人数据保护委员会”，并规定如需数据出境，数据处理者或控制者需向越南公安部个人数据保护委员会提交书面申请，经批准后才可传输。从这个意义上讲，越南数据监管立法介于中、欧之间，取两方所长。与越南的数据立法进程类似，印度尼西亚于2022年9月20日审议通过了《个人数据保护法》，较最初提出时的草案增加了4条，对个人数据的类型、数据主体权利、数据处理、违法者的处罚等都进行了明确规定。从法案文本来看，印度尼西亚的标准比越南更加严格，数据流动需经数据主体同意，禁止转让个人数据，并且特别强调个人数据转移到印度尼西亚以外的那些国家或地区需具备同等的个人数据保护标准或水平。

第二类：有限的数据本地化。新加坡、马来西亚、菲律宾、泰国和老挝采取的是有限的数据本地化措施。这些国家较早通过了数据立法，设立了独立的个人数据保护委员会，积极与其他国家(地区)的数据规则进行对接。马来西亚(2010年)、新加坡(2012年)、菲律宾(2012年)、老挝(2017年)和泰国(2019年)先后出台了符合自身国情的数据保护规定，并持续追踪中美欧等国家(地区)的数据规则变化，不断根据国际数据规则的变化及数字经济的最新发展状况，修订数据立法。综合来看，上述四国数据监管政策呈现出以下四个方面的主要特征：一是借鉴了欧盟《通用数据保护条例》(GDPR)中“充分性保护”制度以及对等保护的要求，设立了符合自身利益的“充分性保护”的“白名单”制度，要求海外的数据接收方“提供同等水平的保护”来保障数据流动的安全性。二是设置独立的个人数据保护委员会，就数据立法与安保工作专司其责，从而避免行政整体架构与执法程序上的模糊。三是积极参与国际合作，探索与美欧数据保护规则的融合之路。菲律宾与新加坡已相继加入亚太跨境隐私规则体系(CBPRs)，新加坡在2019年与欧盟缔结了自由贸易协定，推动共同标准下的数据保护合作。四是结合自身国情，探索符合国情的制度创新。例如，新加坡信息通信和媒体发展局(IMDA)推出了数据保护信托标志(DPTM)认证，从而建立起企业间的信任机制，简化了企业间的数据跨界流程。(20)IMDA. Data Protection Trustmark Certification[EB/OL]. (2021-12-03)[2022-05-10]. https://www.imda.gov.sg/programme-listing/data-protection-trustmark-certification.马来西亚数据保护委员会曾在2017年拟建立一个“白名单”制度(21)DLA Piper. Transfer of Personal Data to Places outside Malaysia[EB/OL]. (2021-11-17)[2022-05-16]. https://www.dlapiperdataprotection.com/index.html?t=transfer&c=MY.，以规范与美国、澳大利亚、中国、日本、菲律宾、新加坡、韩国等国的数据传输。

第三类：制度构建尚在进行中。柬埔寨、文莱和缅甸目前尚未颁布相关立法，对数据跨境规则暂未作特别规定，也没有独立的数据保护机构。当然，尽管上述国家尚未颁布任何全面的数据保护法规，但是并不等于其没有采取数据保护措施，很多有关数据保护监管的措施包含在其他法律之中。例如，柬埔寨有关数据保护制度建设的最新进展体现在《电子商务法》中，重点在于保护电子通信过程中消费者的数据。缅甸的情况与柬埔寨类似，没有独立的数据保护法，其信息保护的内容散见于《电子交易法》(2021年修正案)、《金融机构法》(2016年)等相关法律法规中。值得注意的是，文莱的情况正在发生变化。文莱于2021年5月发布《关于保障文莱个人信息的公开征询文件》，随后在当年发布了《个人资料保障令》。可见，随着世界各国对数据保护与相关贸易规则的重视，文莱也在积极追赶，完善保护个人信息收集、处理与传输的规定。

总体来看，东盟成员国各自数据保护制度的发展，看似各自为政、相互孤立，实则是互相纠缠、相互影响，其主轴在于两点：一是努力探索最适合自身数字经济发展的制度，必要时可以效仿国际先进模式。二是保护自身数据主权，即便是被国际社会认为最为开放、自由的新加坡，亦在汲取欧盟“技术主权”的基础上坚守对数据资源的自主可控。

(二)域外制度的碎片化

制度与规范的扩溢一直是国际关系研究中的主要议题，中美欧等行为体的数据保护制度对东盟制度构建的影响不容小觑。从具体内容和影响方式上看，主要体现在以下两方面：

第一，利用法律和具有可操作性的贸易协定等作为推进数据治理的工具。(22)Matthew P. Goodman. Governing Data in the Asia-Pacific[EB/OL]. (2021-04-21)[2022-05-26]. https://www.csis.org/analysis/governing-data-asia-pacific.国家间一旦通过了数字贸易协定，即表示认可其中的数据流动条款，从而确保了部分数据保护制度不会异化成贸易壁垒，保障了缔约国之间在数据议题上享有非歧视待遇。(23)Robert Holleyman. Data governance and Trade: The Asia-Pacific Leads the Way [EB/OL]. (2021-01-09)[2022-05-16]. https://www.nbr.org/publication/data-governance-and-trade-the-asia-pacific-leads-the-way.因此，数字贸易协定成为推动东盟国家数据机制一体化的重要外部因素。当前，东盟国家参与的主要贸易协定有CPTPP、RCEP、DEPA等，上述贸易协定的形式相互叠加，功能也有重合，形成了较为明显的嵌套结构。值得注意的是，尽管上述贸易协定在关税削减、知识产权与原产地规则等功能性需求方面存在诸多差异，但是在数据保护规则上却有较多的相似性，大多继承了TPP谈判的核心理念，主要有：(1)对数据本地化进行一定程度的限制，不得将数据本地存储作为企业经营的前置条件；(2)认可各国法律法规保护数据的举措。客观而言，TPP针对限制数据本地化的条款是一种妥协，它既希望能在多边框架中鼓励数据流动，又试图能够早日获得各国政府的支持，所以在促进数据流动的措辞上显得模棱两可。因此，有学者认为，与GATS的一般例外相比，TPP更为模糊，这或许有助于缔约方达成协议，但必然会牺牲法律的确定性。(24)彭岳. 贸易规制视域下数据隐私保护的冲突与解决[J]. 比较法研究, 2018(4)：186.然而，不可否认的是，多边框架下的有限妥协本身也是一种进步，它推进了数据保护规则的制定从主权国家内部走向国际社会，开启了国家间制度相互对接的进程。

当然，尽管贸易协定对推动一体化的数据保护规则演进有诸多优点，但其缺陷也很明显，主要有两点：一是美国的自利性；二是贸易协定本身具有双重性，即一方面要促进相关方之间的数据流动，另一方面也有助于那些制度不完善的国家利用多边机制完善本国的数据保护制度。对美国而言，一个法律界定相对模糊和规范宽松的贸易协定，更有利于数据流向技术先进的美国，从而更好地服务于美国数字经济。美国前总统巴拉克·奥巴马(Barack Obama)曾希望将TPP打造为一个促进跨境数据流动、限制数字保护主义的样板。他称，“TPP将有助于保护开放的互联网，防止其巴尔干化，也避免在分裂的互联网生态中数据流动更昂贵，更频繁地被屏蔽。”(25)Susan Ariel Aaronson. What Does TPP Mean for the Open Internet? [EB/OL]. (2015-11-16)[2022-05-26]. https://www2.gwu.edu/～iiep/assets/docs/papers/TPP%20Policy%20Brief%20EDIT.pdf.但是，一个“美式标准”的数据流动规则并不符合东盟国家的利益。数据作为数字经济发展的生产要素与战略资源，一旦在“美式标准”下被引导流向美国，就等于东盟国家自动放弃了自主开发和利用数据要素的产业链，将数据产品的供应全面委托于美国。这不仅威胁国家的供应链安全，也会威胁国家的政治与社会安全。对主权国家来说，安全利益往往被置于经济利益之上。贸易协定中的数据保护规则一旦触及国家数据安全的底线，就会处处碰壁。即便自由贸易有助于东盟国家发挥其产业优势，但他们绝不会放弃数据安全。

第二，推进域外不同数据规则倡议的“相互嵌套”。国际政治中的制度复杂性往往表现出三种特征，即 “平行”“重叠”与“嵌套”。(26)Karen J. Alter and Sophie Meunier. The Politics of International Regime Complexity[J]. Perspectives on Politics，2009，7(1)：13-24.其中，“嵌套式制度”往往最为常见。在“嵌套式制度”下，国际制度的互动侧重于两个制度之间的衔接，解决具体问题的制度被置于更广泛的框架中，但并不影响其各自的独立性。(27)王涛，杨影淇. 嵌套式机制与跨界河流合作机制有效性[J]. 世界经济与政治，2021(1)：132.目前来看，中国发起的“全球数据安全倡议”、美国主导的“跨境隐私保护规则”(CBPR)、日本力推的“可信数据流动倡议”(DFFT)，以及欧盟已实施的“通用数据保护条例”(GDPR)等都在规范层面影响着东盟国家数据跨境治理及其一体化进程。从影响力的大小排序来看，GDPR最强，CBPR次之，中日两国力推的倡议靠后。

GDPR影响力最大的主要原因是其为一部已经实施的多边性法律文件。在“布鲁塞尔效应”(28)布鲁塞尔效应是指欧盟凭借市场力量单方面监管全球市场的能力，在无需诉诸国际机构或寻求欧盟外国家合作的情况下，仅凭自身市场力量就足以将欧盟标准转换为全球标准。的影响下，欧盟的GDPR成为很多东盟国家数据立法的样板，例如新加坡在修订新版《个人数据保护法令》时，就大幅参照了GDPR中的内容。当然，泰国、菲律宾、马来西亚甚至是越南，也借鉴了GDPR来修订或增补数据保护法律。欧盟的市场体量迫使东盟国家企业在进入欧盟市场时，必须满足GDPR的合规要求。即便没有实体业务，但只要涉及向欧盟民众提供数据的服务，皆需受GDPR的管辖。(29)Kovin Stone. GDPR a Challenge for Asian Companies[EB/OL]. (2017-11-08)[2022-05-26]. https://law.asia/gdpr-challenge-asian-companies/.一些国际知名律师认为，GDPR形成的真正的压力并非来源于监管机构，而是与欧洲有业务往来的亚洲企业，它们对即将面临的欧盟管制感到恐惧。(30)Sam. The GDPR’s Likely Impact on Asian Organizations[EB/OL]. (2017-09-27)[2022-05-26]. https://iapp.org/news/a/the-gdprs-likely-impact-on-asian-organizations/.更为重要的是，欧盟的终极目标是要建立一个统一的数据市场，在全球数字化转型浪潮中占据一席之地。这恰恰与东盟的战略诉求存在相通之处，GDPR给了东盟效仿和学习的机会。

相较于GDPR的实效优势，美国主导的CBPR具有先发优势。自2011年起，美国就积极倡议将亚太跨境隐私保护规则作为东盟数据治理规则的样板，但成效一般。截至目前，东盟国家中只有菲律宾加入。(31)美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中国台湾地区和菲律宾已加入CBPR。尽管美国一直将CBPR包装成“轻监管、重标准”的商业运作范式，美国商务部官员泰德·德安(Ted Dean)曾言，“CBPR通过提供自愿但可执行的隐私保护标准，建立消费者、企业和监管机构对美国和整个亚太地区企业所依赖的数据流的信任”。(32)International Trade Administration. The APEC Cross-Border Privacy Rules: Advancing Privacy and Digital Trade in Asia[EB/OL]. (2016-11-29)[2022-05-10]. https://blog.trade.gov/2016/11/29/the-apec-cross-border-privacy-rules-advancing-privacy-and-digital-trade-in-asia/.而且，从监管力度上讲，一旦成为CBPR的成员国，其企业就有机会得到代理机构的“认证”。认证企业之间个人信息跨境传输将不受阻碍，即认证企业无需额外证明跨境信息传输符合他国或地区的个人信息保护法，且后者也不得以保护个人信息为由阻碍信息的跨境流动。(33)依照CBPR “政策、规则和指南”规定，认证企业仍需遵守成员国当地法律法规，如成员国的当地法使该成员参加CBPR的能力受到排除或限制，则成员国(地区)需考虑对相关法律法规进行修改。实践中，日本在加入CBPR前修改了《个人信息保护法》，将CBPR归为允许个人信息跨境流动的情形之一。参见洪延青.看清APEC“跨境隐私保护规则”体系背后的政治和经济[EB/OL].(2018-02-01)[2022-08-21].http://www.dgcs-research.net/a/xueshuguandian/2018/0201/99.html.表面上看，CBPR不像GDPR那般高标准，对数据本地化也并未作高不可攀的限制，但是一旦执行，美国将凭借其技术、算法与数字企业的垄断优势，引导数据向美国流动，巩固美国的数据霸权地位。这也是东盟国家宁愿选择学习GDPR，也不愿积极加入CBPR的原因。

相对美欧对东盟地区的强势影响，中国的《全球数据安全倡议》和日本的《可信数据自由流动倡议》(DFFT)尚在机制化进程中，不过，影响力正在不断提升。尽管日本在2019年G20大阪峰会上提出的DFFT获多数G20成员国认可，其在发达经济体中的知名度稍高于中国，但在会议现场，印度、南非和印度尼西亚等国领导人并未签字，明确表示DFFT不利于本国的数字经济发展。相比而言，尽管中国所提出的《全球数据安全倡议》最晚，但最符合发展中国家的利益。目前，中国已经同阿拉伯国家签署了《中阿数据安全合作倡议》，同中亚国家签署了《“中国+中亚五国”数据安全合作倡议》。中方支持多边主义，兼顾安全发展，坚守公平正义，在联合国等国际组织框架下积极保障数据安全，制定符合发展中国家利益的国际数据治理规范。上述工作正不断取得新突破。东盟在中方发起《全球数据安全倡议》之初，就对中方予以正面表态并积极响应。在菲律宾担任中国-东盟协调国期间，其外长小特奥多罗·洛钦(Teodoro Locsin Jr.)曾代表东盟表示，“中国提出的《全球数据安全倡议》反映了各国共同关切，东盟各国高度重视。信息安全对包括东盟在内的各国未来发展至关重要，东盟愿同中方加强全球数字治理、网络安全合作”。(34)新华社. 国际社会点赞中国全球数据安全倡议[EB/OL]. (2020-09-10)[2022-05-06]. http://www.gov.cn/xinwen/2020-09/10/content_5542394.htm.

三、东盟数据保护制度的一体化演进

东盟内外数据保护制度的双重碎片化催生了制度复杂性，导致其在数据保护方面的功能性缺失。鉴于此，东盟采取了“一体化”的策略来弥合不同制度间的分歧，进而达成共识，形成规范，主动引导制度复杂性从一个中间状态转向“一体化”进程，以阻止内外双重碎片化的制度形态在复杂性的刺激下变得更加碎片化。

(一)东盟数据保护制度的演进过程

东盟数据保护制度的建设进程，既反映了其成员国的发展诉求，也体现了其主动对其他国家(地区)模式的回应与效仿，以及更为关键的是，反映出其作为具有国际法人地位的地区组织的能动性。东盟努力弥合各成员国较为分散的数据保护制度，构建一个整体性的地区数据治理机制，推动更高水平的数据互联互通。此外，东盟在积极维护其中心地位的基础上，尝试改善因域外各类不同数据规则重叠导致的“意大利面条碗效应”，努力取长补短、融会贯通、变革创新、提升效率。也就是说，东盟在构建数据保护制度的过程中，并不求一步到位，也不像欧盟那般直接构筑框架性的法律制度，而是采取“自下而上”、由简到难、分阶段、渐进性的方式稳步推进。

第一阶段：循序渐进，确立共识。2015年11月21日，在第27届东盟峰会上通过的《吉隆坡宣言》(35)Kuala Lumpur. Chairman’s Statement of 27th ASEAN Summit[EB/OL]. (2015-11-21)[2022-05-29]. https://asean.org/wp-content/uploads/2015/12/Final-Chairmans-Statement-of-27th-ASEAN-Summit-25-November-2015.pdf.呼吁建立一个全面的个人数据保护框架。同年，东盟电信部长会议上通过了《东盟信息通信技术总体规划2020》(36)ASEAN Secretariat. Final Review of ASEAN ICT Masterplan 2020[EB/OL]. (2015)[2022-05-20], https://www.asean.org/wp-content/uploads/images/2015/November/ICT/15b%20--%20AIM%202020_Publication_Final.pdf.，就加强制定个人数据保护框架提出了进一步的倡议。2018年，东盟批准了《东盟数字一体化框架》，作为东盟数字经济合作的指导性文件。为全面落实该文件，东盟于2019年制定了《〈东盟数字一体化框架〉行动计划2019—2025》。其中，为加强数据保护与治理，支持数字经济发展，东盟配套制定了《东盟个人数据保护框架》和《东盟数字数据治理框架》等文件。上述文件是东盟数字数据治理和隐私监管的基础性文件，并为其成员国的国内数据立法提供了指南。

第二阶段：搭建平台，建立机制。2019年8月，在泰国举行的首届“东盟隐私与数据保护论坛”(ASEAN Data Protection and Privacy Forum)上，与会各方充分交换意见，共同讨论了有关数据保护、隐私法规和其他举措的区域问题，探讨共同制定东盟数字数据治理机制。来自菲律宾的主持人雷蒙德(Raymund Liboro)在致辞中阐明了东盟的努力方向，即“共同努力，确保每个人的数据都能在日新月异的数字世界中得到保护；确保每个人都能从数字经济中受益，没有人被落下。这就是东盟方式。”“整个地区负责任的数据管理将保护并惠及我们所有的公民，会提升地区整体的竞争力。”(37)Rappler. Philippines Helms 1st ASEAN Data Protection and Privacy Forum[EB/OL]. (2019-08-22)[2022-05-29]. https://rappler.com/technology/philippines-helms-first-asean-data-protection-privacy-forum.同年10月，第19届东盟电信部长会议通过了《东盟数据跨境流动机制的关键方法》，明确了东盟数据跨境流动机制的指导原则与基本路径。基本路径采取“双轨制”：一是与国际规则接轨；二是与成员国国内标准接轨。为了能够让这套双轨制具有可操作性，东盟采取“认证”的办法，通过成立一个数据保护机构，管理认证监管与发放体系。东盟认证机构将构建执法合作框架，加强对数据保护的管理。数据保护制度尚不健全的东盟国家，可以先借鉴《欧盟标准合同》(SCCs)的方式优先满足商业需求，待其法律制度完善后，再纳入东盟的认证体制。为保障上述系统的运行，东盟还将建立相关工作组，制定东盟认证机构的细节，用作标准示范的合同条款、操作指南等。(38)ADGMIN. Asean Data Management Framework and Asean Cross Border Data Flows Mechanism[EB/OL].(2021-01)[2022-06-11]. https://asean.org/wp-content/uploads/2021/08/Implementing-Guidelines-for-ASEAN-Data-Management-Framework-and-Cross-Border-Data Flows.pdf#:～:text=The%20Key%20Approaches%20for%20the%20ASEAN%20Cross%20Border,and%20ASEAN%20Certification%20for%20Cross%20Border%20Data%20Flows.

2020年8月，东盟发布了《互联互通总体规划2025》。为增强数据治理能力，加快数据治理机制的落实，该文件提出了一个“三步走战略”(39)ASEAN Secretariat. Master Plan on ASEAN Connectivity 2025[EB/OL]. (2016-08)[2022-06-12]. https://asean.org/wp-content/uploads/2021/08/8_compressed.pdf.：第一步，明确东盟各成员国的数据管理办法与需求；第二步，设立东盟数据治理论坛，让各成员国分享经验，并在此平台上进行政策沟通与协调；第三步，在充分了解成员国需求与困难后，逐步建立东盟数字数据治理的基本框架。

第三阶段：制度保障，加速推进。东盟数字部长在举行系列会议后，于2021年通过了《东盟数字总体规划2025》(以下简称《2025规划》)，以取代旧版的《东盟信息通信技术总体规划2020》。《2025规划》为东盟2021—2025年的数字经济发展提供了总体框架与路线图，旨在加快东盟数字化转型进程，将东盟建设成一个更具包容性的数字经济体。在这种情况下，建立一体化的数据保护制度就显得更加重要，东盟也将降低数据跨境流动障碍，把数字市场发展列为优先事项。(40)ASEAN Secretariat. ASEAN Digital Masterplan 2025[EB/OL]. (2021-08)[2022-06-12]. https://asean.org/wp-content/uploads/2021/08/ASEAN-Digital-Masterplan-2025.pdf.与此同时，作为配套措施，东盟发布了《数据管理框架》和《合同范本》，在数据规则的约束力与互操作性上迈出了一大步。《数据管理框架》以保障数据流通“全周期”安全为宗旨，包括数据治理的主要机制、程序性文件的编制、数据清单、风险评估与监控改进等(41)ADGSOM. ASEAN Data Management Framework[EB/OL]. (2021-01)[2022-06-19]. https://asean.org/wp-content/uploads/2-ASEAN-Data-Management-Framework_Final.pdf.，给东盟国家企业提供了一份数据管理的“操作指南”，为企业数据安全建设与合规提供参考。

如果说东盟《数据管理框架》仅提供了一个宏观层面的操作样板，那么东盟《合同范本》则是提供了一份微观层面的“操作手册”，给东盟企业间的数据传输提供了法律依据，保障了企业救济机制的有效运行，使企业能在尚没有东盟统一的数据流动规则的情况下，遵守具有合规性的数据规则。同年4月，东盟发布了《〈东盟经济共同体蓝图2025〉中期审议报告》(以下简称《中期报告》)，(42)ASEAN Secretariat. Mid Term Review ASEAN Economic Community Blueprint 2025[EB/OL]. (2021-04)[2022-06-20].https://asean.org/wp-content/uploads/2021/04/mid-term-review-report.pdf.总结了东盟数据规则的发展成就，但也指出了诸多尚待完善之处。例如，许多关于数据保护的倡议仍然较“软”，主要侧重于能力建设和信息共享，缺乏实质性的约束力。为此，《中期报告》建议东盟应加快倡议的落地，确保后续行动的持续开展、执行与监督。(43)ASEAN Secretariat. Mid Term Review ASEAN Economic Community Blueprint 2025[EB/OL]. (2021-04)[2022-06-20].https://asean.org/wp-content/uploads/2021/04/mid-term-review-report.pdf.此外，如何完善监管，实现“沙盒监管”(44)沙盒监管(Regulatory Sandbox)是2015年英国金融监管局率先提出的创新监管理念，即划定一个范围，对在“盒子”里面的企业采取包容审慎的监管措施，同时杜绝将问题扩散到“盒子”外面，属于在可控的范围之内实行容错纠错机制，避免“一管就死，一放就乱”的管理困局，在保护与监管之间找到了最佳结合点。等制度创新，也是东盟今后的必修课。

(二)东盟数据保护制度一体化的特点

东盟数据保护制度一体化的进程，旨在从功能上加强制度的功效，避免碎片化造成制度撕裂。从制度复杂性的角度看，东盟数据保护制度一体化呈现出两个鲜明特点：

第一，从过程上看，东盟数据保护制度的一体化进程体现了复杂巨系统的涌现特征。涌现是复杂系统突破阈值之后的某个状态，是随着系统发展而呈现出的新特性。在由许多自组织实体或行为体(autonomous entities or agents)组成的系统中，秩序和组织的涌现是一个非常普遍的过程，其一般会涉及一个基本问题：“一个实体是如何产生的？”(45)Jochen Fromm. Types and Forms of Emergence[EB/OL]. (2005-06)[2022-06-22]. https://arxiv.org/ftp/nlin/papers/0506/0506028.pdf.东盟数据规则的实体化和更具可操作性的过程，即由无序向有序，由分散向聚合，由各国独立监管向东盟统一监管迈进的过程，而一体化规则本身就是在复杂系统中“涌现”出的新特征。“嵌套”“交叠”等形式的制度复杂性呈现出结果之前必然有一个形成的过程。然而，对这种过程的研究，恰恰是功能主义的盲点。众所周知，无论是现实主义或是自由主义，往往倾向于将已知的结构或利益看成是一种静止的状态，选择案例时倾向于选择那种时空静止的节点。然而，复杂性的研究主体必然是流动的，反复出现平衡到不平衡再到平衡的动态进程。因此，在复杂系统中产生“涌现”的基本条件是自组织状态下的动态过程。

第二，从功能性上看，东盟数据保护制度一体化尤其注重降低交易成本。以《东盟个人数据保护框架》和《东盟数字数据治理框架》为基础，东盟建立了统一的数据保护和隐私法规和框架。同时，东盟在《东盟跨境数据流动机制实施指南》的基础上，正逐步构建一套具有共识的数据流动机制，促进跨境数据流动。(46)ASEAN Secretariat. ASEAN Digital Masterplan 2025[EB/OL]. (2021-08)[2022-06-22]. https://asean.org/wp-content/uploads/2021/08/ASEAN-Digital-Masterplan-2025.pdf.更为重要的是，一个有较强内部凝聚力的数据流动机制会进一步增强东盟抵御外部数据制度选择的压力，从而提高东盟的战略自主性。从趋势上看，东盟数据治理框架会从以下三个方向进行拓展：(1)监管数字服务平台巨头，建立跨东盟立场；(2)就东盟云数据进行示范立法，内容涵盖隐私保护、访问规则等；(3)协调成员国立法，促进跨境数据传输。同时，相比欧盟的数据治理模式，东盟更重视数据治理的经济性。东盟推进的数据跨境规则一体化着眼于整合域内和域外的经济资源，通过促进数据保护标准的统一，促进商业、物流与生产要素流动的便利化。

四、东盟数据保护制度一体化演进前瞻

尽管制度复杂性往往被认为是强国用以压制弱国的工具，只有强国才具备驾驭繁杂且相互嵌套的国际制度的物质资源和专业知识能力，(47)Daniel W. Drezner, The Power and Peril of Regime Complexity[J]. Perspectives on Politics，2009，7(1)：67-68.但是制度复杂性也能给弱势国家重新设定规范和议程的机会，即增强其议价地位、提高其讨价还价的能力。跨部门战略行动的机会不仅能被资源丰富的国家利用，而且也会被资源少得多的国家分享，最终促进那些试图改变现有体制的行为体利益的实现。(48)Benjamin Faude & Thomas Gehring. Regime Complexes as Governance Systems[J]. Research Handbook on the Politics of International Law, 2015(11)：23-24.从这个意义上说，制度复杂性的形成实质上为东盟提供了介入国际数据保护制度建设平台的机会。

从机制运行层面看，东盟主动介入制度复杂性的演进过程，实质上起到了负反馈的作用，阻止了制度复杂性进一步复杂化，有利于地区制度的有序发展。一般而言，正反馈是指反馈信息与输入信号的调整方向一致，反馈信息让受控部分朝着原先活动的方向发展，起到的是系统增强的作用。在国际关系中，“多米诺骨牌”效应与“安全困境的螺旋”就是典型的正反馈机制。制度复杂性的正反馈主要体现为让原先就比较复杂的制度网络朝更加复杂的方向发展。与此相对应，负反馈是指反馈信息与输入信号的调整方向不一致，受控部分的活动朝着与它原先预想的相反方向运动，对原有系统起到抑制或削弱的作用。在国际关系中，“均势”就是一种反复发生的负反馈机制，一个崛起国家往往会受到他国抵制，不会无限扩张。在制度复杂性的演进过程中，一旦遇到负反馈，其复杂性就会受到抑制，复杂性演进的强度趋缓。因此，东盟设立一体化的数据保护制度，即在原先制度复杂性的进程中设置一个负反馈的“阀门”。

图1 东盟介入后的负反馈机制

一个较为理想的结果是，制度复杂性在受到负反馈的影响后，能扭转制度复杂性朝无序混乱的方向发展，转而朝向稳定有序的方向发展，进而形成一个良性循环，即东盟数据保护与制度复杂性相互促进、协同发展(见图1)。这主要表现为以下三个方面：

第一，负反馈引导良性的制度竞争，进而诱发制度耦合，产生兼容并蓄的效果。罗伯特·阿克塞尔罗德(Robert Axelrod)认为，即便是在长久的“一报还一报”的竞争状态下，也会诱发合作的因素，但前提是，“一报还一报”需综合善良性(不首先背叛)、报复性、宽容性(不主动连续背叛)和清晰性。报复性会使对方试着背叛一次后就不敢再背叛，宽容性有助于重新恢复合作，清晰性容易增强对方的理解，从而激发长期合作。(49)[美]阿克塞尔罗德.合作的进化[M]. 吴坚忠,译. 上海：上海人民出版社，2007：36.因此，良性竞争的前提是双方都不越界，并愿意将竞争“透明化”。这与“竞争的螺旋”有着本质的不同。它至少应该是一种竞争性多边主义( contested multilateralism)(50)朱丽亚·莫尔斯(Julia Morse)和罗伯特·基欧汉(Robert O. Keohane)将“竞争性多边主义”定义为“国家、多边组织和非国家行为体在国家战略的推动下，使用现有或新创建的多边制度来挑战现有多边制度的规则、实践或职责”的情形。参见：国际秩序的构建：历史、现在和未来[J].外交评论，2015(6)：20-26.Julia C. Morse and Robert O. Keohane. Contested multilateralism[J]. Review of International Organizations，2014，9(4)：385-412.，而非相互脱钩。从数据保护制度竞争来看，虽然当前东盟围绕数据保护的议题争议颇多，但它亦通过保持接触，增加机制耦合的接触点，创造出对多方有利的数据治理机制。

为维护和增强在地区架构中的中心地位，东盟以史为鉴，始终努力避免恶性制度竞争引发的制度间极化对抗。从历史上看，极化制度性对抗的最典型表现是美苏冷战，在军事上表现为北约与华约的竞争，在经济上表现为马歇尔计划与经互会的竞争，在东南亚表现为“分裂的地区格局”。当前，中美两国在亚太地区的数据制度竞争烈度不断增强，这将进一步影响东盟的制度选择。(51)Karen J. Alter & Kal Raustiala. The Rise of International Regime Complexity[J]. Annual Review of Law and Social Sciences，2018(06)：19.从这个角度看，东盟内部与外部的不同数据保护制度的竞争可能不会随着时间的推移而逐步达成平衡，而是随着愈发分裂的外部数据制度竞争陷入两难困境。东盟必须通过加强制度一体化阻止部分东盟国家为降低数据合规成本而选边站队，否则，该地区内将出现“制度”极化对抗现象。

第二，负反馈促进制度间的相互学习，并在相互借鉴中不断进步。制度复杂性除了给东盟国家提供选择的权利外，也可以让东盟成员国的精英们有学习机会，进而在相互借鉴、取长补短中设计更符合东盟发展的数据跨境规则。在复合相互依赖情境下，相互学习是常见现象。基欧汉提出的渐增学习(incremental learning)概念认为，国际机制在渐增学习中发挥着重要作用：一是国际机制能够改变国家官僚机构标准的运行程序；二是为次国家行为体提供了新的结盟机遇；三是为第三方提供了更多的准入渠道，通过制度内联系改变参与者的态度；四是提供了规则遵从信息，促进对他者行为的学习；五是有助于某问题与其他问题的脱钩，从而促进专业谈判团队的学习。(52)[美]罗伯特·基欧汉，约瑟夫·奈. 权力与相互依赖[M]. 门洪华,译. 北京：北京大学出版社，2012：320.随着制度复杂性不断增强，国际机制可以从外部向诸国的精英群体提供学习空间，重新塑造其利益认知。就内部因素而言，行为体自身目标定位、主要成员类型、能力建设及其规范价值，特别是同机制核心行为体的互动，是影响其在体系中嵌构程度的重要因素。对核心价值和规范的认同对行为体在体系中的资源获得及身份界定同样具有关键作用。(53)刘畅. 国际社会自发性协调与机制复合体研究——以可持续发展标准领域的机制为例[J]. 国际关系研究，2019(6)：107.

对东盟国家来说，虽然TPP从一开始就设立了一个较高标准的数据流动规则，但是在谈判的过程中，东盟政治精英逐渐接受了TPP中对数据流动的要求，并在CPTPP与RCEP中保留了相关规则。不仅如此，东盟国家还在此基础上发展出了自身的数据流通规则，并在《东盟电子商务协定》及新加坡、新西兰与智利签署的《数字经济伙伴关系协定》(DEPA)中得到贯彻。与此同时，就如同中国接受了WTO规则后改变了上千条的国内立法来适应WTO标准一样，东盟国家参与谈判并签署电子商务协定后，也要经历一个外部标准内化的过程。在加入CPTPP或RCEP后，东盟国家为确保协议生效落地实施，必然要变更国内既有法律或制定新法来满足对外交往的需要，而修法过程本身就是一个政治精英相互磋商、博弈与学习的过程，从而形成一个新的规则体系。这对内来说是新法律，对外则是东盟数据规划与管理框架。所以，制度复杂性赋予了东盟成员国政治精英学习的机会，由外而内地塑造了东盟政治精英的认知，改变了国内立法，而后再由内而外促成了当前东盟数据保护的基本框架。

第三，负反馈催生新生产要素“脱嵌”，衍生出更适合自身的发展方向。从大历史的视野来看，数据保护制度本身正在经历由“嵌入”向“脱嵌”转变的发展过程，这与波兰尼笔下的“双向运动”极为相似。卡尔·波兰尼(Karl Polanyi)在《巨变》(54)[英]卡尔·波兰尼. 巨变:当代政治与经济起源[M]. 黄树民,译. 北京：当代世界出版，2020：26-27.中提出了一种“嵌入”与“脱嵌”互动的观点。他认为，原本嵌入在社会中的“市场”一旦“脱嵌”独立出来，就会形成一种双向运动，一方面是自发调节的市场运动；另一方面是社会大众对自由市场的反对运动。类似的“双向运动”在数据跨境机制的形成过程中也可以看到。数据原本是“嵌入”在物理层面中的“技术工具”，但随着技术的不断提升，数据已经逐渐脱离其依附的文件、电脑等物理载体，转变为经济发展中的独立要素。这种独立性渐增的过程可以类比为波兰尼所谓的“脱嵌”过程。同时，原先针对数据保护制度的讨论嵌入电子商务谈判，但与数据“要素化”相伴而来的是跨境数据保护制度本身的独立性也在提升，逐步从原先的电子商务谈判子议题演变为独立的国际制度。

在东盟的电子商务谈判中，最初的数据保护问题只是其中的一个子类。例如，在CPTPP谈判过程中，数据保护与流动规则无论在谈判的优先度还是重要性上都远不如关税、劳工、环境和知识产权等议题。然而，经历RCEP多轮谈判，东盟国家对数据保护产生了新的再认识，其数字主权等自我意识也随之觉醒。因此，东盟的数据保护制度开始从附属状态下逐渐独立出来。2019年8月召开的“东盟隐私与数据保护论坛”就数据保护问题进行了专题讨论，形成了《东盟数据管理框架》与《数据跨境流动合同范本》等基础性文件。这种由“从属地位”向“独立地位”转变的特征，与波兰尼的“脱嵌”逻辑如出一辙，而独立出来的数据保护制度本身，也引起了双向运动：一方面，数据保护制度需要的资源越来越多，改变了原有的通过国家体系、分配制度，甚至个人隐私权的让渡来保护数据安全跨境流动的情况；另一方面，国家对无序数据跨境流动的抵制，引起了包括数据主权、数据本地化在内的一系列争论。最终，这种“双向运动”在矛盾的对立统一中推动数据保护治理。

五、结语

客观而言，数据保护制度建设也存在一个“不可能三角”(55)黄宁，李杨.“三难选择”下跨境数据流动规制的演进与成因[J]. 清华大学学报(哲学社会科学版)，2017(5)：182.，即“良好的数据保护”“跨境数据自由流动”和“数据保护自主权”无法同时兼顾。在此框架下，规制目标之间的平衡、参与主体之间的竞争，以及规制本身对约束力和执行力的诉求，构成了推动规制演进的三重因素，共同影响了规制演进的方向。(56)黄宁，李杨.“三难选择”下跨境数据流动规制的演进与成因[J]. 清华大学学报(哲学社会科学版)，2017(5)：182.在现实世界中，一个行为往往无法同时满足两个最优解，更不用说三个行为了。这也是中国俗语“鱼与熊掌不可兼得”的逻辑。以现代博弈论的观点来看，就是“帕累托最优”难以实现，即便能够实现也极不稳定。因此，东盟在建设一体化的数据保护制度的过程中，不得不特别关注内外规则在长期互动中形成的制度复杂性。例如，东盟与域外行为体在促进数据保护制度的互动方面呈现出非常明显的嵌套特征，同时，东盟成员国在建构自身数据保护制度，以及推动建构东盟一体化的数据保护制度方面呈现出了较为明显的自组织涌现的特征。另一方面，东盟数据保护制度的一体化本身也起到了负反馈的作用，在平抑复杂性的同时，也为东盟提供了有序稳定的制度建设环境，推动了东盟数据保护制度的完善。