文 铭，李星熠

重庆邮电大学网络空间安全与信息法学院，重庆 400060)

0 引言

2020年，中国正式确立数据作为一种新的生产要素的地位，并将其作为一种重要的战略性资源，这推动了数据的市场化配置。当前，伴随着新一轮科技革命和产业变革的快速推进，数据已与人们的生产和生活紧密地相互融合，相互交织。随着全球范围内对数据资源的竞争日趋激烈，海量数据的跨国界流动已成为一种不可避免的趋势，而日前，美国国会通过了一项基于国家安全考虑的议案，授权美国总统拜登禁止Tik Tok在全美的使用，此举无疑在全球掀起了轩然大波，同时也让人们看到了数据跨境流动背后可能存在的潜在问题。如何在数据竞争严峻的当下平衡数据安全和自由流动，如何提高国家在国际数据治理中的话语权与影响力，是国家发展数字经济必须面对的重大现实问题[1]。因此，我们需要探索和制定一系列科学、务实的政策和措施，以确保中国数字经济在国际上有更大的影响力，并且在数字时代保持领先地位。

从1998年开始，跨国界的数据流动开始受到学界关注，学者就如何解决这一问题提出了一些法律规制建议。随着国家近年对数据安全问题的日益关注，跨界数据流动的治理问题也随之出现并逐步深入。许多学者将重点放在国内规则的制定上，并在数据本地化政策以及个人隐私保护等方面展开有意义的讨论，试图对目前存在的问题进行完善，并从国际贸易的视角出发，将重点放在中国与国际条约、贸易协议的对接上。值得注意，中国跨境数据流动规制始终落后于现实需要，这是无法改变的现状，而数据自由流动的天性与对其进行规制保护是一种相互作用、动态平衡的关系，且在不断发生变化，跨境数据流动的治理问题就是这二者的博弈。只有在明晰其 “自由-规制”张力框架的基础上，才能理解其本质，从而找到治理过程中各种问题的解决方案。

1 跨境数据流动之 “自由-规制”框架分析

1.1 跨境数据流动概述

经济合作与发展组织 (OECD)将数据描述为现代数字化和全球互联世界中经济和社会互动的命脉。不论是在个人的日常生活还是企业的商业往来中，我们都离不开数据的收集、处理、存储和传输，数据的规模正在迅速增长，其范围也逐渐变得国际化。不同于传统资产，数据是非竞争性的——多方可以同时使用相同的数据而不会被耗尽，数据通常通过与其他数据结合而获得其价值，这也使得跨境数据流动在近年来变得更为重要。

关于跨境数据流，早期的定义为 “在一国内生成电子化的信息记录被他国境内的私主体或公权力机关读取、存储、使用或加工 (合称‘处理’)”。中国对跨境数据流动作出明确定义比较晚，在 《个人信息出境安全评估办法 (征求意见稿)》中，数据被界定为 “网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据，提供给位于境外的机构、组织、个人”。在当今全球联通的世界中，数据是国际贸易重要的组成部分，数据的跨境流动也对全球的互联网经济起着非常重要的作用[2]。在技术的支持下，数据联通使个人和企业能够在线传输数据，进行信息交流，分享研究成果，支持技术创新[3]。正如联合国开发计划署 (UNDP)所强调，数据流动可以在推动经济和社会发展方面发挥作用，这也是实现可持续发展目标的关键和基础。不可否认的是，跨境数据流动的实现使社会生产力显著提高，加速了技术和科技的创新发展，企业也能更好地参与国际贸易、增强其竞争力，但与此同时，它也对隐私、数据保护、知识产权和安全等相关方面提出挑战。

1.2 自由与规制的价值分析

(1)数据自由价值。

首先，基于价值实现之需。自由作为人类追求的至高理念，本能地存在于基本诉求中。联合国1966年通过的 《公民和政治权利公约》提及言论自由 “无论国界”，为信息传播的方式给出了价值基础，将跨境数据自由流动的能力归于言论自由。 《欧洲基本权利宪章》也体现出对跨境数据的自由流动持支持态度，其在第十一条 “言论自由与信息自由”第一款明确表示 “每个人都享有言论自由的权利。这一权利应该包括秉持、接收或传递某种观点、信息或理念的自由，同时这种自由不应当被当局所干涉、不应被国境所限制。”就现有多数的学术观点看，数据自由流动即是指数据控制者不受限制地将数据由一国流动到他国的状态、能力和权利，这种要求随场景而变化[4]。这种属性是天然的，作为网络 “内容层”的组成部分，数据深深嵌入网络空间的架构之中，用户也理应拥有可以在全球各地登录任何国家的网站、进入全球性的信息交流平台的自由。因此，无论是遵循人性的价值追求，还是以数据的本质属性作为出发点，数据的自由价值都应受到正确对待。

其次，源于经济增长之需。数据已经成为现如今数字贸易的重要资源，互联网产业的健康发展、信息和知识的传播更新等方面都离不开其自由流动，它是数字贸易得以存在的基础和前提[3]。加强数据获取和共享可以为数据持有者、数据用户以及更广泛的经济创造倍增的经济效益，全球化的深入发展则进一步凸显了数据流动的跨国性，全球自由市场开放促进区域和国家间的合作，只有顺从数据自由流动的本质，并在此基础上充分使用数字技术创造价值，并能极大地促进经济发展和繁荣。据麦肯锡预测，数据流动量每增加10%，将带动GDP增长0.2%，预计到2025年，全球数据流动对经济增长的贡献将达到11万亿美元；根据经济合作与发展组织 (OECD)测算，数据流动对各行业利润增长的平均促进率为10%，在数字平台、金融业等行业中可达到32%。数据自由的跨境流动将提升商业效率、产生极大的经济增长效应，其会显著地对全球经济发展的速度和效率产生正面影响，跨境数据流动变成 “每天都在发生的网络与数据处理过程中必不可少的一环，其目的则是为了获得更好的商业和经贸结果”。

中国一贯积极参与、受益和推动世界经济的全球化进程，不管是建立自贸区，还是实施 “一带一路”，始终以开放包容的态度力求推动世界贸易。在深化开放、发挥数字经济的动力作用的大背景下，支持数据自由流动应该是中国的基本立场，这也符合中国的发展需求和全球化趋势。

(2)数据规制价值。

首先，源于数据主权之需。数据主权是指一个国家对本国的信息传播系统和传播数据内容进行自主管理的权利，自2010年数据主权被提出后，我国就开始探讨传统国家主权延伸至网络空间的重要意义，坚定地捍卫数据主权[5]。习近平总书记在党的二十大报告中对于推进国家安全体系以及维护国家安全的内容作出专章论述，将捍卫国家数据主权、维护数据安全置于国家战略高度。数据具有重要的主权保护价值，关乎大数据时代的国家发展机遇与总体国家安全，关系国民经济命脉，成为激烈争夺的新资源、国家博弈的新领域。作为一个丰富、多维度的概念，数据主权涵盖经济、政治、法律、社会文化等多个领域，涉及国家政治经济生活的方方面面，随着数据跨境流动所带来的巨大利益，各国也纷纷出台保护自身利益的政策，争夺数据资源，数据博弈日趋白热化。因此，从主权角度来认识数据流动的规制问题就显得尤为重要。当前国家之间的鸿沟依然存在，大国与小国的数据势差也导致小国在网络空间中被利用和压制，高势位国家利用数据控制者和使用者的趋利性聚拢大量数据，导致数据资源存储和分配向数据巨头集中，对数据流出国产生了负面影响。基于此，以俄罗斯和印度为例的许多国家通过对国家数据主权的强调，确立 “边疆”，以控制国家核心数据的外流，从而维护国家对数据的管辖能力[6]。

其次，源于数据安全之需。数据跨境流动是一个涉及多个国家利益和安全问题的复杂过程，尽管数据的跨境流动成为世界贸易往来中不可或缺的关键环节和必然之势，带来了全球产业的巨大红利，但在缺乏足够的数据科技实力以及相应制度保障数据安全的情况下，也伴随着不可忽视的风险。从个人信息滥用，到数据泄露，这些风险涉及到个人隐私安全、金融信息安全、网络犯罪甚至国家安全等多个方面，数据安全问题也日益突出。数据安全是发展的前提，因此，制定相应的法律规制来管控数据跨境流动是非常必要的，这不仅是国家数据安全的需要，更是保护公民个人数据的需要，而对公民数据权利的保障也是多数国家开始进行数据跨境流动限制的初衷，通过法律法规约束以降低个人信息被非法收集的风险，也降低数据权倾于数据控制者的风险。

需要强调的是，前文所述的数据自由所带来的经济增长也只有通过合适的规制才可能最终得以实现。正如约翰洛克所说 “没有法律便也没有自由”，任何形态的市场都被某种具有合法性的框架所约束，这些法律规制的初衷是为了设定经济社会关系中的最低标准，从而维护秩序，保护公共利益和市场自由竞争的原则。规制并不是为了对数据进行限制，而是为了保护和延伸数据的自由流动，让自由概念下所包含的安全和平等能够得以维持。数据跨境需要相应的法律规制来对其管控，其所带来的价值实现与经济增长也只有通过合适的规制管控才可能最终得以实现。对于不同国家来说，跨境数据规制的正当性可能源于不同的政策目标，分别在于个人权利、国家安全、公共秩序和经济发展等多个维度。在当前尚未形成全球统一规制的背景下，我们应该关注如何制定合适的规制，既能够保证数据的安全，又能够最大程度地满足数据自由流动的需要。在这个过程中，需要保持自由与规制之间的平衡，以确保数据跨境流动能够顺利进行，同时也能够维护国家和人民的利益和安全。

1.3 “自由-规制”动态平衡框架

在网络迅猛发展的时代，网络与现实的界限变得日益模糊，现实世界可能采取的策略和做法很可能会因为即时出现的新技术而发生变化。因此，在高速变化的过程中建立适于研究跨境数据流动治理的框架充满挑战，从自由和规制的价值与关系出发，来构建合适的框架具有意义[4]。

从自由与规制的自身独立价值看，跨境数据流动中二者是息息相关、互相依存的辩证关系，相互隐含于彼此之中。可以说，若没有法律规制的参与，真正的自由将无从谈起，而规制的目的在于推动更为自由、高效的数据流通。高效的跨境数据流动与经济活动的繁荣发展意味着某种程度上的平衡——如果规制过于严苛，国内的繁文缛节以及国际不同规制之间的推诿扯皮会严重影响跨境数据流动的总体效率，进而不利于经济发展；反之，若跨境数据流动的自由度过高，那么许多基本权利，包括国家安全，社会稳定，以及个人隐私权，都将被轻易地破坏。因此，在跨境数据流动中，自由和规制之间需要相互平衡，合理、有效的法律规制既能保障基本权利，也能促进经济繁荣的持续发展。

跨境数据流动治理本身的目的应该是，在承认数据需要某种程度上的自由流动这一特性的基础上，打造更细致的规制，使得数据的自由流动程度和规制之间保持平衡。这样的平衡点应该处于规制的严苛程度与数据流动自由度之间可以得到最佳妥协的位置，尽管目前各个国家和地区对于这个平衡点的理解和认识不同，但出发点都是类似的。

由于科技创新与进步是持续发展的，诸如VR的普及和元宇宙问世，都使社会生活方式和思维观念以意想不到的速度不断发生变化，在相关规制还未落地时，数据自由流动更加不受约束、强度也总是在不断提升。由于新的规制往往要等到全新的社会现象出现并最终定性才能够进行构建与实施，所以会迟滞于现实发展，在跨境数据流动治理领域更是如此，相关规制的出现总是会比现实情况慢。为了解决已经出现的问题，规制只能随着社会的快速发展不断变化和增加，并对数据的自由流动产生压制。在规制保护不断追逐自由流动的过程中，两者虽然都在极速前进，但其速度会彼此影响。在这个过程中，总体趋势都是在不断增强的，各行为体分别形成了不同的治理路径和治理模式，也都是在不断强化数据跨境流动的治理强度。在规制与自由你来我往的互动当中，自由流动与规制保护之间的张力便始终存在。

基于 “自由-规制”动态张力平衡框架可以推论，理想的跨境数据流动治理方案应该是既能够提供足够水平的规制保护，又不至于因此对数据的自由流动造成不必要的负担。值得注意的是，在进一步完善跨境数据流动治理规制体系时，需要更多地考虑实际效果，而不是完全寄希望于细分各种规制以最终形成完美的管控方案。应综合关注规制的整体性，保证规制的连续性和延展性。尽管规制的确立是必要的，但在制定相应规则时，需要平衡各方面的考量，并确保规制的灵活性和适应性。通过这样的努力，可以在保护国家数据安全的同时，推动跨境数据流动的可持续发展。

2 中国跨境数据流动的规制现状与问题

2.1 中国跨境数据流动规制的现状

相较于欧盟和美国等其他国家和地区，中国在跨境数据流动治理及与之相关的数据保护、隐私保护的规制构建上起步较晚，中国在科技层面不断追赶国际先进水平，但面对如今严峻的网络安全形势，总体思路还是以对外防御为主。在中国，对跨境数据流动的规制以国家数据主权和安全为前提，对外尚未加入众多国际性规制体系，对内法律法规主要体现在个人信息保护与数据安全保护方面，见表1。

表1 中国涉及数据跨境流动的主要规范文本统计表

《信息安全技术公共及商用服务信息系统个人信息保护指南》 (以下简称 《个人信息保护指南》)是中国工信部于2012年发布的第一份关于跨界数据流动监管的部门规章，它主张遵循国际通行的数据流动管制方法，可以说是对欧盟 《95指令》的全方位模仿[6]。 《个人信息保护指南》对个人信息流通的分类标准、处置原则以及监管目标作了初步界定，将个人信息分为一般信息和敏感信息进行处理，并为中国的跨境数据流动规制体系奠定了立法的基本方向。而后中国第一部针对网络安全和信息安全的系统性法律， 《网络安全法》于2016年通过，对数据权利进行了原则性的规定，将数据作为独立法益进行保护，而 “重要数据”这一概念也由此被第一次提出。2021年，中国正式发布 《数据安全法》，该法律承袭了 《网络安全法》中的数据管理思想，并以其为依据，建立起一套数据分级保护制度，以维护国家数据主权和公民数据信息安全，并规定了违规惩戒方式和受害救济渠道，作为数据安全领域的基础性法律体现了安全与发展并重的理念。同年，中国颁布了首部个人信息保护专项法律—— 《个人信息保护法》，该法旨在保护个人信息的同时，为数据的自由流动和开发提供保障，同 《网络安全法》 《数据安全法》一起，构成了一套有关信息与数据跨境流通的法律法规体系。 《个人信息保护法》规定与个人信息保护有关的事项须由数据处理者在中国领土上进行，并用列举的形式对个人信息的跨境流动进行了规定，并且严格了跨境数据处理者的义务和责任。此外，中国实施的数据保护政策和法规也对数据的跨境流动作出规定，并逐步建立数据跨境安全管理的框架。其中，出境安全性评价是数据跨境安全管理的重点。为了提供更全面的指导，2022年国家颁布 《数据出境安全评估办法》，制定了较完备的数据出境安全评估程序，并对重要数据出境进行了规范；2021年 《重要数据识别指南》 (征求意见稿)也为重要数据的识别提供了依据。另外，中国正逐步完善特殊数据的出境管理办法，在保障国家数据安全的同时，促进多元数据的有序跨境流动[7]。

2.2 “自由-规制”框架下跨境数据流动规制的检视

从 《个人信息保护指南》到 《个人信息保护法》等的一系列法律颁布，可见中国在跨境数据流通方面的规定越来越细致化、系统化，可操作性越来越强，对跨机构数据流通的监管框架也越来越接近现实需要，并在逐步完善。这表明，作为一种新型的国家利益，数据权益正被越来越多的人所关注，而对 “自由-规制”框架之间寻求平衡点的探索也正处于一个螺旋式的发展过程中。从中国跨境数据流动法律规制的基本取向看，主轴仍然围绕着数据跨境的 “自由-规制”动态框架中进行判断和取舍，但总体建设还处在起步阶段，现行法律法规还存在某些不当之处，在 “自由-规制”框架下未尽协调，这将对我国信息产业的健康发展产生不利的影响。

首先，就跨境数据流动 “自由-规制”框架中二者的价值平衡看，现目前国内跨境数据流动相关法律规制体系内部的规制管控与数据流动自由之间的价值取向并没有达到 “自由-规制”框架下的理想平衡状态，未使二者呈现出应有的协调互动关系。从中国跨境数据流动法律规制的基本取向看，主轴仍然围绕着数据跨境的 “自由-规制”动态框架中进行判断和取舍。虽然在 《个人信息保护法》中明确指出，其立法目标包括 “保护权益”与 “促进使用”，并建立了阶梯式的数据出境机制，以满足不同数据需求的选择。然而在相关法律文件中，均侧重于对数据流出的监管，例如 《个人信息出境安全评估办法 (征求意见稿)》和 《数据出境安全评估办法》，几乎全文均是从行政层面上对数据流通进行约束，使中国目前主要甚至唯一发挥功能的手段是规定 “禁出”的控制型规制和规则。这种高强度的保护虽然在维持数据流动秩序、建立数据主体信心、保护数据安全等方面不可或缺，但出现的限缩倾向使其实现数据控制成为跨境数据流动的阻碍。这将会对企业在国际市场中的生存空间造成严重挤压，对企业在国际数字贸易中的高效运作产生不利影响，数据跨境自由流动所能带来的价值和经济发展的作用也被极大削弱。面对跨境数据流动，一味侧重规制、压缩自由空间的价值取向并不适合，其既不符合全球化发展的客观规律，也不利于数字贸易的发展。

其次，根据中国跨境数据流动外部的法律规则体系可以看出，大部分的立法内容都分散在网络安全相关的行政规范中，在形式上居于数据法之外，数据流动 “自由-规制”框架中规制一级控制范围也容易被扩张、压制数据的流动自由。根据中国现行的跨境数据流动规制框架，对数据的跨境出境审查以及数据本地化进行了一定的限制，以平衡数据流动方面的需要。然而，实际实施的跨境数据流动管控方案中数据出境审查的内容远远超出了法定范围[8]，甚至扩展到所有数据。在 《网络安全法》第37条以及 《国家安全法》第25条中，对于出境审查的范围均要求为 “关键基础设施” “重要领域信息系统”的 “个人信息”和 “重要数据”， 《个人信息保护法》第40条也明确指出， “处理个人信息达到国家网信部门规定数量的”才会对其实施出境审查。然而，在2019 年 《个人信息出境安全评估办法 (征求意见稿)》第2条规定， “网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息，应当按照本办法进行安全评估”，2022年 《数据出境安全评估办法》第2条也规定， “数据处理者向境外提供在中华人民共和国境内运营中收集和生产的重要数据的个人信息的安全评估，适用本办法”，这两条都对数据出境安全评估的要求进行了扩大[7]，将 “重要数据和超量个人信息出境评估”改为 “全覆盖数据出境评估”，这明显不利于实现数据自由流动与规制控制之间的有效平衡。

3 “自由-规制”框架下跨境数据流动的域外模式

由于跨境数据流动本身就是不同国家地区之间进行交互的全球性问题，因此不能将目光局限于国内。目前尚未形成全球统一的规则，总览全球跨境数据流动法律规制，各国在数据安全与数字贸易之需间做出了不同选择而形成模式之争。下文将以欧盟和美国为例，将其对跨境数据流动的治理模式置于 “自由-规制”框架下分析，这对完善中国的数据跨境流动法律规制具有重要意义。

3.1 欧盟：规制保护型治理模式

由于欧洲国家地理上的天然接近，欧洲一体化进程也体现在欧盟在为跨境数据流动规制所做的顶层设计上。在长达半个世纪的时间里，欧盟的跨境数据流动治理框架最早形成、不断更新，体现出着重于规制管控的倾向，从 《108号公约》到1995年制定的 《关于个人数据处理保护与自由流动的指令》 (简称 “95指令”)再到 《通用数据保护条例》 (简称 “GDPR”)，逐渐构建出一个较为完整的法律规制框架，其中最突出的是对维系基本权利价值的关注。欧盟关于跨境数据流动的规制起草并实施的最大动因来源于对个人数据和隐私的重视，在 “自由-规制”框架下偏向于对规制保护的一级，治理模式呈现为规制保护型，这是欧盟长期以来的政策性目标，也是基于 《欧盟基本权利宪章》的要求。

欧盟源于对公民信息权利的保护，推行严格限制数据跨境流动的法律，有意提高其域外监管能力、提升国际规则制定中的话语权。为了推动区域内数据保护相关的法制建设，欧盟采取整体性法规与成员国法律相结合的方式，数据治理体系建设包括了严格的个人信息保护规则和数据安全监管法规，这些规则和法规旨在保护个人隐私，防止数据泄露或滥用，并确保数据安全可靠。欧盟通过95号指令和GDPR，创造出一套对数据进行 “适当性水准”保护的严格欧盟标准规则，要求欧盟以外的数据接收国具有数据保护水准，需要确认接收国拥有适当水准的数据保护法律体系且具有具体的实施和操作方案。近年来，欧盟的数据治理思路逐渐转变，强调促进成员国之间的数据共享，旨在构建统一的数字市场。在2019年，欧盟对 GDPR作出关于消除数据本地化限制的补充，希望挖掘数字要素潜能，以此进一步促进数据在成员国间的流动自由。同时，欧盟还设置 “充分性认定”规则，对欧盟以外的其他国家与成员国进行数据交流设置门槛[1]。此后，欧盟分别于2020年和2022年推出 《欧洲数据战略》以及 《数据治理法案》，体现出其在数据战略中对数据治理的足够重视。

欧盟跨境数据流动的规制保护型的治理模式在很长一段时间内在全世界范围内遥遥领先，为全球其他国家提供了极具参考价值的蓝本与标准。在飞速发展的数字全球化背景下，欧盟采用审慎的态度，出于其政策考量，仍然坚持打造欧盟区内单一数字市场[9]。而其模式的缺陷也十分明显，在一定程度上有碍其经济发展。欧盟由于其独特结构，内部政令不够畅通，立法与行政效率低，加之规制本身的滞后性，面对不断涌现的问题时，欧盟仍强调应始终坚持规制保护和适当性水准判定，整体思路趋向严格，与数据自由跨境流动的本性相悖，对数据流动自由产生抑制作用，亦无法掩盖其规制体系无法达到预期效果的事实。同时，由于对数据的严格保护，数据跨境传输限制也阻碍了欧盟地区数字经济的发展。这些限制构成欧盟的政策壁垒，提高了其他企业进入欧盟市场的合规成本，商业贸易往来也因此受到限制，在同等竞争水平下，其他国家的高新科技企业将很难进入欧盟数字市场。在错过一系列重要的风口与机遇后，欧盟在电子商务、共享经济等领域已经落后于中美。如今欧盟的规制保护型治理模式确实对其经济效率产生了一定的制约，规制与自由失衡，对于新兴高科技产业的全球发展是不利的，同时这必然在某种程度上削弱欧盟企业在数字贸易市场中的国际竞争力。

3.2 美国：自由控制型治理模式

作为世界头号科技强国和新时代数字经济的最大受益者，美国在网络科技产业高速发展的背景下，十分推崇数据和信息的自由流动，以求达到其扩张经济利益与国家利益的目的。在此之下，美国明显偏向 “自由-规制”框架下的自由一级，治理模式呈现为自由控制型，依托私人部门和公共部门结合性力量实施对外的强力控制。

首先，出于对全球数字经济关键领域和产业链环节的强大控制力，美国希望在确保国家安全利益的前提下，最大限度地促进数据自由流动。在美国看来，网络空间由于具有公共属性而是 “全球公域”，所以它一直保持全球主义立场，并呼吁别国不要干涉数据的跨国流通，从而推动数据的自由流动[10]。早在1997年美国就制定了一项针对跨境数据流动的管理办法， 《全球电子商务框架》[11]，并与欧盟积极开展交流。美国拥有谷歌、脸书等互联网巨头公司，主打大范围收集、处理数据并以此获利的 “监控资本主义”商业运营模式[12]。美国政府为了促进国内私主体迅速成长，对跨境数据流动的监管显得较为松懈，更多地考虑美国企业的利益，积极推动数据流动，而这也相应地给美国带来了全球数字贸易中的最大化利益。从国际间合作看，早在10余年前亚太经合组织建立APEC隐私框架时，美国便不仅要求成员经济体尽量为数据流动消除不必要的障碍，以促进电子商务的发展，还重视发挥行业自律模式作用，在行业范围内制定数据跨境流动的相关规范，遵循市场经济发展规律，以促进数据的跨国自由流通，从而达到对 “数据石油”的占有与使用[13]。之后，在包括跨境隐私规则体系 (CBPR)、跨太平洋战略经济伙伴关系协定 (TPP)在内的多项协议中，美国都将其跨境数据流动内容纳入其中，减少数据存储和处理的限制，在美墨加协定 (USMCA)中更是严格限制数据本地化，充分发挥数据价值，使其在国际贸易中更占优势[14]。其次，美国对于国内重要行业领域的数据出境管控严格。为了保护国家安全，同时防止其他国家获得重要行业数据，近年美国反复提出禁止使用TikTok，还在很大程度上也是出于国际安全的考量，反映了美国对于数据控制权的追求。美国还限制重要数据出口和特定数据领域的外国投资，通过列举方式确立关于 “受控非密信息”的严格管理措施，同时还在政府、科技、电信、外商投资等关键部门和行业的相关法律、政策中设置了限制数据出境或严格审查的要求。

美国跨境数据流动的法律规制可以概括为自由控制型治理模式，基于其在经济、产业和军事领域的发达基础，利用优势主张数据的自由流动，对外依靠强大的跨国科技企业等私人部门不断打破各国壁垒，为美国在全球范围内的政治经济力量布局打下坚实基础，组成了对全球网络空间的控制体系，从而维护其国家安全和企业的经济效益。美国自由控制型的治理模式显然与强调规制保护的欧盟产生了很大分歧，为了促进彼此之间的业务往来，经过长时间谈判后美欧先后达成了安全港协议和隐私盾协议。而后，却分别因 “棱镜”事件曝光，美国没有对个人数据保护进行有效监管的事实也随之被揭露，这使得欧盟对美国的数据保护产生了信用危机，加之没有以欧盟法律所要求的方式和程度创造出相当的保护情况，安全港协议和隐私盾协议前后均被欧盟法院裁定失效，这无疑直接影响欧美在跨境数据流动的合作，尤其是使美国企业进行个人数据传输的合规成本增高[15]。美国模式的不公开和不透明极易侵犯消费者的隐私，用户并不了解网络科技公司如何搜集并处理海量的数据，导致其隐私保护、数据安全的信任度在近年来也持续走低[16]。自2017年以来，欧盟对美国多次罚款，脸书及剑桥分析公司泄露用户数据遭欧盟天价罚款的丑闻更是引发全世界范围的关注，使其处境雪上加霜[17]。

3.3 对比总结

如何在数据跨境流动的 “自由-规制”框架中如何找到一个平衡点，建立一个适当的管理模式，是全世界都要面对的问题。由于隐私保护、国家安全等因素，部分国家对数据的流通实施严格管制，以欧盟政策为例，其优势在于通过对区域内的数据流动进行限制，从而保护本地区公民的隐私以及国家数据安全[9]，而弊端也很明显，在于使得欧盟近年来的经济发展速度有所减缓，降低了国际地位和竞争力。另外，一些国家积极推动数据跨境，比如美国，由于放宽了跨境数据流动的相关政策，使得它成为了当前最大的数字贸易受益国，但为了挽回数据保护水平的信任危机以期下一步与欧盟达成合作，必须推动国内隐私立法改革，并解决隐私保护和权利救济等问题，在 “自由-规制”框架中找寻商业活动与数据隐私保护的平衡。

在很多情况下，国际规则的制定权都是由大国所拥有的，而其在规则制定中的话语权则主要取决于它的经济实力。当今世界经济多极化态势下，许多发展中国家正利用高科技手段来进行经济建设，随其经济水平和科学技术不断提升，它们在国际规则的制定上也拥有了越来越多的话语权。美欧在跨境数据流动规则的博弈还在继续，中国作为综合实力仅次于美国的数据资源大国，在跨境数据流动还没有形成一个统一的国际标准的情况下，应该在保证自己的数据安全的同时，制定适合自己的国内政策，把握住机会，利用好人工智能等新技术，努力发展自己的数字经济。同时，还要拓展数字领域国际合作空间，在二十国集团 (G20)、亚太经合组织 (APEC)、金砖国家、上合组织 (SCO)等多边框架中积极参与数字领域平台的合作，建立数据跨境流动的国际规则，注重推动谈判符合最大多数成员的利益，并提升中国在数字贸易领域的规则[18]。

4 “自由-规制”框架下的中国方案构建

4.1 坚守国家数据安全为基点

不同国家在跨境数据流动 “自由-规制”框架中的平衡点选择有着不同的价值倾向，问题的关键是，怎样才能适当地使这两者达到和谐统一的平衡状态，使数据流动与数据控制在价值膨胀与压缩的动态博弈中相互协调，从而达到对数据流出的合理管控，以及维护国家数据秩序的目的。对中国来说，国家数据安全的考量是平衡点选择的关键因素，国家需要考虑如何在进行数据流动的同时，维护数据主权、保护核心利益。

从数据主权的宏观层面看。党的二十大报告强调，要以总体国家安全观为根本遵循，坚持以新安全格局保障新发展格局，明确要强化数据安全保障体系建设。地方空间中的国家安全基于传统主权理论而受保护，而作为国家主权在数据领域的自然衍生，数据主权为应对数据流通领域的非传统安全风险，自然将维护国家安全定位为其主要功能，维护网络空间中的国家安全和数据安全，也成为各国为捍卫国家数据安全、占有数据资源而展开激烈角逐的新领域，是影响新时代国家竞争力的关键。中国对数据主权和国家数据安全的重视是中国对待整个网络空间治理的态度，也是跨境数据流动治理路径构建的起点[19]。 《网络安全法》在最开始的显著位置便表明了保障网络安全、维护网络空间主权和国家安全的立法目的。由于在网络空间治理的赛道上起步较晚，在中国的视角下，国家、企业与社会的利益都需要得到较好的兼顾，因此中国高度重视公共利益、网络安全和国家安全，主权国家的 “数据主权”保护者身份也是必须的，需要确立数据主权优先、个人信息保护与经济发展并重的法律原则[20]。在顶层设计方面，应当在总体国家安全观的指引下，站在网络安全和信息安全的角度，将数据的可控性、可用性、完整性和保密性四项核心诉求作为价值起点以及归宿。

从中国产业的微观层面看，中国是全球最大的跨境数据流通中心之一，从实际风险上看，除非国内科技力量超越美国、彻底改变全球网络空间地位和话语权，否则将会长期保持坚守国家数据安全的对外防御型治理思路，将对数据跨境流动的管制需求视为首要，高于其流通的激励需求。就中国产业面对的现实情况看，不论是美国颁布TikTok禁令，还是欧盟宣布排除华为5G技术，外部环境不容乐观。中国必须要守住维护国家数据的安全，并以其指导跨境数据流动的法律规则制定，只有保护住数据这一重要资产，才能防止竞争对手获取关键的商业信息，维护好本土企业的核心竞争力。在自由与规制之间实现平衡、兼顾发展与安全之需是当前中国推进数字经济高质量发展需要把握好的审慎选择，这需要将保障国家数据安全作为首要原则，在此前提下把握平衡，照顾并调节数字产业经济发展所需[21]。当二者发生矛盾时，应将保障国家数据安全作为基本价值导向，并在确保安全的基础上，重申数据流动的重要性。而这也应该成为规制的强度边界，尽量避免使规制的控制对本国以及全球数字贸易发展产生影响和负担，在数字经济的背景下，始终坚持互利共赢的发展理念，推动产业发展。

4.2 探索 “自由-规制”数据平衡路径

出于时代飞速发展的现实需要，在基点确定的基础上，中国可借鉴欧盟立法的及时性和完整性，发展和完善跨境数据流动的相关规制。虽然欧盟确立的严苛政策并不符合中国当前的现实需要，但它的适时立法却主导了数据跨境流动的规则制定权，扩大了在国际规则制定中的影响力。当前，欧盟和美国之间存在着严重的分歧，尚未达成下一次合作，中国应该把握好这个时机，及时完善规则框架，提升法律的可操作性和实践性，提高中国的国际影响力，从而在未来的数位经济发展中能够把握住时代红利。而对规则的细化和完善，需要靠下位法的配套措施来实现，在规则制定和修改的过程中，提升法律的可操作性则是重点要考虑的问题。

中国在跨境数据流动的 “自由-规制”框架下选择偏重规制的对外防御治理思路，如前文所述，为实现数据控制，规制甚至成为跨境数据流动的阻碍，影响企业在国际数字贸易中的高效运作，而在 “自由-规制”框架中失衡。党的二十大报告强调，要在维护国家数据主权和保障数据安全的同时寻求数字经济创新发展新路径。数据流动程度越高则带来的价值越大，在保证国家安全的基础上，坚持 “平等、共享、互利、自由”的数据安全观，加强与其他国家在数字领域的交流，这样才能实现数字时代的互利共赢。本文认为，跨境数据流动的规制偏向应适当回缩，重新找寻 “自由-规制”框架的平衡点，因此需要控制数据出入境限制的具体范围，对流动的规制应限定在必要的、最小的限度内，避免控制强度过大，也就是要明确数据出境的管制对数据控制者的限制程度以及管制所能获得的利益大小，进而对其对数字经济所造成的阻碍和预期效果是否均衡、使数据跨境流动的 “自由-规制”框架是否平衡来进行判断。

具体来说，应该明确哪些类型数据应受约束、哪些类型数据应鼓励交流，因而需要进一步完善数据的分级分类制度。根据 《数据安全法》中对于数据分类分级标准的表述，依据数据损坏后的影响对象和影响程度，较为妥当的做法是将数据由低到高分为一级数据 (一般数据)、二级数据 (敏感数据)、三级数据 (一般重要数据)、四级数据 (关键重要数据)、五级数据 (国家核心数据)共5个等级[22]。针对 《网络安全法》等法规所强调的重要数据，即第三、四、五级数据，由于其关乎公共利益和国家安全，重要性不言而喻，应作为核心进行重点保护和规制，具体措施包括统筹安全风险，进一步细化风险评估制度和重要数据出境安全评估制度等；而对于较低级别的数据如第一、二级数据，基于数字产业发展的需要，其流通宜采取 “合规即流通”的偏向自由的管控模式，鼓励对外交流，满足既定的数据安全相关合规要求后，即可对数据进行流通和加工处理，从而激发数据价值、推动数字经济的发展，使中国能够在国际上拥有更大的话语权，创建世界数字交流的中心。而在不同法律法规中，还应统一标准的分类用词规范，以提升法律的可操作性，也避免歧误影响数据流动创造经济利益，把真正重要的数据留在国内，允许相对次要的数据自由流动，尽量为数据提供最大限度的自由流通空间。

4.3 探索公私共治的自由激励

从中国现有的法律规定看，数据跨境流动存在较严格的限制，为了避免对于本国互联网等相关企业科技创新的可持续发展产生压制，在 “自由-规制”框架下规制一级强劲的情况下，借鉴美国对企业的激励政策，释放自由活力，以期与规制一级达到平衡状态，从而获得更大的经济效益。

在公权力管控方面。美国作为头号网络强国，其国内法律主要考虑到本国企业的利益，并对互联网企业约束相对较少。这是出于政府的选择，以便让企业发挥自己的数据技术优势、获得商业利益，并成为全球巨头。除了通过法律法规要求企业遵守合规要求和通过安全审查机构如对外投资委员会进行安全审查外，美国政府还与私人企业合作。以美国联邦贸易委员会 (FTC)为例，当发生数据泄露事件时，其与受影响的私企主体合作进行调查，与企业协商并推动改进隐私和信息安全措施，以避免发生数据泄露事件，并与企业和组织合作共同制定跨境数据流动规范，确保这些规则对企业有利。而对中国来说，公权力管控力度较大，加强了数据保护和安全方面的监管，但在数字治理中也不乏与私人部门合作的模式，例如，上海市交通委员会与滴滴打车于2015年合作建立了3座滴滴车站，该合作机制解决了交通问题[4]。本文认为，在跨境数据流动的治理领域，可以探索更多公共部门与私人部门共同治理的有效途径。当前，中国互联网企业如腾讯、阿里、字节跳动等在全球市场上迅速崛起，并表现出强劲的势头，有必要充分抓住当前机遇，为中国数字企业的发展提供有力支持。应该协调好公共部门与私人部门之间的关系，发挥企业强劲的数据优势，二者合作进行数据合规监督和调查等方面工作，以确保数据隐私安全得到保护。公私部门应积极开展合作探讨，包括电子商务平台共同参与，在构建与数字技术快速发展相适应的跨境数据治理规则方面发挥积极作用[23]。此外，企业还可以在政府相关法规和政策的指导下参与制定数据技术规范和实践范例，还可共同设立跨部门的委员会等机构，以进行信息与知识共享，共同研究讨论跨境数据流动的法律、政策和技术问题。通过这些努力，有望进一步激发中国数字经济的自由活力，为其健康发展提供支持和保障。

在行业自律方面。美国政府对数据流通的监管和控制较低，在跨境数据流动和个人信息保护方面都大力推行行业自律模式。在这种模式下，企业可以自主选择接受行业隐私规则，或者通过接受独立第三方隐私认证机构的审核来获得认证标识。而对中国来说，尽管已经制定了 《网络数据和用户个人信息、收集使用自律公约》等行业自律规范，但是由于其在司法上的地位不明确、法律效力不够清晰，这些规范在实践中的有效性不尽如人意[11]。为此，中国可以借鉴其他国家的行业自律规则，以进一步明确和完善数据信息有关的行业自律规范。欧盟GDPR中企业的数据保护官制度也是一个值得参考的例子。数据保护官在企业自律制度中扮演重要角色，负责监督企业遵守行业规范和国家法律，开展数据保护影响评估，并与相关数据保护主管监管部门或行业协会合作。企业可以设立数据保护官，以确保在数据保护方面的合规经营。尽管目前中国大部分企业均未设立这样的职位或机构，但从逐渐增多的跨国企业和数据跨境流动国际合作看，数据保护官的存在变得不可或缺。借鉴域外的相关政策除了能够促进中国数字贸易规则的进一步发展，还能增进中国与欧美之间的相互认可和互操作能力，降低中国公司在欧美的合规成本，进一步推动在技术层面的强强联合，提升中国数字公司和互联网企业在国际市场上的竞争力。

5 结语

将跨境数据流动法律规制置于 “自由-规制”框架分析之下看，要找到合适的治理方案，应给予现实中的跨境数据流动治理问题更大的空间去尝试， “自由-规制”之张力也只有通过不断的碰撞和尝试才能够最终得到平衡，这样一个始终存在动态博弈的过程才是跨境数据流动的本质。基于上述分析认为，中国跨境数据流动法律规制体系应建立在 “自由-规制”框架平衡的基础上，稳定维护国家安全的基点，完善跨境数据流动的法律及相配套的具体实施办法，还需慎重对待跨境数据自由流动需求，重视对贸易价值创造和经济发展的影响，力争将跨境数据自由流动需求和跨境数据流动控制需求有效地结合起来，在平衡点下充分发挥规制作用，维护国家安全利益，同时促进数字贸易发展的潜力。