全球數據流動、保護及中國方案

于 洋，梁 正

(1.清華大學公共管理學院，北京 100084;2.清華大學中國科技政策研究中心，北京 100084)

0 引言

2008年金融危機以來，世界經濟增速放緩，各國間貿易和金融流動速度降低，尤其是近年來新冠疫情在全球蔓延，更加劇了世界經濟形勢的復雜性和多變性。然而，數據驅動的數字經濟在逆勢中穩步發展，數據流量增長迅速。《2021年數字經濟報告》指出，2020年全球互聯網寬帶提高了35%。數據流動規模擴大帶來機遇的同時也產生了新的治理難題，如何管理規模龐大的跨境數據流動已成為各國面臨的新挑戰。

美歐等發達國家對數據治理體系的構建起步較早，并且在當前階段，為了進一步推動數據共享、釋放數據紅利，美歐率先提出數據戰略和相關行動計劃。雖然發達國家對于數據要素在國內的共享和保護規則較為成熟，但是對于建立在國家安全基礎上的跨境數據流動規則仍處于探索階段，且各國分歧較大。對于我國而言，數據要素治理起步較晚，但是發展迅速。2020年，我國將數據要素市場化配置上升至國家戰略，多項頂層設計的政策法規相繼出臺。但是由于我國數據治理框架初步搭建，缺乏經驗指導，未來仍需補充完善國內規則并參與國際規則構建。為此，本文分析了數據作為生產要素的特征，以及數據流動與全球化的關聯，歸納比較了美歐等國家數字保護和流動的相關政策法規，以及國際合作中的數據跨國流動秩序的構建情況，結合我國的數據治理現狀，進一步提出中國方案。

1 數字經濟和數據要素

1.1 數據要素

數據是基礎的原始素材，從數據中可提煉出信息、知識以及智慧，如圖1所示，通常也將數據看作新一代信息技術的生產資源[1]。將數據投入生產，數據可與其他生產要素結合，產生邊際報酬遞增的回報，從而促進經濟增長[2]；數據的積累被認為是企業的研發投入，企業通過其創新可進一步推動經濟增長。此外，數據在經濟主體之間轉移信息，對企業生產效率、公平和競爭也將產生一定影響。企業運營產生的數據及其反饋循環，一方面促進企業在干中學，應用于企業管理和決策，提升企業運營效率，另一方面會提高企業市場份額，進一步獲取更多的數據。

圖1 數據的地位關系

數據作為一種新興的生產要素，在技術和經濟方面呈現出不同于傳統生產要素的特點。一是部分非競爭性和非排他性。數據從權屬來看并非公共物品，但是特定條件下，數據可以同時被多個使用者使用，甚至被使用后價值不減反增[3]；在數據收集過程中，不同收集者之間可以互不影響，如平臺之間收集個人數據時互不干擾也互不排斥[2]。二是邊際成本較低。數據作為經濟活動的副產品產生時，其被收集過程大都僅需要一次性前期投入，繼續收集的邊際成本極低且大規模可得；數據收集后被不同使用者使用時復制成本幾乎為零。三是規模效應顯著。隨著數據規模和維度的增加，數據呈現出的價值和信息量也將大幅增長。四是正外部性。這一特征體現在數據的正向作用，如提升企業生產效率、管理決策質量等[4]。除此之外，數據在使用過程中涉及數據的提供者、收集者、挖掘者以及數據使用規則的決策者，不同類型數據主權往往缺少明晰的規定；數據使用的成本難以統一，不同場景數據的使用價值不同，如數據的壟斷者可以提出高額的數據使用費用，滯后的數據使用成本可能為零；在數據流動過程中，通常以互聯網為載體，流動速度較快，傳播范圍難以控制，存在隱私泄露的風險，甚至會威脅國家安全。

1.2 數據流動和全球化

金融危機以來，全球化的繼續一方面得益于各國數字經濟的蓬勃發展，另一方面是大規模的數據流動。在全球貿易和金融流動失去動力的時期，跨境傳輸的數據量激增。數據流動創造的經濟價值已經超過傳統貿易商品流動，并已經成為國際貿易和投資等關系的基礎[5]，這種態勢必然會對全球化形式產生深層次的影響。

數據流動已經成為全球經濟的關鍵推動力。首先，數據是國際貿易的命脈，國際貿易從運輸、交易、結算等環節都越來越難以在離開數據流動的情況下進行。跨境數據流動規模可以反映全球供需情況，協調各國生產，助力企業在全球市場高效匹配供需，從而參與到全球化進程中來，這也是數據賦能貿易的重要體現。其次，跨境數據流動也是一種新型的國際貿易形式，即數字貿易的一部分，被定義為數據貿易[6]。近年來新冠疫情在全球蔓延，各國抗疫相關數據的共享有效促進了國際社會更加全面地了解病毒，為臨床治療提供了科學依據[7]。

2 全球跨境數據流動秩序的構建

近年來，數據跨境流動規則備受關注，國內外研究機構對主要國家及合作組織關于跨境數據流動的管理規則做了統計、比較和說明。OECD、Salesforce、世界經濟論壇等均發布了有關跨境數據流動管理的報告，主要內容以全球跨境數據流動規則現狀、比較及趨勢為主。總體來看，數據占主導推動并促進全球化向前發展，是重要的戰略資源。當前的數據流動規則以不同程度的數據流動要求和數據本地化要求為主，如圖2所示。

圖2 跨境數據流動規則

2.1 各國的跨境數據流動規則

2.1.1 美國和歐盟規則

1997年，美國就已提出關于跨境數據流動的管理辦法 ( 《全球電子商務框架》)，并積極與歐盟進行溝通推進跨境數據流動。信息時代，美國全面升級數據開放和共享規則。2014年，美國發布 《開放數據行動計劃》，該計劃在擴展數據開放途徑的同時也擴大了數據開放內容。基于數據開放所需的條件，美國于2016年提出 《M-16-19數據中心優化計劃》和 《聯邦機構公共網站和數字服務的政策》。2019年，在數字經濟蓬勃發展中，美國頒布了 《開放政府數據法》，該法律規定美國所有政府部門公開非敏感政府數據，并對數據質量提出了更高要求，旨在為美國產業發展提供數據要素支撐。同年12月，美國基于 《大數據研發倡議》，形成了國家層面的數據治理方案，該方案也成為美國在數字經濟時代平衡數據開放與數據安全的重要戰略支撐。一直以來，美國積極鼓勵其他國家數據流入，尤其在貿易合作中，要求各國破除跨境數據流動壁壘；與此同時，通過多邊合作渠道圈定數據自由流動區，為本國獲取境外數據提供便利通道，同時又嚴格限制本國公民數據被威脅美國安全的國家所獲取。

歐盟的跨境數據流動規則體現于 “內外”兩部分。一直以來，歐盟數據治理體系建設速度走在世界前列，其中包含了嚴格的個人信息保護規則。與美國通過補充完善已有法律的形式推進數據保護不同，歐盟采取以整體法規與各成員國立法相結合的形式推動數據保護進程。近年來，歐盟數據治理思路有了一定轉變，體現在從構建嚴苛的個人隱私和數據安全監管法規轉化為促進區域內數據共享的發展策略。歐盟致力于在成員國間構建統一的數字市場，從而實施了單一數字市場戰略。2018年，歐盟正式實施 《通用數據保護條例》(GDPR)，GDPR是對歐盟成員國直接生效的法規，也構成了歐盟數據隱私和保護的法律框架。2019年，歐盟對GDPR進行了補充，主要包括現有個人數據立法、消除數據本地化限制、挖掘數字要素潛力等方面的相關規定。GDPR的實施在消除歐盟成員國之間數據流動壁壘的同時，也明確了其他國家與歐盟間的數據流動規則，即需要歐盟的 “充分性認定”，才可獲得接受歐盟個人數據的資格。2020年，歐盟提出 《歐洲數據戰略》，涵蓋了數據治理的核心框架、具體措施、擬解決的問題和行動指南，并在此基礎上提出第一項倡議，即 《數據治理法案》(提案)，體現了歐盟數據戰略中數據治理的重要性。

對于跨境數據流動的應用：執法證據的獲取。2018年，美國實施 《澄清海外合法使用數據法案》(CLOUD法案)，主要說明了對刑事領域證據的境外數據調取條件等。CLOUD法案強調美國政府可以獲得科技企業的數據資源 (不受數據存儲位置所限)，否認了以數據位置認定數據主權的判定標準，由此為美國獲取境外數據提供了更加快速的方式。美國實施CLOUD法案的一個月后，歐盟提出 《電子證據條例》，包括 《歐洲數據生成令》和 《歐洲數據保全令》，主要說明了歐盟成員國從其他成員國獲取電子證據的途徑和規則等。

2.1.2 其他國家的規則

除了美歐發達國家外，新加坡和日本的數據流動規則提倡數據保護和數據自由流動相結合的形式，并為企業設置多樣化的數據出境條件。對于發展中國家而言，如俄羅斯要求數據本地化，即數據首次存儲在俄羅斯境內，在滿足合規條件下可有序出境；印度對個人數據進行分級，依據數據級別實施差異的本地化和跨境數據流動限制措施。

2.2 國際合作中的跨境數據流動規則

從國際合作來看，各國積極參與構建跨境數據流動規則框架，已有合作組織或貿易協定，如OECD、APEC等，已經確立了具有代表性的跨境數據流動規則框架。旨在推動數據在區域內有序流動，減少跨境數據流動的摩擦，從而最大限度發揮數據紅利。

2.2.1 雙邊或少數國家間的合作

從雙邊來看，美歐之間的合作具有一定代表性。2000年，美國與歐盟簽訂了 《安全港協議》，美國的5000多家企業在歐洲受到該協議保護，可將在歐洲收集的用戶信息傳至美國進行處理并存儲。2015年該協議取消，2016年雙方達成 《隱私盾協議》，歐盟對美國企業和政府使用其數據進行了嚴格規定，也體現出歐盟對個人數據的嚴格保護。2018年，美國與墨西哥、加拿大簽署了 《美墨加三國協議》，規定在締約國境內開展業務的條件，即各國不得將金融數據本地化存儲。近年來，美國為了主導在亞太地區的跨境數據流動規則，大力推行APEC中的跨境隱私規則體系 (CBPR)。2010年，由美國和日本主導的APEC下跨境隱私執行合作安排 (CPEA)開始實施，在保障各國隱私安全的同時減少甚至消除各國間的信息流動障礙。

除了美國主導之外，2020年，新加坡、新西蘭和智利簽訂了 《數字經濟伙伴關系協定》(DEPA)。DEPA被認為是CPTPP的附屬協議，二者關于跨境數據流動的規定較為一致，也備受認可和成為更多國家參與貿易協定的選擇。

2.2.2 多國間的合作

國際合作組織中，經濟合作與發展組織 (OECE)

在2013年修訂了 《關于隱私保護和個人信息跨境傳輸的指南》(以下簡稱 《指南》)。其中，第四部分介紹了跨境數據流動規則，對跨境數據流動、隱私執法規定進行了重新說明。為了減少與各國政策的沖突，《指南》也說明了成員國在 《指南》的最低標準之上，擁有關于隱私保護等國家規則制定的權利，從而更有效助力各國間達成共識。APEC于2003年成立了數據隱私小組，該小組在2005年制定了關于亞太經合組織的隱私框架 (2015年修訂)。隱私框架參考OECD的規則制定了數據流動的指導方針，即以促進亞太地區數據自由流動、保護個人信息一致性為目標，從而實現區域一體化。2011年，APEC建立了跨境隱私規則，為APEC成員國間個人信息流動提供了隱私保護認證框架，旨在成為平衡個人信息跨境流動和隱私安全的有效機制。

在多國簽訂的協議中，如全面與進步跨太平洋伙伴關系協定 (CPTPP)和區域全面經濟伙伴關系協定 (RCEP)，也均對跨境數據流動規則 (見圖3)做了說明。其中，RCEP對于跨境數據流動的要求主要體現在相關貿易政策中。例如，金融服務貿易中不允許締約國限制金融服務提供者進行必要的信息傳輸；關于計算設施本地化要求以及電子信息傳輸的內部監管規則，均在不構成貿易歧視、貿易壁壘等前提下進行相對或絕對豁免。由于RCEP包含不同發展階段的經濟體，因此對于不同經濟體的數據保護并未設定強制要求。為了促進國家間貿易往來，雖然無法達到數據自由流動，但是在不同數據保護水平下平衡各國跨境數據流動規則和要求，有助于縮小各國數據治理的差異，逐步緩解數字鴻溝等全球數字經濟發展問題。

圖3 美歐主導及參與建立的部分跨境數據流動規則

整體來看，全球跨境數據流動規則層次多樣，尚未形成統一的跨境數據流動規則框架，各國數據流動、保護規則存在差異。求同存異的突破口是在國際合作中積極參與或主導對跨境數據流動規則的構建，推動數據在組織內有序流動，擴大各自數據生態圈。目前，全球范圍內的跨境數據流動規則仍處于探索階段，主要合作組織率先形成的跨境數據流動規則對后續相關規則產生了顯著影響。不同合作及協定的成員國數據保護水平不同，難以形成一致的規則和共識。因此，在參考已有規則的基礎上，各國在不同合作中也積極制定符合當前發展的多元化規則，尤其體現在相關的貿易協定中。

3 中國方案

我國的數據治理雖然起步較晚，但是發展迅速。在借鑒美歐策略的同時，近年來也在逐步探索符合中國發展需求的數據治理之路。

3.1 數據共享

相比于美國50年前就已開始的政府數據資源管理，我國政府數據管理方法和體系建設較晚。目前，我國政府數據開放的保障機制仍處于研究和構建階段[8]。2012年，首個政府數據開放平臺在上海成立。2015—2017年，我國先后加強推進政府數據開放共享、實施大數據戰略、推進公共數據共享，發布諸多相關信息資源共享文件和方案。并于2018年為了具體落實信息資源開放試點工作，提出 《公共信息資源開放試點工作方案》。

與美國長期建立起來的政府數據管理體系相比，我國的政府數據共享機制和體系是在短期內快速高效建立起來的，在接下來持續推進政府數據開放的過程中，也應充分考慮到數據資源管理效率和成本問題，以及數據公開的基礎運營設施。在高質量發展階段，數據要素質量好壞直接關系企業生產和人民生活的各個方面。一方面要突破數據搜集、處理和整合的技術障礙，以滿足生產生活需求；另一方面各地區數據開放平臺搭建要統一標準，為數據瀏覽和應用提供更加高效便利的通道。我國在短期內推出了多種政府數據開放的方案及措施，為了將具體方案落地實施，需補充配套的基礎設施、數據安全保障機制等。

3.2 數據保護

2020年，我國將數據列為新型生產要素，數據要素市場化配置上升為國家戰略。數據已成為國家戰略資源，數據安全對于個人隱私、經濟發展、政治穩定和國家安全等具有重要意義。毋庸置疑，數據保護被列為重要事務，但是相比于歐盟嚴格、完善的個人信息保護制度，我國的數據保護缺少針對性的法律指導和健全的制度體系。2021年，我國發布并實施了 《數據安全法》和 《個人信息保護法》等頂層法律，對數據處理活動、數據安全、數據開發利用以及個人信息處理和保護等相關規則進行說明。《個人信息保護法》是我國首部個人信息保護專項立法，在保護個人信息的同時也為數據的自由流動和開發提供了保障。其中第三章 《個人信息跨境提供的規則》明確規定，境內產生和收集的個人信息原則上在境內存儲。《數據安全法》作為數據安全領域的基礎性法律，體現了安全與發展并重的理念。

對于企業和個人而言，面對數據保護的新 “工具”，缺乏應用和合規的經驗指導，因此進一步增強個人的信息保護意識方可做到有法可依，采用法律武器維護個人權益。政府和有關部門在完善法律基礎的同時，應持續加強個人信息保護宣傳工作，強化數字經濟相關試點地區和示范企業數據要素治理工作，以點帶面逐步完善全國數據治理工作；針對不同地區數據共享和保護基礎，采取有差別的指導措施，避免 “一刀切”。

3.3 跨境數據流動

(1)頂層設計。近年來，我國實施的與數據保護有關的政策法規均對跨境數據流動問題進行了說明。同時在 “十四五”規劃中以及有關部門也都提出跨境數據流動的具體實施方案。隨著頂層法律相繼頒布和實施，數據跨境安全管理框架基本形成，出境安全評估成為數據跨境安全管理的主要手段。2021年，我國制定了 《數據出境安全評估辦法》，構建了相對完善的數據出境安全評估流程，為企業和個人數據出境提供了更加全面的指導，對重要數據的出境管理制定了具體措施。2017年，我國實施的 《網絡安全法》首次提出重要數據的概念。2021年，我國發布的 《重要數據識別指南》(征求意見稿)為重要數據的識別提供了參考。近年來，我國也在逐步完善特殊數據的出境管理辦法，旨在保證國家數據安全的同時促進多元數據有序的跨境流動。如2022年3月，針對人類遺傳資源信息的出境等，我國發布了 《人類遺傳資源管理條例實施細則 (征求意見稿)》。

目前，從我國實施的跨境數據流動規則來看，重點管理個人信息、重要數據跨境流動，符合我國對個人數據、隱私和維護國家安全的必然要求。由于個人信息和重要數據存在特殊性，也是各國數據流動管理的主要對象。關于重要數據，雖然各國的界定不同，但是各國提出的數據本地化要求等體現了對重要數據流動的嚴格管理，在保證國家安全的前提下實現安全的跨境數據流動。

(2)國際合作。近年來，我國積極參與構建雙邊或多邊跨境數據流動規則體系框架，一方面體現了與各國之間目標的一致性，即確保數據安全的前提下實現數據有序流動；另一方面作為數字經濟大國、“一帶一路”的倡導者，積極推動、參與跨境數據流動國際規則的制定，彌合數字鴻溝，也是大國的責任和擔當。

跨境數據流動問題涉及個人、企業和國家的方方面面，解決頂層制度問題僅僅是一方面。采取可持續性應用的技術和模式，平衡數據保護和數據流動的天平，逐步消除各個主體在數據出境時面臨的問題，才可有效助力經濟和產業發展。雖然我國逐步建立起跨境數據流動規則，但是還需完善和補充。在跨境數據流動的評估中，評估目的主要是為了保障跨境數據流動的安全性，評估重點集中在是否涉及個人利益、公共利益及國家安全等。未來評估部門要做到分工明確、標準清晰、流程便捷，為企業自評估過程提供詳細的參照標準，加強政企合作，共同培養專業數據評估人才，填補行業空白，有效保障數據流動的安全性和時效性等。

4 結語

數據在當前經濟發展中的重要性不言而喻，基于數據的特殊性，若要在未來進一步釋放數據紅利，當前全球數據保護和跨境流動的相關規則務必要與時俱進。美歐國家具有豐富的數據治理經驗和較為完善的數據治理體系，為各國數據治理提供了參考。我國的數據治理模式和方法仍在逐步探索和完善中，鑒于我國數字經濟蓬勃發展、數據要素豐裕，在借鑒他國經驗的同時，更要積極尋求符合國內數據要素保護方式和跨境數據流動的規則，逐步探索出一條符合中國特色的數據治理之路。

制定或完善數據要素跨境流動規則，也是各國面臨的一項新任務。為了減緩數字經濟過度碎片化、跨境數據流動政策過度分散化，各國應加強國際對話與合作。我國作為數字經濟大國，面對新時期全球規則的重塑，更應積極參與并發揮主動權和話語權。同時必須認識到，鑒于當前各國做法的多樣性以及對主權、隱私和國家安全的合理關切，建立相對統一和完善的跨境數據流動規則的過程必將充滿挑戰。