制度復雜性視角下的東盟數據保護一體化分析

蔣旭棟 周士新

作為當前全球數字經濟發展最快的地區之一，東南亞六國(1)谷歌和淡馬錫于2016年推出名為 e-Conomy SEA研究項目，對東南亞六國進行了統計，結果分別是：越南、泰國、菲律賓、馬來西亞、新加坡、印度尼西亞。參見：Google, Temasek and Bain & Company. e-Conomy SEA 2020[EB/OL].(2020-11-10)[2021-09-20]. https://www.bain.com/globalassets/noindex/2020/e_conomy_sea_2020_report.pdf.僅在2020年就新增互聯網用戶數4000萬，用戶總量從2015年的2.5億增長到4億，已有70%的人口成為網民。其中，越南和印度尼西亞的數字經濟以兩位數的速度快速增長。據估算，到2025年，東南亞數字經濟總額將超過3000億美元。 與此同時，與數字經濟規模擴大相伴而生的是東盟國家數據保護需求的增加。因而，東盟的數據保護制度從2016開始也經歷了從無到有、從簡到繁、制度化水平不斷提升的過程。2021年1月底，東盟發布《東盟數字總體規劃2025》(2)ASEAN Secretariat. ASEAN Digital Masterplan 2025[EB/OL]. (2021-08-01)[2022-05-12]. https://asean.org/wp-content/uploads/2021/08/ASEAN-Digital-Masterplan-2025.pdf.(以下簡稱《2025規劃》)及配套的《東盟數據管理框架》(ASEAN Data Management Framework，DMF)(3)ASEAN Secretariat. ASEAN Data Management Framework[EB/OL]. (2021-01-15)[2022-05-12]. https://asean.org/wp-content/uploads/2-ASEAN-Data-Management-Framework_Final.pdf.和《數據跨境流動合同范本》(Model Contractual Clauses for Cross Border Data Flows, MCC，以下簡稱《合同范本》)，(4)ASEAN Secretariat. ASEAN Model Contractual Clauses for Cross Border Data Flows[EB/OL]. (2021-01-13)[2022-05-13]. https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf.標志著東盟一體化的數據保護制度開始從規劃落到實處。

但是，東盟在構建一體化的數據保護制度過程中，也面臨制度復雜性的沖擊，具體表現為三個相互交疊的問題：一是東盟成員國之間數字經濟發展不均衡導致各國對利益與安全的認知不同，相互間的制度需求不能完全匹配，分歧有待彌合；二是域外制度對東盟的誘導性影響，即美歐在數據制度領域的強勢地位與東盟追求的“中心地位”之間存在矛盾；三是東盟數據制度一體化進程中面臨平衡性難題，特別是數據保護制度如何在數據本地化與自由流動之間作出符合東盟整體利益的政策取舍(trade-offs)，如何平衡經濟發展與數據安全的關系，以及如何擺脫現有國際制度的路徑依賴從而形成有自身特點的制度創新等，都在考驗著東盟制度建設者的智慧。鑒于此，上述三者構成的制度復雜性挑戰，已成為東盟在一體化過程中建設數據保護制度時必須妥善處理的問題。

一、數據保護的制度復雜性特征

21世紀以來，針對安全、經貿、氣候、能源等一系列全球治理領域出現的各類功能相似且相互重疊的國際制度，國際制度研究開始超越以往僅關注國家與國際制度關系的范疇，轉向了國際制度間(inter-institutions)層面研究。(5)孔凡偉. 制度互動研究——國際制度研究的新領域[J].國際觀察，2009(3)：44-50.另外，隨著各類國際制度間的互動增加，“制度過?！薄爸贫雀偁帯薄爸贫雀偤稀钡痊F象愈發受到學界的重視，各類制度相互交疊、嵌套而形成的制度復雜性成為備受關注的研究議題。如今，為了因應技術進步與數字經濟的不斷發展，各主要國家都在積極建設并推廣以自身利益為導向的國際數據保護制度，亦在形態與功能上形成制度間的相互交疊與嵌套，進而逐漸催生了數據治理領域的制度復雜性。

(一)制度復雜性的概念邏輯

二戰后，全球各種國際組織、各類國際制度、各個國際標準如雨后春筍般涌現出來，引發了不同規則之間的沖突與競爭。國際關系學者將由諸多重疊的、非等級的、管理某一特定問題或領域的制度界定為“機制復合體”(regime complex)，并進而將相互嵌套、部分重疊和平行的國際制度不按等級排列的現象(6)K. J. Alter and S. Meunier-Aitsahalia. The Politics of Regime Complexity[J]. Perspectives on Politics，2007，7(1)：13.稱為“制度復雜性”(regime complexity)。由是可見，學者往往首先注意各類不同國際制度交錯而成的形態，根據不同形態的表現形式給予“制度復雜性”以特殊定位。自20世紀90年代以來，國際關系學者不斷完善“制度復雜性”的內涵。例如，羅伯特·基歐漢與戴維·維克托認為，制度復雜性可以定義為“專門的、相對較窄的機制聯系，缺乏總體的結構或構建整套的等級”。(7)Robert O. Keohane and David G.Victor. The Regime Complex for Climate Change[J]. Perspectives on Politics，2011，9(1)：8.制度復雜性的核心是各種不同組織如何在國際治理方面建立起相互重疊和相互競爭的權力主張。更為重要的是，機構和規則之間沒有等級之分是制度復合體的關鍵特征。這一特征推動了制度復合體的戰略互動。(8)Karen J.Alter and Kal Raustiala. The Rise of International Regime Complexity[J]. Annual Review of Law and Social Science，2018(10)：332.

另一方面，制度復雜性也會強化國際制度的有效性，從而更好地融合各方利益與偏好，減少制度壁壘，加速資源整合，有利于形成一個良性競爭與交融的環境。這類制度復雜性的正面效應在東亞地區的制度演進過程中體現得較為明顯。東亞地區存在各種相互交織、功能重疊的國際制度，形成了較為明顯的制度復雜性特征。正是這一點為東亞地區國家相互間的協調提供了平臺，使其能夠達成可行的協議安排，從而提升了制度資源的利用效率。(11)王明國. 國際制度復雜性與東亞一體化進程[J]. 當代亞太，2013(1)：29.例如，在“瀾湄合作”問題上，即便是在“制度擁堵”的背景下，制度復雜性也為“新來者”或“遲到者”提供了正向激勵的制度競合(co-opetition)環境，切實降低了各參與方的合作成本，實現了高效的地區治理。(12)盧光盛,金珍.超越擁堵——瀾湄合作機制的發展路徑探析[J]. 世界經濟與政治，2020(7)：97-119.

簡言之，從形態上看，制度復雜性是對各類國際制度在某一時期相互交疊的一種靜態特征的描述，其本身并不具有絕對的指向性。從功能性的視角看，制度復雜性有雙重效應，既可能加劇國際制度間的碎片化，也可能促進其一體化，最終走勢取決于不同國際制度背后主導國的協調努力及其利益考慮。

(二)國際數據保護制度的制度復雜性特征

近年來，以網絡空間安全治理為代表的新興領域的國際制度安排層出不窮，其制度復雜性特征明顯。約瑟夫·奈使用網絡制度復合體(the cyber regime complex)的概念來描述當前網絡空間治理狀態。他認為，網絡制度復合體是介于一個單一且一致性的法律框架和一個完全碎片化的規范性框架之間的狀態，它可能一直發生演變，在不同的子議題領域中以不同的速度演進——在深度方面，或者在寬度和履約度方面，其進程有些會進步，有些會退步。(13)Joseph S.Nye. The Regime Complex for Managing Global Cyber Activities[R]. The Global Commission on Internet Governance，2014(5): 9.與此相應，在網絡空間安全的數據治理領域，各類新興的國際制度展現出了較為明顯的制度復雜性特征，具體表現在以下三個方面：

一是密度增加。近年來，各國對數據保護的重視程度大幅提升，逐步建立起了不同類型的監管措施來維護數字經濟的平穩發展。根據聯合國貿發會2020年的調查數據，全球66%的國家制定了有關數據和隱私的立法，其中歐洲國家占比為96%，美洲為69%，亞洲和太平洋地區為57%，非洲為50%。(14)聯合國貿發組織. 全球仍有三分之一的國家/地區未立法保護網絡數據和隱私[EB/OL]. (2020-04-29)[2022-05-16]. https://news.un.org/zh/story/2020/04/1056222.值得注意的是，數據治理中的域外適用正呈擴張趨勢。由于數據始終處于廣泛的跨境流動中，數據治理必然超越傳統意義上的主權范疇，各國紛紛立法立規，強調數據監管的域外適用性。其中，美國的《澄清境外數據明確法》(CLOUD法案)就特別強調其對數據司法調查的長臂管轄權，歐盟《通用數據保護條例》(GDPR)和中國的《個人信息保護法》對各自的域外管轄權也有專門規定。因此，域外使用的存在致使數據保護在不同法域之間相互影響，進而讓個人及企業的數據合規變得錯綜復雜。

二是非等級制。作為一個新興的國際制度領域，各國對于如何構建國內數據制度尚在摸索與試錯之中，對國際間的制度形態共識更少，故而都在努力推進相互平行的數據治理制度或倡議。2019年G20大阪峰會日本提出的“可信數據自由流動倡議”(DFFT)(15)G7 Information Centre. G7 Roadmap for Cooperation on Data Free Flow with Trust[EB/OL]. (2021-04-28)[2022-05-16]. https://www.internetjurisdiction.net/uploads/pdfs/Roadmap_for_cooperation_on_Data_Free_Flow_with_Trust.pdf.和2020年中國提出的“全球數據安全倡議”(16)中國政府網. 全球數據安全倡議[EB/OL]. (2020-09-08)[2022-05-17]. http://www.gov.cn/xinwen/2020-09/08/content_5541579.htm.等，都強調各方應求同存異，實現互利共贏和共同發展。與此同時，各方在數據制度領域相互競合，逐漸形成了“小集團競爭”的發展態勢，競爭趨勢增強。目前，世界主要國家正借助各類國際組織推廣自身的數據規則范式。其中的大部分范式先由美、歐等具有核心影響力的國家(地區)先行發起并在小范圍內達成協議，而后再推廣至其他國家和地區。例如，美國等西方國家為把WTO數字貿易改革引向對其有利的模式，積極推動建立西方數據流動治理范式，路徑是先由美歐日舉行閉門會議，然后三方發出聯合聲明，再通過G7、G20等平臺宣揚其數據治理的主張。

三是相互嵌套。這一特征在數字貿易規則中表現得尤為明顯。據統計，在2010年至2020年的數字貿易談判中，約有287項談判涉及數據的使用、流動和存儲(17)Angelina Fisher & Thomas Streinz. Confronting Data Inequality[EB/OL]. (2021-01-12)[2022-05-18]. https://www.iilj.org/wp-content/uploads/2021/04/Fisher-Streinz-Confronting-Data-Inequality-IILJ-Working-Paper-2021_1.pdf.，各國(地區)在數據存儲是否應強制本地化、如何定義“監管例外”和“公共安全例外”、其衍生出的“數字產品的非歧視待遇”“源代碼保護”等問題上因利益不同，無法形成共識且爭執不斷。美國為促進數據更自由地流動，試圖將自身的數據規則嵌入《跨太平洋伙伴關系協定》(TPP)、《美墨加協定》(USMCA)、《美日數字貿易協定》(DTA)，為此刪除了上述協定中的數據本地化例外條款。然而，《區域全面經濟伙伴關系協定》(RCEP)與《數字經濟伙伴關系協定》(DEPA)卻保留了“公共安全例外”條款，為數據本地化留下余地?？紤]到《全面與進步跨太平洋伙伴關系協定》(CPTPP)與RCEP成員國有重合，如何在不同貿易協定下合規地處理數據就成為各國貿易談判的重點，各國都期望避免“意大利面條碗”效應阻滯數據流動。

值得關注的是，全球數據治理的復雜性提升了數據跨境治理制度形成的難度。從制度的密度上看，雖然CPTPP、DEPA等多邊貿易協定對數據傳輸、存儲、安全等的規定日漸成熟，但是，不同規則間的沖突仍在不斷顯現，這顯示數據規則遠未達到如關稅、氣候、能源、勞工等傳統國際制度領域的成熟度。換言之，國際數據制度雖然在理念、規則、規范、標準等領域的復雜性較十年前有了較大程度的提升，但尚未形成一個能真實運作的“復合行為體”。此外，數據跨境治理具有非常明顯的特殊性，至少涉及國家主權與個人隱私這兩個難以讓渡的國家與個人權利問題。約瑟夫·奈認為，隱私保護領域和網絡領域沒有直接的關系(18)Angelina Fisher & Thomas Streinz. Confronting Data Inequality[EB/OL]. (2021-01-12)[2022-05-18]. https://www.iilj.org/wp-content/uploads/2021/04/Fisher-Streinz-Confronting-Data-Inequality-IILJ-Working-Paper-2021_1.pdf.，但隱私保護恰恰是數據跨境治理中的核心議題之一。因此，鑒于學術界對數據制度領域是否存在“制度復合體”尚無定論，以及為避免概念上的爭議，本文在論述過程中直接使用“制度復雜性”的概念進行論述。

二、東盟數據保護制度的復雜性挑戰

數據保護是一個復雜議題，相關制度建設會受到來自各方面的影響。從東盟的實際情況來看，數據保護制度復雜性主要受內外雙重碎片化的影響：一方面是東盟成員國數據保護制度的碎片化。東盟成員國對建設何種數據保護制度并無共識，皆依其自身國家利益與政治文化習慣進行數據保護立法；另一方面是國際數據保護制度的碎片化。美國、歐盟等東盟域外行為體都在試圖將自己的數據保護制度擴散為一種國際規范，影響東盟的數據保護制度構建。上述內外兩方面的制度碎片化，合力構成了東盟數據保護制度復雜性的基本形態。

(一)東盟成員國數據保護制度的碎片化

東盟成員國推進國內數據保護立法的進展不一，數據保護制度碎片化程度較為嚴重。根據是否有專門的數據立法、是否設立獨立的數據保護委員會、是否積極同其他國際數據機制對接，東盟國家的數據保護制度大致可以分為三類(見表1)：

表1 東南亞主要國家的個人信息保護法

(續表)

第一類：嚴格的數據本地化。越南與印度尼西亞對數據跨境流動采取強監管政策，在境內通過專門法律規范數據行為，但不設獨立的數據監管機構，對與其他的數據規則對接也比較謹慎。越南和印尼的數據立法進度之所以比新加坡、泰國等國慢，并非全部是經濟原因，而是因為兩國政治制度與意識形態對外部“威脅”更加敏感。

越南公安部在2021年2月發布《個人信息保護法(草案)》。(19)Giang Thi Huong Tran & Waewpen Piemwichai. Update on Vietnam’s Draft Decree on Personal Data Protection[EB/OL]. (2021-02-09)[2022-05-17].https://www.tilleke.com/wp-content/uploads/2021/12/Tilleke_Vietnam_PDPD_Update_Dec2021-1.pdf.該草案超越了原本的《網絡信息安全法》(CyberInformationSecurity)僅限于處理網絡商業交易中的個人信息的規定，開始明確由一部法律來整合國內政出多門的數據監管局面。這或許受到了中國國內監管制度的影響，但不同的是，越南的數據立法明確了數據出境的監管機構，即公安部下屬的“個人數據保護委員會”，并規定如需數據出境，數據處理者或控制者需向越南公安部個人數據保護委員會提交書面申請，經批準后才可傳輸。從這個意義上講，越南數據監管立法介于中、歐之間，取兩方所長。與越南的數據立法進程類似，印度尼西亞于2022年9月20日審議通過了《個人數據保護法》，較最初提出時的草案增加了4條，對個人數據的類型、數據主體權利、數據處理、違法者的處罰等都進行了明確規定。從法案文本來看，印度尼西亞的標準比越南更加嚴格，數據流動需經數據主體同意，禁止轉讓個人數據，并且特別強調個人數據轉移到印度尼西亞以外的那些國家或地區需具備同等的個人數據保護標準或水平。

第二類：有限的數據本地化。新加坡、馬來西亞、菲律賓、泰國和老撾采取的是有限的數據本地化措施。這些國家較早通過了數據立法，設立了獨立的個人數據保護委員會，積極與其他國家(地區)的數據規則進行對接。馬來西亞(2010年)、新加坡(2012年)、菲律賓(2012年)、老撾(2017年)和泰國(2019年)先后出臺了符合自身國情的數據保護規定，并持續追蹤中美歐等國家(地區)的數據規則變化，不斷根據國際數據規則的變化及數字經濟的最新發展狀況，修訂數據立法。綜合來看，上述四國數據監管政策呈現出以下四個方面的主要特征：一是借鑒了歐盟《通用數據保護條例》(GDPR)中“充分性保護”制度以及對等保護的要求，設立了符合自身利益的“充分性保護”的“白名單”制度，要求海外的數據接收方“提供同等水平的保護”來保障數據流動的安全性。二是設置獨立的個人數據保護委員會，就數據立法與安保工作專司其責，從而避免行政整體架構與執法程序上的模糊。三是積極參與國際合作，探索與美歐數據保護規則的融合之路。菲律賓與新加坡已相繼加入亞太跨境隱私規則體系(CBPRs)，新加坡在2019年與歐盟締結了自由貿易協定，推動共同標準下的數據保護合作。四是結合自身國情，探索符合國情的制度創新。例如，新加坡信息通信和媒體發展局(IMDA)推出了數據保護信托標志(DPTM)認證，從而建立起企業間的信任機制，簡化了企業間的數據跨界流程。(20)IMDA. Data Protection Trustmark Certification[EB/OL]. (2021-12-03)[2022-05-10]. https://www.imda.gov.sg/programme-listing/data-protection-trustmark-certification.馬來西亞數據保護委員會曾在2017年擬建立一個“白名單”制度(21)DLA Piper. Transfer of Personal Data to Places outside Malaysia[EB/OL]. (2021-11-17)[2022-05-16]. https://www.dlapiperdataprotection.com/index.html?t=transfer&c=MY.，以規范與美國、澳大利亞、中國、日本、菲律賓、新加坡、韓國等國的數據傳輸。

第三類：制度構建尚在進行中。柬埔寨、文萊和緬甸目前尚未頒布相關立法，對數據跨境規則暫未作特別規定，也沒有獨立的數據保護機構。當然，盡管上述國家尚未頒布任何全面的數據保護法規，但是并不等于其沒有采取數據保護措施，很多有關數據保護監管的措施包含在其他法律之中。例如，柬埔寨有關數據保護制度建設的最新進展體現在《電子商務法》中，重點在于保護電子通信過程中消費者的數據。緬甸的情況與柬埔寨類似，沒有獨立的數據保護法，其信息保護的內容散見于《電子交易法》(2021年修正案)、《金融機構法》(2016年)等相關法律法規中。值得注意的是，文萊的情況正在發生變化。文萊于2021年5月發布《關于保障文萊個人信息的公開征詢文件》，隨后在當年發布了《個人資料保障令》?？梢姡S著世界各國對數據保護與相關貿易規則的重視，文萊也在積極追趕，完善保護個人信息收集、處理與傳輸的規定。

總體來看，東盟成員國各自數據保護制度的發展，看似各自為政、相互孤立，實則是互相糾纏、相互影響，其主軸在于兩點：一是努力探索最適合自身數字經濟發展的制度，必要時可以效仿國際先進模式。二是保護自身數據主權，即便是被國際社會認為最為開放、自由的新加坡，亦在汲取歐盟“技術主權”的基礎上堅守對數據資源的自主可控。

(二)域外制度的碎片化

制度與規范的擴溢一直是國際關系研究中的主要議題，中美歐等行為體的數據保護制度對東盟制度構建的影響不容小覷。從具體內容和影響方式上看，主要體現在以下兩方面：

第一，利用法律和具有可操作性的貿易協定等作為推進數據治理的工具。(22)Matthew P. Goodman. Governing Data in the Asia-Pacific[EB/OL]. (2021-04-21)[2022-05-26]. https://www.csis.org/analysis/governing-data-asia-pacific.國家間一旦通過了數字貿易協定，即表示認可其中的數據流動條款，從而確保了部分數據保護制度不會異化成貿易壁壘，保障了締約國之間在數據議題上享有非歧視待遇。(23)Robert Holleyman. Data governance and Trade: The Asia-Pacific Leads the Way [EB/OL]. (2021-01-09)[2022-05-16]. https://www.nbr.org/publication/data-governance-and-trade-the-asia-pacific-leads-the-way.因此，數字貿易協定成為推動東盟國家數據機制一體化的重要外部因素。當前，東盟國家參與的主要貿易協定有CPTPP、RCEP、DEPA等，上述貿易協定的形式相互疊加，功能也有重合，形成了較為明顯的嵌套結構。值得注意的是，盡管上述貿易協定在關稅削減、知識產權與原產地規則等功能性需求方面存在諸多差異，但是在數據保護規則上卻有較多的相似性，大多繼承了TPP談判的核心理念，主要有：(1)對數據本地化進行一定程度的限制，不得將數據本地存儲作為企業經營的前置條件；(2)認可各國法律法規保護數據的舉措?？陀^而言，TPP針對限制數據本地化的條款是一種妥協，它既希望能在多邊框架中鼓勵數據流動，又試圖能夠早日獲得各國政府的支持，所以在促進數據流動的措辭上顯得模棱兩可。因此，有學者認為，與GATS的一般例外相比，TPP更為模糊，這或許有助于締約方達成協議，但必然會犧牲法律的確定性。(24)彭岳. 貿易規制視域下數據隱私保護的沖突與解決[J]. 比較法研究, 2018(4)：186.然而，不可否認的是，多邊框架下的有限妥協本身也是一種進步，它推進了數據保護規則的制定從主權國家內部走向國際社會，開啟了國家間制度相互對接的進程。

當然，盡管貿易協定對推動一體化的數據保護規則演進有諸多優點，但其缺陷也很明顯，主要有兩點：一是美國的自利性；二是貿易協定本身具有雙重性，即一方面要促進相關方之間的數據流動，另一方面也有助于那些制度不完善的國家利用多邊機制完善本國的數據保護制度。對美國而言，一個法律界定相對模糊和規范寬松的貿易協定，更有利于數據流向技術先進的美國，從而更好地服務于美國數字經濟。美國前總統巴拉克·奧巴馬(Barack Obama)曾希望將TPP打造為一個促進跨境數據流動、限制數字保護主義的樣板。他稱，“TPP將有助于保護開放的互聯網，防止其巴爾干化，也避免在分裂的互聯網生態中數據流動更昂貴，更頻繁地被屏蔽。”(25)Susan Ariel Aaronson. What Does TPP Mean for the Open Internet? [EB/OL]. (2015-11-16)[2022-05-26]. https://www2.gwu.edu/～iiep/assets/docs/papers/TPP%20Policy%20Brief%20EDIT.pdf.但是，一個“美式標準”的數據流動規則并不符合東盟國家的利益。數據作為數字經濟發展的生產要素與戰略資源，一旦在“美式標準”下被引導流向美國，就等于東盟國家自動放棄了自主開發和利用數據要素的產業鏈，將數據產品的供應全面委托于美國。這不僅威脅國家的供應鏈安全，也會威脅國家的政治與社會安全。對主權國家來說，安全利益往往被置于經濟利益之上。貿易協定中的數據保護規則一旦觸及國家數據安全的底線，就會處處碰壁。即便自由貿易有助于東盟國家發揮其產業優勢，但他們絕不會放棄數據安全。

第二，推進域外不同數據規則倡議的“相互嵌套”。國際政治中的制度復雜性往往表現出三種特征，即 “平行”“重疊”與“嵌套”。(26)Karen J. Alter and Sophie Meunier. The Politics of International Regime Complexity[J]. Perspectives on Politics，2009，7(1)：13-24.其中，“嵌套式制度”往往最為常見。在“嵌套式制度”下，國際制度的互動側重于兩個制度之間的銜接，解決具體問題的制度被置于更廣泛的框架中，但并不影響其各自的獨立性。(27)王濤，楊影淇. 嵌套式機制與跨界河流合作機制有效性[J]. 世界經濟與政治，2021(1)：132.目前來看，中國發起的“全球數據安全倡議”、美國主導的“跨境隱私保護規則”(CBPR)、日本力推的“可信數據流動倡議”(DFFT)，以及歐盟已實施的“通用數據保護條例”(GDPR)等都在規范層面影響著東盟國家數據跨境治理及其一體化進程。從影響力的大小排序來看，GDPR最強，CBPR次之，中日兩國力推的倡議靠后。

GDPR影響力最大的主要原因是其為一部已經實施的多邊性法律文件。在“布魯塞爾效應”(28)布魯塞爾效應是指歐盟憑借市場力量單方面監管全球市場的能力，在無需訴諸國際機構或尋求歐盟外國家合作的情況下，僅憑自身市場力量就足以將歐盟標準轉換為全球標準。的影響下，歐盟的GDPR成為很多東盟國家數據立法的樣板，例如新加坡在修訂新版《個人數據保護法令》時，就大幅參照了GDPR中的內容。當然，泰國、菲律賓、馬來西亞甚至是越南，也借鑒了GDPR來修訂或增補數據保護法律。歐盟的市場體量迫使東盟國家企業在進入歐盟市場時，必須滿足GDPR的合規要求。即便沒有實體業務，但只要涉及向歐盟民眾提供數據的服務，皆需受GDPR的管轄。(29)Kovin Stone. GDPR a Challenge for Asian Companies[EB/OL]. (2017-11-08)[2022-05-26]. https://law.asia/gdpr-challenge-asian-companies/.一些國際知名律師認為，GDPR形成的真正的壓力并非來源于監管機構，而是與歐洲有業務往來的亞洲企業，它們對即將面臨的歐盟管制感到恐懼。(30)Sam. The GDPR’s Likely Impact on Asian Organizations[EB/OL]. (2017-09-27)[2022-05-26]. https://iapp.org/news/a/the-gdprs-likely-impact-on-asian-organizations/.更為重要的是，歐盟的終極目標是要建立一個統一的數據市場，在全球數字化轉型浪潮中占據一席之地。這恰恰與東盟的戰略訴求存在相通之處，GDPR給了東盟效仿和學習的機會。

相較于GDPR的實效優勢，美國主導的CBPR具有先發優勢。自2011年起，美國就積極倡議將亞太跨境隱私保護規則作為東盟數據治理規則的樣板，但成效一般。截至目前，東盟國家中只有菲律賓加入。(31)美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞、中國臺灣地區和菲律賓已加入CBPR。盡管美國一直將CBPR包裝成“輕監管、重標準”的商業運作范式，美國商務部官員泰德·德安(Ted Dean)曾言，“CBPR通過提供自愿但可執行的隱私保護標準，建立消費者、企業和監管機構對美國和整個亞太地區企業所依賴的數據流的信任”。(32)International Trade Administration. The APEC Cross-Border Privacy Rules: Advancing Privacy and Digital Trade in Asia[EB/OL]. (2016-11-29)[2022-05-10]. https://blog.trade.gov/2016/11/29/the-apec-cross-border-privacy-rules-advancing-privacy-and-digital-trade-in-asia/.而且，從監管力度上講，一旦成為CBPR的成員國，其企業就有機會得到代理機構的“認證”。認證企業之間個人信息跨境傳輸將不受阻礙，即認證企業無需額外證明跨境信息傳輸符合他國或地區的個人信息保護法，且后者也不得以保護個人信息為由阻礙信息的跨境流動。(33)依照CBPR “政策、規則和指南”規定，認證企業仍需遵守成員國當地法律法規，如成員國的當地法使該成員參加CBPR的能力受到排除或限制，則成員國(地區)需考慮對相關法律法規進行修改。實踐中，日本在加入CBPR前修改了《個人信息保護法》，將CBPR歸為允許個人信息跨境流動的情形之一。參見洪延青.看清APEC“跨境隱私保護規則”體系背后的政治和經濟[EB/OL].(2018-02-01)[2022-08-21].http://www.dgcs-research.net/a/xueshuguandian/2018/0201/99.html.表面上看，CBPR不像GDPR那般高標準，對數據本地化也并未作高不可攀的限制，但是一旦執行，美國將憑借其技術、算法與數字企業的壟斷優勢，引導數據向美國流動，鞏固美國的數據霸權地位。這也是東盟國家寧愿選擇學習GDPR，也不愿積極加入CBPR的原因。

相對美歐對東盟地區的強勢影響，中國的《全球數據安全倡議》和日本的《可信數據自由流動倡議》(DFFT)尚在機制化進程中，不過，影響力正在不斷提升。盡管日本在2019年G20大阪峰會上提出的DFFT獲多數G20成員國認可，其在發達經濟體中的知名度稍高于中國，但在會議現場，印度、南非和印度尼西亞等國領導人并未簽字，明確表示DFFT不利于本國的數字經濟發展。相比而言，盡管中國所提出的《全球數據安全倡議》最晚，但最符合發展中國家的利益。目前，中國已經同阿拉伯國家簽署了《中阿數據安全合作倡議》，同中亞國家簽署了《“中國+中亞五國”數據安全合作倡議》。中方支持多邊主義，兼顧安全發展，堅守公平正義，在聯合國等國際組織框架下積極保障數據安全，制定符合發展中國家利益的國際數據治理規范。上述工作正不斷取得新突破。東盟在中方發起《全球數據安全倡議》之初，就對中方予以正面表態并積極響應。在菲律賓擔任中國-東盟協調國期間，其外長小特奧多羅·洛欽(Teodoro Locsin Jr.)曾代表東盟表示，“中國提出的《全球數據安全倡議》反映了各國共同關切，東盟各國高度重視。信息安全對包括東盟在內的各國未來發展至關重要，東盟愿同中方加強全球數字治理、網絡安全合作”。(34)新華社. 國際社會點贊中國全球數據安全倡議[EB/OL]. (2020-09-10)[2022-05-06]. http://www.gov.cn/xinwen/2020-09/10/content_5542394.htm.

三、東盟數據保護制度的一體化演進

東盟內外數據保護制度的雙重碎片化催生了制度復雜性，導致其在數據保護方面的功能性缺失。鑒于此，東盟采取了“一體化”的策略來彌合不同制度間的分歧，進而達成共識，形成規范，主動引導制度復雜性從一個中間狀態轉向“一體化”進程，以阻止內外雙重碎片化的制度形態在復雜性的刺激下變得更加碎片化。

(一)東盟數據保護制度的演進過程

東盟數據保護制度的建設進程，既反映了其成員國的發展訴求，也體現了其主動對其他國家(地區)模式的回應與效仿，以及更為關鍵的是，反映出其作為具有國際法人地位的地區組織的能動性。東盟努力彌合各成員國較為分散的數據保護制度，構建一個整體性的地區數據治理機制，推動更高水平的數據互聯互通。此外，東盟在積極維護其中心地位的基礎上，嘗試改善因域外各類不同數據規則重疊導致的“意大利面條碗效應”，努力取長補短、融會貫通、變革創新、提升效率。也就是說，東盟在構建數據保護制度的過程中，并不求一步到位，也不像歐盟那般直接構筑框架性的法律制度，而是采取“自下而上”、由簡到難、分階段、漸進性的方式穩步推進。

第一階段：循序漸進，確立共識。2015年11月21日，在第27屆東盟峰會上通過的《吉隆坡宣言》(35)Kuala Lumpur. Chairman’s Statement of 27th ASEAN Summit[EB/OL]. (2015-11-21)[2022-05-29]. https://asean.org/wp-content/uploads/2015/12/Final-Chairmans-Statement-of-27th-ASEAN-Summit-25-November-2015.pdf.呼吁建立一個全面的個人數據保護框架。同年，東盟電信部長會議上通過了《東盟信息通信技術總體規劃2020》(36)ASEAN Secretariat. Final Review of ASEAN ICT Masterplan 2020[EB/OL]. (2015)[2022-05-20], https://www.asean.org/wp-content/uploads/images/2015/November/ICT/15b%20--%20AIM%202020_Publication_Final.pdf.，就加強制定個人數據保護框架提出了進一步的倡議。2018年，東盟批準了《東盟數字一體化框架》，作為東盟數字經濟合作的指導性文件。為全面落實該文件，東盟于2019年制定了《〈東盟數字一體化框架〉行動計劃2019—2025》。其中，為加強數據保護與治理，支持數字經濟發展，東盟配套制定了《東盟個人數據保護框架》和《東盟數字數據治理框架》等文件。上述文件是東盟數字數據治理和隱私監管的基礎性文件，并為其成員國的國內數據立法提供了指南。

第二階段：搭建平臺，建立機制。2019年8月，在泰國舉行的首屆“東盟隱私與數據保護論壇”(ASEAN Data Protection and Privacy Forum)上，與會各方充分交換意見，共同討論了有關數據保護、隱私法規和其他舉措的區域問題，探討共同制定東盟數字數據治理機制。來自菲律賓的主持人雷蒙德(Raymund Liboro)在致辭中闡明了東盟的努力方向，即“共同努力，確保每個人的數據都能在日新月異的數字世界中得到保護；確保每個人都能從數字經濟中受益，沒有人被落下。這就是東盟方式。”“整個地區負責任的數據管理將保護并惠及我們所有的公民，會提升地區整體的競爭力?！?37)Rappler. Philippines Helms 1st ASEAN Data Protection and Privacy Forum[EB/OL]. (2019-08-22)[2022-05-29]. https://rappler.com/technology/philippines-helms-first-asean-data-protection-privacy-forum.同年10月，第19屆東盟電信部長會議通過了《東盟數據跨境流動機制的關鍵方法》，明確了東盟數據跨境流動機制的指導原則與基本路徑。基本路徑采取“雙軌制”：一是與國際規則接軌；二是與成員國國內標準接軌。為了能夠讓這套雙軌制具有可操作性，東盟采取“認證”的辦法，通過成立一個數據保護機構，管理認證監管與發放體系。東盟認證機構將構建執法合作框架，加強對數據保護的管理。數據保護制度尚不健全的東盟國家，可以先借鑒《歐盟標準合同》(SCCs)的方式優先滿足商業需求，待其法律制度完善后，再納入東盟的認證體制。為保障上述系統的運行，東盟還將建立相關工作組，制定東盟認證機構的細節，用作標準示范的合同條款、操作指南等。(38)ADGMIN. Asean Data Management Framework and Asean Cross Border Data Flows Mechanism[EB/OL].(2021-01)[2022-06-11]. https://asean.org/wp-content/uploads/2021/08/Implementing-Guidelines-for-ASEAN-Data-Management-Framework-and-Cross-Border-Data Flows.pdf#:～:text=The%20Key%20Approaches%20for%20the%20ASEAN%20Cross%20Border,and%20ASEAN%20Certification%20for%20Cross%20Border%20Data%20Flows.

2020年8月，東盟發布了《互聯互通總體規劃2025》。為增強數據治理能力，加快數據治理機制的落實，該文件提出了一個“三步走戰略”(39)ASEAN Secretariat. Master Plan on ASEAN Connectivity 2025[EB/OL]. (2016-08)[2022-06-12]. https://asean.org/wp-content/uploads/2021/08/8_compressed.pdf.：第一步，明確東盟各成員國的數據管理辦法與需求；第二步，設立東盟數據治理論壇，讓各成員國分享經驗，并在此平臺上進行政策溝通與協調；第三步，在充分了解成員國需求與困難后，逐步建立東盟數字數據治理的基本框架。

第三階段：制度保障，加速推進。東盟數字部長在舉行系列會議后，于2021年通過了《東盟數字總體規劃2025》(以下簡稱《2025規劃》)，以取代舊版的《東盟信息通信技術總體規劃2020》。《2025規劃》為東盟2021—2025年的數字經濟發展提供了總體框架與路線圖，旨在加快東盟數字化轉型進程，將東盟建設成一個更具包容性的數字經濟體。在這種情況下，建立一體化的數據保護制度就顯得更加重要，東盟也將降低數據跨境流動障礙，把數字市場發展列為優先事項。(40)ASEAN Secretariat. ASEAN Digital Masterplan 2025[EB/OL]. (2021-08)[2022-06-12]. https://asean.org/wp-content/uploads/2021/08/ASEAN-Digital-Masterplan-2025.pdf.與此同時，作為配套措施，東盟發布了《數據管理框架》和《合同范本》，在數據規則的約束力與互操作性上邁出了一大步?！稊祿芾砜蚣堋芬员Ｕ蠑祿魍ā叭芷凇卑踩珵樽谥迹〝祿卫淼闹饕獧C制、程序性文件的編制、數據清單、風險評估與監控改進等(41)ADGSOM. ASEAN Data Management Framework[EB/OL]. (2021-01)[2022-06-19]. https://asean.org/wp-content/uploads/2-ASEAN-Data-Management-Framework_Final.pdf.，給東盟國家企業提供了一份數據管理的“操作指南”，為企業數據安全建設與合規提供參考。

如果說東盟《數據管理框架》僅提供了一個宏觀層面的操作樣板，那么東盟《合同范本》則是提供了一份微觀層面的“操作手冊”，給東盟企業間的數據傳輸提供了法律依據，保障了企業救濟機制的有效運行，使企業能在尚沒有東盟統一的數據流動規則的情況下，遵守具有合規性的數據規則。同年4月，東盟發布了《〈東盟經濟共同體藍圖2025〉中期審議報告》(以下簡稱《中期報告》)，(42)ASEAN Secretariat. Mid Term Review ASEAN Economic Community Blueprint 2025[EB/OL]. (2021-04)[2022-06-20].https://asean.org/wp-content/uploads/2021/04/mid-term-review-report.pdf.總結了東盟數據規則的發展成就，但也指出了諸多尚待完善之處。例如，許多關于數據保護的倡議仍然較“軟”，主要側重于能力建設和信息共享，缺乏實質性的約束力。為此，《中期報告》建議東盟應加快倡議的落地，確保后續行動的持續開展、執行與監督。(43)ASEAN Secretariat. Mid Term Review ASEAN Economic Community Blueprint 2025[EB/OL]. (2021-04)[2022-06-20].https://asean.org/wp-content/uploads/2021/04/mid-term-review-report.pdf.此外，如何完善監管，實現“沙盒監管”(44)沙盒監管(Regulatory Sandbox)是2015年英國金融監管局率先提出的創新監管理念，即劃定一個范圍，對在“盒子”里面的企業采取包容審慎的監管措施，同時杜絕將問題擴散到“盒子”外面，屬于在可控的范圍之內實行容錯糾錯機制，避免“一管就死，一放就亂”的管理困局，在保護與監管之間找到了最佳結合點。等制度創新，也是東盟今后的必修課。

(二)東盟數據保護制度一體化的特點

東盟數據保護制度一體化的進程，旨在從功能上加強制度的功效，避免碎片化造成制度撕裂。從制度復雜性的角度看，東盟數據保護制度一體化呈現出兩個鮮明特點：

第一，從過程上看，東盟數據保護制度的一體化進程體現了復雜巨系統的涌現特征。涌現是復雜系統突破閾值之后的某個狀態，是隨著系統發展而呈現出的新特性。在由許多自組織實體或行為體(autonomous entities or agents)組成的系統中，秩序和組織的涌現是一個非常普遍的過程，其一般會涉及一個基本問題：“一個實體是如何產生的？”(45)Jochen Fromm. Types and Forms of Emergence[EB/OL]. (2005-06)[2022-06-22]. https://arxiv.org/ftp/nlin/papers/0506/0506028.pdf.東盟數據規則的實體化和更具可操作性的過程，即由無序向有序，由分散向聚合，由各國獨立監管向東盟統一監管邁進的過程，而一體化規則本身就是在復雜系統中“涌現”出的新特征?！扒短住薄敖化B”等形式的制度復雜性呈現出結果之前必然有一個形成的過程。然而，對這種過程的研究，恰恰是功能主義的盲點。眾所周知，無論是現實主義或是自由主義，往往傾向于將已知的結構或利益看成是一種靜止的狀態，選擇案例時傾向于選擇那種時空靜止的節點。然而，復雜性的研究主體必然是流動的，反復出現平衡到不平衡再到平衡的動態進程。因此，在復雜系統中產生“涌現”的基本條件是自組織狀態下的動態過程。

第二，從功能性上看，東盟數據保護制度一體化尤其注重降低交易成本。以《東盟個人數據保護框架》和《東盟數字數據治理框架》為基礎，東盟建立了統一的數據保護和隱私法規和框架。同時，東盟在《東盟跨境數據流動機制實施指南》的基礎上，正逐步構建一套具有共識的數據流動機制，促進跨境數據流動。(46)ASEAN Secretariat. ASEAN Digital Masterplan 2025[EB/OL]. (2021-08)[2022-06-22]. https://asean.org/wp-content/uploads/2021/08/ASEAN-Digital-Masterplan-2025.pdf.更為重要的是，一個有較強內部凝聚力的數據流動機制會進一步增強東盟抵御外部數據制度選擇的壓力，從而提高東盟的戰略自主性。從趨勢上看，東盟數據治理框架會從以下三個方向進行拓展：(1)監管數字服務平臺巨頭，建立跨東盟立場；(2)就東盟云數據進行示范立法，內容涵蓋隱私保護、訪問規則等；(3)協調成員國立法，促進跨境數據傳輸。同時，相比歐盟的數據治理模式，東盟更重視數據治理的經濟性。東盟推進的數據跨境規則一體化著眼于整合域內和域外的經濟資源，通過促進數據保護標準的統一，促進商業、物流與生產要素流動的便利化。

四、東盟數據保護制度一體化演進前瞻

盡管制度復雜性往往被認為是強國用以壓制弱國的工具，只有強國才具備駕馭繁雜且相互嵌套的國際制度的物質資源和專業知識能力，(47)Daniel W. Drezner, The Power and Peril of Regime Complexity[J]. Perspectives on Politics，2009，7(1)：67-68.但是制度復雜性也能給弱勢國家重新設定規范和議程的機會，即增強其議價地位、提高其討價還價的能力?？绮块T戰略行動的機會不僅能被資源豐富的國家利用，而且也會被資源少得多的國家分享，最終促進那些試圖改變現有體制的行為體利益的實現。(48)Benjamin Faude & Thomas Gehring. Regime Complexes as Governance Systems[J]. Research Handbook on the Politics of International Law, 2015(11)：23-24.從這個意義上說，制度復雜性的形成實質上為東盟提供了介入國際數據保護制度建設平臺的機會。

從機制運行層面看，東盟主動介入制度復雜性的演進過程，實質上起到了負反饋的作用，阻止了制度復雜性進一步復雜化，有利于地區制度的有序發展。一般而言，正反饋是指反饋信息與輸入信號的調整方向一致，反饋信息讓受控部分朝著原先活動的方向發展，起到的是系統增強的作用。在國際關系中，“多米諾骨牌”效應與“安全困境的螺旋”就是典型的正反饋機制。制度復雜性的正反饋主要體現為讓原先就比較復雜的制度網絡朝更加復雜的方向發展。與此相對應，負反饋是指反饋信息與輸入信號的調整方向不一致，受控部分的活動朝著與它原先預想的相反方向運動，對原有系統起到抑制或削弱的作用。在國際關系中，“均勢”就是一種反復發生的負反饋機制，一個崛起國家往往會受到他國抵制，不會無限擴張。在制度復雜性的演進過程中，一旦遇到負反饋，其復雜性就會受到抑制，復雜性演進的強度趨緩。因此，東盟設立一體化的數據保護制度，即在原先制度復雜性的進程中設置一個負反饋的“閥門”。

圖1 東盟介入后的負反饋機制

一個較為理想的結果是，制度復雜性在受到負反饋的影響后，能扭轉制度復雜性朝無序混亂的方向發展，轉而朝向穩定有序的方向發展，進而形成一個良性循環，即東盟數據保護與制度復雜性相互促進、協同發展(見圖1)。這主要表現為以下三個方面：

第一，負反饋引導良性的制度競爭，進而誘發制度耦合，產生兼容并蓄的效果。羅伯特·阿克塞爾羅德(Robert Axelrod)認為，即便是在長久的“一報還一報”的競爭狀態下，也會誘發合作的因素，但前提是，“一報還一報”需綜合善良性(不首先背叛)、報復性、寬容性(不主動連續背叛)和清晰性。報復性會使對方試著背叛一次后就不敢再背叛，寬容性有助于重新恢復合作，清晰性容易增強對方的理解，從而激發長期合作。(49)[美]阿克塞爾羅德.合作的進化[M]. 吳堅忠,譯. 上海：上海人民出版社，2007：36.因此，良性競爭的前提是雙方都不越界，并愿意將競爭“透明化”。這與“競爭的螺旋”有著本質的不同。它至少應該是一種競爭性多邊主義( contested multilateralism)(50)朱麗亞·莫爾斯(Julia Morse)和羅伯特·基歐漢(Robert O. Keohane)將“競爭性多邊主義”定義為“國家、多邊組織和非國家行為體在國家戰略的推動下，使用現有或新創建的多邊制度來挑戰現有多邊制度的規則、實踐或職責”的情形。參見：國際秩序的構建：歷史、現在和未來[J].外交評論，2015(6)：20-26.Julia C. Morse and Robert O. Keohane. Contested multilateralism[J]. Review of International Organizations，2014，9(4)：385-412.，而非相互脫鉤。從數據保護制度競爭來看，雖然當前東盟圍繞數據保護的議題爭議頗多，但它亦通過保持接觸，增加機制耦合的接觸點，創造出對多方有利的數據治理機制。

為維護和增強在地區架構中的中心地位，東盟以史為鑒，始終努力避免惡性制度競爭引發的制度間極化對抗。從歷史上看，極化制度性對抗的最典型表現是美蘇冷戰，在軍事上表現為北約與華約的競爭，在經濟上表現為馬歇爾計劃與經互會的競爭，在東南亞表現為“分裂的地區格局”。當前，中美兩國在亞太地區的數據制度競爭烈度不斷增強，這將進一步影響東盟的制度選擇。(51)Karen J. Alter & Kal Raustiala. The Rise of International Regime Complexity[J]. Annual Review of Law and Social Sciences，2018(06)：19.從這個角度看，東盟內部與外部的不同數據保護制度的競爭可能不會隨著時間的推移而逐步達成平衡，而是隨著愈發分裂的外部數據制度競爭陷入兩難困境。東盟必須通過加強制度一體化阻止部分東盟國家為降低數據合規成本而選邊站隊，否則，該地區內將出現“制度”極化對抗現象。

第二，負反饋促進制度間的相互學習，并在相互借鑒中不斷進步。制度復雜性除了給東盟國家提供選擇的權利外，也可以讓東盟成員國的精英們有學習機會，進而在相互借鑒、取長補短中設計更符合東盟發展的數據跨境規則。在復合相互依賴情境下，相互學習是常見現象。基歐漢提出的漸增學習(incremental learning)概念認為，國際機制在漸增學習中發揮著重要作用：一是國際機制能夠改變國家官僚機構標準的運行程序；二是為次國家行為體提供了新的結盟機遇；三是為第三方提供了更多的準入渠道，通過制度內聯系改變參與者的態度；四是提供了規則遵從信息，促進對他者行為的學習；五是有助于某問題與其他問題的脫鉤，從而促進專業談判團隊的學習。(52)[美]羅伯特·基歐漢，約瑟夫·奈. 權力與相互依賴[M]. 門洪華,譯. 北京：北京大學出版社，2012：320.隨著制度復雜性不斷增強，國際機制可以從外部向諸國的精英群體提供學習空間，重新塑造其利益認知。就內部因素而言，行為體自身目標定位、主要成員類型、能力建設及其規范價值，特別是同機制核心行為體的互動，是影響其在體系中嵌構程度的重要因素。對核心價值和規范的認同對行為體在體系中的資源獲得及身份界定同樣具有關鍵作用。(53)劉暢. 國際社會自發性協調與機制復合體研究——以可持續發展標準領域的機制為例[J]. 國際關系研究，2019(6)：107.

對東盟國家來說，雖然TPP從一開始就設立了一個較高標準的數據流動規則，但是在談判的過程中，東盟政治精英逐漸接受了TPP中對數據流動的要求，并在CPTPP與RCEP中保留了相關規則。不僅如此，東盟國家還在此基礎上發展出了自身的數據流通規則，并在《東盟電子商務協定》及新加坡、新西蘭與智利簽署的《數字經濟伙伴關系協定》(DEPA)中得到貫徹。與此同時，就如同中國接受了WTO規則后改變了上千條的國內立法來適應WTO標準一樣，東盟國家參與談判并簽署電子商務協定后，也要經歷一個外部標準內化的過程。在加入CPTPP或RCEP后，東盟國家為確保協議生效落地實施，必然要變更國內既有法律或制定新法來滿足對外交往的需要，而修法過程本身就是一個政治精英相互磋商、博弈與學習的過程，從而形成一個新的規則體系。這對內來說是新法律，對外則是東盟數據規劃與管理框架。所以，制度復雜性賦予了東盟成員國政治精英學習的機會，由外而內地塑造了東盟政治精英的認知，改變了國內立法，而后再由內而外促成了當前東盟數據保護的基本框架。

第三，負反饋催生新生產要素“脫嵌”，衍生出更適合自身的發展方向。從大歷史的視野來看，數據保護制度本身正在經歷由“嵌入”向“脫嵌”轉變的發展過程，這與波蘭尼筆下的“雙向運動”極為相似?？枴げㄌm尼(Karl Polanyi)在《巨變》(54)[英]卡爾·波蘭尼. 巨變:當代政治與經濟起源[M]. 黃樹民,譯. 北京：當代世界出版，2020：26-27.中提出了一種“嵌入”與“脫嵌”互動的觀點。他認為，原本嵌入在社會中的“市場”一旦“脫嵌”獨立出來，就會形成一種雙向運動，一方面是自發調節的市場運動；另一方面是社會大眾對自由市場的反對運動。類似的“雙向運動”在數據跨境機制的形成過程中也可以看到。數據原本是“嵌入”在物理層面中的“技術工具”，但隨著技術的不斷提升，數據已經逐漸脫離其依附的文件、電腦等物理載體，轉變為經濟發展中的獨立要素。這種獨立性漸增的過程可以類比為波蘭尼所謂的“脫嵌”過程。同時，原先針對數據保護制度的討論嵌入電子商務談判，但與數據“要素化”相伴而來的是跨境數據保護制度本身的獨立性也在提升，逐步從原先的電子商務談判子議題演變為獨立的國際制度。

在東盟的電子商務談判中，最初的數據保護問題只是其中的一個子類。例如，在CPTPP談判過程中，數據保護與流動規則無論在談判的優先度還是重要性上都遠不如關稅、勞工、環境和知識產權等議題。然而，經歷RCEP多輪談判，東盟國家對數據保護產生了新的再認識，其數字主權等自我意識也隨之覺醒。因此，東盟的數據保護制度開始從附屬狀態下逐漸獨立出來。2019年8月召開的“東盟隱私與數據保護論壇”就數據保護問題進行了專題討論，形成了《東盟數據管理框架》與《數據跨境流動合同范本》等基礎性文件。這種由“從屬地位”向“獨立地位”轉變的特征，與波蘭尼的“脫嵌”邏輯如出一轍，而獨立出來的數據保護制度本身，也引起了雙向運動：一方面，數據保護制度需要的資源越來越多，改變了原有的通過國家體系、分配制度，甚至個人隱私權的讓渡來保護數據安全跨境流動的情況；另一方面，國家對無序數據跨境流動的抵制，引起了包括數據主權、數據本地化在內的一系列爭論。最終，這種“雙向運動”在矛盾的對立統一中推動數據保護治理。

五、結語

客觀而言，數據保護制度建設也存在一個“不可能三角”(55)黃寧，李楊.“三難選擇”下跨境數據流動規制的演進與成因[J]. 清華大學學報(哲學社會科學版)，2017(5)：182.，即“良好的數據保護”“跨境數據自由流動”和“數據保護自主權”無法同時兼顧。在此框架下，規制目標之間的平衡、參與主體之間的競爭，以及規制本身對約束力和執行力的訴求，構成了推動規制演進的三重因素，共同影響了規制演進的方向。(56)黃寧，李楊.“三難選擇”下跨境數據流動規制的演進與成因[J]. 清華大學學報(哲學社會科學版)，2017(5)：182.在現實世界中，一個行為往往無法同時滿足兩個最優解，更不用說三個行為了。這也是中國俗語“魚與熊掌不可兼得”的邏輯。以現代博弈論的觀點來看，就是“帕累托最優”難以實現，即便能夠實現也極不穩定。因此，東盟在建設一體化的數據保護制度的過程中，不得不特別關注內外規則在長期互動中形成的制度復雜性。例如，東盟與域外行為體在促進數據保護制度的互動方面呈現出非常明顯的嵌套特征，同時，東盟成員國在建構自身數據保護制度，以及推動建構東盟一體化的數據保護制度方面呈現出了較為明顯的自組織涌現的特征。另一方面，東盟數據保護制度的一體化本身也起到了負反饋的作用，在平抑復雜性的同時，也為東盟提供了有序穩定的制度建設環境，推動了東盟數據保護制度的完善。