中國與歐盟數據安全治理：比較、借鑒與合作前景

摘要：數字經濟時代各國在充分釋放數據要素價值的同時，也面臨著新型數據安全風險挑戰。全球治理、國家安全與公民權利三個層面均顯示出數據安全治理刻不容緩。中國與歐盟的數據安全治理在理念、路徑、體系方面相容與差異共存，表現在個人隱私與國家安全理念的兼顧，數據主權與數據安全兼容的治理路徑，從單一轉向多元的治理體系構建。中歐雙方面對共同的困境與挑戰，有著共同的堅持與相同的立場，雙方應建立多元化長效交流機制，將數據安全融入國際公共產品，并以聯合國《全球數字契約》為契機，共同探索全球數據安全治理，凝聚更多共識、增進互信，實現中歐雙方在數據安全治理中互利共贏的良好局面。

關鍵詞：數據安全治理；中歐合作；數據主權；國家安全

數字技術催生數字經濟，數據作為關鍵生產要素成為數字經濟深入發展的重要引擎。數字時代背景下，全球通過互聯網將現實世界與虛擬空間相結合，產生了大量數據和信息傳遞。然而，在大量數據與信息得到及時傳輸的同時，數據安全也面臨著極大的挑戰。數據已成為各國國家的基礎性戰略資源。數據安全治理成為世界各國在推動數字化轉型的過程中需要面對的重要議題。中國和歐盟也不例外，且在數據治理過程中各具特色。歐盟作為數據保護立法起步較早、數據安全觀念形成早、數據安全治理較為成熟的國家之一，在平衡數據發展與安全，推進歐盟數字化戰略的同時，也在持續抵御數據霸權主義的侵害；中國在數據安全治理過程中，同樣面臨數據發展與安全的平衡問題和抵御數據霸權的威脅。通過對中國與歐盟在數據安全治理方面的比較分析，總結中歐合作的基礎，提出中歐合作的前景展望。

一、數據安全治理的必要性分析

數據安全問題自計算機誕生以來就已經存在，對數據安全風險的防范與安全問題的解決也逐漸從專業的信息技術領域發展至國家安全領域。進入大數據時代和數字時代后，數據安全問題面臨的不再是簡單的技術能力問題，而是疊合復雜的時代背景與新業態的產生多元化的應用場景，解決數據安全問題升級成為數據安全治理一個重要的安全議題。自《數據安全法》頒布后，數據安全有了明確的定義：指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。自20 世紀90 年代“治理”理論興起以來，學界關于“治理”定義的探討各有不同，但對“治理”基本理解為：不同主體為了管理共同事務，通過協調和配合進行持續互動的過程。因此可將“數據安全治理”理解為：治理主體為持續有效保護數據的安全，通過國家戰略方針、國家政策、法律法規、行業標準等措施，建立健全數據安全頂層設計與制度體系的過程。而數據安全治理的對象是數據安全，本文所研究的數據安全是指通用于所有領域的數據安全，即整體性的數據安全。

（一）數據安全治理是全球治理重要組成部分

1. 全球治理的內涵

冷戰結束后，伴隨全球化進程的發展，全球治理理論應運而生。全球治理并非國家政府統治，而是從國家層面的統治延伸至國際層面的治理。該理論放棄了以國家為核心的研究視角，區別于二元對立的傳統思維，不關注靜態對象性的研究方法，而是強調過程的重要性。基本可以認為，全球治理是“通過具有約束力的國際規則解決全球性的沖突、生態、人權、移民、毒品、走私、傳染病等問題，以維持正常的國際政治經濟的秩序”。全球治理的對象則是全球性問題，必須通過國際社會共同解決，它已超出個體或某一群體的內部沖突，上升至絕大多數群體正在面臨或將要面臨的困難與挑戰；全球治理的主體是多元化的，包括國家政府、國際組織、跨國公司等；全球治理的手段和方式是國際規范；全球治理的目的是解決全球性的問題，維持全球秩序。

2. 數據安全是全球治理的重要對象

進入21 世紀后，人類社會逐漸從信息化時代邁入數字化進程，各國依賴數字技術實現數字經濟與經濟復蘇，數字化轉型成為世界各國經濟增長的引擎，也成為后疫情時代重塑全球價值鏈的變革性力量。2021 年全球47 個主要經濟體數字經濟的規模為38.1 萬億美元，占GDP比重為45%，數字化轉型與發展數字經濟已成為國際社會的普遍共識，數字經濟對全球經濟的發展產生了深遠的影響。數據作為數字經濟的關鍵生產要素，數據的發展戰略也已升級成為各國的發展戰略之一。自“棱鏡門”事件曝光后，數據安全更加受到國際社會的重視。亞太經濟合作組織通過建立隱私框架、制定跨境隱私規則體系保護數據安全；歐美達成《跨大西洋數據隱私框架》；中國同中亞五國、阿拉伯國家分別簽署了數據安全合作倡議。數據安全已不局限于某一領域，其帶來的負面影響和損害早已超出單個國家所能解決的范疇，數據安全成為全球治理必須面對的治理對象，數據安全治理也應成為當今全球治理中的單獨議題。

（二）數據安全治理是維護國家安全的重要基石

國家安全是指國家政權、主權、統一和領土完整、人民福祉、經濟社會可持續發展和國家其他重大利益相對處于沒有危險和不受內外威脅的狀態，以及保障持續安全狀態的能力。4隨著科技的發展，非傳統安全也成為國家安全的一類，其中數據安全在國家安全中占有重要地位。國家對數據的掌控能力成為當前衡量國家實力的關鍵因素。

1. 數據的邊界模糊影響重要情報的泄露

海量的數據隨著數字技術的發展隨時被抓取與搜集，這就造成了敏感數據與非敏感數據的邊界模糊，國家機密變得難以界定。通過數據分析和數據挖掘，可以從碎片化的、不具有敏感性的數據中分析出敏感的、可識別的信息。即便數據通過脫敏技術進行過清洗，仍舊可以從剩余的碎片數據中整合分析出重要的信息或者情報。美國國家情報局副局長Thomas Fingar曾表示公開渠道能為美國多數情報機構提供高達90%的信息，通過對公開渠道的碎片海量信息進行數據分析后，可得到所需的情報。看似孤立的數據背后是數據分析能力基于相互關系分析預測碎片數據，最終形成信息網絡，提供目標國家的重要情報。因此，數據安全治理的目的之一就是筑牢國家安全的屏障。

2. 以數據安全應對數據霸權

隨著數字技術的發展出現了“數字鴻溝”，不同的國家在數字技術領域的發展參差不齊，美國作為信息技術領域最發達的國家，在數字產品與數字服務中占據優勢。其所開發的谷歌、雅虎、必應，不僅主宰了美國的國內市場，也成為全球最受歡迎的搜索引擎。由此獲得的海量數據被美國所搜集和掌握。除此之外，美國國家安全局還對各國政要進行監聽，比如對德國總理默克爾電話的監聽長達數年。美國通過技術優勢進行竊聽已經屢見不鮮，但這一過度采集他國重要數據的行為是侵犯他國主權的行為。除此之外，長臂管轄權在數據領域的濫用以及惡意管制也是表現其數據霸權主義的行徑之一。通過數據安全立法及戰略，樹立數據主權的邊界，當主權邊界得到明晰，安全的邊界也會變得明朗。數據主權受到保護的同時，數據安全也得到有效地防護，避免他國隨意調取本國重要數據及敏感數據。因此，在數字化發展的進程中，國家行為體對數據安全的治理迫在眉睫。

（三）數據安全治理是保護公民權利的需求

在數字時代，數據是新的生產要素，更是重要的生產力。隨著數據活動在生產活動中海量增加，數據安全問題愈演愈烈，數據安全形勢越發復雜，給公民個人權益帶來諸多風險。各國對公民數據權利的保護以個人隱私權為基礎。公民隱私權是公民的基礎性權利，即個人信息不受侵犯的消極權利。

1. 數據泄露暴露個人隱私

數字時代背景下，每個人生活、工作的點滴都留下了數據的痕跡。根據Security 雜志盤點的2022 最嚴重的十大數據泄露事件，外賣巨頭DoorDash 遭到黑客攻擊，致使490 萬客戶的個人姓名、電子郵箱、送貨地址、電話號碼和部分支付卡片的信息遭到泄露。更為復雜的是：“一旦將數據通過自動化技術整合后，就會逐漸還原和預測個人生活的軌跡和全貌，使個人隱私無所遁形”。T-mobile 是一家擁有1.1 億客戶的跨國移動電話運營商，自2018 以來已經發生過8 起大型數據泄露事件，在近期的數據泄露事件中造成了3700 萬用戶的姓名、出生日期、電話號碼的泄露。根據IBM 的統計，2022 年其研究的13 家公司涉及100 萬—6000 萬條記錄丟失或被盜的數據泄露事件。個人數據泄露往往是大量的、豐富種類的數據泄露，而部分有用的個人信息加以整合拼湊，就能得到一個人較為全面的基礎性信息，甚至是關鍵信息，由此會對個人隱私產生極大的侵害。

2. 個人隱私權的法律保護

正因數字時代數據安全治理行為體的多元化發展，各個行為體之間對不同的數據享有不同的數據權益。在利用不同數據獲得豐厚紅利的同時，個人隱私保護問題也成為數據發展中關注的焦點。2019 年Cisco 公司的調研結果顯示，84%的受訪者表示在意個人隱私及對隱私數據的控制使用。個人隱私權既是一項基本的私法權利，也是一項重要的人權。就國際層面而言，隱私權作為人權在《世界人權宣言》《公民權利和政治權利公約》得到確認；國內層面，各國通過將隱私權寫入憲法，確認隱私權作為公民基本權利的存在，并制定專項立法解決隱私權引發的私法糾紛。當前，明確公民享有這些權利的法律法規仍呈現碎片化、分散性的狀態，對各類權利的邊界和屬性仍需明確，公民隱私權的保護仍在不斷完善。

數據安全治理是一項龐大的治理工程，雖然數據安全治理的對象僅是數據安全，但是數據安全涵蓋的范圍寬泛，早已超出單一治理主體可以完成治理的范疇，數據安全治理也已經不再是某一單一領域、使用單一手段和工具就能完成的治理，而數據安全治理影響的范圍也涉及個體、社會、國家等多個層面的不同群體。數據安全治理成為集體的共同訴求。

二、治理理念：國家和個人兼顧

隨著信息技術的更新迭代，時代背景的復雜多變，信息技術在多領域的融合使得數據安全獲得各國的重視，并成為各國難以解決的問題之一。治理理念是后續規則制定的指南與導向，因此數據安全治理理念決定了數據安全治理體系的框架與規則的構建。

（一）中國：以“國家”為中心，兼顧個人權利保護的治理理念

中國現行對數據安全以《數據安全法》作為該領域的基礎性法律，明確數據安全堅持以總體國家安全觀為指導，以法律規定的形式明確了數據安全應以國家安全為中心，《個人信息保護法》則賦予個人信息權益保護，筑牢個人信息安全保護的屏障，實現對數據安全的有效治理。中國在數據安全領域的法律規制起步較晚，但是數據安全隨著數字技術和數據應用日益得到重視。在中國的法律中，數據與信息并無明確的區別，有時兩詞甚至混用，在最初出現信息安全時，數據保護隸屬于信息安全范疇之內，因此對數據安全的立法研究可以從信息安全立法的歷史進行溯源。中國在國家層面對信息安全的法律保護始于1994 年的《計算機信息系統安全保護條例》，該條例重點保護國家事務、國防建設和尖端科學等重要領域，國家安全部及國家保密局負有相關職責。2000 年頒布的首部信息安全法律《全國人民代表大會常務委員會關于維護互聯網安全的決定》明確對侵入國家重要領域及泄露國家或軍事情報的行為追究刑事責任。隨后通過印發各類政策文件明確保障信息安全對維護國家安全具有重大意義。2015 年頒布的《國家安全法》第25 條載明了重要領域信息系統及數據的安全可控性，隨后頒布的《網絡安全法》《數據安全法》《密碼法》均以總體國家安全觀為指導，其中都對數據安全加以規定。由此可見，中國數據安全立法理念從伊始就以“國家”為中心，始終將國家重要領域的利益與安全融入信息安全和數據安全的法律制度之中。

中國對個人信息安全的保護融入國家利益和安全。對個人信息的保護最初以“非法獲取和提供個人信息”罪寫入2009 年頒布的《刑法修正案（七）》，而后《侵權責任法》首次將“隱私權”確立為民事權益，隨后的《電子商務法》《消費者權益保護法》等法律中都有對個人信息保護的法律規定，最終在中國《民法典》中設有專章將個人信息保護和隱私權正式納入其中，而《個人信息保護法》則明確個人信息權益的私權保護與個人信息處理的公法監管并行，明晰私主體與公權力機關的責任義務，最大限度地保護個人信息權益。可以認為，中國對于個人信息安全與隱私權的保護民、刑兼顧，從最初的原則性立法條款，難以進行司法實踐，發展至基礎的、完整的法律框架及內容，構筑了完整的個人信息保護權利意識，并且私權利主體可以得到充分的司法救濟。

中國的數據安全治理由最初的信息安全規制逐漸發展至數據安全的規制，以國家利益、安全為中心和重點，私權利主體的數據安全及隱私權的法律保護隨之發展，并逐步樹立個人信息安全與隱私權的保護意識。

（二）歐盟：從“個人”出發，兼達“聯盟”與“國家”安全的治理理念

歐盟在數據安全與信息保護領域，受到一定程度“人本”思想的影響，加上第二次世界大戰期間納粹政權對個人信息的濫用，進一步加深了歐洲立法對于個人隱私保護的關注，有關數據保護的立法理念一直以人權為重心，其初期對數據安全的法律保護就始于個人權利的保護。1950 年歐洲委員會制定的《歐洲人權公約》第8 條已經包含了個人隱私權，隱私權是人權的一項基本權利。在20 世紀六七十年代，歐洲一些國家逐漸意識到自由放任的信息和通信技術的發展會對社會自由和個人隱私構成威脅。于是，歐共體著力于自然人的基本權利保護和內部市場建構，在1981 年通過《關于個人數據自動處理過程中的個人保護公約》，明確了個人信息的基本概念，還對信息安全、個人數據跨境傳輸等進行規制，而1995 年的《個人信息保護指令》則全面地規定了個人信息保護制度，并強調對隱私權的保護。2007 年《歐盟基本權利憲章》作為歐盟有法律約束力的文本，納入了隱私權和個人數據保護權，為歐盟數據保護的法律構建提供了基礎。直至《一般數據保護條例》（以下簡稱“GDPR”）出臺，“個人數據權利是公民的基本權利”這一觀念開始逐漸被國際社會普遍接受。GDPR 建構了適用于全體成員國的個人數據保護的通用框架，自此，歐盟有關數據安全與數據保護的法律法規以GDPR 為中心進行修訂和完善。

歐盟在信息化及數字化的安全領域更強調以網絡安全為核心，其網絡安全所含內容包括數據的安全狀態。歐盟數據安全問題分為聯盟安全與各成員國安全兩個部分，即“對內”與“對外”之分。從對外的數據安全層面而言，歐盟尤其注重數據存儲與傳輸中的安全問題，這一重視表現為歐美跨境數據流動協議兩次無效事件。“安全港”協議的無效源于MaximilianSchrems 提起的申訴，Max 曾表示美國的“棱鏡計劃”“上游計劃”等美國國安局監控計劃已經持續十年多，這也是他挑戰跨境數據協議的起源。而愛德華·斯諾登披露美國安全部門對歐洲批量數據的過度訪問，也成為歐盟法院兩次認定跨大西洋傳輸個人數據非法的原因之一。對內即國家安全層面，歐盟在GDPR 第23 條限制條款允許成員國因國家安全、公共安全等對數據主體以必要限制，給予各成員國在國家安全中以必要限制。《網絡彈性法案》第52 條是對保密的規定，在執行本條例時對獲得的公共或國家安全的信息，各方應當給予保護。

（三）中歐治理理念的異曲同工

雖然中國和歐盟的數據安全發展進程有時間差別，歐盟在數據保護意識形態上出現得更早，形成其獨有的數據安全治理理念更早。雙方關于數據安全治理理念的相同之處在于，一是不論是中國或歐盟，都通過具有法律約束力的法律規則，實現對數據安全的規范和治理。二是從數據安全治理的發展演變來看，雙方都從信息的隱私保護轉向數據安全保護與數據權利的保護，隱私權優先于數據權的產生與發展，并且隱私權不同于數據權。三是雙方在數據安全治理中都特別關注個人數據保護，并獨立形成專門的法律與條例，關于個人數據權利的規則體系是數據權利中最先得到體系化的完善。

雙方的區別之處在于，一是治理理念的重心不同，歐盟的數據安全治理理念始終以“個人”權利為中心，但中國的數據安全治理理念始終以“國家”為中心。二是治理理念的形成路徑不同，歐盟通過成員國均簽署的公約及條約確立基本權利，后出臺專門的指令或條例，由個人隱私保護發展至個人數據權利的保護，繼而轉向多元主體的數據安全保護；中國則是在總體國家安全觀的指導下，通過國家立法形成法規，兼顧發展私主體信息及數據的民事與刑事權益，完善對數據權利的保護。

中國與歐盟治理理念不同的原因歸根結底是文化觀念的不同，歐盟深受人本主義思想的長期影響，尤其重視個人權利的保護。中國深受中華民族傳統文化中集體主義價值觀的影響，強調國家與個人密不可分，尤其重視國家安全的保護。正是基于歷史文化和觀念的不同，中國與歐盟才產生了獨特的數據安全治理觀，但不論是何種數據安全治理理念，雙方始終圍繞各自治理理念中心發展和完善數據安全，構建具有本區域特色的、符合集體利益與情形的數據安全治理體系，意在充分釋放數據活力，賦能數字經濟高質量發展，持續提升數據安全治理能力。

三、治理路徑：主權和安全兼容

以帶寬來衡量，從2008 年至2020 年，跨境數據流動增長了約112 倍。數據跨國流動是數據安全和數據主權面臨的最大挑戰。一是大量個人信息存在被竊取、泄露、毀損、非法利用的風險；二是數據集中化、壟斷化導致關鍵數據外流的風險；三是平臺境外上市需要持續的信息披露，可能涉及數據被他國政府控制的風險。數據安全和主權成為國家間博弈的新競技領域。

（一）中國：以數據主權為基礎，安全優先原則下的治理路徑

中國在信息化領域強調主權，但是與歐盟捍衛主權的方式不同，中國主要采取防御性的方式維護本國主權，強調國家安全。從信息安全到網絡安全再到數據安全，國家安全意識貫穿信息化、數字化的發展，安全原則日益成為中國關于數據跨境自由流動的限制性原則之一。中國在2016 年通過的《網絡安全法》中第一次明確提出了跨境數據流動“本地儲存、出境評估”的制度，以數據主權為基礎，強調安全優先的屬地管理模式。隨后《數據安全法》《個人信息保護法》《數據出境安全評估辦法》都含有對不同主體的數據出境開展安全評估的規定；《數據出境安全評估申報指南（第一版）》與《個人信息出境標準合同辦法》的出臺也意在通過申報或訂立標準合同的方式，保障信息跨境安全和自由流動，加強對數據安全的監管。由此可見，安全原則已貫徹落實于中國的數據法律體系之中。

中國對于數據的控制權仍在構建當中。近幾年，中國對于數據的管轄從域內管轄逐漸向域外管轄發展。自《網絡安全法》開始，中國已初步構建域外管轄的條款，該法與《數據安全法》都具有域外效力，并且管轄權域外行使所依據的主要是保護管轄原則，在《個人信息保護法》中以“數據處理地”區分該法的域內效力及域外效力，以“目標主體”標準對域外管轄加以規定。雖然中國在立法層面為數據的域外管轄權提供了行使權利的基礎，但是《數據安全法》的域外管轄權的條款較為模糊。“依法追究法律責任”為哪些法律責任？這容易出現“有權無法”的現象，以數據侵權責任為例，根據《中華人民共和國涉外民事關系法律適用法》第四十四條，侵權責任適用侵權行為地或結果地的法律，但是依據中國民法典的法律適用，民法典第十二條載明，在中國領域內的適用民法典，因此這一問題可能最終會根據“屬地優先”而讓訴于外。中國仍需完善對數據主權的行使，實現對本國數據的最高控制權。

（二）歐盟：以數據主權為核心，數據管轄權擴張的治理路徑

在外部數據安全威脅嚴峻形勢下，歐盟決策者認識到必須以數據主權為核心，推進技術革新與制度完善，一方面強化數據保護能力，維護歐盟的網絡空間安全；另一方面扮演數據保護引領者角色，提升歐盟在國際網絡博弈中的競爭力與話語權。自2019 年起，歐盟及歐盟成員國領導人開始頻繁提及“數字主權”，至2020 年歐洲議會發布《歐洲數字主權》報告，明確了歐盟的“數字主權”作為促進歐洲在數字領域領導和戰略自治概念的一種手段，是指歐洲在數字世界中獨立行動的能力。雖然“數據主權”極少出現在歐盟的官方文件中，也沒有官方對此概念作出釋義，但是從實踐角度而言，歐盟已將“主權內化于私權”，“將數據權視作一種基本人權，通過主權者創建嚴格限制數據跨境流動的規則，以不直接介入具體跨境場景的方式間接保護數據主體的數據權利”。根據歐洲議會議員兼歐洲數據戰略報告員MiapetraKumpula Natri 的理解：歐洲的數據主權意味著成為“玩家而非游樂場”。數據主權屬于歐洲主權的概念之下，服務于歐洲主權戰略，協助實現歐盟《2030 數字指南針：歐洲數字十年之路》的目標，完善歐盟對數據的控制。從實踐層面來看，歐盟對數據的管轄權相繼通過“開罰單”的方式得到實踐，比如5 月歐盟監管機構向Meta 開出12 億歐元的處罰，以懲罰其將歐盟公民的信息存儲在美國的服務器上，也通過這一方式展現了歐盟對數據主權的行動力和決心。

歐盟在數字領域的主權回歸已成為發展定勢，在確定這一戰略核心的基礎上，歐盟通過數據管轄權的擴張，加強對數據的管控。歐盟數據管轄權的變化體現在2016 年的GDPR 當中，在此之前，歐盟的《數據保護指令》中對數據的管轄還是域內管轄，而GDPR 的適用范圍不僅限于境內，還可適用于境外。處理數據行為雖然發生在境外，但為歐盟境內主體提供服務、監測數據主體在歐盟境內發生行為的情形也適用該法，這樣的管轄已經突破了傳統的屬地管轄原則。GDPR 通過將網絡的媒介屬性與最低聯系標準相結合的做法，使數據主體無論是位于歐盟境內還是境外，只要涉及歐盟個人數據，都將受到GDPR 的管轄，這在縱向上已經實現“全球適用”。再回看GDPR 第3 條的表述，其管轄的擴張還體現在“目標意圖標準”的法律適用。在GDPR 當中，根據數據控制者、處理者其他對象的意圖判斷是否屬于GDPR 的管轄范圍，某種程度上來說，屬于橫向擴大了GDPR 的管轄范圍，因為其適用的對象不僅限于數據控制者、處理者還有可能包括間接數據收集者等。

那么GDPR 對管轄權的擴張是否屬于長臂管轄呢？長臂管轄屬于域外管轄的一種，它是指一國行使域外管轄權、單方依據國內法強行管轄他國機構或公民的政策，長臂管轄權是一種對非居民被告的管轄權，該被告與提起該訴訟的司法管轄區有一些聯系。對長臂管轄權在不同語境下有不同的理解。當長臂管轄置于國際語境中時，其理論基礎是管轄中的“效果原則”，即只要某個在國外發生的行為在本國境內產生了“效果”（最低限度聯系），無論行為人是否具有本國國籍或者住所，也無論該行為是否符合當地法律，只要此種效果使一國法院行使管轄權并非完全不合理，該國法院便可對因為此種效果而產生的訴因行使管轄權。從GDPR 對適用對象的設定來看，GDPR 的管轄規則存在比“效果”更為廣泛的適用標準之嫌。因此，歐盟在域外管轄權的設置中，確有實施長臂管轄權的可能。

（三）中歐治理路徑的異同

對比中國和歐盟對治理路徑的構建，相同之處在于，一是對數據流動的態度相同，雙方對數據的跨境流動基本持較為保守、審慎的態度，但是數據流動是未來必然的發展趨勢與最終目標，而數據安全已經成為雙方在跨境數據流動中重視的關鍵問題之一。二是在數據主權的行使中，均通過對管轄權的擴張，由域內管轄延伸至域外管轄，加強對數據的管控。

不同之處在于，一是雙方的治理路徑的重點不同。中國在數據跨境流動中側重以數據安全為限制性原則，重點在數據安全與國家安全的防御。歐盟則在跨境數據流動中側重以數據主權為核心，重點在對數據的管理與控制，以及對外部安全威脅的防范。二是雙方治理路徑的目標設定不同。中國以保障數據安全，促進數據開發利用，保障合法權益，維護國家主權、安全和發展利益為終極目標；歐盟則以實現歐盟的戰略自主，形成在歐盟數據上的保護性機制和進攻性工具為目標。基于目標的不同，不難發現，中國基本以防御的態勢應對數據安全的威脅，而歐盟則以更主動的“攻防兼備”態勢應對數據安全的挑戰。

造成歐盟關于數據安全治理原則如此設定的重要因素是歐盟的身份?國際組織，歐盟在數字、技術領域的“主權”回歸，其實也是為了實現歐盟的戰略自主，強調歐盟集體對數據的最高管控權，實現歐盟在數字、數據領域的大國競爭戰略和自身地緣政治的訴求。通過推廣歐盟數據安全治理價值觀和框架規則，實現歐盟對國際數據安全治理規則的塑造，持續提升和維護歐盟在全球數據安全治理規則中的優勢地位與影響力。所以在戰略布局中，歐盟采用“攻防兼備”的主動態勢，通過具有“攻擊性”的管轄權擴張，實現其主動捍衛主權的態度。而中國作為主權國家，在維護數據主權的根本要求之上，更關注國家的數據安全問題，并且受到中華民族優秀傳統思想“和合”的影響，在數字領域的整體戰略布局中，更關注防御性的機制與規則，并體現在管轄權的發展方向與進程上。

四、治理體系：單一轉向多元

數據技術使得數據超越傳統地理界限，呈現明顯的外部性。各國或各地區現有治理體系難以滿足數據安全治理的特點和需要，數據治理體系發生了變化，表現在治理主體、治理內容、治理方式等各方面，由單一向多元轉化。

（一）治理主體的多元化發展

中國和歐盟數據安全治理的主體從單一主體發展至多元主體。在信息化發展伊始，數據安全治理的主體基本是雙方政府。但是進入數字時代后，基于數據呈指數級增長以及常態化跨境流通的形勢，數據的流通廣泛分布于國家、企業、社會組織與公民個人之間。當下，中國的數據安全治理主體包括：全國人大常委為第一類、國家網信辦等部委為第二類、信息安全標委會等行業組織或頭部企業為第三類、地方數據中心或管理部門為第四類。歐盟的數據安全治理主體包括：歐洲委員會等高層決策政府為第一類、歐洲數據保護委員會作為專門數據監管機構為第二類、歐盟各成員國的數據保護國家機構為第三類，企業內部的數據保護官為第四類。數據安全主體不僅僅是政府，還包括行業協會、企業與公民個人，數據安全主體已變得多元化，致使多元主體間因數據安全治理目的不一、手段各異而產生數據權益的沖突與矛盾。

（二）治理內容的多領域發展

中歐在數據安全治理的立法規則中治理的內容從單一、籠統至多領域、具體化的發展。雙方數據安全治理的初始階段因為當時的信息技術能力有限，數據安全問題通過技術標準就能解決，數據保護也并不復雜，國際社會更關注的是信息安全的規范，并且當時的數據安全保護隸屬于信息安全保護的范圍之內，因此在信息技術發展的初期，由于各國在信息技術領域的能力發展并不統一，加之各國對數據安全的認識也存在不同的認知，國際社會普遍重視對較為宏觀的信息安全體系進行保護，將數據安全作為信息安全、網絡安全下的一項子集存在，造成數據安全治理內容的單一性與固定性。不論是中國還是歐盟，從最初的安全立法來看也是先從信息安全開始的，歐盟在1992 年頒布了《信息系統安全領域的決定》，中國于上文所述1997 年和2000 年分別頒布信息安全的法律法規。隨著信息技術的更迭，數字時代的來臨，數據的價值不斷凸顯，數據安全治理的內容不斷被豐富，數據安全的內容不斷被細化。數據安全治理的內容從最初的數據庫等單系統為核心的安全發展至數據生命周期的安全，再到數據基礎設施安全，從單一的信息安全發展至醫療健康、網聯汽車、電信、銀行、人工智能等領域的具體數據安全，治理內容涉及多領域、多場景化的發展。

（三）治理方式的多樣化發展

雙方在數據安全治理中從單一的治理方式發展至多樣的治理形式。由于最初的信息技術仍處于起步階段，對數據安全問題已通過行業技術標準進行管理，在數據安全技術標準管理的同時，中歐雙方也都通過立法形式給予數據安全不同程度的保護。伴隨數字時代的來臨，國際社會對數據產生的價值普遍有了更深的認識，數據安全在“行業技術標準+ 法律法規”進行治理的同時，中歐雙方還通過頂層設計，即戰略計劃與制度構建不斷豐富對數據安全的治理，激發數據要素的價值，提高對數據的重視，使數據安全治理在戰略規劃的指導下，通過行業技術標準的制定與法律的制定不斷完善對數據安全治理體系化的構建，平衡與協調數據安全治理因多元主體和多元內容導致的沖突與矛盾。

（四）中歐治理體系的異同

中國和歐盟在數據安全治理體系的構建中，相同點在于體系構建方式趨同。雙方均通過“戰略規劃+ 法律法規+ 行業規范標準”的方式，實現對數據安全治理體系自上而下的整體規制。雙方均從完善頂層設計入手，以戰略規劃為指導引領，再通過法律規范與統一標準落實規劃，成為實現戰略目標的具體路徑，最終實現對數據安全治理體系的規制。雙方的不同點在于體系的治理層次不同。對于中國而言，數據安全治理可分為三個層次：國家治理、地方治理和社會治理；對歐盟而言，數據安全治理可分為四個層次：超國家治理、國家治理、地方治理和社會治理。產生這一明顯差異的原因在于歐盟是一個國際組織，而中國是一個國家。因此在治理層次上，歐盟在數據安全領域也是多層次治理體系。基GKKx8is5av23DfQhkhXdlg==于歐盟的多層次治理體系，在數據安全治理的過程中，其需要考慮比以主權國家為單位形成的治理體系更多的內容，需要平衡的主體和內容也更加復雜，在數據安全與發展的平衡問題上，其不僅需要關注以歐盟為單位的集體安全，還需要解決成員國本身為維護主權安全產生的數據安全治理的差異。

中歐雙方都在數據安全治理的規則制定中隨數字技術發展帶來的影響和問題而不斷更新自身的數據安全治理規則，從治理主體、治理內容、治理形式的單一、簡單發展至多元與多樣，從最初的分散、零星式治理規則的制定到整合、重心發展、成套式治理規則的頒布，數據安全治理變得更加聚焦重點、細化內容、概念清晰、邊界分明，數據安全治理呈體系化完善的發展趨勢。

五、中歐數據安全治理合作前景分析

（一）合作基礎

1. 共同的困境與挑戰

全球數據博弈升級，數據規則成為新“戰場”。從國際層面來說，素有“經濟聯合國”之稱的世界貿易組織主導下的數字貿易治理體系規則在制定中仍舉步維艱，難以取得突破性的進展，OECD 等國際組織發布的相關指南僅作為各國的參考，未能得到普遍使用。在區域性國際組織、國際論壇層面，亞太經濟合作組織發布隱私框架和跨境隱私執法安排，確保個人信息跨境流動有統一的標準進行保護，并得到強制執行。G7 發布《可信數據自由流動合作路線圖》共同應對隱私、數據保護、知識產權和安全的相關挑戰。歐盟的《一般數據保護條例》也成功地推出“歐式”數據治理模板，影響與歐盟合作的各類主體。通過區域性的數據合作，創新了更多有關數據安全的規則與框架，但由此也加劇了數據安全治理的碎片化發展，區域性的數據安全框架也意圖推廣至全球，成為全球性的數據安全規則。

對歐盟而言，歐盟在維護本區域數據安全的同時，也在極力抗衡美國的數字霸權。最經典的例子就是歐美為實現數據跨境流動自由而反復推翻并達成三次協議，雙方較量的內容主要為數據安全與數據管轄權，即國家的數據主權與數據安全。對中國而言，中國在維護本國數據安全的同時，也受到他國霸權主義的侵害。以Tiktok 為例，在中國注冊的字節跳動科技有限公司旗下的Tiktok 短視頻平臺，遭到“五眼聯盟”成員國的封禁。澳大利亞擔心該平臺搜集敏感數據和隱私信息傳遞給中國政府，致使其國家安全遭到威脅。而在Tiktok 首次接受美國國會的質詢時，雙方主要圍繞該平臺的安全保障進行提問和解答，美國議員最為擔心的就是該平臺會與中國政府共享美國用戶的數據。表面來看，以美國為首的國家僅以“國家安全”為由，對一家中國注冊的公司采取封禁等措施；其深層含義是對本國數據霸權的鞏固，借國家安全之名，打壓非本土企業，違背公平競爭原則。中歐雙方都面臨著全球性挑戰的議題與數據霸權主義的干擾，因此在數據安全領域雙方具有極大的合作空間。

2. 共同的堅持與相同的立場

雖然“反全球化”、單邊主義與保護主義抬頭，但是中國與歐盟仍舊堅持多邊主義與全球化的時代潮流。中國及中國領導人在多次講話中表達：堅定不移堅持多邊主義，堅定捍衛《聯合國憲章》宗旨和原則，堅決維護以聯合國為核心的國際體系和以國際法為基礎的國際秩序。歐盟及歐盟官員也多次表示同樣的立場觀點：歐盟致力于以強大有效的聯合國為核心的多邊主義，維護《聯合國憲章》和法治。歐盟認識到任何一個國家和地區僅憑自己的力量是無法應對的，必須加強全球合作。雙方的態度決定了中歐在數據領域的合作趨勢，以多邊主義對抗單邊主義，以良性的國際合作對抗惡性的國際競爭，最終實現雙方在數據領域中的安全治理。

歐盟委員會主席馮德萊恩在2023 年4 月訪華之行結束后，發表的講話中提到：歐盟不想切斷與中國在經濟、社會、政治和科學領域的聯系……歐盟也需要在透明、可預測和互惠的基礎上重新平衡雙方的關系。不難看出，雖然歐盟仍然覺得中國的崛起具有威脅性，但是也認識到與中國的合作是一個不能回避的事實。此次講話釋放出未來中歐合作的信號，相信在不久的將來中歐將會在各領域加強交流與合作，包括加強雙方在數據治理與數據安全領域的務實合作。

3. 中歐現有的合作機制與平臺

雙方現有的合作機制包括2014 年建立了中歐網絡對話（Sino-European Cyber Dialogue），并持續開展工作會議；2015 年成立首家以商業為導向的中歐數字協會，以促進中歐信息通信技術領域行業領袖、金融機構及政府高級代表之間的戰略對話與高層對話；2015年中歐雙方共同成立的中歐數字經濟和網絡安全專家工作組，在2016 年建立了一個對話合作機制，并在該機制下設網絡安全專家組，“目的在于探討中歐在網絡安全領域共同面臨的機遇和挑戰，推動雙方在相關領域的務實合作”；2020 年中歐首次舉行數字高層對話，會晤中歐盟委員會執行副主席兼競爭事務專員維斯塔格表達了雙方通過對話解決互惠、數據保護和基本權利方面的分歧是有必要的，雙方在與會期間就數字政策、網絡安全等議題開展討論；2021 年中歐聯合實施“中國－歐盟海洋數據網絡伙伴關系合作”項目，實現雙方攜手共享海洋數據與技術共享；2022 年首屆“中歐金融科技峰會”的舉辦意在促進中歐金融科技和數字經濟合作；2023 年中國網絡空間安全協會和中國歐盟商會共同主辦“2023 年中歐數字領域二軌對話”，中歐從不同的出發點均認識到數據保護和網絡安全的重要性。

中歐雙方的合作機制通過在不同領域對數據的應用，以多種形式加強雙方交流學習，這些平臺、項目與峰會等都是中歐雙方合作的通道與方式，也都是雙方合作的基礎。目前在數據合作領域，除了政府間的對話交流外，通過商會、企業等社會組織團體自發組織，根據行業、企業在不同專業領域的發展需求，開展數據安全保護的經驗交流的方式也在不斷發展；中歐雙方在數據保護領域的交流機會是多元且豐富的，但是中歐雙方在國家、聯盟數據安全方面的合作渠道較為單一，對話交流的頻率和緊密程度有待提高。

（二）前景展望

1. 以數據流動為共識，建立多元化長效交流機制

依照上文的比較，中國與歐盟的數據安全治理各有側重，影響雙方的數據跨境流動合作。

數據的價值是公認的，也是國際社會的普遍共識，但發揮數據更大的價值，則需要通過數據交易、共享等流動的方式。簡單的數據本地化或者數據保護主義，似乎能夠最大程度地確保數據的安全性，但同時也成為數據價值彰顯和發展的“絆腳石”。歐盟和中國均不拒絕數據流動，其秉持支持的態度，只是仍在尋找數據發展與安全的平衡路徑。基于此，中國與歐盟在數據領域的合作，可以以數據流動為共識和合作窗口，在探討數據流動合作時，共同探討數據安全。

在此基礎上，中歐雙方可繼續深化合作，持續推動已有對話合作機制，多元化長效交流機制。中歐數字領域高層對話自2020 年首次舉行后，未能開展第二次對話，與之相比，同年提出的中歐環境與氣候領域高層對話已開展4次，雙方在數字領域的對話未能形成長效的對話機制。下一步中歐雙方可推動第二次數字領域高層對話，并討論固定數字領域高層對話機制的開展周期，或者下一次對話的大概時間，以形成持續性的對話機制，有利于推動雙方數字合作。對沒有建立固定對話機制的，僅以研討形式開展交流的，比如“中歐數字領域二軌對話”就可以通過招納學者、專家形成政府間或民間主導下的長期固定機構或對話機制。對“中歐金融科技峰會”等商會組織的峰會性質的，可根據市場需求，持續開展定期峰會，擴大峰會的影響力，從行業和企業層面推動雙方的領域交流與合作機制。

另外，還可將數據安全治理與其他領域相融合，比如碳金融、自動化汽車、人工智能等，就交叉議題進行多層次、多維度的研討與活動的舉辦。一則避免因中歐數據安全理念、制度等分歧造成沖突，另外還可擴大共識，尋求更多共同點；二則將數據安全融合多領域使數據安全議題更具有實踐性，而非紙上談兵，將數據安全與數字經濟發展相結合。中歐雙方應通過多種形式增強互信以防御不確定性，基于地緣政治的原因，歐盟與中國間的互信程度較低，在某種程度來說歐盟視中國為威脅，只有通過增強雙方溝通推動更多活動的開展，促進彼此間的充分了解和正確理解，才能逐漸提高雙方的互信程度，降低威脅感，開放合作，真正地實現互利共贏的良性局面。

2. 將數據安全融入國際公共產品

“國際公共產品”概念源于美國經濟學家查爾斯·P·金德爾伯格提出的“霸權穩定論”。國際公共產品在維護國際社會經濟秩序穩定中起到重要作用，在解決跨國問題和應對共同挑戰中也具有重要的意義。數據安全既可以作為安全類的子議題，也可以作為數字經濟、電子商務等信息化或數字化領域的子議題，融入進已有的國際公共產品之中。這不僅避免了因數據安全觀念的差異與安全泛化帶來的爭議和不安全感，針對性解決不同應用場景、不同領域的實踐中產生的數據安全問題，同時通過具有影響力的、參與度高的國際公共產品，推動數據安全治理更易達成共識與合作。

“國際公共產品”從概念形成理論實踐至今，基于國際實力結構的相對變化，催生國際公共產品供給格局調整。原本以美歐等西方國家為主要和主導的國際公共產品的供給方逐漸增加，新興國家參與到國際公共產品供給的創新生產之中，其中也包括中國。“一帶一路”倡議、全球安全倡議、亞洲基礎設施投資銀行等都是由中國提供的國際公共產品。歐盟雖然未能以集體的方式加入“一帶一路”倡議、亞洲基礎設施投資銀行等國際公共產品中，但是已經有一些歐盟的成員國以國家的身份加入其中。在“一帶一路”倡議下，中國已與4 個歐盟成員國簽署電子商務合作諒解備忘錄，其中包括與網絡安全、數字通信相關的內容。下一步，中國可在與更多歐盟成員國達成雙邊電子商務合作諒解備忘錄的同時，增加有關數據安全保護的相關內容。中國可繼續依托“一帶一路”倡議，與歐盟的各成員國達成雙邊或多邊的數字經濟合作文件，并在文件中增加有關數據安全的內容，比如簽署《“一帶一路”數字經濟國際合作倡議》等方式。

3. 通過《全球數字契約》共同探索全球數據安全治理

聯合國秘書長在2023 年發布了《全球數字契約》，報告中提出將數字信任與安全、數據保護視為行動目標之一。針對聯合國最新發布的《全球數字契約》，中國與歐盟分別就該文件發表了官方的立場與觀點。中國在闡述其立場中，表達了對數據保護的關切，提出了具體建議，反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據，認為應當尊重他國對數據安全的管理權，根據當地國法律和締結的條約調取他國數據；歐盟在闡述其立場時主要表達了對全球數字公地的觀點，并沒有對數據保護提供相關建議，但是回溯2023 年3 月歐盟針對該契約提交的一份詳細文件中對數據保護的觀點，歐盟通過保障人權和價值觀，促進國際數據的流動，并建議契約將重點放在保護個人和非個人的數據保護，可參照《一般數據保護條例》作為完整的法律框架、《數據治理法案》與《數據法案》也都可以成為參照的例子。

由此可見，通過聯合國對數字合作的組織及發起的《全球數字契約》，中國和歐盟都積極參與其中。聯合國明確了數字領域的共同目標，即一切以全球數字合作為最終結果，中歐都清晰地表達了對數據安全的關切點和立場，奠定了雙方未來在數據安全治理中尋求解決之策的基礎，提供了探討的平臺、機會以及達成多方共識性文件的可能。通過聯合國組織對776fad30b0bece82b7d4b4cef0458d23全球數字合作的規則探討，加強中歐雙方對彼此立場和方案的了解，在數字領域的規則制定中形成求同存異的合作態勢。與此同時，新一輪的全球數字合作又將成為新的“戰場”，數據安全與保護的治理也必然成為各國輸出、推廣各自方案的博弈“重地”，全球數字合作中的數據保護最終會去往何處？“中式”“歐式”與“美式”等數據保護模板將如何角逐？中國與歐盟又將在全球數字合作的規則博弈中，處于何種立場？可以肯定的是，中歐間合作與競爭并存，對抗與融合同行。

六、結語

近幾年，中國與歐盟在數據安全與數據保護方面頻頻修訂法律法規，頒布新的數字技術相關立法文本與標準文本，進行頂層設計，發布數字、數據發展戰略、方針與指南，主動參與各類國際組織對數據安全與保護的規則制定，積極尋求在數據安全與保護方面的國際合作。中歐雙方在數據安全治理中以規則為導向，以規則為基礎，通過更新、修訂規則實現對數據安全治理的完善，也是實現數據穩定發展的必要前提。

人類社會在享受數字技術改善生活、數字經濟釋放紅利的同時，也受到數據安全的威脅。平衡數據安全與數據自由流動是中國與歐盟在數字領域面對的共同挑戰，雙方持續推進本國“數字化”轉型奠定中歐合作基礎，基于本國發展需要，開展合作是實現互利共贏的最佳方式。在面對數據霸權主義威脅的形勢下，通過堅持多邊主義與國際合作實現數據秩序有序且安全地自由流動。