全球数据跨境流动规则特点与制约因素有哪些？

数据跨境流动给全球带来发展机遇的同时也产生了新的安全风险。

⼀、规则特点

1.多边机制推动数据跨境流动原则共识形成

多边机制和国际组织高度重视数据跨境流动的跨国协调问题，联合国、WTO、OECD、APEC、G20、 G7 多年来致力于协调各国监管要求、提升各国监管一致性、促进数据跨境安全有序流动，成为推动共识形 成的重要平台。联合国发布了《全球数字契约》，以开放、自由、安全为共同原则，针对成员国、区域组织 和所有利益相关方等主体就数据保护和赋权这一议题提出了相应要求，致力于实现数字未来可持续发展。另 一方面，联合国先后举办了联合国互联网治理论坛（IGF）和联合国世界数据论坛（UNWDF）以深化在全球 发展倡议框架下的国际数据合作。IGF 致力于协调不同利益相关方形成具有一致认同和有效监管的跨境数据 流动公共政策，发展“基于信任的数据自由流动”（DFFT）的概念，在利用数据传输创造经济价值的同时， 解决各主体对数据隐私与主权的担忧。UNWDF 则更侧重于数据的可持续发展，通过促进数据创新和培育伙 伴关系，营造更好的联合国数据生态系统。WTO 作为贸易协定的管理者和贸易立法的监督者，自创立以来 便十分关注电子商务规则与数据跨境流动。2015 年至 2023 年八年间，不同成员国在多届部长级会议上相继 发表《电子商务联合声明》，由此开启与贸易相关的电子商务多边谈判，推进制定高标准电子商务国际规则 和搭建电子商务能力建设框架。但截至目前，WTO 电子商务谈判针对数据跨境流动议题分歧较大。OECD 开创了全球隐私保护和数据跨境流动规制的首次尝试。在成立相关工作组和专家组、召开研讨会等一系列早 期准备的基础之上，OECD 于 1980 年发布《OECD 隐私指南》，明确了个人数据保护和数据跨境流动的基 本原则，成为全球制定隐私保护与数据跨境制度的重要参考。近年来，OECD 通过数字经济政策委员会及数 据治理和隐私工作小组发布众多研究报告，及时总结整理全球前沿政策和规制方式，弥补各国监管体系和机 构设置之间的差异性。同样是区域性经济组织的 APEC 也积极投入到数据跨境流动治理中来。从 2005 年 起，APEC 发布了《APEC 隐私框架》，并建立 CBPR 跨境隐私规则体系。一方面，CBPR 面向数据处理者 建立了数据处理者隐私识别体系；另一方面，CBPR 创新性地建立了隐私执法机构和问责代理机构来衡量加 入国认证企业的隐私保护水平，促进亚太地区个人信息保护措施的一致性和负责任的数据跨境流动。G20 主 要围绕“基于信任的数据自由流动”的概念，不断推动各成员国形成共识，使数据能够信任地流动。《大阪数 字经济宣言》标志 DFFT 进入实践阶段，《利雅得领导人宣言》《罗马领导人宣言》继续承认 DFFT 的重要 性。此后，借助 G7 平台，通过《DFFT 合作路线图》《促进 DFFT 行动计划》《DFFT 实施计划》，DFFT 概 念得到不断推广和深化。

2.全球数据跨境流动规则呈现三⼤模式特征

目前 WTO 电子商务谈判中，各成员方针对数据跨境流动等核心议题仍然存在较大分歧，规则共识在短 期内难以达成，全球数据跨境流动规则呈现碎片化特征。而区域性贸易协定或数字经济专项协定成为促进数 据跨境流动的主要方式，这种灵活性能够消除数据跨境流动障碍，从而为数据跨境流动治理提供有益示范， 各国政府也越来越倾向于利用贸易协定来实现促进数据跨境自由流动，同时平衡和兼顾隐私保护及其他公共 政策目标。据统计，截至 2023 年 5 月，已有 70 多个国家或地区都对数据跨境流动有所规制，已有超过 180 个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则专门章节或专门条款。例如以《美墨加协 定》《全面与进步跨太平洋伙伴关系协定》《区域全面经济伙伴关系协定》为代表的区域或双边自贸协定，以 及以《美日数字贸易协定》《数字经济伙伴关系协定》等为代表的数字经济专项协定，都将数据跨境流动治 理、数据隐私保护等相关议题纳入了协定条款。 而在主要经济体层面，互联网技术的发展催生了与物理空间相对应的网络空间，数据跨境流动极大冲击 了基于国家疆界的传统国家主权，尤其是一国的司法执法管辖权。对此，“信息主权”“数据主权”等概念被学 者们相继提出。各国也纷纷出台维护数据主权的政策举措，但部分国家容易滥用数据主权，这些举措构成了 对数据跨境流动的限制。

因此，通过归纳总结纳入研究的十大国际机制安排与十二大经济体，发现在国际组织“软法”的影响下， 国际贸易协议、主要经济体演变出其有关数据跨境流动规则的独有特点。本次报告将上述关于数据跨境流动 规则的安排划分为三种类型，分别为开放流动型、严格监管型以及监管例外型。 开放流动型主要表现为强调数据跨境的自由流动，典型的经济体如新加坡、东盟、美国等，国际经贸协 定如 DEPA、USMCA 等。不过新加坡与美国所表现的方式有所不同，新加坡以及以新加坡等国家为主的 DEPA 体现的是外流特点，既是以新加坡为重要轴点向东南亚、亚太甚至全球流动。美国以及以美国为主导 的 USMAC 体现的是内流特点，美国在与其他经济体签订的双边或者多边贸易协议中一直强调有限例外原 则，旨在推动数据跨境自由流动，将全球数据流向美国境内，从而利用自身技术市场优势实现数据跨境流动 的经济利益最大化。不过美国在主张数据自由流动的同时通过“长臂管辖”扩张其数据主权。如上文所述，美 国的《澄清域外合法使用数据法案》（CLOUD 法案），提出了管辖“数据控制者”的新模式，即规定无论通 信、记录或其他信息是否位于美国境内，美国的电子通信服务(ECS)或远程计算服务(RCS)提供者都有义务按 照法定要求，保存、备份或者披露其拥有、监管或控制的用户或订户的通信内容以及任何记录或其他信息。CLOUD 法案赋予美国执法机构访问和调取存储于美国域外数据的权利，其他国家对境内数据的控制权被削 弱。

严格监管型主要强调数据跨境的事前监管，通过安全要求后方可进行数据出境，典型的代表为中国、俄 罗斯、巴西、印度等，国际贸易协定主要为 RCEP 等。中国、俄罗斯、巴西等国家目前尚强调数据满足要求 后才可出境，更加严格的如印度。2018 年 4 月，印度要求所有支付系统提供商应确保其系统运营相关的全 部数据，包括端到端交易的完整详细信息，存储在印度境内的系统中，以便印度中央银行可以“不受限制地 监管访问这些系统提供商存储的数据，以及他们的服务提供商/中介机构/第三方供应商和支付生态系统中其 他实体存储的数据”。而 RCEP 虽然强调数据的自由流动，但是赋予了缔约国以“合法公共目的与安全例外” 终止数据跨境流动的权利，事实上也强调了缔约国的事先监管权利。监管例外型虽然强调数据跨境的监管， 但是如若在白名单或者生态机制内则可以享有“监管例外”的权利。典型的经济体如欧盟、英国、日本、韩 国，国际贸易协定为 CPTPP 等。欧盟利用 GDPR 进行数据出境的监管，但是存在充分性认定的白名单，日 本建立保护个人信息出境的监管机制，但是推动数据跨境生态圈与充分性认定规则。

3.标准和技术驱动的规制⼯具提供数据跨境安全传输新路径

一方面，部分国家和国际组织探索制定和出台了监管数据跨境流动的标准和原则以处理隐私保护与数据 安全问题。美国国家标准与技术研究院（NIST）发布了 SP 800-66《隐私权利和数据泄露通知标准》；国际标 准化组织（ISO）制定了 ISO/IEC 27701 全球性隐私信息管理体系标准，为数据跨境流动中的隐私保护和数 据安全制定标准。另一方面，近年来，区块链、隐私计算等技术的发展和数据中介的出现为数据跨境传输提 供了新的范式。国际数据空间协会提出利用数据空间，基于开放、透明和标准的数据共享系统，以实现安全 可信的数据访问和共享传输。此外，隐私增强技术（PETs）、数据监管沙箱等也为数据跨境流动的应用实践 提供了新的选择，如联合国 PET 实验室通过隐私增强技术为符合隐私保护的跨境数据传输提供技术解决方 案。

在国际数据空间建设方面，欧洲已有国际数据空间组织（IDSA）、Gaia-X、Open DEI、FIWARE、My Data 等相关研究并推进数据空间的组织。目前，IDSA 是欧洲数据空间建设的重要推动者，其取得的成效也 最为显著。根据 IDSA 数据统计，截止到 2023 年 10 月，共有 64 个使用 IDSA 技术标准的案例，以及 43 个使用 IDSA 技术标准的国际数据空间，合计 107 个应用场景。IDSA 将 107 个应用场景划分为移动交通、 制造业、绿色协议、能源、供应链、汽车、跨领域、智慧城市、健康以及农业等十大类。

按照 IDSA 定义，数据空间是指“基于共同约定原则进行数据共享流通的可信任分布式数据生态系统基础 设施”。在数据空间中，重要的不再是集中存储所有的数据，而是确保应用程序（如深度学习算法）能够以 正确的方式接收和使用正确的数据。数据空间将提供能够实现数据互操作性的软基础设施。软件基础设施由 技术中立的协议和标准组成，规定了组织和个人参与数字经济的方式，以及根据共同同意的规则和指令进行 行事和行为的方式。由于所有参与者实施了相同的最小功能、法律、技术和运营协议和标准，因此无论他们 处于哪一数据空间，他们都可以用相同的方式进行交互。构成软件基础设施的元素是互补关系，因此从一开 始就整体设计这些协议和标准将使数据空间具备耦合性。为了建立符合特定行业的数据空间，需要用行业特 定的措施来补充软件基础设施。

由于欧洲数据空间的实践，国内以中国信通院为代表的智库参考欧洲数据空间的建设，正在基于特定行 业与公共数据积极推动国内可信数据空间的构建。按照中国信通院定义，可信数据空间是数据要素流通体系 的技术保障，通过在现有信息网络上搭建数据集聚、共享、流通和应用的分布式关键数据基础设施。可信数 据空间以体系化的技术安排确保所签订的数据流通协议能够履行和维护，解决数据要素供方、使用方、服务 方、监管方等主体间的安全与信任问题。因此，可信数据空间在平衡规模经济效益和竞争效益方面具有天然 优势，它可以搭建安全可信的数据流通环境，构建共同认可的规范及价值，在空间内实现数据集聚，发挥数 据乘数效应，实现数据赋能全行业发展。未来，基于数据空间的数据跨境流动将成为数据跨境流动新范式。

⼆、制约因素

1.各经济体在数据价值链中的利益冲突制约数据跨境流动

数据跨境流动催生全球数据价值链，带来巨大的经济价值，但各国由于收集处理分析数据的能力、数字 技术水平等方面的差距，从数据跨境流动中的获益能力也存在显著差异。在数据价值链背景下，拥有先进数 字技术和大型跨国数字平台的国家处于数据价值链的中高端位置，是原始数据的进口国和增值数据产品的出 口国，从数据跨境流动中的获益能力最强。而大多数发展中国家和最不发达经济体是原始数据的出口国和增 值数据产品的进口国，位于数据价值链低端环节，这些国家不仅少从数据跨境流动中获益，其数字产业甚至 部分传统产业还可能受到发达国家跨境电商和数字产品的冲击。这意味着数据跨境流动将不可避免带来新的 利益冲突，而各国为了维护自身利益对数据跨境流动采取不同态度，如何协调各国利益冲突成为制约数据跨 境流动国际规则形成的主要因素。

具体而言，美国凭借其全球领先的数字技术、竞争力最强的跨国数字平台和全球领先的数字服务贸易， 在全球数据价值链中收益能力最强，因此主张数据跨境自由流动和计算设施非强制本地化存储。美国拥有苹 果（Apple）、微软(Microsoft)、亚马逊(Amazon)、元（Meta）等数量最多、影响力和竞争力最强的跨国数字 平台，根据联合国贸发会议发布的《数字经济报告 2021》，截至 2021 年 5 月，全球百家数字平台中有 41 家 来自美国，市值占比为 67%，远高于其他国家。美国在云计算等数字服务贸易方面领先，美国的云计算提供 商如亚马逊云服务（AWS）和微软 Azure 也占据了全球云计算市场的主导地位，它们通过提供全球性的数据 存储和处理服务而产生巨大经济价值。根据 Gartner 发布的 2021 年全球云计算 IaaS 市场追踪数据，亚马逊 和微软分别占全球云计算 IaaS 市场 38.92%和 21.07%的市场份额。美国数字服务贸易全球领先，根据联合国 贸发会议（UNCTAD）测算数据，2021 年，美国可数字化交付服务贸易出口额为 6130.12 亿美元，居全球首 位。美国是全球数字内容产业领域最先起步发展的国家，其中数字动漫、网络游戏、数字音乐以及网络视频 是美国数字内容产业中发展最为迅速的部分。数据跨境自由流动给美国带来的利益最多，而本地化要求会给 美国数字企业全球化经营带来额外负担。因此，基于其在数字经济和数字技术领域的领先优势，美国不断谋 求在 OECD、G20、APEC 等有关数据流动的国际讨论中发挥主导作用，还通过缔结贸易协定占据国际规则 制定的先机，强调数据跨境自由流动，以便破除数据流通壁垒，实现他国数据流动向美国的流动。

欧盟数字经济的幼儿、数字规则的巨匠。欧盟身处数字经济边缘，缺乏大型数字平台，因此欧盟以“保 障基本权益+构建单一市场”为主要诉求，实施“内松外严”的数据保护政策致力于构建欧盟单一数字市场，进而通过单一数字市场优势引领全球数据规则和标准的制定。根据联合国贸发会议发布的《数字经济报告 2021》，截至 2021 年 5 月，全球百家数字平台仅有 12 家企业来自欧洲，市值占比仅为 3%，远低于美洲和 亚洲。欧盟于 2018 年正式生效实施《通用数据保护条例（GDPR）》，在欧盟内部统一实施单一的个人数据保 护法令，推动欧盟范围内数据自由流动，打造单一数字市场。而此后 2019 年《非个人数据自由流动框架条 例》则补充了对非个人数据传输的法律规制，欧盟的基本立场是禁止数据本地化，确保除个人数据以外的数 据在欧盟内自由流动40。对于欧盟境内个人数据向欧盟境外传输，欧盟树立了高标准数据保护规则，即个人 数据只可以流向数据保护水平和欧盟相同的国家或地区。在具体实施路径上，通过欧盟委员会“充分性认 定”41，确定数据跨境自由流动白名单国家，而非获认定地区的各类组织和企业可以根据欧盟认可的标准合同 条款、约束性公司规则、行为规范、认证机制等进行数据跨境传输。近年来，欧盟凭借其市场优势，不断将 数据保护的“欧洲标准”上升为“全球标准”，产生数据治理领域的“布鲁塞尔效应”，对世界范围内的数据治理 变革发挥引领作用。以 GDPR 为例，不仅越来越多的国家以 GDPR 为范本制定数据保护规则，而且诸多大 型跨国企业基于 GDPR 进行数据和业务合规。

新加坡作为一个小而开放的国家，是亚太地区数据中心、各类先进数字技术试验地和各类新兴业务的发 源地，是全球数据汇聚与流动、数字技术应用创新的重要枢纽和节点，高度依赖数据跨境流动促进数字经济 增长和数字技术创新发展。新加坡自 2000 年完全放开电信市场，解除国外企业以直接或间接投资方式进入 本国电信产业的限制，有力推动新加坡数字基础设施建设，成为亚太地区数据中心。Salesforce、Digital Realty、Equinix、Meta、脸书、谷歌、字节跳动和中国移动、腾讯等大型跨国科技企业均在新加坡投资建设 数据中心，微软 Azure、亚马逊 AWS、谷歌云、阿里云、腾讯云、金山云等云计算公司均将新加坡作为区域 运营中心。此外，新加坡以鼓励投资和创新为导向，对加密货币、金融科技、人工智能等领域持开放包容的 监管态度，构建数字技术创新发展生态。因此，新加坡致力于寻求区域内的数据自由流动。新加坡于 2018 年加入了 APEC 跨境隐私规则系统（CBPR）和处理器隐私识别系统（PRP）。此外新加坡主导与多个主要经 济体签订多双边数字经济规则协定，破除数据跨境流动壁垒。2022 年以来，新加坡与智利和新西兰签订《数 字经济伙伴关系协定（DEPA）》，与澳大利亚签订《新加坡-澳大利亚数字经济协定（SADEA）》，与英国《英 国—新加坡数字经济协定（UKSDEA）》，与韩国签订《韩国-新加坡数字经济协定（KSDPA）》；2023 年 2 月，新加坡与欧盟签订《欧盟——新加坡数字伙伴关系协定》，下一步将推动与欧盟之间的数据跨境流动。

中国在数字技术和数字平台竞争力方面仅次于美国，我国数字贸易比较优势集中在以货物为载体的跨境 电商方面，数字服务贸易增长迅速。中国拥有数量和市值仅次于美国的跨国数字平台，根据联合国贸发会议 发布的《数字经济报告 2021》，截至 2021 年 5 月，全球百家数字平台中有 45 家来自中国，市值占比为29%，仅次于美国。中国跨境电商优势明显，2022 年，我国跨境电商进出口规模突破 2 万亿元，五年增长了 近 10 倍，跨境电商主体超 10 万家，跨境电商贸易伙伴遍布全球，涌现出了阿里速卖通、Shein、Temu 等一 批全球性数字平台企业。中国数字服务贸易增长迅速，根据联合国贸易和发展会议（UNCTAD）测算， 2011-2022 年中国数字服务出口年平均增速为 9.88%。中国是全球数字内容产品进出口大国，目前是仅次于 美国的全球第二大网络游戏出口国。由于中国数字贸易发展优势仍集中于以货物为载体的跨境电商，因此近 年来中国在 WTO 电子商务谈判中主要诉求集中在电子商务便利化方面。而在数据跨境流动方面，对外主张 以保障国家安全、尊重各国监管要求为前提，对内则构建基本完善的数据出境安全管理框架，总体而言，我 国数据跨境流动监管制度较为严格。2023 年 9 月 28 日，国家网信办就《规范和促进数据跨境流动规定（征 求意见稿）》公开征求意见，有望在数据跨境流动方面迎来新突破。 而对发展中国家和最不发达经济体而言，数字经济发展进一步加深了发达国家同发展中国家、最不发达 经济体之间的数字鸿沟，数字不平等问题日益严重。与发达国家主张数据自由流动、促进数字贸易全球发展 不同，发展中国家、最不发达经济体由于在数字经济发展中的滞后性，当前主要关注如何改善数字鸿沟、提 升数字能力建设的问题，坚持保留国内产业政策空间，要求数字经济增长不仅要关注效率还需兼顾公平。如 尽管在 2019 年的 G20 峰会上 24 个国家签署了日本主导的“大阪数字经济宣言”，发展“基于信任的数据自由 流动”，但印度、南非、印尼等发展中国家并未签字。在 WTO 电子商务谈判中，发展中国家主张不将数据跨 境流动议题纳入谈判议程。

2.数据安全⻛险阻碍数据跨境流动

数据跨境流动给全球带来发展机遇的同时也产生了新的安全风险。伴随数字技术的快速发展，数据安全 问题日益凸显，自 2013 年“斯诺登”事件后，各国日益重视数据跨境流动引发的国家安全风险。个人信息的 泄露容易导致国家公民的个人信息被境外所窃取、利用，造成对个人隐私的侵害，甚至引发针对个人的网络 诈骗与电信诈骗，严重危害公民个人财产与人身安全。国家重要数据、核心机密数据的泄露将导致国家秘密 的外泄，容易被境外不法分子、恐怖主义所利用，对国家的政治安全、经济安全等构成巨大威胁，严重侵犯 国家主权和安全利益。例如，2022 年，国家计算机病毒应急处理中心在西北工业大学遭遇美国国家安全 （National Security Agency, NSA）网络攻击事件的调查报告中指出，NSA 下设的“特定入侵行动办公室”近年 来对我国开展恶意网络攻击高达上万次，通过控制各类网络设备先后窃取了超过 140GB 的高价值数据，对 我国国家安全和数据主权造成了严重侵害。再如，据《2020 年中国互联网网络安全报告》，境外“白象”“海莲 花”“毒云藤”等 APT 攻击组织以“新冠肺炎疫情”“基金项目申请”等相关社会热点及工作文件为诱饵，向我国 重要单位邮箱账户投递钓鱼邮件，诱导受害人点击仿冒该单位邮件服务提供商或邮件服务系统的虚假页面链 接，从而盗取受害人的邮箱账号和密码。据《2020 年中国互联网网络安全报告》，2020 年，中国共发现国内 基因数据通过网络出境 717 万余次，流向境外 170 个国家和地区。 数据流动与数据安全之间存在天然冲突，各国高度重视数据跨境流动带来的安全风险。目前各国都存在 不少基于国家安全考虑限制数据跨境流动的立法，即使是数据安全保护能力最强、主张数据跨境自由流动的 美国也不例外。以美国为例，2010 年，美国建立了受控非密信息清单（Controlled Unclassified Information， 简称“CUI”）。美国《信息安全纲要》规定，需要保护和控制传播的非密信息均属于 CUI，需采取严格的管理措施。近几年，美国政府大幅提升了对 CUI 清单的管控力度，CUI 包括关键基础设施、国防、金融、移民、 情报、国际协议、税收、核等 20 大类、124 子类，按照风险程度予以不同管控。我国在《网络安全法》及 特殊敏感行业规定中确立了数据跨境流动管理的要求，确立了分级分类管理制度，如针对金融、交通、健 康、保险、征信、地图、网络出版等特定行业数据，均设置了“禁止出境”或本地化存储的要求。

3.个⼈隐私保护制约数据跨境流动

个人隐私保护问题是数据跨境流动规则制定最早也是最核心的关切。个人隐私保护和促进数据流动二者 相悖，个人隐私保护需要以舍弃数据流动性为代价，而数据流动往往会导致隐私泄露42。OECD、APEC 等国 际组织早期关于数据跨境流动规制的尝试均围绕个人隐私保护问题展开，即如何在保护个人信息的前提下促 进数据跨境流动。如 OECD 于 1980 年发布的《隐私指南》是全球层面对数据跨境流动进行规制的首次尝 试，即明确了个人数据保护的八项基本原则，成为各国及其他经济体制定个人信息保护法律制度的重要参 考。 隐私保护问题是美欧长期以来在数据跨境流动问题上最大的冲突点。欧盟将个人数据保护视为基本权 利，并予以严格的高标准保护。欧盟认为其境内个人数据只能流向保护水平与其等同的国家或地区，不能流 向保护水平不如欧盟的“洼地”，并通过 GDPR 在全球范围内推行。而美国在隐私保护方面更强调市场驱动， 并未将个人隐私视为基本权利，只是将其纳入市场经济中消费者保护的范畴。在联邦层面，美国没有统一的 个人信息保护立法，只是由美国联邦贸易委员会(FTC)确保消费者对其信息数据的使用有知情和同意的权 利。因此美国实际上反对个人信息保护欧盟的“高标准”，而是主张各国可以按照自己的方式予以保护，并促 进各国个人信息保护制度的兼容性，提出限制个人信息跨境流动应该是“必要的且与所面临风险成比例”。围 绕个人信息保护问题，欧美之间从《安全港协议》到《隐私盾协议》的破产,再到 2023 年 7 月 10 日欧盟委 员会通过《欧盟-美国数据隐私框架》的充分性认定,欧美双方围绕隐私保护问题产生多次冲突与摩擦，不断 推翻原有协议，终于再次建立起稳定的跨大西洋数据流动安排。