摘要:随着数字经济的迅猛发展，数据流动对全球经济产生了深远影响。为了充分释放数据红利，凝聚数字经济优势，各国逐步建立、完善跨境数据流动的内部规则，积极参与构建全球跨境数据流动规则。由于国家间数据保护水平和市场环境的差异，各国对跨境数据流动治理缺乏共识，这也成为各国及其在国际合作中制定跨境数据流动规则面临的挑战。本文基于数字经济中数据要素的特点，以及数据流动与全球化的联系，探究欧盟、美国及国际合作中跨境数据流动规则，梳理中国数据保护和跨境流动规则的现状，旨在为制定符合当下需求的中国数据治理方案提供参考。

0  引言

2008年金融危机以来，世界经济增速放缓，各国间贸易和金融流动速度降低，尤其是近年来新冠疫情在全球蔓延，更加剧了世界经济形势的复杂性和多变性。然而，数据驱动的数字经济在逆势中稳步发展，数据流量增长迅速。《2021年数字经济报告》指出，2020年全球互联网宽带提高了35％。数据流动规模扩大带来机遇的同时也产生了新的治理难题，如何管理规模庞大的跨境数据流动已成为各国面临的新挑战。

美欧等发达国家对数据治理体系的构建起步较早，并且在当前阶段，为了进一步推动数据共享、释放数据红利，美欧率先提出数据战略和相关行动计划。虽然发达国家对于数据要素在国内的共享和保护规则较为成熟，但是对于建立在国家安全基础上的跨境数据流动规则仍处于探索阶段，且各国分歧较大。对于我国而言，数据要素治理起步较晚，但是发展迅速。2020年，我国将数据要素市场化配置上升至国家战略，多项顶层设计的政策法规相继出台。但是由于我国数据治理框架初步搭建，缺乏经验指导，未来仍需补充完善国内规则并参与国际规则构建。为此，本文分析了数据作为生产要素的特征，以及数据流动与全球化的关联，归纳比较了美欧等国家数字保护和流动的相关政策法规，以及国际合作中的数据跨国流动秩序的构建情况，结合我国的数据治理现状，进一步提出中国方案。

1  数字经济和数据要素

1.1数据要素

数据是基础的原始素材，从数据中可提炼出信息、知识以及智慧，如图1所示，通常也将数据看作新一代信息技术的生产资源山。将数据投入生产，数据可与其他生产要素结合，产生边际报酬递增的回报，从而促进经济增长；数据的积累被认为是企业的研发投入，企业通过其创新可进一步推动经济增长。此外，数据在经济主体之间转移信息，对企业生产效率、公平和竞争也将产生一定影响。企业运营产生的数据及其反馈循环，一方面促进企业在干中学，应用于企业管理和决策，提升企业运营效率，另一方面会提高企业市场份额，进一步获取更多的数据。

数据作为一种新兴的生产要素，在技术和经济方面呈现出不同于传统生产要素的特点。一是部分非竞争性和非排他性。数据从权属来看并非公共物品，但是特定条件下，数据可以同时被多个使用者使用，甚至被使用后价值不减反增；在数据收集过程中，不同收集者之间可以互不影响，如平台之间收集个人数据时互不干扰也互不排斥。二是边际成本较低。数据作为经济活动的副产品产生时，其被收集过程大都仅需要一次性前期投入，继续收集的边际成本极低且大规模可得；数据收集后被不同使用者使用时复制成本几乎为零。三是规模效应显著。随着数据规模和维度的增加，数据呈现出的价值和信息量也将大幅增长。四是正外部性。这一特征体现在数据的正向作用，如提升企业生产效率、管理决策质量等。除此之外，数据在使用过程中涉及数据的提供者、收集者、挖掘者以及数据使用规则的决策者，不同类型数据主权往往缺少明晰的规定；数据使用的成本难以统一，不同场景数据的使用价值不同，如数据的垄断者可以提出高额的数据使用费用，滞后的数据使用成本可能为零；在数据流动过程中，通常以互联网为载体，流动速度较快，传播范围难以控制，存在隐私泄露的风险，甚至会威肋国家安全。

1.2数据流动和全球化

金融危机以来，全球化的继续一方面得益于各国数字经济的蓬勃发展，另一方面是大规模的数据流动。在全球贸易和金融流动失去动力的时期，跨境传输的数据量激增。数据流动创造的经济价值已经超过传统贸易商品流动，并已经成为国际贸易和投资等关系的基础，这种态势必然会对全球化形式产生深层次的影响。

数据流动已经成为全球经济的关键推动力。首先，数据是国际贸易的命脉，国际贸易从运输、交易、结算等环节都越来越难以在离开数据流动的情况下进行。跨境数据流动规模可以反映全球供需情况，协调各国生产，助力企业在全球市场高效匹配供需，从而参与到全球化进程中来，这也是数据赋能贸易的重要体现。其次，跨境数据流动也是一种新型的国际贸易形式，即数字贸易的一部分，被定义为数据贸易。近年来新冠疫情在全球蔓延，各国抗疫相关数据的共享有效促进了国际社会更加全面地了解病毒，为临床治疗提供了科学依据。

2  全球跨境数据流动秩序的构建

近年来，数据跨境流动规则备受关注，国内外研究机构对主要国家及合作组织关于跨境数据流动的管理规则做了统计、比较和说明。OECD、Salesforce、世界经济论坛等均发布了有关跨境数据流动管理的报告，主要内容以全球跨境数据流动规则现状、比较及趋势为主。总体来看，数据占主导推动并促进全球化向前发展，是重要的战略资源。当前的数据流动规则以不同程度的数据流动要求和数据本地化要求为主，如图2所示。

2.1各国的跨境数据流动规则

2.1.1美国和欧盟规则

1997年，美国就已提出关于跨境数据流动的管理办法(《全球电子商务框架》)，并积极与欧盟进行沟通推进跨境数据流动。信息时代，美国全面升级数据开放和共享规则。2014年，美国发布《开放数据行动计划》，该计划在扩展数据开放途径的同时也扩大了数据开放内容。基于数据开放所需的条件，美国于2016年提出《M-16-19数据中心优化计划》和《联邦机构公共网站和数字服务的政策》。2019年，在数字经济蓬勃发展中，美国颁布了《开放政府数据法》，该法律规定美国所有政府部门公开非敏感政府数据，并对数据质量提出了更高要求，旨在为美国产业发展提供数据要素支撑。同年12月，美国基于《大数据研发倡议》，形成了国家层面的数据治理方案，该方案也成为美国在数字经济时代平衡数据开放与数据安全的重要战略支撑。一直以来，美国积极鼓励其他国家数据流入，尤其在贸易合作中，要求各国破除跨境数据流动壁垒；与此同时，通过多边合作渠道圈定数据自由流动区，为本国获取境外数据提供便利通道，同时又严格限制本国公民数据被威胁美国安全的国家所获取。

欧盟的跨境数据流动规则体现于“内外”两部分。一直以来，欧盟数据治理体系建设速度走在世界前列，其中包含了严格的个人信息保护规则。与美国通过补充完善已有法律的形式推进数据保护不同，欧盟采取以整体法规与各成员国立法相结合的形式推动数据保护进程。近年来，欧盟数据治理思路有了一定转变，体现在从构建严苛的个人隐私和数据安全监管法规转化为促进区域内数据共享的发展策略。欧盟致力于在成员国间构建统一的数字市场，从而实施了单一数字市场战略。2018年，欧盟正式实施《通用数据保护条例》(GDPR)，GDPR是对欧盟成员国直接生效的法规，也构成了欧盟数据隐私和保护的法律框架。

2.1.2其他国家的规则

除了美欧发达国家外，新加坡和日本的数据流动规则提倡数据保护和数据自由流动相结合的形式，并为企业设置多样化的数据出境条件。对于发展中国家而言，如俄罗斯要求数据本地化，即数据首次存储在俄罗斯境内，在满足合规条件下可有序出境；印度对个人数据进行分级，依据数据级别实施差异的本地化和跨境数据流动限制措施。

2.2国际合作中的跨境数据流动规则

从国际合作来看，各国积极参与构建跨境数据流动规则框架，已有合作组织或贸易协定，如OECD、APEC等，已经确立了具有代表性的跨境数据流动规则框架。旨在推动数据在区域内有序流动，减少跨境数据流动的摩擦，从而最大限度发挥数据红利。

2.2.1双边或少数国家间的合作

从双边来看，美欧之间的合作具有一定代表性。2000年，美国与欧盟签订了《安全港协议》，美国的5000多家企业在欧洲受到该协议保护，可将在欧洲收集的用户信息传至美国进行处理并存储。2015年该协议取消，2016年双方达成《隐私盾协议》，欧盟对美国企业和政府使用其数据进行了严格规定，也体现出欧盟对个人数据的严格保护。2018年，美国与墨西哥、加拿大签署了《美墨加三国协议》，规定在缔约国境内开展业务的条件，即各国不得将金融数据本地化存储。近年来，美国为了主导在亚太地区的跨境数据流动规则，大力推行APEC中的跨境隐私规则体系(CBPR)。2010年，由美国和日本主导的APEC下跨境隐私执行合作安排(CPEA)开始实施，在保障各国隐私安全的同时减少甚至消除各国间的信息流动障碍。

除了美国主导之外，2020年，新加坡、新西兰和智利签订了《数字经济伙伴关系协定》(DEPA)。DEPA被认为是CPTPP的附属协议，二者关于跨境数据流动的规定较为一致，也备受认可和成为更多国家参与贸易协定的选择。

2.2.2多国间的合作

国际合作组织中，经济合作与发展组织(OECE)在2013年修订了《关于隐私保护和个人信息跨境传输的指南》（以下简称《指南》）。其中，第四部分介绍了跨境数据流动规则，对跨境数据流动、隐私执法规定进行了重新说明。为了减少与各国政策的冲突，《指南》也说明了成员国在《指南》的最低标准之上，拥有关于隐私保护等国家规则制定的权利，从而更有效助力各国间达成共识。APEC于2003年成立了数据隐私小组，该小组在2005年制定了关于亚太经合组织的隐私框架(2015年修订)。隐私框架参考OECD的规则制定了数据流动的指导方针，即以促进亚太地区数据自由流动、保护个人信息一致性为目标，从而实现区域一体化。2011年，APEC建立了跨境隐私规则，为APEC成员国间个人信息流动提供了隐私保护认证框架，旨在成为平衡个人信息跨境流动和隐私安全的有效机制。

在多国签订的协议中，如全面与进步跨太平洋伙伴关系协定(CPTPP)和区域全面经济伙伴关系协定(RCEP)，也均对跨境数据流动规则（见图3)做了说明。其中，RCEP对于跨境数据流动的要求主要体现在相关贸易政策中。例如，金融服务贸易中不允许缔约国限制金融服务提供者进行必要的信息传输：关于计算设施本地化要求以及电子信息传输的内部监管规则，均在不构成贸易歧视、贸易壁垒等前提下进行相对或绝对豁免。由于RCEP包含不同发展阶段的经济体，因此对于不同经济体的数据保护并未设定强制要求。为了促进国家间贸易往来，虽然无法达到数据自由流动，但是在不同数据保护水平下平衡各国跨境数据流动规则和要求，有助于缩小各国数据治理的差异，逐步缓解数字鸿沟等全球数字经济发展问题。

整体来看，全球跨境数据流动规则层次多样，尚未形成统一的跨境数据流动规则框架，各国数据流动、保护规则存在差异。求同存异的突破口是在国际合作中积极参与或主导对跨境数据流动规则的构建，推动数据在组织内有序流动，扩大各自数据生态圈。目前，全球范围内的跨境数据流动规则仍处于探索阶段，主要合作组织率先形成的跨境数据流动规则对后续相关规则产生了显著影响。不同合作及协定的成员国数据保护水平不同，难以形成一致的规则和共识。因此，在参考已有规则的基础上，各国在不同合作中也积极制定符合当前发展的多元化规则，尤其体现在相关的贸易协定中。

3  中国方案

我国的数据治理虽然起步较晚，但是发展迅速。在借鉴美欧策略的同时，近年来也在逐步探索符合中国发展需求的数据治理之路。

3.1数据共享

相比于美国50年前就已开始的政府数据资源管理，我国政府数据管理方法和体系建设较晚。目前，我国政府数据开放的保障机制仍处于研究和构建阶段。2012年，首个政府数据开放平台在上海成立。2015一2017年，我国先后加强推进政府数据开放共享、实施大数据战略、推进公共数据共享，发布诸多相关信息资源共享文件和方案。并于2018年为了具体落实信息资源开放试点工作，提出《公共信息资源开放试点工作方案》。

与美国长期建立起来的政府数据管理体系相比，我国的政府数据共享机制和体系是在短期内快速高效建立起来的，在接下来持续推进政府数据开放的过程中，也应充分考虑到数据资源管理效率和成本问题，以及数据公开的基础运营设施。在高质量发展阶段，数据要素质量好坏直接关系企业生产和人民生活的各个方面。一方面要突破数据搜集、处理和整合的技术障碍，以满足生产生活需求；另一方面各地区数据开放平台搭建要统一标准，为数据浏览和应用提供更加高效便利的通道。我国在短期内推出了多种政府数据开放的方案及措施，为了将具体方案落地实施，需补充配套的基础设施、数据安全保障机制等。

3.2数据保护

2020年，我国将数据列为新型生产要素，数据要素市场化配置上升为国家战略。数据已成为国家战略资源，数据安全对于个人隐私、经济发展、政治稳定和国家安全等具有重要意义。毋庸置疑，数据保护被列为重要事务，但是相比于欧盟严格、完善的个人信息保护制度，我国的数据保护缺少针对性的法律指导和健全的制度体系。2021年，我国发布并实施了《数据安全法》和《个人信息保护法》等顶层法律，对数据处理活动、数据安全、数据开发利用以及个人信息处理和保护等相关规则进行说明。《个人信息保护法》是我国首部个人信息保护专项立法，在保护个人信息的同时也为数据的自由流动和开发提供了保障。其中第三章《个人信息跨境提供的规则》明确规定，境内产生和收集的个人信息原则上在境内存储。《数据安全法》作为数据安全领域的基础性法律，体现了安全与发展并重的理念。

对于企业和个人而言，面对数据保护的新“工具”，缺乏应用和合规的经验指导，因此进一步增强个人的信息保护意识方可做到有法可依，采用法律武器维护个人权益。政府和有关部门在完善法律基础的同时，应持续加强个人信息保护宣传工作，强化数字经济相关试点地区和示范企业数据要素治理工作，以点带面逐步完善全国数据治理工作；针对不同地区数据共享和保护基础，采取有差别的指导措施，避免“一刀切”。

3.3跨境数据流动

(1)顶层设计。近年来，我国实施的与数据保护有关的政策法规均对跨境数据流动问题进行了说明。同时在“十四五”规划中以及有关部门也都提出跨境数据流动的具体实施方案。随着顶层法律相继颁布和实施，数据跨境安全管理框架基本形成，出境安全评估成为数据跨境安全管理的主要手段。2021年，我国制定了《数据出境安全评估办法》，构建了相对完善的数据出境安全评估流程，为企业和个人数据出境提供了更加全面的指导，对重要数据的出境管理制定了具体措施。2017年，我国实施的《网络安全法》首次提出重要数据的概念。2021年，我国发布的《重要数据识别指南》（征求意见稿）为重要数据的识别提供了参考。近年来，我国也在逐步完善特殊数据的出境管理办法，旨在保证国家数据安全的同时促进多元数据有序的跨境流动。如2022年3月，针对人类遗传资源信息的出境等，我国发布了《人类遗传资源管理条例实施细则（征求意见稿）》。

目前，从我国实施的跨境数据流动规则来看，重点管理个人信息、重要数据跨境流动，符合我国对个人数据、隐私和维护国家安全的必然要求。由于个人信息和重要数据存在特殊性，也是各国数据流动管理的主要对象。关于重要数据，虽然各国的界定不同，但是各国提出的数据本地化要求等体现了对重要数据流动的严格管理，在保证国家安全的前提下实现安全的跨境数据流动。

(2)国际合作。近年来，我国积极参与构建双边或多边跨境数据流动规则体系框架，一方面体现了与各国之间目标的一致性，即确保数据安全的前提下实现数据有序流动；另一方面作为数字经济大国、“一带一路”的倡导者，积极推动、参与跨境数据流动国际规则的制定，弥合数字鸿沟，也是大国的责任和担当。

跨境数据流动问题涉及个人、企业和国家的方方面面，解决顶层制度问题仅仅是一方面。采取可持续性应用的技术和模式，平衡数据保护和数据流动的天平，逐步消除各个主体在数据出境时面临的问题，才可有效助力经济和产业发展。虽然我国逐步建立起跨境数据流动规则，但是还需完善和补充。在跨境数据流动的评估中，评估目的主要是为了保障跨境数据流动的安全性，评估重点集中在是否涉及个人利益、公共利益及国家安全等。未来评估部门要做到分工明确、标准清晰、流程便捷，为企业自评估过程提供详细的参照标准，加强政企合作，共同培养专业数据评估人才，填补行业空白，有效保障数据流动的安全性和时效性等。

4  结语

数据在当前经济发展中的重要性不言而喻，基于数据的特殊性，若要在未来进一步释放数据红利，当前全球数据保护和跨境流动的相关规则务必要与时俱进。美欧国家具有丰富的数据治理经验和较为完善的数据治理体系，为各国数据治理提供了参考。我国的数据治理模式和方法仍在逐步探索和完善中，鉴于我国数字经济蓬勃发展、数据要素丰裕，在借鉴他国经验的同时，更要积极寻求符合国内数据要素保护方式和跨境数据流动的规则，逐步探索出一条符合中国特色的数据治理之路。

制定或完善数据要素跨境流动规则，也是各国面临的一项新任务。为了减缓数字经济过度碎片化、跨境数据流动政策过度分散化，各国应加强国际对话与合作。我国作为数字经济大国，面对新时期全球规则的重塑，更应积极参与并发挥主动权和话语权。同时必须认识到，鉴于当前各国做法的多样性以及对主权、隐私和国家安全的合理关切，建立相对统一和完善的跨境数据流动规则的过程必将充满挑战。