跨境数据流动的全球治理

刘宏松 程海烨

【内容摘要】  跨境数据流动领域并未形成全球性规制体系。国际机制因缺乏效力、难以平衡良好的数据保护和跨境数据自由流动、无法保持自身独立性等问题，并未达到理想的治理效果。当前，跨境数据流动治理主要在欧盟和美国两个独立法域内实施，但美国和欧洲在价值理念和规制模式上的根本性差异、数字化企业竞争，在隐私保护、境外管辖权和数字服务税等问题上产生了难以弥合的分歧。在此情形下，跨境數据流动的全球治理呈现两个发展趋势，一是规制多极化和规制标准的俱乐部化，二是美欧将继续争夺跨境数据流动规制的主导权。作为全球第二大数字经济体，中国同美国和欧盟一样，也是跨境数据流动议题领域的一个重要行为体。面对上述发展趋势，中国正加快参与跨境数据流动的全球治理步伐。目前，中国可通过加入亚太经济合作组织框架下的跨境隐私规制体系、与《一般数据保护条例》的实施方欧盟进行规制协调、将中国跨境数据流动规制体系推向“一带一路”沿线国家三条路径，积极参与跨境数据流动的全球治理。

【关键词】  跨境数据流动  数据保护  数字经济  全球治理  中国路径

【作者简介】  刘宏松，上海交通大学国际与公共事务学院教授（上海  邮编：200030）;程海烨，上海外国语大学国际关系与公共事务学院博士研究生（上海  邮编：200083）

【中图分类号】 F11                【文献标识码】 A

【文章编号】 1006-1568-（2020）06-0065-24

【DOI编号】 10.13851/j.cnki.gjzw.202006004

联合国《2019年数字经济报告》指出，数字经济已成为全球经济发展和贸易增长的新动能。  作为数字经济驱动的产物，跨境数据流动  （transborder data flow）通过提高生产和流通效率推动全球经济增长。据估计，2009—2018年，全球跨境数据流动拉动的经济增长占全球GDP总量的3%，相当于2.3万亿美元，使全球GDP增长10.1%，预计到2025年其为全球GDP贡献的价值将达到11万亿美元。

目前，跨境数据流动治理领域并未形成全球性规制体系。经济合作与发展组织（OECD）、亚太经济合作组织（APEC）、二十国集团（G20）和世界贸易组织（WTO）等国际机制，成为参与全球跨境数据流动治理的主要多边机制。美国和欧盟作为两大独立法域，正积极开展跨境数据流动治理和规制协调。作为世界第二大数字经济体，  中国在跨境数据流动治理领域扮演着重要角色，而其他发展中国家的数字经济水平不及中国，在跨境数据流动治理领域的影响力有限。因此，本文将聚焦OECD、APEC、G20和WTO等多边机制、美国和欧盟两大独立法域以及中国在跨境数据流动治理领域发挥的作用。

既有研究以美国和欧盟为主要研究对象，围绕立法规制、数据主权与隐私安全、数据民族主义、数字贸易等议题展开讨论，而且大多将跨境数据流动视为网络空间治理的一个分支议题，忽视了其数据主权之外的数字经济特质。  与此类研究不同，本文将研究视域扩展到全球层面的多边规制行动，并关注跨境数据流动的数字经济特质。本文将首先理清OECD、APEC、G20和WTO等国际机制开展的多边规制行动及其面临的困境，继而探讨美国和欧盟在跨境数据治理领域的分歧及其主要原因，并在此基础上分析跨境数据流动的全球治理发展趋势，最后提出作为世界第二大数字经济体的中国参与跨境数据流动治理的可行路径。

一、既有多边规制行动及其困境

尽管联合国发布了《计算机处理的个人数据文档规范指南》，  但该指南仅对个人数据存档给予规范性指导，并不涉及跨境数据流动的全球治理。在这一领域，OECD、APEC、G20和WTO等国际机制开展了多边规制行动。

（一）既有多边规制行动

第一，鼓励跨境数据流动，推动全球数字经济发展。OECD、APEC和WTO等组织通过制定跨境数据流动规则，释放全球数字经济发展潜力。OECD是全球首个提出跨境数据流动执行原则的国际组织。其在1980年发布的《隐私保护和跨境个人数据流动指南》（以下简称《OECD指南》（1980））中指出，成员国应避免以保护个人隐私和自由的名义，限制跨境数据自由流动。  APEC通过2005年发布、2015年修订的《APEC隐私框架》指导亚太地区跨境数据自由流动。  WTO作为全球首要多边贸易机制，主要通过减免数字产品关税、推动跨境数据自由流动，来促进全球范围内信息技术产品的自由贸易。目前，82个WTO成员已签署《信息技术产品协议》（Information Technology Agreement， ITA），尝试取消一系列计算机、软件和电子通信产品关税，促进世界范围内信息技术产品的贸易自由化，为跨境数据流动提供更好的技术保障。  G20则积极倡导各成员国抓住数字机遇，推动全球经济实现包容性发展。各国在2016年G20杭州峰会上发起《二十国集团数字经济发展与合作倡议》，为释放更多的数字经济潜力、应对数字鸿沟创造更多有利条件。

第二，构建与数字经济发展相匹配的数据隐私保护框架和数字技术信任体系，消除跨境数据流动壁垒。OECD将个人隐私看作公民的基本权利，倡导构建能够推动跨境数据流动的数据隐私保护框架。《OECD指南》（1980）强调各成员国应当确保个人数据在跨境流动中安全的可持续性。  APEC则重视同时建立消费者信任的数据隐私保护框架和数字技术信任体系。《APEC隐私框架》启动了跨境隐私规则（Cross-Border Privacy Rules， CBPR）体系，通过设立以“保护个人隐私、获得消费者信任”为宗旨的“问责代理”机构，在确保企业符合APEC隐私保护标准的同时，提升消费者对电子信息平台的信任。  G20的各成员也在构建数据隐私保护框架与数字技术信任体系上达成了共识。在2017年G20汉堡峰会和2018年G20布宜诺斯艾利斯峰会上，各国领导人承诺，将致力于建设保护个人隐私的法律框架，并不断重申打造消费者信任的数字技术体系的重要性。  WTO则致力于确保跨境数据的流动体现数字贸易的公平性，构建数字贸易信任体系。例如，WTO《服务贸易总协定》（GATS）强调市场准入义务和国民待遇义务;其附加协议《关于电信服务的附件》（Annex on Telecommunications）第5条还规定，即使WTO成员没有开放本国的电信市场，也要确保本国的公用电信网络符合非歧视原则。

第三，关注跨境数据流动规制的风险管控和互操作性。《OECD隐私框架》（2013）提出了国家隐私战略（national privacy strategies）、隐私管理程序（privacy management programs）和安全漏洞通知（security breach notification）三个概念，强调对个人隐私的风险管控及全球层面隐私监管的互操作性。  《APEC隐私框架》下的CBPR体系要求申请加入的企业所在国至少有一个隐私执法机构加入跨境隐私执法安排（Cross-border Privacy Enforcement Arrangement， CPEA），监督参与跨境数据流动企业的隐私保护情况，提升各经济体隐私执法机构的互操作性。  在前三届峰会成果基础上，2019年《二十国集团领导人大阪峰会宣言》提出，不仅要创新数字化产业和新兴技术，还要创新跨境数据流动的风险监管，弥合数字鸿沟等。

（二）既有多边规制面临的困境

上述国际机制在跨境数据流动治理领域开展了一系列行动，但也面临以下三个困境。

第一，效力不足。《OECD隐私框架》（2013）是指导性框架，仅为全球跨境数据流动提供了建设性指导方针。该框架第6条指出，“各成员国应达到个人隐私保护及个人自由的最低标准，”  但并没有提出具体和明确的要求，也不具备法律效力。《APEC隐私框架》属于自愿性框架协议，且只有自愿加入CBPR体系，并通过CPEA认证，达到APEC对消费者隐私保护要求的企业，才能从法律意义上保护消费者隐私。  G20是跨境数据流动的全球治理倡议平台，没有强制执行机制。尽管各成员国对数字经济展开较多讨论，提出跨境数据自由流动的理想模式，但并未形成良好的多边规制体系来约束成员国行为。WTO框架下的GATS虽对成员国有约束力，但因其部分条例相互矛盾，法律效力在一定程度上遭到削弱。例如，GATS第2条规定了成员国的最惠国待遇，但第7条却允许成员国对来自不同国家或地区的服务提供商实行差别对待。  此外，GATS并未取得令人满意的执行效果。大多数成员国仅根据GATS做出承诺，并未付诸实际行动。

第二，难以平衡良好的数据保护和跨境数据自由流动。数据保护和跨境数据自由流动，如同天秤的两端，天秤偏向任何一端，都会对另一端造成消极影响。OECD、APEC、G20和WTO都未能在两大目标之间实现平衡。《OECD指南》（1980）、《OECD隐私框架》（2013）虽在前言部分强调尊重个人隐私的重要性，承认数据保护是各国开展跨境数据自由流动的前提，但事实上，OECD更加偏重跨境数据自由流动。  APEC反对为跨境数据流动设置障碍，主张成员国只需达到数据保护的最低标准。《APEC隐私框架》序言第3、4条明确提出，限制数据自由流动或对其设置障碍会对全球贸易产生不利影响，要求各成员国“确保”数据能够自由流动，仅表示“鼓励”数据保护。  G20成员对是否应在数据充分保护的前提下开展跨境数据自由流动存在分歧。  WTO虽然在数据隐私保护方面采取了规制行动，但总体上偏重于跨境数据自由流动。尽管WTO正对GATS进行改革，试图通过与互联网治理机构开展合作来降低数字服务的网络安全风险，但目前看来，WTO的规制重点仍是推动跨境数据流动、促进数字贸易自由化。

第三，既有多边规制受到欧盟和美国两大规制体系的影响，无法保持自身独立性。《OECD指南》（1980）是参照欧洲尊重个人隐私权的价值导向制定的。以德国和法国为代表的欧盟成员国，始终坚持将个人的尊严、自由和安全置于首要位置，主张通过严格的法律法规加强对个人隐私的保护。《APEC隐私框架》及CBPR体系则带有很强的美国色彩，强调构建以市场为主导、以跨境数据流动为目标的规制体系。  目前，部分国家担心如果完全接受OECD和APEC规制体系，会成为欧盟和美国两大法域竞争的“牺牲品”。因此，印度、俄罗斯、阿根廷、巴西、伊朗等新兴和发展中经济体为维护本国数据本地化处理的自主权开展了相关立法工作。

二、美欧两大规制体系的分歧及其主要原因

既有多边规制面临上述困境，意味着跨境数据流动的全球治理并没有真正实现。当前，跨境数据流动治理主要在欧盟和美国两个独立法域内实施。欧盟和美国拥有庞大的数字市场规模。2018年，美国数字产业化规模高达1.5万亿美元，其产业数字化规模达到10.8万亿美元。欧盟成员国中的两大巨头德国和法国的数字产业化规模分别为2 410亿美元和1 728亿美元，产业数字化规模分别达到2.15万亿美元和9 822亿美元。  欧盟和美国凭借庞大的市场规模，成为跨境数据流动议题领域的重要行为体。

（一）美欧两大规制体系的分歧

尽管美国和欧盟之间在开展跨境数据流动领域先后达成了《安全港协议》（Safe Harbor Framework）和《隐私盾协议》（Privacy Shield Framework），但双方在隐私保护、境外管辖权和数字服务税等问题上的分歧难以弥合。

第一，隐私保护问题。自2013年“棱镜门事件”后，美国脸书（Facebook）公司在2014年又被指控向美国政府泄露用户的个人数据。  由此，2015年10月6日，欧洲法院做出了废除《安全港协议》的判决，  明确指出美国在执行该协议时，将其国家安全、公共利益和执法需要置于更高位置，在公民隐私数据泄露时漠视监管要求。  《安全港協议》的废除标志着美欧在跨境数据流动领域的冲突达到了顶点。尽管双方此后又达成了《隐私盾协议》，但欧盟数据保护委员会（EDPB）对该协议执行和监管的评估结果并不满意，认为美国方面缺乏实质性监督。  2020年7月16日，欧洲法院判决《隐私盾协议》的适用性无效，这意味着脸书、谷歌等诸多美国企业将被迫停止与欧盟开展跨大西洋数据流动。  EDPB认为，自脸书泄露用户信息事件发生后，美国至今并未对国内数据隐私保护做出根本性调整。目前看来，美欧双方实现进一步协调的可能性微乎其微。

第二，境外管辖权问题。欧盟以“地理区域”为基准，对境内外凡是使用欧盟数据的企业都实施监管。GDPR的“长臂管辖”条例明确规定，即使数据控制者或处理者不在欧盟境内设立实体机构，只要涉及欧盟业务，也需接受欧盟的监管。  此外，大多数云服务提供商必须与客户签订合同，保证数据从欧盟转移到美国时接受欧盟的监管。  美国则以“国籍管辖”为基准，对境内外所有美国企业实行数据流动监控和管辖。为了打破GDPR长臂管辖的约束，美国于2018年出台了《澄清域外合法使用数据法》（CLOUD Act），将美国对跨境数据流动的司法管辖权由“数据所在地”更改为“数据控制者所在地”，规定“无论通信、记录或信息存储是否在美国境内，服务提供商都应根据电子通信法律，保存、备份或记录信息等”。也就是说，此后美国在开展跨境搜查时，微软公司需要向美国相关部门提交其存储在爱尔兰的用户电子邮件内容。  这势必加剧美欧在跨境数据管辖权问题上的冲突。

第三，数字服务税问题。在数字经济背景下，传统国际税收秩序面临双重挑战。一方面，跨境数字交易呈现无边界状态，影响了以地理为基准的传统国际税收范围。互联网企业可以在税率相对较低的国家或地区缴税，抵扣税率相对较高国家或地区应缴金额，从而合法规避高额税款。另一方面，跨国企业可以重新配置以数据为主的无形资产结构，实现全球利润最大化。  例如，2010年，美国互联网跨国巨头谷歌公司被披露通过转移定价实现利润的全球转移与再分配，合法避税近600亿美元。  为了应对挑战，从2018年3月开始，欧盟委员会发起了关于数字服务税的立法提案，拟调整对大型互联网企业的征税规则。西班牙、奥地利和法国等欧盟成员国也开展了数字服務税方面的立法工作。2019年1月，西班牙政府内阁会议通过数字服务税计划，准备对全球年收入超过7.5亿欧元和在西班牙年收入超过300万欧元的公司征收3%的新税;2019年4月，奥地利财政部长在内阁周例会上公布了“一揽子数字征税”计划;2019年7月，法国参议院通过了数字服务税草案，全球首部数字服务税法落地实施。

欧盟部分成员国征收数字服务税的单边行动，引起了美国的强烈不满。美国反对欧洲国家的征税方式和征税范围，认为其仅对数字广告和跨境数据流动征收数字服务税是出于贸易保护目的。  因此，美国启动“301条款”对法国进行调查，并对价值13亿美元的法国商品征收25%的报复性关税。  同时，美国借助OECD、G20等多边机制推动国际税制改革，如2013年发布的OECD《税基侵蚀和利润转移行动计划》（BEPS）、  2020年发布的《OECD/G20关于实现包容性数字税框架的“双支柱”路径的声明》  等标志性文件，鼓励各国签署一致性国际税制改革协定，实现征税权的重新配置，促进反税基侵蚀的全球合作，应对数字服务税带来的挑战。  然而，上述指导性改革方案并未实质性解决美欧双方在数字服务税问题上的分歧。

（二）美欧两大规制体系产生分歧的主要原因

美欧两大规制体系在价值理念和规制模式上的根本性差异，导致其在隐私保护和境外管辖权等问题上产生了分歧。美欧因数字服务税产生的分歧则是双方争夺数字化企业竞争优势的表现。

第一，美、欧两大规制体系在价值理念和规制模式上存在根本性差异。

在价值理念方面，欧盟将个人隐私保护视为开展跨境数据流动的前提条件，并将构建法律规制体系作为保护个人隐私必不可少的手段。  1950年，欧洲国家就已经达成了专门保障公民基本权利的《欧洲保障人权和基本自由公约》;  自20世纪60年代起，旨在保护个人隐私的《关于自动化处理个人信息保护公约》（以下简称“《第108号公约》”）  以及奉行“充分保护”原则的《数据保护指令》（1995）  相继生效。欧盟跨境数据流动规制体系逐步建立，涉及数据保护的法律文件亦愈发严格。在2016年的《数字化单一市场版权指令》  指引下，欧洲理事会和欧洲议会批准了《一般数据保护条例》（GDPR）。该条例通过执行“单套规制”  来打造统一的规制体系，以高额罚金等惩罚性措施来加强数据保护。

美国则将数字经济发展置于首位，致力于确保跨境数据自由、高效流动，以充分释放数据流动的经济效能。在美国看来，GDPR对数据的保护过于严苛，既妨碍跨境数据自由流动，又会对数字经济发展造成不利影响。因此，自《隐私权法》  颁布后，美国国内没有另行出台过于严格的数据隐私保护法律，仅针对特定的领域和人群提出保护用户个人信息的具体要求。例如，《电子通信隐私法》是一部旨在保护电子通信领域个人信息不受第三方窃听或拦截的法律;  《录像隐私保护法》规定，在电子视频传播时禁止公开个人可识别的盒式磁带或试听资料等信息;  《儿童网上隐私保护法》主要针对美国13岁以下的儿童群体，要求互联网企业遵守保护儿童上网信息的六项基本原则;  《加州消费者隐私法》则赋予加州公民四项新的隐私保护权利，将企业对用户数据的使用决定权归还消费者，使加州公民在消费时拥有更多的个人信息控制权。

在规制模式方面，欧盟和美国采用不同的跨境数据流动规制模式。欧盟采用以地理区域为基准、充分保护为前提的事前防御规制模式。欧盟《第108号公约》第12、14条提出，缔约国间开展跨境数据流动时，应具有“同等水平”的数据保护力度。  《数据保护指令》（1995）则要求欧盟成员国在向第三方跨境数据流动前，先确认第三方的数据处理能力是否已达到“充分保护”水平。  GDPR第3条设置了长臂管辖条例，第5条则提出了个人数据处理原则，包括合法、公正、透明、数据使用最小化等处理方式。  美国采用以国籍管辖为基准、问责制为前提的事后监管规制模式，通过行业自律的方式要求企业保障个人数据传输的安全性。  此外，在美国推动下达成的CBPR体系也强调企业的责任意识，要求企业先进行自我评估，再接受问责代理机构的评估;如评估通过，则被认定为符合隐私保护标准的企业。欧盟和美国曾先后达成《安全港协议》和《隐私盾协议》，尝试协调双方不同的规制模式。  由于美国泄露用户隐私事件频发，欧盟始终对《安全港协议》的数据保护效果持不信任态度，该协议最终被《隐私盾协议》所取代。《隐私盾协议》将规制对象扩展至美国政府及国家安全部门，救济机制从简单的商业纠纷解决条款转变为企业申诉和强制性终局仲裁，并增加了数据主体权利等内容;同时进一步明确了数据转移前的问责制、增加了对数据使用目的的限制、资源可信度原则等。  然而，由于美国方面缺乏实质性监督，欧洲法院已判决其适用性无效。

当前，中国正加快培育数据要素市场，推进数据市场化配置体制机制改革。2019年，中共十九届四中全会提出提升数据等生产要素推动经济高质量发展的总要求。2020年，中国发布了关于完善要素市场化配置体制机制的文件，不仅将数据与土地、资本等传统要素并列为五大市场要素之一，而且进一步细化了数据市场化配置体制机制改革方向。  同时，中国正加快参与跨境数据流动的全球治理步伐。目前，中国可以通过三条路径协同并进，推动跨境数据流动的全球治理，一是加入APEC框架下的CBPR体系，二是与GDPR的实施方欧盟进行规制协调，三是将中国跨境数据流动规制体系推向“一带一路”沿线国家。

（一）加入APEC框架下的CBPR体系

中国是APEC成员国，加入APEC框架下的CBPR体系，具有可行性。

第一，CBPR体系在《APEC隐私框架》内执行，它的最终目的是促进亚太地区电子商务和数字贸易的蓬勃发展。APEC重视通过互联网和数字经济推动区域经济以更具创新、智能、可持续和包容性的方式增长。  数字中国战略则倡导发展以数据为关键要素的数字经济，坚持数据开放、市场主导原则。  因此，数字中国战略与CBPR体系的宗旨是相吻合的，二者具有相互对接的潜力。

第二，CBPR体系的核心理念与中国的跨境数据流动治理理念基本吻合。CBPR体系要求实现最大范围的跨境数据流动，不让网络封闭成为数字经济发展的障碍。加入这一规制体系的各个国家，在进行跨境数据流动时，即使数据接收方的数据保护水平不如数据输出方严格，也应准许数据流动，并且不得强制要求非APEC成员的数据接收方设置高于APEC的数据保护水平。  中国的跨境数据流动治理理念是坚持在保障个人信息、数据安全、网络安全基础上推动数字经济创新发展。在2019年世界互联网大会上，中国提出开放是网络空间合作的前提，也是构建网络空间命运共同体的重要条件，中国愿搭建双边或多边国际合作平台。  可见，CBPR体系与中国的跨境数据流动治理理念均倡导构建开放合作的网络空间。

第三，加入CBPR体系，有助于提升中国在跨境数据流动议题领域的话语权，并且有助于避免全球治理规则与国内治理规则出现错位。  中国在加入CBPR体系后，可以参与该体系的规则制定，有助于提升中国在跨境数据流动议题领域的话语权。此外，中国可以根据该规制体系要求，完善国内跨境数据流动规制，在亚太地区实现更加顺畅的跨境数据流动。

（二）与GDPR的实施方欧盟进行规制协调

中国可以在加入CBPR体系的同时，与GDPR的实施方欧盟进行规制协调。中国的市场规模虽不及欧盟，但处在同一级别。英国脱欧后，中国与欧盟的市场规模更加接近。因此，中欧双方具备开展规制协调的市场权力基础。  同时，中国与欧盟开展跨境数据流动的规制协调也具有可行性。

第一，欧盟坚持以人为本的数字经济发展理念与中国以人民为中心的数字中国战略目标相符。欧盟在《塑造欧洲的数字未来》战略中，强调坚持以人为本理念，认为科技服务于民众，重视通过数字经济改善人们的生活。  而中国在数字中国战略中，也明确提出运用大数据保障和改善民生，尤其是推动教育、就业、社保等领域大数据的普及。  中国与欧盟秉持的数字为民理念构成了双方进行跨境数据流动规制协调的基础。

第二，中国和欧盟均重视个人隐私保护。如前文所述，欧盟重视隐私保护，看重数据接收国在隐私保护方面的法律保障体系。中国不仅重视个人信息保护，更关注数据安全和网络安全。由于GDPR的充分保护原则与美国强调的跨境数据自由流动原则存在冲突，美欧双方分歧不断。中国对网络安全、个人信息保護和数据安全的重视，使得中国和欧盟可以避免在核心原则上出现分歧，因而极大地提升了双方进行规制协调的可能性。

当然，加入APEC框架下的CBPR体系并与GDPR的实施方欧盟进行规制协调，也会为中国带来新的挑战。首先，APEC框架下的CBPR体系是美国主导的俱乐部标准。虽然加入CBPR体系的国家不需要修改本国的数据隐私法，但该体系规定，参与国在管控个人信息出境时不得要求数据接受方提供超过《APEC隐私框架》的保护水平。  因此，参与国仍然需要根据APEC最低标准修改本国相关的跨境数据流动条例。这将在一定程度上限制中国在监管标准方面的自主权。其次，数据信息处理主体不对称，将增加国家与企业及企业之间的互操作成本。中国要求国家统一领导各地区、各部门对数据信息的处理。《中华人民共和国数据安全法（草案）》总则第6条指出，中央国家安全领导机构负责数据安全工作的决策和统筹协调，研究制定、指导实施国家数据安全战略和有关重大方针政策;  而CBPR体系和GDPR认可个人数据的收集、处理和使用在企业层面完成。若中国加入CBPR体系并与欧盟进行规制协调，参与跨境数据流动的企业需要接受国家机关和数据流向国家及其企业数据保护机制等多方监督，这将增加跨境数据流动的互操作成本和执行风险。

（三）将中国跨境数据流动规制体系推向“一带一路”沿线国家

目前，中国正在为开展跨境数据流动做出相应的规制努力，在国内规制体系形成后，将其推向“一带一路”沿线国家具有可行性。

第一，相对于“一带一路”沿线国家，中国在市场规模上具有优势。2018年，中国从“一带一路”沿线国家的进口总额增长至8 618.67亿美元，是2013年的1.27倍，占当年进口总额的比重约为40.36%。  与此同时，“一带一路”沿线国家在数字经济领域对中国的依赖也在不断加深。2017年，马来西亚政府与中国阿里巴巴集团在吉隆坡启动“数字自由贸易区”，希望通过中国电商平台为其2020年国内生产总值贡献约3 284亿元。  中国的互联网企业已成为推动“一带一路”国家数字经济发展的动力来源，沿线国家的商品正通过电商渠道越来越多地进入中国市场。  庞大的市场规模有利于中国将自身规制标准推向“一带一路”沿线国家。

第二，中国与“一带一路”沿线国家在“数字丝绸之路”建设方面取得了阶段性成果，这构成了中国在跨境数据流动治理领域与“一带一路”沿线国家开展对话与合作的基础。目前，中国已与16个国家签署了关于加强“数字丝绸之路”建设合作的谅解备忘录，与19个国家签署了双边电子商务合作谅解备忘录。  例如，中国与东盟达成了《中国—东盟战略伙伴关系2030年愿景》，为加强双方规制的联通合作做好了准备。  此外，中国与老挝、沙特、塞尔维亚、泰国、土耳其等国家共同发起了《“一带一路”数字经济国际合作倡议》，  将从数字经济项目对接、数字人才培养和数字经济治理等方面对非洲敞开合作的大门，为形成中非跨境电子商务生态体系、保障跨境数据流动基础设施等方面做好铺垫。同时，中国与非洲达成了《北京行动计划（2019—2021）》，并将进一步实施“中非科技伙伴计划2.0”等。  “数字丝绸之路”也引起了拉美国家的广泛关注。2018年，中国与拉美国家在第二届中国—拉美和加勒比国家共同体论坛上达成了《中国与拉美和加勒比国家合作优先领域共同计划（2019—2021）》，提出了在网络安全、通信产业等领域开展合作的共同计划。拉美国家还发表了《“一带一路”特别声明》，明确表示愿意在中国推动下实现建设信息和通信的“数字丝绸之路”，在加强信息互联互通的同时，共同分享数字红利。  “数字丝绸之路”建设将通过与沿线国家在信息基础设施、经贸发展、文化交流等领域的全方位交流与合作，进一步缩小“数字鸿沟”，  为下一步开展跨境数据流动、释放数据资源价值、推动数字经济高质量发展做好充分准备。

尽管将中国跨境数据流动规制体系推向“一带一路”沿线国家前景可期，但这一路径面临以下挑战。首先，建设“数字丝绸之路”跨境数据流动圈将引发新一轮美、欧、中三大力量的“数字地缘政治”竞争。在美国看来，“数字丝绸之路”将打造一条绕过美国的新型全球跨境数据流动“高速公路”，中国正以“数字威权主义”方式在“一带一路”沿线国家提升科技、经济和文化等影响力，并争夺全球数字技术主导权。  《美国网络安全国家战略》（National Cyber Strategy）声称，中国已对美国的经济、民主、知识产权等领域造成破坏性影响。由此，美国启动了《美国人工智能倡议》，将包括华为在内的数家中国企业列入“黑名单”，并限制其使用源自美国的软件和技术。  欧盟也担心“数字丝绸之路”对其技术主权造成潜在威胁，认为中国主导的“数字丝绸之路”通过带动沿线国家数字技术的进步，不仅提升了中国在全球数字经济领域的影响力，还有利于中国向外输出符合其战略目标的跨境数据流动标准与规范。出于这一考虑，欧盟将通过加快数字化进程、建立数据框架、建设可信赖的泛欧数字环境，提升欧洲数字战略自主性，  意欲限制中國规制、标准的输出力度。其次，与“一带一路”沿线国家开展跨境数据流动将考验中国国内数据要素市场的监管体系。目前，中国数据要素市场处于全方位完善期，数据要素监管体系相对发达国家较为薄弱。进入“一带一路”沿线国家的数据难免存在“数据黑市”“数据黑产”等情况。  因此，中国在将跨境数据流动规制体系推向“一带一路”沿线国家的同时，亟须加强对数据要素市场的监管。

结 束 语

为应对新问题和新挑战，共同构建和平、安全、开放、合作、有序的网络空间，中国已发起《全球数据安全倡议》，并明确将秉持多边主义、兼顾安全发展和坚守公平正义 ，积极参与全球数字治理。跨境数据流动治理是全球数字治理的重要领域。鉴于当前跨境数据流动的全球治理进展、发展趋势以及中国在推动这一领域全球治理进程中面临的挑战，  中国应做出具体政策应对。首先，积极参与既有多边平台的数字治理对话和协调，为全球数字治理贡献中国智慧。中国应积极参与APEC、G20、WTO等既有多边平台有关数字治理的对话和协调，为解决跨境数据流动面临的困境提出中国的应对方案。其次，中国应在保障数据安全的前提下，健全数据安全监管机制、创新数据要素市场监管模式，降低跨境数据流动的互操作成本和执行风险，营造各国可信赖的跨境数据流动规制环境。再次，中国应坚持以数字科技推动数字经济发展，不断扩大数字经济市场规模，以应对“数字地缘政治”竞争。数字科技是推动数字经济发展的重要手段，不仅能降低产业成本、增加产业收入、迭代商业模式，更能推动企业从“单边”到“共建”经营模式转变。在数字科技推动下，中国数字经济市场规模将不断扩大，这将有助于中国在“数字地缘政治”竞争中获得优势地位。

[责任编辑：杨 立]