数据跨境流动监管协调的中国路径

陈 思，马其家

（对外经济贸易大学法学院，北京市 100029）

目前，全球对于数据跨境流动并没有统一的监管规则，加之各国所追求的目标不一致，导致各国数据跨境流动监管规则存在较大差异。例如，美国作为数字产业强国，追求数据的经济价值，推崇数据自由跨境流动①；欧盟提倡保护个人数据权利，坚持以数据权利保护为基础的数据跨境流动②；中国主张数据跨境流动应以国家数据安全为前提③。各国数据跨境流动监管中价值取向的差异直接导致全球数据跨境流动监管规则支离破碎、无法统一，也导致国际层面的监管协调成为难题。

现阶段国内学者对数据跨境流动监管的研究主要体现在三方面④。一是数据跨境流动域外监管规则分析。自雷登伯格（Reidenberg J R）[1]首次提出数据跨境流动监管的美欧二元对立模式后，国内学者围绕美欧的立法模式、监管规则展开了对数据跨境流动监管的比较研究。单文华等[2]分析了美欧数据监管理念、数据监管法律体系、数据监管实施体系的差异，介绍了美欧在数据跨境流动监管领域的立法、实践及其对中国的借鉴意义。谭观福[3]总结了美欧在数据跨境流动监管方面的分歧，重点比较分析了新近自由贸易协定中数据跨境流动的监管模式，提出了中国数据跨境流动监管制度的完善建议。此外，还有学者对日本、印度和俄罗斯等国家更广范围的数据跨境流动监管规则进行了比较分析。二是数据跨境流动监管国内规则的制度设计。马其家等[4]综合考量了中国数字贸易产业的发展状况、国内现有的监管规则以及中国参与国际数据监管合作的具体实践，主张中国应完善数据出境安全审核制度。赵精武[5]从欧盟制定标准化合同的规制模式和规制逻辑出发，提出中国应为数据跨境流动提供相应的标准化合同，指引数据处理者缔结合理、恰当的数据跨境流动合同。三是中国数据跨境流动监管规则的域外效力，以及如何在数据跨境流动中争夺话语权等。叶开儒[6]从欧盟内部视角对数据跨境流动领域长臂管辖制度进行了分析，提出中国应当改变数据监管防御策略，主动利用本国数据优势争夺国际话语权，积极构建数据跨境流动的域外监管规则。邵怿[7]解构了网络数据长臂管辖权问题，探讨了数据跨境流动领域长臂管辖权行使的“全球共管”模式，提出中国应统筹研判数据跨境流动监管的内在逻辑和外在规范，充分衔接国内监管规则与国际监管规则，明确数据跨境流动监管规则的域外适用效力。

可见，现有研究主要集中在通过对域外数据跨境流动监管经验的比较分析反哺中国数据跨境流动监管实践和国内具体监管制度的构建上，但对数据跨境流动监管协调的关注度不足，尤其缺乏对数据跨境流动国际监管协调机制的研究。因此，本文拟在分析数据跨境流动监管协调美欧实践的基础上，探讨中国数据跨境流动监管协调的基本立场，构建中国数据跨境流动监管协调的策略路径。

一、中国数据跨境流动监管协调中存在的问题

为规范数据跨境流动，推动数字经济发展，中国先后颁布了《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），基本建立了国内数据跨境流动监管框架。在国际层面，作为全球数据治理体系中最重要的利益相关者之一，中国越来越重视参与数字贸易协定的谈判，开始关注与其他国家或地区之间的数据跨境流动监管协调。2020年11月中国参与谈判并正式签署《区域全面经济伙伴关系协定》（Region⁃al Comprehensive Economic Partnership，RCEP）。2021年9月中国正式提出申请加入《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP），同年11月中国又正式提出申请加入《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，DEPA）。此外，中国也在积极参与新一轮世界贸易组织（World Trade Organization，WTO）电子商务诸边谈判。虽然中国近期对外缔结的自由贸易协定都涉及数据跨境流动规则条款，但相较于美欧在数据跨境流动中的监管协调中国还存在一些不足。

（一）数据跨境流动国内监管规则存在着适配性障碍

近年来，中国高度重视数据跨境流动的发展，但现有的数据跨境流动国内监管制度适恰性和协调性不足。一方面，数据跨境流动国内监管体系不完善，数据跨境流动监管能力和保护水平不足，国家层面缺乏统筹协调的监管机构。较强的监管能力和高水平的数据保护是数据安全跨境流动监管的基础，统筹协调的监管机构能提高中国参与数据跨境流动国际监管协调的效率。如果在数据跨境流动国内监管体系不完善时贸然加入鼓励数据自由跨境流动的高度开放的数字贸易协定，极易引发数据安全风险。[8]另一方面，中国国内法规之间存在数据跨境流动监管规则不协调的问题。数据跨境流动的国内监管规则是中国参与国际监管协调的基础，国内监管规则之间不一致必然影响中国参与数据跨境流动国际监管协调的进程。《数据安全法》和《个人信息保护法》实施后，中国数据跨境流动监管规则和框架基本形成，但原有法规中的数据相关规定并未及时修订，造成了数据跨境流动领域国内法律法规之间的分歧。如2021年实施的《数据安全法》第三十一条允许符合安全评估标准的数据出境，但此前2014年实施的《人口健康信息管理办法（试行）》并没有进行修订，第十条仍明确禁止人口健康信息流出。

（二）中国参与数据跨境流动监管协调的方式单一

目前中国参与数据跨境流动监管协调的主要方式是加入自由贸易协定、加入国际数据管理协会和与域外国家或地区就数据跨境流动签署协调监管的谅解备忘录。但是，在中国对外签署的19个自由贸易协定中，除RCEP 外，其他很少涉及数据跨境流动规则条款。国际数据管理协会是非营利性机构，目标是在世界范围内推广数据领域相关指南和最佳实践，并没有监管效力。备忘录也不是监管协调的终点和全部，仅仅意味着国家或区域间完成了数据跨境流动监管规则框架的搭建，还需要继续磋商制定相应的配套制度，将备忘录落实到常规监管中。可见，中国参与数据跨境流动监管协调时，不仅协调方式较为单一，在层次和深度上的挖掘与探索也存在不足。此外，中国参与数据跨境流动国际监管协调的频率较低，监管协调的有效性有限，不能满足数字经济时代数据跨境流动发展变化的监管需求。

（三）中国在数据跨境流动监管协调中的话语权较弱

中国在参与数据跨境流动国际监管协调的实践中话语权不足，难以产生国际影响力。从内部因素来看，一方面，中国对数据跨境流动国际规则制定的参与较少。中国虽然顺应了数据跨境流动监管规则的国际发展趋势，参与了一些规制数据跨境流动的协定，但参与数量有限，尚不能建立起制度优势。另一方面，数据跨境流动的国内监管体系和中国已参与的国际协定未达到高水平的国际监管标准。例如，RCEP作为中国参与的首个对数据跨境流动进行专门规定的协定，对数据跨境流动的规制水平有了一定的提升，但RCEP中对数据跨境流动监管的规则要求仍低于CPTPP等其他数字贸易协定。相比于其他发达国家，中国在数据跨境流动监管规则的参与数量和参与程度上都相对逊色，在国际监管协调中的实质竞争力较弱。从外部因素来看，发达国家利用其在传统国际经贸规则中的竞争优势，通过制定高水平的数字贸易协定在数据跨境流动监管领域取得了主导权。由于加入这些数字贸易协定时需要付出高昂的规则成本，中国等发展中国家在数字贸易协定数据跨境流动监管规则中的话语权被严重削弱。[9]

当下中国数据跨境流动监管的国际协调能力不足，尚未形成完善的监管协调，缺乏全方位、多层次的参与沟通渠道。数据跨境流动监管协调中存在的问题不仅会威胁中国数据安全、阻碍中国数据战略的实施，也会掣肘中国数字经济的发展。

二、数据跨境流动监管协调的国际实践

目前，国际层面没有一个多边的国际协定能够协调监管数据跨境流动，世界各国都在积极寻找数据跨境流动领域新的监管协调方式，以美国和欧盟的数据跨境流动监管协调方式为国际主流。

（一）数据跨境流动监管协调的美国实践

美国掌握着传统国际贸易规则的制定权，又凭借数字技术的创新优势，在数字贸易协定的规则制定和协商过程中占据主导地位，推动达成了一系列数字贸易规则成果，在数据跨境流动领域建立了竞争优势，成为全球数据跨境流动的主导者和最大受益者。

美国在WTO 电子商务诸边谈判进程中，就数据跨境流动监管问题提出了意见。美国主张对数据跨境流动实行宽松的监管政策，鼓励数据自由跨境流动。[10]但WTO 议题谈判进展缓慢，无法适应数据跨境流动的发展速度，在WTO 框架下开展数据跨境流动监管协调步履维艰。为寻求数据跨境流动监管协调的新方式，美国通过制定自由贸易协定向贸易伙伴输出美国数据跨境流动监管规则，实现以美国数据监管规则为主导的数据跨境流动监管协调。2018年美国签署《美国-墨西哥-加拿大协定》（United States-Mexico-Canada Agree⁃ment，USMCA），进一步推动数据自由跨境流动，同时要求缔约方建立国内数据监管框架，鼓励缔约方之间加强数据跨境流动监管协调。[11]2022年4月，美国商务部发布《全球跨境隐私规则声明》，旨在建立全球跨境隐私规则（Cross-Border Privacy Rules，CBPR）论坛，弥合数据监管规则的差异，强化美国在数据跨境流动领域话语权，巩固美国数据跨境流动监管协调的主导权。

美国贸易代表曾表示，美国未来将在数据跨境流动领域与有相似监管理念和监管协调意愿的国家或地区合作。[12]可见，对于数据跨境流动监管协调，美国提倡所谓的“少边主义国际化方案”，认为在数据跨境流动监管中实现多边主义协商一致的成本太高，拥有更多数据资源、有能力控制数据跨境流动风险的少数国家可以先展开小规模的国际监管协调，在国际社会中组建以美国为中心的小型“数据跨境流动监管圈”，为国际社会制定数据跨境流动监管标准，然后再利用该“数据跨境流动监管圈”的影响力，吸引其他国家加入，或将监管标准推行到其他国家境内，使小范围的监管共识转变为大范围的全球共识。

（二）数据跨境流动监管协调的欧盟实践

欧盟主要依赖充分性保护认定协议开展数据跨境流动监管协调。充分性保护认定本质上是欧盟对与其进行数据往来国家的数据保护体系和数据保护水平的评估，其初衷是希望欧盟公民的个人数据在流出欧盟区域后仍然能够得到持续的高水平保护。目前，充分性保护认定协议已经逐渐发展为欧盟发展数字经济和争夺数据跨境流动领域国际话语权的重要支撑点。[13]

2019年欧盟与日本就数据跨境流动问题达成了充分性保护认定协议，这不仅是《通用数据保护条例》（General Data Protection Regulation，GDPR）生效以来欧盟签署的第一份充分性保护认定协议，也是欧盟与非欧盟国家之间签署的第一份充分性保护认定协议，在数据跨境流动监管协调方面具有一定的开创性意义。截至2022年2月底，全球范围内欧盟已与14个国家⑤达成充分性保护认定协议，意味着这14 个国家将参照欧盟的数据跨境流动监管标准与欧盟进行协调监管。欧盟与其他国家之间达成的充分性保护认定协议代表了数据跨境流动监管协调的一种新模式，这种监管协调在协议双方之间达成了统一的数据跨境流动监管标准，使监管规则从差异化逐渐走向趋同。越来越多的数据保护标准已经向欧盟靠近，欧盟利用充分性保护认定协议这种“单边主义行为”参与并主导数据跨境流动监管协调的范围正在不断扩大。

（三）美欧之间就数据跨境流动监管协调做出的努力

美国和欧盟数据跨境流动监管的价值取向有着明显差异，双方的监管协调存在着难以弥合的鸿沟。为消除双方之间的制度障碍，美国和欧盟在数据跨境流动监管协调方面做出了较大努力。

2000年的《安全港协议》（Safe Harbor）是美欧在数据跨境流动领域首次进行的监管协调，为美欧数据跨境流动提供了法律依据，在一定程度上调和了美欧数据跨境流动监管规则的差异。“棱镜门”事件发生后，欧盟宣布《安全港协议》无效。为替代《安全港协议》，美欧开始积极寻找数据跨境流动领域的新妥协办法，并于2016年签订了《隐私盾协议》（Privacy Shield）。《隐私盾协议》既为美欧数据跨境流动提供了安全保护，也为美欧数据跨境流动监管协调提供了新可能。[14]但是，2020年7月16日欧洲法院（European Court of Justice）在Sch⁃rems II案件判决中认定《隐私盾协议》无效，美欧之间的数据跨境流动再次陷入困境。2021年6月4日，欧盟公布了《将个人数据从欧盟传输到第三国的新标准合同条款》（New Standard Contractual Clauses for the Transfer of Personal Data from the EU to Third Countries，新版SCCs）。[15]新版SCCs吸收了欧盟GDPR中数据跨境流动的核心规则，将其嵌入数据跨境流动监管的全过程，提升了数据跨境流动监管协调的效率，成为保障数据安全跨境流动的重要依据。[16]但美欧之间数据跨境流动监管协调的合法性基础仍然存在不确定性，为填补美欧数据跨境流动监管协调的空白，2022年3月25日，美国和欧盟就数据跨境流动问题达成原则性协议，承诺将促进美欧之间的数据跨境流动，打破美欧在数据跨境流动领域的对立格局，建立全新的跨大西洋数据跨境流动监管协调方式。

在不同价值取向的驱使下，国家对数据跨境流动监管协调的方式必然呈现差异化和多元化特点，但这并不意味着监管协调方式存在优劣之分。[17]美国和欧盟的监管协调方式消除了监管规则差异导致的数据跨境流动壁垒，在一定程度上实现了数据跨境流动的监管协调，为中国提供了协调监管的参考范式。但是，现阶段中国还不具备美国和欧盟的数据治理水平与数据监管文化，无法单纯效仿或移植美欧数据跨境流动监管规则和监管协调经验。

三、中国数据跨境流动监管协调应采取的基本立场

中国已基本确立了数据跨境流动监管理念，建立了数据跨境流动监管框架，中国对于数据跨境流动的监管协调亦应当秉持一定的基本立场。

（一）尊重各国数据主权

数据主权是国家主权在数据领域的表现形式，是各国对数据主张本国权利的主要理据，是影响数字地缘政治竞争的重要因素。[18]目前，数据的跨境流动以发展中国家向发达国家流入为主，这种流动的不均衡使得发达国家在数据跨境流动领域占据了绝对优势地位，攫取了更多的数据资源。[19]例如美国利用在数据跨境流动中的主导地位，实施数据长臂管辖政策，以获得对更多数据的控制权。这不但侵犯了他国的数据主权，而且在一定程度上打击了各国参与数据跨境流动监管协调的积极性。

尊重各国数据主权，归根结底是在数据跨境流动监管协调中平衡各国的利益诉求，实际上就是平衡发达国家与发展中国家之间的利益诉求。[20]虽然发展中国家与发达国家对于数据跨境流动监管的政策不同、维护数据主权的理念不同，但在数字全球化时代，发展中国家很难脱离发达国家的数据实现数据经济的高质量发展，发达国家也无法忽视中国等发展中国家的数据。因此，在数据跨境流动监管协调中，各国的数据主权需要多边合作共同维护。[21]中国应当保持自我克制，以尊重各国数据主权为底线，以安全、自由的数据跨境流动为导向，处理好国内数据监管与国际数据治理的互动关系。

（二）鼓励正当可控的数据跨境流动

数据的价值在于流动，数据保持生命力的方式就是流动。数据自由跨境流动确实更能促进数字贸易发展，但数据跨境流动并不只具有促进贸易发展的经济价值，各国还会考虑数据安全、数据主权和个人隐私保护等因素，对数据跨境流动进行必要规制。

跨境数据的正当性和风险的可控性是数据跨境流动监管协调的必要前提。“正当”和“可控”分别对应跨境数据的“自身安全”和“利用安全”。跨境数据自身安全是数据本身承载的信息完整和可靠；跨境数据利用安全是强调防范和避免由于数据大量频繁跨境流动而引发的安全风险。[22]鼓励正当的、可控的数据跨境流动实质上就是保障跨境数据安全，跨境数据安全是数据跨境流动监管的应有之义，也是破解监管协调中“数据治理赤字”和“数据信任赤字”的重要法宝。

中国《数据安全法》提出，在数据跨境流动领域坚持数据安全跨境流动原则与数据自由跨境流动原则，以国家数据安全和数据开放并举为双重目标，[23]确保数据安全和促进数据流动是中国数据跨境流动监管的核心目标。因此，在数据跨境流动监管协调中中国有必要在立足总体国家数据安全观、大数据驱动技术创新和数字经济发展现实目标的同时，鼓励正当的、可控的数据跨境流动，这既有利于促进数据的跨境流动，也有利于迈向互惠共赢的国际监管协调。

（三）倡导互惠共赢的监管协调

作为数据大国，中国应积极倡导互惠共赢的监管协调，把平等互信、合作共赢的理念贯彻到监管协调过程中，充分表达中国在数据跨境流动监管协调中的善意。

首先，平等互信是互惠共赢的监管协调的基础。数据跨境流动监管协调有效运转的基础在于建立公平合理的国际秩序，增强协调各方的相互信赖。无论是美国的数据自由跨境流动主义、欧盟的个人数据权利保护主义，还是日本折中的可信数据自由流动主义，出发点都是维护本国的数据特权。这种以本国利益为最终目标的立场，带有资本主义制度下的利己性和排他性，不利于建立公平合理的数据跨境流动监管规则。中国作为负责任的发展中数据大国，应坚持在平等互信的基础上与各国展开数据跨境流动的监管协调。在参与数据跨境流动监管协调时，中国绝不会凭借自身的数据优势打破数据跨境流动的国际秩序，更不会依靠自身的经济地位侵犯其他国家尤其是不发达国家的数字经济利益。

其次，合作共赢是互惠共赢的监管协调的目标。中国应积极参与国际社会关于数据跨境流动监管规则的探讨和磋商，构建国家间多类型、多线条的沟通模式。同时，积极寻求与各国政府和国际组织等重要贸易伙伴通过双边、多边协议建立数据跨境流动的监管协调机制，共同推进数据跨境流动治理进程，携手打造网络空间命运共同体，最终实现数据跨境流动的协调监管与合作共赢。[24]

四、中国数据跨境流动监管协调的策略路径

目前，以美欧为主导的数据跨境流动监管协调方式代表了发达国家的利益，不符合发展中国家的现实需求。作为数字经济强国和数据跨境流动大国，中国应充分展现大国担当，为数据跨境流动监管协调提供中国方案。

（一）数据跨境流动国内监管规则的调整策略

数据跨境流动国内监管规则的调整直接决定着中国能否顺利参与国际数据监管，以及能否有效地在国际监管规则博弈中占据有利地位。因此，中国应调整国内数据跨境流动监管规则以适应国际监管规则，使数据跨境流动走上正当可控的发展轨道，增强中国数据跨境流动监管规则的国际影响力。

1.建立统筹协调的数据跨境流动监管机构

数据跨境流动监管立足于国内数据监管规则，即先对数据跨境流动进行有效的国内监管。因此，中国应在国家层面建立统筹协调数据跨境流动的监管机构。如欧盟、日本等数据大国都成立了专门的跨境数据监管机构。欧盟设立的数据保护委员会统一负责数据监管工作，统筹协调欧盟成员国各监管机构之间的差异；日本设立的个人信息保护委员会作为统一的监管机构，对个人数据进行有效监管，同时提高个人数据流动效率。⑥

目前，中国对数据跨境流动的监管主要呈现出各级政府和涉及数据跨境流动行业主管部门的“多头监管”格局，虽然涉及数据跨境流动的各行业主管部门拥有规则制定权和数据监管权，但缺失国家层面对跨境数据的统筹协调监管，无法明确跨境数据的监管责任归属和完善数据跨境流动监管的内部协调制度。中国应建立统一协调的数据跨境流动监管机构，一方面，由国家跨境数据监管机构统一协调行使跨境数据的审核权和确认权，以避免国内不同部门、不同行业、不同地区因数据跨境流动的规则标准不同而出现监管竞争的情况；另一方面由国家跨境数据监管机构根据《数据出境安全评估办法》统一对跨境数据进行事前评估和持续监督。

2.完善跨境数据安全监管机制

为解决数据安全问题，不仅要在技术上给数据提供安全保护，也要在社会、政策、经济和个人领域保护数据的综合安全。中国应立足总体国家安全观保障数据安全，建立跨境数据安全监管机制。[25]

首先，完善跨境数据分类审核制度。数据分类审核制度具有数据安全风险识别功能，是跨境数据安全监管的基本前提，也是在数据跨境流动中确保数据安全、维护数据主权的重点和难点。[26]完善跨境数据分类审核制度的先决条件是合理界定重要数据，划清其内涵和外延。国家市场监督管理总局和国家标准化管理委员会联合发布的《信息安全技术重要数据识别指南（征求意见稿）》明晰了重要数据的核心概念。⑦中国在后续完善重要数据的相关立法时，应明确重要数据的识别标准，将重要数据的识别标准聚焦在安全影响方面，从定性和定量两方面综合考量数据安全风险，以便合理地根据跨境数据的重要程度适用国内监管规则。

其次，推动跨境数据安全评估制度落地。明确数据出入境风险评估规则，开展跨境数据规制措施的必要性评估，切实牢固跨境数据安全屏障，保证跨境数据符合“合法公共政策目标”的基本要求。目前，美国和欧盟均已在数据跨境流动领域建立了数据规制措施的必要性评估制度，包括监管影响评估（Regulatory Impact Assessment，RIA）和数据保护影响评估（Data Protection Impact Assessment，DPIA）。CPTPP、USMCA、《日本-欧盟经济伙伴关系协定》（Japan-EU Economic Partnership Agree⁃ment，EPA）等重要的数字贸易协定均鼓励各缔约方进行必要性评估。[27]为尽快适应国际贸易协定的评估要求，中国对数据出境和入境要进行必要性评估，发布数据跨境流动必要性评估意见或指南，以严格的评估条件和详尽的评估内容提高数据出入境监管规则的要求，这既可以调整中国数据跨境流动监管规则，也有利于实现中国与国际监管标准的衔接。

最后，完善跨境数据安全风险协同防控制度。由于数据安全风险来源的专业性和影响的普遍性，跨境数据安全风险的治理不仅需要数据安全治理不同部门协同监管，还需要企业和社会组织协同防控，并应鼓励建立公民个人对数据安全的自治机制。只有多元主体有效参与协同防控，才能做好大数据时代跨境数据安全风险防控工作。

（二）中国数据跨境流动监管协调的参与策略

近年来，国际社会对中国参与数据跨境流动国际监管协调的期望值不断攀升，中国也有意愿和能力积极参与数据跨境流动国际监管协调，参与全球数据跨境流动监管协调已经成为中国的重要议题。

1.丰富参与监管协调的方式

中国应积极寻求数据跨境流动监管协调的突破口，丰富参与监管协调的方式。要实现数据跨境流动监管的国际协调，必须在参与国之间就数据跨境流动监管问题达成共识。中国应成为推动数据跨境流动国际监管协调的重要参与者，与各个国家、地区和国际组织合作，推动关于数据跨境流动的双边、多边协议的签署和国际规则的制定。中国应以维护数据安全为出发点，以尊重各国数据主权为着力点，以推动“一带一路”倡议实施、签署RCEP、申请加入CPTPP 和DEPA 为突破点，消除中国数据跨境流动壁垒，充分利用WTO的多边谈判机会，与多个国家建立数据跨境流动自贸区。一方面，推行中国的数据跨境流动监管规则和监管标准，积极探索如何更好地参与并促进数据跨境流动的国际监管协调；另一方面，努力与重要贸易伙伴就数据跨境流动签署双边和多边协定，深度参与、共同推动数据跨境流动的国际监管协调。[28]

2.提升参与监管协调的灵活性

中国是数据产业的先发国家，也是全球数据资源大国，国内数字经济的快速发展为中国参与数据跨境流动国际监管协调提供了重要的基础保障。中国应发挥数据产业优势，提升参与数据跨境流动监管协调的灵活性。

在与不同国家进行数据跨境流动监管时，中国应充分利用在数字经济和数据产业中不同的优势地位，[29]根据不同情况灵活选择、参与、主张最有利于中国利益的数据跨境流动监管规则的国际监管协调，科学把握监管协调的力度和节奏。例如，在与美国进行数据跨境流动监管协调时，无论是在数据产业还是监管规则方面中国都处于下风，中国应坚持维护数据安全这一底线，避免在参与监管协调时损害本国利益。在与欧盟进行数据跨境流动监管协调时，由于欧盟对数据跨境流动监管规则的要求比较严格，中国应争取降低参与协调的规则成本。而在与“一带一路”沿线国家进行数据跨境流动监管协调时，由于“一带一路”沿线国家普遍存在数据跨境流动监管规则不完善的情形，中国可以借助本国数据产业和数字经济发展优势，主导数据跨境流动监管规则的建立，形成以中国为核心的监管协调圈。

（三）中国数据跨境流动监管协调的构建策略

数据跨境流动监管协调的根本目的在于通过国际协调机制满足对跨境数据多元化的规制需求，[30]中国需要积极寻求数据跨境流动监管协调的新途径，力争成为数据跨境流动监管协调的国际领跑者。

1.监管协调要以《全球数据安全倡议》为中心

中国应凭借长期以来在数字经济方面积累的技术优势，发挥数据大国的主观能动性，开展以《全球数据安全倡议》为中心的监管协调。目前，全球数据跨境流动监管规则仍是各国政府及国际层面探讨并重点关注的问题。中国秉持尊重各国数据主权的立场，在2020年9月提出《全球数据安全倡议》，明确了中国在数据安全治理方面的态度，既为全球数据安全治理提供解决方案，也为全球数据跨境流动监管提供安全的环境基础。

《全球数据安全倡议》为数据跨境流动监管协调贡献了中国方案，东盟各国和欧盟成员国都表示希望与中国进行数据跨境流动和监管协调，并进一步与中国打造数据跨境流动监管协调伙伴关系。阿拉伯国家集体支持《全球数据安全倡议》，于2021年3月签署并发表了《中阿数据安全合作倡议》，在个人信息保护、重要数据保护、数据跨境安全执法等方面与中国达成了监管规则的合意，这是中国开展以《全球数据安全倡议》为中心的数据跨境流动监管协调的一次全新尝试。

此外，中国还应加强与美国、欧盟等数据大国，以及“一带一路”沿线国家和区域组织的交流与合作，积极发展并输出数据跨境流动监管规则和监管标准的中国方案，进一步推动各国在数据安全与治理问题上形成共识，扩大《全球数据安全倡议》签署方及支持方数量，增强与其他国家的合作互信，为数据跨境流动监管协调打开新的窗口。以《全球数据安全倡议》和多方专家组工作成果为基础，建议将数据安全与数据治理的国际协调问题全面纳入相关国际议程，在国际层面推动数据跨境流动的监管协调。

2.建立相互认可的监管协调机制

相互认可机制指的是通过国家间的协商限制或缩小各国数据监管规则差异，形成最低限度的监管协调，是尊重数据主权在数据跨境流动监管协调实施中的体现，是各国自我限制和相互让渡的合意。相互认可机制在数据跨境流动领域的实施，是各国数据跨境流动监管规则相互制约、相互作用的过程。它不仅融合了各国数据跨境流动监管规则，更可能实现数据跨境流动的国际监管协调。

目前，在多边和区域性贸易协定中已经存在相互认可机制的实践。《服务贸易总协定》（General Agreement on Trade in Service，GATS）第七条第五款建议各缔约方在承认多边同意标准或共同国际标准的基础上，建立相互认可机制。有贸易协定在制定数据跨境流动规则时借鉴了GATS 的此款规定，RCEP第十二章第八条第二款对个人信息保护引入了国际标准，CPTPP 第14.8 条也有类似的规定，通过设立和承认国际标准在数据跨境流动领域建立相互认可监管协调机制。

相互认可机制是各国在不寻求数据监管规则统一的情况下进行的数据跨境流动监管协调，是对监管等效国家的一种附条件豁免，是一种最低限度的监管协调。虽然相互认可机制并未真正消除各国数据跨境流动监管规则的差异，但这种监管协调可以解决数据跨境流动监管实质性协调不足的问题，使不同数据跨境流动监管规则之间相互信任、相互适应并相互促进。首先，相互认可机制为数据跨境流动的监管协调提供了可行路径。在监管效果方面，相互认可机制有明确的监管框架和法律约束力，不要求各国对数据跨境流动监管规则进行大幅度调整，只要求对数据跨境流动国内监管规则和制度进行一定程度的相互认可，达到监管效果整体相似即可。[31]在监管成本方面，相互认可机制的实施成本更低、修订更为简易，降低了在数据跨境流动领域制定统一规则的成本，更容易达到监管规则的一致效果。其次，相互认可机制蕴含着数据跨境流动从双边、多边走向全球化的战略选择，也为加快数据全球化进程提供了数据跨境流动方式上的创新。从长远看，数据全球化的趋势不可逆转，但数据全球化不是一蹴而就的，而是逐步推进的，需要数据跨境流动监管规则的不断创新，以实现国际层面监管规则的融合。最后，相互认可机制试图从监管协调出发，逐步走向国际协调，比统一数据跨境流动国际监管规则更容易取得各国的合意与共识。[32]

3.建立行业内互认的监管协调机制

首先，应鼓励加强行业内部的监管协调，支持行业自律组织制定数据跨境流动领域的国际行业公约，促进行业行为的国际规范和协调发展。中国的行业组织可以牵头各国行业自律组织制定数据跨境流动的国际行业自律规则，或对现有行业自律规则进行国际协调。根据行业特点协调跨境数据监管的国际标准，或确定全球统一的数据保护原则等。

其次，可以引入第三方评估机构或认证机构参与数据跨境流动监管协调。引入中立的第三方评估机构或认证机构，可以很好地规避协调监管中一国倾向本国利益的情况。当然，对于引入的第三方评估机构或认证机构要有严格的控制标准，必须对相关机构进行资格认证、信用认证等，只有符合认证标准的机构方可参与数据跨境流动监管协调。

最后，各国政府可以帮助协调并推进构建数据跨境流动的行业自律制度。由于数据的高流动性和高风险性，政府帮助行业进行协调可能会调动行业自律部门的积极性，增强行业自律协调的可操作性，是数据跨境流动行业自律协调走向成熟的基本保证。虽然行业自律是一种数据主体自愿参与的数据监管协调模式，但政府的正确指引会大大增加数据监管协调的成功性。尤其是中国目前在跨境数据监管上仍处于起步阶段，未来会面临跨境数据监管的很多新问题，还需要政府给予规范和引导。需要注意的是，数据跨境流动的监管需要行业自律和政府监管的有效融合与相互激励。我国应积极倡导行业自律，给予数据跨境流动适当的发展空间，创造有序、高效的数据跨境流动产业环境。同时以政府监管为补充，但政府监管的力度要适当，不能过多干预行业自律组织的监管协调，避免降低数据跨境流动的效率，防止产生监管不公平的现象。

4.在联合国倡导下开展数据跨境流动的监管协调

对于数据跨境流动监管的最理想化情况是，建立一个有约束力的数据跨境流动国际监管机构，该监管机构具有协调监管和争端解决的权力，既为数据跨境流动监管协调提供框架基础，也在一定程度上解除数据跨境流动可能引发的安全风险。但现实中，各国在政策、法律、经济、技术上的差异很难完全调和，无法制定国际统一的数据跨境流动监管规则和监管协调模式，更无法建立全球数据跨境流动监管机构。数据跨境流动监管协调只是国际合作的一种探索和尝试，并不能从根本上解决各国数据跨境流动监管规则不统一的问题。作为数据跨境流动的大国，中国应承担大国责任，奉行真正的多边主义理念，推动国际社会进一步探讨和尝试，在联合国的倡导与主持下，在政府专家组（Groups of Governmental Experts，GGE）和开放成员工作组（Open-Ended Working Group，OEWG）等联合国框架内，开展数据跨境流动的监管协调。以《联合国宪章》和国际法的基本原则为准绳，以网络空间命运共同体为依托，逐步稳妥地构建或签署多边且具有可行性及约束力的联合国数据跨境流动监管与协调法律机制或联合国数据跨境流动监管与协调公约，以互惠共赢思维协调数据跨境流动监管。

五、结语

价值取向不同使得各国数据跨境流动监管规则存在差异，导致全球数据跨境流动监管规则呈现碎片化的状态。目前，国际社会尚未针对这一问题建立有效的监管协调机制。本文比较分析了美国和欧盟的监管协调实践，美国提倡的“少边主义国际化方案”和欧盟的“单边主义行为”都不符合发展中国家的现实需求，很容易使中国在数据跨境流动的国际监管中陷入被动局面。

良好的监管协调能够防范数据跨境流动可能引发的国家间贸易摩擦，激发数字经济发展活力，是各国实现数据治理利益最大化的有益路径，也是中国作为数据大国深度参与数据跨境流动监管的必然要求。因此，中国需要坚持多边主义理念，为构建互惠共赢的监管协调机制提供“中国方案”。首先应当完善国内监管规则，建立统筹的监管机构，完善安全监管机制。其次要更加主动地参与国际监管协调，丰富参与方式，提升参与灵活度。最后，应当积极主导构建数据跨境流动监管协调的新模式，以《全球数据安全倡议》为中心建立相互认可协调机制和行业内互认协调机制，真正发挥监管协调维护国家主权和安全、推动数字贸易高质量发展的潜能效用，增强中国在全球数据治理体系中的话语权。

注释：

①早在1997年，美国克林顿政府就曾推出《全球电子商务框架》，倡导尽可能允许数据自由跨境流动；2011年奥巴马政府公布《网络空间国际战略》，要建立数据自由跨境流动的网络空间环境，同时推动签署《美国-韩国自由贸易协定》《跨太平洋战略经济伙伴关系协定》，主张数据自由跨境流动；特朗普政府签署的《美国-墨西哥-加拿大协定》《美日数字贸易协定》均强调数据自由跨境流动；拜登政府提出的印太经济框架同样延续了数据自由跨境流动理念。

②1981年《有关个人数据自动化处理中的个体保护公约》第一条建立了个人数据保护的基本原则。21世纪，个人数据保护逐渐成为欧盟成员国的价值共识，2009年生效的《欧盟基本权利宪章》第八条将保护个人数据的权利规定为公民的一项基本权利。2018年出台的GDPR第一条明确规定自然人享有保护个人数据的权利。2020年发布的《欧洲数据战略》简介中也明确规定了保护个人数据权利的基本方针。

③根据2021年9月施行的《数据安全法》第一条和第十一条的规定，中国坚持在保障国家主权和安全的前提下促进数据安全、自由跨境流动。

④2017年中国施行《网络安全法》，对于数据跨境流动监管的研究主要集中在域外监管规则的分析方面。2020年7月中国公布《中华人民共和国数据安全法（草案）》，国内学者开始重点关注数据跨境流动监管国内规则的制度设计。此外，为应对美国政府频繁在数据领域对中国企业实施长臂管辖，中国商务部先后出台了《不可靠实体清单规定》和《阻断外国法律与措施不当域外适用办法》，全国人民代表大会常务委员会通过了《中华人民共和国反外国制裁法》，学界开始探讨中国数据跨境流动监管规则的域外效力，以及如何在数据跨境流动中争夺话语权等问题。

⑤包括安道尔、阿根廷、根西岛、加拿大（商业组织）、以色列、泽西岛、瑞士、法罗群岛、马恩岛、新西兰、乌拉圭、日本、英国和韩国。

⑥GDPR 第六章第五十一条规定，为保护自然人在数据流动过程中的基本权利与自由，促进欧盟内部个人数据的自由流通，应建立一个或多个独立监管机构，促进数据流动的有效监管。日本《个人信息保护法》第五十九条规定，设立个人信息保护委员会作为个人数据流动的统一监管机构。

⑦根据《信息安全技术重要数据识别指南（征求意见稿）》，重要数据是以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。