中国与欧盟数据安全治理：比较、借鉴与合作前景

摘要：数字经济时代各国在充分释放数据要素价值的同时，也面临着新型数据安全风险挑战。全球治理、国家安全与公民权利三个层面均显示出数据安全治理刻不容缓。中国与欧盟的数据安全治理在理念、路径、体系方面相容与差异共存，表现在个人隐私与国家安全理念的兼顾，数据主权与数据安全兼容的治理路径，从单一转向多元的治理体系构建。中欧双方面对共同的困境与挑战，有着共同的坚持与相同的立场，双方应建立多元化长效交流机制，将数据安全融入国际公共产品，并以联合国《全球数字契约》为契机，共同探索全球数据安全治理，凝聚更多共识、增进互信，实现中欧双方在数据安全治理中互利共赢的良好局面。

关键词：数据安全治理；中欧合作；数据主权；国家安全

数字技术催生数字经济，数据作为关键生产要素成为数字经济深入发展的重要引擎。数字时代背景下，全球通过互联网将现实世界与虚拟空间相结合，产生了大量数据和信息传递。然而，在大量数据与信息得到及时传输的同时，数据安全也面临着极大的挑战。数据已成为各国国家的基础性战略资源。数据安全治理成为世界各国在推动数字化转型的过程中需要面对的重要议题。中国和欧盟也不例外，且在数据治理过程中各具特色。欧盟作为数据保护立法起步较早、数据安全观念形成早、数据安全治理较为成熟的国家之一，在平衡数据发展与安全，推进欧盟数字化战略的同时，也在持续抵御数据霸权主义的侵害；中国在数据安全治理过程中，同样面临数据发展与安全的平衡问题和抵御数据霸权的威胁。通过对中国与欧盟在数据安全治理方面的比较分析，总结中欧合作的基础，提出中欧合作的前景展望。

一、数据安全治理的必要性分析

数据安全问题自计算机诞生以来就已经存在，对数据安全风险的防范与安全问题的解决也逐渐从专业的信息技术领域发展至国家安全领域。进入大数据时代和数字时代后，数据安全问题面临的不再是简单的技术能力问题，而是叠合复杂的时代背景与新业态的产生多元化的应用场景，解决数据安全问题升级成为数据安全治理一个重要的安全议题。自《数据安全法》颁布后，数据安全有了明确的定义：指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。自20 世纪90 年代“治理”理论兴起以来，学界关于“治理”定义的探讨各有不同，但对“治理”基本理解为：不同主体为了管理共同事务，通过协调和配合进行持续互动的过程。因此可将“数据安全治理”理解为：治理主体为持续有效保护数据的安全，通过国家战略方针、国家政策、法律法规、行业标准等措施，建立健全数据安全顶层设计与制度体系的过程。而数据安全治理的对象是数据安全，本文所研究的数据安全是指通用于所有领域的数据安全，即整体性的数据安全。

（一）数据安全治理是全球治理重要组成部分

1. 全球治理的内涵

冷战结束后，伴随全球化进程的发展，全球治理理论应运而生。全球治理并非国家政府统治，而是从国家层面的统治延伸至国际层面的治理。该理论放弃了以国家为核心的研究视角，区别于二元对立的传统思维，不关注静态对象性的研究方法，而是强调过程的重要性。基本可以认为，全球治理是“通过具有约束力的国际规则解决全球性的冲突、生态、人权、移民、毒品、走私、传染病等问题，以维持正常的国际政治经济的秩序”。全球治理的对象则是全球性问题，必须通过国际社会共同解决，它已超出个体或某一群体的内部冲突，上升至绝大多数群体正在面临或将要面临的困难与挑战；全球治理的主体是多元化的，包括国家政府、国际组织、跨国公司等；全球治理的手段和方式是国际规范；全球治理的目的是解决全球性的问题，维持全球秩序。

2. 数据安全是全球治理的重要对象

进入21 世纪后，人类社会逐渐从信息化时代迈入数字化进程，各国依赖数字技术实现数字经济与经济复苏，数字化转型成为世界各国经济增长的引擎，也成为后疫情时代重塑全球价值链的变革性力量。2021 年全球47 个主要经济体数字经济的规模为38.1 万亿美元，占GDP比重为45%，数字化转型与发展数字经济已成为国际社会的普遍共识，数字经济对全球经济的发展产生了深远的影响。数据作为数字经济的关键生产要素，数据的发展战略也已升级成为各国的发展战略之一。自“棱镜门”事件曝光后，数据安全更加受到国际社会的重视。亚太经济合作组织通过建立隐私框架、制定跨境隐私规则体系保护数据安全；欧美达成《跨大西洋数据隐私框架》；中国同中亚五国、阿拉伯国家分别签署了数据安全合作倡议。数据安全已不局限于某一领域，其带来的负面影响和损害早已超出单个国家所能解决的范畴，数据安全成为全球治理必须面对的治理对象，数据安全治理也应成为当今全球治理中的单独议题。

（二）数据安全治理是维护国家安全的重要基石

国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。4随着科技的发展，非传统安全也成为国家安全的一类，其中数据安全在国家安全中占有重要地位。国家对数据的掌控能力成为当前衡量国家实力的关键因素。

1. 数据的边界模糊影响重要情报的泄露

海量的数据随着数字技术的发展随时被抓取与搜集，这就造成了敏感数据与非敏感数据的边界模糊，国家机密变得难以界定。通过数据分析和数据挖掘，可以从碎片化的、不具有敏感性的数据中分析出敏感的、可识别的信息。即便数据通过脱敏技术进行过清洗，仍旧可以从剩余的碎片数据中整合分析出重要的信息或者情报。美国国家情报局副局长Thomas Fingar曾表示公开渠道能为美国多数情报机构提供高达90%的信息，通过对公开渠道的碎片海量信息进行数据分析后，可得到所需的情报。看似孤立的数据背后是数据分析能力基于相互关系分析预测碎片数据，最终形成信息网络，提供目标国家的重要情报。因此，数据安全治理的目的之一就是筑牢国家安全的屏障。

2. 以数据安全应对数据霸权

随着数字技术的发展出现了“数字鸿沟”，不同的国家在数字技术领域的发展参差不齐，美国作为信息技术领域最发达的国家，在数字产品与数字服务中占据优势。其所开发的谷歌、雅虎、必应，不仅主宰了美国的国内市场，也成为全球最受欢迎的搜索引擎。由此获得的海量数据被美国所搜集和掌握。除此之外，美国国家安全局还对各国政要进行监听，比如对德国总理默克尔电话的监听长达数年。美国通过技术优势进行窃听已经屡见不鲜，但这一过度采集他国重要数据的行为是侵犯他国主权的行为。除此之外，长臂管辖权在数据领域的滥用以及恶意管制也是表现其数据霸权主义的行径之一。通过数据安全立法及战略，树立数据主权的边界，当主权边界得到明晰，安全的边界也会变得明朗。数据主权受到保护的同时，数据安全也得到有效地防护，避免他国随意调取本国重要数据及敏感数据。因此，在数字化发展的进程中，国家行为体对数据安全的治理迫在眉睫。

（三）数据安全治理是保护公民权利的需求

在数字时代，数据是新的生产要素，更是重要的生产力。随着数据活动在生产活动中海量增加，数据安全问题愈演愈烈，数据安全形势越发复杂，给公民个人权益带来诸多风险。各国对公民数据权利的保护以个人隐私权为基础。公民隐私权是公民的基础性权利，即个人信息不受侵犯的消极权利。

1. 数据泄露暴露个人隐私

数字时代背景下，每个人生活、工作的点滴都留下了数据的痕迹。根据Security 杂志盘点的2022 最严重的十大数据泄露事件，外卖巨头DoorDash 遭到黑客攻击，致使490 万客户的个人姓名、电子邮箱、送货地址、电话号码和部分支付卡片的信息遭到泄露。更为复杂的是：“一旦将数据通过自动化技术整合后，就会逐渐还原和预测个人生活的轨迹和全貌，使个人隐私无所遁形”。T-mobile 是一家拥有1.1 亿客户的跨国移动电话运营商，自2018 以来已经发生过8 起大型数据泄露事件，在近期的数据泄露事件中造成了3700 万用户的姓名、出生日期、电话号码的泄露。根据IBM 的统计，2022 年其研究的13 家公司涉及100 万—6000 万条记录丢失或被盗的数据泄露事件。个人数据泄露往往是大量的、丰富种类的数据泄露，而部分有用的个人信息加以整合拼凑，就能得到一个人较为全面的基础性信息，甚至是关键信息，由此会对个人隐私产生极大的侵害。

2. 个人隐私权的法律保护

正因数字时代数据安全治理行为体的多元化发展，各个行为体之间对不同的数据享有不同的数据权益。在利用不同数据获得丰厚红利的同时，个人隐私保护问题也成为数据发展中关注的焦点。2019 年Cisco 公司的调研结果显示，84%的受访者表示在意个人隐私及对隐私数据的控制使用。个人隐私权既是一项基本的私法权利，也是一项重要的人权。就国际层面而言，隐私权作为人权在《世界人权宣言》《公民权利和政治权利公约》得到确认；国内层面，各国通过将隐私权写入宪法，确认隐私权作为公民基本权利的存在，并制定专项立法解决隐私权引发的私法纠纷。当前，明确公民享有这些权利的法律法规仍呈现碎片化、分散性的状态，对各类权利的边界和属性仍需明确，公民隐私权的保护仍在不断完善。

数据安全治理是一项庞大的治理工程，虽然数据安全治理的对象仅是数据安全，但是数据安全涵盖的范围宽泛，早已超出单一治理主体可以完成治理的范畴，数据安全治理也已经不再是某一单一领域、使用单一手段和工具就能完成的治理，而数据安全治理影响的范围也涉及个体、社会、国家等多个层面的不同群体。数据安全治理成为集体的共同诉求。

二、治理理念：国家和个人兼顾

随着信息技术的更新迭代，时代背景的复杂多变，信息技术在多领域的融合使得数据安全获得各国的重视，并成为各国难以解决的问题之一。治理理念是后续规则制定的指南与导向，因此数据安全治理理念决定了数据安全治理体系的框架与规则的构建。

（一）中国：以“国家”为中心，兼顾个人权利保护的治理理念

中国现行对数据安全以《数据安全法》作为该领域的基础性法律，明确数据安全坚持以总体国家安全观为指导，以法律规定的形式明确了数据安全应以国家安全为中心，《个人信息保护法》则赋予个人信息权益保护，筑牢个人信息安全保护的屏障，实现对数据安全的有效治理。中国在数据安全领域的法律规制起步较晚，但是数据安全随着数字技术和数据应用日益得到重视。在中国的法律中，数据与信息并无明确的区别，有时两词甚至混用，在最初出现信息安全时，数据保护隶属于信息安全范畴之内，因此对数据安全的立法研究可以从信息安全立法的历史进行溯源。中国在国家层面对信息安全的法律保护始于1994 年的《计算机信息系统安全保护条例》，该条例重点保护国家事务、国防建设和尖端科学等重要领域，国家安全部及国家保密局负有相关职责。2000 年颁布的首部信息安全法律《全国人民代表大会常务委员会关于维护互联网安全的决定》明确对侵入国家重要领域及泄露国家或军事情报的行为追究刑事责任。随后通过印发各类政策文件明确保障信息安全对维护国家安全具有重大意义。2015 年颁布的《国家安全法》第25 条载明了重要领域信息系统及数据的安全可控性，随后颁布的《网络安全法》《数据安全法》《密码法》均以总体国家安全观为指导，其中都对数据安全加以规定。由此可见，中国数据安全立法理念从伊始就以“国家”为中心，始终将国家重要领域的利益与安全融入信息安全和数据安全的法律制度之中。

中国对个人信息安全的保护融入国家利益和安全。对个人信息的保护最初以“非法获取和提供个人信息”罪写入2009 年颁布的《刑法修正案（七）》，而后《侵权责任法》首次将“隐私权”确立为民事权益，随后的《电子商务法》《消费者权益保护法》等法律中都有对个人信息保护的法律规定，最终在中国《民法典》中设有专章将个人信息保护和隐私权正式纳入其中，而《个人信息保护法》则明确个人信息权益的私权保护与个人信息处理的公法监管并行，明晰私主体与公权力机关的责任义务，最大限度地保护个人信息权益。可以认为，中国对于个人信息安全与隐私权的保护民、刑兼顾，从最初的原则性立法条款，难以进行司法实践，发展至基础的、完整的法律框架及内容，构筑了完整的个人信息保护权利意识，并且私权利主体可以得到充分的司法救济。

中国的数据安全治理由最初的信息安全规制逐渐发展至数据安全的规制，以国家利益、安全为中心和重点，私权利主体的数据安全及隐私权的法律保护随之发展，并逐步树立个人信息安全与隐私权的保护意识。

（二）欧盟：从“个人”出发，兼达“联盟”与“国家”安全的治理理念

欧盟在数据安全与信息保护领域，受到一定程度“人本”思想的影响，加上第二次世界大战期间纳粹政权对个人信息的滥用，进一步加深了欧洲立法对于个人隐私保护的关注，有关数据保护的立法理念一直以人权为重心，其初期对数据安全的法律保护就始于个人权利的保护。1950 年欧洲委员会制定的《欧洲人权公约》第8 条已经包含了个人隐私权，隐私权是人权的一项基本权利。在20 世纪六七十年代，欧洲一些国家逐渐意识到自由放任的信息和通信技术的发展会对社会自由和个人隐私构成威胁。于是，欧共体着力于自然人的基本权利保护和内部市场建构，在1981 年通过《关于个人数据自动处理过程中的个人保护公约》，明确了个人信息的基本概念，还对信息安全、个人数据跨境传输等进行规制，而1995 年的《个人信息保护指令》则全面地规定了个人信息保护制度，并强调对隐私权的保护。2007 年《欧盟基本权利宪章》作为欧盟有法律约束力的文本，纳入了隐私权和个人数据保护权，为欧盟数据保护的法律构建提供了基础。直至《一般数据保护条例》（以下简称“GDPR”）出台，“个人数据权利是公民的基本权利”这一观念开始逐渐被国际社会普遍接受。GDPR 建构了适用于全体成员国的个人数据保护的通用框架，自此，欧盟有关数据安全与数据保护的法律法规以GDPR 为中心进行修订和完善。

欧盟在信息化及数字化的安全领域更强调以网络安全为核心，其网络安全所含内容包括数据的安全状态。欧盟数据安全问题分为联盟安全与各成员国安全两个部分，即“对内”与“对外”之分。从对外的数据安全层面而言，欧盟尤其注重数据存储与传输中的安全问题，这一重视表现为欧美跨境数据流动协议两次无效事件。“安全港”协议的无效源于MaximilianSchrems 提起的申诉，Max 曾表示美国的“棱镜计划”“上游计划”等美国国安局监控计划已经持续十年多，这也是他挑战跨境数据协议的起源。而爱德华·斯诺登披露美国安全部门对欧洲批量数据的过度访问，也成为欧盟法院两次认定跨大西洋传输个人数据非法的原因之一。对内即国家安全层面，欧盟在GDPR 第23 条限制条款允许成员国因国家安全、公共安全等对数据主体以必要限制，给予各成员国在国家安全中以必要限制。《网络弹性法案》第52 条是对保密的规定，在执行本条例时对获得的公共或国家安全的信息，各方应当给予保护。

（三）中欧治理理念的异曲同工

虽然中国和欧盟的数据安全发展进程有时间差别，欧盟在数据保护意识形态上出现得更早，形成其独有的数据安全治理理念更早。双方关于数据安全治理理念的相同之处在于，一是不论是中国或欧盟，都通过具有法律约束力的法律规则，实现对数据安全的规范和治理。二是从数据安全治理的发展演变来看，双方都从信息的隐私保护转向数据安全保护与数据权利的保护，隐私权优先于数据权的产生与发展，并且隐私权不同于数据权。三是双方在数据安全治理中都特别关注个人数据保护，并独立形成专门的法律与条例，关于个人数据权利的规则体系是数据权利中最先得到体系化的完善。

双方的区别之处在于，一是治理理念的重心不同，欧盟的数据安全治理理念始终以“个人”权利为中心，但中国的数据安全治理理念始终以“国家”为中心。二是治理理念的形成路径不同，欧盟通过成员国均签署的公约及条约确立基本权利，后出台专门的指令或条例，由个人隐私保护发展至个人数据权利的保护，继而转向多元主体的数据安全保护；中国则是在总体国家安全观的指导下，通过国家立法形成法规，兼顾发展私主体信息及数据的民事与刑事权益，完善对数据权利的保护。

中国与欧盟治理理念不同的原因归根结底是文化观念的不同，欧盟深受人本主义思想的长期影响，尤其重视个人权利的保护。中国深受中华民族传统文化中集体主义价值观的影响，强调国家与个人密不可分，尤其重视国家安全的保护。正是基于历史文化和观念的不同，中国与欧盟才产生了独特的数据安全治理观，但不论是何种数据安全治理理念，双方始终围绕各自治理理念中心发展和完善数据安全，构建具有本区域特色的、符合集体利益与情形的数据安全治理体系，意在充分释放数据活力，赋能数字经济高质量发展，持续提升数据安全治理能力。

三、治理路径：主权和安全兼容

以带宽来衡量，从2008 年至2020 年，跨境数据流动增长了约112 倍。数据跨国流动是数据安全和数据主权面临的最大挑战。一是大量个人信息存在被窃取、泄露、毁损、非法利用的风险；二是数据集中化、垄断化导致关键数据外流的风险；三是平台境外上市需要持续的信息披露，可能涉及数据被他国政府控制的风险。数据安全和主权成为国家间博弈的新竞技领域。

（一）中国：以数据主权为基础，安全优先原则下的治理路径

中国在信息化领域强调主权，但是与欧盟捍卫主权的方式不同，中国主要采取防御性的方式维护本国主权，强调国家安全。从信息安全到网络安全再到数据安全，国家安全意识贯穿信息化、数字化的发展，安全原则日益成为中国关于数据跨境自由流动的限制性原则之一。中国在2016 年通过的《网络安全法》中第一次明确提出了跨境数据流动“本地储存、出境评估”的制度，以数据主权为基础，强调安全优先的属地管理模式。随后《数据安全法》《个人信息保护法》《数据出境安全评估办法》都含有对不同主体的数据出境开展安全评估的规定；《数据出境安全评估申报指南（第一版）》与《个人信息出境标准合同办法》的出台也意在通过申报或订立标准合同的方式，保障信息跨境安全和自由流动，加强对数据安全的监管。由此可见，安全原则已贯彻落实于中国的数据法律体系之中。

中国对于数据的控制权仍在构建当中。近几年，中国对于数据的管辖从域内管辖逐渐向域外管辖发展。自《网络安全法》开始，中国已初步构建域外管辖的条款，该法与《数据安全法》都具有域外效力，并且管辖权域外行使所依据的主要是保护管辖原则，在《个人信息保护法》中以“数据处理地”区分该法的域内效力及域外效力，以“目标主体”标准对域外管辖加以规定。虽然中国在立法层面为数据的域外管辖权提供了行使权利的基础，但是《数据安全法》的域外管辖权的条款较为模糊。“依法追究法律责任”为哪些法律责任？这容易出现“有权无法”的现象，以数据侵权责任为例，根据《中华人民共和国涉外民事关系法律适用法》第四十四条，侵权责任适用侵权行为地或结果地的法律，但是依据中国民法典的法律适用，民法典第十二条载明，在中国领域内的适用民法典，因此这一问题可能最终会根据“属地优先”而让诉于外。中国仍需完善对数据主权的行使，实现对本国数据的最高控制权。

（二）欧盟：以数据主权为核心，数据管辖权扩张的治理路径

在外部数据安全威胁严峻形势下，欧盟决策者认识到必须以数据主权为核心，推进技术革新与制度完善，一方面强化数据保护能力，维护欧盟的网络空间安全；另一方面扮演数据保护引领者角色，提升欧盟在国际网络博弈中的竞争力与话语权。自2019 年起，欧盟及欧盟成员国领导人开始频繁提及“数字主权”，至2020 年欧洲议会发布《欧洲数字主权》报告，明确了欧盟的“数字主权”作为促进欧洲在数字领域领导和战略自治概念的一种手段，是指欧洲在数字世界中独立行动的能力。虽然“数据主权”极少出现在欧盟的官方文件中，也没有官方对此概念作出释义，但是从实践角度而言，欧盟已将“主权内化于私权”，“将数据权视作一种基本人权，通过主权者创建严格限制数据跨境流动的规则，以不直接介入具体跨境场景的方式间接保护数据主体的数据权利”。根据欧洲议会议员兼欧洲数据战略报告员MiapetraKumpula Natri 的理解：欧洲的数据主权意味着成为“玩家而非游乐场”。数据主权属于欧洲主权的概念之下，服务于欧洲主权战略，协助实现欧盟《2030 数字指南针：欧洲数字十年之路》的目标，完善欧盟对数据的控制。从实践层面来看，欧盟对数据的管辖权相继通过“开罚单”的方式得到实践，比如5 月欧盟监管机构向Meta 开出12 亿欧元的处罚，以惩罚其将欧盟公民的信息存储在美国的服务器上，也通过这一方式展现了欧盟对数据主权的行动力和决心。

欧盟在数字领域的主权回归已成为发展定势，在确定这一战略核心的基础上，欧盟通过数据管辖权的扩张，加强对数据的管控。欧盟数据管辖权的变化体现在2016 年的GDPR 当中，在此之前，欧盟的《数据保护指令》中对数据的管辖还是域内管辖，而GDPR 的适用范围不仅限于境内，还可适用于境外。处理数据行为虽然发生在境外，但为欧盟境内主体提供服务、监测数据主体在欧盟境内发生行为的情形也适用该法，这样的管辖已经突破了传统的属地管辖原则。GDPR 通过将网络的媒介属性与最低联系标准相结合的做法，使数据主体无论是位于欧盟境内还是境外，只要涉及欧盟个人数据，都将受到GDPR 的管辖，这在纵向上已经实现“全球适用”。再回看GDPR 第3 条的表述，其管辖的扩张还体现在“目标意图标准”的法律适用。在GDPR 当中，根据数据控制者、处理者其他对象的意图判断是否属于GDPR 的管辖范围，某种程度上来说，属于横向扩大了GDPR 的管辖范围，因为其适用的对象不仅限于数据控制者、处理者还有可能包括间接数据收集者等。

那么GDPR 对管辖权的扩张是否属于长臂管辖呢？长臂管辖属于域外管辖的一种，它是指一国行使域外管辖权、单方依据国内法强行管辖他国机构或公民的政策，长臂管辖权是一种对非居民被告的管辖权，该被告与提起该诉讼的司法管辖区有一些联系。对长臂管辖权在不同语境下有不同的理解。当长臂管辖置于国际语境中时，其理论基础是管辖中的“效果原则”，即只要某个在国外发生的行为在本国境内产生了“效果”（最低限度联系），无论行为人是否具有本国国籍或者住所，也无论该行为是否符合当地法律，只要此种效果使一国法院行使管辖权并非完全不合理，该国法院便可对因为此种效果而产生的诉因行使管辖权。从GDPR 对适用对象的设定来看，GDPR 的管辖规则存在比“效果”更为广泛的适用标准之嫌。因此，欧盟在域外管辖权的设置中，确有实施长臂管辖权的可能。

（三）中欧治理路径的异同

对比中国和欧盟对治理路径的构建，相同之处在于，一是对数据流动的态度相同，双方对数据的跨境流动基本持较为保守、审慎的态度，但是数据流动是未来必然的发展趋势与最终目标，而数据安全已经成为双方在跨境数据流动中重视的关键问题之一。二是在数据主权的行使中，均通过对管辖权的扩张，由域内管辖延伸至域外管辖，加强对数据的管控。

不同之处在于，一是双方的治理路径的重点不同。中国在数据跨境流动中侧重以数据安全为限制性原则，重点在数据安全与国家安全的防御。欧盟则在跨境数据流动中侧重以数据主权为核心，重点在对数据的管理与控制，以及对外部安全威胁的防范。二是双方治理路径的目标设定不同。中国以保障数据安全，促进数据开发利用，保障合法权益，维护国家主权、安全和发展利益为终极目标；欧盟则以实现欧盟的战略自主，形成在欧盟数据上的保护性机制和进攻性工具为目标。基于目标的不同，不难发现，中国基本以防御的态势应对数据安全的威胁，而欧盟则以更主动的“攻防兼备”态势应对数据安全的挑战。

造成欧盟关于数据安全治理原则如此设定的重要因素是欧盟的身份⸺国际组织，欧盟在数字、技术领域的“主权”回归，其实也是为了实现欧盟的战略自主，强调欧盟集体对数据的最高管控权，实现欧盟在数字、数据领域的大国竞争战略和自身地缘政治的诉求。通过推广欧盟数据安全治理价值观和框架规则，实现欧盟对国际数据安全治理规则的塑造，持续提升和维护欧盟在全球数据安全治理规则中的优势地位与影响力。所以在战略布局中，欧盟采用“攻防兼备”的主动态势，通过具有“攻击性”的管辖权扩张，实现其主动捍卫主权的态度。而中国作为主权国家，在维护数据主权的根本要求之上，更关注国家的数据安全问题，并且受到中华民族优秀传统思想“和合”的影响，在数字领域的整体战略布局中，更关注防御性的机制与规则，并体现在管辖权的发展方向与进程上。

四、治理体系：单一转向多元

数据技术使得数据超越传统地理界限，呈现明显的外部性。各国或各地区现有治理体系难以满足数据安全治理的特点和需要，数据治理体系发生了变化，表现在治理主体、治理内容、治理方式等各方面，由单一向多元转化。

（一）治理主体的多元化发展

中国和欧盟数据安全治理的主体从单一主体发展至多元主体。在信息化发展伊始，数据安全治理的主体基本是双方政府。但是进入数字时代后，基于数据呈指数级增长以及常态化跨境流通的形势，数据的流通广泛分布于国家、企业、社会组织与公民个人之间。当下，中国的数据安全治理主体包括：全国人大常委为第一类、国家网信办等部委为第二类、信息安全标委会等行业组织或头部企业为第三类、地方数据中心或管理部门为第四类。欧盟的数据安全治理主体包括：欧洲委员会等高层决策政府为第一类、欧洲数据保护委员会作为专门数据监管机构为第二类、欧盟各成员国的数据保护国家机构为第三类，企业内部的数据保护官为第四类。数据安全主体不仅仅是政府，还包括行业协会、企业与公民个人，数据安全主体已变得多元化，致使多元主体间因数据安全治理目的不一、手段各异而产生数据权益的冲突与矛盾。

（二）治理内容的多领域发展

中欧在数据安全治理的立法规则中治理的内容从单一、笼统至多领域、具体化的发展。双方数据安全治理的初始阶段因为当时的信息技术能力有限，数据安全问题通过技术标准就能解决，数据保护也并不复杂，国际社会更关注的是信息安全的规范，并且当时的数据安全保护隶属于信息安全保护的范围之内，因此在信息技术发展的初期，由于各国在信息技术领域的能力发展并不统一，加之各国对数据安全的认识也存在不同的认知，国际社会普遍重视对较为宏观的信息安全体系进行保护，将数据安全作为信息安全、网络安全下的一项子集存在，造成数据安全治理内容的单一性与固定性。不论是中国还是欧盟，从最初的安全立法来看也是先从信息安全开始的，欧盟在1992 年颁布了《信息系统安全领域的决定》，中国于上文所述1997 年和2000 年分别颁布信息安全的法律法规。随着信息技术的更迭，数字时代的来临，数据的价值不断凸显，数据安全治理的内容不断被丰富，数据安全的内容不断被细化。数据安全治理的内容从最初的数据库等单系统为核心的安全发展至数据生命周期的安全，再到数据基础设施安全，从单一的信息安全发展至医疗健康、网联汽车、电信、银行、人工智能等领域的具体数据安全，治理内容涉及多领域、多场景化的发展。

（三）治理方式的多样化发展

双方在数据安全治理中从单一的治理方式发展至多样的治理形式。由于最初的信息技术仍处于起步阶段，对数据安全问题已通过行业技术标准进行管理，在数据安全技术标准管理的同时，中欧双方也都通过立法形式给予数据安全不同程度的保护。伴随数字时代的来临，国际社会对数据产生的价值普遍有了更深的认识，数据安全在“行业技术标准+ 法律法规”进行治理的同时，中欧双方还通过顶层设计，即战略计划与制度构建不断丰富对数据安全的治理，激发数据要素的价值，提高对数据的重视，使数据安全治理在战略规划的指导下，通过行业技术标准的制定与法律的制定不断完善对数据安全治理体系化的构建，平衡与协调数据安全治理因多元主体和多元内容导致的冲突与矛盾。

（四）中欧治理体系的异同

中国和欧盟在数据安全治理体系的构建中，相同点在于体系构建方式趋同。双方均通过“战略规划+ 法律法规+ 行业规范标准”的方式，实现对数据安全治理体系自上而下的整体规制。双方均从完善顶层设计入手，以战略规划为指导引领，再通过法律规范与统一标准落实规划，成为实现战略目标的具体路径，最终实现对数据安全治理体系的规制。双方的不同点在于体系的治理层次不同。对于中国而言，数据安全治理可分为三个层次：国家治理、地方治理和社会治理；对欧盟而言，数据安全治理可分为四个层次：超国家治理、国家治理、地方治理和社会治理。产生这一明显差异的原因在于欧盟是一个国际组织，而中国是一个国家。因此在治理层次上，欧盟在数据安全领域也是多层次治理体系。基GKKx8is5av23DfQhkhXdlg==于欧盟的多层次治理体系，在数据安全治理的过程中，其需要考虑比以主权国家为单位形成的治理体系更多的内容，需要平衡的主体和内容也更加复杂，在数据安全与发展的平衡问题上，其不仅需要关注以欧盟为单位的集体安全，还需要解决成员国本身为维护主权安全产生的数据安全治理的差异。

中欧双方都在数据安全治理的规则制定中随数字技术发展带来的影响和问题而不断更新自身的数据安全治理规则，从治理主体、治理内容、治理形式的单一、简单发展至多元与多样，从最初的分散、零星式治理规则的制定到整合、重心发展、成套式治理规则的颁布，数据安全治理变得更加聚焦重点、细化内容、概念清晰、边界分明，数据安全治理呈体系化完善的发展趋势。

五、中欧数据安全治理合作前景分析

（一）合作基础

1. 共同的困境与挑战

全球数据博弈升级，数据规则成为新“战场”。从国际层面来说，素有“经济联合国”之称的世界贸易组织主导下的数字贸易治理体系规则在制定中仍举步维艰，难以取得突破性的进展，OECD 等国际组织发布的相关指南仅作为各国的参考，未能得到普遍使用。在区域性国际组织、国际论坛层面，亚太经济合作组织发布隐私框架和跨境隐私执法安排，确保个人信息跨境流动有统一的标准进行保护，并得到强制执行。G7 发布《可信数据自由流动合作路线图》共同应对隐私、数据保护、知识产权和安全的相关挑战。欧盟的《一般数据保护条例》也成功地推出“欧式”数据治理模板，影响与欧盟合作的各类主体。通过区域性的数据合作，创新了更多有关数据安全的规则与框架，但由此也加剧了数据安全治理的碎片化发展，区域性的数据安全框架也意图推广至全球，成为全球性的数据安全规则。

对欧盟而言，欧盟在维护本区域数据安全的同时，也在极力抗衡美国的数字霸权。最经典的例子就是欧美为实现数据跨境流动自由而反复推翻并达成三次协议，双方较量的内容主要为数据安全与数据管辖权，即国家的数据主权与数据安全。对中国而言，中国在维护本国数据安全的同时，也受到他国霸权主义的侵害。以Tiktok 为例，在中国注册的字节跳动科技有限公司旗下的Tiktok 短视频平台，遭到“五眼联盟”成员国的封禁。澳大利亚担心该平台搜集敏感数据和隐私信息传递给中国政府，致使其国家安全遭到威胁。而在Tiktok 首次接受美国国会的质询时，双方主要围绕该平台的安全保障进行提问和解答，美国议员最为担心的就是该平台会与中国政府共享美国用户的数据。表面来看，以美国为首的国家仅以“国家安全”为由，对一家中国注册的公司采取封禁等措施；其深层含义是对本国数据霸权的巩固，借国家安全之名，打压非本土企业，违背公平竞争原则。中欧双方都面临着全球性挑战的议题与数据霸权主义的干扰，因此在数据安全领域双方具有极大的合作空间。

2. 共同的坚持与相同的立场

虽然“反全球化”、单边主义与保护主义抬头，但是中国与欧盟仍旧坚持多边主义与全球化的时代潮流。中国及中国领导人在多次讲话中表达：坚定不移坚持多边主义，坚定捍卫《联合国宪章》宗旨和原则，坚决维护以联合国为核心的国际体系和以国际法为基础的国际秩序。欧盟及欧盟官员也多次表示同样的立场观点：欧盟致力于以强大有效的联合国为核心的多边主义，维护《联合国宪章》和法治。欧盟认识到任何一个国家和地区仅凭自己的力量是无法应对的，必须加强全球合作。双方的态度决定了中欧在数据领域的合作趋势，以多边主义对抗单边主义，以良性的国际合作对抗恶性的国际竞争，最终实现双方在数据领域中的安全治理。

欧盟委员会主席冯德莱恩在2023 年4 月访华之行结束后，发表的讲话中提到：欧盟不想切断与中国在经济、社会、政治和科学领域的联系……欧盟也需要在透明、可预测和互惠的基础上重新平衡双方的关系。不难看出，虽然欧盟仍然觉得中国的崛起具有威胁性，但是也认识到与中国的合作是一个不能回避的事实。此次讲话释放出未来中欧合作的信号，相信在不久的将来中欧将会在各领域加强交流与合作，包括加强双方在数据治理与数据安全领域的务实合作。

3. 中欧现有的合作机制与平台

双方现有的合作机制包括2014 年建立了中欧网络对话（Sino-European Cyber Dialogue），并持续开展工作会议；2015 年成立首家以商业为导向的中欧数字协会，以促进中欧信息通信技术领域行业领袖、金融机构及政府高级代表之间的战略对话与高层对话；2015年中欧双方共同成立的中欧数字经济和网络安全专家工作组，在2016 年建立了一个对话合作机制，并在该机制下设网络安全专家组，“目的在于探讨中欧在网络安全领域共同面临的机遇和挑战，推动双方在相关领域的务实合作”；2020 年中欧首次举行数字高层对话，会晤中欧盟委员会执行副主席兼竞争事务专员维斯塔格表达了双方通过对话解决互惠、数据保护和基本权利方面的分歧是有必要的，双方在与会期间就数字政策、网络安全等议题开展讨论；2021 年中欧联合实施“中国－欧盟海洋数据网络伙伴关系合作”项目，实现双方携手共享海洋数据与技术共享；2022 年首届“中欧金融科技峰会”的举办意在促进中欧金融科技和数字经济合作；2023 年中国网络空间安全协会和中国欧盟商会共同主办“2023 年中欧数字领域二轨对话”，中欧从不同的出发点均认识到数据保护和网络安全的重要性。

中欧双方的合作机制通过在不同领域对数据的应用，以多种形式加强双方交流学习，这些平台、项目与峰会等都是中欧双方合作的通道与方式，也都是双方合作的基础。目前在数据合作领域，除了政府间的对话交流外，通过商会、企业等社会组织团体自发组织，根据行业、企业在不同专业领域的发展需求，开展数据安全保护的经验交流的方式也在不断发展；中欧双方在数据保护领域的交流机会是多元且丰富的，但是中欧双方在国家、联盟数据安全方面的合作渠道较为单一，对话交流的频率和紧密程度有待提高。

（二）前景展望

1. 以数据流动为共识，建立多元化长效交流机制

依照上文的比较，中国与欧盟的数据安全治理各有侧重，影响双方的数据跨境流动合作。

数据的价值是公认的，也是国际社会的普遍共识，但发挥数据更大的价值，则需要通过数据交易、共享等流动的方式。简单的数据本地化或者数据保护主义，似乎能够最大程度地确保数据的安全性，但同时也成为数据价值彰显和发展的“绊脚石”。欧盟和中国均不拒绝数据流动，其秉持支持的态度，只是仍在寻找数据发展与安全的平衡路径。基于此，中国与欧盟在数据领域的合作，可以以数据流动为共识和合作窗口，在探讨数据流动合作时，共同探讨数据安全。

在此基础上，中欧双方可继续深化合作，持续推动已有对话合作机制，多元化长效交流机制。中欧数字领域高层对话自2020 年首次举行后，未能开展第二次对话，与之相比，同年提出的中欧环境与气候领域高层对话已开展4次，双方在数字领域的对话未能形成长效的对话机制。下一步中欧双方可推动第二次数字领域高层对话，并讨论固定数字领域高层对话机制的开展周期，或者下一次对话的大概时间，以形成持续性的对话机制，有利于推动双方数字合作。对没有建立固定对话机制的，仅以研讨形式开展交流的，比如“中欧数字领域二轨对话”就可以通过招纳学者、专家形成政府间或民间主导下的长期固定机构或对话机制。对“中欧金融科技峰会”等商会组织的峰会性质的，可根据市场需求，持续开展定期峰会，扩大峰会的影响力，从行业和企业层面推动双方的领域交流与合作机制。

另外，还可将数据安全治理与其他领域相融合，比如碳金融、自动化汽车、人工智能等，就交叉议题进行多层次、多维度的研讨与活动的举办。一则避免因中欧数据安全理念、制度等分歧造成冲突，另外还可扩大共识，寻求更多共同点；二则将数据安全融合多领域使数据安全议题更具有实践性，而非纸上谈兵，将数据安全与数字经济发展相结合。中欧双方应通过多种形式增强互信以防御不确定性，基于地缘政治的原因，欧盟与中国间的互信程度较低，在某种程度来说欧盟视中国为威胁，只有通过增强双方沟通推动更多活动的开展，促进彼此间的充分了解和正确理解，才能逐渐提高双方的互信程度，降低威胁感，开放合作，真正地实现互利共赢的良性局面。

2. 将数据安全融入国际公共产品

“国际公共产品”概念源于美国经济学家查尔斯·P·金德尔伯格提出的“霸权稳定论”。国际公共产品在维护国际社会经济秩序稳定中起到重要作用，在解决跨国问题和应对共同挑战中也具有重要的意义。数据安全既可以作为安全类的子议题，也可以作为数字经济、电子商务等信息化或数字化领域的子议题，融入进已有的国际公共产品之中。这不仅避免了因数据安全观念的差异与安全泛化带来的争议和不安全感，针对性解决不同应用场景、不同领域的实践中产生的数据安全问题，同时通过具有影响力的、参与度高的国际公共产品，推动数据安全治理更易达成共识与合作。

“国际公共产品”从概念形成理论实践至今，基于国际实力结构的相对变化，催生国际公共产品供给格局调整。原本以美欧等西方国家为主要和主导的国际公共产品的供给方逐渐增加，新兴国家参与到国际公共产品供给的创新生产之中，其中也包括中国。“一带一路”倡议、全球安全倡议、亚洲基础设施投资银行等都是由中国提供的国际公共产品。欧盟虽然未能以集体的方式加入“一带一路”倡议、亚洲基础设施投资银行等国际公共产品中，但是已经有一些欧盟的成员国以国家的身份加入其中。在“一带一路”倡议下，中国已与4 个欧盟成员国签署电子商务合作谅解备忘录，其中包括与网络安全、数字通信相关的内容。下一步，中国可在与更多欧盟成员国达成双边电子商务合作谅解备忘录的同时，增加有关数据安全保护的相关内容。中国可继续依托“一带一路”倡议，与欧盟的各成员国达成双边或多边的数字经济合作文件，并在文件中增加有关数据安全的内容，比如签署《“一带一路”数字经济国际合作倡议》等方式。

3. 通过《全球数字契约》共同探索全球数据安全治理

联合国秘书长在2023 年发布了《全球数字契约》，报告中提出将数字信任与安全、数据保护视为行动目标之一。针对联合国最新发布的《全球数字契约》，中国与欧盟分别就该文件发表了官方的立场与观点。中国在阐述其立场中，表达了对数据保护的关切，提出了具体建议，反对利用信息技术破坏他国关键基础设施或窃取重要数据，认为应当尊重他国对数据安全的管理权，根据当地国法律和缔结的条约调取他国数据；欧盟在阐述其立场时主要表达了对全球数字公地的观点，并没有对数据保护提供相关建议，但是回溯2023 年3 月欧盟针对该契约提交的一份详细文件中对数据保护的观点，欧盟通过保障人权和价值观，促进国际数据的流动，并建议契约将重点放在保护个人和非个人的数据保护，可参照《一般数据保护条例》作为完整的法律框架、《数据治理法案》与《数据法案》也都可以成为参照的例子。

由此可见，通过联合国对数字合作的组织及发起的《全球数字契约》，中国和欧盟都积极参与其中。联合国明确了数字领域的共同目标，即一切以全球数字合作为最终结果，中欧都清晰地表达了对数据安全的关切点和立场，奠定了双方未来在数据安全治理中寻求解决之策的基础，提供了探讨的平台、机会以及达成多方共识性文件的可能。通过联合国组织对776fad30b0bece82b7d4b4cef0458d23全球数字合作的规则探讨，加强中欧双方对彼此立场和方案的了解，在数字领域的规则制定中形成求同存异的合作态势。与此同时，新一轮的全球数字合作又将成为新的“战场”，数据安全与保护的治理也必然成为各国输出、推广各自方案的博弈“重地”，全球数字合作中的数据保护最终会去往何处？“中式”“欧式”与“美式”等数据保护模板将如何角逐？中国与欧盟又将在全球数字合作的规则博弈中，处于何种立场？可以肯定的是，中欧间合作与竞争并存，对抗与融合同行。

六、结语

近几年，中国与欧盟在数据安全与数据保护方面频频修订法律法规，颁布新的数字技术相关立法文本与标准文本，进行顶层设计，发布数字、数据发展战略、方针与指南，主动参与各类国际组织对数据安全与保护的规则制定，积极寻求在数据安全与保护方面的国际合作。中欧双方在数据安全治理中以规则为导向，以规则为基础，通过更新、修订规则实现对数据安全治理的完善，也是实现数据稳定发展的必要前提。

人类社会在享受数字技术改善生活、数字经济释放红利的同时，也受到数据安全的威胁。平衡数据安全与数据自由流动是中国与欧盟在数字领域面对的共同挑战，双方持续推进本国“数字化”转型奠定中欧合作基础，基于本国发展需要，开展合作是实现互利共赢的最佳方式。在面对数据霸权主义威胁的形势下，通过坚持多边主义与国际合作实现数据秩序有序且安全地自由流动。