文 | 首都经济贸易大学国家经济安全研究中心主任 郝宇彪
国家主席习近平向2025年中国国际服务贸易交易会致贺信时强调,中国将坚定不移扩大高水平对外开放,积极对接国际高标准经贸规则。数字贸易是当前世界经济稳定增长的重要引擎,数字贸易规则是当前国际规则对接的重要领域,是推动数字贸易高质量发展的前提条件。数据要素流动是数字贸易发展的重要微观基础,数据跨境流动规则就成为数字贸易规则的关键构成。
数据跨境流动在促进数字经济发展的同时,也深刻影响着一国数据与信息安全问题。如何统筹发展和安全,是各国构建数据跨境流动规则与管理体系的核心考量。截至2024年底,全球136个国家(地区)、国际组织已经发布了194份涉及数据跨境流动的政策文本。自2016年《中华人民共和国网络安全法》颁布实施以来,中国制定了一系列有关数据跨境流动的规则体系,例如《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等,整体上形成数据分类分级管理与跨境流动的顶层设计框架。此外,中国是首个试行世界贸易组织(WTO)《电子商务协定》的国家,该协定涵盖数字便利、数字开放、数字信任、数字包容4大支柱。根据世界互联网大会数据工作组发布的报告分类,中国的数据跨境流动政策总体上属于审慎弹性型,兼顾数据流动与数据保护,规则兼容性较高,但受限于高合规成本与程序复杂性。
国际社会构建数据跨境流动规则的现状
国际规则碎片化,统一框架缺失。全球数据治理领域尚未形成被广泛接受的统一规则,各国基于自身利益和价值理念,形成了多元甚至对立的治理模式。美国奉行“市场本位”,在贸易协定中大力推动数据自由流动,反对数据本地化;欧盟则以《通用数据保护条例》为核心,构建起严格的“权利本位”模式,将个人隐私保护置于优先地位;众多发展中国家则更强调“数据主权”,通过本地化存储等措施维护国家安全与产业发展空间。这种根本性的理念分歧,导致在WTO等多边框架下难以达成共识,全球性数据流动协定在短期内无法实现。
双边及小多边“规则圈”兴起,加剧全球市场割裂。在多边进程受阻的背景下,以美欧为首的发达国家转而通过双边和小多边协定构建符合自身利益的“规则圈”。美国将数据流动条款深度嵌入《美墨加协定》《美日数字贸易协定》等,系统性输出其“数据自由流动”规则,并限制缔约方的数据本地化要求。欧盟则凭借其市场吸引力,通过“充分性认定”这一核心工具,将日本、韩国等纳入其数据保护标准体系,实质上是将其区域规则外部化、全球化。这些由发达国家主导的规则体系相互交织,形成了多个排他性的区域化治理格局,可能将非参与方置于规则体系的边缘。
多边框架进展有限,全球共识任重道远。面对碎片化的治理格局,旨在构建全球统一框架的多边努力进展缓慢。虽然WTO等传统机制持续推动电子商务议题谈判,但因成员方在发展水平与监管理念上存在根本差异,难以达成广泛共识。在此背景下,《数字经济伙伴关系协定》(DEPA)等新型多边安排试图为数字贸易规则提供高标准模板,其模块化设计为不同发展阶段的经济体提供了灵活参与路径。然而,这类框架的成员范围仍然有限,尚未能有效弥合发达国家与发展中国家在数据主权、隐私保护和数字鸿沟等关键问题上的分歧。
中国在数据跨境流动规则对接方面取得的进展与面对的挑战
目前,中国在数据跨境流动规则对接方面取得了显著成果。主要体现在自贸试验区的先行先试和2024年《促进和规范数据跨境流动规定》的出台。新规定的实施标志着中国数据治理的优化,它对现有数据出境制度如安全评估、标准合同和认证等进行了细化和衔接,适当放宽了数据跨境流动条件,例如简化了低风险数据的出境流程,降低了企业合规负担,平衡了安全与发展的需求。更重要的是,规定明确指出,自贸试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单。这一举措赋予自贸试验区更大的自主权和灵活性,能够根据本地产业特点和实际需求,定制化推动数据跨境流动,促进数字贸易和国际化合作。截至目前,全国已有8个自贸试验区,包括上海、广东、天津等地,出台了数据出境管理清单,为企业和机构提供了清晰、可操作的指引,有效减少了数据出境的不确定性。这些成果不仅提升了中国数据规则的透明度和效率,还推动了数字经济发展,吸引了外资投入,为构建开放型数字经济生态奠定了坚实基础,同时展现了中国在数据治理领域与国际规则接轨的积极姿态。
尽管取得了进展,中国在数据跨境流动规则对接方面仍面临挑战,主要体现在微观机制构建不够充分。一是数据保护可信任标志制度尚未形成。DEPA提倡企业采用数据保护可信任标志,鼓励各缔约方承认其他缔约方的数据保护可信任标志,该措施在为跨境信息传输提供便利的同时,也将提高保护个人信息的有效性,是数据跨境流动的重要机制保障。二是数据共享机制有待探索。数据监管沙盒制度是鼓励缔约方数据管理机构在一定安全监管空间内采取审慎包容的开放态度,允许企业在规定范围内共享数据,促进企业之间的协同创新,是数据跨境流动规则方面能够兼顾发展与安全的重要制度创新。北京、深圳等地已率先探索和实践数据监管沙盒。三是公共数据开放程度相对不足。公共数据对于社会发展与企业创新具有重要的作用,DEPA明确缔约方可以探索扩大访问和使用公开政府数据的方式,从而为企业(尤其是中小企业)创造新的机会,并要求成员间就政府数据开放进行合作。
数据跨境流动规则国际对接的路径
细化数据分类分级标准,探索数据安全评估社会化服务体系。完善的数据分类分级制度是保障跨境数据安全流动的前提。当前数据分类分级的制度设计原则在各地政策设计中基本形成共识,即按照行业分类的数据,可分为核心、重要和一般数据三级。在制度层面,国家标准委颁布《数据安全技术数据分类分级规则》,工信部颁布《工业和信息化领域数据安全管理办法(试行)》,但总体属于原则性的指导意见,可操作性还需要提升。北京、上海、天津等少数自贸试验区已推出数据分类清单,对此可考虑借鉴国际上实施的数据负责人制度,推动建设数据跨境服务中心与技术服务平台,探索提供安全治理、监测审计、体系认证等全链条第三方服务。对各行业、各机构内部数据的跨境流动情况实施监管,确保数据分类分级制度落实,保障数据安全,维护个人合法权益。
加快数据可信空间创新发展,扩大公共数据开放程度。在国际数据流动规则难以达成一致性的背景下,数据可信任评估成为以新加坡为代表的国家推动数据跨境流动的微观措施。国家数据局当前已经开始推动可信数据空间创新发展试点,建议在推动国内试点工作的同时,探索推动粤港澳大湾区、长三角等部分数据跨境流动需求大且数据保护相关技术发达的地区企业开展可信数据空间国际合作试点。此外,还需加快制定公共数据资源开发利用的具体措施,推动公共数据的社会共享,充分释放其内在价值。在完善公共数据资源开发利用制度规则的前提下,重点探索公共数据授权运营机制,依托专业化的社会服务机构,实现数据开放、数据运营与数据安全的统一。
推动数据跨境双边协商体系,构建动态“国家白名单”制度。双边合作成为当前许多国家推动数据跨境流动的主要选择。中国也应依据跨境数据分类分级标准,探索针对不同国家制定不同跨境数据管理规范。在前述两个层面不断发展的基础上,中国可以对合作伙伴的数据治理能力、数据保护能力、数据相关法律完善程度等进行评估,若达到充分性认定,纳入数据出口“国家白名单”,对名单中国家实施较为宽松的数据流动管理模式,精简数据出境审核流程,提升数据的传输效率。另外,针对从事损害中国国家安全行为并且存在重大风险,利用大量敏感个人数据或中国政府相关数据损害中国国家安全的国家,认定为“受关注国家”。针对“受关注国家”,禁止开展涉及受限的大量敏感个人数据和政府相关数据的特定数据交易,以维护国家数据安全。
(来源:学习时报)
