【摘要】隨著數字經濟的快速發(fā)展，數據要素成為經濟活動中的重要投入。尤其是近年來隨著跨境數據流量激增，其所創(chuàng)造的經濟價值已逐漸趕超傳統(tǒng)的貿易商品流動?？缇硵祿鲃映蔀楦鲊涣髋c合作的重要基礎，但在信息的交易、存儲、傳輸過程中，數據空間和地理位置的改變對技術和安全提出了更高的要求，這也引起了各國對跨境數據流動中信息安全問題的關注和重視。為確保數據安全有序流動，我們應在信息領域尤其是跨境數據方面形成自己的安全觀，在實踐上探索出一條能夠兼顧安全和發(fā)展的道路。

【關鍵詞】跨境數據流動 信息安全 國際規(guī)則 中國方案 【中圖分類號】F125 【文獻標識碼】A

近年來，在經濟全球化動力不足的背景下，數據驅動的數字經濟在逆勢中穩(wěn)步發(fā)展，已經成為全球經濟的關鍵推動力。數據流動創(chuàng)造的經濟價值已經超過傳統(tǒng)貿易商品流動，并已經成為國際貿易和投資等關系形成的基礎。一方面數字經濟的全球化促進了各國數字經濟的蓬勃發(fā)展，另一方面也促使數據大規(guī)?？缇沉鲃?，使得跨境傳輸的數據量激增。

數據的跨境傳輸引起了各國對信息安全的擔憂，信息安全逐漸成為國家安全關注的主要領域之一。目前，信息安全的前沿研究領域包括信息基礎設施安全、數據安全、數據安全產業(yè)發(fā)展、供應鏈安全等。總體而言，經濟全球化與數字化的不斷發(fā)展使得信息安全已經跨越了傳統(tǒng)安全的邊界，在技術上和治理上都對信息安全提出了更高的要求。一方面，數字經濟加速產業(yè)融合、擴展發(fā)展空間，其在國家戰(zhàn)略中的地位逐漸提高，與此同時，數字技術的發(fā)展使得信息泄露更加容易，這提高了維護信息安全的難度。另一方面，不同于傳統(tǒng)國際治理的對象如領土主權和國際貿易，信息安全的國際治理所面對的是更加隱秘且規(guī)模龐大的數據集，目前國際上并未形成統(tǒng)一的治理框架和共識。

當前，信息安全的核心是數據安全。數據安全事件會對個人隱私、經濟發(fā)展、政治穩(wěn)定和國家利益造成不同程度的損害。在數字全球化的背景下，數據大規(guī)模的跨境流動，可能導致境外主體不按授權使用、出境數據不受控制流轉、遭受網絡攻擊或黑客入侵乃至間諜刺探情報等安全風險。因此，數據要素治理問題已經成為各國宏觀戰(zhàn)略的主要考量。當前，跨境數據流動的全球安全治理并未形成體系，只是由單邊、雙邊、多邊框架和貿易規(guī)則拼湊而成。對此，2022年12月我國出臺的《中共中央 國務院關于構建數據基礎制度更好發(fā)揮數據要素作用的意見》明確指出：“數據基礎制度建設事關國家發(fā)展和安全大局。”同時還強調“統(tǒng)籌發(fā)展和安全，貫徹總體國家安全觀，強化數據安全保障體系建設，把安全貫穿數據供給、流通、使用全過程，劃定監(jiān)管底線和紅線”。

關注數據安全并不僅僅只是出于安全考慮，而是為了更好地兼顧發(fā)展與安全。當前，關于數據安全的研究已經從原來的數字貿易規(guī)則擴展到涉及國家安全、主權管轄、隱私權保護等非經濟領域。目前來看，只有在跨境數據流動涉及的國家安全、主權管轄等重大領域制定新的全球治理框架，才能真正解決數字貿易規(guī)則中的重大分歧。近年來，我國已經初步建立以數據資源安全保護為核心的管理體系，通過構建以流通數據、流通活動、流通設施為中心的數據安全保障體系，更好地推動數據要素安全流通。

跨境數據流動安全問題的國際現狀

隨著數字全球化的發(fā)展，國際社會需要盡快形成一個新的針對信息安全，尤其是數據安全的國際治理共識和框架，從而確保國際關系和平、穩(wěn)定的發(fā)展。如上所述，信息安全的根本所在是數據安全，因此需要從全球視野出發(fā)，全面了解各國對于跨境數據流動問題的不同認識和理解，促使各國形成對于跨境數據流動規(guī)則的國際共識。當然這并非易事，因為跨境數據流動涵蓋數據主權、隱私與安全、法律適用及管轄權、競爭戰(zhàn)略等多種復雜元素。

從數據治理方面來看，首先，我們要客觀認識跨境數據安全，杜絕因其迫切性和重要性而盲目照搬傳統(tǒng)安全觀。目前，國際社會對于信息安全和跨境數據安全并沒有形成統(tǒng)一共識，各國只能從自身能力、資源、優(yōu)勢等方面出發(fā)，基于本國利益來定義信息安全。但是這樣的安全觀并不具有國際普遍性，導致各國在跨境數據流動的政策法規(guī)方面差異較大。當前，國際社會對跨境數據安全的理解主要有以下三種：一是美國采取的典型的“促進型”模式。美國在全球數字經濟中居于領先地位，其戰(zhàn)略旨在促進數據自由流動形成引流效應。美國通過屬人保護和數據控制者等名義以國內立法建立境外執(zhí)法權，以保護本國利益為由調取使用他國數據；通過影響國際組織規(guī)則、打造多邊協議等方式利用強權為其提供獲取境外數據的通道，拓展網絡空間疆土，掌握和控制全球數據使用，以便滿足自身利益需求。二是歐盟、英國、新加坡和日本等數字經濟發(fā)展較為成熟的地區(qū)和國家采取的各具特色的“平衡型”模式。“平衡型”模式的監(jiān)管思路是通過屬人原則獲取境內外高標準隱私保護，在此前提下支持跨境數據流動，以充分性認定、建立信任機制等方式維護數據立法話語權。三是俄羅斯、印度、巴西、南非、土耳其、沙特等國家，因缺乏強有力的數據引流能力，如果放開管制可能導致數據大規(guī)模向發(fā)達經濟體輸出而削弱自身競爭力，因此，采取屬地原則限制重要數據出境，形成了優(yōu)先考慮安全保護的“本地化”政策模式。

其次，我們要客觀理解跨境數據安全的主要特征。從全球來看，各大經濟體的數據出境治理戰(zhàn)略顯著地呈現以發(fā)達國家為主的“自由流動”和以發(fā)展中國家為主的“本地限制”兩大類型。發(fā)達國家以屬人原則和控制延伸為主，實現數據領域的“長臂管轄”，如美國積極鼓勵其他國家數據流入，尤其在貿易合作中，要求各國破除跨境數據流動壁壘，同時，通過多邊合作渠道圈定數據自由流動區(qū)，為本國獲取境外數據提供便利通道。發(fā)展中國家則一般采取屬地原則，以數據本地化實現數據安全和產業(yè)保護，比如俄羅斯要求數據本地化，即數據首先存儲在俄羅斯境內，在合規(guī)的情況下可有序出境。當前，跨境數據安全治理在國際社會中依然被現實主義所驅動，無序、無規(guī)則的國際競爭是當前的主要特征。盡管美歐等發(fā)達經濟體對數據治理體系的構建起步較早，并且率先提出數據戰(zhàn)略和相關行動計劃，但對于建立在國家安全基礎上的跨境數據流動規(guī)則仍處于探索階段，且各國分歧較大。

最后，我們要認識到跨境數據流動治理具有一定的技術門檻，一些國家的政府未必能夠掌握最核心的技術：獲取數據的能力。在一些國際沖突事件中，面對黑客組織的輿論引導和數據竊取行為，不論是在技術上還是規(guī)則上，目前國際社會普遍缺乏應對手段。黑客組織的活躍對各國網絡空間自主攻防能力提出了更高要求。各國需要強化自身網絡風險評估能力，及時排查開源軟件和數據系統(tǒng)存在的潛在風險與安全隱患，避免為黑客組織提供可乘之機。各國在研究應對網絡威脅策略時，需要摒棄零和博弈思維，不搞單邊主義和陣營對抗，攜手應對這一共同挑戰(zhàn)，以確保全球網絡空間的安全與穩(wěn)定。通過為跨境數據安全建立有序的國際治理框架，明確更加具體的公共應用領域和禁止領域，通過國際規(guī)則消除當前的無序狀態(tài)，將成為國際社會的共識。

中國的跨境數據流動治理模式

近年來，我國積極構建實施數據保護的法律法規(guī)，探尋合規(guī)高效的全球跨境數據流動規(guī)則，秉持兼顧發(fā)展和安全的“統(tǒng)籌型”模式，關注國家利益、公共安全與國際合作。我國國內數字立法明確提出了“促進數據開發(fā)利用與保障數據安全并重”和“加強數據安全防護能力建設，保障數據依法有序自由流動，促進數據依法合理有效利用”的政策目標。同時，我國在數據出境國際規(guī)則構建中遵循促成多元共治的理念，兼顧發(fā)達國家關注數字貿易利益以及發(fā)展中國家關注數據安全與數據產業(yè)發(fā)展利益，并支持基于公共政策目標或者國家安全利益而采取相應的限制數據流動的數據本地化措施，實現與各國在獨立自主基礎上的合作與治理。一直以來，我國積極參與國際交流合作，積累了數據要素治理經驗，逐步構建完善國內數據要素治理的頂層法律法規(guī)，推進實施具體政策細則，目前基本形成了符合中國數字經濟發(fā)展要求的跨境數據流動規(guī)則框架。

具體來看，2015年通過的《中華人民共和國國家安全法》明確提出：“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統(tǒng)及數據的安全可控。”此后，我國實施的有關數據保護的政策法規(guī)大都對跨境數據流動的信息安全問題進行了說明，如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等。特別是2022年我國實施《數據出境安全評估辦法》，構建了相對完善的數據出境安全評估流程，為企業(yè)和個人數據出境提供了更加全面的指導。同時為確保數據安全有序流動，我國在“十四五”規(guī)劃中以及有關部門發(fā)布的文件中提出了跨境數據流動的具體實施方案（如表1所示）。隨著頂層法律法規(guī)相繼頒布和實施，我國數據跨境安全管理框架基本形成，出境安全評估成為數據跨境安全管理的主要手段。數據出境安全評估既有數據出境前的風險研判，又在數據出境過程中持續(xù)跟蹤，一旦涉及違法違規(guī)問題可及時處置，從而有效保障了信息安全。

隨著全球數字經濟的發(fā)展，各國數據要素指數級增長，應用場景復雜多元，數據流動過程中確保信息安全是數字經濟全球化持續(xù)發(fā)展的基礎。2020年我國提出《全球數據安全倡議》，指出“各國有責任和權利保護涉及本國國家安全、公共安全、經濟安全和社會穩(wěn)定的重要數據及個人信息安全”。在國際合作中，我國積極參與制定和探討區(qū)域間跨境數據流動規(guī)則，致力于形成統(tǒng)一規(guī)則，從而促進全球數字經濟健康發(fā)展。

雖然當前我國已基本形成全面的跨境數據流動規(guī)則，但是在法規(guī)上和政策推進過程中仍存在一些阻礙因素。一方面，數據要素收集、使用、共享、交易及流動等各個步驟涉及諸多主體，且場景復雜，國內不同主體的數據保護水平存在差異，完全依照統(tǒng)一標準推進跨境數據流動具有一定的挑戰(zhàn)，仍需探索如何在安全和發(fā)展中尋求平衡。另一方面，在國際合作中，各國數據法案存在一定沖突，區(qū)域間跨境數據流動規(guī)則差異較大，并不能確保絕對的信息安全，從而導致跨境數據流動障礙重重。

完善跨境數據流動規(guī)則政策建議

跨境數據流動是推進全球數字經濟發(fā)展的重要力量，跨境數據治理需要平衡好安全與發(fā)展的關系。我國逐步完善并實施符合當前數字經濟發(fā)展的跨境數據流動規(guī)則，一方面致力于追求安全的發(fā)展；另一方面，作為數字經濟大國，我國積極承擔大國責任，在優(yōu)化國內數據保護的同時，致力于推進全球數字經濟高效發(fā)展。

在認識上，要在信息領域尤其是跨境數據方面形成自己的安全觀。一是需要持續(xù)推進技術發(fā)展和規(guī)則制定，防止敏感數據和重要數據的泄露，從國際經驗來看，并非所有領域的數據均可自由流動，要確保安全的底線。二是要避免發(fā)展中國家普遍出現的誤區(qū)，認為只要把數據限制在國內、禁止跨境數據流動，就能保證本國數據的絕對安全。事實上，即便用最嚴格的標準和方式將數據封鎖起來，依然會有泄露的可能。三是要認識到數據流動的重要性。數據只有流動起來才能實現價值，且在不斷的跨境交流中可以提高對于數據技術的掌握和應用水平。四是時刻關注國際跨境數據合作的新方式。例如，2023年美國與歐盟達成《人工智能促進公共利益行政協議》，此前歐盟最擔心的是美國企業(yè)在數據控制方面的實力遠超歐盟企業(yè)，此協議提出在不共享數據的前提下聯合建模，兼顧了雙方的安全觀。這一模式可作為中國參與國際合作的參考。

在實踐上，要探索出一條能夠兼顧安全和發(fā)展的道路。我國是數字經濟大國，數據要素豐裕，統(tǒng)一整體保護標準具有一定難度。因此在國家已有法律法規(guī)的基礎上，各地區(qū)應進一步落實和細化責任，根據地區(qū)特征構建數據要素保護、共享和流動機制。形成個人、企業(yè)、行業(yè)、政府等多主體共同協作的數據流動和保護體系。從基本要求出發(fā)，共同開展解決數據要素的相關概念、權屬以及分類等問題，在推動跨境數據有序流動的同時，也確保相關法律法規(guī)的有效實施。從責任意識推進，形成各個主體的數據保護意識。尤其對于企業(yè)而言，追求經濟效益的同時要兼顧確保信息安全，明確責任劃分、跟蹤追責機制等。我國應立足當下，著力解決不同主體的訴求，加強制度的完善性和科學性，從而保證數據流動的安全有序。

促進國內與國外制度的協調和統(tǒng)一。當前不同國家間的跨境數據流動規(guī)則存在較大差異，且隨著數據要素的廣泛應用，各國相關政策也在不斷調整和完善中。我國與世界各國的貿易、投資往來密切，因此需充分了解各國跨境數據流動的相關法律法規(guī)，適應其不斷調整的數據治理規(guī)則。例如，歐盟的數據保護規(guī)則較為嚴格，我國需相應提高標準與之配套，并積極與其溝通協商解決個例、特例中存在的數據問題，為在歐企業(yè)發(fā)展提供更多保障。美國在亞太地區(qū)推行的數據流動規(guī)則，旨在不斷增強自身在數據流動方面的話語權，我國在積極參與區(qū)域合作的同時，也要明確本國立場和訴求，求同存異，推進與美國的平等合作。鼓勵更多中國企業(yè)在歐美設立安全中心，以保障企業(yè)的海外利益。對發(fā)展中國家來說，各國更側重于實施數據本地化戰(zhàn)略，我國作為數字經濟大國，應積極推進數字基礎設施建設，在確保數據交易、流通安全性的基礎上，促進數據的高效流通。在“一帶一路”建設中推進數字基礎設施建設，我國應積極協調溝通，幫助各國提高數字技術，促使各國參與融入全球數字經濟合作。

鼓勵帶動各國積極參與新制度的構建。隨著數據流動規(guī)模的增加，當前，跨境數據流動規(guī)則已成為區(qū)域合作中規(guī)則制定的重要內容。值得注意的是，當前的多邊合作規(guī)則仍主要以歐美規(guī)則為主導。發(fā)展中國家在全球跨境數據流動中占據重要位置，數據量巨大、應用場景豐富，因此，我國應積極推動與發(fā)展中國家的合作，形成發(fā)展中國家的規(guī)則體系。在國際合作中，應結合各國的利益訴求和期許，由點及面，從重要貿易伙伴到整個區(qū)域，逐步擴大交流合作，共同探討跨境數據流動規(guī)則，著力構建由不同國家參與的新型數據流動規(guī)則體系。

（作者為清華大學公共管理學院教授、人工智能國際治理研究院副院長；清華大學公共管理學院博士后盛舒洋、于洋對本文亦有貢獻）

【參考文獻】

①劉金瑞：《推動數據跨境流動全球治理體系變革》，《中國社會科學報》，2023年2月22日。

②闕天舒、王子玥：《數字經濟時代的全球數據安全治理與中國策略》，《國際安全研究》，2022年第1期。

③徐向梅：《筑牢數據安全屏障》，《經濟日報》，2023年1月4日。

④中國信息通信研究院安全研究所：《數據要素流通視角下數據安全保障研究報告》，2022年12月。

⑤于洋、梁正：《全球數據流動、保護及中國方案》，《中國科技論壇》，2022年第11期。

責編/周小梨 美編/李祥峰

聲明：本文為人民論壇雜志社原創(chuàng)內容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。