大国博弈下的跨境数据流动国际规则构建

　　李 艳 / 中国现代国际关系研究院科技与网络安全研究所执行所长、研究员

　　【内容提要】随着大国竞争日趋复杂，各国从战略高度重视数据资源，将其视为获取经济、科技、安全等全方位战略竞争优势的关键，围绕跨境数据流动国际规则构建的博弈更加激烈。这些博弈包括但不限于跨境执法数据调取中的“长臂管辖”与阻断法之争、跨国企业数据流动中的安全审查博弈以及美国主导的全球跨境隐私规则体系的意识形态之争等。这种竞争与博弈态势使得本就处于探索初期的国际跨境数据流动规则构建进展缓慢，相较具有普遍接受度的国际规则尚有相当距离。跨境数据流动规则构建会伴随数字社会演变进程动态发展，且会受到国际社会各方理念、政策与实践的塑造与校准。

　　【关键词】跨境数据流动 国际规则 数字空间 大国博弈

　　大国博弈加剧背景下，数据成为各方争夺的关键战略资源，跨境数据流动规则也已超出传统商业范畴，成为事关国家发展和安全的重要战略议题。各方聚焦跨境执法数据调取、企业数据跨境流动、全球跨境隐私规则三大领域展开博弈。可以预见，今后各方围绕跨境数据流动的规则博弈将更趋激烈，全球跨境数据流动圈将呈现复杂态势。但同时，国际社会的实践探索也会给跨境数据流动国际规则及秩序构建带来契机。

　　跨境数据流动国际规则构建中的大国博弈

　　数据已经成为当前人类社会经济生活不可或缺的“氧气”，大国博弈背景下，各方更是将争夺跨境数据流动规则主导权视作获取经济、科技、安全等全方位战略竞争优势的关键，并将之上升至国家战略层面予以高度重视。当前，主要国际行为体从三个领域围绕跨境数据流动规则展开复杂博弈，使本就处于探索初期的跨境数据流动规则构建进展相对缓慢。

　　第一，跨境执法数据调取中的“长臂管辖”与阻断法之争。一般而言，跨境数据流动主要从数字贸易与服务的角度去关注，但实际上执法领域的跨境数据调取也是十分重要的议题。美国为建立符合自身利益诉求的跨境执法数据调取机制，将其司法“长臂管辖”做法从实体领域扩展到数据空间，搭建可任意调取美国企业存储于境外数据的“长臂管辖”机制。其他国家则出于维护数据主权与安全的目的出台“阻断法案”对美国的“长臂管辖”进行回应。

　　2018年3月，美国政府出台《澄清境外数据合法使用法案》（以下简称《云法案》），规定凡美国电子通信服务商或在美国运营的外国服务商，无论其数据是否存储在美国境内，均有对数据保存、备份以及向美国政府提供的义务，即赋予美国执法机构向企业调取存储在美国境外服务器数据的权力。该法案成为美国执法司法目的数据“长臂管辖”跨境调取的立法核心，打破了原有的国家间司法协助机制。《云法案》规定，只有符合条件的“适格外国政府”在与美国签订双边协定后，才可向美国境内主体发出数据调取令，调取存储于美国境内的数据。[1]《云法案》出台后，美国开始与欧盟、英国、澳大利亚等开启跨境执法数据调取双边协议谈判，其目的是与盟友建立双边执法数据调取合作体系，并将所谓“不适格”的国家排除在外。《云法案》出台后，欧盟效仿美国于2018年4月紧急发布《电子证据条例（草案）》，在刑事程序中建立具有强制执行效力的“欧洲数据提交令”和“欧洲数据保存令”制度，规定成员国执法或司法当局可直接指令欧盟境内的服务提供者或设有代表机构的服务提供者提交或保存电子数据，而不用考虑相应数据是否存储于欧盟境内，该条例构成了欧盟执法跨境数据调取的“长臂管辖”制度设计。

　　为应对数据“长臂管辖”，多国纷纷采取立法措施阻断对本国数据的任意调取。例如，瑞士、卢森堡、新加坡等国对金融数据的执法跨境调取进行了限制，规定银行负有对客户信息严格保密义务。2021年6月，中国通过《数据安全法》，规定“非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。

　　第二，跨国企业数据流动安全审查背后的博弈。当前，跨境流动数据主要是基于跨国商务与技术服务，相关数据与科技创新、经济竞争息息相关。基于此，美国频频以“数据安全”为名打压所谓“对手国家”数字产业，以外国投资安全审查、禁止信息通信技术与服务供应链交易等方式加大数据安全审查力度，对跨境数据流动造成实际限制。一是外国投资安全审查。2018年8月，特朗普签署《外国投资风险评估现代化法案》，开启了新一轮美国外国投资委员会（CFIUS）国家安全审查立法改革。《外国投资风险评估现代化法案》对涉及美国企业掌握敏感个人数据的外国投资交易作出强制申报要求，目的是防范外国政府通过投资参与美国企业运营并获取美国数据。[2]2022年底以来，美国官员持续煽动封禁及强制出售TikTok。2023年3月，路透社称拜登政府要求TikTok的中方股权所有者出售股权，否则将在美国全面禁止TikTok，并称这是“拜登政府第一次对TikTok发出禁止威胁”。二是禁止信息通信技术与服务供应链交易。2019年5月，特朗普签署《确保信息通信技术与服务供应链安全行政令》（13873号行政令），明确禁止涉及受美国管辖的“人”和“财产”与“涉及外国对手拥有、控制、受管辖或指导的人或实体所设计、开发、制造、供应的信息通信技术与服务”发生交易，只要该交易可能对“美国国家安全或美国人的安全构成不当或不可接受的风险”。2021年6月9日，拜登签署《关于保护美国人敏感数据不受外国对手侵害的行政令》，详细说明13873号行政令中关于信息通信技术与服务供应链的国家紧急情况措施，称“外国对手”为“包括中国在内的国家”。[3]2023年3月7日，美国国会参议院情报委员会主席、民主党参议员华纳和共和党参议员图恩等12名跨党派参议员提出《限制危及信息和通信技术安全威胁出现的法案》（简称“遏制法案”），赋予商务部长对威胁美国国家安全的信息通信技术与服务交易进行审查，并决定是否对交易进行禁止的权力，该提案受到白宫、两党、商务部、司法部等部门大力支持。[4]

　　第三，全球跨境隐私规则体系中的意识形态划线。个人信息与隐私保护是跨境数据流动中的关键议题，各国政府纷纷通过立法等举措探索建立跨境隐私保护机制。历史上，美国力推亚太经济合作组织（APEC）下的区域性数据规则——“跨境隐私规则”（CBPR）体系建设。该体系实质是通过提供较低保护水平的跨境数据流动机制，削弱加入其中的国家或地区自主管控跨境数据的权力，实现美式跨境数据自由流动规则扩张。[5]自2011年以来，美国不断将盟友纳入“跨境隐私规则”体系，并在2020年8月首次提出将该体系“从APEC框架中独立出来”。2022年4月，美国同加拿大、日本、韩国、菲律宾、新加坡、中国台湾地区联合发布“全球跨境隐私规则宣言”，宣布成立全球数据跨境隐私规则论坛。同年8月，澳大利亚宣布加入。[6]该论坛虽宣称采取多利益相关方模式，向接受宣言的所有管辖区开放，但实际是以意识形态划线，是美国在全球数据流动及数字贸易上构筑排华“小圈子”的具体体现，导致全球跨境数据流动规则进一步分裂。

　　总体看，跨境数据流动规则整体处在探索初期，国际社会对跨境数据流动的理念、原则与机制等远未形成共识。对于如何在数据流动中更好维护数据安全，各国的理念与制度差异容易导致规则冲突。目前国际上以美国的自由流动观、欧洲的个人主义导向治理观和中国平衡发展与安全治理观最具影响力，其他国家虽各有立场，但都不具备全球性影响力。

　　跨境数据流动国际规则构建的影响因素

　　围绕跨境数据流动规则体系构建，主要大国基于理念认知、利益诉求差异等展开激烈博弈。同时，全球数字化发展不平衡则进一步加剧国际数字空间分裂。

　　第一，主要国际行为体对于跨境数据流动的理念认知不同。美国智库“信息技术与创新基金会”（ITIF）称，当前世界正在开展一场关于跨境数据流动和数据安全的全球政策争论，其本质是三大意识形态之争，即以美国为代表的“数据自由主义”、以欧盟为代表的“数据干预主义”和以中、俄等国为代表的所谓“数据民族主义”之争。[7]长期以来，美国以所谓“自由、开放、安全、可信”的跨境数据流动观自居，其实是看重数据自由流动带来的经济利益，希望促进数据流向美国，依托其互联网巨头企业及产业垄断优势尽可能掌握和控制全球数据。

　　欧盟秉持以人权及个人隐私保护为核心的跨境数据流动观。这一理念源于近代以来欧洲一直保持的浓厚人权观念。1981年欧洲理事会出台《有关个人数据自动化处理的个人保护协定》，对个人数据跨境流动中的隐私保护作出初步规定。2000年《欧盟基本权利宪章》将个人数据权纳入其中，个人数据权被欧盟上升为基本人权进行保护。2009年《里斯本条约》生效标志着个人数据权正式成为欧盟成员国宪法性权利。之后，随着跨境数据流动越来越频繁，2018年欧盟《通用数据保护条例》（GDPR）生效。该条例通过赋予数据主体具体权利的方式，确保数据主体的个人权利能够在实践中得到切实保障，从而进一步完善了欧盟的个人信息数据跨境流动规则机制。

　　俄罗斯等国重视“保护优先”，从维护国家安全的角度出发高度重视数据安全。俄罗斯尤其强调应对其他国家网络攻击时保护国内网络和数据安全，在此基础上对数据流通有较严格限制，总体呈现出相对封闭的“孤岛”态势。中国在数据治理方面体现的是平衡观，一方面坚持总体国家安全观，着力平衡数据发展和安全；另一方面秉持人类命运共同体理念，积极参与国际数据安全规则塑造，致力于维护开放、公正、非歧视性的数字环境。

　　第二，主要国际行为体对跨境数据流动的利益诉求存在差异。在跨境数据流动规则治理实践中，各方利益诉求的差异也是导致其采取不同跨境数据流动立场及政策的重要原因。

　　美国将跨境数据流动规则“政治化”，追求经济利益最大化并维护全球“数据霸权”。具体而言，一是以政治制度和意识形态划线，构建排他性数据流动与规则圈。如在业务数据跨境流动上，美国宣扬美式数据自由流动观，打造将中国排除在外的“数据流动圈”。美国通过搭建“全球数据跨境隐私规则论坛”等机制，在全球范围内输出数据治理模式，构建以美国为中心的数字生态系统。在执法数据跨境调取上，美国《云法案》对“适格国家政府”采取十分主观的标准，要求其需为《布达佩斯网络犯罪公约》成员国，并遵守人权、自由等西方价值观，其本质是以意识形态划线，将不符合其政治司法传统的国家排除在外，以建立执法数据跨境调取盟友体系。此外，美国还加大对亚非拉等发展中国家的拉拢，通过七国集团启动“全球基础设施和投资伙伴关系”，对亚非拉国家以数字援助之名进行干预。二是对中国出海数字企业以“数据安全”为名义进行打压，加剧全球网络空间碎片化程度。美国近年来对华为、TikTok等不断施加制裁打压，根本目的及核心关切在于确保美国数字领导力与对华技术优势，这是美国数字空间、科技与产业政策“政治化”的体现。

　　欧盟在确保个人隐私权基础上追求以“数字主权”为核心的“制度性权力”。欧盟意识到自己正在第四次工业革命的“数字竞赛”中逐渐落伍。同时，在中美战略博弈背景下，欧盟在数字领域的相对落后不仅限制了其战略自主空间，也增加了其数字安全风险。因此，通过“数字化转型”提升国际竞争力、实现战略自主便成为欧盟当前的重要目标。欧盟近年来陆续推出《欧洲数据战略》《欧洲的数字主权》《2030数字罗盘计划》等一系列政策文件，称欧洲必须在关键领域实现“数字主权”。

　　中国则追求数字发展与数据安全平衡，致力于维护国家与国际数据安全。中国一方面将数据作为重要生产要素投入生产，推动数字经济和实体经济深度融合、实现经济转型，并通过《网络安全法》《数据安全法》《个人信息保护法》等法律法规建设全方位数据安全保障体系；另一方面提出《全球数据安全倡议》，呼吁各国秉持发展与安全并重的原则开展网络空间国际治理合作，推动构建网络空间命运共同体。

　　第三，全球数字化发展水平不平衡。数字化发展的差距会使国际社会各方对于数字规则构建的意愿、能力和资源投入有所不同，直接影响数据跨境流动国际规则共识的达成、进程的推进以及适用范围的扩大等。一是全球数字平台发展两极化。数据显示，截至2021年底，全球前五的数字平台企业全部是美国企业，占全球市场价值总额的70%左右，较2020年有所扩大。美国超百亿美元数字平台有31家，价值规模为11.4万亿美元，同比增长27.8%。[8]二是各国数字基础设施建设仍有较大差距。相比发达国家，发展中国家特别是最不发达国家数字基础设施建设不足，互联网接入和使用水平低。国际电信联盟（ITU）报告显示，2022年最不发达国家仍有三分之二人口未接入互联网，有7.2亿人仍处“离线”状态。最不发达国家和内陆发展中国家中约有 1/4 人口无法使用移动宽带网络，40%的美洲原住民聚居地没有网络连接或缺乏基本的无线网络服务。经合组织国家、亚太地区、拉丁美洲地区、撒哈拉以南非洲地区5G网络区域覆盖率分别为 34%、15%、3.2%、0。2021年最不发达国家4G人口覆盖率仅为53%,远低于发达国家的98.6%。[9]当前世界数字鸿沟不仅没有缩小的迹象，反而因各国数字基础设施发展水平差异正在进一步加深。三是全球数字技术应用存在较大不均衡。发展中国家特别是最不发达国家的许多小企业主缺乏充分利用数字经济的能力、技能和意识，且与发达国家差距巨大。非洲和拉丁美洲的主机托管数据中心占世界总数的5%弱，并缺乏将数据转化为数字智能和经济所需的数字技术。此外，在许多发展中国家，发展数字创业和创新生态系统面临市场规模和范围小、创业知识和技能不足、缺乏拥有高技能和可负担的劳动力以及融资渠道有限等瓶颈，进而导致全球数字化水平两极化进一步凸显。这也就导致在当前发展态势下，一方面，区域和双边规则会发展得相对较快；另一方面，这些规则的“外溢”效果相对有限，更遑论具有普遍接受度与适用性的国际规则。

　　跨境数据流动国际规则构建的前景

　　在大国博弈加剧和技术治理规则本身滞后的双重作用下，跨境数据流动国际治理将面临多重困境。但国际规则构建本就是一个长期的过程，跨境数据流动国际规则构建更是如此。然而，主要国际行为体在数字领域的实践探索也会给跨境数据流动规则构建带来契机。

　　第一，围绕跨境数据流动规则体系构建的博弈日趋激烈。在当今网络空间治理的议题之中，数据跨境等数据安全问题包含了数据主权、隐私保护、法律适用与管辖乃至国际贸易规则等极为广泛的讨论维度。[10]无论是数据本地化还是跨境流动限制，抑或是“长臂管辖”，都是国家维护数据安全、强化数据控制权的体现，进而成为国家数字主权的重要组成部分。随着新技术与应用的不断迭代，尤其是云计算、物联网、人工智能的发展，数据的重要性会更加凸显。在近来爆火的以ChatGPT为代表的通用性生成式人工智能发展中，高质量与垄断性的数据发挥着至关重要的作用。由此可见，随着数据战略价值的进一步显现，各国围绕数据资源展开的争夺会更加激烈。在跨境数据流动规则领域，必然是各方均试图在规则构建中实现自身利益最大化。比如数据应用能力强的国家，会有更强烈的数据自由流动偏好；而数据应用能力较弱的国家，会更加倾向于采取“数据防御主义”措施。[11]

　　第二，形成具有普遍接受度的全球性跨境数据流动规则体系道阻且长。无论是在执法跨境数据调取，还是基于隐私保护的规则体系构建，从目前发展态势看，在相当长一段时期内都很难形成具有普遍接受度与约束力的真正意义上的国际规则体系。虽然美欧等一直在相关方面进行协调，试图通过所谓最有共识性基础的“价值共同体”机制对接，打造数据流动规则的模板，进而通过示范与外溢效应被越来越多的国家接受，但在实践中并未如预期所料。以美欧数据协议为例，2020年7月，欧盟法院宣布欧盟与美国的“隐私盾协议”在跨境数据传输方面无效，“隐私盾协议”破裂。2020年10月，爱尔兰隐私监管机构出台规定，禁止脸书将欧洲用户的数据转移至美国。虽然拜登政府为解决欧洲数据安全关切，签署《关于加强美国信号情报活动保障措施的行政命令》，对美国信号情报活动作出规制，同时提供相应的机制保障，但其是否会受到欧盟法院再次挑战存在不确定性。

　　第三，地缘政治博弈态势将持续影响规则制定进程。美国联合多国针对中国推进所谓“清洁数据”计划，通过谋划《反制不可信海外电信法案》进一步强力推动美国本土、盟友国家及驻外机构剥离华为、中兴等中国通信企业设备及服务；通过推动《海底电缆管制法案》，利用外交手段阻挠中国企业获得国际海底电缆工程项目，迫使经香港海底电缆改道等做法掌控跨境数据传输。以上种种美国跨境数据流动“政治化”做法均会在客观上加大未来数据流动版图的复杂性与不确定性。

　　虽然在大国博弈加剧背景下数据跨境流动国际规则的构建面临严峻挑战，但这并不能得出跨境数据流动国际规则难以形成的最终结论。事实上，任何国际规则的构建都是一个长期动态发展的过程，甚至很多时候，构建规则的过程对于实践发展而言更加重要。跨境数据流动国际规则的构建亦是如此。展望未来，跨境数据流动国际规则的构建将会受到“自上而下”战略与政策的影响。为解决数据安全关切，建立数据信任，相关国家政府与国际组织正在积极作为。如2020年9月8日，在北京举办的“抓住数字机遇，共谋合作发展”的国际研讨会上，中国提出《全球数据安全倡议》。又如2019年6月，二十国集团贸易与数字经济部长会议重申可信数据自由流动框架的构建，强调跨境数据流动对促进生产率、创新和可持续发展的重要性，试图从消费者和企业对隐私保护与安全的信任和不同法律框架之间的融合两方面进行规则构建。[12]同时，跨境数据流动国际规则的构建也会受到“自下而上”的塑造与校准。跨境数据流动中的最佳实践与探索反过来会促进规则体系的构建。比如面对数据流动中的隐私保护问题，企业和技术社群正在积极探索方案，试图从技术上解决“合规”问题，使数据既能有效流动起来，又能解决隐私或安全关切。又如“联邦学习”等“隐私算法”技术手段的应用，也会给数据安全带来新的解决方案。此外，既有规则的有效性与适用性会在实践中加以检验，并得到校准与完善。以上种种均会共同推动跨境数据流动规则的构建。

　　[1] US Department of Justice: “Clarifying Lawful Overseas Use of Data (CLOUD) Act,” April 2023, https://www.justice.gov/criminal-oia/cloud-act-resources.

　　[2] 洪延青：《数据跨境流动的规则碎片化及中国应对》，载《行政法学研究》2022年第4期，第61页。

　　[3] 同[2]。

　　[4] The Congress: “Text - S.686 - 118th Congress (2023-2024): RESTRICT Act,” April 2023, https://www.congress.gov/bill/118th-congress/senate-bill/686/text.

　　[5] 洪延青：《数据竞争中的美欧战略立场及中国因应——基于国内立法和经贸协定谈判双重视角》，载《国际法研究》2021年第6期，第71页。

　　[6] US Department of Commerce, “Global Cross-Border Privacy Rules Declaration,” October 2022, https://www.commerce.gov/global-cross-border-privacy-rules-declaration.

　　[7] Nigel Cory: “In the Global Battle Over Data Flows, Data Liberals Must Fight Back Against Data Nationalists and Interventionists,” April 2023, https://www.globaltrademag.com/in-the-global-battle-over-data-flows-data-liberals-must-fight-back-against-data-nationalists-and-interventionists/.

　　[8]《全球数字治理白皮书（2022年）》，中国信通院，2023年3月，http://www.caict.ac.cn/english/research/whitepapers/202303/P020230316588821905367.pdf。

　　[9] 同[8]。

　　[10] 王融：《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》，载《信息安全与通信保密》2018年第3期，第41页。

　　[11] 刘金河、崔保国：《数据本地化和数据防御主义的合理性与趋势》，载《国际展望》2020年第6期，第94页。

　　[12] 李墨丝：《欧美日跨境数据流动规则的博弈与合作》，载《国际贸易》2021年第2期，第82-88页。

关注读览天下微信， 100万篇深度好文， 等你来看……