○陳斌彬 王斌楠

在大數(shù)據(jù)、云計算、5G聯(lián)接、物聯(lián)網(wǎng)等新一代信息技術(shù)的驅(qū)動下，數(shù)字經(jīng)濟在全球異軍突起，發(fā)展迅猛。與之相應(yīng)，作為數(shù)字經(jīng)濟的基本單位，數(shù)據(jù)更是當今開展國際貿(mào)易須臾不可或缺的重要載體。根據(jù)麥肯錫全球研究院2019年4月發(fā)布的《數(shù)據(jù)全球化：新時代的全球性流動》證實，2009年至2018年十年間，數(shù)據(jù)跨境流動對全球經(jīng)濟增長貢獻度高達10.1%，極大地支撐了包括商品、服務(wù)、資本、人才等其他類型的全球化活動，發(fā)揮著越來越獨立的作用。(1)See McKinsey Global Institute，Digital Globalization：The new era of global flows，Sep，12，2021，https：//www.mckinsey.com/bussiness-functions/digital-mckinsey/our-insights/Digital-Globalization-the-new-era-of-global-flows.最新一份研究表明，2022年全球互聯(lián)網(wǎng)協(xié)議數(shù)據(jù)流量(包括各國國內(nèi)和國際流量)超過2016年之前人類用過的所有數(shù)據(jù)流量的總和，預(yù)計2025年跨境數(shù)據(jù)流動對全球經(jīng)濟增長的價值貢獻預(yù)計會突破11萬億美元。(2)See UNCTAD.Digital Economic Report 2022，Jan，19，2023，https：//unctad.org/system/files/official-document/der2022_en.pdf.然而，數(shù)據(jù)身上承載著個人隱私、商業(yè)秘密乃至國家機密等，對其不當處理和濫用會給個人、企業(yè)和國家經(jīng)濟利益帶來潛在威脅與侵害。同時，數(shù)據(jù)出境涉及數(shù)據(jù)的所有者、接收者和使用者等多元主體，流轉(zhuǎn)路徑涵蓋數(shù)據(jù)的起源地、中轉(zhuǎn)地及目的地等，復(fù)雜多變。倘若其中某一環(huán)節(jié)被惡意攔截、修改、泄露、復(fù)制等，都會帶來數(shù)據(jù)安全風險甚至危及國家主權(quán)和政權(quán)的安全。2013年的“棱鏡門”、2017年席卷全球的“勒索”病毒攻擊和2018年的“劍橋分析丑聞”等事件就是典型的例證?？梢?，數(shù)據(jù)出境于一國而言是把雙刃劍，如何對之施以適當?shù)囊?guī)制，達致安全和發(fā)展兩不誤成為擺在各國面前亟需解決的時代課題。然而，囿于各國間政治制度，隱私保護傳統(tǒng)與數(shù)字經(jīng)濟發(fā)展階段之差異，目前全球缺乏一個統(tǒng)一的多邊數(shù)據(jù)共享協(xié)議，對數(shù)據(jù)出境的規(guī)制主要停留在國別層面。很多國家和地區(qū)紛紛運用“數(shù)據(jù)主權(quán)”出臺相應(yīng)的數(shù)據(jù)管轄立法，不斷強化自身在此領(lǐng)域的話語權(quán)。在這其中，歐盟和美國出于各自的歷史傳統(tǒng)和現(xiàn)實訴求，創(chuàng)建了數(shù)據(jù)出境規(guī)制的兩大立法范式。兩大范式之間既相互競爭，又相互妥協(xié)和融合，構(gòu)成了國際個人數(shù)據(jù)跨境流動規(guī)制的基本格局，(3)許多奇：《個人數(shù)據(jù)跨境流動規(guī)制的國際格局及中國應(yīng)對》，《法學(xué)論壇》2018年第3期，第130頁。頗值研究和鏡鑒。本文嘗試在此基礎(chǔ)上力圖從國內(nèi)法和國際法兩個維度提出完善我國數(shù)據(jù)出境的規(guī)制之策。

一 數(shù)據(jù)出境與“數(shù)據(jù)主權(quán)”

(一)“數(shù)據(jù)出境”概念辨析

數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。(4)《數(shù)據(jù)安全法》第3條。今天，在全球化和數(shù)字化的背景下，數(shù)據(jù)如新時代的“石油”，不僅在一國的重要性日益凸顯，成為與土地、勞動力、資本和技術(shù)并駕齊驅(qū)的生產(chǎn)要素，而且已然構(gòu)成一國國際競爭力、影響力及戰(zhàn)略定力的重要組成部分，是各國競相爭奪的基礎(chǔ)性戰(zhàn)略資源。然而，無論作為生產(chǎn)要素抑或戰(zhàn)略資源，數(shù)據(jù)的價值效用只有通過流通與共享才能得以彰顯和發(fā)揮。今天，小到個人的海外購物，跨境支付，中到企業(yè)的跨境電商、并購合作業(yè)務(wù)甚或大到國家間的跨境執(zhí)法合作，司法電子取證等，都無不以數(shù)據(jù)的出境為繼發(fā)條件。關(guān)于數(shù)據(jù)出境概念，表1列舉了一些國際組織和國家所給的定義。從這些定義可見，不同時期國際社會對“數(shù)據(jù)出境”中“境”之界定存有差異。以20世紀90年代為分水嶺，在此之前因為網(wǎng)絡(luò)技術(shù)的不發(fā)達和高昂的通訊成本導(dǎo)致各國數(shù)據(jù)主要依靠離散的點對點式的傳輸，甚至是依賴人工攜帶紙質(zhì)材料才能出境，故而早期經(jīng)合組織、歐洲理事會、聯(lián)合國跨國公司中心和美國國會的定義中特別強調(diào)“跨越國境”的表述，即數(shù)據(jù)的傳輸只有跨越地理位置意義上的國境才能稱為真正的“出境”。而與之不同，隨著21世紀初諸多新興信息傳輸技術(shù)的涌現(xiàn)和遠程訪問的日益便利化，數(shù)據(jù)跨越國界(境)已不再是“數(shù)據(jù)出境”的必要條件，故而晚近歐盟理事會和我國給出的定義更傾向于從效果即以第三國(國際組織)或境外機構(gòu)、組織和個人是否接收訪問到本國境內(nèi)數(shù)據(jù)作為界定數(shù)據(jù)出境的標準，至于其間數(shù)據(jù)是否發(fā)生跨越國界的流動則在所不問。

表1 主要國際組織或國家對“數(shù)據(jù)出境”的界定

由上可見，雖然國際社會對“數(shù)據(jù)出境”的界定不盡相同，但綜合他們的表述，不難發(fā)現(xiàn)“數(shù)據(jù)出境”蘊含著三個核心元素：一是出境的數(shù)據(jù)是個人數(shù)據(jù)或存儲在計算機中的電子數(shù)據(jù)；二是出境的樣態(tài)為任何一次或連續(xù)性的傳輸活動；三是出境的方式既可以是主動出境，即數(shù)據(jù)從一國傳輸?shù)搅硪粐部梢允潜粍映鼍常淳硟?nèi)數(shù)據(jù)被境外主體訪問、查詢和下載。概言之，“數(shù)據(jù)出境”存在于以下兩種情形：第一，站在一國的視角，其表現(xiàn)為本國境內(nèi)生成的數(shù)據(jù)被位于他國(境外)的機構(gòu)、組織、個人所處理；(5)根據(jù)《數(shù)據(jù)安全法》第3條，數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供與公開等行為。第二，從全球的層面看，其表現(xiàn)為數(shù)據(jù)在兩個或兩個以上的領(lǐng)土主權(quán)疆界(實體)或數(shù)據(jù)主權(quán)管轄畛域(虛擬)間的穿梭流動，此情形即為數(shù)據(jù)跨境流動。

(二)“數(shù)據(jù)主權(quán)”：規(guī)制數(shù)據(jù)出境的利器

由上可見，無論是從一國的視角，還是站在全球的層面來界定，數(shù)據(jù)出境同傳統(tǒng)貨物出境一樣都繞不過國家主權(quán)的藩籬。只不過與傳統(tǒng)貨物相比，數(shù)據(jù)天生具有無形性、流動性和可分性。并且，如前所述，當前數(shù)據(jù)存儲方式又發(fā)生了較大變化，不僅從當?shù)氐拇鎯ζ髦饾u轉(zhuǎn)變?yōu)槿驍?shù)據(jù)庫的遠程存儲，還越來越多的被存儲到“云”(cloud)端之上。由于云端是通過虛擬化平臺來對應(yīng)終端操作完成數(shù)據(jù)復(fù)制、轉(zhuǎn)移和擴展，不像國家領(lǐng)土那樣有著明確的地域界線，無需接受邊檢人員的檢查。加之云計算高速的運算能力，一國難以實時跟蹤和判斷其間穿梭流動的數(shù)據(jù)是否已跨越了實際的國界或疆域。這種云存儲技術(shù)幾乎抹煞了數(shù)據(jù)地域性的識別標記，使得數(shù)據(jù)的出境具有依托于但不局限于一國領(lǐng)土的特質(zhì)，從而令以往的國家主權(quán)管控變得難以為繼。進言之，在大數(shù)據(jù)和云時代的背景下，一方面，一國的關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)和網(wǎng)絡(luò)信息等對于一國安全的重要性越來越不亞于領(lǐng)陸、領(lǐng)水和領(lǐng)空的完整；(6)王淑敏：《全球數(shù)字鴻溝彌合：國際法何去何從》，《政法論叢》2021年第6期，第12頁。另一方面，一國已不能再同以往那樣通過屬地和屬人管轄獨占、專有地控制與領(lǐng)土、居民等相關(guān)的所有數(shù)據(jù)。數(shù)據(jù)出境正越來越“將國家置于危險境地”(7)See Data Stored Abroad：Ensuring Lawful Access and Privacy Protection in the Digital Era：Hearing Before the H.Comm.on the Judiciary，115th Cong.(2017)。。國際社會尤其是眾多的發(fā)展中國家正是看到既有國家主權(quán)制度受到的沖擊，并切身感知到單向數(shù)據(jù)出境流動對本國安全的威脅才疾呼各國將數(shù)據(jù)納入主權(quán)的管控范疇?！皵?shù)據(jù)主權(quán)”也因此應(yīng)運而生。

那么，何謂“數(shù)據(jù)主權(quán)”？耙梳目前學(xué)界的觀點，主要有三種認知和理解：其一，主張數(shù)據(jù)主權(quán)為網(wǎng)絡(luò)空間中的國家主權(quán)，或者說是網(wǎng)絡(luò)主權(quán)的一個子集；(8)典型的如曹磊：《網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究》，《國際觀察》2013年第1期，第53—58頁；梁坤：《基于數(shù)據(jù)主權(quán)的國家刑事取證管轄模式》，《法學(xué)研究》2019年第2期，第188—208頁。其二，認為數(shù)據(jù)主權(quán)是國家對本國數(shù)據(jù)的最高權(quán)力，體現(xiàn)為對本國數(shù)據(jù)的占有、管轄、利用和保護。(9)典型的齊愛民、盤佳：《數(shù)據(jù)權(quán)、數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護的基本原則》，《蘇州大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2015年第1期，第64—70+191頁；杜雁蕓：《大數(shù)據(jù)時代國家數(shù)據(jù)主權(quán)問題研究》，《國際觀察》2016年第3期，第1—14頁。其三，認為數(shù)據(jù)主權(quán)管轄和控制的對象除了數(shù)據(jù)外，還包括與數(shù)據(jù)相關(guān)的技術(shù)、設(shè)備和服務(wù)商等。(10)典型的如孫南翔、張曉君：《論數(shù)據(jù)主權(quán)——基于虛擬空間博弈與合作的考察》，《太平洋學(xué)報》2015年第2期，第63—71頁。以筆者之見，“數(shù)據(jù)主權(quán)”既為一種“主權(quán)”，對其理解就應(yīng)遵循“主權(quán)”一詞的本貌。首先，追本溯源，主權(quán)是國家的根本屬性，是國家區(qū)別于國內(nèi)的地方行政區(qū)域或國際上其他實體的重要標志，體現(xiàn)的是一國獨立自主地處理國內(nèi)外一切事務(wù)的權(quán)力。(11)王鐵崖主編：《國際法》，北京：法律出版社，1995年，第66頁。并且，主權(quán)還是一個持續(xù)發(fā)展與不斷變化的概念，有著獨特的時間與空間維度。(12)See Franz Xaver Perrez，Cooperative Sovereignty：From Independence to Interdependence in the Structure of International Environmental Law，Kluwer Law International，2000，p.2.不同的歷史背景就會有不同的主權(quán)內(nèi)涵。而數(shù)據(jù)主權(quán)正是國家主權(quán)順應(yīng)當下數(shù)字經(jīng)濟社會蓬勃發(fā)展的必然結(jié)果，是在全球新一輪信息技術(shù)革命和產(chǎn)業(yè)變革背景下一國為因應(yīng)數(shù)據(jù)出境給自身帶來安全風險的一種必備利器，具有鮮明的時代特征。其應(yīng)用主體當然是國家，故而那種將數(shù)據(jù)主權(quán)描繪成個人(機構(gòu))的數(shù)據(jù)權(quán)的表述并不恰當。(13)多數(shù)西方學(xué)者在論及數(shù)據(jù)主權(quán)時多指個人數(shù)據(jù)主權(quán)。典型的代表文獻可P.De Filippi，S.McCarthy，“Cloud Computing：Centralization and Data Sovereignty”，in European Journal of Law and Technology，Vol.3，No.2，2012，p.15.其次，依國際法，主權(quán)包含國家對內(nèi)的最高統(tǒng)治權(quán)和對外的獨立權(quán)。對應(yīng)到數(shù)據(jù)主權(quán)，此處的對內(nèi)最高統(tǒng)治權(quán)就是指國家對本國數(shù)據(jù)所具有的排他的自由行使的統(tǒng)治權(quán)，具體體現(xiàn)為國家對本國數(shù)據(jù)的管轄權(quán)；而此處的對外獨立權(quán)則指國家在國際上不依賴他國，不受任何國家的擺布而獨立參與全球數(shù)據(jù)事務(wù)的治理。同時，數(shù)據(jù)主權(quán)規(guī)范的對象——數(shù)據(jù)具有特殊性，其之存儲和傳輸不僅須臾離不開相關(guān)介質(zhì)、設(shè)備等物理設(shè)施，而且還是網(wǎng)絡(luò)空間必不可缺的構(gòu)建顆粒。就此意義而言，以上三種觀點看似不一，但實則都不同程度指向數(shù)據(jù)主權(quán)的某一面向(屬性或?qū)ο?，雖然并不完整，但沒有沖突。因此，筆者認為一個內(nèi)涵清晰的數(shù)據(jù)主權(quán)概念應(yīng)是上述三種觀點之綜合：那就是數(shù)據(jù)主權(quán)首先應(yīng)是國家主權(quán)在網(wǎng)絡(luò)空間中的延續(xù)和發(fā)展，或者說是國家網(wǎng)絡(luò)主權(quán)的核心組成部分，其內(nèi)涵可界定為對內(nèi)的數(shù)據(jù)管轄權(quán)和對外的數(shù)據(jù)合作治理權(quán)兩個部分。

(三)“數(shù)據(jù)主權(quán)邊界”：行使數(shù)據(jù)主權(quán)的前提

那么，如何判定數(shù)據(jù)主權(quán)內(nèi)涵中的“對內(nèi)”與“對外”呢？這就要先確立“數(shù)據(jù)主權(quán)邊界”?！皵?shù)據(jù)主權(quán)邊界”作為一國數(shù)據(jù)主權(quán)行使的依據(jù)和界線，能為一國突破屬地管轄的羈絆以對數(shù)據(jù)出境流動施以規(guī)制提供合理的依據(jù)與界線，故而是確保一國對外有效行使數(shù)據(jù)主權(quán)，減少與他國沖突的關(guān)鍵。由于實踐中各國數(shù)據(jù)是以網(wǎng)絡(luò)為主要傳播渠道，故要厘清“數(shù)據(jù)主權(quán)邊界”就不能局限于命題表述本身，而應(yīng)深入到數(shù)據(jù)流動所端賴的網(wǎng)絡(luò)空間，探析其與國家領(lǐng)土相區(qū)別的運行特質(zhì)：(14)沒有特別說明，本文所言的國家領(lǐng)土包括領(lǐng)陸、領(lǐng)水、領(lǐng)陸和領(lǐng)水以下的底土以及領(lǐng)路和領(lǐng)水之上的領(lǐng)空。關(guān)于國家領(lǐng)土的界定，王鐵崖：《國際法》，第229頁。

第一，空間的虛擬性。依國際電信聯(lián)盟的權(quán)威定義，網(wǎng)絡(luò)空間是“由包括計算機、計算機系統(tǒng)、網(wǎng)絡(luò)及其軟件支持、計算機數(shù)據(jù)、內(nèi)容數(shù)據(jù)、流量數(shù)據(jù)以及用戶在內(nèi)的所有要素或部分要素組成的物理或非物理領(lǐng)域”(15)See ITU，ITU Toolkit For Cybercrime Legislation.https：//www.itu.int/ITU-D/cyb/cybersecurity/docs/itu-toolkit-cybercrime-legislation.pdf．。此定義表明，網(wǎng)絡(luò)空間在空間歸屬上，確有實體空間的部分構(gòu)造，但更多還是屬于由軟件系統(tǒng)和數(shù)據(jù)組成的虛擬空間。這種空間在外觀上是由世界各地相互連接的小型網(wǎng)絡(luò)組成，但其本質(zhì)上就是一種由海量的二進制數(shù)據(jù)顆粒聚合而成的關(guān)聯(lián)體。地球上所有可以通過有線連接或無線(衛(wèi)星)鏈接訪問的地方都可以訪問之。因此，網(wǎng)絡(luò)空間劃分區(qū)域的標準是IP地址和對應(yīng)的域名。人們只需單擊鼠標，就可以將數(shù)據(jù)傳送到全球各個角落。這種技術(shù)架構(gòu)一方面造就了網(wǎng)絡(luò)空間中法律關(guān)系的虛擬性，即除了當事人之外沒有其他物理因素；(16)See Tobias Lutz，Private International Law Onine-Internet Regulation and Civil liability in the EU．Oxford University Press，2020，p.26.另一方面卻使得傳統(tǒng)國家主權(quán)賴以作用的領(lǐng)土邊界不能簡單地被移植過來。易言之，在網(wǎng)絡(luò)空間中，主權(quán)國家的地理邊境在某種程度上被虛化了，并不像現(xiàn)實中那么清晰。(17)See Richard Portes &Hélène Rey，The Determinants of Cross-Border Equity Flows：The Geography of Information，UC Berkeley Recent Work.https：//escholarship.org/uc/item/51w4v95p.

第二，結(jié)構(gòu)的層級性。《塔林手冊2.0》將網(wǎng)絡(luò)空間結(jié)構(gòu)分為三層：(18)《塔林手冊2.0》的全稱為《網(wǎng)絡(luò)行動國際法塔林手冊2.0版》。其由位于愛沙尼亞首都塔林的北約卓越合作網(wǎng)絡(luò)防御中心邀請包括中國在內(nèi)的19位專家于2017年2月共同編寫的。手冊作為全球首部國際網(wǎng)絡(luò)空間治理規(guī)則的學(xué)術(shù)建議草案，雖非一般國際法，不具有約束力，但在網(wǎng)絡(luò)空間治理領(lǐng)域極具影響力。物理層，主要由各種硬件設(shè)備及其他基礎(chǔ)設(shè)施，如電腦、電纜、存儲器、服務(wù)器等；邏輯層，主要是存儲在物理層上的數(shù)據(jù)及各種確保數(shù)據(jù)交換的應(yīng)用、規(guī)則和協(xié)議，如 TCP /IP 等；社會層，主要是指參與網(wǎng)絡(luò)活動的主體即個人或機構(gòu)，典型的如網(wǎng)絡(luò)數(shù)據(jù)的處理者或控制者等。(19)[美]邁克爾·施密特：《網(wǎng)絡(luò)行動國際法塔林手冊2.0版》，北京：社會科學(xué)文獻出版社，2018年，第58頁。在這三個層級中，位于邏輯層的數(shù)據(jù)看似以電子或類似無形面目出現(xiàn)、具有移動性和可復(fù)制性，但其存儲和傳輸卻須臾離不開社會層和物理層的幫助。一言以蔽之，沒有各個網(wǎng)絡(luò)參與主體(社會層)事先人為地下達傳輸指令和各環(huán)節(jié)的網(wǎng)絡(luò)設(shè)施(物理層)提供硬件傳輸支持，日常萬千的數(shù)據(jù)流動顯然無從發(fā)生。

第三，“邊界”的雙重性。從整體上看，網(wǎng)絡(luò)空間雖為虛擬的鏈接，屬于非物理空間，在象征意義上與陸地、海洋和天空完全不同，但在功能意義上卻依賴于物理場所和網(wǎng)絡(luò)主體。故其雖不像上述三個物理空間那樣有著清晰的邊界印記，但也絕非如某些國家所言的全球公域。誠如有學(xué)者所言，網(wǎng)絡(luò)空間與它們的相似的不是物理上的相似性，而是它們的國際性、主權(quán)性質(zhì)。(20)See Radim Polcák，Dan Jerker B.Svantesson，Information Sovereignty Powers and the Rule of law，Edward Elgar Publishing，inc，2017，p.56.像“網(wǎng)絡(luò)存儲設(shè)施”的位置、“網(wǎng)絡(luò)主體”的國籍與“網(wǎng)絡(luò)行為”發(fā)生地等，都會對一國網(wǎng)絡(luò)數(shù)據(jù)的流向及其所在國的數(shù)據(jù)主權(quán)利益構(gòu)成影響，故而它們在理論上都可能會“化身”為一國網(wǎng)絡(luò)空間的“邊境”，成為劃分和確立數(shù)據(jù)主權(quán)作用邊界的重要標準。筆者基于網(wǎng)絡(luò)空間的結(jié)構(gòu)化特點，將這些標準歸為以下三類：一是物理層所在地標準。毋庸置疑，數(shù)據(jù)所存儲的電腦、磁盤等物品的位置反映了數(shù)據(jù)的屬地性?；跀?shù)據(jù)的物理特征，數(shù)據(jù)的屬地性早被廣泛接受。(21)楊永紅：《美國域外數(shù)據(jù)管轄權(quán)研究》，《法商研究》2022年第2期，第147頁。所以，當數(shù)據(jù)存儲設(shè)備在一國的領(lǐng)陸、領(lǐng)水、領(lǐng)空范圍之內(nèi)，則該國就有能力控制在其主權(quán)領(lǐng)土上的數(shù)據(jù)存儲設(shè)備，進而控制數(shù)據(jù)和行使管轄權(quán)。若他國侵犯、干涉、非法獲取，不正當使用一國境內(nèi)的數(shù)據(jù)及數(shù)據(jù)存儲設(shè)備，就將構(gòu)成對該國主權(quán)的侵犯。(22)張曉君：《數(shù)據(jù)主權(quán)規(guī)則建設(shè)的模式與借鑒——兼論中國數(shù)據(jù)主權(quán)的規(guī)則構(gòu)建》，《現(xiàn)代法學(xué)》2020年第6期，第138頁。二是社會層所屬地標準。數(shù)據(jù)之所以能出境流動，皆肇因于不同國家或地區(qū)數(shù)據(jù)所有者(如個人、企業(yè)、國家等)的“同意”或數(shù)據(jù)控制者(數(shù)據(jù)發(fā)送方、數(shù)據(jù)接收方或數(shù)據(jù)傳輸服務(wù)方等)對數(shù)據(jù)的收集、存儲、加工、訪問、傳輸與公開等。(23)為表述方便，本文以下就將數(shù)據(jù)所有者和數(shù)據(jù)控制者(處理者)合稱為數(shù)據(jù)主體。就此而言，在立法上確認數(shù)據(jù)主體的國籍國或經(jīng)常居住地國對這些數(shù)據(jù)主體行使管轄權(quán)并無不當。三是網(wǎng)絡(luò)數(shù)據(jù)處理效果地標準。在數(shù)字技術(shù)日益進步和數(shù)字經(jīng)濟日益全球化的今天，不同國家民眾之間的交往正日益進化成一種在線的數(shù)據(jù)關(guān)系。一國的個人或機構(gòu)在前述所言的云端或另一國境內(nèi)的服務(wù)器上針對另一國民眾的數(shù)據(jù)進行在線關(guān)聯(lián)分析或聚合處理早已司空見慣，但倘若這種在線處理行為已經(jīng)或可能會損害另一國網(wǎng)絡(luò)數(shù)據(jù)安全和數(shù)據(jù)主體的合法權(quán)益，則受影響的數(shù)據(jù)主體所在國為維護自身數(shù)據(jù)主權(quán)利益也可基于效果原則(effects doctrine)對這些發(fā)生在境外的在線數(shù)據(jù)處理行為行使管轄權(quán)。

綜上，筆者所倡的 “數(shù)據(jù)主權(quán)邊界”并非是一成不變的概念，其具有雙重屬性——既有形又無形。當數(shù)據(jù)存儲于一國領(lǐng)土境內(nèi)，此時的“數(shù)據(jù)主權(quán)邊界”就是有形的，與國家領(lǐng)土邊界無異；當數(shù)據(jù)存儲于本國領(lǐng)土之外，此時的“數(shù)據(jù)主權(quán)邊界”就會突破國家領(lǐng)土邊界而延伸到他國境內(nèi)。不過這種延伸不是現(xiàn)實世界中的領(lǐng)土擴張，而是一種觀念上的延伸，邊界大小取決于本國數(shù)據(jù)主權(quán)與他國數(shù)據(jù)主權(quán)交織碰撞的結(jié)果?？梢哉f，不同于物理層所在地標準，依社會層所屬地和數(shù)據(jù)處理效果地這兩類標準確立的“數(shù)據(jù)主權(quán)邊界”具有無形性，其更多存在人們的認知思維中，本質(zhì)上是兩國(數(shù)據(jù)存儲地國與數(shù)據(jù)非存儲地國)數(shù)據(jù)主權(quán)抵牾博弈后所形成的一種均衡狀態(tài)。這就意味著數(shù)據(jù)主權(quán)在行使方式上更加需要國家之間的共同協(xié)作。最后仍要指出的，“數(shù)據(jù)主權(quán)邊界”作為一國主權(quán)在網(wǎng)絡(luò)空間和數(shù)據(jù)領(lǐng)域行使的依據(jù)和界線，是以數(shù)據(jù)主權(quán)的概念被廣泛接受為邏輯預(yù)設(shè)前提的?？梢哉f，關(guān)鍵信息基礎(chǔ)設(shè)施、數(shù)據(jù)和網(wǎng)絡(luò)信息等方面的安全對于一國安全的重要性不亞于領(lǐng)陸、領(lǐng)水和領(lǐng)空的完整，(24)王淑敏：《全球數(shù)字鴻溝彌合：國際法何去何從》，《政法論叢》2021年第6期，第12頁。各國尤其是發(fā)展中國家正是看到數(shù)據(jù)資源的重要性并切身感知到單向的數(shù)據(jù)出境對本國安全的威脅才疾呼明確數(shù)據(jù)主權(quán)。(25)如2015年1月9日，中國，俄羅斯、哈薩克斯坦、吉爾吉斯斯坦、塔吉克斯坦、烏茲別克斯坦聯(lián)合向聯(lián)合國提交“信息安全國際行為準則”更新草案，主張明確各國網(wǎng)絡(luò)空間的數(shù)據(jù)主權(quán)以規(guī)范網(wǎng)絡(luò)空間行為。易言之，數(shù)據(jù)主權(quán)是國家主權(quán)在數(shù)字經(jīng)濟全球化時代下的延續(xù)和發(fā)展，是一國因應(yīng)數(shù)據(jù)安全風險和規(guī)制數(shù)據(jù)出境的必備利器。

同國家領(lǐng)土主權(quán)一樣，數(shù)據(jù)主權(quán)不僅屬于政治范疇，更屬于法律范疇。近年來，為趨利避害，爭奪數(shù)據(jù)資源和維護國家利益，各國基于上述的三類“數(shù)據(jù)主權(quán)邊界”標準，紛紛通過立法確認和運用數(shù)據(jù)主權(quán)以對本國數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全、隱私保護等領(lǐng)域進行管轄，為數(shù)據(jù)跨境洪流修筑安全堤壩已成趨勢。(26)一國管轄權(quán)可表現(xiàn)在立法、司法和執(zhí)法三個方面。由于法律本身就是主權(quán)者意志的體現(xiàn)，且司法和執(zhí)法管轄權(quán)的發(fā)揮均以立法管轄為前提。故沒特別說明，本文主要從立法管轄角度探討數(shù)據(jù)跨境流動的主權(quán)規(guī)制。

二 數(shù)據(jù)出境主權(quán)規(guī)制的典型路徑：以歐美為例

(一)歐盟的規(guī)制路徑：以地理區(qū)域為基準

1.歐盟對數(shù)據(jù)出境的規(guī)制立法。歐盟是全球數(shù)據(jù)出境規(guī)制的發(fā)祥地。早在1970年，德國黑森聯(lián)邦州就制定了全球首部個人數(shù)據(jù)保護法——《黑森州數(shù)據(jù)法》。隨后，瑞典、奧地利、盧森堡等其他8個成員國也都陸續(xù)效仿出臺了各自的數(shù)據(jù)法案，規(guī)定了數(shù)據(jù)出境傳輸?shù)纳陥笈c批準程序。為避免各成員數(shù)據(jù)立法管制參差不齊造成的數(shù)據(jù)流動壁壘，歐洲理事會于1981年通過了《個人數(shù)據(jù)自動化處理中的個人保護公約》(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，以下簡稱《公約》)?！豆s》確立了各成員國最低程度的數(shù)據(jù)傳輸保障義務(wù)和相互協(xié)作框架，允許成員可以對擬跨境遷移的數(shù)據(jù)保留類型等方面的限制，但不允許成員僅以保護隱私為借口而實行禁令或通過其它特別授權(quán)方式限制數(shù)據(jù)出境。(27)See European Treaty Series-No108.Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，Strasbourg，1981.1.28.遺憾的是，由于最終簽署加入《公約》的國家數(shù)量不如預(yù)期，故《公約》發(fā)揮的實際協(xié)調(diào)效果相當有限。(28)例如，截止到1995年，加入《公約》的歐共同體國家不到10個。See Cate，F(xiàn)red H.，“The EU Data Protection Directive，Information Privacy，and the Public Interest”，Maurer School of Law：Indiana University，Iowa Law Review，1995，p.432.故而，歐盟理事會于1995年發(fā)布了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護與自由流動指令》(Directive 95 /46 /EC，以下簡稱《指令》)。(29)See Directive 95 /46 /EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data．相較于《公約》，為防范個人數(shù)據(jù)流向保護水平較低國家，《指令》特別提出了對歐盟外的數(shù)據(jù)接收國課以“充分性認定”(Adequacy Decision)的標準要求，從而為成員國提供了統(tǒng)一的數(shù)據(jù)保護標準和跨境數(shù)據(jù)流動方式，展現(xiàn)出歐盟對個人隱私保護的良苦用心。(30)See Frontier Economics Ltd.The Value of Cross-border Data Flows to Europe：Risks and Opportunities，Report Prepared for Digital Europe，June 2021，pp.19-20.

不過，隨著以大數(shù)據(jù)、云計算、人工智能等新一代信息技術(shù)的出現(xiàn)及其對個人數(shù)據(jù)保護造成的沖擊，《指令》中原有的只適用數(shù)據(jù)控制者(網(wǎng)絡(luò)平臺)的一些規(guī)定越發(fā)顯得滯后。同時，為配合2015年“數(shù)字單一市場戰(zhàn)略”的施行，歐盟理事會于2016年4月14日頒布了《通用數(shù)據(jù)保護條例》(General Data Protection Rules，以下簡稱GDPR)。經(jīng)過兩年多的預(yù)備期，GDPR于2018年5月25日正式取代《指令》，并作了以下幾個方面的改進：第一，將法律位階提升至“條例”層級，明確了對所有成員國的直接法律拘束力，避免了先前《指令》因成員國自身國內(nèi)立法轉(zhuǎn)化水準和執(zhí)行尺度不同而出現(xiàn)的規(guī)制落差；第二，在數(shù)據(jù)的類型和主體權(quán)利上，加入了個人敏感數(shù)據(jù)，首次將“被遺忘權(quán)”與“可攜帶權(quán)”納入個人數(shù)據(jù)權(quán)的范疇；第三，拓展了數(shù)據(jù)主權(quán)的域外規(guī)制空間，將那些以歐盟客戶為在線服務(wù)對象，但總部卻位于歐盟境外的外國數(shù)據(jù)公司或在歐盟境內(nèi)有經(jīng)營機構(gòu)的外國數(shù)據(jù)公司納入管轄范圍；第四，將原有“充分性認定”對象從第三國擴展至國際組織；第五，允許針對成員國間的數(shù)據(jù)侵權(quán)行為建立對等制裁機制，加大事后違規(guī)的處罰力度。

2.歐盟數(shù)據(jù)出境規(guī)制立法的實質(zhì)。歐盟對數(shù)據(jù)出境的規(guī)制是立基于歐盟全境展開，實施的是一種以地理區(qū)域為基準的管轄路徑。這從GDPR的內(nèi)容可資佐證：首先，第3條第1款明確了GDPR適用于“機構(gòu)設(shè)立(establishing)在歐盟境內(nèi)的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不管該行為是否發(fā)生在歐盟境內(nèi)”。此款開宗明義確立了歐盟對其境內(nèi)數(shù)據(jù)的屬地管轄權(quán)。其次，GDPR對數(shù)據(jù)出境的規(guī)制分為歐盟境內(nèi)成員國之間、歐盟與其境外國家兩個層面，兩者要求截然不同。對于前者，歐盟采取的是無條件允許流動的立場，極力支持數(shù)據(jù)在歐盟境內(nèi)的自由流動。第1條第3款就重申成員國不得以保護個人數(shù)據(jù)權(quán)利為由，限制或禁止個人數(shù)據(jù)在歐盟境內(nèi)自由流通。對于后者，歐盟采取的則是嚴格限制流動的立場。即數(shù)據(jù)流動到歐盟境外原則上是被禁止的，除非其能滿足較高的充分保護條件。第五章的第46條和47條就分別規(guī)定了歐盟境內(nèi)的數(shù)據(jù)控制者或處理者只有符合以下兩種情形之一時才能向歐盟以外的第三國或國際組織傳輸個人數(shù)據(jù)。(31)See GDPR，Article 46-47.這兩種情形包括：(1)數(shù)據(jù)接收國或國際組織對個人數(shù)據(jù)有充足保護，且其保護水平被歐盟委員會評估和認可為與歐盟相當，或數(shù)據(jù)接收國在GDPR“充分性保護”要求的國家和地區(qū)名單之列。(2)數(shù)據(jù)控制者或處理者對擬出境的數(shù)據(jù)已提供了適當?shù)谋Ｕ洗胧０閿?shù)據(jù)主體提供可執(zhí)行的權(quán)利與有效的法律救濟措施，在合同中采用了歐盟委員會或數(shù)據(jù)監(jiān)管機構(gòu)制定的數(shù)據(jù)保護標準條款，要求數(shù)據(jù)傳輸方和接收方應(yīng)是進行聯(lián)合經(jīng)濟活動的企業(yè)集團成員或一組相關(guān)的企業(yè)成員(包括他們的員工)，且他們都已按照一致性機制制定了一套有約束力的企業(yè)規(guī)則等；此外，第49條又做了進一步補充，規(guī)定了上述兩種情形之外的其它可以向外傳輸數(shù)據(jù)的特殊情形：包括數(shù)據(jù)主體獲悉風險后仍明確同意、數(shù)據(jù)主體請求執(zhí)行合同或行使抗辯要求、為維護公共利益或保護數(shù)據(jù)主體切身利益所必需、或傳輸?shù)氖悄切ｉT給具有正當利益的人提供咨詢的登記冊中的數(shù)據(jù)。(32)See GDPR，Article 49.可見，歐盟對其數(shù)據(jù)流動的立法規(guī)制無疑是以是否超越歐盟區(qū)域為分水嶺而建構(gòu)的，立場內(nèi)松外嚴，具有鮮明的地理區(qū)域特色。

除了基于地理區(qū)域的屬地管轄，歐盟在數(shù)據(jù)出境規(guī)制上還帶有屬人管轄成分。這從GDPR第3條第1款后半部分的“不管該行為是否發(fā)生在歐盟境內(nèi)”的表述可見一斑。這意味著只要是歐盟境內(nèi)注冊的數(shù)據(jù)企業(yè)，不管他們身居歐盟境外何處，其處理個人數(shù)據(jù)的行為都要接受GDPR調(diào)整。顯然，這是一種屬人管轄。進一步地，該條第2款要求歐盟境外數(shù)據(jù)控制者或處理者凡以“向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)或監(jiān)控他們的活動”為目的而處理個人數(shù)據(jù)也應(yīng)受GDPR的管轄。(33)See Shakila Bu-Pasha.Cross-border issues under EU data protection law with regards to personal data protection，Information &Communications Technology Law，2017 Vol.26，No.3，pp.213-228.這就是著名的“靶向準則”(targeting criterion)。在此準則中，境外數(shù)據(jù)控制者或處理者雖既非歐盟企業(yè)，也非處理歐盟境內(nèi)的數(shù)據(jù)，但只要他們處理數(shù)據(jù)的行為構(gòu)成向歐盟境內(nèi)數(shù)據(jù)主體提供商品或服務(wù)所必需的環(huán)節(jié)(正面效果)或者對發(fā)生在歐盟境內(nèi)數(shù)據(jù)主體的日常行為進行監(jiān)控(負面效果)，都應(yīng)接受GDPR的管轄。無疑，此處立法確立的管轄既非基于傳統(tǒng)的屬地原則的管轄，也非屬人原則管轄，而系前文言及的基于效果原則(effects doctrine)的一種效果管轄。(34)此種管轄不同于國際法上的“保護性管轄”?！氨Ｗo性管轄”是指國家以保護本國重大利益為基礎(chǔ)對外國人在外國犯罪行使管轄。而GDPR這里所要防范的危害效果顯然還沒有上升到犯罪層面，筆者把這種具有保護性管轄意味但程度上又較之不及的管轄原則稱為效果管轄。有關(guān)效果管轄內(nèi)容，Wolff Heintschel von Heinegg，Territorial Sovereignty and Neutrality in Cyberspace，89 International Law Studies 123，p.133，2013.

綜上，歐盟這種以地理區(qū)域為基準的主權(quán)規(guī)制路徑本質(zhì)上是一種以屬地管轄為主兼具屬人管轄與效果管轄在內(nèi)的綜合性立法安排。一方面以保護本歐盟境內(nèi)的個人數(shù)據(jù)權(quán)利為歸依，通過屬地管轄為出境數(shù)據(jù)設(shè)定了最低保護標準，強調(diào)境外數(shù)據(jù)接收方唯有提供與歐盟相當?shù)臄?shù)據(jù)保護水平或符合其他特定情形條件時才允許數(shù)據(jù)出境，另一方面又通過屬人和效果管轄的輔助實現(xiàn)歐盟域外數(shù)據(jù)保護的有限擴張，整體立場偏向嚴格和保守。

(二)美國的規(guī)制路徑：以數(shù)據(jù)組織機構(gòu)為基準

1.美國對數(shù)據(jù)出境的規(guī)制立法。美國對數(shù)據(jù)出境的規(guī)制總體持寬松自由的立場。其在聯(lián)邦層面沒有像歐盟那樣制定一部類似GDPR的綜合個人信息保護法，而是對不同行業(yè)的數(shù)據(jù)采取“個案式”的分散立法管制。比如，在金融領(lǐng)域，針對金融服務(wù)數(shù)據(jù)與隱私的保護，美國1978年和1999年分別制定的《金融隱私權(quán)法》與《金融服務(wù)現(xiàn)代化法》就先后確立了金融機構(gòu)對公民金融隱私的尊重和保護義務(wù)，嚴禁在未通知客戶并未經(jīng)其同意的情形下隨意向境內(nèi)外第三方披露交易數(shù)據(jù)。又如，在通訊領(lǐng)域，1979年的《出口管制條例》則將人工智能、信息安全、導(dǎo)航定位等關(guān)鍵技術(shù)數(shù)據(jù)(含軟件)列入出口管制的對象。2018年的《出口管制改革法案》又進一步對“新興和基礎(chǔ)技術(shù)(emerging and foundational technologies)”作了定義，強化和擴大了對高技術(shù)領(lǐng)域數(shù)據(jù)的出口管制。再如，在外資并購領(lǐng)域，2018年的《外國投資風險評估現(xiàn)代化法》要求美國外資審查委員會(CFIUS)將關(guān)鍵基礎(chǔ)設(shè)施的信息、關(guān)鍵技術(shù)數(shù)據(jù)及個人敏感數(shù)據(jù)的跨境流動納入國家的安全審查。然而，值得一提的是，為解決2017年“美國政府訴微軟公司案”中爭議不休的聯(lián)邦政府調(diào)取域外數(shù)據(jù)的合法性問題，(35)2013年12月，美國聯(lián)邦政府為偵查一起販毒案件向紐約南區(qū)法院申請搜查微軟公司和扣押其辦公場所的特定電子郵件賬戶信息。南區(qū)法院應(yīng)允簽發(fā)了搜查令。微軟以該電子郵件信息存于愛爾蘭都柏林的服務(wù)器不在美國境內(nèi)為由拒絕，并于2014年3月上訴聯(lián)邦第二巡回法院，主張南區(qū)法院簽發(fā)搜查令違背了1986年的《存儲通信法》。第二巡回法院支持了微軟的訴求，認為國會無意將《存儲通信法》的搜查令條款適用于美國境外，搜查令不能在美國之外執(zhí)行。美國政府于2017年6月就此案向美國最高法院提起了上訴。而后，最高法院在審理期間，國會通過了CLOUD 法案。微軟同意美國政府的立場，最終予以撤案。美國國會于2018年3月24日出臺了著名的《澄清境外數(shù)據(jù)合法使用法案》(Clarifying Lawful Overseas Use of Data Act，以下簡稱CLOUD 法案)，對1986年生效的《存儲通信法》(Stored Communication Act，以下簡稱SCA法)作了顛覆性修正，授權(quán)美國執(zhí)法機構(gòu)有權(quán)訪問和徑直調(diào)取其境內(nèi)互聯(lián)網(wǎng)服務(wù)提供商存儲于境外任何地方的電子數(shù)據(jù)。(36)See CLOUD Act§103(a).這一部分編纂在18 USC§2713中，以下類同。2019年11月，美國又在CLOUD法案基礎(chǔ)上公布了《國家安全與個人數(shù)據(jù)保護法》(National Security and Personal Data Protection Act)，授權(quán)美國執(zhí)法機構(gòu)為維護所謂的“國家安全”，在必要情況下可通過實施數(shù)據(jù)安全措施或加強外資審查等方式阻止美國境內(nèi)數(shù)據(jù)跨境傳輸?shù)街袊?、俄羅斯等特別關(guān)注國家。(37)See National Security and Personal Data Protection Act of 2019，F(xiàn)eb，2，2022，https：//trackbill.com/bill/us-congress-denate-bill-2889-national-security-and-personal-data-protection-act-of-2019/17775410/.

除了對內(nèi)的分散立法，美國對外還竭力發(fā)揮自身的主導(dǎo)作用，通過各種雙邊、多邊的談判與合作推動符合其利益訴求的國際數(shù)據(jù)跨境規(guī)則落地。這類國際規(guī)則主要有三：一是以《隱私盾協(xié)議》《美韓自由貿(mào)易協(xié)定》《美日數(shù)字貿(mào)易協(xié)定》等為代表的雙邊協(xié)定；二是以《美墨加協(xié)定》為代表的區(qū)域多邊協(xié)定；三是以O(shè)ECD的《關(guān)于隱私保護和個人數(shù)據(jù)跨境流動指南》(Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data)及APEC《隱私框架》(Privacy Framework)為代表的軟法性文件。衡諸這些規(guī)則，其中關(guān)涉數(shù)據(jù)出境規(guī)制的條款內(nèi)容大同小異：首先在概念界定上，基本達成“個人數(shù)據(jù)”為“任何已識別或可識別的自然人的信息”的共識；其次在立場上，倡導(dǎo)數(shù)據(jù)流動自由，要求締約方發(fā)揮“行業(yè)自律”作用，避免對數(shù)據(jù)出境形成不必要的干預(yù)或阻礙；再次在措施上，要求締約方促其企業(yè)接受基于APEC《隱私框架》之上的《跨境隱私規(guī)則》(Cross-Border Privacy Rules，以下簡稱CBPRs)的認證，推進各方在數(shù)據(jù)保護措施上的互通性。正是通過這些國際規(guī)則的確認和施行，美國實現(xiàn)了其數(shù)據(jù)主權(quán)規(guī)制理念在全球的推廣和滲透，提升了自身在全球數(shù)據(jù)市場的話語權(quán)和控制力。

2.美國數(shù)據(jù)出境規(guī)制立法的實質(zhì)。與歐盟立基于地理區(qū)域的管轄路徑不同，美國對數(shù)據(jù)出境的規(guī)制始終落在一線的數(shù)據(jù)控制組織或機構(gòu)身上。從CLOUD法案第103(a)條要求美國人“應(yīng)遵守本章關(guān)于保存、備份、披露電子通信內(nèi)容、記錄及其他與消費者相關(guān)的數(shù)據(jù)或它們所擁有、監(jiān)控消費者的任何數(shù)據(jù)之規(guī)定。不管這些數(shù)據(jù)存儲于美國境內(nèi)還是境外”的規(guī)定可見，即便數(shù)據(jù)的存儲地不在美國本土，但只要數(shù)據(jù)的控制者具有“美國人”的身份，那么其依照美國SCA法所保存的任何信息所有權(quán)之管轄都應(yīng)歸屬于美國。由于這里定義的“美國人”(United States person)不僅指美國公民(國民)及在美國境內(nèi)注冊的美國企業(yè)，也包括那些在美國永久居住的外國公民和在美國境外注冊但總部在美國或受美國本土企業(yè)控制的外國居民企業(yè)。(38)See CLOUD Act§105(a)(2).這就意味著CLOUD法案確立的數(shù)據(jù)管轄已非純粹的屬人管轄。其已從主張具有“美國人”身份的數(shù)據(jù)控制者的屬人管轄進化到對具有“美國人”身份的數(shù)據(jù)控制者所持數(shù)據(jù)的所有權(quán)管轄，從而實現(xiàn)對具有“美國人”身份數(shù)據(jù)控制者所在國數(shù)據(jù)的占有和攫取，確立了所謂的數(shù)據(jù)長臂管轄規(guī)則。由于美國事實上擁有全球最主要的頭部數(shù)據(jù)控制企業(yè)和遍布世界的云服務(wù)網(wǎng)絡(luò)，故美國的這種長臂管轄觸角幾乎可以延伸到全球各地，對他國尤其是數(shù)據(jù)存儲國的數(shù)據(jù)主權(quán)安全構(gòu)成極大的挑戰(zhàn)?？梢哉f，在CLOUD法案項下，只要美國單方面認為他國數(shù)據(jù)處理行為對其安全利益構(gòu)成潛在的威脅，那么其執(zhí)法機構(gòu)就可以無需他國同意徑直通過作為中間管道的美國數(shù)據(jù)控制企業(yè)調(diào)取域外數(shù)據(jù)。由此可見，美國這種以組織機構(gòu)為基準的規(guī)制路徑早已突破了屬人的管轄安排，帶有一種強烈的基于“美國人”效果管轄色彩，使得CLOUD法案在域外的適用上已不像歐盟靶向準則那樣僅限于對歐盟境內(nèi)數(shù)據(jù)主體提供商品服務(wù)或構(gòu)成損害影響的國家，范圍無疑要比GDPR寬泛得多。

綜上，美國這種以組織機構(gòu)為基準的主權(quán)規(guī)制是一種以屬人管轄為主兼具屬地管轄與效果管轄在內(nèi)的綜合性立法安排。其表面上推崇數(shù)據(jù)自由，反對干預(yù)數(shù)據(jù)跨境流動，但實質(zhì)是以謀求美國數(shù)字利益優(yōu)先，即一方面嚴格限制美國境內(nèi)的核心和敏感數(shù)據(jù)流入他國，另一方面又要求與美國有居民連結(jié)點的境外個人和企業(yè)要隨時應(yīng)美國政府之需提供所擁有的一切數(shù)據(jù)，規(guī)制立場趨于自由和激進。加之近年來，美國將數(shù)據(jù)跨境政策與貿(mào)易政策深度捆綁，頻繁借道各類自由貿(mào)易協(xié)定(FTA)的談判將自有很多規(guī)則植入其中的數(shù)字貿(mào)易條款，使之化身為硬法規(guī)范，迫使其他締約方接受遵循，從而實現(xiàn)其數(shù)據(jù)主權(quán)規(guī)制理念在全球的滲透和推廣。無疑，美國這種強調(diào)數(shù)據(jù)自由出境的規(guī)制理念昭然若揭，有很大程度的虛偽性，與其長期奉行的“霸權(quán)”和“強權(quán)”的政治傳統(tǒng)一脈相傳。

三 我國的適用路徑：探索安全與自由相平衡的規(guī)制模式

歐美對數(shù)據(jù)出境的規(guī)制路徑迥異。美國作為全球頭號的數(shù)字經(jīng)濟大國，基于其跨國科技企業(yè)獲取和控制數(shù)據(jù)的領(lǐng)先優(yōu)勢，必然要求最大范圍地實現(xiàn)數(shù)據(jù)的共享；與美國相比，歐盟更多是數(shù)據(jù)提供地而非控制地，數(shù)字經(jīng)濟競爭力較為不足，故而采用了防御性的數(shù)據(jù)管轄安排，筑起“制度高墻”，只允許與其同等隱私保護水平的國家進行數(shù)據(jù)互通。不過，兩者都不約而同地通過效果原則來管轄境外的數(shù)據(jù)處理活動，重視通過數(shù)據(jù)立法的域外適用擴大自身的影響。如歐盟通過GDPR 影響他國的立法，形成所謂的“布魯塞爾效應(yīng)”。而美國則通過CLOUD法案及各類 FTA推廣其政策，開辟新的雙邊或多邊規(guī)則，構(gòu)筑所謂的“數(shù)據(jù)同盟體系”(39)典型的如美國主導(dǎo)的包括英國、澳大利亞、新西蘭和加拿大在內(nèi)的“五眼聯(lián)盟”數(shù)據(jù)情報共享體系。。我國目前也在主權(quán)語境下形成了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》三足鼎立的數(shù)據(jù)規(guī)制體系，但數(shù)據(jù)出境規(guī)則的國際化程度和可操作性都遠未及歐美。(40)劉天驕：《數(shù)據(jù)主權(quán)與長臂管轄的理論分野與實踐沖突》，《環(huán)球法律評論》2020年第2期，第191頁。因此，基于前文對數(shù)據(jù)主權(quán)包含對內(nèi)數(shù)據(jù)管轄權(quán)和對外的數(shù)據(jù)合作治理權(quán)兩個部分的界定，筆者主張我國對數(shù)據(jù)出境的主權(quán)規(guī)制理應(yīng)遵循國內(nèi)法與國際法內(nèi)外雙重聯(lián)動的進路：一方面要苦練內(nèi)功，完善國內(nèi)立法，增強對自身數(shù)據(jù)的保護與治理能力，優(yōu)化對內(nèi)數(shù)據(jù)管轄權(quán)的行使；另一方面應(yīng)審時度勢，積極參與全球雙多邊數(shù)據(jù)規(guī)則的談判和制定，更好地彰顯對外的數(shù)據(jù)合作治理權(quán)。這種內(nèi)外聯(lián)動的規(guī)制進路具體包括：

(一)完善與數(shù)據(jù)出境相關(guān)的規(guī)制條款，優(yōu)化數(shù)據(jù)主權(quán)對內(nèi)的行使

1.確立數(shù)據(jù)出境規(guī)制的基本原則，優(yōu)化數(shù)據(jù)主權(quán)的對內(nèi)管轄。不同歷史背景下的主權(quán)會有不同的內(nèi)涵。數(shù)據(jù)主權(quán)正是傳統(tǒng)國家主權(quán)順應(yīng)當下數(shù)字經(jīng)濟社會蓬勃發(fā)展的產(chǎn)物。一方面，同傳統(tǒng)國家主權(quán)一樣，很多國家通過立法確立和運用數(shù)據(jù)主權(quán)以對數(shù)據(jù)流動、網(wǎng)絡(luò)信息、隱私保護等領(lǐng)域進行管轄，以此維護本國數(shù)據(jù)安全和保護數(shù)據(jù)權(quán)利，并在一定程度上對抗來自發(fā)達國家的數(shù)據(jù)霸權(quán)。另一方面，與傳統(tǒng)領(lǐng)土不同，數(shù)據(jù)的要素和戰(zhàn)略資源價值只有通過流動才能得以彰顯，更何況鼓勵數(shù)據(jù)跨境流動，實施大數(shù)據(jù)戰(zhàn)略是很多新興國家尤其像我國這種數(shù)據(jù)大國和貿(mào)易大國的發(fā)展需求使然。故而如果我們過分強調(diào)本國數(shù)據(jù)主權(quán)對數(shù)據(jù)流動的絕對管轄權(quán)(如數(shù)據(jù)本地化措施)，則由此可能會形成國家獨占數(shù)據(jù)，嚴重限制或弱化數(shù)據(jù)出境帶來的經(jīng)濟發(fā)展和全球治理效益。有學(xué)者就此指出，數(shù)據(jù)主權(quán)如果依照傳統(tǒng)的國家主權(quán)觀念行使，那就無法平衡數(shù)據(jù)自由與數(shù)據(jù)保護兩大核心要素的沖突，故而需要在尋求二者平衡的基礎(chǔ)上構(gòu)建適應(yīng)全球化的數(shù)據(jù)主權(quán)規(guī)則。(41)卜學(xué)民、馬其家：《論數(shù)據(jù)主權(quán)的謙抑性：法理、現(xiàn)實與規(guī)則構(gòu)造》，《情報雜志》2021年第8期，第63頁。筆者也認為，數(shù)據(jù)似水，流動雖為其天性，但“水能載舟，亦能覆舟”，同樣離不開安全的保障。沒有安全，數(shù)據(jù)出境要么無從談起，要么泛濫成災(zāi)。概言之，數(shù)據(jù)出境流動所需的安全與自由是一體兩面。解決其中的矛盾不是非此即彼，而應(yīng)結(jié)合個案場景施以有效的平衡。就此而言，我國所需要的是一種相對而非絕對，雙向而非單向的數(shù)據(jù)主權(quán)。這種數(shù)據(jù)主權(quán)應(yīng)是一種維護本國數(shù)據(jù)安全和支持本國數(shù)據(jù)自由流動的有機耦合體。相應(yīng)地，我們對之的行使不但不能再像傳統(tǒng)國家領(lǐng)土主權(quán)那樣僅僅強調(diào)通過管轄實現(xiàn)數(shù)據(jù)出境安全的一面，還應(yīng)考慮到如何順應(yīng)本國數(shù)據(jù)產(chǎn)業(yè)國際化之需，即通過發(fā)揮立法的保駕護航功能推動數(shù)據(jù)出境的自由。具體到數(shù)據(jù)出境的主權(quán)規(guī)制上，筆者力主我國應(yīng)將《數(shù)據(jù)安全法》第11條的“促進數(shù)據(jù)跨境安全、自由流動”明確列為規(guī)制的基本原則，使我國在國家、企業(yè)及個人數(shù)據(jù)安全等核心領(lǐng)域繼續(xù)保留必要管轄范圍的同時，又能很好地貫徹數(shù)據(jù)出境總體自由的大方向，達致維護數(shù)據(jù)安全與促進數(shù)據(jù)產(chǎn)業(yè)發(fā)展之兼得。(42)需要指出的，有學(xué)者從數(shù)據(jù)自由流動的性質(zhì)出發(fā)推導(dǎo)出我國數(shù)據(jù)跨境規(guī)制應(yīng)“以自由流動為基礎(chǔ)，安全流動為限制”似有不妥，明顯曲解了第11條的本義。因為此處的“促進數(shù)據(jù)跨境安全、自由流動”要求并沒有對“安全”與“自由”的主次關(guān)系做出排序。相反地，若單從立法將“安全”前置的表述來看，立法者似乎更強調(diào)數(shù)據(jù)的安全流動先于自由流動。相關(guān)內(nèi)容許可：《自由與安全：數(shù)據(jù)跨境流動的中國方案》，《環(huán)球法律評論》2021年第1期，第28—29頁。

2.落實數(shù)據(jù)分類分級管理制度，細化數(shù)據(jù)出境規(guī)定。運用數(shù)據(jù)主權(quán)保障數(shù)據(jù)跨境安全與自由的流動不能僅僅停留在立法原則層面，尚需有具體的細則以對擬出境的數(shù)據(jù)類型及潛在風險作一評估，并以此對兩者進行排序，確立具有一定梯度的可操作的規(guī)制標準。我國現(xiàn)行的數(shù)據(jù)主權(quán)立法規(guī)制恰恰缺乏類似的操作細則。比如，雖然《數(shù)據(jù)安全法》第21條提出了建立數(shù)據(jù)分類分級保護制度的要求，并特別強調(diào)加強對重要數(shù)據(jù)的保護和對國家核心數(shù)據(jù)實行更嚴格的管理制度，(43)《網(wǎng)絡(luò)安全法》第21條與《數(shù)據(jù)安全法》第21條。但迄今未見國家層面的立法，反倒浙江、重慶等地及證監(jiān)會、工信部、人民銀行等部委提前出臺了所轄地區(qū)及行業(yè)的數(shù)據(jù)分類分級指南。(44)比如，浙江省2021年7月發(fā)布了《數(shù)字化改革公共數(shù)據(jù)分類分級指南》、重慶市2021年10月發(fā)布了《公共數(shù)據(jù)分類分級指南(試行)》、工信部2020年2月發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南(試行)》，證監(jiān)會和人民銀行則分別于2018年9月和2020年10月發(fā)布了《證券期貨業(yè)數(shù)據(jù)分類分級指引》和《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》。這種各自為政的規(guī)制立法勢必造成標準不一，極易引發(fā)國內(nèi)數(shù)據(jù)市場的割裂和數(shù)據(jù)跨省跨部門的套利出境。是故，我國理應(yīng)盡快落實第21條的要求，出臺全國性的數(shù)據(jù)分類分級保護條例，厘定數(shù)據(jù)類別(如國家核心數(shù)據(jù)、重要數(shù)據(jù)、公共數(shù)據(jù)、法人數(shù)據(jù)及個人信息)與數(shù)據(jù)級別(如核心級、重要級、敏感級、內(nèi)部級、公開級)的基準與方法，以為各地區(qū)、各部門及相關(guān)行業(yè)制定重要數(shù)據(jù)目錄提供統(tǒng)一的上位法依據(jù)。除了第21條，《數(shù)據(jù)安全法》中還有涉及數(shù)據(jù)安全出境的其他限制條款，如22條的風險預(yù)警機制、23條的應(yīng)急處置機制、24條的安全審查機制及第25條的特殊物項數(shù)據(jù)出口管制等。它們在內(nèi)容上也同樣過于簡單與粗糙，亟需配套措施加以細化。需要注意的是，由于越來越多的FTA都對數(shù)據(jù)跨境流動規(guī)制設(shè)置了包括一般例外、安全例外及特定例外在內(nèi)的三種例外條款，(45)有關(guān)FTA對數(shù)據(jù)跨境流動規(guī)制的三種例外條款內(nèi)容，詳見馬光：《FTA數(shù)據(jù)跨境流動規(guī)制的三種例外的選擇適用》，《政法論壇》2021年第5期，第14—23頁。今后在出臺這些細則時也應(yīng)注意與我國已締結(jié)(如RCEP)或擬締結(jié)的FTA(如CPTPP、 DEPA)中的例外條款相對接，及時調(diào)整國內(nèi)現(xiàn)行的數(shù)據(jù)出境規(guī)制機制的不足，避免因出現(xiàn)“兩張皮”而在執(zhí)法措施實施的必要性和非歧視性上招致其他締約方的指控。(46)RCEP即《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》，其于2022年1月1日正式生效。我國已于2020年11月15日簽署加入；CPTPP即《全面與進步的跨太平洋伙伴關(guān)系協(xié)定》，其于2018年12月30日生效。2021 年 9 月 16 日，我國提交了正式申請加入CPTPP 的書面信函；DEPA即《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》，其于2020年6月12日生效。2021年10月30日，習(xí)近平主席在出席G20羅馬峰會時，宣布中國決定申請加入DEPA。

3.區(qū)分數(shù)據(jù)本地化適用場景，創(chuàng)設(shè)多元化的數(shù)據(jù)出境條件。數(shù)據(jù)本地化是當今很多國家行使數(shù)據(jù)主權(quán)以維護本國數(shù)據(jù)安全的必要手段。我國立法也對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者課以了數(shù)據(jù)(信息)本地化的義務(wù)。(47)《網(wǎng)絡(luò)安全法》第37條、《數(shù)據(jù)安全法》第31條與《個人信息保護法》第40條。不過，數(shù)據(jù)本地化會對數(shù)據(jù)出境構(gòu)成障礙，若過于嚴苛很容易招致他國的對等報復(fù)。這對我國那些正在大量進軍海外市場的互聯(lián)網(wǎng)企業(yè)和電商企業(yè)而言也是一把雙刃劍。因此我國立法尚需對數(shù)據(jù)本地化適用場景作一區(qū)分，對本地化措施的形態(tài)及要求進行細化和分級，避免一刀切采用嚴格的出境限制，徹底滌除中國是數(shù)據(jù)本地化最嚴苛國家的誤解。此外，《個人信息保護法》第38條雖借鑒了GDPR，提供了包括申請評估、請求認證及訂立合同三種可供個人信息處理者(平臺或企業(yè))選擇的信息出境條件，(48)《個人信息保護法》第38條規(guī)定，個人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個人信息的，應(yīng)當具備下列條件之一：(1)依照本法第40條的規(guī)定通過國家網(wǎng)信部門組織的安全評估；(2)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；(3)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)；(4)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。但從合規(guī)成本角度考慮，除非個人信息處理者本身又是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者而無從選擇，否則大家必然會傾向選擇后兩種。(49)個中的原因有二：一是如果個人信息處理者為關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，那么依《網(wǎng)絡(luò)安全法》第37條，其只能選擇通過安全評估；二是依《數(shù)據(jù)出境安全評估辦法(征求意見稿)》第11條，個人信息通過申請安全評估出境需要等待45個工作日。這種時間成本對絕大多數(shù)的網(wǎng)絡(luò)平臺企業(yè)而言顯然過于高昂。然遺憾的是，至今我國網(wǎng)信部門并沒有公布有認證資格的專業(yè)機構(gòu)名單和標準化的合同樣本可供企業(yè)選擇。再者，《個人信息保護法》在第40條第2款特別強調(diào) “法律、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的，從其規(guī)定”，然究竟哪些個人信息無需評估就可自由出境？尚無具體規(guī)定的出臺。很多互聯(lián)網(wǎng)平臺企業(yè)無不對之翹首以盼。建議后續(xù)的立法機關(guān)或監(jiān)管層應(yīng)盡快順應(yīng)“民聲”，對此予以完善釋明，避免給業(yè)界以“口惠而實不至”之嫌。

4.優(yōu)化數(shù)據(jù)立法的域外管轄條款，消弭今后適用上的不確定性。數(shù)據(jù)的跨境流動具有依托于但又不局限于一國領(lǐng)土的特質(zhì)。對數(shù)據(jù)輸出國而言，境外完成的在線數(shù)據(jù)處理行為對其產(chǎn)生影響不足為怪，故僅憑數(shù)據(jù)跨境前的屬地管轄并不周延。為此，我國的《數(shù)據(jù)安全法》和《個人信息保護法》也效仿英美引入了效果管轄，創(chuàng)設(shè)了域外適用條款。(50)《數(shù)據(jù)安全法》第2條，《個人信息保護法》第3條。如《個人信息保護法》第3條第2款幾乎同GDPR一樣規(guī)定了“靶向準則”，將那些以向我國境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的，或分析、評估我國境內(nèi)自然人行為的境外信息處理活動納入管轄范疇。由于此處的“分析、評估”在含義上要比GDPR的“監(jiān)控”( monitoring)一詞寬泛得多，很容易讓境外機構(gòu)產(chǎn)生一切針對我國境內(nèi)自然人行為的信息處理活動都要遵循《個人信息保護法》的擔憂。事實上，“分析與評估”我國境內(nèi)自然人行為很大部分可能還停留在研究階段，對我國負面影響遠不如“監(jiān)控”行為那么明顯。倘不加區(qū)分，動輒就將之納入調(diào)整范疇，似有泛化之嫌，很容易與他國固有的數(shù)據(jù)屬地管轄權(quán)及司法權(quán)形成沖突而招致非議。事實上，我國的《數(shù)據(jù)安全法》所確立的域外管轄也只限于國家安全、公共利益或者公民、組織合法權(quán)益受到境外數(shù)據(jù)處理活動損害的情形。(51)《數(shù)據(jù)安全法》第2條第2款。為此，筆者建議后續(xù)應(yīng)對《個人信息保護法》域外管轄情形予以優(yōu)化，使之能與《數(shù)據(jù)安全法》相彌合并以必要的方式行使。(52)以筆者見之，這里的“必要性”是指我國對境外信息(數(shù)據(jù))處理活動主張域外管轄，除了其與我國有實質(zhì)聯(lián)結(jié)因素之外，還應(yīng)對我國產(chǎn)生顯著的負面影響，比如對國內(nèi)信息主體造成損害或損害之威脅等。進言之，我國通過立法行使數(shù)據(jù)主權(quán)以確立數(shù)據(jù)的域外管轄權(quán)，固然可“以子之矛，攻子之盾”，有效地應(yīng)對美國的數(shù)據(jù)霸權(quán)主義，但從長遠來看，我國還是要兼顧他國合理的關(guān)切，對其中“分析及評估”這一立法用語予以明確和適當限縮，凸顯其對我國帶來的損害或損害之威脅的負面效應(yīng)，從而為境外信息處理者在線處理我國個人信息時提供可預(yù)見性的判斷標準，避免今后該條款因適用過于寬泛而遭到他國的阻斷。

(二)加強數(shù)據(jù)主權(quán)整體對外的行使與合作，推動國際數(shù)據(jù)共治規(guī)則的達成

網(wǎng)絡(luò)的開放性與數(shù)據(jù)主權(quán)的邊界性的沖突必然決定了各國在對外行使數(shù)據(jù)主權(quán)上需要相互的合作與協(xié)調(diào)。特別地，數(shù)據(jù)出境為網(wǎng)絡(luò)安全與國際經(jīng)貿(mào)交叉融合的新領(lǐng)域，是一個兼具內(nèi)政與外交，個人與國家，企業(yè)與國家，國家與國家關(guān)系的綜合性問題。(53)桂暢旎：《2019國際網(wǎng)絡(luò)空間發(fā)展與治理態(tài)勢》，《中國信息安全》2020年第1期，第74頁。對其的規(guī)制已然構(gòu)成全球網(wǎng)絡(luò)空間治理的重點，僅靠個別國家更是難以奏效，亟需全球合作共治。2019年10月20日，習(xí)近平主席在給第六屆世界互聯(lián)網(wǎng)大會的賀信中指出：發(fā)展好、運用好、治理好互聯(lián)網(wǎng)，讓互聯(lián)網(wǎng)更好造福人類，是國際社會的共同責任。各國應(yīng)順應(yīng)時代潮流，勇?lián)l(fā)展責任，共迎風險挑戰(zhàn)，共同推進網(wǎng)絡(luò)空間全球治理，努力推動構(gòu)建網(wǎng)絡(luò)空間命運共同體。(54)《習(xí)近平向第六屆世界互聯(lián)網(wǎng)大會致賀信》，《人民日報》2019年10月21日，第1版。這里的“網(wǎng)絡(luò)空間命運共同體”貫徹了主權(quán)平等與合作原則，是對“全球公域”的揚棄和發(fā)展。它通過賦予了每一個國家以平等身份共同治理國際網(wǎng)絡(luò)空間的權(quán)利，為多邊、民主、透明的全球互聯(lián)網(wǎng)治理體系奠定了基礎(chǔ)。(55)張新寶、許可：《網(wǎng)絡(luò)空間主權(quán)的治理模式及其制度構(gòu)建》，《中國社會科學(xué)》2016年第8期，第142頁。因此，我國應(yīng)以之作為數(shù)據(jù)對外合作的理念，在相互尊重各國數(shù)據(jù)主權(quán)的基礎(chǔ)上，積極推動多層次的國際數(shù)據(jù)共治規(guī)則的達成，具體包括：

首先，應(yīng)積極創(chuàng)新雙邊合作思路，通過構(gòu)建靈活多樣的雙邊機制，打造數(shù)據(jù)跨境流通的“朋友圈”。毋庸諱言，各國在數(shù)據(jù)出境規(guī)制立場上素有差異，完全謀求先有共識而后才合作，難度甚大。但如果變換思路，尋求政治互信，創(chuàng)新雙邊協(xié)商機制，亦可以在“存異”下“求同”而開展合作。歐美之間曾有的《安全港協(xié)議》和《隱私盾協(xié)議》就是例證。在這兩部協(xié)議中，締約一方(美國)做出其將按照締約另一方(歐盟)數(shù)據(jù)的標準對該方(歐盟)數(shù)據(jù)主體的隱私進行同等保護的承諾，同時締約另一方(歐盟)則以允許雙方企業(yè)的數(shù)據(jù)互通作為對價，從而在無需改變各自國內(nèi)數(shù)據(jù)監(jiān)管政策的情形下實現(xiàn)雙方(美歐)企業(yè)數(shù)據(jù)出境流動的合法化。(56)《安全港協(xié)議》和《隱私盾協(xié)議》系美歐雙方分別于2000年12月和2016年7月簽署達成。雖然這兩部協(xié)議在2015年10月和2020年7月分別被歐盟法院裁定失效，但在這兩個協(xié)議累計實施的19年間，其為美歐之間的4500多家企業(yè)的數(shù)據(jù)跨境流動提供了彈性的規(guī)范機制，確保了美歐經(jīng)貿(mào)往來的正常化。這種協(xié)議模式跳出了傳統(tǒng)的解決國際規(guī)制沖突“要么統(tǒng)一，要么互相承認”的思維窠臼，展現(xiàn)了一種從求同到求和的新型合作思路。(57)國內(nèi)有學(xué)者將這種有別于建立在主權(quán)國家談判并達成共識基礎(chǔ)上的傳統(tǒng)雙邊體系的模式稱之為“公私合作體系”。具體參見陳少威、賈開：《跨境數(shù)據(jù)流動的全球治理：歷史變遷，制度困境與變革路徑》，《經(jīng)濟社會體制比較》2020年第2期，第123頁。我國目前尚無與他國有開展數(shù)據(jù)跨境雙邊合作的先例。這極大不利于我國數(shù)字貿(mào)易的可持續(xù)發(fā)展和數(shù)據(jù)企業(yè)海外業(yè)務(wù)的拓展。建議我國今后借鑒這種合作思路，加強與美歐等重要貿(mào)易伙伴的溝通，通過建立類似《隱私盾協(xié)議》的互信機制，逐一打通我國與他國的跨境數(shù)據(jù)傳輸通道，尋求數(shù)據(jù)雙邊合作的“增容擴圈”。

其次，應(yīng)主動利用現(xiàn)有的國際平臺和多邊機制，嘗試啟動制定數(shù)據(jù)跨境流動規(guī)則的多邊談判，發(fā)出自己的聲音。雖然美歐的數(shù)據(jù)跨境規(guī)則已產(chǎn)生了外溢作用，但全球統(tǒng)一的數(shù)據(jù)跨境治理協(xié)議仍然處在多極并進和多元博弈的狀態(tài)之中。作為負責任，有擔當?shù)陌l(fā)展中大國，我國在數(shù)據(jù)治理上不能僅是獨善其身，還應(yīng)兼濟天下，有義務(wù)利用自身在數(shù)字經(jīng)濟上的先行優(yōu)勢，致力于探索全球數(shù)字鴻溝的彌合：一方面，我國應(yīng)借助自身的影響力，利用當下和“一帶一路”沿線國家加強基礎(chǔ)設(shè)施“硬聯(lián)通”以及規(guī)則標準“軟聯(lián)通”建設(shè)的契機，(58)習(xí)近平主席在博鰲亞洲論壇2021年年會開幕式上的視頻主旨演講中指出，中國將同各方攜手，高質(zhì)量共建“一帶一路”，加強基礎(chǔ)設(shè)施“硬聯(lián)通”以及規(guī)則標準“軟聯(lián)通”。 習(xí)近平：《同舟共濟克時艱，命運與共創(chuàng)未來》，《經(jīng)濟日報》2021年4月21日，第2版。發(fā)動沿線國家開展雙多邊談判，設(shè)計出針對沿線國家的企業(yè)數(shù)據(jù)互通認證和標準合同工具，簡化各自數(shù)據(jù)出境的審批手續(xù)，促進各國間數(shù)字的互聯(lián)互通；另一方面，我國也可總結(jié)參與達成RCEP協(xié)議的談判經(jīng)驗，在日后商定新的或修訂已有FTA的談判中，推行自身的數(shù)據(jù)跨境治理理念，引導(dǎo)區(qū)域經(jīng)貿(mào)數(shù)據(jù)治理統(tǒng)一規(guī)則的形成。此外，盡管WTO在應(yīng)對層出不窮的數(shù)字貿(mào)易問題上已捉襟見肘，但它仍是當前討論和建構(gòu)數(shù)字貿(mào)易治理體制的重要平臺。(59)彭岳：《數(shù)字貿(mào)易治理及其規(guī)制路徑》，《比較法研究》2021年第4期，第173頁。我國也應(yīng)積極參與WTO電子商務(wù)的諸邊談判，引領(lǐng)發(fā)展中國家作為整體就數(shù)據(jù)跨境流動和數(shù)據(jù)本地化等議題與發(fā)達國家成員展開協(xié)調(diào)，通過共商共建實現(xiàn)數(shù)字貿(mào)易的良善治理。

最后，應(yīng)繼續(xù)推進全球數(shù)據(jù)跨境治理軟法體系的構(gòu)建。在目前全球統(tǒng)一的多邊數(shù)據(jù)治理協(xié)議尚未形成的現(xiàn)實背景下，軟法機制無疑是凝結(jié)各國共識，增進各國互信和彌補數(shù)據(jù)跨境規(guī)制空白的重要工具。近年來，我國很重視國際軟法的作用，在2020年9月8日就發(fā)起了首份《全球數(shù)據(jù)安全倡議》，針對數(shù)據(jù)跨境流動、隱私保護、供應(yīng)鏈和基礎(chǔ)設(shè)施安全等提出了八項規(guī)范國家和企業(yè)數(shù)據(jù)處理行為的建議，并獲得國際社會的關(guān)注和重視。(60)《全球數(shù)據(jù)安全倡議》，中國政府網(wǎng)，(2020-09-08)[2021-11-25]，http：//www.xinhuanet.com/2020-09/08/c_1126466972.htm.今后，我國應(yīng)進一步發(fā)揮數(shù)據(jù)大國的擔當，一方面依托聯(lián)合國“主渠道”及G20等各種國際平臺和對話機制充分聽取各方意見，修改完善上述的倡議文本，推動其進入相關(guān)國際議程，形成共識成果；另一方面加強與美歐等主要數(shù)據(jù)經(jīng)濟體的對話，在尋求各國數(shù)據(jù)利益的最大公約數(shù)下適時申請加入CBPRs等一些較具成熟和影響力的區(qū)域性數(shù)據(jù)跨境軟法協(xié)議，以此突破我國在亞太地區(qū)和美歐的數(shù)據(jù)流動壁壘，為本國數(shù)據(jù)企業(yè)拓寬國際市場，更好地“走出去”提供新助力。

結(jié) 語

數(shù)字經(jīng)濟時代下的數(shù)據(jù)出境流動帶來的經(jīng)濟效益及各種安全風險的雙刃劍效應(yīng)拷問著各國數(shù)據(jù)主權(quán)的治理能力。如何在發(fā)展與規(guī)范之間尋求有效平衡，成為擺在各國面前亟需解決的時代課題。歐美基于各自的法律文化傳統(tǒng)與數(shù)字經(jīng)濟基礎(chǔ)形成了“以地理區(qū)域為基準”和“以組織機構(gòu)為基準”兩種不同的數(shù)據(jù)跨境規(guī)制模式，并日益向全球推廣，形成各自單邊主導(dǎo)的反映自身利益的數(shù)據(jù)跨境流動“小圈子”。我國與數(shù)據(jù)規(guī)制相關(guān)的三法雖已出臺，但與之相比，起步較晚，且其中涉及數(shù)據(jù)出境的規(guī)制條款不同程度存在著簡單粗糙及配套細則缺失等問題，操作性普遍不強。加之在對外的數(shù)據(jù)主權(quán)國際合作上，我國無論在參與雙邊抑或多邊的談判上都較歐美顯得被動。這些問題的疊加都造成我國數(shù)據(jù)立法對外的影響力乏善可陳，明顯與我國作為全球第二數(shù)據(jù)大國的地位極不匹配。是故，為打破歐美數(shù)據(jù)規(guī)則單邊主導(dǎo)全球數(shù)據(jù)市場的跛足局面，匡扶國際規(guī)則正義，今后我國在數(shù)據(jù)出境流動上須重視內(nèi)國治理與全球治理互動融合的“整體性治理”，內(nèi)外兼修：既要以促進數(shù)據(jù)跨境安全、自由流動為準則，借鑒歐美成熟有益的經(jīng)驗，加快完善國內(nèi)數(shù)據(jù)出境流動規(guī)制體系的建設(shè)和改革；又要以網(wǎng)絡(luò)空間命運共同體理念為指導(dǎo)，積極參與和推動雙多邊數(shù)據(jù)合作規(guī)則及標準的制定，使國內(nèi)法與國際法相得益彰，形成既能維護自身數(shù)據(jù)主權(quán)利益，又能兼顧他國合理關(guān)切；既能促進數(shù)據(jù)自由流動又能為其提供安全保護的中國方案，從而向世人展示杰出的中國理念、中國智慧和中國擔當。