亚太国际法律高等研究院
杜 涛 谢雨欣 | 【经贸热点】跨境数据治理的单边范式博弈与多边路径重构
    发布时间: 2026-05-03 14:18    
杜 涛 谢雨欣 | 【经贸热点】跨境数据治理的单边范式博弈与多边路径重构

杜 涛 谢雨欣 经贸法律评论   


跨境数据治理的单边范式博弈与多边路径重构




作者简介




杜涛,华东政法大学国际法学院教授,法学博士(见左图)

谢雨欣,华东政法大学国际法学院2025级博士研究生(见右图)


引用示例

杜涛谢雨欣:《跨境数据治理的单边范式博弈与多边路径重构》,载《经贸法律评论》2026年第2期,第90-106页。


目录

一、跨境数据治理的典型范式

二、单边范式下跨境数据治理的多重困境及溯源

三、多边主义下跨境数据治理的务实路径

四、结语


引言
在数字时代,跨境数据已经从单纯的信息载体演变为驱动全球治理转型的核心战略资源,融合了经济价值、国家安全和个人权利等多重价值于一体,被誉为新时代的“石油”资源。然而,数据的流动性与无界性,正剧烈冲击二战后基于物理疆界形成的主权秩序与区隔主义治理体系,暴露了既有国际规则在应对数字技术迭代与人工智能崛起时的滞后与失灵。
为在全球范围内争夺数据资源与规则话语权,国际法主体基于不同的价值逻辑与战略诉求展开单边范式博弈:美国依托技术优势构建“数据控制者”模式,欧盟以人权保护为核心推行“权利保护”模式,俄罗斯坚持“绝对数据主权”的本地化模式,而中国则探索“安全与发展平衡”的弹性治理模式。这些范式在各自语境下虽具内在合理性,却无法在同一数据空间里兼容,由此导致法律互信消解、小多边主义阵营成型及规则竞合下的执法僵局。
为破解此困境,笔者拟沿以下路径展开:首先,解构四种典型范式的运作逻辑与内在张力;其次,剖析不同范式规则冲突引发的多重治理困境并进行溯源;最后,尝试提出兼具理论包容性与实践操作性的多边协调路径,以探索数字时代跨境数据治理的多边方案。

一、跨境数据治理的典型范式

在缺乏普遍认可的国际规则背景下,国际法主体依循自身价值观与综合国力,建立起不同的跨境数据治理体系。其中,美国、欧盟、俄罗斯和中国所形成的治理模式较为典型。分析大国数据治理的不同形态及其背后的法治逻辑,是数字时代发展必须面对的议题,深刻影响着全球数字秩序的未来走向。
(一)美国的数据控制者模式
早先美国对数据的管辖权主要依据物理存储位置来确定,这主要源于互联网发展初期数据存储与处理活动通常限于一国境内。例如在美国诉纽约银行案中,加利福尼亚州法院指出:“这些记录可以被感知……通过磁化点等记录形式物理地存在于介质上,并且可以通过计算机设备被读取、理解和使用。”在此背景下,对位于本土的数据行使管辖权,构成了美国当时法律实践的根本前提。正因如此,1986年美国国会通过的《存储通信法》(Stored Communication Act)未考虑跨境数据规制及法律域外效力等问题。
随着互联网技术的快速发展和个人计算机的普及,数据跨境流动成为常态,这使得以物理储存位置为基础制定的《存储通信法》难以应对。法律框架与现实需求间的矛盾在微软诉美国案中彻底爆发。该案中美国执法部门要求微软提供储存于爱尔兰的用户数据,微软则依照《存储通信法》以“数据储存地”作为抗辩理由,主张位于爱尔兰的数据不属于美国执法部门可直接调取的数据,应通过双边司法程序获取。案件陷入僵持,就在等待美国联邦最高法院审理时,美国国会迅速通过了《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,下称《CLOUD法》),《CLOUD法》规定只要数据控制者在美国运营或受美国管辖,即使数据存储在境外,美国执法部门也有权调取,联邦最高法院因此驳回了该案件。
《CLOUD法》的出台,标志着美国正式确立了以“数据控制者”为核心的数据管辖模式。该模式的特征体现在以下三点:第一,在管辖权确定上,主要依据属人原则,将管辖对象锚定于“数据控制者”而非数据本身的地理位置。这意味着美国凭借其市场优势,通过对微软、谷歌等掌握数据的中间服务商进行规制,便能将海量跨境数据纳入其管辖范围。同时,美国对中间服务商进行管辖的依据是“最低限度联系原则”,该原则在国际鞋业公司诉华盛顿州案中被确立下来,法院仅须确保境外企业与美国存在“充分联系”,就可以进行管辖,无论境外企业是否在管辖区域设立了实体。在后续的司法实践中,“最低限度联系原则”的适用呈现出不断拓宽的趋势。例如,服务器位于美国、利用美元交易或使用美国互联网基础设施等行为,均可能被解释为与美国司法管辖区存在“充分联系”,这让美国规制的数据范围进一步拓宽。
第二,因《CLOUD法》将美国对数据管辖的触角延伸至境外,为体现管辖的合理性及礼让原则,《CLOUD法》设立了双向跨境机制,即针对外国政府数据开放及数据控制者提交数据义务的免除制度。首先是针对“适格外国政府”的数据开放。《CLOUD法》对“适格外国政府”设置了一系列条件,其中包括:该国为2001年在布达佩斯签署的《网络犯罪公约》(Convention on Cybercrime)的缔约国,或该国国内法规定了与公约第一章、第二章相一致的内容,包括充分保障人权、遵循法治和非歧视原则等。是否能够成为“适格外国政府”至关重要,这决定了外国政府能否省略漫长的司法协助程序直接向美国企业发出调取数据的命令。但遗憾的是,包括中国在内的大多数国家并不是《网络犯罪公约》的缔约国,在其他方面也难以符合“适格外国政府”的评估标准,美国却可以通过向其国内的互联网企业施压而轻松地获得境外数据。从这个角度来说,这并不是一个对等的制度安排。
第三,在拓宽执法权限的同时,《CLOUD法》也设置了若干制约程序。面对美国执法部门发出的数据披露指令,互联网服务提供者可以提出撤销或更正的动议,具体而言,需要符合三个条件:一是服务对象并非美国人且不在美国居住;二是披露相关数据会存在违反“适格外国政府”国内法的风险;三是法院须遵循案件总体情况和司法公正来决定是否驳回搜查令。由此可见,无论是“适格外国政府”的认定标准,还是数据披露的免除,主动权都掌握在美国手中。美国在“低门槛”获取跨境数据的同时,又设置了一系列严密的防御制度,限制外国政府获得美国境内数据。
总的来说,以《CLOUD法》为核心的治理模式虽然在美国境内获得了大部分的支持,但在国际社会的反响一般,普遍认为这是美国权力在国际社会的延伸。其主要原因在于超半数的互联网巨头在美国,此种情况下美国执法部门能够通过微软、谷歌、亚马逊等企业轻而易举地获得境外数据,同时也带来侵犯他国数据主权和公民权利的风险。尽管《CLOUD法》中包括与外国政府共享数据和程序制约条款,但此举也并没有提升美国模式的国际认可度。究其本质,这些制度仍然只是技术霸权下的形式平等,能够获取美国数据的国家可能受限于技术等原因,对数据开放利用的程度远不能与美国相比,制度上的平等难以掩盖实力不对等带来的利益失衡。
(二)欧盟的权利保护模式
与美国倚重技术优势、主张“谁控制数据即管辖数据”的模式不同,欧盟的数据治理模式将重点放在了保护主体权利上,在跨境数据管辖上以权利保护为出发点,围绕《通用数据保护条例》(GDPR)第3条形成了对内和对外的双向权利保护机制。对内,欧盟通过扩大解释“存在”并引入“目标指向原则”将更多的企业纳入管辖范围。对外,欧盟凭借单一市场的谈判力迫使瞄准欧盟市场的境外互联网企业将数据治理标准与欧盟对齐,增强了欧盟数据治理标准的全球穿透力。
基于对权利的全面保护,欧盟在1995年《数据保护指令》(Data Protection Directive,下称95年指令)中就确立了相应的域外适用条款,即域外数据控制者在处理数据时若使用了欧盟境内的设备(equipment)也应当受到约束,除非该设备仅用于过境传输(transit)。2018年生效的GDPR承袭于95年指令,其第3.1条明确行使管辖的核心依据在于数据控制者是否在欧盟境内构成一定形式的“存在”,从而与欧盟建立起真实、有效的联系。GDPR没有明确给出“存在”的定义,但可以从释义中得知欧盟倾向于更加弹性的解释:“通过稳定的安排与欧盟建立有效和真实的联系……是否属于分公司或子公司,并非判断的决定因素。”具体而言,在欧盟范围内进行了稳定的人力或技术投入,即可被视为满足管辖联系要求。
与此同时,GDPR第3.2条的目标指向原则更是明确了即使数据控制者在欧盟未设立机构,但存在以下两种情形也应当受到GDPR的约束:(1)向欧盟境内的数据主体提供商品或服务,无论是否存在对价;(2)对欧盟境内的数据主体活动进行监控。以目标指向来确定管辖实质是判断数据控制者进入欧盟市场提供商品或服务的意图,以所保护的数据主体权利作为联系扩大适用范围。
欧盟还进一步扩大“数据处理行为”的范围,任何能够直接或间接识别特定自然人的信息均构成个人数据,与此相关的收集、记录、检索、存储等各类操作,无论是否通过自动化手段实施,均属于个人数据处理行为。对于境外企业而言,进入欧盟市场即意味着须直面高标准、全方位的个人数据保护要求。根据GDPR相关规定,未能满足其数据保护标准的企业最高可能面临2 000万欧元或全球年营业额4%的罚款。
对于境内数据向外流动的情况,欧盟建立了分级分类的数据跨境传输机制,旨在确保欧盟数据主体的权利即便在境外也能获得与其境内实质相当的保护水平。GDPR第45条规定的“充分性认定”是欧盟对外传输数据最高效的路径。欧盟委员会通过综合评估目标国家或地区(包括特定行业或国际组织)的数据保护法律体系、独立监管机构设置、司法救济及国际承诺等因素,整体裁定其保护水平是否与欧盟“实质相当”。一旦通过认定,数据即可向该地自由流动,无须再获取额外授权。截至目前,共有16个司法管辖区通过了欧盟的充分性认定。评估以欧盟自身为衡量标准,具有主观性和不透明性。此种认定实则是欧盟将其法规的域外适用以双边互认的方式予以合法化,是“布鲁塞尔效应”在数字领域的典型体现。
由于“充分性认定”的严苛标准让许多国家难以企及,在无法适用“充分性认定”这一“绿色通道”时,“适当保障措施”就成为企业证明跨境数据传输合法合规必须通过的证明过程。GDPR第46条列举了可供选择的数据保障措施,如标准合同条款(SCCs)、具有约束力的公司规则(BCRs),前者是指欧盟委员会通过的标准格式合同,后者则多用于跨国公司内部传输数据。但无论选择何种措施都必须确保数据主体享有可执行的权利与有效的法律救济,且保障措施能够弥补第三国法律保护水平的不足。如果说充分性认定是将目标国的法律体系纳入欧盟监管框架进行评价,要求国家或地区修改域内法律以与欧盟同频,那么“适当保障措施”就是通过境外企业作为中介,以一种柔性的方式将域内监管规则嵌入全球企业。
综上所述,欧盟在跨境数据的单边治理模式建设方面处于全球较为领先的地位,已形成以权利保护为核心、体系高度完备的治理框架与标准。从全球人权保障视角来看,欧盟标准在一定程度上推动了个人数据保护水平的提升。然而,过于严苛的标准也给众多国家及企业带来了难以承受的适应压力。特别是欧盟通过高额处罚与“充分性认定”等单边手段,持续对外推行其治理模式,这种做法不仅可能抑制跨境数据流动的效率与价值,亦可能进一步加剧全球数据治理格局的碎片化趋势。
(三)俄罗斯的严格本地化模式
由于长期与西方国家关系紧张,且数字经济并非国民经济的主要支柱,俄罗斯始终保持着严格的数据本地化政策,以维护自身数字主权。俄罗斯严格本地化模式的核心内容是强制本地化储存:2015年《俄罗斯联邦个人数据法》要求所有企业在处理俄罗斯公民个人数据时,其信息记录的“初始”与“主要”集合的物理服务器必须位于俄罗斯联邦境内,并在俄罗斯境内建立数据中心,以便政府监管。
强制本地化并不意味着禁止数据跨境流动,俄罗斯对数据采取分级分类管控。在《有关信息、信息技术、与信息保护法》中将信息分为一般可访问的信息和限制访问的信息,以及自由传播的信息、信息主体同意提供的信息、法律提供或传播的信息、在俄境内传播受到限制或禁止的信息。允许传输的数据,只需要在俄罗斯备份后向俄罗斯联邦通信监管局通报即可。通信监管局会对数据接收者进行审查,判断其是否是对个人数据提供充分保护的国家。俄罗斯设置了类似欧盟“充分性认定”式的传输“白名单”,如果是《关于个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data,下称第108号公约)的缔约国则被认为是能够提供充分保护的国家;若并非缔约国,但该国关于处理个人数据时保证数据保密性和安全性的现行法律和措施符合公约规定也可接受来自俄罗斯的数据。
近年来,随着地缘政治博弈加剧,俄罗斯在2025年新修订的《个人数据保护法》中进一步收紧了数据本地化要求,严格禁止使用位于俄罗斯境外的数据库进行数据收集、记录等操作,并大幅提高了罚款,违反本地化规定的企业最高可处500万卢布(约43万元人民币)。
俄罗斯通过加强对数据资源的控制以应对来自西方国家数据监控和封锁的威胁,短期内强化了国家控制力的同时保护了本土市场,但长远来看并不值得推崇。限制数据跨境自由流动,易使俄罗斯网络空间趋向“数据孤岛”,与国际主流技术生态脱节。这不仅可能降低外资投入意愿,也与开放互联的互联网理念背道而驰,加剧了网络空间的治理分裂。
(四)中国的安全与发展平衡模式
相比俄罗斯,中国在坚持数据本地化的基础之上,考虑贸易发展从而兼顾了跨境数据流动的需求。两国模式的差异植根于经济结构与战略定位的差异,中国与俄罗斯相比更加融入全球产业链,法治建设也就必须回应高度复杂的国际数据流动需求,因而倾向于构建具备制度弹性的规制体系。
2017年施行的《中华人民共和国网络安全法》(2025年修正,下称《网络安全法》)第1条明确指出“维护网络空间主权和国家安全”,数据作为网络空间的构成要素,数据主权也就是网络主权的组成部分,是网络环境下国家主权理论的新发展。中国的跨境数据治理模式正是以数据主权安全为核心构建起来的,在保障国家安全、保护个人信息权益的前提下,促进数据依法有序自由流动,服务于数字经济发展和对外开放合作。目前,中国已然形成了以《网络安全法》、《中华人民共和国数据安全法》(下称《数据安全法》)、《中华人民共和国个人信息保护法》(下称《个人信息保护法》)为核心的数据跨境流动法律框架,并辅以《数据出境安全评估办法》(国家互联网信息办公室令第11号)、《促进和规范数据跨境流动规定》(国家互联网信息办公室令第16号)在内的一系列规范性文件明确执法要求。
中国的跨境数据治理理念经历了一个从相对封闭到开放的过程。《网络安全法》首次明确了数据出境的原则,现行法第39条确立了以“境内储存为主,出境评估为例外”的数据流动框架,但仅限于关键信息基础设施的运营者,体现了我国早期对数据流动的保守态度和制度设计的不完善。2021年出台的《数据安全法》,在《网络安全法》的基础上,对数据出境设有更细化的规定,形成了数据分级分类保护制度,并将数据出境的监管重点放在了“重要数据”上。2021年施行的《个人信息保护法》是我国首部个人信息保护的专门法律,其中第38条明确了个人信息跨境的四条合法路径,包括:(1)通过国家网信部门组织的安全评估;(2)按照规定进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(4)法律、行政法规或者国家网信部门规定的其他条件。该规定从个人信息保护方面对标国际标准,也为企业提供了灵活的选择。除了一系列宏观立法外,包括《数据出境安全评估办法》在内的下位法又细化了数据跨境流动的规定,明确了数据跨境的具体程序、审查内容和后续义务。其中尤其值得注意的是,根据《促进和规范数据跨境流动规定》,在自贸区、数字经济试验区探索施行负面清单制度,在清单以外的数据可以较为自由地出境。
总之,我国对于数据跨境流动监管总体较为严格,特别是涉及国家安全方面,同时也为跨境数据流动设计了多层次的路径,努力在国家安全与全球化发展之间寻求平衡。但与此同时,监管手段的单一性和数字贸易环境的不足,仍是阻碍中国模式获得国际认可亟待解决的问题。

二、单边范式下跨境数据治理的多重困境及溯源

各国在治理范式上的殊别并非彼此隔绝、平行发展,而是在同一数字空间中相互碰撞与交织。这一进程中,差异较大的国家间信任逐渐流失,而理念相近者则加速抱团,形成以类似规则为基础的阵营,进而加剧实践中的规则对抗。为深入理解并应对单边治理范式带来的系统性挑战,有必要对其在博弈过程中引发的多重困境展开分析,并进一步追溯其深层成因。

(一)单边范式博弈下的多重困境
1.法律互信瓦解
经济全球化背景下,跨境数据治理的基调应当是寻求合作与共识,而当各国仅仅将自身价值关切注入规则时,数据治理领域的法律就会转变为推行本国法律理念、实施域外管辖的载体。这一转变最为明显的标志,就是各国法律互信的瓦解。除美国、欧盟、俄罗斯、中国等主要行为体的成熟体系外,众多新兴国家也在探索符合自身国情的数据治理路径(见表1)。从表1中可以看出,各国治理理念的不同不仅仅是法律体系与文化背景的差异,更反映出国际间在数字治理领域的互信基础面临挑战。以欧盟的“充分性认定”为例,看似是鼓励数据在符合条件的国家间高效流通,实质上是以自身标准对他国数据保护体系进行审查,隐含着对其他国家的极度不信任。即便是有国家获得了欧盟的充分性认定,也并不意味着能够“一劳永逸”地永久持有与欧盟自由传输数据的“通行证”。根据GDPR第45条第3款的规定,欧盟有权对域外国家的数据保护水平进行定期审查——至少每四年一次。这一安排为欧盟持续监管相关国家的数据保护状况,提供了明确且持续的法律依据。这种过度的监管已引发包括中国在内的诸多国家的警觉,多国相继通过制定数据本地化存储与出境限制等立法措施,应对外部法律的长臂管辖,形成一种带有防御性质的法律回应体系。
在这种各自为强的态势下,新加坡的监管模式因其在对接高标准与照顾发展需求之间的平衡,常被视作一种折中方案。然而,这种试图包容各方的模式,本质上是一种规则拼凑,虽具灵活性却无法弥合根本分歧。特别是在“信任下数据自由流动”(DFFT)理念的推动下,新加坡开始构建“数字经济协议”(Digital Economy Agreements)框架,这种过度灵活的机制设计虽便于接纳不同规则,却无力构建统一、有力的多边体系,反而可能固化乃至扩大发达国家与发展中国家间的数字治理能力差距。这正是印度等国家对此种折中模式持明确拒绝态度的原因。

表1  主要国家跨境数据治理模式

2.小多边主义兴起
小多边主义的核心是“有选择的合作”,一开始是为解决多边主义机制下“集体行动困境”,在双边主义与多边主义之间选择一种最优路径,主张让尽可能少的国家回到谈判桌,才能最大化地解决问题。个别国家则通过构建小多边主义机制,借合作名义形成了“双边+小多边”的盟友模式,试图推行或维持其霸权。
当今世界正在形成五大数据合作圈。以美国主导的数据合作圈为例,美国先是与日本、墨西哥、加拿大等国签署协议,积极推动数据跨境自由流动。2022年,美国进一步与加拿大、日本、韩国、菲律宾、新加坡、澳大利亚以及中国台湾地区共同发布《全球跨境隐私规则宣言》,宣布成立“全球跨境隐私规则论坛”,标志着以数据自由流动为核心理念的合作体系正式成形。然而,这种在特定圈层内部推动数据流动的做法正是小多边主义的产物,是在价值观相近、经济联系紧密的盟友之间促进数据自由流动而建立的“朋友圈”,实质上是以牺牲全球范围内的普遍性数据自由流动为代价的。
在USMCA中就明确规定有“非市场经济国家条款”:任何缔约方若决定与一个“非市场经济国家”开始自由贸易协定谈判,必须至少提前3个月将其意图通知其他缔约方。如果某一缔约方最终与一个“非市场经济国家”签署了自贸协定,那么其他缔约方有权选择终止其在USMCA项下对该缔约方的义务。美国、墨西哥、加拿大至今未正式认可中国为市场经济国家,该条款无疑阻断了与中国在内的一系列国家签订自贸协定的可能性。
当然,区域性的数字协定也并非全无可取之处。在多个数据圈中,以新加坡为主导构建的《数字经济伙伴关系协定》(DEPA)是全球首个专门针对数据经济合作的国际多边协定。该协定内容被分为16个不同的模块,成员可以整体加入,也可以就其中特定模块谈判,允许技术发展水平不同的成员渐进式承诺;在议题上也更加广泛,包括人工智能、中小企业合作、开放政府数据等。但DEPA仍有其局限性。一方面,目前为止DEPA只有4个成员,代表性严重不足。数据领域代表性国家未加入的原因很可能是DEPA的加入机制不允许新成员对协定进行实质性重新谈判。这意味着潜在加入者很大程度上只能是“规则接受者”而非“规则制定者”,可能使一些有重要影响力的经济体望而却步。同时,该协定几乎没有涉及对发展中国家至关重要的技术援助和能力建设条款,这可能阻碍数字基础较弱的国家考虑加入。另一方面,该协定中多为非强制性义务,缺乏法律拘束力和强制力,这将大大削弱许多议题在实践中的影响力。
3.执法规则的对抗
法律规定的直接冲突,必然引发实践层面的不兼容。各国基于其主权立场与价值取向所构建的独立数据治理体系,在跨境数据流动中因其固有的“排他性”而难以协调。当这些相互抵触的法律规范在同一跨国场景下同时适用时,便会导致以跨国企业为代表的执法对象陷入“两难困境”:遵守一国法律,即可能因违反另一国法律而面临处罚。
此处以爱尔兰数据保护委员会(DPC)发布的2024年度案例报告为对象展开分析。选择DPC的案例报告作为研究样本主要基于两方面原因:一方面,DPC作为欧盟GDPR实施的关键执行机构,直接承载着欧盟将其数据规则向全球输出的治理意图。谷歌、微软、Meta、苹果等跨国数字巨头均将其欧洲总部设立于爱尔兰,DPC依靠“一站式机制”成为处理相关跨境数据案件的主要监管机构。其每一项执法决定,均可视为欧盟单边数据治理范式的具体实践。另一方面,DPC在执法透明度与资料系统性方面具有突出优势。相较于其他司法辖区的数据监管机构,DPC持续以年度案例报告等形式公开其执法逻辑与关键结论,尤其适于开展基于实证的规则冲突分析与治理模式比较。
《DPC案例研究报告2024》共收录了33个案例,根据是否触发用于解决跨境监管的“一站式机制”以及是否会涉及多司法管辖区域法律冲突,笔者对案例进行逐一分析,筛选出5个相关案例(见表2)。从表2可以看出,DPC在数据治理中展现出严格的监管力度,其大部分执法案例均以认定企业违规并责令整改为最终结果。特别在涉及跨境数据的场景中,由于不同国家对同一数据处理行为的规制标准存在差异,使互联网企业陷入“遵守一国法律即违反另一国法律”的两难境地。这种执法规则的对抗不仅导致企业面临重复合规、程序冗余与处罚风险,显著推高运营成本,更是抑制了数据的有序流动,从长远来看必将制约全球数字经济的发展力。

表2  涉及跨境监管机制与法律冲突的相关案例

(二)单边治理困境的溯源
通过对单边范式博弈引发的系列困境进行溯源分析,可以发现主要存在三个层次的根源因素:国际社会对数据主权相对性共识的普遍缺失构成根本障碍,全球数字治理的造法进程因此严重滞后,同时多边争端解决机制长期处于缺位状态。其中,主权相对性的认知分歧是最为深层的原因,它直接阻碍了国际规则的形成,并导致各国转而依照自身价值观制定国内法律。造法进程的缓慢与争端解决机制的失灵,又进一步加剧了国际执法实践中的碎片化与冲突,使得单边行动频发、矛盾持续积累。
1.缺乏数据主权相对性的共识
主权是一个国家最核心的要素,国际法发展的巅峰时刻也正是各国主权理念高度统一的时候,而进入网络时代,围绕着不同的主权理念也就生成了不同的治理模式。传统主权理论强调主权的绝对性、排他性,而以数据为要素的内容则具有流动性和全球性。数字背景下的各国经济社会发展早已不可分割,主权应当是建立在相互依赖、相互协作的基础之上的,将传统主权理论强行移植到数字时代,必然会导致主权规则和数据流动之间的冲突。所谓数据主权的相对性,是指一国在主张对本国境内数据拥有控制权的同时,也承认这种主权不是绝对的,需要在一定程度上让渡或协调,以保障全球数据流动、经济发展和其他国家的合理权益。
美国信息技术和创新基金会(ITIF)在2017年和2021年前后两次系统性梳理全球数据本地化政策,发现提出数据本地化要求的国家和措施持续增加,即在越来越多的国家逐渐认识到主权相对性的情况下,本地化政策不减反增。究其原因,在于各国对于主权相对性的边界和内容仍未达成共识。
美国是典型的侧重于强调数据主权的谦抑性和相对性、鼓励数据自由流动的国家,其制度原因在于美国没有明确且统一的数据政策,多依靠行业自律和各州制定数据保护规则。更深层次的原因在于美国占据全球数据市场的优势地位,以数据自由流动的名义可以让美国成为最大的赢家。即便现有的双边协定一定程度上促使了美国数据向外流动,但经济和技术的不平等可能使获取数据的国家没有能力处理和使用相关数据。美国数据主权表面看是主权相对性的拥护者,实则是利用自身优势对他国主权进行侵害,实现其所追求的全球霸权。
以欧盟为代表的,包括巴西、俄罗斯等国在主权考量上则更侧重于维护数据安全。如前所述,欧盟虽并不禁止个人数据出境,但为此设置了极为严苛和繁琐的程序。深受欧盟影响的巴西在2018年通过的《巴西通用数据保护法》(Lei Geral de Proteção de Dados,LGPD),内容与GDPR高度一致,在跨境数据传输方面也要求通过充分性认定或标准合同条款等途径。但巴西作为区域性数据中心市场,显然没有向全球输出规则的野心,因此在立法内容上也比GDPR更为谦和,如在认定管辖方面,巴西采取的是物理连接点,而非“联系”。
在数字时代,各国在发展权与控制权之间各有侧重,导致了对数据主权的认知分歧。在全球互联的背景下,这种互不认同的主权观念无疑会加剧数据治理的碎片化,并进一步扩大治理鸿沟。
2.国际造法进程滞后
跨境数据治理的关键议题在于协调数据本地化储存和数据自由流动之间的关系,二者分别对应国家安全与人权保护等非贸易事项和贸易利益。联合国信息安全政府专家组(UNGGE)是全球网络安全规则最重要的多边进程,主要职责是根据联合国授权,对信息通信技术领域现存和潜在可能对国家安全产生威胁的问题展开深入研究并提出建议,旨在促进全球网络空间负责任行为规范、全球网络安全政策或网络空间国际规则的形成。直到2004年,UNGGE才正式获权成立,随后历经多轮磋商,于2013年发布报告,首次明确国际法适用于网络空间。然而,经过长期谈判,目前仅就人道原则、相称原则等基本国际法原则达成初步共识,在具体适用规则与执行机制上各方仍难以取得实质性进展。
第108号公约由欧洲委员会部长委员会在2018年5月修订通过,被认为是国际上个人数据保护领域最重要的法律文件,首次在全球层面确立了个人数据保护的基本原则。根据公约内容对个人数据处理的合法性依据主要来自两个方面:一是数据主体的知情;二是基于法律规定的目的与授权。然而,第108号公约仍存在一些落后之处,面对算法自动化决策、人工数据等领域几乎是一片空白。
意识到数据对于贸易活动的重要性后,国际社会在世界贸易组织(WTO)框架内进行了多番尝试,目前唯一可见的成果是2019年开始进行的《电子商务协定》下的部分成员方磋商,已有超过90个成员参与。但正如新一轮谈判中新加坡大使所言,谈判取得重大进展,但仍未越过终点线。WTO规则形成于二战后国家安全与贸易活动相对分离的时代背景。然而,数字时代下数据的多重属性与跨境流动特性,使得这种以领域区隔为基础的治理框架日益显得不足。实践中尤其突出的是,以美国为代表的部分国家正通过泛化解释“安全例外”条款,将贸易问题安全化,从而规避其本应承担的国际责任与规则约束,进一步凸显当前WTO体系在应对数字贸易与安全挑战时的滞后与失灵。为解决安全例外条款滥用问题,WTO专家组在俄罗斯过境运输案中确认,安全例外条款本身具有可审查性,以限制成员方的任意援引,但未进一步形成明确的审查标准。数据本地化措施可能与《服务贸易总协定》(GATS)下的国民待遇与市场准入义务相冲突,但若符合例外条款,仍可获正当性豁免。总结起来,当前WTO对数据跨境流动规制存在两方面困境:一方面,现有规则无法支撑实践需要。由于WTO体系下并不存在专门的数字贸易规则,所以一般通过扩大解释条约将已有规则应用于实践,无法顾及数字贸易的特殊性。另一方面,难以兼容各成员基于隐私保护、服务器安全等公共政策目标的制度多样性。正是由于现有规则无法有效回应这些差异,各国在数据跨境流动立法中才呈现出显著的价值分歧与不同的制度选择。
3.国际争端解决机制存在局限性
除了实体法造法进程的滞后,国际争端解决机制的失灵也给全球跨境数据治理带来巨大挑战。进入21世纪,国家间竞争从有形战争转向经济、技术等领域的竞争,数据在这个过程中也不再是商品或服务的附属品,而是核心的生产要素,这也是为什么跨境数据争端常见于贸易领域。《全球数字贸易发展报告2024》显示,2021年至2023年,全球数字贸易额从6.02万亿美元上升至7.13万亿美元,年均增速高达8.8%,占国际贸易总体规模的比重由19.6%上升至22.5%。在数字贸易总额持续增长的同时,涉及数字产品和服务的争议也日益频繁。
当前,用于解决国家间数字贸易争端的机制大体分为两种:一种是依托WTO的争端解决机制,另一种是依托各种区域贸易协定的争端解决机制。无论哪种,目前都难以满足实践需要,也就促使欧美等转而采取“长臂管辖”的方式进行域外执法。
WTO争端解决机制处理国家间数字贸易权威性有余而专业性不足:一则数字贸易相比传统贸易更为复杂,关系到人权、主权等敏感议题,这些WTO下的例外情形在实践中极易被成员滥用。二则WTO上诉机构自2019年以来,因美国阻挠其成员的任命,仍处于停摆状态,大量案件积压。三则据已有实践来看,WTO处理贸易争端一般须耗时2—3年,无法满足数字产业高速迭代的需求。
WTO上诉机构停摆后,成员逐渐转向区域协定来解决贸易争端。区域贸易争端解决机制则灵活性有余,权威性不足。区域协定能够为数字贸易争端解决提供依据,如《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)等专门设有“电子商务”章节,USMCA当中设有数字贸易条款等;加之成员较少、理念相近,在发生数字贸易争端时能够迅速得到处理结果。区域争端解决机制权威性不足先是表现为覆盖面窄,除了前述的DEPA外,CPTPP、RECP分别有12个、15个成员,而数字贸易争端多发生在理念不同、分属不同协定下的国家间。纷繁的区域贸易协定还会导致管辖权的冲突和法律适用的不确定。当数字贸易争端涉及多个协定时,难以确定由哪个协定项下的争端解决机制来管辖。争端当事方基于自身的立场和诉求考量,可能在具体争端中展现出不同的场所选择倾向,难以达成一致,甚至出现挑选法院(forum shopping)的情形。正是因为存在以上问题,区域贸易争端解决机制并未发挥出理想的效果。

三、多边主义下跨境数据治理的务实路径

(一)厘清国家数据主权的内涵

当各国无法在数据主权的边界和内容上达成一致时,就会出现两种完全不同的治理方式:一种是出于安全考量采取最严格的本地化措施,如俄罗斯。另一种是依托技术和市场优势倡导数据自由流动,如美国。若想从国际层面形成关于数据主权相对性的硬法或达成软法共识,前提是各国通过自我克制及协同合作克服当前僵局。
当前破局的前提在于各国在数据主权谦抑性上能够达致法理上的共识。依据功能的不同,数据主权可以分为三个层次:一是物理层,包含计算机、数据服务器在内的物理实体。二是协议层,包括各种数据协议和标准。三是内容层,即数据本身。除了第一层以外,其余两个层次国家都无法做到事实上的绝对管控。所以国家在数据主权事务上,应超越“家长式”的全面管控逻辑,转而扮演“服务与保障型”的有限政府角色——在法律框架内审慎行使权力,为个人与企业数据权利的实现预留充分空间,并在其合法权益受侵害时提供有效救济与保障。
在数据主权谦抑原则的指引下,国家应建立数据分级分类管理体系。这意味着不宜采取“一刀切”的绝对本地化,也不应放任数据无序自由流动,而应依据数据自身的属性、敏感程度及跨境流动可能产生的风险差异,实施精准化、差异化的管控。
我国现行立法中提出的“重要数据”“核心数据”的区分,正是基于数据对国家利益、公共安全影响的重要程度进行的分级,体现了管控的层次性。与此同时,立法还须对数据类别进行科学划分。目前通行的做法是先将数据区分为“个人数据”与“非个人数据”。对于个人数据,其跨境流动主要关涉个人权益,原则上应将是否出境的自主选择权赋予数据主体本人。只有当涉及大规模个人数据出境,或有明确证据表明相关流动可能对国家安全、公共利益造成实质影响时,政府方可基于审慎原则依法采取必要的限制或监管措施,从而实现个人权益保护与国家安全保障之间的平衡。对于非个人数据,可进一步将其划分为企业数据与国家数据。在对企业数据实施管理时,国家应充分尊重企业合法享有的数据权益,尤其是跨国企业的利益,应警惕并避免利用自身市场优势,变相推动企业将跨境数据专有化。
在数据主权边界尚未清晰界定的国际格局下,单纯依赖技术层面的规则谈判或理念相近国家间的阵营式合作,难以有效化解日趋激烈的单边博弈。这一问题的根本出路,取决于国际社会能否在理念层面真正理解且接纳数据主权谦抑性的核心原则并就其内涵达成共识。
(二)形成“互联型”国际规则供给体系
在跨境数据治理领域,各国间融合程度日益加深,为达成共同利益,客观上需要推动国际法体系的纵向发展。与公共卫生、气候治理等领域类似,跨境数据治理中的国际合作也应建立在尊重各国多元化实践的基础之上。因此,如何在兼顾共同利益与多元尊重的前提下,实现现有规则体系的融合与发展,已然成为当前跨境数据治理在国际规则层面亟待解决的问题。
不难发现,当前在国际上具有代表性的跨境数据治理模式,大多由主要大国主导形成。例如,USMCA和CPTPP等协定集中体现了美国的数据治理理念,强调数据跨境自由流动。RCEP则被国际社会视为兼具各方特色的治理范本,其特点是为合法公共政策目标预留了较大弹性空间,允许各方采取必要的数据管理措施。值得注意的是,相较于美国和欧盟推动的高标准规则体系,RCEP在部分数据规则上的水平仍存在一定差距,这也成为当前国际数据跨境流通机制难以系统构建的一个重要原因。因此,若能将几大数据圈的规则衔接互联,就能大幅改善数据治理国际规范供给水平。我国核准RECP后,又于2021年9月和11月先后申请加入CPTPP与DEPA,主动对接高标准数字经贸规则,这既是衔接国际高水平数字规则的重要契机,也是在共同体理念下,中国为促进发展中国家与发达国家在数据治理领域合作所作出的积极尝试。
WTO《电子商务协定》则在更大范围为“后多边时代”中美俄欧共同推进全球数据治理提供了合规依据。《电子商务协定》的签字方有CPTPP、DEPA和RCEP的成员,尽管不是完全重合,但至少可以证明不同发展水平和利益诉求的国家在同一法律框架内达成共识的可能性。接下来,应积极推进以WTO为主导的数据治理方案。中国作为首个试行协定的世界贸易组织成员,为构建多元一体的数据治理格局提供了经验。在2025年9月公布的《支持北京市率先试行世贸组织〈电子商务协定〉工作方案》中可以看到中国正主动对标高水平数字贸易国际规则。方案一共分为五个部分,其中第二部分为完善数据治理体系,详细地给出了开展数据出境“绿色通道”、公共数据开放服务评估制度在内的一系列切实操作。这些措施不仅契合《电子商务协定》的宗旨,也符合CPTPP、DEPA等国际协定所倡导的原则,体现了中国将具有普遍适用性的规则条款转化为多边实践的有益尝试。
(三)形成以WTO平台为核心的数字贸易争端解决机制
主要大国在数据主权、隐私保护等议题上立场不尽相同,但对数字经济发展重要性的认知却高度一致。这一共识构成了建立以WTO为核心的数字贸易争端解决机制的重要基础。相较于WTO的争端解决机制,区域协定下的机制往往更具灵活性。然而,以WTO平台为核心的机制在制约数字霸权、平衡发达国家与发展中国家利益,以及防止因规则制度差异加剧数字鸿沟等方面,具有区域机制难以比拟的平台优势。
WTO争端解决机制当前面临的专业化程度不高和效率低下的问题是其未来成为核心平台务必解决的问题。不同于传统贸易单一的法律问题,数字贸易争端会涉及信息技术、国家安全等多方面因素。为公平地解决争端、促进贸易发展,提高数字贸易争端解决的专业化水平势在必行,具体而言,应从内外部同时入手。从内部来说,要为争端解决提供符合数字贸易特殊性的实体法和程序法依据,在《电子商务协定》中逐渐明晰数据跨境流动、网络安全例外等标准。与此同时,WTO应加强对外协作,与国际人权组织、世界知识产权组织等专业机构建立常态化合作机制,通过知识共享与协调行动,提升争端解决机制处理数字贸易议题的能力。
从效率的角度来说,一方面,应采取多元化的争端解决手段;另一方面,可以考虑在WTO框架内构建专门的数字贸易争端解决机制。WTO上诉机构停摆后,仲裁以临时上诉仲裁机制的形式在成员之间成为替代手段。仲裁的高效性和灵活性与网络世界的效率要求不谋而合,今后可以考虑将仲裁从补充位置提升至与专家组并列的选择。CPTPP争端解决专章中还加入了斡旋、调解等手段。多元手段的融入,能够克服WTO争端解决的滞后问题。现有的争端解决机制主要围绕传统贸易构建,若通过改进此类机制来解决数字贸易争端,不仅过程耗时漫长,最终也可能难以真正落地。更关键的是,数字贸易争端通常并非单纯涉及贸易价值的分歧,而是聚焦于贸易价值与非贸易价值之间的权衡,这是仅靠对原有机制进行改良所无法解决的。对于专门机制的构建,可以参考DEPA争端解决部分的内容,其不但给出了调解、仲裁等多种解决手段,还对相关程序作出了详细的规定。
推动构建以WTO平台为核心的数字贸易争端解决机制,其初衷并非简单沿用传统争端解决手段,也不是要脱离实际、从零开始构建一个绝对权威的体系,而是在充分依托现有平台的基础上,最大范围凝聚各方共识,逐步推动数据治理走向规范发展。


四、结语

跨境数据治理在互联互通的网络时代陷入了单边主义范式博弈所导致的规则冲突与秩序混乱之中。美国、欧盟、中国、俄罗斯等主要行为体基于迥异的治理理念与技术能力,构建了各具特色却相互冲突的法律体系。其背后映射的是传统主权观念与数据自由流动之间、发展诉求与安全关切之间、技术霸权与规范输出之间的矛盾,这不仅侵蚀了国家间的法律互信,催生了加剧数字鸿沟的“数据圈”,更使全球数字经济发展面临前所未有的不确定性。

当前困境的根源远非国家间技术或规则层面的表面差异,而在于传统以领土为核心的主权观念难以适配无界的数据空间,以及二战后建立的国际治理架构在应对数字时代系统性挑战时的整体性滞后与失灵。因此,各国都不应执着于某一范式的全面胜出和压制,而是应从真正的多边主义出发进行数据治理领域的理念更新与路径重构。未来的跨境数据治理秩序,应建立在“数据主权谦抑性”的共识之上,承认主权的行使须兼顾跨境数据的全球公共属性与他国合理关切。在实践层面,应致力于在现有规则体系中搭建法律等效、标准兼容的桥梁,而非追求规则的单一化。最后,应构建以WTO平台为核心的对话与争端解决机制,构建更加专业与高效的国际协调机制。
值得注意的是,2026年3月30日,全球首个致力于推动数据发展与治理实践的专业性国际组织——世界数据组织(World Data Organization,WDO)于北京正式宣告成立。与以贸易协定为基础的传统治理平台不同,世界数据组织凭借其专业性优势,有望在尊重各国数据主权的前提下,以更加灵活的方式推动全球数据治理规则由单边博弈转向多边协调。当然,该组织能否有效弥合大国间在数据治理理念上的根本分歧,仍有待进一步观察。跨境数据治理协调路径的构建必然是漫长的,中国作为多边规则的倡导者和实施者,应在坚守国家安全与发展权底线的同时,以更具主动性的姿态投身于全球数字治理体系的塑造,推动建立更加公平、开放、包容、有序的跨境数据流动新秩序。