当前,中国在数据跨境流动领域的法律规制呈现出鲜明的安全导向特征。从制度设计的整体架构来看,中国数据跨境流动法律规制体系的设计坚持了“全面安全评估为主,安全标准不降低的认证和合同为辅”的逻辑,而非“以自由流动为原则,以必要的安全限制为例外”。中国的数据跨境流动法律规制主要以《中华人民共和国网络安全法》(下称《网络安全法》)、《中华人民共和国数据安全法》(下称《数据安全法》)和《中华人民共和国个人信息保护法》(下称《个人信息保护法》)为核心,构建了以数据出境安全评估、个人信息保护认证、个人信息出境标准合同为主体的监管框架。其中,安全评估是数据出境的核心路径,要求事前审批并强调流程合规与风险评估,为数据出境设置了“安全门槛”,个人信息保护认证和个人信息出境标准合同作为补充,但同样内置有安全要求,且安全标准并未降低。从具体规则的价值排序上看,中国数据跨境法律体系在顶层设计上将“维护国家安全”和“保障数据安全”置于基础性、前提性地位,而经济发展、数据自由流动等其他价值往往须在安全框架内实现。例如,《网络安全法》第1条规定“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益”,将国家安全与网络安全直接挂钩,作为首要立法目的。又如,《数据安全法》第1条规定,“为了规范数据处理活动,保障数据安全”,同样将安全置于首位。《个人信息保护法》第1条虽提及“保护个人信息权益”和“促进个人信息合理利用”,但其整体框架体现了在跨境场景下安全与权益保护的高度绑定,且安全是跨境的先决条件。从与全球主流实践的对比上看,中国的数据跨境法律规制在价值平衡上更向安全端倾斜。欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)主要以保护自然人的基本权利和自由为目标,但同时规定,个人数据的保护应当建立在个人数据的自由流动基础上,个人数据的自由流动不得因保护个人数据权利而受到限制或禁止。其设置的充分性认定规则、标准合同条款、约束性企业规则等跨境机制的核心是确保“自然人保护水平不被削弱”,其核心是保护个人数据权利,而中国更关切国家安全。综上,中国的数据跨境流动法律规制体系主要以安全为导向。然而,这一以安全为导向的数据跨境流动法律规制体系在实践中逐渐暴露出三重结构性矛盾,亟须通过制度创新破解发展束缚。(一)安全监管理念抑制数字经济发展困境中国以安全为导向的数据跨境流动法律规制导致国内数据安全规制与数字经济发展需求之间失衡,抑制数字经济发展。首先,以安全为导向的数据跨境流动法律规制要求风险确定,这就需要在数据跨境流动前进行繁琐的审批和风险评估。这种做法与数字经济的高效性、动态性特征存在显著矛盾,严重影响数据要素的流通效率。中国企业数据出境需要通过企业自评估、个人信息主体同意、健全的内部管理制度和有效的技术保障,最后通过国家的安全评估、个人信息出境标准合同审查、个人信息保护认证等多重程序方可实现。这种繁琐程序会增加数据跨境流动成本,影响数据跨境流动效率。尽管国家网信办指出,国家网信部门会同国务院有关部门已经建立了国家数据出境安全管理专项工作机制,目前数据出境安全评估的平均用时少于30个工作日,然而,相较于GDPR框架下的标准合同条款备案仅需5—10个工作日,中国的数据跨境流动时间成本仍较高。数字经济的高效性、动态性则要求根据市场变化快速迭代交易策略,利用数据分析积极探索未知场景,大量进行跨主体、跨地域的数据融合以实现创新等。具体来说,数字经济的发展特征与安全导向的监管要求之间存在如表1的矛盾。 表1 数字经济的发展特征与安全导向要求对比 如表1所示,安全导向的监管要求与数字经济的发展需求之间存在诸多矛盾,中国数据跨境流动法律规制坚持安全监管理念会抑制数字经济的发展。以安全为导向的监管体系涉及的部门多、链条长,国家之间、国家与地区之间的监管协调难度大,导致具有数据跨境需求的公司因缺乏具体的法律操作指引,不敢、不会共享数据,阻碍数据的有效利用。有学者以量化分析的方式研究发现,数据跨境自由流动、数据存储非强制本地化等规则能够通过降低数据跨境流动成本、增强空间知识溢出的交叉网络外部性、降低商业心理防备的方式促进数据跨境流动,极大地助力数字经济的发展。也有研究发现,一国采取数据跨境流动限制性措施会抑制该国出口产品技术含量和生产率的提升,尤其是对于发展中国家来说,这种影响的负面效果更大。有学者指出,自贸区(港)须重点推进“流动+ 共享+ 创新”三位一体的数据治理框架,提升数据治理水平。《中华人民共和国国民经济和社会发展第十五个五年规划纲要》提出,要健全数据要素基础制度,建设开放共享安全的全国一体化数据市场,深化数据资源开发利用。这要求我们要通过改革激发各类主体提供数据、使用数据的活力,促进数据要素在更大范围、更多领域开发利用,释放数据要素乘数效应。其次,以安全为导向的数据跨境流动法律规制需要对重要数据进行重点保护,但当前对重要数据的认定仍存在标准多重性和不确定性风险,阻碍数据有效利用。尽管当前对重要数据的监管进入了以“分类分级”为核心的精细化管理阶段,但“多重标准”仍可能催生新的模糊地带。一方面,不同的行业指南是由不同部委主导制定的,其术语、安全审查的考量重点和识别流程都存在差异,跨行业指南之间缺乏有效衔接与协同。例如,《工业领域重要数据识别指南》由工信部主导制定,《地理信息数据分类分级工作指南(试行)》由自然资源部主导制定,两者在监管对象、数据范畴与操作要求上各有侧重,尚未形成统一的识别框架。此外,许多科技企业尤其是提供数字化解决方案的软件公司,在实际业务中往往同时涉及多个行业领域的数据处理活动。以一家为农业领域提供智慧管理系统的技术公司为例,其软件平台须整合农田地理信息、作物生长数据、农机操作日志等多类数据,并实现远程监控与自动化农事操作。该类业务同时触及工业领域重要数据与地理信息数据的范畴,因而企业不得不参照多套指南并行开展数据识别与分类分级工作。这不仅带来重复识别、流程交叉等问题,推高内部合规协调成本,还可能因标准不一致而导致识别结果冲突,给企业数据安全管理与实践带来困扰。另一方面,国家标准《GB/T 43697—2024数据安全技术数据分类分级规则》附录G《(规范性)重要数据识别指南》虽然为重要数据的识别和认定提供了通用框架,但将其转化为具体的、无争议的“数据负面清单”仍需要时间。地方的监管部门在实际执行中还会因缺乏权威、统一的“负面清单”,对“一定精度、规模”“直接对国家安全造成特别严重危害”等关键阈值的裁量标准不同,可能导致不同地区或企业对类似数据的判定结果不一。这种认定标准的多重性与不确定性使得中国大量数据难以得到有效利用。此外,重要数据与个人信息的混合治理模式也造成了立法目的、保护模式、执法主体、法律责任的全面错位,导致司法裁判的标准不一,企业无所适从,个人信息的共享难以实现。以安全为准绳的数据保护规则大大限制了中国数据要素的流通效率。最后,以安全为导向的数据跨境流动法律规制要求跨境流动的实现在安全的前提下进行,但当前的安全监管规则部分内容透明度不高,不同主体的安全责任边界不清晰,导致技术创新生态受限。一方面,不同情况下的安全标准不清晰,实践操作难,导致技术创新生态受限。以个人信息的跨境流通为例,《个人信息保护法》规定了两种方式:一是需要个人的单独知情同意,这种在涉及人数众多的情况下往往操作困难;二是可以对个人信息作匿名化处理,但是匿名化处理应当到什么程度,数据才是安全的,在实际操作中难以判断,尤其是在大数据分析技术日新月异的当下,难以保证匿名化后的信息是完全安全的。如果过度地去标识化,虽然解决了安全问题,业务精度却又难以得到保证。另一方面,不同主体的安全责任边界不清晰,导致技术创新生态受限。以公共数据为例,公共数据涉及数据产生者、数据收集者、数据供给者、数源机构、数据汇集者、数据统管者、数据授权运营者、数据专业服务机构、数据交易机构、数据使用者等多个主体,各方的权益、责任、授权关系以及收益分配都需要在法律环境中得到清晰的确认和界定,才能降低商业防备,保持经营活力,促进数据跨境的流动。不少学者均认为,公共数据授权运营各方的主体责任不清晰,安全责任边界不明是抑制公共数据要素流通的主要障碍。数据跨境流动能够为数字技术的应用提供更广泛的场景和平台,进一步推动技术创新。运用数据要素和数智技术促进传统产业转型升级、培育壮大新兴产业和未来产业、重塑产业生态已经成为未来一个时期产业发展的重要方向。数据跨境流动法律规则如数据跨境自由流动等规则能够显著降低数据流动的障碍,促进区域间市场准入和信息交换,打破知识溢出的地理边界,增强研发要素的流动性和网络外部性。企业通过数据跨境流动可以更快速地获取全球范围内的最新技术和知识,从而加速研发进程并提高创新能力。此外,数据跨境流动法律规则还可以提供明确的市场指引和法律保障,促使企业数字化转型,有效的数据跨境流动法律规则还可以提高数字贸易市场的开放水平,增加市场准入机会,倒逼企业了解市场需求并进行数字化转型。企业的数字化转型能够提升生产效率,创新商务模式,从而促进技术创新。这种技术创新可以进一步推动企业在全球价值链中的位置攀升。然而,中国以安全为导向的数据跨境流动法律规制迫使企业在进行技术创新或要素交流时,首先要考虑数据安全,只有在流动后不会造成任何安全危险的情况下,数据才能够流动。这种难以准确预判的合规压力,会延迟企业研发效率、减缓企业数字化转型速度、增加跨国合作障碍,特别是在全球化的研发网络中,企业可能因无法及时获取和处理数据而失去竞争优势。(二)安全监管理念制约国际竞争能力困境当前,以安全为导向的数据跨境流动监管理念不利于我国的国际竞争。首先,中国以安全为导向的数据跨境流动法律规制理念不符合全球企业发展数据、利用数据、促进数据跨境流动的心态,容易增加企业的心理防备。例如,有研究表明,如果东道国强制要求数据存储“本地化”,外国企业就会担心研发等高端数据在流动或者存储过程中有被窃取的风险,从而有可能陷入谨慎陷阱而减少合作创新。相比之下,美国通过“受控非密信息”实现分级分类管理,欧盟通过“充分性认定”简化合规路径,更符合跨国公司高效运营需求,这种制度差异使得中国规则难以对标国际规则,在国际竞争中处于不利地位。其次,中国参与的包含数据治理规则的多边协定较少,不利于中国参与国际竞争。现今,全球数据治理规则主要由美欧主导,美国通过《全球跨境隐私规则》(Cross-Border Privacy Rules)和《美墨加协定》(Agreement Between the United States of America,the United Mexican States,and Canada,USMCA)推行数据自由流动模式,欧盟通过GDPR“充分性认定”构建排他性数据圈层。此外,以新加坡为代表的“新式”数字贸易规则也因其推动数字贸易便利化、促进统一且互联互通的新兴技术标准的形成、创设“法律科技合作”规则等一系列创新举措,达成了新加坡、智利、新西兰《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)、《英国—新加坡数字经济协定》、《韩国—新加坡数字伙伴关系协定》。然而,尽管中国已经加入了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP),但RCEP在数字贸易规则方面作出的承诺相对较低,难以满足数字企业“走出去”需求,难以形成主导引领态势,不利于企业参与国际竞争。中国数据跨境流动规则强调“防御性安全”,在具体安全规则制定上存在制度和技术问题,缺乏对外部市场的吸引力。再次,在与多边协定对接以及多边机制谈判中,中国面临着立场孤立状态。中国强调“数据主权”的绝对性,而美欧将数据规则嵌入贸易协定,通过经济利益绑定扩大影响力。中国虽然提出了加入《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)和DEPA的申请,但加入谈判尚未取得显著成果。另外,在加入CPTPP等高标准经济贸易协定时,中国数据本地化要求与CPTPP不得强制要求数据本地化存储存在冲突,导致规则适配性不足。中国虽然与新加坡、德国等签署了数据流动备忘录,但该备忘录仍属双边安排,尚未形成类似美欧的多边互认体系。与中国的情况相反,美欧不仅通过各自主导的数据规则构建“数据朋友圈”,如欧盟通过充分性认定将韩国、日本纳入数据流动“白名单”,美欧之间的数据跨境流动协调也在不停地作出努力。从最早的《安全港协议》到《隐私盾协议》再到最新的《欧美数据隐私框架协议》,欧美双方在数据跨境流动方面不断博弈与调整,已经取得了阶段性成果。中国在与多边协定的规则对接方面处于失利状态,跨境数据合作圈层狭窄。尽管自拜登政府以来,美国也开始基于国家安全以总统令或出口管制规则等方式针对数据跨境流动采取限制性措施,但其安全监管采取的是与经贸规则不同的另一路径,虽然此做法也存在歧视、透明度不高等违反国际法的问题,但其对外仍坚持以“以自由流动为原则,以安全限制为例外”的国际法法律逻辑和解释框架。未来,数据跨境流动竞争的主战场是“区域共同体内外有别”的中间模式,中国只有主动突围、成为规则制定者,才能打破集团封锁。最后,中国以安全为导向的数据跨境流动法律规制客观上加剧了产业链风险,对产业链的全球协同、技术创新和国际竞争力产生了一定影响。全球产业链高度依赖数据的实时共享与协同。例如,跨境电商平台通过数据跨境直连国内外中小微企业,实现供应链高效组织。但中国安全评估流程导致跨国生产制造、物流等场景的数据传输延迟,削弱了供应链的响应速度。又如,生物医药领域的研究表明,数据跨境流动受限使东部地区企业出口调整周期延长,间接影响全球市场份额。共享能够打破资源分布不均、弥补数据鸿沟,符合人们对社会公平、正义的价值向往。我国应促进数据共享,保障数据自决权,助力数据对传统行业的赋能,实现经济高质量发展。(三)安全监管理念导致治理工具僵化困境中国数据跨境流动法律规制面临着治理工具僵化问题,导致安全逻辑与治理工具之间存在错配,主要表现在以下几方面:其一,中国通过《网络安全法》《数据安全法》《个人信息保护法》等法律构建了以“本地存储、出境评估”为核心的安全逻辑,强调数据主权与国家安全。然而,这些法律对“重要数据”和“个人信息”的定义存在交叉或冲突,如《网络安全法》第37条与《个人信息保护法》的规定在数据出境评估范围上存在模糊性,导致企业在合规时面临标准不一、重复评估的问题。这种分散且模糊的立法削弱了安全逻辑的实际效力,导致“重原则、轻操作”的治理困境。其二,数据跨境流动依赖加密、区块链等技术保障安全,但现行技术治理工具难以应对量子计算等新型威胁。同时,隐私增强技术,如联邦学习、同态加密等尚未被系统纳入法律框架,导致技术治理与法律规制脱节。例如,数据大使馆提出的“沙盒环境”和“量子加密通道”仍处于试点阶段,难以全面推广。其三,数据分级分类制度面临实施困境。尽管《数据安全法》提出数据分级分类管理,但敏感数据目录清单尚未完善,重要数据的范围缺乏行业细则。例如,金融、医疗等领域的重要数据跨境规则仍依赖企业自行摸索,加剧了安全漏洞风险。此外,中国的数据域外执法能力有待提高,执法机制的软约束力与安全目标的刚性要求之间存在冲突。中国在执法中缺乏跨境数据调取的强制手段,针对境外存储的犯罪数据,须依赖司法互助协定,程序繁琐且效率低下,难以满足打击跨国犯罪的需求。其四,中国的数据跨境管理涉及网信办、工信部、商务部等多个部门,但跨部门协调机制尚未健全,安全评估流程中各部门职责不清,容易导致监管重复或真空,存在安全隐患。
(一)数字经济时代高质量发展需要高水准的安全监管对于高质量发展而言,高水平的对外开放需要与之相匹配的“高水准的安全监管”作为保障。“高水准的安全监管”并非指封闭保守、束缚手脚的安全,而是一种以统筹发展和安全为根本原则,涵盖传统与非传统安全,并在动态平衡中支撑更高水平开放的新型安全体系,需要更优的制度和更高的技术处理好数据高效安全治理中的多重关系。在数字经济时代,追求绝对安全会导致发展的停滞,真正的安全是动态的、与风险相匹配的安全。绝对安全是在风险可以被完全识别并永久排除的情况下实施的一种静态的、封闭的安全观,很多法律规则是在绝对安全的观念指导下制定的,但是这种理念难以指导数字经济时代的法律治理。绝对安全依赖繁琐的前置审批和“一刀切”的禁令,企业为了满足合规要求,需要投入巨额资金和时间,这会将很多中小型企业排除在市场之外,扼杀最具活力的创新源泉。同时,数字经济时代,技术迭代日新月异,新的攻击手段和风险模式层出不穷,难以制定一套能预见所有未来风险的、滴水不漏的绝对安全规则,而追求规则的绝对精确,其结果往往是规则的迅速过时与失效。在数字经济发展中,数据的价值在于流动、聚合和加工。如果对数据流动施加最严格的管控,将会限制数据要素的价值创造,阻碍技术的快速进步和快速革新,甚至有可能导致本国数字产业丧失规模效应和国际竞争力。如今,全球数字治理规则正在激烈博弈中,以安全为监管理念的数字治理范式则难以加入国际间的“数据朋友圈”,容易导致本国企业被排除在全球数字贸易体系之外,进而导致一国在规则制定权的争夺中陷入被动和被边缘化。从长远看,这更是一种更深层次、更致命的不安全。在数字经济时代,安全与发展并非“权衡”关系,而是“共生”关系。一个停滞不前、脱离全球浪潮的经济体,其技术能力、产业实力和规则影响力最终会衰退,其国家安全的基础也必然被削弱。因此,追求绝对安全无异于“因噎废食”,最终只会获得一种脆弱、虚假的安全。数字经济时代实现数字经济的高质量发展,需要高水准的安全,具体到数据跨境流动的法律规制方面,则需要建立一种动态、开放、共赢的安全范式,需要动态的、与风险相匹配的安全观。这种安全观承认风险无法完全消除,但可以通过高效的治理将其控制在可接受的范围内,从而实现安全与发展的再平衡。其要求以风险管理为核心,建立持续评估与反馈机制,最终达到责任与能力共建的良性生态。这种安全观认为安全状态是一个需要持续监测、评估和调整的动态过程。监管的强度应当与数据本身可能带来的危害程度成正比。唯有拥抱“动态的、与风险相匹配的安全观”,在确保底线安全的前提下,鼓励数据要素的有序流动和充分利用,才能培育出强大的数字经济产业,从而积累起维护国家安全的雄厚物质基础和技术资本。这才是高质量发展视域下,数据跨境流动规制所应追求的、真正坚实且可持续的安全。(二)高质量发展视域下数据跨境流动法律规制需要高水平的对外开放高质量发展是当今社会的首要任务,也是数字经济发展应当遵循的重要导向。高质量发展本身就要求达到安全与发展的相互促进状态。数据跨境流动作为数字经济发展的重要基础,其法律规制应当在高质量发展的视域下构建,并服务于高质量发展。因此,数据跨境流动的规制目标应当从“管控风险”转向“在可控风险下释放数据价值”。推动数字经济开放发展是数据跨境流动法律规制的重要目标。党的二十届三中全会将数字经济的发展提升至战略高度。当前,数字经济对区域经济发展的引领作用越来越明显,数字化转型对生产效率的提高、资源配置的优化、市场边界的拓展、技术创新的推动都有着重要的促进作用。数字经济的发展越来越成为区域经济高质量发展的重要引擎,它不仅是一种经济形态,更是一种生产方式的变革,是新型生产力。高质量发展视域下,数据跨境流动法律规制需要高水平的对外开放。《中华人民共和国国民经济和社会发展第十五个五年规划纲要》提出,要推进数据高效便利安全跨境流动,拓展数智领域国际合作,这就要求我们要高水平对外开放,深化数智领域国际交流与合作,与各国共同营造开放包容、互利共赢的数智国际合作新格局。数据是驱动新质生产力发展的关键生产要素,是数字经济时代的石油。正如石油一般,数据需要在“提炼”的基础上才能发挥作用。数据需要被收集、分析、理解、使用才能提供更高的价值。数据流动是驱动数字经济发展的核心引擎。在万物互联的智能时代,数据要素通过跨域流动产生的乘数效应,正在重构全球经济竞争格局和创新生态体系。数据要素的高效流动在三个维度重构经济价值创造模式:首先,在产业层面,数据高效流动能够形成生产要素的“化学反应”,例如,制造业企业通过接入供应链数据湖,能够实现对生产过程中的工作和工作量的合理安排、有效控制和优化,极大提升库存周转率。其次,在创新维度,数据高效流动能够催生技术融合的“核聚变效应”,例如,金融科技机构整合征信、消费和物联网数据后,可大大提升其风控模型准确率。最后,在社会治理层面,数据高效流动能够构建决策智能的“数字孪生体”,例如,智慧城市建设后,可以通过实时流动的交通、环境和民生数据,使应急响应效率极大提升。这种价值跃迁的背后,是数据要素在流动中完成的“四重进化”——从离散状态到体系化关联、从静态存储到动态增值、从单点价值到网络效应、从经验决策到算法驱动,数据在流动中才能发挥价值。全球数字经济发展实践表明,数据要素的流动效率直接决定国家竞争力。欧盟通过《数据治理法》(European Data Governance Act)构建跨境数据空间,使成员国企业数据利用率极大提升。这种流动性的制度设计,本质上是在数字时代重构生产要素配置机制,通过建立数据确权、定价、交易和安全的四维体系,破解“数据孤岛”和“数据堰塞”的发展困境。当前,数据要素流动正在引发“静默革命”:在技术侧,区块链确权、隐私计算和联邦学习构筑起可信的流通底座;在应用侧,工业互联网平台通过产业链数据贯通,推动制造企业毛利率极大提升;在制度侧,数据资产入表新政激活万亿级市场空间。如今,数据要素的价值不再是数据本身,而在于数据的高效流动,助力数据的高效流动、推动高质量发展应当是数据跨境流动法律规制的首要目标。此外,高质量发展是系统平衡的发展。数据跨境流动的法律规制应当立足于数字经济创新发展与风险防控的动态平衡,在保障国家安全、维护个人权益、促进文明互鉴、优化数字生态、引导技术向善等维度形成协同治理机制。数据跨境流动的法律规制体系构建应当以系统平衡的高质量发展为重要目标和指引,在护航数字经济发展的同时,保护公民基本权利。综上,无论是国家信息安全、个人隐私安全、社会生态安全还是技术发展安全都是高质量发展的要求目标。高质量发展本身就要求实现安全与发展的相互促进。数据跨境流动的法律规制需要在平衡发展观的监管理念下,助力数字经济的高水平开放发展。
