數字貿易規則無法解決數據跨境流動引發的各國在國家安全、主權管轄等方面的重大關切和規制分歧，有必要從數據跨境流動的非經濟性共同關切入手，在貿易談判之外提出新的議題框架和中國方案，積極推動數據跨境流動全球治理體系變革。

隨著數字技術的發展，數據跨境流動日益頻繁。2016年以來，美西方主導的《全面與進步跨太平洋伙伴關系協定》（CPTPP）、《數字經濟伙伴關系協定》（DEPA）等數字貿易協定開始包含數據跨境流動規則，但這些規則因從屬于側重經濟維度的貿易談判，并未解決數據跨境流動引發的國家安全等重大關切。尤其是近年來，某些國家試圖以經濟手段拉攏部分國家搞排他性“小圈子”“筑墻設壘”。這不僅無視中國等多數國家的正當關切，更讓復雜國際背景下的全球治理雪上加霜。

黨的二十大報告指出：“中國積極參與全球治理體系改革和建設，踐行共商共建共享的全球治理觀，堅持真正的多邊主義，推進國際關系民主化，推動全球治理朝著更加公正合理的方向發展。”對于數據跨境流動治理，一方面，我國積極完善國內立法，正式申請加入CPTPP、DEPA等，積極推進數字治理國際合作，努力“跟跑”和“并跑”，值得高度肯定。另一方面，也有必要從數據跨境流動的非經濟性共同關切入手，結合自身探索，在貿易談判之外提出新的議題框架和中國方案，積極推動數據跨境流動全球治理體系變革，努力在探索數字治理國際規則中“領跑”。

數字貿易規則的局限性

第一，數據跨境流動不僅會涉及跨境貿易，也會涉及國家安全、主權管轄、私權保護等非經濟關切。數據跨境流動既涉及個人信息，也涉及商業數據、公共數據，甚至涉及與國家安全有關的數據。這使得其既有促進貿易的經濟面向，也會帶來一系列非經濟性挑戰。首先就是國家安全挑戰。在“斯諾登事件”披露大規模監控計劃之后，各國日益重視數據跨境流動引發的國家安全風險，開始限制或禁止金融、醫療健康等敏感領域的數據跨境流動。其次，數據大規模跨境流動，極大沖擊了基于國家疆界以屬地管轄為主的傳統國家主權，尤其是一國的司法執法管轄權。對此，各國紛紛出臺維護主權管轄的立法，既包括禁止境外司法執法機構不經本國同意調取數據的“阻斷條款”，也包括將某些重要領域數據留存在本國境內的“數據本地化存儲要求”。最后，企業數據、個人信息等跨境流動，也會引發跨境私權保護的關切。

第二，數字貿易規則因僅側重經貿維度的局限，無法解決數據跨境流動引發的各國在國家安全、主權管轄等方面的重大關切和規制分歧，亟須探討制定新的全球治理框架。目前美西方發起策動的數字貿易談判只涵蓋了上述部分關切，除了納入歐盟極力主張的個人信息保護議題外，國家安全關切只是作為自由貿易的“例外情形”，對司法執法管轄則完全沒有涉及。對于數據跨境流動的國家安全關切，盡管CPTPP、DEPA等規定了專門例外，即“為實現合法公共政策目標可以對信息跨境流動采取或維持限制措施”，但是“合法公共政策目標”的內涵并不明確，且該模式下國家安全例外僅是自由貿易的“例外情形”，適用往往非常困難，因而普遍認為這些例外規定難以作為基于國家安全對跨境數據流動實施普遍規制措施的正當依據。

第三，某些國家將“數據自由流動”與“貿易自由流動”捆綁設置議題是有意為之。以美國為例，美國最早將二者捆綁討論，并以貿易談判為由忽略國家安全等其他關切。究其原因，表面上看是限于數字貿易主題，但考慮到美國對數據安全和數據管轄的高度關切和大量立法，例如近年頒行的《外國投資風險審查現代化法》《澄清境外合法使用數據法》以及《保護美國人的敏感數據不受外國對手侵害》行政命令等。這背后的深意在于：美國借用“貿易自由流動”的概念框架，提出“數據自由流動”這種迷惑性口號，通過主張徹底的數據跨境自由流動，支持其先進的數字技術企業發展全球市場，使得海量數據流回美國，從而保持其在全球數字市場和網絡空間的主導地位。

構建具有兼容性框架的中國方案

我國很早就認識到僅從貿易角度探討數據跨境流動的局限性。近年來，我國提出“數據跨境安全流動”理念，發起《全球數據安全倡議》，從數據跨境流動重大關切入手，構建了數據出境規制“雙軌并行”的制度框架：一是《個人信息保護法》規定的旨在保護個人權益的“個人信息跨境提供制度”，為個人信息跨境流動提供了多種合法途徑，有利于推動我國與其他經濟體接軌。二是《數據安全法》和《網絡安全法》規定的旨在維護國家安全的“重要數據出境安全管理制度”，從世界范圍來看該制度探索極大發展了基于國家安全關切規制數據跨境流動的法治架構，為全球應對這一挑戰提供了新的制度選項。

以我國制度探索為基礎，推動數據跨境流動全球治理體系變革，就應該堅持黨的二十大報告所強調的“統籌推進國內法治和涉外法治”，既要考慮規范“數據外流”，避免數據被境外不當獲取，也要同步考慮規制措施對我國企業“數據內流”的影響，避免我國被誤解為以“安全”為由阻礙數據流動和制造貿易壁壘，如此才能真正適應我國在數字經濟全球化中的全面布局。這應該以我國提出的“尊重網絡主權、構建網絡空間命運共同體”為基本前提，推動各國就共同關切達成全球治理的兼容性框架。

第一，確立基本治理理念：促進正當可控的數據跨境流動。從《數據安全法》規定看，我國提出的“數據跨境安全流動”的“安全”，實際上已經超越了傳統數據安全的理解，在內涵上還包括數據利用安全。這種利用安全是強調數字經濟時代下數據大規模流動和利用的正當性和可控性，而正當性和可控性完全應當涵蓋國家安全、主權管轄、私權保護等共同的正當關切。為了準確表達共同治理關切和更具號召力，建議將數據跨境“安全流動”理念升級為數據跨境“正當可控流動”理念。該理念相較于2019年《G20大阪數字經濟宣言》“基于信任的跨境數據流動”，更強調客觀性、正當性和包容性，更有利于推動各國攜手邁向合作共贏的全球治理。

第二，防范國家安全風險：厘清重要數據范圍以明確“負面清單”。在國際層面，應該將為了維護國家安全、公共利益而管控重要數據作為獨立議題提出，不再認為其僅屬于“例外條款”。在數字貿易談判中，可以擬定并提出單獨的“重要數據條款”。鑒于重要數據可能嚴重影響國家安全、公共利益，在規制手段上應以事前監管為主、事中事后監管為輔，我國近期出臺的數據出境安全評估制度就是事前監管的重要抓手。就制度兼容而言，由于重要數據關系國家安全，與一國國情等密不可分，其具體范圍可以允許各國自行確定，但應該確立一些基本的原則性共識，如“不得阻礙正當可控的數據流動”等。在國內層面，應該在總體國家安全觀指導下盡快厘清重要數據的范圍，明確我國數據出境的“負面清單”。考慮到不同行業不同領域的復雜性，可以通過規定重要數據認定制度來代替直接列舉重要數據的具體范圍。

第三，維護司法執法管轄：關注數據訪問權而非依賴本地化存儲。傳統司法協助程序需要通過雙方的專責機關溝通處理，往往復雜冗長低效，已經越來越不適應數字經濟全球化發展和爭議快速解決的需要。在這種情況下，出現了從“數據掌控者”直接調取數據的模式，這種關注數據訪問權的模式使得司法執法效率有了極大提升，值得借鑒。實際上，對于司法執法跨境調取數據而言，數據存儲的位置不是關鍵，關鍵是確保數據的訪問權。為了保障這種數據訪問權，可以規定義務主體不及時提供數據時應當承擔的法律責任。如此，可以大大減少因司法執法管轄而要求的數據本地化存儲。

第四，保護個人信息權益：健全跨境問責制以緩和事前監管壓力。個人信息在保護水平存在差異的國家或地區流動，關鍵是應該如何促進不同水平保護制度的兼容。就我國個人信息跨境規則與其他國家兼容而言，可以借鑒歐盟和美國的做法，兼采事前監管模式和事后問責模式，在雙邊或者多邊談判中根據對等原則建立“白名單”制度；考慮到事前監管的壓力、事中事后監管的需要以及經專業機構認證等事前途徑的成本，也應該同步研究健全境外處理者問責機制，以避免過于依賴事前機制而對數據流動造成不當阻礙；應該將這種事后問責機制納入我國與其他國家締結的雙邊或者多邊司法協助協定之中，以增強事后問責的執行力。此外，出于疫苗研究等科研需要，還應該考慮就科研領域的個人信息出境制定特殊規則。