“一带一路”视角下数据跨境流动的国际挑战与中国对策

刘晨希

摘 要：数字经济背景下，数据跨境流动成为建设数字丝绸之路的关键一环。当前，“一带一路”以及国际主流的数据跨境流动规则尚未形成统一之势，各国面临着数据主权博弈、数据跨境流动受阻、个人与国家数据风险等挑战。我国应当结合本土数据保护实践，从立法和技术两个层面强化数据跨境流动监管机制;在维护我国数据主权的同时，建立数据分级分类目录以引导数据跨境自由流动;并通过构建立体多元的国际合作机制，积极推动统一的数据跨境流动国际规则制定。

关键词：数据跨境 一带一路 数据治理 数据规则

前言

随着数字技术的更新迭代，数字经济在世界经济中的比重逐年增加。数字经济背景下，“一带一路”倡议的良好实现需要数字经济赋能。习近平总书记特别指出，要加强在数字经济等前沿领域合作，建设21世纪的数字丝绸之路。[1]2020年11月，主题为“共建‘一带一路，共兴数字经济”的中国—东盟博览会在广西南宁举行，其目的在于全面深化中国与东盟国家的数字经济合作和弥合数字鸿沟。大力发展数字经济，巩固数据链，是合奏“一带一路”强音的重要环节之一。[2]“一带一路”国家贸易关系的紧密发展带来了频繁的数据交互流动，也使得数据跨境流动成为了释放“一带一路”经济活力的关键环节。但由于国际跨境流动规则体系尚不完善，加之“一带一路”沿线各国的数据跨境法律规则模式不尽相同，导致“一带一路”数据跨境流动过程中存在隐私泄露、监管空白等一系列问题。本文拟通过对当前“一带一路”以及国际上主要的数据跨境流动合作机制进行梳理，同时对当前国际数据跨境流动面临的挑战进行总结，探寻数据跨境流动的“中国方案”，以期为数字丝绸之路的建设有所助益。

一、数据跨境流动的国际合作现状

（一）“一带一路”沿线成员国参与的合作机制

2019年1月，美国、日本、中国、欧盟、巴西等75个国家和地区在WTO框架下共同签署了《关于电子商务的联合声明》（以下简称《声明》），WTO在《声明》签署后的六个月内收到了各国家和地区提交的18份以倡导数据跨境自由流动为主的电子商务提案和文件。[3]譬如，欧盟基于《声明》向WTO提交的提案（INF/ECOM/22）中就强调禁止以“数据本地化”作为数据跨境传输的前提条件，在数据跨境传输的同时，各国有权采取有效措施对个人数据进行保护。

2020年11月，中、日、韩等15个国家正式签署了《区域全面经济伙伴关系协定》（RCEP）。RECP由东盟十国发起，其不仅是东盟经济一体化的进一步深化，更是打造数字丝绸之路的重要一环。RCEP第十二章第十四条规定缔约方不得将要求其他缔约国的贸易主体使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内，作为在该缔约方领土内进行商业行为的条件。可以看出，RCEP也规定了禁止“数据本地化”的内容。RCEP第十二章第十五条进一步规定，除保护其基本安全利益和实现合法的公共政策目标外，缔约方不得阻止其他缔约国的贸易主体为进行商业行为而通过电子方式跨境传输信息。当前，世界数据跨境流动规则主要由欧盟与美国主导，RCEP作为中国与东盟十国共同参与的涉及数据跨境流动的协定，并无欧美国家参与，有助于为发展中国家的数据跨境流动提供新的思路。

2021年1月，东盟发布《东盟数据管理框架》（ASEAN Data Management Framework，DMF）和《东盟跨境数据流动示范合同条款》（ASEAN Model Contractual Clauses for Cross Border Data Flows，MCCs）。DFM在于指导东盟成员国内企业建立规范化的数据管理体系。而MCCs则是专注数据跨境治理的重要文件，也是“一带一路”倡议和中国—东盟区域合作机制下产生的又一成果。MCCs是基于2016年发布的《东盟个人数据保护框架》制定而成的，其规定了东盟成员国在进行数据跨境流动时应当遵守的最低义务，并包含了定义、数据出口商义务、数据进口商义务和商用条款四个部分的内容。MCCs要求数据出口商应该履行数据收集、使用和披露义务，数据进口商应该遵守《东盟个人数据保护框架》（2016）中有关数据安全保障、访问与更正等基准数据保护条款。MCCs并不要求东盟成员国修改现有的数据保护立法或引入额外的法规，也不具有强制性，其目的在于鼓励东盟成员国使用MCCs作为企业间数据跨境传输的最低标准，以此提升东盟整体的数据保护水平。

（二）欧美主导下的合作机制

APEC隐私框架作为亚太地区首个数据保护框架，其中2011年建立并由美国主导的跨境隐私规则体系（Cross Border Privacy Rules System，CBPRs）是当前多边监管合作中较为成熟的机制之一。CBPRs有以下特点：一是强调自愿。CBPRs规范的对象不包括政府，仅包括自愿加入并涉及数据跨境流动的企业。换言之，即使某国加入CBPRs，该国国内的企业仍可以选择是否自愿加入CBPRs，未自愿加入的企业并不不会受到CBPRs规则的约束。二是在数据传输范围上可选择。参与国可以在消费者数据、产品数据、员工健康数据等多类数据中自由选择，譬如，美国在加入CBPRs时仅选择了消费者数据。综上可见，CBPRs的规制更类似于一种行业自律规定的“软法”。目前，CBPRs共有九个国家/地区加入了该框架， 九个國家/地区分别是：美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中国台湾、菲律宾。但截至2020年12月，仅有35家企业加入CBPRs，其中美国企业32家，日本企业3家，这与其他数据合作机制下的参与企业数量相差甚远。 譬如，2016年欧盟与美国签订了针对数据跨境流动的《欧美隐私盾协议》，截止2020年，已有5000余家企业加入协议。阻碍企业加入一个主要原因在于CBPRs规定数据接收国提供的数据保护水平较低，而数据保护水平较高国家的企业显然并不愿意降低保护标准。