商務部&上海數據交易所：全球數據跨境流動規則全景圖（2023）（69頁）.pdf

《商務部&上海數據交易所：全球數據跨境流動規則全景圖（2023）（69頁）.pdf》由會員分享，可在線閱讀，更多相關《商務部&上海數據交易所：全球數據跨境流動規則全景圖（2023）（69頁）.pdf（69頁珍藏版）》請在三個皮匠報告上搜索。

1、全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 版權聲明 本報告版權屬上海數據交易所有限公司所有，并受法律保護。轉載、編撰或其他方式使用本報告文字或觀點，應注明來源全球數據跨境流動規則全景圖。違反上述聲明者，將追究其相關法律責任。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 編寫組（排名不分先后）林梓瀚、杜國、林麗穎、王榮、有梅、楊輝 編寫單位（排名不分先后）商務部國際貿易經濟合作研究院 中國圖書進出口（集團）總公司 上海數據交易所 全球數據跨境流動

2、規則全景圖 Global Cross-border Data Flows Rules Panorama 錄 Contents 報告要點.?、數據跨境流動對經濟全球化的影響.?（）數據跨境流動成為全球增新動能.?（）數據跨境流動推動投資結構新變化.?（三）數據跨境流動重塑國際貿易新形態.?（四）數據跨境流動重構國際經貿新規則.?（五）數據跨境流動催全球數據價值鏈.?、國際組織推動數據跨境流動“軟法”的構建.?（）UN 積極搭建數據治理國際合作平臺.?（）WTO 電商務談判中關于數據跨境流動議題分歧較.?（三）OECD 開創全球隱私保護和數據跨境流動規制的嘗試.?（四）APEC 推動 CBPR 認

3、證體系便利數據跨境流動.?（五）G?/G?框架下“基于信任的數據由流動”影響不斷提升.?三、國際貿易協定破除數據跨境流動壁壘.?（）CPTPP 勵建締約國規則互操作機制.?（）RCEP 允許“例外規則”的程度保留.?（三）DEPA 提出數據跨境流動創新性條款.?（四）USMCA 強化與國際“軟法”的銜接.?（五）UJDTA 沿襲“美式模板”核規則.?四、主要經濟體圍繞利益訴求提出規則主張.?（）中國構建完善法體系劃下數據出境安全紅線.?全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama （）美國主張“有限例外”的由流動規則.?

4、（三）歐盟對外實充分性認定規則.?（四）東盟落地施“范合同條款”機制.?（五）新加坡適多元規則強化與國際對接.?（六）英國脫歐后推“英國 GDPR”.?（七）本在保護個信息的基礎上構建數據跨境態圈.?（）韓國聚焦個信息細化跨境傳輸規則.?（九）俄羅斯以數據本地化存儲作為數據跨境流動必要前提.?（）澳利亞以“合理措施”規制數據跨境流動.?（）巴西調整數據跨境流動規則強化“ANPD”.?（）印度適“通知限制”規范數據跨境流動.?五、全球數據跨境流動規則特點與制約因素.?（）規則特點.?（）制約因素.?六、全球數據跨境流動規則的趨勢研判及對我國的影響.?（）趨勢研判.?（）對我國的影響.?七、思考建

5、議.?（）探索數據跨境流動安全管理便利化機制.?（）推進數據保護可信認證試點與新技術應.?（三）增強數據安全保障能.?（四）推數據跨境流動中國治理案.?（五）企業做好“出境”與“境”的合規.?（六）利上海數據交易所國際板探索數據跨境新模式.?參考獻.?全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 1 報告要點 當前，數據跨境流動正在逐步超過貿易、投資全球化，成為驅動全球經濟增長的新動能。本次報告，從國際組織、國際貿易協定、經濟體三個層次切入，聚焦十大國際機制安排（五個國際組織與五個國際貿易協定）與十二大經濟體，分析其關于

6、數據跨境流動的規則與特點，并研判未來規則發展趨勢，為我國參與全球數字經濟規則的制定提供借鑒與參考。研究發現，在國際組織層面，主要國際組織在全球層面推動數據跨境流動“軟法”的構建，典型的如聯合國（UN）建立數據跨境流動國際合作平臺，經合組織（OECD）首創有關數據跨境流動與個人數據和隱私保護的基本原則，世界貿易組織（WTO）在電子商務談判中推動數據跨境流動議題討論等。在區域及雙邊框架層面，主要經濟體通過加入或締結區域或雙邊自貿協定及數字經濟專項協定，如美墨加協定（USMCA）、全面與進步跨太平洋伙伴關系協定（CPTPP）、區域全面經濟伙伴關系協定（RCEP）、數字經濟伙伴關系協定(DEPA)等，

7、將數據跨境流動相關條款納入相關協定中，旨在破除各國間數據跨境流動壁壘，促進全球數據自由流動。在主要經濟體層面，包括中國、美國、歐盟、英國、韓國、印度、巴西、俄羅斯、澳大利亞、新加坡、日本等，出于維護自身數據安全的必要，紛紛進行立法規制，明確數據出境安全前提?？v觀納入研究的十大國際機制安排與十二大經濟體，發現在國際組織“軟法”的影響下，國際貿易協議、主要經濟體演變出其有關數據跨境流動規則的獨有特點。本次報告將上述關于數據跨境流動規則的安排劃分為三種類型，分別為開放進取型、嚴格監管型以及監管例外型。開放流動型主要表現為強調數據跨境的自由流動，典型的經濟體如新加坡、東盟、美國等，國際經貿協定如 DE

8、PA、USMCA 等。嚴格監管型主要強調數據跨境的事前監管，通過安全要求后方可進行數據出境，典型的代表為中國、俄羅斯、巴西等，國際貿易協定主要為 RCEP 等。監管例外型雖然強調數據跨境的監管，但是如若在白名單或者生態機制內則可以享有“監管例外”的權利。未來，各國數據跨境流動的規則主張愈發傾向于“數據重商主義”，不過隨著數據要素重要性的提升，未來數據跨境流動的規則亦會呈現出行業精細化的趨勢等，同時數據主權、數據安全與個人隱私依然是數據跨境流動規則制定時關鍵考量?；诂F有趨勢，認為未來我國數字企業出海將面臨更多的數據合規風險，我國數字貿易面臨較高的政策不確定性，同時我國數字產業發展面臨的數據壁壘

9、有可能將繼續提升等。因此，建議我國繼續加強與 CPTPP、DEPA 等國際經貿規則的對接，并對 CPTPP、DEPA 中有關數據跨境流動的創新機制率先在上海等地進行探索試驗，如 DEPA 中的監管沙盒機制、數字身份、數據保護可信任標志等。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 2、數據跨境流動對經濟全球化的影響（）數據跨境流動成為全球增新動能 數據跨境流動是信息、知識、要素、商品的全球流動、傳播與共享，數據跨境流動正在逐步超過貿易、投資全球化，成為驅動全球經濟增長的新動能。長期以來，國際貿易和跨國投資一直充當了推動

10、全球化快速發展的重要力量，全球貿易總額占 GDP 比重從 1986 年的 33.98%上升至 2006 年的 57.21%；其中，貨物貿易總額占 GDP 比重從 28.63%上升到 47.29%。而 2008 年經濟危機后，這種趨勢出現逆轉，全球貿易增速一直慢于全球 GDP 的增速，全球外國直接投資（FDI）也始終增長乏力。近年來受中美貿易戰、俄烏沖突等影響，全球貿易增長速度放緩，全球直接投資流量下降。根據世界貿易組織（WTO）2023 年 4 月發布的貿易統計與展望，全球貨物貿易量繼 2022 年增長 2.7%之后，2023 年預計將增長 1.7%，最新預測進一步調低，預計 2023 年世界

11、商品貿易量增長 0.8%。根據聯合國貿發會議（UNCTAD）發布的世界投資報告，2022 年全球外國直接投資(FDI)流量下降了 12%，下降至 1.3 萬億美元。與之形成鮮明對比的是，全球數據流動對全球經濟增長的貢獻卻顯著增強。根據麥肯錫的研究報告，早在2014年，數據流動直接創造的價值就高達2.8 萬億美元，預計到 2025 年，數據跨境流動對全球 GDP 的貢獻價值將達到 11 萬億美元?！皵底秩蚧钡淖饔萌找娉^貿易和投資全球化，數據跨境流動的重要性愈發凸顯。此外，數據跨境流動將創造更加高效的全球市場，進一步降低全球化的參與門檻，全球化的包容性將進一步增強。如果說 20世紀全球化是以

12、貿易和投資的全球化為主要特征，那么 21 世紀的全球化將以數據跨境流動為主要驅動力量。（）數據跨境流動推動投資結構新變化 數據要素的重要性日益凸顯，國際投資區位選擇的決定因素發生變化，數字平臺型跨國公司快速增長，推動國際投資發生結構性變化。一是數據成為新的生產要素，土地、人力和資金等傳統生產要素的投資區位決定作用相對下降。在數字跨國公司的對外投資中，數據資源是否豐富、數字技術是否先進、數字基礎設施是否完善、數據跨境流動是否便利成為跨國公司國際投資區位選擇的重要因素，對國際投資流動的方向發揮著日益重要的作用。二是數字跨國公司快速增長，數字跨國公司的平臺化特征日益明顯。根據 UNCTAD 發布的2

13、021 年數字跨國企業 TOP100，自 2016 年以來，數字 100 強跨國公司的海外投資、海外銷售、總利潤持續上升。據普華永道(PwC)“2023 全球市值 100 強上市公司”排行榜顯示，2023 年全球市值排名前 10 位公司中，數字平臺型跨國公司占據了 7位（蘋果、微軟、谷歌、亞馬遜、英偉達、特斯拉、臉書），數字平臺型跨國公司日益成為國際投資的主體。表 1“2023 年全球市值 100 強上市公司”排行榜（前十位）排名 排名 公司 公司 總部所在地 總部所在地 領域 領域 1 蘋果(APPLE INC)美國 信息技術 2 微軟(MICROSOFT CORP)美國 信息技術 3 沙特

14、阿美(Saudi Arabian Oil Company)沙特 能源 4 ALPHABET INC(谷歌母公司)美國 通信服務 5 亞馬遜(AMAZON.COM INC)美國 非必需消費品 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 3 排名 排名 公司 公司 總部所在地 總部所在地 領域 領域 6 英偉達(NVIDIA CORP)美國 信息技術 7 伯克希爾(Berkshire Hathaway Inc.)美國 金融 8 特斯拉(TESLA INC)美國 非必須消費品 9 META PLATFORMS(臉書母公司)美

15、國 通信服務 10 維薩(Visa Inc)美國 金融 資料來源：普華永道(PwC)“2023 全球市值 100 強上市公司”排行榜 三是數字跨國公司的國際投資模式發生顯著變化，呈現出輕資產、低就業海外布局的特征。數字跨國公司通過在線平臺市場而非商業實體進行海外銷售，依托平臺的數據和算法優勢，通過復制其貿易模式為加快輕資產海外布局。據調研，中國跨境電商獨角獸企業希音（Shein）布局海外 150 多個國家，年銷售額約 300億美元，其海外員工總數僅有 6000 多名。據 UNCTAD 發布的2021 年數字跨國企業 TOP100，相較于傳統跨國公司，數字跨國公司海外銷售額與海外資產的比值更高，

16、尤其是純平臺型公司及數字解決方案提供商1，該指標是傳統跨國公司的 2 倍多，表明數字跨國公司以較少的海外資產實現了較大比例的海外銷售。（三）數據跨境流動重塑國際貿易新形態 數字時代的每一筆國際貿易都依賴數據跨境流動，數據跨境自由流動是開展數字貿易的基本前提條件。根據經合組織（OECD）、世界貿易組織（WTO）、國際貨幣基金組織（IMF）等國際組織對數字貿易的概念界定，從交易方式上分，數字貿易可以分為數字訂購和數字交付的貿易，既包含以貨物為載體的跨境電商，也包含以服務為載體的數字服務貿易，無論是跨境電商還是數字服務貿易，數字貿易的開展都離不開海量的數據跨境流動。根據交易方式的差異，廣義的數字貿易

17、可分為數字訂購型(digitally ordered)、平臺支持型(platform enabled)、數字交付型(digitally delivered)。其中，以數字形式訂購的跨境交易指直接通過專門用于接收或下訂單的計算機網絡進行的商品或服務交易，其支付環節及貨物或服務的交付通過線上或線下完成均可。該模式不包括以電話、傳真等形式達成的交易，僅覆蓋通過網頁、外部網、電子數據交換達成的交易。平臺支持型數字貿易指間接通過中介平臺進行的商業交易，中介平臺為供應商提供設施和服務，但不直接銷售商品，例如阿里巴巴、亞馬遜、淘寶、京東商城等。數字交付型數字貿易指直接通過信息及通信技術網絡遠程提供的服務產品

18、，包括可下載的軟件、電子書、電子游戲、流媒體視頻、數據服務等，但不包括有形貨物的交付。正如美國學者馬修斯勞特(Matthew J.Slaughter)和大衛麥考密克(David H.McCormick)所說，當今的國際貿易是關于數據的“永動機”，貿易的過程消耗數據、處理數據、分析數據，又源源不斷產生海量新數據，而云計算、5G 等技術又為大數據的存儲、計算和快速處理提供了技術支撐。國際貿易由跨國公司主導的大宗貿易模式轉向數字平臺主導的個性化、分散化數字訂購模式，以貨物、服務為載體的數字訂購模式的數字貿易依托數字平臺和數據跨境流動?？缇畴娚痰荣Q易新業態興起并成為國 1 榜單將數字跨國公司分為互聯平

19、臺（包括搜索引擎、社交絡、其他共享經濟類平臺）、數字解決案（包括電付、數字融、軟件提供商、其他數字解決案提供商）、電商務（物流、互聯零售、其他電商）、數字內容（數字媒體、游戲、信息和數據）四類。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 4 際貿易增長的新引擎，中小微企業甚至個人通過跨境電商平臺和線上支付方式參與國際貿易，平臺在國際貿易中發揮越來越重要的作用。2022 年，我國跨境電商進出口規模突破 2 萬億元，五年增長了近 10 倍，跨境電商主體超 10 萬家，跨境電商貿易伙伴遍布全球，涌現出了阿里速賣通、Shein

20、、Temu 等一批全球性數字平臺企業，直連我國上萬家中小微制造業企業與海外市場，高效組織供應鏈，帶動數以萬計的中小企業以數字化方式進入國際市場，重塑了我國貿易競爭新優勢。數據跨境流動支撐、拓展了可數字化交付的數字服務貿易增長，以服務為載體的數字交付模式的數字貿易依賴于數據跨境流動和數字技術的應用?？缇硵祿鲃又?、拓展了數字廣告、數字營銷、數字音樂、數字視頻、游戲、動漫、軟件研發、遠程醫療、在線教育等數字服務貿易發展，5G、人工智能、大數據等數字技術的應用提高了服務的可貿易性。根據UNCTAD 測算數據，2022 年全球可數字化交付服務出口額3.94 萬億美元，在全球服務出口占比達到 55.3

21、%。其中，發達經濟體占主導優勢，2022 年可數字化交付服務出口 3萬億美元，占全球市場份額的 76.1%。發展中經濟體可數字化交付服務出口 9460 億美元，同比增長 12.6%，占全球市場份額的 22.1%。2022 年，我國可數字化交付的服務進出口額達到 2.51 萬億元，同比增長 7.8%，居全球第五位。其中，可數字化交付的服務出口 1.42 萬億元，同比增長 12.2%，我國數字交付的服務組織國際競爭力穩步提升，Tiktok 等社交媒體平臺風靡全球。但總體而言，雖然我國數字服務貿易增長較快，數字服務貿易占服務貿易的比重從 2011 年的 36.2%提升至 2022 年的 48.4%。

22、但橫向對比來看，與發達國家仍存在較大差距。美國、英國、日本等發達國家數字服務貿易占服務貿易的比重超過 70%，而中國只有 48%左右。圖 1 2022 年全球可數字化交付的服務進出口總額前十 數據來源：UNCTAD 113295 148435 163842 232121 165973 205284 231960 375413 302792 646111 144475 143660 139043 96220 170218 158935 215355 179565 344458 388407 020000040000060000080000010000001200000日本法國新加坡印度荷蘭中國德

23、國英國愛爾蘭美國日本法國新加坡印度荷蘭中國德國英國愛爾蘭美國出口額113295148435163842232121165973205284231960375413302792646111進口額144475143660139043962201702181589352153551795653444583884072022年全球可數字化交付服務進出口額前十（億美元）年全球可數字化交付服務進出口額前十（億美元）出口額進口額全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 5 表 2 數字貿易的分類 交易方式 交易方式 交易對象 交易

24、對象 說明及舉例 說明及舉例 數字訂購 貨物 貨物類跨境電商 服務 網上訂票、分時租賃 數字交付 數字產品或內容 游戲、動漫、短視頻、數字音樂、數字影視等 數據服務 搜索引擎、社交平臺、數字廣告等 ICT 服務 軟件服務、大數據服務、云計算服務、區塊鏈服務、工業互聯網服務 其他可數字化交付的服務 遠程醫療、在線教育、數字金融與保險服務、專業技術服務 平臺支持 貨物或服務 通過中介平臺進行的商業交易，中介平臺為供應商提供設施和服務，但不直接銷售商品，如阿里巴巴、亞馬遜、淘寶、京東商城等。資料來源:根據 OECD、WTO、IMF 對數字貿易的定義整理（四）數據跨境流動重構國際經貿新規則 數據的特殊

25、屬性、全球貿易投資形態的改變以及各國利益的再分配要求形成具有新的國際共識的經貿規則體系。數據的特殊屬性要求形成新的國際經貿規則?，F有國際經貿規則不能解決跨境數據流動中出現的新問題，關于數據的定價和權屬的制度缺失。當前國際經貿規則體系以世界貿易組織（WTO）及前身關稅與貿易總協定（GATT）為主體框架，其運行和治理的依據是以貿易類型（商品或服務貿易）、貿易額、貿易地點（來源地和目的地）為主的統計數據。如商品貿易相較服務貿易而言，受到更多貿易規則的約束，產品的原產地則決定了該產品將適用怎樣的關稅和貿易限制政策。而這套規則體系不能適用于跨境數據流動，首先，以跨境數據流動驅動的貿易過程中商品貿易和服務

26、貿易難以區分開。例如通過跨境電商平臺購買實物商品，這個過程還包含了營銷、跨境支付結算、跨境物流等一系列服務，很難將商品貿易和服務貿易區分開。其次是數據的價值難以確定。如個人網購記錄及瀏覽記錄，這是從個人活動和行為中收集的原始數據，伴隨著交易其他商品和服務而產生，數據本身并沒有產生直接的經濟價值，但是經過分析處理可以產生價值，第三是跨境數據流動的“地域”問題即數據主權的問題難以確定。傳統貿易中商品或服務生產、消費每個環節所在地點都可以由一個國家領土范圍所決定，而數據因為無形、開放的特征，難以用以前的規則（如原產地規則）來適用于跨境數據流動，例如跨國公司云存儲的數據屬于哪個國家，數據產生、數據存儲

27、和數據開發的國家不同該如何確定。以數據跨境流動為支撐的跨境電商、數字服務貿易快速發展，新的數字貿易形態要求形成新的數字貿易規則。傳統國際經貿規則包括貨物、服務的市場準入、待遇、關稅、貿易投資便利化、知識產權規則。而在數字貿易形態下，轉變為數字市場準入、數字產品待遇、數字稅收、數字貿易便利化、在線消費者保護等規則。此外，數字貿易高度依賴于數字技術、數據流動、網絡和數字平臺，催生一系列新興議題。如在數字技全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 6 術領域，催生出源代碼保護、加密 ICT 產品、人工智能、金融科技等新興議

28、題；在數據流動方面，催生出數據跨境流動、個人隱私保護、計算設施位置等議題；在信息網絡方面，催生出互聯網接入、網絡安全等議題；在數字平臺方面，催生出平臺責任、數字平臺競爭等議題。圖 2 數字貿易規則主要議題 各國貿易利益的再分配必然導致國際貿易規則的再調整。數據跨境流動催生出以數據為關鍵要素的全球數據價值鏈，推動全球產業分工體系發生深刻變化，發達國家和發展中國家通過數據流動獲益的能力存在顯著差距，各國之間競爭合作的攻守利益因為技術和產業形態的變化而發生了根本性的改變，利益的再分配必然導致國際經貿規則的再調整。（五）數據跨境流動催全球數據價值鏈 數據跨境流動催生全球數據價值鏈，全球性數字平臺在全球

29、數據價值鏈中占據重要地位，各國在應用數據價值的能力方面差異巨大，擁有大型數字平臺的國家通過數據價值鏈獲益最多。數據價值鏈是以數據采集、存儲、處理以及數據可視化等環節組成的價值鏈，其核心環節在于數據收集和處理能力并轉化為數字智能，通過數據增值服務實現數據貨幣化，數據已經成為創造和捕獲價值的新經濟資源（UNCTAD，2019）。在傳統貿易中，進出口產品的結構代表了一國的技術水平，出口產品的技能和技術含量的提高代表了國內附加值的增加，也表征著一國在全球價值鏈中的地位。而就跨境數據流動而言，在數據價值鏈的背景下，大多數發展中經濟體是原始數據的出口國和增值數據產品的進口國，而那些擁有主要數據優勢和處理原

30、始數據能力更強的國家是原始數據的進口國和增值數據產品的出口國，位于數據價值鏈的中高端環節。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 7 全球性的數字平臺在全球數據價值鏈的各個環節中發揮日益重要的作用。一方面，大型數字平臺以自身技術或服務換取來眾多用戶的海量原始數據，并借助網絡效應、規模經濟和范圍經濟，獲得超強數據收集能力，并將原始數據轉化為具有經濟價值的數據產品。數字廣告是數字平臺實現數據盈利的主要方式之一，全球數字平臺在數字廣告市場的主導地位逐步增強，根據eMarketer 數據，預計到2022 年，數字廣告支出預

31、計將達到媒體廣告支出總額的 60%，是 2013 年的兩倍左右，前五大數字平臺在數字廣告總支出中所占份額預計將超過 70%。另一方面，全球性數字平臺通過收購初創企業實現橫向和縱向擴張，增強其在數據價值鏈中市場力量。如，處理海量數據的數字平臺也越來越多地投資于人工智能（AI），而 AI 技術反過來又幫助平臺企業更有效利用數據、改善用戶體驗并吸引新用戶，進一步收集更多用戶數據。從人工智能領域初創企業并購數來看，2016 年 1 月 1 日至 2021 年 1 月 22 日期間，共有 308 宗并購交易，價值 284 億美元。按同期收購人工智能初創企業數量計算，全球排名前五的并購公司是美國的大型科技

32、公司，其次是中國的百度（第六）和騰訊（第八）。其中蘋果公司位居首位，谷歌和微軟緊隨其后。大型數字平臺在人工智能方面的領導力將進一步增強其在全球數據價值鏈中的地位。美國和中國參與全球數據價值鏈并從中受益的能力最強。根據 UNCATD報告，中美兩國擁有的超大規模數據中心約占全球 50%，兩國的 5G 普及率最高，占全球初創人工智能企業融資總額的 94%，占世界頂尖人工智能研究人員的 70%，占全球最大數字平臺市值的近 90%。中美兩國的數字平臺，如美國的蘋果、微軟、亞馬遜、Alphabet(谷歌)、Facebook，和中國的騰訊和阿里巴巴，正越來越多地投資于全球數據價值鏈的每個環節。這些平臺通過面

33、向用戶的平臺服務進行數據收集；通過海底電纜和衛星進行數據傳輸；數據存儲(數據中心)；以及通過人工智能等方式進行數據分析、處理和使用。這些數字巨頭公司已經成為全球范圍內的數據公司，擁有巨大的金融、市場和技術力量，并控制用戶的大量數據。在疫情期間，這些公司的規模、利潤、市場價值和主導地位進一步加強。例如，紐約證券交易所綜合指數在 2019 年 10 月至 2021 年 1 月期間增長了 17%，但頂尖數字平臺的股票價格的漲幅從 55%（Facebook）到 144%（蘋果）不等。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama

34、8、國際組織推動數據跨境流動“軟法”的構建（）UN 積極搭建數據治理國際合作平臺 聯合國發布全球數字契約推進數據跨境流動治理創新。2023 年 5 月，聯合國發布我們的共同議程政策簡報 5:全球數字契約為所有人創造開放、自由、安全的數字未來（Our Common Agenda Policy Brief 5:A Global Digital Compactan Open,Free and Secure Digital Future for All）。該簡報建議制定一項全球數字契約，為推進開放、自由、安全、以人為本的數字未來制定原則、目標和行動，實現數字領域的可持續發展。在該簡報中，聯合國提出了迫

35、切需要多利益相關方合作的八個重點領域，而數據保護和賦權是其中一個重點議題。在數據保護和賦權方面，聯合國建議制定多層次、可互操作的標準，以實現安全可靠的數據流動以及推動全球經濟包容發展。該簡報根據主體身份的不同，區分了成員國、區域組織和所有利益相關方應采取的行動措施。首先，對于成員國及區域組織，應注重法律對個人數據和隱私的強制保護，考慮通過一項關于數據的宣言以確保嚴格的數據驅動決策、互操作性和可移植性，防止行為操縱和歧視，通過全球數據契約,尋求數據治理原則共識。另外，對于所有利益相關方而言，應監控并執行通用定義和數據標準，加強人們對個人數據使用的影響和控制，由多利益攸關方制定全球數據契約。中國就

36、制定全球數字契約向聯合國提交了相關意見，表明了堅持多邊主義、堅守公平正義的數字治理立場。在數據保護方面，中方堅持以下觀點。第一，應以事實為依據全面客觀看待數據安全問題，促進數據依法有序自由流動；反對利用信息技術破壞他國關鍵基礎設施或竊取重要數據，以及利用其從事危害他國國家安全和社會公共利益的行為。第二，各國應尊重他國主權、司法管轄權和對數據的安全管理權，未經他國法律允許不得直接向企業或個人調取位于他國的數據；各國如因打擊犯罪等執法需要跨境調取數據，應通過司法協助渠道或其他相關多雙邊協議解決。國家間締結跨境調取數據雙邊協議，不得侵犯第三國司法主權和數據安全。第三，信息技術產品和服務供應企業不得在

37、產品和服務中設置后門，非法獲取用戶數據、控制或操縱用戶系統和設備；產品供應方應承諾及時向合作伙伴及用戶告知產品的安全缺陷或漏洞，并提出補救措施2。聯合國積極搭建數據治理國際合作平臺。2006 年11 月，聯合國根據信息社會世界首腦峰會（WSIS）的決議，正式設立了聯合國互聯網治理論壇（Internet Governance Forum，簡稱 IGF）。該論壇致力于將集聚不同利益相關方，討論與互聯網相關的公共政策問題。2022 年 11 月 28 日至 12 月 2 日，第 17 屆 IGF 召開，并集中討論了全球數字契約中涉及到的五個重要主題。其中，在“數據治理和隱私保護”主題方面，會議認可了

38、跨境數據流動對電子商務和數字貿易的重要性。同時，會議總結認為，有效的區域內貿易和供應鏈管理依賴于數據以及貨物、服務和資本的順暢流動，因此需要考慮復雜的交叉因素：監管的趨同性、法律框架的協調、互聯網治理、信息和通信技術政策改革以及戰略性區域基礎設施實施。然而，目前多邊、區域和雙 2 參中國關于全球數字治理有關問題的場，http:/ 年 10 23 訪問。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 9 邊貿易協定不能完全適用于當前和未來的跨境數據流動，國家法律制度之間幾乎沒有一致性，數據跨境流動都在基本不受監管的環境中運作

39、。由于各國采用的方式不同，且各有背景，故容易造成貿易壁壘，許多國家目前沒有足夠的立法或執法能力。綜上，制定和協調管理跨境數據流動的措施愈發必要。IGF 希望促進不同背景下的發展和經濟價值創造，同時尊重國家主權和用戶隱私3。2023 年 10 月 8 日至 12 日，第 18 屆 IGF在會議討論中同樣涉及了跨境數據流動有關內容。為了使數據效能促進發展，IGF 認為需要創建可信且安全的方法實現數據跨境共享?？尚诺臄祿杂闪鲃蝇F在被廣泛討論為國際數據管理和數據跨境流動的框架概念。需要制定原則和實際措施來發展“基于信任的數據自由流動”（Data Free Flow with Trust，以下簡稱“D

40、FFT”）的概念，并為數據傳輸創建共同基礎，以利用數據促進發展，同時解決各主體對數據隱私和數據主權的擔憂。至關重要的是，發展中國家應充分參與有關跨界數據流動的討論，反映他們的需要和關切。此外，聯合國還舉辦了聯合國世界數據論壇（United Nations World Data Forum,簡稱“UNWDF”），至今已舉辦四屆。UNWDF 以“可持續發展數據”為主題，是為落實“聯合國可持續發展目標(簡稱 SDGs)”搭建的國際合作交流平臺，旨在促進數據創新、培育伙伴關系、動員高級別政治、以及財政支持，為可持續發展建立更好的數據途徑。2023 年 4 月 24 日至 27 日，第四屆聯合國世界數據

41、論壇以“擁抱數據 共贏未來”為主題口號在杭州開幕。在杭州宣言中，聯合國重申通過數據戰略和我們的共同議程，為人類和地球建立更好的聯合國數據生態系統和測度方法提出共同愿景，并呼吁利益攸關群體要加快行動，制定與全球行動計劃相一致的數據管理方法。中國國家主席習近平向本屆聯合國數據論壇發賀信指出，中國愿同世界各國一道，在全球發展倡議框架下深化國際數據合作，以“數據之治”助力落實聯合國 2030年可持續發展議程，攜手構建開放共贏的數據領域國際合作格局，促進各國共同發展進步4。聯合國多次發布政策研究報告推進數據治理。聯合國近年來先后多次發布數字經濟報告（Digital Economy Report）、G20

42、 成員國跨境數據流動規則（G20 Members Regulations of Cross-Border Data Flows）等多份報告，從不同角度對各成員國的數字監管政策進行了調查，介紹了數據的多維性質以及各國相關政策和立法，討論了多利益攸關方監管方法之間的共同點、差異和融合要素。聯合國調查突出了跨境數據流動有關法律法規的多樣性，認為目前成員國對跨境數據流動的監管存在不同政策，始終堅持力圖促進成員國之間達成共識、建立協調的數據治理方法的立場5。（）WTO 電商務談判中關于數據跨境流動議題分歧較 世界貿易組織(WTO)自 1995年創立以來，為全球貿易自由化與便利化做出了突出貢獻，是引領與制

43、訂多邊貿易規則最重要的國際組織。早在 1998 年，WTO電子商務工作計劃就開始啟動關于電子商務議題 3 See Addis Ababa IGF Messages,https:/igf2022.intgovforum.org/en/content/igf-2022-outputs(last visited Oct.24,2023).4 參習近平向第四屆聯合國世界數據論壇致賀信，https:/ 年10 24 訪問。5 See Digital Economy Report 2021,https:/unctad.org/publication/digital-economy-report-2021(

44、last visited Oct.24,2023)；G20 Members Regulations of Cross-Border Data Flows,https:/unctad.org/publication/g20-members-regulations-cross-border-data-flows(last visited Oct.24,2023).全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 10 的討論，早期側重于對全球電子商務發展中出現的新議題的討論，但并未取得實際進展。自 2015 年 12 月內羅畢部

45、長級會議后，WTO 有關電子商務討論的活躍度和參與度迅速上升，WTO 成員提交了大量電子商務提案和討論文件，日本、新加坡、澳大利亞、加拿大、歐盟、美國、中國、俄羅斯、巴西等成員的提案數量較多。2017 年 12 月，在布宜諾斯艾利斯第十一次部長級會議（MC11）上，71 個 WTO 成員開創性發布了電子商務聯合聲明，推動 WTO 就貿易相關的電子商務議題進行談判，這標志著 WTO 框架下關于電子商務問題探索由議題討論進入了規則談判的新階段。2019 年 1 月，在瑞士達沃斯舉行的電子商務非正式部長級會議上,包括中國在內的 76 個 WTO 成員發布了第二份電子商務聯合聲明，宣布正式啟動與貿易相

46、關的電子商務諸邊談判，號召更多成員國加入談判，推進在現有協定和電子商務聯合聲明框架基礎上構建高標準電子商務國際規則。截至 2020 年 12 月，共有 86 個 WTO 成員方加入電子商務談判，貿易額占全球貿易總額比重超過 90%。2021 年 12 月，澳大利亞、日本和新加坡作為聯合召集人發表聯合聲明，表明在電子簽名和認證、在線消費者保護、未經請求的電子商業信息、開放政府數據、電子合同、透明度、無紙化交易以及互聯網開放這 8 項條款的談判中取得了實質性進展，同時將加強電子傳輸免關稅、跨境數據流動、數據本地化、源代碼、電子交易框架、網絡安全、電子發票以及關于市場準入等領域加強談判。2022 年

47、 6 月，在WTO 第十二屆部長級會議（MC12）上，各方同意將電子傳輸臨時免征關稅的期限延長至下一屆。此外，澳大利亞、日本和新加坡作為談判的共同召集人發表聯合聲明，與瑞士一起啟動電子商務能力建設框架，以加強數字包容性縮小數字鴻溝，幫助發展中國家和最不發達國家從數字經濟發展中獲益。該框架將提供廣泛的技術援助、培訓和能力建設，支持各國參與電子商務談判。具體包括：成立一個新的數字咨詢和貿易援助基金（DATA FUND）（澳大利亞和瑞士正在為該基金提供資金），日本通過日本國際協力事業團（JICA）和日本對外貿易組織（JETRO）提供數字能力建設支持，新加坡通過新加坡-WTO第三國培訓計劃（TCTP）

48、提供支持。2023 年 8 月，根據 WTO 電子商務談判最新合并文本，目前 WTO 電子商務談判的參與者基本就數字貿易便利化條款達成一致，但關于隱私和跨境數據流動、電子傳輸關稅、數據本地化、源代碼等議題分歧較大，談判進展較為遲滯。圖 3 WTO 電子商務談判演進 資料來源：根據公開資料整理 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 11 根據WTO 電子商務談判文本，WTO 電子商務談判主要包括六個章節。第一節是電子商務便利化措施，主要包括電子交易便利化措施和數字貿易便利化，在電子交易便利化方面，包括電子交易框架、

49、電子認證和電子簽名、電子合同、電子發票和電子支付服務；在數字貿易便利化和物流方面，包括無紙化貿易、最低限度規則、海關程序、改善貿易政策、單一窗口數據交換和系統互操作性、物流服務、增強貿易促進、使用技術釋放和清關貨物、提供貿易促進和支持服務。第二節是開放與電子商務，主要包括非歧視待遇和責任、信息和數據流動、電子傳輸關稅、以及互聯網和數據訪問，其中包括數據跨境流動，也是整個談判最核心且分歧最大的議題。第三章是信任和電子商務，包括消費者保護、隱私以及商業信任，商業信任議題下就包含禁止將轉讓源代碼或算法作為市場準入前提等議題。第四章是交叉領域的議題，包括透明度、國內監管與國際合作機制，網絡安全，能力建

50、設等議題。第五章是電信章節，包括更新 WTO 電信服務參考文件，以及與電子商務相關的網絡設備和產品。第六章是市場準入，主要包括服務市場準入、與電子商務相關人員的暫時入境和逗留，以及商品市場的準入。表 3 電子商務談判的主要議題 A.電子商務便利化措施 A.1 電子交易便利化措施：電子交易框架、電子認證和電子簽名、電子合同、電子發票和電子支付服務。A.2 數字貿易便利化和物流：無紙化貿易、最低限度、海關程序、改善貿易政策、單一窗口數據交換和系統互操作性、物流服務、增強貿易促進、使用技術釋放和清關貨物、提供貿易促進和支持服務。B.開放性和電子商務 B.1 非歧視和責任：數字產品的非歧視待遇、交互式

51、計算機服務（限制責任）、交互式計算機服務（侵犯）。B.2 信息與數據流動：跨境電子方式傳輸信息/跨境數據流動、計算設施位置、金融信息/覆蓋金融服務供應商的金融計算設施位置 B.3 電子傳輸的關稅 B.4 互聯網和數據的訪問：開放政府數據、開放互聯網訪問/有關電子商務的互聯網訪問和使用原則、在線平臺訪問/競爭 C.信任和電子商務 C.1 消費者保護：在線消費者保護；未經請求的商業電子信息 C.2 隱私：個人信息保護；個人數據保護 C.3 商業信任：源代碼；使用密碼術的信息和通信技術產品 D.交叉領域的議題 D.1 透明度、國內監管和合作：透明度；貿易相關信息的電子可用性；國內監管；合作；合作機制

52、 D.2 網絡安全 D.3 能力建設：能力建設和技術援助的選擇 E.電信 E.1 更新 WTO 電信服務參考文件：范圍；定義；競爭保障；互連；普遍服務；許可和授權；電信監管機構；稀缺資源的分配和使用；基礎設施；解決爭端；透明 E.2 網絡設備和產品：與電子商務相關的網絡設備和產品 F.市場準入 服務市場準入；與電子商務相關人員的暫時入境和逗留；商品市場準入 資料來源：根據 WTO 電子商務談判最新發布的聯合聲明整理 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 12 數據跨境流動是 WTO 電子商務談判中分歧較大的議題之

53、一。2019 年 1 月,76 個 WTO 成員簽署電子商務聯合聲明,確認啟動與貿易有關的電子商務議題談判,旨在制訂電子商務/數字貿易領域的國際規則。在WTO 電子商務談判中，總共有 12 個成員的提案涉及數據跨境流動問題。此外，還有以中國為代表的一些成員，并未在提案中提及數據跨境流動，傾向于不將數據跨境流動列入談判議程，而只將電子商務便利化相關議題納入談判議程。以成員對數據跨境流動的態度分類，可以分為三組。以美國提案為代表，主張數據跨境自由流動，但近期美國貿易代表凱瑟琳泰（Katherine Tai）在 WTO談判中放棄了數據跨境自由流動要求。2019年由特朗普政府提出的美國提案中“通過電子

54、方式進行的跨境信息轉移”條款與美墨加協定第 19.11 條完全一致，體現了美國試圖通過 WTO 談判打破數據壁壘以維護其產業競爭優勢的意圖6。美國主張 WTO 成員之間不應對以商業為目的的數據跨境流動作出限制，但其提案支持設置合理例外條款。日本提案內容并未公開，通過相關文獻和其之前提交的文件來看，其與美國立場基本一致7。新加坡和巴西提案基本沿襲 CPTPP 的規定，與美國、加拿大提案實質內容相同，但承認各成員在數據跨境流動方面的監管要求8。值得關注的是，2023 年10 月25 日，美國貿易代表凱瑟琳泰（Katherine Tai）在 WTO 談判中放棄了美國長期以來對數據跨境自由流動的要求，

55、以便為國會提供調控、監管大型科技公司的空間。以歐盟提案為代表，重視個人隱私和數據保護。歐盟在大方向上與美國持一致的立場，禁止成員通過四種方式限制跨境數據流動，包括要求使用本國計算設施處理數據，要求數據存儲和處理本地化、禁止在其他成員境內存儲或處理數據以及將使用本國計算設施或數據本地化作為允許數據流動的條件等9。但是，歐盟重視個人隱私和數據保護，并將其作為禁止限制跨境數據流動的例外情形，即“可以采取和維持其認為適當的保護措施，以確保對個人數據和隱私的保護，包括通過采取或適用個人數據的跨境傳輸規則”10。6 靜霞：數字經濟背景下的 WTO 電商務諸邊談判：最新發展及焦點問題，p.7 7 靜霞：數字

56、經濟背景下的 WTO 電商務諸邊談判：最新發展及焦點問題，p.5；WTO,Joint Statement on Electronic Commerce Initiative-Proposal for the Exploratory Work by Japan,INF/ECOM/4,25 March 2019;李墨絲:WTO 電商務規則談判：進展、分歧與進路；See WTO,Proposal for the Exploratory Work by Japan,Joint Statement on Electronic Commerce Initiative,JOB/GC/177(INF/ECOM

57、/4),12 April 2018,pp.1-5;Communication from Japan,Joint Statement on Electronic Commerce Initiative,List of the Key Elements and Ideas on Electronic Commerce,JOB/GC/180(INF/ECOM/7),13 April 2018,pp.1-2.8 靜霞：數字經濟背景下的 WTO 電商務諸邊談判：最新發展及焦點問題，p.7；WTO,Joint Statement on Electronic Commerce-Communication f

58、rom Singapore-Text Proposal,INF/ECOM/25，30 April 2019；WTO,Joint Statement on Electronic Commerce-Communication from Brazil,INF/ECOM/27,30 April 2019.9 靜霞：數字經濟背景下的 WTO 電商務諸邊談判：最新發展及焦點問題，p.7；WTO,Joint Statement on Electronic Commerce-EU Proposal for WTO Disciplines and Commitments Relating to Electron

59、ic Commerce:Communication from the European Union,INF/ECOM/22,26 April 2019.10 李墨絲：WTO 電商務規則談判：進展、分歧與進路，p.9；WTO,Communication from the European Union,Joint Statement on Electronic Commerce-EU Proposal for WTO Disciplines and Commitments Relating to Electronic Commerce,INF/ECOM/22,26 April 2019,para.

60、2.8.2.全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 13 以中國提案為代表，不主張在 WTO 談判中納入數據跨境流動議題。中國在國內有關于數據跨境流動的法律規定，但在 WTO談判層面，中國、俄羅斯等國家回避該問題，基本談判立場是以保障國家安全為前提，服務于網絡強國的戰略目標和數字經濟發展的客觀需要11。（三）OECD 開創全球隱私保護和數據跨境流動規制的嘗試 OECD較早參與到隱私保護的全球規則探討中。經濟合作與發展組織（OECD，簡稱“經合組織”）最早于 1960 年由加拿大、美國及歐洲經濟合作組織的成員國等 2

61、0 個初始國家成立，并簽署經濟合作與發展組織公約。由于信息技術、數據跨境流動與經濟發展和國際經貿活動密不可分，而 OECD 的成員國均是科技和經濟較為發達的國家，因此 OECD 也較早參與到隱私保護和數字經濟發展的全球規則探討中。OECD 最早于 1968 年在科學政策委員會下成立了計算機應用工作組(Group on Computer Utilization)，以調查計算機和通信等涉及的技術、經濟和法律問題。1974 年 OECD 成立了資料庫專門小組，考察計算機化的個人資料庫涉及的政策問題。1977 年，工作小組召集政府、私人行業、國際資料傳送網絡的使用者、資料處理服務商和跨國組織的代表，召

62、開跨境數據流動與隱私保護研討會。1978 年，OECD 設立臨時性的跨境數據障礙與隱私保護專家組，由其負責制定有關數據跨境流動與個人數據和隱私保護的基本原則，并促進與國內立法的融合。在充分研究討論了與跨境數據流動和信息保護相關議題后，專家組于 1979年提出了下述指南草案。OECD于 1980年發布關于隱私保護與個人數據跨境流動指南（以下簡稱“OECD隱私指南”“指南”）（Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），并于 2013 年進行修訂。此后，OECD 于 1985 年和

63、1998 年分別發布了“跨境數據流動宣言”（Declaration on Transborder Data Flows）（以下稱“1985宣言”）和“關于保護全球網絡隱私的部長級宣言”（Declaration on the Protection of Privacy on Global Networks）（以下稱“1998 宣言”），對數據跨境和隱私保護問題表明立場。OECD 隱私指南是全球層面對數據跨境流動進行規制的首次嘗試，也是全球個人信息保護法規的歷史源頭之一。指南明確了個人數據保護的八項基本原則，即限制收集、數據質量、目標明確、限制使用、安全保護、公開透明、個人參與以及問責，設定了個人

64、信息保護的最低標準。指南確立了數據跨境流動的基本原則，即鼓勵數據自由流動及對數據跨境流動的合法限制。指南針對數據跨境流動的規定集中于第四部分，其賦予成員國基于保護個人隱私對數據跨境流動采取合理限制的權力，但限制措施應盡量減少對數據自由流動的影響，不能超出必要限度，應當遵循比例原則，需要結合數據的類型、敏感程度、數據處理目的和范圍等因素綜合考量；指南明確數據跨境所帶來的風險應當由數據控制者承擔相應責任；指南規定了兩種成員國應該避免設定數據跨境限制的具體情形，第一類是當其他國家已經充分的遵守了OECD 的相關指南；第二類是數據傳輸目標國家已經具備了充足的安全防護，安全防護既包括強制執法機制也涵蓋了

65、數據控制者所采取的措施。OECD隱私指南成為全球各國及國際組織制定隱私保護與數據跨境制度的重要參考。指南雖然僅以指南形式制定，不具備強制效力。但OECD 作為較早提出隱私保護制度的組織，以非強制方式為各國提供了包容各國不同情況的制度框架。一方面，指南成為 OECD成員國制定國內個人數據保護法規的參 11 WTO 電商務規則談判與中國的應對案_徐程錦,p.10.全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 14 考。如OECD 的成員國澳大利亞、新西蘭、加拿大、韓國等在指南原則的基礎上進行取舍和創新，紛紛開始加快國內個人數

66、據保護的立法進程。另一方面，指南確立的八項基本原則還對許多非成員國國家、國際組織確立新的個人數據保護原則提供了指導。如歐洲委員會個人數據自動處理中的個人保護公約（簡稱108 公約）、亞太經合組織APEC 隱私框架中確立的隱私保護原則。近年來，OECD 通過數字經濟政策委員會（CDEP）及其數據治理和隱私工作小組(DGP)，致力于推動全球數據治理，促進數據跨境流動，發布了一系列關于數據跨境流動的建議和研究分析報告。OECD 對數據跨境流動的建議還包括：在隱私保護執法中開展跨境合作、增強數據訪問和共享、加強數字安全等。圖 4 OECD 數據跨境流動相關的指南、建議及研究報告 資料來源：根據公開資料

67、整理 OECD 及時總結全球前沿政策舉措和規制方式。2021 年，OECD 發布跨境數據轉移的規制方式的共同點（Mapping Commonalities In Regulatory Approaches To Cross-Border Data Transfers），該研究報告歸納總結了當前全球促進跨境數據流動的具體工具，并梳理了各種工具之內和之間的共同點，以幫助厘清跨境數據流動國際規制的現狀，促進全球數據跨境流動。2022 年 10 月，OECD 發布跨境數據流動盤點關鍵政策和舉措（Cross-border Data FlowsTaking Stock of Key Policies an

68、d Initiatives），總結七國集團促進可信跨境數據流動的政策和舉措。根據 2021 年 OECD 發布的研究報告，可以將全球主流的規制數據跨境流動政策工具歸納為四類。一是單邊機制，包括開放的保障機制和預先授權的保障機制。其中開放的保障機制不需要政府部門的事前審批，賦予私營部門更多自由裁量空間，如事后問責機制、合同、私營部門主導的充分性認定。而預先授權的保障機制需要政府部門的事前審批，如公共部門充分性認定和公共部門領導的事前保障機制，這兩種方式都需要公共部門對另一司法轄區的隱私和數據保護水平進行評估，確保數據接收地的數據保護和執法水平與國內一致，單邊的相關文本包括標準化的合同、有約束力的

69、合同規則、或其他經批準的法律指令或計劃（如行為準則、認證計劃等）。OECD 對 46 個經濟體使用的單邊機制的統計顯示，預先授權的保障機制是最常使用的單邊機制。二是多邊安排，多邊安排往往通過區域組織來建立規則或達成共識，數據跨境數據流動的多邊安排通?；陔[私和個人數據保護而制定。根據監管方式的可執行性，多邊安排可以分為無約束力的多邊安排和全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 15 有約束力的多邊安排。無約束力的多邊安排如OECD隱私指南，通過設立具有共識的數據保護原則，提高成員國之間法律框架的互操作性，進而促進數

70、據跨境流動的同時確保隱私保護。有約束力的多邊安排如歐洲委員會的108 號公約和108 號公約+，國家承諾通過國內立法來對違反公約的行為進行制裁和救濟。APEC 的 CBPR 系統也包含具有約束力的方面，當國家和公司均同意加入該系統時，公司需承擔相應責任。多邊安排中的原則和內容都逐步被成員國的國內立法所吸收，同一多邊安排下各經濟體的隱私和數據保護法規的重疊程度很高，如108 號公約成員國的監管條款重疊度高達 76%；OECD 隱私指南成員國的監管條款存在 71%重疊，而 APEC 系統的成員國由于多樣性更強，因此其重疊程度相對較低為 68%。三是貿易協定及數字經濟伙伴關系。由于 WTO 電子商務

71、談判中數據跨境流動等議題目前分歧仍然較大，各國探索通過自由貿易協定解決數據跨境流動問題。在目前的貿易協定中，按照對數據跨境流動的規制方式，可以分為三類：無約束力的數據跨境流動條款、有約束力的跨境數據流動條款，以及開放未來談判的條款。協定大多規定不限制因商業活動而產生的數據跨境流動，但合法公共政策目標例外，且例外需要滿足非歧視和必要原則。目前的自由貿易協定中的跨境數據流動規則越來越具有約束力，各國政府越來越傾向于利用貿易協定來實現促進數據跨境自由流動和保護隱私及其他公共政策目標雙重目標。四是標準和技術工具。標準和技術工具通常由非政府和私營部門組織開發，以處理跨境數據流動帶來的隱私和安全問題。標準

72、工具包括，組織在監管數據跨境流動中保護隱私和安全的標準和原則，如 ISO制定的與隱私和個人數據保護相關的標準；技術驅動工具指使用隱私增強技術（PETs），如密碼學，可以用來防止或減少由于隱私和機密泄露所帶來的風險；數據沙盒可以為加強數據控制和保護的能力。標準和技術驅動的規制工具是一個快速發展的領域，兩者不互相排斥，公司既可以應用國際標準化組織（ISO）標準，也可以使用隱私增強技術來保護數據(有時后者是實現前者的一種手段)。雖然基于標準和技術的工具應用在組織層面，但提供標準和技術方面的示例可以幫助企業和組織選擇合適的工具來建立基于信任的數據跨境流動。在 2022年 OECD發布的報告中，進一步將

73、全球跨境流動的關鍵措施分為單邊政策、政府間安排以及中介和組織措施，在技術和組織措施下，特別關注到數據空間、數據中介和隱私增強技術等舉措。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 16 圖 5 數據跨境流動的四種工具 資料來源：OECD跨境數據轉移的規制方式的共同點，2021 圖 6 可信跨境數據流動的主要政策及舉措 資料來源：OECD 發布的跨境數據流動盤點關鍵政策和舉措 總體而言，OECD 是參與全球數據流動治理最主要的多邊機制之一，多年來 OECD 通過理事會建議的形式，或以分析性研究的形式，致力于推動構建全球數

74、據跨境流動的共同框架。其最早提出了全球隱私保護和數據跨境流動規制的原則，成為許多國家和貿易協定中制定規則的指南。近年來通過總結全球數據跨境流全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 17 動對全球數據跨境流動治理的彌補了各國監管體系和機構設置之間的差異性，促進了不同國家監管框架的一致性，增進了跨境數據流動各方間的信任。（四）APEC 推動 CBPR 認證體系便利數據跨境流動 APEC 電子商務指導小組以OECD 隱私指南為藍本，于 2005 年發布APEC 隱私框架（APEC Privacy Framework）。早

75、在 1998年，APEC就成立了電子商務指導小組（Electronic Commerce Steering Group，簡稱“ECSG”），其任務之一是推動亞太統一的法律和政策環境構建。2005 年，ECSG 發布了APEC隱私框架（APEC Privacy Framework），并于 2015 年對其進行了更新12。APEC 隱私框架以原則和實施指南為核心，繼承了OCED 隱私指南中的基本原則，提出信息隱私九大原則，即避免傷害、通知、收集限制、個人信息的使用、選擇性原則、個人信息的完整性、安全保護、查詢及更正、問責制。APEC隱私框架旨在促進亞太地區對隱私和個人信息保護措施的一致性，指導亞太

76、地區數據跨境自由流動。建立 CBPR跨境隱私規則體系（Cross-Border Privacy Rules,簡稱“CBPR”），形成一套由政府背書、自愿、可執行的數據隱私保護認證機制。2007年，APEC批準了數據隱私探路者倡議（APEC Data Privacy Pathfinder Initiative），建立數據隱私探路者（Data Privacy Pathfinder），以促進亞太地區負責任的數據跨境流動13。2011 年，APEC 21 個經濟體首腦共同建立了 CBPR 體系。CBPR 是對APEC 隱私框架的具體實施，是由隱私執法機構、問責代理機構和企業三方共同參與的數據隱私認證。

77、具體而言，成員政府支持該規則的實施，企業可以加入該認證，以證明自己遵守國際公認的數據隱私保護，并據此可以在特定地區收集、傳輸和利用信息資源。而問責代理機構則負責對認證企業的行為進行監督和處罰，主要由違規企業所在國的隱私執法機構對企業進行法律制裁14。CBPR體系目前已有美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞、中國臺北和菲律賓共 9 個經濟體或地區加入。在 CBPR 體系下，APEC 建立針對數據處理者的認證體系數據處理者隱私識別（Privacy Recognition for Processors，以下簡稱“PRP”）體系。由于 CBPR體系的規制目標對象是數據控制者，并不適用于數

78、據處理者。APEC 成員經濟體和數據控制者希望建立一套針對數據處理者的認證體系。2015 年，數據處理者隱私識別（PRP）體系應運而生。CBPR 聯合監督小組（Joint Oversight Panel）根據 CBPR 體系框架，采用類似于 CBPR 認證中的評估手段對數據處理者進行評估。數據處理者通過 PRP 體系認證可以證明自身的數據處理至少符合 CBPR 體系對數據控制者的數據處理隱私保護要求。這也幫助了數據控制者識別和選擇合格數據處理者。CBPR 建立了隱私執法機構和問責代理機構來確保企業隱私保護水平符合國際公認標準。為保證加入該體系的成員經濟體能夠按照隱私框架的最低要求約束本國企業，

79、CBPR 體系設定的準入條件是：申請國至少有一個隱私執法機構加入跨境隱私執法安排（Cross-border Privacy Enforcement Arrangement，簡稱“CPEA”）。12 See APEC Privacy Framework(2015),https:/www.apec.org/publications/2017/08/apec-privacy-framework-(2015)(last visited Jul.25,2023).13 See https:/www.apec.org/about-us/about-apec/fact-sheets/apec-privacy

80、-framework(last visited Jul.25,2023).14 See What is the Cross-Border Privacy Rules System，https:/www.apec.org/about-us/about-apec/fact-sheets/what-is-the-cross-border-privacy-rules-system(last visited Jul.25,2023).全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 18 成員經濟體向 APEC 提出加入 CBPR 的

81、申請后，聯合督導組將對申請國已加入 CPEA 的隱私執法機構進行調查，確定該機構在國內切實擁有針對隱私框架九大原則 50項具體要求的執法權力。該審核制度保證了凡是獲準加入CBPR 體系的成員經濟體能夠按照隱私框架的最低要求對本國企業進行執法，保證了APEC 隱私框架在加入國的法律效力，而隱私框架也為協調亞太各國隱私保護政策提供了一個法律平臺15。此外，CBPR還通過問責代理機構來衡量加入國認證企業的隱私保護水平。當一個成員經濟體獲準加入 CBPR 體系后，該國還要至少有一個 APEC 認可的問責代理機構（Accountability Agent)為該體系提供服務。問責代理機構的職責是:證明企業

82、制定的跨境隱私保護政策符合 APEC隱私框架并為其認證，為消費者提供渠道解決其對企業的隱私保護投訴。使用問責代理機構是 CBPR 體系的一大關鍵創新。問責代理機構通過提供獨立的第三方認證證實某組織的隱私政策和做法符合 APEC 隱私框架，從而在 CBPR 體系中發揮著不可或缺的作用16。表 4 APEC 及 CBPR 體系介紹 APEC 隱私框架 CBPR 2005 年發布，2015 年更新 2011 年 以 原 則 和 實 施 指 南 為 核 心，繼 承 了OCED 隱私指南中的基本原則，提出信息隱私九大原則，即避免傷害、通知、收集限制、個人信息的使用、選擇性原則、個人信息的完整性、安全保護

83、、查詢及更正、問責制。CBPR 是對APEC 隱私框架的具體實施，是由隱私執法機構、問責代理機構和企業三方共同參與的數據隱私認證。資料來源：根據公開資料整理（五）G20/G7 框架下“基于信任的數據由流動”影響不斷提升 日本在 G20 框架下啟動“大阪軌道”，首倡“基于信任的數據自由流動”（Data Free Flow with Trust，以下簡稱“DFFT”）。2019 年 1 月，日本首相安倍晉三在達沃斯世界經濟論壇上首次提出 DFFT 概念。同年，在G20 大阪峰會茨城筑波貿易和數字經濟大臣會議上，作為階段性成果文件的部長級聲明就 DFFT 的實施，提出了“尊重國內和國際的法律框架”“

84、合作以鼓勵不同框架之間的互操作性”“確認數據在發展中的作用”的主張。在 G20大阪峰會領導人數字經濟特別會議上，成員國宣布啟動“大阪軌道”，并簽署大阪數字經濟宣言，重申 DFFT，建立運行數據跨境自由流動的“數據流通圈”，強調要在更好保護個人信息、知識產權和網絡安全的基礎上，推動全球數據自由流通并制定可靠的規則。但G20 成員國中的印度、印尼與南非沒有在宣言上簽字。2020 年，G20 利雅得領導人宣言承認有信任數據自由流動和跨境數據流動的重要性，并提出“進一步促進數據自由流動，加強消費者和企業的信任”。2021 年，G20 集團羅馬領導人宣言繼續承認 DFFT 的重要性，表示“繼續促進共識，

85、努力確定現有監管方法和工具之間共同點、互補性，使數據能夠信任地流動，以促進未來的互操作性”。15 永欽,王健.APEC 跨境隱私規則體系與我國的對策J.國際貿易,2014(03):31.16 永欽,王健.APEC 跨境隱私規則體系與我國的對策J.國際貿易,2014(03):31-32.全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 19 圖 7 G20 框架下 DFFT 提出和演進過程 資料來源：根據公開資料整理 借助 G7 平臺，DFFT 概念的推廣和實施不斷深化，影響力不斷提升。由于 G20 成員國印度、印度尼西亞和南

86、非拒絕加入“大阪軌道”倡議，日本繼而選擇縮小平臺，在不包含新興和發展中經濟體的 G7 框架下推廣和實施 DFFT。2021 年，G7 數字軌道和貿易軌道致力于 DFFT 問題的探索，在 4 月份的數字技術部長會議中，通過DFFT 合作路線圖，內容包括數據本地化、監管合作、值得信賴的政府訪問數據和優先領域的數據共享四個關鍵領域。強調釋放數據在經濟和社會力量中的重要性，試圖利用“志同道合、民主、開放和外向型國家的共同價值觀來支持一個工作計劃，旨在實現數據自由流動和信任帶來的益處”。同時，在 G7 貿易部長制定的數字貿易原則中強調了關于建立一個開放數字市場和基于信任的跨境數據自由流動的相關內容。在

87、2022 年德國擔任 G7 輪值主席國期間，數字技術部長會議通過促進 DFFT 行動計劃，行動計劃重申了四個合作領域，表示致力于加強 DFFT 的證據基礎，建立共同點，促進未來數字監管的互操作性、在數字貿易背景下促進 DFFT 以及分享有關“國際數據空間”（一種新興互操作數據共享架構）建設構想等。2023年 4 月在日本舉行的數字技術部長會議則提出了更為詳細的DFFT 實施計劃，劃定了 DFFT 落地的五項行動，即加強 DFFT 的證據基礎并深入了解現有監管方法和工具，基于現有監管方法和工具促進可操作性，繼續監管合作支持 G7 政策官員和監管機構之間的對話，在數字貿易的背景下推動 DFFT，以

88、及共享關于國際數據空間前景的知識。宣言的附件中還涵蓋了 DFFT 實施的更詳細信息，包括從政策、工具、技術、法律層面促進 DFFT 具體實施，如開發兼容的政策、工具，增強隱私技術的研發，注重 DFFT 法律實踐相關的探討（模板合同條款和認證機制，國際隱私框架等）。此外，日本還尋求就 DFFT建立專門平臺支持，并啟動“DFFT 伙伴關系機制性安排”（Institutional Arrangement for Partnership on DFFT，IAP）。日本希望在經合組織等國際組織的框架下，圍繞 DFFT 成立秘書處以建立討論、制定全球數據治理規則和框架的專門場合，并已啟動“DFFT 伙伴關

89、系機制性安排”，以促進更強有力的規則落實。2022 年 G7 數據保護和隱私機構圓桌會議發表題為通過信任和知識共享促進數據自由流動：國際數據空間的未來前景的公報，突出強調個人隱私增強技術（Privacy-enhancing Technologies，PETs）對跨境數據流動的顯著貢獻。其應用不僅有助于確保數據共享的安全性和合法性，為數據跨境流動提供有力支持，還為全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 20 跨國創新者、政府部門以及廣大公眾提供了重大利益。因此，G7 數據保護和隱私機構將積極尋求推動 PETs的創新應

90、用，以確?？缇硵祿鲃釉诎踩?、高效和可持續的基礎上發展，促使國際數據空間的進一步發展。圖 8 G7 框架下 DFFT 推進過程 資料來源：根據公開資料整理 總體而言，DFFT 在 G20 框架下由日本主導提出，在 G7 框架下不斷發展并擴大其規則影響力，未來OECD、G20等國際組織可能進一步積極響應該倡議，并利用多邊機制的廣泛影響力，迅速達成相關協議，形成基于信任的數據自由流通圈。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 21 三、國際貿易協定破除數據跨境流動壁壘 在區域及雙邊框架下，各國通過加入或締結區域或雙邊自

91、貿協定及數字經濟專項協定，并在協定中納入數據跨境流動相關條款，旨在破除各國間數據跨境流動壁壘，促進全球數據自由流動。目前納入數據跨境流動相關議題的區域及雙邊貿易協定主要包括美墨加協定（USMCA）、全面與進步跨太平洋伙伴關系協定（CPTPP）、區域全面經濟伙伴關系協定（RCEP）等為代表的區域或雙邊自貿協定，以及以美日數字貿易協定（UJDTA）、數字經濟伙伴關系協定（新加坡-智利-新西蘭，DEPA）、新加坡-澳大利亞數字經濟伙伴關系協定（SADEA）、韓國-新加坡數字經濟伙伴關系協定（KSDPA）為代表的數字經濟專項協定，相關議題主要包括“個人信息保護”、“通過電子方式跨境傳輸信息”、“計算設

92、施的位置”等三類條款。同時，人工智能、5G、區塊鏈等技術的發展推動全球數字經貿的相關議題與規則不斷進行調整，全球經濟體開始圍繞新技術在數字貿易協定中打造新興的規則。除數據跨境自由流動與數據存儲本地化等傳統原則性條款外，DEPA 等協定新加入了人工智能、開放政府數據、數字身份、數據監管沙盒等創新性條款。在個人信息保護議題下，由于個人信息保護是制約數據跨境流動的主要因素之一，主要貿易協定均要求各締約方在考慮國際組織關于個人隱私保護原則和指南的基礎上，設立個人信息保護法律框架，基于非歧視原則為境外個人信息提供境內保護。此外，由于各締約方可能采取不同的法律方式保護個人信息，各國個人信息保護制度的不兼容

93、、不互認將限制數據跨境流動，因此，主要貿易協定均鼓勵各締約方建立促進各國個人信息保護制度兼容性和可互操作性的機制，便利跨境信息傳輸。在“通過電子方式跨境傳輸信息”及“計算設施位置”議題下，目前主要區域及雙邊自貿協定基本采取“鼓勵數據自由流動/禁止計算設施本地化+合法公共政策目標例外”的框架，即不得限制或禁止商業活動中的跨境數據流動、不得將計算設施本地化作為市場準入的條件，但可以為實現合理的公共政策目標實施例外措施，前提是例外措施不得構成歧視和變相貿易限制或超過必要限度（即限制措施需滿足非歧視性和必要性原則），各協定對例外條款的限制程度有所不同。不同 表 5 現有國際貿易協定中數據跨境流動相關議

94、題 議題 CPTPP USMCA UJDTA RCEP DEPA SADEA KSDPA 個人信息保護 第 14.8 條 第 19.8 條 第 15條 第 12.8 條 第 4.2條 第 17 條 第 14.17 條 通過電子方式跨境傳輸信息 第 14.11 條 第 19.11 條+第 17.17條金融章節 第 11條 第 12.15 條 第 4.3條 第 23 條 第 14.14 條 計算設施的位置 第 14.13 條 第 19.12 條+第 17.18條金融章節 第 12條 第 12.14 條 第 4.4條 第 24 條 第 14.14 條、第 14.15 條 全球數據跨境流動規則全景圖

95、Global Cross-border Data Flows Rules Panorama 22 議題 CPTPP USMCA UJDTA RCEP DEPA SADEA KSDPA 爭端解決 適用，部分給予馬來西亞和越南 2年過渡期 適用 不包含爭端解決專章 不適用爭端解決機制 適用 適用 適用 資料來源：作者根據協定內容自行整理 本次報告從貿易協定涵蓋締約國的廣度、協定的國際影響力、相關條款的創新性三個維度綜合考慮，最終選取 CPTPP、RCEP、DEPA、USMAC、UJDTA 等五個貿易或數字經濟協定為代表，梳理各協定的歷史演進過程，分析各協定中數據跨境流動相關條款，探尋各國通過加入或

96、締結貿易協定，如何在平衡國內監管要求的同時，破除數據跨境流動壁壘，以促進區域內的數據跨境自由流動。（）CPTPP 勵建締約國規則互操作機制 CPTPP 的前身是跨太平洋伙伴關系協定（TPP）。TPP 是自 2002 年開始醞釀的多邊自由貿易協定，由新西蘭、新加坡、智利和文萊四國基于跨太平洋戰略經濟伙伴關系協議（P4）率先發起。美國于 2008年談判加入 TPP，自此美國開始占據領導位置，發揮主導作用。2015 年，美國、日本及加拿大等 12 個國家達成 TPP，但未得到所有成員國立法部門的批準。2017年，美國總統特朗普在就任當天正式宣布美國退出TPP，稱退出 TPP 有利于保護美國工人權益1

97、7。美國的退出增加了 TPP 的不確定性。為推動協議生效，日本與加拿大、新加坡、新西蘭等其余十個國家，對協定內容進行了新的討論，并簽訂新的自由貿易協定，新名稱為 CPTPP。各方經過多輪磋商，于 2018 年 1 月完成 CPTPP 談判，并于 3 月 8 日在智利舉行新協定的簽署儀式，CPTPP 最終于 2018 年 12 月 30 日正式生效18。2023 年 7 月 16 日，英國正式被批準加入 CPTPP，成為其生效以來第一次擴容的國家，也成為第一個加入 CPTPP 的歐洲國家。目前中國正在全面推進加入 CPTPP 的議程。2020 年 11 月 20 日，習近平主席以視頻方式出席亞太

98、經合組織（APEC）領導人非正式會議并發表重要講話。宣布“中方將積極考慮加入全面與進步跨太平洋伙伴關系協定”19。2021 年 9 月，中國商務部部長王文濤向 CPTPP 保存方新西蘭貿易與出口增長部部長奧康納提交了中國正式申請加入 CPTPP的書面信函。在近期舉行的商務部記者會上，商務部新聞發言人表示，目前我國已對CPTPP 全部條款進行深入全面的分析、研究和評估，梳理可能需要采取的改革舉措和修改的法律法規，并在有條件的自貿試驗區和海南自貿港主動對照先行先試，我國正在全面推進加入 CPTPP議程，以更大力度改革推進更高水平開放。17 越南貿部部：11 國就跨太平洋伙伴關系協定達成框架協議N澎

99、湃新聞,2017.18 CPTPP：中國步邁向全球化的階梯N.澎湃新聞,2019.19 第觀察|次！習主席說中國將積極考慮加這個協定N.新華,2020.全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 23 CPTPP 是全球范圍內較早生效的包含數字貿易規則的多邊協定。CPTPP 在第 14 章節集中規定了數字貿易相關規則，其中關于數據跨境流動的三個核心條款為個人信息保護（第 14.8 條）、通過電子方式跨境傳輸信息（第 14.11 條）和計算設施的位置（第 14.13 條）。在“個人信息保護”議題下，CPTPP 要求各締約

100、方在考慮國際組織關于個人隱私保護原則的基礎上，建立個人信息保護法律框架，基于非歧視原則為境外個人信息提供保護。此外，由于各締約方可能采取不同的法律方式保護個人信息，各國個人信息保護制度的不兼容、不互認將限制數據跨境流動，因此 CPTPP鼓勵建立促進各國個人信息保護制度兼容性和可互操作性的機制，包括對監管結果的互認、共同安排、更廣泛的國際框架等，以便利數據跨境傳輸。在“通過電子方式傳輸信息”議題下，CPTPP采取了“鼓勵數據跨境流動+合法公共政策目標例外”的基本框架。首先，CPTPP 肯定各國對跨境信息傳輸監管的權力，即各成員國有權設置不同的數據跨境傳輸監管要求。其次，CPTPP 要求數據跨境自

101、由流動，但可以為實現合法公共政策目標對跨境數據流動實施限制，但該限制措施不能構成歧視或變相貿易限制，且不得超過必要限度（即限制措施需滿足非歧視性和必要性原則）。在“計算設施位置”議題下，CPTPP采取了“禁止計算設施本地化+合法公共政策目標例外”的基本框架。首先，CPTPP認可成員國基于通信機密和安全的需求，對其境內計算設施的使用具有監管權力。其次，CPTPP 要求各締約方不得將計算設施本地化作為在其領土內開展業務的前提條件，但可以為實現合理的公共政策目標實施例外措施，前提是例外措施不得構成歧視和變相貿易限制或超過必要限度（即限制措施需滿足非歧視性和必要性原則）?？傮w而言，CPTPP 在促進數

102、據跨境自由流動方面設置了較高的開放標準，它鼓勵建立個人信息保護制度兼容性和可互操作性機制，支持數據跨境自由流動及計算設施非強制本地化，但 CPTPP承認各國對于數據跨境流動、計算設施位置的監管要求，容許有條件的例外，但對例外條例的寬容度較低，僅允許有條件、有限度的例外。表 6 CPTPP 數據跨境流動條款內容 協定 條款 條款內容 CPTPP 第 14.8 條 承認個人信息保護的價值，并將其納入消費者的權益范疇而加以規制；要求各方建立起個人信息的保護框架，并以現存的國際標準作為參考；要求境外個人信息輸入后享受非歧視的境內保護；要求公開企業所應遵守的法律法規以及私人主體可獲得的救濟途徑；鼓勵建立

103、包含互認機制在內的兼容機制。第 14.11 條 認可“成員方關于跨境信息傳輸有其自身的規制要求”；要求數據跨境自由流動；“公共政策目標例外”，為實現公共政策目標可對跨境信息流動實施限制，但該措施的實施方式不構成對貿易的任意或不合理的歧視或變相限制且是適度的，不超過實現目標所需的限制水平。第 14.13 條 承認各締約方有各自監管要求，包括通信安全和保密要求；不得以本地化作為開展業務條件；全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 24“公共政策目標例外”，可以為實現合理公共政策目標采取不符措施，但該措施的實施方式不能構

104、成任意或不合理歧視或變相限制貿易，且不得超過實現目標所必需的限度。（）RCEP 允許“例外規則”的程度保留 RCEP 2012 年由東盟發起，由包括中國、日本、韓國、澳大利亞、新西蘭和東盟十國共 15 方成員制定的協定。2020 年 11 月，第四次區域全面經濟伙伴關系協定領導人會議以視頻方式舉行，會后東盟 10 國和中國、日本、韓國、澳大利亞、新西蘭共15 個亞太國家正式簽署了區域全面經濟伙伴關系協定。2021 年3 月，商務部國相關負責人表示，中國已經完成 RCEP 核準，成為率先批準協定的國家。同年 4 月，中國向東盟秘書長正式交存區域全面經濟伙伴關系協定核準書。2022 年 11 月，

105、中國與東盟發布了中國東盟全面戰略伙伴關系行動計劃(2022-2025)強調共同全面有效落實 RCEP，并加強在數字經濟、網絡和數據安全等的合作。第十二章第八條規定的線上個人信息保護條款外，RCEP數據跨境規則主要集中于第八章“服務貿易”中的附件一“金融服務”和附件二“電信服務”以及第十二章“電子商務”中。RCEP附件一“金融服務”第九條要求每一締約方承諾不得阻止開展業務所必需的信息轉移或信息處理，但是第九條同時承認每一個締約方對其信息轉移與信息處理的管理權利，強調上述規定不得阻止每一締約方的監管需求與數據安全保護。附件二“電信服務”第四條則要求每一締約方應當保證，另一締約方的服務提供者可以使用

106、公共電信網絡和服務在其領土內或跨境傳輸信息。對于信息的安全性和機密性，附件二“電信服務”第四條同意每一締約方可以采取必要措施進行保護，但是前提是不能阻礙服務貿易的進行。第十二章“電子商務”第十四條對計算設施的位置進行規定，明確了數據存儲非強制本地化的要求，但是第十四條第三款為該要求設置了前提，如果締約方為了實現其合法的公共政策目標，以及為了保護其安全利益，則可以采取締約方認為的必要措施。這里的合法公共政策的必要性應當由實施政策的締約方決定，因此賦予了締約方決定是否進行數據存儲強制本地化的權利。第十二章第十五條“通過電子方式跨境傳輸信息”采取了與第十四條一樣的規定方式。第十五條第二款對跨境傳輸電

107、子信息的自由進行了強調，明確“一締約方不得阻止涵蓋的人為進行商業行為而通過電子方式跨境傳輸信息”，但是締約方出于公共政策目標以及安全利益所需可以進行相應的阻止，對于公共政策目標的界定也由締約方決定。此外，由于締約方國內數據相關立法水平不一，第十五條第二款對個別成員國適用該款進行了保留，如柬埔寨、老撾和緬甸在協定生效之日起五年內不得被要求適用該款等。第十二章第十四條、第十五條通過將數據存儲本地化、數據跨境流動的決定權賦予締約方，強調締約方的“安全例外”，極大地維護了各締約方的數據主權。表 7 RCEP 數據跨境流動條款內容 協定 條款 條款內容 RCEP 第八章 附件一 締約方認識到，每一締約方

108、可就信息轉移和信息處理設臵其管理要求。一締約方不得采取下列措施阻止：全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 25 協定 條款 條款內容 其領土內的金融服務提供者為進行日常營運所需的信息轉移，包括通過電子方式或其它方式進行數據轉移；或者其領土內金融服務提供者進行日常營運所需的信息處理。上述中的任何規定并不阻止一締約方的監管機構出于監管或審慎原因要求其領土內的金融服務提供者遵守與數據管理、存儲和系統維護、保留在其領土內的記錄副本相關的法律和法規，只要此類要求不被用作規避一締約方在本協定項下之承諾或義務的手段。以及不限制

109、一締約方保護個人數據、個人隱私，以及個人記錄和帳戶機密性的權利，包括根據其法律和法規進行保護的權利，只要此類權利不被用作規避一締約方在本協定項下的承諾或義務的手段。第八章 附件二 每一締約方應當保證，另一締約方的服務提供者可以使用公共電信網絡和服務在其領土內或跨境傳輸信息，包括此類服務提供者的公司內部通信，以及接入任何締約方領土內數據庫所包含的信息，或者以機器可讀形式存儲的信息。盡管有上述規定，一締約方可以采取此類必要措施，以保證信息的安全性和機密性，并且保護公共電信網絡或服務終端用戶的個人信息，只要此類措施不以對服務貿易構成任意的或不合理的歧視或者構成變相限制的方式實施。第十二章 十四條 締

110、約方認識到每一締約方對于計算設施的使用或位置可能有各自的措施，包括尋求保證通信安全和保密的要求。締約方不得將要求涵蓋的人使用該締約方領土內的計算設施或者將設施臵于該締約方領土之內，作為在該締約方領土內進行商業行為的條件?！肮舱吣繕死?安全例外”。締約方可以為實現合法的公共政策目標決定計算設施的位置，只要該措施不構成任意或不合理的歧視或變相貿易限制的。該締約方可以為基本安全利益采取任何不符措施，且其他締約方不得對此類措施提出異議。第十二章 十五條 各締約方對電子方式傳輸信息有各自的監管要求；一締約方不得阻止為進行商業行為而通過電子方式跨境傳輸信息；“公共政策目標例外+安全例外”。締約方可以

111、為實現合法的公共政策目標采取限制數據傳輸的措施，只要該措施不構成任意或不合理的歧視或變相貿易限制的。該締約方可以為基本安全利益采取任何不符措施，且其他締約方不得對此類措施提出異議。（三）DEPA 提出數據跨境流動創新性條款 隨著全球數字技術的快速發展以及全球數字貿易發展的形勢變化，以新加坡為代表的小國家認為 CPTPP容易造成新的貿易壁壘，同時 RCEP 由于例外規則的保留降低了規則的約束力，且 RCEP 所涵蓋的數字貿易規則標準較低，因此 2019 年 5 月，在新加坡主導下，新加坡、新西蘭和智利共同宣布開啟數字經濟伙伴關系協定（DEPA）談判。經過多輪談判，新加坡等三國于 2020 年 6

112、 月簽署 DEPA，并于 2021 年 1 月 7日正式生效。同時，2020年 8月，新加坡與澳大利亞簽訂新加坡-澳大利亞數字經濟協議（SADEA）。DEPA 與 SADEA 的簽訂標志著以新加坡為代表的小國成為亞太地區，乃至全球數字貿易規則制定的重要力全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 26 量，構建起數字貿易規則的“新式模板”，推動亞太地區數字貿易規則的多元化發展。2021 年 11 月 1 日，中國商務部代表中方向數字經濟伙伴關系協定保存方新西蘭正式提出申請加入 DEPA。DEPA 關于數據跨境流動的原則

113、性條款主要涵蓋在第 4.2、4.3 與 4.4 條款中。作為數據跨境流動的重要前提，數據安全的保護，尤其是個人信息安全的保護日益引起全球范圍內的關注。DEPA 第 4.2 條列舉了締約國國內個人信息保護法應該涵蓋的內容，包括收集限制、數據質量、用途說明等，然而 DEPA 更強調各締約國在個人信息保護體制之間的兼容性和交互操作性。DEPA 第 4.2.6 至 4.2.10 條規定各締約國通過建立監管互認機制、認證框架互認、采用數據保護可信任標志等方式來進一步促進各締約國的國際合作。在數據跨境自由流動與數據存儲本地化規則方面，DEPA 第 4.3 條在強調數據跨境自由流動并將個人信息納入可跨境傳輸

114、范疇的同時，明確如果締約方為了合法公共政策目標而阻礙數據跨境流動，則其所采取的措施必須控制在所需限度之內。第 4.4 條的計算設施位置規則采取與第 4.3 條相同的表述方式，要求數據存儲非強制本地化，并將為實現合法公共政策目標而阻礙該要求的措施控制在必要范圍之內。除數據跨境自由流動與數據存儲本地化等傳統原則性條款外，DEPA新加入了人工智能、開放政府數據、數字身份、數據監管沙盒等具象的創新性條款。DEPA 同時關注政府數據的跨境流動以及跨境流動數據的應用，相關的內容主要集中在 DEPA 的第 8.2條“人工智能”以及第 9.5 條“開放政府數據”中。第 8.2 條強調締約方建立可信、安全和負責

115、任的人工智能框架，同時考慮到“數字經濟的跨境性質”，DEPA 旨在最終實現此類框架的國際一致性。第 9.5 條要求締約方保證以開放數據形式向公眾開放政府信息，并合作確定可擴大獲取和使用公開數據的方式以及制定允許任何人進行訪問、使用和修改的開放數據許可模式，從而增加和創造商業機會。而在數字身份、監管沙盒等數據監管方面，DEPA 旨在實現各締約方的互操作性以及實現數據驅動的創新。DEPA 第 7.1 條要求各締約方建立框架，實現數字身份制度的互操作性并建立共同的標準，同時規定締約方將數字身份納入各自的法律框架或互認數字身份的法律和監管效果。不過第 7.1 條也設置了實現“合法公共政策目標”的例外情

116、形。對于數據監管沙盒，DEPA 第 9.4 條認為企業在數據監管沙盒機制下進行數據共享的有利于促進創新，以及可信的數據共享框架可以促進數據在數字環境中的使用，因此 DEPA 要求各締約方在數據共享項目和機制、數據新用途的概念驗證(包括數據沙盒)等方面開展合作。表 8 DEPA 數據跨境流動條款內容 協定 條款 條款內容 DEPA 第 4.2 條 締約方認識到保護數字經濟參與者個人信息的經濟和社會效益，以及此種保護在增強數字經濟和貿易發展的信心方面的重要性。每一締約方應采用或維持為電子商務和數字貿易用戶的個人信息提供保護的法律框架。在制定保護個人信息的法律框架時，每一締約方應考慮相關國際機構的原

117、則和指南。締約方認識到，健全的保護個人信息法律框架所依據的原則應包括:收集限制;數據質量;用途說明;使用限制;安全保障;透明度;個人參與;以及責任。每一締約方應在保護電子商務用戶不受其管轄范圍內發生的違反個人信息保護行為的影響方面采取非歧視做法。每一締約方應公布關于其為電子商務用戶提供的個人信息保護的信息，包括:(a)個人如何尋求救濟;及(b)企業如何遵守任何法律規定。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 27 協定 條款 條款內容 認識到締約方可采取不同法律方法保護個人信息，每一締約方應致力于制定機制，以促進不

118、同個人信息保護體制之間的兼容性和交互操作性。這些機制可包括:對監管結果的承認，無論是自動給予還是通過共同安排更廣泛的國際框架:可行時，對各自法律框架下的可信任標志或認證框架所提供的相當水平的保護給予適當承認;或締約方之間個人信息轉移的其他途徑。締約方應就第6 款中的機制如何在各自管轄區內實施交流信息，并探討擴大這些或其他適當安排的途徑，以促進它們之間的兼突性和交互操作。締約方應鼓勵企業采用數據保護可信任標志，以幫助驗證其8 符合個人數據保護標準和最佳做法。締約方應就數據保護可信任標志的使用交流信息并分享經驗。締約方應努力相互承認其他締約方的數據保護可信任標志作為便利跨境信息傳輸的同時保護個人信

119、息的有效機制。第 4.3 條 1.認可“成員方關于跨境信息傳輸有其自身的規制要求”。2.義務款，要求數據跨境自由流動。3.“公共政策目標例外”，為實現公共政策目標可對跨境信息流動實施限制，但該措施的實施方式不構成對貿易的任意或不合理的歧視或變相限制且是適度的，不超過實現目標所需的限制水平。第 4.4 條 1.認可“成員方關于有其自身的規制要求”。2.任何締約方不得要求一涵蓋的人在該締約方領土內將使用或設置計算設施作為在其領土內開展業務的條件。3.“公共政策目標例外”，為實現公共政策目標可對跨境信息流動實施限制，但該措施的實施方式不構成對貿易的任意或不合理的歧視或變相限制且是適度的，不超過實現目

120、標所需的限制水平。第 7.1 條 1.認識到締約方在個人或企業數字身份方面的合作將增強區域和全球互聯互通，并認識到每一締約方對數字身份可能有不同的實現工具和法律方式，每一締約方應努力促進其各自數字身份制度之間的可交互操作性。這可能包括：(a)建立或維持適當框架，以促進每一締約方數字身份制度之間實現技術可交互操作性或建立共同標準；(b)每一締約方各自法律框架為數字身份提供同等保護，或通過自動授予或共同協議方式相互認可其法律和監管效果；(c)建立或維護更廣泛的國際框架；以及(d)就與數字身份相關的政策和法規、技術實現工具和保障標準以及用戶采用的最佳實踐交流知識和專業技術。2.為進一步明確，本條中任

121、何內容不得阻止一締約方采取或維持與第1 款不符的措施以實現一合法公共政策目標。第 8.2 條 1.締約方認識到，在數字經濟中人工智能(AI)技術的使用和采用日益廣泛。2.締約方認識到為可信、安全和負責任使用人工智能技術而制定道德和治理框架具有經濟和社會重要性?？紤]到數字經濟的境性質，締約方進一步承認不斷增進共同諒解并最終保證此類框架的國際一致性的益處，從而盡可能便利在締約方各自管轄范圍之間接受和使用人工智能技術。3.為此，締約方應努力促進采用支持可信、安全和負責任使用人工智能技術的道德和治理框架(人工智能治理框架)。全球數據跨境流動規則全景圖 Global Cross-border Data

122、Flows Rules Panorama 28 協定 條款 條款內容 4.在采用人工智能治理框架時，締約方應努力考慮國際公原則或指導方針，包括可解釋性、透明度、公平性和以人為本的價值觀。第 9.4 條 1.締約方認識到，跨境數據流動和數據共享能夠實現數據驅動的創新。締約方進一步認識到，企業在數據監管沙盒機制下，根據締約方各自法律法規共享包括個人信息 13 在內的數據，進一步增強創新。2.締約方還認識到，數據共享機制，例如可信數據共享框架和開放許可協議，可便利數據共享并促進其在數字環境中的使用，從而：(a)促進創新和創造；(b)便利信息、知識、技術、文化和藝術的傳播；以及(c)促進競爭和培育開放

123、高效的市場。3.締約方應努力在數據共享項目和機制、數據新用途的概念驗證(包括數據沙盒)方面開展合作，以促進數據驅動的創新。第 9.5 條 1.締約方認識到，便利公眾獲得和使用政府信息可促進經濟和社會發展、競爭力和創新。2.在一締約方向公眾提供政府信息(包括數據)時，應努力保證以開放數據方式提供此類信息。3.締約方應努力合作確定締約方可擴大獲取和使用公開數據的方式，以期增加和創造商業機會。4.本條下的合作可包括下列活動：(a)共同確定可利用開放數據集、特別是具有全球價值的數據集促進技術轉讓、人才培養和創新的部門；(b)鼓勵開發以開放數據集為基礎的新產品和服務；(c)推動使用和開發通過可在線獲得的

124、以標準化公共許可證為形式的開放數據許可模式，此類模式允許任何人出于締約方各自法律法規所許可的任何目的自由訪問、使用、修改和分享開放數據，且此類模式依賴于開放數據格式。（四）USMCA 強化與國際“軟法”的銜接 USMAC 由北美自由貿易協定（NAFTA）演化而來。2020 年1 月29 日，美國總統特朗普簽署USMCA，標志著實行 20 多年的 NAFTA”改名換姓”，并將其升級為新的版本20。NAFTA 最早于 1992 年簽訂并于 1994 年生效，由此形成的北美自由貿易區曾是發達國家與發展中國組成自由貿易區、開展經濟合作的典范。早在 20 世紀 80 年代，墨西哥開始推行市場化改革，19

125、86 年加入關貿總協定，對外開放度顯著提高，為北美自由貿易協定的談判創造機遇和條件。1990 年，美國與墨西哥開始談判。1991 年，加拿大加入談判。1992 年 12 月 17 日，三國領導人簽訂了北美自由貿易協定。1994 年 1月 1 日，北美自由貿易協定正式生效，北美自由貿易區宣布成立21。根據該協定，成員國相互之間的關稅稅率在 15 年內基本削減為 0；其中，汽車產業只要滿足 62.5%的北美原產地標準，則在 5-10 年間減免成員國間的全部關稅；各國之間減少投資障礙，對外商直接投資實行非歧視待遇，但與國家安全相關的產業、墨西哥的能源產業、加拿大的文化產業除外。不同于其他的關稅同盟、

126、自由貿易區等形式的區域經濟組織，北美自由貿易區由兩個屬于七國集團成員的發達國家和一個發展中國家組成，三國在政治、經濟、文化方面差距 20 曹永福.北美由貿易協定的前世今J.經濟,2020(Z1):152-154.21 曹永福.北美由貿易協定的前世今J.經濟,2020(Z1):152-154.全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 29 很大。因此，北美自由貿易區主要通過垂直分工來體現美、加、墨三國之間的經濟互補關系。具體而言，美國和加拿大以其發達的知識、技術密集型產業，通過商品和資本流動加強在墨西哥的優勢地位，擴大

127、墨西哥市場；墨西哥則可利用本國廉價勞動力，發展勞動密集型產業，將勞動密集型產品銷往美國，同時可以獲取美國的巨額投資和技術轉讓，促進本國產業結構調整。在發達國家貧富差距不斷擴大、低技能勞動者失業浪潮、以及數字貿易興起的大背景下，美國主導了對NAFTA 的修訂及談判。在 2016 年的美國總統競選活動中，特朗普承諾將重新談判或撤出 NAFTA，并且不止一次稱 NAFTA 是“有史以來最糟糕的貿易協議”。此后在美國主導下，三國在 2017-2018 年就 NAFTA 的修訂進行了談判。2018年 11月，美國、墨西哥、加拿大三國領導人在阿根廷首都布宜諾斯艾利斯簽署USMAC，替代原來的 NAFTA2

128、2，USMAC 于 2020 年 7 月 1 日正式生效。值得關注的是，相較于 NAFTA，USMAC 除了在汽車原產地規則、勞工標準、環境保護、知識產權保護等方面發生變化以外,USMAC 還首次將“數字貿易”作為獨立章節納入自由貿易協定。在數字產業快速發展、數字貿易高速增長的背景下，USMAC 反映了美國在數字時代維護其貿易利益的主張，對未來全球貿易規則制定產生巨大影響。USMCA 的總體目標是建立一個靈活的數字貿易框架，努力讓締約方在數字法規、政策、執法和合規方面加強相互合作，并在一定程度上依賴以 APEC 和 OECD 為代表的現有國際原則。USMCA 在第 19 章中集中規定了數字貿易

129、相關規則，其中數據跨境流動相關的三個核心條款為個人信息保護條款（第 19.8 條）、通過電子方式跨境傳輸信息條款（第 19.11 條）、計算設施的位置條款（第 19.12 條）。另外，USMCA 在金融服務章節（第 17 章）中，也特別規定了金融領域的電子方式跨境傳輸信息條款（第 17.17 條）和計算設施位置條款（第 17.18 條）。在“個人信息保護”議題下，由于個人信息保護是制約數據跨境流動的主要因素之一，USMCA同其他主要貿易協定的基本態度相同，要求各締約方在考慮國際組織關于個人隱私保護原則和指南的基礎上，設立個人信息保護法律框架，基于非歧視原則為境外個人信息提供境內保護，并鼓勵各締

130、約方建立促進各國個人信息保護制度兼容性和可互操作性的機制。具體而言，在要求各締約國設立個人信息保護法律框架方面，USMCA 明確可以參考 APEC亞太經合組織跨境隱私規則(CBPR)體系和經合組織隱私保護和個人數據跨境流動指南。在鼓勵各國建立促進個人信息保護制度兼容性和可互操作性機制方面，由于美國、墨西哥、加拿大均加入 APEC 的 CBPR 體系，因此 USMCA 承認 CBPR 系統是保護個人信息同時促進跨境信息轉移的有效機制。這也反映出OECD 隱私指南和APEC 跨境隱私規則及 CBPR 體系對 USMCA 相關規則形成的影響力，以及美國正在著力推動 CBPR 體系作為區域性數據跨境流

131、動的制度安排。在“通過電子方式傳輸信息”議題下，USMCA同其他主要貿易協定一致，采取了“數據自由流動+合法公共政策目標例外”的框架，即不得限制或禁止商業活動中的跨境數據流動，但可以為實現合理的公共政策目標實施例外措施，前提是例外措施不得構成歧視和變相貿易限制或超過必要限度（即限制措施需滿足非歧視性和必要性原則）。在各主要貿易協定中，USMCA最為嚴格地禁止實施數據自由流動的限制性措施。一方面，USMAC 刪除了“各方可能有自己的監管要求”的表述，另一方面 USMAC 還將數據跨境流動的范圍擴大至金融服務領域。22 美墨加三國領導在阿根廷簽署新版貿易協定N新華,2018.全球數據跨境流動規則全

132、景圖 Global Cross-border Data Flows Rules Panorama 30 在“計算設施位置”議題下，目前主要區域及雙邊自貿協定基本采取“禁止計算設施本地化+合法公共政策目標例外”的框架，不得將計算設施本地化作為在其領土內開展業務的條件，但可以為實現合理的公共政策目標實施不符措施，前提是例外措施不得構成歧視和變相貿易限制或超過必要限度（即限制措施需滿足非歧視性和必要性原則）。但是，USMCA最為嚴格地禁止將計算設施本地化作為市場準入的前置條件，沒有設置合法公共政策目標例外。此外，USMAC 還將禁止計算設施本地化的范圍擴大至金融服務領域。而其他貿易協定均承認各方基于

133、通信安全和保密要求，可能有自己的監管要求，且設置合法公共政策例外?？傊?，USMAC 最大程度強調數據跨境自由流動、禁止計算設施本地化，并著力推動 CBPR 體系作為區域性數據跨境自由流動的一項制度安排,將 CBPR 體系作為增強各國個人信息保護機制兼容性的參照。表 9 USMCA 數據跨境流動條款內容 協定 條款 條款內容 USMCA 第 17.17 條 任何一方均不得阻止傳輸信息。本條的任何規定均不限制締約方采取或維持保護個人數據、個人隱私以及個人記錄和賬戶機密性的措施的權利。第 17.18 條 一方可直接、完整和持續的訪問金融監管機構獲取相關人員的信息，并需要消除對該訪問的任何潛在限制；任

134、何締約方均不得要求使用或定位其領土作為在該領土開展業務的條件。第 19.8 條 締約雙方認識到保護數字貿易用戶個人信息的經濟和社會效益，以及保護其對增強消費者對數字貿易信心的貢獻；各方應考慮相關國際機構的原則和準則采用或維持一個法律框架，規定保護數字貿易用戶的個人信息；各方認識到確保遵守個人信息保護措施的重要性，并確保對個人信息跨境流動的任何限制都是必要的，且與所呈現的風險相稱；各方應努力采取非歧視性做法保護數字貿易用戶；各方應公布其向數字貿易用戶提供的個人信息保護信息；各締約方應鼓勵制定機制以促進這些不同制度之間的兼容性，認可CBPR 體系是便利跨境信息傳輸、同時保護個人信息的有效機制。第

135、19.11 條 各方不得禁止或限制為開展商業活動而通過電子方式跨境傳輸信息；“公共政策目標例外”。為實現公共政策目標可對跨境信息流動實施限制，但該措施的實施方式不構成對貿易的任意或不合理的歧視或變相限制且是適度的，不超過實現目標所需的限制水平。第 19.12 條 任何締約方均不得要求將計算設施本地化作為在該領土開展業務的條件。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 31（五）UJDTA 沿襲“美式模板”核規則 繼 USMAC 簽署約一年之后，2019 年 10 月，美國和日本正式簽署了 UJDTA。UJDTA 談判

136、以 TPP 為起點，是美日數字貿易治理博弈的最新產物，也是數字貿易規則“美式模板”的代表之一，其在數據跨境流動、數字產品待遇、源代碼保護等核心議題上的標準較高23。UJDTA 中的多數規則承襲了 USMCA 數字貿易章節中的相關規則24，但也基于美日兩國貿易的實際情況作出了一定調整?？傮w而言，UJDTA 共包含 22 條內容，關于數據跨境流動相關的核心條款包括個人信息保護條款（第 15 條）、通過電子方式跨境傳輸信息條款（第 11 條）、計算設施的位置條款（第 12 條）。在“個人信息保護”議題下，具體內容為“各締約方應設立保護數字貿易用戶個人信息的法律框架；各締約方應公布其為數字貿易用戶提供

137、的個人信息保護的相關信息；各締約方應鼓勵創建機制，以促進不同制度之間的互操作性；締約雙方認識到遵守個人信息保護措施的重要性，且確保對個人信息跨境流動的限制是必要的且與所出現的風險相稱?！笨梢?，UJDTA 無論是在要求各締約國設立個人信息保護法律框架方面，還是在鼓勵各國建立促進個人信息保護制度兼容性和可互操作性機制方面，都基本承襲了 USMCA 的相關規定。在“通過電子方式傳輸信息”議題下，UJDTA 基本沿襲了 USMAC 的相關規定，同樣采取“數據自由流動+合法公共政策目標例外”的框架，且嚴格地禁止實施數據自由流動的限制性措施，同樣刪除了“各方可能有自己的監管要求”的表述。在“計算設施位置”

138、議題下，UJDTA 也基本沿襲了 USMAC 的相關規定，嚴格禁止將計算設施本地化作為市場準入的前置條件，沒有設置合法公共政策目標例外。不同于 USMAC的是，UJDTA 禁止計算設施本地化的范圍不適用于金融服務領域。表 10 UJDTA 數據跨境流動條款內容 協定 條款 條款內容 UJDTA 第 11 條 任何一方均不得禁止或限制為從事商業活動通過電子方式跨境傳輸信息；“公共政策目標例外”。為實現公共政策目標可對跨境信息流動實施限制，但該措施的實施方式不構成對貿易的任意或不合理的歧視或變相限制且是適度的，不超過實現目標所需的限制水平。第 12 條 任何一方不得將本地化作為在該領土開展業務的條

139、件；不適用于第 13 條所涵蓋的金融服務提供者。第 15 條 各締約方應采用或維持一個法律框架，以保護數字貿易用戶的個人信息；各締約方應公布其為數字貿易用戶提供的個人信息保護信息；各締約方應鼓勵創建機制，以促進這些不同制度之間的互操作性；締約雙方認識到確保遵守個人信息保護措施的重要性，以及確保對個人信息跨境流動的任何限制必要且與所出現的風險相稱。23 周念利,吳希賢.美式數字貿易規則的發展演進研究基于美數字貿易協定的視J.亞太經濟,2020(02):44-51+150.DOI:10.16407/ki.1000-6052.2020.02.006.24 Matthew Pereira.U.S.-J

140、apan Digital Trade Agreement and U.S.-Japan Trade Agreement Finalized EB/OL.2019-10-11.https:/ Global Cross-border Data Flows Rules Panorama 32 四、主要經濟體圍繞利益訴求提出規則主張 根據中國信息通信研究院 2022 年 12 月發布的全球數字經濟白皮書（2022）顯示，2021 年各國數字經濟規模排名前 20的國家分別為美國、中國、德國、日本、英國、法國、韓國、印度、加拿大、墨西哥、意大利、巴西、俄羅斯、澳大利亞、愛爾蘭、西班牙、新加坡、瑞士、瑞典、

141、荷蘭25。由于歐盟通用數據保護條例（GDPR）適用于歐盟區域內國家，如法國、意大利、愛爾蘭等，加之瑞士聯邦數據保護法與GDPR 的相似性以及GDPR 在歐洲經濟區內的適用力，因此對于歐洲區域內的國家數據跨境的規則統一為歐盟 GDPR規則。同時，美國與墨西哥、加拿大簽訂了美國-墨西哥-加拿大協定，在其中美國一直強調數據跨境自由流動，“美國規則”占據主導地位。因此，通過調整，本次白皮書納入研究的經濟體包括中國、美國、歐盟、東盟、英國、韓國、印度、巴西、俄羅斯、澳大利亞、新加坡、日本等 12 個主要經濟體。（）中國構建完善法體系劃下數據出境安全紅線 繼2016 年網絡安全法發布后，2021 年，中國

142、陸續出臺個人信息保護法 數據安全法等法律，并基于三大法出臺了關鍵信息基礎設施安全保護條例 網絡數據安全管理條例（征求意見稿）等行政法規，構建起中國數據出境安全保護的頂層規則體系。由于網絡空間個人信息往往不可避免主動或被動地流出境外，因此網絡安全法第 37條首先強調進行“數據本地化”要求，規定關鍵信息基礎設施的運營者應當在境內存儲個人信息、重要數據。網絡安全法第 37條還明確了數據出境的安全評估要求，規定因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。網絡安全法第 37 條的規定標志我國開始進入數據出境強監管的時代

143、。數據安全法關于數據出境的安全規則集中在第 24 條數據安全審查制度，第 25 條出口管制制度以及第 31 條重要數據出境安全管理等。其中，數據安全法第 31 條與網絡安全法第 37 條規定的重要數據內容進行了銜接，其規定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用中華人民共和國網絡安全法的規定，進一步解決重要數據出境安全評估的法律效力問題。對出口管制數據的范圍以及重要數據的界定，網絡數據安全管理條例（征求意見稿）第 73條進行了明確，并將出口管制數據納入重要數據范疇。此外，數據安全法第 36 條明確基于國際條約、協議等緣由向外國司法或者執法機構提

144、供境內數據的，須經主管機關批準。個人信息保護法第三章建立了個人信息跨境流動的規則。第 38 與 39 條對于向境外提供個人信息設置了前置條件，包括出境安全評估、個人信息保護認證、訂立標準合同以及出境事項告知并取得個人單獨同意等。個人信息保護法補充了網絡安全法第 37 條有關個人信息跨境流動管理的相關內容，主要體現在第 40 條個人信息出境安全評估條款。個人信息保護法第 41 條則與數據安全法第 36 條相呼應，明確即使基于國際條約、協議等緣由向外國司法或者執法機構提供境內個人信息的，也需要經主管機關批準。25 中國信息通信研究院：全球數字經濟書（2022），p15,http:/ 全球數據跨境流

145、動規則全景圖 Global Cross-border Data Flows Rules Panorama 33 除出臺網絡安全審查辦法 數據出境安全評估辦法等部門規章外，我國針對個人信息出境制定了相應的國家標準，進一步保障數據出境安全，細化數據安全出境操作路徑。為落實數據安全法第 24條關于數據安全審查制度的規定，國家對原基于網絡安全法制定的網絡安全審查辦法進行修訂。除保留原先的安全審查內容外，網絡安全審查辦法主要增加了網絡平臺運營者在國外上市的規定，強調“掌握超過 100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查”。數據出境安全評估辦法細化網絡安全法第 37 條、數據安全法

146、第 31 條以及個人信息保護法第 40條關于重要數據、個人信息出境評估的要求。數據出境安全評估辦法明確了評估事項，評估所需材料、評估申請流程、評估所需期限等內容。至于哪些情形需要申請出境安全評估，數據出境安全評估辦法明確了具體的范圍，主要是包括：重要數據出境；關鍵信息基礎設施運營者和處理 100 萬人以上個人信息的數據處理者向境外提供個人信息；自上年 1 月 1 日起累計向境外提供 10 萬人個人信息或者 1 萬人敏感個人信息的數據處理者向境外提供個人信息以及出于兜底需要的其他情形。對于個人信息出境，目前有三種路徑，除適用數據出境安全評估辦法外，還可適用個人信息跨境處理活動安全認證規范 V2.

147、0與個人信息出境標準合同。個人信息出境標準合同辦法明確個人信息出境標準合同適用的是未達到安全評估門檻的個人信息出境情形并且由個人信息處理者自我審查決定，與數據出境安全評估辦法有清晰的界限。同時，個人信息出境標準合同與東盟的 MCCs 類似，個人信息出境標準合同辦法明確個人信息處理者可以與境外接收方約定其他條款，但不得與標準合同相沖突。個人信息跨境處理活動安全認證規范 V2.0則是依托第三方專業機構對個人信息處理者開展個人信息出境進行安全認證，不過與其他兩種路徑有清晰的適用范圍相比，其缺乏較為具體的認證適用范圍。2023 年 9 月 28 日，國家互聯網信息辦公室發布規范和促進數據跨境流動規定（

148、征求意見稿）（下稱“規定”），旨在保障國家數據安全，保護個人信息權益的基礎上，進一步規范和促進數據依法有序自由流動。本次規定的重點內容主要包括重申需申報數據出境安全評估的場景；明確無需申報數據出境安全評估的情形；賦予自由貿易區制定“負面清單”的權利等。本次規定的出臺與此前發布的法律法規構成我國數據出境更加完善的規則體系，在厘清數據安全紅線的前提上，踩下了數據出境的“油門”。（）美國主張“有限例外”的由流動規則 美國在與其他經濟體簽訂的雙邊或者多邊貿易協議中一直強調有限例外原則，旨在推動數據跨境自由流動，從而利用自身技術市場優勢實現數據跨境流動的經濟利益最大化。1997 年開始，美國基于有限例外

149、原則在全球電子商務框架（The Framework for Global Electronic Commerce）中提出在盡量保障個人隱私的基礎上，信息要盡可能自由跨境流動，如果各國在信息跨境流動方面采取不同的政策，那么有可能形成非關稅貿易壁壘。此后，美國在 2000 年與歐盟簽訂安全港協議（U.S.-EU Safe Harbor Framework），允許網絡運營商忽略歐盟各國法規差異，在美國與歐盟國家之間合法傳輸網絡數據。在安全港協議的保護下，谷歌、臉書等多家美國公司頻繁將歐洲用戶數據輸往美國存貯及分析。由于施雷姆斯案，2015 年 10 月，歐盟判決認定安全港協議無效。為彌補安全港協議失

150、效后美歐數據跨境流動的限制，2016 年，美國與歐盟簽署歐美隱私盾協議（EU-U.S.Privacy Shield）。美國強調在加強政府安全監管的基礎上允許數據的自由流動。截至 2020 年，超過 5000 家美國企業根據該協定傳輸并處理其歐洲用戶的數據。此后，歐盟認為美國的全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 34 數據保護未達到歐盟標準，最終于 2020 年 7 月宣布歐美隱私盾協議無效。2023 年 7 月，歐盟與美國在跨境數據流動領域達成第三份協議歐盟-美國數據隱私框架（EU-US Data Privac

151、y Framework）。通過近三年的長久談判和強力的政治行政手段，歐美恢復了跨境數據流動的規制體系。在其他雙邊、多邊協議中，堅持有限例外原則下的數據跨境自由流動依然是美國的出發點。2012 年，美國與韓國簽署美韓自由貿易協定（US-Korea Free Trade Agreement），提出雙方應避免限制跨境數據流動，實現數據自由流動。在美墨加協定（USMCA）、跨境隱私規則體系（CBPR）、全面且先進的跨太平洋伙伴關系協定（CPTPP）等中，美國一直強調數據流動的全球屬性，禁止數據與數字基礎設施本地化，旨在打開推行數據本地化存儲的國家的市場。出于維護數據安全和數據霸權的需要，美國對數據采用

152、嚴格的出口管制并適用長臂管轄。在出口管制方面，美國出口管理條例(Export Administration Regulations)限制特定領域的數據出口，受管制的技術數據若傳輸到位于美國境外的服務器，則需獲得美國商務部產業與安全局（BIS）的出口許可。此外，2023 年 10月 25 日美國貿易代表凱瑟琳泰（Katherine Tai）在世界貿易組織（WTO）的談判中放棄了長期的美國數字貿易要求，以便為國會提供監管大型科技公司的空間。美國正撤回 2019年由特朗普政府提出的提案，這些提案堅決要求 WTO 電子商務規則允許自由的跨境數據流動，并禁止數據本地化和軟件源代碼審查的國家要求。此舉目的

153、在于為從嚴監管國內科技巨頭做好政策鋪墊，未來將繼續要求科技巨頭做好數據本地化，限制科技巨頭的數據出境等。在長臂管轄方面，美國則于 2018 年出臺澄清境外數據的合法使用法案（CLOUD 法案），規定無論網絡服務提供商的通信內容、記錄或其他信息是否存儲在美國境內，只要該網絡服務提供者擁有、控制或監管上述內容、記錄或信息，均需要按照該法令的要求保存、備份、披露。通過 CLOUD 法案美國將過去數據管轄的數據存儲地原則轉變為數據控制者原則，擴大了其獲取海外數據的權力。此外，外國政府若想通過網絡提供商訪問調取儲存在美國的本國數據，則必須是 CLOUD 法案所定義的符合條件的外國政府并滿足其所要求的一系

154、列條件。（三）歐盟對外實充分性認定規則 歐盟的數據跨境流動主要分為內部成員國之間的數據跨境流動，以及跨歐盟疆界的數據流動。通用數據保護條例（GDPR）規定的跨境指的就是跨越歐盟的疆界。在內部成員國之間，歐盟旨在推動數據的自由流動，構建歐洲單一數據市場26。歐盟身處數字經濟邊緣，幾無大型數字平臺，僅占全球 70 個大型數字平臺市值的 4%（中美占 90%）27，而歐盟的大部分大型數字平臺企業來自美國，因此，基于維護數據主權、保障數據安全的需要，歐盟構建了數據跨境流動的充分性認定規則框架。在1995 年的關于個人數據處理保護與自由流動指令（Directive 95/46/EC on the Pro

155、tection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data）中，歐盟提出了充分性認定的要求，其第 25 條 A 款規定如果歐盟范圍以外的其他國家能夠對歐盟公民的個人隱私和數據提供充分的 26 林梓瀚.基于數據治理的歐盟法律體系建構研究J.信息安全研究,2021,7(04):27 晶.歐盟的規則，全球的標準?數據跨境流動監管的“逐頂競爭”J.中外法學,2023,35(01):全球數據跨境流動規則全景圖 Global Cross-border

156、Data Flows Rules Panorama 35 保護，那么歐盟公民的個人隱私和數據可以從歐盟境內轉移到歐盟境外的其他國家。從那時起，歐盟將“充分性認定”作為數據（信息）跨境傳輸的基本準則。此后，對充分性認定的要求，GDPR 第 45 條第一款做了進一步規定，明確當歐盟以歐委會決定的形式認定某個國家、某個國家的特定區域或行業或者某個國際組織能夠提供充分的數據保護水平時，個人數據即可向前述國家、區域或國際組織傳輸，而無需歐盟的額外授權。因此，如果數據要流出歐盟邊境，得到歐盟的充分性認定是前提。目前，獲得歐盟充分性認定的國家地區包括以色列、日本等，中國尚不在充分性認定名單之中。如果達不到歐

157、盟充分性認定的標準，則有另外兩種方式，分別是約束性企業規則（BCRs）和標準合同條款（SCCs）。BCRs是適用于在跨國公司內部進行個人數據跨境流動的規則?？鐕救绻邆錃W盟成員國數據管理機構認可的BCRs，則可以直接進行公司內部的數據跨境傳輸。不過，當跨國公司適用BCRs 時，個人數據跨境流動僅限于跨國公司內部的數據傳輸，如果該跨國公司將個人數據傳輸至其他外部主體時，則不得適用 BCRs 模式，即使該外部主體也有資格適用 BCRs。SCCs 是個人數據跨境傳輸的標準合同文本，歐盟委員會通過制定強制性條款內容約束數據輸出者和數據輸入者以確保個人數據獲得充分的保護。SCCs主要包括數據輸出者和

158、數據輸入者的義務，第三方受益人權利條款，以及責任分擔條款。不過，SCCs在適用方面存在較大缺陷，每一次個人數據的跨境流動都需要專門簽訂合同，因此，難以適用于大量的數據跨境流動，同時，大量的合同文本也會很容易造成合規風險漏洞。除上述規則外，GDPR 第 42 條和第 43 條規定了個人數據跨境流動合規性認證的制度，由歐盟各國數據監管當局認可的認證機構對第三國數據接收方進行認證，通過認證獲得認證證書后方可進行個人數據的跨境流動。2018年，歐盟數據保護委員會發布關于 GDPR第 42和 43條規定的認證和認證標準的指南（Guidelines 1/2018 on certification and

159、identifying certification criteria in accordance with Articles 42 and 43 of the Regulation）對認證規則進行了細化。不過，某個成員國的認證機構頒發的認證證書只對該國有效，除非第三國數據接收方申請歐洲通用級認證方可在歐盟境內通用。（四）東盟落地施“范合同條款”機制 2016 年，東盟依托東盟經濟共同體藍圖 2025和東盟信息通信技術總體規劃 2020，出臺東盟個人數據保護框架。該框架旨在統一東盟內的網絡安全和數據流動標準,以東盟整體增強數據保護水平，同時為確保成員國的對該框架的適用，該框架在內容上靈活適應成員

160、國在數據和隱私保護監管方面的不同的成熟度。此后，隨著全球數字經濟的發展，東盟尋求更加具有前瞻性以及有利的治理框架與政策以促進數字經濟的增長，因此出臺了東盟數字數據治理框架。東盟數字數據治理框架提出四大戰略優先事項，分別為數據生命周期系統、數據跨境流動、數字化和新興技術以及法律法規和政策，而為了支撐這四大戰略優先事項的落地，該治理框架對應提出東盟數據分類框架、東盟數據跨境流動機制、東盟數字創新論壇、東盟數據保護和隱私論壇等四大倡議。其中，對于東盟數據分類框架，東盟數字數據治理框架明確制定一個寬泛的數據分類框架是比較有利的，而且這個分類框架也不意味著窮盡了數據的分類。而對于東盟數據跨境流動機制，東

161、盟數字數據治理框架認為成員國進行數據跨境流動時須明確哪類數據可以流動以及數據流向的對象是誰，但同時在建立東盟數據跨境流動機制時也應該考慮成員國的發展水平與法律環境。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 36 此后，鑒于對國際現有標準的適用，如美國 NIST 800-60將信息和信息系統的類型映射到安全類別的指南、ISO 27001信息安全管理體系、ISO 27701隱私信息管理體系等以及相關機構制定數據治理架構的需要，東盟將東盟數據分類框架調整為東盟數據管理框架，并在第一屆東盟數字部長會議上正式發布。東盟數據管理

162、框架提出了數據治理框架的六大組成部分，分別為治理與監管、政策與程序性文件、數據清單、影響與風險評估、控制、監控與持續性提升，其中數據清單的制定對使用、收集的數據進行識別和歸類，而控制則是根據分配的類別和數據的全生命周期，在系統內設計和執行數據的保護性控制。在落實東盟數據跨境流動機制建設方面，東盟出臺東盟跨境數據流動機制的關鍵方法，在其中建議東盟重點建設“東盟示范合同條款”和“東盟跨境數據流動認證”兩個機制。2021 年 1 月，東盟發布東盟數據跨境流動示范合同條款（MCCs）。MCCs 根據數據傳輸方式的不同，提供了“數據控制者到數據處理者”及“數據控制者到數據控制者”兩種合同模板，在合同中通

163、過必備條款、可選條款以及選擇相關條款明確了數據跨境流動雙方的責任、所需的數據保護措施和相關義務。與歐盟的 SCCs 相比，東盟 MCCs 缺少歐盟 SCCs 的另外兩中場景的模板，即“數據處理者到數據處理者”和“數據處理者到數據控制者”。東盟的 MCCs 只是自愿性標準和指導性范本，東盟鼓勵各成員國將 MCCs 作為數據跨境流動的最低標準。MCCs 的使用并不要求成員國將其直接內化為國內法或修改成員國現有的法律，僅僅將其作為最低要求的非約束性條款。對于 MCCs 合同條款的修訂，合同雙方可依據 2016 年東盟個人數據保護框架規定的原則或成員國法律的要求，通過書面協議修訂 MCCs，同時，在不

164、與 MCCs 相矛盾的情況下，也可以通過書面協議協商添加條款。盡管 MCCs 是為了東盟成員國之間的數據跨境流動而設計，但是東盟不排斥企業在東盟成員國以外適用 MCCs。除施行 MCCs 外，東盟也承認國際標準化組織有關安全和隱私技術的系列標準以及亞太經合組織跨境隱私規則、亞太經合組織數據處理者隱私識別體系等機制。（五）新加坡適多元規則強化與國際對接 從 2006 年開始，新加坡政府就開始致力于智慧國家的建設。其代表性事件是，新加坡在 2006 年啟動了“智能國家 2015”計劃，并在 2015 年升級為“智慧國家 2025”計劃。而隨著“智慧國家 2025”建設的推進，數據的流通與安全，尤其

165、是個人數據的流通與安全日益引發重視。為此，2012 年新加坡制定了2012 年個人數據保護法，并針對個人數據的出境制定了基本要求。新加坡2012 年個人數據保護法第 26 條明確，在新加坡境內，負責數據跨境流動的監管部門主要是個人數據保護委員會（Personal Data Protection Commission，PDPC）。對于具體的出境傳輸要求，第 26 條規定，對于跨境傳輸的數據，機構應當按該法律規定建立個人信息保護標準，確保被傳輸的數據得到與新加坡法律相當的保護，否則不得進行跨新加坡國境傳輸。第 26 條同時給予 PDPC 豁免的權利，規定 PDPC 可以根據機構的申請，通過書面通知

166、豁免機構前述跨境合規義務。對于豁免的具體適用情形，PDPC 有權利可以隨時增加、改變或撤銷。此后，新加坡對2012 年個人數據保護法進行了補充修訂，并于 2021 年出臺了2021 年個人數據保護條例，進一步補充了新加坡數據跨境傳輸的規定。2021 年個人數據保護條例第三部分對2012 年個人數據保護法第 26 條進行了補充完善，除第 9 條再次強調其所指的數據跨境流動是指數據出境外，第 10 條細化了個人數據出境的相關要求。規定個人數據出境必須獲得個人同意并遵循“出境必要論”與“目的純粹論”，明確將個人數據傳輸給新加坡以外的國家或地區的接收方，對于保護數據主體利全球數據跨境流動規則全景圖 G

167、lobal Cross-border Data Flows Rules Panorama 37 益以及國家利益是必要的，同時傳輸機構確保數據接收方不會為除了數據處理目的之外的其它任何目的而使用或披露該個人數據。同時，第 10 條再次對2012 年個人數據保護條例第 26 條進行了回應，規定傳輸方應采取合理的措施，確保其對所傳輸的數據提供的保護不低于新加坡法律規定的標準等。為強化與國際接軌，除適用本國的法律與東盟層面相應規則外，2021 年個人數據保護條例第 12 條明確承認亞太經合組織跨境隱私規則體系（APEC CBPR 體系）和亞太經合組織處理者隱私識別體系（APEC PRP 體系）在新加坡

168、境內的有效性。數據的境外接收方通過 APEC CBPR 認證或者 APEC PRP 認證，則可視為滿足新加坡法律對于數據傳輸接收方的合規要求。APEC CBPR體系的目標對象是數據控制者而非數據處理者，數據處理者則可通過 APEC PRP 體系認證，證明自身的數據處理至少符合 APEC CBPR 體系對數據控制者的數據處理隱私保護要求?；诘?12 條，PDPC 建立了一項與 APEC CBPR 認證、APEC PRP認證對接的認證，擬申請認證的企業需要向新加坡通信和信息部下屬的新加坡信息通信和媒體發展局（IMDA）提交申請。通過申請評估后，企業即可通過 APEC CBPR 認證、APEC P

169、RP 認證。每次認證的有效期為 1 年，企業需要至少在有效期屆滿的 3 個月前向 IMDA 再次申請認證。（六）英國脫歐后推“英國 GDPR”英國脫歐過渡期結束后，可以自由決定自己的國際貿易政策，但同時也喪失了作為歐盟成員國的權利。自 2021 年 1 月 1 日起，歐盟法律（包括歐盟 GDPR）不再直接適用于英國。為了應對這一轉變，英國修訂了現行的2018 年數據保護法，將 GDPR的要求和原則納入其中，形成了英國 GDPR（United Kingdom General Data Protection Regulation）28。該法第五章允許個人數據在充分性認定、適當保障措施（如標準數據保

170、護條款和有約束力的公司規則）或該法規定的其他條件的基礎上從英國流向第三國。英國 GDPR 第 45 條設立了“數據保護充分性認定”規則。英國 GDPR 規定的充分性檢驗標準是通過對第三國數據保護法律、實施、執行和監督的整體效果進行分析評估，確保當個人數據進行國際傳輸時，英國 GDPR 規定的保護水平不會受到削弱。除以上評估標準外，還應特別考慮第三國關于法治、尊重人權和基本自由、獨立監管機構的存在和有效運作以及相關國際承諾。英國脫歐后，無法通過歐盟單一數據市場下成員國之間的自由流動機制實現數據跨境傳輸。雙方需要一個長期解決方案以應對可能面臨的個人數據跨境傳輸中斷和企業合規成本高昂的風險。2021

171、 年 6 月 28 日，歐盟委員會通過了兩項將個人數據傳輸到英國的充分性認定的決定。這些決定意味個人數據可以從歐洲經濟區流向英國，而無需適當的保障措施。然而，為防止未來出現分歧，歐盟委員會引入日落條款（sunset clause），將充分性認定有效期限制為四年，并受到定期監測和審查。此外，如果歐盟充分性認定決定被撤銷或修改，將個人數據從歐盟轉移到英國則需要遵循GDPR 第 46 條規定的額外保障措施。目前，英國已制定了脫歐后充分性認定的評估方法、評估模板和相關指南。英國進行充分性評估的優先國家是韓國、美國、澳大利亞、迪拜國際金融中心和哥倫比亞，長期優先國家是印度、巴西、印度尼西亞和肯尼亞。英國

172、已經通過與韓國的充分性認定，“英美數據橋”（UK-US data 28 See United Kingdom General Data Protection Regulation,https:/www.legislation.gov.uk/eur/2016/679/introduction 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 38 bridge）也將于 2023 年 10 月 21 日生效，屆時將允許英美相關組織通過“歐盟-美國隱私框架的英國擴展”進行英美兩國間的數據跨境傳輸。當第三國未通過英國充分性認定時，公

173、共部門和私營部門可以通過英國 GDPR 第 46 條規定的適當保障措施進行跨境數據傳輸。政府公共部門之間的數據傳輸可以通過政府機構之間的法律文書和行政安排進行。私營部門可以通過標準數據保護條款、約束性企業規則、數據保護行為準則（Data protection codes of conduct）和認證計劃（Certification schemes）進行數據跨境傳輸。標準數據保護條款是雙方在傳輸數據之前必須簽署的現成的合同條款，旨在為向第三國組織傳輸個人數據提供適當的保障。2022 年 3 月 21 日，新的英國國際數據傳輸協議（IDTA）和新的 2021 年歐盟標準合同條款的附錄（SCCs 附

174、錄）開始生效，取代了舊的歐盟標準合同條款（舊 SCCs），作為符合英國 GDPR 的傳輸工具。然而，由于英國在未脫歐前認可并使用的是歐盟 SCCs，因此，2022 年 9 月 21 日之前依據舊的歐盟 SCCs 簽訂的合同繼續有效，直到 2024 年 3月 21 日之后，適用舊歐盟 SCCs 的舊合同將需要根據 IDTA 進行修訂。對于 2022 年 9 月 21 日或之后簽訂的新合同，組織必須使用 IDTA 或 SCCs 附錄。約束性企業規則是適用于跨國公司、企業集團或從事聯合經濟活動（如特許經營，合資企業或專業合伙企業）的企業使用的規則。申請者在滿足英國 GDPR 第 47、48 條以及信

175、息專員辦公室（ICO）發布的準則和要求時可以將個人數據合法地傳輸到英國以外的其他子公司。此外，在 2020 年 12 月 31 日持有歐盟批準的具備約束性企業規則的公司，如果在 2021 年 6 月 30 日之前滿足相關條件，經信息專員批準可得英國認可。數據保護行為準則是經ICO 批準的規定了適當保障措施的特定行業準則，可由行業協會和其他代表機構制定。如果相關組織做出具有約束力和可強制執行的承諾、遵守準則并應用適當的保障措施，則可以依靠這些措施將個人數據傳輸到英國境外。認證計劃是證明相關主體符合英國 GDPR 所規定的保護水平的機制。通過認證必須得到 ICO 的批準，并遵守 ICO 認證指南中

176、規定的標準。但是數據保護行為準則和認證計劃目前并未在數據跨境流通領域充分應用。（七）本在保護個信息的基礎上構建數據跨境態圈 2003 年 5 月，日本通過個人信息保護法（Act on the Protection of Personal Information）（以下簡稱“APPI”）建構數據跨境傳輸規則29。該法在附則中規定，法律施行后，政府每三年就應當根據形勢變化進行相應的修訂?；谠撘幎?，個人信息保護法歷經數次修訂，最近一次的修訂案已于 2023 年 4 月 1 日正式實施。APPI確定了個人信息跨境傳輸以取得數據主體同意為原則，不同意為例外的出境規則。對于事前同意機制，APPI 第 2

177、8 條規定，當個人信息處理者向境外提供個人數據取得數據主體同意時，必需根據個人信息保護委員會（PPC）的規定，事先向數據主體提供有關外國個人信息保護的制度、第三方采取的個人信息保護措施以及其他可供參考的信息。有三類情形可不需要取得數據主體的同意，分別是充分性認定規則、PPC 規定的充分的隱私保護標準和APPI 第 27 條規定的七種例外情形。充分性認定規則是指 APPI 第 28 條所規定的在保護個人的權利利益方 29 See Act on the Protection of Personal Information,https:/www.ppc.go.jp/en/legal/全球數據跨境流動

178、規則全景圖 Global Cross-border Data Flows Rules Panorama 39 面與日本具有同等水平的個人信息保護制度的國家可以實現數據跨境自由流動，而不需要獲得數據主體的同意。此前，為達成歐盟 GDPR 要求的充分性認定要求，日本修訂了個人信息保護法以加強個人信息保護達到歐盟 GDPR 所要求的同等保護水平。此外，制定基于充分性決定處理從歐盟和英國轉移的個人數據的個人信息保護法補充規則以彌合與歐盟在數據保護水平的差距。2019 年 1 月 23 日，日歐實現了數據保護充分性雙向認定，數據傳輸方可以將個人數據從日本轉移到歐盟，而無需采取特定數據主體同意或特殊合同條

179、款等措施。根據 APPI 的執行規則，“類似適當的隱私保護標準”是指經營者處理個人信息的做法至少與 APPI 規定的個人信息保護要求相等，或者經營者獲得了有關個人信息處理的國際框架的認證。亞太經濟合作組織（APEC）跨境隱私規則（CBPRs）可作為將個人數據傳輸給日本境外第三方的一種選擇。亞太經合組織于2016 年 1 月批準日本信息處理開發中心（JIPDEC）成為 CBPR 系統下日本的第一家責任代理機構。日本信息處理開發中心可向日本企業頒發證書，證書一旦頒發，即被視為在所有亞太經合組織國家有效，可保證經認證的實體已制定符合亞太經合組織隱私框架的程序。此外，APPI 第 27 條規定的七種情

180、形，可作為未經數據主體同意將個人信息提供給第三方的例外。這七種情形分別是：法令要求；為保護人的生命、身體財產需要且難以取得本人同意；為改善公共衛生或促進兒童發展需要且難以取得本人同意；國家機關、地方人民政府或者受其委托的人員需配合執行法律規定的事務，征得本人同意，可能會妨礙該事務的執行；信息處理者是學術研究機構且為公開學術研究成果或傳授學術研究成果必需提供個人數據；信息處理者是學術研究機構且出于學術研究目的需要提供個人數據；第三方為學術研究機構且出于學術研究目的必需處理個人數據。在保護個人信息安全的基礎上，日本對外推動“可信賴數據自由流動倡議”（Data Free Flow with Trus

181、t，DFFT）以構建數據跨境流動生態圈。DFFT 是日本在 2019 年的達沃斯世界經濟論壇上提出的倡議，其邀請邀請各國領導人建立一個可信賴數據自由流動的國際秩序，并將此倡議命名為“大阪軌道”。DFFT的概念旨在促進數據的自由流動，同時確保隱私、安全和知識產權方面的信任。隨后，在G20 大阪峰會上，各國政府首腦對實現數據自由流動與信任（DFFT）愿景表示了贊同，確認了大阪軌道的價值。此后，日本積極通過多種途徑推行 DFFT。（）韓國聚焦個信息細化跨境傳輸規則 韓國個人信息保護法（Personal Information Protection Act，以下簡稱“PIPA”）和個人信息跨境傳輸規定

182、（以下簡稱規定）建構了個人數據跨境的主要規則。PIPA 于 2011 年 9 月 30 日首次實施，后經歷了多次重大修訂，最新修訂的 PIPA 于 2023 年 9 月 15 日生效30。新修正案在很大程度上簡化了 PIPA 下有關海外個人數據轉移的現行框架，設置了多元化數據跨境傳輸條件及處罰制度，并授予個人信息保護委員會（PIPC）強制停止跨境轉移的權力。然而，值得注意的是，修訂后的 PIPA 沒有規定標準合同條款或具有約束力的公司規則作為跨境轉讓的法律依據。2023 年 7 月 26 日，PIPC 發布了規定的草案，2023 年 10 30 See Enforcement Decree o

183、f the Personal Information Protection Act Enforcement Date September 15,2023,https:/www.pipc.go.kr/eng/user/lgp/law/lawDetail.do 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 40 月 16 日，規定正式生效31。該規定旨在更好地執行修訂后的個人信息保護法以及個人信息保護實施令，該規定也將進一步完善韓國的跨境傳輸制度。根據 PIPA，數據傳輸方在將個人數據轉移給境外的第三方之前，必須事先取得數據

184、當事人的同意。同樣，在后續數據傳輸中，個人數據的第一個境外接收方將作為個人數據的轉讓方受到 PIPA 的約束。盡管有上述限制，如果傳輸被認為是出于簽訂、履行合同需要而存儲或委托處理的目的所必需，數據控制者可在未征得數據主體/用戶同意的情況下，將個人數據傳輸到韓國境外，前提是已經在隱私政策或通過電子郵件中披露了接受方的詳細信息。除知情-同意外，還有兩種替代性傳輸機制，分別是數據跨境傳輸認證和充分性認證?？缇硞鬏斦J證是對數據接收方所提供的處理及保護措施是否符合 PIPA 規定的保護水平進行的認證，包括個人信息保護認證和個人信息跨境傳輸認證。個人信息保護認證是指個人信息保護委員會就海外接收方的數據處

185、理及保護措施是否符合 PIPA 的規定進行認定。個人信息跨境傳輸認證是指根據規定，由個人信息保護認證機構和跨境轉移專家委員會就個人信息保護水平以及對個人信息主體權利的保護是否充分進行評估和審查，并提交PIPC審查認定。針對兩項認定的優先級，規定明確，PIPC 在進行跨境傳輸認證審查時，應同步確定跨境轉移認證的隱私保護水平是否符合個人信息保護法第 32-2 條規定的個人信息保護認證。如果 PIPC 經審查確認該跨境轉移認證的隱私保護水平未達到第 32-2條規定的個人信息保護認證的隱私保護水平，該跨境傳輸認證應同時適用個人信息保護認證結果。在達到認定標準時，海外接收方還采取必要措施保護個人數據安全

186、和數據主體權利，并采取個人信息移轉所在國的數據保護認證規定的必要措施進行數據處理。PIPA 規定的充分性認定框架與 GDPR 充分性認定機制一致。根據 PIPA 第 28-8 條，個人信息可以跨境轉移到 PIPC 認可的具有基本等同于 PIPA 要求的數據保護水平的國家或國際組織。歐盟委員會于 2021 年 12月 17日通過了一項針對韓國的充分性決定，承認韓國對個人數據的保護水平基本相當，規定向韓國的數據可以轉移到歐洲經濟區（EEA）國家，而無需額外的轉移工具或條件，也無需獲得歐洲經濟區數據保護監管機構的授權。隨后，2022年 7月 5日，英國和韓國就跨境數據傳輸原則上達成了充分性協議，該協

187、議于2023 年 11 月 23 日生效。（九）俄羅斯以數據本地化存儲作為數據跨境流動必要前提 根據 2015 年 9 月 1 日生效的數據本地化相關法律第 242-FZ 號聯邦法（Federal Law No.242-FZ）的規定，數據控制者收集的與俄羅斯公民有關的個人數據必須在俄羅斯境內的數據庫中進行操作32。早在 2015 年8 月 3 日，俄羅斯聯邦通信與大眾傳媒部（Minsviaz）就發布了關于數據本地化存儲的書面指南，說明了第242-FZ 號聯邦法實施的新的個人數據本地化要求。指南表明，只要遵循俄羅斯關于個人數據的其他法律，就可以將有關俄羅斯公民的個人數據轉移出俄羅斯。但是，俄羅斯

188、公民的個人數據必須首先在俄羅斯數據庫中“記錄、系統化、累積、存儲、修改、更新和檢索”，隨后才可以轉移到俄羅斯以外的其他數據庫。31 See South Korea:PIPC publishes draft regulations on overseas transfer of personal information for public comment,https:/ 32 See Primer on Russias New Data Localization Law,https:/ 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Pan

189、orama 41 滿足數據本地化存儲的要求后，個人數據在符合俄羅斯個人保護數據法和為保護公民道德、健康和合法利益而禁止或限制個人數據跨境傳輸的個人數據主體權利保護授權機構決策規則33（以下簡稱授權機構決策規則）構建的個人數據跨境傳輸規則下可以進行國際傳輸。個人數據保護法根據境外第三方對個人數據的保護程度，制定了差異化的個人數據跨境流動規則。根據個人數據保護法和授權機構決策規則的規定，如果目的地國為俄羅斯聯邦通信監管局（Roskomnadzor）認定的對個人數據提供充分性保護的國家，則可以在通知 Roskomnadzor 后進行傳輸。充分性認定標準包括第三國是否具備有效的個人信息保護法律、是否設

190、立了個人信息保護機構，以及是否針對違反個人信息保護法律的行為建立了有效的懲罰措施等。個人數據保護法修訂時將關于個人數據自動化處理的個人保護公約（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，簡稱108 號公約）締約國及處理個人數據時保證數據保密性和安全性方面符合該公約規定的非締約國認定為提供充分性保護的國家。然而，自 2022 年 9 月起，Roskomnadzor 將獨立決定哪些國家在跨境數據傳輸方面被認定為充分。因此，Roskomnadzor

191、 可以決定是否將108 號公約締約國列入充分國家名單。2022 年 8 月 5 日，Roskomnadzor 發布第 128 號命令將中國、印度、吉爾吉斯共和國等國納入充分性認定名單中。若目的地國為非通過充分性認定的國家，除為保護個人數據主體或其他人的生命、健康和其他切身利益而必須進行個人數據跨境傳輸外，個人數據傳輸主體向 Roskomnadzor通報并通過審查后方可進行傳輸。在特殊情況下，如果個人數據跨境傳輸會使國防、安全或憲法秩序的基礎受到威脅，Roskomnadzor會做出限制或禁止傳輸的決定。在做出禁止或限制決定后，數據傳輸主體應確保數據接收主體銷毀此前接收的個人數據。（）澳利亞以“合

192、理措施”規制數據跨境流動 澳大利亞隱私法（Privacy Act）34和澳大利亞信息專員辦公室發布的澳大利亞隱私原則指南（Australian Privacy Principles Guidelines，以下簡稱指南）構成了其數據跨境流動的基本框架35。根據隱私法和指南的規定，除非適用某些豁免，否則數據傳輸方只有在采取合理措施（reasonable steps）確保海外接收者不會違反與信息有關的隱私原則時才可以進行個人數據跨境傳輸。指南指出，何為合理措施取決于個案情況，包括個人信息的性質(如是否為敏感信息)、數據傳輸方與海外接收者的關系、信息處理不當對個人造成傷害的風險以及采取特定措施的可行性

193、等。通常，數據傳輸方會與海外接收方會通過合同安排，加入要求實體遵守隱私法相關的條款及明確規定關鍵要求。33 俄羅斯聯邦政府 2023 年 1 16 發布的第 24 號命令 ,，于 2023 年 3 1 效。34 See Privacy Act 1988,https:/www.legislation.gov.au/Details/C2023C00347 35 See Australian Privacy Principles Guidelines,https:/www.oaic.gov.au/_data/assets/pdf_file/0009/1125/app-guidelines-july-

194、2019.pdf 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 42 隱私法和指南規定了3 種合理措施豁免的情形。第一，澳大利亞法律或法院/法庭命令要求或授權披露信息。這一豁免僅涵蓋有限的情況，例如，根據澳大利亞法律（如反洗錢法或有關刑事互助的法律）必須向外國當局披露個人信息的情況。第二，獲得數據主體對披露信息的“知情同意”。數據傳輸方要明確告知個人（通過明確的口頭或書面聲明），如果個人同意將其數據傳輸到境外，那么數據傳輸方將不再需要采取“合理措施”來確保海外接收者遵守指南。第三，存在允許披露“一般情況”。這些情況包括：

195、有理由相信，為減輕或防止對任何個人的生命、健康或安全，或對公共健康或安全的嚴重威脅，且征得個人同意不合理/不可行，有必要進行此類披露；有理由懷疑，已經、正在或可能發生與本組織職能或活動有關的非法活動或性質嚴重的不當行為，且本組織有理由相信披露信息對于本組織就該事項采取適當行動是必要的；有理由相信有必要披露信息，以協助任何組織或實體查找所報告的失蹤人員。對于以上例外，組織應保留審計線索，以證明其決定符合合理相信或合理步驟要求的依據。除保留審計線索外，數據傳輸方還必須在收集個人信息時或之前（如不可行，則在收集之后盡快）通知被收集個人信息的個人一些事項，包括數據傳輸方是否可能向海外接收者披露他們的個

196、人信息，并在可行的情況下說明這些接收者可能位于哪些國家。除“合理措施”規則及豁免外，數據傳輸主體還可以根據澳大利亞加入的國際條約和標準認證進行數據跨境傳輸。除需遵守隱私法和指南的規定外，醫療健康、金融及稅收等領域的數據傳輸還需符合數據本地化存儲等額外要求。如醫療健康領域，2012年我的健康記錄法（My Health Records Act 2012,MHR）規定，受 MHR 管轄的操作者不得將記錄持有或帶出澳大利亞，與消費者或 MHR 系統參與者的個人信息或者與身份識別無關的的記錄不受此限制。在金融領域，根據強制性綜合信用報告制度，信用機構有義務將所有綜合信用信息保存在澳大利亞境內或符合澳大利

197、亞信號局公布的適當云平臺上。而受監管的金融實體，除需要遵守隱私法及指南中有關個人信息跨境傳輸的固定外，還需要滿足澳大利亞審慎監管局(APRA)或澳大利亞證券和投資委員會(ASIC)關于數據跨境傳輸的要求。（）巴西調整數據跨境流動規則強化“ANPD”此前，巴西關于數據跨境流動的規則主要體現在通用數據保護法（General Data Protection Law，LGPD）中36。LGPD 第 33 條明確了巴西個人數據跨境傳輸的法律機制：（1）第三國或國際組織提供的個人數據保護水平達到了 LGPD 規定的充分性程度。（2）當控制者提供和證明符合 LGPD 規定的原則、數據主體權利和數據保護制度的

198、保證文件時，其形式為：用以傳輸的具體合同條款；標準合同條款；全球性的公司規則（類似于歐盟有約束力公司規則，即 BCR）；定期發布的印章、證書和行為準則。（3）根據國際法律文書，政府情報，調查和警察機構之間的國際法律合作需要傳輸；（4）為了保護數據主體或第三方的生命或身體安全；（5）巴西數據保護局(ANPD)授權傳輸；（6）通過國際合作協議承諾傳輸；（7）履行公共政策或法定公共服務職責之必要；（8）數據主體明確同意，且傳輸目的可清楚地區別于其他目的；（9）遵守法律或監管義務；合同程序；司法、行政、仲裁中正常行使權利。36 See General Data Protection Law,https

199、:/iapp.org/resources/article/brazilian-data-protection-law-lgpd-english-translation/全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 43 巴西數據保護局（“ANPD”）于 2023 年 8 月 15 日發布了個人數據跨境傳輸條例（草案）（簡稱條例草案）和配套標準合同條款以征求公眾意見37。一旦條例草案獲得批準并生效，公司將有 180 天的時間將ANPD 的版本納入其現有的個人信息跨境傳輸協議或根據 ANPD 發布的配套標準合同條款起草新的協

200、議。條例草案是對現有數據跨境傳輸機制的細化。條例草案明確其適用于兩類數據跨境傳輸方式，一類是提供符合 LGPD 充分保護水平的國家或國際組織；一類是“提供并保證遵守 LGPD 規定的原則、權利和數據保護制度”，包括標準合同條款、全球性企業規則等。條例草案規定，ANPD 將確定具有充分保護水平的國家或地區名單，以允許個人數據在巴西與這些國家或地區之間自由流動。條例草案明確，ANPD將優先評估保證巴西互惠待遇的外國或國際組織的數據保護水平。ANPD 在評估國家或國際組織個人數據保護水平時將考慮以下內容：現行立法的一般規則和部門規則；數據的性質；遵守 LGPD 中規定的保護個人數據和數據主體權利的一

201、般原則；采取適當的安全措施，盡量減少對持有人（holder）公民自由和基本權利的影響；是否存在尊重個人數據保護權的司法和制度保障；與跨境傳輸有關的其他具體情況。與歐盟標準合同條款有 4個模塊不同，條例草案只規定了一種模式。根據條例草案，標準合同條款不得做任何修改，任何附加條款或其他規定不得直接或間接排除、修改或反駁條款規定。但是，經ANPD 審查批準后，其他國家的標準合同條款可以視為條例草案標準合同的有效替代方案。全球性公司規則適用于同一經濟集團的組織之間的數據傳輸，對該集團的所有成員都具有約束力。條例草案規定，通過此種方式跨境傳輸個人數據則公司必須建立和實施隱私治理計劃，并概述了該計劃的最低

202、要求，如采取內部流程和政策確保遵守個人數據保護相關規則和良好實踐。全球性公司規則制定后，需交由 ANPD 進行審批。（）印度適“通知限制”規范數據跨境流動 印度議會于 2000 年 10 月 17 日頒布 IT 法案，并于 2008 年 12 月 23 日頒布了信息技術（修正）法案（Information Technology(Amendment)Act,2008）38。IT 法案及其修正案是印度處理網絡犯罪和電子商務相關事項的主要法律。該法案及其修正案適用于在印度境內外處理以下個人信息的個人和組織：（1）在印度境內的個人信息；和（2）個人信息在印度境外，但使用位于印度的計算機、計算機系統或計

203、算機網絡處理的個人信息。雖然該法案及其修正案中的部分條款規定了針對網絡上個人信息使用的保護，但主要側重于信息安全，而不是數據保護。法案第69A 條賦予了政府基于特定目的，禁止公眾訪問任何形成、傳輸、接收、存儲或托管在任何計算機資源中的數據的權力。其中，該條所規定的特定目的包括，保護印度主權及保護國家安全與公共秩序，維持與外國友好關系，以及防止煽動實施與前述有關的任何可識別罪行等。這一條款為印度限制或禁止向境外傳輸的數據類型提供了一定的彈性空間，即任何類型的數據只要被政府認定為有損害 37 See Aberta Consulta Pblica sobre norma de transfernci

204、as internacionais de dados pessoais,https:/www.gov.br/anpd/pt-br/assuntos/noticias/aberta-consulta-publica-sobre-norma-de-transferencias-internacionais-de-dados-pessoais 38 See Information Technology Act,https:/www.meity.gov.in/content/information-technology-act；Information Technology(Amendment)Act,

205、2008，https:/www.meity.gov.in/writereaddata/files/itact2000/it_amendment_act2008.pdf 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 44 以上目的的風險，都有可能被禁止訪問。實踐中，印度信息電子與技術部曾援引 IT 法案 69A 條禁止用戶在印度境內訪問 59 款中國 APP，理由在于這些 APP 以非法方式收取用戶數據并傳輸至境外的服務器，可能損害印度的主權以及國家安全與公共秩序。信息技術（合理的安全實踐和程序及敏感個人數據或信息）規則（

206、Information Technology(Reasonable Security Practices and Procedures and Sensitive Personal Data or Information)Rules,2011）（以下簡稱“SPDI 規則”）由印度通信和信息技術部于 2011 年 4 月 11 日頒布39。SPDI 規則是 IT 法案項下的具體實施規則。該規則定義個人信息和敏感個人數據或信息，規定法人團體（或代表法人團體的個人）收集和處理敏感個人數據或信息時應遵守的具體要求，并界定了法人團體（或代表法人團體的個人）是否遵守合理的安全實踐和程序的判定標準。SPDI

207、要求數據接收實體要確保與數據傳輸實體在 SPDI 規則下所遵守的相同數據保護水平。對于敏感個人數據或信息的跨境傳輸需履行數據傳輸實體和數據提供者之間的合法合同所必需；以及數據提供者同意。根據 SPDI 規則，收集和處理敏感個人數據或信息的任何實體（包括印度境外的實體）都必須實施合理的安全實踐和程序。目前，SPDI規則項下的合理的安全實踐和程序包括：(1)國際標準 IS/ISO/IEC 27001；或(2)經印度中央政府批準和通知的行業協會最佳實踐規范。上述合理的安全實踐和程序還需經中央政府正式批準的獨立審計師定期認證或審計。審計師應每年至少一次或當相關實體對其流程和計算機資源進行重大升級時進行

208、審計。對于敏感個人信息以外的其他個人信息和非個人信息的跨境傳輸，印度目前尚無具體限制。印度個人數據保護立法從2018 年個人數據保護法案開始，因法案過于嚴格等問題經反復修改、撤回以及更名，于 2022 年 11 月方才形成了第四版的2022 年數字個人數據保護法案。在2022 年數字個人數據保護法案的基礎上，印度對立法進行相應的調整，并形成2023年數字個人數據保護法案（Digital Personal Data Protection Bill，DPDP），2023 年 8 月 9 日，DPDP 最終在印度上院通過并于 8 月 11 日獲得印度總統批準頒布于公報。在數據出境方面，DPDP 修改

209、了2022 法案中較為嚴格的僅在中央政府進行必要因素評估后通知數據受托人方可個人數據出境的規定，改為中央政府可通知限制相應的個人數據出境行為。然而，DPDP 也指出其較為寬松的規定并不限制印度現行有效的任何法律的適用性，如該法律在與任何個人數據或數據受托人或其類別相關的方面為在印度境外的數據受托人轉移個人數據提供更高程度的保護或限制。39 See Information Technology(Reasonable Security Practices and Procedures and Sensitive Personal Data or Information)Rules,2011，htt

210、ps:/www.wipo.int/wipolex/en/text/338328 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 45 五、全球數據跨境流動規則特點與制約因素（）規則特點 1.多邊機制推動數據跨境流動原則共識形成 多邊機制和國際組織高度重視數據跨境流動的跨國協調問題，聯合國、WTO、OECD、APEC、G20、G7多年來致力于協調各國監管要求、提升各國監管一致性、促進數據跨境安全有序流動，成為推動共識形成的重要平臺。聯合國發布了全球數字契約，以開放、自由、安全為共同原則，針對成員國、區域組織和所有利益相關方等

211、主體就數據保護和賦權這一議題提出了相應要求，致力于實現數字未來可持續發展。另一方面，聯合國先后舉辦了聯合國互聯網治理論壇（IGF）和聯合國世界數據論壇（UNWDF）以深化在全球發展倡議框架下的國際數據合作。IGF 致力于協調不同利益相關方形成具有一致認同和有效監管的跨境數據流動公共政策，發展“基于信任的數據自由流動”（DFFT）的概念，在利用數據傳輸創造經濟價值的同時，解決各主體對數據隱私與主權的擔憂。UNWDF 則更側重于數據的可持續發展，通過促進數據創新和培育伙伴關系，營造更好的聯合國數據生態系統。WTO作為貿易協定的管理者和貿易立法的監督者，自創立以來便十分關注電子商務規則與數據跨境流動

212、。2015 年至 2023 年八年間，不同成員國在多屆部長級會議上相繼發表電子商務聯合聲明，由此開啟與貿易相關的電子商務多邊談判，推進制定高標準電子商務國際規則和搭建電子商務能力建設框架。但截至目前，WTO電子商務談判針對數據跨境流動議題分歧較大。OECD開創了全球隱私保護和數據跨境流動規制的首次嘗試。在成立相關工作組和專家組、召開研討會等一系列早期準備的基礎之上，OECD 于 1980 年發布OECD 隱私指南，明確了個人數據保護和數據跨境流動的基本原則，成為全球制定隱私保護與數據跨境制度的重要參考。近年來，OECD 通過數字經濟政策委員會及數據治理和隱私工作小組發布眾多研究報告，及時總結整

213、理全球前沿政策和規制方式，彌補各國監管體系和機構設置之間的差異性。同樣是區域性經濟組織的 APEC也積極投入到數據跨境流動治理中來。從 2005年起，APEC 發布了APEC 隱私框架，并建立 CBPR 跨境隱私規則體系。一方面，CBPR 面向數據處理者建立了數據處理者隱私識別體系；另一方面，CBPR 創新性地建立了隱私執法機構和問責代理機構來衡量加入國認證企業的隱私保護水平，促進亞太地區個人信息保護措施的一致性和負責任的數據跨境流動。G20 主要圍繞“基于信任的數據自由流動”的概念，不斷推動各成員國形成共識，使數據能夠信任地流動。大阪數字經濟宣言標志 DFFT 進入實踐階段，利雅得領導人宣言

214、 羅馬領導人宣言繼續承認 DFFT 的重要性。此后，借助 G7 平臺，通過DFFT 合作路線圖 促進 DFFT 行動計劃 DFFT 實施計劃，DFFT 概念得到不斷推廣和深化。表 11 多邊機制和國際組織關于數據跨境流動的主張 主要主張 主要主張 數據治理相關組織機制 數據治理相關組織機制 相關研究報告 相關研究報告 聯合國 全球數字契約 全球行動計劃 聯合國互聯網治理論壇 聯合國世界數據論壇 數字經濟報告 G20 成員國跨境數據流動規則 WTO 電子商務工作計劃 電子商務聯合聲明 部長級會議 非正式部長級會議 OECD 關于隱私保護與個人數跨境數據流動與隱私保護跨境數據轉移的規制方全球數據跨

215、境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 46 據跨境流動指南“跨境數據流動宣言”“關于保護全球網絡隱私的部長級宣言”研討會 跨境數據障礙與隱私保護專家組 數字經濟政策委員會 數據治理和隱私工作小組 式的共同點 評估數據流的全球政策和舉措報告 新興的隱私增強技術：當前的監管和政策方法報告 APEC APEC 隱私框架 CBPR 跨境隱私規則體系 電子商務指導小組 G20/G7“基于信任的數據自由流動”2.全球數據跨境流動規則呈現三模式特征 目前 WTO 電子商務談判中，各成員方針對數據跨境流動等核心議題仍然存在較大分歧，規則共

216、識在短期內難以達成，全球數據跨境流動規則呈現碎片化特征。而區域性貿易協定或數字經濟專項協定成為促進數據跨境流動的主要方式，這種靈活性能夠消除數據跨境流動障礙，從而為數據跨境流動治理提供有益示范，各國政府也越來越傾向于利用貿易協定來實現促進數據跨境自由流動，同時平衡和兼顧隱私保護及其他公共政策目標。據統計，截至 2023 年 5 月，已有 70 多個國家或地區都對數據跨境流動有所規制，已有超過 180個區域貿易協定中增設了包括數據跨境流動在內的數字貿易規則專門章節或專門條款。例如以美墨加協定 全面與進步跨太平洋伙伴關系協定 區域全面經濟伙伴關系協定為代表的區域或雙邊自貿協定，以及以美日數字貿易協

217、定 數字經濟伙伴關系協定等為代表的數字經濟專項協定，都將數據跨境流動治理、數據隱私保護等相關議題納入了協定條款。而在主要經濟體層面，互聯網技術的發展催生了與物理空間相對應的網絡空間，數據跨境流動極大沖擊了基于國家疆界的傳統國家主權，尤其是一國的司法執法管轄權。對此，“信息主權”“數據主權”等概念被學者們相繼提出。各國也紛紛出臺維護數據主權的政策舉措，但部分國家容易濫用數據主權，這些舉措構成了對數據跨境流動的限制。因此，通過歸納總結納入研究的十大國際機制安排與十二大經濟體，發現在國際組織“軟法”的影響下，國際貿易協議、主要經濟體演變出其有關數據跨境流動規則的獨有特點。本次報告將上述關于數據跨境流

218、動規則的安排劃分為三種類型，分別為開放流動型、嚴格監管型以及監管例外型。開放流動型主要表現為強調數據跨境的自由流動，典型的經濟體如新加坡、東盟、美國等，國際經貿協定如 DEPA、USMCA等。不過新加坡與美國所表現的方式有所不同，新加坡以及以新加坡等國家為主的DEPA 體現的是外流特點，既是以新加坡為重要軸點向東南亞、亞太甚至全球流動。美國以及以美國為主導的 USMAC體現的是內流特點，美國在與其他經濟體簽訂的雙邊或者多邊貿易協議中一直強調有限例外原則，旨在推動數據跨境自由流動，將全球數據流向美國境內，從而利用自身技術市場優勢實現數據跨境流動的經濟利益最大化。不過美國在主張數據自由流動的同時通

219、過“長臂管轄”擴張其數據主權。如上文所述，美國的澄清域外合法使用數據法案（CLOUD法案），提出了管轄“數據控制者”的新模式，即規定無論通信、記錄或其他信息是否位于美國境內，美國的電子通信服務(ECS)或遠程計算服務(RCS)提供者都有義務按照法定要求，保存、備份或者披露其擁有、監管或控制的用戶或訂戶的通信內容以及任何記錄或其他信息。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 47 CLOUD法案賦予美國執法機構訪問和調取存儲于美國域外數據的權利，其他國家對境內數據的控制權被削弱。嚴格監管型主要強調數據跨境的事前監管，

220、通過安全要求后方可進行數據出境，典型的代表為中國、俄羅斯、巴西、印度等，國際貿易協定主要為 RCEP 等。中國、俄羅斯、巴西等國家目前尚強調數據滿足要求后才可出境，更加嚴格的如印度。2018 年 4 月，印度要求所有支付系統提供商應確保其系統運營相關的全部數據，包括端到端交易的完整詳細信息，存儲在印度境內的系統中，以便印度中央銀行可以“不受限制地監管訪問這些系統提供商存儲的數據，以及他們的服務提供商/中介機構/第三方供應商和支付生態系統中其他實體存儲的數據”。而 RCEP雖然強調數據的自由流動，但是賦予了締約國以“合法公共目的與安全例外”終止數據跨境流動的權利，事實上也強調了締約國的事先監管權

221、利。監管例外型雖然強調數據跨境的監管，但是如若在白名單或者生態機制內則可以享有“監管例外”的權利。典型的經濟體如歐盟、英國、日本、韓國，國際貿易協定為 CPTPP 等。歐盟利用 GDPR 進行數據出境的監管，但是存在充分性認定的白名單，日本建立保護個人信息出境的監管機制，但是推動數據跨境生態圈與充分性認定規則。3.標準和技術驅動的規制具提供數據跨境安全傳輸新路徑 一方面，部分國家和國際組織探索制定和出臺了監管數據跨境流動的標準和原則以處理隱私保護與數據安全問題。美國國家標準與技術研究院（NIST）發布了 SP 800-66隱私權利和數據泄露通知標準；國際標準化組織（ISO）制定了 ISO/IE

222、C 27701全球性隱私信息管理體系標準，為數據跨境流動中的隱私保護和數據安全制定標準。另一方面，近年來，區塊鏈、隱私計算等技術的發展和數據中介的出現為數據跨境傳輸提供了新的范式。國際數據空間協會提出利用數據空間，基于開放、透明和標準的數據共享系統，以實現安全可信的數據訪問和共享傳輸。此外，隱私增強技術（PETs）、數據監管沙箱等也為數據跨境流動的應用實踐提供了新的選擇，如聯合國 PET實驗室通過隱私增強技術為符合隱私保護的跨境數據傳輸提供技術解決方案。在國際數據空間建設方面，歐洲已有國際數據空間組織（IDSA）、Gaia-X、Open DEI、FIWARE、My Data 等相關研究并推進數

223、據空間的組織。目前，IDSA 是歐洲數據空間建設的重要推動者，其取得的成效也最為顯著。根據 IDSA 數據統計，截止到 2023 年 10 月，共有 64 個使用 IDSA 技術標準的案例，以及 43個使用 IDSA 技術標準的國際數據空間，合計 107 個應用場景。IDSA 將 107 個應用場景劃分為移動交通、制造業、綠色協議、能源、供應鏈、汽車、跨領域、智慧城市、健康以及農業等十大類。按照IDSA 定義，數據空間是指“基于共同約定原則進行數據共享流通的可信任分布式數據生態系統基礎設施”。在數據空間中，重要的不再是集中存儲所有的數據，而是確保應用程序（如深度學習算法）能夠以正確的方式接收和

224、使用正確的數據。數據空間將提供能夠實現數據互操作性的軟基礎設施。軟件基礎設施由技術中立的協議和標準組成，規定了組織和個人參與數字經濟的方式，以及根據共同同意的規則和指令進行行事和行為的方式。由于所有參與者實施了相同的最小功能、法律、技術和運營協議和標準，因此無論他們處于哪一數據空間，他們都可以用相同的方式進行交互。構成軟件基礎設施的元素是互補關系，因此從一開始就整體設計這些協議和標準將使數據空間具備耦合性。為了建立符合特定行業的數據空間，需要用行業特定的措施來補充軟件基礎設施。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama

225、 48 由于歐洲數據空間的實踐，國內以中國信通院為代表的智庫參考歐洲數據空間的建設，正在基于特定行業與公共數據積極推動國內可信數據空間的構建。按照中國信通院定義，可信數據空間是數據要素流通體系的技術保障，通過在現有信息網絡上搭建數據集聚、共享、流通和應用的分布式關鍵數據基礎設施?？尚艛祿臻g以體系化的技術安排確保所簽訂的數據流通協議能夠履行和維護，解決數據要素供方、使用方、服務方、監管方等主體間的安全與信任問題。因此，可信數據空間在平衡規模經濟效益和競爭效益方面具有天然優勢，它可以搭建安全可信的數據流通環境，構建共同認可的規范及價值，在空間內實現數據集聚，發揮數據乘數效應，實現數據賦能全行業發

226、展。未來，基于數據空間的數據跨境流動將成為數據跨境流動新范式。（）制約因素 1.各經濟體在數據價值鏈中的利益沖突制約數據跨境流動 數據跨境流動催生全球數據價值鏈，帶來巨大的經濟價值，但各國由于收集處理分析數據的能力、數字技術水平等方面的差距，從數據跨境流動中的獲益能力也存在顯著差異。在數據價值鏈背景下，擁有先進數字技術和大型跨國數字平臺的國家處于數據價值鏈的中高端位置，是原始數據的進口國和增值數據產品的出口國，從數據跨境流動中的獲益能力最強。而大多數發展中國家和最不發達經濟體是原始數據的出口國和增值數據產品的進口國，位于數據價值鏈低端環節，這些國家不僅少從數據跨境流動中獲益，其數字產業甚至部分

227、傳統產業還可能受到發達國家跨境電商和數字產品的沖擊。這意味著數據跨境流動將不可避免帶來新的利益沖突，而各國為了維護自身利益對數據跨境流動采取不同態度，如何協調各國利益沖突成為制約數據跨境流動國際規則形成的主要因素。具體而言，美國憑借其全球領先的數字技術、競爭力最強的跨國數字平臺和全球領先的數字服務貿易，在全球數據價值鏈中收益能力最強，因此主張數據跨境自由流動和計算設施非強制本地化存儲。美國擁有蘋果（Apple）、微軟(Microsoft)、亞馬遜(Amazon)、元（Meta）等數量最多、影響力和競爭力最強的跨國數字平臺，根據聯合國貿發會議發布的數字經濟報告 2021，截至 2021 年 5

228、月，全球百家數字平臺中有 41 家來自美國，市值占比為 67%，遠高于其他國家。美國在云計算等數字服務貿易方面領先，美國的云計算提供商如亞馬遜云服務（AWS）和微軟 Azure 也占據了全球云計算市場的主導地位，它們通過提供全球性的數據存儲和處理服務而產生巨大經濟價值。根據 Gartner 發布的 2021 年全球云計算 IaaS 市場追蹤數據，亞馬遜和微軟分別占全球云計算 IaaS 市場 38.92%和 21.07%的市場份額。美國數字服務貿易全球領先，根據聯合國貿發會議（UNCTAD）測算數據，2021 年，美國可數字化交付服務貿易出口額為6130.12 億美元，居全球首位。美國是全球數字

229、內容產業領域最先起步發展的國家，其中數字動漫、網絡游戲、數字音樂以及網絡視頻是美國數字內容產業中發展最為迅速的部分。數據跨境自由流動給美國帶來的利益最多，而本地化要求會給美國數字企業全球化經營帶來額外負擔。因此，基于其在數字經濟和數字技術領域的領先優勢，美國不斷謀求在 OECD、G20、APEC等有關數據流動的國際討論中發揮主導作用，還通過締結貿易協定占據國際規則制定的先機，強調數據跨境自由流動，以便破除數據流通壁壘，實現他國數據流動向美國的流動。歐盟數字經濟的幼兒、數字規則的巨匠。歐盟身處數字經濟邊緣，缺乏大型數字平臺，因此歐盟以“保障基本權益+構建單一市場”為主要訴求，實施“內松外嚴”的數

230、據保護政策致力于構建歐盟單一數字市場，進全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 49 而通過單一數字市場優勢引領全球數據規則和標準的制定。根據聯合國貿發會議發布的數字經濟報告2021，截至 2021 年 5 月，全球百家數字平臺僅有 12 家企業來自歐洲，市值占比僅為 3%，遠低于美洲和亞洲。歐盟于 2018 年正式生效實施通用數據保護條例（GDPR），在歐盟內部統一實施單一的個人數據保護法令，推動歐盟范圍內數據自由流動，打造單一數字市場。而此后 2019年非個人數據自由流動框架條例則補充了對非個人數據傳輸的法律規

231、制，歐盟的基本立場是禁止數據本地化，確保除個人數據以外的數據在歐盟內自由流動40。對于歐盟境內個人數據向歐盟境外傳輸，歐盟樹立了高標準數據保護規則，即個人數據只可以流向數據保護水平和歐盟相同的國家或地區。在具體實施路徑上，通過歐盟委員會“充分性認定”41，確定數據跨境自由流動白名單國家，而非獲認定地區的各類組織和企業可以根據歐盟認可的標準合同條款、約束性公司規則、行為規范、認證機制等進行數據跨境傳輸。近年來，歐盟憑借其市場優勢，不斷將數據保護的“歐洲標準”上升為“全球標準”，產生數據治理領域的“布魯塞爾效應”，對世界范圍內的數據治理變革發揮引領作用。以 GDPR 為例，不僅越來越多的國家以 G

232、DPR 為范本制定數據保護規則，而且諸多大型跨國企業基于 GDPR 進行數據和業務合規。新加坡作為一個小而開放的國家，是亞太地區數據中心、各類先進數字技術試驗地和各類新興業務的發源地，是全球數據匯聚與流動、數字技術應用創新的重要樞紐和節點，高度依賴數據跨境流動促進數字經濟增長和數字技術創新發展。新加坡自 2000年完全放開電信市場，解除國外企業以直接或間接投資方式進入本國電信產業的限制，有力推動新加坡數字基礎設施建設，成為亞太地區數據中心。Salesforce、Digital Realty、Equinix、Meta、臉書、谷歌、字節跳動和中國移動、騰訊等大型跨國科技企業均在新加坡投資建設數據中

233、心，微軟 Azure、亞馬遜 AWS、谷歌云、阿里云、騰訊云、金山云等云計算公司均將新加坡作為區域運營中心。此外，新加坡以鼓勵投資和創新為導向，對加密貨幣、金融科技、人工智能等領域持開放包容的監管態度，構建數字技術創新發展生態。因此，新加坡致力于尋求區域內的數據自由流動。新加坡于 2018年加入了 APEC 跨境隱私規則系統（CBPR）和處理器隱私識別系統（PRP）。此外新加坡主導與多個主要經濟體簽訂多雙邊數字經濟規則協定，破除數據跨境流動壁壘。2022 年以來，新加坡與智利和新西蘭簽訂數字經濟伙伴關系協定（DEPA），與澳大利亞簽訂新加坡-澳大利亞數字經濟協定（SADEA），與英國英國新加坡

234、數字經濟協定（UKSDEA），與韓國簽訂韓國-新加坡數字經濟協定（KSDPA）；2023年 2月，新加坡與歐盟簽訂歐盟新加坡數字伙伴關系協定，下一步將推動與歐盟之間的數據跨境流動。中國在數字技術和數字平臺競爭力方面僅次于美國，我國數字貿易比較優勢集中在以貨物為載體的跨境電商方面，數字服務貿易增長迅速。中國擁有數量和市值僅次于美國的跨國數字平臺，根據聯合國貿發會議發布的數字經濟報告 2021，截至 2021年 5月，全球百家數字平臺中有 45家來自中國，市值占比為 40 REGULATION(EU)2018/1807 OF THE EUROPEAN PARLIAMENT AND OF THE C

235、OUNCIL of 14 November 2018 on a framework for the free flow of non-personal data in the European Union(Text with EEA relevance)Article 1 Subject matter This Regulation aims to ensure the free flow of data other than personal data within the Union by laying down rules relating to data localization re

236、quirements,the availability of data to competent authorities and the porting of data for professional users.41 截 2023 年 7 10，歐盟官公布的通過數據保護充分性認定的國家或地區共計 15 個：安道爾公國、阿根廷、加拿（限于商業組織）、法蘭群島、根西島、以列、恩島、本、澤西島、新西蘭、韓國、瑞、英國、烏拉圭、美國。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 50 29%，僅次于美國。中國跨境電商優勢明顯

237、，2022 年，我國跨境電商進出口規模突破2 萬億元，五年增長了近 10 倍，跨境電商主體超 10 萬家，跨境電商貿易伙伴遍布全球，涌現出了阿里速賣通、Shein、Temu 等一批全球性數字平臺企業。中國數字服務貿易增長迅速，根據聯合國貿易和發展會議（UNCTAD）測算，2011-2022年中國數字服務出口年平均增速為 9.88%。中國是全球數字內容產品進出口大國，目前是僅次于美國的全球第二大網絡游戲出口國。由于中國數字貿易發展優勢仍集中于以貨物為載體的跨境電商，因此近年來中國在 WTO 電子商務談判中主要訴求集中在電子商務便利化方面。而在數據跨境流動方面，對外主張以保障國家安全、尊重各國監管

238、要求為前提，對內則構建基本完善的數據出境安全管理框架，總體而言，我國數據跨境流動監管制度較為嚴格。2023 年 9 月 28 日，國家網信辦就規范和促進數據跨境流動規定（征求意見稿）公開征求意見，有望在數據跨境流動方面迎來新突破。而對發展中國家和最不發達經濟體而言，數字經濟發展進一步加深了發達國家同發展中國家、最不發達經濟體之間的數字鴻溝，數字不平等問題日益嚴重。與發達國家主張數據自由流動、促進數字貿易全球發展不同，發展中國家、最不發達經濟體由于在數字經濟發展中的滯后性，當前主要關注如何改善數字鴻溝、提升數字能力建設的問題，堅持保留國內產業政策空間，要求數字經濟增長不僅要關注效率還需兼顧公平。

239、如盡管在 2019 年的 G20 峰會上 24 個國家簽署了日本主導的“大阪數字經濟宣言”，發展“基于信任的數據自由流動”，但印度、南非、印尼等發展中國家并未簽字。在WTO 電子商務談判中，發展中國家主張不將數據跨境流動議題納入談判議程。2.數據安全險阻礙數據跨境流動 數據跨境流動給全球帶來發展機遇的同時也產生了新的安全風險。伴隨數字技術的快速發展，數據安全問題日益凸顯，自 2013年“斯諾登”事件后，各國日益重視數據跨境流動引發的國家安全風險。個人信息的泄露容易導致國家公民的個人信息被境外所竊取、利用，造成對個人隱私的侵害，甚至引發針對個人的網絡詐騙與電信詐騙，嚴重危害公民個人財產與人身安全

240、。國家重要數據、核心機密數據的泄露將導致國家秘密的外泄，容易被境外不法分子、恐怖主義所利用，對國家的政治安全、經濟安全等構成巨大威脅，嚴重侵犯國家主權和安全利益。例如，2022年，國家計算機病毒應急處理中心在西北工業大學遭遇美國國家安全（National Security Agency,NSA）網絡攻擊事件的調查報告中指出，NSA 下設的“特定入侵行動辦公室”近年來對我國開展惡意網絡攻擊高達上萬次，通過控制各類網絡設備先后竊取了超過 140GB的高價值數據，對我國國家安全和數據主權造成了嚴重侵害。再如，據2020 年中國互聯網網絡安全報告，境外“白象”“海蓮花”“毒云藤”等 APT攻擊組織以“

241、新冠肺炎疫情”“基金項目申請”等相關社會熱點及工作文件為誘餌，向我國重要單位郵箱賬戶投遞釣魚郵件，誘導受害人點擊仿冒該單位郵件服務提供商或郵件服務系統的虛假頁面鏈接，從而盜取受害人的郵箱賬號和密碼。據2020 年中國互聯網網絡安全報告，2020 年，中國共發現國內基因數據通過網絡出境 717 萬余次，流向境外 170 個國家和地區。數據流動與數據安全之間存在天然沖突，各國高度重視數據跨境流動帶來的安全風險。目前各國都存在不少基于國家安全考慮限制數據跨境流動的立法，即使是數據安全保護能力最強、主張數據跨境自由流動的美國也不例外。以美國為例，2010 年，美國建立了受控非密信息清單（Control

242、led Unclassified Information，簡稱“CUI”）。美國信息安全綱要規定，需要保護和控制傳播的非密信息均屬于 CUI，需采取嚴格的管理全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 51 措施。近幾年，美國政府大幅提升了對CUI 清單的管控力度，CUI 包括關鍵基礎設施、國防、金融、移民、情報、國際協議、稅收、核等 20 大類、124 子類，按照風險程度予以不同管控。我國在網絡安全法及特殊敏感行業規定中確立了數據跨境流動管理的要求，確立了分級分類管理制度，如針對金融、交通、健康、保險、征信、地圖、網

243、絡出版等特定行業數據，均設置了“禁止出境”或本地化存儲的要求。3.個隱私保護制約數據跨境流動 個人隱私保護問題是數據跨境流動規則制定最早也是最核心的關切。個人隱私保護和促進數據流動二者相悖，個人隱私保護需要以舍棄數據流動性為代價，而數據流動往往會導致隱私泄露42。OECD、APEC 等國際組織早期關于數據跨境流動規制的嘗試均圍繞個人隱私保護問題展開，即如何在保護個人信息的前提下促進數據跨境流動。如 OECD于 1980年發布的隱私指南是全球層面對數據跨境流動進行規制的首次嘗試，即明確了個人數據保護的八項基本原則，成為各國及其他經濟體制定個人信息保護法律制度的重要參考。隱私保護問題是美歐長期以來

244、在數據跨境流動問題上最大的沖突點。歐盟將個人數據保護視為基本權利，并予以嚴格的高標準保護。歐盟認為其境內個人數據只能流向保護水平與其等同的國家或地區，不能流向保護水平不如歐盟的“洼地”，并通過 GDPR 在全球范圍內推行。而美國在隱私保護方面更強調市場驅動，并未將個人隱私視為基本權利，只是將其納入市場經濟中消費者保護的范疇。在聯邦層面，美國沒有統一的個人信息保護立法，只是由美國聯邦貿易委員會(FTC)確保消費者對其信息數據的使用有知情和同意的權利。因此美國實際上反對個人信息保護歐盟的“高標準”，而是主張各國可以按照自己的方式予以保護，并促進各國個人信息保護制度的兼容性，提出限制個人信息跨境流動

245、應該是“必要的且與所面臨風險成比例”。圍繞個人信息保護問題，歐美之間從安全港協議到隱私盾協議的破產,再到 2023 年 7 月 10 日歐盟委員會通過歐盟-美國數據隱私框架的充分性認定,歐美雙方圍繞隱私保護問題產生多次沖突與摩擦，不斷推翻原有協議，終于再次建立起穩定的跨大西洋數據流動安排。42 專訪 濱興：破解數據要素流動與隱私保護相沖突的局，2023 年 05 07.全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 52 六、全球數據跨境流動規則的趨勢研判及對我國的影響（）趨勢研判 當前,全球數據跨境流動規則尚未達成最終共

246、識，全球數據治理呈現碎片化特征，各國家基于國家安全產業發展等情況,構建了特征不同的數據跨境流動監管制度與治理模式。美歐基于自身利益訴求形成較為明晰的規則主張，并致力于在全球范圍內構建基于信任的數據跨境流動自由圈，同時，數據主權、安全、隱私問題仍是全球數據跨境流動治理的核心關切。1.數據跨境流動規則主張趨向“數據重商主義”各經濟體數據跨境流動規則主張建立在自身經濟利益基礎上,呈現“數據重商主義”趨勢。何一種規則主張的本質都是各國基于發展實際和國家利益而做出的“數據重商主義”選擇。例如,開放流動型的美國基于自身數字技術、數字平臺發展優勢,在國際上高調呼吁推動數據跨境自由流動,但同時也通過制定重要數

247、據清單對一些涉及安全或關鍵技術的數據進行出境限制,呈現出“寬入嚴出”的特點。監管例外型的歐盟所推行的數據跨境自由流動則是以高標準的個人數據保護為前提。歐盟對內以非個人數據自由流動條例框架 數據治理法案等促進數據在各成員國之間自由流動;對外則是通過設立高標準個人數據保護壁壘對內部數據流出進行嚴格限制,呈現出“內松外嚴”的特點。嚴格監管型的俄羅斯印度則以數據本地化政策要求數據回流,以保護主義政策推動本國 IT產業發展。中國和新加坡所主張的數據跨境自由流動則是以維護數據主權和保障國家安全為前提。各國根據實際利益制定形形色色的跨境數據流動規則來保護本國數字產業發展,全球數據跨境流動規則與治理呈現“數據

248、重商主義”趨向。同時，在“數據重商主義”的驅動下，以美國、歐盟、日本為代表的國家基于信任關系或意識形態趨同推動構建數據跨境流動圈,全球數據跨境流動規則制定呈現出“政治泛化”特征。美國正在通過強勢的外交政策拉攏其盟友推動基于信任關系的數據自由流動，并針對中國俄羅斯等“敵對國家”實行數據封鎖,印度等國家和地區也在跟進對我國實行數據跨境流動限制。經合組織(OECD)的數字經濟政策委員會(CDEP)在2020 年12月聲稱:“努力實現政府對私營部門持有的個人數據的可信任的訪問,是一個緊迫的優先事項”,而“缺乏受信任的政府訪問個人數據的共同原則,可能會導致對數據流動的不適當限制,造成有害的經濟影響”。美

249、國與歐盟日本韓國意識形態和政治利益趨同,是傳統的政治軍事盟友,美國正在拉攏盟友將所謂“缺乏受信任”的國家政府排除在數據自由流動圈子之外。首先，美國在 OECD、APEC、G20、G7 等國際組織中謀求主導地位。美國于 2015 年主導建立 APEC 的 CBPR 體系，目前共有 9 個國家或地區加入。近年來美國尋求將 CBPR 體系獨立于APEC 框架外，允許更多非APEC 成員加入，此舉被認為是為了排除中國加入CBPR 體系。其次，美國及其盟友通過區域貿易協定或數字貿易專項協定，已經基本打通數據跨境自由流動圈。歐盟與美國 2022年在已廢除的隱私盾協議基礎上建立了歐美數據隱私框架，歐盟委員會

250、于 2023 年 7 月投票通過了歐美數據隱私框架的充分性認定，美歐之間繼安全港協議 隱私盾協議之后再次建立起穩定的數據跨境流動框架。此外，日本-歐盟經濟貿易協定美國-韓國自由貿易協定、美國-日本數字貿易協定等區域貿易協定或數字貿易協定均已生效,且都專門設定了包括數據跨境流動在內的數字貿易規則章節或條款。此外，美國與歐盟成立美歐貿易與技術委員會(U.S.-EU Trade and Technology Council,以下簡稱“TTC”)，主導與全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 53 澳大利亞、日本等 13國

251、啟動“印度太平洋經濟框架”（IPEF），建立更多合作機制，與盟友在政策上尋求協調，在規則上尋求共識，將在包括關鍵技術數據出口、數據跨境流動等方面采取更多努力，遏制競爭對手。表 12 主要經濟體達成的數據跨境流動先關協議、協定 國家、地區 國家、地區 框架 框架 簽訂時間 簽訂時間 美國 歐盟 跨大西洋數據隱私框架 2022.03.25 歐盟-美國數據隱私框架協議 2023.07.10 英國 大西洋宣言：二十一世紀美英經濟伙伴關系框架 2023.06.08 新加坡 歐盟 歐盟新加坡數字伙伴關系協定 2023.02.01 英國 英國新加坡數字經濟協定（UKSDEA）2022.02.25 智利、新西

252、蘭 數字經濟伙伴關系協定（DEPA）2020.06.12 歐盟 阿根廷 歐盟數據保護充分性認定 2021.04 前已通過 日本 安道爾公國 加拿大 法羅群島 根西島 以色列 馬恩島 澤西島 新西蘭 瑞士 烏拉圭 韓國 2021.12.17 英國 2021.04.13 美國 2023 年 7 月 歐盟 GDPR 國家和地區 奧地利、比利時、保加利亞、克羅地亞、塞浦路斯、捷克共和國、丹麥、愛沙尼亞、芬蘭、法國、德國、希臘、匈牙利、愛爾蘭、意大利、拉脫維亞、立陶宛、盧森堡、馬耳他、荷蘭人、波蘭、葡萄牙、羅馬尼亞、斯洛伐克、斯洛文尼亞、西班牙、瑞典；挪威、列支敦士登、冰島；亞速爾群島、馬提尼克島、圣馬

253、丁島等 APEC 數據隱私框架國家和地區 美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞、菲律賓、中國臺灣 2.數據跨境流動規則呈現業精細化趨勢 各國數據跨境流動規則針對重要行業數據進行精細化分級分類管理,數據跨境流動規則呈現行業精細化趨勢。歐盟美國等都根據本國產業實際需要確立了重要數據目錄清單并制定了具體細則,構建了數據跨境流動分級分類監管模式，旨在對涉及國家戰略商業秘密國家安全、高科技等敏感數據的出境進行限制。如美國制定CUI（非密受控信息）清單，對關鍵基礎設施、國防、金融、移民、情報、國際協議、稅收、核等20 大全球數據跨境流動規則全景圖 Global Cross-border Da

254、ta Flows Rules Panorama 54 類、124子類，按照風險程度予以不同管控。美國還通過限制重要技術數據出口以及特定領域的外國投資進行數據跨境流動管制。2018 年 8 月簽署生效的美國出口管制改革法案規定，出口管制不僅限于“硬件”出口，還包括“軟件”，如科學技術數據傳輸到美國境外的服務器或數據出境，必須獲得商務部工業和安全局（BIS）的出口許可。在外國投資審查方面，2018年 8月，美國通過了外國投資風險評估現代化法案（Foreign Investment Risk Review Modernization Act，簡稱“FIRRMA”），并建立了與 ECRA 之間的聯動機

255、制43，進一步收緊了對外國投資的國家安全審查程序。該法案規定了外商投資中的數據出境行為。根據FIRRMA 第 1703 條，涉及敏感個人數據、關鍵基礎設施和關鍵技術的美國企業的其他投資（包括非控制性外商投資）也要受美國外商投資委員會的審查，以防止外國投資者通過投資來獲取美國的個人數據或關鍵技術。我國也在網絡安全法以及相關行業規定中確立了數據跨境流動管理要求,以數據出境安全評估制度和數據分級分類管理機制為主,以國家安全為導向,對金融、交通、健康、保險、征信、地圖、網絡出版等特定行業數據科研性質的特殊數據等核心數據嚴禁出境。3.主權與安全隱私仍是規則制定的核考量 數據主權、數據安全、隱私保護問題仍

256、是未來數據跨境流動治理面臨的核心關切，如何協調各國監管要求、貿易利益同時促進數據跨境流動是未來須應對的難題。一方面，目前許多國家和地區都在推進數據主權戰略部署，尤其針對重要數據、敏感數據、核心機密數據、特定行業數據出境進行嚴格管制。如美國雖然基于其經濟利益主張數據跨境自由流動，但同時也是全球最早部署數據主權戰略建設的國家,其長臂管轄尤為突出。俄羅斯的數據主權戰略囊括在其嚴格實施的數據本地化政策框架之下,頒布一系列法案對數據主權進行保護。我國則出臺了網絡安全法 數據安全法 個人信息保護法等頂層法律、配套細則辦法以及特定行業規制，構建數據出境安全管理框架，旨在對重要數據出境進行安全評估和管理,維護

257、我國數據主權。未來隨著大數據、云計算、人工智能等新一代信息技術越來越廣泛應用于經濟社會、軍事國防等各個領域，數據作為基礎性、戰略性資源的重要性將日益凸顯，“數據主權”成為繼邊防、海防、空防之后的另一個主權空間。另一方面，數據安全面臨新技術沖擊。5G、大數據、云計算、人工智能、物聯網等數字技術的發展及應用，給數據安全、隱私保護帶來新的威脅，隱秘在新技術外衣下的數據泄露、數據販賣、數據侵權等數據安全事件頻發。如在使用ChatGPT 的過程中，可能涉及個人信息、重要數據出境行為，如果使用不當，將對個人隱私、商業秘密、國家安全造成嚴重威脅。再如，大量數據通過各類傳感器或終端采集，包括人臉數據、基因數據

258、等個人敏感信息，及關鍵基礎設施分布等關系國家安全的重要數據。相關機構估算，一輛自動駕駛測試車輛每天產生的數據量最高可達 10TB44。隨著數字技術的深入發展和應用，數據主權、數據安全、隱私保護等核心問題將更加突出，未來如何協調各國監管要求、貿易利益同時促進數據跨境流動成為難題。43劉瑛,孫冰.與外資安審聯動的美國技術出口管制制度及中國應對J.國際貿易,2020,(06):44位兩會代表委員建智能汽數據安全：匣要掌握在中https:/ 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 55（）對我國的影響 當前，各國加快構建符

259、合自身發展利益的數據跨境流動制度體系，各國數據跨境流動規則主張趨向“數據重商主義”，全球數據跨境流動規則呈現多樣化、復雜化、差異化、行業精細化特征。一方面，美西方國家正在基于信任關系構建排除我國的數據跨境流動自由圈，數據主權、數據安全、隱私保護等核心問題仍然制約著數據跨境流動全球治理與規則形成。在此趨勢下，我國數字企業出海將面臨越來越多的數據合規風險，我國數字產業發展面臨數據封鎖困境，我國數字貿易面臨較高的政策不確定性。另一方面，我國于 2021年正式申請加入 CPTPP 和 DEPA,目前正在積極推進談判進程。加入 CPTPP 和 DEPA 將為我國數字企業出海、數字產業合作、數字貿易發展營

260、造穩定制度環境。但 CPTPP 和 DEPA 在數據跨境流動議題上的開放標準較高，我國仍需進一步借助自貿試驗區、自貿港等高水平開放平臺，對標高標準規則，開展先行先試和壓力測試。1.我國數字企業出海將臨數據合規險 當前，我國數字企業正處于加速成長、出海拓展的關鍵時期，阿里速賣通、Shein、Temu、Tiktok等一批數字平臺企業加速出海，數據合規成為未來數字企業拓展海外市場的“必修課”。一方面，美西方國家泛化安全問題，我國出海數字企業面臨越來越多的數據合規風險。當前美西方國家正在主導建立基于信任關系的數據跨境流動自由圈，而我國作為“不受信任國家”被排除在外。近年來，美國針對我國應用程序的數據安

261、全性審查持續不斷。2023 年 4 月 14 日，美國美中經濟安全審查委員會(US China Economic and Security Review Commission，簡稱“USCC”）45發布Shein,Temu 和中國電商：數據風險、貨源違規和貿易漏洞專項調查報告，提出 Shein利用用戶數據和搜索歷史，通過 AI算法預測時尚趨勢，但Shein 缺乏有效的用戶數據保護措施。紐約州于 2022 年對 Shein 的母公司 Zoetop 處以 190 萬美元的罰款，原因是個人數據處理不當導致 3900 萬個賬戶的用戶數據泄露。中國出海社交媒體平臺 TikTok 更因數據存儲安全和算法推

262、薦操縱的問題受到美國制裁，目前美國蒙大拿州眾議院已通過全面禁止 TikTok的法案。在歐洲方面，自 2018 年歐盟 GDPR 正式落地實施以來，歐盟針對跨國數字平臺企業數據合規的執法力度正在逐步加強，據統計 2021 年歐盟數據保護監管機構針對 GDPR 違規的罰單總金額約 10 億歐元，2022 年 GDPR罰單總金額達到 16.4 億歐元。如近年愛爾蘭數據保護委員會對 Meta 分別處以 4.05 億歐元、3.9 億歐元、12億歐元的巨額罰款，盧森堡數據保護委員會對亞馬遜平臺處以 7.46 億歐元罰款。而目前我國不在歐盟 GDPR數據保護充分性認定白名單中。我國出海數字平臺均涉及大量用戶

263、數據，隨著我數字平臺企業在歐美市場的競爭力和影響力逐步增強，未來美歐勢必不斷泛化數據安全問題，對我國數字企業進行打壓，未來我國數字企業出海如何規避數據合規風險成為亟需解決的難題。另一方面,我國申請加入 CPTPP 和 DEPA 等高標準數字經濟協定，將為我國數字企業開拓海外市場降低數據合規成本、提供穩定的制度保障。2021 年，我國正式提出申請加入 CPTPP 和 DEPA。目前，在我國簽署的貿易協定中，僅 RCEP 涉及“電子方式跨境傳輸信息”規定，代表了我國在數據跨境流動議題上最高開放 45 USCC 是美國國會創的個獨政府機構，直接向美國國會和總統提供政策建議，雖然其發布的內容沒有法律約

264、束，但是有可能對美國聯邦法產深刻影響。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 56 水平。DEPA 和 CPTPP 比 RCEP 在數據跨境流動方面標準和要求更高，這要求我國對標高水平數字經濟規則，依托自貿試驗區、自貿港等高水平開放平臺進行先行先試和壓力測試。近期，國家網信辦就規范和促進數據跨境流動規定（征求意見稿），向社會公開征求意見。該意見賦予自貿試驗區可自行制定“負面清單”的權力，我國數據跨境流動監管將迎來新突破。從我國數字企業在全球數據價值鏈中的地位來說，我國擁有阿里巴巴、騰訊、滴滴、拼多多、TikTok等

265、全球性數字平臺，在全球數據價值鏈中占據重要地位。加入CPTPP 和 DEPA 將為我國數字企業進入東盟、日本等特定市場提供良好的制度保障和便利的數據跨境流動機制，將降低數字企業數據合規成本，符合我國數字企業的發展訴求。2.我國數字產業發展的數據壁壘可能加深 目前我國關鍵數字產業面臨著核心技術受制于人的困境，高端芯片、操作系統、工業設計軟件等均是我國被“卡脖子”的短板。而我國關鍵數字產業實現突破創新將面臨數據封鎖困境。一方面,數據跨境流動規則的政治化、陣營化和行業精細化趨勢，使我國數字產業發展面臨數據封鎖困境。芯片作為現代工業的基礎、數字經濟的引擎，已經深深嵌入到汽車、通信、能源、國防等許多行業

266、的數字化進程中，也影響著人工智能、5G、邊緣計算等關鍵數字技術的發展，決定了數字產業發展的未來。而芯片行業是資本、知識、技術密集型行業，是高度全球化和各國發揮比較優勢分工協作的結果。全球芯片供應鏈具有高度復雜性、如歐盟在芯片設計環節的核心知識產權領域和制造環節的生產設備領域具有優勢，但在先進芯片制造環節依賴亞洲（如韓國等），芯片設計工具依賴美國。歐美等國基于產業利益和數據主權制定“數據重商主義”色彩濃厚附帶意識形態偏見針對高科技敏感行業進行封鎖的數據跨境流動規則，將阻礙我國融入全球開放創新生態和貿易投資網絡，切斷我國重要數字產業的供應鏈，可能會阻礙我國數字產業升級發展,導致關鍵數字產業難以突破

267、底層核心技術,數字產業安全風險增加。另一方面,我國申請加入 CPTPP 和 DEPA,有利于同東盟國家探索數字產業合作機會。當前我國積極參與WTO 電子商務談判,同時申請加入 CPTPP、DEPA 等區域貿易協定,正在為構建一個凝聚更多共識、尊重各方利益的數字貿易治理規則框架而努力。東盟是我國第一大貿易伙伴,同時包括新加坡在內的東盟大部分國家都是 RCEP、CPTPP 成員國,新加坡是 DEPA 的主要成員。加入 CPTPP 和 DEPA，有利于我國數字產業在被歐美打壓的情況下，同新加坡為代表的東盟國家開展更多有益合作,挖掘新的產業增長點。如新加坡是亞太地區數據中心、各類先進數字技術試驗地和各

268、類新興業務的發源地，是全球數據流動、數字技術應用創新的重要樞紐和節點。此外，新加坡以鼓勵投資和創新為導向，對加密貨幣、金融科技、人工智能等領域持開放包容的監管態度，構建數字技術創新發展生態。未來我國可以同新加坡在人工智能、金融科技、數字貨幣等領域探索開展更多數字產業合作和政策對接，形成互惠互利的合作模式，打造中新數字產業開放創新生態。3.我國數字貿易臨較的政策不確定性 當前，數據跨境流動規則所呈現出的碎片化、動態化、政治化、陣營化等趨勢,導致出口企業面臨的貿易政策不確定性顯著增強,制約我國數字貿易創新發展。一方面,數據跨境流動規則所呈現的碎片化、動態化、多樣化等趨勢,導致出口企業面臨的貿易政策

269、不確定性增強。目前各國基于自身利益訴求及監管目標制定本國數據跨境流動規則。如美國對數據跨境流動保持全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 57“寬入嚴出”的政策。歐盟制定“內松外緊”政策,在個人隱私和個人權益得到保證前提下允許數據自由流動。目前歐盟 GDPR 構建了多層次的個人數據跨境傳機制(充分性認定SCCs 與 BCRs 等其他額外數據保障措施),但大多數國家并未制定與之互認的傳輸機制。我國基在網絡安全法 個人信息保護法 數據安全法頂層立法及配套實施細則、指南的規制下，建立了嚴格的數據出境安全制度。雖然我國一定

270、程度上借鑒了GDPR 的 SCCs 和認證機制等,但仍堅持著嚴格的事前監管原則(數據出境安全評估機制等)。嚴格且具有差異性的數據出境安全管理制度一定程度上造成了數字貿易發展壁壘，給數據密集型的跨國數字企業帶來高昂的制度成本。主要國家對數據跨境流動監管的差異性將帶來數字貿易政策的不確定性,監管政策的動態發展也會擾亂出口企業對未來收益與損失情況的權衡,提高企業面臨的不確定性,阻礙我國數字貿易發展。另一方面,我國申請加入 CPTPP 和 DEPA,對標高標準數字經濟規則，在區域內探索形成便利的數據跨境流動機制、可互操作的貿易便利化措施、以及穩定的數字貿易環境，將有利于我國數字貿易發展。就數據跨境流動

271、議題而言，CPTPP 和 DEPA 均強調促進各國個人信息保護制度的兼容和可互操作。如 CPTPP、DEPA列舉了可能的兼容性機制：對監管結果的互認、更廣泛的國際框架、對各自法律框架下數據保護可信任標志或認證框架的互認。由于新加坡國內建立了數據保護可信任標志，因此在 DEPA 中推進數據保護可信任標志的互認。目前我國在數據保護可信認證方面尚處于探索階段，通過對標高標準數字經濟規則，加快推進我國數據保護可信認證落地實施并與主要經濟體互認，將有利于構建便利化的數據跨境流動機制，促進我國數字貿易發展。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules

272、 Panorama 58 七、思考建議 當前，全球數據跨境流動治理與規則正處于形成過程中，美歐等大國圍繞數據跨境流動的規則博弈不斷加劇，我國初步構建了較為嚴格的數據出境安全管理制度，尚未形成具有全球約束力的數據跨境流動全球治理和規則體系。下一步我國應統籌安全與發展，試點探索數據跨境流動安全管理便利化機制，增強數據跨境流動安全保障能力，推廣數據跨境流動治理中國方案，提升全球數據治理話語權。同時，鼓勵我國境內企業在數據出境時按照我國相關法律做好出境安全合規，在將數據引入我國時，遵守數據來源國的相關法律要求，并利用利用上海數據交易所國際板探索數據跨境流動新模式。（）探索數據跨境流動安全管理便利化機制

273、 目前我國依托自由貿易試驗區、自貿港等高水平開放平臺探索數據跨境流動安全管理試點，如上海自貿試驗區臨港新片區、北京自貿試驗區、海南自由貿易港、雄安新區片區等都加快推出了包括實施國際互聯網數據跨境安全有序流動、促進數字產業開放發展等制度突破創新等舉措。2023 年 9 月 28 日，國家網信辦就規范和促進數據跨境流動規定（征求意見稿）公開征求意見，賦予自貿試驗區制定數據出境“負面清單”的權利。下一步應充分發揮開放平臺制度創新優勢，在數據出境安全評估、個人信息保護認證、標準合同備案等方面率先探索，逐步探索形成數據跨境流動便利化路徑，形成可復制、可推廣的經驗。支持北京、上海、粵港澳大灣區等地在實施數

274、據出境安全評估、個人信息保護認證、個人信息出境標準合同備案等制度過程中，試點探索形成可自由流動的一般數據清單。支持各自貿試驗區統籌安全與發展，結合企業數據出境的實際需求，探索制定數據出境“負面清單”。依托上海數據交易所等數據交易平臺，提供數據跨境流動合規服務，如設立數據安全與治理公共服務平臺，吸引一批有數據跨境需求的企業以及優質數據合規的服務機構入駐，為數據出境企業提供政策咨詢、風險評估、安全培訓、自評估報告完備性審查等數據安全合規服務。（）推進數據保護可信認證試點與新技術應 數據保護可信認證是很多國家和區域及數字貿易協定中常用的數據跨境流動機制，其本質是對數據保護水平達到一定標準的“白名單”

275、認證。如新加坡建立了數據保護可信任標志，并在 DEPA 中推進成員國對數據保護可信任標志的互認，促進數據跨境流動。上海作為跨國公司集聚地，可結合企業數據出境實際需求，率先探索推進數據保護可信認證便利化試點，為已部署數據保護措施并達到數據合規標準的企業提供便利化認證方式，并探索與主要經濟體實現數據保護可信任標志的互認，實現在國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的非重要非敏感數據跨境自由流動。同時，近年來，區塊鏈、隱私計算等技術的發展和數據中介的出現為數據跨境傳輸提供了新的范式。如歐盟基于蓋亞云（Gaia-X）建立的歐洲公共數據空間、日本數據社會聯盟建立的數據交換平臺（Data-

276、EX）等。此外，隱私增強技術（PETs）、數據監管沙箱等也為數據跨境流動的應用實踐提供了新的選擇。下一步，應支持和鼓勵各地數據交易所加快新技術新模式的研究，應用數據空間、數據監管沙箱等新工具，探索數據跨境安全流動新方式。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 59（三）增強數據安全保障能 數據跨境流動將會帶來一系列安全風險，如數據泄露、數據濫用等，對國家安全構成威脅。因此推進數據跨境流動必須增強數據安全保障能力。一方面，支持建設數據安全監測系統。如支持上海數據交易所等平臺建立智能化數據安全監管系統，加強數據安全風險

277、評估、信息共享、監測預警等技術能力建設。支持政府部門與數據安全企業協作，建設數據跨境流動安全威脅感知和監測預警基礎設施，統籌數據安全威脅信息的獲取、分析、研判、預警工作，強化數據安全事件日常監測、通報預警、快速響應、追蹤溯源惡意行為等技術能力。另一方面，強化前沿數據安全技術研發。支持上海數據交易所等平臺強化數據安全技術研發，針對數據跨境流動過程中可能的數據泄露、個人隱私風險、數據濫用等一系列安全風險，支持差分隱私、零知識證明、同態加密、多方計算、聯邦學習等前沿數據安全技術研究，支持安全產品研發及產業化應用，為數據跨境流動安全提供切實可行的技術方案，降低數據跨境流動安全風險。（四）推數據跨境流動

278、中國治理案 目前全球數據跨境流動治理與規則正處于形成過程中，美歐等西方國家正在基于信任關系加速構建將我國排除在外的數據跨境流動自由圈。而我國尚未明確提出我國數據跨境流動治理方案，也尚未與世界主要經濟體、我國主要貿易伙伴建立數據跨境傳輸便利化機制，參與數據跨境流動全球治理不足。一方面，我國應以“一帶一路”建設為契機，基于互利互惠、安全便利等原則，提出有利于我國發展的數據跨境流動治理方案，推動形成可互認的數據保護認證、標準合同條款等機制，實現區域內數據跨境自由流動。另一方面，我國應積極推進 CPTPP、DEPA談判議程。新加坡作為亞太地區重要數據樞紐，是 CPTPP發起成員，也是DEPA 的主要推

279、動方。我國應加強同新加坡在數據跨境流動方面的對接與合作，探索數據跨境流動可操作路徑，進而將相關經驗推廣至 CPTPP、DEPA 其他成員。（五）企業做好“出境”與“境”的合規 目前，網絡安全法 數據安全法 個人信息保護法等立法以及數據出境安全評估辦法等規章構建了我國數據跨境流動的安全規則體系，因此企業在數據出境時需按照現有法律要求做好數據出境安全合規，如進行數據分類分級，涉及核心數據、重要數據等需進行數據出境安全評估等。數據跨境流動不僅涉及數據出境，還有數據入境，當前全球主要經濟出于保障數據主權的需要對本區域內的數據出境進行立法規制，典型的如歐盟的 GDPR 等。因此企業在將境外的數據引入中國

280、境內時，需按照數據來源國的法律要求做好安全合規，在滿足數據來源國合規的要求的前提下，將數據流入中國境內。（六）利上海數據交易所國際板探索數據跨境新模式 上海數據交易所已經開設運行國際板，建設國際化數據交易平臺，探索形成便捷、高效、安全的數據跨境流動規則體系，積極賦能我國國際數字貿易的發展，為我國參與國際數字貿易規則制定貢獻探索實踐的經驗，同時服務于企業數據“走出去”與“引進來”。企業在開展數據跨境流動時，可利用上海數交所國際板開展數據產品合規評估審查，提高數據產品交易效率，同時依托上海數據交易所，加快企業向全球進行數據產品推介的步伐。全球數據跨境流動規則全景圖 Global Cross-bor

281、der Data Flows Rules Panorama 60 專欄：案例研究 學術數據跨境流動 基于中國圖書進出口（集團）有限公司的實踐 一、企業背景 學術數據跨境流動 基于中國圖書進出口（集團）有限公司的實踐 一、企業背景 中國圖書進出口（集團）有限公司（下稱“中圖”）是一家與共和國同齡的大型國有文化企業。中圖始終堅持引進國際先進科技文化成果服務社會經濟建設，持續推動中華文化“走出去”。目前，公司擁有國內外分支機構 28 家，服務全球 170 多個國家和地區上萬家圖書館、大學、科研機構，已成為我國規模大、實力強的出版物進出口貿易企業、數字資源提供商和國際性書展服務機構。近年來，中圖完成了

282、由傳統貿易商向內容服務商的第一次數字化轉型。進入新時代，踏上新征程，中圖公司正在加快推進由內容服務商向數據運營商的第二次數據化轉型和國際化再布局，努力構建“智慧中圖”，為國家“科技強國”“文化強國”“數字中國”建設做出新的更大貢獻。二、在上海數據交易所國際板掛牌數據產品的實踐 二、在上海數據交易所國際板掛牌數據產品的實踐 自 2023 年 7 月起，中圖作為數據供應方數商，實現在上海數據交易所國際板掛牌數據產品。以中圖獨家代理的美國 IPDataLab 公司的系列數據產品為例，7 月 7 日，掛牌“美國藥品專利鏈接”，“日本藥品專利鏈接”，類型為數據服務；7 月 28 日，掛牌“藥品專利鏈接”

283、，類型為數據應用；10 月 18 日掛牌“標準必要專利 SEP”，類型為數據集。中圖公司完成在上海數據交易所數據交易系統的用戶注冊和實名認證，包括線下簽署上海數據交易所供需方服務協議并上傳至平臺，在數據交易所開通賬號后，便可進行數據產品的登記和掛牌。中圖公司掛牌 IPDataLab 公司的數據產品包括以下程序：1.產品登記：在【登記管理】中的【系列產品登記】處，完成產品系列新建；在產品系列下的【登記產品】處，完成數據產品基本信息、內容說明、使用描述、來源證明等信息填寫并提交交易所進行初審和復審；審核通過后系統生成數據產品說明書，完成產品登記。2.產品掛牌：填寫掛牌申請需要的信息，包括選擇應用板

284、塊、產品掛牌描述、使用案例，和交易信息等，提交審核通過后，生成可交易數據產品說明書，產品即掛牌成功。中圖建立了 Pharmspot數據服務產品系列，其下登記掛牌“日本藥品專利鏈接”、“美國藥品專利鏈接”；PharmspotTM 數據應用系列，其下登記掛牌“藥品專利鏈接數據庫”；SEP-Express 數據集系列，其下登記掛牌“標準必要專利 SEP”。在產品登記過程中，根據上海市數據條例以及上海數據交易所的相關規定，數據產品和服務的形成以“實質性加工”和“創新性勞動”為前提，中圖重點從以上兩個方面對數據產品和服務進行認定。1.實質性加工方面：1）Pharmspot、PharmspotTM系列產品

285、。提升了藥品數據和專利數據的顆粒度，藥品數據增加了藥物靶點、適應癥等信息，對藥品新適應癥-獲批日期以表格化視圖做了呈現；專利數據增加了 Claim Chart 對照表，增加了藥品專利到期日字段，并精準計算出最準確的藥品專利到期日。產品并對美國、日本兩國的數據字段進行了標準化處理，并提供清晰的對照表格，方便用戶使用，例如美國藥品申請號和日本藥品批準號在 Pharmspot 中統一為同一字段。2）SEP-Express 系列產品，數據加工上的主要精力投入到了專利號的核實和標準化方面，以人工智能+手動核對的方式標準化了權利人向 15 個標準制定組織（Standard Setting Organiza

286、tion，SSO）所聲明的專利。2.創新性勞動方面：1）Pharmspot、PharmspotTM系列產品，建立了藥品數據和專利數據之間的鏈接，鏈接的發現與建立需要基于 know-How 的專業技能，是一種創新性勞動。本數據產品全面考慮到藥品專利到期日的影響因素，以 AI 算法結合人工核對的方式計算出了藥品的精確專利到期日，提升了藥品信息和專利信息的透明度并促進了用戶對信息及數據的輕松獲取，目前還沒有同類型產品能做到列出專利到期日字段并精準計算。2）SEP-Express系列產品，該產品使用人工智能+手動核對的方式標準化了權利人向 SSO(Standard Setting Organizati

287、ons)所聲明的專利。數據產品“標準必要專利 SEP”中，對所有聲明專利的申請和公開號，并通過家族信息對重復聲明的專利（就同一個發明專利的多個家族成員向 SSO多次聲明）予以去重，該產品中使用的標準化方法為自行開發，屬于創新性勞動。三、中圖數據產品的使用場景與合規性 三、中圖數據產品的使用場景與合規性（一）使用場景 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 61 專欄：案例研究 根據上海數據交易所秉承“不合規不掛牌、無場景不交易”的原則，是否具有明確的使用場景是認定產品是否可交易的條件之一，中圖對掛牌產品使用場景的描

288、述，來源于真實使用場景。1.Pharmspot、PharmspoTM藥品專利鏈接使用場景：1）醫藥公司查詢所關注的美國藥品，日本藥品，獲得其專利情況及各專利到期日，用于自身藥品研發、上市的商業決策。2）行業分析公司查詢所關注的醫藥企業，獲得其美國藥品、日本藥品、及專利整體情況，用于市場預測、企業評級等。3）準確的專利到期日有助于輔助仿制藥上市決策，有助于原研藥廠制定專利策略。據此，用戶獲取到透明的藥品對應專利信息，準確的專利到期日，從藥品的專利圖景中，可以實現原研藥專利策略概覽，展開藥品競爭態勢預測和分析，識別出藥品的核心專利信息，外圍專利信息，對市場進入開展壁壘分析，為藥品研發提供技術情報。

289、2.SEP-Express 標準必要專利 SEP 使用場景：1）通信、物聯網等行業公司獲取全球標準必要專利最全面的數據，用于市場競爭、企業專利資產、技術演變分析等，并輔助相應的商業決策。2）作為 SEP 許可費率談判的數據依據，以及專利的標準必要性法律分析的數據基礎。這些是實施某標準技術時不可規避的專利。（二）合規評估與質量評估 產品信息登記的一個重要環節是提交包括“數據產品合規評估報告”、“數據產品質量評估”等信息。數據產品的合規評估，需要評估數據來源的合法性、數據產品的可交易性、數據產品的流通風險等要點。1.數據來源的合法性：數據來源于官方機構或標準制定組織。2.數據產品的可交易性：數據產

290、品的底層數據的更新與官方同步，數據產品有固定的更新頻率，也可以根據用戶的需求進行定制化更新。中圖已經證明了 Pharmspot、PharmspotTM、SEP-Express，具有明確的使用場景，可定價。3.數據產品的可交易風險：主要考察 Pharmspot、PharmspotTM、SEP-Express數據產品中，是否包含個人數據、不能夠進行交易和禁止交易的重要數據、核心數據等。4.數據產品的流通風險：無場景不交易這一原則體現在流通過程中，中圖根據場外的市場推廣經驗，預設適用場景，主要從是否有特殊限制、跨境數據流動過程是否安全等方面評估。關于數據產品質量評估：按照定量指標和非定量指標兩個方面

291、進行評價，定量指標包括數據的規范性、完整性、準確性、一致性、時效性、可達性；非定量指標包括固有特性、說明性質量、可訪問質量、環境性質量等。根據上述指標，對掛牌數據產品進行了質量評估：Pharmspot、PharmspotTM藥品專利鏈接：數據來源于官方，客觀可靠，規范標準化程度高，數據內容覆蓋全面，無空值，具備實體、引用、完整性，域完整性，例如在藥品專利到期日計算上，充分考慮了影響變量，當對應變量字段的輸出內容發生變化時，Expiry Date 專利到期日也會重新計算，得出新的輸出數值。每個字段均有清晰的格式標準，對美國、日本不盡相同的數據字段做了標準化處理，能夠滿足數據分析要求和用戶使用需求

292、。在數據處理加工的環節，對數據質量、格式、輸出、做了多重一致性檢查，保障數據一致性。同一數據元素的類型和含義在不同的需求方、使用者的系統和不同數據處理環節上保持了一致與清晰。時效性上數據及時性很高，每月更新，包括藥品信息更新和專利信息更新。數據容量較低，收錄了美國和日本獲批藥品 25400 以上，獲批藥品核心專利信息 9200 以上，20 萬件以上全球專利同族，可嵌入傳統的醫藥數據庫亦可嵌入專利數據庫，數據的可達性滿足市場需求?！八幤穼＠溄印碧峁┑乃幤废嚓P專利及其準確的到期日，從藥品專利圖景中進行原研藥專利概覽，提供商業策略依據，具有極高的價值密度。SEP-Express 標準必要專利 SE

293、P：收錄了 15 個標準制定組織 SSO 的專利權人聲明的 SEP，每一條SEP 記錄都包含三個數據字段：1）專利號；2）對應的標準；3）聲明公司。15 個標準制定組織為：ETSI歐洲電信標準化協會，IEEE 電氣電子工程師協會，ISO 國際標準化組織，CCSA 中國通信標準化協會，OMA 開發移動聯盟，IMT 國際移動通信，OneM2M 物聯網，TIA 美國通信工業協會，ATIS 世界無線通信解決方案聯盟，ITS-T 國際電信聯盟-電信標準化部門，ITS-R 國際電信聯盟-無線電通信部門，IEC 國際電工委員會，IETF 國際互聯網工程任務組，ANSI 美國國家標準局，TTA 韓國電信技術協

294、會。產品提全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 62 專欄：案例研究 取的數據，如果在提取時該專利已經被授權，提供授權的專利號，如果仍在申請過程中，提取專利的申請號，當申請專利已獲批，會在數據更新時更新為授權專利號?？傮w而言，在上海數據交易所國際板完成國際數據產品的掛牌，是中圖在推動國際數字資源到數據要素市場聚合，以數據要素流通促進數字經濟發展的創新實踐。未來，中圖將圍繞科研學術服務，在數據跨境流通標準化服務等方面，參與到推動數據要素流通的多主體、多層次、多場景建設之中，為我國科研學術發展提供更安全、更高效、更智

295、能的產品和服務，更好助力數字中國、科技強國建設。全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 63 參考獻 1 林梓瀚,游祎,史淵.基于生物識別技術的全球個人信息安全治理研究J.世界科技研究與發展 2 林梓瀚.基于數據治理的歐盟法律體系建構研究J.信息安全研究 3 林梓瀚,黃麗華.全球主要經濟體數據跨境流動規則研究J.中國信息安全 4 林梓瀚.東盟數據跨境流動制度研究：進程演進與規則構建J世界科技研究與發展 5 吳沈括,胡然.數字平臺監管的歐盟新方案與中國鏡鑒圍繞數字服務法案 數字市場法案提案的探析J.電子政務 6 吳沈

296、括,崔婷婷.歐盟委員會 2020 年歐洲數據戰略研究J.信息安全研究 7 洪延青.數據跨境流動的規則碎片化及中國應對J.行政法學研究 8 洪延青.數據競爭的美歐戰略立場及中國因應基于國內立法與經貿協定談判雙重視角J.國際法研究 9 洪延青.推進“一帶一路”數據跨境流動的中國方案以美歐范式為背景的展開J.中國法律評論 10 胡海波,耿騫.數據跨境流動治理研究：溯源、脈絡與動向J/OL.情報理論與實踐 11 林梓瀚,計麗娜.淺析我國金融業數據出境安全規則J.中國金融電腦 12 冉從敬,郭瀟凡,何夢婷.國際跨境數據流動治理合作：機理、困境與變革J/OL.圖書館論壇 13 張相君,易星竹.數字貿易中跨

297、境數據流動的國際法挑戰與中國因應J.福州大學學報(哲學社會科學版)14 梅傲,李淮俊.數字貿易中數據跨境流動規則的新發展基于數據出境安全評估辦法與 DEPA的比較J.企業經濟,2023,42(04):153-160.15 朱勤,劉玥.數字貿易發展背景下跨境數據流動國際治理及我國的探索J.科技管理研究 16 梅傲,李淮俊.論數據出境安全評估辦法與 DEPA 中數據跨境流動規則的銜接J.上海對外經貿大學學報 17 丁曉東.數據跨境流動的法理反思與制度重構兼評數據出境安全評估辦法J.行政法學研究 18 王麗穎,王花蕾.美國數據經紀商監管制度對我國數據服務業發展的啟示J.信息安全與通信保密 19 翟軍

298、,李昊然,孫小荃,李劍鋒.美國開放政府數據法及實施研究J.情報理論與實踐 20 趙麗莉,鄭蕾.美國數據與隱私安全保護制度進展述評J.重慶理工大學學報(社會科學)21 金耀.數據產業法律規制路徑研究以美國數據經紀人制度為視角J.司法改革論評 22 金晶.個人數據跨境傳輸的歐盟標準規則建構、司法推動與范式擴張J.歐洲研究 23 金晶.歐盟的規則，全球的標準?數據跨境流動監管的“逐頂競爭”J.中外法學 24 吳希賢.東盟數據治理：全球背景、規制框架與中國合作J.亞太經濟 25 劉簫鋒,劉楊鉞.東盟跨境數據流動治理的機制構建J.國際展望 26 謝謙.全球數字經濟規則議題特征、差異與中國應對J/OL.改

299、革 全球數據跨境流動規則全景圖 Global Cross-border Data Flows Rules Panorama 64 27 郭豐,林梓瀚,胡正坤.基于全球網絡空間穩定進程的“國際軟法”建構與演變J.信息通信技術與政策 28 全球數字治理白皮書 2022R.中國信息通信研究院 29 全球數字治理白皮書 2021R.中國信息通信研究院 30 全球數字經濟白皮書 2021R.中國信息通信研究院 31 跨境數據流動：相關政策和舉措的盤點R.經合組織（OECD）32 G20 成員國跨境數據流動規則R.聯合國貿易和發展會議 33 全球數字貿易發展趨勢報告 2022R.商務部國際貿易經濟合作研究院 34 數字貿易發展與合作報告 2022R.國務院發展研究中心 35 數字化新外貿趨勢發展報告R.中國國際經濟交流中心