尽管欧美的数据跨境流动治理存在一定的缺陷,但是其设置时间较早且经验丰富。我国可以汲取好的经验,并根据启示制定更完善的数据跨境流动治理体系。
数据跨境流动已成为推动数字贸易与全球信息交流的重要基础,但同时也带来了数据安全与个人信息保护等治理挑战。欧盟在数据跨境流动规制方面形成了以基本权利保护为核心的数据保护制度;美国则更强调产业发展与数据自由流动。通过对两种立法模式的比较,可以为我国数据跨境治理提供借鉴。
问题的提出
根据国务院发展研究中心与中国信息通信研究院于2025年9月联合发布的《数字贸易发展与合作报告2025》,2024年全球数字服务贸易规模达4.64万亿美元,同比增长8.3%,占全球服务贸易比重达53.4%。可见,全球数据跨境流动已经成为数字经济的主要动脉,同时也是各国之间数据主权竞争的核心领域。目前,欧洲与美国凭借其优势与技术,各自形成了多元化的规制范式。通过批判性比较欧美的规制路径,可知两者之间存在权利本位与市场本位的理念分歧,在实践中存在规则分散、碎片化等相关困境。
面对此种二元格局,我国亟须在协调安全与发展的前提下,构建自主可控且具有国际话语权的数据跨境流动治理体系。近年来,我国陆续发布了关于数据跨境流动的法律法规,已经确立了以《个人信息保护法》《网络安全法》《数据安全法》为核心的法律框架。2024年,国家互联网信息办公室发布的《促进和规范数据跨境流动规定》,规定了个人信息出境标准合同、数据出境安全评估等数据跨境的具体指南。2025年国家互联网办公室颁布了《个人信息出境认证办法》,于2026年1月1日正式施行,目的在于保护个人信息安全,规范个人信息的出境认证活动。可见在个人信息出境认证、安全评估等方面也提供了规制路径,但仍缺乏系统地结合国际经验的规制路径。因此,需要深入批判分析欧美规制路径的内在结构缺陷,根据结论系统性地提出关于中国规制路径的精细化方案。
欧美数据跨境流动的规制模式
1.以基本权利为核心的欧盟模式
欧盟作为数据跨境流动的重要经济体,在世界数据跨境流动方面所制定的法律规制模式具有领先地位。在立法上,1995年的《数据保护指令》中明确规定了完备的法律保障相关原则,将个人隐私数据归入隐私保护的范围确保数据安全,并确立了个人数据跨境流动保护基本准则。2016年的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)中细化构建了个人数据跨境流动充分性认定,这是欧盟数据跨境流动安全保障的主要依据,提高了数据跨境流动的透明度。后续依次出台了《数据治理法案》与《数据法案》,构建了欧盟较为全面的以基本权利为核心的法律治理模式。
在数据跨境流动策略上,欧盟采取的是对内与对外不同的保护机制。在欧盟内部,强调并支持数据自由流通。GDPR明确指出,欧盟成员国之间传输个人数据不受特定的限制,表明各个成员国之间对于个人数据,允许自由传输,对内部传输数据的管理弹性大。在数据出境的情况下,欧盟GDPR对个人信息的保护提出了极高要求。其法规明确指出,数据接收方若位于欧盟境外,则其所在的国家或国际组织必须事先获得欧盟委员会的“充分保护”认定,唯有在此前提下,数据传输行为才被允许。如果没有被欧盟认定达到充分保护标准的第三国或国际组织,数据跨境流动就必须遵循特殊的传输机制,而没有随意流动的自由性。因此,欧盟数据传播整体上采取的是以数据安全基本权利为核心的规制模式。
2.以产业利益优先的美国模式
与欧盟不同,美国主要提倡数据跨境流动自由与市场产业自觉。美国在数据跨境流动领域并没有设立专门且统一的法律法规,也没有设置欧盟委员会那样的专门的强制执行机构,归根到底主要把数据跨境流动相关的问题依托于行业自律与部门法的规定,采取的是自由流通模式。
但是,这种自由并不是毫无限制,其与美国本土的产业利益与数据安全紧密相连。美国为了确保在数据跨境流动方面的安全利益以及维持在数字经济竞争中的重要地位,后续出台了多部相关部门法。在联邦层面,依靠《云计算法案》(Clarifying Lawful Overseas Use of Data Act,简称CLOOUD Act)确立了美国执法部门的“长臂管辖权”,可以调取存储于美国境外的电子数据,明确规定电子通信服务或远程计算服务的提供者,只要处于美国的持有、保管或控制之下,无论所涉数据是否存储于美国境内,均有义务配合美国执法机构的数据调取要求,将数据管辖权从国内扩展到国外。在州层面,以各州立法和广泛的行业自律规范作为补充。这种法律设计目的在于为市场主导和灵活应变留出最大空间。
欧美数据跨境流动的批判性比较
1.规制理念与价值目标
欧盟数据跨境流动核心在于保护个人的基本权利,注重的是权利本位,以严格的法律约束数据跨境流动,实现对个人隐私的保障。根本逻辑是原则上禁止个人数据流出欧盟,但是如果满足欧盟委员会规定的充分标准,可以在经允许的情况下流向第三国或国际组织。这种规制逻辑充分体现了欧盟对公民基本权利的重视,也满足了公民对隐私保护的需求。
但是,欧盟的规制理念与价值目标同样具有局限性,较为严苛的法律规制体系提升了企业的合规成本,尤其对于中小型企业,在市场竞争中的合规压力倍增,影响企业的良性发展,会在一定程度上制约数字经济的创新型发展。
美国数据跨境流动的核心在于数据自由流动促进市场发展,注重的是市场本位,数据流动的效率处于优先地位,主张通过行业自律与部门法规制平衡隐私保护与产业发展。不同于欧盟,美国并未制定统一的法律规制体系,而是依托部门法与行业协会制定的行业规范,赋予企业自主决策权。但是尽管与欧盟不同,双方在后续数字经济发展中仍有合作。在国际层面,欧盟与美国之间签署了《安全港协议》,协议中明确设立了美国企业的数据合规标准;后续又制定了《跨大西洋数据隐私框架》(TADP),构建了更加体系化、透明的数据跨境流动网,降低了数据跨境流动的制度门槛。
但是,美国的局限性同样突出,自由的市场流通模式并不是绝对的自由,其核心仍与美国本土企业的数据主权与商业利益安全挂钩,本质上更加保护本土企业数据安全。如TikTok等具有影响力的我国企业,在严格遵守美国法规的情形下,仍然会面临美国政府以保护公民隐私为由而受到打压,这凸显出美国模式背后实际运作的复杂性。同时,碎片化的法律规制模式导致监管不力,不同州的监管方式差异较大,增加了企业的合规成本。以行业自律为主的规制方式难以形成刚性约束,个人隐私保护存在很大问题。可知,欧美两种价值导向没有绝对的优劣区分,但都存在权利与效率的失衡问题,反映了不同社会制度、产业结构下数据治理的路径选择差异。
2.制度设计与实施困境
欧美不同的理念构建了不同的制度设计,而两者在实践中都存在难以克服的实施困境。欧盟GDPR的高标准虽然加强了数据保护效力,但是也产生了许多负面效应。其统一立法、集中监管的强制性规则忽视了不同行业与企业之间的差异化,采取一刀切的规制方法会导致法律与实践的适配性不足,从而产生适用困境。例如,作为行业巨头的企业与初创企业的跨境数据流动,适用同样的合规标准,并未考虑两者之间的数据处理能力与模式的差异,既不能有效地约束巨头企业的数据合规流动,同样也增加了初创企业的企业合规压力,增加了成本。同时,集中监管模式虽提升了规制的效率,但也存在一定的风险。在执法中往往会受政治、执法周期漫长和价值观的影响,难以保证公正性与独立性,效率也大幅度降低。
美国分散立法、多元监管的制度设计虽然具有灵活性的优势,但是存在了重复监管与监管不到位的困境。联邦与州之间的立法冲突、行业与行业之间的规则差异,形成了不统一且复杂的分散规制模式,不同监管机构的职权划分模糊,往往出现监管混乱的现象。面对联邦与州立法在数据跨境流动的标准、范围上存在明显冲突时,企业需要付出更大的成本应对不同的监管要求,增加了企业的负担。而对于AI训练数据跨境流动等新兴场景,会因缺乏明确的监管主体导致监管不到位的情形。同时,行业自律规范通常由大型龙头企业制定,其本质上是对企业的自我约束,但是缺乏第三方的强制监管机构与惩戒机制,最终都会沦为纸面协议而未得到相应的落实,难以发挥其实际效果与作用。美国对内强调的是自由与行业自律,对外则通过《云计算法案》拓展其司法主权,并发布相关行政命令以保护所谓的敏感个人数据,以此针对其他国家实施数据跨境流动禁令。这种歧视性规定展现了美国的数据规则被武器化的服务于数据霸权的工具性本质。
3.国际影响
在国际影响上,欧盟根据GDPR的高标准实现了规则的输出,在全球范围内其标准受到许多国家的相继适用。截至2025年,全球已有130多个国家和地区借鉴GDPR的标准制定了本国和地区的数据流动标准,在全球的数据监管方面有一定的地位。但是这种规则霸权也产生了争议,部分发展中国家无法达到欧盟的标准而被排除在外,加剧了数据治理的不平等。美国则通过达成双边协议或多边协议的方式构建数据跨境流动联盟,将其市场本位的规制方式推广到全球,形成了与欧盟抗衡的结盟。但是也存在局限性,其协议结盟的方式具有明显的排他性,容易引发国家之间的冲突加剧全球治理方式的碎片化。
总体而言,欧美两种规制模式的国际影响均具有双重性,既推动了全球数据治理规则的完善,也带来了规则冲突、治理失衡等问题。
中国数据跨境流动规制体系构建建议
尽管欧美的数据跨境流动治理存在一定的缺陷,但是其设置时间较早且经验丰富。通过前面的梳理与批判性分析,我国可以在欧美的数据跨境流动治理体系中汲取好的经验,并根据启示制定更完善的数据跨境流动治理体系。
1.完善我国数据跨境流动法律保护体系
一是构建符合我国国情的规制体系。我国应该针对数据跨境流动的重要领域、各个环节制定分级分类的法律规范,对于涉及国家安全和公共利益的重要数据,应当建立严格的数据出境审查制度;对于一般商业数据,可以采取类似备案机制,从而在保障数据安全的同时提高数据流动效率。此外,我国可借鉴欧盟构建的数据跨境流动监管体系,构建完善的数据保护监管治理机制,兼顾事前防御和事后惩治的法律监管体系。
二是统筹发展与安全。中国在加快数字化发展的过程中,需要注重“加强数据安全评估,推动数据跨境安全有序流动”。我国可进一步细化《个人信息安全规范》和《网络安全法》,以此增强个人数据的合法使用与责任承担,强化企业的责任和义务,保证数据跨境流动过程中的数据安全。同时,在数据跨境流动过程中要确保数据的完整性和安全性。完整且有价值的数据信息能够为跨境流动提供有利条件,发挥其价值并促进发展。当然,安全是发展的前提,数据安全问题关系到个人、社会乃至国家的安全,需要谨慎对待。需在不损害国家、社会和个人利益的情况下推动数据跨境流动的发展,否则背离了安全发展技术的初衷。在确保数据跨境流动过程安全的同时,也要允许国家存在安全例外,但是安全例外必须符合比例原则与必要性。可借鉴欧盟在数据合作方面的做法,欧盟与美国的跨境合作明确反对美国大规模获取欧盟公民的个人信息,确保欧盟个人信息的安全性。欧盟的做法具有参考意义,我国在与世界各国合作过程中,可以允许必要的出于安全考虑的获取公民个人信息,不能滥用或泛化安全例外情况。此外,在国际竞争领域,以完善且强硬的法律手段应对美国的霸权主义、单边主义和保护主义,为中国企业数据跨境流动提供保驾护航。
2.建构数据跨境流动纠纷的解决机制
一是完善我国司法救济机制。明确数据跨境流动的法律适用原则、管辖规则等重要机制,同时,法院可针对数据跨境流动制定相关的司法解释,对相关案件通过司法解释进一步明确实践裁判规则,明确如何在数据安全、数据流动之间寻求平衡,从而提高案件审理的可预期性。
二是建立专业化的数据跨境流动纠纷解决机构。从传统贸易角度来看,可以借助WTO来解决贸易过程中的纠纷,通过制定相关的法律来约束参与国际贸易活动各个主体的行为。各国法院在数据跨境流动规制模式上存在不同的规定,导致在跨境流动纠纷解决过程中存在混乱。建立纠纷解决机构可以在第三方平台对矛盾进行协商与化解,为数据跨境流动的企业和个人提供更公正、高效的解决途径。我国可以借助互联网法院、知识产权法院等专业平台设立纠纷解决机构,集中处理数据跨境流动的案件。
三是加强数据跨境流动司法合作机制。对提倡数据自由的“长臂管辖”进行提前阻断,特别是部分国家面对数据跨境流动纠纷时实施的“长臂”执法问题。发达国家为了方便其搜集数据的便利,以“长臂”执法的方式将目标伸往他国境内的关键数据,此种行为一定程度上侵犯了他国的数据安全。我国作为数据大国,一直坚持的是数据安全与发展相协调原则,主张根据地理位置空间确保数据的管辖范围。这种规定在国家层面保护了本国的数据主权不受侵犯,同时也否定了国外的“长臂管辖”,更好地维护了数据安全,应提倡世界各国在司法实践中针对该问题进行抵制与监督。此外,针对数据跨境流动案件可通过司法协助、证据互认等方式提高该类案件的可操作性。通过构建多层次纠纷解决机制,可以有效保障数据跨境流动中的权利救济与法律秩序。
3.构建与国际相协调的治理机制
一是积极参与国际数据治理规则的制定。在全球一体化的背景下,数字经济存在无限可能,因此需要加强各国之间的交流与合作,发挥各国在数字经济发展中的积极作用。我国可参与国际或区域平台的数据跨境流动规则的讨论与制定,从而在国际数据治理规则体系中发挥积极作用。
二是在相关领域维持与欧美的交流与合作。虽然国家之间存在竞争关系,但并不妨碍各国在数据跨境流动方面的积极合作,并且在数据跨境流动方面各国也存在共同利益,如隐私保护,网络安全,全球数据治理等。各国在数据跨境流动治理规则方面可求同存异,积极推动国际规则的建立。中国作为世界数据大国,更应当注重前沿性问题,从中推动数据跨境流动规制模式的科学化与统一化。在数据认定方面,借鉴欧盟GDPR中的“充分性认定”机制,我国可与实施数据保护认定机制的国家或地区达成数据保护互认协议。通过国家之间互认的方式,简化数据跨境流动中的合规程序,提升数据跨境流动的效率。在数据跨境监管方面,我国也可与其他国家设立标准化的跨境监管体系,实现监管信息合作与互通,增强数据跨境流动的安全性。
作者单位
贵州师范大学法学院
来源:2026年3月(上)第05期《中国外资》杂志
