全球数据治理：态势辨析与趋势展望*

胡正坤，郭 丰

（1.中国信息通信研究院，北京100191；2.北京大学 信息管理系，北京100871）

0 引 言

纵观人类社会发展史，每一轮科技革命都会推动生产力的结构调整，引入新的生产要素。数据作为数字时代的代表性生产要素，日益彰显其赋能生产活动全链条的重要作用，成为全球各方抢抓本轮科技革命机遇的战略抓手。其中，建立支持数据要素充分流动的规则和机制成为各方布局的主要着力点。然而，从全球层面看，要充分发挥数据要素的赋能作用，全球数据治理还面临着标准差异化、规则碎片化、机制多元化等突出问题。如何应对，将是全球数字经济深入发展面临的关键问题。

1 全球数据治理概述

当今世界，经济全球化与全球数字化深入发展，数字经济对全球经济发展的驱动作用日益凸显。中国信息通信研究院《数字贸易发展白皮书（2020年）》指出，全球数字贸易蓬勃发展，增速超过货物贸易、服务贸易；据统计，2019年全球数字贸易（出口）规模达31925.9亿美元，逆势增长3.75%，占服务贸易比重上升至52.0%，占全部贸易比重上升至12.9%[1]。

数据作为数字经济的基础要素获得全球各方的普遍关注。全球主要国家纷纷开展战略布局，在保障个人隐私及数据安全的同时，促进数据要素充分流动和高效利用成为全球各国数字化转型战略布局的重点领域。经济合作与发展组织（OECD）的数据显示，自2000年以来，全球数据立法的总量已从不到50个发展至2019年接近250个的规模[2]。美国自1974年《隐私法案》（Privacy Act）以来，围绕隐私保护、数据开放开展前瞻性政策和法律布局，建立起符合美国经济特点的数据治理框架，并于2019年12月发布《联邦数据战略与2020年行动计划》，把“将数据作为战略资产加以利用”（Leveraging Data as a Strategic Asset）作为美国数据战略的核心目标。欧盟于2016年通过《通用数据保护条例》（General Data Protection Regulation，GDPR）建立起个人数据保护框架后，于2018年11月14日发布《非个人数据自由流动条例》（Regulation on the Free Flow of Non-personal Data），要求确保非个人数据在欧盟内部的自由流动；同时，围绕数据开放和流通发布了一系列数据经济战略，并于2020年2月发布《欧洲数据战略》，强调要提升对非个人数据的利用能力。我国政府也高度重视数据要素的流动与利用，2017年12月，在新一届中央政治局第二次集体学习中，特别就“实施国家大数据战略”开展专题讨论；会上，习近平总书记指出，要构建以数据为关键要素的数字经济，加大对技术专利、数字版权、数字内容产品及个人隐私等的保护力度。2020年3月，中共中央、国务院下发《关于构建更加完善的要素市场化配置体制机制的意见》提出，加快培育数据要素市场，推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。

数据要素的充分流动既是数字经济时代的本质特征，也是数字经济运行的基本前提。一般认为，数据的充分流动可以提高生产力，促进贸易、创新和就业，为社会互动和知识传播提供更加丰富的手段和途径。世界银行的数据显示，自1990年以来，全球数据驱动型服务贸易大幅增长，目前在全球服务贸易额度中的占比已经达到50%[3]；而世界贸易组织（WTO）的数据显示，截至2019年，服务贸易在全球贸易中的占比已经达到23.6%[4]。国际数据公司（IDC）最新预测，到2025年，全球数据量将达到180ZBs，2020—2025年年均复合增长率将达到23%[5]。毫无疑问，数据对全球经济发展的使能作用将更加显著。

实现数据要素的全球获取，成为各国在更大范围和更深层次挖掘数据价值、提升数字经济国际竞争力的重要途径。近年来，以欧、美为代表，全球主要国家分别通过单边、双边或区域规则制定和机制安排，推动建构起符合各自产业利益和价值理念的“数据跨境流动圈”。其中，欧盟以“个人数据保护水平充分性认定”为主要抓手，与全球14个国家和经济体达成数据保护水平认证，并正积极推进欧美数据跨境流动规则谈判[6]。美国以“双边及区域自由贸易协定”为核心抓手，大力推动数据自由跨境流动，并反对数据本地化；目前，美国已通过 《美国—墨西哥—加拿大协定》（U.S.-Mexico-Canada Agreement，USMCA）、《美日数字贸易协定》（U.S.-Japan Digital Trade Agreement，UJDTA）形成美式数据治理规则模板。东盟以“增强区域数字经济竞争力和网络安全能力”为抓手，自2016年发布《东盟个人数据保护框架》（ASEAN Framework on Personal Data Protection）以来，已经形成了以《东盟数字数据治理框架》（ASEAN Framework on Digital Data Governance）为核心的规则体系，并参考欧盟实践，稳步推进构建以“东盟示范合同条款”和“东盟跨境数据流动认证”的数据跨境流动机制。上述机制安排，虽然在提升规则框架的互操作性、确保相当的数据保护水平等方面做出了积极探索，但这种碎片化的规则体系和机制安排，不仅增加了企业跨境经营合规负担，也对机制参与方以外的广大国家和经济体形成了事实上的贸易壁垒[7]。

总体来看，全球数据治理正处于标准差异化、规则碎片化、机制多元化的发展阶段，全球层面的数据治理规则体系和统一协调机制仍然处于多方博弈的进程之中。在新冠疫情加速数字化转型进程的背景下，全球数据规则体系和治理机制间的不协调将成为各国深入发展数字经济不得不面对的关键问题。

2 全球数据治理态势辨析

数据治理作为当前全球数字治理领域的核心议题之一，既是一个热点话题，也是一个传统话题。称其为“热点话题”，源于从全球看，数据治理议题已成为国际多边和区域贸易谈判的主要内容，在《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）、USMCA、《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP） 等全球主要区域自贸协定的文本中以及WTO框架下电子商务谈判中均将数据治理相关议题作为重要内容。称其为“传统话题”，源于早在1970年，联邦德国黑森州便通过了世界上第一部数据保护法；国际上首份个人数据保护公约——欧洲委员会“第108号公约”《有关个人数据自动化处理中的个体保护公约》（Convention for the Protection of Individuals with Regard to the Automatic Processing of Personal Data）在1981年便正式诞生[8]，此前，OECD还在1980年便发布了全球首个跨境数据流动的行为原则《关于保护隐私和个人数据国际流通的指南》（the OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data）[9]。

从治理理念看，目前，全球数据治理呈现出以中国为代表基于“国家主权和数据安全”的宏观视角，以美国为代表基于“商业与消费者保护”的中观视角，以及以欧盟为代表基于“个人权利保护”的微观视角。

从治理内容看，当前，全球数据治理主要聚焦于三个方面的议题：一是个人数据保护，二是数据跨境流动，三是数据本地化。三个话题相互独立，却又有着复杂的密切联系。从全球实践看，以欧盟GDPR为模板，通过个人数据保护立法，实施数据跨境流动监管，设置数据本地化要求的做法越来越普遍，数据跨境流动又通常以满足个人数据保护和数据本地化要求为前提，数据本地化远远超出个人数据保护的范围，与数据跨境流动则形成看似互斥而实则相吸的两极，而数据本地化政策也往往以数据跨境流动政策的例外形式出现。

从规则主张看，以中、美、欧为典型代表的三种数据治理视角下，分别形成了各具特色的“规则模板”。从具体议题看，在个人数据保护方面，欧盟凭借其“个人权利保护”的微观视角，积极推出GDPR，在全球范围掀起个人数据保护的热潮，进而占据事实的领导地位，对中、美两国的个人数据立法和隐私立法都起到示范效应。在数据跨境流动方面，当前全球数据跨境流动政策主要有三种模式，分别为：开放的流动、有条件的流动和有限的流动。其中，“开放的流动”以美国为代表，强调“商业自由”，主张尽可能地开放数据流动；“有条件的流动”以欧盟为代表，强调“个人数据权利保护”，主张数据在充分的监管水平下自由流动；“有限的流动”以中国为代表，强调“国家安全和主权”，主张政府许可下的数据流动。在数据本地化方面，总体呈现出以美国为代表明确反对数据本地化和以中国为代表明确主张本地数据本地存储的两种立场；美国将数据本地化视为贸易壁垒，中国则将数据本地化作为数据主权的保障，欧盟虽然在其境内禁止成员国间实施数据本地化措施，但在境外却支持数据本地化，2020年9月，欧盟内部市场专员蒂埃里·布雷顿在采访中曾明确表示，“欧洲的数据应该在欧洲存储和处理，因为它们属于欧洲”[10]。

此处需要指出的是，美国虽然长期主张“数据自由跨境流动”，但并不意味着完全的放任自流，也并非没有数据本地化要求；其对涉及技术、军事以及通信等重要领域数据建立起广泛的许可和审查等多样化管制措施。例如，美国外资安全审查委员会具有广泛的权力阻止外资企业损害美国国家安全，可采取的措施包括要求国外网络运营商与电信小组签署安全协定、要求通信基础设施位于美国境内，以及要求通信数据、交易数据、用户信息等仅存储在美国境内；美国还根据《出口管理条例》（Export Administration Regulations，EAR）、《国际武器贸易条例》（International Traffic in Arms Regulations，ITAR）的规定，对军事和民用相关的技术数据实施许可管理[11]。同样，中国主张“境内运营中收集和产生的个人信息和重要数据应当在境内存储”并不等同于限制数据跨境流动。中国出于尊重“数据主权”支持数据本地化存储，2020年9月，中国发起的《全球数据安全倡议》中便明确提出，“各国应要求企业严格遵守所在国法律，不得要求本国企业将境外产生、获取的数据存储在境内”。同时，也高度重视数据跨境流动的安全和自由，2021年6月通过的《中华人民共和国数据安全法》第11条明确指出：“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。”

从治理机制看，在全球性机制缺位的背景下，一些区域性组织和国际经贸机制发挥着重要作用。其中，OECD、亚太经济合作组织（Asia-Pacific Economic Cooperation，APEC）最早关注在数据治理议题，并已形成较为成熟的规则框架。OECD框架下的数据规则将个人隐私看作公民的基本权利，强调对个人隐私的风险管控及全球层面隐私监管的互操作性，体现出明显的欧洲数据治理观；APEC框架下的数据规则，关注消费者的信任问题，强调跨境隐私执法的协调，体现出明显的美国数据治理观。东盟近年以来也在持续发力，积极制定区域数据治理框架，协调成员间的数据治理安排并力争实现互操作性。而作为全球多边贸易的核心机制，WTO于2019年正式启动电子商务谈判进程，并将数据治理作为核心议题之一；随着进程的持续推进，WTO有望在全球数据治理领域继续作为核心协调机制，发挥积极作用。

3 未来趋势展望

2020年1月，美国战略与国际问题研究中心（CSIS）高级副总裁，马修·古德曼发表文章表示“是时候就数字治理达成一致了”，并认为，数据治理是继布雷顿森林体系的三个机构和20世纪70年代的能源相关安排之后，全球经济秩序目前缺失的“第五个支柱”[12]。

马修·古德曼的上述表述与近两年国内外各界就全球数据治理表达出的共同思索不期而遇。2019年，美国民主党总统竞选人杨安泽（Andrew Yang）便提出要建立“世界数据组织”（World Data Organization）的想法，并获得欧亚集团主席伊恩·布雷默（Ian Bremmer）的积极响应[13]；中国方面，全球化智库主任王辉耀提出，在G20框架下建立由世界上最大的20家数字经济公司组成的“国际数据联盟”（D20）[14]。2020年11月举行的联合国互联网治理论坛（Internet Governance Forum，IGF）2020年年会期间，也有与会代表提出建立一个负责管理数据资源的“ICANN”（The Internet Corporation for Assigned Names and Numbers，负责在全球范围内对互联网唯一标识符系统及其运行的安全和稳定进行协调）。此外，包括IMF、世界银行、世界经济论坛、CSIS在内的一些国际组织和机制，以及知名智库也高度关注全球数据治理规则和机制缺位问题，纷纷加强研究布局，探索数据治理思路和推进路径。IMF最近的一份报告便提出，建立一个独立的机构负责收集和匿名化特定类别的个人数据，然后经授权，向外流动;并指出，新冠疫情为探索创新解决方案提供了新的机遇[15]。

与此同时，在当前全球数据治理的实践中也同样出现了一些值得关注的共同趋向。首先，从规则主张看，全球个人数据保护立法过程中对欧盟GDPR在内容和措施上的借鉴参考，意味着各方在相关规则和实践方面有着广泛的共同经验和共识基础；虽然各国均在不同程度实施数据本地化政策，但促进数据跨境流动的目标是一致的。其次，从机制安排看，单边机制均通常设有“白名单”式的认证机制和标准合同条款等，而诸边机制通常设有一定形式的例外条款。最后，从参与方看，随着双、诸边机制的增多，同时参与不同机制的相关方正在持续增加；例如，日本便同时参与了包括RCEP、CBPR、CPTPP在内的多个诸边机制，并获得欧盟“充分性认定”。

从国内外动态看，国际社会对启动全球数据治理规则磋商、建立全球数据治理协调机制的呼声日益强烈；各方实践也为开展相关讨论奠定了一定的共识基础。在此背景下，推动全球数据治理体系建设正当其时。

第一，数据治理规则制定由浅及深，个人数据保护或将成为切入口。数据作为数字经济时代的新型生产要素，各方对其尚处于开拓认知的探索阶段。中短期内，全球层面在数据治理问题上取得长足进展并不现实，但目前全球已经具备就数据治理达成基本共识的基础条件。在技术层面，国际标准组织（ISO）在2017年便形成了国际共识性数据治理标准ISO/IEC 38505-1以及ISO/IEC TR 38505-2[16]；在政治层面，主要各方将数据治理议题纳入WTO电子商务谈判本身就是一种政治意愿的表达。从目前数据治理的三个焦点话题看，基于个人数据保护的共识基础，由浅及深逐步推动数据跨境流动及数据本地化规则取得突破或是一个务实选项。

第二，全球规则磋商回归多边框架，WTO与联合国或将交相辉映。数据治理是一个跨越人权、经济、政治和科技等不同领域的复杂议题，因此，一个完善的数据治理体系必定远远超出经贸规则所能划定的范围。随着拜登政府上台，美国外交和安全战略取向重回多边主义和国际体系，数字领域的三支核心力量——中、美、欧均对重启WTO改革进程、推进电子商务谈判释放出积极信号。从中短期看，WTO框架下的数字经贸谈判将成为推进全球数据治理规则制定的主要平台。而同样值得关注的是，联合国框架下信息安全领域开放式工作组（Open-Ended Working Group on Developments in the Field of ICT in the Context of International Security，OEWG）已经将数据安全话题纳入讨论，未来联合国有望在推动制定全球数据安全规则方面发挥核心作用。

第三，数据治理需要政策与技术“两手抓”，多方治理更能显成效。一方面，数据的技术本质意味着数据治理不仅要实现政策上的协调，还需要技术标准层面的统一。另一方面，从当前数据治理呈现的三种视角出发，也能够得出数据治理问题不仅仅是“个人”的问题、“产业”的问题和“主权”的问题，而且是一个贯穿“主权”“产业”“个人”的系统性问题。因此，开展全球数据治理必然要求个人、企业和政府从各自擅长的政策与技术领域出发，共同参与。

4 结 语

正如马修·古德曼在文章中指出的那般，“谁在有关数据隐私和数据流的规则、标准和规范、技术标准、网络安全以及关键技术的全球竞争中获胜，谁将在2030年的经济中拥有重大的竞争优势”[12]。在当前大国角力愈演愈烈的国际政治格局下，推动建立全球数据治理体系，最重要的是国际各方坚决摒弃“零和博弈、对抗分立”的狭隘思维，从“人类命运共同体”的角度出发，坚持开放合作，实现互利共赢。