全球跨境数据流动壁垒发展趋势与中国企业出海应对策略

○上海对外经贸大学国际经贸学院 王云飞

数字经济时代，数据成为新型的生产要素，数据所特有的非竞争性、零复制和传输成本特性为数据的自由流动提供其他要素所不具备的便利性。随着数字经济的发展，跨境数据流动已成为全球经济增长的新引擎，对国际研发、国际贸易和国际投资产生深远影响。然而，跨境数据流动涉及的数据安全、隐私保护和国家主权等问题，使得各国政府纷纷出台隐私保护、数据定位、数据跨境流动监管等相关规制措施。这些限制跨境数据流动的各种壁垒已成为影响企业国际化的新型贸易壁垒。

全球跨境数据流动壁垒发展趋势

全球跨境数据流动壁垒的范围不断扩大。首先，随着数字经济的蓬勃发展，出台跨境数据流动相关政策与法规的国家范围不断扩大。根据联合国贸易和发展会议（UNCTAD）统计，到2023年底，在全球230多个国家（地区）中，已经有161个国家（地区）出台了数据隐私保护法，其中大多数制定了跨境数据流动法律或政策。其次，随着数据安全、隐私保护和数字主权问题的日益重要，全球跨境数据流动限制的范围在不断扩大，涉及法律、政策、技术和经济多个层面。

跨境数据流动限制法规呈现多样性发展趋势。当前各国根据自身的法律法规、政策目标、经济发展水平、文化背景和安全考量等因素，制定了各具特色的数据保护和跨境数据流动规定。从法律框架来看，欧盟的《通用数据保护条例》（GDPR）为个人数据保护提供了全面的法律框架，要求严格的数据保护标准和明确的跨境数据传输规则，日本、新加坡、墨西哥、秘鲁、智利、阿根廷等国家也是具有全国层面的隐私法。美国则缺乏一部全面的联邦隐私法，而是依赖于各州的法律和行业特定的规定，如加州消费者隐私法案（CCPA）。

全球跨境数据流动壁垒涉及的法规时常发生变动且有日益细化趋势。例如，美国的数据保护法规在2023年之前一直保持相对宽松，但在2023年后，开始逐步收紧。2023年10月25日，在瑞士举行的世界贸易组织电子商务联合声明倡议会议期间，美国放弃了长期以来坚持的部分关于跨境数据自由流动的主张，并且美国正在审查其在数据和源代码等敏感领域的贸易规则现行举措。

各国对数据跨境流动违规的惩罚日益严格。从2018年正式实施到2023年11月，欧盟成员国根据GDPR针对与处理个人数据相关的违规行为发起了1701起罚款，罚款总额达到40亿欧元。根据欧盟对GDPR执法的总结和期望，未来GDPR的执法会越来越严格和频繁。

中国企业数据合规出海的应对策略

中国出海企业已进入跨境数据流动双向监管合规时代，一方面中国企业要遵守中国出台的《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，另一方面还要遵从目标国家的法律法规、行业监管要求和安全标准。为此，中国出口企业应该：

第一，在企业的国际化发展中，严格遵守所在国家及目标市场的法律法规是至关重要的。中国企业需高度重视并确保其数据处理和跨境流动符合当地的法律要求，以保障合规性。同时，中国需对各国跨境数据流动的法律法规进行概述、梳理合规的重点，包括监管机构、数据的本地存储要求、数据跨境流动规则以及个人数据保护措施，同时还需整理参考违规处罚的案例，以便更好地指导企业的合规实践。

第二，中国企业需要在出海之前提前进行合规数据流动的战略规划，并借助最新数字化技术，构建高度集成和灵活的数字化平台，实现全球运营的统一管控、资源的高效配置以及市场变化的快速响应。

第三，中国企业出海过程中，加强数据分类分级工作是构建全面数据合规体系的基础，也是保障企业国际化战略顺利推进的重要一环。中国企业在出海过程中，需通过精细化的数据分类分级管理，对敏感数据进行“脱敏”处理，并绘制详细的数据流动图谱，详细记录数据在国家地区、业务层面和系统层面的流动情况，并在数据采集、存储、加工、传输过程中标注数据处理过程及所依据的相关法律条款。