RCEP背景下跨境数据流动治理规则比较研究与中国方案

徐伟功，贾赫

（中南财经政法大学 法学院，湖北 武汉 430073）

数字信息技术的革新推动了数字经济的快速发展，成为经济增长的重要驱动力。跨境数据流动是实现数据最大化利用和数据资源价值的必由之路，是数字经济的重要内容。从全球范围来看，以跨境数据流动治理为主要内容之一的国际数字贸易规则不仅是世界贸易组织（WTO）新一代经贸规则的核心议题，代表着21世纪国际经贸规则的方向，也是美国、欧盟以及中国等经济体争夺数字产业、数字治理话语权的关键领域［1］。数据治理规则成为大国博弈的一种工具和手段，竞争日趋激烈。

目前全球尚未形成统一的跨境数据流动治理规则，其主要治理方式是嵌入在双边或多边的自由贸易协定中。根据各方数字经济发展水平以及利益考量的差异，形成了不同的规制范式，主要有RCEP范式、美国范式和欧盟范式。RCEP明确了“有条件的跨境数据自由流动”基本原则，顾及缔约方的不同发展状况，形成了“合作共治”的模式。RCEP成员国在禁止数据本地化存储、合法公共政策例外、基本安全利益例外等重大问题上达成共识，关注国家安全和社会公共利益。美国范式强调“最大限度的跨境数据自由流动”原则，无论是在其主导的《跨太平洋伙伴关系协定》（TPP）、《美墨加协定》（USMCA）中，还是在美日、美韩自由贸易协定中都可见一斑。此外，美国范式还以亚太经济合作组织（APEC）的隐私框架为基础构建跨境隐私规则体系（CBPRs），打造低保护水平的数据流动秩序，确保成员国不会因“自身提供了高水平保护”为由限制数据流动。但是美国范式对于本国敏感数据向外传输又规定了严格的限制条件，同时加强了对域外数据的长臂管辖权，形成了“宽进严出”的模式。欧盟范式主要体现在《通用数据保护条例》（GDPR）中，该条例由欧盟在2018年正式实施。其以“隐私保护优先”为首要原则，严格限制数据向欧盟域外传输，并赋予GDPR域外效力强化域外数据管辖。同时欧盟于2022年正式批准通过《数据治理法》（DGA），提出“数据利他主义”的新概念，明确了区域内数据共享原则，形成欧盟跨境数据流动“外严内松”的模式。

跨境数据流动治理的RCEP范式、美国范式和欧盟范式不仅在治理模式上存在明显不同，而且各范式中“业务目的数据跨境”和“执法目的数据跨境”规则的差异性背后也深刻体现了国家之间的理念分歧与利益博弈，“条约拥堵”（treaty congestion）造成国际治理机制的碎片化［2］，引发治理规则行为体之间产生“规则竞争”趋势，增加数据流动壁垒，降低治理效率。有鉴于此，我国应在坚持RCEP“数字命运共同体”理念、“合作共治”模式原则的指引下，从国际治理和国内治理维度提出跨境数据流动治理的中国方案，加强国家间治理协作，努力弥合全球“数字鸿沟”［3］，促进全球数字经济的良性发展。

跨境数据流动治理规则主要关注三个方面的问题：个人信息权益的保护、国家安全风险防范和司法执法管辖要求［4］。在制定区域性的跨境数据流动治理规则时，由于各国在上述三个问题上的出发点和利益考量不同，形成了跨境数据流动的不同规制范式。

（一）跨境数据流动治理的RCEP范式

RCEP成员国既有发达国家又有发展中国家，各国数字技术以及数字经济发展水平不一，形成相互冲突的利益诉求。为了兼顾不同的立场和利益，RCEP坚持“有条件的跨境数据自由流动”原则、“合作共治”模式，并制定阻断域外国家数据长臂管辖的措施。

首先，RCEP确立了“有条件的跨境数据自由流动”原则。RCEP兼顾发达国家和发展中国家的利益，设置了允许跨境数据自由流动的一般原则，同时将数据安全流动作为例外原则，兼顾数据的自由流动和充分安全保护，协调各国的利益冲突。RCEP允许跨境数据流动，第十二章第十五条第二款明确规定不得阻止投资者或服务提供者因商业行为需通过电子方式跨境传输信息的行为。同时为了降低市场准入门槛、促进企业跨境投资，第十二章第十四条第二款还规定了禁止数据本地化条款。此外，RCEP也设置了一些例外原则，第十二章第十四条第三款、第十五条第三款规定了合法公共政策目标例外以及基本安全利益例外，并以脚注规定的形式赋予了缔约方自行确认实施合法公共政策是否必要的权利。这实质是体现了RCEP“有条件的跨境数据自由流动”原则，即RCEP不是仅仅追求数据自由流动带来的经济利益，而是更加注重跨境数据流动的安全性［5］。

最后，RCEP规定了应对域外国家数据长臂管辖权的制度设计。2018年美国通过《澄清境外合法使用数据法》（“CLOUD法案”），在跨境数据流动领域强化了长臂管辖权。此外，欧盟也赋予了GDPR域外效力以实现数据长臂管辖。RCEP应对域外国家数据长臂管辖权的条款主要集中在第八章附件一、附件二和第十三章，提出禁止非本地金融服务者作为委托人，通过中介机构或者作为中介机构等其他途径进行金融信息转移和数据处理，并且还规定在刑事诉讼中证据应当通过外交途径或依据缔约国的法律获取。可以说，RCEP有关阻断域外国家数据长臂管辖的条款为成员国打开了新思路，提供了制度方案。

（二）跨境数据流动治理的美国范式

美国依托其领先的互联网技术优势，借助经济优先的贸易理念驱动，在其主导的TPP、USMCA和《美日数字贸易协定》（UJDTA）等双边或多边贸易协定中主张“最大可能的跨境数据自由流动”。而随着美国国内日益趋向保守，单边主义势力抬头，“美国优先”的单边保守主义逐步成为其主流国策。在其国内法层面，美国严格限制本国敏感数据对外传输，同时加强对域外数据的长臂管辖。具体而言，美国范式的主要特点如下。

首先，美国在其主导签订的区域贸易协定中要求纳入“禁止限制跨境数据自由流动”的规则条款［7］，主张“最大可能的跨境信息自由流动”，确保“各国的监管差异不会成为实质的贸易壁垒”［8］。如USMCA第十九章第十一条第一款要求各方不得禁止或限制通过电子方式跨境转移基于业务活动的信息（包括个人信息）。由此来看，“禁止数据本地化措施”和“鼓励数据跨境自由流动”是美国范式的核心主张。同时，美国以APEC隐私框架为基础构建的跨境隐私规则体系（CBPRs）是近年来美国在国际社会极力推行的跨境数据流动规则，通过构建低保护水平的数据流动体系，实现数据信息向美国汇聚。

其次，美国在跨境数据流动上采取双重标准。一方面，美国在获取域外数据时主张“跨境数据自由流动”；
另一方面，美国又对本国敏感数据向外传输进行严格限制。2018年美国通过《外国投资风险审查现代化法》（“FIRRMA法案”）授权外国投资委员会（CFIUS）审查针对美国“敏感个人数据”商业的外国非控制型投资，以避免这些数据被外国政府或主体获取；
2019年美国签发《确保信息通信技术与服务供应链安全》行政命令并推行“清洁网络计划”，禁止交易和使用可能对国家安全、外交政策与经济构成威胁的其他国家的信息技术和服务；
2021年美国签发《保护美国人的敏感数据不受外国对手侵害》行政命令，避免涉及美国国家安全的敏感数据出境。

最后，美国在执法跨境调取数据上规定了长臂管辖措施。2018年施行的“CLOUD法案”提出新的“数据掌控者”管辖模式，规定无论通信、记录或其他信息是否位于美国境内，美国的电子通信服务（ECS）或远程计算服务（RCS）提供者都有义务按照美国法定要求，保存、备份或者披露其拥有、监管或控制的用户或订户的通信内容以及任何记录或其他信息。该法案扩张了美国执法机构调取数据的范围，体现了美国的数据霸权主义［9］。此种数据域外管辖措施是一种单边主义，不可避免地会与传统属地管辖产生矛盾，进而加剧各国管辖权冲突。

总体来看，美国通过其主导的区域性多边主义贸易协定以及美国国内法达到了数据“宽进严出”的目的，并在国际经贸协定谈判中极力维护或植入对其产业有利的规则［10］，建构起数据霸权主义体系。

（三）跨境数据流动治理的欧盟范式

欧盟范式主要体现在2018年由欧盟正式实施的《通用数据保护条例》（GDPR）中。欧盟由于数字技术水平的限制，对于跨境数据流动采取“外严内松”的政策主张。对外方面，欧盟以《人权和基本自由欧洲公约》为基础实施GDPR以达到“隐私保护优先”的目的，并赋予GDPR域外效力以实现数据长臂管辖。对内方面，欧盟鼓励数据自由流动，于2015年提出《欧洲数字单一市场战略》，以期打造“数据单一市场”。具体而言，欧盟范式的主要特点如下。

经过治疗后,观察组有20例有效,临床治疗有效率是95.24%,对照组有14例有效,临床治疗有效率是66.67%,对两组的一般性资料对比不存在统计学差异性(P<0.05)。

首先，欧盟在数据对外传输方面高度重视隐私保护。GDPR第四十五条第一款强调在充分条件基础上转移数据，即要求第三方数据接收国提供与GDPR成员国同等水平的充分性保护，且由成员国自行判断是否满足充分性保护的标准。同时，第四十六条第一款指出若第三国不满足欧盟充分性保护水平认定，数据控制者或处理者只有在提供适当的保障措施，且满足数据主体能行使权利、能获得有效的法律救济的条件时方可传输数据。包括允许公司内部转移的具有约束力的公司规则（BCR）、欧盟委员会批准的公司间转移合同条款（SCC）和欧盟批准的认证机制等；
以及例外情形下的特殊条款，包括数据主体知悉风险后的明确同意、数据传输对于履行合同是必要的、保护重要的公共利益等。

其次，欧盟在数据内部流动方面打造宽松的“区域数据共享模式”。2018年《非个人数据自由流动条例》的颁布，旨在鼓励在欧洲单一市场内实现非个人数据自由流动和共享，促进欧洲数字产业和企业的发展。2022年欧盟理事会正式批准了《数据治理法》（Data Governance Act，以下简称DGA）。DGA提出了新的“数据利他主义”概念，即“数据主体同意数据处理者，出于普遍利益目的（如科学研究）或改善公共服务使用与其相关的个人数据，而不就此索求回报”［11］。实际上是在个人数据保护体系中增加合法的“例外情形”，解决数据资源开放共享和开发利用的社会需求，为欧洲整体的数据资源利用提供必要的制度支撑。

最后，欧盟对于跨境数据流动规定了“域外管辖”条款。GDPR第三条在传统的属人管辖权和属地管辖权的基础上，根据数据处理行为的效果，将欧盟境内机构处理境外个人数据的行为和欧盟境外机构处理欧盟境内个人数据的行为都纳入管辖范围。该条以属人管辖为基础确立了该法的域外效力，即使数据的控制者或处理者不在欧盟境内，但只要是为欧盟境内的数据主体提供商品或服务，那么都将适用GDPR的规定。该条款是欧盟采取内外联动的模式扩张管辖权，将“欧盟标准”变为“国际标准”的体现［12］。

总之，欧盟主导的GDPR“外严内松”跨境数据流动模式，以“隐私保护优先”原则筑高了数据流出欧盟的门槛，进而赋予GDPR域外效力以实现欧盟企业将数据带回欧盟境内。同时，对内打破各成员国之间的数据流动壁垒，促进区域内数据共享。

跨境数据流动治理分为“业务目的数据跨境”和“执法目的数据跨境”治理［13］，前者是指出于业务开展与合作而进行的跨境数据流动，着眼于数据自由流动原则和数据安全流动原则之间的平衡［14］；
后者是指内国依据外国执法或司法机构的要求而进行的跨境数据流动，聚焦于数据长臂管辖措施以及阻断域外长臂管辖之间的博弈。RCEP范式、美国范式和欧盟范式在“业务目的数据跨境”治理理念、“执法目的数据跨境”规则内容上均有差异，同时在跨境数据流动治理规则的内容上存在系统性与碎片化的冲突。

（一）“业务目的数据跨境”治理理念的差别

国际规则是国家间博弈结果规范化的产物，实际上可以充分反映国家间合作的动机和理念［15］。因此，由于不同的动机产生的跨境数据流动治理的RCEP范式、美国范式和欧盟范式，其治理理念也是不同的。

RCEP范式坚持“数字命运共同体”理念，坚持发展权理念，坚持有限理性的数据防御主义理念。其一，“数字命运共同体”理念表现在RCEP并不只体现某些国家的利益，而是关切到各成员国的不同诉求，使得成员国能够均衡享受到跨境数据流动带来的数据价值，以及数字经济快速发展带来的机遇。其二，发展权是以平等为基础的权利，与美国范式、欧盟范式不同，RCEP在序言以及具体规则的方方面面都体现了给予发展落后国家的优惠政策，明确贸易协定不得造成成员国不必要的经济和社会负担，更加强调发展中国家的发展权。其在制度设计上讲究灵活性，纳入多样化条款，给予部分成员在规则适用上设置过渡期，给成员国保留足够的政策空间［16］。其三，RCEP坚持基于有限理性的数据防御主义理念。对于大多数相对处于竞争劣势的发展中国家来说，高水平的数据跨境流动给防护实力相对较弱的成员国带来了网络安全和数字主权的挑战，其更可能采取防御型的政策来参与国际经济合作［17］。

美国范式体现了美国数据霸权主义理念、数据保护主义理念。自“美国优先”口号提出以来，美国摈弃经济全球化时代的合作共赢精神，采取了一系列单边主义、霸权主义政策，致力于实现美国的国家利益。美国在其主导的区域性多边贸易协定中提倡“跨境数据自由流动”，辅之以数据长臂管辖措施，使得美国借助其自身技术优势汇聚全球数据，霸权主义色彩浓厚。美国国内法严格限制敏感信息出境，在国防、税务等敏感领域要求数据本地化存储。对于数据入境和数据出境问题的截然相反的不同态度，又体现了美国数据保护主义的理念。

欧盟范式体现了隐私保护优先理念、区域内数据共享理念。欧盟的技术发展水平落后于美国，所能提供的安全保护水平有限，但其高度重视对个人隐私的保护。欧盟在Schrems I和Schrems II案中分别否决了《欧盟—美国安全港规则》和《欧盟—美国隐私盾协议》，并因此形成了GDPR“隐私保护优先”理念。同时，欧盟试图通过构建内部“数字单一市场”来释放数据活力，进而实现公平、可持续的欧盟数字化转型，造福广大欧盟企业、消费者、公共部门甚至整个社会，体现了区域内数据共享理念。但欧盟将隐私保护放置首位的做法过于强调个人权利的保护，限制了跨境数据流动，并不利于新兴数字产业的发展，同时区域内数据共享模式在某种程度上也加深了欧盟内外数字经济壁垒。

总体来看，美国范式、欧盟范式之间体现出的非此即彼、“零和博弈”的思维，偏离于全球治理规则中互利合作的原则；
而RCEP范式关注占世界绝大多数的发展中国家的发展权，尊重不同国家的发展水平和政策法规，坚持互利互惠、合作共赢，同时关注国家安全和社会公共利益。因此，RCEP范式的理念可为全球性跨境数据流动治理理念提供指引。

（二）“执法目的数据跨境”规则内容的差异

RCEP范式、美国范式和欧盟范式在“执法目的数据跨境”规则内容方面的立场和态度存在差异。美国范式基于美国数据霸权主义，加强执法调取域外数据的长臂管辖；
欧盟范式为提升自身话语权，赋予GDPR域外效力，加强国家间执法跨境调取数据合作；
RCEP范式由于所涵盖的成员国以发展中国家为主，技术发展水平有待提高，加上维护国家安全和社会利益的需要，因此主要采取防御型方式，尤其是阻断以美国为主的普通法系国家的证据开示程序和域外数据长臂管辖。具体表现在以下两个方面。

第一，在执法跨境调取域外数据方面存在差异。一方面，美国范式通过单边国内立法调取域外数据，例如在“CLOUD法案”中确立了数据控制者标准，这实际变相将美国企业变成自己领土的延伸，最大限度地扩张美国政府执法调取证据的广度。另一方面，美国范式通过双边协定加强执法跨境调取数据的合作。2019年美国与英国签订《为打击严重犯罪获取电子数据的协议》，根据该协议，英国法院可要求美国实体向英国执法部门提供电子数据，美国执法部门也有权在美国“CLOUD法案”的框架下从英国服务提供商处获取数据。2021年美国与澳大利亚缔结类似协定，且目前正在与加拿大、欧盟进行关于此类协定的谈判。一方面，欧盟范式通过赋予GDPR域外效力，行使管辖权调取域外数据；
另一方面，欧盟加强执法跨境调取数据方面的合作，先后通过《为获得刑事诉讼中使用的物品、文件和数据的欧盟证据令》《关于刑事案件中的欧盟调查令》等，加强请求国与被请求国执法机关的合作，提高取证效率。

第二，在应对外国执法跨境调取数据方面存在差异。RCEP范式主要通过禁止非本地金融服务者作为委托人通过中介机构或者作为中介机构等其他途径进行金融信息转移和数据处理的方式阻断域外执法机构不当调取数据。欧盟及相关国家也陆续出台了“阻断法规”。例如，欧盟在“微软诉美国”案中明确，美国执法机构调取欧盟境内数据受GDPR第五章约束，除特殊情况外，应遵循《欧盟和美国法律互助协定》（Agreement on mutual legal assistance between the EU and the US）。法国《阻断法令》（Blocking Statute）禁止法国个人向境外司法或行政机关披露相关数据信息。瑞士、卢森堡、新加坡等国家金融领域的法律都对阻断外国执法跨境调取本国数据进行了规定［18］。

（三）跨境数据流动治理规则的系统性与碎片化的冲突

近年来，经济全球化为世界经济增长提供强劲动力的同时也加剧了财富分配不均的问题，单边主义和保守主义势力抬头，“逆全球化”趋势使得系统性的跨境数据流动治理规则进展缓慢甚至停滞，规则的系统性与碎片化之间的冲突明显，将加大治理成本，同时侵蚀全球治理协调和制约各类行为体实现共同治理目标的能力［19］。

一方面，跨境数据流动治理规则具有区域化特征。无论是RCEP、CPTPP以及GDPR等区域贸易协定，还是美国极力推广的CBPRs规则体系，其中有关跨境数据流动的治理规则，在个人数据保护、国家安全和司法管辖等议题中的侧重点不同。RCEP跨境数据自由流动的原则以及宽泛的例外规定为成员国留下监管空间；
CPTPP追逐市场自由，强调经济利益；
GDPR注重充分保护标准，明确数据接收方义务，同时加强域外效力；
CBPRs通过推行低保护水平的数据流动体系，实现数据资源进一步向美国汇聚。然而，数据要在自由流动和安全保障平衡的基础上方可发挥其最大价值，各国各地区之间分散的、区域化的跨境数据流动治理规则无疑加剧了系统性治理规则的碎片化，在一定程度上形成了数据流动壁垒，将不利于全球数字经济的良性发展，导致规则的系统性与碎片化之间的分歧明显。

另一方面，跨境数据流动治理规则存在割裂态势。跨境数据流动治理被分割为“业务目的数据跨境”和“执法目的数据跨境”治理，两者之间难以联动融合。无论是规则条款还是学术研究，都习惯把这两个问题分别看待。而实际上，一国的“执法目的数据跨境”治理思路，往往与另一国家“业务目的数据跨境”治理思路相互影响、相互制约，反之亦然。譬如，一国为防止他国“执法目的跨境调取数据”，而对本国“业务目的数据跨境”进行严格限制，或限制企业的境外业务以阻断域外长臂管辖［20］。而同一国家在这两个问题的治理思路上也相辅相成。通常来说，追求执法调取数据长臂管辖的国家往往推崇业务数据方面低保护水平、高流动标准的治理理念。此两类数据跨境活动出现了断裂与分层，进一步造成了跨境数据流动治理规则的碎片化趋势。

在当前国际关系多变、经济逆全球化的态势下，美欧国家积极推广各自的跨境数据流动规则，意图主导数字贸易国际规则的制定，加剧跨境数据流动区域治理规则之间无序的“零和竞争”。而RCEP规则体现出的“数字命运共同体”理念、“合作共治”模式具有一定的进步性。未来我国应加强国际治理与国内治理，以RCEP规则为范本推动全球性跨境数据流动机制的构建，同时加强国内立法与RCEP规则之间的协调衔接。

（一）国际治理：以RCEP规则为范本推动全球性跨境数据流动机制的构建

发达经济体与发展中经济体之间的数字鸿沟，引发两者在跨境数据流动治理理念与规则方面的巨大差异，进一步加剧跨境数据流动治理规则的碎片化趋势。RCEP范式所秉持的“合作共治”模式可以兼顾发达国家与发展中国家不同的发展水平，尊重各国经济、文化等方面的差异性，平衡反映各方利益诉求。其符合全球性贸易规则应具备的兼容并包、互利互赢的特性，体现出“数字命运共同体”的理念，协同解决各国共同面对的治理议题，具有全球性跨境数据流动机制的初步雏形，有利于创造公平、高效、开放的国际营商环境。

未来我国应在“一带一路”倡议的基础上，以RCEP规则为范本提出全球性跨境数据流动治理的“中国方案”。坚持“数字命运共同体”理念，强调数字发展成果的普惠性和共享性，使每个经济体都能享受数字技术创新和数字经济发展的红利。坚持“合作共治”模式，尊重不同国家经济、文化、科技水平等方面的差异性，求同存异，为数据经济发展水平较落后的国家提供过渡性的制度安排和优惠待遇。同时，兼顾数据自由流动与数据安全流动之间的平衡，回应各国在个人信息保护、国家安全和司法执法管辖方面的利益关切，在一定程度上降低规则碎片化和全球性制度供给赤字造成的数据流动壁垒。

（二）国内治理：加强国内立法与RCEP规则之间的协调衔接

《中华人民共和国网络安全法》第三十七条、《中华人民共和国数据安全法》第三十一条和《中华人民共和国个人信息保护法》第三十八条都明确在满足某些条件的前提下允许跨境数据流动。虽然在总体上，我国相关法律法规与RCEP规则的基本精神相一致。但是未来仍需进一步修订完善国内立法，同时加强国内法与RCEP规则之间的协调衔接。

一方面，参照RCEP规则修订完善国内立法。尽管2022年《数据出境安全评估办法》的颁布为数据出境提供了可操作、可落实的法律依据，但是《个人信息出境安全评估办法》仍处于意见征求阶段，尚未出台正式文本。为了保障跨境数据安全自由流动，以及推动相关机构的精准监管，应当尽快颁布具体实施细则。同时结合RCEP规则完善国内立法，以阻断域外数据长臂管辖。美国“CLOUD法案”的“数据控制者”模式，以及欧盟赋予GDPR域外效力的长臂管辖行为，不仅会侵害我国的国家利益，更会对企业权益以及个人隐私造成侵犯。RCEP规则为成员国应对美国的域外管辖权提供了制度方案，我国应当明确，应对域外执法跨境调取数据，双方应在平等互惠的基础之上依据条约或协定进行。同时，我国应在《阻断外国法律与措施不当适用办法》和《中华人民共和国数据安全法》的基础上进一步完善国内立法阻断措施，细化法律规定，以增强规定实施的可行性。

另一方面，加强国内立法与RCEP规则之间的衔接。《中华人民共和国网络安全法》第三十七条、《征信业管理条例》第二十四条、《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条、《人口健康管理办法（试行）》第十条规定的数据本地化存储原则，与RCEP禁止数据本地化原则的要求不相符合。《数据出境安全评估办法》对重要数据的跨境传输提出了安全评估的管理要求，其第二条指出将RCEP的“基本安全例外条款”变为“一般原则”，也与RCEP的有关精神存在冲突。因此，我国国内立法应在坚持RCEP“有条件的跨境数据自由流动”和“禁止数据本地化”两大原则的基础上，从严适用RCEP的例外条款，加强国内法与RCEP规则之间的衔接，避免违反条约义务。

为了捍卫并推动经济全球化、引领全球合作发展，面对愈演愈烈的“数字地缘政治”竞争，我国应当予以重视并积极参与，避免美欧主导制定符合其自身利益的高标准的数字贸易规则。与美国所谓的“普遍主义”将世界格式化、把美国标准作为世界标准不同，RCEP反映的“数字命运共同体”理念、“合作共治”模式，反对美国的单边主义、霸权主义，密切关注欧盟GDPR域外管辖条款，具有明显的进步性。未来我国应以“数字丝绸之路”建设为契机，以RCEP规则为范本积极参与构建数字治理规则新框架，坚持以开放、合作、互利、共赢发展理念参与全球数据治理，打破西方国家主导的跨境数据流动国际法话语体系的制度性掣肘，推进跨境数据流动治理规制的合作开放趋势。