数据监管的国际路径：困境与出路

佘佳亮

(中南财经政法大学法学院，湖北 武汉 430073)

随着技术的发展，数据发挥的作用几乎触及社会的各个领域。尤其在数字贸易的范畴，除了充当传统商业交易的媒介外，数据还能作为一种独立的生产要素和无形的基础设施参与新兴市场的运转。但与此同时，数据的利用往往又会产生一定的负外部性，比如在线隐私的泄露、市场竞争的失衡、国家安全的胁迫以及消费者权益的侵损等，这些成本将渗透至国内与国际两个层面。在国内层面，公共管理的压力将随之增大。在国际层面，各国分散化的应对政策同样给贸易的全球治理带来挑战。有鉴于此，为了贸易机会的最大化，同时兼顾公共政策目标的实现，有必要对数据进行良性监管，以期达到开发与治理、国内与国际并行的双重平衡状态。

实际上，作为一个完整的体系化框架，数据监管应包含全球、区域、国别以及地域四个等级的一系列公约、协议、法律和标准[1]。换句话说，除了域内监管外，国际治理也是必不可少的重要环节。之所以做出这样的选择，最直接的原因有两种：①国际监管能有效改善各国在数据政策上的协调失灵，帮助修正各国国内监管所产生的溢出成本；
②国际监管能有效增强各国的在线信任，在培养互操作性的基础上，帮助减少以数据限制为形式的贸易壁垒，为全球数字贸易的发展及其红利的共享创造条件。

从当前全球的先进经验来看，数据的国际监管存在三种较为典型的路径：贸易机制、标准化机制和认证机制。这些机制的运转并非致力于不同规则的简单拼凑，而是通过关联互补进行约束性与非约束性的深度合作。

1.1 贸易机制

贸易机制的作用是借助条约建立起具有约束力的规则，从而规范成员内部的监管行为，以此保障所属范围内的数据活动能维持相对稳定的开放性。暂且勿论具体的实施效果如何，较为清晰的监管规则已实际存在于多个多边、区域及双边条约中，但不同的平台又会表现出一定的差异性。比如，在WTO平台，至少有五项协定能对成员的数据及其相关行为进行规制：
《关税及贸易总协定》 (GATT)、 《服务贸易总协定》 (GATS)、 《与贸易有关的知识产权协议》 (TRIPS协议)、 《信息技术协定》 (ITA协议)以及 《技术性贸易壁垒协定》 (TBT协议)。其中，GATT主要调整的是支撑数据行为的物质基础的交易，如路由器、电缆和服务器等；
TRIPS协议、ITA协议和TBT协议关注的都是与数据活动密切相连的技术问题，只是三者的侧重点有所不同：TRIPS协议负责ICT的知识产权保护与执行；
ITA协议负责降低ICT的关税；
TBT协议则负责ICT的国际待遇及标准问题。由于包括跨境转移在内的一系列数据行为均不需要涉及有形商品的转让，在与在线服务相结合的常态下，通过GATS来审查数据监管已变得更为普遍，且容易被学界接受[2]。虽然通过 “技术中立”原则的解读，这些产生于非数字时代的规则仍有普遍适用的可能，但诸多漏洞与空白依然无法被克服。随着技术的进一步发展，这些规则必将面临更大的挑战。

相较之下，区域平台的表现则更为激进且富有针对性， 《美国-墨西哥-加拿大协定》 (USMCA)、 《数字经济伙伴关系协定》 (DEPA)、 《全面与进步跨太平洋伙伴关系协定》 (CPTPP)以及 《区域全面经济伙伴关系协定》 (RCEP)等均设置了专门的监管条款，内容也基本涵盖了数据保护、数据流动、数据安全、数据市场和数据共享五大方面，在一定程度上弥补了WTO规则的滞后性，为成员间政策的包容性、可预测性和互操作性争取了空间，从而降低了数字贸易的成本。此外，借助双边平台，在设置数据监管的贸易语言时，诸多国家 (地区)已更便捷地获取了逐步实践的机会，而且自身的标准也更容易实现对外推广。以美国为例，相关语言的首次使用出现在 《美韩自由贸易协定》 (KORUS)[3]中。但经过后续多个双边协定的试验与反馈， 《数字双十二》 (The Digital 2 Dozen)[4]才最终固定下来，并成为未来诸如CPTPP、USMCA和 《美日数字贸易协定》 (USJDTA)中数据条款的范本。同样，从 《欧韩自由贸易协定》 (EUKOR)中的 “数据处理”条款[5]，到 《欧盟关于跨境数据流动及个人数据和隐私保护的条文建议》 (EU Proposal for Provisions on Cross-Border Data Flows and Protection of Personal Data and Privacy)[6]，再到后来多个FTA谈判中所沿用的体系化数据监管安排，欧盟也经历了类似的过程。

得益于自身更为强大的约束力，在与其他路径的合作上，贸易机制一直处于统领地位，能将三种不同的机制完美地衔接起来。实际上，正如知识产权的发展初期一样，由于数据与隐私、安全等价值目标紧密相连，是否能通过贸易机制对其进行监管仍存在争议。随着时间的推移，越来越多的学者和政策制定者均承认这种做法的正当性[7]，同时也意识到贸易机制本身不宜且不能过于详细地描述数据监管的具体要求。标准化机制和认证机制恰好弥补了这样的缺陷，因此，为了尽可能地缩小成员间保护水平的差距，促使数据能在互信的基础上自由流动，贸易机制通常会援引既有的或倡导创造新的共同标准和互认制度，从而将约束力扩展至其他两种路径，以此形成能相互关照的统一治理体系。在这方面，CPTPP、USMCA和DEPA等已率先进行了尝试，期许在数据保护、数据流动和数据执法等领域建立起互操作性。为了防止相关标准和互认制度会变相成为阻碍数据开放的因素，贸易机制也在指导标准化机制和认证机制的运作。在这方面，GATS第六条关于 “国内法规”和第七条关于 “认许”的规定，以及TBT协定第二条关于 “中央政府机构制定、采用和实施的技术法规”和第五条关于 “中央政府机构的合格评定程序”等规定早已提供了一些经验。

1.2 标准化机制

标准化机制的作用在于建立区域性或全球性的通用标准，从而促使覆盖范围内的监管行为能逐渐趋同甚至一致，以此降低数据政策分散化所带来的成本。与贸易机制不同，标准化机制能更为详尽地罗列出监管行为所涉的法律与技术要求，一旦被成员所采用，将直接影响相关企业的实操经营。事实上，在数据监管中引入标准化机制将产生三重效果。对企业而言，法律与技术环境的趋同使得合规风险与数字成本降低，数据跨境的障碍也会随之减少；
对消费者而言，境内外保护水平的相似性与充分性能增强使用数据及其技术的信心，在线商贸的参与度也会随之增加；
对决策者而言，监管标准的相通为跨境合作预留了更为充足的空间， “长臂管辖”的适用也会随之减少。

在数据法律的标准化上，许多组织正借助专门性的国际示范法开启共同规则和最佳实践的探索之路，甚至致力于域内法的统一。其中，欧洲理事会的 《108号公约》、欧盟的 《通用数据保护规则》 (GDPR)、东盟的 《数据管理框架》 (DMF)和 《跨境数据流动合同范本》 (MCCs)、经济合作与发展组织 (OECD)的 《隐私保护和跨境个人数据流动指南》以及亚太经济合作组织 (APEC)的 《隐私框架》和 《跨境隐私规则》 (CBPRs)等都是较为典型的例子。尤其是前三个组织所制定的规则，涉及的领域最为全面，基本涵盖了数据开发、收集、处理和利用的整个过程，是世界数据立法的先行者，其他示范性文件则大多集中在与数据相关的在线隐私保护和跨境流动方法上。在与贸易机制的互动中，CPTPP、USMCA、RCEP和DEPA等均在电子个人信息的保护上倡导考虑既有的国际标准。其中，最能彰显美式监管风格的USMCA更直接指出要参考OECD和APEC的相关标准。

在数据技术的标准化上，一些国际性组织也起着十分重要的作用，比如国际标准化组织 (ISO)、国际电工委员会 (IEC)以及电气和电子工程师协会 (IEEE)等。由于程序上较为公平、公正和透明，它们所确立的标准通常能获得较多国家的认可，并被用作域内相关要求的范本。通过引用这些标准，一些域内的实操规则也逐渐发展成为新的全球性标准。以ISO/IEC 27000系列为例，其所关注的主要是包含数据安全在内的网络与信息安全。美国国家标准与技术局 (NIST) 《关于改善关键基础设施网络安全的框架》即引入了这些标准。随着越来越多国家的相继效仿，这一框架也有望成为该领域新的国际标准[8]。在与贸易机制的互动中，一些可适用于数据领域的协议，比如TBT协议，能推动既有国际标准的内化，使得域内的技术规则能更好地与全球接轨，避免不必要的数据限制成为数字贸易的障碍。

1.3 认证机制

虽然贸易机制与标准化机制的结合能推动数据监管的趋同，但最终不可能产生统一的效果。认证机制的出现则解决了这样的问题，因为它不要求基础的法律与技术环境保持一致，而是借助特殊的安排将不同地域的监管系统衔接起来，从而帮助需要进行跨境业务的实体同时遵守多个辖区内的数据标准。通过互认协议 (Mutual Recognition Agreement)，成员能评估并认可其他成员的数据监管水平。换句话说，在互认协议的作用下，所有成员的数据监管将被视为处于同等或充分的状态。此时，各成员涵盖范围内的实体合规性或标准合同条款等将获得相应的认证标志。凭借这些标志，数据流动等跨境操作就能自由开展。因此，在认证机制的作用下，互操作性得到明显提升，监管分散化所带来的负面影响也会随之消减。

事实上，常见的认证机制多以双边或区域协议的形式加以呈现。前者有 “欧日充分性决定互认” “欧美隐私盾框架”和 “跨大西洋数据隐私框架”等，后者则有OECD的 《隐私保护和跨境个人数据流动指南》以及APEC的CBPRs等。基于这些协议，认证机构将被设立或指定。其中，双边互认机制一般会指定各自对口的数据监管组织作为认证机构，比如 “欧美隐私盾框架”中美国商务部的国际贸易管理局，所有从事欧盟境内数据转出业务的本国企业都可向其提交申请并获得相应的认证；
而区域互认机制一般设置若干个独立的认证机构，以方便不同成员的操作需求，比如APEC的CBPRs就有九个责任代理，主要分布在美国、日本、韩国、新加坡和中国台湾五地。只要所属范围内的企业获得任何一家代理的认证，即可在区域内自由进行数据跨境业务。此外，与标准化机制一样，认证机制所涉的内容不仅包括数据的法律规则，同时也涵盖数据的技术要求，目的在于减少跨境数据活动的政策与物理障碍。

在与其他路径的合作上，认证机制表现出不同的效果。一方面，在与标准化机制的互动中，两者通常是并存的，前者更多是依附于后者而加以展开的，比如APEC的CBPRs即同时包含跨境数据的隐私标准和认证规则，毕竟在缺乏共同或相似规范的前提下，彼此间的互认也无法进行。另一方面，在与贸易机制的互动中，后者不仅给予前者政策性的支持，而且还给前者提出一些硬性要求。比如GATS和TBT协定除了鼓励成员尽可能扩大互认的范围外，还提出要确保各成员在进行域外数据水平评估时保持公开、透明和非歧视。

回顾世界范围内数据监管的现状，国际路径同样面临一个问题，即数据治理与数据自由利用的失衡，这种失衡正以各种形式呈现于三种机制之中，并伴有持续蔓延的趋势。

2.1 贸易机制：阵营化

由于利益追求的不同，各国在数据监管上已基本呈现出分散化的趋势。基于贸易机制的作用，各国监管的互操作性开始有所增强，这种趋势也相应获得了缓解，但随之而来的却是另一种困境：监管的阵营化。

事实上，迄今为止，WTO平台仍不存在充分有效且专门用于调整数据监管的贸易框架。虽然GATS和TBT协定等既有的规则能通过 “技术中立”而加以适用，但这种几乎完全寄望于 “个案认定”的操作只会不断增加法律的不确定性。再者，碍于该平台在相关议题上缓慢的进程，越来越多的国家已纷纷转向区域或双边体制。在此过程中，掌握数据及其技术的大国将起着主导作用。从效果上看，美国的表现最为激进，其通过TPP、USMCA和USJDTA等大量协议逐步向外推广自身的标准，试图以 “数据自由”为借口打开更多数字市场，为攫取全球的数字资源提供便捷，从而更好地维护数字科技与数字贸易领域的霸主地位。相较而言，欧盟的表现则更为缓和，其影响力的传播靠的是域内不断完善的制度创新与强大的行动联合体。虽然贸易机制中出现的更多是监管多样性的承认与尊重，但经过与标准化机制和认证机制的结合，欧盟模式也开始以 “由内及外”的方式逐渐向全球扩散。而同时作为数据生产与需求大国的中国则选择了最为友好的途径，其以 “一带一路”框架下的数字丝绸之路为背景，在求同存异、互利共赢的基础上寻求合作，不但为沿线国家带来建造数字基础设施的技术，还给他们分享了数据监管的先进经验。在这种相互信任且能共享数字红利的方式下，中国模式也获得不少认同与效仿。由此可见，借助贸易机制，在监管标准不断外扩与融合的过程中，三大经济体尤其是前两位已初步形成拥有各自 “盟友”的数字阵营，并实现了一定区域内的数据活动自由。

然而，对于其他国家而言，阵营化会让其面临更为艰难的抉择。一方面，基于既有同盟圈的经济与政治实力，面对不同监管模式的全球博弈，即使自身的诉求与之相悖，他们也有可能迫于压力而加入其中一个阵营，这种情况常常发生在数字技术欠发达的国家。另一方面，为了保留更大的域内自主权，防止境外过多的干预与影响，同时又要保持与既有同盟圈的合作，它们又有可能设法建立起能包容不同监管模式的崭新系统，这种情况常常发生在有一定技术创新能力的国家。相较而言，无论做出何种选择，前者的难度都比后者低，毕竟能完全实现互操作性的兼容体系至今仍未出现。即便是当前较受欢迎的DEPA，也仅能通过模块化和开放性集结更多的参与者，但却无法保证不同监管模式间的互通。随着阵营化的强大，数据规则的创造将越发成熟，随之而来的锁定效应也在逐步增强。任何后来者只能不可逆转地遵循先前的规则，即使这些规则明显带有不合理的价值倾向。此外，阵营化的发展看似降低了监管的分散化，但实际上又加深了数字鸿沟的程度，只是与之前相比这种分歧显得更为集中和统一。对于WTO平台而言，这种趋势反而会增加创设全球性数据规则的难度。

2.2 标准化机制：局限化

在数据监管领域，标准化机制出现了三重缺陷，使其无法被广泛运用。这三重缺陷主要表现在标准的开放性不足、所涉的内容过于片面、标准的实现基础薄弱。

首先，标准化机制的统一功能通常需要贸易机制才能得以展开，而贸易机制往往又会对标准化机制提出开放性要求。一般来说，标准的开放程度至少要与贸易平台的覆盖范围相称。越是多边的平台就越需要这种标准符合国际通用性。然而，即使是目前较为成功的 《108号公约》也是经过数次修订后才将对象面向非欧洲国家和国际组织签署。事实上，现存的诸多数据标准其体系规模仍然较小，以CBPRs为例，其成员仅有九名。虽然USMCA明确援引了这一标准，但看重的并非标准的通用性，而是注意到其背后的利益完全与主导国契合，毕竟两者的创建都由美国极力推动。反过来说，CBPRs的这种规则也不宜被WTO等多边平台所采用，因为其开放性无法满足TBT协定的相关描述。

其次，内容的片面性也是标准化机制被局限的另一重原因。从现有的数据标准来看，大多数体系仅关注到监管的某一方面，且体系间缺乏相互衔接的措施，进而忽略了治理的全局性把握，OECD的 《隐私保护和跨境个人数据流动指南》是较为典型的例子。实际上，数据监管应当涵盖数据价值的整个周期。也就是说，从数据的产生、处理、流动再到利用都需要相应的规则来加以调控，这也是为什么较为先进的数字贸易协定中都会包含关于数据保护、数据安全、数据流动、数据市场和数据共享等专门性条款，即使这些条款仅能从原则性的角度出发而加以规制。因此，作为贸易机制的重要补充，标准化机制也应该考虑规则的全面性问题，从而更好地满足监管的现实需求。

最后，实现基础的薄弱也是标准化机制无法普及的重要原因。在国家层面，不同地域的法律与技术水平参差不齐，数字鸿沟通常难以避免。这种情况在发达国家与发展中国家之间更为严重。即使在同等标准的情况下，后者的实践难度也将更大。然而，现存的绝大多数标准又由发达国家牵头制定，价值与利益难免会有所倾斜。基于锁定效应与棘轮效应的作用，原本落后的国家将百上加斤，不但不能共享到数据所带来的红利，反而会因为高标准的内化而付出更多额外成本，这也能解释为何发展中国家往往会怠于贸易平台或标准化平台上的数据规则创造。在决策层面，域内企业的数字水平和其他利益相关者的参与程度将直接影响标准化机制的运行。一方面，无论是发达国家还是发展中国家，中小型企业的数据能力是决定标准能否成功内化的短板。可是在数量上占据上风的此类企业却在合规水平和技术调整上落后于大型企业，尤其是跨境企业，这就导致相关标准的大规模推广寸步难行。另一方面，科学性和准确性是标准化机制保持国际性的根源，而其他利益相关者的参与又是达成这种目标的关键。近年来，除了ISO、IEC和IEEE等原本较为出名的组织外，国际上也相继涌现了诸多由多方利益相关者集结而成的联盟，它们主导创建一些新型标准，比如 《网络空间信任和安全巴黎倡议》 (The Paris Call for Turst and Security)以及 《网络安全技术协议》 (Cybersecurity Tech Accord)等，前者涉及全球65个国家、334家公司、138所大学和非营利组织，后者则涉及将近100多家技术企业[9]。这类协议式的标准一般仅从原则性的角度出发，其实操性相对较为薄弱，似乎无法在企业中直接加以适用。

2.3 认证机制：削弱化

认证机制的最大功用在于借助彼此承认的方式搭建起不同监管模式间的互通桥梁，以此降低数据跨境业务的政策性障碍，但当前出现的一些问题正削弱着这种功效的实现。

按照机制的运行原理，认证开展的逻辑起点在于对他国域内监管水平的判定。这种判定虽说可建立于谈判之上，但至少还需遵循贸易机制所提出的公开、透明和非歧视性等原则。然而，在实操过程中，除了评估他国数据法规的符合性外，数据输出国或技术主导国往往还会设立一系列的实质性或非实质性标准，以掌控结果的最终方向。在很多时候，这种做法明显与任意性或歧视性措施挂钩。以 “欧美隐私盾框架”和 “欧日充分性决定互认”为例，欧盟参考沿用的仍是GDPR中的相关标准，该标准不仅考察美日数据法规的制定与执行情况，还会额外评判它们的公共管理能力与整体法制水平。鉴于不同法系与数据保护理念的差异，面对这些难以被量化或具象化的指标，加之涉及不少潜在的敏感性内容，欧盟仅能从纯粹价值的角度出发进行自由裁量，但能否在不同国家间做出一视同仁的判定仍有待商榷。

为了减轻企业负担，认证机制应保持充分的稳定性。然而，这样的目标会根据协议规模的大小而发生改变。在双边认证机制中，谈判的难度虽然相对较低，但其稳定性也会随之而降。在很多时候，只要数据接收国违反了输出国认定的标准，后者即有权随时自行终止既定的关系，这无疑给机制下的合作企业带来巨大压力。比如， “欧美隐私盾框架”即在2020年被欧盟法院单方判决无效，受其庇护下的5000多家公司将被迫寻找新的数据跨境传输路径。而在区域认证机制中，这种情况将有所改善，毕竟共同标准一旦确定下来后，若要修改还需再次经历冗长的谈判过程。但与此同时，另一个新的问题也在产生。一般来说，区域机制不会指定各成员的数据保护组织去行使认证与执行的权力，取而代之的是重新组建独立的责任机构以保证过程的公开、公平与公正。然而，这种方式的代价是运营成本的急剧上升。为了压缩成本，机制很有可能控制责任机构的数量。此时，企业的受惠程度也会大大降低。以CBPRs为例，截至目前仅有九个责任代理，单美国就占了五个，其他八个成员中只有四个完成了提名工作。换言之，有近一半的成员并未真正实施CBPRs，而其他成员所提名的责任机构又未必能满足其数据跨境的需求[10]，这就导致机制所预设的 “便利性”大打折扣，不少企业尤其是中小型企业将难以获得认证。据释，当前已获得CBPRs认证的企业仅有50家，其中有41家均是来自美国的大型科技公司[11]。可以说，整个CBPRs所覆盖的企业范围还不如一个 “欧美隐私盾框架”的千分之一。

面对国际监管所遭受的困境，各国应在尊重彼此、寻求共性与鼓励合作的基础上优化各个机制的运行模式，以期塑造出相互信任和相互促进的政策环境，为数字贸易乃至整个数字经济的发展提供动力。

3.1 贸易机制：兼容与互通

针对贸易机制中的阵营化趋势，兼容与互通才是解决问题的核心。基于贸易机制的强约束力，一些原则性的工具能帮助各国减少分歧，从而促进合作。无论是多边、区域还是双边贸易平台，澄清以下三项内容都能帮助国际监管达到上述效果[12]：第一，明确数据监管的规则与例外，特别是借助例外的设置为成员保留实现合法公共目标的操作空间，以此尊重监管差异化的事实，为各国的监管自主提供合法性依据，这是确保合作开展的前提与基础；
第二，明确哪些类型的监管措施因扭曲贸易而应被禁止，如针对数据传输的征税、基于保护域内产业的本地化要求以及出于打击言论的数据封锁等，但此类措施的确定应以国际社会的普遍认同为宜，这样做的目的在于尽可能减少数据利用的政策性障碍，试图将监管的分散化、差异化控制在一定范围内；
第三，明确如何应对扭曲贸易的监管行为，允许成员以有限且相称的措施做出回应，反对以关税或配额等阻碍数据流动的方式施加报复，毕竟数据保护主义只会导致进一步的数据保护主义[13]。

作为能抵消甚至消除阵营化影响的最重要场所，WTO应着手解决规则滞后与进程缓慢这两个关键性问题。在形式上，WTO可选择在原有的GATS体系内进行改革，或者尝试订立新的专门性协议，简而言之就是要扩大现有的承诺范围以适应数据所产生的颠覆性变化。而在内容上，WTO应把握规则的尺度，通过 “棘轮机制”设立最低标准，避免过高或过低的要求导致谈判中断。针对具体条文的设置，至少有四个要点需要掌握：第一，GATS等协议中的现有规则，如非歧视性原则、比例原则、必要性检测等都能作为多元化的平衡工具；
第二，在涉及数据监管的详细标准时不宜做过多安排，应从更高的层次做出原则性规定，毕竟贸易平台不是解决这些问题的适当场所；
第三，应鼓励成员开展各种贸易平台外的合作，注意与其他国际监管机制的衔接，必要时应承认或者援引这些活动的成果；
第四，为了避免与发展中国家脱钩，应保有足够的灵活性措施与技术援助。针对双边或区域平台，虽然无法改变其作为阵营化推手的事实，但在实践中有两种方法能帮助减缓这种趋势：①以 “兼容性”为焦点，注意弥合与WTO等多边平台间的裂缝，如引入WTO既有的监管原则或承认符合WTO要求的国际标准化机制和认证机制等；
②以 “共通性”为焦点，积极推动WTO等多边平台的数据规则创新，如尝试在不同监管模式和不同监管水平的成员间寻求共识，在培养信任的基础上减少对数据的限制，同时也要共享因数据所产生的红利，这样的做法将为WTO等多边平台提供先进的立法经验。

3.2 标准化机制：模块化处理

面对标准化机制被局限的事实，模块化的分步方法能有效填补既定的三大缺陷：

首先，需要承认的是数据监管的内容较为广泛，虽然能大致划分为数据保护、数据安全、数据流动、数据市场和数据共享五个领域，但每个领域所涉的体系又十分庞大。因此，针对机制的片面性问题，不能单独依靠几个具体的数据标准或一个综合性的数据条约就能解决，最好的办法是进行分割化处理，将各个领域拆分成若干模块，从而制定出相应的规则。比如，数据市场领域可分割为数据的准入、交易、竞争、垄断和消费者保护等模块。这种做法将更为高效，能使争议较小的模块先独立运作，即使需要修改或替换也不会影响整个标准化机制的运转。

其次，为了解决机制实现基础薄弱的问题，在细化各个模块的规则时应考虑不同成员监管水平的差距，以分享经验、共享资源或提供援助的方式致力于消除数字鸿沟。同时，也要与个人、研究机构、与ICT有关的专业组织以及企业尤其是中小型企业等多方利益参与者保持紧密联系，以此确保规则的科学性、实用性、覆盖面与精准度。

最后，经由各个模块组合而成的标准化体系，可借助贸易机制的作用开展世界范围内的推广与适用，这一步骤也恰好能消除对标准化机制开放性不足的顾虑。对此，知识产权的全球造法活动能提供丰富的经验。事实上，世界知识产权组织 (WIPO)下隶属于专利、商标和著作权等模块的保护标准，如 《巴黎公约》和 《伯尔尼公约》等均经历了循序渐进的普及过程。从最初只有十几名原始成员再到越来越多的国家接纳，再到后来被TRIPS协议援引成为贸易规则的一部分，其国际化进程都基本经过了上述三个步骤。由此可见，数据监管也能循此路径而先模块化地制定出较为开放的标准，然后通过后续的不断修订以兼顾更多国家的利益，最终结合不同贸易平台的引用以达到预期的效果。

3.3 认证机制：机能强化

认证机制的功能之所以被削弱，原因就在于运行制度上的缺失。有鉴于此，对整个系统进行相应的机能强化才是解决问题的关键。

从当前的趋势来看，使用多因素判定法来对他国的数据水平进行评估已被逐渐常态化。为了避免这样的操作落入歧视性或任意性措施的范畴，在开展的过程中有必要遵守以下三个方面的准则。①在内容上，测量目标国数据法规的符合性及其执行情况应作为评估的核心基准。虽然允许其他因素同为判定的标准，但这些因素应尽可能具象化、明确化，避免存在过多支持偏见、自由裁量和个人喜恶的描述，从而降低区别对待的概率。此外，无论是确定何种因素作为评估的依据，应首先与标准化机制合作，将现存的国际标准作为制定的基础，同时考虑全球范围内学界或实务界关于数据监管的普遍共识，从而增加认证的合理性与权威性。②在原则上，应以必要性和比例性作为平衡的工具，确保评估不会对数据活动和数字贸易造成不必要的限制。换言之，在设立评估因素时，仅限于考察与目标国数据保护相关的情况，防止过多地涉及其他内容，尤其是那些带有敏感性的部分，毕竟除了经济以外，数据还与国家安全、公共管理等政治领域密切相连。再者，考察的程度也要与数据输出后所遭受的风险相称，禁止宽严不一的动态标准。③在程序上，无论是评估因素的确定还是评估流程的实施，都要保持公开、透明，并赋予目标国及其所属的主体以相应的救济权利，程度也不得低于给予机制内其他成员的待遇。

基于谈判难度的考虑，可能选择双边认证的倾向会更多。为了应对其稳定性不足的问题，机制内可增设相应的反馈与磋商规则，用于双方终止合作前或质疑保护水平不足时的必经程序，除非在诸如国家安全受到威胁等紧急情况下方可免除。也可在双方合作终止后给予原受惠企业以一定的过渡期，以便其有足够的时间寻找数据跨境活动的新方式。此外，针对区域或多边机制运营成本高的问题，不能通过缩减认证机构的数量而加以处理。以下两个方面或许能提供更好的解决思路：一方面，可借鉴双边机制的做法，直接将认证机构指定为成员各自对应的数据监管组织，无需再另行设立，毕竟没有任何机构比他们更了解本国的保护水平与所属企业的合规情况。但为了保证机制的便利性，成员可根据各自的数据跨境量决定是否增加其他中立机构履行同样的认证职能，此时域内的数据监管机构将同时肩负指导和监测这些中立机构的义务。另一方面，可在认证程序上尽可能精简，所需的手续也仅以能判断企业的数据合规水平为限，以此减少过程中的不必要支出。

4.1 实现阵营化中的非零和博弈

中国是贸易机制中三大阵营的最薄弱一方，这一点无可厚非。事实上，通过双边与区域平台的实践，美式监管在世界范围内已占上风，以自由优先为核心的数据跨境规则成为当前国际监管的主旋律。虽然RCEP的出现能有望改变这种格局，但在短期内也无法促使其成员创造出一种更具全球推广意义的替代模式。即便是中国，以现有的实力也难以改变这样的事实。特别是在申请加入CPTPP和DEPA后，中国的数据监管将有可能被进一步锁定，因为DEPA的数据规则基本与CPTPP的无异，而CPTPP沿用的就是美国 《数字双十二》中的相关内容。然而，这样的形势并不代表中国只能消极接受，在大部分规则未定的情况下，仍有可能以一种非零和博弈的方式在阵营化中共享到数据所带来的利益。

首先，需要认清的是：数据的开放是数字贸易与数字技术发展的必然结果，没有任何一个阵营能阻挡这种趋势，越是早参与制定其规则，就越有可能享有更大的权益。美国现在要做的就是以 “自由”为托词来加速这种进程，从而攫取作为先行者的最大红利。在这方面，中国要考虑的不是如何规避开放、如何反对自由流动，而是设法做到以何种条件开放、以何种前提流动，才能收获数据利用的最大效益，同时又不至于违反国内的公共政策目标。这是美国暂时无法进行锁定的领域，也是中国可发挥能动性的最佳空间。因此，反应在贸易机制上，中国不一定要反对或者拒绝美国所倡导的数据自由设定，但要强调域内监管的绝对权利，要保证能自主决定具体的数据跨境路径，并保留符合WTO原则的流动例外。只有这样中国才能掌握数据的开放步伐与开放程度，才能将本国所重视的 “安全”与 “信任”等价值理念嵌入其中，才能与广大发展中国家保持紧密的联系，从而为WTO平台上的表现争取更多主动权。

其次，两种操作能调和中国与欧盟在阵营化中的关系。第一，在诸如 “数字主权” “数据安全”和 “数字信任”等话题上展开合作，因为比起美方，中欧双方在这些话题上存在更明显的共同利益；
第二，完善国内的相关制度使其与国际接轨，从而拉近与欧盟的距离。事实上，在美中欧三方的监管博弈中，欧方提出最多的就是域内数据因贸易越境后的保护与监视问题。中国应尽快建立起有效的数据保护与数据安全体系，也要明确公共机构的数据治理权限，尤其是要规范执法中对数据的使用制度。值得庆幸的是，中欧双方均反对类似美国 《澄清海外使用数据法案》 (CLOUD法案)等 “长臂管辖”的方法。虽然欧方已通过GDPR和 《欧盟执法指令》等创建了一些标准，但与中国支持的涉外司法协助途径并不相斥，双方仍可通过谈判达成某种程度上的合作。

4.2 融入全球数据流动的循环圈

在三大国际路径的相互作用下，美国、欧盟、日本乃至俄罗斯等已在不同程度上开展了自身监管模式的外扩与融合，从而实现了一定区域内的数据自由流动。其中，在路径选择上，美国以贸易机制为主，欧盟和俄罗斯则依靠标准化机制和认证机制较多，日本则兼顾了三者的利用。在这种安排下，他们已初步形成各自的数据 “同盟圈”，每个 “同盟圈”内都有相互交叉的监管伙伴，而且这些伙伴的范围已基本覆盖了全球所有技术先进且数据活跃的地域 (见图1)[14]。反观中国，被 “边缘化”、被 “孤立”的风险正在增加，原因在于：①在贸易机制上，除了RCEP外，中国参与的所有FTA中均回避了关于数据流动等涉及数字市场开放和贸易自由度的话题，即使是RCEP，其数据开放度也不高，因为它将这种权力最终赋予各方自主行使，而中国域内又明显缺乏相对完善的数据跨境制度；
②中国官方迄今未加入任何能规制或促进数据流动的标准化机制和认证机制。

图1 国际监管路径与全球数据流动圈

面对这种监管逐渐脱钩的趋势，两种方法能帮助中国重新融入数据全球流动的循环圈：

(1)以贸易机制上能争取到足够的域内监管空间为前提，还需配备完善的数据保护制度与充分的数据跨境体系，只有这样才能保证本土数据的安全流出与境外数据的积极流入，从而形成国内外的双向环流，以此支撑相关产品和服务的进口、外供、使用与升级。

(2)在标准化机制和认证机制上，可走 “引入—优化—外扩”的道路。欧美等国家在关于数据监管的法律与技术上均走在世界的前列，当前已确定的诸多标准均有明显的借鉴意义。中国可主动加入他们的讨论并吸收既有先进经验，再结合自身实际进行数据水平的提升，然后与东盟以及 “一带一路”沿线等具有共同利益的国家建立起互认系统，从而创建出适合发展中国家的新标准，以此平衡数据跨境活动的效率与安全。

进入数字经济时代，全球化的步伐已逐渐打破传统的地理界限，数据成为各国竞相争夺的战略性资源。除了保持完善的域内规制框架外，开展良性的域外治理也是数据监管的核心任务。只有厘清数据监管国际路径的类型及其运行机理，才能更好地审视全球的发展状况。在此基础上，各种机制的固有缺陷才能被发现，对应的优化方法才能被挖掘。经过这样的认识，中国才能更好地检视自身在数据监管上的不足，并以此为据在对外政策上做出积极的调整，从而达到利用与治理、国内与国际双重平衡的状态，进一步在数字科技所带来的挑战中规避风险、赢取红利。