1. 引言
我国数字经济规模已由2012年11.2万亿增长至2023年的53.9万亿元,11年间规模扩张了3.8倍[1]。2023年我国数字经济核心产业增加值约为12.8亿元,占GDP的比重为9.9% [2]。2024年前三季度,我国跨境电商进出口1.88万亿元,同比增长11.5%。作为以科技创新为驱动的外贸新业态新模式,跨境电商已经成为我国外贸发展的有生力量[3]。
当前,随着《区域全面经济伙伴关系协定》(RCEP)的逐步实施以及我国持续出台支持外贸新业态的政策举措,跨境电子商务作为数字贸易的重要形式之一,呈现出强劲的发展势头,产业前景持续向好。在整个跨境电商业务生命周期中,不同参与主体之间构建起复杂而高频的数据交互网络,包括平台运营者、交易服务商、物流仓储企业以及境内外消费者等,在线上与线下场景中密切互动,共同推动数据的动态流转。这种高度互联的商业生态使得数据跨境传输成为跨境电商企业日常经营不可或缺的一部分。
当前,各国围绕数据跨境问题展开了不同路径的规制探索:有的注重数据本地化与安全评估机制,有的则主张数据自由流通并纳入贸易协定之中。这些差异化的监管模式一方面反映了国家治理理念与技术管理水平的不同,另一方面也体现了全球范围内日益激烈的规制竞争态势。
所谓规制竞争理论(Regulatory Competition Theory),是指各国或地区在对企业行为进行规范时,为了吸引资本、技术与数据资源,制定具有吸引力或排他性的制度规则,从而在全球市场中争取制度优势。在跨境数据流动领域,该理论表现为各法域通过设定不同的合规门槛、数据保护标准或政策优惠,引导甚至重塑国际企业的数据治理行为。这种竞争不仅加剧了数据流通规则的碎片化趋势,也给企业带来了更高的合规成本与法律不确定性。
在此背景下,本文拟以“规制竞争理论”为分析视角,聚焦于中、美、欧三大法域的数据跨境规制模式,围绕跨境电商典型业务场景,分析法律适用中的实际困境,评估现有制度安排的优势与局限,进而提出我国在完善跨境数据流动规制体系、推动国际协调合作方面的可行路径。通过对不同规制逻辑的解析与借鉴,本文旨在为我国构建既符合国际趋势、又适应本国国情的数据治理体系提供理论支撑与政策建议。
2. 跨境电商数据流动的主要业务场景
在跨境电商的运营全流程中,企业往往处理和掌握多类型、大规模的数据资源,涵盖境内外消费者行为数据、企业交易与管理信息,甚至涉及一定程度的行业和宏观经济数据。这些数据不仅构成企业的核心资产,也成为其营销优化、产品定制与市场拓展等商业行为的重要支撑。在数据驱动模式下,数据跨境流动贯穿于企业的数据采集、存储、处理与传输等多个环节。尤其在全球供应链与数字基础设施加速融合的背景下,跨境数据流动的场景日益频繁,合规风险同步上升。为此,识别典型的数据出境业务类型,有助于从实务角度厘清法律规制的适用范围。结合当前产业实践,跨境电商中常见的数据跨境场景主要包括以下五类:
第一,设立境外独立站。企业在国外搭建网站平台,常将订单数据、用户联系方式等存储于境外服务器,用于支撑本地化运营。第二,供应链协同管理。境内子公司在执行仓储、物流、采购任务时,将相关人员信息上报境外总部系统,便于统一管理。第三,市场营销与客户关系管理:为优化销售策略,企业可能将收集到的客户数据(如联系方式、偏好信息)传输至境外团队。第四,委托第三方数据分析。出于成本或技术原因,企业将部分数据处理服务外包予境外服务商,对用户行为数据进行分析。第五,品牌推广活动:在参与海外展会或营销活动过程中,企业收集参会者的基本信息,并将其回传至境内数据库进行后续利用。
上述各类场景虽具有商业合理性,但在多法域交叉监管背景下,已成为企业数据跨境合规治理中亟须关注的高风险环节。
3. 中欧美数据跨境规制体系比较
3.1. 中国模式:聚焦数据本地化与风险可控的双重安排
我国关于数据出境的法律规制主要体现为两条路径:其一是本地化存储要求。依据《中华人民共和国网络安全法》第37条、《中华人民共和国个人信息保护法》第40条、《中华人民共和国数据安全法》第31条,以及《个人信息和重要数据出境安全评估办法(征求意见稿)》第2条等规定,关键信息基础设施运营者在境内运营过程中产生或收集的个人信息与重要数据必须留存在国内。同时,部分行业性法规亦设有类似要求,例如《征信业管理条例》第24条、《网络预约出租汽车经营服务管理暂行办法》第27条、《汽车数据安全管理若干规定(试行)》第12条以及《地图管理条例》第34条,均体现出国家对特定敏感数据的严格本地化管控。
其二是限制性跨境传输机制。根据《个人信息保护法》第38条与《数据安全法》第18条的规定,数据控制者在实施跨境传输之前须符合若干前提条件,包括符合法律的特别规定、通过国家主管机关的安全评估,或完成具备约束力的保护认证。目前正式实施的《数据出境安全评估办法》则进一步细化了触发情形、审查要点以及操作流程,为企业开展跨境数据活动提供了制度性指引。这一双重安排反映了我国在数据跨境治理中强调国家安全、个人权益与产业发展之间的平衡取向。
3.2. 欧盟的数据治理路径:注重个人信息保护的整体化制度安排
欧盟长期重视对个人信息的全面保护,尤其在数字经济加速发展的背景下,其成员国普遍支持通过法律手段加强数据处理的透明度与规范性。《通用数据保护条例》(General Data Protection Regulation, GDPR)是欧盟在数据治理领域的重要立法成果,被认为在统一成员国内部市场规则的同时,也为国际数据传输提供了较为系统的规范。
GDPR在确立数据跨境传输规则方面具有开创性意义。它通过第5章对国际数据传输作出专门规定,并明确在全球数字经济背景下,跨境数据流动必须以满足保护标准为前提1。不同于直接禁止数据流动的方式,GDPR采取“间接限制”思路:仅当数据接收方的保护水平被认定为足够时,跨境传输方可获准。由此,GDPR规定了几种合法传输路径,包括基于“充分性认定”(adequacy decision)的豁免机制、依赖于适当保障与有效救济措施的传输、跨国公司内部适用的“约束性企业规则”(Binding Corporate Rules, BCRs),以及因公共利益等特定事由而允许的例外传输。
此外,GDPR无需成员国另行转化即可直接适用,并在地域适用标准上采纳了“设立标准”(establishment criterion)与“目标指向标准”(targeting criterion)的复合模式,从而使效力突破了地域限制[4]。这不仅统一和规范了欧盟内部的数据市场,强化了成员国之间的制度一致性,也使欧盟能够借助“充分性认定”机制,将自身标准外溢至非成员国。其结果是,GDPR既成为欧盟内部市场整合的制度基石,又在全球范围内产生了重要的规制影响力[5]。作为最严格的隐私法,GDPR将个人数据保护的监管水平提高到了前所未有的高度。
3.3. 美国的数据跨境策略:注重经济效率与风险防控并重
美国在数据治理方面采取多元化策略,既强调推动数据在国际间的自由流通,也特别关注在高风险领域的安全保障。在多边与双边贸易协定中,美国常主张削弱数据本地化等制度障碍,认为数据应当作为贸易要素自由流通。例如,在2020年发布的WTO电子商务谈判合并文本中,美国明确提出,如果某一措施仅因数据跨境传输这一事实而对该传输进行差别对待,进而改变市场竞争条件,则应被认定为不符合协定要求[6]。这一主张实际上要求WTO成员将数据的跨境流动与境内流动同等对待。类似的规则也可以在《美墨加协定》(USMCA)第19.11条以及《跨太平洋伙伴关系协定》(TPP)第14.11条中找到依据。
与对外主张自由流动不同,美国在国内数据出境方面却设置了较为严格的制度约束,尤其是涉及关键技术和敏感信息的领域。根据《2018年出口管制改革法》(Export Control Reform Act),涉及高新技术等敏感数据向境外转移时必须符合一系列条件,包括比例控制、许可制度或特定例外条款[7]。对于国防信息、联邦税务数据等高度敏感的数据,美国更是通过立法要求其必须存储在本土境内。为进一步维护国家安全,美国于同年颁布《外国投资风险审查现代化法》(Foreign Investment Risk Review Modernization Act of 2018),将涉及“关键基础设施”和“核心技术”的企业,以及外国投资者获取或处理美国公民敏感个人信息的投资行为,纳入美国外国投资委员会的审查范围[8]。与此同时,《出口管理条例》(Export Administration Regulations)也将原本主要针对硬件产品的管制范围扩大至技术数据本身。这意味着,任何受管制的技术资料若拟传输至境外服务器,均须获得美国商务部产业与安全局的许可。可见,美国数据跨境策略呈现“对外开放、对内控制”的特点,在提升全球数据处理能力的同时,注重对关键领域风险的预防与管控。
3.4. 小结
从比较视角看,中、美、欧在数据跨境规制方面体现出不同的制度逻辑与监管重点。欧盟侧重建立以信息保护为核心的规范体系,美国则强调促进经济效率与防范特定风险并行,中国则注重在保障安全与促进发展之间实现动态平衡。
尽管三者的制度路径存在差异,但也存在一定的趋同趋势。例如,在跨境数据传输中,均逐步建立起多层次的合规标准、风险识别机制与法律责任体系。此外,面对数据全球流动带来的风险挑战,各方也逐渐认识到加强国际协调与合作的必要性。
然而,当前国际间尚未形成统一的数据流通规则,企业在应对不同国家法律要求时常面临制度重叠与合规压力。这种多重制度并存的格局,对跨境电商等依赖数据流动的企业构成了较大的现实挑战,也提示未来有必要在尊重各国监管自主性的基础上,推动更具兼容性和协调性的跨境数据治理机制。
4. 完善跨境电商数据流动规制的路径建议
4.1. 健全国内规制体系,适时优化监管规则
跨境电商数据治理的首要前提是完善国内制度体系。现有法律框架虽已对数据出境作出规范,但仍存在适用范围偏狭、规则衔接不足等问题。当前法律对于出境数据的界定主要集中于个人信息与重要数据,然而后者的认定标准仍较为模糊。《网络数据安全管理条例》(于2025年1月1日起实施)第29条明确提出,国家数据安全工作协调机制将组织相关部门编制重要数据目录,并按照分类分级保护原则对目录内数据实施重点监管。这意味着我国未来将以“正面清单”方式来规制重要数据,但具体内容仍待细化。鉴于跨境电商天然涉及多元主体与跨境传输场景,且行业发展迅速、参与者结构复杂,中小型经营主体数量庞大,现行制度若不针对该领域的特点予以细分,可能难以实现有效监管。因此,有必要结合行业特征,尽快出台分层次、差异化的重点数据目录,形成更具操作性的监管体系。
4.2. 深化国际合作,参与规则对接与协调机制建设
当前跨境数据治理面临的一个主要问题在于各国规制模式存在差异,国际协调机制尚不成熟。在实践中,境内企业往往难以全面掌握境外接收方的数据保护制度与合规要求,这对跨境电商企业构成现实挑战[9]。在此背景下,通过双边或多边合作机制以强化跨境传输及后续监管具有重要意义。跨境电商交易天然涉及多司法管辖区,其顺畅与否取决于各法域能否在数据保护标准上达成协调。尽管各国普遍将数据视作重要战略资源,但在推动数据自由流动方面仍存在合作空间。
因此,我国应当主动参与国际规则谈判并提升引导力。一方面,可以依托世界贸易组织(WTO)框架,积极对接《全面与进步跨太平洋伙伴关系协定》(CPTPP)及《数字经济伙伴关系协定》(DEPA)等高标准经贸协定,探索与主要贸易伙伴国建立跨境监管合作机制。在确保国家安全的前提下,推动跨境数据的有序流动。另一方面,应加强与联合国、二十国集团(G20)、WTO等多边组织的规则衔接与合作,逐步构建良性的数据治理生态[10]。此外,在与不同国家合作时还需保持灵活性:例如,与技术优势显著、强调数据自由流动的美国合作时,应牢守数据安全底线;与重视隐私保护、规范性较强的欧盟合作时,则需兼顾合规成本与执法协调;对于“一带一路”沿线新兴电商市场,应通过扩大规则输出与合作实践,增强我国在国际数据治理中的影响力与话语权。
4.3. 跨境电商企业数据跨境合规治理路径
鉴于国际社会尚未形成统一的数据跨境标准,且缺乏具备普遍约束力的全球治理机制,跨境电商企业在合规实践中应采取渐进式策略。与其一开始即追求全面的全球合规,不如在现阶段先行落实区域性或国别层面的合规治理,再逐步扩展至更大范围的国际适用。具体而言,企业可从以下五个方面完善自身的数据跨境合规管理:
第一,明确数据类型。根据《数据出境安全评估办法》第2条,我国法律将数据区分为个人信息与重要数据。对于前者,可以参照GDPR、《个人信息保护法》以及《信息安全技术个人信息安全规范》(2020年)等相关规定,以“直接或间接可识别性”作为判断标准;而对于“重要数据”,由于国际间尚无统一界定,企业应结合本地法律要求与业务情境,建立场景化的识别机制,制定并维护独立的清单,并宜采用相对审慎的认定方式,以降低监管不确定性带来的风险。第二,识别关键业务场景。企业可通过数据映射、人员访谈与内部调研等方式,梳理涉及跨境数据流转的环节与系统,特别是应关注跨境独立站运营、供应链管理、市场销售、委外数据处理以及品牌推广等五类典型场景,这些均是合规风险的高发领域。第三,厘清适用规则与监管要求。企业应当对不同司法辖区的数据跨境规定进行整理,并结合数据出境的合法条件与保障措施,划分各国或地区的风险等级,以便为后续合规决策提供依据。第四,建立风险评估与管控机制。在制定合规方案时,企业应根据运营需求对不同法域设置差异化的管控策略,例如明确跨境传输路径、责任主体及审核方,并结合执法力度进行前置性风险评估,从而实现合规管理的精细化。第五,完善风险治理体系。企业应将合规管理的实践经验制度化,形成可操作、可复制的工作指南,并通过定期审查与动态修订,不断提升数据治理的规范性与韧性。
5. 结语
作为数字技术与传统外贸深度融合的新型商业形态,跨境电商近年来呈现出高速增长的态势。在这一模式下,数据被持续大量生成,并逐渐演化为具有交易属性的核心战略资源。然而,跨境数据的流动并非单纯的私法自治或契约自由所能完全涵盖,其背后还涉及个人信息权益的保护、社会公共利益的维护以及国家安全的考量。由于不同法域之间的制度理念与监管标准存在差异,数据跨境流动在实践中面临着合规冲突与监管协调不足等多重挑战。
展望未来,随着跨境电商规模不断扩大,我国应积极依托世界贸易组织(WTO)的多边谈判平台,把握《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)等高水平经贸规则所提供的契机,探索与主要贸易伙伴建立差异化的数据治理合作机制。在确保国家利益与数据安全的前提下,逐步推动跨境数据的规范化与自由化流动,促进国际规则的协调与对接。通过不断完善国内法律框架并积极参与国际规则制定,我国不仅能够提升跨境电商行业的健康与可持续发展水平,还能够更好地释放数据资源的经济与社会价值,实现安全与效率之间的动态平衡。
NOTES
1See Chapter 5 of GDPR, https://gdpr.eu/tag/chapter-5/