自国家形成伊始，国家间对资源的争夺就从未间断。在经历了对陆地、海洋、外空等实体空间的规则制定抢夺与资源分割后，伴随信息时代的来临，各国纷纷把目光转向虚拟空间——网络空间。数据作为网络空间不可忽视的重要资源，成为各国抢占网络空间规则制定的重要对象。由此，国家主权观被赋予新的时代内涵，数据主权理论在近年初现。《网络行动国际法塔林手册2.0版》确认了国家有权对存储于其领土内的数据行使管辖权，但未对数据主权展开进一步论述，各国围绕国家能对何种范围内的数据行使主权存在较大分歧。各国通过完善国内数据立法确立本国数据主权，而数据跨境流动为确立数据主权边界带来了挑战。鉴于数据跨境流动是重要的国家间贸易和投资形式，各国基于各自的价值追求，通过双边和多边经贸条约扩张其数字规则主张，抢占数字规则制定权，争夺划定数据主权边界的主导权。

我国学界近年已有围绕数据主权内涵和性质的讨论，但主要是将数据主权作为展开讨论的当然前提，缺少针对数据主权外延的研究。本文从历史的视角回顾国家主权观的演进，剖析各国如何通过国际经贸条约中规制数据跨境流动建构数据主权，以及其背后的价值成因和代表性建构模式。在我国国内数据治理立法日趋完善之际，本文希冀为我国构建数据主权规则、参与数字经贸国际规则博弈提供参考，助力我国在数字经贸国际规则制定中掌握主导权。

一、数据主权的国际法建构

(一)数据主权的提出

云计算、物联网等现代信息通讯技术的迭代标志着大数据时代的到来，海量数据的跨境流动对传统的以领土为对象的国家主权观带来挑战。在数据数量呈现爆炸式增长的同时，数据蕴含的经济利益和战略价值开始得到重视，数据被比喻为与石油同等宝贵的资源，围绕国家是否享有数据主权的争论应运而生。事实上，早在20世纪90年代，就有学者提出了“数据主权”的概念，将其一分为二地界定为一国对其与国家安全相关的数据享有国家主权，而个人对其个人隐私相关的数据享有个人“主权”。2013年的“棱镜门”事件助推了各国对数据主权的关注。学界迄今对数据主权的界定尚不明晰。多数定义强调国家和政府对一国境内和云端数据的控制权。其中，有的学者着眼于国家保护数据的能力，亦有学者认为数据主权是一国收集和管理本国数据的一种权力。鉴于数据主权和网络空间主权的概念均存在较大模糊性，关于数据主权和网络空间主权的关系并无定论。部分学者认为数据主权是网络空间主权的子集，亦有学者提出数据的发送可通过电报、遥感技术等现代化路径实现，并非仅限于互联网，因此，不宜将数据主权限定于网络空间中。现有研究显示，国家战略中通常使用“网络空间主权”，而“数据主权”常应用于涉及实践的政治层面。尽管“数据主权”的内涵仍存争议，但由该概念引发的对一国贸易政策的影响正逐渐受到重视。

主权的内涵因时代发展而动态演进。但无论处于何种时代，主权的本质总存在基本共性，即一国政府在其边界和管辖领域内的最高权威。本文结合传统国际法对主权的定义，将数据主权界定为一国对本国数据的最高和独立的控制权。与此同时，主权并非绝对而无边界，“绝对和排他的主权时代已成为历史”，国家和政府的权威是有边界的。主权的边界关涉一国根本利益，因此各国对主权边界的争执从未停止。在争夺数字经济国际规制主导权的过程中，合理划定数据主权的边界对于一国维护本国国家和国民的安全利益，促进数字经济发展都具有重要意义。

(二)国际法对数据主权的建构

国际法影响着主权边界。1923年，常设国际法院在“突尼斯和摩洛哥国籍法令案”中指出，一项事务是否仅属于一国国内管辖是一个相对的问题，该问题的答案取决于国际关系的发展。各国需要通过国际合作实现自身发展，而促成国际合作需要妥协，即让渡部分国内管辖事务，将该事务置身于国际法调整中。可见，主权的边界受到国际关系的影响，仍然受制于国际法调整。但主权与国际法链接的程度受到国际关系的影响。在国际局势较为紧张的时期，联合国更多地处于缄默状态，相较国际合作密切的时期，国内管辖权更可能得到广义解释。当前逆全球化的趋势适逢世界百年未有之大变局，一方面，各国相对收紧主权事务，例如《美国外国投资风险审查现代化法案》和《欧盟外商直接投资审查条例》在近年出台；另一方面，各国积极通过构建国内法的域外适用体系扩大国内法域外影响，并通过缔结国际条约划定主权边界，抢占新兴领域的规则制定权。

数字贸易正成为国际经贸合作的重要领域，它包括以数据为对象，以数字化交付为特点的交易方式。在数字贸易领域，国际经贸条约正通过规制数据跨境流动的不同模式建构数据主权。数据虽然如石油般宝贵，但又有全然不同于石油的特征：数据天然会跨境流动，数据的重要价值也在跨境流动过程中得以实现。根据经济合作与发展组织的界定，数据跨境流动是数据跨越国境的传输，可见数据在跨境流动时涉及国家主权的边界，故国际经贸条约通过规制数据跨境流动可建构一国数据主权。因此，虽然各国纷纷通过本国的数据安全立法确立数据主权，但数据主权的确立难以仅仅通过一国国内立法完成。数据跨境流动已成为助推国际贸易和国际投资发展的重要动力，国家间通过缔结国际经贸条约规制数据跨境流动也成为建构数据主权的一种重要形式。

二、建构数据主权的争议主张及价值碰撞

确立国家的数据主权远非单纯的政治问题，数据跨境流动有益于促进数字经济发展，但数据的泄露可能危及国家安全、侵犯个人隐私。因此，各国围绕如何建构数据主权存在多种主张，涉及政治、经济、文化等多元价值碰撞。

(一)维护主权与保护人权

国际法学界围绕主权和人权的关系已探讨多时。对此，西方学界主要有四类观点：人权国际保护原则限制了国家主权；国家主权妨碍了人权保护；主权的内涵因人权而改变；国家基于行使主权有权自行决定是否接受人权保护义务。伴随民族自决作为国际法基本原则的提出，国际社会中越来越多人提出少数族裔享有保持文化完整性、宗教自由，以及原住民对所居住地和环境享有自然资源的权利，该主张是人权对主权“自下而上”的挑战。主权和人权的关系问题成为20世纪国际关系理论研究“英国学派”的核心议题，产生了赫德利·布尔倡导的以尊重主权和不干涉原则为首的“多元主义”(pluralism)国际社会观，和约翰·文森提出的倡导将人权和主权作为衡量国家合法性共同价值的“社会连带主义”(solidarism)国际社会观之争。1999年北约对科索沃采取军事行动，再次引发有关人道主义干涉的合法性争议，凸显了主权与人权的冲突。在国际法人本化的发展趋势下，国家有必要协调好坚持主权和保护人权的关系。在各国通过国际经贸条约建构数据主权的过程中，人权与主权的冲突也难以回避。

1.个人隐私保护

若数据主权属于国家主权范畴，数据跨境流动对个人隐私可能的侵犯则是对数据主权的挑战。一方面，数据流动的过程伴随着大量个人隐私被收集、使用、处理。网络等电子媒介的发展深刻地改变着我们日常的交流习惯。马克·波斯特认为数据库对人无处不在的监视类似于“超级全景监狱”。作为一种后现代话语，数据库模糊甚至取消了公共和私人的界限。例如，在使用信用卡消费的场景中，消费者购物本应是私人行为，但当他使用信用卡结账时，则将私人行为转为公共记录的一部分。在数据库这样的“超级全景监狱”中，个人被全面地监视着却又常常浑然不觉。社会治理的方方面面都需要大量数据提供支撑，个人不论是主动或被动往往都得让渡部分个人隐私，导致隐私愈加透明化。

另一方面，数据跨境流动放大了域内数据流动中的个人隐私保护风险。现代个人数据处理技术和商业模式均飞速发展，个人数据越来越多地参与到跨境流动中。特别是在电子商务交易中和在社交平台上，个人都可以频繁地发起并控制其个人数据的跨境流动。科技进步使得个人在参与这些活动中获得了巨大的经济利益和社会价值，而个人数据被窃取或泄露的风险也与日俱增。不同的国家对个人数据的保护意愿、保护能力、制度设计相差甚远，在数据跨境流动中，因遭遇犯罪分子或网络黑客攻击而导致个人数据泄露的事件频发。2018年3月，大量Facebook用户的个人数据被发布到美国的一家黑客论坛上，这些个人数据包括电话号码、Facebook登录ID、姓名全称、住址、出生日期、个人简历，以及电子邮件地址等。公布的数据涉及来自106个国家的5.33亿Facebook用户。后美国《纽约时报》和英国《观察者报》联合披露，这些数据是被剑桥分析公司(Cambridge Analytica)非法收集，用于美国特朗普政府的大选。可见，数据跨境流动中存在较大的个人隐私保护风险。若国家享有数据主权要求数据跨境自由流动，则个人隐私的保护将影响数据主权的边界。

2.本土文化保护

数据跨境流动是全球化的表现之一，自然也带来了全球化的负面效应，即消解着国家和地区原本的特征，尤其对土著文化带来冲击。为保障土著人民保持自身制度、文化和传统的权利，联合国经济和社会理事会于2000年下设联合国土著问题常设论坛。收集、处理、监控数据等行为需要耗费大量的财力，而土著人民普遍经济条件较差，因此数据治理能力也较弱。鉴于此，提高土著人民的数据收集和处理能力被提上了联合国统计司的议程。基于《联合国宪章》的宗旨，联合国于2007年通过了重要的人权条约——《土著人民权利宣言》，其序言部分提出应当“尊重和促进土著人民因其政治、经济和社会结构及其文化、精神传统、历史和思想体系而拥有的固有权利，特别是对其土地、领土和资源的权利”。在信息时代，数据的跨境流动对土著人民而言是一把双刃剑：它有利于为土著人民的发展提供广泛的信息，帮助其分配资源、制定决策、影响舆论；但同时，数据跨境流动也会对土著文化、权利和知识产权带来冲击，尤其对以土著人民为主的国家而言，可能构成对国家主权的消解。“土著人民的数据主权”(indigenous data sovereignty)由此提出，强调土著人民享有在数据治理过程中保护其文化特征、增进人民福祉的基本权利，这也是实现民族自决权这一国际法基本原则的核心要义。如何适当限制数据跨境流动对土著人民本土文化的影响甚至侵蚀，是建构数据主权不应忽视的目的之一。

(二)促进经济与保障安全

世界贸易组织内围绕数字贸易是服务贸易还是货物贸易曾存在争议，但无论如何，数字贸易都被视为贸易的形式之一。数字化改变着国际贸易的范围、规模和速度，大幅促进了国际贸易的增长。数据跨境流动则是数字贸易的基础，是云计算、物联网和增材制造等快速增长的新兴服务供应模式的核心。此外，数据跨境流动还有助于实施贸易便利化措施，间接促进贸易增长。2018年经济合作与发展组织的一项研究显示，国家间的双边数字互联互通程度每增加10%，国家间的货物贸易额就能增加近2倍。

数据自由跨境流动不仅能促进国际贸易的增长，还有助于国际投资。数字经济的发展尤其为中小规模的投资企业打开了一扇门。曾经，企业需要发展到相当规模后，才能负担得起出口所需的资源，但数字化大大地降低了企业经营跨境业务所需的最小规模，即使是中小企业也能够轻松地与世界各地的消费者和供应商链接。数据跨境流动使中小企业获得了信息技术服务，降低了其在数字基础设施方面的前期投资成本。基于获取核心知识和关键信息能力的优化，中小企业得以克服它们原本的信息获取劣势，拥有了与大型企业角逐的机会。因此，数据跨境流动通过消除信息壁垒，赋予了中小企业链接全球的能力，创造出了一种新兴的天生具有全球化特性的“微型跨国企业”。相反，如果限制数据自由跨境流动，则对中小企业造成的负面经济影响相较对大型跨国企业造成的更明显。

数据跨境流动在提升贸易和投资经济效率的同时，也产生了新的安全隐患，涉及国家安全和公共安全，如网络安全、金融安全等。2013年6月，“棱镜计划”曝出，美国国家安全局秘密实施的长达六年多的电子监听计划被公之于众，而监听对象包括大量美国以外国家的公民，这让各国普遍意识到保障数据跨境流动安全对于国家利益的重要性。2008年4月，汇丰银行丢失了一个未加密的磁盘，该磁盘上存有370，000名客户的人寿保险信息，包含其姓名、出生日期、保险单号、投保金额和吸烟习惯等。2018年4月，汇丰银行的金融系统再次遭受攻击，部分客户数据失窃。金融数据因其巨大的经济价值，近年来频繁成为网络攻击的重点对象，保障数据跨境流动中的金融安全势在必行。若立足于数据跨境流动的具体场景，数据跨境流动所涉安全既包括保持数据的完整性、可用性、保密性这样的“静态安全”，也包括保障数据流动过程中重要数据和非重要数据均可控的“动态安全”。其中，数据的静态安全是数据跨境自由流动的前提条件，而数据的动态安全是数据得以自由流动的硬约束和软约束。由此，如何在促进数字经济发展的同时保障安全是各国规制数据跨境流动的重要考量。

(三)传统壁垒与新型壁垒

在全球治理的视野下，国际法具有鲜明的动态性，既需要守正，也不断创新，二者呈现对立统一的辩证关系。数据跨境流动作为大数据时代的一项新议题同样体现着国际法的守正与创新。合理规制数据跨境流动，既需要遵从国际法的基本规律和内在价值，也需要释放国际法的创造力，推动顺应时代需求的国际规则诞生。

这一辩证关系尤其反映在对数字贸易壁垒的认识中。经济合作与发展组织每年都要对数字贸易壁垒进行审查，这些壁垒的种类随着时代发展而不断增加。如前文所述，数据跨境流动有助于促进国际贸易，但1994年世界贸易组织乌拉圭回合谈判所作承诺并未专门提及电子商务和数据流动的问题。1998年，世界贸易组织成员在瑞士的第二次部长会议上通过了“全球电子商务宣言”，继而成立“世界贸易组织电子商务工作计划”，意在研究电子商务、数据流动相关议题。2017年12月，世界贸易组织成员在阿根廷的第十一届部长级会议上发布了《关于电子商务的联合声明》，并启动“与贸易相关的电子商务议题”的谈判。2019年1月，76个世界贸易组织成员签署《关于电子商务的联合声明》，确认将正式启动电子商务议题谈判。2016年以来，世界贸易组织成员在提交的“非文件”(non-paper)中，开始逐渐涉及规制数字贸易壁垒的内容。例如，巴西提出世界贸易组织应当支持在《服务贸易总协定》模式1下的在线交易服务，包括数据流动。美国提出应当禁止数据本地化，以及当数据符合例外而跨境流动时，限制对消费者数据的保护。

从20世纪90年代国际经贸条约尚未涉及数字贸易壁垒，到如今各国对个人信息保护、数据本地化要求、源代码履行要求等壁垒的争论可见，世界各国对数字贸易壁垒的认识是一个不断发展的过程，未来必定还会有更多的新型壁垒被纳入国家关注和规制范畴。若将所有会对数据跨境自由流动产生限制效应的要求都视作壁垒，那么大致有以下四种壁垒类型：以限制外商投资为代表的歧视性待遇壁垒，以要求数据本地化存储为代表的数据本地化壁垒，以限制或禁止使用加密技术为代表的技术壁垒，知识产权保护不力、限制在线广告、虚假信息等其他壁垒。然而，对于哪些壁垒会扭曲国际贸易、国家有权对哪些壁垒进行规制等问题，目前各国仍然缺乏共识，这极大阻碍了数字经贸多边规则的制定进程。

(四)争议主张对建构数据主权的影响分析

上述三组争议主张分别映射了不同的价值取向，对于数据主权的边界会产生限缩或扩张的影响(见表1)。在维护主权与保护人权的争议中强调维护数据主权反映了对集体主义的追求，相对拓展数据主权边界；而在个人主义理论看来，国家主权来源于个人权利的让渡，国家的权力也可还原为个人的权利。因此，无论是保护个人隐私还是保护土著人民的本土文化，都意在遵从个人主义的价值观，尊重人作为个体的基本权利和意志。而对个体人权的保障则会相对限缩国家数据主权的边界。在促进经济与保障安全这对争议主张中，支持数据跨境自由流动从而推动经贸发展体现了自由主义的价值观。古典自由主义经济学与新古典自由主义经济学虽然对市场的本质理解不同，但均以自由市场为核心。若数据得以跨境自由流动，将有助于促进国际贸易，但也限缩了国家行使数据主权的边界。相反，若是以保障国家安全、网络安全、金融安全等安全利益为上，则国家将更加积极主动地行使其主权权力，因而倾向于扩张数据主权边界。在数字贸易的传统壁垒和新型壁垒之争中。目前各国关注的多为传统壁垒形式，但未来更多的新型壁垒必将得到关注。若更多的新型壁垒受到规制，数据跨境流动将朝向更加自由化的方向发展，相较坚守传统壁垒而言，数据主权边界将会相对限缩。

由此，国家在建构数据主权中的不同主张折射出各异的价值追求，这在各国国内法中已经有所体现。美国对外数字贸易政策主张主要体现在《数字贸易24条》中，基于其强势的信息技术产业基础，奉行“自由至上”，推行以市场为主导，促进数据跨境流动的基本原则。欧盟将数据权视作基本人权，基于《通用数据保护条例》限制个人数据的跨境流动。中国的数据跨境流动规制以《网络安全法》《数据安全法》和《个人信息保护法》为基础，重视信息安全，推动数据有序地跨境流动。基于这些差异较大的主张和价值取向，各国在通过国内法确立数据主权后，进一步在国际经贸条约谈判中展开博弈与妥协，形成了不同的数据主权建构模式。

三、国际经贸条约建构数据主权的主要模式

(一)经济效率驱动下的数据主权限缩模式

自由主义在美国的政治传统中占据主导地位，现代美国国家制度就建立在自由主义的原则和价值观基础上。美国在其缔结的国际经贸条约中，对数据主权的建构路径正依循了其自由主义的历史道路。正如前文所述，大量研究表明数据跨境自由流动有助于促进国际贸易和国际投资。相反，限制数据跨境自由流动则会增加企业的成本。鉴于此，美国缔结的国际经贸条约以促进经贸发展作为首要追求，构建起了经济效率驱动下的数据主权限缩模式。

由美国主导形成的《全面与进步跨太平洋伙伴关系协定》(以下简称“《伙伴关系协定》”)体现了美国《数字贸易24条》中促进跨境数据自由流动的态度。虽然《伙伴关系协定》中尚有一些措辞不明确之处，但其仍被视为数字经济国际规则的里程碑。即使美国已退出《伙伴关系协定》，该协定仍延续了原协定电子商务章节的全部内容，包括数据跨境流动条款。《伙伴关系协定》第14.11条规定了数据跨境自由流动的基本原则，但以保护合法的公共目标的例外。第14.13条原则上禁止数据本地存储要求，仅允许成员国为了“追求合法的公共政策目标”，采取具有必要性、非歧视、非贸易限制性的措施。关于个人信息保护，《伙伴关系协定》第14.8条提出“缔约方应采用或维持规定保护电子商务用户个人信息的法律框架”。具体而言，缔约方可采取“全面保护隐私、个人信息或个人数据的法律、涵盖隐私的特定部门法律或规定执行由企业作出与隐私相关的自愿承诺的法律”等措施以履行其个人信息保护义务。但该条款用的是“可以(may)”，相较于禁止数据本地化要求所用措辞“任何一方不得(no party shall)”，程度更轻微、要求更原则化。

《美墨加协定》进一步阐释了这一模式。《美墨加协定》的前身——《北美自由贸易协定》囿于缔结时代的局限性，未涉及专门的数字经贸规则。2018年11月达成的《美墨加协定》在《伙伴关系协定》的基础上进一步强化了促进数据跨境自由流动原则，提出了缔约国对个人信息的保护标准，删除了《伙伴关系协定》第14.13条关于设施本地化要求的例外。《美墨加协定》在金融服务一章，还以第17.17条和第17.18条将禁止本地化要求适用于金融服务领域。鉴于美国数字企业在计算机和通信领域的强大实力，《美墨加协定》在《伙伴关系协定》的源代码保护条款基础上专门加入了对算法的保护条款，限制政府要求披露源代码与算法的权力。《美墨加协定》第19.17条还明确了互联网服务提供者不应对用户在该平台上传输信息导致的侵权行为承担责任，限制了互联网服务提供者的责任。整体而言，《美墨加协定》比《伙伴关系协定》在促进数据跨境自由流动问题上更坚定、更彻底。除了多边条约，2019年达成的《美日数字贸易协定》也沿袭了《美墨加协定》中关于禁止数据本地化、促进数据跨境自由流动和保护源代码的相关规定。

观察《伙伴关系协定》《美墨加协定》和《美日数字贸易协定》有关数据跨境流动的相关条款可知，以自由为导向的经济效率是美国建构数据主权的首要价值选择。正因如此，《伙伴关系协定》的电子商务章节并未列入国际经贸条约中常见的“根本安全利益例外”“国家安全例外”“公共道德例外”和“公共秩序例外”，而只是在第14.11条和第14.13条数据跨境流动规则中规定了成员国有权在符合规定的条件下保护本国合法的公共政策目标。《美墨加协定》甚至直接删除了合法的公共政策目标例外，加入了更多有助于促进经济效率的条款，例如算法保护条款。此外，《伙伴关系协定》和《美墨加协定》中关于个人信息保护的规定较为原则化，而禁止数据本地化的规定则更为严格和具体。可见在这些条约中，保障安全利益和保障个人隐私的需求已让位于促进经济效率的需求，成为辅助价值。值得注意的是，2020年6月达成的《数字经济伙伴关系协定》与《伙伴关系协定》中的数据跨境流动规则多有相似，但前者在后者基础上进行了细化。美国并非《数字经济伙伴关系协定》的成员国，但《数字经济伙伴关系协定》的缔约国均为《伙伴关系协定》的成员国。这或许反映出以自由为导向的经济效率同样也是《数字经济伙伴关系协定》成员国的首要关切。但是，若将经济效率作为法律规则的衡量标准，则需要满足一个前提条件：经济效率本身是可取的，并优先于其他价值。美国对经济效率的追求源于其科技企业自身的绝对优势，但是这样的技术优势在许多国家并不存在，因而其对经济效率的追求难以获得大部分国家的认同。

(二)人权保护主导下的数据主权限缩模式

相比美国，欧盟对于数据跨境自由流动采取更加谨慎的态度。在第二次世界大战中，大量犹太人的个人信息遭到泄露，直接导致其成为纳粹分子抓捕和屠杀的对象。总结两次世界大战的教训，欧盟特别强调对人权的保护，并将数据作为个人隐私纳入基本人权范畴。《欧盟基本权利宪章》第8条(个人信息保护)第1款提出：“人人均有权享有个人信息之保护”。《人权和基本自由欧洲公约》第8条同样规定了隐私权作为基本人权的重要内容，每个人的“私人及家庭生活、其家庭以及其通讯隐私的权利与自由必须受到尊重”。

在将个人数据视作基本人权的思想指导下，欧盟是全球较早立法保护个人数据的经济体。1981年，欧洲理事会发布了《关于个人数据自动化处理的个人保护公约》，以立法手段创设了欧洲范围内统一的个人数据保护规则与标准。1995年，欧盟通过了《关于个人数据自动处理和自由流动的个人保护指令》，限制成员国向非成员国的跨境数据转移，提出了数据转移的目的地国必须具备欧盟委员会认可的对数据提供充分保护的能力这一原则。为进一步加强对个人数据的全面保护，2018年欧盟《通用数据保护条例》正式生效，体现了欧盟构建“数字单一市场”的愿望。《通用数据保护条例》第1条第2款即指出：“本条例保护自然人的基本权利与自由，特别是自然人享有的个人数据受保护的权利。”据此，《通用数据保护条例》对于个人数据的收集、使用、数据主体的权利等进行了规制。其除确认原有的“充分保护原则”之外，还赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利，提出了数据最小化等原则，更加严格地限制个人数据的跨境流动。此外，《通用数据保护条例》对违法处理数据的行为设定了严厉的处罚，并因其强大的域外效力让一些数字企业对于在欧盟投资望而却步。

在统一欧盟内部数据保护立法的基础上，欧盟继而在双边协定中推广其数据保护主张。与《伙伴关系协定》《美墨加协定》原则性地约定缔约国保护个人信息的义务不同，欧盟通常在双边经贸条约的电子商务章节详细规定缔约方的个人信息保护义务。例如，《欧盟与新加坡投资保护协定》明确在国民待遇条款的例外部分规定了“保护与个人数据处理和传输相关的个人隐私”和“保护个人记录和账户的隐私”两种情形。《欧盟与韩国自由贸易协定》首先在阐述目的和宗旨的第7.48(2)条强调电子商务的发展应当与数据保护的国际标准相适应，继而在第7.49条提出了完善电子商务的消费者保护等五条具体的监管合作框架。该协定还将保护个人隐私纳入电子商务章节的例外。在《欧盟与越南自由贸易协定》中，数据保护不再被置于电子商务章节，而是被纳入“一般例外”章节，作为例外的一种类型。相比只是将数据保护作为电子商务章节的例外，《欧盟与越南自由贸易协定》将数据保护置于更高位阶。《欧盟与加拿大综合性经济贸易协议》重申了《通用数据保护条例》中关于数据跨境传输的“充分保护”标准，严格要求缔约国“应当(shall)确保对个人隐私的充分保护，尤其在个人信息的传输过程中”，并和《欧盟与越南自由贸易协定》类似，将保护个人隐私纳入协议的“一般例外”之中。

然而，近年欧盟缔结的部分双边经贸条约不再仅仅强调人权保护，而是开始加入以促进经济发展为目标的数字经贸条款，其中最具代表性的是《欧盟与日本经济伙伴关系协定》。与上述欧盟缔结的双边经贸条约相比，《欧盟与日本经济伙伴关系协定》的数字贸易条款则被认为迈出了实质性的一步。在欧盟缔结的双边经贸条约中，《欧盟与日本经济伙伴关系协定》第8.73条首次提出了缔约方原则上不得要求转让或访问另一方个人拥有的软件源代码。该协定的另一大突破则是首次提出了缔约方应在协定生效的三年内重新评估是否要在协定中纳入数据自由跨境流动条款。虽然该条款回避了如何具体落实的问题，但显示了欧盟朝向数据更加自由跨境流动方向所做的努力。相比之下，升级后的《欧盟与墨西哥自由贸易协定》则是欧盟缔结的贸易协定中第一个使用“数字贸易(digital trade)”替代先前“电子商务(electronic commerce)”措辞的协定。和欧盟最新签订的部分双边经贸条约一样，《欧盟与墨西哥自由贸易协定》在开篇第一条中就提出了协定的两大宗旨：促进经济发展和保障缔约国规制权。在保障规制权方面，尤其是要确保缔约国社会和消费者保护、隐私和数据保护、促进文化多样性保护的权力。《欧盟与墨西哥自由贸易协定》沿袭了《欧盟与日本经济伙伴关系协定》中关于三年内重新评估是否纳入数据自由流动条款和禁止强制披露源代码的规定。

综观上述欧盟缔结的双边经贸条约可见，欧盟始终强调以人权保护为导向的数据主权限缩模式，其中尤为关注个人隐私保护的标准，将其同《通用数据保护条例》对接。但是近年来缔结的《欧盟与墨西哥自由贸易协定》和《欧盟与日本经济伙伴关系协定》表明，欧盟在坚持人权保护价值的同时，也开始重视经济发展价值的实现，因此这些协定中开始探索纳入促进数据跨境自由流动的条款，试图减少强制源代码披露等数字贸易壁垒。欧盟部分成员国也提请欧盟委员会密切关注在贸易协定中纳入数据跨境流动条款的必要性。欧盟目前与智利、印度尼西亚和新西兰的自由贸易协定谈判正在进行中，可以预见欧盟很可能在未来缔结的双边经贸条约中继续探索纳入促进数据跨境自由流动的条款。但由于数据跨境自由流动与保护个人隐私的目标存在本质上的冲突，追求经济发展仍然将让位于人权保护的价值追求，处于次要地位。

(三)多元价值指向下的数据主权扩张模式

在构建人类命运共同体的视野下，人权与主权实为辩证统一的关系，保护人权应以尊重主权为基础。构建网络命运共同体亦是如此，在过程中应当处理好维护数据主权与保护人权、保障安全的统一关系。2020年达成的《区域全面经济伙伴关系协定》则可作为兼顾多元价值的模式代表。

《区域全面经济伙伴关系协定》在第十二章“电子商务”章节充分体现了对维护国家数据主权与促进经济发展、保障安全利益等价值的兼顾。本章第14条在首先肯定了缔约方对于计算设施使用和位置的多元化需求的前提下，规定缔约方原则上不得要求将计算设施本地化作为商业行为的条件，但同时也规定了缔约方实现“合法的公共政策目标”和保护其“基本安全利益”可作为合法的例外，并且强调此处缔约方实施“合法的公共政策目标”的必要性应由缔约方自行决定，即明确了该条款的自裁决性质。在禁止设施本地化等规定上，为充分尊重缔约国的数据主权，协定还给予柬埔寨、老挝等国家充足的过渡期。第15条也是首先强调各缔约方对于通过电子方式传输信息各有不同的要求。在此基础上，该条原则上规定了为进行商业行为的数据跨境自由流动，并同样辅之以“合法的公共政策目标”和“基本安全利益”例外。此外，《区域全面经济伙伴关系协定》第8条要求缔约方采取保护电子商务用户个人信息的法律框架，并公布个人的救济途径和对企业的法律要求。但与上述欧盟缔结的双边经贸条约中对个人数据跨境传输的“充分性”要求相比，该协定对个人信息保护的规定更加原则化，标准更宽松。

《区域全面经济伙伴关系协定》的数据跨境流动规制条款具有以下两方面特点。一是“多元价值”。因缔结的成员国较多，协定并未一味强调某一种价值观，而是追求多种价值观的平衡，这也反映了构建人类命运共同体的一种路径。协定既肯定了经济发展的重要性，纳入了以商业行为为前提的禁止设施本地化和数据跨境自由流动条款，也从保护人权的视角要求缔约方为保护个人信息作出努力。此外，协定还肯定了各缔约方各自的监管需求，通过“合法的公共政策目标”“基本安全利益”和自裁决条款等规定保障缔约国的数据主权和安全利益，表达了缔约国对促进经济、保障人权、维护主权、保障安全多元价值的追求。二是“主权扩张”。《区域全面经济伙伴关系协定》虽然反映了缔约方对多元价值的追求，但其中不论是对缔约国各自监管要求的强调、对数据跨境流动和禁止本地化前提的设置，还是例外条款、自裁决条款和过渡期的系列规定，以及对保护个人信息原则性的描述，都体现出缔约国仍然将数据主权置于首位，这与中国一直以来强调国家审查和安全优先的数据治理模式相符。整体而言，《区域全面经济伙伴关系协定》的电子商务条款仍然限于在传统的电子商务领域规制数据，并未突破中国过往缔结的双边经贸条约中的相关内容。但协定与“美式模板”“欧式模板”的数字贸易规则差异较大，代表着多元价值指向下的数据主权扩张模式的出现。

四、中国在国际经贸条约中构建数据主权规则的立场和选择

(一)构建数据主权规则的必要性

《中共中央关于进一步全面深化改革、推进中国式现代化的决定》指出要“提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制”，“积极参与国际规则制定”。数字经贸规则的制定已成为国际经贸条约谈判关注的重要议题。我国正积极争夺国际经贸规则的话语主导权，密切关注数字贸易规则构建，于近期已申请加入《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》，需要积极对标这些协定所规定的高标准。在加入《全面与进步跨太平洋伙伴关系协定》的过程中，我国将直接面临与经济效率驱动下的数据主权限缩模式的博弈。鉴于此，我国应在维护数据主权的基础上，合理规制数据跨境流动，积极促进数字贸易发展，故有必要审慎考虑在国际经贸条约中构建数据主权规则。

我国向来坚持安全与发展的网络空间治理基本原则，这也应成为我国规则构建的立场。我国不仅是外国数字企业投资的东道国，也是中国数字企业对外投资的母国。作为庞大的数据来源地，我国应当密切关注数据保护问题，即坚持安全原则。与此同时，作为对外开展数字投资的大国，我国具有推动数据跨境自由流动的利益需求，即要坚持发展原则。但我国目前缔结的国际经贸条约反映出的数据规制态度是“安全优先，有限发展”，更多地强调缔约国的数据主权，而对于促进数据跨境流动着墨不多，显示出强烈的“国家中心主义”优于“自由主义”的特征，如此并不利于挖掘我国数字企业发展潜力。在未来的全球治理中，凸显国家力量的“国家中心主义”与追求个体利益的“自由主义”之间的角力将会持续。从短期来看，国家中心主义或在当前地缘政治复杂的背景下更加凸显。但从长期的视角观察，自由主义在与国家中心主义的较量中或将占据上风，尤其在当下以数字化为特点的网络信息时代。因此，顺应时代特征，发挥我国技术优势，是我国在国际经贸条约中建构数据主权时应予考量的因素。

(二)构建数据主权规则的可行性

在可行性方面，提供构建数据主权规则的难点主要在于在开展国际经贸条约谈判时，如何在我国的规制模式与其他规制模式国家之间达成共识。规制主张的背后是价值选择。各国数据规制主张的分歧反映了其价值选择的差异，直接导致达成数字经贸多边国际规则存在困难，原因在于：一是三种规制模式的本质不同，对于多元价值模式而言，虽然其兼顾多种价值，但无论是经济效率还是人权保护都需要让位于数据主权(安全利益)，因此多元价值模式是一种数据主权扩张模式，而欧美所采的均为数据主权限缩的模式。二是优先的价值不同。多元价值模式是一种安全优先下的利益兼顾模式，而经济效率驱动模式是可以以减损另外的利益(例如隐私保护)为代价的，因此采不同模式的国家在价值的顺位选择的倾向性不同，这也导致了价值认同的困境。

美国和欧盟探索数据跨境流动合作的历史正体现了不同规制模式间价值认同的困难。虽然美国和欧盟互为对方重要的贸易和投资伙伴，彼此间的数据流动也十分频繁，但鉴于美国由经济效率驱动的主张与欧盟以人权保护为导向的主张存在重大分歧，双方的数据传输合作迟迟未能达成。面对现实的经济合作需求，美欧双方于2000年11月达成《安全港协议》，并于2016年2月升级为《隐私盾协议》。两份协议实为双方对数据跨境流动问题的妥协。但是，欧盟法院于2015年和2019年先后判决宣告了《安全港协议》和《隐私盾协议》的失效。鉴于欧盟法院近年的裁判非常强调人权保护，且欧盟境内一直以来对《隐私盾协议》的批评甚多，一些学者认为欧盟法院判决《隐私盾协议》失效并不意外。

《安全港协议》和《隐私盾协议》的先后失效折射出美国和欧盟对数据主权理解的严重分歧。欧盟在国际经贸条约中纳入的数字贸易规则是以《通用数据保护条例》为基础的。欧盟借《通用数据保护条例》达成了境内数据治理规则的域外适用，也进一步扩张了数据治理管辖权。虽然欧盟《通用数据保护条例》借助其域外适用条款和严厉的处罚制度在全球数字贸易市场产生了较大影响，但若说全球的数据治理模式都朝向以《通用数据保护条例》隐私保护为标准的统一发展则为时过早，甚至并不可能。主要原因之一即其他国家缺乏与欧盟相似的历史背景，缺乏将隐私保护视作基本人权的文化认同，这也是美国和欧盟关于数据跨境流动的合作屡次失败的原因之一。

但是，美国与欧盟在现实合作需求的驱动下仍旧没有停下寻找合作路径的步伐。2023年7月10日，欧盟委员会投票通过了“欧盟与美国数据隐私框架(EU-U.S.Data Privacy Framework)”的充分性决定。由此，欧盟的个人数据无需获得欧盟进一步授权便可传输至美国。在数据跨境流动巨大经济价值的吸引下，未来各国仍然会寻求开展更多的数字经贸合作，因此各国在国际经贸条约中建构数据主权的博弈仍将持续。虽然因政治诉求、经济利益、历史文化等原因差异，各国的博弈进展缓慢，但已有部分国家在国际经贸条约中展现出对数据主权边界不同建构模式的较好适应性，例如日本。日本既是《全面与进步跨太平洋伙伴关系协定》的成员国，也是《欧盟与日本经济伙伴关系协定》的缔约方，还是《区域全面经济伙伴关系协定》的成员国，在这些协定中日本分别接受了以经济效率为导向的数据主权限缩模式、以人权保护为导向的数据主权限缩模式和多元价值指向下的数据主权扩张模式，展现出对不同的数据主权边界建构模式的较好适应性。

此外，一国所采的规制模式并非一成不变的，而是可能因应其现实需要而变化。例如，2023年末美国在世界贸易组织的谈判中正在改变其要求跨境数据自由流动的主张，试图拓展本国的规制空间。如前文所述，欧盟的跨境流动规制主张也正在发生变化。可见，虽然采不同规制模式的国家在价值认同方面存在一定差异，但考虑到数据跨境流动合作的必要性、国家规制需求的多样性和规制模式的灵活性，我国的多元价值导向模式与另外两种模式之间仍然具有达成共识的可能性。

(三)构建数据主权规则的要点

一是做好主权利益与其他利益的平衡。我国在既有国际经贸条约中所采取的数据规制立场是“安全优先”的立场，这符合当前复杂的地缘政治格局下我国的安全需求。但考虑到我国已成为全球数字经济发展最快的国家之一，大力推进数字贸易或成为新时代我国经济增长的引擎。由此，在国际经贸谈判中我国可适当增加促进数据跨境流动的条款，尤其是可以此作为与采取经济效率导向模式国家合作的基础。

其方法之一就是合理界定数字贸易壁垒的范围。虽然美国缔结的国际经贸条约建构的数据主权限缩模式具有非常明显的经济效率导向性，但迄今美国达成的包含数字贸易条款的国际经贸条约仍然只着眼于部分数字贸易壁垒，例如个人信息保护、消费者保护、数据本地化要求、源代码履行要求等。这些条约仍然未对许多潜在的数字贸易壁垒进行规制，例如对数据的过滤和屏蔽、虚假信息、恶意软件和分布式拒绝服务(DDOS)攻击等网络安全风险。若是这些壁垒也被国际经贸条约规制，在创新数字贸易壁垒的思想主导下，国际贸易可能会获得进一步增长。目前国际经贸谈判围绕数据主权的博弈焦点仍然是数据本地化要求、源代码履行要求这类传统数字贸易壁垒。未来，美国或许会寻求在国际经贸条约中创新数字贸易壁垒，进一步提升经济效率，限缩他国数据主权，但这很可能成为未来各国数据主权博弈的一大难点。

我国已缔结的国际经贸条约中较少涉及数字贸易壁垒，但这一现象在近年有所转变。《区域全面经济伙伴关系协定》虽然仍然将数据规制限于传统的电子商务范畴内，但已涉及设施本地化和数据跨境自由流动等数字贸易的核心议题，这些议题或许正是未来中美欧开展进一步合作谈判的敲门砖。我国可积极利用自由贸易区、自由贸易港的先行先试功能，探索我国可接受纳入规制的数字贸易壁垒的范围，再推广至部分国际经贸条约中。考虑到新西兰同时为《伙伴关系协定》和《数字经济伙伴关系协定》的成员国，可能倾向于经济效率导向模式，我国或可在后续与新西兰升级自由贸易协定谈判时，在完善例外条款、不符措施等“安全阀”的基础上，适度加入对传统数字贸易壁垒的规制，作为经贸谈判寻求合作的基础，以“小步慢走”的方式探索数字贸易壁垒的创新。

二是做好国内法治与涉外法治的统筹与协调。确立数据主权边界兼涉国内法与国际法。若国内的数据规制立法与缔结的国际经贸条约义务存在冲突甚至悖离，则很容易致使国家在数据主权博弈中陷于被动。在国际投资法领域，因数据跨境流动可能被视为国际投资方式的一种，所以东道国阻碍数据跨境流动的行为在一定情形下可能违反国际投资协定中要求东道国提供国民待遇、公平与公正待遇和禁止间接征收的义务。例如，《通用数据保护条例》一经发布，即被质疑其中的数据本地化和数据最小化要求违反了欧盟缔结的国际投资协定中要求给予外国投资者公平与公正待遇的义务。在国际贸易法领域，跨境数据流动规制措施一直被质疑为贸易壁垒，若不能满足合法的规制条件则可能违反国际贸易法的非歧视等基本原则。尤其是伴随数字经济的快速发展和数字企业的壮大，一国规制数据跨境流动的措施是否违反其国际经贸条约义务的问题必定会日渐重要，此问题可能引发大量国际经贸争端。我国迄今已缔结逾一百个双边投资协定，亦是世界贸易组织重要成员国，我国缔结的许多国际经贸条约中均纳入了市场准入、国民待遇、最惠国待遇、公平与公正待遇等条款。故协调我国数据立法和缔结的国际经贸条约对于我国参与全球数据主权博弈十分必要。

2021年或可被视为我国数据治理“元年”。在此之前，我国的数据跨境流动规制主张散见于《网络安全法》《电子商务法》《民法总则》等法律法规中。2021年，我国《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》相继生效，构建了国内的数据跨境流动立法规制体系。从统筹推进国内法治与涉外法治的视角，我国在后续完善数据安全立法的过程中，应特别关注国内立法应符合我国承担的国际经贸条约义务的问题。例如，在我国缔结的国际投资协定中明确规制权的合法性基础，重点补充公共秩序、公共道德例外和根本安全利益例外；及时构建数据分级分类制度，做好与关键基础设施数据本地化要求的链接；协调我国数据规制立法与国际经贸协定中对“根本安全利益”与“国家安全”、“公共秩序”与“公共利益”等核心名词界定的一致性；根据近年世界贸易组织相关判决和国际投资仲裁庭相关裁决完善数据安全立法，使国内立法对标国际经贸规则。

三是以建设“数字丝绸之路”推广中国方案。我国已在《区域全面经济伙伴关系协定》中展示部分数字贸易立场，应抓住目前数字贸易国际规则尚处于萌芽的时机，从双边或区域入手，积极推广我国数字贸易立场，掌握数字贸易国际规则主导权。虽然各国正在世界贸易组织平台上积极展开关于电子商务的谈判，但鉴于数据具有重要的价值以及世界贸易组织目前面临的多重困境，可预见各国在数字贸易领域难以轻易妥协，短时期内难以在全球范围内达成统一的国际规则。美国和欧盟都是先在国内制定统一的数据立法，在其形成国内数字贸易规则的基础上，再在区域范围内通过国际经贸条约推广自己的政策主张，这对我国不失为一种借鉴。《数字经济伙伴关系协定》的缔结或许也预示着小范围内的数字经贸规则更容易达成。在选择推广区域时，价值观与文化差异不可忽视。我国可借“数字丝绸之路”建设契机，将数字贸易国际规则构建与数字基础设施建设结合，优先选择“一带一路”共建国家尤其是其中的发展中国家形成区域联盟，通过更新双边投资协定、谈判区域贸易协定等形式尝试推广我国的数据规制立场，再逐步拓展到更广泛的多边范围内。例如，我国和东盟正在开展自由贸易协定3.0的谈判，东盟成员国中半数国家为《“一带一路”数字经济国际合作北京倡议》的缔约国，是我国建设“数字丝绸之路”的重要伙伴国。我国或可尝试在与东盟的自由贸易协定中推广我国的数字贸易主张。在创新数字贸易规则时，可借鉴《数字经济伙伴关系协定》的做法，更多致力于构建原则性的合作框架，这或许是解决价值认同困境的方法之一。

五、结论

在“第四次工业革命”到来之际，国家对数据资源的争夺日渐激烈，对数据主权也愈加重视。因数据具有流动的本质，且需要跨境流动发挥其经济效益，故数据跨境流动规制涉及一国数据主权的建构。因而各国在完善国内立法确立本国数据主权的基础上，积极通过缔结国际经贸条约建构数据主权。在国际经贸条约谈判中，各国展示出不同的数据跨境流动规制主张，反映出集体主义与个人主义、安全与自由、守正与创新三组价值的张力。在这些主张中，目前全球具有代表性的主要有美国主导的经济效率驱动下的数据主权限缩模式、欧盟主导的人权保护导向下的数据主权限缩模式和中国主导的多元价值指向下的数据主权扩张模式。

习近平总书记指出：“要积极参与数字经济国际合作，主动参与国际组织数字经济议题谈判，开展双多边数字治理合作，维护和完善多边数字经济治理机制，及时提出中国方案，发出中国声音。”2020年我国发布了《全球数据安全倡议》，呼吁他国“秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系”。为了打好参与数字经贸国际规则博弈的基础，我国应及时完善数据主权规则构建，力争引领数字经贸国际规则构建。在此过程中，我国应做好主权利益与其他利益的平衡，可通过自贸区探索我国可接受纳入规制的数字贸易壁垒的范围；统筹国内法治与涉外法治，做好我国数据规制立法与我国缔结的国际经贸条约义务的协调一致；从双边或区域入手，首先与我国文化价值相似的国家开展经贸谈判，在条约中纳入数字经贸条款，积极推广我国立场。

（张倩雯，华东政法大学国际法学院教授，硕士生导师；研究方向为国际投资法，数字经贸规则。）

【本文系2024年度司法部法治建设与法学理论研究部级科研项目“关于我国数据出境制度问题的研究”(24SFB3035)的阶段成果。】

Abstract：The Fourth Industrial Revolution has endowed the concept of state sovereignty with new era-specific connotations，leading to the emergence of the theory of data sovereignty. While countries refine their domestic legislation to establish their data sovereignty，they are also actively engaging in the negotiation of cross-border data flow rules within international trade agreements to construct data sovereignty. During these negotiations，countries express differing regulatory claims，with some focusing on safeguarding sovereignty and protecting human rights，some prioritizing economic promotion and security assurance，and others targeting traditional and innovative digital trade barriers. These varied approaches reflect the tension between three pairs of values：collectivism and individualism，freedom and security，and tradition and innovation. Based on their distinct value pursuits，three representative models of data sovereignty construction have emerged globally. At the current juncture，when international rules for digital trade are still in their nascent stages，China should timely establish its data sovereignty rules，actively participate in global data sovereignty competition，and balance its sovereignty interests with other interests. Specifically，China should explore the scope of system-acceptable digital trade barriers through free trade zones；integrate domestic and international legal frameworks to ensure the alignment of China's data governance legislation with its obligations under international trade agreements；and use the development of the“Digital Silk Road”as a starting point to prioritize the formation of digital trade rules with countries participating in the Belt and Road Initiative，promoting the Chinese solutions internationally.

Keywords：Data Sovereignty；Cross-border Data Flow；International Trade Agreements；Digital Trade Rules

(责任编辑 曹 炜)