全球数治｜亚太数据治理的两种路径和互操作性

新冠肺炎疫情对全球经济产生了深刻影响，尤其是加快了全球数字化进程。飞速增长、不断流动的数据是数字经济的命脉。然而，世界各国在数据搜集、存储和传输等方面还未就相关治理规则达成共识。目前的全球数据治理由各种单边、双边和多边框架、贸易规则等拼凑而成。“碎片化”的数据治理状态将会损害国家经济、安全等重大利益，并阻碍全球化进程。

今年四月，美国战略与国际研究中心（CSIS）经济研究高级副总裁马修· 古德曼（Matthew P. Goodman）和研究助理佩尔·芮斯伯格（Pearl Risberg）在战略与国际研究中心（CSIS）官网上发表了合作研究报告《亚太地区数据治理》（Governing Data in the Asia-Pacific），报告分析了当前在建立数据治理规则框架上较为领先的亚太地区的具体实践，并进一步探讨了在该领域达成规则共识的可能路径和努力方向。

马修·古德曼和佩尔·芮斯伯格在报告一开始就指出，世界各主要经济体对数据治理和监管的侧重点有所不同。欧盟最为重视的是保护公民数据隐私，将其作为一项基本人权写入《里斯本条约》。2018年欧盟通过了《通用数据保护条例》（GDPR），其前身是1995年制定的《计算机数据保护法》，该条例要求企业在处理欧盟公民个人数据时确保高标准的安全性和透明度。相比之下，美国至今还未就数据监管和保护在联邦层面开展统一立法，而是采用一系列部门规则、州级法律框架和私营部门管理原则来分散治理。中国则将数据视为国家战略资产，对个人和企业数据隐私保护设定较高标准，监管全面而严格。这三种模式在亚太地区都有一定影响力，但仍有必要建立一个共同的区域治理框架。

然而，各国对数据隐私和安全的重视程度相去甚远，治理能力也有所差别，因此形成共识困难重重。有鉴于此，马修·古德曼和佩尔·芮斯伯格提出，既然世界各国不太可能在短期内就数据治理规则达成全面共识，那么相对现实的做法就是设法构建一种既可以最大限度提高数据流动效率，又可以确保数据安全和隐私的互操作系统，引导形成不同数据治理规则框架间的互操作性和趋同性，逐步达成一定程度的全球共识。

马修·古德曼和佩尔·芮斯伯格认为，亚太地区数据治理的实践和成果对构建互操作性有一定参考意义。总体看来，亚太地区的数据治理实践正沿着开展贸易协定谈判和制定非约束性原则这两种路径同时推进。

早在2004年，美国与新加坡签订的自由贸易协定就已纳入了跨境数字商务规则相关内容。随着2016年12国《跨太平洋伙伴关系协定》（TPP）的签署，数字贸易规则制定又取得了重要进步。TPP包含了至少二十余项关于数字贸易的开创性承诺，如允许大多数跨境数据流动，建立消费者保护标准，禁止强制技术转让等。在2017年美国退出TPP后，其余11个国家又签署了《全面与进步跨太平洋伙伴关系协定》（CPTPP）。

2019年达成的《美日数字贸易协定》（the U.S.-Japan Digital Trade Agreement）、《新加坡-澳大利亚数字经济协定》（the Singapore-Australia Digital Economy Agreement）等亚太地区合作伙伴间双边协定则通过在现有贸易协定基础上增加新承诺的方式，促进了亚太地区数字治理规则框架的形成。

2020年7月生效的《美国-墨西哥-加拿大贸易协定》（USMCA）不仅纳入了大多数TPP数字贸易法规，还承认由亚太经合组织（APEC）论坛制定的《跨境隐私规则》（CBPR）是有效的数据传输机制。

2020年底，亚太数字治理规则制定又取得新进展。15个亚太经济体（10个东南亚国家以及中国、日本、韩国、澳大利亚和新西兰）签署了《区域全面经济伙伴关系协定》（RCEP）。RCEP成员国占全球GDP的30%。与《跨太平洋全面进步伙伴关系协议》（CPTPP）一样，RCEP也包含了专门的数字贸易章节。这也是中国首次原则上同意和接受对数据流动和本地化具有约束力的规则。但是，该协议允许对跨境数据流动进行监管限制，并允许单个国家自行确定数据本地化要求。

根据马修·古德曼和佩尔·芮斯伯格的观点，以贸易协定作为推进数据治理的工具，主要好处在于其具有法律约束力和可操作性。但是，贸易协定需要消耗多年时间和大量政治资本来进行谈判，并且议定的规则很难更改，恐难以跟上快速变化的数字经济形势。此外，数据治理还包含许多其他方面内容，如数字包容性、人工智能伦理等。将这些内容嵌入贸易协定中并不现实。解决这类问题就需要切换到亚太地区数据治理的第二条路径：制定非约束性原则。

现在，多国政府、跨国机构和国际组织正积极协调建立数据治理的非约束性原则。经济合作与发展组织（OECD）2020年建立了全球人工智能合作伙伴关系框架，并就政府访问个人数据制定了可信赖的高级原则。全球数据行业联盟在2021年3月发布了一套跨境数据原则，涵盖透明度、非歧视性和互操作性等问题。日本政府提出了“信任的数据自由流动”（DFFT）概念，作为全球数据治理的组织原则，获得20国集团（G20）领导人的认可。新加坡不仅与日本和澳大利亚一起担任世界贸易组织（WTO）电子商务谈判的联合召集人，还通过数字经济协议（DEA）设立国际标准与互操作性。

2020年6月，新加坡与新西兰和智利签订了《数字经济伙伴关系协议》（DEPA），旨在深化数字经济领域的合作。DEPA为合作伙伴提供了灵活、可扩展的平台模式，以促进效率、信任和互操作性。它还包括了14个联合工作“模块”，涵盖数字身份、电子发票、跨境数据流和人工智能伦理等众多场景，纳入有关商业和贸易便利化、数字产品处理、网络安全和信任、在线消费者保护等条款，同时促进政府数据开放和数字包容等。DEPA的模块化方法令它比传统的贸易协定更加灵活、高效。

与此同时，亚太地区的一些区域性组织也在推动制定数据治理的非约束性原则。2018年，亚太经合组织（APEC）成立数字经济指导小组（DESG），该小组从贸易之外更广泛的视角处理数据治理挑战，包括数字基础设施建设、宽带接入以及基于科学研究的数据共享等。这些问题常常以国内政策为基础，就算对国际贸易有影响也很难纳入有约束力的贸易协议中进行协调。DESG恰好能在解决这类问题上发挥作用。东南亚国家联盟（ASEAN）也在2021年初提出了一种跨境数据传输机制，使用示范合同条款在东盟国家以外合法传输数据。一旦正式实施，它将提供一个经济、高效又灵活的数据传输机制，实现不同国家隐私保护法规框架间的互操作性。

马修·古德曼和佩尔·芮斯伯格强调，数字经济是一个庞大、复杂且快速变动的系统。随着时间推移，其中最可能出现的一致性将会是一系列不同但可以互操作的制度的有机结合。正如二战结束时44个盟国一起举行会议，协商组织战后全球经济秩序一样，数字经济时代也需要在多边合作的基础上建立一套区域性或全球性的数据治理规则和标准，且配备有效的协调机制。

此外，马修·古德曼和佩尔·芮斯伯格还就美国参与亚太地区数据治理提出了一些具体建议，其中特别强调了尽快在联邦层面进行隐私保护立法，将各政府部门和州一级已有的法规整合起来，并由白宫组建一个统一的数字治理负责机构。除了协调美国政府各相关部门的工作，该机构的负责人还将代表美国参与数据治理国际谈判和事务协调。