引言

21世纪全球经济正经历由信息技术主导驱动的新一轮产业变革，数据已超越土地、劳动力、资本等传统生产要素，成为驱动经济社会发展、维护国家安全的核心战略资源。数据跨境流动作为数字时代的“血液循环”，维系着全球供应链协同、金融服务互通、科技创新合作乃至社会文化交融。数据跨境流通一经开始，全过程将置于国家及国际法规则管控之下，当下全球尚未形成统一的关于数据跨境的法律规制，国家的自行管制措施缺乏统一的行为准则，数据自由流通与国家安全二者间对抗姿态愈演愈烈。根生于现代国际公法秩序的“数据主权”理论，因国家安全、公共秩序、个人隐私保护等合法公共政策目标将数据治理划入传统主权范畴，主张对本国境内产生或涉及其国民的数据拥有管辖权与控制权，与之相对依托互联网世界主义理想下的“数据自由”论，鼓励数据排除主权干预地自由跨国界流转，“数据自由”论持续冲击着主权国家的管辖边界，对传统主权行使模式提出新的考验。数据跨境流通的规则是数据经济发展、国家治理现代化的重要保障，引导国际社会制定法治化、包容性的全球数据治理规则为未来经济全球化走向、国家安全和世界新秩序奠定了稳健的基石。因此，如何引导数据跨境有序流动、着力发展数字经济的同时，保障各国行使数据主权保障国家安全以及公共利益，已成为当前亟待解决的重大核心议题。

一、数据要素跨境流通的法理基础与核心范畴

数据主权并非凭空产生的新型主权主张，其法理根基深植于现代国际法体系的核心——国家主权原则。但作为一种新型主权主张，其内涵与行使方式又需针对数据的无形性、流动性、可复制性等特征进行专门调适与合理限制。

（一）数据主权的国际法渊源与权属构成

国家主权原则作为国际关系的基石，已为《联合国宪章》等一系列国际法律文件所确认，其核心包含对内最高权与对外独立权两大维度：对内，国家对其领土内的一切人和物享有排他性的管辖与支配权；对外，国家拥有独立自主处理内外事务、不受他国干涉的权利。当主权行使的客体从有形的领土、人民延伸至无形的数据时，数据主权便应运而生。其核心论据是“效果原则”和“属地联系的延伸”：只要数据的产生、处理、存储或使用行为与一国领土或其国民存在真实、实质的联系，该国便对该数据享有管辖权。例如，在本国境内收集的个人数据，由本国公民创建的商业数据与公共数据，即便因技术原因存储于境外服务器，也因与本国存在“初始属地联系”而可纳入主权管辖范围。

因此，数据主权的权属构成至少包括四个维度：1.立法管辖权：各国有权根据本国国情与利益需求，制定关于数据收集、处理、传输、存储和销毁的国内法律法规，确立本国数据治理的基本规则与标准。2.执法管辖权：各国有权对违反本国数据法律法规的行为进行调查、取证与行政处罚，包括要求位于境外的相关实体提供涉案数据，这也是数据主权行使中最易引发国际冲突的环节。3.司法管辖权：各国国内法院对涉及本国数据主权、国民数据权利的民事、刑事及行政案件享有审理和裁判的权力，这是保障数据治理规则落地的司法支撑。4.管理控制权：即各国政府具备对涉国家安全、公共利益、劳工权益等关键信息数据、涉密数据与核心数据的出境进行审批、安全评估和全程监管的权力，是维护国家数据安全的核心手段。

（二）数据主权行使的合理界限与国际义务

承认数据主权的国际法正当性，绝不意味着国家可以任意、无限地行使权力。传统国际法早已为国家主权的行使设定了明确边界，尊重他国主权、不干涉内政、履行国际义务等基本原则，同样适用于数字空间的主权行使。数据主权的行使必须遵循国际法基本准则，兼顾本国利益与国际社会共同利益，接受合理边界的约束，避免成为数据保护主义与信息壁垒的借口。

首先，数据主权的行使需严格遵循比例原则。一国以国家安全、公共秩序为由采取数据本地化措施、限制数据出境措施时，必须证明该措施是实现合法政策目标的必要手段，且应选择对数据跨境流通与国际贸易限制最小的方式，不得超出合理范围构成变相的数字保护主义。其次，数据主权的行使需符合国际人权法义务。《世界人权宣言》和《公民权利和政治权利国际公约》等国际文件中关于隐私权、个人信息保护的规定，要求各国在行使数据管辖权时，必须保障个人数据隐私，防止公权力滥用。各国在制定数据治理规则、行使数据管辖权时，应建立健全个人数据保护制度，防止公权力滥用数据管辖权侵害公民的基本人权，实现国家数据主权与个人数据权利的平衡。

最后，数据主权的行使或需借助国际合作。数据的无界流动特性决定了网络犯罪、利用网络传播、跨境数据泄露等问题均具有跨国性，单一国家的主权行为无法有效解决此类系统性挑战。在打击网络犯罪、恐怖主义等跨国问题上，一国在主张数据管辖权的同时，也负有通过司法协助等渠道进行国际合作的义务，不应以主权为名行信息壁垒之实，拒绝与他国开展跨境数据合作，应在尊重彼此主权的基础上，协同应对数字空间的全球性问题。

（三）数据跨境流通与全球治理的逻辑关联

数据主权的行使并非旨在阻断一切数据流动，而是为了建立一种“有管理的流通”秩序，实现数据安全与流动效率的平衡。数据的跨境流动跨越了国家的领土疆界，其治理涉及多个国家的主权与利益，单一国家主权行为难以真正克服跨境数据流动带来的规则冲突、监管空白等问题，全球税收逃避、大型科技公司跨国数据垄断、跨境网络攻击溯源等问题的解决，均依赖于国家间的协商与合作，依赖于统一、有效的全球治理规则与机制。

因此，数据跨境流通的治理本质上是在尊重各国数据主权的前提下，通过国际公法与国际私法的互动与融合，塑造稳定、可预测的全球数据空间秩序。有效的全球数据治理是各国数据主权合理行使的保障，能够为各国划定数据主权行使的边界，化解主权管辖冲突，协调各国数据治理规则；而各国对数据主权的合理行使，又为全球数据治理奠定了基础，是构建全球数据治理体系的前提。

二、数据要素跨境流通全球治理的现实困境

当前数据要素跨境流通的全球治理，正深陷于由主权冲突加剧、规则体系碎片化与发展权益失衡交织构成的复杂困境之中，也对以主权平等为核心的国际法基本原则与国际秩序构成挑战。

（一）主权冲突：管辖竞合与规则对抗加剧

主权冲突是当前数据跨境流通治理中最表层、最激烈的困境，集中体现为不同国家数据主权行使模式的直接碰撞，本质是主权空间逻辑与产业权力逻辑的对抗，且在实践中导致国家主权平等原则被弱化。

一方面呈现出“数据本地化”与“长臂管辖”的直接对立，以中国、俄罗斯、印度等为代表的国家，基于国家安全与数据主权保护的需求，通过专门立法确立数据本地化存储制度，要求关键信息基础设施运营者的个人信息和重要数据必须在境内存储，数据出境需经严格的安全评估。此举旨在将数据的物理样态存置于主权控制之下，是防范外部数据掠夺、维护国家数据安全的重要手段，体现了基于领土疆界的主权空间逻辑。与之相对以美国为代表的国家则依托其全球领先的数字平台与技术优势，推行“长臂管辖”模式，通过《澄清域外合法使用数据法》（CLOUD Act）等法律，主张无论数据存储于全球何处，只要通讯服务提供者受美国司法管辖，美国执法部门即可强制调取该数据。这种基于“数据控制者”而非“数据所在地”的管辖权主张，实质是将美国国内法的效力全球化，直接侵蚀了其他国家的属地管辖权与数据主权，体现了基于数字产业霸权的产业权力逻辑。此外，欧盟的GDPR则采取“高标准辐射”的软性规则输出模式，通过赋予数据主体强大的权利和设定严苛的违法处罚标准，迫使希望进入欧盟市场的全球企业遵守其数据保护规则，本质上也是一种超越领土疆界的管辖权主张，同样易与其他国家的数据主权产生冲突。

另一方面，国家主权平等原则在数字空间被事实上弱化。在“长臂管辖”与“软性规则输出”的背景下，数字强国与技术弱国之间在数据治理的法律与政策博弈中呈现出严重的能力不对称。发达国家凭借其跨国企业、主导的技术标准与国际规则联盟（如美国推动的“跨境隐私规则”体系CBPRs），在全球数据治理规则制定中占据主导地位，往往能设定符合自身产业利益与价值观念的议程与规则；而广大发展中国家由于技术水平落后、数据治理能力不足、缺乏规则制定话语权，被迫在“接受不平等的全球规则”与“被排除在主流数据经济圈之外”之间做出艰难选择。数据主权成为少数数据科技强国维护自身霸权的工具，而非发展中国家维护自身安全与发展利益的保障。国家主权平等作为国际法的核心原则，在数字空间面临被实质性掏空的风险。

（二）规则困境：全球治理体系碎片化

主权冲突的背后，是全球数据治理领域统一多边规则的严重缺失，传统多边机制在应对数据治理这一新兴议题时步履维艰，区域与单边规则纷纷涌现并相互排斥，导致全球数据治理体系呈现深度碎片化特征，增加了企业的合规成本与国家间的规则协调难度。

联合国、世界贸易组织（WTO）等传统多边组织是全球治理规则制定的核心平台，但在应对数据治理这一新兴议题上步履维艰，存在显著的“制度真空”。WTO电子商务谈判虽将数据跨境流动纳入议题范围，但各国在“数据自由流动”与“合法公共政策目标例外”的界定、数据本地化措施的合法性、个人信息保护标准等问题上分歧巨大，难以达成具有法律约束力的全面协议。联合国框架下关于数据治理的讨论则更多停留在原则宣示层面，尚未形成具体、可执行的规则体系。这种多边统一规则的缺失，使得全球数据治理缺乏具有普遍权威性的“顶层设计”，成为规则碎片化的根本原因。

在多边机制失灵的背景下，各国与区域组织纷纷通过单边立法或区域协定确立自身的数据治理规则，形成了多个彼此独立甚至相互排斥的“规则群”。例如，欧盟通过“充分性保护认定”制度，构建了以自身数据保护标准为中心的区域数据流通圈，仅对数据保护水平达到其标准的国家或地区开放数据自由流动；美国推动的CBPRs体系则以行业自律为核心，强调企业的自我合规，与欧盟的公法监管模式形成鲜明对比；《区域全面经济伙伴关系协定》（RCEP）与《全面与进步跨太平洋伙伴关系协定》（CPTPP）中关于数据跨境流动的条款也各具特色，RCEP更注重兼顾各国发展阶段差异，对数据本地化措施保留了较大的灵活度，而CPTPP则更强调数据的自由流动，对数据本地化措施设置了严格限制。这些规则体系在数据权利界定、监管标准、执法机制、数据出境要求等方面存在显著差异，不仅导致跨国企业面临“合规丛林”，大幅增加合规成本，也使得国家间的规则协调异常困难，进一步加剧了全球数据治理的碎片化。

（三）实践难题：安全、发展与权利三维失衡

在主权冲突与规则碎片化的背后，是各国在数据治理核心价值目标上的优先序差异，以及发展中国家与发达国家之间的治理话语权失衡，最终导致数据安全、经济发展与个人权利的多维失衡，成为构建全球数据治理体系的根本性挑战。

数据治理涉及数据安全、经济发展、个人权利三大核心价值目标，三者之间存在天然的张力，这种张力既体现在各国的国内治理层面，也体现在全球治理层面。在国内层面，一国加强数据安全管控，可能增加企业的运营成本，限制数据的自由流动，进而影响数字经济的发展效率；而过度追求数据自由流动以促进贸易与经济发展，又可能削弱个人隐私保护与国家数据安全屏障，引发数据泄露、国家安全风险等问题。在全球层面，不同国家对三大价值目标的权重排序存在显著差异：欧美国家更侧重个人隐私保护与商业自由，将个人数据权利置于优先位置；中国等新兴市场国家则更强调国家数据安全与公共秩序，将维护国家安全作为数据治理的首要目标；广大发展中国家则更关注数据流动带来的经济发展红利，希望通过融入全球数据经济实现产业升级。价值目标的差异使得各国难以形成价值共识，而价值共识是构建全球共同规则的基础，这也成为全球数据治理规则制定的核心障碍。

当前的全球数据治理话语体系主要由发达国家主导，其制定的规则往往反映发达经济体的数字产业利益与价值观念，未能充分考虑发展中国家的发展阶段与利益需求。广大发展中国家普遍面临数字基础设施落后、数据治理能力不足、数字产业发展滞后等问题，在全球数据治理规则制定中处于边缘化地位，缺乏足够的话语权与影响力。同时，发展中国家还面临“数据鸿沟”与“治理鸿沟”的双重叠加：一方面，其数据资源往往被发达国家的跨国数字企业无偿或低成本攫取，未能实现数据资源的价值转化，沦为数字经济的“原料供应国”；另一方面，由于缺乏数据治理能力，发展中国家难以有效保护本国数据主权与国民数据权利，也难以参与全球数据经济的公平竞争。这种“数字鸿沟”与“治理鸿沟”的叠加失衡，使得当前的全球数据治理体系缺乏包容性与公平性，难以实现全球数字经济的共同发展，也为全球数据治理体系的稳定运行埋下隐患。

三、数据要素跨境流通全球治理规则的法治化建构

破解数据跨境流通中的主权行使困境，不能依靠霸权或单边主义，而必须回归国际法治的根本，在尊重主权平等的基础上，通过对话与合作，循序渐进地构建一个权利平衡、规则清晰、执行有效的法治框架。

（一）确立全球数据治理的核心国际法原则

任何规则体系的建构都需以基本原则为纲。全球数据治理应首先坚持数据主权平等与不干涉内政原则贯彻于数据跨境流通各环节，这是国家主权平等与不干涉内政原则在数字空间的直接适用，是构建全球数据治理体系的首要原则。各国无论数字实力强弱、经济发展水平高低，其数据主权及基于主权制定的数据管理政策都应得到平等尊重，反对以任何形式干涉他国的数据主权行使，不得通过法律、技术、经济等手段胁迫他国接受不符合其国情的数据治理规则。这一原则是建立各国间互信的前提，只有在平等尊重彼此数据主权的基础上，才能开展有效的国际合作与规则协商。

各国对数据安全与经济发展享有基于本国国情的自主定义权和优先排序权。全球规则应致力于在保障各国核心安全关切与促进数据驱动型发展之间寻求平衡，不得强制各国接受统一的价值排序。规则制定旨在充分尊重各国的国家安全与公共利益，允许各国对关涉核心安全的核心数据采取必要的保护措施，明确“合法公共政策目标例外”的合理范围，与此同时应坚持促进数据跨境自由流动的基本方向，消除不必要的数字贸易壁垒，便利合法的商业数据与个人数据跨境流动。

坚持公平互利与国际合作原则，这一原则是化解全球数据治理发展失衡、实现共同发展的关键，应致力于缩小数字鸿沟，确保所有国家，特别是发展中国家，能够公平分享数据全球化带来的发展红利，而非成为数字霸权的牺牲品。发达国家应承担相应的国际义务，在数据治理能力建设、数字基础设施建设、技术转让等方面向发展中国家提供援助，帮助发展中国家提升数据治理能力与数字产业发展水平。同时，各国应树立人类命运共同体意识，在打击网络犯罪、反恐、公共卫生应急、跨境数据泄露应对等全球性议题上，加强数据领域的执法与监管合作，建立常态化的合作机制，协同应对数字空间的共同挑战。

（二）完善主权行使的实体规则

在原则指导下，应推动形成一套精细化、差异化的实体规则，为主权行使提供清晰指引：建立“重要数据/核心数据”的分类分级保护与出境管理制度，数据的类型不同、重要程度不同，其跨境流动带来的安全风险与经济价值也存在显著差异，因此应根据数据的重要程度与安全风险，建立统一的分类分级标准，这是实现差异化治理的基础。国际社会应通过多边协商，探讨就“重要数据”与“核心数据”的分类标准形成基本共识，明确核心数据、重要数据与普通数据的界定范围。对于关涉国家根本安全、国民经济命脉的关键信息基础设施数据、敏感地理信息、生物特征数据等“核心数据”，各国可保留要求本地化存储、禁止出境的权利，这是各国维护国家数据安全的主权底线，应得到国际社会的尊重；对于一般性的“重要数据”，可建立以“安全评估”和“标准合同”为主的出境管理机制，明确安全评估的基本要素与标准合同的核心条款，并在多双边层面推动安全评估标准的互认，简化数据出境审批流程；对于普通商业数据与非敏感个人数据，则应消除出境限制，实现自由流动。

推行基于风险与信任的数据跨境流通分类监管模式：在数据分类分级的基础上，应根据数据接收国的data保护水平、国家间的信任关系，推行基于风险与信任的分类监管，实现“风险相适应、信任相匹配”的治理目标。具体而言，对于大量的普通商业数据和个人数据（非敏感），应倡导建立基于风险评估和信任等级的流动机制。对于数据保护水平被认定为“充分”的国家或地区之间，应相互认可彼此的监管标准，允许数据自由流动，如欧盟的“充分性保护认定”制度；对于数据保护水平相当但尚未实现监管互认的国家之间，应推广具有法律约束力的公司规则（BCRs）或标准合同条款（SCCs），通过企业层面的合规承诺与合同约定，保障数据跨境流动的安全；对于数据保护水平不足的国家或地区，则要求数据输出方在数据传输中附加特定的安全保障措施，如数据加密、匿名化处理等，降低数据流动的安全风险。这种分类监管模式既体现了对各国数据主权与监管差异的尊重，也兼顾了数据流动的效率与安全，能够有效化解规则冲突，降低企业合规成本。

（三）健全全球协同治理与争端解决的机制框架

完善的实体规则需要强有力的机制保障才能落地实施，构建全球数据治理法治框架，还需健全多边规则协调机制、跨境监管互认与执法合作机制，探索适配数字时代的国际争端解决机制，形成“规则—机制—执行”的完整体系，确保全球数据治理规则的有效运行。

在短期内难以达成全面的全球多边数据治理公约的情况下，应强化现有多边平台的对话与协调功能，充分发挥联合国、WTO、经济合作与发展组织（OECD）、二十国集团（G20）等平台的作用，分领域、分阶段推动全球数据治理规则的协调与收敛。在联合国框架下，可推动制定关于数据主权与跨境数据合作的一般性原则宣言，确立全球数据治理的基本准则。在WTO框架下，优先就电子商务领域的基础规则达成阶段性协议，如明确数字关税的取消、电子签名的互认、数据自由流动的基本原则与例外情形等。在OECD、G20等平台，则可作为数据治理政策对话与最佳实践分享的重要载体，推动各国交流数据治理经验，形成非约束性的软法规则，目标是逐步收敛分歧，形成规则“最大公约数”。

深化跨境监管互认与执法合作机制，这是将原则落地的关键。推动各国监管机构之间建立常态化的信息交流、磋商与互认渠道，在数据保护、金融数据监管、反垄断等领域，推动不同司法管辖区监管机构的“对等互认”，相互认可彼此的监管标准与执法结果，减少重复监管与规则冲突。改革和强化现有的刑事司法协助条约（MLATs）体系，使其更适应数字时代的跨境数据取证需求，简化司法协助的程序，提高取证效率，为各国在尊重彼此司法主权的前提下获取跨境数据提供合法、高效的渠道，从而替代单边的“长臂管辖”，化解数据执法中的主权冲突。

搭建各国监管机构之间应建立常态化的信息交流、磋商与互认渠道。在数据保护、金融数据监管、反垄断等领域，推动不同司法管辖区监管机构的“对等互认”，相互认可彼此的监管标准与执法结果，减少重复监管与规则冲突；另一方面，改革和强化现有的刑事司法协助条约（MLATs）体系，使其更适应数字时代的跨境数据取证需求，简化司法协助的程序，提高取证效率，为各国在尊重彼此司法主权的前提下获取跨境数据提供合法、高效的渠道，从而替代单边的“长臂管辖”，化解数据执法中的主权冲突。

数据跨境流动纠纷具有技术性强、主体多元、证据电子化、涉及利益复杂等特点，现有的WTO争端解决机制、国际投资仲裁庭等在处理此类纠纷时，存在专业性不足、程序繁琐、效率低下等问题，难以适应数字时代的需求。因此，应探索构建适配数据跨境流动纠纷的专门争端解决机制：可考虑在现有多边框架下设立专门的数字争端解决常设机构或专家小组，吸纳数据技术专家、国际法专家、数字经济专家共同参与，提升争端解决的专业性与针对性；鼓励发展在线争端解决机制，适应数据纠纷的电子化特征，提高争端解决的效率；同时，在规则中明确“技术中立”“代码透明”等程序性原则，规范电子证据的收集、审查与认定标准，确保争端解决过程的公平性与裁决的可执行性。此外，应建立常态化的争端预防机制，通过各国监管机构的定期磋商，及时化解数据跨境流动中的潜在争议，避免争议升级为正式的国际争端。

四、结语

数据要素的跨境通流，如同一面棱镜，折射出数字时代国际关系中国家主权、市场力量与个体权利之间的复杂博弈，现有单一固化的法律制度均难以适应和满足现有数字经济的发展，治理全球数据乱象，推动以固守物理地域和实力政治为基础的国际秩序，向新型的、流动的、网络化的数字空间需求迈进，促使治理结构由“规则管控型治理”向“技术支撑型治理”升级转型，设计一套能够平衡安全、发展与权利，并充分照顾发展中国家关切的全球规则体系。

综上所述，数据跨境流通的全球治理问题是国际法学界与实务界共同面临的世纪课题，需要全面整合数据跨境流动的全球样态，实时获取数据主权研究的国际走向，系统研究数据主权的内涵外延及其核心逻辑，其关乎全球数字经济的发展走向，更将深远影响未来数十年的全球国际格局。这条法治化建构之路注定漫长且曲折，但是也只有当各国在充分尊重彼此数据主权的前提下，携手构建起一个稳定、公平、有效的全球数据治理新秩序，数据这一新时代的“石油”才能真正成为驱动人类共同发展的强大引擎。

参考文献：

1. [1] 叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J].法学评论,2020,38(01):106-117.
2. [2] 齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版),2015,36(01):64-70+191.
3. [3] 吴沈括.数据跨境流动与数据主权研究[J].新疆师范大学学报(哲学社会科学版),2016,37(05):112-119.
4. [4] 肖冬梅,文禹衡.数据权谱系论纲[J].湘潭大学学报(哲学社会科学版),2015,39(06):69-75.
5. [5] 何傲翾.数据全球化与数据主权的对抗态势和中国应对——基于数据安全视角的分析[J].北京航空航天大学学报(社会科学版),2021,34(03):18-26.
6. [6] 文禹衡.数据确权的范式嬗变、概念选择与归属主体[J].东北师大学报(哲学社会科学版),2019(05):69-78.
7. [7] 蔡跃洲,马文君.数据要素对高质量发展影响与数据流动制约[J].数量经济技术经济研究,2021,38(03):64-83.
8. [8] 刘天骄.数据主权与长臂管辖的理论分野与实践冲突[J].环球法律评论,2020,42(02):180-192.
9. [9] 蔡翠红,郭威.中美跨境数据流动政策比较分析[J].太平洋学报,2022,30(03):28-40.
10. [10] 阙天舒,王子玥.数字经济时代的全球数据安全治理与中国策略[J].国际安全研究,2022,40(01):130-154+158.
11. [11] 曹磊.网络空间的数据权研究[J].国际观察,2013(01):53-58.
12. [12] 洪治纲,霍俊先.RCEP对数据跨境流动的规制及其重要影响[J].西南金融,2022(04):83-94.
13. [13] 杜雁芸.大数据时代国家数据主权问题研究[J].国际观察,2016(03):1-14.
14. [14] 东方.欧盟、美国跨境数据流动法律规制比较分析及应对挑战的“中国智慧”[J].图书馆杂志,2019,38(12):92-97+104.
15. [15] 胡炜.跨境数据流动立法的价值取向与我国选择[J].社会科学,2018(04):95-102.