吴燕妮：粤港澳大湾区跨境数据流动治理范式的挑战与进路

　　在人类社会的发展历程中，科技创新始终是最为核心的驱动力量。由科技创新发展而带来了生产力的进步，不断推动国家与社会治理范式的变革与转型。数字时代的治理意味着复杂的整体性变革。互联网的出现，极大地加速了全球范围的信息化浪潮。数字治理的核心特征是全方位的数据互通和协同，特别是数字化的流程重塑，在治理机制上实现数据支撑的决策、管理和创新。在此进程中，数据自然产生了存储等静态问题；与此同时，也会相应产生数据使用、保护和流动等动态问题，而数据的动态变化如果涉及跨境难题，将会进一步增加治理难度。在此基础上，世界经济论坛（World Economic Forum）提出，数据跨境流动是指数据跨越国界的传输、处理与存储；或者数据尚未跨越国界，但能够被第三国主体进行访问。

　　近年来，二战后兴起的经济全球化和多边主义正在遭遇前所未有的质疑和挑战，贸易保护主义、民粹主义思潮不断上升，传统国际经济、社会、安全形势都在不断受到新的挑战，数字化驱动的新一轮全球化正在推动全球治理数字化变革。党的二十大报告明确提出“加快发展数字经济”。数字经济的蓬勃发展以及数字治理的不断勃兴，将进一步加速全球范围的信息化浪潮。当前，数字治理已经从过去区域性的治理模式逐步向更为广泛的全球治理工具演进。因此，跨境数字流动的全球规制，即注重信息保护、数据安全等问题的法律规制是全球共识，既是域内治理问题，也是国际法律规则问题。数据的跨境流动日益频繁，随之而来的就是传统治理规则如何在全世界范围内进行有效互动，是否有一个统一的规则为全球治理提供源于数字技术的普遍性原则？随着互联网技术和覆盖范围的逐步扩展，今天的人类社会已经步入了全新的数据时代。“数据”作为一项重要的生产要素，正逐步进入全球经贸领域，并越来越成为世界经济发展的主要驱动力。国际经贸规则已逐渐关注跨境数据流动产生的法律和规则问题，开始将跨境数据流动条款纳入其中。但是，出于对本国行业的保护和国家立场、安全观念等方面的不同，各国对数据跨境流动施加了不同程度的限制。从这一角度看，如何平衡数据流动与保护之间的平衡，特别是发展中国家与发达国家在利益诉求方面的冲突和矛盾，是国际社会在数字治理领域面临的全新挑战。

　　（一）数字治理的规范化趋势日益明显

　　近年来，我国基于内部动力和外部压力，正在转变思维模式，开始积极探索一条数字治理的法治路径，并充分考量到数据跨境流动及数字治理全球性问题的法律规制。

　　早在2015年12月，习近平总书记在第二届世界互联网大会上就特别提出将“尊重网络主权”列为全球互联网治理体系四项原则的核心。随后我国《网络安全法》首次建立了个人信息跨境流动的安全评估机制，并在第一条开宗明义地提出“维护网络空间主权”的立法主旨，要求对于影响国家安全、社会公共利益等方面的重要数据，都应当作出安全评估。近年来，《个人信息保护法》《数据安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》先后出台，2022年9月1日《数据出境安全评估办法》生效，此外尚有《网络数据安全管理条例（征求意见稿）》等立法。这些制度安排均反映了近年来我国对数字相关立法的高度重视，我国网络安全、数据安全法律法规体系框架日益完善。以《个人信息保护法》为例，该法于2021年8月20日正式出台，一共74条，既是在总结中国十几年来相关立法经验的基础上所作的一部前瞻性立法，同时也充分吸收了欧美日等国家的立法精髓。特别是该法充分考虑了个人在数字化时代的人格尊严和公平实践，以及数字经济发展的趋势，具有探索数字立法的重要意义。同时，该法对自然人关于个人信息的权利、相关部门对于个人信息的保护职责等均有清晰明确的规定，还以专章的形式对个人信息跨境作出了系统性的规定。从这一角度看，该法为我国保护个人数字信息提供了顺应时代与社会发展趋势的顶层设计，同时也为国际社会的数字治理提供了可供借鉴的中国智慧和范本。该法也充分表明了我国对于个人信息保护的法律立场，以及对个人信息和“数字人格”的尊重。此外，在国际合作方面，该法也回应了国际数字合作与流通的需求，为我国与其他国家或地区开展个人信息保护合作提供了法律基础。

　　在数据安全方面，2021年9月生效的《数据安全法》则确立了“数据跨境安全、自由流动”原则，虽然该法整体上看并没有就如何平衡数据跨境流动的“安全”与“自由”做出明确的规定，但仍然彰显了我国作为负责任的大国在当前国际局势下坚持对外开放与合作立场，同时也展现出坚守国家安全底线的坚强决心。

　　从整体来看，目前我国数字立法充分体现了重要性原则，对具有国家安全或主权意义的个人信息数据的跨境流动作出限制，允许非重要的个人信息跨境自由流动。同时，在保障数字贸易和网络空间国家主权的基础上，最大程度保障个人信息的跨境流动。这也为我国参与国际社会数字治理和跨境数字流动规则谈判奠定了坚实的法律基础。此外，我国还通过一系列法律以外的顶层设计，如2020年3月出台《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》，以及商务部2020年下发的《关于印发全面深化服务贸易创新发展试点总体方案的通知》等政策文件，将数据纳入生产要素，有效提升了个人数据跨境治理重要性并提供实践方案，力图保障个人信息的保密性、完整性、可用性。尤其值得一提的是，着眼于数据跨境安全的《数据出境安全评估办法》规定数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息，应当进行安全评估，并明确了4种应当申报数据出境安全评估的情形。这是对于数据跨境流动更为直接正面的立法回应。

　　（二）数字治理在全球治理中的引领作用日渐显现

　　2020年，我国率先提出《全球数据安全倡议》，不仅聚焦于数字经济社会建设的关键基础设施，同时还纳入了个人信息保护、企业境外数据储存等多方面的数字治理议题，同时还为政府和企业在数据安全方面的行为与规制提供了可供国际社会借鉴的解决方案。该倡议不仅是数据安全领域的首次国际倡议，同时也是我国参与国际数字治理的规则蓝本与基础，以促进各国积极参与跨境数据安全的保障行动，共同推动数字经济的健康和快速、稳定发展。

　　随后，上述内容作为我国参与全球治理的倡议中的一部分被写入了《中国关于联合国成立75周年立场文件》，包括反对利用信息技术破坏他国关键基础设施或窃取重要数据、未经他国允许不得直接向企业或个人调取境外数据等内容，充分反映了我国对全球治理中数据跨境流动和数据安全的重视。

　　可见，在解决数字治理之困的背景下，无论是针对域内治理还是数据跨境等涉外治理，我国都表现出对全球治理的尊重和积极支持。

　　（三）粤港澳大湾区跨境数据流动带来新的治理挑战

　　早在2019年，中共中央、国务院印发的《粤港澳大湾区发展规划纲要》就提出，要建设粤港澳大湾区大数据中心和国际化创新平台，并鼓励粤港澳大湾区探索有利于信息和技术等创新要素跨境流动的政策。随后，《中共中央国务院关于支持深圳建设中国特色社会主义先行示范区的意见》再次提出探索数据跨境流通机制与建设粤港澳大湾区大数据中心。这是党和国家赋予深圳深化综合改革试点的重要战略使命，也是粤港澳大湾区要素流动的必然要求。

　　2022年1月，国家发展改革委、商务部发布《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》，明确提出探索在数据要素和跨境数据业务等领域的市场准入机制，同时设立数据要素交易场所，加快数据要素在粤港澳大湾区的集聚与流通。因此，粤港澳大湾区对内要实现区内要素流动，对外实现与全球要素市场和规则体系对接，必须探索一条推动区内数据跨境流通的有效路径。

　　但与此同时，粤港澳大湾区涉及三种不同的法律制度和司法辖区，数字治理和跨境数据流动作为新兴产业，在粤港澳大湾区各不同区域内都尚未形成有效和成熟的协调与衔接机制，跨境数据流动实际上为数字治理提出了新的难题和挑战。以个人信息跨境流动为例，其至少包含有数据主权与自由流动两方面的利益冲突。根据经合组织（OECD）发布的数字服务贸易限制性指数（Digital Services Trade Restrictiveness Index），在全球40个主要经济体中，与瑞士、挪威、澳大利亚相比，中国的数字贸易及跨境流动政策限制指数仍然偏高，数据流动仍然存在一定的障碍。此外，除《个人信息保护法》《数据安全法》《数据出境安全评估办法》等上位法外，粤港澳大湾区在数字治理和跨境数据流动方面也没有更加具体的可供遵循的顶层制度设计，在数字跨境方面还面临着统筹协调等多方面的难题。

　　不过，我国已开始在多元化的数据流动治理与合作领域开展探索，这也将为解决粤港澳大湾区跨境数据流动问题提供可借鉴的制度样本。

　　（四）粤港澳大湾区探索跨境数据流动治理的实践基础

　　截至2021年，粤港澳大湾区总人口已经超过8600万，湾区GDP超过10万亿元人民币，占全国GDP总量的12％，在数据汇聚、产业规模和基础设施等方面具有较好的基础条件。一方面，围绕区内人才、物流、资金等要素流通，大湾区内集聚了政府机关、企业及个人产生的海量数据和信息。研究显示，目前大湾区城市群总数据存储量超过250,000亿亿字节，已经超过全国数据存储量的五分之一。这是区内数据资源流通的重要基础。事实上，近年来，湾区内已经在一些具体项目上逐步推进跨境数据互联互通。例如，通过出台《粤港澳大湾区电子签名证书互认管理办法》，进一步落实规划纲要的要求。湾区内产业优势十分突出，也是我国新一代信息技术产业最为发达的地区之一，拥有一大批行业龙头企业，诸如华为、比亚迪、腾讯等。从当前的数据来看，珠三角地区有关数字经济的规模已经占GDP比重超过44%，经济的数字化程度处于全国领先地位（见图1）。

　　图1  2016—2020年广东省数字经济规模
（单位：万亿元）

　　另一方面，从打造数据联通的基础条件来看，大湾区信息化基础设施总体水平不断提升，特别是互联网骨干网建设以及城际网络建设一直处于高速发展状态。此外，在数据中心的产业方面，也已经逐步形成了以广州、深圳和香港特区为数据中心、不断辐射周边的产业发展模式，服务器容量和数据存储量均领先于全国。在超算中心方面，数据运算和综合处理拥有广州、深圳两大国家级中心，且粤港澳大湾区拥有较强的互联网发展基础和技术积累，网络基础设施相对完善，也为大湾区数据流动提供了坚实的技术基础。此外，粤港澳大湾区数字化产业集中，数字经济发展动力较强，拥有与实体经济深度融合的广阔空间，特别是在有关区块链、大数据和云计算、人工智能等方面，均有优良的技术积淀和发展环境。

　　（一）联合国倡导更加开放包容的数字体系

　　作为二战后国际社会多边治理的核心，联合国一直以来都是全球治理体系中的重要一环，在数字治理中也同样扮演了重要角色。为此，联合国专门成立数字合作高级别小组，以对数字时代中数字治理模式的变革作出回应。2019年10月，该小组发布了《数字相互依存的时代——联合国数字合作高级别小组报告》，对进入数字时代的各国政府面临的治理挑战进行了深入分析和总结，提出要通过多边合作机制完善数字治理，并且世界各国应当共同努力降低数字鸿沟，共同行动。主要包括以下几个方面的内容：一是建设对数字经济较为宽容的社会环境。联合国指出，数字技术应当更广泛地应用于普罗大众，协助更多人进入并适应数字社会，并就数字要素和公益性的数字技术开展更为广泛和深入的合作。二是建议提升全社会特别是政府机关的数字化能力。数字经济的兴起和数字技术的发展实际上是对各国政府提出了更高的要求，社会公众除应认识到数字技术的优势之外，政府有义务向社会公众普及数字技术所存在的风险。三是借助数字化技术和数字经济，推动全球数字治理中有关人权的保障和全球协作。为此，联合国也提出了相应的行动计划，特别是有关《全球数字信任与安全承诺》的内容，对各国数字时代的愿景进行了汇总编纂，并建议各国对数字技术的责任规范进行管理，以全面提高社会应对数字时代网络威胁和虚假信息的能力。此外，联合国还鼓励各国的企业实行更严格的开发规范，同时加强对数字软件的认证。此外，联合国倡导更深入的全球数字合作，力求实现一定程度上的数字治理原则、标准等方面的全球共识。

　　（二）基于“自由主义”的数据共享美国模式

　　近年来，欧美主流国家数字治理逐渐呈现出“国家主义”的趋势，从国家层面开展数字治理的顶层设计。特别是2018年之后，随着大数据和人工智能产业的兴起，部分欧美国家展开了以人工智能等技术手段转变现代治理模式的一系列行动和立法，将大数据、人工智能作为公共治理创新的核心手段和工具，而不再以获取数据中心或数据存储为重点，反而更多关注数据的开放和共享，并进而建立起了一系列法律保障措施。

　　早在2012年5月，美国政府就发布了《数字政府：建立一个面向21世纪的平台更好地服务美国人民》的数字政府战略，并首次提出了社会公众随时获取政府信息的数字政府目标，以全面提高政府为全社会服务的质量。这也标志着数字治理已经从早期的技术问题演变为事关未来发展的重要社会议题。

　　在数字技术的不断发展和进步中，美国出台了有关个人信息跨境流动的若干政策法规。以“数据自由主义”为基础，美国的立法政策充分体现了商业利益优先的理念，对个人信息的限制较少，行业规范也较为宽松。不过，对个人信息流动的限制多分散在不同的立法中。同时美国也较为注重个人名誉权和隐私权的保护，立法及司法判例都能够有效解决个人信息跨境流动的问题。此外，在数字治理的基础设施建设上，相较于其他国家，美国有着不可比拟的绝对技术优势。美国互联网公司仍然不断在全世界扩张业务，也倒逼着美国在跨境信息流动问题上要秉持一种相对“开放”的态度。然而不可否认，近年来，在美国等发达经济体也日益出现一种趋势，即适度考量“数据主权”，数据权利保护和国家安全在数据跨境流动中也受到越来越多的关注。

　　（三）区内外区分的跨境数据治理欧盟机制

　　欧盟对于个人信息跨境流动则具有其作为区域性国际组织的特点。一方面，欧盟将个人信息的权利保护上升至基本权利层面。早在1981年，欧共体各成员国就共同签订了《关于个人数据自动化处理的个人保护公约（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）》，这也是世界上首次就个人信息保护问题在国家间达成共识。到2016年，欧盟再次发布《通用数据保护条例（the EU General Data Protection Regulation，GDPR）》，全面对个人及企业信息的保护和跨境流动作出规定。由于欧盟条例在欧盟成员国自动具有法律地位，因此欧盟的个人信息保护实际上具有较高的层级和约束力。

　　另一方面，欧盟在加强对个人信息和数据隐私保护的同时，还对数据跨境流动作了区分规定，即在欧盟内部，通过身份识别方式进行数据标记和共享，以法律形式固定多功能标识符，相应针对数据处理和流动中的各方设定完善的权利和义务，并设计了较为严格的执法监督机制，从而全面有效地为数据在欧盟内部自由流动提供保障。与此同时，严格限制数据或个人信息流出欧盟或第三国，防止欧盟内的个人信息或数据外泄。

　　（一）从外部环境看，全球数字治理缺乏协同机制、规则不健全等矛盾问题显著

　　一方面，跨国跨境协同缺乏明确规则指引。数据流动的无国界特点，给数字治理的跨国家协同带来了严峻的挑战。从数据保护的角度看，各国对跨境数据流动的安全顾虑正在上升，对跨境数据流动的限制性措施也在不断增加，数据保护主义态势日趋明显，从一定程度上加剧了国际社会数字治理体系的不平等与割裂。与此同时，不同国家的数据流动差异巨大。以美国为例，数据流通范围超过全球40个国家或地区，仅一国的数据流通量就占全球总数据流量的7%，与部分不发达国家相比差异较大，表现出强烈的不对称性。此外，数字平台的不断兴起和互联网寡头的出现，加剧了各国对于数据寡头垄断和税收、安全等各方面的担忧。欧盟传统公司的有效税率为23.2%，而数字平台仅为9.5%，加剧了数据垄断的同时，也带来了数据滥用、数据泄露的隐患。数据安全问题正在成为世界各国共同关注的难题，而这一领域又恰恰缺乏有效和制度化的跨国（地区）协作。此外，数据复杂性也带来了区域规则体系缺失、治理难以形成协同规则的等难题，这需要地区间、国家间通力合作。

　　另一方面，世界各国（地区）间的“数字鸿沟”正在加深。数字化在推动国际社会不断发展的同时，也带来了新的分歧和挑战。特别是随着数字技术的不断进步，以区块链、大数据等为主要代表的数字化浪潮席卷全球，数据正日益成为重要的生产要素和战略资源，越来越深刻地影响着人类社会的生产和生活方式。然而，各国在数据储存、互联网平台、数字安全等问题上均存在不同的认识和诉求。而互联网无国界的特性又在不断加强数据跨境的需求，由此产生了数据跨境的限制与开放的矛盾与争议，特别是发达国家在产业上的优势必然会引发发展中国家的担忧，各国在网络空间和数据资源方面展开的竞争也日渐加剧。

　　（二）从内部条件看，我国缺乏跨境数据流动的基础理念

　　在破解数据流动难题的问题上，与数据技术相适应的应为更加包容开放的数据观念。反之，如果制度出于保护部门利益的目的，更强调维护部门资源和权力，那么就可能会出现“信息孤岛”，难以供给公共服务所需要的高质量数据。因此，也有学者指出，如果数据成为了稀缺资源，那么必然会引起部门间的争夺；而一旦数据成为责任承担依据时，各部门又会出现相互推诿的现象。具体而言，目前国家层面和省一级并无垂直的数据跨境管理架构，但数据跨境之前有一个重要流程，即“安全评估”。数据跨境分为两种情况，即一般数据跨境和重要数据跨境。一般数据跨境，无需经过网络安全和信息化委员会办公室（网信办）的安全评估，由向境外提供数据者与境外有关方面签订合作即可；重要数据跨境，必须经过网信办安全评估后，由各政府部门与相关主体签署数据跨境合同。企业作为数据跨境业务的主体，以腾讯、阿里巴巴、滴滴等企业为例，尽管一直有数据跨境业务，但多为“数据入境”，特别是在国家加强数据出境管理、《数据出境安全评估办法（征求意见稿）》目前处于征求意见阶段，企业数据出境处于暂停状态。在数据出境有关实施细则未出台之前，企业目前仍在“观望”。

　　从政策方面看，目前也尚未形成有关数据要素和流动的清晰明确的顶层设计。尽管2021年1月中共中央办公厅、国务院办公厅印发了《建设高标准市场体系行动方案》，明确提出要研究加快培育数据要素市场，建立数据资源产权、交易流通、跨境传输和安全等基础制度和标准规范，但有关数据流动的规则仍有待进一步探索。2022年1月，国家发改委和商务部发布《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》，再次提出要开展数据跨境传输（出境）安全管理试点，进一步将有关规则和实践探索的先行先试提上日程。为此，深圳正在探索与港澳特区政府、香港贸发局、澳门贸促局建立跨境政务平台、贸易大数据平台。

　　（三）从大湾区制度条件看，数据流动规制层面存在显著制度壁垒

　　粤港澳大湾区面临着与世界其他湾区截然不同的制度环境，例如，区内的治理实际上是要解决“一个国家、两种法律制度、三种法律体系（三个完全独立自主关税区）、四种语言”等多重障碍。而数字治理在技术上有可能会出现失真或失效，以至于引发安全威胁等诸多问题，因此叠加了数字治理后的区内制度融合，又无疑增加了其制度弥合难度。

　　以市场主体间的信息联通为例，湾区内不同地域业务不同，对市场主体的管理和登记制度也不相同，法律法规等方面存在明显差异。市场主体分类和登记程序均是如此。香港企业类型简单，仅一部《公司条例》即涵盖了企业主体的全部类型，社团组织则有其他法律渊源规范；澳门也有借鉴葡萄牙民法体系的《商业登记法典》。除此之外，粤港澳大湾区内对个人信息跨境流通的规范也并不相同。早在1996年，香港特区就制定并实施了《个人资料（私隐）条例》，就信息数据的流动和保护提供了较为全面的制度支撑。而澳门特区也在2005年颁布了《个人资料保护法》，对个人信息跨境转移的一般原则和例外情况均作了相应的规定，为规范个人信息数据的跨境转移和安全保护提供了法律依据。而深圳尽管也于2021年制定了《深圳经济特区数据条例》，但是仅此一部法律恐难以解决日益复杂的粤港澳大湾区跨境法律难题。此外，广东与香港、澳门特区在信息管理模式上的差异以及信息共享长效机制的缺乏，也制约了大湾区内的信息和数据的流动。

　　跨境数据流动涉及数据隐私和安全，不仅仅事关商事主体、个人，更多地和国家数据主权及存储机制有紧密联系，因此跨境数据流动是一个异常复杂的系统性问题。要从顶层设计、三地沟通协调互助、基础设施建设、产业互通等多个层面共同着力才能逐步解决。

　　一是，在粤港澳大湾区内地城市设立试点，通过模式创新提升静态数字治理能力，缩小与国际规则之间的差距。

　　治理模式的革新是提高治理能力的重要一环。而目前内地数字治理水平较国际先进水平还有较大差距。尤其是涉及数据权利保护、数据存储等静态问题尚且无法解决，更是难以解决数据的动态流动问题。国际上在域内数字治理方面较为先进的是新加坡。新加坡从技术、行为、组织三个层面入手，以系统化的机制探索和建设数字治理框架，着力从技术、规范和组织三个方面提升数字治理的能力，为现代政府数字治理能力提升提供了可供借鉴的思路。从目前数字技术在我国的发展来看，大数据已经在国内诸多城市得到了大范围应用，也成为了政府“放管服”改革和智慧城市建设的重要一环，数据也越来越多地在社会管理中得到应用，场景不断拓展，逐渐深入个体和政府的各项行为，同时也将越来越多的治理主体纳入到社会管理的范畴之中。

　　下一步，可在粤港澳大湾区内地城市探索数据资源共享的利益协调保障机制。第一步完全打破区内内地城市之间政府部门基于行政边界形成的信息垄断。可以跨部门、跨地域的政府政务云平台为基础，建设高效地政务大数据中心和数据共享平台，从而改变现有政府部门“各自为政”的“信息孤岛”状态，推动政务数据在政府部门间、系统间以至地域间的数据共享，从而提高政府行政效率，不断提高数字治理的可操作性和有效性。与此同时，数字治理也要积极吸纳第三方的技术与信息，形成数字治理云平台，在政府决策和城市治理中发挥支持作用。与此同时，互联网行业中的优秀人才和资源也得以通过这一渠道进入公共服务领域，真正发挥出社会治理的技术优势，提升公共服务过程中的信息处理能力和创新水平。通过技术手段和数字治理模式的广泛应用，改变过去政府单一主导的治理模式，加强社会共同参与治理的力度，也得以打破公共部门之间的数据壁垒。在此基础上，公共数据资源在满足多方面利益的同时，也能够保障数据本身的基本权益，从而实现对公共数据的有效利用。

　　二是，在内地城市建立系统完善的法律体系为粤港澳大湾区跨境数字规制提供融合基础。

　　从境外发达国家的实践来看，数据跨境流动中的主权问题和安全问题是广泛关注的焦点，但由于国际社会目前尚未形成统一的数据规制规则，跨境数据治理如何平衡流动和安全之间的关系，也是各国今后所要面临的一大挑战。

　　中国内地也需要在国内（境内）法律+政策的完整架构中重点考量完善网络和信息安全制度。目前，国家和地方层面围绕网络信息安全问题均已有立法尝试，但仍然缺乏更具体和可操作的制度安排。另一方面，应着力完善政策法规，让数据管理、使用、保护和追溯更具“法定性”和“规范化”。可在建立社会数据资产清单的基础上，推动社会共享数据库建设，并完善数据进库前的清洗、脱敏、脱密等规范化流程，形成标准化的数据资产，鼓励企业和科研机构利用相应的数据库资源开展科学研究，进一步提高数据市场化水平，实现数字治理和经济发展、技术进步间的相互促进、协同发展。

　　下一步，应在《数据安全法》的框架下创制数据跨境流动规则，明晰数据资源整合的规则，政务大数据与企业数据、网络运营商的社会数据三者的边界与使用规范等。同时，可以通过立法将现有探索成果予以固定，推动加强数据开放的力度，避免数字私有化过度和数据垄断寡头的形成。此外，还可通过部门规章、地方性立法、规范性文件等形式，界定数据资源共享的边界。具体而言，基于国家层面的《数据安全法》范式，对于跨境数据进行分层次规制。在数据流动方面，则可以《深圳经济特区数据条例》第74条“数据分级分类保护”制度为基础，进一步统筹协调相关部门，对跨境流动数据的分类目录进行细化。例如不涉及重要核心数据的可以自由流动；针对涉及范围广或是关键基础信息的，应更加审慎加以限制或者建立评估机制；而对于涉及到国家核心数据和涉及国家安全的，则要采取最为严苛的禁止性举措。这也与我国数字立法的重要性原则相符。

　　三是，抓好顶层设计，借鉴境外经验，不断完善粤港澳大湾区内数据权利保护、流通机制，进一步与国际规则对接。

　　一方面，要建立数据跨境流通规则。欧盟个人信息跨境流动的法律规制及美国相对包容的数据流动理念对我国《个人信息保护法》的实施，尤其是对《深圳经济特区数据条例》实施中的跨境问题解决有一定借鉴意义。欧盟近年来制定了多项与数字治理有关的规则，加强了对数字跨境流动和数字经济中个人权利和数字资产权利的保护。2018年欧盟对GDPR进行了较大范围的修订，增加了有关国际数据传输与流动的条件和规范，同时也对原有数据约束规则等条款作了修订，在跨境数据流动方面同样也制定了新的认证机制和标准。尽管粤港澳大湾区与欧盟这一区域国际组织相比有本质上的差异，但是考虑到大湾区同样具有高度一体化的现实需求和基础，欧盟的有关规定在一定范围内对粤港澳大湾区仍具有借鉴意义。下一步，可在大湾区内通过数据业务的互联互通以及监管互认等方式开展试点探索，特别是离岸数据交易平台、数据跨境流通环境和监管沙盒等创新机制，都能够为建设符合国际标准的大湾区数据流通环境提供有力支持。

　　另一方面，为进一步对接港澳和国际通行规则，内地应完善现有隐私保护权益补偿机制。如前述，我国目前的法律体系重数据安全而较多忽略数据流通实践，因此，往往存在地方实践与上位法规则相悖情形。因此，应在粤港澳大湾区内地城市率先实践，避免数据合规成本过高影响数据要素流通和资源配置，同时鼓励企业加大投入，特别是在数据安全方面的投入，能够有效加强数据流动的安全保障。

　　四是，在粤港澳大湾区内部积极协调，借鉴香港较为先进细化的制度体系，进一步完善互助体系。粤港澳大湾区由于其特殊性，客观上导致在涉及到数据跨境流动问题时，依靠顶层设计从体制机制上做系统性改善固然重要，但在此之外还应探索建立专门协调机制，专司数据流动中的重点问题。例如，数据权属按照性质至少可区分为财产权和人身权两类，而在我国法律体系中，对于两类权属的确认和保护是完全不同的。数据权利应如何划分，在实践中应如何保护？同一类别的权利应如何划分其归属，其主体享有的仅仅是处分权还是收益权等，实践中湾区内都有不同的处理方式。这无疑大大增加了数据流动的难度。因此，未来三地可建立粤港澳大湾区数据平台及数字经济理事会，前者主要是协助建立湾区内统一的数据分类审核制度，规范对流动性数据要素的审核要求及监管标准。例如，可根据跨境数据的来源和重要程度的不同，将其分门别类予以管理，针对来自个人、企业等不同类别的数据，设定不同的审核标准和监管门槛，同时进一步强化数据的安全保障。

　　理事会则是一个议事和协调机构，处理较为紧急棘手的问题，可以大大提升工作效率，避免因规则衔接问题导致融合工作无法推进。此外，理事会还可以下设专业部门，对理事会负责，由专业人士负责监督三地商事主体数据权利的行使是否规范，是否有垄断行为；技术部门也可以从技术层面设置更为便捷的流通渠道。具体而言，一方面，理事会可针对涉及国家安全和公共利益的数据产权的区内流动注重管理和规制，这是理事会的日常工作之一。因此，可以对“个人数据”“企业数据”等不同的数据性质和类型做出清晰明确的区分。以西方国家为例，其对于作为整体的国家数据保护也非常重视。例如，美国虽然主张数据跨境流动，但在制度设计上也同样注重对本土数据的保护和限制。2021年6月，美国国防部发布《美国本土外云计算战略》（OCONUS），强调对美国数据流向或储存在境外的限制和管理主权。与此同时，在《澄清海外合法使用数据法》（CLOUD）中还同样规定了美国对境外企业“长臂管辖”的权利。

　　另一方面，理事会应主导发挥好粤港澳大湾区内几个节点城市的核心引擎作用，促成节点城市率先在数据流通、信息共享、行政执法安排等领域不断畅通机制，推动更高水平数字治理规则实施。建议以深圳前海先行示范区为依托，积极探索与香港特区、澳门特区在数据跨境领域的沟通，推动建设多方共认的监管协作框架，积极探索推行适用国际通行的监管指南和标准，推动数据跨境自由流动。而对于获得粤港澳大湾区内各区域认可的企业或机构间的数据流动，可比照白名单或负面清单机制，除禁止跨境流动的数据外，均可以跨境流动。

　　五是，粤港澳大湾区未来应致力于为我国构建数字治理“人类命运共同体”提供更多路径。

　　从目前世界各国跨境数据的流动看，世界范围内的数据流动并不充分，国家或地区间的数据流动还存在冲突和不平衡，严重影响了数据要素的生产价值和意义。同时，数字治理领域的边境后规则也日益演变为国际规则的重要组成部分，各国对于跨境数据流动的安全顾虑日益上升，限制性政策不断增多；在跨境数据流动方面也并不对等，数据流入国绝大多数为发达国家，而发展中国家和不发达国家的数据权利难以保障，国际社会尚无行之有效的规范和手段，全球治理面临着新的挑战。

　　作为我国互联网行业发展的前沿和先锋阵地，粤港澳大湾区互联网行业集聚效应明显，数字产业发展迅速，拥有国内最为完善的数字产业集群，在全球范围内均具有突出的影响力。以粤港澳大湾区作为数字经济的先行阵地，努力在国际规则的制定中抢占先机，不仅有利于提高我国在数据跨境中的国际话语权，同时也有利于为我国构建数字治理“人类命运共同体”提供更多路径。一方面，在当前的国际竞争格局和国际形势中，“中国制造”向“中国智造”转型的需求日渐迫切，数字技术的研发和领先优势也是中国参与全球数字治理中的重大挑战。目前，在部分核心技术上我国科研、开发仍然严重依赖境外发达国家，这也是全球数字治理话语权较弱的重要原因之一。通过粤港澳大湾区这一数字产业和网络技术的先行示范，有助于我国发挥产业链优势，集中突破关键技术。另一方面，国际社会的数字治理重点关注数字时代发展与安全问题，实际上需要各国以求同存异的态度处理分歧、化解矛盾，同时保持兼容并包的开放心态，消弭冲突、促进合作，才能够共同应对数字时代新治理模式带来的全新机遇和挑战。为此，粤港澳大湾区的先行探索也能够为我国充分发挥负责任大国作用提供有力的产业和技术支持，通过积极推动在联合国框架下设立数字稳定委员会来组织协调全球大型数字参与者，以应对数字技术引起的全球复杂政策问题。

　　具体而言，可以粤港澳大湾区为基础，在积极探索湾区内数据跨境流动规则的基础上，积极参与国际社会数据跨境规则制定进程，特别是积极发挥亚洲基础设施开发银行和“一带一路”倡议的优势，逐步加强我国在国际规则制定领域的话语权。此外，还可进一步在区域组织或沟通平台中积极宣传我国数字立场，不断加强数字治理领域的国际影响力。同时，在现有国际组织的框架下，可积极与联合国、OECD等数据保护和流动的国际标准及框架对接，并不断提高在国际标准制定中的参与度。以粤港澳大湾区为先行探索依托，积极探索与部分国家或地区的数据监管框架相协调，在粤港澳大湾区内率先探索与国际规则和标准的对接，并逐渐扩大相应监管框架的国际影响力。这也是我国坚持多边主义和建设人类命运共同体的要求。与此同时，以RCEP和CPTPP为契机，逐步推动发达国家与发展中国家多元共治的新格局，推动国际社会就数字治理领域的关键问题达成一致或新的国际共识，从而为构建数字治理“人类命运共同体”提供更多路径。

　　基金项目：深圳市哲学社会科学规划2022年度课题“粤港澳大湾区跨境数据流动问题研究”（SZ2022C004）