摘 要:如何将国家制度规范转换为地方治理路径,是深化数据跨境流动治理亟待解决的关键问题。基于“技术-制度-组织”分析框架,对上海临港、粤港澳大湾区开展案例分析,深入挖掘数据跨境流动地方治理的路径转换与结构逻辑。研究发现:第一,随着国家治理框架的逐步完善,地方治理经历了制度应对、技术牵引、技术制度协同的路径演进阶段;第二,理论上,地方治理应迈向系统耦合阶段,但实践中还面临技术嵌入力、制度适配力、组织统筹力不足的挑战;第三,推进数据跨境流动地方治理系统耦合的路径在于,技术应承载规则并服务过程,制度须强化适配与细化逻辑,组织则须统筹资源实现高效运转,共同构建一个开放、包容、弹性、可持续的地方治理体系。
关键词:数据跨境流动;数据治理;数据要素;数据安全;地方治理
DOI:10.16582/j.cnki.dzzw.2026.01.003
一、引言
在数字技术加速演进与全球数据价值重构的背景下,数据跨境流动已成为世界主要国家数字战略的重要考量,其既关乎全球数据资源配置效率,也关联国家主权、安全边界与制度合法性。党的二十届三中全会明确提出,“建立高效便利安全的数据跨境流动机制”。当前,以美国、欧盟、中国为代表的主要经济体分别构建起市场驱动、权利保护、安全导向的数据跨境流动治理路径,不仅反映出治理理念与法律逻辑的深层差异,也体现了不同国家在技术能力、制度环境与组织配置方面的系统性分野。[1]美国实行行业细分监管,依托市场自律机制和混合治理工具,强化国际规则制定权,推动数据跨境自由流动;欧盟采用了全域统一监管架构,以强数据主权为核心,通过《通用数据保护条例》(GDPR)构建防御与利用并重的治理路径,主导区域数据合作;中国实施主权立法框架,强化重点行业数据本地化监管和重要数据出境安全评估制度,以国家安全为导向建立防御性治理体系,努力参与多边数据治理机制。经济体间治理路径的分化不仅反映了不同政治经济体制的价值取向,更揭示了数据主权与全球化的深层张力。
作为数字技术后发国家与超大规模经济体,中国面临技术依赖与自主创新的矛盾、数据安全与跨境贸易的平衡需求、国际规则参与能力与制度话语权的落差。[2]此背景下形成的中国数据跨境流动治理路径在战略调控、制度设计与政策实施等层面不断地进行实践创新。[3]当前的数据跨境流动治理以《网络安全法》《数据安全法》《个人信息保护法》为核心,构建形成数据出境安全评估、个人信息跨境传输标准合同、个人信息保护认证等三大数据跨境流动合规路径,实现数据跨境流动中数据主权、隐私保护、可控流动的价值平衡。
虽然国家层面的治理架构已基本成型,但由于相关制度执行在地方层面还未形成明确的标准,仍面临一些亟待解决的治理问题。例如,对于重要数据出境,需要进行数据安全评估,但目前仍缺乏清晰界定和明确标准,由此严重影响企业对安全评估的预判与准备,显著增加了企业的合规成本。为使制度顶层设计与地方执行有效衔接起来,中央也赋予自贸试验区等区域制度创新权,鼓励地方探索基于区域自身基础和需求的数据跨境流动治理路径,以进一步提升中国数据跨境流动治理的协同性、响应性与执行效能。那么,当前中国数据跨境流动的地方治理路径呈现怎样的发展规律与特征?还面临哪些治理挑战以及如何突破治理挑战?对于这些问题的研究,有助于优化中国数据跨境流动地方治理。本文拟基于“技术-制度-组织”(Technology-Institution-Organization,简称TIO)分析框架,选取上海临港、粤港澳大湾区两个案例,系统分析地方数据跨境流动治理中的技术支持方式、制度设计逻辑与组织协同机制,进而提炼地方在TIO框架下的治理路径,以回答一个核心命题,在发展与安全的张力以及中央与地方的互动中,如何以技术机制、制度体系与组织网络共同推动中国数据跨境流动治理能力现代化?
二、数据跨境流动治理的研究综述
数据跨境流动治理涉及国家安全、数据主权等战略考量,因此,治理实践一般始于国家层面,现有文献也主要聚焦于数据跨境流动的国家治理及国际比较。关于如何治理数据跨境流动,全球并没有达成共识。[4]根据美国、欧盟、中国、俄罗斯等典型经济体的治理实践,主要有限制型、开放型、有条件开放型等治理模式。[5-7]孔文豪和陈玲的研究表明,各国在数据跨境流动治理模式上的差异性不仅取决于法律传统与制度资源,还受到数字经济发展水平、国家能力结构与网络安全状况等因素的深刻影响,反映出当前全球治理格局的高度碎片化与多样性。[8]
就针对中国的研究而言,学者们从公共管理、法学、经济学等学科视角,研究了国家治理的框架、路径、工具、国际竞争与合作等议题。[2,9-11]随着宏观制度体系的完善,中央逐步授权地方探索数据跨境流动治理的路径,推动国家制度与地方治理的有效衔接。自贸区是数据跨境流动地方治理的试验田,周念利和姚亭亭分析了自贸区推进数据跨境流动的现状、难点及对策。[12]也有文献研究了上海、粤港澳大湾区、海南等地如何推进数据跨境流动治理。[3.13.14]目前,关于数据跨境流动地方治理的文献还比较少,研究关注度待提升。同时,由于国家制度体系是一个逐步完善的过程,因此,地方治理路径并非一蹴而就,而是与国家制度呈现阶段性演进特征。然而,现有文献缺乏对地方治理路径的动态性思考,也缺乏一个整体性分析框架来透视性地分析地方治理路径。
无论是国家治理的研究,还是地方治理研究,现有文献主要从制度或技术的视角展开。从制度视角来看,“硬法规则”与“软法例外条款”的协同,是实现跨境数据流动规制中灵活性与权威性动态平衡的系统性重构内核。[15]Kuner从跨境传输机制的法律逻辑出发,系统梳理了“充分性认定、标准合同、企业约束规则”三类工具所构成的制度组合。[16]Zhang和Chen构建了“政府引导、企业推动和公众参与”的三维互动框架,进而提出了加强数据跨境流动安全的协调治理体系。[17]也有学者强调传统的静态规则较难满足跨境活动的复杂需求,需要设计动态机制以提升治理韧性。[18]同时,技术在数据跨境流动治理中的作用也受到越来越多关注,其在事实上构成了治理结构本身。正如DeNardis所强调的,掌握底层协议与技术入口,实则是掌握了对数据流通路径与制度边界的结构性控制权。[19]杨慧妍指出,企业在履行出境义务时日益依赖内嵌在系统中的合规工具,“治理工具化”趋势有助于缓解监管与市场之间的结构性张力。[20]
数字时代的公共治理需要将技术、制度与组织统合起来考虑[21],但现有数据跨境流动治理的研究较少将技术部署、制度创新与组织整合结合起来讨论治理路径,尤其是地方治理路径,也忽视了制度规范如何嵌入地方治理情境、技术路径并转译为治理能力,以及组织体系在三者之间的桥梁作用。因此,本文拟基于“技术-制度-组织”的分析框架,尝试构建一套可解释、可比较、可追踪的数据跨境流动地方治理路径分析框架,以探索地方治理的未来进路。
三、数据跨境流动地方治理的国家制度背景
(一)中国数据跨境流动治理路径演进
2005年至今,中国跨境数据流动治理历经了部门条例探索、法律体系建构、规范促进的路径演进阶段,呈现出从分散探索到体系化建构、从安全优先到发展与安全并重的治理路径特征转变,形成了具有中国特色的数据跨境流动治理体系。
⒈部门条例探索阶段(2005—2016年)
2005年《个人信息保护法(专家意见稿)》首次尝试提出“信息安全评估、充分性认定豁免、跨国公司内部传输豁免”的数据跨境流动治理思路,但立法进程一度被搁置。立法上的滞后导致国家相关部委出于上位法不确定性下的风险规避,采用行政立法和部门规章的形式严格监管数据跨境。可以说,中国跨境数据治理始于部门规章主导的分散化监管架构。2006年实施的《电子银行业务管理办法》,在金融数据领域提出了数据本地存储要求,率先奠定了中国数据本地化的基调。2013年,工业和信息化部出台《信息安全技术公共及商用服务信息系统个人信息保护指南》,奠定了中国数据出境管控从严的基调。在该阶段,中国形成了以国家安全为核心、行业分割为特征的治理范式,虽强化了数据主权控制,但存在立法层级低、监管碎片化等问题。
⒉法律体系建构阶段(2017—2023年)
从2017年到2023年,中国基本建立起了“3+3”的数据跨境流动治理体系,治理导向从“严格限制”转向“安全可控流动”,实现从行政管控向法治化治理的跃升。2017—2021年,相继实施了《网络安全法》《数据安全法》《个人信息保护法》,在法律层面提出了数据本地化存储、数据分类分级保护、个人信息出境路径等治理思路,构成了中国数据跨境流动治理的基本法律框架。2022—2023年,国家互联网信息办公室出台了《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息保护认证实施规则》,进一步细化和落实上述三个法律提出的数据出境路径。《数据出境安全评估办法》明确了需要进行数据出境安全评估的场景,《个人信息出境标准合同办法》与《数据出境安全评估办法》互为补充,为“非关键、小规模”的个人信息出境提供了规范。
⒊规范促进阶段(2024年至今)
法律体系建构阶段虽为数据跨境流动奠定了治理的法律基础,但由于国家安全优先的原则,在实践中仍存在显著的实施阻碍。突出问题在于监管方的行政资源与技术能力紧张,以及被监管方(尤其是外贸企业)的合规成本激增。鉴于此,2024年3月,国家互联网信息办公室出台了《促进与规范数据跨境数据流动的规定》,“促进”在“规范”的前面,标志着数据跨境流动治理进入“促进优先”的新阶段,凸显了对数据流动经济价值的重视。该规定调整优化了数据出境制度,主要体现为:第一,明确了非重要数据和特定场景的豁免条件,如国际贸易、学术合作等,降低了企业合规负担;第二,赋予了自贸试验区制定数据跨境流动负面清单的权限;第三,延长安全评估有效期,进一步明确和放宽安全评估情形。该阶段开启了数据跨境流动治理新范式,体现了发展与安全动态平衡的治理智慧,兼顾了主权维护与数字经济全球化的制度需求。
(二)中国数据跨境流动治理框架
经过三个阶段治理路径的演进,我国构建形成国家层面的数据跨境流动治理框架(参见图1)。治理框架以国家安全为根本、数据主权为基石、价值释放为导向,强调“原则-制度-实践”联动、“技术-组织-机制”协同、“中央-地方”“国内-国际”衔接。治理通过“自上而下”的顶层设计确立统一制度框架与合规基准,提升治理的制度一致性,同时依托“自下而上”的试点与市场反馈动态优化机制,提升治理体系的灵活性与适应性。在制度构建中,不断吸纳数字贸易国际规则中的关键要素,增强国际化制度供给能力,力图构建兼具本土特性与国际兼容性的规则体系。制度效能的提升依赖技术赋能与组织创新的嵌入,一方面构建有效调和安全与效率矛盾的技术体系,另一方面通过建立跨部门合作机制、政企协同机制、专家评估机制等,形成治理多节点、多层级的响应网络,使组织成为技术与制度的整合者,放大数据跨境流动治理的效应。
四、数据跨境流动地方治理路径分析框架
(一)“技术-制度-组织”框架
技术、制度与组织是推动公共治理的基本要素[22],具有通用性技术特征的数字技术会嵌入制度与组织中,使三者的调适和变革同步进行[23]。因此,对于数字时代公共治理的研究,需要将技术、制度与组织纳入分析范畴。[21]已有文献通过构建“技术-制度-组织”的分析框架,研究了数字治理相关的议题。[21-24]在欧洲、北美及亚洲部分国家的数字治理体系中,同样可以观察到技术、制度与组织的不同组合模式。[25,26]理论和实践均展现了TIO分析框架在数字治理研究中的适用性。
TIO框架将数字公共治理理解为一个由三大核心要素协同驱动的治理系统。技术不仅决定了治理的物理可达性与处理能力,同时也深刻地塑造了规则实施的边界与弹性[27];制度作为治理的规范基础,设定了治理体系的权威性与可操作性,是协调安全与效率的关键机制[28];组织是将制度规则有效嵌入技术系统的载体,可以体现多元治理主体间的协同能力[29]。在TIO框架下,技术、制度与组织构成了数字公共治理的基本解释单元,揭示了不同治理阶段要素间的非对称性,从而较为系统地呈现复杂治理体系的动态演化轨迹。因此,结合图1国家层面的治理框架,TIO分析框架可为数据跨境流动地方治理路径研究提供理论启示。
(二)数据跨境流动治理情境下的框架适用性
在数据跨境流动面临安全性、主权性与合法性多重挑战的背景下,治理路径正经历从单一的法制导向逐步迈向多元路径协同新阶段的转变。根本动因在于,仅依靠单一的制度分析视角,难以充分解释数据跨境流动治理实践中的政府角色演变与路径演化。因此,要深入理解数据跨境流动治理的系统性演化,必须超越静态的规则分析,转向探究支撑治理体系的结构性框架及其内在运行逻辑。在数据跨境流动地方治理的情境中,TIO框架中的技术包含数据分类分级、安全审查、加密脱敏、可信计算、数据沙箱等技术能力与工具;制度涵盖国家层面的法律规制、部门规范性文件以及地方细化执行标准,构成政策执行的法理边界与行为准则;组织是连接技术与制度的治理中介,包含地方政府的数据治理职能划分、跨部门协调网络、平台化运行机制等,是政策落地的执行基础与协同载体。TIO框架能够系统刻画数据跨境流动地方治理中三大核心要素的结构张力与协同机制,具有良好的适用性与实践转化潜力。
第一,技术是嵌入数据跨境流动治理过程中的信息与算法基础设施,其作用不仅体现在对数据采集、处理、加密、共享与跨境传输等流程的支持能力,还体现在规则内嵌、权限分配与行为约束中的治理嵌合性[2]。技术作为具备治理意图的“制度化媒介”,同时具有工具属性与规制属性,是技术规制逻辑的重要体现。TIO框架突出技术并非中性工具,而是具有治理意图嵌入能力的制度化组件。以可信计算、联邦学习、多方安全计算为例,其技术特征不仅满足了合规性要求,更体现了数据权属控制、风险溯源与行为透明化的治理要求。[30]技术成为制度执行的基础性工具,能够显著提升治理流程的智能化、自动化与穿透性。对此,TIO框架提供了理解技术工具与制度、组织协同关系的理论逻辑,即技术通过被组织吸收与制度嵌套,演化为具备治理效能的执行装置。
第二,制度是构成数据跨境流动治理合法性基础的多层级规范体系,涵盖从国家主权导向的法律法规,到地方适应性政策指引、行业标准与软性准则。制度不仅划定了数据跨境的规则边界与风险预期,更在治理系统中发挥权威确认、冲突协调与预期稳定的功能,构建起政策执行的法理基础与合规正当性。[31]TIO框架强调治理规则的柔性适配与层级联动。传统的数据规制多以国家主权为中心展开,然而在数字经济背景下,数据的分布性、流动性与不可逆特征,要求规制具备更强的响应性与差异化能力。TIO结构下的制度安排不仅包括硬性规制,还涵盖软性规范、行业标准、场景指南与例外机制。例如,在制度响应层面,可以通过监管沙盒、告知承诺、负面清单等机制引导企业合规创新,避免“一刀切”式监管所带来的阻碍。这种刚性与柔性协同的制度架构,能够在保障国家数据主权的前提下实现数据流通效率的提升。
第三,组织是承担数据跨境流动治理职能的各类行为体,涵盖地方政府部门、数据管理专责机构、行业协会、企业等。组织不仅是制度规则的执行者,还是嵌合技术与制度的桥梁,其治理能力体现在职能配置、资源整合、跨层协同与风险反馈中。组织维度决定了制度嵌入技术系统的路径结构,也是治理系统能动性与适应性的具体体现。TIO框架在主体协同层面能够弥合多元治理主体之间的认知与能力差异。数据跨境流动治理的复杂性源于监管主体多元、风险类型多样、合规标准多层。在缺乏统一规制执行框架的情境下,地方政府需通过纵向统筹与横向协作来实现有效治理。[32]TIO框架所强调的组织能力,不仅是政策执行力,更体现为促进跨主体协作的机制构建能力。如在数据跨境流动服务过程中,不同政府部门与平台企业、行业协会之间开展互动,通过组织协调机制形成规则协同与责任共担。这种多元主体结构是实现风险评估、合规审查、事后追责等功能闭环的关键基础。
五、数据跨境流动的地方治理案例
为探究数据跨境流动地方治理中技术、制度、组织的深层互动和结构转变逻辑,本文选择上海临港、粤港澳大湾区的治理实践展开案例研究。
(一)案例选择的代表性
上海、粤港澳大湾区对外开放程度高,外资企业集聚发展,本土企业海外拓展加快,数据跨境流动需求大。因此,在中央的改革授权下,这两个地区在数据跨境流动治理上具有先行示范效应。就上海而言,临港作为长三角一体化发展战略和上海建设国际科技创新中心的重要基地,在扩大高水平制度型开放方面先行先试,是上海推动数据跨境流动的“制度试验田”与“服务枢纽”。大湾区的治理是以广州南沙、珠海横琴、深圳前海与河套四个区域为主阵地展开。如2024年深圳数据跨境交易额达3.12亿元,位居全国第一,能够较为全面地呈现技术、制度与组织的互动关系。选择上海临港、粤港澳大湾区的实践作为案例,有助于更好地分析数据跨境流动地方治理的路径演变,明确下一步优化的方向。
总体而言,上海临港的治理实践要稍快于大湾区,本文依然选择将大湾区纳入案例分析范畴的原因在于,大湾区数据跨境流动不仅包括内地数据到港澳,也包括港澳数据入内地,涉及境内外数据跨境流动的规则衔接和机制对接,这使得大湾区内部的数据跨境挑战与国际数据流动问题性质相似,对其数据跨境流动治理路径的探索有助于中国更好地与国际数据治理规则衔接。应该说,通过对上海临港、粤港澳大湾区的案例分析,可以探索如何在地方层面推动数据要素国际国内的双循环。
(二)案例描述
⒈上海临港的治理实践
2019年8月临港挂牌成立,并启动国际数据港建设规划,探索建立健全数据资源交易流通、跨境传输、安全保护等制度和标准规范。临港推动数据跨境流动初期面临强制度约束。在2017年6月实施的《网络安全法》中,第37条提出了个人信息和重要数据出境安全评估制度。然而,如何开展数据出境安全评估,并未形成明确的操作指引,因为当时《数据出境安全评估办法》等指引性文件并未实施。在没有数据出境安全评估框架指导原则的情况下,如何既能遵守上位法的强制要求,又能满足企业数据跨境流动的强烈需求,是临港制度应对的重要挑战。2020年8月由上海联和投资、上海信息投资和临港科技城等重要国有企业联合组建的上海临港新片区跨境数据科技有限公司(以下简称“跨境数科”)是推动临港数据跨境流动的重要组织机构。为了规避制度上的风险,临港数据处和跨境数科开始探索低风险跨境流动数据目录,进入目录的数据可不必进行安全评估,但这一构想当时未能进入实施阶段,也将重要数据的跨境流动暂且搁置。
临港的数据跨境流动治理重点以技术治理为牵引,为后续数据跨境流动奠定了坚实的技术基础。2021年5月,国际互联网数据专用通道在临港开通,有效改善了企业用户的国际互联网访问质量和体验。2021年12月,国家(上海)新型互联网交换中心在临港新片区揭牌并正式启动运营,通过与国际互联网数据专用通道等数据基础设施融合互通,可以探索更多的互联创新业务,发挥好临港作为国内国际两个市场重要衔接点的作用。在建设数据基础设施的基础上,跨境数科作为临港国际数据港建设的核心运营主体,推动5个功能平台的建设,形成了数据跨境流动治理的技术支撑体系(参见表1)。此外,2021年11月出台的《上海市数据条例》明确赋予了临港探索制定低风险跨境流动数据目录的权限,强化了数据跨境流动治理的法治保障,但由于具体的制度安排还处于探索阶段,数据出境清单一直没有公布。后续一旦相关制度能够落地,将与建成的技术平台形成协同效应,有效推动临港数据跨境流动治理。
自2022年以来,《数据出境安全评估办法》《个人信息出境标准合同办法》《促进与规范数据跨境数据流动的规定》等国家文件的出台,逐渐明晰了数据跨境流动的标准和流程,临港也不断完善自身的政策体系。2024年1月,临港发布《数据跨境流动分类分级管理办法(试行)》,将跨境数据分为核心数据、重要数据、一般数据,核心数据禁止跨境,重要数据出境须申报数据出境安全评估,一般数据登记备案后自由流动,并于5月公布首批涉及智能网联汽车、公募基金、生物医药三个领域的一般数据清单。该管理办法试行一年之后,2025年2月临港发布《数据出境负面清单管理办法(试行)》,同步公布金融(再保险)、航运(国际航运)和商贸(零售与餐饮业、住宿业)三个领域负面清单。负面清单外的数据可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,临港数据跨境流动治理从“正面清单”转向“负面清单”,重塑了数据要素市场化配置的基础规则。在制度体系逐渐成形的基础上,临港于2024年4月启用了全国首个由网信部门和地方政府共建的数据跨境服务中心,为企业提供全流程数据跨境服务。数据跨境服务中心与表1中的功能平台联动起来,可助力临港构建强大的技术与服务能力,实现制度规则嵌入审查流程与执行逻辑,不仅承接政府制定的合规任务,也通过企业需求反馈实际使用问题,推动制度优化与流程再造,实现平台、规则、治理的联动。
当前,临港形成了数据跨境流动治理路径框架(参见图2)。在组织层面,临港管委会下设制度创新和风险防范处、数据处,制度创新和风险防范处负责制度创新、专项政策研究等工作,数据处负责建设国际数据港、数据跨境流动先行先试等工作。同时,以上两个单位还与国际数据港专班联动指导跨境数科的具体工作,代表政府实体化运作。在制度层面,在中央的顶层制度设计和改革授权下,临港经历了从正面清单向负面清单的制度治理路径转换。临港以场景化的方式制定清单,以满足企业数据跨境流动的实际需求,并积极与国家主管部门沟通,引入代表性企业参与清单编制,构建了制度变革中的多元协同机制。数据跨境服务中心是临港制度实施的载体,是数据跨境流动治理中技术、制度与组织综合作用的体现。在技术层面,临港在推动高能级数据基础设施建设的基础上,由跨境数科负责建设五大功能性平台,有效支撑了制度的实施。为了更好地推进功能平台建设,跨境数科进一步深化与研发机构、科技企业等的合作,共建联合实验室、跨境数据流通技术标准创新基地等创新平台。整体而言,临港通过组织统筹、制度赋权、技术赋能,构建起了“事前评估备案、事中备份存证、事后抽查核验”的全流程数据跨境流动治理路径,探索了一批数据跨境便捷流通场景。
⒉粤港澳大湾区的治理实践
随着粤港澳三地经济社会合作向纵深推进,三地间数据跨境流动需求日益强烈。为此,2019年2月发布的《粤港澳大湾区发展规划纲要》明确大湾区要探索人才、资本、信息等要素跨境流动政策。然而,新冠疫情使得大湾区未有实质性的动作,主要是推动健康码的互认。2021年7月,《广东省数据要素市场化配置改革行动方案》印发,支持广州南沙、珠海横琴探索建立“数据海关”,开展跨境数据流通的审查、评估、监管等工作。然而,由于这只是广东单方面的政策,实际上较难推动大湾区数据有序流通。2021年9月中央出台的《横琴粤澳深度合作区建设总体方案》开启了大湾区数据跨境流动的新篇章,该方案明确在国家数据跨境传输安全管理制度框架下,横琴可以开展数据跨境传输安全管理试点,并重点聚焦粤澳科学研究数据跨境互联互通。2022年6月国务院印发的《广州南沙深化面向世界的粤港澳全面合作总体方案》提出加快建设南沙(粤港澳)数据服务试验区,主要任务是促进大湾区数据跨境流动便利化。此外,2022年1月国家发展改革委、商务部发布的《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》也授予深圳开展数据跨境传输(出境)安全管理试点权限。在中央的授权下,粤港澳大湾区开始探索地方层面如何在制度上有效应对国家关于数据跨境流动的规制。
得到中央的改革授权后,试点区域陆续上线了数据跨境验证平台,2022年3月横琴上线了粤澳跨境数据验证平台,2023年12月南沙启用粤港澳大湾区数据保护和数据跨境服务平台,2024年5月深圳前海上线深港跨境数据验证平台,旨在通过技术手段助力粤港澳数据跨境流动。深圳数据交易所也通过技术赋能,在2022年5月落地国内首单场内跨境数据交易。更为重要的是,深圳数据交易所探索了境外数据入境的交易机制,为内地企业应用境外数据提供范例及数据源。2023—2024年,虽然国家互联网信息办公室分别与香港、澳门签署了《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,明确大湾区内个人信息处理者可以标准合同、认证方式开展个人信息跨境处理活动,但由于三地法律规制差异大,限制了相关数据跨境平台功能的充分发挥。例如,内地强调数据本地化与安全评估,澳门借鉴GDPR赋予数据删除等扩展性权利。这就导致各地前期的数据跨境验证平台主要应用于金融领域,应用场景较为狭窄。总体而言,此时广东各试验点以技术平台为抓手,初步实现大湾区数据跨境流动治理工具的落地部署,但三地法域差异导致规则衔接滞后,治理结构仍面临不确定性与制度摩擦。
自2025年以来,横琴建设粤澳医疗可信数据空间、澳门(横琴)国际数据中心、数据跨境服务中心与大模型合规指导中心等一批技术和服务平台,前海也在着力推进建设深港数据中心、前海医疗跨境数据空间、企业出海数据跨境合规服务平台,将粤港澳规则衔接内嵌于技术体系中,以更好地服务三地有关企业、机构和个人的数据双向跨境流通需求,推动数据跨境流动从“单点突破”迈向“系统协作”。例如,澳门科技大学已建立起技术、制度与组织的协同保障体系,实现了科研数据跨境流动与合规管理之间的平衡(参见图3);经过深港的规则衔接,2025年2月香港理工大学通过深港跨境数据验证平台,实现内地学生学历快速核验,平台应用场景从金融拓展至教育。广州、珠海更是出台“数据条例”,通过立法的形式,在技术、制度与组织层面保障两地数据跨境流动治理。虽然粤港澳大湾区数据出境的“负面清单”制度较上海滞后,但广州、深圳、珠海2025年上半年出台的相关法律和政策均明确,试点区域要加快实施数据跨境流动“负面清单”制度,这将降低企业数据出境的政策不确定性和模糊性。此外,2025年7月,“国际跨境可信数据空间-澳琴站”“国际跨境可信数据空间-深港站”相继成立,将有助于推动大湾区内地数据规则与国际接轨。
粤港澳大湾区数据跨境流动治理涉及粤港澳三地数据的双向流动,不单是数据出境,也需要推进粤港澳在数据跨境方面的制度衔接,因此,在组织机制上,由国家互联网信息办公室与港澳有关部门推动制度衔接。在具体的制度执行上,主要由横琴、南沙、前海与河套在省市有关政府部门的指导下推动数据跨境流动及制度改革创新,并负责涵盖数据基础设施、功能性平台、国际合作平台等的技术体系构建。此外,深圳数据交易所、下一代互联网国家工程中心、澳门科技大学、香港中大数据有限公司、南方财经全媒体集团等企业与研究机构也参与到了试点区域的制度实践和技术研发,形成政企研协同合作的组织格局(参见图4)。
六、案例分析
(一)地方治理路径的阶段演进
基于上海临港与粤港澳大湾区的治理实践,研究发现,在国家治理架构、地方发展需求与治理能力建设的互动中,数据跨境流动的地方治理路径呈现出阶段性特征。目前,地方治理经历了从制度应对到技术牵引,再到技术制度协同的路径跃迁。
⒈制度应对阶段
该阶段技术、制度与组织之间呈现“制度高压-技术滞后-组织弱化”的治理结构,强调数据主权、安全底线和国家控制逻辑,制度的强约束并未形成内生的技术吸收机制,组织层面更多采取形式化应对路径,整体呈现“低水平、低协同、低适应”的治理特征[33]。临港2019—2020年、粤港澳大湾区2019—2022年处于制度应对阶段。在这一阶段,临港为规避重要数据出境须安全评估的制度压力,转向探索低风险数据出境的制度路径,并成立跨境数科来负责具体工作;大湾区由于涉及“一国两制”下的制度衔接,制度建设稍显滞后,主要是通过中央授权的方式,在珠海横琴、广州南沙、深圳等区域展开试点,探索在国家数据跨境流动制度框架下,如何实现内地与港澳的双向数据跨境流动。
⒉技术牵引阶段
技术、制度与组织在此阶段的互动模式可概括为“技术牵引-制度滞后-组织依附”。虽然技术具备一定执行能力,但因缺少制度指引与组织机制支撑,治理仍停留在探索性或示范性阶段,治理结构呈现“强执行弱规范”的结构张力[34]。临港2021—2023年、大湾区2022—2024年处于技术牵引阶段。在获得中央的制度改革授权后,临港、大湾区的试点区域都加快借助新兴工具满足合规压力和营造数据跨境流通环境,可信计算、多方安全计算、差分隐私、数据沙箱等关键技术工具在此阶段率先部署,部分领域甚至具备了较强的本地技术创新能力[35]。然而,地方层面缺乏具体适配性规范与审查标准,导致技术部署在制度配套不充分的背景下存在“合法性不确定”“责任分散”等执行空白。同时,公共治理部门尚未发挥主导功能,组织目标主要依附于技术平台建设。
⒊技术制度协同阶段
在该阶段,TIO框架要素开始出现有机协同,治理路径特征表现为“技术赋能-制度赋权-组织统筹”,地方政策实践亦具备较强的再造能力[36],地方政府开始具备技术选择能力、制度适配能力与组织调度能力,治理形态由被动合规走向主动治理,能够完成合规前置、风险闭环控制与责任链条追踪等治理功能。临港、大湾区分别于2024年、2025年进入技术制度协同阶段。随着国家层面制度供给的系统发展,临港、大湾区开始探索将这些政策法规要求落地转译为流程规范、评估模型、风险控制体系等,突出数据分类分级管理、“负面清单”制度建设、平台标准化和场景化建设。技术能力和制度供给之间形成交互协同的关系,技术工具不再是单纯应对工具,而是内嵌于制度流程之中,为制度执行提供标准与流程支撑。组织层面则出现治理结构的再设计,强化央地协同、部门协同、政企协同。
⒋治理的下一步:系统耦合阶段
虽然数据跨境流动地方治理已经进入技术制度协同阶段,但治理还未实现技术、制度与组织的深度耦合,治理效能仍有进一步提升的空间。根据地方治理的实践,以及技术、制度与组织之间的主导关系与协同程度,可将数据跨境流动地方治理路径划分为四个阶段:制度应对阶段、技术牵引阶段、技术制度协同阶段、系统耦合阶段(参见图5),当前地方治理尚未迈进系统耦合阶段。
系统耦合阶段是TIO框架三要素间形成高频互动与协同运行的态势,构建起数据跨境流动治理的系统型结构。作为一种前瞻性的治理目标,在该阶段,技术层面需形成集成平台化能力,支持审查接口、跨链监管、智能合约管理、数据访问权限控制等;制度层面应既包括强约束的法律规制,也需要融合软法机制、行业标准与风险例外安排,以实现对多场景、多风险等级数据流动的差异化治理;组织层面则要具备全周期统筹机制,从数据备案审核到跨境动态监测、应急事件处理均具备专业力量与程序工具。系统耦合阶段中的制度不再被动跟进技术,而是基于技术逻辑反向生成制度模板;组织不再依赖行政命令驱动,而是参与治理流程优化、流程再造与任务边界调整,形成任务型、协同型的高适应治理结构;技术、制度与组织之间不仅联动频繁,更表现出协同内生性,构成可持续演进的复合型治理路径。[1,37,38]该阶段的治理路径表现为“嵌套联动-柔性治理-快速响应”,应对多源数据、多方主体、多重规制重构任务具备较高适应性和调整空间。技术、制度与组织的系统耦合使得数据跨境流动治理从“技术驱动”或“制度导向”的单轴逻辑,转向多元整合、结构协同、弹性匹配的综合治理范式,体现出数字时代多中心、多要素治理体系的高度系统性。
(二)地方治理迈向系统耦合的挑战
上海临港、粤港澳大湾区数据跨境流动已逐步建立起技术制度协同的治理路径,但要实现技术、制度与组织的系统耦合治理,还需突破三要素协同内化的关键障碍。向系统耦合阶段跃升,不仅是各要素配合的增强,更是运行机制的重构。具体而言,地方治理仍面临以下关键挑战。
⒈技术维度
第一,技术与制度融合程度有待提升。从技术赋能走向系统耦合,关键在于技术工具需与制度逻辑深度融合,成为支撑规则标准化、执行自动化与责任追溯闭环的基础设施。在目前的地方实践中,技术部署大多集中于数据出境前的事前评估、合规咨询等初步环节,尚未广泛嵌入数据共享与再利用、监管反馈等治理链条中后端,导致制度逻辑在技术执行中断裂,未能真正形成贯通治理全流程的技术支撑体系。例如,在上海临港国际数据通道建设中,尽管可实现基础传输记录上链、接口合规预审,但若涉及跨平台数据再利用、数据责任界定等更复杂的治理任务,平台功能仍较为有限,较难支撑技术与制度间形成持续迭代的交互闭环。
第二,技术规则异质性制约区域治理效能。大湾区的实践表明,地区间技术规则的异质性可能会制约数据跨境流动的区域和国际治理。粤港澳在平台及算法接入、权限控制、网络安全保护等级等方面存在显著差异,尚未形成统一的技术标准和治理接口。这种技术异质性限制了工具的跨区域可迁移性,制约了技术治理效能的充分发挥。由于缺乏统一的技术规则与执行协议,治理体系在面对高频跨境流动场景时,仍需依赖人工作业与非结构化流程,难以建立具备实时性、弹性与自适应能力的治理技术体系,使得数据跨境传输在具体操作中常陷入接口不兼容、标准不统一、执行不可预期等现实困境。
⒉制度维度
第一,政策工具较难满足复杂动态跨境场景需求。地方制度仍普遍采用以行业、场景和风险等级划分为基础的静态设计模式,该模式在应对多平台、多领域融合的数据跨境情境时适配力明显不足。如,上海临港尽管已形成“数据分级分类+负面清单”的工具组合,但其仍依赖前期预设的清单条目,一旦出现行业交叉、数据权属变化或新兴场景拓展,制度响应常常滞后,导致治理反应机制过度依赖事后补救与人工判断;大湾区内的试点区域也在积极推出跨境数据沙箱、备案豁免机制等制度创新工具,但这些安排大多仍是面向低风险、单行业的初步探索,缺乏面向高频、多变跨境场景的普适性与适应性。
第二,央地权责配置失衡制约制度执行。制度效能的发挥不仅依赖规则内容,更受限于规则执行权限的实际归属。目前,地方虽已建设数据服务平台并尝试机制创新,但受制于数据出境审批权集中于中央,地方在决策权上处于可服务但不可决策的被动地位。这种权责失衡使得地方无法根据本地具体情况灵活调整制度工具,制度的可执行性、可配置性与可迁移性受到严重制约,成为制约制度与技术、组织协同转化为系统耦合结构的关键瓶颈。在上海临港,虽然能够实现基于清单的数据类型快速识别与初步合规判断,但对于涉及敏感信息、核心数据等复杂数据类型的传输审批,仍需通过中央审批系统逐案上报,缺乏快速响应机制与审批权限,严重影响了制度执行的灵活性与效率。
⒊组织维度
第一,组织统筹能力尚难支撑系统性治理。系统耦合治理要求有稳定和专业的组织统筹运行。当前,地方组织体系仍普遍以项目驱动、临时协作为主,缺乏制度授权下的常设统筹机制。例如,临港的治理工作由数据处、制度创新和风险防范处共同牵头,辅以跨境数科执行落地,虽展现一定灵活性,但整体组织架构以项目推进为主导,成员之间多为任务临时配合关系,对复杂治理场景的统筹能力和调度效率有待提升。大湾区涉及内地与港澳的衔接,中央事权下放仍是特事特办,由中央部门一事一议,并未设立针对特定规则对接事项的专门工作机制[39]。组织协同的持续性与响应力不足,就会导致制度空转与执行断档,难以完成系统耦合下的跨周期治理任务。
第二,组织信任基础有待巩固。政府相关组织要真正承担治理调度者角色,还需与企业建立长期稳定的信任关系。目前,像临港跨境数科这样的国资平台虽承担关键角色,但在数据传输信任机制上仍面临现实挑战。对于民营企业、外资机构而言,如何信任数据传输过程中的合规性与政府中立性,如何确保地方平台不会越权获取或干预数据,仍是制约合作深化的重要隐忧,也反映出组织功能尚未完成从政策传导者向治理保障者的身份转型。同时,数据跨境流动治理涉及的多方数据交换、操作透明度及合规可验证性等核心技术能力,也对组织的制度支撑与技术底座提出更高要求,否则将无法为企业提供具备可信性与合规性双重保障的服务环境。
七、推进数据跨境流动地方治理系统耦合的路径方向
中国数据跨境流动地方治理已初步构建起涵盖技术平台、制度规则与组织机制的治理体系,为三要素的系统耦合奠定了条件。但当前治理结构仍主要停留在工具集成与功能拼接层面,三者间缺乏结构嵌合与机制贯通,难以应对数据跨境流动的高复杂性与动态性场景。为此,本文提出以技术嵌合为支撑、制度调适为引导、组织统筹为保障的路径优化方向,以提升数据跨境流动的地方治理能力(参见图6)。
(一)技术嵌合
第一,为实现技术平台与制度逻辑的深度融合,应构建“制度参数-流程路径”映射机制。地方平台在承担合规展示与表单托管功能的基础上,还应将数据类型、使用目的、主体属性等制度参数,与审批流程、合同条款、责任分配等内容建立映射关系,支撑制度规则在平台端的自动化生成与动态响应。平台据此可实现合规路径推演、风险等级提示与审批流程配置,以推进制度逻辑嵌入治理链条。
第二,为提升平台对治理过程的支撑能力,应增强关键行为记录与责任审计功能。建议设置访问日志、用途变更记录、权限调整触发器等模块,构建覆盖数据使用全过程的“行为日志链”,并嵌入监管视图中供追溯、验证与问责。地方可制定平台最小配置标准,将行为审计功能作为系统建设的强制项。同时,应推动审查报告结构、元数据字段、传输事件定义等接口标准共识,提升平台间互操作能力,为跨区域治理奠定技术底座。
第三,构建具备制度迭代与跨平台联动能力的治理型平台架构,提升系统耦合的可持续性。地方可推动平台架构从服务工具向治理基础设施转型,在底层架构中嵌入模块化流程引擎、可调用制度版本库与区域对接接口组件,使其具备规则迭代更新、平台数据互访、流程共建共治等功能,为TIO框架提供持久性支撑。
(二)制度调适
第一,推进规则逻辑模块化与制度结构表达,增强制度适配不同跨境场景的能力。地方可将制度规则从数据类型、使用目的和敏感等级等核心参数单元予以拆解,并预设对应的审批要求、合规义务与合同生成逻辑,构建可组合、可迭代、可调用的规则模块。这些模块以编码形式嵌入平台,一旦触发匹配条件,便自动调用相应路径,替代静态清单式规则,以适应复杂多变的业务需求。
第二,通过“区域共建清单”与“规则试验区”机制,提升制度的普适性与迭代能力。地方可牵头制定区域基础合规责任清单,明确跨境用途场景下的底线义务标准,支撑跨平台规则共享与治理接口互认。具备条件的地区可设立“制度沙箱机制”,允许对低风险、新兴场景开展合规路径测试,并通过反馈机制纳入制度共建体系,实现从个案试验向区域规则升级的迭代闭环。
第三,在权责不对等格局下,赋予地方有限快速判断权,增强制度执行的灵活性。中央可在保留高敏感数据审批权限的同时,授权地方对低风险数据实施“快速合规识别机制”,通过数据分级规则、用途敏感度分档与审批触发条件设定,提升地方规则适配与响应速度。
(三)组织统筹
第一,构建具备职能整合、流程闭环能力的数据治理常设机构,取代临时项目制组织。地方可依托数字政府平台,以统筹制度执行、平台运行、风险评估与跨部门对接等任务为核心,组建长期性的数据跨境流动治理机构。该机构内部可设合规解释、标准协调、争议处理等专题小组,明确职责分工,推动组织结构从辅助治理向运行主体转型。
第二,厘清平台企业在政企协同中的边界,防范角色错位与权力扩张。地方可通过签署“政府-平台-数据主体”三方协议,明确平台承担的是实现规则技术化的职责,不得介入制度裁量或数据归属判断。同时,应在政府层级制定治理红线和行为准则,确保政企协同机制内嵌于制度约束框架之中。
第三,引入第三方合规监督与信息公开机制,构建可验证的组织信任基础。可建立数据跨境合规服务白名单,引导具备资质的独立机构承担合规记录、日志审计与流程抽检等任务,并设立数据治理公示栏制度,对操作流程、审查标准、日志调用与处置机制进行定期披露,增强外部可监督性,稳固企业与公众对治理机构的信任预期。
八、结语
“技术-制度-组织”的分析框架在数字治理中得到广泛应用,但鲜有文献从技术、制度与组织的系统耦合讨论数据跨境流动治理的路径,尤其是地方治理路径。本文基于“技术-制度-组织”分析框架,探索中国数据跨境流动地方治理路径的框架与方向。研究认为,数据跨境流动地方治理的路径不能止步于技术、制度、组织的单一局部提升,而应基于技术、制度与组织协同的结构性演化,迈向系统耦合治理。技术应承载规则并服务过程,制度须强化适配与细化逻辑,组织则须统筹资源实现高效运转,三者互为补充,共同构建一个开放、包容、弹性、可持续的数据跨境流动地方治理体系,才能使得中国在全球数据竞争格局中把握战略主动、守住主权底线,并实现治理能力与治理体系的现代化转型。
参考文献:
(略)
作者简介:
张龙鹏,博士,电子科技大学公共管理学院、深圳高等研究院副教授,研究方向为数字公共治理。
唐芳,电子科技大学公共管理学院博士研究生,研究方向为数据治理。
孔文豪,博士,国务院发展研究中心市场经济研究所助理研究员,研究方向为数字服务贸易、市场经济与产业创新政策。
转载:刊载于《电子政务》2026年第1期
