近年来，东南亚地区日益成为全球数字经济增长的中心。根据《2023年东南亚数字经济报告》，东盟数字经济的收益从2016年的120亿美元激增至2023年1000亿美元，未来还将保持每年6%的增长。在数字经济时代，跨境数据治理既是国家数字经济发展的重要支撑，亦是国家间深化经济合作的重要领域。东盟国家数字经济的快速发展为中国—东盟跨境数据治理合作提供了历史性契机。然而，目前在东南亚地区各国围绕跨境数据治理规则制定的博弈已经拉开帷幕。美国、日本、欧盟等域外国家和组织正积极引领东盟及东盟国家的跨境数据治理标准制定，以抢占东南亚数字经济市场，进而提升其在印太地区的影响力。那么，东盟跨境数据流动治理政策具有怎样的特征？如何进一步深化中国—东盟跨境数据流动治理合作？探讨以上问题，有助于加强中国—东盟跨境数据流动治理和数字经济合作，推动构建中国—东盟网络空间命运共同体。

当前，关于中国—东盟跨境数据流动治理合作的相关研究，主要体现在以下几个方面：

一是东盟跨境数据流动治理研究。随着东南亚地区成为全球数字经济的增长中心，东盟跨境数据治理已成为学者和智库关注的重要议题。黄湧泉（Benjamin Wong）强调，与欧盟不同，东盟没有出台任何反对数据本地化的明确规定，一定程度上阻碍了其跨境数据治理机制的有效性。巴班蓬·库蒙（Prapanpong Khumon）从比较的视角指出，东盟跨境数据治理机制大多缺乏约束力，其应加强对跨境数据治理机制的监督，并深化与其他国家的规则对接。克雷格·琼斯（Craig Jones）认为，构建东盟跨境数据流动治理框架需要凝聚东盟国家共识、提升私营部门的参与度，以及明确数据治理的程序。李淑慧（Jesslene Lee）指出，尽管东盟国家在跨境数据治理规则制定中显示出不同的偏好，但东盟《数字经济框架协议》（DEFA）谈判的启动，为其跨境数据治理规则建构提供了机遇。此外，部分国内学者也对该议题进行了研究，如蒋旭栋和周士新从制度复杂性视角出发，强调为治理域内外数据保护制度的碎片化困境，东盟开启了数据保护制度“一体化”进程。

二是中国跨境数据流动治理研究。叶传星和闫文光强调，中国已建立了以“安全评估、标准合同、保护认证”为核心、以行业规定为配套的跨境数据制度体系，但与国际规则之间也存在割裂，导致难以衔接以及数据处理者在实践中成本较高。丁伟和倪诗颖进一步指出，数据作为数字贸易的核心要素具有流动性和跨国性，要构建一个完善的数据治理法律框架，除了国内制定数据监管规则外，还需积极投入到数据跨境监管的国际合作中。徐拥军和王兴广认为，中国跨境数据流动安全治理面临多法并轨、监管离散、风险复杂、管辖冲突等现实困境。蒋旭栋强调，与国外认为的限制性数据政策相反，中国的跨境数据治理注重统筹安全和发展，且跨境数据治理政策相对灵活开放。左晓栋从国内视角出发指出，中国的跨境数据治理体系已基本形成，但现有法律在跨境数据流动方面的界定标准还需要进一步明确。

三是中国与东盟跨境数据流动治理合作研究。马忠法和苏婧怡基于《区域全面经济伙伴关系协定》（RCEP）数据治理框架指出，中国—东盟跨境数据治理合作应以该框架为引领，以“数据二十条”为指导，全面构建跨境数据流动贸易规则体系。李溪芮同样指出，《区域全面经济伙伴关系协定》数据治理框架为中国与东盟跨境数据合作奠定了基础。蒋旭栋强调，尽管中国与东盟跨境数据规则合作在顶层设计、议题范围和制度创新等方面不断完善，但也存在“制度过剩”、数字信任和大国地缘政治经济博弈等限制条件。徐怡雯和韩璐在“数据产权—数据主权—数据治理”的框架上指出，中国—东盟数字合作面临着“数字鸿沟”和数字霸权主义的挑战，双方应基于理念共识、制度基础和战略互补优势，构建面向未来的数字治理合作框架。

综上所述，既有文献从东盟角度出发，分析了中国和东盟跨境数据流动治理合作的特征和挑战，为本文研究提供了有益参考。但这些研究也存在以下不足之处：一是总体上忽略对东盟国家跨境数据流动治理政策特征及未来发展趋势的把握；二是尚未从政策、技术、市场、规则等层面探讨中国—东盟跨境数据流动治理合作的挑战与路径选择。鉴于此，本文通过文本分析法，在比较美国、欧盟、俄罗斯等国家跨境数据流动治理模式的基础上，归纳了东盟国家跨境数据流动治理模式和东盟跨境数据治理一体化进程；从政策—市场—规则的角度出发，剖析了深化中国—东盟跨境数据流动治理合作的有利条件和限制因素，并系统提出深化中国—东盟跨境数据流动治理合作的对策建议。

二、全球跨境数据流动治理的基本内涵与主要模式

在总结和剖析东盟跨境数据流动治理政策特征之前，首先有必要界定跨境数据流动治理的概念和把握全球跨境数据流动治理的主要模式。这是因为东盟跨境数据流动治理政策的制定，主要借鉴了美欧国家相关领域的法律规则文件。

（一）全球跨境数据流动治理的基本内涵

随着互联网、人工智能、云计算和大数据等数字技术的快速发展，数据已成为新的关键生产要素，跨境数据流动治理也成了世界各国关注的核心议题。跨境数据流动治理的概念，最早出现于1980年经济合作与发展组织（OECD）发布的《关于保护隐私与个人跨境数据流动的指南》。在这份文件中，跨境数据流动治理主要是指个人信息数据保护。此后，学界和政策界等对跨境数据流动治理的概念进行了广泛的研究，但至今仍缺乏一个对于跨境数据流动治理的统一定义。即使在欧盟制定的《通用数据保护条例》（GDPR）、《数据治理法案》（DGA）这两个对于世界范围内跨境数据治理规则制定影响深远的文件中，也会发现它们对跨境数据流动治理的定义略有不同。除欧盟之外，在美国、世界贸易组织和亚太经合组织等国家或国际组织的相关文件中，对于跨境数据流动治理的界定也存在较大差异。这背后的原因在于跨境数据流动治理的参与主体多元、治理类型多样和治理内容丰富。

鉴此，本文在较狭义的范围内看待跨境数据流动治理，认为跨境数据流动治理主要是指由国家主导的、对所有跨越国境的信息数据进行治理的过程。跨境数据流动治理主要涉及双边与多边的数据互动，具有双向性的特点。在跨境数据流动治理的过程中，信息数据是基础，数据传输方和数据接收方分别对应跨境数据流动过程中的传出方和传入方，且双方在跨境数据双向流动的不同阶段可以随时互换。从数据传输角度来看，数据传输方在大多数情况下需要向本国的相关特定监管公共部门提交申请，在获得批准之后方可执行跨境数据流动。从数据接收角度来看，如果数据传输方想要将数据传递给接收方，则一般需要保证接收方已经履行完毕接收方的相关特定监督部门所要求执行的必要报备程序。需要指出的是，一般情况下只有数据传输方和数据接收方均认可对方的数据保护水平，才能实现跨境数据的正常流动（见图1）。

图1 国家间的跨境数据流动过程

此外，因为草拟规制、通过规制、将规制转化为政策并实施是跨境数据流动治理的具体过程，所以本文主要以相关国家或国际组织的数据规制文件为研究基础，借助文本分析法，以期掌握相关国家跨境数据流动治理的主要特征。

（二）全球跨境数据流动治理的主要模式

跨境数据流动成为数字化时代推动全球数字经济增长的重要引擎，但国际社会尚未形成统一的跨境数据流动治理标准。各国基于自身利益、权力和技术实力等多种复杂因素考虑，对跨境数据流动采取不同的治理模式。目前，全球跨境数据流动治理模式主要可以划分为三类。

1. 以美国为代表的跨境数据自由流动治理模式

基于自身在数字技术和数字经济方面的全球领先优势，美国大力主张跨境数据的自由流动，以防止其他国家利用跨境数据流动规则设置市场准入壁垒。从美国主导的《亚太经合组织跨境隐私规则体系》（APEC CBPR体系）、美国与日本达成的《美日数字贸易协定》（UJDTA），以及美国、墨西哥和加拿大共同制定的《美墨加贸易协定》（USMCA）来看，美国认为在个人信息数据得到保护的前提下，确保跨境数据自由流动是维护自身经济利益的重要途径，但这种模式主要以国籍管辖为基准。

2. 以欧盟为代表的“充分性认定”跨境数据流动治理模式

从欧盟发布的《通用数据保护条例》等法律规制来看，欧盟对成员国和第三国的数据传输分别设立了不同的传输标准。即在欧盟各成员国之间推动跨境数据自由流动，而在第三国开展数据传输则需要遵循“充分性认定”机制。该机制允许在没有管理机构进一步授权的情况下跨欧盟边界传输数据。截至目前，仅有15个国家或地区获得欧盟“充分性认定”数据保护机制认可。“充分性认定”机制是欧盟保护个人数据隐私的重要手段，不仅体现了欧盟数据保护的高标准、严要求，而且通过推动“充分性认定”在一国的适用，扩大了欧盟在跨境数据保护标准方面的影响力。

3. 以俄罗斯为代表的本地化跨境数据流动治理模式

受自身数字技术与数字经济发展的影响，俄罗斯跨境数据流动治理始终以维护国家数据主权为核心诉求。尤其是近年来，俄罗斯逐渐确立了数据本地化存储规则，形成了以单一属地原则为核心的本地化跨境数据流动治理模式。此类跨境数据流动治理模式主要有3个特征：（1）公民个人数据信息的搜集或存储必须在俄罗斯境内；（2）为外国数据使用者，设定了数据告知和协助义务；（3）公民个人数据信息的处理活动需要使用俄罗斯境内的数据库。由此可见，俄罗斯的跨境数据流动治理政策十分严格，体现出对国家数据主权的重点维护，并在此基础上对数据传输方面提出相对严格的限制和要求。

总之，当前全球并未形成统一的跨境数据流动治理体系，但以美国为代表的跨境数据自由流动治理模式，以欧盟为代表的“充分性认定”跨境数据流动治理模式，以及以俄罗斯为代表的本地化跨境数据流动治理模式，成为塑造全球数据跨境流动治理体系的主导规则。

三、东盟跨境数据流动治理政策演进和分类

目前，国内外学界基本厘清了全球跨境数据流动治理的主要模式，但是对发展中国家，尤其是东盟的跨境数据流动治理模式普遍缺乏关注。本文从东盟组织和东盟国家两个维度，分析东盟跨境数据流动治理模式。之所以探讨东盟国家差异化的跨境数据流动政策，是为了把握其与东盟跨境数据流动治理政策的耦合，进而为中国—东盟跨境数据治理合作提供较为准确的现实依据。

（一）东盟国家跨境数据流动政策的演进和分类

就东盟国家而言，本文以现有跨境数据流动治理的主要模式为参考标准，并根据东盟国家发布的相关跨境数据流动治理法律法规，将东盟国家的跨境数据流动治理模式分为以下三类（见表1）。需要指出的是，由于柬埔寨、老挝、缅甸3个东盟国家数据经济发展水平相对落后，并没有发布与跨境数据流动治理相关的法律法规，所以不在本文的考量范围之内。

1. 倾向于自由跨境数据流动治理模式：新加坡、菲律宾

新加坡跨境数据流动治理主要以2012年的《个人数据保护法》（PDPA 2012）为基础。该法案的最新修订版已于2021年2月1日生效，其中第26条对于数据跨境传输作出规定，数据传输方应当确保被传输的数据得到与新加坡法律相当的保护。为了更好地执行《个人数据保护法》，新加坡个人信息保护委员会（PDPC）陆续出台了一系列条例及指南，包括《2021个人数据保护条例》（PDPR 2021）等文件。《2021个人数据保护条例》第三部分对《个人数据保护法》第26条进行了补充，要求数据传输方必须采取适当措施确保数据的收方受到法定义务的约束。例如，数据传输方需与数据接收方签订类似于欧盟《数据跨境传输标准合同》（SCC）的数据传输协议。此外，作为美国主导的亚太经合组织的成员国，新加坡承认《亚太经合组织跨境隐私规则体系》在其境内的有效性，并且加强了与其《2021个人数据保护条例》的对接。该条例第12条规定：如果数据接收方通过《亚太经合组织跨境隐私规则体系》认证，则可视为满足新加坡法律对于数据接收方的合规要求。总而言之，新加坡跨境数据流动除需要履行国内跨境数据法规要求之外，还可以通过《亚太经合组织跨境隐私规则体系》认证来实现跨境数据传输，大体上采取了倾向于以美国为代表的自由跨境数据流动治理模式。

菲律宾跨境数据流动治理的基本要求和规定，主要以2012年的《数据隐私法》（DPA）为基础。为进一步细化《数据隐私法》，菲律宾于2016年发布《数据隐私法实施细则和条例》（IRR），并成立国家隐私委员会（NPC）。国家隐私委员会主要负责解释菲律宾国内跨境数据法规，并发布与数据保护相关的法律指南。《数据隐私法》和《数据隐私法实施细则和条例》规定了跨境数据流动治理的责任原则，并要求在个人数据信息处理时，应使用类似于欧盟《数据跨境传输标准合同》的协议或其他合理的数据保护手段。另外，作为亚太经合组织的成员国，菲律宾也承认《亚太经合组织跨境隐私规则体系》在菲律宾境内的有效性。概言之，菲律宾跨境数据流动除履行《数据隐私法》和《数据隐私法实施细则和条例》等国内法规要求之外，同样可以通过《亚太经合组织跨境隐私规则体系》认证来实现跨境数据传输，大体上也采取了趋向于美国的自由跨境数据流动治理模式。

2. 倾向于“充分性认定”跨境数据流动治理模式：马来西亚、泰国、印度尼西亚

马来西亚于2010年发布了《个人数据保护法》（PDPA 2010），并于2013年11月15日正式生效。该法案规范了马来西亚个人数据的收集、处理以及披露等行为，确立了个人数据保护的责任和义务。为贯彻落实《个人数据保护法》，马来西亚通信和多媒体部（MCMC，2013年5月由信息、通信和文化部改组，2022年12月改为通信和数字部，2023年12月分拆为通信部和数字部）于2011年成立了个人数据保护局（JPDP）。另外，马来西亚还相继发布了《2013年个人数据保护条例》（PDPR 2013），《2013年个人数据保护（数据使用者类别）令》《2013年个人数据保护（数据使用者注册）条例》《2013年个人数据保护（费用）条例》《2016年个人数据保护（复合犯罪）条例》等数据保护法规。近年来，为保障数字经济的发展与用户隐私安全的平衡，马来西亚也在积极修订《个人数据保护法》。《个人数据保护法》最新修订版规定数据使用方不得将数据主体的任何个人数据转移到马来西亚以外的地方，但可以在马来西亚通信和多媒体部部长同意的基础上，将数据传输到个人数据保护水平至少与马来西亚相当的国家。由此可见，马来西亚大体上采取了“充分性认定”跨境数据流动治理模式。

泰国《个人数据保护法》（PDPA 2022）于2022年6月正式生效。在借鉴欧盟《通用数据保护条例》的基础上，泰国《个人数据保护法》呈现出数据跨境治理的差异化特点。该法案规定个人信息数据传输的一般条件为出境需确保目的地国家或国际组织的数据保护足够充分，且遵守个人数据保护委员会（PDPC）发布的个人信息数据出境保护标准。在不满足个人数据传输一般条件的情况下，泰国《个人数据保护法》还设立“个人信息数据保护政策”审查机制，即如果个人信息数据保护政策通过该机制的审查和认证，也可以进行数据的跨境传输。即便不满足上述两种数据跨境传输条件，如果数据传输方提供适当的保护措施，使数据主体的权利得以执行，数据传输方仍可以将个人数据发送或传输到国外。由此可见，《个人数据保护法》不仅体现出泰国顺应全球立法趋势加强个人数据保护的决心，也彰显泰国作为东盟经济体在促进经济发展和自由贸易方面的考量。泰国大体上采取了“充分性认定”跨境数据流动治理模式。

印度尼西亚《个人数据保护法》（PDPL 2022）于2022年10月17日正式生效。对比2020年的《个人数据保护法》草案，正式生效的《个人数据保护法》对数据跨境传输的相关要求大大降低，并呈现出如下特点：（1）未规定数据本地化相关要求，此前的法案中曾出现过数据本地化义务，但相关义务并没有出现在正式生效文本中。这意味着个人数据信息跨境传输没有了数据本地化义务的阻碍，理论上境内数据传输在满足《个人数据保护法》要求的情况下，可以向境外传输。（2）重视国家的数据保护水平评估，如果数据接收方的数据保护法对个人信息数据的保护水平与印尼相当或更高，则印尼的个人信息数据可以直接流向该国。如果无法进行国家数据保护水平评估，则可以通过签订合同条款来确保对数据的充分有效保护，如《东盟示范合同条款》（MCC）。总体而言，印度尼西亚也大体采取了“充分性认定”跨境数据流动治理模式。

3. 倾向于本地化跨境数据流动治理模式：越南、文莱

越南政府于2021年2月发布了《个人数据保护法令》（PDPD 2021）草案并公开征求意见。2022年3月，越南政府通过了该草案决议。2023年4月17日，该法令正式发布，7月1日起实施。《个人数据保护法令》规范了越南的个人信息数据跨境传输，要求数据传输方向监管部门提交“个人数据跨境传输申请”以及“个人数据跨境传输影响评估报告”。如果涉及处理敏感个人数据的，还需要提供“处理敏感个人数据申请”与“处理敏感个人数据影响评估报告”。越南《个人数据保护法令》还要求数据传输方应建立数据库，将数据传输历史记录保存三年，并且在传输前进行数据跨境传输登记。此外，根据越南2018年6月通过的《网络安全法》，越南要求海外公司必须将越南的个人数据存储在境内，同时需要在越南设立分支机构和代表处，这一“数据存储本地化”的政策，将在一定程度上阻碍数据的跨境自由流动。综合越南《个人数据保护法令》和《网络安全法》来看，越南大体上采取了本地化跨境数据流动治理模式。

除越南外，文莱于2021年12月正式发布了《个人数据保护令》（PDPO），该法令要求任何组织不得将个人数据转移到文莱以外的地方，也具有明显的数据存储本地化倾向。

（二）东盟层面跨境数据流动政策的演进和分类

数据跨境流动直接影响国家安全和数字经济的发展。为了应对数字地缘政治博弈带来的安全和发展问题，促进东盟成员国间安全有效地跨境数据流动，东盟正积极推进成员国间的数据政策协调，相继出台了《东盟个人数据保护框架》（AFPDP）、《东盟数字一体化框架》（ADIF）、《东盟数字数据治理框架》（AFDDG）、《东盟数据管理框架》（DMF）、《东盟跨境数据流动示范合同条款》（MCC）等跨境数据治理法律法规。尽管东盟发布的这些文件基本没有法律约束力，只是在尊重成员国相关法律文件基础上的区域内政策灵活协调，但东盟正致力于建立一套符合成员国利益诉求的跨境数据流动治理标准，以提升区域整体的跨境数据治理水平，进而为东南亚地区营造持续安全的数字经济发展环境。2023年9月3日，东盟正式启动《东盟数字经济框架协议》（DEFA）谈判，该协议旨在提供“连贯、协调、协作和基于规则的方法”，以建立具有竞争力和包容性的数字生态系统。从长远来看，《东盟数字经济框架协议》一定程度上是东盟在全球跨境数据治理体系中从规则接受者转变为规则制定者的重要机制。

在东盟成员国跨境数据流动治理政策差异化的情况下，东盟正努力构建相对统一的跨境数据流动治理规则体系，从而在保障东盟成员国数据流动安全性的同时，为东盟成员国数据经济发展提供政策支持。

四、深化中国—东盟跨境数据流动治理合作的基础与限度

尽管东盟国家在数字经济发展和数据安全平衡之间采取差异化的跨境数据治理政策，但是随着《东盟数字经济框架协议》谈判将于2025年完成，东盟很可能实现数字一体化雄心和制定自身的数据治理规则。因此，深化中国—东盟跨境数据流动治理合作可以在以对接东盟跨境数据流动治理政策为主的基础上，相应地促进中国与东盟国家的跨境数据流动治理政策协商。从“政策—市场—规则”的框架出发，深化中国与东盟跨境数据流动治理合作既存在有利条件，也存在部分制约因素。

（一）深化中国—东盟跨境数据流动治理合作的既有基础

经过多年的交流互动，中国与东盟在数字领域的合作已取得较大进展和成效，这为中国—东盟跨境数据流动治理合作奠定坚实的基础。

1. 政策层面：中国与东盟数字合作逐渐制度化

政策引领是深化中国—东盟跨境数据流动治理合作的保障。近年来，中国与东盟在数字领域的合作逐渐制度化。从国家层面来看，中国已经与东盟建立多种合作机制。这些机制主要包括《中国—东盟加强电子商务合作倡议》（2023年）、《中国—东盟数字经济合作伙伴关系实施行动计划（2021—2025年）》（2022年）、《中国—东盟数字经济伙伴关系倡议》（2020年）、中国—东盟网络对话机制（2020年和2022年）和中国—东盟智慧城市合作倡议（2019年）。此外，中国正在与东盟国家谈判升级中国—东盟自由贸易协定（ACFTA 3.0），该协定将重点关注数字经济、绿色经济、供应链产业3个新兴领域。从地方政府层面来看，云南、广西等省份积极发挥区位优势，积极深化与东盟数字合作。中国—东盟信息港北投数字科技园、中国—东盟新型智慧城市协同创新中心、中国—东盟北斗/全球导航卫星系统（南宁）中心、中国—东盟“商贸通”数字合作平台、中国（江苏）—柬埔寨“丝路电商”合作项目均已落地。此外，中国还举办了多次数字合作研讨会和论坛，以支持中国与东盟的数字合作。

2. 市场层面：中国数字企业深耕东南亚数字市场

数据流动与数据市场相互联系，相互影响。数据流动是数字市场的组成部分，数字市场是数据流动的重要基础。从数字市场角度来看，中国数字企业是中国与东盟跨境数据流动治理合作的主力军。华为、阿里巴巴、腾讯、中兴等数字企业正在深耕东南亚数字市场。这些数字企业在金融科技、电子商务、第五代移动通信技术、数据中心等数字领域，通过战略投资、财务投资、全资收购、控股收购与少数股权投资等方式不断进驻东盟数字市场。截至目前，阿里巴巴和腾讯分别是东南亚两大电商平台来赞达（Lazada）和虾皮（Shopee）的最大股东。以阿里巴巴为例，其于2016年以约10亿美元收购新加坡在线零售商来赞达约54%的股权。2023年7月，阿里巴巴再次向其投资8.45亿美元。同时，阿里巴巴旗下的蚂蚁金服自2016年以来也不断开拓东盟数字金融领域，通过直接投资以及技术方案支持等方式在印度尼西亚、泰国、越南等东盟国家积极扩展本地业务。而在金融监管比较严格的新加坡，蚂蚁金服选择与新加坡金管局和信息通信媒体发展管理局合作，共同成立数字金融管理公司（见表2）。

3. 规则层面：中国与东盟重视统筹发展与安全

跨境数据流动治理理念是中国—东盟跨境数据流动治理合作的核心。从中国与东盟相继发布的一系列跨境数据流动治理的指导文件看，双方在跨境数据流动治理理念上有着相似之处。一方面，双方都秉持全球数据跨境流动治理的多边主义立场，排斥单边主义与保护主义。从中国就制定“全球数字契约”向联合国提交的意见来看，中国呼吁世界各国应坚持多边主义，坚守公平正义，深化对话合作，发挥联合国在全球数字治理和规则制定方面的主导作用，凝聚国际共识；就东盟发布的《东盟数据治理框架》而言，东盟同样强调在跨境数据流动规则建立方面加强国际合作。例如，2023年5月24日，东盟和欧盟联合发布了《东盟示范合同条款和欧盟标准合同条款的联合指南》（Joint Guide to ASEAN Model Contractual Clauses and EU Standard Contractual Clauses）。另一方面，双方都强调统筹经济发展与数据安全。为保障国家数据安全和促进数字经济发展，中国政府先后制定出台了《网络安全法》《数据安全法》和《个人信息保护法》。国家网信办持续推出《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同办法》等系列政策法规，这些文件规定在不危害国家安全和社会公共利益的前提下，数据可以通过个人信息保护认证、标准合同等多种方式出境。同样，东盟也注重平衡数字经济发展与数据安全维护。在东盟与欧盟共同发布的《标准合同条款联合指南》（Joint Guide to ASEAN Model Contractual Clauses and EU Standard Contractual Clauses）中，东盟秘书长高金洪（Kao Kim Hourn）强调：“随着数据交换的不断增加，跨境数据流动的安全机制至关重要。”

（二）深化中国—东盟跨境数据流动治理合作的制约因素

随着中国和东盟跨境数据流动治理体系逐渐成型，深化中国—东盟跨境数据流动治理合作迎来重大历史性机遇，但同时也面临诸多制约因素。

1. 政策层面：东盟国家跨境数据流动治理规则相对复杂

从区域层面来看，尽管东盟在跨境数据流动治理议题上已经出台了一系列指导性政策文件，但这些指导性文件一般是建立在自愿原则的基础上，不具有强制性的法律约束力。加之东盟长期奉行不干涉内政、协商一致和灵活包容的“东盟方式”，使得东盟国家一般按照国家自身节奏参与地区跨境数据流动治理整合进程，这导致东盟国家跨境数据流动治理发展水平存在差异。从国别层面来看，东盟各国数字经济和数字技术的发展差异致使东盟国家跨境数据流动治理水平的差异。当前，在跨境数据流动的国内立法方面，文莱、老挝、柬埔寨和缅甸尚未出台专门的个人数据保护法，其他东盟国家则采取了差异化的跨境数据流动治理政策。总而言之，由于东盟缺乏强制性的跨境数据流动治理法律法规和东盟国家跨境数据流动治理发展水平存在差异，东盟在跨境数据流动治理进程中面临着协调成员国标准和行动的巨大挑战，这将在一定程度上增加中国与东盟跨境数据治理合作的难度。

2. 市场层面：美国对东盟国家的说服与拉拢

随着中美战略竞争加剧，中国不得不面对美国在东南亚地区的数字竞争。而跨境数据流动治理标准和规则正成为美国对华遏制的新领域。近年来，美国正采取政治施压与经济诱导双管齐下的方式，推动东盟国家接受美国的跨境数据流动治理规则。特朗普执政时期，美国联合日本发起“数字互联互通和网络安全伙伴关系”（DCCP），启动“美国—东盟网络政策对话”（US-ASEAN Cyber Policy Dialogue），以加强与东盟国家在数字方面的合作。拜登入主白宫后，美国同东盟的数字合作开始加速发展，“美国—东南亚智慧城市伙伴关系”（USASCP）、“数字亚洲加速器”（Digital Asia Accelerator）、“美国—东盟网络政策对话”等数字合作机制不断完善。2022年5月23日，拜登政府与首批13个参与方启动“印太经济框架”（IPEF），数字经济合作是该机制的重要议题。此外，美国数字企业也正在深耕东南亚市场。虽然中国数字企业在数字基础设施和电子商务等领域占据优势，但美国作为数字霸主，其数字企业谷歌（Google）、亚马逊（AWS）与微软（Microsoft）在云计算服务等领域的份额依然占东盟数字市场的70%。从长远看，美国对东盟国家在数字合作方面的劝说和拉拢，将阻碍中国与东盟在跨境数据流动治理领域的合作。

3. 规则层面：多种跨境数据流动治理模式引发“规则拥堵”

随着东南亚地区数字经济发展潜力逐渐显现，美国、日本、欧盟等域外国家和国际组织纷纷开始参与该地区的跨境数据流动治理规则建构，这导致东南亚地区跨境数据流动治理模式出现了“碎片化”的趋势。目前，东南亚地区主要有美国主推的自由跨境数据流动治理模式，日本提倡的可信任的跨境数据流动治理模式以及欧盟倡导的“充分性认定”跨境数据流动治理模式。为主导东南亚数字经济市场和维护自身的政治经济利益，美国、日本、欧盟正通过不同的措施引导东盟国家采用它们各自的规则标准。就东盟国家现状而言，新加坡和菲律宾已加入美国主导的《亚太经合组织跨境隐私规则体系》，泰国、马来西亚和印度尼西亚则倾向于欧盟的“充分性认定”跨境数据流动治理模式。这使得东南亚地区形成多种数据跨境流动规则并存的格局。由于各种数据跨境流动规则层级不同，内容结构不同，规则彼此之间的通约性不足，结果就是东盟区域内数据跨境流动规则呈现出“规则拥堵”的局面。而多种跨境数据流动治理规则在东南亚地区的交汇重叠、相互竞争，已经远远超出了东盟国家的现实需求，加大了成员国间的适用成本，不仅无益于东盟构建统一的跨境数据模式，而且将阻滞中国与东盟跨境数据流动治理合作。

五、深化中国—东盟跨境数据流动治理合作的路径选择

为应对中国—东盟数据跨境流动治理合作方面存在的挑战，加快构建符合双方利益诉求的跨境数据流动治理规则体系，中国可以采取一些应对措施。

（一）完善国内数据法规，打造跨境数据流动治理合作基础

虽然《网络安全法》《数据安全法》《个人信息保护法》以及《数据出境安全评估办法》共同构建了我国跨境数据流动治理体系，但我国跨境数据流动治理法律法规在内容和实践上还有待进一步完善。鉴此，从法律、技术、企业等角度完善我国跨境数据流动治理能力，进而赢得东盟及东盟国家对数据保护的信任尤为迫切。法律层面，设立数据分级分类保护制度，将关键敏感信息和重要数据、核心数据进行本地化存储，并设立数据安全评估制度，对具体数据进行具体分析，评估数据跨境流动的安全性，以此确保数据跨境流动不会侵犯安全隐私。技术层面，鼓励和支持跨境数据流动治理技术的创新，包括数据加密技术、隐私保护技术、安全传输技术等，从技术层面提升跨境数据治理水平与能力，并鼓励开发和部署与跨境数据流动相关的关键技术和技术平台，加大对隐私增强技术的研发投资。企业层面，充分发挥企业在数据治理、数据安全和数据监管方面的作用，引导和规范跨境数据流动行为，确保数据流动符合法律法规、经济社会发展与国家安全等方面的要求。

（二）加强数据安全合作，筑牢跨境数据流动治理安全基础

整体来看，作为后发型国家，东盟国家跨境数据流动治理政策主要是安全优先，在数据安全的基础上推动自身数字经济的发展。鉴于此，汇聚安全可信共识、加强数据安全合作，是未来中国—东盟跨境数据流动治理的重要方向。在数据安全合作理念上，双方应坚持开放、公正、非歧视性的数据安全合作理念，加强沟通交流，深化对话与合作，客观看待数字经济发展的安全风险，在各方普遍参与的多边平台讨论制定跨境数据安全标准和规则，为数字安全合作提供包容开放、合作共赢的数字生态环境。在数据安全合作议题上，双方应尊重彼此主权、司法管辖权和对数据的安全管理权，未经他者法律允许不得直接向企业或个人调取位于他国的数据，并积极深化在数字基础设施、网络安全保障、人工智能监管、虚假信息治理、产业链保障等领域的数字安全合作。在数据安全合作实践上，双方应加强与世界银行（WB）、国际电信联盟（ITU）、万维网联盟（W3C）等国际组织的数据协同治理，推动网络安全关键技术突破，提升各国数据安全治理能力的同时，构建共同的网络安全防护体系。

（三）深化数字技术合作，夯实跨境数据流动治理硬件基础

数字技术既能赋能传统产业升级转型，也能促使数据成为重要的市场要素。在全球经济增长动力不足的背景下，加强中国和东盟在互联网、大数据、人工智能、云计算等领域的数字技术合作，不仅能促进中国与东盟数字经济市场的融合发展，也能夯实中国—东盟数字治理合作的基础。因此，一是双方应深化数字基础设施合作，助力东盟国家推进4G网络普及，促进5G网络应用，探索以可负担价格扩大高速互联网接入和连接的方法，提升双方数字连通性。二是拓展数字技术合作领域，加强与东盟在网络安全、智慧城市建设、企业数字化转型等领域合作，并拓展双方在数字文旅、数字医疗、数字教育等方面的合作，进而推动数字化转型，促进数字产业融合发展、共同深化数字贸易，加速商品和服务流通，为中国与东盟跨境数据流动治理合作增添新动能。三是加强数字技术人才培养。加强双方在跨境数据治理方面的分享与交流，投入更多资源开展数字技能和素养培训，推动数字知识和资源共享，助力东盟国家完善跨境数据标准制定。四是打造面向东盟跨境数据流通基地，积极发挥地方政府和企业的能动性，建立数据跨境流通应用、标准互认的工作试点，培育好跨境直播、跨境影视和游戏、跨境电商等数字产业链。

（四）加强跨境数据规则对接，探索跨境数据流动治理新模式

由于数字经济发展阶段不同、治理观念和政治利益诉求不同，东盟国家跨境数据流动治理政策存在较大差异。由此，中国需要从东盟整体角度出发，在对接东盟跨境数据流动治理政策为主的基础上，相应地促进中国与东盟国家的跨境数据流动治理政策协商。其一，制定跨境数据流动的基本原则。目前中国已构建较为完善的出境评估、安全认证、标准合同等跨境数据治理规则体系。因此，双方应推动中国与东盟在数据跨境评估规则、数据跨境标准、数据跨境安全认证、数据跨境白名单等方面的互认，增强中国与东盟在数据跨境流动方面的规则互操作性。其二，构建跨境数据流动的双边合作框架。双方可以通过加强立法合作，制定相互认可的法律法规，建立起跨境数据流动的互信机制，构建境外数据访问和调取的具体步骤，以加强双方数据流通。其三，加强跨境数据治理领域的共同实践。通过信息共享、证据交换、执法合作等方式，加强对跨境数据流动的监管和执法力度，并加强与联合国（UN）、二十国集团（G20）、世界贸易组织（WTO）等多边国际组织的规则协调对接，建成良好的数据安全生态系统。

六、结语

随着东盟国家数字经济发展潜力不断释放和数字化转型不断推进，跨境数据流动治理成为中国与东盟合作的新议题。为进一步深化中国与东盟的跨境数据治理合作，构建彼此认同和接受的数据共享规则，有必要探讨东盟及东盟国家的跨境数据流动治理的法律法规。迄今为止，东盟国家在平衡数字经济发展与数据安全之间，采取了不同的跨境数据流动治理模式。新加坡和菲律宾倾向于自由跨境数据流动治理模式；马来西亚、泰国、印度尼西亚倾向于“充分性认定”跨境数据流动治理模式；越南、文莱倾向于本地化跨境数据流动治理模式。

鉴于东盟国家跨境数据流动治理政策的差异性，中国需要从东盟整体角度出发，在以对接东盟跨境数据流动治理政策为主的基础上，加强中国与东盟国家的跨境数据流动治理政策协商。与此同时，中国应统筹国家安全和经济发展，积极完善国内数据法律法规、鼓励中国数字企业积极深耕东南亚数字市场，并在数据示范合同、数据安全评估、数据分类等领域大力开展与东盟跨境数据治理交流与合作，制定符合双方利益的中国—东盟跨境数据流动治理规则，进而推动中国—东盟网络命运共同体走深走实。