大数跨境

数字企业出海:数据跨境流动之困与路径优化

数字企业出海:数据跨境流动之困与路径优化 鼎韬洞察
2026-07-07
19
导读:基于数字企业出海类型和场景,继续完善数据分级分类与负面清单等制度供给,构建可操作的数据出境体系;推动规则互认,探索安全可控的数据回流机制;健全多层次数字企业海外利益保护体系,有效应对跨境数据争端,为数


专注于跨境服务领域的行业智库

摘要

当前,数字企业出海已成为突破传统贸易壁垒、扩大高水平对外开放的战略性选择。近年来,我国数字企业规模不断增加、类型日趋多元,数字企业出海进程加快。由此,构建高效便利安全的数据跨境流动机制,确保数据“出得去、回得来”成为出海企业必须面临的关键问题。然而,数字企业出海面临的数据出境国内制度瓶颈、国际治理困境以及纠纷维权路径受限等问题亟待解决。对此,应以提升制度可预期性为导向,基于数字企业出海类型和场景,继续完善数据分级分类与负面清单等制度供给,构建可操作的数据出境体系;从数据全生命周期治理出发,在多双边框架下推动规则互认,探索安全可控的数据回流机制;以增强可救济性为目标,健全多层次数字企业海外利益保护体系,有效应对跨境数据争端,为数字企业出海提供全链条制度与服务支撑。

关键词:数字企业出海 数据跨境流动 数字贸易 海外利益保护





数字企业出海面临的数据跨境流动困境

为防范数据跨境流动风险,各国往往通过国内法和国际条约等多种途径制定规则,确保数字企业跨境活动中的数据传输行为充分尊重本国公民隐私与国家安全。数字企业出海过程中必然面临各国规制措施的差异化、碎片化,容易遭遇合规困境以及争端解决机制缺位等结构性难题。

(一) 出海企业数据“出得去”面临国内制度瓶颈

中国信息通信研究院发布的《中国数字经济发展研究报告 (2025 年)》显示,2024 年我国数字经济规模高达 59.2 万亿元,占 GDP 比重攀升至 43.8%,较上年攀升 1 个百分点。根据国际数据公司报告预测,中国数据规模将从 2022 年的 23.88ZB 增长至 2027 年的 76.6ZB,届时将成为全球数据规模最大的国家 (International Data Corporation,2023)。然而,目前我国数据增长速度与数据治理体系的建设之间仍然存在错位。

首先,我国数据要素流通法律体系相关规则边界仍然模糊,给企业带来数据出境合规成本与不确定性。当前,我国数据出境主要由两个层面的法律予以规制:一是通过《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等基本法;二是国家网信办等发布的《数据出境安全评估办法》《促进和规范数据跨境流动规定》《个人信息出境标准合同办法》《个人信息保护认证实施规则》等部门规章。近年来,一系列个人信息保护国家标准和数据安全国家标准陆续出台,为数据治理和企业数据合规工作提供了更细化的规范指引,如《网络安全标准实践指南——敏感个人信息识别指南》《数据安全技术数据安全风险评估方法》等。然而,现行法律法规体系和标准体系针对数据跨境传输安全评估所设定的标准以概括性为主,多以“合法性、正当性、必要性”“危害国家安全、经济运行”等标准作为要求,并辅以兜底条款,如“其他对个人权益有重大影响的个人信息处理活动”“其他可能影响个人信息出境安全的事项”“其他可能影响数据出境安全的事项”等。同时,对于专门评估机构的资质和选择等细节规定不够清晰,不同部门、不同评估机构以及不同数据处理者对同一批数据的出境安全风险评估结果可能会有较大差异。以数据分类分级保护制度为例,尽管天津、上海、北京等自贸试验区依据《促进和规范数据跨境流动规定》第 6 条发布了数据跨境流动负面清单,但从全国范围看,政策效果地域和受益企业数量有限。实践中,未被官方告知或公开列入负面清单等重要数据目录的数据,企业可免于申报数据出境安全评估。然而,一旦后续该数据被新增至目录,企业需在 2 个月之内补报安全评估,引发业务连续性风险。

其次,数据出境评估流程较长,影响数字企业跨境业务效率。中国数字企业数据出境审查规制主要包括数据出境安全评估制度、个人信息保护认证制度和个人信息出境标准合同制度三类。根据《数据出境安全评估办法》第 4 条等规定,当企业涉及向境外提供重要数据,或非关键信息基础设施运营企业向境外传输 100 万人以上非敏感个人信息,或 1 万人以上敏感个人信息时,必须通过所在地省级网信部门向国家网信部门申报数据出境安全评估才能实现数据出境。对此,企业需要投入大量资源用于数据分类、处理记录、风险评估、流程设计与实施等工作,无疑增加了运营成本。若企业未能准确把握法规要求,还可能面临数据无法正常出境、业务受阻,甚至承担行政处罚或刑事责任等风险。截至 2025 年 3 月,国家互联网信息办公室共完成数据出境安全评估项目 298 个,在涉及重要数据项的 44 个评估项目中,63.9% 的数据项最终获准出境。目前数据出境评估项目数量与我国庞大的数据体量不相匹配。

(二) 出海企业数据“回得来”遭遇国际治理困境

相较于数据出境,数据“回得来”往往同时受到东道国数据本地化、安全审查及域外管辖规则的多重制约。由于国际法协调的缺失,各国对数据跨境流动施加的限制措施无法得到有效约束,严重影响了外国直接投资 (Chaisse,2023)。多元数据监管规则所引发的制度冲突,已成为数字企业出海过程中更为突出的现实障碍。

作为我国重要的贸易伙伴,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR) 以严格的个人数据保护标准闻名。GDPR 跨境数据流动监管主要采取国别认定和个别认定两种方式。国别认定要求数据接收国通过“充分性认定”(adequacy decision),即与欧盟数据保护水平相当。由于中国尚未获得欧盟的充分性认定,因此中国数字企业在欧盟开展业务时,原则上不得将涉及欧盟个人的数据直接回传至中国总部,除非签署标准合同条款 (standard contractual clauses,SCCs) 或采取具有同等效力的保障措施。然而,在实践中,标准合同条款要求企业对数据接收方所在国的法律环境进行持续评估,并证明该国公共权力对数据的获取不会削弱个人信息保护水平。这一要求与我国以数据类型和风险等级为核心的数据出境安全评估制度在判断逻辑上存在显著差异,企业即便已履行我国的数据出境合规程序,仍可能因无法满足欧盟对“第三国法律环境”的合规审查而被迫将数据长期存储于欧盟境内。

2023 年,美国在电子商务联合声明倡议 (Joint Statement Initiative on E-commerce) 谈判中撤回了数据跨境自由流动规则提案,转而注重审查国家安全与隐私的平衡 (刘传平,2025)。美国《澄清境外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act,以下简称《云法案》) 明确规定,美国执法机构在取得司法授权的情况下,有权要求受美国司法管辖的服务提供者提供其“控制范围内”的数据,而不论该数据实际存储地点是否位于美国境内。上述规定与《中华人民共和国数据安全法》第 36 条和《中华人民共和国个人信息保护法》第 41 条形成直接冲突,即未经主管机关批准,不得向境外司法或执法机构提供境内数据。这使中国数字企业在美国开展业务时同时面临来自中美两国法律的冲突性要求。企业若依照《云法案》向美方提供其控制的数据,可能违反中国关于数据出境的限制性规定;若拒绝配合美国执法要求,则面临高额罚款、业务限制甚至刑事责任等处罚。

此外,美国近年来通过行政令及配套监管措施,将数据跨境流动问题与泛化的国家安全相挂钩,针对中国等所谓“受关注国家”创设严苛的数据跨境传输审查机制,阻碍中国出海数字企业获取、回传涉美数据。2021 年《应对中国公司开发或控制的应用程序和其他软件构成的威胁的行政命令》(Executive Order Addressing the Threat Posed by Applications and Other Software Developed or Con-trolled by Chinese Companies) 禁止受美国管辖的任何主体与支付宝等多款应用程序及其中国开发主体开展任何交易,以防止美国个人信息被大量收集。《防止受关注国家或相关人员访问美国敏感个人数据和政府相关数据的规定》(Preventing Access to U.S.Sensitive Personal Data and Government-Relat-ed Data by Countries of Concem or Covered Persons) 于 2025 年 4 月 8 日正式生效。此外,美国众议院陆续通过《打击不可信海外电信法》(Countering Untrusted Telecommunications Abroad Act)、《海运改革实施法》(Ocean Shipping Reform Implementation Act) 等具有明显针对性的立法提案,试图禁用中国企业提供的电信网络设备和服务,以及中国控制的运输物流软件等。这种国家安全导向的数据治理模式,加剧了企业在数据获取与回传路径上的不确定性,且形成一种非互惠、不对等的贸易投资关系。《中华人民共和国数据安全法》第 26 条明确规定,若域外在数据开发利用相关的投资、贸易方面对华采取歧视性措施,中国“可以根据实际情况对该国家或者地区对等采取措施”。不少数字企业为规避潜在的法律冲突风险,被迫取消对美贸易投资计划,或将部分在美业务数据长期留存于当地,其向中国总部回传数据受到限制,削弱了企业的数据整合能力和国际竞争力。

类似的制度冲突也体现在其他国家和地区的数据治理规则中。例如,新加坡的数据保护体系以《个人数据保护法》(Personal Data Protection Act) 为主,与 GDPR 类似,要求被传输的数据得到与新加坡法律同等程度的保护。对于中国数字企业而言,即使数据回传行为在我国监管框架下属于合规跨境传输,仍需额外满足新加坡对接收主体治理能力和内部制度的认证要求。

数据跨境流动治理体系的碎片化对中国数字企业出海进程构成挑战。在市场准入层面,各国对数据获取、存储和传输的限制,增加了数字企业市场准入难度。实证研究也表明,数字贸易壁垒对企业开展跨国并购等业务产生显著抑制效应 (彭晴等,2024)。国际合作层面,我国尚未加入 DE-PA、CPTPP 等重要协定,数据治理制度有待进一步与国际数据治理体系接轨。我国企业在与海外合作伙伴进行数据交换时,上述合规要求的差异增加了沟通成本,也抬高了信任建立的门槛。实际业务运营层面,数字企业需针对不同国家市场重复执行数据标注及保护策略,容易造成资源冗余、业务效率下降。多套区域化数据管理机制并行,会增加系统设计的难度,也会放大数据泄露的概率。因分类错误导致数据处置失当引发的监管处罚及负面舆论,将直接削弱数字企业的国际市场竞争力。

(三) 出海企业数据纠纷维权路径受限

在现行国际规则体系下,跨境数据流动争端尚未形成统一、稳定且可预期的救济机制,数字企业在遭遇数据传输纠纷时,难以通过既有国际争端解决机制获得实质性救济。传统国际贸易中,世界贸易组织 (World Trade Organization,WTO) 争端解决机制在协调成员权利义务方面曾发挥重要作用,但其制度设计主要围绕货物贸易和服务贸易展开,在数据跨境流动等数字经济议题上明显力有不逮 (石静霞,2020)。尽管 WTO《电子商务协定》(Agreement on Electronic Commerce) 在电子单证、无纸化贸易等技术性议题上取得一定共识并进入临时实施程序,但数据跨境流动、数据本地化等相关规则仍处于缺位状态。WTO 上诉机构的停摆,使本就难以解决的数据争端进一步失去终局裁判渠道 (杨国华,2024),削弱了数字企业通过多边机制维权的可能性。

从国内救济角度来看,不同国家的司法体系在数据相关法律适用、管辖权确定等方面存在巨大差异。数据管辖权冲突以及部分国家在数据纠纷领域的“长臂管辖”扩张使得企业诉讼面临困境。即使企业成功提起诉讼,目前国际司法协助体系中也缺乏数据纠纷过程中关于数据搜集、取证的有效机制 (张晓君,2025)。这意味着,通过司法协助取证程序复杂,耗时长,而脱离司法协助框架单边取证,则有侵犯他国司法主权之嫌。2001 年欧盟发布的《网络犯罪公约》(Convention on Cybercrime) 作为目前跨境电子取证领域主要的区域国际规则,其内容落后于时代发展,难以满足数字时代取证需求 (梁坤,2019)。此外,漫长的跨国司法程序、高昂的诉讼成本以及不同国家司法判决的相互承认与执行难题,都让数字企业的救济之路举步维艰。

实践中,数据跨境流动争端往往被东道国纳入国家安全审查框架,进一步压缩企业的司法救济空间。以 TikTok 在美国遭遇的数据跨境流动争议为例,美国政府依据《国际紧急经济权力法》(Inter-national Emergency Economic Powers Act,IEEPA),将 TikTok 的数据处理活动直接定性为国家安全风险,并通过行政命令要求其剥离在美业务。尽管 TikTok 提起司法救济,且在部分程序问题上取得了有利的临时裁定,但案件核心始终围绕国家安全判断是否具有可审查性展开。在后续处理中,相关争议逐步被纳入美国外国投资委员会 (CFIUS) 的审查框架,而 CFIUS 依据《国防生产法》(DefenseProduction Act) 第 721 条对国家安全问题享有高度裁量权。在此框架下,法院对行政机关的实质性判断保持高度尊重,企业即便进入司法程序,也难以获得针对数据跨境流动限制本身的有效救济。2026 年 1 月 23 日,TikTok 宣布成立 TikTok 美国数据安全合资有限责任公司,专门负责 TikTok 美国的数据保护和算法安全等内容,所有美国用户数据都将存储在美国本土的云基础设施中。该案表明,当数据跨境流动争端被安全化处理后,司法途径往往难以对行政决策形成实质性制衡。

与美国以国家安全为由强硬要求 TikTok 剥离美国业务不同,欧盟则是依据 GDPR 对 TikTok 的数据管理和全球运营施加限制。2025 年 4 月初,爱尔兰数据保护委员会宣布对 TikTok 母公司字节跳动处以超 5 亿欧元罚款,并命令 TikTok 在 6 个月内暂停在中国的“非法”数据处理活动。欧盟认为,TikTok 未能有效防止中国员工远程访问欧盟用户数据,且其配合中国政府进行数据调取,与 GDPR 的隐私保护和数据主权原则直接冲突。2025 年 7 月,爱尔兰高等法院批准了 TikTok 就爱尔兰数据保护委员会处罚决定所提起的诉讼,在司法结果出台前,将暂停执行相关惩罚。除 TikTok 外,腾讯、拼多多、阿里巴巴、小米、希音国际等多家中国数字企业也已进入欧盟各成员国监管机构的调查视野。相关调查与司法审判的走向值得持续关注。


数字企业出海的数据跨境流动路径优化

为应对我国数字企业出海进程中面临的数据跨境流动困境,有必要从完善数据跨境流动制度供给、深化双多边合作机制、健全数据权益保护体系三个层面协同发力,确保数据“出得去”“回得来”“可救济”为数字企业高质量出海提供制度支撑。

(一) 健全数据“出得去”的数据跨境流动制度供给

加快完善数据分级分类管理与负面清单制度,在保障数据安全出境的同时提升效率。推进重要数据目录编制,细化重点领域和行业数据识别、申报标准,明确数据跨境的限制条件,并根据数字经济发展进程动态调整。同时,强化制度配套与公共服务供给,降低企业应对数据出境合规要求的制度成本。可依托行业协会和专业机构,搭建常态化政策解读与沟通平台,针对数字企业高频出境场景发布操作指引和合规模板,帮助企业准确理解安全评估、标准合同备案等制度要求。通过信息化手段优化数据出境申报和审查流程,提高监管效率,避免因程序复杂、周期过长影响企业正常跨境经营活动。围绕算力算法等关键环节,通过建设超算中心等发展数字底座,优化国际数据中心、区块链跨境节点等数字布局,提升数据处理速度与精度。在自贸试验区探索建设国际互联网访问通道,选择特定区域试点开放访问国际互联网特定网站和平台。数字企业在法律框架内可以通过国际互联网直接对接国际市场,对海外消费者进行精准定位与服务。

支持数字企业依托自贸试验区、数字经济创新发展试验区等便利条件开展国际数据合作与监管沙盒试点。监管沙盒是在制度空白的情境下创设一种内嵌于真实世界的“安全空间”,使企业能够在较为宽松的监管政策中进行产品与业务创新。我国在金融科技领域已有监管沙盒试点的有效实践 (沈伟,2024),可以将监管沙盒拓展至数据跨境流动领域,鼓励企业入盒测试,增强数字企业创新信心。上海自贸试验区临港新片区、海南自由贸易港等地应积极筹建数字企业出海服务平台,推动建设企业国际化数字服务园区与基地,结合数字企业出海具体业务场景,为企业提供明确、详细、可落地的操作指引,降低企业在数据出境过程中的人力、时间、金钱成本。

(二) 以多双边数据跨境流动合作助力数据“回得来”

为应对碎片化的域外数据监管体系,应加快对接 DEPA、CPTPP 等高标准国际经贸规则,增强数字企业出海时数据跨境流动规则的衔接性与兼容性 (赵肠頓等,2020)。同时,数据跨境流动治理不应仅着眼于数据出境这一单一环节,而应从数据全生命周期治理出发,将数据收集、存储、处理与回流等全过程纳入统一规范框架。以此为基础,在多双边层面持续深化数据治理合作。2024 年 11 月,中国提出《全球数据跨境流动合作倡议》,反对数据政治化,明确促进开放共赢的全球数据跨境流动合作的立场主张。在双边层面,借鉴美欧、欧日的数据合作经验,推动中欧数据保护标准对接,争取部分国家和区域对中国数据保护的“充分性认定”,并加强与美国在数字经济领域的合作,探索建立数据流动合作框架。此外,应着力打造数据跨境流动规则的“中式模板”。以自贸试验区、数字经济创新发展试验区等为依托,鼓励企业参与跨境数据流动、数据安全等国际规则和数字技术标准的制定,推动中国数据标准国际化,破除美西方规则对我国数字企业的规锁。

同时,重点深化与“一带一路”共建国家的数据跨境流动合作。“一带一路”共建国家的数字技术基础相对薄弱,但其用户需求的增长和基础设施的逐步改善为中国数字企业出海提供了契机。可在东南亚、非洲、中东、拉美等重点合作区域设立数字经济产业园,凭借中国数字企业的技术实力和成本优势进行市场拓展。在技术支撑层面,深化数据基础设施互联互通,共建跨境数据传输通道,引入先进的加密、安全传输技术,保障数据在跨境流动中的安全性与完整性。还可设立双边数据合作委员会,定期就数据跨境流动中的问题进行沟通协调,为企业提供政策咨询与指导,推动跨境业务数据能够高效、安全地“出得去、回得来”,提升数字企业的国际竞争力。此外,引入国别风险分级管理制度,对“一带一路”伙伴国、DEPA 成员国等数据安全风险较低国家开放白名单。为进一步突破数据跨境传输的阻碍,中国与合作国应在现有合作框架基础上,加强规则与标准对接,针对数据存储、传输、使用等环节进行标准互认或适用统一标准,减少因监管差异导致的数据回流困境。

(三) 构建多层次数字企业出海数据权益保障体系

国际层面,应从制度上强化对数字企业出海和企业数据权益的国际保护。在新一轮双边投资协定谈判中,应积极拓展缔约方范围,避免出现与重要经贸伙伴国之间双边投资协定缺失的情况,并探索将企业依法控制的数据及相关数据资产纳入“投资”的定义范畴,使中国数字企业在遭遇海外歧视性或不合理的数据限制措施时,能够在用尽国内救济后通过投资者—国家争端解决 (investor-statedispute settlement,ISDS) 机制寻求救济。

国内层面,应推动建立数字企业海外利益保护体系。近年来,涉及国家安全的国际数字经贸争端呈常态化趋势,数字技术本身的复杂性决定了数据跨境流动的安全保障是一个不断发展的过程 (杜明,2023)。对此,有必要建立国家层面的法律援助与公共外交联动机制,在争端关键节点为企业提供法律服务与舆论保护。对于中小数字企业出海,可联合国家国际发展合作署、驻外经商机构与行业协会力量,设立数字高风险国家 (地区) 信息通报机制,为中小企业提供定制化出海战略咨询。此外,需加强跨国司法协作,共建证据互认通道,提升争议解决效率;通过签署互认协议以及区块链执行令形式,便利送达程序;简化国内法院判决的境外执行程序,提升判决执行成功率,打通权利兑现“最后一公里”;发布依法保护外商投资权益和有力保护我国企业海外利益的典型案例,树立裁判规则,为我国数字企业海外利益提供司法保障及指引。

具体到企业自身,数字企业作为出海实施主体,需主动提升数据权益保护与风险应对能力,增强东道国数据监管体系研究与合规应对能力。企业可通过设立“国际数据合规部”等职能部门,定期开展国别政策梳理、风险评估与动态调整;设立首席数据合规官,通过整合法务与技术团队,实现数据管理一体化;在面临数据本地化存储要求时,提前评估运营模式调整成本,必要时采取远程备份或数据脱敏等技术路径,实现合规且可控的跨境布局;在跨境投资协议或数据传输协议中明确数据回传、删除、终止条款,防止数据被海外合作方单方控制。技术层面上,可通过区块链等技术实现跨境数据流动的记录透明、不可篡改。建立数据跨境流动溯源系统,翔实记录数据出口流向、授权机制及相关政策文件,为监管部门的审查工作和应对潜在纠纷积累证据基础,提升企业在国际争端中的维权能力和谈判地位。

查看完整文章内容请点击下方链接:

数字企业出海:数据跨境流动之困与路径优化.pdf


来源:《国际贸易》2026 年第 4 期 / 彭德雷、杨莹泽、孙安艺

| 转载出于非商业性目的,旨在分享,如若侵犯了原作者或相关方的合法权益,请联系公众号予以删除。


推荐阅读




【声明】内容源于网络
0
0
鼎韬洞察
各类跨境出海行业相关资讯
内容 2742
粉丝 0
鼎韬洞察 各类跨境出海行业相关资讯
总阅读33.7k
粉丝0
内容2.7k