6月14日，歐洲議會以壓倒性多數的投票結果通過歐盟《人工智能法案》草案。連同歐盟此前頒布的《通用數據保護條例》《數字服務法案》和《數字市場法案》，歐盟在數字監管領域再下重要一城。

數據監管是國際競爭的新賽道，并無放之四海而皆準的“黃金標準”。《互聯網法律評論》特約專家、中國政法大學副教授金晶指出，歐盟意在成為全球數據規則和標準的制定者。歐盟數據跨境流動監管表現為兩類法律輸出途徑，一是數據規則的顯性輸出，以充分性認定和標準合同條款為典型，二是數據標準的隱性輸出，以歐洲法院司法審查為代表。

歐盟正在有意識地向包括中國在內的世界其他國家和地區進行法律輸出。上述現象反映了歐盟怎樣的政策動機？又通過何種途徑向全球輸出監管標準？中國監管應該做出怎樣的應對？

【資料圖】

一、引言

我國是數據監管的法律實驗室，被譽為“效仿歐盟數據保護法的最重要司法轄區之一”。《個人信息保護法》《數據安全法》和《網絡安全法》和《關鍵信息基礎設施安全保護條例》皆不同程度地移植了歐盟《一般數據保護條例》的核心概念和典型制度，2022年國家互聯網信息辦公室公布的《個人信息出境標準合同規定（征求意見稿）》和《數據出境安全評估辦法》亦以歐盟的標準合同條款和數據保護影響評估為“底版”。

反觀歐洲，歐盟雖是數字經濟的幼兒，卻是數據監管的巨匠。歐盟身處數字經濟邊緣，幾無大型數字平臺，僅占全球70個大型數字平臺市值的4%，卻在為全球數據立法制定“黃金標準”。有數據表明，在歐盟以外的120個國家中，約67個國家遵循了GDPR框架，GDPR儼然成為了個人信息保護的全球范式。不僅如此，歐盟在數字內容、數字服務、數字市場、數據流動、人工智能等各領域的立法更是迭代更新，全領域、全類型的數據監管方興未艾。歐盟數據規則和標準的全球影響甚巨，各國或是迫于全球貿易的市場壓力，或是因循“西法東漸”的歷史慣性，皆在不同程度上借鑒或移植“歐盟模式”：不僅以日韓為首的東亞國家紛紛效仿GDPR，巴西、阿根廷、烏拉圭等拉美國家也將GDPR奉為圭臬。雖然歐盟的“數據法律帝國”初現雛形，但數據立法的“歐洲中心主義”雄心與數字經濟的“歐洲洼地”現實，卻并不相稱。

在我國，自“三法一條例”頒行以來，外國法漸次退居為本土規則解釋與適用的比較法素材，但數據立法中，兩個與外國法緊密相關的前提問題，始終未予明晰：一是如何解釋數據法的全球趨同現象？歐盟何以成為全球數據立法的“原產地”?“歐盟模式”的全球化究竟仍遵循傳統法律移植路徑，抑或突破為一種新的法律傳播形式，相關研究尚無定論。二是如何定位我國的數據監管模式？我國早已被卷入數字經濟全球競爭的洪流之中，尤其在申請加入《全面與進步跨太平洋伙伴關系協定》和《數字貿易伙伴關系協定》的國際背景下，全球法視野下的數據監管比較研究仍不充分，本土監管模式的理論探尋亦待深入。

為回答上述兩個問題，本文用“雙重模式+一種趨勢”來分析當下的全球數據監管狀況。

1.雙重模式，即“歐盟模式”的全球輸出，以及基于全球價值鏈的私人法律移植。歐盟正在向全球“出口”數據立法并試圖成為全球數據規則和標準的制定者，跨國公司的全球運營則加劇了“歐盟模式”的全球輸出，印證了私人法律移植的發生。

2. 數據監管的“逐頂競爭”趨勢。盡管全球數據監管呈現“逐頂競爭”的階段性特征，滿足特定條件時，規則越嚴格，越容易實現全球趨同，但我國并未滿足“逐頂競爭”的前提條件，采取強監管模式，既不能觸發私人法律移植，也無法取代“歐盟模式”。

行文邏輯上，本文首先探明歐盟向全球輸出數據法律的政策動機，其次識別歐盟采取的顯性和隱性兩類法律輸出途徑，進而基于傳統法律移植、私人法律移植、規范性力量和布魯塞爾效應四種理論方案，來提煉數據監管競爭的影響因素，最后將“歐盟模式”的全球化放大到數據流動監管的國家競爭之下，探尋監管競爭的底層邏輯。

二、歐盟向全球輸出數據監管模式的政策動機

政策動機型塑法律規則。“歐盟模式”的全球輸出，應首先具備充分的法政策依據。歐盟數據政策的特殊之處，在于以“基本權利保護+建構內部市場”為雙重目標，數據立法既要保障與數據保護相關的個人基本權利，也要實現歐盟數字單一市場。盡管歐盟數據政策具有內向型特征，但這并不意味其毫無外部性目標，內向型特征反而使得數據政策中的法律輸出目標更為隱蔽。宏觀層面，從2010年《歐盟個人數據保護整體方案》到2020年《歐洲數據戰略》，歐盟數據政策從未放棄向全球輸出數據規則、標準和共同價值觀的外部目標。微觀層面，無論是1995年《數據保護指令》，2016年《一般數據保護條例》和2019年《非個人數據自由流動框架條例》，還是2022年《數字市場法》和《數字服務法》，歐盟始終要求進入單一市場的外國公司以遵守歐盟規則為前提。由此可見，歐盟數據政策并不如其所宣稱的那樣，僅為實現內部市場或單純保護歐盟公民，“基本權利保護+建構內部市場”的雙重目標，恰是其對外輸出數據監管模式的政策動機。

（一）外部動機：從附帶性輸出到戰略性輸出

以GDPR為分界點，可以將近三十年的歐盟數據政策區分為政策初定期、轉型期和戰略擴張期三階段，每一階段的政策目標各有不同，漸進發展：最初旨在建構內部市場，繼而想向全球推廣GDPR范式，當下意在制定全球規則和標準。

1995年至2015年，歐盟數據政策初步成型，以建構內部市場為要義。1995年《數據保護指令》頒行后的一段時間，歐盟數據政策相對內斂，聚焦于統一數據監管環境，旨在消彌成員國之間的貿易壁壘。此時，歐盟數據立法對外產生的法律趨同僅是一種附帶結果，屬于偶然發生的外溢效應，有學者稱之為消極外部化現象，即是在歐盟監管議程意料之外的副產品。在政策內容上，歐盟在這一階段僅提出，要推動制定個人數據保護的國際法律標準和技術標準，但并未確定數據保護普遍原則的內容。

例如，《歐盟個人數據保護整體方案》和《在互聯世界中保護隱私：面向21世紀的歐洲數據保護框架》僅將完善立法、明確充分性評估標準確定為首要立法目標，在數據保護的五項關鍵目標中，歐盟委員會將“數據保護的全球維度”列為目標之四，并將推廣普遍原則列為該目標的次位任務，位置靠后，重要性亦不突出。

此時，“對外推廣歐盟標準”和“全球適用歐盟規則”僅構成數據政策實現內部市場的附帶性目標，“歐盟模式”對外產生的法律趨同僅是一種附帶性外溢效應。

2016年至2019年，歐盟數據政策逐步轉型，以在全球推廣GDPR為標志。2016年的GDPR可謂歐盟數據政策的轉折點。歐盟通過頒行GDPR統一個人數據保護規則之后，便以法律趨同之名向全球推廣GDPR。在這一階段，歐盟的法律輸出路徑逐漸明晰，借助法律移植來推廣GDPR，立法者有意識地引入充分性認定等制度來加速移植。但對數據政策的轉型而言，GDPR僅起到了催化劑作用。事實上，早在GDPR通過前，歐盟政策立場就已發生微妙變化，歐盟政策文本中，已經開始出現制定國際標準、國際推廣歐盟規則等表達，歐委會甚至在《歐美數據流的信任重建》中明言“大西洋兩岸正在進行的數據保護法改革，為歐盟和美國提供了一個獨特的機會來制定國際標準”。GDPR頒行之后，歐盟提出，許多國家采取了與GDPR類似的數據保護規則，數據保護的規則和重要基本原則出現了全球趨同，因此，應當發揮GDPR的范式效應，通過法律制度的趨同，來推廣歐盟的數據保護價值，制定全球數據保護標準。

自2020年至今，歐盟數據政策開始戰略擴張，意欲為全球制定規則和標準。后GDPR時代，歐盟數據政策升級到技術主權的戰略高度。烏爾蘇拉·馮德萊恩領銜的新一屆歐委會倡導重奪技術主權，內部市場委員蒂埃里·布雷頓提出要讓歐盟成為標準制定者。歐盟數據政策明確表達出數字戰略意義上的地緣政治訴求，《歐洲數據戰略》《塑造歐洲的數字未來》《人工智能白皮書》頻現“歐盟有能力發揮全球領導作用”“歐盟作為數字經濟監管的全球標準制定者”等提法，歐盟不僅要求在擴大政策、鄰國政策時更注重數字化，甚至提出要制定歐洲標準，確保充分遵守歐盟價值觀和規則，利用監管權力推進歐洲方法、制定全球標準。2022年《歐盟標準化戰略：制定全球標準，支持一個有彈性、綠色和數字化的歐盟單一市場》甚至將歐盟的角色定位為“全球標準制定者”，將設定全球標準作為支持數字單一市場、促進歐盟核心價值的關鍵途徑，旨在塑造符合歐盟價值觀和利益的國際標準。例如，2022年《數據治理法案》第六章專設歐洲數據創新委員會，設定數據共享、傳輸、數據空間之標準。

（二）內部動機：公平貿易和基本權利

“歐盟模式”全球輸出的內部誘因，在于歐盟共同價值觀，其以公平貿易和基本權利為典型表現。公平貿易側重經濟之維，是歐盟在全球貿易中追逐自身利益的規范表達，旨在實現歐洲資本的全球化，基本權利是深層意識形態因素，更隱蔽，更具爭議。

第一，公平貿易是“歐盟模式”全球輸出的經濟動因。歐盟欲保護和發展內部單一市場，就須為歐盟企業提供有利競爭環境。在內部單一市場中，歐盟實現外國公司和歐盟企業“公平競爭”的重要政策工具，是為市場準入設置合規門檻，數字單一市場亦如是。早在2014年的政治指導方針中，容克委員會就表明，歐洲的數據保護標準是自由貿易不可動搖的內容，“數據保護是一項特別重要的基本權利......不會在自由貿易的祭壇上犧牲歐洲數據保護標準”。為實現數據流動領域的公平貿易，歐盟既要求外國公司遵守歐盟規則，又著手解決歐洲公司在域外受到的數據本地化等不合理限制，還通過世界貿易組織來破解歐洲公司域外經營面臨的數字壁壘。簡言之，基于公平貿易價值，數字市場的公平競爭和反壟斷監管，實質是歐盟經濟利益最大化的規范表達，《數字市場法》和《數字服務法》即為典型。

第二，基本權利則為“歐盟模式”全球輸出的價值根基，是歐盟價值觀、意識形態的規范表達。歐盟數據政策絕非價值中立，數據規則以共同價值觀為基礎。例如，歐盟將價值觀認同視為國際合作的前提，無論是與發展中國家、新興國家發展數字伙伴關系，還是向非洲國家提供數字經濟支持，都以符合歐盟價值觀為前提。歐盟甚至認為，其有能力在不犧牲強大的基本權利價值觀和傳統的情況下解決問題，并應通過鼓勵全球法律體系趨同，來借機推廣歐盟的數據保護價值觀。

據上所述，數據政策的三十年演進表明，歐盟具備向全球輸出數據監管模式的政策動機。對外，通過為全球制定數據規則和技術標準，歐盟以更具規范性的方式發揮影響力。在數字經濟不甚發達卻欲型塑全球規則的矛盾之下，歐盟持成文法傳統優勢之“利器”，走上了“出口”規則來影響全球數字經濟的獨特道路。對內，以數據合規來作為外國公司準入前提，歐盟創造了更有利于歐盟公司的競爭環境。行文至此，“歐盟模式”全球輸出的政策動機確鑿，但法律輸出絕非易事，端賴于有效的制度供給，故須進而探究，微觀層面的法律輸出如何實現。

三、數據流動監管模式的兩類輸出途徑

“歐盟模式”得以全球擴張，很大程度上取決于立法者有意識地“嵌入”具有擴張功能的概念、規則等規范要素，其數據流動監管即為一例，區分顯性輸出和隱性輸出：顯性輸出指對外輸出數據規則，具有公開性，以充分性認定、標準合同條款等成文規則為內容，隱性輸出指數據標準的全球影響，具有隱蔽性，以歐洲法院司法審查確立的“實質等同”數據保護標準為典型。

（一）數據流動規則的顯性輸出

數據流動規則是“歐盟模式”的顯性輸出途徑，具有成文化、官方化和外交化三項特征。成文化，即GDPR和《非個人數據自由流動框架條例》分別確立個人數據和非個人數據的流動規則，形成了全類型數據的流動規則。官方化，即歐盟以歐委會決定的正式形式，來通過充分性認定和標準合同條款。外交化，即歐盟借助頒行充分性認定的權力，積極將充分性認定納入雙邊談判之中，以國別性談判形式認可域外國家的數據保護水平，由此實現對外“出口”數據保護標準。例如，2019年，歐委會通過對日本的充分性認定，充分性認定構成歐盟和日本《經濟伙伴關系協定》之補充。2022年，歐盟和日本正式啟動了將數據流動規則納入《經濟伙伴關系協定》的談判。

1. 充分性認定：國別性輸出

充分性認定，可謂歐盟對域外國家設置的一種數據跨境自由流動的“白名單”機制。其以GDPR第45條為依據，該條第一款規定，當歐盟以歐委會決定的形式，認定某個國家、某個國家的特定區域或行業或者某個國際組織能夠提供充分的數據保護水平時，個人數據即可向前述國家、區域或國際組織傳輸，該傳輸無需歐盟的額外授權。換言之，當某個國家獲得了歐盟的充分性認定，該國的數據進出口方與歐盟之間可以直接進行數據跨境傳輸，而無需進一步的數據保護或特別授權。

不僅如此，即便是特定國家一朝獲得充分性認定，也不意味該國能夠“一勞永逸”，永久性獲得與歐盟自由傳輸數據的“通行證”。依據GDPR第45條第3款，歐盟有權定期審查域外國家的數據保護水平，至少每四年一次，這一規定為歐盟持續性監督域外國家的數據保護水平提供了正當性依據。因此，充分性認定，形式上是設立歐盟與域外國家、地區間的雙邊性數據自由流動區，實質上是歐盟整體審查、持續監督域外國家、地區的數據保護水平。基于確保出境數據持續延續歐盟高水準保護之理由，歐盟整體審查和評價域外國家、地區或組織的數據保護水平，在認定第三國能提供充分數據保護時通過充分性認定。

充分性認定之所以是一種有效的國別性法律輸出工具，理由有三。一是適用對象上，充分性認定類似雙邊機制，具有整體性，針對域外國家、地區或組織，不針對單獨商主體。二是經濟動因上，歐洲公司更傾向于在獲得充分性認定的區域設立公司或數據中心，為便利與歐盟的數據流動，域外國家存在獲得充分性認定的動力。三是立法推動上，歐盟要對特定國家通過充分性認定，首先是要整體審查該國家的數據立法，評估該國家的數據保護水平。倘若域外國家數據立法遵循GDPR范式，其更易被歐盟認可，有助于獲得充分性認定。簡言之，充分性認定反向推動了域外國家對“歐盟模式”的法律移植，促使域外國家主動采納歐盟模式以“換取”充分性認定。

2. 標準合同條款：個別性輸出

歐盟亦配置了具有個別輸出功能的法律工具，典型者當屬標準合同條款、有拘束力的公司規則、行為準則和認證機制。這四類替代性數據傳輸工具適用于全球商事交易中的數據傳輸，不局限于特定國家。當數據流向未獲得充分性認定的國家時，數據進口方可以通過此類工具實現數據流動。

標準合同條款本質上是個人數據跨境傳輸的監管工具，是歐盟針對商事交易“定制”的標準化條款，通過條款的強制使用和內容強制機制，將監管要求“滲透”到個別交易之中。內容強制是標準合同條款的制度特色，指歐盟在標準合同條款中提前“固定”特定數據傳輸中所欠缺的數據保護內容，以強制性合同義務的形式，來彌補特定第三國數據保護水平之不足，同時引入條款禁止變更規則，強化內容強制。例如，歐盟將數據保護標準轉化為具體合同義務，拘束數據進出口方，并通過標準合同條款第8條，對“控制者—控制者”“控制者—處理者”“處理者—處理者”“處理者—控制者”四類傳輸模塊區分配置數據保護義務。

歐盟標準合同條款對我國《個人信息出境標準合同規定（征求意見稿）》及附件《個人信息出境標準合同》產生了深刻影響。規范結構上，《個人信息出境標準合同》參考了歐盟標準合同條款的權利義務結構，采納了個人信息處理者的義務、境外接收方的義務和個人信息主體的權利的三分式結構。制度構成上，利益第三人合同并非全球通行的合同法制度，兩大法系制度構造不同，但隨著歐盟標準合同條款將受益第三人條款確立為核心條款，此類條款“潛移默化”地成為了數據跨境傳輸合同的典型規則，受到國際立法實踐認可，東盟跨境數據流動示范合同條款就在“個人救濟的附加條款”中引入此類條款。我國借鑒了歐盟標準合同條款中的受益第三人概念，將個人信息跨境傳輸合同構造為真正利益第三人合同。《個人信息出境標準合同》第5條明確引入“第三方受益人”概念，個人信息主體有權以第三方受益人的身份，執行標準合同中個人信息處理者和境外接收方關于個人信息保護義務的權利。

數據流動規則是歐盟向全球“出口”數據流動監管模式的顯性輸出。規則的規范性和明確性固然是顯性輸出的優勢所在，但其缺點亦在于此：數據傳輸技術迭代迅速，成文規則缺乏彈性，單憑數據規則不足以“一勞永逸”實現持續性輸出，規則中的一般概念和基本原則仍需要司法的解釋和發展。

（二）個人數據保護標準的隱性輸出

歐洲法院的司法審查是“歐盟模式”對外輸出的隱蔽途徑，旨在確保“歐盟模式”持續性發揮影響。歐盟在GDPR數據流動規則中“嵌入”司法審查的規則“接口”，為法院持續監管全球數據流動提供了合法基礎。無論是主權國家，還是商主體，但凡適用充分性認定、標準合同條款等數據傳輸工具，都有可能觸發歐洲法院司法審查，而個人數據保護標準作為司法審查基準，靈活并極富自由裁量空間。個人數據保護標準之所以是一種隱性輸出，在于其審查對象、裁判依據和輻射效應的隱蔽性。

一是審查對象的擴張。歐洲法院裁判雖僅限于歐盟權力范疇，但司法審查的對象卻擴至域外國家數據保護水平，全面審查域外國家數據保護法治狀況。在2020年Schrems II案中，歐洲法院不僅審查了美國的數據保護法，還審查了美國法是否符合歐盟的基本權利保護水準。

二是雙層裁判法源。歐盟法的雙層法源結構是基本權利保護價值輸出的正當基礎。作為條例，GDPR僅是派生性立法，基于“基礎性法律的位階高于派生性法律”的基本原則，歐洲法院的裁判依據可以直達《歐盟基本權利憲章》第7條和第8條。歐洲法院以保障憲法層面的“基本權利保護”為目標，以處于效力位階頂端的基本權利為審查基準，本質上是通過司法判例向全球擴張基本權利保護的歐盟價值觀。

三是司法審查的輻射效應。司法審查雖針對個案，但實質上是一種憲法審查式的效力審查。法院通過審查歐盟法律文件之效力，以歐盟標準評價第三國數據保護水平，進而借助判例奠定的個人數據保護標準引發全球效應。例如，Schrems II案確立了個人數據保護水平的實質等同標準，為全球數據流動監管確立了保護標準。

歐盟數據保護標準的隱性輸出是卓有成效的，個人數據保護的實質等同標準即為一例。在Schrems II案中，歐洲法院將GDPR第46條第1款和第2款第c項“適當保障”和“可執行的權利和有效法律救濟”解釋為“基于標準合同條款傳輸到第三國的個人數據所獲得的保護水平，應確保與在歐盟基于GDPR和《憲章》所享受的保護水平實質等同”。法院將《憲章》視為GDPR國際適用的標準，認為美國法在隱私領域不符合歐盟保護標準，在美國企業侵犯歐盟公民隱私時，歐盟公民缺乏有效的法律保護工具，尤其缺乏獨立的法院審判，構成對《憲章》第7條、第8條和第47條之違反，判定《歐委會關于美歐隱私盾的充分性決定》無效，《標準合同條款決定》未違反《憲章》有效。與標準合同條款類似，有拘束力的公司規則的效力審查亦屬于實質司法審查范疇。無論采納何種歐盟數據傳輸方式，域外法律必須實質符合歐盟基本權利保護標準，如若不然，數據傳輸都可能違法無效，而歐洲法院對此擁有終極司法裁量權，歐盟成為了個人數據流動標準的全球輸出者。

實質等同標準亦在某種程度上影響了我國，《個人信息保護法》第38條第3款規定個人信息處理者應采取必要措施，保障境外接收方的處理活動達到個人信息保護標準，構成我國的“同等保護水平”標準，與“實質等同”標準可謂大同小異。

四、“歐盟模式”全球化的多元解釋

即便證實歐盟存在法律輸出的政策動機，并查明歐盟數據監管工具具備法律輸出功能，仍須進一步追問，“歐盟模式”何以從全球數據監管模式中“脫穎而出”并“風靡全球”，其原因為何。“歐盟模式”的全球化究竟只是一過性、階段性的偶發事件，還是長期規律性的必然趨勢？鑒于數據所涉議題的復雜性，“歐盟模式”的全球化很難僅從法律之維圓滿解釋，而須基于政治、經濟等多重維度展開，傳統法律移植、私人法律移植、規范性力量、布魯塞爾效應構成四種可能的解釋方案。

（一）傳統法律移植

法律移植是比較法解釋法律趨同的經典路徑。“歐盟模式”的全球化，屬于艾倫·沃森傳統法律移植理論中“主動大規模移植”的第三種類型，即一個民族自愿接受另一個民族的法律。“歐盟模式”的全球輸出以獲得歐盟充分性認定為驅動因素，以主權國家移植GDPR的概念、規則和制度為表現，呈現出如下兩個特點：

其一，第三國的法律移植以GDPR為范本。無論是日本、韓國、巴西、南非等大型經濟體，還是哥倫比亞、泰國等中型經濟體，乃至印度、印尼、智利、肯尼亞、塞內加爾、加利福尼亞等國家和地區，各國和地區的數據立法都不同程度地借鑒GDPR范式。例如，2021年1月韓國《個人信息保護法（修正案草案）》新設“個人信息境外傳輸”章節，第28—8條第2款列舉個人信息境外傳輸的四類情形，第28—9條第1款第2項引入與歐盟類似的條款。巴西《通用數據保護法》第五章確立了與GDPR類似的數據傳輸規則，塞內加爾《個人數據保護法案》在解釋性聲明中明言，其以“歐盟向第三國傳輸數據的要求”為基礎，專設個人數據委員會作為獨立監督機構，以符合歐盟的監管要求。

其二，各國主動法律移植受充分性認定驅動。域外國家移植GDPR范式，以“換取”歐盟的充分性認定，兩者雖無絕對因果，卻有必然聯系。未獲得充分性認定時，域外國家與歐盟之間數據跨境流動的整體性通道存在障礙，充分性認定成為了域外國家與歐盟建立數據自由流動區的主要途徑。相關國家修改本國立法和獲得充分性認定的時間線，亦為兩者之間的聯系提供了佐證。

例如，2016年日本修訂《個人信息保護法》，旨在與GDPR保持一致，以加速充分性談判。2020年日本再次修法，確立了個人數據跨境傳輸的域外適用和罰則，在第24條設置與歐盟類似的“確保數據接收方持續采取與日本《個人信息保護法》要求等效的方式處理數據”的等效處理規則。2019年，日本獲得歐盟的充分性認定。又如，2000年，阿根廷以歐盟1995年《數據保護指令》為范本，通過《個人數據保護法》；2003年，阿根廷獲得充分性認定；阿根廷甚至為了保持其充分性地位，在2016年專設工作組，研究GDPR時代所需要的立法改革。烏拉圭2008年通過的《數據保護法》亦以歐盟數據保護框架為模版，其在2012年獲得充分性認定。

傳統法律移植的理論局限，在于難以解釋跨國公司等私主體在“歐盟模式”全球化中的作用。傳統法律移植以國家為主導，是在政府、法院等國家公權機關主導下，將規范從一個國家移植到另一個國家的過程。域外國家在獲得充分性認定的驅動下，將GDPR作為本國立法范本，盡管國家主導型的傳統法律移植理論可以部分解釋GDPR的法律移植現象，卻無法解釋跨國公司在全球傳播中的貢獻。就歐盟數據傳輸機制的整體而言，充分性認定僅構成歐盟數據跨境傳輸工具之一種，這難以解釋，為何在充分性認定之外，標準合同條款、有拘束力的公司規則、認證等替代性傳輸工具亦能風靡全球，這些法律工具受域外國家立法影響較小。在“歐盟模式”全球輸出的過程中，在傳統法律劃分上屬于私主體的跨國公司也在推進法律移植，但傳統法律移植理論無法涵蓋前述主體的法律傳播行為。

（二）私人法律移植

作為新興的比較法理論，私人法律移植、通過私合同的法律移植或可為跨國公司在“歐盟模式”全球輸出中的推進作用提供新的解釋。私人法律移植是一種未獲關注、被低估的現象，以全球商事交易為背景。跨國公司成為全球法律傳播的新主體，法律的制定和流通不再專屬于傳統的公權力機關，而愈發與跨國公司等非國家主體的商業經營相關聯。傳統法律移植概念與跨國公司的上述行為模式并不契合。比較法學者多基于國家視角來理解法律移植，鮮少關注非國家主體在法律共振峰傳播中的作用。羅道爾夫·薩科語中“由國家公權機關制造、借用、接受和調整法律規范”的法律共振峰概念，亦難解釋跨國公司引發的法律全球傳播現象。私人法律移植實質上構成法律共振峰的一種“變體”，是一種與資本全球化密切相關的、全球范圍內的非制度性跨國流通，以跨國公司為代表的資本全球化，是法律全球傳播的推動力。

私人法律移植的理論優勢在于，其能解釋跨國公司在“歐盟模式”全球化過程中的獨特作用。例如，跨國公司自愿適用歐盟的標準合同條款等法律工具，并將之納入公司全球經營，這加速了“歐盟模式”的全球傳播。由此，歐盟無需依靠國際機構，僅憑跨國公司的全球經營，并借助充分性認定建立數據自由流動區，就能自然地向全球輸出其數據流動監管模式。而私人法律移植之實現，主要基于如下兩個維度展開：

一方面，全球價值鏈是私人法律移植的基礎。跨國公司在制定和執行統一的全球隱私政策或行為準則后，出于合規成本和統一運營原因，會要求其全球分公司、子公司或商業合作伙伴協同遵守，公司的規范文件由此突破商業經營的地理邊界，借助全球生產鏈在其他國家發揮作用。由于跨國公司全球運營覆蓋不同司法轄區的公司產品和服務，其需要根據各轄區的監管要求來調整本地業務的合規政策。實踐中，跨國公司大多會按照總部設立地、所在地或主要市場地的核心監管要求設計合規模版。為滿足全球合規的經營需求，跨國公司就會采取選取最高合規標準的邏輯，“自上而下”地主動選擇目標市場的最高標準，將之作為全球合規政策模版。例如，為滿足歐盟的市場準入要求，跨國公司常常在其全球隱私政策中原封不動地“復制”GDPR的監管要求。正是通過跨國公司的全球經營，隱私政策等公司規范性文件得以在全球傳播，私人法律移植逐步實現。

另一方面，行為準則是私人法律移植的典型形式。數據跨境流動機制中，有拘束力的公司規則是一種典型的行為準則。此種公司規則由跨國公司單方面擬定，作為公司內部規范性文件在整個公司傳播，構成公司集團內部的數據傳輸機制，適用于控股企業及其控制的企業的公司集團。由于全球供應商和經銷商的生產、銷售、經營行為密切關聯，無需國家或公共當局之干預，跨國公司自主擬定的有拘束力的公司規則能夠超越公司集團，而傳播到全球生產網絡之中。而當跨國公司自主選擇的規則以跨越司法轄區、地理邊界和法律秩序的方式擴展到全球之時，就發生了法律共振峰的移植，法律趨同隨之而來。相較于傳統法律移植理論，行為準則的制定無需國家參與，公權機關不介入企業內部規范的事前選擇。不僅如此，行為準則的內容來源多元，不受法律傳統和法律秩序約束，企業可以從完全不相關的法律傳統或制定法中選取、移植規則，行為準則的傳播亦無需法律移植的“接受國”介入，跨國公司只需在一國領土上從事經營活動，即可實現公司內部規范的域外傳播。

（三）規范性力量

歐盟規范性力量是國際政治理論解釋歐盟政策外部影響力的理論依據。歐洲學者伊恩·曼納斯認為，規范性力量是歐盟通過宣言、條約、政策、標準、條件等規范性基礎來傳播歐盟價值原則并形成規范性概念的能力，規范性力量側重于非物質性的影響力，強調世界政治中的規范正當性，以歐盟的民主、人權和法治原則為中心，試圖讓世界接受其普世規范，主張在世界政治中以規范的方式行事。

規范性力量的解釋力在于，其能在一定程度解釋歐盟在數據監管領域的相關行為。盡管歐盟的數字經濟遠遠滯后于中美兩國，但歐盟選擇通過制定成文法的傳統優勢，選擇以法律輸出形式來謀求在全球數字經濟競爭中的戰略地位，來施展其在數據領域的國際影響力，并將輸出歐盟共同價值觀作為內部動機。公平貿易、公平競爭就是歐盟在全球貿易中追求自身利益的規范表達。

規范性力量的局限在于，其難以圓滿解釋歐盟數據政策的所有發展階段。本文將歐盟數據政策發展進程劃分為政策初定期、政策轉型期和戰略擴張期三階段，分別以建構內部市場、擴張GDPR范式和制定全球標準為要旨。規范性力量顯然無法圓滿解釋第一階段的歐盟數據政策。在政策初定期，歐盟數據政策相對內斂，數據立法對外產生的法律趨同影響僅是一種偶然外溢效應，數據政策中的“對外推廣歐盟標準”和“全球適用歐盟規則”內容，僅是實現內部市場這一“頭等要務”的監管議程副產品。換言之，在GDPR范式效應形成之前，向全球輸出“歐盟模式”并非歐盟對外政策的首要目標，第一階段的歐盟政策仍是非主動型對外輸出，規范性力量難以為這種消極外部化的外溢效應提供合理解釋。

（四）布魯塞爾效應

如果說規范性力量將歐盟描述為一種非強制的新型權力，2012年以來美國學者阿努·布拉德福德提出的布魯塞爾效應則為歐盟的外部影響力，尤其是為“歐盟模式”的全球輸出提供了新的解釋方案。布魯塞爾效應，指歐盟單方面監管全球市場的能力，這是一種市場將歐盟規則傳播給歐盟外的市場主體和監管機構的現象，其源于市場規模和跨國公司在全球范圍內采用歐盟嚴格標準的自身利益。布魯塞爾效應以單邊監管全球化為基礎，單邊監管全球化的假設是，采用全球統一標準比遵守多種監管標準的好處更多，當一個國家能夠通過市場機制將其法律法規外部化到境外，進而導致標準的全球化時，單邊監管全球化就發生了。事實上，歐洲對全球市場的單邊監管權力被嚴重低估，歐盟正在通過法律制度和標準影響全球，其僅憑市場力量，就足以將歐盟標準轉化為全球標準。

布魯塞爾效應的理論貢獻有二。一是提煉單邊監管全球化的前提條件。這包括市場規模、監管能力、監管傾向、監管對象無彈性和標準不可分割性，以市場規模、監管傾向、監管對象、標準的不可分割性最為關鍵。

其一，市場規模是監管權力的基石，外國公司傾向于采用重要市場的普遍標準以確保市場準入，進口國的標準制定權力受到外國公司對進口國市場依賴性之影響。

其二，監管傾向受制于監管環境所依賴的普遍政治經濟條件，高收入國家更傾向于強監管，以犧牲公司盈利來保護消費者。

其三，若監管對象缺乏彈性，無法通過遷徙來逃避嚴格監管，市場主體就很難主動尋求更寬松監管環境，企業行為對強監管的破壞能力就相對有限，只有對無彈性的監管對象施以強監管，才能確保此種強監管能夠超越其他替代性監管標準。

其四，就標準不可分割性而言，當出口商的生產或行為在不同市場之間不可分割時，當公司遵守全球單一標準的成本收益優于遵守多種不同監管標準時，出口商才有動力采用統一的全球標準，歐盟標準才能成為全球標準。

二是甄別出市場強制在“歐盟模式”全球化中的助推作用。市場強制指外國公司無法放棄歐盟市場，但又忌憚于違反歐盟監管所面臨的高昂違規成本，因此主動調整其合規政策和市場行為，以適應歐盟的強監管。在市場強制創造非自愿激勵的過程中，可以區分事實上和法律上的布魯塞爾效應，前者改變了外國跨國公司的動機，后者則是指跨國公司積極游說本國市場，通過游說行為，使本國調整監管政策。具體而言，事實上的布魯塞爾效應意味著，雖然歐盟只監管自己的內部市場，但因跨國公司既無法割舍歐盟市場，又不能規避監管，其便產生了在全球范圍內依據一套統一的規則、將全球生產標準化的動力，由此也就將歐盟的規則轉化為了全球規則。跨國公司按照“歐盟模式”調整其全球行為，例如更新全球隱私政策之后，跨國公司也有動力游說本國采納與歐盟相仿的規則和標準，以確保其在與國內非出口型公司競爭時的優勢地位，事實上的布魯塞爾效應由此就轉化為法律上的布魯塞爾效應。

布魯塞爾效應的解釋力在于，其更契合歐盟數據政策的演進過程。首先，布魯塞爾效應將“歐盟模式”的全球化界定為偶然外部效應，認為歐盟成為全球監管霸權是歐盟在建構內部單一市場中的監管行為所產生的偶然性副產品。這一界定符合歐盟數據政策在政策初定期的階段特征。其次，相較于傳統法律移植理論，布魯塞爾效應能更合理解釋，外國公司為何在市場強制下能將歐盟標準推向全球并轉化為本國法。再次，相較于規范性力量，布魯塞爾效應能更周延解釋“歐盟模式”全球化的實現過程。對歐盟公司而言，歐盟規則旨在增強歐洲公司的競爭力，歐盟規則的全球化，能使歐洲公司獲得更佳競爭環境，對外國公司而言，外國公司難以輕易放棄歐盟市場，故以數據合規來換取市場準入，但為降低同時遵守多國監管制度產生的合規成本，外國公司亦有動力將歐盟標準擴展到全球經營。

布魯塞爾效應的局限在于，其僅是一種階段性解釋方案，而非持續性的科學定理。布魯塞爾效應之實現，須以特定條件滿足為前提。一旦前提條件發生變化，或是數據技術變革或國際政經格局驟變時，就有可能影響布魯塞爾效應的實現。倘若監管對象能夠借助新的數據技術來實現自身的物理遷徙，如當企業遵守全球單一標準不會比遵守寬松監管要求產生更大收益時，當出口商的生產或行為在不同市場之間能夠順利分割時，當遵守多元監管標準不會比遵守單一標準產生更高成本時，都會阻礙布魯塞爾效應的形成。因此，盡管布魯塞爾效應能夠合理解釋當下“歐盟模式”的全球化現象，但其僅是一種階段性解釋方案。

綜上，傳統法律移植、私人法律移植、規范性力量和布魯塞爾效應都可以解釋“歐盟模式”的全球化現象，各有其解釋力與局限性。“歐盟模式”的全球輸出是傳統法律移植和私人法律移植共同作用的結果。傳統法律移植能夠解釋，域外國家為獲得充分性認定而在本國立法中移植GDPR。私人法律移植則表明，跨國公司的全球經營加速了“歐盟模式”的全球傳播。跨國公司使用標準合同條款、有拘束力的公司規則等法律工具觸發了市場強制，形成了事實上的布魯塞爾效應，布魯塞爾效應又反向印證了私人法律移植在“歐盟模式”全球輸出中的作用。從四種解釋方案中可以發現，全球市場構成了數據監管全球趨同的共同要素，無論是國家立法，還是跨國公司全球合規，均服務于經濟目標。

五、全球數據監管競爭的底色與天花板

（一）數據監管的“逐頂競爭”

“歐盟模式”的全球輸出，可謂全球數據監管“逐頂競爭”之例證。監管競爭理論中，就全球監管究竟是一種向上競爭還是向下競爭，素來有“逐底競爭”和“逐頂競爭”兩種假設。前者指政府降低監管標準來吸引轄區內的經濟活動，由此提高全球經濟中的相對競爭地位，稅收和勞工監管即為其例；后者指政府提高監管標準，強監管的全球擴張使國內規則愈發嚴格，環境和數據監管即是如此。數據監管的“逐頂競爭”意味著，數據規則和標準愈嚴苛，法律趨同愈易實現。本質上，市場強制是數據監管“逐頂競爭”得以實現的關鍵前提。“歐盟模式”的全球傳播，在于其確立了數據保護的若干全球最高標準，引發外國公司忌憚違規成本而進行非自愿調整。歐盟并未強迫別國采納其規則，跨國公司的自發行為，助推了嚴格規則的全球趨同。

尤值一提的是，歐盟強監管模式仍在“自我強化”，新近出現了從行業細分式監管轉型為全行業監管的趨勢。歐盟既往的數據監管，主要采取區分特定部門設定具體規則的縱向監管路徑，但以2022年《數據法（草案）》為轉折，歐盟通過頒行橫向草案和橫向規則，為所有行業部門設定基本規則，轉向了全領域、全行業的橫向監管路徑。《數據法（草案）》的解釋性備忘錄甚至明確規定，草案所涉領域的未來立法，將與草案中的橫向原則保持一致。一旦全領域、全行業的橫向監管規則借助“逐頂競爭”在全球傳播，“歐盟模式”對全球數據產業的影響將進一步加劇，“歐盟模式”本身的影響力也將增加。

（二）強監管的弱點

強監管的力量在于保障國家安全、公共利益并提高消費者福祉。監管者在產品性能、安全性等標準上設定嚴標準，能夠促使本國企業改善質量、提高技術能力，驅動本國企業領先開發新的產品和服務性商品，由此創造和提升競爭優勢。某些情況下，強監管會使外國公司更難銷售數據產品和數據服務，從而為國內數據生產商創造競爭優勢，增強國內數據產業的國際競爭力。

但強監管是有代價的。強監管需要大量的監管資源，還需匹配的監管能力。若一味追求強監管，有可能引發限制數據市場發展、轉嫁監管成本、數據保護主義等風險。例如，美國信息技術與創新基金會曾根據OCED的產品市場監管綜合指標體系對數據本地化造成的潛在影響進行測算，以5年為周期，一國的數據限制性增加1%，其對外貿易將減少7%，生產率降低2.9%，相關業務的產品和服務價格會上漲1.5%。

對國內市場而言，強監管可能會阻礙數據產業創新，合規成本增高后，企業可能會壓縮產品的創新支出。相較于大型跨國企業，中小型企業更難負擔高昂的合規成本，強監管可能會進一步鞏固大型企業的市場權力。強監管還會提高數字產品和服務的標準，增加的企業合規成本最終就會以產品漲價的形式轉嫁給消費者。

對國際市場而言，強監管可能會削弱我國出口型企業的全球競爭優勢，強監管還很容易變成受保護主義驅動的限制性政策，扭曲市場競爭秩序，反向推動跨國科技巨頭區分區域產品。

（三）監管競爭的底層邏輯

市場是數據監管全球競爭的底層邏輯，主權國家通過監管競爭來搶奪數字經濟紅利，獲得數字經濟的競爭優勢，由此形成新的國家競爭優勢。由是觀之，數據監管競爭的根源，或在于數據重構了全球價值鏈，成為國家競爭優勢的新“增長點”。

一方面，數據跨境流動之監管，可能觸發全球價值鏈“共振”。數據跨境流動是數字經濟時代的貿易命脈，是數據價值創造的必要一環。基于全球價值鏈，數據的價值創造過程往往涉及數據跨境流動，跨境數據流已成為跨國公司全球經營的要素，已滲透至全球貿易的各個環節：在生產階段，企業欲控制和協調各地分散的生產過程，就需要發送庫存、銷售、訂單狀態、生產計劃等數據，在交付階段，數據不僅能追蹤貨物進出口實時狀態，也是跨境提供數字服務的媒介，在使用階段，消費者體驗有賴于售后服務的有效響應，經營者需要準確監測產品性能并及時維護、修理和備件，這些都通過數據流連接。

由此可見，數據流將全球價值鏈中地理上分散的生產階段連接了起來，針對數據跨境流動的監管措施，不僅會給數據控制者，而且會給整個社會帶來巨大的機會成本。一旦數據成為通過全球價值鏈進行國際生產的關鍵要素，對數據跨境流動的監管就有可能產生貿易后果。限制數據跨境流動，采取嚴格的數據本地化措施，非但不能促使本國數據產業融入全球價值鏈，甚至可能扼殺本國數據產業的全球化發展。

另一方面，數據監管模式的全球擴張可能暗含“價值提取”邏輯，數字經濟和數據技術欠發達國家地區或面臨“數據殖民主義”風險。當原始數據流向境外，發達國家具有將之加工為數字智能并獲取數據價值的技術能力，發達國家由此具有從發展中國家采集原始數據，并通過數據處理來創造價值的經濟動機。倘若發展中國家需要進口先進的算法等數據產品來支持本國發展，數據原產地所在國在某種程度上就依賴于提取、控制數據的國家，而數據監管模式的全球化，就可能引發全球價值鏈中的不平等交換。數據監管模式全球擴張的市場邏輯在于，通過擴張本國監管模式、制定全球標準，來盡可能使自身從數據中獲益。在這種“價值提取式”的監管競賽中，成熟的數字經濟體可能因其有利的市場規模和技術實力成為贏家，但大多數中小型數字經濟體將失去提高本國數字競爭力的機會。

六、結語：“逐頂競爭”下的本土監管選擇

數據監管是國際競爭的新賽道。數據監管并無放之四海而皆準的“黃金標準”，因國家、地區的經濟、社會、政治、文化、價值觀和優先發展事項而異。數據監管競爭的實質，是各國尋求全球數字經濟中的領導地位，搶奪全球數據規則標準的話語權，搶先形成新的國家競爭優勢。

數據法的全球趨同絕非單純自發形成的法律現象。歐盟正在有意識地向包括中國在內的世界其他國家和地區進行法律輸出。“歐盟模式”的全球化呈現出不同于往昔的復雜面貌，不僅傳統法律移植仍在發揮作用，跨國公司的私人法律移植更是加速了歐盟規則的全球傳播。

我國的數據監管，呈現出“基于GDPR，超越GDPR”的強監管趨勢。但現階段實行強監管，不必然產生中國規則和標準取代“歐盟模式”的法律競爭結果。我國無力阻攔歐盟監管其內部單一市場，我國主動移植“歐盟模式”更存在制度、價值觀差異。強監管并非我國現階段數據市場立法的最優解，我國不能也不應陷入盲目移植“歐盟模式”的歷史慣性或立法惰性。

布魯塞爾效應下，“歐盟模式”的全球化高度依賴于歐盟市場的全球影響力，若歐盟以外國家地區的貿易機會和規模增加，跨國公司放棄歐盟市場并將數字貿易轉移到其他國家地區就將更為可行，歐盟的規則制定權力自然受限。反之，跨國公司對我國數字市場的依賴程度，將顯著影響我國在數據市場的規則制定權力。相較于跨國公司在本國或第三國市場份額，其對中國市場的數據產品和服務的出口比例越高，我國的數據監管權力就越大。中國雖是全球數據市場的重要組成部分，但并非典型的出口國，美歐仍是全球數字服務供給的核心區域。即便我國采取更強監管，跨國公司雖難以割舍中國市場，但更難放棄歐盟市場，跨國公司為進入中國市場所進行的非自愿市場調整，可謂動力不足。

市場規模是我國的比較優勢，也是全球數據監管競爭的底層邏輯。我國削弱歐盟數據監管權力的最優解，或在于培育本土數據市場規模，對數據市場松化監管，堅持自由市場和合同自由原則，為數字產品和服務的典型合同設置任意性規范，為數字產品和服務提供替代市場。

關鍵詞：