数据之重:美中两国数据治理和网络安全方法
国观智库
美国中美研究中心
联合课题组
2023年2月
1 目录
执行摘要.................... 1
第一部分——数据治理和网络安全给国家来带新问题与新挑战....3
一． 数据治理和网络安全研究对象和范围............ 3
二． 数据治理和网络安全研究目的.......... 4
三． 数据治理和网络安全研究方法.......... 5
四．相关政策建议...................6
第二部分——中国和美国在数据治理和网络安全方面的做法........7
一、中国.....................7
前言......................7
1.中国数据治理和网络安全制度的法律框架 ...........8
2.“雷声大，雨点大”:中国积极建立数据治理和网络安全法规........12
3.中国的数据治理机制:初步结论............. 13
二、美国...................14
1.联邦法律层面 ...............14
2.州法律层面 ...................20
第三部分——全球数据治理、跨境数据流和网络安全方法..........22
一、数字商务..................22
二、在数字经济协定中保留“监管权”.............24
三、关于数字商务的多边规则制定......... 26
四、全球网络安全规范................28
第四部分——结论：寻找数据安全定律的途中.........32
参考文献.................. 34
北京市西城区南柳巷 3 号 T: (010) 6215 8609 grandviewcn执行摘要
数据是数字经济的命脉。随着中国和美国都试图在定义第四次工业革命的关键数据产业中
占据优势，数据也成了策略竞争的舞台。习近平主席谈到数据革命给生产流程、生活方式和社
会治理方式带来的深刻变化，并强调了深化互联网、大数据和人工智能与实体经济融合的必要
性。美国国家安全顾问杰克·沙利文(Jake Sullivan)称数据是一种“力量倍增器”技术，在未来十年
将尤为重要。正是由于数字化带来的巨大利益，中国和美国都大步迈向数字前沿，但是他们的
方式并不相同。在主权、监管和安全——释放和保护数据价值的三大关键要素上，中国和美国
的做法异远大于同。
中国将数据视为独立的“生产要素”，这一做法独特且颇具远见卓识。中国采取的数据治理
和网络安全的方法是自上而下的，由国家以协调一致的方式推动。方法也是全面的，旨在在安
全性、隐私性、包容性和商业等相互竞争的因素之间取得微妙的平衡。在隐私和个人信息保护
方面，中国采取了规范性的做法。虽然大多数非个人数据或多或少被允许自由跨境流动，但个
人数据只有在目的地国被认为拥有具有内置保障措施的类似数据保护制度的情况下才能自由跨
境流动。此类数据，特别是关于敏感和其他“重要数据”必须通过安全评估，且这种安全评估涵
盖范围广泛而严格(尽管不针对任何特定的国家)。中央领导层在数据治理和网络安全方面的总
体目标是制定一个深入、流动和开放的市场的长期参数，在这个市场中，数据要素可以进行有
效和可信赖的国内和跨境无缝交易，同时防止数据误用、滥用或成为对抗国家的武器。
相比之下，美国的数据治理方法更加自由放任，由私营部门主导。一方面，美国政府极力
保护数据畅通无阻的权利，包括畅通无阻的跨境流动。在数字市场准入方面的立场激进，监管
宽松。除了有限的安全和执法例外情况，例如不得将敏感数据传输给外国对手，以及政府可以
无条件访问受美国管辖的机构和个人可能存储在海外的数据，数据可以不受阻碍地移动。个人
数据和非个人数据的处理没有实质性的区别。另一方面，美国在国家层面缺乏全面的数据保护
和隐私制度。数据相关规则由联邦和各州相关法律、美国联邦贸易委员会的裁决、特定行业的
隐私义务和机构级数据保护标准“拼凑”而成。
北京市西城区南柳巷 3 号 T: (010) 6215 8609 grandviewcn
— 1 — 中国和美国对数据治理和网络安全的不同愿景和方法阻碍了多边层面跨境数据流动规则的
发展。在各自的国内监管框架——特别是在安全和隐私框架方面——进一步统一之前，多变层
面推行跨境数字贸易自由化流动相关规则仍将十分艰难。在这种情况下，推出区域层面的规则
成为退而求其次的选择。《数字经济伙伴关系协定》(DEPA)和《全面与进步跨太平洋伙伴关系
协定》( CPTPP)等区域框架正逐渐成为跨境数据治理规则制定方面的事实标准。在这一前提
下，美国和中国可以通过第三方框架探索跨境数据流领域的潜在合作机会——尽管必须指出，
任何一方都不容易克服这其中的诸多障碍并在第三方平台上协调他们方法。
网络安全合作的情况也是如此。近年来，网络安全已成为数据治理中越来越重要的组成部
分。由于频繁的勒索病毒攻击、数据泄露等安全事件，数据正日益直接影响社会稳定、经济发
展和国家安全。然而，围绕核心网络安全规则达成全球共识一直很难，迄今为止提出的各种建
议和倡议通常都是自愿、无约束力的。不管愿不愿意，全球网络安全规则的制定将不得不由在
国内范围执行的规则和标准的拼凑而成，或者最多是由区域范围的规则和标准拼凑而成。但愿
与跨境数据流动的情况一样，大型数字生态系统之间的网络安全规范可以逐渐实现趋同。如果
没有这种融合，这些生态系统之间至少可以形成一种基本的共存。
在可预见的未来，无论是在中美层面还是在全球层面，为数据治理规则和规范铺路从而应
对数字政策挑战仍将是一项具有挑战性的工作。然而，鉴于数据对21 世纪生活方式以及社会、
工业和经济进程的深远影响，必须以饱满的智慧和决心寻求全球、区域和双边治理规则和规范
的协调。
北京市西城区南柳巷 3 号 T: (010) 6215 8609 grandviewcn
— 2 —第一部分——数据治理和网络安全给国家来带新问题与新挑战
在全球大宗商品价格攀升、核心通胀高企、经济增速减弱的世界中，总要有些亮点来呵护
大家对未来的信心。数字经济就被寄予这样的厚望。
随着主要经济体竞相建立由5G、人工智能(AI)、云计算和物联网(IoT)等一系列创新推动的
数字经济，数字前沿成为一个充满机遇和挑战的领域。预计到 2025 年，新数字技术构成的全球
市场规模预计将达到数万亿美元，数字市场将具有巨大的增长潜力。作为全球排名前两位的经
济体，中美两国都不愿错过数字经济大潮，各自迅速推动本国经济以及国际经济的数字化。中
国将发展数字经济置于“双循环经济”愿景的核心，美国强调数字贸易是其新的印太经济框架
(IPEF)的核心组成部分。
中美两国各自构建起基于数字经济的庞大愿景，而要将愿景变为现实，数据治理和网络安
全是难以回避的问题。数字经济驱动全球发展，数据则负责驱动数字经济。数据治理和网络安
全就是基于数据这个基本要素进行规划管理与协调合作，保障数据能在安全有序运行。
一． 数据治理和网络安全研究对象和范围
数据治理的概念最早在 20 世纪 90 年代网络大爆炸的时代就已被提及。按照国际标准化组
织的定义，数据治理是指对数据资产管理行使权力和控制的活动集合，包括规划、监督和执行
等，旨在为组织的数字化转型奠基并赋能，助力实现数据资产的价值最大化，并拓展数字化应
用的想象空间。也有研究认为，数据是一种资产，通过服务产生价值，数据治理是在数据产生
价值的过程中，治理团队做出的评价、指导和控制。
数据的价值在于流动与汇聚，这通过数据开放、交换和交易等形式实现。但流动与汇聚如
果只遵循市场规则，会在一国市场内会造成数据垄断，在全球范围内会带来数据霸权，就需要
针对数据流动中存在的问题进行数据治理，衍生出网络安全问题。数据垄断会导致数据滥用，
北京市西城区南柳巷 3 号 T: (010) 6215 8609 grandviewcn
— 3 —