黨的十八大以來，黨中央高度重視發展數字經濟，將其上升為國家戰略。我國數字經濟規模連續多年位居世界第二，促進數據要素合規高效跨境流通已成為保障經濟穩定運行的基本要求之一。為搶占以數字經濟為焦點的新一輪國際競爭制高點，美歐搶先拋出了以《通用數據保護條例》（GDPR）為代表的歐洲方案和以跨境隱私規則體系（CBPRs）為代表的美國方案，其他國家地區也紛紛跟進，建規則、拉“圈子”，從個人信息保護的角度對國際數據流通進行“拉閘限流”。面對錯綜復雜的國際局勢，習近平總書記多次指出，要積極參與數字經濟國際合作，主動作為，維護和完善多邊數字經濟治理機制，提出中國方案，發出中國聲音。

為落實黨中央重要部署，中央網信辦和市場監管總局依據《網絡安全法》《數據安全法》《個人信息保護法》有關要求，連續發布關于開展數據安全管理認證、開展個人信息保護認證等的聯合公告，如《關于開展數據安全管理認證工作的公告》《關于個人信息保護認證工作的公告》，初步建立起以數據安全管理認證和個人信息保護認證為核心的數據安全認證制度體系，不斷完善數字經濟安全治理的中國方案，并圍繞落實《個人信息保護法》第三十八條第二款，即“跨境個人信息保護認證”條款，推動探索個人信息保護認證國際互認，在數字經濟國際合作中發出中國聲音。

一、認證認可在促進貿易便利、實現市場國際共治中的重要作用

認證認可作為國際通行的質量管理手段和貿易便利化工具，是實現市場國際共治的有效手段，在全球貿易體系中發揮著協調國際市場準入、促進貿易便利等重要作用，能有效促進國際市場規則對接、提升市場開放程度，是多雙邊貿易體制中促進相互市場開放的制度安排。

在實現市場國際共治中，各國法規是市場準入的最大障礙。從歷史發展經驗看，其解決之道就是認證結果的國際互認：首先，通過認證解決國內市場準入問題。將法規要求落實為技術標準，通過認證來證明標準符合性以提供合法合規的權威證據，執法機構通過采信認證結果，一方面降低了執法成本，另一方面也降低了技術風險；其次，由于各國認證制度差異，為進入各國市場，供應商需要反復申請多國認證，耗費巨大的人力物力成本，某些國家可利用認證制造貿易中的非關稅壁壘，限制其他國家的商品或服務進入，特別是發達國家有可能據此對發展中國家采取歧視政策，因此，實現認證的相互承認成為打破技術性貿易壁壘，促進市場國際共治的有效方法。

目前，國際數字經濟發展中規則林立、壁壘重疊、貿易受阻的趨勢已經顯現，與 20 世紀 60、70 年代工業經濟時代工業品國際貿易中面臨的情況極為類似。當時，國際標準化組織（ISO）和關貿總協定（GATT）都意識到認證的國際互認對促進經濟發展和消除貿易中的技術壁壘的重要性，并在推進各國認證制度的規范化基礎上逐步建立起國際互認體系，惠及全球貿易。

我國也是該國際互認體系的受益者：以電子產品為例，每年有 6 萬多家中國企業獲得國際電工委員會電工產品安全認證測試證書（IECEECB），平均降低出口成本三分之一以上；以食品為例，我國加入占全球食品貿易總額的 65% 的“全球食品安全倡議”（GFSI）體系后，每年有 4000 余家食品企業從中受益；我國還在國際上某些認證認可領域發揮了主導引領的作用，主導建立的 LED 認證成為國際電工委員會電子元器件合格評定體系（IECQ）的國際認證制度，直接惠及幾千億元的 LED 產業。目前，我國已經加入了 21 個認證認可國際組織，對外簽署 15 份多邊互認協議、123 份雙邊合作互認安排，國際互認范圍覆蓋占全球經濟總量 90% 以上的區域，為我國大量產品、服務出口提供“一次檢測，一次認證，全球通行”的便利化服務。

二、個人信息保護認證互認對推進數字經濟國際合作的重要意義

早在 2011 年的世界經濟論壇報告中就指出個人數據是一種新的經濟資產類別。數字經濟的蓬勃發展需要大量的用戶數據以達到規模效應，我國電商交易額、移動支付交易規模都穩居全球第一，其基礎就是海量個人信息的匯聚和流通。但同時也應看到，對個人信息的過度收集和濫用將引發消費者的強烈質疑和反對，從長期來看，必然導致消費者對各類數據處理者的不信任，為保護個人權益，最終選擇放棄數字消費，這將從根本上損害和動搖數字經濟的基礎。而個人信息保護認證就是解決數字經濟國際合作中的信任問題、規則問題的有效方案，其優勢體現在如下三個方面。

（一）在國內外監管機構、企業、消費者間傳遞信任

個人信息保護認證的目的就是證明個人信息處理者的個人信息處理活動合規合法，幫助建立消費者對個人信息處理者的信任。通過引導消費者選擇通過認證的合規個人信息處理者，鼓勵企業主動保護用戶的個人權益，通過市場的正向選擇，使誠信守法的企業獲得更多的用戶認可和更大的市場份額，并帶動更多企業保護個人權益，形成三方受益的良性的市場生態：消費者獲得了選擇合規產品或服務的依據，避免個人權益受損；制造商和服務提供者獲得了確定其產品和服務符合法律法規、標準規范并按顧客期望提供的證明，從而獲得市場信任，避免了違規導致的損失；監管部門則獲得了執行法律法規和實現公共政策目標的專業化、市場化、國際化支撐手段。

更進一步，通過推動國際統一的認證制度的建立，在國際組織成員間實現一個標準、一次認證、全球通行。按照國際規則開展的認證活動、出具的認證證書，更容易在各個國家得到承認。

（二）保障數據要素合規高效跨境流通

從全球范圍來看，數字經濟正在成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。數據要素合規高效跨境流通是保證數字經濟穩定、順暢運行的關鍵，據美國智庫布魯金斯學會的相關研究，2009—2018 年十年間，全球數據跨境流動對全球經濟增長貢獻度高達 10.1%，預計 2025 年有望突破 11 萬億美元。目前，各國紛紛針對數據安全、個人信息保護立法，客觀上增加了數據要素流通的難度，為跨國業務帶來了很大的不確定性。不同于工業時代，工業品國際貿易主要面臨的問題是如何進入他國市場；在數字經濟時代，由于數據是一種戰略資產，數據要素流通面臨的主要問題是一方面要保證本國數據安全出境，另一方面還要吸引他國數據順暢流入。

實現數據要素的流通與實現認證的國際互認一樣，最根本的因素是政治和經濟考量，而且基于個人信息的數據資產屬性，各國都會希望可以盡可能多的數據凈流入而非流出。但在全球化背景下，任何單邊主義、閉關主義都不符合數字經濟發展的要求，就像航空、旅游產業的需求一樣，我們既要讓本國個人信息能流出，保證國內旅客出得去，也要讓國外個人信息能流入，保證國外旅客進得來。要實現雙向的數據流通，必須依賴于雙方信任、共同遵循的規則。近 50 年的國際實踐表明，認證結果的國際互認體系規則是有效的解決方案之一?；诠_透明、相互認可的個人信息保護認證，有助于減少各方對隱私和個人權益保護的安全疑慮，并通過國際通行的規則弱化政治經濟影響。而認證的專業性，也能保證個人信息跨境流通的高效、合規。

（三）在跨境數據治理的國際博弈中爭取主動

2019 年 1 月，包括美國、歐盟、中國、俄羅斯在內的 76 個 WTO 成員共同簽署《關于電子商務的聯合聲明》，美國主導提出“跨境數據自由流動”“禁止數據本地化”等主張，而中國則表明這些問題需進行“進一步解釋性討論”。博弈還延伸到 WTO 多邊框架之外，上述主張已被納入美國、歐盟主導的《全面進步的跨太平洋伙伴關系協定》（CPTPP）、《日本—歐盟經濟伙伴關系協定》（EPA）、《美墨加貿易協定》（USMCA）等。此外，2019 年 10 月，英美簽署基于美國云法案的《數據訪問協議》，進一步推動其數據跨境規則落地實施。

美歐日之間有關跨境數據流動的制度范圍正在逐步擴大，通過構建“數據共同體”來主導跨境數據流動規則的制定，并初步形成了 GDPR 和 CBPRs 兩個體系。但也應看到，美、歐等的主張在實踐中還存在諸多問題，不能完全“自洽”。例如，美國在宣稱“數據自由流動”的同時，實際上正在通過限制重要技術數據出口以及特定數據領域的外國投資進行數據跨境流動管制。例如，2018 年 8 月簽署的《美國出口管制改革法案》就特別規定，出口管制不僅限于“硬件”出口，還包括“軟件”，如科學技術數據傳輸到美國境外的服務器或數據出境，必須獲得商務部產業與安全局（BIS）出口許可。而美國對 TikTok 的“本地存儲”限令，也戳破了其“數據自由流動”的幌子。就本質而言，美國是通過輸出規則來爭奪跨境數據治理話語權。

總體而言，目前國際數據治理規則仍然呈現碎片化特征，各國基于各自的政治、經濟現實利益，在許多原則問題上尚未達成共識，統一的治理框架并未形成，各方的國際規則體系大多處于雙邊、區域試行狀態，距離實質性落地尚需時日。在這種背景下，積極推動個人信息保護認證的國際互認，在跨境數據治理國際規則體系制定中主動提出中國方案，有利于打破美、歐對規則的壟斷，消解其對我的進攻，擴大中國“朋友圈”，保護我國數字經濟的健康、穩定運行。

三、個人信息保護認證互認的實現途徑

從政治、經濟、技術等多個因素考慮，個人信息保護認證的國際互認絕非能夠一蹴而就，歐美在這個領域的多年實踐也僅是摸著石頭過河，GDPR 體系下的首個認證制度 GDPR-CAPRA 今年 5 月才在盧森堡推出，并且沒有直接支持跨境互認。因此，實施路徑的設計一定遵守循序漸進原則，首先是政治上互信，其次是經濟上互需，最后是技術上可行。

一種可行的途徑是：第一步，實現國內數據跨境認證。在個人信息保護認證基礎上，探索建立粵港澳大灣區三地監管機構認可的跨境個人信息保護認證規則，實現個人信息保護認證結果的三地采信；第二步，實現區域性數據跨國認證。以粵港澳大灣區互認規則為基礎，依托現有的區域互認合作框架，推動建立東盟、“一帶一路”沿線國家的個人信息保護區域互認體系；第三步，實現國際數據互認。推動相關標準規范的國際化，在 WTO 框架下，促成個人信息保護認證國際互認體系的建立。

（一）三地互認：粵港澳大灣區

在法規政策層面，由于《個人信息保護法》與香港《個人資料（私隱）條例》、澳門《個人資料保護法》基本原則較為接近，為互認提供了法律基礎?！稒M琴粵澳深度合作區建設總體方案》《廣東省數據要素市場化配置改革行動方案》《廣東省人民政府關于加快數字化發展的意見》《深圳建設中國特色社會主義先行示范區綜合改革試點實施方案（2020 － 2025 年）》等文件都提出了推動粵港澳大灣區數據有序流通、構建數據要素流通順暢的數字大灣區等任務，為互認提供了政策基礎。

在技術層面，GB/T35273《個人信息安全規范》、TC260-PG-20222A《網絡安全標準實踐指南—個人信息跨境處理活動安全認證規范》提供了符合相關法規的技術標準，可在其基礎上進一步修改形成三地跨境認證依據標準。依據相關法規、文件和標準，通過制定發布粵港澳大灣區三地監管機構認可的跨境個人信息保護認證規則，可實現個人信息保護認證結果的三地采信。

可根據相關文件要求“支持科研合作項目需要的醫療數據等數據資源在大灣區內有序跨境流動”“支持珠海、澳門相關高校、科研機構在確保個人信息和重要數據安全前提下，實現科學研究數據跨境互聯互通”，首先啟動科學數據、醫療數據等領域的個人信息跨境試點，進而推動建立粵港澳個人信息跨境流動自由港。

（二）區域互認：東盟、“一帶一路”沿線國家等

東盟在數字經濟、數據跨境方面陸續出臺了《東盟互聯互通發展計劃 2025》《東盟數字發展計劃 2025》《東盟數字數據治理框架 2018》《東盟個人數據保護框架 2016》等政策，也形成了自愿性的《東盟數據管理框架和跨境數據傳輸機制的實施指南》（CBDF）、《東盟數據管理框架》（DMF）、《東盟跨境數據傳輸合同條款模板 2021》等東盟內數據跨境指導文件。這些文件為實現與東盟數據跨境互認提供了基礎，但目前還沒有形成東盟層面廣泛接受的跨境規則。美國 CBPR、歐盟 GDPR 都在積極爭取對東盟地區施加影響，由于經濟和地緣因素，日本于 2019 年在 G20 峰會提出的“信任數據自由流動”（DFFT）也在東盟地區具有一定影響力。

我國與東盟在數字領域已建立了“中國－東盟數字部長會議”“中國－東盟智慧城市合作”“中國－東盟信息通信基礎設施互聯互通”“中國－東盟數字經濟合作年”的合作機制，為推動與東盟的區域互認提供了平臺。由于東盟數據跨境與 RCEP 電子商務章中的數據跨境流動政策密切相關，我國在加入 RCEP 后，具備了更好地推動互認的條件。近期，我國提出加入新加坡主導的 DEPA，也為實現互認提供了更多、更好的選項。

在“一帶一路”國家方向上，我國通過《共同推動認證認可服務“一帶一路”建設愿景與行動》三年計劃，已與 30 多個“一帶一路”沿線國家和地區建立雙邊合作關系，為推動與“一帶一路”國家的區域互認提供了合作框架基礎。

（三）國際互認

實施以國際標準和規則為依據的國際認證制度，才能更加有效地推動數字經濟貿易，減少貿易中的技術壁壘。從長期來看，要在區域互認的基礎上，聯合相關國家、地區，積極推動有關標準的國際化，主動主導個人信息保護認證國際互認規則的制定，引領國際數據跨境流動治理，用中國方案服務世界經濟發展。

本文來自中國信息安全，如有侵權聯系刪除