刘宏松、程海烨：跨境数据流动的全球治理：进展、趋势与中国路径(11)

（二）与GDPR的实施方欧盟进行规制协调
中国可以在加入CBPR体系的同时，与GDPR的实施方欧盟进行规制协调。中国的市场规模虽不及欧盟，但处在同一级别。英国脱欧后，中国与欧盟的市场规模更加接近。因此，中欧双方具备开展规制协调的市场权力基础。[96]同时，中国与欧盟开展跨境数据流动的规制协调也具有可行性。
第一，欧盟坚持以人为本的数字经济发展理念与中国以人民为中心的数字中国战略目标相符。欧盟在《塑造欧洲的数字未来》战略中，强调坚持以人为本理念，认为科技服务于民众，重视通过数字经济改善人们的生活。[97]而中国在数字中国战略中，也明确提出运用大数据保障和改善民生，尤其是推动教育、就业、社保等领域大数据的普及。[98]中国与欧盟秉持的数字为民理念构成了双方进行跨境数据流动规制协调的基础。
第二，中国和欧盟均重视个人隐私保护。如前文所述，欧盟重视隐私保护，看重数据接收国在隐私保护方面的法律保障体系。中国不仅重视个人信息保护，更关注数据安全和网络安全。由于GDPR的充分保护原则与美国强调的跨境数据自由流动原则存在冲突，美欧双方分歧不断。中国对网络安全、个人信息保护和数据安全的重视，使得中国和欧盟可以避免在核心原则上出现分歧，因而极大地提升了双方进行规制协调的可能性。
当然，加入APEC框架下的CBPR体系并与GDPR的实施方欧盟进行规制协调，也会为中国带来新的挑战。首先，APEC框架下的CBPR体系是美国主导的俱乐部标准。虽然加入CBPR体系的国家不需要修改本国的数据隐私法，但该体系规定，参与国在管控个人信息出境时不得要求数据接受方提供超过《APEC隐私框架》的保护水平。[99]因此，参与国仍然需要根据APEC最低标准修改本国相关的跨境数据流动条例。这将在一定程度上限制中国在监管标准方面的自主权。其次，数据信息处理主体不对称，将增加国家与企业及企业之间的互操作成本。中国要求国家统一领导各地区、各部门对数据信息的处理。《中华人民共和国数据安全法（草案）》总则第6条指出，中央国家安全领导机构负责数据安全工作的决策和统筹协调，研究制定、指导实施国家数据安全战略和有关重大方针政策；
[100]而CBPR体系和GDPR认可个人数据的收集、处理和使用在企业层面完成。若中国加入CBPR体系并与欧盟进行规制协调，参与跨境数据流动的企业需要接受国家机关和数据流向国家及其企业数据保护机制等多方监督，这将增加跨境数据流动的互操作成本和执行风险。