数字主权作为新兴国家权利主张的规范扩散路径-基于2023–2025年欧盟《数据治理法案》

数字主权作为新兴国家权利主张的规范扩散路径——基于2023–2025年印度《数字个人数据保护法》、欧盟《数据治理法案》一、摘要与关键词摘要：在全球数据政治经济格局加速重构的背景下，数字主权已从一个边缘概念演变为国家在数字空间主张其核心权利的新兴规范。本研究旨在探讨数字主权这一新兴规范的全球扩散路径，特别是其如何通过不同国家的立法实践，演化出多元且相互竞争的模式。本研究选取二零二三至二零二五年这一关键时间窗口，以欧盟《数据治理法案》与印度《数字个人数据保护法》为两大核心比较案例。研究采用规范扩散理论与比较案例研究方法，对两大立法框架的文本、目标与域外策略进行深度剖析。研究发现，数字主权的扩散并非一个“自上而下”的统一过程，而是一个“多点迸发、竞争性趋同”的复杂路径。欧盟通过《数据治理法案》，将其数字主权主张从“防御性”的个人隐私保护（如《通用数据保护条例》），升级为“进攻性”的数据要素市场构建。它试图通过“布鲁塞尔效应”，输出其“以权利为本、以市场为导向”的规范，旨在建立欧洲的数据战略自主。与此同时，印度作为“全球南方”的代表，其《数字个人数据保护法》则开创了一条截然不同的“发展中国家”路径。该法案在借鉴国际通行规则的同时，通过“白名单”制度和强大的国家豁免条款，构建了“以发展为先、以国家为中心”的数字主权模式。本研究结论指出，欧盟与印度正分别扮演着“规范制定者”和“规范编辑者”的角色，它们之间的竞争与互鉴，正在共同推动数字主权从一个抽象主张，具体化为可操作的国家权利，但也预示着全球数字治理正加速走向一个多极化、碎片化的规范未来。关键词：数字主权；规范扩散；数据治理法案；数字个人数据保护法；比较治理二、引言深入阐述研究问题的宏观背景与现实意义我们正处于一个由数据流、数字基础设施和算法权力共同定义的新时代。数据已成为驱动全球经济增长、社会运行乃至国际力量对比的核心战略资源。然而，这一“数据革命”的B面，是全球治理赤字的不断扩大。以美国大型科技平台为主导的“市场失灵”和个别国家“数字威权主义”的“政府滥用”，共同侵蚀着个人隐私、市场公平和国家安全。在此背景下，战后建立的以“数据自由流动”为理想模型的全球数字治理框架，正面临根本性的合法性危机。作为对这一危机的回应，“数字主权”的概念应运而生。它不再被简单地等同于“数字保护主义”或“网络巴尔干化”的贬义词，而是被日益视为国家在数字时代行使其政治、经济和法律管辖权，保护其公民、经济体和基础设施免受外部威胁与不当干预的合法权利主张。从根本上说，数字主权是传统威斯特伐利亚主权在数字空间的延伸和重申。然而，数字主权作为一个“新兴规范”，其内涵是高度流动和充满争议的。它究竟包含哪些权利？其边界何在？更重要的是，这一规范是如何在全球范围内被接纳、传播和演化的？这一过程并非由某个单一霸权国家主导，而是呈现出多元主体共同参与、相互竞争的复杂态势。进入二零二三至二零二五年这一关键的立法窗口期，我们清晰地观察到两大具有全球性影响力的行动者，正在通过其里程碑式的立法，为“数字主权”提供截然不同的规范文本。其一，欧盟。作为全球“规范性力量”的代表，欧盟在二零一八年《通用数据保护条例》之后，并未停止其立法步伐。相反，它通过了以《数据治理法案》和《数据法案》为核心的一揽子新法案。这标志着欧盟的数字主权战略，已从“保护个人数据”的防御阶段，转向了“激活数据价值、构建数据市场”的进攻阶段，其目标是实现“欧洲数据战略自主”。其二，印度。作为“全球南方”和新兴数字大国的领头羊，印度在经历了近十年的辩论后，终于在二零二三年通过了其划时代的《数字个人数据保护法》。该法案并非对欧盟模式的简单复制，而是创造性地提出了一套独特的解决方案，试图在保护公民隐私、促进数字经济蓬勃发展与维护国家强大能力之间，走出一条“印度道路”。欧盟与印度的立法实践，不仅是其内部治理的选择，更是其向全球输出治理理念、争夺未来数字世界规则制定权的战略布局。它们共同推动了“数字主权”这一规范的全球扩散，但其扩散的路径却是竞争性的，而非统一的。明确、具体地提出研究要解决的核心问题本研究旨在深入探讨“数字主权”这一新兴国家权利主张的全球规范扩散路径。基于欧盟与印度在二零二三至二零二五年间的关键立法实践，本研究的核心问题是：欧盟《数据治理法案》和印度《数字个人数据保护法》分别构建了何种不同内涵的数字主权规范？它们各自依赖何种独特的机制来推动这一规范的全球扩散？这种“竞争性扩散”的路径，揭示了全球数字治理规范演化的何种新趋势？为了系统性地回答这一核心问题，本研究将聚焦于以下三个子问题：1.规范内涵的比较：欧盟《数据治理法案》与印度《数字个人数据保护法》在界定数据权利归属、规范数据跨境流动、设定国家权力边界（特别是政府豁免）以及平衡“保护”与“利用”关系上，存在哪些根本性的差异？它们各自所体现的“数字主权”的最终目标是什么？2.扩散机制的比较：欧盟和印度分别采用了何种策略来推动其规范的国际化？是依赖“布鲁塞尔效应”的市场准入胁迫，还是依赖“发展中大国”的示范效应与“数字公共产品”外交？3.扩散路径的本质：这两大案例所揭示的，是一种趋向“全球统一标准”的扩散，还是一种导致“规范碎片化”的扩散？这种竞争性扩散的背后，是单纯的经济利益之争，还是更深层次的治理哲学与地缘政治之争？清晰地陈述研究目标、研究内容以及本文的结构安排本研究的核心目标是，通过对欧盟与印度两大关键案例的深入比较，超越对数字主权概念的抽象讨论，揭示其在当代国际关系中作为“新兴国家权利”的具体扩散机制和多元演化路径。本研究旨在论证，全球数字治理的未来，并非由单一模式主导，而是由欧盟的“规范权力”、印度的“发展中权力”以及其他主要行动者（如美国、中国）的模式相互竞争、碰撞和共同塑造的。研究内容将以规范扩散理论为分析框架。首先，本研究将系统梳理数字主权和规范扩散的既有文献。其次，将阐明本研究采用的比较案例研究方法。再次，作为本文的核心，第五部分将对欧盟《数据治理法案》和印度《数字个人数据保护法》进行深度剖析，从“规范内涵”和“扩散机制”两个维度进行系统性比较，并讨论这种“竞争性扩散”的本质。最后，本研究将总结研究发现，并探讨其对未来全球数字治理格局的理论与实践启示。本文的结构安排如下：第一部分为摘要与关键词；第二部分是引言；第三部分为文献综述，回顾相关理论与研究现状；第四部分为研究方法；第五部分是研究结果与讨论，是本文的核心实证与分析；第六部分是结论与展望。三、文献综述系统梳理与本研究相关的国内外研究现状本研究的理论根基跨越了国际关系理论、比较政治经济学和数字治理研究三个领域。相关文献的梳理主要围绕“数字主权的概念演化”、“规范扩散的理论模型”以及“数据治理的比较研究”三个方面展开。第一，数字主权的概念演化与理论争鸣。“数字主权”是一个源于实践、充满争议的概念。早期，它常被与“网络主权”混同，并被西方主流话语视为一种威权国家（如俄罗斯、中国）用以合理化信息审查和网络管制的工具，是“互联网开放自由”的对立面。然而，自“斯诺登事件”和剑桥分析丑闻以来，这一概念的内涵发生了深刻变化。以欧盟为代表的西方内部力量，也开始积极倡导数字主权，将其重新阐释为保护公民隐私、抵御外部（特别是美国科技巨头）数据霸权、实现“技术自主”和“战略自主”的合法追求。学术界对数字主权的研究，已从早期的“污名化”批判，转向对其多维度内涵的精细化分析，通常将其解构为基础设施主权、数据主权、平台主权和规范主权等不同层面。尽管如此，学术界对于数字主权究竟是一种倒退的“保护主义”，还是一种必要的“数字宪政主义”，仍未达成共识。第二，规范扩散的理论模型。在国际关系理论中，规范扩散研究属于社会建构主义学派的核心议题，它探讨的是国际社会中的“适当行为标准”是如何出现、传播并被接受的。经典理论，如费丽梅和西金克提出的“规范生命周期”模型，将其划分为“规范出现”（由规范企业家推动）、“规范瀑布”（国家间的大规模采纳）和“规范内化”三个阶段。关于扩散的机制，学者们指出了“强制”（如制裁）、“劝说”（如外交倡议）、“社会化”（如国际组织培训）、“模仿”（如追随成功典范）和“竞争”（如不同规范间的优胜劣汰）等多种路径。其中，布拉德福德提出的“布鲁塞尔效应”理论，是近年来规范扩散领域最具影响力的进展。该理论雄辩地论证了欧盟如何利用其庞大的内部市场准入为杠杆，单方面地将其监管标准（如《通用数据保护条例》）输出到全球，迫使跨国公司和第三国政府“自愿”遵从。第三，全球数据治理的比较研究。在全球数据治理领域，“三巨头”模型是长期占据主导地位的分析框架，即美国代表的“市场驱动”模式、中国代表的“国家驱动”模式，以及欧盟代表的“权利驱动”模式。这一框架对于理解全球数据政治的基本分野具有重要价值。然而，随着全球政治经济格局的演变，这一框架的局P性日益凸显。深入分析现有研究的贡献与不足之处现有研究的贡献在于：它们为数字主权提供了丰富的概念辨析，为规范扩散提供了成熟的理论工具（特别是“布鲁塞尔效应”），并为数据治理建立了初步的比较框架。然而，面对二零二三至二零二五年这一急剧变化的“新数据时代”，现有研究存在三大显著不足：其一，对欧盟“第二波”规范的分析滞后。现有关于欧盟的研究，绝大多数仍聚焦于《通用数据保护条例》。但该条例的本质是“防御性”的，主要关注个人数据保护。对于以《数据治理法案》和《数据法案》为代表的“第二波”立法，即欧盟如何转向“进攻性”的、以“数据共享和市场构建”为核心的数字主权战略，学术界的研究尚处于起步阶段，未能充分揭示这一转变为“布鲁塞尔效应”带来的新内涵。其二，对“全球南方”能动性的系统性忽视。传统的“三巨头”模型，将“全球南方”国家（如印度、巴西、南非）视为被动的“规范接受者”或“模仿者”。这种“欧洲中心论”或“大国中心论”的视角，严重低估了这些新兴大国在全球数字治理中的“规范塑造”能力。特别是印度，其《数字个人数据保护法》的最终出台，标志着一个庞大的、具有全球影响力的“第四种模式”的出现，但学术界对其规范内涵和扩散策略的系统性研究极其匮T。其三，对“竞争性扩散”的路径探讨不足。现有规范扩散理论多强调“单一规范”的线性传播。但现实是，数字主权这一规范，从一开始就是在“多重源头”的竞争中扩散的。欧盟的“权利模式”和印度的“发展模式”，并非简单的“先进”与“落后”的关系，而是两种针对不同国情、具有不同合法性基础的“有效”模式。它们之间的“竞争”本身，就是规范扩散的主要路径。现有文献缺乏对这种“竞争性扩散”机制的深入理论探讨。明确提出本文的研究切入点、理论价值和创新之处基于以上分析，本研究的切入点在于：打破传统的“三巨头”分析框架，将欧盟的“第二波”数据主权战略（以《数据治理法案》为代表）与“全球南方”新兴的“发展型”数据主权战略（以印度《数字个人数据保护法》为代表）进行平等且系统的比较，并以“竞争性规范扩散”为核心理论透镜，剖析二零二三至二零二五年间全球数字治理规范演化的最新动态与核心机制。本文的理论价值在于：1.拓展规范扩散理论：本研究将“竞争性扩散”作为分析核心，论证了规范扩散并非总是“瀑布式”的单向传播，而更可能是“多源头”的竞争性演化。通过引入印度的案例，本研究为“布鲁塞尔效应”提供了一个强大的参照系，展示了一种非西方的、基于“发展”话语的规范扩散新路径。2.更新数字治理模型：本研究通过对印度模式的深入分析，挑战了“三巨头”框架的局限性，论证了“全球南方”作为“规范编辑者”和“独立一极”的崛起，为理解多极化世界中的数字治理提供了更切合现实的分析框架。本文的创新之处在于：1.案例的前沿性与比较性：选取二零二三至二零二五年这一“立法大年”的两个最新、最关键的法案（DGA与DPDPA）进行直接比较，填补了学术界对这两大“新文本”比较研究的空白。2.视角的平等性：首次将印度的数字主权主张，置于与欧盟平等的“规范创制者”地位进行分析，摆脱了“中心—边缘”的传统视角。3.机制的深挖：本文不满足于描述法律条文，而是深入挖掘两大规范背后的“扩散机制”，即欧盟的“市场权力”如何与印度的“发展话语”及“技术外交”（如“印度堆栈”）相结合，在全球范围内争夺“规范同盟”。四、研究方法说明本研究采用的整体研究设计框架本研究旨在深入理解“数字主权”这一新兴规范的扩散路径与竞争性演化。鉴于研究的核心在于剖析和比较两种不同治理模式的规范内涵、扩散策略及其背后的逻辑，本研究采用了定性研究的方法论。具体而言，本研究的设计是一种比较案例研究法（ComparativeCaseStudy），并结合了过程追踪（ProcessTracing）的分析技术。本研究将欧盟（以《数据治理法案》为核心代表）和印度（以《数字个人数据保护法》为核心代表）视为两个独立的“关键案例”。案例的选择基于它们作为“规范企业家”（NormEntrepreneurs）的代表性：欧盟是全球公认的“规范性力量”，其“布鲁塞尔效应”是规范扩散的经典模式；印度则是“全球南方”中首个系统性构建其数字主权法律框架、并具有全球性示范效应的新兴大国。二零二三至二零二五年这一时间窗口，是两者新规范“成型”并开始“扩散”的关键时期。本研究的整体框架是“规范内涵—扩散机制—竞争性演化”的分析逻辑。本研究不寻求建立统计学意义上的因果关系，而是旨在通过对两大案例的深度比较和“同异”分析，揭示数字主权规范扩散的内在机制和多元路径，从而构建一个关于“竞争性规范扩散”的理论解释。详细介绍数据收集的方法本研究的数据来源全部为公开可获取的二手资料，以确保研究的透明度和可重复性。数据收集将采用“目的性抽样”和“滚雪球”相结合的方式，围绕两大案例，系统性地搜集以下三类文献：1.核心法律与政策文本（一手数据）：这是本研究的基石。欧盟案例：欧盟《数据治理法案》（DGA）的最终法律文本；欧盟委员会关于“欧洲数据战略”的官方通讯文件；《数据法案》（DataAct）的提案与最终文本；《通用数据保护条例》（GDPR）的关键条款（作为比较基线）。印度案例：印度《二零二三年数字个人数据保护法》（DPDPA）的最终法律文本；该法案的历次草案（如二零一九年、二零二二年草案）以追踪其演变；印度议会联合委员会（JPC）的相关报告；印度电子和信息技术部（MeitY）发布的官方解释和配套规则草案。2.过程性与背景性文献：用于理解规范形成和扩散的动态过程。立法过程文件：欧盟议会和理事会的辩论记录；印度议会的辩论记录；关键人物（如欧盟委员布雷顿、印度信息技术部长）的公开演讲和声明。国际互动文件：欧盟与印度在G20、世界贸易组织（WTO）等场合关于数据流动的提案和立场文件；双方在双边贸易协定（如印欧自由贸易协定谈判）中关于数据章节的表态。3.二级分析与评论文献：用于交叉验证和提供多元视角。学术论文：国际法、国际关系、信息政策等领域的权威期刊上关于DGA、DPDPA和数字主权的最新研究。智库报告与专业评论：来自欧洲（如Bruegel、CEPS）、印度（如CarnegieIndia、ObserverResearchFoundation）以及国际（如AccessNow、Brookings）知名智库和法律事务所的深度分析报告。详细阐述数据分析的技术和方法本研究的数据分析是一个定性的、阐释性的过程，旨在重构两大规范的内涵与扩散路径。分析将分三步走：第一步：规范内涵的定性内容分析（QualitativeContentAnalysis）。本研究将对欧盟DGA和印度DPDPA的核心法律文本进行系统性的“主题编码”和“比较分析”。分析将聚焦于回答“规范是什么”的问题。编码将围绕以下核心主题展开：数据权利归属：法律如何界定“数据主体”（个人）、“数据控制者”、“数据处理者”以及“国家”的权利与义务？数据跨境流动机制：是采取欧盟式的“充分性认定”（白名单，默认禁止），还是印度式的“否定列表”（黑名单，默认允许）或“白名单”（积极列表，如DPDPA的最终模式）？国家权力豁免：法律在何种程度上、以何种理由（如国家安全、公共利益）授予政府豁免权，使其不受数据保护义务的约束？核心治理目标：立法的主要目的是“保护个人权利”、“激活数据市场”，还是“赋能国家发展”？通过对这些主题的比较，本研究将提炼出欧盟“权利—市场”型数字主权与印度“发展—国家”型数字主权的清晰画像。第二步：扩散机制的过程追踪（ProcessTracing）。本研究将运用“过程追踪”的方法，分析“规范是如何扩散的”。欧盟案例（追踪“布鲁塞尔效应2.0”）：本研究将追踪DGA如何通过“数据中介服务商”的资质要求、“欧洲数据空间”的建立，来迫使或吸引非欧盟企业（如美国云服务商）遵守其标准，以进入其庞大的数据共享市场。印度案例（追踪“发展型规范外交”）：本研究将追踪印度政府如何在G20等国际场合倡导其“数字公共基础设施”（DPI，如“印度堆栈”）理念，以及其DPDPA的“白名单”机制如何被用作一种外交和贸易谈判的“杠杆”，吸引其他国家与其建立“数据伙伴关系”，从而输出其“发展优先”的治理模式。第三步：比较分析与理论构建（ComparativeAnalysisandTheoryBuilding）。在最后一步，本研究将对两大案例的分析结果进行综合比较，从“规范扩散理论”的视角进行阐释。本研究将论证，欧盟与印度的案例共同展示了一种“竞争性规范扩散”的新模式：即全球规范的形成，不再是“单中心”的瀑布式扩散，而是“多中心”的、不同规范源头之间相互竞争、相互模仿、相互“编辑”的动态过程。欧盟扮演了“规范制定者”，而印度则扮演了“规范编辑者”和“替代性规范提供者”。这一过程最终导致了数字主权规范在全球的“趋同性扩散”（即各国都认识到需要数据立法）和“差异化内化”（即各国立法内容截然不同）。五、研究结果与讨论通过对欧盟《数据治理法案》（DGA）和印度《二零二三年数字个人数据保护法》（DPDPA）的深度比较分析，本研究揭示了“数字主权”这一新兴国家权利主张，正沿着两条截然不同但又相互影响的路径进行全球性扩散。欧盟正试图将其主权主张从“防御性”的隐私保护升级为“进攻性”的市场构建，而印度则成功地构建了一个以“发展”和“国家能力”为核心的、具有全球南方特色的“第三条道路”。（一）规范内涵的比较：欧盟的“市场构建”主权VS印度的“发展型”主权两大立法文本在核心制度设计上的巨大差异，鲜明地体现了其背后数字主权理念的根本不同。1.欧盟《数据治理法案》：以权利为基、以市场为矛的“进攻性”主权欧盟的《通用数据保护条例》（GDPR）确立了其数字主权的“防御性”维度，即保护公民数据免受侵害。而二零二三年全面生效的《数据治理法案》（DGA），则标志着其“进攻性”维度的开启，其核心目标不再是“限制”数据，而是“激活”数据，构建一个独立于美国和中国科技巨头的“欧洲数据单一市场”。核心目标：激活数据，重夺市场主权。DGA的核心不是个人数据保护（这已由GDPR完成），而是非个人数据和公共部门数据的“再利用”和“共享”。它旨在打破当前数据被少数大型平台“囤积”和“垄断”的局面。核心机制（一）：数据中介服务商。DGA创造了一种新的法律实体，即“数据中介服务商”（如数据市场、数据钱包）。这些服务商被严格规定必须保持“中立”，不得为自身利益利用其交换的数据。这一设计的“矛头”直指现有的科技巨头，试图通过培育一个中立的“中间层”，将数据控制权从平台手中夺回，交还给数据主体（个人和企业）。核心机制（二）：公共部门数据的再利用。DGA强制欧盟公共部门机构（如医院、交通部门）向社会开放其持有的“受保护数据”（如商业秘密、统计数据），以供科研和商业创新使用。核心机制（三）：数据利他主义。DGA为“数据利他主义”（即个人或企业自愿捐赠数据用于公益）提供了法律框架。综上所述，欧盟DGA所构建的数字主权，是一种“以权利为基础的市场构建型主权”。它试图通过精细的法律规制，一方面确保数据共享符合GDPR的隐私标准，另一方面则积极“做市”，培育欧洲本土的数据生态系统，以实现其“数据战略自主”。2.印度《数字个人数据保护法》：以发展为先、以国家为中心的“务实型”主权印度DPDPA的诞生过程（历经十年、多版草案）本身，就是一场关于“隐私与发展”、“个体权利与国家权力”的深刻博弈。二零二三年通过的最终文本，清晰地表明印度拒绝了对欧盟GDPR的盲目模仿，而是选择了一条极具“印度特色”的务实路径。核心目标：平衡发展、保护与国家能力。与欧盟DGA的“激活市场”不同，DPDPA的首要目标是在“保护公民数字权利”和“促进数字经济高速发展”这两个看似矛盾的目标之间取得精妙的平衡，同时为“数字印度”的国家战略保留充分的政策空间。核心机制（一）：以“同意”为核心的简化框架。该法案大幅简化了GDPR的复杂合规要求（如取消了“数据保护官”的强制任命），核心是构建一个以“明示同意”为基础的权利体系。同时，它创造性地提出了“同意管理人”（ConsentManager）这一技术—法律中介，允许个人通过统一的平台管理其在不同服务商处的授权，这被视为“印度堆栈”的又一创新。核心机制（二）：“白名单”式的跨境数据流动。这是印度模式与欧盟模式最根本的分歧。GDPR采用“充分性认定”（默认禁止，除非特许），构建了一个“数据堡垒”。而印度DPDPA则授权中央政府可以制定一个“白名单”（积极列表），即政府可以单方面评估并宣布某些国家为“友好国家”，允许个人数据向这些国家自由流动，而无需任何额外保护措施。这一机制将数据流动从一个“法律问题”转变为一个“外交和贸易谈判问题”，赋予了国家极大的灵活性，以服务其经济和地缘政治利益。核心机制（三）：广泛的国家豁免条款。DPDPA为其政府机构（特别是出于国家安全、公共秩序、犯罪侦查等目的）设置了极其广泛的豁免权，使其几乎可以不受该法案所有条款的约束。这一“国家例外”的范围远超GDPR，清晰地表明了其数字主权中“国家中心主义”的底色。综上所述，印度DPDPA所构建的数字主权，是一种“以发展为优先、以国家为中心”的务实型主权。它承认个人权利，但当这种权利与国家发展或国家安全的核心利益相冲突时，前者必须为后者让路。（二）扩散机制的比较：“布鲁塞尔效应”VS“新德里共识”如果说规范内涵是“产品”，那么扩散机制就是“营销策略”。欧盟和印度在推动其数字主权规范国际化时，采用了截然不同的路径。1.欧盟的扩散：基于“市场准入”的“布鲁塞尔效应2.0”欧盟的规范扩散机制，是其“布鲁塞尔效应”的延续和升级。从“防御”到“进攻”：GDPR的扩散是“防御性”的，它迫使全球企业遵守欧盟的隐私标准，否则将面临高额罚款和市场禁入。DGA的扩散则是“进攻性”的。它不再是“你不能做什么”，而是“你必须如何做才能参与我的新市场”。机制：任何希望在欧盟境内作为“数据中介商”运营的全球公司（包括美国和印度的公司），都必须在欧盟设立实体，并严格遵守DGA的中立性、透明度和非歧视性要求。任何希望访问欧盟公共部门数据的外国研究机构或公司，也必须遵守DGA的严格规定。效果：欧盟正试图将其“欧洲数据空间”的标准（基于DGA），打造为全球数据共享和数据市场交易的“事实标准”。它利用其庞大、富裕的统一市场作为诱饵和杠杆，迫使全球技术生态向其“以信任为基础”的治理模式看齐。这是一种“规范权力”的经典运用。2.印度的扩散：基于“发展话语”和“技术外交”的“新德里共识”印度的扩散机制则完全不同，它不具备欧盟那样的市场准入杠杆，而是依赖其作为“全球南方”领袖的独特地位和强大的技术能力。机制（一）：“发展中道路”的示范效应。DPDPA本身就是一种“宣言”。它向全世界（尤其是亚洲、非洲和拉美的“全球南方”国家）展示了一个“非欧盟”也“非中国”的“第三条道路”。这条道路告诉其他发展中国家：你们可以在不牺牲数字经济发展的前提下，建立一套“足够好”的数据保护法。这种“榜样”的力量，对于那些同样面临“发展赤字”的国家极具吸引力。机制（二）：“白名单”的外交杠杆。如前所述，DPDPA的“白名单”机制是其核心的外交工具。印度可以将其作为“胡萝卜”，在与美国、欧盟、新加坡等国的贸易谈判中，换取其对印度数据流动的对等承认，或在其他议题（如服务贸易）上的让步。机制（三）：“数字公共基础设施”（DPI）的技术外交。这是印度最强大的扩散工具。印度政府正积极地将其“印度堆栈”（包含身份Aadhaar、支付UPI、数据DPDPA/同意管理人）打包为一套“数字公共基础设施”的开源解决方案，向全球南方国家“出口”。印度在二零二三年担任G20轮值主席国期间，成功地将DPI纳入了《G20领导人宣言》，使其成为全球发展议程的核心。通过“赠送”技术基础设施，印度也同时“捆绑”输出了其背后的治理理念和规范。（三）综合讨论：竞争性扩散与全球数字治理的碎片化欧盟DGA和印度DPDPA的案例，雄辩地证明了数字主权规范的扩散，并非一个走向“全球趋同”的线性过程，而是一个“竞争性演化”的动态过程。1.“规范企业家”与“规范编辑者”如果说欧盟是“布鲁塞尔效应”下的“规范企业家”（NormEntrepreneur），那么印度则扮演了“规范编辑者”（NormEditor）和“替代性规范提供者”的角色。印度没有全盘接受GDPR，而是对其进行了“本土化”和“战略性”的编辑，创造出了DPDPA这一新物种。这证实了规范扩散理论中“本土化”和“适应性”的重要性。印度的成功，激励了更多“全球南方”国家（如巴西、南非、印度尼西亚）在制定本国数据法时，不再将欧盟视为唯一标杆，而是转向“新德里共识”，寻求更符合本国发展阶段的务实方案。2.“规范瀑布”的终结与“规范板块”的形成传统规范扩散理论中的“规范瀑布”（即一旦达到临界点，规范将迅速被全球采纳）在数字主权领域并未出现。相反，我们看到的是“规范板块”的形成。世界正在分化为几个主要的“数据治理区”：欧盟“权利—市场”板块：以GDPR和DGA为核心，吸引那些看重隐私和法治的经济体。印度“发展—国家”板块：以DPDPA和DPI为核心，辐射广大“全球南方”国家。（以及传统的美国“市场—企业”板块和中国“国家—安全”板块）。3.竞争性扩散的本质：从“规则之争”到“模式之争”这场竞争的本质，已超越了具体的数据流动规则之争。它是一场更深层次的“发展模式”和“治理哲学”之争。欧盟在输出其“监管型资本主义”模式，印度在输出其“国家赋能型”的发展模式。这场竞争的焦点在于：未来一百年，全球数字经济的基础设施和运行规则，是应该建立在“个人权利和市场中立”的基石上，还是应该建立在“国家主导和发展优先”的基石上？4.对全球数字治理的深远影响：碎片化与互操作性的新挑战这种“竞争性扩散”的直接后果，是全球数字治理的“碎片化”。跨国公司将面临前所未有的“合规噩梦”，它们必须同时适应欧盟的“充分性认定”、印度的“白名单”和美国的“缺乏联邦立法”的混乱。然而，这种碎片化也催生了新的治理需求：即“监管的互操作性”。既然“全球统一标准”已无可能，未来的全球数字治理，将不再是追求“统一”，而是追求不同“规范板块”之间的“桥接”和“互认”。欧盟DGA的数据中介模式和印度DPDPA的同意管理人模式，虽然路径不同，但都是在尝试建立“可信的”数据交换技术层。它们之间的竞争与对话，将决定未来全球数据流动的“新协议”。六、结论与展望研究总结本研究以二零二三至二零二五年为观察窗口，通过对欧盟《数据治理法案》和印度《数字个人数据保护法》的系统性比较，