跨境數據流動規制：核心議題、國際方案及中國因應

文/馮潔菡 周濛

隨著數據資源成為全球經濟與貿易發展的主要驅動因素，全球性和區域性的國際貿易規則開始將跨境數據流動條款納入其中。然而各國出于對數據行業發展、隱私保護傳統、國家立場和國家安全觀念等核心議題的考慮，對個人數據出境實施了不同水平的限制。如何平衡數據流動與數據保護和數據安全之間的關系，如何兼顧發展中國家與發達國家關注的不同利益，將是國際社會必須面對的挑戰。

跨境數據流動規制及其核心議題

（一）跨境數據流動及國別規制

大部分國家/地區在限制數據流動時都會使用不同強度的本地化存儲規定。基于國家/地區通信與數據行業發展水平以及數據主權戰略或數字貿易政策導向的不同，各國對數據跨境流動的限制程度亦有所區別。這種區別主要體現在三個方面。第一，國家干預程度不同。國家不直接干預意味著國家的公權力不直接介入具體的數據跨境活動，而是通過數據本地化立法中的處理原則和權利義務來間接束縛數據主體與數據控制者的行為，這樣相關行為方就可以通過私人意志自行決定是否將數據留存于境內。相反，也存在國家公權力直接干涉數據出境的情況。第二，本地化存儲的嚴格程度不同。嚴格程度最低的規定是只要求境內留存有數據副本即可，中等嚴格程度的規定要求只能在境內存儲和處理數據，但行為方可以在境外訪問數據，最徹底的本地化措施要求數據的存儲、處理和訪問都只能在境內進行。第三，數據本地化的豁免規定不同。數據主體同意屬于最基礎的數據出境豁免條件，還有一些規定以境外接收方可以提供相同數據保護水平作為允許數據傳輸的特定情況，國家公權力機關的自由裁量權也可以作為數據出境的豁免條件。達成這些豁免條件的難易程度從側面體現了數據本地化立法的嚴格與否。

（二）跨境數據流動規制的核心議題

由于對以上核心議題的關注點存在差異，不同國家和地區各自提出了獨特的數據流動規制方案。一方面，美國和歐盟分別基于自身在數字貿易和個人數據保護領域的影響力，主導著目前主流的國際數據流動規則。另一方面，中國和東盟國家作為發展中國家代表，率先在《區域全面經濟伙伴關系協定》（RCEP）中主張多元化的數據流動治理與合作，這顯示出發展中國家通過合作完善世界主流貿易體系、維護自身經濟貿易發展的共同目標與追求，也預示著歐美主導的數據流動規則格局即將被打破。

跨境數據流動兩大規制方案的形成與比較

（一）歐美單邊主導的規制方案及其特征

歐盟早期簽署的自由貿易協定（FTA）較少涉及數據跨境流動的相關規則，隨著2015年“數字單一市場”戰略的出臺，歐盟協商FTA的關注點由傳統電子商務規則向新興數字貿易規則轉變。雖然歐盟開始正視數據跨境流動議題，但并未在個人數據保護方面作出讓步，最終形成了折衷的解決方案——在個人數據和非個人數據層面建立差異化的數據保護規則。歐盟的數據流動方案出現上述發展趨勢主要是由于美國在數字貿易領域中對美式規則的強勢輸出，歐盟為了化解壓力，選擇與美式規則求同存異。

自美國主導《跨太平洋伙伴關系協定》（TPP）的談判并將符合自身市場自由價值的數字貿易條款引入電子商務章節之后，美式數字貿易規制模板基本形成。此后美國簽訂的FTA基本上沿用了TPP的模板，如2018年達成的《美墨加協議》（USMCA）和2019年達成的美日《數字貿易協定》。通過比較USMCA與TPP的數據流動條款，可以發現美式數據流動方案的兩大發展趨勢：一是逐步弱化數據流動中的個人數據保護規則，二是逐步禁止國家利用公共政策目標實施數據本地化措施。

（二）中國與東盟促成的多元共治方案及其理念

雖然歐式與美式數據流動規制方案具有不同的關注點，但兩者的發展趨勢都是逐步提升數據流動水平并推廣有利于自身數據戰略的規則。然而這些規則對于許多數據產業落后、數據立法框架尚未完善的發展中國家來說，則是難以達到且相對不公平的。在迫切需要改變歐美單邊主導格局的情形之下，RCEP的出臺為發展中國家引領自身的數據流動規制方案并與發達國家共同參與數據跨境治理與合作提供了良好示范。

在數據流動規制領域，RCEP的多元共治理念體現在三個方面。首先，RCEP是由發展中國家與發達國家共同參與的區域性多邊協定。歐盟和美國沒有參與RCEP談判，這表明脫離歐美單邊主導的區域貿易一體化協定在當今世界仍然可行，甚至可以成為未來數字貿易的發展趨勢。其次，RCEP兼顧了發達國家關注的數字貿易利益以及發展中國家關注的數據安全與數據產業發展利益。RCEP支持高度自由的數據跨境流動，并承諾締約國可以基于公共政策目標或者國家基本安全利益而采取相應的限制數據流動的本地化措施。最后，RCEP對締約國自主施加的非歧視性監管措施未作出過多限制。締約國對于數據流動的監管與限制依然具有較大的控制力，RCEP的多元共治依然是各國在獨立自主層面上的合作與治理。

（三）RCEP方案與歐美方案的比較

跨境數據流動規制的RCEP方案與歐式方案在個人數據保護與國家安全兩大核心議題中具有不同的側重點。歐盟將個人數據保護議題置于數據流動與傳輸的全部過程之中，并且明確了締約方有義務采取保障措施來維持高水平的數據保護。而RCEP將個人數據保護與數據流動規定在不同的條款之中，這種分開規定的做法意味著RCEP主要的關注點是締約方國內電子商務平臺對個人數據的保護，而非數據跨境傳輸中的個人數據保護。在對待數據流動的態度上，盡管未對數據流動作出過多限制，但RCEP將締約國的基本安全利益置于數據自由流動之上，可以說RCEP更為關注安全的數據流動。

美式方案具有市場自由和數字貿易至上的典型特征，不管是個人數據保護還是國家安全都要屈從于數據流動所帶來的經濟利益。正因為如此，RCEP方案與美式方案最大的差異體現在數據傳輸例外條款的規定上。RCEP對計算設施本地化與數據跨境流動的規制一視同仁，沒有像TPP或USMCA一樣對兩者的例外情況進行區分。RCEP增加的國家安全例外條款屬于美國較為反對的立場，美國一般認為這種條款會嚴重影響數據的自由流動。

太宗、仁宗都表明自己對這些仕二朝的臣子的態度。太宗謂范質“欠世宗一死，所以立萬世為臣者之訓。 ”〔14〕（卷一四，P1673）馮道的曾孫馮舜卿上道官誥二十通，乞錄用，上（仁宗）謂輔臣曰：“道相四朝，而偷生茍祿，無可旌之節，所上官誥其給還之。 ”〔15〕（卷一七一，P4108）

總體而言，RCEP的數據流動規制方案擴充了電子商務領域中的傳統議題，明確支持跨境數據流動，但認為數據跨境流動需要受到國家安全利益立場的限制。就RCEP體現的多元共治理念而言，其弱化了標準過高的隱私保護議題，并給締約方留有更多自由裁量權對數字貿易和數據流動采取限制性措施。RCEP方案是對歐美方案進行了折衷，為發展中國家抗衡強勢的單邊規則提供了有力后盾。

多元共治方案對全球跨境數據流動規制格局的突破

在RCEP簽署之前，主要有經濟合作與發展組織（OECD）和亞太經濟合作組織（APEC）兩大組織對數據跨境流動作出了軟法性質的規定。同時，世界貿易組織（WTO）框架內的電子商務談判也在進行之中，有望在未來幾年內達成數字貿易領域中首個具有實質約束力的全球性數據流動規則。RCEP作為歐美單邊主導方案之外首個體現發展中國家與發達國家多元共治的方案，其簽署將深刻影響目前的跨境數據流動規制格局以及WTO電子商務談判的未來走向。

（一）多元共治方案對OECD及APEC跨境數據流動規制體系的突破

由于OECD的《隱私保護與個人數據跨境流動指南》（以下簡稱《指南》）和APEC的《跨境隱私規則體系》（CBPR）都主張合理的數據流動以促進商業和經濟發展，因此數據保護水平較低但數據行業發展較快和數字貿易水平較高的一些發達國家長期主導著這兩個體系。

RCEP內部成員國對數據流動的監管更為嚴格，而TPP和USMCA借鑒的CBPR機制屬于國家監管較為寬松的低水平數據保護體系。這意味著未來的亞太數據圈會存在兩套不兼容的數據傳輸機制，加入CBPR的RCEP成員國對數據流動機制的選擇可能會讓其陷入兩難。對于還未加入CBPR的RCEP成員來說，未來是否選擇加入CBPR也會受到RCEP內部數據流動政策以及由此帶來的經貿收益的影響。

RCEP簽署之后，美國割裂亞太國家的聯系并構建美國主導的數據流動體系的企圖可能會被注重區域一體化的RCEP打消。至少在亞太地區，由發展中國家引領的多元共治方案可以對美國的數字貿易戰略部署造成阻礙，并能夠積極引導亞太國家形成新型數據流動規制格局。

（二）多元共治方案對WTO電子商務談判的影響

目前來看，WTO中的數據跨境流動議題暫時被以美國為首的發達成員所主導，許多發展中經濟體關注的數據安全立場很難占據優勢。對于RCEP中的一些發展中成員更是如此，柬埔寨、印度尼西亞、菲律賓和越南甚至沒有簽署《關于電子商務的聯合聲明》，因而更難以利用WTO的電子商務談判表明各自立場。

關注多元共治的RCEP有望緩解發展中成員在談判中的窘境。RCEP的電子商務章節很好地展示了電子商務談判可以兼顧發達國家和發展中國家數字貿易共同利益的前景。RCEP的數據流動規則考慮到了許多發展中國家的意愿，即緊密保護本國的數字領域不受外界影響，同時可以對數字貿易和數據流動采取限制性措施。對于迫切需要保護本國數字產業發展和網絡安全的發展中國家來說，這種意愿的實現極為重要。WTO的各類框架與規則一直在兼顧發達成員與發展中成員的利益，電子商務談判同樣需要此類規則以使更多發展中成員的立場和利益得以體現。

與此同時，RCEP中的多元共治方案也表明全球數據流動規則的構建無需受制于歐美等發達國家。WTO電子商務談判中歐美等國的立場占據優勢地位，經濟和政治實力成為構建全球數據跨境流動體系的決定性因素。但RCEP的簽署表明，數字經濟和數字貿易的發展不僅要考慮經濟和政治實力，還要考慮各國共同的安全和發展需求以及平等、對等的合作。只有不同立場國家的充分參與以及公平話語權的有效實現，才能推動共贏共享的全球數據流動模式的形成，才能實現全球數字經濟利益最大化。

中國推動多元共治方案的阻力與因應策略

（一）中國推動RCEP多元共治方案的阻力

第一，日本意圖實施地緣政治與權力制衡戰略。日本加入RCEP的真正目的可能并不是追求整個亞太地區圍繞數據流動議題的真實合作，其本意是借助RCEP平臺強化日本、印度、澳大利亞三邊的經濟區域發展合作并對抗我國的“一帶一路”倡議。

第二，澳大利亞對高度自由的數據流動規則的推動。從澳大利亞的活動趨勢來看，其數據流動立場與美國和日本屬于同一陣營。與此同時，澳大利亞與我國在貿易領域頻繁出現摩擦與沖突，在政治領域的分歧也可能會阻礙雙方在RCEP中的合作。

第三，新加坡中立化立場的復雜性。作為東盟的成員，新加坡需要考慮東盟作為中立方如何避免日澳等成員與中國的貿易摩擦激化；而作為《全面與進步跨太平洋伙伴關系協定》（CPTPP）的成員，它還要密切關注中美在國際貿易領域中的激烈博弈，其能否堅持推動RCEP的多元共治發展仍有待觀察。

（二）中國的因應策略

1.與RCEP成員的內部合作

我國尤其需要推動與東盟國家之間的共治共享。我國可以根據東盟的具體框架和條款，在數據跨境流動領域出臺針對東盟的認證手段和保障措施，使雙方在確保數據保護水平和數據安全利益的基礎上，形成暢通無阻的數據流動機制，為RCEP其他成員之間的合作樹立模范。

針對RCEP中的發達成員，我們應靈活采用不同的合作模式。一方面，對于同屬于東亞地區的日韓兩國，我國需要突出東亞數字貿易與數據流動圈在亞太地區的帶頭示范作用；另一方面，對于澳大利亞、新西蘭和新加坡，我國可以通過向CPTPP電子商務規則的靠攏，逐步打開與三國深入合作的局面，并依靠未來的FTA升級談判以及RCEP的內部合作來落實符合各方利益的數據傳輸協議。

2.持續關注歐美國際動態

美國在數據流動與數據保護立法層面的消極態度并沒有阻止其構建新的數據流動格局。美國一系列的外部活動體現了其維護數據流動規制領域領導地位以及自身經濟與國家利益的新型戰略部署。與此同時，美國對我國在全球數據流動規制中的行動開始有所防備，因此我國更需要密切關注美國意圖拉攏的數字貿易合作伙伴，防止美國借助新型數據治理體系阻礙發展中國家推動多元共治的數據流動規制方案。

歐盟目前的目標依然在于增強自身數據規則與標準的影響力，因而會繼續利用自身的數字制度工具和數字市場的監管權來構建更強而有力的全球規則和標準。由于歐盟缺乏完善的數據立法框架和相關技術標準，我國更需要關注歐盟針對各類數字技術的立法動態，防止歐盟利用自身標準與規則的全球影響力，單邊主導涉及各類數字技術的數據流動規制方案。

3.完善數據立法框架，提升國際話語權

發達國家對我國數據保護環境的不信任主要源自數據立法框架的不完善。為了解決立法缺失的問題，我國已經在積極制定《個人信息保護法》和《數據安全法》，這為我國與其他國家進行數據流動規制合作并在國際談判中提出關注基本安全利益的數據流動立場奠定了良好的法律基礎。

我們還應當繼續在雙邊和區域性平臺中推廣符合我國數字貿易策略的數據流動立場，并爭取更多的規則制定話語權。以RCEP和待加入的CPTPP為依托，我國將能夠更好地在WTO電子商務談判中站穩腳跟，逐步推動發達國家與發展中國家多元共治的新格局。