跨境數據流動國內規則體系的困境與完善

摘 要： 跨境數據流動對國際貿易活動具有積極意義，卻因牽涉國家安全利益而面臨規制的需要。梳理跨境數據流動國際規則的發展歷程，發現數據流動自由與國家安全保護之間的競爭始終存在，兩者之間沖突的平衡與一國有關數據保護的國內規則密切相關，如何促進數據跨境流動的同時不減損國家安全利益，成為國內規則體系構建與完善的重要關切。具體到我國，RCEP的簽署和CPTPP的申請進程，對我國數據保護規則提出了與國際規則相銜接、相適應的要求；現行具體規則規制的不足與網絡空間主權理論引發的沖突，使數據保護陷入規制不足與規制過度的雙重困境。我國跨境數據流動規則體系應被進一步完善，例如以專業機構認證代替行政控制、類別化處理跨境數據，以及在互信互認基礎上構建國家統一擔保體系。

關鍵詞： 跨境數據流動；數據安全；國家利益；國際經貿

中圖分類號：D996.1" " " " 文獻標識碼：A " " "DOI：10.13677/j.cnki.cn65-1285/c.2024.02.07

數據流動是推動電子商務形成和發展的基礎，近年隨著全球范圍內電子商務貿易的迅速發展，電子商務對數據的跨境流動提出了更多、更高的需求。發達國家依憑其在互聯網發展浪潮中占據的優勢地位，在跨境數據流動方面保持著較高的水平，為達成自我價值輸出和外部信息收集的目的，其要求發展中國家在國際貿易中保持同等的跨境數據流動水平，這一主張導致發展中國家陷入了廣泛參與國際貿易與積極保護國家安全的兩難之境。[1]

作為重要的新興經濟體，我國在積極參與多邊或者區域經貿往來的過程中，同樣面臨跨境數據流動規則闕如、規則沖突的難題。在努力促進國內國外雙循環的新發展背景下，電子商務的進步發展被寄予厚望，同時，《區域全面經濟伙伴關系協定》（RCEP）的簽署與《全面與進步跨太平洋伙伴關系協定》（CPTPP）申請進程的推進，均暗示了完善跨境數據國內法規是時代提出的重要任務。由此，本文將首先梳理跨境數據流動國際規則的發展歷程，同時結合我國經濟社會發展現狀與技術水平，提出跨境數據流動國內規則與國際規則的銜接要求，并根據現有規制跨境數據流動的規范框架，發現現有制度與國際規則之間的沖突矛盾，以促進我國跨境數據流動法規的進一步完善。

一、跨境數據流動國際規則的發展歷程

1980年，經濟合作與發展組織（OECD）基于多元民主、尊重人權和開放市場經濟三大原則，發布了《個人數據跨境流動隱私保護指引》（The Guidelines on the Protection of Privacy and Transborder Flows of Personal Data， 以下簡稱“《隱私指引》”），在對數據控制者、個人數據、個人跨境數據等概念進行界定的基礎上，提出了國內適用的八大原則、自由流動與合法限制等國際適用原則。①2013年，在認識到個人數據對經濟、社會和生活的巨大影響之后，OECD修訂了《隱私指引》，引入了諸如國家隱私戰略（National Privacy Strategies）、隱私管理方案（Privacy Management Programmes）、數據安全違反通知（Data Security Breach Notification）等新概念。②OECD在跨境數據流動規則制定方面的嘗試與發展，成為以美國為主導的亞太經濟合作組織（APEC）于2005年發布的《隱私框架》（APEC Privacy Framework）的重要經驗來源。[2]

2015年，借鑒2013年OECD《隱私指引》的修訂經驗，APEC基于數字經濟在繼續擴大商業機會、降低成本、提高效率和生活質量、促進小企業更多參與商業活動方面的絕大潛力，在協調數據隱私保護和商業社會發展關系、充分考慮國家間文化異質的基礎上，發布了2015年APEC《隱私框架》，提出在一成員國實施基于《隱私框架》的有關立法監管活動或者存在其他保障數據安全的措施時，有關國家就不應當限制本國個人數據向該國流動。同時，引入跨境隱私規則（APEC Cross Border Privacy Rules， CBPR）體系，APEC《隱私框架》重新梳理并發展了跨境數據流動的基本原則，具體見表1。

表1" OECD和APEC《隱私框架》基本原則對比

[序號 OECD《隱私指引》 APEC《隱私框架》 1 收集限制（Collection Limitation Principle） 收集限制（Collection Limitations） 2 數據質量（Data Quality Principle） 個人信息完整（Integrity of Personal Information） 3 目的特定（Purpose Specification Principle） 通知（Notice） 4 使用限制（Use Limitation Principle） 個人信息使用（Uses of Personal Information） 5 安全保障（Security Safeguards Principle） 安全保障（Security Safeguards） 6 開放（Openness Principle） 可獲得可修正（Access and Correction） 7 個人參與（Individual Participation Principle） 可選擇（Choice） 8 問責（Accountability Principle） 問責（Accountability） 9 自由流動合理限制（Free Flow and Legitimate Restrictions） 預防傷害（Preventing Harm） ]

將個人數據保護視作人權保護重要內容的歐盟，在跨境數據流動規則的制定上，從一開始就秉持人權和基本自由保障這一根本原則。1981年歐盟發布了《關于個人數據自動處理的個體保護公約》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data， 108 Convention， 以下簡稱“108號公約”），公約規定了成員職責（Duties of the Parties）、數據質量（Quality of Data）、特殊數據種類（Special Categories of Data）、數據安全（Data Security）、對數據主體的附加保障（Additional Safeguards for the Data Subject）、例外和限制（Exceptions And Restrictions）、制裁和救濟（Sanctions and Remedies）、擴大保護（Extended Protection）等八項數據保護原則。

鑒于108號公約僅對公約國有強制力，以及為響應歐盟條約對于加強歐洲緊密關系的要求，同時結合經濟社會發展和技術進步的時代背景，1995年，歐洲議會和理事會發布了《關于個人數據自動處理和自由流動的個人保護指令》（DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL OF 24 OCTOBER 1995 ON THE PRTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA AND ON THE FREE MOVEMENT OF SUCH DATA， 以下簡稱“《保護指令》”）。之后，歐盟于2016年發布了影響力較大的《通用數據保護條例》（REGULATION （EU） 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL OF 27 APRIL 2016 ON THE PROTECTION OF NATURAL PERSONS WITH REGARD TO THE PROCESSING OF PERSONAL DATA AND THE FREE MOVEMENT OF SUCH DATA，AND REPEALING DIRECTIVE 95/46/EC， GENERAL DATA PROTECTION REGULATION，GDPR），取代了1995年《保護指令》。2016年GDPR在1995年《保護指令》的基礎上，進一步明確了各主體之間的權利和義務內容，并梳理出個人數據處理中的一般原則，避免了原則和權利義務相混淆的狀態。另外，企業約束規則（Binding Corporate Rules）作為一種平衡貿易發展和個人數據保護的機制，被加入到GDPR中。1995年《保護指令》與GDPR基本原則的對比，詳見表2。

通過梳理跨境數據流動的國際規則，可以看出無論是OECD、APEC，還是歐盟，在制定數據流動規則這一問題上，考量的重點都在數據流動的必要性，保障數據主體對數據的最終處斷能力是規則制定貫穿始終的議題。歐盟相較于APEC，采取了更為保守的路徑，數據流動的前提是充分保障公民的基本權利。OECD和APEC作為經濟組織，則更為注重貿易往來的效率，將數據流動對貿易的影響作為規則制定的重要內容，所以盡可能地采取措施降低個人數據保護對經貿活動的影響。

因此，我國在制定數據流動規則時，應綜合考量上述內容，以減少參與國際貿易時的規則沖突。[3]在跨境數據流動的研究中，我國學者已較早認識到跨境數據流動對經濟主權、文化主權、信息主權以及個體隱私權、知識產權、商業秘密等的影響，并建議設立專門的法律監管機關、完善監管立法、加強監管技術研究。[4]總之，如何平衡國家安全問題與數據流動自由之間的利益關系，正是有關跨境數據流動的國際規則中排除或限制條款的核心關切點。

二、跨境數據流動國內規則與國際規則的銜接要求

OECD在其2013年更新的《隱私指引》中規定，除非違反成員國國內隱私立法的特別規定，成員國有義務利用合理的手段保證個人數據的跨境流動，而不應對跨境數據做過多的干涉。[5]在美國主導的TPP和后TPP時代，RCEP和CPTPP框架的影響力也逐漸顯現，其中涉及跨境數據流動的規則依舊是各國貿易的重要議題。

（一）《區域全面經濟伙伴關系協定》（RCEP）的簽署

2020年11月15日，歷經八年談判，我國正式簽署了《區域全面經濟伙伴關系協定》（RCEP），并于2022年1月1日起正式生效。RCEP內容涵蓋貨物、服務、投資等全面的市場準入承諾，在跨境數據流動方面，要求在尊重各成員國合理適當的網絡安全監管的前提下，開展國際貿易合作。RCEP在具體規則的呈現上，借鑒了CPTPP的有關規定，這也導致OECD以及APEC隱私框架理念的間接植入。但是，因澳大利亞、韓國、新西蘭、日本等國家的陸續加入，RCEP成員國在經濟水平、政治制度與社會文化等方面存在顯著的差異，各國對RCEP框架下跨境數據流動的規則存在不同理解，國內化措施也存在明顯的差別。[6]

（二）《全面與進步跨太平洋伙伴關系協定》（CPTPP）的待融入

RCEP之外，中國也在積極推動加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）。距離習近平主席正式表態中方將積極考慮加入CPTPP不足一年時間，③2021年9月，中方正式提出了加入CPTPP的申請。2023年4月，商務部再次表示中國有意愿、有能力加入CPTPP，由此可見中國融入CPTPP的誠意和決心。

CPTPP的前身是《跨太平洋伙伴關系協定》（TPP），TPP原受美國主導，但在2017年1月美方正式退出了TPP，隨后，2017年12月CPTPP在TPP的基礎框架下搭建起來，并正式生效，CPTPP延續了TPP在全球經貿規則制定中的影響力。④CPTPP在其電子商務篇章中對數據傳輸主體的行為做了類別化處理，以區分商業行為和非商業行為，面對商業行為，CPTPP要求成員國允許包括個人信息在內的數據以電子的形式跨境傳輸，相應地也作了例外規定，數據跨境流動的限制行為如果僅僅是為了實現合法公共政策目標，不構成任意或者不合理的貿易歧視或者變相限制，這種限制措施將是被允許的。⑤也就是說，CPTPP一方面積極鼓勵、促進各成員國從事商事領域的跨境數據傳輸活動，另一方面也清醒地認識到跨境數據傳輸應有所限制，因為無限制的數據流動極有可能觸及成員國的國家安全問題。所以，CPTPP的跨境數據流動框架是以能夠保障成員國的國家安全和公共利益為前提條件，在滿足該前提的基礎上，盡可能地促進數據的跨境傳輸活動。[7]

關于計算機設施的位置，CPTPP禁止“計算機設施本地化”。成員國不得以作為在本國從事商業活動的條件，要求有關商業主體在其領土內適用或者安置計算機設備。類似于上述國家安全例外，某一成員國如果是基于維護國內合法、合理的公共政策或者國家安全的需要，可以要求商業行為的實行者遵守計算機設施本地化的例外規則，即合法的公共政策目標構成禁止計算機設施本地化之例外。

相對而言，RCEP額外確立了限制措施的必要性由實施方決定的規則。這一額外規則體現出對數據所在國數據主權的尊重，卻同時成為跨境數據流動爭議的主要矛盾點。不可否認的是，各國因技術、經濟、法律制度、隱私文化等方面的發展差異，對跨境數據流動持不同的態度，如果將采取限制措施的必要性交由實施方決定，數據能否跨境流動以及何種數據能夠跨境流動的標準將難以統一，從而嚴重影響數據流動的效率和電子貿易的可預期性。因此，構建一種包容差異、各方認同的跨境數據流動機制，是未來國際規則制定的重點，而一套可銜接、可適應國際規則的數據跨境流動國內規則將與之相輔相成。[8]

三、跨境數據流動國內規則體系面臨的困境

一般來說，數據的跨境自由流動對國際經貿發展具有重要的促進作用，信息融通、傳遞、供給能夠有效降低國際經貿往來的交易成本，如果過度限制國際貿易中的數據流動將構成國際貿易的數據壁壘，[9]正是基于這一原因，國際規則才積極支持、倡導數據在合理范圍內自由地跨境流動。但是，近年反全球化浪潮和逆全球治理現象的突起，導致國家之間的信任程度極速下降，國家之間的多邊關系支離破碎，所以從國家自身的角度考察，很難簡單確定數據的跨境自由流通是利大于弊，還是弊大于利。[10]

具體而言，各國從事經貿活動都首要考慮自身利益，在自身利益最大化目標的驅使下，國家間的信任基礎會被拋棄，通過經貿往來中的數據跨境流動，各國似乎找到了干涉他國利益的重要窗口。數據跨境流動包含流入與流出兩個端口，數據流入可能使危險的數據信息（不合國情的價值觀、病毒數據等）損害流入國的國家安全和公共利益；而數據的流出則可能造成重要信息被他國獲取、利用，以損害流出國的國家安全和公共利益的后果。上文提及的各項國際跨境數據流動規則的客體是擬流入他國的本國數據，主要原因是在數據跨境流動的問題上，發達國家擔憂的是本國數據的不安全流出，卻不擔心他國數據對本國的影響，在這一點上，發展中國家既要擔心數據的不安全流出，又要擔心發達國家不良信息的侵染。因此，不管是數據的流進，還是數據的流出，現階段作為發展中國家的中國均面臨更多的挑戰。

（一）國內具體法律規則有待完善

當前，我國直接規制數據流動或與其密切相關的主要法律有《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）《中華人民共和國電子商務法》（以下簡稱“《電子商務法》”）《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）《中華人民共和國保守國家秘密法》（以下簡稱“《保守國家秘密法》”）等。[11]以下對相關法律規則中存在的不足進行分析。

第一，《網絡安全法》要求數據本地化，個人信息和重要數據應當在境內存儲，這是典型的限制跨境數據流動的規定。[12]相對而言，“個人信息”較為具體、明確，各國法律一般都涉及個人信息的保護措施，國際經貿規則也多對跨境數據流動中的“個人信息”傳送問題有所限制。與之不同的是，“重要數據”的范圍需要被進一步明確。歐盟GDPR采取了列舉加概括的方式盡可能地明確“重要數據”的類型，允許對包括國家安全、公共安全、一般公共利益、調查、偵查、起訴刑事犯罪、執行刑罰、司法獨立以及司法訴訟的保護等方面的數據做限制處理。除此之外，重要數據的安全評估標準還需要被盡快落實，從而使有數據跨境流動業務需求的商業主體有章可循。《網絡安全法》第50條要求利用技術措施或者其他必要措施阻斷來源境外的違法信息的傳播，但因為這里的規定過于模糊寬泛，有可能被解釋為公權力對境外數據傳輸的選擇性阻斷，所以該條規定需要被進一步細化，例如按照危害國家安全、經濟安全、文化安全等類型作區分處理，同時可以在每一小項下詳細列舉具體的情形進行補充說明。

第二，《電子商務法》在關于電子商務經營者收集消費者個人信息的問題上，與當前國際普遍規則存在差距。一方面，第18條默認了電子商務經營者有收集消費者個人信息的權利，而這種權利在國際數據流動規則中是被嚴格限制的；另一方面，盡管第23條要求電子商務經營者要在法律、行政法規規定下，開展消費者個人信息的收集，但在2018年《電子商務法》出臺前后，保護個人信息的立法并不完善，這就無意中擴大了電子商務經營者的信息收集權，繼而克減了消費者的個人信息權。此二法條呈現的先后順序，也是一個問題。第25條規定了電子商務主管部門（行政機關）有權收集電子商務經營者的電子商務數據信息，這一規定會讓跨國電子商務經營者存有疑慮。因此，何種類別、何種范圍的商務數據，需要進一步明確。

第三，《數據安全法》設置了總體國家安全觀下“一個統籌、三個體系、四個主體”的數據安全治理模式，確立了數據分級分類保護、重要數據目錄、數據安全審查、對等措施、數據收集必要限度等制度，但具體實施細則仍需繼續跟進。另外，對政務數據流動規制過于寬泛。政務數據的元數據是個人數據和法人數據，政務數據流動規則的制定不能脫離個人數據、法人數據流動規則，要防止通過政務數據收集的捷徑，繞開個人數據收集障礙的情況發生。

第四，《個人信息保護法》是數據流動規則的元規則，因為個人數據是一切數據的元數據，由此衍生出各類大數據產品。把好個人數據保護關，是實現數據安全保護的基本環節，這也是跨境數據流動規則以個人數據為核心保護對象的原因之一。該法規定了我國個人信息處理的基本原則：合法正當（第5條）、目的明確合理（第6條）、規則明示（第7條）、信息準確（第8條）、責任承擔（第9條）。第38條提供了安全評估、專業認證、訂立合同等多種監管措施，以保障跨境數據的安全流動，但行政機關安全評估過于保守，不易被跨境數據處理者廣泛接受；要求個人數據處理者與境外接收者訂立合同的方式又有些激進，故而單一手段可能存在問題。第40條關于數據本地化存儲的規定，將是未來融入國際規則中的爭議點。《個人信息保護法》規定了兩類主體需要施行數據本地存儲，一類是關鍵信息基礎設施的運營者，另一類是處理個人信息達到國家網信部門規定數量的個人信息處理者。數據的本地化存儲意味著計算機設施的本地化，在RCEP框架下，盡管也明確反對計算機設施本地化，但如果是為了保護國家的基本安全利益，其他締約方不能因此提出異議，但是，在CPTPP框架下，除了出于合法公共目標外，締約方不得要求計算機設施本地化。因此，考慮到中國加入CPTPP的意愿和決心，國內規則應當詳細闡明數據存儲本地化的合法公共目標性，或者對數據本地化存儲與計算機設施本地化之間的根本區別作出明確的闡釋。

第五，《保守國家秘密法》分類概括式列舉了國家秘密的種類，涵蓋政治、經濟、社會、軍事、技術等各方面，為了避免與保函數據流通規則的國內國際法律起非必要沖突，有必要進一步細化，以作為“合法的公共政策目標”的依據。第28條規定了互聯網運營商對于涉密數據流動行政管理工作的協助義務，而這一規定可能產生的問題是，網絡運營商與行政機關對秘密標準的認知不同，需要相對明確的秘密標準的出臺統一各方認知。

（二）網絡空間主權引發沖突

繼陸、海、空、天之后，網絡空間已經成為人類的第五大主權空間領域。[13]網絡空間主權概念的確定，不僅能夠框定各國政府依法管理網絡空間的權利、義務和責任，同時也能夠為現代網絡技術發展、信息傳遞交流、國際技術合作發展提供一個有益的平臺，進而促進各國政府與社會組織之間的良性互動。⑥就目前網絡發展的態勢而言，構建包括網絡空間在內的命運共同體已然成為新時代的重要使命，[14]如何搭建各國之間相互尊重、互不干涉、允許自主選擇的網絡空間發展道路和管理模式，構建國家間和平安全、開放合作的良好網絡空間發展秩序，確保各國都能夠自主、平等地參與國際網絡空間治理，成為互聯網公共政策創設與完善的重要考量因素。[15]

國家網絡主權神圣不可侵犯，但國際經貿規則是各國經貿往來的共同遵循。具體到國際貿易中的數據流動問題，國家的安全利益與跨境數據流動經貿需求之間存在一定程度的沖突。在國家主權至上的前提下，一切行為似乎均應避讓網絡空間主權利益的維護，但若是如此，有數據跨境流通需要的國際貿易參與者，勢必將因主權管理行為的國家主觀性而長期處于無預期的不安狀態，這不僅阻遏國際經貿的自由往來，也不利于經濟的繁榮和發展。

因此，針對國際經貿活動中數據跨境流動這一問題，盡管從理論上講主權國家應當有自我決斷采取何種規則、設置何種限制的權利，但基于國際法基本原則之對等原則以及國際往來國家之間互信互認的關系基礎，在結合本國國情、周全本國安全利益的前提下，國家應盡可能地采取與同等國家類似水平的數據跨境流動規則，[16]制定較為明確、清晰、具體的規則條款，進而為國際經貿參與者提供相對明晰和最大程度自由的法治環境。

四、跨境數據流動國內規則體系的進一步完善

在跨境數據流動這一議題上，無論是RCEP，還是CPTPP，基本框架都是以充分尊重國家主權、維護成員國國家安全利益為前提，基于此前提，數據跨境自由流動、國際經貿自由往來勢必要受到一定程度的限制，至于如何將國內限制設定在合理、必要的程度之上，構成了成員國應對跨境數據流動新議題和進一步完善我國內規則的關鍵。[17]完善國內規則一方面要為抽象標準提供具體化的評估標準，另一方面，國家間可嘗試在互信互任的基礎上，為有跨境數據流動需求的組織提供國家擔保，逐漸建立和完善“特殊數據絕對控制、重要數據國家擔保、一般數據行業自律”的跨境數據流動規則。[18]

（一）以專業機構認證代替行政控制

《個人信息保護法》第38條對跨境數據處理者跨境流動業務的要求，有網信部門的安全評估、網信部門指定的專業機構認證、訂立數據接收合同三種選擇，這顯然沒有突破CBPRs、BCRs等機制提供的模式。從促進貿易自由化和數據隱私的角度上來講，行政機關的安全評估，不易被跨國數據處理者所廣泛接受的原因，是因為個體不希望受限制，以個體為基礎的組織同樣不希望被公權力所制約；與行政機關安全評估的公權力控制模式截然相反，直接與接收者訂立合同的模式極受跨境數據處理者的歡迎，但是，該模式卻面臨不可估量的潛在風險。相較前兩者，相對折中的方式是專業機構的認證。專業機構因相對獨立于行政機關，也有能力發揮行政機關和行政相對人之外的第三人角色，同時，成熟的專業認證機構不會輕易依附于行政機關，更不會倒戈于行政相對人，故其專業性和公允性是可以被廣大跨境數據處理者所接受并認可的。[19]

（二）類別化處理跨境數據

跨境數據的類別化處理存在多種方式，根據數據所涉主體利益的不同，可以分為個人數據和國家（公共）數據；根據對主體影響程度的不同，又可分為影響程度較低的一般數據和影響程度較高的特殊數據。個人數據和國家（公共）數據都可以在內部進一步被區分為一般數據和特殊數據，例如，個人姓名、性別等個人識別數據屬于個人數據的一般數據，而婚姻狀況、家庭住址等涉隱私的數據屬于個人特殊數據。類似的是，國家（公共）數據中同樣包含反映社會基本情況，如領土面積、經濟發展水平等的一般數據，也包括涉及國防、科技、國民生物特征等國家機密的特殊數據。先行類型化處理數據，有助于完成對數據的分層次認證，例如，個人數據的一般數據，如果符合國內法律規定，經事先登記認證后即可進行跨境流動；但國家（公共）數據則需要根據所涉領域的風險指數，決定由何種層級的認證機構認證，甚至直接被明令禁止跨境流動。[20]

（三）在互信互認基礎上構建國家統一擔保體系

跨境數據流動規則的沖突，根本原因是國家間的不信任。目前主要有兩種矛盾，其一，處在不同發展階段的國家之間的矛盾。發達國家擔心流入到發展中國家的數據得不到合理保護和運用，發展中國家擔心發達國家過分挖掘利用發展中國家的流出數據，繼而影響其國家安全。其二，處在同等發展階段的國家間的矛盾，不同國家在同等水平的數據保護條件下，原本建立的信任基礎被破壞，如“棱鏡門”事件所暴露出的問題。[21]因而，發揮聯合國主導下的各國數據命運共同體的構建，是緩解國家間信任危機的關鍵。我國應積極推動聯合國在協調跨境數據流動法律規則構建上的主導作用，推動建立以國家擔保為內容的跨境數據流動法律機制，以進一步增進各國信任基礎，共同促進數字時代國際貿易的發展。

五、結語

考察跨境數據流動國際規則的發展歷程，無論是OECD發布的《隱私指引》，APEC發布的《隱私框架》，還是歐盟的GDPR，數據流動自由與國家安全保護之間的競爭始終存在。在當下我國簽署RCEP、申請加入CPTPP的新局勢下，如何減少參與國際貿易時的規則沖突、平衡國家安全與數據流動之間的利益關系成為完善跨境數據流動國內規則體系的重要關切。面對現有國內規則規制不足和網絡空間主權問題帶給數據跨境流動的挑戰，我國跨境數據流動規則體系應進一步被完善，例如以專業機構認證代替行政控制、類別化處理跨境數據，以及在互信互認基礎上構建國家統一擔保體系。

注釋：

①OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data， p.13-16.

②OECD： The OECD Privacy Framework（2013），p.4.

③習近平.《中方將積極考慮加入全面與進步跨太平洋伙伴關系協定》，中華人民共和國中央人民政府網，http：//www.gov.cn/xinwen/2020-11/20/content_5563086.htm，訪問日期：2023年4月17日。

④CPTPP擱置了TPP的20項條款，保留了95%的項目，此20項條款主要是美國曾經主導加入的。

⑤詳見https：//ustr.gov/sites/default/files/TPP-Final-Text-Electronic-Commerce.pdf，訪問日期：2023年4月18日。

⑥網絡空間國際合作戰略，http：//www.cac.gov.cn/2017-03/01/c_1120552617.htm，國家網信辦，訪問日期：2023年4月18日。

參考文獻：

[1]張生.國際投資法制框架下的跨境數據流動：保護、例外和挑戰[J].當代法學，2019（5）：148-160.

[2]蔡翠紅，郭威.中美跨境數據流動政策比較分析[J].太平洋學報，2022（3）：28-40.

[3]齊湘泉，文媛怡.構建“一帶一路”個人數據跨境傳輸法律制度：分歧、共識與合作路徑[J].河南師范大學學報（哲學社會科學版），2019（6）：71-80.

[4]程衛東.跨境數據流動的法律監管[J].政治與法律，1998（3）：72-76.

[5]李海英.數據本地化立法與數字貿易的國際規則[J].信息安全研究，2016（9）：781-786.

[6]徐偉功，賈赫.RCEP背景下跨境數據流動治理規則比較研究與中國方案[J].廣西社會科學，2022（12）：62-69.

[7]時業偉.跨境數據流動中的國際貿易規則：規制、兼容與發展[J].比較法研究，2020（4）：173-184.

[8]黃寧，李楊.“三難選擇”下跨境數據流動規制的演進與成因[J].清華大學學報（哲學社會科學版），2017（5）：172-182+199.

[9]陳寰琦.國際數字貿易規則博弈背景下的融合趨向——基于中國、美國和歐盟的視角[J].國際商務研究，2022（3）：85-95.

[10]蔡翠紅.國家-市場-社會互動中網絡空間的全球治理[J].世界經濟與政治，2013（9）：90-112+158-159.

[11]張正怡，蔡思柳.數字貿易規則的演進路徑及因應[J].嶺南學刊，2022（5）：92-99.

[12]郭德香.晚近經貿協定對數據跨境流動的規制及中國因應[J].武大國際法評論，2023（01）：75-90.

[13]王海穩，高文雪.我國網絡空間主權面臨的挑戰與對策研究[J].杭州電子科技大學學報（社會科學版），2017（5）：32-36.

[14]姜團利，王志強.CPTPP和RCEP框架下跨境數據流動議題的對策[J].中國經貿導刊（中），2021（3）：41-43.

[15]張新寶，許可.網絡空間主權的治理模式及其制度構建[J].中國社會科學，2016（8）：139-158+207-208.

[16]石靜霞，張舵.跨境數據流動規制的國家安全問題[J].廣西社會科學，2018（8）：128-133.

[17]譚觀福.數字貿易中跨境數據流動的國際法規制[J].比較法研究，2022（3）169-185.

[18]許多奇.論跨境數據流動規制企業雙向合規的法治保障[J].東方法學，2020（2）：185-197.

[19]許多奇.治理跨境數據流動的貿易規則體系構建[J].行政法學研究，2022（4）：50-60.

[20]薛亞君.數字貿易規則中的數據本地化問題探究[J].對外經貿實務，2019（8）：17-20.

[21]儲昭根.淺議“棱鏡門”背后的網絡信息安全[J].國際觀察，2014（2）：56-67.