RCEP視角下數據跨境流動法律規(guī)制的比較研究與中國檢視

宋佳寧 王鈺坤

收稿日期：2024 - 03 - 07

基金項目：本文系天津市哲學社會科學規(guī)劃課題“‘一帶一路背景下中國海外投資企業(yè)的國際法責任研究”（項目批準號：TJFX21-004）階段性研究成果。

作者簡介：宋佳寧，女，天津人，法學博士，天津工業(yè)大學法學院副教授。研究方向：經濟法。

王鈺坤，女，河南安陽人，天津工業(yè)大學法學院碩士研究生。研究方向：經濟法。

摘 要：當前數字貿易快速發(fā)展，數據跨境流動作為數字貿易的關鍵要素，對數字經濟的發(fā)展具有舉足輕重的作用。然而，現行國際數據跨境流動的法律規(guī)制尚未體系化，以歐盟、美國為代表的發(fā)達經濟體基于其國際影響力積極制定適宜本國發(fā)展的數字治理體系，直接導致發(fā)展中國家面臨數據安全風險。RCEP協(xié)定開辟了數據跨境流動的第三條規(guī)制路徑。從RCEP的視角出發(fā)，通過對比我國與RCEP數據跨境流動規(guī)則，進一步深化我國數據自由流動理念，完善我國數據跨境流動規(guī)則中的關鍵制度，加強數據跨境流動區(qū)域協(xié)作及發(fā)展中國家在數據跨境流動領域的話語權，為共建網絡空間命運共同體貢獻中國力量。

關鍵詞：數據跨境流動；數據治理；RECP；本地化存儲；數據出境安全評估

中圖分類號：D922.16文獻標識碼：A文章編號：1009 - 5381（2024）03 - 0114 - 15

黨的二十大報告提出：“發(fā)展數字貿易，加快建設貿易強國”[1]33，“穩(wěn)步擴大規(guī)則、規(guī)制、管理、標準等制度型開放”[1]32。數據跨境流動作為數字貿易的關鍵要素，對數字貿易的發(fā)展具有舉足輕重的作用。根據麥肯錫報告預測，數據流動量每增加10%，GDP則增長0.2%，預計到2025年，全球數據流動對經濟增長的貢獻將達到11萬億美元。[2]可知，未來數據跨境流動量將直接影響各國經濟的增長速度，為促進數字經濟的有序發(fā)展，各國應更加重視完善數據跨境流動領域的法律規(guī)制。

目前，以數據跨境流動為主的國際數字貿易規(guī)則治理是當前世界貿易組織的核心議題，但由于各成員方之間在經濟、政治等方面存在差異，使各成員方對數字貿易的要求各不相同。從目前國際數字貿易來看，爭取有利于自己的數據治理規(guī)則的制定已成為大國博弈的工具與手段。以美國、歐盟等為首的發(fā)達數字貿易經濟體正基于其自身影響力通過雙邊、多邊貿易協(xié)定等方式積極搶占數字規(guī)則治理高地。對于發(fā)展中國家而言，由于網絡基礎設施不健全、自身影響力不足，直接導致其在數字貿易規(guī)則制定領域處于被動地位。

2022年由東盟十國發(fā)起的，中國、日本等國家參與制定的《區(qū)域全面經濟伙伴關系協(xié)定》（簡稱RCEP）正式生效。該協(xié)定在第八章的“服務貿易”部分和第十二章的“電子商務”部分進一步明確了各成員國制定數據跨境流動規(guī)則和數據本地化的基本原則，部分扭轉了發(fā)展中國家在數據跨境流動領域規(guī)則治理的落后局面。本文站在RCEP的視角，通過探索當前數據跨境流動規(guī)則治理的不同范式，分析其背后的法理基礎及規(guī)則差異，并在堅持RCEP“多元共治”理念的指引下，通過分析我國數據跨境流動規(guī)則與RCEP協(xié)定的差異，加強兩者銜接，完善我國數據跨境流動的規(guī)則體系，使我國數據安全與數據自由實現有效平衡。

一、數據跨境流動規(guī)則治理的范式分析

（一）“監(jiān)管例外型”的歐盟范式

所謂“監(jiān)管例外型”是指一國或地區(qū)僅對其經過審查后屬同一程度的制度機制國家或地區(qū)允許數據自由流動，未經過審查的國家或地區(qū)則不允許數據自由流動。歐盟基于其個人隱私權保護的立法傳統(tǒng)、維護歐盟數據主權的戰(zhàn)略考量以及發(fā)展歐盟數字經濟的現實需要，將數據跨境流動的規(guī)則分成兩部分：歐盟內部成員國之間允許數據自由流動；而對于跨歐盟疆界的數據流動行為則構建了數據跨境流動的充分性認定規(guī)則框架。具體包括公共部門的充分性認定規(guī)則以及適當保障措施規(guī)則認定。

1.充分性認定規(guī)則

充分性認定規(guī)則最早源自1995年的《個人數據保護指令》（簡稱DPD），該令第二十五條首次提出“充分性保護原則”。但是，由于出臺時間較早，僅規(guī)定了原則性條款，難以實際操作。2018年歐盟出臺的《通用數據保護條例》（簡稱GDPR）進一步明確了“充分性”的認定標準及實施條件。依據GDPR第四十五條規(guī)定，其他國家、特定地區(qū)或行業(yè)以及國際組織經過歐委會的認定確定其能夠提供充分的數據保護水平后，個人數據可于上述國家、地區(qū)、行業(yè)或國際組織之間自由傳輸，無須歐盟額外授權。因此，被稱為“歐洲個人數據跨境簽證”。[3]

當然，這并不意味著以上國家、地區(qū)、行業(yè)或國際組織永久享有數據自由傳輸權。根據GDPR第四十五條第三款規(guī)定，歐盟每四年可對域外國家的數據保護水平進行審查。這一規(guī)定不僅更為靈活地確保歐盟個人數據跨境流動的安全性，同時也具有一定域外效力，為歐盟持續(xù)監(jiān)督域外國家數據保護水平提供合法依據。因此，充分性認定規(guī)則在形式上是對歐盟國家基于自身個人信息保護角度出發(fā)所設立的與域外國家的雙邊數據自由貿易區(qū)，但實質上這為歐盟監(jiān)督、審查域外數據保護水平進行數據“長臂管轄”提供正當依據。[4]

2.適當保障措施

除“充分性”決議外，GDPR第四十六條規(guī)定了“適當保障措施”。由于適當保障措施眾多，企業(yè)合規(guī)審查中最為常見的路徑為標準合同條款和有約束力的公司規(guī)則，本文主要論述以上兩部分內容。

所謂標準合同條款規(guī)則，是指歐盟針對“白名單”機制以外進行商事交易的主體所“定制”的標準化條款，歐盟通過提前確定數據傳輸過程中所欠缺的數據保護內容，彌補交易主體的數據保護水平不足。[5]為提高歐盟數據跨境流動的效率，歐盟委員會先后頒布六套SCCs①，有助于歐盟進一步應對數據跨境流動形式的多樣性，提升數據跨境傳輸規(guī)則的可操作性。然而，SCCs明確規(guī)定在數據跨境傳輸前數據發(fā)送方應當對第三國數據跨境流動立法程度加以評估，以確定是否能夠達到歐盟數據保護水平。事實上，歐盟數據保護水平已超過世界上絕大多數國家或地區(qū)，因此SCCs條款將倒逼其他國家或地區(qū)提高自身數據安全立法水平，但對于絕大多數發(fā)展中國家而言，在尚未形成數據安全立法體系的情況下，其數據保護被要求達到更高水平，無異于揠苗助長。[6]

約束性企業(yè)規(guī)則是一種跨國企業(yè)內部自我規(guī)制的數據傳輸約束機制。具體而言，當跨國公司使用該規(guī)則時，個人數據跨境流動僅限于公司內部自由傳輸，若公司將個人數據傳輸至其他外部主體，即使外部主體有資格適用該規(guī)則，也不得以適用該規(guī)則為由隨意傳輸個人數據。這一規(guī)則本質為問責機制，通過對企業(yè)內部的數據進行統(tǒng)一規(guī)制以降低企業(yè)向第三國轉移數據的風險。這一制度簡化了跨國公司的數據跨境流動流程，提高了數據跨境流動傳輸的合規(guī)性，但其主要適用于跨國公司內部對于境內外數據傳輸的情形，并非適用于不同國家之間數據跨境流動的傳輸，并且由于約束性企業(yè)規(guī)則審批申請較為煩瑣復雜，僅有少量大型跨國公司采用該制度。

綜上，以歐盟為首的“監(jiān)管例外型”范式對其內部地域環(huán)境采取數據自由流動的方式，而對地域環(huán)境以外國家或地區(qū)則采用充分性認證規(guī)則等監(jiān)管方式，提高了數據流出歐盟的門檻，維護了歐盟自身的數據主權，為歐洲共同數據空間的發(fā)展建立基礎。同時因歐盟國家對數據跨境流動的要求較為嚴格，所以對數據自由流動造成一定限制，但是由于歐盟強大的影響力，該監(jiān)管制度已成為各大經濟體如日本、韓國、巴西等國家學習的范本，各國為爭取與歐盟進行數據利益的交換，不得不主動采取法律移植的方式，減少與歐盟之間的制度差距。不過對于未能與歐盟達成同一水平的數據跨境流動監(jiān)管制度的國家和地區(qū)而言，若采用歐盟的數據跨境流動制度則極易造成數據流動的阻礙，不利于數據的自由流動。

（二）“開放流動型”的美國范式

“開放流動型”的美國范式強調數據跨境的自由流動。相較于歐盟強調對數據跨境流動的地域性嚴格保護，美國基于其跨國科技企業(yè)在全球的優(yōu)勢地位，認為過多立法規(guī)制不利于數字經濟市場的創(chuàng)新與活力，并強調各國對數據跨境流動應采取更加開放的態(tài)勢。因此，美國境內并未制定統(tǒng)一的信息保護法，而是采用分散立法的模式，主張以市場為主導，以行業(yè)自律為中心的信息隱私政策。[7]為加強數據自由貿易，美國利用其自身的國際影響力，通過與其他經濟體簽訂雙邊或多邊貿易協(xié)定，宣揚其數據自由流動的意識形態(tài)。

1.對域外數據獲取堅持數據跨境自由流動

2004年，美國積極參與亞太經合組織，推動《亞太經合組織隱私框架》（APEC Privacy Framework，以下簡稱《隱私框架》）的通過，同時在2013年促成以亞太經濟合作組織的《隱私框架》為基礎構建的跨境隱私規(guī)則體系（簡稱CBPRs）。CBPRs制度是美國數據跨境流動利益訴求的集中代表，要求參與CBPRs的各國應當認同并遵守APEC隱私框架中所提出的九大個人數據保護原則，其實質在于成員國之間建立低水平的個人保護制度，不得以保護個人數據為由拒絕個人數據在公司之間跨境流動。這最終導致其他國家或地區(qū)的個人數據流向數字經濟發(fā)展十分完善的美國，從而達到美國獲取各國數據的目的。之所以仍有國家認同美國提出的CBPRs體系，原因在于美國宣揚CBPRs無須參與國修改國內法，即可與他國進行數據跨境流動。這相比于歐盟較為嚴格的數據保護來講，數據跨境流動的成本大大降低，然而參與CBPRs的國家或地區(qū)以放棄對數據出境提出符合自身國內水平保護要求為代價，實質上是數據安全對數據經濟利益的極大讓步。此外，《美韓自由貿易協(xié)定》《美國-墨西哥-加拿大協(xié)定》《跨太平洋戰(zhàn)略經濟伙伴協(xié)定》均在不同程度上傳播著美國對于數據跨境流動的制度理念。

因此，美國范式的核心主張是“禁止數據本地化措施”以及“鼓勵數據跨境自由流動”，美國基于其跨國公司的分布優(yōu)勢通過簽訂貿易協(xié)定限制成員國不能以其境內更高水平的保護為理由限制個人信息的跨境流動，從而獲取他國數據隱私資源[8]。而這尤其對于國內數據保護法律規(guī)制并未完善的國家而言存在極大的潛在風險，容易造成對國家主權、公共利益以及個人隱私的侵犯。

2.對數據出口采用嚴格出口管制

盡管美國在獲取域外數據時主張采用數據自由流動的相關規(guī)則，但是在本國數據出口時則采用十分嚴苛的數據出口管制。自2018年起，美國先后通過《外國投資風險審查現代化法案》（簡稱FIRRMA法案）、《確保信息通信技術與服務供應鏈安全》以及《保護美國人敏感數據免受外國對手侵害》等行政命令，規(guī)定避免敏感數據被外國政府或主體獲取的相關內容。同時，美國《出口管理條例》規(guī)定限制特定領域的數據出口，且受管制的技術數據只有獲得美國商務部產業(yè)與安全局（BIS）的出口許可方可傳輸到位于美國境外的服務器。除此以外，美國在數據跨境流動的法律規(guī)制中也早已顯露“長臂管轄”的態(tài)勢。2018年，時任美國總統(tǒng)的特朗普簽署了《澄清域外合法使用數據法》。該法案給予美國監(jiān)管、司法和執(zhí)法部門域外審查權，規(guī)定可依據國內法調取本國跨國公司內部所存儲的境外數據，同時規(guī)定外國政府經過美方許可也可直接調取美國公司數據，但需以外國政府規(guī)定其境內禁止本地化存儲的方式進行交換。

由此可見，美國相較于歐盟而言更加提倡共享、寬松的數據跨境流動規(guī)則，根本在于其更在意數據跨境流動背后的經濟效益，也更希望能通過數據跨境來維護其已經建立的數據優(yōu)勢。在大數據時代，美國更加清醒地意識到鼓勵數據跨境流動能最大限度地保證“數據資產”流入本國，也能夠極大程度地獲取“數據金礦”，而美國對其國內數據的出口則采用緊縮的方式，其“寬進嚴出”的數據跨境流動規(guī)則體系，有利于在國際競爭中維護自身產業(yè)的發(fā)展，從而實現其霸權主義的目的。[9]

（三）“例外規(guī)則高度保留型”的RCEP范式

盡管已存在歐美數據跨境流動范式，但是以上范式均保護了發(fā)達國家的利益，對于發(fā)展中國家而言，若適用以上范式將造成境內數據的巨大流失，從而對個人隱私、公共利益乃至國家安全造成較大的威脅。在此背景下，RCEP的出臺為發(fā)展中國家提供了更符合自身發(fā)展的數據跨境流動規(guī)制方案。RCEP協(xié)定的成員國既包括發(fā)達國家也包含發(fā)展中國家，由于各國數字基礎設施以及數字經濟發(fā)展水平存在差異，從而形成了相互沖突的利益訴求。因此，為了保障各成員國的數字利益，RCEP第十二章第十四條和第十五條采用多元共治的理念，以數據自由流動為原則，以數據安全流動為例外的規(guī)制模式。

1.多元共治理念

RCEP協(xié)定的多元共治理念主要體現在以下三個方面：首先，協(xié)定主體多元化。RCEP協(xié)定是由發(fā)展中國家與發(fā)達國家共同制定的區(qū)域性協(xié)定，其相較于歐盟較為嚴格的數據充分性保護或美國“寬進嚴出”的數據自由流動不同，RCEP主要由發(fā)展中國家發(fā)起，雖然隨后加入的成員國包括日本、韓國等歐美盟友，但仍提供給雙方平等的話語權。同時，歐盟或美國并未參與此談判，更加表明RCEP協(xié)定是繼歐美等協(xié)定外新的區(qū)域貿易一體化協(xié)定。其次，RCEP協(xié)定既關注數據自由流動的重要性，也重視發(fā)展中國家對于數據安全的擔憂。因此，RCEP協(xié)定堅持以數據自由流動為原則，反對數據本地化存儲，同時也兼顧數據安全的考量，提出基于基本安全利益例外或公共政策目標例外采取相應的本地化措施，這也為各國對數據安全與數據自由平衡問題提供新的解決思路。再次，RCEP并未對數據跨境流動的非歧視性監(jiān)管措施進行過多限制。僅在締約方無法通過協(xié)商自行解決爭端時，RCEP聯(lián)合委員會才會對爭端進一步討論和處理，但委員會所作決定并不具有約束力，即締約國擁有較大的對數據監(jiān)管和限制的權限，因此RCEP協(xié)定并不具備較強的約束力，仍需各國之間通過協(xié)商進行合作與治理。

2.以數據自由流動為原則，以數據安全流動為例外

根據RCEP第十二章第十四條和第十五條規(guī)定，對于涵蓋的人為進行商業(yè)行為，各締約方不得強制要求其在境內設置計算設施或使用其領土內的計算設施以及不得組織涵蓋的人為進行商業(yè)行為通過電子方式跨境傳輸信息。此外，第八章服務貿易的附件1與附件2中也針對金融服務和電信服務作出不得阻礙數據信息跨境流動的規(guī)定。由此可見，RCEP作出締約方不得采取限制數據跨境流動的原則性規(guī)定。換句話說，RCEP對“數據本地化”采取禁止的態(tài)度，因為“數據本地化”將造成數據提供商在該國的運營成本提高，不利于提升數字貿易的發(fā)展水平，更有甚者形成貿易壁壘，阻礙數據自由流動的發(fā)展。

然而，為了尋求各締約國之間數據自由流動與各國公共利益保護之間的平衡，RCEP同時規(guī)定了例外情形，即基于“合法公共政策目標”和“國家基本安全利益”時，可采取本地化措施。RCEP第十二章第十四條第一款以及第十五條第三款明確規(guī)定，若締約方為實現其合法的公共政策目標或保護其安全利益，可采取締約方認為的必要措施，這也賦予了締約方決定是否進行數據存儲強制本地化的權利。并且為了保護數字產業(yè)相對落后的成員國，RCEP設置了緩沖期，即成員國可以在5—8年內優(yōu)先發(fā)展國內數字法律體系。因為該協(xié)定主體并無歐美國家，所以RCEP協(xié)定有助于發(fā)展中國家的數據跨境流動制度的建立。

由此可見，RECP協(xié)定開辟了以美國和歐盟為主導的數據跨境流動規(guī)則的第三條路徑，即在倡導數據自由流動的同時也推行一定程度的數據主權的保護。相比于歐盟將個人信息保護置于數據流動和傳輸全過程的情況，RCEP將個人信息與數據流動分開規(guī)定，意味著其對于個人信息的保護更集中于電子商務平臺而非數據跨境流動領域。因此，RCEP對數據自由流動的開放度更大。與美國相比，盡管兩者均傾向于數據自由貿易，然而兩者的區(qū)別在于RCEP增加了國家安全例外條例，這一規(guī)定與美國相對于他國的數據自由流動法律規(guī)制理念相違背，因為美國出于長臂管轄更希望能夠獲得其他國家的數據，而RCEP這一規(guī)定則進一步明確了在數據自由貿易的同時仍需考慮國家安全。[10]據此，RCEP協(xié)定所倡導的構建“數字命運共同體”更能夠滿足發(fā)展中國家與發(fā)達國家關于數據流動與數據安全之間的平衡，所以應推動RCEP協(xié)定作為國際數據跨境流動的規(guī)則治理方案。

二、RCEP協(xié)定與我國數據跨境流動法律規(guī)制的比較

據ITU和TeleGeography統(tǒng)計，2019年中國跨境流通數據量位居全球第一，占全球數據量的23%，到2025年，中國擁有的數據量在全球的占比將提升到27.8%，成為全球首位。作為數據跨境流動量極大的發(fā)展中國家，我國越來越重視國內數字領域的立法及參與國際數字貿易治理的談判。

自2016年《中華人民共和國網絡安全法》（簡稱《網絡安全法》）出臺后，我國先后出臺了《中華人民共和國數據安全法》（簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），這三部法律對數據跨境流動的規(guī)則制定起到建設性的作用。除此以外，《個人信息保護認證實施規(guī)則》《數據出境安全評估辦法》《個人信息出境標準合同辦法》，以及《規(guī)范和促進數據跨境流動規(guī)定（征求意見稿）》，對我國數據跨境流動的法律規(guī)制在適用對象、適用范圍方面進行細化和補充。基于此，我國數據出境的法律體系已然形成，即數據本地化存儲制度與數據出境安全評估制度。

根據上文分析可知，無論是較為嚴格的“監(jiān)管例外型”的歐盟范式抑或是較為寬松的“開放流動型”的美國范式均未將發(fā)展中國家的數據利益考慮在內，故盲目移植“監(jiān)管例外型”的歐盟范式無異于增加我國數據監(jiān)管成本，不利于數據流動，而盲目采納“開放流動型”美國范式也不利于保護我國數據安全，易造成我國個人隱私、重要數據的泄露。以RCEP協(xié)定作為國際數據跨境流動的治理規(guī)則，更能綜合考慮發(fā)展中國家與發(fā)達國家的利益，更適宜促進發(fā)達國家與發(fā)展中國家數據跨境流動的貿易發(fā)展，也更符合當前中國數據發(fā)展方向。但是，當前有學者認為，我國在數據跨境流動的規(guī)則制定中存在貿易壁壘，難以有效銜接RCEP協(xié)定，主要體現在規(guī)制理念、數據本地化存儲制度以及數據出境安全評估制度。因此，通過將我國數據跨境流動規(guī)則與RCEP規(guī)則進行對比及合規(guī)分析，并根據合規(guī)結果尋求更好的銜接路徑。

（一）RCEP與我國數據跨境流動法律規(guī)制的理念對比

RCEP協(xié)定是以多元共治理念為基礎，倡導數據跨境自由安全流動。而我國數據跨境流動規(guī)則則秉持主權安全的理念，既希望數據自由流動，同時也承認各國應尊重他國主權。[11]其本質均在于數據安全與數據自由的衡量與側重。

1.RCEP協(xié)定的多元共治理念

RCEP協(xié)定的多元共治理念主要體現為主體多元、利益平衡以及制度共存三個方面。[12]首先，主體多元是指RCEP協(xié)定的成員國既有日本、韓國等發(fā)達國家，又有中國等發(fā)展中國家，實現了不同發(fā)展主體的多元共治。其次，RCEP協(xié)定以數據自由流動為原則，不僅滿足發(fā)達國家數字產業(yè)的進一步發(fā)展，同時也設置5—8年適用寬限期，以保障產業(yè)較為落后的發(fā)展中國家得以緩和數據發(fā)展與數據安全之間的矛盾，在有限時間內完善本國產業(yè)及制度安排，保障發(fā)達國家與發(fā)展中國家數字利益的平衡。再次，RECP制度相較于歐盟、美國數據跨境流動制度最大的特點在于其在以數據自由流動為原則的基礎上，設定了“合法公共政策目標例外”和“基本安全利益例外”的規(guī)定，同時規(guī)定是否有必要實施“合法公共政策”是由締約方自行決定，這體現了RCEP協(xié)定對各國監(jiān)管規(guī)則的尊重，也為各國規(guī)則對接提供橋梁。

2.我國數據安全主權理念

我國在數據跨境流動的頂層戰(zhàn)略布局中，既不傾向于完全的數據主權理念，也不采納完全數據自由貿易的立場，而是采取折中的辦法，即在數據安全的基礎上促進數據自由流動。2020年，我國發(fā)布的《全球數據安全倡議》是我國數據安全主權的體現。在該倡議中，一方面倡導“實現互利共贏、共同發(fā)展”的理念，另一方面也承認“保護本國重要數據及個人信息安全”。同時，對數據跨境流動的法律規(guī)制，我國主要以三大法律為依據，分別是《數據安全法》《網絡安全法》《個人信息保護法》。在這三部法律中，《網絡安全法》的立法目的是強調對國家網絡主權的安全保護；《數據安全法》的立法目的強調既保護個人合法權益又要維護國家主權安全；《個人信息保護法》則是為“保護個人信息權益”。由此可知，國內關于數據跨境流動的三部法律也是主張在保護數據安全的同時促進數據跨境流動。

3.兩者理念比較

綜上可知，RCEP協(xié)定的數據跨境流動的規(guī)則理念是以數據自由流動為原則，以公共政策目標、基本安全利益為例外情形，而我國則秉持數據主權安全理念，在保證數據主權安全的基礎上促進數據自由流動。這兩種理念在數據安全與數據流動的側重點上不同，主要體現在RCEP更強調數據自由流動，而我國則強調數據主權安全下的數據自由流動。然兒我國作為RCEP協(xié)定的締約國，進一步開放數據跨境流動是我國順應RCEP協(xié)定的應有之義。在確保數據主權安全的前提下，如何更好地與RCEP協(xié)定銜接，是我國數據跨境流動規(guī)則下一步需要思考的關鍵。

（二）基本安全利益例外與數據本地化存儲制度比較

1.RCEP協(xié)定中關于基本安全利益例外條款的內涵分析

RCEP第十二章第十四條和第十五條中規(guī)定，不得阻止一締約方采取或維持該締約方認為對保護其基本安全利益所必需的任何措施，并且規(guī)定其他締約方不得對此提出異議。但是該條款并未明確說明“基本安全利益”的內涵，根據RCEP第十九章規(guī)定，對納入本協(xié)定的WTO條款可作為解釋依據。因此，從WTO實踐案例中可知，“基本安全利益”核心是維護國家安全和公共利益。為防止各國對該詞語的濫用，成員方被要求在援引該條款時應承擔兩項舉證責任：一是成員方需證明自己符合“善意原則”；二是證明以上措施和“基本安全利益”之間的合理關系最小。[13]所謂善意原則，如今仍是一個發(fā)展的概念，并未形成統(tǒng)一的內涵，不過在學界及實踐中對于善意原則的理解，認為其至少包含誠信這一要素。例如《維也納條約法公約》（簡稱《公約》）第二十六條對于“善意履行”的理解為締結條約的當事人應當誠信、公正、合理地履行條約。[14]而“最小合理”關系，是指專家組將進行“合理性測試”判斷該措施是否使用以利益損害最小的方式實現國家追求的目標。同時“基本”一詞是對安全利益的限縮，更強調安全利益的基礎性和重要性。[15]RCEP協(xié)定雖然未在第十二章對“基本安全利益”進行范圍確認，但在第十七章第十三條對“基本安全利益”進行列舉，主要包括裂變和聚變物質、武器彈藥和作戰(zhàn)物資、關鍵公共基礎設施以及國家緊急狀態(tài)。

2.我國本地化存儲制度的內涵分析

我國現行立法中最早提及數據本地化存儲制度的是《網絡安全法》第三十七條。由此可知，我國對數據本地化存儲所規(guī)制的傳輸主體為關鍵信息基礎設施的運營者；傳輸對象分別為個人數據和重要數據。以上概念的核心特征是本地化存儲與國家安全、公共利益緊密相關。而隨著《個人信息保護法》《數據安全法》《數據出境安全評估辦法》等法律法規(guī)的相繼出臺，我國本地化存儲制度逐漸形成以境內存儲為原則，安全評估為例外的數據出境規(guī)則，即“顯性+隱形”的雙重本地化模式。所謂顯性本地化，是指我國法律所明確作出關于數據本地化存儲的制度要求。與此同時，隱形本地化則體現在除法律明確規(guī)定的本地化存儲制度外，我國還進一步規(guī)定了數據處理者的安全審查義務，如規(guī)定了關鍵信息基礎設施運營者的義務。這間接增加了關鍵信息基礎設施運營者對數據出境的審查力度，使關鍵信息基礎設施運營者在無法確定該數據是否屬于重要數據時會優(yōu)先選擇本地化存儲，導致我國數據本地化實踐過程相對嚴苛。[16]對此，還需要進一步完善我國數據分類分級制度。

3.兩者制度比較

綜上，我國本地化存儲制度與RCEP基本安全例外條例可從三個角度進行對比，分別是目的合法性、措施手段滿足善意原則以及措施限度具有合理性。

首先，數據本地化存儲所保護的范圍與基本安全例外條例的范圍相符，同時本地化存儲并非為了增加數據傳輸的阻礙，而是為了進一步保護數據的安全，其目的具有合法性。其次，對本地化存儲是否滿足善意原則，其本質是對數據本地化存儲的必要性的討論，事實上無論將數據存儲哪個國家，均存在數據被惡意竊取的風險，而一旦數據出境，國家不僅無法保證數據的監(jiān)管權，同時也喪失了數據的管轄權，這將直接導致一國的與國家安全、公共利益相關的重要數據受到難以估量的損失，其后果難以承擔，因此數據本地化存儲僅僅是為重要數據出境安全設置最后一道防線，必要且合理。再次，關于數據本地化措施是否合理這一問題，因為國家間對數據本地化制度的嚴格程度不同，所以難以概述數據本地化措施的合理性，從而應結合至具體國家。就中國而言，我國數據本地化制度所規(guī)制的目標僅為關鍵信息基礎設施處理者收集和產生的個人信息與重要數據，無論是關鍵信息基礎設施抑或是重要數據，均是以保證國家安全、社會穩(wěn)定為目的，并且我國僅規(guī)定原則上本地化存儲，但因業(yè)務需要時，仍可依據規(guī)定程序進行安全評估，這意味著我國對數據流動仍采取較為開放的姿態(tài)。因此，我國數據本地化存儲制度基本符合RCEP協(xié)定中基本例外條例的相關規(guī)定。但是，在實踐中，我國數據分類分級制度相關內容存在模糊，導致關鍵信息基礎設施運營者在無法確定該數據是否屬于重要數據時會優(yōu)先選擇本地化存儲，容易造成對本地化存儲的過度濫用，致使多數國家認為我國本地化存儲制度的實質是設置貿易壁壘，違背自由貿易精神。現下，應進一步明確重要數據等關鍵數據概念的邊界范圍，同時對分類分級制度進一步細化，加強與RCEP協(xié)定基本安全利益例外的制度銜接。

（三）公共政策目標例外與數據出境安全評估制度比較

1.RCEP協(xié)定關于公共政策目標例外的內涵分析

相較于基本安全利益例外而言，公共政策目標例外的內涵更加清晰。根據RCEP協(xié)定第十二章第十四條或第十五條規(guī)定可知，公共政策目標例外包含以下三大要件，即公共政策目標需具有合法的必要性、不以構成任意或不合理的歧視或變相的貿易限制的方式適用以及不超過必要限度，可概括為目的合法性、手段適度性及手段必要性。[17]同時RCEP賦予締約方較大的自裁權，即確認此類合法公共政策的必要性是由締約方自行決定的。

當前對于“合法公共政策目標”并未進行權威解釋，但一般而言，公共政策的內涵為一國的重大利益、基本政策和道德的基本觀念。[18]同時根據美國在自由貿易協(xié)定（FTA）中列舉的一些公共政策目標，也可推知公共政策目標應包含公共道德、國家安全和個人數據保護等。而根據WTO實踐案例，可對不構成“任意或不合理的歧視”或“變相的貿易限制”作出以下解釋：“任意或不合理的歧視”是國家間的對等原則與平等原則的體現，即國家間應以平等的方式實施相關限制措施，并且在實施過程中應給予締約方同等待遇。“變相的貿易限制”則是以“措施是否具有保護主義目的”“措施實施過程是否存在任意或不合理歧視”等標準進行衡量。對“不施加超過實現目標所需限度的限制”，GATS第十四條中存在類似表述即“保護公共道德或維護公共秩序所必需”，同時WTO專家組在實踐中對“必要性”審查形成一套標準，分別為該措施對所保護的價值的重要性程度、對所保護的目標的貢獻度以及對國際貿易產生的消極影響是否存在影響更小的替代性措施三個方面進行審查。不過由于RCEP具有明顯的自裁性，在一定程度上降低了認定合法性的難度。

2.數據出境安全評估制度內涵分析

根據我國《個人信息保護法》《數據安全法》以及《數據出境安全評估辦法》，我國對數據跨境流動的法律規(guī)制可簡單分為以下三種類型：對一般數據處理者處理非重要的個人信息，數據安全評估、個人信息保護認證以及訂立個人信息出境標準合同擇一審查，方可向境外提供個人信息。對一般數據處理者處理重要數據，則需通過國家網信部組織的安全評估。對于關鍵信息基礎設施運營者處理個人信息或重要數據，則應當本地化存儲并進行安全評估。[19]同時，我國的評估流程為數據處理者應先進行自評估，隨后形成自評估報告后再進行安全評估。所謂自評估是對數據出境的合規(guī)性、風險性、安全保障能力以及救濟渠道進行評估。而安全評估則強調，一是對境外接收方的數據保護法規(guī)對我國數據安全評估的結果，二是強調境外接收方數據保護是否達到我國評估要求。[20]

3.兩者制度比較

因此，為確定我國數據出境安全評估制度是否能夠援引RCEP協(xié)定公共政策目標例外，則需要從上述三個方面進行證明，分別是目的合法性、手段適度性以及手段必要性。首先，我國數據出境安全評估制度所評估的類型為關鍵信息基礎設施運營者處理的個人信息或重要數據，或一般數據處理者處理的重要數據，這些數據內容關系到國家安全、社會穩(wěn)定，因此我國數據出境安全評估制度符合公共政策目標例外，具有目的合法性。其次，我國數據出境安全評估無論對中國信息處理者抑或是外國信息處理者均采用平等原則與對等原則，在經歷“自評估+安全評估”的流程后，由網信部門確定數據最終是否可以出境，并未對外國主體在中國境內產生的數據采取歧視性措施，符合“不以構成任意或不合理的歧視或變相的貿易限制的方式”。此外，我國數據出境存在豁免情形，即個人信息保護認證、個人信息出境標準合同等方式，以上方式歐盟等國家或地區(qū)也采用，說明該豁免情形具有廣泛適用性。因此，我國數據出境安全評估制度可適用于RCEP協(xié)定公共政策目標例外條款。

但是，當前我國數據出境安全評估制度就數據安全評估、個人信息保護認證、個人信息出境標準合同之間存在審查內容、評估范圍重復等現實問題，應進一步明確三者關系，同時也應增強我國與其他國家或國際組織在數據跨境流動領域的合作與協(xié)調。

三、RCEP協(xié)定銜接下我國數據跨境流動的完善思路

（一）進一步深化我國數據自由流動理念

當前我國數據跨境流動的理念是國家數據安全主權原則，而這極易造成其他國家或組織對我國數據跨境流動的誤解，即將我國數據本地化存儲理解為我國在數據跨境流動問題上存在嚴重的貿易壁壘。根據上述分析可知，我國數據跨境流動法律規(guī)制基本滿足RCEP的基本安全利益例外規(guī)則以及基本公共策略例外規(guī)則，因此我國數據跨境流動的規(guī)則理念若更強調數據自由流動，或將達到更好的效果。

1.強調數據跨境自由流動原則的重要性

RCEP協(xié)定對數據跨境流動規(guī)則的框架構建是以多元共治理念為基礎，更加強調數據的自由流動，同時設有基本安全利益例外與公共政策目標例外原則。而當前我國數據跨境流動規(guī)則雖提出既強調安全又強調流動的理念，但是對數據自由流動仍處于審慎的狀態(tài)，更加側重安全至上的理念。這將直接導致我國在司法治理過程中傾向于選擇數據本地化存儲，以確保數據出境的安全性。致使我國數據流動的法律規(guī)制方向與RCEP協(xié)定的治理方向產生偏差，阻礙我國與RCEP協(xié)定的銜接，同時也影響我國加入更高水平的區(qū)域自由貿易協(xié)定。因此，有必要進一步在數據規(guī)則治理中強調數據跨境自由流動原則。同時根據上文我國與RCEP在具體規(guī)則上的比較可知，我國現行規(guī)則滿足RCEP的例外情形，因此可嘗試將數據自由流動作為原則，促進我國數據跨境流動的規(guī)則建立。根據《規(guī)范和促進數據跨境流動規(guī)定（征求意見稿）》第一條可知，我國對數據跨境流動安全管理的本質要求只規(guī)范個人信息及重要數據。換句話說，非個人信息或重要數據將不在數據跨境流動的管理范圍內，這也表明我國對數據跨境流動持開放的態(tài)度。為此，我國可采用與RCEP在相同的原則規(guī)定，即以自由流動、數據本地化存儲與數據出境管理為例外的原則，強化與RCEP理念上的統(tǒng)一。

2.推動數據本地化存儲制度的適度性

當前少數國家對我國數據本地化存儲制度存在一定誤解，即認為我國數據本地化存儲實質上是數字貿易壁壘，但綜合上述分析，我國滿足RCEP協(xié)定關于公共政策目標例外目的合法性、手段必要且適度性的要求，因此我國本地化存儲的規(guī)定并不構成數字貿易壁壘。但是，我國數據本地化存儲制度相較于發(fā)達國家仍存在一定的保守性，隨著數據日漸開放共享的發(fā)展趨勢，若一成不變地固守數據本地化存儲制度，顯然也不是上策之選。因此，進一步提升我國與RCEP協(xié)定的相容性，需適度推動我國數據本地化存儲制度的改進。

（二）進一步完善我國分類分級制度

我國數據跨境流動規(guī)則制定中的當務之急應是補齊國內對數據跨境流動規(guī)制體系中的漏洞與短板。根據我國《數據安全法》可知，我國數據主要分為一般數據、重要數據及核心數據，如果對以上數據采用整齊劃一的數據管理標準，無論是寬松或是嚴苛的保護模式，都無法滿足數據跨境流動帶來的風險與挑戰(zhàn)。因此，應當對以上數據進行分類分級管理，以確保對不同數據的等級劃分合理得當。明確重要概念的界定與識別標準，建立更為科學有效的數據分類分級標準，是數據分類分級保護制度的前提。只有將國內制度的細節(jié)與標準進一步明確，才能在參與國際規(guī)則時防止進退失據，減少其他國家對我國的誤解，降低我國參與制定國際規(guī)則的難度。

1.明確關鍵數據概念的界定范圍

根據《數據安全法》第二十一條可知，核心數據是指關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據。同時根據《數據安全管理辦法》《網絡數據安全管理條例》《數據出境安全評估辦法》，可將重要數據歸納為一經篡改、破壞、泄露、非法獲取或利用，可能造成對國家安全或公共利益的危害。而“一般數據”的定義為一經篡改等，僅對個人或組織的合法權益造成損害，尚無法危害國家安全或公共利益。由此可知，一般數據與重要數據、核心數據的區(qū)別在于是否上升至對國家安全、公共利益的危害。而重要數據、核心數據的區(qū)別則在于對國家安全、公共利益的危害程度。

2.完善數據分類分級體系

之所以進一步完善數據分類分級制度，主要原因為對本地化存儲的重要問題是要明確重要數據和個人信息范圍，而當前由于對以上內容的范圍界定不明，導致對本地化存儲向保守型的方向發(fā)展，其最直接的后果則是導致非重要數據被認定為重要數據，從而增加了企業(yè)合規(guī)的成本，也容易導致我國本地化存儲制度過于嚴苛，所以應進一步明確數據分類分級制度。鑒于前文已明確一般數據、重要數據以及核心數據的界定范圍，基于此針對不同數據的危害程度，采取不同的開放政策。對于核心數據，即指直接關系到國家安全、重大公共利益的數據，應采取以禁止流通為原則，以附條件限制流通為例外；對于重要數據，將需進一步管制的數據列入負面清單，確定其管制范圍，原則上限制流動；除負面清單以外的數據，可允許在數據合規(guī)的基礎上自由流動。除此以外，我國需定期根據國內外數據發(fā)展態(tài)勢，定期調整核心數據、重要數據的目錄，確保負面清單的適度性與可操作性。[21]

（三）增強我國與其他國家數據跨境流動領域的合作與協(xié)調

1.明確數據出境評估、合同及認證三者關系

根據相關法律規(guī)定，我國數據出境安全制度包括安全評估制度、個人信息出境標準合同以及個人信息保護認證三種制度類型。《個人信息保護法》第三十八條對以上規(guī)定采用的是擇其一的態(tài)度：一般情形下，數據處理者可自行選擇以上制度；涉及一定數量的個人信息，數據處理者需進行數據出境安全評估；除重要數據以外的其他商業(yè)數據，可在個人信息出境標準合同、認證機制或其他方式中自由選擇；重要數據則需要通過數據安全評估方式出境。然而，由于實踐中商業(yè)數據流動日益龐大，根據《評估辦法》的規(guī)定很容易滿足適用數據安全評估的方式，對于個人信息出境標準合同、出境安全認證如何適用成為一個難題。因此，應當對數據出境安全評估制度、個人信息出境標準合同制度以及個人信息保護認證制度進行區(qū)分，在明確各制度定位的基礎上調整制度體系結構。

數據出境安全評估制度的適用范圍涉及威脅國家安全和社會公共利益等四種情形，因此安全評估制度更加強調對境外機構通過采用公權力的手段獲取數據的安全風險。而個人信息出境標準合同則是以少量個人信息為限，通過采用嚴格的違約責任事前預防數據接收方的違約行為，因此標準合同更強調事后數據接收方違約的救濟方法。個人信息保護認證制度則是采用技術手段，以專業(yè)的第三方風險評估業(yè)務評估技術風險，確保數據出境的安全性。綜上，盡管我國對于以上三種機制采用擇其一的手段，但是安全評估所預防的風險相較于其他機制所預防的風險更加重大，如果采用擇其一的方式易造成法律效果失衡。因此，應采用“安全評估單列，其他制度互補”的方式，即只有數據處理者向境外提供重要數據或大量個人信息，可能影響國家安全時采用數據出境安全評估制度，其他則采用個人信息出境標準合同或個人信息保護認證制度。[22]

2.加強“一帶一路”數據跨境自由流動圈建設

當前國際公共產品存在供給不足的情況，我國適時提出共建“一帶一路”與《全球數據安全倡議》，積極化解各方在數據發(fā)展與數據安全之間的分歧。首先，我國可積極發(fā)揮自由貿易區(qū)先行先驗的制度優(yōu)勢，根據商務部發(fā)布《關于印發(fā)全面深化服務貿易創(chuàng)新發(fā)展試點總體方案的通知》，提出在北京、上海、海南、天津、杭州等條件較好的地區(qū)開展數據跨境傳輸安全管理試點及探索建立京津冀、長三角數據流動機制，可通過自貿區(qū)、自貿港的制度優(yōu)勢，積極探索數據跨境流動的中國經驗與方法，為數據跨境流動的國際合作積累經驗。進一步推動“數字絲綢之路”的構建，逐步推進與“一帶一路”共建國家的數據跨境流動制度合作。“一帶一路”為共建國家提供了一個絕佳的對話平臺，我國應當充分發(fā)揮該平臺優(yōu)勢，共建“一帶一路”多邊數據跨境流動圈，加強溝通多方對數據跨境流動的具體訴求，并通過協(xié)商的方式減少風險，同時可對數字執(zhí)法和監(jiān)管的情況進行定時通報，可通過司法協(xié)助等方式擴大“數據自由流動生態(tài)圈”。[23]

數據跨境流動規(guī)則治理不僅關系國家的數據安全，同時對國際跨境數字貿易的健康發(fā)展造成深刻影響。以歐美為首的發(fā)達國家最早提出數據跨境流動規(guī)則治理理念，但難以滿足國際多元化發(fā)展趨勢。以“多元共治”為理念的RCEP協(xié)定的出現，為數據跨境流動的國際治理提供了新的思路。我國應抓住機遇，以RCEP協(xié)定為基準進行檢視，進一步完善我國數據本地化存儲制度和數據出境安全評估制度，保障我國數據自由與安全，同時加強區(qū)域間數字貿易協(xié)作，向世界貢獻數據跨境流動規(guī)則治理的“中國方案”。

參考文獻：

[1]習近平.高舉中國特色社會主義偉大旗幟為全面建設社會主義現代化國家而團結奮斗——在中國共產黨第二十次全國代表大會上的報告[M].北京：人民出版社，2022.

[2]沈傳年.跨境數據流動治理進展研究[J].信息安全研究，2023，9（7）：624-630.

[3]夏菡.歐盟數據跨境流動監(jiān)管立法的市場規(guī)制轉向及對中國的啟示[J].河北法學，2023，41（8）：169-182.

[4]鄒軍.基于歐盟《通用數據保護條例》的個人數據跨境流動規(guī)制機制研究[J].新聞大學，2019（12）：16-27.

[5]金晶.歐盟的規(guī)則，全球的標準？數據跨境流動監(jiān)管的“逐頂競爭”[J].中外法學，2023，35（1）：46-65.

[6]李仁真，羅琳娜.歐盟數據跨境傳輸標準合同條款新發(fā)展及啟示[J].情報雜志，2022，41（5）：146-153.

[7]黃志雄，韋欣妤.美歐跨境數據流動規(guī)則博弈及中國因應——以《隱私盾協(xié)議》無效判決為視角[J].同濟大學學報（社會科學版），2021，32（2）：31-43.

[8]范思博.數據跨境流動中的個人數據保護[J].電子知識產權，2020（6）：85-97.

[9]許多奇.個人數據跨境流動規(guī)制的國際格局及中國應對[J].法學論壇，2018，33（3）：130-137.

[10]馮潔菡，周濛.跨境數據流動規(guī)制：核心議題、國際方案及中國因應[J].深圳大學學報（人文社會科學版），2021，38（4）：88-97.

[11]丁曉東.數據跨境流動的法理反思與制度重構——兼評《數據出境安全評估辦法》[J].行政法學研究，2023（1）：62-77.

[12]李燁.RCEP協(xié)定下我國數據跨境流動規(guī)則的檢視與完善[J].科技與法律，2023（1）：119-128.

[13]張曉君，劉澤揚.RCEP數據跨境流動基本安全例外條款與中國方案[J].鄭州大學學報（哲學社會科學版），2023，56（4）：36-42.

[14]徐莉.安全例外條款之善意原則的適用——基于數字貿易規(guī)制視角[J].蘭州大學學報（社會科學版），2023，51（5）：99-109.

[15]張明.數據本地化措施援引安全例外的解釋論[J].北方法學，2022，16（5）：146-160.

[16]盛祥，于琳，黃海瑛.跨境數據本地化：主權考量、安全底線與戰(zhàn)略定位[J].圖書館論壇，2023，43（9）：21-29.

[17]王楚晴.申請加入DEPA背景下中國數據治理的相容性審視及優(yōu)化路徑[J].太平洋學報，2023，31（3）：1-13.

[18]Ghodoosi Farshad.The Concept of Public Policy in Law：Revisiting the Role of the Public Policy Doctrine in the Enforcement of Private Legal Arrangements[J].Nebraska Law Review，2016，94（3）：685-736．

[19]徐程錦.中國跨境數據流動規(guī)制體系的CPTPP合規(guī)性研究[J].國際經貿探索，2023，39（2）：69-87.

[20]王春暉.數據安全出境評估規(guī)則與適用——《數據出境安全評估辦法》解讀[J].南京郵電大學學報（社會科學版），2022，24（4）：1-10.

[21]陳兵，郭光坤.數據分類分級制度的定位與定則——以《數據安全法》為中心的展開[J].中國特色社會主義研究，2022（3）：50-60.

[22]趙精武.論數據出境評估、合同與認證規(guī)則的體系化[J].行政法學研究，2023（1）：78-94.

[23]洪延青.推進“一帶一路”數據跨境流動的中國方案——以美歐范式為背景的展開[J].中國法律評論，2021（2）：30-42.

Comparative Studies and Review on Legal Regulations of Cross-Border Data Flow from the Perspective of RCEP

Song Jianing，Wang Yukun

（Tiangong University，Tianjin 300387，China）

Abstract：With the rapid development of digital trade，cross-border data flow，as a key element of digital trade，plays a pivotal role in the development of the digital economy. However，the current legal regulation of cross-border international data flow has not yet been systematized，and developed economies represented by the European Union and the United States have actively formulated digital governance systems suitable for their own development based on their international influence，which directly leads to data security risks for developing countries. The RCEP agreement opens up a third regulatory path for cross-border data flows. From the perspective of RCEP，by comparing the rules of cross-border data flow between China and RCEP，we will further deepen the concept of free flow of data in China，improve the key systems in China's cross-border data flow rules，strengthen regional cooperation on cross-border data flow and the voice of developing countries in the field of cross-border data flow，and contribute China's strength to building a community with a shared future in cyberspace.

Key words：cross-border data flow；data governance；RCEP；localized storage；security assessment of data export

責任編輯：邱春華 李 慧