姜团利 王志强

摘要：CPTPP和RCEP均涉及国际贸易跨境流动规则。“一带一路”倡议下，我国参与区域经济贸易合作、融入此类框架协议，要求制定符合国家战略的数据保护规则，以应对跨境数据流动国际规则。国家基于网络主权，有权有责对网络空间的要素内容进行合理监管，以保障国家利益、社会利益以及公民个体利益不受侵犯。跨境数据流动应基于三种利益维度，区别一般数据和特别数据，分别对待。单纯属于贸易层面的数据，在有关主体遵循相关贸易数据跨境流动规则的前提下，国家无须再行干涉，经商业主体事先申报登记、定期报告即可;属于国家秘密目录范围、危及公共安全的特殊数据，应严格执行审查许可制度。国家间应在互信互任的基础上，互相尊重网络主权与网络空间安全利益，逐步实现网络空间命运共同体。

关键词：跨境数据  国家安全  制定标准  互信互任

2020年5月，WTO发布了关于电子商务在COVID-19大流行期间举足轻重作用的报告，认为数字经济在危机中成为主角。电子商务的基础是数据的流动，国际电子商务的极大发展，对国际贸易间的跨境数据流动提出了新的要求。西方发达国家凭其先期在互联网发展中赢得的技术和规则上的优势地位，要求发展中国家在国际贸易中，保持与其水平相当的自由跨境数据流动，以实现发达国家的价值输出和信息收集，致使需要广泛参与国际贸易的发展中国家面临对外发展和保护国家安全与隐私的难选境地。作为世界上最大的发展中国家，我国在积极参与区域和国际合作过程中，面临着国际规则与标准的巨大冲击，毫无准备而接受发达国家主导的游戏规则，任重道远。因此，进一步做好全面融入国际贸易合作中的法律制度准备，以适应国际贸易新规则的要求，特别是进一步建立健全国际贸易中跨境数据流动的有关规则，显得极为紧迫。

一、跨境数据流动规则的发展

经济合作与发展组织（OECD）是最早就跨境数据流动作出规定的国际组织，其2013年更新的《关于隐私保护和跨境个人数据流动的指南》规定了成员国应采取合理恰当的步驟确保个人数据的跨境流动，除非跨境数据违反国内隐私立法的特别规定，否则，成员国不应限制跨境数据的流动，也不得以保护隐私等为由刻意施加法律限制。《服务贸易总协定》（GATS）在其电信服务附件中，也要求成员国保证跨境传送信息，但也规定了出于保护个人隐私等所必需的措施。当前，与我国直接相关的涉跨境数据流动国际法律框架主要有CPTPP和RCEP。

（一）从TPP到CPTPP

原美国主导的跨太平洋伙伴关系协定（TPP），并没有因为美国的退出而丧失其在全球贸易规则制定中的巨大影响力。2017年12月30日，以TPP为基础框架的全面与进步跨太平洋伙伴关系协定（CPTPP）生效。CPTPP电子商务篇章第14.11条通过电子手段进行的信息跨境转移中第2款规定，当数据传输主体的行为属于其商业行为时，成员国应允许通过电子方式进行跨境传输，包括个人信息。同时，第3款对跨境数据传输作出例外规定，认为在不构成任意或不合理贸易歧视或变相限制的情况下，为实现合法公共政策目标而进行的限制行为，是被允许的。即CPTPP鼓励支持并促进各成员国在商业活动领域，进行跨境数据传输，但其也认识到无限制的跨境数据传输，将极大可能危及各成员国国家安全、公共利益。因此，认为各成员国应在能够保障其国内信息安全、公共利益的前提下，尽可能不限制跨境数据传输活动。与14.11条紧密相关的是第14.13条计算机设施位置的规定，第2款规定任何缔约方均不得要求有关商业主体在有关成员国领土内使用或安置计算机设备，以作为在本国从事商业活动的条件，即禁止“计算机设施本地化”。同14.11条的逻辑一样，合法的公共政策目标是要求计算机设施本地化的合理理由，即当事国为了实现本国合法的公共政策目标，可以在平等、合理的原则下，要求商业活动的实行者，遵守计算机设施本地化规则。RCEP在其电子商务篇章第四节第14条借鉴了CPTPP第14条关于计算机本地化问题的规则，第15条关于跨境传输电子信息的规则，借鉴了CPTPP第14.11条的规则。但是确定了限制措施的必要性由实施方决定的规则，即实施计算机本地化规则的当事国，为实现本国合理公共政策目标，一旦作出实行计算机本地化的决定，其他缔约国不得提出异议。这进一步体现了对数据所在国数据主权、网络主权的尊重。

（二）RCEP

2020年11月15日签署的《区域全面经济伙伴关系协定》（RCEP），内容涵盖货物、服务、投资等全面的市场准入承诺。同时，考虑到成员国的不同发展水平，协定包含了设立特殊和差别待遇条款在内的适当形式的灵活性，倡导在尊重各成员国合理适当的网络安全监管的前提下，开展国际贸易合作。需要注意的是，澳大利亚、韩国、新西兰、日本等国的加入，使得RCEP成员国间的文化、制度、经济水平差异化显现，加之几国对CPTPP框架下跨境数据流动规则的理解和国内化措施，RCEP在具体规则的呈现上，不可避免会借鉴CPTPP有关规定。2020年11月20日，习近平主席在亚太经合组织（APEC）领导人非正式会议上，提到“中方将积极考虑加入全面与进步跨太平洋伙伴关系协定（CPTPP）”。

因此，无论是要适应OECD、GATS关于跨境数据流动的要求，还是适应CPTPP、RCEP所引领的区域经济合作协定的有关要求，尽快完善我国有关跨境数据流动的相关法律规定，是时代所需。

二、国际贸易跨境数据流动的本土冲突

通常情况下，数据的跨境自由流动，是促进国际贸易更加充分发展的有效途径。信息高度融通、高速传播，需求供给信息即时传递，这些都是可以降低国际贸易交易成本的要素。在这一角度上，限制国际贸易中的跨境数据流动，就涉嫌设置国际贸易数据壁垒，这也是国际规则倡导跨境数据在合理范围内自由流动的原因。但是，随着网络空间从“自治论”到“巴尔干化论”的过程中，不能单纯从是否有利于国际贸易发展角度上，判定跨境数据流动的利弊问题，还应考虑国家利益、社会利益和公民个体利益。从国际贸易整体角度看，自然是利大于弊，但从受数据跨境流通影响的个案看，可能恰恰相反。具体来说，由于国家间缺乏互信互任的基础，出于对自身利益的考量，总会采取一些影响他国利益的网络行动，而利用数据的跨境流动，就是其实现预期目标的途径之一。跨境数据流动包含数据流进和流出两个方面，数据流进对国家利益、社会利益和公民个体利益的影响主要表现在危险数据信息（不合国情的价值观、病毒数据等）的输入上，数据的流出对三种利益的影响主要表现在涉及国家重要秘密信息的泄露，继而导致三种利益的直接受损。不管是数据的流进，还是数据的流出，核心在于我们极易被有关国家认作假想敌。在这样一个既“敌对”，又要合作的情境下，各方就有必要通过完善规则的方式，以期与相关合作主体在同一平台上达成相对一致，建立合作基础。

（一）网络安全法与跨境数据流动规则

《中华人民共和国网络安全法》第三十七条规定了数据本地化的要求，是合理限制跨境数据流动的措施。规定要求“个人信息”和“重要数据”应当在境内存储，“个人信息”是一个相对具体明确的概念，为各国法律所规定保护。在国际贸易规则中，跨进数据流动对“个人信息”的传送也多有限制。然而，“重要数据”的范围需做进一步明确，如借鉴欧盟《通用数据保护条例》中规定的允许限制处理的数据类型：国家安全、国防、公共安全、预防、调查、侦查、起诉刑事违法进行或者执行刑罚、一般公共利益、司法独立和司法诉讼的保护、有关职业伦理等等，通过列举加概括方式，尽可能明确“重要数据”的类型。另外，应尽快制定对于重要数据的安全评估标准及其配套实施机构，以满足因业务需要申请数据跨境流动的商业主体有章可循的需求，这也是优质营商环境的需要。第五十条规定了对于来自境外的违反法律、行政法规禁止发布或者传输的信息，应当阻断传播，此款规定也相对宽泛，有被人误解为是用来选择性阻断境外数据流入的问题，因而，需要进一步明确区分类型，如进行危害国家安全、危害经济稳定、危害本国文化传承等类型化处理，在每一项下具体列举相应典型情形。

（二）网络空间主权与跨境数据流动

习近平主席在第二届世界互联网大会开幕式上提出以尊重网络主权、维护和平安全、促进开放合作、构建良好秩序为原则的网络空间命运共同体的主张。网络空间已成为继陆、海、空、天后人类第五大主权空间领域。“国家间应该相互尊重自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利，不搞网络霸权，不干涉他国内政，不从事、纵容或支持危害他国国家安全的网络行动”，“明确网络空间主权，既能体现各国政府依法管理网络空间的责任和权利，也有助于推定各国构建政府、企业和社会团体之间良性互动的平台，为信息技术的发展以及国际交流与合作营造一个健康的生态环境”。国家网络主权神圣不可侵犯，声明遵循国际贸易规则的行为，也是行使国家主权的表现。这也必然導致国家自主维护国家安全利益的需要，同国际贸易参与者跨境数据自由流动的需要成为一组冲突。在国家主权至上的前提下，其他一切行为均应为其“让路”。若是如此，有跨进数据流通需要的国际贸易参与者，将长期处于不安定的状态，长此以往，不利于国际贸易的自由发展。因而，在国际贸易中涉及跨境数据流动的问题上，尽管主权国家有自我决断采用何种规则的权利，但出于对等原则的考量以及各国间平等互信贸易关系的构建，应结合本国国情，尽量采取与同等国家类似水平的跨境数据流动规则，制定较为明确具体的法律条款，为国际贸易主体营造明晰的法律政策环境。

三、应对之法

无论是CPTPP，还是RCEP规则，其在推进跨境数据流动时，依旧秉持尊重国家主权以确保成员国国家利益不受其不合理影响的原则。如何做当其所说的合理、必要、不过分的限制，是我们应对跨境数据流动新议题的关键。一方面，要尽快制定将上述抽象规则具体化的规则;另一方面，要平衡好本国数据利益、网络空间利益和跨境数据自由流动威胁间的矛盾。

（一）跨境数据的类型化处理

跨境数据按照所涉及主体利益的不同，可以分为个人数据、国家（公共）数据。按照对各主体影响程度的不同，个人数据又可分为一般数据、特殊数据等。一般数据是诸如姓名、性别这种识别数据，特殊数据指不愿为别人知悉的隐私数据，如血型、婚姻情况、家庭成员等。国家（公共）数据类似，有反应社会基本情况的基础数据，如领土面积、经济发展水平等一般数据，还有涉及国防前沿技术、国民生物特征等国家机密数据。数据的类型化处理，有助于实现分层次审核。对于个人数据，尤其是一般数据，符合国内立法规定的，可以实现事先登记便可跨境流动;对于国家（公共）数据，可按照所涉领域的风险指数，决定事先登记，还是审核批准，抑或明令禁止。

（二）国内隐私立法与跨境数据流动规则的衔接

目前，许多国家或国际组织如澳大利亚、日本、俄罗斯及欧盟等，已通过个人隐私数据保护的立法，以实现国家利益和跨境数据流动被动影响间的平衡，特别是欧盟的《通用信息保护条例》，是隐私保护规则较为成熟的版本，被多国借鉴。当前，我国对于数据保护的法律法规散见多处，民法、行政法、刑法等部门法均有涉及，部门法间的保护体系已初步搭建，但是，形成以民法为基础、相关行政法或社会法为主导、刑法为后盾的综合法律保护体系，还需进一步完善。既要基于我国数据主权，细化数据保护范围，也要结合CPTPP和RCEP法律规则，实现国内国际法间的平衡协调。

（三）比例原则下合理必要的限制标准

CPTPP和RCEP中关于限制跨境数据流动的例外规定，有包含限制行为“合理、必要”的意思。在具体规则的制定上，可以借鉴行政法中行政行为的比例原则，在制定跨境数据流动规则时，在利益平衡的基础上，使得过程可见、结果可量化，从而在应对国际舆论时，做到有理有据。不同文化背景下的国家，其法律政策均有其特殊之处，各国间完全一致的规则是难以存在的。充分考虑当前我国经济社会发展阶段，在合理必要的前提下，制定符合自身发展需要的跨境数据流动规则，是对自身和国际社会的双重负责。

三、结论与建议

国际贸易离不开政治影响，完全去政治化的国际贸易当下是不存在的。国际贸易主体一旦走出国门，其自身属性便会发生变化，由国内单一的企业组织，变成带有国别的国际贸易主体，也就自然被带上了政治色彩。在当前不可避免的掺杂政治因素的国际贸易中，国家间应尽快修复互信互任的基础关系，在对等基础上制定双方、多方认可的跨境数据流动规则。维护国家公信力，不能出尔反尔。在数字经济全面发展的今天，我国也应就新时代面临的数据流动新挑战，完善有关法律法规，以此作为参与国际贸易的基础。

参考文献：

[1]李海英.数据本地化立法与数字贸易的国际规则[J].信息安全，2016（09）.

[2]蔡翠红.国家-市场-社会互动中网络空间的全球治理[J].世界经济与政治，2013（09）.

[3]王海稳，高文雪.我国网络空间主权面临的挑战与对策研究[J].杭州电子科技大学学报（社会科学版），2017（05）.

[4]徐锦程.国际经贸协定中网络空间治理一体的新发展[J].区域与全球发展，2018（03）.

[5]王明国.网络空间秩序转型的国际制度基础[J].全球传媒学刊，2016（04）.

[6]石静霞.跨境数据流动规制的国家安全问题[J].广西社会科学，2018（08）.

〔姜团利、王志强，南京航空航天大学人文与社会科学学院〕