张晓君 屈晓濛

(西南政法大学国际法学院，重庆 401120)

一、问题的提出

信息技术的蓬勃发展正推动传统经济模式向数字化转型，鉴于WTO 既有规则无法有效应对数字贸易带来的挑战，数字贸易的全球化发展呼唤全新的贸易规则。由于各国数字贸易规制的理念差异和政策分歧难以协调，[1]P297-321在 WTO框架下讨论制定诸边数字贸易规则进展缓慢，短时间内难以奏效，各国转而根据自身利益诉求在自由贸易协定中制定数字贸易规则。目前，多边或区域规制体系是主要经济体推广其价值理念与制度方案的重要平台。《全面与进步跨太平洋伙伴关系协定》(以下简称“CPTPP”)、《美墨加协定》(以下简称“USMCA”)、《数字经济伙伴关系协定》(以下简称“DEPA” )、《区域全面经济伙伴关系协定》(以下简称“RCEP”)等大型自贸协定都对数据跨境流动规则作了明确具体的规定，禁止缔约方限制数据跨境自由流动或采取数据本地化措施，以推动数字贸易自由化发展。①

长期以来，中国一直是亚太地区数字贸易自由化的旁观者。直到2015年分别与韩国和澳大利亚签订自贸协定并纳入了独立的电子商务章节，中国才成为亚太地区数字贸易自由化的参与者。迄今为止，我国参与的自贸协定中，最为复杂的数字贸易规则当属 2020 年底缔结的RCEP，主要内容涵盖电子签名、无纸化贸易等我国向来接受度较高的传统电子商务条款，[2]P28并在线上个人信息保护、数据跨境流动、计算设施位置等等重要议题上达成共识。同时，考虑到缔约方间不同的数字贸易发展水平及监管需求，RCEP采用了开放性制度设计，充分尊重缔约方国内的法律和政策，以保证不同发展水平的缔约方能就此议题达成一致。其中最典型的条款之一就是数据跨境流动的例外条款。RCEP数据跨境流动条款在原则性禁止对数据跨境流动进行限制的同时，通过设置例外条款，给予了缔约方一定的政策空间。例如，RCEP第12章“电子商务”第15条第3款规定，“本条的任何规定不得阻止一缔约方采取或维持”实现“合法的公共政策目标”和保护其“基本安全利益”所必需的措施。②这意味着，缔约方可以援引公共政策目标例外和基本安全利益例外来对数据跨境流动进行规制，豁免RCEP对数据跨境自由流动的要求。③这因而引发了我国的思考：RCEP的例外条款能否为我国数据流跨境动规制措施提供合法性的空间？

对此问题进行研究是因为自2016年《网络安全法》通过后，我国进一步加强了对数据跨境流动的国内规制与立法，其中不乏数据跨境流动的规制措施。在RCEP生效后，我国存在着援引RCEP例外条款的需求。因此，本文将从RCEP数据跨境流动例外条款入手，探讨“公共政策目标”和“基本安全利益”例外条款的适用条件，在此基础上分析我国援引RCEP例外条款的问题，并在此背景下对我国数据跨境流动规则的调整提出建议。

二、RCEP数据跨境流动一般规则与例外条款

(一)RCEP数据跨境流动规则入约背景

RCEP在最初谈判时，数据跨境流动并未作为重点议题被列入其中，但随着数字贸易在全球范围内的迅速发展，在RCEP中纳入相关规则的必要性凸显。

从整体发展趋势来看，越来越多的国家将数据跨境流动条款置于双边或区域自贸协定中。数据跨境流动是数字贸易的重要内容，但在对全球的经济增长作出重大贡献的同时，也引发了各种问题与风险。基于保障国家安全和保护个人隐私、[3]P75-76维护社会公共道德和公共秩序、防止消费欺诈、[4]P98便利本国执法[5]P39-40以及促进本国产业发展[6]P13等政策关切，各国纷纷采取数据本地化措施，限制数据跨境流动。[7]P178然而，WTO协定等传统经贸协定缺乏明确的数据跨境流动规则，难以有效规制缔约方采取限制数据跨境自由流动或数据本地化的措施。[8]P106为了促进数据在全球范围内进一步的自由流动，CPTPP等区域经贸协定开始设置数字贸易规则规制缔约方采取或维持影响数字贸易的措施，这在一定程度上解决了与数据跨境流动相关的规则适用问题。

从实际需求来看，RCEP各缔约方亟须一个新的全面、现代、高质量、互惠的自贸协定以满足自身数字经济的发展需求。[9]P70联合国贸易和发展会议发布的《数字经济报告2021》指出，数据流量增长急剧上升，在地理位置上主要集中在北美与欧洲之间以及北美与亚洲之间，但是，绝大多数国家之间仍然存在很深的传统数字鸿沟。美国和中国数字经济领先全球，全世界一半的超大规模数据中心都位于这两个国家。[10]PXV相对而言，东盟国家数字经济发展总体水平较为落后，但是东盟却具有发展数字经济的深厚潜力，其拥有庞大的数字经济潜在群体，是全球互联网用户增速最快的地区；预计到2025年的时候，东盟数字经济的规模将会达到300亿美元，约占东盟GDP的8%。[11]P83出于技术与市场等方面的考量，亚洲地区也需要一个高质量的自贸协定来规制数据的跨境流动，促进数字经济的良性发展。

因此说来，基于全球经贸协定发展的整体趋势以及亚太地区数字经济发展的实际需求等诸多因素，谈判各方遂将数据跨境流动的议题列入了RCEP电子商务的谈判之中，并最终达成了共识。

(二)RCEP数据跨境流动规则的一般规则

RCEP第12章“电子商务”开篇即陈述了电子商务的重要性，并将“促进缔约方之间的电子商务，以及全球范围电子商务的更广泛使用”作为该章的首要目标。在此原则和目标下，第15条第1款首先认可各缔约方对于通过电子方式传输信息可能有各自的监管要求，第2款则规定“一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。”该条款并未明确“数据”的类型，因而既可能包括个人信息也可能包括非个人信息。此外，此处规制的数据跨境流动仅包括以“商业行为”为目的，政府或司法机关主导的数据跨境流动(如跨境取证)不受此条款规制。[12]P41以上两款表明，缔约方不得对数据的跨境传输进行限制，应当遵循自由流动原则。这也是RCEP对成员国设定的核心义务。

在数据跨境流动的规则方面，CPTPP与DEPA规则的设计与RCEP是大体相同的。CPTPP第14.11条首先肯定了缔约方的监管权利，即各缔约方有权设置各自的跨境传输监管要求。在此基础上，该条第2款则明确了缔约方对于电子商务中的数据通过电子方式跨境传输的强制性义务，即缔约国应该允许包括个人信息在内的数据跨境传输，且这一活动只适用于缔约方投资者、服务提供者所开展的“商业行为”。DEPA模块4第4.3条的措辞与以上CPTPP条款的措辞完全一致。根据RCEP与CPTPP和DEPA数据跨境流动规则的对比可知，以上三个协定都认可了数据跨境流动的重要意义，均承认针对信息跨境传输的监管权，并且关于核心义务和适用范围的规定也都较为一致。虽然RCEP没有对电子传输信息是否包含个人信息作出明确的界定，但其确立的数据跨境自由流动的原则，却顺应了新一代自由贸易协定中跨境数据流动规则的发展趋向。

(三)RCEP数据跨境流动规则的例外条款

毋庸置疑，数据跨境自由流动对于数字贸易的发展至关重要，但是自贸协定的缔约方也意识到各国在数字经济发展水平、规制目标和规制能力、历史文化传统等方面存在差异，因而在数据跨境流动规则中设置了例外条款，为缔约方在特殊情形下暂时背离提供合法性的依据，以促进贸易自由化要求和国家规制权需求之间的平衡，这也是高标准的数据跨境流动规则为越来越多国家接受的重要原因。

RCEP15条在第2款原则上禁止限制数据跨境自由流动的同时，第3款规定了两项例外加以平衡，即“公共政策目标例外”与“基本安全利益例外”。第3款规定，缔约方可以采取或维持：“(一)任何与第二款不符但该缔约方认为是其实现合法的公共政策目标所必要的措施，只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用；或者(二)该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议。”两项例外赋予了缔约方更大的自裁决。首先，就公共政策目标例外而言，该条并未列明目标的具体内容，实际上允许一国的数据跨境流动规制措施追求更多的目标，如“数据主权目标”④，从而赋予了缔约方更大的自主裁量权。此外，RCEP在第一项“所必要的措施”后特别注明，“缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定”，由此，强调了公共政策目标例外的“自裁决”属性，增加了缔约方成功援引该例外条款证明争议措施合法性的可能性。其次，就基本安全利益例外，RCEP并未像《关税与贸易总协定》(以下简称“GATT1994”)第21条和《服务贸易总协定》(以下简称“GATS”)第14条之二将例外情形严格限制在条款中所列出的情形之中，而是采用开放式的方式，充分保障了缔约方的规制自主权。

虽然CPTPP在数据跨境自由流动原则方面与RCEP的措辞极其相似，但例外条款的设计区别很大(如表一所示)。⑤一方面，关于公共政策目标例外，CPTPP第14.11条规定“本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第 2 款不一致的措施，只要该措施：(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式适用；及(b)不对信息传输施加超出实现目标所需限度的限制。”该条规定并没有“缔约方认为”一词，因此，并不具有RCEP公共政策目标例外的“自裁决”特征。此外，CPTPP公共政策目标例外强调数据跨境流动规制措施应当具有“必需性”，即不得超出实现公共政策目标所需的限度，从而减少贸易壁垒对数据跨境自由流动的不必要阻碍。

另一方面，CPTPP并不包含任何基本安全利益例外。但这并不意味着缔约方无权以维护基本安全利益为由对数据跨境流动进行限制，而是其仍可以援引第29章“例外和总则”中的“安全例外”。CPTPP数据跨境流动例外条款之所以未设置特定的安全例外，是因为其电子商务章节基本保留了其前身《跨太平洋伙伴关系协定》(以下简称“TPP”)的条款。TPP协定谈判是由美国主导的，而美国奉行的是以市场为导向的自治模式，主张数据的跨境自由流动，所以CPTPP在很大程度上仍反映了美国的数据利益诉求。[13]P179USMCA第19.11条也规定了与CPTPP相似的数据跨境流动例外条款。

表1 RCEP与CPTPP数据跨境流动例外条款对比

相比之下，RCEP更为关注安全问题，将缔约国的基本安全利益置于数据跨境自由流动之上。这应当是与RCEP各缔约国数据跨境流动规制国内措施的实践有关。为保障数据安全而采取的数据跨境流动规制措施在RCEP缔约方之间并不罕见。如澳大利亚仅关注数据主体的隐私和安全，在2012年通过的《个人控制电子健康记录法》中规定了个人数据保护的基本原则。马来西亚也采取了类似与澳大利亚的策略，对数据跨境流动的限制较窄。[14]P179-180在另一些缔约国家，如中国、韩国、印度尼西亚、越南等，不仅保护数据主体的隐私和安全，还涉及国家安全、法律执行等事项，因此其数据跨境流动规制措施范围较广。例如，韩国的《信息通信网的促进利用与信息保护法》就规定:“政府为防止国内产业、经济及科学技术等重要信息泄露国外，可令信息通信服务提供商或利用人采取必要措施”。越南《网络安全法》要求境外的互联网公司在越南设立分支机构或代表处，将本国用户的个人信息存储在越南境内等。印度尼西亚于 2019 年发布行政命令，要求“公共领域电子服务提供者”必须在印度尼西亚境内建立数据中心。[15]鉴于缔约国多样化的数据跨境流动规制措施，RCEP 充分尊重缔约国的监管要求，以安全为首要原则，保障缔约方应对国家安全威胁的自由裁量权，以减少各缔约国国内法与RCEP规则的冲突，这不同于以往自贸协定中有关电子商务的规定。

综上可知，类似于CPTPP的条款设计，RCEP 通过强调公共政策目标例外的自裁决属性并加入基本安全利益例外，允许缔约方采取更多跨境流动规制措施保护个人利益、公共利益和国家安全，从而扩大了缔约方数据跨境流动的规制空间。RCEP采用更加开放包容的数据跨境流动例外条款的原因还在于，RCEP区域国家的数字经济发展存在较大差距。为满足各方的利益诉求而扩大例外条款适用是条约缔结中常见的情形。但是，由于RCEP数据跨境流动规则例外条款中对于“公共政策目标”和“基本安全利益”的范围和适用标准并未明确，在条约实施过程中易引发争端。因此，由谁及如何评判、如何解释例外条款的范围及适用条件，是缔约国能否成功援引例外条款以豁免数据跨境自由流动义务的关键所在。

三、RCEP公共政策目标例外条款

关于公共政策目标存在着解释方法、解释标准等的困境。就目前而言，WTO的争端解决实践是最为丰富的。RCEP文本中也有参考WTO争端解决实践的规定。RCEP第19章第4条第1款规定，“本协定应当依照国际公法解释的习惯规则进行解释。”该款与WTO《关于争端解决规则与程序的谅解》(以下简称“DSU”)第3.2条规定内容一致，均表明条约解释在争端解决过程中的重要性及普遍意义。[16]P122-128此外，RCEP第19章第4条第2款规定，关于纳入RCEP的《WTO协定》的任何条款，专家组也应当考虑WTO争端解决机构通过的专家组及上诉机构报告中所作出的相关解释。这意味着RCEP在解决协定项下的争端时，并不拒绝参考WTO专家组和上诉机构的实践。因此，通过参考和借鉴WTO已有争端解决实践对数据跨境流动公共政策目标例外的解释是一条可行且重要的路径。

(一)公共政策目标例外条款适用的实践

RCEP第17章“一般条款和例外”中的第12条一般例外条款规定，就第12章电子商务条款而言，GATT1994第20条以及GATS第14条(包括其脚注)经必要修改后纳入本协定并构成本协定的一部分。由此可见，RCEP数据跨境流动例外条款的设置主要源于对GATT1994和GATS中一般例外规定的修改。而GATT1994和GATS的一般例外条款中并没有规定缔约方可以出于实现“公共政策目标”采取相应措施，而采用了封闭式列举的方式，包含了各类正当化理由。⑥其中与“公共政策目标”相似的措辞表述是“公共道德”和“公共秩序”。⑦

公共道德、公共秩序与公共政策这几个概念都具有某些相同的属性，而作为明显的共同点为两者都极为容易被泛化解读，其根本原因仍然是协定条文中没有对其进行明确界定。在WTO首个争端解决案例“美国精炼与常规汽油标准案”中，专家组和上诉机构均援引了《维也纳条约法公约》。上诉机构报告作出明确认定：“条约解释的基本规则在《维也纳条约法公约》中得到最权威和简洁的表述。”[17]P17认为其中第31条已经取得了传统或习惯国际公法规则的地位。根据《维也纳条约法》公约第31条(解释通则)，条约应就其用语按照上下文并参照其目的和宗旨所具有的通常含义，善意予以解释。

关于“公共道德”和“公共秩序”的含义，“美国博彩案”专家组借助《牛津简明英语词典》将“公共道德”界定为“一个社会或国家维持或代表的关于行为对错的标准。”[18]Para.6.465该解释也被其后的“中美出版物和视听产品案”专家组采纳。[19]Para. 7.759此外，专家组将“公共秩序”解释为“涉及对公共政策和法律反映的社会根本利益的维持”，[20]Para. 6.467同时还指出这两个概念根据时间和地点的不同而有所不同，主要受到社会、文化、伦理和宗教价值等因素的影响。[21]Para. 6.461例如，“美国博彩案”专家组认定禁止远程提供赌博和博彩服务的各项争议措施是保护公共道德和/或公共秩序的措施。[22]Para. 6.487“中美出版物和视听产品案”专家组认为，内容审查是为了维护中国的公共道德。[23]Para. 7.767“欧共体海豹产品案”专家组认为，保护动物福利属于“公共道德”的范畴。[24]Para.7.410“哥伦比亚纺织品、成衣和鞋类进口案”专家组认为，反洗钱是哥伦比亚用以保护公共道德的政策之一。[25]Para.7.33各国的价值差异导致专家组很难确认争议中公共道德的确切内容，因此专家组进而指出，各成员方应被给与一定的空间，使其根据自身的制度和价值尺度在其境内自行界定和适用“公共道德”和“公共秩序”的含义。[26]Para. 6.461由此可推断，对于“公共秩序”和“公共道德”同样宽泛的“公共政策目标”概念，RCEP联合委员会或专家组⑧应会根据成员国内法来解释，而不明确划定公共政策目标的范围。在此情况下，应当关注公共政策目标例外条款的其他适用条件，来评估争议措施是否可豁免RCEP对数据跨境自由流动所要求的义务。

(二) RCEP公共政策目标例外条款的适用

例外条款作为一种灵活性的安排，通过设置宽松或严格的适用条件，来协调不同目标价值并维持条约稳定的制度功能。[27]P2在GATT时代，“加拿大诉美国337条款案”专家组就指出，第20条一般例外条款仅规定了“对其他GATT条款所规定的义务的有限的和有条件的例外。”[28]Para.5.9因为第20条采用了封闭式的列举法，所以这些例外是“穷尽性”的。同时，这些例外也是“有条件的”，只有满足了第20条所规定的条件，该条才可以为不符措施提供正当性。“美国博彩案”上诉机构也指出在确认争议措施所维护的特定利益和价值后，即应转向对其他需要进行“衡量和平衡”的因素进行考察。[29]Para.306

相较于GATT和GATS的规定，RCEP公共政策目标例外条款的“必要性”条件赋予了缔约方更多的自由裁量权。如前文所示，该例外条款通过采用“缔约方认为”的措辞以及脚注中对必要性问题由缔约方自己决定的强调，赋予了使得缔约方在适用该例外条款时在“必要性”问题上享有极大的自裁决权。这就意味着，缔约国无须证明其限制措施为对贸易损害最小、且别无其他合理替代措施。[30]Para.161与此同时，在公共政策目标例外的后半句的但书中，仍然规定了缔约方在采取相关措施时，应当不构成“歧视”与“变相限制”，而这两个要件的存在，意味着缔约方规制权仍要受到“非歧视”条件的限制。⑨“非歧视”的限制标准要求缔约方所采取的相关措施必须以国家间平等、产品间平等的方式加以实施。而这种平等不仅要求法律上的平等，还包括事实上的平等，即相同法律在具体实施过程中必须给予各方同等待遇。在“美国虾案”中，上诉机构认为构成“任意或不合理的歧视”必须要满足三个要件：(1)争议措施的适用造成了歧视；(2)该歧视在性质上是任意或不合理的；(3)该歧视必需发生在情形相同的国家之间。[31]Para.150第一个要件中的“歧视”不同于GATT1994第1条、第3条和第11条项下的歧视，因为一般例外条款并不禁止歧视本身，而是禁止任意或不合理的歧视。[32]P.23第三个要件中的“国家之间”既包括外国与外国之间也包括本国与外国之间。[33]Para.150就第二个要件，上诉机构认为，美国实际上要求他国必须采取与美国完全一致的保护海龟的措施构成了“不合理的歧视”；[34]Para.177美国对申请认证的成员方施加了一套单一、刻板和僵化的要求，这种严格的单一标准从而构成了“任意的歧视”。[35]Para.161此外，上诉机构在“巴西—翻新轮胎案”的裁决中指出，对一项贸易限制性措施的实施是否导致“任意或不合理的歧视”的评估，应该基于这种歧视的原因或理由而非完全基于此类歧视所产生的实际效果。如果产生这种歧视的原因或理由与争议措施所宣称的目标不存在合理联系，或与该目标相违背时，即存在“任意或不合理的歧视”。[36]Paras.227-230

综上所述，RCEP公共政策目标例外条款采用了较为宽泛的概念，扩大该条款的适用范围。同时赋予了缔约方较大的自裁决权，维护缔约方的规制空间。但WTO争端解决机构就“非歧视”条件发展出的丰富法理对该条款的适用又提出了较高要求。对于“任意或不合理的歧视”要件的分析，首先要涉及歧视的原因或理由，即争议措施产生的歧视是否能与政策目标相协调或具有合理联系。若具有合理的联系，争议措施的适用还需具有充分的灵活性，不得对其他缔约方“一刀切”地采用单一标准，同时需包含其他同样能达成目标的手段，否则无法援引RCEP的公共政策目标例外条款。

四、RCEP基本安全利益例外条款

尽管基本安全利益例外条款首次被应用于跨境数据流动规则的领域，且RCEP对其具体的内涵并未作出详细的规定，但是在许多经贸协定中都已包含了允许各国在必要时援引基本安全利益以免于承担特定条约义务的条款。

(一) 基本安全利益例外条款适用的实践

如上文提到，RCEP第19章第4条规定在审理纳入RCEP的WTO协定条款相关争议时，除了应当考虑WTO专家组和上诉机构报告中所作出的相关解释之外，RCEP还完整地将“该缔约方认为对保护其基本安全利益所必需的措施”这一表述的GATT第21条⑩纳入其基本安全利益例外条款，因此，WTO争端解决机构对GATT第21条进行的解释，能够适用于RCEP第12章第15条“基本安全利益例外”的解释或补充解释。

GATT1994第21条赋予了缔约方以维护国家安全为由偏离GATT规则的较高程度的自决权，具体包括以下三种情形：(1)允许缔约方拒绝提供其认为会违背其基本安全利益的任何信息；(2)允许缔约方采取其认为对保护国家基本安全利益所必需的任何行动；及(3)允许缔约方采取必要措施以为履行其在《联合国宪章》之下维护国际和平与安全的义务。“基本安全利益”限定了缔约方援引安全例外条款的安全事项范围，但GATT1994本身并没有对“基本安全利益”一词进行定义。直到“俄罗斯运输案”，专家组才对“基本安全利益”的概念做出法律解释。专家组认为“基本”限缩了“安全利益”的范围，所以“基本安全利益”是一个比“安全利益”更为狭窄的概念，通常是指与国家典型职能有关的利益，即保护其领土和人民不受外来威胁，以及维护国内法律和公共秩序的利益。[37]Para.7.130这些特定的利益与保护国家不受内外部威胁紧密相关。专家组对“基本安全利益”含义的阐释，减少了该词语涵盖范围的模糊不清之处。

(二)RCEP基本安全利益例外条款的适用

RCEP基本安全利益例外条款规定，缔约方认为是保护其基本安全利益所必需的措施，均可豁免RCEP对数据跨境自由流动的义务要求。此处并未像合法公共政策目标例外一样，对措施是否应当以“非歧视”的方式施行、该措施是否构成对贸易变相限制进行额外要求。根据RCEP第12章第15条规定，基本安全利益例外得以适用的条件，是涉案措施为该缔约方认为保护其基本安全利益所必需的措施。但是，专家组在“俄罗斯运输案”中对成员方的自裁决权的范围作出了界定，即虽然争议措施的“必要性”完全由成员方进行自由裁量，但成员方对“基本安全利益”的界定仍需受到专家组的客观审查。援引例外条款一方仍需承担以下两个证明义务：

第一， 阐明争议措施拟保护的“基本安全利益”。在“俄罗斯运输案”中，专家组在明确了“基本安全利益”的基础上，进一步指出每个成员方面临的情况不同，因此“基本安全利益”的界定属于成员方自裁决权的范围。但这不意味着成员方可将任何关切都提升到“基本安全利益”的高度，其“主观”判断仍需受到客观因素限制，即《维也纳条约法公约》第31条中的“善意原则”。[38]Para.7.59根据“善意”原则，成员方必须“充分”阐明其寻求保护的“基本安全利益”，且不得适用“安全例外”以规避其在GATT项下的义务，如将贸易利益包装为基本安全利益。[39]Paras.7.130

第二， 表明争议措施与其寻求保护的“基本安全利益”之间存在着一定的关联性。在关联性方面，专家组同样运用善意原则进行了分析，认为涉案措施仅仅需要与“基本安全利益”之间具有“最小合理”的关联性，即成员方所采取的措施“并非全然无法服务于此目标”即可。[40]Para.7.138因此，即使存在能够保护“基本安全利益”且对贸易影响更小的其他措施，争议措施也依然具有合法性。

WTO案例表明，RCEP基本安全利益例外条款虽然赋予了缔约方较大的自裁量权，但在缔约方适用该例外条款的时候，还会受到一定的约束。缔约方在援引该条款时还应承担以下两项举证责任：第一，阐明其所采取或维持的措施拟保护的“基本安全利益”；第二，证明其所采取或维持的措施与其寻求保护的“基本安全利益”具有合理的关联性。

五、RCEP数据跨境流动例外条款与中国因应

数字经济时代，我国的数据规模快速增长，数据对经济发展、人民生活、国家和社会治理的意义日益重要，我国对数据跨境流动的法律规制也越来越重视。自2016年《网络安全法》通过后，我国进一步加强对数据跨境流动的国内规制与立法。在加入RCEP后，我国首先应考虑相关规制措施与RCEP数据跨境流动规则的衔接问题。

(一)数据跨境流动规制的立法现状

在数据跨境流动领域中，我国已初步形成了以《网络安全法》《数据安全法》和《个人信息保护法》为核心、重点领域专门规范的数据跨境流动规制体系。作为中国网络空间治理的基本法律，《网络安全法》首次对数据跨境流动从法律层面上进行了规制。该法第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”由此，《网络安全法》的这一规定也就确立了我国重要数据跨境流动所要遵循“本地储存，出境评估”的基本制度。

2021年6月10日通过的《数据安全法》进一步规范了数据跨境流动规则，表明了我国促进数据跨境安全、自由流动的态度。该法第31条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”《数据安全法》的该条明确了重要数据出境管理制度，还为其他领域重要数据出境的进一步规制提供了立法依据。在我国的实践中，“其他领域”的概念大多出现于行政法规和部门规章之中，如《地图管理条例》第34条就规定，互联网地图服务单位应当将存放地图数据的服务器设在中国境内，并制定互联网地图数据安全管理制度和保障措施。《征信业管理条例》第24条也规定，“征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行。”《网络安全审查办法》第7条要求，“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”《汽车数据安全管理若干规定(试行)》第21条也要求，汽车数据处理者应当将“重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。”

鉴于个人信息数据的跨境流动在数字经济发展中的重要作用，2021年8月20日通过的《个人信息保护法》设立专章，规范个人信息跨境流动，保护个人信息权益。第38条规定，个人信息处理者因业务等需要向境外提供个人信息的，应当通过国家网信部门的安全评估、经专业机构进行个人信息保护认证，或按照国家网信部门制定的标准合同明确境外接收方权利和义务。第39条规定，个人信息处理者向境外提供个人信息的，应向个人告知信息出境相关情况并取得其“单独同意”。第40条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中国境内收集和产生的个人信息存储在境内；确需向境外提供的，应当通过网信部门组织的安全评估，除非法律、行政法规和国家网信部门有相反的规定。总的来说，《个人信息保护法》区分了普通的个人信息处理者、关键信息基础设施运营者和处理个人信息达到一定数量的个人信息运营者，对后两者提出数据本地化和出境安全评估的特别要求，并明确了普通个人信息处理者向境外传输个人信息所要满足的要求。

上述规定可以发现，我国多部法律法规、部门规章均涉及我国对数据跨境流动的规制权。虽然确立了安全、自由的跨境数据流动原则，但强调了重要数据境内存储和出境安全评估(见表二)，所以整体来看我国现阶段数据跨境流动规制更注重维护数据安全，特别是国家安全问题，立法态度较为保守和审慎。[41]P189因此，现有的数据跨境流动规制措施存在与RCEP关于数据跨境实行的原则性自由流动的规定不符。在RCEP下，我国采取或维持的规制自由流动措施的合法性应建立能够援引RCEP例外条款的基础上。下文将根据我国数据监管的类型，考察我国当前数据跨境流动规制措施符合“公共政策目标”和“基本安全利益”例外条款适用条件的可能性，进而为我国援引RCEP中的例外条款实现我国跨境数据流动规制目标提供参考。

表2 目前我国数据分类监管的类型、规制措施及法律依据

(二) 援引RCEP数据跨境流动例外条款的问题

1. 关键信息基础设施生成数据的规制措施

我国对关键信息基础设施生产数据的规制措施，可能涉及到对国家安全利益的维护。根据上文分析，援引安全例外必须证明涉案措施与国家典型职能之间具有相关性。因此，分析我国关键信息基础设施生成数据的规制措施能否援引安全例外，就必须阐明规制措施拟保护的“基本安全利益”，并证明该措施与“基本安全利益”的关联性。

首先，关键信息基础设施运营中收集和产生的个人信息和重要数据，其规制措施是否必然涉及“基本安全利益”。对于二者之间关联性证明并不难。我国对于关键信息基础设施的定义本身就包含了“国家安全”因素。《关键信息基础设施安全保护条例》第2条将其定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”这些基础运作过程中收集和产生的信息和数据，是该设施发挥功用不可或缺的，因此必然涉及“基本安全利益”。

即使某些关键信息基础设施更多地是出于保障国计民生和公共利益，但在对公共利益的破坏能够导致社会秩序的混乱和动荡的情况下，也可以援引上文专家组对“基本安全利益”解释的“维护国内法律和公共秩序的利益”部分的内容进行辩护。

其次，关于我国关键信息基础设施生成数据的规制措施与“基本安全利益”这一目标之间的关联，我国仅需证明该措施与“基本安全利益”之间满足最低限度的联系即可。2013年斯诺登事件爆发后，对于国外监控和国家安全的担忧促使各国采取了不同程度的数据本地化立法。[42]P784数据规制措施在保护国家安全和公共秩序等方面的作用已被各国所接受。例如，韩国出台的《土地测量法》禁止其本国领土的任何土地监控数据跨境流动，以保障其土地测量数据的安全。美国税务局2016年也出台规定，要求税务信息系统必须位于美国境内，也即此类数据的存储和处理必须在美国境内，以保障其税务数据的安全。因此，各国对重要基础设施领域采取的数据跨境流动规制，已有丰富的立法实践，可以有力的佐证数据规制措施有利于公共秩序的稳定。

由以上分析可知，关键信息基础设施运营中收集和产生的个人信息和重要数据与“基本安全利益”是直接相关的。并且，以上个人信息和重要数据的境外存储无法完全杜绝内外部的威胁，因此，对其境内存储的这一要求即便不是必需的，但至少也会存在“最低限度的可信度”。因此，我国对关键信息基础设施生成数据的规制措施可以符合RCEP数字跨境流动的基本安全利益条款。

2. 其他领域重要数据和个人信息的规制措施

关键信息基础设施之外的重要数据(《数据安全法》第31条)和信息(《个人信息保护法》第40条)，由于需要经过国家网信部门组织的安全评估后才可向境外传输，因此同样可能适用于安全例外条款。 此种重要数据因其性质特殊(如金融信息、地图数据信息)，或具有大数据的特征(如“车联网”背景下超过10万人的个人信息、人脸信息)等，具备维护国家安全与公共秩序的价值。大数据的发展日益模糊了国家秘密信息和非秘密信息之间的界限，原本不会给国家安全和社会公共利益造成威胁的个体数据当其在达到一定规模并经过技术处理和分析之后，也有可能对国家安全和公共秩序造成严重威胁。[43]P95例如，2018年美国士兵使用了一款名为Strava的健身软件健身，由于该软件有记录行走路线的功能，导致意外暴露了其所在军事基地的地理位置和内部结构。[44]P99上文提到的地图、汽车等领域的个人信息，均属于此类容易造成国家和社会安全威胁的数据。

鉴于韩国曾经将地图数据信息的本地化存储作为维护国家安全的重要举措，[45]美国也曾经发布过《关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令》，要求商务部对外国对手的应用程序进行安全评估以维护国家安全，[46]P86因此，重要数据和个人信息规制措施与“基本安全利益”的“最低限度的关联”在国际上并不缺乏实践的基础。由此说明，关键信息基础设施之外的重要数据和个人信息同样也有可能符合基本安全利益例外。

3. 其他个人信息的规制措施

对于不涉及关键信息基础设施且处理数量未达法定上限的信息跨境传输，我国目前并未要求一概进行安全评估，获得专业机构个人信息保护认证和适用标准合同均可成为信息跨境流动的合法性来源。鉴于此条款当中并不包含任何国家安全和公共秩序要素，且标准合同仅是企业间约定而非对他国政府的要求，若不考虑构成“大数据”的个人信息，单纯的个人信息保护问题与“公共政策目标”例外的关联度更高。对于这类个人信息的规制措施能否符合RCEP的“公共政策目标例外”，我国需证明该措施不得构成任意或不合理的歧视，或对贸易的变相限制。

根据前文分析的“非歧视”标准要件进行分析，可以发现对其他个人信息跨境流动的规制措施至少在立法层面是不存在歧视的。因为不论是境内存储要求还是对于数据跨境流动的审查，《个人信息保护法》并未对中国信息处理者和外国信息处理者设置不同的标准。为确保我国《个人信息保护法》在实施当中的确不存在“歧视”，还需进一步考量措施本身的适用是否具有灵活性，即规制措施在实施手段上是否要求其他缔约方采取唯一一种手段，而故意忽略了其他同样能达成目标的替代方法。如上所述，我国《个人信息保护法》已经提供了三种合法性来源供个人信息处理者选择，除了通过网信部门组织的安全评估，外国信息处理者还可以选择通过标准合同与境外接收方订立合同或进行第三方认证，而后两者都是美国2017年、2018年向WTO提交的质疑文件中承认的合理替代措施，[47]P49因此《个人信息保护法》规定的规制措施对个人信息保护这一目标的实现手段已经提供了相当的灵活性。综上，在其“必需性”自行裁决的情况下，我国现行其他个人信息的规制措施也可能在公共政策目标例外项下获得合法性认定。

(三)RCEP下我国数据跨境流动规则的调整

本文的分析表明，我国现阶段对关键信息基础设施生产的数据、其他领域重要数据和个人信息以及其他个人信息的规制措施理论上可以在RCEP数字跨境流动例外条款项下获得合法性认定。但是，目前我国数据立法以保障数据安全和国家安全为根本目标，偏重数据本地化的立法态度与RCEP鼓励数据跨境自由流动的立场不相协调。此外，我国已正式申请加入CPTPP和DEPA，考虑到其数据跨境流动例外条款比RCEP更为严格，我国有必要进一步根据自贸协定修改和完善相关国内立法，以保证我国数据跨境流动规制措施在相关自由流动规则下的合法性。

第一， 进一步强调数据跨境自由流动原则。虽然我国现阶段立法允许数据跨境流动，但规定较为含糊，容易引发不必要的争端，也不利于我国条约义务的落实。因此，我国有必要在《网络安全法》《数据安全法》以及《个人信息保护法》中进一步强调以数据自由流动为原则，与RCEP数据跨境流动规则更好地协调。RCEP赋予了缔约方广泛的自由裁量权，中国在确认数据跨境自由流动原则的基础上，于个人信息和重要数据保护方面采取规制措施是符合RCEP规定的，但仍需进一步完善相关配套制度，在自由贸易试验区先行先试，形成可复制可推广的经验，以满足数字贸易发展与数据安全保护的需要。

第二， 统一相关概念的界定。主要是数据跨境流动法律法规与自贸协定中数据跨境例外条款中和核心名词的界定。《网络安全法》和《数据安全法》多个条款均采用“国家安全”“公共利益“公共秩序”等措辞，而RCEP等自贸协定数据跨境流动例外条款采用的是“基本安全利益”这一术语。鉴于基本安全利益例外条款包含了“其认为”这一自裁性措辞，若专家组对我国援引基本安全利益例外规制数据跨境流动的措施进行善意审查，很可能会考察我国国内法对基本安全利益的界定。因此，建议统一我国数据跨境流动立法与自贸协定例外条款中的利益表述，以助于为可能引发的争端所进行的解释提供国内法指引。

第三， 健全数据分级分类规则，明确数据跨境流动安全评估标准。如上文所述，关键信息基础设施之外的重要数据和信息也具备维护国家安全与公共秩序的价值。因此，在数据安全法配套细则的推出过程中，应进一步明确“重要数据”的内涵标准、判定条件及认定程序，明确重要数据管理的具体要求。对于何种数据构成重要数据而应当采用本地存储、出境评估的措施也应当在法律法规或部门规章中明确地列举，如《地图管理条例》、《汽车数据安全管理若干规定(试行)》的相关规定，从而避免其他缔约国关于国家安全、社会秩序威胁是否切实存在的质疑。此外，我国虽然确立了数据安全评估制度，但评估标准尚未出台。因此，我国应加快推动《个人信息出境安全评估办法》、《数据出境安全评估办法》等配套措施的出台，确定评估主体、明确评估标准和程序，同时澄清与完善个人信息跨境传输标准合同条款的具体内容以及个人信息保护认证的具体方式，以提高规则的可操作性。

第四， 扩充“不符措施清单”，扩大我国数据跨境流动的规制空间。除了从立法层面讨论我国数据跨境流动规制措施能够符合RCEP例外条款的同时，在我国加入CPTPP和DEPA的谈判进程中，我国还可以通过《服务和投资保留及不符措施承诺表》来保障我国的政策空间。 自贸协定大都会承认“电子商务”章节会与“服务贸易”或“投资”章节存在重叠，从而在“服务贸易”或 “投资”章节当中，缔约方通常是以正面清单、负面清单或混合清单的形式进行承诺的，比如仅同意在特定部门给予或不给予外国人最惠国待遇和国民待遇。[48]P28-29RCEP第 12 章第3条也明确规定，第15条“电子方式跨境信息传输”条款不适用于“服务贸易”或“投资”章节当中规定的保留和不符措施。CPTPP第 14.2条也规定了相似的措施。而具体到各国对于“不符措施”的安排，也不乏与数据本地化可能产生关联的保留条款。 例如，韩国在RCEP项下的不负措施承诺表中就规定对于国有电子信息系统，该系统包含专有的政府信息或者政府依据其监管职能和权力收集的信息，韩国有权采取任何相关的规制措施。[49]P57该系统必然会涉及到国家安全或公共秩序信息的跨境流动问题。因此，在我国未来的CPTPP和DEPA条约谈判中，可采用此模式，在做出不符措施承诺时，对于可能存在重要数据或信息跨境的领域和行业明确其不适用“电子方式跨境信息传输”条款，从而为我国规定该领域数据跨境流动的规制提供明确的合法性。

注释：

① 虽然各大型自贸协定都将数据跨境自由流动作为共同的发展方向，但其例外条款在结构、措辞、使用条件等方面有所差异。杨署东，谢卓君. 跨境数据流动贸易规制之例外条款：定位、范式与反思[J].重庆大学学报(社会科学版)，2021，4.

② 鉴于RCEP第12章第十四条“计算设施的位置”的例外条款与第十五条“通过电子方式跨境传输信息”在措辞上完全一致，本文将以第十四条为分析对象。

③ 在自贸协定中，数据跨境流动不仅受到电子商务或数字贸易章节下的限制，还受到一般例外条款及安全例外条款下的限制。本文聚焦于第一种类型的限制。马光. FTA数据跨境流动规制的三种例外选择适用[J]. 政法论坛，2021，9.

④ 数据主权是国家主权在大数据时代的核心表现，表现为国家对本国数据与本国国民数据的所有权、控制权、管辖权与使用权。参见张晓君. 数据主权规则建设的模式与借鉴——兼论中国数据主权的规则构建[J].现代法学，2020，42.

⑤ DEPA模块4第4.3条中的例外条款与CPTPP在措辞上完全一致，因此本文对CPTPP的分析将同时适用于对DEPA的分析。

⑥ GATT1994第20条与GATS第14条之间具有极强的相似性，如采用了相似的条款结构，且都允许缔约方为保护公共道德采取必要措施。然而，两者也有不同，一个明显的不同是GATS第14条包含的一些正当化理由，例如公共秩序的维护、安全和隐私的保护等并不存在与GATT1994第20条之中(至少不明示存在)。

⑦ 虽然“公共道德”和“公共秩序”是两个不同的概念，但“美国博彩案”专家组认为这两个概念仍有重合，因为它们“所意图保护的价值十分相似”。参见Panel Report，United States—Measures Affecting the Cross-Border Supply of Gambling and Betting Services，WT/DS285/R (20 April 2005) para.6.468.

⑧ RCEP第12章第17条第2款规定，在磋商未果的情况下，参与磋商的缔约方可根据第18章第3条，将该事项提交至 RCEP 联合委员会。根据RCEP第12章第17条第3款规定，RCEP第19章规定的争端解决机制只有在审议完成后，才能在缔约方均同意的情况下适用于电子商务领域产生的争端。

⑨ 上诉机构在“美国汽油案”中指出，“任意或不合理的歧视”与“对国际贸易变相的限制”在含义上是相同的，判断一项具体措施的适用是否导致“任意或不合理的歧视”的相关因素，也可以用于判断该具体措施是否构成国际贸易的“变相限制”。因此，本文以非歧视条件为主进行分析。Appellate Body Report，United States — Standards for Reformulated and Conventional Gasoline，WT/DS2/AB/R(20 May 1996)p.25.

⑩ GATS第14条之二“安全例外”的用语与GATT1994第21条的用语完全相同，且该条款未在争端解决程序中得到援引，因此本文的分析以GATT1994第21条为主。