APP下载

CPTPP 核心数字贸易规则与中国加入谈判因应
——基于与RCEP 的对比分析*

2024-05-26张子琳彭德雷

上海对外经贸大学学报 2024年2期
关键词:缔约方源代码数据安全

张子琳 彭德雷

(华东理工大学,上海 200237)

一、问题的提出

2021年9月16日,中国正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)。①中方正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)[EB/OL].http://www.mofcom.gov.cn/article/news/202109/20210903199707.shtml.CPTPP是自美国退出《跨太平洋伙伴关系协定》(TTP)之后,由日本、新加坡等国家推动达成的一项全球高水平区域贸易协定,继承了TPP 95%的条款。CPTPP电子商务章节共18条,集中反映了全球高水平数字贸易规则,在内容上不仅包括电子认证、无纸化贸易、电子传输免关税等传统数字贸易议题,还包括数据跨境流动、源代码、数字产品的非歧视待遇等核心议题。而且,源代码、数字产品的非歧视待遇等条款尚未体现在中国已签署的国际协定中,使得谈判缺乏可借鉴的模板。因此,于中国而言,关于CPTPP数字贸易规则的谈判仍然存在一些难点。

近年来,中国积极考虑加入CPTPP,推动区域经济一体化,早日建成亚太自由贸易区(习近平,2020)。2023年11月9日,商务部指出,已对协定全部条款进行了深入全面的分析、研究和评估,梳理了可能需要采取的改革举措和修改的法律法规,并在有条件的自贸试验区和海南自贸港先行先试。①商务部:全面推进加入CPTPP和DEPA进程[EB/OL].https://caijing.chinadaily.com.cn/a/202311/10/WS654dd413a310d5acd876e501.html.同时,在国家顶层设计的“十四五”规划纲要中提出实施自由贸易区提升战略,构建面向全球的高标准自由贸易区网络。申请加入CPTPP是中国在已经签署《区域全面经济伙伴关系协定》(RCEP)的基础上,作出的进一步开放的举措。②有研究估测,若中国加入CPTPP,2030年中国国民收入有望增加2980亿美元。同时将给CPTPP的现有成员带来巨大的经济利益,使贸易额增长约50%,全球收入增长约76.7%,达到6320亿美元。目前,数字贸易作为一种新型贸易模式,已经成为国际贸易的重要组成部分,也将成为中国参与CPTPP所关注的重要内容。为此,研究在对CPTPP和RCEP数字贸易规则进行比较分析的基础上,结合中国国内数字贸易政策和已经签署的国际协定,探究分析中国申请加入CPTPP数字贸易规则谈判的重点和难点,为中国进一步对标高标准国际规则,推进制度型开放提供参考,有助于中国更好地参与全球数字规则治理。

二、CPTPP 与RCEP 数字贸易规则的比较

RCEP包含的数字贸易规则在中国已签署的国际协定中涉及的内容最多(彭德雷和张子琳,2021)。此外,RCEP成员国中有7个国家同时是CPTPP成员国,③既是RCEP成员国,又是CPTPP成员国的国家有日本、澳大利亚、新西兰、新加坡、马来西亚、越南、文莱共7个国家。占CPTPP成员国总数的一半以上。因此,以RCEP数字贸易规则为参考,梳理CPTPP核心数字贸易规则,为下文分析中国加入CPTPP数字贸易规则谈判做铺垫。

(一)CPTPP 与RCEP 数字贸易规则的共性特征

1.旨在提升数字贸易便利化水平

CPTPP和RCEP在电子商务章节中开宗明义,强调提升数字贸易便利化水平、促进消费者信心的重要性。④CPTPP在第14章电子商务章节第14.2条范围和总则第1款中强调,缔约方认识到促进消费者对电子商务的信心和避免对电子商务使用和发展造成不必要障碍的框架的重要性。RCEP在第12章电子商务章节第2条原则和目标第1款中强调,缔约方认识到建立框架以促进消费者对电子商务信心的重要性,以及便利电子商务发展和使用的重要性。CPTPP和RCEP数字贸易规则共同涵盖海关关税、无纸化贸易、电子认证和电子签名、电子方式传输信息(数据跨境流动)、计算设施的位置(数据本地化)等提高数字贸易便利化水平、减少数字贸易壁垒的关键条款。无纸化贸易、电子认证和电子签名能够显著减少文件的传输时间和海关清关时间,提高国际贸易的效率;⑤United Nations Economic Commission for Europe(UNECE)研究指出,纸质形式向电子形式这一转变,国际贸易可以在其供应链中节省数十亿美元。参见:UNECE,A Roadmap towards Paperless Trade, ECE/TRADE/371, 2016.免除数字关税、放宽对数据跨境流动的限制程度等措施则能够进一步促进数字经济和数字贸易的发展。⑥根据European Centre for International Political Economy (ECIPE)的预测,如果全面实施数据本地化政策,欧盟的GDP将损失1.1%,韩国的GDP也损失1.1%,巴西、印度等国家的GDP都会受到不同程度的影响。

2.注重保障数据安全和网络安全

致力于保障数据安全和网络安全是CPTPP和RCEP都极为重视的部分。CPTPP在第29章第2条中规定,成员方有权不公开其认为有违本国实质安全的信息。成员方有权采取其认为必要的措施,以维持国际和平与安全,或者保护其本国的实质安全利益。①CPTPP第29.2条规定,本协定中任何条款不得解释为:(a) 要求一缔约方提供或允许获得其确定如披露则违背其基本安全利益的任何信息;或(b) 阻止一缔约方采取其认为对履行维护或恢复国际和平或安全义务或保护其自身基本安全利益所必需的措施。RCEP在“电子方式传输信息”和“计算设施的位置”这两个条款中均强调,缔约方出于保护其基本安全利益的目的,可以对数据跨境流动和数据本地化进行限制,且缔约方不得提出异议,②参见RCEP第14条计算设施的位置、第15条通过电子方式跨境传输信息。并且在第17章一般条款与例外中作出与CPTPP “安全例外”相似的规定。③RCEP第17章一般条款与例外第13条安全例外规定,本协定的任何规定不得解释为:(一)要求任何缔约方提供其认为如披露则违背其基本安全利益的任何信息;(二)阻止任何缔约方采取其认为对保护其基本安全利益所必需的任何行动:1.与裂变和聚变物质或衍生此类物质的物质有关的行动;2.与武器、弹药和作战物资的交易有关的行动,以及与直接或间接供应或给养军事机关的此类交易运输的其他货物和物资或提供的服务有关的行动;3.为保护包括通讯、电力和水利基础设施在内的关键的公共基础设施而采取的行动;4.在国家紧急状态,或战时,或国际关系中的其他紧急情况下采取的行动;或者(三)阻止任何缔约方为履行其在《联合国宪章》项下维护国际和平与安全的义务而采取的任何行动。可以看出,在必要的条件下,RCEP和CPTPP都允许缔约方对数字贸易施以监管,以维护数据安全和网络安全。④数字贸易过程中传输的数据量级庞大,经聚合分析可以挖掘到数据集背后隐藏的安全情报甚至涉密信息,将会直接威胁到国家安全。例如,2018年1月,“斯特拉瓦实验室”公开了一份基于用户日常跑步和骑车路线的健身追踪地图,无意中暴露了美国海外的军事基地位置。

而且,无论是CPTPP还是RCEP,均未对基本安全利益的具体内容作出限定,这使各缔约方拥有极大的自由裁量权。⑤CPTPP第29.2条规定,不得阻止各缔约方采取其认为的......所必需的措施。RCEP第12章第14、15条规定,不得阻止各缔约方认为......所必要的任何措施。第17章第13条规定,本协定的任何规定不得解释为:阻止任何缔约方采取其认为对保护其基本安全利益所必需的任何行动。事实上,目前多数数字贸易规则对于“基本安全利益”的规定均采用这种模式。例如,《美日数字贸易协定》第4条安全例外中规定,不得阻止一方采取缔约方认为的为履行其维持或恢复国际和平、安全或保护其基本安全利益所必需的措施。⑥Agreement between United States and Japan Concerning Digital Trade, Article 4 Security Exceptions.欧盟委员会在2019年发布的《欧盟外商投资安全审查条例》(EU Framework for Screening Foreign Direct Investments Regulation)将数据安全列为影响基本安全的重要因素。⑦Regulation (EU) 2019/452 of the European Parliament and of the Council of 19 March 2019 establishing a framework for the screening of foreign direct investments into the Union, Article 4.这种对于“基本安全利益”的界定方式,能够包容保障数据安全与网络安全的需要。

3.注重合法的公共政策目标例外和消费者保护

“合法的公共政策目标”是CPTPP和RCEP针对数据跨境流动和数据本地化两项条款,留给缔约方施以规制的政策空间,即不得阻止各缔约方采取其认为是实现合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式使用。⑧参见CPTPP第14章电子商务第11条通过电子方式跨境传输信息、第14条计算设施的位置;RCEP第12章电子商务第14条计算设施的位置、第15条通过电子方式跨境传输信息。但是,并未对合法公共政策目标例外的内容作详细阐述。不过,在WTO电子商务谈判的提案中,中国、日本等国以列举的形式描述了合法的公共政策目标的范围可作参考,主要包括网络主权、数据安全和个人隐私保护等。⑨“Joint Statement on Electronic Commerce, Communication from China”, INF/ECOM/19, 24 April 2019; “Joint Statement on Electronic Commerce Initiative, Proposal for the Exploratory Work by Japan”, INF/ECOM/4 25 March 2019.在消费者保护方面,CPTPP和RCEP均包含在线消费者保护、个人信息保护、非应邀商业电子信息等维护消费者基本利益的条款,强调各缔约方应采取或维持相应的法律框架保护在线消费者和个人信息,同时强调缔约方应公布消费者如何寻求救济。

(二)CPTPP 与RCEP 数字贸易规则的个性特征

CPTPP和RCEP数字贸易规则的差异,可以从条款内容和规制思路两个角度进行剖析。

1.主要条款的差异

整体来看,数字产品的非歧视待遇、源代码、关于接入和使用互联网开展电子商务的原则、互联网互通费用分摊是CPTPP独有的条款,而电子商务对话是RCEP独有的条款。在部分条款上,尽管二者都包含某些内容,但是仍有所差异。具体而言,二者主要有以下五方面的差异:

(1)数据跨境流动条款的例外规则。二者均允许基于商业行为的数据跨境流动,但二者的差异之处体现在以下两方面。第一,CPTPP数据跨境流动规定“合法的公共政策目标例外”需要满足的条件是:(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;(b)不对信息传输施加超出实现目标所需限度的限制。而RCEP则只包含上述条件(a)。第二,RCEP规定,缔约方基于“实现合法公共政策目标”和“保护基本安全利益”而阻止数据跨境流动,而CPTPP的数据跨境流动规则未包含“保护基本安全利益”这一条件。因此,如果CPTPP缔约方出于保护基本安全利益的目的,则需要援引CPTPP第29章第2条“安全例外”。①CPTPP第29章例外与总则第2条安全例外规定,本协定任何条款不得解释为阻止一缔约方采取其认为对履行维护或恢复国际和平或安全义务或保护其自身基本安全利益所必需的措施。尽管两个协定都含有“安全例外”的条款,但在结构上的不同安排可以看出RCEP成员方对跨境数据流动的态度更加谨慎,故在电子商务章节中直接加入“保护基本安全利益”的内容。可见,CPTPP对数据跨境流动的例外情形适用条件更严格,从而提高了数据跨境流动的标准。而RCEP对数据跨境流动的例外情形的适用,保留了更多的监管空间(王蕊等,2022)。

(2)争端解决机制的适用。CPTPP电子商务章节要求,除给予马来西亚和越南在特定条款上不受争端解决约束的两年期限外,其余缔约方如遇分歧则需诉诸争端解决,这进一步提高了CPTPP数字贸易规则的约束力。而在RCEP的电子商务章节中,缔约方之间的分歧则需依靠善意的磋商和RCEP联合委员会审议。而且,在RCEP联合委员会审议完成后,争端解决的适用只能在同意适用电子商务领域的缔约方之间适用。

(3)CPTPP涵盖RCEP未包含的一些重要条款。CPTPP电子商务章节中的第4条数字产品的非歧视待遇、第10条关于接入和使用互联网开展电子商务的原则、第12条互联网互通费用分摊、第17条源代码尚未在RCEP中出现具体内容。其中,数字产品的非歧视待遇和源代码也是目前国际上争议较大的议题,且在中国已签署的国际贸易协定中尚未出现具体的相关内容。因此,这将会是中国参与CPTPP数字贸易规则谈判的重点和难点。

(4)RCEP倡导在重要、敏感数字领域的对话。例如,RCEP电子商务章节第16条(电子商务对话)把一些数字领域未达成共识或较为重要的内容纳入其中,加强在数字产品待遇、源代码保护、金融服务数据跨境流动以及计算设施的位置等重要议题的对话。这有助于缔约方后续在上述领域进一步凝聚共识,在促进电子商务发展方面具有积极意义。

(5)CPTPP 和RCEP 中略有差异的条款。例如,在“海关关税”这一条款中,CPTPP强调缔约方需“永久”免征电子传输(包括电子传输的内容)海关关税,而RCEP则只强调“临时性”免征电子传输关税。在“透明度”这一条款中,CPTPP在第26章B节详细规定了信息公开、行政程序、复审和胜诉、信息提供等内容,相比RCEP的透明度条款,CPTPP的透明度条款显然更为全面。

2.规制思路的差异

CPTPP继承了TPP数字贸易规则,而TPP数字贸易规则是在美国主导下达成的,因此CPTPP数字贸易规则延续了美国对于数字贸易规则的规制思路,具有浓厚的“美式数字贸易规则”的特征。这种规制思路体现在:(1)扩展规则范围。CPTPP电子商务条款代表着目前全球高水平数字贸易规则,其覆盖范围不仅涉及透明度、电子认证和电子签名、无纸化贸易等目前已被多数国家接受的规则,还涉及数据跨境流动、源代码、数据存储非强制本地化、网络的接入和使用、个人信息保护等目前尚未形成共识的规则。(2)数字安全与发展的平衡。目前,如何既能维护数字贸易安全、又能降低各国因过度维护数字贸易安全而产生的消极影响是亟待解决的问题。CPTPP并未在电子商务章节中设置“安全例外条款”,而是体现在第29章例外与总则中。尽管CPTPP允许存在“合法的公共政策目标例外”,但是却对这种例外施以“不得构成歧视”和“不得施加过度限制”的约束。可见,CPTPP努力实现数字贸易安全与经济效益的平衡。

相比之下,RCEP数字贸易规则的规制思路则表现为:(1)坚持安全可控原则。数据安全一直是中国关注的重点之一,尽管已经在RCEP中将数据跨境流动纳入其中,但是对于数据安全的控制仍然十分严格。与CPTPP相比,RCEP直接将“安全例外”设置在电子商务章节的部分条款中,即在数据跨境流动和数据本地化存储等条款中要求不得阻止该缔约方认为对保护其基本安全利益所必要的任何措施。(2)提倡合作对话。“合作”在RCEP电子商务章节贯穿始终。①例如,第12.2条(原则和目标)将加强电子商务发展方面的合作作为本章的目标之一,第12.4条(合作)明确了缔约方应在帮助中小企业、加强电子商务法律框架等领域展开合作,第12.5条(无纸化贸易)第12.7条(线上消费保护)第12.8条(线上个人信息保护)第12.9条(非应邀商业电子信息)第12.13条(网络安全)第12.16条(电子商务对话)均强调和缔约方之间应加强合作。此外,相比CPTPP,电子商务对话是RCEP独有的条款,体现出了RCEP各缔约方希望通过合作解决成员国之间的争端的意图。通过建立电子商务对话机制,旨在通过对话解决尚未纳入本协定中或者比较重要的条款,如数字产品的非歧视待遇、金融数据跨境流动等。这也体现出各缔约方保持对数字贸易新议题的开放态度,为后续升级RCEP数字贸易规则做铺垫。

三、中国加入CPTPP 的程序要求与数字贸易规则谈判

(一)中国加入CPTPP 的程序要求

根据《关于CPTPP加入程序的决定》要求,最终成为CPTPP的成员至少需要经过五个关键步骤:(1)有意加入经济体的通知(有意加入的经济体必须将其启动加入CPTPP谈判的正式请求通知 CPTPP 的保存方——新西兰),(2)请求启动加入程序(CPTPP委员会以协商一致的方式决定是否启动申请方的加入程序,若不启动加入程序,则申请加入方可继续与缔约方磋商,直至CPTPP委员会设立工作组),(3)CPTPP委员会决定设立加入工作组(有意加入的经济体将向加入工作组提交其市场准入出价以及不符措施清单,①市场准入出价/不符措施清单涉及货物、服务、金融服务、投资、商务人员临时入境、政府采购以及国有企业。此外,有意加入的经济体必须证明其将遵守CPTPP所含有现行规则的方式;及承诺提出最高标准的市场准入出价。Annex to CP TPP/COM/2019/D002,CPTPP Accession Process, 5 Benchmarks.并通过工作组和双边渠道进行市场准入出价谈判),(4)CPTPP委员会批准(委员会将以协商一致方式决定是否批准申请方加入CPTPP的条款和条件),(5)国内行动措施(申请方完成国内相关改革和法律修改,证明其将遵守CPTPP 的现行规则)。就加入程序而言,中国目前只是完成了第一步,即向CPTPP协定额保存方——新西兰提交了申请。而接下来的程序中,以下三点至关重要。

第一,CPTPP委员会是否决定启动加入程序。根据CPTPP第27章第1条规定,CPTPP委员会应由每一缔约方部长级或高级官员级别的政府代表组成。并且根据本章第3条的规定,委员会应经协商一致做出任何决定。②CPTPP Article 27.1, 27.3.简言之,启动中国加入CPTPP的程序,需要CPTPP成员协商一致批准申请方的申请。然而,CPTPP各缔约方对于中国申请加入态度两极分化。马来西亚等国持积极态度,以促进中国与马来西亚的贸易和投资。③Malaysia looking forward to welcoming China in CPTPP as early as next year, The Star, 19 September, 2021.https://www.thestar.com.my/business/business-news/2021/09/19/malaysia-looking-forward-to-welcoming-china-in-cptpp-as-early-as-next-year, last visited on 11 October 2021.另一方面,日本、澳大利亚等国对中国申请加入CPTPP持质疑态度。例如,日本高级官员质疑中国是否能够达到CPTPP的极高标准,特别是数字贸易、知识产权等领域的标准。④Simon Lester and Huan Zhu.China Formally Applies to Join CPTPP: Issues, Reactions, and Prospects.China Trade Monitor.https://www.chinatrademonitor.com/china-formally-applies-to-join-cptpp-issues-reactions-and-prospects/.

第二,通过工作组与双边渠道(酌情)进行市场准入谈判,并向工作组提交其市场转入出价/不符措施清单(NCMs)。根据CPTPP加入程序附件第3.5条,有意加入的经济体通过工作组与双边渠道,就市场准入出价开展谈判,并证明将如何满足有关基准。⑤CPTPP/COM/2019/D002附件第5条基准,5.1 有意加入的经济体必须:(a) 证明其将遵守 CPTPP 所含所有现行规则的方式;及(b) 承诺提出最高标准的关于货物、服务、投资、金融服务、政府采购、国有企业以及商务人员临时入境的市场准入出价。这些出价必须为每一缔约方提供可产生均衡结果的具有商业意义的市场准入,从而增强有意加入的经济体与各缔约方之间的互利关系,同时推动贸易、投资和经济增长,促进效率、竞争和发展。5.2 CPTPP 创始签署方议定的通过取消关税及取消货物、服务贸易和投资的其他壁垒从而实现全面市场准入承诺的目标应作为有意加入的经济体所作承诺水平的指引。因此,在第一次工作组会议召开之后,中国需要与工作组进行谈判,谈判内容包括证明将遵守CPTPP所含所有现行规则的方式,以及承诺提出最高标准的关于货物、服务、投资、金融服务、政府采购、国有企业以及商务人员临时入境的市场准入出价。此外,还可酌情通过双边渠道单独与某一缔约方进行谈判。

第三,需要完善国内相关法律以适应CPTPP规则。根据CPTPP加入程序附件第3.3和3.4条,在工作组召开第一次会议上,有意加入的经济体需要确定为遵守CPTPP义务而需要对国内法律进行额外的修改。这意味着,中国申请加入CPTPP的工作是从国际和国内层面统筹推进,即在与CPTPP缔约方进行磋商的同时,还需要对比国内法律与CPTPP规则的差异,并在未来做出修改。

(二)中国加入CPTPP 的数字贸易规则谈判

CP TPP与美墨加协定(USMCA)、美日数字贸易协定(USJD)、新加坡—新西兰—智利数字经济伙伴关系协定(DEPA)、新加坡—澳大利亚数字经济协定(SADEA) 在数字产品的非歧视性待遇、数据跨境流动、数据本地化、源代码等方面的规定基本一致,但与中国已经加入RCEP存在一定差异。而且,需要强调的是后四个协定的缔约方均为CPTPP的成员。因此,未来中国在这些数字贸易规则领域的立场和态度,对CPTPP现有成员方是否将以协商一致的方式启动中国加入程序至关重要。

电子商务章节的部分条款是中国加入CPTPP的主要挑战之一。根据部分学者分析,中国在数据跨境流动、源代码、网络接入、个人信息保护、非应邀商业电子信息等方面接受难度较大(苏庆义和王睿雅,2021;刘斌和于济民,2019;白洁和苏庆义,2019)。然而,随着中国不断完善数字贸易领域的相关规则,使得其中部分条款接受难度变小。例如,在中国已签署的RCEP中,关于非应邀商业电子信息的条款内容已经和CPTPP中的条款内容相差无几。因此,中国加入CPTPP数字贸易规则的谈判首先应着眼于CPTPP条款与国内相关规则的兼容,国内相关规则的不断完善也为中国接受CPTPP部分条款奠定基础。下文在上述梳理CPTPP核心数字贸易规则的基础上,进一步分析中国加入CPTPP进行数字贸易谈判的重难点及其可接受性。

四、中国参与CPTPP 数字贸易规则谈判关键领域

(一)数据跨境流动

1.当前数据跨境流动的国内规制立法

近年来,中国出台了多部法律法规规范数据跨境流动,包括《网络安全法》《个人信息保护法》《数据安全法》《汽车数据安全管理若干规定(试行)》《数据出境安全评估办法》等。对于数据跨境流动规制按照跨境传输目的一般可以分为执法司法目的跨境和业务目的跨境两类(洪延青,2022)。

第一,执法司法目的跨境。在《个人信息保护法》和《数据安全法》均对此类目的的跨境传输数据做出规定,即外国司法或者执法机构请求提供存储于境内个人信息需要经过主管部门批准。①参见《个人信息保护法》第41条、《数据安全法》第36条、《工业和信息化领域数据安全管理办法(试行)》第21条。关于主管部门的具体指向,相关立法并未明确规定,但从部门行政法规中可以看到。例如具体到工业和信息化领域,对于外国执法机构请求访问数据,需要经过工业和信息化部的批准。

第二,业务目的跨境。根据向境外提供的数据类型进行划分主要可以分为两类。第一类是个人信息的处理,需要按照《个人信息保护法》的规定进行处理。①《个人信息保护法》第38条,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的可以按照其规定执行。个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。此外,国家网信办颁布的《数据出境安全评估办法》规定了个人信息必须进行安全评估的条件。②《数据出境安全评估办法》第4条规定,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者或自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息需要进行安全评估。第二类是非个人信息的处理,主要规定了重要数据的出境情形。如果重要数据的处理者是关键信息基础设施的运营者,原则上应将重要数据在境内存储。③《网络安全法》第37条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。如果重要数据的处理者是非关键信息基础设施的运营者,其管理办法由国家网信部门会同国务院有关部门制定。④参见《数据安全法》第31条。就目前根据国家网信办颁布的《数据出境安全评估办法》来看,其他数据处理者向境外提供数据需要进行安全评估。

综合来看,目前中国的数据跨境流动规制呈现出以下几个特点:(1)以安全评估作为主要手段衡量数据是否能够出境;(2)对个人信息和重要数据的出境作了较为详细的规定,而对这二者以外的数据的规定较为模糊;⑤对于重要数据和个人信息以外的数据,2023年9月28日国家网信办发布的《规范和促进数据跨境流动规定》(征求意见稿)强调了个人信息和重要数据以外的数据(“一般数据”)跨境不需要进行安全评估等操作,明确了关于一般数据跨境流动的规定。(3)要求部分数据本地化存储,例如工业和信息化领域的重要数据和核心数据等;(4)部分行业在已有法律的基础上作了进一步的规定。⑥例如,工信部在2022年12月8日颁布的《工业和信息化领域数据安全管理办法(试行)》中将数据分为一般数据、重要数据和核心数据三个级别,比《网络安全法》《数据安全法》仅提及的重要数据更为细致,并且要求工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作,制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。

2.与CPTPP 数据跨境流动规则的对接

CPTPP第14章第11条(通过电子方式跨境传输信息)阐述了对于数据跨境流动的规定,其中:第1款承认缔约方的监管多样性;第2款是核心内容,规定每一缔约方应允许因业务需要通过电子方式跨境传输信息,包括个人信息;第3款是“合法公共政策目标”例外条款,但不能对国际贸易构成不合理歧视或变相限制。

从目前的数据跨境流动规制来看,中国允许因业务需要的数据跨境流动,总体符合CPTPP第14.11条第2款的规定,但仍然存在一些问题值得探讨。

(1)规范数据跨境流动的措施是否符合基本安全例外和合法公共政策目标例外。

第一,数据安全评估是否满足例外条款。中国目前规范数据跨境流动的措施有数据安全评估、网络安全审查以及个人信息保护认证和签订标准合同等(徐程锦,2023)。《数据出境安全评估办法》对数据安全评估做了详细的规定,重要数据的跨境流动或者关键信息基础设施产生的数据均需要进行安全评估。根据目前相关法律法规对重要数据和关键信息基础设施的定义可以看出,①《信息安全技术重要数据识别指南(征求意见稿)》认为,重要数据是指以电子方式存在的数据,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康等。关键信息基础设施参见《关键信息基础设施安全保护条例》第2条,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。数据安全评估的目标指向是维护国家安全,以及经济运行、社会稳定、公共健康等公共利益。因此,数据安全评估可满足基本安全例外。另一方面,CPTPP并未明确“合法公共政策目标”的范围,这可能是CPTPP有意为之。WTO电子商务提案中的“合法公共政策目标”可以提供参考,中国、日本等国将网络主权、数据安全和个人隐私保护等内容纳入其中,与中国数据安全评估的目标指向一致。因此,数据安全评估可满足“合法公共政策目标”例外。

第二,网络安全审查是否满足例外条款。根据《网络安全审查办法》第1条,网络安全审查的目的是确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。②《网络安全审查办法》第1条规定,为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》,制定本办法。例如,对滴滴出行的网络安全审查则是出于维护国家安全与数据安全的需要。③滴滴存在严重影响国家安全的数据处理活动[EB/OL].http://finance.people.com.cn/n1/2022/0721/c1004-32482059.html。因此,网络安全审查可满足基本安全例外和“合法公共政策目标”例外。

第三,个人信息保护认证和签订标准合同是否满足上述例外条款。个人信息保护认证和签订标准合同主要针对个人信息的跨境流动,是目前国际上的通行做法,被欧盟、日本、新加坡等国(地区)广泛采用。例如,欧盟GDPR规定,将个人数据转移到第三国或国际组织基于“充分认定”原则,不需要特定的授权。日本、新加坡采取“同等保护”的标准,对于已经通过“同等保护”认定的国家,对该国传输个人信息不需要针对每次跨境活动再进行审查(王念,2020;何波,2022)。因此,对于个人信息保护认证和签订标准合同的规制,中国可以借鉴国际通行做法。

(2)规范数据跨境流动的措施是否满足不对国际贸易构成不合理歧视或变相限制。

第一,从国家网信办在2022年7月出台的《数据出境安全评估办法》来看,所规定的四种情形以及规定的安全评估的重点考察要素,其标准客观统一,自然不存在不合理歧视这一情况。④根据《数据出境安全评估办法》,有以下四种情形之一的,需要进行安全评估:(一)数据处理者向境外提供重要数据,(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息,(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。另外,作为CPTPP成员国的日本、新加坡采取“同等保护”的标准,对于个人信息向已经通过“同等保护”认定的国家传输,则不需要针对每次跨境活动再进行审查。相较于日本、新加坡的“同等保护”,中国规定的安全评估时效仅为两年,在一些具体实践案例中是否会对国际贸易构成不合理歧视或变相限制,存在不确定性。

第二,网络安全审查的目标是确保关键信息基础设施供应链安全,保障网络安全和数据安全。只要中国本着维护国家安全、数据安全等目的实施网络安全审查,不随意扩大审查的范围,就满足基本安全例外,不存在不合理歧视或变相限制的情况(徐程锦,2023)。

目前,中国正在积极探讨规范和促进数据跨境流动的监管模式。例如,2023年9月28日国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》强调了个人信息和重要数据以外的数据跨境不需要进行安全评估等操作,这在一定程度上表明中国对于数据跨境流动的规制理念正在从注重“安全”转向平衡“安全与便利流动”。不过在适用CPTPP数据跨境流动规则之后,数据跨境的自由流动所导致的泄露个人隐私、危害国家安全、危害网络安全、跨境电信犯罪等挑战,将对中国的数据跨境监管提出更高要求(李佳倩等,2022)。目前,中国对数据跨境流动的监管主要依赖于事前审查和安全评估,这种规制模式可能无法有效防范数据出境之后的风险。若长期依赖事前审查和安全评估规避风险,则可能会导致规制天平重新向“安全”倾斜。因此,中国不仅需要完善当前规制体系下的内容,如制定“重要数据目录”等,还需要探索形成数据出境事后监管机制等。

(二)数字产品的非歧视待遇

目前,在中国已签署的国际贸易协定中尚未出现数字产品的非歧视待遇的具体规定,因此没有可以参照的模板。在WTO电子商务谈判的提案中,中国建议WTO成员应当有更多的讨论时间,而且谈判目标的设置不宜过于激进。①WTO.Joint Statement on Electronic Commerce, Communication from China, INF/ECOM/19, 24 April 2019.可见,此时中国的谈判重心并不在数字产品的非歧视待遇上,但是这一议题却又是中国参与CPTPP数字贸易规则谈判不可回避的问题。

1.中国数字产品的准入限制

针对数字产品的差别待遇可以体现为数字产品准入限制和准入后限制(赵海乐,2023)。第一,数字产品准入限制。在外商投资方面,根据《外商投资法》第4条规定,国家对外商投资实行准入前国民待遇加负面清单管理制度。②《外商投资法》第4条,国家对外商投资实行准入前国民待遇加负面清单管理制度。前款所称准入前国民待遇,是指在投资准入阶段给予外国投资者及其投资不低于本国投资者及其投资的待遇;所称负面清单,是指国家规定在特定领域对外商投资实施的准入特别管理措施。国家对负面清单之外的外商投资,给予国民待遇。负面清单由国务院发布或者批准发布。中华人民共和国缔结或者参加的国际条约、协定对外国投资者准入待遇有更优惠规定的,可以按照相关规定执行。其中,负面清单中涉及数字产品的内容主要体现在第7条“信息传输、软件和信息技术服务业”和第12条“文化、体育和娱乐业”中。③参见CPTPP第14.1条,数字产品是指电脑程序、文本、视频、图像、声音记录,或其他经数字化编码、生产用于商业销售或分销、可通过电子方式传输的产品。《外商投资准入特别管理措施(负面清单)(2021年版)》第7项,电信公司:限于中国入世承诺开放的电信业务,增值电信业务的外资股比不超过50%(电子商务、国内多方通信、存储转发类、呼叫中心除外),基础电信业务须由中方控股。禁止投资互联网新闻信息服务、网络出版服务、网络视听节目服务、互联网文化经营(音乐除外)、互联网公众发布信息服务(上述服务中,中国入世承诺中已开放的内容除外)。第12项,禁止投资新闻机构(包括但不限于通讯社)。禁止投资图书、报纸、期刊、音像制品和电子出版物的编辑、出版、制作业务。禁止投资各级广播电台(站)、电视台(站)、广播电视频道(率)、广播电视传输覆盖网(发射台、转播台、广播电视卫星、卫星上行站、卫星收转站、微波站、监测台及有线广播电视传输覆盖网等),禁止从事广播电视视频点播业务和卫星电视广播地面接收设施安装服务。在地方层面,2019年1月,国务院发布《全面推进北京市服务业扩大开放综合试点工作方案》,取消了增值电信服务的外资股比限制,允许外商投资音像制品制作业务。①限于在北京国家音乐产业基地、中国北京出版创意产业园区、北京国家数字出版基地内开展合作,中方应掌握经营主导权和内容终审权。2020年8月,国务院发布《深化北京市新一轮服务业扩大开放综合试点建设国家服务业扩大开放综合示范区工作方案》做出进一步开放。②《国务院关于深化北京市新一轮服务业扩大开放综合试点建设国家服务业扩大开放综合示范区工作方案的批复》提出,向外资开放国内互联网虚拟专用网业务(外资股比不超过50%),吸引海外电信运营商通过设立合资公司,为在京外商投资企业提供国内互联网虚拟专用网业务。在外来数字产品准入方面,根据中国现行规定:进口互联网文化产品应当报文化部进行内容审查;③参见《互联网文化管理暂行规定(2017修订)》。电子出版物出版单位出版境外著作权人授权的电子出版物,需先提出申请,经审核同意后,报新闻出版总署审批;④参见《电子出版物出版管理规定》(2015年修订版)。对境外网络游戏的进口,需要进行审批等程序。⑤参见《关于加强文化产品进口管理的办法》。

第二,数字产品准入后限制。数字服务税的课征对象可能完全包含数字产品,故数字服务税的歧视性征收可能会违背数字产品的非歧视待遇。例如,数字服务税的征收对象在不同国家间存在差异。法国征收数字服务税分为“提供定向广告”与“提供交易界面”两类,而印度数字服务税仅仅面向达到一定规模的非印度企业提供的数字产品课征。习近平总书记在《国家中长期经济社会发展战略若干重大问题》中强调积极参与数字货币、数字税等国际规则制定。因此,中国在未来制定数字服务税相关规定时应充分考虑是否适用数字产品的非歧视待遇这一问题。

2.与CPTPP 数字产品的非歧视待遇的对接

CPTPP关于数字产品的非歧视待遇的规定是,缔约方对另一缔约方提供的商业化数字产品应当给予与其他同类数字产品相同的待遇,即满足国民待遇和最惠国待遇(这一规定不适用于与知识产权章节中的权利和义务出现任何不一致的情况、缔约方提供的补贴或赠款以及广播)。⑥参见CPTPP第14章第4条。尽管中国接受CPTPP的“数字产品非歧视待遇”存在一定难度(李墨丝,2020),但是依然有谈判的空间。

第一,中国正在不断扩大电信服务、音像制品等数字产品的市场准入开放程度。从2018~2021年外商投资市场准入负面清单中可以看出,中国正在逐步扩大开放数字产品内容的市场准入。根据2018年发布的《外商投资市场准入负面清单》可知:在信息传输、软件和信息技术服务方面,主要是禁止投资互联网新闻信息服务、网络出版服务、网络视听节目服务、互联网文化经营(音乐除外)、互联网公众发布信息服务等;在文化、体育和娱乐方面,禁止投资广播电视节目制作经营公司;电影院建设、经营须由中方控股;禁止投资电影制作公司、发行公司、院线公司以及电影引进业务等。①《外商投资市场准入特别管理措施(负面清单)》(2018年版)第7项,电信公司:限于中国入世承诺开放的电信业务,增值电信业务的外资股比不超过 50%(电子商务除外),基础电信业务须由中方控股。禁止投资互联网新闻信息服务、网络出版服务、网络视听节目服务、互联网文化经营(音乐除外)、互联网公众发布信息服务(上述服务中,中国入世承诺中已开放的内容除外)。第14项,禁止投资新闻机构(包括但不限于通讯社)。禁止投资图书、报纸、期刊、音像制品和电子出版物的编辑、出版、制作业务。禁止投资各级广播电台(站)、电视台(站)、广播电视频道(率)、广播电视传输覆盖网(发射台、转播台、广播电视卫星、卫星上行站、卫星收转站、微波站、监测台及有线广播电视传输覆盖网等)。禁止从事广播电视视频点播业务和卫星电视广播地面接收设施安装服务。禁止投资广播电视节目制作经营(含引进业务)公司。电影院建设、经营须由中方控股。禁止投资电影制作公司、发行公司、院线公司以及电影引进业务。2019年、2020年、2021年的《外商投资市场准入负面清单》在2018年的基础上取消了国内多方通信、存储转发类、呼叫中心等增值电信业务的外资股比限制,删除了电影院建设、经营须由中方控股这一外商投资限制。在地区性扩大开放试点中,北京服务业扩大开放综合试点在外商投资负面清单的基础上做出进一步开放。②取消存储转发类业务、国内多方通信服务业务、互联网接入服务业务等增值电信业务外资股比限制;向外资开放国内互联网虚拟专用网业务(外资股比不超过50%),吸引海外电信运营商通过设立合资公司,为在京外商投资企业提供国内互联网虚拟专用网业务;允许外商投资音像制品制作业务。参见《全面推进北京市服务业扩大开放综合试点工作方案》《深化北京市新一轮服务业扩大开放综合试点建设国家服务业扩大开放综合示范区工作方案》。可见,中国正在逐渐取消外商对部分数字产品的投资限制,或是正在考虑对外商开放某些数字产品的投资。而且,中国在2020年12月与欧盟达成的《中欧全面投资协定》(China-EU Comprehensive Agreement on Investment, CAI)中,中国承诺对欧盟投资者开放国内云计算服务等多个数字产品市场。

第二,中国对数字产品内容的规制正在不断完善。近年来,中国频繁出台了多项法律法规和相关政策。2021年,中国相继出台《数据安全法》《个人信息保护法》,提高了数据安全与个人信息保护的立法层次。此外,在2021年7月对《网络安全审查办法》进行修订,进一步加强了对数据安全的审查。在2021年9月,工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见,完善对工业数据和电信数据的安全监管。在关键信息基础设施保护方面,2021年7月,国务院发布《关键信息基础设施保护条例》,要求加强公共通信和信息服务等关键信息基础设施的安全保护。2021年7月,工信部等三个国家部门发布《网络产品安全漏洞管理规定》,规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险。2021年9月,工信部发布《关于加强车联网网络安全和数据安全工作的通知》,加强对车联网网络安全的保护。可以看出,仅一年时间,中国就相继出台多部对于网络安全和数字产品的监管政策,这有助于防范后续市场开放后的可能风险。

数字产品作为一种内容导向型产品,大多包含不同的价值观念和意识形态。而CPTPP数字产品非歧视待遇规则将会导致大量数字产品流入国内,且与本土数字产品享有同等待遇。此时大量数字产进入国内市场的冲击必然会产生巨大风险,再加上数字产品的广泛传播和无形性,将大幅增加对数字产品监管和审查的难度。另一方面,中国对数字产品的准入限制可能会与CPTPP数字产品非歧视待遇产生冲突,被认为对外来数字产品赋予不公平的待遇(廖丽和张颖,2023)。因此,中国在加入谈判前,应结合国内规制考虑如何对此类质疑进行合理解释。总之,中国正在不断完善对数字内容的监管以及扩大外资数字产品市场准入,这为中国参与CPTPP提供了谈判空间,当然也要防范相关数字产品准入后的风险。

(三)源代码

源代码是当前WTO电子商务谈判中存在较大争议的议题之一,中国目前尚未在WTO电子商务谈判的提案中表达如何看待源代码这一议题。

1.中国关于源代码的规制

首先,中国原则上并未强制披露源代码,只有当涉及国家安全与社会公共利益时,才可能会采取强制措施。正如《密码法》第31条规定,禁止有关部门要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息。其次,基于维护国家安全与网络安全的前提,可能强制披露源代码(鄢雨虹,2021)。(1)网络安全等级保护中要求披露源代码。根据《网络安全法》第21条制定的相关国家标准,如《信息安全技术 网络安全等级保护基本要求》等,在第三级及以上的网络安全中要求外包软件开发单位提供源代码,并审查软件中可能存在的后门和隐蔽信道。①参见《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)第26-63页。其他相关国家标准可参见《信息安全技术网络安全等级保护测评要求》《信息安全技术 网络安全等级保护实施指南》《信息安全技术 网络安全等级保护定级指南》等。(2)强制性认证可能要求披露源代码。《网络安全法》和《密码法》规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。②《网络安全法》第23条,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。《密码法》第26条,涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。并且在2017年6月,国家网信办等部门进一步明确了路由器等产品需要进行安全认证或安全检测,参见《网络关键设备和网络安全专用产品目录(第一批)》。(3)安全审查中可能要求披露源代码。《国家安全法》规定,对影响或者可能影响国家安全的特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查。《网络安全法》做出相似规定。③《国家安全法》第59条,对影响或者可能影响国家安全的特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查。《网络安全法》第35条,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。此外,在打击恐怖犯罪过程中,电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。④《中华人民共和国反恐主义法》第18条。

2.与CPTPP 源代码的对接

CPTPP源代码条款规定,缔约方不得要求大众市场软件所有人转让和允许获取其源代码,但是关键基础设施的软件被排除在外,包含三种例外情形:一是在商业谈判合同中包含或实施与源代码的提供相关的条款和条件,二是缔约方要求对软件源代码作出使该软件符合与本协定不相抵触的法律或法规所必需的修改,三是专利申请或已授予专利相关的要求。⑤CPTPP第14章第17条。通过梳理比较中国现有关于源代码与CPTPP源代码的规则,可以发现中国参与CPTPP源代码规则谈判具有一定的有利条件,理由如下。

第一,中国源代码规制方向与CPTPP大致相同。2023年6月,国务院印发《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放若干措施的通知》,其中明确要求,有关部门和工作人员不得强制要求进口、分销、销售或使用大众市场软件披露其软件源代码(不包括关键信息基础设施的软件)。①参见《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放若干措施的通知》。《外商投资法》同样强调不得使用行政手段强制转让技术这一原则,②《外商投资法》第22条,国家保护外国投资者和外商投资企业的知识产权,保护知识产权权利人和相关权利人的合法权益;对知识产权侵权行为,严格依法追究法律责任。国家鼓励在外商投资过程中基于自愿原则和商业规则开展技术合作。技术合作的条件由投资各方遵循公平原则平等协商确定。行政机关及其工作人员不得利用行政手段强制转让技术。这一规定与CPTPP商业谈判合同例外基本一致。可见,CPTPP源代码规则与中国国内规制方向基本一致(白洁等,2021)。

第二,CPTPP将关键基础设施排除在外,且并未对关键基础设施的范围做出限定,给予了成员国较大程度的自主权。这一规定与中国的规制思路一致。例如,在《关键信息基础设施安全保护条例》中要求国家对其实施重点保护,防御、监测和处置网络安全风险,③《关键信息基础设施安全保护条例》第5条,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。极大地降低了中国接受源代码这一条款的难度。

第三,从日本、加拿大、新加坡等成员国的WTO电子商务谈判提案中得以了解CPTPP成员国的主张,均强调强制披露源代码的例外情形,包括合法的公共政策目标等,④Joint Statement on Electronic Commerce, Communication from Canada, INF /ECOM/34 11, June 2019; Joint Statement on Electronic Commerce Initiative, Proposal for the Exploratory Work by Japan, INF/ECOM/4 25, March 2019; Joint Statement on Electronic Commerce,Communication from Singapore, INF/ECOM/25, 30 April 2019.有助于中国后续关于该议题的谈判。当然,具体谈判时,各方在一些具体内容上可能会有一些不同主张。

因此,在中国今后参与CPTPP涉及源代码的谈判中可以考虑,在原则上不强制要求外资披露、获取和转让源代码。但基于中国对网络安全的关注,可列出强制要求披露源代码的例外情形,包括实现合法的公共政策目标等情况。与此同时,鼓励进入中国市场的外资企业主动披露、获取源代码,对于此类企业可在政策上给予一定的支持(石静霞,2020)。

总之,中国一方面应不断完善国内规制,以便顺利对接CPTPP数字贸易规则。另一方面,基于对接之后可能产生的风险,中国需兼顾对接CPTPP数字贸易规则和防范可能产生的对国家安全、意识文化形态受到冲击等风险。因此,中国还应善于利用CPTPP例外条款。⑤CPTPP包含的例外条款,主要体现在两个方面。其一是CPTTP电子商务章节中涵盖的例外条款。例如第14章(电子商务)中规定,“第14.4条(数字产品的非歧视待遇)、第14.11条(通过电子方式跨境传输信息)、第14.13条(计算设施的位置)以及第14.17条(源代码)所包含的义务:(a) 应遵守第9章(投资)、第10章(跨境服务贸易)和第11章(金融服务)的相关条款、例外和不符措施。其二是CPTPP协定中关于例外规则的独立章节。例如,第29章(例外与总则)中规定,就第10章(跨境服务贸易)、第12章(商务人员临时入境)、第13章(电信)、第14章(电子商务)和第17章(国有企业和指定垄断)而言,GATS 第14条(a)款、(b)款和(c)款在细节上作必要修改后纳入本协定并成为本协定一部分;以及第29.2条(安全例外)规定,“本协定中任何条款不得解释为:(a) 要求一缔约方提供或允许获得其确定如披露则违背其基本安全利益的任何信息;或(b) 阻止一缔约方采取其认为对履行维护或恢复国际和平或安全义务或保护其自身基本安全利益所必需的措施”。这些例外条款和例外章节为中国参与CPTPP规则谈判提供了一定的政策空间,有助于中国维护数字贸易领域的国家主权和安全。

五、结论与建议

中国正式申请加入CPTPP进一步彰显出对外开放的决心与信心,是积极参与国际经贸治理的重要举措。然而可以预见的是,中国申请加入CPTPP的谈判将会遇到诸多挑战,尤其是以数字贸易规则为代表的新兴贸易规则的谈判,依然存在许多重难点值得关注。研究在梳理总结CPTPP与RCEP的相似与差异性的基础上,分析中国申请加入CPTPP数字贸易规则谈判的关键领域。CPTPP和RCEP都追求实现最大限度的数字贸易便利化、致力于保障数据安全和网络安全以及注重合法的公共政策目标例外。这代表着中国能够接受无纸化贸易、电子认证和电子签名等旨在促进贸易便利化的条款以及网络安全等保护国家基本安全的条款,且已体现中国加入的一些贸易协定中。同时,数据跨境流动、源代码和数字产品的非歧视待遇等条款所包含的基本安全例外和合法公共政策目标例外,给中国进行数字贸易谈判留有谈判的空间。但CPTPP关于数据跨境流动、源代码和数字产品的非歧视待遇的规定,与中国现行加入的区域贸易协定仍然存在一定差异。

在数据跨境流动方面,现有规制表明,中国有接受CPTPP数据跨境流动条款的条件,但若以现有国内规制适用该规则,仍无法有效防范危害国家安全、跨境电信犯罪等风险,需要完善国内相关规制。在数字产品方面,中国目前国内仍存在部分规制与CPTPP不符,但中国近年来不断推进与高标准国际规则的对接试点,这为后续参与CPTPP提供了条件。此外,适用CPTPP数字产品的非歧视待遇可能产生对本土文化意识形态的冲击,针对数字产品的监管仍然存在一定挑战。在源代码方面,中国现行制度规定,基于维护国家安全与监管目的强制披露源代码,即在网络安全等级保护中要求披露源代码、在强制性认证中可能要求披露源代码以及在国家安全审查、打击违法犯罪中可能要求披露源代码。另一方面,CPTPP的基本安全例外与合法公共政策目标例外与中国网络安全观基本一致。近年来,中国不断推进数据跨境流动等数字贸易规则制度创新,使得中国与高标准CPTPP数字贸易规则对接成为可能。据此,本文提出以下建议:

第一,在加入CPTPP的程序上,下一步是CPTPP委员会决定是否启动加入程序,而这一步需要所有成员国同意。因此,中国首先应加强与支持中国加入CPTPP的国家之间的联系,如马来西亚、新加坡等国,争取尽快将支持落实到区域或双边文件协议中。另一方面,也需要加强对中国加入CPTPP持消极态度的国家间的沟通和交流。例如,中国可以通过RCEP等平台加强相关成员方的交流,尤其是加强与日本等重要CPTPP成员国的交流。

第二,在完善国内规制方面。首先,应尽快完善关于重要数据的认定标准。重要数据是中国目前数据跨境流动规制十分关键的一环,但是关于如何认定重要数据的国家标准,《信息安全技术重要数据识别指南》正处于审查状态。重要数据的识别规则可以考察借鉴已经实施的基础电信企业的重要数据识别标准,将其推广至其他行业,制定较广行业范围的重要数据识别规则。①部分行业标准,如《基础电信企业重要数据识别指南》《电信大数据平台敏感数据识别实施指南》等已经实施。其次,细化数据安全评估的机制和标准,并探索完善数据跨境事后监管机制。数据安全评估是中国数据跨境流动规制的核心制度,因此在参与CPTPP谈判时,数据安全评估规则必然会受到重点关注。因此,应细化完善数据安全评估部分规则,以便顺利对接CPTPP数据跨境流动规则。另一方面,中国对于如何防范数据出境后可能遇到的安全风险的规制较少,因此应探索完善数据跨境事后监管机制。具体而言,可以构建数据跨境的事中、事后的监督机制,明确事后追责路径,将风险承担和责任分配具体到个体。

第三,继续在有条件的自由贸易试验区和自由贸易港试点推进数字领域的制度型开放。目前已就CPTPP中关于源代码转让或获取、线上商业活动消费者权益保护制度等方面的内容,在部分自由贸易试验区和自由贸易港试点。②参见《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放若干措施的通知》。未来,一方面,可以就上述试点内容扩大实施的地域范围。另一方面,中国可借申请加入DEPA为契机,逐步对接DEPA协定中“数字产品非歧视待遇”“数据跨境流动”“政府数据开放”等规则,进而为加入CPTPP数字规制谈判提供条件。从加入CPTPP的程序可见,关键一环在于CPTPP委员会是否决定启动加入程序,而这则依赖于各CPTPP成员国的主观意愿。因此,中国需要向国际社会阐明其进一步推进制度型开放的决心。

猜你喜欢

缔约方源代码数据安全
人工智能下复杂软件源代码缺陷精准校正
《联合国气候变化框架公约》第二十七次缔约方大会达成一项全面气候协议
基于TXL的源代码插桩技术研究
我国将承办湿地公约第十四届缔约方大会
云计算中基于用户隐私的数据安全保护方法
《生物多样性公约》第十五次缔约方大会(COP15)将于2020年在昆明召开
建立激励相容机制保护数据安全
软件源代码非公知性司法鉴定方法探析
大数据云计算环境下的数据安全
揭秘龙湖产品“源代码”