陳寰琦，陸銳盈

(廣東外語外貿(mào)大學(xué) 經(jīng)濟(jì)貿(mào)易學(xué)院，廣東 廣州 510006)

《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Digital Economy Partnership Agreement, DEPA)是新加坡、智利、新西蘭3國于2020年針對數(shù)字經(jīng)濟(jì)簽署的協(xié)定，整個(gè)協(xié)定都是數(shù)字經(jīng)濟(jì)專屬內(nèi)容。該協(xié)定區(qū)別于其他區(qū)域貿(mào)易協(xié)定(RTAs)，如《美墨加協(xié)定》(USMCA)和《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)，通過設(shè)置“電子商務(wù)”“數(shù)字貿(mào)易”等專門章節(jié)(1)本文對“電子商務(wù)”和“數(shù)字貿(mào)易”章節(jié)不作區(qū)分。來構(gòu)建數(shù)字貿(mào)易規(guī)則的做法，具有包容性和前瞻性。在結(jié)構(gòu)上，DEPA采用“模塊(module)”而非傳統(tǒng)的“章節(jié)”形式進(jìn)行規(guī)范；在內(nèi)容上，DEPA和數(shù)字貿(mào)易規(guī)則“美式模板”(以USMCA和CPTPP為代表(2)USMCA和CPTPP都是“美式模板”的代表性協(xié)定，USMCA在數(shù)據(jù)相關(guān)議題上頗具雄心，CPTPP次之。)有著千絲萬縷的聯(lián)系。以USMCA為代表的“美式模板”可能是未來其他區(qū)域與多邊談判的重要參考[1]。區(qū)別于“美式模板”，DEPA更傾向于體現(xiàn)新加坡的數(shù)字貿(mào)易訴求。除了涵蓋“美式模板”中備受爭議的議題如“跨境數(shù)據(jù)流動”“數(shù)據(jù)存儲非強(qiáng)制本地化”等，還側(cè)重于構(gòu)建促進(jìn)中小企業(yè)權(quán)益、推動數(shù)字貿(mào)易便利化的條款。其中，數(shù)據(jù)是數(shù)字貿(mào)易發(fā)展的命脈所在，推動數(shù)據(jù)跨境流動與保障相關(guān)權(quán)益的“數(shù)據(jù)安全”(3)根據(jù)《中華人民共和國數(shù)據(jù)安全法》第三條：數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。議題是DEPA的核心內(nèi)容。DEPA的“數(shù)據(jù)安全”內(nèi)容和數(shù)字貿(mào)易規(guī)則“美式模板”存在交叉，亦具有較為鮮明的個(gè)性化特征，值得關(guān)注。

目前不乏針對DEPA和數(shù)據(jù)安全規(guī)則進(jìn)行研究的文獻(xiàn)。一是針對DEPA進(jìn)行的整體分析。趙旸頔等[2]和楊澤瑞[3]認(rèn)為，相比于傳統(tǒng)RTAs框架下的數(shù)字貿(mào)易規(guī)則，DEPA的內(nèi)容更為全面，對于解決數(shù)字貿(mào)易中的核心問題有重要作用；可以為中國未來構(gòu)建數(shù)字規(guī)則提供有力借鑒，也可以助力亞太數(shù)字經(jīng)濟(jì)合作的進(jìn)一步發(fā)展。與此同時(shí)，DEPA仍然存在不足之處，如基本安全利益的分割和主權(quán)保護(hù)等[4]，技術(shù)創(chuàng)新的監(jiān)管制度[5]有待完善，缺乏基礎(chǔ)設(shè)施建設(shè)或建立爭端解決機(jī)制等參考模板[6]。AARONSON[7]認(rèn)為，DEPA建立了一個(gè)框架，但是對于構(gòu)建數(shù)據(jù)治理的互操作性和共享方法作用甚微。二是對數(shù)據(jù)安全進(jìn)行的規(guī)則分析。如馬光[8]結(jié)合特定例外、一般例外和安全例外，對DEPA、CPTPP和USMCA的跨境數(shù)據(jù)流動規(guī)則之約束范圍和承諾水平進(jìn)行比對。劉瑛[9]和趙精武等[10]分別從信用和隱私云計(jì)算視角分析數(shù)據(jù)安全法律。許可[11]基于中國視角分析數(shù)據(jù)安全規(guī)制，指出可基于“重要數(shù)據(jù)可控”標(biāo)準(zhǔn)對數(shù)據(jù)流進(jìn)和流出進(jìn)行管理。洪延青[12]、馮潔菡等[13]和陳寰琦等[14]則從多方博弈視角分析了歐美在數(shù)據(jù)管制上的數(shù)據(jù)競爭戰(zhàn)略立場。周念利等[15]實(shí)證檢驗(yàn)了跨境數(shù)據(jù)流動限制性措施對出口國數(shù)字服務(wù)出口二元邊際的影響。但是基于數(shù)據(jù)安全視角，對DEPA進(jìn)行規(guī)則解析的文獻(xiàn)較為少見。

值得注意的是，中國2021年正式申請加入《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(DEPA)。中國近年在RTAs框架下的數(shù)據(jù)流動和保護(hù)相關(guān)規(guī)則構(gòu)建上體現(xiàn)出積極的態(tài)勢。如《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(RCEP)就在專門的電子商務(wù)章節(jié)中構(gòu)建了若干數(shù)據(jù)安全規(guī)則。這對于中國構(gòu)建數(shù)字貿(mào)易規(guī)則而言，可謂是里程碑式的進(jìn)展。不過，RCEP雖然包含不同類型的數(shù)字規(guī)則，但是在具體內(nèi)容上有待進(jìn)一步發(fā)展[16]，內(nèi)容和DEPA等協(xié)定亦存在一定差異。相比于國際層面簽訂協(xié)議，中國在數(shù)據(jù)安全上的訴求更多地體現(xiàn)在其國內(nèi)法層面，如《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國國家安全法》《中華人民共和國民法典》等。此外，中國在對標(biāo)高標(biāo)準(zhǔn)數(shù)字貿(mào)易規(guī)則過程中對一些涉及國家安全以及數(shù)字貿(mào)易領(lǐng)域的知識產(chǎn)權(quán)轉(zhuǎn)移等議題，如網(wǎng)絡(luò)開放、源代碼等持有保留態(tài)度[17]。因此未來中國如何結(jié)合國內(nèi)法訴求以及國際貿(mào)易規(guī)則發(fā)展情況，提出自身的數(shù)據(jù)安全訴求并對接DEPA數(shù)字貿(mào)易規(guī)則有待進(jìn)一步研究。鑒于此，本文通過比對中國簽訂的RCEP、“美式模板”代表性協(xié)定CPTPP和USMCA，解析DEPA數(shù)據(jù)安全規(guī)則的發(fā)展情況。在此基礎(chǔ)上，結(jié)合中國既有的國內(nèi)法律，為中國對接和構(gòu)建高水平數(shù)據(jù)安全規(guī)則提供決策參考。

一、數(shù)據(jù)安全規(guī)則定義和體系

DEPA第1.3條的術(shù)語界定中，“個(gè)人信息”是包含“數(shù)據(jù)”的：個(gè)人信息指關(guān)于-已確認(rèn)或可確認(rèn)的自然人的任何信息(4)數(shù)據(jù)來源于中華人民共和國商務(wù)部國際經(jīng)貿(mào)關(guān)系司發(fā)布的《<數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定>參考中譯文》，見http://images.mofcom.gov.cn/gjs/202112/20211215174726440.pdf。全文同此。，包括數(shù)據(jù)。由于使用數(shù)字技術(shù)可將信息數(shù)字化為數(shù)據(jù)，信息相關(guān)規(guī)制也可適用于數(shù)據(jù)議題，因此本文在法規(guī)分析層面不對這兩者進(jìn)行區(qū)分，將信息相關(guān)條例也納入文本分析框架之下。至于數(shù)據(jù)安全，如上文所述，依據(jù)《中華人民共和國數(shù)據(jù)安全法》第三條的定義對數(shù)據(jù)安全進(jìn)行界定。這涉及到數(shù)據(jù)的利用和保護(hù)兩個(gè)概念，因此本文主要從促進(jìn)數(shù)據(jù)流動和保護(hù)數(shù)據(jù)所有者(包括個(gè)人和國家層面)權(quán)益的角度分析DEPA相關(guān)條款的承諾水平，以及這些協(xié)定內(nèi)容對中國對接高標(biāo)準(zhǔn)數(shù)據(jù)安全規(guī)則的啟示。

DEPA是專門為數(shù)字經(jīng)濟(jì)構(gòu)建的協(xié)定，共有16個(gè)模塊或章節(jié)。數(shù)字經(jīng)濟(jì)是依托數(shù)據(jù)流動發(fā)展起來的，因此含有不少直接或間接與數(shù)據(jù)相關(guān)的規(guī)則。本文從數(shù)據(jù)流動和安全保護(hù)兩個(gè)角度對數(shù)據(jù)安全規(guī)則進(jìn)行了梳理(表1)。內(nèi)容主要包括模塊1對DEPA適用性優(yōu)先等級的界定(第1.2.2條)；模塊4的計(jì)算設(shè)施定義(第4.1條)、對保護(hù)個(gè)人信息安全(如隱私安全)的要求(第4.2條)、推動跨境數(shù)據(jù)自由流動(第4.3條)和不強(qiáng)制存儲數(shù)據(jù)在當(dāng)?shù)?第4.4條)；模塊9的通過推動數(shù)據(jù)流動實(shí)現(xiàn)數(shù)據(jù)創(chuàng)新(第9.4條)，公開政府?dāng)?shù)據(jù)(第9.5條)；模塊10的數(shù)據(jù)流動和數(shù)據(jù)隱私相關(guān)信息的分享(第10.3.3條)；模塊15的例外條款，包括《關(guān)稅及貿(mào)易總協(xié)定》(GATT)與《服務(wù)貿(mào)易總協(xié)定》(GATS)密切掛鉤的一般例外(第15.1條)、涉及基本安全利益的安全例外(第15.2條)和規(guī)制金融內(nèi)容的審慎例外(第15.4條)。

表1 DEPA中的數(shù)據(jù)安全規(guī)則

從規(guī)則管制的范圍來看，可以將上述數(shù)據(jù)安全規(guī)則細(xì)分為“特定規(guī)則”以及“一般性規(guī)則”。特定規(guī)則是管制特定議題的規(guī)制，如模塊4針對跨境數(shù)據(jù)流動(第4.3和4.4條)和信息保護(hù)(第4.2條)等特定議題構(gòu)建的規(guī)則。而一般性規(guī)則的適用范圍比較廣泛，管制對象包括數(shù)字貿(mào)易在內(nèi)的多個(gè)領(lǐng)域，因此在實(shí)踐中也會影響到數(shù)據(jù)安全規(guī)則適用的深度和廣度。較為典型的，如第1.2.2條對于在貿(mào)易協(xié)定中的DEPA優(yōu)先適用順序的界定。在RTAs框架下的各個(gè)經(jīng)濟(jì)體可以簽訂多個(gè)協(xié)定，而不同協(xié)定對同一議題的承諾水平或內(nèi)容存在差異。如果一個(gè)協(xié)定被賦予了優(yōu)先適用權(quán)，則其包括數(shù)據(jù)安全議題在內(nèi)的規(guī)則可以更好地實(shí)施。DEPA相對溫和，并未賦予DEPA優(yōu)先于其他協(xié)定的適用權(quán)。根據(jù)DEPA第1.2.2條規(guī)定，經(jīng)濟(jì)體在適用DEPA規(guī)則還是CPTPP規(guī)則產(chǎn)生沖突時(shí)需要進(jìn)行協(xié)商。這會制約DEPA規(guī)則本身的約束力。另外，一般性規(guī)則保留了締約方可不履行特定承諾的例外情況，主要涵蓋在模塊15中的一般、安全和審慎例外(第15.1、15.2和15.4條)。這些例外可以防止濫用賦予行為主體在數(shù)據(jù)流動上的權(quán)利，也會壓縮規(guī)則實(shí)施的自由度。鑒于此，本文對DEPA的特定數(shù)據(jù)安全議題進(jìn)行分析時(shí)，除了特定規(guī)則本身，也會結(jié)合其他模塊或章節(jié)中影響其承諾實(shí)施水平的一般性規(guī)則進(jìn)行綜合評價(jià)，以清晰把握DEPA數(shù)據(jù)安全規(guī)則的發(fā)展情況。

二、跨境數(shù)據(jù)自由流動

“跨境數(shù)據(jù)自由流動”即不限制“涵蓋的人”在締約方間出于開展業(yè)務(wù)目的的數(shù)據(jù)流動。該議題是目前數(shù)字貿(mào)易談判的焦點(diǎn)所在[18]。DEPA亦順應(yīng)數(shù)字經(jīng)濟(jì)的發(fā)展，引進(jìn)了這一重要議題。針對“跨境數(shù)據(jù)自由流動”，DEPA和其他RTAs相比存在不少共性和區(qū)別。

在“特定規(guī)則”層面，DEPA第4.3條是對“跨境數(shù)據(jù)自由流動”進(jìn)行規(guī)制的特定條款，共包括3項(xiàng)規(guī)定。第一項(xiàng)是促進(jìn)“跨境數(shù)據(jù)自由流動”的條款，采用的措辭“may”使該條款具有約束力。第二、三項(xiàng)對第一項(xiàng)進(jìn)行了約束。第二項(xiàng)雖考慮到締約方的監(jiān)管要求，但僅采用“shall”這一軟性措辭，并未賦予締約方出于監(jiān)管要求對數(shù)據(jù)流動進(jìn)行限制的實(shí)際權(quán)限。第三項(xiàng)保留了具有約束力的例外條款，即不構(gòu)成“不合理歧視或貿(mào)易限制”或“過度采取管制”的前提下，可采用出于“合法公共政策目標(biāo)”的跨境數(shù)據(jù)流動管制措施。這保留了締約方對“跨境數(shù)據(jù)自由流動”進(jìn)行管制的自主空間。除了DEPA，USMCA、CPTPP和RCEP等RTAs也對該議題進(jìn)行了規(guī)定。它們所承諾的內(nèi)容同時(shí)呈現(xiàn)交叉和背離關(guān)系(表2)。如CPTPP第14.11條和DEPA第4.3條是一致的。USMCA作為“美式模板”中代表性協(xié)議，第19.11條承諾跨境數(shù)據(jù)自由流動的措辭較為強(qiáng)勢，還刪除了監(jiān)管例外條款。相比于DEPA，RCEP“電子商務(wù)”章節(jié)雖然包含禁止本地化措施，但是RCEP在特定規(guī)則層面賦予了締約方更大的數(shù)據(jù)流動管制空間[19]。如RCEP第12.15.3條特別規(guī)定“合法公共政策目標(biāo)”由實(shí)施的締約方界定其必要性，同時(shí)將“基本安全利益”添加特定例外范疇之中。歸結(jié)而言，在特定規(guī)則“跨境數(shù)據(jù)自由流動”層面，DEPA和CPTPP的承諾水平在上述協(xié)定中處于中游，USMCA的自由化承諾水平更高，而RCEP更加側(cè)重于保留締約方的監(jiān)管權(quán)限。

表2 各協(xié)定對“跨境數(shù)據(jù)自由流動”議題承諾水平

在“一般性規(guī)則”層面，DEPA模塊15涵蓋了“一般例外”“安全例外”“審慎例外”條款。這些規(guī)定從法理上可以和上述特定規(guī)則中的例外條款(簡稱“特定例外條款”)一起制約DEPA第4.3條跨境數(shù)據(jù)流動自由化措施。

第一，在“一般例外”方面。CPTPP第29.1.3條和USMCA第32.1.2條都要求針對“數(shù)字貿(mào)易”或“電子商務(wù)”章節(jié)，參考GATS第14條(a)(b)(c)的要求進(jìn)行例外條款修訂。在此基礎(chǔ)上，DEPA第15.1.3條和RCEP第17.12.1條的“一般例外”還涵蓋GATS第14條(d)(e)。這兩項(xiàng)條款包含和最惠國待遇、國民待遇相沖突的例外情況。除此以外，DEPA第15.1.3條和RCEP第17.12.2條還專門針對“數(shù)字經(jīng)濟(jì)”或“跨境電商”章節(jié)，將GATT第20條也考慮在例外范圍之內(nèi)，即針對議題“跨境數(shù)據(jù)自由流動”在內(nèi)的數(shù)字貿(mào)易規(guī)則，DEPA和RCEP都要求締約方參考GATS和GATT為“跨境數(shù)據(jù)自由流動”保留例外條款。GATS和GATT保留例外的范圍存在較大區(qū)別，因此同時(shí)引入兩者比單獨(dú)參考GATS所設(shè)置的例外范圍更大?？梢?，相比于USMCA和CPTPP，RCEP和DEPA的“一般例外”涵蓋范圍更為廣泛。后兩者會考慮到更多締約方自身訴求，給予締約方更大的數(shù)據(jù)流動管制空間。

第二，在“安全例外”方面。DEPA第15.2條、CPTPP第29.2條和USMCA第32.2條是一致的，即“如披露則違背其基本安全利益的任何信息”是不涵蓋在數(shù)據(jù)流動范疇之內(nèi)的；以及不得阻止“履行維護(hù)或恢復(fù)國際和平或安全的義務(wù)或保護(hù)其自身基本安全利益所必要的措施”。相比而言，RCEP第17.13.2條安全例外范圍更為細(xì)致，列舉了對保護(hù)其基本安全利益所必需的任何行動。值得注意的是，RCEP在“例外”章節(jié)和“電子商務(wù)”章節(jié)同時(shí)針對“基本安全利益”進(jìn)行了規(guī)則設(shè)置。一般來說，“例外”章節(jié)中的安全例外條款在援引上受到反濫用措施等多重限制。而RCEP第12.15.3條“電子商務(wù)”章節(jié)的特定例外條款專門針對數(shù)字貿(mào)易的“基本安全利益”進(jìn)行規(guī)定，反映出中國對“安全例外”的重視程度，亦提高了適用“基本安全例外”的可能性。

第三，在“審慎例外”方面?！皩徤骼狻笔轻槍鹑趩栴}所進(jìn)行的規(guī)范，RTAs框架下構(gòu)建審慎例外規(guī)則多受GATS的《關(guān)于金融服務(wù)附件》之影響。一般而言，該規(guī)則要求可以基于防范金融系統(tǒng)性風(fēng)險(xiǎn)以及保護(hù)金融服務(wù)提供者等微觀目的而采用的例外措施[20]。DEPA專門把“審慎例外”放置在數(shù)字經(jīng)濟(jì)協(xié)定的“例外”章節(jié)中。與此相對應(yīng)，雖然CPTPP第11.11.1條、USMCA第17.11.1條和RCEP第8.1.4條等都把“審慎例外”放置在“金融”章節(jié)，但未將“數(shù)字貿(mào)易”或“電子商務(wù)”章節(jié)的規(guī)則內(nèi)容排除在抗辯范圍之外，即這些協(xié)定都承認(rèn)審慎例外對數(shù)據(jù)流動的適用性，保留了締約方的審慎監(jiān)管空間。結(jié)合上述3種例外的承諾情況，本文認(rèn)為在“一般性規(guī)則”層面的例外條款構(gòu)建中，DEPA賦予締約方的監(jiān)管自主權(quán)高于USMCA，略高于CPTPP，而又低于RCEP。

綜合來看，在推動數(shù)據(jù)流動自由化和保留監(jiān)管自主權(quán)水平上，DEPA在上述協(xié)定中處于中游的位置。相比于中國2020年簽訂的RCEP，DEPA的跨境數(shù)據(jù)流動自由化水平較高，而給締約方保留的管制權(quán)限較少。相對于CPTPP和USMCA等協(xié)定而言，中國在RCEP的承諾水平和DEPA比較接近。因此中國雖然對接DEPA的“跨境數(shù)據(jù)自由流動”規(guī)則存在難度，但是門檻相對較低。申請加入DEPA也給予了中國對接高標(biāo)準(zhǔn)數(shù)字貿(mào)易規(guī)則的機(jī)遇，推動中國完善自身的數(shù)字貿(mào)易規(guī)制，也會提高中國在貿(mào)易談判中的影響力。另外，關(guān)鍵在于針對差異所在的“基本安全利益”和“合法公共政策內(nèi)容”進(jìn)行進(jìn)一步商榷。

值得關(guān)注的是，中國的訴求更多地體現(xiàn)在國內(nèi)法上。《中華人民共和國網(wǎng)絡(luò)安全法》第37條和《中華人民共和國個(gè)人信息保護(hù)法》第3章“個(gè)人信息跨境提供的規(guī)則”分別針對關(guān)鍵基礎(chǔ)設(shè)施和個(gè)人信息數(shù)據(jù)進(jìn)行了規(guī)定，對涉及國家安全和公共利益的數(shù)據(jù)予以保護(hù)，同時(shí)賦予敏感性不高的信息提供或接收空間[21]；但具體分級分類的方式使法律的適用依然存在一定的不確定性，有待進(jìn)一步厘清。這些國內(nèi)法的進(jìn)一步發(fā)展對于推動合理的跨境數(shù)據(jù)自由流動非常重要，亦是中國更好地對接DEPA和參與構(gòu)建高標(biāo)準(zhǔn)數(shù)據(jù)流動條款的關(guān)鍵所在。

三、數(shù)據(jù)存儲非強(qiáng)制本地化

在數(shù)據(jù)流動相關(guān)的談判中，備受爭議的議題還有“數(shù)據(jù)存儲非強(qiáng)制本地化”，即締約方不得強(qiáng)制要求“涵蓋的人”數(shù)據(jù)或數(shù)據(jù)存儲設(shè)施設(shè)置在東道國。這能夠賦予投資方或服務(wù)提供商選擇數(shù)據(jù)存儲地的權(quán)限。對于數(shù)字經(jīng)濟(jì)與技術(shù)領(lǐng)域正處于起步階段的發(fā)展中國家對數(shù)據(jù)保護(hù)和本地化存儲等問題尤為關(guān)注; 發(fā)達(dá)國家則更加強(qiáng)調(diào)數(shù)據(jù)的自由流動立場[22]。一方面，數(shù)據(jù)存儲地的設(shè)置對大型數(shù)字經(jīng)濟(jì)體至關(guān)重要。如作為數(shù)字服務(wù)貿(mào)易強(qiáng)國，美國致力于依托互聯(lián)網(wǎng)技術(shù)對外輸出數(shù)字服務(wù)，美國外包在境外的金融服務(wù)就是重要內(nèi)容之一，金融危機(jī)后的強(qiáng)監(jiān)管政策使美國企業(yè)將不少數(shù)字金融服務(wù)外包給其他國家。不同于美國的態(tài)度，一些國家在全球推動跨境數(shù)據(jù)自由流動的議題上依然采取保守和謹(jǐn)慎的政策[23]，如印度要求將金融數(shù)據(jù)存儲在本地。這些數(shù)據(jù)存儲強(qiáng)制本地化可能會使服務(wù)提供商面臨境外存儲設(shè)施安全性欠佳的風(fēng)險(xiǎn)，會阻礙服務(wù)提供商獲取信息、提供和優(yōu)化服務(wù)。另一方面，敏感數(shù)據(jù)會涉及一國的國家安全問題，因此一些經(jīng)濟(jì)體會對特定數(shù)據(jù)提出本地化要求。這些爭議亦體現(xiàn)在DEPA等協(xié)定之中。

對于該議題，DEPA第4.4條“計(jì)算設(shè)施位置”(5)計(jì)算設(shè)施的定義：用于處理或者存儲商業(yè)信息的計(jì)算機(jī)服務(wù)器和存儲設(shè)備(DEPA第4.1條)。第二項(xiàng)采用了富有約束力的措辭進(jìn)行承諾。與此同時(shí)，該款項(xiàng)提出締約方在以下特定情況下可以限制履約，一是考慮各方監(jiān)管要求(第一項(xiàng))(6)該項(xiàng)采用軟性措辭“may”，不具備強(qiáng)制約束力。，二是不得禁止出于“合法公共政策目標(biāo)”的制約行為(第三項(xiàng))。針對“計(jì)算設(shè)施的位置”，USMCA、CPTPP和RCEP也專門作出了相應(yīng)承諾。在“特定規(guī)則”層面，CPTPP第14.13條“計(jì)算設(shè)施的位置”和DEPA第4.4條內(nèi)容是一致的，兼具了讓締約方自由設(shè)置數(shù)據(jù)存儲地和保留監(jiān)管自主空間的權(quán)限。USMCA第19.12條“計(jì)算設(shè)施的位置”僅保留了推動數(shù)據(jù)流動自由化的條款，要求不得強(qiáng)制將數(shù)據(jù)存儲設(shè)施設(shè)置在當(dāng)?shù)兀拗破浼s束力的例外內(nèi)容未納入該條款中。因此，USMCA在推動數(shù)據(jù)存儲非強(qiáng)制本地化的特定規(guī)則層面是富有約束力的，其數(shù)據(jù)流動的自由化承諾水平高于DEPA。RCEP和DEPA存在重合點(diǎn)，也存在差異。RCEP第12.14條亦引入了“計(jì)算設(shè)施位置”條款，DEPA第4.4.2條也對數(shù)據(jù)存儲非強(qiáng)制本地化進(jìn)行了有約束力的承諾。與此同時(shí)，RCEP第12.14條添加了“基本安全利益”這一特定例外條款，即締約方出于保障其“基本安全利益”目的，可以對數(shù)據(jù)存儲進(jìn)行管制。這也是RCEP和深受“美式模板”影響的諸多RTAs存在區(qū)別的地方。另外，如上所述，在“例外”章節(jié)中，這些經(jīng)濟(jì)體所設(shè)置的一般性規(guī)則層面的例外涵蓋范圍從小到大依次是USMCA、CPTPP、DEPA和RCEP。鑒于此，從數(shù)據(jù)存儲非強(qiáng)制本地化的承諾強(qiáng)度來看，DEPA在這些協(xié)議中處于中等偏低的位置。不過，由于該議題是近幾年數(shù)字貿(mào)易發(fā)展中所提出來的，只被納入少部分RTAs，因此從全球?qū)用鎭砜?，對此進(jìn)行承諾的DEPA是屬于數(shù)字貿(mào)易規(guī)則構(gòu)建進(jìn)展較快的協(xié)定。由此可見，DEPA標(biāo)準(zhǔn)的數(shù)據(jù)安全規(guī)則對于不少國家的規(guī)則對接來說亦是一種挑戰(zhàn)。

相較于國際規(guī)則，中國在國內(nèi)法層面針對數(shù)據(jù)存儲的規(guī)制構(gòu)建進(jìn)展更快，更能詳細(xì)體現(xiàn)中國在數(shù)據(jù)安全上的立場?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第37條針對“關(guān)鍵信息基礎(chǔ)設(shè)施”，對其運(yùn)營者在中國收集到的重要數(shù)據(jù)和個(gè)人信息進(jìn)行管制，要求這些數(shù)據(jù)存儲在境內(nèi)，因業(yè)務(wù)需要向境外提供的必須進(jìn)行安全評估?！吨腥A人民共和國數(shù)據(jù)安全法》第31條則進(jìn)一步肯定了《中華人民共和國網(wǎng)絡(luò)安全法》的這些規(guī)定，對于其他類型的重要數(shù)據(jù)存儲及出境問題，也需要由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門進(jìn)行規(guī)范。而對于更為一般性的數(shù)據(jù)，《中華人民共和國數(shù)據(jù)安全法》第36條規(guī)定除非經(jīng)過中國主管機(jī)關(guān)批準(zhǔn)，否則境內(nèi)組織、個(gè)人向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中國境內(nèi)的數(shù)據(jù)是被禁止的?！吨腥A人民共和國個(gè)人信息保護(hù)法》第40條規(guī)定，除了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者需要將個(gè)人信息存儲在境內(nèi)，對個(gè)人信息處理者所處理的、超過國家網(wǎng)信部門限定數(shù)量的信息也有存儲本地化的要求，而這些信息如果要輸往境外則應(yīng)當(dāng)通過安全評估，這實(shí)質(zhì)上是數(shù)據(jù)本地化范疇的內(nèi)容。由此可見，中國在細(xì)則上就此進(jìn)行了較為全面的規(guī)定，而這些規(guī)定和數(shù)據(jù)存儲非強(qiáng)制本地化存在差異。鑒于此，中國在申請加入DEPA并進(jìn)行數(shù)據(jù)存儲非強(qiáng)制本地化談判的過程中，無論在國內(nèi)法還是國際規(guī)則層面，都可能面臨挑戰(zhàn)，尤其需要進(jìn)一步協(xié)商例外的細(xì)節(jié)和范疇。

四、個(gè)人信息保護(hù)

保障信息安全，是數(shù)據(jù)安全的重要組成部分。大量的個(gè)人數(shù)據(jù)侵權(quán)可能導(dǎo)致集體數(shù)據(jù)的大范圍損失，因此對個(gè)人信息保護(hù)的監(jiān)管也是對集體數(shù)據(jù)的監(jiān)管[24]。大多數(shù)國家已經(jīng)完善了個(gè)人數(shù)據(jù)保護(hù)結(jié)構(gòu)和法律，個(gè)人數(shù)據(jù)保護(hù)現(xiàn)在被視為數(shù)據(jù)驅(qū)動經(jīng)濟(jì)的一個(gè)基本要素[25]。在上述的幾個(gè)協(xié)定中，都有針對“個(gè)人信息保護(hù)”進(jìn)行規(guī)范的特定規(guī)則，分別是DEPA第4.2條、CPTPP第14.8條、USMCA第19.18.1條、RCEP第12.8條。區(qū)別于前三者將這一規(guī)則都命名為“個(gè)人信息保護(hù)”，RCEP強(qiáng)調(diào)了這些信息的數(shù)據(jù)屬性，將規(guī)則命名為“線上個(gè)人信息”。

與“跨境數(shù)據(jù)自由流動”和“數(shù)據(jù)存儲非強(qiáng)制本地化”這兩項(xiàng)議題相比，“個(gè)人信息保護(hù)”議題的規(guī)則比較零散，數(shù)目相對較多。綜合來看，DEPA在個(gè)人信息保護(hù)方面，區(qū)別于其他代表性的條款有以下顯著特征。一是覆蓋范圍較廣。它針對8個(gè)主要議題，構(gòu)建了10項(xiàng)規(guī)則。相比于其他協(xié)定普遍涵蓋5—6項(xiàng)規(guī)則，DEPA的“個(gè)人信息保護(hù)”規(guī)定了更為廣泛的內(nèi)容。二是規(guī)則承諾較具深度。雖然USMCA等協(xié)定在這一議題上也具有強(qiáng)制性，但是從措辭來看，DEPA的措辭更具約束力，如DEPA采用“shall”進(jìn)行承諾的頻次較多，而CPTPP和USMCA的“個(gè)人信息保護(hù)”條款中，“shall endeavor to”和“should”則較為多見。相比于推動數(shù)據(jù)流動的“自由化”規(guī)則，DEPA在個(gè)人信息保護(hù)方面設(shè)置的規(guī)范較為周全。

具體到規(guī)則條款個(gè)體層面，DEPA相比于其他三大協(xié)議呈現(xiàn)不少特征(表3)。根據(jù)是否賦予強(qiáng)制約束力，本文將這些議題分成兩類。第一類是采用軟性語言進(jìn)行規(guī)范的倡導(dǎo)性規(guī)則，主要包括兩個(gè)議題：一是針對信息的重要性普遍表現(xiàn)出認(rèn)可的態(tài)度。DEPA第4.2.1條、USMCA第19.8.1條、CPTPP第14.8.1條要求認(rèn)可電子商務(wù)、數(shù)字貿(mào)易或數(shù)字經(jīng)濟(jì)中個(gè)人信息保護(hù)對于經(jīng)濟(jì)和社會的重要性。相比于USMCA和CPTPP將信息局限于電子商務(wù)或數(shù)字貿(mào)易的范疇，DEPA順應(yīng)其協(xié)定覆蓋數(shù)字經(jīng)濟(jì)的特性，將個(gè)人信息保護(hù)的范圍擴(kuò)展至“數(shù)字經(jīng)濟(jì)參與者”，但這是一個(gè)軟性的倡導(dǎo)性條款，沒有實(shí)質(zhì)上進(jìn)行規(guī)制的內(nèi)容。二是關(guān)于構(gòu)建個(gè)人信息保護(hù)相關(guān)法律應(yīng)該考慮的要素，DEPA第4.2.3條和USMCA第19.8.3條規(guī)定需要包含(a)收集限制；(b)數(shù)據(jù)質(zhì)量；(c)用途說明；(d)使用限制；(e)安全保障等內(nèi)容。該條款具備指引性質(zhì)，但亦無約束力。

表3 各協(xié)議針對“個(gè)人信息保護(hù)”構(gòu)建的規(guī)則內(nèi)容

第二類是賦予約束力措辭的條款，包括以下子議題：一是在法律框架的構(gòu)建方面，從法律規(guī)制以及國際組織框架指引推動營造個(gè)人信息保護(hù)的良好法律環(huán)境。DEPA、USMCA和CPTPP在法律規(guī)制層面皆詳細(xì)指出可采用隱私、個(gè)人信息或者數(shù)據(jù)進(jìn)行全面保護(hù)的法律(laws)，或特定部門包含隱私等法律以履行個(gè)人信息保護(hù)的義務(wù)。RCEP則在此基礎(chǔ)上引入法規(guī)(regula-tions)，以確保企業(yè)法人承擔(dān)的個(gè)人信息保護(hù)相關(guān)義務(wù)得以執(zhí)行。另外，在借鑒國際組織的指引框架方面，USMCA第19.8.2條特別指出參考經(jīng)濟(jì)合作與發(fā)展組織(OECD)、亞太經(jīng)濟(jì)合作組織 (APEC)的隱私(保護(hù))框架，這有助于在規(guī)則執(zhí)行時(shí)落實(shí)具體參考對象。

二是關(guān)于個(gè)人信息保護(hù)相關(guān)信息的公開，要求締約方公布其保護(hù)電子商務(wù)用戶個(gè)人信息的相關(guān)資訊。在公開信息方面，RCEP第12.8.4條對于締約方的法人、個(gè)人信息保護(hù)相關(guān)的程序和政策，是鼓勵(lì)采用線上等形式公開。這項(xiàng)措施有助于擴(kuò)大個(gè)人信息保護(hù)相關(guān)法律的影響力，達(dá)到保護(hù)個(gè)人信息安全的目的。

三是對于不同締約方差異化個(gè)人信息保護(hù)規(guī)制，致力于構(gòu)建機(jī)制以促進(jìn)它們的兼容性。各經(jīng)濟(jì)體在個(gè)人信息保護(hù)的規(guī)范上存在較大區(qū)別。如對于個(gè)人信息保護(hù)的基本標(biāo)的之一“隱私”，中國、歐盟和美國都有不同的定義和范圍。因此DEPA等協(xié)定致力于構(gòu)建統(tǒng)一兼容的機(jī)制，以協(xié)調(diào)各經(jīng)濟(jì)體不同立場或者文化背景所帶來的規(guī)則分歧。DEPA第4.2.6條、CPTPP第14.8.5條和USMCA第19.8.6條都要求該機(jī)制需要包含以下內(nèi)容：通過自發(fā)或協(xié)定的形式對個(gè)人信息保護(hù)結(jié)果的認(rèn)可，以及更為廣泛的國際框架來制定。其中，USMCA再次強(qiáng)調(diào)了需要借鑒APEC跨境隱私規(guī)則進(jìn)行個(gè)人信息保護(hù)和推動跨境數(shù)據(jù)流通，體現(xiàn)出“美式模板”對于數(shù)據(jù)流動的重視程度。相對而言，DEPA第4.2.6條設(shè)置的機(jī)制涵蓋范圍較為廣泛，要求機(jī)制在上述基礎(chǔ)上還需涵蓋“各自法律框架下的可信任標(biāo)志或認(rèn)證框架所提供的相當(dāng)水平的保護(hù)”，以及締約方間用以轉(zhuǎn)移個(gè)人信息的其他途徑。值得注意的是，這3個(gè)協(xié)定都強(qiáng)調(diào)了交流信息的重要性：即針對這類適用于其管轄范圍內(nèi)的機(jī)制進(jìn)行有效溝通，并探索促進(jìn)不同機(jī)制兼容性的(貿(mào)易)安排。除了機(jī)制的覆蓋范圍更大之外，DEPA在措辭上亦更有約束力。如DEPA第4.2.6條措辭采用“shall”，CPTPP第14.8.5條和USMCA第19.8.6條則采用了相對溫和的措辭“should”。

四是“數(shù)據(jù)保護(hù)信任標(biāo)志(trustmask)”。DEPA區(qū)別于其他協(xié)定內(nèi)容之一是鼓勵(lì)使用信任標(biāo)志，承認(rèn)其在數(shù)據(jù)安全中所起到的重要作用。信任標(biāo)志作為一種資質(zhì)認(rèn)證的標(biāo)記，有效使用信任標(biāo)志至少可起到以下作用：對持有信任標(biāo)志的內(nèi)容、服務(wù)提供者提供便利化措施，提高效率；可以借此構(gòu)建一個(gè)統(tǒng)一且穩(wěn)定的安全監(jiān)管體系，有助于實(shí)施數(shù)據(jù)安全相應(yīng)政策，為數(shù)字貿(mào)易發(fā)展?fàn)I造良好的環(huán)境。

相對而言，中國在個(gè)人信息保護(hù)的國際貿(mào)易規(guī)則構(gòu)建方面與DEPA存在一定的差距。如表3所示，從范圍來看，DEPA第4.2條所包含的內(nèi)容多于RCEP第12.8條。RCEP雖然在構(gòu)建法律框架、個(gè)人信息保護(hù)相關(guān)信息公布等法律構(gòu)建和宣傳上有所規(guī)定，但是在實(shí)踐上沒有對非歧視性做法、兼容方面進(jìn)行具體規(guī)范。這可能是因?yàn)楦鹘?jīng)濟(jì)體具有差異化的個(gè)性化立場，要對此進(jìn)行協(xié)調(diào)統(tǒng)一具有一定難度。值得注意的是，區(qū)別于其他協(xié)定，RCEP亦有其獨(dú)特之處，也即“各方合作保護(hù)獲取的信息”，即需要保障締約方的數(shù)據(jù)即便已經(jīng)傳輸?shù)搅硪痪喖s方時(shí)，防止因?yàn)榭缇硯淼牡乩砗头刹町惖纫蛩負(fù)p害信息所有者的權(quán)益。這亦體現(xiàn)出中國在個(gè)人信息保護(hù)上對境外信息保護(hù)的重視程度。另外，《中華人民共和國個(gè)人信息保護(hù)法》也涵蓋了較為豐富的內(nèi)容，特別是針對數(shù)據(jù)流動和數(shù)據(jù)本地化中的個(gè)人信息保護(hù)都制定了相應(yīng)法律。但是在“隱私”等問題的界定上與國際各大經(jīng)濟(jì)體仍存在差異。這也是中國未來對接DEPA乃至構(gòu)建高標(biāo)準(zhǔn)數(shù)據(jù)安全規(guī)則需要考量的問題之一。

五、結(jié)語

本文通過比對數(shù)字貿(mào)易規(guī)則“美式模板”代表性協(xié)定USMCA和CPTPP，以及中國新近簽訂的RCEP，分析DEPA與上述三大協(xié)定的趨同與彌合，借此深入討論DEPA在數(shù)據(jù)安全核心議題上的規(guī)則構(gòu)建情況。

首先，針對跨境數(shù)據(jù)自由流動，綜合分析特定規(guī)則和一般性規(guī)則后發(fā)現(xiàn)DEPA在數(shù)據(jù)流動自由化程度上與“美式模板”中USMCA存在較大差距，無論是“特定規(guī)則”還是“一般性規(guī)則”的例外條款中，USMCA對數(shù)據(jù)流動管制的例外涵蓋范圍都少于DEPA。CPTPP電子商務(wù)章節(jié)的“特定規(guī)則”和DEPA非常相似，但是CPTPP“一般性規(guī)則”的例外條款更為接近USMCA，監(jiān)管制約的范圍小于DEPA。RCEP的規(guī)則承諾模式與上述協(xié)定具有相似之處，但是與此同時(shí)對跨境數(shù)據(jù)自由流動保留的監(jiān)管空間較大，尤其在特定規(guī)則上規(guī)范了“基本安全利益”和“由締約方?jīng)Q定的合法公共政策必要性”。其次，針對數(shù)據(jù)存儲非強(qiáng)制本地化，這些協(xié)定在推動數(shù)據(jù)自由化和保留監(jiān)管空間兩個(gè)范疇的水平排位順序與跨境數(shù)據(jù)自由流動是類似的，DEPA的承諾水平處于中游位置。DEPA和RCEP的區(qū)別也主要存在于特定規(guī)則層面的“基本安全利益”和“合法公共政策”的必要性確定上。最后，針對個(gè)人信息保護(hù)，DEPA的覆蓋范圍較為廣泛，并特別就“數(shù)據(jù)保護(hù)可信任標(biāo)志”的推廣使用進(jìn)行了規(guī)定。相比而言，RCEP的覆蓋范圍較窄，但區(qū)別于其他3項(xiàng)協(xié)定，RCEP特別強(qiáng)調(diào)就各方獲取的信息進(jìn)行保護(hù)，可以體現(xiàn)出中國對于保護(hù)個(gè)人信息的重視。

綜合來看，DEPA在數(shù)據(jù)安全層面的規(guī)則構(gòu)建較為先進(jìn)和全面，涵蓋了不少前沿議題并進(jìn)行了較為細(xì)致的規(guī)定。在推動數(shù)據(jù)流通自由化層面，DEPA的自由化程度低于USMCA和CPTPP，在保留自主監(jiān)管空間和信息保護(hù)方面，則高于USMCA和CPTPP。雖然DEPA和RCEP存在差異，但是相對于其他RTAs而言，DEPA在數(shù)據(jù)安全規(guī)則的議題和RCEP是比較接近的，其中不少內(nèi)容亦比較契合中國在數(shù)據(jù)安全上的訴求。這意味著，申請加入DEPA對于中國而言是既是挑戰(zhàn)也是機(jī)遇。一方面，中國和DEPA在數(shù)據(jù)流動等議題上需要進(jìn)一步確定和磋商基本安全利益的具體內(nèi)容，減少規(guī)則承諾標(biāo)的范圍不清晰導(dǎo)致的不確定性等；另一方面，申請加入DEPA也給中國帶來構(gòu)建高標(biāo)準(zhǔn)數(shù)字貿(mào)易規(guī)則的良好機(jī)遇。借此契機(jī)，中國針對數(shù)據(jù)安全內(nèi)容可以推進(jìn)國際層面規(guī)則的構(gòu)建進(jìn)程，同時(shí)完善國內(nèi)法的相關(guān)規(guī)定。目前雖然推出了《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國數(shù)據(jù)安全法》等與數(shù)據(jù)安全密切相關(guān)的法律，但是法律適用對象等方面亦有待進(jìn)一步完善。在申請加入DEPA的過程中，中國自身規(guī)制的完善有助于提升規(guī)則制定的影響力，對申請加入CPTPP乃至參與其他RTAs協(xié)定的談判都有所裨益；這亦有助于中國為數(shù)字貿(mào)易發(fā)展?fàn)I造良好的法制環(huán)境，推動自身數(shù)字貿(mào)易的發(fā)展。

隨著全球數(shù)字貿(mào)易治理的深化，未來RTAs框架下將出現(xiàn)更多有關(guān)數(shù)字經(jīng)濟(jì)與數(shù)字貿(mào)易規(guī)則的協(xié)定。尤其在數(shù)據(jù)安全領(lǐng)域，伴隨數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)的重要性亦與日俱增；數(shù)據(jù)流的合法利用和有效保護(hù)亦是未來數(shù)字貿(mào)易談判的焦點(diǎn)所在，就此進(jìn)行的規(guī)則談判可能會出現(xiàn)更多新進(jìn)展。因此有必要結(jié)合數(shù)據(jù)安全領(lǐng)域內(nèi)新議題與新情況(如數(shù)據(jù)的共享和互操作性)進(jìn)行進(jìn)一步研究，以期更好地把握全球數(shù)字經(jīng)濟(jì)發(fā)展格局與趨勢，為構(gòu)建良好的數(shù)字貿(mào)易規(guī)則環(huán)境提供政策參考。