RCEP數據跨境流動例外條款與中國因應*

張曉君 屈曉濛

(西南政法大學國際法學院，重慶 401120)

一、問題的提出

信息技術的蓬勃發(fā)展正推動傳統經濟模式向數字化轉型，鑒于WTO 既有規(guī)則無法有效應對數字貿易帶來的挑戰(zhàn)，數字貿易的全球化發(fā)展呼喚全新的貿易規(guī)則。由于各國數字貿易規(guī)制的理念差異和政策分歧難以協調，[1]P297-321在 WTO框架下討論制定諸邊數字貿易規(guī)則進展緩慢，短時間內難以奏效，各國轉而根據自身利益訴求在自由貿易協定中制定數字貿易規(guī)則。目前，多邊或區(qū)域規(guī)制體系是主要經濟體推廣其價值理念與制度方案的重要平臺。《全面與進步跨太平洋伙伴關系協定》(以下簡稱“CPTPP”)、《美墨加協定》(以下簡稱“USMCA”)、《數字經濟伙伴關系協定》(以下簡稱“DEPA” )、《區(qū)域全面經濟伙伴關系協定》(以下簡稱“RCEP”)等大型自貿協定都對數據跨境流動規(guī)則作了明確具體的規(guī)定，禁止締約方限制數據跨境自由流動或采取數據本地化措施，以推動數字貿易自由化發(fā)展。①

長期以來，中國一直是亞太地區(qū)數字貿易自由化的旁觀者。直到2015年分別與韓國和澳大利亞簽訂自貿協定并納入了獨立的電子商務章節(jié)，中國才成為亞太地區(qū)數字貿易自由化的參與者。迄今為止，我國參與的自貿協定中，最為復雜的數字貿易規(guī)則當屬 2020 年底締結的RCEP，主要內容涵蓋電子簽名、無紙化貿易等我國向來接受度較高的傳統電子商務條款，[2]P28并在線上個人信息保護、數據跨境流動、計算設施位置等等重要議題上達成共識。同時，考慮到締約方間不同的數字貿易發(fā)展水平及監(jiān)管需求，RCEP采用了開放性制度設計，充分尊重締約方國內的法律和政策，以保證不同發(fā)展水平的締約方能就此議題達成一致。其中最典型的條款之一就是數據跨境流動的例外條款。RCEP數據跨境流動條款在原則性禁止對數據跨境流動進行限制的同時，通過設置例外條款，給予了締約方一定的政策空間。例如，RCEP第12章“電子商務”第15條第3款規(guī)定，“本條的任何規(guī)定不得阻止一締約方采取或維持”實現“合法的公共政策目標”和保護其“基本安全利益”所必需的措施。②這意味著，締約方可以援引公共政策目標例外和基本安全利益例外來對數據跨境流動進行規(guī)制，豁免RCEP對數據跨境自由流動的要求。③這因而引發(fā)了我國的思考：RCEP的例外條款能否為我國數據流跨境動規(guī)制措施提供合法性的空間？

對此問題進行研究是因為自2016年《網絡安全法》通過后，我國進一步加強了對數據跨境流動的國內規(guī)制與立法，其中不乏數據跨境流動的規(guī)制措施。在RCEP生效后，我國存在著援引RCEP例外條款的需求。因此，本文將從RCEP數據跨境流動例外條款入手，探討“公共政策目標”和“基本安全利益”例外條款的適用條件，在此基礎上分析我國援引RCEP例外條款的問題，并在此背景下對我國數據跨境流動規(guī)則的調整提出建議。

二、RCEP數據跨境流動一般規(guī)則與例外條款

(一)RCEP數據跨境流動規(guī)則入約背景

RCEP在最初談判時，數據跨境流動并未作為重點議題被列入其中，但隨著數字貿易在全球范圍內的迅速發(fā)展，在RCEP中納入相關規(guī)則的必要性凸顯。

從整體發(fā)展趨勢來看，越來越多的國家將數據跨境流動條款置于雙邊或區(qū)域自貿協定中。數據跨境流動是數字貿易的重要內容，但在對全球的經濟增長作出重大貢獻的同時，也引發(fā)了各種問題與風險?；诒Ｕ蠂野踩捅Ｗo個人隱私、[3]P75-76維護社會公共道德和公共秩序、防止消費欺詐、[4]P98便利本國執(zhí)法[5]P39-40以及促進本國產業(yè)發(fā)展[6]P13等政策關切，各國紛紛采取數據本地化措施，限制數據跨境流動。[7]P178然而，WTO協定等傳統經貿協定缺乏明確的數據跨境流動規(guī)則，難以有效規(guī)制締約方采取限制數據跨境自由流動或數據本地化的措施。[8]P106為了促進數據在全球范圍內進一步的自由流動，CPTPP等區(qū)域經貿協定開始設置數字貿易規(guī)則規(guī)制締約方采取或維持影響數字貿易的措施，這在一定程度上解決了與數據跨境流動相關的規(guī)則適用問題。

從實際需求來看，RCEP各締約方亟須一個新的全面、現代、高質量、互惠的自貿協定以滿足自身數字經濟的發(fā)展需求。[9]P70聯合國貿易和發(fā)展會議發(fā)布的《數字經濟報告2021》指出，數據流量增長急劇上升，在地理位置上主要集中在北美與歐洲之間以及北美與亞洲之間，但是，絕大多數國家之間仍然存在很深的傳統數字鴻溝。美國和中國數字經濟領先全球，全世界一半的超大規(guī)模數據中心都位于這兩個國家。[10]PXV相對而言，東盟國家數字經濟發(fā)展總體水平較為落后，但是東盟卻具有發(fā)展數字經濟的深厚潛力，其擁有龐大的數字經濟潛在群體，是全球互聯網用戶增速最快的地區(qū)；預計到2025年的時候，東盟數字經濟的規(guī)模將會達到300億美元，約占東盟GDP的8%。[11]P83出于技術與市場等方面的考量，亞洲地區(qū)也需要一個高質量的自貿協定來規(guī)制數據的跨境流動，促進數字經濟的良性發(fā)展。

因此說來，基于全球經貿協定發(fā)展的整體趨勢以及亞太地區(qū)數字經濟發(fā)展的實際需求等諸多因素，談判各方遂將數據跨境流動的議題列入了RCEP電子商務的談判之中，并最終達成了共識。

(二)RCEP數據跨境流動規(guī)則的一般規(guī)則

RCEP第12章“電子商務”開篇即陳述了電子商務的重要性，并將“促進締約方之間的電子商務，以及全球范圍電子商務的更廣泛使用”作為該章的首要目標。在此原則和目標下，第15條第1款首先認可各締約方對于通過電子方式傳輸信息可能有各自的監(jiān)管要求，第2款則規(guī)定“一締約方不得阻止涵蓋的人為進行商業(yè)行為而通過電子方式跨境傳輸信息?！痹摋l款并未明確“數據”的類型，因而既可能包括個人信息也可能包括非個人信息。此外，此處規(guī)制的數據跨境流動僅包括以“商業(yè)行為”為目的，政府或司法機關主導的數據跨境流動(如跨境取證)不受此條款規(guī)制。[12]P41以上兩款表明，締約方不得對數據的跨境傳輸進行限制，應當遵循自由流動原則。這也是RCEP對成員國設定的核心義務。

在數據跨境流動的規(guī)則方面，CPTPP與DEPA規(guī)則的設計與RCEP是大體相同的。CPTPP第14.11條首先肯定了締約方的監(jiān)管權利，即各締約方有權設置各自的跨境傳輸監(jiān)管要求。在此基礎上，該條第2款則明確了締約方對于電子商務中的數據通過電子方式跨境傳輸的強制性義務，即締約國應該允許包括個人信息在內的數據跨境傳輸，且這一活動只適用于締約方投資者、服務提供者所開展的“商業(yè)行為”。DEPA模塊4第4.3條的措辭與以上CPTPP條款的措辭完全一致。根據RCEP與CPTPP和DEPA數據跨境流動規(guī)則的對比可知，以上三個協定都認可了數據跨境流動的重要意義，均承認針對信息跨境傳輸的監(jiān)管權，并且關于核心義務和適用范圍的規(guī)定也都較為一致。雖然RCEP沒有對電子傳輸信息是否包含個人信息作出明確的界定，但其確立的數據跨境自由流動的原則，卻順應了新一代自由貿易協定中跨境數據流動規(guī)則的發(fā)展趨向。

(三)RCEP數據跨境流動規(guī)則的例外條款

毋庸置疑，數據跨境自由流動對于數字貿易的發(fā)展至關重要，但是自貿協定的締約方也意識到各國在數字經濟發(fā)展水平、規(guī)制目標和規(guī)制能力、歷史文化傳統等方面存在差異，因而在數據跨境流動規(guī)則中設置了例外條款，為締約方在特殊情形下暫時背離提供合法性的依據，以促進貿易自由化要求和國家規(guī)制權需求之間的平衡，這也是高標準的數據跨境流動規(guī)則為越來越多國家接受的重要原因。

RCEP15條在第2款原則上禁止限制數據跨境自由流動的同時，第3款規(guī)定了兩項例外加以平衡，即“公共政策目標例外”與“基本安全利益例外”。第3款規(guī)定，締約方可以采取或維持：“(一)任何與第二款不符但該締約方認為是其實現合法的公共政策目標所必要的措施，只要該措施不以構成任意或不合理的歧視或變相的貿易限制的方式適用；或者(二)該締約方認為對保護其基本安全利益所必需的任何措施。其他締約方不得對此類措施提出異議?！眱身椑赓x予了締約方更大的自裁決。首先，就公共政策目標例外而言，該條并未列明目標的具體內容，實際上允許一國的數據跨境流動規(guī)制措施追求更多的目標，如“數據主權目標”④，從而賦予了締約方更大的自主裁量權。此外，RCEP在第一項“所必要的措施”后特別注明，“締約方確認實施此類合法公共政策的必要性應當由實施的締約方決定”，由此，強調了公共政策目標例外的“自裁決”屬性，增加了締約方成功援引該例外條款證明爭議措施合法性的可能性。其次，就基本安全利益例外，RCEP并未像《關稅與貿易總協定》(以下簡稱“GATT1994”)第21條和《服務貿易總協定》(以下簡稱“GATS”)第14條之二將例外情形嚴格限制在條款中所列出的情形之中，而是采用開放式的方式，充分保障了締約方的規(guī)制自主權。

雖然CPTPP在數據跨境自由流動原則方面與RCEP的措辭極其相似，但例外條款的設計區(qū)別很大(如表一所示)。⑤一方面，關于公共政策目標例外，CPTPP第14.11條規(guī)定“本條中任何內容不得阻止一締約方為實現合法公共政策目標而采取或維持與第 2 款不一致的措施，只要該措施：(a)不以構成任意或不合理歧視或對貿易構成變相限制的方式適用；及(b)不對信息傳輸施加超出實現目標所需限度的限制?！痹摋l規(guī)定并沒有“締約方認為”一詞，因此，并不具有RCEP公共政策目標例外的“自裁決”特征。此外，CPTPP公共政策目標例外強調數據跨境流動規(guī)制措施應當具有“必需性”，即不得超出實現公共政策目標所需的限度，從而減少貿易壁壘對數據跨境自由流動的不必要阻礙。

另一方面，CPTPP并不包含任何基本安全利益例外。但這并不意味著締約方無權以維護基本安全利益為由對數據跨境流動進行限制，而是其仍可以援引第29章“例外和總則”中的“安全例外”。CPTPP數據跨境流動例外條款之所以未設置特定的安全例外，是因為其電子商務章節(jié)基本保留了其前身《跨太平洋伙伴關系協定》(以下簡稱“TPP”)的條款。TPP協定談判是由美國主導的，而美國奉行的是以市場為導向的自治模式，主張數據的跨境自由流動，所以CPTPP在很大程度上仍反映了美國的數據利益訴求。[13]P179USMCA第19.11條也規(guī)定了與CPTPP相似的數據跨境流動例外條款。

表1 RCEP與CPTPP數據跨境流動例外條款對比

相比之下，RCEP更為關注安全問題，將締約國的基本安全利益置于數據跨境自由流動之上。這應當是與RCEP各締約國數據跨境流動規(guī)制國內措施的實踐有關。為保障數據安全而采取的數據跨境流動規(guī)制措施在RCEP締約方之間并不罕見。如澳大利亞僅關注數據主體的隱私和安全，在2012年通過的《個人控制電子健康記錄法》中規(guī)定了個人數據保護的基本原則。馬來西亞也采取了類似與澳大利亞的策略，對數據跨境流動的限制較窄。[14]P179-180在另一些締約國家，如中國、韓國、印度尼西亞、越南等，不僅保護數據主體的隱私和安全，還涉及國家安全、法律執(zhí)行等事項，因此其數據跨境流動規(guī)制措施范圍較廣。例如，韓國的《信息通信網的促進利用與信息保護法》就規(guī)定:“政府為防止國內產業(yè)、經濟及科學技術等重要信息泄露國外，可令信息通信服務提供商或利用人采取必要措施”。越南《網絡安全法》要求境外的互聯網公司在越南設立分支機構或代表處，將本國用戶的個人信息存儲在越南境內等。印度尼西亞于 2019 年發(fā)布行政命令，要求“公共領域電子服務提供者”必須在印度尼西亞境內建立數據中心。[15]鑒于締約國多樣化的數據跨境流動規(guī)制措施，RCEP 充分尊重締約國的監(jiān)管要求，以安全為首要原則，保障締約方應對國家安全威脅的自由裁量權，以減少各締約國國內法與RCEP規(guī)則的沖突，這不同于以往自貿協定中有關電子商務的規(guī)定。

綜上可知，類似于CPTPP的條款設計，RCEP 通過強調公共政策目標例外的自裁決屬性并加入基本安全利益例外，允許締約方采取更多跨境流動規(guī)制措施保護個人利益、公共利益和國家安全，從而擴大了締約方數據跨境流動的規(guī)制空間。RCEP采用更加開放包容的數據跨境流動例外條款的原因還在于，RCEP區(qū)域國家的數字經濟發(fā)展存在較大差距。為滿足各方的利益訴求而擴大例外條款適用是條約締結中常見的情形。但是，由于RCEP數據跨境流動規(guī)則例外條款中對于“公共政策目標”和“基本安全利益”的范圍和適用標準并未明確，在條約實施過程中易引發(fā)爭端。因此，由誰及如何評判、如何解釋例外條款的范圍及適用條件，是締約國能否成功援引例外條款以豁免數據跨境自由流動義務的關鍵所在。

三、RCEP公共政策目標例外條款

關于公共政策目標存在著解釋方法、解釋標準等的困境。就目前而言，WTO的爭端解決實踐是最為豐富的。RCEP文本中也有參考WTO爭端解決實踐的規(guī)定。RCEP第19章第4條第1款規(guī)定，“本協定應當依照國際公法解釋的習慣規(guī)則進行解釋?！痹摽钆cWTO《關于爭端解決規(guī)則與程序的諒解》(以下簡稱“DSU”)第3.2條規(guī)定內容一致，均表明條約解釋在爭端解決過程中的重要性及普遍意義。[16]P122-128此外，RCEP第19章第4條第2款規(guī)定，關于納入RCEP的《WTO協定》的任何條款，專家組也應當考慮WTO爭端解決機構通過的專家組及上訴機構報告中所作出的相關解釋。這意味著RCEP在解決協定項下的爭端時，并不拒絕參考WTO專家組和上訴機構的實踐。因此，通過參考和借鑒WTO已有爭端解決實踐對數據跨境流動公共政策目標例外的解釋是一條可行且重要的路徑。

(一)公共政策目標例外條款適用的實踐

RCEP第17章“一般條款和例外”中的第12條一般例外條款規(guī)定，就第12章電子商務條款而言，GATT1994第20條以及GATS第14條(包括其腳注)經必要修改后納入本協定并構成本協定的一部分。由此可見，RCEP數據跨境流動例外條款的設置主要源于對GATT1994和GATS中一般例外規(guī)定的修改。而GATT1994和GATS的一般例外條款中并沒有規(guī)定締約方可以出于實現“公共政策目標”采取相應措施，而采用了封閉式列舉的方式，包含了各類正當化理由。⑥其中與“公共政策目標”相似的措辭表述是“公共道德”和“公共秩序”。⑦

公共道德、公共秩序與公共政策這幾個概念都具有某些相同的屬性，而作為明顯的共同點為兩者都極為容易被泛化解讀，其根本原因仍然是協定條文中沒有對其進行明確界定。在WTO首個爭端解決案例“美國精煉與常規(guī)汽油標準案”中，專家組和上訴機構均援引了《維也納條約法公約》。上訴機構報告作出明確認定：“條約解釋的基本規(guī)則在《維也納條約法公約》中得到最權威和簡潔的表述?！盵17]P17認為其中第31條已經取得了傳統或習慣國際公法規(guī)則的地位。根據《維也納條約法》公約第31條(解釋通則)，條約應就其用語按照上下文并參照其目的和宗旨所具有的通常含義，善意予以解釋。

關于“公共道德”和“公共秩序”的含義，“美國博彩案”專家組借助《牛津簡明英語詞典》將“公共道德”界定為“一個社會或國家維持或代表的關于行為對錯的標準。”[18]Para.6.465該解釋也被其后的“中美出版物和視聽產品案”專家組采納。[19]Para. 7.759此外，專家組將“公共秩序”解釋為“涉及對公共政策和法律反映的社會根本利益的維持”，[20]Para. 6.467同時還指出這兩個概念根據時間和地點的不同而有所不同，主要受到社會、文化、倫理和宗教價值等因素的影響。[21]Para. 6.461例如，“美國博彩案”專家組認定禁止遠程提供賭博和博彩服務的各項爭議措施是保護公共道德和/或公共秩序的措施。[22]Para. 6.487“中美出版物和視聽產品案”專家組認為，內容審查是為了維護中國的公共道德。[23]Para. 7.767“歐共體海豹產品案”專家組認為，保護動物福利屬于“公共道德”的范疇。[24]Para.7.410“哥倫比亞紡織品、成衣和鞋類進口案”專家組認為，反洗錢是哥倫比亞用以保護公共道德的政策之一。[25]Para.7.33各國的價值差異導致專家組很難確認爭議中公共道德的確切內容，因此專家組進而指出，各成員方應被給與一定的空間，使其根據自身的制度和價值尺度在其境內自行界定和適用“公共道德”和“公共秩序”的含義。[26]Para. 6.461由此可推斷，對于“公共秩序”和“公共道德”同樣寬泛的“公共政策目標”概念，RCEP聯合委員會或專家組⑧應會根據成員國內法來解釋，而不明確劃定公共政策目標的范圍。在此情況下，應當關注公共政策目標例外條款的其他適用條件，來評估爭議措施是否可豁免RCEP對數據跨境自由流動所要求的義務。

(二) RCEP公共政策目標例外條款的適用

例外條款作為一種靈活性的安排，通過設置寬松或嚴格的適用條件，來協調不同目標價值并維持條約穩(wěn)定的制度功能。[27]P2在GATT時代，“加拿大訴美國337條款案”專家組就指出，第20條一般例外條款僅規(guī)定了“對其他GATT條款所規(guī)定的義務的有限的和有條件的例外?！盵28]Para.5.9因為第20條采用了封閉式的列舉法，所以這些例外是“窮盡性”的。同時，這些例外也是“有條件的”，只有滿足了第20條所規(guī)定的條件，該條才可以為不符措施提供正當性。“美國博彩案”上訴機構也指出在確認爭議措施所維護的特定利益和價值后，即應轉向對其他需要進行“衡量和平衡”的因素進行考察。[29]Para.306

相較于GATT和GATS的規(guī)定，RCEP公共政策目標例外條款的“必要性”條件賦予了締約方更多的自由裁量權。如前文所示，該例外條款通過采用“締約方認為”的措辭以及腳注中對必要性問題由締約方自己決定的強調，賦予了使得締約方在適用該例外條款時在“必要性”問題上享有極大的自裁決權。這就意味著，締約國無須證明其限制措施為對貿易損害最小、且別無其他合理替代措施。[30]Para.161與此同時，在公共政策目標例外的后半句的但書中，仍然規(guī)定了締約方在采取相關措施時，應當不構成“歧視”與“變相限制”，而這兩個要件的存在，意味著締約方規(guī)制權仍要受到“非歧視”條件的限制。⑨“非歧視”的限制標準要求締約方所采取的相關措施必須以國家間平等、產品間平等的方式加以實施。而這種平等不僅要求法律上的平等，還包括事實上的平等，即相同法律在具體實施過程中必須給予各方同等待遇。在“美國蝦案”中，上訴機構認為構成“任意或不合理的歧視”必須要滿足三個要件：(1)爭議措施的適用造成了歧視；(2)該歧視在性質上是任意或不合理的；(3)該歧視必需發(fā)生在情形相同的國家之間。[31]Para.150第一個要件中的“歧視”不同于GATT1994第1條、第3條和第11條項下的歧視，因為一般例外條款并不禁止歧視本身，而是禁止任意或不合理的歧視。[32]P.23第三個要件中的“國家之間”既包括外國與外國之間也包括本國與外國之間。[33]Para.150就第二個要件，上訴機構認為，美國實際上要求他國必須采取與美國完全一致的保護海龜的措施構成了“不合理的歧視”；[34]Para.177美國對申請認證的成員方施加了一套單一、刻板和僵化的要求，這種嚴格的單一標準從而構成了“任意的歧視”。[35]Para.161此外，上訴機構在“巴西—翻新輪胎案”的裁決中指出，對一項貿易限制性措施的實施是否導致“任意或不合理的歧視”的評估，應該基于這種歧視的原因或理由而非完全基于此類歧視所產生的實際效果。如果產生這種歧視的原因或理由與爭議措施所宣稱的目標不存在合理聯系，或與該目標相違背時，即存在“任意或不合理的歧視”。[36]Paras.227-230

綜上所述，RCEP公共政策目標例外條款采用了較為寬泛的概念，擴大該條款的適用范圍。同時賦予了締約方較大的自裁決權，維護締約方的規(guī)制空間。但WTO爭端解決機構就“非歧視”條件發(fā)展出的豐富法理對該條款的適用又提出了較高要求。對于“任意或不合理的歧視”要件的分析，首先要涉及歧視的原因或理由，即爭議措施產生的歧視是否能與政策目標相協調或具有合理聯系。若具有合理的聯系，爭議措施的適用還需具有充分的靈活性，不得對其他締約方“一刀切”地采用單一標準，同時需包含其他同樣能達成目標的手段，否則無法援引RCEP的公共政策目標例外條款。

四、RCEP基本安全利益例外條款

盡管基本安全利益例外條款首次被應用于跨境數據流動規(guī)則的領域，且RCEP對其具體的內涵并未作出詳細的規(guī)定，但是在許多經貿協定中都已包含了允許各國在必要時援引基本安全利益以免于承擔特定條約義務的條款。

(一) 基本安全利益例外條款適用的實踐

如上文提到，RCEP第19章第4條規(guī)定在審理納入RCEP的WTO協定條款相關爭議時，除了應當考慮WTO專家組和上訴機構報告中所作出的相關解釋之外，RCEP還完整地將“該締約方認為對保護其基本安全利益所必需的措施”這一表述的GATT第21條⑩納入其基本安全利益例外條款，因此，WTO爭端解決機構對GATT第21條進行的解釋，能夠適用于RCEP第12章第15條“基本安全利益例外”的解釋或補充解釋。

GATT1994第21條賦予了締約方以維護國家安全為由偏離GATT規(guī)則的較高程度的自決權，具體包括以下三種情形：(1)允許締約方拒絕提供其認為會違背其基本安全利益的任何信息；(2)允許締約方采取其認為對保護國家基本安全利益所必需的任何行動；及(3)允許締約方采取必要措施以為履行其在《聯合國憲章》之下維護國際和平與安全的義務。“基本安全利益”限定了締約方援引安全例外條款的安全事項范圍，但GATT1994本身并沒有對“基本安全利益”一詞進行定義。直到“俄羅斯運輸案”，專家組才對“基本安全利益”的概念做出法律解釋。專家組認為“基本”限縮了“安全利益”的范圍，所以“基本安全利益”是一個比“安全利益”更為狹窄的概念，通常是指與國家典型職能有關的利益，即保護其領土和人民不受外來威脅，以及維護國內法律和公共秩序的利益。[37]Para.7.130這些特定的利益與保護國家不受內外部威脅緊密相關。專家組對“基本安全利益”含義的闡釋，減少了該詞語涵蓋范圍的模糊不清之處。

(二)RCEP基本安全利益例外條款的適用

RCEP基本安全利益例外條款規(guī)定，締約方認為是保護其基本安全利益所必需的措施，均可豁免RCEP對數據跨境自由流動的義務要求。此處并未像合法公共政策目標例外一樣，對措施是否應當以“非歧視”的方式施行、該措施是否構成對貿易變相限制進行額外要求。根據RCEP第12章第15條規(guī)定，基本安全利益例外得以適用的條件，是涉案措施為該締約方認為保護其基本安全利益所必需的措施。但是，專家組在“俄羅斯運輸案”中對成員方的自裁決權的范圍作出了界定，即雖然爭議措施的“必要性”完全由成員方進行自由裁量，但成員方對“基本安全利益”的界定仍需受到專家組的客觀審查。援引例外條款一方仍需承擔以下兩個證明義務：

第一， 闡明爭議措施擬保護的“基本安全利益”。在“俄羅斯運輸案”中，專家組在明確了“基本安全利益”的基礎上，進一步指出每個成員方面臨的情況不同，因此“基本安全利益”的界定屬于成員方自裁決權的范圍。但這不意味著成員方可將任何關切都提升到“基本安全利益”的高度，其“主觀”判斷仍需受到客觀因素限制，即《維也納條約法公約》第31條中的“善意原則”。[38]Para.7.59根據“善意”原則，成員方必須“充分”闡明其尋求保護的“基本安全利益”，且不得適用“安全例外”以規(guī)避其在GATT項下的義務，如將貿易利益包裝為基本安全利益。[39]Paras.7.130

第二， 表明爭議措施與其尋求保護的“基本安全利益”之間存在著一定的關聯性。在關聯性方面，專家組同樣運用善意原則進行了分析，認為涉案措施僅僅需要與“基本安全利益”之間具有“最小合理”的關聯性，即成員方所采取的措施“并非全然無法服務于此目標”即可。[40]Para.7.138因此，即使存在能夠保護“基本安全利益”且對貿易影響更小的其他措施，爭議措施也依然具有合法性。

WTO案例表明，RCEP基本安全利益例外條款雖然賦予了締約方較大的自裁量權，但在締約方適用該例外條款的時候，還會受到一定的約束。締約方在援引該條款時還應承擔以下兩項舉證責任：第一，闡明其所采取或維持的措施擬保護的“基本安全利益”；第二，證明其所采取或維持的措施與其尋求保護的“基本安全利益”具有合理的關聯性。

五、RCEP數據跨境流動例外條款與中國因應

數字經濟時代，我國的數據規(guī)?？焖僭鲩L，數據對經濟發(fā)展、人民生活、國家和社會治理的意義日益重要，我國對數據跨境流動的法律規(guī)制也越來越重視。自2016年《網絡安全法》通過后，我國進一步加強對數據跨境流動的國內規(guī)制與立法。在加入RCEP后，我國首先應考慮相關規(guī)制措施與RCEP數據跨境流動規(guī)則的銜接問題。

(一)數據跨境流動規(guī)制的立法現狀

在數據跨境流動領域中，我國已初步形成了以《網絡安全法》《數據安全法》和《個人信息保護法》為核心、重點領域專門規(guī)范的數據跨境流動規(guī)制體系。作為中國網絡空間治理的基本法律，《網絡安全法》首次對數據跨境流動從法律層面上進行了規(guī)制。該法第37條規(guī)定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！庇纱?，《網絡安全法》的這一規(guī)定也就確立了我國重要數據跨境流動所要遵循“本地儲存，出境評估”的基本制度。

2021年6月10日通過的《數據安全法》進一步規(guī)范了數據跨境流動規(guī)則，表明了我國促進數據跨境安全、自由流動的態(tài)度。該法第31條規(guī)定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規(guī)定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定?！薄稊祿踩ā返脑摋l明確了重要數據出境管理制度，還為其他領域重要數據出境的進一步規(guī)制提供了立法依據。在我國的實踐中，“其他領域”的概念大多出現于行政法規(guī)和部門規(guī)章之中，如《地圖管理條例》第34條就規(guī)定，互聯網地圖服務單位應當將存放地圖數據的服務器設在中國境內，并制定互聯網地圖數據安全管理制度和保障措施?！墩餍艠I(yè)管理條例》第24條也規(guī)定，“征信機構在中國境內采集的信息的整理、保存和加工，應當在中國境內進行?！薄毒W絡安全審查辦法》第7條要求，“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。”《汽車數據安全管理若干規(guī)定(試行)》第21條也要求，汽車數據處理者應當將“重要數據應當依法在境內存儲，因業(yè)務需要確需向境外提供的，應當通過國家網信部門會同國務院有關部門組織的安全評估?！?/p>

鑒于個人信息數據的跨境流動在數字經濟發(fā)展中的重要作用，2021年8月20日通過的《個人信息保護法》設立專章，規(guī)范個人信息跨境流動，保護個人信息權益。第38條規(guī)定，個人信息處理者因業(yè)務等需要向境外提供個人信息的，應當通過國家網信部門的安全評估、經專業(yè)機構進行個人信息保護認證，或按照國家網信部門制定的標準合同明確境外接收方權利和義務。第39條規(guī)定，個人信息處理者向境外提供個人信息的，應向個人告知信息出境相關情況并取得其“單獨同意”。第40條規(guī)定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者，應當將在中國境內收集和產生的個人信息存儲在境內；確需向境外提供的，應當通過網信部門組織的安全評估，除非法律、行政法規(guī)和國家網信部門有相反的規(guī)定?？偟膩碚f，《個人信息保護法》區(qū)分了普通的個人信息處理者、關鍵信息基礎設施運營者和處理個人信息達到一定數量的個人信息運營者，對后兩者提出數據本地化和出境安全評估的特別要求，并明確了普通個人信息處理者向境外傳輸個人信息所要滿足的要求。

上述規(guī)定可以發(fā)現，我國多部法律法規(guī)、部門規(guī)章均涉及我國對數據跨境流動的規(guī)制權。雖然確立了安全、自由的跨境數據流動原則，但強調了重要數據境內存儲和出境安全評估(見表二)，所以整體來看我國現階段數據跨境流動規(guī)制更注重維護數據安全，特別是國家安全問題，立法態(tài)度較為保守和審慎。[41]P189因此，現有的數據跨境流動規(guī)制措施存在與RCEP關于數據跨境實行的原則性自由流動的規(guī)定不符。在RCEP下，我國采取或維持的規(guī)制自由流動措施的合法性應建立能夠援引RCEP例外條款的基礎上。下文將根據我國數據監(jiān)管的類型，考察我國當前數據跨境流動規(guī)制措施符合“公共政策目標”和“基本安全利益”例外條款適用條件的可能性，進而為我國援引RCEP中的例外條款實現我國跨境數據流動規(guī)制目標提供參考。

表2 目前我國數據分類監(jiān)管的類型、規(guī)制措施及法律依據

(二) 援引RCEP數據跨境流動例外條款的問題

1. 關鍵信息基礎設施生成數據的規(guī)制措施

我國對關鍵信息基礎設施生產數據的規(guī)制措施，可能涉及到對國家安全利益的維護。根據上文分析，援引安全例外必須證明涉案措施與國家典型職能之間具有相關性。因此，分析我國關鍵信息基礎設施生成數據的規(guī)制措施能否援引安全例外，就必須闡明規(guī)制措施擬保護的“基本安全利益”，并證明該措施與“基本安全利益”的關聯性。

首先，關鍵信息基礎設施運營中收集和產生的個人信息和重要數據，其規(guī)制措施是否必然涉及“基本安全利益”。對于二者之間關聯性證明并不難。我國對于關鍵信息基礎設施的定義本身就包含了“國家安全”因素?！蛾P鍵信息基礎設施安全保護條例》第2條將其定義為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等?！边@些基礎運作過程中收集和產生的信息和數據，是該設施發(fā)揮功用不可或缺的，因此必然涉及“基本安全利益”。

即使某些關鍵信息基礎設施更多地是出于保障國計民生和公共利益，但在對公共利益的破壞能夠導致社會秩序的混亂和動蕩的情況下，也可以援引上文專家組對“基本安全利益”解釋的“維護國內法律和公共秩序的利益”部分的內容進行辯護。

其次，關于我國關鍵信息基礎設施生成數據的規(guī)制措施與“基本安全利益”這一目標之間的關聯，我國僅需證明該措施與“基本安全利益”之間滿足最低限度的聯系即可。2013年斯諾登事件爆發(fā)后，對于國外監(jiān)控和國家安全的擔憂促使各國采取了不同程度的數據本地化立法。[42]P784數據規(guī)制措施在保護國家安全和公共秩序等方面的作用已被各國所接受。例如，韓國出臺的《土地測量法》禁止其本國領土的任何土地監(jiān)控數據跨境流動，以保障其土地測量數據的安全。美國稅務局2016年也出臺規(guī)定，要求稅務信息系統必須位于美國境內，也即此類數據的存儲和處理必須在美國境內，以保障其稅務數據的安全。因此，各國對重要基礎設施領域采取的數據跨境流動規(guī)制，已有豐富的立法實踐，可以有力的佐證數據規(guī)制措施有利于公共秩序的穩(wěn)定。

由以上分析可知，關鍵信息基礎設施運營中收集和產生的個人信息和重要數據與“基本安全利益”是直接相關的。并且，以上個人信息和重要數據的境外存儲無法完全杜絕內外部的威脅，因此，對其境內存儲的這一要求即便不是必需的，但至少也會存在“最低限度的可信度”。因此，我國對關鍵信息基礎設施生成數據的規(guī)制措施可以符合RCEP數字跨境流動的基本安全利益條款。

2. 其他領域重要數據和個人信息的規(guī)制措施

關鍵信息基礎設施之外的重要數據(《數據安全法》第31條)和信息(《個人信息保護法》第40條)，由于需要經過國家網信部門組織的安全評估后才可向境外傳輸，因此同樣可能適用于安全例外條款。 此種重要數據因其性質特殊(如金融信息、地圖數據信息)，或具有大數據的特征(如“車聯網”背景下超過10萬人的個人信息、人臉信息)等，具備維護國家安全與公共秩序的價值。大數據的發(fā)展日益模糊了國家秘密信息和非秘密信息之間的界限，原本不會給國家安全和社會公共利益造成威脅的個體數據當其在達到一定規(guī)模并經過技術處理和分析之后，也有可能對國家安全和公共秩序造成嚴重威脅。[43]P95例如，2018年美國士兵使用了一款名為Strava的健身軟件健身，由于該軟件有記錄行走路線的功能，導致意外暴露了其所在軍事基地的地理位置和內部結構。[44]P99上文提到的地圖、汽車等領域的個人信息，均屬于此類容易造成國家和社會安全威脅的數據。

鑒于韓國曾經將地圖數據信息的本地化存儲作為維護國家安全的重要舉措，[45]美國也曾經發(fā)布過《關于保護美國人的敏感數據不受外國敵對勢力侵害的行政命令》，要求商務部對外國對手的應用程序進行安全評估以維護國家安全，[46]P86因此，重要數據和個人信息規(guī)制措施與“基本安全利益”的“最低限度的關聯”在國際上并不缺乏實踐的基礎。由此說明，關鍵信息基礎設施之外的重要數據和個人信息同樣也有可能符合基本安全利益例外。

3. 其他個人信息的規(guī)制措施

對于不涉及關鍵信息基礎設施且處理數量未達法定上限的信息跨境傳輸，我國目前并未要求一概進行安全評估，獲得專業(yè)機構個人信息保護認證和適用標準合同均可成為信息跨境流動的合法性來源。鑒于此條款當中并不包含任何國家安全和公共秩序要素，且標準合同僅是企業(yè)間約定而非對他國政府的要求，若不考慮構成“大數據”的個人信息，單純的個人信息保護問題與“公共政策目標”例外的關聯度更高。對于這類個人信息的規(guī)制措施能否符合RCEP的“公共政策目標例外”，我國需證明該措施不得構成任意或不合理的歧視，或對貿易的變相限制。

根據前文分析的“非歧視”標準要件進行分析，可以發(fā)現對其他個人信息跨境流動的規(guī)制措施至少在立法層面是不存在歧視的。因為不論是境內存儲要求還是對于數據跨境流動的審查，《個人信息保護法》并未對中國信息處理者和外國信息處理者設置不同的標準。為確保我國《個人信息保護法》在實施當中的確不存在“歧視”，還需進一步考量措施本身的適用是否具有靈活性，即規(guī)制措施在實施手段上是否要求其他締約方采取唯一一種手段，而故意忽略了其他同樣能達成目標的替代方法。如上所述，我國《個人信息保護法》已經提供了三種合法性來源供個人信息處理者選擇，除了通過網信部門組織的安全評估，外國信息處理者還可以選擇通過標準合同與境外接收方訂立合同或進行第三方認證，而后兩者都是美國2017年、2018年向WTO提交的質疑文件中承認的合理替代措施，[47]P49因此《個人信息保護法》規(guī)定的規(guī)制措施對個人信息保護這一目標的實現手段已經提供了相當的靈活性。綜上，在其“必需性”自行裁決的情況下，我國現行其他個人信息的規(guī)制措施也可能在公共政策目標例外項下獲得合法性認定。

(三)RCEP下我國數據跨境流動規(guī)則的調整

本文的分析表明，我國現階段對關鍵信息基礎設施生產的數據、其他領域重要數據和個人信息以及其他個人信息的規(guī)制措施理論上可以在RCEP數字跨境流動例外條款項下獲得合法性認定。但是，目前我國數據立法以保障數據安全和國家安全為根本目標，偏重數據本地化的立法態(tài)度與RCEP鼓勵數據跨境自由流動的立場不相協調。此外，我國已正式申請加入CPTPP和DEPA，考慮到其數據跨境流動例外條款比RCEP更為嚴格，我國有必要進一步根據自貿協定修改和完善相關國內立法，以保證我國數據跨境流動規(guī)制措施在相關自由流動規(guī)則下的合法性。

第一， 進一步強調數據跨境自由流動原則。雖然我國現階段立法允許數據跨境流動，但規(guī)定較為含糊，容易引發(fā)不必要的爭端，也不利于我國條約義務的落實。因此，我國有必要在《網絡安全法》《數據安全法》以及《個人信息保護法》中進一步強調以數據自由流動為原則，與RCEP數據跨境流動規(guī)則更好地協調。RCEP賦予了締約方廣泛的自由裁量權，中國在確認數據跨境自由流動原則的基礎上，于個人信息和重要數據保護方面采取規(guī)制措施是符合RCEP規(guī)定的，但仍需進一步完善相關配套制度，在自由貿易試驗區(qū)先行先試，形成可復制可推廣的經驗，以滿足數字貿易發(fā)展與數據安全保護的需要。

第二， 統一相關概念的界定。主要是數據跨境流動法律法規(guī)與自貿協定中數據跨境例外條款中和核心名詞的界定?！毒W絡安全法》和《數據安全法》多個條款均采用“國家安全”“公共利益“公共秩序”等措辭，而RCEP等自貿協定數據跨境流動例外條款采用的是“基本安全利益”這一術語。鑒于基本安全利益例外條款包含了“其認為”這一自裁性措辭，若專家組對我國援引基本安全利益例外規(guī)制數據跨境流動的措施進行善意審查，很可能會考察我國國內法對基本安全利益的界定。因此，建議統一我國數據跨境流動立法與自貿協定例外條款中的利益表述，以助于為可能引發(fā)的爭端所進行的解釋提供國內法指引。

第三， 健全數據分級分類規(guī)則，明確數據跨境流動安全評估標準。如上文所述，關鍵信息基礎設施之外的重要數據和信息也具備維護國家安全與公共秩序的價值。因此，在數據安全法配套細則的推出過程中，應進一步明確“重要數據”的內涵標準、判定條件及認定程序，明確重要數據管理的具體要求。對于何種數據構成重要數據而應當采用本地存儲、出境評估的措施也應當在法律法規(guī)或部門規(guī)章中明確地列舉，如《地圖管理條例》、《汽車數據安全管理若干規(guī)定(試行)》的相關規(guī)定，從而避免其他締約國關于國家安全、社會秩序威脅是否切實存在的質疑。此外，我國雖然確立了數據安全評估制度，但評估標準尚未出臺。因此，我國應加快推動《個人信息出境安全評估辦法》、《數據出境安全評估辦法》等配套措施的出臺，確定評估主體、明確評估標準和程序，同時澄清與完善個人信息跨境傳輸標準合同條款的具體內容以及個人信息保護認證的具體方式，以提高規(guī)則的可操作性。

第四， 擴充“不符措施清單”，擴大我國數據跨境流動的規(guī)制空間。除了從立法層面討論我國數據跨境流動規(guī)制措施能夠符合RCEP例外條款的同時，在我國加入CPTPP和DEPA的談判進程中，我國還可以通過《服務和投資保留及不符措施承諾表》來保障我國的政策空間。 自貿協定大都會承認“電子商務”章節(jié)會與“服務貿易”或“投資”章節(jié)存在重疊，從而在“服務貿易”或 “投資”章節(jié)當中，締約方通常是以正面清單、負面清單或混合清單的形式進行承諾的，比如僅同意在特定部門給予或不給予外國人最惠國待遇和國民待遇。[48]P28-29RCEP第 12 章第3條也明確規(guī)定，第15條“電子方式跨境信息傳輸”條款不適用于“服務貿易”或“投資”章節(jié)當中規(guī)定的保留和不符措施。CPTPP第 14.2條也規(guī)定了相似的措施。而具體到各國對于“不符措施”的安排，也不乏與數據本地化可能產生關聯的保留條款。 例如，韓國在RCEP項下的不負措施承諾表中就規(guī)定對于國有電子信息系統，該系統包含專有的政府信息或者政府依據其監(jiān)管職能和權力收集的信息，韓國有權采取任何相關的規(guī)制措施。[49]P57該系統必然會涉及到國家安全或公共秩序信息的跨境流動問題。因此，在我國未來的CPTPP和DEPA條約談判中，可采用此模式，在做出不符措施承諾時，對于可能存在重要數據或信息跨境的領域和行業(yè)明確其不適用“電子方式跨境信息傳輸”條款，從而為我國規(guī)定該領域數據跨境流動的規(guī)制提供明確的合法性。

注釋：

① 雖然各大型自貿協定都將數據跨境自由流動作為共同的發(fā)展方向，但其例外條款在結構、措辭、使用條件等方面有所差異。楊署東，謝卓君. 跨境數據流動貿易規(guī)制之例外條款：定位、范式與反思[J].重慶大學學報(社會科學版)，2021，4.

② 鑒于RCEP第12章第十四條“計算設施的位置”的例外條款與第十五條“通過電子方式跨境傳輸信息”在措辭上完全一致，本文將以第十四條為分析對象。

③ 在自貿協定中，數據跨境流動不僅受到電子商務或數字貿易章節(jié)下的限制，還受到一般例外條款及安全例外條款下的限制。本文聚焦于第一種類型的限制。馬光. FTA數據跨境流動規(guī)制的三種例外選擇適用[J]. 政法論壇，2021，9.

④ 數據主權是國家主權在大數據時代的核心表現，表現為國家對本國數據與本國國民數據的所有權、控制權、管轄權與使用權。參見張曉君. 數據主權規(guī)則建設的模式與借鑒——兼論中國數據主權的規(guī)則構建[J].現代法學，2020，42.

⑤ DEPA模塊4第4.3條中的例外條款與CPTPP在措辭上完全一致，因此本文對CPTPP的分析將同時適用于對DEPA的分析。

⑥ GATT1994第20條與GATS第14條之間具有極強的相似性，如采用了相似的條款結構，且都允許締約方為保護公共道德采取必要措施。然而，兩者也有不同，一個明顯的不同是GATS第14條包含的一些正當化理由，例如公共秩序的維護、安全和隱私的保護等并不存在與GATT1994第20條之中(至少不明示存在)。

⑦ 雖然“公共道德”和“公共秩序”是兩個不同的概念，但“美國博彩案”專家組認為這兩個概念仍有重合，因為它們“所意圖保護的價值十分相似”。參見Panel Report，United States—Measures Affecting the Cross-Border Supply of Gambling and Betting Services，WT/DS285/R (20 April 2005) para.6.468.

⑧ RCEP第12章第17條第2款規(guī)定，在磋商未果的情況下，參與磋商的締約方可根據第18章第3條，將該事項提交至 RCEP 聯合委員會。根據RCEP第12章第17條第3款規(guī)定，RCEP第19章規(guī)定的爭端解決機制只有在審議完成后，才能在締約方均同意的情況下適用于電子商務領域產生的爭端。

⑨ 上訴機構在“美國汽油案”中指出，“任意或不合理的歧視”與“對國際貿易變相的限制”在含義上是相同的，判斷一項具體措施的適用是否導致“任意或不合理的歧視”的相關因素，也可以用于判斷該具體措施是否構成國際貿易的“變相限制”。因此，本文以非歧視條件為主進行分析。Appellate Body Report，United States — Standards for Reformulated and Conventional Gasoline，WT/DS2/AB/R(20 May 1996)p.25.

⑩ GATS第14條之二“安全例外”的用語與GATT1994第21條的用語完全相同，且該條款未在爭端解決程序中得到援引，因此本文的分析以GATT1994第21條為主。