黃秋紅 李雅穎

（西南政法大學(xué) 國際法學(xué)院，重慶 渝北 401120）

數(shù)字經(jīng)濟(jì)時代下，數(shù)據(jù)已經(jīng)成為第五大基礎(chǔ)生產(chǎn)要素，是社會經(jīng)濟(jì)發(fā)展的新引擎。根據(jù)中國信通院在2021年8月發(fā)布的《全球數(shù)字經(jīng)濟(jì)白皮書——疫情沖擊下的復(fù)蘇新曙光》，2020年全球47個主要經(jīng)濟(jì)體的數(shù)字經(jīng)濟(jì)總量占生產(chǎn)總值的43.7%，達(dá)32.6萬億美元，中國數(shù)字經(jīng)濟(jì)規(guī)模僅次美國，為5.4萬億美元。①中國信息通信研究院：《全球數(shù)字經(jīng)濟(jì)白皮書——疫情沖擊下的復(fù)蘇新曙光》，2021年第11、20頁。作為數(shù)字貿(mào)易的基本構(gòu)成要素，數(shù)據(jù)跨境流動的重要性越來越凸顯，數(shù)字產(chǎn)品的跨境交付、數(shù)字服務(wù)的跨境提供都離不開數(shù)據(jù)的跨境自由流動。國際社會對數(shù)據(jù)跨境流動問題日趨關(guān)注，晚近簽署的《美墨加協(xié)定》（USMCA）、《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（DEPA）及《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）等國際經(jīng)貿(mào)協(xié)定都納入了數(shù)據(jù)跨境流動規(guī)則。鑒于CPTPP規(guī)則開放之“全面廣泛、深度系統(tǒng)”，代表了高水平、高標(biāo)準(zhǔn)的自由貿(mào)易協(xié)定，有利于推進(jìn)我國“雙循環(huán)”經(jīng)濟(jì)發(fā)展，2021年9月16日，中國正式提交了加入CPTPP的申請。①商務(wù)部網(wǎng)站：《中方正式提出申請加入〈全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定〉（CPTPP）》，http：//www.mofcom.gov.cn/article/news/202109/20210903199707.shtml?ivk_sa=1023197a，訪問日期：2021年10月5日。眾所周知，CPTPP的前身《跨太平洋伙伴關(guān)系協(xié)定》（TPP）是美國主導(dǎo)的旨在遏制和孤立中國的全新“游戲規(guī)則”，此次中國申請備受全球矚目。數(shù)據(jù)跨境流動是數(shù)字貿(mào)易的核心和基礎(chǔ)，作為經(jīng)貿(mào)談判的新議題，中國加入CPTPP談判的難點(diǎn)之一在于能否接受CPTPP中的數(shù)據(jù)跨境流動規(guī)則。CPTPP是全球范圍內(nèi)最早生效的新一代數(shù)字貿(mào)易規(guī)則，確立了限制數(shù)據(jù)本地化、保護(hù)個人信息、鼓勵數(shù)據(jù)跨境自由流動、保護(hù)源代碼等高標(biāo)準(zhǔn)規(guī)則。這些規(guī)則體現(xiàn)了CPTPP旨在遏制數(shù)據(jù)保護(hù)主義、鼓勵數(shù)據(jù)自由流動，代表著保護(hù)和促進(jìn)數(shù)字貿(mào)易的高水平。目前來看，我國數(shù)據(jù)跨境流動規(guī)則與CPTPP要求還有一定差距，需要在對接高標(biāo)準(zhǔn)規(guī)則上下功夫。

一、CPTPP中的數(shù)據(jù)跨境流動規(guī)制

數(shù)據(jù)跨境流動通常是指在一國境內(nèi)產(chǎn)生的能夠被計算設(shè)施識別的信息或數(shù)據(jù)被其他國家或地區(qū)的公私主體進(jìn)行訪問、讀取、存儲、加工、使用、處理等活動，包括數(shù)據(jù)的跨境流入和流出兩個動向。②許可：《自由與安全：數(shù)據(jù)跨境流動的中國方案》，《環(huán)球法律評論》2021年第1期，第22—37頁。CPTPP與數(shù)據(jù)跨境流動有關(guān)的規(guī)則主要包括第14.13條“計算設(shè)施的位置”、第14.11條“通過電子方式跨境傳輸信息”和第14.8條“個人信息保護(hù)”。其中，第14.13條是關(guān)于限制數(shù)據(jù)本地化措施的規(guī)定，第14.11條直接以數(shù)據(jù)跨境流動為規(guī)制對象，第14.8條涉及數(shù)據(jù)流動中的個人信息保護(hù)問題。

“數(shù)據(jù)本地化”即要求企業(yè)等有關(guān)主體在本國境內(nèi)存儲和處理數(shù)據(jù)，但并非代表著完全禁止數(shù)據(jù)的流動。不同類型的本地化措施寬嚴(yán)程度各不相同，既有僅規(guī)定在境內(nèi)存儲或備份數(shù)據(jù)而不限制跨境流動的，又有要求將特定數(shù)據(jù)存儲在境內(nèi)設(shè)備且限制其自由流動的。③王融：《數(shù)據(jù)跨境流動政策認(rèn)知與建議——從美歐政策比較及反思視角》，《信息安全與通信保密》2018年第3期，第41—53頁。CPTPP第14.13條第1款首先基于締約方對于通信機(jī)密和安全等的需要，肯定了它們對其境內(nèi)的計算設(shè)施使用具有監(jiān)管權(quán)利。④CPTPP第14.13條第1款。在此基礎(chǔ)上，該條第2款規(guī)定締約方不得將在其境內(nèi)使用或安置計算設(shè)施作為投資者或服務(wù)提供者等相關(guān)商業(yè)主體在其境內(nèi)從事商業(yè)經(jīng)營的條件。⑤CPTPP第14.13條第2款。也就是說，CPTPP嚴(yán)格限制數(shù)據(jù)本地化措施，但基于締約方“合法公共政策目標(biāo)”考量，14.13條第3款做出了例外規(guī)定。該條款從目的、方式、限度三個方面進(jìn)行衡量，締約方在同時滿足這些方面的情況下可以采取或維持?jǐn)?shù)據(jù)本地化措施，即目的在于實(shí)現(xiàn)合法公共政策目標(biāo)、方式非任意非歧視、實(shí)施方式不構(gòu)成對貿(mào)易的變相限制、限度不超出目標(biāo)范疇。⑥CPTPP第14.13條第3款。通過納入采用比例原則限制締約方的數(shù)據(jù)本地化措施，要求措施在必要的范圍內(nèi)進(jìn)行，締約方不得對計算設(shè)施的使用或位置施加超出滿足合法目標(biāo)的需要。從整體上分析，關(guān)于限制數(shù)據(jù)本地化的例外適用，CPTPP規(guī)定較為模糊，對于合法公共政策目標(biāo)的范疇，缺乏明確的說明和解釋。結(jié)合各國立法實(shí)踐來看，合法公共政策目標(biāo)可能包括保障國家安全、維護(hù)公共秩序或公共道德、保護(hù)個人隱私、實(shí)現(xiàn)便利執(zhí)法等，⑦陳詠梅、張姣：《跨境數(shù)據(jù)流動國際規(guī)制新發(fā)展：困境與前路》，《上海對外經(jīng)貿(mào)大學(xué)報》2017年第6期，第37—52頁。標(biāo)準(zhǔn)極為寬泛。這造成CPTPP數(shù)據(jù)本地化措施限制規(guī)則可操作性不強(qiáng)，準(zhǔn)確性和預(yù)測性不足，給締約方留下較大的解釋空間。

在數(shù)據(jù)跨境流動方面，CPTPP的規(guī)則設(shè)計與數(shù)據(jù)本地化措施限制規(guī)則大體相同，首先在第14.11（1）條中肯定了締約方的監(jiān)管權(quán)利，即各締約方有權(quán)設(shè)置不同的跨境傳輸監(jiān)管要求。①CPTPP第14.11條第1款。第2款則明確了締約方對于電子商務(wù)中的數(shù)據(jù)通過電子方式跨境傳輸?shù)膹?qiáng)制性義務(wù)，即締約國應(yīng)該允許包括個人信息在內(nèi)的數(shù)據(jù)跨境傳輸，且這一活動只適用于締約方投資者、服務(wù)提供者所開展的“商業(yè)行為”。至于締約方能否設(shè)置數(shù)據(jù)跨境流出的條件，如安全評估、認(rèn)證保護(hù)等，該條款并未明確，但結(jié)合第1款的內(nèi)容來看，締約方對數(shù)據(jù)傳輸提出監(jiān)管要求是CPTPP所許可的。該條第3款關(guān)于數(shù)據(jù)跨境流動的例外適用規(guī)定與第14.13條第3款內(nèi)容大同小異，與數(shù)據(jù)本地化措施限制例外一樣，締約方可以在符合目的、方式、限度的基礎(chǔ)之上，實(shí)施或維持限制數(shù)據(jù)傳輸?shù)拇胧?。由于二者例外條款內(nèi)容一致，CPTPP數(shù)據(jù)跨境流動例外適用無可避免地存在界定不明、標(biāo)準(zhǔn)模糊、解釋空間寬泛的問題。

個人數(shù)據(jù)是跨境流動數(shù)據(jù)的重要組成部分，數(shù)據(jù)流動必然涉及個人信息保護(hù)問題，CPTPP強(qiáng)調(diào)電子商務(wù)個人信息保護(hù)對于經(jīng)濟(jì)和社會效益的重要性，并設(shè)立了專門的條款。根據(jù)CPTPP第14.8（2）條，締約方應(yīng)承擔(dān)制定或維持電子商務(wù)用戶個人信息保護(hù)法律框架的強(qiáng)制性義務(wù)。考慮到不同締約方之間的文化差異和立法水平，CPTPP允許締約方采用不同的法律方式，例如制定個人信息、個人數(shù)據(jù)保護(hù)專門法或涵蓋隱私保護(hù)的特定部門法等法律框架。②CPTPP第14.8條。締約方在個人信息保護(hù)規(guī)則設(shè)置上應(yīng)結(jié)合以下兩點(diǎn)綜合考量：第一，參考相關(guān)國際機(jī)構(gòu)的指南和原則；第二，強(qiáng)化不同信息保護(hù)體制之間的兼容性。③董靜然：《數(shù)字貿(mào)易的國際法規(guī)制探究——以CPTPP為中心的分析》，《對外經(jīng)貿(mào)實(shí)務(wù)》2020年第5期，第5—10頁。為協(xié)調(diào)不同締約國之間個人信息保護(hù)規(guī)則以及加強(qiáng)對彼此監(jiān)管結(jié)果的承認(rèn)，該條款鼓勵締約方通過國際合作交換相關(guān)信息，包括雙邊、區(qū)域或者多邊安排推動不同締約方信息保護(hù)體制之間的兼容性。同時，該條對透明度和非歧視做出了要求，締約方應(yīng)向電子商務(wù)用戶公布相關(guān)的個人保護(hù)信息，尤其是個人權(quán)利救濟(jì)和企業(yè)行為合規(guī)方面。在保護(hù)個人信息免受侵害時，締約方應(yīng)盡力采取非歧視性做法。④CPTPP第14.8條。CPTPP關(guān)于個人信息保護(hù)的規(guī)制也存在較大的不確定性，如第2款中的相關(guān)國際機(jī)構(gòu)定義不明，難以確定締約方應(yīng)參考的原則。CPTPP中“考慮”“努力”“鼓勵”等軟措辭的使用將導(dǎo)致個人信息保護(hù)的強(qiáng)制力不足。

另外，除數(shù)據(jù)本地化限制條款和數(shù)據(jù)跨境流動條款本身包含的例外規(guī)定外，根據(jù)CPTPP第29.2條和第29.1條第3款，安全例外和GATS第14條的一般例外規(guī)定也適用于電子商務(wù)章節(jié)，三者共同構(gòu)成了數(shù)據(jù)跨境流動的合法限制依據(jù)。CPTPP第29.2條安全例外條款旨在保護(hù)國家基本安全利益，締約方能夠以維護(hù)基本安全利益為由，限制相關(guān)數(shù)據(jù)的跨境傳輸來保障重要信息、防止關(guān)鍵信息泄露。GATS一般例外條款的適用意味著締約方可以基于維護(hù)公共秩序或公共道德、保障人類和動植物的生命健康、防止欺詐或處理違約情況以及保護(hù)個人隱私等合法事由，對數(shù)據(jù)跨境自由流動采取限制措施，但同樣不得構(gòu)成任意的、不合理的歧視或形成對國際貿(mào)易的變相限制。⑤GATS第14條。

二、我國的數(shù)據(jù)跨境流動規(guī)則實(shí)踐及問題

近年來，我國電子商務(wù)蓬勃發(fā)展，商務(wù)部于2021年9月3日發(fā)布的《中國數(shù)字貿(mào)易發(fā)展報告2020》顯示，我國在2020年的數(shù)字貿(mào)易額達(dá)到2947.6億美元，預(yù)計到2025年，可數(shù)字化的服務(wù)貿(mào)易進(jìn)出口總額將超過4000億美元，占服務(wù)貿(mào)易總量的50%。①海外網(wǎng)：《〈中國數(shù)字貿(mào)易發(fā)展報告2020〉發(fā)布：我國數(shù)字貿(mào)易規(guī)模將持續(xù)擴(kuò)大》，https：//baijiahao.baidu.com/s?id=1710024126008514133&wfr=spider&for=pc，訪問日期：2021年10月25日。隨著數(shù)字貿(mào)易規(guī)模的不斷擴(kuò)大，我國日趨重視國內(nèi)數(shù)據(jù)安全領(lǐng)域的立法，近年簽署的自由貿(mào)易協(xié)定開始針對電子商務(wù)相關(guān)問題進(jìn)行規(guī)制，網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護(hù)法等相關(guān)法律法規(guī)陸續(xù)出臺，自由貿(mào)易試驗(yàn)區(qū)對數(shù)據(jù)跨境流動規(guī)制積極探索。但我國數(shù)據(jù)跨境流動規(guī)則方面仍舊落后于現(xiàn)實(shí)，與CPTPP中的相關(guān)條款存在些許差距，從現(xiàn)有規(guī)則實(shí)踐來看，我國立法相對謹(jǐn)慎?；趪野踩途W(wǎng)絡(luò)安全的考量，我國對數(shù)據(jù)跨境流動控制較為嚴(yán)格，尤其是計算設(shè)施本地化要求與CPTPP規(guī)則存在一定差距，與全球數(shù)據(jù)治理一體化進(jìn)程不相協(xié)調(diào)。

（一）自由貿(mào)易協(xié)定中的數(shù)據(jù)跨境流動規(guī)則缺失

截至2021年8月，我國已與26個國家和地區(qū)簽署了19個自由貿(mào)易協(xié)定。②中國網(wǎng)：《我國已與26個國家和地區(qū)簽署19個自貿(mào)協(xié)定》，http：//news.china.com.cn/2021-08/23/content_77709112.html，訪問日期：2021年11月10日。從章節(jié)設(shè)置來看，經(jīng)過升級談判，目前大部分自貿(mào)協(xié)定已經(jīng)涵蓋電子商務(wù)專章，與馬爾代夫、格魯吉亞、瑞士、冰島、哥斯達(dá)黎加、秘魯、巴基斯坦簽署的自貿(mào)協(xié)定尚未納入；從條款設(shè)計來看，電子商務(wù)章節(jié)共有9—11條，正文大致可分為以下四類：一是目標(biāo)、定義等適用性規(guī)則，二是關(guān)稅、透明度、合作，三是電子認(rèn)證、無紙貿(mào)易等數(shù)字互認(rèn)，四是爭端解決，幾乎都排除了爭端解決機(jī)制對電子商務(wù)章節(jié)的適用；從文本內(nèi)容來看，已公布的文本中，都囊括了個人信息保護(hù)條款，但幾乎均沒有涉及數(shù)據(jù)本地化限制措施、數(shù)據(jù)跨境流動，僅在2020年11月簽署的RCEP電子商務(wù)專章第四節(jié)第14條和15條中有所規(guī)制。③中國自由貿(mào)易區(qū)服務(wù)網(wǎng)：《已簽協(xié)議的自貿(mào)區(qū)》，http：//fta.mofcom.gov.cn/，訪問日期：2021年11月15日。RCEP這兩個條款分別明確了關(guān)于計算設(shè)施本地化限制的問題以及確保電子信息跨境傳輸?shù)淖杂?，對比CPTPP，RCEP將合法公共政策目標(biāo)和基本安全利益的解釋權(quán)授予締約方，且其他締約方對該締約方采取的例外限制措施不得提出異議，賦予了締約方更寬泛的例外限制數(shù)據(jù)跨境流動權(quán)利。④RCEP第12章第14、15條第3款：本條的任何規(guī)定不得阻止一締約方采取或維持：（一）任何與第二款不符但該締約方認(rèn)為是實(shí)現(xiàn)其合法的公共政策目標(biāo)所必要的措施，只要該措施不以構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制的方式適用；或者（二）該締約方認(rèn)為對保護(hù)其基本安全利益所必要的任何措施。其他締約方不得對此類措施提出異議。

除此之外，少數(shù)未設(shè)置電子商務(wù)章節(jié)的自由貿(mào)易協(xié)定中包含了電子商務(wù)規(guī)則，例如《中國-秘魯自由貿(mào)易協(xié)定》第4章海關(guān)程序及貿(mào)易便利化章節(jié)中涉及無紙貿(mào)易環(huán)境下信息數(shù)據(jù)的提交和處理，⑤《中國-秘魯自由貿(mào)易協(xié)定》第61條?！蛾P(guān)于修訂〈中國-東盟全面經(jīng)濟(jì)合作框架協(xié)議〉及項下部分協(xié)議的議定書》第四章第七條（3）款提及加強(qiáng)跨境電子商務(wù)領(lǐng)域的合作，⑥《中國與東盟關(guān)于修訂〈中國-東盟全面經(jīng)濟(jì)合作框架協(xié)議〉及項下部分協(xié)議的議定書》第四章對《框架協(xié)議》經(jīng)濟(jì)技術(shù)合作相關(guān)條款的修訂第七條（3）款跨境電子商務(wù)。原與新西蘭簽署的自貿(mào)協(xié)定僅在第八章涉及電子信息的交換，其后在升級議定書中增加了電子商務(wù)章節(jié)，但也只包括上述四類核心內(nèi)容，缺乏數(shù)據(jù)本地化措施限制和數(shù)據(jù)跨境流動這兩項關(guān)鍵內(nèi)容。

（二）數(shù)據(jù)跨境流動國內(nèi)規(guī)則的主要問題

數(shù)據(jù)跨境流動的國內(nèi)規(guī)制散見于網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個人信息保護(hù)法等法律以及地圖管理條例、征信業(yè)管理條例、人類遺傳資源管理條例等特定行業(yè)的行政法規(guī)和《電子銀行業(yè)務(wù)管理辦法》《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》等部門規(guī)章中，缺乏真正意義上的專門數(shù)據(jù)管理法規(guī)。涉及數(shù)據(jù)跨境流動的法律規(guī)范存在重疊和交叉、規(guī)定籠統(tǒng)、范圍不明、標(biāo)準(zhǔn)不清等問題，且因立法年份不同，部分條款之間相互不銜接。

1.立法理念上：偏重數(shù)據(jù)本地化

數(shù)據(jù)本地化與數(shù)據(jù)自由化體現(xiàn)了數(shù)據(jù)安全保障與數(shù)據(jù)跨境流動之間的價值平衡問題。價值追求不同，規(guī)則也互不相同，數(shù)據(jù)安全和數(shù)據(jù)自由歸根結(jié)底就是安全和發(fā)展的問題。如上所述，我國多部法律法規(guī)涉及數(shù)據(jù)跨境流動，雖然確立了安全、自由的跨境數(shù)據(jù)流動原則，但整體來看更注重維護(hù)數(shù)據(jù)安全，特別是國家安全問題，立法態(tài)度較為審慎。其中，網(wǎng)絡(luò)安全法明確了個人信息和重要數(shù)據(jù)本地存儲的要求，必要時經(jīng)安全評估后方可向境外提供。①《網(wǎng)絡(luò)安全法》第三十七條。數(shù)據(jù)安全法對不同數(shù)據(jù)進(jìn)行分級分類保護(hù)，并就“核心數(shù)據(jù)”“重要數(shù)據(jù)”“一般數(shù)據(jù)”設(shè)計了不同的跨境流動管理規(guī)則。核心數(shù)據(jù)的跨境流動適用更嚴(yán)格的安全審查規(guī)則，重要數(shù)據(jù)的跨境流動遵循網(wǎng)絡(luò)安全法確立的出境安全管理規(guī)則，一般數(shù)據(jù)根據(jù)平等互惠等原則基本可以實(shí)現(xiàn)自由流動。②高通：《數(shù)據(jù)安全法中的數(shù)據(jù)跨境流動規(guī)則》，《民主與法制時報》2021年9月15日第3版。根據(jù)《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，對于掌握100萬用戶以上個人信息的運(yùn)營者，須經(jīng)安全審查才能到境外上市，③《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第六條。該辦法還強(qiáng)調(diào)了核心數(shù)據(jù)、重要數(shù)據(jù)等的出境風(fēng)險管控。對于個人信息，個人信息保護(hù)法在數(shù)據(jù)主體同意的基礎(chǔ)上確立了三種個人信息跨境流動機(jī)制，包括由國家網(wǎng)信部門進(jìn)行安全評估、經(jīng)過專業(yè)機(jī)構(gòu)的認(rèn)證保護(hù)、采用標(biāo)準(zhǔn)合同文本明確與境外接收方的權(quán)利義務(wù)。④《個人信息保護(hù)法》第三十八條。在此之前，我國主要通過《征信業(yè)管理條例》《地圖管理條例》《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等行政規(guī)章對金融、衛(wèi)生健康、交通運(yùn)輸、醫(yī)療、氣象等行業(yè)的數(shù)據(jù)提出了本地化存儲要求和數(shù)據(jù)出境監(jiān)管要求。

我國以數(shù)據(jù)安全和國家安全保障為根本目標(biāo)，圍繞重要數(shù)據(jù)本地化存儲原則搭建數(shù)據(jù)跨境流動規(guī)則，與CPTPP限制數(shù)據(jù)本地化措施、鼓勵數(shù)據(jù)跨境流動的立場存在一定的差距，也難以適應(yīng)當(dāng)前大規(guī)模數(shù)據(jù)跨境流動的實(shí)際需求。當(dāng)然，我國可以通過援引CPTPP第14.11條第三款例外條款進(jìn)行抗辯，且CPTPP第29章的安全例外條款對“基本安全”也沒有做內(nèi)容限定。整體來看，對于CPTPP中的數(shù)據(jù)跨境流動規(guī)則，尤其是個人信息保護(hù)方面，我國也尤為重視，本地化限制和跨境傳輸方面則可以通過法律解釋、例外條款適用予以接受，但《個人信息和重要數(shù)據(jù)出境安全評估辦法》等配套制度制定時需結(jié)合CPTPP合規(guī)因素考慮。

2.法律規(guī)范上：缺乏可操作性

數(shù)據(jù)跨境流動立法不完善，數(shù)據(jù)分級分類管理規(guī)則標(biāo)準(zhǔn)不明，安全評估規(guī)則缺乏可操作性。數(shù)據(jù)分級分類保護(hù)是數(shù)據(jù)安全法的重要內(nèi)容，但卻存在分類標(biāo)準(zhǔn)不明的問題。由于不同類別的數(shù)據(jù)跨境流動要求不一，分類標(biāo)準(zhǔn)將直接影響數(shù)據(jù)的跨境流動。從規(guī)則設(shè)計上，數(shù)據(jù)安全法“自上而下”地將數(shù)據(jù)劃分為“重要數(shù)據(jù)”和“個人信息”，以數(shù)據(jù)價值（在經(jīng)濟(jì)社會發(fā)展中的重要程度）和危害程度（遭到泄露、纂改等非法行為后，對個人、組織合法權(quán)益或公共利益、國家安全造成的危害程度）作為分類標(biāo)準(zhǔn)。①《數(shù)據(jù)安全法》第二十一條。至于如何界定重要數(shù)據(jù)的范疇，該法并未明確，“重要程度”和“危害程度”標(biāo)準(zhǔn)模糊，重要數(shù)據(jù)目錄有待相關(guān)部門通過制定配套規(guī)則予以明確，而授權(quán)“各地區(qū)、各部門”制定相關(guān)行業(yè)、領(lǐng)域內(nèi)的重要數(shù)據(jù)具體目錄可能造成規(guī)則沖突，不利于執(zhí)法。不可否認(rèn)的是，該規(guī)定可以在一定程度上推動各地區(qū)、各部門的積極性，但不同地區(qū)、部門基于各自利益考量可能引發(fā)一些問題，導(dǎo)致重要數(shù)據(jù)目錄體系較為復(fù)雜，從而造成執(zhí)行困擾。存儲和提供并非相同概念，而網(wǎng)絡(luò)安全法第三十七條、個人信息保護(hù)法第四十條及《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第十一條等條款常常將數(shù)據(jù)本地化和數(shù)據(jù)跨境流動這兩個不同的概念混為一談。尤其是在數(shù)據(jù)分級分類管理規(guī)則尚未真正建成之前，“一刀切”式的數(shù)據(jù)本地化存儲措施極易限制發(fā)展進(jìn)程。②陳兵、徐文：《數(shù)據(jù)跨境流動的治理體系建構(gòu)》，《中國特色社會主義研究》，2021年第4期，第67—75頁。我國可借鑒CPTPP的做法分設(shè)不同的條款，進(jìn)一步明確出境之后的數(shù)據(jù)是否也構(gòu)成境外存儲。

此外，數(shù)據(jù)出境安全評估具體規(guī)則尚未出臺，數(shù)據(jù)出境時的安全評估主體和流程等也未真正確定。國家互聯(lián)網(wǎng)信息辦公室先后于2017年4月、2019年6月和2021年10月就《個人信息和重要數(shù)據(jù)出境安全評估辦法》《個人信息出境安全評估辦法》《數(shù)據(jù)出境安全評估辦法》發(fā)布征求意見稿，但至今上述辦法仍未落地，安全評估細(xì)則有待制訂，法律規(guī)范的可操作性亟待增強(qiáng)。數(shù)據(jù)跨境流動的具體標(biāo)準(zhǔn)存在一定的不確定性，個人信息保護(hù)認(rèn)證、標(biāo)準(zhǔn)合同以及其他條件也需要進(jìn)一步明確。

規(guī)定原則化、可操作性不足問題同樣出現(xiàn)在自由貿(mào)易試驗(yàn)區(qū)政策中，由于國家層面面臨數(shù)據(jù)跨境流動體系不完善、分類分級規(guī)則不健全、安全評估和監(jiān)管機(jī)制操作難，自由貿(mào)易試驗(yàn)區(qū)開始率先探索數(shù)據(jù)跨境流動機(jī)制的構(gòu)建路徑。2019年8月20日，《中國（上海）自由貿(mào)易試驗(yàn)區(qū)臨港新片區(qū)管理辦法》施行，作為我國首部涉及數(shù)據(jù)跨境流動的地方性立法，其采取“軟硬相兼”的方式在第三十五至三十七條中對數(shù)據(jù)跨境流動進(jìn)行規(guī)制，內(nèi)容包括互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)跨境流動保障、數(shù)據(jù)保護(hù)的強(qiáng)化。③《中國（上海）自由貿(mào)易試驗(yàn)區(qū)臨港新片區(qū)管理辦法》第35—37條。這些規(guī)定較為抽象和概括，“加大”“加快”“加強(qiáng)”等軟法性質(zhì)措辭的頻繁使用不利于法律規(guī)則的執(zhí)行。分類分級管理、法律責(zé)任均未有所規(guī)制。海南自由貿(mào)易港建設(shè)過程中與數(shù)據(jù)跨境流動相關(guān)的立法規(guī)范也呈現(xiàn)出碎片化、原則化、模糊化的特征。④陳利強(qiáng)、劉羿瑤：《海南自由貿(mào)易港數(shù)據(jù)跨境流動法律規(guī)制研究》，《海關(guān)與經(jīng)貿(mào)研究》2021年第5期，第3—7頁。

3.執(zhí)法或司法上：重“防守”策略

跨境提供數(shù)字化產(chǎn)品或服務(wù)時，因物理存在的缺乏，提供者與消費(fèi)者所在地之間的法律聯(lián)結(jié)明顯減弱，致使行政機(jī)關(guān)難以行使管轄權(quán)。網(wǎng)絡(luò)犯罪對地域性的弱化也凸顯了跨境數(shù)據(jù)司法取證的重要性。傳統(tǒng)上的國際司法協(xié)助或執(zhí)法合作方式在瞬息萬變的數(shù)字時代下難以快速有效地解決跨境調(diào)取電子證據(jù)的問題，美國、歐盟等開始探索新的方案，例如美國2018年《澄清域外合法使用數(shù)據(jù)法案》采取“數(shù)據(jù)控制者”標(biāo)準(zhǔn)無限擴(kuò)張其跨境調(diào)取數(shù)據(jù)的范疇，⑤CLOUD ACT SEC.103，美國《澄清域外合法使用數(shù)據(jù)法案》規(guī)定，只要是通信、記錄或者其他信息為服務(wù)提供者所擁有、監(jiān)管或控制，無論其是否存儲在美國境內(nèi)，服務(wù)提供者均負(fù)有依法保存、備份、披露相應(yīng)內(nèi)容的義務(wù)。而他國機(jī)構(gòu)需經(jīng)“適格政府審查”才能調(diào)取美國境內(nèi)的數(shù)據(jù)，這一法案打破了國際司法或執(zhí)法合作制度。①張茉楠：《跨境數(shù)據(jù)流動：全球態(tài)勢與中國對策》，《開放導(dǎo)報》2020年第2期，第44—50頁。歐盟也通過擴(kuò)張對“數(shù)據(jù)控制者”的解釋來延伸自己的管轄范圍，便利域外執(zhí)法跨境數(shù)據(jù)的調(diào)取。反之，我國在執(zhí)法數(shù)據(jù)跨境調(diào)取方面更強(qiáng)調(diào)主權(quán)利益，即更多地是采取“防守”策略，從立法上制定專門條款抵制美國和歐盟的“長臂管轄”。依據(jù)國際刑事司法協(xié)助法、數(shù)據(jù)安全法、個人信息保護(hù)法相關(guān)條款，相關(guān)機(jī)構(gòu)在處理境外機(jī)構(gòu)調(diào)取國內(nèi)數(shù)據(jù)的請求時奉行平等互惠原則和對等原則；相關(guān)主體非經(jīng)批準(zhǔn)不得擅自向境外機(jī)構(gòu)提供境內(nèi)的數(shù)據(jù)或個人信息。②《數(shù)據(jù)安全法》第三十六條，《個人信息保護(hù)法》第四十一條。至于執(zhí)法數(shù)據(jù)跨境調(diào)取的申請、審核、批準(zhǔn)等法律程序和時限，仍有待進(jìn)一步明確。個人信息保護(hù)法還規(guī)定了應(yīng)對外國歧視做法的對等措施采取權(quán)利，并專門引入限制或者禁止個人信息提供清單制度，③《個人信息保護(hù)法》第四十二條。而如何使用好這一清單制度，尚待具體細(xì)則的出臺。

三、對接CPTPP數(shù)據(jù)跨境流動規(guī)則的建議

對接CPTPP數(shù)據(jù)跨境流動規(guī)則，我國應(yīng)當(dāng)注重國際規(guī)則和國內(nèi)法治的良性互動，一方面借鑒CPTPP規(guī)則，加強(qiáng)數(shù)據(jù)跨境流動的國際協(xié)調(diào)和合作；另一方面加快完善國內(nèi)數(shù)據(jù)跨境流動的配套制度，并強(qiáng)化相關(guān)規(guī)則的實(shí)施和執(zhí)行。

（一）適時推動自由貿(mào)易協(xié)定中數(shù)據(jù)跨境流動規(guī)則的談判

隨著數(shù)據(jù)驅(qū)動社會經(jīng)濟(jì)發(fā)展的重要性上升，推動數(shù)據(jù)流動成為大數(shù)據(jù)時代不可或缺的部分。美國、新加坡、日本、澳大利亞、新西蘭等國均已簽訂了數(shù)字貿(mào)易協(xié)定，數(shù)字貿(mào)易協(xié)定逐漸成為數(shù)字貿(mào)易大背景下一個新的選擇。我國作為全球數(shù)字經(jīng)濟(jì)規(guī)模第二大國，應(yīng)該主動參與到國際數(shù)字貿(mào)易規(guī)則的制定過程中，并提出自己的方案，成為數(shù)字貿(mào)易領(lǐng)域的引領(lǐng)者。我國需適時推動和完善數(shù)字貿(mào)易協(xié)定，通過談判將我國關(guān)于網(wǎng)絡(luò)安全和數(shù)字貿(mào)易的相關(guān)理念融入其中，從CPTPP中凝練有利于我國數(shù)字經(jīng)濟(jì)發(fā)展和相關(guān)規(guī)則完善的內(nèi)容。數(shù)據(jù)跨境流動屬于一個新的領(lǐng)域，正處于起步階段，我國應(yīng)該加快步伐，融入數(shù)字貿(mào)易自由化的隊伍中。在數(shù)據(jù)跨境流動等數(shù)字貿(mào)易規(guī)則的談判過程中，考慮到新加坡在數(shù)字貿(mào)易規(guī)則方面已經(jīng)具備較為成熟的經(jīng)驗(yàn)，例如其與新西蘭、智利簽署的《數(shù)字經(jīng)濟(jì)伙伴關(guān)系協(xié)定》已于2021年生效，且中新兩國均作為《中國-東盟自由貿(mào)易協(xié)定》、RCEP等多個自貿(mào)協(xié)定的締約國，因此我國可以先與新加坡嘗試推進(jìn)，成功合作的可能性較大。同時，可借助“一帶一路”等平臺加強(qiáng)相關(guān)規(guī)則的交流對話，增進(jìn)境外對我國企業(yè)和市場的了解互信，通過將數(shù)據(jù)跨境流動納入雙、多邊貿(mào)易投資談判內(nèi)容，拓寬數(shù)據(jù)流動的地域范圍，帶動我國數(shù)字經(jīng)濟(jì)與相關(guān)行業(yè)持續(xù)發(fā)展。

（二）合理設(shè)置例外條款，平衡安全與發(fā)展的關(guān)系，推動數(shù)據(jù)跨境流動

《全球數(shù)字貿(mào)易與中國發(fā)展報告2021》顯示，我國數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，已晉升為全球十大數(shù)字貿(mào)易經(jīng)濟(jì)體，既是龐大數(shù)據(jù)的來源地，又是對外開展數(shù)字貿(mào)易和投資的大國。因此，我國應(yīng)當(dāng)把握安全紅線，密切關(guān)注數(shù)據(jù)安全問題，同時兼顧發(fā)展原則，服務(wù)于數(shù)據(jù)跨境自由流動的利益需求。即堅持在安全中發(fā)展的基礎(chǔ)上，設(shè)置二者兼之的例外條款。例外條款對于數(shù)字貿(mào)易自由與數(shù)字貿(mào)易監(jiān)管的平衡具有重大價值，但目前我國締結(jié)的自由貿(mào)易協(xié)定中極少涉及數(shù)據(jù)跨境流動及例外條款，對外簽訂的104個雙邊投資協(xié)定中關(guān)于例外條款的規(guī)定也存在內(nèi)容碎片化、規(guī)定單一等問題。①張倩雯：《數(shù)據(jù)跨境流動之國際投資協(xié)定例外條款的規(guī)制》，《法學(xué)》2021年第5期，第90—102頁。在推動自由貿(mào)易協(xié)定中數(shù)據(jù)跨境流動規(guī)則談判的基礎(chǔ)上，我國應(yīng)合理設(shè)置例外條款，平衡數(shù)據(jù)跨境流動中的安全和發(fā)展問題，并通過升級雙邊投資協(xié)定或簽訂議定書等方式補(bǔ)充例外條款，維護(hù)我國對數(shù)據(jù)跨境流動的合法規(guī)制權(quán)。

首先，在模式上，對于數(shù)據(jù)跨境流動相關(guān)條款的談判，可以結(jié)合較為寬泛的例外條款合理設(shè)置數(shù)據(jù)本地化和數(shù)據(jù)跨境流動規(guī)則，以數(shù)據(jù)跨境流動為原則，以限制流動為例外，采用“原則+例外”的立法模式將有利于我國發(fā)展的安全價值納入條款中，以維護(hù)公共利益與國家安全。其次，在內(nèi)容安排上，結(jié)合CPTPP的相關(guān)內(nèi)容，采取開放式列舉的方式規(guī)定數(shù)據(jù)跨境自由流動的例外適用情形，對可能危及我國根本安全利益、公共道德和公共秩序的數(shù)據(jù)跨境流動自由進(jìn)行合理的限制。為維護(hù)數(shù)據(jù)主權(quán)和貿(mào)易自由，我國應(yīng)合理設(shè)置自貿(mào)協(xié)定中的例外條款。我國自由貿(mào)易協(xié)定中的安全例外不宜采用CPTPP中過于模糊的條款規(guī)定，模糊性較強(qiáng)的安全例外有利于涵蓋更多數(shù)字貿(mào)易領(lǐng)域中的新問題，便于發(fā)展中國家對數(shù)據(jù)跨境流動的監(jiān)管。同時，條款的模糊性會加劇適用上的不確定性，造成條款的濫用。因此，我國需要充分考慮數(shù)字貿(mào)易的特點(diǎn)，在例外條款的設(shè)定中進(jìn)一步明確條款的適用標(biāo)準(zhǔn)。

（三）完善數(shù)據(jù)跨境流動立法，健全分級分類細(xì)則，明確安全評估標(biāo)準(zhǔn)

第一，健全和完善國內(nèi)相關(guān)規(guī)則體系，是有效對接高標(biāo)準(zhǔn)數(shù)據(jù)跨境流動規(guī)則的前提。只有完善數(shù)據(jù)權(quán)屬、數(shù)據(jù)出境安全評估、個人信息出境安全評估等系列配套規(guī)則，數(shù)據(jù)跨境流動才有法可依。在我國目前數(shù)據(jù)跨境流動規(guī)則的制定中，尤其重視國家安全問題，如《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第六條要求在境外上市的掌握100萬用戶以上個人信息的運(yùn)營者進(jìn)行安全審查申報，第十條明確了七項國家安全風(fēng)險的考量要素。安全風(fēng)險具有類型之分、高低之別，對于不同的風(fēng)險，應(yīng)采取不同的處理方式，例如，對于可能引發(fā)特定國家安全風(fēng)險的數(shù)據(jù)，應(yīng)嚴(yán)格限制其跨境流動；對于不易引發(fā)安全風(fēng)險的一般數(shù)據(jù)流動，應(yīng)在安全保障的前提下，秉持開放的態(tài)度，鼓勵數(shù)據(jù)的跨境流動，才符合CPTPP的要求。因此，需要在立法中進(jìn)一步明確數(shù)據(jù)跨境流動的保護(hù)原則以回應(yīng)發(fā)展需求，當(dāng)前數(shù)據(jù)本地化措施的原則更偏向于靜態(tài)規(guī)則設(shè)計，立法重點(diǎn)需要轉(zhuǎn)向“傳輸”這一動態(tài)過程，可以針對傳輸環(huán)節(jié)設(shè)置數(shù)據(jù)安全流動原則。

第二，在確保國家安全的前提下，中央可以明確賦予自由貿(mào)易試驗(yàn)區(qū)關(guān)于數(shù)據(jù)跨境流動地方立法的事權(quán)，自由貿(mào)易試驗(yàn)區(qū)可借鑒歐盟《通用數(shù)據(jù)保護(hù)條例》的“白名單”制度和充分保障措施，結(jié)合地區(qū)發(fā)展現(xiàn)實(shí)，研判市場國的形勢，在進(jìn)行具體評估和判斷的基礎(chǔ)上，采取有差別的數(shù)據(jù)安全保障措施，探索合理、行之有效的多種數(shù)據(jù)出境路徑。同時，自由貿(mào)易試驗(yàn)區(qū)可根據(jù)自身的具體實(shí)踐情況，制定更加明確的數(shù)據(jù)跨境流動規(guī)范，盡量避免“軟法”規(guī)則的采用，增強(qiáng)規(guī)則的可操作性和可執(zhí)行性。在國家層面關(guān)于數(shù)據(jù)分級分類管理規(guī)則、安全評估標(biāo)準(zhǔn)尚未出臺落地前，自由貿(mào)易試驗(yàn)區(qū)可以根據(jù)本區(qū)域的優(yōu)勢和特色，結(jié)合成熟的數(shù)據(jù)跨境業(yè)務(wù)場景和需求，提出相關(guān)試點(diǎn)方案，例如對于一般性商業(yè)數(shù)據(jù)等非敏感數(shù)據(jù)可考慮適用自評估、出境合同備案等方式管理，對于金融行業(yè)數(shù)據(jù)可遵循國際慣例或者行業(yè)專業(yè)化的跨境流動管理方式。②European Data Protection Board，Statement on the Court of Justice of the European Union Judgment in Case C-311/18-Data Protection Commissioner v Facebook Ireland and Maximillian Schrems，https：//edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en.

第三，規(guī)則可操作性的提升離不開數(shù)據(jù)分級分類規(guī)則的健全。數(shù)據(jù)安全法配套細(xì)則的推出過程中，應(yīng)進(jìn)一步明確“重要數(shù)據(jù)”的內(nèi)涵標(biāo)準(zhǔn)、認(rèn)定授權(quán)程序及其與“核心數(shù)據(jù)”的界限，明確數(shù)據(jù)分級分類保護(hù)、重要數(shù)據(jù)管理的具體要求，明確一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的判定條件，構(gòu)建數(shù)據(jù)安全監(jiān)管體系，明確中央、地方主管部門的職權(quán)范圍。對于個人信息的跨境流動，可以根據(jù)個人信息的敏感程度實(shí)施分層級保護(hù)，重視對個人隱私的保護(hù)。對于企業(yè)數(shù)據(jù)的保護(hù)，基于其與個人信息的重疊，需要在判斷數(shù)據(jù)權(quán)屬的基礎(chǔ)上調(diào)整保護(hù)程度，確保數(shù)據(jù)分級分類管理制度的有效實(shí)現(xiàn)。

最后，應(yīng)明確數(shù)據(jù)跨境流動安全評估的具體規(guī)則和流程，加快推動《個人信息和重要數(shù)據(jù)出境安全評估辦法》《個人信息出境安全評估辦法》等配套規(guī)則的出臺，確定評估主體，公布評估標(biāo)準(zhǔn)；可通過國家網(wǎng)信部門牽頭制定個人信息跨境傳輸?shù)臉?biāo)準(zhǔn)合同范本，以指導(dǎo)相關(guān)主體合理防范數(shù)據(jù)跨境傳輸中的風(fēng)險，范本內(nèi)容應(yīng)涵蓋數(shù)據(jù)提供者和接受者應(yīng)遵守的數(shù)據(jù)保護(hù)規(guī)定，要求境內(nèi)企業(yè)在存儲、處理、傳輸各環(huán)節(jié)確保數(shù)據(jù)安全，數(shù)據(jù)接收方采取必要措施防止數(shù)據(jù)出境后被濫用，要求適用我國法律并接受我國法院管轄以及設(shè)定救濟(jì)和責(zé)任條款。采用標(biāo)準(zhǔn)合同文本時，將合同文本、安全風(fēng)險分析報告、技術(shù)保障措施等相關(guān)材料提交給當(dāng)?shù)刂鞴懿块T登記備案即可，無需再要求安全評估。

（四）加強(qiáng)國際合作與協(xié)調(diào)，明確司法或執(zhí)法數(shù)據(jù)的跨境調(diào)取規(guī)則

基于數(shù)據(jù)的虛擬性和無邊界性，單邊措施難以解決數(shù)據(jù)跨境流動的管轄問題。尤其是數(shù)據(jù)跨境流動還涉及網(wǎng)絡(luò)空間治理、個人隱私保護(hù)等領(lǐng)域，因此國際監(jiān)管合作與協(xié)調(diào)必不可少。我國可以響應(yīng)CPTPP的要求，通過采用國際標(biāo)準(zhǔn)和推廣建議措施、達(dá)成數(shù)據(jù)共享諒解備忘錄和簽署司法或執(zhí)法互助條約等方式加強(qiáng)數(shù)據(jù)跨境流動的監(jiān)管合作，強(qiáng)化個人信息保護(hù)規(guī)則之間的兼容性，加強(qiáng)不同國家間的信息交換。

同時，在國內(nèi)規(guī)制中應(yīng)進(jìn)一步明確司法或執(zhí)法數(shù)據(jù)的跨境調(diào)取規(guī)則。如前所述，傳統(tǒng)司法協(xié)助在大數(shù)據(jù)時代背景下具有一定的局限性，執(zhí)法數(shù)據(jù)跨境調(diào)取程序繁雜，歐美等國通過設(shè)立“長臂管轄”規(guī)則來便利執(zhí)法數(shù)據(jù)的跨境調(diào)取。基于維護(hù)主權(quán)的立場，我國相關(guān)法律中納入了阻斷規(guī)則，原則上不允許境外機(jī)構(gòu)直接調(diào)取我國境內(nèi)數(shù)據(jù)。至于允許調(diào)取的情形以及具體的申請、審核、批準(zhǔn)等法律程序和時限，應(yīng)在配套規(guī)則中進(jìn)一步予以明確，同時也應(yīng)闡明數(shù)據(jù)出境安全評估與執(zhí)法數(shù)據(jù)跨境調(diào)取之間的關(guān)系。除“具體請求具體分析”之外，可結(jié)合反外國制裁法的規(guī)定對他國歧視性做法采取反制裁措施。對于個人信息保護(hù)法中限制或者禁止個人信息提供清單制度的具體組織實(shí)施、列入清單的相關(guān)程序、具體的限制措施等，建議由國家網(wǎng)信部門參照《不可靠實(shí)體清單規(guī)定》的做法，牽頭制訂相應(yīng)的配套規(guī)則，明確具體的適用程序和標(biāo)準(zhǔn)。此外，我國還可以借鑒歐美國家的做法，在堅持采用“防守”模式抵制他國“長臂管轄”的基礎(chǔ)上，采取“進(jìn)攻”態(tài)勢適當(dāng)擴(kuò)張管轄權(quán)，并適時在雙邊、多邊框架下推動司法協(xié)助條約的升級改造，以維護(hù)我國相關(guān)主體在境外的合法權(quán)益。①洪延青：《“法律戰(zhàn)”漩渦中的執(zhí)法跨境調(diào)取數(shù)據(jù)：以美國、歐盟和中國為例》，《環(huán)球法律評論》2021年第1期，第38—51頁。