RCEP爭端解決機制對數據跨境流動問題的適用與中國因應

趙海樂

一、引言

隨著全球數字經濟的蓬勃發展，與電子商務或數字貿易相關的自由貿易協定（Free Trade Agreement，FTA）談判也同樣飛速進行。在亞太地區，長期以來我國一直是區域數字貿易自由化規則制定的旁觀者，但從2015 年中韓與中澳FTA 開始，我國逐漸積極參與區域數字貿易規則制定。①參見李冬冬：《亞太地區數字貿易自由化路徑的演進、分歧與啟示》，《亞太經濟》2021年第4期，第23-32頁。需要說明的是，當前主流FTA文本中并不明確區分“數字經濟”與“電子商務”，以上述名稱為章節標題的條約文本并無本質差異。本文因而對此不另做區分。至今為止，我國參與的FTA 中，最為復雜的數字貿易規則當屬2020 年底締結的《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，RCEP）。其中不僅包括電子簽名、無紙化貿易等我國向來接受度較高的傳統電子商務條款，還包括線上個人信息保護、數據跨境傳輸、計算設施本地化等當前熱點議題。不過，值得一提的是，由于RCEP 締約方經濟發展水平差異過大，RCEP 規則體系不得不堅持開放與包容性，①參見田云華等：《RCEP 的開放規則體系評價：基于CPTPP 的進步與差距》，《國際貿易》2021年第6期，第65-72頁。以保證不同發展水平的締約方能就此議題達成一致，其中最典型的條款即為最不發達成員設定更長的過渡期。另一個體現RCEP 開放性的制度設計，則是其中的爭端解決機制。例如，RCEP第12章“電子商務”第17條第3款規定，“任何締約方不得就本章項下產生的任何事項”訴諸第十九章爭端解決程序，除非締約方對此明確同意。這意味著，因RCEP 電子商務章節產生的爭議，僅會在兩締約方均在事前或事后明確同意的情況下才能提交爭端解決程序；且締約方的同意，可能基于該章特定事項、特定條款而非該章整體。某一締約方甚至還可能僅僅同意與RCEP 特定相對方而非全體締約方開啟爭端解決程序。這因而引發了我國應思考的問題：我國未來是否應當承認RCEP 電子商務章節諸條款的可訴性？鑒于RCEP 電子商務章節內容頗為復雜，本文并不對此進行整體評述，而僅僅選擇核心條款之一——數據跨境流動條款進行研究。

本文的分析將始于對RCEP 第12 章第15 條的研究，剖析其對締約方數據跨境流動權利義務的設定；在此基礎上，分別結合我國國內立法與海外利益訴求，分析接受數據跨境流動條款可訴性將對我國國內法治造成的影響以及可能為我國海外利益帶來的助益；最后，基于以上分析為我國未來對RCEP 數據跨境流動條款的可訴性安排提出意見和建議。

二、RCEP數據跨境流動規則解析

（一）RCEP第12章第15條文本解讀

RCEP第12章第15條，是對數據跨境流動的規定。其條款如下：

“一、締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監管要求。

二、一締約方不得阻止涵蓋的人為進行商業行為而通過電子方式跨境傳輸信息。

三、本條的任何規定不得阻止一締約方采取或維持：

（一）任何與第二款不符但該締約方認為是其實現合法的公共政策目標所必要的措施，只要該措施不以構成任意或不合理的歧視或變相的貿易限制的方式適用；或者

（二）該締約方認為對保護其基本安全利益所必需的任何措施。其

他締約方不得對此類措施提出異議。”

第15 條第3 款第1 項中的“必要”與第2 項中的“必需”措辭雖有不同，但英文版表述均為“necessary”一詞。從這一意義上講，至少在RCEP 第12.15 條語境下，“必要”與“必需”應當不存在根本性區別。不過，條約文本僅僅在第3 款第1 項“必要”一詞后以腳注的形式強調，就本項而言，締約方確認實施此類合法公共政策的必要性應當由實施的締約方決定。第3 款第2 項“必需”一詞后則無此注釋。

上述條約文本中，最核心的義務性規定當屬第15 條第2 款，該款原則性禁止對數據跨境流動的限制。該條款并未明確“數據”的類型，因而既可能包括個人信息也可能包括非個人信息。此外，此處規制的數據跨境流動僅包括以“商業行為”為目的，政府或司法機關主導的數據跨境流動（如跨境取證）不受此條款規制。

不過，對數據跨境流動限制的原則性禁止，同時要受到第3 款中兩項例外的限制。在第一項公共政策例外中，援引例外一方實施的措施應當服務于“合法的公共政策目標”，但對于何為“公共政策目標”并未明示。鑒于第15條第1款載明，“締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監管要求”，這暗示著，監管措施盡管在國家間存在差異，但其完全可能均服務于合法的公共政策目標。此外，“公共政策例外”的另一個特征是其“自裁決”屬性。此例外措辭為，“締約方認為是其實現合法的公共政策目標所必要的措施”。“締約方認為”一詞，足以保證措施實施者有權決定涉案措施的必要性。不僅如此，此例外文本還通過腳注特別強調，“締約方確認實施此合法的公共政策的必要性應當由實施的締約方決定”。“實施的締約方”一詞進一步表明，某措施的施行者同時也屬于該措施必要性的最終判定者。與之形成鮮明對比的是，GATT第20條“一般例外”中就并未出現“締約方認為……”字樣。這也意味著，自裁決性是RCEP 第12 章第15條區別于GATT“一般例外”最明顯的特征。當然，RCEP 第12 章第15 條與GATT“一般例外”在設計上仍然存在相當的共性。締約方實施某項數據跨境流動限制措施，不得構成任意或不合理的歧視，或者變相的貿易限制。

與公共政策例外相比，基本安全例外的設計更加簡單。締約方認為是保護其基本安全利益所必需的措施，均可豁免RCEP 對數據跨境自由流動的要求。此處并未對措施是否應當以“非歧視”的方式施行、該措施是否構成對貿易變相限制進行額外要求，也并未像GATT 第21 條“安全例外”那樣，要求保護該締約方基本安全利益的措施必須與裂變材料、軍火貿易或緊急情況相關。不僅如此，基本安全例外條款還要求，“其他締約方不得對此類措施提出異議”。此處的“提出異議”對應的英文文本為“be disputed”。這意味著，“不得對此類措施提出異議”可能被解讀為“不得對此措施提起爭端解決之訴”。

（二）RCEP第12章第15條對成員方規制數據跨境流動權力的影響

從上述條款文本設計來看，不論是上述哪一款例外，較之于GATS或GATT一般例外、安全例外，RCEP均更加傾向于尊重、保護成員方規制數據跨境流動的權力。

1.RCEP第12章第15條基本安全例外對司法審查的排除

RCEP 第12 章第15 條中的基本安全例外，不論是較之于GATT 第21 條、GATS 第14 條，還是RCEP 第17 章中的“安全例外”，均更加寬松。RCEP 第17 章“一般條款和例外”第13 條“安全例外”適用于RCEP 整體，其自然也適用于RCEP第12 章。不過，鑒于RCEP 第12 章第15 條中的“基本安全例外”規則是專門適用于數據跨境流動的特別規則，根據“特別法優于一般法”的法理，RCEP 第12 章第15 條“基本安全例外”應當優先于RCEP 第17 章第13 條“安全例外”。WTO 判例表明，GATT“安全例外”可以提交司法審查，援引例外一方行為的合法性也因此可能被否決。而RCEP 第12 章第15 條中的基本安全例外，則以十分肯定的措辭完全排除了司法審查空間。此種狀況，即便在RCEP 當中也同樣是特例。RCEP的總體態度是嚴格限制締約方援引“安全例外”的政策空間。具體來講，RCEP 第17 章第13 條“安全例外”僅規定締約方有權采取“其認為對其保護其基本安全利益所必需的行動”，允許締約方對行為必需性進行自裁決。至少在措辭上，第17章第13 條并未強調不得依據此條款提起爭端解決之訴；同時其對“基本安全例外”的界定也相對嚴格，締約方必須證明其主張的基本安全利益屬于法定事項才可援引此例外。

2.RCEP第12章第15條公共政策例外排除了“必需性”審查

RCEP 第12 章第15 條公共政策例外的設計較之于GATT 一般例外更加寬松。這首先體現為對“公共政策”一詞的寬松界定。GATT“一般例外”中并無寬泛的“公共政策”例外，而僅僅包含公共道德、環境、健康等更加特定化的例外種類；GATS 第14 條例外雖允許成員方采取“為保護公共道德或維護公共秩序所必需”的措施，但是特別強調，此處的公共秩序例外僅能在“社會根本利益受到真正和足夠嚴重的威脅”時方可援用。①對于數據跨境流動是否符合公共政策、公共道德等特定種類例外的討論，參見張倩雯：《數據跨境流動之國際投資協定例外條款的規制》，《法學》2021年第5期，第90-102頁。對比而言，在RCEP 第12 章第15 條語境下，援引例外的一方證明其政策目標系服務于公共政策考量顯然更加容易。

不僅如此，不論是GATT還是GATS一般例外，均不允許締約方自行認定涉案措施是否服務于某一目標所必需，此問題必須經由司法程序裁定。在RCEP 第12章第15 條項下，援引例外一方無須證明其行為的必需性。這就意味著，對數據跨境流動進行限制的國家無須證明其限制措施為對貿易損害最小、且別無其他合理替代措施——此種對“必需性”的解讀，是從美國—博彩案到韓國—牛肉案以來一貫堅持的，且在GATT 與GATS 項下完全一致。①援引WTO 判例對RCEP 文本進行解讀之所以具有正當性，一方面是由于WTO 規則在國際經濟法領域具有“憲法”性地位，因而足以對FTA 解釋提供指引；另一方面是因為RCEP第19章第4條明確規定，“WTO 爭端解決機構通過的WTO 專家組報告和WTO 上訴機構報告中所作出的相關解釋”，在審理納入RCEP 的《WTO 協定》的條款相關爭議時應當進行考量。參見楊署東、謝卓君：《跨境數據流動貿易規制之例外條款：定位、范式與反思》，《重慶大學學報(社會科學版)》2021年第4期，第1-15頁。正如世界貿易組織（WTO）上訴機構在韓國—牛肉案中總結的，對于某項措施是否具有“必需性”，判斷標準的一端是“有助于”某政策目標的實施即可；另一端則是“實現某政策目標不可或缺”。而“必需性”判斷顯然與“不可或缺”標準更加接近。②See WTO, Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef,Appellate Body Report, WT/DS161/AB/R, para.161.一項措施如果是其他措施絕對不可替代的，則該項措施必然符合“必需性”標準；但如果仍然存在其他替代措施，則還需要在個案中運用比例原則繼續分析：這些措施對于實現上述目標的貢獻大小；所保護的共同利益與價值有多重要；涉案措施對于貿易的影響多大，進而決定究竟是否應當采用替代措施。③See WTO, Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef,Appellate Body Report, WT/DS161/AB/R, para.162.從GATT 到WTO，能夠成功突破“必需性”要件援引一般例外的例子并不多見。在絕大多數案件當中，爭端解決機構均認為存在同樣有效、且對貿易影響更小的替代措施。對此，唯一的例外，或許是歐共體—石棉案；而此案的特殊性恰恰在于，涉案措施為貿易禁令而非貿易限制措施。在該案當中，上訴機構認定，石棉的毒性人所共知，因而除禁止其使用之外再無其他措施可以保護人類健康。④See WTO, European Communities-Measures Affecting Asbestos and Products Containing Asbestos, Appellate Body Report, WT/DS135AB/R, para.172.

與“安全例外”類似，上述公共政策例外，在RCEP 文本中同樣具有特異性。RCEP 第17 章雖有第12 條“一般例外”，但該條款僅僅重申了GATT 第20 條例外與GATS第14條例外對RCEP的適用，而未對其要件進行任何修改。

與此同時，“歧視”與“變相限制”兩要件的存在，意味著締約方規制權仍要受到一定限制，以保證涉案措施不至于構成貿易保護。RCEP 第12 章第15 條與GATT 第20 條、GATS 第14 條類似，均要求涉案措施不得構成“任意或不合理的歧視”。這要求行為方涉案措施必須以國家間平等、產品間平等的方式加以實施。而此種平等，不僅僅包括法律上的平等，還包括事實上的平等——即相同法律在具體實施過程當中必須給予各方同等待遇。在WTO 判例中，曾將此種平等演繹為“平等進行談判的權利”。在美國—蝦案中，專家組認為，美國有義務善意、盡可能努力地與相關國家進行談判，以達成貿易限制措施之外的解決方案；而對于“善意”和“盡可能努力”的評判標準，則應當比照美國此前完成談判的中美洲國家所獲得的待遇進行。而且，談判過程必須考慮到各國實際情況，不得“一刀切”地以單一標準取代協商談判。①See WTO, United States-Import Prohibition of Certain Shrimp and Shrimp Products (Article 21.5), Panel Report, WT/DS58/RW, paras.5.67-5.74.除此之外，此種“任意或不合理的歧視”還可能產生于貿易措施過于模糊、行政機關裁量權過于寬泛的情形之下。在歐共體—海豹制品案中，上訴機構認為，此種過于寬泛的立法可能導致某些商業捕獵被劃歸“土著居民例外”，進而在商業捕獵行為之間造成歧視性待遇。②See WTO, European Communities-Measures Prohibiting the Importation and Marketing of Seal Products, Appellate Body Report, WT/DS400/AB/R, para.5.328.

除“任意或不合理的歧視”這一要件之外，“對貿易的變相限制”要件同樣會對締約方產生一定限制。盡管此標準的內涵與歧視要件存在一定重疊，當前通過WTO判例確立的法律標準，包括“涉案措施是否對外公布”“措施的實施過程是否存在任意或不合理的歧視”“措施是否具有保護主義目的”等要素。③對此的闡述與批評，參見Chang-Fa Lo, The Proper Interpretation of“Disguised Restriction on International Trade”under the WTO: The Need to Look at the Protective Effect, 4 Journal of International Dispute Settlement 111-137 (2013).

上述諸要件的設置如何對數據跨境流動產生影響，下文還將具體論述。但上文分析至少能夠闡明的是，RCEP 數據跨境流動條款通過對數據跨境自由流動的原則性規定和寬泛的例外設定，為締約方確立了對數據跨境流動進行規制的政策空間。此種政策空間能否有效維護我國數據流動國內法律規制的合法性空間、是否會對我國海外利益的維護產生負面影響，將共同決定我國是否應當承認RCEP數據跨境流動條款的可訴性。

三、我國數據流動規則在RCEP項下的合法性

（一）我國數據跨境流動法治現狀

目前，我國已形成了較為完善的數據跨境流動法律框架。我國法律在界定某些情形須進行數據出境審查的同時，原則上允許數據跨境流動。

首先，我國數據出境審查的一個重要方面，是對關鍵信息基礎設施境內運營數據出境的安全審查，這其中可能同時涉及個人信息、公共秩序與國家安全三方面利益的維護。例如，我國2017 年《網絡安全法》第37 條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。《網絡安全法》第31 條將關鍵信息基礎設施界定為“國家對公共通信和信息服務……重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”。這其中就同時包含了公共秩序要素與國家安全要素。而關鍵信息基礎設施引發安全評估的，又恰恰是個人信息出境，這不可避免地會涉及個人信息保護問題。2021 年《個人信息保護法》第40 條、《數據安全法》第31 條、《網絡安全審查辦法（修訂草案征求意見稿）》第2 條也均有類似規定。

其次，我國信息出境安全審查的又一重要方面，體現在《個人信息保護法》第40 條的規定：處理個人信息達到國家網信部門規定數量的個人信息處理者，其信息出境應通過國家網信部門組織的安全評估。此規定在《網絡安全審查辦法（修訂草案征求意見稿）》第6 條中，被細化為掌握超過100 萬用戶個人信息的運營者赴國外上市，須首先提交網絡安全審查。二者措辭雖有差異，但共性在于，均認可處理個人信息達到一定數量即可引發數據出境安全審查義務，而非特定數量個人信息實際出境時才需要提交安全審查。這無疑表明，我國法律對數據出境可能引發國家安全問題防患于未然，而非基于實際、確定的風險對數據出境進行限制。

再次，重要數據的跨境流動同樣會引發安全評估。2017年《網絡安全法》第37條規定，關鍵信息基礎設施的重要數據原則上應當境內存儲，其跨境傳輸應當通過安全評估；2021年《數據安全法》第31條也作出了類似規定。2021年《汽車數據安全管理若干規定（試行）》第11 條在強調重要數據出境安全評估義務的同時，對重要數據進行了定義。其中，既包括與個人信息保護相關的內容（如涉及個人信息主體超過10萬人的個人信息、人臉信息），也包括非法利用將危害國家安全或公共利益的數據，如車流物流數據等。

最后，對于不包含在上述任一情形之內的個人信息跨境傳輸，我國目前并未要求一概進行安全評估。根據我國2021 年《個人信息保護法》第38 條，個人信息出境僅在涉及關鍵信息基礎設施、處理個人信息達到某一數量的兩種情形下才需要通過安全評估；除此之外，“按照國家網信部門的規定經專業機構進行個人信息保護認證”、采納“國家網信部門制定的標準合同與境外接收方訂立合同”均可成為合法性來源。不過，后兩種情形需要履行向個人告知的義務并取得其單獨同意（第39 條）。這明顯有別于我國《個人信息出境安全評估辦法（征求意見稿）（2019年版）》原則上要求個人信息出境均應進行安全評估的嚴格態度。當然，該征求意見稿隨后并未獲得通過。這也側面證明，我國數據出境并不是有些學者所主張的“凡出必審”，①參見薛亦颯：《多層次數據出境體系構建與數據流動自由的實現——以實質性審查制變革為起點》，《西北民族大學學報（哲學社會科學版）》2020年第6期，第64-74頁。而是僅有少數幾種信息出境須以安全評估為前提。

（二）我國數據出境管理政策在RCEP第12章第15條項下的合法性

我國數據出境管理政策的合法性問題，從2017 年起就曾屢次在WTO 遭到美歐質疑。其中，最為詳細的一份質疑文件，是美國2017 年9 月26 日提交至WTO的《來自美國的通訊——中國與其〈網絡安全法〉相關的已采取和起草中的措施》。從文件名稱可知，美國此份質疑文件主要針對我國《網絡安全法》，且質疑內容不僅包括我國已采取的措施，還包括對我國未來可能采取措施的預判。①See The United States, Communication from the United States, Measures Adopted and under Development by China Relating to its Cybersecurity Law, S/C/W/374.美國表示，中國《網絡安全法》對于重要信息和個人信息出境的特別要求會嚴重影響數據跨境流動；經營者必須滿足嚴苛的條件才能將數據傳輸至境外，這對經營者而言負擔過重，數據控制者必須證明數據出境的必要性，而且個人信息出境還要獲得數據主體的單獨同意，這同樣為經營者施加了過重的負擔，且此措施本身無助于隱私保護。美國在此基礎上主張，除“安全評估”和“單獨同意”之外，中國可以采取其他足以實現隱私保護目標且使企業負擔更小的措施，例如，遵從跨境隱私保護規則（Cross-Border Privacy Rules，CBPR）、承認網絡運營者與第三方數據接收者之間的合同安排、進行第三方認證（third-party accreditation）等。除此之外，美國還主張，中國數據出境管理法律措辭過于空泛，例如，對于何種情形下會導致數據跨境傳輸危及國家安全、社會公共利益，未作詳細說明，這將導致涵蓋范圍過廣，進而構成對跨境數據流動的直接禁止。此后，美國與歐盟陸續于2018—2019年向WTO 提交類似文件，②See EU, Statement by the European Union to the Committee on Technical Barriers to Trade - 21 and 22 March 2018, G/TBT/W/509; The United States, Communication from the United States - Measures Adopted and under Development by China Relating to its Cybersecurity Law - Questions to China, S/C/W/378; EU, Committee on Technical Barriers to Trade - China - Cybersecurity Law - Statement by the European Union to the Committee on Technical Barriers to Trade - 14 and 15 November 2018, G/TBT/W/590;EU, China - Cybersecurity Law - Statement by the European Union to the Committee on Technical Barriers to Trade, 6 and 7 March 2019, G/TBT/W/637.截至目前，最后一份質疑文件發布于2019 年4 月。這些文件在重復上述內容的同時，還提出了關鍵信息基礎設施界定不清晰、《網絡安全法》內容須細化等問題。

美國與歐盟并非RCEP 締約方，但上述質疑的內容卻很可能在RCEP 數據跨境流動爭端解決程序中重現。美國上述質疑，很大程度上涵蓋了我國數據出境管理政策的合法性爭點。對我國數據跨境流動現行規則與上述質疑內容進行分析，有助于揭示我國數據出境管理政策未來可能面臨的合法性之爭。

1.我國數據出境安全評估符合RCEP第12章第15條“基本安全例外”

考慮到RCEP 第12 章第15 條“基本安全例外”的規定最為寬松，我國如能夠證明數據出境安全評估符合此項例外，則其他締約方可能難以對我國數據出境安全審查制度在爭端解決機制項下提出質疑。根據RCEP 第12 章第15 條，“基本安全例外”得以適用的條件，是涉案措施為該締約方認為保護其基本安全利益所必需的措施。雖然此條款的“自裁決”屬性意味著，我國無須證明上述數據出境安全審查措施具有“必需性”，但根據WTO 相關判例，我國仍須證明另外兩個要件：存在受保護的基本安全利益；涉案措施與保護基本安全利益之間存在關聯。

具體而言，根據RCEP 第19 章第4 條，“WTO 爭端解決機構通過的WTO 專家組報告和WTO 上訴機構報告中所作出的相關解釋”，在審理納入RCEP 的WTO協定條款相關爭議時應當進行考慮。盡管RCEP 第12 章第15 條中的“基本安全例外”與GATT第21條安全例外不完全相同，但至少“該締約方認為對保護其基本安全利益所必需的措施”這一表述，完整地從GATT 第21 條納入了RCEP 第12.15條。因此，以俄羅斯—過境措施案為代表的WTO 判例對GATT 第21 條進行的解釋，也能夠對RCEP 第12 章第15 條“基本安全例外”進行解釋與補充。在俄羅斯—過境措施案專家組報告中，專家組雖然承認“基本安全例外”的自裁決性，但同時認為，WTO 爭端解決機構仍然有權對“基本安全利益”是否存在以及涉案措施與基本安全利益是否存在關聯進行判斷。

對于何為基本安全利益，專家組在俄羅斯—過境措施案中認為，基本安全利益區別于一般性的“安全利益”，所指代的利益必然與國家典型職能緊密相關，即保護其領土和人民免受外來威脅；保護境內法治與公共秩序。專家組同時表明，雖然每個國家理論上都有權決定何為其基本安全利益且各國對此的界定必然存在區別，但是各國仍然需要依照《維也納條約法公約》第31 條中的“善意原則”進行定義。①See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, para.7.59.《維也納條約法公約》第31 條規定的“善意原則”要求各國不得適用“安全例外”以規避其在GATT 項下的義務，如將貿易利益包裝為基本安全利益。②See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, paras.7.130-7.133.上述分析意味著，雖然GATT第21條安全例外并未承認一國對何為“基本安全利益”擁有最終決定權，但WTO 爭端解決機構仍然充分尊重當事國的自行裁量。當事國理論上仍須對“基本安全利益”進行善意定義，但“善意”的程度僅為“不規避條約義務”即可。

對于涉案措施與基本安全利益的關聯，專家組同樣運用善意原則進行了分析，并認為涉案措施必須具有“服務于基本安全利益的最低限度的可行性”，即“并非全然無法服務于此目標”。①See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, para.7.138.此標準明顯低于“必需性”標準，即涉案措施并不需要是實現該基本安全利益不可或缺且對貿易損害最小的措施。

基于以上分析，我國數據出境安全評估完全可以符合上述兩項要求。從基本安全利益一詞的定義來看，我國關鍵信息基礎設施、達到一定數量的個人信息與重要數據出境，所服務的目標完全可以是狹義的國家安全。畢竟，關鍵信息基礎設施的定義即為“一旦數據泄露就可能嚴重危害國家安全、國計民生與公共利益”的重要網絡設施、信息系統，其與國家安全的關聯是毋庸置疑的，且至少不是“偽裝下的貿易利益”。即便某關鍵信息基礎設施更多地關聯“國計民生”“公共利益”而非“國家安全”，我國也可以援引上文國家安全定義的“保護境內法治與公共秩序”部分進行辯護。而個人信息、重要數據與國家安全的關聯，則是它們作為“情報”的價值。②參見李曉楠、宋陽：《國家安全視域下數據出境審查規則研究》，《情報雜志》2021 年第10期，第74-82頁。例如，“運滿滿”匯總的物流信息則可能反映我國物流基礎設施現狀。對這些信息進行出境審查，將有助于保護我國自然、人文地理信息不被他國情報機關獲取，因而具有重要的國家安全價值。

關于我國數據出境安全評估與“國家安全”這一目標之間的關聯，我國僅須證明數據出境安全評估并非完全無助于維護國家安全即可。鑒于韓國曾將地圖信息的本地化存儲作為維護國家安全的重要舉措，③參見人民網：《擔心威脅國家安全 韓國再拒谷歌地圖“輸出申請”》，http://world.people.com.cn/n1/2016/1120/c1002-28881646.html，2021年10月1日訪問。美國也曾在行政命令中認為應用程序可能造成個人身份信息和基因信息等敏感數據泄露、進而對美國數據隱私和國家安全構成風險④參見新華網：《拜登撤銷對TikTok 和微信等中國軟件禁令》，http://www.xinhuanet.com/world/2021-06/10/c_1127549552.htm，2021年10月1日訪問。，數據出境與國家安全的“最低限度的關聯”在國際上并不缺乏實踐基礎。

2.我國數據出境安全評估可能符合“公共政策例外”

即便RCEP 爭端解決機制將數據出境安全評估進行分解、將其中與公共利益和個人信息保護相關的管理措施與涉國家安全的管理措施區分對待，這些管理措施經進一步完善也很可能符合RCEP第12章第15條“公共政策例外”。

一方面，與公共利益相關的數據出境管理措施可以基于RCEP 第12.15 條“公共政策例外”的要求獲得合法性認定。該項例外允許締約方自行認定某項數據出境管理措施的必需性。因此，相對方不得以“數據出境管理會導致經營者負擔過重、且存在同樣服務于隱私保護但負擔更小的替代措施”為由，要求中國采取其他替代措施。不過，要符合“公共政策例外”，我國還須證明，涉案措施不構成任意或不合理的歧視、也不構成對國際貿易的變相限制。因為WTO 判例表明，如果一項法律文本過于空泛、導致行政機關具有過于寬泛的自由裁量權，這就可能導致個案中的不平等對待，進而構成任意或不合理的歧視；而且，我國數據出境管理措施也曾被美歐指責為“不夠清晰”。

目前來看，我國法律中“關鍵信息基礎設施”一詞可能過于空泛，①對此的質疑，參見歐盟2019 年在WTO 發表的聲明。See EU, China - Cybersecurity Law-Statement by the European Union to the Committee on Technical Barriers to Trade, 6 and 7 March 2019, G/TBT/W/637.但這一問題未來必然會得到補救。我國2021 年《關鍵信息基礎設施安全保護條例》列舉了能源、交通等一系列行業，規定這些行業的“重要網絡設施、信息系統”構成關鍵信息基礎設施；不僅如此，其中還規定“一旦遭到破壞、喪失功能、數據泄露就可能嚴重危害國家安全、國計民生、公共利益的其他重要網絡設施、信息系統”同樣屬于關鍵信息基礎設施，但數據控制者同樣無從預計其具體內容，也無法預知自己掌控的數據是否應當基于此條例進行出境審查。對此，該條例第8條至第10條作出了具體規定：重要行業和領域的主管部門、監督管理部門需組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。這意味著，運營者至少能夠清晰地獲知自身是否應當受到信息出境安全評估的約束。

另一個相對模糊的概念，則是“安全評估”的具體方式。這同樣是美歐在我國《網絡安全法》公布后提出質疑的內容之一。對此，我國目前已發布若干征求意見稿但尚未獲得通過。為保證安全評估清晰、公開、具有可操作性，此方面的立法工作無疑要加速進行。②參見曾磊：《數據跨境流動法律規制的現狀及其應對——以國際規則和我國〈數據安全法（草案）〉為視角》，《中國流通經濟》2021年第6期，第94-104頁。

另一方面，對于與國家安全、公共政策考量無關的、以個人信息保護為目標的信息出境限制，在RCEP 第12 章第15 條項下的合法性同樣能夠得到保證。根據我國2021 年《個人信息保護法》第38 條，個人信息出境如不涉及關鍵信息基礎設施且處理數量未達法定上限，則僅須獲得個人信息保護認證或適用標準合同即可。這兩種方式本身未必會為個人信息處理者施加過重負擔，至少美國2017 年、2018 年10 月向WTO 提交的兩份文本，都是承認上述兩種方式作為合理替代措施的價值的。此處真正應當討論的問題是，我國《個人信息保護法》第39 條規定的個人信息處理者在信息出境前要向個人履行告知義務并且取得其單獨同意，這是否符合RCEP第12章第15條公共政策例外？此問題同樣出現在美國2019年文件中。我們認為，上述“告知同意”規則公開、透明且并不區分個人信息處理者或個人信息接受者國籍、規模、所有制形態，因此，此規則顯然不構成“歧視”，更無所謂“任意”與否；同時此規則并非以公共政策為由掩蓋其貿易保護目的，因而，其同樣不會構成對國際貿易的變相限制。或許唯一難以證明的是“告知同意”規則是否為保護個人信息所必需。不過，由于“必需性”問題在RCEP 第12 章第15 條公共政策例外項下并不具有可訴性，因此，這很難對我國政策的合法性形成挑戰。

綜上，我國現行的數據出境管理體制，在其必需性免受質疑的情況下，可以在RCEP 第12 章第15 條項下獲得合法性認定。只不過，為滿足第12 章第15 條例外的具體要求，我國未來還須對數據出境安全評估的具體方式、標準合同條款的具體內容、個人信息保護認證的具體方式加以澄清與完善，以保證規則本身的公開與透明；在具體實施過程中，應盡量保證相同情形的國家獲得同等待遇。

四、RCEP第12章第15條可訴性對我國海外利益維護的意義

在確定RCEP 第12 章第15 條不會根本影響我國數據跨境流動合法性的基礎上，我國還須考量的是，此條款的可訴性，能否為我國企業海外利益的維護提供便利？換言之，我國與RCEP 其他締約方進行數字貿易可能遭遇的阻礙，究竟能否根據RCEP第12章第15條提起訴訟進而化解爭端？

對于這一問題的分析，將始于對RCEP 締約方數據跨境流動規制現狀的分析。首先，某些RCEP 締約方要求個人信息的跨境流動必須以目標國通過個人信息保護充分性為前提。例如，日本2017年《個人信息保護法》第24條規定，個人信息傳輸至第三國，如未獲得數據主體同意，則該第三國必須獲得日本個人信息保護委員會的“充分性認定”——確保該國個人信息保護水準與日本等同。此種“充分性認定”可構成數據從日本流動至中國的限制措施。①參見張曉磊：《日本跨境數據流動治理問題研究》，《日本學刊》2020 年第4 期，第85-108頁。又如，澳大利亞1988 年《隱私法》同樣要求，受到該法律約束的企業如要將個人信息轉移至澳大利亞境外，信息接收方要遵循的法律為個人信息提供的保護必須至少等同于或高于澳大利亞隱私原則的保護水平，該企業必須保證境外接收方能夠遵循澳大利亞隱私原則，且對接收方違反隱私原則的行為承擔責任。②See Office of the Australian Information Commissioner, Australian Privacy Principles Guidelines, Chapter 8: APP 8 — Cross-border Disclosure of Personal Information，https://www.oaic.gov.au/privacy/australian-privacy-principles-guidelines/chapter-8-app-8-cross-border-disclosure-of-personal-information/#when-does-an-app-entity-disclose-personal-information-ab ut-an-individual-to-an-overseas-recipient, visited on 13 October 2021.泰國《2019 年個人信息保護法》第28條也有類似規定。①See Thailand, Personal Data Protection Act, B.E. 2562 (2019), https://thainetizen.org/wp-content/uploads/2019/11/thailand-personal-data-protection-act-2019-en.pdf, visited on 13 October 2021.

其次，某些RCEP 締約方以國家安全為由拒絕特定信息出境，其中最為典型的就是韓國對于地理信息出境的限制。2016 年，韓國政府就曾以國家安全為由，拒絕谷歌地圖將韓國地圖數據帶出境外，谷歌地圖如需在韓國提供服務則必須將數據存儲于韓國境內。②參見人民網：《擔心威脅國家安全 韓國再拒谷歌地圖“輸出申請”》，http://world.people.com.cn/n1/2016/1120/c1002-28881646.html，2021年10月1日訪問。

再次，有的RCEP 締約方雖然實際上限制信息出境，但并未將國家安全作為合法性來源。例如，印度尼西亞于2019 年以行政命令的方式，要求“公共領域電子服務提供者”必須在印度尼西亞境內建立數據中心。這可能構成了變相的數據出境限制。③See Government Regulation of the Republic of Indonesia No.71 of 2019 (“GR 71/2019”) 10 October 2019. 對此的闡述參見US Department of State, 2020 Investment Climate Statements: Indonesia, https://www.state.gov/reports/2020-investment-climate-statements/indonesia/, visited on 13 October 2021.不過，考慮到“公共領域電子服務提供者”在該行政命令中被定義為“為政府機關提供電子服務的人”，因此，上述命令視政府機關種類不同或可視為分別服務于國家安全或公共政策考量。

綜上，對數據跨境流動的限制措施，在RCEP 締約方中并不罕見。盡管，這些國家未必存在類似于中國的“重要數據”概念，其規定的個人信息出境審查也未必是國家安全審查，而很可能是數據接收國的個人信息保護充分性審查。鑒于安全審查可以在RCEP 第12 章第15 條項下豁免司法審查，但公共政策例外則未必如此，因此，有必要探討的是，上述對于數據跨境流動的限制措施在RCEP 項下是否具有合法性？

結合上文對于RCEP 第12 章第15 條的分析可知，上述限制措施最有可能引發合法性質疑的，當屬對數據接收國個人信息保護“充分性”問題的審查。此種“充分性”審查并不是RCEP 締約方所首創，歐盟此前早已開展過類似實踐，學界早已對此在WTO與FTA項下展開合法性討論。

個人信息保護充分性審查可能引發的第一個問題是，審查機關是否給予了對方國家或企業充分的機會參與認定。有學者曾在對歐盟實踐研究后表示，一旦歐盟在隱私盾協議項下認可了美國個人信息保護與歐盟實質相同，則歐盟有義務至少給予其他國家同等機會與歐盟進行談判、或由歐盟進行評估，以達成類似的安排。否則，將違反GATT第20條中對于“任意或不合理歧視”的要求。此種義務可以類比為美國在海蝦—海龜案中的善意談判義務。①See Aaditya Mattoo & Joshua P Meltzer, International Data Flows and Privacy:The Conflict and Its Resolution, 21 Journal of International Economic Law 769-789 (2018).

個人信息保護充分性審查的第二個問題是，“充分性”審查必須遵循非歧視原則，對于同等情況的國家應當給予同等對待，以免造成任意或不合理的歧視。此處的“同等情況”并不代表兩國必須完全相同才能獲得同等待遇，而是就某公共政策目標而言條件相同。例如，在美國—蝦案中，美國希望達成的公共政策目標是保護海龜，因此，“捕蝦海域中沒有海龜生活”的國家就屬于同等情況下的國家，其待遇必須一致；又如，在歐共體—海豹案中，涉案公共政策目標為保護海豹，因此，“土著居民能夠將狩獵海豹商業化”的國家和地區（如格陵蘭）與“土著居民無法將狩獵海豹商業化”的國家（如加拿大）對歐盟而言就應當屬于不同類國家，此時給予二者相同待遇反而會構成歧視。②See Emily Lydgate, Do the Same Conditions Ever Prevail? Globalizing National Regulation for International Trade, 50 Journal of World Trade 971-995 (2016).這意味著，對他國個人信息保護充分性審查需實現的政策目標為個人信息保護，因此，對第三國的審查也僅應當包括這一內容，不得基于國際關系、國家經濟互補性等原因給予某些國家更加寬松的待遇。③See S. Yakovleva & K. Irion, The Best of Both Worlds? Free Trade in Services,and EU Law on Privacy and Data Protection, 2 European Data Protection Law Review 191-208 (2016).在此問題上，歐盟已經招致了一定批評。例如，有學者對歐盟給予新西蘭的個人信息保護充分性認定進行分析后指出，歐盟的認定結果過于“務實”（pragmatic），過多關注于給予新西蘭“充分性”認定能夠對雙邊貿易產生何種影響。因此，即便新西蘭具有透明度不高、缺乏數據跨境流動基本原則、對數據主體“選擇退出”權利規定不足等問題，歐盟仍然對此一筆帶過。但是在歐盟對澳大利亞的個人信息保護充分性評估當中，歐盟則明顯更為嚴格。此種行為無疑是對澳大利亞的歧視。④See Anna Donovan，The Adequacy Requirement: Selectively Flexible or Unjustifiable Discrimination? A Critical Analysis from an Australian Perspective，Master Thesis，University of Oslo, 2013.

歐盟固然不是RCEP締約方，但歐盟實踐與國際法學界對此的批評足以為我國面對他國“充分性審查”提供參照。在RCEP 第12 章第15 條項下，由于“公共政策例外”的存在，我國固然無法質疑他國的個人信息保護充分性審查是否必需，但我國完全可以關注此種審查在具體實施中是否對我國國家或企業造成了歧視。目前，RCEP 締約方中，有據可查的僅有馬來西亞推出了個人信息保護充分性認定“白名單”，⑤See Malaysian Personal Data Protection Commissioner,Public Consultation Paper(PCP)No. 1/2017，http://www.pdp.gov.my/jpdpv2//en/pengumuman/871-public-consultation-paper-no-1-2017, visited on 13 October 2021.且中國已在名單中。澳大利亞、日本等國雖有類似制度，但“充分性認定”開展得極其有限，且未作出對中國的歧視性認定。因此，目前尚無法對此進行實證研究。不過，基于國際法學界對于歐盟“充分性認定”的批判，未來我國一旦與他國達成了RCEP 第12 章第15 條可訴性安排，且該國要對我國進行“充分性審查”，則我國至少可以主張：該國應當給予我國不低于第三國的程序性權利；對我國個人信息保護法律體系的評估應當基于公開、透明的標準進行；對我國個人信息保護水準的要求可以將評估國自身作為參照系但不得超出評估國自身的水平；評估內容應當僅關注個人信息保護問題，尤其不得摻雜貿易利益、經濟發展水平因素，更不得基于雙方經濟競爭性或互補性之差異而對我國提出更高要求。

除此之外，另一個可能影響我國海外利益的問題，是他國出于公共利益考量而施加的數據跨境流動限制措施。對于此類措施，由于并未區分電子服務提供者的國籍、數據傳輸目的地等，因此，在無法對其“必需性”進行質疑的情況下，以“歧視”或“變相限制”為由質疑其合法性并不容易。不過，對我國企業而言，此種強制性的數據本地化政策的合法性同樣未必需要質疑。這是因為，目前我國互聯網企業的國際競爭力較之于谷歌、亞馬遜等稍顯落后，但諸如阿里巴巴、騰訊、字節跳動等中國企業，在云存儲、數字金融、社交領域仍然占有重要地位。①參見李冬冬：《亞太地區數字貿易自由化路徑的演進、分歧與啟示》，《亞太經濟》2021年第4期，第23-32頁。不過，這些企業當前的經營策略卻未必在于以中國為數據中心，反而更加傾向于更徹底的國際化經營。以字節跳動為例，近年來陸續有新聞表示其在新加坡投資建設數據中心、在美國租用數據中心，且此前曾有消息表明其擬在印度建設數據中心。如抖音/Tiktok、微信國內版與國際版等業務的分離也正在進行中。此種基于不同經營策略的“入鄉隨俗”，恰恰是谷歌、亞馬遜等美國互聯網巨頭未必愿意進行的。在這一進程當中，我國企業的海外利益未必在于數據自由輸出，反而在于尋求非歧視待遇，以避免承受較之于他國企業更高的負擔。從這一角度來講，即便我國無法就數據本地化措施的必要性提起爭端解決之訴，以“非歧視”為由，為我國企業進入他國數字市場創造公平環境同樣有其實際意義。

五、結語

從我國對數據跨境流動的限制措施來看，現行措施多出于真實的國家安全目的，與關鍵信息基礎設施、重要數據、“大數據”個人信息以外的商業數據并未納入國家安全考量。即便RCEP 第12 章第15 條“基本安全利益”例外仍具有可訴性，上述考量也仍然會滿足對國家安全的定義。對于基于個人信息保護目標的數據跨境流動限制，不論是“數據主體同意”“標準合同條款”，還是“第三方認證”，只要其以公開、透明、非歧視的方式實施，且具體實施方式有法可依，規則明確，就能夠滿足“公共政策例外”的要求。并且，以上要求同樣是我國依法行政的題中之意，未來對此的細化符合我國國家利益。

另一方面，從我國應對他國跨境數據流動限制措施來看，在他國將此種限制措施“非安全化”的情況下，承認RCEP第12章第15條可訴性，有助于在兩個方面維護我國企業海外利益：第一，在設置數據接收國個人信息保護充分性評估制度的國家，可訴性有助于我國企業避免制度性歧視。如他國對我國個人信息保護充分性拒絕給予評估或評估標準過于苛刻，我國政府可以根據美國—蝦案確立的法理對此提出質疑，要求得到公平對待；此訴訟未必意在要求裁定違法，也可以“以斗爭求和平”，以此推動雙邊談判，促進與鄰國的個人信息保護充分性互認。①參見牛哲莉：《個人數據跨境流動——中日韓合作規制進路探析》，《山東科技大學學報(社會科學版)》2021年第4期，第55-63頁。第二，他國跨境數據流動限制措施的公平性問題。我國充分尊重他國數據主權、無意于效法美國干預他國個人信息保護等國內立法的具體實施方式。我國企業的海外投資也愿意遵循東道國法律，在當地設立數據中心。②參見張渝：《數據本地化措施興起下國際投資保護規則的適用困境及其紓解》，《武大國際法評論》2021年第4期，第139-157頁。然而，一旦當地法律以歧視性方式對我國企業實施，則RCEP第12章第15條同樣有助于維護企業正當權利。

綜上，鑒于承認RCEP 第12 章第15 條并不必然損害我國規制權，因此，如時機成熟，我國可以在RCEP 項下宣稱愿意接受該條款相關問題的可訴性。此種態度將有助于我國展示大國擔當，在區域內促進數據跨境流動，進而促進我國在數字經濟領域的中長期利益。③參見王中美：《跨境數據流動的全球治理框架:分歧與妥協》，《國際經貿探索》2021年第4期，第98-112頁。當然，為保障我國當前數據跨境流動法治體系能夠完全符合RCEP 第12 章第15 條中的例外條款，我國仍須進一步細化當前法律，例如，對關鍵信息基礎設施、重要數據等概念進一步明晰，盡量使用清單方式而非交由行政機關自由裁量。④參見馬其家、李曉楠：《國際數字貿易背景下數據跨境流動監管規則研究》，《國際貿易》2021年第3期，第74-81頁。對于安全評估如何進行、考量因素的具體內容等，也同樣有待進一步明確。

我國對RCEP 第12 章第15 條可訴性的承認，應當以進一步雙邊談判為基礎、以對等為條件，不宜以單方面報價的方式率先作出。我國并不是國際關系意義上的霸權國，也無意愿為維護區域穩定而率先提供公共產品以換取他國對合作的信心。博弈論同樣表明，只有在主從博弈當中，處于領導者一方才能從先手行動當中獲益。我國在國際合作中向來倡導人類命運共同體理念，在追求本國利益時兼顧他國合理關切。因此，我國即便有能力率先承諾實現數據跨境流動問題的法治化，也同樣應當以國家利益為先，爭取以此承諾換取他國對等安排。例如，我國完全可以與一個或多個RCEP 締約方展開數據跨境流動談判，并以雙邊可訴性安排彰顯我國履行承諾的誠意。而且，如果能夠在幾國間達成數據跨境流動充分性互認機制則更好。數據跨境流動的國際法問題仍處于發展之中，如果我國擔心目前的可訴性承諾會掣肘未來的政策空間，則我國可以對可訴性問題進行限制性安排，例如，使用正面清單的方式列舉數據跨境流動中的部分問題可提交國家間爭端解決程序。此種安排在雙邊投資協定項下并不少見。再如，我國如認為某些措施與國計民生密切相關、不愿其合法性遭到任何形式的審查，也可效法《美墨加協定》第十九章“數字貿易”中的“祖父條款”安排，明示某些法律或措施是符合例外措施的條款。①See United States-Mexico-Canada Agreement, Annex 19-A, Article 4.