CPTPP數字貿易規則：制度博弈、規范差異與中國因應

孫南翔

當前，中國、美國、歐盟等以數字貿易為方向，不斷深化區域層面的經貿合作。但是，由于互聯網經貿治理機制碎片化、主要大國立場分歧難以消弭和互聯網經貿單邊主義抬頭，使數字貿易規則的國際化面臨挑戰。習近平主席在第四屆中國國際進口博覽會開幕式發表主旨演講時指出：“中國將以積極開放態度參與數字經濟、貿易和環境、產業補貼、國有企業等議題談判。”①習近平.讓開放的春風溫暖世界——在第四屆中國國際進口博覽會開幕式上的主旨演講［N］.人民日報，2021-11-05（02）.2021年9月，中國政府正式提出申請加入《全面與進步跨太平洋伙伴關系協定》（以下簡稱CPTPP），其中，數字貿易規則成為中國加入CPTPP的難點議題，特別是CPTPP數字貿易規則在數據跨境流動、計算設施本地化、源代碼規則、數據內容流動等方面與我國相關法律制度存在不一致性。為此，本文擬從數字貿易領域國際規則的發展演進為出發點，深入剖析中國接受CPTPP數字貿易規則的難點和重點問題，并探索數字貿易國際規則在我國的可適用性及可行的方法與路徑。

一、數字貿易國際規則制定中的美歐博弈

數字貿易是當前國際貿易領域最具潛力的新興貿易形式②朱福林.中國數字服務貿易高質量發展的制約因素和推進路徑［J］.學術論壇，2021（3）：113-123.。在國際規則層面，目前，美國和歐盟已建立起規則范本，但二者存在一些理念性的分歧，而規則博弈的背后反映出二者的經濟利益之爭。

（一）美式數字貿易規則范本：以維護互聯網企業利益為導向

近年來，美國在國際社會中不斷推出數字貿易規則，其中以CPTPP、《美國—墨西哥—加拿大協定》（以下簡稱《美墨加協定》）、《美日數字貿易協定》等為主要表現。CPTPP數字貿易規則的主要內容包括限權性規則和賦權性規則。限權性規則要求締約方的行為不對數字貿易活動造成不必要的貿易障礙，例如在“電子商務”章節中，其要求締約方確保全球信息和數據的自由流動，承諾不施加對當地數據處理中心的限制，并且要求軟件源代碼不應被轉讓或評估。同時，CPTPP還直接規定締約方不應對電子傳輸征收稅收，不通過歧視性或徹底屏蔽的措施支持國內生產者或服務者。賦權性規則要求締約方建立適用于網絡空間的消費者保護制度、個人信息保護制度等。例如，CPTPP第14.7條規定，締約方應制定或維持消費者保護法，禁止對參與線上商業活動的消費者造成損害或潛在損害的商業欺騙和欺詐行為。

2018年，美國、加拿大和墨西哥達成《美墨加協定》。《美墨加協定》的創新點之一在于，首次以專章提出“數字貿易”議題取代了傳統美式自由貿易協定中的“電子商務”章節。《美墨加協定》第19章“數字貿易”適用于締約方通過或維持的、以電子手段影響貿易的措施。本質上，《美墨加協定》延續了CPTPP的基本框架，如規定對數字產品非歧視待遇、避免對電子交易造成不必要的監管負擔、不對數據處理中心和源代碼進行貿易限制，以及保護消費者合法利益等規定①雖然美國未簽署《全面與進步跨太平洋伙伴關系協定》，但是作為《跨太平洋伙伴關系協定》（以下簡稱TPP）的起草者，美國在TPP基本框架和內容的制定上產生重要影響。。

作為全球矚目的最新經貿協定文本，《美墨加協定》與CPTPP等經貿協定不同，其“數字貿易”章節具有一些新特征。第一，在適用范圍上，《美墨加協定》增加了關于算法、信息內容服務提供商、交互式計算機服務、政府數據等新內容，使得《美墨加協定》從電子商務規則發展為數字貿易規則。例如，其第19.12條規定：“任何一方不得要求被涵蓋的人②“涵蓋的人”是指本協議項下的人。下文同，筆者注。使用或位于該地區的計算機設備，并以此作為在該領域開展業務的條件。”新的規則內容使得數字貿易國際規則體系更加完善和系統。第二，在權利范圍上，《美墨加協定》在消費者權利和個人信息保護層面強化締約方共識。除了透明度要求，《美墨加協定》第19.8條直接規定了締約方建立個人信息保護法律框架的指導原則，這些原則包括“限制收集原則、自由選擇數據質量、目的規范匹配、使用限制、安全保障、透明化、個人參與和可問責性”，要求各締約方應確保遵守保護個人信息的措施，確保對個人信息跨界流動的任何限制都是必要的，并與所面臨的風險相稱。該協定還涉及大量區域性合作標準與合作機制，以此推廣美式經驗。第三，在整體目標上，《美墨加協定》旨在弱化國家對數字貿易的監管能力。與CPTPP相比，《美墨加協定》刪除了相應條款中的國家監管能力規定。例如，在運算設備條款中，《美墨加協定》刪除了“每一締約方可就運算設備使用制定自己的監管要求”以及“不阻止在商業談判合同中包含或實施與提供源代碼相關的條款”等規定。

除了CPTPP和《美墨加協定》，美式數字貿易規則范本還體現在《美日數字貿易協定》中。該協定擴充了美國對數字貿易規則的實質性要求，規定電子傳輸商品免稅政策、電子產品非歧視待遇、禁止對電子信息跨境流動進行限制，并建立消費者保護、個人信息保護等制度框架。該協定指出，任何締約方不應將計算設備本地化作為從事本地商業活動的前提③金融監管是計算設備本地化條款的例外情形，即必須確保金融監管機構為監管目的能迅速完整地獲取金融服務數據，若無法確保金融監管機構擁有此權力，可要求金融服務提供者必須使用本地計算設備。，并且不得將轉讓、獲取源代碼或加密密碼作為軟件或產品在本地進口、分銷、銷售或使用的條件④該義務并不排除監管機構或司法機關基于特定檢查、檢驗、調查、執行或訴訟程序等目的，要求當事方保存或利用軟件源代碼及加密密碼；該保存和利用應保障未經授權不對源代碼及加密密碼進行披露，見《美日數字貿易協定》第17.2條。。除此之外，該協定進一步規定了互動型計算機服務（interactive computer services）的規范框架，即任何締約方在認定基于信息儲存、處理、傳輸、分銷或利用而產生的損害責任時，不應將互動型計算機服務視為信息內容提供者，除非提供者或使用者部分或全部地創造或補充此信息。在解決網絡安全時，該協定規定，當事方認識到以風險為基礎的路徑更能夠解決網絡安全，而非預先性的規制路徑（prescriptive regulation）①USTR. U.S.-Japan Digital Trade Agreement Text［EB/OL］.（2020-11-20）［2022-02-10］. https：//ustr.gov/countries-regions/japankorea-apec/japan/us-japan-trade-agreement-negotiations/us-japan-digital-trade-agreement-text.。由此可見，CPTPP奠定了美國數字貿易規則的范本，《美墨加協定》《美日數字貿易協定》基本沿襲了CPTPP的基礎架構，并進一步強調美國互聯網企業的核心利益。例如，要求承認計算機服務的避風港原則以及對各國網絡安全的集體應對機制作出協調安排。

除了在雙邊層面推動數字貿易，美國還通過單邊發布貿易報告，督促其他國家減少對數字貿易活動的干涉。例如，2020年《美國國家貿易評估》報告認為存在以下數字貿易壁壘。第一，對數據跨境流動和數據本地化儲存的要求。美國指出，印度2019年隱私法修改草案將使得行政機構能夠不當獲得數據，這將引發對隱私權保護及商事主體知識產權保護等問題的關注。除此之外，印度尼西亞、肯尼亞、韓國、尼日利亞、俄羅斯等國家的數據跨境流動和數據本地化儲存規則也被美國該報告批評。第二，針對網絡服務的限制。美國認為，越南要求廣告商與本地服務提供者簽署合同，作為外國網站投放越南廣告的前提條件的規定使得商業主體增加了不必要的成本。第三，針對數字產品征稅。2019年，法國通過數字服務稅法案，美國貿易代表依據1974年《美國貿易法》第301節對法國數字服務稅進行調查，并認定法國數字服務稅對美國商業造成不合理的或歧視性的負擔與限制②USTR. Fact sheet on the 2020 national trade estimate： strong， binding rules to advance digital trade［EB/OL］.（2020-12-20）［2022-02-10］.https：//ustr.gov/about-us/policy-offices/press-office/fact-sheets/2020/march/fact-sheet-2020-national-trade-estimatestrong-binding-rules-advance-digital-trade.。毫無疑問，美國從單邊和雙邊等多種渠道，推動數字貿易的自由化及國際規則的協調化進程，這本身體現出美國互聯網企業強烈的利益偏好。

（二）歐式數字貿易規則范本：以價值觀與技術自主為特征

2019年，歐盟與越南簽署了《歐盟—越南自由貿易協定》和《歐盟—越南投資保護協定》，成為歐盟近年來最為重要的自由貿易協定新范本。《歐盟—越南自由貿易協定》的數字貿易規則制定于“投資自由化、服務貿易和電子商務”章節中，其規定締約方不對電子傳輸征收關稅。在該協定中，歐盟使用了大量的合作性或協調型條款，例如，其要求締約方維持解決電子簽名認證、中間服務提供者責任、非授權性電子商業通信規則、消費者保護等議題的對話機制③European Commission.EU-Vietnam trade and investment agreements［EB/OL］.（2020-12-12）［2021-12-10］. https：//trade.ec.europa.eu/doclib/press/index.cfm？id=1437.。實際上，《歐盟—越南自由貿易協定》服務貿易部分還包括“計算機服務”內容。由此，歐盟拓展了數字貿易規則的適用空間，特別是拓展到服務、投資和自然人流動等領域。

在國際或雙邊層面，歐盟試圖建立起協調機制和對話機制，解決數字貿易中的規則分歧與規制差異。近年來，歐盟對網絡和安全的自主意識和話語權意識逐漸增強。例如，2020年，歐盟發布了歐洲數字化社會、人工智能和數據戰略等倡議，體系性地提出了“技術主權”概念，即歐洲必須有能力依照其價值觀，以符合法治的方式，作出自主選擇。歐盟對技術主權的重點領域包括云計算、支付系統、人工智能以及網絡安全等。

隨著歐洲“技術主權”“網絡安全”意識的抬頭，跨大西洋的數字貿易合作領域出現了波折，主要體現在三個方面。

第一，美國和歐盟國家之間爆發針對數字稅的貿易摩擦。法國政府指出，現有的企業稅規則跟不上數字經濟發展的實踐，法國此舉的目的在于促使全球數字經濟稅制改革。根據法國規定，數字稅主要針對三類數字服務商——定向網絡廣告商、以廣告為目的的用戶數據銷售商和網絡中介平臺。該法的核心是對網站服務提供者的數字廣告以及跨境數據流動的交易行為征稅。但是，在實踐中，法國只面向全球年營業收入超過7.5億歐元且來源于法國境內年營業收入超過2500萬歐元的互聯網企業征收數字稅。根據現有的標準，法國數字稅的征稅對象大約有30家企業，主要來自美國、中國和英國。其中，受法國數字稅影響最大的企業為谷歌、蘋果、臉書和亞馬遜等互聯網巨頭。因此，法國數字稅又被稱為“GAFA法”。自法國探索數字稅立法以來，美國表示堅決反對，美國貿易代表辦公室隨后啟動對法國數字稅的301調查，并認定法國不公正地對待美國企業。

第二，美國和歐盟之間的個人數據跨境流動標準分歧難以彌合。長期以來，歐盟堅持向國際社會推廣《歐盟通用數據保護條例》中設定的個人數據保護標準，美國則認為應以《亞太經合組織隱私框架》作為個人信息保護的國際指南。由于歐盟標準遠高于《亞太經合組織隱私框架》，美國和歐盟在數據跨境流動標準層面難以達成共同意見①徐程錦.WTO電子商務規則談判與中國的應對方案［J］.國際經濟評論，2020（3）：29-57.。2020年7月，歐盟法院判決指出，歐盟與美國達成的用于傳輸個人數據的《美歐隱私盾協議》（Privacy Shield）無效，因為美國在缺乏嚴格的、必要的基礎條件時仍可獲得個人數據。歐盟法院還指出，《美歐隱私盾協議》無法保證非美國公民不成為美國情報機構的調查目標，并且協議沒有賦予這些主體對抗美國政府和尋求司法救助的權利②See Court of Justice of the European Union， Data Protection Commissioner v Facebook Ireland and Maximillian Schrems， Judgment in Case C-311/18， Luxembourg， 16 July 2020.。

第三，在互聯網語境下，美式和歐式經貿協定適用于數字貿易活動的例外規則有所變化。以歐盟與加拿大起草的《全面經濟和貿易協定》為例③Consolidated CETA Text［EB/OL］.（2014-09-26）［2022-02-10］. http：//trade.ec.europa.eu/doclib/docs/2014/september/tradoc_152806.pdf.，其中的安全例外規則“維持和維護國際和平與安全的國際義務”并未與《聯合國憲章》相聯系④GATT1994第21（c）規定：“本協定的任何規定不得解釋為：阻止任何締約方為履行其在《聯合國憲章》項下的維護國際和平與安全的義務而采取的任何行動。”，而是籠統地規定“本協定不阻止為實現國際和平和安全目的國際義務，締約方采取其認為對保護必要安全利益必要的行為”。換言之，與《1994年關稅與貿易總協定》相比，新近締結的雙邊貿易協定拓展了對“國際和平和安全”的理解，使其可適用于網絡空間的和平與安全議題。

由此，歐盟逐漸探索并形成符合其自身利益訴求的數字貿易規則文本，其利益訴求不僅體現為彰顯獨立的歐式價值觀，還體現出限制美國互聯網企業在歐洲發展與滲透的動機。

二、數字經濟國際規則的發展動向

（一）數字貿易國際規則與差序化發展

由于數字貿易議題廣泛，國際社會存在多種形式的治理機制，包括但不限于多邊合作、區域合作、跨國與跨政府合作等模式⑤全球經濟治理也包括“公民社會”的管理方式，見基歐漢，奈.權力與相互依賴［M］.門洪華，譯.4版.北京：北京大學出版社，2012：287.。WTO、經濟合作與發展組織、八國集團、二十國集團等規定了多邊層面上的數字貿易規則；雙邊經貿協定在不同程度上制定了針對數字貿易、電子商務、電信服務等規則；各國也積極通過國內立法的方式對數字貿易活動進行規制⑥例如，《OECD保護隱私與私人數據跨界傳輸準則》《歐盟通用數據保護條例》等。。除此之外，在國際社會上，聯合國貿易法委員會、海牙國際私法協會等發布以《聯合國電子商務示范法》為代表的國際性“軟法”文件。

然而，全球數字貿易談判平臺的多樣性，導致了全球治理機制的碎片化。一方面，在WTO機制下，各成員方已經分化為不同的陣營。2019年，中國、澳大利亞、日本、美國、歐盟、俄羅斯等76個世貿組織成員簽署《關于電子商務的聯合聲明》，強調各方啟動WTO電子商務談判與致力于實現高水平的電子商務規則的愿望，并將充分考慮WTO成員在電子商務領域面臨的獨特機遇和挑戰①World Trade Organization. Joint Statement on Electronic Commerce［EB/OL］.（2019-01-25）［2022-02-10］. https：//teade.ec.europa.eu/doclib/docs/2019/january/tradoc_157643.pdf.。與此同時，仍有一半以上的WTO成員未對電子商務議題談判進行正式表態。在改革WTO的過程中，由于議題談判關注點和潛在收益的差異，數字貿易規則在WTO協定的談判必將是漫長且艱難的過程。另一方面，美國持續破壞WTO機制。作為解決國際經貿議題的唯一多邊機制，WTO正面臨嚴峻挑戰。通過阻礙WTO上訴機構成員遴選，頻繁使用國家安全例外以及鼓吹所謂的“中國例外論”，美國正一步步破壞WTO機制的正常運轉。雖然歐盟、加拿大等成員對美國破壞多邊貿易體系的做法表示反感，但至今尚未找到解決方法②孫南翔.美國經貿單邊主義：形式、動因與法律應對［J］.環球法律評論，2019（1）：179-192.。在此背景下，諸如《區域全面經濟伙伴關系協定》（以下簡稱RCEP）、CPTPP、《美墨加協定》等大型區域貿易協定應運而生。由于覆蓋面廣且參與方為網絡大國，大型區域貿易協定實質上可能削弱WTO在全球經貿規制的獨特作用與功能。某種程度上，雖然互聯網被視為全球公共產品，但近期數字貿易國際規則正體現出區域化、碎片化和差序化的特點。

（二）數字貿易國際規則與網絡安全競爭

中國和美國同屬世界網絡大國和強國，以二者為代表，目前主要網絡大國對數字貿易國際規則仍存在短期難以消弭的分歧。具體而言，在數據貿易規則層面，美國是數字貿易自由的推動者，而我國以網絡主權和數據主權為基礎，強調國家對數字貿易活動的合法規制權。我國法律要求特定類型的數據存儲應滿足本地化要求。例如，美國蘋果公司的iCloud為進入中國市場，在貴州設立數據中心，存儲中國用戶的隱私數據及密鑰③周念利，陳寰琦，王濤.特朗普任內中美關于數字貿易治理的主要分歧研究［J］.世界經濟研究，2018（10）：55-64.。在國際投資規則層面，美國通過《對外投資風險審查現代化法》限制中國互聯網企業并購美國公司，特別是其認為中國企業與政府存在密切關系，進而認為中國政府可要求本國企業提供域外相關的情報信息，甚至可要求在通信設備中放置“后門”，并以此為理由，阻礙中資企業的正當投資權利。在數據治理層面，美國是“數據控制者”模式的推廣者，而中國長期堅持以“數據存儲地”模式行使數據管轄權。例如，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）要求我國關鍵信息基礎設施運營者在中國境內運營所收集和產生的個人信息和重要數據應儲存在中國境內④《中華人民共和國網絡安全法》第三十七條。。同時，如前所述，美國和歐盟之間長期就數據流動和管轄問題產生爭議。例如，美國是數據貿易自由的擁躉，而歐盟則是將公民的數據權利視為是個人的基本權利⑤AARONSON S. Why trade agreements are not setting information free： the lost history and reinvigorated debate over cross-border data flows， human rights， and national security［J］. World trade review，2015（4）：671-700.。毫無疑問，由于主要網絡大國之間存在短期難以消弭的分歧，構建統一的、多邊的數字經濟國際規則難度仍較大。

（三）數字貿易國際規則與單邊立法行動

2018年以來，隨著互聯網技術的重要性與日俱增，一些國家以國家安全和公共秩序為名，推行互聯網經貿單邊主義，甚至開始主張以國家經濟制度作為審查企業的重要因素。例如，美國駐歐盟大使直接威脅道，任何西方國家如果在關鍵基礎設施項目中使用華為等設備，美國將對此類國家采取“反制措施”⑥MO J X. Pompeo criticized for Huawei comments［EB/OL］.（2019-02-13）［2021-12-10］. http：//www.chinadaily.com.cn/a/201902/13/WS5c6322eba3106c65c34e8f76.html.。

《美國對外投資風險審查現代化法》《歐盟外商直接投資審查框架條例》等新規不僅要求對企業進行個案審查，而且其涉及對國家政策甚至是國家經濟制度的宏觀審查。實際上，與其說美歐投資審查新規針對企業，不如說其核心在于對國家的市場經濟制度進行審查①European Commission.EU to scrutinise foreign direct investment more closely［EB/OL］.（2019-02-07）［2022-02-10］. http：//www.europarl.europa.eu/news/en/press-room/20190207IPR25209/eu-to-scrutinise-foreign-direct-investment-more-closely.。2018年《美國外國投資風險審查現代化法》頒布后，中國赴美投資驟降近九成②徐惠喜.中國對美投資大幅縮水［N］.經濟日報，2019-01-18（08）.。由是觀之，該條例的出臺旨在削減中國等新興國家對美國戰略性行業的市場投資份額。進一步地，國外互聯網企業赴歐投資也面臨更加不利的行政環境。在條例中，歐盟將安全審查事項拓展至政府設備或資產的不動產交易，該標的性質既包括個人所有的不動產，也包括國家所有的不動產。該條例并沒有對公共秩序等重大利益進行界定，這給歐盟擴大“安全和公共秩序”定義提供了機會。總體上，不僅在高新技術投資領域，而且在網絡經濟間諜、知識產權救濟等領域上，一些國家的國內立法體現出單邊主義的特征，這也對數字貿易國際規則的形成構成嚴峻的挑戰。

（四）CPTPP數字貿易規則成為主要經濟體可能共同接受的規則樣本

盡管統一的數字貿易國際規則尚難以形成，但作為當前全球最為重要的區域貿易協定之一，CPTPP數字貿易規則不僅具有美式規則的特征，并不斷影響歐式規則范本，甚至也成為中國可能接受的規則樣本，這使得數字貿易規則在中美歐間達成共識的可能性增大。從體量上看，CPTPP目前有11個成員，在美國退出之前，CPTPP成員的GDP占全球經濟的36%③見國際貨幣基金組織發布的2015年《世界經濟展望報告》。，對全球經濟具有重要的影響力，是名副其實的超大型區域貿易協定。從規范水平來看，CPTPP在區域貿易協定史上率先對數字貿易議題進行了系統的規定。從國際法發展的角度來看，美式數字貿易規則已經隨著多個美國主導的貿易協定的達成而正式生效，新簽訂的歐式區域貿易協定中的電子商務規則也借鑒了美式的部分內容，數字貿易規則將成為未來區域乃至多邊貿易法治的重要組成部分。2021年9月，中國政府已經正式申請加入CPTPP。由此可見，CPTPP中的數字貿易規則成為中國、美國和歐盟可能共同接受的規則形態。

三、CPTPP數字經濟規則與我國法律制度的規范差異

在《電子商務工作計劃》中，WTO將“電子商務”定義為“貨物和服務通過電子的方式進行生產、分銷、營銷、銷售或交付活動”④World Trade Organization. The Work Programme on Electronic Commerce［EB/OL］.［2022-02-10］. https：//www.wto.org/eng/：sh/traop_e/ecom_e/wkprog_e.htm.。電子商務是通過網絡通信技術進行的商務活動，主要指利用互聯網從事商務活動。然而，數字經濟的概念比電子商務概念范圍更廣，其不僅包括以跨境電子商務為服務內容的貿易形式，還包括社交服務、搜索引擎服務、云服務、應用商店及內容產品等層面的數字貿易⑤黃慶平，李猛.探索建設自由貿易港中的數字貿易發展策略［J］.管理現代化，2020（5）：60-64.。必須指出的是，當前我國對外簽署的自由貿易協定中的“電子商務”章節主要為跨境電子商務內容。例如，RCEP電子商務的主要內容為：無紙化貿易、電子認證和電子簽名、線上消費者保護與個人信息保護和海關關稅等議題。實踐中，我國的新型數字貿易活動主要依托阿里巴巴、京東等跨境電商平臺為主要發展模式。但是，我國在數字音樂、影音資料、軟件服務和云計算等數字服務產品方面發展相對緩慢⑥王紫燁.北京市跨境電商對數字服務貿易的影響研究［J］.經營管理者，2021（6）：68-69.。總體上，我國對外簽署的區域貿易協定與數字貿易國際規則在開放程度上仍存在差距，特別是在數據跨境流動、計算設施本地化、源代碼規則和數據內容流動等方面。由此，CPTPP數字貿易規則與我國法律制度之間存在潛在的規范差異。

（一）對數據跨境流動的要求

以CPTPP為代表的美式區域貿易協定旨在推動數據跨境流動并減少數字本地化存儲的要求。例如，CPTPP第14.11條第2款規定，每一締約方應允許通過電子方式跨境傳輸信息，包括個人信息，如這一活動用于涵蓋的人開展業務。我國已簽署的RCEP“電子商務”章節規定，一締約方不得阻止涵蓋的人為進行商業行為而通過電子方式跨境傳輸信息。某種程度上，CPTPP與RCEP在跨境信息傳輸具有相關性，二者均將數據跨境傳輸限定于“開展業務”或“從事商業行為”范圍之內。

目前，我國立法對數據跨境傳輸規定相對嚴格。例如，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第三十八條規定，個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息的，應當具備下列條件之一：通過國家網信部門組織的安全評估；按照國家網信部門的規定經專業機構進行個人信息保護認證；按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；法律、行政法規或者國家網信部門規定的其他條件。實際上，個人信息處理者的數據出境須由國家網信部門核準或由其認可。然而，由于國家網信部門在實踐中無法識別紛繁復雜的數據出境需求，目前尚未出臺數據出境的標準合同條款，更難以對整個數據出境活動進行全面的監督。從此規定來看，我國籠統的數據出境管理要求可能構成限制數據跨境流動的因素。

進一步來看，我國《個人信息保護法》第三十八條規定，中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的，可以按照其規定執行。雖然個人信息處理者可以依據RCEP主張對“開展商業行為”的數據自由流動，但我國《個人信息保護法》規定，個人信息處理者應當采取必要措施，保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準。這又導致我國數據跨境傳輸面臨高額的成本負擔。我國《網絡安全法》第三十七條①《網絡安全法》第三十七條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。”和《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第二十四條②《數據安全法》第二十四條規定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”有相似的規定。由此可見，我國數據跨境傳輸活動面臨不加區分的嚴格要求，某種程度上這不利于數據跨境活動相關業務的開展。

（二）對數據本地化存儲的規定

CPTPP第14.13條規定，任何締約方不得要求其他締約方的實體或個人在該締約方領土內，將使用或設置計算設施作為在其領土內開展業務的條件。雖然其第3款允許為實現合法公共目標采取或維持不一致的措施，但其要求措施不以構成任意或不合理歧視或對貿易構成變相限制的方式適用，并且不對計算設施的使用或位置施加超出實現目標所需限度的限制。

我國《網絡安全法》《數據安全法》《征信業管理條例》《地圖管理條例》等均規定了數據本地化存儲要求。例如，我國《地圖管理條例》第三十四條規定，互聯網地圖服務單位應當將存放地圖數據的服務器設在中華人民共和國境內，并制定互聯網地圖數據安全管理制度和保障措施。在立法上，我國要求數據本地化存儲的規則較為嚴格。實踐中，相關措施有可能超過保護國家安全、公共利益等的必要性范圍。

（三）對源代碼、算法等的審查與評估

CPTPP第14.17條規定，任何締約方不得要求轉移或獲得另一締約方的人所擁有的軟件源代碼作為在其領土內進口、分銷、銷售或使用該軟件或含有該軟件的產品的條件。就該條而言，需遵守上款的軟件限于大眾市場軟件或含有該軟件的產品，不包括用于關鍵基礎設施的軟件。但是，在實際操作中，關于“大眾市場”以及“關鍵基礎設施”等概念如何界定，仍不甚明朗。實踐中，我國要求重要產品的源代碼應由國家相關部門進行安全審查。例如，我國《網絡安全法》第三十五條規定，關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。個別西方國家長期質疑我國源代碼安全審查制度存在泄露商業秘密的風險，由此對源代碼、算法等的強制審查和評估活動，也可能成為與CPTPP數字貿易規則不一致的潛在風險因素。

（四）數字產品內容的跨境自由傳輸

CPTPP第14.4條規定，數字產品具有非歧視待遇①CPTPP第 14.4 條規定，任何締約方給予在另一締約方領土內創造、生產、出版、訂約、代理或首次商業化提供的數字產品的待遇，或給予作者、表演者、生產者、開發者或所有者為另一締約方的人的數字產品的待遇，不得低于其給予其他同類數字產品的待遇。，《美墨加協定》更直接要求數字產品應享有自由交易的權利。實踐中，數字內容產品一般需要經過我國內容審查才能夠進行展示與交易。雖然有觀點認為，服務貿易指向的是服務提供的方式和限制形式，而非服務的內容②WEBER R H， BURRI M. Classification of services in the digital economy［M］. Heidellerg： Springer，2013：14.，但是對內容的限制時常構成對服務貿易形式的限制。由此，內容審查制度與國際貿易法也存在關聯性，這在“中國試聽產品案”中有所體現。WTO爭端解決實踐已證明了內容審查的正當性，針對“中國試聽產品案”，中國內容審查措施僅僅針對《中國版權法》第4.1條規定的“法律禁止出版和/或傳播的事項”。在該案中，中國主張《關稅與貿易總協定》第20（a）條的公共道德例外能夠將違反義務的行為正當化。中國主張，在某種程度上，文化產品和服務本身是文化屬性和價值的載體，對該產品的進口和分銷將會對公共道德產生負面影響，該影響對中國非常重要③Panel Report. China- Audiovisual Products［R］. WT/DS363/R， paras.7.816-7.818.。通過援引“美國博彩案”上訴機構的觀點，即每個成員都有決定“是非行為標準”的自由，該案專家組最終認可了中國對公共道德價值的援引④Panel Report. China- Audiovisual Products［R］. WT/DS363/R， para.7.863.。實踐中，我國對數字產品內容制定較為嚴格的規則。例如，我國《互聯網信息服務管理辦法》第十五條對互聯網信息服務提供者不得制作、復制、發布、傳播含有的信息內容進行了全面的梳理。從爭端解決實踐出發，縱使我國能夠援引公共道德和公共秩序主張例外，但過于寬泛的內容審查事前要求可能無法通過援引一般例外條款的“序言”要求，也無法滿足關于措施必要性的認定要求。例如，在“中國視聽產品案”中，雖然該案專家組能夠認可中國的內容審查制度，但其也認同美國提出的存在其他具有更小貿易限制性的替代措施⑤Appellate Body Report. China- Audiovisual Products［R］. WT/DS363/AB/R， para.335.。

四、對接CPTPP數字貿易規則的中國因應策略

在我國不斷深化對外開放的基礎上，數據跨境流動成為推動我國數字經濟發展的必然選擇。縱使CPTPP數字貿易規則與我國當前的法律制度規范存在不一致性，但我國仍可充分利用現有國際規則，在有效管控安全風險的基礎上，為推動形成差異化的數字貿易規制體系提供制度保障。

（一）探索數據跨境流動規則與數據分級分類制度的銜接

CPTPP將數據自由流動限定在商業行為之中，從規則設計角度來看，這實際上契合我國當前推動的數據分級分類治理機制。本質上，分級分類制度是中國數字法治建設的創新方案。數據分級分類制度能夠有效促進數據流動的安全評估、風險防范和安全管理等工作。例如，《網絡安全法》第二十一條提出國家實行網絡安全等級保護制度，采取數據分類、重要數據備份和加密等措施；《數據安全法》第二十一條規定，國家建立數據分級分類保護制度；《個人信息保護法》第五十一條規定，對個人信息實行分類管理。但遺憾的是，相較國內數據的流動而言，數據跨境流動制度尚未有具體的分級分類制度安排。我國在相關未來制度設計中，可參考CPTPP，在商業領域，將數據自由流動作為基礎原則，而以維護國家安全等合法理由作為國家規制的例外安排；在非商業領域，應將數據安全保障制度作為基礎，而將數據流動作為例外規定。

具體而言：第一，數據跨境流動的分級分類制度應依托數據流動可能產生的風險因素。若數據與國家安全密切相關，則基于國家安全關切，應對其采取嚴格的數據跨境限制的措施；若數據與集體利益及個人隱私利益密切相關，則基于公共利益目的，應采取數據跨境的風險評估和審查措施；除此之外，應允許數據更大程度地自由流動。當前“一刀切”的數據跨境流動制度安排，很明顯無法滿足商業行為下的數據跨境流動需求。例如，作為數字經濟第二大經濟體，我國企業及跨國企業有動力將一部分外國數據在國內進行處理和分析，此類數據與我國國家安全等利益關切不大，若將其嚴格按照我國數據法律制度進行規范，我國數據企業極可能選擇不在我國境內存儲境外數據，這無疑將會削弱我國數字經濟行業的外向型發展機會。為此，推進分級分類制度在數據跨境制度中的適用，具有現實的必要性。第二，數據跨境流動的分級分類制度應依據數據流動的性質所決定。實踐中，絕大多數的跨國企業需要數據和信息在總公司與分公司、母公司與子公司之間進行內部傳輸，此類數據和信息的傳播處于相對封閉的鏈條中。為此，若此類信息不涉及對外或傳輸到第三方，則應允許跨國公司內部間最大程度的數據流動，避免影響商業的正常往來。第三，數據跨境流動的分級分類制度應參考數據流動目的地的法治水平狀況。歐盟目前采取了全球領先的數據和個人信息保護制度，但在其他國家的數據存儲、流動與處理可能存在數據泄露或侵害個人隱私的風險。建立本國和他國之間數據保護水平的可比性標準，是數據跨境流動應解決的重點問題。為此，我國可依照數據流動目的地的網絡法治水平以及數據流動目的地與我國的數據治理合作機制等因素，對不同的境外地區實施差別化的數據流動機制。

（二）創設互聯網企業自我安全審查與第三方外部審查相結合的路徑

雖然有學者建議由政府機構對個人信息進行治理①吳偉光.大數據技術下個人數據信息私權保護論批判［J］.政治與法律，2016（7）：116-132.，然而在實踐中，政府缺乏足夠的人力和財力對所有的數據和信息進行全方位的管理，同時本質上也不符合CPTPP所載明的商業自由理念。因此，應構建企業自律、社會參與、政府監督的安全風險防控機制，其中，互聯網企業和技術企業是安全風險防控機制中的關鍵因素。互聯網企業和技術企業本身最貼近個人信息處理者與數據主體，雖然一些西方學者持有“技術中性”論，但近年來，大型企業（特別是互聯網平臺企業）的公共屬性日益強化。某種程度上，大型企業重塑經濟生產的過程和組織形態，改變資源配置的方式，匯聚了巨大的社會力量。為此，在數據自由流動的過程中，互聯網企業（特別是大型企業）應承擔更高水平的自我監督義務，并有責任保障平臺企業內上下游企業履行數據治理的法律義務。

在具體的實施路徑上，可探索創設自我審查與第三方審查的聯動機制。在大數據時代，企業對外不可避免地應開展數據傳輸活動，采取數據跨境流動的嚴格監管制度并不現實也無必要。對此，數據跨境流動原則上應主要以自我評估報告為主，我國主管機構應要求企業自行開展與數據流動、數據本地化存儲、數據產品內容等領域相關的國家安全風險評估，并定期將風險評估數據提交備案。

對于基礎性的互聯網企業而言，應引入第三方審查的機制。例如，我國《個人信息保護法》規定，基礎性互聯網企業應成立主要由外部成員組成的獨立機構，對個人信息處理活動進行監督。近期，美國臉書等互聯網巨頭成立內容監督委員會，聘請外部人員監督企業的運行。鑒于政府可能缺乏對互聯網平臺進行全面審查的行政資源和能力，對此，可將上述第三方監督審查模式推廣到數字貿易領域，強制要求在中國運營的互聯網巨頭依法成立由外部專家構成的獨立運行的機構，對數字貿易的合規問題進行審查，并定期向公眾發布報告。

（三）創建符合數字經濟監管需求的風險安全防控和法律救濟機制

CPTPP允許基于實現合理公共政策目標而實施貿易限制措施。例如，CPTPP第14.11條第3款規定，本條規定不得阻止締約方為實現合理公共政策目標而采取或維持對跨境信息傳輸的限制措施，若該措施不構成任意或不合理的歧視以及對貿易的變相限制，并且對信息傳輸所施加的限制不應超過為實現合法目標所必要的限度。無疑，締約方可采取違背自由貿易的措施，但核心在于締約方應保障該限制措施符合“公共利益”，符合必要性或比例性評估①NASU H. State secrets law and national security［J］.International and comparative law quarterly，2015（1）：365-404.，并不構成變相的貿易限制政策。我國數字經濟規模位居全球第二，理應主動承擔推動全球數字貿易自由化進程的責任。盡管我國《網絡安全法》《數據安全法》《個人信息保護法》等明確規定對數據和個人信息進行嚴格保護，但在商業領域，上述規定應符合必要性和比例性要求。當前，我國對數字服務貿易存在著監管缺失，尤其是對數字貿易的標準衡量和技術規則劃分尚不清晰②王紫燁.北京市跨境電商對數字服務貿易的影響研究［J］.經營管理者，2021（6）：68-69.，這可能構成數字貿易壁壘的原因。同時，在發生數據安全事件后，個人與企業救濟機制不完善、相關執法部門之間權責不清等問題仍有待解決。為此，我國應進一步細化商業數據安全審查機制，建立起完善的數據使用法律制度體系。

（四）啟動自由貿易區、自由貿易港的先行先試機制

《中華人民共和國海南自由貿易港法》第四十二條規定，國家支持海南自由貿易港探索實施區域性國際數據跨境流動制度安排。CPTPP數字貿易規則與我國法律制度存在規范差異的情形，為此，我國可積極利用自由貿易區、自由貿易港的先行先試功能，探索我國接受CPTPP數字貿易規則的可能性，為我國加入CPTPP談判積累經驗。在具體的實施路徑上，《中華人民共和國立法法》（以下簡稱《立法法》）第八條規定需制定法律的事項包括：國家主權的事項，基本經濟制度以及財政、海關、金融和外貿的基本制度。數據本身承載著多種功能，作為新興事物，盡管未被我國《立法法》所明確規定，但我國《數據安全法》《個人信息保護法》規定對數據和個人信息例外安排需源于法律、行政法規的授權，而非地方性法規。從此層面來說，數據流動問題本身為國家事權，因而現有我國《網絡安全法》《數據安全法》《個人信息保護法》的變通規則必須經過全國人大或人大常委會通過的法律，或者是相關部委制定的行政法規所通過，地方立法部門或行政機構對數據跨境流動等問題不享有決定權。由于數據自由流動等法律制度安排屬于中央事權，我國人大或人大常委會可探索授權自由貿易區、自由貿易試驗區，在構建風險安全防控機制的前提下，建立并完善商業領域的數據跨境自由流動制度。