論CPTPP數(shù)據(jù)跨境流動的法律規(guī)制

馬 遷，李智毅

（鄭州大學法學院，鄭州 450001）

一、CPTPP 數(shù)據(jù)跨境流動的國際關(guān)注

數(shù)字經(jīng)濟的快速發(fā)展使得數(shù)據(jù)跨境流動成為焦點。在數(shù)據(jù)貿(mào)易快速發(fā)展背景下，數(shù)據(jù)信息已然成為驅(qū)動、牽引世界經(jīng)濟復(fù)蘇與發(fā)展的關(guān)鍵要素，不斷創(chuàng)造著新的發(fā)展機遇。數(shù)據(jù)的價值在于流動，對數(shù)據(jù)流動進行規(guī)制被當作是數(shù)據(jù)治理的核心[1]。然而數(shù)據(jù)跨境流動容易逾越國家主權(quán)和數(shù)據(jù)人權(quán)的邊界，給一國國家安全、網(wǎng)絡(luò)安全帶來風險和挑戰(zhàn)。同時，數(shù)據(jù)跨境流動還會擠壓個人信息自決權(quán)的行使，這也是因為個人信息易被不法者侵犯所致。信息收集者對于信息的控制程度遠大于信息產(chǎn)生者，而科學的立法應(yīng)當能夠全面保護個人權(quán)利[2]。在追求各國數(shù)據(jù)交互之際，保障個人知情同意等數(shù)據(jù)人權(quán)是緊迫且必要的。當前，數(shù)據(jù)貿(mào)易引起的全球化經(jīng)濟浪潮暴露出法律規(guī)則不能深入適應(yīng)數(shù)據(jù)跨境自由流動與個人信息受到有效保護的矛盾，表明國內(nèi)數(shù)據(jù)流動規(guī)則亟待創(chuàng)新與變革。此外，如何對數(shù)據(jù)跨境流動與個人信息保護進行規(guī)制與協(xié)調(diào)成為當前國際經(jīng)濟法的熱點與難點。

近來國際社會對于數(shù)據(jù)跨境流動中的個人信息保護日趨關(guān)注，不僅在多數(shù)國家締結(jié)的自由貿(mào)易協(xié)定（Free Trade Agreement，F(xiàn)TA）中對電子商務(wù)問題有所涉及，而且在區(qū)域?qū)用婧蛧H層面也取得較大發(fā)展。2020年生效的《美墨加協(xié)定》（United States-Mexico-Canada Agreement，USMCA）單列數(shù)字貿(mào)易章節(jié)，通過設(shè)置數(shù)據(jù)、數(shù)字產(chǎn)品和數(shù)字平臺對數(shù)字貿(mào)易壁壘進行系統(tǒng)化規(guī)制，強調(diào)了對于數(shù)據(jù)貿(mào)易自由化的重視，然而其具體規(guī)則流露出的美式色彩無不透露出美國優(yōu)先的理念。《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RECP）對數(shù)據(jù)跨境流動也做了新的規(guī)定，強調(diào)在尊重國家數(shù)據(jù)安全的基礎(chǔ)上，允許設(shè)置基本安全例外條款以取得締約方共識促進數(shù)據(jù)自由流動。中國2021年正式申請加入的《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》（Digital Economy Partnership Agreement，DEPA）在模塊四“數(shù)據(jù)問題”中對于個人信息保護和通過電子手段進行的跨境數(shù)據(jù)流動進行了規(guī)制，旨在加強締約國之間的數(shù)字貿(mào)易合作。而具備“高水平、多領(lǐng)域”特征的《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）更設(shè)電子商務(wù)專章，在全盤接受跨太平洋伙伴關(guān)系協(xié)定(Trans-Pacific Partnership Agreement，TPP)相關(guān)規(guī)定的基礎(chǔ)上，注重跨境數(shù)據(jù)流動的自由性和個人信息保護的兼容性，強調(diào)市場開放與優(yōu)化監(jiān)管并舉的發(fā)展理念。

基于有關(guān)數(shù)據(jù)跨境流動和個人信息保護規(guī)制乏力的現(xiàn)狀和中國積極申請加入CPTPP 的背景，本文擬對CPTPP 電子商務(wù)中數(shù)據(jù)跨境流動具體條款和個人信息保護問題的處理進行研究，并在此基礎(chǔ)上分析我國對接高標準國際規(guī)則的挑戰(zhàn)與難題，落腳國內(nèi)法提出建議和完善之策。

二、CPTPP 中數(shù)據(jù)跨境流動的法律規(guī)則

數(shù)據(jù)跨境流動與個人信息保護是CPTPP 電子商務(wù)章節(jié)的核心內(nèi)容，也是中國對接CPTPP 標準的談判重心。在規(guī)則設(shè)置上，不同于歐盟早期締結(jié)的FTA 中將電子商務(wù)和服務(wù)置于同一章節(jié)以求把電子商務(wù)納入服務(wù)貿(mào)易的理念[3]，CPTPP 有關(guān)數(shù)據(jù)跨境流動和個人信息保護的條款主要分布在電子商務(wù)單章中，具體為第14.1 條的“定義”、第14.8 條“個人信息保護”、第14.11 條“通過電子方式跨境傳輸信息”、第14.13 條“計算設(shè)施的位置”和第14.15 條“合作”，且呈現(xiàn)出個人信息保護兼容性、數(shù)據(jù)跨境流動自由性以及例外條款靈活性的特征。

（一）個人信息保護的客觀性與兼容性

數(shù)據(jù)是信息的載體，信息是數(shù)據(jù)的內(nèi)容，加強數(shù)據(jù)用戶個人信息的保護是在國際法層面對數(shù)據(jù)貿(mào)易進行規(guī)制和管理的全球共識。數(shù)據(jù)與個人信息具有高度相似的一面。CPTPP 中關(guān)于個人信息的定義具有兩重屬性，一方面?zhèn)€人信息涵蓋已識別或可以識別的關(guān)于自然人的任何信息，另一方面也包括數(shù)據(jù)。為進一步明確此中數(shù)據(jù)的含義，根據(jù)CPTPP 第14.8 條第2 款有關(guān)締約方可以采取或維持的義務(wù)性措施的態(tài)度可知，當個人與數(shù)據(jù)相連時，個人數(shù)據(jù)大體上等同于個人信息。按照耶林所說，權(quán)利是法律所保護的特定利益。對于數(shù)據(jù)用戶個人信息的權(quán)利保護，其體現(xiàn)出的價值利益不僅應(yīng)是長期穩(wěn)定并且可被信賴，還應(yīng)當具備經(jīng)濟和社會的可識別性。這是因為在數(shù)據(jù)流動背景下，個人信息不斷被收集、整理、加工、處理以及被有償?shù)亟粨Q和利用，如果國際協(xié)定對其權(quán)利保護水平僅停留在亞太經(jīng)合組織《隱私保護綱領(lǐng)》（APEC Privacy Framework）中的軟性要求，顯然不能應(yīng)對全球信息數(shù)據(jù)沖擊下的隱私威脅。在數(shù)據(jù)自由流動背景下，如何消除恐懼，減少不當障礙，切實維護個人信息已成為國際經(jīng)貿(mào)規(guī)則的側(cè)重點，CPTPP 電子商務(wù)章節(jié)中有著較以往不同的做法。

在CPTPP 中，個人信息保護是電子商務(wù)章節(jié)的重要內(nèi)容，規(guī)則整體上呈現(xiàn)出客觀性與兼容性并重的特征。首先，第14.8 條第1 款特別強調(diào)保護電子商務(wù)用戶個人信息的預(yù)期效益，力求締約方能夠達成保護消費者個人信息對于促進電子商務(wù)發(fā)展的共識。這種積極尋求電子商務(wù)發(fā)展共性的規(guī)則理念，可以突出其基礎(chǔ)之“廣”。CPTPP 對于電子商務(wù)用戶提供保護的標準之“高”既體現(xiàn)在第14.8 條第2 款一方面要求成員國應(yīng)采用法律框架的形式提供保護，而這種法律模式既要考慮國際層面的原則和指南，又最大限度地接受締約方國內(nèi)現(xiàn)有保護制度；另一方面又表現(xiàn)為第3 款針對個人信息的不法侵害要求成員國在其管轄范圍內(nèi)應(yīng)努力采取非歧視的做法，這種“努力”程度也表明該規(guī)則積極尊重各國法治水平、信息水平等差異的現(xiàn)實境遇。另外，標準之“嚴”體現(xiàn)為第14.8 條第4 款要求締約方面對電子商務(wù)用戶，至少提供包括自然人如何尋求救濟途徑和企業(yè)相關(guān)合規(guī)性做法要求的保護信息。最后，標準之“寬”為兼容性機制的設(shè)置。考慮到締約方采取法律方式和不同機制的差異，第5 款明確要求建立促進兼容性的機制，締約方應(yīng)在積極適用此類機制交流信息的基礎(chǔ)上，不斷探索、擴大、創(chuàng)新相關(guān)安排以尋求兼容之目的。

（二）數(shù)據(jù)跨境流動的自由性與安全性

信息因為能被交換而具有財產(chǎn)價值，而扮演其承載者角色的數(shù)據(jù)則兼?zhèn)淞鲃有院徒?jīng)濟屬性。隨著跨境經(jīng)濟活動的往來，附帶經(jīng)濟屬性的相關(guān)數(shù)據(jù)在發(fā)生國別流動或跨境移轉(zhuǎn)時，一國立法者或監(jiān)管者考慮到數(shù)據(jù)的隱秘性，大多會采取不同程度的嚴格審查程序限制其流動[4]。但在數(shù)據(jù)全球化時代，推動數(shù)據(jù)跨境自由流動向來是數(shù)據(jù)大國的夙愿，發(fā)達國家以期通過制訂數(shù)據(jù)政策擴大本國話語權(quán)[5]。如歐盟積極推行《數(shù)字單一市場戰(zhàn)略》，旨在破除成員方之間的法律與行政壁壘，增強數(shù)據(jù)安全與信任，塑造自由且規(guī)范的電子商務(wù)環(huán)境[6]。美國則推出《澄清境外數(shù)據(jù)合法使用法案》(Clarifying Lawful Overseas Use of Data Act，簡稱“CLOUD 法案”)，以國內(nèi)法形式保留境內(nèi)數(shù)據(jù)管轄權(quán)之際，以數(shù)據(jù)自由流動為基調(diào)，確立了針對境外數(shù)據(jù)的“控制者標準”，以此維護其數(shù)據(jù)跨境流動的主導(dǎo)權(quán)[7]。與前者具有“明顯單邊主義色彩”不同，CPTPP 數(shù)據(jù)跨境規(guī)制模式主要經(jīng)歷了從早期TPP 中美國刻意追求數(shù)據(jù)跨境流動自由到后期日本主導(dǎo)后兼具安全與信任特征的轉(zhuǎn)變，它強調(diào)締約方要促進消費者對電子商務(wù)充滿信心，減少數(shù)字貿(mào)易壁壘。

在CPTPP 跨國數(shù)據(jù)流動規(guī)制中，由于締約方跨境電子商務(wù)開放水平的差異，以及考慮到締約國數(shù)字產(chǎn)業(yè)規(guī)模等因素，在第14.11 條規(guī)制設(shè)置中存在著層次漸進的要求。首先，第14.11 條第1 款既允許締約方設(shè)置自己的監(jiān)管要求，又以緩和的態(tài)度提醒其認識到其他締約方的相關(guān)權(quán)利。此處的態(tài)度緩和，反映出跨境數(shù)據(jù)流動追求自由理念的傾向，但也間接暴露出其企圖回避當前跨境數(shù)據(jù)流動的核心議題。其次，第2 款明確要求各締約方允許以電子方式跨境傳輸信息，這一強制性義務(wù)中包括跨境傳輸個人信息。由于前款的權(quán)利性規(guī)定，在締約國規(guī)制跨境數(shù)據(jù)流動時，CPTPP 不排斥其設(shè)置符合本國“合法公共政策之目的”的限制性障礙。同時，第3 款對此手段進行了合規(guī)性限制，即要求該措施應(yīng)同時滿足“合理性”和“限度性”條件。然而第3 款中的“任意”“合理”“變相”以及“所需限度”等模糊性措辭給締約方留下了較大的解釋空間，例外條款的適用在實踐中追求自由化之應(yīng)然目的之際，能否得到實然預(yù)期值得考慮。

（三）例外條款的靈活性與必要性

例外條款是CPTPP 數(shù)據(jù)跨境流動與個人信息保護法律規(guī)制的重要內(nèi)容。不同的FTA 對于電子商務(wù)內(nèi)容的價值理念與制度設(shè)計有著截然不同的規(guī)定，但在例外條款的靈活性設(shè)置方面則存在共識。一方面區(qū)域性乃至全球性FTA 為需要滿足締約方在符合特定條件下對于強制性義務(wù)之短暫背離的需求，尋求規(guī)制目標與規(guī)制主體諸多差異性之間的平衡，通常會設(shè)置例外條款這一靈活性制度安排以求解決制度結(jié)構(gòu)的“硬性”弊端。另一方面例外條款呈現(xiàn)出“軟性”特征，這有助于解決一國因規(guī)制差異造成跨境數(shù)據(jù)流動或個人信息保護對接國際標準的互動性與操作性難題。另外，從為吸收成員數(shù)量的目的來看，例外條款的設(shè)置更易被一國決策者所接受。CPTPP 電子商務(wù)章節(jié)中的例外性條款，為厘清個人信息保護與跨境數(shù)據(jù)流動的關(guān)系、明確二者之間的定位、解決規(guī)制中的難題，提供了清晰且明確的思路。

CPTPP 既追求數(shù)據(jù)流動的自由性，也強調(diào)數(shù)據(jù)跨境的安全性。第14.11 條例外條款的設(shè)置成為CPTPP 追求區(qū)域經(jīng)濟發(fā)展與跨境數(shù)據(jù)流動自由二者平衡的靈活性安排。電子商務(wù)例外條款的靈活性與必要性，可以體現(xiàn)在兩方面。在個人信息保護方面，CPTPP 關(guān)于個人信息保護的規(guī)定具有補充性質(zhì)，主要是為了填補數(shù)據(jù)貿(mào)易規(guī)定的不全面而存在[8]。因為寬松的個人信息保護對于數(shù)據(jù)進出口保護的意義多停留在形式層面，根據(jù)第14.8 條、第14.11 條第2 款以及其他規(guī)則可知，包括個人信息在內(nèi)的跨境數(shù)據(jù)流動，對于數(shù)據(jù)本地化的限制基本為原則性規(guī)定，意圖不在于協(xié)調(diào)締約方之間的個人信息保護水平差異。因而當個人信息與人權(quán)相連時，基于人權(quán)保護的特殊性，締約方易于以此名義采取限制措施實現(xiàn)“合法公共政策目標”。在跨境數(shù)據(jù)流動方面，從整體上看，CPTPP 的規(guī)制較為嚴格。第14.11 條第1款允許締約方設(shè)置各自的監(jiān)管要求，雖然沒有賦予每一締約方實質(zhì)規(guī)制權(quán)，但可看成是以總則的形式發(fā)揮統(tǒng)領(lǐng)作用[9]。利之所在，弊亦隨之。一國立法者為維護其境內(nèi)公共秩序，至少會單方面采取維持現(xiàn)有或更新將有監(jiān)管要求的做法，會逐漸成為以電子方式進行數(shù)據(jù)自由流動的現(xiàn)實阻礙。而CPTPP 又沒有強制要求每一締約方必須認識到其他締約方的監(jiān)管要求。考慮到這些問題，第3 款設(shè)置的能夠排除義務(wù)性規(guī)則的例外條件，可為締約方提供靈活且必要的適用余地。

三、CPTPP 數(shù)據(jù)跨境流動的問題挑戰(zhàn)

中國《數(shù)據(jù)安全法》確立了數(shù)據(jù)安全與發(fā)展的基本原則，相較于前期中國簽訂的大多數(shù)FTA 中對于電子商務(wù)內(nèi)容的規(guī)避，中國對于CPTPP 的重點關(guān)切與數(shù)據(jù)貿(mào)易價值追求大相徑庭，大體表現(xiàn)為對于數(shù)據(jù)跨境流動的自由性發(fā)展價值與個人信息保護的人權(quán)性社會價值的高度關(guān)注。在國內(nèi)數(shù)據(jù)經(jīng)濟快速發(fā)展之際，中國先后出臺的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》與《個人信息保護法》大致確立了現(xiàn)行數(shù)據(jù)安全保護框架。但當跨境數(shù)據(jù)信息日益成為資本爭相追逐的經(jīng)濟商品時，國內(nèi)現(xiàn)有法律制度沒有取得突破性進展，因其保守性無法建立起建設(shè)性規(guī)制體系，從而缺乏制度競爭力。

（一）立法理念：“自由性”與“本地化”價值取向的軟硬失衡

國內(nèi)對于數(shù)據(jù)的法律規(guī)制離不開自由流動與安全保護之“軟”與“硬”的價值碰撞，具體表現(xiàn)為CPTPP 跨境數(shù)據(jù)自由化與國內(nèi)側(cè)重數(shù)據(jù)本地化之間的矛盾。CPTPP 給中國帶來的外部壓力，主要表現(xiàn)為國內(nèi)立法理念的軟硬失衡。一方面明知偏向于數(shù)據(jù)本地化的立法價值傾向不利于數(shù)據(jù)貿(mào)易的自由發(fā)展，卻礙于國內(nèi)治理短板，必須讓渡數(shù)據(jù)跨國流動所帶來的部分權(quán)益。另一方面歐美依托法律制度比較優(yōu)勢，打著“人權(quán)”旗號，不斷在擴張域外執(zhí)法效力，國內(nèi)必須采取限制性措施以應(yīng)對此種舉措。我國《網(wǎng)絡(luò)安全法》規(guī)定，促進經(jīng)濟社會信息化發(fā)展必須保障網(wǎng)絡(luò)安全。換言之，跨境個人信息的有效保護是以數(shù)據(jù)跨境安全流動為依托，沒有安全性的數(shù)據(jù)跨境流動會產(chǎn)生諸多隱患。在此種價值取舍中如何把握二者的平衡，將成為中國今后加入CPTPP 談判議題的重點。此外，我們還應(yīng)考慮到CPTPP 追求的自由化理念和中國維護社會公共利益的決心，以及國內(nèi)立法傾向所采取的限制性措施將帶來的數(shù)據(jù)貿(mào)易負擔，這些問題與考驗主要表現(xiàn)為以下方面：

第一，我國側(cè)重于數(shù)據(jù)本地化的價值傾向?qū)⒊蔀榭缇硵?shù)據(jù)自由流動的障礙。按照CPTPP 有關(guān)數(shù)據(jù)本地化的內(nèi)容，各締約方對于計算設(shè)施的位置限制必須符合第14.13 條的要求，特別是締約方不能要求其所涵蓋的人的相關(guān)行為必須發(fā)生在其領(lǐng)土，并將此作為開展業(yè)務(wù)的條件。換言之，締約方應(yīng)盡最大努力克服對于電子商務(wù)利用和發(fā)展造成的障礙，追求數(shù)據(jù)跨境流動自由應(yīng)符合“合理性”“有限性”“非任意性”要求。在國內(nèi)層面，我國多部法律規(guī)范也都確立了數(shù)據(jù)跨境流動的自由、安全原則，但從整體上呈現(xiàn)出更加偏向于數(shù)據(jù)安全的立法態(tài)度，對于涉及國家安全問題的態(tài)度則更為審慎[10]。我國《網(wǎng)絡(luò)安全法》第37 條確立了本地化儲存與出境安全評估并舉的管理舉措，同時《個人信息出境安全評估辦法（征求意見稿）》細化了出境合同審查機制，以期保護出境活動中的個人信息，然而從這種一事一批的事前安全評估機制中可以窺見理念上的謹慎與保守，[11]這表明國內(nèi)傾向于數(shù)據(jù)本地化的保守價值傾向在相當一段時間內(nèi)不會改變，這將成為CPTPP 數(shù)據(jù)跨境流動自由化發(fā)展的阻礙。

第二，中國跨境數(shù)據(jù)流動規(guī)則缺乏實質(zhì)性競爭優(yōu)勢。近些年，中國開始加大雙邊自由貿(mào)易協(xié)定談判力度，并將電子商務(wù)內(nèi)容作為獨立章節(jié)締結(jié)其中，以順應(yīng)國際數(shù)據(jù)貿(mào)易發(fā)展趨勢。例如中韓自由貿(mào)易協(xié)定、中澳自由貿(mào)易協(xié)定以及中國與毛里求斯自由貿(mào)易協(xié)定中都涉及了電子認證、電子簽名、個人信息保護等數(shù)字貿(mào)易規(guī)則與相關(guān)議題。但相較于CPTPP 而言，國內(nèi)對于跨境數(shù)據(jù)流動高標準規(guī)則的立法態(tài)度較為保守，沒有建立起突破性的制度優(yōu)勢，盡管RCEP 的實施具有里程碑式的建設(shè)性意義，但其議題數(shù)量和規(guī)則水平相較CPTPP 仍有較大差距，缺乏實質(zhì)競爭力。

第三，國內(nèi)缺乏合理適用個人信息保護例外條款的經(jīng)驗。CPTPP 數(shù)據(jù)跨境流動適用范圍涵蓋商業(yè)數(shù)據(jù)和個人數(shù)據(jù)，鼓勵包括個人信息的跨境數(shù)據(jù)自由流動，同時允許締約方采取限制性措施，即滿足“合法公共政策之目的”的適用條件。雖然該限制性措施必須滿足較為嚴苛的合理性、有限性、非任意性要求，但是我國《個人信息保護法》規(guī)定，處理個人信息時應(yīng)當具備“明確”與“合理”目的。這表明在追求個人信息保護方面，國內(nèi)層面的立法價值與CPTPP 大同小異，減少了對接例外條款的困難，從長遠來看偏向于個人信息權(quán)益的國內(nèi)保護措施易于達成例外條款要求，從而增加了CPTPP 例外條款不當濫用的風險。

（二）法律制度：對接高標準規(guī)則的不兼容性

CPTPP 對于跨境數(shù)據(jù)流動和個人信息保護都提出了高水平的規(guī)制要求，例如對于包括個人信息的跨境傳輸方式有著較強的法律約束力、達致例外條款要求的苛刻性等。從目前中國簽署的FTA 內(nèi)容和現(xiàn)行數(shù)據(jù)保護體系而言，我國大致形成了符合基本國情的數(shù)據(jù)跨境流動治理體系。第一，《網(wǎng)絡(luò)安全法》明確了國內(nèi)數(shù)據(jù)向境外流動的基本原則和要求。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者對于國內(nèi)收集、產(chǎn)生的個人信息和重要數(shù)據(jù)，原則上應(yīng)當存儲在境內(nèi)；因業(yè)務(wù)需要，確需向境外提供的應(yīng)當符合有關(guān)部門制訂的安全評估標準。第二，數(shù)據(jù)跨境流動的法律制度體系基本建立。2021年《數(shù)據(jù)安全法》《個人信息保護法》的相繼出臺，彌補了《網(wǎng)絡(luò)安全法》關(guān)鍵信息數(shù)據(jù)跨境流動的缺漏，共同構(gòu)建了涵蓋個人信息保護的數(shù)據(jù)跨境流動安全網(wǎng)，標志著國內(nèi)數(shù)據(jù)跨境流動體系的確立。

但是，國內(nèi)對于數(shù)據(jù)跨境流動與個人信息保護的頂層設(shè)計依舊不夠完善，存在著與國際高標準規(guī)則兼容性不適的問題，表現(xiàn)為國內(nèi)數(shù)據(jù)跨境流動具體規(guī)范內(nèi)容不完善，存在重疊、交叉，甚至沖突現(xiàn)象；安全評估制度缺位；數(shù)據(jù)管理層級不明確。首先，《網(wǎng)絡(luò)安全法》第37 條和《個人信息保護法》第40 條都規(guī)定了國內(nèi)數(shù)據(jù)向境外流動的要求，但有關(guān)數(shù)據(jù)本地化與數(shù)據(jù)跨境流動的存儲與提供概念常被混為一談，導(dǎo)致出境之后的數(shù)據(jù)是否構(gòu)成境外存儲變得模糊。其次，不同層級的立法規(guī)定存在沖突。《數(shù)據(jù)安全法》第31 條和《個人信息保護法》第38 條規(guī)定了符合安全評估、保護認證、標準合同等要求的重要數(shù)據(jù)和個人信息可以跨境提供，但是諸如《地圖管理條例》等行業(yè)監(jiān)管要求存在禁止數(shù)據(jù)出境的沖突。另外，涉及個人信息和重要數(shù)據(jù)等出境安全評估的具體規(guī)則尚未出臺，當前僅停留在征求意見稿層面，《數(shù)據(jù)安全法》《個人信息保護法》規(guī)定的“一事一批”的事前安全評估機制可操作性不強，將影響數(shù)據(jù)流動發(fā)展。最后，《數(shù)據(jù)安全法》第21 條將數(shù)據(jù)劃分為核心數(shù)據(jù)、重要數(shù)據(jù)和個人數(shù)據(jù)，并要求分類分級保護，建立不同程度的管理制度。但是該規(guī)定沒有明確如何區(qū)分數(shù)據(jù)的“重要程度”和不法侵害造成的“危害程度”，重要數(shù)據(jù)具體目錄的分類、分級制訂又會增加規(guī)則沖突的風險，加大執(zhí)法難度。

（三）國內(nèi)監(jiān)管：監(jiān)管力度和安全保護水平有待提高

CPTPP 允許締約方對數(shù)據(jù)跨境流動設(shè)置各自的監(jiān)管要求，這將為國內(nèi)監(jiān)管水平帶來新的外部壓力。一方面，儲存于云端的數(shù)據(jù)，在跨境流動中隨時會發(fā)生數(shù)據(jù)交互，從而突破傳統(tǒng)意義上的地理邊界，帶來威脅國家主權(quán)、網(wǎng)絡(luò)主權(quán)的風險。另一方面，高標準下的數(shù)據(jù)跨境流動會對一國監(jiān)管能力和監(jiān)管水平提出更高水平的挑戰(zhàn)。從監(jiān)管實效看，我國監(jiān)管力量相對薄弱，行業(yè)監(jiān)管也存在著不足。在事前監(jiān)管方面，我國“一事一批”的監(jiān)管模式仍不能達到規(guī)模化監(jiān)管的層次，盡管國內(nèi)借助自由貿(mào)易試驗區(qū)不斷探索跨境流動規(guī)則的監(jiān)管機制，但是當前事前監(jiān)管機制主要圍繞數(shù)據(jù)安全評估、能力認證等內(nèi)容，涉及范圍有限，探索依舊處于試驗階段，效果不明確[12]。從規(guī)模數(shù)量上看，以電信行業(yè)為例，截至2021年底，我國增值電信業(yè)務(wù)經(jīng)營許可企業(yè)多達118289 家[13]，市場參與主體與行業(yè)監(jiān)管主體數(shù)量的不匹配，將加劇監(jiān)管難度。

在個人信息保護方面，CPTPP 要求締約方采用法律手段維護電子商務(wù)用戶的個人信息。我國《個人信息保護法》雖然旨在保護個人信息權(quán)益，規(guī)范處理個人信息的商業(yè)活動，但是在應(yīng)對境外調(diào)取數(shù)據(jù)風險或長臂管轄時顯得保守、不夠強硬。以歐美為例，美國CLOUD 法案打破服務(wù)器標準，采取“數(shù)據(jù)控制者”標準，允許調(diào)取不在其本土境內(nèi)的電信服務(wù)提供者提供的數(shù)據(jù)或個人信息，實質(zhì)性的擴張執(zhí)法效力；歐盟數(shù)據(jù)出境監(jiān)管法規(guī)也具有一定的域外效力，同時通過“數(shù)據(jù)控制者”的擴張解釋延伸域外管轄范圍。《個人信息保護法》針對非法侵害，設(shè)置了個人信息清單制度，應(yīng)對境外歧視性禁止、限制或其他類似措施時，可以按照實際情況采取對等措施，但從整體上看依舊呈現(xiàn)出被動、防守的特點，其安全保護水平有待提高。

四、CPTPP數(shù)據(jù)跨境流動的法律規(guī)制策略

在數(shù)字貿(mào)易規(guī)則朝著更高標準、更嚴要求邁進的特殊時期，CPTPP 為中國數(shù)據(jù)跨境流動和個人信息保護規(guī)制塑造與發(fā)展帶來了重要契機。秉持著安全與發(fā)展并重的法律規(guī)制理念，及時調(diào)整國內(nèi)數(shù)據(jù)跨境流動治理體系，對接國際最新規(guī)則，形成具備實質(zhì)競爭力的立法、執(zhí)法、監(jiān)管制度優(yōu)勢，是我國立足數(shù)字貿(mào)易時代，驅(qū)動經(jīng)濟發(fā)展，切實維護國家安全、網(wǎng)絡(luò)空間安全，正確應(yīng)對個人信息保護風險的必然選擇。這既需要我國積極推動CPTPP 相關(guān)議題談判，加強跨國數(shù)據(jù)流動和個人信息保護方面的國際合作；又要求國內(nèi)及時調(diào)整現(xiàn)有法律規(guī)制體系，形成配套的法律監(jiān)管制度，充分發(fā)揮國內(nèi)法制優(yōu)勢。

（一）對接國際立法理念，把握安全與發(fā)展的平衡

中國在對接CPTPP 發(fā)展理念之際，必須嚴守安全與發(fā)展這對一以貫之的底線。十四五規(guī)劃中明確要求“統(tǒng)籌國內(nèi)國際兩個大局，辦好發(fā)展安全兩件大事”。這表明在開放國門之際，不能片面且盲目地追求數(shù)據(jù)跨境流動自由發(fā)展帶來的經(jīng)濟效益，更不能全盤接受CPTPP 相關(guān)規(guī)則，而應(yīng)加強規(guī)則審議力度，特別是關(guān)注例外條款的預(yù)期效應(yīng)，做好未來可能帶來的風險與挑戰(zhàn)準備。第一，在國內(nèi)立法設(shè)計層面，要明確和完善跨境數(shù)據(jù)流動的保護原則，關(guān)注當前發(fā)展需求，積極傳達開放、共建、共議等良性信號。《中國數(shù)字經(jīng)濟發(fā)展白皮書》顯示，我國數(shù)字經(jīng)濟維持蓬勃發(fā)展態(tài)勢，對于全球數(shù)字經(jīng)濟發(fā)展發(fā)揮著不可忽視的推動作用。數(shù)字經(jīng)濟基礎(chǔ)決定數(shù)據(jù)立法建筑，這需要我國在接受境外規(guī)則理念之際，積極參與全球數(shù)據(jù)治理體系，借助CPTPP 數(shù)據(jù)跨國流動治理機制，不斷提出中國方案，傳達中國數(shù)據(jù)跨國流動規(guī)制理念。第二，明確中國在涵蓋個人信息的跨國數(shù)據(jù)流動議題中的定位和立場。在紀念《世界人權(quán)宣言》70 周年座談會中，習近平表示：“人民幸福生活是最大的人權(quán)”。數(shù)據(jù)人權(quán)是基本人權(quán)在個人信息保護中的內(nèi)涵延伸，不具備合法、正當、必要、誠信法治條件的跨國數(shù)據(jù)流動規(guī)則不會使人民感到幸福。我國應(yīng)厘清個人信息保護在數(shù)據(jù)跨國流動中的作用和邊界，明確直接加間接相結(jié)合的保護原則，積極尋求更為廣泛的個人信息保護法律框架，以求實現(xiàn)在最小范圍內(nèi)處理個人信息。

（二）建立健全國內(nèi)法律規(guī)制體系，提升對接國際規(guī)則的適恰性

考慮到CPTPP 每一締約方開放水平、法治治理程度、數(shù)據(jù)貿(mào)易規(guī)模的差異，我國在對接數(shù)據(jù)跨境流動規(guī)則、保護電子用戶個人信息的經(jīng)濟和社會效益時，應(yīng)建立、健全數(shù)據(jù)出境安全評估、個人信息保護認證等配套制度，努力探求不同體制間的兼容性機制，明確不同層級的數(shù)據(jù)管理任務(wù)，減少分類分級規(guī)定帶來的法律沖突。首先，可以上海自貿(mào)區(qū)、海南自貿(mào)港作為試點和依托，采取更為精細的數(shù)據(jù)出境管理政策。落實《數(shù)據(jù)安全法》分級分類要求，明確“核心數(shù)據(jù)”和“重要數(shù)據(jù)”的邊界，構(gòu)建安全的數(shù)據(jù)出境管理體系。其次，盡快出臺《個人信息和重要數(shù)據(jù)安全評估辦法》《個人信息出境安全評估辦法》《數(shù)據(jù)出境安全評估辦法》等安全評估細則。積極探索事中、事后安全評估機制，關(guān)注安全審批的規(guī)模效益，同時加強法律規(guī)范的可操作性，及時修訂法律規(guī)章或部門政策中與上位法不適的內(nèi)容。最后，明確數(shù)據(jù)本地化和數(shù)據(jù)跨境流動的概念，妥善處理安全與發(fā)展關(guān)系，重點關(guān)切CPTPP 一般加例外規(guī)定，充分利用“合法公共政策目標”等國際規(guī)則，將跨境個人信息風險控制在合理范圍，切實維護國家核心數(shù)據(jù)、重要數(shù)據(jù)安全。

（三）完善行業(yè)監(jiān)管體系，增強國際領(lǐng)域的個人信息保護合作

數(shù)據(jù)跨境流動的有效監(jiān)管離不開完善的行業(yè)監(jiān)管體系。以金融數(shù)據(jù)跨境流動監(jiān)管為例，金融數(shù)據(jù)出境要求經(jīng)歷了“除法律法規(guī)及中國人民銀行另有規(guī)定外，銀行業(yè)金融機構(gòu)不得向境外提供境內(nèi)個人金融信息”一刀切式的限制，后來逐步放寬并增加了“明示同意”要求、“個人金融信息評估標準”、設(shè)置“簽訂協(xié)議、現(xiàn)場核查”等職責義務(wù)，以豐富監(jiān)管手段和途徑，保證金融數(shù)據(jù)在嚴格監(jiān)管程序下的合理跨境流動。這種對于事前監(jiān)管的重點關(guān)切與強化，是以嚴格把控數(shù)據(jù)跨境的風險為前提，盡可能貼合行業(yè)發(fā)展實際，更多地考量金融機構(gòu)跨境開展業(yè)務(wù)中需要被納入的因素，更能契合CPTPP 標準。

積極構(gòu)建包括個人信息保護的跨境數(shù)據(jù)流動國際層面的合作機制。網(wǎng)絡(luò)的互通性可以有效縮減CPTPP 成員方之間因文化制度、科技水平以及意識形態(tài)之間的差異，我國應(yīng)該秉持網(wǎng)絡(luò)空間的人類命運共同體理念，以CPTPP 為未來依托，進一步明確中國網(wǎng)絡(luò)空間治理方案，加強不同國家之間的合作與協(xié)調(diào)，建立和維護個人信息保護兼容性機制，達成數(shù)據(jù)共享諒解備忘錄。