DEPA數據安全規則解析及對中國的啟示
——基于和CPTPP/USMCA/RCEP的比對

陳寰琦，陸銳盈

(廣東外語外貿大學 經濟貿易學院，廣東 廣州 510006)

《數字經濟伙伴關系協定》(Digital Economy Partnership Agreement, DEPA)是新加坡、智利、新西蘭3國于2020年針對數字經濟簽署的協定，整個協定都是數字經濟專屬內容。該協定區別于其他區域貿易協定(RTAs)，如《美墨加協定》(USMCA)和《全面與進步跨太平洋伙伴關系協定》(CPTPP)，通過設置“電子商務”“數字貿易”等專門章節(1)本文對“電子商務”和“數字貿易”章節不作區分。來構建數字貿易規則的做法，具有包容性和前瞻性。在結構上，DEPA采用“模塊(module)”而非傳統的“章節”形式進行規范；在內容上，DEPA和數字貿易規則“美式模板”(以USMCA和CPTPP為代表(2)USMCA和CPTPP都是“美式模板”的代表性協定，USMCA在數據相關議題上頗具雄心，CPTPP次之。)有著千絲萬縷的聯系。以USMCA為代表的“美式模板”可能是未來其他區域與多邊談判的重要參考[1]。區別于“美式模板”，DEPA更傾向于體現新加坡的數字貿易訴求。除了涵蓋“美式模板”中備受爭議的議題如“跨境數據流動”“數據存儲非強制本地化”等，還側重于構建促進中小企業權益、推動數字貿易便利化的條款。其中，數據是數字貿易發展的命脈所在，推動數據跨境流動與保障相關權益的“數據安全”(3)根據《中華人民共和國數據安全法》第三條：數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。議題是DEPA的核心內容。DEPA的“數據安全”內容和數字貿易規則“美式模板”存在交叉，亦具有較為鮮明的個性化特征，值得關注。

目前不乏針對DEPA和數據安全規則進行研究的文獻。一是針對DEPA進行的整體分析。趙旸頔等[2]和楊澤瑞[3]認為，相比于傳統RTAs框架下的數字貿易規則，DEPA的內容更為全面，對于解決數字貿易中的核心問題有重要作用；可以為中國未來構建數字規則提供有力借鑒，也可以助力亞太數字經濟合作的進一步發展。與此同時，DEPA仍然存在不足之處，如基本安全利益的分割和主權保護等[4]，技術創新的監管制度[5]有待完善，缺乏基礎設施建設或建立爭端解決機制等參考模板[6]。AARONSON[7]認為，DEPA建立了一個框架，但是對于構建數據治理的互操作性和共享方法作用甚微。二是對數據安全進行的規則分析。如馬光[8]結合特定例外、一般例外和安全例外，對DEPA、CPTPP和USMCA的跨境數據流動規則之約束范圍和承諾水平進行比對。劉瑛[9]和趙精武等[10]分別從信用和隱私云計算視角分析數據安全法律。許可[11]基于中國視角分析數據安全規制，指出可基于“重要數據可控”標準對數據流進和流出進行管理。洪延青[12]、馮潔菡等[13]和陳寰琦等[14]則從多方博弈視角分析了歐美在數據管制上的數據競爭戰略立場。周念利等[15]實證檢驗了跨境數據流動限制性措施對出口國數字服務出口二元邊際的影響。但是基于數據安全視角，對DEPA進行規則解析的文獻較為少見。

值得注意的是，中國2021年正式申請加入《數字經濟伙伴關系協定》(DEPA)。中國近年在RTAs框架下的數據流動和保護相關規則構建上體現出積極的態勢。如《區域全面經濟伙伴關系協定》(RCEP)就在專門的電子商務章節中構建了若干數據安全規則。這對于中國構建數字貿易規則而言，可謂是里程碑式的進展。不過，RCEP雖然包含不同類型的數字規則，但是在具體內容上有待進一步發展[16]，內容和DEPA等協定亦存在一定差異。相比于國際層面簽訂協議，中國在數據安全上的訴求更多地體現在其國內法層面，如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國國家安全法》《中華人民共和國民法典》等。此外，中國在對標高標準數字貿易規則過程中對一些涉及國家安全以及數字貿易領域的知識產權轉移等議題，如網絡開放、源代碼等持有保留態度[17]。因此未來中國如何結合國內法訴求以及國際貿易規則發展情況，提出自身的數據安全訴求并對接DEPA數字貿易規則有待進一步研究。鑒于此，本文通過比對中國簽訂的RCEP、“美式模板”代表性協定CPTPP和USMCA，解析DEPA數據安全規則的發展情況。在此基礎上，結合中國既有的國內法律，為中國對接和構建高水平數據安全規則提供決策參考。

一、數據安全規則定義和體系

DEPA第1.3條的術語界定中，“個人信息”是包含“數據”的：個人信息指關于-已確認或可確認的自然人的任何信息(4)數據來源于中華人民共和國商務部國際經貿關系司發布的《<數字經濟伙伴關系協定>參考中譯文》，見http://images.mofcom.gov.cn/gjs/202112/20211215174726440.pdf。全文同此。，包括數據。由于使用數字技術可將信息數字化為數據，信息相關規制也可適用于數據議題，因此本文在法規分析層面不對這兩者進行區分，將信息相關條例也納入文本分析框架之下。至于數據安全，如上文所述，依據《中華人民共和國數據安全法》第三條的定義對數據安全進行界定。這涉及到數據的利用和保護兩個概念，因此本文主要從促進數據流動和保護數據所有者(包括個人和國家層面)權益的角度分析DEPA相關條款的承諾水平，以及這些協定內容對中國對接高標準數據安全規則的啟示。

DEPA是專門為數字經濟構建的協定，共有16個模塊或章節。數字經濟是依托數據流動發展起來的，因此含有不少直接或間接與數據相關的規則。本文從數據流動和安全保護兩個角度對數據安全規則進行了梳理(表1)。內容主要包括模塊1對DEPA適用性優先等級的界定(第1.2.2條)；模塊4的計算設施定義(第4.1條)、對保護個人信息安全(如隱私安全)的要求(第4.2條)、推動跨境數據自由流動(第4.3條)和不強制存儲數據在當地(第4.4條)；模塊9的通過推動數據流動實現數據創新(第9.4條)，公開政府數據(第9.5條)；模塊10的數據流動和數據隱私相關信息的分享(第10.3.3條)；模塊15的例外條款，包括《關稅及貿易總協定》(GATT)與《服務貿易總協定》(GATS)密切掛鉤的一般例外(第15.1條)、涉及基本安全利益的安全例外(第15.2條)和規制金融內容的審慎例外(第15.4條)。

表1 DEPA中的數據安全規則

從規則管制的范圍來看，可以將上述數據安全規則細分為“特定規則”以及“一般性規則”。特定規則是管制特定議題的規制，如模塊4針對跨境數據流動(第4.3和4.4條)和信息保護(第4.2條)等特定議題構建的規則。而一般性規則的適用范圍比較廣泛，管制對象包括數字貿易在內的多個領域，因此在實踐中也會影響到數據安全規則適用的深度和廣度。較為典型的，如第1.2.2條對于在貿易協定中的DEPA優先適用順序的界定。在RTAs框架下的各個經濟體可以簽訂多個協定，而不同協定對同一議題的承諾水平或內容存在差異。如果一個協定被賦予了優先適用權，則其包括數據安全議題在內的規則可以更好地實施。DEPA相對溫和，并未賦予DEPA優先于其他協定的適用權。根據DEPA第1.2.2條規定，經濟體在適用DEPA規則還是CPTPP規則產生沖突時需要進行協商。這會制約DEPA規則本身的約束力。另外，一般性規則保留了締約方可不履行特定承諾的例外情況，主要涵蓋在模塊15中的一般、安全和審慎例外(第15.1、15.2和15.4條)。這些例外可以防止濫用賦予行為主體在數據流動上的權利，也會壓縮規則實施的自由度。鑒于此，本文對DEPA的特定數據安全議題進行分析時，除了特定規則本身，也會結合其他模塊或章節中影響其承諾實施水平的一般性規則進行綜合評價，以清晰把握DEPA數據安全規則的發展情況。

二、跨境數據自由流動

“跨境數據自由流動”即不限制“涵蓋的人”在締約方間出于開展業務目的的數據流動。該議題是目前數字貿易談判的焦點所在[18]。DEPA亦順應數字經濟的發展，引進了這一重要議題。針對“跨境數據自由流動”，DEPA和其他RTAs相比存在不少共性和區別。

在“特定規則”層面，DEPA第4.3條是對“跨境數據自由流動”進行規制的特定條款，共包括3項規定。第一項是促進“跨境數據自由流動”的條款，采用的措辭“may”使該條款具有約束力。第二、三項對第一項進行了約束。第二項雖考慮到締約方的監管要求，但僅采用“shall”這一軟性措辭，并未賦予締約方出于監管要求對數據流動進行限制的實際權限。第三項保留了具有約束力的例外條款，即不構成“不合理歧視或貿易限制”或“過度采取管制”的前提下，可采用出于“合法公共政策目標”的跨境數據流動管制措施。這保留了締約方對“跨境數據自由流動”進行管制的自主空間。除了DEPA，USMCA、CPTPP和RCEP等RTAs也對該議題進行了規定。它們所承諾的內容同時呈現交叉和背離關系(表2)。如CPTPP第14.11條和DEPA第4.3條是一致的。USMCA作為“美式模板”中代表性協議，第19.11條承諾跨境數據自由流動的措辭較為強勢，還刪除了監管例外條款。相比于DEPA，RCEP“電子商務”章節雖然包含禁止本地化措施，但是RCEP在特定規則層面賦予了締約方更大的數據流動管制空間[19]。如RCEP第12.15.3條特別規定“合法公共政策目標”由實施的締約方界定其必要性，同時將“基本安全利益”添加特定例外范疇之中。歸結而言，在特定規則“跨境數據自由流動”層面，DEPA和CPTPP的承諾水平在上述協定中處于中游，USMCA的自由化承諾水平更高，而RCEP更加側重于保留締約方的監管權限。

表2 各協定對“跨境數據自由流動”議題承諾水平

在“一般性規則”層面，DEPA模塊15涵蓋了“一般例外”“安全例外”“審慎例外”條款。這些規定從法理上可以和上述特定規則中的例外條款(簡稱“特定例外條款”)一起制約DEPA第4.3條跨境數據流動自由化措施。

第一，在“一般例外”方面。CPTPP第29.1.3條和USMCA第32.1.2條都要求針對“數字貿易”或“電子商務”章節，參考GATS第14條(a)(b)(c)的要求進行例外條款修訂。在此基礎上，DEPA第15.1.3條和RCEP第17.12.1條的“一般例外”還涵蓋GATS第14條(d)(e)。這兩項條款包含和最惠國待遇、國民待遇相沖突的例外情況。除此以外，DEPA第15.1.3條和RCEP第17.12.2條還專門針對“數字經濟”或“跨境電商”章節，將GATT第20條也考慮在例外范圍之內，即針對議題“跨境數據自由流動”在內的數字貿易規則，DEPA和RCEP都要求締約方參考GATS和GATT為“跨境數據自由流動”保留例外條款。GATS和GATT保留例外的范圍存在較大區別，因此同時引入兩者比單獨參考GATS所設置的例外范圍更大。可見，相比于USMCA和CPTPP，RCEP和DEPA的“一般例外”涵蓋范圍更為廣泛。后兩者會考慮到更多締約方自身訴求，給予締約方更大的數據流動管制空間。

第二，在“安全例外”方面。DEPA第15.2條、CPTPP第29.2條和USMCA第32.2條是一致的，即“如披露則違背其基本安全利益的任何信息”是不涵蓋在數據流動范疇之內的；以及不得阻止“履行維護或恢復國際和平或安全的義務或保護其自身基本安全利益所必要的措施”。相比而言，RCEP第17.13.2條安全例外范圍更為細致，列舉了對保護其基本安全利益所必需的任何行動。值得注意的是，RCEP在“例外”章節和“電子商務”章節同時針對“基本安全利益”進行了規則設置。一般來說，“例外”章節中的安全例外條款在援引上受到反濫用措施等多重限制。而RCEP第12.15.3條“電子商務”章節的特定例外條款專門針對數字貿易的“基本安全利益”進行規定，反映出中國對“安全例外”的重視程度，亦提高了適用“基本安全例外”的可能性。

第三，在“審慎例外”方面。“審慎例外”是針對金融問題所進行的規范，RTAs框架下構建審慎例外規則多受GATS的《關于金融服務附件》之影響。一般而言，該規則要求可以基于防范金融系統性風險以及保護金融服務提供者等微觀目的而采用的例外措施[20]。DEPA專門把“審慎例外”放置在數字經濟協定的“例外”章節中。與此相對應，雖然CPTPP第11.11.1條、USMCA第17.11.1條和RCEP第8.1.4條等都把“審慎例外”放置在“金融”章節，但未將“數字貿易”或“電子商務”章節的規則內容排除在抗辯范圍之外，即這些協定都承認審慎例外對數據流動的適用性，保留了締約方的審慎監管空間。結合上述3種例外的承諾情況，本文認為在“一般性規則”層面的例外條款構建中，DEPA賦予締約方的監管自主權高于USMCA，略高于CPTPP，而又低于RCEP。

綜合來看，在推動數據流動自由化和保留監管自主權水平上，DEPA在上述協定中處于中游的位置。相比于中國2020年簽訂的RCEP，DEPA的跨境數據流動自由化水平較高，而給締約方保留的管制權限較少。相對于CPTPP和USMCA等協定而言，中國在RCEP的承諾水平和DEPA比較接近。因此中國雖然對接DEPA的“跨境數據自由流動”規則存在難度，但是門檻相對較低。申請加入DEPA也給予了中國對接高標準數字貿易規則的機遇，推動中國完善自身的數字貿易規制，也會提高中國在貿易談判中的影響力。另外，關鍵在于針對差異所在的“基本安全利益”和“合法公共政策內容”進行進一步商榷。

值得關注的是，中國的訴求更多地體現在國內法上。《中華人民共和國網絡安全法》第37條和《中華人民共和國個人信息保護法》第3章“個人信息跨境提供的規則”分別針對關鍵基礎設施和個人信息數據進行了規定，對涉及國家安全和公共利益的數據予以保護，同時賦予敏感性不高的信息提供或接收空間[21]；但具體分級分類的方式使法律的適用依然存在一定的不確定性，有待進一步厘清。這些國內法的進一步發展對于推動合理的跨境數據自由流動非常重要，亦是中國更好地對接DEPA和參與構建高標準數據流動條款的關鍵所在。

三、數據存儲非強制本地化

在數據流動相關的談判中，備受爭議的議題還有“數據存儲非強制本地化”，即締約方不得強制要求“涵蓋的人”數據或數據存儲設施設置在東道國。這能夠賦予投資方或服務提供商選擇數據存儲地的權限。對于數字經濟與技術領域正處于起步階段的發展中國家對數據保護和本地化存儲等問題尤為關注; 發達國家則更加強調數據的自由流動立場[22]。一方面，數據存儲地的設置對大型數字經濟體至關重要。如作為數字服務貿易強國，美國致力于依托互聯網技術對外輸出數字服務，美國外包在境外的金融服務就是重要內容之一，金融危機后的強監管政策使美國企業將不少數字金融服務外包給其他國家。不同于美國的態度，一些國家在全球推動跨境數據自由流動的議題上依然采取保守和謹慎的政策[23]，如印度要求將金融數據存儲在本地。這些數據存儲強制本地化可能會使服務提供商面臨境外存儲設施安全性欠佳的風險，會阻礙服務提供商獲取信息、提供和優化服務。另一方面，敏感數據會涉及一國的國家安全問題，因此一些經濟體會對特定數據提出本地化要求。這些爭議亦體現在DEPA等協定之中。

對于該議題，DEPA第4.4條“計算設施位置”(5)計算設施的定義：用于處理或者存儲商業信息的計算機服務器和存儲設備(DEPA第4.1條)。第二項采用了富有約束力的措辭進行承諾。與此同時，該款項提出締約方在以下特定情況下可以限制履約，一是考慮各方監管要求(第一項)(6)該項采用軟性措辭“may”，不具備強制約束力。，二是不得禁止出于“合法公共政策目標”的制約行為(第三項)。針對“計算設施的位置”，USMCA、CPTPP和RCEP也專門作出了相應承諾。在“特定規則”層面，CPTPP第14.13條“計算設施的位置”和DEPA第4.4條內容是一致的，兼具了讓締約方自由設置數據存儲地和保留監管自主空間的權限。USMCA第19.12條“計算設施的位置”僅保留了推動數據流動自由化的條款，要求不得強制將數據存儲設施設置在當地，而限制其約束力的例外內容未納入該條款中。因此，USMCA在推動數據存儲非強制本地化的特定規則層面是富有約束力的，其數據流動的自由化承諾水平高于DEPA。RCEP和DEPA存在重合點，也存在差異。RCEP第12.14條亦引入了“計算設施位置”條款，DEPA第4.4.2條也對數據存儲非強制本地化進行了有約束力的承諾。與此同時，RCEP第12.14條添加了“基本安全利益”這一特定例外條款，即締約方出于保障其“基本安全利益”目的，可以對數據存儲進行管制。這也是RCEP和深受“美式模板”影響的諸多RTAs存在區別的地方。另外，如上所述，在“例外”章節中，這些經濟體所設置的一般性規則層面的例外涵蓋范圍從小到大依次是USMCA、CPTPP、DEPA和RCEP。鑒于此，從數據存儲非強制本地化的承諾強度來看，DEPA在這些協議中處于中等偏低的位置。不過，由于該議題是近幾年數字貿易發展中所提出來的，只被納入少部分RTAs，因此從全球層面來看，對此進行承諾的DEPA是屬于數字貿易規則構建進展較快的協定。由此可見，DEPA標準的數據安全規則對于不少國家的規則對接來說亦是一種挑戰。

相較于國際規則，中國在國內法層面針對數據存儲的規制構建進展更快，更能詳細體現中國在數據安全上的立場。《中華人民共和國網絡安全法》第37條針對“關鍵信息基礎設施”，對其運營者在中國收集到的重要數據和個人信息進行管制，要求這些數據存儲在境內，因業務需要向境外提供的必須進行安全評估。《中華人民共和國數據安全法》第31條則進一步肯定了《中華人民共和國網絡安全法》的這些規定，對于其他類型的重要數據存儲及出境問題，也需要由國家網信部門會同國務院有關部門進行規范。而對于更為一般性的數據，《中華人民共和國數據安全法》第36條規定除非經過中國主管機關批準，否則境內組織、個人向外國司法或者執法機構提供存儲于中國境內的數據是被禁止的。《中華人民共和國個人信息保護法》第40條規定，除了關鍵信息基礎設施運營者需要將個人信息存儲在境內，對個人信息處理者所處理的、超過國家網信部門限定數量的信息也有存儲本地化的要求，而這些信息如果要輸往境外則應當通過安全評估，這實質上是數據本地化范疇的內容。由此可見，中國在細則上就此進行了較為全面的規定，而這些規定和數據存儲非強制本地化存在差異。鑒于此，中國在申請加入DEPA并進行數據存儲非強制本地化談判的過程中，無論在國內法還是國際規則層面，都可能面臨挑戰，尤其需要進一步協商例外的細節和范疇。

四、個人信息保護

保障信息安全，是數據安全的重要組成部分。大量的個人數據侵權可能導致集體數據的大范圍損失，因此對個人信息保護的監管也是對集體數據的監管[24]。大多數國家已經完善了個人數據保護結構和法律，個人數據保護現在被視為數據驅動經濟的一個基本要素[25]。在上述的幾個協定中，都有針對“個人信息保護”進行規范的特定規則，分別是DEPA第4.2條、CPTPP第14.8條、USMCA第19.18.1條、RCEP第12.8條。區別于前三者將這一規則都命名為“個人信息保護”，RCEP強調了這些信息的數據屬性，將規則命名為“線上個人信息”。

與“跨境數據自由流動”和“數據存儲非強制本地化”這兩項議題相比，“個人信息保護”議題的規則比較零散，數目相對較多。綜合來看，DEPA在個人信息保護方面，區別于其他代表性的條款有以下顯著特征。一是覆蓋范圍較廣。它針對8個主要議題，構建了10項規則。相比于其他協定普遍涵蓋5—6項規則，DEPA的“個人信息保護”規定了更為廣泛的內容。二是規則承諾較具深度。雖然USMCA等協定在這一議題上也具有強制性，但是從措辭來看，DEPA的措辭更具約束力，如DEPA采用“shall”進行承諾的頻次較多，而CPTPP和USMCA的“個人信息保護”條款中，“shall endeavor to”和“should”則較為多見。相比于推動數據流動的“自由化”規則，DEPA在個人信息保護方面設置的規范較為周全。

具體到規則條款個體層面，DEPA相比于其他三大協議呈現不少特征(表3)。根據是否賦予強制約束力，本文將這些議題分成兩類。第一類是采用軟性語言進行規范的倡導性規則，主要包括兩個議題：一是針對信息的重要性普遍表現出認可的態度。DEPA第4.2.1條、USMCA第19.8.1條、CPTPP第14.8.1條要求認可電子商務、數字貿易或數字經濟中個人信息保護對于經濟和社會的重要性。相比于USMCA和CPTPP將信息局限于電子商務或數字貿易的范疇，DEPA順應其協定覆蓋數字經濟的特性，將個人信息保護的范圍擴展至“數字經濟參與者”，但這是一個軟性的倡導性條款，沒有實質上進行規制的內容。二是關于構建個人信息保護相關法律應該考慮的要素，DEPA第4.2.3條和USMCA第19.8.3條規定需要包含(a)收集限制；(b)數據質量；(c)用途說明；(d)使用限制；(e)安全保障等內容。該條款具備指引性質，但亦無約束力。

表3 各協議針對“個人信息保護”構建的規則內容

第二類是賦予約束力措辭的條款，包括以下子議題：一是在法律框架的構建方面，從法律規制以及國際組織框架指引推動營造個人信息保護的良好法律環境。DEPA、USMCA和CPTPP在法律規制層面皆詳細指出可采用隱私、個人信息或者數據進行全面保護的法律(laws)，或特定部門包含隱私等法律以履行個人信息保護的義務。RCEP則在此基礎上引入法規(regula-tions)，以確保企業法人承擔的個人信息保護相關義務得以執行。另外，在借鑒國際組織的指引框架方面，USMCA第19.8.2條特別指出參考經濟合作與發展組織(OECD)、亞太經濟合作組織 (APEC)的隱私(保護)框架，這有助于在規則執行時落實具體參考對象。

二是關于個人信息保護相關信息的公開，要求締約方公布其保護電子商務用戶個人信息的相關資訊。在公開信息方面，RCEP第12.8.4條對于締約方的法人、個人信息保護相關的程序和政策，是鼓勵采用線上等形式公開。這項措施有助于擴大個人信息保護相關法律的影響力，達到保護個人信息安全的目的。

三是對于不同締約方差異化個人信息保護規制，致力于構建機制以促進它們的兼容性。各經濟體在個人信息保護的規范上存在較大區別。如對于個人信息保護的基本標的之一“隱私”，中國、歐盟和美國都有不同的定義和范圍。因此DEPA等協定致力于構建統一兼容的機制，以協調各經濟體不同立場或者文化背景所帶來的規則分歧。DEPA第4.2.6條、CPTPP第14.8.5條和USMCA第19.8.6條都要求該機制需要包含以下內容：通過自發或協定的形式對個人信息保護結果的認可，以及更為廣泛的國際框架來制定。其中，USMCA再次強調了需要借鑒APEC跨境隱私規則進行個人信息保護和推動跨境數據流通，體現出“美式模板”對于數據流動的重視程度。相對而言，DEPA第4.2.6條設置的機制涵蓋范圍較為廣泛，要求機制在上述基礎上還需涵蓋“各自法律框架下的可信任標志或認證框架所提供的相當水平的保護”，以及締約方間用以轉移個人信息的其他途徑。值得注意的是，這3個協定都強調了交流信息的重要性：即針對這類適用于其管轄范圍內的機制進行有效溝通，并探索促進不同機制兼容性的(貿易)安排。除了機制的覆蓋范圍更大之外，DEPA在措辭上亦更有約束力。如DEPA第4.2.6條措辭采用“shall”，CPTPP第14.8.5條和USMCA第19.8.6條則采用了相對溫和的措辭“should”。

四是“數據保護信任標志(trustmask)”。DEPA區別于其他協定內容之一是鼓勵使用信任標志，承認其在數據安全中所起到的重要作用。信任標志作為一種資質認證的標記，有效使用信任標志至少可起到以下作用：對持有信任標志的內容、服務提供者提供便利化措施，提高效率；可以借此構建一個統一且穩定的安全監管體系，有助于實施數據安全相應政策，為數字貿易發展營造良好的環境。

相對而言，中國在個人信息保護的國際貿易規則構建方面與DEPA存在一定的差距。如表3所示，從范圍來看，DEPA第4.2條所包含的內容多于RCEP第12.8條。RCEP雖然在構建法律框架、個人信息保護相關信息公布等法律構建和宣傳上有所規定，但是在實踐上沒有對非歧視性做法、兼容方面進行具體規范。這可能是因為各經濟體具有差異化的個性化立場，要對此進行協調統一具有一定難度。值得注意的是，區別于其他協定，RCEP亦有其獨特之處，也即“各方合作保護獲取的信息”，即需要保障締約方的數據即便已經傳輸到另一締約方時，防止因為跨境帶來的地理和法律差異等因素損害信息所有者的權益。這亦體現出中國在個人信息保護上對境外信息保護的重視程度。另外，《中華人民共和國個人信息保護法》也涵蓋了較為豐富的內容，特別是針對數據流動和數據本地化中的個人信息保護都制定了相應法律。但是在“隱私”等問題的界定上與國際各大經濟體仍存在差異。這也是中國未來對接DEPA乃至構建高標準數據安全規則需要考量的問題之一。

五、結語

本文通過比對數字貿易規則“美式模板”代表性協定USMCA和CPTPP，以及中國新近簽訂的RCEP，分析DEPA與上述三大協定的趨同與彌合，借此深入討論DEPA在數據安全核心議題上的規則構建情況。

首先，針對跨境數據自由流動，綜合分析特定規則和一般性規則后發現DEPA在數據流動自由化程度上與“美式模板”中USMCA存在較大差距，無論是“特定規則”還是“一般性規則”的例外條款中，USMCA對數據流動管制的例外涵蓋范圍都少于DEPA。CPTPP電子商務章節的“特定規則”和DEPA非常相似，但是CPTPP“一般性規則”的例外條款更為接近USMCA，監管制約的范圍小于DEPA。RCEP的規則承諾模式與上述協定具有相似之處，但是與此同時對跨境數據自由流動保留的監管空間較大，尤其在特定規則上規范了“基本安全利益”和“由締約方決定的合法公共政策必要性”。其次，針對數據存儲非強制本地化，這些協定在推動數據自由化和保留監管空間兩個范疇的水平排位順序與跨境數據自由流動是類似的，DEPA的承諾水平處于中游位置。DEPA和RCEP的區別也主要存在于特定規則層面的“基本安全利益”和“合法公共政策”的必要性確定上。最后，針對個人信息保護，DEPA的覆蓋范圍較為廣泛，并特別就“數據保護可信任標志”的推廣使用進行了規定。相比而言，RCEP的覆蓋范圍較窄，但區別于其他3項協定，RCEP特別強調就各方獲取的信息進行保護，可以體現出中國對于保護個人信息的重視。

綜合來看，DEPA在數據安全層面的規則構建較為先進和全面，涵蓋了不少前沿議題并進行了較為細致的規定。在推動數據流通自由化層面，DEPA的自由化程度低于USMCA和CPTPP，在保留自主監管空間和信息保護方面，則高于USMCA和CPTPP。雖然DEPA和RCEP存在差異，但是相對于其他RTAs而言，DEPA在數據安全規則的議題和RCEP是比較接近的，其中不少內容亦比較契合中國在數據安全上的訴求。這意味著，申請加入DEPA對于中國而言是既是挑戰也是機遇。一方面，中國和DEPA在數據流動等議題上需要進一步確定和磋商基本安全利益的具體內容，減少規則承諾標的范圍不清晰導致的不確定性等；另一方面，申請加入DEPA也給中國帶來構建高標準數字貿易規則的良好機遇。借此契機，中國針對數據安全內容可以推進國際層面規則的構建進程，同時完善國內法的相關規定。目前雖然推出了《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》等與數據安全密切相關的法律，但是法律適用對象等方面亦有待進一步完善。在申請加入DEPA的過程中，中國自身規制的完善有助于提升規則制定的影響力，對申請加入CPTPP乃至參與其他RTAs協定的談判都有所裨益；這亦有助于中國為數字貿易發展營造良好的法制環境，推動自身數字貿易的發展。

隨著全球數字貿易治理的深化，未來RTAs框架下將出現更多有關數字經濟與數字貿易規則的協定。尤其在數據安全領域，伴隨數字經濟的發展，數據的重要性亦與日俱增；數據流的合法利用和有效保護亦是未來數字貿易談判的焦點所在，就此進行的規則談判可能會出現更多新進展。因此有必要結合數據安全領域內新議題與新情況(如數據的共享和互操作性)進行進一步研究，以期更好地把握全球數字經濟發展格局與趨勢，為構建良好的數字貿易規則環境提供政策參考。