RCEP協定下我國數據跨境流動規則的檢視與完善

李燁

（南京大學法學院，南京 210093）

一、問題的提出

2021 年7 月2 日，我國互聯網信息辦公室發布公告，以防范國家數據安全風險、維護國家安全，以及保障公共利益為由，對 “滴滴出行” 實施網絡安全審查。時隔一年后，國家網信辦依法對滴滴全球股份有限公司及其主要高管處以罰款。該案也引發社會各界對數據跨境流動的關注，數據跨境流動與國家安全維護似乎形成對立趨勢。在數字經濟時代，跨境電子商務、數字貿易的蓬勃發展，迫切需要數據跨境流動作為支撐。但各國采取不同的數據跨境監管標準，對數據流動產生了實質性障礙，國際數據規則需要協同發展[1]。2022 年，《區域全面經濟伙伴關系協定》（以下簡稱RCEP）正式生效，我國為首批生效國家之一，標志著我國對外開放邁上新的臺階。RCEP 協定在電子商務章節就數據跨境議題為締約方設定了監管權力與責任義務，協定的生效為我國數據跨境規則完善提供契機，如何平衡數據安全與自由流動也是數據跨境流動規制的重要問題。

學術界關于數據跨境流動監管的研究，一方面以本國視角進行，從我國的基本立場與方案出發，探討梳理我國的規制現狀[2]，或者以特定類型數據跨境流動入手展開研究[3]。另一方面以國際視角展開討論，關注全球數據跨境治理與中國因應[4]，或者以大型區域貿易協定的電子商務數據規則為探討重點[5]。伴隨數據法治的熱度，數據跨境流動規則的研究成果也較為豐富，為本文的研究奠定了基礎。以RCEP 協定數據流動框架為導向，對我國數據跨境流動規則進行檢視，尋求限制數據跨境流動措施的RCEP 協定合法性依據并進一步完善，不僅有利于維護國家信息安全，保障公共利益，也有利于企業在公開透明合理的規則下開展國際經貿活動，促進區域經濟增長。

李叔和這時候，反而有些怕，他突然想起這樣一個理由。我咋跟你去？我這一身打扮，滿身的魚腥味，怕給你丟人哪。

二、RCEP 協定數據跨境流動框架與我國數據跨境流動規則

數據跨境流動作為電子商務發展的基礎，RCEP建立了以多元共治為理念的框架，強調數據跨境的自由流動。該框架對我國數據跨境流動規則既是挑戰也是機遇，需要以此為基準進行考察與審視。

（一）RCEP協定數據跨境流動框架

RCEP 協定兼顧發達國家關切的電子商務發展利益，與發展中國家重視的數據安全及其相關產業發展，充分尊重與包容不同國家數據保護措施的差異性[6]。RCEP 協定涉及數據跨境流動內容主要集中于第十二章 “電子商務” ，同時在第八章 “服務貿易” 的金融與電信附件也有所提及。

1.多元共治理念

RCEP 協定數據跨境流動框架多元共治理念體現為主體多元、利益平衡與制度共存。首先，主體多元表現為RCEP 協定由區域性合作組織東盟發起，涵蓋亞太地區的發達國家與發展中國家，實現了多元化主體共商共治。其次，利益平衡主要體現為RCEP 協定數據跨境流動框架充分考慮發達國家與發展中國家不同的利益訴求，在鼓勵數據跨境自由流動滿足發達國家需求的同時，也為部分數字產業落后的成員國設置5～8 年的適用寬限期①RCEP協定第十二章第十四條第二款和第十二章第十五條第二款注釋。，為其發展本國數字產業與完善數據跨境監管制度提供時間。最后，制度共存主要體現為RCEP 協定數字跨境流動框架對各國敏感的公共政策目標例外增加了 “締約方認為” （it considers），這就意味著締約方對是否有必要實施 “合法公共政策” 限制數據跨境流動擁有自主決定權[7]，體現了RCEP 協定尊重各國監管規則差異，也為各國相應規則對接奠定基礎。

2.自由流動原則

電子商務作為數據跨境流動的最大載體與用途，RCEP 協定第十二章電子商務章節奠定了數據跨境流動的基本框架與規則導向。為倡導區域內的數據跨境自由流動，RCEP 第十二章第十四條第二款禁止數據設施本土化，即締約方不得強制要求數據處理的設施位于本國領土之內作為從事電子商務的條件，為數據跨境流動建立設施基礎。RCEP 第十二章第十五條第二款要求任何締約方不得阻止因商業行為而進行的數據跨境行為，為區域內數據跨境流動提供了制度支撐。RCEP 協定數據跨境流動框架以禁止性規定為主，對數據設施本土化與阻礙商業行為的數據跨境行為予以反對，強調以區域數據跨境的自由流動推動電子商務的發展。此外，在第八章服務貿易的附件1 與附件2 中，針對金融服務與電信服務也作出不得阻礙數據信息跨境流動的規定。

3.限制流動例外

4.合法出境情形

綜上所述，RCEP 協定數據跨境流動框架以多元共治理念為核心，自由流動為原則，限制流動為例外，具體如表1所示。

表1 RCEP協定數據跨境流動框架

（二）我國數據跨境流動規則

作為RCEP 協定締約國，我國的數據跨境流動規則也將接入RCEP 協定數據跨境流動框架。我國數據跨境流動規則以安全至上理念著稱，形成以《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）為核心，《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》為補充的規則框架。

從“既要金山銀山，也要綠水青山”“綠水青山就是金山銀山”的提出，到全國性的環境保護事業的發展，鐵腕治污，淘汰落后產能，打好藍天保衛戰。

如何平衡數據跨境流動與國家數據安全，是世界各國都在努力嘗試解決的問題。我國應立足國情，順應跨境數字貿易發展趨勢，在保障相關機構對數據跨境有充足的監管能力的前提下，適應包括已加入的經貿協定等國際規則的相關要求。在RCEP 協定下，我國應塑造數據安全與促進流動相協調的理念，對內統一相關概念并建立重要數據目錄，對外拓展數據合法出境渠道與加強區域合作，推動數據跨境流動規則的完善。

我國數據跨境流動的安全監管是以國家網信部門為主導，其具體負責數據出入境監管與安全評估事項。無論是《網絡安全法》所要求的 “關鍵信息基礎設施” 數據出境安全評估辦法的制定主體，還是《個人信息保護法》所確定的個人信息出境的認證審核主體，都以國家網信部門為主導，或會同國務院其他部門協作。故我國采取的是相對集中的監管模式，由國家網信部門負責數據跨境流動的安全監管工作。

1.安全至上理念

2.安全監管主體

在MATLAB中計算出一次擬合、二次擬合和三次擬合的曲線系數，并進行誤差分析。實驗證明，在35～39℃內精度能夠達到±0.06℃，39～41℃內精度能夠達到±0.2℃。滿足對人體基礎體溫測量的要求。

3.安全評估措施

依據《網絡安全法》，我國數據出境采取安全評估措施，對象為關鍵信息基礎設施產生的個人信息與重要數據。《網絡安全法》第三十一條第一款對關鍵基礎設施的界定，包含了公共秩序要素與國家安全要素兩大方面[10]。《關鍵信息基礎設施安全保護條例》進一步明確以國家安全、國計民生、公共利益等價值理念為衡量關鍵信息基礎設施的標準。《個人信息保護法》則要求處理個人信息達到國家網信部門規定數量的，個人信息出境應當通過國家網信部門的安全評估。2022 年出臺的《數據出境安全評估辦法》對安全評估措施的對象與流程予以詳細說明。該辦法第四條表明我國采取主體加數量雙重標準界定評估對象：一是關鍵信息基礎設施運營者與處理100 萬人以上的數據處理者主體適用安全評估；二是以特定時間累計向境外提供10 萬人個人信息與1 萬人敏感個人信息為界，對達到量級的數據處理者適用安全評估。在流程上，我國要求數據出境主體自行開展數據出境風險自評估，再按要求提交相關材料報送省級網信部門，即 “自評估+安全評估” 的程序。最后，國家網信部門在規定時間內出具評估結果決定其是否可以出境，同時還賦予數據處理者對評估結果的救濟措施，對有異議的結果可以申請網信部門復評。

RCEP 協定在倡導區域內數據跨境自由流動之時，也規定例外條款對自由加以限制。RCEP 協定第十二章第十四條第三款和第十五條第三款分別針對禁止數據設施本土化與數據跨境自由流動作出了兩種不適用的安全例外情形:一是締約方基于合法的公共政策目標的實現；二是締約方保護基本安全利益的必要。在特別例外方面，RCEP第八章附件1與附件2分別就金融信息數據與電信信息數據的流動允許各國進行限制。RCEP 協定數據跨境流動安全例外與特別例外，作為倡導區域內數據跨境自由流動的補充，有利于區域數據安全的實現[8]。

依據《個人信息保護法》第三十八條的規定，我國數據合法出境有四種情況：一是通過國家網信部門組織的安全評估；二是按照網信部門規定通過專業機構的個人信息保護認證；三是通過制定的標準合同與境外接收方訂立合同；四是兜底的法律、行政法規或其他條件。整體而言，我國數據合法出境情形是兩大類：一是通過數據安全評估；二是豁免數據安全評估，包括通過個人信息保護認證，訂立數據跨境標準合同。

綜上所述，我國以安全至上的理念構建數據跨境流動規則，由國家網信部門主導個人信息與重要數據的安全評估，建立起初步的數據合法出境制度，如表2所示。

地表水受到嚴重污染，城鎮供水水源地水質不能達到有關標準；大量未經處理的廢污水排入河道和滲井、滲坑，加之過量使用農藥和化肥，使得河流和地下水受到嚴重污染。城市下游河道多為不能利用的超V類水體，減少了水資源的可利用量。

表2 我國數據跨境流動規則

三、RCEP 協定下我國數據跨境流動規則的檢視

以RCEP 協定的數據流動框架為藍本，我國應對現有規則進行檢視。檢視主要包括對規則理念的考察，以及 “數據儲存本土化+出境安全評估” 制度是否符合RCEP 協定例外條款要求，并在此基礎上完善我國數據跨境流動規則。

（一）規則理念的考察：多元共治與安全至上

任何法律規則均受理念之引導而構建，其目標導向與權利義務配置都受到立法理念的影響。RCEP協定數據流動框架以多元共治理念為基礎，倡導數據跨境自由與安全流動。而我國數據跨境流動規則所秉持的安全至上理念，是對總體國家安全觀的貫徹與實踐。兩者理念的沖突，集中體現于數據安全與跨境自由的衡量與側重。

在建筑工程施工過程中，因為部門較多，人力資源，物力資源錯綜復雜，而相對性的管理并不是很嚴格。又會受到環境，市場等因素的影響，往往會出現工程是常有變更的情況，而每一次工程變更都會對造價產生或大或小的影響。工程變更必須得到相對應的控制[1]。而且目前部分施工單位和建筑單位對于工程變更的管理太過于忽視，隨意就會出現人員變動現象，導致工程預算很難與實際施工情況相符合，如果再加上施工前設計表不合理的，就會影響施工單位資金預算調整嚴重拖長預算。

9月27日，中國水利報社2012年度新聞宣傳工作會議在京召開。水利部黨組書記、部長陳雷出席會議并講話。水利部黨組成員、中紀委駐水利部紀檢組組長董力主持會議，水利部黨組成員、副部長劉寧，水利部黨組成員劉雅鳴、總規劃師周學文出席會議。

作為RCEP 協定締約國，我國的數據跨境流動規則應當在理念上與RCEP 協定接洽與兼容，才能從具體制度上進行匹配。RCEP 協定對待數據跨境包含跨境自由與安全流動兩大方面，而我國數據跨境規則理念側重安全至上理念。《數據安全法》第十一條明確促進數據跨境安全、自由流動，有學者認為這是我國平衡對外開放與國家安全的關系，倡導審慎包容與鼓勵合作的監管方案[11]。但就具體管制措施與制度而言，我國強調數據儲存本土化與出境安全評估，缺乏對自由流動的途徑與范圍的說明，相關法律表達具有濃重的應對性意味，特別是在經貿業務領域，以 “全面鋪設” 控制數據跨境流動的 “閘口”[12]。依據《網絡安全法》，數據儲存本土化針對的主體是關鍵信息基礎設施的運營者，要求在我國境內所收集的和產生的個人信息和重要數據本土化儲存，其規制邏輯在于其優先保護國家數據主權，而非個人或企業的數據權利。同時，數據儲存必然依賴于一定的設施，數據存儲的本土化勢必會帶來數據設施的本土化，單方面強調數據儲存本土化會造成我國側重數據安全，輕視流動自由的理念現狀。盡管數據儲存本土化要求對保障我國網絡安全具有重要意義，但是安全評估及其與之相關的數據本土化措施具有極大的靈活性與不確定性，導致法律規則的穩定性與可預期性喪失，失去數據跨境流動的基礎[13]。

與此同時，我國缺乏具體的數據跨境自由流動制度與數據儲存本土化相呼應，與RCEP 協定數據跨境自由流動的要求存在距離。從《網絡安全法》對數據跨境流動的嚴格限制，到《個人信息保護法》對個人信息設置出境條件，再到《數據安全法》提出促進數據跨境安全、自由流動，我國對數據跨境流動的態度也開始轉變。RCEP 協定數據跨境流動框架的自由流動規則，包括禁止數據設施本土化與不得阻止因商業行為而進行的數據跨境行為兩個方面。我國作為RCEP 協定的締約國，明確數據跨境自由流動并構建相應制度是數據出境規則的應有之義。我國堅持數據儲存本土化要求的同時，逐步允許有條件開展數據跨境流動，也體現我國立法機構順應潮流，適度放松數據出境安全評估的導向[14]。盡管當前世界各國對數據跨境流動開始呈現收緊態勢，歐盟與美國之間的博弈導致 “隱私盾協議” 被宣告無效，數據跨境流動規則呈現碎片化趨勢[15]。但我國作為人類命運共同體理念的倡導者，更應當主動應對 “逆全球化” 潮流，提出數據跨境流動的中國方案，而該方案勢必要包含倡導數據跨境自由流動制度作為支撐。

（二）數據儲存本土化考察：基本安全利益例外的援引

數據儲存本土化作為我國數據跨境流動規則體現 “安全至上” 理念的重要措施之一，是國家對數據流動強力限制的體現，也是數據主權的具體實踐。我國行使數據主權要求數據儲存本土化，應當兼顧我國加入的RCEP 協定的要求，措施對外效力的實現需要以RCEP協定例外條款作為支撐。

數據儲存本土化措施在RCEP 協定下的合規性考察，需要證明該措施符合 “基本安全利益例外” 的情形，那么RCEP 基本安全利益例外條款的解讀則尤為重要。RCEP 第十九章第四條第二款規定，條約解釋在爭端解決過程中具有重要與普遍的意義，既往WTO系列協定已有條款被納入RCEP的，對其進行解釋之時需要合理充分考慮WTO 爭端解決機構所通過的報告。故WTO 系列協定的安全例外條款的解釋以及相關爭端解決的實踐，對理解RCEP 協定關于數據跨境基本安全利益例外條款是可行且重要的[16]。在WTO 系列協定中，《關稅與貿易總協定》（以下簡稱GATT）、《服務貿易總協定》（以下簡稱GATS），以及《和貿易有關的知識產權協定》（TRIPs）均有安全例外條款。鑒于 “條約必須遵守”③“條約必須遵守” 作為習慣國際法，也是條約法的基本規定，參見《維也納條約法公約》序言和第二十六條相關規定。，基本安全利益例外條款是締約方履行條約義務之例外的依據[17]。該條款以 “基本” 一詞修飾 “安全利益” ，應當視為對安全利益的限縮與限定，即強調對締約方而言具有重要與基礎的安全利益[18]。結合條約目的和宗旨，GATT 起草者強調要避免安全例外條款被各國用于解釋 “真正具有商業目的的措施”④World Trade Organization(WTO), GATT Analytical Index-Security Exceptions, http://www.wto.org/english/res_e/publications_e/ail7_e/gatt1977_art21_gatt47.pdf.，故基本安全利益不應當包含只基于商業經濟目的考量的安全利益。在WTO 的爭端解決實踐中， “俄羅斯運輸” 案專家組澄清了 “基本安全利益” 的范圍與程度，專家組認為 “基本安全利益” 應當被包含于 “安全利益” 之內，即 “基本” 的修飾導致 “安全利益” 范圍的縮小， “基本安全利益” 指與國家典型職能有關的利益，即保護其領土和人民不受外來威脅，以及維護國內法律和公共秩序的利益⑤Panel Report,Russia-Measures Concerning Traffic in Transit,WT/DS512/R(26 April 2019).para.7.130.。在隨后的 “沙特知識產權” 案中，專家組再次肯定了 “俄羅斯運輸” 案關于 “基本安全利益” 的界定與判斷標準⑥Panel Report, Saudi Arabia-Measures Concerning the Protection of Intellectual Property Rights, WT/DS567/R(16 June 2020).para.7.280.。

國民經濟發展中農業發展占據基礎性地位，作為農業生產的重要組成部分，養殖業發展也受到現代社會的高度重視。目前社會群體的生活水平顯著提升，對于食草動物及其產品的需求也呈現日益增長的態勢，具有代表性的是牛羊。立足我國的基本國情，可明確草食動物食草優勢的發揮，符合自然資源現狀，能通過綠色化動物產品的發展，滿足人類社會多元化的消費需求。

以WTO 系列協定的安全例外條款解釋及其實踐為參考，RCEP 基本安全利益例外條款雖賦予締約方較大的裁量權，但是援引該條款應當承擔兩項舉證責任：一是以 “善意原則”⑦“善意原則” 來自《維也納條約法公約》第三十一第一款： “條約應依其用語按其上下文并參照條約之目的及宗旨所具有之通常意義，善意解釋之。”闡明該措施保護何種 “基本安全利益” ；二是證明該措施與 “基本安全利益” 之間具有 “最小合理” 的關聯性⑧Panel Report,Russia-Measures Concerning Traffic in Transit,WT/DS512/R(26 April 2019).para.7.138.。以此對我國數據儲存本土化制度進行考察，一方面，我國對于關鍵信息基礎設施的定義具有 “國家安全” 因素，在關鍵信息基礎設施運作過程中，數據是不可或缺的存在，起到保護國家安全、國計民生、公共利益的作用。如果數據遭到竊取或泄露，勢必導致國家安全利益受損或社會秩序的動蕩。因此，援引上述專家組對 “基本安全利益” 解釋該數據儲存本土化措施所保護的客體是可行的。另一方面， “網絡主權” 得到世界各國普遍承認也讓數據規制措施在保護國家安全和公共秩序等方面被各國所接受，特定數據的存儲和處理本土化要求等典型措施也被諸多國家采用。因此，上述相關數據如在境外儲存，是無法杜絕其泄露對 “國家基本安全” 的威脅，數據的本土化存儲與 “基本安全利益” 之間存在 “最小合理” 的關聯度，故我國數據儲存本土化措施可以援引RCEP 相關基本安全利益條款而產生對外效力。

（三）出境安全評估考察：公共政策目標例外的援引

出境安全評估是我國數據跨境流動規則對數據流動出境所設置的閥門，承擔著識別并允許數據跨境流動的監管作用，其本質是互聯網規制措施的一種。出境安全評估措施可以看作是對數字貿易作出的限制，措施合規性體現為符合相關條約的一般例外條款，并著重考察實現目標措施的必要性。

出境安全評估要求滿足主體或數量要求的數據處理者向境外提供的個人信息，以及關鍵信息基礎設施產生的重要數據，需要通過安全評估才能向境外傳輸數據。關鍵信息基礎設施所產生的重要數據的評估，以上文分析可知其能夠援引RCEP 協定 “基本安全利益例外” 而成立。那么針對滿足主體或數量要求的數據處理者向境外提供的個人信息，則與 “公共政策目標例外” 關聯度更高。RCEP 公共政策目標例外條款的解釋方法與基本安全例外條款基本相同，應以參照WTO 爭端解決實踐進行。不同于RCEP 協定基本安全利益例外條款對GATT 相應條款的完整納入，GATT 和GATS 的一般例外條款中并沒有出現 “公共政策目標” 的用語，而是對各類正當化的理由予以說明，類似的表述為 “公共道德” 和 “公共秩序” 。針對 “公共道德” 的解釋與適用，需要先明確什么類型的道德可以成為WTO 協定一般例外條款下的非貿易關切，本質是何種范圍的道德能夠被WTO 協定合法保護，然后是實現公共道德目標的措施是否符合WTO協定的實體與程序性條件[19]。 “公共秩序” 的解釋與適用則需考察GATS 的目標與實踐，其只在GATS 第十四條（a）項⑨GATS第十四條（a）項： “保護公共道德所必要的，或者是維持公共秩序所必要的。”出現。 “公共秩序” 的認定應當滿足相關威脅具有嚴重性，以及相關利益對整體社會的重要性[20]。在WTO 的爭端解決實踐中，專家組很難對 “公共道德” 或 “公共秩序” 予以統一明確的界定，而是通過給予各成員方一定的自主裁量權，根據本國的法律制度、社會文化、價值觀念等，在其本國境內界定概念與范圍并予以適用⑩Panel Report, United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R(20 April 2005).Para.6.461.。故對 “公共道德” 或 “公共秩序” 的理解，需要結合現有的社會、文化、道德和宗教價值等因素，不同成員方在不同的時空內對二者的認定并不完全相同，不存在通用的準則與衡量標準。因此，RCEP 聯合委員會或專家組1RCEP協定第十二章第十七條第二款規定，磋商未果的締約方可根據第十八章第三條將爭議事項提交至RCEP聯合委員會審議。對 “公共政策目標” 概念的界定，也會采用依據成員國國內法的方式予以解釋，而非明確劃定具體的范圍。RCEP 協定成員方相關措施能否援引公共政策目標例外條款，關鍵在措施的適用條件與方式。RCEP 協定公共政策目標例外條款對相關措施的合法適用作出限制與WTO 協定相同，即應當不構成 “歧視” 與 “變相限制” ，二者可理解為締約方的規制權受到 “非歧視” 條件的限制。結合WTO “美國蝦案”2Appellate Body Report, United States-Import Prohibition of Certain Shrimp and Shrimp Products, WT/D58/AB/R(6 Nevember 1998).、 “巴西—翻新輪胎案”3Appellate Body Report,Brazil-Measures Affecting Imports of Retreaded Tyres,WT/DS512/R(26 April 2019).的相關裁決可以得知，是否構成 “任意或不合理的歧視” ，應當分析措施 “歧視” 產生的原因或理由，即措施是否可以與公共政策目標例外建立合理的聯系，在此基礎上相關措施還需具有充分的靈活性，需要存在其他能夠達成同一目標的手段或方式作為補充。

綜上所述，我國 “數據儲存本土化+出境安全評估” 制度基本滿足RCEP 協定基本安全利益例外與公共政策目標例外條款的要求，可以獲得支持并援引其作為合規性依據。但是，相關措施體現著我國安全至上的數據跨境流動規制理念，與RCEP 協定所倡導的自由流動原則存在偏差。同時，我國限制流動措施雖然基本能夠援引RCEP 協定例外條款，但是在規則用詞的表述方面與RCEP 協定有所不同，可能會造成條文的解釋與適用不一致的問題，需要改進與完善。

結合WTO 協定 “公共道德” 與 “公共秩序” 的理解與實踐，以及RCEP 協定相關條款的分析，我國采取數據出境安全評估措施是基于RCEP 賦予締約方廣泛自由裁量權的體現，其合規性考察的重點在于具體實施方式，即該措施是否構成歧視。一方面，我國數據出境安全評估所規制的對象是不存在 “歧視” 或 “變相限制” 的，即對于出境數據的評估要求與程序并未對中國信息處理者和外國信息處理者采取不同的標準，都需要經歷 “自評估+安全評估” 的流程，最終由國家網信部門出具評估結果決定數據是否可以出境。在實施過程中，還需要考察數據出境安全評估措施的靈活性問題，即是否故意忽略或禁止其他同樣能夠達到目標的替代性措施，導致只能利用當前手段進行數據跨境活動。我國數據出境存在豁免安全評估的情形，即個人信息保護認證、數據跨境標準合同的方式。這兩種方式也被歐盟、美國等數據處理主體所采用，是具有代表性且廣泛適用的合理替代措施，起到避免對依托數字進行的貿易活動產生限制作用。因此，我國對數據出境的管制措施具有靈活性，且不構成 “歧視” 與 “變相限制” ，數據出境安全評估措施也應獲得RCEP協定公共政策目標例外條款的支持。

拼音中有四個翹舌音的字母，即zh、ch以及sh和r，在這四個拼音教學過程中應當充分考慮其聲母讀音，這是歷年來教學的難點。為此，可以設計一個學生比較熟悉的生活場景，比如招待客人，四位客人到家中做客，他們都戴著帽子，上面分別寫著zh、ch、sh、r四個拼音。客人到家時應當打招呼，客人代號比較難讀，需要將自己的舌頭翹起來，大家一起讀zh、ch、sh、r。學生經過慢慢練習逐漸會讀，請客人進門時再鞏固四個拼音的認讀，這有利于正確地拼讀翹舌音。

四、RECP 協定下我國數據跨境流動規則的完善

《網絡安全法》立法目的著重提及網絡安全、網絡空間主權和國家安全。《個人信息保護法》在針對個人信息數據跨境流動的規制中也重申信息安全的重要性。《數據安全法》以 “數據安全” 為首要立法目的，但條文包含 “促進數據跨境安全、自由流動” ，可以看作是在《網絡安全法》的基礎上對數據跨境流動持有更加開放的態度。整體而言，以《網絡安全法》②《網絡安全法》第三十七條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。為依據，我國數據跨境流動規則是以 “數據儲存本土化+出境安全評估” 制度為基礎進行構建。數據儲存本土化，以保障國家和個人信息安全為根本目標，對數據出境保持審慎態度[9]。出境安全評估則是對出境數據進行審視與分析，確保我國數據安全的實現。從立法目的到基本制度構建，我國數據跨境流動規則都體現著安全至上的理念。

（一）塑造數據安全與促進流動規則理念

“如果法律是一幅繪畫，那么其底色一定是自由權。”[21]我國數據跨境流動規則理念的重塑可以嘗試 “原則+例外” 的規制模式，即以數據跨境自由流動與禁止數據儲存本土化為原則，以合法的公共政策目標的實現與保護基本安全利益的必要為例外，限制數據跨境流動與提出數據儲存本土化要求。

一方面，我國數據跨境流動規則應當以數據跨境自由流動與禁止數據儲存本土化為原則，以此彰顯促進流動的規則理念。其一，數據跨境自由流動原則的確立，需要與RCEP 協定第十二章第十五條第二款進行互動。該條文強調不得阻止因商業行為而進行的數據跨境行為，其要素包括兩個部分，即商業行為與數據跨境行為。因此，我國在條款的設計上，可以考慮 “一般網絡運營者因商業行為需要，可將相關商業數據信息向境外提供” 的方式，確立數據跨境自由流動的原則。其二，禁止數據儲存本土化的要求，也需要與RCEP 協定第十二章第十四條第二款進行互動，即 “一般網絡運營者收集和產生的數據信息可以在境外儲存” ，確立禁止數據儲存本土化的原則。兩個原則的確立，將提升我國數據跨境流動規則與RCEP 協定的對接力度，塑造我國數據跨境流動規則促進流動的理念。

另一方面，我國數據跨境流動規則也需要以合法公共政策目標的實現與保護基本安全利益的必要為例外，限制數據跨境流動與提出數據儲存本土化要求。我國《網絡安全法》提出關鍵信息基礎設施的重要數據應當本土化儲存，同時也提出安全評估的要求。而針對何為關鍵信息基礎設施，結合RCEP 協定第十二章十四條第三款與第十二章十五條第三款對此進行審視，我國應重點突出以 “基于合法的公共政策目標的實現，與締約方保護基本安全利益的必要” ，而非直接列舉相關行業。這樣既可以完全與RCEP協定對接，又可以避免被其他國家詬病。總的來說，我國現有法律條文在適度完善與補足之后，可以很好應對 “例外” 規范的要求。此外，如果限制數據跨境傳輸是為維護憲法價值，則一般不應被視作數據保護主義[22]。我國數據儲存本土化是為了國家安全等憲法所確立的基本價值，也應當被 “例外” 所涵蓋。在此基礎上，以合法公共政策目標的實現與保護基本安全利益的必要為例外，將能有效地確立我國重視數據安全的規則理念。

2001年12月，中國正式加入世界貿易組織，中國石化集團公司提出“走出去”戰略。走出國門，參與國際市場的競爭，奮進的五建開始了新的嘗試。

（二）統一相關概念與建立重要數據目錄

結合WTO 系列協定例外條款的解釋與實踐，我國限制數據出境的 “數據儲存本土化+出境安全評估” 措施，基本可以獲得RCEP 協定基本安全利益例外與公共政策目標例外的支持。但由于數據管制措施的敏感性與天然具有的不確定性，實施過程容易產生歧義與引起爭端，需要在內部明確與統一概念，為相關爭端的解釋提供國內法指引。公共政策目標例外要求相關措施具有靈活性，需要健全以數據分級制度為基礎、重要數據目錄為手段完善相關措施。

我國的遺傳咨詢體系建設尚在起步中，上海市率先開展的“健康孩”遺傳咨詢體系建設的探索實踐雖取得一些初步成效，但更多的是發現了不少亟待解決的問題，包括對遺傳咨詢的認知不足急需加強科普宣傳、遺傳咨詢從業人員數量與能力建設問題急需從在職培訓與規范化培訓與職業化發展同步抓緊推進、遺傳咨詢與檢測(手心、手背關系)失衡問題急需規范服務并有機銜接等，遺傳咨詢體系建設任重道遠，需要廣泛關注與支持。

一方面，我國數據跨境流動規則的各項措施，在受到其他國家質疑并訴諸RCEP 爭端解決之時，RCEP 聯合委員會或專家組會對相關措施予以審查，判斷其是否符合RCEP 協定的例外情形。建立相關措施與例外條款的聯系，依賴于對相關法律概念的解釋與推理，從而達成相對一致的理解與適用。 “法律概念是對各種法律實施進行概括，抽象出它們的共同特征而形成的權威性范疇。”[23]在數據跨境流動規制措施中，《網絡安全法》基于 “國家安全、國計民生、公共利益” 等概念要求關鍵信息基礎設施產生的信息本土化儲存，可以納入 “基本安全利益” 與 “公共政策目標” 的范疇。在《數據安全法》中強調 “數據安全相關國際規則和標準的制定” ，并在此基礎上提出 “建立數據安全審查制度” ，而在《個人信息保護法》中針對個人信息出境 “應當進行安全評估” 。可以看到，在我國數據跨境流動規則的內部，已然出現相關法律概念不統一的情形。而RCEP 協定的數據跨境流動例外條款，則限于 “基本安全利益” 與 “合法的公共政策目標” 。若聯合委員會或專家組對我國援引 “基本安全利益例外” 與 “公共政策目標例外” 進行審查之時，勢必會考察我國國內法對相關法律概念的界定與適用。為此，我國限制數據出境各項措施的法律概念應當與RCEP 協定的表達統一，以 “基本安全利益” 與 “公共政策目標” 為理由建構限制數據跨境流動的措施與制度。同時，厘清 “數據安全審查” 與 “出境安全評估” 的關系，可以明確安全評估作為安全審查在數據出境時的具體審查措施，由此構建滿足RCEP 協定數據跨境流動框架要求的內部規則。

另一方面，健全重要數據目錄有助于數據跨境安全評估與相關替代性措施的明確適用。2017 年生效的《網絡安全法》將網絡運營者分為一般網絡運營者和關鍵信息基礎設施運營者，建立了 “自下而上” 的數據分級分類，2021 年生效的《數據安全法》則以國家為主體，建立了根據數據對國家、社會的價值以及出現安全事件后造成的危害后果 “自上而下” 的分級保護制度[24]。2022 年出臺的《數據出境安全評估辦法》對評估對象的標準予以說明，但僅明確了個人信息的量級，對重要數據的界定仍是采用來源主體進行判斷。由于重要數據與基本安全利益具有天然的聯系，具有動態與演進的特點，其內涵標準、判定條件、認定程序不宜采用相對固定的界定方式。為此，我國可以采用《數據安全法》提出的 “重要數據目錄” ，將對于國家安全、社會公共利益等至關重要的數據納入其中，結合數據儲存本土化與出境安全評估加以控制，以提高我國數據跨境流動規則的可操作性與透明性。同時， “重要數據目錄” 應當保持定期更新，以滿足RCEP 區域經貿發展的數據跨境與維護國家安全需要。

（三）拓展數據合法出境與區域合作渠道

RCEP 作為促進亞太地區跨境電子商務發展的倡導性協定，致力于在亞太區域內達成廣泛適用的電子商務規則。我國在數據跨境流動的國際參與上比較缺失，更加關注數據的保護與安全問題。我國應積極推動RCEP 締約國協同治理數據跨境流動，對外推動更為豐富的數據合法出境與區域合作渠道落地。

我國現有的數據合法出境渠道都屬于充分性保障措施，其中經專業機構進行個人信息保護認證，可以拓展為數據安全認證的第三方認證機制。第三方認證是通過由認證機構證明網絡服務、數據產品、管理體系等符合相關法律規范、技術標準、行業準則的評定，以此證明信息網絡的安全與可靠[25]。在數據出境的個人信息保護認證方面，我國可以積極構建依托第三方數據安全認證的個人信息數據出境，通過該措施保障個人信息數據出境的安全與合規。在標準合同的構建方面，我國《個人信息出境標準合同規定（征求意見稿）》已于2022 年出臺，該草案闡明了數據出境實施主體與接受主體應當主動采取的數據安全保護責任與義務，下一步我國應積極推動該評估辦法的盡快出臺。在上述二者完善的基礎上，我國還可以增加具有約束力的集團企業規則的渠道。該規則源于歐盟BCR 規則，是指數據輸出方與接收方同屬于一個集團，雖然數據流動跨越國境，但集團整體遵循我國數據跨境流動規則，那么整個集團可以視為 “安全港” ，一般商業數據可以自由跨境流動而無需安全評估[26]。我國可以積極借鑒與納入，完善數據合法出境的充分性保障措施，通過試點的方式逐步推廣，積累特定類型數據跨境傳輸的經驗[27]。

在充分性保障措施之外，我國可以積極開展RCEP 區域內合作，建立區域數據跨境流動白名單機制。白名單機制是指評估數據出境流入國的政治法律環節，如果其數據保護水平達到數據出境流出國的最低要求，數據跨境行為合法透明，且不存在有關數據跨境流動的負面報告，則可以將該數據出境流入國納入可自由流動國家，形成數據跨境流動白名單[28]。由于RCEP 區域內既有發達國家，也有發展中國家，各國數據安全保護水平存在較大差異。因此，我國可以借助RCEP 平臺，與日本、澳大利亞等發達國家就數據跨境流動先行展開協商，平衡各國數據安全保護水平，達成數據保護最低水平，建立RCEP 區域數據跨境流動白名單機制。區域內發展中國家在不斷提高本國數據安全保護水平之后，也可以通過協商與審議加入其中，推動RCEP 區域內數據跨境自由與安全流動。當然，數據跨境流動白名單機制也不是一成不變，我國可以推動RCEP 成員國定期召開審議，對不再滿足數據保護最低水平的國家，及時從白名單中剔除，保障RCEP 區域數據跨境流動白名單機制的安全與可靠。充分性保障措施、白名單機制與安全評估并不是涇渭分明的狀態，國家網信部門應享有對滿足充分性保障措施與白名單機制的數據跨境流動案例，在實施過程存在安全風險的前提下評估與限制的權力，在不斷對外拓展數據出境與區域合作的同時，有效保障數據安全的實現。

綜上所述，RCEP 協定下我國數據跨境流動規則的完善路徑主要從三個方面入手：一是以 “原則+例外” 的規制模式，塑造我國重視安全與促進流動的規則理念。二是對內統一相關法律概念，讓我國限制數據流動措施更好對接RCEP 協定，建立重要數據目錄增強措施可操作性與透明度。三是對外完善充分性保障措施與白名單機制，拓展數據出境與區域合作的渠道。

當然，以上對被害人陳述進行證偽思維審查的前提是被害人必須出庭接受質證，否則僅對被害人陳述的筆錄進行書面審查則審查不全面或審查干脆進行不下去。有鑒于此，人民法院在刑事審判中必須通知被害人出庭接受質證。

然而現在，我們已經無法“身臨其洞”了。它之所以被發現，是因為礦業公司用抽水泵將洞內的水抽走了，如果停止抽水，奈卡水晶洞又會被水淹沒，而那些巨大的石膏水晶體或許還會在水中繼續生長。

五、結語

數據跨境流動作為當前熱門的數據治理議題，其不僅關乎一國的數據安全，還影響著跨境數字貿易的健康發展。由于數據跨境流動自身的特性，其無法清晰歸類于世界貿易組織 “服務部門分類清單” 中的任何一類，相關規制的方式需要考慮多種因素，具有較大難度[29]。但數據跨境流動既是現實所需，也是未來發展方向，需要對規制策略進行積極探索。我國作為數字經濟蓬勃發展的國家之一，對數據跨境流動規制的態度卻顯得謹慎與保守。以RCEP 協定數據跨境流動框架為基準進行檢視，我國應平衡數據安全與自由流動理念，在 “數據儲存本土化+出境安全評估” 能夠援引RCEP 協定 “基本安全利益” 與 “公共政策目標” 例外條款的基礎上，應當提升安全評估與數據出境規則的透明度與可操作性，保障數據跨境流動的自由與安全。當前，我國已正式提出申請加入《全面與進步跨太平洋伙伴關系協定》（以下簡稱CPTPP），進一步彰顯我國參與數字經濟國際合作的誠意與態度。與RCEP 協定相比，CPTPP 協定更加強調數據跨境的自由流動，限制數據本地化措施與重視個人信息保護，對我國數據跨境流動規則提出了更高要求。為此，我國應積極把握RCEP 協定生效的契機，完善我國數據跨境流動規則，為正式加入CPTPP 做好制度準備。最后，我國應充分貫徹RCEP 協定數據跨境流動框架多元共治理念，推動RCEP 區域數據跨境流動規制與標準形成，提升我國規則的區域影響力，進而為世界貢獻數據跨境流動規制的中國方案。