跨境數據流動規制的公共利益保護：CPTPP與RCEP規則比較及中國因應

王晶晶 張光

※作者單位：王晶晶，西北政法大學國際法研究中心；張光，西北政法大學涉外法治研究中心

1許多奇.治理跨境數據流動的貿易規則體系構建［J］.行政法學研究，2022（4）：50-60.

2UNCTAD STAT. Bilateral trade flows by ICT goods categories，annual［EB/OL］.（2023-01-30）［2023-11-01］.https：//unctadstat.unctad.org/wds.

3中國信息通信研究院.數字中國發展報告（2022年）［EB/OL］.［2023-11-15］.http：//www.cac.gov.cn/rootimages/uploadimg/16864023312

96991/1686402331296991.pdf？eqid=8ed6b42a00020686000000066481bca7.

4中國信息通信研究院.全球數字經貿規則年度觀察報告（2022年）［EB/OL］.（2022-07-29）［2023-11-01］.www.caict.ac.cn/kxyj/qwfb/bps/202207/P020220729550446286663.pdf.

5中國信息通信研究院.全球數字經貿規則年度觀察報告（2022年）［EB/OL］.（2022-07-29）［2023-11-01］.www.caict.ac.cn/kxyj/qwfb/bps/202207/P020220729550446286663.pdf.

6CHEN S.Research on data sovereignty rules in cross-border data flow and chinese solution［J］.US-China law review，2021（6）：261-273.

7VOSS W G.Cross-border data flows， the GDPR， and data governance ［J］. Washington international law journal，2020（3）：485-532.

1ROTENBERG J. Privacy before trade：assessing the WTO-consistency of privacy-based cross-border data flow restrictions［J］. University of Miami international and comparative law review，2020（1）：91-120.

2中國信息通信研究院.全球數字經貿規則年度觀察報告（2022年）［EB/OL］.（2022-07-29）［2023-10-01］.www.caict.ac.cn/kxyj/qwfb/bps/202207/P020220729550446286663.pdf.

3VOSS W G. Cross-border data flows the GDPR， and data governance［J］.Washington international law journal，2020（3）：485-532.

4陳鼎莊.歐盟《一般數據保護條例》對國際服務貿易規則的影響［J］.中國流通經濟，2021（4）：93-102.

5王光，代睿，林長松，等.雙邊投資協定與中國對外直接投資［J］.國際經貿探索，2020（3）：95-112.

6TSAI K. Regulation of data localization and how the legal profession can play a role［J］.Georgetown journal of legal ethics，2021（4）：1355-1382.

7SAXENA S. Comparative analysis of Indias data protection norms with European Unions （GDPR） norms［J］.Supremo amicus，2021，23：123-138.

8GOLDBERGER D，AKERMAN N，LEVIN J，et al. Fall 2016 cross-border data privacy issues ［J］. Cardozo journal of international and comparative law，2017（2）：379-416.

1徐玖玖.利益均衡視角下數據產權的分類分層實現［J］.法律科學（西北政法大學學報），2023（2）：67-81.

2程嘯.論數據安全保護義務［J］.比較法研究，2023（2）：60-73.

3王玎.論數據處理者的數據安全保護義務［J］.當代法學，2023（2）：40-49.

4GLADSTONE M H. GDPR in United State litigation through summer 2020：GDPR-subject companies must produce［J］. Defense counsel journal，2020（4）：1-14.

5艾素君.晚近國際投資協定對東道國規制權的保障及中國實踐［J］.河北法學，2023（2）：118-135.

6MARENGO F. Regulating data transfers through the international trade regime［J］. Manchester journal of international economic law，2020（2）：266-297.

7HODSON S. Applying WTO and FTA disciplines to data localization measures［J］. World? trade review，2019（4）：579-608.

8王中美.歐盟數據戰略的目標沖突與中間道路［J］.國際關系研究，2020（6）：41-61，153.

1區域全面經濟伙伴關系協定（RCEP）［EB/OL］.［2023-07-01］.http：//fta.mofcom.gov.cn/rcep/rcep_new.shtml.

2 《全面與進步跨太平洋伙伴關系協定》? （CPTPP）文本（含參考譯文）［EB/OL］. （2021-01-11）［2023-10-01］. http：//www.mofcom.gov.cn/article/zwgk/bnjg/202101/20210103030014.shtml.

1SIMCHAK S. Financial services international trade jurisprudence—revisiting the prudential exception and its implications for Indonesia［J］.Currents：Journal of international economic law，2022（1）：42-67.

2裴長洪.構建立足中國實踐發展的數字經濟學理論體系——評《數字經濟學》［J］.當代財經，2022（12）：2，155.

3SOPRANA M. The digital economy partnership agreement（DEPA）：assessing the significance of the new trade agreement on the block［J］.Trade，law and development，2021（1）：143-169.

4CHEN S. Research on data sovereignty rules in cross-border data flow and Chinese solution［J］. US-China law review，2021（6）：261-273.

5YU P K .The RCEP and Trans-Pacific intellectual property norms［J］.Vanderbilt journal of transnational law，2017（3）：673-740.

6HODSON? S. Applying WTO and FTA disciplines to data localization measures［J］. World trade review，2019（4）：579-608.

7余明鋒.數字全球化與數字主權——以德國和歐盟為視角［J］.國外社會科學，2021（5）：52-57，157-158.

8中國社會科學院語言研究所詞典編輯室.現代漢語詞典：第6版［M］.北京：商務印書館，2014：1093.

9葉開儒.數據跨境流動規制中的“長臂管轄”——對歐盟GDPR的原旨主義考察［J］.法學評論，2020（1）：106-117.

1全國信息安全標準化技術委員會秘書處.關于發布《網絡安全標準實踐指南——網絡數據分類分級指引》的通知［EB/OL］.（2021-12-31）［2023-10-01］.https：//www.tc260.org.cn/front/postDetail.html？id=20211231160823.

2吳玄.數據主權視野下個人信息跨境規則的建構［J］.清華法學，2021（3）：74-91.

3張瓊麗，陳翼.數據分級分類方法及實踐研究［J］.技術與市場，2022（8）：150-153.

1袁康，鄢浩宇.數據分類分級保護的邏輯厘定與制度構建——以重要數據識別和管控為中心［J］.中國科技論壇，2022（7）：167-177.

2馬光，毛啟揚.數字經濟協定視角下中國數據跨境規則銜接研究［J］.國際經濟法學刊，2022（4）：45-62.

3張瓊麗，陳翼.數據分級分類方法及實踐研究［J］.技術與市場，2022（8）：150-153.

4PANDEY A ， CHAUDHARY H. The exigency to address the personal data issues： the personal data protection bill， 2019［J］.Jus corpus law journal，2021（1）：533-539.

5YU P K . Data producers right and the protection of machine-generated data［J］. Tulane law review，2019（4）：859-929.

6CONRAD V. Digital gold： cybersecurity regulations and establishing the free trade of big data［J］. William and Mary business law review，2018（1）：295-336.

7DASKAL J.Law enforcement access to data across borders： the evolving security and rights issues［J］.Journal of national security Law and Policy，2016（3）：473-502.

8TSAI? K.Regulation of data localization and how the legal profession can play a role［J］. Georgetown journal of legal ethics，2021（4）：1355-1382.

9ZHANG W W. Comparative study on the legal regulation of a cross-border flow of personal data and its inspiration to China［J］.Frontiers of law in China，2020（3）：280-312.

10陳喆，楊嘉寧.《個人數據保護法》之數據可攜權：新加坡經驗與中國法的應用［J］.東南亞縱橫，2022（6）：101-112.

11徐怡雯，韓璐.跨境數據流動治理困境與中國—東盟數字經濟合作策略優化［J］.東南亞縱橫，2022（6）：90-100.

摘要：對于跨境數據流動法律規制，國際社會主要形成了“允許數據跨境自由流動+安全例外”的基本規制模式。數字鴻溝下各國跨境數據流動規制各異，但其共同核心在于對安全例外的解釋。歐盟《通用數據保護條例》在如何平衡跨境數據流動和數據本地化存儲關系時，選擇了最符合歐盟利益的軟數據本地化戰略，用以對數據進行事實上的域外規制。不同形式的數據本地化規則協助各國平衡數據保護與數據自由流通。《全面與進步跨太平洋伙伴關系協定》（CPTPP）、《區域全面經濟伙伴關系協定》（RCEP）等國際經貿協定中對于如何更好地平衡數據保護與跨境數據流動問題都有相關規制條款。RCEP賦予東道國較為全面的自主裁決權，CPTPP則在商業流通基礎上添加了“合法公共政策目標例外”條款，矛盾焦點將聚焦在對“合法公共政策目標例外”的解釋和適用上。各國對于“合法公共政策目標例外”有著不一樣的闡釋，不同形式的數據本地化協助各國平衡數據保護中東道國利益與數據自由流通的尺度。在多種不同的區域性規則將長期共存的局面下，中國亟須健全完善規范和促進數據跨境流動法律法規體系，在跨境數據流動法律規制中保障公共利益。

關鍵詞：跨境數據流動；數據本地化；公共例外；CPTPP；RCEP

［中圖分類號］ D99;D922.16? ? ? ?［文獻標識碼］ A? ? ? ? ? ? ? ?［文章編號］1003－2479（2023）06-097-08

Public Interest Protection and China's Response in the Regulation of Cross-border

Data Flow： A Comparison of CPTPP and RCEP Rules

Wang Jingjing， Zhang Guang

Abstract：In terms of the current basic model of "allowing cross-border free flow of data+security exceptions" formed by legal regulations on cross-border data flow， countries' cross-border data flow regulations vary under the formation of the digital divide， but the core of their seeking common ground lies in the interpretation of security exceptions. The EU's General Data Protection Regulations（GDPR） adopt the basic model described above. Among the core issues of GDPR， the EU has also chosen the soft data localization strategy that is most in line with the EU's interestsin order to effectively regulate data outside the territory. Different forms of data localization assist countries in balancing the interests of host countries in data protection and the free flow of data. International economic and trade agreements such as the Comprehensive and Progressive Agreement for Trans-Pacific PartnershipAgreement（CPTPP） and the Regional Comprehensive Economic PartnershipAgreement（RCEP） have relevant regulatory provisions on how to better balance data protection and cross-border data flows. RCEP gives the host country a relatively comprehensive right of autonomy while CPTPP adds an "exception for legitimate public policy objectives" clause on the basis of commercial circulation， and the contradiction focuses on the interpretation and application of "exception for legitimate public policy objectives". Countries have different interpretations of the "exception for legitimate public policy objectives"， and different forms of data localization help countries balance the interests of the host country and the free flow of data in data protection. Finally， it is proposed that under the premise that regional regulations will coexist for a long time， China needs to further improve its legal system for cross-border data flow to safeguard China's interests in the field of legal regulation of cross-border data flow.

Keywords：cross-border data flow; data localization; public exceptions; CPTPP; RCEP

隨著數據成為重要的生產要素，跨境數據流動成為驅動數字經濟增長的主要力量，國際社會積極推動跨境數據流動規則的制定與完善。2021 年，中國宣布申請加入《全面與進步跨太平洋伙伴關系協定》（以下簡稱CPTPP）和《數字經濟伙伴關系協定》（以下簡稱DEPA）。2022年1月1日，《區域全面經濟伙伴關系協定》（以下簡稱RCEP）正式生效。中國積極參加這些協定的立場和態度反映了中國推動數字經濟發展、參與跨境數據流動規則制定的決心。從數字經濟高速增長的趨勢來看，數字經濟規則的完善勢在必行。跨境數據流動和數據本地化相關規則是數據規則中的重點和難點，對相關國際協定及其規則的研究需要不斷深入。舊有的世界貿易組織（以下簡稱WTO）多邊貿易規則需要進行迭代1，而目前的法律框架并不足以實現對數字經濟的全方位規制，需進一步發展完善。

一、數字經濟下跨境數據流動規制的彌合

近年來，全球數字經濟正蓬勃發展。2021年，根據聯合國貿易與發展會議組織的統計數據，按信息和通信技術貨物類別分類，中國的雙邊貿易流量達到8575.05億美元，遠超美國的1589.26億美元2。2022年，中國數據產量達8.1ZB，同比增長22.7%，全球占比達10.5%，位居世界第二。截至2022年年底，中國數據存儲量達724.5EB，同比增長21.1%，全球占比達14.4%3。預計到2025年，全球數據流動對經濟增長的貢獻將達到11萬億美元4。

（一）數字經濟發展催生跨境數據流動規制演變

在大量的數據流動的基礎上，足見當下正值數據經濟飛速增長的時期，隨之而來的是數字貿易規則呼之欲出，數據規則的多方面規定亟待完善，數據規則中銜接數字經濟的投資規定仍存在不足之處，舊有的WTO多邊貿易規則正被內生性數據規則代替。對數字貿易規則進行梳理可以發現，就貿易時期進行類別劃分，可劃分為衍生數字規則貨物貿易時期、價值鏈貿易時期和數字貿易時期5。

（二）跨境數據流動規則的分歧與融合

內生性數據規則在完善過程中，對價值鏈貿易時期的規則存在部分繼承，這是規定上的歷史傳承性。而在演化過程中，世界各國基于利益形成了不同模式的數據規則，對跨境數據流動的規則存在著不同的規定。在巨大的數字鴻溝下，跨境數據流動規則依然具有基本模式的規則上的相同性，雖然與龐大的相異性相比而言，相同性數量上較少，但可被視為跨境數據流動及化解數據本地化存儲對抗難題的一條進路。在層疊化、碎片化的數字鴻溝背景下，跨境數據流動的規制形成了基本模式。該基本模式反映了在難以彌合的各個國家間利益的一條進路。數字鴻溝下的跨境數據流動規制中的數據主權保護屬性被認為是各國采取不同數據規則的出發點。跨境數據流動中數據主權的保護在CPTPP、DEPA和RCEP中都顯露無遺6。地緣政治和外交屬性影響著跨境數據流動規則進路的形成，而國際企業需要全面徹底地掌握數據產業鏈以謀求自身發展，其中既包括對個人數據跨境流動的規則的掌握，也包含對其他國際協議的掌握7。世界各國標準各異，而對跨境數據流動的監管程度是區分的關鍵因素，在強監管模式、中監管模式和弱監管模式3種模式下，并無一種排他性的規則可以取代其他規則1。可見，從數據主權視角而言，多種模式并存是世界各國相當長一段時間的狀態。

除了多種模式并存，各種模式在跨境數據流動規制中也存在共通之處。跨境數據流動規則逐步形成了“允許數據跨境自由流動+安全例外”的基本模式2。較為典型的是歐盟采取的數據規則。歐盟的《通用數據保護條例》（以下簡稱GDPR）采取了該基本模式，對歐盟境內數據進行跨境數據流動規制。GDPR所規定的“充分性決議”從事實上移除了同等保護水平的國家的數據跨境限制，使得數據可自由跨境流動。從維護數據主權即長臂管轄視角來看，GDPR亦是歐盟通過軟數據本地化進行軟域外管制的代表3。“充分性決議”的裁決權歸于歐盟，因此，歐盟將在是否與別國進行跨境數據流通中占有極大的自主裁決權。而從歐盟與美國的跨境數據流通傳輸歷史來看，歐盟的“充分性”條款給予歐盟否定和禁止與不認可的跨國企業傳輸流通數據的可能，而且此種裁決是終局性的，隱私盾案恰恰說明了這一點。GDPR正是通過這種方式實現控制境外輸出和輸入數據的雙重管轄，是長臂管轄的典型規制。歐盟通過“充分性決議”對其他國家的數據保護水平進行衡量后決定數據是否跨區域流動，此舉為事實上的“白名單”制度，該充分性認定機制是歐盟采取軟數據本地化、軟域外管制的代表制度，也同樣是GDPR條例的核心。

歐盟在GDPR中對核心問題——跨境數據流動和數據本地化存儲問題的選擇中，選擇了最符合歐盟利益的軟數據本地化戰略，用以對數據進行事實上的域外規制。有學者呼吁禁止這種行為，因為在“充分性認定”的“白名單”政策下，非歐盟企業面臨來自歐盟的貿易壁壘，而且此規定被認為實際上與《服務貿易總協定》（以下簡稱GATS）中第16條市場準入和第17條國民待遇相沖突。市場準入旨在打破非關稅壁壘，而國民待遇則是強調對等原則，國家之間互相給予國民待遇。在歐盟實行軟數據本地化的政策前提下，中國的應對可以此為藍本，構建國內數據監管法律制度4。在國民待遇水平較低的情況下，中國更為關注東道國是否給予中國公平公正待遇和最惠國待遇5。

不同形式的數據本地化協助世界各國在數據保護中平衡東道國的利益與數據自由流通的尺度。澳大利亞對特殊行業如健康金融數據進行強監管，馬來西亞和菲律賓也對數據傳輸運用強監管模式6。印度的《數據保護法案》將關鍵個人數據的復制限定在本地化存儲，這也是強監管模式的體現7。然而，當個人數據不斷產生放大，在大型數據體量前提下，保護數據成為越來越難的問題8。

二、跨境數據流動規制彌合中的公共利益保護

從數據本身的屬性而言，其既具有私法屬性，也具有公法屬性。數據可以被視作是社會交往的工具，因此賦予了其自身一定的公共性和社會性1。帶有公共性和社會性的數據本身會存在對公共利益的影響，而數據安全保護義務貫穿于數據產權、數據要素流通和交易等基本制度中2。數據的公共安全屬性是決定數據處理者應承擔數據安全保護義務的3要素之一3。

歐盟的GDPR的49條（d）項規定了公共利益例外，同時（e）項也對確立、行使或辯護法律請求權作了例外規定4。CPTPP和RCEP均對東道國規制權進行了確認，并對公平公正待遇、間接征收及非歧視待遇條款進行了解釋，從而保護東道國規制權5。在數字鴻溝下，自由貿易協定（以下簡稱FTA）層出不窮，其衍生規則源于跨境數據流動中形成的數據規則，數據規則中蘊含了國家利益間的博弈，層疊化、碎片化的數據規則也在“允許數據跨境自由流動+安全例外”的基本模式下發展并趨于完善，而采取東道國利益保護視角則可以從例外規定看待跨境數據流動及數據本地化存儲中的公共利益保護。

（一）跨境數據流動及數據本地化中的公共利益保護

全球數字鴻溝下FTA發展面臨的重點分歧在于如何平衡跨境數據流動和數據本地化存儲。而在促進數字經濟發展和跨境數據流動的同時，也需注意數據本地化存儲以實現對公共利益的保護，在FTA中采取的規制路徑是保護東道國規制權從而保護公共利益。借鑒于投資協定中東道國利益保護的條款的制定方式，可在數字貿易法案中進一步保障數據規則的國家安全。從網絡空間安全角度來看，公共利益是任何國家的優先利益保護對象6。因此，保護公共利益是世界各國的立法重點。

（二）數據規制與公共利益保護

探尋數據規制與公共利益保護的落腳點在于尋找數據規制與公共利益保護的交叉點，由于公共利益保護涉及保護目標群體的劃分，即公共含義的群體，從數據相關法律公共利益與國家利益的同類含義來看，公共利益的保護是保護全國范圍內的公共利益，而跨境數據流動不可避免存在侵害法益的可能。當數據入境時，國家對于入境數據有控制權，而數據出境則與東道國國家管理水平和法律制度有著千絲萬縷的聯系。因此，公共利益保護的核心主要在于國家對數據出境的公共利益保護。監管跨境數據流動的一系列規制方法往往會反映不同的文化價值觀，尤其是在隱私和安全等敏感問題上7。而不同國家圍繞數據流動的公共利益保護均有不同的法律工具，其法律規制目的在于加強對流入數據的控制，而流入國數據流量的增加則加大了數據跨境流動的風險。

（三）CPTPP和RCEP條款中的公共利益保護

就GDPR而言，跨國數據保護在無統一執法與司法體系的歐盟，不能完全將數據保護問題交予歐盟數據保護委員會解決。數據歸屬是歐盟在數據跨國收集處理中懸而未決的突出問題8。關于數據歸屬問題，在CPTPP和RCEP的例外條款中可以發現對東道國規制權的保護。跨境數據流動的條款中，CPTPP第14章第11條第3款就“為實現合法公共政策目標”的行為作出了例外規定，如該行為不構成任意不合理歧視或對貿易構成變相限制，同時不超出實現目標所需限制即可適用于例外規定。合法公共政策目標（legitimate public policy objective）需要在不構成任意（arbitrary）、不合理歧視（unjustifiable discrimination）及變相限制（disguised restriction）的限制條件下實施。RCEP第 12 章第 4 節第 15 條第3款亦有“實現合法公共政策目標”的例外規定，要求例外措施不構成任意不合理歧視或變相貿易限制。與CPTPP的區別在于第3款第1項的腳注14明確了締約方確認實施此類合法公共政策的必要性應當由實施的締約方決定（shall be decided by the implementing Party），實際上為締約方保護公共利益增加了轉圜的余地，擴大了東道國的規制權。第3款還對“保護基本安全利益”進行了例外規定，認可締約方認為的對保護其基本安全利益（essential security interests）所必需的任何措施，并強調了其他締約方（other Parties）不得（shall not）對此類措施提出異議1。從跨境數據流動的規制來看，RCEP賦予各國更大的保護國家安全的權利，而CPTPP則在公共數據流通與個人數據流通的博弈中更為偏向個人數據流通自由。在保護公共利益的條款中，CPTPP依然加入了“不對信息傳輸施加超出實現目標所需限度的限制”條款，其旨在保護充分的信息傳輸流通，對于流通的偏重程度要大于對公共利益的保護。而兩者在“實現公共政策目標”時賦予的例外規定在限制不合理歧視和變相貿易限制方面是相同的，兩者都認可國家實現合法公共政策目標需要自主裁量權來采取必要措施。

針對數據本地化的問題，CPTPP的第14章第13條第1款認可各國不同的監管要求，包括通信安全性和機密性，第2款不允許將本地化作為開展業務的條件，第3款允許“為實現合法公共政策目標”而采取的限制措施，但同時規定該措施不得構成任意不合理歧視或貿易變相歧視，不得對計算設施的使用或位置施加超出實現目標所需限度2。同時，RCEP在第 12 章第 4 節第 14 條第2款也作出關于禁止數據本地化存儲的規定（柬埔寨、老撾和越南除外），但依然在第3款規定在“實現合法公共政策目標”和“保護基本安全利益”的情況下可以采取對必要計算設施的位置限制措施。CPTPP的第14章第13條第1款和第2款與RCEP第12章第4節第14條第1款和第2款在表述上趨向一致，在第3款中則出現了分歧。在第3款的例外中，CPTPP依舊采取了不得構成任意不合理歧視或貿易變相歧視和不對計算設施使用或位置超出實現目標的條款作為例外規定的限制，而RCEP中第3款加入了締約方即東道國規制權的內容。RCEP第12章第4節第14條第3款第1項的腳注12中明確表示“就本項而言，締約方確認實施此類合法公共政策的必要性應當由實施的締約方決定”，此舉無疑擴大了東道國對公共利益的解釋權，也更好地保護了東道國利益。RCEP第12章第4節第14條第3款第2項也規定了“對保護其基本安全利益所必需的任何措施，其他締約方不得對此類措施提出異議”，體現了對締約方主體權利的保護，在跨境數據流動和數據本地化的博弈之間較為傾向于后者，但數據本地化在一定情況下依然是被禁止的。不同于完全的數據本地化規制，RCEP的規制像是居中調和的規制，規定了特別例外之下的禁止數據本地化的措施，用以保障跨境數據流動。這種規制模式在GATS間就有先例，在GATS的第14條腳注5中，公共秩序被限定為“只有在社會的某一根本利益受到真正的和足夠嚴重的威脅時，方可援占公共秩序例外”1，第14條為一般例外條款，包含對公共道德與公共秩序的含義限定及其他例外。在跨境數據流動中的公共例外方面，相比于CPTPP，RCEP使東道國擁有更大的解釋權，東道國規制也可進一步擴張。

三、跨境數據流動規制之中國因應

（一）全球跨境數據流動的法律規制

當前，數字貿易規則正在從“美式”“歐式”模板走向“中式”模板，從CPTPP和DEPA條款可以看出，中國正在積極參與數字貿易國際規則制定，重塑全球數字貿易治理體系2。CPTPP、DEPA和RCEP在合法公共政策目標（legitimate policy objectives）的前提下，允許一定程度的數據本地化措施。由于中國的影響，RCEP的公共利益保護條款是獨樹一幟的3。從跨境數據流動和數據本地化條款的為保護公共利益而規定的例外可以看出，RCEP給予締約國的自由裁量權要大于CPTPP所賦予的。這代表在一定情況下，數據自由流通當觸及公共利益時，東道國可以定義公共利益范圍，同時可以采取有效的禁止數據本地化的措施。而《跨太平洋伙伴關系協定》（以下簡稱TPP）規定的跨境數據流動中的主權依然掌握在東道國方4。總體來看，短期內亞太自由貿易區不可能撇除中國，TPP與RCEP的彌合則是有可能的5。CPTPP的框架將數據本地化視作貿易問題，并且給予企業跨境數據流動的便利6，這是其與RCEP的分歧點。

有學者認為，個體數據作為開發對象后，主權者權利的正當性來源基于對人性的保護7。個人數據作為開發對象后，跨境數據流動和隱私之間的關系無疑是一對博弈關系。其中，被認定為主權者的權利正當性來源是對人性的保護，即對個人隱私數據的保護。但是，對個人隱私數據的保護與對人性的保護兩者并不等同，人性的含義有兩種，第一種為在一定社會制度和歷史條件下形成的人的本性，第二種為人所具有的正常的感情和理性8。此處的對人性的理解強調主權者權利來源的正當性，即認定人性是一定社會制度和歷史條件下形成的人的本性即階級性調試下的人性。但將個人數據的權利來源等同于階級屬性的綜合實際上是一種邏輯謬誤，含有內在的邏輯不恰當性。從人性出發不能更好地闡釋個體數據與跨境數據流動之間的關系。跨境數據流動中的數據分為個人數據和公共數據兩種，針對兩種數據應采取不同的策略，此即CPTPP和RCEP中的公共例外規定的由來。

歐盟通過GDPR采取的軟數據本地化方式則體現出這種理解的弊端，將個人數據與人性掛鉤必然引來權利一體化的空白。歐盟對數據傳輸的要求基于“充分性認定”和“白名單制度”。從實際效果來看，歐盟模式將數據傳輸要求變為數據本地化。在這種“白名單”選盟友的制度下，其建構了內外一致性的制度，以此將其對個人數據的理解擴展到全球數據治理中，將“歐盟標準”擴展成為“國際標準”9。無獨有偶，美國也采取相同的策略，相較而言，兩者都具有共同點，即美歐路徑均試圖主導國際規則制定，塑造符合己方利益的路徑。

（二）中國數據出境中的公共利益保護

在跨境數據流動方面，中國數據出境已形成分級分類制度。2022年9月1日起施行的《數據出境安全評估辦法》進一步規范了數據出境活動，維護了國家安全和社會公共利益。例如，該辦法第5條列出了申報數據出境安全評估前應當對可能給公共利益帶來的風險進行自評估的事項，第8條列出了數據出境安全評估應對可能給公共利益帶來風險的數據出境活動進行重點評估的事項，第14條針對出現影響出境數據安全的情形明確在2年有效期內重新評估的要求。由此可見，自評估、官方評估及重新評估都體現了法律對公共利益的保護。此外，2021年12月31日，中國全國信息安全標準化技術委員會秘書處編制的《網絡安全標準實踐指南——網絡數據分類分級指引》，不僅明確規定數據分類、數據定級和界定方式等內容，也對公共利益的影響程度作出詳細的參考說明1。

從目前的數據規則來看，與貿易伙伴的數據跨境流動的互信機制尚未出臺，有學者提出可以考慮打造“個人信息自貿區”和區域“個人信息流動區”，形成中國周圍區域輻射圈，從點擴張到面，推動全球數據跨境規則形成2。從“自貿區”和“流動區”的概念來看，個人信息在其中充分流動是近似于“美式”模板的商業化流動機制，該種方式需在確認數據安全的前提下實施，因為個人信息同時具有財產性和隱私權屬性。有學者認為，碎片化的個人信息不能被看作財產權，但從跨境數據流通的角度來說，該種方式在起到促進跨境數據流動的作用的同時，具有“美式”模板的弊端，即數據本地化措施的困境。在“個人信息自貿區”和“個人信息流動區”保證個人信息充分流動的同時，必然有金融、衛生健康和公共安全等涉及公共利益的數據不宜流通，而且如何劃分自貿區和流動區是一個困難的問題，因此該種提議的可行性有待商榷。中國需進一步完善相關法律法規，從而保證數據流動與公共利益保護達到平衡。

（三）跨境數據流動規制的中國因應

跨境數據流動圈的形成是美歐全球化數據規則的必然產物，全球化并不等于單個國家利益的全球化，全球數字鴻溝的形成具有層疊化和碎片化的模式，在市場呈現數字鴻溝的前提下，數據規則的法律規制必然形成圈層化，呈現為全球各個區域因其發展進程不同而擁有不同的數據規則，多種不同規則將會在較長一段時期內并存，最終達到數據規則由分裂達到彌合的狀態。目前，中國出臺了《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）和《中華人民共和國網絡安全法》等，通過法律保護個人數據，規定數據出境要求，這些均符合當前背景下跨境數據流動的要求。同時，RCEP和CPTPP中規定的公共例外條款與美歐模板的數字全球化規定沖突時，矛盾焦點將集中在數據本地化措施問題上。RCEP賦予東道國較為全面的自主裁決權，CPTPP則在商業流通基礎上增加“合法公共政策目標例外”條款，因此，在對“合法公共政策目標例外”的解釋和適用上將出現沖突。世界各國對于“合法公共政策目標例外”有著不一樣的闡釋，不同形式的數據本地化規定協助各國平衡東道國公共利益保護與數據自由流通之間的關系。

數據流動規制面臨的難題恰如“靜態”的規則與“動態”的網絡安全威脅構成的一對矛盾3。如何在保護數據流動安全的前提下實現數據自由流動是規制的目的。因此，《數據安全法》采用了分級分類制度，不將靜態存儲而將視作數據常態1。從分級分類的負面清單方式可以看出其對于數據流動的肯定。有學者提出，應以列舉的方式納入公共利益等，履行數據出境安全評估程序2。列舉方式是事實上接近于歐盟數據方案中的“白名單”和“充分性認定”的制度機制。當“靜態”的規則與“動態”的網絡安全威脅構成了一對看似相對的矛盾時3，法律尤其是數據保護法也應進行流動和改變4。就目前情況而言，借助于大數據的分析，大數據分析向公共利益傾斜對國家來說是有益處的5。此外，中國將公共利益細分為涉及范圍、經濟建設和社會穩定程度等不同領域，輔以個人信息出境標準合同辦法制度，以《數據安全法》《個人信息保護法》《數據出境安全評估辦法》為數據保護體系。在此基礎上，中國可以增加與國際規則對接的相關方式方法，充分利用國際經濟法工具對公共利益進行保護，比如最惠國待遇可被用于數據領域6。可將針對公共利益保護的數據本地化措施精細化7，尋求多邊會談以進一步完善法律體系。也有學者提出，可以建立獨立的數據流動框架，建成獨立的爭議解決機制8。建立一個以公平和效率為導向的與跨境數據流動相適應的體系，這對無論是國內法還是國際法都是大有裨益的9。

四、結語

全球數字鴻溝背景下的數據規制中的矛盾聚焦點為跨境數據流動與數據本地化的沖突，不同形式的數據本地化協助各國平衡數據保護與數據自由流通之間的關系，由于受地緣政治和外交屬性的影響，世界各國利益不同，將采用不同的數據規則，從而影響全球化跨境數據流通規則的形成。在3種模式（強監管模式、中監管模式和弱監管模式）下，并無一種排他性的規則可以取代其他規則。可見，從數據主權視角而言，全球數據規則在較長時期內仍將保持多種模式并存的狀態10。中國已通過法律法規規定數據出境要求，且跨國企業也需遵守相關規制，但目前亟待解決的問題則是相關法律法規的健全完善，即在數據本地化與跨境數據流動之間形成平衡。而公共例外的解釋趨于透明，這是跨境數據流動規則發展必不可少的一環11。

注：本文系國家社會科學基金重點項目“可持續發展及判例法引導下的新一代投資條約法的變革及對策問題研究”（21AFX024）的階段性研究成果。

（責任編輯：劉 嫻）