RCEP數據跨境流動規則與中國數據跨境流動立法研究

張學博 王智韜

一、問題的提出

伴隨數字技術的快速發展，數據開始成為特殊生產力，具有十分重要的戰略價值，數據資源成為推動全球經貿聯動的關鍵因素，以數據跨境為媒介，數據的利用與處理已成為推動世界經濟貿易高質量發展的新路徑。2020年11月，中、日、韓等15國正式簽署《區域全面經濟伙伴關系協定》（Regional Comprehensive Economic Partnership，以下簡稱RCEP），于2023年6月2日全面生效[1]。RCEP的全面生效標志著東盟經濟一體化的進一步形成，使RCEP成為建設數字絲綢之路的重要環節。[2]針對數據跨境的監管，RCEP已設專章進行規制，包括參與國對數據跨境的監管權利、義務、責任及例外規則，展現出不同于歐美范式的“折中性”數據跨境治理模式。但RCEP數據跨境規則的實際效果如何，是否可以有效平衡數據自由與數據安全的價值取向等問題結論并不明晰，需要在深入論證具體規則的基礎上結合實踐效果進行檢驗。

在數字經濟時代，數據規則的國際化、協同化發展是數據治理的必由之路。當前，區域貿易協定已成為數據跨境規則發展的重要基石。RCEP的全面生效為中國檢視國內數據跨境立法、進一步完善數據跨境規則提供了有利機遇，也為中國輸出數據跨境理念、掌握國際數據治理話語權提供了契機。分析RCEP數據跨境規則、梳理中國數據跨境立法現狀，可有效審視二者之間的銜接情況與不足。中國作為RCEP的主要倡議國，如何在“一帶一路”的大環境下構建良好的數據跨境流動規制體系，并配套何種程序規則以平衡數據安全與經濟發展？如何完善國內立法并增強與RCEP數據跨境規則的銜接性？這已成為當前中國建設數字“一帶一路”、經營RCEP最需要思考的問題。當下，中國已正式申請加入《全面與進步跨太平洋關系協定》（CPTPP）、《數字經濟伙伴關系協定》（DEPA）[3]。以RCEP數據跨境流動規則為導向，深入檢視數據跨境立法，有助于積累國內立法與區域貿易協定有效銜接的立法經驗，為中國后續加入CPTPP、DEPA等區域貿易協定注入新動力，并提高數據治理的高效化。

二、RCEP數據跨境流動規則及困境

當前，RCEP已形成合作共治的數據跨境模式，也面臨各參與國間數據跨境治理理念差異大、RCEP數據跨境規則設計涵括導致的數據閉塞現實困境，這將有可能造成與中國數據跨境立法銜接的不洽性，亟待探索解決思路。

（一）RCEP數據跨境流動規則：“有條件的數據跨境+合作共治”模式

數據跨境流動監管可歸納為三種方式：國家干預、本地化存儲、數據本地化豁免 。RCEP數據跨境治理規則主要是對國家干預及本地化存儲兩種規制方式的貫徹。具體而言，RCEP在支持數據跨境流動自由的基礎上，重視國家安全與公共利益的維護，不排除非歧視性數據本地化存儲的措施，這一核心特點既體現了國家干預，又體現本地化存儲規則。在數據本地化豁免方面，目前RCEP未參照歐盟GDPR制定“白名單機制”，這與RCEP參與國數字技術發展水平偏低有著密切關聯。但在RCEP“鼓勵數據跨境流動自由”理念的影響下，也展現出數據本地化豁免的情形，例如第十二章第14條、第8章服務貿易附件一第9條等[4]。不過，RCEP數據本地化豁免制度的適用多以“公共政策”“安全利益”等例外條款為補充，這將對數據跨境的實際效果造成影響。

當前，RCEP數據跨境流動規則已形成“有條件的數據跨境+合作共治”的特有模式。主要體現在RCEP支持高度自由的數據跨境流動理念，但也接受參與國可以基于對公共政策或國家基本安全利益的保護而采取一定的數據流動限制措施，這是順應數據自由流動趨勢與國家自身利益保護的融合表現。例如RCEP第十二章第14條規定禁止以數據本地化作為貿易條件，第十二章第15條重申支持參與國為保護基本安全利益與實現公共政策對數據進行限制的例外情形。由此可知，RCEP給予了參與國充分的管理數據的自主權。RCEP未對參與國針對數據的非歧視性監管作出較多限制，通過例外條款的設置，使參與國對數據流動的監管與控制仍保留較大的權力。

（二）RCEP數據跨境流動規則的困境

現行RCEP跨境數據流動規則是區域貿易協定中數據跨境治理的新樣態，有一定進步之處，但也使RCEP面臨數據跨境規則與數字經濟快速發展不適應的困境，究其緣由主要來自宏觀數據理念與微觀規則設計兩方面。

宏觀層面：各參與國數據治理理念差異造成數據跨境的實際障礙。由于各參與國科學技術發展水平、政策文化等具有差異，現已形成數據理念差別較大的事實，導致各參與國間制定和使用的數據跨境流動法律規則的差別顯著，無法形成成熟一致的國際標準。此外，受不同數據理念的影響，參與國出于對國家安全、個人隱私安全、數字技術能力等多方面考量，對數據流動自由度標準也不統一，容易造成數據流動的閉塞，影響經濟發展。

微觀層面：RCEP的數據跨境立法設計較為“涵括”，“例外條款”的模糊容易造成數據閉塞。RCEP數據跨境規則在規則設計上的“涵括性”，雖給各參與國發展國內數據跨境立法留下了較大空間與法律接口，但RCEP在推進“有條件的數據跨境流動”的同時還設置“例外條款”，在賦予參與國基于“國家安全”等正當理由限制數據跨境自主決定權的同時，可能產生不當使用的風險。當前RCEP數據跨境例外條款已受到學界質疑，有學者指出RCEP數據跨境例外條款較為寬松的設置有可能造成該條款被濫用的后果[5]。例如RCEP一般例外中“合法公共政策”的表述就有待細化，RCEP只規定各參與國可根據“合法公共政策”目的限制數據跨境，卻欠缺針對“合法公共目的”的定義。只設置例外條件而忽略對例外條件的必要解釋，極易造成各參與國對條款解釋的泛濫。雖然RCEP還對應設置“非歧視以及不超過必要限度”的補充規定，但鑒于例外條款的內涵不清，相關必要限度的要求也極易落空。

以上問題給形成統一、有效、穩定、適用性強的數據跨境法律規制體系造成障礙，逐漸使RCEP數據跨境流動進入治理困境、面臨較多弊端。當前，中國作為RCEP的主要倡議國，已經豐富了數據跨境領域的國內立法，并不斷做出動態調整，這為RCEP數據跨境規則提供了中國理念與完善思路。中國在數字立法領域的實踐是輸出中國數字理念的有效舉措，以RCEP為視角科學審視中國數據跨境規則，是幫助中國后續加入CPTPP和DEPA等數字協定的有意義嘗試。另外，將RCEP數據跨境規制與中國相關國內立法緊密對接，形成二者交互發展之勢，是破解RCEP數據跨境困境的有益之策。

三、中國數據跨境流動的法律規制框架及困境

現今中國有關數據跨境的立法包括但不限于《網絡安全法》《數據安全法》《個人信息保護法》，在“三部法”中，以后兩部法律為典型，并以《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》等為補充，共同構成中國數據跨境規制的法律框架。以《網絡信息安全管理條例（征求意見稿）》為先例，2023年9月28日，國家互聯網信息辦公室（“網信辦”）發布《規范和促進數據跨境流動規定（征求意見稿）》（以下簡稱《規定》），向社會公開征求意見。此舉是中國在維護國家安全、個人信息權益的基礎上對推進數據跨境自由做出的最新嘗試。目前，中國數據跨境立法體系已基本形成。

（一）中國數據跨境流動的規制模式與不足

當前中國數據跨境規制的法律框架針對不同類型、不同級別的數據設置了差異化的數據出境監管要求。數據的跨境規制正呈現出精細化、科學化的監管模式，形成了以重要數據、個人信息為基本分類，以安全評估、標準合同、專業認證等制度為具體規制方式的數據跨境流動監管體系。

1.重要數據跨境流動的規制模式。中國對重要數據尚未給出明確定義，參考《個人信息和重要數據出境安全評估辦法（征求意見稿）》《數據出境安全評估指南（征求意見稿）》《重要數據識別指南（征求意見稿）》等相關條款，重要數據的核心特征應與國家安全、公共利益密切相關。《網絡信息安全管理條例（征求意見稿）》明確將數據分為核心數據、重要數據和一般數據三個基礎類別[6]，重要數據與核心數據的關系應為包含與被包含關系，重要數據中特別重要、關系到國民經濟命脈、重大公共利益的數據為國家核心數據，以此形成對個人信息和重要數據進行重點保護、對核心數據保護應更加嚴格的數據跨境監管理念[7]。 這是數據分級分類保護體系的雛形。

依據數據處理者的不同，重要數據的跨境流動規制程度也有所區別。實踐中，重要數據處理者主要分為一般數據處理者和關鍵信息基礎設施運營者兩種數據處理主體。針對一般數據處理者，《數據出境安全評估辦法》第4條規定一般數據處理者若向境外提供重要數據，應當通過所在地省級網信部門申報數據安全評估。由此可知，中國已確立了適用于一般數據處理者的“以數據安全評估為前提”的重要數據跨境流動規制模式。針對關鍵信息基礎設施運營者，《網絡安全法》第37條、《數據安全法》第31條規定關鍵信息基礎運營者在中國境內運營中收集和產生的數據原則上應當在境內存儲，確因業務需要向境外提供時，需進行數據安全評估。由此可知，中國對于關鍵信息運營者的重要數據出境監管采用“原則上本地存儲+跨境前數據評估”的規制模式，較一般數據處理者的重要數據跨境監管更為嚴格。

雖然重要數據跨境流動監管分類清晰，各自監管框架也較為明確，但現實中由于重要數據核心概念不清、重要數據清單不明已經導致政府部門的監管范圍過大、企業數據跨境的合規壓力較強等弊端。另外，針對重要數據的安全評估指標也應細化，為數據處理者的風險自檢、相關部門的數據出境審核提供確切指引。《規定》第2條限縮了重要數據的出境限制，規定只有被明確標識為“重要數據”的數據，才需要進行數據出境安全評估。 此舉鼓勵了非重要數據的跨境流動，也對盡快出臺重要數據目錄清單、重要數據安全評估細則提出了要求。

2.個人信息跨境流動的規制模式。《個人信息保護法》為規制個人信息跨境流動提供了基本模板，《個人信息保護法》第38條確立了以信息主體同意為基礎，以安全評估、個人信息認證、標準合同文本和其他舉措四方式之一為跨境前提的個人信息跨境流動機制。在此基礎上，該法第40條將關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者作為個人信息跨境的特殊主體，明確對于由兩類特殊主體收集和產生的個人信息出境監管采用“原則上本地存儲+跨境前數據評估”的規制模式。2022年9月施行的《數據出境安全評估辦法》第4條第2、3款對《個人信息保護法》上述條款進行細化，明確了以信息處理者重要性與處理個人信息具體體量為指標的特殊主體。規定關鍵信息基礎設施運營者、處理100萬人以上個人信息的數據處理者、自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。同時，為避免個人信息處理者規避數據出境安全評估的強制性規定，《個人信息出境標準合同辦法》專門規定個人信息處理者不得采取數量拆分等手段，將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供。《規定》對個人信息的跨境設置了更為具體的監管豁免情形。

由此可知，依據個人信息處理主體、出境原因的不同，對個人信息的跨境監管也呈現不同的標準。相較重要數據主要依托數據安全評估作為跨境前提，個人信息的跨境前提展現出多樣化的特點。然而，特殊主體處理的個人信息跨境仍需經過數據安全評估，這更凸顯了數據安全評估機制的重要性。在數據跨境傳輸領域，數據安全評估機制是以防御國家安全風險為目的、以監管機構的實質審查為主，對跨境數據進行的全面事前評估，其對數據跨境監管存在著特殊意義。數據安全評估機制應依托詳細、科學的評估細則，為數據跨境的安全提供保障。目前，中國數據安全評估體系不斷完善，但具體的指標亟待優化。

（二）中國數據跨境流動法律規制框架的現有困境

當前中國數據跨境立法已有新進展，有關數據跨境立法呈現漸進發展趨勢。以“三部法”為基礎，近年來《數據出現安全評估辦法》《規定》等陸續出臺，不斷細化數據跨境的安全評估與監管規則。在數據跨境監管中，科學的數據分類分級模式是數據安全治理的前提，也是數據合規中最核心的部分，但目前中國在此領域的問題較為凸顯。

首先，缺乏明確的數據分級分類標準。雖然《網絡信息安全管理條例（征求意見稿）》將數據分為核心數據、重要數據、一般數據三個基礎類別，但在實踐中卻以重要數據、個人信息作為基本監管指標，存在現實監管的沖突。 為緩和重要數據不明確的問題，目前中國實行各行業地區自行確定重要數據等目錄清單的方式，以滿足不同行業對于數據的監管。但囿于上位法未清晰界定重要數據等概念，造成數據分類依據、分級標準并立的現狀，使各地區、各行業的分類分級體系并不統一，使中國數據跨境監管更為混亂。

其次，面臨由于數據安全評估的具體指標不明造成的數據跨境流動監管形式單一問題。《網絡安全法》《數據安全評估辦法》等雖然確立了數據本地化存儲與數據出境安全評估相結合的監管方式[8]，但立法尚未能結合數據跨境流動的具體情形與種類等進行多層次、差異化的監管設置，沒有具體的分類監管而將安全評估作為數據出境的必經程序，可能會極大壓縮數據流動空間，難以滿足企業日益增長的數據跨境流動需要，也不利于RCEP區域經濟的聯動發展。

四、RCEP數據跨境規則與中國數據跨境立法的沖突

由于各國數據跨境理念差異和RCEP數據跨境規則中例外條款設計的“涵括”已形成RCEP數據跨境閉塞的現實困境，這與RCEP所提倡數據跨境自由的宗旨不相符。與之相對，伴隨中國數據跨境立法的不斷發展，中國數據跨境理念雖已逐漸從“保守型”轉變為“開放型”，但仍欠缺以重要數據為核心的數據分類分級標準和數據安全評估指標，致使數據跨境流動監管形式單一，實際監管效果不理想。由此可見，無論是中國還是RCEP數據跨境困境，其困境來源均是數據跨境理念和具體規則設計，本質屬于現有規則與數據跨境理念的不適配。形式上，中國數據跨境理念已基本符合RCEP規則中所提倡的數據跨境自由，中國數據跨境監管規則也基本符合RCEP的數據跨境要求，部分數據的境內存儲順應RCEP規則中“例外條款”的適用。但實質上，RCEP的數據跨境規則較同類其他區域貿易協定更加保守，RCEP數據跨境的實際理念是較為封閉和折中的，這與中國逐漸確定的“開放型數據跨境理念”相沖突。此外，RCEP并未形成統一的數據跨境監管方式，其規則設計非常簡化，這與中國逐漸完善的數據跨境監管框架亦產生沖突。以上兩方面共同形成了RCEP數據跨境規則與中國數據跨境立法銜接的具體沖突點，具體分析如下：

（一）在數據跨境治理中，RCEP數據跨境理念與中國立法理念存在偏差

RCEP實施“有條件的數據跨境+合作共治”模式，運用“例外條款”的立法設計突出各參與國在數據跨境流動領域的自主權。RCEP模式針對數據跨境的規制本質上仍然依靠各參與國對“例外條款”的理解，雖也輔之“促進數據流動”的相關規則，但數據的實際流動效果卻不顯著。RCEP依靠各參與國對數據跨境的妥協，極易導致數據的跨境結果具有相對性。當各參與國均尋求數據跨境的同等待遇時，那RCEP本身的數據跨境促進規則便形同虛設，使RCEP規則設計與旨在“促進區域數據流動與經濟發展”的區域貿易協定理念存在矛盾。就中國當前數據治理理念而言，已較傳統的“數據本地化存儲+數據出境安全評估”的數據跨境監管模式更為開放。新發布的《規定》證明中國開始在數據跨境領域致力于促進“數據流動自由”、發掘數據背后的經濟價值，這將與RCEP保守的數據跨境流動效果存在沖突。伴隨RCEP的全面生效以及中國數據跨境規則的不斷發展，理念的分歧帶來的困境會更加突出。

（二）在數據跨境監管領域，RCEP監管規則與中國數據監管框架不匹配

在RCEP數據跨境規則設計之初，在兼顧數據流動自由與數據安全理念指導下，RCEP并未明確具體的數據跨境監管規則，僅創造性提出“安全例外條款”使參與國實際獲取數據跨境的“自主權”以滿足各國的國家安全需求。但綜觀現有區域貿易協定，對數據跨境的規制不宜太過簡化，應設計能夠舒緩“例外條款”適用弊端的靈活跨境監管方式，充分發揮自由貿易協定的便利性與高效性。考慮中國不斷豐富數據跨境監管規則的事實，這本可為RCEP數據跨境監管的完善提供可行之策，但目前因缺乏國家層面清晰的“數據分級分類”標準與數據出境安全評估機制兩個核心內容，致使中國與RCEP相銜接的數據跨境監管框架缺失，無法向RCEP各參與國輸出可行、有效的數據跨境監管方案。這就造成了RCEP數據跨境制度與中國數據跨境立法缺乏銜接性，不利于RCEP數據跨境規制的完善。對于這一主要問題，應以細化中國國內的“數據分級分類”標準、健全數據出境安全評估機制為邏輯起點，重點建立適用于RCEP的數據跨境監管規則。

RCEP作為大型區域貿易協定，考慮各參與國數據理念的差異，其數據跨境規則的設計較為保守、折中，目前已不適應數據自由流動的國際趨勢。就中國國內立法而言，其數據跨境理念已呈現開放趨勢，但現實規則無法滿足數據跨境自由的要求，關鍵弊端在于數據跨境重要指標的不明確。RCEP數據跨境規則的完善需要依附各參與國的共同努力，但更需要科學、精準的監管方式。中國作為RCEP的重要參與國，應積極創新自身數據跨境監管體系，并向RCEP輸出數據治理方案，以緩解二者間在數據跨境規制領域的沖突。考慮目前中國的核心問題在于欠缺數據分級分類標準進而影響數據安全評估體系的運行，因此解決數據跨境規則的沖突需要從數據分級分類標準入手，建立有效運行的數據分級分類體系，并加以設計適用于RCEP的多元化、靈活性監管路徑。

五、RCEP視角下中國數據跨境規則的完善路徑

在數字高速發展的時代背景下，數據跨境是世界經濟發展的必然趨勢，但如何有效促進數據跨境自由與安全的平衡，將是優化數據跨境規則的重要思考路徑。中國在面臨RCEP的數據跨境規則時，如何解決二者立法銜接性不強這一問題是重中之重，不僅需要國內立法的完善，更需要RCEP數據跨境規制的改進。筆者認為，從中國角度審視RCEP數據跨境機制的完善方向，最關鍵的優化點是建立統一的數據出境分級分類機制，盡快明確數據的分級分類標準。尤其針對重要數據，需要中國盡快公布具體的評估指標，再配套監管機構督促實行[9]。隨后中國應積極推動該監管機制適用到RCEP數據規制體系中，成為保障各參與國國家安全、個人隱私權利以及國家利益的有力舉措。

（一）標準層面：推動建立重要數據出境分級審核體系

《網絡安全法》從數據的重要性著手，規定只要涉及國家數據就屬于重要數據[10]，并明確了重要數據本地化的要求。參考中國《網絡信息安全管理條例（征求意見稿）》分類標準，結合《關鍵信息基礎設施安全保護條例》等相關規定，可知中國對重要數據、個人信息兩類需要被重點監管的跨境數據已有初步認定標準。尤其在個人信息領域，中國以數據處理者的量級、數據處理者的種類作為數據安全評估的認定標準，較重要數據的界定更為明確。因此筆者將著重選取重要數據進行立法完善，對相應審核機制予以構思。

1.確立重要數據分級分類標準。重要數據是指具有高度關鍵性，對國家安全、個人隱私等方面極易造成威脅的數據類型，它不僅包括重要商業數據、個人敏感數據、國防數據、政府數據、特種行業等，還應包括可以推斷和計算出國家安全、科技、軍事、社會等現狀的敏感數據。當下這樣的涵括使重要數據的范圍泛化，但也是必要的考慮。伴隨中國數據跨境理念向著更為開放的方向發展，這使缺乏重要數據目錄清單和具體認證標準成為阻礙數據跨境高效監管的突出問題，需要被解決。雖然國家網信辦在《規定》第2條中明確只有被標識為“重要數據”的數據，才需要進行數據出境安全評估，以此緩解由于重要數據界定不清造成的合規壓力，但本質上仍是治標不治本。針對重要數據的認定，中國目前采取分地區、分行業的自行認定規則，但參考美國缺乏統一隱私法造成各州、各行業監管標準混雜化的歷史經驗[11]，筆者認為應盡快統一重要數據認證標準，制定國家層面的目錄清單是優化之策。筆者認為當下成立重要數據安全評估中心十分必要，以此為契機推動中國盡快明確重要數據跨境流動安全評估的流程與具體標準，運用多因素評價、計算等方式預測何種數據會給國家安全、公共利益造成潛在的風險與威脅，以此為依據有效監管重要數據的跨境流動。此外，還可根據風險等級對重要數據進行分級排序，為國家網信部門的數據出境安全評估提供指引。

數據自由跨境需要以“充分保護”作為前提，如果一味推崇數據跨境的自由會給國家安全造成極大風險。美國一貫崇尚數據流動的自由理念，但對國家安全的維護也是頗為重視，對于可能影響國家安全的重要數據嚴格限制出境。由此可見，數據跨境的自由與國家安全的維護并不沖突，國家安全必須高于數據跨境的自由度。當前，針對重要數據的跨境流動規制，中國應繼續堅持嚴格管理的政策理念，伴隨數據安全評估機制的建立，同步推行重要數據分類明細出臺。在此基礎上，才能將成熟的重要數據分級分類機制逐步推廣到RCEP體系中，為各參與國提供統一參考，也將在一定程度改善參與國數據限制標準不統一的情況。

2.建立靈活的數據跨境監管體系。考慮重要數據在跨境過程中面臨的復雜影響因素，中國可根據數據安全評估機構的設立，出臺重要數據分級審核監管體系并推廣到RCEP數據跨境規則中。首先，可參考歐盟GDPR的“白名單機制”，以RCEP為視角對數據跨境流動設置前提性條件，明確重要數據雙向流動的前提是相對國家或地區的數據保護水平達到中國認定的標準。但是，以RCEP為視角審視中國化的“白名單機制”便會發現一個問題，即中國為RCEP所設定的跨境流動前提性條件能否適用于全部參與國。考慮到RCEP參與國數據保護水平不統一的現實因素，這一潛在風險尤為突出。如果中國針對RCEP設計的“白名單機制”無法對所有參與國適用，就無法形成RCEP統一的數據跨境規制機制，最終不可避免使該標準流于形式，事倍功半。所以，中國針對RCEP數據流動“白名單機制”的設計不可簡單羅列認證標準，需將剛性與活性標準配合施行，此為因應之策。具言之，一方面可在綜合考察所有RCEP參與國實際情況的基礎之上明確統一的“最低標準”，另一方面可配合“標準合同”等形式，根據不同國家的不同數據監管情形，補充設置其他前置性條件[12]。具體監管方式設計如下：以保障國家安全與公共利益為前提，對相對國的數據保護水平等事宜進行具體化考察與評估，將數據跨境的前提性標準分為“剛性標準”“活性標準”兩類。其中，剛性標準是綜合RCEP全部參與國數據安全發展的基本情況，包括數據安全維護能力、國內法政策等綜合制定完成，對RCEP的各參與國通用。相對應，活性標準則是綜合分析國與國間的單個數據跨境因素，包括跨境數據的性質與類型、數據跨境原因等予以確認，只對跨境相對國適用，具有特定性，也較剛性標準靈活。其中，對于具有特定性的“活性標準”，筆者認為可給予企業較大的數據跨境自由。基于此舉措的落實，在RCEP數據跨境機制運營中，中國可嘗試應用以企業自治為主、國家監管為輔的數據規制模式，更好釋放RCEP經濟活力。但是，此種方式需要對數據跨境標準進行綜合評估，考慮到活性標準的相對性與不確定性，這一問題的最終解決還需依靠RCEP各參與國間的實際交流與經驗總結。

最后，數據跨境的充分性條件與數據審查的銜接仍是當前需要重點關注的部分。對于重要數據的審查是分級審核制的重要步驟，工作繁雜，體系龐大。因此中國有必要允許第三方專業機構的適度參與，對數據出境進行安全評估與詳細論證，為網信等有關部門提供參考。此外，第三方機構還可以行業規制為基礎，對企業內部的數據安全定期開展考察評估，督促企業的數據治理能力提升。以第三方機構的適度參與協助網信部門完成數據的分級和審核一體化內容。為緩解工作壓力，有關部門在監管過程中可以行使審查與實質審查結合的方式完成對非重要數據的審核，其中實質審查可以具有隨機性，但應貫徹數據跨境的全過程。

（二）立法理念：借鑒域外立法理念，推進RCEP立法統一

當前，針對數字時代下的數據跨境，中國已開始形成法律規制體系，但仍存在立法較為分散的情況。未來伴隨數據保護水平的繼續提升，中國可以考慮借鑒歐美立法經驗，如美國國內立法與國際法的高度銜接性以及歐盟立法的創新性特點[13]。一方面，就美國數據立法模式來說，其最大特色就是國內法與國際法的高度銜接性。例如，美國自由主義數據理念表現在諸多方面，就美國互聯網企業的發展模式而言，國內立法對互聯網企業約束限制較少，對接國際規則便表現為美國政府主張的數據跨境流動自由，也正是國內、國際立法的完美對接，才使得美國互聯網行業得到飛速發展。因此，中國可以適當借鑒美國立法經驗，努力與國際立法相銜接。在RCEP數據跨境體系的完善中，中國應充分考察RCEP的數據跨境環境，形成與之相適應的國內立法。對于數據的國內立法不能僅局限于泛而空的指導性規定，更應細化落實，并與RCEP數據跨境背景相統一。

而歐盟的立法的及時性也成為歐盟數據立法的顯著特征，2016年，歐盟率先通過GDPR，以此統一歐盟市場的數據準入標準，隨后GDPR也推動世界數據立法的潮流。近年來，歐盟通過多個數字法案，強化針對數據跨境的治理以發展自身數據立法。正是歐盟及時立法創新的舉措，使得歐盟率先確立數據流動“充分性保護”的評估權，通過區域貿易協定不斷拓展數據流動的范圍，在一定程度上擴大了歐盟在國際社會的影響力。綜上，中國可借鑒美國、歐盟的立法經驗，以完善RECP數據法律規制為契機，積極探索國內立法與RCEP立法的結合，以國內立法導向推動RCEP數據規則的完善。當前正處于數據跨境流動規則制定的關鍵期，已基本形成以歐盟和美國各自引領的數據立法，但這兩種數據立法體系均是以發達國家為主導的，對于發展中國家并不適用。而RCEP卻是以發展中國家為首，這與歐美式貿易環境截然不同。對于RCEP的數據立法也正是中國需要重點把握的良好契機，通過推動RCEP數據立法的統一，把握世界數據發展方向，擴大中國在數據立法上的世界影響力。

（三）技術層面：加強RCEP數據安全技術保障

由歐盟、美國的最新立法進展以及區域貿易協定中數據治理的強化可知：加強數據安全的技術保障是數據跨境流動自由的又一前提。數據安全技術的加強有利于國家通過相應技術手段預防、限制數據的非法跨境并且充分應對突如其來的網絡攻擊，以防數據泄露。對于RCEP數據跨境來說，中國應重點強化網絡安全技術，以有效應對網絡安全事件的發生，防止數據的泄露、丟失和損壞。并且在數據威脅發生后，能夠積極采取補救措施用以阻斷或者攔截數據的傳播，通過有效措施降低數據丟失的損害和風險[14]。其實，數據跨境保護的最主要舉措還是從源頭以及跨境傳播過程中強化對數據的監管。中國應鼓勵RCEP參與國網絡安全技術或者信息的共享，全面提升參與國的網絡技術水平，這也能夠在技術源頭推動數據的自由流動，以實現RCEP經濟協同發展的目的。

數字科技的發展孕育數據傳播的新形式，提升了數據跨境的效率與速度，在縮短國與國間貿易距離的同時，為世界經濟發展注入了新鮮動力。如何達到數據保護與數據自由的良性平衡是當今世界共同的難題。針對數據跨境的法律規制，近年來中國以保障數據安全為前提，在重要數據、個人信息出境規制領域不斷創新，但尚欠缺數據分級分類監管的具體標準、缺乏詳細的數據安全評估細則，導致與RCEP數據跨境規則的接洽性不足。RCEP作為中國參與的大型區域貿易協定，為中國建立適用于發展中國家的數據立法提供了條件與思路，是中國緊握數據立法國際話語權的重要契機。未來，RCEP數據規制體系有望成為數字絲綢經濟建設的重要部分甚至“風向標”。但就目前來說，RCEP數據跨境規則與中國數據跨境立法均需完善，以歐美數據跨境立法范式為參考，以銜接RCEP與中國數據跨境立法為目標，從數據標準、立法理念、技術保障等方面提升數據安全性、擴展數據跨境流動自由度，是完善國內數據跨境立法體系進而推進RCEP數據跨境治理的合理進路。以此為契機，有助于中國持續向世界展示數據治理“中國智慧”與“中國方案”。