趙海樂

一、引言

隨著全球數(shù)字經(jīng)濟的蓬勃發(fā)展，與電子商務(wù)或數(shù)字貿(mào)易相關(guān)的自由貿(mào)易協(xié)定（Free Trade Agreement，F(xiàn)TA）談判也同樣飛速進行。在亞太地區(qū)，長期以來我國一直是區(qū)域數(shù)字貿(mào)易自由化規(guī)則制定的旁觀者，但從2015 年中韓與中澳FTA 開始，我國逐漸積極參與區(qū)域數(shù)字貿(mào)易規(guī)則制定。①參見李冬冬：《亞太地區(qū)數(shù)字貿(mào)易自由化路徑的演進、分歧與啟示》，《亞太經(jīng)濟》2021年第4期，第23-32頁。需要說明的是，當(dāng)前主流FTA文本中并不明確區(qū)分“數(shù)字經(jīng)濟”與“電子商務(wù)”，以上述名稱為章節(jié)標(biāo)題的條約文本并無本質(zhì)差異。本文因而對此不另做區(qū)分。至今為止，我國參與的FTA 中，最為復(fù)雜的數(shù)字貿(mào)易規(guī)則當(dāng)屬2020 年底締結(jié)的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP）。其中不僅包括電子簽名、無紙化貿(mào)易等我國向來接受度較高的傳統(tǒng)電子商務(wù)條款，還包括線上個人信息保護、數(shù)據(jù)跨境傳輸、計算設(shè)施本地化等當(dāng)前熱點議題。不過，值得一提的是，由于RCEP 締約方經(jīng)濟發(fā)展水平差異過大，RCEP 規(guī)則體系不得不堅持開放與包容性，①參見田云華等：《RCEP 的開放規(guī)則體系評價：基于CPTPP 的進步與差距》，《國際貿(mào)易》2021年第6期，第65-72頁。以保證不同發(fā)展水平的締約方能就此議題達成一致，其中最典型的條款即為最不發(fā)達成員設(shè)定更長的過渡期。另一個體現(xiàn)RCEP 開放性的制度設(shè)計，則是其中的爭端解決機制。例如，RCEP第12章“電子商務(wù)”第17條第3款規(guī)定，“任何締約方不得就本章項下產(chǎn)生的任何事項”訴諸第十九章爭端解決程序，除非締約方對此明確同意。這意味著，因RCEP 電子商務(wù)章節(jié)產(chǎn)生的爭議，僅會在兩締約方均在事前或事后明確同意的情況下才能提交爭端解決程序；且締約方的同意，可能基于該章特定事項、特定條款而非該章整體。某一締約方甚至還可能僅僅同意與RCEP 特定相對方而非全體締約方開啟爭端解決程序。這因而引發(fā)了我國應(yīng)思考的問題：我國未來是否應(yīng)當(dāng)承認RCEP 電子商務(wù)章節(jié)諸條款的可訴性？鑒于RCEP 電子商務(wù)章節(jié)內(nèi)容頗為復(fù)雜，本文并不對此進行整體評述，而僅僅選擇核心條款之一——數(shù)據(jù)跨境流動條款進行研究。

本文的分析將始于對RCEP 第12 章第15 條的研究，剖析其對締約方數(shù)據(jù)跨境流動權(quán)利義務(wù)的設(shè)定；在此基礎(chǔ)上，分別結(jié)合我國國內(nèi)立法與海外利益訴求，分析接受數(shù)據(jù)跨境流動條款可訴性將對我國國內(nèi)法治造成的影響以及可能為我國海外利益帶來的助益；最后，基于以上分析為我國未來對RCEP 數(shù)據(jù)跨境流動條款的可訴性安排提出意見和建議。

二、RCEP數(shù)據(jù)跨境流動規(guī)則解析

（一）RCEP第12章第15條文本解讀

RCEP第12章第15條，是對數(shù)據(jù)跨境流動的規(guī)定。其條款如下：

“一、締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監(jiān)管要求。

二、一締約方不得阻止涵蓋的人為進行商業(yè)行為而通過電子方式跨境傳輸信息。

三、本條的任何規(guī)定不得阻止一締約方采取或維持：

（一）任何與第二款不符但該締約方認為是其實現(xiàn)合法的公共政策目標(biāo)所必要的措施，只要該措施不以構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制的方式適用；或者

（二）該締約方認為對保護其基本安全利益所必需的任何措施。其

他締約方不得對此類措施提出異議?！?/p>

第15 條第3 款第1 項中的“必要”與第2 項中的“必需”措辭雖有不同，但英文版表述均為“necessary”一詞。從這一意義上講，至少在RCEP 第12.15 條語境下，“必要”與“必需”應(yīng)當(dāng)不存在根本性區(qū)別。不過，條約文本僅僅在第3 款第1 項“必要”一詞后以腳注的形式強調(diào)，就本項而言，締約方確認實施此類合法公共政策的必要性應(yīng)當(dāng)由實施的締約方?jīng)Q定。第3 款第2 項“必需”一詞后則無此注釋。

上述條約文本中，最核心的義務(wù)性規(guī)定當(dāng)屬第15 條第2 款，該款原則性禁止對數(shù)據(jù)跨境流動的限制。該條款并未明確“數(shù)據(jù)”的類型，因而既可能包括個人信息也可能包括非個人信息。此外，此處規(guī)制的數(shù)據(jù)跨境流動僅包括以“商業(yè)行為”為目的，政府或司法機關(guān)主導(dǎo)的數(shù)據(jù)跨境流動（如跨境取證）不受此條款規(guī)制。

不過，對數(shù)據(jù)跨境流動限制的原則性禁止，同時要受到第3 款中兩項例外的限制。在第一項公共政策例外中，援引例外一方實施的措施應(yīng)當(dāng)服務(wù)于“合法的公共政策目標(biāo)”，但對于何為“公共政策目標(biāo)”并未明示。鑒于第15條第1款載明，“締約方認識到每一締約方對于通過電子方式傳輸信息可能有各自的監(jiān)管要求”，這暗示著，監(jiān)管措施盡管在國家間存在差異，但其完全可能均服務(wù)于合法的公共政策目標(biāo)。此外，“公共政策例外”的另一個特征是其“自裁決”屬性。此例外措辭為，“締約方認為是其實現(xiàn)合法的公共政策目標(biāo)所必要的措施”?！熬喖s方認為”一詞，足以保證措施實施者有權(quán)決定涉案措施的必要性。不僅如此，此例外文本還通過腳注特別強調(diào)，“締約方確認實施此合法的公共政策的必要性應(yīng)當(dāng)由實施的締約方?jīng)Q定”?！皩嵤┑木喖s方”一詞進一步表明，某措施的施行者同時也屬于該措施必要性的最終判定者。與之形成鮮明對比的是，GATT第20條“一般例外”中就并未出現(xiàn)“締約方認為……”字樣。這也意味著，自裁決性是RCEP 第12 章第15條區(qū)別于GATT“一般例外”最明顯的特征。當(dāng)然，RCEP 第12 章第15 條與GATT“一般例外”在設(shè)計上仍然存在相當(dāng)?shù)墓残浴＞喖s方實施某項數(shù)據(jù)跨境流動限制措施，不得構(gòu)成任意或不合理的歧視，或者變相的貿(mào)易限制。

與公共政策例外相比，基本安全例外的設(shè)計更加簡單。締約方認為是保護其基本安全利益所必需的措施，均可豁免RCEP 對數(shù)據(jù)跨境自由流動的要求。此處并未對措施是否應(yīng)當(dāng)以“非歧視”的方式施行、該措施是否構(gòu)成對貿(mào)易變相限制進行額外要求，也并未像GATT 第21 條“安全例外”那樣，要求保護該締約方基本安全利益的措施必須與裂變材料、軍火貿(mào)易或緊急情況相關(guān)。不僅如此，基本安全例外條款還要求，“其他締約方不得對此類措施提出異議”。此處的“提出異議”對應(yīng)的英文文本為“be disputed”。這意味著，“不得對此類措施提出異議”可能被解讀為“不得對此措施提起爭端解決之訴”。

（二）RCEP第12章第15條對成員方規(guī)制數(shù)據(jù)跨境流動權(quán)力的影響

從上述條款文本設(shè)計來看，不論是上述哪一款例外，較之于GATS或GATT一般例外、安全例外，RCEP均更加傾向于尊重、保護成員方規(guī)制數(shù)據(jù)跨境流動的權(quán)力。

1.RCEP第12章第15條基本安全例外對司法審查的排除

RCEP 第12 章第15 條中的基本安全例外，不論是較之于GATT 第21 條、GATS 第14 條，還是RCEP 第17 章中的“安全例外”，均更加寬松。RCEP 第17 章“一般條款和例外”第13 條“安全例外”適用于RCEP 整體，其自然也適用于RCEP第12 章。不過，鑒于RCEP 第12 章第15 條中的“基本安全例外”規(guī)則是專門適用于數(shù)據(jù)跨境流動的特別規(guī)則，根據(jù)“特別法優(yōu)于一般法”的法理，RCEP 第12 章第15 條“基本安全例外”應(yīng)當(dāng)優(yōu)先于RCEP 第17 章第13 條“安全例外”。WTO 判例表明，GATT“安全例外”可以提交司法審查，援引例外一方行為的合法性也因此可能被否決。而RCEP 第12 章第15 條中的基本安全例外，則以十分肯定的措辭完全排除了司法審查空間。此種狀況，即便在RCEP 當(dāng)中也同樣是特例。RCEP的總體態(tài)度是嚴格限制締約方援引“安全例外”的政策空間。具體來講，RCEP 第17 章第13 條“安全例外”僅規(guī)定締約方有權(quán)采取“其認為對其保護其基本安全利益所必需的行動”，允許締約方對行為必需性進行自裁決。至少在措辭上，第17章第13 條并未強調(diào)不得依據(jù)此條款提起爭端解決之訴；同時其對“基本安全例外”的界定也相對嚴格，締約方必須證明其主張的基本安全利益屬于法定事項才可援引此例外。

2.RCEP第12章第15條公共政策例外排除了“必需性”審查

RCEP 第12 章第15 條公共政策例外的設(shè)計較之于GATT 一般例外更加寬松。這首先體現(xiàn)為對“公共政策”一詞的寬松界定。GATT“一般例外”中并無寬泛的“公共政策”例外，而僅僅包含公共道德、環(huán)境、健康等更加特定化的例外種類；GATS 第14 條例外雖允許成員方采取“為保護公共道德或維護公共秩序所必需”的措施，但是特別強調(diào)，此處的公共秩序例外僅能在“社會根本利益受到真正和足夠嚴重的威脅”時方可援用。①對于數(shù)據(jù)跨境流動是否符合公共政策、公共道德等特定種類例外的討論，參見張倩雯：《數(shù)據(jù)跨境流動之國際投資協(xié)定例外條款的規(guī)制》，《法學(xué)》2021年第5期，第90-102頁。對比而言，在RCEP 第12 章第15 條語境下，援引例外的一方證明其政策目標(biāo)系服務(wù)于公共政策考量顯然更加容易。

不僅如此，不論是GATT還是GATS一般例外，均不允許締約方自行認定涉案措施是否服務(wù)于某一目標(biāo)所必需，此問題必須經(jīng)由司法程序裁定。在RCEP 第12章第15 條項下，援引例外一方無須證明其行為的必需性。這就意味著，對數(shù)據(jù)跨境流動進行限制的國家無須證明其限制措施為對貿(mào)易損害最小、且別無其他合理替代措施——此種對“必需性”的解讀，是從美國—博彩案到韓國—牛肉案以來一貫堅持的，且在GATT 與GATS 項下完全一致。①援引WTO 判例對RCEP 文本進行解讀之所以具有正當(dāng)性，一方面是由于WTO 規(guī)則在國際經(jīng)濟法領(lǐng)域具有“憲法”性地位，因而足以對FTA 解釋提供指引；另一方面是因為RCEP第19章第4條明確規(guī)定，“WTO 爭端解決機構(gòu)通過的WTO 專家組報告和WTO 上訴機構(gòu)報告中所作出的相關(guān)解釋”，在審理納入RCEP 的《WTO 協(xié)定》的條款相關(guān)爭議時應(yīng)當(dāng)進行考量。參見楊署東、謝卓君：《跨境數(shù)據(jù)流動貿(mào)易規(guī)制之例外條款：定位、范式與反思》，《重慶大學(xué)學(xué)報(社會科學(xué)版)》2021年第4期，第1-15頁。正如世界貿(mào)易組織（WTO）上訴機構(gòu)在韓國—牛肉案中總結(jié)的，對于某項措施是否具有“必需性”，判斷標(biāo)準(zhǔn)的一端是“有助于”某政策目標(biāo)的實施即可；另一端則是“實現(xiàn)某政策目標(biāo)不可或缺”。而“必需性”判斷顯然與“不可或缺”標(biāo)準(zhǔn)更加接近。②See WTO, Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef,Appellate Body Report, WT/DS161/AB/R, para.161.一項措施如果是其他措施絕對不可替代的，則該項措施必然符合“必需性”標(biāo)準(zhǔn)；但如果仍然存在其他替代措施，則還需要在個案中運用比例原則繼續(xù)分析：這些措施對于實現(xiàn)上述目標(biāo)的貢獻大小；所保護的共同利益與價值有多重要；涉案措施對于貿(mào)易的影響多大，進而決定究竟是否應(yīng)當(dāng)采用替代措施。③See WTO, Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef,Appellate Body Report, WT/DS161/AB/R, para.162.從GATT 到WTO，能夠成功突破“必需性”要件援引一般例外的例子并不多見。在絕大多數(shù)案件當(dāng)中，爭端解決機構(gòu)均認為存在同樣有效、且對貿(mào)易影響更小的替代措施。對此，唯一的例外，或許是歐共體—石棉案；而此案的特殊性恰恰在于，涉案措施為貿(mào)易禁令而非貿(mào)易限制措施。在該案當(dāng)中，上訴機構(gòu)認定，石棉的毒性人所共知，因而除禁止其使用之外再無其他措施可以保護人類健康。④See WTO, European Communities-Measures Affecting Asbestos and Products Containing Asbestos, Appellate Body Report, WT/DS135AB/R, para.172.

與“安全例外”類似，上述公共政策例外，在RCEP 文本中同樣具有特異性。RCEP 第17 章雖有第12 條“一般例外”，但該條款僅僅重申了GATT 第20 條例外與GATS第14條例外對RCEP的適用，而未對其要件進行任何修改。

與此同時，“歧視”與“變相限制”兩要件的存在，意味著締約方規(guī)制權(quán)仍要受到一定限制，以保證涉案措施不至于構(gòu)成貿(mào)易保護。RCEP 第12 章第15 條與GATT 第20 條、GATS 第14 條類似，均要求涉案措施不得構(gòu)成“任意或不合理的歧視”。這要求行為方涉案措施必須以國家間平等、產(chǎn)品間平等的方式加以實施。而此種平等，不僅僅包括法律上的平等，還包括事實上的平等——即相同法律在具體實施過程當(dāng)中必須給予各方同等待遇。在WTO 判例中，曾將此種平等演繹為“平等進行談判的權(quán)利”。在美國—蝦案中，專家組認為，美國有義務(wù)善意、盡可能努力地與相關(guān)國家進行談判，以達成貿(mào)易限制措施之外的解決方案；而對于“善意”和“盡可能努力”的評判標(biāo)準(zhǔn)，則應(yīng)當(dāng)比照美國此前完成談判的中美洲國家所獲得的待遇進行。而且，談判過程必須考慮到各國實際情況，不得“一刀切”地以單一標(biāo)準(zhǔn)取代協(xié)商談判。①See WTO, United States-Import Prohibition of Certain Shrimp and Shrimp Products (Article 21.5), Panel Report, WT/DS58/RW, paras.5.67-5.74.除此之外，此種“任意或不合理的歧視”還可能產(chǎn)生于貿(mào)易措施過于模糊、行政機關(guān)裁量權(quán)過于寬泛的情形之下。在歐共體—海豹制品案中，上訴機構(gòu)認為，此種過于寬泛的立法可能導(dǎo)致某些商業(yè)捕獵被劃歸“土著居民例外”，進而在商業(yè)捕獵行為之間造成歧視性待遇。②See WTO, European Communities-Measures Prohibiting the Importation and Marketing of Seal Products, Appellate Body Report, WT/DS400/AB/R, para.5.328.

除“任意或不合理的歧視”這一要件之外，“對貿(mào)易的變相限制”要件同樣會對締約方產(chǎn)生一定限制。盡管此標(biāo)準(zhǔn)的內(nèi)涵與歧視要件存在一定重疊，當(dāng)前通過WTO判例確立的法律標(biāo)準(zhǔn)，包括“涉案措施是否對外公布”“措施的實施過程是否存在任意或不合理的歧視”“措施是否具有保護主義目的”等要素。③對此的闡述與批評，參見Chang-Fa Lo, The Proper Interpretation of“Disguised Restriction on International Trade”under the WTO: The Need to Look at the Protective Effect, 4 Journal of International Dispute Settlement 111-137 (2013).

上述諸要件的設(shè)置如何對數(shù)據(jù)跨境流動產(chǎn)生影響，下文還將具體論述。但上文分析至少能夠闡明的是，RCEP 數(shù)據(jù)跨境流動條款通過對數(shù)據(jù)跨境自由流動的原則性規(guī)定和寬泛的例外設(shè)定，為締約方確立了對數(shù)據(jù)跨境流動進行規(guī)制的政策空間。此種政策空間能否有效維護我國數(shù)據(jù)流動國內(nèi)法律規(guī)制的合法性空間、是否會對我國海外利益的維護產(chǎn)生負面影響，將共同決定我國是否應(yīng)當(dāng)承認RCEP數(shù)據(jù)跨境流動條款的可訴性。

三、我國數(shù)據(jù)流動規(guī)則在RCEP項下的合法性

（一）我國數(shù)據(jù)跨境流動法治現(xiàn)狀

目前，我國已形成了較為完善的數(shù)據(jù)跨境流動法律框架。我國法律在界定某些情形須進行數(shù)據(jù)出境審查的同時，原則上允許數(shù)據(jù)跨境流動。

首先，我國數(shù)據(jù)出境審查的一個重要方面，是對關(guān)鍵信息基礎(chǔ)設(shè)施境內(nèi)運營數(shù)據(jù)出境的安全審查，這其中可能同時涉及個人信息、公共秩序與國家安全三方面利益的維護。例如，我國2017 年《網(wǎng)絡(luò)安全法》第37 條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估”?！毒W(wǎng)絡(luò)安全法》第31 條將關(guān)鍵信息基礎(chǔ)設(shè)施界定為“國家對公共通信和信息服務(wù)……重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”。這其中就同時包含了公共秩序要素與國家安全要素。而關(guān)鍵信息基礎(chǔ)設(shè)施引發(fā)安全評估的，又恰恰是個人信息出境，這不可避免地會涉及個人信息保護問題。2021 年《個人信息保護法》第40 條、《數(shù)據(jù)安全法》第31 條、《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第2 條也均有類似規(guī)定。

其次，我國信息出境安全審查的又一重要方面，體現(xiàn)在《個人信息保護法》第40 條的規(guī)定：處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，其信息出境應(yīng)通過國家網(wǎng)信部門組織的安全評估。此規(guī)定在《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第6 條中，被細化為掌握超過100 萬用戶個人信息的運營者赴國外上市，須首先提交網(wǎng)絡(luò)安全審查。二者措辭雖有差異，但共性在于，均認可處理個人信息達到一定數(shù)量即可引發(fā)數(shù)據(jù)出境安全審查義務(wù)，而非特定數(shù)量個人信息實際出境時才需要提交安全審查。這無疑表明，我國法律對數(shù)據(jù)出境可能引發(fā)國家安全問題防患于未然，而非基于實際、確定的風(fēng)險對數(shù)據(jù)出境進行限制。

再次，重要數(shù)據(jù)的跨境流動同樣會引發(fā)安全評估。2017年《網(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)原則上應(yīng)當(dāng)境內(nèi)存儲，其跨境傳輸應(yīng)當(dāng)通過安全評估；2021年《數(shù)據(jù)安全法》第31條也作出了類似規(guī)定。2021年《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第11 條在強調(diào)重要數(shù)據(jù)出境安全評估義務(wù)的同時，對重要數(shù)據(jù)進行了定義。其中，既包括與個人信息保護相關(guān)的內(nèi)容（如涉及個人信息主體超過10萬人的個人信息、人臉信息），也包括非法利用將危害國家安全或公共利益的數(shù)據(jù)，如車流物流數(shù)據(jù)等。

最后，對于不包含在上述任一情形之內(nèi)的個人信息跨境傳輸，我國目前并未要求一概進行安全評估。根據(jù)我國2021 年《個人信息保護法》第38 條，個人信息出境僅在涉及關(guān)鍵信息基礎(chǔ)設(shè)施、處理個人信息達到某一數(shù)量的兩種情形下才需要通過安全評估；除此之外，“按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證”、采納“國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同”均可成為合法性來源。不過，后兩種情形需要履行向個人告知的義務(wù)并取得其單獨同意（第39 條）。這明顯有別于我國《個人信息出境安全評估辦法（征求意見稿）（2019年版）》原則上要求個人信息出境均應(yīng)進行安全評估的嚴格態(tài)度。當(dāng)然，該征求意見稿隨后并未獲得通過。這也側(cè)面證明，我國數(shù)據(jù)出境并不是有些學(xué)者所主張的“凡出必審”，①參見薛亦颯：《多層次數(shù)據(jù)出境體系構(gòu)建與數(shù)據(jù)流動自由的實現(xiàn)——以實質(zhì)性審查制變革為起點》，《西北民族大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2020年第6期，第64-74頁。而是僅有少數(shù)幾種信息出境須以安全評估為前提。

（二）我國數(shù)據(jù)出境管理政策在RCEP第12章第15條項下的合法性

我國數(shù)據(jù)出境管理政策的合法性問題，從2017 年起就曾屢次在WTO 遭到美歐質(zhì)疑。其中，最為詳細的一份質(zhì)疑文件，是美國2017 年9 月26 日提交至WTO的《來自美國的通訊——中國與其〈網(wǎng)絡(luò)安全法〉相關(guān)的已采取和起草中的措施》。從文件名稱可知，美國此份質(zhì)疑文件主要針對我國《網(wǎng)絡(luò)安全法》，且質(zhì)疑內(nèi)容不僅包括我國已采取的措施，還包括對我國未來可能采取措施的預(yù)判。①See The United States, Communication from the United States, Measures Adopted and under Development by China Relating to its Cybersecurity Law, S/C/W/374.美國表示，中國《網(wǎng)絡(luò)安全法》對于重要信息和個人信息出境的特別要求會嚴重影響數(shù)據(jù)跨境流動；經(jīng)營者必須滿足嚴苛的條件才能將數(shù)據(jù)傳輸至境外，這對經(jīng)營者而言負擔(dān)過重，數(shù)據(jù)控制者必須證明數(shù)據(jù)出境的必要性，而且個人信息出境還要獲得數(shù)據(jù)主體的單獨同意，這同樣為經(jīng)營者施加了過重的負擔(dān)，且此措施本身無助于隱私保護。美國在此基礎(chǔ)上主張，除“安全評估”和“單獨同意”之外，中國可以采取其他足以實現(xiàn)隱私保護目標(biāo)且使企業(yè)負擔(dān)更小的措施，例如，遵從跨境隱私保護規(guī)則（Cross-Border Privacy Rules，CBPR）、承認網(wǎng)絡(luò)運營者與第三方數(shù)據(jù)接收者之間的合同安排、進行第三方認證（third-party accreditation）等。除此之外，美國還主張，中國數(shù)據(jù)出境管理法律措辭過于空泛，例如，對于何種情形下會導(dǎo)致數(shù)據(jù)跨境傳輸危及國家安全、社會公共利益，未作詳細說明，這將導(dǎo)致涵蓋范圍過廣，進而構(gòu)成對跨境數(shù)據(jù)流動的直接禁止。此后，美國與歐盟陸續(xù)于2018—2019年向WTO 提交類似文件，②See EU, Statement by the European Union to the Committee on Technical Barriers to Trade - 21 and 22 March 2018, G/TBT/W/509; The United States, Communication from the United States - Measures Adopted and under Development by China Relating to its Cybersecurity Law - Questions to China, S/C/W/378; EU, Committee on Technical Barriers to Trade - China - Cybersecurity Law - Statement by the European Union to the Committee on Technical Barriers to Trade - 14 and 15 November 2018, G/TBT/W/590;EU, China - Cybersecurity Law - Statement by the European Union to the Committee on Technical Barriers to Trade, 6 and 7 March 2019, G/TBT/W/637.截至目前，最后一份質(zhì)疑文件發(fā)布于2019 年4 月。這些文件在重復(fù)上述內(nèi)容的同時，還提出了關(guān)鍵信息基礎(chǔ)設(shè)施界定不清晰、《網(wǎng)絡(luò)安全法》內(nèi)容須細化等問題。

美國與歐盟并非RCEP 締約方，但上述質(zhì)疑的內(nèi)容卻很可能在RCEP 數(shù)據(jù)跨境流動爭端解決程序中重現(xiàn)。美國上述質(zhì)疑，很大程度上涵蓋了我國數(shù)據(jù)出境管理政策的合法性爭點。對我國數(shù)據(jù)跨境流動現(xiàn)行規(guī)則與上述質(zhì)疑內(nèi)容進行分析，有助于揭示我國數(shù)據(jù)出境管理政策未來可能面臨的合法性之爭。

1.我國數(shù)據(jù)出境安全評估符合RCEP第12章第15條“基本安全例外”

考慮到RCEP 第12 章第15 條“基本安全例外”的規(guī)定最為寬松，我國如能夠證明數(shù)據(jù)出境安全評估符合此項例外，則其他締約方可能難以對我國數(shù)據(jù)出境安全審查制度在爭端解決機制項下提出質(zhì)疑。根據(jù)RCEP 第12 章第15 條，“基本安全例外”得以適用的條件，是涉案措施為該締約方認為保護其基本安全利益所必需的措施。雖然此條款的“自裁決”屬性意味著，我國無須證明上述數(shù)據(jù)出境安全審查措施具有“必需性”，但根據(jù)WTO 相關(guān)判例，我國仍須證明另外兩個要件：存在受保護的基本安全利益；涉案措施與保護基本安全利益之間存在關(guān)聯(lián)。

具體而言，根據(jù)RCEP 第19 章第4 條，“WTO 爭端解決機構(gòu)通過的WTO 專家組報告和WTO 上訴機構(gòu)報告中所作出的相關(guān)解釋”，在審理納入RCEP 的WTO協(xié)定條款相關(guān)爭議時應(yīng)當(dāng)進行考慮。盡管RCEP 第12 章第15 條中的“基本安全例外”與GATT第21條安全例外不完全相同，但至少“該締約方認為對保護其基本安全利益所必需的措施”這一表述，完整地從GATT 第21 條納入了RCEP 第12.15條。因此，以俄羅斯—過境措施案為代表的WTO 判例對GATT 第21 條進行的解釋，也能夠?qū)CEP 第12 章第15 條“基本安全例外”進行解釋與補充。在俄羅斯—過境措施案專家組報告中，專家組雖然承認“基本安全例外”的自裁決性，但同時認為，WTO 爭端解決機構(gòu)仍然有權(quán)對“基本安全利益”是否存在以及涉案措施與基本安全利益是否存在關(guān)聯(lián)進行判斷。

對于何為基本安全利益，專家組在俄羅斯—過境措施案中認為，基本安全利益區(qū)別于一般性的“安全利益”，所指代的利益必然與國家典型職能緊密相關(guān)，即保護其領(lǐng)土和人民免受外來威脅；保護境內(nèi)法治與公共秩序。專家組同時表明，雖然每個國家理論上都有權(quán)決定何為其基本安全利益且各國對此的界定必然存在區(qū)別，但是各國仍然需要依照《維也納條約法公約》第31 條中的“善意原則”進行定義。①See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, para.7.59.《維也納條約法公約》第31 條規(guī)定的“善意原則”要求各國不得適用“安全例外”以規(guī)避其在GATT 項下的義務(wù)，如將貿(mào)易利益包裝為基本安全利益。②See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, paras.7.130-7.133.上述分析意味著，雖然GATT第21條安全例外并未承認一國對何為“基本安全利益”擁有最終決定權(quán)，但WTO 爭端解決機構(gòu)仍然充分尊重當(dāng)事國的自行裁量。當(dāng)事國理論上仍須對“基本安全利益”進行善意定義，但“善意”的程度僅為“不規(guī)避條約義務(wù)”即可。

對于涉案措施與基本安全利益的關(guān)聯(lián)，專家組同樣運用善意原則進行了分析，并認為涉案措施必須具有“服務(wù)于基本安全利益的最低限度的可行性”，即“并非全然無法服務(wù)于此目標(biāo)”。①See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, para.7.138.此標(biāo)準(zhǔn)明顯低于“必需性”標(biāo)準(zhǔn)，即涉案措施并不需要是實現(xiàn)該基本安全利益不可或缺且對貿(mào)易損害最小的措施。

基于以上分析，我國數(shù)據(jù)出境安全評估完全可以符合上述兩項要求。從基本安全利益一詞的定義來看，我國關(guān)鍵信息基礎(chǔ)設(shè)施、達到一定數(shù)量的個人信息與重要數(shù)據(jù)出境，所服務(wù)的目標(biāo)完全可以是狹義的國家安全。畢竟，關(guān)鍵信息基礎(chǔ)設(shè)施的定義即為“一旦數(shù)據(jù)泄露就可能嚴重危害國家安全、國計民生與公共利益”的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，其與國家安全的關(guān)聯(lián)是毋庸置疑的，且至少不是“偽裝下的貿(mào)易利益”。即便某關(guān)鍵信息基礎(chǔ)設(shè)施更多地關(guān)聯(lián)“國計民生”“公共利益”而非“國家安全”，我國也可以援引上文國家安全定義的“保護境內(nèi)法治與公共秩序”部分進行辯護。而個人信息、重要數(shù)據(jù)與國家安全的關(guān)聯(lián)，則是它們作為“情報”的價值。②參見李曉楠、宋陽：《國家安全視域下數(shù)據(jù)出境審查規(guī)則研究》，《情報雜志》2021 年第10期，第74-82頁。例如，“運滿滿”匯總的物流信息則可能反映我國物流基礎(chǔ)設(shè)施現(xiàn)狀。對這些信息進行出境審查，將有助于保護我國自然、人文地理信息不被他國情報機關(guān)獲取，因而具有重要的國家安全價值。

關(guān)于我國數(shù)據(jù)出境安全評估與“國家安全”這一目標(biāo)之間的關(guān)聯(lián)，我國僅須證明數(shù)據(jù)出境安全評估并非完全無助于維護國家安全即可。鑒于韓國曾將地圖信息的本地化存儲作為維護國家安全的重要舉措，③參見人民網(wǎng)：《擔(dān)心威脅國家安全 韓國再拒谷歌地圖“輸出申請”》，http://world.people.com.cn/n1/2016/1120/c1002-28881646.html，2021年10月1日訪問。美國也曾在行政命令中認為應(yīng)用程序可能造成個人身份信息和基因信息等敏感數(shù)據(jù)泄露、進而對美國數(shù)據(jù)隱私和國家安全構(gòu)成風(fēng)險④參見新華網(wǎng)：《拜登撤銷對TikTok 和微信等中國軟件禁令》，http://www.xinhuanet.com/world/2021-06/10/c_1127549552.htm，2021年10月1日訪問。，數(shù)據(jù)出境與國家安全的“最低限度的關(guān)聯(lián)”在國際上并不缺乏實踐基礎(chǔ)。

2.我國數(shù)據(jù)出境安全評估可能符合“公共政策例外”

即便RCEP 爭端解決機制將數(shù)據(jù)出境安全評估進行分解、將其中與公共利益和個人信息保護相關(guān)的管理措施與涉國家安全的管理措施區(qū)分對待，這些管理措施經(jīng)進一步完善也很可能符合RCEP第12章第15條“公共政策例外”。

一方面，與公共利益相關(guān)的數(shù)據(jù)出境管理措施可以基于RCEP 第12.15 條“公共政策例外”的要求獲得合法性認定。該項例外允許締約方自行認定某項數(shù)據(jù)出境管理措施的必需性。因此，相對方不得以“數(shù)據(jù)出境管理會導(dǎo)致經(jīng)營者負擔(dān)過重、且存在同樣服務(wù)于隱私保護但負擔(dān)更小的替代措施”為由，要求中國采取其他替代措施。不過，要符合“公共政策例外”，我國還須證明，涉案措施不構(gòu)成任意或不合理的歧視、也不構(gòu)成對國際貿(mào)易的變相限制。因為WTO 判例表明，如果一項法律文本過于空泛、導(dǎo)致行政機關(guān)具有過于寬泛的自由裁量權(quán)，這就可能導(dǎo)致個案中的不平等對待，進而構(gòu)成任意或不合理的歧視；而且，我國數(shù)據(jù)出境管理措施也曾被美歐指責(zé)為“不夠清晰”。

目前來看，我國法律中“關(guān)鍵信息基礎(chǔ)設(shè)施”一詞可能過于空泛，①對此的質(zhì)疑，參見歐盟2019 年在WTO 發(fā)表的聲明。See EU, China - Cybersecurity Law-Statement by the European Union to the Committee on Technical Barriers to Trade, 6 and 7 March 2019, G/TBT/W/637.但這一問題未來必然會得到補救。我國2021 年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》列舉了能源、交通等一系列行業(yè)，規(guī)定這些行業(yè)的“重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施；不僅如此，其中還規(guī)定“一旦遭到破壞、喪失功能、數(shù)據(jù)泄露就可能嚴重危害國家安全、國計民生、公共利益的其他重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”同樣屬于關(guān)鍵信息基礎(chǔ)設(shè)施，但數(shù)據(jù)控制者同樣無從預(yù)計其具體內(nèi)容，也無法預(yù)知自己掌控的數(shù)據(jù)是否應(yīng)當(dāng)基于此條例進行出境審查。對此，該條例第8條至第10條作出了具體規(guī)定：重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門需組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時將認定結(jié)果通知運營者，并通報國務(wù)院公安部門。這意味著，運營者至少能夠清晰地獲知自身是否應(yīng)當(dāng)受到信息出境安全評估的約束。

另一個相對模糊的概念，則是“安全評估”的具體方式。這同樣是美歐在我國《網(wǎng)絡(luò)安全法》公布后提出質(zhì)疑的內(nèi)容之一。對此，我國目前已發(fā)布若干征求意見稿但尚未獲得通過。為保證安全評估清晰、公開、具有可操作性，此方面的立法工作無疑要加速進行。②參見曾磊：《數(shù)據(jù)跨境流動法律規(guī)制的現(xiàn)狀及其應(yīng)對——以國際規(guī)則和我國〈數(shù)據(jù)安全法（草案）〉為視角》，《中國流通經(jīng)濟》2021年第6期，第94-104頁。

另一方面，對于與國家安全、公共政策考量無關(guān)的、以個人信息保護為目標(biāo)的信息出境限制，在RCEP 第12 章第15 條項下的合法性同樣能夠得到保證。根據(jù)我國2021 年《個人信息保護法》第38 條，個人信息出境如不涉及關(guān)鍵信息基礎(chǔ)設(shè)施且處理數(shù)量未達法定上限，則僅須獲得個人信息保護認證或適用標(biāo)準(zhǔn)合同即可。這兩種方式本身未必會為個人信息處理者施加過重負擔(dān)，至少美國2017 年、2018 年10 月向WTO 提交的兩份文本，都是承認上述兩種方式作為合理替代措施的價值的。此處真正應(yīng)當(dāng)討論的問題是，我國《個人信息保護法》第39 條規(guī)定的個人信息處理者在信息出境前要向個人履行告知義務(wù)并且取得其單獨同意，這是否符合RCEP第12章第15條公共政策例外？此問題同樣出現(xiàn)在美國2019年文件中。我們認為，上述“告知同意”規(guī)則公開、透明且并不區(qū)分個人信息處理者或個人信息接受者國籍、規(guī)模、所有制形態(tài)，因此，此規(guī)則顯然不構(gòu)成“歧視”，更無所謂“任意”與否；同時此規(guī)則并非以公共政策為由掩蓋其貿(mào)易保護目的，因而，其同樣不會構(gòu)成對國際貿(mào)易的變相限制?；蛟S唯一難以證明的是“告知同意”規(guī)則是否為保護個人信息所必需。不過，由于“必需性”問題在RCEP 第12 章第15 條公共政策例外項下并不具有可訴性，因此，這很難對我國政策的合法性形成挑戰(zhàn)。

綜上，我國現(xiàn)行的數(shù)據(jù)出境管理體制，在其必需性免受質(zhì)疑的情況下，可以在RCEP 第12 章第15 條項下獲得合法性認定。只不過，為滿足第12 章第15 條例外的具體要求，我國未來還須對數(shù)據(jù)出境安全評估的具體方式、標(biāo)準(zhǔn)合同條款的具體內(nèi)容、個人信息保護認證的具體方式加以澄清與完善，以保證規(guī)則本身的公開與透明；在具體實施過程中，應(yīng)盡量保證相同情形的國家獲得同等待遇。

四、RCEP第12章第15條可訴性對我國海外利益維護的意義

在確定RCEP 第12 章第15 條不會根本影響我國數(shù)據(jù)跨境流動合法性的基礎(chǔ)上，我國還須考量的是，此條款的可訴性，能否為我國企業(yè)海外利益的維護提供便利？換言之，我國與RCEP 其他締約方進行數(shù)字貿(mào)易可能遭遇的阻礙，究竟能否根據(jù)RCEP第12章第15條提起訴訟進而化解爭端？

對于這一問題的分析，將始于對RCEP 締約方數(shù)據(jù)跨境流動規(guī)制現(xiàn)狀的分析。首先，某些RCEP 締約方要求個人信息的跨境流動必須以目標(biāo)國通過個人信息保護充分性為前提。例如，日本2017年《個人信息保護法》第24條規(guī)定，個人信息傳輸至第三國，如未獲得數(shù)據(jù)主體同意，則該第三國必須獲得日本個人信息保護委員會的“充分性認定”——確保該國個人信息保護水準(zhǔn)與日本等同。此種“充分性認定”可構(gòu)成數(shù)據(jù)從日本流動至中國的限制措施。①參見張曉磊：《日本跨境數(shù)據(jù)流動治理問題研究》，《日本學(xué)刊》2020 年第4 期，第85-108頁。又如，澳大利亞1988 年《隱私法》同樣要求，受到該法律約束的企業(yè)如要將個人信息轉(zhuǎn)移至澳大利亞境外，信息接收方要遵循的法律為個人信息提供的保護必須至少等同于或高于澳大利亞隱私原則的保護水平，該企業(yè)必須保證境外接收方能夠遵循澳大利亞隱私原則，且對接收方違反隱私原則的行為承擔(dān)責(zé)任。②See Office of the Australian Information Commissioner, Australian Privacy Principles Guidelines, Chapter 8: APP 8 — Cross-border Disclosure of Personal Information，https://www.oaic.gov.au/privacy/australian-privacy-principles-guidelines/chapter-8-app-8-cross-border-disclosure-of-personal-information/#when-does-an-app-entity-disclose-personal-information-ab ut-an-individual-to-an-overseas-recipient, visited on 13 October 2021.泰國《2019 年個人信息保護法》第28條也有類似規(guī)定。①See Thailand, Personal Data Protection Act, B.E. 2562 (2019), https://thainetizen.org/wp-content/uploads/2019/11/thailand-personal-data-protection-act-2019-en.pdf, visited on 13 October 2021.

其次，某些RCEP 締約方以國家安全為由拒絕特定信息出境，其中最為典型的就是韓國對于地理信息出境的限制。2016 年，韓國政府就曾以國家安全為由，拒絕谷歌地圖將韓國地圖數(shù)據(jù)帶出境外，谷歌地圖如需在韓國提供服務(wù)則必須將數(shù)據(jù)存儲于韓國境內(nèi)。②參見人民網(wǎng)：《擔(dān)心威脅國家安全 韓國再拒谷歌地圖“輸出申請”》，http://world.people.com.cn/n1/2016/1120/c1002-28881646.html，2021年10月1日訪問。

再次，有的RCEP 締約方雖然實際上限制信息出境，但并未將國家安全作為合法性來源。例如，印度尼西亞于2019 年以行政命令的方式，要求“公共領(lǐng)域電子服務(wù)提供者”必須在印度尼西亞境內(nèi)建立數(shù)據(jù)中心。這可能構(gòu)成了變相的數(shù)據(jù)出境限制。③See Government Regulation of the Republic of Indonesia No.71 of 2019 (“GR 71/2019”) 10 October 2019. 對此的闡述參見US Department of State, 2020 Investment Climate Statements: Indonesia, https://www.state.gov/reports/2020-investment-climate-statements/indonesia/, visited on 13 October 2021.不過，考慮到“公共領(lǐng)域電子服務(wù)提供者”在該行政命令中被定義為“為政府機關(guān)提供電子服務(wù)的人”，因此，上述命令視政府機關(guān)種類不同或可視為分別服務(wù)于國家安全或公共政策考量。

綜上，對數(shù)據(jù)跨境流動的限制措施，在RCEP 締約方中并不罕見。盡管，這些國家未必存在類似于中國的“重要數(shù)據(jù)”概念，其規(guī)定的個人信息出境審查也未必是國家安全審查，而很可能是數(shù)據(jù)接收國的個人信息保護充分性審查。鑒于安全審查可以在RCEP 第12 章第15 條項下豁免司法審查，但公共政策例外則未必如此，因此，有必要探討的是，上述對于數(shù)據(jù)跨境流動的限制措施在RCEP 項下是否具有合法性？

結(jié)合上文對于RCEP 第12 章第15 條的分析可知，上述限制措施最有可能引發(fā)合法性質(zhì)疑的，當(dāng)屬對數(shù)據(jù)接收國個人信息保護“充分性”問題的審查。此種“充分性”審查并不是RCEP 締約方所首創(chuàng)，歐盟此前早已開展過類似實踐，學(xué)界早已對此在WTO與FTA項下展開合法性討論。

個人信息保護充分性審查可能引發(fā)的第一個問題是，審查機關(guān)是否給予了對方國家或企業(yè)充分的機會參與認定。有學(xué)者曾在對歐盟實踐研究后表示，一旦歐盟在隱私盾協(xié)議項下認可了美國個人信息保護與歐盟實質(zhì)相同，則歐盟有義務(wù)至少給予其他國家同等機會與歐盟進行談判、或由歐盟進行評估，以達成類似的安排。否則，將違反GATT第20條中對于“任意或不合理歧視”的要求。此種義務(wù)可以類比為美國在海蝦—海龜案中的善意談判義務(wù)。①See Aaditya Mattoo & Joshua P Meltzer, International Data Flows and Privacy:The Conflict and Its Resolution, 21 Journal of International Economic Law 769-789 (2018).

個人信息保護充分性審查的第二個問題是，“充分性”審查必須遵循非歧視原則，對于同等情況的國家應(yīng)當(dāng)給予同等對待，以免造成任意或不合理的歧視。此處的“同等情況”并不代表兩國必須完全相同才能獲得同等待遇，而是就某公共政策目標(biāo)而言條件相同。例如，在美國—蝦案中，美國希望達成的公共政策目標(biāo)是保護海龜，因此，“捕蝦海域中沒有海龜生活”的國家就屬于同等情況下的國家，其待遇必須一致；又如，在歐共體—海豹案中，涉案公共政策目標(biāo)為保護海豹，因此，“土著居民能夠?qū)⑨鳙C海豹商業(yè)化”的國家和地區(qū)（如格陵蘭）與“土著居民無法將狩獵海豹商業(yè)化”的國家（如加拿大）對歐盟而言就應(yīng)當(dāng)屬于不同類國家，此時給予二者相同待遇反而會構(gòu)成歧視。②See Emily Lydgate, Do the Same Conditions Ever Prevail? Globalizing National Regulation for International Trade, 50 Journal of World Trade 971-995 (2016).這意味著，對他國個人信息保護充分性審查需實現(xiàn)的政策目標(biāo)為個人信息保護，因此，對第三國的審查也僅應(yīng)當(dāng)包括這一內(nèi)容，不得基于國際關(guān)系、國家經(jīng)濟互補性等原因給予某些國家更加寬松的待遇。③See S. Yakovleva & K. Irion, The Best of Both Worlds? Free Trade in Services,and EU Law on Privacy and Data Protection, 2 European Data Protection Law Review 191-208 (2016).在此問題上，歐盟已經(jīng)招致了一定批評。例如，有學(xué)者對歐盟給予新西蘭的個人信息保護充分性認定進行分析后指出，歐盟的認定結(jié)果過于“務(wù)實”（pragmatic），過多關(guān)注于給予新西蘭“充分性”認定能夠?qū)﹄p邊貿(mào)易產(chǎn)生何種影響。因此，即便新西蘭具有透明度不高、缺乏數(shù)據(jù)跨境流動基本原則、對數(shù)據(jù)主體“選擇退出”權(quán)利規(guī)定不足等問題，歐盟仍然對此一筆帶過。但是在歐盟對澳大利亞的個人信息保護充分性評估當(dāng)中，歐盟則明顯更為嚴格。此種行為無疑是對澳大利亞的歧視。④See Anna Donovan，The Adequacy Requirement: Selectively Flexible or Unjustifiable Discrimination? A Critical Analysis from an Australian Perspective，Master Thesis，University of Oslo, 2013.

歐盟固然不是RCEP締約方，但歐盟實踐與國際法學(xué)界對此的批評足以為我國面對他國“充分性審查”提供參照。在RCEP 第12 章第15 條項下，由于“公共政策例外”的存在，我國固然無法質(zhì)疑他國的個人信息保護充分性審查是否必需，但我國完全可以關(guān)注此種審查在具體實施中是否對我國國家或企業(yè)造成了歧視。目前，RCEP 締約方中，有據(jù)可查的僅有馬來西亞推出了個人信息保護充分性認定“白名單”，⑤See Malaysian Personal Data Protection Commissioner,Public Consultation Paper(PCP)No. 1/2017，http://www.pdp.gov.my/jpdpv2//en/pengumuman/871-public-consultation-paper-no-1-2017, visited on 13 October 2021.且中國已在名單中。澳大利亞、日本等國雖有類似制度，但“充分性認定”開展得極其有限，且未作出對中國的歧視性認定。因此，目前尚無法對此進行實證研究。不過，基于國際法學(xué)界對于歐盟“充分性認定”的批判，未來我國一旦與他國達成了RCEP 第12 章第15 條可訴性安排，且該國要對我國進行“充分性審查”，則我國至少可以主張：該國應(yīng)當(dāng)給予我國不低于第三國的程序性權(quán)利；對我國個人信息保護法律體系的評估應(yīng)當(dāng)基于公開、透明的標(biāo)準(zhǔn)進行；對我國個人信息保護水準(zhǔn)的要求可以將評估國自身作為參照系但不得超出評估國自身的水平；評估內(nèi)容應(yīng)當(dāng)僅關(guān)注個人信息保護問題，尤其不得摻雜貿(mào)易利益、經(jīng)濟發(fā)展水平因素，更不得基于雙方經(jīng)濟競爭性或互補性之差異而對我國提出更高要求。

除此之外，另一個可能影響我國海外利益的問題，是他國出于公共利益考量而施加的數(shù)據(jù)跨境流動限制措施。對于此類措施，由于并未區(qū)分電子服務(wù)提供者的國籍、數(shù)據(jù)傳輸目的地等，因此，在無法對其“必需性”進行質(zhì)疑的情況下，以“歧視”或“變相限制”為由質(zhì)疑其合法性并不容易。不過，對我國企業(yè)而言，此種強制性的數(shù)據(jù)本地化政策的合法性同樣未必需要質(zhì)疑。這是因為，目前我國互聯(lián)網(wǎng)企業(yè)的國際競爭力較之于谷歌、亞馬遜等稍顯落后，但諸如阿里巴巴、騰訊、字節(jié)跳動等中國企業(yè)，在云存儲、數(shù)字金融、社交領(lǐng)域仍然占有重要地位。①參見李冬冬：《亞太地區(qū)數(shù)字貿(mào)易自由化路徑的演進、分歧與啟示》，《亞太經(jīng)濟》2021年第4期，第23-32頁。不過，這些企業(yè)當(dāng)前的經(jīng)營策略卻未必在于以中國為數(shù)據(jù)中心，反而更加傾向于更徹底的國際化經(jīng)營。以字節(jié)跳動為例，近年來陸續(xù)有新聞表示其在新加坡投資建設(shè)數(shù)據(jù)中心、在美國租用數(shù)據(jù)中心，且此前曾有消息表明其擬在印度建設(shè)數(shù)據(jù)中心。如抖音/Tiktok、微信國內(nèi)版與國際版等業(yè)務(wù)的分離也正在進行中。此種基于不同經(jīng)營策略的“入鄉(xiāng)隨俗”，恰恰是谷歌、亞馬遜等美國互聯(lián)網(wǎng)巨頭未必愿意進行的。在這一進程當(dāng)中，我國企業(yè)的海外利益未必在于數(shù)據(jù)自由輸出，反而在于尋求非歧視待遇，以避免承受較之于他國企業(yè)更高的負擔(dān)。從這一角度來講，即便我國無法就數(shù)據(jù)本地化措施的必要性提起爭端解決之訴，以“非歧視”為由，為我國企業(yè)進入他國數(shù)字市場創(chuàng)造公平環(huán)境同樣有其實際意義。

五、結(jié)語

從我國對數(shù)據(jù)跨境流動的限制措施來看，現(xiàn)行措施多出于真實的國家安全目的，與關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)、“大數(shù)據(jù)”個人信息以外的商業(yè)數(shù)據(jù)并未納入國家安全考量。即便RCEP 第12 章第15 條“基本安全利益”例外仍具有可訴性，上述考量也仍然會滿足對國家安全的定義。對于基于個人信息保護目標(biāo)的數(shù)據(jù)跨境流動限制，不論是“數(shù)據(jù)主體同意”“標(biāo)準(zhǔn)合同條款”，還是“第三方認證”，只要其以公開、透明、非歧視的方式實施，且具體實施方式有法可依，規(guī)則明確，就能夠滿足“公共政策例外”的要求。并且，以上要求同樣是我國依法行政的題中之意，未來對此的細化符合我國國家利益。

另一方面，從我國應(yīng)對他國跨境數(shù)據(jù)流動限制措施來看，在他國將此種限制措施“非安全化”的情況下，承認RCEP第12章第15條可訴性，有助于在兩個方面維護我國企業(yè)海外利益：第一，在設(shè)置數(shù)據(jù)接收國個人信息保護充分性評估制度的國家，可訴性有助于我國企業(yè)避免制度性歧視。如他國對我國個人信息保護充分性拒絕給予評估或評估標(biāo)準(zhǔn)過于苛刻，我國政府可以根據(jù)美國—蝦案確立的法理對此提出質(zhì)疑，要求得到公平對待；此訴訟未必意在要求裁定違法，也可以“以斗爭求和平”，以此推動雙邊談判，促進與鄰國的個人信息保護充分性互認。①參見牛哲莉：《個人數(shù)據(jù)跨境流動——中日韓合作規(guī)制進路探析》，《山東科技大學(xué)學(xué)報(社會科學(xué)版)》2021年第4期，第55-63頁。第二，他國跨境數(shù)據(jù)流動限制措施的公平性問題。我國充分尊重他國數(shù)據(jù)主權(quán)、無意于效法美國干預(yù)他國個人信息保護等國內(nèi)立法的具體實施方式。我國企業(yè)的海外投資也愿意遵循東道國法律，在當(dāng)?shù)卦O(shè)立數(shù)據(jù)中心。②參見張渝：《數(shù)據(jù)本地化措施興起下國際投資保護規(guī)則的適用困境及其紓解》，《武大國際法評論》2021年第4期，第139-157頁。然而，一旦當(dāng)?shù)胤梢云缫曅苑绞綄ξ覈髽I(yè)實施，則RCEP第12章第15條同樣有助于維護企業(yè)正當(dāng)權(quán)利。

綜上，鑒于承認RCEP 第12 章第15 條并不必然損害我國規(guī)制權(quán)，因此，如時機成熟，我國可以在RCEP 項下宣稱愿意接受該條款相關(guān)問題的可訴性。此種態(tài)度將有助于我國展示大國擔(dān)當(dāng)，在區(qū)域內(nèi)促進數(shù)據(jù)跨境流動，進而促進我國在數(shù)字經(jīng)濟領(lǐng)域的中長期利益。③參見王中美：《跨境數(shù)據(jù)流動的全球治理框架:分歧與妥協(xié)》，《國際經(jīng)貿(mào)探索》2021年第4期，第98-112頁。當(dāng)然，為保障我國當(dāng)前數(shù)據(jù)跨境流動法治體系能夠完全符合RCEP 第12 章第15 條中的例外條款，我國仍須進一步細化當(dāng)前法律，例如，對關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)等概念進一步明晰，盡量使用清單方式而非交由行政機關(guān)自由裁量。④參見馬其家、李曉楠：《國際數(shù)字貿(mào)易背景下數(shù)據(jù)跨境流動監(jiān)管規(guī)則研究》，《國際貿(mào)易》2021年第3期，第74-81頁。對于安全評估如何進行、考量因素的具體內(nèi)容等，也同樣有待進一步明確。

我國對RCEP 第12 章第15 條可訴性的承認，應(yīng)當(dāng)以進一步雙邊談判為基礎(chǔ)、以對等為條件，不宜以單方面報價的方式率先作出。我國并不是國際關(guān)系意義上的霸權(quán)國，也無意愿為維護區(qū)域穩(wěn)定而率先提供公共產(chǎn)品以換取他國對合作的信心。博弈論同樣表明，只有在主從博弈當(dāng)中，處于領(lǐng)導(dǎo)者一方才能從先手行動當(dāng)中獲益。我國在國際合作中向來倡導(dǎo)人類命運共同體理念，在追求本國利益時兼顧他國合理關(guān)切。因此，我國即便有能力率先承諾實現(xiàn)數(shù)據(jù)跨境流動問題的法治化，也同樣應(yīng)當(dāng)以國家利益為先，爭取以此承諾換取他國對等安排。例如，我國完全可以與一個或多個RCEP 締約方展開數(shù)據(jù)跨境流動談判，并以雙邊可訴性安排彰顯我國履行承諾的誠意。而且，如果能夠在幾國間達成數(shù)據(jù)跨境流動充分性互認機制則更好。數(shù)據(jù)跨境流動的國際法問題仍處于發(fā)展之中，如果我國擔(dān)心目前的可訴性承諾會掣肘未來的政策空間，則我國可以對可訴性問題進行限制性安排，例如，使用正面清單的方式列舉數(shù)據(jù)跨境流動中的部分問題可提交國家間爭端解決程序。此種安排在雙邊投資協(xié)定項下并不少見。再如，我國如認為某些措施與國計民生密切相關(guān)、不愿其合法性遭到任何形式的審查，也可效法《美墨加協(xié)定》第十九章“數(shù)字貿(mào)易”中的“祖父條款”安排，明示某些法律或措施是符合例外措施的條款。①See United States-Mexico-Canada Agreement, Annex 19-A, Article 4.