跨境数据流动中的基本安全利益例外

杨 璐

(华东政法大学 国际法学院，上海 201620)

2020年11月15日，跨越8年历经31轮谈判的《区域全面经济伙伴协定》(以下简称RCEP)在15国领导人的共同见证下正式签署，标志着全球范围内覆盖人口最广、经贸规模最大、发展潜力强劲的自由贸易区已经建立，东亚经贸一体化就此迎来里程碑式的跨越。在第12章电子商务章节中，RCEP就当前蓬勃发展的跨境数据流动作出了详细规定，既包含了与《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《美墨加协议》(USMCA)、《跨太平洋伙伴关系协定》(TPP)等代表现有国际经贸规则中电子商务主要立场的协定一脉相承的内容，又结合实际情况加以完善和创新，其中较为突出的一点在于计算设施位置和跨境数据流动领域中基本安全利益例外的增设，具体表现为：一方面，缔约方不得以要求对方将其计算设施本地化作为开展商业行为的强制前提；另一方面，以电子方式跨境传输信息应当以维护电子信息的自由跨境为原则，但两者均存在基本安全利益例外，且其他缔约方不被允许提出异议。鉴于该项例外条款是以往电子商务协定中不曾有过的，理清基本安全利益的内涵有助于正确适用条文规定，在促进跨境电子商务自由开展的同时保障各缔约国自身关键的基本安全利益不受侵犯，营造良好的国际营商环境，并为我国国内法规则与国际条约的衔接提供指导与借鉴。

一、 国际经贸投资领域的安全例外条款

尽管基本安全利益例外条款首次被应用于跨境数据流动领域，且RCEP对其具体内涵并未作出详细的规定，但许多国际贸易与投资协定中都包含允许各国在必要时援引基本安全利益以免于承担特定条约义务的条款。因此，可以从现有条文着手，探析基本安全利益的普遍含义。

(一)WTO安全例外条款下的基本安全利益

GATT1994第21条赋予了缔约方以维护国家安全为由违反WTO规则的较高程度的自决权，但援引条款的事项需要限定在基本安全利益的范围之内，主要体现在：一是缔约方披露信息以不对基本安全例外构成挑战为限；二是缔约方有权在紧急情况下出于保护国家根本安全利益需要采取措施；三是缔约方遵守《联合国宪章》开展维护国际和平与安全的行动以不违背本国基本安全利益为限。然而，WTO多边贸易规则并未对基本安全利益的内涵与外延作出解释，导致了适用上的困难和不确定性，尤其是第20条(乙)款(3)项下“其他紧急情况”这种未予穷尽的表述，加剧了界定范围的模糊性。

乌克兰诉俄罗斯运输限制措施案中首次明确了专家组对一国援引国家安全例外条款具有管辖权。该案中，专家组指出基本安全利益是安全利益的一个组成部分且范围有所限缩，一般可以理解为“指与国家最基本的职能有关的利益，即保护其领土和人口免于遭受外部威胁，维护国内法律和公共秩序”，鉴于基本安全利益并不存在统一的标准，应当肯定成员自行判断自身基本安全利益和遭受内外部威胁程度的正当性，但援引方应当提供充分证据明确案件中特定基本安全利益的界定，并由专家组客观审查合法性。此处成员的自决权与专家组的审查权并不冲突，前者对成员的国家主权和安全利益给予了充分尊重和保护，后者旨在维护争端解决机制的公正与权威，防止成员打着保护基本安全利益的旗帜，滥用权力侵害他国正当权益。因此，专家组审查的界限在于基本安全利益必须同时涵盖第20条(b)款三项的特征，即结合该款上下文中的裂变物质、军事物品等表述加以整体解释，将其理解为基于现存或潜在的武装冲突或危机或普遍不稳定的局势，引发国家军事及国防安全利益受损，从而导致的一种高度紧张的危险状态。

(二)国际投资协定中的基本安全利益

国际投资协定中的基本安全利益普遍体现在安全例外条款之中，即允许各国在必要时援引基本的担保权益，以限制实质性条约协定的适用。例如在《北美自由贸易协定》和《能源宪章条约》中包含了允许缔约国采取它认为能保护其基本安全利益所必须的任何行动的条款；1991年美国与阿根廷签订的双边投资协定(以下简称BIT)中也赋予缔约双方在维护国际和平与安全以及维护自身基本安全利益而采取一定措施的权利。

首先，从投资进程来看，安全例外条款通常规定在准入后阶段，即确保通过国家安全审查制度的投资项目在运行过程中不危及国家基本安全利益。其次，在多数国际投资协定倾向于优先维护外国投资者的信赖利益，促进善意投资，只有在重大且极其有限的基本安全利益受损的情况下才能赋予东道国免除特定义务的主动权。从条文表述上看，重大安全利益通常与“国际和平与安全”、“紧急情况”、“公共秩序”等字眼共存或被替代，限定范围随之扩大或限缩，但在个案判定过程中，需要联系案情和具体条文解释得以清晰，例如美国2012年BIT范本第18条第2款规定：本条约的任何规定均不得解释为禁止一方为履行其维护或恢复国际和平或安全的义务，或保护其自身的基本安全利益而采取其认为必要的措施；中国-芬兰BIT第3条第5款规定：本协定不得解释为组织缔约一方在战争、武装冲突或其他在国际关系紧急情况下为保护本国基本安全利益所采取的任何必要行动；《美国和巴拿马共和国关于投资保护条约的条约》第10条规定：本条约不排除任何一方为维持或恢复国际和平与安全，或为产生自己的基本安全利益而采取一切必要措施；中国-德国BIT第4条第1款规定：因公共安全和秩序、公众健康或道德而采取的措施，不应视为第三条中的“待遇低于”。此外，为了防止这一抗辩理由被滥用，部分国际投资协定设置了非歧视、禁止变相限制、程序公正透明等条件规范安全例外条款的适用。

对基本安全利益的解释决定了条约中包含的国家安全例外条款是否能够真正起到控制上述安全威胁的作用。从狭义角度解释，此类条款基本只涵盖了重大军国主义威胁，针对的是武装冲突、战争以及自卫情形，而非长期、非特定化风险。从广义角度看，理论上的重大安全利益的概念被逐步泛化，“国际关系中的其他紧急情形”规定的范围可以做出扩大或缩小解释，具有较强的不确定性，就特定投资行为对东道国带来的国家安全隐患是否能够包含在内，仍取决于仲裁庭对条约规则的解释，以及投资方抗辩该措施一开始就并不构成违反投资条约义务的论点是否成立。

二、 RCEP下跨境数据流动领域中基本安全利益的内涵

在跨境数据流动领域设立基本安全利益例外的一个重要原因在于防止关键数据在流动过程中非法流入境外，并对国家安全造成危害。若要充分发挥此项例外条款的作用，关键一步在于理清基本安全利益的内涵。关于基本安全利益在RCEP中有两处，即第12.14条计算设施的位置和第12.15条通过电子方式跨境传输信息，考虑到计算设施的位置涉及到数据本地化，因此本文讨论的是宏观意义上的跨境数据流动，即包含数据本地化和数据跨越国境间的传输和处理活动。

(一)基本安全利益内涵因时而变

基本安全利益的概念很难用明确的术语定义，可能会随时间和局势发生变化。安全例外条款适用的一个普遍前提在于与国家的基本职能及存续状态密不可分的“基本安全利益”受到威胁，国家理应具有自主决定的权利，他国的异议很可能构成不正当干涉内政。争论的具体利益取决于具体情况，且以此为抗辩理由采取的措施原则上是可由法院或仲裁庭审查的。

同样地，考虑到国家之间发展程度和政策理念的差异，RCEP中的基本安全利益例外条款并未对基本安全利益的含义做出详细的阐述，意图实现兼顾国家安全与促进经贸发展的双重目标。一般情况下，各成员国不被允许将计算设备本地化作为在本国领土内开展业务的必要性条件，也应当保障为实现业务需要依法有序的数据跨境流动活动的自由开展。例外情况下，判断是否构成真正的基本安全利益应综合各项因素通盘考虑，包括非歧视性，即不构成对正常贸易的变向限制，以及安全利益的根本性，即与国家的核心职能密切相关，旨在保障本国领域和人民免受内外部的严重威胁及维护法律和国内公共秩序的利益。

面对基本安全利益这一特殊问题，国家采取的保护措施应符合善意原则，尽可能在实现保护目标的同时最大程度地降低对他国不必要的影响和损害。首先，国家捍卫自身基本安全利益的意图应当是真实的，而不是出于实施贸易战、打击报复等非法目的，并充分阐明其欲保护的基本安全利益的具体指向；其次，国家采取的行为是有必要且有意义的努力，通过对数据的跨境流动及计算设施位置加以限制或实施数据本地化措施，可以使基本安全利益得到较为有效且积极的保护；再次，一国采取的措施需要维护各方的共同意志，在不触及根本利益的前提下遵守协议中达成的承诺和应当履行的义务，确保采取措施与保护的基本安全利益的高度关联性；最后，一国援引该条款时不得以间接损害他国其他利益的方法行使自身权利。

(二)单纯出于保护本国经济利益不能构成基本安全利益

“基本安全利益”的概念不能解释为涵盖单一的经济安全利益。尽管基本安全利益的含义并非绝对明确，但已被普遍理解为仅适用于涉及国家安全利益的情况，各国对构成国家安全威胁事项上的自由裁量权不应被解释为在发生经济紧急情况时援引安全例外条款。

经济安全因素更多地是关系到一个国家维持和发展其所选择的社会经济体系的战略能力及其相对经济权力地位，而非对和平与安全的威胁，单纯地基于经济安全考量而援引安全例外条款有可能助长经济领域的保护主义，不利于提升贸易和投资的自由化程度。基于安全例外的自我判断和不可争辩的性质，只有存在明显可辨别的高度重要的安全利益和冲突的具体情况时，才能予以承认援引安全例外条款的正当性，经济安全因素可以与其他情势相结合来综合评判对基本安全利益的威胁，但不能成为独立的判定因素，否则安全例外的内涵及其范围将更加难以预测。

(三)网络安全属于非传统安全观下的国家安全事项

传统安全以政治、军事、外交安全为核心，但随着互联网的普及和信息技术的高速发展，经济、生态、信息等新兴领域中的非传统安全问题逐渐凸显出来，呈现出潜在性、多样性、复合性的特征，对国家的主权和安全构成的损害并不亚于传统安全的危害，网络安全就是其中的典型代表：从政治安全层面看，有组织的专业团体可以避开授权、认证等环节，破译机密信息，对关键网络系统展开攻击；从社会安全层面看，互联网增加了个人信息和隐私暴露的风险，为不法分子利用网络漏洞窃取个人数据提供可能，若此类事件频繁或大规模地出现，很可能导致社会动荡和正常秩序的瘫痪。

此外，互联网监管具有滞后性，当前的监管规则可能无法应对日新月异的技术革新。网络安全的非传统性主要体现在：首先，新媒体时代下，信息传播呈现出速度快、匿名化、去中心化和交互性强的特点，需警惕他国利用网络信息传播甚至颠覆意识形态、歪曲道德价值观的意图；其次，网络信息攻击技术发展迅速，突破了物理限制的网络威胁也具有更强的杀伤力，从而使得网络安全防护策略和信息保护范式相应不断升级；最后，针对国家实体的网络攻击已经演变为实施一国战略意图的常用手段，通过对目标国家全方位攻击达到征服目的。鉴于网络安全的新型特征和面临的严峻形势，应当将网络安全视为与传统国家安全一脉相承又在新时代中得到内涵扩充的重要领域，以严格的标准加以保障和规制。

三、援引基本安全利益例外面临的挑战

尽管基本安全利益例外条款的设置有其自身的合理性和必要性，然而，基本安全利益含义的不确定化及国际上对跨境数据流动的统一规制路径缺乏共识使得该项例外条款的援引存在给电子商务的有序发展带来负面影响的可能性。

(一)内涵模糊化引发的泛化与滥用

借助“基本安全利益”内涵的模糊性及援引的自决性，部分国家往往倾向于扩大解释范围，通过采取名义上为保护基本安全利益的措施，达到保护本国产业免受外来势力竞争影响的目的。最直接的表现便是构筑数字贸易壁垒，如通过数据本地化措施限制数据输出、建立本地数据中心。此外，特定的数字贸易壁垒争议需要对现有规则和具体情况作出新的解释，这可能导致语义上的重大分歧，条款援引不允许其他缔约国异议的强制性规定在强化国家基本安全利益保障的同时，削弱甚至架空了对援引国自决权的监督和约束，即使受到善意原则的指导和审查，“善意”概念的高度抽象性和动态演变性仍然无法提供一种确定且客观的参考标准，加之非传统安全范围的更新与扩张，在很大程度上均加剧了基本安全利益例外条款的滥用和误用。

过度主张的权利及其基于当事方自行裁量权的适用有可能导致国家之间的紧张局势，同时也会导致国际秩序更加不成体系。由此引发的负面影响不仅体现在对多边贸易体制产生的冲击，同时基本安全利益例外条款也有可能无法发挥实质性的作用：由于任何主权国家都有权决定其国家安全，包括网络安全的范围和定义，数据流动的自由将很容易受到监督和阻止，造成国际经贸往来中数据跨境传输的效率低下，被采取措施的对方成员国也可能基于同样的理由采取力度相当的反制措施，导致最初援引国并不必然得到基本安全利益的保障。

(二)各国对跨境数据流动的开放态度不一

在推动数据自由流动和保障信息安全的价值平衡上，目前尚不存在一种普遍接受的模式。导致一国政府要求限制数据跨境流动或实施数据本地化的原因有很多，例如保护国家安全及个人隐私、及时获取用于执法目的的数据、降低未经授权访问的风险以强化网络安全等，它们本身就是合法的目标，然而，数据限制是否是实现这些目标的最佳方式有待考证。例如，在执法要求的情况下，政府可以要求以数据镜像作为替代手段在本地保留数据的副本；在维护网络安全的情况下，要求数据本地化可能会因为本地数据中心的安全性较低产生适得其反的效果；此外，针对数据跨境流动的限制性措施还可能使一国错失通过将全球数据中心的数据分类获得更强大的网络安全保护的机会，数据监管也可能提高出口商的合规成本。正是基于上述潜在的风险以及可能的更优手段，各国对跨境数据流动的管制尚未达成共识，尤其是与保护基本安全利益这一目标的匹配度和关联性仍有争议。

各国之间在网络安全和隐私保护领域的监管需求和监管差异是限制跨境数据流动的关键驱动力。导致跨境数据流动受限的国家之间的监管异质性反映了不同的基本价值观，也从根本上打破了“基本安全利益”判断规则在国际层面上实现统一的可能性，这种差异主要体现在采取限制措施要求的程度不同、重点管制目标的类型不同以及监管模式的不同。例如，欧盟视数据权为一种超越传统跨境数据流动的经济利益的基本人权，采取了较为严格的跨境数据管理模式，避免数据主体受到保护的力度降低；相比之下，美国以维护信息产业的优势地位和促进数据最大限度自由流动为目标，奉行市场主导、企业自律的保护政策。因此，在判断特定情境下跨境流动的数据是否实质上构成了对一国基本安全利益的挑战，不同国家持有不同的观点和态度。由于意识形态和政策偏好的不同，管制标准不同的缔约国对援引例外条款的程度和时机有不同的见解，这将加剧国家间的分歧，即使一国在援引该条款上存在很强的自决性，频繁的质疑和滥用可能使得该项条款无法继续存续。

四、与RCEP衔接之中国因应

目前我国国内数据管理法规尚处于建设的关键期，对待外来数据的流动以及本国数据的输出基本采取保守防御的政策，尚未加入相关领域的国际条约。为了促进数据跨境流动的自由化和灵活度，保障正当援引基本安全利益例外条款，以维护国家重大安全利益为由对跨境数据流动实施监督管理，我国有必要加强与国际规则的衔接，提升数据保护水平，构建平等互惠、合规高效的跨境数据流动安全体系。

第一，平衡安全与发展的关系，在坚守维护国家基本安全利益底线的前提下，持续推动跨境数据的自由流动，充分释放数据流动红利。各国都希望本国的数据流向保护程度更高的区域，从而降低数据泄露、窃取的风险，保障关键数据所蕴含的国家安全利益。然而基于不同标准的监管理念和要求，不同区域对数据保护的程度存在差异，因此数据自由流动与国家监管限制的冲突将长期并存。但这并不意味着必须采取一刀切的方式以数据本地化为原则性要求，从源头全面禁止跨境数据流动，宏观监管理念应当兼顾跨境数据领域的国家安全及个人信息保护与数字经济的战略性提升，促进高效发展和高度安全的良性互动。针对与国家安全利益和主权紧密关联的重要数据，应以审慎监管为原则，严防数据的不正当泄漏，而对于大部分的一般数据，则应以开放包容的态度推动跨境数据管理模式的自由化，促进科技进步与经济发展，加强国际间的交流与合作。

第二，我国应加强完善现有的旨在规制跨境数据流动的法律法规，构建平等开放、宽严相济的数据分级分类监管模式。我国跨境数据流动规制模式以《网络安全法》第37条为核心已初步建立，但仍存在完善空间。该条从宏观层面确立了原则上不允许出境、特殊情况下走合法程序出境的规则，但此种较为笼统且直接的干预方式忽视了多样化的数据类型出境的限制标准应当区别对待。根据《关键信息基础设施安全保护条例(征求意见稿)》第18条的规定，关键信息基础设施的范围主要包括公共通信领域、军事和机关政务领域，以及能源、水利、交通、金融、社会保障等重要基础设施和行业内的数据，但其范围并不具有绝对的限制性，只要引发的网络安全事故可能会对国家安全、社会民生和公共利益产生威胁和严重损失，都可以被视为关键信息基础设施。其含义的可收缩性有可能导致适用范围的模糊不清，鉴于不同种类的数据与国家安全的关联程度存在差异，有必要对数据进行分类监管审核，依据敏感等级划分个人数据、商业数据、特殊行业数据等类型，采取完全开放、基本开放、有条件开放、完全封闭等不同梯度的管理原则。明确涉及国家基本安全利益的信息的具体类别并增设兜底条款预防特殊情形，增强条款适用的确定性。此外，《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等法规的相继出台尚未充分落实，无法与当前跨境数据流动的合规建设和多样性发展需求融合衔接，需要相关配套的实施条例对数据的分级分类、安全评估等一系列环节加以细化，明确数据流动过程中各主体应当承担的责任，设立责任追究机制，加强监管机构内部职责分配和协调合作的规划。

第三，强化信息化水平，提升国家安全实力。信息技术水平是保障国家网络安全的关键要素，对于与国家安全密切相关的重要数据，即便援引基本安全利益例外原则对跨境流动的数据采取数据本地化等限制措施，也需要数据接收端和控制者具备较强的技术水平，提高网络安全监控和信息攻击追溯的全方位科技水平，从源头防范安全风险，并保障允许流动的数据的安全性、合规性与畅通性。依据《信息安全技术-数据出境安全评估指南(征求意见稿)》第5.2条的规定，关乎国家基本安全利益的数据需要在出境前验证脱敏处理的实际效果，这一考察离不开标记化、区块链、云计算等创新技术，因此，在技术实践层面，我国需要继续深化信息技术研发和人才培养，发挥新兴科技在信息登记、安全评估、本地化存储、审查监督等诸多数据管理环节的技术支撑作用，预测重要数据可能对国家安全产生的潜在影响及其动态发展，并在我国数据跨境流动安全管理试点内先行先试、总结推广经验，在提高保障网络安全的核心技术竞争力的同时，拓展数据合规性流通渠道。

五、结语

RCEP的签署影响深远，第12章电子商务章节作为亚太地区内范围广、水平高的多边电子商务规则成果，为各缔约国加强电子商务合作、营造健康的营商环境提供制度保障，推动国际范围内的政策互信、规则互通与经贸互利，中国加入RCEP有利于实现跨境电商领域内贸易投资便利化与发展规模的壮大。为加强与RCEP下数字跨境领域规定的基本安全利益例外条款的衔接，顺应数字贸易全球化的趋势，我国在跨境数据流动国内法规制的构建方向上，应处理好维护国家基本安全利益与促进数字经贸活动自由发展的关系，在法规落实层面，明确各类数据主体的职责范围，并根据数据安全等级实施分级分类管理；在跨境监管层面，形成个人、行业协会和国家部门协调监管的模式，明确出境合法渠道，在保证国家安全的前提下实现数据有序流动。