CPTPP中的数据本地化规制与安全例外抗辩

黄世席

数据是国内外现代商业活动中不可或缺的一部分。无论是用于电子商务、银行、娱乐和其他服务,还是远程连接、跨境供应链以及大数据分析等,数据传输都已成为人们日常生活和工作中的基本要素,其对保护个人隐私、国家安全与监管合规都至关重要,因此要遵守相关国家的本地化措施。所谓的数据本地化主要表现为尽力将本辖区内服务器上的数据保存在其国界内,或将计算设施置于本国,为跨境数据转移设置政策性条件。主张数据主权的数据本地化措施不利于跨境数据流动,一些自由贸易协定采取的一种妥协方法就是在禁止规定数据本地化的同时也会规定相关数据转移的例外,尤其是国家安全例外。因此,在数据安全与数据主权等核心议题下,数据本地化要求已经成为大国数字竞争中难以避免的组成部分,而对跨境数据流动进行限制的数据保护主义的典型表现形式就是《全面与进步跨太平洋伙伴关系协定》(CPTPP),以及《区域全面经济伙伴关系协定》(RCEP)。尤其是,CPTPP规定的高标准制度规范对国际经贸规则的改革起到了强有力的助推器作用,中国的加入必将使中国的政治、经济和法制建设提升到一个新的高度。不过,从CPTPP各方的表态以及规则水准来看,中国加入CPTPP仍然存在不少困难和挑战。抛开协定加入程序和外部环境影响,本文仅就CPTPP关键章节内容中的数据本地化问题进行了分析,结合与RCEP相关规定的比较,探讨中国加入CPTPP时可能遇到的数字规则障碍及解决方案。

一、CPTPP中的数据本地化规制

目前,数据本地化已经成为晚近自由贸易协定电子商务专门章中的一项共同条款,主要是规定数据跨境流动以及计算设施本地化的规则。2018年3月签署的CPTPP的电子商务章节规定了数字商品和服务贸易的规则和程序,包括数据流动和源代码保护的规则等。具体来讲,在个人信息有关的数据保护方面,CPTPP要求缔约方在制定个人信息保护法律框架时要考虑到相关国际机构的原则和指南;在保护电子商务用户方面应努力采取非歧视做法;公布其为电子商务用户提供的关于个人数据保护的信息,包括如何寻求救济以及企业合规要求等。同时,为避免缔约国保护个人信息立法方面的分歧,第14.8条鼓励缔约方建立促进不同体制兼容性的机制并交流信息等。相关条款表明首先承认缔约国可以自主采取不同的保护个人信息的法律方法,以及在此问题上的自主监管权,包括制定数据本地化措施的权力等。

在通过电子方式传输信息以及计算设施本地化方面,根据第14.11条和第14.13条规定,CPTPP承认缔约方对于通过电子方式传输信息以及计算设施的使用可设有各自的监管要求,允许缔约方境内开展业务涵盖的人通过电子方式跨境传输信息,同时禁止对计算设施(或服务器)和数据处理的位置施加任何限制。而且,不得阻止缔约方为实现合法的公共政策目标而采取或维持与通过电子方式跨境传输信息或计算设施本地化不一致的措施。此类规定禁止将数据本地化作为在该领土开展业务的条件,但其并没有对什么是“合法的公共政策目标”进行界定,这为 CPTPP 签署方提供了更多的监管自主权。因此,CPTPP通过严格禁止数据本地化要求而大力推动数据跨境自由流动,同时通过适用类似 WTO规定的一般例外条款为政府干预设定一个相对较高的门槛,以实现公共政策目标。

就数据驱动型经济的规制而言,根据2020年的RCEP规定,在计算设施的使用和位置以及跨境传输电子信息方面,除了施加超出实现目标所必要的限制以及安全例外之外,RCEP采用了和前述CPTPP几乎完全相同的语言规定①参见RCEP (2020)第12.14条和第12.15条, 但RCEP没有纳入CPTPP中允许个人信息跨境传输的规定。。但不同之处是,在禁止数据本地化措施方面,缔约方对于什么是合法的公共政策目标有完全的自主权,并由此触发了自我裁判机制。这也意味着,RCEP为缔约方确保了充足的政策空间,无须进一步说明即可控制本地的计算设施位置或数据流动,但其也可能会授权缔约国以完全主观的理由无视甚至违反涉及数据传输或数据本地化的义务。

在解决数据本地化障碍方面,CPTPP和RCEP都承诺防止各国采取要求计算设施位于本国领土内的措施,以避免企业在寻求交易的每个国家建立数据存储中心或使用本地设施。比较而言,CPTPP强调的是数据自由流动和禁止数据本地化措施,更多地体现了发达国家的利益诉求;RCEP没有对成员方施加过多强制性的义务,更多符合发展中国家的立场,即跨境数据流动区域规制的包容性和共治性。尤其是,RCEP虽然原则上也坚持类似禁止数据本地化的立场,但是太多的脚注和专门规定的安全例外给予了缔约国更多的监管自主权,以及对什么是合法的公共政策目标的自我裁判权,强调的是一种优先保护缔约国主权的立场。

二、CPTPP中数据本地化条款的安全例外规制

和WTO协定类似, CPTPP同样规定了国家安全例外。具体来讲,根据第29.2条规定,CPTPP中的任何内容均不得解释为要求一缔约方提供或允许获得其确定如披露则违背其基本安全利益的任何信息;或阻止一缔约方采取其认为对履行维护或恢复国际和平或安全义务或保护其自身的基本安全利益所必需的措施。该条规定中的“其确定”和“其认为”两词给予了缔约国很大程度的自由裁判权,实践中若发生争端,在何为基本安全利益的问题上应当由成员国进行自我裁判,是否需要由根据CPTPP争端解决条款组成的专家组进行审查还有待观察。

RCEP也规定了允许缔约方为“基本安全利益”采取措施的例外条款,但是其遵循的主要是WTO相关文件的范式,并进行了相关修改,即缔约方可以保护“包括通讯、电力和水利基础设施在内的关键的公共基础设施”为由提起国家安全抗辩,“其他缔约方不能对此类措施提出异议”。这种权利是RCEP独有的。此外,RCEP还在计算设施的位置和通过电子方式跨境传输信息方面,规定了和前述公共基础设施类似的内容②参见RCEP(2020)第12.14.3.2条和第12.15.3.2条。。这两条关于安全例外规定的独特之处是增加了“其他缔约方不得对此类措施提出异议”,而且任何关于此类措施的争端不得经过谈判解决。因此,条款内容过于宽泛和缺乏可操作性,几乎对成员方的自我裁判权没有任何限制,可能导致以“基本安全利益”为名而行保护商业活动之实的行为无法得到控制。毕竟,根据RCEP规定,缔约方可以在其他缔约方不得提出异议的情况下随意豁免数据本地化禁令,以保护其“基本安全利益”。

无论是CPTPP和RCEP都规定的适用于包括电子商务在内的所有领域的含有“其认为”用语的安全例外条款,还是RCEP规定的专门适用于计算设施本地化和跨境信息传输的包括有“其认为”以及“其他缔约国不能对此类措施提出异议”语言的基本安全利益例外规范,都赋予了缔约方在国家安全问题上进行自我裁判的权利。并且RCEP的规定似乎更进一步,基本上是排除了第三方当事人进行裁判的可能性,完全依靠缔约方自己确认什么是“基本安全利益”,主要原因之一是要同时兼顾和协调发达国家关注的数字贸易利益以及发展中国家关注的数据安全与产业发展利益之间的关系,但也存在为权衡缔约方利益而对数据自由流动例外规则中的“安全”内涵的界定比较模糊的问题。鉴于CPTPP和WTO规定的类似性,应当分析WTO中国家安全例外争端的专家组裁判意见以及相关国家对国家安全的态度,在此基础上分析加入CPTPP时在国家安全例外条款方面可能遇到的问题。

三、WTO框架下的传统解释在数据本地化安全例外中的适用

考虑到CPTPP和RCEP条款与WTO安全例外规定类似,可以在解决争端时考虑WTO专家组对于相关国家安全例外适用的裁判法理。现有国际经贸关系中的安全例外源于第二次世界大战后的国际经济治理机制,但随着国际关系和科技的发展,经济和国家安全似乎越来越交织在一起,各国以国家安全为由为贸易战开脱的事例正在不断出现。事实上,在考虑网络和数据本地化要求的同时,各国要明确安全问题的范围不再局限于传统战争或武力冲突的范围,而更多与互联网、数据、恐怖主义、经济危机、大流行病甚至气候变化有关,因此不能仅仅要求在安全与传统军事化安全具有密切关系时才能将安全作为交易的例外情况。

(一)WTO/GATS框架下数据本地化的规制

就数据本地化而言,无论是出于数据主权、国家安全、商业还是隐私原因,政府部门都需要考虑数据的存储方式和位置,同时明确访问数据的权限以及允许数据出境的条件。关键是数据本地化要求会影响各种国家安全利益,需要平衡数据本地化措施与国家经济和安全之间的关系。同时,数据本地化措施有可能会对外国公司施加歧视性或不合理的要求,从而可能违反国际贸易协定中的义务,如市场准入、非歧视和透明度等义务。而且,数据本地化直接阻碍了跨境服务供应并扰乱了外国公司的全球数据获取能力,从而降低了其竞争力,甚至会增加其合规成本。而当数据本地化导致外国企业受到不合理待遇时,可能会违反 GATS 下的相关规定,因为数据服务已经被视为GATS下的第一种服务贸易,从而可以适用GATS的相关规定来审查相关的数据本地化措施是否合理。

GATS第14条中规定了和GATT第21条几乎完全相同的安全例外,即不得要求任何成员提供其认为如披露则会违背其根本安全利益的任何信息;或阻止任何成员采取其认为对保护其根本安全利益所必需的任何行动,包括为军事机关提供给养服务的行动、与裂变和聚变物质等有关的行动,以及在战时或国际关系中的其他紧急情况下采取的行动等。该条文通过使用“必然性”“必要性”“基本安全利益”以及最重要的“其认为”等词语来规范数字服务与安全之间的关系。某项数据本地化措施能否经受住安全例外的挑战,要根据具体情况具体分析,还要结合WTO相关安全例外抗辩的裁判进行考察。重要的是,下述关于例外的WTO裁决维持了对冲突与领土完整的国家安全的传统理解。因此,国际经贸协定中的基本安全例外裁决表明,该例外原则上仅限于与战争时期或武装冲突有关的情况或其他紧急情况。

(二)WTO/GATS框架下数据本地化的国家安全抗辩

WTO俄罗斯过境运输措施案的专家组在GATT的背景下对安全例外进行了探讨。该案中,乌克兰就俄罗斯禁止乌克兰货物经俄罗斯国境进出其他国家的措施提起WTO诉求,俄罗斯则根据两国之间发生的克里米亚战争提起国家安全例外的抗辩,并认为该条款是“自我裁判”的,专家组对此没有管辖权。专家组指出,国际关系中的紧急情况可以理解为“武装冲突、潜在武装冲突、紧张局势或危机加剧,以及笼罩或包围一国的普遍不稳定局势”。“基本安全利益”指的是与国家基本职能相关的利益,即“保护其领土和人口免受外部威胁,维护内部法律和公共利益”。每个成员界定有关的基本安全利益将取决于该国的特定情况,并且可以随着环境的变化而变化,但成员不能随意将任何关切问题上升为“基本安全利益”。此类自由裁量权受到善意解释和适用 GATT 1994 第21(b)(iii) 条的义务的限制,并且该“善意义务”要求成员不得使用安全例外作为规避其WTO 义务的手段。因此,请求援用安全例外的成员有责任充分阐明国际关系紧急状态导致的基本安全利益威胁,以证明这些利益的真实性①See Panel Report, Russia-Measures Concerning Traffic in Transit, WT/DS512/7, 29 April 2019,https://docs.wto.org/dol2fe/Pages/SS/directdoc.aspx?filename=q:/WT/DS/512-7.pdf.。专家组最后认为俄罗斯可以援引国家安全例外为自己抗辩,但要经过专家组的审查。同时,该裁决表明安全例外应与核心国家利益有关,即保护自然领土、保卫其公民以及维护法律和秩序的相关政策可以被视为例外。

同样,在联合其他国家中断与卡塔尔的政治和经贸关系之后,沙特阿拉伯禁止在该国享有体育赛事转播权的卡塔尔转播公司的经营活动,并拒绝其采取法律维权行动,卡塔尔向WTO提起诉求,沙特阿拉伯以TRIPS国家安全例外为由提出抗辩。专家组承认一个成员中断与另一成员的所有外交和经济联系可以被认为是国际关系中存在的一种紧急情况,本案争端所存在的情形与沙特阿拉伯所讲的“国防或军事利益,或法律和公共秩序利益的维护”相关,足以证明双方存在一种“国际关系中的紧急情况”。因此,沙特阿拉伯中断与卡塔尔的所有外交、领事和经济关系可以被视为一种在例外和严重危机情况下采取的行动。具体到TRIPS协定安全例外的适用,专家组要求援引成员要充分阐明其“基本安全利益”,以便合理评估被质疑措施是否与这些利益相关。而基本安全利益是明确与国家的基本职能相关的利益,即保护其领土和人口免受外部威胁,以及维护法律和内部公共秩序。因此,专家组裁定沙特阿拉伯针对卡塔尔公司实施的相关措施满足与所保护的基本安全利益相关的最低合理性要求,但沙特政府相关部门没有针对本国境内盗播卡塔尔公司转播信号的行为实施刑事处罚措施,所以难以置信沙特阿拉伯实施这些措施的目的是保护其“基本安全利益”②See Panel Report, Saudi Arabia-Measures Concerning the Protection of Intellectual Property Rights, WT/DS567/R, 16 June 2020,https://docs.wto.org/dol2fe/Pages/SS/directdoc.aspx?filename=q:/WT/DS/567R.pdf&Open=True.。

总而言之,WTO框架下的安全例外条款体现的是第二次世界大战后国际贸易与安全关系、市场秩序与国家安全利益之间的协调,是由当时特定的地缘政治和经济现实决定的。同时,第二次世界大战后几十年也在不断地根据时代的变化进行一些微调。但全球金融危机打破了传统的财富和资源分配方案,尤其是网络等新技术发展带来的威胁越来越多,对传统的国际经贸规则提出了挑战。而且,数据监管使这些问题变得尖锐起来,跨境数据流动在个人隐私、竞争力、主权和国家安全等内容之间不断切换,伴随这些框架而来的是相互竞争甚至冲突的政策问题,譬如数据本地化的要求、跨境数据自由流动承诺等。此类因素促使各国就数据问题可能做出不同的规定,并将其纳入自己签订的贸易协定中,进而可能会将潜在的冲突诉至WTO或类似CPTPP规定的专家组。值得关注的是,未来专家组究竟能否遵循WTO已经做出的相关裁决精神仍然是有疑问的。

此外,根据《联合国宪章》第41条,联合国安理会可以就是否存在任何威胁国际和平或侵略的行为进行裁定,包括建议采取武力以外的办法,如暂停经济关系甚至外交关系等,或采取必要的军事行动,以维护或恢复国际和平与安全。因此,在存在威胁国家安全的情形下,可能会存在不履行国际经济义务而提起安全例外抗辩的情形。GATT 第21(c)条明确承认了这一规定的首要地位,即GATT的任何规定不得解释为“阻止任何成员为履行其在《联合国宪章》项下的维护国际和平与安全的义务而采取的任何行动”。由此产生的问题是:当国家安全涉及国际政治外交中断或领土完整时,对安全例外条款进行解释的合理机构,到底是联合国内唯一有权裁定和实施国际维和与安全行动的联合国安理会、裁决国家间争端的国际法院、裁定国家间贸易争端的WTO争端解决机构、受理外国投资者与东道国争端的投资仲裁庭,还是根据自由贸易协定组成的专家组等裁判机构?或者,像前述RCEP所规定的,此类争端是国家自由裁判的问题,其他缔约方不得对此提出异议?总而言之,无论是国际性裁判机构还是国家自我裁判国家安全问题,都要在发生争端时善意解释相关规则,同时考虑相关措施与国家安全之间的相称性和关联性。具体到数据本地化方面,各国必须避免随意依赖安全例外作为实施数据本地化措施的基础,而应在遵守数据主权的基础上,通过参与有意义的外交谈判和监管合作机制来解决它们在国家安全治理问题上的分歧。

四、中国数据本地化政策与加入CPTPP“安全例外”条款的应对

前文已述及,CPTPP倾向于促进成员国之间的跨境数据自由流动,中国的数据治理措施可能会与CPTPP规定尤其是其安全例外条款存在某些冲突,中国的数据治理模式更有强烈的主权意识。

(一)中国数据本地化政策的国内发展

近几年,中国政府不断在跨境电子商务或数字贸易方面加强数据本地化的规制,除了中国数字经济蓬勃发展以及数字经济与实体经济加速深度融合的原因外,还有为了满足中国企业在跨境贸易中不断增加的监管合规需求。中国相关国内立法对数据本地化和跨境数据流动问题做了原则性规定。譬如,2017年开始实施的中国《网络安全法》在定义关键信息基础设施时把其限制在可能严重危害国家安全、国计民生、公共利益等领域的公共通信和信息服务等设施,并要求相关运营商在中国境内存储运营产生的个人信息和重要数据,而且只有在经过安全评估后才允许跨境传输此类数据。很明显,关键信息基础设施的含义较广,由此产生的相关数据也涵盖较广的范围。在此基础上,2021年出台的《关键信息基础设施安全保护条例》第2条将“国防科技工业”领域的重要网络设施和信息系统纳入关键信息基础设施中,但对跨境数据和信息出入境没有进行规定。2022年2月15日经过三次修订后的《网络安全审查办法》将网络平台运营者开展数据处理活动纳入审查范围,且对赴国外上市提出了明确的申报网络安全审查要求。

2021年9月1日生效的《数据安全法》在跨境信息方面的规定主要包括:首先,重要数据出境的主体是关键信息基础设施的运营者和其他数据处理者,关键信息基础设施运营中的重要数据原则上需要在境内存储,出境需要安全评估,且只有在符合业务需要的前提下才能出境,其目的是强调关键信息基础设施在国计民生中的重要地位以及重要数据自身的重要性。其次,并非所有数据出境均应进行安全审查,只有相关实体在中国境内运营中收集和产生的重要数据应当进行数据出境安全管理。可以讲,《数据安全法》扩展了以前的数据本地化和传输规则,并对违规行为施加更严厉的处罚。

2021年11月施行的《个人信息保护法》扩大了前述规范,要求包括“个人信息和重要数据”在内的各种形式的数据应当在中国境内存储,并在必要时在转移出境前接受政府安全审查。出境管控措施与本地化存储要求二者之间并不必然存在联系,即出境受到限制的个人信息并不一定要求存储在境内,而要求在本地化存储的个人信息也并非不能向境外提供。另外,拥有海量个人数据的公司在将任何数据转移到海外之前,必须完成国家网信办的强制性安全审查。

除了这三部成文法律外,中国政府还不断颁布相关法律实施的补充规定,不断完善数据出境的监管问题。可以说,中国支持与贸易有关的跨境数据流动,同时强调对个人信息和重要数据给予特殊保护,倡导平衡发达国家关注的数字贸易利益以及发展中国家关注的数据安全和产业利益之间的关系,并支持采取相应的数据本地化管制措施。同时,中国现行数据跨境流动政策基本上是将数据出境的安全审查作为单一的合规机制,在现实中难以适应海量数据的跨境流动需要和数字经济发展的客观需要。无论如何,相关法律以及法规的颁布已经使中国成为拥有全面数据治理框架的主要经济体。

(二)中国数据本地化政策的国际立场和安全考量

中国国内数据本地化的要求和更加严格的数据出境法律规制意味着中国政府在数据问题上可能关注更多的是国家安全,这在中国参与缔结的RCEP中体现得最为明显。考虑到中国对数据监管纳入国际经贸协定采取了谨慎的态度,除了RCEP之外,中国政府签署的绝大多数自由贸易协定都没有包含此类数据本地化条款。这与过去若干年中国电子商务市场的巨大成功以及跨境数字贸易的快速发展不一致。主要原因是,拟议中的一些贸易自由化条款譬如数据主权问题、数据控制与国家安全之间的联系以及对外国控制技术的某些限制等可能会引起异议。另外,中国在WTO主要成员方主导的电子商务联合倡议(JSI)的提案中坚持政府主导网络的要求,避免对跨境数据流动和数据本地化做出具有约束力和可执行性的承诺,承认与贸易有关的数据流动对贸易发展具有重要意义,但数据流转应以安全为前提,为此必须在遵守成员方各自的法律法规的基础上进行数据的有序流动①WTO, Joint Statement on Electronic Commerce: Communication from China, INF/ECOM/19, 24 April 2019,https://docs.wto.org/dol2fe/Pages/FE_Search/FE_S_S006.aspx?DataSource=Cat&query=@Symbol=%22INF/ECOM/32%22&Context=ScriptedSearches&languageUIChanged=true.。

中国关于数据本地化与援引安全例外的立场也可以在RCEP的条文中看到一点迹象。RCEP虽然规定禁止数据本地化,但作为例外,缔约方可以实施“保护其基本安全利益所必要的任何措施”,关键是强调“其他缔约方不得对此类措施提出异议”。该条是电子商务章的数据本地化措施所独有的。关键是,缔约方在保护“基本安全利益”所必需的措施方面保留了更大的回旋余地,此类措施完全不受其他各方的审查。

可以说,RCEP的电子商务章节包含具有约束力的数据治理条款,这标志着中国首次做出此类承诺,也是中国愿意接受何种数据治理条款的第一个迹象。另外,RCEP 将对禁止数据本地化的主要承诺与非常广泛的例外结合起来,使内部数据治理政策面临的外部挑战风险降至最低。特别是,广泛的合理公共政策和安全例外允许中国保留其限制性数据治理制度而无须外部审查。但一个潜在的后果是,如果缔约一方坚持本国可采取其认为对保护其基本安全利益所必需的任何措施而其他缔约方不得提出异议,那么安全例外条款可能会失去其实质性意义。因此,需要观察缔约方将如何管理这些特殊争端。

(三)中国可以接受CPTPP的数据“安全例外”条款

CPTPP也是环太平洋相关国家间缔结的贸易协定,并且有7个成员国同时也是RCEP成员国。但是,RCEP对数据本地化规定了特殊的安全例外,即缔约方对其实施的数据本地化措施有完全的自我裁判权,这是缔约国维护亚太地区经贸利益以及地缘政治博弈的结果。尽管如此,中国需要按照CPTPP规定完成加入程序。本文暂不讨论该问题,需要讨论的问题是,CPTPP中的禁止数据本地化以及安全例外条款能否为中国所接受。或者说,如何协调RCEP中的有关缔约方实现保护基本安全利益所必要措施的自我裁判与CPTPP相关条款之间的关系?这里主要有五个问题需要明确:

第一,CPTPP没有专门针对数据本地化有关的基本安全利益措施的自我裁判规定,但是CPTPP第29.2条安全例外的两款分别含有“其确定”和“其认为”的用语,根据WTO前述类似条款的专家组裁定,可以认为缔约方在援引国家安全例外的问题上享有一定程度的自我裁判权。只不过根据WTO裁判法理,此类裁判权在WTO范围内要经过专家组或上诉机构的审查。尽管程度各异,但此类规定给了缔约方对披露是否违背其基本安全利益的认定权,至少关于披露将会引发基本安全利益受损这一项,CPTPP和RCEP几乎采取了相同的规定。但是抛开WTO架构,未来CPTPP缔约方的安全例外问题的自我裁判争端需要由CPTPP争端裁判机构组成的专家组进行裁判,CPTPP专家组能否完全承认缔约国在国家安全问题上的自我裁判权还需要时间的检验。

第二,CPTPP缔约方能否在国家安全例外的援引上完全接受自我裁判的立场,可以根据其向WTO递交的相关意见书进行考察。譬如澳大利亚、加拿大、新加坡和日本等指出,安全例外案文反映了起草者对国家安全和主权在国际贸易领域的相互作用的共同关注,专家组对被申请方援引的安全例外情形有审查的管辖权,但是应由每个成员自行定义其认为的“基本安全利益”以及实施保护基本安全利益的“必要性”②See Panel Report, Russia-Measures Concerning Traffic in Transit, Addendum, WT/DS512/R/Add.1, Annex D-1-Annex D-6,https://docs.wto.org/dol2fe/Pages/SS/directdoc.aspx?filename=q:/WT/DS/512RA1.pdf&Open=True.。鉴于WTO相关协议的安全例外条款起首用语和CPTPP安全例外条款的文本基本一致,尤其是都含有“其认为”或类似的“其确定”的词语,可以推定CPTPP缔约方对安全例外的理解和WTO类似,包括数据本地化措施在内的安全例外抗辩争端也可以提交未来的CPTPP专家组进行裁判。

第三,中国针对前述两个WTO安全例外争端提交的意见认为,专家组对涵盖协议中的安全条款有管辖权,并且专家组有权对争端事实以及提交其审查的争端进行客观审查①See Panel Report, Russia - Measures Concerning Traffic in Transit, Addendum,WT/DS512/R/Add.1, Annex D-4, paras.1-6,https://docs.wto.org/dol2fe/Pages/SS/directdoc.aspx?filename=q:/WT/DS/512RA1.pdf&Open=True.。尽管如此,中国参与的RCEP对数据本地化措施的规定是,提出基本安全利益措施抗辩的成员国有绝对的自我裁判权。结合前述规定,假如中国加入CPTPP,就会在履行RCEP和CPTPP的安全例外条款的义务之间发生冲突。CPTPP不允许有成员国提出保留意见,对此结合中国对WTO相关案例发表的相关意见,比较恰当的理解是,中国能够接受CPTPP的安全例外条款。

第四,完全接纳CPTPP的国家安全例外条款就意味着在数据本地化问题上,其他国家可以就中国提出的国家安全抗辩提出挑战,也意味着中国必须不断制定和完善有关数据本地化的国内立法的改革,证明其将遵守CPTPP的现行规则。另外,在某些情况下,中国可以依靠其内部的法律完善机制来满足CPTPP数据本地化的要求。譬如,中国已经在国内多个自贸试验区试点有条件的数据自由流动,支持在确保风险可控的范围内,率先实施对标CPTPP的相关措施,包括建设离岸数据中心和探索数字贸易发展新模式等。无论如何,中国在参与全球数据治理的过程中,应在坚守维护国家安全的底线基础上兼顾数据保护和数据流动,合理平衡经济发展与国家安全和社会公共利益之间的关系。

第五,需要注意的是,相较于RCEP的安全例外条款,CPTPP的“基本安全利益”术语表面上看似扩大了安全利益的内涵,更有可能为滥用安全例外机制打开方便之门。当前国家安全的含义已经超越WTO框架所设定的限于军事、战争、核武器等较窄的军事安全利益的要求,而扩展到经济或外交等安全问题。中国提出的“总体安全观”涵盖与数据本地化措施密切相关的网络安全、政治安全、经济安全、科技安全以及信息安全等。因此,从发展的角度来看,接受CPTPP的安全例外条款也是时代所需。

目前,中国政府已经发出加入CPTPP的期许,但是中国现行的国内法律和政策需要做出某些修改,以满足CPTPP规则之需。中国目前某些地方采取的尝试性行动以及中国政府就WTO相关案例提交的意见表明,只要中国国内采取了相关法律和针对性措施,中国完全可以接受CPTPP的相关规则。同时,跨境数据流动也是构建人类命运共同体过程中需要处理和解决的一个重要问题,符合中国中长期利益。国家安全例外的自我判断使用是全球电子商务发展中最令人不安的趋势之一,将其纳入监管将是一项如何权衡数字技术发展和国家主权之间关系的问题。这不仅需要国内法律和政策的支持,也需要国家之间的合作。