RCEP框架下数据跨境流动例外条款研究

李雪娇

（吉林大学 法学院，吉林 长春 130012）

信息技术的发展加速了数字经济时代的到来，数据的跨境流动亦丰富了原有的国家主权结构，国家对主权的保护由传统的军事、经贸、环境资源等领域延展到数字网络空间。为了加强对数据跨境流动的规制，以维护国家基本安全利益、实现公共政策目标、保护公民信息权利，各国纷纷在国内建立起数据跨境流动的法律框架体系，如我国近年来相继出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》，再加上处于草案阶段的《个人信息出境安全评估办法（征求意见稿）》，预示着相关跨境数据流动的国内法框架已经开始搭建，并在逐步完善[1]，而美国、俄国、韩国等国家也出台了针对个人数据和信息保护的立法①美国出台《美国2019年国家安全和个人数据保护法》；俄国2015年出台《个人信息保护法》；韩国2017年出台《个人信息保护法》。。在国际上，各国也纷纷缔结增设数据安全例外条款的多边和双边协定，如《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《美墨加协定》（USMCA）、《区域全面经济伙伴关系协定》（RCEP）等，以及《美国—日本数字贸易协定》（DTA）、《新加坡—澳大利亚数字经济协定》（SADEA）、《新加坡—新西兰—智利数字经济合作协定》（DEPA）、《中国—新加坡自由贸易协定》（中国—新加坡FTA）、《中国—韩国自由贸易协定》（中国—韩国FTA）等，其中DTA、SADEA、DEPA是专门针对数字经贸领域而缔结的自由贸易协定（FTA）。各国顺应数字时代需求，积极构建国内法和国际法双重规制体系，足以见得国际社会对数据跨境流动法律问题的热切关注，此种关切也源自于数据安全对主权国家的重要意义。

数据安全被视作新型的国家安全，在数据跨境自由流动的同时，利用大数据分析技术，不仅可以调取公民的个人数据信息，形成对公民个人的信用评价，还可以通过设定不同条件，如在某一时间阶段、某一地域范围、某一年龄层次等对不同个体数据的汇集，监控国家的社会状况，甚至有可能实现对军事基地等相关内容的精准画像。可想而知，如果不加强监管，任由数据跨境流动，将给国家安全带来很大的隐患。

基于此，国际层面在制定和缔结FTA时，尤其是为适应数字时代发展而新近签署的各大自贸协定，在专门的电子商务或数字贸易专章②数据跨境流动例外条款一般规定在FTA电子商务或数字贸易专章，如CPTPP、RCEP规定在电子商务专章，USMCA规定在数字贸易专章。当然，这里所述的一般情况并不包括专门的数字经贸协定，如DEPA即规定在数据问题章节。，除了作允许数据跨境自由流动的原则性规定之外，都会不同程度地对“计算设施的位置”及“通过电子方式跨境传输信息”进行国家基本安全利益或公共政策空间层面的规制。国内外学者也相继从不同角度展开对数据跨境流动例外条款的研究。如鄢雨虹专门研究数据跨境流动规制中的正当公共政策目标例外，认为不同协定中的正当公共政策目标例外在文本表述上不同程度的差异将导致适用的区别[2]；黄贵对数据本地化禁止规范及其例外进行研究，认为对例外适用的判断应该回归到对相应具体措施目的的实质性分析，厘清与“合法公共政策目的”的实质关联性[3]；Susannah Hodson比较了《服务贸易总协定》（GATS）和《全面与进步跨太平洋伙伴关系协定》（CPTPP）框架下数据本地化措施将如何受到约束，认为CPTPP是对GATS的重大进步[4]；Mira Burri着眼于数字监管规则的变迁，重点考察了美国和欧盟的发展模式，强调这种积极的、权力驱动的规范制定可能带来的利弊[5]。数据跨境流动及监管问题是目前国内外学者研究的热点问题，但将其置于RCEP框架下，并与USMCA、CPTPP两大FTA对比，尚属创新。以下即将USMCA、CPTPP、RCEP三大FTA对比，对RCEP框架下数据跨境流动例外条款的类别定性、层次结构、功能属性等进行分析，并与此项特定例外之外存在的一般例外进行对比，剖析双重例外标准下缔约方应如何选择适用。

一、数据跨境流动例外条款定位

RCEP框架下数据跨境流动例外条款主要规定在第12章第14条和第15条，两条款主要内容是对数据本地化存储的限制和对商业化数据跨境流动的支持，以及在此两项原则基础上衍生的例外规则。数据跨境流动例外条款自身的定性、结构及内容因素将直接决定数据跨境流动例外条款的功能定位。

（一）数据跨境流动例外条款类别定性

例外条款有“一般例外”与“特定例外”之区分。所谓一般例外条款，如RCEP第17.12条、USMCA第32.1条、《中国—加拿大双边投资协定》（中国—加拿大BIT）第33条，其适用范围延展至整个章节乃至整部协定，是指在一定前提下排除东道国为实现特定目的而采取的违背国际协定中其他实体义务的措施的不法性的条款，此条款用以维护国际社会的和平与秩序以及东道国的国家安全与公共利益。特定例外与一般例外有异曲同工之妙，但又有依附性和适用范围上的明显区别。特定例外即特定条款自身包含的例外，是指被某项特定条款所包含，依附于此项条款且仅适用于依据此项条款所采取的措施，虽然特定例外也具有排除措施不法性的特质，但适用范围明显窄于一般例外条款。比较常见的特定例外条款出现于最惠国待遇条款（MFN条款）、国民待遇条款（NT条款）、公平公正待遇条款（FET条款），如《中国—瑞典双边投资协定》（中国—瑞典BIT）第二条第三款即MFN特定例外条款①1982年中国—瑞典BIT第二条第二款规定：“缔约任何一方的投资者在缔约另一方境内的投资所享受的待遇，不应低于第三国投资者的投资所享受的待遇。”第三款规定：“尽管有本条第二款的规定，缔约一方如已同其他国家缔结关于关税同盟或自由贸易区的协议，则应有给予该协议参加国投资者的投资以更优惠待遇的自由。”。

数据跨境流动例外条款在一定前提下，排除了数据本地化存储及限制数据跨境自由流动此类违背协议义务措施的不法性，适用范围不及其他条款，根据以上分析推断，数据跨境流动例外条款即属于与一般例外条款相对的特定例外条款。

（二）数据跨境流动例外条款结构剖析

通过对RCEP框架下数据跨境流动例外条款本身的内容剖析，及与USMCA、CPTPP对应条款的横向及纵向对比综合分析，可以在结构上将RCEP框架下数据跨境流动例外条款划分为两个方面和三大层次，对层次结构的深层剖析，可以对数据跨境流动例外条款给缔约方带来的监管空间有更深的理解。

1.两个方面

RCEP框架下数据跨境流动例外条款包含两方面内容，分别对应“促进跨境电子商务”一节下的两个条款，一是计算设施的位置条款；二是通过电子方式跨境传输信息条款，解决的分别是数据的存储和传输（流动）问题。USMCA及CPTPP与此大同小异。

通过对三大FTA的纵向及横向比较发现，三大FTA大体上都将数据跨境流动例外条款分成数据非本地化例外和商业化数据跨境流动例外两个方面，只不过RCEP将两个方面合在“促进跨境电子商务”一节中，CPTPP将两个方面分开，中间还加入了关于互联网互通费用分摊的一条，而严格来讲，USMCA并没有对数据非本地化例外进行规定，只规定了商业化数据跨境流动例外。此等一致性和差异化体现了三大FTA缔约国对数据跨境流动规制的意识及对规制目标的分歧。

2.三大层次

综合来看，跨境数据流动例外条款包含三个层次：层次一是各缔约国都表示了对数据跨境自由流动的支持，并肯定每一缔约方都有通过各自措施对数据流动进行监管的权利，这是各缔约国对待数据资源的原则。层次二是在对待数据资源的原则之外，尚有例外，此处的例外指的是因保护公共政策目标而产生的例外。无论是USMCA、CPTPP还是RCEP都允许缔约方为了实现合法的公共政策目标而采取必要的措施，当然，采取必要措施有一定的前提条件，即该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用。在商业数据跨境流动例外条款方面，USMCA、CPTPP和RCEP都有相类似的规定，但是RCEP相比USMCA及CPTPP有非常明显或者说本质的区别，即RCEP的例外具有自我判断之性质，这是USMCA及CPTPP不具备的，而且RCEP数据跨境流动例外条款在注释部分对采取措施的必要性进行明确的说明，即“就本项而言，缔约方确认实施此类合法公共政策的必要性应当由实施政策的缔约方决定”。条款自我判断性质的设置给缔约国对跨境数据流动的国家规制权利留了很大自由裁量的空间，这是RCEP与USMCA及CPTPP最为本质的差异之一。最后一个层次即层次三是RCEP与另外两大FTA相比，在层次结构上的独特之处。第三层次也是原则之中的例外，除了上述第二层次提到的公共政策目标例外之外，RCEP第三层次加入了因保护国家基本安全利益而采取必要措施作为数据非本地化和商业数据自由跨境流动的例外，与第二层次相比，该项例外的性质与其有相似之处，即也包括“其认为”的措辞结构，也就是说该项例外也具有自我判断之属性。但与第二层次不同的是，该项例外并没有在注释中强调措施的必要性由采取措施的缔约方来决定，却在款项正文中强调在缔约方因保护本国基本安全利益而采取必要的措施时，“其他缔约方不得对此类措施提出异议”。此处对其他缔约方能否提出异议的限制，是否否定了其他缔约方依据此条款所提出的抗辩权利，还是排除了其他缔约方将异议提交争端解决机构的权利？此项约制必定在实践中产生理解上的分歧。横向对比USMCA和CPTPP，此项约制独特存在，也将给缔约方带来不同的意义。

数据跨境流动例外条款为特定例外条款，对其结构进行剖析，其第二层次和第三层次是RCEP数据跨境流动例外条款最为特殊之处。与USMCA和CPTPP相比，总体上RCEP对于数据跨境流动的国家规制最为全面，给缔约方利用数据跨境流动例外条款保护本国基本安全利益和公共政策提供了更多的空间。

（三）数据跨境流动例外条款功能定位

USMCA、CPTPP、RCEP三大FTA对比，USMCA最为支持数据跨境自由传输及数据非本地化存储，其次是CPTPP，而RCEP对于数据跨境流动的国家规制最为严格[6]。如在“计算设施的位置”条款项下，USMCA仅仅规定“缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内，作为在该缔约方领土内进行商业行为的条件”，除此之外无其他例外规则或条件；CPTPP在USMCA相应规定基础上承认缔约方对于计算设施的使用可设有监管要求，包括寻求保证通信安全性和机密性的要求，并赋予缔约方为实现合法公共政策目标而采取违背数据非本地化的措施，只要该措施“不以构成任意或不合理歧视或对贸易构成变相限制的方式适用”及“不对计算设施的使用或位置施加超出实现目标所需限度的限制”，需要注意的是，尽管CPTPP在一定条件下允许数据本地化，但条件并不容易达成，且两个条件之间的连接词是“及”，也就是说两个条件并不是选择的关系；RCEP在USMCA的基础上，吸纳了CPTPP的部分内容，RCEP也允许数据本地化存储，条件之一类似于CPTPP的设定，但没有须符合比例要求的限制，条件之二是为保护国家基本安全利益所采取必要措施时可以违背数据非本地化的约束，需要注意的是，RCEP的两个例外条件与CPTPP不同，并不是合并关系，而是选择关系，而且两个条件都加入了“it considers（其认为）”的措辞结构，也就是增强了缔约方引用数据跨境流动例外条款的可能性。所以，三大FTA相比，对于数据跨境流动的国家规制，显然RCEP更为严格，在数据主权受到挑战时，RCEP缔约方能够更好地保护本国的基本安全利益和公民的个人信息权利。之所以有此等差别，跟数据跨境流动例外条款的内容约束有莫大的关系。RCEP数据跨境流动例外条款与既存的其他两大FTA有本质上的区别，这种区别足以导致不同FTA缔约方在引用数据跨境流动例外条款保护本国国家及公民基本利益时产生不同甚至完全相反的后果。

因为历史文化的差异及经济发展水平的不同，不同国家考量数据自由流动的维度及对于数据保护的力度都会有所不同，从而体现出不同的价值目标。USMCA与RCEP两者相比，前者的数据跨境流动条款更倾向于促进数据的自由流动，而后者对数据跨境流动的规制更加严格，这种差异性主要源自于缔约国的数字经济背景差异。与USMCA不同的是，RCEP主要在发展中国家间缔结，发展中国家对于数字技术的掌握能力普遍低于发达国家，所以更倾向于利用例外条款来强化监管能力[7]。

跨境数据流动规制目标协调的核心是限制程度问题，即允许国家基于合法政策目标对跨境数据流动限制到何种程度[8]。RCEP数据跨境流动例外条款在数据自由流动与国家规制间寻求某种平衡，其功能价值即在于此。但从条款现状来看，其规制的空间似乎要大于自由的空间，这与数字经济的飞速发展、各国应对的局促和担忧及对本国国家安全和公共利益的保护有莫大的关系。

二、数据跨境流动例外条款属性

例外条款的属性有自我判断与否的区分，所谓自我判断，即排除争端解决机构实质审查的权利，由援引方对是否应当采取措施作出判断。在俄罗斯—乌克兰禁运措施案（DS512）之后，尽管学理上仍有争议，但实践中国际社会基本认为，例外条款被赋予自我判断性质与否，并不排斥争端解决机构的管辖权，但影响审查标准。被赋予自我判断属性的例外条款在适用时可以由东道国自行判断本国所处的状态以及是否有必要采取措施以保护本国的基本安全利益或社会公共利益，而未被赋予自我判断属性的例外条款不可以由东道国自行判断，实践中由争端解决机构行使实质审查的权利。可见，例外条款被赋予自我判断属性与否，对于争端解决结果的走向至关重要。RCEP框架下自然也是如此，不管缔约方采取的争端解决方式如何，东道国基于国家基本安全利益或公民个人信息权利等保护数据主权时，数据跨境流动例外条款的属性都会在很大程度上影响争端解决结果的走向。

（一）数据跨境流动例外条款自我判断属性的判定

通常对于例外条款自我判断属性与否的判定都会以条款本身的措辞结构作为重要的参考依据，一般以含有“其认为”的措辞为判断基准，如《关税与贸易总协定》（GATT）第21条一般被认为带有自我判断性质。当然，“其认为”的措辞结构不能作为唯一的也不能作为首要的判定依据，排在首位的应当为协定中明确作出的规定。RCEP框架下数据跨境流动例外条款不仅在措辞结构中使用了“其认为”的表述，而且在注释中明确提出“就本项而言，缔约方确认实施此类合法公共政策的必要性应当由实施政策的缔约方决定”，这里不仅明确了数据跨境流动例外条款的自我判断性质，还明确了自我判断的是措施的“必要性”，也就是说根据数据跨境流动例外条款，在不构成任意或不合理的歧视或变相的贸易限制的前提下，缔约方可以为实现公共政策目标而采取违背数据非本地化或数据跨境自由流动的协定义务的必要措施，此等不法性是被排除掉的，而且措施的必要性由实施政策的缔约方决定。但需要注意的是，条款中也规定缔约方可以采取其认为对保护其基本安全利益所必需的任何措施，而并没有对措施的必要性是否由采取政策的缔约方决定作出明示，但却说明了其他缔约方不得对此类措施提出异议。公共政策空间和基本安全利益条件下的例外，可能因表述方式不同而产生不一样的争端解决效果。

（二）数据跨境流动例外条款自我判断性质的作用

RCEP框架下数据跨境流动例外条款的措辞结构来源于对GATT和GATS安全例外条款的借鉴和融会贯通，所以对《世界贸易组织》（WTO）框架下安全例外条款的自我判断属性作用的分析也可以加诸RCEP框架下数据跨境流动例外条款，很显然的是，后者在前者基础上有所变化，所以RCEP框架下数据跨境流动例外条款承袭了WTO框架下的安全例外条款的基本特质，但也会有所不同。

在DS512中，俄罗斯主张GATT第21条是自我判断性质，涉及国家安全的事项争端解决机构并没有管辖权，应当由国家之间自行解决。而且，就俄罗斯的观点，俄罗斯与乌克兰之间已经出现了紧急情况，有可能对俄罗斯国家安全造成威胁。根据GATT第21条b项规定，在国家根本安全利益受到威胁的情况下，对于采取必要的措施，缔约方是有自由裁量权的。对于缔约方享有自由裁量权的事项，争端解决机构没有管辖权，该案并不属于专家组的职权范围，而且该案超越了经济贸易领域，已经上升到政治和军事安全，超越了争端解决机构的管辖范围。对于管辖权的问题，专家组在回顾谈判过程以后，驳回了俄罗斯的异议。专家组认为，虽然安全例外条款有一定的灵活性，世贸组织也承认缔约方可以援引安全例外条款而豁免部分条约义务，去维护本身的国家安全利益，但是此种灵活性并不是排除了专家组的管辖权，而只是赋予条约一定的灵活性，以提高缔约方对条约的接受程度，如果缔约方可以因此而排斥争端解决机构的管辖权利，将与GATT的缔结初衷背道而驰[9]。因此，俄罗斯援引安全例外条款并不排斥专家组的管辖权，也就是自我判断的性质并不排除争端解决机构的管辖权。

那么，自我判断与否最根本的差异究竟在哪里呢？根据DS512的报告，安全例外条款虽具有自我判断性质，但并不排斥专家组的管辖权，而是影响专家组的审查权能，由于缔约方具有一定的采取措施的自由裁量权，所以专家组不可以进行实质审查，但是有权利进行善意审查①DS512案中，俄罗斯主张GATT第21条具备自裁决属性，专家组予以肯定，但专家组认为GATT第21条并不是完全的自裁决，其自裁决性质并不排斥仲裁庭的管辖权。Russia-Measures Concerning Traffic in Transit，WT/DS512/R, Report of the Panel, April 5, 2019, Paras.7.102-7.103.② Russia-Measures Concerning Traffic in Transit，WT/DS512/R, Report of the Panel, April 5, 2019, Paras.7.122-7.125.。考虑到俄罗斯和乌克兰所处背景，双方关系的紧张状态，以及其相互采取的针对措施，此种恶劣局势已经引起国际社会其他国家的注意，且2016年12月，联合国大会承认了俄罗斯与乌克兰之间的关系已经包括武装冲突，足以构成GATT第21条中所述的“紧急情况”，在此种状态下，俄罗斯有权援引GATT第21条b项，自行采取措施而不受条约义务约束②。对于善意审查的标准究竟为何，并没有非常明确的规定或者国际社会达成一致意见的认知，但可以肯定的是，善意审查标准比实质审查标准宽松很多，在善意审查标准下，缔约国援引安全例外条款保护本国安全利益所受到的阻碍相对越少，保护本国安全利益的目标更容易实现。

RCEP框架下数据跨境流动例外条款采取的也是自我判断之性质，基本承袭了GATT第21条的措辞方式，自然也会借鉴GATT第21条的解释方法，但与GATT第21条不同的是，RCEP框架下数据跨境流动例外条款在注释部分对自裁决性质直接予以解释，进一步澄清了“其认为”措辞结构修饰的是“必要性”，“缔约方确认实施此类合法公共政策的必要性应当由实施政策的缔约方决定”，以及“其他缔约方不得对此类措施提出异议”。在RCEP框架下数据跨境流动例外条款如此规定之前，GATT第21条自我判断条款的审查内容可以归纳为三大核心问题：其一，缔约方的一项根本安全利益是否受到威胁；其二，缔约方所采取的措施目的之确认；其三，缔约方所采取的措施与维护该国根本安全利益之间是否具备“必要性”关联[10]。一直以来，对于自我判断性质安全例外条款的措辞结构修饰问题，即其解释问题，对于条款中“其认为”所修饰的是“措施”还是“措施的必要性”存有争议，如果“其认为”修饰的是“措施”，则“必要性”是否将交由争端解决机构来进行审查？如果“其认为”修饰的是“措施的必要性”，则是否意味着争端解决机构只能对措施进行审查？抑或无论“其认为”修饰的是“措施”还是“措施的必要性”，都不影响争端解决机构的审查标准？

对于上述问题，从文义解释角度对包括RCEP框架下数据跨境流动例外条款在内的所有自我判断性质例外条款进行分析，深入探讨和追究“其认为”的措辞结构所修饰的内容，才能作出明确区分。如果无论“其认为”修饰的是“措施”还是“措施的必要性”，都不影响争端解决机构的审查标准，是否存在威胁、采取了什么样的措施、措施是否具有必要性等都需要被争端解决机构进行审查的话，那么自我判断性质与否将对缔约方来说无任何差异，也偏离了缔约方如此拟定条款的初衷。所以确定“其认为”措辞结构究竟修饰的是“措施”还是“措施的必要性”，对于争端解决机构的审查标准选取具有重要的意义。RCEP框架下数据跨境流动例外条款限定了“其认为”修饰的是“措施的必要性”，也就是缔约方对其采取措施的必要性进行自我判断，争端解决机构无权干涉，其他缔约方也无权干涉。争端解决机构只要判断缔约方在采取措施时是否出于善意即可，至于措施是否符合比例原则，是否还应当符合其他国际习惯法和一般法律原则，还应当在实践中，根据具体案情进行分析和论证。

三、数据跨境流动双重例外选择

RCEP框架下数据跨境流动例外条款属特定例外条款，与其相对的是RCEP第17章下的一般条款和例外，章节项下包括“一般例外”和“安全例外”，与特定例外相对，都可以统称为广义上的“一般例外”。对于数据跨境流动的规制可以适用特定例外，但也并未排除一般例外，所以可能会对数据跨境流动形成双重限制。

无论是USMCA、CPTPP、RCEP此类大型FTA，还是DTA、DEPA、SADEA此类专门的数字协定，都主张在促进数据跨境自由流动的同时认可缔约方对数据跨境流动的规制权利，这种规制权利一般是通过例外条款来进行规定。RCEP框架下跨境数据流动条款本身包含例外规制，而第17章又规定了一般例外，对于二者之间的适用关系，RCEP第12章第3条有解释和说明。以服务贸易和投资专章的例外条款适用为依据，根据RCEP第12.3条第4款（c）项，依据于服务贸易专章和投资专章的例外条款而排除违背服务贸易专章和投资专章约定的义务的不法性，此种情况下并不适用于数据非本地化存储例外条款和商业数据跨境流动例外条款，但是本条款并没有说适用的先后顺序性。按照本条款的规定，特定例外与一般例外其实是不相冲突的，按照RCEP第12.3条字面意思来理解，如果已经适用了服务贸易专章和投资专章项下的例外条款，则不再适用数据非本地化存储例外条款和商业数据跨境流动例外条款，但是并没有说反之亦是如此。对于RCEP来讲，其已经在电子商务专章中作出了相应的规定，且RCEP电子商务专章对限制措施的例外适用作出了较为宽泛或者说适用条件较低的规定，所以缔约方在遇到数据跨境流动相关贸易或投资问题时，可以直接适用数据跨境流动例外条款，一般不会适用到服务贸易专章或投资专章下的例外条款，更加不会适用到一般条款和例外。但是一般例外是适用于整个章节或整个RCEP的，自然也会适用于数字贸易或投资领域，那么，遇到的问题就是，就RCEP的整体结构而言，如何澄清电子商务章节所包含的特定例外与适用于整个协定的一般例外的关系，目前的状况很可能造成适用上的混乱，也难免会引发实务中的争议。

四、结语

近年来，国家安全的外延在不断扩大，国际上已经从传统的国家安全辐射至或者着眼于新型国家安全。数据安全不仅关乎公民的个人隐私信息，也关乎公共利益和国家利益，是非传统安全的重要方面。数字经济的发展速度远远超过传统经济，国家在享受数字经济带来的便利条件之余也要防止数据的过度自由流动可能给国家安全或公共利益带来的挑战。数据跨境流动例外条款在其中起着重要的作用，其措辞内容和实践在国际数字保护领域显得至关重要，FTA中数据跨境流动例外条款不同的措辞代表着不同的规制目标。相比之下，USMCA的缔约方更倾向于对数据跨境自由流动的支持，CPTPP在USMCA基础之上增强了缔约方对数据跨境流动的规制权利，RCEP在CPTPP基础上进一步增强，也体现着RCEP缔约国对国家数据安全的重视。

RCEP框架下的数据跨境流动例外条款以自由为原则，以规制为例外，规制的力度总体上强于其他大型的FTA。从条款的层次结构上分析，横向看，RCEP框架下数据跨境流动例外条款分为数据非本地化存储例外及商业化数据跨境自由流动的例外；纵向看，RCEP框架下数据跨境流动例外条款分成三个层次，层次一是对数据跨境流动的支持，层次二是因公共政策目标而产生的数据跨境流动的例外，层次三是因基本安全利益目标而产生的数据跨境流动的例外。从条款性质上看，RCEP框架下的数据跨境流动例外条款具有自我判断属性，这一性质的设置实际上扩大了例外条款中自裁决属性的范围，也增强了缔约国援引条款的可能性。RCEP框架下的数据跨境流动例外条款属特定例外条款，除此之外，RCEP还规定有一般例外条款。一般情况下，如果已经可以适用特定例外，则一般例外补充适用的可能性并不大。

2022年1月1日，RCEP正式生效，RCEP框架下数据跨境流动例外条款也将在数据安全领域发挥不可忽视的作用。