论CPTPP数据跨境流动的法律规制

马 迁，李智毅

（郑州大学法学院，郑州 450001）

一、CPTPP 数据跨境流动的国际关注

数字经济的快速发展使得数据跨境流动成为焦点。在数据贸易快速发展背景下，数据信息已然成为驱动、牵引世界经济复苏与发展的关键要素，不断创造着新的发展机遇。数据的价值在于流动，对数据流动进行规制被当作是数据治理的核心[1]。然而数据跨境流动容易逾越国家主权和数据人权的边界，给一国国家安全、网络安全带来风险和挑战。同时，数据跨境流动还会挤压个人信息自决权的行使，这也是因为个人信息易被不法者侵犯所致。信息收集者对于信息的控制程度远大于信息产生者，而科学的立法应当能够全面保护个人权利[2]。在追求各国数据交互之际，保障个人知情同意等数据人权是紧迫且必要的。当前，数据贸易引起的全球化经济浪潮暴露出法律规则不能深入适应数据跨境自由流动与个人信息受到有效保护的矛盾，表明国内数据流动规则亟待创新与变革。此外，如何对数据跨境流动与个人信息保护进行规制与协调成为当前国际经济法的热点与难点。

近来国际社会对于数据跨境流动中的个人信息保护日趋关注，不仅在多数国家缔结的自由贸易协定（Free Trade Agreement，FTA）中对电子商务问题有所涉及，而且在区域层面和国际层面也取得较大发展。2020年生效的《美墨加协定》（United States-Mexico-Canada Agreement，USMCA）单列数字贸易章节，通过设置数据、数字产品和数字平台对数字贸易壁垒进行系统化规制，强调了对于数据贸易自由化的重视，然而其具体规则流露出的美式色彩无不透露出美国优先的理念。《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RECP）对数据跨境流动也做了新的规定，强调在尊重国家数据安全的基础上，允许设置基本安全例外条款以取得缔约方共识促进数据自由流动。中国2021年正式申请加入的《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，DEPA）在模块四“数据问题”中对于个人信息保护和通过电子手段进行的跨境数据流动进行了规制，旨在加强缔约国之间的数字贸易合作。而具备“高水平、多领域”特征的《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）更设电子商务专章，在全盘接受跨太平洋伙伴关系协定(Trans-Pacific Partnership Agreement，TPP)相关规定的基础上，注重跨境数据流动的自由性和个人信息保护的兼容性，强调市场开放与优化监管并举的发展理念。

基于有关数据跨境流动和个人信息保护规制乏力的现状和中国积极申请加入CPTPP 的背景，本文拟对CPTPP 电子商务中数据跨境流动具体条款和个人信息保护问题的处理进行研究，并在此基础上分析我国对接高标准国际规则的挑战与难题，落脚国内法提出建议和完善之策。

二、CPTPP 中数据跨境流动的法律规则

数据跨境流动与个人信息保护是CPTPP 电子商务章节的核心内容，也是中国对接CPTPP 标准的谈判重心。在规则设置上，不同于欧盟早期缔结的FTA 中将电子商务和服务置于同一章节以求把电子商务纳入服务贸易的理念[3]，CPTPP 有关数据跨境流动和个人信息保护的条款主要分布在电子商务单章中，具体为第14.1 条的“定义”、第14.8 条“个人信息保护”、第14.11 条“通过电子方式跨境传输信息”、第14.13 条“计算设施的位置”和第14.15 条“合作”，且呈现出个人信息保护兼容性、数据跨境流动自由性以及例外条款灵活性的特征。

（一）个人信息保护的客观性与兼容性

数据是信息的载体，信息是数据的内容，加强数据用户个人信息的保护是在国际法层面对数据贸易进行规制和管理的全球共识。数据与个人信息具有高度相似的一面。CPTPP 中关于个人信息的定义具有两重属性，一方面个人信息涵盖已识别或可以识别的关于自然人的任何信息，另一方面也包括数据。为进一步明确此中数据的含义，根据CPTPP 第14.8 条第2 款有关缔约方可以采取或维持的义务性措施的态度可知，当个人与数据相连时，个人数据大体上等同于个人信息。按照耶林所说，权利是法律所保护的特定利益。对于数据用户个人信息的权利保护，其体现出的价值利益不仅应是长期稳定并且可被信赖，还应当具备经济和社会的可识别性。这是因为在数据流动背景下，个人信息不断被收集、整理、加工、处理以及被有偿地交换和利用，如果国际协定对其权利保护水平仅停留在亚太经合组织《隐私保护纲领》（APEC Privacy Framework）中的软性要求，显然不能应对全球信息数据冲击下的隐私威胁。在数据自由流动背景下，如何消除恐惧，减少不当障碍，切实维护个人信息已成为国际经贸规则的侧重点，CPTPP 电子商务章节中有着较以往不同的做法。

在CPTPP 中，个人信息保护是电子商务章节的重要内容，规则整体上呈现出客观性与兼容性并重的特征。首先，第14.8 条第1 款特别强调保护电子商务用户个人信息的预期效益，力求缔约方能够达成保护消费者个人信息对于促进电子商务发展的共识。这种积极寻求电子商务发展共性的规则理念，可以突出其基础之“广”。CPTPP 对于电子商务用户提供保护的标准之“高”既体现在第14.8 条第2 款一方面要求成员国应采用法律框架的形式提供保护，而这种法律模式既要考虑国际层面的原则和指南，又最大限度地接受缔约方国内现有保护制度；另一方面又表现为第3 款针对个人信息的不法侵害要求成员国在其管辖范围内应努力采取非歧视的做法，这种“努力”程度也表明该规则积极尊重各国法治水平、信息水平等差异的现实境遇。另外，标准之“严”体现为第14.8 条第4 款要求缔约方面对电子商务用户，至少提供包括自然人如何寻求救济途径和企业相关合规性做法要求的保护信息。最后，标准之“宽”为兼容性机制的设置。考虑到缔约方采取法律方式和不同机制的差异，第5 款明确要求建立促进兼容性的机制，缔约方应在积极适用此类机制交流信息的基础上，不断探索、扩大、创新相关安排以寻求兼容之目的。

（二）数据跨境流动的自由性与安全性

信息因为能被交换而具有财产价值，而扮演其承载者角色的数据则兼备流动性和经济属性。随着跨境经济活动的往来，附带经济属性的相关数据在发生国别流动或跨境移转时，一国立法者或监管者考虑到数据的隐秘性，大多会采取不同程度的严格审查程序限制其流动[4]。但在数据全球化时代，推动数据跨境自由流动向来是数据大国的夙愿，发达国家以期通过制订数据政策扩大本国话语权[5]。如欧盟积极推行《数字单一市场战略》，旨在破除成员方之间的法律与行政壁垒，增强数据安全与信任，塑造自由且规范的电子商务环境[6]。美国则推出《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act，简称“CLOUD 法案”)，以国内法形式保留境内数据管辖权之际，以数据自由流动为基调，确立了针对境外数据的“控制者标准”，以此维护其数据跨境流动的主导权[7]。与前者具有“明显单边主义色彩”不同，CPTPP 数据跨境规制模式主要经历了从早期TPP 中美国刻意追求数据跨境流动自由到后期日本主导后兼具安全与信任特征的转变，它强调缔约方要促进消费者对电子商务充满信心，减少数字贸易壁垒。

在CPTPP 跨国数据流动规制中，由于缔约方跨境电子商务开放水平的差异，以及考虑到缔约国数字产业规模等因素，在第14.11 条规制设置中存在着层次渐进的要求。首先，第14.11 条第1 款既允许缔约方设置自己的监管要求，又以缓和的态度提醒其认识到其他缔约方的相关权利。此处的态度缓和，反映出跨境数据流动追求自由理念的倾向，但也间接暴露出其企图回避当前跨境数据流动的核心议题。其次，第2 款明确要求各缔约方允许以电子方式跨境传输信息，这一强制性义务中包括跨境传输个人信息。由于前款的权利性规定，在缔约国规制跨境数据流动时，CPTPP 不排斥其设置符合本国“合法公共政策之目的”的限制性障碍。同时，第3 款对此手段进行了合规性限制，即要求该措施应同时满足“合理性”和“限度性”条件。然而第3 款中的“任意”“合理”“变相”以及“所需限度”等模糊性措辞给缔约方留下了较大的解释空间，例外条款的适用在实践中追求自由化之应然目的之际，能否得到实然预期值得考虑。

（三）例外条款的灵活性与必要性

例外条款是CPTPP 数据跨境流动与个人信息保护法律规制的重要内容。不同的FTA 对于电子商务内容的价值理念与制度设计有着截然不同的规定，但在例外条款的灵活性设置方面则存在共识。一方面区域性乃至全球性FTA 为需要满足缔约方在符合特定条件下对于强制性义务之短暂背离的需求，寻求规制目标与规制主体诸多差异性之间的平衡，通常会设置例外条款这一灵活性制度安排以求解决制度结构的“硬性”弊端。另一方面例外条款呈现出“软性”特征，这有助于解决一国因规制差异造成跨境数据流动或个人信息保护对接国际标准的互动性与操作性难题。另外，从为吸收成员数量的目的来看，例外条款的设置更易被一国决策者所接受。CPTPP 电子商务章节中的例外性条款，为厘清个人信息保护与跨境数据流动的关系、明确二者之间的定位、解决规制中的难题，提供了清晰且明确的思路。

CPTPP 既追求数据流动的自由性，也强调数据跨境的安全性。第14.11 条例外条款的设置成为CPTPP 追求区域经济发展与跨境数据流动自由二者平衡的灵活性安排。电子商务例外条款的灵活性与必要性，可以体现在两方面。在个人信息保护方面，CPTPP 关于个人信息保护的规定具有补充性质，主要是为了填补数据贸易规定的不全面而存在[8]。因为宽松的个人信息保护对于数据进出口保护的意义多停留在形式层面，根据第14.8 条、第14.11 条第2 款以及其他规则可知，包括个人信息在内的跨境数据流动，对于数据本地化的限制基本为原则性规定，意图不在于协调缔约方之间的个人信息保护水平差异。因而当个人信息与人权相连时，基于人权保护的特殊性，缔约方易于以此名义采取限制措施实现“合法公共政策目标”。在跨境数据流动方面，从整体上看，CPTPP 的规制较为严格。第14.11 条第1款允许缔约方设置各自的监管要求，虽然没有赋予每一缔约方实质规制权，但可看成是以总则的形式发挥统领作用[9]。利之所在，弊亦随之。一国立法者为维护其境内公共秩序，至少会单方面采取维持现有或更新将有监管要求的做法，会逐渐成为以电子方式进行数据自由流动的现实阻碍。而CPTPP 又没有强制要求每一缔约方必须认识到其他缔约方的监管要求。考虑到这些问题，第3 款设置的能够排除义务性规则的例外条件，可为缔约方提供灵活且必要的适用余地。

三、CPTPP 数据跨境流动的问题挑战

中国《数据安全法》确立了数据安全与发展的基本原则，相较于前期中国签订的大多数FTA 中对于电子商务内容的规避，中国对于CPTPP 的重点关切与数据贸易价值追求大相径庭，大体表现为对于数据跨境流动的自由性发展价值与个人信息保护的人权性社会价值的高度关注。在国内数据经济快速发展之际，中国先后出台的《网络安全法》《数据安全法》与《个人信息保护法》大致确立了现行数据安全保护框架。但当跨境数据信息日益成为资本争相追逐的经济商品时，国内现有法律制度没有取得突破性进展，因其保守性无法建立起建设性规制体系，从而缺乏制度竞争力。

（一）立法理念：“自由性”与“本地化”价值取向的软硬失衡

国内对于数据的法律规制离不开自由流动与安全保护之“软”与“硬”的价值碰撞，具体表现为CPTPP 跨境数据自由化与国内侧重数据本地化之间的矛盾。CPTPP 给中国带来的外部压力，主要表现为国内立法理念的软硬失衡。一方面明知偏向于数据本地化的立法价值倾向不利于数据贸易的自由发展，却碍于国内治理短板，必须让渡数据跨国流动所带来的部分权益。另一方面欧美依托法律制度比较优势，打着“人权”旗号，不断在扩张域外执法效力，国内必须采取限制性措施以应对此种举措。我国《网络安全法》规定，促进经济社会信息化发展必须保障网络安全。换言之，跨境个人信息的有效保护是以数据跨境安全流动为依托，没有安全性的数据跨境流动会产生诸多隐患。在此种价值取舍中如何把握二者的平衡，将成为中国今后加入CPTPP 谈判议题的重点。此外，我们还应考虑到CPTPP 追求的自由化理念和中国维护社会公共利益的决心，以及国内立法倾向所采取的限制性措施将带来的数据贸易负担，这些问题与考验主要表现为以下方面：

第一，我国侧重于数据本地化的价值倾向将成为跨境数据自由流动的障碍。按照CPTPP 有关数据本地化的内容，各缔约方对于计算设施的位置限制必须符合第14.13 条的要求，特别是缔约方不能要求其所涵盖的人的相关行为必须发生在其领土，并将此作为开展业务的条件。换言之，缔约方应尽最大努力克服对于电子商务利用和发展造成的障碍，追求数据跨境流动自由应符合“合理性”“有限性”“非任意性”要求。在国内层面，我国多部法律规范也都确立了数据跨境流动的自由、安全原则，但从整体上呈现出更加偏向于数据安全的立法态度，对于涉及国家安全问题的态度则更为审慎[10]。我国《网络安全法》第37 条确立了本地化储存与出境安全评估并举的管理举措，同时《个人信息出境安全评估办法（征求意见稿）》细化了出境合同审查机制，以期保护出境活动中的个人信息，然而从这种一事一批的事前安全评估机制中可以窥见理念上的谨慎与保守，[11]这表明国内倾向于数据本地化的保守价值倾向在相当一段时间内不会改变，这将成为CPTPP 数据跨境流动自由化发展的阻碍。

第二，中国跨境数据流动规则缺乏实质性竞争优势。近些年，中国开始加大双边自由贸易协定谈判力度，并将电子商务内容作为独立章节缔结其中，以顺应国际数据贸易发展趋势。例如中韩自由贸易协定、中澳自由贸易协定以及中国与毛里求斯自由贸易协定中都涉及了电子认证、电子签名、个人信息保护等数字贸易规则与相关议题。但相较于CPTPP 而言，国内对于跨境数据流动高标准规则的立法态度较为保守，没有建立起突破性的制度优势，尽管RCEP 的实施具有里程碑式的建设性意义，但其议题数量和规则水平相较CPTPP 仍有较大差距，缺乏实质竞争力。

第三，国内缺乏合理适用个人信息保护例外条款的经验。CPTPP 数据跨境流动适用范围涵盖商业数据和个人数据，鼓励包括个人信息的跨境数据自由流动，同时允许缔约方采取限制性措施，即满足“合法公共政策之目的”的适用条件。虽然该限制性措施必须满足较为严苛的合理性、有限性、非任意性要求，但是我国《个人信息保护法》规定，处理个人信息时应当具备“明确”与“合理”目的。这表明在追求个人信息保护方面，国内层面的立法价值与CPTPP 大同小异，减少了对接例外条款的困难，从长远来看偏向于个人信息权益的国内保护措施易于达成例外条款要求，从而增加了CPTPP 例外条款不当滥用的风险。

（二）法律制度：对接高标准规则的不兼容性

CPTPP 对于跨境数据流动和个人信息保护都提出了高水平的规制要求，例如对于包括个人信息的跨境传输方式有着较强的法律约束力、达致例外条款要求的苛刻性等。从目前中国签署的FTA 内容和现行数据保护体系而言，我国大致形成了符合基本国情的数据跨境流动治理体系。第一，《网络安全法》明确了国内数据向境外流动的基本原则和要求。关键信息基础设施的运营者对于国内收集、产生的个人信息和重要数据，原则上应当存储在境内；因业务需要，确需向境外提供的应当符合有关部门制订的安全评估标准。第二，数据跨境流动的法律制度体系基本建立。2021年《数据安全法》《个人信息保护法》的相继出台，弥补了《网络安全法》关键信息数据跨境流动的缺漏，共同构建了涵盖个人信息保护的数据跨境流动安全网，标志着国内数据跨境流动体系的确立。

但是，国内对于数据跨境流动与个人信息保护的顶层设计依旧不够完善，存在着与国际高标准规则兼容性不适的问题，表现为国内数据跨境流动具体规范内容不完善，存在重叠、交叉，甚至冲突现象；安全评估制度缺位；数据管理层级不明确。首先，《网络安全法》第37 条和《个人信息保护法》第40 条都规定了国内数据向境外流动的要求，但有关数据本地化与数据跨境流动的存储与提供概念常被混为一谈，导致出境之后的数据是否构成境外存储变得模糊。其次，不同层级的立法规定存在冲突。《数据安全法》第31 条和《个人信息保护法》第38 条规定了符合安全评估、保护认证、标准合同等要求的重要数据和个人信息可以跨境提供，但是诸如《地图管理条例》等行业监管要求存在禁止数据出境的冲突。另外，涉及个人信息和重要数据等出境安全评估的具体规则尚未出台，当前仅停留在征求意见稿层面，《数据安全法》《个人信息保护法》规定的“一事一批”的事前安全评估机制可操作性不强，将影响数据流动发展。最后，《数据安全法》第21 条将数据划分为核心数据、重要数据和个人数据，并要求分类分级保护，建立不同程度的管理制度。但是该规定没有明确如何区分数据的“重要程度”和不法侵害造成的“危害程度”，重要数据具体目录的分类、分级制订又会增加规则冲突的风险，加大执法难度。

（三）国内监管：监管力度和安全保护水平有待提高

CPTPP 允许缔约方对数据跨境流动设置各自的监管要求，这将为国内监管水平带来新的外部压力。一方面，储存于云端的数据，在跨境流动中随时会发生数据交互，从而突破传统意义上的地理边界，带来威胁国家主权、网络主权的风险。另一方面，高标准下的数据跨境流动会对一国监管能力和监管水平提出更高水平的挑战。从监管实效看，我国监管力量相对薄弱，行业监管也存在着不足。在事前监管方面，我国“一事一批”的监管模式仍不能达到规模化监管的层次，尽管国内借助自由贸易试验区不断探索跨境流动规则的监管机制，但是当前事前监管机制主要围绕数据安全评估、能力认证等内容，涉及范围有限，探索依旧处于试验阶段，效果不明确[12]。从规模数量上看，以电信行业为例，截至2021年底，我国增值电信业务经营许可企业多达118289 家[13]，市场参与主体与行业监管主体数量的不匹配，将加剧监管难度。

在个人信息保护方面，CPTPP 要求缔约方采用法律手段维护电子商务用户的个人信息。我国《个人信息保护法》虽然旨在保护个人信息权益，规范处理个人信息的商业活动，但是在应对境外调取数据风险或长臂管辖时显得保守、不够强硬。以欧美为例，美国CLOUD 法案打破服务器标准，采取“数据控制者”标准，允许调取不在其本土境内的电信服务提供者提供的数据或个人信息，实质性的扩张执法效力；欧盟数据出境监管法规也具有一定的域外效力，同时通过“数据控制者”的扩张解释延伸域外管辖范围。《个人信息保护法》针对非法侵害，设置了个人信息清单制度，应对境外歧视性禁止、限制或其他类似措施时，可以按照实际情况采取对等措施，但从整体上看依旧呈现出被动、防守的特点，其安全保护水平有待提高。

四、CPTPP数据跨境流动的法律规制策略

在数字贸易规则朝着更高标准、更严要求迈进的特殊时期，CPTPP 为中国数据跨境流动和个人信息保护规制塑造与发展带来了重要契机。秉持着安全与发展并重的法律规制理念，及时调整国内数据跨境流动治理体系，对接国际最新规则，形成具备实质竞争力的立法、执法、监管制度优势，是我国立足数字贸易时代，驱动经济发展，切实维护国家安全、网络空间安全，正确应对个人信息保护风险的必然选择。这既需要我国积极推动CPTPP 相关议题谈判，加强跨国数据流动和个人信息保护方面的国际合作；又要求国内及时调整现有法律规制体系，形成配套的法律监管制度，充分发挥国内法制优势。

（一）对接国际立法理念，把握安全与发展的平衡

中国在对接CPTPP 发展理念之际，必须严守安全与发展这对一以贯之的底线。十四五规划中明确要求“统筹国内国际两个大局，办好发展安全两件大事”。这表明在开放国门之际，不能片面且盲目地追求数据跨境流动自由发展带来的经济效益，更不能全盘接受CPTPP 相关规则，而应加强规则审议力度，特别是关注例外条款的预期效应，做好未来可能带来的风险与挑战准备。第一，在国内立法设计层面，要明确和完善跨境数据流动的保护原则，关注当前发展需求，积极传达开放、共建、共议等良性信号。《中国数字经济发展白皮书》显示，我国数字经济维持蓬勃发展态势，对于全球数字经济发展发挥着不可忽视的推动作用。数字经济基础决定数据立法建筑，这需要我国在接受境外规则理念之际，积极参与全球数据治理体系，借助CPTPP 数据跨国流动治理机制，不断提出中国方案，传达中国数据跨国流动规制理念。第二，明确中国在涵盖个人信息的跨国数据流动议题中的定位和立场。在纪念《世界人权宣言》70 周年座谈会中，习近平表示：“人民幸福生活是最大的人权”。数据人权是基本人权在个人信息保护中的内涵延伸，不具备合法、正当、必要、诚信法治条件的跨国数据流动规则不会使人民感到幸福。我国应厘清个人信息保护在数据跨国流动中的作用和边界，明确直接加间接相结合的保护原则，积极寻求更为广泛的个人信息保护法律框架，以求实现在最小范围内处理个人信息。

（二）建立健全国内法律规制体系，提升对接国际规则的适恰性

考虑到CPTPP 每一缔约方开放水平、法治治理程度、数据贸易规模的差异，我国在对接数据跨境流动规则、保护电子用户个人信息的经济和社会效益时，应建立、健全数据出境安全评估、个人信息保护认证等配套制度，努力探求不同体制间的兼容性机制，明确不同层级的数据管理任务，减少分类分级规定带来的法律冲突。首先，可以上海自贸区、海南自贸港作为试点和依托，采取更为精细的数据出境管理政策。落实《数据安全法》分级分类要求，明确“核心数据”和“重要数据”的边界，构建安全的数据出境管理体系。其次，尽快出台《个人信息和重要数据安全评估办法》《个人信息出境安全评估办法》《数据出境安全评估办法》等安全评估细则。积极探索事中、事后安全评估机制，关注安全审批的规模效益，同时加强法律规范的可操作性，及时修订法律规章或部门政策中与上位法不适的内容。最后，明确数据本地化和数据跨境流动的概念，妥善处理安全与发展关系，重点关切CPTPP 一般加例外规定，充分利用“合法公共政策目标”等国际规则，将跨境个人信息风险控制在合理范围，切实维护国家核心数据、重要数据安全。

（三）完善行业监管体系，增强国际领域的个人信息保护合作

数据跨境流动的有效监管离不开完善的行业监管体系。以金融数据跨境流动监管为例，金融数据出境要求经历了“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”一刀切式的限制，后来逐步放宽并增加了“明示同意”要求、“个人金融信息评估标准”、设置“签订协议、现场核查”等职责义务，以丰富监管手段和途径，保证金融数据在严格监管程序下的合理跨境流动。这种对于事前监管的重点关切与强化，是以严格把控数据跨境的风险为前提，尽可能贴合行业发展实际，更多地考量金融机构跨境开展业务中需要被纳入的因素，更能契合CPTPP 标准。

积极构建包括个人信息保护的跨境数据流动国际层面的合作机制。网络的互通性可以有效缩减CPTPP 成员方之间因文化制度、科技水平以及意识形态之间的差异，我国应该秉持网络空间的人类命运共同体理念，以CPTPP 为未来依托，进一步明确中国网络空间治理方案，加强不同国家之间的合作与协调，建立和维护个人信息保护兼容性机制，达成数据共享谅解备忘录。