RCEP对数据跨境流动的规制及其重要影响

○洪治纲 霍俊先

上海对外经贸大学法学院 上海 201620

目前，随着大数据、区块链、人工智能、云计算、物联网等新一代互联网技术的不断深入发展，世界经济正朝着数字化与数据化的方向转变和发展，数字经济勃然兴起。数字经济的健康发展有利于推动构建新发展格局，有利于实现跨界发展，打破时空限制，延伸产业链条，畅通国内外经济循环①习近平总书记，2021年10月18日在十九届中央政治局第三十四次集体学习时的讲话。。作为数字经济的核心，数据已成为世界经济贸易的主要驱动因素和经济增长的主要动力源。党的十九届四中全会首次将“数据”纳入生产要素的序列，提出推动数字产业化②《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据作为与土地、劳动力、资本、技术并列的生产要素，提出要加快培育数据要素市场，充分挖掘数据要素价值。。数据的价值在于流动，而对流动的数据进行规制是数据治理的核心，也是国家及地区间进行合作或博弈的重要问题。基于此，一方面各国根据本国国情确立了不同的数据跨境流动（Crossborder data flow）相关规则条款，同时也在加快构建并推进自身的数据跨境流动规则体系，对数据的跨境传输确定了不同程度的国内法规制上的流动限制；另一方面，在当今全球经济一体化的趋势下，各个国家都会积极寻求参与或构建数据跨境流动的国际规则体系，数据跨境流动成为许多自由贸易协定（FTA）谈判的重要内容，也因此形成了不尽相同的数据跨境流动国际规制体系方案。

当前，数据跨境流动的规制主要是将相应规则嵌入区域或者多边FTAs中，比如《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）、《美国-墨西哥-加拿大协定》（简称《美墨加协定》，USMAC）、欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR），以及最新签订生效的《区域全面经济伙伴关系协定》（Regional Compre⁃hensive Economic Partnership，RCEP）等。这些自贸协定都对数据跨境流动规则作了明确具体的规定，且都以推广符合自身利益的规则为主，以欧美发达国家为主导，主要代表发达经济体的利益而不发达经济体由于在全球数据治理③全球数据治理（Global Data Governance）是指国家及非国家行为体在全球范围内依一定的规则对全球数据的产生、收集、存储、流动等各个环节，以及与之相关的各行为体的利益进行规范和协调的过程，实质上是生产关系在全球范围内的体现。中处于弱势地位，在规则构建方面话语权不高，只能依附经济强国的规则输出。然而，伴随着RCEP的签署和生效，现有全球数据跨境流动的规制格局发生了重大改变，在数据流动规则构建方面的参与度和制度话语权得到提升,发展中国家因此可以通过制定实施合理反映自身需求的国际数据流动规制方案，与发达国家共同促进全球数据自由安全跨境流动。

在此背景下，本文将基于对当前占全球主导地位的既有数据跨境流动规制格局的梳理，重点对RCEP框架中跨境数据流动规制的具体规则进行分析与论述，对RCEP的合作共治方案的世界影响进行研究，分析未来国际数据治理格局的走向，并在此基础上对中国如何因应的问题进行延伸分析。

一、RCEP框架之外的数据跨境流动规制格局

从20世纪90年代至今，数据跨境流动规则大致经历了三个阶段，从最初以欧盟主导的个人隐私保护到20世纪初美国主导下的数据流动自由的价值取向，再到如今的RCEP着重保护数据跨境安全的亚洲方案，三个阶段的发展均反映出了不同的价值理念。

当前，数据跨境流动的含义主要包含两个层面：一方面，一国可以跨越国界从另一国境内传输、处理和存储数据；另一方面，无需跨越国界，一国境内的数据即可被第三国访问。以上两方面内涵是当前各主权国家或自贸协定制定数据流动相关条款的出发点，因此，对跨境数据流动的规制主要聚焦于两点：一是允许数据在何种程度上自由流动，即数据自由流动的松紧程度；二是伴随数据流动而产生的个人隐私及个人信息保护问题，即在多大程度上实施数据本地化措施。总而言之，数据跨境流动规则是动态调整的，需在数据安全和自由流动之间寻求稳定的平衡点。

为了缓解各国因数据跨境流动规则不一而导致的数据流动壁垒，国际层面的规则应运而生。经济合作与发展组织（OECD）是最早对数据跨境流动做出规制的国际组织，并于1980年通过了《关于隐私保护和个人数据跨境流通指南》（以下简称《指南》）。之后，数据跨境流动的相关问题逐渐成为国际社会重点关注的话题。2013年对《指南》进行修订，进一步明确了各成员国在跨境数据流动方面的权利和义务，即成员国需以合法合理的方式确保数据的自由流动，且不得对此做出限制，除非此次流动违反了该国国内相关的隐私立法。

在全球数据跨境流动规制格局尚未形成的情况下，主要通过区域和多边的自由贸易协定（FTAs）进行规制。数据跨境流动规则主要由欧盟和美国主导，且欧美的数据跨境流动规制体系已延伸至域外，并产生了一定的影响力。CPTPP、USMAC等自由贸易协定不断对数据跨境流动的规则进行修改和完善，从区域的数据治理出发，对数据跨境流动的全球治理做出了制度安排和回应，一定程度上充盈了国际法治，二者所体现的价值理念基本一致，都是奉行高度的自由流动。即便如此，制度的设计和更新依然跟不上数字经济的快速发展，数据跨境流动的制度供给与需求仍不平衡，国际法治匮乏，在全球范围内存在“制度赤字”现象。

（一）欧式的规制路径

由于历史、地理、政治等原因的影响，欧盟格外重视对个人隐私的保护，并且通过立法的形式将个人信息上升到基本人权的维度进行保护。从1973年到1984年全球共有13个国家制定了数据保护法，其中有8个是欧洲国家。欧盟将“个人隐私保护”作为其在跨境数据传输上的基本立场。

欧盟最初将数据流动限制在欧盟境内，但随着数字经济的不断发展，欧盟意识到数据应该进行跨境流动才能抢占数字资源，推动经济发展。基于此，欧盟出台了一系列公约、指令和条例，但依旧保留“人权至上”的色彩。1981年欧洲理事会签署的《有关个人数据自动化处理之个人保护公约》（以下简称《公约》）规定：缔约国不能仅以保护隐私为由限制数据跨境流动。其实，《公约》只是对欧盟区域内的数据流动作出规制，还未考虑到区域外数据流动等相关因素，但其作为历史上第一部对数据跨境流动作出规定的区域性法律文件具有一定的示范和引领作用。1995年，欧盟议会与欧盟理事会通过了《有关个人数据处理的个人保护与所涉及数据自由流通的第95/46/EC号指令》（以下简称《数据保护指令》），要求各成员国将其转化为国内法进行适用，具有较强的法律约束力；首次引入了“第三国”的概念，对区域外的数据传输作出严格规制，引入了“标准合同条款”和“约束性公司规则”，其第4章第25条规定，“只有在第三国确保提供适当保护水平时，才能将个人数据向第三国转移”。2016年，欧盟通过《通用数据保护条例》（GDPR）并于2018年5月25日正式生效，取代了《数据保护指令》。GDPR规定其条款可以直接在欧盟成员国内适用而无需转化，避免了各国成员因理解差异而导致的差异化结果；另外，GDPR对数据保护提出更严格的标准，扩大了条款的域外效力，试图将管辖范围扩大到欧盟以外的主体，对“充分性保护水平”进行完善并建立数据跨境传输白名单制度，明确认定标准和适用条件。欧盟对“充分性认定”主要以第三国的国内数据立法情况及保护程度为认定标准，如该国保护水平与欧盟相当，数据便可自由流动到该第三国，且不需要采取保护性措施。截至2021年4月，国际上符合“充分性认定”并进入欧盟“白名单”的共有12个国家和地区④安道尔、阿根廷、加拿大（商业组织）、法罗群岛、格恩西岛、以色列、马纳岛、日本、泽西岛、新西兰、瑞士和乌拉圭。。如未达到最高水平的同等保护要求，则会采取适当保障措施和例外场景的方式进行数据跨境传输，比如约束性公司规则（Binding Corporate Rules,BCR）和标准合同条款（Standard Contractual Clause,SCC），BCR主要针对在欧盟境内有营业场所的跨国公司。如果第三国均未达到以上保护水平，GDPR还规定了法定例外情形，比如数据主体同意、行使或抗辩法定请求权等。

（二）美式的规制路径

作为资本主义强国，美国的信息技术产业发达，数据资源优势明显，为其经济发展带来了巨大利益，所以美国对数据的流动需求比较大，因此强调数据高度自由跨境流动，但又限制敏感数据的出口并进行严格管控⑤中国电子信息产业发展研究院、赛迪区块链研究院发布的《全球及中国数据跨境流动规则和机制建设白皮书》，2021年8月。，其所体现的是数据经济学理论⑥数据经济学理论认为数据是经济要素，不仅利于商业发展，还能促进国际贸易，具有巨大的经济价值。。由于美国看重数据流动所带来的巨大经济利益，认为硬法会对数据的跨境传输及商业行为产生阻碍，所以其对数据跨境流动的规制和个人信息保护散见于各个行业中，并未在法律层面形成统一有序的法律规制体系。

美国为加快数字经济的发展，推动数据在世界范围内的跨境自由流动，在进行FTAs谈判时不断拓展和深化其在市场领域的自由价值理念，主张将数据跨境自由流动作为原则性条款纳入其中以限制数据传输壁垒。在WTO框架下对数据跨境流动尚未形成统一规制的前提下，FTAs的相关规则对WTO规制体系的形成提供了思路和基础，而美国正试图将其自由价值理念进一步推向WTO，掌握全球范围内数据跨境流动规制的话语权。《跨太平洋伙伴关系协定》（TPP）是重要的国际多边经济贸易谈判组织，TPP将“电子商务”专列为一章，极大地反映了美国的数据利益诉求——充分实现数据的自由流动。虽然有些条款设置模糊，没有明确清晰的适用规则，但却是美国第一次将自己的数据流动理念推向域外，对于其构建世界范围内的数据治理话语权具有重要作用。后来美国退出TPP，其余国家在此基础上达成《全面与进步跨太平洋伙伴关系协定》（Compre⁃hensive and Progressive Agreement for Trans-Pacific Partnership，CPTPP）。CPTPP承袭了TPP 95%的内容，且对数据跨境流动的规则只做了形式上的修改，这实质上体现的是数据实力强大的国家向外输出其法律制度，忽视实力弱小国家的利益。另外，美国采取多重措施对敏感个人数据的传输进行限制。例如，2020年2月通过的《外国投资风险审查现代化法案》将敏感数据视为国家安全的重要部分，并对敏感个人数据的跨境传输及交易进行投资安全审查；2021年6月，美国总统拜登签署了《关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令》，该命令指出外国对手可以从应用程序中访问和捕获用户的大量信息，为防止发生国际安全，美国商务部应当对与外国对手有关联的应用程序进行安全评估等。

综上不难看出，欧美对数据跨境流动的规制路径不同，根本原因就在于数据治理的理念不同。在宏观层面，二者在数据保护和数据自由流动的平衡点上选择不同，美国倾向数据跨境流动自由，反映了其对经济利益的追求，欧盟倾向数据保护，反映其对个人隐私的保护；在微观层面，美国和欧盟在不同时期、不同阶段的政策变化体现了数据自由流动和数据保护这个平衡点的转移，比如欧盟从《公约》到《数据保护指令》再到GDPR，体现出平衡点不断移向数据保护。事实上，RCEP在数据保护和数据自由流动上选择了与欧美不同的平衡点，笔者会在后面的篇幅中进行阐述。

从欧美数据跨境流动的规制路径不难看出，由于经济、政治、文化之间的巨大差异，不同法域的国家对数据跨境流动条款的设置和保护存在差别。当前较为完善的规制格局依旧停留在区域层面，在全球层面还未形成健全的国际法治格局。

二、RCEP数据跨境流动规则述析

2020年11月15日，历经8年时间正式签署的《区域全面经济伙伴关系协定》（RCEP）涵盖15个成员国，包括发达国家和发展中国家，覆盖22.64亿的人口，29%的全球经济总量和38.3%的全球国际直接投资，目前是世界上覆盖人口最多、商业贸易规模最大、发展潜力巨大的自由贸易协定；同时，也将成为继欧盟（EU）、CPTPP、美墨加自由贸易区（USMCA）之后第四个全球主要区域性自贸区。RCEP的签署及迅速批准生效，真实地反映了各国对一个公平和开放的多边贸易制度的坚定承诺，将会有效遏制“单边贸易保护主义”和“逆全球化”的发展态势，并且有利于区域自由贸易及多边体制的完善。

RCEP在最初谈判时，并没有将数据跨境流动作为其谈判的内容，但随着数字全球化的发展，越来越多的自贸协定将数据跨境流动条款置于FTA中。联合国发布的《2021年数字经济报告——数据跨境流动和发展：数据为谁而流动？》指出：数据跨境流动在地理分布上主要集中在“北美—欧洲”和“北美—亚洲”，并且在绝大多数国家之间存在极为明显的“数字鸿沟”；此外，中、美作为全球数字经济规模极为庞大的两个国家，拥有全球一半的超大规模数据中心⑦联合国国贸会议网站：https://unctad.org/webflyer/digital-economy-report-2021。。相比之下，东盟国家的数字经济水平较为落后，但国际管理发展研究院《2019年全球竞争力报告》指出，东盟国家拥有庞大的潜在数字用户群体，具有发展数字经济的深厚潜力，预计到2025年，东盟的数字经济规模会达到3000亿美元，将会成为东盟GDP增长的主要动力源。基于此，从实际需求及整体趋势的角度出发，亚洲地区也需要一个高水平高质量的自贸协定来规制数据流动，以促进数字经济的良性发展，因此各缔约国将数据流动列入RCEP电子商务谈判之中，并最终达成了共识。

另外，在WTO数字贸易规则遭受严峻挑战的情况下，RCEP对此作出了制度性和突破性的回应，这是继WTO和CPTPP后又一具有代表性的多边数据跨境流动规则的重要尝试。首先，RCEP明确数据跨境的自由流动，但出于安全考虑，针对涉及公共政策目标和国家基本安全利益的数据跨境流动，各成员国可采取相应的措施将数据的访问、处理和存储限制在境内，即数据本地化规则。这是第一次将基本安全利益例外条款纳入数据跨境流动规则当中。此外，针对日益突出且无法规避的“长臂管辖权”问题作出了制度设计和安排。

RCEP关于数据跨境流动的规则条款主要分布在第八章“服务贸易”和第十二章“电子商务”当中⑧RCEP第八章对数据跨境流动的规则分布在附件一“金融服务”和附件二“电信服务”当中。（见表1）。由于涵盖的成员国较多且数字经济的发展水平和规模差异较大，RCEP本着开放的态度，从利益最大化的角度出发，充分尊重和包容各成员国的法律和政策，制定了允许数据跨境自由流动和限制数据本地化的条款，即数据自由安全流动原则，将“数据自由流动”作为基础性原则，将“数据安全流动”作为例外性原则，兼顾数据的自由流动和充分保护。RCEP没有对成员国施以强制性的义务，实质上体现的是一种开放和包容的理念，从而达到共治的效果。其所选择的平衡点介于欧美之间，不是一味地限制数据流动而保护个人隐私，也不是仅仅追求数据自由流动带来的经济利益，而是注重安全的数据跨境流动，兼顾了数据保护和自由流动。

表1 RCEP数据跨境流动规则概览

（一）确立数据跨境自由流动原则

RCEP第十二章“电子商务”第十四条对计算设施的位置作出了规定，该条第一款和第二款规定：缔约方认识到每一缔约方对于计算设施的使用或者位置可能有各自的措施，包括寻求保证通信安全和保密的要求；但缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将计算设施置于该缔约方领土内，作为在该缔约方领土内进行商业行为的条件⑨RCEP条款内容引用自中国自贸区服务网中的《区域全面经济伙伴关系协定》（RCEP）。。第十五条“通过电子方式跨境传输信息”第一款和第二款规定：缔约方认识到每一缔约方对于通过电子方式传输信息可能有各自的监管；但一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。

以上两项条款均表明，缔约方不得对计算机设施的位置和数据的跨境传输进行限制，且对在其领土内进行商业活动的另一缔约方不得采取“计算机设施本地化”的措施，即禁止实施数据本地化的行为，因此，这里的数据流动可以理解为“仅限于商业数据进行跨境流动”。同时，各缔约国不得对数据跨境流动设置不必要的阻碍造成数据流动壁垒，应当遵循自由流动原则，实际上，这是RCEP对成员国设定的核心义务。

RCEP第八章“服务贸易”附件一“金融服务”第九条“信息转移与信息处理”第一款和第二款规定：每一缔约方可就信息转移和信息处理设置其管理要求；但不得对其领土内的金融服务提供者进行日常运营所需要的信息转移或处理进行阻止，包括通过电子方式或其他方式进行数据转移。附件二“电信服务”第四条“接入和使用”第三款规定：每一缔约方应当保证，另一缔约方的服务提供者可以使用公共电信网络和服务在其领土内跨境传输信息，包括此类服务提供者的公司内部通信，以及接入任何缔约方领土内数据库所包含的信息，或者以机器可读形式存储的信息。

通过以上条款可以看出，RCEP对重要的金融电信数据的跨境流动并未作出限制性规定，允许自由跨境流动，这进一步反映出RCEP成员国在谈判时所持的开放态度。

（二）确立数据跨境基本安全利益例外原则

RCEP所确立的数据跨境流动例外原则实质上是对数据本地化存储的有条件限制，即数据传输限制要求，在一些特定的情形下，对跨境流动的数据施加一定的条件。实施数据本地化存储主要是源于传统的属地保护主义，RCEP各成员国的国情和发展状况不同，在实施数据本地化方面法律政策各不相同，数据本地化存储的程度也各不相同。

数据本地化存储的程度可以分为以下三类：第一，没有任何数据本地化要求；第二，数据的副本需储存在境内，相关行为方可在境外传输和处理数据，此类别主要针对电信元数据和业务财务数据，目的通常是确保监管需求；第三，数据只能在境内访问、存储及处理，严禁出境。例如，澳大利亚2012年颁布的《个人控制的电子健康记录法》（The Personally Controlled Electronic Health Record，PCEHR）要求部分个人电子健康信息必须由本地的数据中心进行存储、加工及处理，属于最严格的数据本地化措施；再如韩国的《个人信息法》规定，只有获得信息主体的明确同意才可将个人信息传输到境外，否则视为侵犯个人隐私；同样，马来西亚《个人信息保护法》也作出了类似规定，除非马来西亚政府同意，否则不允许个人信息转移到马来西亚境外；印度作为新兴的数字经济体，极度重视数据跨境流动对国家安全和社会经济利益的影响，严禁公共数据向境外传输，印度央行要求外国支付公司将所有涉及印度客户交易相关信息全部存储在印度境内的服务器上；越南国会于2018年6月通过了《网络安全法》，要求境外的互联网公司需在越南设立分支机构或代表处，将越南用户的个人信息存储在越南境内等。

RCEP充分尊重了不同国家的发展差异和监管差异，允许数据自由流动的同时，作出了安全流动的例外性规定，这是以往电子商务协定中不曾有过的规定。

RCEP第八章“服务贸易”附件一“金融服务”第九条“信息转移与信息处理”第三款规定：第二款中的任何规定并不阻止一缔约方的监管机构出于监管或审慎原因可要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律法规，只要此类要求不被用作规避一缔约方在本协定项下之承诺或义务的手段。附件二“电信服务”第四条“接入和使用”第四款规定：一缔约方对数据跨境可以采取必要措施，以保证信息的安全性和机密性，并且保护公共电信网络或服务终端用户的个人信息，只要该措施不以对服务贸易构成任意的或不合理的歧视或者构成变相限制的方式实施。

RCEP第十二章“电子商务”第十四条“计算设施的位置”第三款和第十五条“通过电子方式跨境传输信息”第三款均规定：缔约方为实现合法的公共政策目标和国家基本安全利益可对数据跨境传输采取必要的措施，只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式。其他缔约方不得对此类措施提出异议。

从另一方面来说，要实施例外性原则的规定，就要符合以下四个条件：一是该国所实施的公共政策或者国家安全受到或将要受到损失；二是不构成任意或者不合理的歧视；三是不影响正常的贸易秩序；四是不超过所采取措施的最大限度。只有符合上述四个条件，缔约方为保护公共政策目标和国家基本安全利益方可采取该措施进而保障数据跨境的安全流动。

通过以上条款可以看出，RCEP考虑到了数据流动的安全性并作出例外性规定，如一缔约国为了维护国家基本安全利益或者保护公共政策目标可采取必要性措施限制数据流动，且该必要性措施应由数据流出国决定，其他缔约国对此措施不得提出任何异议。也就是说，一缔约国为了实现合法的公共政策目标或者维护国家基本安全利益，以及保护用户个人信息，可以采取限制数据出境、实施本地化存储等措施。另外，RCEP的本地化存储程度属于前述第二类别，既没有采用像美国那样无数据本地化要求的条款，也没有采用像澳大利亚那样最严格的条款。可以看出，RCEP各缔约方仍以安全为首要原则，这不仅赋予缔约方在采取措施方面拥有一定的自由裁量权，而且还强调尊重数据所在国的数据主权、网络主权，以及各成员国对数据治理的自主管理权，缔约方的金融监管机构在遵守相关义务的前提下具有数据存储、保留记录副本等监管权力。

需要注意的是，安全例外条款是允许缔约国以维护国家安全和公共政策目标而免除自由贸易协定所规定的义务的特殊制度安排，但RCEP对“基本安全利益”及“公共政策目标”的内涵只进行了概括性阐述，并未做出清晰明确的解释，具有一定的模糊性和自裁性，使之成为一项“动态”的国际法规则，这需要成员国基于善意原则行使自由裁量权；但与GATT的例外条款相比具有一定的进步性，RCEP例外条款的实施不得出于对成员国的歧视或商业贸易限制。另外，RCEP考虑了各成员国发展的差异，有利于实现数据跨境流动和数字贸易发展双重目标，且减少各成员国国内法与RCEP规则的冲突，实现两者的兼容。

（三）对长臂管辖权的问题作出制度设计和安排

“长臂管辖权”起源于美国的民事诉讼，通常是指被告不在法院所在地，但只要与该法院具有某种程度的最低联系，该法院就具有管辖权。后来，美国不断扩大长臂管辖的范围并一直延伸至域外，对跨国数据流动也产生了影响。当下，各个国家间的数据并非均匀流入流出，并且大多数情况下数据存在“分离”状态，即数据所有者和数据控制者的分离，如果一国根据“属人管辖原则”跨越国界直接获取本国存储在境外的数据，会引发规避司法主权的问题，还会加剧数据跨境流动管辖权与执法权的冲突，使得“长臂管辖”问题成为国际法治的又一新议题。

美国为了调取其存储在海外的海量数据，已将其管辖权的长臂伸到了域外数据管控上。2018年3月23日，美国通过《海外数据合法使用权明确法案》（Clarifying Lawful Overseas Use of Data Act.），变“属地管辖原则”为“属人管辖原则”，废止“服务器所在地原则”，实行“数据控制者原则”，扩大其调取境外个人数据的权力，明确美国当局的执法机构可以调取美方位于海外的远程计算机所产生的一切数据，且网络运营商具有配合义务；但其他国家想要调取存储在美国境内的数据，则须通过美国政府的严格审查，达到“适格的外国政府”标准，舍弃了传统国际法区际司法协助条约。这相当于变相禁止数据本地化，进一步扩大数据鸿沟，损害不发达国家数据利益。

RCEP成员国在谈判时意识到此类问题，针对数据流动的长臂管辖权问题作出了积极回应。在RCEP第八章附件一、附件二和第十三章均有所体现。例如：①一缔约方领土内的金融服务提供者为进行日常商业运营所需而转移数据，该缔约方不得对其进行阻拦或设置障碍；但是，金融服务提供者不得通过其他途径进行非运营所需的信息转移和信息处理，途径包括但不限于通过中介机构或者作为中介机构。②在刑事诉讼中，作为证据的信息应该是通过外交途径或者根据缔约方的法律政策而获取的信息。RCEP的这些条款为成员国应对长臂管辖权的问题提供了思路，为抵制美国无限长的长臂管辖问题提供了制度设计。

通过分析上述条款不难发现，RCEP在“数据跨境流动”和“数据本地化”之间找到了一个平衡点，并且各缔约国就此条款达成一致，表明各国做出了更为开放的决策。另外，RCEP的数据跨境流动的某些条款内容与其他区域自贸协定如与CTPPT、USMAC的相关规则一定程度上有所趋同，这也表明，数据流动成为国际治理领域的共识性问题，引起越来越多国家的关注。因此，在规则趋同的情况下，某项条款的原则或规则在全球范围内被作为“法律确信”和“前后一致的普遍反复适用”，被其他国家所一般接受并成为对其他国家具有约束力的制度，极有可能发展为“国际习惯法”而具有普遍约束力。随着全球交往和贸易的日渐密切，规则趋同和对共同规则的现实需求会日益兴盛，在区域及多边自贸协定的推动下，自贸条约极有可能发展为国际习惯法。

三、RCEP对全球数据跨境流动规制格局的影响

RCEP是继WTO、CPTPP之后对跨境数据流动规则作出积极回应的区域自贸协定，RCEP的合作共治方案一定程度上缓解了数据跨境流动规则碎片化和制度供给不足的压力。RCEP成员国涵盖发达国家和不发达国家，各国以数据主权为基础，从相互尊重的角度出发制定数据跨境流动规则，以合作促进数据有序跨境流动，并共享数据发展带来的红利。RCEP的数据跨境流动规则具有明显的进步性，不同于欧美，也因此对现有全球数据跨境流动规制格局产生了重要的突破性影响。

（一）RCEP合作共治方案的进步性

虽然世界贸易组织（WTO）作为全球最大的多边贸易体系，拥有完备的国际贸易法律制度和争端解决机制，而且其成员国总量远超CPTPP和RCEP，但是WTO由于诞生于20世纪90年代而没能充分考虑到互联网蓬勃发展带来的新的国际贸易规则问题。尽管2019年WTO成员对数据跨境流动问题进行数次谈判，但仍然没有形成统一的结果，全球的数据跨境流动规则雏形未见。相反，区域性的自由贸易协定（FTA）对数据跨境流动的规制问题作出了有效回应，主要是以美国和欧盟缔结的FTA为主。美国的规制路径以经济驱动型为主，强调数据跨境的高度自由流动；欧盟的规制路径则以隐私保护型为主，强调把数据作为一项基本人权，数据的跨境流动应当在保护个人隐私的框架下进行。尽管欧美的规制路径有所不同，但二者规制的发展趋势模式上基本相同，即他们都倡导更高水平的数据跨境流动规则，都试图将有利于自身发展的数据规则在全球范围内推广，也都是本着非此即彼的“零和”博弈思维。而RCEP的数据跨境流动规则是一种多国合作共治的包容性方案，本质上体现了数据命运共同体的理念，具有明显的进步性，具体简述如下：

一方面，RCEP缔约国在谈判时考虑到各缔约国的经济发展差异和实施规则的难易程度而设置了灵活性的差别对待条款，表明RCEP各缔约国已经意识到国际社会存在“数据鸿沟”，为发展缓慢的国家适应数据跨境传输的规则设置了缓冲期，尽可能平衡发达国家与发展中国家数据跨境流动所带来的红利，也为不发达国家的制度适应和调整预留了一定的时间。例如，RCEP在部分章节注明柬埔寨、文莱达鲁萨兰国、缅甸、老挝人民民主共和国、越南等国在该协定生效之日起三年或五年内不得被要求适用本款的相关规定，个别国家确有必要时还可延长三年或五年。

另一方面，差别对待条款的设置更加突显RCEP所倡导的安全的数据跨境流动。RCEP成员国包含日本、韩国、新西兰等发达国家，也包含柬埔寨、老挝等不发达国家，还包含中国这样经济实力雄厚的发展中国家。各国域内法对数据跨境流动的规则不一，发达国家的数据跨境流动规则设置比较宽松，不发达国家的数据跨境流动规则较严；加之部分国家既是RCEP又是CPTPP的成员国⑩RCEP和CTPPT重合国家共有7个：日本、澳大利亚、新加坡、马来西亚、新西兰、越南、文莱。，必然会受CPTPP数据流动规制框架的影响并将高度自由流动规则原理带入RCEP的谈判之中。另外，相比美国模式更为进步的是，RCEP设置国家基本安全利益作为数据跨境传输的例外条款，实行数据充分保护和数据自由流动的政策，这在美国看来会严重阻碍数据自由流动，与其主张开放的数字贸易环境相违背。

此外，RCEP的大多数缔约国作为新兴主体参与数据跨境流动规则的制定，一定程度上会给掌握规制话语权的发达经济体造成压力，催生新的竞争格局和博弈过程，客观上推动全球数据跨境流动规制体系的演进。

总而言之，RCEP以数据主权和数据安全为本，尊重不同国家的发展差异，支持安全高效的数据跨境自由流动规则，并且不同类别的国家在参与数据治理时都有一定的话语权，这充分体现了RCEP区域数据治理的包容性、合作性和共治性，区别于欧美所倡导的单一性规制格局及其惯用的博弈“零和”思维。RCEP数据跨境流动规则使数据跨境流动的区域规制不断趋于和谐，并以新的区域治理格局推动全球数据治理体系的合作共治走向，使全球数据的国际法治由“制度竞争”走向“制度合作”，这更加符合国际社会中发展中国家的立场和诉求，有利于为数字经济发展构建更加开放、公平、透明的国际营商环境，有助于推动区域及全球数字经济稳妥有序健康发展，并最终推动构建全球数字命运共同体。

（二）RCEP合作共治方案对现有格局的突破

1.对欧美格局的突破。美国和欧盟分别依靠各自在数字贸易领域和个人隐私保护领域的主导地位制定并引领当前数据跨境流动的秩序与规范。美国奉行数据自由流动，淡化数据主权；欧盟强化数据主权，发展单一数字市场，强调欧盟区内数据自由流动，严格限制区域外数据流动，通过限制流动条件遴选数字贸易伙伴。虽然欧美规则格局的侧重点不同，但都在朝着数据自由流动的方向发展，RCEP却与之相异。

首先，RCEP是立足亚洲且由亚洲国家参与制定的FTA，美国和欧盟没有参与谈判，也不是RCEP的成员国，这表明非发达国家已经意识到数据跨境流动的重要性。中国和东盟具有海量的数字资源，为维护自身的数据利益开始积极主动参与并主导区域FTA的谈判，RCEP整合了区域力量将缔约国国内的有益经验以条约的形式向外输出，尤其是中国，将内在的包容性规则推向域外。另外，也表明没有欧美参与依然可以制定出较为完善的数据跨境流动规则，甚至优于欧美，并为全球数据跨境流动统一规则的形成贡献了亚洲方案，引领数字治理的发展趋势。其次，RCEP具体的流动规则也与欧美不同，其关注安全的数据跨境流动更加符合世界多数国家的利益。在后疫情时代，拥有海量数字资源的国家作为跨境数据服务生产者和消费者的地位正在崛起，大量的新兴经济体开始加入数据跨境流动规则制定行列，制定并推行符合自身利益的规则体系，对欧美的规制格局产生冲击。最后，继欧美“安全港”协议无效后签订的“隐私盾”协议生效5年后，2020年7月16日，欧盟法院宣告欧美“隐私盾”协议无效，跨大西洋的数据跨境传输链断裂○11来源中华人民共和国商务部网站：欧盟法院裁定欧美“隐私盾”协议无效(mofcom.gov.cn)。，表明欧美的数据跨境流动规则存在一定的弊端，跨境流动的数据依然需要安全作为保障，并更加理性地思考如何找准数据保护和数据自由流动的平衡点。

所以，RCEP数据跨境流动规则的形成将会有力冲击欧美的相应规则，甚至打击单边数字贸易战略体系，有利于亚洲国家引领自身的数据跨境流动规制方案；在全球数据治理层面，只有保证不同类型的国家平等参与，拥有制度话语权，才能构建新的数字贸易秩序，推动更加公平、更加开放、更加包容的国际数字法治格局。

2.对WTO数据流动规则谈判的影响。WTO作为世界核心贸易体制，为国际贸易的发展提供了保障，但随着多边主义的衰退和区域保护主义的兴起，加之美国对WTO机制完善的阻挠，WTO的功能机制受损，并且对全球热点问题难以形成统一规则。鉴于此，中国、日本、欧盟等国家和地区多次向WTO提出改进方案，此举也表明WTO仍是当下进行规则统一和处理纠纷的有效多边机制。2019年1月25日，伴随着《关于电子商务的联合声明》的达成和签署，WTO成员国启动了有关电子商务条款的诸边谈判工作，旨在推动数字经济发展，建立新的国际贸易规则。自WTO启动谈判以来，世界主要发达经济体在谈判中占主导地位，不同类型的国家在数据跨境流动方面意见不一。WTO关于数据跨境流动问题的谈判是基于已有规则及其缺陷进行，因受制于欧美在数字领域的优势地位和制度建设话语权并未达成一致结果。美国极力主张数字贸易自由化，降低数字贸易障碍，主张数据跨境自由流动和禁止数据本地化的规则和法律政策，认为只有自由的数据流动才能推动全球数字经济和数字贸易的发展，其他发达经济体与美国持基本相同的观点；不同的是，欧盟、加拿大、日本等其他发达经济体在美国数据流动理念的基础上还增加了数据跨境流动监管这一考量要素。欧美等发达经济体的政策一定程度上会损害不发达经济体的利益，而且还会进一步加剧全球已有的数字鸿沟。

发展中国家也意识到数据跨境流动的重要性，但并没有一味强调数据自由流动的重要性，而是从安全性角度出发，主张数据跨境自由流动应当受到一定的例外条款限制，比如国家利益和公共政策目标的保护。显而易见，RCEP包容性的数据跨境流动规则主张数据跨境安全自由流动，兼顾不同类型国家的数字发展水平。随着RCEP的签署和生效，数据跨境流动规则在区域内的实施情况必将对WTO电子商务的谈判产生一定影响。RCEP数据跨境流动规则不仅在亚洲范围内确立了符合成员国利益的规则，而且将会促进该领域国际社会层面规则的进一步完善和融合。RCEP作为全球四大贸易协定之一，通过制定区域性的数据跨境流动规则，以临界数量的开放式诸边谈判迂回推动WTO回归多边谈判，由此对WTO数据跨境流动规则的谈判起到助推作用，加快形成统一的规制格局，其合作共治方案为WTO电子商务的谈判提供了借鉴，打开了新思路，更加关注发展中经济体的立场，以多方合力共同推动WTO框架下的数据治理格局的形成。

四、中国因应：保护且开放

（一）中国与RCEP的契合点

《中共中央关于制定国民经济和社会发展第十四个五年计划和二○三五年远景目标的建议》明确提出要发展数字经济，建立跨境传输等基础制度和标准规范，积极参与全球规则的制定。RCEP是我国首个嵌入数据跨境流动规则条款的自由贸易协定，且我国率先在国内完成核准程序进一步凸显了我国参与全球数字贸易规则制定的决心，对于提升我国在国际社会的话语权及参与全球治理的能力具有重大作用。

RCEP有条款规定，缔约方可基于基本安全利益采取任何措施禁止数据跨境流动，我国的数据跨境流动理念与此基本相同。中国虽然拥有海量的数字资源，但因处于起步阶段，对数据的跨境流动规制并未形成统一的法律法规体系，而是散见于各行各业的部门规章中，对数据流动及治理的规制体系不完善。另外，我国虽倡导数据跨境自由流动原则，但在一定程度上为实现数据保护而实施数据本地化，限制国内数据向境外传输。后疫情时代，数字经济发展更加迅猛，数据流动不断扩大和加深，上层建筑积极调整以适应数字经济飞速发展所带来的机遇和挑战。无论是中央还是地方，都在积极探索安全有序的数据跨境流动规则（见表2），从立法层面上进行规制，比如在国家层面，通过了《数据安全法》《中国（上海）自由贸易试验区临港片区总体方案》《海南自由贸易港建设总体方案》等；在地方层面,通过了《上海市数据条例》《上海市全面深化服务贸易创新发展试点实施方案》，要求探索数据跨境流动分类监管方式等。我国法律法规等的政策内容倾向与RCEP相吻合，且RCEP的例外条款在国家安全的基本框架下保留较大限制的同时还坚持了数据跨境自由流动的前进方向，为我国规则的构建提供了思路和模式。

（二）对中国的启示

国际数据公司（IDC）发布的《数字化世界——从边缘到核心》白皮书和《IDC：2025年中国将拥有全球最大的数据圈》白皮书的主要研究成果表明，2018年至2025年中国的数据圈将以30%的年平均增长速度领先全球，比全球高3%；预计在2025年中国数据圈增至48.6ZB，占全球27.8%，成为最大数据圈，而数据圈中需要被安全保护的数据将从2018年的56%增长至66%○12IDC：预计到2025年中国将拥有全球最大数据圈，https://baijiahao.baidu.com/s?id=1626073406812467481&wfr=spider&for=pc。。数字经济下对全球数据跨境流动的规制不仅是出于经济利益，更重要的是保护国家利益。因此，在当前的数据治理体系下，我国应以RCEP为外在推动力对国内相关的数据跨境流动规则进行修改完善，以此促进数据治理体系的良性发展，加快推动数据跨境自由流动，加强与国际社会的合作，不断扩大数据跨境流动的规则交汇，实现规则趋同，推广数据跨境流动治理中国方案。

在国家基本安全观的指导下扩大数据跨境流动的开放水平。2014年4月15日，国家主席习近平在中央国家安全委员会第一次会议上首次提出“坚持总体国家安全观”，走中国特色国家安全道路，随后颁布的《网络安全法》中也明确了新时代的国家安全。我国《网络安全法》和《数据安全法》都明确规定，重要数据应当存储在境内，且在适当的程度上实施数据本地化，但并不意味着阻碍数据的自由流动，毕竟《网络安全法》对国际数据治理的合作预留了谈话空间。

经济全球化的视野下，开放型经济的重点在于提升经济的互联互通。我国作为数据大国及对外投资大国，在新一轮的对外开放体系中，关键在于实现数据跨境传输的安全、畅通、有序和高效，所以，我国应当着重在数据流动和数据保护之间寻求更平稳的平衡点。

一方面，应当注重RCEP例外条款的衔接问题，谨慎对待“数据跨境自由流动原则”和“非必要禁止数据本地化”条款，从严适用数据跨境流动的例外条款，否则会违背条约义务，破坏数据的自由流动。另一方面，通过对RCEP数据跨境流动相关条款的解读可以发现，数据流动总体呈现出自由流动的趋势，未来FTA和RTA有关数据问题的谈判倾向必然是更加开放和自由的。以后我国与其他国家或地区商谈新的FTA时，可以考虑将RCEP的相关条款作为参考并适时调整，另外，还应当对国内的数据跨境流动规则进行修改整合，以适应未来全球数据规制的趋势，为我国参与全球规则制定做好充分准备。

表2 我国数据跨境流动相关法律政策

我国可开展数据跨境流动试点探索工作，以上海临港新片区、海南岛等地区为依托建设“数据自由港”，利用区域内开放创新的优势资源，把握创新方向，突破难点，冲破原有禁锢，在数据跨境流动安全评估、数据保护能力认证等方面积极创新，形成“开放即保护”的施策理念，避免数据流动壁垒性规则的设置，探索符合中国国情的数据流动方案。比如，依托北京、贵阳等大数据交易所加快探索数据交易及数据跨境流动机制；利用海南岛作为“税收洼地”、外资资源丰富、跨国集团多且集中等优势，率先探索制定约束性公司规则，解决跨国集团在数据传输中可能产生的隐私保护等问题。

通过上述路径，在更大范围和更多领域内建立高标准的数据跨境流动新规则，构建内外畅通安全的新体系，形成可借鉴、可复制、可推广的经验，打造数据治理“中式模板”。

五、结论

在制度型开放的背景下，数字经济飞速发展，数据的跨境流动成为常态，在当前多边规则停滞不前的情况下，区域层面的规则制度不断完善，以RCEP为代表的区域数据流动规则深刻地反映出全球数据跨境流动规则不应完全由发达经济体主导并制定，各类主权国家都应有参与权和制度话语权。RCEP所折射出的合作共治理念将会引领全球数据治理的价值追求，是对现有规制格局的突破和创新，也对WTO相关规则的谈判提供了全新的思路。此外，RCEP的签署和生效对我国来说只是积极参与全球规则构建的一个新起点，作为数据资源大国，我国应当以此为契机，在坚持基本国家安全观下，提升数据跨境流动的水平，实现数据流动和数据保护的双赢格局。未来，各个主权国家应当共同努力，向国际社会提供充足高效的数据治理公共产品，构建安全有序的全球数据治理规则，促进全球数字资源的开放和共享，推动全球数据跨境流动朝着更加包容、贯通、开放的国际法治化方向发展。