中国数据跨境流动规则与CPTPP的对接研究

王玫黎 陈 雨

2020年11月20日,国家主席习近平在出席亚太经合组织第二十七次领导人非正式会议时提出中国将积极考虑加入《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,以下简称CPTPP)。习近平主席的谈话在战略上回答了“要不要加入”的问题,充分表明了中国坚定捍卫多边主义、坚持构建开放型世界经济的决心。2021年9月16日,中国商务部部长王文涛向CPTPP保存方新西兰贸易与出口增长部部长奥康纳提交了中国正式申请加入CPTPP的书面信函。中国正式开启了加入CPTPP的谈判进程。

加入了CPTPP即意味着缔约方应当信守承诺,积极行使多边条约赋予的各项权利,同时也要认真履行条约为其设置的各项义务。在做出承诺之时,国际法预设申请方是在已经了解了其加入条约后要履行哪些义务的基础上才做出的意思表示。这就要求中国在现阶段充分考虑CPTPP中的各章节规定,认真评估条款对接可能为国家经贸的发展带来的各种影响。总之,“中国现行国内立法是否达到了CPTPP设置的高标准”涉及“能不能加入”的问题,是今后一段时间内中国理论界和实务界应当讨论的重点议题。考虑到CPTPP体系庞杂,本文仅选取其中一个内容,即数据跨境流动规则,将其与国内现行规则进行比对,尝试对接两套规则,并在这个方面做出“能不能”的回答。

一、中国数据跨境流动规则的基本内容

随着我国《个人信息保护法》的正式生效,一个以《国家安全法》为核心的数据治理法律框架已经基本形成,这个框架以《网络安全法》 《数据安全法》 《个人信息保护法》为主要内容,以一系列行政法规、部门规章为补充,其中部分内容集中反映了中国在治理数据跨境流动活动时的思考,在全球范围内具有示范性和启发性,是一个带有鲜明特色的中国方案。根据主体的不同,现行框架在内容上大致可以划分为四个类别,它们构建起了中国数据跨境流动①在全面阐述中国数据跨境流动法律框架之前,有必要明确几个用语的含义:一是数据,二是信息。《现代汉语词典(第7版)》将数据定义为“进行各种统计、计算、科学研究或技术设计等所依据的数值”。《汉语大词典》将信息定义为“事物发出的消息、指令、数据、符号等所包含的内容”。由此可见,在汉语语境中,信息更侧重于强调一种载体所承载的内容,数据则更偏向于一种传递内容的形式。基于“信息”形成的复合合成词——“个人信息”在本质上是以数值形式呈现的一种表达自然人个人身份的内容,在中文语境下,使用“个人信息”与“个人数据”并无明显不同的用意。我国现行数据治理法律框架选择“个人信息”一词更多体现着汉语用语习惯的考量。最后,从其他国家和地区的外文表达上看,“personal data”的引用频率远远高于“personal information”。从术语译入的角度看,中国大陆学者对“personal data”的个性化理解(将“个人数据”翻译成“个人信息”)对术语的中文名称定名产生了较大影响,但实质上中文语境下的“个人信息”就是指的“personal data”。鉴于此,本文认为法律概念下,“信息”和“数据”没有严格区分的必要,“个人信息”可以理解成“个人数据”,本文将“信息”和“数据”混用并无用意之别,只是基于用语习惯的一种表达。的法律化表达(见表1)。

表1 中国数据跨境流动规则基本内容

(一)一般数据处理者处理一般信息

随着互联网技术的全面普及,以企业法人为主要代表的一般数据处理者成为了数据跨境流动的最主要驱动者。根据《个人信息保护法》第38、39条,当一般数据处理者处理一般个人信息时,应当满足四个基本条件:第一,当客体为个人信息时,数据处理者应当取得个人同意;第二,数据处理者系基于业务需要而开展的数据跨境流动;第三,数据处理者有义务保障境外接收方的有关数据活动同样达到《个人信息保护法》的保护标准;第四,数据处理者应当满足法定四种情形②根据《个人信息保护法》第38条的规定,因业务需要确需跨境的应当满足以下条件之一:通过国家网信部门组织的安全评估,或经过由国家网信部门规定的专业机构的专门认证,或按照国家网信部门制定的标准合同与境外接收方订立合同并以此确定双方的权利与义务,或法律、行政法规或国家网信部门规定的其他条件。之一。以上内容,可以被视为中国数据的一般跨境流动规则。

(二)一般数据处理者处理重要数据

《网络安全法》和《数据安全法》将数据划分为重要数据和非重要数据。虽然我国法律没有针对“一般数据处理者处理重要数据”的情况做出规定,但基本立场仍可推得。《数据安全法》第24条确立了数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查。 《汽车数据安全管理若干规定(试行)》第10、11条要求汽车数据处理者在开展重要数据处理活动时自主评估风险,确因业务需要向境外提供重要汽车数据的,应通过国家安全评估。 《网络安全审查办法(征求意见稿)》第6条要求掌握超过100万用户个人信息的运营者赴国外上市前必须向网络安全审查办公室申报网络安全审查。这几条规定中出现了两个概念:一是数据处理者自主开展的风险评估,即自评估,二是国家网信部门组织的安全评估(也可以理解为安全审查)。结合数据跨境流动的一般规则,不论是自评估还是接受国家的安全审查,一般数据处理者开展重要数据跨境流动活动时应满足以下几个条件:第一,当客体为个人信息时,数据处理者应当首先取得个人同意;第二,数据处理者系基于业务需要而开展重要数据跨境流动;第三,数据处理者有义务保障境外接收方的有关数据活动达到中国数据治理法律框架的保护标准;第四,数据处理者应当定期开展自主风险评估;第五,数据处理者应当接受国家安全审查。以上内容,构成了中国数据的严格跨境流动规则。

(三)重要数据处理者处理数据

在现有法律框架内,重要数据处理者基本可以等同于关键信息基础设施运营者。对于这类主体的数据处理活动,我国持有一个根本立场:数据本土化。数据本土化制度里涉及两个重要概念:一是关键信息基础设施,二是重要数据。

结合《网络安全法》第31条和《关键信息基础设施安全保护条例》第二章的规定①总结起来,关键基础设施的认定条件有:第一,涉及重要行业和领域;第二,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益;第三,在性质上属于网络设施、信息系统。,我国确立的关键信息基础设施的判断标准有二:第一,看其对本行业和领域关键核心业务的重要程度;第二,看其一旦遭到破坏、丧失功能或数据泄露会带来的危害程度。

对重要数据的理解,应首先关注现行法律框架对数据类型的划分。 《网络安全法》、 《数据安全法》、《信息安全技术 数据出境安全评估指南(草案)》(以下简称《评估指南》)、《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称《评估办法》)均将数据划分为重要数据和非重要数据两大类别,但《数据安全法》又首次提出了核心数据。比对《国家安全法》第2条对国家安全的界定、《数据安全法》第21条对核心数据的界定以及《评估指南》对重要数据的理解,会发现现行规定下的核心数据与重要数据存在明显的内涵重叠。

考虑到“上位法优先”的原则,核心数据的定义应当在《国家安全法》第2条的基础之上,延续《数据安全法》的内容,可确定为可能影响到国家政权、主权、统一和领土完整、人民重大福祉、经济社会可持续发展和国家其他重大利益的数据。

重要数据则可以融入“后果标准”予以判断,确定为一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成若干重大后果②根据《评估指南》附录A的规定, 这些后果包括:危害国家安全、国防利益,破坏国际关系;损害国家财产、社会公共利益和个人合法权益;影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为;干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全;影响或危害国家经济秩序和金融安全;可分析出国家秘密或敏感信息;影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其他国家安全事项。的数据。为避免对重要数据的界定过于宽泛,定义中的相关行业主管部门及行业协会应当结合实际,从数量③《个人信息保护法》第40条已经注意到,即便在某些情况下数据处理者并不属于关键信息基础设施的运营者,但其收集和产生的数据达到了一定的数量,尤其当其收集和产生的个人信息达到一定数量时,因其跨境流动而可能带来的危害也是巨大的。鉴于此,数量也应当成为判断数据重要性的维度之一。和质量两个维度进一步明确本行业重要数据的范围和判断标准。同时,为解决核心数据和重要数据的内涵重叠问题,对核心数据的认定应当由国家数据安全工作协调机制统筹协调有关部门单独确认。

至此,结合《网络安全法》第37条和《数据安全法》第30条,重要数据处理者开展的数据跨境流动活动应当遵循的条件为:第一,重要数据处理者应当定期开展风险评估,并向有关主管部门报送风险评估报告;第二,重要数据处理者系基于业务需要而开展重要数据跨境活动;第三,重要数据处理者应当接受国家安全审查。以上内容,构成了中国数据的特殊跨境流动规则。

(四)外国司法或执法机构请求提供数据

《个人信息保护法》第41条和《数据安全法》第36条均规定:中国主管机关按照中国法律和中国缔结或参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或执法机构关于提供存储于中国境内的个人信息或数据的请求。非经中国主管机关批准,境内组织、个人不得向外国司法或执法机构提供存储于中国境内的个人信息或数据。据此,这种情况下中国有关机关向境外提供数据的条件有三:第一,外国司法或执法机构主动请求;第二,提供的行为或依据中国法律,或依据中国缔结的国际条约,或依据平等互惠原则;第三,中国主管机关批准。

二、中国数据跨境流动的限制规则

限制数据跨境流动是主权国家为确保数据安全而采取的必要行动。主权的双重属性决定着数据主权同样有着内外两个向度。在内外向度的衡平过程中,往往容易出现不同的限制路径:偏向于主权的对内向度即意味着更加注重数据安全;偏向于主权的对外向度即意味着更加注重数据自由;在数据安全与数据自由两种价值之间不断动态调整,以期达到一种效益最大化的治理模式,这往往形成了第三条更具弹性的数据主权之路。

《数据安全法》第1、10条反映了我国在数据治理模式上的基本价值取向,即在确保数据安全的根本前提下,促进数据跨境自由流动。从数据跨境流动规则上看,其内容也基本围绕着数据安全与数据自由两条主线展开。第一部分主要梳理了“数据自由”价值指导下在中国开展数据跨境流动活动的条件,本部分将主要梳理“数据安全”价值指导下中国限制数据跨境流动的情形。总体上看,限制规则包括两大类别:一是普遍限制规则,二是特殊限制规则(见表2)。

表2 中国数据跨境流动的限制规则

(一)普遍限制规则

我国建立的普遍限制规则主要包括对等保护制度、数据本土化制度、限制/禁止出境制度。对等保护制度①对等保护制度主要体现在《个人信息保护法》第38条第3项和《评估办法》第8条。强调的是在数据跨境流动活动中境外数据接收方对数据保护的能力以及该接收方所在国家和地区的网络安全环境应当达到中国设定的标准。对接收方的能力评估可以与《数据安全法》 《个人信息保护法》以及其他行政法规、部门规章对境内数据处理者设定的义务或条件进行衔接。对接收环境的评估,目前我国尚无明确的评估指南,故有必要在后期形成一套指导性标准。

数据本土化制度已经成为中国数据治理的最显著标签,相当数量的外国研究成果都将中国视为推行数据本土化的典型代表②抛开制度内容本身,外国研究成果将数据本土化制度与中国划上等号至少表明了中国方案受到了外界关注。当然也要看到,确实有一些外国研究成果在误解中国的数据本土化制度,这涉及中国方案的解释工作,本质上是中国价值观的推广问题。。这一制度鲜明地体现着“数据安全”的价值。对数据的本土化,就是对用以存储数据的基础设施的本土化,这样可以最大限度地突出数据的物理属性,将对数据的管辖与传统国家主权原则联系起来,确保一国对存储于其境内的所有数据享有属地管辖权。需要特别强调的是:第一,数据本土化并不是对数据跨境流动的限制,中国要求的是数据本土化,并不意味着数据在本土化后就不能出境。第二,数据本土化并不是对数据不加区分地一律本土化,本土化要求仅是对关键信息基础设施运营者提出的,其他数据处理者不受约束。

就限制/禁止出境制度而言, 《个人信息保护法》第42条从数据接收者的角度出发,明确了当境外接收者从事了相关危害行为之后国家网信部门可以限制或禁止数据出境的情形。这是一种被动限制。从数据自身的种类来看,《评估办法》第11条列举了不得出境的三种数据类型③三种类型分别是:一是未经个人信息主体同意或可能侵害个人利益的;二是可能影响国家安全、损害社会公共利益的;三是有关部门认定的其他不能出境的。。但对这些数据类型的识别其实是建立在安全审查制度之上的。换言之,只有在安全审查之后,国家才有可能对数据的性质做出判断,所以我国并不存在一般性主动限制数据出境的规定。这充分体现了“数据自由”价值,也展示出中国对数据出境的限制措施是相对克制的①我国明确要求限制/禁止出境的数据更多集中于行业规范中。如2011年《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条明确要求银行业金融机构不得向境外提供境内个人金融信息,2021年《汽车数据安全管理若干规定(试行)》第12条要求汽车数据处理者向境外提供重要数据不得超出安全评估时明确的目的、范围、方式和数据种类、规模等。。

(二)特殊限制规则

特殊限制规则指在满足特定条件下得对特定数据的跨境流动进行限制的情况,包括安全审查制度和对等限制制度。安全审查制度②就安全审查制度而言,当前我国存在着审查与评估混用的情形。《网络安全法》第35条使用的是“安全审查”,《个人信息保护法》第40条使用的是“安全评估”,《数据安全法》第24条使用的是“安全审查”。从规定的内容上看,不论是审查还是评估,都是强调以国家网信部门为代表的公权力对可能影响国家安全的数据处理活动的一种监督和评价。另从实践操作角度看,二者都要对数据属性,数据跨境的合法性、风险、技术保障能力,数据接收方的技术保障能力等基本事项进行考察。鉴于此,文中出现的审查与评估含义一致,未统一用语是基于遵循现行法律规定的考量。与数据本土化制度是中国数据治理法律框架的两大核心制度,它们在数据跨境流动治理中扮演着治理原点的角色。就安全审查的范围而言,《网络安全法》《个人信息保护法》采纳“主体论”,仅要求对关键信息基础设施的运营者实施安全审查,但是《数据安全法》第24条采纳了“效果论”,扩大了审查范围:不论数据处理者是谁,只要数据处理活动影响到或可能影响国家安全的,均应接受审查。

对等限制制度③对等限制制度主要体现在《数据安全法》第26条和《个人信息保护法》第43条。是指任何国家或地区在与数据和数据开发利用技术等有关方面对中国采取歧视性的禁止、限制或其他类似措施的,中国可以根据实际情况对该国家或地区对等采取措施。与《个人信息保护法》第42条类似,我国的对等限制制度更多起到的是一种防御性功能,即只有先受到了歧视性措施,中国才会启动对等措施。

可以看到,中国对数据跨境流动的限制措施其实是有限的。普遍限制规则具有明显的被动性,而特殊限制规则更体现着一种防御性。应当说,虽然中国数据跨境流动规则是在“数据安全”和“数据自由”两种价值的共同指导下形成的,但中国立法却侧重于突出“数据自由”价值。这决定了中国与数据和数据开发利用技术有关的投资、贸易环境是相当安全、包容、开放的。

三、对CPTPP数据跨境流动规则的分析

CPTPP第14章专章规定了电子商务内容,其中第14.11条为数据跨境流动条款。本条由三款组成,分别规定了缔约方的自主监管权、数据跨境义务以及例外条款。此外,第14.13条还专门规定了计算机设施的位置,此条与中国的数据本土化制度密切关联。

(一)缔约方的自主监管权

第14.11条第1款强调:每一个缔约方对通过电子方式传输信息都可设有各自的监管要求。本款规定传达出“国家基于主权可以对在境内产生和收集的数据进行排他性管辖”以及“国家可以对数据的跨境流动施加限制”两条基本理念。根据第二部分的梳理,目前中国为有效管辖数据而对数据跨境流动施加的限制规则可以大致概括为:第一,境外接收方所在的国家或地区应当具备安全的政治法律环境,至少要保证其网络环境稳定安全。在这个大背景下,境外接收方对数据的保护能力应当达到中国数据治理法律框架的保护标准。第二,极少数数据处理者(包括关键信息基础设施的运营者以及收集和产生的数据达到一定数量的数据处理者)应当将在中国境内产生和收集的数据存储于中国境内。第三,极少数影响或可能影响到中国国家安全、国计民生、公共利益的数据需要通过中国国家安全审查之后方能出境。第四,中国对其他国家或地区采取的限制或监管措施持对等立场。

第1款作为权利性条款,缔约方可以采取数据完全自由的立场而不对数据的跨境流动设置任何限制,也可以对跨境数据流动设置监管要求。然而,第1款没有做出监管程度的规定,这是否意味着缔约方可以不受限制地任意设置监管要求呢?结合后文看,答案是否定的。

(二)缔约方的数据跨境义务

第14.11条第2款强调:每一个缔约方都应当允许数据跨境流动,包括个人信息,如果这一活动用于涵盖的人开展业务。这是CPTPP数据跨境流动规则的核心条款,也是为缔约方设置的强制性义务。虽然第1款允许缔约方设置监管要求,且未明确规定监管程度,但是结合第2款看,CPTPP对这种监管的程度其实是有要求的,即监管以不阻碍数据的跨境流动为限。如果缔约方施加的限制措施过多以至于为数据跨境流动设置了过多障碍,那么就违背了第2款的制定精神了。

我国的数据跨境流动规则均以“业务需要”为基本前提,这与CPTPP的要求是一致的。一系列限制规则也可以被解释为为数据跨境流动设置的监管条件,故未违反第14.11条第2款的规定。即便招致质疑,它们的合理性也可以通过第14.11条第3款规定予以释明。

(三)例外条款

第14.11条第3款由三个条件组成:一是出于合理公共政策目的 (legitimate public policy objectives),二是不构成任意的或不正当的歧视或变相贸易限制,三是不超出必要限度。接受CPTPP的数据跨境流动条款即意味着中国现有的限制规则存在援引第3款进行抗辩的可能。在所有限制规则中,中国相对独特的制度设计包括安全审查制度、限制/禁止出境制度,只有这几项制度通过第3款的检视,中国才能达到CPTPP的数据跨境流动标准。①此处没有提到数据本土化制度是因为CPTPP在第14.13条专门对数据本土化进行了限制,下文将专门阐述数据本土化与CPTPP的对接。

第一,出于合理的公共政策目的。从文本上看,GATT并没有规定这种例外,GATT第20条规定的“一般例外”条款也只是将公共道德(public morals)列入其中。在“美国博彩案”中,仲裁庭认为:公共道德指的是一个民族或社会内部形成的对行为正确与否的判断标准②Panel Report, US-Gambling, WT/DS285/R, para.6.465.。但是公共道德不是一成不变的,其内容会随着社会、文化、道德、宗教等各种因素而不断变化③Panel Report, US-Gambling, WT/DS285/R, para.6.461.。在《WTO电子商务合并协商文本》④英文全称为“WTO Electronic Commerce Consolidated Negotiating Text”,是WTO电子商务谈判的文本草案,涵盖了主要成员方对各个议题的理解。该文本由bilateral.org网站于2021年2月披露。中,包括中国、加拿大、日本在内的主要成员方重申了对GATT第20条的支持,还进一步提出鉴于互联网给全球带来的前所未有的挑战, “保障网络安全,维护网络主权,保护公民、法人和其他组织的合法权益,以及其他合理的公共政策目的”也应当被列入一般例外之列⑤WTO Electronic Commerce Consolidated Negotiating Text, p.85.。安全审查制度、限制/禁止出境制度正是在这种理解中形成的。当然,从人们对“公共道德”的理解可以推导出“公共政策目的”的范围也是存在非常大的不确定性的。又考虑到信息社会的飞速发展,我国对公共政策目的的理解,虽然可以列举几项重点关注的方面,但仍应以概括式理解为主。

第二,不构成任意的或不正当的歧视或变相贸易限制。此处的表达与GATT第20条“一般例外”条款的引言部分是完全相同的。它的根本目的是为了防止缔约方对例外条款的滥用⑥Appellate Body Report, US-Gasoline, WT/DS2/9, p.22.。在“巴西—翻新轮胎案”中,上诉机构重申对一种歧视是否构成任意或不正当的判断应当从形成原因入手,而不是根据后果来反推⑦Appellate Body Report, Brazil-Retreaded Tyres, WT/DS332/R, para.226/229.。我国的安全审查制度是由立法确认的,随着安全审查细则的完善,审查主体、对象、范围、程序、救济等内容将不断规范化、统一化、客观化。这与歧视自身的任意性、不正当性完全不同,故安全审查制度很难被认定为一种任意的或不正当的歧视。对于限制/禁止出境制度,如上文所言,它的本质上也是建立在安全审查制度基础之上的。

第三,不超出必要限度。这个条件本质上就是要求限制规则通过“必要性测试” (necessity test)。必要性测试是一个对各种因素进行衡平的过程。所谓必要性,在“韩国牛肉案”中,上诉机构指出:它意味着对于一个目标的实现而言,一项措施应当无限接近“不可或缺”的极值,如果这项措施对于这个目标的实现仅仅是有一些贡献,那这不是必要性①Appellate Body Report, Korea-Various Measures on Beef, WT/DS161&169/AB/R, para.161.。通常情况下,只有当不存在合理可用的对贸易限制更小的替代性措施时,一项措施才能被视为必要的。在“美国博彩案”中,上诉机构总结了衡平过程中应当分析的三项内容,首先要分析一项措施带来的利益和价值的相对重要性,其次要分析措施对目标的实现能够有多少贡献,以及措施对国际贸易的限制性影响有多大②Appellate Body Report, US-Gambling, WT/DS285/AB/R, para.306.。这也被视为必要性测试的既定框架。从谈判策略上看,对限制规则的质疑只能由对方提出,对方需要举出能够同样实现特定公共政策目标,且对贸易限制更小的替代性方案。这样一个替代性方案除了应当对贸易的限制性影响更小外,其他任何方面都应超越原有措施可以达到的高度。从这个角度看,虽然对方会针对安全审查制度、数据本土化制度以及限制/禁止出境制度提出质疑,但主动权在我国手上。

除了第3款规定的例外情况外,容易被忽视的是CPTPP在第29章单独规定了适用于全协定的“安全例外”条款③CPTPP第29.2条规定:协定中的任何条款都不得解释为要求缔约方提供违背其基本安全利益的信息或阻止缔约方采取其认为对维护其基本安全利益所必需的措施。。因此,限制数据跨境流动的措施既可以援引第14.11条第3款抗辩,又可以考虑援引第29.2条抗辩。与GATT第21条将“安全例外”条款的范围限于军事安全不同,CPTPP第29.2条并未对“安全例外”条款做出范围界定。时至今日,基本安全利益遍及国家的方方面面,网络安全和数据安全成为了主权国家重点关注的领域之一,GATT第21条对安全例外的理解已经很难适应当今世界的发展了。值得注意的是,在《WTO电子商务合并协商文本》中,一些成员方对安全例外提出了不同的理解,英国、日本和加拿大对“基本国家利益”的理解仍限于GATT第21条中的军事安全。中国则在方案中直接删去了GATT第21条关于军事安全的限定,从而将“基本国家利益”的范围扩大。相比之下,中国提出的版本更为全面,也更能适应CPTPP的“安全例外”条款。

(四)数据本土化制度

文本上,数据本土化制度与CPTPP第14.13条的要求差距最大。简言之,我国要求所有关键信息基础设施在境内产生和收集的数据全部存储于中国领土内,但第14.13条原则上不允许。第14.13条的3款规定之间的逻辑关系是这样的:缔约方有权对计算机设施的使用设置监管要求(第1款);但以不得要求数据本土化为限(第2款);缔约方为实现合理的公共政策目标而采纳了数据本土化制度的,只要不构成任意或不合理歧视或对贸易构成变相限制,且未超过必要限度,也可以被接受(第3款)。所以数据本土化制度仍然有机会通过援引第3款以达到CPTPP的标准。

那么数据本土化制度是否构成任意或不合理的歧视呢?除了上文提到的从原因角度考察,还要认识到,判断歧视的关键是考察某项制度对国内和国外主体是否造成了不同的影响。中国的数据本土化制度不仅约束境外运营者,还约束境内的同类主体,这里面并不存在歧视的色彩。但这一制度是否会给境外数据处理者在中国的投资设置障碍,从而形成变相的贸易限制呢?这种质疑实质上将监管要求等同于贸易限制。这种逻辑背后传递的观点是,国家不得基于主权为境外投资者设置任何入境门槛,市场开放应当是无条件的,这显然是不被接受的。与判断歧视的思路类似,判断(变相)贸易限制,关键要看某一制度是否对境内外主体设置了同样的义务。如果没有,而且境内主体的义务远远低于境外主体,那么境外主体就处于一种不利的竞争地位,此时贸易限制的可能性是非常大的。而在中国现有限制措施中,从数量上看,绝大多数义务都是为境内主体设置的,从程度上看,境内主体的义务也都远远高于境外主体。

四、加强中国规则与CPTPP规则对接的建议

作为全球数据治理的根本原则, “数据主权”本质上仍然是传统主权原则结合前沿信息通信技术在当代的延展。无论“数据主权”的外延如何扩张,其具备的内外双重属性始终没有改变。具体到数据跨境流动领域,加强中国规则与CPTPP的融通应当在坚持“数据主权”的基础上,沿着内外两个向度展开。

(一)对内向度的建议

1.加快梳理和修订与数据跨境流动相关的规定

这是规则对接的根本前提。目前,国内涉及数据治理的规则众多,分散在法律、行政法规、地方性法规和部门规章等各位阶的规范性文件中。由此带来的问题是中国数据跨境流动法律制度到底有哪些,是否成体系。回答这两个问题依赖于现有规则的梳理。只有通过系统整合,国内规则与CPTPP规则才有了对比分析的可能性,从而进一步研究哪些内容可以对接、需要对接、怎么对接以及对接难度的问题。除了这个问题,现有规则之间还有着明显的冲突。例如,《民法典》 《网络安全法》《个人信息保护法》对“个人信息”的定义尚未统一。再例如,在《数据安全法》出台前,我国基本采纳二分法对数据进行分类。 《数据安全法》则在重要数据之上,首次提出核心数据。那么重要数据和核心数据的关系是什么呢?二者的界限如何划分呢?在诸如此类的冲突中,有些或许只是单纯的立法技术问题,有些则可能是立法者刻意为之。对于前者,规定需要得到及时修订,对于后者,规定需要被深刻解读。总之,这为梳理工作提出了更高要求。

2.结合国际经贸判例出台“数据跨境流动细则”

虽然WTO上诉机构正面临重大机制性困境,但是其专家组仍在运行,WTO争端解决机制仍然是当前全球经贸领域最权威、影响最大的多边机制。结合上文分析,可以预见到在未来的数据跨境流动规则谈判或争端解决中, “例外条款”会成为焦点议题。而这个条款涉及的很多具体问题①例如,如何理解“公共道德”或“公共秩序”或“公共政策目的”,如何认定“合理性”或“必要性”,如何认定“国家利益”和“基本安全利益”等等。在不少WTO 判例均有体现,它们都是我国在制定细则时的重要参考。出台细则,不仅是为了进一步做好对接工作,还将为国内执法、司法机构提供行动指南。目前应重点关注的内容有:第一,中国数据跨境流动的基本原则;第二,数据的类别划分以及各类别的识别,主要是核心数据和重要数据的识别问题;第三,安全审查制度的实践,包括审查的主体、客体、程序、救济等;第四,数据本土化制度的适用范围;第五,数据跨境流动限制性规则适用的例外情形,加强对公共道德、公共秩序、基本安全利益和公共政策目标例外的研究。

(二)对外向度的建议

1.积极宣介中国数据跨境流动规则的理念与成效

这里首先要回答为什么要宣介的问题。对新兴领域的治理,西方资本主义国家组成的集团优势仍然显著。就数据治理而言,虽然其内部也有分化,但总体上它们的价值取向是一致的。长期以来,国际法呈现着典型的西方中心主义倾向,但这一情况随着中国的崛起以及发展中国家在政治、经济领域的影响力逐步扩大正得到改变。身处于百年未有之大变局,近年来中国正在积极投身到全球治理格局变革中去,也在有意从规则制定的“跟跑者”向“领跑者”转变。作为世界上最大的发展中国家,中国也有责任发出发展中国家的声音,在国际法新规则的制定中争取和捍卫发展中国家的整体利益。

其次是怎么做的问题。在WTO框架下,就已披露的《WTO电子商务合并协商文本》看,很多核心议题实际上就是中国、欧盟和美国三方的提案博弈,这说明中国在全球数字贸易规则制定中已经有了一定的主动权。在区域性经贸协定中, 《区域全面经济伙伴关系协定》(简称RCEP)集中展示了中国主导下的数据跨境流动规则,这说明中国在区域数字贸易规则制定中已经有了一定的领导力。随着中国正式申请加入CPTPP,中国可以在谈判过程中与各相关方就数据治理深入交换看法,全面阐释中国规则并宣介背后的理念,尤其要展示这些规则的成效。国际法背后总是以一些合理性为基础的,只要充分宣介,总是能够凝聚一些共识,甚至赢得支持者的。

2.逐步完善对外谈判底线

很多时候通过外力施压才能使人意识到国内规则的底线到底在何处。底线总是相对的,它与国内的产业发展、技术支撑等方面息息相关。随着国内产业结构不断完善,国家维护国家安全的技术能力不断提升,底线也可以随之提升①一个典型例子是中国参与的《政府采购协议》谈判。二十年来,从第五次出价清单将所有工程项目都列入采购范围,到第六次出价清单首次将国有企业列入采购主体,再到第七次出价清单将采购主体扩大至军事部门,这反映出中国不断提升的底线思维,背后则是不断完善的产业结构和规则制度的支撑。。中国现行数据跨境流动规则还有提升空间。对于数据本土化制度,只要把握好安全审查的主动权,中国未必不能接受CPTPP第14.13条的要求。对于重要数据的识别问题,《评估指南》对重要数据过于宽泛的界定并不利于深度释放数据的经济价值。对于一般数据处理者处理一般信息的情况,《个人信息保护法》第38条以正面清单的方式列举了允许流动的条件。但作为对国家安全、国计民生、公共利益威胁性最低的一类数据处理情形,条件仍有放宽的可能,以负面清单的方式接受数据的一般性流动值得被讨论。

五、结 论

第一,我国已经形成了一个以《国家安全法》为核心,以《网络安全法》《数据安全法》《个人信息保护法》为主要内容,以一系列行政法规、部门规章为补充的数据治理法律框架。具体到数据跨境流动规则,按照主客体的不同,可以划分为“一般规则”“严格规则”“特殊规则”“其他规则” (见图1)。这些规则整体上体现着“数据自由”的价值倾向。

第二,基于数据主权原则,中国数据跨境流动规则在“数据安全”价值的指导下,同时规定了“普遍限制规则”和“特殊限制规则”(见图1)。这些限制规则在客观上起到了限制数据跨境流动的作用,但力度上是克制的。

图1 中国数据跨境流动规则框架示意图

第三,就数据跨境流动而言,谈论规则对接就是谈论中国的“一般规则” “严格规则” “特殊规则”“其他规则”,以及“限制规则”能否与CPTPP第14.11条和第14.13条对接。

第四,对第三个问题的回答是:某些限制规则(如数据本土化制度、限制/禁止出境制度)确实与CPTPP设置的标准存在差距,但这些差距可以通过解释规则和利用CPTPP自身的例外规则予以弥补。所以总体上看,中国数据跨境流动规则能够与CPTPP的规则完成对接,但“数据跨境流动细则”需要得到同步完善。