DEPA数据安全规则解析及对中国的启示
——基于和CPTPP/USMCA/RCEP的比对

陈寰琦，陆锐盈

(广东外语外贸大学 经济贸易学院，广东 广州 510006)

《数字经济伙伴关系协定》(Digital Economy Partnership Agreement, DEPA)是新加坡、智利、新西兰3国于2020年针对数字经济签署的协定，整个协定都是数字经济专属内容。该协定区别于其他区域贸易协定(RTAs)，如《美墨加协定》(USMCA)和《全面与进步跨太平洋伙伴关系协定》(CPTPP)，通过设置“电子商务”“数字贸易”等专门章节(1)本文对“电子商务”和“数字贸易”章节不作区分。来构建数字贸易规则的做法，具有包容性和前瞻性。在结构上，DEPA采用“模块(module)”而非传统的“章节”形式进行规范；在内容上，DEPA和数字贸易规则“美式模板”(以USMCA和CPTPP为代表(2)USMCA和CPTPP都是“美式模板”的代表性协定，USMCA在数据相关议题上颇具雄心，CPTPP次之。)有着千丝万缕的联系。以USMCA为代表的“美式模板”可能是未来其他区域与多边谈判的重要参考[1]。区别于“美式模板”，DEPA更倾向于体现新加坡的数字贸易诉求。除了涵盖“美式模板”中备受争议的议题如“跨境数据流动”“数据存储非强制本地化”等，还侧重于构建促进中小企业权益、推动数字贸易便利化的条款。其中，数据是数字贸易发展的命脉所在，推动数据跨境流动与保障相关权益的“数据安全”(3)根据《中华人民共和国数据安全法》第三条：数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。议题是DEPA的核心内容。DEPA的“数据安全”内容和数字贸易规则“美式模板”存在交叉，亦具有较为鲜明的个性化特征，值得关注。

目前不乏针对DEPA和数据安全规则进行研究的文献。一是针对DEPA进行的整体分析。赵旸頔等[2]和杨泽瑞[3]认为，相比于传统RTAs框架下的数字贸易规则，DEPA的内容更为全面，对于解决数字贸易中的核心问题有重要作用；可以为中国未来构建数字规则提供有力借鉴，也可以助力亚太数字经济合作的进一步发展。与此同时，DEPA仍然存在不足之处，如基本安全利益的分割和主权保护等[4]，技术创新的监管制度[5]有待完善，缺乏基础设施建设或建立争端解决机制等参考模板[6]。AARONSON[7]认为，DEPA建立了一个框架，但是对于构建数据治理的互操作性和共享方法作用甚微。二是对数据安全进行的规则分析。如马光[8]结合特定例外、一般例外和安全例外，对DEPA、CPTPP和USMCA的跨境数据流动规则之约束范围和承诺水平进行比对。刘瑛[9]和赵精武等[10]分别从信用和隐私云计算视角分析数据安全法律。许可[11]基于中国视角分析数据安全规制，指出可基于“重要数据可控”标准对数据流进和流出进行管理。洪延青[12]、冯洁菡等[13]和陈寰琦等[14]则从多方博弈视角分析了欧美在数据管制上的数据竞争战略立场。周念利等[15]实证检验了跨境数据流动限制性措施对出口国数字服务出口二元边际的影响。但是基于数据安全视角，对DEPA进行规则解析的文献较为少见。

值得注意的是，中国2021年正式申请加入《数字经济伙伴关系协定》(DEPA)。中国近年在RTAs框架下的数据流动和保护相关规则构建上体现出积极的态势。如《区域全面经济伙伴关系协定》(RCEP)就在专门的电子商务章节中构建了若干数据安全规则。这对于中国构建数字贸易规则而言，可谓是里程碑式的进展。不过，RCEP虽然包含不同类型的数字规则，但是在具体内容上有待进一步发展[16]，内容和DEPA等协定亦存在一定差异。相比于国际层面签订协议，中国在数据安全上的诉求更多地体现在其国内法层面，如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等。此外，中国在对标高标准数字贸易规则过程中对一些涉及国家安全以及数字贸易领域的知识产权转移等议题，如网络开放、源代码等持有保留态度[17]。因此未来中国如何结合国内法诉求以及国际贸易规则发展情况，提出自身的数据安全诉求并对接DEPA数字贸易规则有待进一步研究。鉴于此，本文通过比对中国签订的RCEP、“美式模板”代表性协定CPTPP和USMCA，解析DEPA数据安全规则的发展情况。在此基础上，结合中国既有的国内法律，为中国对接和构建高水平数据安全规则提供决策参考。

一、数据安全规则定义和体系

DEPA第1.3条的术语界定中，“个人信息”是包含“数据”的：个人信息指关于-已确认或可确认的自然人的任何信息(4)数据来源于中华人民共和国商务部国际经贸关系司发布的《<数字经济伙伴关系协定>参考中译文》，见http://images.mofcom.gov.cn/gjs/202112/20211215174726440.pdf。全文同此。，包括数据。由于使用数字技术可将信息数字化为数据，信息相关规制也可适用于数据议题，因此本文在法规分析层面不对这两者进行区分，将信息相关条例也纳入文本分析框架之下。至于数据安全，如上文所述，依据《中华人民共和国数据安全法》第三条的定义对数据安全进行界定。这涉及到数据的利用和保护两个概念，因此本文主要从促进数据流动和保护数据所有者(包括个人和国家层面)权益的角度分析DEPA相关条款的承诺水平，以及这些协定内容对中国对接高标准数据安全规则的启示。

DEPA是专门为数字经济构建的协定，共有16个模块或章节。数字经济是依托数据流动发展起来的，因此含有不少直接或间接与数据相关的规则。本文从数据流动和安全保护两个角度对数据安全规则进行了梳理(表1)。内容主要包括模块1对DEPA适用性优先等级的界定(第1.2.2条)；模块4的计算设施定义(第4.1条)、对保护个人信息安全(如隐私安全)的要求(第4.2条)、推动跨境数据自由流动(第4.3条)和不强制存储数据在当地(第4.4条)；模块9的通过推动数据流动实现数据创新(第9.4条)，公开政府数据(第9.5条)；模块10的数据流动和数据隐私相关信息的分享(第10.3.3条)；模块15的例外条款，包括《关税及贸易总协定》(GATT)与《服务贸易总协定》(GATS)密切挂钩的一般例外(第15.1条)、涉及基本安全利益的安全例外(第15.2条)和规制金融内容的审慎例外(第15.4条)。

表1 DEPA中的数据安全规则

从规则管制的范围来看，可以将上述数据安全规则细分为“特定规则”以及“一般性规则”。特定规则是管制特定议题的规制，如模块4针对跨境数据流动(第4.3和4.4条)和信息保护(第4.2条)等特定议题构建的规则。而一般性规则的适用范围比较广泛，管制对象包括数字贸易在内的多个领域，因此在实践中也会影响到数据安全规则适用的深度和广度。较为典型的，如第1.2.2条对于在贸易协定中的DEPA优先适用顺序的界定。在RTAs框架下的各个经济体可以签订多个协定，而不同协定对同一议题的承诺水平或内容存在差异。如果一个协定被赋予了优先适用权，则其包括数据安全议题在内的规则可以更好地实施。DEPA相对温和，并未赋予DEPA优先于其他协定的适用权。根据DEPA第1.2.2条规定，经济体在适用DEPA规则还是CPTPP规则产生冲突时需要进行协商。这会制约DEPA规则本身的约束力。另外，一般性规则保留了缔约方可不履行特定承诺的例外情况，主要涵盖在模块15中的一般、安全和审慎例外(第15.1、15.2和15.4条)。这些例外可以防止滥用赋予行为主体在数据流动上的权利，也会压缩规则实施的自由度。鉴于此，本文对DEPA的特定数据安全议题进行分析时，除了特定规则本身，也会结合其他模块或章节中影响其承诺实施水平的一般性规则进行综合评价，以清晰把握DEPA数据安全规则的发展情况。

二、跨境数据自由流动

“跨境数据自由流动”即不限制“涵盖的人”在缔约方间出于开展业务目的的数据流动。该议题是目前数字贸易谈判的焦点所在[18]。DEPA亦顺应数字经济的发展，引进了这一重要议题。针对“跨境数据自由流动”，DEPA和其他RTAs相比存在不少共性和区别。

在“特定规则”层面，DEPA第4.3条是对“跨境数据自由流动”进行规制的特定条款，共包括3项规定。第一项是促进“跨境数据自由流动”的条款，采用的措辞“may”使该条款具有约束力。第二、三项对第一项进行了约束。第二项虽考虑到缔约方的监管要求，但仅采用“shall”这一软性措辞，并未赋予缔约方出于监管要求对数据流动进行限制的实际权限。第三项保留了具有约束力的例外条款，即不构成“不合理歧视或贸易限制”或“过度采取管制”的前提下，可采用出于“合法公共政策目标”的跨境数据流动管制措施。这保留了缔约方对“跨境数据自由流动”进行管制的自主空间。除了DEPA，USMCA、CPTPP和RCEP等RTAs也对该议题进行了规定。它们所承诺的内容同时呈现交叉和背离关系(表2)。如CPTPP第14.11条和DEPA第4.3条是一致的。USMCA作为“美式模板”中代表性协议，第19.11条承诺跨境数据自由流动的措辞较为强势，还删除了监管例外条款。相比于DEPA，RCEP“电子商务”章节虽然包含禁止本地化措施，但是RCEP在特定规则层面赋予了缔约方更大的数据流动管制空间[19]。如RCEP第12.15.3条特别规定“合法公共政策目标”由实施的缔约方界定其必要性，同时将“基本安全利益”添加特定例外范畴之中。归结而言，在特定规则“跨境数据自由流动”层面，DEPA和CPTPP的承诺水平在上述协定中处于中游，USMCA的自由化承诺水平更高，而RCEP更加侧重于保留缔约方的监管权限。

表2 各协定对“跨境数据自由流动”议题承诺水平

在“一般性规则”层面，DEPA模块15涵盖了“一般例外”“安全例外”“审慎例外”条款。这些规定从法理上可以和上述特定规则中的例外条款(简称“特定例外条款”)一起制约DEPA第4.3条跨境数据流动自由化措施。

第一，在“一般例外”方面。CPTPP第29.1.3条和USMCA第32.1.2条都要求针对“数字贸易”或“电子商务”章节，参考GATS第14条(a)(b)(c)的要求进行例外条款修订。在此基础上，DEPA第15.1.3条和RCEP第17.12.1条的“一般例外”还涵盖GATS第14条(d)(e)。这两项条款包含和最惠国待遇、国民待遇相冲突的例外情况。除此以外，DEPA第15.1.3条和RCEP第17.12.2条还专门针对“数字经济”或“跨境电商”章节，将GATT第20条也考虑在例外范围之内，即针对议题“跨境数据自由流动”在内的数字贸易规则，DEPA和RCEP都要求缔约方参考GATS和GATT为“跨境数据自由流动”保留例外条款。GATS和GATT保留例外的范围存在较大区别，因此同时引入两者比单独参考GATS所设置的例外范围更大。可见，相比于USMCA和CPTPP，RCEP和DEPA的“一般例外”涵盖范围更为广泛。后两者会考虑到更多缔约方自身诉求，给予缔约方更大的数据流动管制空间。

第二，在“安全例外”方面。DEPA第15.2条、CPTPP第29.2条和USMCA第32.2条是一致的，即“如披露则违背其基本安全利益的任何信息”是不涵盖在数据流动范畴之内的；以及不得阻止“履行维护或恢复国际和平或安全的义务或保护其自身基本安全利益所必要的措施”。相比而言，RCEP第17.13.2条安全例外范围更为细致，列举了对保护其基本安全利益所必需的任何行动。值得注意的是，RCEP在“例外”章节和“电子商务”章节同时针对“基本安全利益”进行了规则设置。一般来说，“例外”章节中的安全例外条款在援引上受到反滥用措施等多重限制。而RCEP第12.15.3条“电子商务”章节的特定例外条款专门针对数字贸易的“基本安全利益”进行规定，反映出中国对“安全例外”的重视程度，亦提高了适用“基本安全例外”的可能性。

第三，在“审慎例外”方面。“审慎例外”是针对金融问题所进行的规范，RTAs框架下构建审慎例外规则多受GATS的《关于金融服务附件》之影响。一般而言，该规则要求可以基于防范金融系统性风险以及保护金融服务提供者等微观目的而采用的例外措施[20]。DEPA专门把“审慎例外”放置在数字经济协定的“例外”章节中。与此相对应，虽然CPTPP第11.11.1条、USMCA第17.11.1条和RCEP第8.1.4条等都把“审慎例外”放置在“金融”章节，但未将“数字贸易”或“电子商务”章节的规则内容排除在抗辩范围之外，即这些协定都承认审慎例外对数据流动的适用性，保留了缔约方的审慎监管空间。结合上述3种例外的承诺情况，本文认为在“一般性规则”层面的例外条款构建中，DEPA赋予缔约方的监管自主权高于USMCA，略高于CPTPP，而又低于RCEP。

综合来看，在推动数据流动自由化和保留监管自主权水平上，DEPA在上述协定中处于中游的位置。相比于中国2020年签订的RCEP，DEPA的跨境数据流动自由化水平较高，而给缔约方保留的管制权限较少。相对于CPTPP和USMCA等协定而言，中国在RCEP的承诺水平和DEPA比较接近。因此中国虽然对接DEPA的“跨境数据自由流动”规则存在难度，但是门槛相对较低。申请加入DEPA也给予了中国对接高标准数字贸易规则的机遇，推动中国完善自身的数字贸易规制，也会提高中国在贸易谈判中的影响力。另外，关键在于针对差异所在的“基本安全利益”和“合法公共政策内容”进行进一步商榷。

值得关注的是，中国的诉求更多地体现在国内法上。《中华人民共和国网络安全法》第37条和《中华人民共和国个人信息保护法》第3章“个人信息跨境提供的规则”分别针对关键基础设施和个人信息数据进行了规定，对涉及国家安全和公共利益的数据予以保护，同时赋予敏感性不高的信息提供或接收空间[21]；但具体分级分类的方式使法律的适用依然存在一定的不确定性，有待进一步厘清。这些国内法的进一步发展对于推动合理的跨境数据自由流动非常重要，亦是中国更好地对接DEPA和参与构建高标准数据流动条款的关键所在。

三、数据存储非强制本地化

在数据流动相关的谈判中，备受争议的议题还有“数据存储非强制本地化”，即缔约方不得强制要求“涵盖的人”数据或数据存储设施设置在东道国。这能够赋予投资方或服务提供商选择数据存储地的权限。对于数字经济与技术领域正处于起步阶段的发展中国家对数据保护和本地化存储等问题尤为关注; 发达国家则更加强调数据的自由流动立场[22]。一方面，数据存储地的设置对大型数字经济体至关重要。如作为数字服务贸易强国，美国致力于依托互联网技术对外输出数字服务，美国外包在境外的金融服务就是重要内容之一，金融危机后的强监管政策使美国企业将不少数字金融服务外包给其他国家。不同于美国的态度，一些国家在全球推动跨境数据自由流动的议题上依然采取保守和谨慎的政策[23]，如印度要求将金融数据存储在本地。这些数据存储强制本地化可能会使服务提供商面临境外存储设施安全性欠佳的风险，会阻碍服务提供商获取信息、提供和优化服务。另一方面，敏感数据会涉及一国的国家安全问题，因此一些经济体会对特定数据提出本地化要求。这些争议亦体现在DEPA等协定之中。

对于该议题，DEPA第4.4条“计算设施位置”(5)计算设施的定义：用于处理或者存储商业信息的计算机服务器和存储设备(DEPA第4.1条)。第二项采用了富有约束力的措辞进行承诺。与此同时，该款项提出缔约方在以下特定情况下可以限制履约，一是考虑各方监管要求(第一项)(6)该项采用软性措辞“may”，不具备强制约束力。，二是不得禁止出于“合法公共政策目标”的制约行为(第三项)。针对“计算设施的位置”，USMCA、CPTPP和RCEP也专门作出了相应承诺。在“特定规则”层面，CPTPP第14.13条“计算设施的位置”和DEPA第4.4条内容是一致的，兼具了让缔约方自由设置数据存储地和保留监管自主空间的权限。USMCA第19.12条“计算设施的位置”仅保留了推动数据流动自由化的条款，要求不得强制将数据存储设施设置在当地，而限制其约束力的例外内容未纳入该条款中。因此，USMCA在推动数据存储非强制本地化的特定规则层面是富有约束力的，其数据流动的自由化承诺水平高于DEPA。RCEP和DEPA存在重合点，也存在差异。RCEP第12.14条亦引入了“计算设施位置”条款，DEPA第4.4.2条也对数据存储非强制本地化进行了有约束力的承诺。与此同时，RCEP第12.14条添加了“基本安全利益”这一特定例外条款，即缔约方出于保障其“基本安全利益”目的，可以对数据存储进行管制。这也是RCEP和深受“美式模板”影响的诸多RTAs存在区别的地方。另外，如上所述，在“例外”章节中，这些经济体所设置的一般性规则层面的例外涵盖范围从小到大依次是USMCA、CPTPP、DEPA和RCEP。鉴于此，从数据存储非强制本地化的承诺强度来看，DEPA在这些协议中处于中等偏低的位置。不过，由于该议题是近几年数字贸易发展中所提出来的，只被纳入少部分RTAs，因此从全球层面来看，对此进行承诺的DEPA是属于数字贸易规则构建进展较快的协定。由此可见，DEPA标准的数据安全规则对于不少国家的规则对接来说亦是一种挑战。

相较于国际规则，中国在国内法层面针对数据存储的规制构建进展更快，更能详细体现中国在数据安全上的立场。《中华人民共和国网络安全法》第37条针对“关键信息基础设施”，对其运营者在中国收集到的重要数据和个人信息进行管制，要求这些数据存储在境内，因业务需要向境外提供的必须进行安全评估。《中华人民共和国数据安全法》第31条则进一步肯定了《中华人民共和国网络安全法》的这些规定，对于其他类型的重要数据存储及出境问题，也需要由国家网信部门会同国务院有关部门进行规范。而对于更为一般性的数据，《中华人民共和国数据安全法》第36条规定除非经过中国主管机关批准，否则境内组织、个人向外国司法或者执法机构提供存储于中国境内的数据是被禁止的。《中华人民共和国个人信息保护法》第40条规定，除了关键信息基础设施运营者需要将个人信息存储在境内，对个人信息处理者所处理的、超过国家网信部门限定数量的信息也有存储本地化的要求，而这些信息如果要输往境外则应当通过安全评估，这实质上是数据本地化范畴的内容。由此可见，中国在细则上就此进行了较为全面的规定，而这些规定和数据存储非强制本地化存在差异。鉴于此，中国在申请加入DEPA并进行数据存储非强制本地化谈判的过程中，无论在国内法还是国际规则层面，都可能面临挑战，尤其需要进一步协商例外的细节和范畴。

四、个人信息保护

保障信息安全，是数据安全的重要组成部分。大量的个人数据侵权可能导致集体数据的大范围损失，因此对个人信息保护的监管也是对集体数据的监管[24]。大多数国家已经完善了个人数据保护结构和法律，个人数据保护现在被视为数据驱动经济的一个基本要素[25]。在上述的几个协定中，都有针对“个人信息保护”进行规范的特定规则，分别是DEPA第4.2条、CPTPP第14.8条、USMCA第19.18.1条、RCEP第12.8条。区别于前三者将这一规则都命名为“个人信息保护”，RCEP强调了这些信息的数据属性，将规则命名为“线上个人信息”。

与“跨境数据自由流动”和“数据存储非强制本地化”这两项议题相比，“个人信息保护”议题的规则比较零散，数目相对较多。综合来看，DEPA在个人信息保护方面，区别于其他代表性的条款有以下显著特征。一是覆盖范围较广。它针对8个主要议题，构建了10项规则。相比于其他协定普遍涵盖5—6项规则，DEPA的“个人信息保护”规定了更为广泛的内容。二是规则承诺较具深度。虽然USMCA等协定在这一议题上也具有强制性，但是从措辞来看，DEPA的措辞更具约束力，如DEPA采用“shall”进行承诺的频次较多，而CPTPP和USMCA的“个人信息保护”条款中，“shall endeavor to”和“should”则较为多见。相比于推动数据流动的“自由化”规则，DEPA在个人信息保护方面设置的规范较为周全。

具体到规则条款个体层面，DEPA相比于其他三大协议呈现不少特征(表3)。根据是否赋予强制约束力，本文将这些议题分成两类。第一类是采用软性语言进行规范的倡导性规则，主要包括两个议题：一是针对信息的重要性普遍表现出认可的态度。DEPA第4.2.1条、USMCA第19.8.1条、CPTPP第14.8.1条要求认可电子商务、数字贸易或数字经济中个人信息保护对于经济和社会的重要性。相比于USMCA和CPTPP将信息局限于电子商务或数字贸易的范畴，DEPA顺应其协定覆盖数字经济的特性，将个人信息保护的范围扩展至“数字经济参与者”，但这是一个软性的倡导性条款，没有实质上进行规制的内容。二是关于构建个人信息保护相关法律应该考虑的要素，DEPA第4.2.3条和USMCA第19.8.3条规定需要包含(a)收集限制；(b)数据质量；(c)用途说明；(d)使用限制；(e)安全保障等内容。该条款具备指引性质，但亦无约束力。

表3 各协议针对“个人信息保护”构建的规则内容

第二类是赋予约束力措辞的条款，包括以下子议题：一是在法律框架的构建方面，从法律规制以及国际组织框架指引推动营造个人信息保护的良好法律环境。DEPA、USMCA和CPTPP在法律规制层面皆详细指出可采用隐私、个人信息或者数据进行全面保护的法律(laws)，或特定部门包含隐私等法律以履行个人信息保护的义务。RCEP则在此基础上引入法规(regula-tions)，以确保企业法人承担的个人信息保护相关义务得以执行。另外，在借鉴国际组织的指引框架方面，USMCA第19.8.2条特别指出参考经济合作与发展组织(OECD)、亚太经济合作组织 (APEC)的隐私(保护)框架，这有助于在规则执行时落实具体参考对象。

二是关于个人信息保护相关信息的公开，要求缔约方公布其保护电子商务用户个人信息的相关资讯。在公开信息方面，RCEP第12.8.4条对于缔约方的法人、个人信息保护相关的程序和政策，是鼓励采用线上等形式公开。这项措施有助于扩大个人信息保护相关法律的影响力，达到保护个人信息安全的目的。

三是对于不同缔约方差异化个人信息保护规制，致力于构建机制以促进它们的兼容性。各经济体在个人信息保护的规范上存在较大区别。如对于个人信息保护的基本标的之一“隐私”，中国、欧盟和美国都有不同的定义和范围。因此DEPA等协定致力于构建统一兼容的机制，以协调各经济体不同立场或者文化背景所带来的规则分歧。DEPA第4.2.6条、CPTPP第14.8.5条和USMCA第19.8.6条都要求该机制需要包含以下内容：通过自发或协定的形式对个人信息保护结果的认可，以及更为广泛的国际框架来制定。其中，USMCA再次强调了需要借鉴APEC跨境隐私规则进行个人信息保护和推动跨境数据流通，体现出“美式模板”对于数据流动的重视程度。相对而言，DEPA第4.2.6条设置的机制涵盖范围较为广泛，要求机制在上述基础上还需涵盖“各自法律框架下的可信任标志或认证框架所提供的相当水平的保护”，以及缔约方间用以转移个人信息的其他途径。值得注意的是，这3个协定都强调了交流信息的重要性：即针对这类适用于其管辖范围内的机制进行有效沟通，并探索促进不同机制兼容性的(贸易)安排。除了机制的覆盖范围更大之外，DEPA在措辞上亦更有约束力。如DEPA第4.2.6条措辞采用“shall”，CPTPP第14.8.5条和USMCA第19.8.6条则采用了相对温和的措辞“should”。

四是“数据保护信任标志(trustmask)”。DEPA区别于其他协定内容之一是鼓励使用信任标志，承认其在数据安全中所起到的重要作用。信任标志作为一种资质认证的标记，有效使用信任标志至少可起到以下作用：对持有信任标志的内容、服务提供者提供便利化措施，提高效率；可以借此构建一个统一且稳定的安全监管体系，有助于实施数据安全相应政策，为数字贸易发展营造良好的环境。

相对而言，中国在个人信息保护的国际贸易规则构建方面与DEPA存在一定的差距。如表3所示，从范围来看，DEPA第4.2条所包含的内容多于RCEP第12.8条。RCEP虽然在构建法律框架、个人信息保护相关信息公布等法律构建和宣传上有所规定，但是在实践上没有对非歧视性做法、兼容方面进行具体规范。这可能是因为各经济体具有差异化的个性化立场，要对此进行协调统一具有一定难度。值得注意的是，区别于其他协定，RCEP亦有其独特之处，也即“各方合作保护获取的信息”，即需要保障缔约方的数据即便已经传输到另一缔约方时，防止因为跨境带来的地理和法律差异等因素损害信息所有者的权益。这亦体现出中国在个人信息保护上对境外信息保护的重视程度。另外，《中华人民共和国个人信息保护法》也涵盖了较为丰富的内容，特别是针对数据流动和数据本地化中的个人信息保护都制定了相应法律。但是在“隐私”等问题的界定上与国际各大经济体仍存在差异。这也是中国未来对接DEPA乃至构建高标准数据安全规则需要考量的问题之一。

五、结语

本文通过比对数字贸易规则“美式模板”代表性协定USMCA和CPTPP，以及中国新近签订的RCEP，分析DEPA与上述三大协定的趋同与弥合，借此深入讨论DEPA在数据安全核心议题上的规则构建情况。

首先，针对跨境数据自由流动，综合分析特定规则和一般性规则后发现DEPA在数据流动自由化程度上与“美式模板”中USMCA存在较大差距，无论是“特定规则”还是“一般性规则”的例外条款中，USMCA对数据流动管制的例外涵盖范围都少于DEPA。CPTPP电子商务章节的“特定规则”和DEPA非常相似，但是CPTPP“一般性规则”的例外条款更为接近USMCA，监管制约的范围小于DEPA。RCEP的规则承诺模式与上述协定具有相似之处，但是与此同时对跨境数据自由流动保留的监管空间较大，尤其在特定规则上规范了“基本安全利益”和“由缔约方决定的合法公共政策必要性”。其次，针对数据存储非强制本地化，这些协定在推动数据自由化和保留监管空间两个范畴的水平排位顺序与跨境数据自由流动是类似的，DEPA的承诺水平处于中游位置。DEPA和RCEP的区别也主要存在于特定规则层面的“基本安全利益”和“合法公共政策”的必要性确定上。最后，针对个人信息保护，DEPA的覆盖范围较为广泛，并特别就“数据保护可信任标志”的推广使用进行了规定。相比而言，RCEP的覆盖范围较窄，但区别于其他3项协定，RCEP特别强调就各方获取的信息进行保护，可以体现出中国对于保护个人信息的重视。

综合来看，DEPA在数据安全层面的规则构建较为先进和全面，涵盖了不少前沿议题并进行了较为细致的规定。在推动数据流通自由化层面，DEPA的自由化程度低于USMCA和CPTPP，在保留自主监管空间和信息保护方面，则高于USMCA和CPTPP。虽然DEPA和RCEP存在差异，但是相对于其他RTAs而言，DEPA在数据安全规则的议题和RCEP是比较接近的，其中不少内容亦比较契合中国在数据安全上的诉求。这意味着，申请加入DEPA对于中国而言是既是挑战也是机遇。一方面，中国和DEPA在数据流动等议题上需要进一步确定和磋商基本安全利益的具体内容，减少规则承诺标的范围不清晰导致的不确定性等；另一方面，申请加入DEPA也给中国带来构建高标准数字贸易规则的良好机遇。借此契机，中国针对数据安全内容可以推进国际层面规则的构建进程，同时完善国内法的相关规定。目前虽然推出了《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等与数据安全密切相关的法律，但是法律适用对象等方面亦有待进一步完善。在申请加入DEPA的过程中，中国自身规制的完善有助于提升规则制定的影响力，对申请加入CPTPP乃至参与其他RTAs协定的谈判都有所裨益；这亦有助于中国为数字贸易发展营造良好的法制环境，推动自身数字贸易的发展。

随着全球数字贸易治理的深化，未来RTAs框架下将出现更多有关数字经济与数字贸易规则的协定。尤其在数据安全领域，伴随数字经济的发展，数据的重要性亦与日俱增；数据流的合法利用和有效保护亦是未来数字贸易谈判的焦点所在，就此进行的规则谈判可能会出现更多新进展。因此有必要结合数据安全领域内新议题与新情况(如数据的共享和互操作性)进行进一步研究，以期更好地把握全球数字经济发展格局与趋势，为构建良好的数字贸易规则环境提供政策参考。