数据本地化措施的路径思考
——以APEC、RCEP和USMCA等规则为视角*

姚 琦 阿力扎提·阿不来提

内容提要：全球发展的必然趋势之一是数据化基础上的合作连接。亚太地区国家绝大多数既是世贸组织（WTO）、亚太经合组织（APEC）成员，也可能是重要地区经济合作机制[如区域全面经济伙伴关系（RCEP）、“东盟与中日韩（10 ＋3）合作机制”、美—加—墨自由贸易协定（USMCA）等]的成员方，是全球经济的核心动力之一。因此，其数字化发展的措施、协调，既能反映该地区各国的多样诉求，又将代表区域合作的实践和探索。为促进贸易往来和经济合作，亚太地区各方需积极处理数字本地化措施等关键议题，保持对贸易与投资的推进态势，防止非公平竞争。亚太各方还可探讨以下问题：明确例外限制，确定关键基础设施范围，进行数据分级，逐步缩减成熟行业本地化措施；对起步阶段的行业采纳负面清单管理，审慎允许外资准入或数据跨境；对流通和安全并重的金融等行业数据探索域外监管可行方式，及时有效访问域外数据，确保全面和审慎监管。

一、数据本地化措施与数据便利化交流

2009—2018年全球经济稳步增长，其中有10.1%得益于数据跨境流动。以2014年为例，数据跨境流动对全球经济贡献价值已超过2.8 万亿美元。预计到2025年，此贡献价值将达11 万亿美元。①Joshua P.Meltzer,“Digital Australia:An Economic and Trade Agenda,” Global Economy &Development at Brooking,2018(10),p.118.中国持续融入全球数据流通浪潮，对内、对外数据制度建设也在快速发展，如：加入亚太经合组织（APEC）构建的“跨境隐私规则体系（CBPR）”，宣布加入《数字经济伙伴关系协定》（DEPA）等。中国正规范遵守并积极推动相关国际规则作用的发挥。

例如，CBPR 体系和要求就在针对性规范和促进亚太地区范围内的商业数据流动。商业数据是指各特定产业价值链上各个重要环节的历史信息和即时信息的集合，内容包括商业企业内部数据、分销渠道数据、消费市场数据等；②李晓阳：《大数据背景下商业数据的财产性》，载《江苏社会科学》，2019年第5 期，第158—167 页。价值性体现在数据内容及其关联的经济价值之中。在CBPR 规则要求之下，获得政府认可的评估机构将对商业机构保护个人隐私与信息的水平进行认证，获得认证后的企业之间可以进行数据的自由交换，但CBPR 体系不涉及政府性数据的传输往来。

CBPR 体系将成为连接亚太各国数据流通的重要机制，亚太地区重要的国际数据中心日本和新加坡都已加入其中。中国与亚洲多国有紧密的数字贸易关系，③数字贸易指基于信息通信技术开展的线上宣传、交易、结算等促成的实物商品贸易，还有通过信息通信网络（语音和数据网络等）传输的数字服务贸易，如数据、数字产品、数字化服务等贸易。具体参见：《数字贸易发展与影响白皮书》，2019年12月，中国信息通信研究院网站，http://www.caict.ac.cn/kxyj/qwfb/bps/201912/t20191226_272659.htm，访问日期：2021年2月27日。中日数字贸易规模从2010年的9.48 亿美元迅速增长到2019年的 161.25 亿美元，10年间年均增长速度高达36.09%。④王爱华：《中日跨境数贸易规模测度分析》，载《现代日本经济》，2021年第1 期，第43—54 页。随着中国互联网基建和数据产业的发展不断完备，中国与韩国、新加坡等国间的数字贸易关系也越来越密切。CBPR体系将有效促进亚太地区的数字贸易与经济关系。从全球视角看，美、欧正在大力推进全球数字化贸易市场。2019年，美国、英国、爱尔兰、德国、荷兰等国在全球数字服务出口中的占比接近5 成，其中仅美国占比就达到了16.7%，⑤《数字贸易发展白皮书》，2020年12月，中国信息通信研究院网站，http://www.caict.ac.cn/kxyj/qwfb/bps/202012/P020201216506475945126.pdf，访问日期：2021年3月10日。而其本身也在CBPR 体系下。欧盟与亚太经合组织正就跨境数据流通进行双重认证磋商，因此，CBPR 体系很有可能成为促进亚太与欧盟区域数据流通的主要规则之一。

亚太国家对加入CBPR 体系的态度也在逐步改变。前期的顾虑主要是数据自由流通带来的境内安全风险；更重要的是，把数据视为一种生产要素，认为开放流通可能会削弱本国数字市场的企业潜力。两种因素是所有发达经济体和发展中经济体对数据交流规则主张不完全一致的原因所在。客观而言，亚太地区国家众多、经济和数据发展水平不一，对数据本地化等措施的主张侧重和趋势预期也不可能一致。2022年生效的“区域全面经济伙伴关系”（RCEP）更为平衡的路径主张，与“美—加—墨自由贸易协定”（USMCA）相关机制，以及有相似要求的“全面与进步跨太平洋伙伴关系协定”（CPTPP）更为激进的规则要求，在亚太地区已构成保持相近性却仍有区别的数据流通及其相关本地化规则立场。两类协定对数据的跨境流通所采取的差异主要体现在对数据本地化措施的适用上。从规范结构上看，数据本地化措施的途径一般分为两类：一是对数据流通施加各种前置的条件，比如主管机关审批、通过国家的数据保护能力认证等；二是要求数据只能在本地的计算器设施中存储与处理，这也被称为计算机设施的本地化，是一种较严格的数据本地化措施。在以往较长时间的国际规则实践中，禁止数据出境、在本地储存和处理数据等已构成基本原则；而数据出境需要经数据主体同意或主管机构许可则构成例外。①彭岳：《数据本地化措施的贸易规制问题研究》，载《环球法律评论》，2018年第2 期，第177—192 页。目前，包括我国在内的发展中经济体都基本倾向于这两类做法。

因此，CBPR 体系标准作为可能的中间路径选择，意味着无论是来自发达经济体还是发展中经济体成员的企业们，要想参与亚太地区广泛的数据流通，要同时处理好来自不同成员方国内可能存在的严格程度有异的数据跨境要求和本地化措施。从我国的具体实践看，涉及国家利益、公共利益的特定行业数据、个人数据绝对禁止出境外，对于其他个人数据和商业数据，现有多个规范性法律文件以及《个人信息和重要数据出境安全评估办法（征求意见稿）》②《个人信息和重要数据出境安全评估办法（征求意见稿）》，2019年6月13日，国家互联网信息办公室网站，http://www.cac.gov.cn/2019-06/13/c_1124613618.htm，访问日期：2020年12月20日。《信息安全技术数据出境安全评估指南（征求意见稿）》等将对其进行规范，③《信息安全技术数据出境安全评估指南（征求意见稿）》，2017年4月15日，国家互联网信息办公室网站，http://www.cac.gov.cn/2017-04/11/c_1120785691.htm，访问日期：2020年12月20日。我国将设立比较严格的事前“许可”监管机制，包括但不限于履行“通知—同意”的程序、安全自评估、行业主管部门评估。较高的审核前置或数据本地化要求，将有助于提升本国网络与数据安全程度，有效掌握本地化数据市场的开放程度和节奏，确保很强的主动性。当然，我国相关的规范或标准制定也正积极运用立法技巧，避免宽泛化或审核程序过于弹性，以使企业能在明确合规的前提下，对境内数据与境外数据进行有效整合，保证充分挖掘数据资源的商业性。其次，推动谨慎监管的国内数据规则，与CBPR、RCEP、未来的CPTPP 等国际规则间的可能差异逐步缩减，使中外企业满足数据的存储和流通要求，可以使基本相近的合规方案获批，得以正常、快速地开展境内外生产或服务。

因此，当前亚太经济在数据化经济的良好背景下，讨论如何确立数据本地化规则边界，使其既符合各国数据本地化设计，又能帮助企业适应亚太地区不同经济体的本地化要求，最终打造符合亚太地区长远发展所需的数据跨境规则，存在重要意义。本文将以APEC、RCEP 和USMCA 等现实框架的数据本地化规则为视角，分析其做法的原因、目的和产业引导效应等，以期对包括我国在内的亚太区域选择合理、可行的路径并进行分析和思考。

二、计算机设施本地化措施与正负效应

（一）计算机设施本地化与本土企业利益

2020年11月15日，东盟十国、中国、日本、韩国、澳大利亚、新西兰等15 个国家经贸部长正式签署《区域全面经济伙伴关系协定》（RCEP），该协定在第十二章数字贸易章节对计算机设施的位置和跨境数据传输做出了规定。

作为数据跨境流动的相关规定，RCEP 在第12.14 条关于计算机设施的位置设定，禁止计算机设施的本地化要求。①RCEP 第12.14 条规定：缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施臵于该缔约方领土之内，作为在该缔约方领土内进行商业行为的条件……该缔约方认为对保护其基本安全利益而采取必要的措施。但RCEP 允许例外存在，允许缔约方为合法公共政策和基本安全利益目的采取例外措施。RCEP 的这一条规定，应是考虑到各方对境外服务商特殊情况下的风险防控诉求。众所周知，在“棱镜门事件”中，某些提供数据服务的国际服务商监视用户邮件来往、短信内容、音频和视频内容，并通过用户的手机、电脑等设备攻击特定的网络终端，涉及的商业公司包括诸多世界知名企业。因此，对亚太地区尚处于计算机、数据应用发展阶段的经济体来说，因其无法有效防控有目的的网络或数据滥用，所以它们更愿意采取本地化存储数据并能进行直接监控的方法，在某种意义上也是可以理解的。

RCEP 在12.14 条下的脚注中规定，“就本项条款而言，缔约方确认实施此类合法公共政策的必要性，应当由实施的缔约方决定”。这意味着任何可能要求服务商在成员国内放置计算设施的公共政策，其合法性都是由政策的实施者来判断。换句话说，经过缔约方的自我审查，任何政策都可能被视为必要的和合法的，这种自我审查的制度设定，虽然在现阶段是必需的，但仍值得我们继续探讨。同时，为了增加一层保障，为“安全利益”所采取的任何必要措施，同样将成为计算机设施本地化的豁免理由。在例外机制的制度保护之下，成员方实际上可以拥有较大的弹性，从而满足计算机设施本地化的要求。

除了对国家安全的考虑，RCEP 通过对一般例外和安全例外的较宽松规定，可能存在计算机设施本地化措施形成的附加效应，能使成员方为本国市场、本土企业的数据化能力和参与国际竞争能力争取更多的时间。RCEP 成员方有理由认为，自身充足数字经济潜力需要被尊重。在数据已经成为重要生产要素的今天，发达经济体的企业借助前期优势过快入境，很可能会从本土企业的手中抢走发展机会。以RCEP 的成员越南为例，根据谷歌发布的《2020年东南亚数字经济报告》，2020年，越南数字经济实现16%的增长，金额达到140 亿美元，并且预计在2025年达到520 亿美元。在疫情影响下，越南电商总交易额增长到了70 亿美元，在线传媒业达到了33 亿美元，数字医疗和教育软件的使用率也提升了3倍。①《2020年东南亚数字经济报告》，2021年3月3日，谷歌官方网站，https://storage.googleapis.com/gwebeconomy-sea.appspot.com/assets/pdf/Vietnam-e-Conomy_SEA_2020_Country_Insights.pdf,访问日期：2021年3月5日。RCEP 其他成员方人口众多，活跃网络用户的数量也与日俱增，数据增长量会在未来显著提高。计算机设备本地化的要求确实会起到一定的维持贸易公平的作用，在防止发达经济体扩张的同时，会迫使外商为数据服务需要在当地建立存储中心，进而带动该地区产业发展，扩大当地就业。

从经济角度来看，计算机本地化措施在短期内将有效促进本地数字经济的发展。以俄罗斯为例，市场研究机构iKS-Consulting 公司的调查数据显示，在要求数据本地存储后，俄罗斯国内的数据存储中心服务市场价值自2016年开始每年保持超过20%的增长率，2018年达到285 亿卢布，2019年则超过360 亿卢布。①“TikTok 事件背后的数据本地化浪潮”，2020年10月9日，中国贸易投资网，http://www.tradeinvest.cn/information/6993/detail，访问日期：2021年3月10日。俄罗斯并没有强大的网络公司能走出海外并获得经济收益，但其本地化措施却带来了显著的经济增长。对于RCEP 成员方来说，如果数据跨境流通的收益不高于本地化措施带来的收益，就会要求计算机本地化措施的实施。

（二）计算机设施本地化与数字经营发展

作为区域经济合作紧密机制的代表者，USMCA 条约建立和更新的初衷是着眼在北美地区形成美、加、墨之间较为全面和较高要求的经济合作条约机制。毋庸置疑，USMCA 对亚太地区经济发展、合作交往和规则发展的辐射效应日趋明显。其中最大原因在于，北美自贸区是开展跨国经营的企业无法忽视的市场，企业必须关注和遵守北美地区的规则变化；同时，USMCA 区域也是诸多国际化巨型企业的出发地，亚太周边和全球其他区域的规则变化对这些跨国企业的影响巨大。

2016年，数字化服务出口占美国服务贸易出口的54%，数字化服务进口占所有服务进口的48%，数字服务贸易顺差达1595 亿美元，占美国服务贸易顺差总额的64%。从统计数据来看，美、加之间以及美、墨之间的服务贸易有50%以上为数字贸易。②“数字贸易占美国服务贸易的比重超过了50%”，2018年1月15日，商务部网站http://eu.mofcom.gov.cn/article/jmxw/201801/20180102701569.shtml，访问日期：2021年3月20日。为了继续推动数字贸易进出口，USMCA 第19.12 条明确禁止了计算机设备的本地化要求。③USMCA Article 19.12：No Party shall require a covered person to use or locate computing facilities in that Party’s territory as a condition for conducting business in that territory.此项禁止并未设有例外的机制，无论安全例外和一般例外。采用如此严格的限制，是因为制定者认为计算机设备的本地化要求并不能达到原本设想的保护国家安全和公共秩序的目的。将数据及其设备全部存放在本地，反而更有可能遭到有针对性的网络攻击，并导致大量数据泄露。

该条并不要求禁止与政府数据相关的计算机设施本地化措施，即政府的相关数据依然可以要求在本地存储。考虑到USMCA 成员仅为三方，且地理关系、经济发展和科技水平相近，也有较长的条约合作历史等背景，确实更能促使三方得出比较一致的判断：对商业计算机设施采取本地化要求，只会更大可能推动其对贸易流动的壁垒作用，可能会阻碍数字贸易自由发展。为了促进数据流通，应当禁止商业计算机设施的本地化。

计算机设施本地化，也被认为很可能提高各方企业参与市场竞争的进入壁垒或成本，在现实中也是显而易见的。在当地特定区域内放置或使用计算机设施的要求，需要数据服务商搭建全新数据中心，成立营业部门并雇佣许多员工，服务商硬件、维护、能耗和人力成本都会显著提高。对承担了较大比例国际贸易成交量的绝大多数中小企业来说，高成本数据中心的建设或维持，更是他们无法负担的。因此，USMCA 选择放弃对计算机设施本地化，很可能会随着国际贸易规模的扩大，进一步加强数据化可能成为一种趋势。

当然，云服务行业正在迅猛发展，国际数据公司（International Data Corporation，IDC）发布的《全球云计算IT 基础设施市场预测报告》显示，2019年，全球云上的IT 基础设施占比超过传统数据中心，成为市场主导者。①IDC,Cloud Computing Services Security Assessment Measures released,China’s Cybersecurity Supervision Continues to Be Strengthened,转引自贺小勇：《WTO 电子商务规则提案比较及中国之应对》，载《上海政法学院学报》，2020年第1 期，第105—114 页。通过云计算，企业数据能够得到有效的挖掘和利用，进而帮助其更全面地制定正确、快速的商业决策。要获得云服务，就需要将本地的数据传输到提供服务的云服务商的超级计算机之中。来自多国的商业数据可以在同一台超级计算机中存储，这既有利于降低储存成本，也有可能大幅提升数据的调用和交换效率。事实上，云服务商会用一个特定国家境内的超级计算机为周边多个国家的商业需求提供云服务。反之，如果某国有计算机设施本地化要求，针对当地中小企业的云服务则需要在该国安置一台高成本的超级计算机或数据中心群，那么，除了云服务商巨头（如谷歌、亚马逊、阿里巴巴等），很少有企业会进入当地市场去承揽低效率的市场业务，由此，该国的云服务产业水平与数据应用效率反而会大大降低。

因此，是否禁止或逐步限制对计算机设施的本地化要求，将在亚太地区经济合作机制设计或完善上成为讨论议题。全面与进步跨太平洋伙伴关系协定（CPTPP）中的11 个国家对此做出了禁止规定，而作为既是CPTTP 成员方、又是RCEP 成员方的日本、澳大利亚、新西兰、新加坡、马来西亚和越南，它们的本土立法，需要同时满足有差异的RCEP 标准和CPTPP 标准。这意味着，中方企业在这些国家展开数字化经营时，将面对成本更低的友商竞争。

2020年12月8日，韩国时任总统文在寅公开表示，韩国正在考虑加入CPTPP。中国国家主席习近平在2020年11月APEC 第二十七次领导人非正式会议上发表讲话，表示中国考虑加入CPTPP。从趋势上看，基于对亚太地区经济合作的战略跟踪和国际规则研判，我国将会持续保持客观分析、辩证推进，使本土数字经营与安全防范之间保持合理平衡，最终引导我国跨国经营企业拥有真正的数字化竞争力。

（三）计算机本地化措施长期化的正负价值

如前所述，计算机设施本地化确有可能形成本土壁垒，短期内能够带来当地经济正收益或保护作用，但考虑到数据化经营中技术因素占比很大，其导致的成本竞争劣势会被放大，严苛的本地化措施可能使外商退出当地市场，这就带来了持续性、联动性的负面影响。以采取绝对数据本地化措施的俄罗斯为例，该国规定，公民的个人信息应存储于俄罗斯境内，处理公民个人信息的计算机设施同样要在俄罗斯境内，数据主体有信息告知和协助有关部门执法的义务。①何波：《俄罗斯跨境数据流动立法规则与执法实践》，载《大数据》,2016年第2 期，第129—135 页。这一系列规定实施后，许多外来的国际企业纷纷退出了当地市场。比如，谷歌关闭了当地工程技术部门，微软Skype 开发团队同样也撤出了俄罗斯。②Bogdan Popa,“Microsoft,Google,Adobe Leave Russia Due to Putin’s New Laws,” 15 December 2014,http://news.softpedia.com/news/Microsoft-Google-Adobe-Leave-Russia-Due-to-Putin-s-New-Laws-467521.shtml，访问日期：2021年3月21日。

计算机本地化措施要求，对一国欠发展地区与行业的数字化普及、相关产业促进、经济发展确实有一定刺激的作用。在我国的《网络安全法》要求计算机设施本地化后，宁夏中卫的云服务中心地区吸引了亚马逊、IBM、阿里巴巴等公司落户，苹果公司也与云上贵州合作，并在贵安新区建立了大型数据中心。互联网巨头带动了当地云服务产业，促进了一些地方就业和衍生产业。需要注意的是，中国对外数字贸易更是处于蓬勃加速发展之中。2019年，中国数字贸易进出口规模已达到2036 亿美元，占全国对外服务贸易总额的26%，同比增长6.7%，①王炳南：“抓紧形成数字贸易的中国方案”，2020年9月5日，中国新闻网，https://baijiahao.baidu.com/s?id=1676979131410238688&wfr=spider&for=pc，访问日期2021年1月25日。发展的体量和速度在全球独树一帜，部分行业企业甚至已经处于世界领先行列。

对于已经处于发达经济体的数字化产业，设施本地化措施确实能在短期内获得市场收益，但过长时间、过大范围的本地化策略会带来片面或负面的经济或产业分析产物，有悖于接纳全球经营者进入的政策底色，并容易造成本国制度、政策之间的相互侵蚀……设施本地化、数据本地化当中得到的任何短期收益，都远远抵不上社会福利和经济产出的总体和长期损失。②马蒂亚斯·鲍尔等：《数据本地化的代价：经济恢复期的自损行为》，载《汕头大学学报》(人文社会科学版)，2017 第5 期，第44—47 页。发达经济体，则更须严格限制本地化措施，防止该措施在区域内成为一种广泛的保护主义，抑制数字服务进出口。当数据服务只能由当地机构提供时，本国消费者将无法获得更好的服务，最终降低的是个人发展力和企业竞争力，经济体在全球竞争将处于劣势地位。③Anupam Chander＆Uyên P.Lê,“Data Nationalism,” Emory Law Journal, 2015(64)，pp.677-727.

三、设定数据本地化措施强度的制度节点

客观地讲，现阶段各国境内的计算机设施本地化要求无法立刻消除。因此，实现存储在其中的数据自由流通，成为另一条降低设施本地化措施强度，促进数字贸易的可选途径。对此，在重要数据提出设备本地化要求的背景下，针对数据跨境流通，APEC、RCEP 和USMCA 等框架下各方都做出了不少的规则探索，即明确不允许数据流通的例外情形，其分类为一般例外和安全例外。APEC、RCEP的规定较为宽松，USMCA 的例外规定则更狭窄。

（一）运用GATT/GATS 规则来限制一般例外

关于通过电子方式跨境传输信息的规则措辞，RCEP 采用了与计算机设施本地化相同的表述风格，即采取较为宽松的允许成员方设置的例外措施。USMCA 则规定，任何成员方不得禁止或限制通过电子数据进行跨境信息传输，允许例外措施存在，但前提是该例外不存在不合理的歧视，或变相限制贸易；不会对信息传输施加更多的限制。①USMCA Article 19.11:Cross-Border Transfer of Information by Electronic Means.1.No Party shall prohibit or restrict the cross-border transfer of information,including personal information,by electronic means if this activity is for the conduct of the business of a covered person.2.This Article does not prevent a Party from adopting or maintaining a measure inconsistent with paragraph 1 that is necessary to achieve a legitimate public policy objective,provided that the measure:(a) is not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination or a disguised restriction on trade;and (b)does not impose restrictions on transfers of information greater than are necessary to achieve the objective.

在过往大量制定的国际条约或协定中，公共政策的合法性审查往往存在较大的争议，世贸组织（WTO）规则体系也不例外，其关税与贸易总协定（GATT）与服务贸易总协定（GATS）因已基本覆盖世界各国。例如，USMCA 第19 章附件19-A 第4 条规定，“根据GATS 第14 条(a)款为保护公共道德而采取的必要措施的例外情况，在进行必要的变通后纳入本协定，并使之成为本协定的一部分”。此外，USMCA 第32.1 条“一般例外”的第2 款，规定为了达成数字贸易的目的，GATS 第14 条的a、b、c 三款经过必要变更后，纳入并成为本协定的一部分。这种更改不涉及条款的实质内容变更，但在必要时可以更改诸如名称等形式，第14条中的a、b、c 三款分别涉及公共道德和秩序、人类与动植物保护、防止消费欺诈、个人隐私和数据保护等。RCEP 中同样规定了例外的适用情况，②RCPE 第18 章第12 条规定，就第12 章（电子商务）而言，GATT1994 第14 条和第20 条经必要修改后纳入本协定，并构成本协定的一部分。规定了构成限制数据流通的政策例外的措施将包括保护人类、动物或植物生命或健康所必需的环境措施，以及与保护生命和非生命可用尽自然资源相关的措施。

将GATT/GATs 对例外的限制纳入规则中，有助于APEC、RCEP 和USMCA成员方在引用数据措施例外时进行横向比较，判断自己例外措施的合理程度。比如，同时满足多个国际条约的规则义务。GATT/GATS 对公共政策例外做出的限制性解释，要求其必须是涉及严重威胁社会基础利益的事项。若成员方基于APEC、RCEP 和USMCA 的相关规定而援引合理的公共政策的例外情况，这种例外应与GATT/GATS 中的例外保持同样水平，不能基于一国政府短期政治、经济利益诉求而制定某个时期的特定政策，必须是一国长期以来存在的政策，或是一国作为未来的基本政策持续存在。因此，APEC、RCEP 和USMCA 等围绕亚太地区经济合作具有强辐射效应的区域条约合作机制如果能维持GATT/GATS 中例外标准及解释（除非涉及与健康医疗相关的生物数据），数据跨境流动基本上不会受到公共政策例外规则过于宽泛的限制。

（二）注重RCEP 对安全例外限制的合理范围

对数据流通施加限制的主要理由可能是安全例外。引用安全例外时，RCEP赋予成员方享有的自决权与USMCA 相似，成员方可自行决定某种措施是否侵犯了国家安全。不过，RCEP 在第12.17 条规定，任何缔约方不得就电子商务章节下产生的任何事项而诉诸本协定的争端解决机制。①RCEP 第12 章第17 条规定，任何缔约方不得就本章项下产生的任何事项而诉诸第19 章的争端解决。缔约方应当审议第19 章对本章的适用。审议完成后，第19 章应当在同意其适用于本章的缔约方之间适用。这意味着，如果RCEP 的成员方不能通过协商而自行解决争端时，须将争议移送至RCEP 联合委员会进行讨论，但该委员会实际上也没有被赋予可单独施加决定性裁判的权力，而RCEP的争端解决机制只能由争议双方同意后方可适用。因此，如果成员方实施基于电子商务章节而以国家安全为名义的数据限制措施，针对该国国内企业跨境或外国公司数据产品或服务出入境的严格措施，则不一定能上升为RCEP 争议解决机制所快速解决之事项。RCEP 成员方之间开展数字贸易等经济往来，如某一方对中方企业在该国数据化经营活动而引用安全例外并采取限制，中国作为成员方可能很难获得基于本条约的有效争议解决，及时而有效得维护所涉企业及其商业利益。因此，对此项程序改进将是未来的工作方向之一，在程序上防止限制措施进入国家利益的“黑洞”。

安全例外是对国家主权的重要保障，能够有效防止国家安全利益因国际交往而处于危险之境地。我们简单回顾GATT 到WTO 的发展历史可发现，成员方依靠安全例外过于弹性的采取措施，势必会抢夺原本意在促进国际经济开放、自由交往的规则框架性精神，进而损害跨境企业、商业投资者的经济利益。因此，无论如何，安全利益的例外不是扩展其空间的理由。相反，条约成员各方应持续努力使其受到合理性约束或明确性审查机制约束。RCEP 协定中所规定的“必须”“基本”“合理”等条约文本的现有措辞，可在相关成员方国内法中尽量予以明确、合理的界定，则安全例外可避免被泛化，防止安全例外可能成为当前日益严重的贸易限制甚至贸易制裁的手段，保障亚太地区持续成为跨境数据经营活跃、规则创新和发展的新引擎。

四、对完善我国数据本地化措施的思考

作为RCEP 的重要成员方，我国的数据本地化制度基本符合RCEP 的审慎务实立场，并对未来更高水平的国际规则设计和创建保持了明确而积极的态度。可以想见，随着RCEP 等更多亚太区域性规则的生效，在我国开展跨境经营的企业，首先要符合我国现有的规则要求，配合中国政府积极践行条约义务。跨境经营企业同时也应务实辨别亚太、欧洲、北美等世界不同区域，基于经济发展水平、成员方差异程度、区域合作发展历史等因素而导致的数据化经营规则和标准上的差异。针对这种差异，跨境经营企业应及时调整业务模式、数据处理方式和产品投放结构等，持续提升合规化的竞争力。

数据化程度的加深，是全球化经济合作的必然内容，也将随着全球化5G 通信技术链接、数字化生态蔓延、低碳化协作努力和可持续化、集约化发展的必然趋势等，最终形成规则标准更为统一的数据化生存国际规则体系。中国作为全球化的长期倡导者、外资流动和跨境经营的欢迎者、科技创新和区域合作的推动者，对进一步消除数据化经营的非必要限制、实现自由和公平贸易、推动更健康的全球合作机制等，应持续发挥积极的作用。通过国内法建立健全完善、区域性条约规则协同创新，秉持开放性、追求共赢性，分阶段、分步骤地推进数据本地化措施等制度的改革和完善。未来，可尝试从三方面入手：一是逐步限制关键基础设施的范围，确保服务商拥有平等机会参与市场竞争；二是对数据化经营分行业开展治理，优先允许发达行业的数据跨境自由流通；三是对重要数据使用域外监管，在底线上确保重要数据的安全性与风险性可控。

（一）逐步限缩关键信息基础设施的范围

根据国家互联网应急中心发布的公告，2020年第3 季度CNCERT/CC 监测发现，对中国实施网络攻击的计算机控制端有1194 个，其中境外控制端占比96.3%。①《我国DDoS 攻击资源分析报告-2020年第3 季度》，2020年10月8日，国家互联网应急中心网站，https://www.cert.org.cn/publish/main/upload/File/DDoS%20attack-2020%20the%203rd%20quarter.pdf，访 问日期：2021年1月10日。因此，对于公共关键信息基础设施，我们需要计算机设施的本地化，确保国家本身对其行使充分的保护职能。中国可逐步限定关键基础设施的界定范围，将私有企业的一般商业性设施排除在外。根据我国《网络安全法》第31 条要求，关键信息基础设施的运营者要将数据存储在中国境内。第25 条对关键信息基础设施做出了解释，即除了涵盖了通信、医疗、金融等众多关系公共利益的行业，还包括“用户数量众多”网络服务提供者系统。

参考越南的做法，其数字经济水平和网络安全防护能力都不如中国，但依然采取了较为明确而狭窄的分类，将关键基础设施划分为八类，并限定这些设施为国有设施，作为区分并不涵盖私有企业拥有的设施。②张怡：《越南网络安全法》，载《南洋资料译丛》，2018年第3 期，第63—80 页。我国也可以参考此做法，并在适当的时间点将私有企业的设施排除在关键基础设施的范围外。关键信息基础设施的地位来源于其包含的数据内容，涉及政府或公共利益的数据应纳入此列数据的行列，从商业角度看，关于一国水利、能源、交通部门的数据等具有本地存储的天然特征，并不需要跨境流动来追求其商业价值，③王融：《数据跨境流动政策认知与建议——从美欧政策比较及反思视角》，载《信息安全与通信保密》，2018年第1 期，第41—53 页。而私人企业的商业数据显然不在其中。在绝大多数情形之下，数据安全与否并不取决于所存储的物理位置，而是决定于信息技术基础设施以及加密程序的使用强度。④Commission Staff Working Document on the free flow of data and emerging issues of the European data economy:Accompanying the document Communication Building a European data economy，Brussels，10（1）．转引自：田旭：《数据本地化立法的兴起与反思》，载《大连海事大学学报》，2020年第1 期，第32—40 页。若想保护网络数据安全，我国更应着力强调和引导投入的是信息技术的防护和应对能力，而非简单依靠设施物理化的本土化措施。

以存储数据内容为标准来区分关键信息基础设施，只有针对这类数据设置本地化要求，才能使其落入安全例外的范围，即只有这些数据才是安全例外条款提到的“必须”存储在本地的数据，对这类数据流通施加限制才是“合理”的。

（二）有针对性采取对数据流通的行业区分治理

根据麦肯锡咨询公司（McKinsey）测算，我国数字经济规模稳居全球数字经济的第二大市场，但宽带数据流量却位居全球第八位，仅为第一大市场国的20%，与庞大数据经济体量相比，我国数据流动规模较小。①“中国与世界：理解变化中的经济联系”，2019年7月6日，麦肯锡网站，https://www.mckinsey.com.cn/中国与世界：理解变化中的经济联系/，访问日期：2020年12月23日。为此，我国更应倡导不同行业数据的自由流动，发挥数据之间协同、互证等化学效应，使数据流动量与数据体量相适配，支持国民经济。同时，我国应对数据传输制定分类、分行业、分级管理，划清限制事前许可的监管范围。

1.通过行政规章试点来逐步支持监管条例的制定

关于数据的分类方法，多数学者已经达成共识，他们主张将数据先分为个人数据与非个人数据，其中非个人数据可再分为与政府或公共利益有关的数据和一般商业数据，不同类别的数据适用不同的传输标准。笔者认为，应在此基础之上对商业数据进行分行业治理。商业数据的范围相当广泛，依据行业的不同可先分为一般行业的商业数据与特别行业的数据。特别行业的数据指的是金融、医疗等涉及公民财产与健康行业的数据。行业不同，数据传输的限制程度也应不同。

我国对数据本地化的要求广泛存在于各行业监管部门的办法、规定等低位界的规范之中，相关标准规范发展滞后，跨境数据流动性明显不足。②许多奇：《个人数据跨境流动规制的国际格局及中国应对》，载《法学论坛》，2018年第5 期，第130—137 页。比如，在医疗健康领域，在《人类遗传资源管理条例》《人口健康信息管理办法（试行）》等现行规定下，对人口健康信息、人类遗传病资源信息、医疗病例等以合作科研为目的的数据跨境需求，应进一步便利其共享，以便支持国际合作多中心的医学研究，也可一定程度上减少一些地方政府又另行制定有关数据跨境行政规章的必要性。

2020年11月5日，上海市人民政府对外发布了《全面深化服务贸易创新发展试点实施方案》（以下简称“方案”），方案在第8 条中特别提出，上海将在临港新片区探索研究“推进数据跨境安全的有序流动”机制，在临港新片区开展汽车产业、工业互联网、医疗研究（涉及人类遗传资源的除外）等领域数据跨境流动安全评估试点。①《上海市全面深化服务贸易创新发展试点实施方案》，沪府规〔2020〕24 号，2020年11月13日，上海市政府网，https://www.shanghai.gov.cn/nw12344/20201113/7093dba035ac4aff9503f649d47c3306.html，访问日期，2021年12月5日。方案选择金融、汽车、医疗行业作为尝试的切入点，是因为这些行业都是上海本地的发达产业——上海拥有许多大型跨国金融服务公司，如特斯拉中国工厂和顶尖的医疗科研机构等。方案表明，中国开放数据跨境传输可以依据实际需要，在特定的城市开放特定行业的数据跨境业务，优先考虑处于领先地位的行业，让该行业数据的流通为当地带来较大的经济利益。由于该制度设计本质上属于地方行政规章，而金融数据的跨境流通依然受中国人民银行、证监会和银保监会的职责监管，地方行政规章的效力并不会超越，所以，就需要地方政府积极寻求与监管机构协商，为试点的金融机构获得有限的豁免，最终试点实现金融数据的合理传输。这种由地方政府出台办法来争取传统机构监管的试点模式，不失为探索解除本地化措施、放行数据传输的探索，但仍需要开辟更为稳定的新路径。

2.负面清单列举应保留严格的本地化限制的行业

在限制数据本地化措施的基础上，应倡导引入负面清单的成功模式，列举需要在当地安置计算机设施、数据跨境受严格审批限制的行业。负面清单可以列入涉及国家安全、政府服务的行业，也可以列入数字化水平明显落后于国际水平的行业。负面清单的适用可以消除我国加入CBPR 体系、DEPA 协定的顾虑，有利于阻止落后行业可能蕴藏的丰富数据资源外流。

负面清单中也可列入目前暂不存在的行业，也可定期更新。负面清单可以由以下两个附件构成。第一个附件是保留数据本地化要求的行业清单。该附件包括所有在协定生效后东道国希望保留本地化措施的行业与部门。第二个附件是未来可以实行新的限制性措施的部门和领域，将允许国家保留将来对特定领域实施本地化措施的权力，为未来特定行业实施限制预留足够的空间。之所以不使用正面清单，是因为其会使承诺停留在当时的水平，而且制度或规则更迭远远跟不上数字技术的发展速度。

（三）明确重要数据的本地化要求——以金融数据为例

1.缩减对金融数据简单的本地化措施，科学适用域外监管

金融服务业的特殊性，在于其几乎所有业务及其记录都依赖于数字化记载，需要利用数字化来保证延续性记载，并使信息能长期化、完整化保存，同时这些数字记录都与交易主体的财产安全、主体隐私等紧密相关，关系着一国经济的命脉与社会稳定，故要特殊考虑。因此，各国都对金融数据的本地化做出特别规定，对金融数据的流通要求更加严格，体现出强监管的态度。

RCEP 对金融数据的跨境制定了与普通数据流通一致的规则，成员方既可要求金融数据在本地存储，也可通过政策限制数据传输。最终是否允许金融信息跨境的权力，依然保留在各个成员方手中。①RCEP 第8 章第9 条规定，禁止缔约方阻止其境内的金融服务提供者为进行日常营运所需的信息转移，包括通过电子方式或其他方式进行数据转移。

关于金融数据的跨境传输规则，笔者认为，USMCA 的做法确有一定借鉴性。USMCA 第17.18 条第3 款规定，禁止提供金融服务时，成员方要求外国计算机设备本地化，但额外要求服务商提供途径，确保本国的金融监管机构因监督和管理目的，能够立即、完整、直接和持续访问在外国计算机设备中存储的数据。②USMCA Article 17.18.2:No Party shall require a covered person to use or locate computing facilities in the Party’s territory as a condition for conducting business in that territory,so long as the Party’s financial regulatory authorities,for regulatory and supervisory purposes,have immediate,direct,complete,and ongoing access to information processed or stored on computing facilities that the covered person uses or locates outside the Party’s territory.

对金融数据的访问要求，监管机构的目的只能出于监管，不能滥用访问权。服务商要确保一条访问途径，这条途径须确保信息的反馈是立即、完整、直接和持续的。及时的访问可以确保监管及时开展，保证效率；完整的访问可以保障获取数据的覆盖面充分，防止信息不对称导致的错误决策；直接的访问可以保证监管机构能获得原始的数据；持续的访问可以确保监管是长期作用的。这四个要素可以确保监管的作用和效率，保障东道国金融数据的安全。

此外，该条项下的第3 款规定，如果服务商无法提供上述途径来确保监管机构的访问，那么在要求计算机设施本地化之前，东道国应有义务向服务商提供合理的机会，使服务商做出补救行为。虽然条文中并没有对“合理的机会”和“补救行为”进行出说明，但这依然是一个良好的信号，给东道国附加了责任，即通过给服务商提供补救机会，尝试消除本国的计算机设备本地化。这种救济途径是重要的，如果没有合理机会来补救，就会导致一些服务商仅仅因为程序上的瑕疵或者微小的实质错误而失去提供数据服务的机会。该条第4 款还规定，东道国为保护个人数据、个人隐私、个人账户和记录的机密性的措施，不会受到本条的限制，但这些措施不得被用来规避该条下的承诺或义务。这些内容将个人信息保护和消除计算机设备本地化联系起来，在肯定前者的优先地位的同时，不能滥用这种优先地位。

2.科学建立和逐步实施重要数据的分级流通

中国支付清算协会报告显示，2019年，人民币跨境支付系统共处理业务188.43 万笔，金额33.93 万亿元，①《数字贸易发展白皮书》，2020年12月，中国信息通信研究院网站，http://www.caict.ac.cn/kxyj/qwfb/bps/202012/P020201216506475945126.pdf 访问日期2021年3月10日跨境消费持续成为电子支付行业最重要的增长点。与日益增长的金融数据跨境需求相比，相关行业规定仍处于滞后阶段。《证券基金经营机构信息技术管理办法》禁止“证券基金经营机构……截取、留存客户信息，或以任何方式向其他机构、个人提供客户信息”。实际上，这些监管要求导致跨国金融机构在境内获取的客户信息和交易信息难以与境外的母公司整合处理。禁止金融数据跨境可能迫使金融机构在暗地里进行数据转移，而这些数据的暗地转移将会在监管范围之外产生更大的隐形风险，从而与规制目标背道而驰。②马兰：《金融数据跨境流动规制的核心问题和中国因应》，载《国际法研究》，2020年第3 期，第82—102 页。

金融数据的本地化要求，确实有利于加强对国内金融行业的监管，但这种规则广泛形成，跨境金融数据的获取只能通过他国政府协助的方式，并将造成跨境数据调取“缓慢，低效”的缺陷，这在金融交易及其信息数量级剧增不可逆转的趋势下显然是极其不可接受的。统计数据表明，数据调取的协助程序的耗时起码需要10 个月。③梁坤：《基于数据主权的国家刑事取证管辖模式》，载《法学研究》，2019年第2 期，第188—208 页。在分行业治理的基础上，我国也应单独制定关于金融数据的数据分级跨境规则。《个人金融信息保护技术规范》将金融数据按敏感程度分为三级：C3 是用户鉴别信息；C2 是可识别信息主体身份与金融状况的个人金融信息；C1 是机构内部的信息资产。对于敏感程度低的C1 类信息，应优先允许其流通。上海发布的方案第8 条也规定，“试行允许符合条件的外资金融机构，因集团化管理而涉及其在境内控股金融机构，向境外报送有关数据、特别是涉及内部管理和风险控制类的数据”。该方案试点流通的数据就是风险级别较低的C1 类数据。为此，在试点时为降低数据泄露的安全风险，可优先从集团内部的数据传输（如子公司到母公司的数据传输开始尝试），再逐步开放到不同公司企业间的数据传输。

五、结语

辩证看待数据本地化措施的必要性，思考探索对其缩减的可能性和步骤，是全球化经济合作与数据化时代发达经济体与发展中经济体的共同任务。当然，必须客观考虑发展阶段、国别区域、行业属性甚至企业诉求等。无论APEC、RCEP还是USMCA，或是CPTPP，既反映出本地区各成员方的发展实际和客观诉求，又体现着努力探索、争取建立更科学、公平机制的合作期盼。逐步缩减计算机设施、数据本地化措施要求，又允许能合理界定的例外存在，使规则的弹性保持客观辩证、且可被合理预期，那么贸易和数字化全球经济未来一定会朝着更自由、更紧密的方向发展。作为拥有最丰富数据资源的大国，中国有很多最有活力的国内企业有着全球化开拓的欲望，更多的跨国企业也正努力与中国的各级市场建立紧密的数字化协作联系。因此，我国宜保持数据本地化规则等不断探索与主动提升，借助RCEP 规则的生效及发展，可积极争取引领科学、合理而有活力的亚太区域经济合作发展规则体系的不断进步。