跨境数据流动规制的公共利益保护：CPTPP与RCEP规则比较及中国因应

王晶晶 张光

※作者单位：王晶晶，西北政法大学国际法研究中心；张光，西北政法大学涉外法治研究中心

1许多奇.治理跨境数据流动的贸易规则体系构建［J］.行政法学研究，2022（4）：50-60.

2UNCTAD STAT. Bilateral trade flows by ICT goods categories，annual［EB/OL］.（2023-01-30）［2023-11-01］.https：//unctadstat.unctad.org/wds.

3中國信息通信研究院.数字中国发展报告（2022年）［EB/OL］.［2023-11-15］.http：//www.cac.gov.cn/rootimages/uploadimg/16864023312

96991/1686402331296991.pdf？eqid=8ed6b42a00020686000000066481bca7.

4中国信息通信研究院.全球数字经贸规则年度观察报告（2022年）［EB/OL］.（2022-07-29）［2023-11-01］.www.caict.ac.cn/kxyj/qwfb/bps/202207/P020220729550446286663.pdf.

5中国信息通信研究院.全球数字经贸规则年度观察报告（2022年）［EB/OL］.（2022-07-29）［2023-11-01］.www.caict.ac.cn/kxyj/qwfb/bps/202207/P020220729550446286663.pdf.

6CHEN S.Research on data sovereignty rules in cross-border data flow and chinese solution［J］.US-China law review，2021（6）：261-273.

7VOSS W G.Cross-border data flows， the GDPR， and data governance ［J］. Washington international law journal，2020（3）：485-532.

1ROTENBERG J. Privacy before trade：assessing the WTO-consistency of privacy-based cross-border data flow restrictions［J］. University of Miami international and comparative law review，2020（1）：91-120.

2中国信息通信研究院.全球数字经贸规则年度观察报告（2022年）［EB/OL］.（2022-07-29）［2023-10-01］.www.caict.ac.cn/kxyj/qwfb/bps/202207/P020220729550446286663.pdf.

3VOSS W G. Cross-border data flows the GDPR， and data governance［J］.Washington international law journal，2020（3）：485-532.

4陈鼎庄.欧盟《一般数据保护条例》对国际服务贸易规则的影响［J］.中国流通经济，2021（4）：93-102.

5王光，代睿，林长松，等.双边投资协定与中国对外直接投资［J］.国际经贸探索，2020（3）：95-112.

6TSAI K. Regulation of data localization and how the legal profession can play a role［J］.Georgetown journal of legal ethics，2021（4）：1355-1382.

7SAXENA S. Comparative analysis of Indias data protection norms with European Unions （GDPR） norms［J］.Supremo amicus，2021，23：123-138.

8GOLDBERGER D，AKERMAN N，LEVIN J，et al. Fall 2016 cross-border data privacy issues ［J］. Cardozo journal of international and comparative law，2017（2）：379-416.

1徐玖玖.利益均衡视角下数据产权的分类分层实现［J］.法律科学（西北政法大学学报），2023（2）：67-81.

2程啸.论数据安全保护义务［J］.比较法研究，2023（2）：60-73.

3王玎.论数据处理者的数据安全保护义务［J］.当代法学，2023（2）：40-49.

4GLADSTONE M H. GDPR in United State litigation through summer 2020：GDPR-subject companies must produce［J］. Defense counsel journal，2020（4）：1-14.

5艾素君.晚近国际投资协定对东道国规制权的保障及中国实践［J］.河北法学，2023（2）：118-135.

6MARENGO F. Regulating data transfers through the international trade regime［J］. Manchester journal of international economic law，2020（2）：266-297.

7HODSON S. Applying WTO and FTA disciplines to data localization measures［J］. World  trade review，2019（4）：579-608.

8王中美.欧盟数据战略的目标冲突与中间道路［J］.国际关系研究，2020（6）：41-61，153.

1区域全面经济伙伴关系协定（RCEP）［EB/OL］.［2023-07-01］.http：//fta.mofcom.gov.cn/rcep/rcep_new.shtml.

2 《全面与进步跨太平洋伙伴关系协定》  （CPTPP）文本（含参考译文）［EB/OL］. （2021-01-11）［2023-10-01］. http：//www.mofcom.gov.cn/article/zwgk/bnjg/202101/20210103030014.shtml.

1SIMCHAK S. Financial services international trade jurisprudence—revisiting the prudential exception and its implications for Indonesia［J］.Currents：Journal of international economic law，2022（1）：42-67.

2裴长洪.构建立足中国实践发展的数字经济学理论体系——评《数字经济学》［J］.当代财经，2022（12）：2，155.

3SOPRANA M. The digital economy partnership agreement（DEPA）：assessing the significance of the new trade agreement on the block［J］.Trade，law and development，2021（1）：143-169.

4CHEN S. Research on data sovereignty rules in cross-border data flow and Chinese solution［J］. US-China law review，2021（6）：261-273.

5YU P K .The RCEP and Trans-Pacific intellectual property norms［J］.Vanderbilt journal of transnational law，2017（3）：673-740.

6HODSON  S. Applying WTO and FTA disciplines to data localization measures［J］. World trade review，2019（4）：579-608.

7余明鋒.数字全球化与数字主权——以德国和欧盟为视角［J］.国外社会科学，2021（5）：52-57，157-158.

8中国社会科学院语言研究所词典编辑室.现代汉语词典：第6版［M］.北京：商务印书馆，2014：1093.

9叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察［J］.法学评论，2020（1）：106-117.

1全国信息安全标准化技术委员会秘书处.关于发布《网络安全标准实践指南——网络数据分类分级指引》的通知［EB/OL］.（2021-12-31）［2023-10-01］.https：//www.tc260.org.cn/front/postDetail.html？id=20211231160823.

2吴玄.数据主权视野下个人信息跨境规则的建构［J］.清华法学，2021（3）：74-91.

3张琼丽，陈翼.数据分级分类方法及实践研究［J］.技术与市场，2022（8）：150-153.

1袁康，鄢浩宇.数据分类分级保护的逻辑厘定与制度构建——以重要数据识别和管控为中心［J］.中国科技论坛，2022（7）：167-177.

2马光，毛启扬.数字经济协定视角下中国数据跨境规则衔接研究［J］.国际经济法学刊，2022（4）：45-62.

3张琼丽，陈翼.数据分级分类方法及实践研究［J］.技术与市场，2022（8）：150-153.

4PANDEY A ， CHAUDHARY H. The exigency to address the personal data issues： the personal data protection bill， 2019［J］.Jus corpus law journal，2021（1）：533-539.

5YU P K . Data producers right and the protection of machine-generated data［J］. Tulane law review，2019（4）：859-929.

6CONRAD V. Digital gold： cybersecurity regulations and establishing the free trade of big data［J］. William and Mary business law review，2018（1）：295-336.

7DASKAL J.Law enforcement access to data across borders： the evolving security and rights issues［J］.Journal of national security Law and Policy，2016（3）：473-502.

8TSAI  K.Regulation of data localization and how the legal profession can play a role［J］. Georgetown journal of legal ethics，2021（4）：1355-1382.

9ZHANG W W. Comparative study on the legal regulation of a cross-border flow of personal data and its inspiration to China［J］.Frontiers of law in China，2020（3）：280-312.

10陳喆，杨嘉宁.《个人数据保护法》之数据可携权：新加坡经验与中国法的应用［J］.东南亚纵横，2022（6）：101-112.

11徐怡雯，韩璐.跨境数据流动治理困境与中国—东盟数字经济合作策略优化［J］.东南亚纵横，2022（6）：90-100.

摘要：对于跨境数据流动法律规制，国际社会主要形成了“允许数据跨境自由流动+安全例外”的基本规制模式。数字鸿沟下各国跨境数据流动规制各异，但其共同核心在于对安全例外的解释。欧盟《通用数据保护条例》在如何平衡跨境数据流动和数据本地化存储关系时，选择了最符合欧盟利益的软数据本地化战略，用以对数据进行事实上的域外规制。不同形式的数据本地化规则协助各国平衡数据保护与数据自由流通。《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《区域全面经济伙伴关系协定》（RCEP）等国际经贸协定中对于如何更好地平衡数据保护与跨境数据流动问题都有相关规制条款。RCEP赋予东道国较为全面的自主裁决权，CPTPP则在商业流通基础上添加了“合法公共政策目标例外”条款，矛盾焦点将聚焦在对“合法公共政策目标例外”的解释和适用上。各国对于“合法公共政策目标例外”有着不一样的阐释，不同形式的数据本地化协助各国平衡数据保护中东道国利益与数据自由流通的尺度。在多种不同的区域性规则将长期共存的局面下，中国亟须健全完善规范和促进数据跨境流动法律法规体系，在跨境数据流动法律规制中保障公共利益。

关键词：跨境数据流动；数据本地化；公共例外；CPTPP；RCEP

［中图分类号］ D99;D922.16       ［文献标识码］ A               ［文章编号］1003－2479（2023）06-097-08

Public Interest Protection and China's Response in the Regulation of Cross-border

Data Flow： A Comparison of CPTPP and RCEP Rules

Wang Jingjing， Zhang Guang

Abstract：In terms of the current basic model of "allowing cross-border free flow of data+security exceptions" formed by legal regulations on cross-border data flow， countries' cross-border data flow regulations vary under the formation of the digital divide， but the core of their seeking common ground lies in the interpretation of security exceptions. The EU's General Data Protection Regulations（GDPR） adopt the basic model described above. Among the core issues of GDPR， the EU has also chosen the soft data localization strategy that is most in line with the EU's interestsin order to effectively regulate data outside the territory. Different forms of data localization assist countries in balancing the interests of host countries in data protection and the free flow of data. International economic and trade agreements such as the Comprehensive and Progressive Agreement for Trans-Pacific PartnershipAgreement（CPTPP） and the Regional Comprehensive Economic PartnershipAgreement（RCEP） have relevant regulatory provisions on how to better balance data protection and cross-border data flows. RCEP gives the host country a relatively comprehensive right of autonomy while CPTPP adds an "exception for legitimate public policy objectives" clause on the basis of commercial circulation， and the contradiction focuses on the interpretation and application of "exception for legitimate public policy objectives". Countries have different interpretations of the "exception for legitimate public policy objectives"， and different forms of data localization help countries balance the interests of the host country and the free flow of data in data protection. Finally， it is proposed that under the premise that regional regulations will coexist for a long time， China needs to further improve its legal system for cross-border data flow to safeguard China's interests in the field of legal regulation of cross-border data flow.

Keywords：cross-border data flow; data localization; public exceptions; CPTPP; RCEP

随着数据成为重要的生产要素，跨境数据流动成为驱动数字经济增长的主要力量，国际社会积极推动跨境数据流动规则的制定与完善。2021 年，中国宣布申请加入《全面与进步跨太平洋伙伴关系协定》（以下简称CPTPP）和《数字经济伙伴关系协定》（以下简称DEPA）。2022年1月1日，《区域全面经济伙伴关系协定》（以下简称RCEP）正式生效。中国积极参加这些协定的立场和态度反映了中国推动数字经济发展、参与跨境数据流动规则制定的决心。从数字经济高速增长的趋势来看，数字经济规则的完善势在必行。跨境数据流动和数据本地化相关规则是数据规则中的重点和难点，对相关国际协定及其规则的研究需要不断深入。旧有的世界贸易组织（以下简称WTO）多边贸易规则需要进行迭代1，而目前的法律框架并不足以实现对数字经济的全方位规制，需进一步发展完善。

一、数字经济下跨境数据流动规制的弥合

近年来，全球数字经济正蓬勃发展。2021年，根据联合国贸易与发展会议组织的统计数据，按信息和通信技术货物类别分类，中国的双边贸易流量达到8575.05亿美元，远超美国的1589.26亿美元2。2022年，中国数据产量达8.1ZB，同比增长22.7%，全球占比达10.5%，位居世界第二。截至2022年年底，中国数据存储量达724.5EB，同比增长21.1%，全球占比达14.4%3。预计到2025年，全球数据流动对经济增长的贡献将达到11万亿美元4。

（一）数字经济发展催生跨境数据流动规制演变

在大量的数据流动的基础上，足见当下正值数据经济飞速增长的时期，随之而来的是数字贸易规则呼之欲出，数据规则的多方面规定亟待完善，数据规则中衔接数字经济的投资规定仍存在不足之处，旧有的WTO多边贸易规则正被内生性数据规则代替。对数字贸易规则进行梳理可以发现，就贸易时期进行类别划分，可划分为衍生数字规则货物贸易时期、价值链贸易时期和数字贸易时期5。

（二）跨境数据流动规则的分歧与融合

内生性数据规则在完善过程中，对价值链贸易时期的规则存在部分继承，这是规定上的历史传承性。而在演化过程中，世界各国基于利益形成了不同模式的数据规则，对跨境数据流动的规则存在着不同的规定。在巨大的数字鸿沟下，跨境数据流动规则依然具有基本模式的规则上的相同性，虽然与庞大的相异性相比而言，相同性数量上较少，但可被视为跨境数据流动及化解数据本地化存储对抗难题的一条进路。在层叠化、碎片化的数字鸿沟背景下，跨境数据流动的规制形成了基本模式。该基本模式反映了在难以弥合的各个国家间利益的一条进路。数字鸿沟下的跨境数据流动规制中的数据主权保护属性被认为是各国采取不同数据规则的出发点。跨境数据流动中数据主权的保护在CPTPP、DEPA和RCEP中都显露无遗6。地缘政治和外交属性影响着跨境数据流动规则进路的形成，而国际企业需要全面彻底地掌握数据产业链以谋求自身发展，其中既包括对个人数据跨境流动的规则的掌握，也包含对其他国际协议的掌握7。世界各国标准各异，而对跨境数据流动的监管程度是区分的关键因素，在强监管模式、中监管模式和弱监管模式3种模式下，并无一种排他性的规则可以取代其他规则1。可见，从数据主权视角而言，多种模式并存是世界各国相当长一段时间的状态。

除了多种模式并存，各种模式在跨境数据流动规制中也存在共通之处。跨境数据流动规则逐步形成了“允许数据跨境自由流动+安全例外”的基本模式2。较为典型的是欧盟采取的数据规则。欧盟的《通用数据保护条例》（以下简称GDPR）采取了该基本模式，对欧盟境内数据进行跨境数据流动规制。GDPR所规定的“充分性决议”从事实上移除了同等保护水平的国家的数据跨境限制，使得数据可自由跨境流动。从维护数据主权即长臂管辖视角来看，GDPR亦是欧盟通过软数据本地化进行软域外管制的代表3。“充分性决议”的裁决权归于欧盟，因此，欧盟将在是否与别国进行跨境数据流通中占有极大的自主裁决权。而从欧盟与美国的跨境数据流通传输历史来看，欧盟的“充分性”条款给予欧盟否定和禁止与不认可的跨国企业传输流通数据的可能，而且此种裁决是终局性的，隐私盾案恰恰说明了这一点。GDPR正是通过这种方式实现控制境外输出和输入数据的双重管辖，是长臂管辖的典型规制。欧盟通过“充分性决议”对其他国家的数据保护水平进行衡量后决定数据是否跨区域流动，此举为事实上的“白名单”制度，该充分性认定机制是欧盟采取软数据本地化、软域外管制的代表制度，也同样是GDPR条例的核心。

欧盟在GDPR中对核心问题——跨境数据流动和数据本地化存储问题的选择中，选择了最符合欧盟利益的软数据本地化戰略，用以对数据进行事实上的域外规制。有学者呼吁禁止这种行为，因为在“充分性认定”的“白名单”政策下，非欧盟企业面临来自欧盟的贸易壁垒，而且此规定被认为实际上与《服务贸易总协定》（以下简称GATS）中第16条市场准入和第17条国民待遇相冲突。市场准入旨在打破非关税壁垒，而国民待遇则是强调对等原则，国家之间互相给予国民待遇。在欧盟实行软数据本地化的政策前提下，中国的应对可以此为蓝本，构建国内数据监管法律制度4。在国民待遇水平较低的情况下，中国更为关注东道国是否给予中国公平公正待遇和最惠国待遇5。

不同形式的数据本地化协助世界各国在数据保护中平衡东道国的利益与数据自由流通的尺度。澳大利亚对特殊行业如健康金融数据进行强监管，马来西亚和菲律宾也对数据传输运用强监管模式6。印度的《数据保护法案》将关键个人数据的复制限定在本地化存储，这也是强监管模式的体现7。然而，当个人数据不断产生放大，在大型数据体量前提下，保护数据成为越来越难的问题8。

二、跨境数据流动规制弥合中的公共利益保护

从数据本身的属性而言，其既具有私法属性，也具有公法属性。数据可以被视作是社会交往的工具，因此赋予了其自身一定的公共性和社会性1。带有公共性和社会性的数据本身会存在对公共利益的影响，而数据安全保护义务贯穿于数据产权、数据要素流通和交易等基本制度中2。数据的公共安全属性是决定数据处理者应承担数据安全保护义务的3要素之一3。

欧盟的GDPR的49条（d）项规定了公共利益例外，同时（e）项也对确立、行使或辩护法律请求权作了例外规定4。CPTPP和RCEP均对东道国规制权进行了确认，并对公平公正待遇、间接征收及非歧视待遇条款进行了解释，从而保护东道国规制权5。在数字鸿沟下，自由贸易协定（以下简称FTA）层出不穷，其衍生规则源于跨境数据流动中形成的数据规则，数据规则中蕴含了国家利益间的博弈，层叠化、碎片化的数据规则也在“允许数据跨境自由流动+安全例外”的基本模式下发展并趋于完善，而采取东道国利益保护视角则可以从例外规定看待跨境数据流动及数据本地化存储中的公共利益保护。

（一）跨境数据流动及数据本地化中的公共利益保护

全球数字鸿沟下FTA发展面临的重点分歧在于如何平衡跨境数据流动和数据本地化存储。而在促进数字经济发展和跨境数据流动的同时，也需注意数据本地化存储以实现对公共利益的保护，在FTA中采取的规制路径是保护东道国规制权从而保护公共利益。借鉴于投资协定中东道国利益保护的条款的制定方式，可在数字贸易法案中进一步保障数据规则的国家安全。从网络空间安全角度来看，公共利益是任何国家的优先利益保护对象6。因此，保护公共利益是世界各国的立法重点。

（二）数据规制与公共利益保护

探寻数据规制与公共利益保护的落脚点在于寻找数据规制与公共利益保护的交叉点，由于公共利益保护涉及保护目标群体的划分，即公共含义的群体，从数据相关法律公共利益与国家利益的同类含义来看，公共利益的保护是保护全国范围内的公共利益，而跨境数据流动不可避免存在侵害法益的可能。当数据入境时，国家对于入境数据有控制权，而数据出境则与东道国国家管理水平和法律制度有着千丝万缕的联系。因此，公共利益保护的核心主要在于国家对数据出境的公共利益保护。监管跨境数据流动的一系列规制方法往往会反映不同的文化价值观，尤其是在隐私和安全等敏感问题上7。而不同国家围绕数据流动的公共利益保护均有不同的法律工具，其法律规制目的在于加强对流入数据的控制，而流入国数据流量的增加则加大了数据跨境流动的风险。

（三）CPTPP和RCEP条款中的公共利益保护

就GDPR而言，跨国数据保护在无统一执法与司法体系的欧盟，不能完全将数据保护问题交予欧盟数据保护委员会解决。数据归属是欧盟在数据跨国收集处理中悬而未决的突出问题8。关于数据归属问题，在CPTPP和RCEP的例外条款中可以发现对东道国规制权的保护。跨境数据流动的条款中，CPTPP第14章第11条第3款就“为实现合法公共政策目标”的行为作出了例外规定，如该行为不构成任意不合理歧视或对贸易构成变相限制，同时不超出实现目标所需限制即可适用于例外规定。合法公共政策目标（legitimate public policy objective）需要在不构成任意（arbitrary）、不合理歧视（unjustifiable discrimination）及变相限制（disguised restriction）的限制条件下实施。RCEP第 12 章第 4 节第 15 条第3款亦有“实现合法公共政策目标”的例外规定，要求例外措施不构成任意不合理歧视或变相贸易限制。与CPTPP的区别在于第3款第1项的脚注14明确了缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定（shall be decided by the implementing Party），实际上为缔约方保护公共利益增加了转圜的余地，扩大了东道国的规制权。第3款还对“保护基本安全利益”进行了例外规定，认可缔约方认为的对保护其基本安全利益（essential security interests）所必需的任何措施，并强调了其他缔约方（other Parties）不得（shall not）对此类措施提出异议1。从跨境数据流动的规制来看，RCEP赋予各国更大的保护国家安全的权利，而CPTPP则在公共数据流通与个人数据流通的博弈中更为偏向个人数据流通自由。在保护公共利益的条款中，CPTPP依然加入了“不对信息传输施加超出实现目标所需限度的限制”條款，其旨在保护充分的信息传输流通，对于流通的偏重程度要大于对公共利益的保护。而两者在“实现公共政策目标”时赋予的例外规定在限制不合理歧视和变相贸易限制方面是相同的，两者都认可国家实现合法公共政策目标需要自主裁量权来采取必要措施。

针对数据本地化的问题，CPTPP的第14章第13条第1款认可各国不同的监管要求，包括通信安全性和机密性，第2款不允许将本地化作为开展业务的条件，第3款允许“为实现合法公共政策目标”而采取的限制措施，但同时规定该措施不得构成任意不合理歧视或贸易变相歧视，不得对计算设施的使用或位置施加超出实现目标所需限度2。同时，RCEP在第 12 章第 4 节第 14 条第2款也作出关于禁止数据本地化存储的规定（柬埔寨、老挝和越南除外），但依然在第3款规定在“实现合法公共政策目标”和“保护基本安全利益”的情况下可以采取对必要计算设施的位置限制措施。CPTPP的第14章第13条第1款和第2款与RCEP第12章第4节第14条第1款和第2款在表述上趋向一致，在第3款中则出现了分歧。在第3款的例外中，CPTPP依旧采取了不得构成任意不合理歧视或贸易变相歧视和不对计算设施使用或位置超出实现目标的条款作为例外规定的限制，而RCEP中第3款加入了缔约方即东道国规制权的内容。RCEP第12章第4节第14条第3款第1项的脚注12中明确表示“就本项而言，缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定”，此举无疑扩大了东道国对公共利益的解释权，也更好地保护了东道国利益。RCEP第12章第4节第14条第3款第2项也规定了“对保护其基本安全利益所必需的任何措施，其他缔约方不得对此类措施提出异议”，体现了对缔约方主体权利的保护，在跨境数据流动和数据本地化的博弈之间较为倾向于后者，但数据本地化在一定情况下依然是被禁止的。不同于完全的数据本地化规制，RCEP的规制像是居中调和的规制，规定了特别例外之下的禁止数据本地化的措施，用以保障跨境数据流动。这种规制模式在GATS间就有先例，在GATS的第14条脚注5中，公共秩序被限定为“只有在社会的某一根本利益受到真正的和足够严重的威胁时，方可援占公共秩序例外”1，第14条为一般例外条款，包含对公共道德与公共秩序的含义限定及其他例外。在跨境数据流动中的公共例外方面，相比于CPTPP，RCEP使东道国拥有更大的解释权，东道国规制也可进一步扩张。

三、跨境数据流动规制之中国因应

（一）全球跨境数据流动的法律规制

当前，数字贸易规则正在从“美式”“欧式”模板走向“中式”模板，从CPTPP和DEPA条款可以看出，中国正在积极参与数字贸易国际规则制定，重塑全球数字贸易治理体系2。CPTPP、DEPA和RCEP在合法公共政策目标（legitimate policy objectives）的前提下，允许一定程度的数据本地化措施。由于中国的影响，RCEP的公共利益保护条款是独树一帜的3。从跨境数据流动和数据本地化条款的为保护公共利益而规定的例外可以看出，RCEP给予缔约国的自由裁量权要大于CPTPP所赋予的。这代表在一定情况下，数据自由流通当触及公共利益时，东道国可以定义公共利益范围，同时可以采取有效的禁止数据本地化的措施。而《跨太平洋伙伴关系协定》（以下简称TPP）规定的跨境数据流动中的主权依然掌握在东道国方4。总体来看，短期内亚太自由贸易区不可能撇除中国，TPP与RCEP的弥合则是有可能的5。CPTPP的框架将数据本地化视作贸易问题，并且给予企业跨境数据流动的便利6，这是其与RCEP的分歧点。

有学者认为，个体数据作为开发对象后，主权者权利的正当性来源基于对人性的保护7。个人数据作为开发对象后，跨境数据流动和隐私之间的关系无疑是一对博弈关系。其中，被认定为主权者的权利正当性来源是对人性的保护，即对个人隐私数据的保护。但是，对个人隐私数据的保护与对人性的保护两者并不等同，人性的含义有两种，第一种为在一定社会制度和历史条件下形成的人的本性，第二种为人所具有的正常的感情和理性8。此处的对人性的理解强调主权者权利来源的正当性，即认定人性是一定社会制度和历史条件下形成的人的本性即阶级性调试下的人性。但将个人数据的权利来源等同于阶级属性的综合实际上是一种逻辑谬误，含有内在的逻辑不恰当性。从人性出发不能更好地阐释个体数据与跨境数据流动之间的关系。跨境数据流动中的数据分为个人数据和公共数据两种，针对两种数据应采取不同的策略，此即CPTPP和RCEP中的公共例外规定的由来。

欧盟通过GDPR采取的软数据本地化方式则体现出这种理解的弊端，将个人数据与人性挂钩必然引来权利一体化的空白。欧盟对数据传输的要求基于“充分性认定”和“白名单制度”。从实际效果来看，欧盟模式将数据传输要求变为数据本地化。在这种“白名单”选盟友的制度下，其建构了内外一致性的制度，以此将其对个人数据的理解扩展到全球数据治理中，将“欧盟标准”扩展成为“国际标准”9。无独有偶，美国也采取相同的策略，相较而言，两者都具有共同点，即美欧路径均试图主导国际规则制定，塑造符合己方利益的路径。

（二）中国数据出境中的公共利益保护

在跨境数据流动方面，中国数据出境已形成分级分类制度。2022年9月1日起施行的《数据出境安全评估办法》进一步规范了数据出境活动，维护了国家安全和社会公共利益。例如，该办法第5条列出了申报数据出境安全评估前应当对可能给公共利益带来的风险进行自评估的事项，第8条列出了数据出境安全评估应对可能给公共利益带来风险的数据出境活动进行重点评估的事项，第14条针对出现影响出境数据安全的情形明确在2年有效期内重新评估的要求。由此可见，自评估、官方评估及重新评估都体现了法律对公共利益的保护。此外，2021年12月31日，中国全国信息安全标准化技术委员会秘书处编制的《网络安全标准实践指南——网络数据分类分级指引》，不仅明确规定数据分类、数据定级和界定方式等内容，也对公共利益的影响程度作出详细的参考说明1。

从目前的数据规则来看，与贸易伙伴的数据跨境流动的互信机制尚未出台，有学者提出可以考虑打造“个人信息自贸区”和区域“个人信息流动区”，形成中国周围区域辐射圈，从点扩张到面，推动全球数据跨境规则形成2。从“自贸区”和“流动区”的概念来看，个人信息在其中充分流动是近似于“美式”模板的商业化流动机制，该种方式需在确认数据安全的前提下实施，因为个人信息同时具有财产性和隐私权属性。有学者认为，碎片化的个人信息不能被看作财产权，但从跨境数据流通的角度来说，该种方式在起到促进跨境数据流动的作用的同时，具有“美式”模板的弊端，即数据本地化措施的困境。在“个人信息自贸区”和“个人信息流动区”保证个人信息充分流动的同时，必然有金融、卫生健康和公共安全等涉及公共利益的数据不宜流通，而且如何划分自贸区和流动区是一个困难的问题，因此该种提议的可行性有待商榷。中国需进一步完善相关法律法规，从而保证数据流动与公共利益保护达到平衡。

（三）跨境数据流动规制的中国因应

跨境数据流动圈的形成是美欧全球化数据规则的必然产物，全球化并不等于单个国家利益的全球化，全球数字鸿沟的形成具有层叠化和碎片化的模式，在市场呈现数字鸿沟的前提下，数据规则的法律规制必然形成圈层化，呈现为全球各个区域因其发展进程不同而拥有不同的数据规则，多种不同规则将会在较长一段时期内并存，最终达到数据规则由分裂达到弥合的状态。目前，中国出台了《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）和《中华人民共和国网络安全法》等，通过法律保护个人数据，规定数据出境要求，这些均符合当前背景下跨境数据流动的要求。同时，RCEP和CPTPP中规定的公共例外条款与美歐模板的数字全球化规定冲突时，矛盾焦点将集中在数据本地化措施问题上。RCEP赋予东道国较为全面的自主裁决权，CPTPP则在商业流通基础上增加“合法公共政策目标例外”条款，因此，在对“合法公共政策目标例外”的解释和适用上将出现冲突。世界各国对于“合法公共政策目标例外”有着不一样的阐释，不同形式的数据本地化规定协助各国平衡东道国公共利益保护与数据自由流通之间的关系。

数据流动规制面临的难题恰如“静态”的规则与“动态”的网络安全威胁构成的一对矛盾3。如何在保护数据流动安全的前提下实现数据自由流动是规制的目的。因此，《数据安全法》采用了分级分类制度，不将静态存储而将视作数据常态1。从分级分类的负面清单方式可以看出其对于数据流动的肯定。有学者提出，应以列举的方式纳入公共利益等，履行数据出境安全评估程序2。列举方式是事实上接近于欧盟数据方案中的“白名单”和“充分性认定”的制度机制。当“静态”的规则与“动态”的网络安全威胁构成了一对看似相对的矛盾时3，法律尤其是数据保护法也应进行流动和改变4。就目前情况而言，借助于大数据的分析，大数据分析向公共利益倾斜对国家来说是有益处的5。此外，中国将公共利益细分为涉及范围、经济建设和社会稳定程度等不同领域，辅以个人信息出境标准合同办法制度，以《数据安全法》《个人信息保护法》《数据出境安全评估办法》为数据保护体系。在此基础上，中国可以增加与国际规则对接的相关方式方法，充分利用国际经济法工具对公共利益进行保护，比如最惠国待遇可被用于数据领域6。可将针对公共利益保护的数据本地化措施精细化7，寻求多边会谈以进一步完善法律体系。也有学者提出，可以建立独立的数据流动框架，建成独立的争议解决机制8。建立一个以公平和效率为导向的与跨境数据流动相适应的体系，这对无论是国内法还是国际法都是大有裨益的9。

四、结语

全球数字鸿沟背景下的数据规制中的矛盾聚焦点为跨境数据流动与数据本地化的冲突，不同形式的数据本地化协助各国平衡数据保护与数据自由流通之间的关系，由于受地缘政治和外交属性的影响，世界各国利益不同，将采用不同的数据规则，从而影响全球化跨境数据流通规则的形成。在3种模式（强监管模式、中监管模式和弱监管模式）下，并无一种排他性的规则可以取代其他规则。可见，从数据主权视角而言，全球数据规则在较长时期内仍将保持多种模式并存的状态10。中国已通过法律法规规定数据出境要求，且跨国企业也需遵守相关规制，但目前亟待解决的问题则是相关法律法规的健全完善，即在数据本地化与跨境数据流动之间形成平衡。而公共例外的解释趋于透明，这是跨境数据流动规则发展必不可少的一环11。

注：本文系国家社会科学基金重点项目“可持续发展及判例法引导下的新一代投资条约法的变革及对策问题研究”（21AFX024）的阶段性研究成果。

（责任编辑：刘 娴）