RCEP爭(zhēng)端解決機(jī)制對(duì)數(shù)據(jù)跨境流動(dòng)問(wèn)題的適用與中國(guó)因應(yīng)

趙海樂(lè)

一、引言

隨著全球數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，與電子商務(wù)或數(shù)字貿(mào)易相關(guān)的自由貿(mào)易協(xié)定（Free Trade Agreement，F(xiàn)TA）談判也同樣飛速進(jìn)行。在亞太地區(qū)，長(zhǎng)期以來(lái)我國(guó)一直是區(qū)域數(shù)字貿(mào)易自由化規(guī)則制定的旁觀者，但從2015 年中韓與中澳FTA 開(kāi)始，我國(guó)逐漸積極參與區(qū)域數(shù)字貿(mào)易規(guī)則制定。①參見(jiàn)李冬冬：《亞太地區(qū)數(shù)字貿(mào)易自由化路徑的演進(jìn)、分歧與啟示》，《亞太經(jīng)濟(jì)》2021年第4期，第23-32頁(yè)。需要說(shuō)明的是，當(dāng)前主流FTA文本中并不明確區(qū)分“數(shù)字經(jīng)濟(jì)”與“電子商務(wù)”，以上述名稱(chēng)為章節(jié)標(biāo)題的條約文本并無(wú)本質(zhì)差異。本文因而對(duì)此不另做區(qū)分。至今為止，我國(guó)參與的FTA 中，最為復(fù)雜的數(shù)字貿(mào)易規(guī)則當(dāng)屬2020 年底締結(jié)的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP）。其中不僅包括電子簽名、無(wú)紙化貿(mào)易等我國(guó)向來(lái)接受度較高的傳統(tǒng)電子商務(wù)條款，還包括線上個(gè)人信息保護(hù)、數(shù)據(jù)跨境傳輸、計(jì)算設(shè)施本地化等當(dāng)前熱點(diǎn)議題。不過(guò)，值得一提的是，由于RCEP 締約方經(jīng)濟(jì)發(fā)展水平差異過(guò)大，RCEP 規(guī)則體系不得不堅(jiān)持開(kāi)放與包容性，①參見(jiàn)田云華等：《RCEP 的開(kāi)放規(guī)則體系評(píng)價(jià)：基于CPTPP 的進(jìn)步與差距》，《國(guó)際貿(mào)易》2021年第6期，第65-72頁(yè)。以保證不同發(fā)展水平的締約方能就此議題達(dá)成一致，其中最典型的條款即為最不發(fā)達(dá)成員設(shè)定更長(zhǎng)的過(guò)渡期。另一個(gè)體現(xiàn)RCEP 開(kāi)放性的制度設(shè)計(jì)，則是其中的爭(zhēng)端解決機(jī)制。例如，RCEP第12章“電子商務(wù)”第17條第3款規(guī)定，“任何締約方不得就本章項(xiàng)下產(chǎn)生的任何事項(xiàng)”訴諸第十九章?tīng)?zhēng)端解決程序，除非締約方對(duì)此明確同意。這意味著，因RCEP 電子商務(wù)章節(jié)產(chǎn)生的爭(zhēng)議，僅會(huì)在兩締約方均在事前或事后明確同意的情況下才能提交爭(zhēng)端解決程序；且締約方的同意，可能基于該章特定事項(xiàng)、特定條款而非該章整體。某一締約方甚至還可能僅僅同意與RCEP 特定相對(duì)方而非全體締約方開(kāi)啟爭(zhēng)端解決程序。這因而引發(fā)了我國(guó)應(yīng)思考的問(wèn)題：我國(guó)未來(lái)是否應(yīng)當(dāng)承認(rèn)RCEP 電子商務(wù)章節(jié)諸條款的可訴性？鑒于RCEP 電子商務(wù)章節(jié)內(nèi)容頗為復(fù)雜，本文并不對(duì)此進(jìn)行整體評(píng)述，而僅僅選擇核心條款之一——數(shù)據(jù)跨境流動(dòng)條款進(jìn)行研究。

本文的分析將始于對(duì)RCEP 第12 章第15 條的研究，剖析其對(duì)締約方數(shù)據(jù)跨境流動(dòng)權(quán)利義務(wù)的設(shè)定；在此基礎(chǔ)上，分別結(jié)合我國(guó)國(guó)內(nèi)立法與海外利益訴求，分析接受數(shù)據(jù)跨境流動(dòng)條款可訴性將對(duì)我國(guó)國(guó)內(nèi)法治造成的影響以及可能為我國(guó)海外利益帶來(lái)的助益；最后，基于以上分析為我國(guó)未來(lái)對(duì)RCEP 數(shù)據(jù)跨境流動(dòng)條款的可訴性安排提出意見(jiàn)和建議。

二、RCEP數(shù)據(jù)跨境流動(dòng)規(guī)則解析

（一）RCEP第12章第15條文本解讀

RCEP第12章第15條，是對(duì)數(shù)據(jù)跨境流動(dòng)的規(guī)定。其條款如下：

“一、締約方認(rèn)識(shí)到每一締約方對(duì)于通過(guò)電子方式傳輸信息可能有各自的監(jiān)管要求。

二、一締約方不得阻止涵蓋的人為進(jìn)行商業(yè)行為而通過(guò)電子方式跨境傳輸信息。

三、本條的任何規(guī)定不得阻止一締約方采取或維持：

（一）任何與第二款不符但該締約方認(rèn)為是其實(shí)現(xiàn)合法的公共政策目標(biāo)所必要的措施，只要該措施不以構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制的方式適用；或者

（二）該締約方認(rèn)為對(duì)保護(hù)其基本安全利益所必需的任何措施。其

他締約方不得對(duì)此類(lèi)措施提出異議?！?/p>

第15 條第3 款第1 項(xiàng)中的“必要”與第2 項(xiàng)中的“必需”措辭雖有不同，但英文版表述均為“necessary”一詞。從這一意義上講，至少在RCEP 第12.15 條語(yǔ)境下，“必要”與“必需”應(yīng)當(dāng)不存在根本性區(qū)別。不過(guò)，條約文本僅僅在第3 款第1 項(xiàng)“必要”一詞后以腳注的形式強(qiáng)調(diào)，就本項(xiàng)而言，締約方確認(rèn)實(shí)施此類(lèi)合法公共政策的必要性應(yīng)當(dāng)由實(shí)施的締約方?jīng)Q定。第3 款第2 項(xiàng)“必需”一詞后則無(wú)此注釋。

上述條約文本中，最核心的義務(wù)性規(guī)定當(dāng)屬第15 條第2 款，該款原則性禁止對(duì)數(shù)據(jù)跨境流動(dòng)的限制。該條款并未明確“數(shù)據(jù)”的類(lèi)型，因而既可能包括個(gè)人信息也可能包括非個(gè)人信息。此外，此處規(guī)制的數(shù)據(jù)跨境流動(dòng)僅包括以“商業(yè)行為”為目的，政府或司法機(jī)關(guān)主導(dǎo)的數(shù)據(jù)跨境流動(dòng)（如跨境取證）不受此條款規(guī)制。

不過(guò)，對(duì)數(shù)據(jù)跨境流動(dòng)限制的原則性禁止，同時(shí)要受到第3 款中兩項(xiàng)例外的限制。在第一項(xiàng)公共政策例外中，援引例外一方實(shí)施的措施應(yīng)當(dāng)服務(wù)于“合法的公共政策目標(biāo)”，但對(duì)于何為“公共政策目標(biāo)”并未明示。鑒于第15條第1款載明，“締約方認(rèn)識(shí)到每一締約方對(duì)于通過(guò)電子方式傳輸信息可能有各自的監(jiān)管要求”，這暗示著，監(jiān)管措施盡管在國(guó)家間存在差異，但其完全可能均服務(wù)于合法的公共政策目標(biāo)。此外，“公共政策例外”的另一個(gè)特征是其“自裁決”屬性。此例外措辭為，“締約方認(rèn)為是其實(shí)現(xiàn)合法的公共政策目標(biāo)所必要的措施”?！熬喖s方認(rèn)為”一詞，足以保證措施實(shí)施者有權(quán)決定涉案措施的必要性。不僅如此，此例外文本還通過(guò)腳注特別強(qiáng)調(diào)，“締約方確認(rèn)實(shí)施此合法的公共政策的必要性應(yīng)當(dāng)由實(shí)施的締約方?jīng)Q定”?！皩?shí)施的締約方”一詞進(jìn)一步表明，某措施的施行者同時(shí)也屬于該措施必要性的最終判定者。與之形成鮮明對(duì)比的是，GATT第20條“一般例外”中就并未出現(xiàn)“締約方認(rèn)為……”字樣。這也意味著，自裁決性是RCEP 第12 章第15條區(qū)別于GATT“一般例外”最明顯的特征。當(dāng)然，RCEP 第12 章第15 條與GATT“一般例外”在設(shè)計(jì)上仍然存在相當(dāng)?shù)墓残?。締約方實(shí)施某項(xiàng)數(shù)據(jù)跨境流動(dòng)限制措施，不得構(gòu)成任意或不合理的歧視，或者變相的貿(mào)易限制。

與公共政策例外相比，基本安全例外的設(shè)計(jì)更加簡(jiǎn)單。締約方認(rèn)為是保護(hù)其基本安全利益所必需的措施，均可豁免RCEP 對(duì)數(shù)據(jù)跨境自由流動(dòng)的要求。此處并未對(duì)措施是否應(yīng)當(dāng)以“非歧視”的方式施行、該措施是否構(gòu)成對(duì)貿(mào)易變相限制進(jìn)行額外要求，也并未像GATT 第21 條“安全例外”那樣，要求保護(hù)該締約方基本安全利益的措施必須與裂變材料、軍火貿(mào)易或緊急情況相關(guān)。不僅如此，基本安全例外條款還要求，“其他締約方不得對(duì)此類(lèi)措施提出異議”。此處的“提出異議”對(duì)應(yīng)的英文文本為“be disputed”。這意味著，“不得對(duì)此類(lèi)措施提出異議”可能被解讀為“不得對(duì)此措施提起爭(zhēng)端解決之訴”。

（二）RCEP第12章第15條對(duì)成員方規(guī)制數(shù)據(jù)跨境流動(dòng)權(quán)力的影響

從上述條款文本設(shè)計(jì)來(lái)看，不論是上述哪一款例外，較之于GATS或GATT一般例外、安全例外，RCEP均更加傾向于尊重、保護(hù)成員方規(guī)制數(shù)據(jù)跨境流動(dòng)的權(quán)力。

1.RCEP第12章第15條基本安全例外對(duì)司法審查的排除

RCEP 第12 章第15 條中的基本安全例外，不論是較之于GATT 第21 條、GATS 第14 條，還是RCEP 第17 章中的“安全例外”，均更加寬松。RCEP 第17 章“一般條款和例外”第13 條“安全例外”適用于RCEP 整體，其自然也適用于RCEP第12 章。不過(guò)，鑒于RCEP 第12 章第15 條中的“基本安全例外”規(guī)則是專(zhuān)門(mén)適用于數(shù)據(jù)跨境流動(dòng)的特別規(guī)則，根據(jù)“特別法優(yōu)于一般法”的法理，RCEP 第12 章第15 條“基本安全例外”應(yīng)當(dāng)優(yōu)先于RCEP 第17 章第13 條“安全例外”。WTO 判例表明，GATT“安全例外”可以提交司法審查，援引例外一方行為的合法性也因此可能被否決。而RCEP 第12 章第15 條中的基本安全例外，則以十分肯定的措辭完全排除了司法審查空間。此種狀況，即便在RCEP 當(dāng)中也同樣是特例。RCEP的總體態(tài)度是嚴(yán)格限制締約方援引“安全例外”的政策空間。具體來(lái)講，RCEP 第17 章第13 條“安全例外”僅規(guī)定締約方有權(quán)采取“其認(rèn)為對(duì)其保護(hù)其基本安全利益所必需的行動(dòng)”，允許締約方對(duì)行為必需性進(jìn)行自裁決。至少在措辭上，第17章第13 條并未強(qiáng)調(diào)不得依據(jù)此條款提起爭(zhēng)端解決之訴；同時(shí)其對(duì)“基本安全例外”的界定也相對(duì)嚴(yán)格，締約方必須證明其主張的基本安全利益屬于法定事項(xiàng)才可援引此例外。

2.RCEP第12章第15條公共政策例外排除了“必需性”審查

RCEP 第12 章第15 條公共政策例外的設(shè)計(jì)較之于GATT 一般例外更加寬松。這首先體現(xiàn)為對(duì)“公共政策”一詞的寬松界定。GATT“一般例外”中并無(wú)寬泛的“公共政策”例外，而僅僅包含公共道德、環(huán)境、健康等更加特定化的例外種類(lèi)；GATS 第14 條例外雖允許成員方采取“為保護(hù)公共道德或維護(hù)公共秩序所必需”的措施，但是特別強(qiáng)調(diào)，此處的公共秩序例外僅能在“社會(huì)根本利益受到真正和足夠嚴(yán)重的威脅”時(shí)方可援用。①對(duì)于數(shù)據(jù)跨境流動(dòng)是否符合公共政策、公共道德等特定種類(lèi)例外的討論，參見(jiàn)張倩雯：《數(shù)據(jù)跨境流動(dòng)之國(guó)際投資協(xié)定例外條款的規(guī)制》，《法學(xué)》2021年第5期，第90-102頁(yè)。對(duì)比而言，在RCEP 第12 章第15 條語(yǔ)境下，援引例外的一方證明其政策目標(biāo)系服務(wù)于公共政策考量顯然更加容易。

不僅如此，不論是GATT還是GATS一般例外，均不允許締約方自行認(rèn)定涉案措施是否服務(wù)于某一目標(biāo)所必需，此問(wèn)題必須經(jīng)由司法程序裁定。在RCEP 第12章第15 條項(xiàng)下，援引例外一方無(wú)須證明其行為的必需性。這就意味著，對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行限制的國(guó)家無(wú)須證明其限制措施為對(duì)貿(mào)易損害最小、且別無(wú)其他合理替代措施——此種對(duì)“必需性”的解讀，是從美國(guó)—博彩案到韓國(guó)—牛肉案以來(lái)一貫堅(jiān)持的，且在GATT 與GATS 項(xiàng)下完全一致。①援引WTO 判例對(duì)RCEP 文本進(jìn)行解讀之所以具有正當(dāng)性，一方面是由于WTO 規(guī)則在國(guó)際經(jīng)濟(jì)法領(lǐng)域具有“憲法”性地位，因而足以對(duì)FTA 解釋提供指引；另一方面是因?yàn)镽CEP第19章第4條明確規(guī)定，“WTO 爭(zhēng)端解決機(jī)構(gòu)通過(guò)的WTO 專(zhuān)家組報(bào)告和WTO 上訴機(jī)構(gòu)報(bào)告中所作出的相關(guān)解釋”，在審理納入RCEP 的《WTO 協(xié)定》的條款相關(guān)爭(zhēng)議時(shí)應(yīng)當(dāng)進(jìn)行考量。參見(jiàn)楊署東、謝卓君：《跨境數(shù)據(jù)流動(dòng)貿(mào)易規(guī)制之例外條款：定位、范式與反思》，《重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2021年第4期，第1-15頁(yè)。正如世界貿(mào)易組織（WTO）上訴機(jī)構(gòu)在韓國(guó)—牛肉案中總結(jié)的，對(duì)于某項(xiàng)措施是否具有“必需性”，判斷標(biāo)準(zhǔn)的一端是“有助于”某政策目標(biāo)的實(shí)施即可；另一端則是“實(shí)現(xiàn)某政策目標(biāo)不可或缺”。而“必需性”判斷顯然與“不可或缺”標(biāo)準(zhǔn)更加接近。②See WTO, Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef,Appellate Body Report, WT/DS161/AB/R, para.161.一項(xiàng)措施如果是其他措施絕對(duì)不可替代的，則該項(xiàng)措施必然符合“必需性”標(biāo)準(zhǔn)；但如果仍然存在其他替代措施，則還需要在個(gè)案中運(yùn)用比例原則繼續(xù)分析：這些措施對(duì)于實(shí)現(xiàn)上述目標(biāo)的貢獻(xiàn)大?。凰Ｗo(hù)的共同利益與價(jià)值有多重要；涉案措施對(duì)于貿(mào)易的影響多大，進(jìn)而決定究竟是否應(yīng)當(dāng)采用替代措施。③See WTO, Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef,Appellate Body Report, WT/DS161/AB/R, para.162.從GATT 到WTO，能夠成功突破“必需性”要件援引一般例外的例子并不多見(jiàn)。在絕大多數(shù)案件當(dāng)中，爭(zhēng)端解決機(jī)構(gòu)均認(rèn)為存在同樣有效、且對(duì)貿(mào)易影響更小的替代措施。對(duì)此，唯一的例外，或許是歐共體—石棉案；而此案的特殊性恰恰在于，涉案措施為貿(mào)易禁令而非貿(mào)易限制措施。在該案當(dāng)中，上訴機(jī)構(gòu)認(rèn)定，石棉的毒性人所共知，因而除禁止其使用之外再無(wú)其他措施可以保護(hù)人類(lèi)健康。④See WTO, European Communities-Measures Affecting Asbestos and Products Containing Asbestos, Appellate Body Report, WT/DS135AB/R, para.172.

與“安全例外”類(lèi)似，上述公共政策例外，在RCEP 文本中同樣具有特異性。RCEP 第17 章雖有第12 條“一般例外”，但該條款僅僅重申了GATT 第20 條例外與GATS第14條例外對(duì)RCEP的適用，而未對(duì)其要件進(jìn)行任何修改。

與此同時(shí)，“歧視”與“變相限制”兩要件的存在，意味著締約方規(guī)制權(quán)仍要受到一定限制，以保證涉案措施不至于構(gòu)成貿(mào)易保護(hù)。RCEP 第12 章第15 條與GATT 第20 條、GATS 第14 條類(lèi)似，均要求涉案措施不得構(gòu)成“任意或不合理的歧視”。這要求行為方涉案措施必須以國(guó)家間平等、產(chǎn)品間平等的方式加以實(shí)施。而此種平等，不僅僅包括法律上的平等，還包括事實(shí)上的平等——即相同法律在具體實(shí)施過(guò)程當(dāng)中必須給予各方同等待遇。在WTO 判例中，曾將此種平等演繹為“平等進(jìn)行談判的權(quán)利”。在美國(guó)—蝦案中，專(zhuān)家組認(rèn)為，美國(guó)有義務(wù)善意、盡可能努力地與相關(guān)國(guó)家進(jìn)行談判，以達(dá)成貿(mào)易限制措施之外的解決方案；而對(duì)于“善意”和“盡可能努力”的評(píng)判標(biāo)準(zhǔn)，則應(yīng)當(dāng)比照美國(guó)此前完成談判的中美洲國(guó)家所獲得的待遇進(jìn)行。而且，談判過(guò)程必須考慮到各國(guó)實(shí)際情況，不得“一刀切”地以單一標(biāo)準(zhǔn)取代協(xié)商談判。①See WTO, United States-Import Prohibition of Certain Shrimp and Shrimp Products (Article 21.5), Panel Report, WT/DS58/RW, paras.5.67-5.74.除此之外，此種“任意或不合理的歧視”還可能產(chǎn)生于貿(mào)易措施過(guò)于模糊、行政機(jī)關(guān)裁量權(quán)過(guò)于寬泛的情形之下。在歐共體—海豹制品案中，上訴機(jī)構(gòu)認(rèn)為，此種過(guò)于寬泛的立法可能導(dǎo)致某些商業(yè)捕獵被劃歸“土著居民例外”，進(jìn)而在商業(yè)捕獵行為之間造成歧視性待遇。②See WTO, European Communities-Measures Prohibiting the Importation and Marketing of Seal Products, Appellate Body Report, WT/DS400/AB/R, para.5.328.

除“任意或不合理的歧視”這一要件之外，“對(duì)貿(mào)易的變相限制”要件同樣會(huì)對(duì)締約方產(chǎn)生一定限制。盡管此標(biāo)準(zhǔn)的內(nèi)涵與歧視要件存在一定重疊，當(dāng)前通過(guò)WTO判例確立的法律標(biāo)準(zhǔn)，包括“涉案措施是否對(duì)外公布”“措施的實(shí)施過(guò)程是否存在任意或不合理的歧視”“措施是否具有保護(hù)主義目的”等要素。③對(duì)此的闡述與批評(píng)，參見(jiàn)Chang-Fa Lo, The Proper Interpretation of“Disguised Restriction on International Trade”under the WTO: The Need to Look at the Protective Effect, 4 Journal of International Dispute Settlement 111-137 (2013).

上述諸要件的設(shè)置如何對(duì)數(shù)據(jù)跨境流動(dòng)產(chǎn)生影響，下文還將具體論述。但上文分析至少能夠闡明的是，RCEP 數(shù)據(jù)跨境流動(dòng)條款通過(guò)對(duì)數(shù)據(jù)跨境自由流動(dòng)的原則性規(guī)定和寬泛的例外設(shè)定，為締約方確立了對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行規(guī)制的政策空間。此種政策空間能否有效維護(hù)我國(guó)數(shù)據(jù)流動(dòng)國(guó)內(nèi)法律規(guī)制的合法性空間、是否會(huì)對(duì)我國(guó)海外利益的維護(hù)產(chǎn)生負(fù)面影響，將共同決定我國(guó)是否應(yīng)當(dāng)承認(rèn)RCEP數(shù)據(jù)跨境流動(dòng)條款的可訴性。

三、我國(guó)數(shù)據(jù)流動(dòng)規(guī)則在RCEP項(xiàng)下的合法性

（一）我國(guó)數(shù)據(jù)跨境流動(dòng)法治現(xiàn)狀

目前，我國(guó)已形成了較為完善的數(shù)據(jù)跨境流動(dòng)法律框架。我國(guó)法律在界定某些情形須進(jìn)行數(shù)據(jù)出境審查的同時(shí)，原則上允許數(shù)據(jù)跨境流動(dòng)。

首先，我國(guó)數(shù)據(jù)出境審查的一個(gè)重要方面，是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施境內(nèi)運(yùn)營(yíng)數(shù)據(jù)出境的安全審查，這其中可能同時(shí)涉及個(gè)人信息、公共秩序與國(guó)家安全三方面利益的維護(hù)。例如，我國(guó)2017 年《網(wǎng)絡(luò)安全法》第37 條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估”?！毒W(wǎng)絡(luò)安全法》第31 條將關(guān)鍵信息基礎(chǔ)設(shè)施界定為“國(guó)家對(duì)公共通信和信息服務(wù)……重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”。這其中就同時(shí)包含了公共秩序要素與國(guó)家安全要素。而關(guān)鍵信息基礎(chǔ)設(shè)施引發(fā)安全評(píng)估的，又恰恰是個(gè)人信息出境，這不可避免地會(huì)涉及個(gè)人信息保護(hù)問(wèn)題。2021 年《個(gè)人信息保護(hù)法》第40 條、《數(shù)據(jù)安全法》第31 條、《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》第2 條也均有類(lèi)似規(guī)定。

其次，我國(guó)信息出境安全審查的又一重要方面，體現(xiàn)在《個(gè)人信息保護(hù)法》第40 條的規(guī)定：處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者，其信息出境應(yīng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估。此規(guī)定在《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》第6 條中，被細(xì)化為掌握超過(guò)100 萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，須首先提交網(wǎng)絡(luò)安全審查。二者措辭雖有差異，但共性在于，均認(rèn)可處理個(gè)人信息達(dá)到一定數(shù)量即可引發(fā)數(shù)據(jù)出境安全審查義務(wù)，而非特定數(shù)量個(gè)人信息實(shí)際出境時(shí)才需要提交安全審查。這無(wú)疑表明，我國(guó)法律對(duì)數(shù)據(jù)出境可能引發(fā)國(guó)家安全問(wèn)題防患于未然，而非基于實(shí)際、確定的風(fēng)險(xiǎn)對(duì)數(shù)據(jù)出境進(jìn)行限制。

再次，重要數(shù)據(jù)的跨境流動(dòng)同樣會(huì)引發(fā)安全評(píng)估。2017年《網(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)原則上應(yīng)當(dāng)境內(nèi)存儲(chǔ)，其跨境傳輸應(yīng)當(dāng)通過(guò)安全評(píng)估；2021年《數(shù)據(jù)安全法》第31條也作出了類(lèi)似規(guī)定。2021年《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》第11 條在強(qiáng)調(diào)重要數(shù)據(jù)出境安全評(píng)估義務(wù)的同時(shí)，對(duì)重要數(shù)據(jù)進(jìn)行了定義。其中，既包括與個(gè)人信息保護(hù)相關(guān)的內(nèi)容（如涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息、人臉信息），也包括非法利用將危害國(guó)家安全或公共利益的數(shù)據(jù)，如車(chē)流物流數(shù)據(jù)等。

最后，對(duì)于不包含在上述任一情形之內(nèi)的個(gè)人信息跨境傳輸，我國(guó)目前并未要求一概進(jìn)行安全評(píng)估。根據(jù)我國(guó)2021 年《個(gè)人信息保護(hù)法》第38 條，個(gè)人信息出境僅在涉及關(guān)鍵信息基礎(chǔ)設(shè)施、處理個(gè)人信息達(dá)到某一數(shù)量的兩種情形下才需要通過(guò)安全評(píng)估；除此之外，“按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證”、采納“國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同”均可成為合法性來(lái)源。不過(guò)，后兩種情形需要履行向個(gè)人告知的義務(wù)并取得其單獨(dú)同意（第39 條）。這明顯有別于我國(guó)《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）（2019年版）》原則上要求個(gè)人信息出境均應(yīng)進(jìn)行安全評(píng)估的嚴(yán)格態(tài)度。當(dāng)然，該征求意見(jiàn)稿隨后并未獲得通過(guò)。這也側(cè)面證明，我國(guó)數(shù)據(jù)出境并不是有些學(xué)者所主張的“凡出必審”，①參見(jiàn)薛亦颯：《多層次數(shù)據(jù)出境體系構(gòu)建與數(shù)據(jù)流動(dòng)自由的實(shí)現(xiàn)——以實(shí)質(zhì)性審查制變革為起點(diǎn)》，《西北民族大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2020年第6期，第64-74頁(yè)。而是僅有少數(shù)幾種信息出境須以安全評(píng)估為前提。

（二）我國(guó)數(shù)據(jù)出境管理政策在RCEP第12章第15條項(xiàng)下的合法性

我國(guó)數(shù)據(jù)出境管理政策的合法性問(wèn)題，從2017 年起就曾屢次在WTO 遭到美歐質(zhì)疑。其中，最為詳細(xì)的一份質(zhì)疑文件，是美國(guó)2017 年9 月26 日提交至WTO的《來(lái)自美國(guó)的通訊——中國(guó)與其〈網(wǎng)絡(luò)安全法〉相關(guān)的已采取和起草中的措施》。從文件名稱(chēng)可知，美國(guó)此份質(zhì)疑文件主要針對(duì)我國(guó)《網(wǎng)絡(luò)安全法》，且質(zhì)疑內(nèi)容不僅包括我國(guó)已采取的措施，還包括對(duì)我國(guó)未來(lái)可能采取措施的預(yù)判。①See The United States, Communication from the United States, Measures Adopted and under Development by China Relating to its Cybersecurity Law, S/C/W/374.美國(guó)表示，中國(guó)《網(wǎng)絡(luò)安全法》對(duì)于重要信息和個(gè)人信息出境的特別要求會(huì)嚴(yán)重影響數(shù)據(jù)跨境流動(dòng)；經(jīng)營(yíng)者必須滿足嚴(yán)苛的條件才能將數(shù)據(jù)傳輸至境外，這對(duì)經(jīng)營(yíng)者而言負(fù)擔(dān)過(guò)重，數(shù)據(jù)控制者必須證明數(shù)據(jù)出境的必要性，而且個(gè)人信息出境還要獲得數(shù)據(jù)主體的單獨(dú)同意，這同樣為經(jīng)營(yíng)者施加了過(guò)重的負(fù)擔(dān)，且此措施本身無(wú)助于隱私保護(hù)。美國(guó)在此基礎(chǔ)上主張，除“安全評(píng)估”和“單獨(dú)同意”之外，中國(guó)可以采取其他足以實(shí)現(xiàn)隱私保護(hù)目標(biāo)且使企業(yè)負(fù)擔(dān)更小的措施，例如，遵從跨境隱私保護(hù)規(guī)則（Cross-Border Privacy Rules，CBPR）、承認(rèn)網(wǎng)絡(luò)運(yùn)營(yíng)者與第三方數(shù)據(jù)接收者之間的合同安排、進(jìn)行第三方認(rèn)證（third-party accreditation）等。除此之外，美國(guó)還主張，中國(guó)數(shù)據(jù)出境管理法律措辭過(guò)于空泛，例如，對(duì)于何種情形下會(huì)導(dǎo)致數(shù)據(jù)跨境傳輸危及國(guó)家安全、社會(huì)公共利益，未作詳細(xì)說(shuō)明，這將導(dǎo)致涵蓋范圍過(guò)廣，進(jìn)而構(gòu)成對(duì)跨境數(shù)據(jù)流動(dòng)的直接禁止。此后，美國(guó)與歐盟陸續(xù)于2018—2019年向WTO 提交類(lèi)似文件，②See EU, Statement by the European Union to the Committee on Technical Barriers to Trade - 21 and 22 March 2018, G/TBT/W/509; The United States, Communication from the United States - Measures Adopted and under Development by China Relating to its Cybersecurity Law - Questions to China, S/C/W/378; EU, Committee on Technical Barriers to Trade - China - Cybersecurity Law - Statement by the European Union to the Committee on Technical Barriers to Trade - 14 and 15 November 2018, G/TBT/W/590;EU, China - Cybersecurity Law - Statement by the European Union to the Committee on Technical Barriers to Trade, 6 and 7 March 2019, G/TBT/W/637.截至目前，最后一份質(zhì)疑文件發(fā)布于2019 年4 月。這些文件在重復(fù)上述內(nèi)容的同時(shí)，還提出了關(guān)鍵信息基礎(chǔ)設(shè)施界定不清晰、《網(wǎng)絡(luò)安全法》內(nèi)容須細(xì)化等問(wèn)題。

美國(guó)與歐盟并非RCEP 締約方，但上述質(zhì)疑的內(nèi)容卻很可能在RCEP 數(shù)據(jù)跨境流動(dòng)爭(zhēng)端解決程序中重現(xiàn)。美國(guó)上述質(zhì)疑，很大程度上涵蓋了我國(guó)數(shù)據(jù)出境管理政策的合法性爭(zhēng)點(diǎn)。對(duì)我國(guó)數(shù)據(jù)跨境流動(dòng)現(xiàn)行規(guī)則與上述質(zhì)疑內(nèi)容進(jìn)行分析，有助于揭示我國(guó)數(shù)據(jù)出境管理政策未來(lái)可能面臨的合法性之爭(zhēng)。

1.我國(guó)數(shù)據(jù)出境安全評(píng)估符合RCEP第12章第15條“基本安全例外”

考慮到RCEP 第12 章第15 條“基本安全例外”的規(guī)定最為寬松，我國(guó)如能夠證明數(shù)據(jù)出境安全評(píng)估符合此項(xiàng)例外，則其他締約方可能難以對(duì)我國(guó)數(shù)據(jù)出境安全審查制度在爭(zhēng)端解決機(jī)制項(xiàng)下提出質(zhì)疑。根據(jù)RCEP 第12 章第15 條，“基本安全例外”得以適用的條件，是涉案措施為該締約方認(rèn)為保護(hù)其基本安全利益所必需的措施。雖然此條款的“自裁決”屬性意味著，我國(guó)無(wú)須證明上述數(shù)據(jù)出境安全審查措施具有“必需性”，但根據(jù)WTO 相關(guān)判例，我國(guó)仍須證明另外兩個(gè)要件：存在受保護(hù)的基本安全利益；涉案措施與保護(hù)基本安全利益之間存在關(guān)聯(lián)。

具體而言，根據(jù)RCEP 第19 章第4 條，“WTO 爭(zhēng)端解決機(jī)構(gòu)通過(guò)的WTO 專(zhuān)家組報(bào)告和WTO 上訴機(jī)構(gòu)報(bào)告中所作出的相關(guān)解釋”，在審理納入RCEP 的WTO協(xié)定條款相關(guān)爭(zhēng)議時(shí)應(yīng)當(dāng)進(jìn)行考慮。盡管RCEP 第12 章第15 條中的“基本安全例外”與GATT第21條安全例外不完全相同，但至少“該締約方認(rèn)為對(duì)保護(hù)其基本安全利益所必需的措施”這一表述，完整地從GATT 第21 條納入了RCEP 第12.15條。因此，以俄羅斯—過(guò)境措施案為代表的WTO 判例對(duì)GATT 第21 條進(jìn)行的解釋?zhuān)材軌驅(qū)CEP 第12 章第15 條“基本安全例外”進(jìn)行解釋與補(bǔ)充。在俄羅斯—過(guò)境措施案專(zhuān)家組報(bào)告中，專(zhuān)家組雖然承認(rèn)“基本安全例外”的自裁決性，但同時(shí)認(rèn)為，WTO 爭(zhēng)端解決機(jī)構(gòu)仍然有權(quán)對(duì)“基本安全利益”是否存在以及涉案措施與基本安全利益是否存在關(guān)聯(lián)進(jìn)行判斷。

對(duì)于何為基本安全利益，專(zhuān)家組在俄羅斯—過(guò)境措施案中認(rèn)為，基本安全利益區(qū)別于一般性的“安全利益”，所指代的利益必然與國(guó)家典型職能緊密相關(guān)，即保護(hù)其領(lǐng)土和人民免受外來(lái)威脅；保護(hù)境內(nèi)法治與公共秩序。專(zhuān)家組同時(shí)表明，雖然每個(gè)國(guó)家理論上都有權(quán)決定何為其基本安全利益且各國(guó)對(duì)此的界定必然存在區(qū)別，但是各國(guó)仍然需要依照《維也納條約法公約》第31 條中的“善意原則”進(jìn)行定義。①See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, para.7.59.《維也納條約法公約》第31 條規(guī)定的“善意原則”要求各國(guó)不得適用“安全例外”以規(guī)避其在GATT 項(xiàng)下的義務(wù)，如將貿(mào)易利益包裝為基本安全利益。②See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, paras.7.130-7.133.上述分析意味著，雖然GATT第21條安全例外并未承認(rèn)一國(guó)對(duì)何為“基本安全利益”擁有最終決定權(quán)，但WTO 爭(zhēng)端解決機(jī)構(gòu)仍然充分尊重當(dāng)事國(guó)的自行裁量。當(dāng)事國(guó)理論上仍須對(duì)“基本安全利益”進(jìn)行善意定義，但“善意”的程度僅為“不規(guī)避條約義務(wù)”即可。

對(duì)于涉案措施與基本安全利益的關(guān)聯(lián)，專(zhuān)家組同樣運(yùn)用善意原則進(jìn)行了分析，并認(rèn)為涉案措施必須具有“服務(wù)于基本安全利益的最低限度的可行性”，即“并非全然無(wú)法服務(wù)于此目標(biāo)”。①See WTO, Russia - Measures Concerning Traffic in Transit, Report of the Panel,WT/DS512/R, para.7.138.此標(biāo)準(zhǔn)明顯低于“必需性”標(biāo)準(zhǔn)，即涉案措施并不需要是實(shí)現(xiàn)該基本安全利益不可或缺且對(duì)貿(mào)易損害最小的措施。

基于以上分析，我國(guó)數(shù)據(jù)出境安全評(píng)估完全可以符合上述兩項(xiàng)要求。從基本安全利益一詞的定義來(lái)看，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施、達(dá)到一定數(shù)量的個(gè)人信息與重要數(shù)據(jù)出境，所服務(wù)的目標(biāo)完全可以是狹義的國(guó)家安全。畢竟，關(guān)鍵信息基礎(chǔ)設(shè)施的定義即為“一旦數(shù)據(jù)泄露就可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生與公共利益”的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，其與國(guó)家安全的關(guān)聯(lián)是毋庸置疑的，且至少不是“偽裝下的貿(mào)易利益”。即便某關(guān)鍵信息基礎(chǔ)設(shè)施更多地關(guān)聯(lián)“國(guó)計(jì)民生”“公共利益”而非“國(guó)家安全”，我國(guó)也可以援引上文國(guó)家安全定義的“保護(hù)境內(nèi)法治與公共秩序”部分進(jìn)行辯護(hù)。而個(gè)人信息、重要數(shù)據(jù)與國(guó)家安全的關(guān)聯(lián)，則是它們作為“情報(bào)”的價(jià)值。②參見(jiàn)李曉楠、宋陽(yáng)：《國(guó)家安全視域下數(shù)據(jù)出境審查規(guī)則研究》，《情報(bào)雜志》2021 年第10期，第74-82頁(yè)。例如，“運(yùn)滿滿”匯總的物流信息則可能反映我國(guó)物流基礎(chǔ)設(shè)施現(xiàn)狀。對(duì)這些信息進(jìn)行出境審查，將有助于保護(hù)我國(guó)自然、人文地理信息不被他國(guó)情報(bào)機(jī)關(guān)獲取，因而具有重要的國(guó)家安全價(jià)值。

關(guān)于我國(guó)數(shù)據(jù)出境安全評(píng)估與“國(guó)家安全”這一目標(biāo)之間的關(guān)聯(lián)，我國(guó)僅須證明數(shù)據(jù)出境安全評(píng)估并非完全無(wú)助于維護(hù)國(guó)家安全即可。鑒于韓國(guó)曾將地圖信息的本地化存儲(chǔ)作為維護(hù)國(guó)家安全的重要舉措，③參見(jiàn)人民網(wǎng)：《擔(dān)心威脅國(guó)家安全 韓國(guó)再拒谷歌地圖“輸出申請(qǐng)”》，http://world.people.com.cn/n1/2016/1120/c1002-28881646.html，2021年10月1日訪問(wèn)。美國(guó)也曾在行政命令中認(rèn)為應(yīng)用程序可能造成個(gè)人身份信息和基因信息等敏感數(shù)據(jù)泄露、進(jìn)而對(duì)美國(guó)數(shù)據(jù)隱私和國(guó)家安全構(gòu)成風(fēng)險(xiǎn)④參見(jiàn)新華網(wǎng)：《拜登撤銷(xiāo)對(duì)TikTok 和微信等中國(guó)軟件禁令》，http://www.xinhuanet.com/world/2021-06/10/c_1127549552.htm，2021年10月1日訪問(wèn)。，數(shù)據(jù)出境與國(guó)家安全的“最低限度的關(guān)聯(lián)”在國(guó)際上并不缺乏實(shí)踐基礎(chǔ)。

2.我國(guó)數(shù)據(jù)出境安全評(píng)估可能符合“公共政策例外”

即便RCEP 爭(zhēng)端解決機(jī)制將數(shù)據(jù)出境安全評(píng)估進(jìn)行分解、將其中與公共利益和個(gè)人信息保護(hù)相關(guān)的管理措施與涉國(guó)家安全的管理措施區(qū)分對(duì)待，這些管理措施經(jīng)進(jìn)一步完善也很可能符合RCEP第12章第15條“公共政策例外”。

一方面，與公共利益相關(guān)的數(shù)據(jù)出境管理措施可以基于RCEP 第12.15 條“公共政策例外”的要求獲得合法性認(rèn)定。該項(xiàng)例外允許締約方自行認(rèn)定某項(xiàng)數(shù)據(jù)出境管理措施的必需性。因此，相對(duì)方不得以“數(shù)據(jù)出境管理會(huì)導(dǎo)致經(jīng)營(yíng)者負(fù)擔(dān)過(guò)重、且存在同樣服務(wù)于隱私保護(hù)但負(fù)擔(dān)更小的替代措施”為由，要求中國(guó)采取其他替代措施。不過(guò)，要符合“公共政策例外”，我國(guó)還須證明，涉案措施不構(gòu)成任意或不合理的歧視、也不構(gòu)成對(duì)國(guó)際貿(mào)易的變相限制。因?yàn)閃TO 判例表明，如果一項(xiàng)法律文本過(guò)于空泛、導(dǎo)致行政機(jī)關(guān)具有過(guò)于寬泛的自由裁量權(quán)，這就可能導(dǎo)致個(gè)案中的不平等對(duì)待，進(jìn)而構(gòu)成任意或不合理的歧視；而且，我國(guó)數(shù)據(jù)出境管理措施也曾被美歐指責(zé)為“不夠清晰”。

目前來(lái)看，我國(guó)法律中“關(guān)鍵信息基礎(chǔ)設(shè)施”一詞可能過(guò)于空泛，①對(duì)此的質(zhì)疑，參見(jiàn)歐盟2019 年在WTO 發(fā)表的聲明。See EU, China - Cybersecurity Law-Statement by the European Union to the Committee on Technical Barriers to Trade, 6 and 7 March 2019, G/TBT/W/637.但這一問(wèn)題未來(lái)必然會(huì)得到補(bǔ)救。我國(guó)2021 年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》列舉了能源、交通等一系列行業(yè)，規(guī)定這些行業(yè)的“重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施；不僅如此，其中還規(guī)定“一旦遭到破壞、喪失功能、數(shù)據(jù)泄露就可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的其他重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”同樣屬于關(guān)鍵信息基礎(chǔ)設(shè)施，但數(shù)據(jù)控制者同樣無(wú)從預(yù)計(jì)其具體內(nèi)容，也無(wú)法預(yù)知自己掌控的數(shù)據(jù)是否應(yīng)當(dāng)基于此條例進(jìn)行出境審查。對(duì)此，該條例第8條至第10條作出了具體規(guī)定：重要行業(yè)和領(lǐng)域的主管部門(mén)、監(jiān)督管理部門(mén)需組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并通報(bào)國(guó)務(wù)院公安部門(mén)。這意味著，運(yùn)營(yíng)者至少能夠清晰地獲知自身是否應(yīng)當(dāng)受到信息出境安全評(píng)估的約束。

另一個(gè)相對(duì)模糊的概念，則是“安全評(píng)估”的具體方式。這同樣是美歐在我國(guó)《網(wǎng)絡(luò)安全法》公布后提出質(zhì)疑的內(nèi)容之一。對(duì)此，我國(guó)目前已發(fā)布若干征求意見(jiàn)稿但尚未獲得通過(guò)。為保證安全評(píng)估清晰、公開(kāi)、具有可操作性，此方面的立法工作無(wú)疑要加速進(jìn)行。②參見(jiàn)曾磊：《數(shù)據(jù)跨境流動(dòng)法律規(guī)制的現(xiàn)狀及其應(yīng)對(duì)——以國(guó)際規(guī)則和我國(guó)〈數(shù)據(jù)安全法（草案）〉為視角》，《中國(guó)流通經(jīng)濟(jì)》2021年第6期，第94-104頁(yè)。

另一方面，對(duì)于與國(guó)家安全、公共政策考量無(wú)關(guān)的、以個(gè)人信息保護(hù)為目標(biāo)的信息出境限制，在RCEP 第12 章第15 條項(xiàng)下的合法性同樣能夠得到保證。根據(jù)我國(guó)2021 年《個(gè)人信息保護(hù)法》第38 條，個(gè)人信息出境如不涉及關(guān)鍵信息基礎(chǔ)設(shè)施且處理數(shù)量未達(dá)法定上限，則僅須獲得個(gè)人信息保護(hù)認(rèn)證或適用標(biāo)準(zhǔn)合同即可。這兩種方式本身未必會(huì)為個(gè)人信息處理者施加過(guò)重負(fù)擔(dān)，至少美國(guó)2017 年、2018 年10 月向WTO 提交的兩份文本，都是承認(rèn)上述兩種方式作為合理替代措施的價(jià)值的。此處真正應(yīng)當(dāng)討論的問(wèn)題是，我國(guó)《個(gè)人信息保護(hù)法》第39 條規(guī)定的個(gè)人信息處理者在信息出境前要向個(gè)人履行告知義務(wù)并且取得其單獨(dú)同意，這是否符合RCEP第12章第15條公共政策例外？此問(wèn)題同樣出現(xiàn)在美國(guó)2019年文件中。我們認(rèn)為，上述“告知同意”規(guī)則公開(kāi)、透明且并不區(qū)分個(gè)人信息處理者或個(gè)人信息接受者國(guó)籍、規(guī)模、所有制形態(tài)，因此，此規(guī)則顯然不構(gòu)成“歧視”，更無(wú)所謂“任意”與否；同時(shí)此規(guī)則并非以公共政策為由掩蓋其貿(mào)易保護(hù)目的，因而，其同樣不會(huì)構(gòu)成對(duì)國(guó)際貿(mào)易的變相限制?；蛟S唯一難以證明的是“告知同意”規(guī)則是否為保護(hù)個(gè)人信息所必需。不過(guò)，由于“必需性”問(wèn)題在RCEP 第12 章第15 條公共政策例外項(xiàng)下并不具有可訴性，因此，這很難對(duì)我國(guó)政策的合法性形成挑戰(zhàn)。

綜上，我國(guó)現(xiàn)行的數(shù)據(jù)出境管理體制，在其必需性免受質(zhì)疑的情況下，可以在RCEP 第12 章第15 條項(xiàng)下獲得合法性認(rèn)定。只不過(guò)，為滿足第12 章第15 條例外的具體要求，我國(guó)未來(lái)還須對(duì)數(shù)據(jù)出境安全評(píng)估的具體方式、標(biāo)準(zhǔn)合同條款的具體內(nèi)容、個(gè)人信息保護(hù)認(rèn)證的具體方式加以澄清與完善，以保證規(guī)則本身的公開(kāi)與透明；在具體實(shí)施過(guò)程中，應(yīng)盡量保證相同情形的國(guó)家獲得同等待遇。

四、RCEP第12章第15條可訴性對(duì)我國(guó)海外利益維護(hù)的意義

在確定RCEP 第12 章第15 條不會(huì)根本影響我國(guó)數(shù)據(jù)跨境流動(dòng)合法性的基礎(chǔ)上，我國(guó)還須考量的是，此條款的可訴性，能否為我國(guó)企業(yè)海外利益的維護(hù)提供便利？換言之，我國(guó)與RCEP 其他締約方進(jìn)行數(shù)字貿(mào)易可能遭遇的阻礙，究竟能否根據(jù)RCEP第12章第15條提起訴訟進(jìn)而化解爭(zhēng)端？

對(duì)于這一問(wèn)題的分析，將始于對(duì)RCEP 締約方數(shù)據(jù)跨境流動(dòng)規(guī)制現(xiàn)狀的分析。首先，某些RCEP 締約方要求個(gè)人信息的跨境流動(dòng)必須以目標(biāo)國(guó)通過(guò)個(gè)人信息保護(hù)充分性為前提。例如，日本2017年《個(gè)人信息保護(hù)法》第24條規(guī)定，個(gè)人信息傳輸至第三國(guó)，如未獲得數(shù)據(jù)主體同意，則該第三國(guó)必須獲得日本個(gè)人信息保護(hù)委員會(huì)的“充分性認(rèn)定”——確保該國(guó)個(gè)人信息保護(hù)水準(zhǔn)與日本等同。此種“充分性認(rèn)定”可構(gòu)成數(shù)據(jù)從日本流動(dòng)至中國(guó)的限制措施。①參見(jiàn)張曉磊：《日本跨境數(shù)據(jù)流動(dòng)治理問(wèn)題研究》，《日本學(xué)刊》2020 年第4 期，第85-108頁(yè)。又如，澳大利亞1988 年《隱私法》同樣要求，受到該法律約束的企業(yè)如要將個(gè)人信息轉(zhuǎn)移至澳大利亞境外，信息接收方要遵循的法律為個(gè)人信息提供的保護(hù)必須至少等同于或高于澳大利亞隱私原則的保護(hù)水平，該企業(yè)必須保證境外接收方能夠遵循澳大利亞隱私原則，且對(duì)接收方違反隱私原則的行為承擔(dān)責(zé)任。②See Office of the Australian Information Commissioner, Australian Privacy Principles Guidelines, Chapter 8: APP 8 — Cross-border Disclosure of Personal Information，https://www.oaic.gov.au/privacy/australian-privacy-principles-guidelines/chapter-8-app-8-cross-border-disclosure-of-personal-information/#when-does-an-app-entity-disclose-personal-information-ab ut-an-individual-to-an-overseas-recipient, visited on 13 October 2021.泰國(guó)《2019 年個(gè)人信息保護(hù)法》第28條也有類(lèi)似規(guī)定。①See Thailand, Personal Data Protection Act, B.E. 2562 (2019), https://thainetizen.org/wp-content/uploads/2019/11/thailand-personal-data-protection-act-2019-en.pdf, visited on 13 October 2021.

其次，某些RCEP 締約方以國(guó)家安全為由拒絕特定信息出境，其中最為典型的就是韓國(guó)對(duì)于地理信息出境的限制。2016 年，韓國(guó)政府就曾以國(guó)家安全為由，拒絕谷歌地圖將韓國(guó)地圖數(shù)據(jù)帶出境外，谷歌地圖如需在韓國(guó)提供服務(wù)則必須將數(shù)據(jù)存儲(chǔ)于韓國(guó)境內(nèi)。②參見(jiàn)人民網(wǎng)：《擔(dān)心威脅國(guó)家安全 韓國(guó)再拒谷歌地圖“輸出申請(qǐng)”》，http://world.people.com.cn/n1/2016/1120/c1002-28881646.html，2021年10月1日訪問(wèn)。

再次，有的RCEP 締約方雖然實(shí)際上限制信息出境，但并未將國(guó)家安全作為合法性來(lái)源。例如，印度尼西亞于2019 年以行政命令的方式，要求“公共領(lǐng)域電子服務(wù)提供者”必須在印度尼西亞境內(nèi)建立數(shù)據(jù)中心。這可能構(gòu)成了變相的數(shù)據(jù)出境限制。③See Government Regulation of the Republic of Indonesia No.71 of 2019 (“GR 71/2019”) 10 October 2019. 對(duì)此的闡述參見(jiàn)US Department of State, 2020 Investment Climate Statements: Indonesia, https://www.state.gov/reports/2020-investment-climate-statements/indonesia/, visited on 13 October 2021.不過(guò)，考慮到“公共領(lǐng)域電子服務(wù)提供者”在該行政命令中被定義為“為政府機(jī)關(guān)提供電子服務(wù)的人”，因此，上述命令視政府機(jī)關(guān)種類(lèi)不同或可視為分別服務(wù)于國(guó)家安全或公共政策考量。

綜上，對(duì)數(shù)據(jù)跨境流動(dòng)的限制措施，在RCEP 締約方中并不罕見(jiàn)。盡管，這些國(guó)家未必存在類(lèi)似于中國(guó)的“重要數(shù)據(jù)”概念，其規(guī)定的個(gè)人信息出境審查也未必是國(guó)家安全審查，而很可能是數(shù)據(jù)接收國(guó)的個(gè)人信息保護(hù)充分性審查。鑒于安全審查可以在RCEP 第12 章第15 條項(xiàng)下豁免司法審查，但公共政策例外則未必如此，因此，有必要探討的是，上述對(duì)于數(shù)據(jù)跨境流動(dòng)的限制措施在RCEP 項(xiàng)下是否具有合法性？

結(jié)合上文對(duì)于RCEP 第12 章第15 條的分析可知，上述限制措施最有可能引發(fā)合法性質(zhì)疑的，當(dāng)屬對(duì)數(shù)據(jù)接收國(guó)個(gè)人信息保護(hù)“充分性”問(wèn)題的審查。此種“充分性”審查并不是RCEP 締約方所首創(chuàng)，歐盟此前早已開(kāi)展過(guò)類(lèi)似實(shí)踐，學(xué)界早已對(duì)此在WTO與FTA項(xiàng)下展開(kāi)合法性討論。

個(gè)人信息保護(hù)充分性審查可能引發(fā)的第一個(gè)問(wèn)題是，審查機(jī)關(guān)是否給予了對(duì)方國(guó)家或企業(yè)充分的機(jī)會(huì)參與認(rèn)定。有學(xué)者曾在對(duì)歐盟實(shí)踐研究后表示，一旦歐盟在隱私盾協(xié)議項(xiàng)下認(rèn)可了美國(guó)個(gè)人信息保護(hù)與歐盟實(shí)質(zhì)相同，則歐盟有義務(wù)至少給予其他國(guó)家同等機(jī)會(huì)與歐盟進(jìn)行談判、或由歐盟進(jìn)行評(píng)估，以達(dá)成類(lèi)似的安排。否則，將違反GATT第20條中對(duì)于“任意或不合理歧視”的要求。此種義務(wù)可以類(lèi)比為美國(guó)在海蝦—海龜案中的善意談判義務(wù)。①See Aaditya Mattoo & Joshua P Meltzer, International Data Flows and Privacy:The Conflict and Its Resolution, 21 Journal of International Economic Law 769-789 (2018).

個(gè)人信息保護(hù)充分性審查的第二個(gè)問(wèn)題是，“充分性”審查必須遵循非歧視原則，對(duì)于同等情況的國(guó)家應(yīng)當(dāng)給予同等對(duì)待，以免造成任意或不合理的歧視。此處的“同等情況”并不代表兩國(guó)必須完全相同才能獲得同等待遇，而是就某公共政策目標(biāo)而言條件相同。例如，在美國(guó)—蝦案中，美國(guó)希望達(dá)成的公共政策目標(biāo)是保護(hù)海龜，因此，“捕蝦海域中沒(méi)有海龜生活”的國(guó)家就屬于同等情況下的國(guó)家，其待遇必須一致；又如，在歐共體—海豹案中，涉案公共政策目標(biāo)為保護(hù)海豹，因此，“土著居民能夠?qū)⑨鳙C海豹商業(yè)化”的國(guó)家和地區(qū)（如格陵蘭）與“土著居民無(wú)法將狩獵海豹商業(yè)化”的國(guó)家（如加拿大）對(duì)歐盟而言就應(yīng)當(dāng)屬于不同類(lèi)國(guó)家，此時(shí)給予二者相同待遇反而會(huì)構(gòu)成歧視。②See Emily Lydgate, Do the Same Conditions Ever Prevail? Globalizing National Regulation for International Trade, 50 Journal of World Trade 971-995 (2016).這意味著，對(duì)他國(guó)個(gè)人信息保護(hù)充分性審查需實(shí)現(xiàn)的政策目標(biāo)為個(gè)人信息保護(hù)，因此，對(duì)第三國(guó)的審查也僅應(yīng)當(dāng)包括這一內(nèi)容，不得基于國(guó)際關(guān)系、國(guó)家經(jīng)濟(jì)互補(bǔ)性等原因給予某些國(guó)家更加寬松的待遇。③See S. Yakovleva & K. Irion, The Best of Both Worlds? Free Trade in Services,and EU Law on Privacy and Data Protection, 2 European Data Protection Law Review 191-208 (2016).在此問(wèn)題上，歐盟已經(jīng)招致了一定批評(píng)。例如，有學(xué)者對(duì)歐盟給予新西蘭的個(gè)人信息保護(hù)充分性認(rèn)定進(jìn)行分析后指出，歐盟的認(rèn)定結(jié)果過(guò)于“務(wù)實(shí)”（pragmatic），過(guò)多關(guān)注于給予新西蘭“充分性”認(rèn)定能夠?qū)﹄p邊貿(mào)易產(chǎn)生何種影響。因此，即便新西蘭具有透明度不高、缺乏數(shù)據(jù)跨境流動(dòng)基本原則、對(duì)數(shù)據(jù)主體“選擇退出”權(quán)利規(guī)定不足等問(wèn)題，歐盟仍然對(duì)此一筆帶過(guò)。但是在歐盟對(duì)澳大利亞的個(gè)人信息保護(hù)充分性評(píng)估當(dāng)中，歐盟則明顯更為嚴(yán)格。此種行為無(wú)疑是對(duì)澳大利亞的歧視。④See Anna Donovan，The Adequacy Requirement: Selectively Flexible or Unjustifiable Discrimination? A Critical Analysis from an Australian Perspective，Master Thesis，University of Oslo, 2013.

歐盟固然不是RCEP締約方，但歐盟實(shí)踐與國(guó)際法學(xué)界對(duì)此的批評(píng)足以為我國(guó)面對(duì)他國(guó)“充分性審查”提供參照。在RCEP 第12 章第15 條項(xiàng)下，由于“公共政策例外”的存在，我國(guó)固然無(wú)法質(zhì)疑他國(guó)的個(gè)人信息保護(hù)充分性審查是否必需，但我國(guó)完全可以關(guān)注此種審查在具體實(shí)施中是否對(duì)我國(guó)國(guó)家或企業(yè)造成了歧視。目前，RCEP 締約方中，有據(jù)可查的僅有馬來(lái)西亞推出了個(gè)人信息保護(hù)充分性認(rèn)定“白名單”，⑤See Malaysian Personal Data Protection Commissioner,Public Consultation Paper(PCP)No. 1/2017，http://www.pdp.gov.my/jpdpv2//en/pengumuman/871-public-consultation-paper-no-1-2017, visited on 13 October 2021.且中國(guó)已在名單中。澳大利亞、日本等國(guó)雖有類(lèi)似制度，但“充分性認(rèn)定”開(kāi)展得極其有限，且未作出對(duì)中國(guó)的歧視性認(rèn)定。因此，目前尚無(wú)法對(duì)此進(jìn)行實(shí)證研究。不過(guò)，基于國(guó)際法學(xué)界對(duì)于歐盟“充分性認(rèn)定”的批判，未來(lái)我國(guó)一旦與他國(guó)達(dá)成了RCEP 第12 章第15 條可訴性安排，且該國(guó)要對(duì)我國(guó)進(jìn)行“充分性審查”，則我國(guó)至少可以主張：該國(guó)應(yīng)當(dāng)給予我國(guó)不低于第三國(guó)的程序性權(quán)利；對(duì)我國(guó)個(gè)人信息保護(hù)法律體系的評(píng)估應(yīng)當(dāng)基于公開(kāi)、透明的標(biāo)準(zhǔn)進(jìn)行；對(duì)我國(guó)個(gè)人信息保護(hù)水準(zhǔn)的要求可以將評(píng)估國(guó)自身作為參照系但不得超出評(píng)估國(guó)自身的水平；評(píng)估內(nèi)容應(yīng)當(dāng)僅關(guān)注個(gè)人信息保護(hù)問(wèn)題，尤其不得摻雜貿(mào)易利益、經(jīng)濟(jì)發(fā)展水平因素，更不得基于雙方經(jīng)濟(jì)競(jìng)爭(zhēng)性或互補(bǔ)性之差異而對(duì)我國(guó)提出更高要求。

除此之外，另一個(gè)可能影響我國(guó)海外利益的問(wèn)題，是他國(guó)出于公共利益考量而施加的數(shù)據(jù)跨境流動(dòng)限制措施。對(duì)于此類(lèi)措施，由于并未區(qū)分電子服務(wù)提供者的國(guó)籍、數(shù)據(jù)傳輸目的地等，因此，在無(wú)法對(duì)其“必需性”進(jìn)行質(zhì)疑的情況下，以“歧視”或“變相限制”為由質(zhì)疑其合法性并不容易。不過(guò)，對(duì)我國(guó)企業(yè)而言，此種強(qiáng)制性的數(shù)據(jù)本地化政策的合法性同樣未必需要質(zhì)疑。這是因?yàn)?，目前我?guó)互聯(lián)網(wǎng)企業(yè)的國(guó)際競(jìng)爭(zhēng)力較之于谷歌、亞馬遜等稍顯落后，但諸如阿里巴巴、騰訊、字節(jié)跳動(dòng)等中國(guó)企業(yè)，在云存儲(chǔ)、數(shù)字金融、社交領(lǐng)域仍然占有重要地位。①參見(jiàn)李冬冬：《亞太地區(qū)數(shù)字貿(mào)易自由化路徑的演進(jìn)、分歧與啟示》，《亞太經(jīng)濟(jì)》2021年第4期，第23-32頁(yè)。不過(guò)，這些企業(yè)當(dāng)前的經(jīng)營(yíng)策略卻未必在于以中國(guó)為數(shù)據(jù)中心，反而更加傾向于更徹底的國(guó)際化經(jīng)營(yíng)。以字節(jié)跳動(dòng)為例，近年來(lái)陸續(xù)有新聞表示其在新加坡投資建設(shè)數(shù)據(jù)中心、在美國(guó)租用數(shù)據(jù)中心，且此前曾有消息表明其擬在印度建設(shè)數(shù)據(jù)中心。如抖音/Tiktok、微信國(guó)內(nèi)版與國(guó)際版等業(yè)務(wù)的分離也正在進(jìn)行中。此種基于不同經(jīng)營(yíng)策略的“入鄉(xiāng)隨俗”，恰恰是谷歌、亞馬遜等美國(guó)互聯(lián)網(wǎng)巨頭未必愿意進(jìn)行的。在這一進(jìn)程當(dāng)中，我國(guó)企業(yè)的海外利益未必在于數(shù)據(jù)自由輸出，反而在于尋求非歧視待遇，以避免承受較之于他國(guó)企業(yè)更高的負(fù)擔(dān)。從這一角度來(lái)講，即便我國(guó)無(wú)法就數(shù)據(jù)本地化措施的必要性提起爭(zhēng)端解決之訴，以“非歧視”為由，為我國(guó)企業(yè)進(jìn)入他國(guó)數(shù)字市場(chǎng)創(chuàng)造公平環(huán)境同樣有其實(shí)際意義。

五、結(jié)語(yǔ)

從我國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)的限制措施來(lái)看，現(xiàn)行措施多出于真實(shí)的國(guó)家安全目的，與關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)、“大數(shù)據(jù)”個(gè)人信息以外的商業(yè)數(shù)據(jù)并未納入國(guó)家安全考量。即便RCEP 第12 章第15 條“基本安全利益”例外仍具有可訴性，上述考量也仍然會(huì)滿足對(duì)國(guó)家安全的定義。對(duì)于基于個(gè)人信息保護(hù)目標(biāo)的數(shù)據(jù)跨境流動(dòng)限制，不論是“數(shù)據(jù)主體同意”“標(biāo)準(zhǔn)合同條款”，還是“第三方認(rèn)證”，只要其以公開(kāi)、透明、非歧視的方式實(shí)施，且具體實(shí)施方式有法可依，規(guī)則明確，就能夠滿足“公共政策例外”的要求。并且，以上要求同樣是我國(guó)依法行政的題中之意，未來(lái)對(duì)此的細(xì)化符合我國(guó)國(guó)家利益。

另一方面，從我國(guó)應(yīng)對(duì)他國(guó)跨境數(shù)據(jù)流動(dòng)限制措施來(lái)看，在他國(guó)將此種限制措施“非安全化”的情況下，承認(rèn)RCEP第12章第15條可訴性，有助于在兩個(gè)方面維護(hù)我國(guó)企業(yè)海外利益：第一，在設(shè)置數(shù)據(jù)接收國(guó)個(gè)人信息保護(hù)充分性評(píng)估制度的國(guó)家，可訴性有助于我國(guó)企業(yè)避免制度性歧視。如他國(guó)對(duì)我國(guó)個(gè)人信息保護(hù)充分性拒絕給予評(píng)估或評(píng)估標(biāo)準(zhǔn)過(guò)于苛刻，我國(guó)政府可以根據(jù)美國(guó)—蝦案確立的法理對(duì)此提出質(zhì)疑，要求得到公平對(duì)待；此訴訟未必意在要求裁定違法，也可以“以斗爭(zhēng)求和平”，以此推動(dòng)雙邊談判，促進(jìn)與鄰國(guó)的個(gè)人信息保護(hù)充分性互認(rèn)。①參見(jiàn)牛哲莉：《個(gè)人數(shù)據(jù)跨境流動(dòng)——中日韓合作規(guī)制進(jìn)路探析》，《山東科技大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2021年第4期，第55-63頁(yè)。第二，他國(guó)跨境數(shù)據(jù)流動(dòng)限制措施的公平性問(wèn)題。我國(guó)充分尊重他國(guó)數(shù)據(jù)主權(quán)、無(wú)意于效法美國(guó)干預(yù)他國(guó)個(gè)人信息保護(hù)等國(guó)內(nèi)立法的具體實(shí)施方式。我國(guó)企業(yè)的海外投資也愿意遵循東道國(guó)法律，在當(dāng)?shù)卦O(shè)立數(shù)據(jù)中心。②參見(jiàn)張渝：《數(shù)據(jù)本地化措施興起下國(guó)際投資保護(hù)規(guī)則的適用困境及其紓解》，《武大國(guó)際法評(píng)論》2021年第4期，第139-157頁(yè)。然而，一旦當(dāng)?shù)胤梢云缫曅苑绞綄?duì)我國(guó)企業(yè)實(shí)施，則RCEP第12章第15條同樣有助于維護(hù)企業(yè)正當(dāng)權(quán)利。

綜上，鑒于承認(rèn)RCEP 第12 章第15 條并不必然損害我國(guó)規(guī)制權(quán)，因此，如時(shí)機(jī)成熟，我國(guó)可以在RCEP 項(xiàng)下宣稱(chēng)愿意接受該條款相關(guān)問(wèn)題的可訴性。此種態(tài)度將有助于我國(guó)展示大國(guó)擔(dān)當(dāng)，在區(qū)域內(nèi)促進(jìn)數(shù)據(jù)跨境流動(dòng)，進(jìn)而促進(jìn)我國(guó)在數(shù)字經(jīng)濟(jì)領(lǐng)域的中長(zhǎng)期利益。③參見(jiàn)王中美：《跨境數(shù)據(jù)流動(dòng)的全球治理框架:分歧與妥協(xié)》，《國(guó)際經(jīng)貿(mào)探索》2021年第4期，第98-112頁(yè)。當(dāng)然，為保障我國(guó)當(dāng)前數(shù)據(jù)跨境流動(dòng)法治體系能夠完全符合RCEP 第12 章第15 條中的例外條款，我國(guó)仍須進(jìn)一步細(xì)化當(dāng)前法律，例如，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)等概念進(jìn)一步明晰，盡量使用清單方式而非交由行政機(jī)關(guān)自由裁量。④參見(jiàn)馬其家、李曉楠：《國(guó)際數(shù)字貿(mào)易背景下數(shù)據(jù)跨境流動(dòng)監(jiān)管規(guī)則研究》，《國(guó)際貿(mào)易》2021年第3期，第74-81頁(yè)。對(duì)于安全評(píng)估如何進(jìn)行、考量因素的具體內(nèi)容等，也同樣有待進(jìn)一步明確。

我國(guó)對(duì)RCEP 第12 章第15 條可訴性的承認(rèn)，應(yīng)當(dāng)以進(jìn)一步雙邊談判為基礎(chǔ)、以對(duì)等為條件，不宜以單方面報(bào)價(jià)的方式率先作出。我國(guó)并不是國(guó)際關(guān)系意義上的霸權(quán)國(guó)，也無(wú)意愿為維護(hù)區(qū)域穩(wěn)定而率先提供公共產(chǎn)品以換取他國(guó)對(duì)合作的信心。博弈論同樣表明，只有在主從博弈當(dāng)中，處于領(lǐng)導(dǎo)者一方才能從先手行動(dòng)當(dāng)中獲益。我國(guó)在國(guó)際合作中向來(lái)倡導(dǎo)人類(lèi)命運(yùn)共同體理念，在追求本國(guó)利益時(shí)兼顧他國(guó)合理關(guān)切。因此，我國(guó)即便有能力率先承諾實(shí)現(xiàn)數(shù)據(jù)跨境流動(dòng)問(wèn)題的法治化，也同樣應(yīng)當(dāng)以國(guó)家利益為先，爭(zhēng)取以此承諾換取他國(guó)對(duì)等安排。例如，我國(guó)完全可以與一個(gè)或多個(gè)RCEP 締約方展開(kāi)數(shù)據(jù)跨境流動(dòng)談判，并以雙邊可訴性安排彰顯我國(guó)履行承諾的誠(chéng)意。而且，如果能夠在幾國(guó)間達(dá)成數(shù)據(jù)跨境流動(dòng)充分性互認(rèn)機(jī)制則更好。數(shù)據(jù)跨境流動(dòng)的國(guó)際法問(wèn)題仍處于發(fā)展之中，如果我國(guó)擔(dān)心目前的可訴性承諾會(huì)掣肘未來(lái)的政策空間，則我國(guó)可以對(duì)可訴性問(wèn)題進(jìn)行限制性安排，例如，使用正面清單的方式列舉數(shù)據(jù)跨境流動(dòng)中的部分問(wèn)題可提交國(guó)家間爭(zhēng)端解決程序。此種安排在雙邊投資協(xié)定項(xiàng)下并不少見(jiàn)。再如，我國(guó)如認(rèn)為某些措施與國(guó)計(jì)民生密切相關(guān)、不愿其合法性遭到任何形式的審查，也可效法《美墨加協(xié)定》第十九章“數(shù)字貿(mào)易”中的“祖父條款”安排，明示某些法律或措施是符合例外措施的條款。①See United States-Mexico-Canada Agreement, Annex 19-A, Article 4.