RCEP协定下我国数据跨境流动规则的检视与完善

李烨

（南京大学法学院，南京 210093）

2021 年7 月2 日，我国互联网信息办公室发布公告，以防范国家数据安全风险、维护国家安全，以及保障公共利益为由，对 “滴滴出行” 实施网络安全审查。时隔一年后，国家网信办依法对滴滴全球股份有限公司及其主要高管处以罚款。该案也引发社会各界对数据跨境流动的关注，数据跨境流动与国家安全维护似乎形成对立趋势。在数字经济时代，跨境电子商务、数字贸易的蓬勃发展，迫切需要数据跨境流动作为支撑。但各国采取不同的数据跨境监管标准，对数据流动产生了实质性障碍，国际数据规则需要协同发展[1]。2022 年，《区域全面经济伙伴关系协定》（以下简称RCEP）正式生效，我国为首批生效国家之一，标志着我国对外开放迈上新的台阶。RCEP 协定在电子商务章节就数据跨境议题为缔约方设定了监管权力与责任义务，协定的生效为我国数据跨境规则完善提供契机，如何平衡数据安全与自由流动也是数据跨境流动规制的重要问题。

学术界关于数据跨境流动监管的研究，一方面以本国视角进行，从我国的基本立场与方案出发，探讨梳理我国的规制现状[2]，或者以特定类型数据跨境流动入手展开研究[3]。另一方面以国际视角展开讨论，关注全球数据跨境治理与中国因应[4]，或者以大型区域贸易协定的电子商务数据规则为探讨重点[5]。伴随数据法治的热度，数据跨境流动规则的研究成果也较为丰富，为本文的研究奠定了基础。以RCEP 协定数据流动框架为导向，对我国数据跨境流动规则进行检视，寻求限制数据跨境流动措施的RCEP 协定合法性依据并进一步完善，不仅有利于维护国家信息安全，保障公共利益，也有利于企业在公开透明合理的规则下开展国际经贸活动，促进区域经济增长。

李叔和这时候，反而有些怕，他突然想起这样一个理由。我咋跟你去？我这一身打扮，满身的鱼腥味，怕给你丢人哪。

数据跨境流动作为电子商务发展的基础，RCEP建立了以多元共治为理念的框架，强调数据跨境的自由流动。该框架对我国数据跨境流动规则既是挑战也是机遇，需要以此为基准进行考察与审视。

（一）RCEP协定数据跨境流动框架

RCEP 协定兼顾发达国家关切的电子商务发展利益，与发展中国家重视的数据安全及其相关产业发展，充分尊重与包容不同国家数据保护措施的差异性[6]。RCEP 协定涉及数据跨境流动内容主要集中于第十二章 “电子商务” ，同时在第八章 “服务贸易” 的金融与电信附件也有所提及。

1.多元共治理念

RCEP 协定数据跨境流动框架多元共治理念体现为主体多元、利益平衡与制度共存。首先，主体多元表现为RCEP 协定由区域性合作组织东盟发起，涵盖亚太地区的发达国家与发展中国家，实现了多元化主体共商共治。其次，利益平衡主要体现为RCEP 协定数据跨境流动框架充分考虑发达国家与发展中国家不同的利益诉求，在鼓励数据跨境自由流动满足发达国家需求的同时，也为部分数字产业落后的成员国设置5～8 年的适用宽限期①RCEP协定第十二章第十四条第二款和第十二章第十五条第二款注释。，为其发展本国数字产业与完善数据跨境监管制度提供时间。最后，制度共存主要体现为RCEP 协定数字跨境流动框架对各国敏感的公共政策目标例外增加了 “缔约方认为” （it considers），这就意味着缔约方对是否有必要实施 “合法公共政策” 限制数据跨境流动拥有自主决定权[7]，体现了RCEP 协定尊重各国监管规则差异，也为各国相应规则对接奠定基础。

2.自由流动原则

电子商务作为数据跨境流动的最大载体与用途，RCEP 协定第十二章电子商务章节奠定了数据跨境流动的基本框架与规则导向。为倡导区域内的数据跨境自由流动，RCEP 第十二章第十四条第二款禁止数据设施本土化，即缔约方不得强制要求数据处理的设施位于本国领土之内作为从事电子商务的条件，为数据跨境流动建立设施基础。RCEP 第十二章第十五条第二款要求任何缔约方不得阻止因商业行为而进行的数据跨境行为，为区域内数据跨境流动提供了制度支撑。RCEP 协定数据跨境流动框架以禁止性规定为主，对数据设施本土化与阻碍商业行为的数据跨境行为予以反对，强调以区域数据跨境的自由流动推动电子商务的发展。此外，在第八章服务贸易的附件1 与附件2 中，针对金融服务与电信服务也作出不得阻碍数据信息跨境流动的规定。

3.限制流动例外

4.合法出境情形

综上所述，RCEP 协定数据跨境流动框架以多元共治理念为核心，自由流动为原则，限制流动为例外，具体如表1所示。

表1 RCEP协定数据跨境流动框架

（二）我国数据跨境流动规则

作为RCEP 协定缔约国，我国的数据跨境流动规则也将接入RCEP 协定数据跨境流动框架。我国数据跨境流动规则以安全至上理念著称，形成以《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）为核心，《关键信息基础设施安全保护条例》《数据出境安全评估办法》为补充的规则框架。

从“既要金山银山，也要绿水青山”“绿水青山就是金山银山”的提出，到全国性的环境保护事业的发展，铁腕治污，淘汰落后产能，打好蓝天保卫战。

如何平衡数据跨境流动与国家数据安全，是世界各国都在努力尝试解决的问题。我国应立足国情，顺应跨境数字贸易发展趋势，在保障相关机构对数据跨境有充足的监管能力的前提下，适应包括已加入的经贸协定等国际规则的相关要求。在RCEP 协定下，我国应塑造数据安全与促进流动相协调的理念，对内统一相关概念并建立重要数据目录，对外拓展数据合法出境渠道与加强区域合作，推动数据跨境流动规则的完善。

我国数据跨境流动的安全监管是以国家网信部门为主导，其具体负责数据出入境监管与安全评估事项。无论是《网络安全法》所要求的 “关键信息基础设施” 数据出境安全评估办法的制定主体，还是《个人信息保护法》所确定的个人信息出境的认证审核主体，都以国家网信部门为主导，或会同国务院其他部门协作。故我国采取的是相对集中的监管模式，由国家网信部门负责数据跨境流动的安全监管工作。

1.安全至上理念

2.安全监管主体

在MATLAB中计算出一次拟合、二次拟合和三次拟合的曲线系数，并进行误差分析。实验证明，在35～39℃内精度能够达到±0.06℃，39～41℃内精度能够达到±0.2℃。满足对人体基础体温测量的要求。

3.安全评估措施

依据《网络安全法》，我国数据出境采取安全评估措施，对象为关键信息基础设施产生的个人信息与重要数据。《网络安全法》第三十一条第一款对关键基础设施的界定，包含了公共秩序要素与国家安全要素两大方面[10]。《关键信息基础设施安全保护条例》进一步明确以国家安全、国计民生、公共利益等价值理念为衡量关键信息基础设施的标准。《个人信息保护法》则要求处理个人信息达到国家网信部门规定数量的，个人信息出境应当通过国家网信部门的安全评估。2022 年出台的《数据出境安全评估办法》对安全评估措施的对象与流程予以详细说明。该办法第四条表明我国采取主体加数量双重标准界定评估对象：一是关键信息基础设施运营者与处理100 万人以上的数据处理者主体适用安全评估；
二是以特定时间累计向境外提供10 万人个人信息与1 万人敏感个人信息为界，对达到量级的数据处理者适用安全评估。在流程上，我国要求数据出境主体自行开展数据出境风险自评估，再按要求提交相关材料报送省级网信部门，即 “自评估+安全评估” 的程序。最后，国家网信部门在规定时间内出具评估结果决定其是否可以出境，同时还赋予数据处理者对评估结果的救济措施，对有异议的结果可以申请网信部门复评。

RCEP 协定在倡导区域内数据跨境自由流动之时，也规定例外条款对自由加以限制。RCEP 协定第十二章第十四条第三款和第十五条第三款分别针对禁止数据设施本土化与数据跨境自由流动作出了两种不适用的安全例外情形:一是缔约方基于合法的公共政策目标的实现；
二是缔约方保护基本安全利益的必要。在特别例外方面，RCEP第八章附件1与附件2分别就金融信息数据与电信信息数据的流动允许各国进行限制。RCEP 协定数据跨境流动安全例外与特别例外，作为倡导区域内数据跨境自由流动的补充，有利于区域数据安全的实现[8]。

依据《个人信息保护法》第三十八条的规定，我国数据合法出境有四种情况：一是通过国家网信部门组织的安全评估；
二是按照网信部门规定通过专业机构的个人信息保护认证；
三是通过制定的标准合同与境外接收方订立合同；
四是兜底的法律、行政法规或其他条件。整体而言，我国数据合法出境情形是两大类：一是通过数据安全评估；
二是豁免数据安全评估，包括通过个人信息保护认证，订立数据跨境标准合同。

综上所述，我国以安全至上的理念构建数据跨境流动规则，由国家网信部门主导个人信息与重要数据的安全评估，建立起初步的数据合法出境制度，如表2所示。

地表水受到严重污染，城镇供水水源地水质不能达到有关标准；
大量未经处理的废污水排入河道和渗井、渗坑，加之过量使用农药和化肥，使得河流和地下水受到严重污染。城市下游河道多为不能利用的超V类水体，减少了水资源的可利用量。

表2 我国数据跨境流动规则

以RCEP 协定的数据流动框架为蓝本，我国应对现有规则进行检视。检视主要包括对规则理念的考察，以及 “数据储存本土化+出境安全评估” 制度是否符合RCEP 协定例外条款要求，并在此基础上完善我国数据跨境流动规则。

（一）规则理念的考察：多元共治与安全至上

任何法律规则均受理念之引导而构建，其目标导向与权利义务配置都受到立法理念的影响。RCEP协定数据流动框架以多元共治理念为基础，倡导数据跨境自由与安全流动。而我国数据跨境流动规则所秉持的安全至上理念，是对总体国家安全观的贯彻与实践。两者理念的冲突，集中体现于数据安全与跨境自由的衡量与侧重。

在建筑工程施工过程中，因为部门较多，人力资源，物力资源错综复杂，而相对性的管理并不是很严格。又会受到环境，市场等因素的影响，往往会出现工程是常有变更的情况，而每一次工程变更都会对造价产生或大或小的影响。工程变更必须得到相对应的控制[1]。而且目前部分施工单位和建筑单位对于工程变更的管理太过于忽视，随意就会出现人员变动现象，导致工程预算很难与实际施工情况相符合，如果再加上施工前设计表不合理的，就会影响施工单位资金预算调整严重拖长预算。

9月27日，中国水利报社2012年度新闻宣传工作会议在京召开。水利部党组书记、部长陈雷出席会议并讲话。水利部党组成员、中纪委驻水利部纪检组组长董力主持会议，水利部党组成员、副部长刘宁，水利部党组成员刘雅鸣、总规划师周学文出席会议。

作为RCEP 协定缔约国，我国的数据跨境流动规则应当在理念上与RCEP 协定接洽与兼容，才能从具体制度上进行匹配。RCEP 协定对待数据跨境包含跨境自由与安全流动两大方面，而我国数据跨境规则理念侧重安全至上理念。《数据安全法》第十一条明确促进数据跨境安全、自由流动，有学者认为这是我国平衡对外开放与国家安全的关系，倡导审慎包容与鼓励合作的监管方案[11]。但就具体管制措施与制度而言，我国强调数据储存本土化与出境安全评估，缺乏对自由流动的途径与范围的说明，相关法律表达具有浓重的应对性意味，特别是在经贸业务领域，以 “全面铺设” 控制数据跨境流动的 “闸口”[12]。依据《网络安全法》，数据储存本土化针对的主体是关键信息基础设施的运营者，要求在我国境内所收集的和产生的个人信息和重要数据本土化储存，其规制逻辑在于其优先保护国家数据主权，而非个人或企业的数据权利。同时，数据储存必然依赖于一定的设施，数据存储的本土化势必会带来数据设施的本土化，单方面强调数据储存本土化会造成我国侧重数据安全，轻视流动自由的理念现状。尽管数据储存本土化要求对保障我国网络安全具有重要意义，但是安全评估及其与之相关的数据本土化措施具有极大的灵活性与不确定性，导致法律规则的稳定性与可预期性丧失，失去数据跨境流动的基础[13]。

与此同时，我国缺乏具体的数据跨境自由流动制度与数据储存本土化相呼应，与RCEP 协定数据跨境自由流动的要求存在距离。从《网络安全法》对数据跨境流动的严格限制，到《个人信息保护法》对个人信息设置出境条件，再到《数据安全法》提出促进数据跨境安全、自由流动，我国对数据跨境流动的态度也开始转变。RCEP 协定数据跨境流动框架的自由流动规则，包括禁止数据设施本土化与不得阻止因商业行为而进行的数据跨境行为两个方面。我国作为RCEP 协定的缔约国，明确数据跨境自由流动并构建相应制度是数据出境规则的应有之义。我国坚持数据储存本土化要求的同时，逐步允许有条件开展数据跨境流动，也体现我国立法机构顺应潮流，适度放松数据出境安全评估的导向[14]。尽管当前世界各国对数据跨境流动开始呈现收紧态势，欧盟与美国之间的博弈导致 “隐私盾协议” 被宣告无效，数据跨境流动规则呈现碎片化趋势[15]。但我国作为人类命运共同体理念的倡导者，更应当主动应对 “逆全球化” 潮流，提出数据跨境流动的中国方案，而该方案势必要包含倡导数据跨境自由流动制度作为支撑。

（二）数据储存本土化考察：基本安全利益例外的援引

数据储存本土化作为我国数据跨境流动规则体现 “安全至上” 理念的重要措施之一，是国家对数据流动强力限制的体现，也是数据主权的具体实践。我国行使数据主权要求数据储存本土化，应当兼顾我国加入的RCEP 协定的要求，措施对外效力的实现需要以RCEP协定例外条款作为支撑。

数据储存本土化措施在RCEP 协定下的合规性考察，需要证明该措施符合 “基本安全利益例外” 的情形，那么RCEP 基本安全利益例外条款的解读则尤为重要。RCEP 第十九章第四条第二款规定，条约解释在争端解决过程中具有重要与普遍的意义，既往WTO系列协定已有条款被纳入RCEP的，对其进行解释之时需要合理充分考虑WTO 争端解决机构所通过的报告。故WTO 系列协定的安全例外条款的解释以及相关争端解决的实践，对理解RCEP 协定关于数据跨境基本安全利益例外条款是可行且重要的[16]。在WTO 系列协定中，《关税与贸易总协定》（以下简称GATT）、《服务贸易总协定》（以下简称GATS），以及《和贸易有关的知识产权协定》（TRIPs）均有安全例外条款。鉴于 “条约必须遵守”③“条约必须遵守” 作为习惯国际法，也是条约法的基本规定，参见《维也纳条约法公约》序言和第二十六条相关规定。，基本安全利益例外条款是缔约方履行条约义务之例外的依据[17]。该条款以 “基本” 一词修饰 “安全利益” ，应当视为对安全利益的限缩与限定，即强调对缔约方而言具有重要与基础的安全利益[18]。结合条约目的和宗旨，GATT 起草者强调要避免安全例外条款被各国用于解释 “真正具有商业目的的措施”④World Trade Organization(WTO), GATT Analytical Index-Security Exceptions, http://www.wto.org/english/res_e/publications_e/ail7_e/gatt1977_art21_gatt47.pdf.，故基本安全利益不应当包含只基于商业经济目的考量的安全利益。在WTO 的争端解决实践中， “俄罗斯运输” 案专家组澄清了 “基本安全利益” 的范围与程度，专家组认为 “基本安全利益” 应当被包含于 “安全利益” 之内，即 “基本” 的修饰导致 “安全利益” 范围的缩小， “基本安全利益” 指与国家典型职能有关的利益，即保护其领土和人民不受外来威胁，以及维护国内法律和公共秩序的利益⑤Panel Report,Russia-Measures Concerning Traffic in Transit,WT/DS512/R(26 April 2019).para.7.130.。在随后的 “沙特知识产权” 案中，专家组再次肯定了 “俄罗斯运输” 案关于 “基本安全利益” 的界定与判断标准⑥Panel Report, Saudi Arabia-Measures Concerning the Protection of Intellectual Property Rights, WT/DS567/R(16 June 2020).para.7.280.。

国民经济发展中农业发展占据基础性地位，作为农业生产的重要组成部分，养殖业发展也受到现代社会的高度重视。目前社会群体的生活水平显著提升，对于食草动物及其产品的需求也呈现日益增长的态势，具有代表性的是牛羊。立足我国的基本国情，可明确草食动物食草优势的发挥，符合自然资源现状，能通过绿色化动物产品的发展，满足人类社会多元化的消费需求。

以WTO 系列协定的安全例外条款解释及其实践为参考，RCEP 基本安全利益例外条款虽赋予缔约方较大的裁量权，但是援引该条款应当承担两项举证责任：一是以 “善意原则”⑦“善意原则” 来自《维也纳条约法公约》第三十一第一款：
“条约应依其用语按其上下文并参照条约之目的及宗旨所具有之通常意义，善意解释之。”阐明该措施保护何种 “基本安全利益” ；
二是证明该措施与 “基本安全利益” 之间具有 “最小合理” 的关联性⑧Panel Report,Russia-Measures Concerning Traffic in Transit,WT/DS512/R(26 April 2019).para.7.138.。以此对我国数据储存本土化制度进行考察，一方面，我国对于关键信息基础设施的定义具有 “国家安全” 因素，在关键信息基础设施运作过程中，数据是不可或缺的存在，起到保护国家安全、国计民生、公共利益的作用。如果数据遭到窃取或泄露，势必导致国家安全利益受损或社会秩序的动荡。因此，援引上述专家组对 “基本安全利益” 解释该数据储存本土化措施所保护的客体是可行的。另一方面， “网络主权” 得到世界各国普遍承认也让数据规制措施在保护国家安全和公共秩序等方面被各国所接受，特定数据的存储和处理本土化要求等典型措施也被诸多国家采用。因此，上述相关数据如在境外储存，是无法杜绝其泄露对 “国家基本安全” 的威胁，数据的本土化存储与 “基本安全利益” 之间存在 “最小合理” 的关联度，故我国数据储存本土化措施可以援引RCEP 相关基本安全利益条款而产生对外效力。

（三）出境安全评估考察：公共政策目标例外的援引

出境安全评估是我国数据跨境流动规则对数据流动出境所设置的阀门，承担着识别并允许数据跨境流动的监管作用，其本质是互联网规制措施的一种。出境安全评估措施可以看作是对数字贸易作出的限制，措施合规性体现为符合相关条约的一般例外条款，并着重考察实现目标措施的必要性。

出境安全评估要求满足主体或数量要求的数据处理者向境外提供的个人信息，以及关键信息基础设施产生的重要数据，需要通过安全评估才能向境外传输数据。关键信息基础设施所产生的重要数据的评估，以上文分析可知其能够援引RCEP 协定 “基本安全利益例外” 而成立。那么针对满足主体或数量要求的数据处理者向境外提供的个人信息，则与 “公共政策目标例外” 关联度更高。RCEP 公共政策目标例外条款的解释方法与基本安全例外条款基本相同，应以参照WTO 争端解决实践进行。不同于RCEP 协定基本安全利益例外条款对GATT 相应条款的完整纳入，GATT 和GATS 的一般例外条款中并没有出现 “公共政策目标” 的用语，而是对各类正当化的理由予以说明，类似的表述为 “公共道德” 和 “公共秩序” 。针对 “公共道德” 的解释与适用，需要先明确什么类型的道德可以成为WTO 协定一般例外条款下的非贸易关切，本质是何种范围的道德能够被WTO 协定合法保护，然后是实现公共道德目标的措施是否符合WTO协定的实体与程序性条件[19]。

“公共秩序” 的解释与适用则需考察GATS 的目标与实践，其只在GATS 第十四条（a）项⑨GATS第十四条（a）项：
“保护公共道德所必要的，或者是维持公共秩序所必要的。”出现。

“公共秩序” 的认定应当满足相关威胁具有严重性，以及相关利益对整体社会的重要性[20]。在WTO 的争端解决实践中，专家组很难对 “公共道德” 或 “公共秩序” 予以统一明确的界定，而是通过给予各成员方一定的自主裁量权，根据本国的法律制度、社会文化、价值观念等，在其本国境内界定概念与范围并予以适用⑩Panel Report, United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R(20 April 2005).Para.6.461.。故对 “公共道德” 或 “公共秩序” 的理解，需要结合现有的社会、文化、道德和宗教价值等因素，不同成员方在不同的时空内对二者的认定并不完全相同，不存在通用的准则与衡量标准。因此，RCEP 联合委员会或专家组1RCEP协定第十二章第十七条第二款规定，磋商未果的缔约方可根据第十八章第三条将争议事项提交至RCEP联合委员会审议。对 “公共政策目标” 概念的界定，也会采用依据成员国国内法的方式予以解释，而非明确划定具体的范围。RCEP 协定成员方相关措施能否援引公共政策目标例外条款，关键在措施的适用条件与方式。RCEP 协定公共政策目标例外条款对相关措施的合法适用作出限制与WTO 协定相同，即应当不构成 “歧视” 与 “变相限制” ，二者可理解为缔约方的规制权受到 “非歧视” 条件的限制。结合WTO “美国虾案”2Appellate Body Report, United States-Import Prohibition of Certain Shrimp and Shrimp Products, WT/D58/AB/R(6 Nevember 1998).、 “巴西—翻新轮胎案”3Appellate Body Report,Brazil-Measures Affecting Imports of Retreaded Tyres,WT/DS512/R(26 April 2019).的相关裁决可以得知，是否构成 “任意或不合理的歧视” ，应当分析措施 “歧视” 产生的原因或理由，即措施是否可以与公共政策目标例外建立合理的联系，在此基础上相关措施还需具有充分的灵活性，需要存在其他能够达成同一目标的手段或方式作为补充。

综上所述，我国 “数据储存本土化+出境安全评估” 制度基本满足RCEP 协定基本安全利益例外与公共政策目标例外条款的要求，可以获得支持并援引其作为合规性依据。但是，相关措施体现着我国安全至上的数据跨境流动规制理念，与RCEP 协定所倡导的自由流动原则存在偏差。同时，我国限制流动措施虽然基本能够援引RCEP 协定例外条款，但是在规则用词的表述方面与RCEP 协定有所不同，可能会造成条文的解释与适用不一致的问题，需要改进与完善。

结合WTO 协定 “公共道德” 与 “公共秩序” 的理解与实践，以及RCEP 协定相关条款的分析，我国采取数据出境安全评估措施是基于RCEP 赋予缔约方广泛自由裁量权的体现，其合规性考察的重点在于具体实施方式，即该措施是否构成歧视。一方面，我国数据出境安全评估所规制的对象是不存在 “歧视” 或 “变相限制” 的，即对于出境数据的评估要求与程序并未对中国信息处理者和外国信息处理者采取不同的标准，都需要经历 “自评估+安全评估” 的流程，最终由国家网信部门出具评估结果决定数据是否可以出境。在实施过程中，还需要考察数据出境安全评估措施的灵活性问题，即是否故意忽略或禁止其他同样能够达到目标的替代性措施，导致只能利用当前手段进行数据跨境活动。我国数据出境存在豁免安全评估的情形，即个人信息保护认证、数据跨境标准合同的方式。这两种方式也被欧盟、美国等数据处理主体所采用，是具有代表性且广泛适用的合理替代措施，起到避免对依托数字进行的贸易活动产生限制作用。因此，我国对数据出境的管制措施具有灵活性，且不构成 “歧视” 与 “变相限制” ，数据出境安全评估措施也应获得RCEP协定公共政策目标例外条款的支持。

拼音中有四个翘舌音的字母，即zh、ch以及sh和r，在这四个拼音教学过程中应当充分考虑其声母读音，这是历年来教学的难点。为此，可以设计一个学生比较熟悉的生活场景，比如招待客人，四位客人到家中做客，他们都戴着帽子，上面分别写着zh、ch、sh、r四个拼音。客人到家时应当打招呼，客人代号比较难读，需要将自己的舌头翘起来，大家一起读zh、ch、sh、r。学生经过慢慢练习逐渐会读，请客人进门时再巩固四个拼音的认读，这有利于正确地拼读翘舌音。

《网络安全法》立法目的着重提及网络安全、网络空间主权和国家安全。《个人信息保护法》在针对个人信息数据跨境流动的规制中也重申信息安全的重要性。《数据安全法》以 “数据安全” 为首要立法目的，但条文包含 “促进数据跨境安全、自由流动” ，可以看作是在《网络安全法》的基础上对数据跨境流动持有更加开放的态度。整体而言，以《网络安全法》②《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。为依据，我国数据跨境流动规则是以 “数据储存本土化+出境安全评估” 制度为基础进行构建。数据储存本土化，以保障国家和个人信息安全为根本目标，对数据出境保持审慎态度[9]。出境安全评估则是对出境数据进行审视与分析，确保我国数据安全的实现。从立法目的到基本制度构建，我国数据跨境流动规则都体现着安全至上的理念。

（一）塑造数据安全与促进流动规则理念

“如果法律是一幅绘画，那么其底色一定是自由权。”[21]我国数据跨境流动规则理念的重塑可以尝试 “原则+例外” 的规制模式，即以数据跨境自由流动与禁止数据储存本土化为原则，以合法的公共政策目标的实现与保护基本安全利益的必要为例外，限制数据跨境流动与提出数据储存本土化要求。

一方面，我国数据跨境流动规则应当以数据跨境自由流动与禁止数据储存本土化为原则，以此彰显促进流动的规则理念。其一，数据跨境自由流动原则的确立，需要与RCEP 协定第十二章第十五条第二款进行互动。该条文强调不得阻止因商业行为而进行的数据跨境行为，其要素包括两个部分，即商业行为与数据跨境行为。因此，我国在条款的设计上，可以考虑 “一般网络运营者因商业行为需要，可将相关商业数据信息向境外提供” 的方式，确立数据跨境自由流动的原则。其二，禁止数据储存本土化的要求，也需要与RCEP 协定第十二章第十四条第二款进行互动，即 “一般网络运营者收集和产生的数据信息可以在境外储存” ，确立禁止数据储存本土化的原则。两个原则的确立，将提升我国数据跨境流动规则与RCEP 协定的对接力度，塑造我国数据跨境流动规则促进流动的理念。

另一方面，我国数据跨境流动规则也需要以合法公共政策目标的实现与保护基本安全利益的必要为例外，限制数据跨境流动与提出数据储存本土化要求。我国《网络安全法》提出关键信息基础设施的重要数据应当本土化储存，同时也提出安全评估的要求。而针对何为关键信息基础设施，结合RCEP 协定第十二章十四条第三款与第十二章十五条第三款对此进行审视，我国应重点突出以 “基于合法的公共政策目标的实现，与缔约方保护基本安全利益的必要” ，而非直接列举相关行业。这样既可以完全与RCEP协定对接，又可以避免被其他国家诟病。总的来说，我国现有法律条文在适度完善与补足之后，可以很好应对 “例外” 规范的要求。此外，如果限制数据跨境传输是为维护宪法价值，则一般不应被视作数据保护主义[22]。我国数据储存本土化是为了国家安全等宪法所确立的基本价值，也应当被 “例外” 所涵盖。在此基础上，以合法公共政策目标的实现与保护基本安全利益的必要为例外，将能有效地确立我国重视数据安全的规则理念。

2001年12月，中国正式加入世界贸易组织，中国石化集团公司提出“走出去”战略。走出国门，参与国际市场的竞争，奋进的五建开始了新的尝试。

（二）统一相关概念与建立重要数据目录

结合WTO 系列协定例外条款的解释与实践，我国限制数据出境的 “数据储存本土化+出境安全评估” 措施，基本可以获得RCEP 协定基本安全利益例外与公共政策目标例外的支持。但由于数据管制措施的敏感性与天然具有的不确定性，实施过程容易产生歧义与引起争端，需要在内部明确与统一概念，为相关争端的解释提供国内法指引。公共政策目标例外要求相关措施具有灵活性，需要健全以数据分级制度为基础、重要数据目录为手段完善相关措施。

我国的遗传咨询体系建设尚在起步中，上海市率先开展的“健康孩”遗传咨询体系建设的探索实践虽取得一些初步成效，但更多的是发现了不少亟待解决的问题，包括对遗传咨询的认知不足急需加强科普宣传、遗传咨询从业人员数量与能力建设问题急需从在职培训与规范化培训与职业化发展同步抓紧推进、遗传咨询与检测(手心、手背关系)失衡问题急需规范服务并有机衔接等，遗传咨询体系建设任重道远，需要广泛关注与支持。

一方面，我国数据跨境流动规则的各项措施，在受到其他国家质疑并诉诸RCEP 争端解决之时，RCEP 联合委员会或专家组会对相关措施予以审查，判断其是否符合RCEP 协定的例外情形。建立相关措施与例外条款的联系，依赖于对相关法律概念的解释与推理，从而达成相对一致的理解与适用。

“法律概念是对各种法律实施进行概括，抽象出它们的共同特征而形成的权威性范畴。”[23]在数据跨境流动规制措施中，《网络安全法》基于 “国家安全、国计民生、公共利益” 等概念要求关键信息基础设施产生的信息本土化储存，可以纳入 “基本安全利益” 与 “公共政策目标” 的范畴。在《数据安全法》中强调 “数据安全相关国际规则和标准的制定” ，并在此基础上提出 “建立数据安全审查制度” ，而在《个人信息保护法》中针对个人信息出境 “应当进行安全评估” 。可以看到，在我国数据跨境流动规则的内部，已然出现相关法律概念不统一的情形。而RCEP 协定的数据跨境流动例外条款，则限于 “基本安全利益” 与 “合法的公共政策目标” 。若联合委员会或专家组对我国援引 “基本安全利益例外” 与 “公共政策目标例外” 进行审查之时，势必会考察我国国内法对相关法律概念的界定与适用。为此，我国限制数据出境各项措施的法律概念应当与RCEP 协定的表达统一，以 “基本安全利益” 与 “公共政策目标” 为理由建构限制数据跨境流动的措施与制度。同时，厘清 “数据安全审查” 与 “出境安全评估” 的关系，可以明确安全评估作为安全审查在数据出境时的具体审查措施，由此构建满足RCEP 协定数据跨境流动框架要求的内部规则。

另一方面，健全重要数据目录有助于数据跨境安全评估与相关替代性措施的明确适用。2017 年生效的《网络安全法》将网络运营者分为一般网络运营者和关键信息基础设施运营者，建立了 “自下而上” 的数据分级分类，2021 年生效的《数据安全法》则以国家为主体，建立了根据数据对国家、社会的价值以及出现安全事件后造成的危害后果 “自上而下” 的分级保护制度[24]。2022 年出台的《数据出境安全评估办法》对评估对象的标准予以说明，但仅明确了个人信息的量级，对重要数据的界定仍是采用来源主体进行判断。由于重要数据与基本安全利益具有天然的联系，具有动态与演进的特点，其内涵标准、判定条件、认定程序不宜采用相对固定的界定方式。为此，我国可以采用《数据安全法》提出的 “重要数据目录” ，将对于国家安全、社会公共利益等至关重要的数据纳入其中，结合数据储存本土化与出境安全评估加以控制，以提高我国数据跨境流动规则的可操作性与透明性。同时， “重要数据目录” 应当保持定期更新，以满足RCEP 区域经贸发展的数据跨境与维护国家安全需要。

（三）拓展数据合法出境与区域合作渠道

RCEP 作为促进亚太地区跨境电子商务发展的倡导性协定，致力于在亚太区域内达成广泛适用的电子商务规则。我国在数据跨境流动的国际参与上比较缺失，更加关注数据的保护与安全问题。我国应积极推动RCEP 缔约国协同治理数据跨境流动，对外推动更为丰富的数据合法出境与区域合作渠道落地。

我国现有的数据合法出境渠道都属于充分性保障措施，其中经专业机构进行个人信息保护认证，可以拓展为数据安全认证的第三方认证机制。第三方认证是通过由认证机构证明网络服务、数据产品、管理体系等符合相关法律规范、技术标准、行业准则的评定，以此证明信息网络的安全与可靠[25]。在数据出境的个人信息保护认证方面，我国可以积极构建依托第三方数据安全认证的个人信息数据出境，通过该措施保障个人信息数据出境的安全与合规。在标准合同的构建方面，我国《个人信息出境标准合同规定（征求意见稿）》已于2022 年出台，该草案阐明了数据出境实施主体与接受主体应当主动采取的数据安全保护责任与义务，下一步我国应积极推动该评估办法的尽快出台。在上述二者完善的基础上，我国还可以增加具有约束力的集团企业规则的渠道。该规则源于欧盟BCR 规则，是指数据输出方与接收方同属于一个集团，虽然数据流动跨越国境，但集团整体遵循我国数据跨境流动规则，那么整个集团可以视为 “安全港” ，一般商业数据可以自由跨境流动而无需安全评估[26]。我国可以积极借鉴与纳入，完善数据合法出境的充分性保障措施，通过试点的方式逐步推广，积累特定类型数据跨境传输的经验[27]。

在充分性保障措施之外，我国可以积极开展RCEP 区域内合作，建立区域数据跨境流动白名单机制。白名单机制是指评估数据出境流入国的政治法律环节，如果其数据保护水平达到数据出境流出国的最低要求，数据跨境行为合法透明，且不存在有关数据跨境流动的负面报告，则可以将该数据出境流入国纳入可自由流动国家，形成数据跨境流动白名单[28]。由于RCEP 区域内既有发达国家，也有发展中国家，各国数据安全保护水平存在较大差异。因此，我国可以借助RCEP 平台，与日本、澳大利亚等发达国家就数据跨境流动先行展开协商，平衡各国数据安全保护水平，达成数据保护最低水平，建立RCEP 区域数据跨境流动白名单机制。区域内发展中国家在不断提高本国数据安全保护水平之后，也可以通过协商与审议加入其中，推动RCEP 区域内数据跨境自由与安全流动。当然，数据跨境流动白名单机制也不是一成不变，我国可以推动RCEP 成员国定期召开审议，对不再满足数据保护最低水平的国家，及时从白名单中剔除，保障RCEP 区域数据跨境流动白名单机制的安全与可靠。充分性保障措施、白名单机制与安全评估并不是泾渭分明的状态，国家网信部门应享有对满足充分性保障措施与白名单机制的数据跨境流动案例，在实施过程存在安全风险的前提下评估与限制的权力，在不断对外拓展数据出境与区域合作的同时，有效保障数据安全的实现。

综上所述，RCEP 协定下我国数据跨境流动规则的完善路径主要从三个方面入手：一是以 “原则+例外” 的规制模式，塑造我国重视安全与促进流动的规则理念。二是对内统一相关法律概念，让我国限制数据流动措施更好对接RCEP 协定，建立重要数据目录增强措施可操作性与透明度。三是对外完善充分性保障措施与白名单机制，拓展数据出境与区域合作的渠道。

当然，以上对被害人陈述进行证伪思维审查的前提是被害人必须出庭接受质证，否则仅对被害人陈述的笔录进行书面审查则审查不全面或审查干脆进行不下去。有鉴于此，人民法院在刑事审判中必须通知被害人出庭接受质证。

然而现在，我们已经无法“身临其洞”了。它之所以被发现，是因为矿业公司用抽水泵将洞内的水抽走了，如果停止抽水，奈卡水晶洞又会被水淹没，而那些巨大的石膏水晶体或许还会在水中继续生长。

数据跨境流动作为当前热门的数据治理议题，其不仅关乎一国的数据安全，还影响着跨境数字贸易的健康发展。由于数据跨境流动自身的特性，其无法清晰归类于世界贸易组织 “服务部门分类清单” 中的任何一类，相关规制的方式需要考虑多种因素，具有较大难度[29]。但数据跨境流动既是现实所需，也是未来发展方向，需要对规制策略进行积极探索。我国作为数字经济蓬勃发展的国家之一，对数据跨境流动规制的态度却显得谨慎与保守。以RCEP 协定数据跨境流动框架为基准进行检视，我国应平衡数据安全与自由流动理念，在 “数据储存本土化+出境安全评估” 能够援引RCEP 协定 “基本安全利益” 与 “公共政策目标” 例外条款的基础上，应当提升安全评估与数据出境规则的透明度与可操作性，保障数据跨境流动的自由与安全。当前，我国已正式提出申请加入《全面与进步跨太平洋伙伴关系协定》（以下简称CPTPP），进一步彰显我国参与数字经济国际合作的诚意与态度。与RCEP 协定相比，CPTPP 协定更加强调数据跨境的自由流动，限制数据本地化措施与重视个人信息保护，对我国数据跨境流动规则提出了更高要求。为此，我国应积极把握RCEP 协定生效的契机，完善我国数据跨境流动规则，为正式加入CPTPP 做好制度准备。最后，我国应充分贯彻RCEP 协定数据跨境流动框架多元共治理念，推动RCEP 区域数据跨境流动规制与标准形成，提升我国规则的区域影响力，进而为世界贡献数据跨境流动规制的中国方案。

猜你喜欢出境本土化个人信息如何保护劳动者的个人信息？工会博览(2022年16期)2022-07-16个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01警惕个人信息泄露绿色中国(2019年14期)2019-11-26诉前强制调解的逻辑及其本土化建构中财法律评论(2018年0期)2018-12-06中华人民共和国出境入境管理法金桥(2018年9期)2018-09-25中华人民共和国出境入境管理法金桥(2018年7期)2018-09-25中华人民共和国出境入境管理法金桥(2018年5期)2018-09-22美乐家迎来本土化元年知识经济·中国直销(2018年4期)2018-04-18论电视节目的本土化新闻传播(2016年4期)2016-07-18В первом квартале 2016 года через КПП Маньчжоули прошли 220 международных грузовых железнодорожных составов中亚信息(2016年4期)2016-07-07

推荐访问:检视 协定 流动