国际经贸协定下跨境数据流动规制及中国因应——以安全例外条款为视角.pdf

1、89TIMES OF ECONOMY&TRADE 2023年 第 8 期国际经贸协定下跨境数据流动规制及中国因应以安全例外条款为视角程睿（广西师范大学法学院广西桂林541000）【摘 要】数据贸易及其跨境流动发展对各国以及国际法治提出了更高的贸易要求，各国都在构建数据流动和规制规则，中国的数据规则发展现状与模式要求对禁止数据规制措施中的基本安全利益例外条款给予关注。鉴于传统经贸协定中的基本安全利益例外条款难以完全覆盖当下各国的安全需求，晚近经贸协定开始对安全例外条款进行创新规定。在此背景下，中国应平衡国内外法律规范，有效援引安全例外条款，在保证国家安全的前提下推进数据自由化流动。【关键词】FT

2、A；跨境数据流动；基本安全利益例外条款；数字贸易规则【中图分类号】D996.1【文献标识码】A【文章编号】1672-2949（2023）08-0089-05信息技术的高速发展推动数字贸易和电子商务的蓬勃发展，全球数据快速交融增长，展现出巨大的经济社会价值，自党的十八大以来，国家将数据上升为战略要素，提出“构建以数据为关键要素的数字经济”，数据已然成为当今时代重要的生产要素之一。随着全球治理的发展，数字治理进入新旧交替时期，数据安全保护和贸易自由化产生冲突，从隐私到个人信息再到数据，数字化的快速发展和扩张，使跨境数据流动与国家基本利益、安全、公共政策等非经济利益休戚相关，各个国家根据自身需求制定

3、国内法对跨境数据的流动进行管制，文化价值和战略目标的差异导致数据流动的自由化程度各不相同，由此影响了全球数字经济的发展。此外，全球并未形成统一的跨境数据流动规制体系和制度，要实现数据安全保护和数据自由流动的平衡，还需要相应的时间。为促进跨境数据的流动，各国政府都在采取行动、达成经贸协定，在数字贸易领域形成和提供共同的规则，如在全面和进步的跨太平洋伙伴关系协定（以下简称“CPTPP”）中纳入“电子商务”章节，新加坡、新西兰与智利签署数字经济伙伴关系协定（以下简称“DEPA”）。对于跨境数据流动的规制，各国在相关的国际经贸协定中也做出了规定，如区域全面经济伙伴关系协定（以下简称“RCEP”）和CP

4、TPP等协定都采取了“原则”加“例外”的形式，原则上禁止对数据的跨境流动进行规制，包括禁止数据本地化条款、设立数据自由流动条款，但考虑到各缔约国的数据保护和自由化能力不尽相同的问题，另设例外条款，给予缔约国一定的政策发展空间，使缔约国在限制数据跨境流动时能够援引例外条款，减免由于该限制行为产生的国际义务和责任。上述超大型自由贸易协定（以下简称“FTA”）对于数据跨境流动的原则已经达成了较为统一的规定，但对于规制数据跨境流动行为的例外条款规定有所差异，学者张晓军将RCEP中的数据跨境流动例外条款分为公共政策目标例外条款和基本安全利益例外条款。而学者马光将FTA中数据跨境流动规制的例外条基金项目：

5、广西研究生教育创新计划项目（项目编号：YCSW2023168）作者简介：程睿（1997-），女，汉族，江苏徐州人，广西师范大学法学院国际法学硕士研究生，研究方向为国际公法学、国际经济法学。文章著录格式：程睿.国际经贸协定下跨境数据流动规制及中国因应以安全例外条款为视角J.时代经贸，2023（8）：089-09390TIMES OF ECONOMY&TRADEINTERNATIONAL BUSINESS国际经贸款分为电子商务或数字贸易章节下的限制、一般例外条款下的限制以及安全例外条款下的限制。本文以公共政策目标例外和基本安全利益例外的分类方式为基础，着眼于FTA中基本安全利益例外条款规定和适用问

6、题，厘清各FTA中基本安全利益的内涵及援引条件等问题，以达到帮助我国在数据跨境流动规制中正确有效适用条文的目的，为我国国内法更好地与国际规则衔接提供思路。基本安全利益例外条款互联网时代的发展几乎使全部的跨境贸易都要依靠数据的跨境流动来满足需求，但是考虑到国家安全、数据安全、信息安全等方面的问题，尤其是在斯诺登事件发生后，越来越多的国家采取了强制措施以保证数据储存在本地，便于国内数据流动和使用的监管。但是这些强制措施的采取可能对外国的数据服务提供者形成数字贸易壁垒，因此，实施限制措施的国家需要将其行为放置于国际法框架下解释其合法性，这时国家就需要援引例外条款以寻求正当化理由。（一）国家安全例外条

7、款在WTO框架下的实践根据现行FTA的规定，虽然规定有所差别和修改，但具体内涵和适用仍然借鉴了WTO对于安全例外的规定，包括GATT1994第21条、GATS第14条之二以及TRIPS第73条，而其中最基本的条款为GATT1994第21条，因此，这里主要论述GATT1994第21条的适用问题。根据该条规定，安全例外的范围是例外条款中最广泛的，但由于涉及国家安全等问题的界定，援引安全例外可能导致政治问题司法解决，安全例外条款很少被WTO成员援引，而WTO就安全例外条款做出解释的案件数量更少，如首次对安全例外条款做出解释的“俄罗斯过境限制案”（DS512）。1.自裁权的范围。GATT1994第21

8、（b）条序言部分所规定的“其认为”赋予了成员方一定的自裁权，但自裁权的范围有待商榷，即“其认为”应当限定保护的“必需的行动”或同时包含“基本安全利益”，还是将第21（b）条中（i）-（iii）项中所述事项全部涵盖。专家组在DS512中对不同情况进行测试后，认为成员“有一定的自由”确定其基本安全利益的范围界定以及采取保护措施的必要性，但是成员采取的行动是否符合（iii）项的要求不应属于援引方的自裁权范围，援引GATT1994第21（b）（iii）条并不能免除审查，因此，“其认为”这一表述不应当限定本条中列举项的确定，而应当受到客观审查以满足被援引条款的要求。2.基本安全利益的界定。GATT199

9、4第21（b）条中规定成员方可以采取“其认为”保护其“基本安全利益”的必需行动，由此赋予成员方定义其基本安全利益的权利，但这并不意味着任何安全利益都可以上升至“基本安全利益”的范畴。专家组认为“基本安全利益”的范畴较“安全利益”更为狭窄，因此，界定“基本安全利益”的自裁权更要受到善意原则和条约义务的限制。在善意原则的约束下，成员方不应随意援引安全利益例外条款规避国际义务，在援引例外条款时，应当具体阐明基本安全利益以及紧急情况与基本安全利益之间的关联性程度。3.必需措施的限度。专家组认为GATT1994第21（b）条中“其认为”可以限定所采取行为的必需性，但这一自裁权的适用仍然受到善意原则的约束

10、，即措施的采取与基本安全利益之间满足最低限度的合理性要求。援引方在满足最低标准的前提下享有措施必要性的自裁权，并且其国家安全政策和目标在专家组审理过程中受到一定程度的尊重。（二）跨境数据流动领域例外条款入约背景1.网络数据安全构成国家安全的一部分。网络数据安全作为非传统安全，逐渐受到各个国家和各战略规划的重视。WTO在国家安全例外中重点列举了传统安全保护的情形，而网络安全并未被明确规定出来。因此，在国际经贸协定中规定适用于数据跨境流动的条文，有利于保障一国的网络安全，防范非传统安全发展为传统安全。但网络安全相关的事项并非都属于基本安全利益的范畴，在一定情况下，网络安全措施可能形成贸易壁垒，国际

11、经贸协定规定的“原则”加“例外”的条款能够在一定程度上化解网络安全措施成为贸易保护主义工具的问题。2.安全利益与跨境数据自由流动的冲突。考虑到网络数据与管家安全之间的关系，许多国家都会选择对数据的跨境流动进行规制，防止非传统安全转化为传统安全，危害国家安全，包括采取数据保护水平评估机制、91TIMES OF ECONOMY&TRADE 2023年 第 8 期数据本地化等措施。在当前贸易自由的语境下，跨境数据流动作为电子商务的一个重要部分，其发展呈现出全球化、自由化趋势，由此产生了与国家对数据流动规制措施的冲突。在数字贸易自由化发展的大环境下，各国为保护信息安全、国家安全采取的规定和措施，需要通

12、过例外条款加以合法化并排除国际责任，因此，例外条款适用于跨境数据流动领域，赋予国家保障数字利益和安全的权利，更好地推动数据高效跨境流动和数字贸易自由化发展。经贸协定中基本安全例外条款国家基本安全利益是各国在国际交往中最注重的问题，国际经贸协定规则中正体现了这一点。但各国经济贸易政策取向的不同，对国际经贸协定中有关国家基本安全利益条款的设定也产生了不同的影响。因此，分析当今经贸协定中的基本安全例外条款有利于在规则基础上有效保障国家利益，并促进相关国际规则的统一发展。（一）CPTPP与USMCA中的安全例外条款USMCA与CPTPP的前身TPP均由美国主导订立，并反映了美国在数据流动方面的利益诉求

13、，因此，在安全例外条款的规定上USMCA与CPTPP具有一致性，这里将二者一同进行研究。CPTPP第29.2条和USMCA第32.2条分别规定了安全例外，二者都规定“如披露则违背其基本安全利益的任何信息”不适用数据跨境流动的规定，并且缔约方有权采取其认为对保护自身基本安全利益所必要的措施。在具体表述上，CPTPP和USMCA均在这一条中删除了“在联合国宪章项下”这一表述，另外将“维护和平与安全”中的“and”更改为“or”，扩大了安全例外条款的适用范围。相较于GATT1994规定的安全例外条款，CPTPP和USMCA中安全例外条款的规定内容更加简单、适用范围更为模糊，数字贸易发展会产生影响国家

14、“基本安全利益”的新问题，具有一定模糊性的例外条款可以给予国家运用该条款解决这些问题的空间。但在审视GATT1994安全例外条款适用实践的基础上，太过模糊的规定对于该条款的援引和适用存在不利影响。援引GATT1994第21条的案件中，基本安全利益的界定、必要措施的合理性和关联性等问题都在很大程度上依靠善意原则的适用，但是善意原则能够在多大程度上弥补规则的模糊性尚未可知。在涉及基本安全的问题上，国家之间通过援引例外条款的法律行为来解释其政治行为的概率较小，因此，安全例外的规定不应过于模糊。此外，基本安全例外的范围界定模糊也会导致滥用这一条款的情形发生，如美国以维护“国家安全”为依据，援引GATS

15、的安全例外条款，通过自我判定国家安全的定义和范围，针对以TikTok为代表的中国企业签署禁令，由此可见，过于模糊的基本安全例外条款对于条文的正常援引和适用是弊大于利的。（二）DEPA中的安全例外条款作为“世界上第一个建立数字贸易规则和数字经济合作的唯一数字贸易协定”，DEPA对数据自由流动和安全做出了系统性规定，如第4.2条规定个人信息保护、第4.4条禁止数据本地化措施等，并考虑和纳入了独创性议题，如数字身份保护制度构建、新兴技术合作开发等内容。但是针对数据流动的规制措施例外条款并未做出创新性规定，第15.2条的安全例外条款基本与CPTPP和USMCA的规定相一致，其援引和适用同样存在上述问题

16、。（三）RCEP中的基本安全利益例外条款区别于其他FTA仅将安全例外条款规定在例外章节中，RCEP将基本安全利益例外规定在第十二章“电子商务”和第十七章“一般条款和例外”两个章节，并对具体内容做了创新性修改。首先，RCEP与其他FTA的规定相似，采用原则加例外的模式对数据流动进行规制，即在“一般条款和例外”章节下规定了适用于RCEP所有章节的安全利益例外条款，但与其他FTA不同的是，RCEP在GATT1994的基础上做出了细化规定。GATT1994第21条赋予了缔约方较高的自裁权，包括允许缔约方拒绝其认为有关国家基本安全利益而不能公布的资料，允许缔约方采取为保护国家基本安全利益所必要的行为，以

17、及允许缔约方根据宪章而采取维护国际和平的行动。RCEP第17.13条在此基础上，对允许采取保护国家基本安全利益的必需行为的情形进行进一步细化，在GATT1994第21（b）条规定的范围外，新增为保护关键公共基础设施采取行动的条文，由此扩大基本安全例外条款的适用范围，给予缔约方规制跨境数据流动的实施空间。92TIMES OF ECONOMY&TRADEINTERNATIONAL BUSINESS国际经贸其次，RCEP首次在结构上将“基本安全利益例外”条款规定在“电子商务”章节之下，作为“合法公共政策例外”的平行条款一同适用于电子商务相关的争端。在内容上，RCEP第12.14.3（b）条以及第12

18、.15.3（b）条具体规定了安全利益例外，作为适用于电子商务章节的特定例外条款，考虑到各缔约方在数据流动规制和保护方面水平的不一致，RCEP赋予缔约方自裁权并且规定其他缔约方不享有异议权，给予缔约方更高程度的自裁权。缔约方如需援引第十二章中的安全例外条款，就需要承担其所“认为”的基本安全利益的范围和界定及其所采取的措施的必要性，以及二者之间关联性的举证责任；根据“电子商务”章节中的例外条款规定，其适用条件相较于“一般例外和条款”章节中的安全利益例外条款更为宽松，因此，缔约方很可能更加偏向于援引“电子商务”中的例外条款以合法解释本国的规制措施。由于RCEP对于基本安全利益例外条款的规定仅有上述条

19、款，且实践中尚未出现相关案例，因此，有关基本安全利益例外的适用还存在一些问题，如国家基本安全利益的界定和范围应当由谁评定、例外条款的适用标准和如何解释等问题仍有待解决。中国因应（一）统一相关概念界定及解释我国针对数据跨境流动进行规制的现行立法数量不多，主要包括网络安全法数据安全法个人信息保护法等，在上述立法中所采取的措辞不尽相同，如“国家安全”“社会公共利益”“公共秩序”等，这些表述与FTA中采用的“基本国家安全利益”不一致，有可能产生解释和适用上的不契合。此外，根据基本安全利益例外条款所具有的自裁权，我国在援引基本安全利益例外条款时对基本安全利益的解释是由专家组进行善意审查的，很大程度上会将

20、我国国内法对基本安全利益的界定作为参考依据，因此，统一我国立法体系中的安全利益表述，有助于为解决国际数据流动自由化争端提供一致的国内法依据。（二）根据中国现行制度模式做出承诺我国对跨境数据自由流动的规制模式与FTA规定的模式不同，基于我国数据流动发展现状，虽然也采取“原则”加“例外”的数据流动规制模式，但现行立法以数据本地化为原则、以安全评估后流出或附条件流出为例外。依照我国跨境数据流动的规制模式，我国在签订或加入FTA时，可以扩大“不符措施承诺”和保留的内容，由此扩展我国规制数据跨境流动措施的空间，保障国家基本安全利益，给予国内数据产业发展的安全环境，以实现安全与发展共进的目标。另外，我国作

21、为缔约方之一的RCEP已经生效，加入CPTPP和DEPA的谈判进程也正在推进中，这对我国数据跨境流动的自由化程度提出的要求越来越高。因此，可以在自贸区试点高自由化的数据流动规制制度下，利用自贸区的经验完善跨境数据规制法律体系，在维护国家安全利益的基础上逐步推进数据跨境流动自由化发展。（三）完善监管评估体系在我国现有发展水平下，跨境数据流动规制体系模式以流出为例外，这对数据安全评估及分级分类的细化提出要求。我国应当在现有的法治体系基础上，构建宽严相济的数据分级分类评估监管体系。评估方面。我国现行数据评估分类主要包括四级，即关键信息基础设施产生的重要数据及个人信息、其他重要数据、达到网信部门规定处

22、理数量的处理者产生的个人信息、其他个人信息，针对上述四级数据分类基本要求本地储存、评估后出境，这就要求对“关键信息基础设施”“重要数据”等表述的判定标准和适用条件及程序等内容进行明确和细化。此外，应当加快推动数据出境安全评估办法等配套法规的出台，推进评估主体和标准等体系规范的建设，在数据评估体系完善和可操作性提升问题上，可以适度借鉴国外经验，如欧盟一般数据保护条例在数据流动评估方面的规范，以促进我国跨境数据安全流动，减少其他缔约方质疑涉及国家安全利益的数据性质定义的可能性。监管方面。首先，我国应当完善数据跨境的监管体系，如针对不同类型的数据设置不同的监管机构。随着我国经济社会的发展，产生越来越

23、多的跨境数据，这对监管机构的要求不断提高，仅仅保持现有的监管机构将无法满足需求。因此，根据不同类型、分级、内容的数据设置不同的监管机构，能够加快审查监管效率、提高监管专业性；其次，丰富监管方式。除了根据分级93TIMES OF ECONOMY&TRADE 2023年 第 8 期分类实施梯度监管外，应当引导行业企业在跨境数据安全保障和评估方面进行自我创新，在行业中构建数据安全保护体系，如蚂蚁金服和腾讯都出台了隐私保护白皮书，积极采取个人数据保护措施，不仅能提高数据保护效率、降低监管成本，还能够减少国家基本安全利益受到损害的程度。（四）国内外法律规则的衔接和平衡推动我国跨境数据在安全前提下自由化流

24、动、加入及实施各类FTA体系，不仅要衔接国内外法律规范，还需要平衡不同FTA之间的规则要求。首先，对于国内外法律规范的衔接，我国应当在坚守国家基本安全利益的基础上，推动跨境数据自由流动、释放优势红利。在国内立法中结合FTA的规则内容，根据我国具体国情完善数据保护法律体系，平衡国家利益与数据流动高自由化要求之间的关系，保护数据主权，维护国家安全利益。其次，我国作为RCEP的缔约方之一，积极参与CPTPP和DEPA的谈判，十分重视数字贸易以及数据前沿问题，但是不同FTA之间对跨境数据流动自由化的要求以及例外条款规定均有不同，如DEPA要求的数据流动自由化程度高，赋予缔约方采取规制措施的权力条款较少

25、；而RCEP赋予缔约方较高程度的监管自主权，尤其是在涉及基本安全利益方面的事项，缔约方拥有较高水平的自裁权。因此，我国对接和参与FTA还需要平衡不同规则体系之间的差异，特别是涉及例外条款的内容，以此更好地推动我国的数字贸易发展和数据跨境流动，扩大更深层次、更高水平的对外开放范围，有效地参与国际数据流动条款构建过程。在跨境数据流动水平不断发展、自由化要求不断提高的当下，我国不仅要健全和完善国内数据规制法律体系，还要平衡各国际协定之间的差异，针对国际协定之间可能出现的规范冲突，预先进行设想并提出合理合法的解决方案，实现国内外法律制度规范的统一发展，更好地利用基本安全利益例外条款，促进国家和社会数据

26、经济的进步。参考文献：1张倩雯.数据跨境流动之国际投资协定例外条款的规制J.法学，2021（5）：90-1022杨璐.跨境数据流动中的基本安全利益例外J.安徽理工大学学报（社会科学版），2021，23（3）：43-483姚天冲，周智琦.WTO安全例外条款下跨境数据流动安全的中国方案J.重庆邮电大学学报（社会科学版），2022，34（2）：63-734陈寰琦，陆锐盈.DEPA数据安全规则解析及对中国的启示基于和CPTPP/USMCA/RCEP的比对J.长安大学学报（社会科学版），2022，24（2）：1-105张驰.跨境电商发展对商贸流通业数字化转型的影响J.商业经济研究，2022（24）：150-1536张乂凡.数字经济下农村跨境电商发展路径分析J.时代经贸，2022（12）：87-897盛炯.RCEP跨境数据流动规制之基本安全利益例外条款研究D.沈阳：辽宁大学，20228乔晗，黄朝椿.构建以数据为关键要素的数字经济EB/OL.https：/