胡蕴贤|论RCEP数据跨境流动中基本安全利益例外条款的“必要性”审查
随着数字经济的飞速发展,数据跨境自由流动的过程中所引发的国家安全风险成了各国关注的重要议题。中国参与的《区域全面经济伙伴关系协定》(RCEP)在禁止限制数据跨境流动的原则上,首次引入了基本安全利益例外条款,以达到数据发展利益与国家安全保护的平衡。然而该条款却仍存在“基本安全利益”内涵不清、缔约国的自裁权边界不明和“必要性”审查标准不一的问题。因此,我国应在推进解决上述问题的基础上,继续完善国内数据跨境流动的立法规制,与RCEP的具体规定相衔接,同时利用好基本安全利益例外条款来积极推进构建数据跨境流动的国际秩序。
引言
联合国贸易和发展会议发布的《数字经济报告2021》通过对数据跨境流动的发展和政策影响进行深入的研究分析后指出,随着数据分析、虚拟现实、人工智能、区块链、物联网等数字技术的飞速发展,数字数据成了当今世界创造私人价值和社会价值的重要战略资产,预计到2022年全球互联网流量将超过截至2016年的互联网流量之和。数据跨境流动为数字贸易发展迸发了巨大动能,开启了全球化的新时代。
然而,自2013年以来,由数据引发的国家安全问题越来越受到各国政府和社会公众的高度关注。尤其是数据在跨境流动的过程中存在流动性强、不易监管等风险,会对个人隐私保护、公共秩序维护和国家安全利益造成影响。因此,许多国家为了防止重要数据信息被泄露和监视,在贸易协定的谈判过程中纷纷要求设置数据跨境流动的例外条款。
同时,由于数字化企业需要在东道国境内收集和产生海量数据并通过数据跨境流动的方式将数据运输至其企业母国的处理器或总部进行处理,部分企业在境外投资的过程中也经常被东道国政府以国家安全审查为由而否决。因此,在适用数据跨境流动的例外条款时也需要受到一定的限制,防止国家过分滥用该条款来逃避国际法上的义务。
鉴于此,中国当前在数字国际贸易规则领域的最新成果——《区域全面经济伙伴关系协定》(以下简称RCEP)就充分考虑了各缔约方的数字贸易发展水平与监管需求。RCEP在“电子商务”一章第15条“通过电子方式传输信息”中第二款规定,原则上承认数据跨境自由流动,但同时为了平衡各缔约方的利益,第三款规定了两项例外条款。第一项“合法公共政策”例外条款给予了缔约方极大的自由裁量空间,并通过脚注的形式特别说明“缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定”,这进一步强调了缔约方在解释其采取的措施符合RCEP规定上具有更大的灵活性,极大提高了缔约方援引该例外条款的可能性;第二项“基本安全利益”例外条款是首次被应用于跨境数据流动规则的领域当中,该条款与《关税与贸易总协定》(以下简称GATT)第21条的安全例外条款类似却有所不同,RCEP没有采取像GATT一样在条款中清晰列举了为保护“基本安全利益”所可以采取的必要措施的例外情形,而是以一种开放的方式更充分保障缔约方的自主规制权。
因此,与RCEP数据跨境流动的合法公共政策例外条款相比,基本安全利益例外条款的适用目前仍存在着较大争议,主要是因为RCEP对何为“基本安全利益”未作出具体的解释与澄清,那么国家面临何种威胁会被认定为触碰了其基本安全利益?基本安全利益是否受到损害能否完全由缔约方认定?缔约方对数据跨境流动所做的限制措施如何才能被认定为是“必要”的?这些问题仍亟待进一步探究。
本文采用比较分析的研究方法,通过对多个贸易协定、世界贸易组织(以下简称WTO)和国际投资仲裁的案例进行研究,从理论和实践两个角度来归纳RCEP基本安全利益例外条款在适用过程面临的困境,试图为解决RCEP基本安全利益例外条款的适用难题提出相应的完善建议,同时为今后完善国内数据跨境流动的立法规制、促进国内法与RCEP相衔接和构建数据跨境流动的国际秩序提供一定的参考。
一、数据跨境流动与基本安全利益例外条款的发展历程
基本安全利益最初作为限制国际贸易措施的正当理由是源于GATT的规定,随后被WTO体系所继承。《服务贸易总协定》(以下简称GATS)第14条、《与贸易有关的知识产权协定》(以下简称TRIPS)第73条均延续了GATT的安全例外规定,并将其发展为WTO安全例外条款。
然而,伴随着信息技术的突飞猛进,经济模式由传统型正逐渐转变为数字化。早在1998年WTO就意识到数字技术发展的重要性,其总理事会就开始成立一个有关电子商务的工作组,旨在规定与电子商务有关的贸易问题,促进数字贸易的发展。然而,因为各个国家在数字贸易规制的理念和政策上存在差异与分歧,难以进行协调,在WTO框架下对多边数字贸易规则的讨论和制定工作进展缓慢,在较短时间内难以达成一致,故各国转而依据自身利益诉求在多边或者区域自由贸易协定中制定数字贸易规则。2007年,《美国——韩国自由贸易协定》(以下简称KORUSFTA)首次开始包含涉及跨境数据流动的内容,强调缔约双方应尽力避免对电子信息的跨境流动施加或维持不必要的障碍,但这仅为建设性的软性规定,没有明确赋予缔约方强制性义务。
直至《全面与进步跨太平洋伙伴关系协定》(以下简称CPTPP)的签署,才在数据跨境流动的规制上更进一步,发展为对成员方负有强制性义务。同时,《数字经济伙伴关系协定》(以下简称DEPA)、《美墨加协定》(USMCA)等大型自贸协定都明确、具体地明确了数据跨境自由流动的规则,禁止各缔约方对数据跨境自由流动进行任何形式的限制或对数据采取本地化措施,从而推动数字贸易自由化发展。
在过去很长一段时间里,中国一直在数字贸易自由化的规则制定中“袖手旁观”,直至2015年才开始分别与韩国和澳大利亚签订自贸协定,并在其中设立了专门的电子商务章节。于2022年开始生效的RCEP是我国参与的自贸协定中最为复杂的数字贸易规则,也是首个在电子商务章节直接列入基本安全利益例外条款规定的经贸协定,这充分考虑了缔约方包括中国在内的诸多发展中国家的诉求,在完全的数据流动开放带来的经济利益和现阶段国家关键信息数据安全保障两方面中可以得到平衡。
然而遗憾的是,由于在制定基本安全利益例外条款时,缔约方往往出于保留主动权的考虑而使用一些抽象甚至模糊的表述来高度概括具体情形。同时,该条款对于东道国行使基本安全利益例外条款的条件限制方面,也规定得比较宽泛与随意。因此,在适用基本安全利益例外条款时,关键就是采取限制措施的“必要性”审查问题。
二、RCEP基本安全利益例外条款中“必要性”审查的适用困境
由于RCEP基本安全利益例外条款的用语存在模糊性,留给缔约方较大的自由裁量空间,因此在适用的过程中双方往往容易产生争议,在解释时面临着“基本安全利益”的内涵不清、缔约方自裁权的边界不明、“必要性”审查标准不一的困境,这导致缔约方在解释条款时会肆意扩大范围,以保护“基本安全利益”为名,却行保护商业活动之实,甚至有可能使其成了某些国家用以限制他国数字经贸发展的工具。
(一)“基本安全利益”的内涵不清
因为在现实中一些国家往往凭借“基本安全利益”内涵的模糊性以及自身被赋予的自由裁量权,而在解释条款用语的过程中肆意扩大范围,打着“基本安全利益”的旗号实施限制数据自由地跨境流动的措施。因此,确定“基本安全利益”的范围是进行“必要性”审查之前提,这直接关乎国家可以在哪些情形下采取限制数据跨境流动措施,是在判断东道国援引该条款所采取的措施是否符合“必要性”时首要考察的要件。
GATT第21条安全例外条款的(b)项穷尽式地列举了一系列与“基本安全利益”有关的情形,其主要涉及可裂变材料、战争中的武器、战时或其他危急情形等与军事行动相关的内容。但在RCEP中的基本安全利益例外条款却没有像GATT一样对何为“基本安全利益”作出进一步界定,其范围是否像GATT一样仅限于军事利益?经济利益或数据安全又是否属于“基本安全利益”?这些在学界中也没有达成共识。有学者认为纯粹基于商业目的或经济目的考量的安全利益难以构成“基本安全利益”;有的仲裁庭,如LG&E v. Argentina,则倾向于认定“基本安全利益”也包含紧急经济状况,其认为当一个国家经济基础遭遇严重危机时,此严重性不亚于任何军事入侵;也有学者认为数据跨境流动问题与国家主权息息相关,倘若军事秘密泄露,则也会符合“基本安全利益”的标准。
(二)缔约方自裁权的边界不明
基本安全利益例外条款中若含有“缔约方认为必要的(it considers necessary)”一词,则一般可认定该条款具有自裁性(self-judging),即缔约方在采取阻碍数据跨境自由流动的措施时拥有自我判断其措施必要性的权力。该条款的作用是允许缔约方可以在其基本安全利益受到损害的情况下不遵守这种国际义务的权力,也不构成违约。
但关于该自裁性基本安全利益例外条款是否完全由缔约方判断相关措施的必要性,目前都没有确切的定论。有学者认为该条款绝对排除了国际投资仲裁庭的审查权,即涉及一国重大利益的政治争端是不受国际法院和仲裁庭的审查的。因为这种国家安全利益的判断没有一个切实可行的法律标准,因此需要通过缔约国国内法律法规来进行替代解决。也有学者反对基本安全利益例外条款的自裁性完全排除国际投资仲裁庭的审查,因为该条款是以损害外国投资者的预期利益为代价的,故需严格限制其适用。
RCEP的基本安全利益例外条款的也含有“缔约方认为”一词,赋予了缔约方为保护其基本安全利益可采取限制数据跨境自由流动措施的自裁权。但值得注意的是该条在措辞上与合法公共政策例外条款略有不同,“合法公共政策”例外条款在脚注中进一步注明该款的必要性应当由实施政策的缔约方决定,而在基本安全利益例外条款中却无此规定,只是在15条(3)款后补充说明了“其他缔约方不得对此类措施提出异议”。其中“提出异议”相应的英文文本为“be disputed”,这意味着“不得对此类措施提出异议”可能被解读为“不得对此措施提起争端之诉”,即与第17条(3)款的“任何缔约方不得就本章项下产生的任何事项诉诸第十九章(争端解决)的争端解决”相呼应。那么在对缔约国所采取的限制数据跨境自由流动的措施出现争议后,若双方根据第17条(2)款,缔约方在进行善意地磋商后仍未能解决,在诉诸RCEP联合委员会时,RCEP联合委员会是否有审查权却没有作出具体的规定。
(三)判断“必要性”的标准不一
在国际投资仲裁中,双方的争议焦点通常聚焦在东道国所采取的措施对维护其基本安全利益是否具有“必要性”上,也即东道国采取的规制措施是否有利于实现其目标。关于缔约方对数据跨境流动所做的限制措施如何才能被认定为是“必要”的,目前学界上对“必要性”审查尚没有统一的标准。主流观点有四个标准:“善意原则”标准、“唯一方式”标准、“自由裁量范围”标准和“最少限制方式”标准,但这四个标准在具体运用中都存在着一些瑕疵。
第一,“善意原则”标准,其依据的是《维也纳条约法公约》(以下简称VCLT)的第26条,“凡有效之条约对其各当事国有拘束力,必须由各该国善意履行”,这意味着即使缔约国有自裁权,但其也应善意地适用。善意原则的含义比较抽象的,目前还没有国际协定或法律文件对其具体内容作出明确规定,学术界也未达成一致共识,其中Burke-White和VonStaden也称它是一个极其宽松的标准,仅仅要求国家的决定是善意和合理的。
第二,“唯一方式”标准,是将自裁性基本安全利益例外条款的“必要性”要求等同于《国家对国际不法行为的责任条款草案》第25条中“危急状态”的标准,要求缔约国采取的措施是保护该国基本利益,对抗某项严重迫切危险的唯一方式。这要求采取的措施必须在实现目标的范围之内且不能超过必要的程度,若存在其他可以保护国家基本安全利益的措施,即使该措施会带来更多成本或不便,也会排除必要性抗辩。但这一标准在CMS v. Argentina仲裁裁决的申请撤销案中遭到撤销委员会的批判,撤销委员会认为这两个标准是不一样的,若将两个标准等同则犯了法律上的错误。虽然“危急状态”被认定为涉及不法行为问题还是责任问题上有争议,但不管如何认定“危急状态”都劣后于自裁性安全例外条款的适用。如果“危急状态”被认定为没有初步违反国际法义务,那么仲裁庭根据特殊法优于一般法的原则,自裁性基本安全利益例外条款作为特别法优先于作为国际习惯法的“危急状态”的适用;如果“危急状态”被认定为与责任有关,那么仲裁庭只有先得出结论认为存在不符合自裁性安全例外条款的行为,再考虑东道国的责任能否被“危急状态”全部或者部分排除。
第三,“自由裁量范围”标准,这是在欧洲人权法院的广泛实践中发展而来的,它给予国家自由裁量权的尊重,Arai-Takahashi解释它为在适用条约条款时国家所享有的自由,也即在判断“必要性”时仅须审查缔约国是否公正地考虑了相关事实,并对此已做出了经过合理性检测的结论。但这一标准即便是在欧洲人权法院中的具体适用上也存在较大的争议,在Z v. Finland案中有法官也批评了这一原则,“关于自由裁量范围原则的空洞词句——在法院的判决中已经重复了太长时间——是不必要的绕圈子,只是深奥地表明,各国可以做法院认为与人权不相容的任何事情。这种术语在原则上是错误的,在实践中是毫无意义的,应该立即放弃。”
第四,“最少限制方式”标准,其所关注的重点不是所选择的措施与所追求的目标之间的重要性,而是关注是否存在与采取的措施一样能实现相同效益水平的另一替代措施,且该替代措施能否实现对外国投资只造成最低程度的限制性影响。如果存在这种替代措施,那么东道国所采取的措施则不是“必要”的,因此不能援引基本安全利益例外条款予以免责。但不少学者认为该标准过于严苛,不仅难以比较替代措施的成本与已采取措施的成本,而且还使东道国被永无止境地要求承担由采取更少限制的替代措施所带来的各种成本。
三、RCEP基本安全利益例外条款中“必要性”审查的适用突破
尽管国际贸易规则已发展数十载,但安全例外条款仍是国际贸易规则中不可或缺的核心条款之一。在适用安全例外条款过程中,需要在允许成员国采取保障国家安全的措施与防止成员国以保护国家安全权的名义过度实施贸易保护之间找到平衡点。若过度强调缔约国对其采取的措施享有自裁权,则难免安全例外条款成为各国采取贸易限制措施的借口,但若完全摒弃安全例外条款,国家也丧失对国家安全的掌控,这两个极端都不利于国际贸易的良性发展。
在当前国际贸易尤其是数字贸易蓬勃发展的背景下,也同样需要在数据跨境自由流动和缔约国的基本安全利益之间寻找平衡点。RCEP是首次在数据跨境流动规制中应用了基本安全例外条款,其在实际运用中仍存在着上述的“基本安全利益”的内涵不清、缔约方自裁权边界不明以及“必要性”审查的标准不一等问题。
因此,如何正确适用RCEP数据跨境流动规制中的基本安全利益例外条款,就显得尤为重要。从宏观层面分析,RCEP在适用时需要关注其内部和外部的合法性。内部合法性是指RCEP要根据数据跨境流动的特性进行调整,进一步完善RCEP数据跨境流动中例外条款的规定,并针对数据跨境流动所涉及不同的争议类型设计相应的争端解决机制;而外部合法性是指要加强各利益主体之间的联系,建立合作共赢的沟通平台以权衡各方利益。
从微观角度出发,我们可以通过条约解释的方法明晰“基本安全利益”的内涵、借助WTO案例来确定基本安全利益例外条款的边界、在综合衡量后采取合理的最少限制方式作为“必要性”审查的标准,以此规制数据跨境自由且安全地流动,推进数字贸易法治化发展。
(一)明晰“基本安全利益”的内涵
对RCEP中的基本安全利益例外条款的理解可以运用VCLT第31条、32条所规定的条约解释原则进行诠释。按照这些原则,首先需要考虑其通常含义,然后再结合上下文的语义来解释,抑或是通过探寻条约目的和宗旨进行善意解释。那么,“基本安全利益”从字面含义理解,其主要涵盖了两个要件,一是“基本”,二是“安全利益”。
首先,从文义解释的角度看,“基本”一词通常指“不可或缺的”“最重要的”“必需的”。那么,“基本”安全利益中“基本”这一限定语是对缔约方援引安全例外条款进行了客观约束,这意味着并不是所有的利益都会涉及国家安全或基本安全,因此“基本安全利益”应当被限定在特定范围内。此外,“基本”也可以视为对“安全利益”的进一步限缩,所以“基本安全利益”与普通情况下的“安全利益”的内涵不一致,“基本安全利益”的重要性程度更高,而普通的“安全利益”无法构成RCEP中的“基本安全利益”。
其次,根据历史解释的方法,对“基本安全利益”的认识不能仅停留于传统安全领域,需延伸到非传统安全领域的理解。传统安全领域是基本安全利益条款在初期的适用范围。然而,随着科学技术和数字经济的蓬勃发展,近年来基于数据的获取、使用以及流通而开展的各类商业活动在国际市场上愈发活跃,数据安全成了一种新型的安全问题,各国也都开始将数据安全视为核心安全利益并制定了许多与此相关的网络安全的法律法规。因此,为了应对数字时代中数据安全所面临的威胁,就需要将“基本安全利益”的概念范围延展到非传统安全领域,尤其是要涵盖数据安全。
(二)确定基本安全利益例外条款的自裁权边界
自裁性基本安全利益例外条款中“it considers necessary”中的“it”赋予了缔约方来决定其所采取的行为是否符合条款的要求。WTO的专家组和上诉机构对“安全例外条款”一直被视为一张不可审查的王牌,即成员国有排他性的自主权。但是,专家组在个案中首次对“安全例外条款”进行审查,明确了WTO成员方虽然总体上有权自行判断其采取的措施是否为了满足保护“基本安全利益”的要求,但其行为还应受到必要性、适用情形和善意原则的限制以及WTO的客观审查。这意味着不能仅凭“it considers necessary”就排除专家组和上诉机构对缔约国自我判断的措施进行客观审查。后续的WTODS567卡塔尔诉沙特知识产权保护措施案也继续沿用了DS512案中专家组审理思路。
回到RCEP的体系中,RCEP的基本安全例外条款源于WTO前身GATT的第21条“安全例外条款”,所以在适用时也可以参照WTO专家组和上诉机构的审理思路。虽然RCEP缔约方之间在跨境数据流动领域产生的争端被完全排除在RCEP的争端解决机制适用范围之外,以致RCEP争端解决专家组无法进行审查,但根据RCEP第十八章“机构条款”中的第3条,RCEP联合委员会在本协定的解释或适用出现分歧时仍有对RCEP条款作出解释的职权。因此,当缔约国双方就基本安全例外条款的解释与适用产生争议而诉诸联合委员会寻求官方解释说明时,RCEP联合委员会也可像WTO专家组和上诉机构一样也具有对缔约国措施的客观审查权。这也同时意味着缔约方虽然在认定其限制数据跨境流动的措施是否具有合理性上有自由裁量权,但最终其自裁权还是会在一定程度上受到RCEP联合委员会的解释和客观审查的限制,以防止缔约方的自裁权被滥用。
(三)明确“必要性”审查的标准
RCEP数据跨境流动规制的基本安全例外条款给予了缔约国较大的自裁权,但却没有具体规定“必要性”的含义以及其审查的标准,这在实践中容易导致各个缔约国对“必要性”审查的适用标准和理解产生分歧。援引国往往可能采用较为宽松的“善意原则”标准来解释,而由于“善意”存在模糊和不确定性,在争议发生后即使双方在协商甚至在诉诸RCEP联合委员会的过程中也比较容易各执一词,难以达成一致。
因此,在综合衡量“善意原则”标准、“唯一方式”标准、“自由裁量范围”标准和“最少限制方式”标准的优缺点后,适用将“最少限制方式”标准与“比例原则”相结合而成的“合理的最少限制方式”审查标准,会更有利于全面和客观地平衡东道国管制权与外国投资者利益。该标准早在2000年的WTO韩国牛肉案就有所体现,其要求在审查过程中不仅要确认是否还存在对外商投资具有更少限制的替代措施,而且还需考量东道国实施该替代措施是否会付出不合理的成本,如是否会投入过高的行政管理或执行成本,最终在综合考虑后得出实施该替代措施是否合理的结论。该标准在作出比例相当的结论时并不要求严格的“必要性”审查,只要缔约方所采取的应对措施是从众多的合理可选措施中挑选出来即可,但为了减少争议,在适用此标准时仍然需要RCEP联合委员会根据具体情况来均衡双方之间的权益,作出有说服力的取舍。
四、RCEP下数据跨境流动中基本安全利益例外的中国因应
被誉为“21世纪石油”的数据对全球经济、世界格局产生了堪称颠覆性的影响,其在支撑国际贸易活动、促进跨国科技合作、推动数据资源共享方面的作用越来越凸显。世界银行的报告显示,全球数据流量在2007年至2017年期间增长了20倍以上,预计到2022年数据流量将接近于2017年水平的四倍,并且此种数据流在2014年的价值已经高达7.8万亿美元。但与此同时,数据跨境流动也为基本安全利益的保护带来挑战。
当前我国数据总量约占全球的20%,我国作为数据资源大国和全球数据中心,有迫切的数据跨境流动的需求。互联网企业在跨境电子商务、信息网络服务等领域的蓬勃发展必然涉及数据在不同国家间自由流动的问题。在此背景下,我国想要在全球数字经济发展格局中继续取得优势并保护好基本安全利益的关键就必须加快完善数据跨境流动的法律体系。尤其当前我国参与了RCEP下数据跨境自由流动的治理后,我国也应相应地完善国内的数据跨境自由流动的立法规制,并在此基础上促进国内法与RCEP的规定相衔接,推动构建数据跨境流动的国际秩序,以实现我国从“数据贸易大国”转变成为“数字贸易强国”,提升我国在数据跨境自由流动领域中的说服力和影响力。
(一)完善国内数据跨境流动的立法规制
近年来,中国政府加强了对网络安全、数据安全和个人信息保护的监管。自2016年以来,网络安全法、数据安全法和个人信息保护法相继颁布,形成了以这三部法律为核心的数据跨境流动规制体系,构建起安全条件下促进数据自由有序高效流动的基本管理制度。但整体上,我国当前数据跨境流动规制侧重于将重要数据存储本地化和进行出境安全评估,却较少规定或说明数据跨境自由流动的途径与范围。相关法律的表述具有浓厚的应对性意味,尤其在经济贸易方面仍对数据跨境流动有较强的控制。因此,我国应在现有法律制度的基础上,进一步完善数据跨境流动的法律体系。
首先,建立数据分类管理制度。根据领域类型可以将数据分为四种,对于涉及国家安全利益的数据,应采取最严格的数据管理措施,禁止或有条件地限制数据跨境流动;对于政府数据,由于其具有特殊性可另行制定数据出境监管政策;对于商业数据,可以依据不同行业种类进行划分,适用企业主体自我监管及事后追责的模式;对于个人数据,则可细分为敏感与非敏感数据,来判定采取不同的监管措施。此种数据分类管理能够优化审查层级,提高制定安全评估政策的针对性与效率性,从而推动数据更安全地流动,促进数字产业的良性发展。
其次,引入必要性评估手段来规制数据跨境流动。我国可以借鉴美国的隐私影响评估和欧盟的数据保护影响评估,以明确数据出入境风险评估规则,并开展必要性评估。我国应当明晰与公布启动数据安全评估的条件,比如确立基本条件的来源标准、做到必要性评估的全流程透明化,以加强必要性审查和安全评估范围的可预知性,从而有助于优化我国数字贸易领域的营商环境,更能减少他国对我国数据安全评估制度的质疑。
最后,建立数据出境认定的“白名单”机制。“白名单”机制的建立是根据数据保护情况和对等措施,将部分地区纳入可自由流动的范围,也即一国若认为他国的数据保护水平达到本国的最低要求,可允许本国数据流入该国。我国在完善数据跨境流动的法律框架时,可以通过建立“白名单”制度,减轻企业负担,畅通数据跨境流通的方式,积极推进在“一带一路”倡议下的双边或多边数据跨境自由流动的协议与机制,将相关国家和地区纳入可自由流动的数据接收“白名单”中,构建数据出境的安全信任体系,并在此基础上建立符合自身数字经济发展与国家安全利益的国际数据流动圈。
(二)促进国内法与RCEP的规定相衔接
作为RCEP缔约国,我国国内法的数据跨境流动规制应当与RCEP相协调,这样才可以从具体制度上进行衔接,使RCEP更好地适用,从而统筹推进国内法治和涉外法治。
首先,明确和细化数据跨境自由流动的适用。虽然我国现行法律框架下允许数据跨境流动,但相关规定存在模糊性,其与RCEP数据跨境自由流动的要求存在差距。RCEP在数据跨境自由流动中要求禁止数据存储本地化,禁止限制商业领域的数据自由地跨境流动。相比之下,我国的网络安全法、数据安全法中对数据跨境流动仍然有严格的限制,在个人信息保护法中也对个人信息设置出境条件。因此,我国有必要在网络安全法、数据安全法以及个人信息保护法中明确以数据跨境自由流动为原则、限制措施为例外,构建相应保护重要数据信息和个人信息方面的配套制度,与RCEP数据跨境流动规则更好地协调。
其次,统一“基本安全利益”的界定。在RCEP联合委员会审查我国采取限制数据跨境自由流动的必要措施时,很有可能会参考我国国内法对基本安全利益的认定。但我国国内法中,在网络安全法、数据安全法和个人信息保护法中较多采用“国家安全”“国计民生”“公共利益”“公共秩序”等表述,与RCEP等自贸协定中的数据跨境流动例外条款所采用的“基本安全利益”这一术语并不一致。故而建议统一我国数据跨境流动立法与自贸协定例外条款中“基本安全利益”的表述,为将来可能引发的争端所进行的解释提供国内法指引。
最后,建立健全数据跨境流动安全评估标准。《数据出境安全评估办法》第四条规定了数据处理者向境外提供重要数据的需要申报数据出境安全评估,但对于何为“重要数据”的认定规则和清单却仍没有规定,对企业而言存在较大的不确定性。因此,在数据安全法和《数据出境安全评估办法》等配套细则的推出过程中应进一步明确涉及国家基本安全利益的“重要数据”的内涵标准、判定条件及认定程序,明确此类“重要数据”管理的具体要求。同时,应当在法律法规或部门规章中明确列举何种数据会构成“重要数据”而应当采取本地存储、出境评估等措施,为在RCEP中判定采取的措施符合“必要性”提供国内法支撑。
(三)推动构建数据跨境流动的国际秩序
首先,利用例外条款达成国际合作共识。由于目前发达国家与发展中国家在数字技术上的发展水平差距极大,例外条款可以给发展中国家提供发展数字经济的一个缓冲期。因此,中国在后续签订数字经济协定、双边或多边贸易协定时可以通过增加基本安全利益例外条款,更好地达成国际共识,从而推动构建一个更加公平有序的数据跨境流动国际秩序。
其次,适当限制基本安全利益例外条款的自裁权。我国在签署了RCEP以后,于2021年又正式申请加入CPTPP。然而一些CPTPP的缔约国对中国目前有关数据跨境流动中例外条款的自裁权规定持有怀疑的态度,其主要原因是CPTPP的规定更为严格,在基本安全利益例外条款中并没有包含“缔约方认为”一词,即CPTPP并没有赋予缔约方自我判断措施必要性的权利。若我国想要积极继续参与CPTPP中关于数据跨境流动领域的谈判,则必然面临基本安全利益例外条款的自裁权去留的问题。但为了使我国掌握保护数据安全利益的自主权,目前暂时不适宜完全放弃这一权利。那么从严适用该条款以及为该条款在特定范围内设立各缔约方能够接受的第三方审查机构,或许将为我国在数字贸易领域进一步开放带来机遇。
最后,积极参与数据跨境流动的国际合作治理。我国应积极推动与他国的贸易谈判,采用双边协议的磋商为突破口、对接融入亚太经合组织、东盟等区域的经贸规则、推进在联合国或WTO框架下多边谈判的方式,以点带面地加快数字贸易协定升级。在谈判中找准捍卫数字主权的底线,平衡好数据流动和监管措施之间的冲突、兼顾发达国家和发展中国家的利益,从而让中国成为全球跨境数据流动规则的积极制定者,为数据跨境流动的全球治理提供中国方案,建立中国主导的数据跨境自由流动的规制模式。
结语
赵丹|国际投资仲裁裁决的司法审查及中国企业应对——以新加坡司法实践为例
池梓源|国企改制后股份合作制企业性质刑事认定的困境及解决路径
上海市法学会官网
http://www.sls.org.cn