全球数据治理的DEPA路径和中国的选择

靳思远

内容提要：随着数字科技的发展，数据已成为各国的基础性、战略性资源。各国对数据资源的争夺日趋激烈，数据跨境流动等议题成为国际关注的焦点。由于数据兼具财产利益和人格利益属性，各国治理数据的理念存在分歧，目前数据的全球治理框架尚未形成。《数字经济伙伴关系协定》(DEPA)是全球首个针对数字经济而制定的专项协定，在数据议题上主要借鉴了美式数字规则并采用了灵活的模块式框架，反映了新加坡等中小国家在数字治理方面的诉求，相较传统综合性的贸易协定更具时代性、灵活性和可扩展性。从中国正在构建的数据出境评估体系来看，中国国内数字规则与DEPA等高水平国际数字规则之间存在一定的张力。中国申请加入DEPA有利于促进本国数字经济发展和国际合作，提升数据治理水平，进一步扩大中国在全球数据治理中的话语权。

近年来，随着科技的迅猛发展，数据已成为全球经济活动中不可或缺的生产要素。国家通过制定数字规则、缔结和参加国际协定等方式参与全球数字经济治理，力求在全球数字经济竞争中获得优势。2020年中国数字经济规模为5.4万亿美元，比2019年增长9.6%，增速位居世界第一，规模位居世界第二。(1)参见中国信息通信研究院：《全球数字经济白皮书——疫情冲击下的复苏新曙光》，载http://www.caict.ac.cn/kxyj/qwfb/bps/202108/P020210913403798893557.pdf，最后访问时间：2022年1月8日。我国数字经济规模无论在增速还是体量上都在全球范围内位居前列。但是，我国的数字经济规模与我国在全球数字贸易中的话语权并不匹配，亟需构建兼顾数字产业特点和我国诉求的“中国方案”。(2)参见赫璟、陈紫媛：《DEPA协定有利于数字规则“中国模板”的构建》，载《国际商报》2022年2月15日，第7版。2021年10月30日，习近平在G20领导人第十六次峰会上提出，中国决定申请加入《数字经济伙伴关系协定》(Digital Economy Partnership Agreement，简称DEPA)。(3)参见新华网：《习近平在二十国集团领导人第十六次峰会第一阶段会议上的讲话》，载http://www.xinhuanet.com/world/2021-10/30/c_1128013842.htm，最后访问时间：2022年1月8日。2021年11月1日，中国商务部部长代表中方向DEPA保存方新西兰正式提出加入DEPA申请。(4)参见人民网：《中方正式提出申请加入〈数字经济伙伴关系协定〉》，载http://finance.people.com.cn/n1/2021/1101/c1004-32270753.html，最后访问时间：2022年1月9日。2022年2月17日，中国商务部发言人表示，中方现阶段正与DEPA缔约方开展沟通和技术磋商，中方希望为DEPA成员国企业提供合作机遇和广阔的市场，并在创新和可持续发展等方面作出中国贡献。(5)参见文汇网：《中方目前正按照CPTPP有关加入程序，与各成员进行接触磋商》，载https://www.whb.cn/zhuzhan/rd/20220217/450203.html，最后访问时间：2022年1月9日。

中国的申请加入可能使DEPA在未来的全球数字经济规则框架中占据更为主流的地位，而DEPA作为开放性的数字经济协定为中国参与全球数据治理提供了一种新的路径。本文通过分析全球数据治理格局和DEPA的数据相关议题，结合中国数据出境评估体系的制度现状，探究中国加入DEPA在数据治理方面可能带来的机遇和挑战。

随着全球数字化进程的推进，传统贸易逐渐向数字化趋势发展。数据作为数字经济的基础性资源和不可或缺的生产要素，被视为数字经济深化发展的核心引擎。(6)参见沈伟、赵尔雅：《数字经济背景下的人工智能国际法规制》，载《上海财经大学学报》2022年第5期。以信息技术驱动的全球数字贸易在很大程度上依赖于数据的跨境流动。在倡导“规则的设定应围绕资源的有效配置和合理利用展开，以追求制度效率的最大化”的法经济学视角下，(7)See Richard A.Posner,Economic Analysis of Law,Aspen Law & Business,1998,p.3.数据实际上构成了一种固定于一定载体上，能够满足人们生产和生活需要，具有确定性、可控制性、独立性、价值性和稀缺性等特征的信息财产。(8)参见齐爱民：《捍卫信息社会中的财产》，北京大学出版社2009年版，第53-54页。从信息主体的角度看，数据作为个人信息的重要载体，又关系到个人隐私保护和人格利益。因此，数据兼具财产利益和人格利益，在数据治理中分别对应数据流动和数据安全。前者强调数据在数字交易中的经济价值和商业价值，后者强调通过法律保护个人隐私和信息安全。不同国家基于本国对数据技术掌控的能力、经济制度和经济发展等因素的影响，产生了不同的规制路径并影响其参与全球博弈的立场，分歧在所难免。在WTO多边数字贸易治理体系无法取得突破性进展的背景下，各国治理数据的路径呈现多元化态势，(9)参见齐俊妍、强华俊：《数据流动限制、数据强度与数字服务贸易》，载《现代财经》2022年第7期。全球数据治理格局具有复杂性的特征。其中，美国与欧盟两个发达经济体之间的跨境数据流动量位居世界首位，双方在数字贸易、隐私和国家安全方面的不同做法已经对美欧之间的数据流动造成一定的阻碍。这种阻碍尤其体现在Schrems系列案件(10)参见单文华、邓娜：《欧美跨境数据流动规制：冲突、协调与借鉴——基于欧盟法院“隐私盾”无效案的考察》，载《西安交通大学学报(社会科学版)》2021年第5期。中，用于跨大西洋数据传输的法律依据——“安全港协议”“隐私盾协议”——均被欧盟法院判定无效。美欧通过国内法的“长臂管辖”和与他国区域贸易协定中数字贸易规则的谈判，试图将带有本国利益色彩的国内法推广至国际规则层面。

以《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement，简称TPP)电子商务章、《美墨加协定》(The United States-Mexico-Canada Agreement，简称USMCA)数字贸易章为代表的“美式规则”强调贸易便利化、跨境数据自由流动、免收数字关税、源代码开放等内容，其主张构建开放自由的全球数字市场。从数字经济发展历史看，美国作为互联网的发源地，无论是互联网企业的数量还是信息产业发达程度都领先全球，互联网科技巨头在早期更是可以轻而易举地从他国获得大量数据信息。因此其政策具有准入严格而监管相对松弛的特性，主张数字贸易自由化和便利化。从美国国内法上看，个人数据被包含在隐私保护的框架内，但没有类似欧盟《一般数据保护条例》(General Data Protection Regulation，简称GDPR)的关于隐私保护的综合性法律，而是分散在各种行业的合同相关法律上。(11)See Zheng Guan,Trilemma and Tripartition: The Regulatory Paradigms of Cross-Border Personal Data Transfer in the EU,the U.S.And China,43 Computer Law & Security Review 5(2021).美国的隐私保护主要由数据处理者和隐私消费者之间的合同提供，并由美国联邦贸易委员会监督。(12)参见前引〔11〕，Zheng Guan文。但事实上，由于缔约双方之间的权力和信息不对称，个人数据并不能得到充分的保护。虽然美国联邦最高法院通过其判例确认公民享有个人数据的宪法保护权利，但各级法院一般都避开了这一决定。最高法院对宪法的解释是赋予个人隐私权，但这一权利通常只是为了防止政府对公民隐私的侵犯。(13)例如1978年的《美国隐私法》(U.S.Privacy Act)规定了联邦政府如何管理其拥有的个人信息，1986年的《电子通信隐私法》(Electronic Communications Privacy Act)扩大了政府对电话窃听的限制，包括对电脑传输电子数据的限制。虽然美国目前没有专门规制跨境数据流动的法律，但对个人敏感数据、政府重要数据、商业数据等数据出境有着较为严格的管控要求。美国尤其关注外国产品或服务中收集、获取美国敏感数据的风险，并以国家安全为由对外国产品或服务进行较为严格的管控。例如，特朗普政府在执政期间以国家安全为由，通过行政令等方式意图驱逐或封杀TikTok，施压其母公司字节跳动放弃对TikTok的所有权。拜登上台后通过颁布一系列针对信息及通信技术和服务供应链审查规则(ICTS规则)的行政令，进一步强化了对跨国科技企业的安全审查。总体而言，美国在数据治理中秉持“全球主义”理念，既通过国内法限制公权力对数据流动的干预，又倡导“私法自治”，赋予私主体在保护个人权利和创造商业价值之间更大的选择权。(14)参见沈伟、冯硕：《全球主义抑或本地主义:全球数据治理规则的分歧、博弈与协调》，载《苏州大学学报(法学版)》2022年第3期。但在国际投资领域，美国又以维护国家安全为由对外国数据控制者在美国国内的经营活动进行严格审查，以消除跨境数据流动对美国国家安全可能带来的威胁。虽然“美式规则”主张构建开放自由的全球数字市场，但USMCA针对非市场经济国家的“毒丸条款”(15)非市场经济条款，又称“毒丸条款”，即禁止与美国有自贸协定的贸易伙伴与非市场经济国家签订自贸协定。参见沈伟：《“修昔底德”逻辑和规则遏制与反遏制——中美贸易摩擦背后的深层次动因》，载《人民论坛·学术前沿》2019年第1期。和“美式规则”对数字市场开放的高水平要求一定程度上加深了与发展中国家之间的“数字鸿沟”，以“美式规则”作为全球数字治理方案仍然存在诸多阻碍。

不同于美国的“全球主义”，欧盟在数据治理方面主张建立数字单一市场，数据可以在该市场内部自由流通并受到欧盟数字法规的严格保护，而数据的跨境流动也会受到较为严格的限制。欧盟拥有目前最严格的数据保护规则，根据2000年《欧盟基本权利宪章》(Charter of Fundamental Rights of European Union)第7条(16)《欧盟基本权利宪章》第7条“尊重私人和家庭生活”规定：“人人均有权要求尊重其私人与家庭生活、住居及通信信息。”和第8条，(17)《欧盟基本权利宪章》第8条“个人数据的保护”规定：“1.人人均有权保护其个人信息；
2.这些信息仅于特定目的，并且在信息所有人同意或法律规定的其他合法基础上公平处理，人人均有权查阅其个人信息，并有权要求纠正其信息；
3.这些规则的遵守应当受到独立机关的控制。”通信隐私和个人数据保护是欧盟国家公民的基本权利。基于人权保护，欧盟主张以本地化存储和数据跨境审核为核心的数据“本地主义”。欧盟通过提高跨境数据输出的审查标准及“长臂管辖”制度，(18)根据GDPR第3条“地域范围”的相关规定，即便数据控制者或处理者在欧盟境内没有设立实体机构，但其对数据主体的个人数据处理行为，即适用该法。参见叶开儒：《数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察》，载《法学评论》2020年第1期。试图将GDPR建立的“欧盟数字标准”推广成世界标准。(19)参见前引〔18〕，叶开儒文。欧盟数据保护规则适用于欧洲经济区(European Economic Area,简称EEA)，其中包括所有欧盟国家和非欧盟国家冰岛、列支敦士登和挪威。欧盟在2016年4月通过改革数据保护立法，赋予个人更多对其个人数据的控制权，提供了将数据传输到第三国的多样化工具，包括“充分性决定”“标准合同条款”“具有约束力的公司规则”等等。其中，“充分性决定”用来确定非欧盟国家提供的数据保护水平与欧盟“基本相同”，其效果是使个人数据能够自由流动到该第三国，而无需数据出口商提供进一步的保障或获得任何授权。在不满足“充分性决定”要求的情况下，数据跨境流动可以在提供适当数据保护保障的其他替代转移工具的基础上进行。其中，“标准合同条款”被应用于欧盟加工商与非欧盟国家加工商之间的合同中，“具有约束力的公司规则”作为跨国公司集团采用的内部规则，用于在同一公司集团内向位于未提供足够保护水平的国家或地区的实体进行数据传输，也可以由从事联合经济活动的一组企业使用。欧盟通过自身市场在国际市场的中枢地位，借助强势的域外管辖立法，其严格的数据规制才能发挥所谓的“布鲁塞尔效应”(Brussel effect)，(20)参见彭岳：《数字贸易治理及其规制路径》，载《比较法研究》2021年第4期。其他国家若想和欧盟进行数据交流必须“迎合”其“充分保护原则”下的严格条件。以GDPR为代表的欧盟数据保护法律框架也经常作为第三国制定该领域立法的参考点，欧盟同时在双边和多边层面积极与其国际合作伙伴进行对话，通过在全球范围内制定严格且可互操作的个人数据保护标准来促进数字贸易。

美欧基于对数据财产利益和人格利益的保护倾向不同，产生了“全球主义”和“本地主义”的治理理念分歧。而数字经济发展的新兴国家基于各自对数据属性的不同认识和本国国情而倾向于不同的数据治理理念。以俄罗斯、印度为代表的发展中国家倾向于“本地主义”，强调基于人权与主权的数据保护。俄罗斯既要求跨国企业在俄开展业务或提供服务时须在俄境内建立数据中心，也对数据存储和服务器地址提出本地化要求，总体上采取“孤岛式”的数据规制路径。(21)参见孙祁、〔俄〕尤利娅·哈里托诺娃：《数据主权背景下俄罗斯数据跨境流动的立法特点及趋势》，载《俄罗斯研究》2022年第2期。印度作为一个民族国家，将其公民产生的数据视为国家资产，在国界内存储和保护这些数据来维护其国防和战略利益。《印度电子商务国家政策框架草案》提出，印度将会逐步推进数据本地化政策并建立数据中心。(22)参见陈志：《亚洲国家数据跨境流动的实践及对我国的启示》，载《北京金融评论》2020年第1期。而以新加坡为代表的发达国家更倾向于“全球主义”，强调数据的跨境流动和开放合作。除DEPA外，新加坡还分别与澳大利亚、英国签署了专项数字经济协定，这些数字经济协定鼓励国内监管改革和在数据创新、数字身份、网络安全等广泛问题上的跨境合作。2021年1月22日，第一次东南亚国家联盟(ASEAN)数字部长会议批准了《东盟数据管理框架》(DMF)和《跨境数据流动示范合同条款》(MCC)，(23)参见中国商务部：《东盟发布〈东盟数据管理框架〉和〈东盟跨境数据流动示范合同条款〉》，载http://asean.mofcom.gov.cn/article/jmxw/202102/20210203036591.shtml，最后访问时间：2022年8月2日。提出要建立东盟数据跨境流动机制并减少不必要的限制，这些文件都是由新加坡主持的数据治理工作组所制定。通过这些数字经济协定和多边安排，新加坡正逐步构建其主导的数字经济联盟及次级伙伴关系，为发展本国数字贸易、开展中小企业合作打下基础，为未来构建国际数字规则的谈判争取更大的话语权。

WTO电子商务诸边谈判目前提案及进展表明，各成员的数字产业和贸易政策有很大不同，短期内难以达成一致的全球数字治理方案。数据是数字贸易和更广泛的数字经济的核心。美欧分别基于数字技术和数字市场的比较优势，在数据规制方面具有不同的理念和路径，并积极推进国内数字规则的国际法化。在此背景下，DEPA作为世界首个专门针对数字经济、为促进数字贸易合作而制定的多边协定，其开放性的模块化框架和多元化的内容成为有别于美欧数字治理、反映中小国诉求的一种新路径，相较传统的数据治理路径更具有灵活性和可扩展性。从内容上看，无论是个人信息保护和跨境数据流动(模块4)等争议性数据问题，还是数据创新(模块9)、数字包容(模块11)等新兴议题，都体现出新加坡等中小国家在数据治理问题上的开放性理念和规制路径，鼓励成员国之间可信数据(trusted data)的安全流动。

(一)争议性数据问题：“美式规则”基础上的调整和更新

美欧在数字贸易规则传统性议题上的矛盾和分歧体现在数据流动和个人信息保护等相关问题的处理上，这些问题集中体现在DEPA的模块4中，分别涉及个人信息保护(第4.2条)、跨境数据流动(第4.3条)和计算设施的位置(第4.4条)。

在个人信息保护问题上，DEPA第4.2条构建了10条规则，从倡导性规则、构建个人信息保护相关法律应该考虑的关键原则、非歧视性原则及信息保护公开、信息保护机制的兼容性和数据保护信任标志等方面，对缔约方在个人信息保护方面提出了全面且兼具深度的承诺要求。TPP第14.8条和USMCA第19.8条都对个人信息保护做了相关规定，两者和DEPA在倡导性规则、非歧视性原则及信息保护公开方面具有高度的重合性。具体而言，三者都强调保护数字用户个人信息的经济和社会效益，缔约国应考虑个人信息保护相关国际机构的原则和指南以制定本国的法律框架，采取非歧视性做法，从个人和企业层面公布其向数字贸易用户提供的个人保护信息。关于构建个人信息保护相关法律应该考虑的关键原则，TPP未有提及，而USMCA作为“美式规则”的升级版提出了“限制收集、选择、数据质量、目的规范、使用限制、安全保障措施、透明度、个人的参与、问责制”共九个原则，并“确保对个人信息跨境流动的任何限制是必要的，并与所涉风险相称”(24)USMCA Article 19.8.3.，即任何限制不能超过保护个人数据所需的要求。这种与隐私风险相称的必要限制正是“全球主义”的直接体现，与欧盟“本地主义”采取严格保护个人隐私的限制性措施不同，即前者的限制是例外、后者的限制是原则。DEPA借鉴了USMCA除“选择”外的其他八个关键原则，但没有规定对个人信息跨境流动进行限制要遵守必要性原则，即在个人信息跨境流动的限制问题上做了保留。即便DEPA缔约国可以选择加入某一主题模块而无需一揽子同意，但从条文上来看，DEPA在个人信息跨境流动问题上没有在“全球主义”和“本地主义”之间选边站，也一定程度上展现了新加坡等中小国家在此类争议性问题上的折中态度。

在跨境数据流动的问题上，DEPA第4.3条与TPP第14.11条内容一致，通过三项规定，承诺有约束力的跨境数据自由流动。这种约束力体现在条文中“shall”“may”等情态动词的使用，“shall”表达的是法律的强制性，“may”传递的是法律的授权性。(25)参见王子颖：《法律语篇中shall和may的翻译对比研究》，载《上海翻译》2013年第4期。第一项采用“may”授权缔约国对跨境数据流动有本国的监管要求。第二项和第三项均采用“shall”，要求缔约国既要允许跨境数据流动，也可以在不构成“不合理歧视或贸易限制”或“过度采取管制”的前提下，采用出于“合法公共政策目标”的跨境数据流动管制措施，这保留了缔约方对“跨境数据自由流动”进行管制的自主空间。(26)参见陈寰琦、陆锐盈：《DEPA数据安全规则解析及对中国的启示》，载《长安大学学报(社会科学版)》2022年第2期。相较而言，USMCA第19.11条只保留了上述第二、三项内容，没有授予其他缔约方设置本国监管要求的权限，即没有监管例外规定。类似地，在计算设施的位置问题上，DEPA第4.4条与TPP第14.13条内容一致，要求不得强制将数据存储设施设置在当地，并规定了监管例外和公共安全例外。而USMCA第19.12条仅规定了“任何一方不得要求被覆盖人员在其领土内使用或放置计算设施，以此作为在该领土内开展业务的条件”，没有其他例外规定。在一般例外条款方面，DEPA第15.1.3条将《服务贸易总协定》(GATS)第14条和《1994年关税与贸易总协定》(GATT1994)第20条的所有内容纳入规则范围，而TPP第29.1.3条和USMCA第32.1.2条仅将GATS第14条(a)-(c)纳入规则范围，排除了(d)(e)与最惠国待遇和国民待遇相冲突的两种情况以及GATT1994第20条列举的一般例外适用情形。通过对比DEPA、TPP和USMCA的数据规制条文不难发现(如表1所示)，DEPA除了避开“与隐私风险相称的必要限制”的争议性原则，首倡数据保护信任标志的国际合作，其他事项都充分借鉴了TPP电子商务章和USMCA数字贸易章的“美式规则”。但DEPA在数据规制上的例外规定范围明显大于USMCA，这也说明了USMCA较DEPA具有更高的开放度，DEPA也更加侧重保护缔约方的监管权限。从新加坡等中小国家的发展来看，这种对数据跨境流动相对保守的态度是出于对本国中小企业发展的保护。以美国为代表的“全球主义”国家坚持数字贸易自由化，试图最大限度地消除各国数字贸易进入障碍，为其优势数字企业扩大市场份额提供便利，数字贸易相对落后的国家则希望通过设置保护壁垒为本土数字企业发展赢得成长空间。

表1 DEPA、TPP和USMCA数据规制相关条文对比

(二)新兴数据议题为全球数据治理提供了中小国方案

除了传统性的数据议题，DEPA还提出了一系列创新性的数据议题，为全球数据治理提供了最新的关注点。首先，在数字贸易便利化方面，DEPA首倡电子发票、物流和快递等议题，提倡缔约国努力实现数据交换系统的互联互通，努力构建国际公认的数据开放标准，以提升数字贸易的效率、降低交易成本。其次，DEPA要求缔约方认识到在个人或企业数字身份方面的合作将有利于区域和全球互联互通，构建数字身份的安全和可互操作的标准会使消费者因数字身份被欺诈案件减少，企业受益于电子方式可以进行更高效的交易。再次，跨界数据流动和数据共享能够实现数据驱动的创新，DEPA鼓励缔约国通过监管“沙盒”等方式进行合作，实现跨国界的数据驱动创新以促进新产品和服务的开发。中小企业也应当通过创建免费且可公开访问的网站实现跨国企业之间信息的互联互通，通过举办数字中小企业对话等活动促进企业合作。最后，DEPA鼓励缔约国开放政府数据，便利公众获取和使用政府信息可促进经济和社会发展、竞争力提升和创新。政府开放的数据是政府部门掌握的没有经过加工处理的原始数据，政府数据开放的真正意义在于对这些数据进行共享和利用。(27)参见李涛：《政府数据开放与公共数据治理: 立法范畴、问题辨识和法治路径》，载《法学论坛》2022年第5期。缔约方应努力开展合作，以确定缔约方可扩大获取和使用公开数据的方式，以期增加和创造商业机会。此外，DEPA还提倡在金融科技、人工智能等领域展开数据方面的交流和合作。

然而，上述倡议性的新兴数据议题大多都是鼓励缔约国展开合作，并没有具有可操作性的方案。例如，在金融科技领域，DEPA鼓励双方在行业层面的合作，但事实上这种合作是基于双方国内金融机构控制的数据和信息交流，DEPA并没有规定金融数据相关的市场准入问题，很可能会使这样的倡议流于形式。相较而言，《英国—新加坡数字经济协议》(The UK-Singapore Digital Economy Agreement,简称UKSDEA)对金融部门的跨境数据流动有着更明确的要求，(28)例如，UKSDEA第8.53.1条规定：“每一方均应允许另一方的金融服务供应商提供甲方允许其同类金融服务供应商提供的任何新的金融服务，而无需甲方要求采取额外的立法行动。各缔约方可确定提供新金融服务的机构和司法形式，并可要求获得提供该服务的授权。如果一方要求此类授权，则应在合理的时间内作出决定，且仅可根据第8.50条(审慎剥离)的审慎理由拒绝授权。”第8.54.1条规定：“在遵守适当的隐私和保密保障措施的前提下，如果此类转移是在该金融服务供应商的正常业务过程中需要的，任何一方不得禁止或限制另一方的金融服务供应商将电子或其他形式的信息转移到或转移出其领土。”英新两国之间金融数据的流通就有了更强的非歧视性待遇保证。另外，DEPA认识到监管“沙盒”对数据创新的重要性，但是并没有对数据开放等实质性问题提出解决方案，例如怎样平衡数据流动和个人信息保护之间的冲突，在政府、数字企业、个人之间关于数据方面的权利义务分配上坚持怎样的原则等。可见，DEPA虽然在这些创新性议题上表达了中小国家在数字贸易方面的利益诉求，但这种诉求仍然是宏观且宽泛的，仍需进一步构建具有可操作性的方案。

中国经济正处于迈向高质量发展新阶段的关键期，以新基建为主要引擎的数字化转型发展战略持续深入推进。(29)参见腾讯网：《中国申请加入DEPA的九大看点》，载https://new.qq.com/omn/20211103/20211103A06IX500.html，最后访问时间：2022年2月10日。目前，中国尚未形成具有鲜明特征的数字贸易规则主张，这主要是由于我国将数据流动置于国家安全的考量范围，突出了安全风险。在数字贸易规则深入性议题方面，我国呈现出较为保守的态度，在规则国际博弈中处于防守地位。(30)参见朱福林：《数字贸易规则国际博弈、“求同”困境与中国之策》，载《经济纵横》2021年第8期。我国数字贸易比较优势主要集中在基于互联网平台的货物贸易，因此在参与WTO电子商务诸边谈判时，我国的提案主要侧重于跨境货物贸易及相关支付和物流服务方面，如电子认证、电子合同等贸易便利化层面促进电子商务的传统议题。(31)参见李馥伊：《构建高标准自贸区网络的对策分析》，载《中国经贸导刊》2019年第17期。我国在最近的一份公开性提案中提出，对于数据流动、数据存储、数字产品处理等敏感和复杂的问题，需要进行更多的探索性讨论。(32)参见卢锋、李双双：《多边贸易体制应变求新：WTO改革新进展》，载《学术研究》2020年第5期。但在原则上，数据流动应当以安全为前提，数据安全关系到每个WTO成员核心利益，所以有必要按照各国法律法规进行有序的数据流动。(33)See WTO,Joint Statement on Electronic Commerce-Communication from China,INF/ECON/40,Article 4.3.我国目前已签署的双边自由贸易协定(Free Trade Agreement，简称FTA)电子商务章节中的条款大多数是在WTO框架下早已达成共识的传统条款。例如，中国与DEPA的三个发起国都分别签订了FTA且均包含电子商务章，但内容局限于无纸化贸易、关税、透明度义务、在线消费者保护等内容，在具有争议的个人信息保护议题方面大多只是强调个人信息保护的重要性、制定相关法律要考虑相关国际组织或机构的标准等“倡议性”规定。

此次申请加入DEPA表明我国在全球数据治理中的路径选择，即接受DEPA基于中小国家数字经济发展诉求的理念和规则。在新冠疫情给国际贸易供应链造成了严重破坏的背景之下，包括中国和DEPA发起国在内的各国企业发展遭遇瓶颈，亟需有效的数字化转型战略和合作平台。DEPA在发展数字经济领域具有更强的灵活性和专业性，人工智能、中小企业合作等创新性议题的引入更是增加了协定的前瞻性，与中国未来创新经济发展与转型的趋势、“坚持包容普惠、推动共同发展”(34)中国政府网：《坚持包容普惠，推动共同发展——论习近平主席在首届中国国际进口博览会开幕式上主旨演讲》，载http://www.gov.cn/xinwen/2018-11/07/content_5338282.htm，最后访问时间：2022年7月26日。的理念相契合。国务院《“十四五”数字经济发展规划》指出，发展数字经济要“统筹发展和安全、统筹国内和国际”。(35)参见中国政府网：《“十四五”数字经济发展规划》，载http://www.gov.cn/zhengce/zhengceku/2022-01/12/content_5667817.htm，最后访问时间：2022年7月23日。中国申请加入DEPA意味着在数字领域推动国内治理和国内法规向高标准数字规则看齐，并且考量DEPA在数字方面的某些规则，建立国内数据市场和数字贸易治理的标准，实现“两个统筹”。

约翰·杰克逊(John H.Jackson)教授的“接合”(interface)理论提出，两个国家即使只有很小的经济制度差异，它们在进行合作时必须有一种“接合”机制，否则就会发生摩擦或误解。(36)这种“接合”(interface)机制借用了计算机术语。当需要两台不同机器的计算机一起工作时，通常需要某种“接口”机制或程序在它们之间进行调解。约翰·杰克逊教授认为，国家贸易法和关贸总协定-布雷顿森林体系如今是作为一种相当粗糙的(crude)“接合”机制运作的。See John H.Jackson,Import Practices: Are They Really Unfair?,30 Law Quadrangle 26(1986).这种“接合”机制必须具备一定的开放性、包容性和灵活性，才能使不同经济制度的国家在同一个问题达成共识和合作。DEPA从灵活开放的模块式框架结构到多元包容的数字议题，都具备国际数字经济规则的“接合”特性，以便不同国家在多元化的数字议题上寻求共识。对标DEPA高标准的数字贸易规则，能够在一定程度上倒逼我国加快数字经济领域建章立制的进度，对我国国内数字法规产生积极的“接合”作用。

推动数据跨境安全流动是DEPA的传统性议题的核心内容之一，我国申请加入DEPA也意味着我国在数据跨境流动问题上接受DEPA的规则和理念。从目前正在构建的数据出境评估体系来看，我国国内法在跨境数据流动问题上仍然秉持十分审慎的态度。虽然DEPA没有规定个人信息跨境流动限制要遵守必要性原则，但我国的态度与DEPA总体上鼓励数据跨境自由流动、政府数据开放共享等相对宽松的理念仍然存在一定的张力。

(一)构建中国数据出境评估体系

我国近年密集出台《网络安全法》《数据安全法》《个人信息保护法》等数字经济相关的多部法律法规，也在一些试验区试点企业数据分类和跨境流动。但目前国内的相关政策和法规与DEPA相比仍存在差距，偏重强调数据的安全属性和数据本地化要求。《个人信息保护法》严格规范了个人信息的存储、传输和处理，对国家安全构成潜在威胁的信息跨境传输将受到限制，第36条针对国家机关处理的个人信息设置了“境内存储为原则、安全评估后出境为例外”的原则，(37)《个人信息保护法》第36条规定：“国家机关处理的个人信息应当在中华人民共和国境内存储；
确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”参见彭錞：《论国家机关处理的个人信息跨境流动制度——以〈个人信息保护法〉第36条为切入点》，载《华东政法大学学报》2022年第1期。在数据流动和数据安全中更倚重后者，以数据本地化存储为原则。第38条第1款规定个人信息跨境提供必须具备下列四个条件之一，即“(1)通过国家网信部门组织的安全评估；
(2)按照国家网信部门的规定经专业机构进行个人信息保护认证；
(3)按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；
(4)法律、行政法规或者国家网信部门规定的其他条件”。为使上述个人信息出境条件落地，除第四项兜底条款，国家网信部门近期分别发布了《数据出境安全评估办法》(简称《评估办法》)(38)参见国家互联网信息办公室：《数据出境安全评估办法》，载http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm，最后访问时间：2022年7月24日。《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(简称《安全认证规范》)(39)参见全国信息安全标准化技术委员会：《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》，载https://www.tc260.org.cn/upload/2022-06-24/1656064151109035148.pdf.最后访问时间：2022年7月24日。和《个人信息出境标准合同规定(征求意见稿)》(简称《标准合同规定》)，(40)参见国家互联网信息办公室：《个人信息出境标准合同规定(征求意见稿)》，载http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm，最后访问时间：2022年7月24日。对前三个条件分别予以细化。其中，《评估办法》全面系统地提出了我国数据出境安全检查的具体要求，也标志着我国数据出境安全评估制度的正式落地。

从适用范围来看，《评估办法》第4条规定了数据处理者向境外提供数据(41)《评估办法》所称数据出境活动主要包括：一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外；
二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。必须申报安全评估的四种情形：“(1)数据处理者向境外提供重要数据；
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；
(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。”关于“重要数据”的定义，《评估办法》第19条首次从部门规章层面予以明确，即指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。但该定义事实上掺杂着地缘政治因素，何种数据能够被认定为“可能危害”国家安全等并没有清晰的标准和边界，存在一定的模糊性，给予审查部门较大的主观裁量空间。《评估办法》适用范围外的个人信息处理者的数据出境情形，可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件，依法开展数据出境活动。(42)参见人民网：《〈数据出境安全评估办法〉答记者问》，载http://politics.people.com.cn/n1/2022/0707/c1001-32469307.html，最后访问时间：2022年7月24日。从评估内容和评估流程来看，《评估办法》第5条和第9条分别列举了数据处理者开展数据出境风险自评估的重点事项、与境外接收方订立的法律文件中数据安全保护责任义务主要内容，第8条列举了网信部门开展数据出境安全评估的重点事项，为数据处理者开展数据出境风险评估提供更具有可操作性的指导。

由表2可见，相较于申报人风险自评估的内容，网信部门安全评估重点事项与其基本一致，都包括了出境数据的基本要求、数据出境活动可能带来的风险、境外接受方数据保护水平、数据出境中和出境后的评估、境外接受方的数据安全保护责任义务等内容。安全评估重点事项在此基础上还增加了对境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境的评估，以及对数据处理者遵守中国法律、行政法规、部门规章情况的评估，充分体现了数据出境“风险自评估与安全评估相结合”的严格原则。《评估办法》第9条“与境外接收方约定数据安全保护责任义务”与两者要求大体一致，《标准合同规定》中的合同模板第三条“境外接收方的义务”就是在第9条的基础上展开的。《评估办法》第4条项下的四类情形作为审查对象，只有通过安全评估、获得“行政许可”才能有出境的资格，体现出监管部门对这四类情形安全评估十分审慎的态度。另外，《评估办法》第14条(43)《评估办法》第14条规定：“通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；
(三)出现影响出境数据安全的其他情形。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。”和第17条(44)《评估办法》第17条规定：“国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的，应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的，应当按照要求整改，整改完成后重新申报评估。”规定了数据出境安全评估的结果具备两年有效期及需要重新申报评估的情形，不符合要求则会被书面通知终止数据出境活动，体现了“事前评估和持续监督相结合”的原则。而对于《评估办法》第4条的四类情形之外的数据出境，由于没有达到安全评估的“门槛”则只需要按照《个人信息保护法》第38条第2或第3项得到专业机构个人信息保护认证或与境外接收方订立标准合同，即可进行数据出境。相较于数据出境安全评估的流程，标准合同这种出境路径更加快捷、可预期、成本低，虽然合同签署后需要在网信部门备案，但备案不作为合同生效条件和信息出境的前置条件；
认证机制的适用为跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动提供“绿色通道”。在《网络安全法》《数据安全法》《个人信息保护法》等法律作为上位法、《评估办法》等部门规章作为下位法的国内数据法律体系下，我国正在逐步建立“安全评估审查下的高风险数据有限流动、标准合同和认证机制下的低风险数据自由流动”的数据出境评估体系。

表2 数据出境风险自评估、安全评估及境外接受方数据安全保护责任义务内容比较

(二)缓解国内数据规则与DEPA之间的张力

如前文所述，我国对于《评估办法》第4条的四类高风险数据出境采取“无授权则不可为”的行政许可模式，对其他低风险数据采用标准合同和认证机制的处理模式，这些模式实质上都属于数据本地化范畴，即只有符合要求才能允许数据出境，否则只能在本地存储。数据本地化作为严格限制跨境数据流动的一种属地规制模式，“将地域性的传统主权观念照搬至全球性的现代数字经济，容易产生安全与发展之间方枘圆凿的冲突”(45)许多奇：《治理跨境数据流动的贸易规则体系构建》，载《行政法学研究》2022年第4期，第55页。。《评估办法》等配套规则生效后，相关企业和个人发起的任何数据跨境传输活动都必须与境外数据接收方签署上述具有法律效力的文件，给接收方施加种种义务并进行一系列谈判，经济和时间成本可能会随之增加。统筹数字经济的发展和安全，体现在跨境数据流动中就是要在数据的高效流动和安全稳定之间寻找平衡点。数据出境评估体系也应当根据实践予以调整，在保障数据安全出境的前提下，减少不必要的行政程序，明确审查规则，提高数据跨境流动的效率。

中国已加入的《区域全面经济伙伴关系协定》(RCEP)在“电子商务”章明确了电子商务项下各成员方制定数据本地化和数据跨境流动政策的基本原则。在中国现有自由贸易协定中，RCEP包含的电子商务条款数量最多，其电子商务章节条款内容进行了大幅扩充，一些数字贸易规则核心条款也首次包括进来，但与国际高标准规则相比仍存在不少差距。在跨境数据流动方面，RCEP规定不强制要求计算设施本地化(第14条)、不得阻止通过电子方式跨境传输信息(第15条)等，这些条款的接受对我国来说也是一个巨大的进步，意味着我国逐步在数据安全和数据开放之间寻找平衡。相较于RCEP关于个人信息保护的“倡议性”规定(第8条)，DEPA第4.2条从个人信息保护法律框架关键原则的细化、非歧视性原则及信息保护公开、个人信息保护机制之间的兼容性和互操作性、数据保护信任标志等方面为个人信息数据保护提出了具体的要求。DEPA第4.3.2条明确规定通过电子方式传输的信息包括个人信息，即自然人的任何信息(包括数据)都是可跨境传输的，但RCEP第15条并没有对电子传输信息是否包含个人信息作出明确界定。(46)参见周念利、于美月：《中国应如何对接DEPA——基于DEPA与RCEP对比的视角》，载《理论学刊》2022年第2期。此外，RCEP第14条和DEPA第4.4条及第15.2条(安全例外条款)都认同数据存储非强制本地化及安全例外，这事实上对目前我国国内法就数据“境内存储为原则、安全评估后出境为例外”的总基调仍存在一定的背离。

虽然中国未在跨境数据流动议题上提出具体的规则方案，且目前国内法以数据本地化存储为原则，但从中国近期申请加入CPTPP、DEPA来看，中国已经逐渐向数据自由流动和开放的趋势转变。欧盟GDPR对个人数据向第三国或国际组织传输仅限于四种方式，这给跨国公司施加了很大的个人隐私保护义务和合规成本。(47)这四种被允许的数据跨境传输方式分别是：数据控制者和处理者基于充分性决定、提供适当保障措施、建立有约束力的公司规则、特殊情况下的例外。参见戴龙：《论数字贸易背景下的个人隐私权保护》，载《当代法学》2020年第1期。中国基于数字经济和贸易发展考虑，在未来的选择中未必会完全接受欧盟在隐私保护方面的严格要求。(48)参见前引〔47〕，戴龙文。我国目前不仅在跨境数据流动的部分法律法规中存在规则模糊等问题，而且个人信息和部分商业场景的重要数据出境评估规定缺乏灵活性，数据的分级和分类管理目前并没有成熟的制度安排。这些问题势必会影响中国参与经济全球化、拓展全球数字服务市场的进程。

从国际贸易规则的角度来看，“一般例外”条款可以作为平衡数字主权和数据自由流动的有力工具。DEPA将GATS第14条纳入一般例外情况，即授权成员国为了满足合法公共政策目标或保障基本安全利益而采取不符合规定的措施。(49)See DEPA Article 15.1&15.2.这样来看，根据DEPA“美式规则”特点，成员国在原则上应当鼓励数据的跨境自由流动，但这种自由并非绝对，其受到例外条款对安全、隐私等方面的限制。这考虑到更多缔约方的自身诉求，给予缔约方更大的数据流动管制空间，(50)参见前引〔26〕，陈寰琦、陆锐盈文。为我国数据出境评估体系与DEPA的“接合”性提供了解释的依据。问题在于，如何对第14条(c)(iii)项下的“安全”进行解释。(51)参见田翔宇：《我国跨境数据流动监管体系的国际法分析——以GATS“一般例外”条款为视角》，载《人民法治》2018年第24期。这涉及何种安全利益可以纳入GATS例外条款中。尤其是近年来，国家安全范畴从传统安全扩展到非传统安全，如何构成威胁国家安全的条件几乎完全由一个主权国家自己决定。国家安全审查制度等国内法上的规则和制度不断外溢，成为一种国际通行的做法和监管工具，国家安全呈现概念泛化且考量因素模糊等特点。在此背景下，以“特朗普政府打压TikTok”为代表的、以维护国家安全为由限制跨境数字交易、投资和数据访问的事件频频出现，削弱了国际规则体系，侵蚀了全球化发展的法律基础、国际机制和法治逻辑。(52)参见沈伟：《驯服全球化的药方是否适合逆全球化？》，载《人民论坛·学术前沿》2020年第12期。DEPA目前也没有对这些措施的合理限制作出更为具体的国家安全例外规定。中国可以申请加入DEPA为契机，与其他成员国探讨例外条款在数据流动方面的包容性，探寻以维护数据主权为前提的数据流动和数据安全之间的最佳平衡点。

近年来中国的崛起已对美国引领的西方主导地位带来潜在挑战，视中国为“战略竞争对手”已成为美国两党的战略共识，中美在数字领域的竞争将会更加激烈。美国主导构建的“印度—太平洋经济框架”(The Indo-Pacific Economic Framework，IPEF)包含建立一个新的数字治理框架以管理印太地区的数字经济和跨境数据流动。(53)See the White House website,FACT SHEET: Indo-Pacific Strategy of the United States,available at https://www.whitehouse.gov/wp-content/uploads/2022/02/U.S.-Indo-Pacific-Strategy.pdf,last visited on Feb.12,2022.目前参与IPEF框架的13个初始国家包括了韩国、新西兰以及文莱、印度尼西亚、马来西亚、菲律宾、新加坡、泰国、越南七个东盟国家。结合数字经济协定签署的集中地、数字税等数字规则的覆盖地以及后疫情时代经济复苏的进展与规模看，印太地区是全球数字博弈的重点区域。(54)参见翟崑：《数字全球化的战略博弈态势及中国应对》，载《人民论坛》2021年第17期。中国处于印太地区数字供应链的中心，美国印太战略的构建和实施可以视为对中国“数字丝绸之路”和“一带一路”的制衡，以削弱中国在印太地区日益增长的影响力。在此背景下，构建符合中国国情、与世界接轨的跨境数据流动体系就尤为重要和紧迫。中国申请加入DEPA，体现了我国对数字经济国际合作的高度兴趣与构建全球数字经济框架的最新努力。DEPA为不同国家之间的企业合作提供了技术和规则交流的有利平台，中国应当借助申请加入DEPA的契机，积极参与全球数字产业链供应链治理，探索数据驱动创新体系和安全发展模式，在维护我国网络安全的基础上稳健地开放数字市场，引领全球产业链的发展和数字贸易规则的构建。

随着数字经济的迅速发展，数据已成为未来改变全球竞争格局、重塑全球经济结构、重组全球要素的重要资源。越来越多的国家将数字治理和跨境数据流动规则作为其双边和区域贸易协定的要素和章节。中国申请加入DEPA，意味着中国继加入RCEP后，进一步接受DEPA更高水平的数字治理理念和规则，将与DEPA缔约国共同参与全球数字治理，并展开进一步的合作和交流。这既是中国参与全球数字治理的一次机遇，又在对标国内规则、平衡数据安全和开放流动难题、中美战略竞争等诸多方面面临挑战。虽然我国正在逐步构建数据出境评估体系，但从主要内容上来看仍然与DEPA等高水平数字经济规则存在一定的张力。中国应当综合评估DEPA的协定内容，结合目前国内数字经济发展状况，有选择地参加DEPA并提出数据治理的“中国方案”，与其他国家在尊重主权的基础上共同构建全球数字治理新格局。