宋俊荣 | 我国数据跨境流动规制措施与RCEP服务贸易规则相符性及应对

作者： 宋俊荣，上海政法学院国际法学院副教授，法学博士。

内容提要： 对于影响服务贸易的数据跨境流动规制措施，RCEP项下服务贸易规则的适用优先于数据跨境流动规则。判断我国数据跨境流动规制措施是否受制于RCEP服务贸易规则，需要具体考察我国在该措施所影响的服务部门和服务提供模式下是否已承担义务。在我国已承诺承担义务的情况下，我国数据跨境流动规制措施有可能违反RCEP服务贸易章的市场准入、国民待遇、最惠国待遇和当地存在条款，其是否符合RCEP服务贸易章一般例外条款的关键在于执法实践是否符合该条款前言要求。此外，我国针对关键信息基础设施运营者开展的数据出境安全评估活动符合RCEP安全例外条款。在国内层面，我国应从三个方面完善数据跨境流动规制措施以确保其与RCEP服务贸易规则的相符性。在国际层面，我国在未来RCEP负面清单的谈判中应力争给予数据跨境流动规制措施足够的关照。

关键词： 数据跨境流动规制措施；服务贸易规则；安全评估；负面清单；区域全面经济伙伴关系协定

在当前的数字经济浪潮中，数据的作用和重要性日益凸显。为了保护国家安全、公共秩序和个人隐私，各国纷纷推出了宽严不一的数据跨境流动规制措施。但此类措施往往会对依赖数据跨境流动的国际经济活动造成限制和阻碍，从而引发国际数字经济协定或经贸协定项下的合规性问题。具体到服务贸易领域，此类合规性问题不仅涉及协定中的数据跨境流动规则、电子商务规则，而且涉及服务贸易规则。不过，上述规则的适用顺序和对缔约方的约束力是有所区别的。以《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，以下简称“RCEP”）为例，其电子商务章规定，如果缔约方采取的措施是缔约方在服务贸易具体承诺表中明确列出的不符措施、影响的是缔约方未作承诺的服务部门或符合适用于服务贸易章的任何例外条款，那么该措施就不再受数据跨境流动规则的约束。因此，判断一项影响服务贸易的数据跨境流动规制措施是否符合RCEP，应首先适用其中的服务贸易规则，然后再考虑是否需要适用其中的数据跨境流动规则。此外，基于服务贸易规则和数据跨境流动规则产生的争端所适用的解决方式也有所区别。RCEP项下，基于包括数据跨境流动规则在内的电子商务章产生的争端原则上不适用第19章国家间争端解决机制，除非缔约方明确表示同意。而基于服务贸易规则产生的争端一律适用协定所规定的国家间争端解决机制。因此，从争端解决的角度来看，RCEP服务贸易规则对于缔约方的约束力要强于数据跨境流动规则。由于我国已批准RCEP且其已正式生效，所以我国数据跨境流动规制措施与协定中服务贸易规则的相符性也是亟需关注的问题。

依据RCEP第8.2条的规定，服务贸易章适用于缔约方采取的影响（affecting）服务贸易的措施。因此，我国数据跨境流动规制措施影响了服务贸易是导致RCEP服务贸易规则适用的前提之一。此外，就一缔约方而言，RCEP服务贸易章的核心义务均取决于其承诺。因此，我国在数据跨境流动规制措施所影响的服务部门和服务提供模式项下承诺承担义务，是导致RCEP服务贸易规则适用的另一项前提。

（一）我国数据跨境流动规制措施影响了服务贸易

1.我国数据跨境流动规制措施概况

我国有关数据跨境流动和处理的法律规定散见于《网络安全法》《数据安全法》和《个人信息保护法》等，主要针对重要数据和个人信息。这些数据的跨境流动依数据重要程度和规模等方面的不同分别需要通过数据出境安全评估、与境外数据接收方订立标准合同或者经专业机构进行个人信息保护认证。而数据跨境流动包括两种情形：一是数据处理者将其在我国境内收集和产生的重要数据或个人信息提供给境外的活动（以下简称“数据出境活动”），其中的数据提供方仅限于数据处理者；二是数据处理者在我国境外处理我国境内个人信息，且符合下列情形之一：（1）以向境内自然人提供产品或者服务为目的；（2）分析、评估境内自然人的行为；（3）法律、行政法规规定的其他情形（以下简称“境外处理境内个人信息活动”）。此外，数据处理者在我国境外处理我国境内个人信息且符合法定情形的，也应当遵循我国的相关法律法规。

2.RCEP项下“影响服务贸易”释义

在字面上，可以将“影响服务贸易”拆解为“服务贸易”和“影响”两个部分。RCEP第8.1条第18项直接复制了《服务贸易总协定》（General Agreement on Trade in Services，以下简称“GATS”）第1.2条，将“服务贸易”界定为四种模式的服务提供，即跨境提供、境外消费、商业存在和自然人存在。至于何为“影响”，RCEP与GATS同样保持了沉默。但在GATS争端解决实践中，已形成了对“影响”一词含义的共识。这一共识起源于“香蕉案Ⅲ”。该案专家组认为，“影响”一词的涵义比“调整”（regulating）或“规制”（governing）更广，GATS的适用范围应当涵盖一成员影响服务提供的任何措施，无论该措施是直接调整或规制服务的提供，还是通过调整或规制其他事项继而影响了服务贸易。此项观点得到了上诉机构认可，并沿袭至今。这种一以贯之的解释在日后的RCEP争端解决实践中是具有重要参考价值的。

3.我国数据跨境流动规制措施是否影响服务贸易—基于服务部门和服务提供模式的分析

在数字经济全球化的背景下，服务贸易中的每一个环节均有可能涉及数据的跨境流动。因此，即使我国数据跨境流动规制措施不直接调整或规制服务贸易，此类措施也可能通过调整或规制服务贸易中的数据跨境流动活动而对其产生“影响”。此种影响不仅会出现在数字服务产业部门，也会出现在数字化的传统服务产业部门，如医疗服务、运输服务、旅游服务等部门。此种影响会发生在哪些服务提供模式项下则取决于各服务提供模式是否涉及数据跨境流动从而触发我国数据跨境流动规制措施的适用。

第一，跨境提供模式的服务贸易是否可能涉及数据跨境流动需要分两种情况来分析。一是消费者系我国境内自然人，其为享受服务而向其他缔约方服务提供者提供自身相关信息。例如，我国境内某自然人为获取泰国某旅游平台网站提供的预定酒店服务而提供自身信息。虽然此种情况下存在数据跨境流动，但数据提供方是自然人消费者，而非数据处理者，因而不属于数据出境活动。不过，此种情况中的服务提供者在我国境外处理我国境内个人信息是以向其提供服务为目的，从而构成境外处理境内个人信息活动。二是消费者系我国境内组织，其为享受服务而向另一缔约方服务提供者提供其作为数据处理者时所收集和处理的相关数据或个人信息。例如，我国某购物中心为获取新加坡某咨询公司的营销建议而向其提供顾客的购买记录。此种情况不仅构成数据出境活动，也构成境外处理我国境内个人信息活动。数据提供方是作为服务消费者的我国境内组织，数据接收方是位于境外的另一缔约方服务提供者。数据处理者及其数据处理活动位于我国境外，且涉及分析、评估我国境内自然人的行为。

第二，在境外消费模式的服务贸易中，虽然大部分情况下消费者需要移动到境外，但有些情况下消费者是无需移动的，如消费者需要维修的财产原本就位于境外。此外，对于通过网络提供而无需消费者本人移动到境外的服务属于跨境提供还是境外消费，目前仍存在争议，而RCEP也未予明确规定，故将其界定为境外消费也是有可能的。因此，境外消费模式是否可能涉及数据跨境流动也需要分两种情况来分析。一是我国消费者在我国境外接受服务。如果涉及服务提供者处理我国消费者所提供的信息，该活动也是发生在我国境外，因而不属于数据出境活动。不过，目前尚不能确定该活动是否属于境外处理境内个人信息活动，因为我国相关法律法规尚未明确界定“我国境内个人”是否包含消费服务时，亦即数据被处理时，位于我国境外的我国公民。二是消费者在我国境内。此种情况下的分析与上文对跨境提供模式的分析无异。

第三，在商业存在模式的服务贸易中，位于我国境内的组织可能需要将用户所提供的数据传给另一缔约方的关联方以完成服务的生产和交付。例如，韩国某数据公司在我国境内设立了一家子公司，该子公司不具备为客户独立加工数据的能力，因而需要将数据传给韩国母公司进行处理加工后才能完成在我国境内的服务提供。此类活动属于数据出境活动。当然，如果数据处理涉及分析、评估我国境内自然人的行为，该活动同时也构成境外处理我国境内个人信息活动。

第四，自然人存在模式的服务贸易中是否会涉及数据跨境流动活动也需要分两种情况分析。一是该自然人系另一缔约方服务提供者派驻我国的雇员，其为完成在我国境内的服务提供需要将其在我国境内收集的数据提供给境外的雇主。目前，尚不能确定此种活动是否属于我国法律所规制的数据出境活动，因为该雇员是以雇主名义在我国境内收集数据，数据跨境流动实际上发生在同一组织内部。而对于“向境外提供数据”是否仅限于两个独立主体之间，我国法律法规尚无界定。二是该自然人系在我国境内独立提供服务的另一缔约方自然人。即使在此种情况中涉及数据处理，也不需要向境外提供数据，因而不属于我国数据跨境流动规制措施所适用的两类活动。

综上所述，另一缔约方自然人在我国境内独立提供服务不可能触发我国数据跨境流动规制措施的适用。而囿于我国法律规定的缺位，另一缔约方服务提供者向我国派驻雇员提供服务和我国消费者在我国境外接受服务是否可能触发我国数据跨境流动规制措施的适用仍具有不确定性。其他服务提供模式皆有可能触发我国数据跨境流动规制措施的适用，即被其“影响”。

（二）RCEP项下我国针对相关服务部门和服务提供模式作出了承诺

在RCEP服务贸易章项下，我国以正面清单的方式对市场准入、国民待遇和最惠国待遇等核心义务以及进一步自由化作出了承诺。不过，我国应在RCEP生效后6年内过渡到以负面清单对上述义务作出承诺。在完成过渡后，我国除负面清单中所列不符措施外不得要求当地存在。我国附件二服务具体承诺表中的服务部门分类以联合国统计局1991年临时中心产品分类目录（Central Products Classification，以下简称“CPC1991”）为基础，排序则采用的是世界贸易组织秘书处1991年7月10日发布的“MTN.GNS/W/120服务部门分类目录”（以下简称“W/120”）。我国此次列入承诺表的服务分部门达到122个，为历史之最。但遗憾的是，在所有针对市场准入和国民待遇义务的具体部门承诺和水平承诺中，我国均未明确排除有关数据跨境流动的限制措施。此外，我国在41个服务分部门对最惠国待遇义务作出了承诺。在我国提出保留的水平限制措施中，除（e）和（f）项外，其他4项均未涵盖数据跨境流动限制措施。不过，（e）和（f）项规定为我国数据跨境流动规制措施提供的支持也较为有限。（e）项仅适用于自然人存在模式，但自然人存在模式下原本就不涉及境外处理境内个人信息活动，是否涉及数据出境活动尚不确定。而（f）项主要用于防御，其适用具有被动性，且只能针对特定缔约方。

（一）共性问题

RCEP服务贸易章核心条款所含义务均以缔约方承诺为基础，因此分析我国数据跨境流动规制措施与这些条款的相符性需要先行确定此类措施所影响的服务部门和服务提供模式。

在受影响的服务部门认定方面，难点在于我国数据跨境流动规制措施所影响的通过网络交付的服务。此种服务既包括传统服务的数字化，如在线教育、在线金融，也包括数字产业的新型服务，如云计算、云存储等。对于前者，WTO争端解决实践中已有所涉及，如“出版物和音像制品案”专家组裁定，音像制品的分销服务不仅包括通过物理介质存储之音像制品的分销服务，而且包括通过互联网等技术对非物理形态电子音像制品的分销服务。虽然专家组的裁判具有一定的事实上的先例效力，但WTO成员在这一问题上还远未达成共识。也有学者担心此举在事实上增加了成员在GATS项下的义务。对于后者，问题似乎更为复杂，因为此类服务在数字技术的加持下具有高度的复合性和融合性。例如，博客服务融合了数据库服务、数据处理服务和娱乐服务，在线游戏服务融合了视听服务和计算机服务。如何对此类服务进行归类，学界众说纷纭。我国在RCEP项下服务具体承诺表的解释性说明明确指出，服务部门的分类以CPC1991和W/120为基础。因此，CPC1991所含的解释规则当然适用于我国服务具体承诺表项下服务的部门归类问题。虽然该解释规则未涉及通过网络交付之服务的归类，但涉及了复合性服务的归类。具体而言，当一项服务可以被划归同一层次的多个服务类别时，提供最具体描述的类别应优先于提供更笼统描述的类别。例如，就人工智能诊断服务而言，医学诊断服务比数据处理服务更为具体，故其应被划归医学诊断服务。对于由不同服务的组合构成的复合服务，如果不能通过参考前一规则进行归类，则应按赋予其基本特征的服务进行归类。例如，就博客服务而言，其基本特征应为娱乐服务，而非数据库或数据处理服务，故其应被划归娱乐服务。如果根据前述两项规则仍然不能对一项服务进行归类，则将其划归同样值得考虑的服务类别中数字排序在最后的类别。最后，对于不能按上述规则归类的服务，应将其划归与其最相似的服务类别。虽然CPC1991的上述解释规则对于数字时代新兴服务的归类并未给出直接答案，但至少确立了基本的分析框架和思路。

在受影响的服务提供模式认定方面，难点仍然在于我国数据跨境流动规制措施所影响的通过网络交付的服务。可能引起的争议是其归属跨境提供模式还是境外消费模式。跨境提供模式与境外消费模式的区别在于交付服务的地点不同。就前者而言，交付服务的地点在服务提供者所在缔约方之外的其他缔约方领土内；就后者而言，交付服务的地点在服务提供者所在缔约方领土之内。此种区别标准对于传统面对面的服务还是比较有效的，但对于通过网络跨境交付的服务就显得捉襟见肘了。此类服务的服务提供者和消费者均无需跨越国境，因而很难断定交付服务的地点是在服务提供者所在国抑或消费者所在国。虽然“赌博案”专家组裁定跨境提供模式下的市场准入义务适用于通过任何方式提供的服务，包括本案中的在线赌博服务，除非成员方有相反规定，但有学者指出，将消费者通过网络访问境外服务器获取服务的情形认定为境外消费模式似乎也无不可，因为此种情形中服务的交付地点不是位于消费者所在国，而是服务提供者所在国。不过，依此标准，“赌博案”中的在线赌博服务似乎也可被认定为境外消费模式了。

（二）我国数据跨境流动规制措施与市场准入条款的相符性分析

我国数据跨境流动规制措施与市场准入条款可能存在两点不符之处：

其一，RCEP第8.5条第2款第1-3项规定，在缔约方已作出市场准入承诺的部门，一缔约方不得以数量配额的方式限制服务提供者的数量、服务交易总值或服务业务总量。该条款移植自GATS第16条第2款，因此与该款有关的WTO裁决还是有一定参考价值的。“赌博案”上诉机构报告指出，零配额也属于数量配额。依据我国《数据出境安全评估办法》第8条的规定，数据境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响是数据出境安全的重点评估事项之一。因此，在具体的数据出境安全评估活动中，有可能出现因数据接收方所在国或地区数据保护水平不足而未获通过的情形，继而导致数据出境被禁止。那么，依赖于数据出境的服务贸易事实上也被禁止了，从而构成零配额形式的数量配额。对于我国已作出或将作出市场准入承诺的部门和服务提供模式而言，我国数据出境安全评估活动中基于国别的不予通过决定可能与前述RCEP市场准入条款相悖。

其二，RCEP第8.5条第2款第５项规定，在缔约方已作出市场准入承诺的部门，一缔约方不得采取或维持限制或要求服务提供者通过特定类型法律实体或合营企业提供服务的措施。而我国《个人信息保护法》第53条规定，该法所涵盖的境外个人信息处理者应在我国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务。如前文所述，跨境提供、境外消费和商业存在模式下均可能存在境外处理境内个人信息活动。不过，商业存在模式下服务提供者本来就在我国设有商业机构，因而不会受到实质性影响。但在跨境提供和境外消费模式下，作为境外个人信息处理者的服务提供者就只有在我国境内设立专门机构或者指定代表才能符合前述要求。那么，在我国就这两种模式下市场准入义务已作出承诺或将作出承诺的服务部门，我国《个人信息保护法》第53条就与前述RCEP市场准入条款存在潜在冲突。

（三）我国数据跨境流动规制措施与国民待遇条款的相符性分析

RCEP第8.4条规定，缔约方应依其承诺在影响服务提供的所有措施方面给予其他任何缔约方的服务和服务提供者的待遇不低于其给予本国同类（like）服务和服务提供者的待遇。该条同时强调，对于较为不利待遇的判断，关键不在于给予国内外同类服务或服务提供者的待遇在形式上是否相同，而在于是否改变了两者之间的竞争条件。

如前文所述，商业存在以及针对我国境内组织的跨境提供和境外消费模式有可能涉及数据出境活动，从而触发我国数据出境管制措施的适用。首先，在法律上，我国在数据出境方面的管制措施以相关主体是否属于关键信息基础设施运营者、出境数据是否属于重要数据以及向境外提供个人信息数量为识别标准，并未基于服务来源地不同或服务提供者国籍归属不同而给予差别待遇。其次，在事实上，并非只有其他缔约方的服务和服务提供者存在数据出境需求，我国的服务和服务提供者也可能基于全球化运营而产生数据出境需求。这意味着，我国数据出境管制措施并非在事实上仅适用于其他缔约方的服务和服务提供者，而是同时也适用于有数据出境需求的我国服务和服务提供者。其他缔约方的服务、服务提供者和我国的服务、服务提供者之间的竞争条件并未因此类措施而被改变。因此，我国数据出境管制措施并未在法律上或事实上造成我国服务、服务提供者与其他缔约方的服务、服务提供者之间的差别待遇，从而不违背国民待遇条款。

仍如前文所述，跨境提供、境外消费和商业存在模式有可能涉及境外处理境内个人信息活动，从而触发我国境外处理境内个人信息管制措施的适用。从法律规定来看，此类措施主要适用于位于境外的个人信息处理者。具体到服务贸易领域，此类措施主要适用于其他缔约方的服务和服务提供者，因为作为国民待遇参照系的我国服务和服务提供者不涉及境外处理境内个人信息活动。这意味着，跨境提供和境外消费模式中的其他缔约方服务提供者需要在我国境内设立专门机构或指定代表，而我国服务提供者无此项义务。此种差别会导致外国服务提供者服务成本的增加，的确改变了国内外服务提供者之间的竞争条件，从而构成差别待遇。虽然我国的此项要求旨在实现对境外个人信息处理者的有效监管，继而保障个人信息安全、国家安全和公共利益，但依据现有裁判法理，很难因此而将国内外服务提供者界定为非“同类服务提供者”，从而也就无法避免我国境外处理境内个人信息管制措施与RCEP第8.4条的冲突。

（四）我国数据跨境流动规制措施与最惠国待遇条款的相符性分析

RCEP第8.6条要求任一缔约方给予另一缔约方的服务和服务提供者的待遇不得低于给予任何其他缔约方或非缔约方同类服务和服务提供者的待遇。我国数据跨境流动规制措施中与最惠国待遇条款关系最为密切的是数据出境安全评估制度。该项制度重点评估数据出境活动可能对我国国家安全、公共利益、个人或者组织合法权益带来的风险，主要考虑因素之一是境外数据接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响，以及境外数据接收方的数据保护水平是否达到我国法律、行政法规的规定和强制性国家标准的要求。其中，因境外数据接收方所在国家或地区的原因而无法通过数据出境安全评估的情形可能导致服务贸易中基于国别的差别待遇。这有可能发生在针对我国境内组织的跨境提供和境外消费模式中。其他缔约方服务提供者作为数据的境外接收方，境内服务消费者作为数据提供方（亦是数据处理者）需要申请安全评估。如通过安全评估，双方之间可以正常开展服务贸易，如因其他缔约方服务提供者（亦是数据接收方）所在国家或地区的原因未通过安全评估，双方之间就无法正常开展服务贸易，从而导致差别待遇。虽然我国此举旨在防范数据出境后因接收方所在国或地区保护不力而给我国国家安全、公共利益、个人或者组织合法权益带来的风险，但目前可能很难因此而将来自一缔约方和其他缔约方或非缔约方的服务提供者界定为非“同类服务提供者”，从而也就无法避免我国数据出境安全评估制度的实施与最惠国待遇条款之间的冲突。

（五）我国数据跨境流动规制措施与当地存在条款的相符性分析

在数字经济时代，当地存在条款对于服务贸易自由化目标的重要性与日俱增。RCEP第8.11条禁止缔约方要求另一缔约方的服务提供者在其领土内建立或维持代表处、分支机构或其他任何形式的法人，或成为其领土内的居民，作为以跨境提供、境外消费和自然人存在模式提供服务的条件。不过，出于拉动就业、引进技术、增加税收和强化监管等方面的考虑，服务进口国往往希望外国服务提供者在本国设立某种形式的当地存在。

虽然我国目前在RCEP框架下尚未承担当地存在条款项下的义务，但在6年过渡期届满后我国须以负面清单方式承担此项义务。对于符合法定情形的境外个人信息处理者，我国《个人信息保护法》第53条要求其在我国境内设立专门机构或指定代表以负责处理个人信息保护相关事务。那么，对于构成境外个人信息处理者的境外服务提供者而言，此项要求就构成了当地存在要求。未来除非被纳入负面清单，此项措施将会涉嫌违反当地存在条款。

既然我国数据跨境流动规制措施可能违背RCEP服务贸易章核心条款，就有必要进一步分析此类措施是否可基于RCEP服务贸易章例外条款获得豁免。RCEP为服务贸易章引入了一般例外条款和安全例外条款，下文依次予以分析。

（一）我国数据跨境流动规制措施与一般例外条款的相符性

RCEP直接将GATS第14条纳入服务贸易章作为该章的一般例外条款。对于该条款，经由WTO争端解决机构采纳的专家组报告或上诉机构报告中的解释是RCEP项下专家组必须予以考虑的。在WTO争端解决实践中，有关GATS第14条的分析需要遵循“两步走”模式，首先分析是否符合具体例外情形，在得出肯定结论后再分析是否符合前言规定。此外，WTO上诉机构在“金融服务案”中强调，一般例外条款项下的分析应限定在被诉措施与实体义务不一致的方面。上文已经论证，我国数据跨境流动规制措施中可能与RCEP服务贸易章核心义务产生冲突的方面有二：一是数据出境安全评估机构可能基于数据接收方所在国/地区数据保护水平不足而作出的拒绝通过决定，二是《个人信息保护法》第53条要求符合法定情形的境外个人信息处理者在我国境内设立专门机构或指定代表。下文将结合这两个方面进行分析。

1.我国数据跨境流动规制措施是否符合一般例外条款中的具体例外情形

在GATS第14条所列举的五种具体例外情形中，最具有相关性的是a款所规定的为保护公共道德或维护公共秩序所必需的措施。“赌博案”专家组认为，公共道德是有关行为是非对错的标准，而公共秩序是对一国公共政策和法律所反映的社会根本利益的维护，且WTO成员有权自主决定其本国/区域境内公共道德或公共秩序的保护水平。WTO上诉机构对此予以肯定。我国相关法律和部门规章在多处提及数据跨境流动规制措施旨在保护国家安全、社会公共利益和个人信息权益。保护国家安全乃社会之根本利益，而个人信息权益中隐私权之保护则隶属公共道德范畴。因此，我国数据跨境流动规制措施可被视为以维护公共秩序和公共道德为目标的措施。那么，下一步的分析就是必需性测试。

在必需性测试中，首先需要对一系列相关因素进行权衡与平衡（weighing and balancing）。被诉措施所要保护的价值或利益越重要、对该利益或价值的贡献越大、对贸易的限制越小，该措施就越容易被认定为具有必需性。其次，还需要考察是否存在可由被诉方合理采取且同样能实现目标但限制性更小甚至不具有违法性的替代措施。数据出境安全评估旨在保护重要数据和个人信息出境后的安全，境外个人信息处理者在我国境内设立专门机构或指定代表的要求旨在保护境内自然人个人信息被境外处理时的安全。而这些重要数据和个人信息的安全又关涉国家安全、社会公共利益和个人信息权益。对于数据接收方所在国/地区数据保护水平较为落后的数据出境安全评估申请，我国评估机构予以拒绝有利于防止重要数据和个人信息出境后被恶意篡改、泄露和利用，从而避免国家安全、社会公共利益和个人信息权益遭受损害。而且，我国目前的网络信息安全保障技术水平足以确保存储在本地的数据安全。对于境外个人信息处理者，囿于法律、技术和人员等方面的限制，我国相关部门无法有效对其实施监管，从而无法保障被其处理的境内自然人个人信息安全。因此，要求其在我国境内设立专门机构或指定代表有利于强化对其的监管，保障境内自然人个人信息安全。此外，数据出境安全评估制度和《个人信息保护法》第53条所适用的数据类型和场景都被限定在必要范围内，从而不至于造成对贸易的过分限制。在数据出境安全评估制度的替代措施方面，最值得关注的是欧盟GDPR所设立的充分性评估制度（adequacy assessment）。不过，该制度同样涉嫌违反最惠国待遇和市场准入义务，因而不构成合格替代措施。就对境外个人信息处理者的监管而言，目前也无有效替代措施。例如，欧盟GDPR第27条也包含了和《个人信息保护法》第53条相同的规定。综上所述，我国数据跨境流动规制措施符合GATS第14条a款。

此外，还需要关注的是GATS第14条c款，即为履行不违背GATS的法律法规所必需的措施。前文已经论证，《个人信息保护法》第53条本身涉嫌违反RCEP服务贸易章核心条款，故不符合该项例外情形。而数据出境安全评估制度所遵循的法律法规本身不违反RCEP服务贸易章核心条款，且上文已经就“必需性”进行了论证，故该制度符合GATS第14条c款。

2.我国数据跨境流动规制措施是否符合一般例外条款的前言

GATS第14条前言要求相关措施的实施不得在处于同类情形的国家之间造成武断或不合理的歧视，也不得造成对服务贸易的变相限制。此项要求旨在确保WTO成员方合理使用援引例外条款的权利，从而不至于减损其他成员方的实体权利。判断相关措施的实施是否符合此项要求可以从其设计、结构、实施的具体情境及其实施造成歧视的机理等方面着手分析。

目前，我国相关部门尚未发布有关数据接收方所在国或地区数据保护水平的具体评判标准。是否存在因数据接收方所在国或地区数据保护水平不足而拒绝通过安全评估申请的情形，也无从知悉。因此，现阶段尚无法判断我国数据出境安全评估活动是否符合一般例外条款前言要求。对于《个人信息保护法》第53条为境外数据处理者设立的义务，该法并未规定相应的责任条款。目前也查询不到针对未履行该义务之境外数据处理者的执法记录。因此，现阶段也无法判断有关《个人信息保护法》第53条的适用是否符合一般例外条款前言要求。

（二）我国数据跨境流动规制措施与安全例外条款的相符性

RCEP服务贸易章并无专属的安全例外条款，而是与其他所有章节共用同一项安全例外规定，即RCEP第17.13条。该条仍然保持了《关税与贸易总协定》（General Agreement on Tariffs and Trade，以下简称“GATT”）1994和GATS安全例外条款的结构，并沿袭了其中的“自裁决”规定。

RCEP第17.13条a款允许缔约方拒绝提供其认为如披露则会违背其基本安全利益的任何信息。虽然此款规定涉及信息的提供，但本文认为其不适用于我国数据出境安全评估活动，理由如下。a款中信息提供的主体是缔约方，而非缔约方国民。因此，a款豁免的是缔约方拒绝提供信息的行为。我国数据出境安全评估活动规制的是数据处理者的数据出境行为，而非国家对外提供数据或信息的行为，因而不属于a款适用范围。

RCEP第17.13条b款前言与GATT1994及GATS安全例外条款b款前言毫无二致。对于前言中“其认为”一语给予WTO成员的自裁决权限，“转运限制措施案”和“产地来源标记案”的专家组均认为不应及于前言之后所列举的具体情形。被诉措施是否符合其中的任一情形应由专家组裁决。在前言之后，共有四个列举项，分别规定了四种属于“基本安全利益”的情形。其中需要重点关注的是后两项。第3项是新增的规定，即“为保护包括通讯、电力和水利基础设施在内的关键公共基础设施（无论公有或私有）而采取的行动”。我国数据出境安全评估的适用对象之一为关键信息基础设施运营者。我国《关键信息基础设施安全保护条例》第2条将其定义为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。据此定义，关键信息基础设施完全可被认定为属于b款第3项中的“关键公共基础设施”。俄乌军事冲突表明，关键基础设施已成为网络攻击的首要目标，而数据则成为网络战新的重点攻击对象。恶意软件通过擦除关键基础设施核心数据能导致其长时间、大面积瘫痪。在新的网络安全形势下，针对关键信息基础设施运营者开展的数据出境安全评估活动就是为了保护其安全运行采取的预防性措施。是故，此类活动属于第3项所描述的情形。第4项规定的是“在国家紧急状态、战时或国际关系中的其他紧急情况下采取的行动”。从文本结构来看，“国家紧急状态”和“战时”都属于国际关系中紧急情况的表现形态。“转运限制措施案”专家组认为，国际关系中的紧急情况一般指武装冲突、潜在的武装冲突、紧张局势或危机加剧、或席卷或围绕一个国家的普遍不稳定的情况。其中，“紧急”一词表明情况是突发、重大且急迫的。我国数据出境安全评估活动和《个人信息保护法》第53条是一种常态化要求，并非仅适用于上述国际关系中的紧急情况，因此不符合第4项规定。

RCEP第17.13条c款豁免的是缔约方为履行其在《联合国宪章》项下维护国际和平与安全的义务而采取的任何行动。我国数据出境安全评估活动和《个人信息保护法》第53条并非我国为履行上述义务所采取的行动，因而也不符合此款规定。

综上，我国数据跨境流动规制措施符合RCEP所引入的GATS第14条a款和c款，但是否符合该条前言规定需要结合执法实践进行分析。此外，RCEP安全例外条款—第17.13条b款第3项也能为我国针对关键信息基础设施运营者开展的数据出境安全评估活动提供豁免。

商务部国际贸易经济合作研究院发布的《全球数字贸易发展趋势报告2022》显示，中国数字服务贸易总额从2015年的2,000亿美元增长到2022年的3,780亿美元，增长率高达89%，展现了中国在数字服务贸易领域的巨大潜力和发展空间。我国数据跨境流动规制措施与RCEP服务贸易规则的衔接有利于提升数字服务贸易营商环境和防范国家间服务贸易争端，从而为我国数字服务贸易的跨越式发展保驾护航。对此，我国可从国内和国际两个层面采取应对措施。

（一）对标RCEP服务贸易规则完善我国数据跨境流动规制措施

首先，对可能存在歧义的关键术语和规定予以澄清，从而进一步明确我国数据跨境流动规制措施的适用范围，以消除在认定此类措施是否影响服务贸易时的不确定性，进而厘清RCEP服务贸易规则对我国数据跨境流动规制措施的适用边界。对于《个人信息保护法》第3条和《网络数据安全管理条例》第2条中的“境内自然人”，应明确其涵盖数据被处理之时位于我国境内的外国人，但不涵盖数据被处理之时位于我国境外的我国公民，以昭示其属地管辖性质。相应地，我国公民赴境外消费所涉数据处理活动就不构成“境外处理境内个人信息”，从而不会触发我国数据跨境流动规制措施的适用。此外，对于《个人信息保护法》第38条中的“向中华人民共和国境外提供个人信息”和《数据出境安全评估办法》第4条中的“向境外提供数据”，应明确其涵盖境外个人信息处理者派遣雇员至我国境内收集个人信息或数据并令其传回数据的情形。虽然此种情形下的数据流动发生在同一主体内部，但其的确跨越了国界，有可能危及我国国家安全、公共利益和个人信息权益，理应受到我国法律的监管。当然，我国在此种场景下采取的监管措施就要受制于我国在RCEP服务贸易章项下就自然人存在模式所承诺的义务。

其次，对作为数据出境安全评估重点审查事项之一的数据接收方所在国或地区数据安全保护政策法规和网络安全环境对出境数据安全的影响，应细化并公开具体评估标准，确保其具有足够的灵活性和包容性，应当允许其他国家或地区通过多元化的手段实现数据安全保护目标。为提升便利性，亦可尝试动态管理定期复审的“白名单”制度，对面向满足条件的国家或地区的数据出境活动豁免安全评估。在安全评估的具体实施过程中，应一视同仁，公平公开公正，确保一致性和可预见性，避免像欧盟一样在充分性评估实践中给予韩国、摩纳哥等国歧视待遇。此外，就重要数据和关键信息基础设施的具体识别而言，评估机构应恪守相关法律法规确定的标准，不得随意扩大认定范围，以避免对服务贸易产生不必要的限制，从而提升我国数据出境安全评估活动与RCEP服务贸易章一般例外条款的一致性。

最后，尽快填补《个人信息保护法》对境外个人信息处理者违反第53条义务的行为缺乏处罚规定的漏洞，并细化该条设定的义务。该法有关行政处罚的规定集中在第66条，但该条仅适用于“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务”的情形。严格来说，第53条并非直接针对处理个人信息的行为，其设定的义务本身也并非个人信息保护义务，而是与之有关的义务，因此违反该条义务的行为不在第66条适用范围之内。对于义务性法律规范，制裁是确保其得到遵守与执行的重要保障。欧盟GDPR第83.4条就明确规定了针对违反第27条之数据控制者和处理者的罚款标准。依此规定，荷兰数据保护局率先对欧盟境外的一家未在欧盟境内指定代表的网站—Locate family.com开出了52.5万欧元的罚单，并责令其于2021年3月18日之前指定代表，否则在此期限之后每两周须缴纳2万欧元罚款直至12万欧元为止。除了罚款之外，我国也可以考虑采取限制或者禁止向违反《个人信息保护法》第53条义务的境外个人信息处理者提供个人信息的措施，如屏蔽网站。从可行性和实效来看，此项措施甚至优于罚款。总之，我国应充分利用行政处罚的惩戒和预防功能，确保第53条义务能够得到切实履行。在未来的执法过程中，我国相关部门应恪守责罚相当原则，避免基于国别的歧视或其他任意、武断的不公平行为，以提升执法行动与RCEP服务贸易章一般例外条款的一致性。此外，在进行上述立法调适时，可一并对《个人信息保护法》第53条设定的义务进行细化，如进一步明确专门机构和指定代表的资质及所在地，以提升法律的透明度。

（二）未来RCEP服务贸易负面清单对数据跨境流动规制措施的关照

依据RCEP第8.12条的规定，我国应在2025年1月1日之前提交服务与投资负面清单草案，并于2028年1月1日之前正式完成从正面清单到负面清单的转变。鉴于我国数据跨境流动规制措施与RCEP服务贸易核心义务存在或多或少的冲突，为避免在援引例外条款时可能存在的争议和不确定性，我国在未来RCEP服务贸易负面清单的拟定和谈判过程中应为此类措施争取足够的政策空间，注重国家安全、公共利益、个人信息权益与贸易自由化目标之间的平衡。

首先，应在负面清单解释性说明中明确服务部门分类依据。在已采用负面清单对RCEP服务贸易核心义务作出承诺的7个缔约方中，日本和印度尼西亚引入了本国的产业分类体系。因此，我国也可以考虑采用我国《国民经济行业分类》（GB/T 4754-2017）和《数字经济及其核心产业统计分类（2021）》。后者以前者为基础，对国民经济行业分类中符合数字经济产业特征和以提供数字产品（货物或服务）为目的的相关行业类别活动进行了再分类。两者的综合运用有助于准确界定数据跨境流动规制措施所影响之经济活动的服务部门归属。即使无法就此种安排达成谈判合意，我国也可以争取在负面清单解释性说明中将上述两份文件列为解释我国负面清单的参考依据。对于未来可能出现的的确无法被归入现有分类系统的新服务，我国可以提出保留，待与其他缔约方谈判后再行纳入负面清单。此外，对通过网络交付的服务，应明确界定其服务提供模式，从而精准划定负面清单适用于影响此类服务之数据跨境流动规制措施的边界。

其次，应在负面清单中全面、准确界定不符措施所违反的条款，如市场准入条款、当地存在条款和国民待遇条款。虽然很多情况下上述条款的适用会存在竞合，但它们创设的是彼此独立的义务，违反其中一项的措施并非必然违反其他两项。例如，在准入后阶段适用于其他缔约方的服务或服务提供者但不适用于服务进口国同类服务或服务提供者的限制性措施，就只违反国民待遇条款，不会违反市场准入条款。因此，若在未来谈判中能将我国《个人信息保护法》第53条作为不符措施纳入负面清单，应标明其同时违反市场准入、当地存在和国民待遇条款。

最后，要注重负面清单的灵活性、包容性和前瞻性。对于不符措施的描述，可适度模糊化、概括化。考虑到数据跨境流动规制措施对服务贸易的广泛影响，应争取将其列为水平限制措施适用于所有部门，从而避免我国在服务贸易领域采取此类措施可能引发的合规风险。此外，即使是已经以负面清单作出服务贸易章核心义务承诺的RCEP缔约方，在现存不符措施之外也列出了更多的未来可能采取的新的或更具有限制性的不符措施，以尽可能为未来保留足够规制空间。这也契合了新兴国际经贸规则的包容性和灵活性特征。而印度尼西亚就在RCEP附件三清单B中纳入了适用于所有行业的数据跨境流动规制措施。我国在未来负面清单谈判过程中也应充分利用RCEP附件三清单B，为未来数据跨境流动规制措施的发展演变留足政策空间。例如，针对所有部门和四项核心义务条款，提出保留将来基于正当公共政策目标采取任何数据跨境流动规制措施的权利。

数据作为生产要素在服务贸易领域的广泛应用促成了数据跨境流动规制措施对服务贸易的影响，进而催生了此类措施与RCEP服务贸易规则的相符性问题。虽然RCEP也包含数据跨境流动规则，但就影响服务贸易的数据跨境流动规制措施而言，RCEP服务贸易规则的适用优先于数据跨境流动规则。RCEP服务贸易核心义务均以缔约方具体承诺为基础，而后者又因服务部门和服务提供模式而异，故确定我国数据跨境流动规制措施与RCEP服务贸易规则的相符性需要先行确定此类措施所影响的服务部门和服务提供模式。其中的难点则在于此类措施所影响的通过网络交付的服务在服务部门和服务提供模式上的归属。在我国已承诺承担义务的情况下，我国数据跨境流动规制措施有可能违反RCEP服务贸易章核心条款，其是否符合RCEP服务贸易章一般例外条款的关键在于执法实践是否符合该条款前言要求。此外，我国针对关键信息基础设施运营者开展的数据出境安全评估活动符合RCEP安全例外条款。为降低我国数据跨境流动规制措施在RCEP服务贸易规则框架下的合规性风险，我国应从国内和国际两个层面采取有效应对措施。客观上，我国在这方面的探索也有利于营商环境的进一步优化，为我国对接更高水平的国际经贸规则和稳步推进制度型开放积累有益经验，并在国际层面就如何更好地平衡发展与安全目标作出表率。

来源：《当代法学》2025年第2期（第147-160页）。（责任编辑：姚莹）