原標題：國際條約中的數據跨境流動規則概覽

來源：人民法院報

原標題：國際條約中的數據跨境流動規則概覽

來源：人民法院報

□ 李昶郴 劉一鳴

截至目前，世界范圍內尚未形成全面統一的數據跨境流動治理規則體系，但涉及數據跨境流動規則的國際、區域及雙邊貿易協定已達340余項，其中區域及雙邊貿易協定所占數量巨大，成為該領域的重要組成部分，現對幾份具有較大影響的協定進行解讀，以期參考。

《全面與進步跨太平洋伙伴關系協定》的原則

《全面與進步跨太平洋伙伴關系協定》（以下簡稱《跨太平洋協定》）自2018年12月30日生效，目前共有澳大利亞、文萊、加拿大、智利、日本、馬來西亞、墨西哥、新西蘭、秘魯、新加坡、英國和越南12個成員國。作為新一代的自由貿易協定，該協定旨在適應并促進數字經濟時代的發展，形成了以數據跨境自由流動與禁止數據本地化為基本原則的規則體系。作為其他貿易協定的重要參考，《跨太平洋協定》對這兩大議題的規定對其他協定的制定具有重要意義。

數據跨境自由流動這一原則主要體現在該協定第14.11條、第29.1條、第29.2條之中。第14.11條以“原則﹢例外”的形式，在第2款規定了締約方對允許用于商業貿易的數據進行跨境流動負有強制性義務這一原則；在第1款規定了協定尊重締約方的監管自主權，允許締約方的規制行為這一例外；在第3款規定了合法公共政策例外，允許締約方在特定條件下突破原則，以維護本國合法公共政策目標，但該措施應滿足不以構成任意不合理歧視、對貿易構成變相限制及不超出所需目標限度的要求。

除此之外，該協定第29章例外和總則中關于一般例外與安全例外的條款同樣適用于數據跨境流動。第29.1條一般例外與第14.11條第3款的內容基本一致，第29.2條安全例外賦予締約方基于維護國際和平安全或國家基本安全利益的決策權。但協定對公共政策目標、基本安全利益的具體內容規定較為籠統，沒有像《關稅及貿易總協定》《服務貿易總協定》一樣明確列舉適用情形，存在著引發例外條款濫用的風險。

禁止數據本地化這一原則主要體現在第14.13條以及第29.1條、第29.2條中。第14.13條同樣以“原則﹢例外”的形式，在第2款規定締約方不得強制要求將計算設施本地化作為開展業務的條件，但同樣在第1款、第3款規定了基于監管要求和合法公共政策的例外。第29.1條、第29.2條的內容與前文一致。

由此可見，《跨太平洋協定》既明確了數據跨境流動自由的基本原則，同時也為特殊情況下對數據流動進行限制預留了空間。“禁止數據本地化”條款破除了數據存儲和處理的地域限制，促進數據在更廣闊范圍內的自由流動；例外條款則為締約方基于公共政策、國家基本安全利益等合理理由對數據跨境流動采取必要措施提供了合法性依據。各條款彼此協調，組成了完整的數據跨境流動規則。據此，各締約方在一般情形下應當準許數據的跨境流動并不得采取數據本地化手段，但也應允許其基于自身監管要求或合法公共政策目標、基本安全利益等進行適當的例外調整。

《數字經濟伙伴關系協定》的內容

在世貿組織數字貿易談判進展緩慢、全球數字貿易治理體系缺失的背景下，雙邊或多邊數字貿易協定成為當前數字貿易治理的主要手段。《數字經濟伙伴關系協定》（以下簡稱《數經協定》）作為全球首份關于數字經濟合作的國際協定，便是在這樣的背景下誕生的。

該協定由新加坡、智利和新西蘭三國于2020年6月12日簽署，2024年5月3日，韓國正式加入，成為該協定第四個成員國。

新加坡、新西蘭和智利是該協定的締約國，也是《跨太平洋協定》成員國，《數經協定》深度借鑒了《跨太平洋協定》，承繼了許多共同的數字經濟議題，且在相當部分議題上，締約方直接重申了其在《跨太平洋協定》項下所作的承諾。兩者在數據跨境自由流動、禁止將數據本地化作為展業條件，將不以歧視或對貿易造成變相限制的方式實施、不施加超出實現目標所需限度限制作為合法公共政策例外條款等方面是完全一致的，《數經協定》的第4.3條、第4.4條、第15.1條以及第15.2條分別對應《跨太平洋協定》的第14.11條、第14.13條、第29.1條以及第29.2條。

不過，《數經協定》在《跨太平洋協定》個人信息保護條款的基礎上進行了更為細致的規定，增設了個人信息保護的基本原則與數據保護可信任標志，以進一步探索數據跨境流動與個人信息保護并重的有效機制。此外，《數經協定》對數據監管沙盒、數據共享及政府數據開放進行規定，鼓勵締約方充分發揮數據價值，創造商業機會。協定還以模塊化的方式賦予締約方決定是否接受數據跨境流動相關規則的權利。由此可見，《數經協定》試圖通過創新治理路徑，構建更為安全可控的數據流動框架，在保障安全的前提下促進數據的流動與共享。

《區域全面經濟伙伴關系協定》的特點

在數字貿易成為經濟全球化的重要路徑的大環境下，面對數字貿易規則領域的激烈競爭，《區域全面經濟伙伴關系協定》（以下簡稱《區域協定》），首次就數據跨境流動、數據存儲等議題作出承諾。該協定由東盟十國于2012年發起，有日本、韓國、澳大利亞和新西蘭等15個國家參與，并于2022年1月1日正式生效。與《數經協定》相類似，《區域協定》基本吸收了《跨太平洋協定》數據跨境自由流動的核心思想，以數據跨境自由流動為原則，認同締約方的監管行為，并設有合法公共政策例外、安全例外條款，以及禁止數據本地化條款。

不同的是，由于《區域協定》各締約方發展水平差異較大，協定對數據跨境流動條款設置了較低的標準，呈現出較強的包容性與較弱的強制性特征。主要表現在以下四點：1.適用“合法公共政策”例外僅需滿足“不以歧視或對貿易造成變相限制的方式實施”這一條件，無目標限度限制；2.適用“公共政策”例外的必要性由實施政策的締約方自主決定；3.安全例外條款采用了“締約方認為”的語言表達；4.本章相關爭議并不受爭端解決機制的管轄，甚至緬甸、老撾和柬埔寨在特定條款上還有五年過渡期。

與之相比，《跨太平洋協定》的例外條款的適用更為有限。首先，協定的“合法公共政策”例外中并未說明必要性的判斷標準。其次，雖然其安全例外條款采用了相類似的表達，但并不意味著締約方擁有同樣的自主決定權。

因此，相較于其他協定，《區域協定》更加注重數據“安全流動”，這種設計兼顧了發展中成員在數字基礎設施、數據監管能力方面的差距，更加尊重國家數據主權，也體現出在高度不確定的數字時代下，以“包容性”為導向的區域規則構建路徑。綜上，以數據跨境自由流動的承諾強度為標尺，依據數據流動自由程度由高到低可以大致形成跨太平洋協定—數經協定—區域協定的規則譜系。

其他雙邊協定的理念

除上述頗具影響力的多邊協定，各國還選擇以更靈活、更高效的雙邊協定方式對數據的跨境流動進行治理，由于雙邊協定涉及談判和簽署的國家數量較少，因而更能體現一國的數據治理理念。

與《跨太平洋協定》《數經協定》相似，歐盟與日本、新加坡（2018年）及新西蘭（2023年）簽訂的貿易協定也確立了“以數據跨境自由流動為原則，以合法公共政策目標為例外，禁止數據本地化”的模式，不過各協定在監管要求以及個人信息保護措施上略有區別。相較于其他貿易協定，歐盟在《通用數據保護條例》的個人數據保護條款中以一般原則的形式強調對個人信息保護更高水平、高標準的要求，反映出其更加注重個人數據安全的問題。另一方面，日本與美國簽訂的《日本—美國數字貿易協定》（2019年）采取了與《跨太平洋協定》相似的規定，并刪除了關于監管要求的條款，對數據跨境自由流動的標準較高。此外，在新加坡近十年與斯里蘭卡、新西蘭、澳大利亞、英國、韓國等締結的自由貿易協定或數字經濟協定中，均有內容相似的規定，且這些規定基本上都沿用了《跨太平洋協定》的數據跨境流動規則。

數字經貿規則制定的話語權已成為當今國際競爭的重要內容。在各方主張的相互作用下，全球數據跨境流動規則大致分為三類：強調數據安全的數據主權模式、強調數據自由流動的數據自由模式和折中模式。在將來，如何在尊重各國主權、保障數據安全的基礎上，促進數據有序流動、實現各國互利共贏，仍是世界各國要不斷探索的共同課題。

（作者單位：山東大學法學院）

想爆料？請登錄《陽光連線》（ https://minsheng.iqilu.com/）、撥打新聞熱線0531-66661234或96678，或登錄齊魯網官方微博（@齊魯網）提供新聞線索。齊魯網廣告熱線0531-81695052，誠邀合作伙伴。