-
一、 数字贸易中的中国立场与 DEPA 思路
-
(一) 国际数字贸易理论与中国定位
-
当下,在争夺国际数字市场份额的过程中,各大数字经济体基于不同的数字贸易理念建立起不同的数据跨境流动规则。具体而言,面对数据跨境流动安全性问题,各国秉持的不同立场集中表现为对数据自由流动与本土数据安全二者关系的倾向差异。主流观点在于,数据跨境流动在商事领域巨大的价值创造性和根深蒂固的不可替代性,使得任何对数据跨境流动安全性问题的讨论都须以数据流动自由为基调,以数据安全流动为底线,追求对数据安全风险的界定严谨的防控。因此,大多数国家的数据跨境管理机构以数据自由流动为基本原则,以数据安全流动为限制性原则(许可, 2021),通过国际贸易领域立法对本土数据安全问题进行规制。
-
目前,全球数字贸易领域呈现出三大数据跨境流动模式。个人数据权利体系完善的欧盟通过GDPR机制形成严格的权利保护标准体系,其数据跨境流动体现出“严治理,促自由”的立法特征(Ohm,2012)。拥有庞大数字市场规模与技术优势的美国则更倾向鼓励数据自由流动,减少数据行政干预,体现出“宽松保护”的立法特征 (阙天舒和王子玥,2022)。区别于二者,中国基于统筹发展与安全的总体国家安全观,秉承着“促进数据安全、自由流动”的数据跨境流动理念,兼顾数据自由流动与本土数据安全(梅傲和侯之帅,2022)。我国数字贸易治理规则体系更多是在数据确权、数据要素收益分配、数据安全合规监管和数据安全治理等制度领域进行宏观把控。政府针对数据跨境流动的政策表述重心在于规则建构与制度治理,强调“构建数据安全合规有序跨境流通机制”。①在我国的对外数字贸易实践中,我国对数据传输规则的建构也呈现比较温和的合作态度。RCEP框架下,我国强调在数字贸易中重视与尊重各主权国家的互联网及数据主权,取得各成员国的广泛共识与合作意愿(周念利和于美月,2022),促进数据自由流动与维护本土数据安全并重是我国数据跨境流动领域未来的基调。
-
(二) 我国纳入 DEPA 框架的适恰性
-
随着全球数字贸易不断深化,各国数字贸易理念与数据跨境流动规则的冲突趋势加强,数字领域的后发国家亟需打破规则垄断与市场份额现状。在此背景下,《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,简称DEPA)的框架设计为包括中国在内的众多发展中国家与新兴数字经济体提供了新的数字贸易治理思路。
-
虽然我国主导参与RCEP规则的制定,但由于中国、澳大利亚、东盟十国等成员国在数字贸易规模、数据安全立法水平与信息基础设施水平等方面差异明显,RCEP数字贸易的规模化仍具有一定局限性。同样作为我国申请加入的自由贸易协定,我国基于CPTPP机制的对外数字贸易面临更多阻碍:一方面,作为曾由美国主导的数字贸易规则,CPTPP从规则理念设计到成员资格设置都受到美国及其盟友基于地缘政治因素的明显干预(李巍和罗仪馥,2019);另一方面,CPTPP承继美式数字贸易规则的基本特征,强调高水平的数据自由跨境流动。相较于RCEP与DEPA,CPTPP对“一般例外”“安全例外”以及针对金融数据的“审慎例外”条款的设立都更为谨慎。另言之, CPTPP对缔约国的自身诉求与数据流动管制空间都进行了更高水平的限制(陈寰琦和陆锐盈,2022)。相较RCEP与DEPA,CPTPP与我国的数据跨境流动理念差异较大,我国经由CPTPP数据传输机制的对外数字贸易将面临更大的合规挑战与安全风险。
-
对比以上自由贸易协定,DEPA在对数据安全与自由流动关系的处理上更为衡平。首先,制度理念层面,DEPA对数字贸易治理的框架设计更强调合作性与包容性。DEPA将数字议题模块化处理,成员国之间可以对全部或部分模块加以灵活选择,通过对DEPA条款的“拼接式”适用,成员国可以就数字贸易与安全治理的具体领域进行针对性谈判(Cockfield,2002),这有利于夯实成员国数字贸易共识,促进双边及多边贸易往来意愿,真正落实数字贸易治理相关制度。
-
其次,数字安全层面,DEPA的数据安全保护模式更为稳定可靠。传统数字贸易协定对数据跨境流动的规制集中表现为从数据储存位置与数据监管措施两个角度进行直接规定,而DEPA则可谓另辟蹊径。一方面,DEPA第4.2条通过规定成员国国内个人信息法关键内容、设立数据保护可信任标志、促进他国监管结果的承认与执行机制,意图加强个人信息保护力度,客观上有助于提高DEPA对数据跨境流动安全性问题的处理力度。另一方面,DEPA也以第五章专章介绍了网络安全的合作理念与基本路径,对数据安全的重视程度与要求水平更符合包括我国在内的众多新兴数字经济体的数字期望。其中值得注意的是,DEPA在个人信息保护条款中的第4.2.2条、第4.2.3 条和第4.2.6条三次谈到在成员国之间建立个人信息保护共同框架,以各国法律体系统一化和促进各国协同合作的方式推动个人信息跨境保护。此外,DEPA网络安全专款的第5.1.2(a)条和第5.2.3条也力图构建网络安全合作机制,对成员国就数据安全方面的承诺水平提出一定要求。相较于对数据跨境流动加以强制性规定的立法技术, DEPA并不直接限制数据自由流动,而是通过专章专款提供个人信息保护合作机制与网络安全合作理念的实现方式,在条款设置上对数据跨境流动进行软性规制,在保护数据自由跨境流动的同时,也使DEPA在实际执行中发挥对个人信息隐私与成员国网络安全的积极保护作用。由此观之,DEPA对数据自由流动与数据安全二者关系的把握更为巧妙,可以有效避免成员国面对DEPA数据跨境流动规则处于“全进全退”的尴尬境地,为持有不同数字贸易理念的成员国提供了更为广泛的谈判空间与更具可持续发展性的数据跨境传输途径。
-
最后,数字贸易治理层面,DEPA的制度体系更为完善。作为针对数字贸易的自由贸易协定,DEPA就中小企业合作和数据监管沙盒等创新性议题进行讨论,为成员国提供了求同存异、互信合作的国际平台,体现出开放性、包容性与前瞻性兼备的良好特征。可以说,我国数字贸易规则对DEPA框架的嵌入将更具融洽性,有利于我国现有数据跨境流动规则在国际数字贸易体系中的“软着陆”。
-
二、 《数据出境安全评估办法》与 DEPA 机制的衔接性问题
-
(一) 数据跨境流动限制性措施方面
-
DEPA对数据跨境流动的限制性规定主要体现在两个方面。一方面,DEPA第 4.3条与第4.4条要求各国“应当”(shall)促进数据自由流动,同时也“可以” (may)基于合法公共政策目标采取监管措施或要求数据本地化储存。成员国出于合法公共政策目标采取的限制性措施不得构成任意或不合理歧视,不得对数字贸易进行变相限制,不得采取超过实现目标所需限度,即需要符合非歧视原则、非变相限制原则与比例原则。另一方面,DEPA第15.2条规定,成员国能够基于自身的“基本安全利益”对数据跨境流动采取必要的限制性措施。结合DEPA全文来看,基于自身基本安全利益的限制性措施应当包括但不限于数据跨境流动监管措施与数据本地化储存要求。
-
1 . 合法公共政策目标的认定
-
DEPA对合法公共政策目标并没有进行详细定义,仅通过三条原则性要求进行模糊化限缩,实际上将合法公共政策目标的解释权留给了各成员国。由于成员国能够实施数据跨境流动监管与数据本地化的前提之一就是符合合法公共政策目标,因此我国在DEPA框架开展对外数字贸易的过程中,需要注重对数据出境安全评估机制的合理性与合法性解释与政策宣传。从DEPA合规的角度对我国数据跨境流动监管措施进行基于非歧视原则、非变相限制原则与比例原则的针对性解释,构成以《数据出境安全评估办法》(简称《办法》)为代表的我国数据跨境流动规则未来发展方向的重点讨论对象(李巍和魏姗,2022)。
-
结合《办法》第一条来看,数据出境安全评估机制服务于“保护个人信息权益,维护国家安全和社会公共利益”的立法目的。从条文表述上,《办法》符合加强个人信息保护与维护国家网络安全的数字贸易全球共识,各国数字贸易治理实践普遍强调重视个人数据权利与维护国家安全稳定。从DEPA理念来看,DEPA在第四章和第五章大篇幅提及个人信息保护与网络安全合作,体现出兼顾数据自由流动与数据安全的立法倾向,为我国数据出境安全评估机制的合理性与合法性提供了有利的制度环境与解释空间。
-
然而,由于我国数据出境安全评估机制目前存在的制度缺憾,《办法》实施细节与DEPA对数据跨境流动限制措施提出的比例原则之间的衔接仍不够流畅。以企业自评估环节为例,《办法》第五条规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估。而作为其上位法,《个人信息保护法》第55条早已规定,向境外提供个人信息的数据处理者应当事前进行个人信息保护影响评估。同为数据处理者进行数据跨境传输所需材料,《办法》所要求提交的数据出境风险自评估报告在标准要求上全面覆盖并超越《个人信息保护法》所要求提供的个人信息保护影响评估:一方面导致《办法》企业自评估环节的合理性存疑,我国数据跨境流动监管措施存在环节重复冗杂之困境;另一方面也使得企业在我国境内进行数据跨境传输的难度上升,进而可能导致企业的合规成本上升。
-
2 . 基本安全利益的认定
-
DEPA与RCEP类似,在“合法公共政策目标”例外之外,开辟了“基本安全利益”的例外(洪延青,2021)。《办法》对我国数据跨境流动所产生的约束力与 DEPA基本安全利益例外的二者比较也十分必要。相较于对合法公共政策目标的范围界定,DEPA对成员国自身基本安全利益的规定过分简单,并未在第15.2条进行任何限缩性规定。在DEPA本身对基本安全利益指代不明的情形下,国际实践提供了一定参考价值。在俄罗斯过境措施案中,专家组指出基本安全利益区别于一般性的“安全利益”,其指代的利益应当与国家典型职能紧密相关,即保护其领土和人民免受外来威胁,保护境内法治与公共秩序(赵海乐,2021)。同时,一国对基本安全利益的援引需要符合真诚善意原则,基于基本安全利益采取的限制性措施也应当构成对数字贸易的最小限制。
-
在个人信息方面,《办法》第四条第(二)项对个人信息跨境传输的规制实际上采取了主体限定的角度,要求“关键信息基础设施运营者”和“处理100万人以上个人信息的数据处理者”的数据跨境传输行为一律接受数据出境安全评估,对个人信息跨境流动的规制体现出“先数据主体规模,后数据出境规模”的特征。虽然在审查标准与评估内容上较为详尽,能够避免数据出境安全评估机制因“一刀切”而失公平,但由于其评估程序的启动门槛设置较低,或将导致相当一部分本不具有可阻却事由的数据处理者被预先纳入企业风险自评估环节,造成个人信息跨境传输效率受阻,影响数字贸易业务的对外开展。制度设计视角下,基于安全目的的监管型制度往往通过对适用情形进行泛化拟制来扩大实际管辖范围,呈现出加强管理的制度理念。然而,数字贸易中的自由流动理念并不遑让于数据安全理念,DEPA实际上也鼓励了较高水平的数据自由流动与数据贸易治理。对基本安全利益的定义,首先应当置于最大限度促进数据流动的语境下,由此提出数字规模扩大与数据安全保护二者的平衡发展。这实际上需要数据出境安全评估机制在主体资质和评估标准等方面对个人信息的主体资质、出境数量、出境质量和出境用途等角度实现全面兼顾与精准把握。《办法》第四条第(二)项所采取的这种主体类适用条件限制了安全评估的豁免范围,体现出明显的风险防范倾向。虽然从目的上符合对我国国家安全利益的考量,但是数据出境安全评估机制的管辖标准颗粒度仍具有一定的细化空间(梅傲和李梓鸿,2022)。
-
此外,《办法》第四条第(三)项规定,自上年1月1日累计向境外提供10万人个人信息的数据处理者也受到数据出境安全评估的管辖。可见,《办法》基于主体经营规模与数据控制规模对个人信息数据处理者,尤其是大型数据处理者进行管理,而没有针对其重要数据、个人信息、一般数据等不同类型的数据跨境传输活动按类别予以区分管辖。针对关键基础设施位置和军事数据等重要数据的管控尚可理解,但由于个人信息与一般数据的范围广泛、用途不一,如何通过善意解释原则将《办法》对个人信息与其他一般数据的限制性措施与国家主权、公共秩序等基本安全利益的构成要素联系起来,成为我国数据出境安全评估机制面临DEPA第15.2条的检视所必须处理的问题。同时,针对各成员国围绕基本安全利益存在的立场冲突,我国需要在基于 DEPA框架开展的多边谈判阶段中扩大各方对数据安全、网络安全和国家安全利益等相关概念的共识面,明确DEPA安全例外的认定标准并形成专门条款加以规制。
-
(二) 个人信息保护措施方面
-
DEPA框架下,各成员国对个人信息保护的承诺水平较高。首先,DEPA通过第 4.2.3条对成员国国内个人信息保护法律的基本内容提出了较为具体详细的要求,规定各成员国国内法应涵括个人信息的收集限制、数据质量、用途说明、使用限制、安全保障、透明度、个人参与以及数据责任等内容。其次,DEPA通过第4.2.6条与4.2.7条提出建立监管结果相互承认机制、更广泛的国际框架、多元化的个人信息传输途径。最后,DEPA通过第4.2.6(c)条、第4.2.8条至第4.2.10条提出建立数据保护可信任标志及其国际互认制度。
-
其一,DEPA在个人信息保护领域的思路可以概括为“重国际合作,轻国内监管”,《办法》则呈现出“重风险防范,轻事后监管”的特点。一方面,DEPA个人信息保护机制的实现基础在于达成国际共识。DEPA对各成员国国内的个人信息保护法律内容统一进行列举式规定,试图提高各国个人信息保护法律规范的同质化水平,推动各国达成规则共识,进而完善跨境流动的个人信息所处的境外法治环境。另一方面,数据保护可信任标志的落地实施将构造出“以空间换时间”的监管格局,使得 DEPA个人信息保护政策重心落在国际范畴,国家监管介入的时间节点向事后阶段推移。DEPA通过强调国际合作,旨在实现个人信息海外安全风险的境外化解,而非更加注重在个人信息未出境阶段的本国监管。相比之下,《办法》作为数据出境安全评估机制的基本依据,立法初衷即强化事先监管而非反之。就事后监管方面,也仅仅在第十四条提出重大情形变化后的重新评估,国际合作更是没有提及。
-
其二,DEPA以高水平的个人信息保护机制建设缓和了数据跨境流动与数据安全治理的矛盾关系,而《办法》则基于我国“数据安全、自由流动”理念,更为重视本土数据安全方面。DEPA第4.2.10条即表明,数据保护可信任标志应当被视为在“便利跨境信息传输的同时保护个人信息”的有效机制,更符合“促自由,严治理”的特征。同时不难看出,DEPA加强各成员国个人信息保护法律之间的“兼容性”和“交互操作性”,提高各国数据管理机构之间的交互合作与数据信任,对各国数据跨境流动的立法技术水平与跨境执法中的具体操作提出了较高水位的要求。
-
反观《办法》,以第八条第(二)项为例,一是要求重点评估境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响,二是重点评估境外接收方的数据保护水平是否符合中华人民共和国法律、行政法规的规定和强制性国家标准的要求。通过扩展中国数据安全治理标准的适用范围,《办法》对我国出境数据的所处法域提出了较为严格的审查标准与强制性要求。具体来说,我国网信部门可以基于《办法》规定对数据接收方所在国的数字出境政策、数字司法协助条约乃至国内政治生态与国际地位进行安全评估,体现出“重安全、严治理”的特征。同时,作为我国个人信息出境三大途径之一,《办法》针对数据跨境传输活动实施的是“一事一议”式的行政审查,对出境数据审查豁免的规定较为严苛。无论是从立法理念还是制度设置,《办法》都体现出注重数据安全治理的基调。
-
究其根本,正是由于《办法》与DEPA所采取的个人信息保护机制各不相同,导致二者在数据跨境流动与数据安全治理关系的把握重点存在差异。虽然个人信息保护不可避免地影响数据跨境流动的自由度与流畅度,但是DEPA通过使用数据保护可信任标志等方法构建数据跨境流动的“绿色通道”,减少了个人信息保护所制造的行政干预(陈伟光和钟列炀,2022)。需要明确的是,《办法》与DEPA分别在国内事前风险防范与国际事后合作监管的不同阶段建立起相应的个人信息保护机制,实属数据安全监管的一体两面,任何“二选一”的制度抉择都不具备现实可行性。面对个人信息保护对数据自由流动的挑战,或许应当将视线置于《办法》之外,确立新的数据出境监管规范以回应DEPA个人信息保护机制的呼吁。
-
(三) 数字贸易治理新兴领域方面
-
数字贸易治理方面,DEPA主要提出了数据保护可信任标志、数据监管沙盒 (data sandboxes)、人工智能跨境使用框架、政府采购市场和中小企业合作等新兴议题。其中,数据保护可信任标志与数据监管沙盒对《办法》实际执行与完善发展的影响最为显著。
-
一方面,DEPA提倡成员国对具有一定数据保护资质的企业授予数据保护可信任标志(Data Protection Trustmark,简称DPTM),并鼓励各成员国之间直接相互承认基于DEPA框架产生的DPTM,力求形成DEPA数字贸易“白名单”,搭建数据跨境流动之“绿色通道”,减少对企业数据跨境传输活动的行政干预,从而提高数据流通效率,发挥DEPA对数字经贸的积极作用。另一方面,DEPA第9.4条提倡搭建数据监管沙盒。按照现有国际经验,监管沙盒模式强调一定时空条件下的无监管自由流动,通过签署政府间数据监管合作协议、企业间数据共享协议和政企间数据开放许可协议,各成员国数据跨境管理机构采取审慎包容的开放态度,以先行先试的姿态对协议范围内的数据跨境流动进行适度宽松的监管。DEPA第9.4条强调通过数据监管沙盒鼓励企业之间进行数据共享,营造包容创新的数字经营环境,实现数字驱动型创新。
-
应当预见,在DEPA促进高水平数据自由流动的语境下,DPTM的有效期更可能长于《办法》第十四条下数据出境安全评估报告的两年有效期,而非相反。由于获得 DPTM认证的企业数据活动自由度更高,受到的行政审查更少,DPTM认证机制势必会成为更多企业对外贸易所选择的数据传输路径。数据监管沙盒在我国的贯彻落实效果亦不过如此。目前,数据出境安全评估机制的管辖范围涵括所有涉及数据跨境传输与处理的数字应用场景。无论我国参与DPTM互信互认机制还是加入数据监管沙盒,二者都将变更我国数据跨境流动模式。届时,我国或将形成数据出境安全评估、个人信息安全认证和个人信息出境标准合同现有三大数据出境途径与DPTM互信互认、数据监管沙盒“五管齐下”的局面,进而影响数据出境安全评估机制的实际管辖范围,造成或《办法》立法目的落空,或DEPA路径失效的零和局面。
-
面对DEPA所呈现的数字贸易治理发展新趋势,《办法》对新兴数字领域所预留的立法空间不够宽敞。在我国参与数字贸易谈判的未来实践中,需要直视《办法》对数据跨境传输的实际管辖范围收缩的可能性,数据出境安全评估机制的启动程序与审查范围也需要得到进一步细化。
-
三、 《办法》基于 DEPA 的完善方向
-
纵观全球数字治理现状,我国数据贸易治理的理念与制度亟待更新与完善。数据本土化制度已经成为中国数据治理的最显著标签,相当数量的外国研究成果都将中国视为推行数据本土化的典型代表(王玫黎和陈雨,2022)。但应当看到,《办法》旨在加强数据安全治理,推动数据安全、合规、有序的跨境流动,本意在于规范而非限制我国数据跨境流动。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》第(十一)条指出,“推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作······探索安全规范的数据跨境流动方式”。借鉴学习DEPA的数据跨境流动思路,将推动我国数据出境安全评估机制有效回应国际数字贸易治理的最新需求,最终服务于新时代探索构建多渠道、便利化的数据跨境流动监管机制的发展目标。
-
(一) 细化数据出境安全评估管辖标准颗粒度
-
透过DEPA对新兴数字议题的讨论,可以看到数字贸易发展的开放性与数字贸易治理制度的更迭性已不容小觑。面对数字贸易治理的新挑战,《办法》需要细化现有数据出境安全评估机制的管辖标准,满足高水平数字贸易对数据跨境流动自由度的高标准及高要求,为数字新兴领域预设审慎包容的立法空间。一是坚持《办法》对重要数据的管辖力度,注重对重要数据的安全保护与风险防范,维护重要数据所承载的国家安全利益。二是细化对个人信息跨境流动的管辖标准。将形式审查程序前置于数据出境安全评估的启动环节,首先区分一般个人信息与敏感个人信息的跨境传输,再针对前者采取更为开放包容的管理态度,摒弃《办法》第四条第(二)项针对一般个人信息的出境活动所采取的主体类适用条件,进一步赋予我国境内企业更多的经营自由。三是为了继续发挥《办法》对数据出境安全的风险防范作用,继续坚持“一事一议”的安全评估模式。在此基础上,进一步细化安全评估标准,增加对数据应用场景开放性、包容性的考察,增强行政决策的精确性与比例性。总之,对重要数据、个人信息及一般数据等不同数据类型的跨境传输活动规定以不同程度的管辖要件,不仅有助于建立跨境数据分类分级管理机制,真正落实对数据开发利用和数据安全保护的统筹兼顾,还有利于避免国内数据安全性规范过度限制我国对外数字贸易发展空间,为我国的数字贸易往来营造良好的谈判空间,争取数据监管沙盒和数据保护可信任标志等高水平数字贸易治理机制在我国的有效落实。
-
(二) 实现数据出境安全评估机制的全过程监管
-
作为数据安全性规范,《办法》对我国数字贸易领域存在的数据跨境流动活动提供了一系列义务性规范与强制性出境标准。出于衔接DEPA数据跨境流动规则的目的,数据出境安全评估机制可以注重提高立法规制的软性约束力,更多地采纳事中或事后监管措施,扩大《办法》与DEPA在数据保护可信任标志及数据监管沙盒等方面进行规则对接的尝试空间。
-
一方面,参与DEPA数字贸易治理机制需要转变已有监管思路。无论是数据保护可信任标志还是数据监管沙盒,都允许一定范围内的企业在涉自身及数据收集与处理的日常经营活动享有一定的监管豁免权,从事更为自由的数据跨境传输行为。其中,数据监管沙盒更是强调事后监管、持续监督的监管模式,形成“基于可控范围内的数据跨境流动”的规制思路。另一方面,《办法》第十四条所呈现的数据跨境流动监管思路值得坚持与拓展。第十四条规定数据出境安全评估结果有效期为2年,出现重大情形变化的,数据处理者重新申报评估,这体现出《办法》对数据出境安全进行持续跟踪与动态观察的立法思路。进一步放大该思路,若能形成对企业日常数据处理活动的定期反馈与调查,以《办法》第十四条为蓝本建立起更为完善的数据出境安全周期性评估机制与重新评估机制,则可以形成事前评估、事中反馈和事后跟踪的数据跨境流动监管体系,反而可以推动我国数据的高水平有序流动。
-
(三) 构建数字贸易治理司法协助机制
-
《办法》已成为我国数据跨境流动领域最主要的法律依据,但《办法》注重事前监管与风险防范,对于数据出境全过程的事中事后阶段仍存在监管空白,反而束缚我国数字贸易发展的脚步。而国内其他数据安全性规范尚不完善,我国个人信息出境安全认证与个人信息出境标准合同则尚未形成完整成熟的法律依据,相关规范性文件仍处于征求意见稿阶段。单纯依靠国内数据治理规范的有序建立还不足以灵活应对国际数字贸易治理的发展趋势,也不足以迅速弥补对我国出境数据的域外监管力度。因此,积极参与现有国际合作机制将有利于我国加强对数据跨境流动的监管政策水平与实际保护力度,从国际国内两个层面提出数字贸易治理的因应之策。
-
一方面,我国应当依托DEPA联合委员会和联络点,积极参与DEPA争端解决机制的多边谈判,基于DEPA第14章附件要点对数字贸易调停程序与仲裁程序予以详细讨论,维护数字贸易纠纷解决的专业性、效率性、保密性与便捷性,推动数字贸易纠纷解决程序的规范化、标准化。同时,推动调停结果与仲裁裁决的承认与执行制度,实现我国数字贸易利益的实质解决与我国数据海外安全风险的有效化解。另一方面,我国应当重视双边司法互助协定(Mutual Legal Assistance Treaties,简称MLATs) 对保障我国数据安全的实际作用。数据出境安全评估机制的工作重点在于风险评估,一旦数据面临安全风险,《办法》仅能对我国出境数据的安全状况进行观察定性而无法采取解除风险的实质性措施。面临现实的数据安全事件,MLATs则可以有效配合《办法》加强数据安全治理立法目的,为我国数据跨境流动规则配套建设涉外数据司法执行体系,提供证据送达及文件传输等具备实际可操作性的官方途径,从而解决我国数据境外监管失真的窘境。
-
四、 结语
-
制度设计上,DEPA构造出高水平的个人信息保护合作机制与创新性的数字贸易治理机制,并将二者嵌入数据跨境流动规则体系,既兼顾与缓和数据自由流动与数据安全治理的对立关系,又探讨与预设新兴领域的数字贸易治理规则。制度理念上, DEPA强调数据自由跨境流动的同时注重个人信息保护,从而形成基于安全可控范围内的数据自由跨境流动体系。微观层面上,面对DEPA的合规挑战,《办法》一方面需要重新调整评估适用范围、细化评估标准颗粒度,另一方面需要基于第十四条丰富事后监管手段与监管内容,兼顾数据出境的事前评估与事后跟踪。宏观层面上,我国需要基于DEPA经验探索出符合我国数据跨境流动理念的数据出境安全治理标准与数据跨境流动法律体系,建立起符合我国利益的数字贸易规则体系。
-
① 参见《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》第11条。
-
参考文献
-
[1] 陈寰琦,陆锐盈.DEPA数据安全规则解析及对中国的启示——基于和CPTPP/USMCA/RCEP的比对[J].长安大学学报(社会科学版),2022(2):22-31.
-
[2] 陈伟光,钟列炀.全球数字经济治理:要素构成、机制分析与难点突破[J].国际经济评论,2022(2):60-87.
-
[3] 洪延青.推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开[J].中国法律评论,2021(2):30-42.
-
[4] 李巍,罗仪馥.从规则到秩序——国际制度竞争的逻辑[J].世界经济与政治,2019(4):28-57.
-
[5] 李鑫,魏姗.数字贸易便利化发展的国际趋势和中国实践[J].经济学家,2022(8):77-85.
-
[6] 梅傲,侯之帅.总体国家安全观视域下企业跨境数据的合规治理[J].江苏社会科学,2022(6):169-176.
-
[7] 梅傲,李梓鸿.总体国家安全观下的企业数据安全研究[J].中国刑警学院学报,2022(4):110-117.
-
[8] 阙天舒,王子玥.数字经济时代的全球数据安全治理与中国策略[J].国际安全研究,2022(1):130-154.
-
[9] 王玫黎,陈雨.中国数据跨境流动规则与CPTPP的对接研究[J].国际贸易,2022(4):20-29.
-
[10] 许可.自由与安全:数据跨境流动的中国方案[J].环球法律评论,2021(1):22-37.
-
[11] 赵海乐.RCEP争端解决机制对数据跨境流动问题的适用与中国因应[J].武大国际法评论,2021(6):39-55.
-
[12] 周念利,于美月.中国应如何对接DEPA——基于DEPA与RCEP对比的视角[J].理论学刊,2022(2):55-64.
-
[13] Cockfield,A.J.,“The Law and Economics of Digital Taxation:Challenges to Traditional Tax Laws and Principles”,Bulletin for International Fiscal Documentation,2002(12):606-619.
-
[14] Ohm,P.,“Broken Promises of Privacy:Responding to the Surprising Failure of Anonymization”,Social Science Electronic Publishing,2012,57(6):1701-1777.
-
摘要
《数据出境安全评估办法》建立了以安全评估为主要手段的数据出境管理机制,成为我国数据治理的最新标准。继 RCEP 之后,DEPA 的出现为我国深度融入国际数字市场提供了崭新的理念依据与路径选择。未来我国顺利加入 DEPA 后,该《办法》将对我国与 DEPA 其他成员国的数字贸易自由度与流畅度产生实质性影响。通过解读二者的数字贸易规则,考察该《办法》与 DEPA 在理念与制度方面的具体差异,挖掘二者数据跨境流动规则的制度衔接路径,有利于明晰我国数据跨境流动规则的发展前景,在对外数字贸易中贯彻落实我国安全与自由兼顾的数据跨境流动理念,最终在国际数字贸易治理领域中走出中国道路。
Abstract
Measures of Data Cross-border Transfer Security Assessment establishes the mechanism of cross-border data management with security assessment as its main method, being China’s latest standards on cross-border data governance. Meanwhile, the emergence of DEPA has offered China brand new theory and approach to deepen the involvement in global data market. After China’s accession to DEPA, the Measures will have significant influence on the degree of freedom and fluency of digital trade between China and other DEPA contracting parties. With interpretation of digital trade rules of the Measures and DEPA, this paper advocates to investigating specific differences in terms of philosophy and mechanism, exploring approach for effective coherence of cross-border data regulations within the Measures and DEPA. It is beneficial to straighten out the prospect of development of China’s cross-border data regulation and adhere to China’s philosophy of balancing data security and data free-flow in foreign digital trade, contributing to exploit the Chinese road in the field of international data trade governance.
关键词
《数据出境安全评估办法》 ; DEPA ; 数字贸易 ; 数据安全 ; 数据治理