■ 据商务部16日消息,中国正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)。商务部部长王文涛当日向CPTPP保存方新西兰贸易与出口增长部长奥康纳提交中国正式申请加入CPTPP的书面信函。这不是一次普通的“入群”。由于CPTPP的前身TPP(跨太平洋伙伴关系协定)曾被视为美国对付中国的工具,而特朗普后来又宣布退出TPP,故中国此次申请加入CPTPP引发了全球外交、经贸领域极大的关注。作为经贸谈判的新议题,能否接受CPTPP中的数据跨境条款一直是加入这一协议的重大考量。目前,我国正在加紧制定数据跨境安全的相关管理政策,加入CPTPP会否对现有政策进程产生影响?为此,小贝说安全特邀工信部国际经济技术合作中心副研究员徐程锦博士带来精彩分析。

念往昔,繁华竞逐。叹门外楼头,悲恨相续。

千古兴亡多少事,人们对大国兴衰、攻守易势早已司空见惯。但中美两国近几天关于一份国际协定的动态还是在国际上引起了重大反响。

9月16日,中国商务部宣布,正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)。

9月17日,美国白宫回应:总统拜登不会加入未按美国意见修改的CPTPP。

中国宣布在前,美国表态在后,此事迅速在美国国内发酵。因为这不是简单的“入群”问题,美国在其间夹杂了太多的爱恨情仇。CPTPP的前身是TPP(跨太平洋伙伴关系协定)。美国虽然不是TPP发起国,但在加入后一度成为主导国,其多项条款曾被认为意图遏制中国,旨在另外建群、孤立中国。但2017年特朗普上台一周后便宣布退出TPP,舆论哗然。日本于是乘势而上成为主导国,并将TPP更名为CPTPP,于2018年12月30日全面生效。

(图示:特朗普签署文件,宣布退出TPP)

自己精心打造的“工具”,如今不仅拱手让人,还被人反将一军,美国一些人怎能不懊恼。

因此,中国申请加入CPTPP,其产生的影响必然不限于经贸领域,国际政治意义更为深远。

也正因如此,CPTPP条款与国内政策的关系必须得到认真、全面审视。尤其值得重视的是其中的数据跨境条款。这一议题近年来热度极高,甚至一度成为中方能否加入某些国际多边经贸协定的重要考量。

CPTPP数据跨境条款何以如此重要?在全球信息化背景下,数据流动是跨境贸易的前提条件,且与国家安全密切相关。

而目前,我国正在加紧制定数据跨境安全管理政策。

2017年6月1日,《网络安全法》实施,第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

2021年9月1日,《数据安全法》实施,第31条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

2021年11月1日,《个人信息保护法》即将实施,第38条规定:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。”

在上述法律要求未出台前,讨论加入CPTPP的时机实际上并不成熟,毕竟我国需要首先建立自己的数据跨境管理政策框架,否则缺少清晰的谈判立场。那么,在这个政策框架已经确立后,就需要回答我国政策与CPTPP数据跨境条款的关系了。

显然,既然我国已经正式申请加入CPTPP,主管部门必然做过审慎研究,但我们还是要进行详细分析,并预判今后可能出现的国际博弈。

一、CPTPP关于数据跨境的条款

第14.11条 通过电子方式跨境传输信息

1. 缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求。

2. 每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。

3. 本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第2款不一致的措施,只要该措施:

(a) 不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;及

(b) 不对信息传输施加超出实现目标所需限度的限制。

二、CPTPP第14.11条第一款分析

CPTPP14.11条第一款指出,各成员可以对跨境传输电子信息有自己的规制要求。该款不涉及强制性义务,也就不涉及是否违反的问题。

我国对跨境数据流动的规制要求总体上可以概括为:

(1)极少数涉及国家安全和重大公共利益的数据须本地存储;

(2)一般情况下满足一定条件则数据可以出境,条件包括安全评估、认证或标准合同等;

(3)掌握100万人以上个人信息的企业赴国外上市须经过国家网络安全审查;

(4)如其他国家对我实施不当行为时可对该国限制数据传输或采取对等反制。

三、CPTPP第14.11条第二款分析

CPTPP14.11条第二款要求,政府应当允许跨境传输电子信息,只要该行为是为开展业务之目的。

该款属于强制性义务,是CPTPP关于跨境数据流动的核心规定。

在我国法律要求中,数据出境安全评估的前提是“因业务需要确需向境外提供”,这也正对应了第二款所说“为开展业务之目的”。根据我国规定,真正可能被禁止出境的应只有极少量核心数据。除此以外的各种对数据出境的限制,无论是安全评估、安全审查、认证或标准合同,本质上都是对跨境数据流动设置了一定条件,而非不允许数据出境。

第14.11条只规定成员“应当允许跨境传输电子信息”,而没有说不得设置任何条件,也没有使用“自由传输”的说法。因此,我国的数据出境规制框架总体上不违反第二款规则。

四、对例外条款的分析

退一万步,即使我国的规制方式违反了第二款规则,也可以援引CPTPP中的例外条款对主要规制手段进行抗辩。

(1)WTO规则的基本安全例外

国家核心数据禁止出境、数据安全审查等事项可以援引“基本安全例外”。这两种限制措施都着眼于保障国家安全和重大公共利益,属于“基本安全”范畴。

CPTPP第32章的安全例外条款对“基本安全”没有做内容限定,不像GATT(关税及贸易总协定)第21条限定到狭窄的军事安全。因此,CPTPP版本的安全例外可以包容保障网络安全和数据安全的需要。

2)CPTPP第14.11条第三款例外

CPTPP第14.11条第三款本身意味着,认证、标准合同、出境安全评估等不同条件下的数据出境可以援引CPTPP第14.11条第三款进行抗辩。

认证和标准合同的抗辩难度不大,这是其他国家在个人信息跨境流动中普遍使用的机制,基本不会有国家质疑认证和标准合同违反第二款的规定。

关键问题是数据出境安全评估,这是我国相对独特的机制设计,只有安全评估能通过第三款的考验,我国才真正能接受CPTPP版本的跨境数据流动规则。

第三款有3项核心规则:

一是要求限制数据出境的措施是为实现合理公共政策目标。在我国跨境数据流动制度框架中,需要数据出境安全评估的,都是为保障重要公共利益,至少也是个人和组织的合法权益,应当属于第三款所说的合理公共政策目标。关于合理公共政策目标的范围,在WTO电子商务谈判中,中国、日本、加拿大列举了3种合理公共政策目标:保障网络安全、保护网络空间主权、保护公民法人和其他组织的合法权益。这3种公共政策目标应能涵盖数据出境安全评估需要保护的大部分公共利益。

二是要求限制措施不任意,非歧视,且不构成变相的贸易限制。尽管数据出境安全评估的具体规则尚未出台,但根据既往征求意见稿和合理推测,安全评估有一套客观标准,包括评估程序、内容、重点考察因素等。这些标准是客观的,由国家网信部门统一组织安全评估,就是为了在具体实施中保持标准的客观统一。因此,只要正常适用安全评估程序和标准,就不应存在任意、歧视或变相的贸易限制问题。至于有的国家,如果因为其国内数据保护规则不完善等原因,在安全评估中处于劣势,则属于客观评估标准适用于具体国家时得出的结果,不应被认为是对该国的歧视。

三是限制措施应满足“必要性测试”。CPTPP第14.11条第三款没用necessary的措辞,但普遍认为该款就是必要性测试。必要性测试的核心要求是,限制措施对贸易的限制应保持在最低水平,不应存在同样能实现合理公共政策目标但限制性更小的可替代措施。必要性测试历来是例外条款中最难通过的一关。但笔者分析认为,数据出境安全评估仍可以通过必要性测试。

首先,证明限制措施“不必要”通常需要质疑一方举出一项能同样实现数据安全保护政策目标,且限制性更小的替代措施。目前,出境安全评估涉及的数据都关系国家安全、公共利益,或者涉及批量个人信息,对这一类特殊而重要的保护对象,我们不认为能找到同样可实现我政策目标的可替代措施。在这个意义上,我国的数据出境安全评估反而是一种制度创新。

其次,即使有替代措施,该措施对贸易的限制也未必更小。以美国为例,美国虽然没有明确规定“重要数据”,但其对很多类型的数据出境规定了严格的限制措施(如出口管制制度),其对贸易带来的影响显而易见。目前尚未看到既能满足对重要数据和批量个人信息出境安全保护要求,又能对贸易限制更小的管理手段。

综上,笔者对数据出境安全评估能通过CPTPP第14.11条例外规则的审查持比较乐观的态度。

最后,根据我国法律规定,如其他国家在数据问题上对我实施歧视、限制,我国将进行对等反制,这一点从国际经贸规则上讲固然不是惯例。按照国际经贸规则的一般原理,如果其他国家做法不对,受害国应寻求多边救济,即诉诸争端解决机制,而不应进行单边制裁。对等反制本质上是一种单边制裁措施。但我国法律中的措辞是“可以根据实际情况对等采取措施”。该措辞可以理解为,单边对等制裁只是法律授权我政府的政策选项之一,可以选,也可以诉诸其他解决问题的手段,例如与该国双边协商,或提起争端解决。所以该规定不必然使我违反国际规则。

因此最终结论是,我国能够接受CPTPP中的跨境数据流动规则,但今后制定数据出境安全评估细则时需要考虑到加入CPTPP的合规因素。

五、中国不惧合规挑战

9月17日,中国外交部发言人赵立坚在例行记者会上回应正式申请加入CPTPP。赵立坚表示,近一年前,中方表达了积极考虑加入CPTPP的意愿。一年来,中方根据CPTPP有关规定,与各成员进行了非正式接触,在对CPTPP协定条款进行了全面研究评估基础上,按照有关程序和步骤,已于近日正式提出申请加入CPTPP。下一步中方将按照CPTPP有关程序与各成员进行必要磋商。

(图片来源:外交部)

而就在同一天,日本内阁举行会议。日本人的表演果然没让我们“失望”。据日媒报道,会后多名日本官员炒作中国申请加入CPTPP事,声称要再关注中国是否满足规则。日本副首相兼财务大臣麻生太郎甚至质疑:“中国目前达到可以加入的状态了吗?”

(日本外相茂木敏充(左)、首相菅义伟(中)、副首相兼财务大臣麻生太郎(右)在内阁会议上。图片来源:共同社)

显然,一些对华不友好的国家,必然不会放弃这次中国申请加入CPTPP的机会,很可能趁机要求中国修改国内法律和政策,就此横生事端。日本是美国的长期“跟班”,在数据跨境问题上向来追随美国,一味强调“数据自由流动”,多次对中国的数据跨境管理制度横加指责。

几乎可以肯定,今后日本一定会围绕CPTPP中的数据跨境条款对中国发难。

我们准备好了!

总编辑|徐程锦博士(现任工信部国际经济技术合作中心 副研究员)

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。