王梦影

（上海市服务贸易研究中心，上海  201206）

摘要：本文重点论述协定正文以及我国与澳大利亚、韩国、日本和新加坡四个国家在服务具体承诺表中的数据跨境流动规则，结果发现：在金融服务数据传输方面，我国、澳大利亚和日本金融数据传输开放程度较高；在信息与通信服务方面，五国数据开放程度不同，日韩采取了部分保留权利的做法；在出版、传媒和视听服务方面，五国对于与内容有关的数据传输还处于国家管控的状态。通过规则分析和结合我国的实际情况，本文对我国数据跨境流动管理提出建议，为更好地融入国际规则提供参考。

关键词：数据跨境流动；RCEP；分级分类；数据安全

一、RCEP中我国与主要成员国的数据跨境流动承诺

2020年11月，我国与东盟十国以及澳大利亚、日本、韩国等国家签订《区域全面经济伙伴关系协定》（RCEP）。RCEP协定不仅在协定正文中的服务贸易、知识产权、电子商务等章节提及数据跨境流动的管理，并且在各成员国与我国的服务具体承诺表里也涉及一系列数据跨境流动规则的详细承诺。我国与澳大利亚、日本、韩国和新加坡与经贸往来密切，数据跨境流动频繁，本文重点论述协定正文以及我国与这四个国家在服务具体承诺表中的数据跨境流动规则。

1.协定正文中涉及的数据跨境流动规则

（1）金融服务中涉及的数据跨境流动规则

在RCEP第八章服务贸易的《附件一金融服务》中，对“信息转移与信息处理”做了专门约定。RCEP引入了新金融服务、信息转移和处理等条款。约定成员国之间对于日常经营所需的金融数据的转移和处理不得作出限制，但是需遵守各国本土的法律法规。

（2）电信服务中涉及的数据跨境流动规则

在RCEP第八章服务贸易的《附件二金融服务》中，对网络的接入和使用做了专门约定。成员国之间要为数据跨境流动创造良好的网络条件，但是各国可以采取必要措施保证信息的安全性和机密性。如通过保护个人信息，对垃圾信息进行处理以及基本的网络安全防护，最终保护消费者权益，增进终端用户福祉。

（3）电子商务中涉及的数据跨境流动规则

在RCEP第十二章电子商务中，对电子方式跨境传输信息等做了专门约定。在电子商务领域，各成员国不得规定将计算设施设置于本国境内作为必要条件，如：我国不得规定澳大利亚电商企业要想来华从事电商业务，必须将计算设施设置在我国境内。各成员国应当鼓励电子方式传输信息，但出于安全和保护目的，可以采取必要的安全措施。

2.服务具体承诺表中的数据跨境流动规则

（1）中国

表1  中国在服务承诺表中的数据跨境流动内容

资料来源：中国自由贸易区服务网

由此可以看出，我国在计算机、电信服务以及金融服务方面的数据跨境流动上，采取开放的态度，对自然人任职资格、企业外资比例等做部分要求，在金融服务的审批上存在部分限制。

（2）澳大利亚

表2  澳大利亚在服务承诺表中的数据跨境流动内容

资料来源：中国自由贸易区服务网

在上述数据跨境流动限制中，澳大利亚主要针对广播及视听服务中包括规划、发牌及频谱管理方面采取保留措施，与视听内容服务有关的国内法有：《1992年广播法案》、《1992年无线通信法案》、《2009年儿童电视标准》、《2016年广播服务标准》等。在此基础上，澳大利亚政府增加了市民举报渠道，如接到恐怖主义或者儿童违禁内容的举报，澳大利亚通信和媒体管理局（ACMA）有权对这些内容进行审查，对于海外网站，ACMA会直接将其列入黑名单，将其屏蔽。

（3）韩国

表3  韩国在服务承诺表中的数据跨境流动内容

资料来源：中国自由贸易区服务网

韩国政府十分注重文化产业的海外拓展，通过加强驻外企业、办事处的方法在不同国家和地区开发不同的文化产品。但从外国文化产业输入到本国境内而言，需要满足国内法严格的审查，文化观光部、产业资源部和信息通信部将会行使审查的权利。在金融服务中，除金融产品的分销外，韩国对外国从事金融服务的管理有着严格的审查措施，需遵守《金融公司的公司治理》、《金融投资服务和资本市场法》、《外国投资促进法》、《金融投资服务条例》等本土条例，金融数据的收集、存储、传输等环节尚未开放。

（4）日本

表4  日本在服务承诺表中的数据跨境流动内容

资料来源：中国自由贸易区服务网

RCEP框架下，日本开放了金融数据传输领域的服务，但是对广播服务、视听服务仍然采取了保留措施，成员国需要满足《广播法》、《内阁关于外国直接投资的命令》、《外汇与对外贸易法》等法律法规，才能进入日本开展广播服务和视听服务。

（5）新加坡

表5  新加坡在服务承诺表中的数据跨境流动内容

资料来源：中国自由贸易区服务网

早在1996年，新加坡就颁布了《广播法》和《互联网操作规则》。《广播法》规定了互联网管理的主体范围和分类许可制度，《互联网操作规则》则明确规定了互联网服务提供者和内容提供商应承担自审内容或配合政府要求的责任。这两部法规成为新加坡互联网管理的基础性法规。

3.比较分析

根据对上述RCEP成员国的数据跨境流动承诺的探讨，我们发现，RCEP中对于数据跨境传输领域的规定主要集中在金融服务、信息和通信服务、出版、广播和视听服务三个方面，根据各成员国对于细分领域的数据跨境流动开放程度比较，整理如下表所示：

表6  各成员国在细分领域的数据跨境流动开放程度比较

可以看出，在金融服务领域，五个成员国均设置了部分开放领域，中国在金融服务领域限制较少，澳大利亚和日本对金融数据转移放宽了限制，新加坡对路透社和彭博社转载金融信息放宽限制，而韩国对金融产品的分销放宽限制；在出版、广播和视听等涉及到文化传媒的数字服务领域，所有的成员国都保留了权利，外国进入本土从事数字媒体的运行将面临严格的审查；在信息和通信服务领域，中国对数据传输的开放程度较高，日韩两国保留了审查权利，而澳大利亚在分组交换数据传输服务、电路交换数据传输业务等方面放宽了限制，新加坡对电子数据交换、在线信息和数据检索放宽了限制。

二、我国数据跨境流动规则现状

1.立法现状

面对数据跨境流动全球治理的发展趋势，中国提出了建设“网络强国”和“数字中国”的战略构想，数据跨境流动治理框架持续完善。目前，我国针对数据跨境流动及“数据出境”的专项法律法规已达4部，从《网络安全法》、《数据安全法》、《个人信息保护法》到《数据出境安全评估办法》。在此框架下，针对细分领域的数据管理办法有《工业和信息化领域数据安全管理办法（试行）》、《气象数据管理办法（试行）》、《电信和互联网行业数据安全标准体系建设指南》、《网络数据安全管理条例（征求意见稿）》等，我国跨境数据流动制度构建之路正在逐步清晰。

2.主要特点

（1）采取数据分类分级的管理制度

数据分类分级管理作为应对数据安全挑战、推进数据治理的重要管理手段已被世界上很多先进国家所采纳，目前，我国已逐步确立数据分类分级管理的制度。在上述《数据安全法》、《个人信息保护法》中，体现了我国对数据跨境流动的管理思想向“分类分级”的转变，我国对于数据分类分级管理的理念逐步确立，数据跨境流动管理工作逐渐有法可依。

（2）政策对象从个人数据到产业数据

在我国的数据跨境流动规则中，《个人信息和重要数据出境安全评估办法》、《个人信息出境安全评估办法》和《个人信息保护法》的施策对象都是个人信息，主要目的是为了加强个人信息保护、实现个人数据的安全流动和挖掘个人数据流动的价值。相对于个人数据流动管理，医疗健康、地图信息、金融服务等重要行业数据和政府数据的管理有着更为严格和审慎的规定，如：《人口健康信息管理办法》禁止在境外存储人口健康信息、《地图管理条例》规定互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内、银行业金融机构不得向境外提供境内个人金融信息，《保守国家秘密法》要求防止含有国家秘密的数据流出中国等。

（3）衔接国际规则的意识不断增强

为方便与世界各国数据跨境流动和数字贸易往来，我国在制定数据跨境流动规则上联系本国国情，参考了国际组织协议、区域合作协议和世界主要经济体的主要实践。在国际组织发布的数据跨境流动规则方面，经济合作与发展组织发布的《关于隐私保护和个人跨境数据流动的指南》和亚太经合组织建立的跨境隐私规则体系（CBPR）对我国《个人信息保护法》的制定产生深远影响。我国在个人信息保护方面采取的“四种跨境个人信息流动条件和安全评估要件”与国际组织数据跨境流动规则中的“经过数据主体同意或者采取合理措施确保数据接收者履行充分的个人隐私保护原则”不谋而合。

（4）采取先行先试的方法施行

对于数据跨境流动规则的探索，我国采取先行先试的方式施行。2020年8月14日，商务部在《关于印发全面深化服务贸易创新发展试点总体方案的通知》中提出在条件相对较好的试点地区开展数据跨境传输安全管理试点规则，由北京、上海、海南、雄安新区等试点地区负责推进，体现了我国在数据跨境流动管理方面以安全为基础，创新和开放并行的政策思路。

3.我国数据跨境流动管理面临的问题及挑战

（1）法律体系尚未完善

相对于欧美等西方发达国家和日韩、俄罗斯等邻近国家，我国数据跨境流动规则的制定起步相对较晚。从现有的数据跨境流动规则体系来看，我国与澳大利亚、加拿大、巴西等国家在不同程度均提出了数据本地化措施，相比较而言政策上趋于保守，且主要针对的是个人信息保护条文、标准和办法，细分领域的数据跨境流动规则正在出台，配套实施文件尚不完善，还不能完全满足我国数字经济发展的体量和增速。

（2）缺乏统一协调的监管机制

数据跨境流动管理工作涉及到多个部门，各行业主管机构对自己的领域进行监督管理，如：金融行业的数据保护工作由中国人民银行主管，医疗卫生中的个人健康数据由卫生主管部门管理等，数据跨境流动管理需要各相关部门之间的配合。经调研，各部门在不同法律文件中对同一问题可能均有所规定，执行过程中也会面临一定的制度阻碍、管理阻碍和信息不畅通等问题，对企业操作造成一定困扰。

（3）国际规则体系融入不足

在国际层面上，我国虽已加入了《区域全面经济伙伴关系协定》，但RCEP成员国之间对于数据跨境传输的可操作性和实践指导性尚待加强。此外，由于我国没有专门的隐私执法机构，以至于不具备CBPR体系的前置条件而未能加入。而作为RCEP成员国的日本、新加坡等国家均已加入CBPR体系和CPTPP协定，日本已经通过了欧盟数据保护的充分性认定，为本土企业与欧盟企业的贸易往来创造了有利条件。从总体上看，我国还处于对外规则体系融入不足的阶段，数据跨境流动的“白名单”国家依然较少，存在被其他国家“数字同盟圈”边缘化的风险。

（4）数据安全面临挑战

数据跨境流动除带来社会和经济价值外，也面临着数据安全的挑战。长期以来，美国情报部门对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击，控制了数以万计的网络设备，窃取大量高价值数据，对我国国家安全构成威胁。类似的数据泄露事件频频发生，数据安全面临严峻挑战。

（5）企业执行面临诸多难点

经调研，RCEP实施后企业在执行过程中也面临困难和难点。第一，由于企业在数据存储、数据传输方面依然采取的是本地化存储和专线传输的方式，跨境传输的成本较高。第二，试点数据直报的领域和区域有限，覆盖的企业数目较少。第三，未来对数据跨境流动的管理还面临着企业主动性不强、涉及到的监管部门较多、施行的范围受承诺规则和国内制度双重影响等问题。

三、相关建议

数据跨境流动对监管部门提出了很大挑战，我国应充分利用数据资源、技术资源，以数据跨境流动安全管理试点为抓手，探索制定数据跨境流动的标准格式合同和加快我国数据产品的开发，引导企业创新与外资金融机构的合作方式，从而在全国范围内形成可复制可推广的经验。

1.加快标准格式合同的制定和推广

欧盟是对于数据跨境流动规则的制定和实践在世界范围内具有较大影响力。在欧盟的《通用数据保护条例》（GDPR）中，位于欧盟境内的数据控制者可与欧盟境外的数据接收者基于标准合同文本签订合同，使跨境数据流动符合GDPR所规定的充分性保护要求，从而在无需监管机构特别授权的情况下进行个人数据的自由流动。在借鉴欧盟实践经验和参考我国基本情况的基础上，可由自贸区或数据跨境流动安全管理试点城市组织专家及相关部门探索制定数据跨境流动的标准格式合同，明确数据转移各方的安全保护责任，从而通过合同法律机制来引导企业管控数据出境风险。

2.加强数据跨境流动管理多部门协调工作机制

我国应当加强数据跨境管理多部门协调工作机制，配套出台《数据跨境流动管理任务分工表》，明确责任和分工，落实数据安全责任主体；其次在保障数据安全的前提下，积极创新数据跨境流动管理机制体制，推动建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制；最后在引导企业数据管理过程中，实施“一键咨询”、“一网通办”等便民服务，发挥企业协会在开展企业培训、加强政策宣传和法律知识普及方面的作用。

3.加快我国数据产品的开发

2016年，上海数据交易中心成立，2021年北京国际大数据交易所成立，但目前数据交易流通还处于起步阶段，未形成成型的数据采集、加工、分析和应用链条，以数据为主要服务或产品的成熟案例较少。因此，我国应充分发挥数据交易中心的平台作用和自贸片区的载体作用，利用本土增值电信数据、金融数据、电子商务数据等稀缺资源，引导政府、企业、数据中心等合力突破制度壁垒、数据壁垒，基于数据资源的集聚能力和对市场需求的判断形成数字产品，释放数据资源的巨大价值。

4.构建数据跨境流动生态合作伙伴

对于我国很多企业、特别是中小企业来说，存在数据规则认知不足和技术水平不够等问题，应当招引专业化、国际化服务公司投资落户，发挥数据公司在数据采集、加工、脱敏、分析方面的重要作用，解决企业技术上的痛点，帮助企业低成本合规化。其次，对涉及政府、重要行业的数据跨境转移，应当建立政府和公共部门数据服务公司的安全认证制度，安全风险较高的数据只能由符合资质的数据服务公司处理。

5.引导企业创新与外资金融机构的合作方式

RCEP规定了按照内外一致原则允许外资提供新型金融服务，对本土企业与外资金融机构的合作方式提供了新的思路，如：本土金融机构可以承接韩国外资金融机构的金融产品分销业务，外资金融机构可以试行在澳大利亚、日本的集团内部直接报送数据等。

参考文献：

[1]马其家,李晓楠.论我国数据跨境流动监管规则的构建[J].法治研究,2021(1):91-101.

[2]王翊君.跨境数据流动的法律规制研究[D].上海：华东政法大学,2019.

[3]曾磊.数据跨境流动法律规制的现状及其应对——以国际规则和我国《数据安全法（草案）》为视角[J].中国流通经济,2021,35(06):94-104.

[4]李雪娇.RCEP框架下数据跨境流动例外条款研究[J].大连大学学报,2022,43(6):44-50.

[5]刘思雨. RCEP数据跨境流动条款及中国履约研究[D].大连：大连海事大学,2023.

[6]王娟娟,宋恺.数据跨境流动的风险分析及对策建议[J].信息通信技术与政策,2019(7):65-68.

[7]杜玉琼,罗新雨.RCEP数据跨境流动规则例外条款的适用及中国应对[J].四川师范大学学报(社会科学版),2023,50(5):75-83.

[8]陈思,马其家.数据跨境流动监管协调的中国路径[J].中国流通经济,2022,36(9):116-126.

[9]魏求月,洪延青.数据跨境流动之国家安全例外条款：制衡、边界与建构[J].国家安全研究,2022(4):101-120+178.

[10]王伟玲.数据跨境流动系统性风险:成因、发展与监管[J].国际贸易,2022(7):72-77.