加入CPTPP!中國數據跨境政策即將迎來國際大考
據商務部16日消息,中國正式提出申請加入《全面與進步跨太平洋伙伴關系協定》(CPTPP)。商務部部長王文濤當日向CPTPP保存方新西蘭貿易與出口增長部長奧康納提交中國正式申請加入CPTPP的書面信函。這不是一次普通的“入群”。由于CPTPP的前身TPP(跨太平洋伙伴關系協定)曾被視為美國對付中國的工具,而特朗普后來又宣布退出TPP,故中國此次申請加入CPTPP引發了全球外交、經貿領域極大的關注。作為經貿談判的新議題,能否接受CPTPP中的數據跨境條款一直是加入這一協議的重大考量。目前,我國正在加緊制定數據跨境安全的相關管理政策,加入CPTPP會否對現有政策進程產生影響?為此,小貝說安全特邀工信部國際經濟技術合作中心副研究員徐程錦博士帶來精彩分析。
念往昔,繁華競逐。嘆門外樓頭,悲恨相續。
千古興亡多少事,人們對大國興衰、攻守易勢早已司空見慣。但中美兩國近幾天關于一份國際協定的動態還是在國際上引起了重大反響。
9月16日,中國商務部宣布,正式提出申請加入《全面與進步跨太平洋伙伴關系協定》(CPTPP)。
9月17日,美國白宮回應:總統拜登不會加入未按美國意見修改的CPTPP。
中國宣布在前,美國表態在后,此事迅速在美國國內發酵。因為這不是簡單的“入群”問題,美國在其間夾雜了太多的愛恨情仇。CPTPP的前身是TPP(跨太平洋伙伴關系協定)。美國雖然不是TPP發起國,但在加入后一度成為主導國,其多項條款曾被認為意圖遏制中國,旨在另外建群、孤立中國。但2017年特朗普上臺一周后便宣布退出TPP,輿論嘩然。日本于是乘勢而上成為主導國,并將TPP更名為CPTPP,于2018年12月30日全面生效。
(圖示:特朗普簽署文件,宣布退出TPP)
自己精心打造的“工具”,如今不僅拱手讓人,還被人反將一軍,美國一些人怎能不懊惱。
因此,中國申請加入CPTPP,其產生的影響必然不限于經貿領域,國際政治意義更為深遠。
也正因如此,CPTPP條款與國內政策的關系必須得到認真、全面審視。尤其值得重視的是其中的數據跨境條款。這一議題近年來熱度極高,甚至一度成為中方能否加入某些國際多邊經貿協定的重要考量。
CPTPP數據跨境條款何以如此重要?在全球信息化背景下,數據流動是跨境貿易的前提條件,且與國家安全密切相關。
而目前,我國正在加緊制定數據跨境安全管理政策。
2017年6月1日,《網絡安全法》實施,第37條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”
2021年9月1日,《數據安全法》實施,第31條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
2021年11月1日,《個人信息保護法》即將實施,第38條規定:“個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;(四)法律、行政法規或者國家網信部門規定的其他條件。”
在上述法律要求未出臺前,討論加入CPTPP的時機實際上并不成熟,畢竟我國需要首先建立自己的數據跨境管理政策框架,否則缺少清晰的談判立場。那么,在這個政策框架已經確立后,就需要回答我國政策與CPTPP數據跨境條款的關系了。
顯然,既然我國已經正式申請加入CPTPP,主管部門必然做過審慎研究,但我們還是要進行詳細分析,并預判今后可能出現的國際博弈。
一、CPTPP關于數據跨境的條款
第14.11條 通過電子方式跨境傳輸信息
1. 締約方認識到每一締約方對通過電子方式傳輸信息可設有各自的監管要求。
2. 每一締約方應允許通過電子方式跨境傳輸信息,包括個人信息,如這一活動用于涵蓋的人開展業務。
3. 本條中任何內容不得阻止一締約方為實現合法公共政策目標而采取或維持與第2款不一致的措施,只要該措施:
(a) 不以構成任意或不合理歧視或對貿易構成變相限制的方式適用;及
(b) 不對信息傳輸施加超出實現目標所需限度的限制。
二、CPTPP第14.11條第一款分析
CPTPP14.11條第一款指出,各成員可以對跨境傳輸電子信息有自己的規制要求。該款不涉及強制性義務,也就不涉及是否違反的問題。
我國對跨境數據流動的規制要求總體上可以概括為:
(1)極少數涉及國家安全和重大公共利益的數據須本地存儲;
(2)一般情況下滿足一定條件則數據可以出境,條件包括安全評估、認證或標準合同等;
(3)掌握100萬人以上個人信息的企業赴國外上市須經過國家網絡安全審查;
(4)如其他國家對我實施不當行為時可對該國限制數據傳輸或采取對等反制。
三、CPTPP第14.11條第二款分析
CPTPP14.11條第二款要求,政府應當允許跨境傳輸電子信息,只要該行為是為開展業務之目的。
該款屬于強制性義務,是CPTPP關于跨境數據流動的核心規定。
在我國法律要求中,數據出境安全評估的前提是“因業務需要確需向境外提供”,這也正對應了第二款所說“為開展業務之目的”。根據我國規定,真正可能被禁止出境的應只有極少量核心數據。除此以外的各種對數據出境的限制,無論是安全評估、安全審查、認證或標準合同,本質上都是對跨境數據流動設置了一定條件,而非不允許數據出境。
第14.11條只規定成員“應當允許跨境傳輸電子信息”,而沒有說不得設置任何條件,也沒有使用“自由傳輸”的說法。因此,我國的數據出境規制框架總體上不違反第二款規則。
四、對例外條款的分析
退一萬步,即使我國的規制方式違反了第二款規則,也可以援引CPTPP中的例外條款對主要規制手段進行抗辯。
(1)WTO規則的基本安全例外
國家核心數據禁止出境、數據安全審查等事項可以援引“基本安全例外”。這兩種限制措施都著眼于保障國家安全和重大公共利益,屬于“基本安全”范疇。
CPTPP第32章的安全例外條款對“基本安全”沒有做內容限定,不像GATT(關稅及貿易總協定)第21條限定到狹窄的軍事安全。因此,CPTPP版本的安全例外可以包容保障網絡安全和數據安全的需要。
(2)CPTPP第14.11條第三款例外
CPTPP第14.11條第三款本身意味著,認證、標準合同、出境安全評估等不同條件下的數據出境可以援引CPTPP第14.11條第三款進行抗辯。
認證和標準合同的抗辯難度不大,這是其他國家在個人信息跨境流動中普遍使用的機制,基本不會有國家質疑認證和標準合同違反第二款的規定。
關鍵問題是數據出境安全評估,這是我國相對獨特的機制設計,只有安全評估能通過第三款的考驗,我國才真正能接受CPTPP版本的跨境數據流動規則。
第三款有3項核心規則:
一是要求限制數據出境的措施是為實現合理公共政策目標。在我國跨境數據流動制度框架中,需要數據出境安全評估的,都是為保障重要公共利益,至少也是個人和組織的合法權益,應當屬于第三款所說的合理公共政策目標。關于合理公共政策目標的范圍,在WTO電子商務談判中,中國、日本、加拿大列舉了3種合理公共政策目標:保障網絡安全、保護網絡空間主權、保護公民法人和其他組織的合法權益。這3種公共政策目標應能涵蓋數據出境安全評估需要保護的大部分公共利益。
二是要求限制措施不任意,非歧視,且不構成變相的貿易限制。盡管數據出境安全評估的具體規則尚未出臺,但根據既往征求意見稿和合理推測,安全評估有一套客觀標準,包括評估程序、內容、重點考察因素等。這些標準是客觀的,由國家網信部門統一組織安全評估,就是為了在具體實施中保持標準的客觀統一。因此,只要正常適用安全評估程序和標準,就不應存在任意、歧視或變相的貿易限制問題。至于有的國家,如果因為其國內數據保護規則不完善等原因,在安全評估中處于劣勢,則屬于客觀評估標準適用于具體國家時得出的結果,不應被認為是對該國的歧視。
三是限制措施應滿足“必要性測試”。CPTPP第14.11條第三款沒用necessary的措辭,但普遍認為該款就是必要性測試。必要性測試的核心要求是,限制措施對貿易的限制應保持在最低水平,不應存在同樣能實現合理公共政策目標但限制性更小的可替代措施。必要性測試歷來是例外條款中最難通過的一關。但筆者分析認為,數據出境安全評估仍可以通過必要性測試。
首先,證明限制措施“不必要”通常需要質疑一方舉出一項能同樣實現數據安全保護政策目標,且限制性更小的替代措施。目前,出境安全評估涉及的數據都關系國家安全、公共利益,或者涉及批量個人信息,對這一類特殊而重要的保護對象,我們不認為能找到同樣可實現我政策目標的可替代措施。在這個意義上,我國的數據出境安全評估反而是一種制度創新。
其次,即使有替代措施,該措施對貿易的限制也未必更小。以美國為例,美國雖然沒有明確規定“重要數據”,但其對很多類型的數據出境規定了嚴格的限制措施(如出口管制制度),其對貿易帶來的影響顯而易見。目前尚未看到既能滿足對重要數據和批量個人信息出境安全保護要求,又能對貿易限制更小的管理手段。
綜上,筆者對數據出境安全評估能通過CPTPP第14.11條例外規則的審查持比較樂觀的態度。
最后,根據我國法律規定,如其他國家在數據問題上對我實施歧視、限制,我國將進行對等反制,這一點從國際經貿規則上講固然不是慣例。按照國際經貿規則的一般原理,如果其他國家做法不對,受害國應尋求多邊救濟,即訴諸爭端解決機制,而不應進行單邊制裁。對等反制本質上是一種單邊制裁措施。但我國法律中的措辭是“可以根據實際情況對等采取措施”。該措辭可以理解為,單邊對等制裁只是法律授權我政府的政策選項之一,可以選,也可以訴諸其他解決問題的手段,例如與該國雙邊協商,或提起爭端解決。所以該規定不必然使我違反國際規則。
因此最終結論是,我國能夠接受CPTPP中的跨境數據流動規則,但今后制定數據出境安全評估細則時需要考慮到加入CPTPP的合規因素。
五、中國不懼合規挑戰
9月17日,中國外交部發言人趙立堅在例行記者會上回應正式申請加入CPTPP。趙立堅表示,近一年前,中方表達了積極考慮加入CPTPP的意愿。一年來,中方根據CPTPP有關規定,與各成員進行了非正式接觸,在對CPTPP協定條款進行了全面研究評估基礎上,按照有關程序和步驟,已于近日正式提出申請加入CPTPP。下一步中方將按照CPTPP有關程序與各成員進行必要磋商。
(圖片來源:外交部)
而就在同一天,日本內閣舉行會議。日本人的表演果然沒讓我們“失望”。據日媒報道,會后多名日本官員炒作中國申請加入CPTPP事,聲稱要再關注中國是否滿足規則。日本副首相兼財務大臣麻生太郎甚至質疑:“中國目前達到可以加入的狀態了嗎?”
(日本外相茂木敏充(左)、首相菅義偉(中)、副首相兼財務大臣麻生太郎(右)在內閣會議上。圖片來源:共同社)
顯然,一些對華不友好的國家,必然不會放棄這次中國申請加入CPTPP的機會,很可能趁機要求中國修改國內法律和政策,就此橫生事端。日本是美國的長期“跟班”,在數據跨境問題上向來追隨美國,一味強調“數據自由流動”,多次對中國的數據跨境管理制度橫加指責。
幾乎可以肯定,今后日本一定會圍繞CPTPP中的數據跨境條款對中國發難。
我們準備好了!
總編輯|徐程錦博士(現任工信部國際經濟技術合作中心 副研究員)
