RCEP对数据跨境流动的规制及我国企业合规应对

商业流通

RCEP对数据跨境流动的规制及我国企业合规应对

2024-02-05 15:54 来源：www.xdsyzzs.com 发布：现代商业阅读：次

傅娟湖南工商大学法学院

基金项目：2022年湖南省研究生科研创新项目“个人信息保护视域下企业数据合规研究”（项目编号：CX20221192）阶段性成果。

摘要：RCEP有关数据跨境流动的规则反映了在当下数字经济时代不同国家对于实现数据跨境流动自由和发展数字经济的诉求。RCEP对于数据的规制较于欧盟和美国两种方式来说都较为不同，显示出自由、尊重、互惠、共享的数据治理理念。就我国企业而言，如何抓住千载难逢之机遇，直面新环境下的挑战，做好数据跨境合规，是一个亟待解决之难题。本文试图通过分析RCEP对数据规制特点，结合我国企业之实际，给出企业数据合规建议，以促进我国能够在数字经济时代更好地发展。

关键词：RCEP；数据跨境流动规制；数据保护；企业合规

一、问题的提出

区域全面经济伙伴关系（Regional Comprehensive Economic Partnership，RCEP），由东盟十国发起，尔后邀请中、日、韩等共十五国参加，以消除内部贸易壁垒、创造和完善自由的投资环境为目标所建立的十五国统一市场的自由贸易协定。RCEP除了对有关关税、知识产权、贸易自由化等方面作出规定以外，对于数据的跨境流动也作出了相应的规定。进入二十一世纪以来，数据作为新型且重要的生产要素，在国际贸易与投资中是不可或缺的。RCEP作为全新的自贸区协定，其对于数据的跨境流动也作出了重要的规定。在数据跨境流动方面，其面临的环境十分复杂，潜在的危险也不容忽视。除了企业可能违规使用公民个人信息数据，侵犯公民的基本权益以外，对数据的滥用还有可能危及国家安全。因此，在RCEP的框架下我国企业如何能够合理的利用数据，将数据流动作为生产力是一个亟待解决的问题。

自从欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）的正式颁布和实施，数据合规成为全球关注热点。而我国也在不断加快出台数据合规相关立法，企业数据合规业务已成为我国法律业务发展最快的领域之一。我国现已加入RCEP，面对数据跨境流动的新要求，企业及相关人员须对数据合规工作及早着手，梳理企业数据处理流程，完善数据处理合规措施，多维度、深层次的开展合规自查与实际调整。

二、RCEP数据跨境流动规制路径与其他规制路径之比较

早在RCEP出现以前，就已有对于数据跨境流动的规制路径。其中最早的是由欧盟主导的个人隐私保护，欧盟在2016年通过《通用数据保护条例》（GDPR）并于2018年5月25日正式生效，正式取代了之前的《数据保护指令》，目前来看这是企业跨境数据合规的蓝本。而对于数据大国美国来说，2012年美国颁布了《消费者隐私权法案》以应对大数据的发展潮流。2018 年 3 月，美国又颁布了“云法案”（《澄清境外数据合法使用法案》），该法案的出台使美国执法机构跨境调取公民的海外信息变得更加容易。欧盟规制路径与美国规制路径虽然大不相同，但都具有相应的启发性。

1.欧盟规制路径

由于历史原因，欧洲对于个人信息数据的保护历来十分重视。欧洲对于数据的保护起始于1995年欧盟颁布的“数据保护指令”（Data Protection Directive），其首次明确提出了未经个人授权，任何企业或组织无权使用公民的个人数据。而随着大数据时代的到来，已有的规制路径显然不能满足时代发展的要求，于是欧盟在2018年出台了《通用数据保护条例》（GDPR），涉及欧盟公民个人信息采集、传输、存档以及处理等行为的企业和机构均受该条例规制。并且随着 GDPR 的适用范围的持续扩增，许多企业和机构即使处于欧盟之外，为了适应与欧洲国家进行贸易的需要，也会主动选择适用欧盟有关的隐私法律。

客观评价来说，GDPR以及其他相关隐私保护条款在数据立法上具有里程碑的意义，其代表了个人隐私保护领域最为完善和先进的立法水平。GDPR在数据跨境规制和数据主权方面对欧盟以外的国家和地区都造成了深刻的影响，欧盟对个人数据安全保护十分到位，但伴随而来的是GDPR对数据保护提出的苛刻标准，欧盟在数据跨境方面建立了白名单制度，若第三国未达到最高水平的同等保护要求，数据的自由流动将会受到限制，比如约束性公司规则（BCR）和标准合同条款（SCC）。从积极意义上来讲，欧盟对于个人数据如此严密的保护，确实能够最大程度的保证公民的个人信息权益，尊重公民隐私；从消极意义上来讲，正是由于这种严格的保护，使欧盟整体对于数据商业化处于相对保守的态度，这也是欧洲没有产生像脸书、推特、TikTok 等具有国际竞争力的互联网产品的原因之一。

2.美式规制路径

美国作为老牌资本主义强国，对于数据保护也是十分重视的。”在数据跨境方面，美国为维护自身数据市场利益，颁布了一系列宽进严出的限制性的政策。在与各国新一轮的贸易谈判中将“数据跨境自由流动”纳入协议中，以打破其他国家设置的数据贸易壁垒并防止“互联网巴尔干化”，通过“长臂管辖”扩大美国法的域外适用范围，以满足美国政府跨境调取数据的需要，与此同时，限制美国重要信息数据的外流与使用，以期从各个方面来遏制竞争对手的发展。由此可见，美国对于跨境数据规制的态度比较有侵略性，在数据领域依然推行“霸权主义”。美国之所以采取此种方式来规制数据的跨境流动大致有两个原因。首先，美国是全球数字经济最为发达的国家，在数字经济方面居于绝对的优势地位，为了巩固自身优势并通过数字优势不断攫取利益，美国需要采取侵略性的数据跨境流动战略来满足自身需求。在全球前十名互联网企业中，美国就拥有六家，占据着绝对的主导权。中国虽然互联网企业十分具有竞争力，但因国内特殊原因无法在普及度上与美国互联网企业相抗衡。因此，绝大部分的国家和地区所使用的互联网产品与服务都是由美国所提供的，因此其也掌握着全球绝大部分数据。其次，不同于其他国家，美国国内数据信息是由企业和政府所共享的。美国为了实现企业和政府之间数据共享，通过了诸如《网络安全共享法案》等一系列的法律，引发了美国政府与微软、谷歌等多起诉讼，但只要能够实现与国内互联网企业的数据共享就可以获得全球互联网的大部分数据，从而保证美国在数据领域的绝对控制地位。

三、RCEP对企业跨境数据流动规制分析

2021年十月，联合国发布《2021年数字经济报告》（以下简称《报告》），指出虽然数据在数字经济发展中十分重要，但是目前对数据的概念还没有达成一致理解。《报告》指出，全球的数据跨境流动在地域分布上有明显的特征，主要存在北美——欧洲以及北美——亚洲两个数据流动链。在数字经济规模上，美国和中国是全球规模最为庞大的两个国家，拥有全球最发达的互联网科技和大型企业。然而，相较于全球来说，中、美、欧盟以及日韩等发达国家与其他发展中国家存在着明显的“数据鸿沟”。对比而言，东盟国家的数字经济发展水平较为落后，尤其是南亚国家。但不容忽视的事实是庞大的人口基数使东盟国家蕴藏着巨大的潜力，根据国际管理发展研究院《2019年全球竞争力报告》，预计到2025年，东盟的数字经济规模将会达到3000亿美元，将会成为东盟GDP增长的主要动力源。在此背景下，各缔约国在RCEP条款中对数据跨境流动达成了共识，以期最大程度的释放数字经济的潜力

由于RCEP成员数字经济发展程度差异较大，因此若制定较为细致的规则很有可能不利于一些国家数字经济的发展。因此RCEP秉持开放的态度，以实现各成员国利益最大化为原则，充分包容各成员国对数据跨境流动方面的法律与政策。在兼顾数据自由流动与安全流动的基础上，制定了相应的数据跨境流动规则和对数据本地化限制条款。不同于欧美的规制类型，RCEP没有对其成员国进行强制性义务的规定，本着开放和包容的心态来达到数据共享、数据共治、共同发展的效果。

1.禁止对数据跨境流动的限制：促进数据共享发展

RCEP文本中第十二章“电子商务”中第十五条，规定了不得限制数据跨境流动的原则。

毫无疑问，这是RCEP中对于数据跨境规制的核心条款之一，更加显示出RCEP自由、尊重、互惠、共享的数据治理理念。数字经济全球化的浪潮下，各方合作可以带来一加一大于二的效果，数据跨境自由流动促进各成员国数据行业良性竞争与发展，将带来多方共赢的结果。不过，该条款并没有对数据的类型作出明确的规定，因此该处“数据”既可以指个人信息，同时也可包括非个人信息。另外，此处所规制的数据跨境流动应当限制于商业性目的，以国家政府或司法机关所主导的数据跨境流动（如跨境取证）不受此条款规制。

此外，依据RCEP在第八章“服务贸易”第九条中第一、第二款规定：一、缔约方认识到，每一缔约方可就信息转移和信息处理设置其管理要求。二、一缔约方不得采取下列措施阻止：（一）其领土内的金融服务提供者为进行日常营运所需的信息转移，包括通过电子方式或其它方式进行数据转移；或者（二）其领土内金融服务提供者进行日常营运所需的信息处理。以上条款则进一步显示了RCEP在对于重要的金融数据的跨境流动并未像欧美一样做出限制，而是允许在各成员国之间流动，这也进一步反应出RCEP对于数据跨境流动所持的开放性态度。

2.数据跨境自由流动的例外性限制：保障数据跨境流动安全

虽然RCEP从整体来讲对于数据跨境流动持开放和支持态度，但并不是在所有情况下都禁止对数据跨境流动的限制。由于RCEP各协约国的数字经济水平差异较大，为了适应各个国家的特殊国情，RCEP在以数据自由流动为原则的同时，做出了例外性的规定。RCEP在第十二章第十五条第三款中做出了对第二款的限制：“本条的任何规定不得阻止一缔约方采取或维持：（一）任何与第二款不符但……不以构成任意或不合理的歧视或变相的贸易限制的方式适用；或者（二）该缔约方认为对保护其基本安全利益……不得对此类措施提出异议。”另外，RCEP在第八章“服务贸易”附件第九条中也作出了类似的规定。由此可见，RCEP考虑到了若对数据跨境流动毫无限制的话，很有可能造成一些有关国家安全的核心数据的泄露，因此对于此类数据的自由流动要加以限制。

不过对数据跨境流动作出限制，也需要符合相应的条件。首先，数据自由流动已侵害该国的国家安全或政策利益；第二，对数据的限制不应构成不合理的歧视；第三，不应当影响正常的国际贸易秩序；最后，对数据流动的限制政策应符合比例原则。只有符合上述四个条件，缔约方为保护公共政策目标和国家基本安全利益方可采取措施来保障数据跨境安全流动。可以看出RCEP 是以“公共政策目标”和“基本安全利益”为判断基准的，然而对于这二者的内涵，RCEP并未加以阐述。这一模糊性安排有利于各国依据自身国情行使自由裁量权，使之可以照顾各成员国的差异，更有利于实现数据跨境流动和数字贸易发展双重目标。

3.对长臂管辖权的回应：建立互惠共赢的数据合作关系

长臂管辖（Long arm jurisdiction）是形成于美国的一种诉讼管辖方式。它是指当被告人住所地不在法院地所属州，然而与该州有某种最低限度的联系，并且所提权利要求与该联系有关，则该州就具有管辖权。虽然该规则最早适用于美国国内的司法，然而随着其在美国的确立，美国利用其在全球政治、经济以及军事等领域内的霸主地位，逐渐将这一诉讼原则延伸至域外。在全球数据治理领域，美国也将长臂管辖应用其中。美国于通过运用自身的霸权地位，根据所谓的“属人管辖原则”，规避司法主权而强制性的获取他国在境外的数据，而对于他国获取本国数据则设置重重关卡，从而加剧了数字经济发展的区域不平衡。

RCEP成员国在相关条款的谈判上意识到了这一问题，由于成员国之间整体实力差距悬殊，若在司法管辖上不谨慎规定的话，也很有可能导致数据霸权主义的产生。对此，RCEP作出了积极的回应，RCEP在第十二章“电子商务”第十七条“争端解决”规定：“如缔约方就本章的解释和适用存在任何分歧，……达成共同满意的解决方案。”在第十三章“竞争”第五条“信息保密”第三款规定：“任何缔约方之间共享保密信息……应当基于有关缔约方同意的条款和条件。”通过对上述条款以及其他条款的审视可以发现，RCEP着力建立起一个以平等为前提、以互相尊重为基础的数据跨境流动治理体系，对于美国所推行的长臂管辖是一个有力的回击。同时由于数据跨境传输已经成为世界贸易中不可或缺的一环，RCEP为其他贸易协定对于数据跨境流动规制做出了表率。

四、RCEP下我国企业跨境数据合规问题与策略

我国于2021年正式加入RCEP同时，提出了“将在有条件的地区探索建立数据跨境流动分级分类监管，推动数据自由流动等方面先行先试，完善数字贸易促进政策，及时出台符合我国数字贸易发展特点的政策法规。”这一战略政策推进了国内经营环境与RCEP相结合，我国除了2017年颁布实行的《网络安全法》以外，又于2021年相继推出了《个人信息保护法》以及《数据安全法》。目前我国在数据法领域“三驾马车”体系已初步形成，虽然立法方面已和RCEP框架较为契合，但是从市场实际情况来看，我国企业跨境数据合规执行情况并不尽如人意。在我国签订RCEP之后，我国企业如何在数据跨境合规方面进行进一步的完善，以及如何在未来数据全球流动情况下更好的利用数据资源而又不至于违反数据规制，是我国企业需要解决的问题。

1.当前我国企业数据跨境合规现状

我国是数据大国，拥有十分庞大的用户基数以及众多的数据企业。尤其我国还拥有一些在全世界都较为知名的数据企业，因此尤其需要注重数据合规问题。然而从目前情况来看，我国企业数据跨境合规的现状不容乐观。仅从一些案例上来看，TikTok因数据保护问题与美、印、意等国家接二连三地发生数据跨境争议和摩擦；华为、中兴因不符合数据安全问题而遭到瑞典邮政的禁用；再到Wechat因数据跨境流动引发的风险而被美国抵制等问题，其实都说明了我国目前面临着较为严重的数据跨境合规困境。

由于企业合规这一概念在我国提出的时间并不长，而且企业合规成本尤其是中小企业合规成本较大，所以企业所接受的程度并不高。与国际发达地区企业数据跨境合规程度相比，我国目前还是存在较大差距。有学者认为，结合企业数据保护水平来看，中国企业目前较为薄弱的部分主要集中在数据跨境传输、隐私安全设置等运营当中的外部威胁上。因此在RCEP新框架下，我国企业要及时调整自身策略，适应数据跨境流动的新型规制。

2.RCEP对我国企业数据跨境合规提供新机遇

虽然RCEP对我国企业数据跨境合规提出了新的挑战，但也为我国企业转型与进化提供了新的机会。数据自由流动是RCEP的核心，这对于我国企业来说是一把双刃剑。从积极的一方面来说，数据跨境自由流动十分有利于我国企业实行“走出去”战略，向国外输出自己的产品与服务，数据的自由流动能够降低数据的使用成本，能够促进更为全面的开放格局。同时，数据自由跨境流动也有利于国外数据地流入，为我国实行“引进来”战略提供机会。然而从消极的一方面来说，RCEP虽然鼓励数据跨境自由流动，但是赋予了各个国家较大的数据自主权。在RCEP 框架下，各个国家有权依据自身实际情况对可能威胁到本国安全的数据流动进行相应限制。这意味着我国企业在数据跨境流动和利用方面应该遵循当地的法律和政策，需要做好相应功课，才不至于被“优胜劣汰”。

总体来说RCEP对于我国企业影响有利有弊，至于如何利用，就要依靠各企业的主动求变。RCEP带来了新的机遇也带来了新的挑战。在国际形式风云变幻的时刻，我国企业如何能够抢占国外市场、输出商品和赚取利润，在“百年未有之大变局”的时刻敢于挺身而出，做国际新兴市场的“弄潮儿”，就需要企业做好数据合规建设。

3.RCEP框架下我国企业数据跨境合规对策建议

就目前来说，我国企业关于在RCEP背景之下的数据跨境合规实践多有不足。虽然我国已颁布实施《个人信息保护法》，但是这仅仅是一部基础性的法律，在实践层面有着很多需要细化的地方。RCEP对于数据跨境流动做出了一系列的规制，但是其显得较为宽容，条款也较为宽松。然而若我国想在今后加入CPTPP并且最终能占据世界数字经济的一席之地，对于我国企业尤其是数字企业的合规管理是必不可少的。然而我国长期以来企业没有合规建设的思维意识和实践经验，因此如何在RCEP框架下搭建企业跨境数据合规的整体体系以及具体操作方法便成为重中之重。以下根据数据跨境流动特点，结合RCEP相应规制给出些许可操作的合规对策建议。

数据跨境流动一般可以分为数据收集、处理（包括传输和存储）、分析、使用、分享和销毁等多个阶段，在每个不同的阶段中会面临不同的数据安全问题。因此我们可以从不同环节面临的问题为视角提出相应的合规建议。第一，在数据收集阶段，数据收集要严格遵循数据主权原则，企业不可在未经许可的情况下私自收集个人信息。目前我国一些企业会采取一系列的措施想法设法收集用户信息，如“隐私政策条款”等，若我国想对接RCEP，则企业需要在数据收集方面做出相应整改，严格落实用户同意方可收集数据的原则，并建立相应的追责制度。第二，在数据传输和存储阶段，数据传输和存储阶段所要防范的问题主要在于第三人的恶意攻击和对数据的秘密窃取。严防境外黑客窃取我国公民数据和国防数据是RCEP的要求，也是每个企业应当尽到的责任。这就要求企业要提高数据传输和存储的技术，提高防范意识，维护数据安全。第三，在数据使用和分享方面，在这一阶段所面临的主要问题是数据的泄露，造成用户隐私被恶意获取。这就要求企业在使用数据时需要设立相应的限度，不可无限制的挖掘用户数据信息。因为从实际上来说，对客户数据挖掘地越深、分析地越全面，就越有可能对客户数据造成实际伤害。因此，在数据使用方面，无论是数据挖掘还是统计分析，都应当点到为止，避免过度利用。

在RCEP背景下，我国数据跨境合规不仅要对企业提供相应的政策建议，针对我国整体立法情况也要提出相应的建议。目前来说，我国数据保护法律尤其需要注重数据安全事件应急预案的制定和实施，以及违规事件发生后的补救措施和通报机制。围绕应对数据保护合规政策和合规管理流程两个层面的要求，企业应针对个人信息泄露、毁损、丢失，以及系统漏洞、计算机病毒、网络攻击、网络侵入等引发的网络安全事件，制定内部调查细则、违规责任人处理办法、合规体系和技术漏洞修复措施、停止服务和消除影响补救方案等应急预案，在违规事件发生后立即实施预案，启动调查、处置和补救措施，并向主管部门报告，积极配合事件调查。

参考文献：

[1]彭德雷,张子琳.RCEP核心数字贸易规则及其影响[J].中国流通经济,2021,35(08):18-29.

[2]杨宗凯.欧盟GDPR视野下中国企业合规性策略探析[J].新余学院学报,2022,27(02):72-79.

[3]赵海乐.RCEP争端解决机制对数据跨境流动问题的适用与中国因应[J].武大国际法评论,2021,5(06):39-55.

[4]刘维.跨境数据流动监管措施在GATS下的合规性分析[J].理论月刊,2018(03):151-158.

[5]洪治纲,霍俊先.RCEP对数据跨境流动的规制及其重要影响[J].西南金融,2022(04):83-94.

[6]邹杨,齐佳音.数字经济与大数据企业跨境数据合规专栏之——数据主权与数据跨境规制之欧盟[J].中国高新科技,2021(01):95+138.

[7]邹杨,齐佳音.数字经济与大数据企业跨境数据合规专栏之——美国数据主权与数据跨境规制研究[J].中国高新科技,2021(11):67-68.

[8]谢卓君,杨署东.全球治理中的跨境数据流动规制与中国参与——基于WTO、CPTPP和RCEP的比较分析[J].国际观察,2021(05):98-126.

[9]鄢雨虹.数据跨境流动规制中的正当公共政策目标例外及中国因应[J].兰州学刊,2022(03):106-119.

[10]曾磊.RCEP能否促成亚太版GDPR[J].中国外汇,2021(19):30-33.

[11]梅傲,侯之帅.互联网企业跨境数据合规的困境及中国应对[J].中国行政管理,2021(06):56-62.