DEPA视角下中国数据主权保护困境及应对建议

伴随着大数据时代的到来，全球数字贸易规模迅速壮大，各国之间的数字贸易合作不断加深，为维持国际数字贸易新秩序，多项数字经济贸易多边协议相继出台。与此同时，数据主权作为网络主权的新发展也成为国际社会关注的焦点。中国正在积极推进加入《数字经济伙伴关系协定》（DEPA），对内建立健全数据跨境法律制度与国际规则接轨，对外主动参与全球数字贸易规则的制定掌握话语权，利于国家安全、个人隐私的保护，保障中国数据主权不受侵犯。中国的申请加入可能使 DEPA 在未来的全球数字经济规则框架中占据更为主流的地位，而 DEPA 作为开放性的数字经济协定为中国参与全球数据治理提供了一种新的路径。

DEPA 是新加坡、智利、新西兰三国主导的数字经济贸易协定。DEPA协定中包含十六个模块，涉及商业和贸易便利化、数字产品及相关问题、数据问题、更广阔的信任环境、商业和消费者信任、数字身份、新兴趋势和技术、创新和数字经济、中小企业合作、数字包容、透明度和争端解决等议题。有关数据的议题集中在模块四和模块九，主要内容涉及个人信息保护、通过电子方式跨境传输信息、计算机设施位置、数据创新及开放政府数据。DEPA 规则以“美式”数字贸易规则模板为基础进行了调整。在跨境数据自由流动问题上，与美国以《澄清域外合法使用数据法案》为主的宽进严出的数据 流动模式不同，DEPA 规则倡导数据双向自由流动，积极促进数据资源整合，建立互利共赢的数据经济圈。1

在跨境数据流动方面，DEPA 与《全面与进步跨太平洋伙伴关系协定》（CPTTP）规定相似，明确数据类型含个人信息，适用于“涵盖的人开展业务” 。而《区域全面经济伙伴关系协定》（RCEP）未明确数据是否含个人信息，仅针对“从事商业行为”目的的电子跨境传输信息作规定，范围较窄。跨境数据自由流动例外规定上，DEPA 与 CPTTP 一致，在特定前提下，允许缔约方采取实现“合法公共政策目标”的限制措施。RCEP 除“合法公共政策”外，还将保护“安全利益”管制措施列为特别例外。个人信息保护模块，DEPA 与 CPTTP 对个人信息概念界定相似，但范围规定有别，CPTTP 限于“电子商务”，DEPA 涵盖“数字经济参与者”。RCEP 更强调线上个人信息保护。数据存储本地化规定，DEPA、RCEP 与 CPTTP 一般规则均表明，不得要求涵盖的人在缔约方领土内设置计算机设施作为开展业务条件。但DEPA 设有例外，允许以维护合法公共政策等为目标管制数据。在特别规定中，RCEP 允许出于保障安全利益目的管制数据存储，DEPA 和 CPTTP则规定缔约方可设监管要求及不得禁止出于“合法公共政策目标”的制约行为。

在数据跨境流动问题上，DEPA 规则在模块四中明确规定，各缔约方在除涉及维护合法公共政策目标以外，尽可能的减少对跨境数据流动的限制，力求建立一个共享并能保护个人和消费者信息的信任体系。然而，中国在有关跨境数据自由流动的问题上并未作出系统的法律规定，而是分散规定在《网络安全法》《中华人民共和国数据安全法》以及《个人信息保护法》等法律规范之中。中国力求以保护国家安全为基础谋求数字经济发展，即中国的数据跨境自由流动是建立在数据安全的基础之上的。 目前中国现行有关数据跨境的立法存在不足，尚未明文规定具体的数据域外管辖权，在面对外国数据域外管辖权滥用所造成的威胁和损害时，没有对等有效的法律规范进行防范或抵抗。并且由于中国在跨境数据流动法规政策的制定方面相对保守，未能有效参与国际规则的制定，往往会因为数据域外管辖使跨国企业处于两难境地，同时增加企业数据合规负担。 现有的企业数据合规措施在一定程度上推动了企业提高数据管理能力，但因缺乏针对性的数据合规规范，在数字贸易实践中因缺少相关数据跨境合作协议，中资企业即使在熟悉并遵守当地的立法及司法、行政诉讼程序的情况下，也在所难免的出现数据输出国监管机构依照其职权，要求中国企业提供中国法律所禁止或限制跨境的特定数据的情况，造成企业陷入进退两难的境地。

4 数字经济的发展与跨境数据自由流动密不可分，国内数据立法的不足以防范内部风险及外国域外管辖造成的外部威胁，影响中国互联网企业“走出去”同时也限制外资企业“引进来”。此外，《网络安全法》第 37 条规定，关键基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。该条标志着中国初步建立起以重要数据和个人信息为重点监管对象的数据本地化政策。 《个人信息保护法》规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中国境内收集和产生的个人信息存储在境内。对个人信息数据的本地化作出了进一步的规定。然而 DEPA 规则更加强调数据跨境自由流动，禁止缔约方强制数据本地化存储，与中国目前的数据本地化模式相冲突。

当前以《网络安全法》、《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等法律规范为基础的数据跨境流动模式已基本确立，明确了数据治理的模式和准则，但是相关配套规则及具体细则并未涉及。相较于美国、欧盟的完善的数据法律体系，中国跨境数据流动规则体系建设仍存在较大差距。首先，中国应当坚持以保护国家安全为基础进行跨境数据流动的原则不动摇，摒弃保守被动的域外管辖权理念，设立广泛的数据管辖包括域外管辖和合理的普遍管辖，确保在企业面临合规风险时提供法律救济，保障数据企业的合法利益和中国数据主权。其次，中国应当在寻求数据流动和数据安全平衡点的前提下，落实数据本地化模式同时建立多元、安全、有效的中国特色跨境数据流动规则体系，在保障国家网络安全和数据主权的基础上最大程度发挥数据的经济价值。另外，在数据安全可控前提下，秉持互联、开放、共享的价值理念，积极主动地参与国际数据规则建设，借鉴欧美先进经验及相关国家数据保护原则，建立“跨境数据流动白名单”机制，同时加强与重要贸易伙伴国或“一带一路”经济带国家间的数据流动认定，推进 DEPA 数字贸易规则合作框架下的数据流动协议与标准的制定，推动国际数据跨境治理规则的构建。 最后，为更好地融入全球数字经济的浪潮，中国需要在保护数据主权与促进跨境数据流动之间寻找平衡点。数据主权保护和数字贸易的发展离不开数据跨境监管制度，中国应当在明确企业安全责任的基础上，细化数据出境监管规则，设立统一的数据跨境监管部门。

在数字经济中，国家数据主权保护不仅和完善的国内法有关，亦与紧密的国际合作密不可分。全球数字贸易规则正在逐步构建中，欧盟、美国等发达国家积极参与并主导国际数据规则的制定，中国也应尽早完善內国法律并与国际规则接轨，主动掌握国际数据治理话语权。同时应当继续坚持以数据主权安全为基础的数据跨境流动，对 DEPA 数字贸易规则的内容进行综合评估，结合目前国内数字经济发展状况，有选择地参与 DEPA，提出数据治理的中国方案，在尊重主权的基础上，与其他国家共同构建全球数字治理的新格局。

参考文献

1 王辰灏. DEPA 规则与中国跨境数据流动模式构建的互动[J]. 网络安全技术与应用，2022，（12）：49-52.

2 杜昕. 数据跨境流动的法治挑战与应对[J]. 网络安全与数据治理，2023，42（01）：45-53.

3 董京波. 跨境数据流动安全治理[J]. 科技导报，2021，39（21）：9-17.

4 许多奇. 论跨境数据流动规制企业双向合规的法治保障[J]. 东方法学，2020，（02）：185-197.

5 陈兵. "数字企业数据跨境流动合规治理法治化进路." 法治研究2（2023）：11.

6 李佳倩，叶前林，刘雨辰，陈伟. DEPA 关键数字贸易规则对中国的挑战与应对——基于 RCEP、CPTPP 的差异比较[J]. 国际贸易，2022，（12）：63-71.