RCEP包含数据跨境流动规定
RCEP是目前世界上最大的自由贸易区。《区域全面经济伙伴关系协定》（RegionalComprehensiveEconomicPartnership，RCEP）是2012年由东盟发起，由包括中国、日本、韩国、澳大利亚、新西兰和东盟十国共15方成员制定的区域贸易协定。2022年1月1日，RCEP正式生效，首批生效的国家包括东盟6国和包括中国在内的非东盟4国。2023年6月2日，RCEP对菲律宾正式生效，标志着RCEP对东盟10国和5个非东盟国家全面生效。RCEP是目前世界上最大的自由贸易区。世界银行和WTO数据显示，15个RCEP成员国覆盖人口（截至2022年为22.99亿，占全球的28.92%）、GDP（2022年为29.40万亿美元，占全球的29.24%）、出口贸易额（2022年为7.44万亿美元，占全球的29.85%），基本都占全球总量的30%左右。
RCEP包含数据跨境流动规定。数据是在第四次工业革命过程中，继货物、劳动力、服务和资本元素之后，突破传统跨境贸易的第五种重要元素。数据跨境流动政策是各国寻求数字经济发展和保护本国数据利益的重要工具，在区域贸易协定中占有重要地位。RCEP包含数据跨境流动规定。RCEP中数据跨境条款的生效，是亚太发达国家、发展中国家和不发达国家之间复杂数据跨境治理立场妥协的成果。
RCEP数据跨境流动规定包容性强
RCEP数据跨境流动规定具有较强包容性。RCEP关于数据跨境流动的规定主要在第12章电子商务章节。RCEP原则上倡导和鼓励“跨境数据自由流动”。同时，为了兼顾不同缔约国间数字经济发展与数据治理水平的差异，又设置了基于“公共政策目标”与“基本安全利益”等例外规定。此外，又为特定成员国设置了过渡期条款。
RCEP倡导数据跨境自由流动。一是原则上允许数据跨境自由流动。数据是跨境电子商务和数字贸易最基本的生产要素，电子商务和数字贸易的发展离不开数据的跨境流动。推动数据跨境自由流动，是RCEP的鲜明主题。从电子商务章节确立的原则与目标来看，第12章第2条规定了促进缔约方之间的电子商务以及全球范围内电子商务的更广泛使用、致力于为电子商务的使用创造一个信任和有信心的环境，以及加强缔约方在电子商务发展方面的合作。第12章第15条第2款中规定了任一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。二是RCEP原则上禁止数据本地化措施。第12章第14条第2款中规定了缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内，作为在该缔约方领土内进行商业行为的条件。
RCEP实行公共政策目标例外原则。“合法公共政策目标”（legitimatepublicpolicyobjective）例外原则，是RCEP跨境数据自由流动原则的例外规定。第12章第14条第3款针对计算设施位置本地化例外原则的规定，和第15条第3款针对电子方式跨境传输信息例外原则的规定。规定明确，允许各缔约方基于自身合法公共政策目标，采取或维持与RCEP禁止计算设施位置本地化和限制跨境数据自由流动原则不符的必要措施，只要该措施的使用不构成任意或不合理歧视或变相贸易限制。此外，RCEP未对合法公共政策目标的具体范围做出严格限定，给各国跨境数据流动的政策制定留有足够的自主空间和自由裁量权。
RCEP实行基本安全利益例外原则。“基本安全利益”（essentialsecurityinterests）例外原则，是RCEP跨境数据自由流动原则的又一个例外规定。第12章第14条第3款针对计算设施位置本地化例外原则的规定，和第15条第3款针对电子方式跨境传输信息例外原则的规定。规定中明确，允许各缔约方基于自身基本安全利益，采取或维持任何与RCEP禁止计算设施位置本地化和限制跨境数据自由流动原则不符的必要措施，并且其他缔约方不得对此提出异议。“基本安全利益”例外原则并未限制该原则的适用不能“构成任意或不合理歧视或变相贸易限制”，并且增加了“其他缔约方不得提出异议”即不得诉诸争端解决机制的规定，相较于“合法公共政策目标”例外原则而言在适用上更加宽松和开放，即只要缔约方认为其与RCEP不符的规定设置是基于维护国家基本安全利益的考虑，就可豁免RCEP关于跨境数据自由流动的规定要求。
RCEP顾及到特定成员国的合理关切。RCEP充分考虑到个别国家发展的差异性，为一些数字经济发展水平落后、跨境数据流动规制严重滞后的特定成员国规定了过渡期以及例外条款。在RCEP第12章电子商务章节中，针对线上个人信息保护（第8条第1款）、非应邀商业电子信息追索权（第9条第2款）、计算位置设施限制（第14条第2款）、通过电子方式跨境传输信息（第15条第2款）等，均明确柬埔寨、老挝、缅甸等国在RCEP协定生效之日起五年内没有被强制要求适用以上条款，如有必要可再延长三年。
未来需要完善RCEP数据跨境流动规则
RCEP成员国的数据跨境流动规则呈现多样性。情形一：禁止数据传输。如，韩国不允许医疗健康数据跨境传输，印度尼西亚《2019年第71号条例》禁止公共部门的数据跨境传输。情形二：要求数据本地存储。如，2018年越南颁布的《网络安全法》第26条第3款规定网络供应商必须将数据存储在境内；2019年泰国颁布的《个人数据保护法》第27条第3款规定数据跨境传输时必须将无需通过数据主体同意的相关数据信息存储于境内。情形三：实行许可制。如，2021年日本修订的《个人信息保护法》第27条第1款规定了必须得到数据主体的同意后才可进行个人数据跨境传输的许可制；菲律宾《2012年数据隐私法》第12条a项将获得数据主体的授权或同意作为数据跨境传输的前置条件。情形四：推行标准制。如，新加坡《2012年个人数据保护法》第26条设立了数据跨境传输的标准制，在《2021年个人数据保护条例》第9条和第10条作了详细规定；新西兰《2020年隐私法》第193条第1款设立了授权制的标准制。
逐步规范完善RCEP数据跨境流动规则。RCEP成员国国内多样的数据跨境流动规则，需要进一步寻求最大公约数，成为RCEP共同遵守的相关规则，从而推动全球数据跨境流动治理框架的形成。RCEP数据例外条款的适用性需要在实践中进一步完善，以加强数据跨境流动监管的可预期性。WTO争端解决机构在例外条款适用的争端解决中形成了详细且实用的例外条款解释方法，中国应积极推动遵循WTO相关案例的指引解释RCEP数据例外条款。
(作者系商务部国际贸易经济合作研究院研究员徐德顺)