前言

自RCEP（全称：“Regional Comprehensive Economic Partnership” ，即《区域全面经济伙伴关系协定》）签订以来，世界上人口规模最大、成员结构最多元、发展潜力最大的区域贸易组织正式形成。今年以来，尽管全球投资波动较大，多数RCEP成员吸收外国直接投资（FDI）仍实现了较快增长。RCEP框架促进了数据跨境流动，然而，数据流动也伴随着合规风险。自本月起，上海贸促将推出RCEP网络安全与数据合规系列专题，本期为系列第一期——RCEP网络安全与数据合规的风险与挑战。

RCEP框架带来的机遇

2011年2月，第十八次东盟经济部长会议批准了建立RCEP的草案，其目标是建立一个涵盖16个国家的全面、高质量、互惠的区域自由贸易协定。2012年11月，东盟十国、中国、日本、韩国、印度、澳大利亚和新西兰等16国领导人共同发表《启动RCEP谈判的联合声明》，并于2013年5月正式启动。在谈判过程中，印度对市场开放比较消极，于2019年11月宣布暂缓加入。2020年11月，经过31轮谈判，15个成员国最终达成协议，正式形成了世界上人口规模最大、成员结构最多元、发展潜力最大的区域贸易组织。

根据联合国贸易和发展会议数据，2022年1月至6月，全球外国直接投资（FDI）达到8720亿美元，与2021年同期相比下降了7%，东亚地区吸收了1850亿美元的外国直接投资，与2021年同期相比增长了5%。尽管今年以来全球投资大幅波动，但由于东亚地区的经济链接和供应链韧性，大多数RCEP成员在吸收外国直接投资方便实现了快速增长。其中，中国实际使用外国直接投资1123.5亿美元，同比增长21.8%；马来西亚吸收外国直接投资1384.7亿林吉特（约合315.0亿美元），同比增长62.2%；澳大利亚吸收外国直接投资412.6亿美元，同比增长136.2%；日本吸收外国直接投资1.8万亿日元（约合132.5亿美元），同比增长8.5%；韩国吸收外国直接投资90.4亿美元，同比增长29.1%；同期，越南、印度尼西亚、泰国吸收外国直接投资分别达140.3亿美元、102.7亿美元、61.5亿美元。值得注意的是，与2021年同期相比，中国、马来西亚和越南在2022年第二季度吸收外国直接投资的比例分别增长了18%、37%和15%。（数据来源：中华人民共和国商务部中国自由贸易区服务网）

RCEP框架下有关数据跨境流动的规定

RCEP第12章第14条第2款规定“缔约方不得要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于领土之内，作为其在该缔约方领土内进行商业行为的条件（No Party shall require a covered person to use or locate computing facilities in that Party’s territory as a condition for conducting business in that Party’s territory）”，该条款规定了缔约国不得要求数据本地化。

RCEP第12章第15条第2款规定“缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。（A Party shall not prevent cross-border transfer of information by electronic means where such activity is for the conduct of the business of a covered person）”，该条款规定了缔约国不得禁止数据跨境传输行为。

可见，RCEP缔约国不得要求数据本地化以及禁止数据跨境传输。

RCEP第12章第14条第3款以及第12章第15条第3款规定了数据跨境禁止性条款的例外规范，“任何与第2款不符但该缔约方认为是实现其合法的公共政策目标所必要的措施，只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用；或者该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议（any measure inconsistent with paragraph 2 that it considers necessary to achieve a legitimate public policy objective, provided that the measure is not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination or a disguised restriction on trade; or (b) any measure that it considers necessary for the protection of its essential security interests. Such measures shall not be disputed by other Parties）”。

由此可见，在“合法的公共政策目的”以及“基本安全利益”前提下，允许缔约国要求数据本地化以及禁止数据跨境传输。

若企业数据处理行为涉及RCEP缔约国，如日本、韩国、澳大利亚、新西兰、东盟成员国等国家，首先需关注是否符合上述国家数据保护专门立法规定的域外适用条件，其次需进一步考虑该国是否存在数据本地化以及数据跨境传输要求，最后可判断该等数据跨境要求是否与RCEP数据跨境合规之禁止性规定及其例外规范相冲突。

总结：各缔约方可以针对数据存储和处理进行本地化监管。但缔约方不得要求以将设施必须置于该缔约方领土之内作为进入该缔约方领土内进行商业活动的前提条件。

RCEP框架与我国数据跨境流动规则衔接

为了指导和帮助数据处理者规范、有序申报数据出境安全评估，国家互联网信息办公室编制并于2022年9月1日起施行了《数据出境安全评估办法》，对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。

数据处理者因业务需要确需向境外提供数据，符合数据出境安全评估适用情形的，应当根据《数据出境安全评估办法》规定，确定数据出境场景并进行数据出境风险自评估，且应当具备下列条件之一：

（一）通过国家网信部门组织的数据出境安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

此外，数据处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

《数据出境安全评估办法》规定，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（一）数据处理者向境外提供重要数据；

（二）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。

从《数据出境安全评估办法》主要规定来看，网信部门关键评估点在于数据处理者获取个人信息的合法性、正当性和必要性，以及数据处理者与境外接收者对个人信息主体权益的保护能力、个人信息出境合同的可执行性。反之，如果数据处理者或接收者无力保障个人信息安全，或者数据处理者或接收者发生较大数据泄露、数据滥用等事件时，网信部门可以要求数据处理者暂停或终止向境外提供个人信息。总的来说，《数据出境安全评估办法》与RCEP规则并无冲突，且与RCEP例外条款的“公共政策目标”“基本安全利益”等表述有更紧密的连接。然而，尽管二者并无冲突矛盾之处，但在当今国际环境下我国对跨境流动的规制仍然一定程度上导致了诸多企业选择数据本地化，客观上提高了数据自由流动的成本。

在《数据出境安全评估办法》生效一年之际，9月28日，国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》，旨在保障国家数据安全，保护个人信息权益的基础上，进一步规范和促进数据依法有序自由流动。新规意见稿虽然条文不多，只有11条，但却反映出监管思路发生重大变化。意见稿强调在“规范”与“促进”之间找到平衡，通过“总结”前期工作经验的基础上，释放出“调整”数据跨境监管政策的明确信号。

这次监管政策的重大调整，将为企业开展数据跨境工作带来重要的窗口期。相较一年多前企业在数据跨境监管中摸索前行的局面，现在企业已经积累了一定合规工作经验，也对未来监管政策调整有所心理预期。因此，企业需要抓住这一政策调整出现的窗口期，及时调整工作思路和重点，推动企业数据跨境合规工作的开展。

具体来看，新规意见稿从多个方面帮助企业降低了合规成本:

1. 对一些不涉及重要数据和个人敏感信息的日常数据跨境场景进行了明确，帮助企业避免进行不必要的合规工作。

2. 明确划定了部分重要数据和个人信息的豁免场景，避免这些场景下企业承担过重的合规义务。

3. 减免了部分企业和场景下的安全评估、标准合同等前置合规要求，降低合规工作门槛。

4. 探索自贸区实施负面清单制度，进一步降低合规成本。

然而，企业在理解这次监管调整时，也不能错误解读这些“减负”措施的本质，把它们简单理解为对数据保护要求的降低。实际上，这次监管调整的目的是在不降低数据保护要求的前提下，减轻企业合规负担，从而促进监管措施的全面落地。

对部分场景进行豁免也好，减免部分前置审批也好，这些举措的目的都不是为了降低对企业数据跨境行为的监管力度，而是考虑到不同场景下安全风险的差异，采取差异化监管来鼓励企业合规。如果企业将减负误解为降低了数据保护要求，反而有可能导致企业在数据跨境中存在合规盲区。

《规范和促进数据跨境流动规定（征求意见稿）》所释放出的信号，意味着我国对数据跨境流动的监管进一步与RCEP的条款接轨。更加明晰的合规要求、在“监管”和“促进”之间更好的平衡、自贸区数据跨境传输的探索，都可能进一步让RCEP缔约各国与中国的数据跨境流动更加畅通、有序，稳步扩大规则、规制、管理、标准等制度型开放，更好服务构建新发展格局，推动RCEP高质量实施，助推地区经济不断前行，为亚太和全球发展繁荣注入新动力。

来源：上海市贸促会

声明：本文仅为提供一般性信息之目的，不应用于替代专业咨询者提供的咨询意见。文内图片来源于网络。