關于《數(shù)字經(jīng)濟伙伴關系協(xié)定》（DEPA）的介紹，可見崔凡老師的文章【重磅：中國宣布決定申請加入《數(shù)字經(jīng)濟伙伴關系協(xié)定》】。DEPA中數(shù)據(jù)本地化和跨境流動的條款，與CPTPP的條款一致，如下：

　　DEPA的Article 4.3是數(shù)據(jù)跨境條款：

　　DEPA的Article 4.4是數(shù)據(jù)本地化條款：

　　本文不討論CPTPP中存在的不符措施、政府信息和金融信息的例外、安全例外等，而僅僅從這兩個條文本身中提供的正當化措施來看。【注：公號君個人認為DEPA中提供的安全例外，要比CPTPP的安全例外更加寬泛】

　　對于該條文，核心焦點在于是否能接受“合法公共政策目標”、“任意或不合理歧視的方式”、“對貿(mào)易構(gòu)成變相限制”、“超出實現(xiàn)目標所需要的限制”。總的說來，就是三方面：1、有沒有合法事由？2、措施是否必要？3、措施的實施是否有歧視性？

　　合法事由

　　到目前為止，“合法公共政策目標”沒有權威的解釋。更多的是各締約方自我理解，但在CPTPP中，自我理解有爭議解決機制來約束。那“合法公共政策目標”的范圍可以有多大？

　　一個很好的參考是巴西在WTO電子商務章節(jié)談判中所提出案文中所列舉的事項：

　　通過電子方式跨境傳輸信息

　　成員認識到每個成員對通過電子方式跨境傳輸信息可能有自己的監(jiān)管要求。

　　各成員國應允許以電子方式跨境傳輸信息，如果此傳輸是為開展業(yè)務所需。

　　本條的任何規(guī)定均不得阻止成員為實現(xiàn)公共政策目標，采取或維持與本條第2款不一致的措施，前提是該措施不是以一種構(gòu)成任意或不合理歧視手段的方式適用。

　　本條中的任何內(nèi)容均不得解釋為阻止任何成員采用或強制執(zhí)行必要措施，為實現(xiàn)如下目標：

　　a）    保護公共道德或維持公共秩序；

　　b）    確保防止欺騙性和欺詐性做法或處理在線合同違約的影響；

　　c）   保護公民、消費者和醫(yī)療患者在個人數(shù)據(jù)處理和散布時的隱私，以及保護個人記錄和帳戶的保密性；

　　d）    確保安全；

　　e）    網(wǎng)絡安全；

　　f）     抵制和防止恐怖主義； 和

　　g）    打擊并防止刑事犯罪。

　　本條款中的任何內(nèi)容均不得解釋為要求任何成員提供任何其認為一旦披露則可能損害其基本安全利益的信息。

　　本條款不得解釋為阻止任何成員采取任何其認為保護其基本安全利益所必要的行動：

　　a）     與為軍事設施直接或間接提供服務供應所相關的；

　　b）     與可裂變和可熔化材料或其衍生材料有關；

　　c）     在國際關系中發(fā)生戰(zhàn)爭或其他緊急情況時；或者

　　本條款不得解釋為阻止任何成員為履行《聯(lián)合國憲章》規(guī)定的維護國際和平與安全的義務而采取的任何行動。

　　可以從巴西的案文中看到，“合法公共政策目標”的范圍在第4款中有列舉。我們可以將國內(nèi)立法對照上述范圍，做一個簡單的判斷。

　　措施必要性

　　措施必要性很麻煩。一個關鍵問題是：CPTPP14.11和14.13條中提到的“需要的（required）”是否采取了WTO案例法中的“必要性測試”。眾所周知，“必要性測試”的門檻特別高，現(xiàn)有案例中鮮有締約國的國內(nèi)法能夠通過該測試?！鞠嚓P分析見：數(shù)字貿(mào)易協(xié)定 |  GATS/GATT中“一般性例外條款”的援引實踐】

　　如果分析我國目前對數(shù)據(jù)本地化和跨境流動的規(guī)定中，數(shù)據(jù)本地化所實現(xiàn)的“合法公共政策”無外乎為：

　　1、實現(xiàn)信息安全

　　2、保護個人信息

　　3、確保監(jiān)管方便地訪問、調(diào)取數(shù)據(jù)

　　4、防止外國敵對勢力獲取存儲在其境內(nèi)的數(shù)據(jù)

　　對于目標1，美西方一貫認為，數(shù)據(jù)存儲地點并不能保證數(shù)據(jù)安全。相反，數(shù)據(jù)存儲時配套的管理和技術手段、人員能力和水平，才真正決定數(shù)據(jù)安全水平。

　　對于目標2，美國與歐盟具有分歧，但事實上美國接受了歐盟的立場，即為實現(xiàn)個人信息保護這個政策目標，可以要求數(shù)據(jù)在境內(nèi)存儲。

　　對于目標3，美西方具有一定的認可度，體現(xiàn)于TPP第11章——“金融服務”。該章的附錄B的Section B要求[1]，一國應當允許金融機構(gòu)在日常運營中所需開展的跨境數(shù)據(jù)流動，除非是（a）為了保護個人數(shù)據(jù)，個人隱私，記錄或賬戶的保密性；（b）出于審慎監(jiān)管所需，在指定數(shù)據(jù)接收方前事先征求監(jiān)管機構(gòu)的許可。之所以美國允許這樣的數(shù)據(jù)本地化規(guī)定，源自于其2008年金融危機期間的經(jīng)驗。2016年2月，美國前財政部部長Jack Lew透露，之所為TPP用了這樣的語言，主要是美聯(lián)儲和美國聯(lián)邦證券交易委員會的意見。這兩個機構(gòu)出于監(jiān)管需要，特別是在2008年金融危機期間，需要實時地獲取金融機構(gòu)的數(shù)據(jù)；但由于這些數(shù)據(jù)遍布全球，調(diào)取十分困難和繁瑣，嚴重耽誤了監(jiān)管工作的開展。但美國的金融機構(gòu)對此條文反對強烈，要求美國政府在其他談判中（注：主要是the Trade in Services Agreement （TiSA）， theTransatlantic Trade and Investment Partnership with the EU （T-TIP）， and theU.S.-China Bilateral Investment Treaty （BIT））修正在TPP中的立場，即更大程度避免金融業(yè)數(shù)據(jù)本地化的要求?！鞠嚓P分析見：TPP對跨境金融數(shù)據(jù)“另眼相看”？】同時，美國認為金融業(yè)監(jiān)管中，對于數(shù)據(jù)實時調(diào)取、訪問的需求強于其他行業(yè)，因此對于其他領域中，出于為方便監(jiān)管調(diào)取查閱數(shù)據(jù)目的的數(shù)據(jù)本地化要求，必然采取強烈的懷疑態(tài)度。

　　對于目標4主要體現(xiàn)國家安全需求，但美西方認為數(shù)據(jù)本地化本質(zhì)上并不能防范外國敵對勢力或組織獲取數(shù)據(jù)，因為有組織的黑客發(fā)起的網(wǎng)絡攻擊并不止步于國境線。但是他們也承認，數(shù)據(jù)本地化的要求，可以有效避免外國政府利用法律、行政、政策等合法手段直接調(diào)取存儲在其境內(nèi)的數(shù)據(jù)。

　　因此，從政策目標出發(fā)，美西方認為我國有些數(shù)據(jù)本地化的規(guī)定正當性不足，由此采取的本地化要求是“任意的”、“超出實現(xiàn)目標所需要的”。

　　措施的歧視性

　　我國目前關于數(shù)據(jù)本地化和數(shù)據(jù)跨境的法律要求，對國內(nèi)企業(yè)和外國企業(yè)“一視同仁”，但由于外國企業(yè)實現(xiàn)這個要求所需要的成本更高。

　　例如：在關于個人信息處理者用戶規(guī)模的量級中，公號君所舉的例子：

　　假設一個個中國用戶自己注冊了某個外國網(wǎng)站的用戶【注意，這個不屬于要出境評估的場景】，隨著時間的累計，外國網(wǎng)站發(fā)現(xiàn)自己的中國用戶數(shù)量已經(jīng)超過了100萬人，這時候，是不是按照第40條規(guī)定，外國網(wǎng)站必須將服務器挪到中國？或者至少在國內(nèi)建立一個個人信息存儲副本？

　　國外會認為，雖然這個規(guī)定在文本層面對中外企業(yè)一視同仁，但事實上在執(zhí)行過程中對外國企業(yè)造成了實際競爭上的劣勢，因此是個歧視性的規(guī)定。當然，是否真的構(gòu)成歧視性效果，有很復雜的法律分析步驟，也要看爭議解決機制中相關人員組成和其基本傾向等。

　　對文本的初步分析如上，并沒有任何明確的結(jié)論，供大家參考。