關于《數字經濟伙伴關系協定》（DEPA）的介紹，可見崔凡老師的文章【重磅：中國宣布決定申請加入《數字經濟伙伴關系協定》】。DEPA中數據本地化和跨境流動的條款，與CPTPP的條款一致，如下：

　　DEPA的Article 4.3是數據跨境條款：

　　DEPA的Article 4.4是數據本地化條款：

　　本文不討論CPTPP中存在的不符措施、政府信息和金融信息的例外、安全例外等，而僅僅從這兩個條文本身中提供的正當化措施來看。【注：公號君個人認為DEPA中提供的安全例外，要比CPTPP的安全例外更加寬泛】

　　對于該條文，核心焦點在于是否能接受“合法公共政策目標”、“任意或不合理歧視的方式”、“對貿易構成變相限制”、“超出實現目標所需要的限制”。總的說來，就是三方面：1、有沒有合法事由？2、措施是否必要？3、措施的實施是否有歧視性？

　　合法事由

　　到目前為止，“合法公共政策目標”沒有權威的解釋。更多的是各締約方自我理解，但在CPTPP中，自我理解有爭議解決機制來約束。那“合法公共政策目標”的范圍可以有多大？

　　一個很好的參考是巴西在WTO電子商務章節談判中所提出案文中所列舉的事項：

　　通過電子方式跨境傳輸信息

　　成員認識到每個成員對通過電子方式跨境傳輸信息可能有自己的監管要求。

　　各成員國應允許以電子方式跨境傳輸信息，如果此傳輸是為開展業務所需。

　　本條的任何規定均不得阻止成員為實現公共政策目標，采取或維持與本條第2款不一致的措施，前提是該措施不是以一種構成任意或不合理歧視手段的方式適用。

　　本條中的任何內容均不得解釋為阻止任何成員采用或強制執行必要措施，為實現如下目標：

　　a）    保護公共道德或維持公共秩序；

　　b）    確保防止欺騙性和欺詐性做法或處理在線合同違約的影響；

　　c）   保護公民、消費者和醫療患者在個人數據處理和散布時的隱私，以及保護個人記錄和帳戶的保密性；

　　d）    確保安全；

　　e）    網絡安全；

　　f）     抵制和防止恐怖主義； 和

　　g）    打擊并防止刑事犯罪。

　　本條款中的任何內容均不得解釋為要求任何成員提供任何其認為一旦披露則可能損害其基本安全利益的信息。

　　本條款不得解釋為阻止任何成員采取任何其認為保護其基本安全利益所必要的行動：

　　a）     與為軍事設施直接或間接提供服務供應所相關的；

　　b）     與可裂變和可熔化材料或其衍生材料有關；

　　c）     在國際關系中發生戰爭或其他緊急情況時；或者

　　本條款不得解釋為阻止任何成員為履行《聯合國憲章》規定的維護國際和平與安全的義務而采取的任何行動。

　　可以從巴西的案文中看到，“合法公共政策目標”的范圍在第4款中有列舉。我們可以將國內立法對照上述范圍，做一個簡單的判斷。

　　措施必要性

　　措施必要性很麻煩。一個關鍵問題是：CPTPP14.11和14.13條中提到的“需要的（required）”是否采取了WTO案例法中的“必要性測試”。眾所周知，“必要性測試”的門檻特別高，現有案例中鮮有締約國的國內法能夠通過該測試。【相關分析見：數字貿易協定 |  GATS/GATT中“一般性例外條款”的援引實踐】

　　如果分析我國目前對數據本地化和跨境流動的規定中，數據本地化所實現的“合法公共政策”無外乎為：

　　1、實現信息安全

　　2、保護個人信息

　　3、確保監管方便地訪問、調取數據

　　4、防止外國敵對勢力獲取存儲在其境內的數據

　　對于目標1，美西方一貫認為，數據存儲地點并不能保證數據安全。相反，數據存儲時配套的管理和技術手段、人員能力和水平，才真正決定數據安全水平。

　　對于目標2，美國與歐盟具有分歧，但事實上美國接受了歐盟的立場，即為實現個人信息保護這個政策目標，可以要求數據在境內存儲。

　　對于目標3，美西方具有一定的認可度，體現于TPP第11章——“金融服務”。該章的附錄B的Section B要求[1]，一國應當允許金融機構在日常運營中所需開展的跨境數據流動，除非是（a）為了保護個人數據，個人隱私，記錄或賬戶的保密性；（b）出于審慎監管所需，在指定數據接收方前事先征求監管機構的許可。之所以美國允許這樣的數據本地化規定，源自于其2008年金融危機期間的經驗。2016年2月，美國前財政部部長Jack Lew透露，之所為TPP用了這樣的語言，主要是美聯儲和美國聯邦證券交易委員會的意見。這兩個機構出于監管需要，特別是在2008年金融危機期間，需要實時地獲取金融機構的數據；但由于這些數據遍布全球，調取十分困難和繁瑣，嚴重耽誤了監管工作的開展。但美國的金融機構對此條文反對強烈，要求美國政府在其他談判中（注：主要是the Trade in Services Agreement （TiSA）， theTransatlantic Trade and Investment Partnership with the EU （T-TIP）， and theU.S.-China Bilateral Investment Treaty （BIT））修正在TPP中的立場，即更大程度避免金融業數據本地化的要求。【相關分析見：TPP對跨境金融數據“另眼相看”？】同時，美國認為金融業監管中，對于數據實時調取、訪問的需求強于其他行業，因此對于其他領域中，出于為方便監管調取查閱數據目的的數據本地化要求，必然采取強烈的懷疑態度。

　　對于目標4主要體現國家安全需求，但美西方認為數據本地化本質上并不能防范外國敵對勢力或組織獲取數據，因為有組織的黑客發起的網絡攻擊并不止步于國境線。但是他們也承認，數據本地化的要求，可以有效避免外國政府利用法律、行政、政策等合法手段直接調取存儲在其境內的數據。

　　因此，從政策目標出發，美西方認為我國有些數據本地化的規定正當性不足，由此采取的本地化要求是“任意的”、“超出實現目標所需要的”。

　　措施的歧視性

　　我國目前關于數據本地化和數據跨境的法律要求，對國內企業和外國企業“一視同仁”，但由于外國企業實現這個要求所需要的成本更高。

　　例如：在關于個人信息處理者用戶規模的量級中，公號君所舉的例子：

　　假設一個個中國用戶自己注冊了某個外國網站的用戶【注意，這個不屬于要出境評估的場景】，隨著時間的累計，外國網站發現自己的中國用戶數量已經超過了100萬人，這時候，是不是按照第40條規定，外國網站必須將服務器挪到中國？或者至少在國內建立一個個人信息存儲副本？

　　國外會認為，雖然這個規定在文本層面對中外企業一視同仁，但事實上在執行過程中對外國企業造成了實際競爭上的劣勢，因此是個歧視性的規定。當然，是否真的構成歧視性效果，有很復雜的法律分析步驟，也要看爭議解決機制中相關人員組成和其基本傾向等。

　　對文本的初步分析如上，并沒有任何明確的結論，供大家參考。