国际数字贸易规则的主要议题研究
2020-02-22浙江大学浙江杭州310008
文 马 光(浙江大学,浙江杭州 310008)
内容提要:随着国际数字贸易的快速发展,现有规则已经很难满足其进一步发展,因此,需要出台相应的国际规则。美国为了维持和发展在数字贸易领域所处的领先地位作出了积极的努力。而在数字贸易中对个人隐私的保护也越来越多的受到关注,欧盟则是较为典型的个人数据保护倡导者,主张为了隐私保护而对信息的跨境流动进行限制是正当的。将数据贸易、个人信息保护和网络安全的规定捆绑在一起的模式,也向我们提示了有关网络空间利用的国际规范之方向。
一、引言
2013年“棱镜门”事件发生后,对个人数据的保护迅速成为国际热门话题。在2013年的联合国大会上通过了《数字时代的隐私权》决议,欧盟法院则在2015年以美国情报部门有可能侵犯欧盟市民的个人数据保护为由,将从2000年开始实施的欧美《安全港协议》予以无效化。接着在2016年7月14日,美国联邦上诉巡回法院判决美国法律执行当局不能强制要求微软公司将其存储在爱尔兰数据中心的顾客邮件交出来。此案被评价为在法律执行的正当利益和个人隐私权之间谋求较好的均衡。联合国信息安全政府专家组(以下简称为UNGGE)和上合组织的《2015年国际行动纲领草案》也确认国家对信息通信技术的利用要尊重人权和基本自由。对数字隐私[1]的保护在以联合国为中心的多边体制和欧盟、美国等贸易主体的双边体制中都得到确认。美国通常在假设只有私人信息可以得到保护的前提下使用“数据隐私”一词。相比之下,欧洲使用更广泛的术语“数据保护”,它可以扩展到公共领域的信息。
互联网等网络空间对贸易和经济发展起到了至关重要的作用,而我们将此类经济称为“数字经济”,将此类贸易则称为“数字贸易”。《关贸总协定》和《服务贸易总协定》分别为促进货物贸易和服务贸易而制定,那么,为了发展和调整数字贸易,是否需要出台新的国际规则呢?答案是肯定的,因为现有的国际规则已经无法满足数字贸易的快速发展。而在此方面,美国为了维持和发展他们在数字经济(包括数字贸易)领域所处的领先地位作出了积极的努力。这些努力主要表现在以《全面与进步跨太平洋伙伴关系协定》(以下简称为CPTPP)和 《美墨加协定》(以下简称为USMCA)等自由贸易协定(以下简称为FTA)为中心的国际条约上。其实,美国和约旦、澳大利亚、巴林、智利、哥伦比亚、韩国、摩洛哥、阿曼、巴拿马、秘鲁、新加坡等国签订的FTA和中美洲FTA 均具有电子商务相关章节,但因CPTPP 和USMCA 的内容更为典型和全面,故在本文中仅对这两个FTA 进行研究。其中,CPTPP 已于 2018年 12月 30日正式生效,而USMCA 则尚需完成缔约国的国内批准程序。
另一方面,在数字贸易中对个人数据的保护也越来越多的受到关注,欧盟则是较为典型的个人数据保护倡导者,这主要表现在以其 《通用数据保护条例》(以下简称为GDPR)为中心的立法上。
本文将从CPTPP、USMCA 对数字贸易的相关规定入手,再结合GDPR 和《关于个人数据自动化处理的个人保护公约》(以下简称为《108 号公约》)对跨境流动个人数据的保护规定,探讨这些规定的内涵,并在此基础上对国际数字贸易规则的制定提出相关建议。
二、相关定义和CPTPP、USMCA的适用范围
首先,我们要明确若干相关概念,这些包括:电子商务和数字贸易,个人信息、个人数据和个人隐私,数字产品等。
目前世界上尚无普遍得到认可的电子商务和数字贸易定义,但实际上两个概念在多数情况下得以混用。例如,从美国所发起或签订的 FTA 来看,USMCA 之前的 FTA 均采用了电子商务的用词,而在USMCA 中,在内容几乎相同的情况下,电子商务章节名称更名为数字贸易。
1998年,世界贸易组织 (以下简称为WTO)总理事会在其依照 《世界电子商务宣言》所通过的《电子商务工作程序》中将电子商务定义为,通过电子方式生产、分销,营销、销售或交付货物和服务。而这一定义在2004年签订的美国-摩洛哥FTA 第14.4 条中也得以沿用,尽管这是美国签订的FTA 中唯一对电子商务下定义的FTA。
美国从2013年开始使用数字贸易的概念,即,美国国际贸易委员会 (以下简称为USITC)的报告将其定义为:通过固定线路或无线数字网络交付产品和服务。此定义包括美国的国内商业活动以及国际贸易,但不包括大多数实物商品的贸易,例如在线订购的商品和具有数字对应物的实物商品 (例如以CD 或DVD 出售的书籍和软件,音乐和电影)。[2]2018年,美国贸易代表部(以下简称为USTR)则将其定义为,包括WTO 对电子商务的定义之所有要素在内,通过电子手段进行的与贸易有关的所有贸易方面。[3]USTR 对数字贸易的定义涵盖了传统的电子商务和包括数据跨境流动在内的依靠电子手段进行的贸易,因此,我们可以将USTR 对数字贸易的定义看作是广义的数字贸易定义,其包括了电子商务和数据跨境流动在内的狭义的数字贸易。CPTPP 的电子商务章节包括数据跨境流动相关的内容,因此,这里的电子商务概念又比数字贸易概念要广,但是要记住CPTPP 中的数据跨境流动之规定限定于电子商务层面上。
与未对数字贸易下定义不同,包括CPTPP和USMCA 在内的多数FTA 都对数字产品做出如下定义:“数字产品”是指经过数字编码、生产,用于商业销售或分销,并可以电子方式传输的计算机程序、文本、视频、图像、录音或其他产品,数字产品不包括货币在内金融工具的数字化表示[GDPR 4(1)条,《108 号公约》第 2 条]。
通过比较分析不难看出美国所主导的FTA中所用到的个人信息和欧盟在GDPR 中用到的个人数据概念其实没有本质区别。而从《经济合作组织对关于隐私保护与个人资料跨境流动的指针做出的建议》来看,虽然并未对隐私做出明确定义,但其将“保护隐私的法律”定义为 “指其执行具有保护个人数据作用的国家法律或法规”,从而不难看出其实是将个人隐私与个人数据等同起来,即,从这一点来看,个人数据、个人信息和个人隐私其实都被予以混用,本文也将不对这三个概念进行区分,但是,在援引相关条约和法律的具体条款时,则采用与条约中的用法相一致的概念。
而且,GDPR 对个人数据的定义和CPTPP和USMCA 对个人信息的定义也基本相同。GDPR 和《108 号公约》均对个人数据做出了如下定义:“个人数据”是指与已识别或可识别的自然人 (“数据主体”)有关的任何信息[GDPR 4(1)条,《108 号公约》第 2 条];“可识别的自然人”是指可以直接或间接识别的自然人,特别是可以参考诸如姓名、识别号、位置数据、在线标识符之类的标识符,或者可以参考特定于身体、生理、该自然人的遗传、心理、经济、文化或社会身份[GDPR 4(1)条]。而CPTPP 和USMCA 对 “个人信息”的定义是,指包括数据在内,能够被识别的有关自然人的信息(CPTPP 14.1 条,USMCA 19.1 条)。
关于数据的国际法地位,包括数字隐私角度上的个人信息和数字贸易角度上的个人信息。相同的,数据在国际法上武装冲突领域也得到较为深入的探讨。例如,在《网络行动国际法塔林手册》(以下简称为《手册》)的编写过程中对数据可否成为在国际人道法上受到网络攻击的物体予以探讨。即,如果数据能够被认定为不构成网络攻击对象的民用物体,破坏或变更数据的网络行动就能构成适用国际人道法的攻击,而对民用数据和其他受保护数据采取的网络行动则是非法的。当然,对数据的攻击导致人员的伤亡或物体的损伤,将被认定为攻击。相同的,使得设施等功能丧失的数据破坏或变更也被理解为攻击。
但是,对于在不发生人员伤亡或物体损伤等物理结果或功能丧失的情况下对数据本身的网络行动可否构成能够适用国际人道法的攻击这一问题,《手册》 编写组的多数专家持否定意见。他们认为红十字国际委员会对《1949年日内瓦第一议定书》(以下简称为《第一议定书》)中“民用物体的一般保护”的相关评注所提到的“可见的且有形的”某物这一解释具有说服力。国际专家组多数意见认为,数据是无形的,也是不可见的,因此不属于受国际人道法保护的物体。他们认为,数据无法被感觉器官所感知,因而物体的含义不应包括数据。尽管如此,少数专家的意见是应将特定数据当作物体。他们主张,对没有被认定为军事目标的数据应禁止网络行动。因为,如果不对数据的网络行动予以禁止,对很有价值和重要的民用数据的删除将能规避武装冲突法的规制范围。这样,就将会与《第一议定书》第48 条所规定的平民居民应从敌对行为的效果得到保护的武装冲突法目的相抵触。但是,多数专家还是认为这种立场并非实在法,而仅仅是应然法,所以对此予以否决(《手册》规则 100 第 5-7 段)。
至少现在数据因不可见和无形,无法被认定为受到国际人道法保护的民用物体,但因为数据灭失的效果有可能比伴随传统攻击产生的效果更加有害,也许这种法律立场无法持续很长时间。例如,以毁损国家经济体制信赖的方式变更金融体制的数据,比对一家银行进行的传统攻击,对平民居民来说可能更为致命。在依赖于网络的世界里,对有形物体产生的损害和对数据产生的损害来说,规范的区分将逐渐变得困难。[4]
2013年12月18日,联合国大会在第68届会期中通过了《数字时代的隐私权》决议。该决议是基于国际社会对2013年6月发生的“棱镜门”事件的强烈反响,由巴西和德国主导。该决议重申《联合国宪章》的宗旨和原则,也重申了《世界人权宣言》和《公民权利和政治权利国际公约》《经济、社会及文化权利国际公约》 在内的相关人权条约中铭记的人权和基本自由。并且,该决议确认包括隐私权在内,人在网下所具有的相同权利在网上也应得到保护。从此,在人权理事会2012年《互联网上推动、保护及享有人权》决议所特别明示的网上言论自由外,还特别明示了线上的隐私权保护。
2014年 6月 30日,联合国人权高专办向联合国大会提交 《数字时代的隐私权》报告。该报告阐明世界上公开和非公开的数字监控例子在扩散,政府的大量监控已经不再是例外措施,而是成为一种危险的习惯。而且,该报告确认国际人权法对包括国内外监控,对数字通信监听和个人信息搜集在内,对隐私权的促进和保护提供明确和普遍的装置。该报告建议通过开发能够有效防止滥用的保护装置,使得监视政策或行为能够符合包括隐私权在内的国际人权法,并为此将各自的国内法、政策和行为进行审查,同时关注到被害者对有效救济措施的权利,要求保障有效、独立的监督体制和行为。
在UNGGE 看来,网上的人权保护对美国在内的西方国家和包括中国和俄罗斯在内的非西方国家来说都是敏感的事项。
在第四届UNGGE 报告的自发性规则部分,各国提到为了保障信息通信技术的安全利用,要保障包括表达自由权利在内的人权,并为此应尊重联合国大会的 《数字时代的隐私权》和人权理事会的《互联网上推动、保护及享有人权》决议。虽然线上人权保障包含在自发性规则这一点来看,其强制力上是有问题的,但是,不能排除其发展成为国际规范的可能性。
CPTPP 和USMCA 能够支持武装冲突法的这种新解释可能性。在商品和服务的基础上,对数据的贸易以国际规范的方式得到认可和保护,意味着数据与商品和服务一样成为能够所有和使用的对象,并从而具有了经济价值。如果CPTPP 和USMCA 对数字贸易的国际规范能够被其它FTA 和WTO 诸边协定所吸收,那么数据将与受到国际人道法一般保护的人和传统物体一样,能够成为新的受保护的物体。因为,在经济贸易关系中被认定为重要的数据在国际人道法上也应被认定为从网络攻击受到保护的重要民用物体。数据作为国际网络法的基本要素,也成为连接构成国际网络法具体领域的要素。
CPTPP 第 14 章 (电子商务)和 USMCA第19 章(数字贸易)中包含对信息的规定,而该信息涵盖了个人信息。这两章均适用于缔约方采取或维持的以电子方式影响贸易的措施 (CPTPP 14.2.2 条,USMCA 19.2.2 条)。因为是影响贸易的措施,所以,其适用范围广于适用于贸易或调整贸易的措施。而这里的措施包括任何法律、法规、程序、要求或实践,因此,其实际适用范围应在具体情况下予以分析。
CPTPP 第 14 章和 USMCA 第 19 章不适用于:(1)政府采购;(2)由缔约方或代表缔约方持有或处理的信息,或与此类信息有关的措施,包括与其收集有关的措施(CPTPP 14.2.3 条,USMCA 19.2.3 条)。因此,由政府或代表政府收集或处理信息的行为不适用该章,例如,国内法要求将政府持有的公民健康信息仅在国内予以保存和处理,这种规定则不受CPTPP 和USMCA 的约束,即,此时无需考虑这些FTA 对数据本地化的禁止。而CPTPP 和USMCA 把个人信息保护的范围限定在电子商务或数字贸易用户 (CPTPP 14.8条,USMCA 19.8 条)。这一点是可以理解的,因为其放在电子商务或数字贸易章节中。另外,CPTPP 第 14 章和 USMCA 第 19 章的规定还适用WTO 《服务贸易总协定》14 条下的一般例外及类似于14 条之二所规定的安全例外 (CPTPP 29.1.3 条和 29.2 条,USMCA 32.1.2 条和 32.2 条)。即,在符合这些例外的情况下,是可以对数据跨境流动进行限制,尽管这些限制因受到相关条件的约束而变得非常困难。USMCA 则附加公开的政府数据适用该章。而对公开的政府数据则规定在19.18条中。其规定:缔约方认识到,便利公众获取和使用政府信息可以促进经济和社会发展、竞争力和创新。在某一缔约方选择向公众提供政府信息(包括数据)的范围内,应努力确保该信息采用机器可读和开放的格式,并且可以被搜索、检索、使用、反复使用和重新分发。缔约方应努力合作,以查明缔约方可以扩大对已公开的政府信息(包括数据)的访问和使用的方式,以期增加和创造商机,特别是为中小企业创造商机。从政府信息的整体排除到部分排除,反映了美国缔结FTA 时的一种新倾向。
三、对数据自由跨境流动的要求和本地化的限制
CPTPP 14.11.1 条规定各缔约方可以对通过电子手段传输信息提出自己的监管要求,而类似条款在USMCA 则没有出现。尽管该条款在其它条款的限制下并未赋予缔约方实质性的规制权,但因其在第一款就以类似于总则的形式赋予缔约方权利,所以在USMCA 中将该款予以删除,还是可以理解为对数据跨境移动的规制产生了较大影响。尽管如此,当该活动涉及涵盖人的经营活动时,各方应允许通过电子手段跨境流动包括个人信息在内的各种信息 (CPTPP 14.11.2 条,USMCA 19.11.2 条)。而“涵盖人”则包括:涵盖投资、缔约方的投资者(金融机构投资者除外)、缔约方的服务提供者(CPTPP 14.1 条,USMCA 19.1 条)。因此,缔约方要保障包括个人信息在内信息的跨境流动,也就是说,数据跨境流动自由得以保障。
但这种保障也是有例外的,即缔约方为了实现合法的公共政策目标,可以采取或维持对信息跨境流动的限制措施,而这种措施要符合:(1)不构成任意或不合理的歧视或变相的贸易限制;(2)对信息传输施加的限制不超过实现目标所需限度 (CPTPP 14.11.3 条,USMCA 19.11.3 条)。换言之,要符合这种例外,应满足如下四个条件:(1)实现合法公共政策目标所需;(2)不构成任意或不合理的歧视;(3)不构成变相的贸易限制;(4)不超过实现合法公共政策目标所需限度。只要不符合上述四个条件之一,就会构成对该条款的违反。
这里所规定的“合法公共政策目标”应包含隐私保护。因此,可以主张为了隐私保护而对信息的跨境流动进行限制是正当的。但实际上这种例外能够符合上述所有条件并非易事。尽管如此,能够将包括个人信息在内的信息之电子手段跨境流动规定为一种义务还是具有很大意义。将信息或数据看作商品、服务、资本和人之外新的生产要素,允许信息的跨境流动符合时代要求,并能通过信息流动进一步扩大商品和服务的自由贸易。只不过考虑到个人信息所具有的隐私等有关人权的特性来看,原则上不限制个人信息跨境流动应与个人信息或隐私保护的另一法益相均衡。尽管在CPTPP 和USMCA 中包含了个人信息保护相关规定,但其并不要求各缔约方对保护个人信息的规范进行统一,而是允许各缔约方维持各自的相关法律体系。
2013年“棱镜门”事件和2015年欧盟法院将欧美《安全港协议》予以无效化等表明各国都普遍认为个人信息存储在美国服务器时并不能很好地得到美国政府的保护。而基于此种担忧,各国要求特定种类的信息存储于本国的服务器里,而美国则对此批评为是数字保护主义。CPTPP 和USMCA 则普遍禁止此类本地化要求。尽管如此,这种禁止还是有严格限制的例外。首先,CPTPP14.13.1 条规定各缔约方可以对计算设施提出包括寻求确保通信安全和机密性的监管要求,尽管这一规定在USMCA 里并未得以延续。例如,为了保护个人数据,各缔约方可以规定相关要求,从而自行规制计算设备的利用。而这里的“计算设备”是指用于处理或存储商业信息的计算机服务器和存储设备(CPTPP 14.1 条,USMCA19.1 条)。但是,各缔约方均不得要求涵盖人在该缔约方领土内使用或放置计算设施,以此作为在该领土内开展业务的条件(CPTPP 14.13.2,USMCA 19.12 条)。即,缔约方不能对在该领土内开展业务的企业要求必须使用位于该国境内的服务器。
尽管如此,与对数据跨境流动的限制类似,数据本地化限制也存在相应的例外。CPTPP 14.13.3 条规定,缔约方为了实现合法的公共政策目标,可以采取或维持本地化措施,而这种措施又要符合:(1)不构成任意或不合理的歧视或变相的贸易限制;(2)限制措施不超过实现目标所需限度。而这一内容并未在USMCA 里得以延续,表明后者对数据本地化的限制变得更加严格。
我国《网络安全法》第37 条也规定了本地化要求,即关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
四、个人信息保护
CPTPP 14.8 条和USMCA 19.8 条是关于个人信息保护的规定,缔约方认识到保护电子商务(或数字贸易)用户个人信息的经济和社会效益,以及这对提高消费者对电子商务(或数字贸易)信心所做的贡献(CPTPP 14.8.1条,USMCA 19.8.1 条)。为此,各缔约方应制定或维持一个法律框架,规定保护电子商务(或数字贸易)用户的个人信息(CPTPP 14.8.2 条,USMCA 19.8.2 条)。因该条款使用了shall 这个单词,所以此项规定并非具有法律拘束力。个人信息保护法律体系的要求仅适用于电子商务利用者。[5]因此,如果公共部门的个人信息和电子商务不关联,则此类个人信息的保护就不包含在内。换句话说,CPTPP 和USMCA 的个人信息保护并非具有一般性。从这一点来看,因其FTA 的性质,这些FTA 中对个人信息的保护还是与GDPR具有很大区别。缔约方可以通过综合性个人信息保护法、包含隐私的部门特定法、通过隐私相关企业的自发承诺进行执行的立法等方式满足这一要求(CPTPP 14.8.2 条注释 6)。因此,CPTPP 和USMCA 缔约方提供此类法律体系的方式应是相当自由,进而各缔约方的个人信息保护法律体系将是多种内容和形式。在这一点上,已经具有个人信息保护法律体系的缔约方可以将此类相关法律予以维持。例如,美国可以不制定 《个人信息保护法》,而继续通过企业等的自行承诺达到这一要求。
在制定保护个人信息的法律框架时,各缔约方应考虑到有关国际机构的原则和准则(CPTPP 14.8.2 条,USMCA 19.8.2 条)。但是,具体有哪些国际组织或相关原则,CPTPP 并未明确列举。因此,各缔约方在选择自己的个人信息保护法律体系时具有相当大的自由,同时对法律体系中所反映的个人信息保护原则也会有相当大的自由。而USMCA 则列举了如亚太经合组织 (以下简称为APEC)《隐私框架》和OECD《对关于隐私保护与个人资料跨境流动的指针做出的建议》 等。进而USMCA19.8.3 条规定,关键原则包括:限制收集;选择;数据质量;目的规范;使用限制;安全保障措施;透明度;个人参与和问责制。缔约方还认识到确保遵守保护个人信息的措施以及确保对个人信息的跨境流动进行任何限制并与所承担的风险成比例的重要性。
另外,在承认各缔约方可以采用不同的个人信息保护规定的同时,CPTPP 和USMCA建议缔约方查找能够促进这些不同法律体系共存的机制。此类机制可以采用自律的或通过相互约定,甚至可以通过广泛的国际体制完成,而关注的是规制的效果(CPTPP 14.8.5条,USMCA 19.8.6 条)。APEC 的《跨境隐私规则》(Cross Border Privacy Rules)或者欧盟适当性地位的自律认定也是这种机制。各缔约方之间将这种机制相关信息予以交换,并试图探索能够对此具有促进效果的其它更佳方案。这种体制说明CPTPP 和USMCA 作为FTA 在缔约方之间追求市场规则的统一,而在个人信息保护方面目前还难以追求此类统一。
各缔约方应努力采取非歧视性做法,保护电子商务用户免受其管辖范围内发生的个人信息保护违规行为的侵害 (CPTPP 14.8.3条 ,USMCA 19.8.4 条 )。虽 然 CPTPP 和USMCA 对不歧视并未定义,但考虑到一般在贸易中不歧视的含义,应理解为某一缔约方应按照国民待遇将本国国民和另一缔约方的国民在个人信息保护中同等对待,也应将不同缔约方的国民同等对待。只不过此项内容并不是强制性的,而是一种建议。
各缔约方应公布其为电子商务用户提供的个人信息保护信息,包括:个人如何寻求救济;企业如何遵守任何法律要求(CPTPP 14.8.4 条,USMCA 19.8.5 条)。因此,各缔约方只要尽量公开自己的个人信息保护法律体系如何运作即可,此项要求其实并无多大的现实意义。
欧盟将对人权的保护置于数据自由流动之上。[6]GDPR 第五章对将个人数据转移到第三国或国际组织做出相应规定,其规定,对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织,控制者和处理者必须满足相应规定,而这些规定包括:基于认定具有充足保护的转移,符合转移所需要的适当安全保障,有约束力的公司规则,未经欧盟法授权的转移或披露,特殊情形下的转移等 (GDPR 44条-49 条)。
五、网络安全国际合作
CPTPP 和USMCA 不仅包含电子商务中个人信息的保护,还包含网络安全领域的合作。即,缔约方认识到以下重要性:(1)建立负责计算机安全事件响应的国家实体的能力;(2)利用现有的合作机制进行合作,以识别和减少恶意入侵或传播影响缔约方电子网络的恶意代码,并利用这些机制迅速解决网络安全事件,以及共享信息以提高意识和达到最佳做法 (CPTPP 14.16 条,USMCA 19.15.1条)。“现有的合作机制”是指缔约方国内计算机事件响应小组之间的合作机制。在此基础上,USMCA19.15.2 条进一步要求,鉴于网络安全威胁的性质在不断发展,各缔约方认识到,在应对这些威胁方面,基于风险的方法可能比规定性法规更为有效。因此,每一缔约方应努力雇用并鼓励其管辖范围内的企业使用基于风险的方法,这些方法依靠基于共识的标准和风险管理最佳实践来识别和防范网络安全风险,检测、响应网络安全事件,并从此得以恢复。
除此之外,USMCA19.14 条还规定,认识到数字贸易的全球性,缔约方应努力:(1)交流信息并分享有关数字贸易的法规、政策、执行和合规方面的经验,包括:个人信息保护,特别是为了在执行保护隐私的法律方面加强现有的国际合作机制,电子通讯的安全性,身份验证,以及政府使用数字工具和技术来实现更好的政府绩效;(2)就促进和发展包括APEC《跨境隐私规则》在内的机制而进行合作并保持对话,以进一步提高隐私制度的全球互操作性;(3)积极参加区域和多边论坛,以促进数字贸易的发展;(4)鼓励私营部门发展促进数字贸易的自我调节方法,包括行为守则、示范合同、准则和执行机制;(5)促进残疾人获得信息和通信技术的机会;(6)通过国际跨界合作举措促进发展机制,以协助用户提交有关个人信息保护的跨界投诉。缔约方应考虑建立一个论坛,以解决上述任何问题或与执行有关的任何其他事项。
在联合国层面也对网络安全国际合作进行了一系列探讨和规定,例如,2015年6月通过的第四届UNGGE 报告包含了网络安全所需的多项互信措施,包括:(1)加强各国网络安全负责机构之间的合作机制,开发包括事故应对领域人员交流在内的技术机制;(2)成立国家计算机危机应对小组或网络安全应对小组,或者正式成立能够完成上述功能的机构,并且支持和促进此类小组和其它授权机构之间的合作;(3)在计算机危机应对小组和网络安全事故应对小组之间的合作中支持达成旨在减少攻击的适当行为。[7]
六、结语
CPTPP 和USMCA 被评价为是在数字贸易和个人信息保护等有关数据方面规定较为详细的两个重要多边FTA。尽管之前APEC也曾在2004年达成《隐私保护框架》等有关个人信息保护的文件,但因其不具有法律拘束力,相比之下,作为条约的这些FTA 则具有重要意义。
CPTPP 和USMCA 的个人信息保护规定对个人信息的保护水平并不是很高,其只是在包括个人信息在内的跨境信息流动中对数据出口限制和数据本地化规定了原则性的禁止。而且,在个人信息保护方面允许采用各种形式,其中包括美国式民间主导的自律规制形式,即,其并非意图在各缔约方之间要统一个人信息保护水平。如此宽松的个人信息保护规定被评价为仅仅是一种形式上的保护,其真正目的则是实现数据的进出口自由。即,这些FTA 中的个人信息保护规定是为了补充数据贸易这一主要规定而附属存在。
尽管如此,CPTPP 和USMCA 就包括个人信息在内的信息或数据的国际规则来讲还是具有几点重要意义:首先,CPTPP 和USMCA 作为FTA 包含了个人信息在内的信息相关规定,从而证明了包括个人信息在内的信息保护和利用在21 世纪的数字经济时代成为更为重要和新的经济要素。特别是通过FTA 将数据的进出口作为国际规范得以保护和认可,这一点对国际贸易关系甚至是国际关系和其规范的发展来说具有重大意义。第二,CPTTP 和 USMCA 中关于信息的规定对现在进行谈判的 《跨大西洋贸易与投资伙伴协定》和《国际服务贸易协定》中信息相关规定也会起到重要影响。第三,1980年OECD 的 《关于保护隐私与个人数据跨境流动的指南》和1981年欧洲理事会的《108 号公约》通过后,国际上在个人信息的自由流动和个人信息保护之间形成了牵制和均衡。但是,CPTPP 和USMCA 似乎打破了这种现状,在某种意义上其单方面强调了包括个人信息在内的信息的自由流动和利用。这可以说明在FTA 中对个人信息做出规定时的局限性,因为其毕竟是将商品和服务的自由贸易放在优先地位。第四,CPTPP 和 USMCA 的有关数据贸易的规定得到个人信息保护相关规定和网络安全相关规定的补充。作为数据贸易对象的信息中包含了个人信息,因此,CPTPP 和USMCA 中包含了有关个人信息的规定,数据贸易则通过网络空间进行,因此,为了数据贸易在网络空间不受到其他侵害,规定了网络安全合作规定。这样,将数据贸易、个人信息保护和网络安全的规定捆绑在一起的模式,也向我们提示了有关网络空间利用的国际规范之方向。第五,世界上的主要各国都在积极推进的数字贸易以及成为其核心的数据相关国际规范包含在CPTPP 和USMCA 中的现象可以看作是有关数据贸易的国际规范正式出台。以后在FTA 等有关贸易的协定中将会有更多的与个人信息等信息跨境流动有关的内容,从而使得数据贸易成为继商品和服务自由贸易之后又一新的重要领域。[8]