范婴

摘要：在后疫情“双循环”时代提升国内和国际贸易规则的互操作性，需要用发展的观点看待数据本地化措施。在本地化立法已是大势所趋的背景下，判断最初作为防御之策的数据本地化措施是否达到预期的政策目标和贸易效果，有助于我们研判国内政策的合理性和国际协调立场的可能性。数据本地化背后的逻辑缘于传统的属地主义，但在现代技术条件下，数据存储的位置实际上并不能决定数据的安全性和隐私性。目前，数据本地化的政策目标可以归纳为国家安全、隐私保护、执法便利和扶持国内新兴行业，会提升贸易成本且容易遭到贸易对手的报复。数字产业赢家通吃的特点可能导致政策反应而加剧国家之间的紧张关系，并形成不必要的贸易壁垒，选取该切入点进行数据本地化的贸易评估，并构建数据本地化的动机、因果关系的证明、非歧视待遇、有无替代性解决方案等若干贸易维度，借助明确且具有操作性的标准减少或者限制数据本地化对贸易的不利影响。

关键词：数据本地化；贸易效果；贸易规则

中图分类号：F115文献标识码：A文章编号：1007-8266（2021）09-0086-09

数据本地化是当今数字贸易规则中最具争议和最具挑战性的政策之一。[ 1 ]一方面是世界贸易组织、人权机构[ 2 ]以及少数政府，尤其是数字贸易大国美国和日本对数据本地化措施的“硬刚”，映射在各自主导的新生代区域贸易规则最具影响力的《美墨加协定》（USMCA）和《全面与进步跨太平洋伙伴关系协定》（CPTPP）中，前者措辞强硬地禁止一切数据本地化措施，后者在禁止数据本地化措施的原则下允许基于“合法公共政策目标”采取例外措施。另一方面是一些国家不断输出强有力的立法和政策为数据本地化“正名”。如俄罗斯和中国等申明采取数据本地化措施是为维护网络空间的国家主权，增强自主管理本国信息的能力；其他国家则为了实现更具体的目标，如保护数据和网络安全、预防网络犯罪、协助国内调查和执法、遵守国内的隐私法和知识产权法等。[ 3 ]在多边贸易规则疲敝的背景下，一些国家甚至因为其数字本地化政策遭受贸易对手的报复措施。本文从数据本地化的传统逻辑出发，论证数据本地化政策是否真正实现保护隐私和网络安全等务实的政策目标以及在多大程度上实现了上述既定目标，分析对个人隐私实施充分保护的国家采取数据本地化措施的必要性与合理性。未来数字贸易规则的最终目标是实现真正的贸易自由和规则协调，上述问题的论证有助于我们在确保贸易自由和网络安全的基础上，通过多维度的政策响应，达到平衡贸易法和网络治理的理想之界。

目前，国际上没有充分的证据来准确量化数据本地化措施对国际贸易的影响，因此专注于这一领域的研究并不太多，国內大多数的文献集中在通过区域贸易协定预判未来数字贸易规则趋势，或是对在诸边协议中规制数据本地化措施的可行性分析，对中国因应之策的分析也多集中在通过数据分类来合理化布局数据本地化措施，减少或降低其限制贸易的影响。尽管如此，这些研究成果依然为本文提供重要的借鉴。在数字贸易领域，数据本地化是发展最快的一个概念，其涵盖的主题具有广泛性、多样性和复杂性的特点，涉及从互联网治理到国际贸易法、从国家安全到监管标准再到透明度等方方面面。

刘金河、崔保国[ 4 ]构建了一个理论解释模型——基于有限理性的数据防御主义，这种决策的有限理性让一个国家在数据跨境流动政策上不是寻求“最优目标”，他们提出建立一种以效率为发展路径的跨境数据有序自由流动秩序。毛维准、刘一燊[ 5 ]认为数据民族主义是一种合理的客观政治现象，数据本地化是数据民族主义的必然结果，同时数据民族主义也是应对技术恐惧之举，各国通常基于技术能力来制定数据本地化的相关政策，因此是需要加以约束的民族主义。

田旭[ 6 ]主张将数据本地化措施依据其保护对象和效果不同做公法和私法的切分，在现有数据立法中明确数据本地化的立法目的和保护客体，加快个人数据的民事权利赋权，同时兼顾国家主权与国际融合。黄道丽、胡文华[ 7 ]认为，全球数据本地化与跨境数据立法既存在差异也存在共性，基于现有数据类型、敏感阈值划分和存储机制所产生的监管差异与共性构成了全球数据本地化和跨境数据流动规制的基本格局，反映了深层次的国家需求和利益博弈。胡文华、孔华锋[ 8 ]提出印度数据本地化立法呈现出规制对象从个人数据扩展至非个人数据，区分数据类型、实施分级分类管控，多种监管机制并行、设有豁免规则的特点，在《中华人民共和国网络安全法》第37条针对数据本地化与出境细则尚不明晰的情况下，值得我们在未来相关立法中加以关注和反思。

另外，在多边贸易体制和区域贸易协定中也都展开了针对数据本地化贸易规制的讨论。虽然WTO电子商务谈判的前景不明，但戴龙[ 9 ]提出中国仍应坚持在多边贸易体制下改进服务贸易总协定（GATS）的立场，吸纳大型区域贸易协定中已获得共识的数字贸易规则，利用并细化GATS协定中已经构建的服务贸易模式、市场准入和国民待遇原则，发挥WTO多边贸易争端解决机制的作用，解决影响国际货物和服务贸易的数字壁垒。郑玲丽[ 10 ]认为，以CPTPP和USMCA为代表的新生代区域贸易协定禁止数据本地化，禁止强制公开源代码，大有构建全球跨境电子商务规则样板之势。未来的数据本地化规则应基于数据类型，有效规范数据流动的同时界定合法的公共政策例外。

通过对上述文献的梳理可以看出，当前学术界对数据本地化问题的研究主题非常宽泛，但对数据本地化对国际贸易的影响却没有清晰明确的维度分析，本文以此为切入点，在客观分析其对贸易的影响后，多维度分解并解决问题。

（一）数据本地化的内涵

数据本地化在学术界尚未形成标准化概念，按照麦肯齐的合作伙伴詹姆斯·卡普兰和卡瓦·鲁申科什（James Kaplan & Kayvaun Rowshankish）[ 11 ]在全球互联网治理委员会发表的论文中提出的观点，数据本地化按照从严至宽的程度可以分为四种类型：数据导出的地理位置限制、数据本身的地理位置限制、基于许可的法规和基于标准的法规。第一种情况下，要求数据控制者将其数据保留在该国的地理范围内，禁止将数据的任何副本转移到国外，其实质是迫使外国公司将服务器建立在该国境内来保存数据；第二种情况下，要求数据控制者在该国境内保留数据的本地副本，但允许该数据其他副本转移到国外；第三种情况下，要求数据控制者必须征得数据主体的许可或同意才能进行跨境数据传输；第四种情况下，要求数据控制者在满足数据主体安全和隐私的某些标准时才能进行跨境数据的传输。

实践中还有一种分类方法是将着眼点放在对数据本地化的要求上，即本地处理要求（要求数据控制者在该国境内处理数据）和传输限制要求（限制数据控制者向该国境外进行数据传输）。这种分类方法相对简单，涵盖了现阶段各国采取的多种数据本地化要求的类型。这与布鲁塞尔智库欧洲国际政治经济研究中心研究员费拉卡内（Marti？ na F Ferracane）[ 12 ]提出的分类体系大体一致，他将数据传输的控制分为“严格限制”和“有条件限制”，其中严格限制是要求将数据存储在本地，而有条件限制则是对数据的跨境传输施加一定条件。

综上所述，在不针对特定部门的情况下本文倾向于第二种方法，将数据本地化的内涵定位在两个方面，即数据本地处理的要求和数据传输限制的要求。

（二）逻辑原理

数字经济的发展逻辑颠覆了传统国际贸易和国际分工，对全球层面的统一协作提出了更高的要求。但各国利益的复杂性、价值观的巨大差异以及相互之间信任的缺乏，不仅使全球数据的分布渐呈碎片化形态，也阻碍了短期内共识性国际规则的达成。从地缘政治层面来看，各国数字技术和数字经济强弱不均，导致数据往往流向技术强势的国家，因此倒逼处于相对弱势的国家采取数据本地化的防御姿态，以便守住本国的数据掌控权。[ 13 ]因此，数据本地化背后的逻辑缘于传统的属地主义。这其中通常包含政府预先设置的一个命题，即如果数据存储于国内，政府对数据处理、访问和传输的控制程度就会显著提高，其安全性也会得到提高。假设命题成立，那么诸如个人隐私、网络安全、执法便利等政策目标自然可以在最大程度上得到保障。然而这种逻辑与数据流动的内在属性并不一致，尤其是在无处不在的云计算时代。[ 14 ]云计算将计算分布在大量的分布式计算机上，数据主体的地理位置通常与数据存储的位置不相关，即数据存储的位置既有可能位于国内或国外服务器上，也有可能位于单一服务器或世界不同地区的多服务器上。因此，数据存储位置并不能决定数据的安全性和隐私性。

正如前述，数据本地化措施缘起属地保护主义。一般来说，通过实施数据本地化来限制跨境数据传输时，政府通常要实现的目标可以归纳为以下几种类型。

（一）国家安全

国家安全是许多国家限制数据传输的共同理由。许多国家要求与国家安全和国防部门有关的数据必须存储在国内服务器上。此外，俄罗斯、越南和印度尼西亞等国将数据主权视为国家安全，数据存储在国内可以最大程度上免受国外的监视。有些国家还要求对与关键基础设施部门有关的跨境数据传输施加限制，特别是政府数据。例如，德国和法国一直在努力为政府数据建立本地云。就相关政府机构的情报收集能力而言，数据本地化虽然不会对高价值的政治或商业领袖的监视产生太大影响，但会增加美国国家安全局（或其他外国情报机构）对其他国家公民进行大规模监视的成本，并降低其相对于其他管辖区情报机构享有的相对优势。[ 15 ]

首先，如果是经过加密后的数据，数据本地化并不会增加政府对数据的访问。[ 14 ]当多个司法管辖区域同时对某一数据主张权利时，本地化措施同样起不到加强政府对该数据的控制作用；其次，数据存储在一国境内的事实并不能使其与外国的间谍活动完全隔绝。通常而言，一国情报机构设置在受监视国境内受到的约束要小于其本国，德国人应该还记得美国政府在柏林监听总理默克尔电话的新闻。[ 16 ]同时，数据本地化本身并不能有效减少网络的安全漏洞，如网络攻击、自然灾害带来的威胁及数据欺诈，[ 17 ]相反，本地化会降低数据的安全性，因为将数据集中在特定服务器上，会使其更容易成为网络攻击和监视的目标。[ 18 ]

（二）隐私保护

包括个人数据在内的数据访问和使用已成为创新最重要的驱动力。数据访问可以促使公司更精准地评估消费者的偏好，并在此基础上定位产品、进行广告宣传和提供在线服务。这项经济价值的来源在于对个人数据的收集通常是通过提供电子邮件、搜索引擎和社交软件等“免费”服务来获取。通过对各种在线服务和数字应用软件收集的庞大数据进行集成分析而产生的大数据商业模式，一方面可以更高的效率预测客户需求并实施广告的精准投放，另一方面在利用大数据处理技术对数据的聚合和分析过程中数据主体的个人身份或被重新识别出来。这通常是出于商业目的，例如定制广告，当然也可能出于政治意图，例如监视。

为保护本国公民的个人隐私，政府通常会要求所有的公共数据必须本地化处理，尤其是医疗和金融领域等特别敏感的个人数据，理由是数据存储在本地，政府及相关部门可以更好地保护公民的个人隐私。但是，这种理由值得商榷。首先，本地数据中心运营商是否有能力提供更高级别的安全保护以抵御网络攻击，目前尚不得而知。其次，针对拥有健全隐私保护法的国家和地区，采取数据本地化措施会导致对外国数字服务提供商施加不公平的贸易条件。例如，欧盟《通用数据保护条例》（GDPR）的目标是确保外国法律的保护“基本上等同于”欧盟法律的保护，对于效仿欧盟模式建立数据隐私制度的国家如加拿大、日本等国，“加码”数据本地化措施一定程度上丧失其必要性和合理性。最后，安全性并不会因为数据存储于某一特定区域而得到增强，因为隐私安全最终依托的还是全方位的网络安全技术和多层次设计的网络安全协议。例如，如果数字服务的加密方式不牢固，则无论服务器位置如何，都可能会侵害用户的隐私；如果云服务提供商无法提供安全性能强大的加密技术，服务器即使设置在一国境内，仍然容易受到网络攻击。

（三）执法便利

世界各地的执法机构工作人员经常抱怨他们在试图锁定和逮捕网络罪犯时遇到各种各样的困难，尤其是当受害者的数据存储在离岸的云中时，国内执法人员将面临域外取证的困难。即使外国的云服务提供商愿意提供协助，他们仍可能以非标准化的方式提供相关记录和存储日志而不是记录或保留某些可能对调查特别有用的数据，或者在非有意阻碍调查情况下，未能及时提供所需要的数据。

目前，当被请求的数据保存在另一个国家时，执法人员需要依据司法协助的要求在遵循一定的程序下请求另一国的数字服务提供商提供相关的数据信息。例如，某一国的执法机关请求获取位于美国某一云服务提供商的数据，首先需要向美国司法部国际事务办公室发出请求，司法部收到请求后必须确定法院是否存在发出执行令的法律依据，同时要求检察官提出充分理由向美国联邦法院申请发出执行令。一旦获批，美国的云服务提供商将按照要求出示所需的电子记录，并将这些记录送至国际事务办公室接受审查，以确保不违反美国宪法第一修正案。审查通过后，数据才能提供给另一个国家的执法人员。完整地履行这一程序，大约需要十个月。[ 19 ]对于执法机构而言，这种时间安排无法满足迅速应对国际恐怖主義或网络犯罪的需要。当然，最初这些互助协议本是为促进特殊情况下证据的共享，但事实证明，这些互助协议设计的规则在应对电子数据请求上表现不如人意。[ 20 ]

另外，本地的执法部门可以轻松地与本地数据中心的管理部门进行协商或沟通细节，便利且及时地获得所需的数据信息，因此，从方便执法的角度看，数据本地化措施又找到了立法的落脚点。结合数据本地化措施自身存在的问题及其经济成本，短期内改革现行的司法互助协议，尤其是简化审查的手续和中间环节，或许能更好地满足电子数据的域外协助需求。

（四）扶持国内新兴行业

政府的动机是保护相较于外国竞争对手仍处于劣势的国内企业免受不利竞争影响的同时提供更多的本地就业机会，即使像美国这样的超级大国也是如此。美国曾向日本政府和汽车制造商施压，要求他们对进入美国的汽车实行“自愿出口限制”，以维护底特律汽车制造商的利益。[ 21 ]然而相较于传统行业，建立数据中心实际上并不会雇佣数量可观的员工，因为大多数国家并不生产自己的CPU、主板、RAM芯片，要求数据本地化并建立本地数据中心通常也不会减少对高科技设备的进口需求，只是本地企业和互联网用户不必因为将数据托管在海外而向外国公司支付必要的费用，实际上只可能减少对外汇的需求。另外，与最高效的全球数据中心运营商所享有的规模经济相比，本地数据中心可能向本地企业和互联网用户收取更高的费用来存储数据。这些较高的成本将给本地下游的互联网业务带来相对劣势，从而导致本地经济整体效率的下滑。[ 22 ]

同时，数据本地化考验相关国家是否具备可靠运行当地数据中心所需的技术能力和基础设施。电力网络不足或运行不稳定的国家，或那些经历炎热夏季、恶劣天气或地震频发的国家，在避免本地数据中心出现重大停机问题上可能面临重大挑战。如果当地企业和互联网用户没有其他备用的数据托管选择，这种基础设施故障可能会严重损害当地互联网经济。[ 23 ]

作为一国“防御之策”的数据本地化措施，不仅可能无法达到预期设定的政策目标，而且从长期看其对贸易的限制性影响也是不可估量的。

（一）数据本地化提升贸易成本

在不考虑数据中心是否存在重复建设以及中小规模企业有无资金承受能力的前提下，数据中心的选址有其自身的考量因素。中国通信业知名观察家、智能互联网研究专家项立刚分析称，对于数据中心的选址，跨国科技企业主要有以下几方面考虑：第一是安全，数据存储中心要距离客户近，有多个点进行备份和比较好的技术支撑；第二是运营能力，不经常被访问的冷数据存储可以放在距离相对较远的地方，但像热数据这种被计算节点频繁访问的在线类数据就要存储在离客户比较近的地方；第三是能源供给、运营成本，包括地区的温度等因素。[ 24 ]其中，电力成本是数据中心最大的运营成本。由于美国政府的间接补贴人为地降低了电力成本，美国数据运营中心的成本大多低于其他国家的竞争对手。[ 25 ]这也是很多大型互联网公司愿意把数据中心建立在美国的原因。

当数据中心的选择不能兼顾上述要求，尤其是当能源供给缺乏或者不稳定而使得外国数字服务提供商不得不加大运营成本的投入时，就失去了低成本为当地消费者提供数字服务的竞争优势，特别是国外大型的云服务提供商。同时，当地消费者的福祉也会减损。

（二）数据本地化对贸易的限制性作用

全球范围内针对数据本地化影响的研究及调查报告越来越多，这些研究和报告不仅聚焦在数字经济时代数据本地化对经济产生破坏性的影响，同时其限制贸易的程度也在不断加深。首先，遵守数据本地化措施不可避免会导致数字部门对技术和商业安排的调整，而多数数字服务提供商都依赖数字行业的规模经济。[ 18 ]外国的数字服务提供商往往不愿意将服务器迁至监管或者硬件基础设施较差的国家，而规模较小的公司由于缺乏足够的经济条件和资源建立本地服务器，可能没有能力进入这些将“本地化”入法的市场提供数字服务。此外，对外国数字服务市场开放程度有限或者竞争有限、对本地数字服务或本地云计算服务设施的信任度较低、国内市场缺乏足够的数字驱动服务等都在一定程度上表明向特定市场出口数字服务的机会正在减少。因此，数据本地化措施显著减少外国数字服务提供商出口服务的机会已经具有了全面的贸易抑制作用。欧盟贸易专员塞西莉亚·马尔姆斯特伦（Cecilia Malmstr？m）[ 26 ]曾指出，“对跨境数据流动的限制抑制了各类型的贸易：数字和非数字，货物和服务。”数据本地化与欧盟自身的贸易目标也存在一定的紧张关系，因此，欧盟曾向世界贸易组织提议，未来不将“要求在成员国境内实施数据本地化以进行数据的存储或处理”作为限制跨境数据流动的方式。[ 27 ]

（三）数据本地化会遭致贸易对手的报复

对贸易伙伴实施数据本地化的不满，通常会以一定方式做出回应，例如采取报复措施。欧盟曾在其《数据保护法》草案中对印度的数据本地化计划表示不满：这些数据本地化要求看起来既非必要又有潜在的危害，势必会产生不必要的成本、操作上的困难和执行上的不确定性。[ 28 ]如果印度采取上述措施，会对双方可能达成的自由贸易协定产生影响。

相对于欧盟，美国对待印度的数据本地化措施态度则更加强硬，报复措施也更加激进。印度的《个人数据保护法》草案于2019年12月在议会中提出，提议将印度产生的所有数据存储在本地。美国随即表示，这项数据本地化要求将成为美国和印度之间数据贸易的重大障碍。这种强制建立或使用不必要的、冗余的本地数据中心的要求，提高了那些在印度境外提供数字服务的供应商成本。对于无法负担这项冗余成本的较小规模的外国公司而言，这项要求可能会成为一道完全的市场准入壁垒。[ 29 ]当印度储备银行又颁布新规，要求外国公司在印度产生的支付数据也必须实现本地化存储时，彻底激怒了美国政府，作为“报复手段”美国政府暂停了H1-B工作签证的签发，限制印度的科技人员来美国工作。印度一家国内评级机构表示，美国暂停H1-B签证的签发将使印度国内IT企业损失12亿卢比，并对其盈利能力产生0.25%～0.30%的边际影响。[ 30 ]其中受影响最大的是印度超过1 500亿美元的IT部门，包括塔塔咨询服务公司（Tata Consultancy Services）和印孚瑟斯技术公司（Infosys Ltd），这些公司通常利用H1-B工作签证派遣工程师和开发人员到他们最大的服务市场美国为客户提供服务。[ 31 ]

（一）数据本地化的贸易评估维度

评估数据本地化对贸易的影响，需要确定明晰可操作的贸易评估维度，综合考量这项措施的立法模式及背后的动机、争议方或第三方提供的证据、申诉方对数据本地化措施提出的替代性解决方案等，通过这些评估，可以判断施加方是否正在实施变相的数字贸易保护主义措施。例如，如果施加方声称其强制本地化处理的数据具有安全或隐私目标，就必须提供充分证据证明这种因果关系；如果不能证明，那么该项措施就是变相的贸易保护主义。以下分别从数据本地化的动机、因果关系的证明、非歧视待遇、有无替代性解决方案等方面进行多维度的贸易评估，希望借助明确且具有操作性的标准，减少或者限制数据本地化对贸易的不利影响。

1.实施数据本地化的动机

通常情况下，一国数据本地化的相关立法文件中会有明确的目的说明，无外乎是国家安全、个人隐私、执法便利等。例如，《中华人民共和国网络安全法》第三十七条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息与重要数据应当在境内存储，目的是维护关键信息基础设施的运行安全，因为这些重要行业和领域的信息一旦遭到破坏、丧失功能或者泄露，可能会严重危害国家安全、国计民生和公共利益。还有一些国家，其数据本地化的要求出现在个人数据保护法案中，显而易见其实施数据本地化的动机倾向于对个人隐私权的保护，例如俄罗斯、印度和巴基斯坦等国。一般而言，无论是施加方还是申诉方，证明或者判断一国实施数据本地化措施的动机并不困难。

2.证明因果关系

所谓证明因果关系是指施加方应当证明实施数据本地化处理的数据是实现其立法目的如网络运行安全、个人隐私保护之必需、合理且不超过必要的限度，如果不能证明，那么该项措施就可能会被认为是变相的贸易保护主义。例如，有学者指出，俄罗斯的数据本地化立法强制要求所有外国公司在本地存储所有而非部分个人数据，以保护俄罗斯公民隐私，这种理由并不充分，且超过必要的限度，也会限制外国公司向俄罗斯用户提供相关服务，例如以软件即服务（SaaS）模式提供云计算服务的公司因缺乏技术计算方案无法真正实现数据完全本地化而被限制提供相关服务，损害了消费者在供应商之间进行选择的权利。

因果关系的证明对贸易保护主义的定性起着至关重要的作用，同时也势必面临证明标准多样化、短期难以达成共识的问题。尤其是当施加数据本地化的国家有多个在立法文件中可度量的目标时，因果关系的证明作用在整个证据链条中就会被弱化。例如，一些国家实施数据本地化的目标既是为保护公民的个人隐私，同时也是为扶持国内仍处于劣势的数字产业。这相当于提供了多个备选项供选择，施加方只须择其一完成因果关系的证明即可。

3.非歧视的待遇

所谓非歧视待遇是指施加方基于基本安全利益或者公共政策目标所采取的数据本地化措施，不得构成任意或不合理的歧视或变相的贸易限制。在这方面，通过审查某一具体国家在数据本地化措施的设计和实施情况，可以获得相关方面的信息。例如，某特定国家的国内法禁止外国公司进行商业情报的舆情监测，包括收集和分析数据以评估市场趋势，但不禁止本国公司从事此类商业监测，那么这类行为就可能被认定为“任意或不合理的歧视”。当特定国家的措施只是有利于国内公司在客户网络中进行广泛的数据分析时，对外国公司而言该措施则可能构成“变相的贸易限制”。

对于申诉方而言，最重要的就是证明因特定国家所采取的措施遭到了不公平的待遇，限制或剥夺了其在特定领域从事贸易活动的机会。特别是有些国家监管要求过高或者不合理，以至于完全剥夺了外国公司进入相关市场的机会。例如外国数字服务提供商需要取得相应的许可证或者特许才能向该国市场提供数字传输服务，同样会被视为对数字服务贸易的变相限制。申诉方需要举证国内的供应商是否需要取得此种资格才能展开相应的服务，以及此种资质的获得与国内的供应商相比难易程度及耗时长短。

4.有无替代性的解决方案

数据本地化的处理并非折中主义的办法，而是在数据保护标准和网络安全治理在国际上暂无法达成共识的情况下战术上的便捷之选。当特定国家现有的技术标准确实有效保障了网络安全或者个人隐私时，在相关领域，数据本地化措施就有了更好的替代性的解决方案。

另外，问责制能否取代数据本地化这种固定标准或高度规范的合规需求尚不能确定。至少从理论上而言，相较数据本地化措施，问责制具有一定的灵活性。事实上，GDPR生效后，在欧盟掀起了建立数据中心的浪潮，由此推断，与合規成本相比，高额的违规成本才是投资者无法承受的。根据问责制，尤其是在已经实现数据分级分类的国家，被排除在数据本地化覆盖范围的数据主体仍要承担因违反诸如国内隐私规范而产生的法律责任。

（二）中国因应

在主张数据本地化的国家中，中国不是最早的，中国数据本地化的独特之处在于规范内容的全面性。在数字贸易市场日趋成熟、相关法治环境日益完善的背景下，中国政府正在尝试通过各种机制消除数据跨境流动的障碍，释放数据驱动创新的潜力。2020年4月，在国家“新基建”的政策背景下，上海市政府发布《中国（上海）自由贸易试验区临港新片区通信基础设施专项规划（2020—2025）》，探索跨境互联网治理和数据交换的规划。例如建立离岸数据中心，并生成一份白名单，探讨选定的公司如何直接接入“国际互联网”。2020年8月，商务部印发《全面深化服务贸易创新发展试点总体方案》，在推动数字营商环境便利化中提到，在条件相对较好的试点地区开展数据跨境传输安全管理试点。这些落地的“新政”表明，数据监管机构对探索管理跨境数据问题的新模式保持着开放态度，这为依赖数据运营和创新的科技公司提供了一个政策倡导机会。

1.优化营商环境，缓解初期合规成本上升的困难

全面的数据本地化立法，会导致数字贸易服务提供商的贸易合规成本骤然上升，尤其是对那些愿意遵守此类法规的外国公司，但同时也增加了本地数据托管和数据中心服务的需求。对于许多本地的数据中心而言，必然会因为此类需求的增加而受益，因此，它们是抱着开放的态度接纳这些外国公司的。对于中国政府而言，要不断优化营商环境，为这类公司建立数据中心提供必要的便利和补贴，例如电费的补贴；鼓励供应商与本地数据中心建立合作关系，完善合作机制，拓展合作形式。

2.建立数据本地化的“白名单”，完善问责制

数据本地化的“白名单”是指在满足一定标准的条件下，非关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息与重要数据不强制要求在境内存储。其中，最重要的是确立“白名单”标准。如数据输入国是否制定全面的数据保护法（既可以是综合性的全面数据保護法，也可以是各种单行法的组合）；在保护的标准方面，是否与数据输出国维持相同或者相似的保护；或数据输入国虽然没有全面的数据保护法，但遵守有约束力的承诺，如缔结双边贸易协定或共同参与某一区域贸易协定。同时，对被列入“白名单”的数据运营者进行定期（年或季度）评估，满足条件的运营商可以申请加入“白名单”，未满足条件的运营商将被移出“白名单”并且进行问责。问责制包括明确问责的权利主体、问责的对象及责任的承担标准等内容，是数据本地化“白名单”机制的重要补充，可以在一定程度上实现日益密集的跨境数据传输限制和数据本地化之间的互操作性。

3.防止数据本地化安全例外的滥用

现阶段，区域贸易协定中关于数据本地化几乎都有可援引的安全例外，CPTPP与RECP都规定，缔约方不得要求在其领土内使用或设置计算设施作为在其领土内开展业务的条件，同时也都将为实现合法公共政策目标所采取必要限度内的本地化措施作为例外，RECP又进一步将相关处分权交由实施政策的缔约方决定。而在多边贸易体制中，对关键性概念缺乏具体规则约束，成员方在援引时经常表现出一定随意性，WTO争端解决机构的专家小组也难给出科学的判断。在区域贸易协议中，既要防止安全例外滥用并演变成数字贸易保护主义的工具，也要防范贸易伙伴滥用引发贸易争端和冲突。作为数字贸易大国，我国应积极推动形成与“国家安全”相关的国际规则，将其归于国际法的范畴，并动态地进行考量。

对数据本地化系统的理解，需要考量国内利益相关者与国际因素之间的复杂关系，这些因素最终导致不同国家在数据本地化方面采取不同立场。本文仅从贸易维度分析数据本地化措施的影响，认为数据本地化直接造成贸易成本的上升，极端情况下会遭致贸易对手的报复。我国应确定明晰可操作的贸易评估维度，综合考量数据本地化的立法模式及背后的动机、争议方或第三方提供的证据、申诉方对数据本地化措施提出的替代性解决方案等，准确判断施加方是否正在实施变相的数字贸易保护主义。

在数字化时代，本地化规则将经历诸如云计算等技术规则的考验，建立在数据分级分类基础上的本地化精准立法，有助于我们厘清真正需要保护的数据资源，减少贸易纷争，减少数据跨境流动障碍，释放数据驱动创新的潜力，充分利用数字贸易的发展机会，而非狭隘地推行数字保护主义。在多边贸易规则不能完全适合数字贸易的大背景下，我国可以建立区域性联盟，形成自己的朋友圈，在圈内实现数据流动，不断地探索构建数字贸易国内国际双循环相互促进的新发展格局。

参考文献：

[1]K KOMAITIS.The“wicked problem”of data localization[J]. Journal of cyber policy，2017（2）：1-11.

[2]K M YILMA.The right to privacy in the digital age：boundar？ ies of the“New”UN discourse [J].Nordic journal of interna？ tional law，2018（4）：485-528.

[3]A MITCHELL，J HEPBURN.Don’t fence me in：reforming trade and investment law to better facilitate cross-border da？ ta transfer [J].Yale journal of law & technology，2017（19）：188-195.

[4]刘金河，崔保国.数据本地化和数据防御主义的合理性与趋势[J].国际展望，2020（6）：89-107.

[5]毛维准，刘一燊.数据民族主义：驱动逻辑与政策影响[J].国际展望，2020（12）：20-42.

[6]田旭.数据本地化立法的兴起与反思[J].大连海事大学学报（社会科学版），2020（19）：32-40.

[7]黃道丽，胡文华.全球数据本地化与跨境流动立法规制的基本格局[J].信息安全与通信保密，2019（9）：22-28.

[8]胡文华，孔华锋.印度数据本地化与跨境流动立法实践研究[J].计算机应用与软件，2019（8）：306-310.

[9]戴龙.数字经济产业与数字贸易壁垒规制[J].财经问题研究，2020（8）：40-47.

[10]郑玲丽.区域贸易协定数据本地化与例外问题研究，国际商务研究，2020（4）：85-96.

[11]JAMES M KAPLAN，KAYVAUN ROWSHANKISH.Ad？ dressing the impact of data location regulation in financial services [C].Global Commission on Internet Governance，2015 .

[12]MARTINA F FERRACANE.Restrictions on cross-border data flows[R].2017.

[13]罗嘉俪.揭开数据本地化的面纱：数字贸易中的大国博弈[EB/OL].（2021-03-22）[2021-06-22].https：//www.se？ crss.com/articles/29983.

[14]W KUAN HON.Data localization laws and policy//Jiahong Chen.The EU data protection international transfers restric？ tion through a cloud computing Lens[M].Cheltenham：Ed？ ward Elgar，2017：60，105.

[15]JOHN SELBY.Data localization laws：trade barriers or le？ gitimate responses to cybersecurity risks，or both？ [J].Inter？ national journal of law and information technology，2017（25）：213-232.

[16]EMBASSY ESPIONAGE.The NSA’s secret spy hub in Ber？ lin[EB/OL].（2013-10-27）[2021-06-12].http：//www.spie？ gel.de/international/germany/cover-story-how-nsa-spiedon-merkel-cell-phone-from-berlin-embassy-a-930205. html.

[17]W K HON，et al.Policy，legal and regulatory implications of a Europe-only cloud [J].International journal of law and information technology，2016（24）：251.

[18]P S RYAN，et al.When the cloud goes local：the global problem with data localization [J].Computer，2013（46）：54-56，253-254.

[19]WHITE HOUSE.Liberty and security in a changing world，the president’s review group on intelligence and communi？ cations technologies [EB/OL].（2013-12-12）[2021-06-03]. https：//obamawhitehouse.archives.gov/sites/default/files/do cs/2013-12-12_rg_final_report.pdf.

[20]MOHANTY BEDAVYASA，MADHULIKA SRIKUMAR. Making India- US data sharing work observer research foundation [EB/OL].（2017-08-09）[2021-06-12].http：// www.orfonline.org/research/hitting-refresh-india-us-datasharing-mlat/.

[21]STEVEN BERRY，JAMES LEVINSOHN，ARIAL PAKES. Voluntary export restraints on automobiles：evaluating a trade policy [J].American economic review，1999（3）：400.

[22]KUAN HON.Policy，legal and regulatory implications of a european only cloud [J].International journal of law and in？ formation technology，2016（3）：255.

[23]EILEEN YI.Singapore to run data centre trials in hot cli？ mate conditions [EB/OL].（2016- 05- 30）[2021- 06- 12]. https：//www.zdnet.com/article/singapore-to-run-data-cen？ tre-trials-in-hot-climate-conditions/.

[24]李司坤，胡博峰，青木.數据中心“本地化”渐成趋势[EB/ OL].（2020-09-21）[2021-04-11].https：//finance.huanqiu. com/article/3zyBYpjhaLU.

[25]NATURAL RESOURCES DEFENSE COUNCIL.Data cen？ ter efficiency assessment [EB/OL].（2014-08-30）[2021-06- 20].https：//www.nrdc.org/sites/default/files/data- cente r-efficiency-assessment-IP.pdf.

[26]CECILIA MALMSTR？M.Trade in a digital world，commis？ sioner for trade conference on digital trade [EB/OL].（2016- 11- 17）[2021- 06- 22].https：//trade.ec.europa.eu/ doclib/docs/2016/november/tradoc_155094.pdf.

[27]WTO.Joint statement on electronic commerce from Europe？ an commerceINF/ECOM/22 [EB/OL].（2019-04-26）[2021-07-02].https：//trade.ec.europa.eu/doclib/docs/2019/may/tra doc_157880.pdf.

[28]EUROPEAN COMMISSION.Submission on draft personal data protection bill of India [EB/OL].（2018-11-19）[2021-05-30].https：//eeas.europa.eu/delegations/india/53963/.

[29]SHILPA S RANIPETA.From data localisation to privacy，US raises concerns over India’s digital laws [EB/OL].（2020-04-28）[2021-04-30].https：//www.thenewsminute. com/article/data- localisation- privacy- us- raises- con？ cerns-over-india-s-digital-laws-123529.

[30]PTI.H1-B visa suspension to have Rs 1200-crore impact on Indian IT firms：Crisil[EB/OL].（2020-07-06）[2021-07- 06].https：//indianexpress.com/article/business/h1- bvisa-suspension-to-have-rs-1200-crore-impact-on-indi？ an-it-firms-crisil-6492868/.

[31]NEHA DASGUPTA，ADITYA KALRA.U.S. tells India it is mulling caps on H-1B visas to deter data rules-sources[EB/OL].（2019-06-20）[2021-06-30].https：//www.finan？ cialexpress.com/industry/us- tells- india- it- is- mullingcaps-on-h-1b-visas-to-deter-data-rules/1612993/.

责任编辑：方程

Trade Dimension Evaluation of Data Localization and China’s Countermeasures

FAN Ying

（Law School，Beijing Normal University，Beijing 100010，China）

Abstract：To enhance the interoperability of domestic and international trade rules in the post-epidemic double-cycle era，we need to view data localization measures from a development perspective；under the background that localization legislation is the general trend，we can judge whether the data localization measures initially used as a defensive strategy have achieved the expected policy objectives and trade effects，which will help us to study and judge the rationality of domestic softening position and the possibility of international coordination position. Though the logical origin of data localization is territoriality，under the condition of modern technology，the position of data storage actually cannot determine data safety and privacy. At present，policy target of data localization can be summarized as national safety，privacy protection，enforcement conveniency，and support for domestic emerging industries，which will improve the cost of trade and lead to counterparties’retaliation. The winner-take-all feature of digital industry may lead to policy response，exacerbate tensions between countries and introduce unnecessary trade barriers. The author selects this entry point for trade evaluation of data localization，constructs several trade dimensions such as motivation of data localization，proof of causality，non-discriminatory treatment and the availability of alternative solutions，and try to reduce or limit the adverse impact of data localization on trade with the help of clear and operational standards.

Key words：data localization；trade effects；trade rules