摘要：为了保护隐私权，欧盟制定了《一般数据保护条例》（GDPR），保护个人数据和规范数据跨境流动是其两大目标。为了符合GDPR的要求，非欧盟企业客观上只有两种选择：要么撤出欧盟市场，要么将数据本地化，否则将面临巨额罚款。实际上，数据本地化构成了贸易壁垒，违反了《国际服务贸易总协定》第16和17条。为了促进数字贸易，以《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《欧盟日本经济伙伴关系协定》（EPA）和《美墨加协定》（USMCA）为代表的新型区域贸易协定禁止数据中心本地化设置。为此，欧盟应设法消除任何数据本地化要求的可能性，同时应设法完善GDPR下的充分性决定机制。GDPR客观上对国际服务贸易规则产生了深远而广泛的影响。为了因应国际服务贸易规则的新发展，中国应引导与推动《服务贸易总协定》（GATS）的改进，加速构建促进个人信息保护、数据有序流动和保护公共利益相协调的新型数字贸易规则；借鉴欧盟与美国缔结的《隐私盾协议》，与欧盟开展有关数据跨境流动的双边协议谈判。

关键词：数据保护；数据流动；贸易壁垒；服务贸易；《一般数据保护条例》

中图分类号：F279.33文献标识码：A文章编号：1007-8266（2021）04-0093-10

基金项目：福建省高等学校新世纪优秀人才支持计划（闽教科[2018]47号）

一、引言

受欧洲一体化的影响，欧盟在数据立法上始终采用综合性立法方式。从《有关个人数据自动化处理之个人保护公约》到《关于个人数据处理保护与自由流动指令》（简称《数据保护指令》），再到《一般数据保护条例》（General Data Protection Reg ulations，GDPR），历经从指导、建议性的软法规范到强制性遵从的硬法规范的过程[ 1 ]。其中，GDPR因其严苛的规定、广泛的适用范围、高昂的罚款，被称为“史上最严格的个人数据保护法”，对国际贸易特别是服务贸易产生深远影响。同时，由于GDPR的“长臂管辖”原则，其适用范围已扩大到非欧盟企业[ 2 ]。GDPR下的合规要求对非欧盟企业产生巨大影响——或将这些企业排除出欧盟市场，或推动它们在欧盟内的任何与数据相关的活动本地化。因此，GDPR阻止了服务的跨国自由流动，违反了《服务贸易总协定》（General Agreement on Trade in Services，GATS）第16条、第17条。

虽然GDPR旨在保护个人数据，但在商务活动中，将数据明显区分为个人数据与非个人数据是很困难的，即使可能，成本也极高。进入后疫情时代，传统贸易模式受到很大影响，企业不能参展，不能出国拜访，不能地推，转型线上开展国际贸易已成大势所趋。商家不可避免地要使用搜索引擎、海关数据、社交媒体、地图、黄页等客户开发渠道。当客户在欧盟地区时，受GDPR的影响与约束将不可避免。

欧盟的这种数据监管制度与现有的世界贸易组织规则，特别是国际服务贸易规则之间存在一定的冲突。世界数字经济产业发展客观上需要调整国际贸易特别是数字贸易的新规则，但世界贸易组织自2001年开始的多哈回合谈判一直处于停滞状态[ 3 ]。因此，以GDPR为代表，包括《跨太平洋伙伴关系全面进步协定》（Comprehensive and Pro gressive Agreement for Trans- Pacific Partnership，CPTPP）、《欧盟日本经济伙伴关系协定》（EU-Ja pan Economic Partnership Agreement，EPA）、《美墨加协定》（The United States-Mexico-Canada Agree ment，USMCA）的新型区域贸易协定，主导并确立了关于个人隐私保护、跨境数据流动以及推动数字经济发展的新型贸易规则。中国作为数字经济大国，应正确研判国际贸易规则的发展形势，把握发展机遇，提高在多边、区域或国际贸易谈判中的话语权。同时，中国也应在不违反国际贸易规则的前提下，构建促进国家网络安全、企业公平竞争及个人信息保护协调发展的新型数字贸易规则[ 4 ]。

二、GDPR的立法背景与合规要求

欧盟的数据保护立法历经了从指令到法规的演变过程。与追求跨境数据流动高标准的CPTPP和USMCA不同，欧盟的数据监管制度相对保守，分析GDPR的立法背景，可以看出：欧盟历来重视保护个人信息权和隐私权等权利，并实施强立法保护模式；欧盟目前没有大型互联网企业，严格的数据监管制度客观上有利于抵制美、中等国互联网企业对欧盟市场的侵占，借机培育、发展欧盟内的互联网企业。

（一）GDPR的立法背景

隐私权是欧盟法律不可分割的一部分，被认为是一项基本人权。《欧盟基本权利宪章》第7条和第8条明文规定了私人生活、通讯和个人信息保护的权利。随着科技的进步，越来越多的日常生活、工作和学习从线下转移到线上，且需要在各种数字交易平台中输入个人信息，由此产生了个人信息泄露的问题。数字贸易给人们带来便利的同时，也带来了隐私保护和个人数据如何合法地收集、处理和流动等问题。早在1980年9月，经济合作与发展组织（OECD）就发布了《关于隐私保护与个人数据跨界流动的指导方针》，建立了保护个人数据的指南，但指南作为软法，对成员国并没有法律约束力。

1995年，欧盟制定了《关于个人数据处理保护与自由流动指令》，以规范个人数据的处理及跨境移动。欧盟对数据跨境转移进行规制，是基于以下两个原因：一是加强保护与个人数据相关的权利，特别是隐私权；二是维护欧盟信息主权和保障经济发展[ 5 ]。《关于个人数据处理保护与自由流动指令》统一了欧盟成员国内的数据保护标准，允许个人数据在欧盟内的自由流动，而对欧盟之外的國家，则采取以充分性决定机制为主的跨境数据转移规则。但在接下来的15年里，随着技术的进步，个人数据不仅需要进一步的保护，而且充分性决定机制需要统一实施。为此，欧盟议会于2016年4月通过了GDPR，在经过两年的缓冲期后，于2018年5月25日开始生效。

作为综合性数据保护条例，GDPR不仅适用于欧盟内部的组织，也适用于欧盟以外的企业（如果它们向欧盟内的数据主体提供商品或服务，或者监督欧盟内部人员的行为）。GDPR的影响范围已扩大到欧盟之外，成为许多国家制定个人数据保护法的基准。不仅欧盟成员国更新了其个人数据保护法，许多中东欧国家、欧洲经济区域会员国、韩国、日本甚至俄罗斯都参照GDPR制定了个人数据保护法。

（二）GDPR的适用范围

GDPR适用于所有完全或部分通过自动化方式处理的个人数据，并致力于管理上述数据的自由流动。任何收集、传输、保留或处理涉及欧盟所有成员国内个人信息的机構、组织均受GDPR约束。

根据GDPR规定，个人数据是指任何可用于识别自然人的资料，例如姓名或与某人的外貌、遗传、经济或社会身份有关的其他因素。除少数情况外，禁止处理属于特殊类别的个人数据，包括个人健康、性生活、种族、性取向和宗教或政治信仰等。

GDPR将参与数据收集、处理的实体分为“控制者”（Controller）或“处理者”（Processor），并赋予不同的责任。数据“控制者”为决定主体，是单独或联合决定个人数据处理目的和方式的自然人、机构或企业，而数据“处理者”是受委托，为控制者处理个人数据的自然人、机构或企业。“控制者”负责确保控制数据处理的措施已经到位，以确保所有操作都符合GDPR[ 1 ]。GDPR适用于欧盟境内的控制者和处理者，无论其数据处理行为是否发生在欧盟境内。GDPR也适用于非欧盟的数据控制者和处理者对欧盟境内的主体开展个人数据处理的行为。

以中国金融业为例，以下几种情况都可能受GDPR管辖：在欧盟有分支机构；某金融企业或其服务提供商为欧盟境内主体提供商品或服务（如在西班牙提供支付服务）；某金融企业或其服务提供商对数据主体在欧盟境内的行业进行监控（如作为监控在西班牙办理的信用卡余额的第三方）；处理居住在中国境内的欧盟居民的数据。

（三）GDPR下的数据跨境转移规则

随着数字技术的发展，数字贸易已成为国际服务贸易的重要部分，而数据跨境流动是数字贸易的内在要求。GDPR下的数据跨境转移规则对跨境服务贸易者造成很重的合规负担，本文第三部分将分析其是否构成贸易壁垒。

欧盟GDPR关于数据跨境转移的规则是在1995年《关于个人数据处理保护与自由流动指令》的基础上发展完善的。GDPR的数据跨境传输规则既要满足一般性原则，又要符合三项具体的数据转移规则。根据一般性原则，个人数据只有在符合GDPR规定的前提下才可以传输给第三国或者国际组织。三项具体的规则分别为：基于充分性认定的数据跨境传输规则，提供适当保障措施的数据跨境传输规则及特殊情况下的数据跨境传输规则。其中充分性决定机制是“一劳永逸”的，因为该决定消除了从欧盟到该第三国的数据传输的任何障碍，而无需任何进一步的数据保护要求。目前仅有12个国家获得充分性认定。如果第三国不属于充分性认定范围的，该国应对转让的数据提供以下保障措施之一：标准合同条款（Stan dard Contractual Clause，SCC）；具有约束力的企业规则（Binding Corporate Rules，BCRs）；行为准则；经欧盟委员会认可的第三方认证等。但是这些保障措施必须得到欧盟数据委员会或某个欧盟成员国数据保护局的批准。以中国的金融机构为例，这些机构一般采用标准合同条款（SCC）或有约束力的公司规则（BCRs）这两种保障性措施。如果第三国不能提供相应的保障措施，则只能采用第三种方式“特殊情况下的数据跨境传输规则”，即存在下列情况时，可以进行个人数据传输：数据主体同意为了特殊目的处理其数据；签订或履行合同的需要；公共利益的需要；建立、行使或捍卫法律主张的需要；保护数据主体或其他自然人切身利益的需要；公共登记数据的需要。

根据GDPR关于数据自由流动的“充分保护原则”，欧盟对第三国的数据保护水平进行评估。被列入“充分保护决定”的国家、地区和国际组织，无需经过欧盟数据监管机构事前授权，就可以与欧盟之间实现数据自由流动。2020年7月以前，有12个国家和地区（包括美国）获得欧盟充分决定的认证。2020年7月之后，美国被排除在外。

美国没有数据保护方面的综合性立法，而是采用了行业自律为主的监管模式，因此不符合欧盟对个人数据给予充分保护的要求。为了双方的贸易合作，欧盟与美国达成《信息安全港框架协议》（Safe Harbor Framework），规定双方之间数据跨境自由流动仅限于受美国联邦贸易委员会监管的行业，而将通信行业和交通行业排除在外。斯诺登事件后，欧盟法院通过Schrems案件裁定《信息安全港框架协议》无效，理由是该框架允许美国以国家安全、公共利益、执法为由规避监管，从而导致实施15年的欧盟与美国数据跨境流动机制被撤销。2016年，美国调整保护框架内容，将限制公权力的措施写入《隐私盾协议》（Privacy Shield），并获得欧盟委员会充分性决定。但在2020年7月的Data Protection Commissioner v. Facebook Ireland案中，欧盟法院认为欧盟委员会的充分性决定是无效的，因为提供的保护不满足对等要求[ 6 ]。

三、GDPR对国际服务贸易的影响

数据本地化要求所有数据都驻留在特定的位置，通常是收集数据的同一国家、区域等。对于来自未被充分性决策覆盖的国家的公司来说，数据本地化是最简单的，在某些情况下也是唯一的、符合要求的解决方案。即使企业的总部位于与欧盟有协议的国家之中，它们的安全也难以得到保证，也需要数据本地化。GDPR生效后不到一个月，微软office，一家通过Privacy Shield认证的美国企业，在德国黑森州被发现不再符合GDPR[ 7 ]。导致这一决定的一个主要因素是微软公司关闭了德国境内的Microsoft Office数据服务器。因此，为了解决不合规问题，微软被建议重新开放上述服务器。

在GDPR下的众多义务中，数据转移到第三国的严苛合规义务是否构成贸易壁垒，进而违反《服务贸易总协定》存在争议。数据究竟是一种商品还是一种服务的问题在学术界也存在争议。如果数据是服务，就要在《服务贸易总协定》下讨论。如果是商品，那就要在《关税及贸易总协定》（Gen eral Agreement on Tariffs and Trade，GATT）下讨论。本文认为数据是一种服务，并在此基础上分析GDPR是如何通过其所确立的数据跨境转移规则来影响数字贸易规则，进而影响国际服务贸易。

（一）GDPR下的数据跨境转移规则造成数字封锁，构成了贸易障碍

個人数据保护和数据自由流动是欧盟数据保护相关立法的两大目标。欧盟先后通过1995年《关于个人数据处理保护与自由流动指令》、2016年GDPR统一了成员国之间的数据保护水平，从而实现数据在欧盟各成员国内的自由流动。对于数据向欧盟外国家、地区流动的情形，欧盟提出了充分保护原则，对数据接收国的数据保护水平进行评估。当接收国满足欧盟的数据保护原则后，个人数据的跨境传输将被批准。

1.满足GDPR标准的数据合规要求困难重重

GDPR是一项涉及数据保护各个方面、监管程度高的立法。欧盟委员会（European Commission）为了寻求解决企业跨国经营可能出现的问题，提出了充分性决定的概念，这是一个先于GDPR的概念，早在1995年《关于个人数据处理保护与自由流动指令》中就被提出。GDPR保留了充分保护原则和充分决定机制，并对其进行了发展与完善。根据充分保护原则，那些被认定为对个人数据有充分保护的国家，可以与欧盟之间进行数据跨境转移。然而，要满足欧盟GDPR对个人数据进行充分保护的合规要求困难重重。

首先，充分性决定的评估执行程序存在不透明的问题。被排除在“充分性决定”认证之外的国家中，有些国家的数据保护法律实际上极其严格。韩国就是这样一个国家[ 8 ]。2011年，韩国制定了自己的数据隐私法，即《个人信息保护法》（the Personal Information Protection Act，PIPA），这部法在很多方面与GDPR规则相呼应。2015年，韩国又制定了《网络法》。违反PIPA或《网络法》可能会被处以罚金或刑罚，最高可被处以1亿韩元的罚款和10年劳役。此外，阿根廷在2003年获得了充分的数据保护，但在该决定获得批准时，阿根廷甚至还没有开始实施其数据保护法[ 9 ]。

其次，充分性决定的评估方法也存在不确定性。充分性决定机制要求第三国对个人数据的保护应达到与欧盟“必要相等的程度”，其评估根据有第三国国内法及所承担的国际义务、基本权利和自由、第三国保护水平是否达到欧盟基于《欧盟基本权利宪章》和1995年指令所给予的保护力度[ 5 ]。上述评估方法也存在很多不确定性，例如第三国承担的国际义务是指什么，并不明确。

此外，如果用“适当保障措施”进行跨境数据转移，也存在很多问题。比如，我国金融机构如通过与欧盟分行签署“标准合同条款”方式提供“适当保障措施”，虽然签署及获批耗时相对较短，但如果海外分支较多，则要签署多份，导致后续维护成本较大。而采用“有约束力的企业规则”能够覆盖集团个人数据传输的所有用途，但其认证流程非常严格，审批耗时长，难度大[ 2 ]。总之，非欧盟企业为了实现与欧盟市场间的数据传输，都需承担较高的合规成本。

2.数据本地化是满足GDPR合规要求的最佳选择

对所有这些非欧盟公司面临的障碍，数据本地化提供了一个解决方案，帮助其实现合规。数据本地化要求数据保存在特定站点的服务器上，而不考虑控股企业的位置。其结果是，以控股企业为代价为东道国的经济做贡献。

虽然GDPR本身并不包含任何显式的数据本地化需求，但自从GDPR生效以来，数据本地化基本上成为一个事实上的需求。对于总部位于未被充分性决定覆盖国家的企业来说，情况尤其如此。因为这些企业在如何重组以继续在欧盟内部运营方面的选择更少。

2018年，德国黑森州学生使用的微软office 365被认为不再符合GDPR。出现这种结果，是由于微软关闭了其在德国的数据中心，这意味着学生的数据将被转移到美国的服务器上进行数据处理。微软公司的另一种选择是将Microsoft Office软件切换为具有本地许可的应用程序，允许数据在本地处理和保存。如果微软公司重新将数据托管在德国国内服务器上，则没有必要采用这种方法。值得注意的是，微软是在《隐私盾协议》保护下进行自我认证的公司之一，这表明《隐私盾协议》本身可能不足以保护美国企业。由于黑森州对欧盟国民数据的处理方式有限制，许多企业会发现，只要将所有有关欧盟的数据本地化到欧盟内部，就能更容易地合规管理。

一些公司正在退出欧盟，因为这样做比以符合法规的方式进行重组更简单。比如在GDPR生效后，中国互联网巨头阿里巴巴旗下的全球速卖通、新浪微博国际版、微信海外版等纷纷向欧洲区用户更新隐私政策，请求重新授权。而短期难以适应规则的公司，则选择了暂时退出。例如小米生态链企业、美拍、网易云音乐等，均暂停了欧洲服务[ 2 ]。

从美国与欧盟签订的《隐私盾协议》中可以看到，有一些公司选择撤回当时的Privacy Shield认证，尽管Privacy Shield的目的相当于获得“充分性保护”决定，但这些公司认为这不足以阻止他们违反GDPR[ 10 ]。尽管GDPR仅实施了两年多，但欧盟国家将毫不犹豫地根据GDPR对其发现的违规公司进行处罚。根据GDPR的规定，违规公司被罚款的上限为2 000万欧元或最高为上一个财政年度全球全年营业收入的4%（两者中取数额大者）。因为违反了GDPR规则，欧盟对英国航空、谷歌和万豪等公司分别处以2.04亿欧元，5 700万美元和1.24亿美元的罚款。虽然未发生因违规将数据转移到第三国而被征收罚款的情况，但并不意味着这种合规风险不存在。即使罚款的金额微不足道，欧盟内部执行处罚的意愿也十分坚决[ 11 ]。

（二）GDPR违反《服务贸易总协定》平等准入与平等待遇要求

《服务贸易总协定》的目的是消除贸易壁垒，促进服务贸易自由。根据欧盟加入《服务贸易总协定》时所做出的承诺，可以得出GDPR违反了《服务贸易总协定》第16条和第17条。

1.GDPR违反了《服务贸易总协定》第16条的平等准入要求

世界贸易组织的每一个成员国就《服务贸易总协定》订有一份与特定服务部门有关的具体承诺减让表。在承诺表中列明的开放服务部门必须遵守《服务贸易总协定》市场准入和国民待遇条款中的要求。《服务贸易总协定》第16条（市场准入）要求世贸组织成员必须向来自这些部门的外国供应商提供市场准入，这些供应商的待遇不得低于国内供应商。

在最初的承诺中，欧盟并未对电信服务或数据检索的市场准入加以限制。世界贸易组织争端解决机构（DSB）规定，一项服务如果属于附表中所做承诺的类别之一，则必须遵守与第16条相一致的规定。如赌博和博彩服务被认为是美国承诺开放的服务部门，这意味着美国不能制定法律来限制外国投资者提供这些服务。2003年，安提瓜和巴布达就对美国提起诉讼，指控美国禁止网上博彩服务跨境供应的措施违反了《服务贸易总协定》第16条市场准入原则。GDPR也应受到欧盟在《服务贸易总协定》中所做承诺的约束。事实上，欧盟确实在其承诺范围内制定了对金融数据处理的具体限制，将其从《服务贸易总协定》的市场准入和国民待遇条款中豁免。因此可以推论，除金融数据外，所有其他数据都被排除在这一限制之外。对欧盟承诺做出的这些调整是在《数据保护指令》作为欧盟主要数据保护法期间完成的。此后，虽然通过了GDPR数据保护法律，但欧盟一直没有努力重新审视其在除金融数据外领域的承诺时间表。

GDPR对非欧盟企业的要求表明，这些企业受到的待遇低于欧盟内部企业，因而违反了第16条（市场准入）。对非欧盟企业来说，除了要将涉及欧盟的数据本地化这一潜在差别对待外，设立数据保护官是另一个进入欧盟市场的壁垒。根据GDPR要求，当非欧盟企业要对欧盟境内的数据主体进行定期、系统的数据处理时，应设立数据保护官。欧盟在加入《服务贸易总协定》做出承诺时并未为数字服务或个人数据开辟例外，欧盟已承诺允许这些服务在其自身和其他世贸组织成员之间自由流动。因此，GDPR对数据在欧盟和第三国之間的自由流动设置的障碍已经违反了承诺，也违反了《服务贸易总协定》第16条规定。

2.GDPR违反了《服务贸易总协定》第17条的平等待遇要求

《服务贸易总协定》第17条（国民待遇）要求“对外国和国内服务提供者给予平等待遇”。根据GDPR规定，非欧盟企业无法像以前一样在欧盟内部继续运营。这是因为它们要么来自那些被认为没有得到充分保护的国家，要么认为遵守GDPR下的合规规定将是一种太大的财政负担。事实上GDPR阻止了这些企业进入欧盟的整个内部市场。

相比之下，位于欧盟内部的企业则没有这些限制，并有机会在一个开放的内部市场运营。事实上，非欧盟公司基本上只能选择退出或数据本地化（如果是180多个未被充分性决定覆盖的国家之一）。但是，这相当于给予欧盟企业优惠待遇，并因此改变了欧盟市场的竞争格局。

（三）GDPR不适用《服务贸易总协定》第14条

与大多数管理贸易的条约一样，《服务贸易总协定》也有例外。在规定有关服务自由流动要求的同时，服务贸易总协定也规定了例外情况。如《服务贸易总协定》第14条（c）款所列举的：ⅰ.为了防止诈骗或处理服务合同违约；ⅱ.为了保护个人信息隐私及个人记录、账户的机密；ⅲ.为了确保安全等方面法律、法规得到遵守而采取的措施。即使上述这些措施与《服务贸易总协定》的规定不一致，但只要这些法律、法规与《服务贸易总协定》不相抵触，也是《服务贸易总协定》所允许的[ 12 ]。

如果被诉至世界贸易组织争端解决机构，欧盟可以根据《服务贸易总协定》列出的几种例外情况辩称它有权维持GDPR。最有可能的辩护依据是第14条（c）款所列的例外措施中的（ii）项。但根据《服务贸易总协定》第14条“各项例外措施在适用时不得任意，在效果上不会造成不公平的、歧视性的后果”的规定，欧盟的这个辩护理由将站不住脚。尽管GDPR的目标是隐私保护，但要想被视为一个可接受的例外，它必须被证明这类措施的实施不会在情况相同的国家间造成不公平、歧视，或构成对服务贸易的变相限制。在考察那些存在强有力的数据保护法律却没有得到充分性保护决定的国家时，我们可以清楚地看到，做出这些决定的过程是十分武断的。韩国的情况最能说明欧盟充分性决定机制的随意性。其他例子也表明，在充分性决定的决策过程中存在着不合理的歧视和武断。阿根廷是仅有的11个被授予充分保护决定的国家之一，甚至在实施其数据保护法之前就被授予了充分性保护决定。愈是仔细审查充分性决定机制，就愈难提出“‘保护与个人资料的处理和散播有关的个人隐私是一项基本权利并受第十四条（c）款（ii）项保护”的论点。因此，欧盟援引第14条（c）款（ii）项，认为GDPR是一个可接受的例外的辩护是站不住脚的。

四、应对GDPR影响的对策与建议

随着万物互联时代的到来，国际服务贸易不可避免地要涉及数据跨境转移，而在商务活动中要严格区分个人数据与非个人数据是很困难的。虽然GDPR旨在保护个人数据，却对国际服务贸易产生了很大影响，甚至违反了《服务贸易总协定》。为此，本文对欧盟应如何完善GDPR下的数字贸易规则提出一些建议。同时对中国应如何应对GDPR的影响提出对策，以解决GDPR造成的数据保护与全球信息自由流动之间的紧张关系。

（一）欧盟应完善GDPR下的数字贸易规则

为了完善GDPR制度，欧盟内部应有所作为。同时，国际社会也可以通过向国际贸易争端解决机构及欧盟内部监察专员、欧盟法院提起上诉这两条起诉的路径促使欧盟完善GDPR下的数据保护与数据流动规则。

1.欧盟应禁止数据本地化要求并完善充分性决定机制

为了缓解GDPR引起的一些问题，欧盟可以采取的第一步是通过一项规定，即不允许任何成员国制定明确的数据本地化法律。德国和法国已经提出了制定快速数据本地化法律的建议，但这些建议没有得到欧盟委员会的采纳[ 13 ]。委员会对这些法律的负面反应，对禁止任何其他国家采取同样立法行动来说是一个好兆头。然而，任何禁止特定国家数据本地化法律的欧盟立法都不能解决非欧盟国家和企业难以遵守GDPR的问题。

充分性决定机制是处理这个问题的重要解决方案。自充分性决定机制实施25年以来，只有12个国家或地区被欧盟认定为对个人数据进行过充分性保护，可以与欧盟之间进行自由的数据跨境流动。被授予充分性决定的国家如此之少说明该机制本身存在不足之处。欧盟可以从以下两个方面入手：首先，可以通过简化充分性决定的认定流程来解决这些问题；其次，可以通过与各国密切合作，查明问题根源，采取有效措施来解决这些问题。总之，为了鼓励数据的自由流动，充分性决定的决策过程必须更新，要让决策程序更加透明和明确。

2.促使欧盟完善GDPR下的充分性决定机制的途径

如果歐盟委员会不能尽快完善充分性决定机制，那么国际社会可以提起诉讼以促成变化，其途径有：

（1）向国际贸易组织争端解决机构提起上诉。如果一个WTO成员认为另一个成员制定了一项成为新贸易壁垒的规定，并试图限制贸易，则前者有权向WTO提起申诉，指控相关做法违反了贸易协定。例如，2003年，安提瓜和巴布达对美国提起诉讼，指控禁止网上博彩服务跨境供应的措施违反了《服务贸易总协定》第16条市场准入原则。安提瓜和巴布达在诉美国赌博案中辩称，禁止跨境提供博彩服务的三条联邦法律违反了美国关于市场准入的承诺。安提瓜和巴布达的理由是，由于美国承诺向外国供应商提供与国内供应商相同的待遇，因此，禁止安提瓜和巴布达在美国境内经营赌博和博彩服务，违反了《服务贸易总协定》。世界贸易组织争端解决机构在为安提瓜和巴布达做出裁决时认为美国违反了关于其各自附表所列各项承诺的第16条的规定，未向安提瓜和巴布达赌博和博彩服务供应商提供与本国供应商相同的待遇[ 14 ]。

目前，向WTO争端解决机构提起上诉这一路径并不可行。由于美国的阻扰，国际贸易组织争端解决机构事实上已处于停摆状态，上诉机构已不再运作，任何向WTO提起针对欧盟的诉讼的尝试都可能是徒劳的[ 3 ]，甚至申诉至DSB也收效甚微。以安提瓜和巴布达诉美国开放网上博彩业为例，即使争端解决机构最后裁判美国败诉，并授权安提瓜和巴布达对美国采取报复性措施，对美国也没有任何影响，因为申诉双方的市场体量反差太大。

（2）向欧盟监察专员申诉。向争端解决机构申诉并不是提起诉讼的唯一途径，因为在欧盟内部还存在一种途径来消除充分性决策程序缺乏透明度对非欧盟企业的影响。

监察专员（行政申诉专员）是欧洲联盟众多机构之一。申诉专员负责监督整个欧盟各机构的廉洁问题，调查有关欧盟管理机构行政失当的投诉。被调查的不当行政管理的类型包括滥用权力、歧视、适用法律不当和缺乏透明度等。而透明度和相称性作为原则载入欧盟宪法框架，成为有效民主制度的重要基础。

申诉专员的服务可提供给欧盟国家的公民或居民，或总部设在欧盟的公司。假如一个韩国公司在法国有商业存在，由于韩国未获得欧盟充分性保护决定，这将导致韩国总公司与欧盟分公司之间无法自由地进行数据跨境流动。欧盟分公司可以以充分性决定机制缺乏透明度和存在歧视为由向监察专员进行投诉。在提出申诉时，该公司可以辩称，在韩国拥有严格的数据保护法规的情况下，为了获得“充分性保护”决定而让韩国等很多年是一种歧视，而且影响了公司在欧盟开展业务的能力。

（3）向欧盟法院起诉。虽然向监察专员申诉有助于鼓励欧盟委员会改变充分性决定的决策程序，但这并不是问题的全面解决方案，因为申诉专员无权发布禁令。然而，欧盟法院（The Court of Justice of the European Union，CJEU）却拥有这种权力。位于欧洲的非欧盟企业可以侵犯个人经济权利或违反欧盟法律的一般原则为由，向CJEU提出索赔。欧盟法院于1994年发表了第1/94号意见，答复了欧洲共同体（欧盟的前身）关于《服务贸易总协定》归谁管辖的问题，最终将《服务贸易总协定》原则纳入欧盟法律。

（二）GDPR对国际服务贸易规则影响的中国因应

事实上，GDPR已影响了国际贸易规则，特别是国际服务贸易规则。中国应正确研判国际贸易规则的发展形势，把握发展机遇，提高在多边、区域或国际贸易谈判中的话语权。同时，中国也应在不违反国际贸易规则的前提下，构建促进国家网络安全、企业公平竞争及个人信息保护协调发展的新型数字贸易规则。此外，为了解决与欧盟之间数据跨境传输问题，中国可借鉴欧盟—美国《隐私盾协议》模式，尽早与欧盟磋商谈判并签订协议。

1.引导与推动《服务贸易总协定》的改进

数字技术的进步推动了全球服务贸易的快速发展，也带来了数据流动与隐私保护问题。各国纷纷通过国内立法来规制数据流动及存储问题。如澳大利亚要求对医疗信息进行本地化存储。加拿大的英属哥伦比亚和新斯科舍两个省规定，禁止从境外访问医院、学校等公共部门的信息。俄罗斯法律要求本国企业的电子通讯和社交网络数据需进行本地化。印度、越南等国家也有数据本地化存储的法律规定。欧盟更是通过GDPR的实施，深刻影响了世界数据规则。这种现状已事实上构成了新型数字贸易壁垒。

其实，2016年7月颁布的《中华人民共和国网络安全法》（下称《网络安全法》）也被置疑影响了国际服务贸易，并于2017年被美国诉至WTO贸易服务委员会。美国认为我国的《网络安全法》及其配套政策、规定将会阻碍数据跨境流动，进而影响国际服务贸易和在华外企的业务开展。“网络运营者”的广泛性、“重要数据”和“个人信息”传输限制的严苛性与牵涉部门的广泛性、隐私保护义务的繁重性与不必要性、安全评估标准与关键信息基础设施的广泛性与模糊性等问题都受到关注[ 15 ]。

针对数字经济有关事项，《服务贸易总协定》及《与贸易有关的知识产权协定》（Agreement on Trade- Related Aspects of Intellectual Property Rights，TRIPS）都制定了相应的规范，但仍不能适应数字经济发展的需求。现有的WTO规则对新型数字贸易壁垒无能为力。从2001年开始的多哈回合谈判已处于停滞状态。

中国作为多边贸易体制的受益者，应积极利用WTO多边谈判体制，引导WTO成员关注WTO多边协定中所缺乏的应对数字贸易壁垒的规范，借鉴GDPR所创设的平衡数据自由流动与隐私保护的新型数据流动规则，吸纳以《区域全面经济伙伴关系协定》《全面与进步跨太平洋伙伴关系协定》《欧盟日本经济伙伴关系协定》《美墨加协定》为代表的新型区域贸易协定中的数字贸易规则，细化《服务贸易总协定》协定已有的四种贸易模式，发挥WTO争端解决机制作用，改进与完善《服务贸易总协定》。

2.构建促进国家网络安全、企业公平竞争及个人信息保护协调发展的新型数字贸易规则

我国的数据监管法律制度正在不断地完善。2017年6月《网络安全法》及最新刑事司法解释正式运行。2018年8月，《中华人民共和国电子商务法》在《网络安全法》的基础上，对个人信息保护规则做了进一步细化。2021年1月1日生效的《中华人民共和国民法典》在总则和分则中均对个人信息保护有明文规定。现有的其他法律如《中华人民共和国消费者权益保护法》《中华人民共和国广告法》等也涉及到对个人信息的保护。但在社会实践中，这些法律的适用大多规定得较为原则，并不能满足人民群众对个人信息保护的各类迫切需求。此外，纵观其他法规及规范性文件，例如《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》、（工业和信息化部）（GB/T 35273—2020）《信息安全技术个人信息安全规范》等，这些法律法规虽然为企业提供了极强的合规参考价值，但也存在着一定的滞后性，并不能够适应各类互联网企业的合规需要。目前我国已加速个人信息保护的立法进程，《中华人民共和国个人信息保护法（草案）》（以下简称《个人信息保护法》）和《中华人民共和国数据安全法（草案）》（下称《数据安全法》）均已公布。

我国在制定《个人信息保护法》和《数据安全法》的过程中，可以充分借鉴GDPR的条款。以GDPR为代表的欧盟高水平数据保护要求，倒逼我国提高个人信息保护水平。将我国的《个人信息保护法》草案与GDPR进行对比发现，两者主要存在以下不同：

（1）在个人数据的跨境转移上，GDPR规定了包括充分保护性认定、有约束力的公司规则、数据保护标准条款、特别告知同意、履行合同必要等多种合规路径。而我国《个人信息保护法》统一将“告知并取得个人同意”作为数据跨境传输的前提条件，在合规路径方面规定了安全评估、个人信息保护认证、与境外接收方订立合同等方式[ 16 ]。我国是一个数据大国，目前数字经济规模仅次于美国，位列全球第二。中国有9家企业位于全球市值最高的20家互联网企业之列。虽然我国互联网企业目前的国际化程度不如美国企业，但未来势必将成为数据进口大国。因此，拓宽个人数据跨境合规流动的路径是极为必要的。

（2）在个人数据本地化存储上，《个人信息保护法（草案）》对关键信息基础设施运营者和符合国家网信部门规定的个人信息处理者提出了本地化存储的要求。其中的跨境规则对于跨境经营类企业（如境外跨国企业、中国出海企业）的影响较大，需根据其自身情况确定合规路径，并征得用户的单独同意。正如本文第二部分所述，GDPR未明确要求数据本地化都有可能违反《服务贸易总协定》第16条和17条，如果我国《个人信息保护法》明确要求数据本地化，则更有可能与《服务贸易总协定》冲突并被诉至国际贸易组织争端解决机构。

（3）在数据处理者的义务上，GDPR对于数据“控制者”和“处理者”有较细的法律义务的分配，且要求“控制者只能选用有充分保证的、可采取合适技术与组织措施的、其处理方式符合本条例要求并且保障数据主体权利的处理者”。而《个人信息保护法》规定“个人信息处理者委托处理个人信息的，应当与受托方约定双方权利义务，并对受托方的个人信息处理活动进行监督”。就受托方的义务而言，除履行其合同义务、返还或删除个人信息义务，及不得转委托外，并无进一步的规定。

（4）在处罚上，GDPR规定有两千万欧元或上一年全球总营业额4%的金额的罚款上限（取两者中的较高者），还规定了处罚的考量因素。而《个人信息保护法》草案将罚款上限规定为“五千万元”或者“上一年度营业额5%”，未明确处罚数额的考量因素、针对适用的违法情形以及营业额的范围。

3.借鉴欧盟—美国《隐私盾协议》，与欧盟开展数据跨境流动双边协议谈判

美国通过与欧盟缔结《隐私盾协议》来化解双方的数字贸易壁垒。美欧之间能达成双边协议，有三个有利因素：一是美欧之间经济依存度高；二是美欧之间有政治互信；三是美国强大的外部执法机制能约束信息控制者的行为[ 17 ]。中国如想与欧盟达成类似协议，还需在个人信息保护水平、数据保护立法与标准、执法监督机制、救济手段等方面进一步改善。可喜的是，2020年12月30日《中欧全面投资协定》（The China-EU Comprehensive Agreement on Investment，CAI）完成谈判。我国在个人信息保护立法与执法体系趋于完善之时，应尽早与欧盟开展有关數据跨境流动的双边协议谈判。现阶段，我国可由商务部牵头组织国内各大企业建立海外合规信息与资源共享平台，加强与欧盟委员会等海外个人数据保护监管机构的平等磋商与合作，尽快达成有利于双方的相关协议，降低我国企业特别是中小企业开拓欧盟市场的合规成本、合规风险[ 2 ]。

4.吸收借鉴数字贸易规则，为积极加入CPTPP磋商创造条件

在WTO改革沒有进展，也无力解决数字贸易壁垒问题的现状下，以GDPR为代表，包括《全面与进步跨太平洋伙伴关系协定》《欧盟日本经济伙伴关系协定》《美墨加协定》等新型区域贸易协定在内的数字贸易规则对我国制定相应规则有较大的借鉴意义。我国应关注数据跨境流动、数据相关设施的本地化、数字贸易业务的市场准入、数字知识产权保护、跨境电商便利化等方面的国际态势与主要分歧，在完善国内相关法律制度的同时，积极参与双边和区域协定谈判，与国际接轨。

以数字贸易业务的市场准入为例。国际上对云计算是“计算机相关服务”还是“电信服务”一直存在较大分歧。美国力主云计算是“计算机相关服务”，而许多发展中国家将云计算视为电信服务，采取许可管理。根据CAI的内容，中国已同意收紧对计算机服务市场准入的限制，同时CAI还包括了“技术中立”条款，以确保对增值电信服务设置的股权上限不会适用于金融、物流、医疗等在线服务。虽然CAI还未签署、生效，但云计算的服务分类必将影响CAI条款的实施。

数据（设施）本地化问题，《美墨加协定》第19章第12条规定“禁止将计算设施置于某一成员国内或使用某一成员国境内的计算设施等本地化要求，且无任何例外情况”。而我国2016年的《网络安全法》就因要求关键信息基础设施本地化等规定而饱受争议。

我国近两年在区域协定的谈判、签署上都取得了较大进展。2020年11月15日，《区域全面经济伙伴关系协定》正式签署。2020年12月30日，中欧领导人共同宣布如期完成中欧投资协定谈判，同时中国领导人宣布积极考虑加入《全面与进步跨太平洋伙伴关系协定》。所有这些区域协定均涉及数字贸易规则。因此，我国应尽早借鉴已创设的新型数字贸易规则，助力我国数字经济发展。

五、结语

根据《服务贸易总协定》第16条和17条之规定，欧盟有义务不采取任何有利于国内服务供应商而不利于外国服务供应商的措施。GDPR在个人数据保护和跨境转移上对非欧盟公司的运营提出了很高的要求，造成了不适当的负担。为了符合GDPR的要求，非欧盟企业客观上只有两种选择：要么撤出欧盟市场，要么将数据本地化，否则将面临巨额罚款。而要求数据本地化实际上构成了贸易壁垒，违反了《国际服务贸易总协定》第16条（市场准入）和第17条（国民待遇）。由于美国的阻扰，国际贸易组织争端解决机制事实上已处于停摆状态。鉴于此，那些在欧盟有商业存在的非欧盟企业可以向欧盟行政申诉专员提出申诉。

数据跨境流动是数字贸易的内在要求，而数字贸易又是国际服务贸易的重要组成部分。因此，GDPR会对国际服务贸易产生广泛而深远的影响。本文建议，欧盟应禁止数据本地化要求并完善充分性决定机制。因应GDPR对国际服务贸易法的影响，中国应引导与推动《服务贸易总协定》的改进与完善；吸收借鉴以GDPR为代表的《全面与进步跨太平洋伙伴关系协定》《欧盟—日本经济伙伴关系协定》《美墨加协定》等新型区域贸易协定所创设的数字贸易规则，构建促进国家网络安全、企业公平竞争及个人信息保护协调发展的国内数据监管法律制度；尽早与欧盟开展有关数据跨境流动的双边协议谈判。

参考文献：

[1]陈文清.欧盟《一般数据保护条例》中数据处理主体的二元划分及其启示[J].西部法学评论，2020（4）：56-66.

[2]屈刚，洪金莹，杨茜，李罡琴.欧盟《一般数据保护条例》的实施与应对——基于中国银行的探索实践[J].国际金融，2020（6）：37-48.

[3]陈鼎庄.从中美贸易摩擦看国际贸易法的发展及中国的对策[J].中国流通经济，2019（10）：107-116.

[4]戴龙，数字经济产业与数字贸易壁垒规制——现状、挑战及中国因应[J].财经问题研究，2020（8）：40-47.

[5]袁慧.欧盟数据跨境转移中的充分决定机制研究[J].电子知识产权，2020（11）：56-69.

[6]JOSEPH J L，MARY T C.Tag archives：data protection commissioner v. facebook ireland and maximillian schrems[EB/OL].（2020-01-23）[2021-01-25].https：//www.work placeprivacyreport.com/tags/data-protection-commissionerv-facebook-ireland-and-maximillian-schrems/.

[7]DAVID R.Why the Privacy shield wont make you gdprcompliant[EB/OL].（2018- 05- 25）[2020- 12- 05].https：// www.cmswire.com/information-management/why-the-priva cy-shield-wont-make-you-gdpr-compliant/.

[8]KURT W.Third annual detlev f. vagts roundtable on transna tional law：data protection in a global world[C].112 Am. Socy Intl L. Proc.（2018）：219-231.

[9]JENNIFER S，CHAN B，JOLY Y.The European Unions adequacy approach to privacy and international data sharing in health research[J].The journal of law，medicine & ethics，2018（1）：143-155.

[10]Generally list：active，privacy shield framework[EB/OL].（2019- 10- 06）[2020- 12- 10].https：//www.privacyshield. gov/list.

[11]GDPR enforcement tracker，enforcement tracker[EB/OL].（2019- 11- 09）[2020- 12- 10].http：//www.enforcement tracker.com/.

[12]李國安.《服务贸易总协定》的例外及其限制[J].国际经济法学刊，2004，9（2）：20-52.

[13]李毅，王迪.世贸组织背景下中国数据本地化存储要求的评析[J].重庆邮电大学学报（社会科学版），2019，31（4）：34-43.

[14]JOEL P T.United States-measures affecting the cross-bor der supply of gambling and betting services[J].American journal of international law，2005，99（4）：861-867.

[15]China- measures affecting trading rights and distribution services for certain publications and audiovisual entertain ment products[R].Report of the Appellate Body，2009.

[16]王淼.数字经济发展的法律规制——研讨会专家观点综述[J].中国流通经济，2020，34（12）：114-124.

[17]JOSHUA D. B.Reading the trade tea leaves：a comparative analysis of potential United States WTO-GATS claims against privacy[J].Localization and cybersecurity laws，2018，49（2）：801-843.

责任编辑：嘉斌

The Influence of General Data Protection Regulation on International Service Trade Rules

CHEN Ding-zhuang

（Xiamen Huaxia University，Xiamen 361016，Fujian，China）

Abstract：In order to protect privacy right，the European Union（EU）has developed General Data Protection Regulations（GDPR），whose two main objectives are to protect personal data and regulate the flow of data across borders. In order to comply with the GDPR，non-EU companies objectively have only two options：either pull out of the EU market or localize their data，otherwise they will face huge fines. In fact，requiring data localization constitutes a trade barrier and violates Articles 16-17 of General Agreement on International Trade in Services（GATS）. In order to promote digital trade，new regional trade agreements such as the Comprehensive Progressive Trans-Pacific Partnership（CPTPP），the Agreement between the European Union and Japan for an Economic Partnership（EPA）and the United States–Mexico–Canada Agreement（USMCA）also prohibit data center localization. So，the EU should try to eliminate the possibility of any data localization requirements and perfect the adequacy decision-making system. GDPR has a profound and extensive impact on international service trade rules. In order to adapt to the new development of international service trade rules，China should guide and promote the improvement of GATS，accelerate the development of new digital trade rules that harmonize the protection of personal information，the orderly flow of data and the protection of public interest，and refer to the Privacy Shield Agreement to negotiate a bilateral agreement with EU on cross-border data flow.

Key words：data protection；data flow；trade barriers；service trade；GDPR