跨境数据流动规制:核心议题、国际方案及中国因应
2021-07-14冯洁菡
冯洁菡,周 濛
(武汉大学国际法研究所,湖北 武汉 430072)
随着数据资源成为全球经济与贸易发展的主要驱动因素,全球性和区域性的国际贸易规则开始将跨境数据流动条款纳入其中。然而各国出于对数据行业发展、隐私保护传统、国家立场和国家安全观念等核心议题的考虑,对个人数据出境实施了不同水平的限制,提出了各具差异的跨境数据流动规制方案。如何平衡数据流动与数据保护和数据安全之间的关系、如何兼顾发展中国家与发达国家关注的不同利益,将是国际社会必须面对的挑战。
一、跨境数据流动规制及其核心议题
(一)跨境数据流动及国别规制
“跨境数据流动”(Transborder Flows of Personal Data)这一概念最早是在20世纪70年代由经济合作与发展组织(OECD)的科学技术政策委员会(the Committee for Scientific and Technological Policy,CSTP)下设的计算机应用工作组(Computer Utilization Group,CUG)提出的[1]。随后OECD于1980年发布的《隐私保护与个人数据跨境流动指南》将其定义为“跨越国境的个人数据移动”①。欧盟2018年出台的《通用数据保护条例》(GDPR)具体地将数据跨境流动描述为“个人数据向第三国或者国际组织的传输”②。我国信息安全标准化技术委员会于2017年发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》也规定了数据出境的定义,即数据出境是指将在我国境内收集和产生的电子形式的个人信息和重要数据提供给境外机构、组织、个人的一次性活动或连续性活动③。
与数据跨境流动相对的是数据本地化存储(Data Localization)。大部分国家/地区在限制数据流动时都会使用不同强度的本地化存储规定。虽然各国已经深刻认识到数据跨境流动可以创造出巨大的经济利益与商业价值,但采用限制数据跨境流动的本地化措施已经成为了一种国际趋势。基于国家/地区通讯与数据行业发展水平以及数据主权战略或数字贸易政策导向的不同,各国对数据跨境流动的限制程度亦有所区别[2]。这种区别主要体现在3个方面。
第一,国家干预程度不同。国家不直接干预意味着国家的公权力不直接介入具体的数据跨境活动,而是通过数据本地化立法中的处理原则和权利义务来间接束缚数据主体与数据控制者的行为,这样相关行为方就可以通过私人意志自行决定是否将数据留存于境内。例如,印度和韩国都规定了个人数据的跨境传输需要得到数据主体的同意之后才能进行,除此之外无其他特别限制,数据主体自身就能决定数据传输活动能否进行。相反,也存在国家公权力直接干涉数据出境的情况,如澳大利亚《我的健康档案法》强制规定了个人健康数据只能存储在境内,否则将对数据控制者予以处罚[3]。
第二,本地化存储的彻底程度不同。严格程度最低的规定是只要求境内留存有数据副本即可,相关行为方可以在境外另行存储、处理、访问相同的数据集,如俄罗斯的第242-FZ号联邦法律;中等严格程度的规定要求只能在境内存储和处理数据,但行为方可以在境外访问数据,如我国的《征信业管理条例》没有明令禁止对征信机构所采集信息的境外访问;最彻底的本地化措施要求数据的存储、处理和访问都只能在境内进行,如澳大利亚《我的健康档案法》对个人健康数据的要求。
第三,数据本地化的豁免规定不同。数据主体同意属于最基础的数据出境豁免条件,对此印度、韩国、澳大利亚等国都有相应规定。还有一些规定以境外接收方可以提供相同数据保护水平作为允许数据传输的特定情况,如欧盟和巴西。国家公权力机关的自由裁量权也可以作为数据出境的豁免条件,如我国《关于银行业金融机构做好个人金融信息保护工作的通知》规定,人民银行在特殊情况下可以允许个人金融数据出境;印度《2019年个人数据保护法》规定政府在某些情况下可以特别授权个人重要数据的传输。达成这些豁免条件的难易程度从侧面体现了数据本地化立法的严格与否。
(二)跨境数据流动规制的核心议题
各国对数据跨境流动限制程度的不同间接体现了该领域包含议题的复杂性,如数据主权、隐私保护、国家网络安全、法律适用与管辖、数字产业发展、数字技术革新、数字贸易等等。从目前全球数据流动规制的发展格局来看,发达国家与发展中国家具有不同的关注点:前者拥有良好的数据产业基础与数字贸易的比较优势,因此更为强调数据流动对经济贸易的推动作用;后者则在数字技术与经济领域刚刚起步,对于保护本土技术企业的发展和减缓外界对国家安全的影响更为关注。而在发达国家之间,对数据流动规制的关注点也不完全一致。从上述发展格局来看,目前跨境数据流动规制中的核心议题可以概括为以下3个方面。
第一,国内数字行业的发展是否受到数据跨境流动的影响。发达国家的数据行业发展水平以及利用云计算和大数据技术的能力远远超过发展中国家,因此跨国电子商务开放水平的提升可以帮助其更好地创造和获取数字产业和数字贸易所带来的经济价值。但对于发展中国家来说,其数字产业以及一些传统产业可能会受到发达国家电商服务和数字产品的冲击,跨境电子商务的自由开展反而会使数据高度集中在发达国家的大型跨国公司手中,这样会导致双方的资源和财富差距进一步加深。基于国内行业发展以及产业结构调整因素,发展中国家必然会对高度自由的数据流动持较为保守的立场。
第二,网络安全与国家安全是否受到数据跨境流动的威胁。由于许多发展中国家在关键信息基础设施防护、网络安全保护等方面存在技术上的不足,一旦产生无限制的跨境数据流动,本国的相关设施和安保措施可能会被轻易攻击并引发政治、经济、军事等领域的安全风险。以美国出台的《澄清域外合法使用数据法案》(CLOUD法案)为例,该法案赋予了美国执法机关调取美国企业在境外存储的用户数据的权力,其他国家对境内数据的控制权被严重削弱,若再放任数据流动,则会严重影响国家安全。
第三,隐私保护水平是否因数据跨境流动而降低。在欧盟数据保护的人权话语体系之下,欧盟主要以比例原则权衡隐私保护与数据流动之间的关系,即数据流动带来的经济利益虽然必要,但不能超出对尊严、隐私和数据保护的基本限制[4]。欧盟法院判决安全港和隐私盾无效的主要理由都是美国无法提供对欧盟公民个人数据的充分性保护,即便是跨大西洋数据传输给欧盟带来的经济利益也不能缩减这种保护。
由于对以上核心议题的关注点存在差异,不同国家和地区各自提出了独特的数据流动规制方案。一方面,美国和欧盟分别基于自身在数字贸易和个人数据保护领域的影响力,主导着目前主流的国际数据流动规则。美国主导着OECD和亚太经合组织(APEC)的隐私保护原则,并意图向其他成员国推广行业自律型的数据流动方案;欧盟则不断施加GDPR对其他国家的压力并以高标准的数据保护水平作为数据跨境传输的依据。欧美的规制方案不断影响着世界各国的隐私立法与数据本地化措施,并紧锣密鼓地在各自的双多边自由贸易协定(FTA)中部署有利于自身的电子商务与数字贸易规则。其他许多国家特别是发展中国家迫于形势与压力不得不接受欧美FTA中的数据流动条款,并放弃本土产业发展机会与国家安全利益,以使本国企业可以在欧美市场开展数据处理活动。这种欧美单边主导的规制方案已经造成了国家之间数据流动规制话语权的不对等,以及数字贸易竞争的不公平。另一方面,中国和东盟国家作为发展中国家代表,率先在《区域全面经济伙伴关系协定》(RCEP)中主张多元化的数据流动治理与合作,并关注到欧美FTA中较少提及的数据安全议题。RCEP没有欧美国家参与,并吸引了一些美国的传统盟友加盟,这显示出发展中国家通过合作对抗世界主流贸易体系、维护自身经济贸易发展的共同目标与追求,也预示着欧美主导的数据流动规则格局即将被打破。
二、跨境数据流动两大规制方案的形成与比较
(一)欧美单边主导的规制方案及其特征
1.关注隐私保护的欧式方案
受到隐私保护传统的影响,欧盟早期签署的FTA较少涉及数据跨境流动的相关规则[5]。随着2015年“数字单一市场”战略的出台,欧盟开始重新规划电子商务布局,此后欧盟协商FTA的关注点由传统电子商务规则向新兴数字贸易规则转变。
然而,逐步正视数据跨境流动议题并未使欧盟忽略隐私保护的重要性。在2018年欧盟与新西兰和澳大利亚的FTA谈判中,欧盟提出将数字贸易条款分为一般规定、数据流动与个人数据保护、具体规定3个部分。在第二部分中,两个建议文本的第5条都认同非个人数据可以自由流动,并且数据存储无需本地化。同时,第6条强调了保护个人数据和隐私是一项基本权利,双方依然可以通过适用单方的个人数据跨境转移规则来维持其认为适当的保障措施,以确保个人数据和隐私的安全。从欧盟与新西兰和澳大利亚协商的态度可以看出,虽然欧盟开始正视数据跨境流动议题,但并未在个人数据保护方面做出让步,最终导致了折衷的解决方案——在个人数据和非个人数据层面建立差异化的数据保护规则。这一点与欧盟内部GDPR和《非个人数据自由流动条例》并存的状况保持了一致性。与此同时,欧盟在协商中依然保持着对数据跨境流动的谨慎立场,欧新、欧澳FTA以及已经于2019年2月生效的欧日FTA都规定了在协定生效后3年内重新评估是否将数据流动条款纳入FTA。这种重新评估暗含了欧盟对于他国数据保护水平充分性进行调查的一种新方式,可以使其在数据跨境流动的立场上进退自如。
欧盟的数据流动方案出现上述发展趋势主要是由于美国在数字贸易领域中对美式规则的强势输出,欧盟为了化解压力,选择与美式规则求同存异。求同主要体现在欧盟模仿美式FTA设置了数字贸易章节并增加了禁止限制跨境数据流动的条款,这表明欧盟对电子商务规则的谈判不再局限于传统的服务贸易与投资,并开始强调数字贸易的自由化规则。从欧新、欧澳FTA开始,欧盟已经承认跨境数据流动对数字经济的意义,并对本地化措施和源代码的强制转让作出限制。存异的原因则在于欧盟对固有隐私保护传统与数字贸易政策的考量。欧盟对公民数据权利与隐私权利的高度重视使其不可能直接照搬美式FTA中过度开放的数据流动规则。欧盟FTA多以缔约邀请条款延缓引入数据流动规则,同时定期对已经引入的数据流动条款进行复审以持续观察数据流动承诺的稳定性[6]。
2.关注数据流动自由的美式方案
自美国主导《跨太平洋伙伴关系协定》(TPP)的谈判并将符合自身市场自由价值的数字贸易条款引入电子商务章节之后,美式数字贸易规制模版基本形成。此后美国签订的FTA基本上沿用了TPP的模版,如2018年达成的《美墨加协议》(USMCA)和2019年达成的美日《数字贸易协定》。通过比较USMCA与TPP电子商务章节中的数据流动条款,可以发现美式数据流动方案的两大发展趋势。
一是逐步弱化数据流动中的个人数据保护规则。TPP原本允许成员国利用国内的个人数据保护法规对数据跨境流动活动进行一定限制,但USMCA已经删除了对个人数据保护法的援引。这与美国反对过度关注隐私保护而限制对个人数据进行利用的国内立法态度保持一致,消除其他国家个人数据保护法的影响也更加有利于美国数字企业不受限制地获取全球各地的个人数据。
二是逐步禁止国家利用公共政策目标实施数据本地化措施。容易受到数据跨境流动影响的公共政策目标主要是国家层面的数据安全或网络安全利益。美国一向不满中国、俄罗斯等发展中国家以国家安全或公共安全作为例外情形而实施严格的数据本地化措施,在USMCA中取消TPP的公共政策例外体现了美国意图实现高度自由的国际数据流动规制方案的决心。
(二)中国与东盟促成的多元共治方案及其理念
虽然欧式与美式数据流动规制方案具有不同的关注点,但两者的发展趋势都是逐步提升数据流动水平并推广有利于自身数据战略的规则。然而这些规则对于许多数据产业落后、数据立法框架尚未完善的发展中国家来说,则是难以达到且相对不公平的。在迫切需要改变欧美单边主导格局的情形之下,RCEP的出台为发展中国家引领自身的数据流动规制方案并与发达国家共同参与数据跨境治理与合作提供了良好示范。
RCEP由东盟(ASEAN)在2012年发起,中国、日本、韩国、印度、澳大利亚和新西兰作为东盟的经济伙伴国也参与并签署了RCEP框架,自此RCEP谈判正式拉开序幕。经历了近10年的30余次谈判与磋商,15个RCEP缔约方于2020年11月正式签署协议。在数据流动规制领域,RCEP的多元共治理念体现在以下3个方面。
首先,RCEP是由发展中国家与发达国家共同参与的区域性多边协定。与欧美主导并拥有强势话语权的双边FTA不同,RCEP主要由发展中国家发起,欧美的传统盟友日本、韩国、澳大利亚、新西兰作为后进成员也参与到谈判中来,因此RCEP谈判至少保证了双方的平等话语权地位。欧盟和美国没有参与RCEP谈判,这表明脱离欧美单边主导的区域贸易一体化协定在当今世界仍然可行,甚至应当成为未来数字贸易的发展趋势。
其次,RCEP兼顾了发达国家关注的数字贸易利益以及发展中国家关注的数据安全与数据产业发展利益。与欧美FTA一样,RCEP支持高度自由的数据跨境流动,这意味着在数字经济高速发展的今天,发达国家和发展中国家都需要借助此类对等的平台对数据流动进行共同治理。与此同时,RCEP承诺缔约国可以基于公共政策目标或者国家基本安全利益而采取相应的限制数据流动的本地化措施。为了保护一些数字产业落后的发展中国家,RCEP还为部分成员设置了5~8年的宽限期,使其可以优先发展本土数字企业与数据立法框架,在合理的缓冲期内逐步达到协定的最低要求。
最后,RCEP对缔约国自主施加的非歧视性监管措施未作出过多限制。基于RCEP的争端解决机制,如果缔约方不能通过协商自行解决数据流动争端,争端将会被移至RCEP联合委员会进行进一步讨论,但委员会无权作出对缔约方有约束力的决定。这意味着缔约国对于数据流动的监管与限制依然具有较大的控制力,可以说RCEP的多元共治依然是各国在独立自主层面上的合作与治理。
(三)RCEP方案与欧美方案的比较
跨境数据流动规制的RCEP方案与欧式方案在个人数据保护与国家安全两大核心议题中具有不同的侧重点。欧盟将个人数据保护议题置于数据流动与传输的全部过程之中,并且明确了缔约方有义务采取保障措施来维持高水平的数据保护。而RCEP将个人数据保护与数据流动规定在不同的条款之中,这种分开规定的做法意味着RCEP主要的关注点是缔约方国内电子商务平台对个人数据的保护,而非数据跨境传输中的个人数据保护。RCEP第12.8条第5款虽然也提及缔约方应当在可能的范围内合作以保护从一方转移来的个人信息,但对转移后的数据保障措施并未进行具体规定。在对待数据流动的态度上,尽管未对数据流动作出过多限制,但RCEP将缔约国的基本安全利益置于数据自由流动之上,可以说RCEP更为关注安全的数据流动。
美式方案具有市场自由和数字贸易至上的典型特征,不管是个人数据保护还是国家安全都要屈从于数据流动所带来的经济利益。正因为如此,RCEP方案与美式方案最大的差异体现在数据传输例外条款的规定上,具体比较见表1。RCEP对计算设施本地化与数据跨境流动的规制一视同仁,没有像TPP或USMCA一样对两者的例外情况进行区分。RCEP比TPP缺少的例外情况是没有允许缔约方利用本国的个人数据保护法规作为禁止数据跨境流动的合法依据。从这一点上看,RCEP对于促进数据流动的决心比较强烈,隔绝了缔约方个人数据保护政策对达成协议的影响。但RCEP增加的国家安全例外条款属于美国较为反对的立场,美国一般认为这种条款会严重影响数据的自由流动。
表1 RCEP与美式FTA的数据流动例外条款比较
总体而言,RCEP的数据流动规制方案扩充了电子商务领域中的传统议题,明确支持跨境数据流动,但认为数据跨境流动需要受到国家安全利益立场的限制。就RCEP体现的多元共治理念而言,其弱化了标准过高的隐私保护议题,并给缔约方留有更多自由裁量权对数字贸易和数据流动采取限制性措施。可以说,RCEP方案是对欧美方案进行了折衷,为发展中国家抗衡强势的单边规则提供了有力后盾。
三、多元共治方案对全球跨境数据流动规制格局的突破
虽然目前国际社会处于数字产业和数字贸易飞速发展的时代,但由于各国的数据发展战略和数据规制政策存在差异,全球统一的跨境数据流动框架和规则尚未形成。在RCEP签署之前,除了双边或区域性FTA中的数据流动条款之外,主要有OECD和APEC两大组织对数据跨境流动作出了软法性质的规定。同时,WTO框架内的电子商务谈判也在进行之中,有望在未来几年内达成数字贸易领域中的首个具有实质约束力的全球性数据流动规则。RCEP作为欧美单边主导方案之外首个体现发展中国家与发达国家多元共治的方案,其签署将深刻影响目前的跨境数据流动规制格局以及WTO电子商务谈判的未来走向。
(一)多元共治方案对OECD及APEC跨境数据流动规制体系的突破
1.OECD的数据流动规制体系
1980年,OECD通过的《隐私保护与个人数据跨境流动指南》(以下简称《指南》)成为全球首个专门解决跨境数据流动问题的国际法律文件。《指南》指出了成员国应当避免对个人数据的跨境流动施加限制的两种情况:第一种是避免限制成员国与实质上遵守《指南》的另一国之间的跨境数据流动;第二种是避免限制成员国与具有足够保障措施并可以确保与《指南》保持一致数据保护水平的国家之间的跨境数据流动。此外,OECD建议国家相关机构可以运用一些有效的执行机制来支持数据控制者的保障措施,如行政和司法监督、数据保护执法机构的跨境合作等。如果成员国有必要实施一些基于数据隐私风险防范的数据传输约束措施,那么这些限制应当与风险相适应或者成比例(即不超过保护隐私所必要的程度),并且应当以对数据流动影响最小的方式实施。
2.APEC的数据流动规制体系
21世纪初,APEC认识到建立统一的个人数据跨境传输规则对于推动区域贸易投资一体化具有非常重要的意义,因此其在电子商务指导组之下设立了数据隐私分组,并于2004年制定了《APEC隐私框架》。由于《APEC隐私框架》只具有参考和指引性作用,为了使其在亚太地区得到实质性实施,数据隐私分组于2011年建立了《跨境隐私规则体系》(CBPR),并将其定位为规范APEC成员经济体企业个人数据跨境传输活动的自愿性多边数据隐私保护计划[7]。
选择参加CBPR的企业或组织应针对自身收集或接收的所有个人数据实施与CBPR要求一致的隐私政策和措施,而这些隐私政策和措施还应当由APEC认证的问责代理机构进行评估,以确保其符合CBPR的认可标准。一旦企业或组织获得了参加CBPR的资格,其实施的隐私政策和措施将对自身具有约束力,并将由适当的机构(例如数据监管机构)强制执行,以确保符合CBPR的要求。因此,虽然CBPR属于自愿认证的体系,但其机制设计中加入了数据保护机构的监督与执法职能,为数据跨境流动增加了法律保障[8]。
3.多元共治方案对现有数据流动规制格局的重塑
由于OECD的《指南》和APEC的CBPR都主张合理的数据流动以促进商业和经济发展,因此数据保护水平较低但数据行业发展较快和数字贸易水平较高的一些发达国家长期主导着这两个体系。美国作为其中的典型代表,不仅在美式FTA中升级事后监管与问责的数据流动机制,还在亚太地区号召APEC成员加入CBPR体系。这一点在USMCA的相关条款中体现得淋漓尽致:USMCA明确引用了APEC的《隐私框架》和OECD的《指南》作为数据跨境流动中的数据保护标准,还指出APEC的CBPR是一种有效机制,可以在保护个人数据的同时促进跨境数据传输。这也足以说明美国有意借助APEC在亚太地区推广有利于自身的数据流动模式,并借此主导亚太地区的数据流动规制格局[9]。
在美国的积极推广之下,截至2020年底,已有8个国家参与了CBPR,分别是美国、日本、澳大利亚、加拿大、韩国、墨西哥、新加坡和菲律宾④。八个国家中除了USMCA的北美三国之外,其他国家同时也是RCEP的成员,因而RCEP签署之后势必会对美国主导的CBPR体系产生影响。
RCEP内部成员国对数据流动的监管更为严格,而TPP和USMCA借鉴的CBPR机制属于国家监管较为宽松的低水平数据保护体系。这意味着未来的亚太数据圈会存在两套不兼容的数据传输机制,加入CBPR的RCEP成员国对数据流动机制的选择可能会让其陷入两难境地。对于还未加入CBPR的RCEP成员来说,未来是否选择加入CBPR也会受到RCEP内部数据流动政策以及由此带来的经贸收益的影响。
2020年8月,美国曾向APEC提出将CBPR从APEC体系中独立出来,此举意图将非美国盟友排除在CBPR体系之外,在数据跨境流动层面使非盟友国家与全球数字贸易脱节。RCEP签署之后,美国割裂亚太国家的联系并构建美国主导的数据流动体系的企图可能会被注重区域一体化的RCEP所打消。至少在亚太地区,由发展中国家引领的多元共治方案可以对美国的数字贸易战略部署造成阻碍,并能够积极引导亚太国家形成新型数据流动规制格局。
(二)多元共治方案对WTO电子商务谈判的影响
1.WTO电子商务谈判中的数据流动议题
美国、欧盟诸国和我国都拥有规模巨大的电子商务市场,也是WTO电子商务谈判中的主要代表。谈判中,三方拥有不同立场:欧盟认为谈判需要解决数据本地化、个人信息保护、源代码问题;美国重点关切数字内容产品进入他国市场不会遭受歧视、跨境数据必须可以自由流动;我国的提案则强调传统跨境电商的规则和发展中国家的权益。在各类议题中,最难以达成共识的就是数据跨境流动和个人数据保护,这也是以欧盟为代表的隐私权主张与以美国为代表的自由市场主张之间冲突的直接表现[10]。
欧盟早期曾拒绝对数据跨境流动议题表明立场,直到2019年4月才正式向WTO提交了相关立场文件。为了促进内部数字市场的发展与开放,欧盟迫切需要全球性的数字贸易规则。欧盟在谈判中对个人数据跨境流动的立场比较保守,而对待非个人数据跨境流动的立场则逐渐开始明朗化。欧盟在提案中明示数据存储不应本地化,但仍然强调合法公共目标(如个人数据保护)应得到保障。
相对于欧盟对电子商务谈判的谨慎与保守态度,美国一直是电子商务国际规则最积极的推动者之一,并明确将数据自由流动(包括数据的跨境转移、防止数据本土化以及禁止网络屏蔽)列为其重点谈判议题[11]。
由于美国的立场和规则建议基本上复制了TPP和USMCA中电子商务与数字贸易章节的内容,目前作为《全面与进步跨太平洋伙伴关系协定》(CPTPP)和USMCA成员的其他国家大体上与美国持有相似的数据流动立场,尤其是澳大利亚、日本、新加坡等发达经济体都支持高水平的数据自由流动,并认为过度重视数据安全会阻碍数字贸易。然而,发展中成员一般认为网络安全和国家安全比数据跨境流动更为重要,并普遍采取了限制数据流动的本地化措施。因此发展中成员的提案较少提到数据跨境流动议题,或者明确强调在该领域保留一定的政策自主空间。由此可见,我国关注的数据安全议题较难与大部分发达成员支持的数据自由流动立场相抗衡[12]。
2.多元共治方案推动WTO电子商务谈判更为公正平等
目前来看,WTO中的数据跨境流动议题暂时被以美国为首的发达成员所主导,许多发展中经济体关注的数据安全立场很难占据优势。这一点对于RCEP中的一些发展中成员而言更是如此,柬埔寨、印度尼西亚、菲律宾和越南甚至没有签署《关于电子商务的联合声明》,因而更难以利用WTO的电子商务谈判表明各自立场。
关注多元共治的RCEP有望缓解发展中成员在谈判中的窘境。RCEP的电子商务章节很好地展示了电子商务谈判可以兼顾发达和发展中国家数字贸易共同利益的前景。RCEP的数据流动规则考虑到了许多发展中国家的意愿,即紧密保护本国的数字领域不受外界影响,同时可以对数字贸易和数据流动采取限制性措施。对于迫切需要保护本国数字产业发展和网络安全的发展中国家来说,这种意愿的实现极为重要。WTO的各类框架与规则一直在兼顾发达成员与发展中成员的利益,电子商务谈判同样需要此类规则以使更多发展中成员的立场和利益得以体现。
与此同时,RCEP中的多元共治方案也表明全球数据流动规则的构建无需受制于欧美等发达国家。WTO电子商务谈判中欧美等国的立场占据优势地位,经济和政治实力成为构建全球数据跨境流动体系的决定性因素。但RCEP的签署表明,数字经济和数字贸易的发展不仅要考虑经济和政治实力,还要考虑各国共同的安全和发展需求以及平等、对等的合作。只有不同立场国家的充分参与以及公平话语权的有效实现,才能推动共赢共享的全球数据流动模式的形成,才能实现全球数字经济利益最大化。
四、中国推动多元共治方案的阻力与因应策略
(一)中国推动RCEP多元共治方案的阻力
我国作为发展中国家,能够与东盟合作并推动RCEP谈判顺利完成,这表明我国近些年经贸发展水平不断提高,并且在自由贸易领域中的对外政策影响力显著增强。但我国在推动RCEP多元共治方案的道路上还存在着一些阻碍,除了欧美依据各自优势所形成的规制方案的国际影响力不断提升之外,其他发达国家之间促进数据自由流动的合作也愈发紧密,尤其是RCEP中一些发达成员的动向可能会影响多元共治方案的发展。
第一,日本意图实施地缘政治与权力制衡战略。日本加入RCEP的真正目的可能并不是追求整个亚太地区围绕数据流动议题的真实合作,其本意是借助RCEP平台强化日本、印度、澳大利亚三边的经济区域发展合作并对抗我国的“一带一路”倡议。在RCEP的谈判过程中,日本为了制衡中国而不断拉拢印度并将其视为提升战略地位的筹码。日本脚踩多只船的做法实难保证其关注RCEP中发展中国家的利益或充分考虑对国家安全利益的保护。
第二,澳大利亚对高度自由的数据流动规则的推动。从澳大利亚的活动趋势来看,其数据流动立场与美国和日本属于同一阵营。与此同时,澳大利亚与我国在贸易领域频繁出现摩擦与冲突,在政治领域的分歧也可能会阻碍双方在RCEP中的合作。随着拜登政府上台,美国可能会重返亚太并考虑重新加入CPTPP。作为美国与日本的盟友,澳大利亚有可能会与美日携手在亚太地区对我国采取贸易制衡措施。
第三,新加坡中立化立场的复杂性。新加坡是东盟十国中唯一的发达国家,并一直具有较高的数据保护标准和发展良好的数据产业。在RCEP与CPTPP之外,新加坡已成为亚太地区数据治理工作的主要领导者。新加坡与其他大部分发达国家的高水平数据流动立场更为相似,而与东盟其他国家的数据安全立场较难一致。作为东盟的成员,新加坡需要考虑东盟作为中立方如何避免日澳等成员与中国的贸易摩擦激化;而作为CPTPP的成员,它还要密切关注中美在国际贸易领域中的激烈博弈。虽然新加坡不像澳大利亚和日本一样明显向美国的数据流动立场倾斜,但它能否坚持推动RCEP的多元共治发展仍有待观察。
(二)中国的因应策略
为了进一步推动RCEP所带来的多元共治方案,我国需要进一步加强与相关国家在数字贸易与数据流动领域中的深层次合作,并通过国内数据法律规制的不断完善,来提升我国在国际平台中进行谈判的影响力与话语权,同时还要密切关注可能阻碍多元共治方案发展的国际动态。
1.加强与RCEP成员的内部合作
在国家合作方面,我国尤其需要推动与东盟国家之间的共治共享,因为东盟不仅是RCEP的核心成员,也是我国“一带一路”倡议的重点合作伙伴。东盟为推动区域一体化合作以及安全、可持续、转型升级的数字经济发展,发布了《东盟数据管理框架》以及《东盟跨境数据流动示范合同条款》,以促进数据在东盟成员国之间自由流动。我国可以根据东盟的具体框架和条款,在数据跨境流动领域出台针对东盟的认证手段和保障措施,使双方在确保数据保护水平和数据安全利益的基础上,形成畅通无阻的数据流动机制,为RCEP其他成员之间的合作树立模范[13]。
针对RCEP中的发达成员,我们应灵活采用不同的合作模式。一方面,对于同属于东亚地区的日韩两国,我国需要突出东亚数字贸易与数据流动圈在亚太地区的带头示范作用。虽然中日韩尚未签订区域性的多边协定,但随着RCEP多元共治平台的发展,三国必将成为数据跨境流动的主要合作者。因此,我国需要充分利用RCEP的发展契机,与日韩搭建更为密切的东亚数字商贸圈,并在相关FTA中纳入实质性的跨境数据流动与数据保护条款[14]。
另一方面,对于澳大利亚、新西兰和新加坡,需要考虑它们同属于RCEP与CPTPP成员的特殊性。虽然中国与3个国家分别签订了FTA,但由于谈判时间较早,这些协定并未涉及数据流动与数据保护的相关规则。国家主席习近平在APEC第二十七次领导人非正式会议中提出,我国将积极考虑加入CPTPP。因此,我国可以通过向CPTPP电子商务规则的靠拢,逐步打开与三国深入合作的局面,并依靠未来的FTA升级谈判以及RCEP的内部合作来落实符合各方利益的数据传输协议。
2.持续关注欧美国际动态
在RCEP外部,我国需要关注欧美数字贸易动向对RCEP多元共治方案的影响。
在美国方面,美国在数据流动与数据保护立法层面的消极态度并没有阻止其构建新的数据流动格局。2020年,特朗普政府发起了“清洁网络”计划以加强海外数据合作伙伴关系,并按照其主导的数据治理模式保护数据隐私。同年,美国与G20(二十国集团)的其他领导人又提出了“大阪轨道”愿景,旨在建立一个连贯一致、基于互信的数据流动国际框架。美国还在四国对话机制(美国、澳大利亚、印度和日本)的基础上进一步推动创新和安全的共同目标。这一系列的外部活动体现了美国维护数据流动规制领域领导地位以及自身经济与国家利益的新型战略部署。此外,美国智库战略与国际问题研究中心(CSIS)2021年4月发布的《亚太地区的数据治理》报告建议拜登政府以G7(西方七国首脑会议)、G20、四国对话等不同形式推动美国主导的数据治理体系,使数据治理成为美国在亚太地区经济战略的核心,并最终形成具有全球共识的数据治理“布雷顿森林体系”[15]。可见美国对我国在全球数据流动规制中的行动开始有所防备,因此我国更需要密切关注美国意图拉拢的数字贸易合作伙伴,防止美国借助新型数据治理体系阻碍发展中国家推动多元共治的数据流动规制方案。
在欧盟方面,基于数字技术领域发展的劣势,同时为了应对数据利用能力和控制能力的减弱,欧盟近年提出了一系列有针对性且切实可行的数字战略规划。欧盟虽然已经成为数据规制领域的标准制定者,但在数据安全、人工智能、即时通讯等方面还缺乏具有影响力的标准和法律规范,对于本土企业的技术开发标准以及数字产品与服务的认证机制也有待进一步完善。欧盟目前的目标依然在于增强欧盟数据规则与标准的影响力,因而会继续利用自身的数字制度工具和数字市场监管权来构建更加强而有力的全球规则和标准。由于缺乏完善的数据立法框架和相关技术标准,我国更需要关注欧盟针对各类数字技术的立法动态,防止欧盟利用自身标准与规则的全球影响力,单边主导涉及各类数字技术的数据流动规制方案。
3.完善数据立法框架,提升国际话语权
在考虑合作的同时,我们也需要注意到,发达国家对我国数据保护环境的不信任主要源自于数据立法框架的不完善。为了解决立法缺失的问题,我国已经在积极制定《个人信息保护法》和《数据安全法》。根据两法二次审议稿的实质性修改内容可以看出,我国已逐步完善了个人信息处理应当遵循的各类原则、数据分级分类制度和重要数据保护制度,同时充实了数据出境安全管理的相关规定。这为我国与其他国家进行数据流动规制合作并在国际谈判中提出关注基本安全利益的数据流动立场奠定了良好的法律基础。
我们还应当继续在双边和区域性平台中推广符合我国数字贸易策略的数据流动立场,并争取更多的规则制定话语权。我国需要向现有的APEC、OECD等隐私框架积极靠拢,不断完善数据法规并与其他国家的数据监管框架相互协调和适应,逐渐扩大影响力。这是我国坚定捍卫多边主义和构建开放型世界经济、毫不动摇支持以WTO为核心的多边贸易体制的必然要求。以RCEP和待加入的CPTPP为依托,我国将能够更好地在WTO电子商务谈判中站稳脚跟,逐步推动发达国家与发展中国家多元共治的新格局。
注:
①参见经济合作与发展组织(OECD)的《隐私框架》。
②参见《通用数据保护条例》(GDPR)第44条。
③参见《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.7条。
④中国台湾作为非国家成员经济体也加入了CBPR。