数据跨境流动之国际投资协定例外条款的规制
2021-12-07张倩雯
●张倩雯
当数据成为各国竞相追逐的重要资源时,各国立法开始借助保护国家安全、个人隐私、公共秩序等名义对数据跨境流动作出规制。〔1〕See Hosuk Lee-Makiyama, Briefing Note: AI & Trade Policy, in Tallin Digital Summit, https://ecipe.org/wp-content/uploads/2018/10/TDS2018-BriefingNote_AI_Trade_Policy.pdf, last visit on 25 March 2021.欧洲国际政治经济学研究中心的一项量化研究显示,规制数据跨境流动的措施会对投资造成负面的经济影响,〔2〕See Matthias Bauer, et al, The Costs of Data Localisation, Friendly Fire on Economic Recovery, ECIPE Occasional Paper No. 3/2014, p. 8, https://ecipe.org/publications/dataloc/, last visit on 21 December 2019.因此,围绕数据跨境流动规制措施之国际投资协定合规性引发争议,数据跨境流动规制措施被质疑违反了国际投资协定的国民待遇、公平与公正待遇、禁止征收等核心实体条款。〔3〕参见张倩雯:《数据本地化措施之国际投资协定合规性与中国因应》,载《法商研究》2020年第2期,第85-98页。围绕《欧盟通用数据条例》是否违反国际投资协定中的公平与公正待遇条款的争论,See Vishaka Ramesh, Data Protection Principles Around the World,Do They Violate International Investment Law?, Völkerrechtsblog, 8 October 2018, doi:10.17176/20181008-111554-0. Tuchtfeld and Lars Borchardt, Why International Investment Law Is Not Violated by the GDPR, Völkerrechtsblog, 5 November 2018, doi:10.17176/20181106-100851-0.无论这些规制措施是否违反国际投资协定的实体条款,国际投资协定中例外条款的适用性都会直接影响到规制措施的合法性和东道国规制权的实施。基于此,本文通过剖析数据跨境流动与国际投资协定一般例外和根本安全利益例外的关系,研究国际投资协定例外条款对于保障东道国对数据跨境流动问题规制权的政策空间,提出完善我国数据安全立法与我国缔结的投资协定中例外条款对接的基本原则和具体路径。
一、国际投资协定例外条款与数据跨境流动的规制
为了促进资本跨国流动,国际投资协定赋予了投资者大量的权利;为了保障东道国的合理规制权,国际投资协定设置了一系列例外。在国际投资协定中投资者利益和东道国规制权的“二元结构”存在微妙的平衡。20世纪末投资自由化浪潮高涨,加之国际投资仲裁庭在适用国际投资协定时倾向于维护外国投资者利益,这严重损害了东道国的合法权力。面对投资者与东道国争端解决机制的正当性危机,投资者与东道国争端解决机制改革中呈现国家的“回归”趋势,〔4〕参见朱明新:《投资者—国家争端解决机制的革新与国家的“回归”》,载《国际法研究》2018 年第4 期,第16-30页。这在国际投资协定实体条款上的体现之一则是晚近缔结的协定明显比过去更多地纳入了例外条款。〔5〕具体统计可参见联合国贸易和发展委员会的统计数据,See UNCTAD, Investment Policy Hub[EB/OL].https://investmentpolicy.unctad.org/international-investment-agreements, last visit on 21 December 2019.
若外国投资者针对东道国的数据跨境流动规制措施提起仲裁请求,东道国主要可从适用国际投资协定的例外条款和运用习惯国际法两方面主张其规制权。〔6〕参见张生:《国际投资法制框架下的跨境数据流动: 保护、例外和挑战》,载《当代法学》2019年第5期,第154-156页。在例外条款方面,东道国可适用的条款主要有三类:一是一般例外条款,尤其是包含有“维护国家公共政策或公共秩序”的例外条款;二是国家安全例外或根本安全利益例外条款;三是特定条款的例外,例如针对东道国禁止征收和提供给外国投资者国民待遇义务专门规定的例外。〔7〕对于何为一般例外条款,国际投资协定和学界均无一致定义。Andrew Newcombe教授认为,以《关税及贸易总协定》第XX条和《服务贸易总协定》第XIV条为蓝本发展而来的条款是一般例外条款;而国内一些学者则认为,能够使东道国为实现正当的公共政策目标而豁免其实体性条约义务的条款均为一般例外条款。本文采前者定义。See Andrew Newcombe and Luis Paradell, Law and Practice of Investment Treaties, Kluwer Law International, 2009, p. 504; Lars Markert, The Crucial Question of Future Investment Treaties: Balancing Investors Rights and Regulatory Interests of Host States, in M. Bungenberg, J. Griebel and S. Hindelang (eds.), European Yearbook of International Economic Law, Special Issue: International Investment Law and EU Law, Springer 2011, p. 167;曾建知:《国际投资条约一般例外条款研究——兼论我国的选择》,载《武大国际法评论》2018年第1期,第309页。与第三类例外不同的是,前两类例外可适用于整个协定的所有条款,而第三类例外只适用于协定的某些具体条款,是否可适用于东道国规制数据跨境流动的措施主要取决于协定的具体规定。例如,2018年10月欧盟与新加坡签署的《欧盟与新加坡投资保护协定》,明确在国民待遇条款的例外部分规定了“保护与个人数据处理和传输相关的个人隐私”和“保护个人记录和账户的隐私”两种情形。〔8〕Investment Protection Agreement Between the European Union and Its Member States, of the One Part, and the Republic of Singapore, of the Other Part, 2018, Article 2.3.3(e)(ii).基于以上规定,欧盟和新加坡的投资者若针对区域内国家的数据跨境流动规制措施提起投资仲裁,只要东道国证明规制措施是为了“保护与个人数据处理和传输相关的个人隐私”或“保护个人记录和账户的隐私”,即可豁免其国民待遇义务。
然而,国际投资协定中鲜有如《欧盟与新加坡投资保护协定》明确规定数据跨境流动规制措施合法性的条款。一是因为大量的投资协定缔结于20世纪90年代(参见图1),其时数字经济尚处萌芽期,对社会和生活的影响还未如当下普遍,绝大多数国际投资协定涉及的仍然是传统的投资保护问题,并未纳入数据相关条款;二是因为当今主要数字大国的数字经济主张大相径庭,在数字贸易和数字投资领域远未形成统一的数据规则。美国对外数字贸易政策主张主要体现在《数字贸易24条》《全面与进步跨太平洋伙伴关系协定》和《美墨加协定》中,基于其强势的信息技术产业基础,奉行“自由至上”,推行以市场为主导,促进数据跨境流动的基本原则。〔9〕See The Digital-2-Dozen, https://ustr.gov/sites/default/files/Digital-2-Dozen-Final.pdf, last visit on 21 December 2019; The Comprehensive and Progressive Agreement for Trans-Pacific Partnership, Article 14.11, 14.13; The United States-Mexico-Canada Agreement, 21 December 2018, Article 19.8,Article 19.12.欧盟将数据权纳入基本人权范畴,基于《欧盟通用数据保护条例》(GDPR)限制数据跨境流动,〔10〕GDPR除了确认原《关于个人数据自动处理和自由流动的个人保护指令》中规定的“充分保护原则”外,还赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利,提出了数据最小化等原则。其数据保护主张也体现于《欧盟与加拿大综合性经济贸易协议》和《欧盟与新加坡投资保护协定》中。中国的跨境数据流动规制以《网络安全法》为基础,确立了以数据本地存储为基本原则,经评估后可跨境传输为例外的数据跨境流动制度。立场的重大分歧导致各国在谈判时就跨境数据流动问题难以达成共识,故纳入数据跨境流动条款的国际经贸协定并不多,短期内在这些数字大国间也很难达成纳入数据跨境流动条款的多边协定。
对于没有明确纳入数据跨境流动规制措施的国际投资协定,东道国是否可以援引例外条款保障其对数据跨境流动的规制权则是一个颇具争议的问题。欧洲国际政治经济研究中心选取了12个在采取数据跨境流动规制措施方面具有代表性的国家,对其国内数据跨境流动规制立法的政策考量进行了归纳梳理,发现各国在制定规制数据跨境流动的立法时,最主要的政策考量有两类:一是个人隐私;二是国家安全、网络安全和金融安全(参见表1)。这些政策考量反映在例外条款中会出现诸多疑问:个人隐私与公共道德是什么关系?东道国基于国家安全的考量是否可以援引根本安全利益例外?哪些数据安全属于一国的根本安全利益?这些考量主要涉及国家对公共道德、公共秩序、国家安全的政策关切,即国际投资协定中的一般例外和根本安全利益例外条款。
二、一般例外与数据跨境流动规制
(一)一般例外条款的起源与现状
国际投资协定的例外条款与国际贸易法的例外条款在起源上联系密切。〔13〕参见张倩雯:《国际贸易法与国际投资法国民待遇互动关系比较研究》,载《武大国际法评论》2017年第6期,第41-63页。当前国际投资协定中的一般例外条款规则最早可追溯至1927年《禁止或限制进出口禁令的国际协定》,主要以《关税及贸易总协定》第XX条和《服务贸易总协定》第XIV条为蓝本发展而来。〔14〕See Andrew Newcombe, General Exceptions in International Investment Agreements, in Marie-Claire CordonierSegger, Markus W. Gehring, Andrew Newcombe, Sustainable Development in World Investment Law 358 (Kluwer Law International 2011).一般例外条款基于国家对自然资源享有永久主权,即国家经济主权原则。根据该原则,一国有权自主决定对公共健康、安全、环境等国内经济事务的保护水平。〔15〕1974 年联合国第六届特别联大通过了《关于建立新的国际经济秩序的宣言》,提出国家对其自然资源和国内一切经济活动有权行使永久主权。(See United Nations General Assembly, A/RES/S-6/3201, Declaration on the Establishment of a New International Economic Order, Article4(e), http://www.un-documents.net/s6r3201.htm, last visit on 25 March 2021.) 同年通过的《各国经济权利与义务宪章》中也规定“每个国家对其全部财富、自然资源和经济活动享有充分的永久主权、包括拥有权、使用权和处置权在内,并得自由行使此项主权”。See United Nations General Assembly, A/RES/29/3281, Charter of Economic Rights and Duties of States, Article2(1), http://www.un-documents.net/a29r3281.htm, last visit on 25 March 2021.外国投资者在东道国境内开展经济活动与该国国内经济事务密切联系,因此,东道国在承诺给予外国投资者某些待遇的同时,应有权通过设置例外情形适当保留对外资的规制权。目前无论是国际投资协定还是学界均尚未对一般例外条款作出统一界定。〔16〕同前注〔7〕,曾建知文,第307页。鉴于此,本文所指的一般例外条款是国际投资协定中以“一般例外”命名的,或除“根本安全利益例外”之外,虽未标明“一般例外”,但可豁免东道国整体条约义务的条款。
近年来,一般例外条款发展迅速,呈现数量增长、内涵扩张的趋势。早期国际投资协定中纳入一般例外调控的条款数量很少,且内容非常简单。例如,1974年《埃及与德国双边投资协定》中就只是简单规定条约不适用于东道国为了维护“公共秩序和安全,公共卫生或公共道德”的情况。〔17〕其原文规定可参见 https://investmentpolicy.unctad.org/international-investment-agreements/treaty-files/1073/download,2021年4月5日访问。在国际投资法“人本化”的发展趋势下,国家在缔约时更加注重维护其对于公共事务的规制权,〔18〕参见刘笋:《国际法的人本化趋势与国际投资法的革新》,载《法学研究》2011年第4期,第196-208页。近年的国际投资协定在一般例外条款中纳入了更多的内容,包括自然资源,人类、动植物生命或健康,〔19〕e.g., 2006 Canada-Peru BIT, Article10.金融审慎原则,〔20〕e.g., 2016 Canada-Hong Kong BIT, Article 20(1).劳工和环境,〔21〕e.g., 2014 Switzerland-Georgia, Article 9(1).文化产业发展〔22〕e.g., 2014 Japan-Kazakhstan BIT, Article 17(7).等。越来越多的国家在投资协定中明确纳入一般例外。根据联合国贸易和发展委员会的统计,截至2020年4月底,在现今生效的2577个国际投资协定中,有125个包含公共政策例外,其中,早期(1962年—1999年)缔结的数量为26个,而晚近(2000年—2019年)缔结的数量为99个。在2577个国际投资协定中有112个包含金融审慎例外,其中,早期(1962年—1999年)缔结的数量为25个,而晚近(2000年—2019年)缔结的数量为87个。〔23〕See UNCTAD, Investment Policy Hub [EB/OL], https://investmentpolicy.unctad.org/international-investment-agreements, last visit on 25 March 2021.
鲜有国际经贸协定在例外条款部分明确纳入保护个人隐私。2008年《中国与新西兰自由贸易协定》在条约例外部分有缔约国有权“保护个人隐私或金融机构个人消费者的账户信息”的规定,〔24〕See Free Trade Agreement Between the Government of New Zealand and the Government of the People’s Republic of China, 2008, Article 206, https://investmentpolicy.unctad.org/international-investment-agreements/treaty-files/2564/download, last visit on 25 March 2021.而更多国际投资协定的一般例外条款规定的是东道国有权维护“公共秩序和安全,公共卫生或公共道德”。如此,则需要明晰东道国采取数跨境流动规制措施是否可被视作维护本国的“公共秩序和安全”及“公共道德”。
(二)数据跨境流动与公共秩序
“公共秩序”的概念源自大陆法系,对其概念的解释常见于国际贸易法的判决中。例如,“美国博彩案”专家组对“公共秩序”的解释为“旨在维护社会根本利益,包括法治的特定概念”。在该案中,与有组织的犯罪进行斗争就是成员国维护公共秩序的行为。〔25〕Panel Report, United States—Measures Affecting the Cross-Border Supply of Gambling and Betting Services, ¶ 6.469-6.470, WT/DS285/R (adopted Nov. 10, 2004).在Continental Casualty Company v. Argentine Republic案中,仲裁庭指出“公共秩序例外”是独立于“根本安全利益例外”之外的一项豁免事由,二者具有不同的内涵。〔26〕See ICSID Case No ARB/03/9, Sept. 5, 2008, para. 174.“根本安全”着眼于国家利益,而“公共秩序”更强调社会公众的利益。仲裁庭认为“公共秩序”和源自于西班牙双边投资协定的“公共治安”实为同义词,“公共秩序”可能遭受现实或潜在的叛乱、骚乱和暴力动乱的威胁。〔27〕Ibid, para. 170.因此,若国家遭遇到破坏一国正常运转的威胁,则可能引发该国对“公共秩序”的政策考量。〔28〕See Jürgen Kurtz, Adjudging the Exceptional at International Investment Law: Security, Public Order and Financial Crisis, International and Comparative Law Quarterly 59(2), 2010, p.361.
不仅国际投资协定中常有规定“公共秩序例外”,一些国家的数据规制立法中也明确了保护公共秩序或公共利益可作为数据跨境自由流动的例外。例如,GDPR第23条“限制”部分第1款e项就指出,在保护欧盟或某个成员国重要的一般公共利益时,可通过立法限制该条例第12~22条、第34条以及第5条所赋予的责任范围与权利范围,但这种限制仍应符合必要性和比例原则。同时明确“欧盟或某个成员国的经济或金融利益,包括财政、预算、税收事项、公共健康和社会安全”应被视作“重要的一般公共利益”。可见,经济和金融利益可能涉及一国的公共秩序维护。在我国,根据2011年《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第6条的规定:“在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。”此处对数据本地化存储、处理和分析的要求,即可视作为了经济和金融利益,为了维护社会的公共秩序。
(三)数据跨境流动与公共道德
1.公共道德的内涵
鲜有国际投资仲裁案件对何为“公共道德”作出解释。鉴于国际投资协定一般例外条款对“公共道德”的规定实际上源于对国际贸易法一般例外条款的借鉴:《关税及贸易总协定》在第XX条规定,本协定的规定不得解释为阻止缔约国为维护公共道德采取必需的措施,因此,在缺乏国际投资仲裁案件澄清“公共道德”内涵的背景下,可借鉴世界贸易组织(WTO)在裁判中对“公共道德”的解释路径来理解国际投资协定中的“公共道德”。
在“美国博彩案”中,专家组在翻阅《牛津英语大词典(简明本)》后将“公共道德”界定为“一个社会或国家中正确和错误行为的标准”,〔29〕Panel Report, United States—Measures Affecting the Cross-Border Supply of Gambling and Betting Services, ¶ 6.465, WT/DS285/R (adopted Nov. 10, 2004).并同时指出“公共道德”的概念并非一成不变,会随时空迁移而变化,“同时受到社会、文化、道德、宗教价值等因素的影响”。〔30〕Ibid, ¶ 6.461.该解释也被其后的“中美出版物和视听产品案”专家组采纳。〔31〕See Panel Report, China—Measures Affecting Trading Rights and Distribution Services for Certain Publications and Audiovisual Entertainment Products, ¶ 7.759, WT/DS363.例如,东西方国家就因“性善论”和“性恶论”人性观的文化差异导致了东西方道德理念的不同。〔32〕参见吴言动、王非、彭凯平:《东西方文化的人性观差异及其对道德认知的影响》,载《心理学探新》 2019年第1期,第34-39页。具体到什么是“一个社会或国家中正确和错误行为的标准”,“美国博彩案”专家组认定与赌博服务相关的事项属于公共道德范畴。〔33〕Panel Report, United States—Measures Affecting the Cross-Border Supply of Gambling and Betting Services, ¶ 6.469, WT/DS285/R (adopted Nov. 10, 2004).“巴西税收措施案”专家组认为,弥合数字鸿沟和促进社会包容的关切属于公共道德。〔34〕See Panel Report, Brazil—Certain Measures Concerning Taxation and Charges, ¶ 7.568, WT/DS472/R, WT/DS497/R (adopted Aug. 30, 2017).“欧共体海豹产品案”专家组认为,保护动物是重要的公共道德。〔35〕See Panel Report, European Communities—Measures Prohibiting the Importation and Marketing of Seal Products, ¶ 7.638, WT/DS401/R(adopted 25 November 2013).“中美出版物和视听产品案”专家组认为,中国禁止进口内容涉及暴力、色情的出版物和视听产品就是为了维护中国的公共道德。〔36〕Supra note 〔31〕, ¶ 7.767, WT/DS401/R (adopted 25 November 2013).可见,各国的历史文化差异确会影响公共道德的内涵。
此外,还有国际投资协定将个人隐私和公共道德作为两种不同的价值区别对待。例如,《东南亚国家联盟全面投资协定》在第17条“一般例外”第1款a项中规定了“保护公共道德和维护公共秩序的必要措施”可作为条约例外。同时,该条款c项中另行规定“在处理和发布个人资料方面保障个人隐私,以及保障个人记录和账户的秘密”的必要措施也可作为一般例外。根据条约解释的有效性原则,a项和c项的规定应为不同内容。但更多的国际投资协定并未在条款中区分个人隐私和公共道德。由于道德与一国的文化息息相关,《东南亚国家联盟全面投资协定》的做法并不能代表其他国家对于隐私和道德关系的理解。例如,《欧盟基本权利宪章》将个人数据受到保护的权利纳入基本人权之一 ——自由权范畴,〔37〕See The Charter of Fundamental Rights of the European Union, (2000/C 364/01), Chapter 2, Article 7,8.其后的GDPR也是基于数据权是基本人权的理念,提出了数据权保护的充分保护原则、数据最小化原则,并赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利,并严格限制个人数据的跨境流动。〔38〕See Voigt, Paul, and Axel von dem Bussche, The EU General Data Protection Regulation (GDPR): A Practical Guide, Springer International Publishing, 2017.若将隐私权作为基本人权,则保护个人隐私也应被视作“一个社会或国家中正确和错误行为的标准”。在欧盟立法的语境下,“公共道德”例外则可能适用于国家为了保护个人隐私而采取数据跨境流动规制措施的情形。
2.必要性
在多数国际贸易法案件中,争议的焦点并非是公共道德的内涵,而是集中于成员国采取的规制措施对维护该国的公共道德是否具备必要性上。〔39〕例如,“美国博彩案”“巴西税收措施案”“欧共体海豹产品案”“中美出版物和视听产品案”“多米尼加香烟案”“巴西轮胎案”均涉及东道国采取措施对于保护公共道德的必要性问题。虽然WTO上诉机构在“韩国牛肉案”等案件中均提及国家对“公共道德”的程度需求具有决定权,〔40〕See Appellate Body Reports on Korea - Various Measures on Beef, para. 176 and EC - Asbestos, para. 168.但是规制措施的必要性仍然是防止滥用例外的重要要求。通常国际投资协定一般例外条款的规定也是允许“保护公共道德的必要措施”,可见国际投资法中公共道德例外条款的适用同样以必要为限。
必要性的要求即东道国采取规制措施应有助于实现目标。关于认定东道国采取的规制措施是否具备必要性的审查标准,国际投资仲裁的学界和实务界主要持“唯一路径”标准、自由裁量余地标准、善意标准和“最少限制性”标准等四种标准。综合考察四种标准的合理性、确定性和可操作性,将比例原则和“最少限制性”标准结合的“合理的必要性”审查标准最有利于全面和客观地协调外国投资者利益和东道国规制权。〔41〕参见银红武:《论国际投资仲裁中非排除措施“必要性”的审查》,载《现代法学》2016年第4期,第148-154页。这里“合理的必要性”审查标准包含两个方面的内容:一是仲裁庭应审查是否存在其他对外商投资具有更少限制性的规制措施;二是仲裁庭应审查东道国若采取该措施,是否会付出不合理的成本,如过高的行政管理或执行成本。〔42〕同上注,第152页。若将“合理的必要性”审查标准应用于对东道国适用例外条款的审查,则应重点审查东道国为了维护本国的公共道德,相比采取数据跨境流动规制措施,是否可以选择对外商投资限制性更少的规制措施。若存在这样的措施,东道国需要付出的成本是否合理。
为了保障个人数据的基本自由和人权,GDPR第45条第1款规定,只有在欧盟委员会认定的第三国或第三国中的某个区域能够对个人数据的传输提供充分保护的前提下,个人数据方可转移到第三国,而无须获得特定的授权。这一规定实质上构成了投资壁垒,或被质疑违反了国际投资协定的公平与公正待遇等条款。〔43〕See Vishaka Ramesh, Data Protection Principles Around the World: Do They Violate International Investment Law?,Völkerrechtsblog, 8 October 2018, doi:10.17176/20181008-111554-0.而相较于数据跨境流动的“充分性保护”原则,运用隐私增强技术或许是能够兼顾个人隐私和外商投资的方法之一。早在20年前就有专家提出,通过隐私增强技术管理数据有助于有效保护数据隐私,〔44〕See Wolfe, H. B., Privacy Enhancing Technology, Computer Fraud & Security, Vol. 1997, No. 10, 1997, p. 11-15.即通过限制对个人数据的收集,加强对个人数据的识别、认证、授权,制定保护隐私的技术标准、加密、生物识别等方式,在整个信息价值链中完善对个人隐私的保护。〔45〕See Van Blarkom, G.W., Borking, J. J., and Olk, J. G. J., Handbook of Privacy and Privacy-enhancing Technologies, 2003. The Case of Intelligent Software Agents, The Hague: Privacy Incorporated Software Agent (PISA) Consortium. Pas J V D, Bussel G J V., ‘Privacy Lost - and Found?’ The Information Value Chain as a Model to Meet Citizens’ Concerns, Electronic Journal of Information Systems Evaluation, 2015, 18(2): 185-195.因此,与要求数据接受国能够对数据提供充分性保护作为数据跨境流动的前提条件相比,运用隐私增强技术或许是更为合理、对投资具有更少限制性的要求。
可见,一国可通过加密等技术方法提升对个人隐私的保护,这或许会引起对适用一般例外条款“必要性”的质疑。〔46〕See Marion A. Creach, Assessing the Legality of Data-localization Requirements: Before the Tribunals or at the Negotiating Table?, Columbia FDI Perspectives, No. 254, June 17, 2019.但应当注意的是,不同国家间的算法加密和解密技术能力差异悬殊,即不同国家采取足够严密的加密技术保护个人数据隐私需要付出的成本是不一样的。例如,美国相比大多数国家在信息技术领域具有绝对优势,〔47〕See John Selby, Data Localization Laws: Trade Barriers or Legitimate Responses to Cybersecurity Risks, or Both?, International Journal of Law and Information Technology, Vol.25, No.3, 215-217(2017).因此,若应用“合理的必要性”审查标准审查例外条款的必要性,则于美国而言,运用数据跨境流动规制措施保护公共道德可能缺乏必要性,但对某些加密技术并不成熟的国家可能具备必要性。
三、根本安全利益例外与数据跨境流动规制
(一)根本安全利益例外条款的现状
国际投资协定中的根本安全利益例外条款源自美国的《友好、通商和航海条约》。自20世纪60年代起,德国在其缔结的双边投资协定中引入了根本安全利益例外条款,再传播至其他的国际投资协定。在某些国际投资协定中,根本安全利益例外并非适用于整个条约,而是适用于某些条款,如征收,〔48〕See Katia Yannaca-Small, Essential Security Interests Under International Invesmtnet Law, in International Investment Perspecties: Freedom of Investment in a Changing World 98 (2007).更多的国际投资协定则是将根本安全利益例外适用于整个条约。
近年来,各国加倍重视根本安全利益例外条款,在投资协定中纳入的根本安全利益例外数量不断增加,内容也日趋丰富。传统意义上的根本安全利益通常与国家领土完整或军事利益相关,〔49〕国际投资协定的根本安全利益例外条款是借鉴了《关税与贸易总协定》第XXI条的“安全例外”条款,后者将“根本安全利益”限制在涉及国家军事、国防利益的情形。近年来还面对来自外部污染、恐怖袭击和水源缺乏等诸多新的安全威胁,〔50〕See R. Howse and RG Teitel, Beyond the Divide: The Covenant on Economic, Social and Cultural Rights and the World Trade Organization Dialogue on Globalization: Friedrich Ebert Stiftung No 30 (April 2007).显示出传统的根本安全利益呈现扩张趋势。根据联合国人类安全委员会的研究报告,一国的经济危机可能直接影响该国政府和国民的安全,因此,“人类安全”的传统内涵应当有所扩大。〔51〕See Commission on Human Security, Human Security Now (2003).理由主要有三:一是阿根廷由于处理国内经济危机采取了一系列规制措施,而屡被外国投资者诉至国际投资仲裁,〔52〕阿根廷系列案件的争点在于经济危机是否可被认定为影响到阿根廷的“根本安全利益”。ICSID仲裁庭在该问题上曾作出截然相反的裁决。参见王楠:《危急情况之习惯国际法与投资条约中的不排除措施条款——兼论CMS案和LG &E案》,载《比较法研究》2010年第1期,第115-117页。使主权国家意识到运用根本安全利益例外条款维护国家规制权的重要性;二是国际安全形势日益复杂、严峻,传统安全和非传统安全问题深刻交织,复杂的时代背景赋予了根本安全利益以新的内涵。各国在国际投资协定中扩张根本安全利益例外条款的做法虽能满足主权国家保障规制权的需求,但也存在边界不明、内涵模糊等隐患。例如,美国在其2012年《双边投资协定范本》和《美墨加协定》(USMCA)中都规定根本安全利益包括“履行维持或恢复国际和平与安全的义务有必要的措施”。〔53〕2012 U.S Model Bilateral Investment Treaty, Article.18.2. The United States-Mexico-Canada Agreement, 2018, Article 32.2.1(b).这样模糊的界定加上美国近年来屡次干涉他国内政的一些做法,不免让人担忧根本安全利益例外可能遭到滥用。
(二)数据跨境流动与根本安全利益
若一国主张援引根本安全利益例外条款维护其规制数据跨境流动的权力空间,则基于“谁主张、谁举证”的原理,应承担证明存在该根本安全利益的举证责任。〔54〕同前注〔28〕,Jürgen Kurtz文,第364页。国际投资仲裁庭在多个案件中均强调,根本安全利益例外仅适用于十分极端的特殊情形之下。因此,东道国应承担较为严苛的举证责任,证明其为了维护本国的根本安全利益而实施数据跨境流动规制措施具备充分的理由。
许多根本安全利益例外条款措辞有诸如“it considers” “it determines” “in the state’s opinion”之类的表述,〔55〕See 2012 U.S. Model Bilateral Investment Treaty, Article.18.2.通常这些措辞表明了该条款具有自裁决性质。根本安全利益例外的自裁性加大了该条款被滥用之可能,但具有自裁决措辞的根本安全利益例外条款也不可排除仲裁庭的管辖权,〔56〕See Robyn Briese & Stephan Schill, “If the State Considers”: Self-Judging Clauses in International Dispute Settlement, Max Planck Yearbook of United Nations Law, Vol.13, 2009.应当接受仲裁庭的善意评审,以区分真正的国家安全关切与伪装的歧视行为。〔57〕参见韩秀丽:《双边投资协定中的自裁决条款研究——由“森普拉能源公司撤销案”引发的思考》,载《法商研究》2011年第2期,第21页。严格的举证责任和证明标准是防止根本安全利益例外条款滥用的基础。
在数据跨境流动规制问题上,并非一国国内的所有数据都涉及国家的根本安全利益。由于“棱镜门”事件曝出网络空间信息安全存在严重隐患,各国均规定对重点领域的数据予以特殊保护。在认定东道国规制数据跨境流动的真实目的时,该国对数据的分类应纳入仲裁庭善意评审的考量。比如,我国《网络安全法》第31条就将“关键信息基础设施”界定为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域”的数据,因为这些行业和领域的数据一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益,对这些数据自然应给予重点保护。
近年来,一些国家存在滥用根本安全利益例外或国家安全例外条款的行为,以规制之名行歧视之实。例如,美国认为TikTok构成“国家安全风险”,故要求所有TikTok的数据都存储在美国境内。更有甚者,美国外国投资委员会建议,要求TikTok的母公司字节跳动在90天内必须完成TikTok美国业务出售交易的交割。根据2013年美国《提高关键基础设施的安全性和恢复力》的规定,关键基础设施即国家“重要的实体或虚拟系统和资产,它的破坏或功能损毁将对美国的安全、国家经济安全、国民健康造成打击”,〔58〕这是沿袭了美国在2001年《爱国者法案》中对关键基础设施的界定,See Section 1016(e) of the USA Patriot Act of 2001, 42 U.S.C. 5195c(e).包括化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统、水及污水处理系统这16个领域。〔59〕See Presidential Policy Directive, Critical Infrastructure Security and Resilience, PPD-21, 2013, https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil, last visit on 25 March 2021.按照该规定,TikTok作为短视频社交平台,难以列入以上任何一个领域,因此其数据也不应属于《提高关键基础设施的安全性和恢复力》界定的关键信息基础设施的数据,并不涉及美国的国家安全或根本安全利益。美国以国家安全为由对TikTok实施数据跨境流动规制措施实为滥用国家安全条款的行为。可见,界定一国规制数据跨境流动的措施是否真正为了维护其根本安全利益,应当结合一国国内对数据分类等规定进行具体考察。
四、数据规制视域下完善我国投资协定例外条款的因应
当前世界主要的数字经济大国规制数据跨境流动的立场存在极大分歧。〔60〕See Aaronson, Susan Ariel, and Patrick Leblond, Another Digital Divide: The Rise of Data Realms and Its Implications for the WTO, Journal of International Economic Law, 2018, 21: 245-272. Gao, Henry, Digital or Trade? The Contrasting Approaches of China and US to Digital Trade, Journal of International Economic Law, 2018, 21: 297-321;彭岳:《数据本地化措施的贸易规制问题研究》,载《环球法律评论》2018年第2期,第178-192页;许多奇:《个人数据跨境流动规制的国际格局及中国应对》,载《法学论坛》2018年第3期,第130-137页;时业伟:《跨境数据流动中的国际贸易规则:规制、兼容与发展》,载《比较法研究》2020年第4期,第173-184页。基于此情状,我国需要完善本国的数据安全立法,并在此基础上尝试在双边投资协定或区域经贸协定中推广我国数据跨境流动规制的立场。我国规制数据跨境流动的立法主要见于《网络安全法》 和《数据安全法(草案)》中。《网络安全法》仅笼统地在第37条规定了关键信息基础设施的运营者应当在我国境内存储在运营中收集和产生的公民个人信息等重要数据。《数据安全法(草案)》则更为细化,分别从域外适用效力、数据安全审查制度、数据出口管制、数据对等反制措施和数据跨境调取审批制度等视角,初步构建了我国规制数据跨境流动的基本法律框架。《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》进一步明确了数据跨境流动的条件及程序。可见,我国规制数据跨境流动的大量立法仍在酝酿中。关于数据出境的安全评估制度、数据跨境流动的有效监管等问题还有待在未来的立法中解决。规制数据跨境流动实为行使东道国的规制权,为了保障我国对数据安全的规制权,在构建国际投资协定例外条款时,应当兼顾数据安全与投资发展的基本原则,注重条款有益于达成规制数据有序跨境流动之目的,借助例外条款的补充,做好数据安全立法与国际投资协定例外条款构建的对接。
首先,应坚持安全与发展的网络空间治理基本原则,构建兼顾数据安全与发展利益的例外条款。2020年9月8日,我国外交部发布了“全球数据安全倡议”,“呼吁各国秉持发展和安全并重的原则,平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系”。〔61〕《全球数据安全倡议(全文)》,http://www.xinhuanet.com/2020-09/08/c_1126466972.htm,2021年3月25日访问。我国不仅是外国数字企业投资的东道国,也是中国数字企业对外投资的母国。根据福布斯杂志发布的《2019年全球数字经济百强企业榜单》,在上榜的100家企业中,美国公司共占49家,占据了约一半的席位,我国共22家企业上榜,包括腾讯、阿里巴巴、中国移动、小米等知名数字企业。〔62〕See Forbes: Top 100 Digital Companies, https://www.forbes.com/top-digital-companies/list/, last visit on 25 March 2021.可见,作为庞大的数据来源地,我国应当密切关注数据保护问题,即坚持安全原则。与此同时,作为对外开展数字投资的大国,我国也具有推动数据跨境自由流动的利益需求,即坚持发展原则。具体而言,坚持发展和安全并重的原则在数据与投资的关系中需兼顾三方利益:数据跨境流动中的安全,促进外国数字企业在我国的投资和保护我国数字企业的海外投资。鉴于我国既是数据大国也是对外投资大国,例外条款的构建可考虑从以下方面着手:一是以数据跨境自由流动为原则,以限制流动为例外。例外条款的设计是在为促进数字经济发展的目标下保障我国安全利益而服务,不应阻碍我国数字企业发挥优势。二是保障规制权,扩充例外种类。针对外商投资企业在我国境内收集和产生的数据,若跨境流动会涉及我国的根本安全利益、公共秩序和公共道德时,我国可依据例外条款限制数据的跨境流动。三是严格限制除根本安全利益例外之外的其他例外条款的自裁决措辞,避免例外的滥用。在世界单边主义升级的时代背景下,当我国数字企业对外开展投资时,则应避免投资东道国滥用例外条款导致我国数字企业的投资得不到应有的保护。
其次,应通过升级双边投资协定或签订议定书等方式补充例外条款,维护我国对数据跨境流动的合法规制权。中国迄今缔结的生效双边投资协定共计104个,但其中关于例外条款的规定存在重视不足、内容碎片化、规定单一等问题。〔63〕同前注〔7〕,曾建知文,第306-326页。晚近中国缔结的双边投资协定中逐渐出现了一般例外条款,包括维持本国公共秩序所采取的必要措施,其中较为完善的是2012年《中日韩投资保护协定》和2012年《中加双边投资协定》,但我国缔结的双边投资协定中对例外条款的构建尚未形成一致做法,如2004年《中芬双边投资协定》、2012年《中加双边投资协定》中包含一般例外条款,而2006年《中俄双边投资协定》,2007年《中法双边投资协定》中则无该条款。此外,我国大多数双边投资协定中仍未纳入一般例外和根本安全利益例外条款。类似于国家对自然资源享有永久主权,有学者提出了国家对与该国安全相关的数据依法享有“数据主权”的概念,这是网络空间主权的核心要义之一。〔64〕See Joel Trachtman, Cyberspace, Sovereignty, Jurisdiction, and Modernism, 5 Indiana Journal of Global Legal Studies, 566 (1998).基于“数据主权”,国家对数据跨境流动应有合法的规制权。当国家行使该规制权时,必然会影响到外商投资者的经济利益,从而引发规制数据跨境流动措施之国际投资协定合法性质疑。〔65〕同前注〔2〕,张倩雯文,第85-98页。伴随我国数据安全相关立法的陆续出台,在双边投资协定中及时补充例外条款是我国合法行使数据跨境流动规制权的必要保障。
最后,应做好数据安全立法与国际投资协定例外条款构建的对接。从统筹推进国内法治和涉外法治,协调推进国内治理和国际治理的视角,我国的数据安全立法不仅应关注网络安全本身,还应关注数据安全立法与我国缔结的国际投资协定相关条款的一致性。可以预见,随着数字经济的快速发展和数字企业的逐渐壮大,东道国规制数据跨境流动的措施是否违反其国际投资协定义务的问题必定会日渐重要。〔66〕See Andrew D. Mitchell and Jarrod Hepburn, Don’t Fence Me in: Reforming Trade and Investment Law to Better Facilitate Cross-Border Data Transfer, The Yale Journal of Law and Technology, Vol.19, 2017, p. 185-236.我国在制定《数据安全法》及其配套措施时,应当关注数据安全立法与我国缔结的国际投资协定例外条款的合理对接。
一是根据我国的数据规制需求在国际投资协定中重点补充公共秩序、公共道德例外和根本安全利益例外。我国的《网络安全法》《数据安全法(草案)》《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(草案)》均涉及我国对数据跨境流动的规制权,但规制主要限于数据影响国家安全、社会公共利益和侵犯个人利益的情形。我国缔结的国际投资协定中对一般例外最宽泛的规定见于2012年《中加双边投资协定》,规定了文化产业、环境保护、金融审慎例外,甚至还包括了根本安全利益例外,但对公共秩序和公共道德例外并未提及,仅在征收例外中提到保护“合法的公共目的”。如此的一般例外规定难以为我国规制数据跨境流动提供合法性理由。而其他的中外双边投资协定的例外条款对于保障我国对数据跨境流动规制权则更为不足。
二是做好我国数据安全立法与国际投资协定例外条款中对核心名词界定的协调一致。《数据安全法(草案)》多个条款均规定数据活动若“损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的”,将对其依法追究法律责任。而我国新近达成的国际投资协定《区域全面经济伙伴关系协定》和《中欧全面投资协定》,均在安全例外条款中表述的是维护缔约国的“根本安全利益”。《中欧全面投资协定》在一般例外条款中规定了缔约国维护本国“公共秩序”的规制权,并未约定例外涵盖“公共利益”。根据国际投资仲裁的相关判决,仲裁庭对于“根本安全利益”与“国家安全”,“公共秩序”与“公共利益”的内涵认定并不一致。故此,建议统一我国数据安全立法与我国投资协定中的利益表述,以助于为仲裁庭条约解释提供国内法指引。在公共道德条款方面,《中欧全面投资协定》在一般例外条款中分别约定缔约国有权保护本国的公共道德和个人隐私,似乎是将公共道德和个人隐私进行了区分,这与欧盟近年缔结的国际投资协定的做法保持了一致。但是我国此前缔结的国际投资协定几无单独保护个人隐私的条款,若公共道德不涵盖个人隐私,则难以为我国为保护个人隐私而限制数据跨境流动的措施提供合法性。此外,我国数据安全立法中对于《数据安全法(草案)》中规定的“公民、组织合法权益”与国际投资协定中的个人隐私的异同也应当有所说明。
三是根据国际投资仲裁的相关判决完善数据安全立法。《中欧全面投资协定》在规定缔约国维护本国“公共秩序”的规制权时,也进行了必要性限制。根据国际投资仲裁的相关判决,对维护公共秩序而规制数据跨境流动措施的必要性审查可能成为未来仲裁庭审查的要点。《数据安全法(草案)》第22条规定了国家将建立数据安全审查制度,公共秩序与规制措施的必要性应当在未来的数据安全审查制度中予以体现。在维护我国根本安全利益方面,《区域全面经济伙伴关系协定》和《中欧全面投资协定》均在根本安全利益例外条款中加入了“其认为”这一自裁性措辞。若仲裁庭对我国援引根本安全利益例外规制数据跨境流动的措施进行善意评审,很可能会考察我国国内法对根本安全利益的界定。是故,建议我国将数据安全立法中的“关键基础设施”范围界定与“公共秩序”和“根本安全利益”范围的界定结合,明确哪些关键基础设施的数据涉及维护社会公共秩序,是重要的公共利益,哪些关键基础设施的数据涉及保护国家的根本安全利益。
五、结语
数字经济时代已经到来,主权国家经历了陆地资源争夺、海洋霸权争夺、外空领域争夺后,又剑指网络空间。各国在争夺数字经济规则制定权的同时,也纷纷采取措施规制数据的跨境流动,以确保国家安全、维护社会公共安全和保护个人隐私。由于数据跨境流动的规制措施对于外商投资具有经济上的负面影响,可能被视作投资壁垒,损害外国投资者的投资利益,所以为了维护东道国对数据跨境流动的合法规制权,国际投资协定设置例外条款十分重要,尤其是一般例外条款关于保护社会“公共秩序”和“公共道德”的规定,以及对根本安全利益作为例外的规定。
东道国采取的数据跨境流动规制措施是否为了保护该国的社会公共秩序应结合国内立法具体分析。少数国家的数据规制立法中明确规定了保护公共秩序或公共利益可作为数据跨境流动规则的例外。而对于国内立法未明确界定公共秩序和公共利益范围的,可考虑经济和金融利益或涉及一国的公共秩序维护。国际投资协定和国际投资仲裁中均缺乏对“公共道德”内涵的明确界定。借鉴国际贸易法案件对“公共道德”的释义可知,“公共道德”的含义受到社会、文化、道德、宗教价值等因素影响,这与各国对数据跨境流动的认知受其社会、文化、道德等影响不谋而合。因此,“公共道德”是否包括个人隐私因国家而异,这与各国的社会背景、文化历史、政治政策等因素有关。有的国际投资协定中明确区分了个人隐私和公共道德,但多数的国际投资协定没有。对于将保护个人隐私认定为维护社会“公共道德”的国家,其采取数据跨境流动规制措施应当符合“合理的必要性”要求,即不存在另外的对外商投资具有更少限制性的规制措施,且东道国若采取该措施,不会付出不合理的成本。
基于数据主权,国家为了预防网络空间犯罪等原因有权限制涉及其根本安全利益的数据跨境流动。但近年来,根本安全利益存在扩张解释趋势,根本安全利益例外的自裁性进一步加大了该条款被滥用之可能。对此,应当通过明晰根本安全利益内涵、加强对根本安全利益例外的善意审查等方式限制条款的滥用。仲裁庭在考察国家适用根本安全利益例外的合法性时,应当重点关注该国对于数据的分类制度,确保数据跨境流动规制仅限于该国根本安全利益相关的数据。
在我国加快从数字大国向数字强国迈进的时代背景下,制定符合本国利益的跨境数据流动规则具有现实紧迫性。目前的数据安全立法缺乏与国际投资协定的对接,十分不利于维护我国对数据跨境流动的合法规制权。为了维护数据主权,应当及时补充和升级我国缔结的国际投资协定中的例外条款,与此同时,还应当兼顾数据跨境流动中的安全,促进外国数字企业在我国投资和保护我国数字企业的海外投资三方利益,做好数据安全立法与国际投资协定谈例外条款构建的对接。
