自由贸易协定中数据本地化措施规制研究
2022-06-28卢菊
卢 菊
随着数字经济高速发展,数据价值不断上升,与此同时数据监控、隐私泄漏等问题逐渐凸显。基于国家安全、隐私保护等目标,许多国家纷纷采用数据本地化措施对数字经济予以规范。然而该措施因限制数据跨境流动,阻碍数字贸易发展,被质疑构成贸易壁垒。为了缓解数据本地化措施的不利影响,在保障监管目标实现的同时促进数字贸易自由化,通过国际规则对其进行规制成为实践选择。由于历史条件的限制,WTO体制难以为数字贸易有序发展提供充分的规制框架,而旨在更新现有规则的诸边谈判却又进展缓慢。于是,美国、欧盟等国家转而诉诸自由贸易协定以推动数字贸易规则制定。自由贸易协定逐渐成为规则博弈的新阵地,但要在数据自由流动与监管目标达成之间实现平衡,确立一种合理且有效的数据本地化程度可谓任重道远。
一、数据本地化措施规制之争
数字经济的全球化发展依赖于数据跨境流动,而国家出于维护安全、保护隐私、便利执法等目标需要对这一数据活动进行干预。数据本地化措施正是两者交锋的产物。由于各国具体发展情况不同,数据本地化措施的内容与形式也呈现出多样化的特点,然而该措施产生的消极影响催生了对其予以规制的实践并引发争议。为深入探讨其背后的数据主权与数据自由以及贸易壁垒与监管手段之间的关系,首先应当明确数据本地化措施这一核心概念的含义。
(一)数据本地化措施的意涵
关于数据本地化措施的含义目前未有明确统一的界定。一般认为,数据本地化措施是指专门限制数据跨境传输的措施。(1)Anupam Chander,Uyên P.Lê(2015).Data Nationalism.Emory Law Journal,64,677-739.其中,information译为信息,data译为数据,本文不严格区分信息和数据两个概念。另外,为表述简洁,在未有特别说明的情况下,本文中的“本地化措施”均指数据本地化措施。这属于广义上的理解,具体而言数据本地化通常意味着要求企业将数据服务器位于其提供服务的东道国境内,(2)Chung Chan-Mo(2018).Data Localization:The Causes,Evolving International Regimes and Korean Practices.Journal of World Trade,52,187-208.即数据中心本地化。同时,数据本地化还体现为数据存储本地化,即对于特定数据要求其在本国境内存储或处理。当然,数据中心本地化与数据存储本地化并不是完全割裂开来的,本地存储要求可能会促使企业在此建立数据中心,而在本地建立计算设施也会相应地用以存储或处理数据。
数据本地化措施的表现形式包括禁止信息出境,信息跨境传输需以数据主体同意为前提,要求将所传输信息的副本留存在境内,向数据输出征税等行为。(3)Anupam Chander,Uyên P.Lê (2015).Data Nationalism.Emory Law Journal,64,677-739.鉴于本地化措施的丰富类型,无法对其进行精准分类,也难以实现穷尽式列举。战略顾问公司Albright Stonebridge Group尝试以措施的宽严程度为基准对全球相关立法进行梳理,勾勒出一幅较为清晰的立法图景(见表1)。也有学者将具有不同偏好的国家划入不同阵营,以美国为代表的自由主义者致力于打造开放的互联网世界,呼吁各国携手打破数字贸易壁垒;作为典型的规制主义者,欧盟则要求政府加大干预力度保护个人隐私;而中国属于重商主义者,优先考虑产业政策与安全目标,主张数据本地化。(4)Jonathan E.Hillman (2018).The Global Battle for Digital Trade:The United States,European Union,and China Back Competing Rules.[Online] CSIS.Last updated:13 April 2018.Available at:https://www.csis.org/blogs/future-digital-trade-policy-and-role-us-and-uk/global-battle-digital-trade[Accessed 05 December 2020].综上,全球数据本地化立法呈现出价值目标各异、宽严程度不同、重点规制的数据类型有别等特点。
表1 全球数据本地化立法情况(5)资料来源:Albright Stonebridge Group.Data Localization:A Challenge to Global Commerce and the Free Flow of Information.September 2015,5.
(二)理论分歧:数据主权与数据自由的博弈
国家作为行为主体参与治理,随着互联网、云计算等的发展,网络空间的治理成为各国关注的重点。数据是其中的核心,正是对数据的占有和利用的追逐引发了各方交锋。在数字贸易发展过程中,一些国家往往基于数据主权采取相应限制措施。然而,对于数据主权目前并未形成统一的认识。一般认为,数据主权是国家主权的组成部分,是国家主权在本国数据领域的外化,具有独立性、自主性和排他性。(6)齐爱民、祝高峰:《论国家数据主权制度的确立与完善》,《苏州大学学报(哲学社会科学版)》2016年第1期,第86页;吴沈括:《数据跨境流动与数据主权研究》,《新疆师范大学学报(哲学社会科学版)》2016年第5期,第115页。在数据跨境流动领域,数据主权的行使体现为对在本国范围内产生和收集的数据,就其跨境流动予以限制。其中,相较于以数据保护法为基础进行隐私规制,数据本地化措施则更为直接。(7)黄宁:《数据本地化的影响与政策动因研究》,《中国科技论坛》2017年第9期,第162页。与之相对的数据自由则要求完全排除主权的介入,实现高度自治,其在数据跨境流动方面表现为数据可以不受主权理论中领土原则的约束而自由流动。
数据治理的现实需要呼吁主权的介入与引导,而高度依赖于数据流动的数字经济则反对这种干涉,如何在两者的博弈中寻找平衡至关重要。应当注意的是,即使是高度推崇数据自由流动的美国在技术数据出口等方面也采取严格的限制,并且在其网络安全审查政策中同样存在本地化要求。此外,美国还利用《澄清域外合法使用数据法案》(the Clarifying Lawful Overseas Use of Data Act,CLOUD法案 )等法律法规建立“长臂管辖”,以强化对境外数据的监管控制。事实上,数据自由的主张者无法通过去主权化或去国家化的方式塑造普遍主义的跨境数据规则,而一旦通过正式的立法权制定规则,数据自由即与国家主权权力联系起来,这恰恰是对其理论基础的背离。(8)刘天骄:《数据主权与长臂管辖的理论分野与实践冲突》,《环球法律评论》2020年第2期,第188页。由此可见,数据主权与数据自由的理论分歧在实践中或许并不是绝对冲突和对立的,同样存在相互交融的状态。
(三)实践表达:监管手段与贸易壁垒之辩
一些国家采取数据本地化措施是由于担心向境外传输数据会影响隐私保护、安全维护、便利执法等国内监管目标的实现,此外也有商业利益或产业发展的考量。其中,作为保障网络数据安全和防止外国监听的有效途径,数据本地化措施被认为具有正当性。(9)王玥:《试论网络数据本地化立法的正当性》,《西安交通大学学报(社会科学版)》2016年第1期,第60页。然而,这种正当性正不断受到挑战。一方面,数据本地化措施会产生消极影响。首先是对数据跨境流动的直接限制。流动是数据利用的前提,而本地化措施阻碍这一进程继而抑制紧随其后的一系列资本、技术等的流动,影响数据经济价值的发挥。其次是数据本地化措施造成的间接影响,包括产生新的隐私和安全问题,增加商业成本等。另一方面,数据本地化措施与监管目标的实现之间并不存在必然的联结。这种手段与目的的不匹配体现在适当性、必要性、均衡性三个方面,(10)本文认为可以运用比例原则分析作为手段的数据本地化措施与监管目标之间的关系。传统观点一般认为比例原则由适当性、必要性、均衡性原则构成。参见蒋红珍:《目的正当性审查在比例原则中的定位》,《浙江工商大学学报》2019年第2期,第56-57页。包括实现监管目标的能力不足、造成的损害并非最小、产生的负担大于效益。
正是由于数据本地化措施限制数据跨境自由流动,对数字贸易自由化造成阻碍,因而被视为贸易壁垒。美国是这一观点的坚定支持者,其贸易代表办公室(USTR)发布的《2021年国家贸易评估报告》继续将数据本地化措施视为限制数据跨境流动的主要壁垒。(11)USTR.2021 National Trade Estimate Report on Foreign Trade Barriers.2021,2.事实上,贸易壁垒的内涵与外延仍处于发展之中,尚未形成统一的认识。国家往往基于自身利益而对贸易壁垒进行扩张解释或加以限缩。可见围绕数据本地化措施的争议大有加深之势,这也预示着该议题将会是未来双边、区域、多边数字贸易规则谈判的博弈重点。
二、WTO框架下数据本地化措施规制的困境
由于历史条件的限制,世界贸易组织(WTO)体制之下数字贸易的相关规则有所缺失,难以为其进一步发展提供充分的规制框架,更加无法对数据本地化措施进行有效规范。尽管目前数据本地化已成为WTO电子商务诸边谈判的重点议题,但成员方立场分歧较大,无法满足协商一致的原则要求,谈判进展缓慢。旧有的规则未能触及数据本地化措施,而新规则却又姗姗来迟,面对本地化措施不断增多亟待规制的现实需求,WTO不可避免地陷入了困境之中。
(一)GATS的适用具有不确定性
WTO诞生之时互联网尚未普及,数字经济仍处于萌芽状态,因而缺乏针对数字贸易的专门规定。WTO现有规则能否用于规范成员方就数据跨境流动采取的限制措施,需结合具体情况进行分析。由于数字贸易大多表现为服务贸易,因而分析《服务贸易总协定》(GATS)能否适用于数据本地化措施在WTO框架下具有典型意义。(12)要评估一项措施与GATS实质性义务的一致性,必须先判断其是否落入GATS的涵盖范围,即是否属于“影响服务贸易的措施”。这一判断基于以下两个要素:其一,是否存在GATS第1.2条所定义的“服务贸易”;其二,所涉措施是否对该服务贸易产生“影响”。See Report of the Appellate Body.Canada-Certain Measures Affecting the Automotive Industry.WT/DS139/AB/R,WT/DS142/AB/R,31 May 2000,paras.151-152,155.一般认为,GATS涵盖以电子方式进行的服务贸易,并且这种方式被认为最接近其项下的模式1即跨境提供。(13)Daniel Crosby (2016).Analysis of Data Localization Measures Under WTO Services Trade Rules and Commitments.E15Initiative.Geneva:International Centre for Trade and Sustainable Development (ICTSD) and World Economic Forum,2016,3.与此同时,数据本地化措施相较于GATS设置了境外存储或处理数据等额外要求,(14)根据WTO判例,当一项措施“改变了服务提供的竞争条件”,该措施即对服务贸易产生影响,并且只需构成潜在影响。参见[美] 西蒙·莱斯特、[澳]布赖恩·默丘里奥编著:《双边和区域贸易协定评论与分析》,李惠玲等译,上海人民出版社2016年版,第170-171页。这显然会影响服务提供,因而可以适用GATS进行规制。尽管理论上两者的联系成立,但事实上并不是这么简单,成员方在GATS项下的义务主要由其具体承诺决定。
成员方因其具体承诺而受到约束,但这种约束是相对的。一方面,对于未列入具体承诺表的服务部门,列入具体承诺表但未就模式1作出承诺的服务部门或者作出承诺但同时维持一定条件或限制的服务部门,(15)根据承诺水平不同,又可以分为以下几种情况:全面承诺,标明“无”(none);部分承诺,标明具体限制措施或“不受约束的”(unbound)加例外;不作承诺,标明“不受约束的”(unbound)。成员方仍有可能施加限制。随着越来越多的服务领域数字化,并且从前通过境外消费、商业存在和自然人流动提供的服务现在也可以通过跨境提供方式实现,GATS涵盖的范围愈发不能满足现实的规制需要。另一方面,对于已就市场准入、国民待遇等作出承诺的成员方,其采取的数据本地化措施是否构成对义务的违反,取决于专家组和上诉机构的解读。事实上至今尚未有判例明确涉及数据本地化措施,GATS能否以及如何适用仍存在较大的不确定性。(16)Susannah Hodson (2019).Applying WTO and FTA Disciplines to Data Localization Measures.World Trade Review,18(04),579-607.WTO现有规则适用于数据本地化措施的模糊性归根结底是由于缺乏具体规定,仅通过解释具有一定相关性的条款难以为争端解决提供充分指引。因而在WTO框架下对数字贸易以及数据本地化相关规则进行更新成为谈判的焦点。
(二)电子商务诸边谈判进程受阻
2019年1月25日,在达沃斯举行的非正式部长级会议上76个WTO成员一致同意就与贸易有关的电子商务问题发起谈判,力求在多方参与的情况下,基于现有的WTO协定和框架实现制定高标准电子商务规则的目标。(17)WTO.Joint Statement on Electronic Commerce.WT/L/1056,25 January 2019.WTO采用“电子商务”一词,而诸边谈判中多数成员的提案并未对“电子商务”和“数字贸易”进行严格区分。若无特别说明,本文也不严格区分两者。该谈判旨在更新目前的电子商务规则以更好地适应经济数字化发展趋势,同时也是重塑WTO谈判功能的一次尝试。然而由于全球新冠肺炎疫情蔓延,WTO的工作进程受阻,预期成果的达成也受到影响。当然,疫情只是导致谈判进展缓慢的其中一个因素,更深层次的原因是各方的利益和价值分歧。
WTO框架下的电子商务并不是全新的议题,以往的多边讨论早有涉及。而本次谈判采取的诸边模式可谓是一种新的尝试,其打破一揽子承诺的限制,旨在通过部分具有共同意愿的成员先就特定议题达成一致。然而,这一设想并没有取得预期的效果。在谈判过程中虽然存在广泛的共识,但就数据本地化等核心议题而言各方立场仍有不同。其中,美国提出禁止数据本地化并且没有设置例外情形;欧盟的提案在禁止数据本地化要求的同时允许出于个人数据和隐私保护采取适当措施。(18)石静霞:《数字经济背景下的WTO电子商务诸边谈判:最新发展及焦点问题》,《东方法学》2020年第2期,第176页。See Joint Statement on Electronic Commerce Initiative:Communication from the United States.INF/ECOM/5,25 March 2019,para.2.1; Joint Statement on Electronic Commerce-EU Proposal for WTO Disciplines and Commitments Relating to Electronic Commerce:Communication from the European Union.INF/ECOM/22,26 April 2019,para.2.7.而发展中成员则有采取本地化措施的现实需要。
经济利益诉求各异、对安全的理解不同、价值文化差异以及大国竞争态势加剧导致发达国家与发展中国家在数据本地化议题上分歧不断。(19)柯静:《WTO电子商务谈判与全球数字贸易规则走向》,《国际展望》2020年第3期,第49-55页。截至2020年10月,已有85个成员陆续加入WTO电子商务诸边谈判。(20)贝宁(INF/ECOM/18,01 April 2019)、肯尼亚(INF/ECOM/37,19 July 2019)、科特迪瓦(INF/ECOM/38,19 July 2019)、印度尼西亚(INF/ECOM/47,22 November 2019)、喀麦隆(INF/ECOM/48,10 December 2019)、菲律宾(INF/ECOM/50,03 February 2020)、布基纳法索(INF/ECOM/53,17 March 2020)、危地马拉(INF/ECOM/56,27 July 2020)、厄瓜多尔(INF/ECOM/59,21 October 2020)先后加入《关于电子商务的联合声明》。尽管参加谈判的成员约仅占总数的一半,但要在这些成员之间达成共识也绝非易事,协商一致原则显然已经成为制约谈判发展的重大法律障碍。然而,尽管该原则不再适应国际经贸发展现实,其蕴含的主权平等理念与“国际法构建于国家合意之上”的根本原则相契合,被广泛认可为WTO合法性的基础,难以从根本上进行变革。(21)盛建明、钟楹:《关于WTO“协商一致”与“一揽子协定”决策原则的实证分析及其改革路径研究》,《河北法学》2015年第8期,第52页。面对数字贸易与数据本地化措施亟需新规则予以规范的现实需求,在WTO电子商务诸边谈判可能陷入僵局的情况下,以美国、欧盟为代表的一些国家转而将自由贸易协定作为解决规制问题的试验田。
三、自由贸易协定中数据本地化措施规制路径构建
WTO体系下的GATS能够为数字贸易以及数据本地化措施提供一定的规制基础,但依然无法有力回应当前数据跨境流动过程中不断涌现的复杂问题。于是,以美国、欧盟为代表的国家通过其主导的自由贸易协定推进新规则的制定并持续向外输出符合自身发展要求的规制模式。其中,“禁止+例外”模式能够有效规范数据本地化措施的适用,在协调各方价值冲突的基础上为数据跨境自由流动提供制度保障,助力数字贸易自由化发展。
(一)自由贸易协定:规则演变的实验室
在多边体制无法有效发挥作用的情况下,自由贸易协定作为规制数据本地化措施的新平台,成为国际经贸规则与秩序重构的重要阵地。在双边自由贸易协定中,规范数据本地化措施的规则演变地相对缓慢。美韩自由贸易协定(KORUS)是首个列入数据跨境流动条款的自由贸易协定。然而其规定更像是原则性的宣示,缺乏明确具体的要求,不构成具有约束力的义务。除了电子商务章节,KORUS还在跨境服务一章就贸易壁垒的设置作出规定,禁止缔约方以当地存在要求阻碍跨境服务提供,但仍未直接涉及数据本地化措施。(22)KORUS第12.5条,“任何缔约方均不得要求另一方的服务提供者在其境内设立或维持代表处或任何形式的企业或成为居民,以此作为跨境提供服务的条件。”2018年美韩双方对KORUS进行修订,但依然没有触及电子商务和跨境服务章节的相关条款。而欧盟在相关措施的规制方面也相对谨慎,如《欧盟—越南自由贸易协定》中仅有避免采取当地含量要求的原则性规定。直到2021年生效的《欧盟—英国贸易与合作协定》纳入数据跨境流动条款,才对限制使用数据本地化措施作出较为详细的规定。(23)《欧盟—英国贸易与合作协定》数字贸易编第2章第6条第1款,“缔约方之间的数据跨境流动不应受到以下限制:(1)要求使用缔约方境内的计算设施或网络元件处理数据;(2)要求在缔约方境内存储或处理数据;(3)禁止在另一方境内存储或处理数据;(4)以使用缔约方境内的计算设施或网络元件或满足本地化要求作为数据跨境传输的条件。就中国而言,2020年1月17日生效的《中国香港—澳大利亚自由贸易协定》首次规定了禁止计算设施本地化条款,至此在双边层面实现突破。
在区域性自由贸易协定中,对于数据本地化措施的规制则确立得较快,并且已经转化为具有约束力的义务。以TPP为代表的区域性自由贸易协定基本上都在文本中就本地化措施予以限制或禁止,主要表现为对计算设施位置的规制(见表2)。其后谈判签署的自由贸易协定大都遵循了TPP“禁止+例外”的模式,即在禁止缔约方适用计算设施本地化措施的同时允许其以合法公共政策目标为由采取或维持相应措施。然而USMCA设置了更高要求,其完全禁止本地化措施的使用。不过就目前而言,TPP确立的规制模式仍是主流,为不同国家在更广的平台上参与数字贸易规则制定提供了合理路径。事实上,WTO电子商务诸边谈判已于2020年12月形成合并案文,该案文基于成员方的提案涵盖了数据流动和本地化议题,(24)WTO Electronic Commerce Negotiations-Consolidated negotiating text (restricted).INF/ECOM/62,December 2020; Joint Statement on Electronic Commerce:Co-Conveners’ Update.December 2020.而成员方提案又往往遵循其在已签署的自由贸易协定中的主张,这充分体现了WTO与自由贸易协定在规则制定层面的互动。
表2 自由贸易协定中数据本地化措施的相关条款
(二)价值冲突:规制模式分歧的本质
1.贸易利益优先呼唤数据自由流动
如果说TPP是各方致力于规制趋同的一次有益尝试,那么美国显然作出了极大让步。而在USMCA中美国一改妥协的姿态,回归完全禁止模式。USMCA对于数据本地化措施的规定以TPP为基础构建,但并未照搬相关条款,其删除例外全面收紧规制的态势或将成为“美式模板”的新特点。这一转变意在为数字贸易发展创造更加自由的制度环境。“从全球数据跨境流动规制的实践来看,美国倡导数据自由流动的核心诉求是维护其在全球贸易中的主导地位,体现出美国数据跨境政策由贸易利益驱动的导向。”(25)刘金河、崔保国:《数据本地化和数据防御主义的合理性与趋势》,《国际展望》2020年第6期,第96页。而原先确立的例外条款在适用过程中存在不足之处。一方面,该条款适用对象的模糊性会为某些本地化措施提供正当基础;另一方面,目前并不存在一套国际法机制能够区分合法的限制与纯粹出于保护当地企业的限制。(26)Kenneth Propp(2017).Digital Trade Is a NAFTA ‘Must-Win’.Morning Consult.[Online].17 August,2017.Available at:https://morningconsult.com,Accessed 7 July,2021.为避免例外条款适用与争端解决过程中的不确定性及其带来的不利影响,美国选择一刀切地禁止本地化措施以最大程度地保护自身利益。
但是,美国的贸易利益至上并不是绝对的,其在数据跨境流动以及数据本地化规则制定上体现出“双重标准”。美国号召数据自由流动更多的是对外呼喊,对内则仍然强调数据主权。其国内法中对数据自由流动的关注仅体现在提升自身获取外国数据的能力方面,对于本国数据美国则始终秉持加强控制与保护的态度。其中,美国于2018年3月通过的CLOUD法案凸显其数据主权战略的新动向。该法案对1986年《存储通信法案》(the Stored Communications Act,SCA)予以修正,明确采纳“数据控制者标准”,政府因而能够直接向全球各地的美国数据控制者调取数据。(27)郑玲丽:《区域贸易协定数据本地化与例外问题研究》,《国际商务研究》2020年第4期,第89页。而对于想要调取美国数据的外国政府,法案则维持了严格的实体要件和程序要求,以确保对本国数据的绝对控制。
2.基本权利保护导向隐私规制
不同于美国,欧盟一定程度上支持对数据跨境流动进行限制以保护隐私和安全。隐私问题一直是欧盟的重要关切,进入数字经济时代,欧盟率先就数字化带来的影响作出回应。以GDPR与《非个人数据自由流动条例》为基础,欧盟在数字贸易背景下构建起数据和隐私保护的制度框架。(28)有学者强调“隐私”和“数据”是两个概念,尤其在民法领域。诚然,《欧盟基本权利宪章》分两个条文规定隐私和数据保护,《通用数据保护条例》正文也未使用“隐私”一词,但本文认为隐私是个人数据的重要组成部分,个人数据也可以构成隐私,两者本就是相互交融的。因而本文不区分使用这两个概念。其中,GDPR意在充分保护个人数据并促进其自由流动,为此明确规定第三国或国际组织能够提供与GDPR相当的数据保护水平是欧盟向其传输个人数据的前提。可通过以下两种方式满足这一前提:第一,由欧盟委员会考量数据接收方关于数据保护的立法、制度等情况,对其数据保护水平进行评估;第二,在未获得“充分性保护”认定的情况下,数据接收方可通过提供适当的保障措施进行数据跨境传输,如建立有约束力的公司规则(Binding Corporate Rules)。(29)GDPR,Article 45,46,47.
而《非个人数据自由流动条例》与强调数据保护的GDPR不同,其更侧重于对数据的利用,明确反对数据本地化要求,除非以公共安全为正当基础并且需符合比例原则。(30)Regulation (EU) 2018/1807 of the European Parliament and of the Council of 14 November 2018 on a framework for the free flow of non-personal data in the European Union,Article 4.可见,欧盟基于权利保护的隐私规制在限制数据跨境流动的同时也考虑到贸易发展的现实需要。“欧盟强调数字贸易的发展应当以个人隐私得到充分保护为基础,但在不涉及个人隐私的非个人数据方面,欧盟是秉持数字贸易自由化的。”(31)戴龙:《论数字贸易背景下的个人隐私权保护》,《当代法学》2020年第1期,第155页。当然仍需注意,欧盟的数据政策内外有别。对于内部数据流动欧盟是积极推进的并且致力于打造数字单一市场,而对于数据的跨境流动欧盟则显得更为谨慎。
(三)协调价值冲突的规制原则与路径
1.规制应遵循比例原则
比例原则(Principle of Proportionality)滥觞于19世纪初的德国警察法,后延伸至宪法、刑法等公法领域,而如今其“早已跨越具体部门法的疆界而成为现代法治社会中具有普遍性和根本性的指导原则”。(32)陈璇:《正当防卫与比例原则——刑法条文合宪性解释的尝试》,《环球法律评论》2016年第6期,第39页。在国际法领域,比例原则同样展现出蓬勃的生命力。一般认为,比例原则由适当性、必要性与均衡性原则构成。(33)比例原则在学理上存在两阶论(必要性、均衡性原则)和三阶论(适当性、必要性、均衡性原则)。目前还有学者提出将目的正当性原则纳入其中重构为四阶论,参见刘权:《目的正当性与比例原则的重构》,《中国法学》2014年第4期,第133-150页。本文以通行的三阶论为基础展开分析。在运用该原则审视数据本地化措施的价值目的与手段之间的联系时,正是从这三个方面展开的。首先,就适当性而言,数据本地化措施往往强调数据的存储地点而忽视更为重要的数据安全水平,其在保护隐私、安全等方面的有效性不断遭到质疑。其次,在必要性方面,严格的数据保护法律、信息技术水平的提升等被认为能够替代本地化措施,并且这些手段产生的不良影响更小。最后,均衡性原则所提出的要求使得对于本地化措施的探讨聚焦于对负担与效益的衡量,然而国家间不同的价值偏好和政策选择会使该结果产生偏差。
正是由于数据本地化措施在适当性、必要性、均衡性方面的不足导向了对其进行规制的必然要求。但同时仍应当看到,数据本地化立法之所以在全球范围内呈现增长趋势,是由于其在保护隐私和数据安全等方面的确存在一定作用。一刀切地禁止本地化并不可取,如何界定合理的本地化程度才是关键所在。因而在对数据本地化措施进行规制时,同样应当遵循比例原则。根据严苛程度不同,数据本地化措施大致可以划分为以下三类:(1)仅要求在境内留存数据副本;(2)数据必须存储在境内;(3)数据的存储、处理等均需在境内进行。其中,留存副本的要求显然不会对数据跨境流动产生不合理限制。而且一般来说,数据本地化措施覆盖的数据范围是有限的,其主要包括个人数据和重要数据,并非绝对限制任何数据的流动。因此,对于确实能够保护数据防范网络安全风险并且不会造成不合理限制的本地化措施,不应予以禁止。而对于那些缺乏正当性基础且严重阻碍数据自由流动的措施则应当重点规制。当然,以比例原则为导向的分类规制思路仍应当在分析具体措施并评估其影响的基础上发挥作用。
2.“禁止+例外”模式可容纳不同价值
TPP率先确立了以禁止数据本地化为原则,合法公共政策目标为例外的规制结构。而当前美国却意图打破这一模式,尤其是在其主导的USMCA中直接排除例外以完全禁止本地化措施适用。然而,美国同样存在落实公共政策目标的现实需要,于2020年1月1日生效的《加州消费者隐私法案》(California Consumer Privacy Act,CCPA)正是其中的重要体现。尽管该法案在数据跨境传输管控方面维持了“留白与放任”的态度,(34)何渊:《数据法学》,北京大学出版社2020年版,第68页。但其与GDPR相似的隐私保护理念映射出美国在个人数据保护上趋严的态势。
而一向注重隐私保护,对数据跨境自由流动持限制立场的欧盟却表现出开放的势头。在发展数字经济方面,欧盟长期落后于美国以及一些亚洲国家,要想保持全球竞争力必须加快数字转型。尽管存在对数据控制权的担忧,欧盟的数据战略仍然以宽泛灵活的规定代替细致具体的安排以保持数据市场活力和自由。(35)王中美:《欧盟数据战略的目标冲突与中间道路》,《国际关系研究》2020年第6期,第48页。由此可见,主张自由的美国同样有隐私保护等公共政策目标要求,而倡导高水平数据保护的欧盟也依赖数据流动来推进数字经济发展,两者的价值追求呈现出融合的趋向。对于其他国家而言,兼顾数据跨境自由流动与公共政策目标实现亦是其发展的要求。而“禁止+例外”模式正好能够包容不同的价值,为数据本地化措施的规制提供合理可行的路径。
关于“禁止+例外”模式最大的疑虑来自如何界定合法公共政策目标。对此,除了依托上下文,将其理解为涵盖线上消费者保护、个人信息保护以及网络安全维护等内容,(36)根据TPP上下文,如果缔约方是出于线上消费者保护(第14.7条)、个人信息保护(第14.8条)以及网络安全维护(第14.16条)等目的而采取相应的本地化措施,则很有可能被认为与“合法公共政策目标”要求相符。通过上下文解释合法公共政策目标的做法符合《维也纳条约法公约》第31.1条关于条约解释的规定。还可以借鉴WTO条约及其判例。WTO条约语言作为一种合适的模板,往往会为自由贸易协定所参考,而在解释那些纳入了WTO条约语言的协定时,WTO判例法就能发挥一定作用。(37)陈咏梅:《WTO法在区域贸易协定解释中的适用探究》,《现代法学》2014年第4期,第154页。TPP第14.13.3条关于合法公共政策目标的例外规定就参考了GATT1994第20条和GATS第14条的一般例外条款,尽管两者的结构安排略有不同。那么,在解释TPP这一条款时就可以借鉴WTO专家组或上诉机构涉及“任意或不合理歧视”或者“变相的贸易限制”认定的相关判例。(38)陈咏梅、张姣:《跨境数据流动国际规制新发展:困境与前路》,《上海对外经贸大学学报》2017年第6期,第46页。See United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services.WT/DS285/AB/R; United States-Import Prohibition of Certain Shrimp and Shrimp Products.WT/DS58/AB/R; United States-Standards for Reformulated and Conventional Gasoline.WT/DS2/AB/R;Brazil-Measures Affecting Imports of Retreaded Tyres.WT/DS332/R.此外,WTO的必要性测试(Necessity Test)也能为理解公共政策目标提供一定的指导。不过WTO规则本身并没有对必要性测试进行明确、系统的解释,专家组和上诉机构在争端解决过程中逐渐形成了藉由最少贸易限制 (Least Trade Restrictive)和比例原则来理解必要性测试的做法。(39)安佰生:《WTO“必要性测试”规则探析》,《财经法学》2015年第2期,第97页。
四、中国数据本地化措施规制的现状与因应
2017年6月1日实施的《网络安全法》明确了数据境内存储的原则性规定,同时设定确需向境外提供应经安全评估例外,就此确立了中国的数据本地化规则。然而,这一基于网络安全设置的要求虽具有一定正当性但却产生了负面影响。一方面,数据本地化措施本身缺乏约束会严重阻碍数字贸易发展;另一方面,中国的立法与实践和美国、欧盟主导的自由贸易协定中确立的新规则存在较大差距,未能有效参与全球数字贸易规则制定。对此,如何规制数据本地化措施以加强与国际规则的对接,在维护本国核心利益的同时推动数字贸易发展正是中国面临的挑战。
(一)中国的规制现状及存在的问题
《网络安全法》首次以法律形式作出统一规定,明确将数据本地化措施作为数据跨境流动的监管手段,引发较大关注也受到不少质疑。其中,美国向WTO服务贸易理事会控告中国《网络安全法》及相关措施会严重阻碍信息的跨境传输,其主要关切包括网络运营商定义宽泛,个人信息和重要数据跨境传输的条件过于繁琐以及安全评估标准和关键信息基础设施定义模糊等。(40)WTO Council for Trade in Services.Communication from the United States:Measures Adopted and Under Development by China Relating to Its Cybersecurity Law.S/C/W/374,26 September 2017.尽管其申辩存在夸大之嫌,但该法中的数据本地化要求的确存在模糊之处并且缺乏约束,这会导致执行层面的扩张适用等问题。而《数据安全法》的出台有助于进一步落实《网络安全法》在数据领域的原则性规定。其中,《数据安全法》第二十一条突破性地提出了数据分类分级保护制度,为数据治理奠定重要基础。然而其仅规定以重要程度与危害程度为指导,仍未确立具体的分类分级标准也没有目录可供实践参考,使得可操作性大打折扣。在数据跨境流动方面,《数据安全法》也并未作出更详细的规定。
除此之外,尚未构建有效的国际规制是中国数据本地化要求的另一突出问题。相较于国内立法,数据跨境流动的全球属性呼唤更广阔的规制平台。然而,中国在这方面的立法与实践经验并不充分。以自由贸易协定为例,截至2021年6月,中国签署的双边自由贸易协定中仅有与韩国、澳大利亚、智利、新加坡、毛里求斯的协定含有电子商务章节,而且只涵盖一些基础条款并未涉及数据跨境流动或数据本地化(见表3)。在区域自由贸易协定层面,中国已签署并核准《区域全面经济伙伴关系协定》(RCEP),在数据本地化相关规则参与方面实现突破。但除此之外,对于CPTPP、TiSA等强调数据跨境自由流动的新一轮自由贸易协定,中国目前的参与度并不高。与大力推进数据战略和顶层设计的美国和欧盟相比,中国缺乏清晰的数据跨境规制和国际战略,在参与数字治理国际规则的谈判与制定方面处于不利地位。(41)张茉楠:《跨境数据流动:全球态势与中国对策》,《开放导报》2020年第2期,第49页。
表3 中国已经签订的自由贸易协定
(二)中国的因应:监管与发展之平衡
1.理念层面:重塑国内监管目标与手段
各国对于是否限制数据跨境流动以及如何进行限制的不同倾向,本质上是基于其价值追求或者国内监管目标作出的选择。数据本地化立法的确能够消减安全风险,但过度重视存储地点会导致对真正有影响的存储、传输方式等因素的忽视,反而无助于监管目标的实现。而且数据本地化措施还会带来巨大的经济损失和社会代价。随着数据本地化措施的正当性和有效性不断受到质疑,中国也应当及时对相关规则进行审视。
由于未就关键信息基础设施、个人信息、重要数据等概念范围作出更为明确的界定,数据本地化规则涵盖的数据较广因而显得尤为严格。为协调网络安全维护与数字贸易发展,分类分级是对数据进行监管的有效思路和手段。以个人信息与重要数据为例,两者保护的法益不同,因此具体落实的保护路径也应有所区分。重要数据直接影响国家安全、社会稳定等公共利益因而可以采取相对严格的监管措施,而个人信息更多地涉及私人利益更适合以私法进行保护。当前,《个人信息保护法》的出台为隐私和个人信息安全提供重要保障,其对个人信息跨境传输也作出了较为细致的规定。由此数据本地化要求可以将维护数据安全的责任部分转移给数据保护法律,从而相应地缩小调整范围降低严苛程度。藉由分类分级制度,在网络安全优先的情况下也能兼顾个人信息或隐私保护与贸易发展等多重立法价值目标。
2.机制层面:以规制协作促进数字贸易发展
鉴于国内法中规定了数据本地化要求,中国要在贸易谈判中就推进数据跨境流动以及禁止数据本地化直接作出承诺存在一定困难,但同时中国在保障数据跨境自由流动方面存在重要利益。根据《中国互联网发展报告2020》,中国数字经济规模稳居世界第二,严格限制数据跨境流动的本地化措施显然不符合产业发展需要。而国际层面上,合理限制数据跨境流动、减少数据本地化规则已成为数据治理的重要趋向。中国若要在数字贸易规则制定过程中提升话语权,发挥更大作用,必须重新审视国内法中的数据本地化规则,改变防御态势,积极参与国际规制协作。
首先,针对数据本地化措施的规制问题,中国应当秉持的立场与方向是在保障国家安全的前提下,回应数字经济发展的客观需要。一方面,规制协作并不意味着放弃监管目标,而是通过适当调整监管手段如分类管理数据、合理设计例外情形等协调各方利益。另一方面,数字经济发展的现实需要也应受到重视。数据本地化措施需接受规制,毕竟数据的价值取决于使用方式而不是存储地点,而确保数据能够跨境流动又是最大化其价值的前提。(42)Nigel Cory (2019).The False Appeal of Data Nationalism:Why the Value of Data Comes From How It’s Used,Not Where It’s Stored.ITIF,1 April,2019.事实上,《网络安全法》与《数据安全法》均强调保障数据“依法有序自由流动”。通过调整数据本地化要求以兼顾监管和发展目标,也能为对接高标准数字贸易规则做好准备。
其次,以自由贸易协定为着力点,多措并举,主动推进国际规制协作。鉴于数字贸易的全球属性,单边措施注定无法与其相契合,只有从国际层面上解决本地化措施规制等问题才能充分释放所有潜在利益。(43)李墨丝:《CPTPP+数字贸易规则、影响及对策》,《国际经贸探索》2020年第12期,第30页。《网络安全法》中的数据本地化规则本身就设置了安全评估例外,这在一定程度上体现了对数字贸易自由化的支持,与“禁止+例外”模式存在某些共同的基础。因而在自贸协定谈判中,中国无需回避数据跨境流动与数据本地化问题,而应当借助这一平台加强规制协作,实现国内法与国际法的对接,构建更为自由的数字贸易规则。与此同时,中国仍应当深化与其他国家在隐私、网络安全和消费者保护等领域的合作。通过确立共同的原则和标准,达成相互认可的协议,给予国内监管机构信心——即使数据离开其管辖范围也不会破坏国内监管目标。(44)Joshua P.Meltzer (2019).Governing Digital Trade.World Trade Review,18(01),23-48.此外,还可以通过签署司法协助条约开展国际协作。以执法合作的方式进行政府间数据的交换,并进一步补齐司法协助在时效方面的短板,避免让数据本地化成为国家行使管辖权的优选方案。
3.规范层面:积极推动国际规则制定
当前数据本地化措施限制数据流动,阻碍产业和技术发展,严重影响数字贸易效率,对其进行规制的必要性日益凸显。在多边框架内的谈判进展缓慢的情况下,自由贸易协定成为推动国际规则制定的重要平台。“加快实施自由贸易区战略,是我国积极参与国际经贸规则制定、争取全球经济治理制度性权力的重要平台,我们不能当旁观者、跟随者,而是要做参与者、引领者。”(45)2014年12月5日,中共中央政治局就加快自由贸易区建设进行第十九次集体学习,中共中央总书记习近平在主持学习时强调。通过主动参与自贸协定谈判敲开合作的大门,继而深化合作、引领合作。
RCEP的签署是中国参与国际经贸规则制定的重要里程碑,为其后加入以CPTPP为代表的新型自由贸易协定打下了良好的基础。就数据本地化措施而言,两者的规定基本一致,仅在合法公共政策目标的认定上存在细微差别。(46)RCEP第12.14.3条(b)项,“本条的任何规定不得阻止一缔约方采取或维持该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议。”TPP(CPTPP)第14.13.3条(b)项,“本条不得阻止缔约方为实现合法公共政策目标而采取或维持与第2款不符的措施,条件是该措施不对计算设施的使用或位置施加超出实现目标所需要的限制。”相对而言,RCEP的灵活性更大。当然,协定的签署也带来了巨大的挑战。一方面,要想对接RCEP关于数据本地化措施的限制性规定,中国必须调整国内法中的规则,可通过数据分类分级、加快安全评估立法进程等方式逐步降低本地化要求。另一方面,协调RCEP与其内部的自贸协定即中国与部分成员国分别签署的自贸协定之间的关系也是一项复杂工程。(47)一般自由贸易协定都会包含货物贸易、服务贸易、投资、原产地规则等领域,其他领域的选定则是根据谈判双方的偏好。而RCEP的电子商务议题并没有在中国与部分成员国单独签署的自贸协定中实现全覆盖,而且即便是涉及电子商务的自贸协定其与RCEP的规定也是不尽相同的。通过向更高标准的国际经贸规则靠拢,从而理顺两者的关系意义重大。总之,RCEP采用“禁止+例外”模式对计算设施的位置作出规定,确立了中国在数据本地化规制方面的范本,为今后的协定谈判提供了重要借鉴。除此之外,部分国家已着手构建数字贸易专门规则,包括《美日数字贸易协定》(UJDTA)、《数字经济伙伴关系协定》(DEPA)等,这类协定正逐渐成为推动数字贸易规则发展的新力量。对于这一现象,中国应当给予足够的重视。
五、结语
当前,全球范围内制定数字经贸规则的实践呈现出多元化的趋势,围绕数据本地化措施的博弈和较量仍在持续。不少国家选择以单边行动确立相关规则,相比之下通过自由贸易协定推进国际合作显然是更加合理有效的方式。在此背景下,中国加快实施自由贸易区战略,积极参与协定谈判,同时倒逼国内体制机制改革,对标高水平国际经贸规则,在推动数字治理上有望取得较好效果。与此同时不能忽视的是,WTO仍然应当作为促进数字贸易全球治理的重要场所,双边和区域自由贸易协定层面的繁荣和发展为最终回归多边贸易体制奠定坚实的基础。