数据流通交易法律治理的现实困局、涉外体系与破解进路
2023-03-16姚若楠
姚若楠
一、问题的缘起
20 世纪末开始,数字技术飞速发展,数据作为新兴生产要素应运而生。数据流通交易是促成数字经济新增长的主要途径与构建数据要素市场的重要支柱,相关规则制定权也是全球博弈的重点。规范意义上的“数据流通交易”指数据各方对数据控制权的自愿转移与分享,不包含数据爬取、数据公开(与数据共享不同)和数据委托处理。①许可:《数据交易流通的三元治理:技术、标准与法律》,载《吉首大学学报(社会科学版)》2022 年第1 期,第96~97 页。在国内层面,数据流通交易主要表现为数据分享,包含数据分享前的数据收集和数据产品生成;数据分享中的数据及数据产品的转让或许可;数据分享后的数据衍生服务。在国际层面,数据流通交易以数据跨境流动为表征。由于数据具有不同于传统生产要素的特性,数据流通交易也呈现出新兴法治需求。
我国是数字经济体量大国,但数据流通交易的法治化程度有待提高。我国作为国际数字经贸规则的主动参与者,始终积极广泛参与全球数字经济规则制定和全球数字贸易治理,例如与东盟十国等国家签署《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)。但由于数据流通交易的国内法治建设程度还不高,我国缺少制定和促成国际社会普遍接受的数字规则的法治经验与制度基础。在国际层面,欧美数字强国不断制定数字经贸协定,我国申请加入的《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)和《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,DEPA)在标准、范围和约束力上都对加快国内数据流通交易法治建设提出了要求。
法治是发展市场经济的保障,数据流通交易的法治化建设需要统筹推进国内法治与涉外法治。其一,数据流通交易是数据要素市场中的关键内容,也是建设全国统一大市场的重要组成,需求与之适应的国内法治。数据流通交易实践中必然有失灵现象出现,维护公平竞争、等价交换、诚实守信的市场经济基本法则,需要法治来保障。①习近平著:《之江新语》,浙江人民出版社2007 年版,第203 页;张文显:《习近平法治思想的政理、法理和哲理》,载《政法论坛》2022 年第3 期,第14 页。其二,数据流通交易关系国内国际双循环,涉外法治是立足内需与畅通循环的桥梁。数据流通交易并非是完全封闭的内循环,其具有参与外循环的客观需要。习近平主席提出“坚持统筹推进国内法治和涉外法治”的命题,②习近平:《习近平在中央全面依法治国工作会议上强调坚定不移走中国特色社会主义法治道路为全面建设社会主义现代化国家提供有力法治保障》,载《旗帜》2020 年第12 期,第7 页。加强涉外法治建设是其中要义。在数据流通交易的法治化建设中,尤其需要形成内外统筹格局,以国内法中数据流动涉外规范为基础参与国际法治,以国际法中的数据流通规则为依循建设国内法治。
二、数据流通交易法律治理的现实困局
(一)数据权属论争
数据的虚拟性、非排他性特点使其权利归属有别于传统权利。关于数据权属的论争主要发生在两处。第一处论争围绕数据确权是否为应然命题展开。目前,我国尚未在法律层面界定数据权属,数据和数据库的保护主要借助知识产权相关法律与《反不正当竞争法》《反垄断法》实现。因此,不乏观点认为数据要素市场的实现与数据要素确权之间未必存在强关联性,但数据财产权的市场功能须以有效市场为基础,③胡凌:《数据要素财产权的形成:从法律结构到市场结构》,载《东方法学》2022 年第2 期,第121 页。即数据确权的前提是要进行市场优化资源配置。④闫境华、石先梅:《数据生产要素化与数据确权的政治经济学分析》,载《内蒙古社会科学》2021 年第5 期,第117 页。以企业与企业和企业与个人间的数据权利乱象为例,数据权属不清至少在两个方面阻碍着数据要素市场的良性发展。一是互联网平台为谋求商业利益,会滥用该平台数据;二是互联网平台会以提供服务所需为借口强制使用平台上的个人数据。⑤刘方、吕云龙:《健全我国数据产权制度的政策建议》,载《当代经济管理》2022 年第7 期,第26 页。此外,知识产权法对数据的保护受到权利客体构成要件的限制,给数据保护增加了难度。
在数据确权命题成立的基础上,数据权属的第二处论争围绕数据确权后的数据权利范式展开。目前,学界形成了以平等主体为主线的私法“横向”权属论与以隶属主体为主线的公法“纵向”权属论。针对“横向”权利论,有观点认为数据要素的供给者都可以主张数据权利,数据确权并非必然产生单方、排他、绝对的数据权利归属;⑥包晓丽:《二阶序列式数据确权规则》,载《清华法学》2022 年第3 期,第62 页、第67 页。有学者提出数据权利块的权利结构;⑦许可:《数据权利:范式统合与规范分殊》,载《政法论坛》2021 年第4 期,第92 页。也有学者认为数据权益以“权利束”为表征。⑧王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第7 期,第102 页。针对“纵向”权利论,有观点以公共数据为例提出国家所有权;⑨衣俊霖:《论公共数据国家所有》,载《法学论坛》2022 年第4 期,第109~110 页。也有观点认为国家对数据资源享有所有权,但须受到数据人格权益与数据财产权益等他项权益的限制。⑩庞琳:《数据资源的国家所有:权属反思与重构》,载《北京行政学院学报》2022 年第5 期,第102 页、第105 页。我国在开始数据确权之前需要解决此类前提性问题。
(二)数据分享标准
数据流通交易的核心表现是数据分享,数据分享标准所影响的数据处理流程至少包括数据生产、数据收集、数据产品化、数据产品的转让或许可。目前的困难表现在技术基础差异和地域壁垒两方面。首先,在数据交易的技术基础上,数据记载形式和数据电子格式不同造成分享困难。依赖于不同程度的技术基础,企业记载数据的形式可以呈现出电子形式和非电子形式两种。以电子形式记载的数据又因不同技术支持呈现出格式不兼容的情形。在数据分享中,技术交互隔阂导致数据重复生产和收集,数据产品化标准不同导致数据交易成本增加。数据分享标准和格式的统一规范受到数据基础设施的直接影响,数据基础设施被大型数字平台掌控,各平台系统之间缺乏兼容互通,加剧了统一数据格式的难度,限制了数据流通交易的范围和效率。其次,数据分享还呈现出明显的地域特征,形成行政区划壁垒,数据利用未形成国家合力,数据资源易遭浪费。以数据交易所(中心)为平台的数据分享格局建立在行政区划之上,以直辖市和省会为主,如上海数据交易所、北京国际大数据交易所、贵阳大数据交易所等。实际上,建立在行政区划上的数据交易所整体分布不均,集中在长三角地区,华中大数据交易所、长江大数据交易中心和东湖大数据交易中心同时覆盖武汉。在数据交易中心已经存在地域隔断的背景下,数据分享各环节的数据标准、数据交易规则因不同的数据交易平台而不同,各交易所的数据只能实现内部分享。“数据孤岛”效应凸显,大量闲置数据呈离散状态。①刘辉、夏菁:《数据交易法律治理路径探析》,载《海峡法学》2022 年第1 期,第81 页。另外,因数据交易会发生数据主体的变更,在不同数据交易所之间数据非兼容、无沟通的背景下,各交易环节的数据关联主体的维权风险也随之增加。
(三)数据跨境合规
数据不仅具有经济效益,还承载着国家治理所需的各种信息,其跨境活动直接影响国家安全。诸如2010年“震网”病毒攻击伊朗铀浓缩工厂、2006 年“维基解密”事件、2022 年我国“高铁数据泄露”事件②参见《国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件》,https://baijiahao.baidu.com/s?id=173007049238049032 9&wfr=spider&for=pc,访问时间:2023 年9 月1 日。等威胁到国家安全的事件并不少见。因此,数据跨境流动的规范秩序必须要保证国家数据主权和数据安全,③赵骏:《“一带一路”数字经济的发展图景与法治路径》,载《中国法律评论》2021 年第2 期,第50 页。在各国法律制度存在差异的情况下,数字企业面临着数据跨境双向合规的困扰。在美欧数据跨境传输的合作中,美国数字企业得以合法跨境传输欧盟个人数据的过程较为坎坷,欧盟法院Schrems I、Schrems II 两案判决先后于2015 年、2020 年推翻了二者曾达成的《安全港框架协议》(Safe Harbour Framework)与《隐私盾框架协议》(Privacy Shield Framework)。④单文华、邓娜:《欧美跨境数据流动规制:冲突、协调与借鉴——基于欧盟法院“隐私盾”无效案的考察》,载《西安交通大学学报(社会科学版)》2021 年第5 期,第95~96 页。但迫于数据流通的客观需要,欧洲数据保护委员会(EDPB)发布《关于补充传输工具以确保遵守欧盟数据保护水平措施的建议》,要求跨国数据处理者使用隐私增强技术实现主动合规,美国继而通过《促进数字隐私技术法案》强调隐私增强技术的重要性。⑤唐林垚:《关系合同视角下数据处理活动的技术流变与法律准备》,载《法学家》2023 年第1 期,第47 页。因此,在美欧《隐私盾框架协议》无效后与达成最新《欧盟-美国数据隐私框架》(EU-U.S.Data Privacy Framework)前,美国企业的主动合规成本急剧升高。
目前,我国《网络安全法》《数据安全法》均已明确“安全”要素在数据要素市场法治建设中的重要性,也推动RCEP 对数据本地化存储作出例外规定。然而,我国企业在完成国内数据安全出境要求后,也会被东道国以国家安全需要为由要求披露必要数据。如美国通过《开放政府数据法案》《隐私法案》等法律以及美国国家安全部门的审查来灵活实现外资企业的跨境数据安全。“滴滴公司上市”“四大会计师事务所暂停业务”“TikTok 被禁”等事件均体现了我国企业在对内合规与对外合规上的两难境地。⑥梅傲、侯之帅:《总体国家安全观视域下企业跨境数据的合规治理》,载《江苏社会科学》2022 年第6 期,第173 页。
(四)数据竞争监管
市场的良性运行离不开政府的适度监管,数据流通交易的公平有序需要法律监管支持。目前,我国尚未出台数据监管的针对性法律法规,《上海市数据条例》等省级地方性法规多以促进数据交易等原则性规定为主,适用范围仅限地方政府辖域内。如《上海市数据条例》第52 条,其本身也只是对已有《反垄断法》《反不正当竞争法》等的引致。即使是配套的地方政策文件以及行业规定,至多是对数据交易合同、交易场所以及交易原则进行概括性规定。目前,我国暗网的底层数据交易仍较活跃,“网络黑产”从业人员超过百万,市场规模达到千亿。①参见《中国“网络黑产”规模达到千亿级别,网络安全亟待多维度防御体系》,https://baijiahao.baidu.com/s?id=1599428738445793 310&wfr=spider&for=pc,访问时间:2023 年9 月1 日。数据流通交易需要数据监管法律来整治不公平、不规范的市场行为。
我国当前适用于数据流通交易的反垄断规制略显滞后,尚未根据数据要素市场中数据流通交易的现实作出调整。我国《反垄断法》主要以销售额和营业额作为经营者集中垄断行为的门槛标准,但众多从事数据交易的公司营业额较低,难以成为规制对象。《反垄断法》第9 条规定:“经营者不得利用数据和算法、技术资本优势以及平台规则等从事本法禁止的垄断行为”,或将为数据流通交易的反垄断治理提供制度性依据,但对部分特有垄断行为尚未有明确指引。《国务院反垄断委员会关于平台经济领域的反垄断指南》已经强调《反垄断法》及配套法规规章适用于所有行业,认定平台经济滥用市场支配地位行为,首先要界定“相关市场”,再考虑“支配地位”,最后根据具体案情考虑是否构成滥用市场支配地位。该规则虽灵活却不具备法律强制效力。此外,对于数据流通交易中垄断行为的认定,目前亦没有在数据要素市场情景下对“相关市场”等标准的适配度作出论证。
三、数据流通交易法律治理的涉外体系
(一)国内法中的数据流动涉外规范
我国数据跨境流动的涉外规范以数据出境规范为主。以《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》以及相关配套规定组成的数据安全出境框架已经建立。《网络安全法》明确关键信息基础设施运营者如需对个人信息和重要数据出境要进行安全评估;②参见《网络安全法》第37 条。《数据安全法》进一步明确,关键信息基础设施运营者以外的数据处理者对重要数据出境也要进行安全评估;③参见《数据安全法》第31 条。《个人信息保护法》也要求关键信息基础设施运营者和达到国家网信部门规定数量的个人信息处理者进行个人信息出境安全评估。④参见《个人信息保护法》第36 条、第38 条、第40 条。在出境安全评估之外,其他数据的出境可以采取标准合同条款、跨境处理认证和网信办规定的其他方式。随着数据出境法律的丰富,我国跨境数据安全流动的立场愈发明显。
我国数据流通交易立法不乏对域外优良法治经验的借鉴。在数据安全出境体系的构建中,我国通过借鉴域外经验形成了合理的涉外规则。个人信息出境标准合同的设定借鉴了欧盟与美国进行数据传输的标准合同条款(Standard Contractual Clauses,SCCs),⑤See Anupam Chander,"Is Data Localization a Solution for Schrems II?",Journal of International Economic Law,Vol.23,Issue 3,Sep tember 2020,p.773.要求个人信息处理者通过标准合同与境外数据接收方订立合同。《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》要求对数据进行同等保护,借鉴的是欧盟《通用数据保护条例》(General Data Protection Regulation)关于同等保护原则的规定。数据流通交易具有高度涉外性,与国际层面的多边、区域、双边国际经贸协定联系紧密。目前我国在涉外立法层面已经对最关键的数据安全出境问题予以规范,但涉外执法、涉外司法、涉外法律服务以及中外司法合作等方面还需强化。⑥黄惠康:《准确把握“涉外法治”概念内涵 统筹推进国内法治和涉外法治》,载《武大国际法评论》2022 年第1 期,第12 页。
(二)国际法中的数据流通规则情势
通过国际条约,一国国内法的理论成果和司法实践经验会衍化至国际法。在数字经贸领域的双边合作上,美国为维护大型互联网企业的垄断优势地位,通过《美国和韩国自贸协定》等多项双边自由贸易协定,不断打造跨境数据自由流动的“美式”规则。同时,美国借力于双边合作的规则基础,趁势推动区域性自由贸易协定达成。美国推动谈判后又退出的《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement,TPP)、CPTPP 以及《美墨加协定》(United States-Mexico-Canada Agreement,USMCA)中,条约电子商务章节一贯对跨境数据流动采取不限制、不禁止的立场,均是对自TPP 时代的“美式”数据跨境流动规制范本的承袭。诸上国际条约不仅是美国推行其美式规则的途径,更是其涉外法治成果,最终对成员方产生法律约束力。
除以国家主导的区域自由贸易协定外,区域层面的数字经贸规则还表现为国际组织的软性规制。经济合作与发展组织(OECD)制定的《关于隐私保护和个人数据跨境流动的指南》(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data),亚太经合组织(APEC)通过的《隐私保护框架》(APEC Privacy Framework),均对个人数据的保护作出了推荐性标准。APEC 后于2011 年建立了《跨境隐私规则体系》(Enabling Legal Compliance & Cross-Border Data Transfers with the APEC Cross-Border Privacy Rules,CBPR),即只有通过认证的企业可相互自由传输数据,为数据权属的确定与数据权益的保护提供了较具可操作性的方案。
在多边层面,各国共识仍很难达成。世界贸易组织(WTO)2017 年12 月达成了《关于电子商务的联合声明》(Joint Initiative on E-commerce,JSI),虽为数字贸易规则治理提供磋商平台与合作机制,但是在数据贸易治理上未有突破。WTO 第十二届部长级会议仍没有对《关于电子商务的工作计划》中电子传输临时免征关税的做法作出修改。
(三)内外统筹推进数据流通交易法治化
国家本位是现代国际法的特征之一。在国内法治方面,一国有权根据国家利益需要在本土适用国际法;在国际法治方面,一国又要受到国际条约约束,遵守国际义务。在此背景下,我国加快数据流通交易的涉外法治建设就需要统筹内外规则。
以当前主要自由贸易协定为例,我国在RCEP 与CPTPP 数据跨境流动例外条款的设置上就亟需统筹。在RCEP 中,通过“缔约方认为是实现其合法的公共政策目标所必要的措施”①See RCEP 第12.15.3 条。,缔约方被赋予更大的适用空间,易于数据本地化存储的合法性论证。CPTPP 限制数据跨境流动的措施条件苛刻,②马光:《FTA 数据跨境流动规制的三种例外选择适用》,载《政法论坛》2021 年第5 期,第16 页。对一般例外不允许自择性的“缔约方认为”③See CPTPP 第29.1.3 条。,仅有安全例外适用。④See CPTPP 第29.2 条。我国加入CPTPP 的前提之一就是需要对该协定中限制数据跨境流动的例外条款具备足够的应对方案。无论是“国家安全例外”或是“公共政策目标”,在WTO 裁判先例中均有一定的证成难度。此外,在《网络安全法》《数据安全法》中多见“国家安全”“公共利益”“公共秩序”的措辞,这与RCEP 以及CPTPP 中的“合法公共政策目标”“基本安全利益”有所不同,诸类例外依据的表述或将影响到我国在协定下对例外条例的援引效果。⑤张晓君、屈晓濛:《RCEP 数据跨境流动例外条款与中国因应》,载《政法论丛》2022 年第3 期,第117 页。
另外,在数据跨境流动例外条款之外,我国在数据确权、数据交易以及数据利用等“制度性建设”方面尚没有达到DEPA 与CPTPP 中的标准。⑥赵龙跃、高红伟:《中国与全球数字贸易治理:基于加入DEPA 的机遇与挑战》,载《太平洋学报》2022 年第2 期,第23 页。考虑到我国已经和将要签署的国际条约一旦生效均对国家产生履约义务要求,应适时合理地对不同国际法模板规则的适用作出统筹应对,妥善处理如RCEP、DEPA、CPTPP等国际条约的关系,协调国际法与国内法的冲突。
四、数据流通交易法律治理的破解进路
(一)基本立场
1.秉持安全与发展并重基本原则
全球治理体系之下,法治是国家综合实力的重要组成部分。①张文显:《论中国式法治现代化新道路》,载《中国法学》2022 年第1 期,第13 页。数据要素市场法治建设需要新规则和新秩序,各国针对数据流通交易规则展开主导权博弈。当前数据要素市场治理中充斥着各国国内立法与政策,呈现“国家回归”态势。②黄惠康著:《中国特色大国外交与国际法》,法律出版社2019 年版,第361~362 页。新兴国家不仅面临数字经济的发展挑战,还担忧西方数字强权对国家主权的侵犯,坚持安全与发展并重原则成为第一要义。我国当前特别强调统筹发展与安全,基于此探索确立平衡兼顾效率与安全的数字治理价值导向。③孟令浩:《全球数字治理规则的发展趋向及中国方案》,载《学习与实践》2023 年第3 期,第38 页。这就需要以一国对内安全与对外安全为基调,维护数据利用秩序,形成以安全保发展、以发展促安全的数据要素市场格局。我国还应当丰富“共商共建共享共赢”的新型国际关系理念,提出继《全球数据安全倡议》之后的更多可行方案。同时,要继续把握“一带一路”建设契机,加强“一带一路”参与国在数据要素市场法治建设的合作,维护数据安全、发展数字经济,共建安全与发展并重的数字丝绸之路。
2.坚持数据流通交易多边化治理
我国改革和完善国际秩序、国际体系的首要坚持是联合国宪章宗旨与原则。《联合国宪章》的先进性体现在宗旨与原则的强劲生命力和其与时俱进性。④黄进著:《宏观国际法学论(2022 年修订版)》,法律出版社2022 年版,第121 页。数据流通交易治理是涉外法治的新疆域,也是国际法治的新领域,联合国宪章宗旨和原则仍具指导意义。数据流通交易关涉一国的数据主权,要防止大国借主权与他国或企业进行权力争夺和规则竞争,⑤赵海乐:《数据主权视角下的个人信息保护国际法治冲突与对策》,载《当代法学》2022 年第4 期,第87 页。预防漠视受害国主权的黑客攻击等行为对数据安全和秩序的公然挑战。我国还应适时呼吁数据主权的国际礼让,为数据流通交易法治建设的多极化、多边化提供契机。世界互联网大会是我国倡导并举办的高层次、大规模、世界性互联网高峰会议,我国应当以此类会议为媒介,努力推动数据流通交易规则的多边化共识,为缩小数字鸿沟提供谈判场所、贡献法律规则、积累法治经验。
3.统筹推进国内法治与涉外法治
统筹推进国内法治与涉外法治,离不开涉外法治的强化,更离不开国内法治的进步。统筹两个大局意味着要运用系统思维,选择合适议题,紧密联系国内法与国际法,借助涉外法治与国内法治的关联互动,形成联结国内治理与国际治理两级的经验。⑥刘仁山:《我国涉外法治研究的主要进展、突出问题与对策建议》,载《国际法学刊》2022 年第1 期,第44 页。一是要系统梳理国内法的域外适用情况,一国国内的涉外数据法律规范会对域外数据及其主体产生约束力。二是要识别国际法的本土适用。识别国际法已经适用的情况和应当适用却有矛盾的情形,能够为践行国际法治提供指导。我国已经签署了多项双边和区域经贸协定,条约的执行情况有待厘清。这关乎我国作为负责任大国履行国际条约义务的效果,还涉及后续商签高标准国际经贸协定时的法律空间与规则嬗变。三要注意外国法的域外适用与长臂管辖。只有在研判他国不当适用国内法情况的基础上才能作出合理回应。
(二)现实路径
1.建立健全数据交易平台及规则
“谁掌握了数据,谁就掌握了主动权”。⑦参见《习近平:推进建设数字中国》,http://news.cctv.com/2018/04/23/ARTIlPcsZq1MNxh9J7UztTIx180423.shtml,访问时间:2023年9 月1 日。我国可以通过北京国际数据交易所等面向全球的交易平台,推行统一的数据交易规则,对数据要素标准化、数据要素定价、数据要素交易规则等内容达成国内行业规范和国际通用规则。在具体交易规则上可以参考《贵阳大数据交易所702 公约》,借鉴美、德等国划分数据交易平台的标准,分别对金融数据等专业性数据和其他非专业性数据进行分层治理,以此推动建立规范的国际化数据交易平台,打造公平透明的数据要素市场。同时,还应借助数据基础设施的合作,推行相对统一的数据格式,形成较为普遍的技术标准,在数据交易合同条款、交易数据来源认证和数据交易习惯等问题上形成行业规范。①王茜:《商法意义上的数据交易基本原则》,载《政法论丛》2022 年第3 期,第124 页。尤其要对数据交易平台的隐私安全技术形成严格标准,保证平台的公信力与可信环境,确保交易安全,提高交易效率。通过统一数据交易平台的标准与规则,能够便利在数据原始目的之外进行数据重用,也即二次利用,在保障数据安全的基础上充分释放数据使用的能量。②胡玲:《数据重用法律制度的反思与重塑》,载《海峡法学》2023 年第2 期,第45 页。
2.强化数据相关权益的法律保障
首先,可以通过数字身份认证机制保障数据主体权益。数据流通依赖数据主体的可识别性,交易主体唯一、可信影响着数据的活动。DEPA 已经指明数字身份的重要性,强调成员方在数字身份方面进行合作,互认数字身份。③赵旸頔、彭德雷:《全球数字经贸规则的最新发展与比较——基于对<数字经济伙伴关系协定>的考察》,载《亚太经济》2020 年第4 期,第60 页。我国应在数据安全认证规范的基础上,根据DEPA 建立完善数字身份认证机制。其次,数据涉及用户隐私与个人信息,数据利用应以二者的合理保护为前提。RCEP、CPTPP 与DEPA 中均对数据隐私保护进行了规定。④See RCEP 第12.8 条;CPTPP 第14.8 条;DEPA 第4.2 条。相较RCEP,CPTPP 添增了更多的个人信息保护内容,DEPA 更是直接阐明了个人信息保护的应然法律框架。CPTPP 的个人信息保护体制下,如若一缔约方符合相关国际组织的原则和指南,其他缔约方应承认同样的合规效果。DEPA 中的法律框架原则与OECD《关于隐私保护和个人数据跨境流动的指南》近乎一致。⑤彭岳:《跨境数据隐私保护的贸易法维度》,载《法律适用》2022 年第6 期,第26 页。我国应在对APEC 与OECD 规则进行比较研究的基础上,适时将相关规则纳入国内立法。再次,为保障数据资源有序开发利用,应推动建立数据资源争端解决机制。除CPTPP 外,RCEP 与DE PA 均规定,数据传输相关争议不适用争端解决机制。缺乏数据资源国际争端解决机制不仅会影响缔约方间的争议的解决,还会阻滞数据流通交易中相关概念和规则的澄清与明确。我国可以参考浙江省率先成立的跨境数字贸易法庭、温州市首创设立的数据资源法庭,在其他自贸区推动构建相关国际争端解决平台。
3.加速跨境数据安全合规制度建设
一方面,国家应当在保障国家安全的基础上,主动协调域内外数据法律差异、促成跨境合作,为企业数据合规提供清晰便利的法律依据。在国内层面,我国秉持数据跨境安全流动的总体方针,⑥刘金瑞:《迈向数据跨境流动的全球规制:基本关切与中国方案》,载《行政法学研究》2022 年第4 期,第80 页。细化数据安全出境的相关概念和制度安排。建议尽早在沿用数据分类分级标准完善数据出境安全评估的基础上,区分个人信息集合与重要数据等相关概念涵摄,细化数据出境的各项制度要求。在国际层面,我国应澄清对数据跨境流动与数据本地化存储二者关系的立场。在世贸组织体制的服务贸易规制中,若某一成员对数据储存等作出市场准入和国民待遇的承诺,但国内法的数据本地化限制可能违反服务贸易承诺,可以通过安全例外来排除具体承诺的适用。⑦王贵国:《贸易数字化对国际经贸秩序的挑战与前瞻》,载《求索》2021 年第4 期,第141 页。数据本地化的初衷显然有“合法公共政策目标”的考量,但若是作为例外适用,就不得不受制于“必需”限制,例外的证成也很困难。⑧石静霞:《数字经济背景下的WTO 电子商务诸边谈判:最新发展及焦点问题》,载《东方法学》2020 年第2 期,第178 页。为更好地平衡发达国家与发展中国家在数据流通交易法律治理中的不同取向,我国可以将数据本地化与跨境数据自由流动作为并列条款,表明二者并非原则与例外的对立范畴的立场,为达成跨境合作提供包容性制度对话空间。
另一方面,我国数字企业应当增强隐私技术,提高规则研判能力,从规范性和技术性上推进内部合规建设。为提高企业技术合规能力,应加紧合规团队的技术专业配置,提升隐私保护技术的研发能力,及时应对数字技术革新带来的诸多风险。数据跨境法律仍处于变革期,我国企业应当推动合规团队开展多方数据跨境治理合作,及时跟踪境外数据接收方国家或地区的法律变化,提高规则适用的灵活度,有效应对域外法律环境或监管政策的变化。①陈兵:《数字企业数据跨境流动合规治理法治化进路》,载《法治研究》2023 年第2 期,第41 页。
4.完善数据市场的监管规则体系
数字平台掌握海量数据,具有垄断优势,需要完善监管规则,保障市场竞争的公平性。数字平台是利益主体,其很可能在利用用户基于平台所产生的个人信息时侵犯隐私。②杨东:《论反垄断法的重构:应对数字经济的挑战》,载《中国法学》2020 年第3 期,第213 页。欧盟《数字市场法案》(Digital Markets Act)中以“守门人”制度替换“相关市场”要求,通过事前审查对平台的封禁行为进行规制。我国《关于平台经济领域的反垄断指南》提出,在特定个案中,满足一定条件可以不对“相关市场”进行界定。但由于考虑包容审慎监管理念,《关于平台经济领域的反垄断指南》中删去了该条表述。③杨东、侯晨亮:《论平台“封禁”的反垄断规制——以社交平台为研究对象》,载《浙江大学学报(人文社会科学版)》2022 年第4期,第61 页。在构建国内国际双循环的新发展格局下,流通立法应当坚决打破行业垄断,④许皓:《“双循环”的法治保障:以内促外与内外并举》,载《湖北大学学报(哲学社会科学版)》2021 年第5 期,第147 页。为推动形成国内统一大市场提供法律保障。因此,在数据流通交易的后续监管中,可以在已有国内法律规则和法治经验基础上进行灵活变通,再结合国内国情审慎引入“守门人”标准。
此外,数字平台与大数据交易中心的企业型监管也是数据流通交易法治化建设的重要力量,可以补充政府监管。如我国成立的贵阳大数据交易所等数据交易中心均有相应的监管规则,不过根据交易中心的不同监管规则也不同,加之不同区域的数据交易中心分开制定规则,缺乏沟通联系,容易出现监管漏洞和盲区。因此,建议专设大数据交易监管机构,在数据交易平台自主监管和大数据管理局的初步监管基础上明确各部门的权责范围,建立监管统一框架。
五、结语
美欧是构建第二次世界大战后国际秩序的主导力量,国际贸易体制和国际金融秩序是典型例证。在数字经济的新兴疆域,西方国家仍欲在其主导的规则与秩序中形成治理方案。两局交织,发展中国家和新兴国家的正当利益诉求也应当得到伸张。作为数字经济大国,我国数据要素市场的法律制度亟待完善,只有首先清除数据流通交易中的法律障碍,进而形成先进的国内法治经验,才能为深入参与数字经贸国际法治建设提供动力,推动全球数据要素市场法律规则体系朝着和平、安全、开放、合作的方向发展。