张相君 易星竹

(福州大学法学院, 福建福州 350108)

激活数据要素潜能,营造良好数字生态,打造数字经济新优势,是党中央在“十四五”规划中为迎接数字时代,加快数字中国的建设步伐所确立的重要目标。(1)《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,http://www.xinhuanet.com/2021-03/13/c_1127205564_6.htm,2021年3月13日。麦肯锡全球研究所曾在一项报告中指出,包括货物、服务和资本等在内所有形式的全球流动带动了世界经济的增长(2)Mc Kinsey Global Institute,Digital Globalization:The New Era of Global Flows,February 2016,p.30.,其中,互联网数据流动创造的价值为2.8万亿美元,比例高达36%,到2025年,这一数值预计将达到11万亿美元。(3)李权:《数字贸易推动中国新发展格局构建》,《第一财经日报》2021年10月27日,第A11版。

跨境数据流动在国际贸易中的重要地位显而易见,但是,跨境数据流动带来的不仅仅是贸易机遇与经济繁荣,频发的数据泄露等安全事件也暴露出诸如数据主权、国家安全、公民个人信息等基础性资源所面临的法律风险,亦在全球层面给国家治理、社会治理带来前所未有的风险与挑战。作为负责制定和发展贸易规则的国际组织,WTO尚未就跨境数据流动制定统一的法律标准与规则框架,在数字贸易持续升温的时代背景下,其框架下的《服务贸易总协定》(以下称GATS)、《关税与贸易总协定》(以下称GATT)、《信息技术产品协议》(以下称ITA协议)、《全球电子商务宣言》中与跨境数据流动相关的国际法规则本身存在不匹配性,需要通过改革以不断适应数字贸易这类新型国际贸易的要求。许多国家和地区积极寻求跨境数据流动的国际合作,对其进行法律规制,由此导致全球范围内针对跨境数据流动的法律规制呈现多套规则并存的现象,这极易产生法律适用冲突并进而导致贸易摩擦事件。此外,各国对跨境数据流动迥异的规制路径亦投射出自由贸易与主权安全之间的矛盾,需要在实践中予以协调与回应。

本文通过分析WTO框架下的法律规制,以及中国、美国、欧盟、俄罗斯等国家和地区不同的规制路径,探寻数字贸易时代下跨境数据流动的国际法挑战,搭建完善的跨境数据流动综合性法律框架和平台,有效应对国际法上的风险与挑战,以期维护我国的数据主权和国家安全。

一、数字贸易中跨境数据流动的国际法规制与挑战

数字贸易作为一种全新的商业模式,在传统商业模式和新兴数字经济之间搭建起一道互联互通的国际商贸桥梁。这不仅得益于全球经济的迅速发展与信息科技的深刻变革,亦与跨境数据流动发挥的重要作用密不可分。因此,要探究跨境数据流动的概念有必要先对数字贸易的内涵及特征进行界定。

(一)跨境数据流动中数字贸易的基本界定

1.数字贸易的内涵与特征

在全球工业4.0进程中,数字贸易逐渐成为推动国际产业高质量发展的新引擎,亦是数据在不同国家之间流动并聚集的催化剂。目前国际社会对数字贸易并没有统一明确的界定,对其内涵的阐述散见于国际组织及政府机构的报告文件中。如2014年美国国际贸易委员会(USITC)的《美国与全球经济中的数字贸易II》对数字贸易的定义:“数字贸易是指通过互联网和基于互联网技术在订购、生产或传输、交付产品及服务方面发挥着特别重要作用的国内电子贸易和国际商业贸易活动的总称。”(4)United States International Trade Commission,Digital trade in the U.S.and global economies,https://usitc.gov/2014-09-11.澳大利亚外交事务与贸易部(AUDFAT)将数字贸易与电子商务相提并论,认为“二者是指包括信息和数据跨境传输在内的所有互联网货物与服务贸易”(5)Austrian Government Department of Foreign Affairs and Trade,E-commerce &digital trade,https://www.dfat.gov.au/2018-09-20.。这一概念明晰了数字贸易是以互联网技术作为基础媒介与依托的,也揭示了其与电子商务兼容并包的紧密联系。在订购或传输产品及服务方面,AUDFAT认为,除了可以实现网络音乐等虚拟产品的线上交付外,数字贸易也可被扩大解释为,通过使用网络技术对游戏软件等利用数字手段进行存储的实体商品进行的在线交易。

由此可见,数字贸易的交易标的涵盖了数字产品、实体货物及多类型的服务,表现为以数据的跨境流动为关键媒介和重要基础,通过数据这一核心贸易要素在不同国家及地区之间流进与流出,以实现国际经济价值。

2.跨境数据流动的含义

最早对跨境数据流动进行解释的是经济合作与发展组织(以下称OECD)。20世纪70年代初期,OECD将跨境数据流动解释成“计算机化的数据或者信息在国际层面的流动”(6)OECD,Guidelines governing the protection of privacy and trans-border flows of personal data,1980,p.58.。1980年,OECD在其颁布的《中华人民共和国关于隐私保护与个人数据跨境流动指南》中将跨境数据流动限缩成:个人数据跨越国境的移动,即可识别和认定个人的所有信息。(7)OECD,Guidelines governing the protection of privacy and trans-border flows of personal data ,1980,p.59.综合OECD的两次界定,可以得知,跨境数据流动法律规制的主要对象是数据信息,它是对“储存在计算机这类机器系统中的跨国界可读数据进行的一种识别、检索和处理”(8)United National Center on Transnational Corporations,Transnational Corporations and Trans border Data Flows:A Technical Paper,at http://unctc.unctad.org/data/e82iia4a/2016-02-01.。我国于2021年6月10日颁布的《中华人民共和国数据安全法》将数据界定为,任何以电子或者其他方式对信息的记录;数据处理则指对数据的收集、存储、使用、加工、传输、提供、公开等行为。

本文认为,在如今数字贸易深入发展的全球化背景之下,跨境数据流动不再单单指个人数据在国际层面的流进与流出,而是涵盖了货物贸易、服务贸易以及电子商务等可作为交易要素的在国际贸易中流通的任何数据。

(二)WTO项下跨境数据流动的现行多边规则

在各国互联互通的数字智能化背景下,跨越国境流通的数据不仅仅指公民个人数据,还包括政务数据、经济数据和工业网络数据,这关系到一国在国内的经济命脉和国际社会的独立与安全。但诸如PRISM棱镜门(9)2013年6月,中情局前职员斯诺登披露了美国政府通过绝密电子监听技术在全世界范围内拦截和监控公民个人信息的PRISM棱镜门事件。、美国Elasticsearch服务器泄露(10)2019年10月,美国People Data Labs公司的Elasticsearch服务器泄露了超过4TB的数据,里面包含了近12亿人的私人信息。Pierluigi,Personal and social information of 1.2B people exposed on an open Elasticsearch install,https://securityaffairs.co/wordpress/2019-10-16.、True Dialog数据库泄露(11)2019年12月,美国短信商True Dialog的数据库泄露10亿条用户信息。Paganini,True Dialog database leaked online tens of millions of SMS text messages,https://securityaffairs.co/wordpress/2022-06-02.等安全事件,折射出国家战略安全和公民个人信息所面临的巨大风险与挑战。因此,我国需要通过完善跨境数据流动的法律规制来规避这些风险,并在符合国际法规则的范围之内掌握可供利用的数据信息先机,以期在跨境数据流动的框架之内增强话语权、维护国家安全,并从国家治理方面提高抵御风险的能力,赢取数据效益、维护数据主权。

1.GATS、GATT与跨境数据流动有关的规制

目前,WTO框架下尚未对数据跨境制定统一化、体系化的法律规则,只在GATS及GATT等文件项下有少部分与跨境数据流动相关的规定,其中又以GATS为主要约束规则。GATS第8条规定,对于开放本地互联网接入市场的WTO各成员国应保证位于其境内的外国投资者能够平等地进入当地互联网和电信市场,本国的垄断服务提供商不得滥用垄断地位,也不得违反最惠国待遇对外国投资者采取歧视政策。(12)WTO,legal texts-Marrakesh Agreement,https://www.wto.org/english/docs/legal_e/26-gats_01_e.htm,2017-04-03.数据要实现跨境自由流动,需要以接入互联网作为前提,因此,GATS第8条实则为跨境数据流动构建了一个公平良好的市场竞争保障机制,体现出WTO框架下的国际规则在促进数据自由流动方面的贡献。

在WTO规则中既有促进跨境数据自由流动的规定,亦有GATS第14条的一般例外条款、GATS第14条之二及GATT第21条国家安全例外等限制性规则,作为一国能够合法地采取数据本地化的措施,以限制跨境数据自由流动的基础。GATS第14条(13)GATS第14条一般例外条款:只要这类措施的实施不在情况相同的国家间构成武断的或不公正的歧视,或构成对服务贸易的变相限制,则本协定的规定不得解释为阻止任何成员采用或实施下列措施:(a)为维护公共道德或社会秩序所必需;(b)为保护人、动物、植物的生命或者健康所必需;(c)为确保成员国服从与本协定的规定不相抵触的法规所必需;(ⅰ)防止欺诈和欺骗做法的或处理服务合同违约情事的;(ⅱ)保护与个人资料的处理和散播有关的个人隐私以及保护个人记录和账户秘密的;(ⅲ)安全问题。的一般例外条款包含公共道德、生命健康及法律法规等三个方面的内容。判断一国所采取的限制跨境数据流动的措施能否适用GATS一般例外条款,则需要通过个案具体分析该措施是否符合上述规定,以及是否触犯第14条序言部分的歧视与限制条款。WTO专家组在判定过程中通常会根据不同成员所处的法律环境进行判断,上诉机构在案件中除了考虑成员国实施的限制措施能否被上述情形所涵盖之外,也需要考虑该措施与其想要达到的本质目标间的充分性和关联性。(14)Macdonald D.A.&Streatfeild C.M.,“Personal Data Privacy and the WTO”,Houston Journal of International Law,vol.36(2014).

对于国家安全例外条款,GATS第14条之二和GATT第21条(15)GATS第14条之二与GATT第21条国家安全例外的三种情形包括:第一,公开相关资料可能会违背或威胁到成员方的基本安全利益;第二,成员方为了维护其基本安全利益而采取的建立军事设施、提炼核原料以及在战时或国际关系中的紧急情况期间所进行的必需行动;第三,成员方为履行联合国宪章下的维护国际和平安全而采取的行动。所表述的大体相同,二者均规定了三种例外情形作为成员国采取限制数据自由流动措施的合法性基础。其中可能与跨境数据流动产生相关性的是第一种情形和第二种情形下的紧急情况,譬如,一国因为数据的跨境流动可能会公开披露信息资料,导致本国安全利益受到威胁之时;或者一国的网络安全由于数据的跨境流动受到严重影响从而进入紧急状态之时,成员方都可能援引此条款。

2.ITA、《全球电子商务宣言》与跨境数据流动有关的规制

为实现信息技术产品全球贸易自由化,WTO首届部长级会议上29个国家和单独关税区签署了《信息技术产品协议》(以下简称ITA协议)。作为GATT的补充,ITA协议考虑到了计算机系统、CPU、网络软件产品贸易在全球经济中的关键作用,因此,对信息技术产品实行了关税减让制度,并最终在这些产品领域实现零关税的目标。作为一项开放性协定,ITA所覆盖的产品种类和范围在不断更新。因此,WTO各成员对ITA进行了新一轮扩大谈判,以适应时代发展和贸易流通的需求。

与之相类似,1998年,WTO日内瓦部长级会议通过的《全球电子商务宣言》发起了第一项规范电子商务的倡议——将零关税待遇给予通过电子传输形式进行的进出口贸易。各成员方以宣言形式达成的针对电子传输零关税延期的一致同意结果体现了自由贸易精神,从而对跨境数据的自由流动产生潜在的促进作用。

(三)WTO规制跨境数据流动所面临的挑战

1.现行国际统一规则无法回应跨境数据流动的现实需求

WTO尚未针对跨境数据流动出台统一的法律文件,众多相关国际法规则零散分布于各种协定之中,这不利于跨境数据流动的长远稳定发展。在传统贸易模式中,GATT适用于货物贸易,GATS适用四种模式的服务贸易。WTO成员方在跨境数据流动电子商务领域内的主要分歧在于:通过数字化进行的交付——网络下载的信息产品,比如在某音乐网站下载的歌曲、某游戏平台下载的手游是受制于GATT还是GATS,抑或是二者都适用。(16)谭观福:《国际贸易法视域下数字贸易的归类》,《中国社会科学院研究生院学报》2021年第5期。美国坚持通过数字化形式交付的产品应适用GATT规则;欧盟则对跨境数据流动的自由化有所保留,其出于充分保护和扶持自身信息市场的需要,认为该类产品的分类应属于GATS的管辖范围。

实践中,WTO专家组往往根据个案情况进行判断,数字贸易能否适用GATS规则,典型案例之一是安提瓜诉美国博彩案(Antigua V.US Gambling Case)。该案中,专家组采取了技术中立原则(technological neutrality),即如果成员国对某一服务贸易模式作出具体承诺,就意味着对该模式的提供方式未加限制,除非其在承诺表中明确对某一特定提供方式予以排除。(17)United States,Measures Affecting the Cross-Border Supply of Gambling and Betting Services,WT/DS285/R,Panel Report,2004.因此,专家组认为,既然美国对博彩服务的跨境提供作出了包含电话、电子邮件等常见形式的完全市场准入承诺,意味着美国并未排除互联网作为主要的手段提供博彩服务,这一解释也反映出GATS具体承诺范围的动态变化性。由此看出,GATS作为一个“不断成长的协议”(18)Daniel Crosby,Analysis of Data Localization Measures Under WTO Services Trade Rules and Commitments,International Centre for Trade and Sustainable Development and World Economic Forum,2016.,其承诺的内涵与范围会随着科学技术的变革而发展。通过该案可以得出结论:数字贸易及一国采取的限制数据自由流动的措施能被涵盖与适用在GATS规则框架之内,但是缺乏全球公认的数据管理法律规则框架,且专家组针对不同案件的判决结果亦可能发生变化,因此,在传统规则的选择上仍然充斥着不确定性。

2.援引GATS例外条款采取数据本地化措施的合规性仍存争议

在援引例外条款限制跨境数据流动时,被诉方除了证明数据本地化措施与追求目标之间的充分关联之外,也需要接受专家组对涉诉措施采取的必需性、可替代性以及非歧视性审查。如果认定该限制措施能够被与GATS相符的其他方式所替代,或可以采取其他贸易限制程度较轻的措施,那么一国进行抗辩时的合法性将会受到质疑。

此外,跨境数据流动在GATS项下,仅是一种具体承诺,需要专家组根据个案予以认定。不仅如此,在GATS第14条序言的任意性与歧视性方面,如果成员国只针对某些特定国家施加数据传输的隐私标准,又或者一国境内的服务供应商在国内数据的传输处理方面只对特定种类的在线内容实行禁止豁免,这些都有可能显现任意性或歧视性,从而导致专家组认定该措施构成变相的贸易限制。(19)Andrew D.Mitchell & Jarrod Hepburn,“Don’t Fence Me In:Reforming Trade and Investment”,Yale Journal of Law and Technology,vol.19,no.1(2018),p.4.因此,成员国若想援引GATS例外条款对采取的数据本地化措施进行合法性抗辩,不仅面临法律规制上的双重摇摆性,亦在举证和法律解释层面存在较大难度。在数字经济背景下,任何涉及个人隐私与数据保护的条款都可能存在限制跨境数据自由流动的情形(20)彭岳:《贸易规制视域下数据隐私保护的冲突与解决》,《比较法研究》2018年第4期。,导致成员方在采取数据本地化措施时,想要通过寻找GATS例外条款作为依据以证实其合规性存在争议。

3.尚未构建明确、完整的电子传输零关税协议

WTO项下的ITA协定对信息技术产品实行关税削减制度,《全球电子商务宣言》对以电子传输形式开展的进出口贸易给予零关税的待遇,这些均对数据全球自由流动具有积极的促进作用,然而,这些国际规则仍存在许多问题。例如,ITA协议性质为诸边协定,且与关税削减有关的制度仅仅是一种机制,并未获得全体成员的支持。宣言中的零关税决议在1998年WTO第二次部长级会议上通过后,再无任何实质性的协定或条约对此予以明确。虽然各成员方一致同意对电子传输零关税宣言进行延期,但这些同意延期的决议只是暂时性的,从法律规则稳定性的角度来看依然存在挑战;此外,WTO规则中对于电子传输零关税的规定也不够完整。宣言当中虽然明确了对电子传输本身实行零关税,但是对电子传输的内容——通过数字化交付的产品及服务是否同样适用零关税制度未予说明,因此,在实践中各成员方对于该问题存在争议。

二、主要国家及地区跨境数据流动的法律规制路径

当前国内外跨境数据流动的立法跟随数字化经济的浪潮不断革新,具体到不同的法域,各行为体对跨境数据流动的法律规制路径也不尽相同,呈现多种区域性规制并存的状态。

(一)中国跨境数据流动的规制路径——以数据安全为中心

我国对跨境数据流动的立法仍处于摸索式发展的阶段,对数据信息的保护部分是通过行政法规、部门规范性文件等形式进行规制,譬如,《个人信息出境安全评估办法(征求意见稿)》(21)国家互联网信息办公室2019年6月13日发布的征求意见。、《汽车数据安全管理若干规定(试行)》(22)国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部2021年7月5日发布。等。但这些法规不仅内容零散,其效力与位阶同正式法律相比亦有不足。2017年6月1日起正式实施的《中华人民共和国网络安全法》使得个人数据信息跨境流动被纳入法律的保护范围;2021年6月10日颁布的《中华人民共和国数据安全法》及8月20日颁布的《中华人民共和国个人信息保护法》,标志着我国正从国家层面逐步制定有关数据安全与个人信息跨境提供的法律法规,采取更为标准与严格的数据分级分类处理模式,把国家安全利益作为立法标尺(23)Anqi Wang,“Cyber Sovereignty at Its Boldest:A Chinese Perspective”,Ohio State Technology Law Journal,vol.16,no.2(2020),p.399.,在提高立法技术以契合国际数据流动法律规制的同时,能够更好地维护国家安全与公共利益。

一系列与跨境数据流动有关的法律文件,无不体现我国围绕数据安全为中心的规制体系。具体而言,《网络安全法》第37条(24)《中华人民共和国网络安全法》第37条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。规定了数据本地化存储及向境外流动前的安全评估。与之相类似,《汽车数据安全管理若干规定(试行)》第11条第1款(25)《汽车数据安全管理若干规定(试行)》第11条第1款:重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。也再次重申了重要、关键的数据信息在境内存储的规定,如需要向境外传输,必须通过有关部门组织的安全评估。《个人信息出境安全评估办法(征求意见稿)》第2条第1款(26)《个人信息出境安全评估办法(征求意见稿)》第2条第1款:网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称“个人信息出境”),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。,同样规定了个人信息出境之前的安全评估制度,要求只有经评估后不对国家安全与公共利益产生不利影响或不产生损害可能性的个人信息方可出境。此外,该意见稿还明确了安全评估的评价要素应涵盖个人信息跨境传输的合法性、数据流动的必要性、流动后权益保障的充分性,以及运营者和接收方的安全保护水平和数据信用历史是否达标等方面。上述条文虽明确体现了我国以数据安全为中心的规制体系,但也展现了我国对数据跨境并非持绝对的保守态度,即注重网络运营者责任,引入安全评估模式,有条件、相对化地限制跨境数据的自由流动,反映出国内采取数据本地化措施时的内敛与适度。

在《中华人民共和国数据安全法》中,进一步明确了数据安全制度与保护义务,譬如,在国家层面建立数据安全协作机制,针对数据安全设置监测预警机制与应急处置机制;第7条(27)《中华人民共和国数据安全法》第7条:国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。、第11条(28)《中华人民共和国数据安全法》第11条:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。也规定在国家层面鼓励以数据为核心要素的贸易流通,在国际层面积极投身法律标准制定,在保障数据安全基础上促进自由流动。《中华人民共和国个人信息保护法》第三章对个人信息跨境提供做出规定,其中不乏将数据存储于境内的本地化措施以及进行安全评估等前提条件。这些条文体现了我国的规制路径是,在采取数据本地化措施维护国家安全和公共利益的基础上的支持跨境数据的自由流动。总的来说,在安全与自由这两大价值之中,我国带有明显的安全倾向性,主张网络空间的领域与主权概念。(29)王燕:《跨境数据流动治理的国别模式及其反思》,《国际经贸探索》2022年第1期。

(二)美国跨境数据流动的规制路径——以自由化为主导

美国对跨境数据流动的法律规制起步较早,一直奉行自由化的规制路径。美国跨境数据流动的法律主要包括:1997年克林顿政府的《全球电子商务框架》、2013年获得正式通过的《跨境隐私规则体系》(以下简称CBPR体系)、2015年的《跨太平洋伙伴关系协定》(以下简称TPP协定),以及2018年的《澄清域外合法使用数据法案》(以下简称CLOUD 法案)。

《全球电子商务框架》的目标在于,建立一个以数字经济原则为主导的全新数据体系,帮助政府和企业更好地做出决策(30)张智雄:《美国克林顿政府信息政策的几个原则》,《图书情报工作》1999年第9期。,以此保障美国在全球互联网信息时代的主导权与领先地位。TPP则允许各缔约方对跨境数据流动进行监管,同时亦允许他们相互之间基于商业活动目的的信息电子传输的活动,此即商业信息跨境自由传输条款。虽然美国已退出TPP协定,但是其对缔约各国的约束力和国际社会跨境数据流动的影响犹在。

CBPR体系是美国的行业自律体系,它仅规范亚太经济合作组织(简称APEC)成员经济体中企业及个人的跨境信息传输活动。CBPR体系在遵从自愿认证原则的基础上打造多边数据隐私保护计划,最新的CLOUD法案则通过数据控制者标准进一步鼓励数据的跨境自由流动,为了获取全球的商业利益和扩大美国法律覆盖的企业数据,美国政府允许符合资格的外国政府调取存储于美国国内的数据,境外本土企业只要在经营活动中与美国有足够的联系(31)U.S.Department of Justice,Promoting Public Safety,Privacy,and the Rule of Law around the World:The Purpose and Impact of the CLOUD Act,at https://www.justice.gov/dag/page/file/1153436/download/2019-04-11.,美国政府便有权对其进行管辖,这意味着该法案赋予了国内执法机构对境外数据的长臂管辖权(32)汤霞:《数据安全与开放之间:数字贸易国际规则构建的中国方案》,《政治与法律》2021年第12期。。CLOUD法案形成了“数据自由论”的治理应用范式(33)阙天舒、王子玥:《美欧跨境数据流动治理范式及中国的进路》,《国际关系研究》2021年第6期。,它的颁布意味着美国开始实施数据主权战略(34)Ryan White,The Clarifying Lawful Overseas Use of Data(CLOUD)Act,at https://blog.cyber security law.us.the-clarifying-lawful-overseas-use-of-data-cloud-act/2018-03-08.,它不仅为外国政府获取美国控制的数据信息提供了更为快速便捷的法律途径(35)夏燕、沈天月:《美国CLOUD法案的实践及其启示》,《中国社会科学院研究生院学报》2019年第5期。,亦为美国政府跨境获取电子数据扫清了障碍。

(三)欧盟跨境数据流动的规制路径——充分保护原则

欧盟对跨境数据流动的立法可追溯至1981年的108号条约,即《与个人数据自动化处理有关的个人保护公约》,规定各成员国可以对数据跨境流动进行限制。1995年欧盟颁布的《个人数据保护指令》规定,只有当输出国达到欧盟认可的充分保护水平才能进行数据跨境传输,进一步提高了跨境数据流动的保护标准。

2018年5月,《通用数据保护条例》(以下简称GDPR)将美国公司Face book、Google等列为被告,这也是该法案正式生效管制的第一批企业。与公约和指令对跨境数据流动有所保留不同,GDPR不仅增加了许多数据跨境流动的限制条件,更明确规定不允许将公民的个人数据传输至境外不能提供充分保护的地区和国家。新修改的GDPR法案第17条还针对个人数据信息保护增设了被遗忘权(Right to Erasure)制度。(36)GDPR第17条规定:任何数据主体均有权要求数据控制者删除关于其个人数据的权利,而控制者则有责任在特定情况下及时删除个人数据。因此,GDPR被誉为欧盟史上最为严格的个人数据保护法,其在严格限制成员国跨境数据流动的同时,为国际社会提供了立法借鉴与制度支持。各国企业无论是否在欧洲境内设置营业机构,只要进入当地市场就将受到监管,这将导致一国国内的数据安全保护法律无法及于欧盟境内。GDPR的规制模式更多是通过加大对人权的保护力度与互联网产业的发展(37)张光、宋歌:《数字经济下的全球规则博弈与中国路径选择——基于跨境数据流动规制视角》,《学术交流》2022年第1期。,使其在维护国家主权、发展数字贸易以及促进数据的自由流动间取得一定的平衡(38)李艳华:《全球跨境数据流动的规制路径与中国抉择》,《时代法学》2019年第5期。。

(四)俄罗斯跨境数据流动的规制路径——严格的数据流动限制

俄罗斯有关限制数据流动的相关立法最早可追溯到2006年出台的第149-FZ号《关于信息、信息技术和信息保护法》,其后,俄政府又相继颁布了第152-FZ号《俄罗斯联邦个人数据法》,以及2016年的第374-FZ号有关互联网访问及监管的《反恐法附加措施》。

在美国网络安全战略的压力与影响下,俄罗斯当局对跨境数据本地化存储与个人信息保护进行相当严格的规制与监管,以“内外双严”的法律来保护数据主权。(39)孙祁、尤利娅·哈里托诺娃:《数据主权背景下俄罗斯数据跨境流动的立法特点及趋势》,《俄罗斯研究》2022年第2期。其将互联网主权提升到国家战略安全的维度,所采取的一系列本土化的限制跨境数据流动的措施和普京政府出台的被诟病为“断网”的互联网主权法案很大,很大程度上是为了抵御西方发达国家在数字贸易领域的长臂管辖。譬如,俄政府在2014年《关于信息、信息技术和信息保护法》的修正案中,为互联网信息传播组织者增加了数据本地留存义务,不仅要求组织者将所收集到的信息保留六个月,还要求其在必要时将信息提供给国家安全机关,不履行该义务者将会受到行政处罚。(40)胡炜:《跨境数据流动的国际法挑战及中国应对》,《社会科学家》2017年第11期。此外,在新修订的《个人数据法》中,俄当局实施了更为严格的数据流动限制,不仅要求所有收集公民信息数据的企业,既包含本地公司,也囊括了参与处理俄公民数据的外国企业,必须及时将存储数据的服务器位置在联邦电信和数字技术监督局等地备案(41)孙方江:《跨境数据流动:数字经济下的全球博弈与中国选择》,《西南金融》2021年第1期。,还要求其必须使用俄境内的服务器来处理数据。

(五)对现有国家和地区规制路径的分析:数据自由流动价值与国家主权安全价值间的冲突

通过对上述主要国家及地区跨境数据流动法律规制的路径分析可得知,中美欧俄不同的规制实践,实则投射出数据自由流动与国家主权安全之间的冲突。

1.国家安全价值本位原则:中国与俄罗斯

我国跨境数据流动的法律规制以数据安全为中心,一方面,侧重于国家安全;另一方面,鼓励并支持跨境数据的自由流动,在坚持数据本地化措施的基础上有限度地进行数据开放和共享。俄罗斯虽然在努力摆脱数据保护领域的被动地位,但是过于严苛且过度的数据本地化措施在维护俄公民信息安全和国家主权的同时,产生了一定的封闭性,使得其境内有着服务海外客户业务的互联网公司经营效率下降(42)周念利、李金东:《俄罗斯出台的与贸易相关的数据流动限制性措施研究——兼谈对中国的启示》,《国际商务研究》2020年第3期。,并逐渐流失与外国企业寻求合作的机会。

2.数据自由流动本位原则:美国

经过数十年的发展,美国已形成以自由流动为本位的跨境数据规则体系(43)蔡翠红、郭威:《中美跨境数据流动政策比较分析》,《太平洋学报》2022年第3期。,其确立的是重数据自由流动、轻政府监管的路径(44)张生:《美国跨境数据流动的国际法规制路径与中国的因应》,《经贸法律评论》2019年第4期。。对于一贯奉行单边主义和数据保护主义的美国政府来说,虽然表面上倡导并鼓励各国放宽国内数据向外流动的限制,但实质上却利用其经济和科技的优势地位窃取他国数据信息,在跨境数据流动的法律规制方面采取双重标准。

3.个人信息保护与数据自由流动的双重平衡:欧盟

欧盟表现出来的规制目标比较中庸。一方面,通过严格限制个人数据的跨境流动展现保障公民基本人权和优先个人利益的立法基础与价值取向(45)东方:《欧盟、美国跨境数据流动法律规制比较分析及应对挑战的“中国智慧”》,《图书馆杂志》2019年第12期。;另一方面,一直致力于使个人信息保护与促进跨境数据自由流动达到平衡。

4.自由贸易与主权安全的内生矛盾

发展中国家与发达国家对跨境数据流动的不同态度,体现了这些经济体的不同利益诉求,也反映了自由贸易与主权安全的内生矛盾。随着数字贸易的不断发展,必将涌现更多不同的数据治理模式,自由价值和安全价值以及其他利益之间的冲突竞合也将持续显现。基于各国不同的经济发展水平和国家战略政策,跨境数据流动的立法模式与路径选择也有所差异(46)尹秀:《全球跨境数据流动贸易规则体系:趋势与启示》,《青岛行政学院学报》2017年第5期。,在跨境数据流动方面呈现多套规则并存的现象,极易产生法律适用冲突及经贸争端。

三、跨境数据流动规制的中国因应

(一)我国跨境数据流动规制存在的不足与反思

中国作为世界第二大经济体,在国际贸易中发挥的作用不断增强,数字经济时代,我国需要不断完善跨境数据流动的法律体系,搭建起维护我国国家安全、保护社会和公民个人利益的体制机制。

1.我国在跨境数据流动的法律规制方面存在的不足

第一,在跨境数据流动立法方面,我国的相关法律条文都是基于原则性的规定(47)莫纪宏:《加强数据安全制度保障维护国家安全》,http://www.gov.cn/xinwen/2019-04/15/content_5383024.html,2019年4月15日。,可操作性有待提高。此外,我国也未达到欧洲要求的接收数据国能够对域外个人数据进行充分保护的立法标准,因此,在彼此交换数据信息时也处于劣势。第二,尚未建立专门化的统一数据监管与保护机构。在《中华人民共和国数据安全法》正式出台之前,我国尚未确立统一的数据分级管理和监管保护机制,这在规制跨境数据流动时存在模糊性,不利于精准实施相关的保护措施。第三,国内部分法规与GATS规则存在冲突。譬如,《中华人民共和国网络安全法》中规定的数据本地化措施和个人信息出境之前的安全评估规则,在一定程度上加剧了“数据出境的合规负担”(48)马其家、李晓楠:《论我国数据跨境流动监管规则的构建》,《法治研究》2021年第1期。,可能会被其他国家认为构成数字贸易壁垒。第四,我国目前尚未较好地平衡数据安全和数据自由流动的矛盾,亟须在跨境数据流动的实践层面,结合自身的经济发展态势做出适合国情的选择。

2.对我国跨境数据流动的反思

欧盟的GDPR为其他国家和地区个人数据保护立法的完善提供了重要的参考,它所引入的保护性评估标准可为我国所借鉴(49)李墨丝:《中美欧博弈背景下的中欧跨境数据流动合作》,《欧洲研究》2021年第6期。,以推动跨境数据流动的国内立法与国际前沿规则相衔接,增加我国数据主权、国家安全的保护机制,减少个人数据跨境流动的阻碍,为企业等数据主体的跨国投资和面临的法律风险提供充分且必要的便利举措与司法救济(50)韩容:《个人数据跨境流动保护机制的域外经验与本土建构》,《京师法学》2019年第12期。。我国在数据安全原则上,除了继续保持互联网主权的安全可控之外,也要防止像俄政府一样对跨境数据流动施加过度且不必要的限制。因此,以促进数据交易为主,国家保留必要的剩余控制权,乃是当下我国数据交易立法的共识性选择。(51)杨力:《论数据交易的立法倾斜性》,《政治与法律》2021年第12期。

(二)国际层面多边应对方案

针对跨境数据流动的国际区域协定蓬勃发展的态势,我们应当看到,虽然区域方案价值匪浅,但多边规则仍然不可替代。

1.推动跨境数据流动国际多边新规则的制定与发展

2020年9月8日,时任外交部长王毅在全球数字治理研讨会上表示,有效应对数据安全的风险挑战,应当遵循秉持多边主义、兼顾安全发展及坚守公平正义这三项基本原则。(52)《坚守多边主义 倡导公平正义 携手合作共赢——在全球数字治理研讨会上的主旨讲话》,http://www.comnews.cn/article/pnews.html,2020年9月8日。结合美国、欧盟等行为体的立法实践,不难看出,在大数据时代下谋求发展,必须加强与其他国际法主体之间的沟通协作。美国一直致力于推动CBPR体系成为该地区的专门规范个人数据跨境流动的区域性规则;欧盟制定的跨境数据流动规则也在区域内产生深刻的影响。

发达国家自成一派的规则体系对数据信息的保护与联通并不全然有利,一国国内法中的规定虽然可以在一定程度上影响国际法,但多种差异化规制并存的现象不是推进跨境数据良性流动的长久之计,且GATS、GATT等传统国际规则与数字贸易时代的新实践存在不匹配性。因此,跨境数据流动的法律形式需要从区域规制向国际多边规制转型(53)谢卓君、杨署东:《全球治理中的跨境数据流动规制与中国参与——基于WTO、CPTPP和RCEP的比较分析》,《国际观察》2021年第5期。,这就要求WTO出台新的国际规则来规制跨境数据流动以适应数字贸易的不断发展。为此,我国需要积极推动WTO构建新的跨境数据流动法律标准,促进电子商务新规制的成型。借助WTO诸边贸易协定谈判参与国际新规则的制定,能够更好地应对国际法挑战,共同搭建起国际数据治理、流动与互享的良性平台。

2.细化例外条款审查原则和法律解释

如前所述,各国想要援引一般例外条款或国家安全例外存在一定的难度,究其本质,无论GATS还是GATT都是传统的国际规则,尚未针对数字贸易中例外条款的适用与解释做出具体规定,对于争端诉讼的解决往往依靠专家组在个案中的分析与研判。因此,未来WTO争端解决机构需要创造更多适当的条件对特定的技术标准进行规定。(54)谭观福:《数字贸易规制的免责例外》,《河北法学》2021年第6期。我国应当在WTO平台上争取话语权,譬如,需要在WTO框架下细化对例外条款的审查原则,避免在个案解决中存在只有分歧与矛盾的先例,而未有统一且明确的解释。此外,针对同时兼具贸易与政治属性的安全例外条款,需要推动在WTO现行规则下增加与网络安全相关的条文内容,出台与数字贸易相契合的条款解释,使成员国能够有效援引安全例外条款,并使限制跨境数据流动的贸易措施正当化(55)孔庆江:《国家经济安全与WTO例外规则的应用》,《社会科学辑刊》2018年第5期。,以增强本地化措施的合规性,从而有效维护我国的数据主权。

3.根据电子传输及其内容,确定永久性的零关税协议

为了更好地促进跨境数据的自由流动,在WTO项下确立包含电子传输内容的零关税协议十分必要。WTO在未来制定统一国际规则时,可以借鉴目前区域性协定的某些规定,譬如,我国参与制定的《区域全面经济伙伴关系协定》(RCEP)专门为电子商务设置了独立章节(56)杨署东、谢卓君:《跨境数据流动贸易规制之例外条款:定位、范式与反思》,《重庆大学学报》(社会科学版)2021年第4期。,其中第11条第1款以条文形式明确了各缔约方之间不对电子传输征收关税;在日本政府主导的《全面与进步跨太平洋伙伴关系协定》(CPTPP)第14条第3款中禁止对电子传输及其内容征收关税。

4.积极参与WTO诸边电子商务谈判并协调各方利益冲突

目前,WTO项下的多边规制已严重滞后于电子商务、数字贸易等新实践,因此,亟须启动与贸易有关的WTO电子商务联合声明谈判。(57)李墨丝:《WTO电子商务规则谈判:进展、分歧与进路》,《武大国际法评论》2020年第4期。尽管各成员国在谈判桌上的博弈与分歧不断,激烈地抢夺电子商务规则的制定权,但也意味着,各方已意识到WTO作为涵盖范围最广、成员数量最多、制定与规范多边贸易体制的国际组织,仍是目前在电子商务领域建构国际规则、推动数字贸易持续发展的最优平台。

我国已于2019年1月与其他75个WTO成员签署联合声明,明确了有意在WTO现行框架和协定的基础上展开电子商务贸易谈判。在未来,我国应充分利用WTO这一国际平台,推动WTO框架下形成相对公平且协调多方主权利益的数据流动准则(58)冉从敬、何梦婷、刘先瑞:《数据主权视野下我国跨境数据流动治理与对策研究》,《图书与情报》2021年第4期。,在维护本国国家安全和公共利益基础上,积极努力推动谈判,以获取实质性的进展(59)石静霞:《数字经济背景下的WTO电子商务诸边谈判:最新发展及焦点问题》,《东方法学》2020年第2期。,期望我国能在跨境数据流动WTO规则的制定方面由被动接受转变为主动引领。

(三)国内层面应对方案

1.构建数据保护综合性的法律框架

欧盟的GDPR在法律效力层面对欧盟成员具有直接性与统一性。这种在成员内部具有统一效力的区域法案为其他国家和地区的跨境数据流动的立法模式提供了良好借鉴,未来亦有可能成为他国在数据信息保护和监管方面效仿的蓝本。美国对于跨境数据流动的保护一直走在国际前列,其完备的隐私权法律保护体系、强大的数据监管能力,倒逼着处于不利地位的其他国家试图找寻新的途径突破美国单边霸权主义下的保护管制与主权威胁。因此,首先便是要确立我国国内有关数据安全保护方面的相关立法,以数据安全为基础,注重谨慎协调的立法设计(60)李艳华:《隐私盾案后欧美数据的跨境流动监管及中国对策——软数据本地化机制的走向与标准合同条款路径的革新》,《欧洲研究》2021年第6期。,以构建综合性的法律框架(61)熊鸿儒、田杰棠:《突出重围:数据跨境流动规则的中国方案》,《人民论坛·学术前沿》2021年第1期。。同时,应当在价值选择上有效平衡数据安全与经济发展的关系、在立法中明确国家数据主权原则、在条款内容上完善泄露数据信息应承担的法律责任、在法律适用中有限度地扩大《中华人民共和国数据安全法》的域外适用效力。

2.完善数据分类机制及健全保护监管机构

当前,国内的法律对数据的层级与分类并没有统一且明确的界定,使得法律在实施过程中极易产生偏差。因此,我国应当在法律中明定重要数据、敏感数据等具体定义,并从国家、社会、个人三个层面对政府数据、公共或行业数据及私人数据进行分级分类管理,统筹构建符合国际标准的数据分类体系。此外,在机构设置上,统一的数据保护监管及评估机构不可或缺,可通过构建专门化的审查机制加强政府机构对数据保护的监督管理权和制度设计权。

3.推动国内法规与WTO规则相衔接

我国要采取数据本地化措施对跨境数据流动进行合理的限制,避免被他国误认为实施贸易壁垒,以降低我国政府和企业在数字贸易时代的涉诉法律风险,并灵活运用GATS的例外条款。在大规模或重要数据出境前的安全评估规则方面,立法者可通过减少评估时间、简化评估程序等来适当降低跨境数据流动的门槛;此外,通过对条文中的概念进行解释,使之能够与GATS例外条款更为呼应与契合。譬如,《中华人民共和国数据安全法》第21条中的国家安全可与GATS第14条之二中的国家安全例外相对应;公共利益可对应公共道德与社会秩序;公民、组织的合法权益可对应隐私保护例外等。WTO仍是构建跨境数据流动法律规则最为理想的平台,因此,不断完善国内法律法规,使其顺应时代发展并与国际规则相衔接,才能有效应对跨境数据流动中的国际法挑战。

4.妥善处理基本矛盾——坚持本地化措施与自由贸易发展并举的价值取向

复苏全球经济、激发世界活力,在后疫情时代比任何时候都更加依赖数据的跨境流动,基于对我国国情、经济现状、立法保护水平等因素的考量,我国更倾向于保护国家安全,在立法中表现为通过数据本地化措施来限制跨境数据的自由流动。我国要增强数据这种新生产要素的全球竞争力(62)广东外语外贸大学粤港澳大湾区研究院课题组:《数据要素跨境流动与治理机制设计——基于粤港澳大湾区建设的视角》,《国际经贸探索》2021年第10期。,就必须探索一条在维护数据安全基础上的促进跨境数据自由流动的路径。

四、结语

在多边贸易体制遭遇挑战的深刻而复杂的国际大环境中,完善WTO框架下的贸易制度,推动WTO多边规制改革,在促进跨境数据自由流动的同时辅以必要且合理的限制,是世界上各个国家和地区、国际组织在未来进行国际贸易谈判、有效应对国际法挑战的重要方向。在全面依法治国、加强涉外法律建设的国内新时代背景下,需要“坚持统筹推进国内法治和涉外法治,协调推进国内治理和国际治理,更好地维护国家主权、安全、发展利益”(63)张文显、信春鹰、徐显明,等:《习近平法治思想概论》,高等教育出版社,2021年,第209页。。为此,一方面,我国既要加快完善国内相关立法,构建数字经济治理体系;另一方面,亦要结合国内外实践探寻符合中国国情的法律规制道路,主动参与国际组织数字经济议题谈判,维护和完善多边数字经济治理机制(64)习近平:《不断做强做优做大我国数字经济》,《求是》2022年第2期。,通过参与相关国际规则的制定,更好地运用国内、国外两个规则体系维护我国的合法利益,从而在二者之间实现协同发展(65)时业伟:《跨境数据流动中的国际贸易规则:规制、兼容与发展》,《比较法研究》2020年第4期。,以期有效提升国内数据保护标准与立法水平。