2023, Vol. 29
信息技术发展塑造21世纪经济新格局,全面推动数字贸易的蓬勃发展,数字技术的广泛应用改变服务贸易和货物贸易结构,并重新界定贸易中的知识产权[1]。麦肯锡全球研究院(MGI)报告表明,跨境数据流动对国内生产总值增长的贡献已经逐渐超过传统商品贸易[2]。我国党的十九届四中全会将数据列为与土地、劳动力、资本、技术等并列的生产要素,数据已然成为新时代的重要资源。全球数字治理进入新旧规则交替的时代,数据与贸易问题交织,跨境数据流动贸易规制呈现竞争性与合作性并存、灵活性与稳定性并重的发展态势。跨境数据流动与国家安全、公共秩序、个人隐私保护等非经济利益密切关联。许多国家基于不同价值判断对跨境数据流动进行国内立法管控,国内规制差异阻碍跨境数据流动的互可操作性,形成新型贸易壁垒抑制全球数字经济活力的释放。当前,跨境数据流动没有形成全球性的统一规制体系,良好的数据保护和数据自由流动两个规制目标之间的平衡问题仍未解决。我国需要对跨境数据流动贸易规制作出积极回应,为作为全球公共产品的国际制度与国际法的有效供给提供中国方案,提升我国在数字贸易领域的制度话语权,化解跨境数据流动规制障碍。
在跨境数据流动贸易规制方面,中国应当坚持“原则+例外”的规制模式,建立有约束力的承诺并设置相应的例外条款[3-4]。根据学者芭芭拉·凯里迈诺斯(Barbara Koremenos)、查尔斯·利普森(Charles Lipson)和邓肯·斯奈德(Duncan Snidal)在《国际制度的理性设计》一文中的分析,国际制度设计有五个基本要素,其中之一则为灵活性安排[5]。例外条款作为一种灵活性安排,可以应对规则的结构性挑战,拥有协调不同政策目标并维持国际条约稳定的制度功能,给予缔约方在特殊情形下暂时性“背叛”条约的合法性基础。条约的稳定性需要例外条款之灵活性予以保障,维护条约的持续权威[6]。更深层次的协议需要更大的灵活性,例外条款发挥“润滑剂”功能,平衡规制目标并兼容国内规制差异,以充足制度供给支撑全球经济治理下的全球协调。通过国际协定直接或间接处理数据监管壁垒为国家决策者所接受,并在多边或区域层面进行有益尝试。WTO(World Trade Organization,以下简称“WTO”)、CPTPP(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, 以下简称“CPTPP”)和RCEP(Regional Comprehensive Economic Partnership,以下简称“RCEP”)多边或区域规制体系成为主要经济体推广其价值理念与制度方案的重要平台,其例外条款的具体设置反映新一代自由贸易协定中跨境数据流动规制的新趋向。三者中例外条款规则设计的不同范式,为解决跨境数据流动贸易规制的合作难题提供新思路。本文试图从例外条款入手,明确例外条款用于规制跨境数据流动的定位与功能,厘清国际贸易旧规则与新发展之间的关系,并针对跨境数据流动贸易规制问题提出符合我国国情的策略,以回应数字贸易新规则之发展需要。
一、例外条款之定位:跨境数据流动贸易规制目标的平衡跨境数据流动贸易规制需要满足合目的性要求,即是否有助于实现规制目标。基于每个国家数字经济发展水平、历史文化传统等差异,跨境数据流动贸易规制的价值冲突明显,每个国家对规制目标的价值判断并没有达成一致。跨境数据流动涉及数据保护与数据流动的规制矛盾,并关涉个人隐私、国家安全、数据自由流动等诸多利益维度。规制目标之间的平衡因素推动“三难困境”中“良好的数据保护”“跨境数据自由流动”和“数据保护自主权”三重要素的规制演进[7]。不同规制目标在理论或实践上符合一定的社会规范性,其背后蕴含的利益诉求均为法律所应当保护的合法利益。跨境数据流动规制目标是多元结构的,不同规制目标之间不是非此即彼的关系,需要对不同规制目标下所保护的利益诉求进行权衡,并有所侧重[8]。例外条款可以通过设置宽松或严格适用条件的方式协调规制目标间的分歧,达到动态平衡的兼容效果。例外条款并非是调整跨境数据流动规制目标分歧的唯一手段,其在具体实践中存在诸多问题,但在一定程度上有助于跨境数据流动贸易规制达到预期效果,实现被保护的规制目标,并调和各国数据保护法律制度的差异。
(一) 跨境数据流动贸易规制的目标分歧 1. 个人隐私保护在跨境数据流动问题上的个人数据流动颇具争议,其原因在于个人数据包含个人信息,可能涉及个人隐私,而个人隐私关乎人的尊严与人格。目前,大部分文献将“个人数据”等同于“个人信息”, 将“数据”代替“信息”进行表达,并在立法上将“数据”与“信息”混同[7, 9-10]。数据是信息的载体,而信息是数据的内容,数据与信息难以剥离,包含信息的数据赋予数据更多意义。个人信息保护广泛存在于各国国内与国际法律规范之中。例如,《中华人民共和国民法典》总则规定个人信息保护的一般原则,并在人格权编中规定“隐私权和个人信息保护”,确定我国个人信息保护的基本框架。1980年,经济合作与发展组织(Organization for Economic Co-operation and Development,简称“OECD”)发布的《隐私保护和个人数据跨境流动的指南》成为指引世界个人数据保护立法的重要文件之一。欧盟的个人隐私保护有悠久历史和文化根基,在《欧洲保护人权与基本自由公约》第8条“私生活和家庭生活受到尊重的权利”以及欧共体法律的一般原则中都得到广泛的承认与保护。2016年,欧洲议会和欧盟理事会通过《通用数据保护条例》(General Data Protection Regulation, 以下简称“GDPR”),该条例确定了欧盟严格限制跨境数据流动的基本规制模式,并借由GDPR向欧盟领域之外输出个人数据保护的法律规范及其所包含的价值取向。欧盟规制体系逐渐产生国际影响力,个人隐私权保护成为跨境数据流动规制需要重点关注的政策目标。
2. 国家安全保护伴随全球数字经济发展,数据所涉信息安全,除个人隐私安全外,数据中有关国家安全的信息内容显得尤为重要。主权原则是国际法最重要的基本原则[11],数据主权为国家安全的重要事项。由主权原则延伸出国家生存与发展的基本诉求,安全问题是国家生存与发展的基石,国家安全关乎国家核心利益。根据我国总体国家安全观,国家安全从传统安全向非传统安全领域扩展,并逐渐增加新型安全领域[12]。总体国家安全观是实行数据本地化措施的必然要求[13]。安全与发展是跨境数据流动规制并行不悖的两个重要方面。根据《中华人民共和国数据安全法》(以下简称《数据安全法》)总则第4条,认定“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”是我国数据监管的宗旨。一国管控跨境数据流动是数据主权的重要体现。数据可主要分为个人数据与非个人数据,个人数据虽然属于私人领域,但基于信息的关联性,对海量个人数据进行挖掘、处理和分析后,在特定情形下也可能转化为关乎国家根本利益的安全信息。与国家安全相关的数据具有较强的公域性,在数据跨境流动上应当受到较为严格的限制[14]。目前,许多国家出于对国家安全的考量制定相应的数据流动限制性政策,例如,俄罗斯将网络安全提升到国家战略高度,并制定世界上最为严密的数据流动限制措施[15]。
3. 数据自由流动经济学为跨境数据自由流动提供理论支持,也从学理上指引国际社会积极构建自由化和便利化的国际贸易法律规范。“要素禀赋理论”(Factor-endowment Theory)是国家在国际贸易中产生比较优势的原因和决定性因素,若生产要素不能在国家之间自由流动,世界资源将不能达到最优配置状态,无法弥补资源分布不均的困局[16]。贸易自由主义从经济发展规律的角度出发,强调经济自由的必要性,国际经贸合作需要打破贸易壁垒,将提高人类社会福祉作为最终目标。数据作为一种新兴的生产要素具有“4V”特征,即海量性(Volume)、高速性(velocity)、多样性(variety)与价值性(value)。基于数据特性,数据需要通过流转和利用创造更多的经济价值,“数据不应该以它的存储而定义,应该由它的流转来定义”①。数据本地化要求本身并不能使数据更加安全,只会制约云服务供应商的全球技术应用能力[17]。新的数据密集型嵌入式网络技术, 将更有益于数据流动开放程度更高和采取本地化措施较少的国家。政府和数据企业将海量数据收集、存储与再造才能真正激发数据的经济价值。发掘数据经济价值需要加强数据自由流动,这将深化国家间的合作意愿,并建立符合数据自由流动目标的贸易规制体系。
① 参见凯文·凯利斯坦福演讲《现在只是分享时代的早期》。
跨境数据流动规制目标协调的核心是限制程度问题,即允许国家基于合法政策目标对跨境数据流动限制到何种程度。个人隐私和国家安全要求采取更多跨境数据流动限制措施保护个人利益与国家利益,而数据自由流动要求减少贸易壁垒对跨境数据流动的不必要阻碍。跨境数据流动规制目标分歧反映的是不同国家对自由与安全价值的选择。不同规制目标之间不是非此即彼的关系,而应当是平衡共进的关系。如何平衡与兼容良好数据保护与数据自由流动规制目标是跨境数据流动全球性统一规则构建必须解决的基本问题。
(二) 例外条款平衡分歧的制度功能例外条款平衡分歧的功能机理在于通过控制例外条款的具体规则设计,设置宽松或严格的适用条件、具体或宽泛的语言表述对规制目标的可实现程度进行调整,根本上是对国家采取跨境数据流动限制措施的自主裁量权是否进行限制以及限制到何种程度的调节。在具体制度构建中,例外条款规则设计最终取决于各方谈判与权力博弈的结果,可能距离理想状态有些偏差。在实践中,广泛存在充分利用例外条款以实现跨境数据流动规制目标的情形,较为典型的是美国。美国数字经济的竞争优势在数字服务产业,其发展依赖数据自由流动。基于民主自由理念,美国奉行以市场为导向的自治模式,致力于在自由贸易协定中构建有约束力的跨境数据流动条款,限制贸易保护政策对数据自由流动造成的阻碍,最小化对国际贸易产生的扭曲。
从《美韩自由贸易协定》(U.S.-Korea Free Trade Agreement,以下简称“美韩自贸协定”)、《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement,以下简称“TPP”)到《美墨加协定》(United states-Mexico-Canada Agreement,以下简称“USMCA”),美国规制模式经历了从宣言性质到具有拘束力规则的转变,实现数据自由流动规制目标的诉求也呈扩张趋势,其例外条款适用条件日益严苛就是有效例证。早在2007年美韩自贸协定电子商务章节第15.8条规定,缔约方双方认识到数据自由流动对促进贸易的重要性,并认识到保护个人数据的重要性,应当努力避免对跨境数据流动施加或保持不必要障碍。在美韩自贸协定中跨境数据流动条款规定较为原则,也未设定与数据存储非强制本地化相关的具体措施,只是初步肯定数据自由流动的基本主张,相关规定缺乏约束力,更多的是一种宣言或倡议性质。2015年,美国在TPP中升级跨境数据流动相关规则,第14.11条第1款确认成员方可以对跨境数据自由流动有自己的监管要求, 即监管例外。第14.11条第2款规定应当允许包括个人数据在内的跨境数据自由流动,并在第3款规定合法公共政策目标例外,允许缔约方采取或维持不符合第2款的措施,以实现其合法公共政策目标,但需要同时满足两项约束条件以限缩合法公共政策目标例外的适用范围。就数据存储非强制本地化而言,TPP第14.13条第1款承认缔约方自身有包括基于通信安全和保密而采取的监管要求,第14.13条第2款确认禁止数据本地化原则,并在第3款设置合法公共政策目标例外,并附加与第14.11条相似的适用限制。
由于TPP例外条款适用对象比较模糊,美国认为其他缔约方运用例外条款限制跨境数据流动的情况将时常发生[18]。因此,美国在USMCA中对跨境数据流动相关规则进行升级。USMCA第19.11条第1款规定任何一方不得禁止或限制包括个人数据在内的跨境数据传输,删除监管例外,仅在第2款保留合法公共政策目标例外。此外,USMCA第19.12条规定数据存储非强制本地化,同时删除监管例外与合法公共政策目标例外。USMCA通过删除部分例外条款的方式限制缔约方自主监管权的行使,侧重保护数据自由流动,控制基于非经济政策目标而采取的限制措施对数据自由流动产生的不必要干扰。美国利用例外条款实现数据自由流动的主要方式为设置例外条款的严格适用条件,甚至直接删除部分例外条款。可见,例外条款对协调不同规制目标具有相当强的灵活性,通过对例外条款规则设计的细小变动,可以改变不同规制目标所保护的侧重点。例外条款可以充分反映不同国家对跨境数据流动规制不同层次的制度需求。
二、例外条款之范式:跨境数据流动贸易规制的成效检视跨境数据流动逐渐成为新一轮多边贸易谈判的新议题。2019年1月25日,76个WTO成员签署《关于电子商务的联合声明》,确认在现有WTO框架下,启动与贸易有关的电子商务议题谈判,其中包括跨境数据流动新规则。2020年11月15日,中国同东盟十国、日本、韩国、澳大利亚、新西兰15个国家正式签署RCEP,其标志亚太地区规模最大的自由贸易协定顺利达成。中国首次在自由贸易协定中明确表明支持数据跨境自由流动和禁止数据本地化。2020年11月20日,习近平总书记在亚太经合组织第二十七次领导人非正式会议上发表讲话,中国将积极考虑加入CPTPP。WTO、CPTPP和RCEP为跨境数据流动贸易规制提供国际合作的基本制度框架,确认跨境数据自由流动的共同发展方向,但例外条款规则设计在结构、语言表述、适用条件等方面有略微差异。在不同范式下援引例外条款面临不同程度的难度,存在适用上的不确定性,这导致利用例外条款平衡多元规制目标的能力也有所区别。
(一) WTO例外条款范式分析根据“技术中立原则”,WTO协定原则上涵盖数字贸易争端,通常情况下,跨境数据流动通过电子形式流动,更大可能纳入《服务贸易总协定》(General Agreement on Trade in Service,以下简称“GATS”)予以调整[19]。从WTO目的入手,由于发展中国家与发达国家的发展不对称,片面地将数字产品归类于GATT会导致发展中国家承担过重的义务,应当将处于灰色地带的数字产品由GATS予以调整[20]。GATS将“服务贸易”分为四种方式,即境外提供、境外消费、商业存在和自然人存在,其中跨境数据流动属于前三种服务类型的可能性居多。WTO协定原则上要求成员方消除数据流动壁垒,减少歧视性措施,促进生产要素的自由流动。成员方跨境数据流动限制性措施可能违反GATS第16条市场准入具体承诺和第17条国民待遇具体承诺,但GATS第14条一般例外与安全例外为不符措施提供免责可能[3, 21]。WTO例外条款的适用在具体司法案例中得到澄清与明晰。由于GATS第14条一般例外和安全例外仿造GATT第20条、第21条制定,两者在适用上可以平行检视。
1. GATS第14条一般例外GATS第14条一般例外由序言和子项的具体例外情形构成,一般例外赋予成员方违反GATS项下义务的特定国内措施的“免责”权利。WTO争端解决机制的司法实践对一般例外的适用进行合理定位,既不能放任以“个人信息保护”为名滥用贸易保护主义措施,也不能无限度奉行“自由贸易优先而漠视一般例外条款下的合法目标”[22]207。由于GATS第14条与GATT第20条规则设置类似,以下分析GATS第14条时,将着重参考GATT第20条的案例。跨境数据流动限制性措施是否能够通过援引GATS第14条一般例外予以免责,需要考量以下条件。根据“美国汽油案”要求适用一般例外需要采取双层分析法,即先审查措施是否符合子项中列明的具体例外情形,后审查措施实施的方式是否符合序言要求②。具体而言,要适用该条款需要满足三个条件。一是措施目的的合法性,即该措施的目标是否落入相关段落的一般范围。二是措施的必要性审查。根据“泰国—香烟案”所确立的“所必需的”含义,要求不存在援用方可被合理地期望去采取既能实现其政策目标又能与GATT基本义务相一致的替代措施,或者不存在对GATT基本义务违反程度更低的措施[22]217。三是对序言要求的审查。一般情况下,大多数措施难以通过必要性审查,更难经过序言要求的再次过滤。虽然,援引GATS第14条一般例外的限制条件颇多,其采取的过度严格解释和适用方法使得援引该条款予以免责的难度较大而饱受学界诟病[23]。但WTO协定的目的价值是促进贸易自由化,WTO争端解决机制审查一般例外的谨慎态度,可以避免一般例外被滥用而减损其价值[24]。从这个角度而言,对一般例外施加严格适用限制,更加符合WTO规则设计初衷,并给合法公共政策保护留有空间,这也是WTO一般例外使用次数较多的原因之一③。
② United States-Gasoline, WT/DS2/AB/R.2, 22(1996).
③ 根据统计数据表明,2003年至2014年,平均每年至少有一例WTO案例中援引GATT第20条。See PELC KRZYSZTOF J. Making and bending international rules: the design of exceptions and escape clauses in trade law[M]. Cambridge, United Kingdom: Cambridge University Press, 2016:135.
2. GATS第14条安全例外跨境数据流动限制性措施违反GATS相关规定,是否可以利用GATS第14条安全例外予以免责,需要充分考虑以下几个条件:一是序言的审查问题。由于GATS第14条将一般例外与安全例外两个条款分开规定,导致GATS第14条一般例外的序言将不适用于GATS第14条安全例外,援引安全例外所需满足的条件更为宽松。二是具体子项的审查。GATS第14条第(a)(b)款均采用“任何成员提供其认为(it considers)”的表述,援用方拥有自我判断权,决定是否存在侵害其“基本安全利益(essential security interests)”的情况④。2019年4月,在“俄罗斯货物过境案”中,专家组首次对GATT第21条安全例外作出具体解读,基于文义解释与目的解释对GATT第21条第(b)款(iii)项进行审查,并关注条款的起草过程。专家组认可成员方自行判断其“基本安全利益”的权利,同时也注意到“国家关系中的紧急情况”“基本国家安全利益”“必需的”等概念伴随时间发展而动态变化的情况[25]。从文义解释和历史解释的角度出发,除极少数事例外,一国以维护网络安全为由所采取的不符措施可能较难通过援引GATS第14条安全例外予以免责[26]。WTO争端解决机制尚未对成员方的自裁权形成有效约束,非传统安全的适用问题尚待厘清,没有确立对成员方实施限制措施“必要性”的审查权限,安全例外存在被滥用的风险[27]。一直以来,成员方对援引安全例外态度较为谨慎,一旦援引成功成为先例,其他成员方也可以就相似情形与理由予以免责,安全例外被滥用风险会急剧增长,为贸易保护主义打开阀门。面对跨境数据流动带来的诸多新问题,例如,网络空间面临的非传统安全问题是否应当设置为安全例外的具体免责事项,如何在子项中列明保护目标才可以既满足数据自由流动的目的又符合国家主权保护的需要。WTO确实以例外条款的形式提供一些有用的工具和概念帮助分析与跨境数据流动限制措施相关的政策目标,但仅依靠这些例外可能不利于国际共识的达成,在很大程度上还需要依赖专家组和上诉机构的决断[28]。
④ GATS第14条安全例外(a)与(c)款适用于跨境数据流动规制问题的可能性较小,(a)款不符措施限于“披露”,(c)款规定以履行《联合国宪章》项下的义务为前提。相比之下(b)款(iii)项更具有援引的可能性。
(二) CPTPP例外条款范式分析由于WTO数字贸易规则过时或不充分,许多国家在区域自由贸易协定中寻求合作可能,CPTPP和RCEP则是重要尝试。TPP作为第一个将跨境数据流动约束力条款纳入电子商务章节的自由贸易协定,CPTPP作为其承继者也基本保留相关条款。CPTPP试图调整国家数据主权与数据自由市场保护之间的关系,要求国家承担义务以协调跨境数据流动国内规制差异。CPTPP在第14.1条定义中,通过注释的方式明确表明回避对数字产品贸易归属于服务贸易或货物贸易的分类争论,并结合第14.2条范围和总则条款,明确排除政府信息处理与金融服务,侧重于商业交易。CPTPP第14.11条与第14.13条分别设立跨境数据自由流动条款与禁止数据本地化条款,采用“原则+例外”模式,其中例外条款主要由监管例外与合法公共政策目标例外组成。CPTPP第14.11条第1款监管例外承认各方“有自己的监管要求”,并未设置其他限制要求,也未列明何为符合自己监管要求的具体内容,给予成员方较大的自由裁量权。第14.11条第3款合法公共政策目标例外由(a)项“不以构成任何或不合理歧视或对贸易构成变相限制的方式适用”与(b)项“不对信息传输施加超出实现目标所需限度的限制”构成,两者之间用“and”联结,表明需要同时满足两项条件方可援用。其中合法公共政策目标例外中(a)项与GATS第14条一般例外中序言表述类似,(b)项与具体子项条款中“所必需”表述相似,但并没有列明实施目标的具体内容。第14.13条与第14.11条例外条款规定基本一致,确立禁止数据本地化措施的基本原则,并设置监管例外与合法公共政策例外。第14.13条在监管例外中规定每个缔约方都可就数据本地化问题有自己的监管要求,包括寻求通信的安全性和机密性要求,同时也在合法公共政策例外中提出需要进行必要性审查。
为回应个人信息保护问题,CPTPP在第14.8条作出相应规定,明确缔约方应当采取保护个人信息的法律框架,并遵循相关国际机构确定的标准,努力扩大不同体制之间的兼容性。CPTPP没有将个人信息保护问题列入跨境数据流动例外条款之中,而将其单独列出,以作为子项的具体保护目标予以列明。CPTPP在电子商务章节对跨境数据流动规制问题作出直接回应,但即使在几个有限国家间也未能对跨境数据自由流动与其他政策目标的必要平衡达成共识。一方面,CPTPP中跨境数据流动条款与禁止数据本地化条款只是笼统地强调缔约方监管目标与合法公共政策目标,并没有列明符合其所保护目标的具体情形。即使采用类似GATS第14条一般例外必要性审查的表述,并借鉴WTO的解释分析,该条款的可操作性也存在诸多问题。另一方面,由于CPTPP各方在数据保护问题上没有相同的价值观,对跨境数据流动规制目标的价值判断不同,导致对“监管目标”和“合法公共政策目标”一词无法形成统一定义,容易产生不确定性。同时,CPTPP没有对个人信息需要设置高水平的法律保护予以充分回应,而是仍以促进个人信息自由流动为其主要战略利益。例如,CPTPP第14.8条通过注释的巧妙设计,表明各缔约方可按照自己的偏好方式保护个人信息,不需要设置统一的高水平个人信息保护立法,即可满足CPTPP中规定的个人信息保护要求[29]。从整体上看,CPTPP对跨境数据流动规制作出有益尝试,并借鉴WTO例外条款的部分规定,但相关内容仍较为模糊。从某种程度而言,CPTPP对数据保护与数据流动的回应并不完备,未能提出明确的可协调经济与非经济利益的例外规则[30]。
(三) RCEP例外条款范式分析RCEP部分借鉴CPTPP跨境数据流动规则,设置电子商务独立章节,其中第12.14条与第12.15条表明禁止数据本地化与支持跨境数据自由传输的基本原则,RCEP例外条款设置与CPTPP相类似,但也存在略微差异,主要体现在以下几个方面:一是RCEP第12.14条与第12.15条中的合法公共政策目标例外由“不构成任意或不合理的歧视或变相的贸易限制”与“缔约方认为是其实现合法公共政策目标所必需”两部分构成。与CPTPP将两项条件用“and”连接相比,在结构上RCEP将两者合并。此外,RCEP增加“缔约方认为(it considers)”修饰“实现目标所必需”,并通过注释的方式确认,缔约方实施此类合法公共政策的必要性应当由实施政策的缔约方自行决定,赋予缔约方更大的自由裁量权。二是RCEP在合法公共政策目标之后,增加基本安全例外。在条文结构上,合法公共政策目标例外与基本安全例外属于RCEP第12.14条第3款或第12.15条第3款,并分属该条款的(a)项和(b)项,两者之间用“or”连接。(b)项基本安全例外规定缔约方可采取或维持“其认为(it considers)对保护其基本安全利益(essential security interests)的任何措施。其他缔约方不得对此类措施提出异议”。这意味着缔约方以保护其“基本安全利益”为由采取的任何必要措施,其他缔约方没有异议权。RCEP中“基本安全利益”的表述与GATS第14条安全例外相同,但RCEP对何为“基本安全利益”未作出解释与澄清,也没有规定类似GATS第14条安全例外中符合保护目标要求的具体条款,内容过于宽泛缺乏可操作性,处于真空状态,几乎对成员方的自裁权没有任何限制,这可能导致借由“基本安全利益”为名保护商业活动的行为无法得到控制。
RCEP面临与CPTPP同样的问题,即没有在例外条款中以列明子项的方式表明具体政策保护目标。RCEP赋予成员方更大的自裁权,承认缔约方对跨境数据流动拥有较大的规制自由,并在新增的基本安全例外中进一步肯定缔约方的规制自主权。由于“基本安全利益”具有高政治敏感性,难以裁量保护“基本安全利益”所采取的必要措施是否符合相称性原则,该条款被滥用的可能性极大。此外,在个人信息保护方面,CPTPP第14.8条第5款要求各方努力建立不同体制的兼容性机制,从监管结果的承认或通过更广泛的国际框架等方面努力,而RCEP电子商务章节第12.8条第5款只是粗略规定缔约方应当在可能的范围内合作,以保护缔约方转来的个人信息。RCEP对缔约方采取的国内数据保护措施予以充分尊重与包容,缔约方不需要对数据保护法律与政策作出大量的实质性修改,就能实现与RCEP的兼容。
三、例外条款之反思:我国跨境数据流动贸易规制的范式选择围绕例外条款三个核心悖论⑤,跨境数据流动的合法监管和保护主权干预的界定需要在个案基础上进行划定,例外条款措辞和实践显得至关重要。例外条款的灵活性功能可以使一国从容面对各种国内政治的不确定性,并对国际关系的变化作出有效反应。建立更深层次的协议需要借助例外条款赋予规则更多的灵活性,而例外条款只有受到合理的限制才能避免走向滥用或无法使用,其制度功能才可以得到充分发挥。通过前述分析表明,从RCEP、CPTPP到WTO例外条款协调数据保护与数据自由流动规制目标的可操作性逐渐增强,对缔约方自裁权的限制强度也逐渐增加。我国跨境数据流动贸易规制应当明确例外条款范式选择的内在基准,采取渐进式的方式从RECP逐渐过渡到CPTPP、WTO,从模糊、宽泛走向清晰、明确的例外条款规则设计。
⑤ 例外条款核心悖论:一是规则因不完美而受益;二是各国寻求例外条款并非基于援引困难,而是在于例外条款的限制;三是例外条款的设计不是为了处理特殊的时间本身而是为了处理常态。See PELC KRZYSZTOF J. Making and bending international rules: the design of exceptions and escape clauses in trade law[M].Cambridge, United Kingdom: Cambridge University Press, 2016:259.
(一) 内在基准:明晰利益争点,寻求制度协调国内诉求会外化为寻求国际合作的制度表达,有限的共同利益是开展国际合作的前提。例如,在立法辩论的早期,美国国内法和世贸组织协定都有关于国家安全例外范围的严肃讨论记录,美国和其他国家强烈认为需要一个国家安全例外,最终GATT第21条的通过,解决了日益增长的国内关切[31]。数据流动受到国家法律与治理结构的约束,每个国家都有符合自身价值判断、利益诉求的数据保护措施。基于国家主权平等原则,在自愿基础上达成社会契约是跨境数据流动全球治理的合法性来源。明晰利益争点有助于厘清我国国内数字法治建设的现实需要,了解我国与其他国家的规制差异,在互相尊重数据主权的前提下设置例外条款,避免因定位不清而引发以国家安全、个人信息保护为由过度行使贸易保护政策,导致例外条款制度功能受到削弱的问题。我国经历了从“参制”向“创制”的角色转变,应当积极参与跨境数据流动全球统一规则构建,在充足制度供给下寻求实现全球协调的制度效应。
1. 立足国内,明晰利益争点政治、经济、文化、社会等诸多因素直接影响行为体对跨境数据流动所持“合作or竞争”的不同立场,发展中国家与发达国家对制度的需求各有侧重。目前,跨境数据流动贸易规制的争议焦点逐渐明晰但也较为复杂。例如,数据自由流动已经成为美国寻求国际贸易规则最重要的诉求,旨在建立更开放、高标准的数字贸易规则。欧盟支持跨境数据流动,但注重个人隐私保护,维护高标准的个人信息保护规则,禁止四种限制跨境数据流动的措施⑥。即使在个人数据保护同一问题上,也存在分歧。例如,美国将个人数据视为消费者保护问题,欧盟视为人权保护问题[32]。相较于欧盟对个人隐私的关注,我国更强调以国家安全为由对跨境数据流动实施限制措施。根据《中华人民共和国网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”我国以境内存储为原则,以符合安全评估为基础实施跨境数据流动。国家因何故并于何时遵守国际法,最合理的解释是国家基于自身利益而行动[33]。尊重数据主权是国际合作的前提,以包容多元诉求为基础,应当关注不同国家对跨境数据流动规制的目标差异与多样化的价值判断,并纳入例外条款规则设计的考量范围,运用宽泛或严格灵活文本设置平衡个体利益与集体利益之间张力关系的具体条款,最终建立共享成果和共担风险的跨境数据流动贸易规制体系。
⑥ 欧盟禁止措施包括:要求适用境内计算设施处理数据;要求数据境内储存;禁止境外处理或存储数据;将使用境内计算设施或数据境内存储作为允许跨境数据流动的前提。“Joint Statement on Electronic Commerce, EU Proposal for WTO Disciplines and Commitments Relating to Electronic Commerce, Communication form the European Union”, INF/ECOM/22, 26 April 2019.
此外,应当认识到我国国内数据法治建设仍处于发展的起步阶段,需要充分关注国内数据法治建设对我国提升跨境数据流动制度话语权的重要性。2021年6月10日,我国正式通过《数据安全法》为保护跨境数据流动提供指引,但我国国内没有独立规制跨境数据流动的法律,相关规定散见于各类法律法规、部门规章等。同时,我国学界对数据权、数据与个人信息等相关概念、权属关系等基础性理论问题的探讨仍处于发展阶段,尚待厘清。例如,有学者认为个人信息与个人数据为同一物,也有学者认为个人数据和个人信息在范围、属性和存在状态等方面存在区别,数据不同于信息,以及在数据上设置怎样的权利属性才能更好地兼顾保护数据上的信息安全和实现其经济价值的双重目的[10, 34-36]。从某种程度上,我国国内对于跨境数据流动规制立场较为保守,直接导致我国参与国际规则谈判与制定的分歧和争议较大。ITIF发布报告表示,在中国放弃对国家网络主权的极端态度,并在关键的数据问题上与贸易合作伙伴达成共识之前,应当取消其在全球数字贸易规则制定活动中发挥作用的资格[37]。我国应当加强国家安全保护正当性基础理论研究,为我国伸张国内规制立场提供法理支撑。从国内法层面,加强数据领域的法学基础理论研究,完备的国内法治体系是支持我国改变对跨境数据流动保守立场的前提。
2. 寻求制度协调正如前述所言,例外条款的制度功能可以平衡规制目标差异,其目的是为了寻求制度协调效应。当前,许多国家或地区都采取各自的管制措施以满足自身公共政策要求,并保护其在全球数字市场中的竞争力。2018年3月,美国通过《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act)。该法案授予美国执法机构单方调取域外数据的权力,将管辖权从仅限于“数据存储地”转向“数据自由”标准,建立长臂管辖规则[38]。欧盟利用GDPR扩张其适用范围,赋予该条例域外适用效力以最大限度保护欧盟公民的数据权利。依据“经营场所标准”, GDPR对欧盟境外数据控制者或处理者的数据处理行为拥有管辖权,只要该行为被认定为与欧盟境内经营场所开展的业务存在“无法割裂的联系”。实践中,“经营场所标准”客观上可能引起不同法域间的法律价值冲突[39]。由于国家在数据保护法中设置域外适用的动机较为自利,例如,欧盟扩张长臂管辖能力主要是为了逆转其在互联网与信息产业中的劣势地位,争夺全球数据保护的制度话语权[40]。即使赋予数据跨境流动规制域外效力,其所能达到的效果有限,反而过度扩张易扰乱国际经贸秩序。例如,GDPR域外效力面临的最大挑战是其执法效力[41]。为协调各国国内规制差异,围绕跨境数据流动建立具有拘束力的国际规则是实现全球数据治理的未来路径。各国寻求国内法域外适用的行为反映跨境数据流动主导性多边规制体系的缺失,应当肯定例外条款在构建跨境数据流动贸易规制体系中的独特功能,充分利用例外条款促进共识性合作的达成。
(二) 外在策略:渐进式的功能转向例外条款制度功能得以达到最优状态的关键在于建立适宜的限制条件、明确且清晰的条文表述以及具有可操作性的规则设计。在跨境数据流动全球性统一规则构建过程中,需要经历从宣言性向有约束性、宽泛或模糊向具体或明确方向发展的过程。当前,推动跨境数据自由流动,促进全球数据资源的共享与优化配置,已逐渐成为各国经济发展的共识性需求。通过跨境数据流动贸易规制,提升数据跨境传输的安全与高效显得尤为重要。例外条款协调数据保护与数据流动规制目标紧张关系的制度功能,从某种程度上也是对各国国内规制差异的兼容。现阶段,各国对跨境数据流动规制的价值判断差异过于悬殊,发展中国家与发达国家“数字鸿沟”仍有不断扩大的趋势。在制度竞争思维的指引下,区域自由贸易协定不可避免地沦为数字经济实力强大的国家输出法律制度及其背后价值观的重要抓手,从而忽视数字经济实力弱小国家的利益。这将保护数字经济实力强大的国家占据数据领域的优势地位,并加剧国家间“数字鸿沟”的风险。应当积极推动跨境数据流动规制由非合作状态转向合作状态,避免各自为政的恶性制度竞争。在例外条款具体规则设置上可以暂时放弃对其具体性、明确性的要求,给予各方充足的自裁权。由于各国数字经济发展水平差距较大,也将有利于为较落后的发展中国家提供制度改革的缓冲期。例如,2020年9月8日,中国在“抓住数字机遇,共谋合作发展”国际研讨会发布的《全球数据安全倡议》一文中,指出“各国应要求企业严格遵守所在国法律,不得要求本国企业将境外产生、获取的数据存储在境内”。随后签署RCEP,其中包括与跨境数据流动相关的约束力条款。根据资料显示,我国签订的双边自由贸易协定中对数字贸易问题逐渐予以重视,并在新签署或已签署的升级协定中有所体现,虽然内容并非详尽,对跨境数据流动规制的立场也没有很明确,但仍可以看出我国回应跨境数据流动新规则的积极态度⑦。我国对于跨境数据流动规制保守态度的转变,需要一定的时间和过程。数据自由流动是未来国际数字经贸规则构建的主流趋势,例外条款如何设计将直接影响一国采取限制跨境数据流动措施的自裁权大小。
⑦ 资料来源:作者对中国商务部的中国自由贸易区服务网协定专题的整理分析, http://fta.mofcom.gov.cn/index.shtml.
WTO作为最重要的国际贸易组织,确立了一套系统化与体系化的国际贸易法律规范。WTO规则被许多学者视为国际贸易领域的“宪法”[42], 其对跨境数据流动规制具有一定的指引作用。WTO一般例外与安全例外的条文结构、用语表述以及形成的司法解释等均具有较强的借鉴意义,在RCEP和CPTPP中也能发现WTO例外条款的影子,是未来跨境数据流动贸易规制之中例外条款规则设计的发展方向。考虑到每个国家数字经济发展水平的差异,特别是发展中国家与发达国家之间的“数字鸿沟”问题,不能急于求成地对跨境数据流动例外条款设置过于严格的限制条件。在坚持国内数据法治与国际数据法治并举的前提下,应当采取渐进式的发展模式,逐步在RCEP国际合作框架基础之上,转向加入CPTPP国际规则再造,并积极推动WTO电子商务诸边谈判的“功能转向”,最终形成以WTO为核心数字贸易规则构建的新兴功能。
四、结语在数字经济蓬勃发展的时代背景之下,数据跨境流动规制成为国际贸易协定议题谈判关注的重点。无论是国际规则的调整还是制定,在讨论跨境数据流动贸易规制问题时,都应当积极回应个人隐私保护、数据自由流动、国家安全保护等利益诉求的重要关切,协调良好的数据保护与数据流动规制目标之间的紧张关系。例外条款制度功能的独特性,决定其对跨境数据流动贸易规制有着不可忽视的作用。本文研究表明:一方面,围绕例外条款制度功能,需要设置合宜的例外条款适用条件,实现跨境数据流动规制目标平衡与保护条约稳定的双重作用,避免例外条款滥用或无法使用的情形阻碍其制度功能的发挥;另一方面,通过对例外条款制度功能运作机理的分析和理解,应当充分认识到现有贸易规制体系中例外条款的优势和不足,为我国选择符合自身发展需要的例外条款范式提供参考。
| [1] |
WTO. World Trade Report 2018: The future of world trade: How digital technologies are transforming global commerce[R/OL]. (2018-05-10)[2021-06-29]. https://www.wto.org/english/res_e/publications_e/world_trade_report18_e.pdf.
|
| [2] |
MGI. Digital globalization: The new era of global flows[R/OL]. (2016-02-24)[2021-06-23]. https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Digital%20globalization%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.ashx.
|
| [3] |
彭岳. 数据本地化措施的贸易规制问题研究[J]. 环球法律评论, 2018(2): 178-192. |
| [4] |
石静霞. 数字经济背景下的WTO电子商务诸边谈判: 最新发展及焦点问题[J]. 东方法学, 2020(2): 170-184. |
| [5] |
KOREMENOS B, LIPSON C, SNIDAL D. The rational design of international institutions[J]. International Organization, 2001, 55(4): 761-799. DOI:10.1162/002081801317193592 |
| [6] |
PELC K J. Making and bending international rules: The design of exceptions and escape clauses in trade law[M]. Cambridge: Cambridge University Press, 2016.
|
| [7] |
黄宁, 李杨. "三难选择"下跨境数据流动规制的演进与成因[J]. 清华大学学报(哲学社会科学版), 2017(5): 172-182, 199. |
| [8] |
余筱兰. 个人数据处理中权益的冲突与和解[J]. 西南民族大学学报(人文社会科学版), 2022(9): 72-81. |
| [9] |
齐爱民. 拯救信息社会中的人格: 个人信息保护法总论[M]. 北京: 北京大学出版社, 2009: 77.
|
| [10] |
程啸. 论大数据时代的个人数据权利[J]. 中国社会科学, 2018(3): 102-122, 207-208. |
| [11] |
周鲠生. 国际法(上册)[M]. 武汉: 武汉大学出版社, 2007: 150.
|
| [12] |
袁银传, 王馨玥. 总体国家安全观的基本内涵、基本要求和实现路径[J]. 思想教育研究, 2023(4): 3-9. |
| [13] |
王玥. 试论网络数据本地化立法的正当性[J]. 西安交通大学学报(社会科学版), 2016(1): 54-61. |
| [14] |
吴玄. 数据主权视野下个人信息跨境规则的建构[J]. 清华法学, 2021(3): 74-91. |
| [15] |
周念利, 李金东. 俄罗斯出台的与贸易相关的数据流动限制性措施研究: 兼谈对中国的启示[J]. 国际商务研究, 2020(3): 85-96. |
| [16] |
黄东黎. 国际经济贸易制度与法律: 中国案例[M]. 北京: 社会科学文献出版社, 2020: 15-16.
|
| [17] |
RYAN P S, FALVEY S, MERCHANT R. When the cloud goes local: The global problem with data localization[J]. Computer, 2013, 46(12): 54-59. DOI:10.1109/MC.2013.402 |
| [18] |
陈寰琦, 周念利. 从USMCA看美国数字贸易规则核心诉求及与中国的分歧[J]. 国际经贸探索, 2019(6): 104-114. |
| [19] |
陈咏梅, 张姣. 跨境数据流动国际规制新发展: 困境与前路[J]. 上海对外经贸大学学报, 2017(6): 37-52. |
| [20] |
FLEUTER S. The role of digital products under the WTO: A new framework for GATT and GATS classification[J]. Chicago Journal of International Law, 2016, 17(1): 153-177. |
| [21] |
刘维. 跨境数据流动监管措施在GATS下的合规性分析[J]. 理论月刊, 2018(3): 151-158. |
| [22] |
陈卫东. WTO例外条款解读[M]. 北京: 对外经济贸易大学出版社, 2002: 207-217.
|
| [23] |
刘雪红. 世界贸易组织一般例外条款适用误区之批判[J]. 东方法学, 2018(4): 72-82. |
| [24] |
马乐. GATT一般例外条款适用的价值导向与司法逻辑[J]. 华东政法大学学报, 2015(1): 16-24. |
| [25] |
梁咏. 论国际贸易体制中的安全例外再平衡[J]. 法学, 2020(2): 142-155. |
| [26] |
黄志雄. WTO安全例外条款面临的挑战与我国的对策: 以网络安全问题为主要背景[J]. 国际经济法学刊, 2014(4): 141-156. |
| [27] |
丁丽柏, 陈喆. 论WTO对安全例外条款扩张适用的规制[J]. 厦门大学学报(哲学社会科学版), 2020(2): 127-140. |
| [28] |
MITCHELL A D, HEPBURN J. Don't fence me in: Reforming trade and investment law to better facilitate cross-border data transfer[J]. The Yale Journal of Law and Technology, 2017, 19: 182-237. |
| [29] |
洪延青. 推进"一带一路"数据跨境流动的中国方案: 以美欧范式为背景的展开[J]. 中国法律评论, 2021(2): 30-42. |
| [30] |
BURRI M. The regulation of data flows through trade agreements[J]. Georgetown Journal of International Law, 2017, 48(1): 408-448. |
| [31] |
LEE J. Commercializing national security? National security exception outer parameter under GATT Article XXI[J]. AJWH, 2018, 13: 277-310. |
| [32] |
SINGER N. Data protection laws, an ocean apart[EB/OL]. (2013-02-02)[2021-06-29]. https://www.nytimes.com/2013/02/03/technology/consumer-data-protection-laws-an-ocean-apart.html.
|
| [33] |
何志鹏. 国家本位: 现代性国际法的动力特征[J]. 当代法学, 2021(5): 110-126. |
| [34] |
王成. 个人信息民法保护的模式选择[J]. 中国社会科学, 2019(6): 124-146, 207. |
| [35] |
崔国斌. 大数据有限排他权的基础理论[J]. 法学研究, 2019(5): 3-24. |
| [36] |
申卫星. 论数据用益权[J]. 中国社会科学, 2020(11): 110-131, 207. |
| [37] |
ITIF. Why China should be disqualified from participating in WTO negotiations on digital trade rules[R/OL]. (2019-05-14)[2021-06-29]. https://www.semanticscholar.org/paper/Why-China-Should-Be-Disqualified-From-Participating-Cory/5ce81cdfdbc6dbef13aaf11440b917f821ff8759.
|
| [38] |
刘天骄. 数据主权与长臂管辖的理论分野与实践冲突[J]. 环球法律评论, 2020(2): 180-192. |
| [39] |
俞胜杰, 林燕萍. 《通用数据保护条例》域外效力的规制逻辑、实践反思与立法启示[J]. 重庆社会科学, 2020(6): 62-79. |
| [40] |
叶开儒. 数据跨境流动规制中的"长臂管辖": 对欧盟GDPR的原旨主义考察[J]. 法学评论, 2020(1): 106-117. |
| [41] |
GREZE B. The extra-territorial enforcement of the GDPR: A genuine issue and the quest for alternatives[J]. International Data Privacy Law, 2019, 9(2): 109-128. |
| [42] |
何志鹏. 国际关系的宪法之治: 理想与现实[J]. 政法论丛, 2016(1): 11-20. |