数字贸易中数据跨境流动的法律规制

doi:10.12677/DS.2023.91031

期刊菜单

数字贸易中数据跨境流动的法律规制
Legal Regulation of Cross-Border Data Flow in Digital Trade

DOI: 10.12677/DS.2023.91031, PDF, HTML, XML, 下载: 188 浏览: 372
作者: 董坤明：华东政法大学国际法学院，上海
关键词: 数字贸易；数据跨境流动；法律规制； Digital Trade； Cross-Border Data Flow； Legal Regulation

摘要: 数字技术的日新月异影响着人类生活的方方面面，其中的数字贸易成为经济增长的重要动力之一，其中数据跨境流动作为数字贸易的关键环节却未形成统一的国际法规则。数据跨境流动的多维度属性决定了其规制的难度，其中成形于上世纪的多边贸易规则难以适应数字贸易的发展，但新近产生的区域贸易规则借鉴多边贸易规则中的“原则 + 例外”规制模式，在弥合数字鸿沟、形成统一数据跨境流动规则中有着明显优势。

Abstract: The rapid development of digital technology affects all aspects of human life. Among them, digital trade has become one of the important driving forces of econom-ic growth, and the cross-border flow of data, as the key link of digital trade, has not formed a unified international law rule. The multi-dimensional nature of cross-border data flow determines the dif-ficulty of its regulation. Among them, the multilateral trade rules formed in the last century are dif-ficult to adapt to the development of digital trade. However, the newly emerging regional trade rules have obvious advantages in bridging the digital divide and forming unified rules for cross-border data flow by drawing lessons from the “principle + exception” regulation mode in mul-tilateral trade rules.

文章引用：董坤明. 数字贸易中数据跨境流动的法律规制[J]. 争议解决, 2023, 9(1): 219-225. https://doi.org/10.12677/DS.2023.91031

1. 引言

数字贸易的出现主要基于互联网、大数据、云计算、人工智能、区块链等信息通信技术加速创新，伴随信息技术日益融入经济社会发展各领域全过程，催生出大量线上数字服务活动。跨境数据流动成为驱动数字经济增长的主要力量 [1]。但受限于各国数字经济发展程度的差异，国际层面尚未就数据跨境流动的法律规制问题形成统一的解决方案。

2. 数据跨境流动的多价值维度及多层次规制模式

数据是信息的载体，在数字经济发展、个人隐私保护、国家安全保障等方面具有重要意义，其多价值属性决定了在规制数据跨境流动时不同国家会有不同规制模式。

2.1. 经济价值优先的自由流动模式

继土地、劳动力、资本、技术之外，数据成为第五大生产要素。数据流动作为数字经济的关键环节，其规模在数字经济迅速发展中而大幅增长。据世界银行2021年研究显示，近年来全球数据流动量呈爆发式，近十年增长近八倍。数据流动不仅是信息的交换，而且还会创造巨大的经济价值，据麦肯锡预测，数据流动量每增加10%，将带动GDP增长0.2%。预计到2025年，全球数据流动对经济增长的贡献将达到11万亿美元。作为数字经济的重要环节，跨境数据流动成为驱动数字经济增长的重要力量。

美国作为科技最发达的国家，在数字领域拥有先进的技术、卓越的人才以及丰富的经验，故其在数字贸易领域一直主张降低数字贸易壁垒促进数字贸易发展的自由贸易理念。美国在上世纪末，就意识到数据跨境流动在数字贸易领域的重要地位，主张“最大可能的自由流动”，以保障“各国的监管差异不会成为实质的贸易壁垒” [2]。美国采用由小及大的模式推广其数据自由流动理念，即先在双边自贸协定中推广该理念，后逐渐扩大至区域乃至多边自贸协定中，通过推动数据自由流动，促进数字经济的发展进而实现美国利益最大化。

例如，2012年生效的《美韩自由贸易协定》¹虽然只是在其第15.8条中首次设置了“信息自由流动”的原则条款，但缺乏相关的实施细则也就导致该条款难以实施且缺乏约束力。但该条款重申了美国坚持数据跨境自由流动的立场，并为后续自贸协定中该领域的规制提供了样板。

2.2. 隐私保护优先的保障人权的规制模式

数据中包含着各种类型的信息，其中个人信息因在流动中就会涉及隐私保护、人权等问题，故各国在规制数据跨境流动时会重点关注隐私和基本的保障问题。基于不同的隐私保护理念、立法政策和司法实践，各国对隐私权、人权立法态度存在的显著差异，成为限制数据跨境自由流动的重要障碍之一。

不同于美国基于技术实力而选择的数据自由流动立场，欧盟在该问题的立场则相对保守，因个人隐私在欧盟会被高度重视乃至被视为基本人权之一。采取欧盟内自由流动，欧盟外附条件流动的人权优先规制模式。

《数据保护指令》(Data Protection Directive, DPD)，是欧盟在1995年意识到数据保护重要性后制定通过的法令。欧盟要求成员国将DPD转化为国内法，并且必须设立对数据跨境流动进行事前审查和批准的监管机构，以统一欧盟内部监管标准。在此之后，欧盟便一直奉行“内外有别，内松外严”的数据流动原则，并不断强化其欧盟内数据保护水准 [3]。2018年5月25日，在欧盟生效的《通用数据保护条例》(General Data Protection Regulation, GDPR)取代DPD，成为欧盟数据规制的最新成果。但是GDPR的出台未改变欧盟对数据跨境流动规制的保护主义，并且进一步提高了数据流向欧盟外的门槛，如第44条规定“数据控制者不得将数据转移至未经认定的第三国或者国际组织”第45条规定“对第三国与国际组织的资质认定标准认定后，应进行周期性查。” [4] GDPR相较于DPD对个信息保护提供了更加完备而详实的保障，从另一个角度来看GDPR也限制了数据向欧盟外的流动。由于GDPR严苛复杂的认定标准和认定程序，至今世界范围内仅有14个国家和地区获得欧盟“非缔约国数据流动充分性认证” [5]。

2.3. 安全优先的规制模式

金融、卫生健康、道路等数据可能会影响该国的公共秩序及国家安全，该问题也成为发展中国家在推动数字经济发展时的重要关切，针对此类数据一般采取本地储存、或者附条件流动的规制措施。数据的安全公共秩序、国家安全成为国家规制数据跨境流动的重要衡量因素。

发展中国家在信息技术方面无论是技术、人才还是经验，均与发达国家存在加大差距。发展中国家数字经济发展缓慢，各项法律制度不完善，导致数据跨境流动中其风险抵抗能力较差，因而不约而同的都采取了安全优先的规制模式以保障本国数据安全及国家安全。

我国虽是最大的发展中国家，但数字经济大而不强、大而不精，信息技术、数字技术等关键技术与欧美发达国家仍存在显著差距，因而在制订数据跨境流动的相关法律、法规时，以数据安全、国家安全为原则严格规范数据跨境流动。如我国《个人信息保护法》就对个人信息出境做出了严格的限制，要经过安全评估或安全认证或订立标准合同才可以向境外提供个人信息²。可见我国对个人信息跨境流动制定了严格的标准，以保障在个人信息在流动中的安全性，不会损害个人及国家安全。

3. WTO对数据跨境流动的规制及最新进展

世界贸易组织(World Trade Organization, WTO)的法律文件几乎涉及了国际贸易法的所有领域，但其主要形成于三十年多年前的乌拉圭回合谈判，由于当时数字技术、数字贸易均尚处于萌芽阶段，WTO也未能预见到今天数字贸易的蓬勃发展。虽然1998年WTO就意识到了数字贸易的发展势头，并设立电子商务(E-commerce)工作组³，起草、谈判该领域的相关规则，但经过二十多年发展，至今尚未取得理想成果。

3.1. GATS对数据跨境流动的规制

通常而言，数字贸易有别于传统实体货物交易通过交付实体货物完成贸易，但随着数字技术的飞速发展，二者的边界不再那么清晰。1994年关税与贸易总协定(General Agreement on Tariffs and Trade 1994, GATT1994)或《信息技术协定》(Information Technology Agreement, ITA)的适用对象是“货物”，因数字贸易与传统实体货物的边界趋于模糊，故在数据跨境流动领域适用GATT和ITA就会受限。但服务贸易总协定(General Agreement on Trade in Services, GATS)将服务界定为跨境提供、境外消费、商业存在、自然人流动四种类型，其中“跨境提供”是指服务提供者在一成员的领土内向另一成员领土内的消费者提供服务，该模式下通过数据“跨越国界”以达到跨境提供服务的效果，其中数据收集国和数据处理国并不相同，与数本文中的数据跨境流动较为接近，故而可以借鉴GATS中的跨境提供服务的贸易规则来规制数字贸易中的数据跨境流动。

3.1.1. 相关条款

GATS中计算机和服务相关服务类别中，就包含有数据处理服务。因制定GATS时，计算机和相关服务仍处于起步阶段，成员方对此规制较少。作为GATS能否适用于数据跨境流动重要前提的“与计算机有关的数据处理服务”，在各成员方中存在较大分歧。故在实践中，不想受GATS拘束的WTO成员方，会“耍小聪明”来绕开相关条款，有的会通过对服务类别的解释的方法将数据处理服务“摘出”GATS适用范围。如欧盟将其要限制的服务归于视听服务，因欧盟没有在视听服务中作任何市场准入的具体承诺，故欧盟可采取任何限制措施以达到规避目的。

3.1.2. 例外条款

假若数字贸易被划分至服务贸易的子项下而受到GATS规制，那么GATS中例外条款设计就格外重要。具体而言，GATS在制定之初就意识到数据隐私性的重要性，比如其第14条一般例外条款中，允许成员国基于特定原因、情形、领域，可以采取独立自主的规制措施，哪怕该措施违反GATS条款。GATS第14条规定“本协议中的任何内容均不得解释为组织任何成员采取或执行以下措施：在处理和传播个人数据方面保护个人隐私，并保护个人记录和账户的机密性”这表明尽管成员哪怕违背了GATS条款，但若符合第14条规定的情形，则该“违约”行为仍被认为是允许的，从中可以看出隐私保护的重要性优先于贸易自由。易言之，GATS放松了成员方根据其现实情况规制隐私和数据流动的权利，但GATS仍保留对例外条款的审查权——对相关措施的必要性审查，既保障了成员方例外情形自主规制的权利，也确保成员方的例外条款符合GATS规则。另一方面，GATS第14条出发点及要以是保护隐私和数据的安全性，并非要求统一规制标准。

3.2. WTO制定数据跨境流动方面的进展

2019年1月，为更快地顺应经济数字化的发展趋势，加快推进数字贸易国际规则的形成，76个WTO成员方在WTO框架下共同发起“电子商务诸边谈判”。谈判中对数据跨境流动相关议题展开了深入讨论，但因数字鸿沟以及经济水平的差异化，意味着谈判成员在该领域有着难以弥合的分歧，这一混乱局面延缓了数字贸易国际规则的统一，并限制了数据跨境自由流动。

美国在互联网和数字技术领域的巨大领先优势，意图在通过坚持数据自由流动，促进数字贸易的发展并从中获益。因此美国格外关注数字贸易壁垒的相关措施，如限制数据流动和数据本地化措施。美国在谈判中要求成员方应禁止数据本地化，最大限度减少数据跨境自由流动的障碍，并提出数据本地化不应成为在该国从事业务的准入条件的意见⁴。

欧盟在谈判中仍坚持了其人权优先的规制理念，并细化了禁止成员限制数据流动的四种方式：1) 要求使用本国计算设施处理数据；2) 要求数据存储和处理本地化；3) 禁止在其他成员境内存储或处理数据；4) 将使用本国计算设施或数据本地化作为允许数据流动的条件等。但是其在提案中仍保留了成员方根据自身情形规制数据流动的权利，以保护隐私和数据的安全性⁵。

我国在提案中保留安全优先的规制原则，主张数据跨境流动应以隐私保护、数据安全和国家安全为前提。同时从问题本身的复杂性出发，提案中建议各成员根据自身实际情况进行多样化的摸索，以寻找兼顾安全和效率的规制之道。

4. 数据跨境流动贸易法规制新模式

WTO框架下各成员方就数据跨境流动因立场态度差异、数字产业水平层次不齐，一时难以形成统一、高效的国际标准和规则。于是各成员转换思路寻求先在区域自由贸易协定试点，后续通过逐步扩大适用范围，进而达到形成统一、高效、便捷的数字贸易规则。其中于2018年12月生效的《全面与进步夸太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP)，因CPTPP脱胎于《跨太平洋伙伴关系协定》(Trans-Pacific Partnership Agreement, TPP)，故从某种意义上讲，CPTPP仍可以代表着美国在数字贸易领域的最新立场及成果。

2022年1月1日生效的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership, RCEP)涵盖人口超过35亿，占全球47.4%，国内生产总值占全球32.2%，外贸总额占全球29.1%，是全球涵盖人口最多、最具潜力的自贸区谈判 [6]。两个自贸协定制定时意识到数据跨境流动的复杂性，为尽可能使协定包含更多成员方协定在制定时均保留了成员方一定情况下采取措施限制数据流动的权利，即“原则 + 例外”的数据跨境流动规制模式，其中数据跨境流动是原则性要求，例外包括公共政策例外和监管要求例外等。

4.1. CPTPP规制模式

CPTPP第14.11.2条⁶中明确“每一缔约方应当允许以电子方式进行跨境信息传输，包括个人信息”意味着该条款确立数据跨境自由流动的原则。同时CPTPP针对构成数字贸易壁垒相关措施也加以限制，如限制数据本地化、禁止保护本地技术和阻止外国数字服务等。

同时，CPTPP也给予成员方部分规制权，即“监管要求”例外和“合法公共政策目标”例外。实际两个例外条款是一枚硬币的两面，“合法公共政策目标”例外是“监管要求”的具体体现。CPTPP第14.11.1条⁷和第14.13.1条⁸分别对“监管要求”例外和“公共政策目标”例外内容作出了界定。这两条例外条款基于国家主权原则以及对国家规制权的尊重，允许缔约方根据自身实际制定适合本国的数据流动及计算机设施规制规则。

4.2. RCEP规制模式

RCEP第12章第15条第二项规定“一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。”可以看出RCEP确立了对商业行为目的数据可以跨境流动原则但是考虑到RCEP成员数字经济水平的差异，设有例外条款以满足成员监管需求。

在例外条款的设置方面，RCEP除采取与CPTPP类似“公共政策目标例外”之外，还设置有“安全例外”即“该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议”。从“安全例外”条款的设置就可看出缔约方对自身安全的重视。

两个自贸协定均回应了数字贸易中数据跨境流动问题的关切，均鼓励数据跨境自由流动，但会回应成员间制度、监管及发展水平等方面的差异，也都参照GATS设置例外条款，以“求同存异”推动数字贸易国际规则的形成。

5. 中国应因

中国主动加入RCEP后，又正式对外宣布，将积极推进加入CPTPP和DEAP，坚定不移推动高水平开放 [7]。目前尚出于数字贸易规则形成的窗口期，我国应积极抓住这个机遇期坚持多边主义，积极参与WTO框架下的数字贸易诸边谈判，推动多边贸易规则的形成。

5.1. 统筹安全与发展

我国在制定数据跨境流动规则时，要加强顶层设计，贯彻落实总体国家安全观，既要处理好效率与安全之间的关系，还要对标国际高标准规则。中国拥有海量的数据资源，但不能忽略与欧美国家的技术差距，因而在制定数据跨境流动规则时要尊重中国发展的实际情况，既不能照搬美国自由流动的规制模式，也不能完全移植欧盟以基本人权为基础的规制模式。在数字贸易规则形成期这一关键节点，我国对内要完善数据跨境流动机制、体制，为参与多边数字贸易规则的制定奠定基础。

5.2. 完善相关立法

我国虽相继出台了《个人信息保护法》、《网络安全法》、《数据安全法》等相关法律法规，但存在较多原则性立法规定而又缺乏实施细则，故在实施时存在较多障碍。我国正在逐步完善数据跨境流动规制框架，细化数据治理制度中要不断完善相关制度，在实践中探寻适合我国实际情况的数据治理道路，这样才能为数据跨境流动国际规则的形成提出中国方案、贡献中国智慧。如关于个人信息保护的认证制度仍有待完善，仅有原则性规定而缺乏可执行性，仍有许多问题急需解决，如“谁来认证、如何认证”等问题仍需配套制度进行明确。

5.3. 自贸区试点对接国际规则

我国应充分利用好自由区、自贸港先试先行的功能，可以在上海临港新片区、海南自贸港主动对接高标准数据流动规则，如CPTPP和《数字经济伙伴关系协定》(Digital Economy Partnership Agreement, DEPA)等自贸协定中数据流动规则。我国可以充分利用试验区“境内关外”的特点，在试验区先试先行对接国际规则来推动数据自由流动试点，并着力围绕制约数据自由流动的难点、障碍攻关，减少乃至清除数字贸易壁垒及障碍，实现数字贸易自由化、便利化试点工作。通过试验区的试点探索国际规则对我国的适用性，为国际规则在更大范围推广积累政策经验，推动我国数字贸易发展。

5.4. 积极参与WTO谈判

以世界贸易组织为核心的多边贸易体制是国际贸易的基石。在WTO的多边磋商机制下，我国应积极借鉴CPTPP等区域自贸协定中“原则 + 例外”的数据流动规制模式。就目前参与WTO下电子商务诸边谈判进展而言，成员方基本达成支持数据自由跨境流动和禁止数据本地化的共识。如RCEP和CPTPP，在该领域均采取了“原则 + 例外”的数据流动规制模式，给予成员方在特定情形下的规制自由。同时如可以在例外条款的安全保障下，支持数据自由流动和禁止数据本地化条款 [8]。故而在例外条款的设计上尤为关键。但RCEP和CPTPP例外条款并未明确其中“正当性”和“必要性”含义，故而在电子商务诸边谈判中，可能会进一步明确“必要性”的内涵并设置高水平的规则标准。

NOTES

¹该协定于2007年签署，2012年3月生效。

²参见《中华人民共和国个人信息保护法》第三十八条规定。

³See WTO “Work Programme on Electronic Commerce”, WT/l/247, Sept. 30, 1998.

⁴Supra note 20, Article 9 (Cross-Border Transfer of Information by Electronic Means).

⁵Supra note 24, paras. 2.7-2.8.

⁶CPTPP第14.11.2条：“当以电子方式进行跨境信息传输的活动是为了涵盖人的商业行为时，每一缔约方应当允许以电子方式进行跨境信息传输，包括个人信息。”

⁷CPTPP第14.11.1条：“缔约方承认，每一缔约方可就以电子方式进行的信息传输规定自己的监管要求。”

⁸CPTPP第14.13.1条：“缔约方承认，每一缔约方可就计算设施的使用制定自己的监管要求，包括为寻求确保通信安全和保密的要求。”

参考文献

[1]	中国信息通信研究院《全球数字经贸规则年度观察报告》(2022年) [Z].
[2]	White House Office (1997) A Frame Work for Global Electronic Commerce. White House, Washington, D.C., 1-30.
[3]	Bolognini, L. and Bistolf, C. (2016) Pseudonymization and Impacts of Big (Personal/Anonymous) Data Processing in the Transition from the Directive 95/46/EC to the New EU General Data Protection Regulation. Computer Law & Security Review: The International Journal of Technology Law and Practice, 33, 171-181. https://doi.org/10.1016/j.clsr.2016.11.002
[4]	朱雪忠, 代志在. 总体国家安全观视域下《数据安全法》的价值与体系定位[J]. 电子政务, 2020(8): 82-92.
[5]	对于欧盟委员会的充分性决定, 欧盟议会和欧盟理事会随时可基于其越权实施GDPR的理由, 要求欧盟委员会修改或撤回该“充分性决定”. 截至2022年12月, 欧盟委员会对安道尔、阿根廷、加拿大(限于商业机构)、以色列、日本、新西兰、韩国、瑞士、英国、乌拉圭、法罗群岛、根西岛、马恩岛、泽西岛等14个国家和领地做出了充分性决定[EB/OL]. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_eN, 2022-12-03.
[6]	《区域全面经济伙伴关系协定》第二十七轮谈判为北京部长会议做好准备[EB/OL]. http://finance.people.com.cn/n1/2019/0801/c1004-31269727.html, 2022-11-25.
[7]	习近平: 《让开放的春风温暖世界》在第四届中国国际进口博览会开幕式上的主旨演讲[EB/OL]. http://www.mofcom.gov.cn/article/syxwfb/202111/20211103214590.shtml, 2021-11-04.
[8]	许多奇. 治理跨境数据流动的贸易规则体系构建[J]. 行政法学研究, 2022(4): 50-60.

为你推荐

友情链接