1. 问题的提出

自WTO成立以后，世界各国之间的货物贸易、服务贸易以及投资往来愈来愈频繁。随着上世纪末互联网技术的蓬勃生长，国际贸易衍生出了电子商务(e-commerce)的贸易形式。现今它不仅仅成为全世界越来越多的贸易主体采取的贸易形式，而且也是WTO所研究的重要命题。WTO电子商务工作方案(The Work Programme on Electronic Commerce)将电子商务定义为“通过电子形式生产、分发、经销、出售或交付商品和服务” [1] 。WTO电子商务工作方案的定义较为广泛，但总体来看，数字贸易广义上可被理解为“利用数字业务展开业务”，狭义上可被理解为“数字化产品贸易” [2] 。本文论述的跨境数字贸易是围绕数据而言，故笔者在此将数字贸易定义为：“以跨境数据流动的形式来提供商品或服务的贸易。”

在数字贸易过程中，跨境数据的监管是非常重要的问题。以Clear Correct Operating案为例，在该案中，被申请人Clear Correct Operating公司通过数字扫描方式重建病人原生齿列分布的数字模型，并将该数据通过网络传送给巴基斯坦分公司，巴基斯坦分公司进行齿列调整模拟并建构各矫正阶段的病人齿列分布数字模型后，再将此数字模型资料回传给美国公司，Clear Correct Operating公司依据巴基斯坦分公司发回的资料，利用3D打印方式来建立各矫正阶段的病患齿列分布模型，并据此设计制作出供病人配戴的齿列矫正牙箍。Align Technology公司认为该网络传送的数据属于美国《1930年关税法》第337条所规定的“articles”，故Clear Correct Operating公司侵犯了他们的知识产权。该公司于2012年向美国国际贸易委员会(以下简称“ITC”)提起337调查申请，ITC裁决发布禁令。2015年11月，联邦巡回上诉法院判决推翻了ITC的裁决，上诉法院认为“articles”应当解释为实体，因此网络传送的数据不属于“articles”。2016年3月，联邦巡回上诉法院维持了对Clear Correct Operating，LLC v. Int’l Trade Comm’n案的判决¹。如上案件，该跨境数据的识别使得其不适用美国《1930年关税法》，相应的结果是没有侵犯对方的知识产权。

但是包括识别在内的跨境数据的监管措施并非完全由各国自主决定，不同国家在制定法律时须遵守国际贸易法形成的成员各方义务的框架。以WTO协定为例，对于跨境数据流动的法律规制，成员方除了需要遵守关税及贸易总协定(以下简称“GATT”)以及服务总贸易协定(以下简称“GATS”)下的义务外，可能还需要注意到与贸易有关的知识产权协定(以下简称“TRIPs”)下的义务。除此之外，有些国家对跨境数据流动的监管措施还需要遵循其所加入的各区域贸易协定、自由贸易协定的规定。

对跨境数据流动的监管措施并不能无限放大，这样势必会影响到数据流动的效率和速度，继而影响到全球电子商务或数字贸易的发展。尤其是近年来，跨境数据的流动逐渐成为了国际电子商务交易的核心，跨境数据本身就被打上了贸易的烙印，最为典型的例子就是“应用程序经济”(App Economy)。所谓“应用程序经济”就是指通过应用程序所产生的经济，它非常活跃且不断发展，政策制定者都想最大化的激发其潜力 [3] 。其涵盖并改变了包括国际货币移转、运输、旅游、旅票购买、娱乐等等多种传统的贸易领域。这种经济是通过访问基于云的分布式数据处理促进数据移动来运行的。换言之，“应用程序经济”高度依赖于数据的流动，数据流动越自由就越有利于其发展。

目前全世界范围内有关数据流动管控的规定不断涌现，并且内容愈发细致复杂，要求数据流动自由化在跨国企业间的呼声越来越大。本文将在分析数据流动监管的各种措施和多边贸易协定义务的基础上，提出协调二者的建议。

2. 跨境数据流动的监管措施

欧盟对跨境数据流动的监管经历了一个漫长且持续发展的过程。以个人数据跨境流动为例，欧盟对个人数据跨境流动的保护的法规主要集中在1981年欧洲理事会的《与个人数据自动化处理有关的个人保护公约》(以下简称《公约》)、1995年的《个人数据保护指令》(以下简称《指令》)以及2016年的《通用数据保护条例》(以下简称“GDPR”)当中 [4] 。《公约》是欧洲第一个针对跨境数据流动进行规制的区域性法律文件，其制定初衷是为了克服各国国内立法所造成的人为流动障碍，鼓励数据在各成员国间流动共享，以实现市场人员、货物、劳务、货币的自由流通。但是考虑到跨境数据面临的数据未经授权的收集、访问、适用、披露、篡改等潜在威胁，欧盟1995年发布了《指令》，该指令建立了较高的数据保护标准。《指令》第25条第1款规定：“成员国应当规定，只有在服从适用该指令的本国立法没有偏见的，才可以将正在处理个人数据或者转移后在处理的数据向第三国转移，促在质疑的第三国应当确保充分的保护水平(adequate level of protection)”²。25条第2款给出了要达成“充分保护原则”所考虑的因素。随着大数据、云计算、智能终端等等新兴技术对个人数据保护的冲击，一部新的个人数据保护的统一立法应运而生，GDPR除了继承了《指令》的“充分保护原则”外，最大的改变就在于其管辖原则从囿于传统的属地管辖原则扩张到了“影响主义原则”，具体而言，其现在不仅对在欧盟境内处理个人数据的行为具有适用效力，而且向欧盟公民提供服务或在欧盟市场内经营的境外公司都有管辖权 [5] 。GDPR是目前国际上对个人数据保护水平最高的数据保护规则。

另外，对于欧盟而言，一些国家可能处于跨境数据流通的“白名单”。以美国为例，美国先后和欧盟签订了“安全港”协议(Safe Harbor)以及“隐私盾”协议(Privacy Shield)，只要美国的跨国互联网公司遵守了协议就能使其符合欧盟的数据流动规制，从而使得数据自由跨境流动。2000年欧美签订的“安全港”协议是一种自律监管体系，其规定了个人数据隐私安全的基本准则，公司可以自愿加入及遵守该协议，以符合“充分保护原则”，但它存在一些漏洞。2016年欧美签订“隐私盾”协议，虽然该协议相较于“安全港”协议存在一定的进步，但是仍未解决之前协议的关键问题。这两个协议在Schrems I案件以及Schrems II案件中分别被认定为无效 [6] 。欧盟在对待跨境数据上的态度反复，它一直企图平衡自由和监管的关系，其根本目的就是为了给欧盟互联网企业提供产业保护和发展空间。为了让欧洲的互联网企业在欧洲市场中能和跨国互联网企业角力，欧盟理事会又于近期批准了《数字市场法案》和《数字服务法案》，并且而且还积极推动《数据法案》的立法。

加拿大在跨境数据流动的管控上比较放松，其《个人信息保护和电子文件法》采取了的“问责制”原则。具体来说，其原则上允许数据跨境流动，但要求数据控制者确保个人数据跨境传输过程中的安全 [7] 。这种原则其实是一种事后追责制，它假设数据控制者会自觉遵守个人数据保护原则，允许数据自由流动，只有当数据控制者违反义务后才追责。

我国采取了诸如对外国网站限制访问的数据消费禁止和限制以及数据产生的本地限制等措施来管控数据，换句话说，我国对于数据的流动存在很严格的事前审查制度。我国于2021年相继出台了《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》来进一步确保跨境数据流动的合规性。

3. 贸易条约对数据及数据流动的规定

3.1. WTO规则下的数据流动

在WTO框架下，GATT适用于货物贸易，GATS适用于服务贸易，而TRIPs则是规制与知识产权有关的贸易。如前所述，数据流动的规制有可能被认为同时存在于GATT、GATS、TRIPs当中，在上文所提到的Clear Correct Operating案中也可以看出该公司为病人制造牙箍的整个过程涉及到了货物、服务、知识产权三者。因此新兴的3D打印技术很可能会使得贸易过程存在受这三者同时管制的情况，但是事实上却只能以一个协定来规制，换句话说，以3D打印作为媒介产生的产品适用规定的认定会非常复杂。考虑到在这我们仅探讨数据流动的自由化以及监管问题，并不涉及到数据本身的知识产权问题，故我们研究的对象主要是位于GATT和GATS中。

数据密集型产品是属于GATT规制还是GATS规制存在一些争议。有学者认为数据密集型产品虽然本身可能并不涉及到“实体”的产品交易(其通过硬件载体提供信息服务支持以及持续的数字更新都超越了数字贸易的本质，更倾向于服务贸易类型)，但是使用者使用数据密集型产品的前提就是拥有相应的硬件载体，该硬件显然当属于GATT规制，而且WTO考虑到该硬件具备的特殊性，在GATT的安排下，为数字贸易所涉及的硬件产品提供了较为便利的条件，一方面确定了相关产品的低关税，另一方面促进了大量的相关贸易，为信息科技在全球范围内的普遍发展提供了基本的硬件保障 [8] 。笔者赞成这种观点，数据密集型产品本身应当由GATS进行管制，WTO成员国的本土化措施也应当符合GATS下的成员国义务。但是，如果数据是以拷贝的形式被储存在光盘中，再通过光盘进行跨境贸易，它是否仍然属于GATS规制？针对这个问题，有国外学者认为，就目前的情况而言，这种流动模式存在数据被物理化甚至以物理形式交付的过程，相较于“服务”，学者认为它更倾向于“货物”，因此当然属于GATT规制的范围 [9] 。在“中美出版物和视听产品案”中，中国方认为其管理体系下的“电影”和“用于出版的视听产品”进口贸易的措施仅涉及电影和视听产品的“内容进口”，因而是影响服务贸易而非影响货物贸易的措施，从而不受贸易权承诺的规制 [10] 。但是该观点被专家组和上诉机构驳回。笔者认为，上述跨境数据流动模式具有很强的研究价值，但并非我们本文所探讨的主要范畴，它并不是完全依托电子形式和互联网进行传输的，而且针对这种流动模式存在的不同讨论也恰恰说明目前WTO框架存在规定混乱的问题。

数据及其流动作为一项服务一般通过GATS进行规制，GATS对数据有关的服务的规定仍然停留在许久之前。GATS将“服务贸易”分为四种模式，分别是跨境提供、境外消费、商业存在和自然人存在。但是这种分类实际上并不能满足跨境数据流动的需要，因为GATS本身并无关于跨境服务供应模式分类问题的强制性规定，也没有就如何分类服务或如何在WTO成员承诺表中描述行业提供指导。出于此，GATS依赖于《服务贸易初步承诺的安排：解释性说明》(以下简称“W/164”)和《服务部门分类表》(以下简称“W/120”)进行分类定性，W/120规定了12个服务大类，共160项服务。按照这种分类模型，一旦某种数据或者数据流动被分类为服务，成员国就会依据GATS规定的义务来调整其本土措施来保障它的自由流动，只有成员国存在GATS第14条所规定的一般性例外和国家安全例外才能对服务贸易做出限制。此时如果未将某项“数据服务”涵盖在内，那么成员国针对这项“数据服务”就可以不服从GATS规定的义务条款，监管权将无限放大。也是出于这个原因，专家组在“美国赌博案”中认为，通过电子方式提供服务，也应当纳入GATS跨境服务项下。以及上文提到的“中美出版物和视听产品案”中，上诉机构认为，经销既可以包括实物交付也可以包括在线交付(除非另有说明)，并加强了GATS规定的技术中立立场，上诉机构还认为，如果WTO成员未作出明确的排除，则其所做的具体承诺延伸至GATS提供的所有服务方式(也就是可以延伸至电子方式提供的服务) [11] 。这也表明，GATS及相关文件的服务分类系统在不能满足实际需求时，可以通过案例来继续发展新的解释或者解读。然而令人遗憾的是，由于目前WTO争端解决机制上诉机构陷入停摆状态，该方式存在一定的缺陷。

3.2. 其他多边贸易规则下的数据流动

3.2.1. RCEP下的规则

RCEP中规定的数字贸易主要集中在第12章“电子商务”部分，但在第11章“知识产权”、第8章“服务贸易”以及其附件中也有所体现。与WTO相比较，虽然RCEP也规定了“服务贸易”章节，但其与WTO框架下的规则不尽相同，RCEP将电子商务作为一个单独章节进行规定。RCEP第8章的附件1“金融服务”的第9条“信息转移与信息处理”规定了专门的监管要求来平衡跨境金融数据流动自由和监管之间的关系。在第12章“电子商务”的第4节“促进跨境电子商务”的第14条“计算设施的位置”将要求数据本土化(即将计算设施置于接受服务国境内)作为一项例外，将其自由流动作为一项原则。但是第15条“通过电子方式跨境传输信息”将“商业数据”的自由流动作为一项原则，将对其监管作为一项例外。以上做法保障了商业数据流动的效率，而且也对特定数据的流动做出了特殊规定，相较于WTO规则要更为先进。RCEP规定缔约方可以采取保护其安全利益的任何措施或者实现其合法公共利益的必要措施来阻止数据跨境流动，虽然有学者认为这样做可以确保国家的基本安全 [12] ，但是笔者认为这种规定较为宽泛，后续RCEP应当继续细化规则并且在之后的贸易案件中做出一些解读，以避免滥用例外过于强化监管权而忽视了跨境数据的自由流动。

3.2.2. CPTPP下的规则

CPTPP与RCEP的规定非常类似，也设专章规定了电子商务，但是相较于RCEP要更加全面，规定更为具体。其14.11条“通过电子方式跨境传输信息”将“业务数据”自由流动作为原则，将监管要求作为例外，14.13条“计算设施的位置”将计算设施设置在接受服务缔约国境内作为例外。它还规定了RCEP没有规定的“源代码”、“非应邀商务电子信息”等等。CPTPP的监管前提要求只有“合法公共政策目标”，有学者认为这种表述使得CPTPP的签署者有更多的内部监管自主权，但这也可能导致这种监管行为的滥用和不确定性 [8] 。

3.2.3. 结语

WTO框架下的对于数据跨境流通的相关规定还是由1995年的乌拉圭回合中达成的GATS进行规制，谁都无法预料到20多年后的今天电子商务会如此发达，跨境数据的流动会如此频繁。近年来越来越多区域贸易协定的出现虽然限制了WTO发挥的作用，但是这些区域贸易协定文本确实要比WTO下的法律框架更为先进，尤其在跨境数据流动的监管这方面。为此，要突破WTO所面临的问题，或许可以以这些区域贸易协定相关条款为蓝本进行更新。

4. 数据自由还是数据监管：如何协调二者关系？

在国际法层面，以WTO目前的法律框架为例，正如上所述，对于跨境数据的规制上现在的GATS及相关文件的分类系统过于陈旧亟需更新，且GATS的例外条款也会无节制的放大各成员国的监管权，为了使得GATS在今后继续发挥其应有的作用，我们至少要达成更新GATS及相关文件成员国之间的“最小共识”。现在WTO所做出的努力包括但不限于持续进行的有关电子商务问题商讨和多边谈判工作。事实上自1998年电子商务工作方案成立以来各成员国就已经达成了一系列的成果，例如暂时暂停征收电子传输的关税，该项共识已经在今年在瑞士日内瓦召开的第12届部长级会议被延长至2023年下一届部长会议举办之时³。还有一些“非正式文件”(non-papers)虽然由于缺乏谈判授权而没有法律效力，但是在一定程度上也体现了国家的态度。有学者列出了2016年之后各成员国在“非正式文件中”对待数据自由流动、数据的本土措施以及其他相关条款的态度，例如欧盟、新加坡、加拿大等成员方虽然支持数据的自由流动但是存在合法公共政策之例外，同意在基于现存WTO承诺下采取处理各种本土化形式的措施但是存在合法公共政策之例外，并且还认可相关条款建立于现存WTO承诺之上而非创造新的规则 [9] 。除此之外，GATS及相关文件分类规则也在与时俱进，例如上文提到的W/120，如果需要进一步定义部门分类，应当遵循联合国《核心产品分类》(以下简称“CPC”)的分类标准或者其他国际公认的分类标准。目前该CPC已经于2015年更新到2.1版本，有学者认为2.1版本已经能很好地契合跨国数据流动问题 [9] ，也有学者认为该新版分类系统仍未能适应科技的快速发展 [2] 。

在国内法层面，目前我国对跨境数据流动的管制主要集中在《中华人民共和国网络安全法》(以下简称《网安法》)、《中华人民共和国数据安全法》(以下简称《数安法》)和《中华人民共和国个人信息保护法》(以下简称《个保法》)这三部法律以及配套法规中。从立法规制的对象来看，我国已经出现了将数据划分为不同类别进行规制的雏形，例如《个保法》将个人信息作为一个单独的对象进行规制、《数安法》要求国家及地方建立健全数据分类分级保护制度。从立法规制的目的来看，我国将国家安全、个人数据安全和网络空间主权的维护作为根本出发点。从具体内容来看，法律仍有继续完善的空间，以《网安法》为例，其37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”，如何认定“关键”是个非常开放的问题，这样的规定势必会导致其与我国目前参加的RCEP的义务不尽相同。笔者认为，我国立法体系尚存在跨境数据分类不清晰、规定过于模糊以及法律法规较为分散的问题，这尚需在实践中继续发展，我们应当在初步的法律框架下继续给予跨境数据流动规制调整的空间，以满足自由化和监管的双重需要。对此，有学者曾从宏观角度提出了一些改善意见，提出我国要继续参与制定全球电子商务规则和标准、实施跨境数据流动分级分类管理制度、加快数据贸易立法及配套措施的安排、完善国内数字贸易规则体系建设并积极参与国际贸易新规则的谈判 [13] 。这些改善建议中的一些我国已经实现，其他的建议也正在积极落实。

总体来说，在国际法层面WTO做出了很大的努力，也为协调跨境数据流动自由化和监管自主权做出了一定贡献，但是因为种种原因，效果并不理想。值得注意的是，正如上文提到的RCEP和CPTPP，目前越来越多的区域贸易协定正在跨境数据流动领域的立法中发挥着重要作用。在国内法层面，我国的相关法律形成时间尚晚，监管措施落地时间较短，仍需要进一步的发展细化才能符合现实需要。

协调跨境数据流动自由化和监管自主权的关系，加强国际层面的合作和国内法的支持，才能解决目前我们所面临的问题，并促进国际电子商务向着更繁荣、更规范的方向发展。在全球经济疲软的今天，各个贸易协定成员方的贸易主体都期待这种正反馈来重振信心，并由此来促进国际贸易的发展。

NOTES

¹Clear Correct Operating, LLC v. Int’l Trade Comm’n, 810 F.3d 1283 (Fed. Cir. 2015).

²Directive 95/46/EC.

³MC12 OUTCOME DOCUMENT (2022WT/MIN (22)/24 WT/L/1135), ADOPTED ON 17 JUNE.

参考文献