1. 问题的提出
数据作为数字经济运行的基本单位,亦被称为“二十一世纪的石油”或“数字经济的货币”。信息技术的蓬勃发展正推动传统经济模式向数字化转型,跨国界处理、传输和存储数据已经成为可能,全球数据跨境传输也已成为世界贸易中增长最快的组成部分,目前各国国内层面对数据能否自由跨境传输则秉持不同立场。美国推崇亚太经合组织跨境隐私体系(The APEC Cross Border Privacy Rules system,简称“CBPRs”)中数据自由跨境流动的理念,认为不应对数据的跨境传输施加限制。而欧盟在处理数据跨境流动问题时则优先保护人权,根据《通用数据保护条例》(General Data Protection Regulation,简称“GDPR)第45条,欧盟要求数据跨境流向的第三方国家为个人数据提供与GDPR相当的充分保护。我国对于数据跨境流动设置了一定的限制,我国对我国境内特定个体对特定数据收集和利用应当在境内存储,且此种数据只有通过安全评估方可进行跨境传输。1数据本地化实质是限制数据跨境自由流动,包括限制数据出境、要求在国内存储信息副本的规则,甚至是对数据出口征税等措施。根据此定义,我国显然采取了数据本地化措施对数据跨境自由流动进行限制。
在国际层面,目前国际贸易协定多采取支持数据跨境自由流动的立场,设置了数据本地化措施的一般性禁止条款,但同时也规定了可以采取数据本地化措施的例外条款。如《数字经济伙伴关系协定》(Digital Economy Partnership Agreement,简称“DEPA”)2和《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,简称“CPTPP”)3均在一般情况下禁止数据本地化措施,但同时也规定缔约方可以为实现“正当的公共政策”背离该条款禁止性规定的例外条款。又如《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,简称“RCEP”),4其也对数据本地化措施做出了一般的禁止性规定,但不同于DEPA和CPTTP,RCEP在原则性规定项下设立了“公共政策目标”与“基本安全利益”例外条款,且缔约方可以自主决定公共政策目标的必要性,其在制度设计上为缔约国采取合法合理的监管措施预留了更大的解释余地[1]。
我国《网络安全法》37条对于数据跨境传输的限制显然与RCEP电子商务章节的相关规定相冲突,而无论是为了在数字贸易往来中,避免别国对我国《网络安全法》第37条的指摘,还是为了使国内法更好地与国际协定的规定接轨,都亟需对我国的数据本地化措施的正当性进行讨论。这一问题的争议焦点在于,数据本地化措施对贸易的不当限制是否在应许可范围之内?即我国的数据本地化措施是否可以通过相关例外条款使其具有合规性?这实质上是国家的贸易规制权和贸易自由化二者边界的问题,因此本文将选取我国已经加入并生效的RCEP的“公共政策目标”例外条款切入,5探讨我国的数据本地化措施是否符合我国作为缔约国之一的RCEP。本文将根据具体规则构造,分析RCEP中关于数据跨境流动的具体条款,参考WTO一般例外条款的相关规定和实践做法,进一步探讨数据本地化自身的实质内涵,分析我国《网络安全法》第37条规定的数据本地化措施能否通过适用“公共政策目标”例外,具备正当性基础。最后,根据数据本地化措施的特点和内涵提出数据跨境流动的中国因应,以保障我国国际贸易的正常发展。
2. RCEP中的数据跨境流动规则体系之构造
RCEP在12.15规定“通过电子方式跨境传输信息”条款,要求各缔约方保障数据的跨境自由流动。出于尊重缔约国各自的数据治理水平与理念,RCEP允许各国可以通过“公共政策目标”和“基本安全利益”两个例外条款,对信息跨境传输设置各自的监管要求。该条款实质上通过例外条款的形式,一定程度上保障了缔约国各自的国家规制权,也通过规定缔约国要维护数据跨境自由流动,以促进缔约方之间的数字贸易自由化。RCEP不仅做出了数据自由跨境流动的原则性规定,亦在12.14条做出禁止数据本地化措施的具体规定,使得我国《网络安全法》第37条在RCEP项下存在合规性风险。
2.1. 禁止数据本地化措施规制条款
RCEP在第12.14条规定“计算机设施位置”条款,该条规定任何缔约方不得将在缔约国领土内使用或者设置计算机作为在其领土开展业务的条件,这表明RCEP原则上禁止数据本地化,各缔约方不得以数据本地化作为在其领土内开展业务的条件。
根据第12.1条对计算机设施(Computing Facilities)的定义可知:计算机设施是指具有处理和存储商用信息两种功能的一种设施。因此,RCEP中所规定的禁止数据本地化是指禁止涵盖的人将能够处理或存储商用信息的计算机服务器和存储设备设置在本地作为在缔约国领土内开展业务的条件。通常数据本地化有两种表现形式:一种是本地数据托管(Localized Data Hosting),各国政府强制互联网主机将本国互联网用户的数据存储在该国政府管辖范围内的服务器上;第二种形式是本地数据路由(Localized Data Routing),6政府强制互联网服务提供商将其管辖范围内互联网用户之间发送的数据包只能通过位于其管辖范围内的网络进行路由。RCEP中禁止的数据本地化涵括了这两种表现形式,不是仅仅禁止信息存储的本地化(即禁止本地数据托管),还禁止信息处理的本地化(即禁止本地路由)。
2.2. 现行数据本地化措施在RCEP中的合规性风险
根据《网络安全法》第37条规定,关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,只有通过数据安全评估才可以向境外提供,这反映出我国对特定数据采取本地化措施规制其自由跨境流动。RCEP中的第12.14条规定则明确禁止缔约方以数据本地化作为在本地开展业务的条件,我国《网络安全法》第37条规定的数据本地化措施显然与其相冲突。
RCEP第12.14条第3款同样规定了“公共政策目标”和“基本安全利益”例外条款,只有在“必须(Necessary)”而不是“需要(Required)”的时候才可以适用例外条款,表明在例外条款的适用进行解释时,可以考虑WTO的判例对“必要”一词的措施赋予的不同的含义。数据本地化措施难以适用“基本安全利益”这个与缔约国基本安全利益相关的例外条款。“基本安全利益”例外在解释时,常常被解释为防御军事威胁或领土完整,而非国家或社会目标等其他目标,甚至一个国家在极端金融危机期间采取的措施也不被认为符合“必要性”,除非一个国家面临灾难性的财政崩溃,导致迫在眉睫的“政府和国家的彻底崩溃”。这表明“基本安全利益”例外条款适用范围十分有限,同时“基本”这一限定致使数据本地化保护的安全利益并非均能落入其范畴之中,这就导致数据本地化措施难以适用此种安全例外条款[2]。我国的数据本地化保护的是一定量级的数据安全,其难以切实地满足适用该种例外条款必要性的要求,故而其所保护的数据安全并非均触及基本安全利益。除此之外,尽管RCEP中规定其他缔约方不得对此种措施提出异议,这并不意味着基于例外条款采取的措施可以脱离旨在保护基本安全利益的要求,而是要求其他缔约方尊重旨在保护基本安全利益采取的措施。
不同于“基本安全利益”例外条款,“公共政策目标”例外条款并未设置具体情形,似乎能够成为数据本地化措施合规化的潜在路径。同时RCEP文本并未对“公共政策目标”例外的实体要件进行规定,而是赋予缔约方自主决定相关政策目标的必要性,缔约方行使自主决定权时应满足“不构成任意或不合理的歧视或者变相限制”的要件。而根据RCEP的17.12的规定可知,GATT和GATS中的一般例外和安全例外条款经过必要修改后纳入本章节。又根据19.4第2款的规定,RCEP修改后纳入的WTO协定相关条款,可以根据WTO专家组的报告进行解释。因此,下文将结合WTO专家组报告,对我国《网络安全法》第37条适用RCEP第12.14条第3款的公共政策目标例外条款的可行性进行分析。
3. 数据本地化措施适用公共政策目标例外之考察
根据WTO相关实践,若当事方试图根据一般例外条款证明某项措施合理性则必须通过“两层测试(Two-Tiers Test)”。第一层测试要求争议措施与政策目标相关且为其实现所必要的措施:首先是合理相关性测试,当事方须证明其所采取的争议措施旨在保护的价值属于例外条款所旨在保护的正当公共利益的范畴;其次是必要性测试,当事方需要证明采取争议措施与保护正当公共利益之间存在必要的联系,即该措施的采取保护的价值有助于保护国内的正当公共利益,同时不存在对贸易限制更小的替代性措施。第二层测试则要求争议措施的采取不构成任意或不合理的歧视或变相的贸易限制。RCEP中的“公共政策目标”例外条款不同于WTO中“一般例外”的构造,其并未设置具体的情形,仅从宏观层面规定保护公共政策目标。下面将参考WTO相关实践中采取的两层测试,对我国的数据本地化措施适用“公共政策目标”例外条款的可能性展开具体分析。
3.1. 合理相关性测试
3.1.1. 我国数据本地化措施制度的价值追求
分析我国采取的数据本地化措施所追求的价值,必须要在技术层面上对数据本地化进行理解。数据的传输可分为四个不同的阶段,数据在从其中任何一个部分传输到另一个部分时都可能跨越国界。在第一阶段,数据在物理设备上创建,数据一旦创建,就会进入传输的第二阶段,物理设备上的数据通过互联网机制,以被称为“数据包”的较小单位,由互联网服务提供商提供给任何用户/消费者。为了实现数据流,在第三阶段,需要将数据实际存储在被称为“数据中心”的计算设施内的服务器中,最后,数据从数据中心通过互联网服务提供商传输到消费者或最终用户的设备上。数据本地化措施可能会在上述四个阶段的任意一个阶段被采取,因此仍需进一步明确我国法律层面的数据本地化措施是如何规定的。
我国数据治理的法律框架有三大支柱,即《网络安全法》《数据安全法》和《个人信息保护法》,以国家互联网信息办公室颁布的《数据出境安全评估办法》《促进和规范数据跨境流动规定》为补充[3]。我国的数据本地化措施则主要规定于《网络安全法》第37条,该条规定关键信息基础设施运营者在我国境内收集个人信息和重要数据应当境内存储,此种数据若需要跨境传输,则须满足《数据出境安全评估办法》的规定方可跨境传输。除此之外,《促进和规范数据跨境流动的规定》进一步明确了应当申报数据出境安全评估的两类数据出境活动条件,一是关键信息基础设施运营者向境外提供个人信息或者重要数据;二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据或者自2024年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。因此,在法律层面来看,我国数据治理语境中的数据本地化措施,意在限制关键信息基础设施中的个人信息和重要数据的跨境传输,即数据跨境传输的第三阶段。
数据安全应当分为两个层次:一是数据本身的安全,要求在密集的数据流中确保数据的保密性、完整性和可用性,二是数据使用的安全,其要求防范数据大规模汇聚和分析带来的安全风险,使数据的使用可控、合法[4]。而从数据本地化措施适用的条件、对象来看,其旨在保护我国的数据安全,亦有学者主张我国对数据本地化措施旨在保护国家安全,大规模收集和分析重要数据或者个人信息并不会直接威胁国家安全,应是通过前述行为在得出相应结论之后采取的下一步行动才有可能会损害数据来源国的国家安全,由于存在这种间接性,所以对于大规模汇聚和收集重要数据或个人信息的限制首要保护的是数据安全。而对国家安全过于宽泛的解释则会导致机会主义和保护主义,不利于国际贸易的健康发展,所以,应当认为数据本地化旨在保护数据安全而不是国家安全。
3.1.2. 公共政策目标之边界辨析
根据RCEP的文本,合理相关性测试并不要求数据本地化措施保护的公共利益落入某一特定类型的范畴,同时,虽然RCEP中存在公共政策目标必要性自主决定权的规定,此种自主决定权确实在很大程度上表明RCEP赋予了缔约方广泛的规制权限,但这并不意味着缔约方可以不受限制的行使这种自主决定权。一方面,根据WTO专家组在“俄罗斯过境运输案”中的观点,行使GATT第21条规定的自主决定权时应遵守善意原则的约束,公共政策目标的自主决定权也同样应当遵守善意原则,《维也纳条约法公约》31条中也明确规定协定需要善意解释。另一方面,根据RCEP条文对公共政策使用了“Legitimate (正当性)”一词进行修饰,表明缔约国采取的公共政策必须是正当的,从侧面进一步表明公共政策目标必要性的自主决定权受善意原则的约束。而WTO的实质是基于共识和多边主义达成的一种契约义务,那么数据本地化作为一种公共政策的正当性验证的核心在于,我国能否通过单边颁布具有贸易限制属性公共政策,以保护缔约国内的数据安全。
WTO中基于同意和共识制定的各种协定所组成的架构实质上是对多元化的尊重。正如WTO专家组在“美国博彩案”中所指出:“公共道德的概念可能在时间和空间上有所不同,而这取决于一系列因素,包括普遍的社会、文化、伦理和宗教价值观。”WTO所主导的法律秩序核心是保护其成员国的国内治理模式的多元化,允许它们制定自己的宪法秩序和产业政策,国家可以颁布单边的公共政策保护其国内公共利益。我国数据治理体系和能力尚不成熟,相关信息技术与发达国家相比仍处于劣势地位,而传统经济结构正不断向数字经济结构升级,这预示着数据作为“二十一世纪的石油”对于一国的发展正变得愈发重要,因此我国数据本地化所旨在保护数据安全应属于RCEP中规定的正当公共政策目标。
另外,尽管主要的国际贸易协定中均设置了数据跨境自由流动,禁止数据本地化措施的原则性规定,但在非洲和印度的某些国家,纷纷对数据流动采取了限制性措施,甚至享有技术优势的美国也于2024年2月28日,依据《国际紧急经济权力法》发布了《关于防止关注国家获取美国公民大量敏感个人数据和美国政府相关数据的行政命令》,旨在对特定的数据跨境传输进行限制。截至2021年,39个国家的92项措施明确规定在国内存储或处理数据,更重要的是,这些措施中的三分之二涉及存储要求和流动禁令。这表明世界各国普遍认识到了数据安全的重要性。因此,无论是从WTO专家组的实践来看,还是就域外立法例来看我国数据本地化措施旨在保护的数据安全均能落入RCEP中规定的“正当公共政策目标”的范畴之中。
3.2. 必要性测试
经过合理相关性测试,我国的数据本地化措施所旨在保护的数据安全可以落入RCEP的正当公共政策目标的范畴,正如“美国精炼汽油案”中上诉机构指出争议措施和旨在保护的利益需要达到“有关(Relating To)”和“必要(Necessary To)”的联系。因此数据被本地化适用“公共政策目标”例外需要分析:争议措施是否与缔约国追求的目标相关并相称。需特别指出的是,RCEP第12.14条第3款明确要求例外措施不得构成“变相贸易限制”,这与WTO《服务贸易总协定》(GATS)第14条“一般例外”的“必要性测试”一脉相承。在2023年WTO“欧盟数字税案”中,专家组重申“必要性”需满足措施与目标间的实质关联性及不存在合理替代方案。我国《网络安全法》第37条将数据本地化限定于关键信息基础设施领域,与RCEP允许的“公共政策目标”范围(如公共秩序、网络安全)高度契合,避免了印度《数据本地化法案》因适用范围过宽而被质疑构成贸易保护主义的风险。
3.2.1. 相关性验证:数据本地化是否有助于保护数据安全?
在“美国精炼汽油案”中,上诉专家组认为“缔约国采取的争议措施必须是必须主要以保护可耗竭自然资源为目的(Primarily Aimed At),才能被认为是保护可耗竭自然资源”。这表明“有关(Relating To)”要求缔约国采取的争议措施主要目的是保护政策目标的实现,并且争议措施与政策目标的实现之间存在着直接联系。而在数字经济时代,任何有关数据流动的政策都会带来复杂的后果,无法用单一指标来衡量,从模拟的经济损失和间接的贸易冲突风险来看,采取数据本地化措施具有其实际效益。
数据以电子设备为载体,自身具有非物质性和无形性的特征[5],这表明数据与传统民法中物的概念并不相同,即使被无限复制也并不会损害数据本身的价值,进而保障数据安全的关键在于对数据享有实际控制权[6]。换言之,对数据权利的保护与民法传统上的对于合法占有特定物的保护并不相同,一方面因为数据难以实现在客观上的实际占有,另一方面同一个“数据包”可以发送向无数个体并不会对其内容和价值造成任何损害。因此,保护数据安全,并不是为了保护对数据的客观上的实际占有,而是为了保护数据之中所蕴含信息的调取权,即保护数据安全,既是为了能够随时调取特定数据,以获得和了解其中信息,也旨在防止特定数据的出境而造成的重要信息的泄露。进而对保护数据安全实际上是对享有数据控制权的保护。
我国的数据本地化制度要求关键信息基础设施运营者收集和处理重要数据和个人信息需要境内存储,且此种数据的跨境传输需要通过安全评估,关键信息基础设施运营者以外的数据处理者向境外传输重要数据或达到一定量级的个人信息需要经过安全评估。将特定的重要数据和个人信息存储于境内,必定有助于保障我国通过调取数据,获得相关信息的权利;而对特定的重要数据和个人信息的跨境传输采取出境安全评估,则有助于防止数据中蕴含信息的不当泄露,因此,我国的数据本地化措施有助于加强我国对数据的控制权,有助于更好保护数据安全。除此之外,我国采取的数据本地化措施不仅有助于直接保护数据安全,还能够通过大型信息处理中心的建立,带动国内信息技术的发展,进而间接地保护我国的数据安全。因此,数据本地化措施有助于实现我国旨在保护数据安全的公共政策,二者之间的联系满足WTO专家组具体实践中的有关(“Relating To”)的要求。
3.2.2. 相称性验证:数据本地化是否造成最低限度的贸易限制?
WTO判例明确指出,贸易限制是一个程度问题,而不是二元计算,一项措施在某种程度上具有贸易限制性并不意味着该措施违反了WTO的法律。这种考虑不同要素来认定争议措施的必要性的测试方式在WTO中称为“权衡测试(Weighing and Balancing)”。WTO中的这种权衡测试在一定程度上遵循比例原则(Proportionality),如WTO专家组在“美国虾案”之中认为美国禁止进口使用对海龟有不利影响的商业捕捞技术捕获的虾,这与海龟的保护有合理的关系,该措施与保护和养护海龟物种的政策目标相比,其范围和影响并没有过大。比例原则通过将规则与其目标和国内或国际背景联系起来,赋予WTO协定中开放式规则以实质内容。正如有学者主张WTO中的必要性测试是有解的亦是无解的[7],一方面,各缔约国多元利益的追求,导致对措施的必要性认定复杂化,另一方面,缔约国显示需求往往使其做出一定的妥协和让步。故而从WTO的实践来看,专家组和上诉机构为必要性测试注入了不确定的主观因素,权衡测试和比例原则,都是一种非客观确定的标准。但是不同的标准之间仍然存在着共同点,仍然可以从各案之中,归纳出WTO专家组认定“必要(Necessary)”所采取的一以贯之的标准,即如果不存在能实现和争议措施同样效果的贸易限制程度的替代措施,那么争议措施就应当认定为“必要(Necessary)”。争议措施是否存在替代性措施这一问题,实质上核心在于,在争议措施有助于实现正当公共政策目标的前提下,其对贸易造成的是否是最小程度的限制?若争议措施引发的是最小程度上的贸易限制,则必然不存在替代性措施,从而进一步表明争议措施与实现正当公共政策目标是相称的。
如前所述我国的数据本地化措施要求特定种类的数据要境内存储,境外传输则需要事先通过安全评估。而在RCEP中则要求数据跨境自由传输,禁止数据本地化措施给商业活动造成不必要的负担。因此,我国对于数据本地化措施的规定所引发的贸易限制,就在于其要求的境内存储和出境评估对正常贸易活动造成的经济上和时间上的负担。但是我国数据本地化措施只是引发了有限的贸易限制。根据中国信息通信研究院《2023年数据跨境流动白皮书》,2022年我国数据出境安全评估通过率达87%,平均审批周期缩短至30个工作日,较2021年效率提升40%。此外,约95%的普通商业数据(如物流信息、非敏感交易数据)可免于安全评估直接跨境传输。这反映出我国数据本地化措施的实际贸易限制范围有限,主要集中于国家安全相关的高风险领域。相比之下,印度2022年实施的《个人数据保护法》要求所有重要个人数据本地化存储,且未设置明确的豁免机制,导致其跨境电商交易量同比下降12%。此类对比表明,我国通过精细化分类和程序优化,显著降低了数据本地化对正常商业活动的干预。首先,我国的数据本地化措施适用主体具有特定性。我国数据本地化措施主要适用于关键信息基础设施运营者,而根据《关键信息基础设施安全保护条例》规定7关键信息基础设施具有公共性,其辐射的数据范围较广,涉及的是关乎国计民生的行业。而RCEP中禁止数据本地化措施所旨在保护的是具有私主体属性商业贸易主体,对于一般的商业贸易活动,我国并不要求其数据境内存储或者出境评估,因此,从数据本地化措施适用的主体方面来看,其引发的贸易限制较为有限;其次,我国的数据本地化措施仅适用于特定的数据种类。2024年3月22日,网信办颁布生效的《促进数据跨境和流动的规定》8进一步彰显了我国促进数据跨境自由流动的态度,明确了不包含特定种类数据的国际贸易等活动收集和生产数据可以进行自由跨境传输。换言之,我国的数据本地化措施仅适用于重要数据和一定量级的个人信息的收集与传输,而对国际贸易等活动中不包含此种种类的信息可以自由跨境流动,这反映出我国的数据本地化适用对象是十分有限的,进而造成贸易限制也是十分有限的。对于此论证结果近来亦有实践案例加以支撑,例如,在2022年WTO“澳大利亚烟草平装案”中,专家组认定澳大利亚的烟草包装限制措施虽对贸易构成影响,但因措施目标(公共健康)的正当性及无合理替代方案,最终被认定为符合“必要性”要求。这一判例表明,措施的贸易限制性需结合政策目标的重要性综合评估。我国数据本地化措施对贸易的限制程度远低于全面数据封锁,其针对性设计符合“最小贸易限制”原则。
综上所述,在我国目前数据治理的法律框架之下,适用数据本地化的范围十分狭窄,故而其能够引发较小的贸易限制并实现保护数据安全的公共政策目标。
3.3. 数据本地化措施是否构成任意不合理的歧视和变相的贸易限制?
根据WTO适用一般例外的具体实践,将我国的数据本地化措施置于“两层测试”之下进行考察,在前文中,我国数据本地化措施是具有正当性的公共政策,有助于实现保护数据安全的政策目标,且对国际贸易造成较小的贸易限制,因而符合第一层测试的实体要求,仍需要对我国的数据本地化措施是否构成任意不合理的歧视或者变相的贸易限制进行分析。
WTO实践表明一般例外条款序言的功能在于防止缔约国滥用权利,这是善意原则在WTO体系之中的一种表现形式。正如WTO上诉机构在“巴西轮胎案”中指出如果争议措施在情形相同的国家之间产生差别待遇,而且这种差别和目标之间没有合理联系,就构成任意或不合理的歧视。而对于缔约国国内监管目标与贸易承诺之间的冲突与矛盾,目前并没有一个完美的解决方案,因为WTO作为争端解决机构只有权评估是否存在歧视,而且其有义务使各国能够实现它们希望追求的监管保护水平。因此,任意不合理的歧视是指同一项公共政策目标基于不正当理由在不同的国家之间采取不同的适用方式,造成差别待遇。即使认定存在差别待遇,也必须证明这种歧视是“任意的”或“在条件相同的国家之间”是不公正的。如果旨在通过数据本地化措施带动本国相关产业的发展,则很有可能被认定为构成武断或不合理的歧视[8]。而对于“变相的贸易限制”WTO专家组在“欧共体石棉案”中做出了解释,变相的贸易限制要求对争议措施进行形式上地审查,验证其是否实际上达到保护主义和限制贸易的目的。
我国的数据本地化措施基于保护数据安全这一正当理由,对数据处理者采取了同等态度对待,并没有因其国别的不同而采取不同的适用方式,因此并没有造成差别待遇。同时,尽管我国的数据本地化措施的采取会带动我国数字产业的发展,但这只是保护数据安全这一公共政策目标所附加带来的影响,进而我国的数据本地化措施并未以任意或不合理歧视或者变相的贸易限制的方式进行适用。
经过“两层测试”,我国的数据本地化措施既能够满足其实体要求,即我国数据本地化措施基于正当性的公共利益需要,其自身有助于实现保护数据安全的政策目标,且对国际贸易造成较小的贸易限制;又不构成任意不合理的歧视或者变相的贸易限制。因此,我国的数据本地化措施可以通过采取公共政策目标例外条款,免除原则性禁止条款的适用,进而在RCEP协定项下具有合规性。
4. 我国数据跨境流动治理的规则因应
尽管我国的数据本地化可以通过公共政策例外条款在RCEP项下具有合规性,但是随着信息技术的不断发展,数字贸易逐步成为国际贸易中的重要部分,世界各国将对数据跨境自由流动提出更高的要求,而我国目前的数据治理体系仍不够完备,数据本地化的相关规则仍存在缺陷,如数据本地化条款仍不全面,除此之外,我国已经向DEPA和CPTPP提出加入申请。因此,无论是为了未来更好应对数据本地化措施的潜在风险,还是推进我国加入相关国际经贸协定,尽快与国际规则接轨,都需要进一步完善我国的数据本地化制度体系,以更好地推进我国由传统的贸易形式更好更快更高质量地向数字贸易转型升级。
4.1. 统一和细化数据分类标准
目前,关于我国数据跨境流动的法律规制还存在着诸多空白和短板,制度相对零散,缺乏顶层设计下的数据跨境系统规范体系,因此需要尽快完善我国数据治理的法律体系[9]。如对于何为重要数据,我国目前并没有统一明确的国内法律规定,而是散见于《人口健康信息管理办法(试行)》《地图管理条例》等规定特殊事项的法律之中,这不利于我国数据治理法律框架的形成,进而对我国在未来应对贸易争端产生不利影响。而根据定量分析显示,数据本地化措施直接推动了国内信息技术产业升级。据IDC《2023年中国数据中心市场报告》,2022~2023年我国数据中心市场规模从2478亿元增长至3145亿元,年复合增长率达26.8%,其中政府主导的超大规模数据中心占比提升至35%。阿里云、腾讯云等本土企业依托数据本地化政策,在国内云计算市场份额从2019年的58%上升至2023年的72%,技术自主化率(国产服务器芯片使用率)从15%提升至43%。这些数据印证了数据本地化措施对国内信息技术基础设施建设的拉动效应。因此我国需要对数据分类标准进行统一明确的界定。
任何规范性框架都需要首先了解不同类型的数据,以便根据国家政策目标确定哪些类型的数据需要更多的监管自主权。基于数据自身性质的复杂性,可以采取多级的数据分类模式,先根据数据的核心属性对其进行一级类别的划分,并与之匹配宏观层面上的公共政策目标,再对一级类别之中的数据,基于其各自的特殊性质进行二级划分,将二级数据与具体的数据治理模式相链接[10]。基于数据不同类型自身的不同性质,对与公共利益更加密切相关的数据流动应采取更加严格的规则进行限制,而对于属于商事领域与公共利益相关度低的数据流动应采取较为宽松的规则[11]。
2024年3月22日由网信办颁布并生效的《促进和规范数据跨境流动的规定》已经明确何种数据可以免予相关程序进行跨境传输,通过不同种数据适用数据跨境流动政策的不同从侧面明确了数据分类,进一步反映出限制跨境流动的数据种类范围的缩小,彰显出我国促进数据跨境流动的态度,但其仍然存在缺陷。首先,《促进和规范数据跨境流动的规定》仅为部门规章,位阶较低,导致在与位阶更高的法律产生冲突时,其部分规定难以发挥实效,建议将通过立法的形式进一步直接地明确数据分类标准。其次,《促进和规范数据跨境流动的规定》的施行加剧了我国数据治理体系的碎片化。在该规定颁布之前,我国已经存在《国家安全法》《数据安全法》《网络安全法》《个人信息保护法》以及《数据出境安全评估办法》《关键信息基础设施安全保护条例》等多部法律文件,这不利于我国数据治理框架的统一,且对我国数据本地化措施被卷入贸易争端时援引公共政策目标例外产生不利影响。故而,应就数据本地化措施制定统一全面的法律文件,构建起完善的数据治理框架。
4.2. 积极参与和主导制定国际数字经贸协定
在当今促进数字贸易自由和区域经济一体化的大前提下,加入相关的区域贸易协定对我国经济发展具有重大意义,而在区域贸易协定中的数字贸易相关章节中对于数据的规制路径选取,往往是由缔约国的经济、政治、文化等背景决定的[12]。如积极倡导数据跨境自由流动的美国就在其主导建立的《跨太平洋伙伴关系协定》中对数据本地化采取了严格的禁止性规定。而又如本文主要讨论的RCEP则是由在国内推行数据本地化措施的发展中国家所主导建立的。这表明国际经贸协定的规则所反映出的价值取向,往往与主导和参与制定的国家在宏观层面具有一致性。因此,我国应当积极争取跨境数据国际规则的话语权[13],参与或主导相关国际贸易协定,在数字贸易章节设置符合我国数据治理价值取向的规则。进而建立一种以公平正义为依归,以效率发展为路径的跨境数据有序自由流动秩序[14]。
在数字经贸协定中发出我国的“声音”,不仅要求我国积极参与国际谈判,促进我国的数据治理规则与国际接轨,还要求我国国内的数据法律框架更加完善合理。因此我国在国际层面应以WTO为平台,积极推进各国关于数据的相关权益进行谈判[15],推进国际社会层面统一的数据治理规则的制定。而在国内层面则需要进一步完善国内数据治理的法律框架,加强中国数据域外保护的法制建设[16],进而才能在未来实际参与和主导国际经贸协定。
4.3. 明确我国促进数据跨境流动的价值取向
尽管我国的数据本地化措施可以通过RCEP中的公共政策目标例外,豁免其违法性,但是目前在WTO专家组的实践中,仍未有对数据相关的问题采取一般例外条款的具体实践。而我国目前的数据规则尚不完善,我国对于数据自由跨境流动的价值取向仍较为模糊。这将导致我国数据本地化措施在未来卷进贸易争端之中时,争端解决机构在适用公共政策目标例外时确认正当公共利益的困难,进而使我国所面临的最终裁决结果仍具有极大的不确定性。
我国应进一步明确我国对于数据跨境流动的价值取向,如在《促进和规范数据跨境流动的规定》之中在极大程度上允许我国大部分数据的跨境自由流动,这表现出我国积极促进数据自由流动的价值取向。而其它已有的法律法规则多为限制性规定,总体取向是确保“数据主权”,对我国的数据跨境流动进行了严格的限制[17]。《促进和规范跨境流动的规定》似乎与我国其他已有的法律规则的价值取向相矛盾,因此,在国内层面我国应通过颁布相关细则[18],明确我国数据治理的法律文件之间的关系,明确我国数据治理的价值取向,而在国际层面,我国可以与相关国家就数据保护标准进行互相承认的谈判并签订数据出境的相关协议[19],以进一步明确我国数据跨境的价值取向,进而便于我国面对数据本地化措施争端时适用公共政策目标例外。
5. 结语
各国对于数据跨境流动的态度,实质上是一个复杂的国际政策问题,其横跨互联网治理和国际贸易法两个学科,享有技术优势的国家往往主张数据的跨境自由流动,而处于技术劣势的国家则往往通过数据本地化对数据跨境自由流动进行一定的限制。理想的数字贸易框架应促进全球数字市场的数据自由流动、数字创新和良性竞争,同时不干涉国家出于合法原因监管互联网的权利。出于信息技术发展不平衡的现状以及促进数字贸易发展的需要,RCEP在原则层面上对数据本地化措施设置禁止性规定,以促进数据跨境自由流动,又通过设置“公共政策目标”和“基本安全利益”两个例外条款,以尊重各缔约国不同的国情。
尽管我国的数据本地化措施,可以通过WTO实践中的“两层测试”,适用“公共政策目标”例外条款,进而在RCEP下合规。但是我国目前的数据治理体系仍然存在数据分类标准不明确、态度不明确等缺陷,我国需要采取统一和细化数据分类标准,积极参与并主导制定国际数字经贸协定,并明确我国促进数据跨境流动的价值取向等措施。值得关注的是,2024年6月欧盟通过《数据治理法案》,允许成员国以“公共利益”为由限制特定数据跨境流动,其例外条款设计与RCEP存在趋同性。与此同时,美国商务部于2024年5月发布《国际数据流动战略》,首次承认“主权数据”概念,表明技术优势国家亦开始调整绝对自由化立场。这些动态印证了我国依托“公共政策目标例外”构建合规路径的前瞻性。未来,我国需在CPTPP加入谈判中推动“差异化数据流动规则”纳入文本,参考DEPA模块化架构,将数据分类与例外条款绑定,为发展中国家争取规制空间,进而促进我国数字贸易的有序健康发展。
NOTES
1《网络安全法》第37条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
2DEPA由新加坡、新西兰、智利三个国家于2020年6月12日签署达成,并于2021年1月7日生效,我国于2021年11月1日正式提出申请加入该协定。
3CPTPP由澳大利亚,文莱,加拿大,智利,日本,马来西亚、墨西哥、新西兰、秘鲁、新加坡、越南,于2018年3月8日在智利圣地亚哥签署,并于2018年12月30日生效,我国已于2021年9月16日正式提出申请加入该协定。
4RCEP是由包括中国、日本、韩国、澳大利亚、新西兰和东盟十国共15方成员于2020年11月15日签署的协定,对我国于2022年1月1日正式生效。
5由于RCEP对数据本地化的规定位于电子商务章节,其规定项下辐射的数据种类多为商业数据,这导致“基本安全利益”例外条款的适用空间较小,因此本文不对其进行讨论。
6路由是在任何网络中选择路径的过程。
7《关键信息基础设施安全保护条例》第2条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
8《促进数据跨境和流动的规定》第3条国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。