国际投资协定视角下跨境数据流动规制措施的合规性探究

doi:10.12677/ojls.2025.1311354

期刊菜单

国际投资协定视角下跨境数据流动规制措施的合规性探究
Research on Compliance of Cross-Border Data Flow Regulations from the Perspective of International Investment Agreements

DOI: 10.12677/ojls.2025.1311354, PDF, HTML, XML,
作者: 沈黛思：广州商学院法学院，广东广州
关键词: 国际投资协定；跨境数据流动；数据规制措施；适格投资；国民待遇原则；International Investment Agreements； Cross-Border Data Flow； Data Regulatory Measures； Qualified Investment； National Treatment Principle

摘要: 数字经济的快速发展使得数据跨境流动已成为国际投资活动中不可或缺的组成部分。然而东道国出于国家安全、数据安全及个人信息保护等多方因素考虑，纷纷制定数据规制措施，这些措施可能与国际投资协定(IIAs)中的投资保护义务发生冲突。本文以IIAs的适用性为切入点，重点分析数据在IIAs框架下是否构成“适格投资”，数据规制措施是否触发IIAs义务，以及例外条款的适用性问题。本文认为，当前IIAs在数据规制方面存在规则滞后、条款模糊、例外不清等问题，导致判断陷入合规困境。在此基础上，本文结合中国作为数字经济大国和IIAs缔约方的双重身份，提出中国应在IIAs谈判中明确数据资产地位、细化例外条款、防止规则滥用，并积极参与多边规则构建，以平衡跨境数据流动与国家安全之间的关系。

Abstract: The rapid development of the digital economy has made Cross-border Data Flows(CBDF) an integral part of international investment activities. However, host countries have increasingly adopted data regulatory measures based on national security, data security, and personal information protection concerns, which may conflict with investment protection obligations under International Investment Agreements (IIAs). This article begins by examining the applicability of IIAs, focusing on whether data constitutes as a “qualified investment” under IIAs, whether data regulatory measures trigger IIAs obligations, and the applicability of exception clauses. This article argues that current IIAs face challenges in data regulation, including lagging rules, ambiguous provisions, and unclear exceptions, leading to compliance dilemmas. On this basis, this article, drawing on China’s dual role as a major digital economy country and a signatory to the IIAs, proposes that China should clarify the status of data assets in IIAs negotiations, refine exception clauses, prevent abuse of these rules, and actively participate in multilateral rule-making to balance the relationship between CBDF and national security.

文章引用：沈黛思. 国际投资协定视角下跨境数据流动规制措施的合规性探究[J]. 法学, 2025, 13(11): 2597-2602. https://doi.org/10.12677/ojls.2025.1311354

1. 问题的提出

数据作为数字经济的核心生产要素，其自由的跨境流动不仅关乎企业运营效率，更直接影响国际投资的布局与效益；同时伴随着互联网时代的演进，数据逐渐上升为国家的战略性资源，但数据的国际治理在“数据合规”的要求下隐患重重[1]。此时各国纷纷出台数据本地化存储、数据出境安全评估、个人信息保护等规制措施，以应对数据安全、国家安全和公民隐私保护的挑战。然而，这些措施往往被外国投资者质疑违反IIAs项下的国民待遇、公平与公正待遇(FET)甚至征收条款，进而引发国际投资仲裁风险。

现有的IIAs多签署于数字经济兴起之前，其条款设计以传统实体经济为背景，未能充分考虑数据的特殊性。尽管大多数IIAs对“投资”采取开放式的资产定义，数据是否属于“投资”仍存在争议；数据规制措施是否“与投资有关”也缺乏明确判断标准；此外，国家安全例外等条款能否适用于数据场景，仲裁实践中亦未形成一致意见。这种规则滞后与解释模糊导致IIAs在数据规制合规性判断中陷入多重困境。但也有学者对依赖IIAs框架处理数据流动问题提出了批判性观点，认为专门性的数字贸易协定(Digital Economy Partnership Agreement, DEPA)、《美墨加协定》(USMCA)的数字贸易章节等，能更直接、更专业地规定数据自由流动、禁止数据本地化等规则，是处理数据跨境问题的更优制度选择。此类协定旨在构建数字贸易的前沿规则，从而可能避免IIAs在“投资”认定等问题上的纠缠[2]。

然而，本文坚持在IIAs框架下探究数据规制合规性，主要基于以下理由：首先，IIAs，特别是其附带的投资者-国家争端解决机制(ISDS)，为外国投资者提供了直接挑战东道国规制措施的救济途径，这种机制具有直接执行力，对国家和投资者的现实影响巨大。其次，全球现有的IIAs数量庞大，在可预见的未来仍将是国际投资治理的基石，许多数据规制争议仍将不可避免地在此框架下发生。最后，数据作为数字经济的关键生产要素，其存储、处理与传输活动日益构成企业在东道国投资运营的核心部分，将其完全排除在IIAs的保护与规制范围之外既不现实，也可能造成规则真空。因此，厘清现有IIAs框架下的合规边界，与推动专门性数字贸易规则的发展，二者并行不悖且相辅相成。而本文的研究聚焦于前者，旨在为解决当前及过渡期内的现实法律冲突提供智能支持。

2. 数据作为“适格投资”的认定困境

(一) IIAs中“投资”定义的开放性及其局限

绝大多数IIAs采用“资产为基础”的宽泛投资定义，通常以“包括但不限于”的方式列举各类资产形式，如动产、不动产、股份、合同权利、知识产权等。数据若具备资本投入、预期收益与风险承担等特征，理论上可被纳入“投资”范畴[3]。然而，数据在列举项中的归属并不明确：除构成商业秘密或数据库作品的数据可纳入知识产权外，大多数数据缺乏明确的法律定性。

此外，IIAs通常要求投资须位于东道国境内、符合东道国法律并履行必要程序(如批准或登记) [4]。数据因其特有的虚拟性与非实体性，是否满足“地域性”要求仍存在争议；而各国数据权属立法尚处于探索阶段，也使得“符合东道国法律”这一合法性要件难以满足。

(二) 仲裁实践中的解释分歧

国际投资仲裁庭在实践中倾向于对“投资”作扩张解释。根据 Salini v. Morocco 案仲裁庭设立的“Salini”标准，要构成“投资”需要投资者作出一定的贡献，承担足够的风险，并持续一定的时间。¹这看似对数据跨境流动是否属于资产并未有明确的定义，然而在SGS v. Philippines²、CSOB v. Slovakia³等案件中，仲裁庭认为只要投资活动与东道国存在“实质性联系”，即使部分资产或行为位于境外，仍可整体视为适格投资[5]。这一思路若适用于数据处理活动，可能导致通过“云存储”境外数据的外国企业仍受IIAs保护，扩大东道国的规制风险。

但值得注意的是，仲裁庭在Bayview v. Mexico等案件中，明确表示IIAs不保护纯粹基于贸易行为或境外活动产生的利益。因此，若外国投资者仅通过互联网向东道国提供数字服务而未在东道国设立实体，其数据活动可能不被视为投资。⁴这也意味着，仲裁庭虽然对投资设定了“Salini”标准，但对跨境数据流动的资产性仍存有解释分歧。

3. 数据规制措施与IIAs义务的合规性冲突

(一) 国民待遇与非歧视原则

数据规制措施往往要求外国企业将数据存储于东道国境内，这些措施通常会增加运营成本，从而可能影响外国投资者的投资回报，这可能被视为对内外资企业存在差别待遇[6]。而国民待遇标准则要求东道国在相似情况下对外国投资者不低于本国投资者的待遇，所以在判断是否违反国民待遇时需判断“相似情形”是否存在、是否构成歧视以及是否属于例外。在仲裁中使用最多的评判标准是“同一行业标准”，将相同行业的内外资企业进行比较是否存在“相似情形”[1]。

然而，在数字经济背景下，传统行业划分的局限性日益凸显，构建一个更为精细的“相关市场”与“竞争关系”分析框架至关重要。数据驱动型企业的业务模式往往是跨行业、多边市场的，其“相关市场”的界定不能仅限于最终产品或服务，而应涵盖其赖以生存的数据收集、处理与利用的生态系统。例如，一个提供搜索引擎服务的外国投资者与一个东道国本地的搜索引擎公司，显然处于 “相似情形”。但如果东道国的数据本地化规定仅针对“大型互联网平台企业”(无论外资还是内资)，而一家本土中小型数据分析公司虽也处理类似数据，但因规模未达标而不受规制，此时是否构成“相似情形”？仲裁庭可能需要考察外资平台企业与本土中小企业是否在同一数据资源竞争市场中构成直接竞争者。若否，则可能不被认定为“相似情形”。这种分析超越了僵化的行业分类，更贴近数字经济的竞争本质，但也给仲裁庭的自由裁量带来了更大空间和不确定性。

数据本地化措施是否构成“歧视”也需结合其实际影响判断。尽管形式上可能对内外资企业一视同仁，但若实质上对外国企业造成更重负担，仍可能构成“事实歧视”。例如，欧盟《一般数据保护条例》虽未明确区分内外资，但其“充分性认定”机制在实践中对非欧盟企业构成事实上的壁垒，进而引发是否违反国民待遇的争议。此外，东道国可以国家安全为由采取的措施可能援引例外条款，排除国民待遇义务。因此，在判断东道国是否违反国民待遇原则时，需全面审视其规制措施的目标、设计以及对市场竞争格局的整体影响。

(二) 公平与公正待遇(FET)

公平与公正待遇(FET)条款因其内涵的模糊性及构成要件的不确定性被誉为IIAs中的“帝王条款”。而主流观点认为其内涵包括保护投资者的“合理期待”、提供稳定与可预期的法律环境、禁止专断与歧视行为等。数据规制措施的频繁变动或执行不透明，可能损害外国投资者的合理期待，进而触发FET条款的适用。

然而，对“合理期待”的认定需要进行精细化区分。在Saluka v. The Czech Republic案中⁵，仲裁庭强调，投资者的合理期待应基于东道国所作出的具体承诺及整体法律环境。这意味着：若是基于具体承诺的合理期待，即东道国在引资时通过合同、特许协议或明确的政策宣示，对数据跨境流动作出了特定保证，嗣后出台的与之相悖的数据规制措施极易被认定为违反了FET，同时这种期待受保护强度最高。若是基于一般法律环境产生的合理期待，在缺乏具体承诺的情况下，投资者有权期待东道国的法律监管框架不会发生根本性、颠覆性的剧烈变动。然而，在数据监管这一快速演进且关乎重大公共利益的领域，对法律稳定性的期待必须适度降低。各国对数据主权、网络安全和个人信息保护的认知与实践仍在发展中，法律政策的调整具有内在的合理性与必要性。因此，投资者不能合理期待数据规制制度一成不变，而应预见到为应对新技术和新风险而进行的监管演进。例如，一国从无到有地建立数据出境安全评估制度，只要立法过程透明、目标正当且设有合理的过渡期，通常不构成对FET的违反。

此外，程序正义也是FET的重要组成部分。仲裁庭在Metalclad v. Mexico案中认为⁶，东道国在决策过程中若未提供透明、可参与的机制，可能构成程序不公。数据出境安全评估若缺乏明确标准、审批周期过长或未设过渡期，均可能违反FET中的程序性要求。IIAs对国家数据跨境流动规制权的限制更多体现于形式规制，例如立法的透明度、稳定性、可预见性等，而非实质性限制[4]。仲裁实践也承认东道国为维护公共利益享有“规制权”。只要数据规制措施非任意、不歧视且符合比例原则，即不构成FET违反。

(三) 间接征收问题

数据规制措施虽未直接剥夺投资者的财产权，但可能通过增加运营成本、限制数据使用等方式构成“间接征收”。判断是否构成间接征收，需综合考虑政府措施的目的、性质与经济影响。而东道国的管制措施是否构成间接征收的关键在于该行为带来的变化是否导致外国投资者的财产或利益被实际剥夺[6]。仲裁庭认为，仅为公共利益而并未实质性剥夺投资价值的措施不构成征收。数据规制措施若出于网络安全、隐私保护等正当目的，且未完全摧毁企业的商业模式或投资价值，则不被视为征收。例如，俄罗斯第242-FZ号法案要求公民数据境内存储，虽增加企业成本，但未禁止数据跨境传输的整体活动，因而不构成间接征收。

然而，若数据规制措施导致企业无法继续运营或投资价值被实质性剥夺，则可能构成间接征收。例如，若一国突然禁止所有数据出境，且未提供合理补偿，则可能触发征收条款。目前尚无数据规制被认定为间接征收的仲裁案例，但随着数据依赖型投资的增加，此类争议可能逐步显现。

4. 例外条款适用的挑战

(一) 国家安全例外

多数IIAs包含国家安全例外条款，允许东道国为保护“基本安全利益”采取必要措施。数据安全与网络安全是否属于“基本安全利益”，已成为国际争议焦点。虽然国际投资法承认东道国在保护数据安全及国家安全方面享有较大规制空间，但仲裁庭在判断数据规制措施是否符合例外条款时，会进行综合考量，平衡东道国公共利益与投资者权益。

然而，IIAs中常见的“自判断”条款(self-judging clause)赋予东道国较大自主权，但仍需受“善意原则”约束。也就是说仲裁庭通常保留最低限度的审查权，即“善意原则”审查。如果投资者能证明东道国援引例外条款是出于恶意、或构成权力滥用、或仅为伪装(例如，以国家安全为名，行保护本国产业之实)，仲裁庭仍可能裁定东道国违约。如在CMS v. Argentina案中，仲裁庭虽承认阿根廷可以援引国家安全例外，但仍审查其措施是否“必要”与“合理”，而条约中的安全例外条款没有“其认为必要的”措辞。仲裁庭因此采用了客观标准进行审查，最终裁定阿根廷的措施不符合“必要性”要求。⁷

(二) 一般例外

大多数IIAs参照GATS第14条及《关税与贸易总协定》(GATT)第20条设置一般例外条款，它承认国家有权为了保护重要的公共政策目标(如公共健康、环境、道德等)而采取必要措施，即使这些措施可能对投资者或投资造成负面影响。数据规制措施若以个人信息保护为目标，可援引此类例外，但须通过“必要性测试”，即不存在合理替代措施，同时不得构成任何不合理的歧视或是变相限制。如ADC v. Hungary案要求投资协定中包含的公共利益要求相关措施必须与公共利益有一种真实的联系，⁸如缺乏这种真实联系仅以公共利益为名进行数据规制，那东道国的规制行为就是毫无意义的[7]。

5. 中国的实践与因应策略

(一) 中国数据规制体系与IIAs义务的协调

中国已构建以《网络安全法》《数据安全法》《个人信息保护法》为核心的数据治理框架，实行数据分类分级管理，对重要数据和个人信息出境实施安全评估、标准合同等限制措施。这些措施总体上内外资一致，基本符合国民待遇原则[4]。

然而，审批效率低、透明度不足等问题可能引发FET争议。例如，数据出境安全评估在实践中存在周期长、标准不明确等问题，影响企业预期。此外，2023年9月发布的《规范和促进数据跨境流动规定(征求意见稿)》虽放宽部分程序要求，但也引发对政策稳定性的质疑。中国应在执行层面提升数据规制的透明度与可预期性，明确审批时限、公开评估标准，并设置合理的过渡期，以降低国际投资仲裁风险。

(二) IIAs条款的完善建议

第一，明确数据资产地位：在未来IIAs谈判中，可将“数据财产权益”纳入投资定义列举项，同时明确其须符合东道国法律。为避免争议，可尝试设计类似如下示范性条款：

“投资”定义条款(增补草案)：

为本协定之目的，“投资”是指投资者直接或间接拥有或控制的、具有投资特征的各类资产，此类特征包括资本或其他资源的投入、存续期限、预期收益或利润、或风险的承担。投资形式包括但不限于：

(a) 动产、不动产及其他财产权利；

(b) 公司的股份、股权及其他形式的参股；

(d) 知识产权，特别是版权、专利、工业设计、商标、商号、商业秘密、专有技术和商誉；

(e) 依据法律或合同授予的商业特许权，包括自然资源的勘探、种植、开采或开发的特许权；

(f) 交钥匙、建设、管理、生产、收入分享及其他类似合同项下的权利；

(g) 数据资产，即以电子形式存在的、可供处理并具有经济价值的任何数据集合，但其作为投资受本协定保护，须以该数据集合的获取、处理及跨境传输符合东道国关于数据安全、个人信息保护及网络安全的法律法规为前提。

此条款设计一方面承认了数据的经济资产属性，另一方面通过合法性挂钩充分尊重了东道国的数据规制权。

第二，细化例外条款：应明确将“数据安全”“网络安全”及“个人信息保护”纳入国家安全例外与一般例外范围，并设定清晰的适用条件以防止滥用。为减少因规则概念笼统而引发的争议，也可考虑在IIAs附件或外部备忘录中，对基于数据与网络安全例外的数据本地化措施进行列举，以形成“正面清单”，使必要措施的范围得以具象化与明确化[1]。

第三，适当限制投资定义外延：排除纯粹的市场份额、预期收益等贸易利益作为投资，防止IIAs覆盖范围不当扩大。第四，加强程序保障：提升数据规制措施的透明度、可预见性，设置合理的过渡期与磋商机制。例如，在数据立法前设立公众评议期，发布合规指南，帮助企业适应新规。

(三) 多边层面的参与与规则构建

中国应积极参与WTO电子商务诸边谈判，推动形成兼顾数据自由流动与监管权的国际规则。在G20、APEC等平台倡导发展中国家的特殊与差别待遇，允许其在过渡期内采取必要的数据本地化措施。

此外，中国可在“一带一路”倡议下推动数字经贸合作，与沿线国家签订数字经济伙伴协定，构建“数据丝绸之路”规则体系。通过双边、区域与多边机制的联动，增强中国在国际数字治理中的话语权。

6. 结论

国际投资协定在数据跨境流动规制面前显露出明显的不足。数据是否构成“投资”、数据规制是否触发IIAs义务、例外条款如何适用等问题均缺乏明确答案，导致合规性判断充满不确定性。作为数字大国与IIAs重要缔约方，中国应通过国内法治与涉外法治的统筹，在IIAs中明确数据资产的法律地位，细化例外条款适用条件，防止数据规制措施被滥用；同时积极参与多边规则构建，推动形成平衡、包容的数字经济国际治理体系。未来，只有实现数据流动自由与国家安全、公共利益的合理平衡，才能为全球数字经济的可持续发展提供稳定可靠的制度保障。

NOTES

¹See Salini Costruttori S. p. A. and Italstrade S. p. A. v. Kingdom of Morocco, ICSID Case No. ARB / 00 / 4, Decision on Jurisdiction, July 23, 2001, p. 52.

²SGS v. Philippines,ICSID Case No. ARB /02 /6, Decision on Jurisdiction, 29 January 2004, pp. 102-103.

³CSOB v. Slovak Republic, ICSID Case No. ARB /97 /4, Decision on Jurisdiction, 24 May 1999, p. 89.

⁴See Bayview Irrigation Dist. et al. v. United Mexican States, ICSID Case No. ARB(AF) / 05 / 1, June 19, 2007, p. 19.

⁵See Saluka Investments B.V. v. The Czech Republic, UNCITRAL, Partial Award, 17 March 2006.

⁶See Metaclad Corporation v. The United Mexico States, ICSID Case No. AF/97/1, Award, 30 August 2000.

⁷CMS v. Argentina, ICSID Case No. ARB /01 /8, Award, 12 May 2005, pp. 320-321.

⁸ADC v. Hungary, ICSID Case No. ARB /03 /16, Award, 2 October 2016, p. 432.

参考文献

[1]	张渝. 数据本地化措施兴起下国际投资保护规则的适用困境及其纾解[J]. 武大国际法评论, 2021, 5(4): 139-157.
[2]	齐鹏. 中国与DEPA数据跨境流动: 规制差异及制度对接探究[J]. 法学评论, 2025, 43(3): 30-43.
[3]	张倩雯. 数据跨境流动之国际投资协定例外条款的规制[J]. 法学, 2021(5): 90-102.
[4]	王宁姝. 国际投资法语境下的数据跨境流动规制研究[J]. 国际经济法学刊, 2024(4): 71-96.
[5]	张倩雯. 国际投资中数据的性质判断及保护[J]. 法学, 2024(7): 173-192.
[6]	张倩雯. 数据本地化措施之国际投资协定合规性与中国因应[J]. 法商研究, 2020, 37(2): 85-98.
[7]	张生. 国际投资法制框架下的跨境数据流动: 保护、例外和挑战[J]. 当代法学, 2019, 33(5): 148-160.

为你推荐

友情链接