1. 引言
在数字市场中,跨境数据流动是其极为重要的组成部分。所谓“跨境数据流动”,在法律意义上,它是指从本司法管辖区转移数据到其他司法管辖区,或是转移到其他司法管辖区之后意图再转移的行为。对于实施跨国战略的企业,数据的跨境流动在所难免,跨国企业试图将全球规模效率同本国企业在本地相应的优势结合起来,从而对不同单位分配相应责任,以最佳的方式实现效率和灵活性的双重目标,在此过程中,获取与流动不同地区的数据就成为了不可避免的步骤。大数据凭借其庞大的规模、来自多个来源的持续监测,以及复杂的分析能力,使得数据的聚合更加精细、更具揭示性和更具侵入性。
一方面,跨境数据流动会引起世界各地有关数据保护的法律改革。比如美国,在跨境数据流动问题上,美国向来持一种相对自由的立场,不赞成他国以限制数据跨境的法律政策设置贸易壁垒。美国国内法认为,数据主体的个人信息可以用于互联网服务交易,在州一级,例如,《加利福尼亚消费者隐私法》规定,立法机构的意图是通过给消费者一个有效的方式来控制他们的私人信息,以促进加州的隐私权保护。满足法律的要求,企业可以为消费者提供经济奖励[1]。而在欧盟,情况恰恰相反,欧盟致力于高标准的个人数据保护和对跨境数据流动采取更严格监管。在欧盟境内实践中,《欧盟基本权利宪章》认为个人数据保护权是一项基本权利。此外,在2016年通过的《一般数据保护条例》(GDPR)也正是基于该主张对个人信息实施严格保护。总结上述两方对跨境数据流动方面的态度可知,通过传统国际合作模式或共享性协议来实现跨境数据保护已经变得不太可能。
另一方面,跨境数据流动带动全球数字经济持续发展。根据《2023全球数字经济发展指数报告》,2013年以来,全球数字经济发展整体呈现上升趋势,TIMG指数的平均得分从2013年的45.33升至2021年的57.01,增长幅度为26%,特别是在2018年之后,全球主要国家在数字经济方面的追赶态势愈发明显,TIMG指数的全球中位数开始超过全球平均水平,并呈加速上升趋势[2]。总结上述数据来看,跨境数据流动已经成为一国经济发展之重要辅助手段,并且在未来,数字经济发展指数仍会只增不减。
因此,信息时代下的跨境数据流动有利有弊,如何在现有的贸易框架内合理地使用数据流动以及在使用跨境数据与保护各种利益间进行平衡就成了一个新颖的问题。比如,现有的规则国际贸易的框架主要为世界贸易组织(WTO),那么WTO是如何规制跨境数据流动并且在规制的过程中会发生什么问题,这些都需要进一步讨论。本文除在试析上述关系与问题之外,还对有关WTO跨境数据流动规制的未来发展做了前景展望。
2. GATS对跨境数据流动规制存在局限
2.1. 适用范围
GATS通过加强成员在服务贸易方面的承诺和义务,旨在在透明与逐步自由化的基础上,进一步扩大服务贸易的规模。根据GATS第1条第2款,服务贸易包括跨境交付、境外消费、商业存在和自然人流动四类模式,因第一种模式“跨境交付”与跨境数据流动联系程度最为密切,故本部分讨论的内容是,对跨境数据流动的规范措施是否能够成为GATS的规制对象。以在线消费为例,几乎每一个环节都包含数据的跨境传输,在此过程中,成员方对企业、个人信息或其他数据等施加流动限制或本地化措施,都可能受到GATS的规制[3]。这一依据源于2001年WTO颁布的《〈服务贸易总协定〉下具体承诺的排期准则》(以下简称《排期准则》),依照该准则可知,WTO已确认“跨境交付”可以涵盖始于一个国家的电信网络中,而结束于另一个国家的网络中的服务,故而,作为数字贸易典型代表之一的在线消费作为同为通过电信网络进行的活动之一,自然也应被列入“跨境交付”中来。总的来说,互联网服务涵盖了生产、流动、销售和购买等多个环节,只要其中一个环节是通过跨境数据流动来实现的,那么它就可以成为第一种服务贸易的承诺对象[4]。
然而,尽管《排期准则》对“跨境交付”的范围做了规定,但相关条文的缺失体现了GATS在其结构方面存在缺陷。首先,GATS项下并没有规制有关跨境数据流动的具体规定,其次,成员有关服务贸易的具体承诺通常是基于《服务贸易部门分类表》(W/120)而做出,W/120包括GATS所涵盖的全部服务类型,其目的为确保各成员做出的承诺具有一致性与兼容性。然而,在20世纪90年代初期,互联网技术尚未达到完全商业化的成熟阶段,其没有被涵盖在分类列表里,由此导致无论是作为其他服务提供手段,还是作为独立的服务领域,互联网服务都无法被记载到服务分类中,作为重要组成部分之一的跨境数据流动亦无相关归类。
针对上述缺陷,“美国赌博案”1正式确立了技术中立原则[5]。在其之后的“中国出版物和视听产品案”2中,WTO争端解决机制在确认了中国承诺列表中所列出的概念具有较高的概括性之后明确指出,GATS的应用范围将会随着时间的推移而发生相应的变化[6]。换而言之,尽管有的服务类型最初没有被纳入W/120分类表内,但表中的服务对象可以辐射到基于新技术产生的最新服务类型。然而,如果数据跨境流动的管理措施能够遵循技术中立性的原则,那么成员对第一类服务的承诺便可能会扩展到与数据跨境流动相关的在线教育和其他电子商务服务。为了防止盲目地应用技术中立性原则,从而导致承诺表中的保留选项变得无效,应制定更为明确的应用准则。
2.2. 例外条款
2.2.1. 一般例外
如果想要确认检验对象是否属于GATS第14条一般规定,须满足两个条件:一为对象要满足但书规定,二为对象是(a)至(e)范围中的任意一种。其中,与对跨境数据流动施加限制措施最有关联的规定当属“(a)为保护公共道德或维护公共秩序而必需的”和“(c)为确保服从与本协定不相抵触的包括与下述有关的法律和法规所必需的第(ii)项与第(iii)项”。
首先,关于成员方被质疑的限制数据跨境流动的措施是否属于(a)款范围内,需要从两个方面进行判断,一方面需要分析被质疑的措施是否能够被划分至“为保护公共道德或维护公共秩序而必需的手段”,另一方面需要分析实施该手段是否是“必需的”。如何对“公共道德或公共秩序”进行确定与解释,对于能否有效援引该条款至关重要。目前,对“公共道德”、“公共秩序”暂无权威解释,以“美国赌博案”为例,上诉机构认为这两个概念的含义是由多个因素共同决定的,包括但不限于社会关系、文化背景和伦理观念。当成员引用这一条款时,他们有权基于自己的法律框架和价值观来定义“公共道德”和“公共秩序”[7]。这种观点为成员提供了相对较大的自由裁量权,此外,上诉机构还认为,“公共道德”,代表一个国家或地区在判断行为时的正确与否,而“公共秩序”则是为了维护社会的核心利益。该案专家小组的观点与上诉机构一致,同样认为这些内容在时间和空间上各有不同的评判标准,成员方有权决定他们认为适当的保护等级。对于“公共秩序”的理解需要结合GATS脚注5进行,即公共政策和法律所反映的社会基本利益的保护[7]。按照注释的理解,只有对社会基本利益造成真正且严重威胁时,才可援引一般例外条款下的公共秩序例外。而关于“真正且严重的威胁”的认定,WTO专家组或上诉机构均未进行评估[8]。因此,以GATS第14条(a)款规制跨境数据流动存在局限。
其次,关于成员方被质疑的限制数据跨境流动的措施是否属于(c)款第(ii)项与第(iii)项范围内,相对于(ii)项而言,(iii)项更需要进行解释,因为(iii)中的“安全”和第14条之二安全例外下的“国家安全”存在差异,需区别看待。(ii)项中的“安全”一词,按照《维也纳条约法公约》第31条规定,条约解释时应结合条款的上下文、条约目的与宗旨。此处的“安全”根据上文理解解释为“个人信息及隐私安全”更为贴切。因此,成员方如果针对对方成员针对有关个人信息安全或隐私安全采取限制跨境数据流动的措施而提起申诉,那么对方就可援引(ii)项和(iii)项进行抗辩。如果成员方援引第14条上述两项进行抗辩,其需要证明其为遵守国内法规实施的限制措施是必要的。如果该成员能够通过必要性测试,那么申诉方则需要考虑是否存在对贸易限制更小的合理可行的替代方案。实际上,无论是必要性测试还是探寻替代性方案均是“取决于限制措施的特殊性质和框架以及相关证据”[9]。最后,还需评估成员方对跨国数据流动的限制是否满足第14条序言要求,即不在情形类似的国家之间构成任意或不合理歧视的手段或构成对服务贸易的变相限制。
尽管出于对个人信息或个人隐私数据保护而采取限制措施为成员方间的常见理由之一,而该理由与第14条(c)款第(ii)项与第(iii)项具有密切联系,所以用该两项规定规制数据跨境流动的限制措施从条文上看具备可行性,但成员方各国对“个人信息”和“个人隐私”的定义以及保护存在不同的标准,在不可能规定统一的有关“个人信息”和“个人隐私”定义和保护标准的情况下来确定限制数据流动措施是否满足目标是非常困难之事。此外,“必要性测试”中的相关证据收集程度取决于具体情况,那么倘若限制跨境数据流动的措施不能达到改善数据安全的效果,则有可能无法通过GATS第14条的必要性测试。因此,以GATS第14条(c)款第(ii)项和第(iii)项规制数据跨境流动存在局限。
有关GATS第14条能否规制跨境数据流动方面,不仅在条文上适用起来存在缺陷,迄今为止,在WTO争端解决案件中,还未有先例阐明运用第14条来解释跨境数据流动限制性措施。综上所述,GATS第14条一般例外规定在规制跨境数据方面存在不足。
2.2.2. 安全例外
GATS第14条之二安全例外的主要规范对象为涉及社会、国家层面的安全利益,而非个人安全利益。因此,若想确定该条规定能否规制数据的跨境流动,就需讨论其是否属于GATS规定涵盖的范围内以及能否被WTO合理规制。例如军事机密数据、涉敏实验数据等非个人数据的流动往往关涉到安全层面。对此,各个国家都会在其出口管制规定中施加限制,而在经济贸易协定中,这通常被视作一个特例条款。在GATS第14条之二中,第1款(a)项最有可能成为对涉及公共领域数据流动采取限制措施正当性基础。这点规定源于GATT第21条安全例外条款,该条款通常理解为是各成员的自决条款,因为是自决条款,故涉及国家层面的安全利益可能并不在专家小组审查的权限范围内。
上述字面理解思路在2019年“俄罗斯–乌克兰禁运措施案”中被推翻3。专家小组指出,对象措施是否符合GATT第21条规定的安全例外,不应由成员方自行评判,应当由专家小组进行评定[10]。然而,因该案属于有关GATT适用产生争议的案件,数据跨境流动的主要规制文件为GATS,故专家小组的报告意见不能完全平移到GATS第14条之二安全例外上,与此同时,有关“国家安全”所涵盖的范围在不同成员方间存在较大的差异,综上所述,GATS第14条之二安全例外规定在规制跨境数据方面同样存在不足。
3. 试析GATS规制跨境数据流动存在缺陷之根本原因
3.1. 安全利益
首先,数据安全。成员方围绕数据安全的重视程度存在不同,例如,美国倡导自由贸易,认为过分强调保护个人信息与隐私会阻碍数据的跨境流动从而影响贸易发展,主要严格禁止本地化及转让源代码要求。而欧洲则将保护隐私置于数据跨境流动之上,认为个人信息与隐私是一项基本权利,对此,欧盟于2016年制定并通过GDPR详细地对个人数据展开了规制。有关个人信息与隐私的论述将在第2点详细展开。
其次,网络安全。一方面,网络环境确实有可能孕育出各种不同类型的犯罪活动。另一方面,由于权力的争夺和数据的角逐愈演愈烈,网络安全问题也因此而受到了广泛的关注。存在分歧的主要原因有三,第一,贸易规定与网络空间管理在实际情况中有一些矛盾。强势的利益相关方可能会尽其所能地推动互联网的开放政策,从而反抗为确保网络安全所需的公共策略空间。第二,许多发展中的成员在关键信息基础设施的保护和物联网的安全措施上都存在明显的短板。如果不加限制地允许跨境数据的流动,很容易受到攻击,从而在政治、经济、军事等多个领域产生安全隐患。鉴于此,发展中的成员高度重视网络的安全性,因此他们会实施限制跨国数据流通的策略。第三,美国持续扩大的“长臂管辖”加剧其他国家对网络安全问题的忧虑。在2018年的3月份,美国国会正式批准了一项名为《澄清境外数据的合法使用法案》的法案,该法案授权美国的执法部门有权访问美国企业在境外服务器上存储的用户信息。这项法律严重削减了其他主权国家对其国内数据的主导权,导致其他国家纷纷制定相似的法律来应对,同时也在不断强化国内的互联网管理和网络安全体系,使得各国之间的政策协同变得更为困难[11]。
最后,国家安全。尽管国家安全是所有成员方的关心核心,但对其界定却存在分歧。在制定评判标准时,需要综合考虑各国的任务和目标,因为不同的国家对此有不同的解读,并且这些解读并非固定不变。因此,各国往往会展现出某种程度的理性和克制,以最大限度地减少触发国家安全条款的次数,从而维护国际经济秩序的稳定性。然而,目前关于这个议题,各方之间的分歧特别明显。一方面,一些非西方国家认为,部分西方国家策略性地使用互联网来对抗它们(尤其是通过社交媒体)可能会威胁到他们的国家政权,因此他们抵制跨境数据的自由流动[12],这与发达国家提倡的网络开放政策产生了冲突。另一方面,以美国为例,美国的国家安全观念经历了显著的扩展,其中经济的竞争逐渐与国家安全紧密相连。美国经常以此为由对其他国家实施单方面的制裁,这导致了对此概念的前所未有的混淆。在《美日数字贸易协定》里,安全例外条款代表了美国在双边协议中融入扩展后的国家安全观念的重要尝试。美国在批评其他国家以国家安全为由限制跨国数据流动的同时,却默许自己不断扩大这个概念的含义,将其作为保护主义的手段,使得谈判变得更加复杂。
3.2. 个人信息与隐私
WTO一直在追求全球贸易的自由化,这一点也与互联网高度开放的特性相吻合,但由于并不是所有国家在制定规则时,都将实现国际贸易自由作为规则所要实现目的之一,这就导致不同地区、国家之间对同一个问题的规定可能会存在巨大差异,以美、欧、中为例,三者对于个人信息与隐私的规定就存在较大差别。
首先,美国以促进数据跨境流动自由度的最大化作为根本目的,通过平衡个人信息保护和信息的自由流动来进一步发展全球电子商务。掌握着全球数字经济的关键环节,出于保障在全球数字经济的领导地位之目的,其力争在保障自身国家利益的情况下,促进数据跨境流动的自由度最大化。为实现这一追求,美国在跨境数据流动相关国际条约、自由贸易协定(FTA)等占主导地位,将其价值取向渗透入参与的单、双边协议的制定,力求降低甚至消除数据跨境流动壁垒,同时,其也不断巩固其国内法律制度建设,完善国内数据流动规则体系。但值得注意的是,今年2月28日,拜登政府依据《国际紧急经济权力法》(IEEPA)发布了一项保护美国人个人敏感数据免遭“受关注国家”利用的行政命令。美国司法部同时发布了执行该行政命令的拟议规则制定的预通知,概述了实施该命令的规则。从已有信息已经可以判断,美国政府决意切断某些敏感数据向中国和其他几个同样被美国视为“外国敌手”的国家的跨境传输。尽管要切断跨境传输的不是所有数据,针对的对象也只是几个国家,白宫也强调这不是要破坏美国维护开放互联网的承诺,但对一直主张比较彻底的数据跨境自由流动的美国而言,这些行动无疑代表了其数据政策和法律的重大转变,在美国历史上第一次创建了一个美国人数据跨境传输的审查机制,也成为继中国之后,第二个政府基于国家安全理由明确介入商业数据跨境流动的国家。白宫发布的新闻稿也承认,这是“美国总统为保护美国人民的数据安全所采取的最重要的行政行动”。严格保护美国人的数据安全是否反映出其在数据跨境自由流动问题上的国家立场发生了改变,成了值得探讨与跟进的话题。
其次,欧洲对待跨境数据流动与保护个人信息与隐私的态度一直秉持着高标准的贸易规则和严格的隐私保护。1995欧盟《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》以欧盟地域为限,拒绝成员国个人数据向低于欧盟保护标准的国家流动,除非数据接受国能够证明其收集行为及内容得到数据主体明确同意,或出于重大公共利益保护目的,或其采取的措施足以保证数据跨境流动的安全性。此外,欧盟于2016年制定并通过GDPR详细地对个人数据展开了规制,共分为三点:第一,对成员国保护个人数据和消除成员国之间数据流动障碍提出强制性法律要求,为成员国可以直接适用具体规则。第二,强调数据主权的维护,对数据流出GDPR适用低于的情形提出严格要求。第三,针对跨国集团内部数据的流动,创设“约束性企业规则”(BCR),对总公司或子公司位于欧洲境内的跨国公司规定严格的数据管理行为准则,并要求其接受欧盟成员国数据管理当局的监督以及欧盟境内法院的管辖。由此可见,欧盟将保护数据置于较跨境数据流动更优先的地位,为此可限制个人信息流向标准不足的国家或地区。
最后,与美欧不同,中国对个人信息与隐私的保护与跨境数据流动持一种谨慎态度。在中国,与欧盟不同,中国认为个人信息保护是一项人格权而不是基本权利。《民法典》第111条和第1034条至1039条涉及个人信息的保护条款,侧重个人信息的合理利用,也就是说,收集而来的个人信息必须以正规途径用在正当、合理、合法、必要的事情上。中国立法对个人信息秉持合理利用的态度,就表明其并不反对个人信息的自由流动。而关于隐私的条款则侧重于不侵犯隐私,而非合理使用,这种消极的立法态度表明中国对待个人隐私的比较偏向本地化保护。可见,中国对于隐私权和个人信息的保护存在较大区别,与此同时,中国提案的关注重点依然是一些传统和常规问题,如跨境货物贸易、与互联网相关的支付,对于跨境数据流动方面仅提出一些原则性的内容,没有具体展开。
4. WTO框架下跨境数据流动规制的前景展望
4.1. GATS国家安全与例外条款的合理融合
目前,经济和贸易规定中存在的特例条款有被机会主义利用的可能性,在全球数字贸易规则的制定过程中,将国家安全与例外条款进行恰当融合,有利于预防特例条款被国家予以不当运用。从全球跨境数据流通网络的建设角度来看,GATS的现有架构和监管措施较为粗糙,需要进一步优化。GATS的第14条安全的例外规定主要是为了国家的安全和公共政策目标而制定的外交规则,各成员国虽然可以根据自己的判断来决定,但其并没有给出一个最基本的参考线。为此,随着近年来WTO电子商务谈判的频繁展开,WTO可以在该谈判中将其作为一个独立的议题来讨论,并特别关注如何在安全例外条款中保护国家的安全利益。通过分析对主要国家的数据立法逻辑和途径,不难看出,各国在国家安全利益方面的分歧主要集中在数据的分类和认定上。从宏观角度看,数据的分类至少涵盖了四个方面:首先,根据数据对象分为个人数据和非个人数据。其次,根据性质(如数量、种类和更新频次等)分为限定数据和常规数据。再次,根据价值分为知识产权数据和非知识产权数据。最后,根据生命周期分为获取、应用和处理等各个阶段的数据。本文认为,各国在数据安全立法方面的调和基础在于明确在国际层面应采用何种分类标准。在国际规则层面,分类标准不应基于国内立法的数据分类基础,而应根据数据调取和利用的目的来进行分类,例如犯罪搜查数据、国家安全数据和重点产业数据等。此外,还需明确,国家的安全数据应涵盖与未来产业增长、知识产权的维护、技术转让等经济安全相关的信息。
4.2. 通过互认机制协调个人数据保护标准
根据前文内容可知,不同国家对个人数据的保护措施存在的较大差异是导致WTO无法完全规制跨境数据流动的主要原因之一,因此,WTO有必要对个人数据保护标准做出一定的规范,在这之中,互认机制应当起到重要的协调作用。GATS第7条“服务提供者获得授权、许可或证明的标准或准则”为互认机制的实施提供了依据,而欧盟与美国签订的《安全港协议》和《隐私盾协议》就是通过相互认可的机制来调整个人数据的典型例子。GATS第7条虽然允许对特定国家选择性承认协议,但此条款明确规定数据的来源国不能在有相似条件的国家间产生歧视,并为其他国家提供加入该协议的机会。数字鸿沟的存在使得通过互认机制协调数据保护标准的实践主要集中在大国之间,发展中国家和最不发达国家因缺乏实践基础而无法参与其中。依据GATS第7条第5款规定,只要适当,承认即应以多边议定的准则为依据。在适当情况下,各成员应与有关政府组织或非政府组织合作,以制定和采用关于承认的共同国际标准和准则,以及有关服务行业和职业实务的共同国际标准。按照第5款规定,成员方有权通过与涉及个人数据有关的议题与其他成员方或相关机构合作,使得互相认可的对话变得更加有深度。WTO有能力与致力于国际合作制定隐私规范或标准和跨区域隐私执法的机构保持紧密联系,例如数据保护与隐私专员国际大会。该机构在制定关于数据保护的最佳实践的国际标准上发挥着关键作用,并在进一步建立数字隐私相关规定和形成国际共识上产生了至关重要的影响。
5. 结语
跨境数据流动作为数字贸易的重要表现形式之一,其不仅能够带动全球数字经济持续发展,还会引起世界各地有关数据保护的法律改革。WTO框架下的GATS存在范围局限和规定不明确的缺点,无法解决在跨境数据流动方面产生的全部问题。一方面,WTO自身应当与时俱进,将国家安全与例外条款合理融合,着重解决安全例外条款中保护国家安全利益范围的问题。另一方面,其亦应当通过互认机制来协调数据保护从而缩小发达国家与发展中国家的差距。法律制度之间的整合几乎为不可能,尤其是在不同的经济结构中,法律制度的整合更为困难,而建立一个和谐、灵活且包容的体系则是最佳选择。
NOTES
1WTO“美国赌博案”案号:DS285。
2WTO“中国出版物和视听产品案”案号:DS363。
3WTO“俄罗斯–乌克兰禁运措施案”案号:DS512。