CPTPP数字贸易规则:制度博弈、规范差异与中国因应
孙南翔摘要:近年来,中国、美国、欧盟等逐步探索以数字贸易为方向深化区域层面的经贸合作。但由于互联网经贸治理机制碎片化、主要大国立场分歧难以消弭、互联网经贸单边主义抬头,数字贸易规则的国际化面临挑战。实践中,CPTPP数字贸易规则在数据跨境流动、计算设施本地化、源代码规则、数据内容流动等层面与我国《网络安全法》《数据安全法》《个人信息保护法》等存在一定程度的不一致性。为此,我国应积极探数字贸易国际规则在我国的可适用性及其适用路径,特别是探索数据跨境流动规则与数据分级分类制度的衔接机制,并及时构建起企业自律、社会参与、政府监督的安全风险防控机制。
关键词: 数字贸易;国际规则;数据跨境流动;中国方案
当前,中国、美国、欧盟等以数字贸易为方向,加速探索深化区域层面的经贸合作。但由于互联网经贸治理机制碎片化、主要大国立场分歧难以消弭、互联网经贸单边主义抬头,数字贸易规则的国际化面临挑战。习近平总书记在第四届中国国际进口博览会开幕式指出,中国将以积极开放态度参与数字经济、贸易和环境、产业补贴、国有企业等议题谈判。[1]当前,中国正式提出申请加入《全面且先进的跨太平洋伙伴关系协定》(简称:CPTPP)。其中,数字贸易规则成为中国加入CPTPP的难点议题,特别是CPTPP数字贸易规则在数据跨境流动、计算设施本地化、源代码规则、数据内容流动等方面与我国相关法律制度存在不一致性。为此,本文拟从数字贸易领域国际规则的发展演进为出发点,深入剖析中国接受CPTPP数字贸易规则的难点和重点问题,并探索数字贸易国际规则在我国的可适用性及可行的方法与路径。
一、数字贸易国际规则制定中的美欧博弈
数字贸易是当前国际贸易领域最具潜力的新兴贸易形式。[2]在国际规则层面,目前美国和欧盟已建立起规则范本,但二者存在一些理念性的分歧,而规则博弈的背后也反映出二者的经济利益之争。
(一)美式数字贸易规则范本:以维护互联网企业利益为导向
近年来,美国在国际社会中不断推出数字贸易规则。其中,以CPTPP、《美墨加协定》《美日数字贸易协定》等为主要的体现。CPTPP数字贸易规则的主要内容包括限权性规则和赋权性规则。限权性规则要求缔约方的行为不对数字贸易活动造成不必要的贸易障碍。例如,在“电子商务”章节中,其要求缔约方确保全球信息和数据的自由流动,承诺不施加对当地数据处理中心的限制,并且要求软件源代码不应被转让或评估。同时,CPTPP还直接规定缔约方不应对电子传输征收税收,不通过歧视性或彻底屏蔽的措施支持国内生产者或服务者。赋权性规则要求缔约方建立适用于网络空间的消费者保护制度、个人信息保护制度等。例如,CPTPP第14.7条规定,缔约方应制度或维持消费者保护法,禁止对参与线上商业活动的消费者造成损害或潜在损害的商业欺骗和欺诈行为。
2018年,美国、加拿大和墨西哥达成《美墨加协定》。《美墨加协定》的创新点之一在于首次专章提出“数字贸易”议题,其取代了传统美式自由贸易协定中的“电子商务”章节。《美墨加协定》第19章“数字贸易”适用于缔约方通过或维持的、以电子手段影响贸易的措施。本质上,《美墨加协定》延续了CPTPP的基本框架,例如规定对数字产品非歧视待遇、避免对电子交易造成不必要监管负担、不对数据处理中心和源代码进行贸易限制,以及保护消费者合法利益等规定。[3]
作为全球瞩目的最新经贸协定文本,与CPTPP等经贸协定不同,《美墨加协定》“数字贸易”章节具有一些新特征。第一,在适用范围上,《美墨加协定》增加了关于算法、信息内容服务提供商、交互式计算机服务、政府数据等新内容,使得《美墨加协定》从电子商务规则发展为数字贸易规则。例如,其第19.12条规定,“任何一方不得要求被涵盖的人使用或位于该地区的计算机设备,以此作为在该领域开展业务的条件”。新的规则内容使得数字贸易国际规则体系更加完善和系统。第二,在权利范围上,《美墨加协定》在消费者权利和个人信息保护层面强化缔约方共识。除透明度要求外,《美墨加协定》第19.8条直接规定了缔约方建立个人信息保护法律框架的指导原则,这些原则包括:“限制收集原则、自由选择数据质量、目的规范匹配、使用限制、安全保障、透明化、个人参与和可问责性”。其要求各缔约方应确保遵守保护个人信息的措施,确保对个人信息跨界流动的任何限制都是必要的,并与所面临的风险相称。该协定还大量涉及区域性合作标准与合作机制,以此推广美式经验。第三,在整体目标上,《美墨加协定》旨在弱化国家对数字贸易的监管能力。与CPTPP相比,《美墨加协定》删除了相应条款中的国家监管能力规定。例如,在运算设备条款中,新协定删除了“每一缔约方可就运算设备使用制定自己的监管要求”以及“不阻止在商业谈判合同中包含或实施与提供源代码相关的条款”等规定。
除CPTPP和《美墨加协定》外,美式数字贸易规则范本还体现在《美日数字贸易协定》中。该协定扩充了美国对数字贸易规则的实质性要求。其规定电子传输商品免税政策、电子产品非歧视待遇、禁止对电子信息跨境流动进行限制,并建立消费者保护、个人信息保护等制度框架。本协定指出,任何缔约方不应将计算设备本地化作为从事本地商业活动的前提,[4]并且不得将转让、获取源代码或加密密码,作为软件或产品在本地进口、分销、销售或使用的条件。[5]除外,该协定进一步规定了互动型计算机服务(Interactive Computer Services)的规范框架,即,任何缔约方在认定基于信息储存、处理、传输、分销或利用而产生的损害责任时,不应将互动型计算机服务视为是信息内容提供者,除非提供者或使用者部分或全部地创造或补充此信息。在解决网络安全时,此协定规定,当事方认识到以风险为基础的路径更能够解决网络安全,而非预先性的规制路径(prescriptive regulation)。[6]
由此可见,CPTPP奠定了美国数字贸易规则的范本,《美墨加协定》《美日数字贸易协定》基本沿袭了CPTPP的基础架构,并进一步强调美国互联网企业的核心利益。例如,要求承认计算机服务的避风港原则以及对各国网络安全的集体应对机制作出协调安排。
除在双边层面推动数字贸易外,美国还单边发布贸易报告,督促其他国家减少对数字贸易活动的干涉。2020年《美国国家贸易评估》报告认为存在如下数字贸易壁垒:其一,对数据跨境流动和数据本地化储存的要求。例如,美国指出,印度2019年隐私法修改草案将使得行政机构能够不当获得数据,这产生对隐私权保护及商事主体知识产权保护等问题的关注。除外,印度尼西亚、肯尼亚、韩国、尼日利亚、俄罗斯等国家的数据跨境流动和数据本地化储存规则也被美国所批评。其二,针对网络服务的限制。例如,美国认为,越南要求广告商与本地服务提供者签署合同,作为外国网站投放越南广告的前提条件。该规定使得商业主体增加不必要的成本。其三,针对数字产品的征税。2019年,法国通过数字服务税。美国贸易代表依据1974年《美国贸易法》第301节对法国数字服务税进行调查,并认定法国数字服务税对美国商业造成不合理的或歧视性的负担与限制。[7]毫无疑问,美国从单边和双边等多种渠道,推动数字贸易的自由化及国际规则的协调化进程,这本身体现出美国互联网企业强烈的利益偏好。
(二)欧式数字贸易规则范本:以价值观与技术自主为特征
2019年,欧盟与越南签署了《欧越自由贸易协定》和《欧越投资保护协定》。这成为欧盟近年来最为重要的自由贸易协定新范本。《欧越自由贸易协定》数字贸易规则制定于“投资自由化、服务贸易和电子商务”章节中,其规定缔约方不对电子传输征收关税。在协定中,欧盟使用了大量的合作性或协调型条款。例如,其要求缔约方维持解决电子签名认证、中间服务提供者责任、非授权性电子商业通信规则、消费者保护等领域的对话机制。[8]实际上,《欧越自由贸易协定》服务贸易部分中还包括“计算机服务”内容。由此,欧盟拓展了数字贸易规则的适用空间,特别是拓展到服务、投资、自然人流动等领域。
在国际或双边层面,欧盟试图建立起协调机制和对话机制,解决数字贸易中的规则分歧与规制差异。近年来,欧盟对网络和安全的自主意识和话语权意识逐渐增强。2020年,欧盟发布了欧洲数字化社会、人工智能和数据战略等倡议或白皮书,其体系性地提出了“技术主权”概念。即,欧洲必须有能力依照其价值观,以符合法治的方式,作出自主选择。欧盟对技术主权的重点领域包括云计算、支付系统、人工智能以及网络安全等。
随着欧洲“技术主权”“网络安全”意识的抬头,跨大西洋的数字贸易合作领域出现了波折。这主要体现在三个方面:第一,美国和欧盟国家之间爆发针对数字税的贸易摩擦。法国政府指出,现有的企业税规则跟不上数字经济发展的实践,法国此举的目的在于促使全球数字经济税制改革。根据法国规定,数字税主要针对三类数字服务商——定向网络广告商、以广告为目的的用户数据销售商、网络中介平台。该法核心是对网站服务提供者的数字广告以及跨境数据流动的交易行为征税。但实践中,法国只面向全球年收入超过7.5亿欧元且来源于法国境内收入超过2500万欧元的互联网企业征收数字税。根据现有的标准,法国数字税的征税对象大约为30家企业,主要来自美国、中国和英国。其中,受法国数字税影响最大的企业为谷歌、苹果、脸书和亚马逊等互联网巨头。因此,法国数字税又被称为“GAFA法”。自法国探索数字税立法以来,美国坚决反对法国数字税。美国贸易代表办公室随后启动对法国数字税的301调查,并认定法国不公正地对待了美国企业。
第二,美国和欧盟之间的个人数据跨境流动标准分歧难以弥合。长期以来,欧盟坚持向国际社会推广《欧盟一般数据保护条例》中设定的个人数据保护标准;美国则认为,应以亚太经合组织《隐私框架》作为个人信息保护的国际指南。由于欧盟标准远高于《隐私框架》,美国和欧盟在数据跨境流动标准层面难以达成共同意见。[9] 2020年7月,欧盟法院判决指出,欧盟与美国达成的用于传输个人数据的《美欧隐私盾协议》(Privacy Shield)无效,因为美国在缺乏严格的、必要的基础条件时仍可获得个人数据。欧盟法院还指出,《美欧隐私盾协议》无法保证非美国公民不成为美国情报机构的调查目标,并且协议没有赋予这些主体对抗美国政府、寻求司法救助的权利。[10]
第三,在互联网语境下,美式和欧式经贸协定适用于数字贸易活动的例外规则有所变化。以欧盟与加拿大起草的《全面经济和贸易协定》为例。[11]其中的安全例外规则 “维持和维护国际和平与安全的国际义务”并未与《联合国宪章》相联系,[12]而是笼统地规定“本协定不阻止为实现国际和平和安全目的国际义务,缔约方采取其认为对保护必要安全利益必要的行为”。换言之,与《1994年关税与贸易总协定》相比,新近缔结的双边贸易协定拓展了对“国际和平和安全”的理解,使其可适用于网络空间的和平与安全议题。
由此,欧盟逐渐探索并形成符合其自身利益诉求的数字贸易规则文本,其利益诉求不仅体现为彰显独立的欧式价值观,还体现出限制美国互联网企业在欧洲发展与渗透的动机。
二、数字经济国际规则的发展动向
(一)数字贸易国际规则与差序化发展
由于数字贸易议题广泛,国际社会存在多种形式的治理机制,包括但不限于多边合作、区域合作、跨国与跨政府合作等模式。[13]WTO、世界经济合作组织、八国集团、二十国集团等规定了多边层面上的数字贸易规则;双边经贸协定在不同程度上制定了针对数字贸易、电子商务、电信服务等规则;各国也积极通过国内立法的方式对数字贸易活动进行规制。[14]除外,在国际社会上,联合国贸易法委员会、海牙国际私法协会等发布以《联合国电子商务示范法》为代表的国际性“软法”文件。
然而,全球数字贸易谈判平台的多样性,导致了全球治理机制的碎片化。一方面,在WTO机制下,各成员方已经分化为不同的阵营。2019年,中国、澳大利亚、日本、美国、欧盟、俄罗斯等76个世贸组织成员方签署《关于电子商务的联合声明》,强调各方启动WTO电子商务谈判与致力于实现高水平的电子商务规则的愿望,并将充分考虑WTO成员方在电子商务领域面临的独特机遇和挑战。[15]与此同时,仍有一半以上的WTO成员方未对电子商务议题谈判进行正式表态。在改革WTO的过程中,由于议题谈判关注点和潜在收益的差异,数字贸易规则在WTO协定的谈判必将是漫长且艰难的过程。
另一方面,美国持续破坏WTO机制。作为解决国际经贸议题的唯一多边机制,WTO正面临严峻挑战。通过阻碍WTO上诉机构成员遴选,频繁使用国家安全例外以及鼓吹所谓的“中国例外论”,美国正一步步破坏WTO机制的正常运转。虽然欧盟、加拿大等成员方对美国破坏多边贸易体系的做法表示反感,但至今尚未找到解决方法。[16]在此背景下,诸如《区域全面经济伙伴关系协定》(简称:RCEP)《全面且先进的跨太平洋伙伴关系协议》《美墨加协定》等大型区域贸易协定应运而生。由于覆盖面广且参与方为网络大国,大型区域贸易协定实质上可能削弱WTO在全球经贸规制的独特作用与功能。某种程度上,虽然互联网被视为是全球公共产品,但近期数字贸易国际规则正反映出区域化、碎片化、差序化的特点。
(二)数字贸易国际规则与网络安全竞争
中国和美国同属世界网络大国和强国。以二者为代表,目前主要网络大国对数字贸易国际规则仍存在难以消弭的分歧。具体而言,在数据贸易规则层面,美国是数字贸易自由的推动者,而我国以网络主权和数据主权为基础,强调国家对数字贸易活动的合法规制权。我国法律要求特定类型的数据存储应满足本地化要求。例如,美国苹果公司的iCloud为进入中国市场,在贵州设立数据中心,存储中国用户的隐私数据及密钥。[17]在国际投资规则层面,美国通过《对外投资风险审查现代化法》限制中国互联网企业并购美国公司,特别是其认为中国企业与政府存在密切关系,进而认为中国政府可要求本国企业提供域外相关的情报信息,甚至可要求在通讯设备中放置“后门”,并以此为理由,阻碍中资企业的正当投资权利。在数据治理层面,美国是“数据控制者”模式的推广者,而中国长期坚持以“数据存储地”模式行使数据管辖权。例如,我国《网络安全法》要求我国关键信息基础设施运营者在中国境内运营所收集和产生的个人信息和重要数据应储存在中国境内。[18]
如前所述,美国和欧盟之间长期就数据流动和管辖问题产生争议。例如,美国是数据贸易自由的拥趸;而欧盟则是将公民的数据权利视为是个人的基本权利。[19]毫无疑问,由于主要网络大国之间存在难以消弭的分歧,构建统一的、多边的数字经济国际规则难度仍较大。
(三)数字贸易国际规则与单边立法行动
2018年以来,随着互联网技术的重要性与日俱增,一些国家以国家安全和公共秩序为名,推行互联网经贸单边主义,甚至开始主张以国家经济制度作为审查企业的重要因素。例如,美国驻欧盟大使直接威胁到,任何西方国家如果在关键基础设施项目中使用华为等设备,美国将对此类国家采取“反制措施”。[20]
《美国对外投资风险审查现代化法》《欧盟外商直接投资审查框架条例》等新规不仅要求对企业进行个案审查,而且其涉及对国家政策甚至是国家经济制度的宏观审查。实际上,与其说美欧投资审查新规针对企业,不如说其核心在于对国家的市场经济制度进行审查。[21]2018年《美国外国投资风险审查现代化法》颁布后,中国赴美投资骤降近九成。[22]由是观之,该条例的出台旨在削减中国等新兴国家对欧盟战略性行业的市场投资份额。进一步的,国外互联网企业赴欧投资将面临更加不利的行政环境。在条例中,欧盟将安全审查事项拓展至政府设备或资产的不动产交易,该标的性质既包括个人所有的不动产,也包括国家所有的不动产。该条例并没有对公共秩序等重大利益进行界定,这给欧盟扩大“安全和公共秩序”定义提供了机会。
总体上,不仅在高新技术投资领域,在网络经济间谍、知识产权救济等层面上,一些国家的国内立法体现出单边主义的特征,这也对数字贸易国际规则的形成产生严峻的挑战。
(四)小结:CPTPP数字贸易规则成为主要经济体可能共同接受的规则样本
尽管统一的数字贸易国际规则尚难以形成,但作为当前全球最为重要的区域贸易协定之一,CPTPP数字贸易规则不仅具有美式规则的特征,并不断影响欧式规则范本,甚至也成为中国可能接受的规则样本,这使得数字贸易规则在中美欧间达成共识的可能性增大。从体量上看,CPTPP目前有11个成员,在美国退出之前,CPTPP成员的GDP占全球经济的36%,[23]对全球经济具有重要的影响力,是名副其实的超大型区域贸易协定。从规范水平来看,CPTPP在区域贸易协定史上率先对数字贸易议题进行了系统的规定。从国际法发展的角度来看,美式数字贸易规则已经随着多个美国主导的贸易协定的达成而正式生效,新签订的欧式区域贸易协定中的电子商务规则也借鉴了美式的部分内容,数字贸易规则将成为未来区域乃至多边贸易法治的重要组成部分。当前中国已经正式申请加入CPTPP。由此可见,CPTPP中的数字贸易规则成为了中国、美国和欧盟可能共同接受的规则形态。
三、CPTPP数字经济规则与我国法律制度的规范差异
在《电子商务工作计划》中,WTO将“电子商务”定义为“货物和服务通过电子的方式进行生产、分销、营销、销售或交付活动”。[24]电子商务是以网络通信技术进行的商务活动,主要指利用互联网从事商务活动。然而,数字经济的概念比电子商务概念范围更广,其不仅包括以跨境电子商务为服务内容的贸易形式,还包括社交服务、搜索引擎服务、云服务、应用商店及内容产品等层面的数字贸易。[25]必须指出的是,当前我国对外签署的自由贸易协定中的“电子商务”章节主要为跨境电子商务内容。例如,RCEP电子商务的主要内容为:无纸化贸易、电子认证和电子签名、线上消费者保护与个人信息保护、海关关税等议题。实践中,我国的新型数字贸易活动主要依托如阿里巴巴、京东等跨境电商平台为主要发展模式。但是我国在数字音乐、影音资料、软件服务、云计算等数字服务产品方面发展相对缓慢。[26]总体上,我国对外签署的区域贸易协定与数字贸易国际规则在开放程度上仍存在差距,特别是在数据跨境流动、计算设施本地化、源代码规则、数据内容流动等层面。由此,CPTPP数字贸易规则与我国法律制度之间存在潜在的规范差异。
(一)对数据跨境流动的要求
以CPTPP为代表的美式区域贸易协定旨在推动数据跨境流动并减少数字本地化存储的要求。例如,CPTPP第14.11条第2款规定,每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。我国已签署的RCEP“电子商务”章节规定,一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。某种程度上,CPTPP与RCEP在跨境信息传输具有相关性,二者均将数据跨境传输限定于“开展业务”或“从事商业行为”范围之内。
目前我国立法对数据跨境传输规定相对严格。例如,《个人信息保护法》第38条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件:通过国家网信部门组织的安全评估;按照国家网信部门的规定经专业机构进行个人信息保护认证;按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;法律、行政法规或者国家网信部门规定的其他条件。实际上,个人信息处理者的数据出境须由国家网信部门核准或由其认可。然而国家网信部门实践中无法识别纷纷复杂的数据出境需求,也尚未出台数据出境的标准合同条款,更难以对整个数据出境活动进行全面的监督。从此层面,我国笼统的数据出境管理要求可能成为限制数据跨境流动的因素。
进一步的,《个人信息保护法》第38条规定,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。虽然个人信息处理者可以依据RCEP主张对“开展商业行为”的数据自由流动,但《个人信息保护法》规定,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。这又导致我国数据跨境传输面临高额的成本负担。《网络安全法》第37条[27]、《数据安全法》第24条[28]有相似的规定。毫无疑问,我国数据跨境传输活动面临不加区分的严格要求,某种程度上这不利于数据跨境活动相关业务的开展。
(二)对数据本地化存储的规定
CPTPP第14.13条规定,任何缔约方不得要求其他缔约方的实体或个人在该缔约方领土内,将使用或设置计算设施作为在其领土内开展业务的条件。虽然第3款允许为实现合法公共目标采取或维持不一致的措施,但其要求措施不以构成任意或不合理歧视或对贸易构成变相限制的方式适用,并且不对计算设施的使用或位置施加超出实现目标所需限度的限制。
我国《网络安全法》《数据安全法》《征信业管理条例》《地图管理条例》等均规定了数据本地化存储要求。例如,《地图管理条例》第34条规定,互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内,并制定互联网地图数据安全管理制度和保障措施。在立法上,我国要求数据本地化存储的规则较为严格。实践中,相关措施有可能超过保护国家安全、公共利益等的必要性范围。
(三)对源代码、算法等的审查与评估
CPTPP第14.17条规定,任何缔约方不得将要求转移或获得另一缔约方的人所拥有的软件源代码作为在其领土内进口、分销、销售或使用该软件或含有该软件的产品的条件。就本条而言,需遵守上款的软件限于大众市场软件或含有该软件的产品,不包括用于关键基础设施的软件。但是在实际操作中关于“大众市场”以及“关键基础设施”等概念如何界定,仍不甚明朗。
实践中,我国要求重要产品的源代码应由国家相关部门进行安全审查。例如,《网络安全法》第35条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。个别西方国家长期质疑我国源代码安全审查制度存在泄露商业秘密的风险,由此对源代码、算法等的强制审查和评估活动,也可能成为与CPTPP数字贸易规则不一致的潜在风险因素。
(四)数字产品内容的跨境自由传输
CPTPP第14.4条规定,数字产品具有非歧视待遇。[29]USMCA更直接要求数字产品应享有自由交易的权利。实践中,数字内容产品一般需要经过我国内容审查才能够进行展示与交易。虽然有观点认为,服务贸易指向的是服务提供的方式和限制形式,而非服务的内容,[30]但是对内容的限制时常构成对服务贸易形式的限制。由此,内容审查制度与国际贸易法也存在关联性。这在“中国试听产品案”中有所体现。WTO争端解决实践已证明了内容审查的正当性。针对“中国试听产品案”,中国内容审查措施仅仅针对《中国版权法》第4.1条规定的“法律禁止出版和/或传播的事项”。在该案中,中国主张《关税与贸易总协定》第20(a)条的公共道德例外能够将违反义务的行为正当化。中国主张,某种程度上,文化产品和服务本身是文化属性和价值的载体,对该产品的进口和分销将会对公共道德产生负面影响,该影响对中国非常重要。[31]通过援引“美国博彩案”上诉机构的观点,即,每个成员方都有决定“是非行为标准”的自由,该案专家组最终认可了中国对公共道德价值的援引。[32]
实践中,我国对数字产品内容制定较为严格的规则。例如,《互联网信息服务管理办法》第15条对互联网信息服务提供者不得制作、复制、发布、传播含有的信息内容进行了全面的梳理。从争端解决实践出发,纵使我国能够援引公共道德和公共秩序主张例外,但过于宽泛的内容审查事前要求可能无法通过援引一般例外条款的“序言”要求,也无法满足关于措施必要性的认定要求。例如,在“中国视听产品案”中,虽然该案专家组能够认可中国的内容审查制度,但其也认同美国提出的存在其他具有更小贸易限制性的替代措施。[33]
四、对接CPTPP数字贸易规则的中国因应策略
在我国不断加大对外开放的基础上,数据跨境流动成为推动我国数字经济发展的必然选择。纵使CPTPP数字贸易规则与我国当前的法律制度规范存在不一致性,但我国仍可充分利用现有国际规则,在有效管控安全风险的基础上,为推动形成差异化的数字贸易规制体系提供制度保障。
(一)探索数据跨境流动规则与数据分级分类制度的衔接
CPTPP将数据自由流动限定在商业行为之中。从规则设计角度,这实际上契合我国当前推动的数据分类分级治理机制。本质上,分级分类制度是中国数字法治建设的创新方案。数据分级分类制度能够有效促进数据流动的安全评估、风险防范、安全管理等工作。例如,《网络安全法》第21条提出国家实行网络安全等级保护制度,采取数据分类、重要数据备份和加密等措施。《数据安全法》第21条规定,国家建立数据分级分类保护制度。《个人信息保护法》第51条规定,对个人信息实行分类管理。
但遗憾的是,相对与国内数据的流动而言,数据跨境流动制度尚未有具体的分级分类制度安排。在未来的制度设计中,可参考CPTPP,在商业领域,将数据自由流动作为基础原则,而以国家安全等合法理由作为国家规制的例外。同时,在非商业领域,我国应将数据安全保障制度作为基础,而将数据流动作为例外规定。
具体而言,第一,数据跨境流动的分级分类制度应依托数据流动可能产生的风险因素。若数据对国家安全密切相关,则基于国家安全关切,应对其采取严格的数据跨境限制的措施;若数据对集体利益及个人隐私利益密切相关,则基于公共利益目的,应采取数据跨境的风险评估和审查措施;除外,应允许数据更大程度地自由流动。当前“一刀切”的数据跨境流动制度安排,无疑无法满足商业行为下的数据跨境流动需求。例如,作为数字经济第二大经济体,我国企业及跨国企业有动力将一部分外国数据在国内进行处理和分析,此类数据与我国国家安全等利益关切不大,若将其严格按照我国数据法律制度进行规范,我国数据企业极可能选择不在我国境内存储境外数据,这无疑将会削弱我国数字经济行业的外向型发展机会。为此,推进分级分类制度在数据跨境制度中的适用,具有现实的必要性。
第二,数据跨境流动的分级分类制度应依据数据流动的性质所决定。实践中,绝大多数的跨国企业需要数据和信息在总公司与分公司、母公司与子公司之间进行内部传输。此类数据和信息的传播处于相对封闭的过程。为此,若此类信息不涉及对外或传输到第三方,则应允许跨国公司内部间最大程度的数据流动,避免影响商业的正常往来。
第三,数据跨境流动的分级分类制度应参考数据流动目的地的法治水平状况。欧盟目前采取了全球领先的数据和个人信息保护制度。但在其他国家的数据存储、流动与处理可能存在数据泄露或侵害个人隐私的风险。建立本国和他国之间数据保护水平的可比性标准,是数据跨境流动应解决的重点问题。为此,我国可依照数据流动目的地的网络法治水平以及数据流动目的地与我国数据治理的合作机制等因素,对不同的境外地区实施差别化的数据流动机制。
(二)发挥互联网企业自我安全审查与第三方外部审查相结合的路径
虽然有学者建议由政府机构对个人信息进行治理,[34]然而,在实践中,政府缺乏足够的人力和财力对所有的数据和信息进行全方位地管理。本质上,这也不符合CPTPP所载明的商业自由理念。为此,应构建企业自律、社会参与、政府监督的安全风险防控机制。其中,互联网企业和技术企业是安全风险防控机制中的关键因素。
互联网企业和技术企业本身最贴近个人信息处理者与数据主体,虽然一些西方学者持有“技术中性”论,但近年来,大型企业(特别是互联网平台企业)的公共属性日益强化。某种程度上,大型企业重塑经济生产的过程和组织形态,改变资源配置的方式,汇聚了巨大的社会力量。为此,在数据自由流动的过程中,互联网企业(特别是大型企业)应承担更高水平的自我监督义务,并有责任保障平台企业内的上下游企业履行数据治理的法律法规。
在具体的实施路径上,可探索创设自我审查与第三方审查的联动机制。在大数据时代,企业对外不可避免地应开展数据传输活动,采取数据跨境流动的严格监管制度并不现实也无必要。为此,数据跨境流动原则上应主要以自我评估报告为主。我国主管机构应要求企业自行开展与数据流动、数据本地化存储、数据产品内容等领域相关的国家安全风险评估,并定期将风险评估数据提交备案。
对于基础性的互联网企业而言,应引入第三方审查的机制。例如,《个人信息保护法》规定,基础性互联网企业应成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督。近期,美国脸书等互联网巨头成立内容监督委员会,聘请外部人员监督企业的运行。鉴于政府可能缺乏对互联网平台进行全面审查的行政资源和能力,为此,可将上述第三方监督审查模式推广到数字贸易领域,强制要求在中国运营的互联网巨头,依法成立由外部专家构成的独立运行的机构,对数字贸易的合规问题进行审查,并定期向公众发布报告。
(三)创建符合数字经济监管需求的风险安全防控和法律救济机制
CPTPP允许基于实现合理公共政策目标而实施贸易限制措施。例如,CPTPP第14.11条第3款规定,本条规定不得阻止缔约方为实现合理公共政策目标而采取或维持对跨境信息传输的限制措施,若该措施不构成任意或不合理的歧视以及对贸易的变相限制,并且对信息传输所施加的限制不应超过为实现合法目标所必要的限度。无疑,缔约方可采取违背自由贸易的措施,但核心在于缔约方应保障该限制措施符合“公共利益”,符合必要性或比例性评估,[35]并不构成变相的贸易限制政策。
作为全球数字经济第二大国,我国应主动承担推动全球数字贸易自由化进程的责任。尽管我国《网络安全法》《数据安全法》《个人信息保护法》等明确规定对数据和个人信息的严格保护,但在商业领域,上述规定应符合必要性和比例性要求。进一步的,当前,我国对数字服务贸易存在着监管缺失,尤其是对数字贸易的标准衡量和技术规则划分尚不清晰,[36]这可能构成数字贸易壁垒的原因。同时,在发生数据安全事件后,个人与企业救济机制不完善、相关执法部门之间权责不清等问题仍有待解决。为此,我国应进一步细化商业数据安全审查机制,建立起完善的数据使用法律制度体系。
(四)启动自由贸易区、自由贸易港的先行先试机制
《海南自由贸易港法》第42条规定,国家支持海南自由贸易港探索实施区域性国际数据跨境流动制度安排。本质上,CPTPP数字贸易规则与我国法律制度存在规范差异的情形。为此,我国可积极利用自由贸易区、自由贸易港的先行先试功能,探索我国接受CPTPP数字贸易规则的可能性,为我国加入CPTPP谈判积累经验。
在具体的实施路径上,《立法法》第8条规定需制定法律的事项包括:国家主权的事项,基本经济制度以及财政、海关、金融和外贸的基本制度。数据本身承载着多种功能,作为新兴事物,尽管未被《立法法》所明确规定,但《数据安全法》《个人信息保护法》规定对数据和个人信息例外规定需源于法律、行政法规的授权,而非地方性法规。从此层面,数据流动问题本身为国家事权,对现有《网络安全法》《数据安全法》《个人信息保护法》的变通规则必须经过全国人大或人大常委会通过的法律,或者是相关部委制定的行政法规所通过。地方立法部门或行政机构对数据跨境流动等问题不享有决定权。由于数据自由流动等法律制度安排属于中央事权,我国人大或人大常委会可探索授权自由贸易区、自由贸易试验区,在构建风险安全防控机制的前提下,建立并完善商业领域的数据跨境自由流动制度。
【注释】
[1]习近平.中国将坚定不移维护真正的多边主义[EB/OL].[2021-12-10].http://www.gov.cn/xinwen/2021-11/04/content_5648886.htm.
[2]朱福林. 中国数字服务贸易高质量发展的制约因素和推进路径[J]. 学术论坛, 2021(3) :113.
[3]虽然美国未签署《全面且先进的跨太平洋伙伴关系协定》,但是作为《跨太平洋伙伴关系协定》(简称:TPP)起草者,美国在制定TPP基本框架和内容上发挥重要影响。
[4]金融监管是计算设备本地化条款的例外情形,即,必须确保金融监管机构为监管目的能迅速完整地获取金融服务数据,若无法确保金融监管机构拥有此权力,可要求金融服务提供者必须使用本地计算设备。
[5]该义务并不排除监管机构或司法机关基于特定检查、检验、调查、执行或诉讼程序等目的,要求当事方保存或利用软件源代码及加密密码。该保存和利用应保障不未经授权对源代码及加密密码进行披露。参见《美日数字贸易协定》第17.2条。
[6] USTR. U.S.-Japan Digital Trade Agreement Text[EB/OL].[2021-12-10] https://ustr.gov/countries-regions/japan-korea-apec/japan/us-japan-trade-agreement-negotiations/us-japan-digital-trade-agreement-text.
[7] USTR. Fact Sheet on the 2020 National Trade Estimate: Strong, Binding Rules to Advance Digital Trade[EB/OL].[2021-12-10] https://ustr.gov/about-us/policy-offices/press-office/fact-sheets/2020/march/fact-sheet-2020-national-trade-estimate-strong-binding-rules-advance-digital-trade.
[8] European Commission.EU-Vietnam trade and investment agreements[EB/OL].[2021-12-10] https://trade.ec.europa.eu/doclib/press/index.cfm?id=1437.
[9]徐程锦. WTO电子商务规则谈判与中国的应对方案[J].国际经济评论, 2020(3):36.
[10] See Court of Justice of the European Union, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems, Judgment in Case C-311/18, Luxembourg, 16 July 2020.
[11]Consolidated CETA Text[EB/OL].[2021-12-10]http://trade.ec.europa.eu/doclib/docs/2014/september/tradoc_152806.pdf.
[12]GATT1994第21(c)规定:本协定的任何规定不得解释为:阻止任何缔约方为履行其在《联合国宪章》项下的维护国际和平与安全的义务而采取的任何行动。
[13]全球经济治理也包括“公民社会”的管理方式。参见[美]罗伯特·基欧汉、约瑟夫·奈.权力与相互依赖(第四版)[M].门洪华译.北京:北京大学出版社, 2012:287.
[14]例如,《OECD保护隐私与私人数据跨界传输准则》、《欧盟通用数据保护条例》等。
[15]参见WTO.Joint Statement on Electronic Commerce[R]. WT/L/1056, 25 January 2019.
[16]参见孙南翔.美国经贸单边主义:形式、动因与法律应对[J].环球法律评论, 2019(1): 179.
[17]参见周念利、陈寰琦、王涛. 特朗普任内中美关于数字贸易治理的主要分歧研究[J].世界经济研究, 2018(10):63.
[18]我国《网络安全法》第37条。
[19] Susan Aaronson. Why Trade Agreements are not Setting Information Free: The Lost History and Reinvigorated Debate over Cross-Border Data Flows, Human Rights, and National Security[J]. World Trade Review,2015 (4) : 671-695.
[20] Mo Jingxi. Pompeo Criticized for Huawei comments[EB/OL].[2021-12-10] http://www.chinadaily.com.cn/a/201902/13/WS5c6322eba3106c65c34e8f76.html.
[21] European Commission.EU to Scrutinise Foreign Direct Investment More Closely[EB/OL].[2021-12-10]. http://www.europarl.europa.eu/news/en/press-room/20190207IPR25209/eu-to-scrutinise-foreign-direct-investment-more-closely.
[22]中国产业经济信息网. 中国对美投资大幅缩水去年降幅高达83%[EB/OL].[2021-12-10] http://www.cinic.org.cn/hy/cj/470764.html.
[23]参见国际货币基金组织. 世界经济展望报告[R]. 2015.
[24]Council for Trade in Services. Note by the Secretariat: The Work Programme on Electronic Commerce[R].WT/I274, September 30 1998.
[25]参见黄庆平、李猛. 探索建设自由贸易港中的数字贸易发展策略[J].管理现代化, 2020(5):61.
[26]王紫烨. 北京市跨境电商对数字服务贸易的影响研究[J].经济管理者, 2021(6) : 69.
[27]《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[28]《数据安全法》第24条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
[29] CPTPP第 14.4 条规定,任何缔约方给予在另一缔约方领土内创造、生产、出版、订约、代理或首次商业化提供的数字产品的待遇,或给予作者、表演者、生产者、开发者或所有者为另一缔约方的人的数字产品的待遇,不得低于其给予其他同类数字产品的待遇。
[30] Rolf H.Weber,Mira Burri. Classification of Services in the Digital Economy[M]. Springer, 2013: 14.
[31] See Panel Report.China- Audiovisual Products[R]. WT/DS363/R, paras.7.816-7.818.
[32] Panel Report.China- Audiovisual Products[R]. WT/DS363/R, para.7.863.
[33] Appellate Body Report. China- Audiovisual Products[R]. WT/DS363/AB/R, para.335.
[34]吴伟光. 大数据技术下个人数据信息私权保护论批判[J].政治与法律, 2016(7) : 116.
[35]See Hitoshi Nasu. State Secrets Law and National Security[J].International and Comparative Law Quarterly,2015(1):401.
[36]王紫烨. 北京市跨境电商对数字服务贸易的影响研究[J]. 经济管理者, 2021(6): 69.
作者:孙南翔,中国社会科学院国际法研究所副研究员,硕士生导师。
来源:《学术论坛》2022年第5期。