跨境数据流动规制的模式差异、协调路径与中国方案
孙南翔内容提要:截至目前,全球并未形成统一的数据流动规则体系,数据跨境流动规则主要分为美国模式、欧盟模式和中国模式。由于主要数字经济体在数据跨境流动与数据安全保护之间的关注焦点不同,以全球主义或国际软法为方法推进高标准的全球统一数据流动规则体系构建的方案,在短期内难以实现。作为数字经济大国,我国应转变对商业数据跨境流动相对保守的态度。我国可以全面与进步跨太平洋伙伴关系协定“电子商务”章节为主要内容,探索通过与韩国、日本及欧洲、东南亚国家等缔结专门的数字贸易协定,推动跨境流动规则体系的建设。我国还应加快对区域全面经济伙伴关系协定等经贸协定“电子商务”规则的国内转化立法,特别是积极引入数据跨境流动的风险评估理念与制度
关键词:数据跨境流动;统筹发展与安全;自由贸易协定;风险评估;数据贸易协定
当前,全球数字贸易蓬勃发展,成为国际贸易的新亮点。国家主席习近平向第二届全球数字贸易博览会致贺信指出,中国积极对接高标准国际经贸规则,建立健全数字贸易治理体系,促进数字贸易改革创新发展,不断以中国新发展为世界提供新机遇。在数字贸易治理体系中,实现数据的自由跨境流动是核心议题。然而,全球尚未形成统一协调的数据跨境流动规则体系,数据跨境流动规则呈现出差异化的特征。虽然已有一些文献对数据跨境流动的规则体系建设进行分析,但对于高质量推进数据跨境流动规则的建设而言,现有研究对构建协调的国际规则以及探索更为开放的数据跨境流动中国方案仍有不同的观点。数据是数字经济发展的根本因素,有鉴于此,本文拟在统筹发展和安全的理念下,结合跨境数据流动规制的国别模式差异以及潜在的全球协调路径方案,对中国构建数据跨境流动机制提出建议。
一、跨境数据流动规制的国别模式差异
截至目前,全球并未形成统一的数据流动规则体系,数据跨境流动规则存在碎片化的趋势,主要分为三种模式:美国模式、欧盟模式、中国模式。例如,雷登伯格提出数据跨境流动监管存在美欧二元对立的趋势。除美欧外,作为全球主要的数字经济大国,中国的数据流动规则体系逐渐成为国内外讨论和研究的重要对象。
(一)以互联网企业利益为主体的美国数据流动规则模式
美国是推动全球数据自由流动的拥趸,其背后体现的是美国互联网大型企业的利益需求。美国模式以《跨太平洋伙伴关系协定》(简称TPP)、《美墨加协定》(简称USMCA)、《美日数字贸易协定》等为主要内容。
美国模式的主要特点包括:第一,严格要求缔约方的行为不对数字贸易活动造成不必要的贸易障碍。其主要包括对数字产品非歧视待遇、避免对电子交易造成不必要监管负担、不对数据处理中心和源代码进行贸易限制,以及保护消费者合法利益等规定。
第二,弱化对个人信息保护的要求。《美墨加协定》第19.8条要求缔约方考虑亚太经合组织隐私框架(简称APEC框架)、经济合作与发展组织对隐私保护和个人数据跨境流动指南(简称OECD指南)等国际机构的原则和纲要。2022年4月,美国等发布《全球跨境隐私规则声明》,旨在承认各国和地区在保护数据隐私上的差异性并促进贸易和国际数据的流动。实际上,美国所倡导的APEC隐私框架以及OECD指南均指明,各国应避免以保护个人隐私和自由为名义,限制跨境数据自由流动,其创设的标准低于欧盟对个人信息保护的要求。
第三,扩大对域外数据的行政管辖权。与数据自由流动的诉求相应的是美国政府部门主张对域外数据可进行有效的行政管辖。美国《澄清合法域外使用数据法》(简称CLOUD法)授予美国监管、执法和司法部门通过国内法律程序调取美国公司存储在境外的数据。美国通过CLOUD法可基于调查犯罪或国家安全事项而获取海外数据。鉴于美国公司在全球的影响力,美国政府部门实际在法律上明确了对美国企业掌握的海外数据享有获取权。
由此可见,美国主张全球数据跨境自由流动,并要求各方减少以隐私、个人信息保护以及国家安全等理由对数据流动进行限制,其核心在于实现美国互联网企业及政府部门的最大利益。
(二)以严格权利保护为特征的欧盟数据流动规则模式
与美国的立场相反,欧盟对全球数据跨境流动存在相对严格的限制,其旨在建立起保护个人信息的欧盟标准,试图对跨国企业施加要求,以扩大在数据跨境领域的“布鲁塞尔效应”。
欧盟模式的主要特征包括:第一,在数据跨境流动中对个人信息保护设置高门槛。实际上,美国和欧盟之间的个人数据跨境流动标准分歧较大。长期以来,欧盟坚持向国际社会推广《欧盟一般数据保护条例》(简称GDPR)中设定的个人数据保护标准。2020年7月,欧盟法院判决指出,欧盟与美国达成的用于传输个人数据的《美欧隐私盾协议》无效,因为美国在缺乏严格的、必要的基础条件时仍可获得个人数据。欧盟法院指出,《美欧隐私盾协议》无法保证非美国公民不成为美国情报机构的调查目标,并且协议没有赋予这些主体对抗美国政府、寻求司法救助的权利。总体上,欧盟的个人数据保护标准远高于美国。
第二,欧盟创设单边的立法机制,推广个人数据保护的标准。欧盟通过创设GDPR的方法,实际上采取单边的方式规定了数据跨境流动的规则体系。根据GDPR第5章的规定,合法的数据跨境流动主要有“充分性决定”“适当保障的传输”以及“有效的企业规则”等方式。首先,基于“充分性决定”的传输,即当第三国在个人数据隐私保护方面达到了充分的保护水平,允许向该国传输个人数据。截至目前,共有14个国家获得欧盟委员会的“充分性决定”。其次,基于“适当保障的传输”,即在控制者或处理者已提供适当保障,并且数据主体获得可强制执行的数据主体权利和有效法律救济的条件下,控制者或处理者可向第三国或国际组织传输个人数据。此处的“适当保障”,包括政府机关或机构之间具有法律约束力、可强制执行的文件,欧盟委员会或监管机构通过的数据保护标准条款,依据欧盟相关机构批准的行为准则或认证机制,以及第三国境内的控制者或处理者所作的适当保障并具有约束力和强制执行力的承诺。最后,基于“有效的企业规则”,即跨国企业通过内部自我规制以实现数据跨境传输。除此之外,在一些特殊情况下,数据也可能进行合法的跨境传输,诸如公共利益保护、提起法律诉求等原因。欧盟通过上述单边政策工具,向域外国家输出数据保护的标准。
第三,欧盟限制外国机构对域内数据的获取权限。GDPR第48条规定,若要求控制者或处理者传输或披露个人数据,任何第三国法院或仲裁庭的判决,以及行政机构的决定仅在以第三国和欧盟(或其成员国)之间有效的国际协定规定的方式下,方可被承认或执行。此类国际协定包括双边司法协助条约。从此层面,欧盟要求其他国家需要通过传统的国家协助方式获取欧盟的个人数据。
总体上,欧盟通过赋予数据权利以基础权利的地位,创建单边的数据跨境流动的标准和模式,以此约束跨国企业的行为。
(三)以服务传统实体贸易为出发点的中国数据流动规则模式
作为全球数字经济第二大国,中国在推动建立全球统一数据流动规则体系上具有动力。但由于中国在数据跨境流动的治理能力现代化层面还存在一些弱项,各方对数据跨境流动产生的安全风险较为担忧。由此,中国形成了相对保守的数据流动制度模式。
中国模式的主要特点在于:第一,以传统实体贸易需求为基础,允许数据跨境流动。中国对外签署的双边或区域经贸协定鲜少涉及电子商务议题。中澳、中韩的自由贸易协定和《区域全面经济伙伴关系协定》(简称RCEP)涉及电子商务议题,但其本质上以无纸化贸易、电子认证和电子签名、线上消费者保护与个人信息保护、海关关税等议题为主,仍以扩大货物贸易为宗旨。相应地,数据跨境流动的内容主要涉及货物买卖过程中的信息发布和合同认证等事项。
第二,对数据跨境流动采取保守谨慎的态度。实际上,纵使RCEP已规定赋予“开展商业行为”的企业数据自由流动权利,并且我国已全面履行RCEP义务,但2022年9月1日正式实施的《数据出境安全评估办法》并未对中国签署协定的数据跨境流动义务作出说明或例外规定。因此,虽然中国签署RCEP,但对RCEP缔约国间的数据跨境传输仍未享受到协定赋予的权利。这背后反映出我国仍对数据跨境流动采取保守谨慎的态度。换言之,我国数据出境需要满足网信部门安全评估、认证或订立标准合同等方式。
第三,以传统的司法合作理念,开展域外信息调取工作。2022年6月,我国司法部明确规定根据《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),数据信息确需向境外提供的,应当通过国家网信部门组织的安全评估、认证后方可向境外提交。涉及国际司法协助的,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据或个人信息。换言之,我国在涉外执法和司法管辖上坚持“数据存储地主义”,以避免其他国家对我国属地范围内的数据进行收集。
综合而言,我国数据流动规则体系与当前我国作为全球贸易大国的地位具有相应性,核心在于推动中国制造业的发展,但由于相对保守的立场也可能使得我国在数字服务贸易领域的发展受限。
二、建立全球协调的跨境数据流动规则面临的根本挑战
(一)对数字经济的基础性认知难题
USMCA将“电子商务”章节改为“数字贸易”章节。本质上,数据流动规则体系建设的目的在于推进数字经济作为独立的服务贸易行业的发展,而不仅仅是将数据流动作为扩大贸易的辅助工作。但由于全球各国在数字经济产业链中的地位不同,对数字经济领域的一些重要的“元概念”存在认识分歧,导致各国在数据流动规则体系的制度设计层面上存在差异。
数据时代对全球经贸治理提出了多重挑战,其中最深刻的影响是根据储存、占有或传输地的不同,数据信息将受多个国家的法律管辖。然而,各国尚未界定数据主权的概念、管辖范围等核心要素,这导致依据国家规制权创设的数据跨境流动规则存在法理不清晰的难题。进一步地,由于发展阶段不一,各国对电子商务、数字贸易、数字经济的理解和认识不同。有些国家认为数字经济是电子商务概念的延伸,而有些国家认为数字经济具有独特的规制对象,即以社交服务、搜索引擎服务、云服务等为主体的独立经济互动。实践中,我国在数字音乐、影音资料、软件服务、云计算等数字服务领域的跨国规则创设相对缓慢。我国对数据跨境流动、计算设施本地化、源代码、数据内容流动等规则的认识与美欧存在差异。各方在数据经济制度中的利益侧重点不同,导致全球协调的高标准的数据流动规则体系在短期内难以成型。
(二)主要经济体的单边立法特征
数据跨境流动本质上需要协调各国关于隐私法、个人信息保护法及国家安全法等相关的制度内容,然而现实中,美国、欧盟等重要经济体反映出单边立法的特征,试图通过“长臂管辖”的方式解决数据跨境流动的问题,这导致了全球统一数据流动规则体系的建设面临单边主义的挑战。
对于欧盟而言,GDPR对数据跨境传输进行了详细的规定,其要么以“充分性决定”的方式贯通不同国家间的数据传输,要么要求数据接受者需要满足欧盟的单边法律规定。实践中,欧盟数据流动的“白名单”国家(和地区)包括安道尔、阿根廷、根西岛、加拿大(商业组织)、以色列、泽西岛、瑞士、法罗群岛、马恩岛、新西兰、乌拉圭、日本、英国和韩国。依据GDPR第45条,欧盟作出“充分性认定”的依据,包括考察相关国家的法治,基本人权的保护程度,是否存在独立且有效运作的监管机构,以及承担有关个人数据保护的国家责任或国际承诺。对美国而言,CLOUD法允许其认可的、适格的外国政府直接向美国公司调取数据用于侦察执法的要求。但实践中美国对数据向外流动的态度仍具有少边主义的特点。例如,美国认为所谓的“适格外国政府”,其一,这个国家必须是《布达佩斯网络犯罪公约》成员国;其二,该国需要遵循遵守国际人权义务、尊重表达结社与和平游行自由、避免肆意逮捕和监禁、禁止限制言论自由等价值。
必须指出的是,美国、欧盟对其他国家的法治及基本人权等的评价,均是以西方的价值和理念作为重要的参考因素,其受到政治因素的影响,较为明显地体现了单边主义色彩。
(三)数据跨境流动规则的缔约成本
由于数字贸易议题广泛,国际社会存在多种形式的治理机制,包括但不限于多边合作、区域合作、跨国与跨政府合作等模式。数据存储形式多样化、传输方式便捷化、服务分包碎片化等特点导致数据多重管辖问题的存在。实践中,同一条数据极有可能同时受到存储地、传输地、所有者国籍地等法律的管辖。在未形成国际统一制度或协调机制前,基于保护国家安全和实施监控的目标,各国均对数据提出符合本国最大利益的治理方案。
例如,在多边层面,美国联手欧盟致力于推动《布达佩斯网络犯罪公约》成为国际协定。该公约实际上以“数据控制者”模式为治理机制,并赋予具备互联网技术能力的国家进行单边远程跨境取证的权力。《布达佩斯网络犯罪公约》第32条规定,无须获得其他缔约方同意,只要获得数据持有者的同意,一缔约方可通过其领土范围内的系统获得和接收存储在其他缔约方中的数据。虽然欧美积极向印度等新兴国家推广该公约,但该公约受到一些发展中国家的强烈反对。各国对数据跨境流动规则的利益诉求不同,导致多边数据跨境流动的协调成本较大,某种程度上,虽然互联网被视为全球公共产品,但近期数据跨境流动的规则正反映出区域化、碎片化、差序化的特点。
三、跨境数据流动规则的可能协调路径
如前所述,当前全球协调的高标准的数据流动规则体系建设面临较为严峻的挑战。然而作为21世纪跨国经济发展的重要方向,各国均高度重视数据流动对全球经济发展产生的推动效果,甚至有专家指出,数据全球化正成为经济全球化的重要组成部分。总体观之,未来建立跨境数据流动规则的可能协调路径包括如下方案。
第一,以多边经贸规则为框架,推动数据流动规则的“统一化”进程。多边主义方案主要是WTO诸边协定和《电子商务联合声明倡议》(JSI)的方法。1998 年启动的具有探索性质的WTO“电子商务工作计划”除达成临时性的不对电子传输征收关税外,至今成果较少。2017年12月WTO第11届部长级会议期间,包括美国、欧盟在内的43个WTO成员方发布《电子商务联合声明倡议》。2019年,中国和其他75个WTO成员方共同发布了《电子商务联合声明倡议》,同意寻求在现有WTO协议和框架的基础上,尽可能达成高标准的成果。目前谈判的议题不仅包括网上消费者保护、电子签名和认证、非应邀的商业电子信息、开放政府数据、电子合同、透明度、无纸化交易、开放互联网接入等传统议题,也逐渐拓展到电子传输的关税、跨境数据流动、数据本地化、源代码、电子交易框架、网络安全和电子发票以及市场准入等新议题。
然而,必须指出的是,WTO框架下的电子商务谈判及起草的协定仍主要涉及货物贸易等传统事项,较少触及作为独立部门的数字经济行业,更为重要的是,由于谈判成员的构成较为多元,达成高标准的数字经济协定的难度仍较大。
第二,通过自由贸易协定或专门的数字贸易协定,推进数据流动规则的“融合化”进程。双边或区域主义的方案主要包括两种类型。一种是在传统的自由贸易协定中制定电子商务或数字贸易章节。其中,数据跨境流动条款已成为新近电子商务章节中的重要组成部分。最受全球关注的电子商务规则应为《全面与进步跨太平洋伙伴关系协定》(简称CPTPP)中的电子商务章节。作为当前全球最为重要的区域贸易协定之一,CPTPP规则不仅具有美式规则的特征,还不断影响欧式规则范本,甚至也成为我国可能接受的规则样本,这使得数字贸易规则在中美欧间达成共识的可能性增大。CPTPP明确要求对本协定项下的人或企业的数据流动不应进行限制,除非具有合法的理由。
另一种为专门的数字贸易协定,如《美日数字贸易协定》或《数字经济伙伴关系协定》(简称DEPA)。《美日数字贸易协定》规定了美国对数字贸易规则的实质性要求,特别是禁止电子产品受到非歧视待遇,禁止对电子信息跨境流动进行限制。该协定指出,任何缔约方不应将计算设备本地化作为从事本地商业活动的前提,并且不得将转让、获取源代码或加密密码作为软件或产品在本地进口、分销、销售或使用的条件。DEPA体现出模块化的缔约特征,其模块四针对数据议题,核心体现于第4.3条以电子方式的跨境信息传输以及第4.4条计算设施所在地的规则。DEPA参照CPTPP协定的规定,要求允许商业行为相关的信息(包括个人信息)的自由流动。近年来,新加坡成为签署数字贸易协定的拥趸。新加坡与澳大利亚、英国、韩国、欧盟等签署数字伙伴关系协定,瞄准新兴领域的数字经济规则建设。新加坡数字贸易协定不仅有传统议题,还涉及新兴前沿领域,如人工智能、数字身份和5G及6G等议题,特别是积极推出数字经济时代的人工智能规则。数字贸易专门协定的灵活性可为数字经济协定的创新规则提供发展空间。由此可见,缔结自由贸易协定或专门数字贸易协定的方式,已成为推动数据跨境流动规则建立的重要方法。
第三,通过单边立法,要求其他经济体立法实现“趋同化”的进程。除缔结国际协定外,强化本国或经济体的单边主义立法也成为推动数据流动规则建立的方法。以欧盟推动的GDPR为例,截至2022年2月底,欧盟已与全球范围内14个国家达成充分性认定的协议,意味着这14个国家将参照欧盟的数据跨境流动监管标准与欧盟进行协调监管。某种程度上,这些国家与欧盟就数据跨境流动监管达成了一致意见,从而使得对数据流动的监管规则从“差异化”走向“趋同化”。更进一步地,在不享有充分性认定的国家或地区,欧盟又通过单边认证、标准合同条款等方式变相要求相关企业遵守欧盟标准,这实际上是通过合同的方法实现行政法的约束机制。标准化合同体现的是,欧盟以“业务链遵循同等保护水平”为核心,实现欧盟公民个人数据出境后处理活动的全程标准的统一。这也将反映为全球数据流动规则制度的“布鲁塞尔效应”。
实践中,美国也逐步建立数据入境或出境国的白名单机制。“白名单机制”根据数据保护状况及对等措施而创设,将部分国家和地区纳入可自由流动的范围。例如,美国CLOUD法规定了能与其进行境外数据执法合作的“适格外国政府”。
第四,以推广国际软法为方法,助推数据流动标准的“硬法化”进程。历史上,国际金融制度多数通过跨国企业的自主选择以及国际软法的方式实现。有观点认为,数据流动规则也能通过国际软法的方式以跨国企业的协调活动为主,形成全球统一数据流动规则体系。在数据保护领域,最重要的国际软法文件包括OECD《隐私保护和个人数据跨境流动准则》与APEC隐私框架。国际软法的方法主要是通过不具有强制约束力的法律文件,由各国或跨国公司自愿选择适用,进而实现软法规则的硬法化过程。
例如,《东盟个人数据保护框架》等允许东盟国家之间的数据主体根据APEC隐私框架、OECD隐私准则等东盟认可的国际法律文件调整具体内容,以处理个人数据。相关的关切点包括:合法性原则、数据泄露通知,以及数据进口方应按照东盟个人数据保护框架中的有关个人数据收集、通知、目的、准确性、安全保障、访问和更正、传输、存储和法律责任等规则。如上,通过内嵌于东盟的制度体系,APEC隐私框架等国际软法获得了“硬法”的功能。但必须指出的是,上述软法性文件仍未成为国际社会普遍采纳的数据保护通行准则。
四、构建跨境数据流动规则的中国方案
(一)目标导向:在美欧模式间探寻中国的方案
不管是多边主义、双边主义或单边主义的方法,抑或是国际软法方式,目前建立全球统一数据流动规则体系仍任重道远。其核心在于,各主要国家或经济体的经济利益诉求有所差异。这对中国方案的选择提供了启示意义,中国方案的确定必然要与中国数字经济产业所处的历史发展时点密切相关,尽最大可能维护我国数字经济行业的发展利益,并在可能的情况下推动全球数字经济的发展。
我国目前对电子商务的态度相对保守,例如在WTO电子商务的谈判中,我国强调,各成员方应尊重彼此对电子商务发展道路的设计,以及为实现合理的公共政策目标而采取监管措施的合法权利,特别还强调了数据流动虽然对贸易发展至关重要,但仍要以安全为前提。由此可见,实际上我国对数据流动的态度仍相对谨慎。
毋庸置疑,全球数据流动规则的核心在于,妥当处理好数据跨境流动与数据保护利益之间的关系。不管是美国模式、欧盟模式还是中国模式,均试图在解决数据流动自由与安全之间划定一条平衡线。依据数据流动自由由高到低的程度,可得出“USMCA-CPTPP-DEPA-RCEP-WTO”的谱系。根据数据保护水平由低到高的程度,可得出“OECD/APEC标准—1996年欧盟数据保护指令—GDPR/中国《数据出境安全评估办法》”的谱系。
需要注明的是,一些观点认为,中国通过《中华人民共和国网络安全法》(以下简称《网络安全法》)、《数据安全法》和《个人信息保护法》确定的数据出境制度严格于GDPR。笔者认为,一定程度上现有的中国数据流动规则是严格于GDPR的,特别是GDPR通过“白名单制度”豁免了在诸多伙伴国间的数据流动限制,而我国缺少此类制度。但反过来,我国通过RCEP承认了商业数据可自由流动,但实践中尚未有效实施。
从上述的数据流动自由和数据保护的两条谱系上看,中国采取相对严格的数据流动限制及数据保护政策。这与我国作为数字经济第二国的地位不相吻合,因此,未来的制度设计应以放松数据流动管制为方向,特别是可结合美欧之间的特点,在美国数据流动自由以及欧盟数据严格保护的谱系之间建立中国方案。
实践中,在《网络安全法》《数据安全法》和《个人信息保护法》已实施的过程中,可探索制定《中华人民共和国数字经济促进法》(以下简称《数字经济促进法》)。做强、做优、做大数字经济需要长期的不懈努力,亟待促进性立法的保障。目前,我国数字经济发展基本原则和重要制度尚未构建完善,现行有关数字经济立法主要集中在数据安全、个人信息保护等领域,规制性较强,而地方数字经济促进立法地域性强,无法在全国范围内适用,需要统筹促进数字经济发展顶层设计。鉴于此,我国可通过制定和实施《数字经济促进法》,推动更为开放与合理的数据跨境机制建设。
(二)路径选择:以签署区域或双边的数字贸易协定及单边立法为主轴
对于上文所述的方案而言,在多边谈判中达成高水平的数字贸易规则困难重重,在短期内协调数十个数字经济发展水平迥异的国家或经济体的难度颇高。同时,WTO规则逐渐转变为全球贸易领域的“基本法”,换言之,其仅仅是对自由贸易划定“规则底线”。从此层面,通过多边方式确定高标准的全球数据流动规则的愿景在短期内难以实现。
针对国际软法而言,各国对数据跨境流动中涉及的国家安全和数据保护等问题并未形成共识,数字经济发展缓慢的国家或地区倾向于采取“国家保护政策”,维护自身幼稚行业的发展利益。无拘束力的国际软法成为国际社会普遍采纳的数据保护通行准则的可能性较低。为此,作为数字经济大国,我国现阶段可通过签署、升级双边经贸协定或单边立法的方式,推动全球统一数据流动规则体系的建设。应当明确的是,目前我国与其他国家或地区达成的有关数据跨境流动的协定相对较少。
在下一阶段,一方面,我国可探索以CPTPP“电子商务”章节为模板,与相关国家签署专门的数字贸易协定。我国与韩国、澳大利亚签署的自由贸易协定均有涉及电子商务,但没有数据跨境流动的条款。签署RCEP后,我国可根据与我国数字经济行业的关联度及当地数据保护水平,以CPTPP协定为标准,启动与韩国、日本、东南亚和欧洲国家等的数字贸易协定谈判工作。另一方面,我国应加强国内数据保护和监管机制优化工作。本质上,现阶段中国还不具备美国和欧盟的数据治理水平与数据监管文化,更无统一的数据监管机构,无法单纯效仿或移植美欧数据跨境流动监管规则和监管协调经验。为此,我国应积极探索数据保护的中国模式,强化我国单边立法在域外的合法效力。
(三)重点事项:进一步落实国际经贸协定在我国的转化立法工作
CPTPP与RCEP数据跨境流动规则的本质具有相符性。例如,CPTPP第14.11条第2款规定,每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。我国已签署的RCEP“电子商务”章节规定,一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。某种程度上,CPTPP与RCEP均将数据跨境传输限定于“开展业务”或“从事商业行为”范围内。虽然有观点认为CPTPP明确个人信息的自由流动,而RCEP仅明确了信息的自由流动,但必须说明的是,依据条约解释,RCEP和CPTPP在数据自由流动条款的规制对象方面并无太大差别。但二者的不同之处在于,CPTPP的数据跨境流动受争端解决机制的约束,而RCEP的数据跨境流动并不受争端解决机制的管辖。为此,RCEP缔约国可对何为“例外”等问题享有自裁决权。
值得说明的是,就已经达成的RCEP而言,我国应按照协定中有关数据跨境流动的具体规则内容进行国内法的构建和完善。当然,对数据跨境流动持有谨慎态度无可厚非,但这也会导致RCEP关于“电子商务”的核心规则难以落到实处。与当前美国等亚太地区国家提出并使用的《全面与进步跨太平洋伙伴关系协定》《美墨加协定》《数字经济伙伴关系协定》等数字领域国际规则相比,我国在国内网络法治建设上存在一定的差异性。主要体现为我国涉外立法更重视维护主权和安全利益,但缺少对发展利益的考虑。为此,应在统筹发展与安全的理念下,加强对国际经贸协定数据跨境流动规则的国内转化立法工作。
具体而言,《个人信息保护法》第三十八条规定,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。虽然个人信息处理者可以依据RCEP主张对“开展商业行为”进行数据自由流动,但《个人信息保护法》规定,个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。这又导致我国数据跨境传输面临高额的成本负担。《网络安全法》第三十七条、《数据安全法》第二十四条有相似的规定。毫无疑问,我国数据跨境传输活动面临不加区分的严格要求,某种程度上,这不利于数据跨境活动相关业务的开展。
简言之,我国现行对数据跨境流动采取“一刀切”的限制制度与RCEP的目的和宗旨不相符合。根据RCEP的要求,应对从事商业活动所需的数据以及非从事商业活动所需的数据进行区分,缔约方应授予从事商业活动所需的数据进行自由流动的权利。我国《数据出境安全评估办法》不加区分地对所有数据开展安全评估的措施,某种程度上与RCEP在数据跨境流动中的要求存在不一致性。
(四)理念转化:在商业数据流动中引入风险评估的方法
数据的自由流动并非是绝对的,任何国家均应有权基于实现合理公共政策目标而实施贸易限制措施。例如,CPTPP第14.11条第3款规定,本条规定不得阻止缔约方为实现合理公共政策目标而采取或维持对跨境信息传输的限制措施,若该措施不构成任意或不合理的歧视以及对贸易的变相限制,并且对信息传输所施加的限制不应超过为实现合法目标所必要的限度。本质上,缔约方可采取违背自由贸易的措施,但核心在于缔约方应确保该限制措施符合“公共利益”,符合必要性或比例性评估,并不构成变相的贸易限制政策。
本质上,在解决数据安全问题时,应认识到以风险为基础的路径更能平衡安全和自由的问题,而非预先性的限制性的规制路径。某种程度上,在当前时代,我们不应追求风险结果永远不发生,而是应探索将风险控制在可接受的范围内。这是WTO在规制环境保护、科技创新等领域时的核心理念。以《实施卫生与植物卫生措施协定》(简称SPS协定)为例,其要求成员方应确保所有的贸易限制措施基于科学的原则,并且在没有充分科学证据的情况下不应维持贸易限制。同时,在进行风险评估时,应考虑科学证据和其他技术的可获得性,以及事实上和经济上的可行性。总体上,SPS协定允许WTO成员方为保护人类、动物或植物的生命或健康采取必需的动植物卫生检疫措施,但同时将“风险评估”作为采取SPS措施必需的基础,此背后的理念在于将风险因素降低到可接受的范围,而非禁止风险的存在。解决数据安全问题的思路亦应如此,数据跨境流动必然增加数据泄露等问题出现的概率,但数据保护规则并不要求泄露风险几近于无,而是要求在现有的科学技术水平下,将风险降低到可承受的范围,由此方可建立全球协调的高标准的数据流动规则体系。
结语
数字贸易是当前国际贸易领域最具潜力的新兴贸易形式。我国作为世界上主要的数字经济体,探索制定高标准的数字贸易规则对我国利大于弊。实践中,我国在数字贸易中的传统优势在于通过互联网开展货物贸易,因而我国在数字贸易国际规则谈判中的关注重点是与贸易便利化议题相关的规则,如电子签名、电子认证、电子合同、无纸贸易等。这反映了中资企业借助互联网平台向海外市场销售商品以及进口商品以满足国内的需求,其目的是为了充分发挥中国的产业优势。但数字经济的范畴远宽广于贸易经济,还包括搜索引擎、在线娱乐、视听媒体、网络游戏以及人工智能等未来新兴行业。我国现有的数字贸易规则主要限于服务传统货物贸易,还未真正认识到数据作为独立生产要素的功能和价值。
近期,我国相关部门出台了《促进和规范数据跨境流动规定》等规范性文件,同时自由贸易试验区开始探索数据出境管理的负面清单制度。从长远来看,为对接高标准的国际经贸规则,我国应转变数据出境治理的理念,将保障商业领域的数据自由流动作为原则性规则,而将限制商业数据自由流动作为例外规则。我国有能力也有必要不断完善国内数字经济治理,并在国际层面推动数字经济贸易规则的落地。毫无疑问,我国应进一步利用多边、区域和双边经贸协定“锁定”的方式,强化数字贸易规则对数字经济发展的推动和促进作用。
作者:孙南翔,中国社会科学院国际法研究所副研究员,法学博士。
来源:《法治社会》2024年第3期。