其他
汤霞 | 数据安全与开放之间:数字贸易国际规则构建的中国方案
The following article is from 政治与法律编辑部 Author 汤霞
作者:汤霞(华南师范大学法学院特聘副研究员、法学博士)
目 次
一、构建数字贸易国际规则的方法论:国际议程设置的分析框架
二、议题选定:与美欧共同主导数字贸易国际规则制定
三、场所选择:双边FTA、区域FTA和WTO
四、具体方案:完善国内数字贸易法律及对外推出中国的数字贸易规则
五、结语
目前没有一个关于数字贸易公认的定义,但越来越多的共识是,它以数据为关键生产要素,以数字化平台为载体,通过大数据、云计算以及人工智能等数字技术的使用,将可以数字化或实物交付的产品和服务进行精准交换的新型贸易活动。实践中,数字贸易的概念通常和电子商务的概念混用。数字贸易涉及贸易便利化、数据跨境流动和本地化、数据主权与安全、隐私保护、管辖权、源代码保护以及数字服务税等多个方面,各个国家和地区对数字贸易的治理存在重大分歧,这些分歧也体现在各个国家和地区对外推出的数字贸易规则上。作为全球数字贸易治理体系中最重要的利益相关者之一,中国近年来对外缔结的自由贸易协定(FTA)中开始包含数字贸易条款,也积极参与世界贸易组织(WTO)电子商务诸边谈判,为全球数字贸易规则的构建贡献力量。当前尤其需要考虑的是,在数字贸易国际规则构建中,中国如何在纷繁复杂的诸多议题中选定各方密切关注且影响较大的议题,以及在何种场合寻求更多盟友的支持,进而推出数字贸易国际规则的中国方案。
一、构建数字贸易国际规则的方法论:国际议程设置的分析框架
虽然当今的国际经济规则多是由美欧等经济体主导建立的,但其不可能在所有的领域都占据领先优势和拥有创制能力。近十多年来,其他经济体也在国际规则变革中发挥重要作用,尤其是在一些目前已提上国际议事日程但尚未形成全球统一规则的新议题方面,如数字贸易领域。近年来,数字技术的普及和发展加速了全球经济的数字化转型,各经济体围绕着数字贸易及其规则展开的博弈深刻影响着全球竞争格局。随着中国等新兴经济体的崛起,传统的全球治理体制难以满足新兴经济体的诉求,主张建立一个包容、开放和共赢的全球化贸易体系就成了中国等经济体的必然选择。中国数字贸易的飞速发展和积极提升数字贸易国际规则制定权的努力威胁到美欧的传统地位。美欧以其内部成熟的数字贸易规则为基础,在FTA谈判中设置其关心的数字贸易议题,并通过WTO等数字贸易谈判的多边场所,将各经济体的关注点集中于这些议题,意图主导数字贸易国际规则制定。美欧对数字贸易规则的区域化演进策略弱化了中国等广大发展中经济体在规则构建过程中的话语权。
近年来,中国逐步从国际规则的旁观者、接受者向制定者和引领者转变。中国作为全球数字贸易第二大国,在数字贸易领域具备明显的领先优势,主动参与数字贸易国际规则构建已成为维护国家权益的必由之路,也是中国作为负责任的数字贸易大国应尽的义务。国际规则只有被不同经济体接受和认可才具有合法性,进而能获得有效的遵守与执行,因此,中国对数字贸易规则的设计必须关注其他经济体的利益,在数字贸易谈判的议题设置上应选择各经济体共同关注且有可能达成一致的议题,兼顾不同经济体的数字贸易发展程度,从双边谈判开始逐步扩展到区域和多边层面,并根据美欧等经济体制定的数字贸易规则的变化对我国国内数字贸易的立法、司法与执法等加以调整,最终形成被国际社会广泛接受和认可的、具有普遍影响力的数字贸易国际规则。
二、议题选定:与美欧共同主导数字贸易国际规则制定
(一)数据跨境流动和本地化
美国通过TPP和《美墨加协定》(USMCA)等逐步确立了美国主导的美式数字贸易规则。以USMCA为例,美国在USMCA中主张参照亚太经合组织(APEC)《隐私保护框架》(CBPRs)建立以市场主导和行业自律为标准的低水平数据跨境保护体系,强调数据的自由流动并设置了合法公共政策目标例外;要求计算设施非本地化且未规定例外情形。美国的上述立场主要依托于美国所具备的以下优势。首先,美国占有绝对优势的互联网企业和先进的数字技术将全球数据汇聚于美国,并天然地形成了对全球数据的管辖权。其次,美国通过将数据本地化要求内化为国内法的方式来加强对涉及敏感信息领域的国家安全审查,以阻止该类数据被特定国家或实体获取。比如,美国在云计算服务问题上通过《联邦政府云计算战略》来决定数据的控制和存储地,美国国防部还要求云计算服务提供商对其处理的关涉国防信息的数据在本地存储,美国国家税务局也要求将税务信息储存在境内。美国《外国投资风险审查现代化法案》(FIRRMA)对在其境内的外资企业收集的基础设施数据的流动加以限制。最后,美国通过《澄清域外合法使用数据法案》(CLOUD,又称《云法案》)的“数据控制者”标准赋予国内执法机构对境外数据的长臂管辖权,扩大了美国执法机构调取数据的范围,充分体现了美国的数据霸权主义。另外,美国强大的规则主导和制定能力也为其对外输出自身数字贸易规则提供了助力。比如,美国在USMCA中取消了TPP中缔约方对数据跨境流动的监管要求,删除了缔约方出于合法的公共政策目的对数据跨境流动设置的本地化要求,以便美国收集和处理境外数据。
欧盟为了保持其在数据市场上的话语权,防范美国、中国利用数据优势威胁其公共安全,将个人数据权认定为人权,对数据跨境流动加以限制。欧盟在其提交的电子商务提案中要求缔约方应致力于确保数据跨境流动,但缔约方可以采取并维持他们认为适当的措施来确保对个人数据和隐私的保护。其约定的纪律和承诺不应影响缔约方各自的保护措施提供的个人数据和隐私保护。
欧盟为个人数据流动提供了以下选择。首先,《通用数据保护条例》(GDPR)第5章规定个人数据可以向欧盟委员会认定的提供足够保护的非欧盟国家和地区提供,这一名单目前包括加拿大、以色列、新西兰、瑞士、日本等13个经济体。欧盟对进入名单的“第三国”的评估程序烦琐且低效,还加入了政治因素的考量,可能导致对“第三国”数据保护水平的歧视。其次,欧盟委员会通过标准格式合同条款(SCCs)将企业间的欧盟成员国公民个人数据出境后受保护的原则和受保护水平通过合同模板固定下来,明确境内数据控制者和处理者的法律责任以及境内监管机构的职责。最后,跨国公司或集团公司制定的约束性公司准则(BCRs)提供的数据保护水平获得欧盟认可后,即可在集团内部传输跨境数据。该标准有助于跨国公司在对数据没有达到充分保护水平的国家为数据提供高标准保护。欧盟也通过GDPR规定的“影响主义原则”,对欧盟境内不存在实体的数据控制者进行的个人数据处理行为进行长臂管辖。GDPR对个人数据的高标准保护以及通过将欧盟的数据隐私保护法律域外适用的做法将深刻影响全球数据流动,并使其事实上成为一种全球性标准。此外,欧盟还于2018年11月14日通过《欧盟非个人数据自由流动框架条例》,以消除欧盟内部获取非个人数据的障碍。然而,这仅限于欧盟内部的自由流动。欧盟对数据本地化存储的立场较为温和,认为各国不能将数据本地化存储作为进入其市场的前提条件,但对各国维护数据主权与安全的考虑也应予以尊重。
我国的互联网企业在全球前十位中占据四席,但国内对数据流动的规制却存在不足,互联网企业在跨境传输数据时也缺乏对数据的保护,大量数据面临被泄露、滥用或篡改的威胁。为了保障我国的数据主权和安全,《中华人民共和国网络安全法》(以下简称:《网络安全法》)第50条要求国家网信部门和有关部门对数据进行监督管理,发现与我国法律、行政法规冲突的境内信息,网络运营者应停止传输;若信息来源于境外,则应通知有关机构阻断传播。国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(草案)》,对重要数据、数据出境安全评估的流程、要点、方法等进行了明确和细化。上述规定与美国主张的数据跨境自由流动存在冲突,但与欧盟对数据的高标准保护存在可协调的空间。《网络安全法》第37条规定了关键信息基础设施的运营者在我国境内收集和处理的个人信息和重要数据须境内存储的本地化措施。虽然该规定与美欧要求的禁止数据本地化措施不一致,但美欧也通过国内法在重要领域设置了数据本地存储要求。另外,《网络安全法》第42条还规定了非关键信息基础设施的运营者在征得被收集人同意及履行通知义务后可以跨境转移数据,平衡了数据企业的利益与个人数据保护中的个人意愿。我国目前对数据的保护主要停留在政府监管层面,实践中应加快制定数据分级分类的标准和强化数字企业对数据的保护责任。
(二)软件源代码保护
源代码是程序员开发程序时在文字处理程序中编写的人类可读指令的列表。源代码通过编译器运行,以将其转换为计算机可以理解和执行的机器代码(也称为目标代码)。源代码是组成计算机软件的要素,一些发展中国家出于网络安全监管和促进软件开发利用的考虑要求软件所有者进入该国市场时须披露源代码。美欧认为将披露软件源代码作为市场准入条件损害了数字企业的商业利益,主张禁止强制披露源代码和迫使企业使用特定加密技术。比如,美国认为其企业面临着中国实体通过网络窃取其商业机密的“日益增长和持续”的威胁,坚持禁止强制披露源代码条款是为了保护其数字知识产权,公开软件源代码将减少利用该软件核心技术的知识产权所获利益。欧盟虽未将披露源代码作为其市场准入条件,但欧盟委员会也出于其经济利益考虑要求微软开放部分软件源代码。欧盟还强调为了公共利益的监管,将因反不正当竞争调查、知识产权保护和执法、政府采购事项等排除在禁止强制披露范围之外。我国目前的法律法规对披露源代码没有提及,但《网络安全法》第23条、《信息安全技术移动应用网络安全评价规范》第7条都要求网络关键设备及网络安全专用产品须接受我国相关部门的安全审查。《中华人民共和国密码法》第17条也规定对核心密码和普通密码进行安全分级评估,并对可能影响国家安全的密码产品和服务进行安全审查。因此,中国出于国家安全的担忧,在监管过程中难免会要求相关的外国在华企业披露源代码的情况,这与USMCA的规定相悖,可能遭到美国的反对,但这一考虑与欧盟的公共利益例外的立场一致。
(三)电子传输关税和数字服务税
关于电子传输关税和数字服务税(DSTs),目前国际上有三种做法:一是以美国为代表的免征电子传输关税和DSTs;二是以欧盟为代表的免征电子传输关税但允许征收DSTs;三是以印度、巴西为代表的征收电子传输关税和DSTs。就电子传输免关税而言,各经济体的争议点主要在于:电子传输仅指传输媒介还是包括传输内容;若对被传输的数字产品或服务征税,在技术上是否可行;这种禁止仅适用于关税还是包括强加在数字产品上的费用或其他收费;这种暂停征收仅适用于进口还是包括出口。数字技术的广泛使用使得越来越多的商品可以数字化的形式呈现,一些原本须经过海关的有形货物转而通过线上传输,降低了政府从可数字化商品中获得的关税收入。据联合国贸易和发展会议(UNCTAD)统计,对电子传输免征关税,发展中国家受到的损失最大,美国则是最大的受益者。一些国家不愿将电子传输免关税或者对电子传输内容征收国内税。中国提出将免关税问题延至下届部长级会议解决。
全球经济的数字化转型给传统的国际税收框架带来难以识别纳税主体、难以确定收益归属以及难以划定税收征管职能等挑战,导致税基侵蚀和利润转移等问题。鉴于数字贸易在全球贸易中的比重与日俱增,各国出于增加财政收入的考虑对数字产品和服务征税已是大势所趋。法国、英国、意大利等已在国内通过数字税立法,以解决数字企业借助不同国家和地区的税率差异而引发的税基侵蚀问题。上述国家为了避免国际税收协定限制,将DSTs定性为临时措施,一旦国际社会就数字经济征税问题达成一致就放弃征收。为了应对数字经济对传统税收制度带来的挑战,经济合作与发展组织(OECD )出台“支柱一”和“支柱二”蓝图报告,通过“支柱一”设立新征税权以应对传统实体经营场所的相关规定对数字经济活动的税收分配和征管无力以及双重征税的问题,新征税权的六个结构性要素为适用范围、税收关联度、收入来源、利润分配、税基确定以及避免双重征税;通过‘支柱二’设立相应的税率规则对包括数字企业在内的跨国企业征税,确保其至少按照最低水平纳税,以解决税基侵蚀与利润转移问题。这些税率规则主要包括所得纳入规则、税收过低支付规则、转换规则和应予课税规则。美国认为OECD 在“支柱一”设定的征税门槛使得美国大型跨国科技公司成为主要征税对象,导致不公平的贸易壁垒;OECD 在“支柱二”中将全球最低税率定为13%,也将大大加重美国跨国公司的纳税负担。美国的数字贸易提案和《美日数字贸易协定》(UJDTA)都明确数字产品的非歧视待遇包括国内税,反对各国对数字产品和服务征税。美国贸易代表(USTR)还依据《1974年美国贸易法》第301条,对英国、奥地利等十国的数字税政策发起调查,并采取相应的反制措施。美欧在数字税规则制定方面的分歧难以调和,本质上仍是双方对数字经济下国际税收规则制定的话语权之争。
中国作为数字经济大国和最大的发展中国家,在是否开征DSTs问题上面临两难选择。中国数字经济的飞速发展受益于国内巨大的数字消费市场和在电子商务、移动支付等方面占据优势的国内大型数字平台企业。不过,与Google、Facebook等跨国企业相比,中国国内数字平台的业务主要集中在中国市场,海外的营业收入占比较低,在“走出去”的过程中也面临诸多壁垒。比如,美国通过“清洁网络”行动禁止使用中国企业开发的App,打压中国企业研发的网络支付工具。在DSTs已成趋势的形势下,中国的数字企业以及消费者会受到怎样的冲击,中国面临何种贸易摩擦风险,仍须进行深入研判。中国在电子商务提案中未提及DSTs,但基于国际社会对DSTs的高度关注以及我国数字贸易的发展特点,中国应结合实际影响慎重决定是否征收DSTs,以免加重数字企业的税收负担并导致贸易转移效应的出现。
(四)关于中美欧数字贸易核心争议议题的立场评析
当前各经济体处于一个相互依存、紧密联系的数字贸易治理体系中,区域性的数字贸易政策变动很大程度上导致全球经贸格局的变化。从中美欧对数字贸易前沿议题的争议来看,即便处于同一数据跨境流动圈的美欧也因利益诉求不同而存在分歧。就数据跨境流动而言,即便主张数据自由论的美国,也在国防、税务等敏感领域要求数据本地化存储;主张数据主权论的欧盟通过充分性认定、SCCs、BCRs等保障数据跨境自由流动。因此,数据自由流动和数据本地化存储不是相互对立的,而是国家出于网络安全和创新发展目标下的战略选择。中国目前对数据流动的立场与美欧并非不可调和,关键是与数据相关联的谈判议题的设置如何既能满足中国的发展需求,又能符合广大发展中经济体的发展利益,还能与美欧对数据跨境流动的高标准要求相协调。中国目前对源代码议题尚未涉及,但鉴于美欧等重要的数字贸易经济体对该议题的关注,我国也应在维护网络安全的基础上与美欧加强协调。美欧在数字服务税问题上的对立充分表明其对数字经济国际税收治理主导权的激烈争夺,我国应提前做好应对方案。美欧积极推广各自的数字贸易立场,意图主导数字贸易国际规则制定。一方面,我国作为数字贸易大国对数据跨境流动有极大需求,尤其是“一带一路”建设为我国的跨境电商提供了广阔天地。另一方面,数字技术的普及和发展也给数据安全带来威胁,我国维护数据主权和安全的需求愈加强烈。在当前国际关系多变、中美贸易摩擦加剧的背景下,我国应立足自身数字贸易发展的特点,尽快提出数字贸易国际规则的中国方案,与美欧共同主导数字贸易国际规则制定。
三、场所选择:双边FTA、区域FTA和WTO
截至2021年9月12日,中国与其他经济体签署了19个FTA,其中包含数字贸易规定的FTA有9个。中国最早在2006年中国-新西兰FTA附件中纳入旨在减少电子和电子设备贸易中的技术壁垒,以规范数字贸易。从2015年开始,中国陆续在FTA中加入数字贸易规定,且多采用“章”的形式。从签署的国家来看,2015年,中国与韩国、澳大利亚签订的FTA最先包含数字贸易章。2017年月,中国与智利签署FTA,2018年11月与新加坡签署升级版FTA, 2019年10月与毛里求斯签署FTA,2020年10月与柬埔寨达成FTA,2021年1月与新西兰签署升级版FTA。中国在FTA中高度重视数字贸易并设专章的原因在于:第一,中国希望在正在进行的数字贸易国际立法中发挥影响力,以化解其在《国际服务贸易协定》(Ti SA)谈判中被边缘化的危机;第二,中国电子商务企业在海外的强劲扩张,促使中国政府将保护和促进数字贸易纳入其FTA;第三,FTA数字贸易章有助于中国及其缔约国建立一个独立于货物、服务和知识产权贸易的数字贸易法律制度。上述协定中的数字贸易规定主要集中在常规议题方面,主要包括数字贸易的目标和原则、一般条款、定义、海关关税、透明度、国内监管框架、电子认证和电子签名以及数字证书、在线消费者保护、个人信息保护、无纸化贸易、电子商务合作和争端解决条款等,对推动数字贸易的便利化和个人信息保护发挥重要作用,但目前的双边FTA尚未涉及数据的自由流动。
除了上述双边FTA之外,中国与东盟积极推动的《区域全面经济伙伴关系协定》(RCEP)于2020年11月15日签署。RCEP的数字贸易章建立在由TPP稍加变化而达成的《全面与进步跨太平洋伙伴关系协定》(CPTPP)的框架之上,且增加了非应邀商业电子信息、网络安全合作以及电子商务对话等新议题。RCEP由发达国家与发展中国家共同参与、兼顾了发达国家追求的数据自由流动和发展中国家关切的数据安全,并赋予缔约国对数字贸易的监管权。比如,RCEP第12章的第15条第3款规定了跨境信息传输及计算设施的位置,并考虑到各国数字贸易发展的不同情况设置适用例外,充分尊重缔约国决定因公共政策目标和基本安全利益而不适用该条的自由。这也是RCEP与CPTPP、SMCA相比最显著的特色。CPTPP数字贸易章基本保留了美国主导的TPP原先达成的内容。CPTPP和USMCA在美国的主导下建立了低水平的数据保护标准,即APEC框架下的CBPRs,允许签署国采取各自偏好的方式来保护个人信息,而其他国家不应再以个人数据保护为由限制数据向美国流动。另外,RCEP不包含关于源代码的条款,意味着成员可以将披露或转让源代码作为其市场准入条件。这些明显区别于CPTPP的规定被认为是中国在背后推动的结果。这说明中国在RCEP谈判中对争议议题具有较强的引导能力,适合作为共同规则的倡导者来推动数字贸易发展。
虽然WTO数字贸易多边谈判久拖不决,但WTO仍是主导全球数字贸易国际规则制定的主要平台。为了推动全球数字贸易健康有序发展,43个WTO成员在2017年第11届部长级会议上发布第一份《关于数字贸易的联合声明》,强调数字贸易诸边谈判对所有WTO成员开放且不会影响其在未来谈判中的地位,谈判的最终目的是以诸边或多边结果建立数字贸易纪律。2019年1月25日的达沃斯世界经济论坛年会上,中美欧等76个WTO成员为了建立全球数字贸易规则,发表了第二份《关于数字贸易的联合声明》, 就WTO数字贸易问题开展诸边谈判,意图在第12次WTO部长级会议召开前取得积极进展。截至2021年8月15日,已有86个成员加入数字贸易诸边谈判。
中国作为数字贸易大国,也积极参与WTO数字贸易诸边谈判。目前为止,中国政府共提出四次提案。2019年4月23日的提案内容较为原则性,表明了中国的谈判目标、谈判进程和方向以及关注的领域,并对成员较关注的新议题如数据流动、数据存储、数字产品的待遇等进行了回应,认为数据的流动应当以安全为前提并符合成员的核心利益和相关法律法规。该提案还指出中国愿与其他成员就数字贸易有关的贸易问题制定规则,从符合成员共同利益的问题入手,以促进全球数字贸易的健康、有序和可持续发展。2019年5月9日的提案涉及一些较常讨论的议题如电子认证、透明度、垃圾邮件、电子合同等。2019年9月23日的提案重点关注信息通信技术(ICT)产品的非歧视待遇问题,要求WTO成员不能歧视与数字贸易相关的网络设备或产品,不得限制ICT设备或产品的供应。这是中国对美欧歧视和限制中国华为产品和5G技术的回应。2020年10月28日的提案尚未公开。
总体而言,中国的提案多关注的是数字贸易的常规议题,倡导建立便利和安全的电子商务环境,而对数字贸易影响更为深远的新议题较少涉及。发达经济体的数字贸易提案对数字贸易争议问题提出了具体的案文和建议,体现出其拥有较强的谈判能力。中国若要构建数字贸易国际规则,也须对全球关注的数据流动及其相关问题予以重视并积极参与,避免美欧在WTO主导制定符合其自身利益的高标准的数字贸易国际规则。
四、具体方案:完善国内数字贸易法律及对外推出中国的数字贸易规则
(一)国内规则完善
作为数字贸易大国,中国对数据跨境流动需求甚大,然而对其规制却较为滞后。在当前中国积极构建数字贸易国际规则之际,国内数字贸易规则的完善也应紧扣各经济体间争议较大的议题,这样,在进行对外经贸规则谈判时才能有的放矢。
1.数据跨境流动:自由与规制的平衡
数据跨境流动便利了全球数字贸易的互联互通,但缺乏规制的流动可能危害国家安全、个人隐私和产业安全。2021年6月10日通过的《中华人民共和国数据安全法》(以下简称:《数据安全法》)明确提出我国在国家层面建立数据分级分类监管体系,确定重要数据目录并加强保护以及对非关键基础设施数据出境的监管,规范数据相关主体的权利与责任,实现数据自由流动与规制的平衡。
首先,我国应根据不同数据的来源、重要程度以及数据遭到篡改、泄露等造成的危害程度,将数据分为个人数据、商业数据和特定行业数据,并设置不同的数据出境监管标准。就个人数据而言,若涉及国家安全或个人隐私的关键个人数据,如遗传数据、生物数据等,则应禁止跨境流动;若属于身高、体重等一般个人数据和个人身份证号、财产、征信等个人敏感信息,则须履行通知-同意程序后方可跨境流动。商业数据是企业进行开发、管理、营销及决策的重要依据,数据跨境流动可以为企业创造更多的利润。然而,企业掌握的大量数据可能涉及国家安全或个人隐私,企业在数据跨境前要履行自查义务,必要时报行业主管部门批准。特定行业数据是指关乎国家安全和社会公共利益的行业收集和存储的重要数据,如金融、医疗、电信等关键行业数据。各相关行业主管部门应探索制定本领域内的重要数据类别及判断标准,仔细评估数据出境可能带来的数据泄露和滥用风险。我国对这类数据的跨境流动较为谨慎,出于国家安全考虑通常要求数据本地化存储,原则上不得进行跨境传输,确需出境的,先进行安全评估,并根据评估结果实行不同的监管方式。鉴于各类数据对国家安全、社会公共利益以及个人权利的影响不同,对数据进行分级分类管理既可以维护我国的数据安全,又可以实现数据的商业价值。另外,为了降低数据跨境流动的成本和保障数据安全,我国还可根据数据的属性、出境面临的风险以及数据流入国实施的数据保护措施,对数据流入国进行风险评估,将达到我国数据保护标准的国家或地区纳入数据自由流动的“白名单”,对数据流入风险较高的国家或地区则应实行审批制,以实现数据的安全流动。
其次,通过阻断法案阻断美欧对数据的长臂管辖权。美国采纳“数据控制者”标准行使长臂管辖权来获取境外数据,但设置严苛的条件限制外国获取美国的数据,体现了美国的单边主义和数据霸权主义,也是对他国数据主权的侵犯。欧盟根据“影响主义原则”,对位于欧盟境外但在欧盟市场内有经营活动或向欧盟公民提供服务的数据控制者处理个人数据的行为进行长臂管辖。美欧通过境内法律的域外适用加强了对跨境数据的监管。针对美欧的数据霸权主义,2021年1月9日,我国商务部公布《阻断外国法律与措施不当域外适用办法》,不仅为我国企业拒绝向美欧提供数据提供了法律依据,而且为因境外的长臂管辖而受到损失的企业、个人或其他组织提供救济。《数据安全法》第36条规定,境外的司法或执法机构调取存储在我国境内的数据需经我国主管机关批准;第48条规定了数据控制者和处理者违反第36条规定应承担的法律责任。上述规定可以有效阻断美欧对处于我国境内数据的长臂管辖,维护本国的数据主权。
最后,完善数据权利人的权利和明确相关主体的责任。在数据权利人的权利保护问题上,GDPR赋予数据权利人删除权、可携带权等权利,CBPRs也对数据主体的个人参与和权利救济进行了明确。为了更好地保护数据权利人的权利,2020年5月通过的《中华人民共和国民法典》对数据、网络虚拟财产、电子合同、个人信息保护和网络侵权责任等问题进行了规定,提升了对数字产品和服务的知识产权保护力度。该法第1194条至第1197条还明确了网络用户、网络服务提供者的侵权责任。《数据安全法》和《中华人民共和国个人信息保护法》(以下简称:《个人信息保护法》)也对数据主体的权利以及数据控制者和处理者的责任予以明确,如《个人信息保护法》要求信息处理者不得以“胁迫”方式处理个人信息、应当为个人提供撤回同意的便捷方式,并规定了平台侵害个人信息权益的过错推定责任。这些规定对保护处于弱势地位的数据权利人、规范平台运营具有重要作用。另外,数据控制者也须建立数据保护体系,在数据出境前履行自查和报告义务。在数据跨境流动的监管问题上,《数据安全法》第6条采用“一轴两翼多级”的监管体系,以国家安全机关为主轴,以网信部门和公安机关为两翼,由工业、电信、交通、卫生健康等多级行业主管部门共同参与数据的安全管理。该条明确了各机构的监管职责,以期更为专业、细致地保障各类数据的安全。然而,多部门监管可能导致监管竞争或监管缺漏,尤其是涉及多部门的综合数据可能面临重复评估的情况。因此,国家还应建立由监管部门和行业主管部门参与的统一评估机构,明确监管机构和行业主管的评估责任及错误评估的赔偿责任。
2.源代码保护:网络安全与开放的平衡
中美欧关于源代码披露的激烈博弈表明该议题已成为各方争议的又一焦点。鉴于源代码披露是美欧的主要关注点之一,我国作为数字经济大国要予以重视。首先,我国应明确保障网络安全的立场,在涉及关键信息基础设施等重要和敏感领域、司法机构或监管部门有权做出调查和执行行为、为了公共利益需要等特定情形,可强制要求软件所有者披露源代码。其次,我国应坚持网络开放,充分保障软件所有者的知识产权,不以披露源代码作为外国数字企业或产品进入我国市场的准入条件。最后,我国应鼓励软件所有者和权利人自主自愿转让或授权使用软件,以促进软件的开发和利用。
3.电子传输关税和数字服务税:审慎与包容的平衡
就各国讨论激烈的电子传输关税和DSTs问题,我国倾向于对电子传输媒介暂停征收关税的立场值得肯定,但是否支持电子传输永久免关税还需要数据支撑和科学计算。据OECD贸易政策报告统计,我国目前因免关税遭受了严重税收损失,但随着数字技术的普及和运用,免关税可以降低我国中小微企业进入全球电子商务市场的交易费用。因此,电子传输免关税是一把双刃剑,我国需要考虑本国数字贸易的发展状况,收集更多数据分析免关税对我国的影响,并慎重决策。
对数字贸易是否征收国内税也要考虑我国数字贸易发展的具体情况。中美两国占有全球数字平台市值的90%,其他经济体一旦开征数字税将给中美两国的数字企业造成重大损失。围绕着美欧之间引发全球关注的数字税争端,以及越来越多的国家通过立法征收数字税的现实,中国应慎重考虑本国数字企业的发展现状和国外数字企业在我国开展业务的规模和范围。我国的数字产业拥有超大规模的国内市场,依靠DSTs来保护和发展本国数字产业的效果有限。因此,我国在现阶段应暂不征收DSTs。然而,这并不意味着我国可以忽视国外DSTs的单边全球蔓延对本国数字企业出海带来的税收风险。随着我国数字企业海外布局的步伐加快,我国应当重视国内数字企业在其他国家的营业额达到一定数额时可能触发征税条件而被征收数字税。同时,我国开放包容的经济环境也会吸引国外的数字企业进入,是否征收数字税也须认真研究。习近平主席在《国家中长期经济社会发展战略若干重大问题》一文中指出,我国要积极参与数字税的国际规则制定,塑造新的竞争优势。首先,我国在当前重塑数字经济国际税收规则的重要时期,应密切关注并研究OECD、欧盟及某些国家和地区关于DSTs的最新进展,谨慎评估征收数字税对国内互联网企业的影响,以及国际互联网巨头通过利润转移等避税行为给我国造成的税收损失,完善国内税收征管法律法规。针对数字经济虚拟性和流动性等特征,我国须扩展常设机构的认定范围,不再以“物理性”作为判断标准,非实体存在也可被判定为“常设”。同时,我国应明晰税收的种类和确定最低税率,以便与“双支柱”框架下的新征税权相适应。其次,我国应根据我国互联网企业的发展特色,利用多边或双边平台与其他国家加强对话,建立数字税对话合作与纠纷解决机制,早日推动“双支柱”框架的落地实施,避免各经济体重返贸易保护主义和单边主义。
(二)对外规则谈判
互联、开放、共享和协作的数字化时代需要国际社会就数字贸易规制进行合作。我国在构建数字贸易国际规则时须立足政治经济实力在FTA“一揽子”协议谈判中推广我国的数字贸易规则,使其成为具有法律效力且被其他国家接受的约束性规则,增强我国在该领域的话语权和影响力。具体而言,我国须寻求与自身发展诉求接近的发展中经济体的支持,并积极与发达经济体加强对话协作,力争将我国的数字贸易规则融入全球经贸规则体系。
1.对发展中国家进行广泛的利益动员
在美欧通过区域FTA引领数字贸易国际规则制定之际,我国也应积极提升自身参与全球数字治理的能力,避免被边缘化。
首先,我国在WTO电子商务诸边谈判中应结合国内数字贸易立法的新实践,提高中国提案中新议题的详细度,并联合与自身诉求接近的国家或地区,尽可能在争议议题上统一立场。比如,我国和巴西都主张消除和限制数字贸易壁垒,推动贸易便利化建设;我国和俄罗斯都强调在保障数据安全基础上的数据跨境流动;我国和印度、南非等发展中经济体都反对美欧关起门来制定高标准的数字贸易规则,强调发展中经济体的参与。我国应与这些国家和地区加强沟通,争取获得更多的数字经济治理权力。另外,我国还应联合与其诉求相似的发展中经济体向OECD、世界知识产权组织以及国际电信联盟等提出发展中经济体的数字贸易提案,在多边场合宣传和提升符合发展中经济体利益的数字贸易国际规则的影响力,改变美欧经济体以排他性的高标准技术规范为依据的治理格局。
其次,我国应利用“一带一路”平台,在区域经济伙伴中推动各经济体对数字贸易治理规则达成共识。我国目前与171个国家和国际组织签署了205份共建“一带一路”合作文件,积极推进“数字丝绸之路”建设,获得了更多的“一带一路”沿线国家和地区的支持,“一带一路”沿线国家和地区的数字化水平稳步提升。我国与“一带一路”沿线国家和地区的发展阶段相近,数字贸易发展诉求相似,更易达成各方认同的数字贸易规则。鉴于“一带一路”沿线部分国家和地区也是RCEP的成员,我国应借助“一带一路”平台,以RCEP数字贸易章为蓝本对外签订FTA,通过区域及双边治理机制增强沿线国之间的互信与合作。我国作为“一带一路”倡议的推动者和践行者,在建立中国主导的数字贸易多元协同治理体系的过程中应坚守“多边治理”模式,由多个国家和地区共同商定数字贸易治理的具体事项,最终形成以中国为中心的多双边关系协同推进的数字贸易国际规则。
最后,我国应积极与“一带一路”沿线国家和地区就数字贸易相关议题的利益关切点进行沟通,通过签订多双边数据保护合作文件、加强与沿线国家和地区的数字技术合作和数字技术人才培训、构建统一的数据流动标准合同条款等配套方式与沿线国家和地区实现数字经济的协同发展。具体而言,鉴于各经济体数字贸易发展程度的不同和数据保护标准的差异,我国可与“一带一路”沿线国家和地区就数据跨境流动进行风险评估和分级保护,对数字基础设施落后且营商环境欠佳的国家先加强国家层面的协商合作,完善数据跨境合作的制度基础;对基础设施较为落后但营商环境较好的国家可大力推行通信基站、物联网等新型基础设施联通和产能合作,在涉及国家金融、电信等重要行业的数据以及涉及个人敏感信息的数据实行专门的安全保护标准,并定期通报和更新各自数字贸易规制措施以及数据跨境流动的执行和监督情况等,消除各方对数据跨境流动安全的担忧。在实践中我国可通过与“一带一路”沿线国家和地区就数字技术人才培训开展合作,探索成立“一带一路”数字技术人才培训中心,为“一带一路”数字化建设提供长期智力支持,缩小中国与沿线国家和地区在相关领域的差距。另外,我国还可参考欧盟的做法,设计出跨境数据流动的示范合同条款,主动与“一带一路”沿线国家和地区的数据跨境流动标准对接,保障跨境数据的安全有序流动。
2.与美欧等发达经济体加强协作
数字贸易国际规则的构建需要各经济体的参与和协作。即便美欧在数据跨境流动问题上存在较大分歧,但二者基于密切的经贸联系和数据流动需求,通过“安全港”与“隐私盾”、BCRs与CBPRs互认等机制对数据传输问题进行妥协与融合。美欧对强制技术转移和电子传输关税等方面存在较大的利益共识,并通过CPTPP、JEEPA、USJTA等打造“数字贸易朋友圈”,使中国边缘化。我国的数字贸易立场虽与美欧存在差异,但并非无法协调。中国应认真研究美欧主导的数字贸易规则,根据中国的数字贸易发展情况对自身数字贸易规则进行优化,化解各方在数字贸易规则中的分歧。
首先,我国应回应美国关切,协调与美国数字贸易规则中的分歧。鉴于美国对数据跨境自由流动和数字知识产权保护的重视,我国既要实现数据跨境流动的安全,也要警惕美国对我国跨境数据的长臂管辖行为。对此,我国应坚持重要及敏感数据的本地化存储要求,在《全球数据安全倡议》的基础上通过国内的数字贸易立法阻断美国对我国数据的过度获取。针对美国将禁止强制公开披露源代码的要求扩大到基础设施软件的要求,我国应分情况应对:将不涉及国家安全和敏感度低的软件与向大众公开的软件作出开放源代码的禁令,对可能影响国家安全和个人隐私的基础设施软件,仍须公开披露源代码,同时明确披露的源代码仅用于安全审查。
其次,我国应与欧盟建立数字合作伙伴关系,加强对数据的保护。一方面,我国可效仿美欧之间通过《隐私盾协议》实现数据跨境流动的做法,与欧盟达成《中欧数据跨境安全流动协议》。在数据向第三国传输和个人隐私保护方面,根据数据的类型和敏感程度,以GDPR和《网络安全法》《数据安全法》《个人信息保护法》为依据,评估数据出境可能带来的风险和数据接收方可能提供的数据保护措施。在推动《中欧数据跨境安全流动协议》制定和实施的过程中,将实施效果良好的条款移植到未来的中欧数字贸易规则谈判之中,深化中欧的数字贸易合作。另一方面,我国的“数字丝绸之路”与欧盟的“数字单一市场”都意在整合数据要素,实现资源共享和跨国协调。中欧可以将二者结合起来,获得数字化共享和多边共赢的良好局面。
最后,为了在数字贸易领域实现与美欧等国的技术和人才共享,避免丧失数字贸易国际规则制定的话语权,我国应积极推进中日韩FTA的谈判签署,主动探索加入CPTPP。另外,我国还应在RCEP的数字贸易规定和国内对数据和隐私保护立法完善的基础上,在中韩FTA和中澳FTA中加入跨境数据流动和数字内容的知识产权保护等相关条款。我国通过多种举措对外树立坚定维护多边主义和坚持诚信合作的负责任大国形象,向美欧等经济体展示我国的数字监管经验,争取更多的盟友,形成兼容并包的数字治理框架。
当前国际权力结构呈现“多中心”态势,任何单个或几个国家和地区很难在全球数字贸易治理中发挥主导作用。美欧虽对我国提升数字贸易国际规则制定权心存芥蒂,但各方在解决发达经济体与发展中经济体间的数字鸿沟、帮助发展中经济体和最不发达经济体提升互联网接入等方面承担共同的责任,也在加强网络治理、保障数据安全等问题上有共同的利益。在当前数字鸿沟对广大发展中经济体提升数字能力建设造成阻碍的现实背景下,发达经济体应当为发展中经济体提供必要协助,并在数字贸易规则谈判中坚持包容审慎的原则,平衡反映各方的利益诉求,实现互利共赢。
五、结语
本推送转自政治与法律编辑部公众号
相关阅读商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
数字法治战略合作伙伴:理财魔方
北京市竞天公诚律师事务所上海分所