其他
高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究
WTO(世界贸易组织)框架下的
数据跨境规则研究
世界贸易组织(World Trade Organization, WTO),作为全球范围内的多边贸易组织拥有164个成员国,其设立目标是通过贸易规则谈判、监督WTO协定执行、促进贸易开放、解决贸易争端等手段,帮助全球人民提高生活水平。成员国加入WTO需要使其国内法满足WTO的相关协定文件,这主要包括关税及贸易总协定(GATT)、服务贸易总协定(GATS)、技术性贸易壁垒协定(TBT)和与贸易有关的知识产权协定(TRIPS)等。在数字经济的大背景下,多种国际贸易形式均可能涉及到相应的国际数据跨境传输,因此相关成员国关于数据跨境传输的法律和政策存在影响贸易往来的可能。因为WTO框架目前尚未对数据跨境进行专项规制,在WTO体系下讨论数据跨境问题应从相关国内法律政策对贸易本身的影响考虑,从而援引相关贸易协定进行分析。目前,虽然学界对进行数据跨境的产品贸易是属于货物贸易还是服务贸易存在一定的争议,但主流观点认为数据跨境的相关产品是一种无形的、电子形式的服务提供,应认为属于服务贸易从而根据GATS进行判断。在现行规定之外,WTO的七十余个成员国于2019年一致通过了《关于电子商务的联合声明》,开启了在WTO框架下就电子商务规则的谈判,数据跨境规则即为谈判的重要方面。 一、GATS在数据跨境中的应用目前全球部分国家和地区的相关法律已经对数据跨境做出了限制,例如欧盟的GDPR要求仅能向满足特定条件的地区或公司传输数据,而中国的《个人信息保护法》对关键信息基础设施的运营者和处理个人信息达到规定数量的处理者设立了本地存储个人信息的义务,此类法规有违反GATS中对国民待遇和市场准入相关的规定的可能。下文将以中国《个保法》为例进行分析。WTO的成员国在签订GATS协议时会作出一份服务贸易具体承诺减让表,对于作出承诺不做限制的服务领域应当开放。在这些领域需要遵守GATS中的市场准入要求,也即按照GATS第十六条对于承诺领域的服务供应商准入标准不得低于国内的同行业供应商。根据中国签署GATS的服务贸易具体承诺减让表,其中没有对个人信息的跨境处理相关的计算机服务行业、数据处理行业还有电信行业等作出除公司区域和资本比例之外的过多从业限制。这意味着,中国不能再通过国内法律予以境外的此类公司以不平等的限制。《个保法》对于个人信息出境的限制有可能构成对境外服务提供商的不平等准入限制,从而违反GATS第十六条的规定。GATS第十七条规定了对境外企业的在承诺表中承诺领域的国民待遇,也即给予其他成员国的服务或服务提供者的待遇要不低于本国类似服务和服务提供者之待遇。根据上述《个保法》中对个人信息出境的限制,可以看出这对来自境外的处理者施加了的包括时间、财政和其他方面的额外成本。而这些成本是本国企业,或者主要以本国为主要市场的处理者所不需要负担的。相比之下,本国的个人信息处理者就较境外的处理者有了成本上的优势,这可能会改变中国内部的竞争情况,因此其也可能构成违反GATS第十七条的平等待遇要求。判断数据跨境限制是否违反GATS的相关规定,还要进一步明确该限制规定是否违反GATS第十四条的例外规定。GATS第十四条为国内的限制性立法提供了例外,但不能构成贸易歧视和变相限制的国内措施,其中的(c)(ii)条允许了成员国实施保护个人隐私、数据和其他记录机密性的措施。虽然GATS能够根据前述规则对数据跨境问题进行规制,但GATS在此问题上的适用存在其局限性。首先,数据跨境问题不仅在GATS规范的服务贸易中广泛存在,货物贸易也可能涉及数据跨境传输。其次,在数字服务贸易形式迅速变化的情况下,现在国际常用的1991年联合国中央产品分类系统或服务部门分类表,难以对新的服务产品形式进行准确分类。 二、WTO电子商务谈判中的数据跨境议题自2019年开启WTO电子商务谈判以来,WTO成员国已经历多轮谈判,根据于2020年12月完成的《WTO电子商务谈判合并谈判案文》(以下简称《谈判案文》),WTO成员国将数据跨境流动作为重要议题纳入谈判。《谈判案文》在其B部分(开放和电子商务)中,包括了信息的流动和电子传输的关税两个方面的内容。就关税而言,《谈判案文》在B部分的第三段中,要求以不能对电子传输征收关税为原则,由此限制了以关税形式的贸易壁垒,但是符合WTO相关贸易协定的国内税费征收是受到允许的。在信息流动部分中,《谈判案文》首先涉及了对跨境数据流动的规定,各国认为数据传输的主体为成员国的国民和企业,应当允许各国存在对数据传输的管理规定,但不能随意限制数据的跨境传输。但对成员国或代表成员国持有或处理的数据进行跨境传输,不在禁止限制的范围内。此外,与GATS的规定类似,《谈判案文》中要求对数据的限制需要符合适当的合法目的,如公众隐私保护,而不能形成任意或不公正贸易歧视以及变相的限制。第二,《谈判案文》将禁止数据本地化存储作为了原则,但为达成合法公共政策目的和保护必要安全利益的本地存储规定可以被允许。同时,该规定不能构成任意或不公正贸易歧视以及变相的限制,以及不能超过实现目的的必要程度。除个人和企业的普通数据外,国家持有和处理的数据以及金融数据的本地化被排除在本部分规定之外。第三,《谈判案文》对金融数据传输和本地化进行了单独规定,当数据传输对金融服务提供者正常运营是必须时,成员国不得对其加以限制。因为金融行业的特殊性,监管机构应当被授权对金融监管机构的数据进行实时访问,只要监管能对境外的金融数据进行实时访问,就不能将金融数据本地存储作为准入条件。反之,如果一国的监管机构不能访问金融服务提供者位于境外的数据,则其有权要求金融服务提供者将数据存储在监管机构所在国境内,但需要给予金融服务提供者合理的补偿。需要注意的是,本条的规定,特别是对监管机构的访问授权,仍然需要确保对个人信息、隐私和个人记录及账户保密性的充分保护。
— END —
网络法治国际中心 | 跨境数据治理前沿系列:
高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究
网络法治国际中心 | 全球数字治理前沿系列:
高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书
高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约
高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法
图文编辑:北京师范大学 黄诗亮