GATS对金融数据本地化措施的规制及中国因应
GATS对金融数据本地化措施的规制及中国因应
郭德香(1970-),女,河南辉县人,郑州大学法学院教授,博士生导师,研究方向为国际金融法、数字贸易法。
摘 要:出于国家安全、个人隐私的保护以及金融重要性地位,各国纷纷进行金融数据本地化措施立法以限制金融数据的跨境流动,但因涉嫌违反《服务贸易总协定》(GATS)中的市场准入、国民待遇、透明度条款等而遭到质疑。金融数据本地化措施是否违背GATS规定不可一概而论,应区分数据本地化措施影响的经济部门,结合成员国对金融领域各部门的具体承诺分析。中国的金融数据本地化措施具有正当性,但该类措施应随着金融监管水平的提高受到约束。在金融数据跨境流动立法过程中,中国可以逐步用多样化的金融数据监管措施取代金融数据本地化措施,重视国内立法与国际条约义务的一致性,积极参与国际规则的制定,维护国家发展利益。
关键词: 金融数据本地化;服务贸易总协定;市场准入;国民待遇
金融数据对维护国家数据安全具有重大战略意义。金融数据风险更是随着金融风险的易传导性成倍增加[1](P84)。伴随着金融数据安全性的担忧,世界各国都不同程度地实施了金融数据本地化措施,也引发了反对和质疑的声音。部分学者从违反服务贸易总协定(GATS)的角度对其国际合法性提出了质疑,认为金融数据本地化措施相当于在市场准入方面构筑起了非关税壁垒[2](P15,P23)。也有学者提出金融数据本地化措施可能违背贸易自由化精神,涉嫌违反国民待遇、客观与透明度条款,成为数字经济时代的新型数字贸易壁垒[3](P3)。金融数据本地化措施的GATS合法性已成为亟待解决的重要问题。本文着眼于GATS对金融数据本地化措施的规制,重点研究金融数据本地化措施与GATS中的市场准入、国民待遇、客观与透明度条款以及例外规定的关系,以期对我国参与金融数据跨境流动国际规则的制定有所裨益。
GATS 对金融数据本地化措施的具体规制
虽然GATS达成之时数字贸易尚未兴起,但是,金融数据本地化措施作为影响服务贸易的国内政策措施,GATS的规则对其仍具有约束力[4](P182)。
(一)金融数据本地化措施的性质
金融数据本地化措施通常包含金融数据有条件的跨境传输措施、金融数据本地存储措施和禁止金融数据传输的措施三种[5](P87)。金融数据有条件的跨境传输是指在本地获取的金融数据在跨境转移到国外之前,必须满足本国规定的特定限制条件从而达到事实上的金融数据本地化的措施。金融数据本地存储措施包括在本国境内以独占的或非独占的方式存储或处理金融数据的措施,通常要求本国金融数据存储在来源于本国的数据中心或使用本国境内的存储设施,一般允许金融数据本身在国外进行处理,但金融数据的副本必须留在国内。禁止金融数据传输的措施是对金融数据限制最严格的措施。这类措施要求该公司使用本地服务器进行数据的主要处理,在禁止数据传输的情况下,即使是数据副本也不能离开国内[6](P51)。
整体来看,国际经贸规则主要将各国的国内监管政策分为市场准入和国内规制两种不同的措施,并施加不同的约束。一般来说,国际经贸协定对市场准入措施施加的约束更加严格,而国内规制措施只有在其具有歧视性的情况下才会违反国际经贸协定[7](P144)。因此,一项金融数据本地化措施属于市场准入措施还是国内规制措施决定了其在GATS框架下的受约束程度。禁止金融数据传输措施有可能造成该部门项下服务的无法提供,即有可能构成该项服务的零配额,属于禁止市场准入措施。金融数据本地存储措施和有条件的跨境传输措施允许满足一定条件后进行数据的跨境传输,属于对服务提供的“质”进行限制的措施,是各国为了实现各自的国家政策而制定的、被普遍适用的措施,属于国内规制措施。
(二)禁止金融数据的传输措施与市场准入
GATS第16条规定,通过跨境交付、境外消费、商业存在、自然人存在四种服务提供方式进入市场的,每个成员应给予任何其他成员的服务和服务提供者不低于其在承诺减让表中商定、同意和列明的待遇;不得在已作出市场准入承诺的部门对外国服务及服务提供者使用列明的6种形式的数量限制性措施,除非在减让表中另有列明可以使用。例如,在美国博彩案中,WTO上诉机构认为美国在“其他娱乐服务(体育除外)”中包含了对赌博和博彩服务的市场准入承诺,此后又禁止以电子网络的方式进行赌博和博彩服务,构成了对市场准入的违背。美国博彩案将对服务提供方法和手段的某些规制措施从GATS第6条对“质”的规制项下转变到GATS第16条对“量”的规制项下,认为禁止提供网络赌博服务的法律法规会使赌博服务的跨境提供难以实现,构成零配额措施。
禁止金融数据传输措施要求公司使用本地服务器进行金融数据的处理,即使是数据副本也不能离境。数字经济背景下,金融服务的提供越来越依赖于金融数据的传递,在禁止金融数据跨境传输的情况下,金融服务的跨境提供通常就无法顺利进行。因此,对于GATS规定的市场准入义务,成员国如果在金融服务项下作出了市场准入的承诺,就不能采取禁止金融数据传输的措施,否则将构成对市场准入承诺的违反。
(三)金融数据本地存储措施与国民待遇
根据GATS第17条、18条的规定,违反国民待遇承诺的认定标准有两个:第一,成员方对争议措施是否作出了承诺以及对于该措施的承诺程度;第二,该争议措施是否会造成外国服务提供者面临比本国服务提供者更差的待遇。倘若一WTO成员国采取金融数据本地存储的监管措施,那么根据金融数据本地存储的要求,金融数据的副本必须留在本国境内,对于本国服务提供者来说可能并不会造成什么影响,而对于外国的服务提供者来说,他们必须在该成员国境内建立自己的数据存储中心,或者通过向该成员国境内第三方数据存储服务公司支付费用将数据副本存储于该成员国境内。这必将导致成本的增加和竞争条件的改变,如果WTO成员国就该数据涉及的服务部门作出了承诺,极可能造成对国民待遇原则的违反。
(四)金融数据有条件的跨境传输措施与透明度和必要原则
GATS下的透明度原则要求任何成员对本国制定和实施的可能影响国际贸易的法律法规、司法判决、行政决定以及贸易政策都应当予以及时地公布,以方便其他缔约方政府及贸易商能够及时地了解和知悉这些政策法规[8](P59)。透明度原则使得各国有关贸易的政策及法律法规可以保持统一性、公正性和合理性,是贸易实现法制化、保持可预见性的关键,有利于保证多边贸易体制在开放、公平、无扭曲的竞争的基础上健康发展。GATS下的必要性原则要求成员国应确保与资格要求和程序、技术标准和许可证要求有关的措施不构成对服务贸易的不必要障碍。
综合来看,透明度原则主要体现在以下几个方面:第一,公布,公布的范围为“成员制定的与本协定实施有关或影响本协定实施的所有普遍适用的相关措施以及成员签署的有关或影响服务贸易的国际协定”,公布的时间要求为及时、最迟在其生效时公布,如果不能公布,则应以其他方式公开。第二,通报,成员对其任何在GATS下的具体承诺所涵盖的服务贸易产生重大影响的新的或对现有法律、法规或行政指南的任何变更都需要主动向服务贸易理事会通报。第三,通知,任何成员对其他成员所采取的,该成员认为其影响GATS实施的法律法规、政策措施,可以通知服务贸易理事会。第四,咨询点,GATS要求每一成员应建立一个或多个咨询点,以方便答复其他成员的咨询。显然,金融数据有条件的跨境传输要求有违反这些纪律的可能。例如,欧盟的《通用数据保护条例》要求,欧盟境内的数据只能向经评估达到充分性保护水平的第三国传输,然而,充分性保护水平的标准却并不明确,规则本身的模糊就有违反透明度原则的可能。此外,对于必要性原则,数据有条件的跨境传输措施更是有违反的可能。虽然,金融数据有条件的跨境传输措施是基于个人隐私保护、国家安全保护等所采取的措施,可以一定程度上提高服务质量,但其是否为确保服务质量所必须尚有待讨论。
02WTO框架下金融数据本地化措施的例外抗辩
(一)金融数据本地化与GATS《金融服务附件》中的审慎例外条款
按照特别法优先适用的原则,援引例外条款时,审慎例外优先于一般例外和安全例外条款适用。GATS《金融服务附件》第2条(a)款规定了成员方可以基于审慎目的采取各种金融监管措施,即便该类措施与GATS项下的承诺和义务不符。GATS在一般例外与安全例外条款之外专门针对金融服务设置了审慎例外条款,赋予成员国在金融服务领域更大的国内规制自主权,以实现金融安全与发展利益的平衡[9](P79)。同时,审慎例外条款要求金融监管措施基于“审慎”原因,必须有助于实现审慎监管目的,不得用作逃避承诺或义务。值得注意的是,与GATS一般例外条款的适用必须满足“必要性”测试不同,审慎例外条款的适用限制更小,给予了成员国更大的规制权[10](P24)。只要成员国能够证明其实施的金融数据本地化措施满足了GATS《金融服务附件》中审慎例外条款的适用条件,该项金融数据本地化措施不论是前述三种中的任何一种,均不受 GATS下的一般义务和具体承诺的限制。
(二)金融数据本地化与GATS《关于金融服务承诺的谅解》第8条
《关于金融服务承诺的谅解》中B部分第8条“信息传送和信息处理”内容中规定,如果金融信息或设备的转移是开展业务所必需的,任何成员不得采取阻止信息或设备转移的措施。但是,在该条文后段同时规定了数据和隐私保护例外,即任何规定不得解释为限制成员国采取保护私人数据、个人隐私以及个人记录和账户的机密性措施的权利,只要此类权利不用于规避该协定的规定。GATS中虽然涉及到与金融数据转移相关的内容,但并没有明确规定禁止要求金融数据本地化,基于此,成员国可以基于保护私人数据和个人隐私的例外条款而实施金融数据本地化措施。
(三)金融数据本地化与国家安全例外条款
GATS第14条规定了国家安全例外,即任何成员都不应被要求提供其认为如果披露将违背其基本安全利益的任何信息;或阻止任何成员国采取其认为保护其基本安全利益所必需的任何行动,包括向军事机关提供补给的行动、与裂变和聚变材料有关的行动,以及在战时或国际关系中的其他紧急情况下采取的行动等。GATS条文使用了总括加列举的形式解释“国家安全例外”的含义,使用了“其认为”一词,赋予了成员国一定的自主权,又使用了“必需”“基本安全利益”做限制,还列举了国家安全例外的具体情形。如果仅根据该条文的总括部分的文本进行解释,各成员国可以为了维护国家的数据安全、金融安全而拒绝金融数据向境外流动。成员国采取金融数据本地化措施也可以解释为是成员国采取的其认为保护基本安全利益所必需的行动。金融数据本地化措施似乎可以援引国家安全例外,但是,该条文列举的几种具体的情形极大地限缩了“国家安全例外”的范围,给国家安全例外的援引造成了障碍。笔者认为,金融安全、网络安全、经济安全等非传统安全已经成为国家安全的重要部分,应当科学的运用“不得构成歧视”或“变相贸易限制”等规则限制“国家安全例外”的适用,而不是一味的将“安全”的含义局限于传统安全,忽视各方诉求。
(四)金融数据本地化与一般例外条款
GATS第14条被称之为“一般例外”条款,它允许成员国基于公共道德、公共秩序、人类和动植物的生命健康对服务贸易采取限制措施,只要这些限制措施不在情况相似的国家间构成任意的歧视手段或变相的贸易限制。此外,成员国还可以为了保护个人隐私、安全的法律、法规得到遵守而采取贸易限制措施,但是,该限制措施需是“必要的”。对于如何判断一项贸易限制措施是否可以援引一般例外,可以参考WTO上诉机构在“美国博彩案”中的做法。首先,讨论这项贸易限制措施与援引的例外规定中的特定利益之间的关联度,分析该措施是否为保护公共利益所必需。其次,分析该限制措施是否构成任意的歧视或变相的贸易限制。具体到金融数据本地化措施,限制金融数据的出境是保护金融安全、稳定金融行业秩序的必要措施。以银行业为代表的金融机构的数据安全关系到金融行业的资金安全以及金融数据的增值分析、利用等衍生价值。此外,金融数据涉及诸多个人金融信息,金融机构保护客户的金融信息不被泄露也是应有之义。金融数据本地化措施是保护金融安全、维护金融秩序的必要措施。有疑问的是,金融数据本地化措施是否在相似情形的国家间构成任意的歧视或变相的贸易限制?金融数据本地化措施是针对所有网络运营者的措施,并非仅仅针对外国的网络运营者,即便是中国的网络运营者向境外提供金融信息也需要满足一定的条件。金融数据本地化措施并不会造成任意的歧视。而美国认为自己受到的影响更大是因为美国拥有富有竞争力的信息产业,是全球金融数据流入国,同样的限制金融数据出境措施对美国的影响相较于其他国家更大,但这并不能构成对相似情形国家的歧视。总之,金融数据本地化措施不构成任意的歧视,可以援引GATS“一般例外”条款[11](P41)。
03GATS框架下金融数据本地化措施的中国因应
数据跨境流动监管的国际立场趋于两极分化:美国、日本、韩国等国家积极签订国际经贸协定,主张数据跨境的自由流动[12](P458),中国、印度、俄罗斯等国家纷纷实行数据本地化措施,欧盟又以个人权利保护为主线,建立起了单边监管模式[13](P27)。在此背景下,GATS作为调整多边贸易的重要规则,对协调、规制各国的金融数据跨境流动限制措施具有重要作用,也给我国金融数据跨境流动立法以启示。
(一)保护金融安全需要采取金融数据本地化措施
一方面,金融数据本地化措施是立足中国面临的现实基础作出的最适合的立法模式选择。金融数据相比其他数据更为敏感,一旦发生泄漏可能直接关系到国家安全和公共利益。在我国金融服务业监管规则不够完善、发展水平有待提高的情况下,金融数据本地化措施是一种客观、合理的存在。金融数据本地化措施的实施是各国应对大国竞争加剧、全球化逆转、数据资源战略性和美国技术霸权的合理措施,在保障国民安全、政治安全、便利执法和促进经济发展等方面具有重要作用,具有正当性的现实基础[14](P42)。
另一方面,即使是一些发达国家对金融数据跨境的自由流动也持谨慎态度。例如,美国一向强调数据跨境自由流动,对金融数据却持谨慎态度。具体而言,美国主导的《跨太平洋伙伴关系协定》中取消数据本地化存储要求的主张并不包含金融数据。在《美墨加协定》中,虽然规定了缔约方不得将金融数据计算设备设立于本地作为在该国境内开展业务的必要条件,但又明确了禁止缔约国采取金融数据本地化要求的前提是缔约国金融监管机构有较高的金融监管能力,能够从境外即刻、直接、完整与持续地获取相关金融信息,同时还规定了禁止金融数据本地化的例外条款,为实施金融数据本地化措施保留了充足的空间[15] (P54)。美国金融监管部门虽然没有一刀切的要求金融机构将金融数据本地化,但是,其对金融机构施加了高度的消费者隐私保护、数据安全保障及金融合规义务,变相保证了金融数据本地化的获取[1](P85)。
但是,金融数据本地化措施的实施不利于数字经济的发展和贸易的便利化。一方面,禁止数据传输措施有违反GATS市场准入承诺的可能,随着对外开放程度的加深,各国必然会在更多领域作出市场准入承诺,禁止数据传输措施不是长久之计[16](P82-83);另一方面,数据本地化要求并不一定能保障数据的安全,反而会增加数据安全维护的成本[17](P12,P14)。例如,对于一些网络安全技术和管理经验缺乏的地区,使用本地的数据中心存储数据,可能给金融机构带来更高的风险[18](P4)。再如,金融数据本地化要求导致需要使用的存储数据的数据中心由原本的一个变为多个。这就导致了维护数据中心安全的成本大大增加,安全维护的成效也可能因为成本的过高而有所减损[19](P9)。经济全球化时代,需要建立完善的保证金融数据跨境安全、快速流动的监管规则,而不是一味的减少金融数据的跨境流动。因此,国际金融数据跨境规则会随着其他监管措施、监管手段的增多逐步减少或限制金融数据本地化措施。
(二)完善我国金融数据本地化措施
目前,我国已初步形成了以“数据安全流动和自由流动并举”为原则,以重要数据、国家核心数据和个人信息为抓手的分类规制格局[20](P32)。对于作为重要数据的金融数据,我国主要采取以金融数据本地化为原则,附条件的跨境流动为例外的规制模式[21](P58),并形成了以《网络安全法》《数据安全法》《个人信息保护法》为主干,银行业、证券机构业、征信业等行业规范性文件为分支的金融数据出境监管体系。
整体来说,我国的金融数据本地化措施同样包括三大类:金融数据有条件的跨境传输措施、金融数据本地存储措施、禁止金融数据传输的措施。金融数据有条件的跨境传输措施主要规定在《网络安全法》《数据安全法》中,要求金融数据在离境前要进行安全评估、要符合出境安全管理办法等。例如,《网络安全法》第37条、《数据安全法》第31条、《个人信息保护法》第39条等就规定了有条件的跨境传输措施。金融数据本地存储措施也广泛存在我国的法律规定中,如《个人信息保护法》第40条规定关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,必须将其在我国境内收集和产生的个人信息存储在我国境内。禁止金融数据传输的措施是对数据限制最严格的措施,如中国人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔2011〕17号)第6条明确指出,在我国境内收集的个人金融信息,必须在我国境内进行储存、处理和分析,银行业等金融机构不得向境外提供在我国境内的个人用户的金融信息。但是,之后的《关于银行业金融机构做好个人金融信息保护工作有关问题的通知》(上海银发〔2011〕110号)第4条中又明确,如果是为办理业务的需要,在经过授权或同意之后,银行等金融机构的数据可以进行跨境流动。可见,我国的金融数据本地化措施实质上主要为数据有条件的跨境传输措施和数据本地化存储措施。
但是,我国当前法律规定比较原则,在进行规则的完善时应当充分考虑已加入的国际经贸规则以及现有的金融数据跨境流动中的行业惯例,实现国际规则与国内规制的协调[22](P40)。如前所述,禁止金融数据的传输和金融数据的本地化要求有违反市场准入承诺的可能,故我国需要避免在作出市场准入承诺的服务部门制定禁止金融数据传输的措施。金融数据的本地化存储措施有违反国民待遇承诺的可能,故我国在作出承诺的部门不应要求金融数据的本地化存储。金融数据本地化措施需要满足透明度、必要性要求,尽量明确金融数据跨境传输所需要满足的条件和程序,细化数据安全审查标准。此外,我国还可以充分利用例外条款实现金融数据本地化措施与国际经贸规则的协调。
(三)积极参与金融数据跨境流动国际经贸规则的构建
市场准入条款的适用范围受到各国具体承诺的限制,GATS无法对没有作出市场准入承诺的国家进行规制,相关承诺有待进一步谈判。国民待遇条款对金融数据本地化措施的规制同样需要以成员国的承诺为先决条件,故并不能全面的规制金融数据本地化措施,将会导致国外服务提供者在经贸关系中处于不利地位。GATS对金融数据本地化措施的规制困境,不利于全球贸易的正常、健康开展,而随着全球数字经济的快速发展,迫切需要完善金融数据本地化措施的国际规制机制[23](P36)。
我国应积极通过多种方式参与金融数据跨境流动国际经贸规则的构建,维护我国的合法利益,掌握国际话语权。一是可以在WTO电子商务谈判中结合我国的数字经济发展实践,积极提出金融数据跨境流动的高质量提案。二是可以利用“一带一路”平台,以《区域全面经济伙伴关系协定》关于金融数据跨境流动的规则为蓝本,同其他国家签订更为详细的、包含金融数据国际规则的双边协定,通过区域及双边的治理机制增强沿线国家的相互信任与合作,提高我国金融数据治理模式的国际认可度,共同构建符合发展中国家利益的金融数据国际经贸规则[24]。三是要积极同美欧等发达经济体进行规则合作和交流。我国要进一步强化金融数据利用和控制能力,积极参与美欧数据治理进程,了解分歧,深化合作,在数字贸易领域达成规则共识。
04结语
数字贸易的发展促进了世界经济的发展,但也引发了各国对国家安全、个人隐私保护等方面的担忧,故各国纷纷制定金融数据本地化措施,给经济的全球化发展带来了障碍,与贸易的自由化、便利化背道而驰,规制各国的金融数据本地化措施势在必行。然而,如今WTO电子商务谈判停滞[25],各国对金融数据跨境流动的态度不同,新的国际规则的构建困难重重。在新的国际规则出现前,各国的金融数据本地化措施应当符合GATS的纪律要求如市场准入、国民待遇、必要性与透明度原则。我国一方面应注重国内金融数据本地化措施与GATS的协调,另一方面也要积极推出中国方案,促进金融安全与贸易自由化发展的平衡。
本文刊载于《郑州大学学报》(哲学社会科学版)2023年第4期,如需转载,请联系授权。
项目基金:河南省教育厅哲学社会科学研究重大项目“河南数字经济建设下统筹金融数据安全与发展的法治路径研究”(项目编号:2022-YYZD-23)。
(参考文献已省略,如有需要请点击“阅读原文”进行下载)
* 图片来源于网络 *
●两汉时期中原地区水利技术西传及其社会影响———以敦煌地区水利开发为中心的考察
进入公众号内搜索,即可检索历史推送内容。
加关注方法:
1.在微信公众号内搜索“zdxbzsb”或“郑大学报哲社版”并关注;
2.扫描下方二维码进行关注扫码关注
郑州大学学报(哲学社会科学版)
全国中文核心期刊
中文社会科学引文索引来源期刊(CSSCI)
中国人文社会科学核心期刊(AMI)
教育部第二批名栏建设入选期刊
河南省一级期刊
河南省哲学社会科学基金资助期刊
更多内容请访问《郑州大学学报》官网:
http://zzdx.cbpt.cnki.net/
联系电话:0371-67781275