要目
一、引言
二、GATS对无流动限制的数据本地化措施的规制
三、FTA对无流动限制的数据本地化措施的规制
四、无流动限制的数据本地化措施给我国的启示
结语
既有研究大多从限制数据流动的角度来理解数据本地化措施,然而数据本地化措施不必然限制数据跨境流动,有必要跳出固有角度研究国际贸易法对无流动限制的数据本地化措施的规制问题。在GATS框架下,无流动限制的数据本地化措施属于“影响服务贸易的措施”,违反“市场准入”义务和“国民待遇”义务的可能性均较低。在FTA视角下,无流动限制的数据本地化措施虽然不违反跨境数据流动条款,但很可能违反数据本地化条款。我国正在申请加入的CPTPP和DEPA对数据本地化措施的例外情形作出严格限制,无流动限制的数据本地化措施相较于限制流动的数据本地化措施,其“必要性”更容易证明,因而更有可能符合例外条件。无流动限制的数据本地化措施对我国完善数据本地化措施类型、提供跨境数据调取执法新思路、进一步完善相关细则具有借鉴和启发意义。
当今世界正在经历百年未有之大变局,数字经济在全球范围内蓬勃发展,成为新一轮科技革命和产业变革的引擎。在此背景下,各国纷纷制定数字经济和数据跨境流动相关的国内法规。相当数量的国家采取了数据本地化措施,要求跨国企业将涉及国家安全、公共利益、隐私保护等事项的数据存储在本国境内,给数据跨境自由流动带来限制,也增加了数字经济中跨国企业的经营成本。如何规制数据本地化措施是WTO电子商务谈判的议题之一,区域全面经济伙伴关系协定(Regional Comprehensive Economic Partnership,以下简称RCEP)、全面与进步跨太平洋伙伴关系协定(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,以下简称CPTPP)、数字经济伙伴关系协定(Digital Economy Partnership Agreement,以下简称DEPA)以及美墨加协定(United States-Mexico-Canada Agreement,以下简称USMCA)等自由贸易协定(Free Trade Agreement,以下简称FTA)也对缔约国采取数据本地化措施的权利作出相应限制。已有研究大多从限制跨境数据流动的角度来理解和定义数据本地化措施,认为数据本地化措施是限制数据出境的措施。然而,数据本地化措施并不必然地限制数据跨境流动。经济合作与发展组织(Organization for Economic Cooperation and Development,以下简称OECD)对数据本地化的定义是“一种直接或间接地规定独占(exclusively)或非独占(nonexclusively)地在特定管辖范围内储存或处理数据的强制性法律或行政要求”。OECD根据数据本地化措施对数据跨境流动的不同影响,将数据本地化措施分为三种类型:不限制数据跨境流动的数据本地化措施、允许数据附条件流动的数据本地化措施和严格限制数据流动的数据本地化措施。本文所关注的数据本地化措施类型是不限制数据跨境流动的数据本地化措施(以下简称“无流动限制的数据本地化措施”),在该类型中,一国政府往往要求相关数据在本国境内存储或处理,但不限制数据的跨境流动。例如,瑞典会计法要求,会计信息必须在瑞典存档7年,但并不限制相关数据出境。当前,RCEP已对我国正式生效,我国正在申请加入对跨境数据流动和数据本地化措施提出更高合规要求的DEPA和CPTPP,也正在积极参与WTO电子商务谈判。因此,本文尝试跳出限制数据流动的固有角度,研究国际贸易法对无流动限制的数据本地化措施的规制问题,希望有助于对数据本地化措施相关国际贸易法规则的全面和深入理解。本文将依次讨论的三个主要问题是:首先,在WTO框架下GATS是如何规制无流动限制的数据本地化措施的;其次,FTA视角下自由贸易协定中的数字贸易专章或者数字贸易协定是如何规制无流动限制的数据本地化措施的;最后,无流动限制的数据本地化措施的域外实践与贸易规制对我国的数据本地化规制实践有何启示和借鉴意义。由于数字贸易主要涉及服务贸易,因此WTO协定中规制数据本地化措施的主要是服务贸易总协定(General Agreement on Trade in Services,以下简称GATS)。在GATS的规制框架下,数据本地化措施构成“影响服务贸易的措施”是GATS适用的前提;此外,还需要根据各成员的具体承诺判断成员方采取的数据本地化措施是否违反成员作出的具体承诺义务;最后,成员方可以援引“一般例外”和“安全例外”来豁免条约义务。无流动限制的数据本地化措施构成“影响服务贸易的措施”数据本地化措施在定位上属于国内监管措施。GATS第1条第1款规定GATS适用于成员方采取的“影响服务贸易的措施”。上诉机构在“加拿大—汽车案”(DS453)中认为,判断一项措施是否构成“影响服务贸易的措施”,需要考察的具体问题是:第一,是否存在GATS意义上的“服务贸易”;第二,该项措施是否对服务贸易产生“影响”。首先,根据WTO争端解决实践,数字传输或处理服务属于GATS意义上的“服务贸易”。在“美国赌博案”(DS285)中,专家组在分析美国禁止在线赌博服务的措施是否违反“市场准入”义务时,将技术中立原则引入到对GATS文本的解释中,认为除非成员方明示地排除一项跨境服务提供方式的适用,否则成员方将被视为对包括电子方式在内的所有服务提供方式作出承诺。根据这一理解,除非成员方特别排除,数据传输和处理等数字领域服务可以被解释为GATS意义上的“服务贸易”。其次,无流动限制的数据本地化措施对数字服务提供者产生影响。上诉机构在“加拿大—汽车案”中认为,分析“影响”应考察措施对服务或服务提供者能力的影响。无流动限制的数据本地化措施虽然不限制数据出境,但要求服务提供者将数据在境内存储或处理将导致外国服务提供者不得不在境内专门设立数据存储中心,这将加重外国服务提供者的成本和负担,对服务提供者提供服务的能力产生影响。综合以上两点,无流动限制的数据本地化措施构成“影响服务贸易的措施”,GATS可适用于对这类措施的规制。GATS具体承诺义务对无流动限制的数据本地化措施的规制GATS“市场准入”义务和“国民待遇”义务是具体承诺义务,确定成员方是否违反具体承诺,必然要审查相关服务属于哪个服务部门以及成员方是否对该部门作出承诺。GATS承诺表中的部门分类以联合国统计局1991年临时中心产品分类目录(CPC)为基础,由于当时互联网尚处于发展初级阶段,CPC并未考虑互联网服务,但根据“技术中立”原则,采用互联网技术相关服务仍可被归入传统服务部门中。GATS第16条第2款列举了6类成员方不得采取的市场准入限制措施:(1)以配额数量、排他性要求等形式限制服务提供者数量;(2)以配额数量等形式限制服务交易或资产总值;(3)以配额数量等形式限制服务营运之总数;(4)限制服务提供者相关自然人总数;(5)要求服务提供者以特定法人形态或合资方式提供服务;(6)限制外资参与。从对服务提供者的限制效果看,GATS第16条规制的数量限制是服务提供者所无法逾越的。上诉机构在“美国赌博案”中认为,美国对在线赌博服务的禁止属于对相关服务运行或出口的“零配额”因而违反“市场准入”义务。数据本地化措施可能会限制数据跨境流动,要求数据独占性在本国境内独占性存储或处理,相当于以“零配额”的形式施加数量限制,可能违反“市场准入”义务。然而,无流动限制的数据本地化措施是非独占性的,并不要求数据排他性地在境内存储和处理,因而并不属于GATS第16条所禁止的措施。因此,无流动限制的数据本地化措施违反GATS项下的“市场准入”具体承诺义务的可能性较低。另一项可能会约束数据本地化措施的GATS义务是“国民待遇”义务,根据GATS第17条,成员方在承诺表范围内,不得给予外国服务或服务提供者低于其给予本国同类服务或服务提供者的待遇。
相关措施是否构成对外国服务和外国服务提供者的“不利待遇”是判断是否违反“国民待遇”义务的关键问题。在“中国电子支付服务案”(DS413)中,专家组认为,GATS国民待遇义务同时适用于事实上和法律上的歧视,该义务是为了确保外国和本国同类服务和服务提供者的平等竞争机会,平等竞争机会的缺失视为“不利待遇”。有观点认为,数据本地化措施要求外国服务提供者在本国设置数据中心,必然增加数据跨境服务的成本,难以确保同类服务和服务提供者的平等竞争机会,极有可能违反“国民待遇”义务。
本文对此持不同观点,GATS第17条的注释将由于服务或服务提供者的外国性(foreigncharacter)而造成的固有竞争劣势从“国民待遇”具体承诺义务中排除,而外国服务提供者履行数据本地化要求所付出的额外成本实质上是由于外国服务提供者“来自外国”的外国性所导致的,并不必然违反“国民待遇”具体承诺义务。在无流动限制的数据本地化措施中,外国服务提供者和国内服务提供者同样地被要求将相关数据在境内存储或处理,外国服务提供者将有关数据传输出境的权利也没有受到限制,措施本身没有造成外国和本国同类服务提供者平等竞争机会的减损。因此,无流动限制的数据本地化措施违反GATS项下的“国民待遇”义务的可能性较低。
无流动限制的数据本地化措施能否援引GATS例外条款GATS第14条规定的一般例外和安全例外可以豁免成员方“市场准入”和“国民待遇”义务。在数据本地化措施情形中,一般例外中的(a)款“公共道德”例外和(c)款第2项“个人隐私保护”例外以及安全例外均可能适用。值得关注的是,必要性标准是WTO专家组和上诉机构考察成员方国内监管措施合法性的主要依据,也被广泛运用到例外条款有关案件的分析。在“美国赌博”案中,上诉机构认可了专家组将必要性标准运用到对GATS一般例外条款的解释中的观点。从必要性标准的角度,无流动限制的数据本地化措施相较于严格限制数据流动的数据本地化措施,不限制数据的跨境流动,对贸易的负面影响更小,更大程度地避免了对数字贸易的干涉,施加给外国服务提供者的负担更小。因此,无流动限制的数据本地化措施的必要性更容易得到证明,援引GATS例外条款成功的可能性更高。尽管GATS可以适用于无流动限制的数据本地化措施,但WTO框架内仍然缺少系统性的数字贸易纪律规范,在WTO电子商务谈判各方存在明显分歧的背景下,各国转而在FTA中设置电子商务或数字贸易专章或者签订专门的数字贸易协定,规制数据本地化措施等可能影响数字经济发展的贸易壁垒和措施。FTA对数据本地化措施的规制主要体现在数据本地化条款和跨境数据流动条款中。其中,数据本地化条款原则上禁止将计算机设施本地化作为在缔约方境内进行商业活动的条件。我国已经签订并正式实施的RCEP以及我国正在申请加入的DEPA和CPTPP都规定缔约方不得将使用境内计算机设施或者将设施置于境内作为进行商业行为的条件,RCEP、DEPA和CPTPP对于数据本地化措施采取了相同的定义措辞,但在数据本地化措施可援引的例外情形问题上,RCEP与后两者差异较大。FTA跨境数据流动条款也可能适用于数据本地化措施,跨境数据流动条款通常规定缔约方不得阻止商业行为中通过电子方式的跨境信息传输。限制数据跨境流动的数据本地化措施由于限制数据跨境传输,因此同时受到数据本地化条款和跨境数据流动条款的约束,但本文所要讨论的无流动限制的数据本地化措施由于不限制数据跨境流动因而只受到数据本地化条款的规制。FTA数据本地化条款与跨境数据流动条款两个条款的规制范围存在重合。本文认为,两个条款的关系应当从以下两方面厘清:第一,数据本地化措施未必限制数据流动,限制数据流动的措施也未必是数据本地化措施,二者在规制范围上存在交集但并非完全重合,各自都有独立规制约束的范围;第二,从措辞上看,数据本地化条款侧重从限制市场准入效果的角度考察监管措施影响,而跨境数据流动是对监管措施的一般性约束。无流动限制的数据本地化措施受到FTA数据本地化条款的规制。数据本地化条款原则上禁止缔约方采取数据本地化措施作为在其境内开展商业活动的条件,即使该项数据本地化措施并不限制数据跨境流动也仍为FTA数据本地化条款所一般性禁止。因此,分析一项无流动限制的数据本地化措施在FTA数据本地化条款视角下是否具有合法性的一个重要问题在于,该项数据本地化措施是否属于“进行商业行为的条件”(as a condition for conducting business)。由此可见,FTA认识到数据本地化措施可能产生的限制市场准入效果,从准入前义务角度出发要求缔约方不得将数据本地化措施用于限制市场准入。这为企业在缔约国范围内进行数据中心的选择提供了法律确定性。无流动限制的数据本地化措施,虽然不限制数据跨境传输,但强制企业将数据在境内备份的要求也会给服务提供者带来额外的成本负担,从而影响数字贸易的自由程度,如果构成从事商业活动的前提条件,那么也会违反FTA数据本地化条款。相较于GATS“市场准入”义务,FTA数据本地化条款实质上对缔约方数字贸易市场准入提出了更高的合规要求。首先,GATS“市场准入”义务是具体承诺义务,其适用首先要判断相关服务是否是成员方在承诺表中所承诺的服务部门,而部分FTA(如CPTPP)采用负面清单,将适用范围拓展到缔约方未排除的所有服务类型。其次,GATS“市场准入”义务只涉及服务贸易部门,而部分FTA(如CPTPP)电子商务章节也适用于货物贸易。最后,数据本地化措施在GATS中只有构成“数量限制”等6种特定情形时才为GATS所禁止,无流动限制的数据本地化措施本身并不是GATS“市场准入”义务所规制的对象,而FTA明确禁止数据本地化措施作为市场准入条件,在规范的数据本地化措施范围上,FTA数据本地化条款更广泛。FTA中,数据本地化措施可以援引的例外条款往往包括数据本地化条款中的特别例外和FTA总则中的一般例外和安全例外。其中,数据本地化条款本身包含的特别例外通常是合法公共政策目标例外,此外,RCEP还在数据本地化条款中单独规定了基本安全例外。RCEP、DEPA、CPTPP均将GATT第20条一般例外和GATS第14条一般例外纳入。对于安全例外,三个FTA没有直接采用GATT安全例外,而是在措辞上作了调整。对于数据本地化措施的特别例外,三者差别较大。RCEP电子商务章节赋予了缔约方较为宽松的监管规制空间。RCEP电子商务章节第14条第3款规定缔约方可以采取数据本地化措施的例外情形有两种:一是缔约方认为是实现公共政策目标所必要的措施,只要不以任意或不合理的歧视或变相贸易限制的方式适用;二是缔约方认为对保护其基本安全利益所必要的任何措施。根据该款规定,RCEP将判断何为合法公共政策目标、何为基本安全利益以及是否必要的空间留给了缔约方自由裁量,只在合法公共政策目标例外中要求以不歧视的方式进行。RCEP数据本地化措施的特别例外比RCEP整个协定的一般例外和安全例外更加宽松。在采取无流动限制的数据本地化措施时,RCEP缔约方也很可能援引数据本地化条款的特别例外来豁免数据本地化条款下的义务。CPTPP和DEPA对数据本地化措施的特别例外采取了更加谨慎的态度,严格限制例外条款适用。相较于RCEP,CPTPP和DEPA对数据本地化措施的特别例外增加了两点限制:一是删除了“其认为”措辞,何为合法公共政策目标及其必要性不由缔约方所决定;二是增加了本地化措施不得超过实现目标所需限度的限制。合法公共政策目标的范围看似比GATS第14条所列举的几种具体情形更加宽泛,但合法公共政策目标的具体范围仍然有待明确。在符合上述例外条件较为困难的情况下,反而可能会导致缔约方选择援引安全例外,增加安全例外被滥用的风险。无流动限制的数据本地化措施相较于严格限制数据出境的数据本地化措施,对数字贸易的影响程度更小,仍然更有可能符合例外条款的限制条件。我国当前的数据跨境流动规制体系中,尚未明确区分限制流动和不限制流动的数据本地化措施,无流动限制的数据本地化措施对我国完善数据本地化措施类型、提供跨境数据调取执法新思路、进一步完善相关细则具有借鉴和启发意义。在我国当前的规制体系中,数据本地化措施通常伴随着对数据跨境流动的限制,并未明确规定无流动限制的数据本地化措施类型。我国数据本地化相关的主要立法是网络安全法、数据安全法和个人信息保护法。网络安全法第37条规定,关键信息基础设施运营者产生的个人信息和重要数据应当在境内存储,确需向境外提供的应当进行安全评估。个人信息保护法第40条规定,关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者应当将信息存储在境内,确需向境外提供的应当通过安全评估。虽然在条款措辞中并没有明确“存储”是否为独占性的境内存储,但结合后文向境外提供应当通过安全评估的规定,条款中的“存储”包含不得向境外提供的当然之义。上述立法中将部分具体标准的制定和概念解释问题授权国务院及有关部门进一步规定。国家网信办出台的《数据出境安全评估办法》第4条进一步明确,100万人以上个人信息处理者以及自上一年度1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者应当将信息存储在境内。国务院发布的《关键信息基础设施安全保护条例》对关键信息基础设施作出定义。然而,该条例中对关键信息基础设施的范围是否过于宽泛有待进一步论证,重要数据的概念有待进一步解释。考虑关键信息基础设施以及敏感信息的定义范围较为宽泛,10万人和100万个人的数量要求在我国庞大的互联网用户规模和数字经济规模下也较易达到,我国的数据本地化措施涉及的企业可能较为广泛,并且如前所述我国当前规制体系下,数据本地化措施通常伴随着对数据出境的严格限制,不存在无流动限制的数据本地化措施类型。我国数据本地化措施与FTA的衔接困境主要存在于与DEPA和CPTPP的衔接中。在跨境数据流动规制领域,各国的规制立场差别较大,欧盟从保障基本人权的角度强调个人信息保护,美国从数字贸易的经济利益的角度看重数据自由流动,而我国则强调数据安全。我国对待数据本地化的立场与欧盟立场更接近,与美国立场分歧较大。虽然美国不是DEPA和CPTPP的缔约方,但DEPA和CPTPP对数据跨境流动的规制采纳了由美国主导的跨太平洋伙伴关系协定(Trans-Pacific Partner‐ship Agreement,TPP)的相关文本,在数据本地化条款中严格限制数据本地化措施例外的条件。我国数据本地化立法与DEPA和CPTPP数据本地化条款存在以下差异。第一,在体例上,我国数据本地化立法采取的是“以数据本地化存储、严格限制出境为原则,以允许数据向境外提供为例外”的体例,而DEPA和CPTPP数据本地化条款采取“以不得采取数据本地化措施为原则,以采取数据本地化措施为例外”的体例。第二,在理念上,我国《数据出境安全评估办法》第8条指出数据出境安全评估应当评估数据出境的必要性,而DEPA和CPTPP数据本地化条款将限制数据出境的必要性作为例外限制条件之一。第三,DEPA和CPTPP明确区分跨境数据流动和数据本地化两个概念,而我国法上限制跨境数据流动和数据本地化似乎是混同的概念。当前,我国正在大力发展数字经济,积极申请加入DEPA和CPTPP,致力于为数字经济国际规则贡献中国智慧,无流动限制的数据本地化措施对我国跨境数据流动规制具有启发意义。FTA中将数据本地化和数据跨境流动放在不同的两个条款的做法也值得我国立法借鉴。我国当前立法上的数据本地化措施类型较为单一,往往同时赋予数据本地化措施以严格限制数据出境的效果。通过对FTA条款的剖析和对域外规制实践的分析,数据本地化措施包括非独占模式的本地化措施,也就是说数据本地化措施不止有严格限制流动的数据本地化措施这一种类型。我国可以完善和拓展数据本地化措施的类型。我国已经采纳了数据分类保护制度,对数据进行分类分级也为多数学者所提倡,对数据分类的细化必然要求对应着不同程度的数据规制措施,才使数据分类有意义。在数据本地化措施中,可以根据数据敏感程度的不同,采取不同程度的数据流动限制的本地化措施,包括但不限于:严格限制数据流动的本地化措施、附条件允许数据流动的本地化措施和不限制数据流动的本地化措施。例如,在个人信息保护法中,个人信息出境明确列举了安全评估、个人信息保护认证、标准合同三种方式,但遗憾的是个人信息保护法规定的数据本地化措施中数据出境只留下了安全评估的唯一渠道。数据本地化立法有在执法中便于本国机构获取在本国产生和收集的数据以及避免他国执法机构轻易调取本国数据的考虑。我国对执法跨境数据调取的基本立场是坚持应通过国家之间的平等互惠合作来开展。然而,当前国际司法协助机制存在程序复杂、耗时过长等不足,无法满足执法效率需求。无流动限制的数据本地化措施为我国执法中跨境数据调取提供了一种思路参考。对于我国可能有执法调取需求的数据,未必一律采用独占式数据本地化措施,可以适当考虑采用无流动限制的数据本地化措施,兼顾跨境数据调取执法需求和跨境数据传输需求。为了兼顾数据调取执法需要和数据跨境自由流动,域外实践已经出现了更加开放的新措施类型,即不要求数据在本地存储但企业要保证本国政府可以获取这些数据,例如,墨西哥联邦通信法要求数据在12个月内可由政府获得但不要求数据存储在境内,新西兰对商业信息的数据保留法规要求企业保证政府可以获得存储在新西兰境外的数据。我国数据规制立法框架下的诸多概念有待解释,立法所设计的机制有待在细则中明确。个人信息保护法列举的安全评估、个人信息保护认证、标准合同三种信息出境方式只有安全评估这一机制得到了细化。建立在个人信息保护认证、标准合同机制之上的数据本地化措施完全可能成为我国法上的附条件流动或无流动限制的本地化措施。此外,重要数据、关键信息基础设施等概念也有待在相关细则中明确。因此,我国应当进一步完善相关细则,构建更加体系化的数据本地化措施规范体系。数据本地化措施并不必然伴随对数据跨境流动的严格限制,这是理解FTA中为何将跨境数据流动和数据本地化作为两个概念区分规定的重要前提之一。虽然无流动限制的数据本地化措施不会影响商业行为中数据的跨境流动,但是本地化要求本身仍然给数字经济中的跨国企业带来额外成本,因此也受到国际贸易法的规制。无流动限制的数据本地化措施在GATS框架下违反条约义务的可能性较低,但仍为FTA数据本地化条款所一般性禁止,我国正在申请加入的DEPA和CPTPP还严格限制了数据本地化措施的例外条件。尽管如此,相较于严格限制数据流动的数据本地化措施,无流动限制的数据本地化措施由于对数字贸易的干涉更小,证明其具有“必要性”的成功可能更高。研究国际贸易法对无流动限制的数据本地化措施的规制问题,可以为我国未来对不同类、不同级的数据实施针对性的数据本地化规制提供参考,进而有助于我国在法律上构建更加精细的数据流动治理体系。往期精彩回顾
上海市法学会官网
http://www.sls.org.cn