张子倩|对接CPTPP跨境数据流动规则与安全例外解释论
2021年我国提出加入CPTPP,对接高标准国际经贸规则,更有利于实现高水平对外开放,同时也将面临不小的困难和挑战。其中,我国跨境流动规则与CPTPP差异较大,在向数据跨境自由流动理念靠拢的同时,也应当防范数据安全风险,合理采取数据本地化措施保护我国基本国家安全利益,并适当援引安全例外条款对措施予以正当化。但若不加限制地广泛援引安全例外,可能会对我国整体利益造成损害。因此,应当在审视我国法律体系和规则差异的基础上,对接CPTPP跨境数据流动规则,并对数据本地化措施援引安全例外条款进行解释。
一、问题的提出
2021年9月16日,中国正式提交加入CPTPP的书面申请。CPTPP作为高标准国际经贸规则,对其的加入将更有助于推进我国对外开放,同时,由于我国在很多领域的制度建设与CPTPP要求还存在一定差距,我国加入CPTPP还存在不小的困难和挑战。其中,我国在跨境数据流动领域的规则与CPTPP差异较大,这主要是因为我国“数据主权安全”下的自由流动与CPTPP“重自由,轻安全”的理念存在差异。我国跨境数据流动部分规则规定了较多的数据本地化措施,并未达到CPTPP第14.11条原则上“方应允许通过电子方式跨境传输信息“的要求,可以通过援引CPTPP第29.2条安全例外,对根据采取数据本地化措施的行为予以正当化。但需注意安全例外本质上为例外条款,是针对条约中的特殊情况存在的,对不履行条约义务行为的一种“逃避规则”,过度援引容易引发危害。
此外,2023年11月27日,习近平总书记在就加强涉外法制建设进行第十次集体学习中指出:“要主动对接、积极吸纳高标准国际经贸规则,稳步扩大制度型开放,提升贸易和投资自由化便利化水平,建设更高水平开放型经济新体制。”可见,加入高标准协定的关键在于“主动对接、积极吸纳”,对具体措施援引安全例外,只能作为对接吸纳之后为保障我国基本安全利益的最后举措。故本文在我国申请加入CPTPP背景下,聚焦跨境数据流动规则的对接工作和数据本地化措施援引安全例外的解释问题。
二、跨境数据流动的内涵与相关概念界分
探究跨境数据流动规则的对接应当以厘清跨境数据流动的内涵为前提,国际上虽未就跨境数据流动的概念达成共识,但也存在国际组织的界定在研究中受到较广泛的认可。此外,我国并不存在跨境数据流动的概念,对接CPTPP也应在概念的层面上进行对接,厘清其与我国“数据出境”之间的关系。最后,数据本地化与跨境数据流动之间存在着密切的联系,故下文也对二者之间的关系问题进行探究。
(一)跨境数据流动的内涵
“跨境数据流动”的概念最早出现在20世纪70年代,由经济合作与发展组织(OECD)科学技术政策委员会(CSTP)下设的计算机应用工作组(CUG)提出。1980年,OECD出台的《关于隐私保护与个人数据流动的指南》中第1条第3款将跨境数据流动定义为:“个人数据跨境国家边境移动”,并在第2款中指出个人数据是“已识别或具有识别个人可能性的所有信息”。1985年,OECD又在《关于数据跨境流动的宣言》背景介绍中将跨境数据流动进一步解释为“计算机化的数据和信息在国际层面流动”。可见,OECD在1985年的定义中已不再将跨境数据流动的客体仅限于个人数据,但是未指出“流动”的具体形式,概念仍然较为宽泛。其间,联合国跨国公司中心(UNCTC)在1982年发布的《跨国公司与跨境数据流动》这一报告中,将跨境数据流动定义为:“跨越国界对机器可读的数据进行处理、存储和检索等活动。”该定义将数据流动的形式具体化,虽年代久远,但时至今日仍是研究和学习中受引用最多的概念。
“处理、存储、检索”三种形式实际上都将数据的储存转移至境外的含义,而随着科技的发展,还出现了数据的储存未转移至境外,但能够被第三国主体进行访问的新形式。这种情形是否属于数据跨境流动在国际上还存在争议,实践中澳大利亚已经将该情形纳入数据跨境流动的规制范围内,我国在《信息安全技术数据出境安全评估指南(征求意见稿)》第3.7条第2款中将“开信数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公息、网页访问除外)”认定为数据出境。故本文将该情形也纳入数据跨境流动内涵的范畴之内,综上所述,将数据跨境流动定义为:跨越国界对机器可读的数据进行处理、存储和检索等活动,或尽管数据未跨越国界,但能被第三国主体进行访问。
(二)跨境数据流动与数据出境
跨境数据流动在国际上的表达方法有很多,如transborder data flows、transborder flows of personal data、international information transfer、cross-border data flows、cross-border flows of personal data等。跨境数据流动逻辑上应当包含数据的“入境”和“出境”,而我国立法中并无“跨境数据流动”的概念,立法中代之以“数据出境”。我国在2017年相继发布的《信息安全技术数据出境安全评估指南(草案)》和《信息安全技术数据出境安全评估指南(征求意见稿)》都将“数据出境”翻译为“data cross-border transfer”,在相应条款语言表述中也为“提供给境外”。结合我国跨境数据流动的立法体系(后文详述),我国对跨境数据流动治理的侧重点主要集中在数据出境,但是从上述文件可见我国在概念翻译上和“数据跨境流动”存在混淆问题。CPTPP第14.11条将数据跨境流动表述为“Cross-Border Transfer of Information by Electronic Means”,在对接CPTPP规则背景下,概念也应当比照对应规则予以厘清,避免发生混淆。
(三)跨境数据流动与数据本地化
数据本地化是与数据跨境流动极为相关的概念,由于各国所采取的措施差异较大,在国际上也尚未形成共识。研究中学者们多采用对数据本地化进行类型化分析的模式,最终总结出数据本地化的定义。学者范婴基于国际组织的观点进行类型化,学者卜学民按照数据本地化的严苛程度进行类型化,学者王玥则依据对各国数据本地化立法实践的考察进行类型化。
本文采卜学民观点,认为数据本地化是通过将本国数据备份或者仅存储在境内以实现数据的国家控制,限制甚至禁止数据跨境流动,主要分为数据本地化备份模式、可访问的数据本地存储模式、绝对的数据本地化储存模式。根据上文对数据跨境流动具体形式的讨论,将各个数据本地化模式下对跨境数据流动具体形式的不同限制程度梳理为下表。可见,数据本地化根据模式的不同,与限制跨境数据流动存在联系和区别。在数据本地备份模式中,虽采取了数据本地化措施,但是并未限制数据跨境流动;在可访问和绝对的数据本地化模式中,分别对数据跨境流动采取了不同程度的限制,不同模式语境下的数据本地化内涵有所不同,不可将数据本地化与对数据跨境流动的限制简单等同。而由于我国未采取数据本地备份模式,故在我国法律语境下,为便于讨论可数据本地化与限制或禁止数据跨境流动视为同一概念。
三、我国与CPTPP跨境数据流动规则比较
在我国加入CPTPP过程中,研究跨境数据流动规则的对接和数据本地化措施安全例外的援引,应当以了解我国内现有跨境数据流动规则体系为前提。只有深入了解我国现有跨境数据流动立法体系,才能了解我国现有规则中哪些与CPTPP规则存在较大差距,在这些规则当中,哪些差距是应当通过对于规则的改进加以弥合的,哪些涉及国家基本安全利益,应当采取数据本地化措施,通过援引安全例外保护我国正当权益的。这也是从援引例外条款针对的对象范围上合理限制安全例外的援引,从而保障安全例外的谦抑性,更好地保护我国的合法权益。
(一)我国数据跨境流动规则
近年来,随着数字贸易的发展不断为各国带来经济收益,国家也越发重视数字贸易领域的规制工作。数据流动是进行数字贸易的前提,只有数据能够在国家之前流动,跨境数字贸易才具有可能性。然而,跨境数据流动为国家带来贸易领域的利益的同时,也极易使得国家安全、公共安全和个人隐私等其他领域受到侵害。因此,我国也极为重视数据跨境流动的法律规制体系建设,逐渐形成了以网络安全法、数据安全法、个人信息保护法为主要内容,以一系列行政法规、部门规章为补充的跨境数据流动规则框架体系。根据主体数据处理者、客体被处理数据和数据流向,可以探求我国国内法中的跨境数据流动规则的框架逻辑和具体规定。
从整体上来看,我国跨境数据流动规则散见于不同法律当中,通过梳理可窥见立法者之立法逻辑:首先,跨境数据流动应当包括“出境”和“入境”,但现有规则主要集中在对于数据出境的规制,仅有2021年11月发布的《网络数据安全管理条例(征求意见稿)》(以下简称“《网络数据安全条例》”)中第41条对数据入境进行了规制,且该条例目前尚未生效。其次,现行立法体系重视区分重要信息处理者和一般信息处理者,对重要信息处理者处理的数据出境进行重点规制。再次,现行数据安全法第21条基于数据“在经济社会发展中的重要程度”,及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”的双标准原则,通过相关部门制定重要数据的方式,区分出重要数据并加强对该部分数据的保护。最后,个人信息保护法第41条、数据安全法第36条对外国司法或执法机构请求提供数据的情形进行了特别规定,由于该情况不属于CPTPP跨境数据流动条款所称的“为开展业务之目的”,故后文不再专门展开论述。
具体来看,基于以上对现行法立法逻辑的分析,我们主要需要注意立法在数据入境中的规定,及数据出境中一般数据处理者处理个人数据、一般数据处理者处理重要数据、重要数据处理者处理个人数据和重要数据。这些情形下现行法对数据跨境流动采取了不同的限制措施,是我国该领域CPTPP规则场景化实施的关键。
(1)一般数据处理者处理个人数据
根据个人信息保护法第38条、第39条,个人信息处理者向境外提供个人信息,应当满足以下条件之一:一是通过安全评估;二是经过个人信息保护认证;三是签订标准合同;四是法律、行政法规或者国家网信部门规定的其他条件。除此之外,还应同时满足向个人告知另外接收方基本信息和取得个人单独同意两项条件。以上内容,可以视为中国数据的一般跨境流动规则。
(2)一般数据处理者处理重要数据
在此,我们首先需要明确何为重要数据,根据《数据出境安全评估办法》第19条和《汽车数据安全管理若干规定(试行)》第3条第6款规定:“重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”根据《数据出境安全评估办法》第4条和《汽车数据安全管理若干规定(试行)》第10、11条,一般数据处理者处理像境外提供重要数据时,除需满足以上向境外提供个人信息的条件外,还需满足开展自评估和通过国家安全评估两项条件。
(3)重要数据处理者处理个人数据和重要数据
根据现行法的规定,重要数据处理者主要是指关键信息基础设施运营者,在部分法律下也包括处理数据达到特定数量的企业和国家机关。网络安全法第31条和《关键信息基础设施安全保护条例》第2条明确了关键信息基础设施的概念。根据数据安全法第37条、网络安全法第31条等的规定,关键信息基础设施运营者无论向境外提供个人信息还是重要数据,都应当进行自评估和安全评估。此外,《数据安全评估办法》第4条第2、3项对处理个人信息涉及人数达到特定数量的数据处理者也提出了安全评估的要求,将其与关键信息设施处理者并列的合理性有待探究。
(4)境外向境内传输信息
上述均为我国现行法对于数据出境的规制,对于数据入境立法者虽仅在《网络数据安全条例》第41条中进行了规制,且该条例目前尚未生效,但考虑其生效后也将构成我国跨境数据流动规则体系的一部分,且数据入境也是数据跨境流动中重要的一环,故也将其纳入研究范围内。根据《网络数据安全条例》第41条第1款的规定,我国设置数据安全网关,对源于境外的法律和行政法规禁止发布或传输的信息予以阻断。可见,除法律、行政法规禁止发布或传输的信息外,我国法律对其他合法信息的跨境传输未予限制。
(二)CPTPP跨境数据流动规则
CPTPP数据跨境流动规则规定在第14.11条,该条采取“原则+例外”的规范形式,规定了数据跨境安全流动的原则,同时也设置了“监管要求”例外和“合法公共政策例外”,第29章中的一般例外和安全例外效力也及于该条。
CPTPP第14章电子商务章节从美国主导的TPP谈判中完全保留下来,很大程度上体现了美国对“数据自由”的价值追求,这也在CPTPP跨境流动规则中得到了体现。CPTPP第14.11条第2款规定:“每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。”其中,“应允许”一词明确了缔约方负有一般情况下应当允许数据跨境流动的强制性义务。同时,这也符合第14章“避免对电子商务的发展造成不必要的障碍”和CPTPP序言当中“推动贸易和投资自由化”的要求,从条约目的解释的角度也能得到支撑。
第14.11条第2款的适用范围也需要通过解释加以明晰。其一,着眼于第2款条文表述,该款规定了“若用于涵盖的人开展业务时包含个人信息”。首先,该款明确了跨境数据流动的范围包含个人信息;其次,该款将适用范围限定在商业行为范围内;最后,限定个人信息的流动应当与个人采取的商业行为之间存在一定程度上的因果关系。其二,依据上下文解释,第14.2条第3款明确与政府采购相关和政府或以政府名义处理的信息排除在该章规制范围之外,故对此类信息的限制不违反第14.11条第2款的规定。
(1)第14.11条第1、3款的规定
第14.11条除规定了跨境数据自由流动的原则和适用范围,还对特殊情况下可以限制数据跨境流动的例外情形进行了规定。第14.11条第1款规定了“缔约方可设有各自的监管要求”,第3款规定了“缔约方可为实现合法公共政策目标而采取或维持与第2款不一致的措施”。这两款体现了对缔约方自主监管权的尊重,允许缔约方独立自主地对数据跨境流动进行规制,其理论基础源于国家主权原则。第1款和第3款相对于第2款本质上都是例外条款,除此之外二者还存在着密切的联系。一方面,国家设置监管要就是为了实现国家安全、公共利益和个人隐私等目标;另一方面,第1款和第3款设置的目的都是为了实现贸易利益和非贸易利益的平衡。由此可见,第1款“监管要求”例外和第3款“公共政策”例外是一个问题的两个方面,二者统一于国家主权的行使。
由于缔约方未就合法公共政策的内涵达成一致,故该款并未像WTO一般例外条款一样列举出如保护公共道德、公共秩序、人类、动物或植物的生命或健康等一系列公共政策目标,例外规定的模糊性给予了缔约方更多的监管自主权,同时也容易引发例外条款的滥用和损害条约规则的确定性。所以应当通过解释加以限制。第14.8条对第3款的理解具有重要意义,该条第1款肯定了“个人信息保护的经济和社会效益”,该款有助于将个人隐私的保护解释进公共政策例外。此外,CPTPP序言部分“例如公共健康、安全、环境、可用尽生物或非生物自然资源的保护、金融体系的完整性和稳定性以及公共道德”的非穷尽式列举也有助于对第3款的限定和理解。
(2)第29章一般例外与安全例外的规定
除第14.11条的规定外,CPTPP在第29章单独规定的适用于整个协议的一般例外和安全例外条款,也无疑可以适用于跨境流动规则。第29.1条一般例外与第14.11条第3款的合法公共政策例外为实现合法公共政策的目标提供了双重保障。第29.2条规定了安全例外,根据上文论述,对第14.11条第1、3款的解释可以参考序言当中的列举,国家安全虽然未见于列举当中。但是,一方面该列举为非穷尽式列举,另一方面国家安全问题是包括我国在内的多个国家在跨境数据流动领域的核心监管要求,且CPTPP也在第29.2条中规定了安全例外,故国家安全也应当在第14.11条第1款的“监管要求”中加以考虑,实现数据跨境自由流动与保护国家基本安全利益平衡。
综上所述,CPTPP跨境数据流动规则采用“原则+例外”的规定,以跨境数据自由流动为原则,同时也提供了机处于保护国家安全、公共利益和个人隐私的监管要求例外。CPTPP跨境数据流动规则“数据自由流动”理念的提倡,更有利于实现数字贸易的自由化和便利化,但是其规则的模糊性,包括监管要求具体内容和界限的缺失,及合法公共政策例外和安全例外援引条件的模糊,容易使得国家基于保护非贸易利益的现实需要,转向对例外条款的广泛援引,这无疑会的跨境数据流动规则体系造成损害。
(三)我国与CPTPP规则的差异
根据CPTPP第14.11条数据跨境流动规则的规定,缔约方原则上应当允许数据跨境自由流动,只有在为公共利益和国家安全的极少数满足例外条款规定的情况下,才可以对数据跨进流动采取限制措施。且CPTPP未将安全例外规定在第14.11条内,而仅规定在第29章中,体现出其倡导的“重自由,轻安全”的贸易自由化理念,与我国在跨境数据流动领域一直秉承的“数据安全”优先下的数据自由流动理念相冲突。〔我国现行规定中数据跨境流动采取的禁止措施、采取限制要求满足特定条件才允许数据跨境自由流动中作出负面评价的部分,以及限制数据流动措施要求监管对象达到特定要求是否实质上阻碍数据自由流动,这些都是我国加入CPTPP需要考量的问题。
我国虽然在现行法中已经对重要数据的概念加以明晰,其用语也较为符合保护公共利益和国家安全的利益指向,但尚未出台重要数据目录,对重要数据的认定标准仍然较为模糊,无法满足当今跨境数据流动的需求。应当以CPTPP公共政策例外和安全例外为指引,在充分考虑我国国情的基础上,尽快出台重要数据目录,进一步明确“重要数据”的内涵标准、判定条件及认定程序,明确重要数据管理的具体要求。对于的确涉及公共利益与国家安全需要采取限制措施,援引例外规则。
关键信息基础设施对于公共利益和国家安全的已在国际上内达成共识,我国也对关键信息基础设施的概念及认定出台了具体的相关规定。其中,《关键信息基础设施安全保护条例》第2条“严重危害国家安全、国计民生、公共利益”,明确了“关键”的内涵即是指国家安全和公共利益,突出了保护的重点,也避免了将过多企业纳入监管而徒增企业负担。所以,对于关键信息基础设施的相关规定符合CPTPP的例外条款要求。
现行法对达到一定数量的个人信息也和关键信息基础设施处理的信息采取了相同的限制措施,一定数量的个人信息的泄露的确可能上升为对公共利益或国家安全利益的损害,但其与关键信息基础设施对相关利益的影响还是存在一定差异性,且不同领域之间是否能上升、何种程度上能国家安全利益有所不同。应当在对不同领域分别具体分析的基础上,放宽对不会危及公共利益和国家安全的部分数据的限制性措施,对剩余部分更有针对性地采取防范措施和援引例外规则。
限制措施是指国家规定一定的条件,达到条件的数据可以允许跨境流动。在现行法中设置了自评估、安全评估等限制条件,我国现行法中广泛地运用限制措施,对不同的监管对象设置了不同的限制条件,监管对象为达到这些限制条件将面临高额的成本负担,这是否会构成实质上的妨碍数据流动存在探讨的空间,也提醒我国相较于具体规则的对接,更为紧要的应当规则理念的统一。
综上所述,我国在“数据安全”理念的引导下,对数据跨境流动设置了较多的限制措施,这与CPTPP原则上提倡数据自由流动的理念存在一定差距。所以,我国应当对部分模糊或不必要的限制措施加以修改,对于确为国家安全和公共利益的部分予以保留,限制例外条款援引的范围,避免例外条款成为事实上的一般条款。相对于公共政策例外,安全例外的规定更为模糊,在实践中更容易被滥用,而安全例外的滥用会引发危害,损害我国国家利益,故以下主要对安全例外的解释进行探究。
四、安全例外的历史溯源与发展演变
我国跨境数据流动规则中规定了较多数据本地化措施,存在援引安全例外的需求。由于安全例外的条文表述较为模糊,在实践中还未发生纠纷争议解决组织作出裁判尚属缺乏。这就使得对安全例外的历史溯源研究,以探求安全例外确立之初的立法意旨,从而限制和指引对安全例外的援引具有一定必要性。同时,国家安全的内涵在近年来不断发展,国家对于安全例外的关注已经从传统领域拓展到了非传统领域,其中数据安全能否被纳入国家安全的问题引发热议,以发展的眼光看待安全例外的演变也十分具有价值。
(一)安全例外的历史溯源
安全例外是指在成员方维护基本安全利益时,可以在条约的正常实施中暂时停止履行其根据协议应承担的条约义务。其最早是相对于危急情况而言的,常与自保权相联系,当出现威胁到国家自保的情形时,该国可以采取任何必要的措施维护本国的生存。安全例外条款最早在第二次世界大战后被美国列入《友好通商航海条约》,后在1945年《国际贸易组织宪章》的起草阶段,也是根据美国向国际贸易组织筹备委员会的提议,安全例外得以进入正式草案当中。此时,安全例外是作为一般例外规定的一部分,涵盖在一般例外条款当中,故也受限于一般例外引言部分“非歧视”等原则的限制。1947年,美国提议安全例外应当具有独立条款的地位,故建议其从一般例外条款中去除,单独列为第94条,这一条款也是GATT第21条的雏形。此后,由于美国国会拒绝通过ITO宪章,而GATT的起草工作也在同步推进过程中,二者订立时间的相似性使得其安全例外条款拥有着相似的构造历程,最终安全例外条款在GATT第21条中确立。
在安全例外确立的过程中,我们关注到早在ITO宪章中安全例外的起草阶段,成员方就对滥用安全例外的限制和贸易自由化与国家安全的平衡问题有所注意,可见从立法意旨来看,对安全例外的援引应当是克制的、适度的。除此之外,由于安全例外确立之初尚未进入互联网时代,故国家对安全问题的关注主要集中于国防、军事等传统领域。当今已经迈入互联网时代,数据的储存与流动与我们的生活息息相关,对于数据安全的关注也具有必要性。
(二)安全例外的发展演变
在安全例外条款确立之初,国家对于国家安全的关注主要集中在传统的军事安全领域,在发展的过程中国家逐渐意识到,非军事领域的贫困、疾病、自然灾害、环境退化、气候变化、恐怖主义、网络等也可能对国家安全带来极大威胁,引起了国际上对非传统安全的关注,非传统安全的兴起也促进了我国国家安全观念的转变。2015年7月,新修订的国家安全法第3条中,吸取了“总体安全观”的精神。信息安全被纳入国家安全的范围内,网络安全在总体国家安全观发展的过程中也被纳入其中。
总体国家安全观虽并未将“数据安全”作为专指性概念明确提出,但“信息安全”是总体国家安全观的非传统安全要素之一,而数据是信息的重要载体之一,网络时代大量信息以数据的形式生成和传播,因此数据安全可以理解为总体国家安全概念体系中的一个派生要素。当今,我们生活在网络和“互联网+”时代,网络是生活中各个领域的基础,各种信息在互联网上以数据的形式生成、记录、传播和运用,信息和数据的联系变得更加紧密,信息安全问题也逐渐转化为了数据安全问题。
数据中本身蕴涵着可以被解读和分析的国家政治、经济、军事各方面重要信息,因而需要加以保护。同时,随着数据生产和使用的日益扩展,对于国家而言,数据已经成为基础性战略资源。因此,对数据安全的威胁可能危及一国国家安全,数据安全此类非传统安全也应划入安全例外的适用范围内。但需注意的是,数据安全等非传统安全不能与国家安全简单等同,只要当数据领域的威胁足以危害到国家核心安全利益时,针对此类威胁的限制措施才能落入安全例外条款的范围内,单纯保障数据领域经济利益的行为仍不可援引安全例外进行抗辩。
五、数据本地化措施援引安全例外的解释论
安全例外条款本质上是一项平衡条款,解释和适用该条款的核心就在于实现贸易自由化和国家安全等其他社会价值之间的平衡。根据上文论述,国家安全范畴从传统的以国防、军事未核心的安全领域,扩展到了涉及政治、经济、文化、网络、环境等诸多方面的非传统安全,加之国家主权意识强化背景下带来对国家安全泛化的趋势,使得安全例外的外延更加模糊和不稳定,更容易导致适用中的失衡。国家间的贸易往来与国家安全之平衡更容易打破的背景下,一国更应当克制自己的行为,对安全例外进行从严解释、善意解释和动态解释,避免广泛援引例外规则给其他国家创造“危险先例”,引发其他国家的效仿,最终削弱整个贸易体制的权威性和有效性,破坏国家间的合作基础,减损国家整体利益。
(一)从严解释:遵循国际法普遍性原理
安全例外本质上是一种例外条款,是国际条约中允许缔约方可以减轻条约承诺,从而更有利于国家作出更有深度的国际承诺,并更快地达成一项新的国际条约的“灵活性安排”。所以,从安全例外之例外条款的本质出发,其应当受到现代国际法对于例外条款确立的普遍性原则的约束,这里的普遍性规则即是从严解释规则。
从严解释是要求在解释法律规范之时,将该规范的意思严格限制在概念的核心领域之内,不得将意思延伸至概念的边缘地带。其在国际法中背后的蕴含的法理在于,相对于条约的原则和一般性条款,例是针对合同条约履行过程中可能发生的特殊情形。当这种特殊情形发生时,合同一方可根据该情形相对应的例外条款,不履行或减让履行其根据条约负有的义务,而这并不构成违反条约义务,该行为基于例外条款具有法律上的正当性,这对于条约缔约方的预期利益将产生重大影响,若被滥用将会危及条约的稳定性和严肃性,因此,条约的缔约方在援引例外条款时应当保持十分克制的态度,这也就意味着,对例外条款的适用范围和适用条件应当从严解释,只有从严解释才能达到克制适用的法律效果,使得条约的目的得以实现。
国际条约的例外条款被认为是一种“但书、免责和豁免性规定”,其是对条约主要义务的偏离,国际法中也确实存在对条约例外条款进行从严解释的实践,比如,在北约案中,仲裁庭称:“仲裁员忆及拉丁语中的一个古老原则——对例外规定严格适用,该原则表明要对条约的保留义务进行严格的解释。”国际法院也曾表示:“对于确定基线的通常方法而言直线基线法是一项例外,因而只有在满足一系列条件的基础上才能使用直线基线法。这个方法必须要限制性适用。”
综上所述,我国在援引CPTPP第29.2条安全例外时,应当进行从严解释,尽量克制安全例外条款的适用。对于该条款中“基本安全利益”“维护或恢复国际和平或安全义务”等用语的理解不应偏离其核心领域,如此才是遵从“条约必须信守”原则的体现,从而维护条约的目的得以实现。
(二)善意解释:借鉴WTO安全例外适用实践
CPTPP虽未在专为调整跨境数据流动的“电子商务”章节中特别规定,但是规定在第二十九章例外和总则中效力也同样及于跨境数据流动。CPTPP第29.2条安全例外沿用了GATT第21条中安全例外的内容,还对GATT第21条(b)款中三个具体情形的列举的去除。根据专家组报告,此三项是带有限制性性质的条款,对限制性条款的去除使得安全例外的规定更加模糊不清,加之CPTPP现在尚无争端解决机构之裁决可以参照,使得对WTO专家组报告的参考具有必要性。WTO参与成员的广泛性,使得WTO规则和专家组报告在CPTPP缔约国间有极高的认可度,这也使得对专家组报告的参照具有可行性。
由于安全例外条款规制的仍是贸易领域的事项,而其内容又与国家政治密切相关,其兼具贸易属性和政治属性,这使得对安全例外条款的解释具有一定难度,既不能太精确,也不能过于宽泛,而应当在WTO成员的国家主权和多边贸易体制之间寻求合理平衡。专家组报告中一直未对安全例外相关问题作出裁决,直到俄罗斯过境通过案,专家组才首次对安全例外问题作出回应,其中,最有价值的即是善意原则引入安全例外条款的解释。
专家组驳回了俄罗斯认为安全例外属于完全自我裁决事项,其有权对成员方援引条款的正当性进行审查。专家组首先根据《关于争端解决规则与程序的谅解》无任何关于安全例外争议的特殊性和例外程序规则相关的规定,论证了安全例外仍应属于专家组职权范围内的事项。而后创新性地根据维也纳条约法公约第31条善意解释原则,对“其认为”进行了善意解释。
维也纳条约法公约第31条表述为:“条约应依其用语按其上下文并参照条约之目的及宗旨所具有之通常意义善意解释之。”其中,依据用语、上下文及目的和宗旨是解释的方法,而秉承善意则为运用解释方法依据之原则。善意原则在国际法上是一个发展的概念,其尚未形成统一、确切的内涵,但是根据国际法上的司法实践,内涵整体上可以归纳为“诚信、公平公正、合理”。
专家组首先对“其认为”涵盖的范围进行了假设,然后对条款进行了文本解释,认为第21条(b)款,尤其是第三分项,包含着大量需经客观判断的事实用语,故需经客观判断加以认定。而根据文本结构,三个分项平行罗列性质相同,且游为穷尽式列举而非举例说明,由此认为三个分项是具有限制性质的条款。此后,专家组通过查阅安全例外确立的历史,对该条款确立的意旨进行了探求,验证了其通过文意解释得出的结论。条约制定期间的历史资料显示,该条款在制定立法者就认识到了对安全例外毫不加以限制是十分危险的,应当采取措施避免安全例外条款被滥用,应当采取适当限制避免国家打折扣安全例外的幌子采取实际为了获取纯粹商业目的的措施。
由此,专家组一方面肯定了其对安全例外条款所涉争议的管辖权,一方面也将善意原则引入到安全例外相关争议的解决当中,并在以下对基本安全利益的认定和限制措施与安全利益之间的联系中也采用了善意解释原则进行判定。
对于基本安全利益的内涵,“基本”是指“必不可少的或必需的”,是对“安全利益”范围的限缩。专家组指出“基本安全利益”涵盖的范围应当比“安全利益”更为狭窄,一般可以理解为与国家保护其领土和人民免受外来威胁,以及维护国内法律和公共秩序的基本职能有关的利益。其次,由于这种保护国家免受此类外部或内部威胁直接相关的具体利益,取决于有关国家的国情和其在国际社会上面临的具体情况,而只有该国本身对这些情况最为了解,故对于基本安全利益的判定高度取决于国家看法。
此时,专家组指出这种对于一国对于基本安全利益的判定并非是没有限制的,成员方并非可以随意将任何关切提升为“基本安全利益”,一国的自由裁量权应当受到维也纳条约法公约第31条善意解释原则的限制。根据上文论述,善意的内涵可以解读为“诚信、公平公正、合理”。其中,“公平公正、合理”要求各国行使本国所享有的权利时不得构成对他国权利的侵犯,或不得以与该权利设定之目的相违背的方式行使权利从而损害他国利益。“诚信”则要求缔约方应恪守其在贸易协定谈判和履行过程中所作的具体承诺,不得将其承诺的一般义务或具体承诺减让表认定为“基本安全利益”而肆意采取贸易限制措施。这就意味着不得援引安全例外使得其摆脱多边贸易体系“互惠互利”的安排,也就是出于贸易保护主义采取限制措施。
具体而言,这使得自证其所述“基本安全利益”的义务,当国家对其安全的评估存在明显错误时,不应对其适用安全例外的正当性加以认定。该国证明义务的程度也与其所面临的“国际关系中的紧急情况”相关,其所面临的紧急情况越不明显,承担的证明义务越高。
专家组在报告中还指出一国采取的限制性措施与安全利益之间的联系也应根据善意原则加以认定,具体主要体现在限制措施与基本安全利益之间还应存在合理联系,这里的合理应当是一种最低限度的合理性要求,即采取的措施并非全然无法使得安全利益的目标得以实现。这一标准相对于一般例外的“必要性”测试更为宽松,成员方无须对其采取措施的形式和程度的合理性进行证明,仅需证明相关措施与其主张的基本安全利益具有“表面合理性”即可,极大降低了援引成员方的举证责任。尽管这里的证明义务是较低的,但安全例外的援引方仍需提出证明采取措施必要性和相称性的初步证据,对于这一初步证据,对方应当可以提出反驳,专家组也可以结合双方争议对采取措施的必要性问题进行审查。
综上所述,我们应当看到俄罗过境通过案专家组报告对于安全例外援引限制的进步意义,其不仅肯定了争议解决机关对于安全例外相关争议的管辖权,而且将善意解释原则引入安全例外的解释,一定程度上限制了安全例外的滥用。同时,我们也应当看到专家组报告的不足:其一,由于善意原则本身的高度抽象性及其在发展中的演进性,其对自我裁决权的限制是有限的;其二,由于争议仅涉及国防、军事的传统安全问题方面,专家组未对今年来实践中议论纷纷的非传统安全的适用问题予以明确;其三,对限制措施采取的必要性要求过低,未要求“基本安全利益”未实施限制措施的唯一或主要目标,这就使得掺杂其他利益而与安全利益联系极弱的限制措施也可能被认定具有正当性。
(三)动态解释:结合国家安全内涵之发展
根据上文所述,俄罗斯过境通过案中专家组采用历史溯源的方式探求了立法者的原意,但是未对国家安全的发展予以回应。然而,任何条约的制定所反映出的都是缔约时的客观情势,且在履行和解释条约时假定客观情势不发生改变,随着时间的推移,社会的发展变化使得条约不得不面对客观情势改变的事实,此时,相比于条约的修订,动态解释便是使得条约更好地适应新的客观情势的方法。
动态解释是指条约术语的内涵在时间维度上并不是静止不动的,在条约解释时应当考虑这种变化,赋予条约术语随时间变化的含义。联合国国际法委员会在2006年公布的报告中指出,当某一条约中的术语具有下列特性时即可被认为具有演化的性质:(1)术语含有考虑嗣后技术、经济或法律发展的意蕴;(2)术语为各方规定了进一步逐步发展的义务;(3)术语具有普遍性,或其表述方式非常笼统而需要考虑到不断变化的情况。可见,CPTPP中的安全例外考虑了缔约方经济、技术的发展,对基本安全利益的内涵分歧较大、未达成共识,采取了较为模糊的用语,以待在之后的发展中加以明确,符合上述要求。
如上所述,应当采取动态解释的方法对安全例外进行解释。一方面,国际上安全的概念是发展的,呈现从传统安全向非传统安全的转向,国家和国际组织应积极关注非传统安全,对非传统安全的转变进行回应、概念进行厘清,将非传统安全中可能对国家安全造成重大威胁的情形及时、明确地纳入安全例外的限制性条款当中。另一方面,应当认识到在当今风险社会当中,国家安全是一种相对的安全,而风险的本质并不在于其发生的事实,而在于人们认识到它“可能发生”,因此,国家安全又是一种主观的安全。国家对安全的感觉并不是永恒不变的,相反,这种感受随着一国的发展进程而变化。此外,还应当认识到风险具有“反身效应”,它既是发展的结果,又是发展的原因。故可以根据美国贸易代表办公室(USTR)的建议,及时在相关领域采取压力测试,了解国家对安全的感知及反应,平衡安全与发展之间的关系,明确安全是为了发展的目标,在合理范围内确定国家安全的范围。
除此之外,国家间应当积极磋商,达成双边、区域性乃至多边的国家安全共识,以该共识为指引对纠纷当中安全例外的援引进行解释。数字贸易例外规则的规范差异与演进趋势,反映出各国对数字贸易自由化与国家规制主权的动态平衡。当前国家间对于跨境数据流动规则和安全例外分歧较大,短时间内难以达成多边协议,而出现了由能够达成共识的国家成立区域性协议的趋势。故应当利用区域性协议凝聚小范围共识的优势,由相似发展历程的国家积极在一定领域内达成小范围共识,同时助推更大范围内的共识凝聚,以期逐渐形成国家间关于国家安全问题的共识,避免国家间纠纷的产生,也便于发生纠纷情况下争议的解决。
结语
2021年9月我国正式申请加入CPTPP,而我国跨境数据流动规则法律体系与CPTPP要求差距较大,主要原因是我国“数据主权安全”下的自由流动和CPTPP“重自由,轻安全”的理念差异,应当在转变安全理念、对接制度规定的前提下,合理采取数据本地化措施保护我国基本国家安全利益,并援引安全例外对该部分措施予以正当化。
首先,我国部分数据本地化措施具有援引安全例外的必要性,但应限制援引针对对象范围。通过了解我国现行法律体系,并与CPTPP规则进行对比,我国应当对接吸纳CPTPP规则,尽快出台重要数据目录、加强关键信息基础设施的认定、区分不同领域达到一定数量的个人信息泄露对国家安全的威胁程度,并及时转变安全观念避免广泛的限制措施被认定为实质上阻碍数据流动,对涉及国家安全利益的数据跨境流动进行更有针对性的限制措施,并将援引安全例外的范围限制在该部分措施范围内。
其次,我国数据本地化措施具有援引安全例外的可行性,但应关注安全例外援引的适度性问题。通过对安全例外的历史溯源,我们发现安全例外最早是为保护国防、军事领域的安全利益,且国家在该条款制定之初就认为该条款是对贸易自由化和国家安全利益的平衡条款,应当限制其适用。在国际社会的发展中,数据安全等非传统国家安全问题受到关注,数据安全应当被纳入安全例外适用范围内。
最后,滥用安全例外会对我国整体利益造成损害,应当对数据本地化措施援引安全例外进行解释。其一,应当从安全例外条款的本质出发,采用从严解释的普遍性规则将安全例外条款的用语限制在核心领域内;其二,由于CPTPP沿用了GATT中的安全例外条款,应当借鉴WTO安全例外的实践,采用善意解释原则引导自我裁决权的行使;其三,应当关注国家安全内涵的发展,并积极与国家达成安全利益的共识,以预防争议的产生、便于争议的解决。
赵丹|国际投资仲裁裁决的司法审查及中国企业应对——以新加坡司法实践为例
池梓源|国企改制后股份合作制企业性质刑事认定的困境及解决路径
上海市法学会官网
http://www.sls.org.cn