双边自由贸易协定——印度数据跨境流动的突破口?
引 言
在全球数字经济大发展的背景下,印度于2022年8月撤回《个人信息保护法》(草案),宣布重新制定(点此查看详情);现有法规制度中又有诸多对数据跨境流动的限制;同时,因认为《2019年大阪轨道》不符合世贸组织所主张的多边主义,印度拒绝加入2019年日本提出的“信任的数据自由流动”(DEFT)。在上述重重限制下,印度仍不愿放弃数据跨境流动带来的经济利益,因此其在与其他国家签订的双边协议中加入数字贸易条款,达到适应本国规定和推动数字经济的目的。
本文编译自《印度:自由贸易协定中的数字贸易条款和印度的数据工业化目标:双边前进之路》(India: Digital Trade Clauses In FTAs And India's Data Industrialization Goals: The Bilateral Way Forward),作者Sanjay Notani与Akash Manwani,为了保证阅读的流畅性,本文对脚注有删减。
1
印度的数字贸易潜力
数字化带来的激励,以及新冠大流行带来的使用数字工具的必要性,使得印度的数据生成量在多个层面上都有增加。印度正在制定一项全面的数据保护立法,该立法将为数据保护和信息隐私提供专门的法律框架。不论是对国内,还是从国际贸易的视角来看,该数据保护立法都将对该国产生涟漪效应。当今组织/实体提供的一些产品和服务需要对大量的外部数据进行处理。同时,数据集旅程中的每项活动——如收集、共享、处理和保护——都在全世界的不同地点发生,因此也同时受到多项法规的约束。正是在这个时候,自由贸易协定(FTAs)中的数字贸易条款越来越多地被视为减少不同国家与数据跨境流动有关的法规之间的摩擦的工具。
截至2022年1月,印度的互联网用户已超过6.58亿。就单纯的潜力而言,数据可以被转化为经济收入、软实力和战略影响力。根据印度互联网和移动协会(IAMAI)开展的一项研究,国际互联网带宽减少1%,可能导致印度的商品贸易总额损失约6.9671亿美元。毋庸讳言,许多将数据货币化的前景都在该国的掌控中。由于数据产业化的前景、国家安全和与地方法规相关的问题,印度对数据跨境流动施加了来自国内行业法规的限制。作为宏观政策问题,印度正在采取渐进但有效的措施来实现跨境数据流动,并在双边层面提供充分保护。
本文着眼于印度迄今为止的政策考虑和相关事件,以评估现代自由贸易协定条款背后的基本原理和印度最近对数据跨境流动的全球化立场。经分析,印度的数据产业化目标似乎在双边协议而非多边安排中得到更好的体现。在通过期待已久的数据保护立法以提供充分保护后,印度可能会寻求多边参与。因此,就目前而言,本文探讨了绕过印度严格的行业法规实现最佳数据共享的方法。
2
印度数据本地化的前提
印度有许多法律要求在国内管辖范围内对数据进行本地的物理存储、镜像和处理。实施这些限制的原因有很多。主要关注点之一是为调查和其他执法目的访问数据。在存在不当行为、数据泄露和技术破坏的情况下,及时访问数据对于执法机构和监管机构至关重要。若数据在印度收集但存储于印度法律管辖范围之外的数据中心,在这种情况下,监管机构和执法机构可以依靠司法协助条约(MLAT)来访问相关数据。司法协助条约可以协助获取数据,但其边界仅限于公法/刑法。除了过程繁琐外,司法协助条约的有效性还取决于缔约国之间的双边关系。
现在,根据从全国各地的初创企业收到的一些意见,印度正在考虑通过放宽本地化规范来实现数据货币化的前景。随着国内外的利益相关者为全球化所做出的努力,印度的数据保护法案被视为一项使印度与其他国家一起加入多边潮流的措施。有迹象表明,预期的数据保护立法将包含有关数据本地化和数据跨境流动的自由化条款。在数据保护立法颁布之前,当前适用的法规会不时地更新。双边协议是印度实现数据跨境流动的首选模式。下面列出了与其他国家同时应用的适用框架可以无缝融入全球技术贸易的一些方式。
3
印度关于数据存储的行业法规
印度通过对数据跨境传输的严格行业限制来实现其本地化任务。然而,由于全球各国的坚持,以及政策机构出于商业、研究和社会公共利益等因素,印度正在努力放宽数据本地化规范。内含数字贸易条款的双边条约——尽管旨在平衡数据本地化规范——本质上也只是建议性的,并不能替代行业法规。关于这一方面,印度国内对数据跨境传输施加限制的行业法律/法规/条例包括:
a. 在保险行业,根据2017年《印度保险监管和发展局(印度保险公司外包活动)条例》【the Insurance Regulatory and Development Authority of India (Outsourcing of Activities by Indian Insurers) Regulations,2017】第 18(ii)条,如果保险公司将设施外包给印度境外的服务提供商,则保险公司应确保协议条款符合各自的地方法规,并且此类法律/法规不会妨碍管理局的监管准入和监督。预计所有原始保单持有人记录将继续在印度保存。
b. 在银行业,根据印度储备银行(RBI)依据2007年《支付和结算系统法》(the Payment and Settlement Systems Act,2007)于2018年4月6日发布的关于支付系统数据存储的通知,RBI特别指出并非所有系统提供商都需要将支付数据存储在印度。因此,为了确保更好地监控和不受限的监管访问,RBI指示所有系统提供商须确保与其运营的支付系统相关的全部数据存储在印度法律管辖范围内的系统中。
c. 在娱乐领域,对于广播用户数据,2020年《外国直接投资综合政策》(the Consolidated Foreign Direct Investment Policy)中规定的条件之一是广播公司不得将用户数据库转移到印度法律管辖范围以外的任何实体或地方,除非得到相关法律的允许。
d. 对于公司合规,2014年《公司(账目)规则》【the Companies (Accounts) Rules】第3(5)条中的但书规定,以电子方式保存的账簿、公司其他账簿和文件的备份(包括在印度境外的)应存储在物理上位于印度法律管辖范围内的服务器中。
e. 印度证券交易委员会(SEBI)通过其《关于金融组织基于软件即服务(SaaS)的解决方案》的咨询中指出,为确保对各组织的关键系统进行全面保护和无缝控制,与风险、审计和合规有关的关键数据应保持在印度的法律范围内。
除上述之外,2012年的《国家数据共享和可访问性政策》(the National Data Sharing and Accessibility Policy,NDSAP)要求对所有政府数据进行本地化,同时允许跨境传输非敏感数据以供合法使用。与政府行业数据存储有关的MeghRaj倡议要求所有被授权的云服务提供商将所有物理和在线数据存储在印度。这些针对特定行业的法规虽然十分繁杂,但为政府和监管机构有效履行职能提供了充足的保障,除此之外,印度政府还可以再通过司法协助条约获取一些未存储在印度的信息/数据。
4
印度脱离共识导致缺乏多边承诺
作为印度坚持数据本地化的延伸,印度通过放弃参与日本的《2019年大阪轨道》展示了一种国际立场。日本通过二十国集团(G20)领导人在日本大阪发表的宣言,提出了“信任的数据自由流动”(DEFT)。在该宣言中,G20领导人公布了大阪轨道,以表明致力于在世界贸易组织(WTO)促进与贸易相关的电子商务国际政策讨论和规则制定。各国承诺:“我们将参与国际政策讨论,以充分利用数据和数字经济的潜力,并为此加强对相关国际论坛的参与”。
包括美国、加拿大和德国在内的所有主要经济体都选择并签署了大阪轨道,而印度、印度尼西亚和南非除外。印度坚持认为,大阪轨道并非基于世贸组织所宣传的多边主义原则。后来,在印度和南非的坚持下,官方声明中加入了一个折中文本,指出“有效利用数据作为经济增长、发展和社会福利的推动者可发挥的关键作用”。这些发展中经济体的主要关切仍然是,数据产业化的“政策空间”可能受到阻碍。
然而,在双边层面上,印度一直在与其他国家在自由贸易协定中签署数字贸易条款。例如,2022年2月,印度与阿拉伯联合酋长国(UAE)签署了一项全面经济伙伴关系协定(CEPA)。该协议涵盖了建筑、旅游、护理、金融等各种服务行业。虽然该协议包括数字贸易条款,但一些涉及在线服务模式的服务条款与本地化规则、公民的数据隐私和强制性本地存储要求相关。该协议进一步规定,每个缔约方应根据国际组织规定的原则制定数据保护的法律框架。值得注意的是,印度正在通过与其他自贸区伙伴国的后续协议重申其对2019年大阪轨道的立场。最后,该协议还设想了单独的条款,使各方有义务充分公布有关补救措施和商业遵守的信息。因此,虽然印度表现出对数字贸易的开放,但它有自己版本的数据传输条款,再次强调了以本土为中心的模式。以印度目前的行业法规,它可能会从与特定国家的双边接触中受益,因为它可以保持其数据产业化的愿望,并从跨境数据流动中获得好处。
5
自由贸易协定中的现代数字贸易条款
和双边层面数据跨境流动行业限制的例外
由于在多边层面上存在着缺乏国际数据共识的缺陷,因此在双边层面上,包括印度在内的各国有机会在自贸协定中为数据跨境流动定制数字贸易条款,以适应其独特的需要。与跨境数据流动有关的条款阐明了有约束力的各方对促进更好的贸易关系的信任。大多数数字贸易条款开始时,各方都承诺将保护个人信息作为数字经济的一个优先事项。考虑到公民/信息主体是最终的受益者,政府的努力是公民应该有类似的补救措施、纠正和/或保护。同时,还规定应形成认识,并共享有关数字贸易法律制度的充分信息。无法制定一套类似的法规,是在数据共享政策上未能达成国际共识的主要原因。因此,自贸协定有各种不同的条款,特别是取决于政治架构的实际性质、国内行业法规和一个国家的数据产业化能力。
自贸协定中的条款也可以规定,通过认证或行为准则的方式,共同开发可操作的个人信息保护系统。专业人士的供给、技术问题的合作、国家间报告的可访问性以及通过联合项目共享信息,也可以在自贸协定中找到其位置。考虑到数据的内在价值,双边自由贸易协定中的每一方也可以列出例外情况,允许限制跨境数据传输的目的是政府采购、实现合法的公共政策和/或国家安全或战略利益问题。
在谈判这类协议时,有争议的问题之一是直接或间接实施特定行业的限制。在与印度这样的发展中经济体打交道时,人们普遍担心的是如何通过行业法规来进行操作。一个国家的国内行业限制,通常是带有监管性质的,可以作为间接工具来规避数据的自由流动。在这样的讨论中,通常的行业限制合理例外如下:
a. 作为一个例外,可制定特定条款以允许监管部门进行监测/监督。不同行业的专业监管机构,如股票市场、保险、银行等,都是非常专业的,并随时适应不断变化的需要。在这种情况下,监管机构要与市场打交道,监督实体的活动。因此,如果国家放宽了本地存储数据的要求,它可能会寻求对实体的活动信息进行全时域的访问,以便在任何需要的时候都能制止违法活动。
b. 可以给实体提供足够的机会进行补救。对那些成为国家监管活动受害者的私营投资实体应该有足够的补救机制。在这种情况下,自贸协定的缔约方可能不会接受行业监管者成为数据违规行为的最终仲裁者。因此,可以在自贸协定中加入一项规定,让更多的横向机构对监管机构的决定进行质疑和重新调解。
c. 具体行业的限制不应过于严格,以避免达到一个以上的目标。缔约方通常会对国内的行业法规进行彻底的尽职调查,以衡量限制性数据本地化条款的合理风险。例如,一个行业的数据本地化要求限制性太强,以至于可能导致监管机构本身通过协助国内企业实现商业化,这对受害者实体和/或国家的利益来说是致命的。
根据世界银行在2021年3月发表的题为《规范个人数据:数据模式和数字服务贸易》(Regulating Personal Data: Data Models and Digital Services Trade)的研究报告,据观察,在双边贸易协定中,拥有开放的跨境数据流动安排、部分有条件的跨境数据流动安排、或有条件的国内数据处理模式的一方,在数字服务贸易协定中展示了一个可靠和健康的贸易结构。世界各地的许多自由贸易协定/协议,如英国-欧盟贸易与合作协定、英国-日本全面经济伙伴关系协定、欧盟-墨西哥全球贸易协定、英国-智利联系协定、英国-越南自由贸易协定都有类似的数据传输相关条款。在这一点上,2022年4月29日RBI发布一份措辞谨慎的报告指出:“与这些先进国家的双边贸易协定的重点应该是双边技术共享和在本国能力薄弱的行业建立伙伴关系/联盟。由于全球贸易环境正变得越来越复杂,容易出现更多的争端、规则和有关数字贸易的规定,数据安全问题和知识产权应该在贸易协定中得到充分的覆盖。”因此,认真制定与国家数据本地化/全球化政策相一致的数据传输条款是非常重要的。从长远来看,当国家的数据产业化能力可能扩大时,这些条款的重要性就更加明显。
6
结论
在国际层面上,独特的差异化的法规、数据共识问题、严格的充分性保护模式是跨境数据流动这样一个命题的内在因素。发达国家可能会宣称对数据自由流动和充分保护的承诺,但发展中经济体认为这是一个单调的数据保护版本。发展中经济体的数据产业化目标是一个漫长的过程。就印度而言,这是一个双管齐下的解决方案,包括制定一个充分保护数据的总括性立法和促进与自贸区伙伴国家的双边关系。在谈判双边贸易协定时,印度有发言权,在不放弃行业法规和/或数据产业化目标的情况下,可以选择最优化和最有效的路线。在任何情况下,人们看到,这种协议在双边层面上的成功比在多边层面上的成功要大。
(完)
往期文章
1、全球数据跨境流动治理
EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本
数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中
G7国家数据跨境流动政策演进
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
2、产业数据治理
数据要素治理|美国拟议消费者数据权利新规,促进金融数据共享流通
3、中心数据治理动态
“中国澳门-欧盟科研数据跨境流动实践”入选“2022携手构建网络空间命运共同体精品案例”
4、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《个人信息出境标准合同规定(征求意见稿)》适用要点解读
5、欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
6、全球数据治理观察
7、国际数据空间
【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
8、数据权属与数据治理之争