摘要:鉴于WTO协定等传统经贸协定难以有效约束各国采取的数据跨境流动限制性措施,且一般例外和基本安全例外难以充分保障一国在数据跨境流动领域的国家规制权,《全面和进步跨太平洋伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)和《数字经济伙伴关系协定》(DEPA)等晚近经贸协定开始明确禁止缔约方限制数据跨境流动或采取数据本地化措施,同时允许缔约方为了追求正当公共政策目标而在满足相应条件的情况下采取上述措施。但不同协定中的正当公共政策目标例外在文本表述上或存在不同程度的差异,在解释该例外时应关注文本差异引发的适用区别。中国最可能受到挑战的数据本地化措施在现阶段对于实现中国追求的安全和执法获取数据等多重目标可能是必要的,但鉴于措施的必要性会随着实践发展而动态变化,其可发展规制措施必要性评估制度以及关于网络安全和保护个人隐私的标准与最佳实践,避免未来在援引正当公共政策目标例外时陷入被动局面。
关键词:数据跨境流动;正当公共政策目标;例外条款;必要性测试
中图分类号:D996.1 文献标识码:A
文章编号:1005-3492(2022)03-0106-14
一、引言
数据跨境流动对于繁荣数字贸易发展的重要性毋庸置疑。鉴于WTO协定等传统经贸协定在禁止缔约方限制数据跨境自由流动或采取数据本地化措施(以下统称为“数据跨境流动限制性措施”)方面存在不足,《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《美墨加协定》(USMCA)、《数字经济伙伴关系协定》(DEPA)、《区域全面经济伙伴关系协定》(RCEP)等晚近经贸协定开始设置专门的数据跨境自由流动规则和禁止数据本地化规则加强对此类措施的约束,这使得缔约方采取的数据跨境流动限制性措施更容易违反上述积极性义务规则。同时,经贸协定的起草者也意识到不同国家在数字产业和数字贸易发展水平、规制理念和规制能力、历史文化等方面存在差异,因而在数据跨境流动规则中往往会设置一项具体的正当公共政策目标例外来平衡促进贸易进一步自由化与尊重国家规制权之间的关系,这也是高标准的数据跨境流动规则被越来越多国家接受的重要原因。
目前,学界关于数据跨境流动的国内规制路径与国际规制方案、如何确保数据跨境流动中的网络安全和个人信息保护、限制数据跨境流动在世贸组织(WTO)体系下的合规性等问题的研究较多,但鲜有学者深入研究数据跨境流动规制中的正当公共政策目标例外。事实上,正当公共政策目标例外不仅具有较高的学术研究价值,而且对中国参与经贸谈判具有重大现实意义。一方面,明确RCEP正当公共政策目标例外下缔约方决定限制数据跨境流动必要性的自裁权(self-judging)范围与限度,以及CPTPP和DEPA正当公共政策目标例外中的“要求的”表述是否指必要性测试等尚待澄清的法律问题是判断缔约方限制数据跨境流动是否合法的关键。另一方面,中国已正式申请加入CPTPP和DEPA,且正积极参与WTO电子商务诸边谈判(下称“WTO电商谈判”),考虑到上述协定或谈判中的正当公共政策目标例外或比RCEP更加严格,其更可能导致中国现有的或将来可能采取的数据跨境流动限制性措施难以被认定为合法措施。因此,深入研究正当公共政策目标例外有助于中国明确签署上述协定将对本国数据跨境流动规制构成何种挑战,且有助于中国预先研判如何在国际经贸谈判中利用该例外保留相应的规制空间。
鉴于学界对经贸协定中的国家安全例外和一般例外已有较多研究,本文囿于篇幅限制将重点分析正当公共政策目标例外中的特别问题。本文结构如下:第一部分引言;第二部分分析CPTPP、RCEP和DEPA等区域经贸协定引入数据跨境流动规则及正当公共政策目标例外的背景;第三部分以上述协定为载体,比较分析正当公共政策目标例外在不同协定文本表述下的适用差异;第四部分将在考察中国数据跨境流动规制现状和基本立场的基础上,分析中国加入CPTPP和DPEA谈判以及参与WTO电商谈判可能面临的相关挑战并提出应对建议。
二、数据跨境流动规则及正当公共政策目标例外的入约背景
CPTPP、RCEP和DEPA等区域经贸协定之所以在其数字贸易规则中引入数据跨境流动规则,与WTO协定等传统经贸协定难以有效约束缔约方采取的数据跨境流动限制性措施且其例外条款难以保障缔约方在数据跨境流动领域的国家规制权两方面问题密切相关。在数据跨境流动规则中设置允许更多例外情形的正当公共政策目标例外后,即便缔约方的数据跨境流动限制性措施不符合援引一般例外或基本安全例外的条件,其也可尝试援引正当公共政策目标例外来证明争议措施的合法性。
(一)数据跨境流动规则的入约背景
数据跨境流动可能伴随着威胁国家安全、网络安全、个人隐私、消费者权益、知识产权等风险或问题。当数据流向境外主体或者数据处理者为位于境外的外国主体时,一国难以基于传统主权理论要求本国领土之外的外国主体遵守本国法律法规。并且,当一国为了行政执法或刑事司法而需要调取境外数据时,往往也需要获得他国主管机关的同意和配合,例如依据两国签署的司法协助程序请求调取数据,但这往往耗时费力、效率低下。此外,部分国家为了实现产业政策目标、发展云计算等依托海量数据的数字产业,也可能采取数据本地化措施。对此,联合国贸发会(UNCTAD)曾表示发展中国家不应支持电子传输免征关税等议题,印度和非洲国家还在WTO公开支持了UNCTAD的数字产业政策立场。2013年“斯诺登事件”爆发后,部分国家启动或加快了本国网络安全和个人信息保护等立法进程,以求为本国追求上述公共政策目标而采取的数据跨境流动限制性措施提供国内法依据。
传统经贸协定缺乏明确的数据跨境流动规则,既难以有效规制缔约方采取的数据跨境流动限制性措施,又难以充分保障缔约方为实现不同正当公共政策目标而限制数据跨境流动的国家规制权。这是因为,尽管数据跨境流动与数据加工服务、数据库服务、数据准备服务、在线信息和数据库检索服务等具体服务部门以及所有服务部门的跨境提供模式(模式一)密切相关,但若缔约方未对服务部门的模式一或上述部门作出市场准入或国民待遇承诺,那么该国采取的数据跨境流动限制性措施就未违反其在协定项下承担的相关义务。并且,各国目前尚未就电子书和数字音乐等数字产品的归类问题达成一致意见,当数据跨境流动限制性措施影响数字产品贸易时,相关措施应如何适用货物贸易、服务贸易、知识产权等规则也存在不确定性。
在上述背景下,为了促进数据在全球范围内的进一步跨境自由流动,CPTPP、RCEP和DPEA等区域经贸协定开始设置数字贸易规则规制缔约方采取或维持的影响电子方式贸易的措施,这在一定程度上解决了与数据跨境流动相关的规则适用问题。同时,上述经贸协定包含明确的数据跨境流动规则,原则上禁止缔约方采取或维持数据跨境流动限制性措施,这使得缔约方采取的数据跨境流动限制性措施更容易违反该规则。并且,在CPTPP等要求缔约方以负面清单方式编制具体承诺表的经贸协定下,缔约方的更多服务部门将受到数据跨境流动规则的约束。
(二)对正当公共政策目标例外入约背景的进一步分析
经贸协定在数据跨境流动规则中设置正当公共政策目标例外与一般例外和基本安全例外适用情形有限、难以充分保障缔约方国家规制权的局限有关。首先,货物和服务贸易规则中的一般例外均仅包含有限例外情形,无法满足各国在数据跨境流动领域的多种规制需求。而在数据跨境流动规则中设置不列举具体例外情形的正当公共政策目标例外后,一国采取数据跨境流动限制性措施所追求的更多目标(例如数据主权目标)可能会被认定为正当目标,这可增加缔约方成功援引例外条款证明争议措施合法性的可能性。
其次,基本安全例外同样仅包含有限例外情形,很难被一国成功援引。以WTO国家安全例外中的基本安全例外为例,最可能成为限制数据跨境流动合法性依据的基本安全例外情形是《关税与贸易总协定》(GATT1994)第21.2条第3项或《服务贸易总协定》(GATS)第14条之二第1款3项,即一国在战争或国际关系中的其他紧急情况下采取其认为对保护其基本安全利益所必要的任何行动(下称“国际关系中的紧急情况例外”)。在2019年发布的俄罗斯过境运输案专家组报告中,WTO专家组首次明确指出其对GATT第21条基本安全例外享有管辖权,被诉方援引“国际关系中的紧急情况例外”时必须证明行动满足三大要件:一是时间要件,即行动必须在发生战争或国际关系中的其他紧急情况时采取;二是目的要件,即行动必须是为了保护本国的基本安全利益;三是“手段与目的”的关系要件,即被诉方认为行动对于保护其基本安全利益是必要的。并且,被诉方根据该例外享有的自裁权范围不包括时间要件。有学者曾指出,除非出现类似于2007年爱沙尼亚国内遭受的大规模网络攻击和2010年伊朗核设施被病毒攻击等极端情形,一国以安全为由采取数据跨境流动限制性措施通常难以被认为发生于“战争或国际关系中的其他紧急情况”。本案专家组也印证了这一观点:“国际关系中的其他紧急情况”通常指武装冲突、潜在武装冲突、加剧的紧张或危机、笼罩或包围着一个国家的普遍不稳定局势,且这种情况威胁到了相关成员的国防利益、军事利益、维护法律或公共秩序的利益。可见,在被诉方不享有对时间要件的自裁权情况下,其很难证明数据跨境流动限制性措施发生于国际关系中的紧急情况。在此背景下,当数据跨境流动规则中设置正当公共政策目标例外后,即便缔约方以国家安全为由采取的数据跨境流动限制性措施不符合基本安全例外中的客观要件,该缔约方也可尝试援引未列举具体情形的正当公共政策目标例外来证明争议措施的合法性。
三、对不同正当公共政策目标例外适用问题的比较
尽管CPTPP、DEPA与RCEP数据跨境流动规则均包含正当公共政策目标例外,但前二者与RCEP在文本表述上存在一定差异。CPTPP和DEPA的正当公共政策目标例外由三大要件构成:目标正当性要求、“不得超过要求的限度(not greater than are required)”测试、“不以武断或不合理歧视或变相贸易限制的方式实施”要求。RCEP正当公共政策目标例外也包含类似的三大要件,但与CPTPP和DEPA相比存在两点核心差异:一是采用了“必要的(necessary to)”表述,表明该例外引入了必要性测试;二是增加“其认为(it considers)”表述,允许缔约方自行决定数据跨境流动限制性措施对于实现其正当公共政策目标的必要性。鉴于WTO争端解决机构已就“不以武断或不合理歧视或变相贸易限制的方式实施”要求发展了较为丰富的法理,本部分将重点比较分析上述正当公共政策目标例外采用不同文本表述是否将导致前两个要件在适用问题上的差异。
(一)目标正当性要求在不同正当公共政策目标例外中的适用差异
为了考察目标正当性要求在不同正当公共政策目标例外中是否存在适用差异,笔者首先将分析未在该例外中采用“其认为”表述的CPTPP和DEPA就目标正当性要求应适用何种审查标准和法律标准,然后以此为基准分析在正当公共政策目标例外中采用“其认为”表述的RCEP所赋予缔约方的自裁权是否涵盖目标正当性要求,进而明确上述文本表述差异是否导致目标正当性要求在审查标准和法律标准上的差异。
1.目标正当性要求在CPTPP和DEPA中的审查标准与法律标准
目标正当性(legitimacy)与目标合法性(legality)是两个相似但又有区别的概念:目标合法性关注立法或行政行为是否依法作出,目标正当性则关注立法或行政行为是否出于正当目标,一个形式合法的目标不一定是正当目标。在WTO体系下,有观点认为既然《技术贸易壁垒协定》(TBT)第2.2条采用了“正当目标”表述,就意味着同样存在不正当目标,将目标正当性的决定权完全交给成员而不赋予争端解决机构任何的监督权将会导致过度遵从的审查标准。WTO争端解决机构在具体案件中审查TBT协定第2.2条的目标正当性时的确也采用了独立客观的审查标准,这意味着CPTPP和DEPA的专家组或仲裁庭在审查正当公共政策目标例外中的目标正当性要求时也应采取独立客观的审查标准。
WTO相关法理还表明目标正当性的法律标准较为宽松,因而缔约方成功证明争议目标具有正当性的可能性较大。例如,WTO上诉机构在美国金枪鱼第二案中将TBT协定第2.2条中的“正当目标”解释为了“合法的、可证明合法的或恰当的目的或目标”,并指出本条列举的目标、TBT协定序言第6、7段以及其他WTO协定条款中承认的目标对于确定TBT协定第2.2条下的其他正当目标具有指导和提示意义。同时,专家组不必拘泥于成员对目标的特征描述,而是应结合技术法规的文本表述、立法史和运行等证据,独立客观地审查目标的正当性。WTO上诉机构在美国原产地标识案中进一步表示,TBT协定第2.2条列举的正当目标具有高度概括性,未列出与列出的正当目标之间不存在层级差异,与已列出正当目标重要共性相关的因素是未列出目标本身的性质与内容。
上述案件表明CPTPP和DEPA的专家组或仲裁庭在审查正当公共政策目标例外中的目标正当性要求时也应立足于目标本身的性质与内容,并可考察数字贸易章节、整个协定文本以及明确并入协定的WTO协定相关条款中是否明确列举或默示承认了争议目标,因为这反映了全体缔约方的共同意图。当缔约方采取的数据跨境流动限制性措施所追求的争议目标未直接或间接体现于协定文本时,缔约方可否援引其他国际条约中明确承认的目标来证明争议目标的正当性则取决于相关条约是否符合《维也纳条约法公约》(VCLT)第31.3条特别是(c)项的要求。也即,当其他国际条约被认定为“适用于当事国间关系之任何有关国际法规则”时,该国际条约中明示或默示承认的目标也可能被认定为正当公共政策目标。
2.RCEP正当公共政策目标例外中的自裁权是否涵盖目标正当性要求
鉴于WTO协定及其法理是解释国际经贸协定的重要国际法渊源,援引RCEP正当公共政策目标例外的缔约方原则上仍应参照WTO争端解决机构就目标正当性要求确立的法律标准证明数据跨境流动限制性措施的合法性。但这里需解决的问题是,RCEP正当公共政策目标例外中的自裁权是否涵盖目标正当性要求,使得RCEP联合委员会在判断争议目标是否正当时应给予被诉方更大的遵从边界?对此,WTO专家组在俄罗斯过境运输案中关于GATT第21.2条“其认为”涵盖范围的推理可为解决该问题提供有益参考。
如本文第二部分所述,WTO专家组认为GATT第21.2条“其认为”所涵盖的自裁权范围不包括时间要件,专家组在作出这一裁定时综合考虑了三方面因素:各要件的性质、WTO协定的目的和宗旨以及GATT第21条的谈判历史。首先,“国际关系中的紧急情况例外”要求成员在发生战争或国际关系中的其他紧急情况期间采取行动,时间上的同时发生是一个应客观决定的客观事实。与此相反,“基本安全利益”是比“安全利益”明显更狭窄的概念,其通常可能被理解为指与国家基本职能有关的利益,例如对外保护其领土和全体居民不受外部威胁、对内维护法律和公共秩序,而与之直接相关的特定利益取决于特定国家的具体情况和观念,并预计可随着情况的变化而变化,因此基本安全利益通常应由每个成员自行定义。其次,如果将GATT第21条解释为应完全遵从成员表达的单边意愿,这将完全违背建立WTO协定所追求的安全和可预测性宗旨。最后,GATT第21.2条不涵盖所列出的各项情形的结论也被本条的谈判历史所确认,因为各国代表在进行投票表决后同意基本安全例外允许的单边行动不包括第2款所列出的各项情形。
笔者认为,将RCEP正当公共政策目标中的自裁权解释为涵盖目标正当性要求并不违反WTO争端解决机构就“其认为”表述所发展出的法理。首先,就目标的性质而言,目标的正当性来源于社会赖以建立的价值,一个限制性手段所追求的目标是否正当取决于每个社会中的价值,而不同社会中得出的结论可能有所不同,表明公共政策目标是否正当是可以由各国自行决定的事项。其次,从起草者的原意角度看,RCEP正当公共政策目标例外的文本和脚注均暗示缔约方很可能达成了允许各方自行决定目标正当性的一致合意。最后,允许RCEP缔约方自行决定公共政策目标的正当性不必然会降低RCEP协定的安全与可预测性,只要缔约方在行使该自裁权时同样遵守善意原则。也即,援引RCEP正当公共政策目标例外的缔约方应当初步证其明采取的数据跨境流动限制性措施的确是为了追求正当公共政策目标,对此该缔约方可结合本国相关法律法规、立法史和运行情况等证据加以证明。
3.小结
当CPTPP和DEPA等经贸协定中的数据跨境流动规则未在正当公共政策目标例外中采用“其认为”表述时,专家组或仲裁庭应对目标正当性要求采用独立客观的审查标准,并将目标本身的性质与内容作为判断目标正当性的主要法律标准。当经贸协定采用了类似RCEP正当公共政策目标例外中的“其认为”表述时,争端解决机构仍应以WTO争端解决机构发展的法律标准解释目标正当性,但应将该例外授予缔约方的自裁权范围扩展至目标正当性要求,在判断争议目标是否正当时给予被诉方更大的遵从边界。不过,缔约方在行使该自裁权时仍应遵守善意原则。
(二)“不得超过要求的限度”测试是否等同于必要性测试
纵观CPTPP、USMCA、DEPA、RCEP、《美日数字贸易协定》等数据跨境流动规则中的正当公共政策目标例外,可以发现RCEP要求缔约方对数据跨境流动施加的限制是“实现目标所必要的(necessary)”,USMCA和《美日数字贸易协定》也要求限制“不得超过必要的限度(not greater than are necessary)”,CPTPP和DEPA则要求限制“不得超过要求的限度(not greater than are required)”。在WTO电商谈判中,或许是成员对“要求的”确切内涵尚有疑虑,数据跨境流动和计算设施本地化提案中的正当公共政策目标例外均未确定究竟采用“必要的”还是“要求的”表述,而是将这两种表述作为了并列选项,最终选择哪种表述仍有待于各方的进一步谈判。对此,本部分将运用维也纳条约解释通则探究“不得超过要求的限度”测试是否等同于必要性测试。
1.根据VCLT第31.1条进行解释
鉴于平义解释在VCLT第31.1条的解释方法中具有优先地位,WTO争端解决机构在解释某个术语时也往往会先查阅权威字典,把握“要求的”内涵应从字典释义开始。根据《简明牛津字典》,“require”指命令或需要某人做某事;制定的必须完成的事;将成功或实现寄托于;想得到。根据《新牛津英汉双语大辞典》,“require”指需要,有赖于;使需要,使必要;规定,要求;想要,想得到。从字典释义看,“要求的”和“必要的”似乎可以是同义词,彭心仪等学者也认为《跨太平洋伙伴关系协定》(TPP)第14.11条中的“要求的”指必要性测试。
条约解释还应采用VCLT第31.1条规定的系统解释方法,将某一条款所处的章节甚至整个经贸协定作为解释该条款的上下文。就正当公共政策目标例外而言,其所处的数字贸易章节就是专家组或仲裁庭首先应考虑的上下文。例如,CPTPP第14.2条提到了“不必要壁垒”,WTO合并文本“电子交易框架”条款第2款中的提案1采用了“不必要规制负担”表述,这表明起草者有意对“必要的”和“要求的”内涵进行区分,暗示二者并不具有相同的内涵。如果更宽泛地将整个CPTPP作为上下文,还可以发现被并入CPTPP的《实施卫生与植物卫生措施协定》(SPS协定)第5.6条也可作为解释“要求的”表述的上下文,因为SPS协定第5.6条规定SPS措施造成的贸易限制不得超过为达到适当的保护水平所“要求的限度”。但需注意,本条注解清楚地表明起草者在此处采用“要求的”表述旨在采用必要性测试或者说最低贸易限制测试(least trade restrictive test)。因此,一方面,尽管SPS协定第5.6条与CPTPP第14.11条和第14.13条的正文文本均采用了“要求的”表述,但不可当然将后者的“要求的”也解释为最低贸易限制测试。另一方面,SPS协定第5.6条注解给我们的启示是,CPTPP和DEPA正当公共政策目标例外中采用的“要求的”表述并非不可被解释为最低贸易限制测试,但是需要起草者作出类似SPS协定第5.6条注解那样的明确说明。
事实上,如果结合CPTPP、USMCA和《美日数字贸易协定》的缔约情况,可以发现采用“必要的”表述的USMCA和《美日数字贸易协定》的缔约方数量少且由发达国家主导谈判,采用“要求的”表述的CPTPP缔约方数量较多且各方数字贸易发展不平衡,采用“要求的”表述的DEPA缔约方尽管不乏发达国家(例如新加坡和新西兰),但上述发达国家并没有具有国际影响力的大型数字企业。这暗示CPTPP和DEPA起草者可能有意采用“要求的”表述来避免适用必要性测试。
2.根据VCLT第31.4条进行解释
考虑到法律文本在表述上的专业性,VCLT第31.4条规定了特殊文义方法。在法律领域,部分国家宪法比经贸协定更早使用了“要求的”表述,这可以为理解正当公共政策目标例外中的“要求的”内涵带来一定启示。例如,以色列基本法第8条规定“立法对权利的限制不得超过要求的限度”。尽管以色列前最高法院院长阿哈龙·巴拉克(Aharon Barak)认为“要求的”同样体现了比例概念,但他也指出需对不同宪法中的“必要的”“要求的”“合比例的”术语进行解释以确定其具体内涵。以色列法院在1995年联合米兹拉希银行案中曾澄清,只有当立法者在所有可获得的手段中选择了对所保护的人权限制最小的手段时,才能认为该法律对基本权利的限制未超过要求的限度。可见,“要求的”在以色列宪法中也对应最低贸易限制测试,这与WTO争端解决机构将“必要的”解释为最低贸易限制测试的法理基本一致,只是前者原则上要求穷尽所有可能的替代手段后才能确定立法是否超过了要求的限度,而后者仅需审查起诉方提出的替代措施即可确定争议措施造成的贸易限制是否超过了必要的限度。
本案对确定“要求的”内涵的启示是,或许CPTPP和DEPA缔约方并非不打算对数据跨境流动限制性措施采用必要性测试,而是暗示了进行严格必要性测试的意图。一方面,缔约方希望保留自己为了追求更多现有或潜在的正当公共政策目标而限制数据跨境流动的规制自主权。另一方面,缔约方也希望采用严格必要性测试来限制其他缔约方选择用来追求正当公共政策目标的手段,从而避免正当公共政策目标例外被滥用。尽管采用严格必要性测试的意图不一定表明专家组或仲裁庭必须穷尽所有可能的替代措施才能确定争议措施的必要性,但可能表明缔约方希望对必要性测试采用更严格的审查标准或法律标准。因此,如果确定CPTPP或DEPA缔约方的原意在于采用严格必要性测试,那么就应据此解释“要求的”内涵。
3.小结
本文在运用维也纳条约解释通则分析正当公共政策目标例外中的“要求的”与“必要的”表述是否具有相同内涵后,发现运用不同的解释方法可能得出截然不同的结论。但这并非说明本部分的分析没有意义,而是进一步表明“要求的”表述在内涵上具有较大模糊性与不确定性,需要缔约方进一步澄清其确切内涵。对此,本文建议CPTPP和DEPA缔约方特别是参与WTO电商谈判的WTO成员首先明确在数据跨境流动规则中设置正当公共政策目标例外是为了赋予一国更大的规制自主权,还是为了限制一国滥用该例外掩盖贸易保护主义。若WTO成员最终决定采用“要求的”表述,其应进一步明确采用“不得超过要求的限度”测试是旨在不适用必要性测试,还是旨在适用更加宽松或严格的必要性测试。
四、正当公共政策目标例外的中国因应
自2016年《网络安全法》通过后,中国进一步加强了对数据跨境流动的国内规制与立法,但上述立法中不乏数据跨境流动限制性措施。在加入CPTPP和DEPA谈判以及参与WTO电商谈判中,中国应重点考虑其是否有可能成功援引数据跨境流动规则中的正当公共政策目标例外证明相关限制性措施的合法性。对此,本部分将在考察中国数据跨境流动规制现状和基本立场的基础上,针对中国未来援引上述协定中的正当公共政策目标例外可能面临的挑战提出相关建议。
(一)明确中国数据跨境流动的规制现状与基本立场
在数据跨境流动领域,中国初步形成了以“数据安全流动和自由流动并举”为原则、以重要数据、国家核心数据和个人信息为抓手的分类规制现状。就重要数据而言,关键信息基础设施(CII)运营者在中国境内运营中收集或产生的重要数据原则上应存储在中国境内,确需将重要数据传输到境外时应接受安全评估;其他数据处理者在中国境内运营中收集或产生的重要数据以安全评估后允许流出为条件。就国家核心数据而言,2021年6月通过的《数据安全法》首次引入了国家核心数据概念,要求对关系国家安全、国民经济命脉、重要民生、重大公共利益的数据建立更严格的管理制度。就个人信息而言,中国基本建立了个人信息的本地存储或附条件出境等制度。第一,对于CII运营者在境内运营中产生的个人信息以及处理个人信息达到规定数量的个人信息处理者,其应以数据本地存储为原则、安全评估后允许流出为例外。第二,对于个人金融信息、网约车平台采集的个人信息等特殊个人信息,中国也以数据本地存储为原则、附条件流出为例外。第三,对于掌握超过100万用户个人信息的运营者,其赴国外上市需以网络安全审查后允许流出为条件。第四,对于不属于上述情形的个人信息或个人信息处理者,向境外提供个人信息的条件是获得专业机构认证或与境外接收方订立能确保达到法定个人信息保护标准的合同。此外,对于金融、电信、政府采购等特定部门或领域中的服务提供者在中国境内运营时收集或产生的信息,中国也采取了计算设施本地化措施或附条件允许数据跨境流动等措施。需指出,不论法律法规规定了何种个人信息出境规则,个人信息处理者均应向数据主体告知境外接收方的特定信息并取得单独同意,除非法律法规另有规定。
中国数据跨境流动规制现状表明中国现已能针对不同的公共政策目标采取日趋精细化的分类规制立场。首先,对与保障网络安全和国家安全有密切联系的CII运营者采取数据本地存储措施有助于实现安全目标。并且,鉴于大数据的发展日益模糊了国家秘密信息和非国家秘密信息的界限,获取非CII运营者掌握的重要数据或大规模个人信息的海外不法势力若利用大数据技术处理这些数据可能获得国家秘密信息并威胁国家安全,将安全评估或安全审查作为此类运营者数据流出的条件因而有助于实现安全目标。其次,将数据本地存储作为个人金融信息等特殊个人信息出境的原则、将认证或合同等制度作为一般情形下的个人信息跨境流动的条件反映出中国努力兼顾保护个人信息隐私和合理利用个人信息的立场。总之,中国数据跨境流动分类规制模式反映出其既不“一刀切”地追求美式数据自由跨境流动方案也不盲目追求欧式高标准个人数据保护方案的均衡规制立场。
(二)相关国际规则对中国数据跨境流动规制现状构成的挑战
目前,中国已与二十多个国家或地区签署了多部自贸协定,其中与毛里求斯、韩国、澳大利亚等国签署的四部自贸协定中含有电子商务章节,但仅RCEP包含了明确的数据跨境流动规则。就RCEP以及中国申请加入的CPTPP和DEPA而言,中国现有的数据跨境流动规制可能涉嫌违反上述协定数据跨境流动规则中的原则性规定,除非中国未对相关服务部门作出承诺,或者在作出承诺的情况下符合援引例外条款的条件。
笔者认为目前中国最容易涉嫌违反数据跨境流动规则的措施是对CII运营者在境内运营中产生的个人信息以及对处理个人信息达到规定数量的个人信息处理者采取的数据本地存储措施(下称“争议数据本地化措施”)。一方面,这是因为“关键信息基础设施”的内涵与外延具有较大不确定性,这可能导致争议数据本地化措施的涵盖对象过广、造成的贸易限制范围较大。并且,有大量评论认为数据本地化措施不仅不能有效解决安全问题,反而可能引发新的安全问题,暗示数据本地化措施难以对实现安全目标作出贡献。另一方面,鉴于中国的数据跨境流动规制涉及的服务部门较广,且根据美国博彩案确立的“技术中立原则”,中国对大部分服务部门的跨境提供模式作出了市场准入或国民待遇承诺也意味着其对以电子方式提供该服务也作出了相应承诺,因此中国的争议数据本地化措施很容易被认为违反了相关承诺。此时,中国可以援引基本安全例外、一般例外或正当公共政策目标例外来证明争议数据本地化措施的合法性。鉴于本文第二部分已经分析了基本安全例外和一般例外在保障一国数据跨境流动规制自主权上的不足,而第三部分的分析表明尚不明确CPTPP和DEPA正当公共政策目标例外中的“不得超过要求的限度”测试是否等同于必要性测试,此处将以RCEP等明确包含必要性测试的经贸协定为例,考察中国的争议数据本地化措施通过必要性测试、成功援引正当公共政策目标例外的可能性,进而为中国在未来援引RCEP、CPTPP、DEPA或WTO电商诸边协定中的正当公共政策目标例外证明争议数据本地化措施的合法性提供参考。
根据WTO争端解决机构在过去几十年发展的WTO必要性测试法理,除非争议措施不具有贸易限制性,或者争议措施对于实现被诉方追求的目标完全没有贡献或仅有微不足道的贡献,否则专家组将初步认定争议措施具有临时必要性,并将在起诉方提出可能合理可用的替代措施时继续审查该替代措施是否合理可用。中国抗辩争议数据本地化措施不具有贸易限制性并非易事,但要抗辩措施对于实现相关目标能作出一定贡献却较容易,此时抗辩重点就在于证明起诉方提出的替代措施并非合理可用的能够同等实现目标且贸易限制性更低的措施。或许有观点认为“基于风险路径(riskbased approach)”或网络安全相关标准或最佳实践可作为替代争议数据本地化措施的更优选择。但笔者认为这两类替代措施在现阶段均难以被认为是合理可用的。其中一个重要原因是,即便认为上述替代措施能同等实现采用争议数据本地化措施所追求的安全目标,也很难认为其能同等实现采用该措施同时追求的其他目标,例如确保执法获取数据目标。事实上,上述替代措施在现阶段最多被认为是争议数据本地化措施在实现安全目标方面的补充性措施。根据巴西轮胎案的法理,补充性措施并不是可替代争议措施的合理可用措施。当然,若各国在未来建立了有效的执法获取数据等数据跨境流动规制合作机制,使得一国不需要采取数据本地化措施也可实现执法获取数据等其他目标时,不排除上述替代措施可能被认定为争议数据本地化措施的合理可用替代措施。此时,数据跨境流动规则及其正当公共政策目标例外就会对中国维持争议数据本地化措施或采取新的跨境数据限制性措施构成现实挑战。
(三)对中国因应正当公共政策目标例外的建议
尽管本文的分析表明中国的争议数据本地化措施在现阶段对于实现中国追求的安全和执法获取数据等多重目标可能是必要的,但措施的必要性会随着实践发展(例如相关标准和最佳实践)动态变化,因此中国仍不可掉以轻心。对此,本文就中国因应正当公共政策目标例外提出两条针对性建议。
第一,发展对数据跨境流动限制性措施进行必要性评估的制度,预先明确相关措施的必要性。目前,美国和欧盟在隐私和个人信息保护领域已分别建立了评价规制措施必要性的隐私影响评估(privacy impact assessment, PIA)制度和数据保护影响评估(data protection impact assessment, DPIA)制度,CPTPP等经贸协定也要求缔约方鼓励监管机构对规制措施进行必要性评估。对此,中国可效仿国际实践,明确监管机关启动必要性评估的条件、规定必要性评估的基本内容和透明度等要求,并可发布必要性评估指南供监管机关和市场主体参考,且可允许利益攸关方和公众参与必要性评估并发表意见,提升必要性评估的科学性与正当性。总之,发展对规制措施的必要性评估制度不仅有助于中国与国际主流实践接轨,也有助于提升本国规制能力并塑造更好的营商环境。
第二,积极发展并输出关于网络安全和保护个人隐私标准与最佳实践的中国方案,避免在援引正当公共政策目标等例外证明相关措施的必要性时陷入被动局面。目前,USMCA等美式经贸协定已经开始在数字贸易章节的“网络安全”条款中要求缔约方努力采取一致同意的标准和风险管理最佳实践,中国在WTO电商谈判的网络安全议题中也提议成员交换最佳实践。可以预见,随着网络安全和保护个人隐私等相关标准和最佳实践的日益成熟,其将对判断缔约方数据跨境流动限制性措施的必要性产生重大影响。尽管中国已签署了《电子通信公约》和《亚洲及太平洋跨境无纸贸易便利化框架协定》,在电子签名及其互认、无纸化贸易的规则和标准领域走在了国际前列,但在数据跨境流动领域的标准和最佳实践引领方面仍存在不足。鉴于具有国际影响力的标准往往发端于国内,随后才通过国际组织或机构等平台逐渐推广到全球市场,中国可在实施2017年修订版《标准化法》以及落实“十四五规划和2035年远景目标纲要”和2021年10月发布的《国家标准化发展纲要》等政策过程中积极发展关于网络安全和个人隐私的国内标准与最佳实践,探索如何更好地转化应用国际标准和促进国内外标准的协调。
五、结语
各国在政治制度、经济发展水平、规制理念、历史文化等方面的差异注定了各国数据跨境流动规制实践必然存在不同程度的差异。以WTO协定为代表的大部分经贸协定并不追求积极的经济一体化,而是体现了尊重各国公共政策规制权的消极一体化特征。正当公共政策目标例外的设置即为促进数据自由跨境流动和尊重国家规制权找到了一条平衡之道。但正当公共政策目标例外中规定的要件也表明缔约方想要成功援引该例外作为数据跨境流动限制性措施的合法性依据通常并非易事,该例外为缔约方的数据跨境流动制度建设和规制能力建设等方面均提出了挑战。因此,中国在建构数据跨境流动制度时应预先明确援引正当公共政策目标例外的条件,提前在国内发展评估规制措施必要性的制度,并通过国内外平台积极主动地发展和输出关于网络安全和保护个人隐私相关标准与最佳实践的中国方案,避免未来在援引正当公共政策目标例外证明数据跨境流动限制性措施的必要性和合法性时陷入被动局面。