數據本地化的規制模式研究及啟示

范 嬰

(河南財經政法大學法學院,河南 鄭州,450046)

一、數據本地化對貿易的影響

數字經濟時代,數據是國際貿易的命脈,國際上關于數據規則對貿易限制性影響的論證也在不斷加強。正如瑞典國家貿易委員會在《跨境數據傳輸對瑞典公司的重要性》的報告中所說,今天如果沒有數據從一個地方轉移到另一個地方,貿易就不可能發生[1]。數據本質上是一種由算法生成的虛擬物體,其滿足具有經濟價值、可以轉移、具有交換和使用價值的性質,應賦予其財產權屬性[2]。數據的這種財產權屬性要求釋放數據的內化動力,即通過數據提供服務、提高效率或做出管理決策等獲得價值,因此,任何限制數據流動的措施都會被企業視為是限制貿易的行為,這一點不足為奇。在過去二十年里,互聯網服務貿易穩步增長,目前占全球服務貿易總額的20%以上[3]。

雖然對數據流動的限制會產生對貿易抑制的效應,然而相關的實證研究卻并不多,尤其是針對數據本地化的實證研究更為少見。鑒于此,本文以國內市場為依托,借助本地數字服務公司和外國數字服務公司兩個載體,分別探討數據本地化措施對國際貿易的直接和間接影響。

(一)本地數字服務公司

研究者普遍認為,數據本地化可以通過保護本地現有企業免受競爭而支持本地信息技術產業的發展,這一邏輯遵循一些政府提出的“幼稚產業論”,作為限制跨境數據傳輸的理由,這種情形下,數據本地化措施可以解釋為一種“數字產業政策”。即使像美國這樣的超級大國也訴諸于此。美國曾向日本政府和汽車制造商施壓,要求他們對進入美國的汽車實行“自愿出口限制”,以維護底特律汽車制造商的利益。

事實上,這一說法并沒有證據支持。相反,調查發現,數據本地化對生產力和國內生產總值(GDP)有負面的影響。雖然嚴格的數據本地化措施會促使實施這項政策的國家建立數據中心,但實踐中數據中心的建設并不會創造大量的就業機會。數據中心一般都需要進口昂貴的高科技設備,短期內可提供建筑工程類的工作,同時配備相對較少的全職工作人員,隨著數據中心自動化程度的提高,與之相關的工作崗位數量只會急劇減少。2008年的一份報告顯示,雅虎、Ask.com、Intuit和微軟共為其數據中心雇用了180名員工,其中雅虎、Intuit和微軟有50名員工,Ask.com只有30名員工[4]。2011年,據媒體報道,蘋果公司為幫助其云計算產品提供動力而建造的價值10億美元的大型數據中心只創造了50個全職工作崗位[5]。

因此,數據中心的建立并不會為當地創造太多新的就業機會。但對某些提供數據處理服務的本地公司而言可能會從這些措施中受益,因為他們可以利用更大的數據池來處理數據。然而,本地處理數據的較高成本以及由此導致的整體經濟生產率損失直接超過了一小部分參與者帶來的利益[6]。當數據傳輸受到限制時,本地公司在全球范圍內不能自由地選擇最便捷的數據處理提供商,并且在傳輸日?；顒铀璧娜缛肆Y源管理等相關數據時,不得不支付更昂貴甚至重復的服務費用。對于所有無法使用某些創新服務的企業和消費者而言,數據處理的高成本成了普遍現象,同時,這些額外的成本對實施這些措施的國家的宏觀經濟產生了涓滴效應。

利維坦安全集團(Leviathan Security Group)的一項研究發現,對于許多正在考慮或已經實施強制數據本地化的國家而言,與使用境外數據中心相比,當地企業需要為其計算需求額外支付30%至60%的費用[7]。該集團使用的方法是將當地供應商提供的價格與全球提供的最便宜的安全替代方案進行比較。此外,許多考慮實施數據本地化的國家并沒有公開的云計算服務商,這就意味著當地企業將被迫使用非公開的云計算資源,并承擔由此帶來的資本投資。因此,即使某些提供數據處理服務的本地公司會因其提供服務而受益,但由于絕大多數本地公司的數據處理成本居高不下,整體經濟生產率仍會下降。

還有一些研究是著眼于數據政策對GDP的影響。一些學者通過全球貿易分析模型(GTAP模型)一般均衡理論中全要素生產率的計量經濟學結果,來評估對宏觀經濟產生的廣泛影響。該項研究衡量了數據政策對出口、GDP以及因價格上漲和國內需求替代而導致的消費損失的影響。研究發現,在研究分析的七個國家或組織中,擬議或頒布的數據限制措施對GDP的影響都是巨大的:巴西(-0.2%)、中國(-1.1%)、歐盟(-0.4%)、印度(-0.1%)、印度尼西亞(-0.5%)、韓國(-0.4%)和越南(-1.7%)。如果這些國家或組織也同時引入數據本地化措施,GDP的損失會更大:巴西(-0.8%)、歐盟(-1.1%)、印度(-0.8%),印度尼西亞(-0.7%)和韓國(-1.1%)[8]。然而,僅就這項研究而言,我們無法分辨這種影響是歸咎于數據政策的跨境部分還是國內部分。在這項研究的基礎上,Bauer等還發現,數據本地化對特定部門的影響因特定行業對數據輸入的依賴程度而異。結果發現,數據本地化措施對通信服務、金融服務和其他數據密集型企業的負面影響更大,而數據密集度較低的部門,如農業、食品和紡織業的絕對值和相對值都在增長。因此,Bauer等得出結論,如果對數據自由流動限制更加嚴格,將導致經濟體的生產結構向農業、紡織業和自然資源等初級部門轉移[6]。而對于上述受影響較大的數據密集型企業,尤其是通信和商業服務部門,如果本身國內的供應商相對于外國供應商處于競爭的相對劣勢,將直接導致出口的下降。

通過上述分析可以看出,數據本地化本身不會在當地創造更多就業機會,也不會在數據密集型部分發展當地產業,相反,會降低當地公司的生產力水平。這并不意味著當地政府應該取消國內對數據使用的任何限制,某些情況下,這些措施對于隱私和安全等重要政策目標仍是必要的,只是設計和實施這些措施時,需要適當考慮這些措施對當地公司成本的影響。

(二)外國數字服務公司

Freund和Weinhold早期的研究指出,互聯網普及率增加10%,其效果就進口而言,可使服務貿易增長1.1個百分點;就出口而言,可增長1.7個百分點[9]。由于對數據的限制完全可以構成對互聯網使用的限制,這個結論與數據流動對服務貿易的影響密切相關。

隨著數據本地化向更多國家和數據類型蔓延,對開放的、基于規則的、創新的全球數字經濟的潛力構成了越來越大的威脅[10]。這種強制的本地化措施給企業帶來了巨大的負擔,尤其是對中小企業來說,他們為獲得本地計算設施和數據存儲基礎設施增加的成本高達30%～60%[11]。因此,值得注意的是,制定和推動有關數據保護的多邊和區域倡議還應考慮到合規負擔以及對貿易、創新和競爭的潛在負面影響,尤其是對中小企業而言。

許多數字服務都是數據密集型服務,由于它們在生產過程中會使用大量的電子數據,這些數據在服務被消費之前會進行多次跨境,這直接促進了互聯網上的服務貿易。數據的跨境自由流動使服務生產商能夠在數據價值得到最佳利用的地方獲取和發送數據,從而增強其在數字服務領域的比較優勢。然而,各國出臺的限制數據跨境流動的措施客觀上威脅到了互聯網的全球性質,這勢必會增加在線服務交易的成本。

當東道國采取數據本地化措施,外國企業將被迫根據用戶的位置以及數據的類型對他們的用戶數據進行隔離,禁止在附屬公司或公司之間自由地來回傳送數據,這必將增加企業有效獲取和處理數據的成本以及企業運營的復雜性,最終降低生產力。同時,采購額外基礎設施也是一筆巨大的成本投入,這反過來會提高價格,最終也會導致生產力的下降。

雖然很難評估本地化要求在多大程度上會阻止新企業的準入或阻礙現有企業的發展,但可以預見一些趨勢。首先,盡管本地化構成了最強大的阻力,但與小型企業相比全球大型企業將更有能力吸收本地化的額外成本。至少在短期內,這將有助于加強他們在各個領域的主導地位。其次,本地化將為某些類型的服務供應商制造準入壁壘,對他們而言,當東道國的市場規模不足以證明本地化成本的合理性時,他們會選擇退出市場,從而間接地影響消費者獲得相關服務的機會。

綜上所述,現有證據尤其是針對數據本地化這種類型的數據政策對貿易的影響并不多。已有研究結果只能證明數據本地化將會極大地減少服務的進口,同時通過影響本地公司和行業的生產力而造成貿易扭曲,畢竟任何限制數據流動的措施都會減少服務的進口。鑒于數據政策與貿易的相關性,一個國家向世界貿易組織(WTO)提出對某些數據限制的訴求也并非不可能,盡管有些國家已將數據本地化定性為數字貿易壁壘,但在世貿組織范圍內關于數據限制能夠被視為貿易壁壘的討論仍處于初級階段[12]?，F階段數據本地化研究迫切需要進行進一步的實證分析,不僅僅是評估數據本地化的成本,更重要的是要分析數據本地化是否會成為對貿易產生限制性影響的主因,并且將調查傾向于這種限制性數據政策是否以及如何影響發展中國家及其長期增長的潛力。

二、數據本地化的規制路徑爭議

(一)以貿易規制為主

1.貿易規制之必要性及局限

隨著數字化對貿易和跨境商業活動的支持大幅擴張,尤其是服務業,其中大約一半的跨境貿易是通過數字連接實現的[13]。特別是數字貿易使發展中國家以及微型、小型和中型企業能夠通過更高的知名度、更容易的市場準入和更低的分銷成本進行出口。此外,商品的數字化正在改變流量的組合,改變全球物流,使新的和較小的參與者能夠參與貿易。如果政策制定者能夠制定共同的規則來鼓勵數據的自由流動,將促進法律制度之間的互操作性,未來更多的人將有更多的機會獲得數據,更多的數據將被創造和交換[14]。不管是在貿易協定中還是在其他文件中,如果缺乏這樣的規則,企業和個人在網上交換數據時都會感到不安全。

貿易協定兼具約束力和可執行性,這使得它們成為規范跨境信息流動的一個有吸引力的場所[15]。當某一國不履行其義務時,另一國家可以在貿易爭端中挑戰其行為。根據世界貿易組織(WTO)《服務貿易總協定》的規定,成員國允許各國為保護公共衛生、公共道德、隱私或知識產權而限制貿易,前提是這種限制是必要的,并且在WTO成員方之間沒有歧視。盡管《服務貿易總協定》的語言早于互聯網,而且對數據流動沒有任何明確規定,但世貿組織爭端解決機構已經開始將這些義務適用于跨境數據流,一個是安提瓜訴美國賭博服務案,另一個是中美出版物市場準入案。

同時,數據規制具有多維性[16],貿易問題只是其中一個方面,如果僅僅從貿易視角去規制數據本地化,容易忽視乃至壓制其他利益攸關方的正當訴求。在國際貿易協定中就數據規制施加全面的限制還將影響到締約國政府對數字經濟關鍵領域進行管控的能力[17]。一旦將數據本地化的規制全面納入國際貿易協定中,則意味著只要存在相關的國際條約義務,相關締約國對數據治理事項勢必會被鎖定在一個傾向于自由貿易、輕數據規制的環境中。隨著數字經濟的發展,數字章節在貿易協定中所占的篇幅將會越來越大,其影響很有可能會超出設計者的初衷。

2.貿易規制之典型代表——美國

根據美國前貿易代表邁克爾·弗羅曼的說法,數據的流動與貨物的流動同樣重要,貿易政策制定者必須找到促進流動的方法[18]。美國作為技術的世界領導者,力爭要將數據流動納入貿易協定。1997年,時任美國總統克林頓就宣布了“全球電子商務框架”。根據該框架,美國政府支持盡可能廣泛的數據自由流動,政府將與主要貿易伙伴開展非正式對話,以確保國家監管的差異不會成為變相的貿易障礙[19]。在隨后的幾年里,美國分別與荷蘭、日本、法國、愛爾蘭和韓國簽署了雙邊協議,以消除電子商務的障礙。盡管克林頓的電子商務框架在保護隱私和限制數字保護主義方面存在缺陷,但它為隨后的兩屆美國政府指引了方向。布什和奧巴馬遵守其主要原則:政府發揮有限的作用,注重商業自律,強調數據的自由流動,并將所有阻礙自由流動的壁壘貼上“數字保護主義”標簽。

隨著各國數字化能力的提升以及數字產品和服務的需求者越來越轉向印度尼西亞、中國等人口眾多的發展中國家和中等收入國家,這些國家的用戶絕對數量雖高,但滲透率仍然較低。美國的互聯網公司在這些國家市場上運營時,發現管理其商業行為的規范與他們所運營的司法管轄區的規范之間存在矛盾。此時,美國的利益相關者并不僅僅滿足于確保他們自己的政府不出臺數據本地化措施,利益相關者已經積極鼓勵美國政府將數據本地化作為一個貿易問題,因為貿易協定可以幫助政府澄清如何監管跨境數據流以及傳輸、處理或存儲商業數據的公司應如何行事。

為了阻止數據本地化的趨勢,美國公司和貿易協會發起了一場多管齊下的運動,包括通過進行密集的游說活動,以重新獲得外國政府和客戶的信任,改革被視為對政府收集數據采取過度放任的《愛國者法》。在美國國內,蘋果、臉書和其他公司成功地起訴了美國政府,以獲得法律授權,向公眾提供更多美國政府從他們那里收集信息的具體細節[20]。與此同時,美國國內大型云服務提供商也積極地在海外建立新的數據中心,以應對即將到來的監管。據悉,IBM花費了12億美元在海外建造了15個新的數據中心[21]。

美國是第一個在其貿易協定中納入與跨境信息流動有關條款的國家,也是第一個利用貿易政策來管理跨境信息流動的國家,但它利用貿易協定來管理跨境數據流動更多依靠的是經濟論據。支持者們認為,通過減少數字貿易壁壘,會降低個人、企業和政府傳輸和儲存數據的成本,同時更多的人將有機會獲得更多數據,這反過來可以促進互聯網的互操作性、經濟增長及就業。2015年5月1日,美國副貿易代表羅伯特·霍萊曼大使發表演講時強調,美國的貿易伙伴應避免歧視外國供應商的數字產品、強制本地化或迫使公司在其服務的每個市場建立數據中心[22]。因此,美國政府希望借助貿易協定減少數字保護主義的機會。

多年來,美國一直努力利用貿易協定來解決跨境數據流動問題,但另一些國家基于他們對隱私、監控和國內互聯網監管的擔憂,不愿意使用貿易協議來解決此類問題?；谑袌鰷嗜胂陆?、數據本地化和強制技術轉讓等原因,新興經濟體對美國企業主導的數字世界和美國經濟作為全球數字領導者的地位構成了真正的威脅。因此,美國政策制定者和企業一直不遺余力地推動制定新的可執行的數字貿易和電子商務國際規則。然而,將這些問題納入WTO多邊貿易談判框架的進展卻甚微。

2015年10月,經過七年的談判,美國及其11個談判伙伴在跨太平洋伙伴關系(TPP)中就有約束力的語言找到了共同點,并且還試圖在跨大西洋貿易和投資伙伴關系(TTIP)以及世界貿易組織下的服務貿易協議(TiSA)中加入類似的語言。

特朗普上臺后很快宣布退出TPP,至此美國不再是TPP的締約方,但作為拉線者,《美國—墨西哥—加拿大協定》(USMCA)的數字貿易章節在很大程度上等同于《全國與進步跨太平洋伙伴關系協定》(CPTPP)的翻版。USMCA是美國第一個包括隱私、跨境數據流和安全方面規則和紀律的貿易協定,是處理數字貿易規則最新和最全面的貿易協定之一,它擴展了CPTPP中的數字貿易承諾并且廣泛適用于一方采取或維持的影響電子貿易的措施,但不適用于政府采購。受CPTPP的影響,USMCA中一個重要的數字貿易承諾是對數據本地化的限制,該項限制對加拿大來說并非是全新的,因為在CPTPP中也有類似的規定,而該協定又是TPP的繼承者。具體而言,USMCA第19.12條所載的條款規定,任何締約方不得要求涵蓋的人在該締約方的領土上使用或設置計算設施作為在該領土上開展業務的條件。由此,USMCA在CPTPP的基礎上將數據本地化發展成為一項措施強硬的禁止性聲明,這意味著各國政府已經同意采取比以前更嚴格的方法。

盡管USMCA數字經濟章節宣稱所有人都將受益,但大型數字服務商顯然是最大的受益者,由此可見,其立法導向仍然是貿易至上的立法模式,極力地推動跨境數據自由流動的同時,為締約方合法的公共政策目標提供彈性條款,以達到平衡的目的。這將不可避免地為今后數字貿易爭端埋下伏筆。

(二)以數據規制為主

1.數據規制之必要性及局限

20世紀80年代末,世界各地的政策制定者認識到他們需要限制數據的流動,但他們并未就如何、何時以及在何處限制數據流動達成一致。這些國家的經濟官員們一方面清楚地意識到一套促進數據流動的規則將符合他們的經濟利益;另一方面,他們也擔心這種規則可能會降低他們控制信息的能力以及他們對提供數字服務的美國公司的依賴性(這些服務必須遵守美國關于隱私和國家安全的規則),并使其相對于國內企業產生更大的市場力量。這不僅有助于美國繼續主導互聯網經濟,而且還會以有利于美國利益的方式主導互聯網管理機構。因此,世界各地的政策制定者雖然希望鼓勵數據的自由流動,但許多國家并未對美國促進數據自由流動的努力作出積極回應。以往的多邊貿易協定大都反映了美國的法律規范以及美國的優先事項,其他市場的參與者理所當然地會認為這些優先事項和語言仍將偏向于美國的需要,自然不希望用貿易政策延續或進一步鞏固美國在數字領域的主導地位。還有一部分國家之所以對跨境數流動采取回避立場,是因為相關國家在國內基礎設施和制度建設上還不完善[23]。

因此,當一些國家通過國際貿易體制中的貿易自由化規范來證成跨境數據流動自由時,另有一些國家通過國際人權體制中的個人隱私保護規范來說明限制數據處理方式的合理性,還有一些國家通過類比國際法中的領土概念,將網絡空間視為除海、陸、空和太空之外的第五空間,從維護網絡安全的角度設置數據本地化要求等[24]。

然而,通常情況下,追求公共政策目標或防止市場失靈可能會導致過度的限制性措施,擾亂數字貿易市場,從而失去促進經濟增長的商業機會。因此,有利于數字貿易的監管框架不僅必須為數字市場提供健全的監管支柱,還必須確保對數字貿易的限制在有效實現預期政策目標的同時,不會對數字服務企業造成額外的負擔。

2.數據規制之典型代表——歐盟

數據限制性措施背后的主要政策依據是保護個人隱私,這方面的典型是歐盟的《通用數據保護條例》(GDPR),它對數據控制者和處理者在處理和轉移歐盟居民的個人數據過程中施加了各種條件。為了遵守這一規定,一些外國服務機構供應商不得不搬遷或在歐盟建立新的數據中心[25]。GDPR核心在于要求數據接收國具有同等的數據保護水平或可以提供充分的保障措施,而非直接要求數據本地化[26]。事實上,GDPR沒有規定國內存儲要求或國內設施安裝要求,只要數據控制者將數據轉移到有充分保護的國家,或遵守保障措施,如標準合同條款或有約束力的公司條款,它就可以將數據發送到歐盟以外的國家或地區。因此,我們可以把它歸類為廣義上的數據本地化措施。只有在控制者和處理者遵守本章規定條件情況下,個人數據才允許被轉移到歐盟之外。根據這一規定,條例的范圍僅限于個人數據的轉移,沒有其他國家關于重要數據、關鍵數據等相應的概念。GDPR第5章的標題是向第三國或國際組織轉移個人數據,由第44至50條組成,由此,根據GDPR的規定,歐盟的個人數據可以離開歐盟,并且用七個條款來對此進行說明。關于個人數據的跨境轉移,GDPR第44條規定了轉移的一般性原則,對于正在處理或計劃進行處理的個人數據,將其轉移到第三國或國際組織,包括將個人數據從第三國或國際組織轉移到另一第三國或另一國際組織,控制者和處理者只有滿足本條例的其他條款以及滿足本章規定的條件才能進行轉移。該章的所有條款都應當被遵守,以確保本條例對自然人的保護水平不被削弱。

第44條概述的轉移原則可以總結為:如果要將歐盟的個人數據轉移到歐盟之外,要確保這些數據仍然享有GDPR下的相同保護水平。換言之,如果要把數據轉移給歐盟以外的實體或公司,必須有法律約束力的義務來遵循GDPR數據保護原則或同等原則。這種法律約束力的義務可以通過多種方式實現,例如,數據傳遞給的實體恰好位于一個擁有與GDPR同樣強大的數據保護法的國家(由歐盟委員會確定);接收數據轉移的實體通過具有法律約束力的合同同意遵循GDPR的數據保護原則;該公司已經頒布了具有約束力的公司規則。這與直接禁止域外數據轉移有本質的不同。

首先,如果歐盟委員會對有關第三國作出充分性決定,將允許向第三國轉移個人數據。充分性決定是對有關第三國是否確保對個人數據充分保護的調查結果,如果第三國的保護水平相當于歐盟GDPR所保障的水平,委員會將認為第三國提供了充分的保護水平。在評估適當的保護水平時,歐盟委員會應考慮到相關國家的各種因素,包括其當前的法律制度和個人數據保護執法以及第三國參與的條約等國際安排。

歐盟的充分認定和適當保障制度源于對隱私權的保護。在歐洲的法律體系里,隱私是人格尊嚴的一部分,包含個人形象、姓名和名譽等,而個人數據中包含著大量的隱私內容,故歐盟十分重視保障個人數據的安全[27]。然而,截至2021年3月,只有14個國家獲得了這種充分性認定[28],包括加拿大。

其次,對于未被認定為確保充分保護水平的第三國,可以允許按照具有約束力的公司規則(BCR)在公司集團內跨境轉移個人數據。GDPR第4條對BCR的定義是指在一個成員國領土上建立的控制者或處理者所遵守的個人數據保護政策,用于在一個企業集團或從事聯合經濟活動的企業集團內向一個或多個第三國的控制者或處理者轉移一組個人數據。

最后,當歐盟內的數據提供者和歐盟外的數據接受者簽訂包含標準合同條款的合同時,個人數據的跨境轉移也被允許。GDPR第46條第5款規定,歐盟委員會根據作為GDPR前身的95號數據保護指令下的標準合同條款(SCC)仍然有效,因此,允許根據SCC進行個人數據的跨境轉移。

隨后,歐盟法院(CJEU)發布了SchremsⅡ決定,通過要求歐盟的個人數據在歐盟之外保持基本等同的保護,這極大地限制了企業出口個人數據的能力。在企業出口數據之前,它必須對外國的法律進行充分性評估,并確定是否可以采取足夠的保障措施,以保持基本等同的保護。

事實上,針對外國的法律進行這種評估并不容易,這基本上是一個小型的充分性決定。即使大型企業有資源和能力來進行這次評估,但對大多數其他企業而言并不現實。因此,這些企業可能會選擇將歐盟的個人數據保留在歐盟境內,以避免執行評估,也即軟性數據本地化。由此可見,歐盟的做法鼓勵了各國以此作為切入點限制跨境數據的傳輸,使之更接近全面的數據本地化。

在歐盟境內,GDPR提供了一個值得信賴和安全的框架,問題在于將歐盟標準應用于歐盟以外的轉移這種過高的保護標準,已然造成了不利己身的貿易影響,無法滿足企業日益增長的跨國傳輸和存儲數據的需求,并最終使歐盟的企業處于競爭的劣勢。

總體而言,歐盟對將數據條款納入自由貿易協定中持謹慎態度。直到最近,歐盟才朝著這樣的規則邁出了一步,即各方同意考慮與跨境數據流動有關的承諾。類似的條款出現在2018年《歐盟—日本經濟伙伴關系協定》和《歐盟—墨西哥雙邊貿易協定》中。在這兩項協議中,雙方同意在條約生效后的三年內重新評估是否需要將數據自由流動的條款納入條約。這標志著歐盟的數據政策發生了輕微但重要的轉變,這之后歐盟與澳大利亞、新西蘭和突尼斯的談判協議也完全認可了這一點,協議草案中包括關于跨境數據自由流動的條款以及數據本地化禁令。然而,這種重新定位和升級承諾也與高水平的數據保護有關,即只有在符合GDPR嚴格和高標準數據保護的情況下,歐盟才愿意允許數據流動。這說明歐盟始終堅持以數據保護為主導的跨境數據流動規制體系,強調實現區域領域內數據自由化流動與數據本地化,其根本目標是保護區域內產業及市場,提升對數字貿易的控制力[29]。

目前無論是在其談判的貿易協議中,還是在其對世貿組織電子商務規則的建議中,歐盟都遵循這樣一種特定的模式,將認可和保護隱私作為一項基本權利。一方面,歐盟及其合作伙伴希望強制執行數據本地化禁令,并接受自由的數據流動;另一方面,這些承諾是有條件的,它們受到數據保護專門條款的影響,該條款明確指出,每個締約方都應認識到,保護個人數據和隱私是一項基本權利,這方面的高標準有助于數字經濟信任體系的構建和貿易的發展。因此,歐盟在跨境數據流動治理方面相對折中,重視數據流動治理中的規制保護與自由流動之間的動態張力平衡[30]。

此外,歐盟還尋求保留權利,以了解貿易協定中數據規則的實施如何影響隱私保護的條件,因此,如果各方愿意審查限制清單,則有可能在協定生效后三年內進行審查。此外,還有一個廣泛的例外情況,即各方重申有權在其境內進行監管,以實現合法的公共政策目標,如保護公共衛生、社會服務、公共教育、安全、環境(包括氣候變化)、公共道德、社會或消費者保護、隱私和數據保護,或促進和保護文化多樣性。

因此,歐盟為其當前和未來的數據保護措施保留了大量的監管余地,換言之,任何可能影響到歐盟及其27個成員國重要目標和利益的措施都在保留之列。由于它具有主觀性并在最大程度上保障歐盟的監管權,這一例外也與CPTPP和USMCA下的客觀必要性測試以及WTO法律下的客觀必要性測試有本質區別。

(三)規制路徑之檢驗標準

數據本地化措施本屬于政府規制跨境數據流動的手段之一,旨在實現特定的政策目標。其最初的設計往往是數字經濟處于相對弱勢的國家以某種防御的姿態來守住本國對數據的掌控權。然而,在數據本地化鈍化地解決問題的過程中,自身也正在成為需要解決的問題,由此引發了對數據本地化的規制問題以及規制的爭議。上文分別討論了在兩種不同的規制路徑下,各自面臨的規制困境及可能產生的影響,在此基礎上,引入必要性、合目的性及合比例性這一體系性的檢驗標準可將論證的問題具象化。

所謂規制的必要性,主要討論的是作為“問題手段”的數據本地化不加以規制可能產生的后果。囿于本文討論的領域,這里所涉及的后果主要是針對貿易的負外部性,包括對進口商和出口商的影響以及對一國進口和出口的影響都是屬于貿易負外部性的范圍,本章第一節的內容即是對規制必要性的論證。國內也有學者認為,這里的必要性主要討論的是在類似的情況下,是否有同樣可以達成目標的其他可行措施作為替代。由于目前替代性措施的研究都是針對數據本地化在某一領域的可替代性,并不能替代解決其他政策目標的實現,這種分散式的解決方案欠缺一定的凝合度。

所謂規制的合目的性,主要討論的是數據本地化是否有助于規制目標的實現。各國引入數據本地化除了表面上所追求數據安全、隱私保護、執法便利等政策目標之外,其真正的動機往往并不完全透明[31]。也有學者認為,數據本地化措施是整體國家安全觀的必然要求[32]。這一論斷在中國的法律環境下爭議較少,但在國際層面上能否獲得普適性還有待于進一步的檢驗。顯然,評估數據本地化的合目的性并不容易,注重效果的客觀標準相對來說更容易操作,而考慮主觀意圖的主觀標準無疑會增加其復雜性。

所謂規制的合比例性是指數據本地化對數據流動的限制應與其所帶來的風險相稱或者不超過為實現特定目標之必需,也即能通過相稱性評估。相稱性評估有助于在評估數據本地化措施聲明理由的同時,鼓勵各國以對其他國家和國際社會影響最小的方式構建其數據治理措施,包括數據本地化措施。對于相稱性評估的標準我們可以從世貿組織判例、學術文獻和各種貿易協定等來源獲得,綜合考慮以下幾個方面:首先,擬頒布的措施是否有助于目標的實現;其次,是否有其他限制性較小的措施;最后,有關措施與它將造成的侵擾是否有合理的關系。至于第一個問題,目前似乎需要更多的證據,才有機會證明數據本地化措施在某些方面是否實現了所追求的目標這樣的結論。因此,現階段至少可以推斷出有一些數據本地化措施是無法通過相稱性評估的。

綜上所述,數據本地化雖為多數國家所采納,但是在具體的規則設計方面還存在諸多爭議,圍繞其規制路徑的爭議,引入尤為重要的合比例性檢驗標準有助于我們在對其進行評估時既考慮其國內影響,也考慮到其直接和間接的國際影響。畢竟在一個相互關聯的世界里,如果采取具體的國內措施而不考慮該措施的國際影響,將會造成不必要的國際摩擦。

三、對中國的啟示

數據流是數字貿易的血液。數據本地化是一種暫時性的不正?，F象,它發生在互聯網服務提供商未能履行對客戶所在社區的社會責任,而各國之間剛開始合作未能有效解決跨境問題之時。各種規制路徑往往反映了不同國家不同的法律、政治、經濟、社會和文化背景,因此很難說哪一種路徑是最好的方式。如前所述,美國和歐盟在價值理念和規制模式上存在根本性差異[33]。然而,比對不同路徑進行評判更重要的是,理解不同規制路徑的內在邏輯和機制。在政府未能就如何、為何以及何時限制數據流動達成共識之前,我們應認識到雙邊和多邊貿易協定并不是解決或推動數據流動的唯一或最佳場所,尤其是與國家安全和個人隱私等相交叉的問題。首先,貿易統計通常低估或不涉及跨境數據流。如果有相當數量的數據沒有被交易,政策制定者將需要厘清貿易協定是否應該監管所有的數據,還是只監管與商業交易有關的數據。其次,由于貿易協定對國家行為的管制,參與數據流動的個人和企業沒有辦法在雙邊或多邊自由貿易協定中直接代表他們的利益。最后,貿易政策制定過程與互聯網治理過程極為不同。貿易協定是由政府秘密談判進行的,通常談判進展非常緩慢,且公眾并不直接參與。

當我們討論數字貿易規則時,多數人都會傾向于關注兩個主要參與者:呼吁數據自由流動以服務于企業利益的美國和優先考慮保護消費者個人信息和隱私的歐盟。對中國來說,互聯網或數據監管目前已被提升為國家安全問題。習近平總書記強調:“沒有網絡安全就沒有國家安全?！迸c安全的高度聯系不僅解釋了中國國內的監管框架,也說明了中國將如何在國際層面上處理這一問題。隨著2016年《網絡安全法》的通過,現階段規制的重點已經轉向了網絡安全,數據本地化措施不是針對數據的性質或內容,而是針對數據的存儲、傳輸、處理和其他未經授權的入侵方式,數據本地化措施背后的主要政策依據是網絡安全。這就決定了中國要贏得數字經濟發展與安全的戰略主動,既不能一味奉行以市場為導向的互聯網產業布局,也不宜以過高的保護標準限制貿易發展的談判空間。

在全球范圍內還沒有一個全面的數字框架可以處理與數據有關的社會、經濟、安全和保障問題時,我們應結合自身的具體需求和安全目標,在國家層面上,不斷完善國內的數據監管制度,對促進數字貿易的政策與網絡安全的目標進行協調;在國際層面上,在多邊主義的前提下,堅持有限度的貿易規制模式,嘗試在各國之間找到合法公共政策目標的共同點,減少建設性模糊。

四、結語

作為國際法上發展最快的一個概念,對其規制,為何規制以及規制的模式一直都是爭議的焦點,即使過去采取單一規制模式的國家,也在考慮其他的可能性,如美國的政策制定者也開始關注保護隱私,而過去美國堅持對隱私問題采取自愿的方式,不愿將其置于自由貿易協定當中。由此看來,以合法政策目標而實施的數據本地化,并不存在單一完美的規制模式,無論是貿易規制模式還是數據規制模式都存在一定的局限性。由于規制模式相互之間并不排斥,即使在多種規制模式并舉的國家也在不斷探索數據本地化能被貿易規制的合理限度。就現階段而言,宜堅持有限的貿易規制模式,在禁止和允許的數據本地化措施之間劃出細微的界限,設定合理的例外并等待未來判例法和國家實踐的發展。