数据本地化的规制模式研究及启示

范 婴

(河南财经政法大学法学院,河南 郑州,450046)

一、数据本地化对贸易的影响

数字经济时代,数据是国际贸易的命脉,国际上关于数据规则对贸易限制性影响的论证也在不断加强。正如瑞典国家贸易委员会在《跨境数据传输对瑞典公司的重要性》的报告中所说,今天如果没有数据从一个地方转移到另一个地方,贸易就不可能发生[1]。数据本质上是一种由算法生成的虚拟物体,其满足具有经济价值、可以转移、具有交换和使用价值的性质,应赋予其财产权属性[2]。数据的这种财产权属性要求释放数据的内化动力,即通过数据提供服务、提高效率或做出管理决策等获得价值,因此,任何限制数据流动的措施都会被企业视为是限制贸易的行为,这一点不足为奇。在过去二十年里,互联网服务贸易稳步增长,目前占全球服务贸易总额的20%以上[3]。

虽然对数据流动的限制会产生对贸易抑制的效应,然而相关的实证研究却并不多,尤其是针对数据本地化的实证研究更为少见。鉴于此,本文以国内市场为依托,借助本地数字服务公司和外国数字服务公司两个载体,分别探讨数据本地化措施对国际贸易的直接和间接影响。

(一)本地数字服务公司

研究者普遍认为,数据本地化可以通过保护本地现有企业免受竞争而支持本地信息技术产业的发展,这一逻辑遵循一些政府提出的“幼稚产业论”,作为限制跨境数据传输的理由,这种情形下,数据本地化措施可以解释为一种“数字产业政策”。即使像美国这样的超级大国也诉诸于此。美国曾向日本政府和汽车制造商施压,要求他们对进入美国的汽车实行“自愿出口限制”,以维护底特律汽车制造商的利益。

事实上,这一说法并没有证据支持。相反,调查发现,数据本地化对生产力和国内生产总值(GDP)有负面的影响。虽然严格的数据本地化措施会促使实施这项政策的国家建立数据中心,但实践中数据中心的建设并不会创造大量的就业机会。数据中心一般都需要进口昂贵的高科技设备,短期内可提供建筑工程类的工作,同时配备相对较少的全职工作人员,随着数据中心自动化程度的提高,与之相关的工作岗位数量只会急剧减少。2008年的一份报告显示,雅虎、Ask.com、Intuit和微软共为其数据中心雇用了180名员工,其中雅虎、Intuit和微软有50名员工,Ask.com只有30名员工[4]。2011年,据媒体报道,苹果公司为帮助其云计算产品提供动力而建造的价值10亿美元的大型数据中心只创造了50个全职工作岗位[5]。

因此,数据中心的建立并不会为当地创造太多新的就业机会。但对某些提供数据处理服务的本地公司而言可能会从这些措施中受益,因为他们可以利用更大的数据池来处理数据。然而,本地处理数据的较高成本以及由此导致的整体经济生产率损失直接超过了一小部分参与者带来的利益[6]。当数据传输受到限制时,本地公司在全球范围内不能自由地选择最便捷的数据处理提供商,并且在传输日常活动所需的如人力资源管理等相关数据时,不得不支付更昂贵甚至重复的服务费用。对于所有无法使用某些创新服务的企业和消费者而言,数据处理的高成本成了普遍现象,同时,这些额外的成本对实施这些措施的国家的宏观经济产生了涓滴效应。

利维坦安全集团(Leviathan Security Group)的一项研究发现,对于许多正在考虑或已经实施强制数据本地化的国家而言,与使用境外数据中心相比,当地企业需要为其计算需求额外支付30%至60%的费用[7]。该集团使用的方法是将当地供应商提供的价格与全球提供的最便宜的安全替代方案进行比较。此外,许多考虑实施数据本地化的国家并没有公开的云计算服务商,这就意味着当地企业将被迫使用非公开的云计算资源,并承担由此带来的资本投资。因此,即使某些提供数据处理服务的本地公司会因其提供服务而受益,但由于绝大多数本地公司的数据处理成本居高不下,整体经济生产率仍会下降。

还有一些研究是着眼于数据政策对GDP的影响。一些学者通过全球贸易分析模型(GTAP模型)一般均衡理论中全要素生产率的计量经济学结果,来评估对宏观经济产生的广泛影响。该项研究衡量了数据政策对出口、GDP以及因价格上涨和国内需求替代而导致的消费损失的影响。研究发现,在研究分析的七个国家或组织中,拟议或颁布的数据限制措施对GDP的影响都是巨大的:巴西(-0.2%)、中国(-1.1%)、欧盟(-0.4%)、印度(-0.1%)、印度尼西亚(-0.5%)、韩国(-0.4%)和越南(-1.7%)。如果这些国家或组织也同时引入数据本地化措施,GDP的损失会更大:巴西(-0.8%)、欧盟(-1.1%)、印度(-0.8%),印度尼西亚(-0.7%)和韩国(-1.1%)[8]。然而,仅就这项研究而言,我们无法分辨这种影响是归咎于数据政策的跨境部分还是国内部分。在这项研究的基础上,Bauer等还发现,数据本地化对特定部门的影响因特定行业对数据输入的依赖程度而异。结果发现,数据本地化措施对通信服务、金融服务和其他数据密集型企业的负面影响更大,而数据密集度较低的部门,如农业、食品和纺织业的绝对值和相对值都在增长。因此,Bauer等得出结论,如果对数据自由流动限制更加严格,将导致经济体的生产结构向农业、纺织业和自然资源等初级部门转移[6]。而对于上述受影响较大的数据密集型企业,尤其是通信和商业服务部门,如果本身国内的供应商相对于外国供应商处于竞争的相对劣势,将直接导致出口的下降。

通过上述分析可以看出,数据本地化本身不会在当地创造更多就业机会,也不会在数据密集型部分发展当地产业,相反,会降低当地公司的生产力水平。这并不意味着当地政府应该取消国内对数据使用的任何限制,某些情况下,这些措施对于隐私和安全等重要政策目标仍是必要的,只是设计和实施这些措施时,需要适当考虑这些措施对当地公司成本的影响。

(二)外国数字服务公司

Freund和Weinhold早期的研究指出,互联网普及率增加10%,其效果就进口而言,可使服务贸易增长1.1个百分点;就出口而言,可增长1.7个百分点[9]。由于对数据的限制完全可以构成对互联网使用的限制,这个结论与数据流动对服务贸易的影响密切相关。

随着数据本地化向更多国家和数据类型蔓延,对开放的、基于规则的、创新的全球数字经济的潜力构成了越来越大的威胁[10]。这种强制的本地化措施给企业带来了巨大的负担,尤其是对中小企业来说,他们为获得本地计算设施和数据存储基础设施增加的成本高达30%～60%[11]。因此,值得注意的是,制定和推动有关数据保护的多边和区域倡议还应考虑到合规负担以及对贸易、创新和竞争的潜在负面影响,尤其是对中小企业而言。

许多数字服务都是数据密集型服务,由于它们在生产过程中会使用大量的电子数据,这些数据在服务被消费之前会进行多次跨境,这直接促进了互联网上的服务贸易。数据的跨境自由流动使服务生产商能够在数据价值得到最佳利用的地方获取和发送数据,从而增强其在数字服务领域的比较优势。然而,各国出台的限制数据跨境流动的措施客观上威胁到了互联网的全球性质,这势必会增加在线服务交易的成本。

当东道国采取数据本地化措施,外国企业将被迫根据用户的位置以及数据的类型对他们的用户数据进行隔离,禁止在附属公司或公司之间自由地来回传送数据,这必将增加企业有效获取和处理数据的成本以及企业运营的复杂性,最终降低生产力。同时,采购额外基础设施也是一笔巨大的成本投入,这反过来会提高价格,最终也会导致生产力的下降。

虽然很难评估本地化要求在多大程度上会阻止新企业的准入或阻碍现有企业的发展,但可以预见一些趋势。首先,尽管本地化构成了最强大的阻力,但与小型企业相比全球大型企业将更有能力吸收本地化的额外成本。至少在短期内,这将有助于加强他们在各个领域的主导地位。其次,本地化将为某些类型的服务供应商制造准入壁垒,对他们而言,当东道国的市场规模不足以证明本地化成本的合理性时,他们会选择退出市场,从而间接地影响消费者获得相关服务的机会。

综上所述,现有证据尤其是针对数据本地化这种类型的数据政策对贸易的影响并不多。已有研究结果只能证明数据本地化将会极大地减少服务的进口,同时通过影响本地公司和行业的生产力而造成贸易扭曲,毕竟任何限制数据流动的措施都会减少服务的进口。鉴于数据政策与贸易的相关性,一个国家向世界贸易组织(WTO)提出对某些数据限制的诉求也并非不可能,尽管有些国家已将数据本地化定性为数字贸易壁垒,但在世贸组织范围内关于数据限制能够被视为贸易壁垒的讨论仍处于初级阶段[12]。现阶段数据本地化研究迫切需要进行进一步的实证分析,不仅仅是评估数据本地化的成本,更重要的是要分析数据本地化是否会成为对贸易产生限制性影响的主因,并且将调查倾向于这种限制性数据政策是否以及如何影响发展中国家及其长期增长的潜力。

二、数据本地化的规制路径争议

(一)以贸易规制为主

1.贸易规制之必要性及局限

随着数字化对贸易和跨境商业活动的支持大幅扩张,尤其是服务业,其中大约一半的跨境贸易是通过数字连接实现的[13]。特别是数字贸易使发展中国家以及微型、小型和中型企业能够通过更高的知名度、更容易的市场准入和更低的分销成本进行出口。此外,商品的数字化正在改变流量的组合,改变全球物流,使新的和较小的参与者能够参与贸易。如果政策制定者能够制定共同的规则来鼓励数据的自由流动,将促进法律制度之间的互操作性,未来更多的人将有更多的机会获得数据,更多的数据将被创造和交换[14]。不管是在贸易协定中还是在其他文件中,如果缺乏这样的规则,企业和个人在网上交换数据时都会感到不安全。

贸易协定兼具约束力和可执行性,这使得它们成为规范跨境信息流动的一个有吸引力的场所[15]。当某一国不履行其义务时,另一国家可以在贸易争端中挑战其行为。根据世界贸易组织(WTO)《服务贸易总协定》的规定,成员国允许各国为保护公共卫生、公共道德、隐私或知识产权而限制贸易,前提是这种限制是必要的,并且在WTO成员方之间没有歧视。尽管《服务贸易总协定》的语言早于互联网,而且对数据流动没有任何明确规定,但世贸组织争端解决机构已经开始将这些义务适用于跨境数据流,一个是安提瓜诉美国赌博服务案,另一个是中美出版物市场准入案。

同时,数据规制具有多维性[16],贸易问题只是其中一个方面,如果仅仅从贸易视角去规制数据本地化,容易忽视乃至压制其他利益攸关方的正当诉求。在国际贸易协定中就数据规制施加全面的限制还将影响到缔约国政府对数字经济关键领域进行管控的能力[17]。一旦将数据本地化的规制全面纳入国际贸易协定中,则意味着只要存在相关的国际条约义务,相关缔约国对数据治理事项势必会被锁定在一个倾向于自由贸易、轻数据规制的环境中。随着数字经济的发展,数字章节在贸易协定中所占的篇幅将会越来越大,其影响很有可能会超出设计者的初衷。

2.贸易规制之典型代表——美国

根据美国前贸易代表迈克尔·弗罗曼的说法,数据的流动与货物的流动同样重要,贸易政策制定者必须找到促进流动的方法[18]。美国作为技术的世界领导者,力争要将数据流动纳入贸易协定。1997年,时任美国总统克林顿就宣布了“全球电子商务框架”。根据该框架,美国政府支持尽可能广泛的数据自由流动,政府将与主要贸易伙伴开展非正式对话,以确保国家监管的差异不会成为变相的贸易障碍[19]。在随后的几年里,美国分别与荷兰、日本、法国、爱尔兰和韩国签署了双边协议,以消除电子商务的障碍。尽管克林顿的电子商务框架在保护隐私和限制数字保护主义方面存在缺陷,但它为随后的两届美国政府指引了方向。布什和奥巴马遵守其主要原则:政府发挥有限的作用,注重商业自律,强调数据的自由流动,并将所有阻碍自由流动的壁垒贴上“数字保护主义”标签。

随着各国数字化能力的提升以及数字产品和服务的需求者越来越转向印度尼西亚、中国等人口众多的发展中国家和中等收入国家,这些国家的用户绝对数量虽高,但渗透率仍然较低。美国的互联网公司在这些国家市场上运营时,发现管理其商业行为的规范与他们所运营的司法管辖区的规范之间存在矛盾。此时,美国的利益相关者并不仅仅满足于确保他们自己的政府不出台数据本地化措施,利益相关者已经积极鼓励美国政府将数据本地化作为一个贸易问题,因为贸易协定可以帮助政府澄清如何监管跨境数据流以及传输、处理或存储商业数据的公司应如何行事。

为了阻止数据本地化的趋势,美国公司和贸易协会发起了一场多管齐下的运动,包括通过进行密集的游说活动,以重新获得外国政府和客户的信任,改革被视为对政府收集数据采取过度放任的《爱国者法》。在美国国内,苹果、脸书和其他公司成功地起诉了美国政府,以获得法律授权,向公众提供更多美国政府从他们那里收集信息的具体细节[20]。与此同时,美国国内大型云服务提供商也积极地在海外建立新的数据中心,以应对即将到来的监管。据悉,IBM花费了12亿美元在海外建造了15个新的数据中心[21]。

美国是第一个在其贸易协定中纳入与跨境信息流动有关条款的国家,也是第一个利用贸易政策来管理跨境信息流动的国家,但它利用贸易协定来管理跨境数据流动更多依靠的是经济论据。支持者们认为,通过减少数字贸易壁垒,会降低个人、企业和政府传输和储存数据的成本,同时更多的人将有机会获得更多数据,这反过来可以促进互联网的互操作性、经济增长及就业。2015年5月1日,美国副贸易代表罗伯特·霍莱曼大使发表演讲时强调,美国的贸易伙伴应避免歧视外国供应商的数字产品、强制本地化或迫使公司在其服务的每个市场建立数据中心[22]。因此,美国政府希望借助贸易协定减少数字保护主义的机会。

多年来,美国一直努力利用贸易协定来解决跨境数据流动问题,但另一些国家基于他们对隐私、监控和国内互联网监管的担忧,不愿意使用贸易协议来解决此类问题。基于市场准入下降、数据本地化和强制技术转让等原因,新兴经济体对美国企业主导的数字世界和美国经济作为全球数字领导者的地位构成了真正的威胁。因此,美国政策制定者和企业一直不遗余力地推动制定新的可执行的数字贸易和电子商务国际规则。然而,将这些问题纳入WTO多边贸易谈判框架的进展却甚微。

2015年10月,经过七年的谈判,美国及其11个谈判伙伴在跨太平洋伙伴关系(TPP)中就有约束力的语言找到了共同点,并且还试图在跨大西洋贸易和投资伙伴关系(TTIP)以及世界贸易组织下的服务贸易协议(TiSA)中加入类似的语言。

特朗普上台后很快宣布退出TPP,至此美国不再是TPP的缔约方,但作为拉线者,《美国—墨西哥—加拿大协定》(USMCA)的数字贸易章节在很大程度上等同于《全国与进步跨太平洋伙伴关系协定》(CPTPP)的翻版。USMCA是美国第一个包括隐私、跨境数据流和安全方面规则和纪律的贸易协定,是处理数字贸易规则最新和最全面的贸易协定之一,它扩展了CPTPP中的数字贸易承诺并且广泛适用于一方采取或维持的影响电子贸易的措施,但不适用于政府采购。受CPTPP的影响,USMCA中一个重要的数字贸易承诺是对数据本地化的限制,该项限制对加拿大来说并非是全新的,因为在CPTPP中也有类似的规定,而该协定又是TPP的继承者。具体而言,USMCA第19.12条所载的条款规定,任何缔约方不得要求涵盖的人在该缔约方的领土上使用或设置计算设施作为在该领土上开展业务的条件。由此,USMCA在CPTPP的基础上将数据本地化发展成为一项措施强硬的禁止性声明,这意味着各国政府已经同意采取比以前更严格的方法。

尽管USMCA数字经济章节宣称所有人都将受益,但大型数字服务商显然是最大的受益者,由此可见,其立法导向仍然是贸易至上的立法模式,极力地推动跨境数据自由流动的同时,为缔约方合法的公共政策目标提供弹性条款,以达到平衡的目的。这将不可避免地为今后数字贸易争端埋下伏笔。

(二)以数据规制为主

1.数据规制之必要性及局限

20世纪80年代末,世界各地的政策制定者认识到他们需要限制数据的流动,但他们并未就如何、何时以及在何处限制数据流动达成一致。这些国家的经济官员们一方面清楚地意识到一套促进数据流动的规则将符合他们的经济利益;另一方面,他们也担心这种规则可能会降低他们控制信息的能力以及他们对提供数字服务的美国公司的依赖性(这些服务必须遵守美国关于隐私和国家安全的规则),并使其相对于国内企业产生更大的市场力量。这不仅有助于美国继续主导互联网经济,而且还会以有利于美国利益的方式主导互联网管理机构。因此,世界各地的政策制定者虽然希望鼓励数据的自由流动,但许多国家并未对美国促进数据自由流动的努力作出积极回应。以往的多边贸易协定大都反映了美国的法律规范以及美国的优先事项,其他市场的参与者理所当然地会认为这些优先事项和语言仍将偏向于美国的需要,自然不希望用贸易政策延续或进一步巩固美国在数字领域的主导地位。还有一部分国家之所以对跨境数流动采取回避立场,是因为相关国家在国内基础设施和制度建设上还不完善[23]。

因此,当一些国家通过国际贸易体制中的贸易自由化规范来证成跨境数据流动自由时,另有一些国家通过国际人权体制中的个人隐私保护规范来说明限制数据处理方式的合理性,还有一些国家通过类比国际法中的领土概念,将网络空间视为除海、陆、空和太空之外的第五空间,从维护网络安全的角度设置数据本地化要求等[24]。

然而,通常情况下,追求公共政策目标或防止市场失灵可能会导致过度的限制性措施,扰乱数字贸易市场,从而失去促进经济增长的商业机会。因此,有利于数字贸易的监管框架不仅必须为数字市场提供健全的监管支柱,还必须确保对数字贸易的限制在有效实现预期政策目标的同时,不会对数字服务企业造成额外的负担。

2.数据规制之典型代表——欧盟

数据限制性措施背后的主要政策依据是保护个人隐私,这方面的典型是欧盟的《通用数据保护条例》(GDPR),它对数据控制者和处理者在处理和转移欧盟居民的个人数据过程中施加了各种条件。为了遵守这一规定,一些外国服务机构供应商不得不搬迁或在欧盟建立新的数据中心[25]。GDPR核心在于要求数据接收国具有同等的数据保护水平或可以提供充分的保障措施,而非直接要求数据本地化[26]。事实上,GDPR没有规定国内存储要求或国内设施安装要求,只要数据控制者将数据转移到有充分保护的国家,或遵守保障措施,如标准合同条款或有约束力的公司条款,它就可以将数据发送到欧盟以外的国家或地区。因此,我们可以把它归类为广义上的数据本地化措施。只有在控制者和处理者遵守本章规定条件情况下,个人数据才允许被转移到欧盟之外。根据这一规定,条例的范围仅限于个人数据的转移,没有其他国家关于重要数据、关键数据等相应的概念。GDPR第5章的标题是向第三国或国际组织转移个人数据,由第44至50条组成,由此,根据GDPR的规定,欧盟的个人数据可以离开欧盟,并且用七个条款来对此进行说明。关于个人数据的跨境转移,GDPR第44条规定了转移的一般性原则,对于正在处理或计划进行处理的个人数据,将其转移到第三国或国际组织,包括将个人数据从第三国或国际组织转移到另一第三国或另一国际组织,控制者和处理者只有满足本条例的其他条款以及满足本章规定的条件才能进行转移。该章的所有条款都应当被遵守,以确保本条例对自然人的保护水平不被削弱。

第44条概述的转移原则可以总结为:如果要将欧盟的个人数据转移到欧盟之外,要确保这些数据仍然享有GDPR下的相同保护水平。换言之,如果要把数据转移给欧盟以外的实体或公司,必须有法律约束力的义务来遵循GDPR数据保护原则或同等原则。这种法律约束力的义务可以通过多种方式实现,例如,数据传递给的实体恰好位于一个拥有与GDPR同样强大的数据保护法的国家(由欧盟委员会确定);接收数据转移的实体通过具有法律约束力的合同同意遵循GDPR的数据保护原则;该公司已经颁布了具有约束力的公司规则。这与直接禁止域外数据转移有本质的不同。

首先,如果欧盟委员会对有关第三国作出充分性决定,将允许向第三国转移个人数据。充分性决定是对有关第三国是否确保对个人数据充分保护的调查结果,如果第三国的保护水平相当于欧盟GDPR所保障的水平,委员会将认为第三国提供了充分的保护水平。在评估适当的保护水平时,欧盟委员会应考虑到相关国家的各种因素,包括其当前的法律制度和个人数据保护执法以及第三国参与的条约等国际安排。

欧盟的充分认定和适当保障制度源于对隐私权的保护。在欧洲的法律体系里,隐私是人格尊严的一部分,包含个人形象、姓名和名誉等,而个人数据中包含着大量的隐私内容,故欧盟十分重视保障个人数据的安全[27]。然而,截至2021年3月,只有14个国家获得了这种充分性认定[28],包括加拿大。

其次,对于未被认定为确保充分保护水平的第三国,可以允许按照具有约束力的公司规则(BCR)在公司集团内跨境转移个人数据。GDPR第4条对BCR的定义是指在一个成员国领土上建立的控制者或处理者所遵守的个人数据保护政策,用于在一个企业集团或从事联合经济活动的企业集团内向一个或多个第三国的控制者或处理者转移一组个人数据。

最后,当欧盟内的数据提供者和欧盟外的数据接受者签订包含标准合同条款的合同时,个人数据的跨境转移也被允许。GDPR第46条第5款规定,欧盟委员会根据作为GDPR前身的95号数据保护指令下的标准合同条款(SCC)仍然有效,因此,允许根据SCC进行个人数据的跨境转移。

随后,欧盟法院(CJEU)发布了SchremsⅡ决定,通过要求欧盟的个人数据在欧盟之外保持基本等同的保护,这极大地限制了企业出口个人数据的能力。在企业出口数据之前,它必须对外国的法律进行充分性评估,并确定是否可以采取足够的保障措施,以保持基本等同的保护。

事实上,针对外国的法律进行这种评估并不容易,这基本上是一个小型的充分性决定。即使大型企业有资源和能力来进行这次评估,但对大多数其他企业而言并不现实。因此,这些企业可能会选择将欧盟的个人数据保留在欧盟境内,以避免执行评估,也即软性数据本地化。由此可见,欧盟的做法鼓励了各国以此作为切入点限制跨境数据的传输,使之更接近全面的数据本地化。

在欧盟境内,GDPR提供了一个值得信赖和安全的框架,问题在于将欧盟标准应用于欧盟以外的转移这种过高的保护标准,已然造成了不利己身的贸易影响,无法满足企业日益增长的跨国传输和存储数据的需求,并最终使欧盟的企业处于竞争的劣势。

总体而言,欧盟对将数据条款纳入自由贸易协定中持谨慎态度。直到最近,欧盟才朝着这样的规则迈出了一步,即各方同意考虑与跨境数据流动有关的承诺。类似的条款出现在2018年《欧盟—日本经济伙伴关系协定》和《欧盟—墨西哥双边贸易协定》中。在这两项协议中,双方同意在条约生效后的三年内重新评估是否需要将数据自由流动的条款纳入条约。这标志着欧盟的数据政策发生了轻微但重要的转变,这之后欧盟与澳大利亚、新西兰和突尼斯的谈判协议也完全认可了这一点,协议草案中包括关于跨境数据自由流动的条款以及数据本地化禁令。然而,这种重新定位和升级承诺也与高水平的数据保护有关,即只有在符合GDPR严格和高标准数据保护的情况下,欧盟才愿意允许数据流动。这说明欧盟始终坚持以数据保护为主导的跨境数据流动规制体系,强调实现区域领域内数据自由化流动与数据本地化,其根本目标是保护区域内产业及市场,提升对数字贸易的控制力[29]。

目前无论是在其谈判的贸易协议中,还是在其对世贸组织电子商务规则的建议中,欧盟都遵循这样一种特定的模式,将认可和保护隐私作为一项基本权利。一方面,欧盟及其合作伙伴希望强制执行数据本地化禁令,并接受自由的数据流动;另一方面,这些承诺是有条件的,它们受到数据保护专门条款的影响,该条款明确指出,每个缔约方都应认识到,保护个人数据和隐私是一项基本权利,这方面的高标准有助于数字经济信任体系的构建和贸易的发展。因此,欧盟在跨境数据流动治理方面相对折中,重视数据流动治理中的规制保护与自由流动之间的动态张力平衡[30]。

此外,欧盟还寻求保留权利,以了解贸易协定中数据规则的实施如何影响隐私保护的条件,因此,如果各方愿意审查限制清单,则有可能在协定生效后三年内进行审查。此外,还有一个广泛的例外情况,即各方重申有权在其境内进行监管,以实现合法的公共政策目标,如保护公共卫生、社会服务、公共教育、安全、环境(包括气候变化)、公共道德、社会或消费者保护、隐私和数据保护,或促进和保护文化多样性。

因此,欧盟为其当前和未来的数据保护措施保留了大量的监管余地,换言之,任何可能影响到欧盟及其27个成员国重要目标和利益的措施都在保留之列。由于它具有主观性并在最大程度上保障欧盟的监管权,这一例外也与CPTPP和USMCA下的客观必要性测试以及WTO法律下的客观必要性测试有本质区别。

(三)规制路径之检验标准

数据本地化措施本属于政府规制跨境数据流动的手段之一,旨在实现特定的政策目标。其最初的设计往往是数字经济处于相对弱势的国家以某种防御的姿态来守住本国对数据的掌控权。然而,在数据本地化钝化地解决问题的过程中,自身也正在成为需要解决的问题,由此引发了对数据本地化的规制问题以及规制的争议。上文分别讨论了在两种不同的规制路径下,各自面临的规制困境及可能产生的影响,在此基础上,引入必要性、合目的性及合比例性这一体系性的检验标准可将论证的问题具象化。

所谓规制的必要性,主要讨论的是作为“问题手段”的数据本地化不加以规制可能产生的后果。囿于本文讨论的领域,这里所涉及的后果主要是针对贸易的负外部性,包括对进口商和出口商的影响以及对一国进口和出口的影响都是属于贸易负外部性的范围,本章第一节的内容即是对规制必要性的论证。国内也有学者认为,这里的必要性主要讨论的是在类似的情况下,是否有同样可以达成目标的其他可行措施作为替代。由于目前替代性措施的研究都是针对数据本地化在某一领域的可替代性,并不能替代解决其他政策目标的实现,这种分散式的解决方案欠缺一定的凝合度。

所谓规制的合目的性,主要讨论的是数据本地化是否有助于规制目标的实现。各国引入数据本地化除了表面上所追求数据安全、隐私保护、执法便利等政策目标之外,其真正的动机往往并不完全透明[31]。也有学者认为,数据本地化措施是整体国家安全观的必然要求[32]。这一论断在中国的法律环境下争议较少,但在国际层面上能否获得普适性还有待于进一步的检验。显然,评估数据本地化的合目的性并不容易,注重效果的客观标准相对来说更容易操作,而考虑主观意图的主观标准无疑会增加其复杂性。

所谓规制的合比例性是指数据本地化对数据流动的限制应与其所带来的风险相称或者不超过为实现特定目标之必需,也即能通过相称性评估。相称性评估有助于在评估数据本地化措施声明理由的同时,鼓励各国以对其他国家和国际社会影响最小的方式构建其数据治理措施,包括数据本地化措施。对于相称性评估的标准我们可以从世贸组织判例、学术文献和各种贸易协定等来源获得,综合考虑以下几个方面:首先,拟颁布的措施是否有助于目标的实现;其次,是否有其他限制性较小的措施;最后,有关措施与它将造成的侵扰是否有合理的关系。至于第一个问题,目前似乎需要更多的证据,才有机会证明数据本地化措施在某些方面是否实现了所追求的目标这样的结论。因此,现阶段至少可以推断出有一些数据本地化措施是无法通过相称性评估的。

综上所述,数据本地化虽为多数国家所采纳,但是在具体的规则设计方面还存在诸多争议,围绕其规制路径的争议,引入尤为重要的合比例性检验标准有助于我们在对其进行评估时既考虑其国内影响,也考虑到其直接和间接的国际影响。毕竟在一个相互关联的世界里,如果采取具体的国内措施而不考虑该措施的国际影响,将会造成不必要的国际摩擦。

三、对中国的启示

数据流是数字贸易的血液。数据本地化是一种暂时性的不正常现象,它发生在互联网服务提供商未能履行对客户所在社区的社会责任,而各国之间刚开始合作未能有效解决跨境问题之时。各种规制路径往往反映了不同国家不同的法律、政治、经济、社会和文化背景,因此很难说哪一种路径是最好的方式。如前所述,美国和欧盟在价值理念和规制模式上存在根本性差异[33]。然而,比对不同路径进行评判更重要的是,理解不同规制路径的内在逻辑和机制。在政府未能就如何、为何以及何时限制数据流动达成共识之前,我们应认识到双边和多边贸易协定并不是解决或推动数据流动的唯一或最佳场所,尤其是与国家安全和个人隐私等相交叉的问题。首先,贸易统计通常低估或不涉及跨境数据流。如果有相当数量的数据没有被交易,政策制定者将需要厘清贸易协定是否应该监管所有的数据,还是只监管与商业交易有关的数据。其次,由于贸易协定对国家行为的管制,参与数据流动的个人和企业没有办法在双边或多边自由贸易协定中直接代表他们的利益。最后,贸易政策制定过程与互联网治理过程极为不同。贸易协定是由政府秘密谈判进行的,通常谈判进展非常缓慢,且公众并不直接参与。

当我们讨论数字贸易规则时,多数人都会倾向于关注两个主要参与者:呼吁数据自由流动以服务于企业利益的美国和优先考虑保护消费者个人信息和隐私的欧盟。对中国来说,互联网或数据监管目前已被提升为国家安全问题。习近平总书记强调:“没有网络安全就没有国家安全。”与安全的高度联系不仅解释了中国国内的监管框架,也说明了中国将如何在国际层面上处理这一问题。随着2016年《网络安全法》的通过,现阶段规制的重点已经转向了网络安全,数据本地化措施不是针对数据的性质或内容,而是针对数据的存储、传输、处理和其他未经授权的入侵方式,数据本地化措施背后的主要政策依据是网络安全。这就决定了中国要赢得数字经济发展与安全的战略主动,既不能一味奉行以市场为导向的互联网产业布局,也不宜以过高的保护标准限制贸易发展的谈判空间。

在全球范围内还没有一个全面的数字框架可以处理与数据有关的社会、经济、安全和保障问题时,我们应结合自身的具体需求和安全目标,在国家层面上,不断完善国内的数据监管制度,对促进数字贸易的政策与网络安全的目标进行协调;在国际层面上,在多边主义的前提下,坚持有限度的贸易规制模式,尝试在各国之间找到合法公共政策目标的共同点,减少建设性模糊。

四、结语

作为国际法上发展最快的一个概念,对其规制,为何规制以及规制的模式一直都是争议的焦点,即使过去采取单一规制模式的国家,也在考虑其他的可能性,如美国的政策制定者也开始关注保护隐私,而过去美国坚持对隐私问题采取自愿的方式,不愿将其置于自由贸易协定当中。由此看来,以合法政策目标而实施的数据本地化,并不存在单一完美的规制模式,无论是贸易规制模式还是数据规制模式都存在一定的局限性。由于规制模式相互之间并不排斥,即使在多种规制模式并举的国家也在不断探索数据本地化能被贸易规制的合理限度。就现阶段而言,宜坚持有限的贸易规制模式,在禁止和允许的数据本地化措施之间划出细微的界限,设定合理的例外并等待未来判例法和国家实践的发展。