用微信扫码二维码

分享至好友和朋友圈

摘要

现行WTO规则对于数据跨境流动的规制具有局限性，各国的规制态度和差异化做法，成为数字贸易多边规则形塑中的最大变量。以CPTPP、RCEP为代表的区域贸易协定尝试调和，但其规制内容、特点及效果存在较大差异。WTO仍然是打造数字贸易多边规则的最佳平台，我国应把握好WTO改革契机，推动数据跨境流动规制共识和规则形成，对此应重点思考三方面问题：一是如何处理未来规则与现有规则之间的协同与发展关系，特别是与GATS的衔接和整合关系，以及与典型区域贸易协定的借鉴和继承关系；二是如何处理制度创新与国家安全之间的平衡关系，国家安全与例外条款的合理解释与适用边界设在何处；三是考虑到WTO改革的周期性和不确定性，如何利用好国家间对话、国际标准制定等软法路径。

新一轮工业革命和产业变革深入发展，海量数据的自由流动与开放共享在技术上得以实现。数据要素的跨境流动对国际利益分配格局、国家安全与网络安全、数据主权以及个人隐私等产生深刻影响，各国的规制态度和差异化做法成为数字贸易多边规则形塑中的最大变量。世界贸易组织（以下简称WTO）曾经是全球经贸协商谈判最重要的平台，近年来由于部分功能缺失，其有效性、权威性和相关性受到了质疑和挑战。尽管如此，WTO仍然处于维护多边贸易体制的主渠道地位。WTO改革正当时，电子商务诸多边谈判模式迎来新机遇，充分利用现行WTO一揽子规则，同时辩证吸收自由贸易协定（Free Trade Agreement，以下简称FTA）的探索经验，对于未来数字贸易多边规则的形成至关重要。

一、WTO改革进程中的数字贸易规则图景

数字经济正以前所未有的力度、速度和广度，深刻影响着人类社会的生产、生活和贸易方式。而在国际贸易中，角色扮演、利益格局和红利分配归根到底取决于国际规则的制定。如何创设、改变或更新规则，最大程度释放数据流动价值，是数字贸易繁荣发展必须解决的制度性难题。

（一）全球化贸易的演进与数据自由流动的前提

全球化贸易可划分为三个发展阶段。

第一个阶段是传统货物的跨国贸易。这一阶段的特征表现为，交易对象往往是最终商品，消费者能够以低廉的价格获取到优质的商品。

第二个阶段是全球价值链（global value chain）贸易。随着商品生产过程逐渐细分，这一阶段的交易对象从最终商品变为中间产品，发展中国家成为全球价值链中的重要组成。

第三个阶段是数字贸易。较之于前两个阶段，数字化进程使得沟通更为便利，进一步提升了全球贸易的连接性和可选择性。当前，全球化贸易已进入一个由数据重新定义的时代，越来越多的全球贸易活动由数字化所驱动。

数字化进程瓦解了现行WTO法律框架以货物和服务为主的底层架构。

一方面，信息通信技术拓展了贸易方式。经过数字化武装，交易全流程均可通过数据收集、分析和利用等方式精准实现，如电商平台、网上支付、在线教育等。在贸易方式的数字化转型过程中，企业进一步优化了全球价值链，提升生产效率的同时催生出了新的贸易形态。

另一方面，随着数据本身作为新型生产要素，贸易对象发生转变，传统的实物贸易融入以数据要素为基础的数字产品和数字服务之中，如数字形式的图书、音像、游戏作品等。由此导致商品不再被单独交易，而是与技术服务绑定在一起，作为最终的交易对象。例如，以智能手机为代表的新一代信息产品，通常嵌有大量软件、内容更新等电子信息类服务，并对最终产品的性能评价越来越重要。作为传统贸易对象的货物和服务二分界限变得越来越模糊，致使现行WTO规则难以跟上数字创新的步伐。

截至目前，各方对数字贸易的概念内涵尚未形成共识。例如，经济合作与发展组织（Organization for Economic Co-operation and Development，简称OECD）认为，数字贸易是指以数据的跨境传输为前提，与消费者、企业或政府关联的、通过电子或物理手段配送的商品或服务贸易有关的电子商务交易。美国国际贸易委员会认为，数字贸易是在商品或服务的订购、生产或配送过程中，互联网或以互联网为基础的技术承担重要职能的贸易。中国信息通信研究院2019年12月发布的《数字贸易发展与影响白皮书（2019年）》认为，数字贸易是指可通过互联网进行远程交付的产品和服务。比较可知，后二者定义的数字贸易所涵盖的范围要宽泛得多，交易样态也更加丰富，但这并不会影响我们对于数字贸易内核的理解，即数据通过互联网技术自由、安全、有序的流动带来信息、知识的传播与共享。由是观之，数据自由流动是全球数字贸易增长的重要前提。

（二）WTO改革对数字贸易规则创新的回应

数字化赋能在提高宏观经济全要素生产率方面前景大好，但未来全球数字规则的塑造却充满了各种利益的较量。技术进步与个人隐私、国家安全等社会公共价值的显著冲突，导致当前全球数字贸易治理带有浓烈的重商保护主义色彩。以数据跨境流动的规制为例，各国规制态度和做法显著不同的背后实际上是各国根据自身实际而做出的最有利选择，但这种保护性做法大大阻碍了全球数字贸易潜能的释放。

WTO成立于1995年，距今已近30年，彼时数字经济尚处于萌芽阶段。作为WTO总体法律框架的一揽子协定，在设计之初主要以传统货物和服务贸易为对象，其基本框架和原则缺少足够的弹性，难以应对数字贸易的迅猛发展。实际上，早在1998年10月，WTO就曾设立“电子商务工作项目”（Work Program on Electronic Commerce）。但截至目前，WTO一揽子协定中还未正式明确数字贸易等基本概念。一个合理的解释是，数字贸易打破了传统的货物与服务二分法则，这种颠覆性变革需要重新调整WTO项下的服务分类（W/120），甚至需要增设以数字经济为前提的新服务分类。而WTO自成立以来，首轮多边谈判“多哈发展回合”整体进展缓慢，如不以壮士断腕的勇气推进WTO机构改革，实难产生直接效果。

近年来，WTO改革成果显著，电子商务联合声明倡议即是重要成果之一。2019年1月，76个WTO成员在达沃斯经济年会上共同发起电子商务多边谈判；2019年3月，谈判正式启动；截至2021年8月，共有86个成员加入谈判；2021年12月14日，作为召集方的澳大利亚、日本和新加坡贸易部长发表联合声明表示，致力于在跨境数据流动等重要问题上取得实质性进展。虽然当前主要成员在数据治理、数据跨境流动的限制、本地化措施，以及是否要求开放源代码等方面存在较大分歧，但多数成员对于今后形成一个具有较高共识的数字贸易多边规则体系持乐观开放的态度。

不可否认，WTO仍然是构建全球数字贸易多边规则的最佳平台。

一方面，WTO是当下最权威、最成熟的多边国际贸易组织，相较于“另起炉灶”，在现有资源基础上进行适应性数字规则创新更有效率，也更有可操作性。

另一方面，WTO在数字相关规则和判例方面均有前期积累，其对于未来规则的形成具有基础制度意义。特别是，如何确保贸易规则与数字创新同频共振已经成为WTO改革的重要内容。未来数字贸易多边规则的形成与制定、创新与发展，与WTO决策机制改革，以及《服务贸易总协定》（General Agreement on Trade in Services，以下简称GATS）等传统规则的变革息息相关。

有鉴于此，本文首先从未来规则与现行规则的衔接与整合着手，分析现行WTO规则规制数据跨境流动的局限，明确未来规则的构建方向。

二、现行WTO规则对数据跨境流动规制的局限

现行WTO法律框架下，因为无法将跨境流动的数据完全归类于相关“货物”，数据跨境流动很难适用《关税与贸易总协定》（General Agreement on Tariffs and Trade，以下简称GATT）或《信息技术协定》（Information Technology Agreement，ITA）中的相关规制条款。相较之下，GATS存在较大的适用空间。本部分试从解释论视角，全面分析GATS对于数据跨境流动规制的适用可能性，主要包括适用范围、实体义务、例外条款等内容，以期澄清一个关键性问题，即GATS规制数据跨境流动的局限性。

（一）适用范围

GATS通过对成员采取的服务贸易措施附加自由贸易承诺义务，以实现在透明度和逐步自由化的条件下扩大服务贸易的最终目的。本部分讨论的起点是，确认数据跨境流动限制措施是否属于GATS的规范对象，即能否构成影响服务贸易的措施。根据GATS第1条第2款的规定，服务贸易共分为四种类型，成员根据不同类型做出不同范围的承诺。其中，与数字贸易关系最为密切的，能够直接适用于数据要素跨境流动的，当属第一类服务，也即从一成员境内向其他成员境内提供服务。对于在线教育或跨境电商等电子商务类服务，数据的跨境传输被视为某一类服务中的一个环节，如对此过程中收集的个人信息或其他数据等施加流动限制或本地化措施，便可能构成影响服务贸易的措施。由此可知，互联网服务包含生产、流通、销售以及购买等多个环节，只要其中一个环节是通过跨境数据流动实现，便可成为第一种服务贸易的承诺对象。

但有学者认为，GATS在底层构造上存在系统性缺陷。GATS依据《服务部门分类表》（Services Sectorial Classification List，W/120）对服务类别进行分类，成员有关服务贸易的具体承诺也通常是基于W/120而做出。1991年，W/120由关税与贸易总协定秘书处根据《联合国临时核心产品分类目录》（United Nations Provisional Central Product Classification，简称CPC Prov）发布。其包含GATS所涵盖的所有服务领域，及其子领域的完整列表，目的是确保各成员做出承诺的兼容性和一致性。而在20世纪90年代初，互联网技术还没有发展到成熟的商业化阶段，未被纳入到分类表中。由此导致无论是作为其他服务提供手段，还是作为独立的服务领域，互联网服务都无法被记载到服务分类别中。

“美国赌博案”正式确立了技术中立性原则，这为克服以上缺陷提供了弹性解释空间。在后续的“中国出版物和视听产品案”中，WTO争端解决机制上诉委员会虽未正式述及技术中立性原则，但在确认了中国承诺列表中记载的概念较为概括这一事实的基础上明确指出，GATS的适用范围会随时代变迁而发生变化。换言之，GATS规范的服务对象可以辐射到基于新技术而衍生出的最新服务类型，即便其最初未被纳入W/120分类表内。但是，如果数据跨境流动的规制措施能够适用技术中立性原则，则意味着成员针对第一类服务而做出的承诺，可扩张至在线教育等电子商务类伴随有数据跨境流动的服务类型。为避免毫无限制地适用技术中立性原则而使得承诺表中的保留选项沦为空设，应出台更明确的适用标准。遗憾的是，自2019年以来，WTO争端解决机制一直处于停摆状态，近期内亦或难有所作为。

当然，各国对于自由贸易的承诺范围并不必然相同。判断某一对象措施是否违反成员所做的承诺，首先要确定是否包含在前述W/120的下位分类中。不少国家已对计算机相关服务做出了自由贸易承诺。而计算机相关服务又下设了五类子服务：

一是计算机器材设置咨询服务；

二是软件运行服务；

三是数据处理服务；

四是数据库服务；

五是其他计算机服务。

其中，与数据跨境流动相关的服务类型主要是数据处理服务和数据库服务。我国未对数据处理服务做出过承诺。因此，只有数据库服务贸易才可能涉及是否违反GATS下相关义务的解释问题。

（二）实体义务

根据GATS的规定，成员所负有的实体义务主要包括国民待遇、最惠国待遇、市场准入以及合理实施四个方面。

1

国民待遇义务

GATS第17条规定的国民待遇义务，要求给予其他成员服务提供者的待遇不能低于提供给本国服务提供者的待遇，由此达到确保平等竞争机会的目的。有观点认为，数据本地化措施会给外国服务提供者带来额外负担；特别是，对于提供同类服务的竞争者而言，会带来不利的竞争条件，不符合GATS第17条的规定。欧盟曾在WTO服务贸易理事会上提出质疑：我国《网络安全法》中的数据本地化措施，会给中国境内的外国企业带来较之于中国企业不利的竞争影响，因此违反国民待遇义务。对此，我国学者认为，只要对本地服务提供者也提出同样要求便可消除不利影响。但实际上，国民待遇义务不仅要求成员要在法律上（de jure）对其他成员提供不低于本国服务提供者的待遇，还要在事实上（de facto）对其他成员提供不低于本国的服务提供者待遇（分别对应于GATS第17条第2款、第3款），因此仍然面临较大外部风险。

2

最惠国待遇义务

不同于国民待遇义务只要在其承诺范围内履行和接受评价即可，GATS第2条第1款规定的最惠国待遇义务，适用于所有服务领域，而与对象措施所涉服务领域是否做出了承诺无关。同前述国民待遇义务的评价进路一致，较之于本国服务提供者，数据跨境流动规制或数据本地化措施，会被视为差别对待，在这种情况下，既可能违反国民待遇义务，也可能违反最惠国待遇义务。值得思考的是，欧盟《一般数据保护条例》中规定的充分性认定标准，经其认定与未被认定的成员会被区别对待，这样做是否违反最惠国待遇义务？有学者分析认为，被认定满足充分性标准的国家所提供的服务，与未被认定具有充分性的国家所提供的服务，原本即不属于“同类（like）服务”，因此不存在违反最惠国待遇义务的风险。

3

市场准入

如前所述，数据跨境流动限制或数据本地化措施，与数据处理服务和数据库服务关系最密切，存在与GATS第16条规定的市场准入义务相抵触的可能性。在前述“美国赌博案”中，美国曾对赌博服务做出过无条件的自由化承诺，却对互联网跨境赌博服务施加数量上的限制性措施，因此构成对服务提供者的数量限制（该款第1项）和服务总量限制（该款第3项）。对此，WTO争端解决机制上诉委员会判定：美国禁止成员提供在线跨境赌博服务，属于“零配额”（zero quota）行为，违反其所负有的市场准入义务。同理，数据跨境流动限制或数据本地化措施，也可能构成对在线数据处理或数据库服务的限制。但是，市场准入义务同样仅限于成员承诺范围以及减让表中记载的条件，我国未就数据处理服务做出承诺，自然不受其约束。例如，云服务等与数据本地化措施关联较密切的服务类别，如果将其归类于数据处理服务项下，就不存在违反市场准入义务的风险，归类于数据库服务贸易则风险较大。实际上，USTR早在《2017年关于中国WTO合规报告》中就质疑：我国《网络安全法》中规定的数据本地化措施是对市场准入的限制，违反WTO项下的承诺。

4

合理实施义务

GATS第6条第1款规定，对于已做出承诺的服务领域，成员应确保其适用的所有措施是以合理、客观且公平的方式实施。为达到合理性实施标准，要进行必要性测试。而在判断是否属于必要措施时，需考虑如下事项：

一是该措施所要保护的利益的相对重要性；

二是对该措施目的实现的期望程度；

三是该措施的贸易限制效果；

四是存在实现目的的合理可实施，且能够与WTO协定实现整合的替代性措施。

此外，GATS第6条第4款、第5款规定，对于已做出过承诺的服务领域，为确保有关资格要求和程序、技术标准和许可要求的措施不会构成不必要的服务贸易壁垒，服务贸易理事会应该通过其建立的机构，制订必要的实施方案。不同于GATS中其他情况下的必要性测试，不必要的服务贸易壁垒与贸易限制的程度无关，与服务提供者的负担程度关联较大。由此推知，成员在做出自由化承诺的服务领域范围内，如果数据跨境流动的规制或数据本地化措施，对其他成员的服务提供者产生了不必要的负担，或其未以合理、客观或公平的样态实施，则存在违反GATS第6条规定之嫌。

（三）例外条款

尽管数据跨境流动规制特别是数据本地化措施可能会与GATS下的国民待遇义务、市场准入义务等产生冲突，但根据GATS的规范构造，如果属于例外条款规定的情况，则能够获得正当性豁免。GATS第14条分为一般例外和安全例外两种情形。

1

一般例外

为检验对象措施是否属于GATS第14条第1款所规定的一般例外，须满足两个条件：

一是属于GATS第14条第1款第a—e项中的任一项；

二是满足该条款的但书规定。

其中，第a项为保护公共道德或维护公共秩序所必需，以及第c项为确保遵守并不违反GATS的法律法规所必需，存在较大讨论空间。

首先

公共道德涉及一个国家和地区所维持或代表的善恶标准，而公共秩序被解释为公共政策或法律所反映的社会基本利益。对于公共利益或公共秩序的保护限度，基于各国文化传统和价值体系不同而有所不同，成员有一定裁量权。在这个意义上，对于将个人信息以及隐私作为基本权利加以保护的国家而言，其出于个人信息或隐私的保护等目的，对数据流动加以限制或采取数据本地化措施等，很可能被解读成为实现公共道德而采取的必要举措。例如，欧盟《一般数据保护条例》中采取的数据跨境流动规制条款，同时满足GATS第14条第1款第a项和第14条第1款c项2的例外情况。

其次

GATS第14条第1款c项3规定的包括网络安全相关法律法规以及消费者权益保护法等法律法规。假设成员出于保护消费者数据或者交易安全等目的，要求企业通过特殊协议实现加密，如不满足此要求则禁止数据的跨境流动。近年来，网络安全受到各国政府的高度重视，成员基于该条例外条款，主张对象措施是基于遵守网络安全法的目的，例如，对数据跨境流动加以限制是为防范国家重要基础设施免遭网络攻击，也属于合理范畴。

最后

GATS第14条第1款“只要这类措施的实施不在情况相同的国家间构成武断的或不公正的歧视，或构成对服务贸易的变相限制”规定的主要目的是防止该条规定的例外条款被滥用。具体判断需要基于对象措施的具体构造。对象措施是否是无差别的、该差别是否具有武断的或不公正的歧视，以及是否在相同条件下在某国产生该差别等不同情况。例如，在欧盟委员会认定某一国家满足充分性标准的情况下，两国间实施允许数据自由流动的框架，而这一框架在同样被认定满足充分性标准的国家间不应有别。

2

安全例外

以个人信息保护为目的的数据跨境流动限制或数据本地化措施，能够满足GATS第14条的一般例外情况，但其适用对象却很难涵盖至企业数据、公共数据等非个人数据。特别是，军事机密数据、敏感实验数据等非个人数据的流动往往关涉到国家安全利益。对此，各国会在出口管理措施中加以限制，而经济贸易协定中通常会将此问题作为例外条款规定。其中，第14条第1款a项最可能成为军事机密数据、敏感实验数据等非个人数据跨境流动限制措施的正当性基础。该条款源自于GATT第21条的安全例外条款，通常理解为是各成员的自裁决条款（Self-Judging Clause）。对此，曾有成员主张，国家安全利益并不在专家组审查权限范围内。也即，只要是基于GATT第21条第1款a项或GATS第14条第2款a项所采取的措施，即不存在司法审查介入空间。

以上理解进路，在2019年“俄罗斯—乌克兰禁运措施案”中被推翻。专家组报告书指出，对象措施是否符合GATT第21条的安全例外，应由专家组进行客观审查，而非成员自行判断。而且，由于a项不存在b项具体列举事项，因此举证标准应有所缓和。此外，在先成果对于非个人数据跨境流动限制措施能否满足安全例外的情况，尝试解释适用后认为，对军事数据和信息加以限制，符合第14条第2款a项规定的安全例外情况；与网络攻击等相关的数据本地化措施，则符合第14条第2款b项3规定的安全例外情况。

（四）适用界限

全面检视后发现，数据跨境流动的规制或数据本地化措施，可能会与GATS下的市场准入义务和国民待遇义务等承诺发生抵触，但通过一般例外或安全例外获得正当性豁免的余地较大。正因为现行WTO多边规则对数据跨境流动的限制措施缺少最低共识，让成员自由裁量，无法解决各成员实现隐私保护和服务器安全等公共政策目的所涉及的多样性问题，才导致当下各国数据跨境流动立法出现较大价值分歧和不同的立法选择。这或许是多数学者认为现行WTO规则在数字贸易规则体系中存在感甚微的根本原因。

除GATS下的例外条款在促进数据跨境流动立法方面所起的作用甚微外，GATS的底层构造也存在严重缺陷。如前所述，GATS对于各国跨境数据流动规制或本地化措施等能否起到规范性作用，主要取决于如何解释成员基于W/120服务分类表做出的市场准入、国民待遇义务等承诺，而W/120服务分类表并未充分反映出数字时代的应有含义。虽然解释论认为，只要数据跨境流动对于服务贸易中的生产、流通等任一环节必不可缺，数据跨境流动的规制措施便可包含在承诺对象范围内，但迄今为止还未发生过与数据跨境流动规制或本地化措施直接相关的WTO争端案例，其适用范围和判断标准的扩张和演化仍在学理讨论阶段。

三、各国法制的主要分歧与先行一步的FTA

在主要国家对于数据跨境流动如何规制尚未达成有效共识，甚至在规则制定层面可能存在政治化和阵营化的情况下，不少国家通过FTA先行一步，与现行WTO规则形成并行规制的双重格局。据统计，目前已有超过180个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则专门章节或条款。我国学者将此现象总结为“规则碎片化”。考虑到现有研究已对《全面与进步跨太平洋伙伴关系协定》（The Comprehensive and Progressive Agreement for Trans-Pacific Partnership，以下简称CPTPP）、《美墨加协定》（United States-Mexico-Canada Agreement，以下简称USMCA）、《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，以下简称RCEP）以及《数字经济伙伴关系协定》（Digital Economy Partnership Agreement，以下简称DEPA）等典型FTA进行了专门研究，本文拟在这些研究成果的基础上，重点从数据保护国际协调中的根本分歧出发，重新解构当前主要FTA中相关条款构造及其纵横勾连，以清晰刻画出数据跨境流动的规制现状及其内在矛盾，为未来数字贸易多边规则的制定提供一个客观的借鉴视角。

（一）各国规制的主要分歧

截至目前，包括我国在内的70多个国家和地区在数据保护和治理相关立法中对数据跨境流动进行了不同程度的规制。而各国规制的分歧主要体现在规制措施的正当性上，包括保护个人信息和保障国家安全两个方面。

1

个人信息保护

个人信息保护源自隐私权理论。有关隐私权内涵外延的解释，能够反映出不同社会的历史、政治、文化价值。各国基于价值取舍后，在个人信息保护和隐私权立法方面的表达不尽相同。例如，欧盟通过《欧盟基本权利宪章》对数据隐私相关权利加以保障；美国将隐私权保障交由州层面立法及行业自治；我国《民法典》《个人信息保护法》《网络安全法》《数据安全法》等多部法律和行政法规、行业和技术标准等共同构成了我国个人信息保护的法律制度有机体系。各国个人信息及隐私权的法制水平差异的背后，关涉人权保障、经济发展等重大命题。正如有学者指出，不宜将隐私权与数字时代的隐私权等同对待，因为较之于前者，后者具有易流通、易利用等新特点。因此，一些国家在数据立法过程中，也将个人信息相关权利与隐私权分别对待。

国际组织层面形成了多部隐私权保护指南。2013年，OECD发布《OECD关于保护隐私和个人数据跨境流动的指南》，并公布了推荐成员遵守的最低标准。该指南本身未正面涉及数据跨境流动规制问题，但接下来的OECD理事会提议，应考虑到数据本身的精微性、限制目的及风险比例等。2018年，欧洲委员会修订了1981年出台的数据保护108号公约。该议定书第14条对于数据跨境流动进行了规定，要求成员不得以个人数据保护为目的限制数据的流动，但如果满足如下条件则不受限制：（1）向其他成员流转，或者从成员向非成员流转存在现实的重大风险；（2）成员受到其所属区域性的国际组织有关数据流动共享的规定约束。

此外，亚太经济合作组织（Asia-Pacific Economic Cooperation，以下简称APEC）采用了跨境隐私保护规则（Cross-Border Privacy Rules，以下简称CBPR）。目前共有8个国家和地区参与了CBPR，包括美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚和中国台湾地区。CBPR实际上是一套认证体系，获得认证则意味着，这些国家和地区的个人信息保护水平值得信赖。CBPR并不要求成员修订其国内个人信息保护法制，因此，从个人保护的角度很难被评价为是高水平的国际标准。

各个国家和地区对个人信息及隐私权保护的立场和具体表达不一致。有的强烈主张个人信息保护作为基本人权应优先于经济利益考量，典型如欧盟。有的则不赞同这种将数据保护的人权价值面向完全凌驾于其他价值之上的做法。究其根本原因，或是由于以上公约或指南皆属推荐性质，不具有如WTO法律规则或FTA的硬法属性。

2

国家安全保障

国家安全的概念具有开放性和弹性，且其内涵呈现出扩张趋势。数据安全已然成为各国传统国家安全利益之外的新型根本利益。无论是制定数字贸易规则，还是各国国内立法，如何有效确保数据流通过程中的国家安全利益，都是重中之重。本文赞同不论是彻底主张数据跨境流动的美国，还是从另一个角度公对数据本地化的欧盟，在数据立法以及数字贸易谈判中都是出于国家安全的考虑。

以美国数据保护和利用的逻辑为例。2018年，美国制定了《澄清合法使用境外数据法案》（Clarifying Lawful Overseas Use of Data，简称CLOUD），不仅对美国企业调取国外数据进行了规定，还对外国政府调取美国境内的数据进行了规定。如果说以上法案是美国对数据跨境流动施加的直接限制，那么对内直接投资审查即是间接限制。2018年，美国出台《外国投资风险审查现代化法案》（Foreign Investment Risk Review Modernization Act of 2018，简称FIRRMA），进一步强化在美国境内的投资审查，其中与数据跨境流动密切相关的，当属个人信息和技术秘密的泄露风险。2018年1月，阿里巴巴旗下的蚂蚁金服公司提出以12亿美元收购美国金融服务公司，但美国外资投资委员会以个人信息泄露为由，最终未批准本次收购。经此观察，美国数据保护和利用的逻辑有两个方面：

一是低水准的个人信息保护，以追求数字流入和逆差为目标；

二是高水准的非个人信息保护，以保障数字顺差下的国家安全为最终目的。

（二）主要FTA关于个人信息跨境流动的规制及其特点

以欧盟为代表，出于个人信息保护的目的对数据跨境流动加以限制，是符合GATS一般例外条款规定的。已缔结的FTA，即便都是从个人信息保护或隐私权角度对数据跨境流动进行限制，但规制内容、特点及效果却有所差异，具体如下。

1

强调高水平的个人信息与隐私保护

欧盟缔结的经济贸易协定对于个人信息保护的要求最为严格。2018年，欧洲委员会通过了经济贸易协定谈判过程中应该遵守的数据流通和个人信息保护的通用条款。欧盟在《日本欧盟经济贸易协定》《墨西哥欧盟自由贸易协定》等FTA中即采用了该通用条款，但在与英国签订的《欧盟英国贸易协定》中并未对数据跨境流动进行特别限制。其中原因，或可从该协定第202条中找到答案：双方对于公民提供的高水平的个人数据及隐私权保护具有共识，这是未来发展数字经济过程中的信赖基础。换言之，双方要达成的共识，是在确保各自较为严格个人信息保护水平得以有效确保的基础上实现数字贸易有序进行的目的。与此逻辑有所不同，欧盟在与加拿大签订的经济贸易协定中设定了专门电子商务章节，其更强调在现有国际标准之上的进一步调和。此外，该协定第16.2条确认了WTO规则的可适用性，并要求充分考虑双方加入的国际组织中有关数据保护的国际标准。由此观之，虽然欧盟也会根据缔约对象具体情况差别对待，但总体上坚持了欧盟《一般数据保护条例》中的数据跨境流动限制原则，并要求缔约国能够提供对等的数据保护水平。

2

强调不同法制间的互操作性

与欧盟要求其他国家至少要具有相同水准的个人信息保护水平形成对比，以CPTPP、USMCA为代表的FTA，更加侧重实现不同法制间的互操作性，以此加强不同国家数据保护水平未来趋同的可能性。

除未规定CPTPP第14.11条第1款要求的要件外，USMCA第19.11条有关数据跨境流动的规则设置与CPTPP基本相同。这两个协定关于个人信息跨境流动规则的特点主要有三个：

第一，各国在制定个人信息保护相关法律时，应该考虑国际组织隐私原则方针，例如，USMCA第19.2条第2款要求成员有义务在充分考虑CBPR和OECD中隐私保护指南的基础上制定个人信息保护法。美国向来是以CBPR为核心规则，这实际上是美国标准的对外输出。

第二，二者都承认不同成员间个人信息保护法制差异的必然性，鼓励有利于促进各国不同法制间兼容性（compatibility）的机制创新。例如，USMCA第19.2条第6款以及CPTPP第14.8条。

第三，虽然二者均以个人信息自由流动为主要原则，但也同时设置了例外条款。例如，CPTPP第14.11条以及USMCA第19.11条。

美国与日本签订的数字贸易协定基本采用了相同逻辑。尽管该协定未明确要求两国在个人信息保护法制方面的必然协调，但根据第15.4条的规定，成员对于个人信息采取的规制措施须获得其他成员的认可。美国与澳大利亚、巴拿马等国签订的FTA就保护消费者的重要性进行了规定，但未单独设立个人信息保护专门条款。此外，美国同韩国签订的FTA，虽然意识到个人信息保护的重要性，却未对数据流通加以任何限制。

值得一提的是，DEPA同样规定，成员有义务充分考虑国际组织中的原则或指南来制定个人信息保护法，具体体现在第4.2条第2款的基本原则之中。相较于CPTPP和USMCA，DEPA更进一步的是，为增加各国法制间的兼容性和互操作性，在第4.2条第5款中规定了具体的促进机制。

3

强调不同法制间的最大包容

如果说前两种类型是少数国家的俱乐部，那么RCEP以尊重各国文化制度差异、基础设施水平等差异为基本前提，目的是寻求多数经济体间的包容互惠。RCEP第12.15条第2款规定，一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。由此推知：RCEP关于数据跨境流动的规则，未对数据类型进行严格区分，既可能包括个人信息，也可能包括非个人信息；RCEP倡导限于商业目的的数据跨境流动自由，但不包括司法机构的跨境取证。比较发现，RCEP与CPTPP和DEPA均认可了数据跨境流动的重要意义，并且核心义务和适用范围的规定也较为一致，不同之处在于RCEP充分考虑了各成员的发展差异。具体来说，RCEP第12.14条第1款承认各缔约方有权设置各自的跨境传输监管要求（主要指数据本地化存储），这也是受诟病最多的一点。实际上，即便未规定数据本地化措施，只要对数据跨境流动加以严格限制，就可以实现数据本地化存储的同等效果。因此，实无必要纠结是否设置了数据本地化存储条款。这也是本文将数据本地化措施归类于数据跨境流动的主要原因。

（三）主要FTA中例外条款的比对

典型FTA中普遍设立了例外条款，主要是为数据跨境流动的规制留有余地。在例外条款的构造方面，以CPTPP、RCEP为代表的FTA，总体上承继了WTO法律规则体系中一般例外和安全例外的整体设计思路，但又有些许差异，具体如下。

就一般例外条款而言

尽管CPTPP第14.11条并未采用RCEP第12.15条的公共政策必要性自裁决条款，但也存在弹性解释空间。这是因为，CPTPP第14.11条中“具有正当目的的公共政策”的措施，并未采用如GATS第14条限定列举的方式，由此即可能包括种类丰富的政策目的。此外，CPTPP第14.11条中的两款但书规定与GATS基本一致，在适用方面可参考先例解释。

就安全例外条款而言

较之于前述GATS第14条第2款，CPTPP第29.2条中成员的自由裁量范围更大。理由是，CPTPP第29.2条a款与GATS第14条第2款第1项基本一致，但CPTPP第29.2条b款并未像GATS第14条第2款那样，对出于安全保障重大利益所必要的措施进行限定列举。相较之下，RCEP意图保障主权国家的数据治理话语权，因此规定其他缔约方不得对此类措施提出异议。在最终效果上，这一点与CPTPP的注释12和注释14中规定的由成员决定必要性并无实质区别。

实际上，真正的差异体现在，CPTPP第14章以及第29.2条b款的安全例外条款，并未排除安全例外条款事后司法审查的可能性。追溯WTO争端解决纠纷和投资仲裁方面的先例，根据安全例外的自裁决条款而成立的对象措施，有必要服从司法上的诚实性审查。虽然这种制度设计能够降低安全例外条款被滥用的可能，但也为各国国内立法带来了极大的不确定性障碍。

四、未来数字贸易规则图景中数据跨境流动的规制

我国应把握好WTO改革契机，推动构建数据跨境流动规则。考虑到当下WTO规则与FTA双重规制的格局，以及WTO改革进程的周期性及不确定性等因素，未来数字贸易规则的制定应重点思考以下三个问题：

一是未来规则与现有规则的协同发展，特别是与GATS的衔接和整合，与典型FTA的借鉴和继承；

二是制度创新与国家安全之间的平衡，国家安全与例外条款的合理解释与适用界限；

三是如何通过国家间对话、国际标准等软法路径推进凝聚规则共识。

（一）典型FTA对于未来数字贸易多边规则的借鉴

GATS仅能对数据跨境流动提供有限规制，且其自身存在服务分类表、例外条款被滥用等结构性缺陷。在这个意义上，FTA的尝试是在GATS基础上修正与演化发展的结果。值得思考的是，FTA层面上已形成的有关数据跨境流动规制规则，在多大程度上能够为未来数字贸易多边规则吸收借鉴？

首先

从多边经济贸易规则的政治经济学出发，有必要探索一套跨境数据流动国际规则与各国国内法制的调和路径。对此，应重点考虑未来数字贸易多边规则对各国数据治理带来的可能影响，在此基础上划定一个多数成员可接受的规制范畴。就具体方式而言，完全可继承当前GATS、CPTPP、RCEP等典型FTA中设定例外条款的方式，赋予各成员一定自由裁量权，由此圈定各成员的“自留地”，确保更大范围、不同规模的数字经济主体可以享受到到全球数字经济发展的红利。当然，问题的关键在于如何确定各成员“自留地”的范畴，这需要有效的沟通协调。这也是本文提倡除电子商务诸多边谈判以及FTA等硬法手段外，还应注重运用国家间对话、国际组织、国际标准等软法路径的主要原因。

其次

几个典型FTA的内容设计呈现出一定趋同性，很可能成为未来数字贸易多边规则的文本基础。USMCA几乎整体移植了CPTPP中的电子商务章节，除作为本文重点讨论对象的数据跨境流动和数据本地化措施外，还包括计算机相关设备的禁止要求、代码和算法开放的禁止性规定等内容。尽管RCEP的例外条款有所不同，但其内容总体架构大致相同。特别是，不同FTA间也在进一步寻求达成内容共识。当然，现有FTA存在一个共性问题，即缺少一个有效的争端解决机制。未来数字贸易多边规则应充分利用WTO争端解决机制，并进行数字化革新，解决好制度的实效性问题。

最后

以DEPA为代表的新兴FTA提供了更多的参照。如果说CPTPP或USMCA是高标准规制的典型代表，那么DEPA作为全球第一个专门针对数字领域达成的经济贸易合作协定，在模式创新上具有先进性。此外，已于2021年12月正式生效的ASEAN，虽然其内容透明度和技术细节方面有待完善，但在整体规制方向上对于未来数字贸易多边规则的形成具有先例意义。

（二）国家安全与例外条款的合理融合

现行经济贸易规则中的例外条款，可能成为机会主义的工具。寻求国家安全与例外条款的合理融合，成为全球数字贸易规则制定中的重点和难点。

从跨境数据流通全球网络的构建看，GATS的现行构造和规制力度是不充分的，应进一步完善。就GATS第14条安全例外条款而言，其主要将基于国家安全和公共政策目的而设置的规则例外交由各成员自由裁量，但未提供一个最低水平的基准线。对此，可将其作为独立议题在电子商务谈判中提出，并着重解决安全例外条款保护的国家安全利益范围问题。

从前文对主要国家数据立法逻辑和路径进行分析后可知，各国在国家安全利益上的分歧主要体现在数据分类和认定上。总的看，数据分类至少包括四个维度：

一是按照数据对象分为个人数据和非个人数据；

二是按照数据性质（数量、种类和更新频率等）分为限定数据和普通数据；

三是按照数据价值分为知识产权数据和非知识产权数据；

四是按照数据生命周期分为获取、利用和加工等不同时期的数据。

本文认为，各国数据安全立法调和的基石是从国际层面上明确采用何种分类标准，而国际规则层面的分类标准不应采取国内立法数据分类基础的进路，可以按照调取利用的目的进行分类，如犯罪搜查数据、国家安全数据、重点产业数据等。此外，还应明确国家安全数据包括涉及未来产业发展、知识产权保护、技术转移等经济安全的数据。

（三）多元路径推动数据跨境流动规制达成共识

除电子商务多边谈判和充当现行WTO规则补强角色的FTA外，不同国家和地区间的合作对话、与国际标准制定组织协同治理、发挥国际组织团体的协调力量等路径，都可以在不同层次上有效增进不同国家、地区、圈层之间的相互理解和信任。

第一

加强重点国家和地区之间的数字经济交流对话。以形成明确的国际规则为目标，未来数字贸易多边规则的一个努力方向是寻求各国法制对于数据跨境流动规制基点的全球解。考虑到现实可行性，欧盟《一般数据保护条例》中的充分性认定，这种不以各国法制调和为前提，只要实现等同性标准即可的机制，对于渐进性达成有限范围内国家和地区间的数据法制调和目标，并将局部性成果拓展为全球规则具有非常重要的参考意义。

第二

加强数字贸易多边规则与国际标准制定组织的衔接。未来数字贸易多边规则，不局限于以往主权国家的多国假设，还涉及与互联网治理、隐私保护、服务器安全等国际组织的协同治理。特别是网络服务器安全等领域，与政府强制性规制路径相比，自主规制路径或协同规制等综合治理手段更加有效。同样值得认真对待的是，战略性持续跟踪国际标准制定组织的治理改进和决策过程。

第三

推动构建全球数字贸易规则协调机制。国际上对于能够有效支撑数据跨境流动治理、隐私和服务器安全等公共政策，尚未达成基本共识。在此背景下，很难对数据跨境流动的规制方式形成国际合意。当务之急，应推动构建国际协调机制，确保多数国家就前述关涉各国公共政策等问题进行有效的对话沟通，强化各个国家和地区之间的理解和信任。在这一点上，CPTPP电子商务贸易专章要求对包含有个人信息的电子商务交易规则、政策和举措等进行信息交换，是在局部范围内的先行尝试，未来可以在更大范围的国家和地区推广。

结语

2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》提出：“推动数据跨境流动双边多边协商。”2023年2月，中共中央、国务院印发《数字中国建设整体布局规划》提出：“积极参与数据跨境流动等相关国际规则构建。”我国是数字经济大国、国际贸易大国，也是自由贸易的践行者、维护者，更是WTO改革的倡导者、支持者，应把握好WTO改革契机，通过创设、改变和更新规则的方式，消除多数成员在数据跨境流动上的规制分歧。未来数字贸易多边规则图景的擘画，除数据跨境流动外，还涉及计算机相关设备的禁止要求、代码和算法开放的禁止性规定等难题，任重道远。

作者：刘影，北京理工大学法学院

项目来源：国家社科基金项目“美国技术出口管制的法律制度、趋势及中国的对策”（21VGQ002）

本文转载自微信公众号知识产权杂志，原载于《知识产权》2023年４期

| | | | | | | | | | | | | | | |更多精彩敬请期待

投稿邮箱： [email protected]

特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.