【中文关键词】 数据本地化措施；贸易规制；“技术中立”原则；TPP

【摘要】 随着信息通讯技术的发展和普及，数字经济已成为当前国际经贸主流形态之一。基于维护国家安全、维护社会公共道德和公共秩序、保护个人隐私、防止消费欺诈、便利执法以及促进产业发展需要等政策关切，各国大多采用数据本地化措施对数字经济加以规制，由此影响到数字贸易自由。根据判例确定的“技术中立”原则，WTO协定原则上涵盖数字贸易争端，但受历史条件所限，WTO协定法律文本未能触及数字贸易规制问题，相关法律适用存在诸多不确定性。美国和欧盟试图通过签订双边或区域协定补足WTO协定漏洞，但就如何保护数字贸易中的个人数据存在重大理念冲突和制度差异，短期内难以达成一致。美国主导的TPP明确禁止缔约方采取数据本地化措施原则，并设置若干例外。这一“原则＋例外”规制模式可容纳中国倡导的网络安全价值，优于欧盟提出的统一国际标准规制模式，中国理应支持。

【全文】

随着信息通讯技术的发展和普及，以互联网、云计算、物联网和大数据分析方法为代表的数字经济深刻地影响到政治、经济和社会各方面。基于维护国家安全、维护社会公共道德和公共秩序、保护个人隐私、防止消费欺诈、便利执法以及促进产业发展之需要，各国纷纷采取数据本地化措施，限制数据跨境流动。此类国内措施是否构成贸易壁垒、是否受制于国际贸易协定，成为各方关注焦点。鉴于世界贸易组织(WTO)体制在当前国际经贸治理中的影响力，以及各国进行国际规制协作的路径依赖特性，厘清数据本地化措施在WTO协定及双边和区域贸易协定中的合法性及相应规制模式，对于中国确定规制立场、维护规制主权具有重要启示意义。

一数字经济背景下数据本地化措施及相关规制争议

数字经济是指以数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。[1]借助互联网数字技术，数字贸易中的数据跨境流动成本与国内流动成本相差无几。由此，以互联网平台为依托的数字经济一开始就具有全球化的潜质。尽管如此，但各类数据最终仍来源于现实世界，相关数据的收集、储存、处理和分析仍需借助特定的主体和设备方能完成。正是以数据来源、数据相关方和设备为抓手，国家得以顺利介入全球化数字经济市场，限制各类互联网数字技术的使用或对其施加实质或程序要求，实现对数字经济的规制。

(一)数据本地化措施的结构与内容

鉴于数据跨境自由流动会削弱数字经济规制效果，各国大多采用数据本地化措施，确保本国法律的施行。从规制结构上分析，数据本地化措施可大致分为原则和例外两类。其中，禁止数据出境、在本地储存和处理数据等构成基本原则，而出口数据需经数据主体同意或规制机构许可构成例外。比如，2011年，印度通讯技术部颁布了旨在实施2000年《信息技术法》若干规定的规则，将敏感个人数据或信息的境外传输限定在两种情况之下：必要或数据主体予以同意。[2]法国则提出“主权云”战略，由政府直接入股两家云计算企业，各持有三分之一股份，力图加强当地数据中心基础设施建设，掌握数据主权。不仅如此，还有智库提出，应对那些源于“常规性和系统性监督使用者活动”的数据征税，而最终税率将取决于相关责任人对于个人隐私的尊重程度。[3]

由于各国具体情况不一，规制目标和个人数据保护水准的设定存在差异，在具体内容方面，数据本地化措施呈现出多样化的特点。

一些国家数据本地化措施范围较窄，以保护数据主体的隐私和安全为限。以澳大利亚2012年通过的《个人控制电子健康记录法》(PCEHR)为例，其第77条第1款规定了个人数据保护的基本原则，禁止那些基于PCEHR系统而持有记录的系统运营者、登记注册的储存运营者、登记注册的门户运营者或登记注册的合约服务提供者在澳大利亚境外持有或取得相关记录，或者在澳大利亚境外加工或处理与该记录有关的信息。[4]同时，该条第2款规定了例外，即如果相关记录未包含“与消费者有关的个人信息”或“可识别的个人或实体信息”，则相关数据可在澳大利亚境外传输、加工和处理等。据此，通过匿名化处理，外国公司仍可在境外储存和处理相关数据。马来西亚也采取了类似于澳大利亚的策略，仅关注数据主体的隐私和安全。[5]

另一些国家数据本地化措施范围较广，不仅保护数据主体的隐私和安全，还涉及国家安全、法律执行等事项。这方面以中国的相关立法最为典型。2013年《征信业管理条例》第24条规定，征信机构在中国境内采集的信息，要在境内加工、保存和整理；征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定。2016年《网络安全法》第37条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。从保护的价值来看，《征信业管理条例》指向数据主体的隐私与安全，而《网络安全法》则直指国家安全事项。与中国类似，法国、印度、俄罗斯、印度尼西亚和韩国等国均试图通过数据本地化措施达到保护个人隐私和安全、促进法律执行以及维护国家安全等目的。[6]

(二)数据本地化措施引发的规制争议

数据本地化措施属于政府采取的规制手段之一，旨在实现特定的规制目标。同其他规制行为一样，数据本地化措施也面临着诸多争议，涉及为何规制、何谓“好的”规制、如何解释规制、以及规制失灵和规制风险等话题。[7]当前争议主要集中在三个方面。

1.数据本地化措施的合目的性问题

规制措施的正当性主要依赖于是否有助于规制目标实现。当前，各国对于保护数据主体的隐私和安全这一目标存在共识，因其与数字经济中的信任问题息息相关，而信任是数字经济得以存在和发展的基石。1995年《欧盟数据保护指令》及作为后继立法的2016年《一般数据保护条例》基本上以数据主体的隐私和安全为其核心目标，是此类立法的典范。而在此之外，当一国以保护国家安全、反对外国监听、促进经济发展或便利法律执行等证成数据本地化措施的正当性时，便存在若干争议。以国家安全为例，有学者认为，数据本地化措施是整体国家安全观的必然要求。[8]这一论断在中国法律语境下较少争议，但能否在国际交往层面获得普适性和优先性仍需进一步论证。

2.数据本地化措施的必要性问题

与合目的性不同，必要性主要讨论在条件类似的情况下，是否有同样可以达成目标的其他可行措施作为替代。以防止外国监听为例，根据英国《卫报》报道，美国国家安全局对至少35位国家领导人实施了监听，并对全球5万多个电脑系统实施通信截获。[9]“斯诺登事件”发生后，一些国家采取数据本地化措施，防止美国或其他外国获得和分析本国数据。问题在于，数据本地化措施是否构成防止外国监听的必要措施？对此存在理论争议。在政策层面，有观点认为，在很大程度上实施数据本地化措施是对美国“棱镜”计划的“过激”反应，旨在满足民众诉求，因为几乎所有国家均实施过外国监听，一些国家还常规性地分享截获的信息。[10]在技术层面，数据本地化措施不仅无助于阻止外国监听，反而还有可能便利此类行为。比如，当一国在数据保护技术方面存在短板时，本地储存和加工的数据反而更易成为攻击对象。

3.数据本地化措施的合比例性问题

一项规制措施即使符合必要性标准，也会因为负面效应过大而得不偿失。随着数字经济时代的来临，很多国家和地区将数据本地化措施视为促进本国经济发展的利器之一。比如，在数据本地化的大背景下，中国宁夏中卫云基地吸引了亚马逊、 IBM、阿里巴巴等云制造、云服务、云应用项目落户，苹果公司已在贵州贵安新区建设中国数据中心。有观点认为，数据本地化措施如同其他保护主义措施一样，在有利于当地企业和就业的同时，也可能对整个经济造成损害。具体表现在两个方面：一是相关数据服务仅由当地服务机构提供，本国消费者被隔绝在更具竞争力的国际服务之外；二是数据服务是全球价值链的重要组成部分，低效的当地数据服务会减损传统企业的竞争力。[11]

综上所述，数据本地化措施已为多数国家采纳，但在具体规则的设计层面仍存在诸多争议。由于数字经济本质上无地域限制，而数据本地化恰恰人为地限制了数据跨境流动，因此相关规制争议最终可归结为：原则上要求数据本地化的规制措施如何与原则上要求跨境自由流动的数字经济共存？显然，不同的国内法语境存在着不同的规制选择。在国际法层面，这些不同规制选择唯有借助条约机制方可实现彼此间的协调与合作。鉴于大多数国家均系WTO成员，且WTO相关协定以及依托于WTO的双边和区域协定存在关于数据跨境流动的规定。下文将以相关贸易协定的规定为起点，分析一国采纳数据本地化措施的国际法限度问题。

二数据本地化措施在GATS项下的合法性

WTO协定是互联网尚未普及的前数字经济时代产物。在乌拉圭回合期间，数字经济尚处于萌芽状态，很少有条文专门针对数字贸易。1998年设立的电子商务工作组项目迟迟没有进展。[12]尽管如此，1994年《关税和贸易总协定》(GATT1994)、《服务贸易总协定》(GATS)和《与贸易有关的知识产权协定》的框架相对完善，当数字贸易争议提交至争端解决机构(DSB)时，专家组和上诉机构可通过条约解释加以应对。鉴于数字贸易多以服务贸易形态出现，本部分仅分析GATS对数据本地化措施的适用问题。

结构上，GATS分为六个部分，即“范围和定义”(第1条)、“一般义务和纪律”(第2-15条)、“具体承诺”(第16-18条)、“逐步自由化”(第19-21条)、“机构条款”(第22-26条)和“最后条款”(第27-29条)。在此框架下，一旦某项措施构成“范围和定义”项下影响服务贸易的措施，则应受制于“一般义务和纪律”项下的最惠国待遇和透明度义务，并可寻求一般例外和安全例外。不仅如此，根据各成员具体承诺的情况，该措施还应受制于“具体承诺”项下的市场准入和国民待遇义务。

(一)数据本地化措施与“影响服务贸易的措施”

根据上诉机构在“加拿大—汽车案”中的观点，一项措施是否构成“影响服务贸易的措施”是适用其他GATS条款的逻辑前提。该第1.1条包含两个要素：(1)是否存在第1.2条意义上的“服务贸易”；(2)相关措施是否“影响”该服务贸易。[13]

就要素(1)， GATS第1.2条规定了四类服务贸易：跨境提供、境外消费、商业存在和自然人流动。其中，跨境提供被定义为“自一成员领土向任何其他成员领土提供服务”，与典型的跨境数据流动服务最为接近。然而，数字服务贸易与常规服务贸易毕竟在形式和运作上存在不同，如果要将前者界定为跨境提供，仍需解决一个实证性的法律问题：GATS的相关规定是否足以涵盖这一新兴的数字服务贸易？就此，“美国—赌博案”专家组认为，如果一成员在具体承诺表市场准入一栏就跨境服务提供方式不加限制，则意味着涵盖以任何方式提供的该类服务，包括技术进步之后引入的新方式。专家组强调，这一“技术中立”原则已成为诸多WTO成员的共识。[14]根据这一法理，GATS是一个“成长的协议”，相关承诺的范围和内涵可随技术进步而不断变化；除非成员特别排除，数据跨境流动服务应属于“服务贸易”之一种。[15]

就要素(2)，涉及如何解释“影响”一词。对此，“欧盟—香蕉案(III)”上诉机构认为，“影响”一词的通常含义是指一项措施“对……起作用”，适用范围广泛。[16]“加拿大—汽车案”上诉机构指出，在分析“影响”时，专家组应当考察措施对相关服务或服务提供者能力的影响。为此，专家组需要具体确定“谁”提供了服务，以及“如何”提供服务等事实，然后才能确定是否存在“影响”。[17]就数据本地化措施而言，其核心要求是，外国服务提供者(“谁”)应在本国储存和处理数据(“如何”)。由于GATS跨境服务本身并不要求服务提供者在国外存在或运营，[18]这一要求必然会影响数据跨境流动服务。

因此，综合考虑因素(1)和因素(2)，可以认为，数据本地化措施构成GATS第1.1条所言的“影响服务贸易的措施”。

(二)数据本地化措施与成员国“具体承诺”

不同于GATT1994， GATS秉持逐步自由化理念，WTO成员在GATS项下的义务以具体承诺为准。当前并无案件直接处理WTO成员数据本地化措施是否违反市场准入或国民待遇义务，但根据DSB此前裁决确立的教义，我们仍可大致推断专家组、上诉机构所持有的基本立场。

1.市场准入具体承诺

就市场准入具体承诺，GATS第16条规定了两点：一是基本原则，即每一成员对于任何其他成员的服务和服务提供者给予的待遇，不得低于其在具体承诺减让表中同意和列明的条款、限制和条件；二是具体要求，即在作出市场准入承诺的部门，除非在其减让表中另有列明，否则一成员不得维持或采取特定措施限制服务或服务提供者的数量或类型。为确定数据本地化措施是否符合市场准入具体承诺，需要采取两步骤分析法：第一步，应确定成员是否就相关服务贸易作出具体承诺；第二步，如果作出具体承诺，相关措施是否违反GATS第16条的基本原则和具体要求。[19]

理论层面，第一步分析的难点在于，当一成员就服务贸易的市场准入作出具体承诺时，数字经济和数字贸易尚未被充分关注，需要通过解释方可确定具体承诺是否包括基于数据的服务贸易。就此，DSB的相关裁决有一定的启示价值。“美国—赌博案”上诉机构认为，如WTO成员在具体承诺减让表相关栏目中未作特别说明，则GATS的承诺涵盖所有提供服务的方式。[20]“中国—电子支付案”专家组进一步指出，一个包括所有服务“部门”的承诺包括其所有属于减让表中提及的服务部门或亚部门定义范围内的所有活动，而不论这些活动是否明确地在部门或亚部门定义中列出。[21]根据此类裁决，一个合理的推论是，如果一成员就涉及数据的服务，即《中心产品分类目录》(CPC)第84项下的数据处理服务和数据库服务作出不受限制承诺，则意味着大范围的数据商务和客户服务，如基于云的B2B、社交网络和搜索引擎等线上数据储存和处理服务均可被囊括进来。

一旦确定涉及数据的服务构成具体承诺的一部分，则应继续分析“影响”此类服务贸易的数据本地化措施是否违反GATS第16条所列明的具体要求。[22]就此，GATS第16.2条的(a)项和(c)项最为相关，两者均禁止以数量配额或经济需求测试对服务提供者或服务业务总数、产出总量实施数量限制。“美国—赌博案”上诉机构指出，GATS第16.2条项下的(a)项和(c)项均与数量限制有关，一成员采取的“数量配额”包括“零配额”这一情形。[23]当前，各国数据本地化措施通常会要求数据服务提供者在当地运营，或者要求在当地储存和处理数据，这相当于以“零配额”的形式对服务提供者和服务施加了数量限制，有可能违反GATS第16条的具体承诺义务。

2.国民待遇具体承诺

就国民待遇具体承诺，GATS第17条规定了三点：一是基本原则，即在遵守承诺减让表所列条件和资格的前提下，给任何其他成员的服务和服务提供者的待遇不得低于给予本国同类服务和服务提供者的待遇；二是实质优先于形式的规定，即一成员可通过形式上相同或不同的待遇，来满足上述原则；三是较为不利待遇的界定，即如果形式上形同或不同的待遇改变竞争条件，有利于该成员的服务或服务提供者，则此类待遇应被视为较为不利的待遇。就此，在分析数据本地化措施是否违反国民待遇具体承诺时，需要采取三个步骤：第一步，确定一成员就国民待遇作出的具体承诺是否包括数字贸易；第二步，确定数据本地化措施是否影响到此类贸易；第三步，该措施是否对其他成员的同类服务或服务提供者较为不利。[24]

由于前两个步骤的分析与市场准入具体承诺的两步分析法类似。在此，仅重点考察第三步。根据GATS第17.3条，一项数据本地化措施构成较为不利待遇需满足两个要件：相关服务或服务提供者应是同类的；相关待遇有利于本国的服务或服务提供者。就第一个要件，“中国—出版物案”专家组指出，如一项措施仅依据来源地在国内外服务提供者之间进行区别对待时，就满足同类要求，无需额外分析。[25]数据本地化措施对外国服务提供者的数据储存和处理提出特别要求，是典型的基于来源地的差别措施，因而相关服务和服务提供者构成同类。就第二个要件，“中国—出版物案”专家组认为，如果外国服务提供者被剥夺了与同类国内服务提供者进行竞争的任何机会，则应被视为较为不利的待遇。[26]数据本地化措施要求外国服务提供者者在本国设置数据中心，或与本国数据服务公司合作外包数据储存和处理业务，必然增加数据跨境服务的成本，难以确保同类服务和服务提供者的同等竞争机会。[27]可以认为，如果WTO成员就数据跨境提供作出承诺，数据本地化措施极有可能违反GATS第17条项下的国民待遇义务。

(三)数据本地化措施与“一般例外”

GATS前言指出，为实现国家政策目标，各成员有权对其领土内的服务提供进行管理和采用新的法规。为此，GATS第14条规定了一般例外条款，为各成员在贸易体制下追求非贸易政策目标确定了相关条件。在GATS第14条列明的五项例外情形中，与数据本地化措施最为相关的是(c)项。

如“美国—赌博案”上诉机构所言，对GATS第14条应采两步分析法：专家组应首先确定系争措施的内容是否属为子项所涵盖，然后再确定该措施的实施方式符合导言的要求。在分析子项时，专家组应确定，相关措施针对的是子项所列明的利益，并且在措施和所欲保护的利益之间存在充足联系。在分析导言时，如果相关措施的实施方式缺乏一致性，可以认为构成“武断和不合理的歧视”或“对贸易的变相限制”。[28]

首先，就子项而言，GATS第14(c)条规定，成员可以采取或执行“确保与本协定的规定不相抵触的法律或法规得到遵守所必需的措施”，包括诸如防止欺骗和欺诈行为或处理服务合同违约而产生的影响、保护与个人信息处理和传播有关的个人隐私，以及保护个人记录和账户的机密性和安全。“美国—赌博案”专家组认为，一项措施如要符合子项(c)，需满足三个条件：(1)相关措施必须旨在确保法律或法规得到遵守；(2)该法律和法规与WTO协定不相抵触；(3)相关措施是必需的。就条件(1)，专家组指出，尽管一项措施无需仅限于确保相关法律得以遵守，但该措施必须意在执行法律或法规所含之“义务”，而非仅仅用于符合法律或法规之目的。[29]就要件(3)，专家组认为，需要权衡一系列因素，方可确定相关措施是否是必需的，如措施所欲保护利益或价值的相对重要性、措施对于实现该目标的贡献程度以及该措施对于国际商业的限制影响等。[30]对于数据本地化措施而言，除非相关法律或法规含有义务性条款涉及防止欺诈、保护个人隐私和个人数据或安全等事项，否则一国不能简单声称该措施旨在执行法律或有助于达成法律目的就可符合要件(1)。同样，必须综合权衡一系列要素方能判断一项具体的数据本地化措施是否符合要件(3)中的必要性。这意味着，即使是内容相同的数据本地化措施，在不同国家的法律语境下很可能受到DSB专家组不同的法律评价。

其次，就导言而言，相关措施的实施方式还应满足最低歧视要求，特别是，该措施的实施应具有一致性。[31]据此，WTO成员虽然可以在情形类似的国家实施歧视性的措施，但该类歧视必须具有合理性，并不得构成对贸易的变相限制。这意味着，即使一国可以采取必需措施维护个人隐私、防止消费欺诈、保证数据安全等，也需要在实施中满足极为严苛的条件。特别是，如果一国意在通过数据本地化措施促进本国相关行业的发展，很有可能被认定为构成武断或不合理的歧视，或构成对贸易的变相限制。

综上所述，在GATS法律框架下，基于“技术中立”原则，数字服务贸易被看作是常规服务贸易在数字经济领域中的变体，若某一WTO成员就常规服务贸易作出具体承诺，则此类具体承诺的法律效力将延伸至数字服务贸易。因此，影响到数据跨境流动的数据本地化措施也应符合GATS关于市场准入和国民待遇的规定。当然，数据本地化措施可以寻求GATS的一般例外。考虑到GATS第14条(c)项专门就防止消费欺诈、个人隐私和数据保护、安全等设置了例外条款，若一项数据本地化措施旨在执行与此类利益或价值有关的法律义务，则极有可能被认为符合子项要求。相对而言，根据DSB裁决法理，数据本地化措施的实施方式要满足GATS第14条的前言要求则较为困难。[32]如同其他贸易限制措施，一项具体数据本地化措施是否符合GATS原则以及可否成功寻求例外，最终仍依赖于DSB专家组的个案分析。

三美、欧主导的贸易协定对数据本地化措施的规制

尽管GATS法律框架具有包容性，有助于DSB专家组和上诉机构通过条约解释来应对数字经济和数字贸易对WTO法律制度的冲击，但解释有其限度。 DSU第3.2条要求，DSB专家组和上诉机构应依照解释国际公法的惯例去解释WTO协定的条款，并且“DSB的建议和裁决不能增加或减少适用协定所规定的权利和义务”。该规定表明，WTO法律是一个相对自足的体制，[33]具有“运行封闭、认知开放”的特性，必须经由GATS具体条款所设置的方式对外界“刺激”或“干扰”作出反应。面对“新”争议，“旧”条款所承受的压力是：通过概念和体系建构来填补法律漏洞有使现实生活迁就抽象规范之嫌，而从生活需要和利益状况出发来进行解释则又很可能突破DSU第3.2条所划定的界限。[34]因此，即使数据本地化措施为GATS条文所涵盖，也不能就此推定GATS可以完满地解决与数据本地化措施有关的规制争议。更为重要的是，对于数据本地化措施，GATS的问题不仅仅体现在未能足够涵盖相关事项，还体现在即使相关条款涉及此类事项，也很难满足当前的规制要求。有鉴于此，一些国家在WTO框架下，意图利用双边或区域性贸易协定推定数字贸易自由化，降低或消除数据跨境流动的法律障碍。

(一)双边或区域性贸易协定关于数据本地化措施的规定

当前，世界上绝大多数经济体是WTO成员，其间签订的双边或区域贸易协定均应符合GATT1994第24条以及GATS第5条关于经济一体化的规定。这些旨在更加自由化的贸易协定有助有突破多边磋商僵局，在限制数据本地化措施方面取得进展。

首先，就双边贸易协定，主要由美国和欧盟起主导作用，两国关于数字贸易自由化和个人数据保护的理念差异体现在双边协定的具体条款之上。

总体上，美国强烈主张数字贸易自由化。自2002年以来，美国已与澳大利亚、巴林、智利、摩洛哥、阿曼、秘鲁、新加坡、中美洲诸国、巴拿巴、哥伦比亚和韩国签订双边自由贸易协定。协定中的电子商务、跨境服务、信息通讯技术合作和知识产权保护等章均涉及数字贸易，并规定了贸易自由化的原则。在美韩自由贸易协定的跨境服务一章，相关条款禁止新设数字贸易壁垒，特别是当地化要求。[35]

与美国不同，欧盟对数字贸易自由化持谨慎态度，更强调对个人数据的保护。一方面，尽管加拿大与欧盟签订的《综合经济贸易协定》一改欧盟传统作法，开始尝试采用负面清单承诺，但双方在就《中心产品分类目录》第84项下的计算机及相关服务作出自由化承诺的同时，又将以电子方式传输的内容服务，如金融和视听服务排除在外；另一方面，该协定特设专门条款针对电子商务中的信任和隐私问题，并要求缔约方采取或维持法律、法规或行政措施，参照国际数据保护标准，保护电子商务使用者的个人信息。[36]

其次，就区域贸易协定，涉及数字贸易且具有重大国际影响性的条约有三类：专门针对服务贸易的《服务贸易协定》(TiSA)，以及涵盖贸易与投资的《跨大西洋贸易与投资伙伴关系协定》(TTIP)和《跨太平洋贸易与投资伙伴关系协定》(TPP)。其中，TiSA和TTIP谈判方均包括欧美，两者在数据跨境自由流动和个人数据保护方面存在着尖锐对立，影响到协定的最终达成；TPP则由美国主导，在数字贸易自由化方面有诸多突破性规定。

TiSA于2013年启动，参与谈判的成员包括美国、欧盟、日本、加拿大、澳大利亚、韩国等。 TiSA的重要性不仅体现在谈判成员的经济总量，还体现在其更加自由化的目标，即更大的市场准入承诺和更深层次的规制安排。[37]就数字贸易而言，TiSA的当地化措施附件值得关注。该附件旨在禁止当地存在、当地含量和其它运行要求。为照顾到已采取数据本地化措施国家的利益，附件还规定了“祖父条款”以及针对安全、金融服务和政府采购的例外。[38]尽管如此，考虑到欧美在诸多关键问题上存在对立，谈判各方能否就TiSA文本最终达成一致并令其顺利生效还有待观察。

与TiSA类似，TTIP也致力于追求规制趋同，通过降低规制与标准的差异、促进规制的相容性、透明度和合作性来降低国际贸易的制度成本。[39]然而，欧美之间关于数据保护的争议在很大程度上影响到规制共识的达成。比如，欧盟一般数据保护条例就个人数据和个人隐私设置了非常高的保护标准，这在很大程度上与欧盟基本权利宪章第2章(自由)的相关规定，即个人隐私受尊重权(第7条)和个人数据受保护权(第8条)有关。一旦数据保护与基本权利保护扯上关系，正如“施雷姆斯案”所揭示的那样，欧洲法院倾向于严格审查欧盟委员会任何可能背离保护个人隐私和个人数据的行为。[40]这意味着，欧盟为达成TTIP而降低保护标准的制度空间将极为狭窄。可以想见，面对欧盟如此强硬的立场，美国很难在TTIP谈判中坚持诸如数据跨境自由流动、不得以隐私保护为由限制跨境数据传输等主张。[41]至少在数字贸易方面，欧美达成TTIP的难度不亚于达成TiSA。

与TiSA和TTIP不同，TPP缔约方已就数字贸易达成丰硕成果。其中，“电子商务”一章共18个条款，基本以美国的数字贸易规制模板为原型，内容涵盖国内电子交易框架、线上消费者保护、个人信息保护、通过电子方式跨境传输信息、互联网互联费用分享、计算设备的安置、源代码以及争端解决等方面。具有讽刺意味的是，在各方就TPP条文达成一致之后，美国政府却首先表态不会寻求参议院的批准，这就使得TPP的生效疑影重重。尽管如此，由于其他11个TPP成员国就“全面且先进TPP”(CPTTP)达成一致，并且TPP代表了欧盟以外国家就数据跨境流动和数据保护所能达到的最高规制共识，其关于数据本地化措施的规定仍具有重要的标杆意义。

(二) TPP关于数据本地化措施的规定

在TPP谈判中，美国是数据跨境自由流动的提倡者和坚定支持者，而其他国家则基于各种政策关切，要求对数据流动实施限制。[42]最终，TPP第14.11条和第14.13条采用了“原则＋例外”结构来对各国规制关切做出回应。

首先，在原则层面。 TPP规定了数据跨境自由流动原则和禁止数据本地化措施原则。

就数据跨境自由流动原则，TPP第14.11.2条规定，“如为执行本章所规范的人的业务时，缔约方应允许通过电子方式跨境传输信息，包括个人信息。”其中，“所规范的人”包括投资、投资人和服务提供者，但不包括TPP第11.1条所界定的金融机构、金融机构的投资人和缔约一方的跨境金融服务提供者。同时，该条也不适用于政府采购或其他政府收集或处理数据的行为。[43]从表述上看，本条几乎涵盖所有数据跨境流动行为，但在实际适用中，仍需澄清如下两个方面：一是如何区分“信息”(information)与“数据”(data)，二是如何区分为执行义务传送的信息与通过互联网流动的一般数据。[44]显然，这一因抽象概念适用而产生的技术难题只能留待个案解决。

就禁止数据本地化措施原则，TPP第14.13.2条规定，“缔约方不得要求本章所规范的人，以使用当地计算设施或将计算设施设置于该国境内为条件，在其境内执行业务。”据此，除非符合列明的例外，TPP明确禁止缔约方采取数据本地化措施。

其次，在例外层面，TPP第14.11条和第14.13条分别采用极为类似的表述，就上述两项原则设置了例外。即原则性规定不妨碍缔约方采取或维持措施实现正当的公共政策目标，只要该措施：(1)实施方式不得构成武断或不合理的歧视，或构成对贸易的变相限制；(2)对信息传输(针对第14.11条)或对计算设施的使用或设置(针对第14.13条)的限制不得大于实现该目标所要求的限制。

从结构上看，TPP第14.11条和第14.13条的例外与GATT1994第20条以及GATS第14条的一般例外有类似之处，但在编排上互为颠倒。后两者的子项调整公共政策目标，前言规范措施的实施方式；前两者的子项调整措施的实施方式，前言规范公共政策目标。而TPP之所以如此编排，一个非常重要的原因是，缔约方对何为“正当的公共政策”未能达成一致。由此引发的争议是，如何界定“正当的公共政策”？就此，根据TPP上下文，可以认为，如果缔约国采取或维持相关措施是为了诸如保护线上消费者(第14.7条)、保护个人信息(第14.8条)或维护网络安全(第14.16条)，则极有可能被认为构成“正当的公共政策”。反之，如果旨在达成其他公共政策目标，则必然涉及到由“谁”依据“何种标准”来认定公共政策目标的正当性这一法律难题。无论争端解决机构采取遵从审查标准还是采取独立审查标准，均可能引发无休止的理论和实践争议。[45]

总体上，通过“原则＋例外”这一常规立法技术，TPP第14.11条和第14.13条试图为数字贸易构建一个相对自由的法律框架。与GATS的具体承诺相比，TPP更为自由化，不仅确立了数据跨境自由流动原则，还明文禁止缔约国采纳和维持数据本地化措施。与GATS的一般例外相比，TPP更为模糊，这或许有助于缔约方达成协议文本，但必然会牺牲法律的确定性。在美国退出TPP已成定局，而CPTTP成员国既无意愿也无能力推定数字贸易自由化的情况下，TPP的数字贸易自由化远没有原先设想的那样具有革命性。实际上，其他缔约国完全可以利用模糊的例外规定，通过嗣后实践实质性地改变美国所设定的自由化路线图，进而在这些国家之间寻求另一个规制平衡点。

四中国数据本地化措施及规制协作模式的选择

目前，数字经济和数字贸易已经发展到一个关键节点。在这场新工业革命中，中国不乏国际竞争力，同时面临严峻挑战。与欧盟和美国不同，中国数字经济规制尤为重视网络安全。如何选择适当的规制协作模式，与欧美诸国达成“未完全理论化的共识”，在维护本国核心利益的同时，促进数字贸易的发展成为亟待解决的问题。

(一)注重网络安全的中国数据本地化措施

中国立法者向来注重网络安全，通过一系列法律法规，网络安全的概念、类型和内容逐步成型。2000年全国人大常委会通过《关于维护互联网安全的决定》就互联网运行安全问题作出规定。2012年全国人大常委会通过《关于加强网络信息保护的决定》，将网络安全划分为网络运行安全和网络信息安全。2016年《网络安全法》延续这一模式，分专章规定网络运行安全和网络信息安全。该法如下规定涉及数据本地化措施的合法性。

首先，就法律适用，《网络安全法》第2条规定，在中国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用该法。这一带有明显属地色彩的规定具有自我设限的特征，可限制中国法律的域外管辖，但反过来也会激励监管者采取数据本地化措施，以确保《网络安全法》得以适用。

其次，就网络运行安全，《网络安全法》第37条规定，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。由此，数据本地化措施成为强制性要求。

再次，就网络信息安全，《网络安全法》就网络信息安全设置了三大原则：(1)保密原则；(2)合法、正当和必要原则；(3)内容审查原则。第42条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，如果满足上述三原则，网络运营者可通过同意或匿名化机制跨境传输数据，数据本地化措施并非强制性要求。

综合上述规定可以发现，在《网络安全法》的制度框架下，立法者已然就如何维护数字贸易中的网络安全问题作出了价值判断和利益平衡。针对不同类型的网络安全，《网络安全法》设置了不同的数据本地化措施要求。由于数字贸易所涉数据流动大多与网络信息安全有关，因此，原则上《网络安全法》并不会造成对数字贸易的障碍。

尽管如此，在如何执行《网络安全法》的层面上，作为贸易规制者的中国政府仍可引入数据本地化措施。比如，根据该法第31条，关键信息基础设施的具体范围和安全保护办法由国务院制定。理论上，为限制数字贸易，国务院有权扩大关键信息基础设施的范围，并要求实施数据本地化措施。根据该法第44条，任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。理论上，为限制数字贸易，立法者可将数据本地化作为判断合法与非法的标准。[46]

因此，中国的网络安全审查以及与之相关的数据本地化措施具有非常大的灵活性和不确定性。这一特征有助于政府采取措施应对数字经济的挑战，但也丧失了法的稳定性和可预期性。如果中国意图引领数字经济的发展，在全球建立与本国利益相一致的数字经济经贸规则，则有必要自我约束，限制自身规制空间，在国际层面于美国和欧盟寻求共识，防止各国滥用数据本地化措施分割全球化数字经济市场。[47]

(二)数据本地化措施规制协作模式的政策考量

一方面，美国与欧盟就TTIP、 TiSA迟迟难于达成一致的事实表明，过于坚守某一理念可能会严重妨碍国际合作。另一方面，TPP的签订表明，国际经济法治有助于各国搁置深刻价值冲突，寻求一种浅层次的经济协调与合作。因此，中国对网络安全的诉求不会根本妨碍其与美国和欧盟开展贸易规制合作。需要指出的是，网络安全是一个多元法律概念，应甄别相关内容，确定不同的规制协作模式。相应地，就如何规制数字本地化措施，应特别注意如下两点。

第一，在网络安全维护层面，中国应避免采取类似于欧盟的立场，将某类利益或价值绝对化和神圣化。从国内相关立法的内容来看，就数据流动自由和数据本地化问题，中国的做法与欧盟类似，只不过更侧重于网络安全。[48]问题在于，欧盟过高的个人数据保护标准和高度集中的规制体制已然对欧盟发展数字经济和数字贸易产生了影响，其企业在与美国同行的竞争中往往处于劣势。同理，过度拔高网络安全的重要性，也会不可避免地损害到中国数字经济的竞争力和数字贸易的发展。[49]在此，有必要重提2016年杭州《二十国集团数字经济发展与合作倡议》的一个关键性原则：促进经济增长、信任和安全的信息流动。该原则将安全问题限于“提高基于信息通讯技术的关键基础设施的安全性，以使信息通讯技术继续成为加快经济发展的可靠动力”。如果采用此解释，可以有效地限制中国网络安全所涵盖的范围，为数字经济的发展创造更多的制度空间。

第二，在规制协作模式的选择层面，中国应认识到数字经济国际标准对中国数字经济规制权所可能产生的影响。因其治理框架脱胎于“新国际金融架构”， G20特别重视国际标准的制定。2016年杭州《二十国集团数字经济发展与合作倡议》和《二十国集团新工业革命行动计划》就数字经济标准达成两项共识：一是支持国际标准的开发和利用，标准的制定应以产业为导向，以开放、透明和一致为原则；二是国际标准不应成为贸易、竞争或创新的障碍，相关标准应与包括WTO规则和原则在内的国际规则保持一致。2017年杜塞尔多夫《数字经济部长宣言》重申上述两点，并在附件3中列明了二十国集团关于数字贸易的优先事项。[50]与GATS以及TPP不同，借助国际标准，G20似乎对各国如何规制数字经济提出了更高的要求。申言之，在GATS和TPP的“原则＋例外”模式下，各国只需就数据规制权进行消极协调即可，而G20力推的国际标准治理一旦成型，则很有可能被当成协调各国规制措施的模板。[51]这一积极协调模式固然有助于降低贸易壁垒，但也会压缩各国规制数字经济的空间，难以保证各类正当利益和价值的实现。因此，中国应要求G20澄清数字经济国际标准的适用对象和范围，以确保拥有足够灵活权限来规划本国数字经济的长远发展。

综上所述，《网络安全法》严格区分网络运行安全和网络数据安全，并仅对前者提出了强制性的数据本地化要求。这一原则自由、例外限制的立法模式与美国、 GATS以及TPP提出的“原则＋例外”模式类似，与欧盟、 G20倡导的国际标准治理模式有别。从促使国际贸易法与本国国内法相一致的角度出发，中国应沿用GATS和TPP项下的“原则＋例外”规制模式与他国开展国际协作，限制数据本地化措施的滥用，促进数字贸易发展。

五结论

数据本地化措施有助于保护个人隐私、维护网络安全、便于法律执行，但也造成全球化数字市场的分割，引发规制争议。如何在承认各国拥有数据规制主权的同时，限制数据本地化措施的滥用成为国际规制协作的重要课题。

在WTO法律框架下，通过一系列裁决，DSB的专家组和上诉机构已然确定，“技术中立”原则是处理技术进步与法律滞后矛盾的适当准则，如无特别限制，各国就市场准入和国民待遇的具体承诺会延伸到数字贸易之中。由此，GATS项下的“原则＋例外”规制模式将被继续用于解决数字贸易自由化与其他价值之间的冲突。美国主导的TPP沿用了GATS的“原则＋例外”规制模式，将数据跨境自由流动和禁止数据本地化措施规定为强制性原则；除非缔约国满足相关条款列明的例外，否则一国不得直接限制数据跨境流动，或设置本地化要求。与欧盟倡导的国际标准治理模式相比，这一规制模式更有利于维护各国数据规制主权。

与美欧不同，中国特别强调网络安全问题。为平衡网络安全与数字经济发展之间的关系，《网络安全法》针对网络运行安全和网络信息安全分别设置了不同的数据保护标准。其中，对于与数字贸易息息相关的网络信息安全，该法并未施加强制性的数据本地化要求。这一倾向于支持数字贸易自由化的立法模式与GATS以及TPP的“原则＋例外”规制模式相容。为促使数字经济经贸规则与国内法规定相一致，中国理应基于该规制模式与他国开展国际协作。

(责任编辑：廖凡)

【注释】 彭岳，南京大学法学院教授。

[1]参见G20杭州峰会成果文件《二十国集团数字经济发展与合作倡议》， http://www.g20chn.org/hywj/dncgwj/201609/t20160920_3474.html，最近访问时间[2017-12-20]。

[2]Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information ) Rules, 2011， Gazette of India.印度2000年《信息技术法》仅关注计算机滥用问题，未涉及数据安全事项(Information Technology Act, 2000， No.21， Acts of Parliaments, 2008)；2008年，该法被修订，增加了两个条款——43A条和72A条，专门针对个人数据的丢失和保护事项(Information Technology (Amendment) Act, 2008， No.10， Acts of Parliament, 2009)。

[3]Pierre Collin & Nicholas Colin, Task Force on Taxation of the Digital Economy (Report to the Minister for the Economy and Finance, The Minister for Industry Recovery, the Minister Delegate for the Budget and the Minister Delegate for Small and Medium-sized Enterprises, Innovation and the Digital Economy)，2013， p.122.

[4]Personally Controlled Electronic Health Records Act 2012(Cth) s 77(Austl.).

[5]Personal Data Protection Act 2010， Art.129(Act No.709)(Malay.).

[6]参见李海英：《数据本地化立法与数字贸易的国际规则》，《信息安全研究》2016年第9期，第784页；Iva Mihaylova, Could the Recently Enacted Data Localization Requirements in Russia Backfire？，50 Journal of World Trade 313，316-317(2016)。

[7]Robert Baldwin, Martin Cave and Martine Lodge, Understanding Regulation: Theory, Strategy, and Practice, Oxford University Press 2012， pp.15-104.

[8]参见王癑：《试论网络数据本地化立法的正当性》，《西安交通大学学报(社会科学版)》2016年第1期，第55页。

[9]James Ball, NSA Monitored Calls of 35 World Leaders After US Official Handed Over Contacts, Guardian (Oct.24，2013).

[10]最著名的例子是澳大利亚、新西兰、美国、英国、加拿大五国实施的数据分享计划(5- Eyes)。参见Ewan MacAskill, James Ball & Katharine Murphy, Revealed: Australian Spy Agency Offered to Share Data about Ordinary Citizen, Guardian (Dec.1，2013)。

[11]Anupam Chander & Uyên P. Lê, Data Nationalism, 64 Emory Law Journal 677，727(2015).

[12]WTO, Work Programme on Electronic Commerce, WTO Doc. WT/L.274(adopted Sept.25，1998)； Sacha WunschVincent, Joanna McIntosh, WTO, E-commerce and Information Technologies: From the Uruguay Round Through the Doha Development Agenda: A Report to the UN ICT Task Force, New York: United Nations Information and Communication Technologies Task Force, 2005， pp.9-11.

[13]Appellate Body Report, Canada-Autos, paras.151-152 and 155； applied by the Panel in US-Gambling, paras.6.250，6.254.

[14]Panel Report, US-Gambling, para.6.285.

[15]参见Daniel Crosby, Analysis of Data Localization Measures Under WTO Services Trade Rules and Commitments, E-15Initiative. Geneva: International Centre for Trade and Sustainable Development (ICTSD) and World Economic Forum, 2016。

[16]Appellate Body Report, EC-Bananas III, para.220.

[17]Appellate Body Report, Canada-Autos, paras.164-166.

[18]Panel Report, Mexico-Telecoms, paras.7.30-7.31.

[19]Appellate Body Report, US-Gambling, para.143.

[20]Appellate Body Report, US-Gambling, para.239.

[21]Panel Report, China-Electronic Payments, para.7.179.

[22]“中国—出版物和音像制品案”专家组认为，GATS第16.2条所列举的6类情形是GATS第16.1条原则“封闭和穷尽的列举”。 Panel Report, China-Publications and Audiovisual Products, para.7.1353.

[23]Appellate Body Report, US-Gambling, para.250.

[24]Panel Report, China-Publications and Audiovisual Products, para.7.944.

[25]Panel Report, China-Publications and Audiovisual Products, paras.7.975-7.976.

[26]Panel Report, China-Publications and Audiovisual Products, paras.7.978-7.979.

[27]将缺少同等竞争机会视为构成较为不利待遇的观点，可参见Peter Van den Bossche & Werner Zdouc, The Law and Policy of the World Trade Organization, Cambridge University Press 3rd ed.(2013)， p.406。

[28]Appellate Body Report, US-Gambling, para.292.

[29]Panel Report, US-Gambling, para.6.539.

[30]Panel Report, US-Gambling, para.6.477.

[31]Panel Report, US-Gambling, para.6.581.

[32]Mitsuo Matsushita, Thomas J. Schoenbaum, Petros C. Mavroidis & Michael Hahn, The World Trade Organization: Law, Practice, and Policy, Oxford University Press (2017)， pp.620-621.

[33]Peter Van den Vossche & Denise Prevost, Essentials of WTO Law, Cambridge University Press (2016)， p.10； Bruno Simma and Dirk Pulkowski, Of Planets and the Universe: Self-contained Regimes in International Law, 17 European Journal of International Law 483(2006).

[34]在法学思维模式层面，前一解释路径的极致表现是“偷换概念”，后一解释路径的极致表现是“具体秩序”优先。参见[德]菲利普•黑克著：《利益法学》，傅广宇译，商务印书馆2016年版，第26页；[德]卡尔•施密特著：《论法学思维的三种模式》，苏慧婕译，中国法制出版社2012年版，第63页。

[35]KORUS FTA Art.12.5.

[36]Art.16.4 of Comprehensive Economic and Trade Agreement Between Canada of the One Part, and the European Union and its Member States, of the Other Part, Sept.14，2016，2016/206(NLE).

[37]Juan A. Marchetti & Martin Roy, The TiSA Initiative: An Overview of Market Access Issue, WTO Staff Working Paper No. ERSD -2013-11， p.27(November 27，2013).

[38]Trade in Service Agreement (TiSA) Localization Provisions, June 2016， https://wikileaks.org/tisa/document/201606_ TiSA_Annex - on - Localisation/201606_TiSA_Annex - on - Localisation.pdf，最近访问时间[2018-01-20]。

[39]Jonathan B. Wiener & Alberto Alemanno, The Future of International Regulatory Cooperation: TTIP as a Learning Process toward a Global Policy Laboratory, 78 Law and Contemporary Problems 103，107-108(2015).

[40]ECJ, Case C -362/14， Schrems v. Data Prot. Comm’ r, ECLI: EU: C: 2015：6506， Judgment of 6 October 2015.

[41]参见张金平：《跨境数据转移的国际规制及中国法律的应对——兼评我国〈网络安全法〉上的跨境数据转移限制规则》，《政治与法律》2016年第12期，第148页。

[42]其中，澳大利亚、新西兰和加拿大主要关注本国公民的个人隐私，新加坡关注公共道德，越南关注国际安全。

[43]TPP Art.14.2.3.

[44]Neha Mishra, The Role of the Trans-Pacific Partnership Agreement In the Internet Ecosystem: Uneasy Liaison or Synergistic Alliance？，20 Journal of International Economic Law 31，38(2017).

[45]此前DSB相关裁决及相关理论争议表明，由“谁”依据“何种标准”确定公共政策的“正当性”与真理相对性和绝对性的哲学之争无关，它本质上是一个权威者的决断问题。至少在WTO的判决法理上，裁决者都皈依普罗泰戈拉而非苏格拉底。参见彭岳：《贸易与道德：中美文化产品争端的法律分析》，《中国社会科学》2009年第2期，第148页。

[46]相关例证可参见《网络产品和服务安全审查办法(试行)》(2017年6月1日)的宽泛规定。

[47]参见何志鹏：《国际经济法治格局的研判与应对——兼论TPP的中国立场》，《当代法学》2016年第1期，第53页。

[48]参见《网络安全法》第37条、《民法总则》第111条。

[49]如一项研究指出，数据本地化对于那些有过计划或已经立法的七个国家或地区在GDP上有实质性的影响：巴西(-0.2%)，中国(-1.1%)，欧盟(-0.4%)，印度(-0.1%)，印度尼西亚(-0.5%)，韩国(-0.4%)以及越南(-1.7%)。参见马蒂亚斯•鲍尔：《数据本地化的代价：经济恢复期的自损行为》，《汕头大学学报(人文社会科学版)》2017年第5期，第44页。

[50]G20 Digital Economy Ministerial Declaration: Shaping Digitalisation for an Interconnected World, Düsseldorf 6-7 April 2017.

[51]因此，G20所关注的不是规制歧视问题，而是规制协调一致问题。在WTO的规制哲学中，后者比前者要激进的多。在欧加《综合经济贸易协定》中，已有条款(第16.4条)规定，应参照国际数据保护标准，保护电子商务使用者的个人信息。参见Veijo Heiskanen, The Regulatory philosophy of International Trade Law, 38 J. World Trade 1，8(2004)。

【期刊名称】《环球法律评论》【期刊年份】 2018年 【期号】 2