2008年全球金融危机使国际贸易和国际金融备受冲击，有评论担忧全球化的进程因此停滞。^①其实不然，全球化进入了数据流动（data flows）的新时代，信息技术与传统贸易的交汇融合引发了数据的迅猛增长和高速流动。互联网实现了信息的透明，进而提高了投资决策，使资本更加有效地进行分配。^②阿里巴巴、亚马逊等电商平台通过互联网获取、集合、处理和跨境传输信息，为跨境贸易商构建了世界级的用户社区，提供了潜在的客户资源和有效的联系方式，从而降低了国际交易成本，实现了新时代商业模式的扩张。^③数据跨境流动不仅为服务业和电子商务业，还为制造业创造了价值。^④根据2011年麦肯锡全球研究所的一项研究显示，互联网为传统制造业带来了75%的价值增长。^⑤2016年该所的另一项研究预测，所有类型的全球流动（包括货物、服务、资本和数据的流动）将为全球GDP带来至少10%的增长（相当于7.8万亿美元），其中，互联网数据流动贡献了2.8万亿美元。^①该项研究中的数据全球流动主要由信息、搜索、通讯、交易、视听和公司内部通讯组成。^②

虽然数据流动带来了全球经济总量的增长，但毫无疑问，数据的无序流动为国家治理和国家安全提出了新的挑战。一些国家出于个人隐私保护、国家安全、防范外国监控等公共政策目的，不同程度地对跨境数据流动加以限制。^③尤其是在2013年斯诺登曝光“棱镜”计划后，数据本地化要求及立法数量大大增加，但对于数据本地化要求能否有效实现公共政策目标，不少学者持怀疑态度。^④此外，贸易保护主义也常常藏匿其中。^⑤如何区分合理的公共政策需求和隐匿的贸易保护成为一大难题。美国极力倡导贸易数据跨境自由流动的国际经济贸易新规则，并使其逐渐成为新一轮双边、区域贸易谈判的新议题。^⑥2016年2月4日签署的《跨太平洋伙伴关系协定》（Trans-Pacific Partnership Agreement，TPP）成为首个将涉及数据跨境流动的约束性条款写入协定文本的自由贸易协定（FTA）。不能否认数据本地化要求对公共政策目标可以实现的贡献，但从国际贸易发展的视角出发，本文认为，数据跨境流动是未来贸易发展不可或缺的一个要素，如何在全球治理下促进数据的安全和充分流动是一个值得研究的命题。

一、 跨境数据流动国际规制之现实障碍：数据本地化

“数据”是跨境数据流动自由化与数据本地化中最重要的概念。1980年经济合作与发展组织（简称“经合组织”或OECD）在1980年发布的《关于保护隐私与个人数据跨境流动的指南》（Guidelines governing the protection of privacy and trans-border flows of personal data）中首次提出“跨境数据流动”的概念。^⑦其所指仅仅为个人数据。早期的数据跨境流动国内规制，也限定在针对个人数据的范畴，例如澳大利亚《1988年隐私法案》。随着数字技术的发展，“数据”的外延不断扩大，包括如电子导航服务商的地图数据以及服务中收集、使用、提供的用户位置数据；搜索引擎服务商收集、加工的用户偏好数据等。如TPP协定第14.2.2条和第14.11条就明确规定其适用于影响电子商务的数据，数据形式为“电子形式”，内容包括但不限于个人信息。本文所讨论的“数据”亦不局限于个人数据，而是泛指“与国际贸易有关的数据”，除了与电子商务有关的数据外，还包含与货物贸易和服务贸易有关的数据。

“数据本地化”指一国要求收集或产生于该国的数据存储于境内，并限制或禁止数据跨境流动。“数据本地化”与数字工业政策或经济保护主义有关，但也通常蕴含有公共政策目标，^①主要为：第一，国家安全保障。保障国家安全是许多国家限制数据流动时最常见的追求目标。例如，巴西^②、德国^③、印度^④要求与国家安全有关的数据必须存储于境内服务器。俄罗斯^⑤、越南^⑥和印度尼西亚^⑦则将数据主权视为国家安全和防范外国监控的题中之义。有的国家特别限制关键基础设施数据的跨境流动，尤其是关涉政府部门的数据，如德国^⑧和法国^⑨致力于为政府数据建立本地云端系统。越南在2013年颁布了《互联网服务和信息管理、提供和使用》，即72号指令，^⑩该指令禁止在线传递损害“国家安全、社会秩序和安全”的信息，并要求互联网供应商（Internet Service Providers，ISPs）至少将一个服务器设在本地以方便有关部门对信息进行检查、存储和提供。^⑪第二，维护公共道德或公共秩序。一些国家出于维护公共秩序或公共道德的目的，对某些数据跨境传输进行限制。这种限制可能普遍适用于本土或国际在线服务商或网站，也可能仅仅限制数据从境外传输至境内。例如新加坡^⑫、黎巴嫩^⑬和土耳其^⑭禁止成人娱乐网站的输入。第三，个人隐私保护。出于对本国公民个人隐私的保护而限制个人数据的跨境流动，是各国立法中较常见的目的。在健康和金融行业，这种限制更为常见。例如，2012年澳大利亚通过《个人控制的电子健康记录法案》（Personally Controlled Electronic Health Records，PCEHR），禁止除特定例外情形外的个人健康记录出境，^⑮这一规定实质上即是要求管理健康数据的跨国企业在澳大利亚境内设立数据中心，或将该数据运营业务外包给澳大利亚境内的公司。^①第四，国内执法需要。即一国为了更便于在执法活动中掌握本国公民信息，要求电信服务商和网络运营者将本国公民数据存储于域内。这源自美国微软案^②引发的担忧。该案由一起毒品案件的调查所引发，最大的争议点在于判断一国执法权能否管辖存放于境外服务器的数据。美国司法部认为，虽然该服务器位于爱尔兰，但服务器的所有者为微软，微软可以轻易地获取服务器中的数据，因此，微软作为美国公司，应当服从美国法律和司法部门的执法要求。^③但是，美国联邦第二巡回上诉法院裁定，由于该信息存放于微软爱尔兰数据中心，司法部的搜查令不具有域外效力，如果需要获取境外数据，只能通过双边司法协助的途径。^④由于该案确认了一国执法权对数据的管辖受到该数据所在地域的限制，可能促使各国政府为避免域外执法，要求本国通信服务商和网络运营商将本国公民数据存放于域内的做法。^⑤综上，数据本地化要求有其合理性，但也由此成为数据跨境流动国际规制的现实障碍。

二、 跨境数据流动国际规制之方向：自由化

2011年世界贸易组织（WTO）多哈回合在磋商与服务贸易跨境流动有关的贸易壁垒议题时，美国和欧盟倡议，各成员应当达成共识，不得为互联网服务供应商设置障碍或阻碍在线信息的自由流动。^⑥美国希望各成员利用WTO谈判讨论信息流动、网络安全和相关的隐私保护问题，但其它WTO成员对美国倡议热情不高。^⑦

鉴于多边框架下对电子商务和数字议题谈判的进程缓慢，美国开始将此类议题转向双边和区域贸易协定谈判。2012年，美国和韩国签订自由贸易协定（KORUS FTA），在“电子商务”章中，KORUS FTA首次提及数据自由流动问题。KORUS FTA第15.8条要求各缔约方“尽量避免对电子信息跨境流动强加或维持非必要的壁垒”。但该条并未禁止各缔约方设置贸易壁垒，也没有明确何为“必要”或“非必要”的壁垒。显然，从上述表述进行判断，该条要求不具有强制性。另外，KORUS FTA没有明确规定出于合理例外情形的需要而设置的壁垒是否属于“必要”，例如，出于网络安全或隐私保护等目的而设置的壁垒。再者，该协定也未明确规定缔约一方能否适用该条规定在未来争端中挑战设置此类壁垒的另一缔约方。除“电子商务”章外，KORUS FTA的“金融服务”章也首次涉及金融机构信息的跨境传输，规定“缔约一方应当允许另一方的金融机构，出于正常业务范围的需要，将电子形式或其他形式的信息传输入境或出境，以对其进行数据处理”。^①与“电子商务”章一样，该表述也呈现出原则性的特点，亦未准确界定何为“正常业务范围”。但美国贸易代表委员会认为，KORUS FTA的“金融服务”章具有“开创性”意义，相比美国此前签订的FTAs，该章所涉范围更加广泛，如涉及数据跨境流动问题。^②尽管仅仅是框架性的规定，但考虑到数据流动条款对金融服务机构的重要性，KORUS FTA“金融服务”章的上述规定将为美国未来FTAs文本奠定基础。

在与韩国签订涉及电子商务和金融信息跨境流动的原则性条款后，美国决定在未来贸易谈判中为数据跨境流动引入具有约束性和可诉性的条款。^③在2011年TPP第七轮谈判时，美国首次将强制性的跨境数据流动规制列入草案文本中。^④美国的主要目的是针对设置了数据本地化要求、对本地科技行业提供保护并阻止外国数据服务商进入本国市场的国家。^⑤当时，一些TPP谈判国基于不同的原因而无法接受美国这一提议。澳大利亚、新西兰和加拿大希望TPP能在个人数据的跨境流动领域为其留存安全监管的空间。^⑥越南则直接表示反对，认为美国的这一提议与其国内基于国家安全而限制互联网使用和数据传输的法律相冲突。^⑦另外，马来西亚国内法也对跨境数据流动进行了特别的限制。^⑧新加坡的诉求则是为该条款设置例外，以便其基于对公共道德的保护而限制数据流动。^⑨从2013年泄露的TPP电子商务章草案来看，当时TPP各缔约方仍然未能在数据流动规制条款上达成一致。^⑩

虽然无法得知博弈的细节，但TPP各方最终解决了上述分歧。TPP成为第一个在“电子商务”章纳入具有约束力的条款用以规制数据跨境流动^⑪并限制数据本地化存储^⑫的自由贸易协定。综观TPP的规定，TPP对跨境数据流动的规制体现在三个层面：第一，强制要求各方允许数据跨境流动。TPP第14.11.2条规定，当通过电子方式跨境传输信息是为“涵盖的人”（covered person）开展业务时，缔约各方应允许此跨境传输，包括个人信息的传输。并且，TPP对“涵盖的人”这一术语进行了界定，除了不包括所有类型的金融机构或金融服务的跨境供应商外，包括了所有其他服务供应商、投资及投资者。^⑬第二，禁止数据本地化。TPP第14.13.2条禁止任何一方将要求“涵盖的人”使用该国境内的计算设备或将计算设备设置于该国境内作为允许其在该国境内从事经营的条件。因此，除非出现TPP第14.13.3条规定的例外情形，TPP各缔约方不得要求其他缔约方的服务供应商在当地存储数据。第三，例外情形。TPP第14.11.3条和14.13.3条^①分别规定了信息跨境传输和计算设备本地化的法定例外情形。上述两条规定均允许各缔约方为实现公共政策目标而“采取或维持”（adopt or maintain）与该协定第14.11.2条和第14.13.2条不一致的措施，并且，TPP进一步规定了该措施不得以构成任意或不合理歧视的方式实施，或对国际贸易构成变相限制；以及不得对信息传输（或计算设备的使用和设置）施加超出实现合法公共政策目标所必需的限制。可以发现，TPP在上述两条中均使用了“采取或维持”一词，这表明，TPP的要求不仅针对现存措施，而且针对未来措施。

特别值得一提的是，2016年10月，新加坡与澳大利亚就《新加坡-澳大利亚自由贸易协定》达成修订协议，在该协定的电子商务一章中，几乎将TPP协定第14章“电子商务”内容完全纳入新修订协议之中。^②此外，正在进行的《跨大西洋贸易与投资伙伴关系协定》（TTIP）^③和《服务贸易协定》（TiSA）^④谈判，也有谈判参与方提议，引入与TPP类似甚至相同的电子商务条款。^⑤当然，欧盟和美国在数据流动和个人隐私保护问题上持有不同观点，就此问题而言，双方可能提出不同诉求的谈判版本。再者，就中国参与的《区域综合经济伙伴关系协定》（RCEP）而言，包括中国在内的谈判方也提出了在协定中纳入涉及跨境数据流动的条款。^⑥总的看来，跨境数据流动正在受到国际规制，并逐步迈向自由化的方向。

三、 跨境数据流动国际规制之成效检视：基于多边和区域视角的分析

乌拉圭回合谈判于1993年底结束之时互联网尚未普及，各WTO成员在谈判各议题并作出具体承诺时无法预料当今跨境数据流动的迅猛发展，因而没有能够针对跨境数据流动进行多边规制，导致通过适用WTO现有规则规制跨境数据流动存在一些难以克服的困难。

（一） 多边框架下规制跨境数据流动的困境

诚然，WTO没有专门针对跨境数据流动的规则或条款。但在WTO中，的确存在一些涉及影响数字贸易的协定。^①而WTO的现有规则能否用于规范各成员对跨境数据流动的限制，需要逐案分析。当专家组/上诉机构在选择法律适用时，需要首先对数据流动涉及的贸易类型进行归类，以辨明其适用于WTO的货物贸易规则还是服务贸易规则。若是借助数字产品等实物商品载体进行交易的数据，例如可用于读取软件或音乐的电子光盘，则对这类数据的限制措施会影响到相关的货物贸易，这将与各成员在GATT1994及TRIPS协定项下的义务有关。若是跨境服务贸易中产生的数据，例如全球酒店预订服务商Agoda在为用户提供住宿预订过程中收集或产生的个人身份信息和出行数据。这种情形更为常见，因为通常情况下，跨境数据流动无需借助实体媒介，而是随服务贸易而产生并以电子形式进行流动。因此，此时涉及GATS项下义务的可能性较大。若是伴随大数据时代而产生的以电子数据为商品的交易形式，例如美国实时交通数据提供商Inrix将收集到的交通状况数据出售给一家投资基金，后者利用该数据中某商场附近的交通状况来推算该商场的零售销量，从而在该商场的季度财政报表公布前，利用该分析结果对该商场进行股权投资。^②Inrix出售的数据既不属于附随服务贸易产生的数据，也无需借助任何实物载体，难以归入现有的货物或服务贸易类型。因此，涉及此类交易的数据跨境流动，难以适用货物贸易或服务贸易规则加以规制。

本文以服务贸易为例进一步对此进行阐析。在分析WTO某一成员对数据跨境流动的限制措施是否违反GATS项下的义务时，专家组/上诉机构首先需要对该措施对应的服务提供模式进行归类。GATS第1.2条将服务贸易定义为四种模式，即跨境交付^③、境外消费^④、商业存在^⑤和自然人流动^⑥。WTO各成员以上述不同模式为基础，针对不同部门或分部门作出了程度各不相同的具体承诺。因此，提供模式的不同导致了履行不同的承诺。跨境交付（模式1）应当是涉及跨境数据流动最多的模式，因为服务的跨境流动，往往也伴随着消费者数据和商业数据的跨境流动。当WTO成员通过模式1对某一服务的跨境交付作出承诺时，也包含了允许数据跨境流动的承诺。^⑦因此，WTO成员对数据跨境流动的限制，反过来可能影响到该成员在某一服务部门项下就模式1而作出的承诺。例如，在US-Gambling一案中，专家组和上诉机构将安提瓜向美国提供的在线博彩服务认定为“跨境交付”模式。^⑧由于美国在其服务贸易承诺表10.D项“其他休闲服务（运动除外）”下作出了“跨境交付”市场开放的承诺，而专家组和上诉机构进一步认为，美国服务贸易承诺表10.D项涵盖了对赌博服务的承诺。^①因此，美国在10.D项下对在线博彩服务“跨境交付”作出的承诺，也包含了对在线博彩服务数据跨境的承诺。另外，GATS服务贸易的其他模式也可能与数据跨境流动有关。例如，在China-Electronic Payment Services案中，专家组在界定中国在“所有支付和汇划服务”部门下的承诺时，认为服务减让表中承诺的部门应当包括“任何属于该部门定义范围的服务行为”，而不论该行为是否在减让表中的部门或分部门中被列举。^②从专家组的裁决可推断，“所有支付和汇划服务”涵盖了跨境电子支付中的所有服务行为，包括消费者和服务提供者之间的数据流动。另外，该案专家组裁定中国对电子银行支付卡的措施既违反了中国在“跨境交付”模式下的义务，同时还违反了中国在“商业存在”模式下的义务。^③因此，对数据流动限制的措施除了与模式1有关，还可能涉及到成员在模式3下的承诺。

除了服务模式外，在判定某一措施是否违反某一成员所承诺的义务时，还需要对该措施所涉及的服务部门进行归类，用以比较该措施与某成员在该部门项下承诺的一致性，这并非易事。WTO成员常用的部门划分依据是《联合国核心产品分类》（CPC），但该分类系统并未与科技发展同步。当前，与数据有关的产品分类仅有代码为84“计算机及相关服务”项下的两个子目，代码分别为843“数据处理服务”和844“数据库服务”，^④以及代码为752“电信服务”项下的子目，代码为7523“数据及信息传输服务”。^⑤而服务提供者在涉及数据流动时所广泛运用的云计算服务、社交网络平台服务等，则难以恰当地归入上述子目中。因此，涉及跨境数据流动的服务部门划分只能在争端解决过程中通过个案予以解决。在解决服务模式和服务部门的归类问题之后，专家组/上诉机构还需要逐条审查被诉措施是否违反了GATS的最惠国待遇（第2条）、国内规制（第6条）和市场准入（第16条）等义务，以及是否能够援引一般例外（第14条）和国家安全例外（第14条之二）加以排除。鉴于此，WTO未对跨境数据流动进行直接规制的缺陷导致了适用上的不确定性，甚至适用的困难，而目前只能寄希望于在争端发生时采取逐案分析的方式，以确定跨境数据流动应当适用的具体协定及该协定项下的具体条款。

（二） 区域规则可能面临的适用难题

区域层面，本文以TPP规则为例进行分析。TPP努力实现“自由开放的互联网”的目标值得肯定，但纵观TPP相关条款，其第14.11条和第14.13条仍然存在局限性，未能提供充分的法律确定性。另外，TPP各缔约方通过协定的例外规定寻求“合法公共政策目标”所带来的潜在冲突，可能并不能够理想地通过TPP争端解决机制予以解决。TPP规则适用的难题主要体现在以下两个方面：

一方面，满足TPP规制条件的跨境数据难以识别。TPP协定第14章的目标是促进互联网的开放和电子商务的跨境自由流动。^①TPP第14章仅适用于缔约方采取或维持的影响电子商务的措施，不适用于政府采购或缔约方以政府名义持有或处理的信息，或与此信息相关的措施，包括与信息收集相关的措施。^②因此，TPP第14章规制的重点为商业交易，而非政府处理的信息。如某一措施要求对政府数据进行本地化存储，将不受该章影响；即便是商业实体受雇于政府部门或代表政府部门被要求数据本地化存储，也不受该章影响。另外，与美韩FTA不同的是，TPP对数据流动和本地化的规制排除了金融数据。TPP第14.11.2条对纳入规制的跨境数据进行了限定，一是形式为“电子方式”，二是“为涵盖的人开展业务”。^③其中，“涵盖的人”在TPP第14.1条中被明确为第9章（投资）所定义的“一国涵盖的投资或投资者”，以及第10章（服务）所定义的“服务提供者”，但不包括第11章（金融服务）所定义的“金融机构”或“缔约方的跨境金融服务提供商”。

单从数据的形式看，TPP规制的适用范围较大，因为当前大多数数据都通过互联网传输，符合TPP的“电子方式”这一限定。但TPP第14.11.2条要求“为涵盖的人开展业务”，意味着受规制的数据与“涵盖的人开展业务”之间应当存在特定程度的联系，此表述带来了适用上的困境。因为，判断该联系的前提是需要知晓该数据的内容，这在实践中难以实现。因为互联网具有点对点的功能，除非ISPs对数据进行监控或过滤，否则网络基础设施不会主动审查其传输的数据。而互联网庞大的信息量意味着主动审阅的实现需要耗费巨大的成本。并且，即便是内容审查的难题得以解决，如何判断数据与“涵盖的人开展业务”之间的关系，仍不甚明了。实践中，表面上看起来与商业活动无关的信息，服务供应商是否可以辩称该信息与其业务相关？例如，包含性取向的个人信息，网络新闻服务商能否辩称该信息数据能够帮助其实现消费者个性推送服务，如向同性恋者、双性恋者和跨性别者（LGBT）推送与其性取向相关的新闻，因而该个人信息满足与“涵盖的人开展业务”这一要求？因此，在数据和涵盖业务之间建立联系不仅耗费成本，且可行性存疑。

另一方面，TPP例外条款表述的模糊亦带来适用困难。其第14.11.3条^④和第14.13.3条^⑤分别规定了该协定例外的适用条件，但均未对其中的“合法公共政策目标”予以界定。这样处理的原因不详，或许该条款的用语已经过深思熟虑，尽管在法律上存在不确定性，却保护了各缔约方的监管自治权，使其可以在高速发展的互联网经济中为保护公共利益而采取必要的措施。然而，这将为实践带来无尽的难题。现实中，各国政治、文化、价值观的不同导致对“合法公共政策目标”的诉求不同。当某一特定政策目标被一些TPP缔约方认定为合法正当，但被另一些缔约方认定为不合法时，例如对言论自由的审查和限制，那么究竟该如何判定？另外，TPP第14.11.1条^①和第14.13.1条^②中的“各自监管需求”和第14.11.3条和第14.13.3条中的“合法公共政策目标”之间是否存在某种关联？再者，国际宣言或条约，例如《世界人权宣言》中达成共识的原则能否作为“合法公共政策目标”判断时的考虑因素？对于这些问题，目前无法回答，只有待未来TPP协定生效后，由发生争端时的争端解决专家组予以解答了。

因此，如果发生TPP第28章所指的国与国之间的争端，TPP专家组将面临一项具有挑战性的任务。首先，专家组需要解释“合法公共政策目标”的内涵和外延。根据《维也纳条约法公约》第31.1条的规定，^③专家组可将TPP协定第14章作为适用法，并结合第29.1.3条的规定，用于解释何为“合法公共政策目标”。因为，TPP第29.1.3条提及到第14章。根据TPP第29.1.3条的规定，就第14章而言，GATS第14条(a)(b)(c)款经必要修订后纳入TPP并成为TPP的组成部分。^④因此，GATS第14条中规定的例外情形，例如公共道德、公共秩序、隐私和消费者保护等概念，可以作为专家组理解TPP第14.11.3条和第14.13.3条“合法公共政策目标”的参考。第二，判断一缔约方采取的某一限定措施与“合法公共政策目标”之间具有何种程度的联系并非易事。如前所述，对于限制数据跨境流动的特定措施是否能够实际产生保护个人隐私或公共安全的效果本身存在争议。实践中，当追求正当目标为贸易保护主义创造了机会时，数据本地化措施背后的政策意图也并非容易被识别。第三，TPP第14.11.3条和第14.13.3条的(a)项和(b)项均借鉴了GATS第14条和GATT第20条的类似表述。^⑤故本文认为，WTO专家组/上诉机构认定“任意或不合理的歧视”或“变相的贸易歧视”的判例可以为TPP条款的解释提供参考。^⑥并且，这完全可能成为TPP生效后的一种普遍做法，因为，不少TPP条款以WTO协定条款为基础，WTO与这些条款有关的判例法可以成为解释TPP条款的依据。^⑦另外，在评判某一措施是否超过实现各缔约方政策目标所必要的限度时，TPP专家组还可以采用类似于GATT第20条的“必要性测试”。^⑧

综上所述，满足TPP规制条件的跨境数据的识别困难和“合法公共政策目标”例外的解释困难，削弱了TPP数据流动条款适用的确定性。此外，解释过程中需要运用的技术知识，也可能超出贸易争端专家的专业知识范围，而使该难题变得更加复杂。例如，数据安全的认定，测量数据流量以判定数据本地化措施产生的限制性影响等，这些问题看似不能从现有规则中找到答案，只能向专业专家寻求意见，而类似TPP协定的表述正在被其他国际贸易协定所借鉴。^①例如，根据维基解密披露的TiSA“电子商务附件”（Annex on Electronic Commerce)内容，在对第2条（信息的跨境流动）的提议中，加拿大、哥伦比亚和墨西哥等国提议了如下表述：“各缔约方认识到每一缔约方对于通过电子方式跨境传输信息可能具有各自的监管要求”，^②“一缔约方不得阻止另一缔约方的服务供应商出于开展业务的需要而跨境传输信息、境外处理或存储信息，包括个人信息”，^③“本条规定不得阻止缔约方为实现合法公共政策目标而采取或维持与本条第1款规定不相符合的措施，但该措施不得以构成任意或不合理歧视的方式实施，或对贸易构成变相限制”，^④这些表述与TPP第14.11条表述相似。又如，在对TiSA“电子商务附件”第8条（计算设施的位置）的提议中，美国、加拿大、墨西哥等国建议的文本内容则与TPP第14.13条相似。^⑤再如，澳大利亚在TiSA“本地化规定”（localization provision）一章提议的第X.3.5之二条，采用了与TPP第14.11.3条和第14.13.3条类似的表述。^⑥此外，除了在表述上与TPP条款相似外，上述提议内容与TPP一样，未对“各自的监管要求”、“合法公共政策目标”等术语进行明确界定。因此，如果与TPP类似的上述提议被TiSA最终采纳，TiSA也可能面临与TPP类似的适用难题。

四、 跨境数据流动国际规制之路径设想：通过谈判承诺促进分类数据的流动

如前所述，TPP作为跨境数据流动国际规制的最新成果，其采用的一般约束性规则加例外的规制路径，极有可能导致TPP规制跨境数据流动条款的适用陷于各缔约方政策目标的冲突之中，而要协调各缔约方政策目标的冲突至少在短期内无法实现。例如，尽管对个人隐私的保护目前在世界各国已达成一定程度的共识，^⑦但对于哪些数据应当被纳入个人隐私的范畴，各国的规定仍然存在不一致。因此，对于未来跨境数据流动的国际规制，本文试图另辟蹊径，避免追求各国政策目标的协调性，也不力图寻求在贸易协定中对“合法公共政策目标”进行明确的界定，因为这的确难以界定，而是尝试像货物产品分类和服务部门分类那样，将数据进行分类，并通过多边、区域抑或多边谈判对已分类数据逐类加以承诺开放，以此来促进数据的安全及充分流动。

（一） 数据分类

在对数据进行分类前，我们主张，承认各国对数据拥有主权，并通过协调数据主权的定义和内涵，解决数据管辖权冲突等问题。明确数据本地化要求的合法性，依据为各国的数据主权，即一国对其拥有主权的数据，可提出本地化要求而不受质疑。在此基础上，互联网被视为有国界，将各国对数据出境的限制视为各国具有的一般性权利，将各国赋予数据出境的自由视为各国的特殊性义务，而该特殊性建立在对数据分类开放的承诺之上。因此，首先需要解决的问题是如何对数据进行分类。数据类型可基于持有主体的不同而划分，^①还可基于产生或收集数据的行业而划分。^②但无论以何种方式对数据进行分类，均无法回避一个问题，即数据的交叉性。例如同样是地图数据，可能由国家测绘部门持有，也可能由地图服务运营商持有；同样是个人收入信息，可能产生于金融服务提供商，也可能产生于电商平台。加之一般情况下，各国是否对数据流动进行限制，并不取决于其持有主体，也不取决于产生或收集数据的行业，而是基于数据的内容。因此，可以考虑成立类似于联合国统计委员会那样的国际机构，根据数据的内容属性，对数据进行分类。

（二） 通过谈判对分类数据的流动自由作出承诺

在对数据进行合理分类后，借鉴服务贸易部门开放或货物贸易关税减让谈判的形式，由国际贸易协定的各谈判方就数据的流动自由进行谈判。至于承诺减让表的形式，可采用混合清单的模式，即先由各国根据国内治理需要，列示出需要纳入限制的数据范围，承诺该范围以外的数据一律不予限制，即负面清单模式。在此基础上，进一步通过谈判，采用正面清单模式，对列入清单中限制数据的可开放种类作出承诺。考虑到多边谈判国与国之间对数据保护或个人隐私保护立法水平的不一，可参考欧盟的做法，^③尝试在多边协定下设立专门机构或借助其他国际机构，根据各国自行提供的数据保护法律、法规和缔结的条约，对各国的保护水平进行分级评定。在此前提下，各国的正面清单谈判可针对不同评定级别的国家分别进行，并作出不同水平的数据开放承诺。

在谈判中有两类数据需要予以阐明，一是涉及国家机密的数据不纳入承诺谈判范围；二是涉及企业商业机密和个人隐私的数据，即便未被一国纳入限制范围或虽纳入限制范围但经过谈判一国承诺对某些国家加以开放，也并不意味着企业和个人即失去对该类数据的控制权，各谈判国应当通过一定的方式，赋予企业和个人在数据收集、使用或出境中的知情权和许可权。

（三） 例外条款的设置

对于承诺开放的数据，可以设置类似TPP协定“合法公共政策目标”那样的例外条款，在特殊情况下加以限制。即便如此，例外情形的适用不能超出必要的限度并构成任意或不合理的歧视或对国际贸易的变相限制。在设置例外条款的时候，可借鉴GATT第20条和GATS第14条的做法，通过各国谈判，将例外情形以穷尽的方式加以列举，以增强其适用性。由于例外情形的适用而引发的国与国之间的争端，国际贸易协定的争端解决机构可以引入类似GATT第20条判例关于必要性的测试等用以判断被诉措施是否超出必要的程度，从而构成对国际贸易的变相限制。这里需要说明的是，虽然此处的例外情形采用穷尽列举的方式，比TPP的例外条款确定性更强，但例外条款的固有缺陷易使规则适用陷入“例外的迷宫”，仍无法完全解决TPP协定例外条款的适用困境。但考虑到对跨境数据流动国际规制路径的设想已根据前述方案对数据进行了分类，并已通过谈判对分类数据的自由流动作出了承诺。故从理论上讲，规制的确定性已大大增强。

五、 中国的因应：寻求数字贸易发展与国内治理需求之平衡

近年，我国在顶层设计中提出了对互联网产业的发展加以扶持，^①并已在互联网技术、产业、应用以及跨界融合等方面取得了积极进展。2016年全球最大型互联网企业名单的前五名中，中国占据两位，美国占据前三位。^②在互联网产业蓬勃发展的同时，我国与其他国家一样面临着互联网国内监管带来的挑战，并顺势进行了数据本地化的相关立法。我国早期的数据本地化要求主要见于部门内部文件。^③近年来，我国进一步强调网络空间主权，以《全国人民代表大会常务委员会关于加强网络信息保护的决定》为开端，网络安全和信息化立法突飞猛进。《网络安全法》（以下简称《网安法》）于2017年6月1日正式生效，相关配套性规定也相继出台。^④数据本地化立法在实现国内监管目标的同时，也为互联网产业发展带来一定的挑战。《网安法》及其配套规定不仅影响了在我国境内经营的内资和外资网络运营者，还影响了从事跨境互联网服务的境外网络运营者。而中国互联网企业在进入这些受影响企业的所在国时，这些国家也可能会采取对等的政策，限制我国互联网企业的数据跨境传输。因此，本文尝试从以下三个方面提出完善国内规制的应对之策，以取得产业发展目标与国内治理需求之平衡。

（一） 重视国内监管目标之间的平衡

虽然《网安法》及其配套规定均以“维护国家安全、社会公共利益，保护公民、法人和其他组织的合法权益”^①作为立法目标，但从该法配套规定《个人信息和重要数据出境安全评估办法（征求意见稿）》（简称《评估办法》）和《信息安全技术数据出境安全评估指南（草案）》（简称《评估指南》）的内容看，似乎更加侧重于“国家安全”目标的实现。例如，《评估办法》第4条规定了个人信息出境须经信息主体同意。但第8条第（二）项进一步规定，“涉及个人信息情况”的数据，应重点评估“个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等”。另外，根据《评估办法》第9条第1款第（一）项的规定，含有或累计含有50万人以上的个人信息，网络运营者应报请行业主管或监管部门组织安全评估。由此可见，在已经取得信息主体同意的情况下，符合法定情形的个人信息仍需经过安全评估，这体现了注重国家安全保护的立法目标。但在个人信息保护方面，与其他发达国家相比，我国还存在较大的差距。如前所述，截至2015年2月，全球有109个国家和地区设置了个人信息保护立法。我国虽然在该领域也有相关的法律规定，但目前尚不具有完整的个人信息保护法，涉及个人信息保护的规定散见于几十部法律、行政法规、部门规章。^②因此，我国未被列入具有个人信息保护立法的109个国家和地区之中。^③一方面，正在征求意见的《评估指南》第B.3.3.1条规定，我国在评估数据接收方的安全保障能力等级时，需评估个人信息接收方所在国的政治法律环境。由此判断，我国拟采用类似欧盟的评估模式，对信息接收方所在国的政治法律环境进行评估。另一方面，在国内个人信息保护立法方面，我国却远远落后于欧盟和其他发达国家的立法保护水平，导致国内立法保护水平不高而用国内标准评价外国立法保护水平的尴尬。因此，我国应当尽快思考个人信息保护法律体系的立法思路，纳入国家立法规划，以实现个人信息保护和国家安全利益保护的平衡。

（二） 加强国内规制与国际规制的协调

在完善跨境数据国内规制的过程中，应当结合WTO规则和我国入世承诺，注重国内规制的合法性评估，使之与WTO规则相协调。首先，在制订与数据流动相关的国内规则时，应当根据我国入世减让表中的具体承诺和GATT第20条、第21条和GATS第14条、第14条之二进行一般例外和国家安全例外评估，即国内规则是否符合中国的入世承诺以及如果与入世承诺有违，是否能够满足GATT/GATS的例外规定？并在条文表述上尽量与GATT/GATS相协调。例如，《评估办法》第1条“为保障个人信息和重要数据安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益”的表述，可考虑参考GATT和GATS例外条款中“保护公共道德或维护公共秩序”等术语，或通过对“社会公共利益”等概念进行解释，使之与GTAA/GTAS例外条款的“公共秩序”表述相协调。其次，对数据的国内规制不应当构成任意或不合理的歧视或构成对国际贸易的变相限制。例如，《评估办法》将对数据本地化存储和数据出境安全评估的监管对象，从《网安法》规定的“关键基础设施运营者”扩展至所有“网络运营者”，扩大了该措施的适用范围。可考虑对该扩展进行必要性评估，使其适用尽可能不违背WTO规则而对国际贸易构成变相的限制。最后，《评估办法》规定了由“行业主管或监管部门负责本行业数据出境安全评估工作”，^①因此，未来各行业主管或监管部门可能会针对本行业数据参照《评估指南》出台相应的评估措施，这些部门在制定和实施具体措施的过程中，则要注意遵守WTO的透明度规则。

（三） 争取跨境数据国际规则话语权

虽然特朗普政权下TPP的前景尚未明朗，但美国通过贸易协定谈判输出国内互联网法律，掌握互联网国际规则制定权的目标不会改变。^②即便TPP协定最终未能生效，其促进跨境数据流动的约束性条款也将成为未来贸易谈判的参考。中国也应当在完善国内规制的基础上，积极探索发展中国家的数据跨境流动国际规则并在双边贸易谈判、RCEP谈判，甚至多边谈判中推进中国式规则。前述《评估指南》已提出了数据分类的概念，在其附录A中详细列举了27个行业（领域）及其重要数据类别供参考，并在最后规定了兜底条款，指出了其他行业判断重要数据的标准。同时，还要求在数据出境时需要考虑数据接收方的技术保障能力和所在国家或地区的政治法律环境，并针对技术保障能力和政治法律环境水平作出高、中、低三个等级的评定。虽然评定标准多采用“较为”、“基本”等措辞，具有一定的不确定性，且未明确针对不同等级的国家或地区在数据出境开放与限制程度上有何差异，但我国可以对此加以完善，并在实践的基础上为跨境数据流动的国际规制提供路径参考，例如，如何在国际规制中对数据进行分类，如何针对不同立法水平的国家和地区进行数据开放承诺等。

结论

大数据时代背景下，数据已不仅仅是贸易的配角，而逐渐成为主导国际经济贸易发展的重要力量。跨境数据自由流动目标与各国数据本地化要求之间的冲突，对区域、多边贸易谈判提出了新的挑战。美国是互联网的发源地，在互联网核心技术上远远领先于其他国家，并利用优势谈判地位主导了互联网国际贸易规则的制定方向。跨境数据流动国际规制的新发展主要体现为以美国主导的TPP为代表，但通过对TPP相关规则的考察，术语的模糊性带来适用上的不确定性，难以实现促进数据跨境自由流动与维护各国公共政策目标之平衡。跨境数据流动国际规制的未来路径，需更好地平衡大多数国家的意愿和利益。中国应在进一步完善跨境数据流动国内规制的同时，在包括规制跨境数据流动在内的互联网贸易国际规则制定中，体现新兴互联网大国的责任与担当，代表广大发展中国家的利益，在互联网全球治理中发出中国声音。

①David Smick,“Could Globalization Crack up?”International Economy, Fall 2012; Joshua Cooper Ramo,“Globalism Goes Backward,” Fortune, November 20, 2012; Jeffrey Rothfeder,“The Great Unraveling of Globalization,”Washington Post, April 24, 2015.

②Jonathan Woetzel, Gordon Orr, Alan Lau, Yougang Chen, Elsie Chang, Jeongmin Seong, Michael Chui, Autumn Qiu, China’s Digital Transformation: The Internet’s Impact on Productivity and Growth, McKinsey Global Institute, July 2014.

③Avi Goldfarb, Catherine Tucker,“Privacy and Innovation”, Innovation Policy and the Economy, 2012, 12(1): 83-84.

④例如，肯尼亚的学生注册总部位于美国加州的可汗学院所提供的网上数学私教课；跨国能源巨头宣布计划在全球4000座油井中使用传感器以远程监测生产；澳大利亚的制造商通过阿里巴巴从中国供货商处购买零件；印度临床试验机构将病人数据传送给美国药物研究人员等。See James Manyika, Susan Lund, Jacques Bughin, Jonathan Woetzel, Kalin Stamenov& Dhruv Dhingra, Digital Globalization: The New Era of Global Flows, McKinsey Global Institute, Febuary 2016:22.

⑤Matthieu Pélissié du Rausas, James Manyika, Eric Hazan, Jacques Bughin, Michael Chui, Rémi Said, Internet Matters: The Net’s Sweeping Impact on Growth, Jobs, and Prosperity, McKinsey Global Institute, May 2011.

①James Manyika, Susan Lund, Jacques Bughin, Jonathan Woetzel, Kalin Stamenov& Dhruv Dhingra, Digital Globalization: The New Era of Global Flows, McKinsey Global Institute, February 2016.

②James Manyika, Susan Lund, Jacques Bughin, Jonathan Woetzel, Kalin Stamenov& Dhruv Dhingra, Digital Globalization: The New Era of Global Flows, McKinsey Global Institute, February 2016:8.

③例如发达国家中的欧盟、澳大利亚和韩国，以及发展中国家的中国、印度、印度尼西亚、越南、尼日利亚和俄国。

④例如，虽然韩国对地图数据要求本地储存，但即使地图服务商和服务器均位于韩国境内，位于境外的人仍可以轻易通过如Naver和Daum两大网站获取韩国的在线地图，甚至可以标出青瓦台的位置。See Lan Goh, Punishment Imposed If Map Data Is Exported Overseas,“Creative Economy”Impeded by 50-year-oldThorn, Joongang Ilbo(Aug.20, 2013).

⑤Shahmel Azmeh& Christopher Foster, The TPP and the Digital Trade Agenda: Digital Industrial Policy and Silicon Valley’s Influence on New Trade Agreements, LSE International Development, Working Paper No.16-175, 2016.

⑥“Official Says US Tabled Text on Free Data Flow at Vietnam TPP Round”, Inside U.S.Trade, July 22, 2012.

⑦OECD, Guidelines Governing the Protection of Privacy and Trans-Border Flows of Personal Data, 1980,C(80)58, Article1(c).

①Daniel Crosby, Analysis of Data Localization Measures Under WTO Services Trade Rules and Commitment, International Centre for Trade and Sustainable Development and World Economic Forum, March 2016.

②Decreto No.8.135, de 4 de Novembro de 2013, Diário Oficial da União [D.O.U.] de 11.5.2013(Braz.).

③Beschluss des Rates der IT Beauftragtender Ressorts, Nr.2015/5, July 29, 2015(Ger.), cited in Matthias Bauer& Hosuk Lee-Makiyama, The Bundes Cloud: Germany on the Edge to Discriminate against Foreign Suppliers of Digital Services, Ecipe Bulletin, September 2015.

④Ministry of Science and Technology, National Data Sharing and Accessibility Policy-2012^[10](March 17, 2012)(Ind.).

⑤Federal Law No.242-FZ“On Amending Certain Legislative Acts of the Russian Federation for Clarification of the Procedure of Personal Data Processing in Information and Telecommunication Networks,”, dated July 21,2014, entered into force September 1, 2016.

⑥Decree on the Management, Provision and Use of Internet Services and Online Information, No.72/2013/ND-CP.art 4.4, art 5(July 15, 2013)(Viet).

⑦Undang-Undang Tentang Pelayanan Publik [Public Service Law], Law No25/2009, July 18, 2009(Government Gazette of the Republic of Indonesia Year 2009 No.112).http://www.setneg.go.id//components/com_perundangan/docviewer.php?id=2274&filename=UU%2025%20Tahun%202009.pdf., visited on 28 June, 2017.

⑧HosukLee-Makiyama& Matthias Bauer,“The Bundes Cloud: Germany on the Edgeto Discriminate against Foreign Suppliers of Digital Services”, Ecipe Bulletin, September 2015.

⑨Valery Marchive,“France Hopes to Turn PRISM Worries Into Cloud Opportunities”, Zdnet, June 21, 2013.

⑩Decree on the Management, Provision and Use of Internet Services and Online Information(Vietnam), Decree No.72/2013/ND-CP, July 15, 2013.http://www.moit.gov.vn/Images/FileVanBan/_ND72-2013-CPEng.pdf., visited on 28 June, 2017.

⑪Decree No.72, art.24.

⑫Internet Code of Practice, art.4(1 November 1997)(Sing.).

⑬Mohammed Najem,“Lebanon Bans Six Porn Sites, Sparks Fears of Future Censorship”, Global Voices, September 10, 2014.

⑭Mustafa Akgül& Melih Kırlıdoğ,“Internet Censorship in Turkey”, Internet Policy Review, 2015, 4(2).

⑮PCEHR act，Section 77.

①M.James Daley et al.,“The Impact of Emerging Asia-Pacific Data Protection and Data Residency Requirements on Transnational Information Governance and Cross-Border Discovery”, Sedona Conference Journal, 2015,16: 201-216.

②In re Warrant to Search a Certain Email Account Controlled and Maintained by Microsoft Corporation,(2d Cir.2015).

③In re Warrant to Search a Certain Email Account Controlled and Maintained by Microsoft Corporation,(2d Cir.2015).at 12.

④In re Warrant to Search a Certain Email Account Controlled and Maintained by Microsoft Corporation,(2d Cir.2015).at 7-9.

⑤Reema Shah,“Law Enforcement and Data Privacy: A Forward-Looking Approach”, Yale Law Journal, 2016, 125(2): 543-558.

⑥“US and EU proposal forbidding blocking”, Inside U.S.Trade, July 5, 2011.

⑦“WTO Members Seek Services Accord as Doha Stalls, US Says”, Bloomberg News, February 3, 2012.

①参见KORUS FTA附件13-B。

②KORUS FTA Facts: New Opportunities for Financial Services.美国贸易代表办公室网站^[2017-05-22].https://ustr.gov/archive/assets/Document_Library/Fact_Sheets/2008/asset_upload_file972_15191.pdf., visited on 29 June, 2017.

③Susan Ariel Aaronson, The Digital Trade Imbalance and Its Implications for Internet Governance, Institute for International Economic Policy Working Paper Series, IIEP-WP-2016-7:13.

④“Official Says US Tabled Text on Free Data Flow at Vietnam TPP Round”, Inside U.S.Trade, July 22, 2012.

⑤“TPP Countries to Discuss an Australian Alternative to Data Flow Proposal”, Inside U.S.Trade, July 6, 2012.

⑥Ibid.

⑦Decree on the Management, Provision and Use of Internet Services and Online Information(Vietnam), Decree No.72/2013/ND-CP, July 15, 2013.

⑧Personal Data Protection Act 2010(Malaysia), Act No.709(Adopted 2 June 2010) Section 129(1).

⑨“Vietnam Seeks Delay on Enforceability of TPP E-Commerce Commitments”, Inside U.S.Trade, November 7, 2014.

⑩“TPP Country Positions”, Wikileaks, November 6, 2013.http://big.assets.huffingtonpost.com/1296_001.pdf., visited on 28 June, 2017.

⑪TPP协定第14.11条。

⑫TPP协定第14.13条。

⑬TPP协定第14.1条。

①后文将对该两条规定进行更详细的论述。

②Agreement to Amend the Singapore-Australia Free Trade Agreement(signed 13 October 2016), Chapter 14.

③“TTIP Consolidated Proposed Electronic Communications/Telecommunications Text”, Greenpeace Netherlands, https://www.ttip-leaks.org., visited on 28 June, 2017.

④“TISA Annex on Electronic Commerce”, Wikileaks, May 2016.https://wikileaks.org/tisa.See also,“TISA Localization Provisions”, Wikileaks, June 2016.https://wikileaks.org/tisa.

⑤Neha Mishra,“The Role of the Trans-Pacific Partnership Agreement in the Internet Ecosystem: Uneasy Liaison or Synergistic Alliance?”, Journal of International Economic Law, 2017, 20(1): 34.

⑥RCEP Working Group on Electronic Commerce,“Terms of Reference”, February 2015.http://www.bilaterals.org., visited on 28 June, 2017.

①例如，《信息技术协定》（Information Technology Agreement，ITA）要求消除数字产品关税；《与贸易有关的知识产权协定》（Agreement on Trade-Related Aspects of Intellectual Property Rights）可保护与信息有关的知识产权，如电脑程序。

②[英]维克托·迈尔-舍恩伯格，肯尼思·库克耶.大数据时代：生活、工作与思维的大变革[M].盛杨燕,周涛,译.浙江:浙江人民出版社,2013:174.

③根据GATS第1条第2款（a）项，“跨境交付”指“自一成员领土向任何其他成员领土提供服务”。

④根据GATS第1条第2款（b）项，“境外消费”指“在一成员领土内向任何其他成员的服务消费者提供服务”。

⑤根据GATS第1条第2款（c）项，“商业存在”指“一成员的服务提供者通过在任何其他成员领土内的商业存在提供服务”。

⑥根据GATS第1条第2款（d）项，“自然人流动”指“一成员的服务提供者通过在任何其他成员领土内的自然人存在提供服务”。

⑦Daniel Crosby, Analysis of Data Localization Measures Under WTO Services Trade Rules and Commitment，International Centre for Trade and Sustainable Development and World Economic Forum, March 2016: 3.

⑧United States — Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R, paras.6.285-87, para.6.29.

①United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R, para.6.102.

②United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R, para.7.179.

③China-Certain Measures Affecting Electronic Payment Services, WT/DS413/R, para.8.1(f)(i).

④《联合国核心产品分类》.UNSTAT网站^[2017-5-27].https://unstats.un.org/unsd/cr/registry/regcs.asp?Cl=9&Lg=1&Co=84., visited on 29 June, 2017.

⑤《联合国核心产品分类》.UNSTAT网站^[2017-5-27].https://unstats.un.org/unsd/cr/registry/regcs.asp?Cl=9&Lg=1&Co=752., visited on 29 June, 2017.

①TPP协定第14.2.1条。

②TPP协定第14.2.2条和第14.2.3条。

③TPP协定第14.11.2条规定：“当通过电子方式跨境传输信息是为了涵盖的人开展其业务时，缔约方应允许此跨境传输，包括个人信息。”

④TPP协定第14.11.3条规定：“本条不得阻止缔约方为实现合法公共政策目标而采取或维持与第2款不符的措施，条件是该措施：（a）不得以构成任意或不合理歧视的方式适用，或对贸易构成变相限制；及（b）不对信息传输施加超出实现目标所需要的限制”。

⑤TPP协定第14.13.3条规定：“本条不得阻止缔约方为实现合法公共政策目标而采取或维持与第2款不符的措施，条件是该措施：（a）不得以构成任意或不合理歧视的方式适用，或对贸易构成变相限制；及（b）不对计算设施的使用或位置施加超出实际目标所需要的限制”。

①TPP协定第14.11.1条规定：“各缔约方认识到每一缔约方对通过电子方式跨境传输信息可能有各自的监管要求”。

②TPP协定第14.13.1条规定：“各缔约方认识到每一缔约方对于计算设施的使用可能有各自的监管要求，包括寻求保证通信安全和保密的要求”。

③VCLT第31.1条规定：“条约应依其用语按其上下文并参照条约之目的及宗旨所具有之通常意义，善意解释之”。See Vienna Convention on the Law of Treaties, art 31(1), May 23, 1969, 1155 U.N.T.S.331(entered into force Jan.27, 1980).

④参见TPP协定第29.1.3条。该条列于TPP协定第29章“例外和总则”项下。除了第14章以外，该条还规定了第10章（跨境服务贸易）、第12章（商务人员临时入境）、第13章（电信）和第17章（国有企业和指定垄断）适用该条规定。GATS第14条是关于“一般例外”的规定。

⑤TPP协定第14.11.3条和第14.13.3条的(a)(b)项均模仿GATS第14条和GATT第20条表述为：(a)不得以构成任意或不合理歧视的方式适用，或对贸易构成变相限制；以及(b)不对......超出实现目标所需要的限制。

⑥United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/AB/R, paras.339, 344, 356; WTO Appellate Body Report, United States-Import Prohibition of Certain Shrimp and Shrimp Products, WT/DS58/AB/R, paras.156,159; United States-Standards for Reformulated and Conventional Gasoline, WT/DS2/AB/R, paras.22-24; Brazil — Measures Affecting Imports of Retreaded Tyres, WT/DS332/R, paras.7.272-7.273.

⑦从某种程度上，WTO争端解决机构的裁决可构成《国际法院规约》第38条第1款（d）项规定的确定法律规则的附属手段；也可被视为VCLT第32条规定的解释条约的补充手段。另参见陈咏梅.WTO法在区域贸易协定解释中的适用探究[J].现代法学, 2014(4):154-163.

⑧Brazil-Measures Affecting Imports of Retreaded Tyres, WT/DS332/R, paras.7.379-7.380; See also United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R,paras.239-242; Korea-Measures Affecting Imports of Fresh, Chilled and Frozen Beef, WT/DS161/AB/R, paras.164,166.

①See e.g.TISA, Article X.3.5 bis(as proposed by Australia); Amendment to SAFTA, Articles 14.13.3, 14.15.3.

②See Art.2.X, Annex on Electronic Commerce, TiSA, Wikileaks, May 2016.https://wikileaks.org/tisa., visited on 9 July, 2017.

③See Art.2.1, Annex on Electronic Commerce, TiSA, Wikileaks, May 2016.https://wikileaks.org/tisa., visited on 9 July, 2017.

④See Art.2.4, Annex on Electronic Commerce, TiSA, Wikileaks, May 2016.https://wikileaks.org/tisa., visited on 9 July, 2017.

⑤See Art.8, Annex on Electronic Commerce, TiSA, Wikileaks, May 2016.https://wikileaks.org/tisa., visited on 9 July, 2017.

⑥See Art.X.3.5.bis, Localization Provisions, TiSA, Wikileaks, October 2016.https://wikileaks.org/tisa., visited on 9 July, 2017.

⑦截至2015年2月，全球109个国家或地区制定了个人数据保护法规。See Graham Greenleaf,“Global Data Privacy Laws 2015:109 Countries, with European Laws Now a Minority”, Privacy Laws& Business International Report, February 2015: 133.

①例如持有该数据的主体为企业，不论该数据的内容是否与消费者个人相关，均归为企业数据；如持有该数据的主体为国家，则不论该数据与企业合法经营是否相关，均归为国家数据。

②例如金融服务中或电信服务中产生的数据等。

③欧盟《1995年数据保护指令》（Directive 95/46/EC）认识到数据跨境流动对贸易的必要性。同时，当与欧洲公民有关的数据在全世界范围传递时，该指令希望能确保该数据获得有效保护。当数据可以被一国国内法或外国公司的合同安排所充分保护时，该指令允许数据被传送出欧盟境外。为此，欧盟理事会和欧洲议会授权欧盟委员会，根据该指令裁定欧盟外第三国是否基于国内法或国际承诺对数据实施了充分保护。迄今为止，欧盟委员会确认12个国家和地区对数据能够实施充分保护，即安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、英属曼岛、新西兰、泽西岛、瑞士、乌拉圭和美国。这12个国家中，欧盟委员会并未直接认可美国国内法对个人数据的有效保护，但鉴于与美国之间数据传输量之庞大，双方签署了安全港协议（EU-US Safe Harbor）。2015年10月6日，欧盟法院裁定安全港协议无效。2016年2月2日，欧盟委员会和美国商务部（DoC）达成新的隐私盾协议（Privacy Shield），以替代此前的安全港协议。参见欧盟委员会网站^[2017-06-29].http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

①2015年，第十二届全国人民代表大会上李克强总理提出制定“互联网＋”行动计划。

②List of Largest Internet Companies.维基百科^[2017-06-29].https://en.wikipedia.org/wiki/List_of_largest_Internet_companies.

③如《征信业条例》第24条第1款规定：“征信机构在中国境内采集的信息的整理、保存和加工，应当在中国境内进行”。又如中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》第6条规定：“中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外，不得向境外提供”。

④例如，与《网安法》同时生效的有《网络产品和服务安全审查办法（试行）》（以下简称“审查办法”）。2017年5月20日，国家网信办专门针对数据出境发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》也已结束公开征求意见。同年5月27日，全国信息安全标准化技术委员会发布《信息安全技术数据出境安全评估指南（草案）》，并公开征求意见。

①参见《网安法》第1条、《个人信息和重要数据出境安全评估办法（征求意见稿）》第1条。

②例如，2012年《全国人大关于加强公民个人信息保护决定》，引入了国际通行的个人信息保护原则。2013年修订的《消费者权益保护法》补充了法律责任条款，但并未作出进一步的具体规定。2015年颁布的《刑法修正案（九）》将《刑法修正案（七）》中的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”。2017年5月9日，最高人民法院和最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，并于2017年6月1日起施行。

③Graham Greenleaf,“Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority”, Privacy Laws& Business International Report, February 2015: 133.

①参见《评估办法》第6条。

②在TPP谈判过程中，美国总统奥巴马曾经指出，“当我们95%的潜在客户都在境外时，我们不能让中国等国家来设定全球经济的规则，我们要自己来制定这些规则。”See Sara Hsu,“China and the Trans-Pacific Partnership”, available at http://thediplomat.com/2015/10/china-and-the-trans-pacific-partnership/, visited on 29 June, 2017.

参考文献