-
近年来,我国加快推动同许多国家和地区商签高标准自由贸易协定,如全面实施 《区域全面经济伙伴关系协定》(RCEP),积极推进加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA),这不仅意味着我国需要承担相应的国际条约义务,还意味着我国对于数字领域贸易法规制的认可。数字经济时代,数据①成为最重要的生产资料(许多奇,2020),尤其对于金融行业,金融机构能够不断推出新的产品和服务很大程度上取决于各类金融数据的挖掘、分析和运用能力。并且,随着金融业的不断开放,金融数据安全、有序、高效的跨境流动成为金融体系运作的必要条件。因此,如何从国际贸易法的角度规制金融数据的跨境流动成为当前新一代自由贸易协定所关注的重点。
-
一、 金融数据跨境流动与国际贸易法规制的关系
-
有观点认为,数据(包含金融数据)的跨境流动不属于贸易问题,不应通过国际贸易法来规制,这主要是由于部分国家的基础设施和制度建设不完善(徐程锦, 2018)。实际上,金融数据跨境流动与国际贸易法之间的关系非常紧密,国际贸易法不仅最早涉及到金融数据的跨境流动,并且随着金融服务贸易形式的多样化,国际贸易法对金融服务贸易的规制也必然会涉及到金融数据的跨境流动。
-
(一) 金融数据跨境流动与国际贸易活动紧密相关
-
早期,金融数据的跨境流动仅存在于国际贸易支付活动中。随后,随着经济全球化的发展,金融服务外包活动逐渐增多,尤其是金融数据处理的外包服务,如银行数据、信用卡数据、各类保险数据、保险理赔数据等越来越多的外包给国外机构,根据GATS 的规定,金融服务的外包也属于国际贸易活动,对于金融数据的外包可直接归类于服务部门分类表(W/120)下的“数据处理服务”“电话答录服务”和“提供与转换金融信息、金融数据处理以及提供其他金融服务的相关软件”等。并且,近年来,随着科技的发展,跨境金融服务贸易也逐渐增加,如跨境炒股、跨境销售投资保险类产品以及跨境远程信息处理等,更多的金融服务通过网络的形式跨境提供,这些服务本质上也是金融数据的跨境流动。据国际数据公司(IDC)预测,全球数据总量将从2018 年的33ZB 增至2025年的175ZB,复合增长率为61%。其中,金融数据成为国际贸易发展的重要市场资源之一(钟红和杨欣雨,2022)。因而,在国际贸易的金融活动中,金融数据的跨境流动必不可少,金融数据跨境流动与国际贸易活动紧密相关。
-
(二) 国际贸易法最早规制金融数据跨境流动
-
金融数据跨境流动是随着金融服务贸易的出现而产生的。20世纪初,金融服务贸易只是作为国际货物贸易的辅助工具,并没有专门针对金融服务贸易的国际规则。直到1986年《埃斯特角城宣言》达成之际,美国提议将服务贸易纳入到乌拉圭回合谈判中,并且将金融服务置于服务贸易章节(Feketekuty,1988),有关金融服务贸易的国际规则才逐渐纳入到国际法的进程中。最早对金融数据跨境流动规制的是 1994年的《北美自由贸易协定》(NAFTA),NAFTA第1407条“数据处理”(Data Processing)对金融数据的处理进行了规定:“各缔约方,应允许另一成员方的金融机构以电子或其他形式,将信息传入或传出该国境内,进行机构正常业务中所必需的数据处理。”NAFTA将金融数据处理与新金融服务合并在同一条款进行规制,可见 NAFTA制定之初,金融数据的跨境流动并不常见。1995年世界贸易组织(WTO)成立后,制定了《关于金融服务承诺的谅解》,该谅解对所有模式下(包括跨境提供、境外消费、商业存在以及自然人流动)金融数据的跨境流动进行了规定,即“如信息传送、金融信息处理或设备转移是金融服务提供者开展正常业务所必需的,则任何成员不得采取阻止此类信息传送或金融信息处理的措施,包括以电子方式传送数据,或在遵守与国际协定相一致的进口规则的前提下,采取阻止设备转移的措施”。但由于 《关于金融服务承诺的谅解》并非一揽子协议的一部分,因而也就没有成为国际上普遍适用的规则。此后,尤其是在2010年以后,多数自由贸易协定如《东盟—澳大利亚—新西兰自由贸易协定》《欧盟—韩国自由贸易协定》等也对金融数据跨境流动进行了规制。
-
(三) 新近自由贸易协定愈发重视对金融数据跨境流动的规制
-
根据WTO的统计,截至2023年3月,共有17个协定对金融数据跨境流动进行了规制,均出现在2010年后。①以美国主导的自由贸易协定为例,虽然美国早期在NAFTA 中就已经对金融数据的跨境流动进行了规制,但仅限于允许跨境流动,并没有过多的限制。CPTPP的前身《跨太平洋伙伴关系协议》(TPP)文本谈判时,在美国的主导下,对金融数据的跨境流动规制进行了进一步的完善,增加了限制金融数据跨境流动的个人隐私保护和审慎监管的因素。当然,在谈判期间,也有学者提议纳入与金融数据跨境流动相关的计算机设备存储条款,但最终没有纳入,这是因为美国财政部担心重蹈2008年金融危机时期政府监管数据获取困难的窘境,反对纳入计算机设备存储条款的条款从而为政府监管预留更大的政策空间(Fefer,2016)。然而,排除该条款引起了较大的争议,2016年美国财政部提案在未来自由贸易协定中纳入计算机设备存储条款,2018年美国、墨西哥、加拿大最新达成的《美墨加协定》(USMCA) 则纳入了计算机设备存储条款,进一步完善了对金融数据跨境流动的规制,也凸显了对金融数据跨境流动规制的重视。另外,日本通过大阪轨道输出其可信数据自由流动倡议的机制,并且借助WTO平台推动电子商务的谈判,希望引导谈判的方向,但日本的可信数据自由流动倡议仅仅是框架性的建议,其核心在于信任,即消费者和企业对隐私保护和安全的信任(World Economic Forum,2020)。同时,日本积极对接美欧的政策框架,一方面积极跟随美国的政策导向,主动参与CPTPP、亚太经合组织(APEC)等美式数据框架;另一方面也积极与欧盟主导的《通用数据保护条例》 (General Data Protection Regulation,下称GDPR)相对接。
-
二、 金融数据跨境流动国际贸易法规制的多种类发展模式
-
受限于WTO贸易法规则演进的僵局,各国便绕开了WTO的约束,通过单边立法、双边或多边自由贸易协定的形式形成对金融数据跨境流动规制的法律框架,呈现出了多种类的发展模式。尤其作为国际上主要的贸易大国或经济体,分别基于不同的发展模式对金融数据的跨境流动进行了规制。
-
(一) 欧盟:隐私保护优先的限制性流动模式
-
欧盟对外达成的贸易协定中对金融数据的跨境流动进行了规定,即允许金融服务提供者基于日常商业经营活动的数据跨境流动,但应当在隐私保护的基础之上。②隐私保护成为欧盟金融数据能否跨境流动的重要因素。因此,单从贸易协定中并不能完全看出金融数据是否一定可以跨境流动。2016年欧盟制定的GDPR通过保护个人隐私的方式限制向第三国或国际组织传输个人数据,并且规定了即使数据控制者或处理者不在欧洲设立,只要是为欧盟内的数据主体提供商品或服务,GDPR均将适用,体现了较强的人权价值取向以及域外适用性。①GDPR在个人数据保护方面并未区分金融数据与其他数据,有观点认为GDPR标准严格苛刻,执行力度大,数据保护体系整体较为健全,无需区分(王远志,2020)。但在非个人金融数据领域则有限制地允许金融数据流动,如对于银行业金融数据,欧盟则在2015年通过了《关于内部市场的支付服务指令》(第2015/2366号)允许在欧盟单一市场的内部银行跨境提供金融服务。近年来,随着数字金融的不断发展,欧盟也逐渐关注到金融数据的跨境流动。2022 年11月,欧盟理事会通过《数字运营弹性法案》(Digital Operational Resilience Act,下称DORA),专门对金融机构和第三方信息技术提供商之间的跨境金融信息传输进行了规定,DORA的通过直接影响了在欧盟没有业务存在的信息技术公司为欧盟金融实体提供数据处理和数据传输的能力。②由此可见,欧盟对金融数据的跨境流动存在一定的限制,秉承较为谨慎的态度,并非自由流动。
-
(二) 美国:经济利益优先的自由流动模式
-
经济利益优先一直是美国秉承的自由贸易理念(许多奇,2022)。美国是极力推动数据跨境流动的最主要国家,由于其在数字经济和贸易领域的绝对优势,为维护互联网巨头的利益,早在克林顿政府时期就主张“最大可能的跨境信息自由流动” (White House Office,1997)。在奥巴马政府时期,美国贸易代表署(USTR)就发布《数字24条》(The Digital2 Dozen)阐明美国有关数据流动的主张。③但也由于美国在数据规则的制定方面落后于欧盟,其开始寻求“由外而内”的规制路径以争夺国际规则制定的主导权,美国首先谋求在经合组织(OECD)、二十国集团 (G20)和APEC等国际组织上就数据的跨境流动发挥主导权,如APEC跨境隐私规则(Cross-border Privacy Rules)即为美国引导制定的区域性数据跨境流动安排,但其较GDPR,其保护标准较低且执行机制也更加富有弹性(李墨丝,2021)。其次,美国通过与各个国家商签自由贸易协定的形式(即双边和多边)最大限度地推动金融数据的跨境自由流动,如早在1993年NAFTA中就金融数据的跨境流动进行了规定,此后在与澳大利亚、韩国等国签订的自由贸易协定中逐渐得以普及,④但规定较为灵活。与欧盟追求人权的价值取向不同,美国从未将隐私作为独立的权利,而是在平衡保护隐私的成本与收益,⑤并且认为强硬的法律结构会“不可避免地阻碍商业活动”。美国很少依靠政府监管来解决消费者隐私的问题,通常依靠“技术、市场力量以及行业自律”(Swire &Litan,1998)。美国对于数据隐私的保护也是源于欧盟的《数据保护指令》将美国界定为“充分性不足”的国家,阻碍了欧盟和美国之间几乎所有的数据流动,严重影响自由贸易、经济增长和依赖数据流动的企业的运营,故而与欧盟开始谈判安全港协议。但由于安全港协议的谈判主体为美国贸易委员会 (FTC),并且惩罚措施是依据《贸易委员会法案》(FTC Act)第五部分的“禁止不公平和欺诈行为”,由于金融机构并不在FTC的管辖范围内,对于拥有管辖权的联邦金融监管者们也声称违反金融公司的隐私政策并不必然构成不公平或欺骗行为,相比之下,他们更愿意在个别案件出现时处理这些案件。①同时,美国的金融机构也认为市场本身就可以对数据隐私进行保护,并且数据的适当分享也有益于经济的发展。虽然美国联邦政府随后也制定了《公平信用报告法》(The Fair Credit Reporting Act, FCRA)以及《格雷姆—里奇—比利雷法》(The Gramm-Leach Bliley Act,GLB),要求在消费者在信贷或就业申请表上提供的任何信息可以与关联公司共享之前,金融机构应提供“通知”和“选择退出”的机会,但这也仅仅提供了最低级别的隐私保护。可见,美国政府包括金融机构从最初就更加看重数据自由流动所带来的经济效益,即在金融安全的前提下,追求经济利益的最大化是美国金融数据跨境流动规制的价值取向。
-
(三) 中国:主权和安全优先的谨慎适用模式
-
我国参与缔结的自由贸易协定中,基本上都没有涉及到金融数据跨境流动的规制条款。2022年1月1日生效的RCEP是我国首次在自由贸易协定中对金融数据的跨境流动做出规定。②RCEP对金融数据跨境流动的规制可以理解成“在数据主权的前提下,原则上允许金融数据的跨境流动,但存在较多例外”。与美欧主导的贸易协定不同, RCEP最先规定了“每一缔约方可就信息转移和信息处理设置其管理要求”,并进一步明确缔约方可以采取不同的管理方法。这就将数据主权摆在了第一位。数据主权是指一国对国内产生的数据拥有管辖和支配的权力,对外享有排除他人干预的最高国家权力,以彰显国家在数据管理上的独立性与自主性(齐爱民和祝高峰,2016)。具体到规则中则变现为数据本地化措施,虽然RCEP中没有对金融数据本地化措施进行规定,但数据主权的规定也间接地赋予了各缔约方自主决定的权力。反观我国国内法对金融数据跨境流动的规定,《网络安全法》和《数据安全法》作为数据跨境的一般法律规范,均提到“维护主权和国家安全”,“安全”是维护主权的重要目的之一,尤其是在金融领域,金融安全直接关系到国家安全,这两部法律均涉及到了境内存储的要求。在具体的法律规范中,如2011年人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》也明确了个人金融信息本地化存储的原则。由此可见,主权和安全优先是我国对待金融数据跨境流动的基本态度。
-
尽管在对金融数据跨境流动的国际贸易法规制上存在隐私保护、经济利益、主权安全等不同种类价值目标,但并不意味着各个理念之间互不相通,从国际贸易法的角度来看,主权原则主要体现为缔约方对相关领域采取监管或限制措施的自主权,基于同意而缔结的条约,即便限制了缔约国采取某些措施或管制的“主权”,也是缔约国行使主权的结果(许多奇,2022)。所以,纵使发展模式存在差异,在具体的条款设置中也可能存在相似性。
-
三、 金融数据跨境流动国际贸易法规制的多层次条款内容
-
通过分析目前已有的涉及金融数据跨境流动条款的自由贸易协定,可以发现集中表现为日常经营活动下的金融数据跨境流动自由、金融数据跨境流动的例外规定(包括审慎例外)以及数据存储本地化等条款,这些条款构成了对金融数据跨境流动的国际贸易法规制体系,对于金融数据的跨境流动至关重要。
-
(一) 日常经营活动下的金融数据跨境流动自由
-
无论是欧盟的限制性流动模式,还是美国的自由流动模式,抑或中国的谨慎适用模式,均承认金融数据跨境的“可流动性”。但此处的“可流动性”并非完全的自由,而是一定范围内的自由流动。各国家或地区在新签订的自由贸易协定中均逐步纳入金融数据跨境流动条款,且均要求“日常经营活动”下的金融数据跨境流动,如CPTPP中表述为“ordinary course of business”,EPA中表述为“conduct of the ordinary business”,USMCA中表述为“conduct of business”,RCEP表述为 “conduct of the ordinary business”。但对于“日常经营活动”的具体含义却没有明确。布莱克法律字典将“日常经营活动”解释为“管理贸易或业务的正常程序”。①美国农业信贷管理局(FCA)曾在一份提议中认为,“日常经营活动”是指不以任何优惠条件为前提的通常的和习惯性的交易,一般来说表现为卖方或服务提供商从事的业务类型是通常的或习惯性的交易。②在MOAC Mall Holdings LLC v. Transform Holdco LLC(MOAC)案中,法院制定了两个维度来判断交易是否属于“日常经营活动”:一是横向维度,即判断该交易是否为同类企业的交易类型;二是纵向维度,即从交易对方的角度来看,该交易是否改变了最初的经济风险。③由此可见,从不同的角度均可理解“日常经营活动”的含义,但均表现为习惯性的。因而,在自由贸易协定尚未明确“日常经营活动”含义的前提下,从事金融数据跨境流动的相关主体需要提前了解相关国家/ 地区实践中对“日常经营活动”含义的理解,但总体上还是与习惯性相连接。
-
(二) 金融数据跨境流动的例外规定
-
对于例外规定,无论是上文提到的欧盟限制模式、中国谨慎模式还是美国的相对自由模式,其目的都是为了实现金融数据的安全性和流动性,区别仅仅在于二者所占的比重有所不同。“流动性”已经通过“可流动条款”达成了一致性的意见,而对于“安全性”,各国家或地区通常借助于个人隐私保护例外、一般例外、安全例外和审慎例外等条款,以CPTPP为例,第11.8条是有关个人隐私保护的规定,第29章A节涉及到一般例外和安全例外。这些条款在早期的自由贸易协定中就已经存在,并非仅仅与金融数据的跨境流动相关,而是对整个自由贸易协定中所有权利和义务的例外规定。由于这些例外规定的功能机理就在于通过控制具体规则的设计,设置宽松或严格的适用条件、具体或宽泛的语言表述对规制目标的可实现程度进行调整,根本上是对国家采取金融数据跨境流动限制措施的自主裁量权是否进行限制以及限制到何种程度的调节。然而,在具体的构建中,例外规则条款的设计最终取决于各方谈判与权力的博弈,与理想状态还有一定的偏差(杨暑东和谢卓君,2021)。因而,在实践过程中,虽然例外规定成为金融数据跨境流动国际贸易法规制的一致性规则,但在具体运用过程中可能还存在解释性的差异。例如,个人隐私保护一直是数据跨境领域的例外规定,欧盟一直将个人隐私保护置于首位,尤其是在2020年欧盟发布《数字金融战略》后,更加注重个人金融数据隐私的保护,而美国则略为次之。虽然美欧早期达成的《安全港协定》(Safe Harbor Agreement)和《隐私盾协议》(EU-US Privacy Shield)排除适用金融服务领域,但从欧盟先后否定了两份协议的效力可看出彼此之间数据保护的价值观差异。再如,近年来,“安全例外”条款逐渐被各成员方援引,乌克兰诉俄罗斯运输限制措施案中,俄罗斯则根据两国之间发生的克里米亚战争提起国家安全例外的抗辩,并认为该条款是“自我裁判”的,专家组对此没有管辖权。专家组认为WTO成员方有权自行判断其“基本国家安全利益”以及相关措施是否是保护该利益“所必须的”,但行使该自判权应基于“善意原则”。俄罗斯可以援引国家安全例外为自己抗辩,但要经过专家组的审查。①
-
(三) 金融数据存储本地化的选择性要求
-
根据OECD的定义,数据存储本地化是指直接或间接规定在特定辖区内以独占或非独占的方式存储或者处理数据的强行法或者行政规定(Svantesson,2020)。美国贸易代表署认为数据存储本地化包括在特定辖区内存储数据设置不必要限制或要求在本地设置计算设施以及对跨境数据流动的完全禁止。②总的来说,数据存储本地化的要求对于数据的跨境流动具有极大的限制作用。金融数据存储本地化的要求在自由贸易协定中表现为计算机设备存储条款,近年来,计算机设备存储条款在自由贸易协定的电子商务或数字贸易章节普遍存在,然而多数情况下,电子商务或数字贸易章节并不适用于金融服务,例如CPTPP第14.2条规定了电子商务章节的适用范围,为进一步明确,提到计算机设施存储条款应遵守第11章(金融服务)的相关条款、例外和不符措施。由此可见,金融数据的存储本地化要求并不完全遵循电子商务或数字贸易章节的规定,而是单独看金融服务章节的内容规定,因而在不同的自由贸易协定中存在不同的情况。总的来说,对金融数据存储本地化的规制可以分为禁止性的规定和沉默性的规定,但这其中,不同的自由贸易协定也存在一定的差异。
-
首先,所谓禁止性的规定,即禁止金融数据存储本地化的要求。现有的自由贸易协定中很少有涉及金融数据存储本地化的条款,仅存在于个别发达国家之间签署的 FTA中。上文提到美国在TPP文本谈判时,财政部为了便于监管,反对纳入计算机设备存储条款,而后续USMCA却又纳入该条款,即USMCA第17.18条,①该条款主要包括三层含义:一是原则上禁止金融数据存储本地化,除非监管机构能够立即、直接、完整和持续地访问所需的金融数据;二是在要求金融数据存储本地化之前,允许对方修正或补充所缺的数据;三是允许出于个人隐私的保护要求金融数据存储本地化。美国认为禁止金融数据存储本地化不仅切实改变了美国金融公司在加拿大的经营条件,还将为所有未来的自由贸易协定设定一个标准,即应禁止金融公司的数据和IT 基础设施被强制本地化。②此外,英国和日本签订的自由贸易协定也纳入了禁止金融数据存储本地化的要求,③其规定与USMCA大致相同,唯一不同点在于一方要求另一方金融数据存储本地化之前,除了允许对方修正或补充所缺数据外,还可以咨询另一方的金融监管机构以获得相关数据。由此可见,英国和日本更加谨慎适用金融数据存储本地化,只有在穷尽所有可获得方式无果后,方可进一步要求。
-
其次,所谓沉默性的规定,即自由贸易协定中不涉及金融数据存储本地化的内容。欧盟对外签署的自由贸易协定,通常采取此种模式。欧盟委员会2018年通过的 “跨境数据流动和个人数据保护的横向条款”规定“缔约方之间的跨境数据流动不应受到······要求在缔约方境内本地化数据以进行存储或处理的限制”(Svantesson, 2020),可见欧盟对于数据本地化存储持有反对意见,但对于金融数据的本地化存储,欧盟并没有单独提到。然而在2022年欧盟通过的DORA中,欧盟对于金融数据的规制却越来越严格,更加注重金融数据的管辖权问题,因此,对于金融数据的本地化存储,欧盟并没有美国等发达国家开放。RCEP虽然也没有明确规定,但RCEP显然对禁止金融数据本地化存储持相对谨慎的态度,RCEP第八章附件一第9条第3款规定: “第二款中的任何规定并不阻止一缔约方的监管机构出于监管或审慎原因要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规,只要此类要求不被用作规避一缔约方在本协定项下之承诺或义务的手段。”这就给予了缔约方较大的自由裁量权。
-
(四) 审慎例外规则的特殊适用
-
例外条款的设计平衡了数据跨境流动规制存在的“三难问题”,即“良好的数据保护”“数据跨境流动”和各国政府“数据保护自主权”不可能同时达成(黄宁和李杨,2017)。其中,一般例外或安全例外是自由贸易协定中的必备条款,适用于所有的领域,而审慎例外作为金融服务领域的特殊条款,在金融数据的跨境流动方面发挥着重要的作用。WTO《服务贸易总协定》(GATS)《关于金融服务的附件》 第2条第1款规定,GATS任何条款均“不得妨碍一成员方以审慎理由而采取的措施,包括为保护投资人、存款人、投保人或者金融服务提供者对之负有托管责任的人,或者保证金融系统的完善和稳定而采取的措施。这些措施凡不符合GATS者,则不得用作逃避GATS项下成员方承诺的义务”。在WTO近30年的争议解决过程中,对该条款的争议不胜枚举,如有观点质疑该条款规定较为模糊需要对其进行重新分类 (Dalhuisen,1999)。也有观点质疑该条款所规定的措施是否必须基于审慎理由。① 还有观点认为需要对第一句和第二句之间明显存在的矛盾进行进一步的澄清,②并且担心该条款可能被用于伪装保护主义措施等(Dalhuisen,1999)。阿根廷金融服务案中,专家组提出了审慎例外条款适用的三个因素,即:(1)影响金融服务的提供;(2)基于审慎理由;(3)不被用来作为规避成员方承诺或义务的措施。③专家组认为“影响”(affecting)的含义范围比“监督”或“管理”(regulating or governing)更宽泛,即只要对具有金融性质的服务贸易行为有所影响即可。④而对基于“审慎理由”而采取的措施,专家组和上诉机构均认为“审慎”意味着“预防性” (preventative or precautionary),其针对的是旨在防止特定结果的措施或阻碍其结果的措施,⑤并由于WTO成员有足够的自由根据其自身的价值尺度来衡量“审慎理由”,故其含义会随着时间的推移而变化,⑥且对“审慎”一词“灵活”及“宽泛” 的解释更符合国际社会对金融风险性质的关切。⑦尤其在当前,国际社会对金融数据跨境流动的规制还呈现多层次的模式,各主权国家或地区定会将审慎例外规则作为平衡金融数据跨境自由流动的工具,如RCEP直接将监管机构出于审慎原因可要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律法规纳入“信息转移与信息处理”条款当中。⑧
-
总之,在理论基础方面,国际社会对金融数据的跨境流动形成了多层次的贸易法规制模式,但从具体条款的设计来看,未来对金融数据跨境流动的贸易法规制也定会向着大同小异的方向发展。
-
四、 金融数据跨境流动国际贸易法规制下的中国因应
-
不同的发展模式决定了各个国家或地区能否达成一致性的自由贸易协定,而具体的条款内容则是达成一致性自由贸易协定后的规制措施。近年来,我国加入和批准 RCEP并申请加入CPTPP体现了我国对接高标准国际经贸规则的决心和行动,目前,我国已签署的自由贸易协定达到19个,正在谈判的自由贸易协定共计10个,正在研究的自由贸易协定也有8个,①但其中,除RCEP中设有金融数据跨境流动的规制条款外,其他自由贸易协定中均未涉及。由此可见,我国金融数据跨境流动的国际贸易法规制还存在可提升的空间。对于我国而言,既要积极落实已加入条约如RCEP中的内容,又要为即将加入的条约如CPTPP奠定基础。虽然在发展模式方面,我国与其他国家或地区存在差异,但并不必然阻碍与其他国家或地区达成一致性的自由贸易协定,我国可在具体条款的设计方面求同存异。
-
(一) 金融数据跨境流动国际贸易法规制发展模式的求同存异
-
由上文分析可知,我国目前采用“主权和安全优先的谨慎适用模式”,即主权和安全是我国目前对待金融数据跨境流动的贸易理念。虽然这种理念与欧美不同,但并不妨碍国家之间达成一致性的贸易协定,并在国际贸易法发展模式方面求同存异,因为国际贸易法体制正在塑造和维护一种具有实证法意义的“俱乐部产品”,而非自然法意义的“公共产品”(彭岳,2022)。实践中也不乏先例,如欧盟在个人数据保护方面采取较为严格的标准,而美国则相对宽松,但欧盟与美国仍在此前达成了《安全港协定》和《隐私盾协议》。欧盟曾表示不会将数据保护作为贸易协定谈判的筹码,但在与日本进行经济合作伙伴谈判时,也被要求就数据保护主义进行澄清。②因此,当前无论是积极落实RCEP中的内容,还是对接CPTPP中的条款,对待金融数据的跨境流动我国均可坚持主权和安全优先的谨慎适用模式。这也与习近平主席2020年11月在世界互联网大会上提出的“携手构建网络空间命运共同体”行动倡议相呼应。金融数据之于网络空间,其跨境流动的贸易理念也必将是共通的和相互包容的。
-
(二) 金融数据跨境流动国际贸易法规制条款的吸纳
-
有观点认为金融数据并不需要给予特殊待遇,一般数据跨境流动的条款足以实现规制的目的(Copy &Atkinson,2016),但从自由贸易协定发展的体例来看,金融服务逐渐被列为单独章节,金融数据与金融服务息息相关,将其单独割裂纳入一般数据规则中有违金融服务章节的完整性。因而有必要单独设置金融数据的跨境流动条款,并且吸收并纳入当前国际较为先进的自由贸易协定中的条款内容。这主要是因为:第一,国际发展趋势的要求。由上文分析可知,金融数据跨境的“可流动性”成为必然,无论是发达国家抑或发展中国家均予以认可,差别仅在于可流动性的“范围”和“程度”。对我国而言,可能担心存在金融数据跨境流动危及国家安全的问题,但实际上,不同国家或地区基于贸易理念的不同,在例外规定方面设置了较大的自由裁量权,我国完全可以充分运用例外规定和审慎例外规则维护国家金融安全的问题。另外,对于禁止金融数据存储本地化的要求,国际社会较多国家仍持有相对谨慎的态度,而对我国而言,目前对标的CPTPP文本虽然由美国最初主导制定,但并未纳入禁止金融数据存储本地化的要求,纵使后续有此发展趋势,但尚未得到普及,因此,我国可在此方面可暂且选择性地排除。第二,国内金融发展的需求。金融数据跨境流动作为金融行业发展的经济引擎,严格的限制性措施可能会加剧信息不对称的现象,从而使本国市场被孤立,本国企业也难以参与到国际化的竞争当中(高山行和刘伟奇,2017)。如今,我国坚持深化改革开放,实行更高水平的开放,国内外金融企业更加需要开放的网络环境,及时进行金融数据的交换。例如上海市合格境外有限合伙人(QFLP)试点外汇管理允许QFLP管理企业使用外汇资金对其发起设立的股权投资企业出资,金额不超过所募集资金总额度的5%,但由于金融数据的跨境要求模糊不清,境外企业则无法准确了解境内资金额度,造成投资不便。因此,如果能在对外谈判的自由贸易协定中,主动靠拢已有的金融数据跨境流动贸易条款,既能适应国际社会的发展趋势,又能促进国内外企业的相互交流。
-
(三) 加强金融数据跨境流动国际贸易法规制的国际合作
-
在互联、协作、开放和共享的时代,国际规则的构建必不可少。目前,尽管欧盟、美国、日本等国家和地区都在积极主导并制定金融数据跨境流动的规则,但在全球范围内尚未形成统一的国际贸易法规则。如果仅仅依靠各国或地区的单边数据规制,则很难实现金融数据的全球流动,并且在一国境内存储他国数据的行为极有可能侵犯他国的数据保护法。因而,国际社会也亟需加强合作以实现金融数据的跨境流动。对我国而言,RCEP的达成为我国积极寻求与存在共识的国家开展双边合作奠定了基础,我国要进一步增强在金融数据跨境流动领域的参与度,可率先在“一带一路”建设中与沿线国家签订双边贸易协定,就日常经营活动下的金融数据跨境流动自由、金融数据跨境流动的例外规定以及数据存储本地化等条款进行充分的讨论并形成相应的制度安排。此外,对于可能存在的冲突,准确评估存在的风险,并争取与合作的国家在标准上达成互认。
-
总之,信息技术加快了线上金融服务的发展,其便捷和迅速的特性使其在跨国投融资以及金融监管合作方面发挥了重要的作用,而金融数据则是金融全球化的重要载体,金融数据的跨境流动既促进了实体经济的发展又为金融创新奠定了基础。当前,国际社会在国际贸易规则的制定方面逐渐关注金融数据的跨境流动,已经就日常经营活动下的金融数据跨境流动自由等达成一致性的意见,对于我国而言,应当积极主动顺应国际社会的发展趋势,在自由贸易协定谈判过程中高度关注金融数据的跨境流动。
-
①“数据”是指未经过滤的符号或来自各种活动和输入的信号,通过过滤、聚合或排序等可以转换为“信息”(UNCTAD,2019)。由于涉及跨国比较,而不同国家及地区的词语和使用习惯存在差异,故本文对“金融信息”和“金融数据”的使用不加区分。
-
① 分别为RCEP、USMCA、CPTPP、《欧盟—日本经济伙伴关系协定》《土耳其—新加坡自由贸易协定》《欧盟—加拿大综合性经济贸易协定》《智利—泰国自由贸易协定》《日本—蒙古自由贸易协定》《韩国—越南自由贸易协定》《中国香港—智利自由贸易协定》《欧盟—格鲁吉亚自由贸易协定》《欧盟—乌克兰自由贸易协定》《欧盟—摩尔多瓦自由贸易协定》《欧盟—中美自由贸易协定》《日本—秘鲁自由贸易协定》《欧盟—韩国自由贸易协定》以及《东盟—澳大利亚—新西兰自由贸易协定》。
-
② 如《欧盟—新加坡自由贸易协定》的金融数据跨境流动条款置于“服务、设立和电子商务”章节中,而《欧盟—韩国自由贸易协定》的金融数据跨境流动条款则置于“监管框架”章节中,也有少部分欧盟自由贸易协定中单设金融服务章节,如《欧盟—加拿大综合性经济贸易协定》。
-
① 参见GDPR第3条。
-
② 参见DORA第26条第2款和第28条第9款。
-
③ 参见USTR,The Digital2 Dozen. https://ustr.gov/sites/default/files/Digital-2-Dozen-Final.pdf.
-
④ 参见《美国—澳大利亚自由贸易协定》金融服务章节第8条;《美国—韩国自由贸易协定》金融服务章节第13.7条。
-
⑤ 参见Financial Privacy: Hearings Before the Subcomm. on Financial Institutions and Consumer Credit of the House Comm. on Banking and Financial Services,106th Cong.11(1999).
-
① 参见Letter from Alan Greenspan,Chairman of the Federal Reserve Board,to Representative John LaFalce(May 30,2002). https://www. federalreserve.gov/boarddocs/press/bcreg/2002/20020530/attachment.pdf.
-
② 参见RCEP第八章附件一第9条。
-
① Black’s Law Dictionary (11th ed.2019) , course of business (17c) : The normal routine in managing a trade or business. — Also termed ordinary course of business; regular course of business; ordinary course; regular course.
-
② 参见Farm credit administration: proposed rules: standards of conduct and referral of known or suspected criminal violations; standards of conduct,83 Fed. Reg.27922(2018),Friday,June15,2018,pp.27889-28150.
-
③ 参见Michael D. Contino,Supreme Court Ponders Bankruptcy Code’s Good-Faith Purchaser Exception,McGill Guide9th ed.
-
① 参见Panel Report,Russia-Measures Concerning Traffic in Transit,WT/DS512/R,paras.7.111-7.125.
-
② 参见USTR archive,Key Barriers to Digital Trade. https://ustr.gov/about-us/policy-offices/press-office/fact-sheets/2017/march/keybarriers-digital-trade.
-
① 参见USMCA,第17.18条。
-
② 参见A Trade Agreement with Mexico and potentially Canada,Report of the Industry Trade Advisory Committee on Services,September 27,2018. https://ustr.gov/sites/default/files/files/agreements/FTA/AdvisoryCommitteeReports/ITAC%2010%20REPORT%20-%20Services.pdf.
-
③ 参见UK/Japan: Agreement for a Comprehensive Economic Partnership,第8.63条。
-
① G-20 Pittsburgh Summit, Special Pittsburgh G-20 Report from Public Citizen’s Global Trade Watch, No Meaningful Safeguards for Prudential Measures in World Trade Organization’s Financial Service Deregulation Agreements, 2009:10-17.
-
② G-20 Pittsburgh Summit, Special Pittsburgh G-20 Report from Public Citizen’s Global Trade Watch, No Meaningful Safeguards for Prudential Measures in World Trade Organization’s Financial Service Deregulation Agreements, 2009:3-5.
-
③ Panel Report, Argentina-Measures Relating to Trade in Goods and Services, WT/DS453/R, paras.7.779-7.851.
-
④ Panel Report, Argentina-Measures Relating to Trade in Goods and Services, WT/DS453/R, para.7.857.
-
⑤ Panel Report, Argentina-Measures Relating to Trade in Goods and Services, WT/DS453/R, para.7.865.
-
⑥ Panel Report, Argentina-Measures Relating to Trade in Goods and Services, WT/DS453/R, para.7.871.
-
⑦ Panel Report, Argentina-Measures Relating to Trade in Goods and Services, WT/DS453/R, para.7.875.
-
⑧ 参见RCEP第八章附件一第9条。
-
① 此数量包含升级版自由贸易协定(中—智利、中—东盟、中—巴基斯坦)。同时将《内地与港澳关于建立更紧密经贸关系的安排》与《海峡两岸经济合作框架协议》合并为一个予以计算。
-
② Japan urges EU to develop data flow provisions despite political agreement on FTA. https://insidetrade.com/daily-news/japan-urges-eudevelop-data-flow-provisions-despite-political-agreement-fta.
-
参考文献
-
[1] 高山行,刘伟奇,数据跨境流动规制及其应对——对《网络安全法》第三十七条的讨论[J].西安交通大学学报(社会科学版),2017(2):85-91.
-
[2] 黄宁,李杨,“三难选择”下跨境数据流动规制的演进与成因[J].清华大学学报(哲学社会科学版),2017(5):172-182.
-
[3] 李墨丝,欧美日跨境数据流动规则的博弈与合作[J].国际贸易,2021(2):82-88.
-
[4] 彭岳,互联网金融监管理论争议的方法论考察[J].中外法学,2016(6):1618-1633.
-
[5] 齐爱民,祝高峰,论国家数据主权制度的确立与完善[J].苏州大学学报(哲学社会科学版),2016(1):83-88.
-
[6] 王远志,我国银行金融数据跨境流动的法律规制[J].金融监管研究,2020(1):51-65.
-
[7] 许多奇,论跨境数据流动规制企业双向合规的法治保障[J].东方法学,2020(2):185-197.
-
[8] 许多奇,治理跨境数据流动的贸易规则体系构建[J].行政法学研究,2022(4):50-60.
-
[9] 徐程锦,国际经贸协定中网络空间治理议题的新发展[J].区域与全球发展,2018(2):93-94.
-
[10] 杨暑东,谢卓君,跨境数据流动贸易规制之例外条款:定位、范式与反思[J].重庆大学学报(社会科学版),网络首发(2021-08-26):1-15.
-
[11] 钟红,杨欣雨,金融数据跨境流动安全与监管研究[J].国际金融评论,2022(9):38-44.
-
[12] Copy,N.,and R.D.Atkinson,Financial Data Does Not Need or Deserve Special Treatment in Trade Agreements,Information Technology & Innovation Foundation,April 2016.https://www2.itif.org/2016-financial-data-trade-deals.pdf.
-
[13] Dalhuisen,J.H.,“Liberalisation and Re-regulation of Cross-Border Financial Services——The Situation in the EU and WTO/GATS”,European Business Law Review,1999(10):158-192.
-
[14] Fefer,R.F.,TPP Financial Services Data Flows,CRS Insight,June 3,2016(IN10498).https://fas.org/sgp/crs/row/IN10498.pdf.
-
[15] Feketekuty,G.,International Trade in Services:An Overview and Blueprint for Negotiations,Ballinger Publishing Company,1988.
-
[16] Svantesson,D.,Data Localisation Trends and Challenges:Considerations for the Review of the Privacy Guidelines,OECD Digital Economy Papers,No.301,OECD Publishing,2020.https://www.oecd.org/science/data-localisation-trends-and-challenges-7fbaed62-en.htm.
-
[17] Swire,P.P.,and R.E.Litan,“None of Your Business:World Data Flows,Electronic Commerce,and the European Privacy Directive”,Brookings Institution Press,1998(5).
-
[18] UNCTAD,Digital Economy Report 2019——Value Creation and Capture:Implications for Developing Countries,United Nations Publication,2019.https://unctad.org/system/files/official-document/der2019_en.pdf.
-
[19] White House Office,A Framework for Global Electronic Commerce,Washington,D.C.White House,1997:1-30.
-
[20] World Economic Forum,Data Free Flow with Trust(DFFT):Path towards Free and Trusted Data Flows,White Paper,2020:4-20.
-
摘要
数字金融时代,金融科技的创新离不开金融数据的跨境流动,并由此产生通过国际贸易法规制金融数据跨境流动的问题。金融数据的跨境流动很早就受国际贸易法的规制,并在近年逐渐凸显。当前,国际社会对于金融数据跨境流动的国际贸易法规制形成了多种发展模式,如欧盟的隐私保护优先的限制性流动模式、美国的经济利益优先的自由流动模式以及中国的主权和安全优先的谨慎适用模式,但发展模式的不同并没有妨碍国家或地区间的自由贸易协定通过日常经营活动下的金融数据跨境流动的自由条款、例外条款以及数据存储本地化条款等对金融数据的跨境流动进行规制。在此背景下,为推动金融数据多边贸易规则的形成,我国可在金融数据跨境流动国际贸易法规制发展模式方面求同存异,在制定金融数据跨境流动贸易条款时吸收并纳入国际规则,并加强金融数据跨境流动国际贸易法规制的国际合作。
Abstract
In the era of digital finance, the innovation of financial technology cannot be separated from the cross-border flow of financial data, and this has led to the issue of regulating the cross-border flow of financial data through international trade law rules. The cross-border flow of financial data has long been subject to trade law regulations and has gradually become prominent in recent years. Currently, the international community has formed various development models for regulating the cross-border flow of financial data through international trade laws, such as the EU’s privacy protection priority restrictive flow model, the United States’ economic interest priority free flow model, and China’s sovereignty and security priority prudent application model. However, this difference does not prevent free trade agreements between countries or regions to regulate cross-border flow of financial data from providing provisions such as the cross-border flow of financial data under ordinary course of business, the exceptions to cross-border flow of financial data and data storage localization. In this context, in order to promote the formation of multilateral trade rules for financial data, China can seek common ground while reserving differences in the concept of cross-border trade in financial data, actively absorb international rules in formulating trade provisions for cross-border flow of financial data, and strengthening cooperation between countries.