摘要
国际社会的数据跨境流动规则博弈围绕数据主权和数据自由间的冲突碰撞及协调展开,两者均为数据治理的核心原则,政策制定时需同时兼顾。《数字经济伙伴关系协定》 (DEPA)框架下,虽原则上倡导数据跨境流动自由化,但亦设有数据跨境流动例外条款,以寻求数据主权与数据自由的平衡。缔约国可以在遵守 DEPA 数据规则整体框架下,基于公共政策目标采取必要措施,维护本国数据主权与安全。作为加入 DEPA 的申请方,中国存在诸多数据跨境流动限制措施,因此需准确把握数据跨境流动例外条款为数据监管留出的政策空间,实现数据监管措施与 DEPA 规则的对接。然而,DEPA 数据跨境流动例外条款设计存在表述模糊、适用规则不明确的问题,会导致例外条款适用存在争议甚至滥用之隐患。中国应当坚持善意解释原则和审慎合理援用原则,明确“不符措施” 清单,增强安全评估机制的可操作性,以期明确 DEPA 数据跨境流动例外条款的解释与适用,推动中国数据规则与 DEPA 接轨,助力数字贸易的蓬勃发展。
关键词
Abstract
The international rule-making regarding cross-border data flows revolves around the conflict and coordination between data sovereignty and data freedom, both of which are core principles of data governance that must be balanced in policy formulation. The Digital Economy Partnership Agreement (DEPA), while advocating for the liberalization of cross-border data flows in principle, also includes exception clauses for cross-border data flows to achieve a balance between data sovereignty and data freedom. As an applicant for DEPA accession, China maintains multiple restrictions on cross-border data flows. Therefore, China must grasp and appropriately leverage the policy space provided by the exception clauses to ensure that its data regulatory framework is consistent with DEPA obligations. However, DEPA’s exception clauses for cross-border data flows suffer from ambiguity in wording and uncertainty in application, which may result in interpretative disputes and even abuse. Contracting parties may adopt necessary measures based on public policy objectives while complying with DEPA’s overall data governance framework to safeguard their national data sovereignty and security. To address these challenges, China should adhere to the principle of good faith interpretation and apply the exception clauses in a prudent and proportionate manner. It should also clarify its list of “non-conforming measures” and improve the operability of its security assessment mechanism. These steps aim to enhance the clarity of DEPA’s exception clauses and the predictability of their application, promote greater alignment between China’s data regulations and the agreement, and facilitate digital trade development.
WTO框架下的数字贸易规则悬而未决,《自由贸易协定》(FTA)成为数字贸易规则的探索平台。在此背景下,《数字经济伙伴关系协定》(DEPA)成为全球第一个专门性的数字贸易协定。DEPA数字贸易规则较好地体现了小型数字经济体在数字贸易治理中的利益诉求,是全球数据治理规则的最新发展,成为除中、美、欧之外影响数字贸易治理又一重要力量。当前国际社会各国的贸易和生产活动严重依赖于数据的移动、存储和使用,因此数据跨境流动规制问题成为国际贸易协定的核心问题。 DEPA设置专门模块(模块4)来规制数据,在数据跨境流动这一问题上倡导数据自由流动原则。同时为避免数字鸿沟,在其第4.3条“通过电子方式跨境传输信息”第3 款设置了数据跨境流动例外条款(以下简称“数据例外条款”),允许缔约方为实现合法公共政策目标而采取或维持与数据流动自由化不一致的措施。①中国已经正式申请加入DEPA,国内相关立法应当契合DEPA高水平的数据跨境流动规则,但我国目前数据立法中的诸多数据跨境流动限制措施分散在不同法律中,违背了DEPA数据自由流动原则。数据例外条款作为一种灵活性的制度安排,可以为缔约国国内政策的制定留下包容空间,为各国在数据领域达成协定提供了条件。因此,中国国内数据立法与DEPA高水平规则对接的关键在于合理解释并利用这一数据例外条款。但数据例外条款的解释与适用存在争议,需要廓清其适用条件为各缔约国国内监管措施的制定及完善提供指引。
一、 DEPA 数据跨境流动例外条款的制度功能及实践困境
作为缔约国对数据跨境流动采取限制措施的合法性来源,例外条款存在或宽松或严格的适用条件,直接反映了条款对缔约国的数据限制程度。在具体的贸易协定订立过程中,例外条款的适用规则中暗含了各方博弈的结果,也反映了协定对数据跨境流动规制的价值倾向。考虑到不同国家在数据跨境流动监管方面可能有不同的需求, DEPA的数据例外条款没有采用穷尽式列举的方式限定具体的适用情形,而是采取宽松的规制进路,允许缔约国根据自己国内的监管措施对数据跨境流动进行必要的限制和管理,体现了对各国数据主权尊重。但基于数据跨境流动问题的复杂性,其数据例外条款成为数据跨境流动规制中的“模糊地带”,导致条款解释和适用存在困境,背离条款设计的制度目标。
(一) DEPA 数据跨境流动例外条款的制度功能
1. 平衡数据自由流动与国家数据主权
现代国际社会中,国家之间主要通过签订国际条约的形式开展合作,即所谓的 “硬法”。但如果条约对国家行为的规制过度热切,导致国家遵守条约的成本过高,不得不选择违背条约义务(韩逸畴,2021)。为解决这一问题,学者们开始研究制度设计上的灵活性,其中“例外条款”是国际条约中的灵活性设计之一,成为适应独特国内利益的“安全阀”。因为其足够灵活,可以向国内政策关注和政府干预倾斜,成为缔约国加入国际协定的重要原因之一(Delimatsis,2011)。在数字化时代,数据发挥最大价值的前提是实现全球范围的自由流动(卜学民和马其家,2021)。而作为国际法的基石,国家主权原则赋予每个国家在其领土内出于保护国家安全和公共秩序的需要制定和执行自己的法律法规的权力。在数据全球化背景下,这一原则意味着每个国家有自己的数据主权,可以根据自身的社会、经济和文化背景,制定有关数据保护和网络安全等领域的法律法规。考虑到数字经济发展对数据主权的冲击,对数据主权的维护需要建立可信赖的数字环境并进行监管,但如果政府对此监管过度,则会阻碍数字经济发展。因此,数据跨境流动国际规制面临的最大问题就是如何平衡数据自由流动与国家数据主权。
DEPA作为首个专门数字经济协定,其核心是数据问题,在数据规则设计上考虑了数据的流动自由化与缔约国数据主权之平衡,在数据问题模块引入了公共政策目标例外,作为专用于规制数据跨境流动问题的数据例外。允许缔约国在必要时采取措施保护其公共政策利益,认可了各国在处理本国数据事务时具有自主权,可以对数据跨境流动施加监管。在国际交往中,公共政策可以捍卫国内普遍的道德理念和基本的正义准则。因此,DEPA数据跨境流动例外条款可以使主权国家在遵守国际经贸规则整体框架下实现自身利益保护和公共政策目标,达到尊重国家主权和国际合作的动态平衡。
2. 平衡不同数据规制模式之间的冲突
如今数字鸿沟持续存在,各国数字发展水平和数字立法水平存在差异,对于数据条款的接受度也不同。国际社会数字贸易治理格局表明,中国、美国、欧盟作为大型的数字贸易经济体,在数据治理规则上具有主导权,但各方在经贸规则,尤其是数据跨境流动规则方面存在争议,短期内难以达成一致。DEPA数据问题中的例外条款可以为缔约国国内政策的制定设置包容空间,为各国在数据领域达成协定提供了条件。与DEPA相比,中国业已加入的《区域全面经济伙伴关系协定》(RCEP)在数据问题上增加了“基本安全”例外,并在公共政策目标例外中采用“其认为”的表述,① 由缔约方自行决定其数据跨境流动限制措施是否符合公共政策目标,赋予了缔约国在数据问题上较大的自主权。美国主导的《美墨加协定》(USMCA)在数据问题上,限缩了数据例外的适用范围,严格禁止数据本地化,追求更高标准的数据跨境自由流动。通过对RCEP、DEPA、USMCA的对比,三者均设置例外条款允许缔约方对数据跨境流动采取监管措施,但其在数据问题上设置的例外条款的适用范围和条件存在区别,体现不同的价值倾向。考虑到缔约方不同的数字经济发展水平,RCEP为数据跨境流动设定了更为宽泛的例外,给缔约方数据监管留下了较大的自由度,具有较强的数据主权倾向。推动数据流动自由化是美式贸易规则的主要诉求,美国主导的USMCA 严格限缩了例外条款的适用,强调更高标准的数据自由流动规则。而DEPA并没有一味强调高标准的数据流动自由化,与USMCA相比,其适当放宽了数据例外条款的适用,回应了主权国家对国家安全、公共利益的关切。但为了将缔约国数据监管权限制在更合理范围,DEPA为数据例外条款设置了较RCEP更为严格的适用条件以避免条款的滥用。因此,其数据跨境流动规则在不同的数据规制模式间追求平衡,提高了DEPA数据规则的可接受度,有助于国家间进行更深入更广泛的数字贸易合作。
(二) DEPA 数据跨境流动例外条款的实践困境
1. 关键概念表述模糊
例外条款的模糊表述或许有利于协议文本在缔约国之间达成一致,但必然会牺牲法律的确定性(彭岳,2018)。DEPA的数据例外条款本身表述模糊,国际上也缺乏足够的案例为条款的解释提供充分的指引,所以DEPA数据例外条款在实际适用过程中存在分歧与争议。尤其是该条款的关键概念——合法公共政策目标在DEPA中并未得到进一步阐释,其他各类FTA对此也无明确界定。加之数据跨境流动规则的适用具有复杂性,所涉不同国家或地区之间的法律制度、隐私保护、数据安全和监管等多个方面存在差异。因此,关键概念的模糊表述将导致缔约方无法准确界定条款的适用范围和效果,在实施和解释该条款时产生较大分歧,由此影响该条款的有效实施,从而背离DEPA保护公共政策目标的初衷。
2. 适用条件宽松导致滥用隐患
数据例外条款的滥用将成为新的贸易保护方式,阻碍数字贸易自由化发展。数据例外条款的解释困境导致其适用一直存在争议,而不同国家在数据跨境流动监管方面可能有不同的需求,DEPA的数据例外条款没有采用穷尽式列举方式限定其具体适用情形,而是采取宽松的规制进路,允许缔约国根据自己的国内法律和监管措施对数据跨境流动进行必要的限制和管理,体现了对各国数据主权和法律管辖权的尊重。因此,DEPA对数据例外条款的适用规定较为原则,一方面给予缔约国充分的自主权,另一方面却使缔约国可以利用漏洞逃避数据自由流动的义务,将维护本国企业发展而实施的贸易限制措施解释为“合法公共政策目标”,从而逆转贸易自由化的成果。数据例外条款的主要目标在于保护缔约国国内的公共利益,每一缔约国都希望本国的公共政策目标范围得以扩张,但若将广泛的限制措施都纳入“合法公共政策目标”的范围,各缔约国就可能会随意援引,从而规避条约义务。例外条款的滥用将成为贸易保护的新模式,严重扰乱甚至破坏国际经济贸易秩序。例如,美国滥用安全例外阻碍中国企业在美国的正常经营活动就违背了贸易自由原则。
3. 与平行例外条款交叉适用形成多重限制
除数据跨境流动例外条款本身因制度设计缺陷导致适用受阻外,DEPA协定中例外制度的多样化也是造成适用困境的主要原因。DEPA中对数据跨境流动的限制往往来自三个方面,即第4章的数据例外、第15章的一般例外和安全例外。其中,DEPA 第15章以“例外”命名,以专章的形式引入了《关税及贸易总协定》(GATT)和 《服务贸易总协定》(GATS)中的一般例外和安全例外,构成整个协定的平行例外条款,其目的为保护公共利益和国家安全。鉴于数据问题的复杂性,越来越多的FTA 对数据跨境流动施加了专门的规定,DEPA也不例外。DEPA承认主权国家在数据跨境流动领域的规制权,在数据领域设立了公共政策例外条款作为专门的数据例外条款,以保护数据领域的公共政策目标。从理论上看,适用于整个协定的平行例外条款当然可以规制数据跨境流动问题,因此DEPA中的一般例外和安全例外作为平行例外,属于普遍适用条款,可以适用于数据跨境流动问题。而专设于数据问题模块的数据例外条款,则可以直接规制数据跨境流动问题。显然,数据例外条款和平行例外条款都可以用于规制数据跨境流动问题。但DEPA中的数据例外条款与平行例外条款所保护的利益存在交叉,且协定并未明确多种例外条款之间的适用规则。缔约国可以选择依据第4章的数据例外条款或第15章的平行例外条款,为其数据限制措施提供正当化依据。这种条款的交叉适用导致了对数据跨境流动的多重限制,增加了数据规制的不确定性。
二、 DEPA 数据跨境流动例外条款的适用边界
明确性是确保条约内容被准确理解和正确执行的重要前提,长期以来,例外条款的解释与适用都是数据跨境流动规制中的难点。DEPA数据例外条款的解释存在分歧与争议,需根据协定内容,明晰数据例外条款的边界,为缔约国数据跨境流动规制提供指引。根据条款内容,DEPA数据问题模块公共政策目标例外的适用需满足以下三个条件:(1)缔约国采取的措施是为了实现合法公共政策目标;(2)限制措施不构成任意、不合理或变相的歧视;(3)不超过“必要的”限度。目前,国际上对 “合法公共政策目标”的范围,不合理歧视情形以及必要性测试内容均未明确界定。 DEPA在第14章附件第14-C.6条第3款中指出,在审议自WTO引入的条款时,应考虑 WTO争端解决机构对相关条款的解释。①WTO框架下存在相关案例,在对公共政策目标例外进行解读时,可以参考专家组对于“不合理歧视”“必要性”等条件的解释说明,以厘清DEPA数据例外的制度内涵和适用条件。
(一) 目的性条件
目的性条件是缔约国采取数据限制措施在于保护公共政策目标,这一目标应包含两层意思,即目标正当性要求和公共政策目标要求。首先,《技术性贸易壁垒协定》 (TBT协定)第2.2规定正当目标特别包括:国家安全要求、防止欺诈行为、保护人类健康或安全、保护动或植物的生命健康以及保护环境。②在“欧共体沙丁鱼案” 中,针对2.2条中“特别”一词的存在,专家组指出此项规定表明前述五项正当目标并不是穷尽式列举正当目标的情形,其他目标也可能满足正当性的要求。③在此案裁判中,专家组得出目标的正当性标准应当根据目标“真实本质”来确定,即专家组对于正当性标准采用客观审查标准。其次,在WTO专家组看来,公共道德和公共秩序都是为了保护多数人的重要利益,难以区分,而公共政策基本上是由这两个概念演化而来(徐莉,2023)。基于此,对公共政策的考察可以从WTO下相似概念的解读入手。在“美国博彩案”中,美国援引GATS中的“公共道德例外”进行了抗辩。专家组将“公共道德”定义为“社会或国家维护的行为对错标准”,将“公共秩序”定义为“维护公共政策和法律所反映的社会基本利益”。④在“欧盟海豹产品案”中,专家组进一步指出每个WTO成员都有权根据其制度和价值尺度界定其公共道德。⑤
鉴于公共道德、公共秩序与公共政策这三个概念之间存在着一定的重叠与相似性,各类国际协定尚未对它们予以明确界定。WTO的争端解决机构(DSB)在处理案件时承认“公共道德”与“公共秩序”的概念需依据特定的社会文化背景等多元因素进行灵活调整与界定,各成员国依据自身价值追求享有一定的解释空间。相应地,与这两者具有相似性质的“公共政策”也享有较为宽泛的解释空间,争端解决机构可依据具体争议的实际状况,来判断所采取的措施是否与“公共政策”相符合。但根据 《维也纳条约法公约》所确立的解释原则以及WTO争端解决的实践经验,对于条约的解释与运用仍需秉持善意原则。所以对“公共政策”的灵活性解释仍然需要遵循善意原则的约束,决策者应当权衡不同国家间的利益关切以及实践发展的实际需求,在推进本国公共政策目标的实现过程中遵循善意原则,力求减少潜在的冲突与障碍,从而达成国家间合作的最大共识与共赢。
(二) 非歧视性条件
非歧视要求注重对措施的实施方式进行考察。DEPA未使用穷尽式列举的方式设置“公共政策目标”的情形,导致其解释宽泛,缔约国据此限制数据流动的理由也具有多样性。DEPA设计了数据限制措施的接受边界,即反规避性条款——以不构成任意或不合理的歧视或变相的贸易限制的方式适用。这一表述源于GATS第14条,WTO 中存在大量涉及这一反规避性条款的判例。整体来说,构成任意或不合理的歧视是对措施的实施方式进行考察,应符合三个条件。首先,这种歧视措施存在于相同情形国家之间,这种相同情形国家之间不仅是出口国家之间,也包括出国和进口国之间。其次,争议的措施在相同情形国家之间具有区别性。“美国博彩案”中,专家组认为美国对国内供应商和国外供应没有实施一致的贸易限制性措施,这种区别对待就构成了的歧视。①最后,这种歧视是任意或不合理的。此处重点考察的是具体措施的执行方式,以措施的程序性要求来检验这种歧视性措施是否任意。②
(三) 必要性条件
此处注重的是数据限制措施与达成的公共政策目标之间关联程度。因此,对于数据限制措施援引数据例外进行必要性审查时,重点在阐释其所采取的数据限制措施与有关的数据安全问题与公共政策目标之间的关系。根据WTO争端解决实践,专家组需对各种因素进行客观评估,这涉及相关措施下的实质性和程序性要求。③这种考察一般都聚焦在三个方面:(1)争议措施所涉及的社会利益或价值的重要性。措施背后的政策目标越“关键”或“重要”,专家组就越容易接受该措施的必要性。④而有关于价值目标重要性的评判则易使DSB陷入干涉国家主权的质疑,所以专家组和上诉机构往往不会否认缔约国国内政策目标的价值重要性。(2)该措施对其所追求的目标的贡献。专家组需通过定性或定量的方式评估措施的贡献程度,而不仅仅是确定争议的措施是否作出贡献,即争议的措施必须能够对目标的实现做出实质性贡献,这种贡献不能是“微不足道”的。①(3)该措施对贸易的限制程度。DSB认为其关键在于是否存在影响较小的“替代性措施”。在“中国出版物案”中,专家组认为存在能够实现目标且限制性更小的合理替代措施,因此认定中国采取的贸易限制措施不存在必要性。上诉机构进一步肯定了美国提出的替代措施具有更小的限制性且合理,从而认定中国的限制措施无法通过必要性检测。
总体来讲,廓清公共政策目标例外的边界,遵循从目的到必要性的路径。首先,争议措施对国内政策目标的实现具有贡献就初步证明了争议措施与目标之间存在手段与目的联系。而后进一步对争议措施的必要性进行检测是在手段与目的之间建立较强关联性,从而才能认定贸易限制措施符合公共政策目标例外情形。根据WTO争端解决实践来看,没有一个世贸组织法庭明确质疑成员国对公共道德或公共秩序的理解 (Mishra,2021)。相反,调查更多聚焦于保护国家认定的公共道德或维护公共秩序的措施的必要性,既避免WTO争端解决机构对成员方公共道德目标的衡量,又可以防止例外条款的滥用。因此对于公共政策目标例外的适用审查,也可能在“合法公共政策目标”的认定上为缔约国保留较大的规制空间,对数据流动限制措施的审查重点在于非歧视及必要性检测。
三、 DEPA 数据例外条款与平行例外条款的适用选择
DEPA中专门的数据例外与平行例外的适用存在交叉,缔约国可选择援引数据例外(第4章)与平行例外(第15章)来为数据流动限制措施辩护,这种规则的重叠适用可能影响规则的一致性与可预见性。因此有必要探索数据例外与平行例外适用的一般顺序,为数据例外的援引提供明确指引,实现规则的可操作性。
(一) 平行例外条款参与数据治理的滞后性
WTO规则主要是在传统商品贸易和服务贸易的基础上建立的,其例外规则早于数字经济时代,在制定时并未充分考虑到数字经济的特点和挑战,难以满足数据治理的需求。为回应成员国公共利益保护的需求,DEPA第15.1条规定:将GATS第14条 (一般例外)在细节上作必要修改后纳入协定。虽然缔约国可以援引一般例外为其数据跨境流动限制措施进行抗辩,但是实际上GATS为一般例外的适用设置了严格的测试标准,据WTO案例统计,在援用一般例外的44次尝试中,仅“欧共体石棉案”符合所有的适用条件成功实现一般例外的援引。②安全例外是为了维护国家安全而确立的一项重要制度,它允许成员国在必要时采取限制措施,以保护自身的核心利益和安全。DEPA在安全例外适用的情形前均增加了“其认为”的表述,扩张了缔约国的自决权。但其适用并非没有限制,根据WTO实践,该争端具有可裁判性,其适用依旧要遵循善意义务(李晓玲,2023)。实际上关于数据跨境流动领域基本安全利益的理解难以达成一致,具体数据限制措施的实施目标能否构成“基本安全利益”,“其认为”赋予的规制空间如何,均难以确定,安全例外在数据跨境流动领域的援引存在困境。同时有关国家安全条款被认为是WTO协定中具有最高政治敏感性的条款,所以主权国家在此例外的援引上持谨慎态度,需要寻找替代方案(Prazeres,2020)。
(二) DEPA 数据跨境流动例外条款适用的优先性
WTO框架下现存的例外规则在数据治理领域缺乏灵活性,而FTA中开创性地设置了数据例外条款,为主权国家采取数据流动限制措施增加了规制空间,顺应了数字时代的发展趋势。理论上,数据例外条款是针对数据问题设置的特殊条款,在援引时应优先考虑。首先,在协定中以专门的数据例外条款对数据跨境流动进行规制,明确缔约国同意将数据跨境流动问题纳入此例外条款的适用范围,避免引发关于数据跨境流动具体情形能否适用于例外条款的争议。其次,在WTO框架下,例外条款中可以采取例外措施的情形一般采用穷尽式列举或非穷尽式示例的方式进行规范,前者将可以采取例外措施的情形限定在明确列举的范围中,后者对于例外情形的认定不限于明确示例的情形。GATT和GATS都规定了一般例外和安全例外适用的具体情形。例如,GATS的一般例外仅列举了五种有限的援用情形,其中包括保护公共道德、公共秩序、公共健康等的必要措施。①DEPA在引入GATT安全例外的过程中进行了修改,将安全例外概括为拒绝披露有碍基本安全利益的信息、维护国际和平与安全、保护自身基本安全利益三种情形。②
DEPA数据问题中的公共政策目标例外源自一般例外条款,但它并没有列举具体情形。虽然一般例外下的“公共道德”“公共秩序”与“公共政策”存在一定的相似性,但它们的内涵和制度目标各有侧重。公共道德具有文化性和伦理性,强调社会成员之间的道德规范和伦理标准,公共秩序则强调对规则的遵守和执行,重点在于保障社会的稳定和有序运行,确保社会活动在既定框架内进行。公共政策则具有战略性和综合性强调通过政策工具实现国家发展的长远利益,涵盖国家在经济、社会、文化、科技等多个方面的发展目标,是一个更为宽泛的概念。如果一项数据限制措施无法成功援引数据例外条款进行抗辩,那么该措施也很难适用一般例外条款。与一般例外相比,安全例外具有自裁决性,其适用条件模糊,成员国在明确未来情势的变化前,也无法确定对国家安全事项应采取何种主张,所以应尽量避免安全例外的援引。在实践中,安全例外被视为WTO中的君子协定,其成员国倾向于防止在贸易争端解决中援用该条款。
此外,在法律适用中,通常遵循特别法优于一般法的原则,这种特别法优先的法理是基于特别法与特定事项的联系最为紧密,属于“最密切联系的法”。在国际协定中,如果能够区分特别法与一般法,那么也应当优先适用与具体事项联系最为密切的法律。DEPA协定中的平行例外与数据例外暂时无法简单归结为一般法与特别法的关系,但是在数据问题上,可以优先选择适用与数据问题存在最密切联系的例外条款。作为用于规制数据问题的数据例外规则是针对数据领域的特殊情况而设立的,聚焦于数据的特殊性质,与数据跨境流动问题联系最为紧密。平行例外适用于协定所涵盖的所有领域,其基于一些宏观的原则设立,包括货物贸易、服务贸易、知识产权等多个方面。在处理数据跨境流动或数据处理相关问题时,应先援引专门的数据例外,如果专门的数据例外不适用或无法解决问题,再考虑援引适用于整个协定的平行例外条款。
四、 面向 DEPA 数据跨境流动例外条款适用的中国因应
我国申请加入DEPA意味着我国对数据的限制性措施须符合数据例外条款的适用条件。根据WTO争端解决实践,对于数据例外条款的适用之审查,在“合法公共政策目标”的认定上可以为缔约国保留较大的空间,对数据流动限制措施的审查重点在于非歧视及必要性检测。由于目标的正当性较为容易满足,我国顺利对接DEPA数据跨境流动规则的重点是审视国内数据跨境流动限制措施是否能通过“必要性”审查,且不招致“歧视”质疑。在数据出境这一问题上,我国坚持“数据安全流动”和“数据自由流动”原则并行,与DEPA数字包容发展的要求不谋而合。但从总体上看,我国数据跨境流动规制措施与DEPA数据跨境流动的原则性要求存在一定差距,需要审视国内数据规制措施与数据例外条款之间存在的张力,探索成功对接数据例外条款的路径。
(一) 中国数据跨境流动规制之审视
1. 诸多数据跨境流动限制措施的必要性标准难以证成
作为面临网络安全威胁最严重的国家之一,我国将数据和国家安全联系在一起,对跨境数据流动设置了诸多限制。我国不仅在“电子商务联合倡议”下提交的议案中强调要把安全作为数据流动的前提,而且在多个国际协定中倡导在保障公共安全和公共政策目标前提下推动跨境数据流动。例如,中国参与签署的RCEP就强调对“基本公共安全利益”和“公共政策目标”的保障。纵观我国数据跨境流动法规,并没有明确数据跨境自由流动的基本原则,对数据跨境流动进行了一定程度的限制。根据《中华人民共和国网络安全法》和《数据出境安全评估办法》的规定,关键信息基础设施运营者处理的数据出境、重要数据出境以及达到特定数量的个人信息出境时,必须进行安全评估。①除此之外,我国其他领域也存在限制数据自由流动的规章制度。如 《中国人民银行关于银行金融机构做好个人金融信息保护工作的通知》对金融数据的本地化存储提出了明确要求,《人口健康信息管理办法(试行)》对卫生医疗数据的本地化存储进行了规范。由此,我国的数据跨境流动限制措施散见于不同规范性文件中,部分限制措施的制定较为随意,其必要性难以证成。这可能影响我国国内法律与 DEPA数据规则的衔接,进而延缓我国加入DEPA等高水平自由贸易协定的进程。
2. 数据出境安全评估规则缺乏透明度易引发非歧视性标准质疑
针对关键基础设施处理的数据以及重要数据,我国对其跨境流动进行了限制,要求必须进行安全评估。由于此类数据的特殊性,将其规制措施纳入“合法公共政策目标” 范围并不难,但是其中的“重要数据”“关键基础设施”等基础概念模糊,尚未有明确的规则框定其范围。这容易导致数据出境规则中的执法自由裁量权过大,执行行为出现宽严不一致的情形,甚至导致他国指控我国数据监管存在“歧视”,违背数据例外的非歧视性要求。此外,我国《中华人民共和国网络安全法》和《数据安全法》确立了数据出境安全评估的要求,《数据出境安全评估办法》进一步构建了以安全评估为核心的数据出境管理机制。但是,该机制并未对具体实践提供明确的指导,而是将数据安全审查规制的工作交由相应行业主管部门予以明确。实践中各部门规范中的数据出境审查程序、标准等事项尚未细化,也凸显了我国数据安全评估机制存在程序不透明的弊端。为此,我国应适应数字时代的需要,进一步明确数据出境安全评估程序,建立科学机制(梅傲和李淮俊,2023)。
(二) 中国数据跨境流动规则与 DEPA 数据例外条款衔接之建议
1. 坚持善意原则,审慎援用数据例外
国家在制定和执行法律时,不仅应当考虑国内利益,而且要兼顾国际社会的共同利益(李双元和李赞,2006)。这种观点反映了国际社会逐渐形成的共同意识,即国际社会的问题和挑战需要通过国际合作来解决,保护全球公共利益成为一种共同责任,使国家和个人更加意识到他们的行为对国际社会的影响和责任。虽然主权国家可以立足于本国实际制定数据领域的法律法规,但会对他国产生“规范溢出”效应,他国也会因此对主权国家进行反向制约(吴沈括,2016)。所以主权国家在国际经贸规则的适用上,需要考虑全球影响,避免为了贸易保护的目的而披上伪装的外衣对贸易自由化进行限制。公共政策例外允许缔约国采取与数据流动自由化原则不一致的措施,虽然关于“公共政策”的宽泛解释具有一定灵活性,将各种数据流动限制措施纳入公共政策目标范围,确实可以保障我国的数据主权,为我国数据规制保留充分的政策空间。但国际秩序和国内价值倾向之间存在紧张关系,没有限度地扩张“公共政策”范围无疑将背离数据例外条款设置的初衷,破坏国家安全利益与贸易自由之间的平衡,从而消减数字贸易自由化成果。我国在国际社会发展伙伴关系时需履行国家条约规定的义务,合理的限制条款的滥用,以保护公共利益(刘益灯和朱志东,2016)。
在数据问题上,缔约国所享有的数据监管空间应受到善意原则的约束,我国应坚持善意原则的指引和约束正确解释和适用数据例外条款。首先,在制定数据跨境流动监管规则时,明确其目的是为了公共政策目标,同时要确保国内法与国际条约在措辞和解释上的一致性,避免因措辞模糊而引发争议。在界定何为“公共政策”时,尽管DEPA赋予了缔约方在“公共政策”范围上的解释空间,但依据善意解释的要求,在解释过程中仍可对其进行进一步细化。通常来说,公共政策目标的内涵丰富且多元,涵盖了国家在经济、社会、文化、安全等多个领域的核心利益诉求。同时,考虑到DEPA缔约方在电子商务发展水平上存在差距,在对“公共政策”进行解释时,应秉持开放包容的态度。因此,可以通过列举具体情形加兜底性条款的方式限定“公共政策”的范围,将涉及国家安全、公共卫生、金融监管等领域的公共政策目标进行列举,并将其他可能影响公共政策目标的数据监管类型纳入兜底性条款。如此既能促使缔约方善意援引一般例外条款,又能为后续可能出现的争端解决提供可供参考的依据。其次,在条约履行时,我国应重视推动贸易自由化发展的宗旨与义务。数据成为数字贸易的核心要素,对其流动采取限制措施时,可能会阻碍其他国家及其企业的发展。因此当需要基于公共政策目标采取数据限制措施时,需谨慎克制地采取数据限制措施,确保数据政策的实施符合必要性要求,避免对国际贸易造成不必要的障碍。此外,善意原则要求缔约国遵守其在协定谈判与履行过程中所做出的承诺,即不得违背其已做出的一般性义务承诺和具体的减让表中的承诺。就数据问题而言,缔约国不得将已经承诺允许自由流动的数据类型重新纳入限制流动的数据范围。我国现有的数据出境限制情形不得随意扩张,不得将扩张的数据规制冠以公共政策目标的理由而违背已做出的承诺。
2. 规范数据出境细则,提高规则透明度
DEPA数据例外的非歧视性要求国家在实施数据限制措施时应确保对缔约国和企业一视同仁,避免因数据监管措施的随意性造成对其他国家或企业的不公平限制。基于我国数据出境规则中的基础概念不清,安全评估规则缺乏一定的可操作性,我国需进一步增强数据管理的规范性与透明度。首先,明确基础概念,统筹整合重要数据、关键信息基础设施的目录。《中华人民共和国网络安全法》将关键基础设施认定为一旦遭到破坏、丧失功能或者数据泄露,则可能严重危害国家安全、国计民生、公共利益的行业或领域。因此,需深入分析各行业与国家安全、公共利益之间的内在联系,确定关键基础设施的核心判定指标,进一步细化和明确各行业和领域的具体界定标准。在界定重要数据时,参照《保守国家秘密法》中对核心数据的认定方法,按照明确主体、标准化目录、严格程序、结果监督的路径对核心数据进行认定。考虑到数据认定工作的复杂性,将重要数据的认定工作交由各领域、各行业的主管部门,同时建立跨部门的协调与监督机制,确保认定过程的专业性和公正性。明确一般应包括与国家安全、经济发展及社会公共利益相关的数据,为将这些数据纳入DEPA的合法公共政策目标提供坚实基础。其次,进一步提高安全评估机制的可操作性。明确我国数据出境安全评估的主体,在现有行业实际监管、分属不同部门主导审核的基础上,结合数据分级分类的原则,将数据出境审核事项交付具体业务部门。例如,在金融数据出境评估中,明确金融监管部门的主导地位,以及其与网信部门、国家安全部门等的协作关系。制定具体的数据出境审核评估程序,依启动评估、评估管理、结果认定的流程展开。明确启动评估的情形原则上应包括所有数据向境外提供的情形,同时考虑到实际操作的可行性,对于与国家安全联系并不密切的数据,建立灵活的白名单机制,减少不必要的审查。详细阐述评估管理过程中的具体操作方法,如数据安全风险评估指标体系的建立、评估方法的选择等。在结果认定环节,明确认定的标准和依据,以及企业对认定结果的申诉渠道和程序。通过这些措施,提高评估规则的可操作性,释明我国数据限制措施的“必要性”和“非歧视性”。
最后,还需增强国际透明面向。在加入DEPA的过程中,提升数据规则的国际透明度不仅有助于减少误解和摩擦,还是增强国际社会对中国政策信任、促进国际合作的重要举措。WTO体系下的透明度原则要求缔约国有关法律和文件未经公布不得实施。在形式上需要缔约国明确承诺的内容,并公布与之相应的国内法律法规、监管机制及其主体等,使他国及其企业能够明确数据监管规制,对其经营行为作出调整,需将中国的数据相关法律法规、政策文件和操作通过官方渠道发布。同时可建立向其他成员通报数据规制措施的机制。在制定或调整重要的数据规制法律法规、政策措施以及实施重大数据限制措施时,应及时向DEPA其他成员国进行通报。通报内容应包括措施的背景、目的、主要内容以及对其他成员国可能产生的影响等信息。这种通报机制不仅能够增强国际透明度,还能体现中国在履行国际义务时的善意原则。
3. 积极参与 DEPA 谈判,引入“不符措施”清单
基于数据问题的复杂性与涉及利益的广泛性,有关数据例外适用标准的谈判尤其是公共政策范围的认定存在不确定性。设置“不符措施”清单作为补充,在一定程度上可以为我国在参与DEPA过程中协调数据领域的规则,提供更多可以协商的空间。通过在承诺表中清晰界定不得开放或需接受国内监管的具体情形,一方面明确的保留范围使各成员国在数字经济领域的核心利益与监管需求得以保障,另一方面,在负面清单以外的广大领域,为数字贸易的创新发展与自由化拓展提供了广阔空间。如 RCEP的附件三(服务和投资保留及不符措施承诺表)清晰罗列了各成员方在投资领域的负面清单内容。其中,韩国在RCEP框架下的不符措施清单中明确指出,针对涉及政府信息以及政府基于职能所收集的信息,韩国有权施行任何与之相关的规制举措。鉴于此,我国在积极参与DEPA的谈判进程中,可充分借鉴国际经验,制定符合我国国情与发展需求的“不符措施清单”,精准划定不适用“数据问题”模块的特定行业及领域,确保我国在特定领域的数据规制具备充分的合法性基础,实现数字经济发展与国家核心利益保护的有机平衡。
在国际社会实践中,负面清单往往包括现存不符措施和未来不符措施,例如美国、日本等国据此将负面清单分为清单1和清单2,清单1允许保留现有的不符措施, 并通过设置棘轮条款来防止未来提高不符措施的规制程度,清单2则允许缔约方保留修订或设立更严格的不符措施的权利,为未来可能实施的国家规制权留下规制空间 (胡玫等,2022)。我国可以借鉴这种兼具严谨性和灵活性的安排,在参与DEPA的谈判中,我国可以结合国内实际情况,充分利用清单1和清单2来设置不同行业不同重要程度的不符措施,将国内现行规制中涉及的不符措施列入清单1,将涉及国家安全、社会公益、金融、文化等部门的不符措施纳入清单2,从而保留制定数据跨境流动限制措施的权利。但是负面清单的作用在于实现政策的明确性和透明性,为企业行为提供指引,所以负面清单的制定不可采取随意、简单的罗列方式,而应该列明具体限制措施的相关内容,避免片面压缩负面清单长度。例如,美国所列的不符措施,几乎都有明确的法律依据(陆建明和姚鹏,2022)。对于我国而言,不符措施应包括行业明细分类、国内法依据以及违背的义务类型等内容,同时注意与国际通用的数据保护标准和实践相一致,避免不必要的贸易壁垒和技术障碍,与其他成员国保持沟通和合作,确保不符措施的合理性和合规性,以促进数据跨境流动和数字经济的发展。
五、 结语
我国应顺应贸易自由化趋势,在构建国内数据监管规则时平衡好贸易自由化与国家安全之间的关系,这不仅是我国顺利对接DEPA数据规则的关键,也是我国推进全球数字贸易规则构建的核心。DEPA在数据规制问题上倡导数据跨境流动的自由化,缔约方只有符合DEPA数据例外条款的严格适用条件时,才能采取数据跨境流动限制措施。在国际实践中,DEPA例外条款具有不可诉性,也未明确列举其具体适用情形,从而成为缔约方限制数据跨境流动的法律依据。但为防止缔约方滥用例外条款,应当审慎划定“合法公共政策目标”的范围,明确数据例外条款的“必要性”及 “非歧视性”条件。因此,我国应当坚持善意解释原则和审慎合理援用原则,实现数据跨境流动限制措施的范围确定化、数据跨境流动限制程序的透明化,如此方能证明我国数据限制措施的必要性与非歧视性。鉴于DEPA例外条款的适用范围不能随意扩张,而我国目前部分领域仍存在严格的数据限制措施,我国在参与DEPA谈判时,可以将涉及国家安全、社会公益、金融等不予开放或需逐步开放的行业纳入“不符措施清单”。这样,我国可以在进行数据流动限制的同时,实现我国数据治理与DEPA接轨。由此,实现我国数字贸易的快速发展,融入全球数字贸易发展进程,推广我国的数字贸易价值观,构建国际社会经济贸易新秩序。
① DEPA第4.3条:“缔约方确认它们在通过电子方式跨境传输信息方面的承诺水平,特别包括但不限于:1.缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求。2.每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。3.本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第2款不一致的措施,只要该措施:(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式实施;及(b)不对信息传输施加超出实现目标所需限度的限制。”
① RCEP在公共政策目标例外条款中采用脚注的方式强调缔约方确认实施此类合法公共政策的必要性应当由实施政策的缔约方决定。
① DEPA第14-C.6条第3款:“仲裁庭应依照《维也纳条约法公约》(1969)第31条和第32条所体现的国际法条约解释规则审议本协定。对于已纳入本协定的《WTO协定》任何条款,仲裁庭还应审议WTO争端解决机构所通过的专家组报告和上诉机构报告中的相关解释。仲裁庭的调查结果、决定和建议不得增加或减少缔约方在本协定项下的权利和义务。”
② TBT协定第2.2条:“各成员应保证技术法规的制定、采纳或实施在目的或效果上均不对国际贸易造成不必要的障碍。为此目的,技术法规对贸易的限制不得超过为实现合法目标所必需的限度,同时考虑合法目标未能实现可能造成的风险。此类合法目标特别包括:国家安全要求、防止欺诈行为、保护人类健康或安全、保护动物或植物的生命或健康及保护环境。在评估此类风险时,应考虑的相关因素特别包括:可获得的科学和技术信息、有关的加工技术或产品的预期最终用途。”
③ European Communities-Trade Description of Sardines, WT/DS231/AB/R, paras.286-287.
④ United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/R, paras.6.465-6.468.
⑤ European Communities-Measures Prohibiting the Importation and Marketing of Seal Products, WT/DS400/R, WT/DS401/R, para.7.383.
① United States-Measures Affecting the Cross-Border Supply of Gambling and Betting Services, WT/DS285/AB/R, para.348.
② United States-Measures Concerning the Importation, Marketing and Sale of Tuna and Tuna Products (II) , WT/DS381/AB/R, paras.316-317.
③ European Communities-Measures Prohibiting the Importation and Marketing of Seal Products, WT/DS400/R, WT/DS401/R, para.5.302.
④ Colombia-Measures Relating to the Importation of Textiles, Apparel and Footwear, WT/DS461/AB/R, paras.70-71.
① Colombia-Measures Relating to the Importation of Textiles, Apparel and Footwear, WT/DS461/AB/R, paras.72.
② Public Citizen, Only One of 44 Attempts to Use the GATT Article XX/GATS Article XIV “General Exception” Has Ever Succeeded: Replicating the WTO Exception Construct Will Not Provide for an Effective TPP General Exception, (2015-08-16) [2025-06-10]. https:// www.citizen.org/wp-content/uploads/general-exception_0-2.pdf.
① GATS第14条:“在此类措施的实施不在情形类似的国家之间构成任意或不合理歧视的手段或构成对服务贸易的变相限制的前提下,本协定的任何规定不得解释为阻止任何成员采取或实施以下措施:(a)为保护公共道德或维护公共秩序所必需的措施;(b)为保护人类、动物或植物的生命或健康所必需的措施;(c)为使与本协定的规定不相抵触的法律或法规得到遵守所必需的措施;(d)与第 17条不一致的措施,只要待遇方面的差别国在保证对其他成员的服务或服务提供者公平或有效地课征或收取直接税;(e)与第2条不一致的措施,只要待遇方面的差别是约束该成员的避免双重征税的协定或任何其他国际协定或安排中关于避免双重征税的规定的结果。”
② DEPA第15.2条:“本协定中任何条款不得解释为:(a)要求一缔约方提供或允许获得其认为如披露则违背其基本安全利益的任何信息;或(b)阻止一缔约方采取其认为对履行维护或恢复国际和平或安全的义务或保护其自身基本安全利益所必要的措施。”
① 《数据出境安全评估办法》第4条:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”