摘要
在数字经济全球化背景下,国际造法已经成为应对全球跨境数据流动挑战的重要路径。相较于其他领域的国际造法,跨境数据流动国际造法的碎片化状态更加复杂且持续存在。在实然的法律状态下,跨境数据流动的国际造法可以参考法治三要素即精确性、义务性、授权性进行解构,主要的实践样态呈现为非法律规范、国际组织下的软法、政府间的软法、软硬并存的经贸条款等。在应然的法律状态下,跨境数据流动的国际软法与硬法呈现出冲突、纳入或转化的发展态势。对此,应当综合考虑权力博弈、利益分配、实施效果等影响因素,通过软硬兼施的路径参与跨境数据流动议题的国际造法进程,积极推动全球数据治理法律秩序朝着更加公正合理的方向发展。
Abstract
In the context of the globalized digital economy, international law-making has become a significant approach for addressing the challenges of global cross-border data flow. Compared with international law-making in other fields, the phenomenon of fragmentation of international law for cross-border data flow is more intricate and long-observed. In de facto, the international law-making of cross-border data flow can be deconstructed with reference to the three elements of the rule of law, namely, accuracy, obligation, and authorization. The main practice patterns include non-legal norms, soft law within international organizations, soft law between governments, and trade agreements with coexistence of soft and hard laws. In de jure, international soft law should ideally progress in the direction of either conflict, inclusion, or transformation. In this regard, a comprehensive consideration of factors such as power play, benefit distribution, and implementation effects is necessary. Through a balanced approach of soft law and hard law, active participation in the international lawmaking agenda under the issue of cross-border data flow is crucial to promoting the development of a more just and reasonable global data governance legal order.
Keywords
随着信息技术革命不断带来颠覆性变革,数据已经成为数字经济的基础性资源与生产要素。跨境数据流动作为国际法的新兴领域与分支,其发展已经超出了《国际法院规约》第38条第1款下公认的国际法渊源范围,特别是国际软法在其中发挥了无法替代的重要作用。学界目前对跨境数据流动国际造法的关注焦点集中在美欧博弈上,既有文献多以国际格局、全球治理、经贸规则等为视角,探讨跨境数据流动规制的不同模式、发展趋势、价值导向等相关问题。虽然已有研究分析了跨境数据流动国际软法的基础框架和实施机制(敖海静,2022),也有研究论及了跨境数据流动全球治理下的软硬法性质转变(谢卓君和杨署东,2021),但鲜有研究清晰明确地界定跨境数据流动领域的哪些国际规则属于软法范畴,也缺乏研究详细具体地论述跨境数据流动领域国际造法从软法“外围”向硬法“中心”的演进规律(徐崇利,2013)。本文选取国际软法与国际硬法的法学理论作为分析工具,在实然的维度上,始于跨境数据流动国际造法实践样态的类型化分析;在应然的维度上,尝试回答跨境数据流动国际造法如何实现约束力、呈现何种发展态势、受何种因素影响路径选择等问题,进而提出以软硬兼施为进路的跨境数据流动国际造法之中国方案。
一、 跨境数据流动国际造法的软法与硬法问题缘起
(一) 国际硬法与国际软法的界分标准:三要素的启示
若要以硬法与软法视角观察跨境数据流动国际造法的规律与特征,前提条件是厘清国际硬法与国际软法的界分标准。“国际软法”的概念由麦克奈尔(McNair)提出,他将其定义为一种内容和范围模糊的规范发展过渡状态(Hoof,1983)。虽然在国内法的语境下硬法和软法可以由有无国家强制力保障实施判断,但是在国际法的语境下二者的界限则变得模糊,不同学派学者持有不同的立场和观点。①通常认为,国际软法是指不具有法律约束力但能够产生一定法律效果的规范(王铁崖,1995)。
不同学者试图从形式或内容等维度为国际硬法与国际软法的划分提出具体的界定标准。其中,得到较普遍认可的是阿伯特(Kenneth Abbott)和斯奈达(Duncan Snidal)提出的精确性、义务性、授权性三要素,精确性是指法律原则或法律规范是否具体、明确、清晰地规定了允许和禁止的事项;义务性是指国家或其他行为体是否受相关要求规制或受其承诺约束;授权性是指是否授予第三方主体以实施、解释、适用规则和争端解决的权力(Abbott & Snidal,2000)。也有学者称之为法治三要素,并将其归纳为法律的可预期性、法律的普遍适用性以及法律纠纷的有效解决(黄文艺,2009)。值得注意的是,阿伯特和斯奈达曾尝试采取较为严格的三要素模型的软硬法划分方法,但因未考虑三者权重、组合及相互关系而存在争议(Dunoff & Pollack,2012)。故而,本文仅将精确性、义务性、授权性作为解构数据跨境流动国际造法的参考要素,而并非意图借此在国际硬法与国际软法之间划出清晰的边界线。同时,本文能够比较不同规则软硬程度强弱的前提是承认法与非法、软法与硬法的连续性,从对受法律约束意图的明确否定,到受法律约束的无条件义务,有多个中间点,而义务性、精确性、授权性三个要素即为这一连续体中的变量。
(二) 跨境数据流动领域国际造法的软硬二分现象
在数字经济作为推动全球经济增长新引擎的当下,数据已成为人类经济活动不可或缺的生产资料和生产要素。跨境数据流动自诞生以来就属于全球治理的范畴,在数字经济全球化背景下,跨境数据流动超越了传统主权国家权力及管辖边界,其所产生的全球性风险需要运用国际造法的方式加以防范。在通过国际造法规制跨境数据流动的过程中,逐渐形成制定国际软法或硬法的两种不同路径:一种是专门针对数据保护事项新设规则,从而产生了软法性安排并在一定条件下向硬法过渡;另一种是沿用国际经济法特别是国际贸易法的机制进行造法,在已有国际条约中纳入跨境数据流动相关规则,从而在跨境数据流动条款中产生了“软硬并存”的现象。有学者将这两种造法机制分别归纳为数字语境下的治理和贸易语境下的治理(Gao,2018)。实践表明,这两种造法路径并非完全对立,而是呈现出相辅相成、优势互补的关联互动状态。由于科学知识本身仍在不断发展,国际造法在技术性问题领域通常遵循“软法—硬法—软法—硬法”的循环路径,使该议题在螺旋反复中得以推进(韩永红, 2016)。以气候变化领域为例,从具备软法特征的《联合国气候变化框架公约》到具备硬法特征的《京都议定书》,再到融合软法和硬法特征的《巴黎协定》,即体现出该议题在不断演进的过程中取得的进展(张金晓,2021)。然而,相比于气候变化领域由软法到硬法再到软硬共治的演进路径,跨境数据流动领域的碎片化状态更加复杂且持续存在。
二、 软法与硬法视角下跨境数据流动国际造法的渐进样态
参考精确性、义务性、授权性的法治三要素,现有的跨境数据流动国际造法可分为非法律规范、国际组织下的软法、政府间的软法和软硬并存的经贸条款四类(详见表1)。在这些实践样态中,非法律规范以倡议性文件为代表,尚无义务性和授权性;国际组织下的软法以经济合作与发展组织(OECD)和亚太经合组织(APEC) 出台的文件为代表,义务性、精确性、授权性较弱;政府间的软法以美欧之间的数据传输协议为代表,虽然内容规定已经较为具体,但是义务性和授权性仍相对较弱;经贸协定中的跨境数据流动条款则具备软硬并存的特征,部分区域贸易协定(FTA)中的跨境数据流动条款已初步具备义务性和授权性。
表1跨境数据流动国际造法的软硬程度及其表现
(一) 非法律规范:以“基于信任的数据自由流动”倡议为例
在2019年二十国集团(G20)的大阪峰会上,日本提出“基于信任的数据自由流动”(DFFT)概念。虽然G20成员间对这一概念尚存在难以调和的分歧,但是DFFT 倡议已经在七国集团(G7)的《数字贸易原则》①《数据自由流动合作路线图》② 《促进可信数据自由流动计划》③以及世界经济论坛报告④等文件中得到重申。
当前,日本主导的DFFT倡议仍停留在问题提出、观点交流、联合声明或原则设计的阶段。无论是G20下达成的《大阪数字经济宣言》,还是G7下达成的《数字贸易原则》等一系列成果,都属于倡议性或宣示性的内容,仅仅提及了全球跨境数据流动的理想模式或治理目标,语言较为模糊且高度抽象,没有规定具有法律约束力的成员义务,更妄论建立与授权机构执行的机制。由非法律规范与软法之间的区别来看,软法可以产生一定的法律后果(Higgins,1994),而DFFT倡议下能够产生法律后果的实施机制尚未落地,因此其仍属于非法律规范的范畴。但是,近年来G20多边治理平台涵盖的议题愈发广泛,发挥的功能不断拓展,对于国际合作与国际规则形成的影响进一步增强,应当认识到在G20与G7框架下非法律规范合法化的可能性。
(二) 国际组织下的软法:以 OECD《指南》与 APEC《隐私框架》 为例
1980年,OECD在《隐私保护和个人数据跨境流动指南》(下称《指南》)较早地提出“跨境数据流动”的概念及其八项原则。⑤2007年,OECD通过了关于就隐私执法开展跨境执法合作框架的建议,随后又在2013年对《指南》作出修订,⑥并在 2021年提出新的行动建议。⑦2004年,APEC在借鉴《指南》基础上制定了《亚太经合组织隐私框架》(下称《隐私框架》),包括APEC隐私原则和实施指南。⑧2012 年,跨境隐私规则(CBPR)体系因实施《隐私框架》的需要而被推出。⑨
在义务性上,APEC将CBPR规范的对象明确限定为亚太地区企业等私主体,且未对APEC经济体及其政府机构制定任何有约束力的义务。然而,CBPR体系对私主体的约束力是由国家政府背书的,经济体通过认证加入CBPR体系是该经济体中私营组织获得认证的前提,而经济体获得认证的准入条件包括经济体需要调整国内立法以符合CBPR体系的标准。此外,该章程第2.1条规定,加入CBPR体系的前提要求是成员经济体至少有一个隐私执法机构加入跨境隐私执法安排,并且要有至少一个经过认证的问责代理机构提供服务,同时该经济体的经济环境也必须具备执行CBPR体系的能力。①
在精确性上,CBPR体系是基于APEC《隐私框架》的原则性规定建立起来的,而APEC《隐私框架》的九项原则以及OECD《指南》的八项原则均属于第一代个人信息保护立法的水准,与2018年《通用数据保护条例》(GDPR)等欧盟法相比, APEC《隐私框架》和OECD《指南》的精确程度较低,②其在关键领域既没有提供明确和充分的指导,也没有规定一般认为的良好做法(Sullivan,2019)。
在授权性上,APEC《隐私框架》在一定程度上将法律解释权授予认证机构和监管机构,即APEC的问责代理机构和隐私执法机构。首先,问责代理机构能够提供独立的第三方认证,就企业的隐私政策实践是否符合APEC《隐私框架》做出认定,并持续追踪后续服务质量;其次,隐私执法机构有权开展调查或提起执法诉讼,该种执法合作机制能够为一国跨境追究他国企业的法律责任提供保障。
(三) 政府间的软法:以美欧数据传输协议为例
欧盟在其法律中建立的“数据充分保护”标准在一定程度上达到了欧盟所期望的“布鲁塞尔效应”,但同时也为美欧之间个人数据跨境传输造成阻碍。为此,美国与欧盟开始采用带有软法色彩的数据传输协议解决个人数据跨境传输的问题,欧盟— 美国数据隐私框架(DPF)是美欧之间就跨境数据流动问题达成的最新解决方案,该协议下美国的自主承诺使该协议的效力及于私主体。
在义务性上,无论是已经失效的《安全港协议》和《隐私盾协议》,还是当下的 DPF,美欧数据传输协议均采取企业自愿加入的方式,并以美国政府的有限监管保证美国企业符合欧盟的数据保护要求(冯硕,2019)。从义务性的角度来看,美欧数据传输协议所约束的主体不仅包括企业或组织,也使美国公权力机关受到一定约束。例如,规定将允许美国情报部门访问欧盟数据的情形限制在必要和适当的范围。然而,美国在DPF所做出的承诺并不导致其承担国际法律责任,不履行这些承诺造成的后果是丧失欧盟GDPR下充分性决定的白名单资格,而在国际法上的义务性较弱。
在精确性上,随着几代美欧数据传输协议不断优化,协议内容的精确性逐渐提高。例如,DPF对认证机制、监督机制和执行机制等实体内容做出了较为详尽的规定,使该框架的运行具备更大的可操作性。
在授权性上,DPF授权美国商务部管理和监督该框架。欧洲委员会、欧洲数据保护委员会以及美国相关部门将定期举行会议对DPF进行审查,并将审查报告提交给欧洲议会和理事会。至于纠纷解决机制的设置,DPF建立了由公民自由保护官和数据保护审查法庭组成的数据主体双重救济机制,该机制将由隐私和公民自由监督委员会进行年度审查。但这种纠纷解决机制是在美联邦政府机构下设置的,不产生国际法律责任;且仅存在私主体之间的权利救济机制,缺乏私主体与国家、国家与国家之间的争议解决措施。
(四) 软硬并存:以国际经贸协定中的跨境数据流动条款为例
在专门规制跨境数据流动的国际软法兴起的同时,各国也在不断探索将跨境数据流动纳入国际经贸规则体系。跨境数据流动的经贸条款目前已被纳入多个FTA以及数字经济协定,需要说明的是,国际经贸协定的跨境数据流动条款符合硬法还是软法特征不能一概而论。
在义务性上,尽管WTO电子商务诸边谈判在2024年7月初步达成《电子商务协定》的“稳定文本”,但该协定文本未涉及跨境数据流动议题;既有的WTO框架主要通过服务贸易中的“跨境交付”模式对跨境数据流动活动予以规制,与此同时, FTA框架下已经产生了专门的跨境数据流动规则,美国主导的FTA中有关数据治理的条款近年来在硬性约束力上逐渐升级;中国或欧盟主导的FTA中有关数据治理的硬性条款范围相对较小,仅停留在电子商务便利化、数据本地化等条款,而对于跨境数据流动设置了较为宽松的例外条款。
在精确性上,不同FTA的跨境数据流动条款存在差异,以《美墨加协定》 (USMCA)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《区域全面经济伙伴关系协定》(RCEP)为例:USMCA第19.11条遵循“原则—例外”的逻辑,以 “不得禁止或限制”跨境数据流动作为原则,以合法公共政策目标所必需的措施作为例外;CPTPP第14.11条则遵循“原则—例外—例外的例外”这一逻辑,以缔约方拥有数据监管主权作为原则,以“应允许”跨境数据流动作为例外,以合法公共政策目标所必需的措施作为例外的例外;RCEP第12.15条同样遵循“原则—例外—例外的例外”这一逻辑,但RCEP将例外表述为“不得阻止”跨境数据流动;在合法公共政策目标措施的设置上,RCEP同时设置了一般例外和安全例外,而CPTPP仅包含一般例外;此外,RCEP还赋予缔约方判断一般例外措施的自由裁量权以及采取安全例外措施的禁止异议权。可见,从USMCA到CPTPP再到RCEP,跨境数据流动规制的强制性递减、精确性递增,FTA对缔约国数据监管权的约束依次减弱。
在授权性上,不同国际经贸协定中跨境数据流动措施的可诉性亦有所不同。在 WTO框架下,若跨境数据流动相关措施被认定为影响服务贸易的措施,则可以根据GATS诉诸WTO贸易争端解决机制;在FTA框架下,跨境数据流动条款通常包含在电子商务章节之下,CPTPP等少数FTA规定,除部分国家和部分条款以外,电子商务章节可以诉诸FTA争端解决机制;①而RCEP、DEPA、中国签署的部分双边协定以及欧盟主导的部分协定等则将跨境数据流动条款排除在FTA争端解决机制之外。②
(五) 小结
上述实践样态的分析表明,当前跨境数据流动的全球治理仍处于弱序化状态,非强制性的、灵活性和开放性较高的国际软法盛行,严格意义上具有强制效力的、稳定性和确定性较高的国际硬法缺位。通常而言,国际软法主要存在于经济、环境、人权等低政治领域(何志鹏,2017)。鉴于跨境数据流动越来越多地与数字主权、非传统安全等涉及国家核心利益的问题相关联,软法性、低政治性的国际造法路径已无法完全满足跨境数据流动的全球治理需求,这使得跨境数据流动国际造法的实践现状呈现出软硬失衡的问题。此外,从上述实践样态的分析看,在当前以及可预见的未来一段时间内,跨境数据流动国际造法的碎片化和区域化状态将继续存在,这对各类规则间的兼容性或互操作性提出了较高要求。因此,本文将以加强规则兼容性或互操作性为目标,探讨和预测跨境数据流动国际造法在理想状态和现实向度下的发展态势。
三、 软法与硬法视角下跨境数据流动国际造法的发展态势
(一) 跨境数据流动国际造法的进路之理想状态
短期来看,跨境数据流动的软法与硬法规则之间可能发生冲突关系,这种冲突关系主要体现为潜在的冲突(鲍威林,2005)。③这些规则相互之间不是排斥关系,其冲突关系并非体现在加入或适用上的不兼容,即不存在一项规则本身的缔结或产生构成对另一规则的违反。例如,一国对OECD《指南》的接受不影响其加入APEC《隐私框架》。这些规则之间的潜在冲突体现为不同国际法对一国国内数据保护标准的要求或认可程度不一致,更深层次上则凸显出国家主导权之争(赵海乐,2022)。例如,在美国跨境数据自由流动理念的指引下,无论是CPTPP和USMCA等美式贸易协定,还是OECD《指南》和APEC《隐私框架》,均采取低水平保护的跨境数据流动秩序的制度设计,避免参与国以国内提供了高水平数据保护为由阻碍数据出境。比如,要求数据接收方提供与该国相同或类似的保护(洪延青,2021)。然而,在欧盟以个人隐私保护为核心的跨境数据流动理念的指引下,欧式条约规定缔约方应履行对数据出境作出一定限制的义务。根据欧盟的相关研究,CBPR体系的数据传输规则与纠正机制不符合欧盟GDPR的认定标准,也就是说,如果一国仅达到APEC下低水平的数据治理和隐私保护要求,则无法获得欧委会的充分性认证。在衡量参与低水平保护的美国跨境数据自由流动模式与高水平保护的欧盟隐私保护模式之后,国内数据保护水平较高的国家往往选择加入但暂缓执行APEC《隐私框架》等美国推行的国际软法(刘笋和佘佳亮,2023)。
在提高平衡性和互操作性的需求下,国际软法可以被硬法纳入而性质不变。国际软法既可以提供国际硬法的替代方案,也可以作为国际硬法的补充或者延伸 (Boyle,2019)。作为国际软法的数据跨境流动原则或标准已经被多个国际经贸协定纳入,但在该种情况下,这些软法的法律性质和效力并没有发生实质性改变。比如,USMCA将APEC《隐私框架》和OECD《指南》作为国际标准为各国建立域内数据治理法律框架提供参考,同时,USMCA将APEC下的CBPR体系认可为保护个人信息和促进数据跨境流动的有效机制,以鼓励缔约方促进各国不同隐私保护制度之间的兼容性。①此后,CPTPP和DEPA等FTA均提及在构建国内数据治理法律框架时考虑 OECD和APEC等国际软法标准。然而,此种做法的效力并非等同于FTA缔约国对低水平保护标准的妥协,即便将国际软法纳入国际硬法的某一条款,该条款仍然是不具有约束力的非强制性规定,第三国在满足低水平保护的国际软法标准后无法援引FTA 的该条款对等要求我国数据不设限出境。正是因为FTA下要求设立跨境数据保护条件等相关规定存在软法性质,所以我国在《个人信息保护法》第38条中强调“可以”而非“必须”按照其规定执行(马光和毛启扬,2022)。
长期来看,国际软法将向硬法性质渐进转化。国际软法通常不是国际造法的最终形态(Weiss,2000)。②国际软法可以作为各国开展深入合作和建立正式关系的基础,各国基于已达成的国际软法渐进性地形成新的国际硬法;而国际软法以渐进方式成为国际硬法的补充,实现软硬法动态衔接的理想状态(Shaffer & Pollack, 2012)。以APEC《隐私框架》由软法向硬法转化的趋势为例,2012年开始采用 CBPR体系是增进APEC《隐私框架》效力的重要举措。有学者指出,该规则的效力机制包括两个层面:在外部层面,软法可以借助CBPR体系下成员方的隐私执法机构确保执行;在内部层面,软法可以通过审查成员方内部框架等措施,借助市场力量得以实施(敖海静,2022)。然而,APEC下的CBPR体系的效力具有相对局限性,该体系至今仅有9名APEC成员加入,其中,仅有5名APEC成员指定了问责代理机构,③ 按照CBPR体系的运行规则,CBPR体系对4名未指定问责代理机构的APEC成员并未实际生效。当前,美国开始集结日本等盟友建立所谓的“全球跨境隐私规则体系”并将该体系独立于APEC,本质上是一种将CBPR体系从区域机制扩展成全球性机制,并进一步加强该体系的约束力和影响力的尝试。④
(二) 跨境数据流动国际造法的进路之现实向度
软法或硬法的多种路径重叠发挥作用为各国参与跨境数据流动国际造法留下空间。在现实向度下,各国综合考虑权力博弈、利益分配、实施效果等其他影响因素,在软硬程度不同的国际机制之间进行挑选,决定是否参与跨境数据流动的国际造法,进而选择以软法路径参与或以硬法路径参与(Shaffer & Pollack,2010)。
第一,权力博弈。拥有强权的大国对某一议题的态度往往决定着该议题上国际硬法与国际软法之间的相互作用(骆旭旭,2013)。由于国际社会尚未对数字主权的概念及其范围达成共识,大国对于跨境数据流动监管的国家规制权范围仍存在分歧,从而导致不同的国际造法路径选择,这是权力博弈影响跨境数据流动国际造法路径的突出体现。美国在网络技术上拥有丰富的优势资源,主张网络空间治理的多利益攸关方模式,希望弱化国家权力对跨境数据流动的限制,这表现在:一方面是通过在FTA中引入硬法条款对缔约国监管权进行约束力较强的限制,另一方面是通过在国际组织下主导软法的制定,尽可能给数据跨境流动提供更多自主的空间。欧盟重视其在数字经济上的领导地位和战略自主权,提出以战略自主为要义的数字主权,允许国家基于隐私权保护而采取限制跨境数据流动的措施,这也表现在两个方面:一方面是通过美欧数据传输协议这一类特殊的政府间软法扩大欧盟“数据充分保护”标准的影响力,另一方面是通过在FTA中纳入软法条款为缔约国监管跨境数据流动设置例外。中国提出基于网络主权建立更具包容性的国际协作框架,强调允许国家基于数据安全而采取限制跨境数据流动的措施,主要表现是在FTA中引入例外规定较为宽泛的软法条款。
第二,利益分配。面对国际造法中本国利益、他国利益与国际社会公共利益无法同时实现的“不可能三角”(何志鹏,2022)。当下,各个国家或地区之间对于全球数据资源的利益分配存在张力且尚未达致平衡状态,在创建、修改或维持国际规则等不同主张的力量作用下,国际软法与国际硬法展现出融合或冲突的两种态势。美国的利益诉求是借助科技优势维系与强化其全球数据霸权,无论是通过加强输出自由价值推崇跨境数据自由流动,还是通过延续二战后的霸权思维将跨境数据流动规则“政治化”,实则都是希望通过美国互联网巨头企业控制和垄断全球数据资源。欧盟的利益诉求是借助制度优势加强以自身数字主权和个人隐私权为核心的制度性权力,将人权保护理念延伸至跨境数据流动场景下的个人隐私权保护,将数据传输协议中的承诺及其履行作为GDPR充分性决定的基础,成为欧盟实现监管和控制跨境数据流动和存储的制度性工具。
第三,实施效果。在国际法和国内法分元结构下,国际条约在一国国内实施需要转化或并入国内法,从而实现国际硬法的效力并保证其有效实施。然而,国际硬法的滞后性与经济社会的急速发展存在矛盾,制定成本低、时间短、弹性强的国际软法应运而生并迅速发展。相比之下,国际软法本身并不存在强制执行力,其实施机制更加灵活多样。选择何种国际造法路径可以产生更好的实施效果,是一国在国际造法路径选择时的考虑因素。比如,G20框架下达成的DFFT倡议等非法律规范,除了依靠其成员的自主实施以外,还可以借助G20以外的正式国际组织落实和执行具体政策决议,这种方式被称为“非正式国际机制+正式国际组织”的“G20+”机制复合体。①又如,OECD 和APEC下的国际软法既可以通过成员方之间的跨境执法合作确保执行,也可以将数据控制者的问责制嵌入成员的隐私管理程序,借助成员方的内部力量得以实施(敖海静,2022)。再如,政府间签署的数据传输协议主要是在国内层面实现效力,美欧DPF 依赖于欧盟单方面通过“布鲁塞尔效应”形成的强大话语权,一旦欧盟法院裁定充分性保护认定无效,美欧之间的数据传输合作关系就将处于不确定和脆弱的状态。
四、 以软硬兼施为进路的跨境数据流动国际造法之中国方案
(一) 基本立场:积极推动全球数据治理法律秩序更加公正合理
面对数据领域治理赤字和发展赤字的挑战,中国积极参与全球数据治理并提出 《全球数据安全倡议》和《全球跨境数据流动合作倡议》,为国际社会在数字经济时代的数据治理指明正确方向并提供有益参考。在统筹推进国内法治与涉外法治的时代逻辑下,打造跨境数据流动国际造法之中国方案,应注重跨境数据流动国内规则与高标准国际数字经贸规则的对接,提升中国在跨境数据流动领域规则制定上的国际话语权与影响力;在国际层面,循序渐进地推动非法律规范的合法化与软法规范的硬法化,增加跨境数据流动国际规则的确定性、兼容性或互操作性;同时充分重视国际软法的独立价值,减轻国际造法碎片化状态所带来的重叠或冲突等负面影响,平衡跨境数据流动议题下安全与发展之间的关系,促使全球数据治理法律秩序朝着公平、正义、包容、合作的方向发展。
(二) 软法进路:构建“数字丝绸之路”国际规则体系
在“一带一路”合作框架下着力构建跨境数据流动规则体系,是我国在参与并引领跨境数据流动国际造法的主要软法进路。如前所述,国际造法的发展态势通常受权力博弈、利益分配、实施效果等因素影响,此时,“一带一路”下共商共享共建理念的优势特色得以充分体现:一方面,“一带一路”建设中的政策沟通可以成为国际造法的制度基础,突破了大国权力博弈对国际造法的决定性作用;另一方面,“一带一路”建设中的设施联通、贸易联通、资金融通则构成国际造法的利益基础,这种共同受益特征能够有效淡化各国之间的利益分配冲突。因此,精确性、义务性、授权性程度较低的国际软法可以成为“一带一路”框架下国际造法的优先考量(徐崇利, 2019)。同时,构建“数字丝绸之路”规则体系是实现“一带一路”参与国之间跨境数据流动效率提升和安全保障的必然要求。然而,“数字丝绸之路”的软法进路缺乏国际条约机制的保障,导致其契约性较强而规范性较弱,这直接影响到“数字丝绸之路”跨国法律秩序的稳定性,甚至产生沿线国家滥用规制权的可能性(彭岳, 2024)。因此,构建“数字丝绸之路”规则体系可以从创制具有示范作用的软法着手,但是在适当阶段仍应推动软法在硬法中的纳入甚至软法向硬法转化。例如,充分发挥RCEP等巨型FTA对于促进缔约国间跨境数据流动的积极作用,推动东盟跨境数据流动法律规则体系与其他跨境数据流动规则的统筹协调,最终实现软法和硬法良性互动的跨境数据流动规则体系(赵骏和翟率宇,2022)。
(三) 硬法进路:加快对接高标准国际数字经贸规则
打造跨境数据流动国际造法的中国方案,亦应注重国际数字经贸规则中跨境数据流动条款的硬法化趋势,推进我国涉外法治对接高标准国际数字经贸规则的硬法进路。在霸权主义和保护主义抬头的背景下,跨境数据流动规则已成为美国对我国展开权力博弈与战略进攻的重要议题:一方面,通过国内规则构建跨境数据流动的“小圈子”,严格限制中美主体之间包括向境外传输数据、投资活动、商务活动以及在美主体经营活动在内的数据交易;①另一方面,通过国际造法对我国的“规锁”加剧,在 USMCA、CPTPP等国际协定中引入高标准数字经贸规则,对此,我国有必要加快对接高标准国际数字经贸规则的硬法进路。高标准国际数字经贸规则通常对跨境数据自由流动具有较高要求,但目前我国在数据安全与数据自由的价值之间仍倾向于数据安全保护,我国参与的国际造法中跨境数据流动自由化水平较低、缔约国自主监管空间较大、硬法化程度较弱,我国国内的跨境数据流动法律体系仍不完善,因此,申请加入CPTPP、DEPA等高标准FTA的硬法进路对我国跨境数据流动规制体系构成合规性挑战。如我国目前的跨境数据流动规制体系包括个人信息保护认证和标准合同、数据出境安全评估、网络安全审查、关键信息基础设施等制度,这些制度总体符合CPTPP 与DEPA的要求,或者可以通过援引例外证明合规性,但重要数据认定、数据出境安全评估细则等制度仍有待完善。此外,在我国加入CPTPP、DEPA谈判中,数据跨境安全网关问题宜从跨境数据流动议题中剥离而作单独处理(徐程锦,2023)。
五、 结语
随着全球数字经济的高质量发展与跨境数据流动的日趋频繁,国际社会各方围绕跨境数据流动议题的国际造法已初步形成一系列表现形式灵活多样的成果,由精确性、义务性、授权性三个评价要素来看,主要的实践样态包括G20和G7框架下的倡议、OECD与APEC框架下的软法、双边跨境数据传输协议、内嵌于国际经贸协定中的相关条款等。未来,跨境数据流动国际造法的碎片化状态将持续存在,虽然当前实践样态整体上仍以国际软法为主,但国际软法已经展现出向硬法转化或被硬法纳入的融合态势,同时二者之间也在数据保护标准的认可程度上发生着潜在冲突。在跨境数据流动软法与硬法的选择问题上,该领域内的权力博弈、利益分配、实施效果等通常是关键影响因素。打造跨境数据流动国际造法之中国方案,首先应明确我国积极推动全球数据治理法律秩序更加公正合理的基本立场,通过软硬兼施的路径促进数据治理议题的合作对话。一方面,秉持共商共建共享理念推动“一带一路”倡议的法治化建设,构建“数字丝绸之路”下的跨境数据流动规则体系;另一方面,加快推进 CPTPP、DEPA等FTA的谈判,对接高标准国际数字经贸规则。
① 实证主义学者一般以是否有约束力为标准来区分硬法与软法,并拒绝将国际软法接纳为国际法的范畴;理性制度主义学者则认为不能以国内法上的强制约束力标准来衡量国际法的软硬程度,他们将国际法看做是约束力不同的一系列制度规则;建构主义学者则更多地将法律作为社会互动过程的一部分。
① GOV.UK. G7 Trade Ministers' Digital Trade Principles. (2021-10-22) [2025-05-30].https://www.gov.uk/government/news/g7-tradeministers-digital-trade-principles.
② GOV.UK. G7 Roadmap for Cooperation on Data Free Flow with Trust[EB/OL]. (2021-04-28) [2025-05-30].https://assets.publishing. service.gov.uk/government/uploads/system/uploads/attachment_data/file/986160/Annex_2__Roadmap_for_cooperation_on_Data_Free_ Flow_with_Trust.pdf.
③ The Federal Ministry for Digital and Transport (BMDV) . G7 Action Plan for Promoting Data Free Flow with Trust. (2022-05-11) [2025-05-30].https://bmdv.bund.de/SharedDocs/DE/Anlage/K/g7-praesidentschaft-final-declaration-annex-1.pdf?__blob=publicationFile.
④ World Economic Forum. Data Free Flow with Trust: Overcoming Barriers to Cross-Border Data Flows. (2023-01-16) [2025-05-30].https:// www.weforum.org/publications/data-free-flow-with-trust-overcoming-barriers-to-cross-border-data-flows/.
⑤ United Nations Digital Library System. Guidelines for the Regulation of Computerized Personal Data Files. (1988-07-21) [2025-05-30]. https://digitallibrary.un.org/record/43365?v=pdf.
⑥ OECD. Recommendation of the Council Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. (2013-07-11) [2025-05-30].https://legalinstruments.oecd.org/public/doc/114/114.en.pdf.
⑦ OECD. Recommendation of the Council on Enhancing Access to and Sharing of Data. (2021-10-06) [2025-05-30].https://legalinstruments. oecd.org/en/instruments/OECD-LEGAL-0463.
⑧ Asia-Pacific Economic Cooperation. APEC Privacy Framework. (2015-08) [2025-05-30].https://www.apec.org/docs/default-source/ publications/2017/8/apec-privacy-framework- (2015) /217_ecsg_2015-apec-privacy-framework.pdf?sfvrsn=1fe93b6b_1.
⑨ Cross-Border Privacy Rules (CBPRs) .[2025-05-30]. http://cbprs.org/documents/.
① Cross-Border Privacy Rules (CBPRs) . Charter of the APEC Cross-border Privacy Rules and Privacy Recognition for Processors Systems Joint Oversight Panel. (2019-11) [2025-05-30]. http://cbprs.org/wp-content/uploads/2019/11/2.-JOP-Charter-updated-17-09-2019.pdf.
② Greenleaf, G., “It’s Nearly 2020, so What Fate Awaits the1980 OECD Privacy Guidelines? (A Background Paper for the2019 OECD Privacy Guidelines Review) ”, 159 Privacy Laws & Business International Report 18-21, UNSW Law Research Paper No.19-42, 2019.
① See CPTPP, Article14.18.
② See RCEP, Article17; DEPA, Article14A.1; China-Australia FTA, Article12.11; China-Korea FTA, Article13.9; China-Chile FTA, Article58; EU-Japan EPA, Article18.19.
③ 国际法规则冲突可能有几种情形:一是固有的法律冲突;二是适用的法律冲突,后者又包括必然的冲突和潜在的冲突两类。
① See USMCA, Article19.8.
② 可能的发展方向有四种:一则,以具有约束力的形式被纳入条约规定;二则,转化为国内法的一部分;三则,作为进一步合作或制定具体规则的基础;四则,转化为习惯国际法。
③ See APEC CBPRs, http://cbprs.org/government/.
④ See Global Cross-Border Privacy Rules Declaration, https://www.commerce.gov/global-cross-border-privacy-rules-declaration.
① 中国信息通信研究院:《全球数字治理白皮书(2020年)》,第10页,http://www.caict.ac.cn/kxyj/qwfb/bps/202012/ P020201215465405492157.pdf.
① Federal Register. Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons. (2025-01-08) [2025-05-30]. https://www.federalregister.gov/documents/2025/01/08/2024-31486/preventing-access-to-ussensitive-personal-data-and-government-related-data-by-countries-of-concern.