欢迎访问北京强企知识产权研究院!
区域贸易协定中数据跨境流动的规制及启示
来源:知识产权家 日期:2022/12/14 浏览量:1143

刘影

北京理工大学法学院

助理教授


截至目前,已有超过180个区域贸易协定对数字贸易规则进行了规定[1]。除《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)、《美国-墨西哥-加拿大协议》(USMCA)以及美日、日欧等区域贸易协定外,世界贸易组织(WTO)也自2022年1月开始研究和讨论全球数字贸易规则。在普遍设定了高水平义务的诸边或多边协定中,除最惠国待遇、市场准入义务、无差别待遇等一般性原则外,还规定了用于确保业务实施的数据跨境自由流动义务、计算机相关设备的禁止设置要求,以及代码和算法开放的禁止性规定等[2]。这些规定对于进一步完善我国关于数据跨境流动的国内法制,促进形成全球数字贸易协定共识,具有启示意义。


CPTPP及USMCA


CPTPP是全球范围内最早生效的新一代数字贸易规则,确立了限制数据本地化、鼓励跨境流动、保护源代码以及 保护个人信息等高标准规则。2021年9月,中国正式提出 申请加入CPTPP,按照CPTPP加入程序,目前正在和相关成 员进行接触、沟通和磋商。而CPTPP谈判的难点之一就在 于能否接受C P T P P中的数据跨境流动规则。值得注意的是, USMCA第19章是数字贸易专章,其中第19.11条是对数据跨 境流动的规制,除没有规定CPTPP第14.11条第1款中的要件外,其与CPTPP中的同类规定基本相同。因此,本节重点对CPTPP中的数据跨境流动规制进行剖析。


// 相关条款


其一,跨境数据的转移和保存。

CPTPP第14.11条第1款肯定了成员国的监管权力,即各成员国有权设置不同的数据跨境传输监管要求;第2款则明确了成员国对于电子商务中的数据通过电子方式跨境传输的强制性义务,即缔约国应该允许包括个人信息在内的数据跨境传输,且这一活动只适用于成员国投资者、服务提供者所开展的“商业行为”。至于成员国能否设置数据跨境流出的条件,如安全评估、认证保护等,相关条款并未明确。该条第3款是关于数据跨境流动的例外适用规定,其与第14.13条第3款内容大同小异。与数据本地化措施限制例外一样,成员国可以在符合目的、方式、限度的基础之上,实施或维持限制数据传输的措施。


CPTPP第14.13条对于计算机相关设备进行了规定。第1 款首先基于成员国对于通信机密和安全等的需要,肯定了它们对其境内的计算设施使用具有监管权利 ;在此基础上,第2款规定成员国不得将在其境内使用或安置计算设施作为投资者或服务提供者等相关商业主体在其境内从事商业经营的条件 ;第3款做出了例外规定。


其二,法律均一化相关规范。

C P T P P第14.5条第1款规定,缔约国在制定电子商务相关法律时,要与1996年电子商务贸易有关的联合国国际贸易法委员会(UNCITRAL)模型法,或2005年《联合国国际合同使用电子通信公约》中的原则相一致。同时,本条第2款规定了如下努力义务 :一是避免对电子交易造成不必要的规制负担 ;二是在制定电子交易相关法律时,要给利益相关方提供便利。需要指出的是,近年来,有关促进利益相关方的多方共同规制(Multi-stakeholder Process)的讨论较为热烈[3],其背后的目的是防止过少或过剩规制,这被评价为最大程度努力确保数字经济所带来的创新空间。


CPTPP第14.8条第2款规定,成员国应承担制定或维持电子商务用户个人信息保护法律框架的强制性义务。考虑到不同成员国之间的文化差异和立法水平,CPTPP允许成员国采用不同的方法方式,例如制定个人信息/个人数据保护专门法或涵盖隐私保护的特别部门法等法律框架。本条第5 款规定,成员国在个人信息保护规则设置上应结合以下两点进行综合考量 :

第一,参考相关国际机构的指南和原则 ;


第二,强化不同信息保护体制之间的兼容性。为协调不同缔约国之间个人信息保护规则以及加强对彼此监管结果的承认,该条款鼓励成员国通过国际合作交换相关信息,包括双边、区域或者多边安排,推动不同成员国信息保护体制之间的兼容性。同时,该条对透明度和非歧视做出了要求,成员国应向电子商务用户公布相关的个人保护信息,尤其是在个人权利救济和企业行为合规方面。


其三,安全例外条款。除上述电子商务贸易专章第14.11条和第14.13条第3款规定的“公共政策的正当目的”外,有关电子商务贸易的规制同样适用WTO/GATS(《服务贸易总协定》,General Agreement on Trade in Services)中规定的一般性例外。根据WTO/GATS第29.1条第3款的规定,GATS第14条(a)-(c) 的规定被纳入到CPTPP中。


CPTPP第29.2条是安全保障条款。该条款是与《关税与贸易总协定》(General Agreement on Tariffs and Trade,GATT)第21条和GATS第14条第2款的规定进行整合后作出的,不能理解为以下任一项 :(a)违反国家安全保障上重大利益的信息提供要求 ;(b)妨碍用于保护国家安全重大利益的必要措施。此处对于国家安全保障的理解和判断同WTO协定是一致的。


// 构造分析


首先,关于跨境数据的转移和保存条款,也即CPTPP第14.11和14.13条,规定了数据跨境自由流动的总体性原则:禁止计算机相关设备的利用和设置,在为实现公共政策目的的情况下,允许设定限制措施。将其与一般例外规定中所列举的特定的政策目的相比较,这一例外规定的适用范围更广。鉴于各国对于数据跨境流动的政策目的各不相同,至少应将规制目的作为大范围认可缔约国的自制规制权限的内容。在发生纠纷之时,要对相关措施进行正当性审查,而对于正当性这一概念的解释,则允许应用较宽范围的政策目的。


相较于正当性要件,还有一些更为重要的其他要件。具言之,数据本地化规制的正当性理由应具备两个要件 :一是将G A T S一般例外规定的首段直接移植过来,也即如下义务——这类措施的实施不在情况相同的国家间构成武断的或不公正的歧视,或构成对服务贸易的变相限制。二是成员国为保护其基本安全利益而有必要采取行动(greater than are required)。CPTPP并未完全遵从WTO协定的解释先例,而采用了与G A T S一般性例外规定中必要性测试不同的表述。既然如此,“必要性”(required)概念的一般含义就需要在新的语境和目的下探求,很可能需要探索一套不同于严格必要性测试的法律标准。


通过以上分析可知,CPTPP在公共政策例外上的规定是模糊、暧昧的,成员国很可能出于贸易保护主义而滥用[4]。另一方面,如果考虑到基于广泛的公共政策目的而对数据跨境流动进行规制的政策空间,只需要在CPTPP电子商务贸易的合意形成过程中进行必要的交涉。再考虑到快速发展的数据技术以及数字经济下的贸易自由化同其他公共政策利益之间的平衡过程中所伴随的不确定性,CPTPP采用的这种规制形式反而更加积极[5]。


RCE


在WTO数字贸易规则遭受严峻挑战的情况下,RCEP作出了突破性的制度回应。这是继WTO和CPTPP后,又一具有代表性的多边数据跨境流动规则的重要尝试。此外,R C E P还针对日益突出且无法规避的“长臂管辖权”问题做出了制度设计和安排。


// 相关条款


R C E P关于数据跨境流动的规则条款主要分布在第八章“服务贸易”和第十二章“电子商务”当中。由于涵盖的成员国较多,且各国数字经济的发展水平和规模差异较大,R C E P本着开放的态度,从利益最大化的角度出发,充分尊重和包容各成员国的法律和政策,制定了允许数据跨境自由流动和限制数据本地化的条款,即数据自由安全流动原则。R C E P将“数据自由流动”作为基础性原则,将“数据安全流动”作为例外性原则,兼顾数据的自由流动和充分保护。


R C E P第十二章“电子商务”第14条对计算设施位置作出了规定。该条第1款和第2款规定 :成员国认识到各国对于计算设施的使用或者位置可能有各自的措施,包括寻求保证通信安全和保密的要求 ;但成员国不得将要求涵盖的人使用该成员国领土内的计算设施或者将计算设施置于该成员国领土内,作为在该成员国领土内进行商业行为的条件。


第15条“通过电子方式跨境传输信息”第1款和第2款规定 :成员国认识到每一成员国对于通过电子方式传输信息可能有各自的监管 ;但成员国不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。


RCEP第八章“服务贸易”附件一“金融服务”第九条“信息转移与信息处理”第1款和第2款规定 :每一成员国可就信息转移和信息处理设置其管理要求 ;但不得对其领土内的金融服务提供者进行日常运营所需要的信息转移或处理进行阻止,包括通过电子方式或其他方式进行数据转移。附件二“电信服务”第四条“接入和使用”第3款规定 :每一成员国应当保证,另一成员国的服务提供者可以使用公共电信网络和服务在其领土内跨境传输信息,包括此类服务提供者的公司内部通信,以及接入任何成员国领土内数据库所包含的信息,或者以机器可读形式存储的信


// 构造分析


第一,RCEP第14和15条两项条款表明,成员国不得对计算机设施的位置和数据的跨境传输进行限制,且对在其领土内进行商业活动的另一成员国不得采取“计算机设施本地化”的措施,即禁止实施数据本地化的行为。因此,这里的数据流动可以理解为“仅限于商业数据进行跨境流动”。同时,各缔约国不得对数据跨境流动设置不必要的阻碍、造成数据流动壁垒,而应当遵循自由流动原则。实际上,这是RCEP对成员国设定的核心义务。


第二,通过以上条款可以看出,RCEP对重要的金融电信数据的跨境流动并未作出限制性规定,允许其自由跨境流动,这进一步反映出RCEP成员国在谈判时所持的开放态度。


第三,RCEP所确立的数据跨境流动例外原则,实质上是对数据本地化存储的有条件限制,即数据传输限制要求(在一些特定的情形下,对跨境流动的数据施加一定的条件)。实施数据本地化存储主要是源于传统的属地保护主义,R C E P各成员国的国情和发展状况不同,在实施数据本地化方面的法律政策各不相同,数据本地化存储的程度也各不相同。


第四,安全例外条款是允许缔约国以维护国家安全和公共政策目标而免除自由贸易协定所规定的义务的特殊制度安排,但R C E P对“基本安全利益”及“公共政策目标”的内涵只进行了概括性阐述,并未做出清晰明确的解释,具有一定的模糊性,使之成为一项“动态”的国际法规则。这需要成员国基于善意原则行使自由裁量权。但与G A T T的例外条款相比,R C E P例外条款具有一定的进步性,其实施不得出于对成员国的歧视或商业贸易限制。此外,R C E P考虑了各成员国发展的差异,有利于实现数据跨境流动和数字贸易发展的双重目标,减少各成员国国内法与R C E P规则的冲突,实现两者的兼容。


FTA的规制模式总结及其启示借鉴


自2019年1月开始,WTO开启了关于电子商务和数字贸易的多国谈判[6] 。自由贸易协定(Free Trade Agreement,FTA)层面所形成的数据跨境流动规制模式能在多大程度上为W T O多边层面的规则形成提供借鉴,是一个值得思考的问题。


首先,在数据跨境流动多边国际规则方面,全球数字市场中,在促进更为自由的跨境数据流动、数字创新以及更为健康的竞争环境的同时,各国享有依据正当性理由对数据流动进行规制的权利[7] 。从多边规则合意的政治学来看,作为多边规则构建的课题,跨境数据流动与各国国内规则在何种程度上能够共存是关键要义。因此,各国在与数字贸易国际规则保持一致的同时,国际规则对于各国国内规制目的的影响需要限制在各国可接受的范围内。


其次,数字贸易领域内的“安全性”是一个非常重要的课题,其内容涉及隐私保护、欺诈性交易以及间谍供给等对于消费者保护、交易安全性和适当的知识产权保护的影响,而健全促进数字创新的竞争环境也已成为基本共识。现行G A T S第14条以现行一般性例外规定的形式,给予协定中的自由化义务以正当性含义,可以将其理解为间接性的“安全”规定 ;作为W T O多边规则,其有望形成更具权威性的安全规制。


再次,CPTPP或USMCA设定了各国规则均一化的规定。成员国在有关电子商务交易的法律框架上寻求各国国际模式法的原则,制定法律框架上则需要多方治理的努力。数字贸易所涉及的多边规则不局限于传统的主权国家的多国假设,还需要同互联网治理以及在先的隐私保护、服务器安全等相关的国际组织(如IEEE、IETF、W3C等)进行协同。另外,在能够左右高水平技术的服务器安全领域,同政府强制性规制介入路径相比,自主规制路径或共同规制等混合规制模式等治理手段更为有效[8]。


最后,当前国际上对于能够有效支撑自由、开放且安全的互联网以及跨境数据流动的自由化的互联网治理、隐私和服务器安全等公共政策问题,还没有形成共识。在这种情况下,各国就数据本地化规制问题形成有效的国际规则是较为困难的。因此,如现行G A T S那样通过贸易自由化规则和一般性例外规定进行组织的规范性构造是不充分的,当务之急是要构建一种国际规制协调机制。在这一点上,C P T P P电子商务贸易专章第14.15条也仅仅认定了电子商务交易的规制特质,并对包含个人信息保护等的电子商务交易的规则、政策和实施等进行了简单的、线条化的规定,其在多边规则的构建上仍需要进一步探索。


(本文是中国法学会2022年度部级法学研究课题一般项目“WTO协定下数据跨境流动的规制局限及完善方案研究[CLS(2022)C43]”的阶段性成果。)


注释

[1] University of Lucerne,’ TAPED:A New Dataset on Data-related Trade Provisions’,https://www.unilu.ch/en/faculties/faculty-of-law/professorships/managing-director-internationalisation/research/

taped/,访问日期 :2022年10月6日。


[2] 关于数据贸易协定的条款分析,参见数据贸易分析项目(Digital Trade Estimates Project),网站 :https://ecipe.org/dte/,访问日期 :2022年10月7日。


[3] Neha Mishra,”Privacy,Cybersecurity,and GATS Article XIV:A New Frontier for Trade and Internet Regulation?”,World Trade Review(2019),1-24.


[4] See,Mira Burri,”The Rugulation of Data Flows through Trade Agreements”,48 Georgetown Journal of International Law407,433(2017);Andrew Mitchell and Jarrod Hepburn,”Don’t Fence Me

In:Reforming Trade and Investment Law to Better Facilitate Cross-Border Data Flows”,19 Yale Journal of Law and Technology 182,210(2017).


[5] Joshsu P.Meltzer,”Governing Digital Trade”,World Trade Review vol.18,Special Issue S1(Digital Trade).p.7(2019),25.

010-57297529