1. 引言
近年来,数字科学技术的不断发展促进各大产业数字化转型的加速,数字贸易在全球化进程中也占据了越来越重要的地位。尤其是世界范围内新冠疫情传播的影响,更是将数字贸易的繁荣推向了一个新的高度。然而,贸易方式的变革在拉动经济增长和便利生活的同时,也对传统的贸易规则提出了新的挑战。WTO框架下建立起来的贸易规则已经无法适应数字经济时代的要求,全球范围内有关数字贸易的新型贸易规则谈判也进展缓慢,在这种情况下,各种区域性贸易安排和协定应运而生,为全球数字贸易治理的相关问题提供了新的解决思路。
2. 数字贸易与数据流动
作为一种新兴的贸易模式,数字贸易相关领域的研究仍处于起步阶段,其中所包含的形式和内容也在持续地变化和扩张,因此在全球范围内目前还未形成一个准确全面而被普遍接受的权威定义,各个不同的国家和国际组织等对这一概念的内涵和外延的理解仍然存在诸多分歧。美国是最早针对数字贸易提出正式定义的国家,之后也一直根据实际情况的变化对这一定义进行相应更新和调整,在2017年的版本中,美国国际贸易委员会将数字贸易界定为通过互联网及智能手机、网络连接传感器等相关设备交付的产品和服务1。另一个比较有影响力的定义是由OECD,WTO,IMF共同提出的,即数字贸易是指一切通过数字方式订购和(或)交付的国际贸易,并根据交易方式,交易对象和交易主体的不同进一步进行细分2。
尽管目前针对数字贸易的各种定义在内涵和外延上存在一定区别,但都基于一个核心共识,即数字贸易是建立在跨境数据流动的基础上的。数据是数字贸易的重要生产要素,是数字贸易得以实现的必要因素,也是数字贸易相对于传统贸易形式的优势之来源。相比传统的货物形式,数据的传输时间和成本都要小得多,且在这一过程中也不必担心会产生损耗,其对国际贸易和经济发展的推动力量是巨大的。同时,数据应用也大大拓宽了服务贸易的广度和深度,使跨国的学习教育,医疗问诊,法律咨询等成为可能,在促进知识技术交流和改善生活的同时,也将全球化推向了一个新的阶段 [1] 。可见,作为数字贸易的核心,数据自由流动对于数字贸易的发展来说至关重要。
也正因如此,跨境数据流动问题成为了当前数字贸易相关规则中的重点内容,同时也是各国在数字贸易谈判中最大的分歧点。由于各国的数字科技和数字贸易发展水平天差地别,导致不同国家之间存在巨大的数字鸿沟,同时由于历史原因,政策导向,意识形态和社会文化等因素的影响,各国对数据自由流动抱有完全不同的态度和立场。就数据开放这一问题而言,数据自由流动带来的贸易便利和经济发展并不是国家唯一需要考虑的因素,国家安全,公共利益和个人隐私的保护同样也同样重要。一方面,数据自由流动作为数字贸易活动前提和基础,对其正常运行和发展来说至关重要,但与此同时,不加限制的数据流动也会带来很大的风险隐患。跨境传输的数据不仅限于商业数据,也会包括个人信息和隐私,甚至是涉及国家安全的政府信息。因此,当前数据流动规则谈判的核心就是加速数据自由流动以促进数字贸易发展和保护国家信息安全以及个人隐私之间的平衡,而各国的不同利益诉求导致各国具有不同的侧重点,从而在国际上形成了多元化,多样化的数据流动规则。
3. 跨境数据流动规则的现状
整体而言,目前在全球范围内的数字贸易治理体系呈现多边数字贸易规则缺位和区域性自由贸易协定兴起的状态,具有普遍效力的多边数据流动规则仍处于空白之中,但不少区域性协定中已经涉及数据流动和数据保护,甚至已经出现诸如《通用数据保护条例》(GDPR)之类的专门数据规则。
正如前文所述,各国之间应对数据开放的态度和立场存在很大分歧,因此,目前全球范围内普遍承认的统一多边数据流动规则的成型仍存在很大阻力,WTO框架下尽管涉及部分与数字经济有关的事项,但并不存在专门规制跨境数据流动的完整规则。而与此相对,有关数据流动的区域性公约和自由贸易协定则越来越受到青睐,在最近的几年中得到了迅速的发展。相对于以WTO为中心的多边体系而言,其涉及的主体更少,因而更加容易达成一致意见。同时这些规则诞生于当今数字经济的大背景下,因此更加充分地考虑到了数据跨境流动对贸易发展的重要性,设立了专门的章节针对跨境数据流动做出相应的规定,并且更多地涉及新型服务贸易和边境后措施等非关税壁垒。
3.1. 多边数字贸易规则
目前国际范围内的多边数字贸易规则以WTO为中心,而WTO框架下与数字经济有关的规则主要集中于《服务贸易总协定》(GATS)和《与贸易有关的知识产权协定》(TRIPS)中。GATS框架下专门针对电信服务做了规定,要求各个成员在遵守WTO基本原则的基础上根据协定对做出具体承诺的部门进行开放,但同时也在总协定的框架下规定了作为一般例外的数据隐私保护规则。根据GATS第十四条的规定,在符合其他原则要求的前提下,保护与个人资料处理和传播有关的个人隐私,个人记录和账户秘密的法律可以作为违反贸易义务的例外。这也意味着,成员国完全可以根据自身的利益需求采取不同的隐私保护标准以限制数据流动 [2] 。然而GATS的规则在当前环境下的适用性具有明显缺陷。首先,由于订立的年代比较久远,现有的规则主要针对传统的服务贸易模式,而缺乏对数字贸易以及与之相关的新型服务贸易模式的关注和研究,相应的规定也并不适用于新的环境形势。其次,传统贸易模式下主要的贸易壁垒是关税,因而也是WTO贸易自由化规则的重点,然而数字贸易中的主要障碍已经由关税转变成为了各种各样复杂的边境后措施,比如对数据流动的限制,因此目前的WTO多边贸易协定体系已经无法有效地应对数字贸易所带来的新问题 [3] 。
当然,订立全球范围内的多边数字贸易规则仍然是数字贸易治理的最佳路径和必要手段,WTO各成员国也对实现这一目标的重要意义有着充分的认识,正因如此各国都在不断努力寻求达成共识。从2019年《关于电子商务的联合声明》发布开始的一系列以电子商务为中心的谈判以及由此形成的《WTO电子商务诸边谈判合并案文》就是有关这一议题最新和最令人瞩目的进展,代表了当前WTO体系下多边数字贸易规则的整体走向。其中在谈判案文的信息流动部分专门针对跨境数据流动做出了规定,通过规制各成员国对数据跨境传输的任意限制来保障数据流动自由,并提出了有关金融数据的特别规则 [4] 。
除此之外,在1996年的新加坡部长级会议上,部分成员国签署了《关于信息技术产品贸易的部长宣言》,即《信息技术协定》(ITA),其内容和参与方也在之后不断得到扩展。然而,该协定仅针对信息技术产品的关税削减,而不涉及数字贸易的其他内容,因此其效果也非常有限 [5] 。另外一项重要成就是,于1998年达成的《全球电子商务宣言》(DGEC)中有关电子传输暂免关税的承诺到目前为止一直得到了维持。
但总体而言,WTO框架下以多边贸易协定为基础的规则体系已经无法适应当前的数字经济和数字贸易发展现状,其体系内涉及数据流动的内容过于简单粗略,同时也远远落后于当前数据保护的现实和需要。而在认识到了既有多边体制应对数字贸易新形式力不从心,同时有关谈判的进展又停滞不前的困境之后,越来越多的国家开始将目光转向双边或区域性协定。
3.2. 区域性自由贸易协定
正如前文所述,在多边规则缺位的情况下,区域性贸易协定和数据规则作为数据流动治理的核心力量不断得到发展,不仅参与的主体数量和范围不断扩展,其内容的深度和广度也不断提升。目前国际上最具代表性的数据流动规则主要可以分为两大类型,即以美国为主导的美式规则和以欧盟为主导的欧式规则。两者均希望促进数据自由流动,但在有关数据隐私保护上的态度有很大差异。
整体而言,作为技术力量最为强大,数字贸易最为发达的国家之一,美国对数据的依赖程度非常高,因此在数据开放上的态度也最为积极,极力主张数字环境的自由开放,致力于最大程度地减少各国在数据流动方面的限制。而欧盟的态度相较于美国来说就更加谨慎,虽然基本上也支持跨境数据的自由流动,但必须以数据安全为前提条件,更加重视对个人信息和隐私的保护。
3.2.1. 美式规则
美式模板主要体现在原来的跨太平洋伙伴协定(TPP)和在其基础上基本保留原有数字贸易相关内容的全面与进步跨太平洋伙伴关系协定(CPTPP),以及最新的美墨加协定(USMCA)和美日数字贸易协定(UJDTA)中。
在美国退出TPP后,由日本主导重新签订的CPTPP基本沿袭了原TPP中电子商务章节的全部内容,因而与TPP相同,主要体现的也是美国的立场和诉求。CPTPP中有关跨境数据流动的内容主要规定在第14.11条,其中第二款要求每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。这也是CPTPP下有关数据流动的核心规定和基本原则,实际上为成员方施加了一般情况下允许跨境数据自由流动的强制性义务,充分体现了CPTPP所代表的美式规则高度追求自由开放的立场。但与此同时,出于对其他国家数据主权的尊重,以及平衡重视数据安全和保护的国家利益诉求的需要,也设定了两项例外条件,允许各成员方在一定情况下采取限制数据流动的措施。首先,就是该条第一款提到的自主监管权,即各缔约方有权对本国的数据跨境流动设定特别的监管要求。这也是国家数据主权的具体体现,一国对本国境内数据享有排他的管辖权,并可以据此选择适合本国的数据保护监管标准或实施限制数据流动的措施。但尽管在有关条文中并没有明确规定监管措施的限度,结合上下文可以大致推断相应措施至少不应过分阻碍数据流动 [6] 。而另一项例外是该条第三款规定的合法公共政策目标,即允许成员方为实现合法公共政策目标而采取限制数据流动的措施,但同时也要求该措施不能构成歧视或变相贸易限制,且不能超出实现目标所需的必要限度。这一条款是对前述WTO下一般例外的沿袭,但相比WTO条文中明确的列举,CPTPP中的合法公共政策目标这一描述非常抽象模糊,其主要原因是各国在这一问题上的分歧较大,很难确定一个各方一致同意的定义和内涵,但这也使得缔约方有了更多的解释空间,从而可能导致不同缔约方之间理解上的冲突。除此之外,CPTPP针对个人隐私等特殊数据做出了专门的规定,以体现对个人隐私权保护的重视,并更好地与隐私数据保护相关的国际规则相协调 [5] 。
而签订于2019年的USMCA和UJDTA是目前美式规则中的最新进展,也代表了当前国际数字贸易规则的最高标准。相比于CPTPP,USMCA在大多数内容中的严苛程度都进一步提高,重点关注非关税壁垒的削减,加强消费者隐私保护并通过限制网络服务提供者的责任来保护国内的大型数字企业。特别是在跨境数据自由流动这一问题上,USMCA完全删除了前述CPTPP中的两项例外条款,意味着要求数据流动完全彻底的开放,并通过提供更加安全的网络环境和限制网络服务提供者的责任来推动这一目标的实现。而UJDTA延续了USMCA中的重要内容,并进一步加强开放程度,明确了不得征收数字产品的国内税和加密信息通信技术产品的技术保护问题。同时,为了吸引更多的国家加入这一规则体系,对部分极端条款进行了软化,以提高其他成员的接受度 [4] 。
综上所述,美式规则尽管在具体的规定上存在一些差异,但均充分反映了美国在数据流动问题上的核心立场和利益诉求,即寻求高度自由的数据流动和更加全面深入的数字贸易开放,以此便利其对他国数据的获取,进一步提升自身的数字技术水平,从而巩固自己在全球数字经济竞争中的领先地位。
3.2.2. 欧式规则
欧式模板主要以《通用数据保护条例》(GDPR)和以《欧盟日本经济伙伴关系协定》(EJEPA)为代表的区域性贸易协定为中心,而其中与数据流动相关的问题则主要规定在GDPR之中
根据GDPR的相关规定,欧盟境内的个人数据对外传输规则包括一般性原则和三项具体规则。一般性原则要求个人数据的对外传输必须符合GDPR的规定,而三项具体规则包括充分性认定,提供适当保障措施或满足特殊情况,欧盟的数据传输必须至少满足其中一项。可以看出,GDPR所设定的数据合规义务是非常严苛的,因此也存在不少意见认为GDPR对数据保护的规定是对欧盟在WTO下义务的违反。其理由就是,目前获得充分性认定的国家数量非常有限,欧盟授予充分性认定的评估程序和标准的合理性与公正性也一直受到怀疑和争议。而在充分性认定范围之外的企业就必须额外提供保障措施或符合特殊情况,这无疑会为这些企业造成大量的时间成本和经济负担,许多欧盟外的企业为了避免合规所带来的损失只能被迫将数据本地化存储在欧盟之内,或在权衡之下选择退出欧盟市场。很显然,GDPR的相应规定对非欧盟企业施加了差别待遇,设置了贸易壁垒,明显违背了GATS中的国民待遇和市场准入要求 [7] 。
EJEPA也充分体现了欧盟的数据保护立场,其实际上并未涉及数据流动要求,而是规定在协定生效后三年内重新评估是否有必要在协定中加入数据自由流动的内容 [8] 。同时明确限制了欧盟境内个人数据的对外传输,但也通过给予日本充分性认证来保证双方之间数字贸易的自由和便利 [9] 。可以看出,欧盟的自贸协定中的数据保护标准仍然是要远远高于CPTPP等规则的。
总体而言,欧盟的规则更加保守和严格。强调在数据自由流动的同时也必须保障数据流动安全。其鲜明特点在于对个人隐私数据保护的高度重视和对文化例外原则的特别强调 [4] 。而欧盟采取这样严格的数据保护规则主要也是基于自身情况和利益需求的考虑。首先,在欧盟的法律体系中,隐私权作为一项基本人权具有非常重要的地位,因此长期以来一直通过严格立法来加以保护。另外,欧盟本土缺少大型的互联网或数字企业,因此更高标准的数据监管措施和更加严格的数据流动控制对本土企业的经济活动并不会造成太大的阻碍,反而有助于抵制美国等的互联网公司侵占欧盟市场,从而保护境内企业的竞争优势,促进其发展 [7] 。
综合上述分析可以看出,美式规则和欧式规则的核心区别就是对数据流动和数据保护的侧重不同。美国强调数据流动的自由,而欧盟强调数据流动的安全。美国更加重视经济发展和商业繁荣,而相反欧盟则认为个人隐私保护的重要性高于商业利益。
然而,美式规则和欧式规则之间的这种分歧也从侧面体现出了当前国际数字贸易规则体系存在的部分弊端。尽管区域贸易协定对数据流动规则建设发挥了重要的作用,但也必须看到其局限性。大多数的数字贸易区域协定涉及的成员方数量有限,其适用范围也就比较狭窄,且内容仍反映少数国家的立场而非平衡大多数国家的需要,各个规则会采取不同的标准,内容也会存在冲突,从而进一步加剧国际数据流动规则的碎片化 [10] 。以WTO为代表的多边规则因其体系的成熟,程序和机制的完善,以及主体的广泛性使得其依然是国际贸易领域的基石和重要平台。因此应当将两者相结合,吸收借鉴区域性贸易协定中的优点和成功之处,改革和完善WTO框架下的数字贸易规则,建立一个合理有效,普遍认可的数据流动规则体系。
另外,当前大多数自贸协定都是在发达国家的主导下制定的,其成员也主要是发达国家。因此,这些自贸协定体现的都是发达国家的利益,而发展中国家被排除在当前国际规则体系之外 [1] 。正因如此,我国目前正在积极寻求在美欧之外建立新的规则体系,以更好的保护发展中国家的利益。
4. 我国的数据流动规则现状
近年来随着我国在国际数字贸易治理体系中的参与度不断加深以及我国数字技术的发展和相关立法的完善,在美式规则和欧式规则之外,代表广大发展中国家利益的中式规则也在不断崛起。总体而言,发达国家,特别是在数字技术和贸易方面占据优势的国家,更倾向于数据的开放和自由流动,而发展中国家则更注重数据监管和控制。因而与美国,日本,欧盟等相比,我国在数据流动问题上的态度也更加保守和谨慎。其背后有我国数字贸易和市场的发展尚不够成熟的原因,也在一定程度上体现了我国主权至上的原则。与大多数的发展中国家相同,我国在数据问题上往往更强调国家主权,特别是数据主权,重视数据安全和国家安全,从而在立法中更倾向于设置较为严格的监管和限制数据流动措施,以保护国家安全和维持市场稳定。正因如此,我国目前加入的跨境数据流动协定并不多,仍然游离在数据流动的国际规则体系之外。在《个人信息保护法》等国内法监管体系之外,我国目前涉及跨境数据流动的国际性规则主要包括两类:双边自贸协定和区域性贸易协定。就双边自贸协定来说,涉及电子商务的协定数量非常少,主要包括与韩国,澳大利亚和新加坡之间的协定。而我国所加入的数字贸易区域性协定也不太多,除目前唯一一个已经对我国正式生效的《区域全面经济伙伴关系协定》(RCEP)之外,我国也已正式申请加入CPTPP和《数字经济伙伴关系协定》(DEPA)。
4.1. RCEP
作为目前亚太地区最重要的自由贸易协定,RCEP在数字贸易方面最大的贡献和突破就是改变了由发达国家单一主导的格局,给予被边缘化的国家更多的反映自身利益诉求的机会,在很大程度上提高了发展中国家在全球数字治理体系中的参与度。相比于其他的区域性贸易协定,RCEP的成员方更加广泛,同时包括发达国家和发展中国家,其数字技术和经济发展的水平也具有很大差别,因此RCEP更加注重平等合作开放包容的理念,希望能够在相互尊重的基础上更好地协调和平衡各国的利益。其制度设计也更具有灵活性,并不施加强制性义务,同时对于不同发展水平的国家给予合理的差别待遇,使成员方拥有更多的自由选择空间 [11] 。
RCEP以数据自由流动作为基本原则,但同时也注重数据安全保护,主要表现就是其扩大了CPTPP的数据流动例外范围,在CPTPP的基础上增设了基本安全利益保护措施这一例外,并且尽管两者都包含合法公共政策目标的例外,RCEP明确规定将合法公共政策的必要性交由实施限制数据流动措施和法规的成员方来决定。另外,RCEP进一步放松了对限制数据流动措施本身的要求,删除了CPTPP中实施的措施不应超出实现政策目标所需的限度这一条件。并且充分关注对不发达国家的利益保护,允许这些在数字经济方面处于弱势的国家享有一定的过渡期,并针对抵制美国等发达国家的长臂管辖进行了相应规定,赋予了成员方更多的根据自身需要监管和控制数据流动的自主权 [12] 。整体而言,体现了追求高度自由的美式规则和强调隐私保护的欧式规则之间的平衡。
4.2. DEPA
DEPA最大的优势在于,它是专门的数字贸易协定,相比较CPTPP等综合性贸易协定而言更加具有针对性和合理性。并且其创新性地采取了模块化形式,16个模块之间相互独立,其总体规定也较为宽松灵活,有利于吸引更多的国家加入。
DEPA的创始国都是CPTPP的成员,因此DEPA的数据流动规定也与CPTPP基本一致,但对CPTPP的例外条款进行了一定程度的限缩,且其独立的模块化体制允许成员方自主选择是否接受相应条款安排。同时,DEPA也关注对个人信息的保护,但并没有设定统一明确的保护标准,而是要求各方以有关的国际标准和原则为基础来建立各自的个人数据保护规则,并强调通过合作促进各国不同规则体制之间的协调和兼容 [13] 。但总体而言,DEPA的数据开放标准依然要高于RCEP,不仅明确规定了可自由流动的数据中包含个人信息,并且排除了RCEP中的基本安全利益这一例外,对数据自由流动的要求更高 [14] 。
5. 对我国数据流动规则的建议
正如前文所述,一切数据流动规则的核心都在于选择数据流动和数据保护之间的平衡点,而合适的平衡点的选择会受到各国国情因素的影响。对我国来说,不加限制的数据传输开放不仅会导致外国数字巨头侵占我国市场,使我国的数字企业面临巨大的生存压力,同时还可能加剧外国的文化入侵,为我国的社会稳定和国家安全等带来严峻挑战。但同时过于严苛的数据保护标准和监管措施一方面会导致数据流动受阻,使得我国与全球数字贸易市场隔绝,脱离数字治理的轨道,影响数字经济的发展和数字技术的提升,另一方面还很可能被视为贸易壁垒或对有关义务的违反而遭到其他国家的抗议甚至是报复,也会影响我国的国际形象。目前我国的跨境数据流动规则仍存在很大空白,因此更应当在借鉴上述比较成熟的国际规则的基础上,制定适合我国的方案。经过前文的分析,不难看出数据流动规则的核心是数据自由流动与数据安全保护之间的平衡,因此我国的规则体系建设也应当重点从这两方面着手。
5.1. 促进数据自由流动
总体而言,我国目前在数据流动方面的态度还是比较谨慎的,不仅体现在我国严格的国内法监管体系中,同时也能从我国加入的数据流动国际规则之少看出。而这种立场也向外界传递出了一定的负面信息,招致了部分国家的批评和责难。尽管这么做有基于自身国情的合理考虑,但开放是当前数字贸易的大势所趋,一味维持保守的数据流动策略在当今时代下对我国来说将更容易成为一种限制和约束,而非保护。
因此,首当其冲的改革就是进一步提高我国的数字开放水平。首先,应当不断加强与其他国家之间的交流与合作,扩展我国有关数据流动的双边协定数量。其次,要积极参与数据流动和数据保护的国际规则的建设,更多地在相关的国际会议和谈判中发声,从而在国际数字贸易治理体系中掌握更多的话语权,并根据实际情况选择恰当的时机加入合适的数据流动规则,同时抓住这一机会来完善国内立法与国际的接轨,通过更高标准的数据流动规则来倒逼国内相关立法的进步,展现我国开放包容的大国形象。
5.2. 加强数据安全保护
更高水平的数据开放也意味着更高的风险,因此在提高开放程度的同时,也必须以提升自身的数据保护水平作为准备。同时,对于一些特殊的数据,特别是对于国际上重点关注的个人信息和隐私数据,不少国际规则也设定了非常高的保护标准,因此为了更好地对接这些规则,我国也必须在国内法中提高保护标准,明确保护措施。这就要求在充分研究和分析我国已经加入和准备加入的规则条文的基础上,进一步完善与数据保护有关的立法,才能在扩大开放的同时,最大限度地保护我国的国家利益,降低数据安全风险。具体而言,有必要建立和完善数据分级分类管理体系,对于普通的信息应当保证其自由畅通地流动,而对于重要和敏感的信息必须经过严格充分的安全评估,评估认为不能出境的则必须制定有效的保护措施,如本地化储存等 [15] 。同时可以考虑采取负面清单的管理模式,不仅有利于简化审查,节约时间和成本,同时也能使得境内外的企业或个人能够更加清晰明确的把握数据流动的要求。
6. 结语
在当今时代,数字贸易已经成为拉动经济增长最强劲的一股力量,受到了各国的高度重视。我国也在最新的十四五规划中重点强调了应当加快贸易数字化发展,积极构建良好的国际合作环境,并进一步强调建立数据跨境流动和隐私保护规则的重要性3。尽管目前国际上多边数据规则体系尚未完全建立,但各国都在积极促进其形成,同时代表不同国家利益的区域性数据规则也在不断增加和完善。随着加入CPTPP和DEPA申请的提出以及RCEP的生效,我国正处于探索与转变数字经济治理模式的关键时期。在这一节点上,制定和出台符合我国国情和现实需要的跨境数据流动规则有助于我国更好地融入全球数字治理体系,并掌握国际数字贸易问题相关谈判的话语权。
NOTES
1U. S. International Trade Commission, Global Digital Trade 1: Market Opportunities and Key Foreign Trade Restrictions, 2017.
2OECD, WTO, IMF, Handbook on Measuring Digital Trade, version 1, 2020.
3《国务院关于印发“十四五”数字经济发展规划的通知》,国发[2021] 29号。