数字化时代跨境数据流动与国际贸易的法律治理

每一次新的技术革命都会推动国际市场发生深刻的变革，第一次工业革命所开创的“蒸汽时代”和第二次工业革命开创的“电气时代”，联通了陆陆、水陆，形成了世界市场，扩大了贸易的地理范围，产生调整运输关系等国际法律规则，推动国际治理的深入化，国家成为参与全球贸易治理的主体之一；第三次工业革命开创的“信息化时代”，交易的网络化、电子化，加深了国家之间的联系，信息产品成为交易对象。随着数字技术的发展，推动传统数字化产品消费变为产品的数字化消费，如2016年远距离服务的交易金额已达到2488美元；2018年统计显示，一些从事跨境数字贸易企业的收入已经超过了不少国家的国民生产总值。世界贸易组织发表的2018年世界贸易报告，以《世界贸易的未来：数字是如何改变全球商务》[1]为题，再次显示出这场数字技术的革命对全球经济带来了根本转变，首次提出数据流动、隐私保护的规则成为数字贸易比较优势的观点。数字贸易依赖于传统贸易方式，但又具有与传统贸易不同的特点，即数字化的订单、数字化平台、数字化的交付等。[2]这场以智能化为代表的第四次工业革命，改变了贸易行为与贸易主体，法律制度也需要做出回应。

一、数字化时代贸易的核心特征

前数字化时代是通过电子化的手段提高交易过程的效率，在国际市场中，各国生产的产品相互竞争，生产、分配、销售各交易环节没有连接在一起，网络与数据成为实现贸易便捷化的工具，1990年国际商会的《国际贸易术语解释通则》承认了电子数据交换（EDI）作为交易凭证的法律效力。进入数字化发展阶段，企业根据本企业顾客的需求及企业自身特点，通过万维网或者物联网平台向消费者提供开发的产品、服务，产品的流通环节与生产环节并联，从而改变市场、消费者、生产者的关系，政府也积极引入数字技术推动智能化治理。在这一背景下，产生新的经济模式，其核心要素是数据的交换。[3]

（一）数字化时代贸易的核心要素是数据

目前国际社会没有普遍接受的“数字经济”定义，Bukht和Heeks在2017年将数字经济分为狭义和广义两类，狭义的定义是指以《电信基础协定》生产的部门和各种数字服务、平台经济服务[4]。广义的定义包括各种数据技术使用，如电子商务、自动化和人工智能，分享经济和在线劳动平台。经济合作与发展组织（以下简称OECD）将数字贸易定义为建立在数据流动基础上的贸易[5]，区分数字贸易的标准是订单是不是购买数据，是否购买信息以及参与交易的主体是谁。但这种分类方法是不能完全厘清数字贸易与传统贸易的区别。数字贸易应该是以平台为基础数字化产品和服务的生态体系，包括传播和持续措施的结合，数据的搜集和数据的流动以及联接使用者的设施，缺一不可，而核心要素就是数据。

数据是以电子化方式存贮的资料，数据获取、分析的基础是数据类型，通常分为名义分类数据、顺序分类数据、等距数据、比率数据，名义数据是带有个性特征的数字化资料，其他类型的数据是用统计等分析工具获取的加工数据。笔者更倾向于Aaronson对数据的分类，即个人数据、公共数据、商业机密数据、机器间传输数据、大数据。[6]这些数据并非都能用于国际贸易，最早纳入法律调整范畴的数据是商业数据，各国通过知识产权法律保护，由于商业数据不能公开，所以法律通常禁止商业机密数据的市场交易。1988年澳大利亚的《隐私法案》将个人数据作为隐私权保护范围，欧盟将个人数据与隐私权保护分离开来，现行法律认为规定个人数据是指与可识别或已识别自然人有关的信息；可识别自然人是可以被直接或者间接的识别，特别是参考识别的特征如姓名、类别化数字、地点数据，在线的身份或者一个或者更多与物理、生理、基因、心理、经济、文化或者社会身份有关的特征。由于大数据是对相关既存数据的分析，实际是将大数据纳入到个人数据和隐私权保护的范畴中。政府数据有公开数据与机密数据，通过一国行政法规作为行政机关的义务以保证其公开性，贸易领域中要求政府遵循透明度原则，公开涉及具体贸易措施的文件。《跨太平洋伙伴关系协定》规定的可流动的数据仅限于个人信息和政府公开文件。

（二）数据化时代贸易的过程是数据的跨境流动

数据跨境流动与贸易联接首先是因为贸易的电子化，即电子商务的发展，提供了跨境的交易，产生了数据的跨境流动。OECD在1980年发布的《关于保护隐私与个人数据跨境流动的指南》中首次提出“跨境数据流动”的概念，其所指仅仅为个人数据。1982年联合国跨国公司中心将跨境数据流动定义为“可被计算机等互联网设备识别的数据跨越国境进行读取、处理、存储等活动”[7]。欧盟《一般数据保护条例》认为跨境数据处理是个人数据的处理、获取行为发生在一个以上成员国的控制者或者处理者之间，或者发生欧盟的一个控制者或者处理者的单一获取行为但该行为实质性的影响或者可能实质性影响一个以上成员国的数据主体。笔者认为由于数据的无形性，传统地理上的国家领土边界，即关境、国籍等不能作为跨境的标志。跨境的数据流动应以数据行为发生地为判断标志，即数据提供者、数据处理者、数据的控制者间的交易行为发生在两个或两个以上的国家境内。

二、国际贸易规则对跨境数据流动治理的现状

在数字化交易时期，国际社会更关注交易的安全，但当数据本身能够成为交易对象时，网络的无国界和数据的滥用行为使政府和民众产生了恐慌的心理。从20世纪六七十年代开始，国家通过制定本国法律平衡个人权利保护和技术、商业数据跨境流动需求，通过设立超越国境的规则，即划定法律上的“跨境边界”，控制网络主权范围，保护国家主权和个人权利。由于国内法的域外管辖适用产生了保护权利的冲突，所以欧美等国家都积极地通过多边自由贸易协议等形式，协调国内政策制定者的立法空间[8]。这些规则区别于一国制定的单向限制本国数据传输至境外的法律法规，而是指为了保护数据安全和确保合理的数据流动，在国际层面达成的关于跨境数据流动的规范和标准。[9]

（一）欧盟主导的跨境数据权保护与贸易协定

欧盟在解决数据跨境流动的自由与安全问题上，采取了两元路线和双重待遇标准。在欧盟内部，主要通过制定欧盟内部统一的法律，将个人数据权利作为一项基本权利，实现欧盟内部的数据自由流动，欧洲议会和欧盟理事会在1995年通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95 /46 /EC号指令》，2018年5月正式产生法律效力的《一般数据保护条例》[10]取代《数据保护指令》，作为协调欧盟各成员国隐私权保护，延续了对欧盟委员会认定具有“充分保护”的国家和区域进行跨境数据传输的一般规则，并且制定了行政处罚的措施。欧盟有对个人信息权严格保护的立法传统，在欧盟国家内部数据的跨境流动以自由为原则。在向境外第三国转让数据时，数据控制者、数据处理者必须得到个人数据主体的同意，同时要求处理者和控制者之间就责任分配的问题进行协商，并且写入合同之中。

但对外时，一方面通过欧盟内部的规则产生的域外效力，影响数据交易的各类私人主体行为；另一方面通过欧盟与外部国家的经济合作谈判推动内部规则的外部化。针对由欧盟国家传输至非欧盟国家的数据行为，第一，通过其内部规则要求跨境数据的处理者、控制者所在的国家必须得到欧盟公共机构的评估与认证。第二，欧盟与少数国家签定了经济合作协定中包含数字贸易的内容，如欧盟与印度尼西亚在2018年签定的协定涉及到跨境数据流动和个人数据隐私保护的条款，规定跨境数据流动中的数据包括个人数据和非个人数据，明确提出禁止跨境数据流动的保护性壁垒，要严格遵守欧盟的数据保护和隐私规则，承认数据权是欧盟基本权利之一且不具有协商性；取消影响数据流动的四类本地化措施，禁止要求在成员国境内使用的计算设施进行强制性认证；数据的强制性本地化措施；禁止在另一成员国地域内存贮和处理数据；其他依靠计算设施完成跨境数据传输的限制。

（二）以美国主导的商业信息自由流动贸易协定

美国认为信息是对数据的处理而获得的资料，个人信息包括个人数据，主张信息不受限制的自由流动，但要求数据控制者确保数据安全。美国最先在双边贸易协定中规定对数字产品免征关税的条款。2015年美国主导的《跨太平洋伙伴关系协定》是第一个在电子商务章节中专门规定数据跨境流动的自由保障和例外条款的多边贸易协定[11]，这为在贸易协定中纳入数据跨境传输的规定提供了参考的范本。

在美国退出上述谈判之后，又将其观点融入到新的协定中，2018年10月30日达成的《美国—加拿大—墨西哥贸易协定》第19章中用了18个条款规定了“数字贸易”的专题，包括算法、投资、计算设施、数字产品的定义，把信息分为政府信息、个人信息，信息内容的提供者、交互式信息提供者、主动商业信息提供者等。第一，数字贸易分为数字产品的贸易，规定了数字产品是计算机程序、文本、影视、图像、录音或者其他通过数字编制、为商业销售或者分销，能够以电子形式传输，要求提供给数字产品非歧视性待遇；第二，保护在线消费者的权利和个人信息，承认在线消费者免受欺诈和欺骗性的商业行为的权利和各国采取国内法保护措施；第三，在个人信息保护问题上，肯定了保护个人信息对数字贸易发展的重要性的同时，要求各成员提高本国国内的立法水平，尽可能地与国际机构的规定保持一致。包括限制收集、选择权、数据质量、意图特定化、使用限制、安全保障、透明度、个人参与和责任，提供给数据使用者非歧视性待遇；第四，承认APEC的自愿保护体系，要求各成员国应该纳入本国的立法中，符合隐私保护标准的企业，被授权在亚太组织成员国之间进行自由数据传输；第五，禁止采取限制或者禁止跨境信息流动自由的措施，禁止本地化计算设施的要求。为了公共政策而采取的措施必须符合GATT第20条的规定，不能构成任意或武断地歧视，且不能超过必要的限度；第六，通过禁止采取限制进入和使用网络，消费者选择服务和应用必须有安全管理措施、不能损害网络安全、可以获得措施的信息。

欧盟确立自身的个人隐私、数据权利保护标准，并积极推动欧盟法律的域外适用，政府通过公权力界入数据的保护，要求数据从个人转移给处理者进行流通环节之前必须满足一定条件。美国则以交易客体为划分依据，建立消费者个人信息与商务经营者之间平等的跨境环境，在保障消费者权利的同时，经营者也有救济的权利；在肯定国内法效力的同时，要求制定统一的标准，通过企业自愿认证的方式加以实施。虽然欧美采取的路径不同，但也有共同点，即认为本地化的数据规则可能构成新的贸易壁垒，越来越重视权衡国家数据主权、信息安全以及信息流动自由之间的关系，进一步促进数据跨境自由流动与保障国内公共数据的平衡。

三、数字化时代跨境数据流动的国际贸易法律治理挑战

根据比较贸易理论，促进数据的跨境流动，贸易各国都可以从中获益。但是在理想贸易模型之下，什么是各国贸易的优势？各国如何获取比较优势？制定怎样的规则才能保证公平的竞争市场？传统国际贸易法律治理的路径，是通过取消或者限制贸易各国采取阻碍贸易自由流动的措施，让资源在国际市场中进行合理的配置，从而接近理想的模型状态。公平竞争的贸易环境给予货物、服务提供者、知识产权所有者以国民待遇和最惠国待遇，这样在货物贸易中，取消或者降低关税，禁止数量限制等非关税壁垒措施；在服务贸易中，逐步取消市场准入限制和给予国民待遇；在技术贸易中，要求各成员国给予最低要求的知识产权保护，等等。那么，跨境数据流动是否存在这些措施？实现数据的跨境流动是否能够带来福利目标的实现？这些都对现存国际贸易法律制度提出了挑战。

（一）贸易自由化与安全目标的实现

自由贸易是当今区域经济组织和WTO共同推进的目标。自由贸易有助于国家利益的实现，各国应提高对外开放水平，取消、削减关税壁垒，减少对国际贸易的限制性影响。[12]在自由贸易环境下，国家仍然会产生利益上的冲突，利益涉及到资源等经济利益、社会利益和安全利益。WTO协定既保证公平贸易环境，同时又将安全例外作为成员方行使义务的豁免。虽然各成员方没有对什么是安全划定明确的界线，但经过分析应该包括经济安全（保障措施、国家收支平衡）、公共道德等。在数字化背景下保障安全成为贸易的首要价值追求，因为网络将各个国家联系在一起，病毒通过网络扩散到各个地方，影响着网络使用者的安全；大数据技术发展，数据实现了大规模集中收集、存储和分析，跨境传输的数据不单局限于个人数据，企业、社会团体、政府数据的大规模传输成为可能。维护数字贸易环境下的网络安全、数字交易安全，既是国家主权的要求，也是保障数字贸易主体权利实现的要求。追求安全价值不是单一国家的任务，而是各国共同的任务。

（二）自由贸易与数据本地化措施

近年来，用户信息大规模泄露事件在全球频繁发生，特别是“斯诺登事件”之后，目前，已有超过60个国家陆续以合理公共政策目标为由出台数据本地化[13]的要求。数据本地化措施包括要求数据必须在当地存贮、数据处理主体的当地成分化要求、禁止某类数据出口等。这些措施在结果上限制了数据的自由出口，但是政府之所以采取这样的措施其目的并非因为阻碍贸易的自由流动。Anupam Chander 和Uyen P. Le在2014年发表一份《数据本地化和全球网络》[14]的报告，研究16个国家的数据本地化措施目的，结果证实这些国家的目的多数是为了防止犯罪行为侵害个人数据和隐私权或者侵害国家的公共安全，也有防止某些国家对海外数据和信息进行监控而损害他国的安全。采取措施的国家希望将数据控制在本国地域范围内，通过行使司法主权对损害公共利益的行为实施必要的刑事或行政性惩罚。

当然这些数据本地化措施确实是阻碍了数据的自由流动，但是否真正能达到对个人信息和国家安全保护的效用存疑。[15]有学者认为，从技术的角度而言，只要服务器接入互联网，存储地点并不能影响数据的安全水平，数据安全实际上并不取决于数据的存储地点，而是数据存储和传输的方式。[16]因此，要求数据本地化措施并不合理，而应以保障数据安全为目标，对数据处理者、控制者施加保障安全传输的义务。这也是欧盟所采取的措施，即评价一个国家、企业是否能够达到提供保证数据处理、控制的安全标准。这种措施虽然没有直接限制数据的出口，但也有其不合理性，因为企业在提供商业服务时往往涉及大量、多次的数据跨境流动，这为企业带来更高的合规成本，从而在一定程度制约了数据的域外传输。

四、调整跨境数据流动国际贸易法律治理的建议

伴随着新技术发展，从传统的机械时代到现代的网络智能时代，跨境数据流动事实上对经济全球化的发展又加注了新的动力。经济全球化的核心是生产要素在全球范围内得到自由、高效率的优化配置和流动，它强调的是包容、普惠、互利、共赢。数字贸易治理的根本原则是缩小技术鸿沟，先进的国家与后进国家应该不冲突，不对抗，双方管控分歧，相互尊重，合作共赢，以此为核心原则形成网络“人类命运共同体”。2018年12月欧盟与日本签定的《经济合作协定》是欧盟与受美国规则影响的两大体系间的首次对话与合作。该协定使用了11个条款为数字贸易制定了框架性的规则，明确了数据跨境流动谈判将在未来三年内完成。我国在世界达沃斯论坛表明积极参与世界贸易组织关于电子商务的谈判，支持数字贸易的多边合作框架，通过共商、共建达成符合数字经济生态环境需求的数据跨境流动贸易规则。

（一）建立贸易环境中的安全原则

对话与协商是网络环境下国际规则制定的方式与程序。促进网络使用者对网络空间的信赖，维护诚信的贸易环境，得到了大多数国家的认可。以欧盟与日本经济合作协定为例，数据跨境流动的贸易环境是各方认为欺诈性的合同或者行为、侵犯个人数据和隐私权是法律或者规则所禁止的。

数字贸易中的数据跨境流动规制体现了国家对自由贸易理论的发展认识，国家在制定和实施国家贸易战略、贸易政策的过程中应以一种动态的、多元的国家利益观为指导。因此出于安全考量对一些政府、公共数据跨境流动进行合理限制是符合自由贸易的发展目标的。目前讨论以WTO法律框架规制一国限制数据跨境流动措施的国际法限度停留在理论层面，迄今为止没有一例通过适用GATS条款解决成员国限制数据跨境政策引发争议的案例。即使是在理论上的适用探讨中，也遇到了许多规制空白和解释困境。美国将金融数据服务排除在外，而欧盟也将WTO裁决的赌博、广播等涉及在线的服务也排除在了数字贸易之外。这些国家都倾向于在现有WTO附件规则之外就数字贸易再行协商。数据跨境流动不依赖有形货物的交易，也不涉及知识产权的保护，但电子商务的在线交易也不能完全排除在服务贸易的范围之外，因此由WTO主导下的多边合作机制是必要的。

（二）通过包容性制度提升各国数字贸易的准入能力

数字贸易必须通过网络设施和平台完成。技术发展水平在国家间的差异性，一些落后国家没有能力分享数字贸易带来的全球福利增长，差距不断地扩大。网络基础设施的垄断性和高额的建设花费，使这些国家负担成本，此外出于对安全的考虑，政府在引进技术时非常慎重。为了解决这一问题，打破网络基础设施供给的壁垒，允许多元主体参与市场的竞争，保障政府的选择权，能够在一定程度上消除顾虑。WTO虽然达成了《基础电信协定》作为服务贸易总协定下的附件，对电信产品关税的降低起到了积极的作用，但禁止或者限制关税措施是不能提高落后国家的参与度。因此，通过谈判，应该减少网络基础设施的准入壁垒，促进数字贸易的便利化。

（三）通过谈判确定跨境数据流动的协调路径

跨境数据流动不是单纯的国内法问题，也不仅是私法的问题。对于兼具有公法和私法特性的法律关系的国际协调，可以选择制定统一的实体法律制度（国际条约）或者制定统一的冲突规范（国际私法规则）。传统国际法理论具有公法性质的措施原则上只能在本国地域范围内有效，那么在另一国获得承认的前提也是不能与本国的公共秩序相抵触。对于数据的保护，越来越倾向于纳入公法控制的范畴，这种公私兼有的领域是其他类型权利的保护所没有的。

在利益错综复杂的数字贸易领域，制定统一的实体法律制度，约束或者统一各国政府对该领域的干预标准，必须在实质问题上取得一致共识的前提下才得以实现。WTO成员方在2012年开始尝试在WTO协定之外达成一份国际服务贸易协定的补充协议，讨论数据跨境流动问题。谈判各方在数据保护的政策目标存在着很大的分歧，欧盟要求遵循WTO的基本义务并承认国内法措施的合法性；美国不认为WTO现行的规定应该适用于数据贸易，各成员方应该保障商业信息的自由流动，特别是取消数据本地化措施；日本主张自由流动仅限于数字编码信息；我国代表发展中国家提出了保障各国的平等参与权，促进贸易的便利化。这些分歧使统一实体规则的谈判停滞。

在2018年欧盟与日本签定的《经济合作协定》中，我们看到主要国家和地区观点的妥协，为未来实体规则承诺的达成奠定基础。具体表现在：第一，根本原则的一致性；无论美国、欧盟还是日本，都认可数字贸易的根本是增加消费者对于网络环境的认知度和信任度，增强消费者的信心是发展的基础。第二，目标实现有赖于各国的合作；在现行国际贸易法律规则中，只有涉及到数字贸易内容的协定强调国家之间的合作，特别是数据的流动涉及到一国的公共秩序，由于“公共道德”与“公共秩序”本身属于模糊性概念，其内涵和外延都具有不确定性，同时它也是变动性概念，不同时代不同区域对“公共道德、秩序”的界定存在差异，如WTO虽然允许各成员方引用例外条款，但在援引例外条款时无论在条文解释上还是举证责任上都面临相当的困难。因此，各成员方之间的国际合作是必要的。

（四）通过设置跨境数据流动的例外条款作为安全阀

实现跨境数据流动的前提是，保障数字贸易各方主体权利的实现。因为一国实施本地化措施具有合理性，如果完全要求国家禁止使用，以经济利益的获取换取一国国家安全是不对等的。所以，各国应该承认本地化措施的正当性，可以通过国际合作逐步取消直接限制或者将直接限制转为间接限制，由国家直接保持权利转向由国家与市场主体共同承担责任。

例外条款是多边贸易协定项下的重要规定，承担着“安全阀”的作用。一般来说，WTO以促进自由贸易，最小化对贸易的限制为规制目标，各国必须遵守具体承诺。在特殊情况下，当遵守承诺构成对国家利益、人权、环境保护等的威胁时，例外条款即被触发，成为豁免一国贸易限制措施的依据。例外条款作为贸易价值和非贸易价值的平衡手段，具有重要现实意义。在政府对数据跨境流动的市场准入和国民待遇做出承诺的基础上，赋予政府权力，在需要保护其他位阶相同或较高的法益时得以触发例外条款，允许对数据跨境流动的限制，只要该限制措施不构成对贸易的变相限制。例外条款运作的一个重要的意义是区分贸易保护主义和合理保护政策，划清合法保护与非法保护的界限。因此，在适用中如何界定“合理公共政策目标”、如何论证该限制措施是实现公共政策目标所“必要的”、如何判断是否满足序言“非歧视性”是三个关键点。对于“合理公共政策目标”的解释主体与解释方法，可以采取有限制的单边主义解释方法，即：由采取数据本地化措施的国家来定义何为合法公共目标政策，以及该目标政策存在于该国，亦由被诉国承担举证责任证明采取数据本地化措施是为了实现该公共目标政策。判断限制措施是否构成“歧视性”，主要关注政府在实践中是如何实施对数据跨境传输限制措施的。如果一项数据跨境传输的限制措施是针对特定国家，或是对于不同国家适用不同的标准，或是为本地企业提供豁免的，都应当被认定为“歧视性”。

总的看来，国际社会认识到规范各国数据跨境管理行为的重要性，所推行的区域性规则和贸易协定推动了数据跨境流动自由化进程，一定程度上协调了数据流动自由和个人隐私国家安全等政策利益的关系，但在规则的实际运行层面存在一些问题，仍然需要进行国际协商，笔者认为我国应该代表广大发展中国家为营造更加公平、公正、诚信的数字贸易环境，为缩小国家间的数字鸿沟，充分参与国际合作，提升我国网络和数字经济治理的话语权。