戴 龙
(中国政法大学 国际法学院,北京 100088)
以互联网和数字技术为载体的数字经济已经成为继农业经济、工业经济、信息经济之后的新经济发展模式。在数字经济时代,依托互联网、大数据、云计算和人工智能技术的新兴数字产业蓬勃兴起,既给世界各国带来发展的机遇,也给国家间贸易往来和规则制定带来新的挑战。由于数字贸易改写了传统货物、服务和知识产权贸易的形态,也产生了不同于传统关税壁垒和非关税壁垒的新型数字贸易壁垒。现有世界贸易组织(WTO)规则在应对新型数字贸易壁垒方面显得力不从心,而自2001年开始的多哈回合谈判事实上处于停滞局面。在这一背景下,发达国家主导并达成以《跨太平洋伙伴关系全面进步协定》(CPTPP)《欧盟日本经济伙伴关系协定》(EPA)《美墨加协定》(USMCA)《一般数据保护条例》(GDPR)为代表的新型区域贸易协定或条例,确立了规范跨境数据流动、个人隐私保护和推动数字经济发展的新型贸易规则。中国作为当今世界的数字经济大国,应当在推动数据流动和隐私保护的多边或区域谈判中发挥主导作用,构建促进国家网络安全、企业公平竞争及个人信息保护协调发展的新型数字贸易规则。
在数字经济时代,数据、信息的自由流动既是数字经济产业发展的需要,也是经济全球化和数字产业化的必然结果。但是,数字经济和贸易发展所需要的大量数据中有很大部分关系到公共通信、能源、交通、水利、金融和公共服务部门的基础性信息,没有限制的数据和信息流动可能会对国家安全造成重大影响,黑客攻击会令个人财产面临巨大安全威胁,甚至威胁国家安全。为了保障国家网络空间、基础设施和公共服务领域的安全,防范个人数据泄露所造成的国民财产损失,国家对相关网络的外部接入和数据流动实行限制就很有必要的。
事实上,很多国家通过国内立法规定了数据境内存储和数据流量限制等规制措施。例如,俄罗斯立法要求本国公民的电子通讯和社交网络数据需进行本地化,对于不执行该规定的企业网络管理部门,规制部门有权限制访问甚至封锁该网站;澳大利亚要求对医疗信息进行本地化存储,系统运营商需保证自身和其他人都不在澳大利亚境外保存、持有、加工或处理相关信息;加拿大的英属哥伦比亚和新斯科舍两个省规定,对来自医院、学校等公共部门的信息不可以从境外进行访问;新加坡政府从2017 年5 月起禁止公务电脑上网[1]。《中华人民共和国网络安全法》第37条也规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”
当众多国家在其国内法中规定数据流动限制或数据流量限制后,无疑不利于世界范围内的数据自由流动,给依据数据流动进行商业运营和国际贸易的数字技术型企业造成极大困扰,加大了运营及合规成本。USITC的《美国和全球经济中的数字贸易》报告显示,大型数字技术型企业中,有22%的数字内容企业、24%的数字社交企业、25%的批发企业认为,消除国际数字贸易壁垒后,企业收益将增长15%以上[2]。事实上,数据本地化存储、数据跨境流动限制、数据流量限制以及公开源代码和加密密钥,正在成为数字经济时代的新型数字贸易壁垒。数据本地化存储是国家强制要求对数据的本地控制和规制,具体包括本地储存、本地储存和处理、禁止转发。数据本地化措施会导致数字技术型公司无法开展某些工作,或者无法向国外传递或储存信息,从根本上限制了数字贸易的开展。跨境数据流动限制导致企业开展贸易行为并非依据与对方当事人之间的合意,使得挑选出的合作企业往往不是开展该贸易行为的最佳选择,违背了自由贸易的精神。开放源代码和加密密钥实际上是要求外国投资者在进入本国市场之前提供商业源代码或加密密钥,以此作为外国投资者进入市场的先决条件,这种要求很可能会使投资者的商业秘密被泄露,会使外国投资者在竞争中处于不利地位[3]。
WTO是在20世纪末达成的覆盖货物、服务和知识产权贸易的一揽子多边贸易协定,在长达八年的乌拉圭回合谈判中,虽然数字贸易已经初显端倪,但当年的数字贸易还没有今天这么重要,也没有显示出当前面临的诸多问题。WTO框架下的《服务贸易总协定》(GATS)《与贸易有关的知识产权协定》(TRIPS)中对与数字经济有关事项进行了相应的安排,但远不能适应数字经济快速发展的需要。1996年,在新加坡部长会议上29个成员国签署了《关于信息技术产品贸易的部长宣言》,该宣言及其所附的产品清单被称为《信息技术产品协定》(ITA)。在数字技术快速发展和信息技术产品范围不断扩大的情况下,2015年12月16日,WTO扩大了ITA产品范围,参加各方在肯尼亚内罗毕宣布达成协议,并发表了《关于扩大信息技术产品贸易的部长宣言》和《关于扩大信息技术产品贸易的部长申明》。通过ITA,成员方承诺对列入所附产品清单的信息技术产品实行零关税。自1998年开始,WTO发表了《全球电子商务宣言》(DGEC),各方贸易部长认识到全球电子商务正在增长并产生新的贸易机会,承诺对电子传输暂时免征关税[4]。此后,各届WTO部长会议宣言都延续了对电子传输暂时免征关税的承诺。但自多哈回合以来,由于多边贸易谈判遭遇挫折,延续了十数年的多哈回合谈判收效甚微,在数字贸易方面仍然停留在当初的协定水平上。
WTO形成了比较成熟的多边货物贸易规则,但WTO在涉及服务贸易的多边规则制定上才刚刚起步。以传统收支平衡方式衡量,2014年,服务贸易已经达到全球贸易的20%;而以增值标准进行的贸易统计,服务贸易已占全球贸易的50%左右[5]。由于新型数字经济产业主要体现在服务贸易领域,国际社会在关于服务贸易规则方面的供给不足已经制约了服务贸易的发展,GATS框架下的服务贸易多边规则也显得力不从心,表现在以下三个方面:
第一,虽然GATS列举了服务贸易的四种模式(跨境提供、境外消费、商业存在、自然人移动),并规定了成员方对其他成员方的服务和服务提供者承担的一般性义务和具体承诺义务,但GATS当初没有预见也没法涵盖当下数字贸易中的新模式,对数字贸易和新型服务准入也没有作出有效的安排。突出表现在,随着数字经济的快速发展,数字技术融入制造终端产品的现象越来越普遍,所谓“嵌入货物中的服务”成为一种新的服务贸易模式,而GATS无法覆盖这种非直接的服务价值附加型贸易[6]。在“美国影响跨境提供博彩服务措施案”[7]和“中国影响贸易权和视听娱乐出版物分销服务案”[8]中,WTO争端解决机构有意将成员方在原来作出服务承诺的基础上,扩大到后来产生的新型服务产品,但这并不必然表明GATS可以当然地覆盖其制定当初尚未出现和无法预测的新型服务部门。在“美国影响跨境提供博彩服务措施案”中,虽然美国主张其并没有承诺线上博彩业的市场准入待遇,WTO争端解决机制还是将其作出的线下博彩市场准入承诺拓展适用于跨境线上博彩业务。在“中国影响贸易权和视听娱乐出版物分销服务案”中,争议焦点在于中国入世议定书中关于“视听服务”的“录音分销服务”的准入承诺是否涵盖非实体形式录音产品的网络发行,WTO争端解决机构裁决认为“视听产品”不限于有形产品,还包括无形产品和服务。
第二,新形势下,数字贸易的一大特点是将大量的可数字化产品(书刊、音乐、电影、游戏等)通过互联网实现了在线交易和传输,贸易的主要障碍已不再是关税,而演变成名目繁多的“边境后措施”,包括对跨境数据流动和网络准入的规制。尽管GATS《关于电信服务附件》规定了成员方应当保证其他成员的服务提供者可以按照合理和非歧视原则进入和使用其公共电信传输网络和服务,在其境内或跨境传输信息,但仍以成员方提供的减让表中已经作出承诺义务为前提,并且成员方保留为保证信息安全和机密性而采取必要措施的权利。此外,GATS第14条给成员方基于一般例外和安全例外留下了比较宽泛的豁免理由,成员方据此可以维护公共道德、生命健康、个人信息保护或以国家安全利益等为由,实施不符合其承诺义务的限制措施。因此,GATS及其附件虽然在一定程度上解决了跨境服务贸易的非歧视待遇和防止利用垄断电信企业限制竞争的问题,但远不足以应对数字经济背景下新型服务贸易和数据流动限制等问题。在“美国影响跨境提供博彩服务措施案”中,虽然WTO争端解决机构裁定美国限制安提瓜线上博彩业市场准入的做法违反了GATS,但美国败诉后却想方设法规避执行裁决,WTO争端解决机构又就执行问题进行多次仲裁,最后授权安提瓜对美国实行报复性措施。但是,以安提瓜的经济体量而言,这种报复对美国的影响几乎可以忽略不计。
第三,虽然WTO成立后制定的ITA协定承诺对电子信息类产品免征关税,并通过《全球电子商务宣言》(DGEC)宣布对电子传输暂时免征关税,但这两个协定、宣言都存在着固有的缺陷。首先,ITA协定是诸边贸易协定,只对签署该协定的部分成员适用,而WTO成员中还有很多没有签署该协定的成员方并不受其约束。其次,ITA协定仍然局限于电子信息类产品,也就是说针对具有明确物质载体的电子信息产品实行零关税,对于新型的借助网络传输实现虚拟数字产品的贸易并不适用。最后,DGEC目前还仅限于对电子商务活动中的电子传输暂时免征关税,没有解决电子传输数字产品的法律定性和各国针对数据传输可能采取限制的问题。DGEC本身只是WTO理事会的宣言,并不具备多边贸易协定的强制性约束力,只是一个临时性的决定。
在WTO不足以应对新型数字贸易壁垒的背景下,发达国家率先启动了涉及新型服务贸易的区域性贸易谈判。美国退出TPP后,由日本主导的CPTTP,欧盟和日本签署的EPA,美国主导修订的USMCA,以及欧盟出台的GDPR,都对新型服务贸易的数字流动和电子商务等作出规定。具体来说,以CPTPP、EPA和USMCA为代表的新型自由贸易协定将大量“边境后措施”纳入到协议谈判中,并作为协定重要成果要求各成员方执行。从边境贸易壁垒措施逐步深入影响成员国内部的制度和政策,力求实质性地提高全球市场的开放程度,是这些新型自由贸易协定的一个鲜明特征。而新型区域贸易协定中关于数字贸易壁垒的应对措施主要集中于服务贸易和数据自由流动部分。
在探讨新型服务贸易新规则时,不可忽视的是美国奥巴马政府时期启动的《服务贸易协定》(TISA)谈判[9]。而特朗普政府上台后,TISA谈判事实上陷于停滞,但其所代表的先进理念,对后续的大型区域贸易协定谈判产生了深远的影响,其核心内容在USMCA、CPTPP及美国主导的新型协定中均有所体现。新型区域贸易协定的国际服务贸易规则主要体现在三个方面:服务业开放承诺采用的模式、金融和电信业两大重要服务部门的开放、政策透明度和规制措施。
第一,在承诺模式的采用上,新型服务贸易规则的形成经历了从GATS的正面清单模式,到TISA谈判中对服务部门采取正面清单且对国民待遇采取负面清单的混合模式,最终转变为CPTPP、EPA及USMCA在服务贸易和投资领域均采用负面清单模式,并在服务业部门实行准入前国民待遇。值得一提的是,TISA自谈判时起,在创立的负面清单基础上平行适用“冻结条款”“棘轮条款”规则,也被后来者如USMCA、CPTPP相继采用。
第二,在金融和电信领域的开放上,CPTPP、USMCA 将“金融服务”“电信服务”单独设章,EPA虽然没有单独设立章节,但也将二者以分项的形式列入协议文本。在金融服务部分,三者皆规定了国民待遇、最惠国待遇、市场准入等条款,USMCA中还包含了对金融服务市场自由化,以及为美国金融机构、投资者和跨境金融服务贸易提供公平竞争环境等方面的承诺,代表了目前金融服务贸易领域开放的最高水平。USMCA增加了跨境金融信息的自由转移条款,但与“数字贸易”一章中的数据跨境转移规则有所不同,该条款赋予了缔约方基于特定目的采取限制性措施的权利。同时,USMCA禁止金融数据存储本地化,但服务提供商应当确保规制机构能够及时、充分获得相应信息。在电信服务部分,CPTPP、USMCA对电信网络的接入和使用进行了规范和承诺,规定缔约方应确保另一方的任何企业能够访问和使用任何公共电信网络或服务,用于企业境内和跨境的信息传输。
第三,在服务贸易领域的透明度及规制政策安排方面,新型贸易协定均通过相应规则明确各成员方提高透明度、协调统一规制以降低服务成本的义务。在规制一致性方面,CPTPP提倡在金融服务标准中采纳国际公认的标准和规制,执行和适用国际反逃税和反避税问题的规则,以达到国际社会各国金融规制体制下的平衡与协调,促进金融市场的进一步自由化。而USMCA进一步优化了跨境金融服务贸易的审慎例外条款,明确了法律适用上的例外属性、扩大了审慎例外抗辩范围,即以“负面清单”模式列明不可采用审慎例外抗辩的领域。EPA加强了日本与欧盟间的规制合作,降低日本与欧盟存在的过度或双重检测,以及资质要求和行业规制不一致等问题[10]。
新型区域贸易协定中的数字贸易规则大致可分为以美国为代表的“开放派”和以欧盟为代表的“保守派”两种。二者在诸如禁止数据强制本地化、禁止强制披露源代码、承认电子签名法律效力等内容上立场趋同,但对于数据跨境流动与个人信息及隐私保护规则的态度却呈现较大差异。
1.追求跨境数据流动高标准的“开放派”——以CPTPP与USMCA为例
以集中反映美国利益诉求的原TPP(现为CPTPP)和USMCA协定为代表,其数字贸易规则构建主要从以下三方面着手:推动数字服务贸易赖以生存的数据流动、保护数字产品的知识产权及提高各国在数字产业的市场准入水平、极高的开放程度和严格的保护标准。CPTPP基本延续了原TPP“电子商务”章节中对数字贸易的规制内容。
USMCA新增“数字贸易”一章,代替CPTPP中的“电子商务”章节,并增加了新的规则,形成当今国际贸易协定中规范数字贸易的最新及最高标准,为美国具有竞争优势的创新数字产品和服务在扩大贸易和投资方面提供了坚实的基础。除了在允许数据跨境流动、数据存储非强制本地化、不得强制公开源代码和算法、禁止对电子传输产品征收关税或实施其他歧视性措施,确保供应商不受限制使用电子认证或电子签名,确保可执行的消费者保护等方面与CPTPP保持一致外,USMCA在确保数据自由跨境流动方面尤其煞费苦心:一方面,USMCA删除了原TPP中规定的“跨境数据自由流动”及“数据存储非强制本地化”等数据流动规则的“例外条款”,即无论缔约方是出于国家公共安全还是各自的规制要求,都不能妨碍USMCA所定义的“跨境数据自由流动”,表明美国希望通过自己的强势规则来确立其世界霸主地位和经济主导权力[11];另一方面,USMCA还新增促进打击网络安全挑战的合作,并通过推广行业最佳实践来实现网络与服务安全、促进政府公共数据的开放,以及限制互联网平台对其托管或处理的第三方内容的民事责任,从而为互联网服务提供商创造宽松的制度环境等内容,力求推动更广泛的数据跨境流动[12]。
2.构建严格数据保护态势的“保守派”——以EPA与GDPR为例
与美国形成鲜明对比的是,欧盟对于个人数据跨境流动的自由化态度相对保守,以日本欧盟EPA、欧盟GDPR为代表的数字贸易规则呈现对数据的严格保护态势。究其原因,一是源自长期历史发展中欧洲对个人信息权、隐私权等人权衍生性权利实施强保护立法;二是基于欧盟目前大型互联网企业稀缺的客观情况,为弥补数字领域的竞争劣势,尽快培育并发展本土互联网企业,欧盟希望依靠严格的数据跨境流动规则抵制美、中等国的互联网公司对欧盟境内数字市场的侵占。
2018年5月25日起正式实施的《一般数据保护条例》(GDPR)将欧盟在全球数字贸易领域的战略目标和政策安排体现得淋漓尽致。GDPR分别设专章对“数据主体权利”“个人数据向第三国或国际组织的传输”(即数据跨境流动)进行规定,创造了适应于数字经济时代的数据流动和信息保护法律,旨在平衡保护公民个人信息和鼓励、支持数据经济发展。GDPR的数据跨境传输规则分为一般性原则和四项具体数据传输规则。一般性原则界定了个人数据仅在符合GDPR规定的前提下才可以传输给第三国或者国际组织。具体数据传输规则规定了“基于充分性决定”“提供适当保障措施”“有约束力的公司规则”“特殊情况下的例外”的四种传输方式[13]。可见,GDPR从国家(地区)层面到跨国公司层面,再到个别例外层面,欧盟为各种规模的数据传输都制定了明确的规则,力图保证个人数据的跨境自由流动。同时,对大规模、经常性的数据跨境传输通常适用“充分性认定”“适当保障措施”两种规则,将符合规则的条件认定赋予欧盟权力机构,体现了欧盟试图通过规则构建来加强自身在世界数字贸易中对个人数据进行控制的意图。
在EPA“电子商务”章节中,日本与欧盟仅承诺了禁止强制转移或获取源代码、对电子信息传输免征关税、承认电子认证和电子签名条款的法律有效性、要求双方应采取或维持措施使消费者有权拒绝接收垃圾电子商业信息或使这些信息最小化等内容,属于与CPTPP、USMCA两协定的共同规则。除此以外,欧盟并未在数据本地化及数据自由跨境流动方面作出让步。日本欧盟EPA的电子商务标准并未超过CPTPP及USMCA中成员方的承诺水平。然而,2018年9月,欧盟委员会(EC)于布鲁塞尔对日本启动了“充分性决定”审查程序,并于2019年1月确认对日本适用“充分性决定”[14]。这样一来,2019年2月生效实施的EPA成为欧盟首次与第三国在相互承认已达到充分保护标准的基础上缔结的协议。双方约定互相将对方的数据保护系统视为“同等有效”,允许双方自由传输数据,即“建立一个数据安全流通区”作为对EPA协议关于数据跨境传输内容的有效补充。
虽然数字经济的蓬勃发展给世界各国带来新一轮发展机会,但数字贸易也带来了多边框架下的诸多问题。在多边贸易谈判停滞不前的背景下,以CPTPP、EPA和USMCA为代表的区域性贸易协定创设了适应数字贸易发展的规则设计,GDRP则创设了平衡数据自由流动与隐私保护的新型数据流动规则,其积极意义不容否定。中国作为多边贸易体制的受益者,应当利用WTO的多边谈判体制,积极引导设置各国都普遍关注的数字贸易壁垒议题,开展适应数字经济发展的新型贸易规则的谈判。
当前,包括中国、欧盟等多数国家提出了改革WTO的方案,其中构建多边数字贸易规则成为一项主要内容[15]。解决当下多边贸易体制中缺乏数字贸易规则的方案应当包含两部分,一是确保解决直接影响国际货物和服务贸易的数字壁垒问题,二是涉及政府如何更广泛地监管跨境数据流动问题[16]。当前,WTO多边协定的问题之一是缺乏对应数字贸易壁垒的规范,而新型区域贸易协定的缺陷是其适用范围有限。因此,解决国际数字贸易规则制度供给的关键在于,吸纳大型区域性贸易协定中已经获得共识的数字贸易规则,利用并细化GATS协定中已经构建的服务贸易模式、市场准入和国民待遇原则,发挥WTO多边贸易的争端解决机制,解决影响国际货物和服务贸易的数字壁垒问题。
现有的GATS只适用于成员方作出自由化承诺的部门,对于是否能够适用于新型在线服务贸易并不确定,相反,《关税和贸易总协定》(GATT)框架下的最惠国待遇和国民待遇原则适用于所有商品的关税减让承诺,对于规制在线贸易而言是一个更加先进的规则体系。GATS规定的跨境提供模式适用于消费者和服务提供者都不发生越境、服务本身通过互联网或电信网络越境传输到消费者所在地的贸易模式。澄清GATS适用于在线分销服务是一个比较可行的方案,这有利于解决数字产品在线跨境交易这一新型贸易模式中面临的问题。在这一问题上,CPTTP规定不对电子传输,包括通过电子方式传输的内容课征关税。不对数字产品征税的措施极具先进性,顺应了数字贸易发展的需要。至于包含在一国出口商品中的、有国内中间服务投入的服务出口,即所谓“嵌入货物中的服务”,虽然构成部分科技产品的高附加价值,仍然可以纳入货物之中,可以适用GATT更具约束力的国民待遇和最惠国待遇原则[17]。顺应数字经济发展的需要,在构建促进降低数字贸易壁垒多边体制的同时,还需要给成员方在跨境数据流动的规制中留下足够的余地。事实上,在GATS现有第14条的一般例外和第14条之二的安全例外条款中,已经为成员方保留与其普遍性承诺和具体承诺不相符的措施留下足够的豁免余地。这一制度安排完全可以适用于新型数字贸易领域,在符合GATS一般例外和安全例外条款的情形下,WTO成员方可以借此实施跨境数据流动限制和个人信息保护等规制措施。据此,《中华人民共和国网络安全法》第37条规定,关键信息基础设施的运营者应当将其在境内运营中收集和产生的个人信息和重要数据在境内存储,这一情况可以依据GATS的安全例外条款得到豁免。
数字经济的快速发展对国际贸易的影响,还体现在对GATS成员方进行服务开放承诺的正面清单模式的挑战。WTO成员方仅在GATS承诺减让表中所列部门里承担有限的市场准入和国民待遇义务,而在诸如GATS谈判时没有预见到的数字经济贸易等方面,实际上赋予了成员方可以采取相应限制措施的权力。在CPTPP、USMCA等新型贸易协定中已经使用更加先进的负面清单模式,来实现更大程度的贸易和投资自由化。负面清单模式能够自动适应国家法律、法规中进一步自由化改革的要求,促进更大程度的贸易和投资自由化。而正面清单模式会使得成员国的减让义务冻结在当初承诺的水平上,进一步的自由化需要更高成本的协商谈判。因此,在新型服务贸易谈判时引入负面清单模式,允许成员方在有限承诺中排除部分关系国计民生或社会基础服务领域的自由化义务,将不属于这一领域的多数产业数字化部门纳入成员方不得实施影响国际货物和服务贸易的数据流动限制,也不得要求数据本地化相关措施,在很大程度上能够解决当前大量的数字贸易壁垒问题。
在负面清单模式下,成员方实施数据流动规制主要是基于国家安全、公共道德和防止本国公民隐私数据泄露等合法理由。这符合GATS第14条一般例外条款中关于成员方实施基于“保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性”及保护安全的法律或措施,以及第14条之二的安全例外条款中关于“要求任何成员提供其认为如披露则会违背其根本安全利益所必需的任何信息”。可见,GATS第14条的一般例外和安全例外条款为成员国在数字贸易中对可能影响国家安全而进行的网络国家安全审查留下余地。因此,在新型服务贸易谈判中引入负面清单模式,并不是完全禁止成员方实施跨境数据流动限制,而是将其纳入到GATS的一般例外和安全例外条款框架下,防范成员方实施任意或不合理歧视的手段或者构成对数字贸易的变相限制措施。
2018年通过的《中华人民共和国外商投资法》明确规定了“国家对外商投资实行准入前国民待遇加负面清单管理制度”,确立了中国接受这一新型贸易和投资模式的法律依据。接下来中国应该推动将“准入前国民待遇加负面清单管理制度”模式纳入服务贸易谈判议题中。中国数字经济的规模和发展水平使得中国不仅具备接受“准入前国民待遇加负面清单”模式的条件,而且这种新型规制理念的引入并不妨碍中国实施必要的安全规制。
数字贸易给各国带来发展机遇,同时也给世界各国带来规制的挑战。数字贸易带来的挑战集中在三个方面:国家层面,数字贸易发展需要各国之间的数据自由流动,而没有限制的数据自由流动会给国家安全带来严峻挑战,而过度强调国家安全的严格规制又会阻碍数字贸易的发展;企业层面,数字经济发展具有“赢家通吃”的自然垄断倾向,大量数据会被极少数数字巨头所掌控,这种数据集中化不可避免地产生数据垄断的相关问题,但如何平衡数字技术创新、数据自由流动效率和公平竞争相协调,是一个悬而未决的竞争规制问题;个人层面,由于数据涉及普通个人的隐私信息,数据自由流动可能产生个人数据泄露和隐私保护的严重问题,但不加区分的个人信息保护也存在加大数字技术型企业合规成本、阻碍数据流动和数据有效利用的问题。
1.数据自由流动与国家安全审查的协调
数据自由流动与国家安全审查在本质上是网络空间安全治理问题,世界各国侧重于从公法角度对网络空间主权、国家安全以及数据安全进行维护。《中华人民共和国国家安全法》确立的国家安全审查制度,《中华人民共和国网络安全法》确立的网络安全等级保护制度、关键信息基础设施重点保护制度和个人信息保护制度,都是对网络安全治理的制度回应。基于国家安全而进行的数据流动限制和安全审查制度,也符合GATS的安全例外条款。但是,当前中国数据立法更侧重于从安全规制和审查角度构建数据安全保护制度,在促进数据自由流动和降低数字贸易壁垒方面尚没有予以足够的重视。2020年,中国将启动个人信息保护法和数据安全法的起草。新的数据安全法应当吸纳新型区域贸易协定和欧盟GDPR的有益经验,建立促进数据自由流动和维护数据安全相协调的法律制度。
2.数据垄断与公平竞争的协调
数据垄断与公平竞争的协调问题是各国反垄断法律制度面临的新型挑战。传统反垄断法诞生于工业经济时代,主要解决工业企业从事共谋、滥用以及经济力量集中所导致的市场失灵问题。传统反垄断法在数字经济时代遭遇的重大挑战在于,传统反垄断法的分析方法很难应对以网络平台为中心的数据竞争的新问题,如算法合谋、算法歧视、数据集中、技术创新等。德国在《反限制竞争法》第九次修订时新增规定,存在多边市场或网络效应的情况下,认定企业市场支配地位时,应考虑企业拥有竞争的相关数据、基于网络效应的经济规模、创新驱动的竞争压力等新型考虑因素[18]。中国2017年新修订的《中华人民共和国反不正当竞争法》增设了关于互联网不正当竞争行为规制的所谓“互联网专条”。国家市场监督管理总局于2019年10月公布的《中华人民共和国反垄断法(修订草案)》(以下简称《反垄断法》)征求意见稿也引入关于互联网领域经营者具有市场支配地位的新型认定因素。但是,无论是“互联网专条”还是《反垄断法》征求意见稿都强调竞争规制,并未对数据自由流动带来的技术创新和经济效率给予足够的重视,也未能提供推动数据自由流动和公平竞争相平衡的制度抓手,这正是当前中国竞争政策立法需要高度关注的重大问题。
3.数据信息流动与隐私保护的协调
中国现有法律尚缺乏关于数据安全和数据利用、个人信息保护和合理利用的统筹考虑,对个人信息保护的赋权也多有不全面之处。例如,《中华人民共和国网络安全法》规定了对关键信息基础设施的个人数据禁止对外传输,但不加分类的个人数据信息流动限制可能会阻碍正常的数据传输和数字贸易的发展。《中华人民共和国网络安全法》第43条规定了个人信息删除权和信息更正权,个人行使这一权利的前提是网络运营者违法或违反约定收集、使用个人信息,或者网络运营者收集、存储的个人信息有误,而实践中广泛存在的问题是个人在使用网络软件时可能被迫作出同意收集的决定,否则无法使用软件,要用户证明网络运营者违法收集个人信息实践中也将面临巨大的举证困难。《中华人民共和国电子商务法》虽然规定了电子商务经营者根据用户申请履行个人信息查询、更正或删除的相关制度,但无法覆盖实践层面大量的其他非电商软件或APP运营者的个人信息收集、查询、更正或删除。
CPTPP、EPA和USMCA确立的区域性数据流动规则,以及GDPR确立的欧盟数据保护新规则,都是适应数字经济和贸易发展需要,代表了21世纪国际贸易规则制定的高标准,对推动个人隐私保护和促进数字贸易的平衡具有积极的意义。涉及网络空间安全和隐私保护的立法应当确立鼓励数据自由流动的基本立场,对关键信息基础设施中存储的个人信息应当进行分类,只对其中涉及个人性格取向、健康状态、职业特征等相关敏感数据实行跨境传输许可制度,将不属于这一类的大量非敏感数据划入允许数据自由流动和非本地化存储的范畴。针对数据垄断问题,中国《反垄断法》修订时导入评价市场支配地位的相关互联网竞争的新因素是适当的,但还要强调对数字技术创新和经营模式创新的考量因素,构建数字经济时代维护数据共享和公平竞争的法律制度。中国需要加快制定个人信息保护法,纳入GDPR中比较前沿的数据流动管理和隐私保护制度,推动个人数据的分类管理,提高中国数字驱动型企业的合规意识,构建促进数据自由流动和隐私保护相协调的个人信息保护制度。
数字经济的快速发展要求破除数字贸易壁垒,实现世界范围内的数据自由流动,但无限制的数据流动又会给国家安全和个人隐私保护带来很大的隐患,数字经济发展的特点也促使数字市场呈现趋于垄断,产生数字竞争规制的新问题。当前,以CPTPP、EPA、USMCA和GDPR为代表的大型区域贸易协定或条例所达成的关于数据流动、数据本地化和源代码开放的相关规则设计,在推动数字贸易和隐私保护方面具有一定的前瞻性和进步性,对于解决国际贸易中的新型数字壁垒具有积极意义。中国作为多边贸易体制下受益的大国,加之中国数字经济产业已经具有一定的发展水平,推动多边服务贸易体制改革符合中国的利益。在数字贸易规则谈判方面,中国应当在数据流动限制和数据本地化要求等议题设置上发挥主导作用,推动多边框架下促进数字贸易发展的负面清单模式,坚持鼓励数据自由流动的基本立场,将关键信息基础设施中存储的大量非敏感个人数据划入允许数据自由流动和非本地化存储的范畴。中国应当进一步完善国内相关法律法规,构建保障国家网络空间安全、企业公平竞争和个人信息保护相协调的法律制度。