数字贸易国际法规则中的国家数据主权问题探析

摘 要：数据主权是数字贸易发展过程当中不可回避的重要问题。在数字贸易中，由于贸易数据本身量大、繁杂，加之买卖双方及其所属国家多方参与，数据流动更加复杂，如果对这一过程中的数据流动不加限制和管理，必然极易对一国的数据主权造成严重打击。在这一背景下，各国都开展了数据主权的法律制度建设，在本国数字贸易战略中表达其诉求，同时还在多边贸易协定中规定数据主权的条款。在这一背景下，我国围绕数字主权的法律制度建设开展了积极探索，并取得了一定立法成果，未来还将继续完善国内法律制度，积极参与国际规则制定以表达本国诉求。

关键词：数字贸易;数据主权

在当前跨国数字贸易飞速发展的形势下，跨国数字贸易带来了大量的跨境数据流动，引起了各国的关注。一方面，为了促进数字经济的发展，倡导数字贸易自由化，各国必然要接受大量数据跨境流动的现状;另一方面，从一国流出的数据鱼龙混杂，一旦某些重要数据流出，势必对国家的数据安全造成影响。在这种情况下，各国在制定与数字贸易相关的双边、多边和国际贸易规则时，都要规定维护国家利益的数据主权条款，从而化解数据跨境流动可能带来的危险或损害。

对于数据主权（Data Sovereignty）这一概念的内涵，目前各界有着不同的认识与理解。综合各种观点，一国的数据主权是指国家在本国数据领域所享有的最高权力，国家有权独立自主地管理、控制并处理其本国数据而不受他国的干涉。

一、数据主权国内立法之分析

（一）数据主权国内立法趋势

前西德的黑森州在1970年通过世界上第一部《数据保护法》，从维护政府安全的角度出发进行立法，这部法律首次体现了国家保护本国数据主权的精神。之后，欧洲各国都相继出台了本国的个人数据保护法以限制个人数据的跨境转移，从维护公民隐私的角度对数据主权进行保护。

当前，世界各国积极进行本国的数据主权法律制度建设，当前的数据主权立法主要呈现出三种发展趋势。

1.对重要数据的跨境出口施加限制

美国、韩国两国立法体现了这种趋势，两国对数据进行分级分类管理，并对其中的重要数据限制出口。美国《出口管理条例》对部分重要数据的进出口实行许可管制，要求必须取得相关部门颁发的许可证才可以出口。韩国《信息通信网络的利用促进与信息保护等相关法》中规定，政府为防止国内产业、经济及科学技术等重要信息泄露国外，可令信息通信服务提供商或使用人采取必要措施。

2.强制数据本地化存储

这一规定对数据安全的保护力度更强，特别是对于部分重要、敏感数据，禁止其离境，典型代表包括俄罗斯和澳大利亚。俄罗斯的数据本地化立法在第242-FZ号联邦法中确定，根据该法，任何存储俄罗斯国民信息的组织，无论是客户还是社交媒体用户，都必须将该数据移至俄罗斯服务器。[1]而且，俄罗斯2014年底通过的《数据本土化法》要求所有搜集俄罗斯公民个人数据的数据控制者都应当将其服务器设置在俄罗斯境内。[2]此外，俄罗斯国家通讯委员会的操作规则要求电子通讯和网络提供商配备数据留存设备实现数据的收集操作并且在服务器上保留87小时以上。澳大利亚则专门针对个人医疗信息作出了禁止出境的立法规定，其2012年《个人控制电子健康记录法案》明文规定不得将（个人电子健康）记录移至澳大利亚境外，也不得在境外加工或处理这些记录。[3]

3.延伸对数据的域外管辖权

除了对本国数据流向国外进行严格规制，当前，部分国家和地区已经在立法实践中主张将对数据的管辖权从属地管辖权变为属人管辖权，以此达到对本国公民和法人在境外数据的管辖，从而延伸对数据的域外管辖权。比如，美国在《美国自由法案中规定，如果出于“保障国家安全”和“打击恐怖主义”两个目的，国家安全局、中央情报局、联邦调查局等机构在向联邦司法部下属的外国情报监控法庭（FISC）申请对嫌疑人进行监控并得到允许之后，仍可以实施电话监控、搜集和留存。[4]也即外国情报监控法庭可对本国犯罪嫌疑人在外国的数据情报进行管理和控制。再如，根据欧盟 2016 年通过的《个人数据保护通用条例》第三条“地域范围”之规定，本法适用于对欧盟内的数据主体的个人数据处理，即使控制者和处理者没有设立在欧盟境内，只要其处理行为发生在向欧盟境内的数据主体提供商品或服务的过程中（无论此项商品或服务是否需要数据主体支付对价）;或是对数据主体发生在欧盟内的行为进行的监控行为。[5]据此，无论企业是否设立于欧盟境内，只要其处理或控制了产生于欧盟境内的个人数据，那么就要受到该条例的约束。

（二）中国数据主权的立法实践

中国对于数据主权问题一直密切关注。近年来，我国紧跟国际立法趋势，也开始着手建立我国的数据主权法律制度。

首先，我国立法提出了网络空间主权原则。2015年7月通过的《国家安全法》首次提出“网络空间主权”，要求维护国家网络空间主权、安全和发展利益。[6]于2017年6月11日起施行的《网络安全法》，再次明确了要“维护网络空间主权”。[7]

第二，我国立法对某些重要数据限制出境。如《保守国家秘密法》规定，任何组织和个人不得邮寄、托运国家秘密载体出境，未经有关主管部门批准，不得携带、传递国家秘密载体出境。[8]

第三，我国规定了对于重要数据的安全审查制度和数据本地化制度。这部分内容集中体现在《网络安全法》中。其一，对于可能影响国家安全的关键信息基础设施产品和服务，有关部门要组织国家安全审查。其二，关键信息基础设施的运营者在中国境内手机和产生的个人信息和重要数据原则上应当在境内存储，确需向境外提供的应当进行安全评估。[9]此外，《网络出版服务管理规定》等行业法律法规也要求相关数据应当在中国境内储存。[10]

第四，我国立法对于数据主权的域外延伸进行了相应规定。《网络安全法》規定：其一，为保护关键信息基础设施的安全，国家对境外的网络安全风险和威胁进行监测、防御和处置;其二，对于来源于境外的危险信息，国家网信部门应当及时通知有关机构采取技术措施和其他必要措施阻断传播;其三，对于从事攻击、侵入、干扰、破坏等危害中国的关键信息基础设施活动的境外机构、组织、个人，国家依法追究法律责任并采取必要的制裁措施。[11]

我国当前的数据主权法律制度建设，在考虑本国实际情况的同时，积极顺应了国际的立法趋势。我国的数据主权法律制度建设还处于起步阶段，当前的相关法律规定为日后相关制度的建设和完善提供了一个坚实的基础，是一个良好的开端，是我国立法围绕数据安全管理开展的有益探索。

二、欧、美、中数字贸易战略中的数据主权诉求

在数据主权问题上，各国除了在其国内立法中对数据跨境流动进行规制，更在其对外公布的数字贸易战略中提出其对于数据主权的诉求，旨在与他国相互交流，为未来国际数字贸易法律制度的制定做铺垫，在保护国家数据主权的前提下，协调各方意见，促进国际数字贸易的发展。

（一）美国

近年来，美国除了在本国的政策文件中发布其数字贸易战略之外，还不断与他国建立区域合作、签署区域自由贸易协定以及制定数字贸易新规则，在国际场合表达自己对于数字贸易的立场并试图将其观点上升为国际法规范。

美国向WTO总理事会提交的新议案（JOB/GC/178）提出了七项议题，其中的保护机密信息和数字安全议题体现了美国在数据主权问题上的立场。

保护机密信息具体包括保护源代码，禁止要求企业强制技术转让以及禁止起施行技术要求。这一议题体现了美国对于本国企业知识产权的保护，通过保护源代码防止企业的商业秘密和数据外泄，以保护本国的经济发展。

数字安全，具体包括确保企业能够使用安全的加密技术，允许政府合法地获取数据，同时确保政府采用基于风险的方法来防止和应对网络安全事件，以此避免对贸易的限制或扭曲。美国认为政府有权获取数据，但其获取应当是合法的，同时强调政府在处理网络安全事件中要用对贸易影响较小的、基于风险的方法。

数字贸易自由化一直以来都是美國在数字贸易政策方面的立场和诉求。一是其对数据的保护主要是从维护企业利益，保护产业发展、经济发展的角度出发的，极少提及国家安全。二是尽管美国赋予政府获取数据并进行网络数据管制的权力，但在其议题中，特别强调的则是要避免其权力行使限制贸易和强调权力行使的合法性，这都体现了美国坚持的贸易自由主张，而对国家数据安全则不予过多表述。

值得一提的是，2017年8月，美国国际贸易委员会发布《全球数字贸易的市场机遇与主要贸易限制》的研究报告将数据保护、网络安全归纳为限制数字贸易发展的主要贸易监管和政策措施。美国不仅不考虑数据主权，甚至将其归入数字贸易的限制因素，希望通过避免不必要的安全措施，来实现数据流动的价值最大化。这份国内报告相较于美国在国际上提出的议题，更激进地体现了其对数字贸易自由化的追求。

（二）欧盟

欧盟对于数据主权的维护由来已久，欧共体理事会早在1981年就出台了《关于个人数据自动处理过程涉及的各国监管机构与跨境数据转移的个人保护公约》。在数据主权问题上，欧盟向来强调对于个人数据的严格保护，这一立场也延伸到了欧盟的数字贸易战略当中。

为了打破欧盟境内的数字市场壁垒，欧盟委员会于2015年5月6日公布了“单一数字市场”（Digital Single Market，DSM）战略的详细规划。“单一数字市场”是指满足以下三项条件的市场：商品、人员、服务和资本可以保证自由流通;居民、个人和商家能无缝衔接且所有线上活动都是在公平竞争条件下进行。单一数字市场是欧盟统一市场、促进贸易、推动经济增长的一项长期而重要的工作，共包括三个支柱：为个人和企业提供更好的数字产品和服务，创造有利于数字网络和服务繁荣发展的有利环境，最大化实现数字经济的增长潜力。其中，创造有利于数字网络和服务繁荣发展的有利环境全方位分析评估搜索引擎、社交媒体、应用商店等在线平台的作用;加强数字化服务领域的安全管理，尤其是个人数据等。这些政策都体现了欧盟对个人数据保护的重视。

整体上来说，欧盟在提出了“欧洲数据自由流动计划”，推动欧盟范围的数据资源自由流动的同时，仍坚持其一贯的对个人数据严格保护的立场。欧盟在一定程度上认可了美国所追求的数字贸易自由化目标，但也呼吁政府加大干预力度，以保护个人隐私。

（三）中国

在《电子商务法》中，中国充分表达了其对于数字主权问题的立场。一方面，国家将电子商务发展纳入国民经济和社会发展规划，促进跨境电子商务发展，鼓励电子商务数据开发应用，保障电子商务数据依法有序自由流动;另一方面，明确规定了对电子商务所涉及的数据信息的保护，有关主管部门应当采取必要措施保护数据信息的安全，对于其中的个人信息、隐私和商业秘密应严格保密，违反个人信息保护规定的将依法受到处罚。[12]

此外，我国在2017年颁布的《中华人民共和国网络安全法》和2015年颁布的《中华人民共和国国家安全法》明确禁止或严格限制常态化跨境信息流动，并强制向具有“关键信息基础设施部门”的公司提出数据本地化要求。这两部法律对于数据跨境流动的限制同样适用于电子商务领域，也即从事电子商务中涉及数据的流动要受到严格的监管、限制，并应当进行相关数据的本地留存。

面对我国的数字贸易仍处于起步阶段，以及国内知识产权保护和网络安全较为落后的现实情况，我国现行立法着重于数据安全的维护和数据主权的保护。在数字贸易领域，中国的相关立法更侧重于优先考虑产业政策和安全，并要求对数据流动进行限制，强制要求数据本地化，同时采取了要求技术转让和源代码披露以及其他保护措施。这些规定具有防止外国不正当竞争的效果，并且可以防止通过数字手段对知识产权进行窃取，符合中国的实际情况。

三、数字贸易国际规则中的数据主权条款分析

现有的多边贸易协定中的数据主权条款，是各国在数字主权问题上相互协调意见后的结果，预示着数字贸易中数字主权问题的未来走向和发展趋势。

（一）WTO法中的规定

现有世贸组织协定中并没有关于数字贸易的全面协定，但在一些世贸组织协定中涉及数字贸易领域。对于那些相互之间没有签订相应的双边协定、多边协定的国家来说，他们之间的数字贸易还是要受到现有的世贸组织协定的规范，并运用其中的相应条款对其数据主权作出相应的保护。

当前，涉及数字贸易领域的世贸组织协定主要包括《服务贸易总协定》《信息技术协定》、《全球电子商务宣言》、《与贸易有关的知识产权协定》等。其中，《服务贸易总协定》明确了成员可以隐私保护为由限制跨境服务贸易，根据其第14条规定，一国可以根据以保护数据处理、保护个人隐私和保护国家数据安全为由，在符合该条前言所规定的条件下，对数字贸易中的数据流动作出限制，这为成员在数字贸易中维护数据主权提供了法律依据。

近年来，世贸组织在数据主权问题上的态度有所变化。比如，2017年底，WTO成员在布宜诺斯艾利斯第11届部长会议后共同发布了《电子商务联合声明》，重申电子商务的重要性及其为包容性贸易和发展所创造的机会。这份声明呼应了之前世界电子贸易平台宣布的“赋能电子商务”的主题，规则中的条款将确保数据的自由流通并禁止所有部门的数据本地化。不难看出，当时世贸组织对于数字贸易的态度是侧重于鼓励数据的自由流动，要求减少诸如数据本地化等不必要的安全措施以降低数字贸易的成本，促进数字贸易在全球范围内的充分发展，这种态度有可能体现在未来WTO制定的数字贸易综合性协定当中。

（二）区域性多边贸易协定中的规定

区域性多边贸易协定基本上都设定专门的一章来对数字贸易的相关规则作出全面的规定，其出台时间较新、规定内容更多，更能反映当前世界上的主要国家在数字贸易问题上的态度和立场，更能体现数字贸易未来的立法趋势。

《全面与进步跨太平洋伙伴关系协定》（CPTPP）于2018年12月30日正式生效。CPTPP采用了“电子商务”这一表述，并在第14章中进行了专章的规定。其中，第14.8条规定了对个人资料的保护，第14.11条和第14.13条则对跨境数据转移作出规制，第14，17条规定了缔约方以原始碼转让作为国际贸易的条件。根据14.11条的规定，（1）成员须认可其他成员已有的有关个人数据转移方面的法律法规（第14.11条第1款）;（2）原则上所有的成员应当允许信息（包括个人信息）通过电子形式进行跨境转移，只要这个转移是为了该特定个人而进行的商业活动（第14.11条第 2 款），但这不能妨碍成员采取或者维持相应措施限制信息的跨境转移以达到公共政策目标，条件是“这样的措施并不构成任意的或者无端的歧视，或者变相的贸易限制;而且不会施加超出该措施目的之外的额外限制”（ 第14.11条第3款）;（3）原则上成员不得将数据存储本土化作为企业在本土经营的条件，但这并不能妨碍成员采取或者维持这些规范性要求已达到正当公共政策目标，条件是“这样的措施并不构成任意的或者无端的歧视，或者变相的贸易限制;而且不会施加超出该措施目的的额外限制”（第14.13条）。该协定在数字主权问题上原则上允许数据跨境流动并且要求各国不得采取强制的数据存储本地化措施，同时尊重贸易各国的国内立法，并保留各国基于公共政策的考量通过采取或维持各种措施来限制数据流动和要求数据本地留存的权力。CPTPP的规定充分地体现了各国立场的一种协调和融合，原则上促进数据流动的同时，也要保留相应的例外政策以维护本国数据主权不受侵犯。

《美墨加三国协定》（USMCA）是美国、墨西哥和加拿大达成的三方贸易协议。该协定在第十四章中对于电子商务作出全面规定，其中，对于个人数据保护、跨境数据转移和原始码的规定与CPTPP大致相同，但第14.11条对于计算设施之位置的规定则十分强硬。该条明确规定成员不得将数据存储本土化作为企业在本土经营的条件，而且并未规定任何例外。这条规定无疑充分体现了美国在数字贸易中一贯的立场，其一直认为数据本地化大大增加了数字贸易的成本，不利于数据价值的最大化实现，是限制数字贸易发展的因素之一。由于该协定签订方较少且美国在所有缔约方中占据明显的主导地位，美国的部分立场在该协定中得以强势的体现，关于去数据本地化的要求就是最好的说明，但也不得不承认，该协定仍在跨境数据转移方面保留了安全例外条款，各国可以基于公共政策目标而限制数据流动，这也体现了对数据主权的一定保护。

总之，在当前数字贸易相关的国际规则大力推行数据自由流动的趋势下，各国始终或多或少地保留了本国基于国家安全、个人隐私的考虑限制数据流动的权力，对于数据主权的维护始终存在并且不可能消失。在未来数字贸易领域国际规则的制定中，对于数据主权的保护作为一国的底线原则必不可能消失，搁置争议，协调各国立场，在不触及各国底线的基础上实现数据有序的跨境流动以促进数字贸易的发展必然是未来国际规则制定的方向。

四、数字贸易中数字主权问题的中国法律应对

数字贸易在现在和将来都是我国重要的经济增长点之一，我国必须要参与到全球数字贸易当中才能实现数字贸易的发展最大化和价值最大化。同时，我国还处于数字贸易发展的初级阶段，对于数字主权问题，需要结合国内情况并顺应国际趋势，才能作出合理且实用的发展规划。

（一）完善数据主权法律制度建设

我国目前对于数据主权的主要规定集中于《网络安全法》中，数字贸易中的数据跨境流动必然受到这部法律的规制，该法适用于中国境内经营的中国企业和外国企业，还将影响与前述企业具有跨境数据转移业务合作的境外企业。当中国企业将来拓展国际市场时，其他国家很可能将我国的法律规定作为标准来采取对等的政策，限制中国企业将数据转移至中国处理。因此，对于《网络安全法》当中具体用语和制度的解释都应当谨慎把握，这个问题在该法第37条的规定和解释中应当尤为注意。

第一，我国《网络安全法》第37条并未直接规定跨境数据转移的安全评估标准，而是授权由国家网信部门会同国务院有关部门制定，但法律和行政法规另有规定的除外。根据该条规定，仅从现行法还无法得知跨境数据转移安全评估的具体标准，安全评估标准的透明度不高，这样会存在一定的不确定性，容易被他国指责。因此，我国《网络安全法》授权国家网信部门会同国务院有关部门制定有关标准并无不妥，但具体的标准仍应公布，从而向国内外企业提供比较充分的可预见性。此外，可以考虑将第三方中立机构（例如APEC认证的隐私责任评估机构）的评估纳入未来具体安全评估的参考因素之一，从而增强安全评估的客观性和中立性。

第二，第37条显示我国对跨境数据流动规制的理由是“安全评估”，这种“安全”的含义是否符合GATS第14条中的“安全例外”，决定了我国的安全评估政策是否符合WTO规则，否则就会成为国际贸易壁垒。GATS对于“国家安全”例外的内涵之规定十分狭窄，仅包括两种情况：一是保护下列核心安全利益而采取任何必要的措施：任何直接或间接向军事基地提供的服务;与核裂变和核聚变材料或者衍生这些物质有关的材料;在战时或者与国际关系有关的其他紧急情况。二是承担《联合国宪章》所要求的维持国际和平与安全而采取的安全措施。据此，一国想要援引“国家安全”例外条款作为其限制数据跨境转移的免责事由较为困难。因此，在对第37条的安全评估作出具体规定时，应当对“安全”一词作出广义解释，不要将其做过多限定，其内涵应当包括但不限于国家安全、公共安全和个人数据安全，从而保证我国的相应政策符合WTO規则，消除其构成国际贸易壁垒的风险。

（二）积极参与国际规则制定

除了完善国内立法，一国想要在立法层面实现数字贸易的最大化，推动国际规则制定，积极参加区域性或国际谈判必不可少。当前，大多数新兴国家的数字贸易都处于初步发展阶段，我国是这类新兴国家的典型代表之一，在国际场合反映出这类国家在数字贸易中对于数据主权保护的迫切需求至关重要，否则当美国推行的自由贸易政策上升为国际法规范时，受到数据安全威胁最大的必然是这类新兴国家，一旦出现数据安全事件受到经济损害最大的也必然是这类国家。因此，作为世界主要经济体之一，全球数字贸易的重要参与者，我国应当充分利用现有条件，比如亚太经合组织、上海合作组织等，积极推进与数字贸易相关的多边谈判，同时在国际层面上向世贸组织提出我国与数字贸易有关的议案，就数字主权问题表达我国的立场和诉求，在数字贸易国际规则的制定当中抢占先机。

注 释

[1] See Federal Law of the Russian Federation “On Amendments to Certain Legislative Acts of the Russian Federation Regarding the Clarification of the Processing of Personal Data in Information and Telecommunication Networks”.

[2] 转引自张金平：“跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则”，《政治与法律》，2016年第12期，第141页

[3] See Australia Personal Controlled Electronic Health Records Act 2012， 77- Requirement not to hold or take records outside Australia.

[4] See USA FREEDOM Act of 2015，Title IV-FOREIGN INTELLIGENCE SURVEILLANCE COURT REFORMS.

[5] See European Union. Regulation （EU） 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data， and repealing Directive 95/46/EC （General Data Protection Regulation）， Official Journal of the European Union， 2016， p. 59.

[6] 参见《国家安全法》第25条。

[7] 参见《网络安全法》第1条。

[8] 参见《保守国家秘密法》第25条。

[9] 参见《网络安全法》第35条、第37条。

[10] 参见《网络出版服务管理规定》第8条、《地图管理条例》第34条、《征信业管理条例》第24条、《关于银行业金融机构做好个人金融信息保护工作的通知》第6条、《人口健康信息管理办法（试行）》第10条、《网络预约出租汽车经营服务管理暂行办法》第27条。

[11] 参见《网络安全法》第5条、第50条、第75条。

[12] 参见《中华人民共和国电子商务法》第25条、第64条、第69条、第71条、第79条、第87条。

参考文献

[1] 黄志雄，王楚乔.谷歌《数字安全与正当程序：云时代的政府跨境获取标准的现代化》白皮书评析[J].信息安全与通信保密，2018.3

[2] 黄志雄.互联网监管政策与多边贸易规则法律问题探析[J].当代法学，2016.1

[3] 胡炜，跨境数据流动立法的价值取向与我国选择[J].社会科学，2018.4

[4] 张金平.跨境数据转移的国际规制及中国法律的应对——兼评我国《网络安全法》上的跨境数据转移限制规则[J].政治与法律，2016.12

[5] 徐翔.美国数字贸易发展分析[D].吉林大学，2017

[6] 齐爱民.论大数据时代数据安全法律综合保护的完善——以《网络安全法》为视角[J].东北师大学报（哲学社会科学版），2017.4

[7] 齐爱民，祝高峰.论国家数据主权制度的确立与完善[J].苏州大学学报（哲学社会科学版），2016.1

[8] 吴沈括.数据跨境流动与数据主权研究[J].新疆师范大学学报（哲学社会科学版），2016.5

[9] 袁胜.跨境数据流动的国际博弈：隐私管理与数据主权[J].中国信息安全，2016.3

[10] 史宇航.主权的网络边界——以规制数据跨境传输的视角[J].情报杂志，2018.9

[11] 沈逸，姚旭.大国战略互信与跨境数据流动管理新模式探索：以“数据主权”为核心推进网络安全战略建设[J].信息安全与通信保密，2018.12

[12] 何波.数据主权法律实践与对策建议研究[J].信息安全与通信保密，2017.5

[13] 齐爱民，盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报（哲学社会科学版），2015.1

作者简介：周宇心（1996—），女，山东青岛人，上海大学法学院2018级国际法学专业硕士研究生。研究方向：国际经济法。