张渝
伴随着数字经济在全球经济发展中重要地位的日益凸显,数字经济国际治理逐渐成为新一轮国际经贸规则谈判的焦点。数据是数字经济的核心生产要素①数据作为一种生产要素,具有财产属性。由于大多数国际投资协定对“投资”的定义持开放和包容态度,以“数据”为内容的外国投资应当根据东道国签署的国际投资协定享受投资自由化待遇和投资保护。例如,中国—加拿大双边投资协定第1条规定,“投资”包括“其他任何出于商业目的取得或使用的有形或无形、可移动或不可移动的财产和相关财产权利”。,对数据的搜集、处理、传播和应用是数字经济的命脉。在全球化要求和互联网技术革命的双重加持下,数据跨境自由流动成为数字经济发展的重要条件,并被认为是互联网自由精神的象征。随着数字时代的演进,数据逐渐蜕变为一种国家战略性资源,但是对于数据的国际治理却在“失序”状态下隐患重重。
2013年“棱镜门”事件曝光后,全球对数据安全性的担忧情绪蔓延,数据本地化措施(data localization measures)在一些国家兴起①参见俄罗斯2020修订版《关于信息、信息技术和信息保护法》第10.1条,Фeдepaльны йзaкoн№149-ФЗoт27.07.2006г.Oбинфopмaции,инфopмaциoнныxтexнoлoгияxиo зaщитeинфopмaции?(cизмeнeниями,внeceннымивcooтвeтcтвииcФeдepaльнымзaкoнoм№177-ФЗoт08.06.2020г.);中国2018年《网络安全法》第37条;印度尼西亚2012年《电子系统和传输的安排》第43条;Organization of Electronic System and Transaction,Article 43.,这些措施通常要求本国数据存储在来源于本国的数据中心、使用本国境内的存储设施,或要求在本地获取的个人数据在进行跨境传输时须满足特定限制条件从而达到事实上的数据本地化②See EU,General Data Protection Regulation,Article 45.。与此同时,反对和禁止该措施的声音也层出不穷。国际实践中,美国主导的国际经贸规则积极禁止数据本地化措施③See Trans-Pacific Partnership Agreement,14.13;United States-Mexico-Canada Agreement,Article 19.12.;理论上,部分西方学者不仅从数据的安全性④See Anupam Chander & Uyen P.Le,Breaking the Web:Data Localization vs.the Global Internet,1 Emory Law Journal 378(2014).、东道国建设数据安全基础中心能力的薄弱⑤See Jonah Force Hill & Matthew Noyes,Rethinking Data,Geography,and Jurisdiction:Towards a Common Framework for Harmonizing Global Data Flow Controls,https://newamerica.org/documents/2084/Rethinking_Data_Geography_Jurisdiction_2.21.pdf,visited on 15 September 2020.、数字保护主义的危害⑥See Anupam Chander & Uyen P.Le,Breaking the Web:Data Localization vs.the Global Internet,1 Emory Law Journal 378(2014);William J.Drake,Background Paper for the Workshop on Data Localization and Barriers to Transborder Data Flows,http://www3.weforum.org/docs/Background_Paper_Forum_workshop% 2009.2016.pdf;Matthia Bauer et al.,The Costs of Data Localisation:Friendly Fire on Economic Recovery,https://www.econstor.eu/bitstream/10419/174726/1/ecipe-op-2014-3.pdf,visited on 15 September 2020.、人权⑦See Richard D.Taylor,“Data localization”:The Internet in the Balance,https://www.sciencedirect.com/science/article/pii/S0308596120300951,visited on 15 September 2020.等一般性角度严厉批评数据本地化措施,更重要的是,从违反国际投资保护规则的角度对其提出了合规性质疑,认为数据本地化措施违背投资自由化精神,涉嫌违反国民待遇、公平与公正待遇和征收条款。
然而,上述质疑未必全面和准确,国内有学者对此进行了反驳,认为数据本地化措施并不必然违背国际投资保护规则,而应当结合个案情况具体分析⑧参见张倩雯:《数据本地化措施之国际投资协定合规性与中国因应》,《法商研究》2020年第2期,第85-98页。。此外,还有观点从更宏观的角度认可了数据本地化措施是一种客观、合理的存在,但是需要国际社会的良法之治才能实现国家短期利益和各国共同长期利益的有效平衡。首先,从国际政治角度看,数据本地化措施是数据民族主义的体现,是各国因应大国竞争加剧、全球化逆转、数据资源战略性和美国技术霸权而作出的合理反应,这是一种长期且合理的,但需要加以约束和亟须治理的民族主义①参见毛维准、刘一燊:《数据民族主义:驱动逻辑与政策影响》,《国际展望》2020年第3期,第42页。。其次,从现实主义角度看,数据本地化措施有利于保障总体国家安全观下的国民安全、政治安全、便利执法和经济发展,具有正当性的现实基础。②参见王玥:《试论网络数据本地化立法的正当性》,《西安交通大学学报(社会科学版)》2016年第1期,第54页。
各国实践和理论对于数据本地化措施的分歧较大,新一轮国际共识悬而未决,而现有国际投资保护规则无法准确解答数据本地化措施的合规性问题,这些规则的传统适用标准在新兴数字经济的冲击下面临“失语”困境,目前也较少有文献对该困境及困境的症结进行分析与探讨。基于此,本文首先有针对性地回应对数据本地化措施合规性的质疑,指出该措施虽然有可能符合适用国际投资保护规则的部分标准,但其他标准在适用过程中可能因为解释角度的不同而得出不同结论,然后揭示陷入此种困境的根本原因在于国际投资保护规则相对于数字经济发展具有滞后性,接着分析其症结表现,最后结合数字经济的特点,尝试提出纾解国际投资保护规则适用陷入“失语”困境的可行方案。
部分西方学者批判数据本地化措施的一大根据是东道国通常将其作为市场准入的条件,对外国投资施加了限制,区分了内外国投资者,违反了国际投资条约中的国民待遇条款,构成数字经济时代下的投资壁垒。美国旗帜鲜明地反对数据本地化措施,也是因为其“有利于国内数字产业、产品或服务而损害其他国家的数字产业、产品或服务”③United States International Trade Commission,Digital Trade in the U.S.and Global Economies,https://www.usitc.gov/publications/332/pub4485.pdf,visited on 12 November 2020.。适用国民待遇条款须依次符合相似情形、存在差别待遇和不属于例外规定。其中,是否存在差别待遇的问题在个案中并不难认定,下文将主要对数据本地化措施进行相似情形和是否属于例外规定的考察,可知上述两项标准具有一定的滞后性,适用于数据本地化措施无法充分判定其是否合规。
1.相似情形划分标准不统一
考察数据本地化措施是否符合国民待遇条款的第一步是将外国投资者与本国投资者进行比较,判断内外国投资者是否处于“相似情形”。由于现有国际投资协定(IIA)体系是由2895个双边投资协定(BIT)和389个包含投资条款的协定(TIP)①See UNCTAD,World Investment Report 2020:International Production Beyond the Pandemic 106(United Nations Publications 2020).组成的碎片化结构,国际投资仲裁庭裁决的不一致性比较普遍。但仲裁庭通常会尽量避免对“相似情形”作出过于狭隘的阐释,以便能够依国民待遇条款全面审视相关措施。目前基本可以达成一致的是确定“相似情形”比较基准时,应当将有关措施所依附的整体法律环境纳入审查范围。②参见[德]鲁道夫·多尔查、[奥]克里斯托弗·朔伊尔主编:《国际投资法原则》,祁欢、施进译,中国政法大学出版社2014年版,第211页。仲裁实践针对“相似情形”曾先后采取三种不同的标准③另外两种标准分别是“全体投资者标准”和“同一业务标准”。前者不区分行业,将当地所有内外国投资者一同比较。如Occidental诉厄瓜多尔案仲裁庭认为“相似情形”应当泛指当地所有生产商,并认为“如局限于特定行为所存在的经济领域,国民待遇条款将难以实施”。See Marvin Roy Feldman Karpa v.United Mexican States,ICSID Case No.AF/99/1,Award,para.171.后者将从事完全相同业务的内外国投资者进行比较,如Methanex诉美国案仲裁庭将“相似情形”限定在“生产甲醇或MTBE”这一项业务中。See Methanex Corporation v.United States of America,UNCITRAL,Final Award of the Tribunal on Jurisdiction and Merits,para.38.,其中“同一行业标准”在仲裁实践中利用频率较高,也更符合各国按部门划分进行经济管理的现实做法。
“同一行业标准”将从事相同行业的内外国投资者进行比较,如Feldman诉墨西哥案仲裁庭将“烟草出口”这一行业作为相似情形的比较基准,并且强调其他可能少量涉及“烟草出口”业务的行业如“烟草生产”与本案不存在相似情形④See Marvin Roy Feldman Karpa v.United Mexican States,ICSID Case No.AF/99/1,Award,paras.171-172.。这意味着该标准中“行业”的内涵并不过于宽泛,笼统地将某一类行业归于“相似情形”并不为仲裁实践所支持。可见,考察数据本地化措施是否违反国民待遇条款,首先须依据该措施所依附的东道国整体法律环境来判断。
但是,由于数字经济是一类新兴产业,如何在该产业大类下合理地划分“行业”尚未形成共识,理论上东道国可以通过细化部门划分直至“同一行业”趋近于“同一业务”,此时若仍然利用该措施所依附的东道国法律体系进行“相似情形”考察则会面临适用的困境:一方面,东道国可采取措施规避要求数据本地化的行业与内国投资者处于“相似情形”;另一方面,不同东道国的行业划分标准可能不同,此时同一数据本地化措施在不同东道国建立时,判断是否符合“相似情形”将得到截然不同的结论,从而加剧国民待遇条款适用的不一致性。
2.是否符合例外规定存在争议
适用国民待遇条款须考察的例外规定有国民待遇条款例外和IIA例外两个方面。其中,国民待遇条款本身的例外相对清晰①例如,2002年日韩BIT在附件中明确列出两类不适用于国民待遇的行业以及相关措施的清单。一类主要涉及国防、国家安全、公共事业、政府垄断、国有企业等重要产业;另一类主要涉及国内保护产业如第一产业(农、林、牧、渔业)和资源产业(石油、采矿业)以及部分高端服务产业(电子通信、金融服务业)。See Agreement between the Government of Japan and the Government of the Republic of Korea for the Liberalisation,Promotion and Protection of Investment,Article 2,Annex I and Annex II.,IIA例外则具有较大的争议性。
IIA例外是适用于整个协定或投资章节的一般例外,其效力及于国民待遇条款。例如,美式BIT范本规定了基本安全例外、金融服务例外等条款②See United States,2012 U.S.Model Bilateral Investment Treaty,Articles 18,20;United States,2004 U.S.Model Bilateral Investment Treaty,Articles 18,20.。近年来,在全球经济增长放缓、贸易保护主义抬头、东道国与投资者权利义务失衡、投资争端解决机制改革浪潮翻涌等因素的叠加影响下,东道国参与国际投资活动更趋保守,IIA例外条款更加重视国家安全特别是非传统国家安全。例如,2019年中国香港—澳大利亚BIT安全例外条款中,将“其他紧急情况”囊括进了“基本安全利益”的内涵中③See Australia-Hong Kong Investment Agreement(2019),Article 19.。如果将“其他紧急情况”解释为危及包括数据安全在内的非传统国家安全利益的情况,那么为保障数据安全而实施的数据本地化措施则符合该例外条款。
然而,“其他紧急情况”的内涵是否当然地囊括数据安全尚存在较大争议。目前,大部分IIA中没有明文规定数据安全属于基本安全的范畴,从条款的明确性来看,将数据本地化措施认定为不符合IIA例外规定也具有一定的合理性。可见,数据本地化措施是否符合国家安全例外规定存在较大争议,同一数据本地化措施经由不同角度的解释可能得出不同的结论,利用IIA例外来考察数据本地化措施的合规性容易陷入适用的困境。
数据本地化措施也涉嫌违反公平公正待遇条款:有学者认为欧盟在GDPR中确立数据本地化原则和数据最小化原则影响了东道国法律制度的可预测性和稳定性,对外国投资者造成了不利影响,因此违反了公平公正待遇。④See Vishaka Ramesh,Data Protection Principles Around the World:Do They Violate International Investment Law?https://voelkerrechtsblog.org/articles/data-protection-principles-around-the-world/,visited on 15 November 2020.随后,也有观点对其进行了驳斥①See Erik Tuchtfeld & Lars Borchardt,Why International Investment Law Is not Violated by the GDPR,http://intr2dok.vifa-recht.de/servlets/MCRFileNodeServlet/mir_derivate_00004911/Why_International_Investment_Law_is_not_violated_by_the_GDPR.pdf,visited on 15 November 2020.作者认为Vishaka Ramesh的观点没有充分考虑数据本地化原则和数据最小化原则是基于“数据保护对于基本权利的(重要)价值”。,可见数据本地化措施是否违反公平公正待遇条款也争议较大。
公平公正待遇不同于国民待遇的相对性,它是一个“绝对的”“无条件的”待遇标准②余劲松:《国际投资法》,法律出版社2018年版,第206页。,在国际投资争端中被援引的频率最高。但其内涵和范围始终无法被明确界定,大多数IIA文本对此也语焉不详③See European Parliament,The Future European International Investment Policy,6 April 2011,Preface para.G.。随着仲裁实践的发展和成熟,公平公正待遇条款的适用范围逐渐指向了三类共性要素:投资环境的稳定性(实体要素)、程序的正当性(程序要素)和东道国善意。其中,程序的正当性主要与各国数据本地化措施配套的法律法规具体内容密切相关,某一项数据本地化措施是否违反正当程序结合个案情况具体分析也并不难得出明确结论。因此,以下重点围绕数据本地化措施的实体要素与东道国善意进行合规性分析。
1.投资环境稳定性的认定存在争议
公平公正待遇要求保护外国投资者合理期待,这是基于东道国在投资协定中对促进和保护投资的保证,如果东道国违反此种保证,而外国投资者据此产生了合理期待,则违反公平公正待遇条款④See W.M.Reisman & M.H.Arsanjani,The Question of Unilateral Governmental Statements as Applicable Law in Investment Desputes,19 ICSID-Foreign Investment Law Journal 328(2004).。投资者的合理期待主要在于东道国营商法治环境的稳定性和可预见性,这要求东道国法律规则始终如一、具有透明度,以及投资者在遭受损害时享有求偿权。
对“稳定”的认定则可能出现争议。晚近仲裁实践越来越强调“稳定”的相对性,即提供稳定的投资环境不影响东道国根据客观环境变化合理调整国内法律制度。⑤例如,EDF诉罗马尼亚案仲裁庭就不认同对稳定投资环境的内涵作出过于宽泛的解释,其认为“(如果)公平公正待遇意味着对经济生活法律规定的实质性冻结,则与东道国正常的监管权力和经济生活的变化相悖”。See EDF(Services)Limited v.Romania,ICSID Case No.ARB/05/13,Award,para.217.El Paso诉阿根廷案的仲裁庭进一步阐释了判断“合理”的关键在于是否超出了一般监管权力的界限,对投资监管框架进行重大改变是否超出了可接受的范围,See El Paso Energy International Company v.the Argentine Republic,ICSID Case No.ARB/03/15,Award,para.402.数据本地化措施因应数字经济的双刃影响而出现,是全球经济、法治共同面临的新课题,从这个角度看,东道国针对数字经济这一新兴经济形式采取必要法律监管并无不可。因此,东道国即使在外国投资建立后采取数据本地化措施,也不能当然地认为其违反公平公正待遇,而应考察数据本地化措施是否属于东道国“正常”和“可接受的”监管范围。然而,该措施是否属于或哪些具体措施属于正常和可接受的监管范围,在数据本地化措施本身面临巨大争议的背景下尚无定论,也因此增加了公平公正待遇准确适用于数据本地化措施的难度。
2.善意原则部分标准的内涵解释不一
善意原则是公平公正待遇条款的固有内容,根据该原则,东道国不得故意造成对投资者的损害。从现代国际法视角看,善意原则的违反不要求东道国的行为达到极端恶劣的、令人愤怒或震惊的程度①See Mondev International Ltd.v.United States of America,ICSID Case No.ARB(AF)/99/2,Award,para.116.。适用法律中违背立法本意以及东道国政府有意阻碍和损害投资的行为②See Frontier Petroleum Services Ltd.v.The Czech Republic,UNCITRAL,Final Award,para.300.仲裁庭在本案中对违反善意原则行为的描述是:东道国的恶意行为包括运用法律手段,实现制度法律本身目的之外的其他目的。包括有政府机构有意阻碍或损害投资的行为、基于并非政府提出的原因而导致的投资终止以及基于地方保护主义对投资的驱逐。政府以其内部制度的原因作为不履行合同义务的理由也与善意原则相悖。、背信弃义③See Bayindir Insaat Turizm Ticaret Ve Sanayi A.S.v.Islamic Republic of Pakistan,ICSID Case No.ARB/03/29,Decision on Jurisdiction,paras.242-243,250.本案中,申请人认为东道国驱逐其投资的真实动机是地方保护主义和背信弃义,与其所称“完工延误”不符,仲裁庭认为如能证实该驱逐动机确实不公,则可构成对公平公正待遇的请求权。、违反国际承诺④See Chemtura Corporation v.Government of Canada,UNCITRAL,Award,paras.143-148,158,184.都与善意原则背道而驰,其中,前几项标准结合个案分析相对容易得出确切结论,而违反国际承诺则在数字经济现阶段发展背景下有可能被作出不同的解释,导致适用这项标准可能得出不同的结论。
如果东道国作出了不实行数据本地化措施的国际承诺,而后又要求数据本地化,那么该东道国的行为很容易被认定为违反国际承诺。数字经济国际治理正处于发展的初级阶段,美欧政府间协议《信息和通信技术服务贸易原则》⑤See European Union-United States Trade Principles for Information and Communication Technology Services,https://ustr.gov/sites/default/files/uploads/agreements/morocco/pdfs/2011-04-04%20ICT%20principles%20text%20FINAL.pdf#:~:text=European%20Union-United%20States%20Trade%20Principles%20for%20Information%20and,and%20in%20their%20trade%20negotiations%20with%20third%20countries,visited on 20 November 2020.(以下称《原则》)仅为非约束的原则性共识。《原则》第4条内容为禁止数据本地化措施,如果该内容构成国际承诺,那么美欧采取数据本地化措施则背离了善意原则。但是,针对数据本地化措施的国际承诺究竟如何认定,是否必须是具有约束力的国际法规范,还是仅需达到由政府缔结国际文件的程度,对其内涵的不同理解可能导致适用善意原则出现不同的结果。
数据本地化措施还因涉嫌构成间接征收而遭到反对。有学者认为数据本地化措施具有歧视性,因为它使外国投资者相对于该行业的内国投资者处于明显的劣势地位,并且造成了依赖云计算的外国投资者短期和长期的经济损失①See Vishaka Rameshm,Data Protection Principles Around the World:Do They Violate International Investment Law?https://voelkerrechtsblog.org/articles/data-protection-principles-around-the-world/,visited on 25 November 2020.,构成非法间接征收。随着实践的发展,间接征收的认定日益强调与东道国规制措施的区别②例如,2012年美式BIT范本中对“征收”的界定为:(1)判断在某种特定情况下一方的行为或一系列行为是否构成间接征收应以事实为依据,具体问题具体分析。调查中须考察的关键因素是:①政府行为的经济影响。尽管一方的行为或一系列行为对某项投资的经济价值造成了负面影响,但这仅会被看做孤立事件,并不能由此认定间接征收已经实际发生。②政府行为对明确合理的投资预期的影响程度。③政府行为的性质。(2)在极少情况下,一方采取非歧视规制措施来保护合法的公共利益,如:公共健康、安全以及环境,这类措施不构成间接征收。United States,2012 U.S.Model Bilateral Investment Treaty,Annex B,para.4.,并逐渐与干涉财产的程度、政府行为的目的和性质等要素联系起来。结合数据本地化措施的特征进行合规性分析,不难看出数据本地化措施适用征收条款无法得出确切结论,最主要在于还无法准确界定该措施的目的和性质。
首先,对于对私人财产的干涉程度,通常需要考虑两个因素。第一,是否产生了严重的经济影响,即东道国的措施是否实质性地损害了外国投资者的经济权利。结合外国投资者的投资规模进行个案分析并不难得出数据本地化措施是否造成了实质性损害,以GDPR为例,调查发现企业平均需花费130万美元用于GDPR合规性审查③See IAAP,EY Annual Privacy Governance Report 2018,https://iapp.org/media/pdf/resource_center/IAPP-EY-Gov_Report_2018-FINAL.pdf,visited on 10 December 2020.,对中小企业而言,其经济权利就可能被实质性地损害。第二,影响是否持续产生,即东道国的措施对外国投资者的影响是暂时的还是持续的,不少仲裁庭认可短期措施不足以构成间接征收④See Wena Hotels Ltd.v.Arab Republic of Egypt,ICSID Case No.ARB/98/4,Decision on the Application by Wena Hotels Ltd.for Interpretation of the Arbitral Award,para.120;LG & amp;E Energy Corp.,LG & amp;E Capital Corp.,and LG & amp;E International,Inc.v.Argentine Republic,ICSID Case No.ARB/02/1,Decision on Liability,paras.193,200.。其次,以GDPR为例,虽然一次性罚款对中小型外国投资可能造成实质性的“剥夺”,但该影响是暂时的;然而在罚款后,这些外国投资仍要遵守GDPR中数据本地化的要求,而这有可能产生持续性影响,如要求个人数据传输到的第三国或第三国的某个区域必须得到欧盟委员会关于能够提供充分保护的认定,否则该行为就需要获得特定授权①See EU,General Data Protection Regulation,Article 45(1).,这将伴随着该投资者的经营活动而持续产生影响。
认定东道国措施是否构成间接征收还应考察该措施的目的和性质,但此目的和性质目前还无法准确界定。一般而言,如果是为了促进普遍承认的“社会目的”或“普遍福利”的措施,包括实现公共健康、安全、社会道德和福利等目的,则很难被认定为征收。②参见余劲松:《国际投资法》,法律出版社2018年版,第294页。不少东道国的数据本地化措施都强调了其目的的公益性,如巴西《互联网公民权利框架》第4条③巴西《互联网公民权利框架》第4条言明该法的目的在于促进“所有人使用互联网的权利”“获取信息、知识、参与文化生活和处理公共事务”。和中国《网络安全法》第1条都有相应的规定④《中华人民共和国网络安全法》第1条规定,本法的目的包括“维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”。。
仲裁实践表明,东道国在以“公共利益”为抗辩时,还应考察该措施与保护外国投资者的法律之间的相称性。⑤例如,Tecmed诉墨西哥案的仲裁庭援引了欧洲人权法院的判决,认同“如果有关的人(指受公共利益政策影响的人)不得不承受个别和过度的负担,则不会达成平衡;一项措施必须既符合其目标,又不至于不相称”。See Técnicas Medioambientales Tecmed,S.A.v.United Mexican States,ICSID Case No.ARB(AF)/00/2,Award,para.122.此外,一些仲裁庭还认为,如果有关措施属于“普遍接受的国家治安权”的范畴,则只要不是歧视,就可不必承担补偿责任,这已构成习惯国际法的一部分。⑥See Saluka Investments B.V.v.The Czech Republic,UNCITRAL,Partial Award,para.262.因此,数据本地化措施即使符合公共利益的合法目的,也应当考察其与外商投资保护法律之间的相称性以及是否属于东道国的治安权。“治安权”源于美国法中的概念⑦参见张晋藩主编:《中华法学大辞典·法律史学卷》,中国检察出版社1999年版,第589页。,属于东道国一般监管权,但数据本地化措施是否属于一般监管权限范畴仍存在较大争议,因此无法确切判断该措施是否违反了征收条款。
数据本地化措施虽然表面上符合一些违反国民待遇、公平公正待遇和征收条款的标准,并且因此遭到部分西方学者的强烈谴责,但从上文分析可知,现有国际投资保护规则无法准确判定数据本地化措施的合规性,存在模糊之处,因而陷入了适用的困境。这主要表现为部分传统适用标准在新兴数字经济的冲击下可能面临“失语”,一是数字经济的一些基本问题尚未形成普遍共识,如行业的分类、数据本地化措施的性质;二是数据的特殊性造成传统适用标准的无效,如数字经济一般监管权的依据与边界的认定。总体而言造成困境的根本原因在于国际投资保护规则相对于数字经济发展具有滞后性,具体症结如下:
在公平公正待遇条款和征收条款的适用中,数据本地化措施是否属于东道国一般监管权是认定的关键因素,考察数据本地化措施的合规性必须考察其是否超出了东道国的正常监管范围、是否超出了可接受的范围。东道国对本国数据行使监管权是基于其自身的经济主权,但传统上经济主权以属地原则确定管辖范围,而数据具有非地域性的特征,东道国对哪些数据拥有监管权、哪些措施属于必要监管范围,各国莫衷一是。而为保护本国利益,各国在数据立法中又呈现出域外适用扩张的现象①参见孔庆江、于华溢:《数据立法域外适用现象及中国因应策略》,《法学杂志》2020年第8期,第76页。,传统属地管辖原则备受冲击的同时新一轮管辖原则却尚未建立起来。这一现状将持续影响国际投资保护规则在实践中的应用,是当前国际投资保护规则适用于数据本地化措施陷入“失语”困境的一大症结。
根据1974年联合国《关于建立新的国际经济秩序的宣言》和《各国经济权利与义务宪章》,经济主权的内涵是国家对其全部财富、自然资源和国内一切经济活动享有充分的永久主权,“包括拥有权、使用权和处置权在内,并得自由行使此项主权”②See UN,GA Resolution 3281(XXIX),12 December 1974,Article 2.。“数据”是数字经济的核心生产要素,具有财产属性,在一国管辖范围内的“数据”无疑是该国的财富,也是经济主权的权利客体。一国对本国数据享有充分的永久主权即为“数据主权”。当前,对“数据主权”权限范围的争议主要表现在:第一,数字经济这一新兴产业主要依靠数据在虚拟网络空间的搜集、传播和处理完成交易,而网络空间与现实物理空间不同,两者的关系可能重叠、交叉或毫不相干,因此,基于传统属地管辖原则的“主权”似乎也难以涵盖毫无地域性可言的“数据”。为解决该问题,美国《澄清境外数据合法使用法案》(“CLOUD Act”)通过增加“人”为连接点,对数据的管辖采取“数据控制者原则”③See United States,Clarifying Lawful Overseas Use of Data Act,https://www.congress.gov/115/bills/hr4943/BILLS-115hr4943ih.pdf,visited on 1 December 2020.,认为拥有数据控制权的服务提供者的所在国对数据享有管辖权。美国的做法是基于其为全球数字经济最发达国家的绝对优势,可以利用各大巨型跨国数字公司如谷歌(Google)、脸书(Facebook)等超越属地限制扩张其数据主权。而大多数国家并不具备美国的优势地位,面对数据安全威胁,更多地强调本国的数据监管权,采取以数据本地化为代表的防御性措施。第二,有观点认为数据流通和传播的重要介质——网络,天然具有开放性,在全球化要求和互联网技术革命的双重加持下,网络空间实现全球性的自由、开放似乎更加符合数字经济和全球化进程的历史潮流,因而在此背景下以“数据主权”为由,对网络空间进行监管涉嫌违背其自由化的天然属性。
本文认为,尽管以上争议在一定程度上揭示了数据主权不同于传统经济主权的特点,但就东道国要求外国投资者本地化存储的来源于本国的“数据”而言,东道国有权进行监管,理由在于:第一,数据在被信息化采集之前以自然、虚拟的形态存在于东道国境内,是东道国一种特殊的资源,是数据得以形成并具有财产属性的根源。例如,东道国内居民的个人数据在形成电子数据之前,以自然、虚拟的形态附着于具体的个人身上,还无法与个体分离,在被信息化采集之后,虽然个人数据作为数据仍是无法触碰的虚拟形态,但此时已独立于个人而存在,可以通过网络传播并为他人感知。收集、处理数据的过程是对这种特殊资源的转化和加工。虽然收集和处理数据的活动不一定位于东道国境内,但数据得以形成和存在的根本在于东道国本国,即数据在未被信息化采集前所依附的主体具有清晰的地域性。因此,根据经济主权原则,国家对境内全部财富享有永久主权,东道国对来源于本国境内的数据享有主权,有权进行必要的监管。第二,外国投资者虽然具有外国国籍,但依据东道国法律在东道国境内设立和运营,处于东道国的法律体系之内,有义务遵守东道国法律。东道国对数据实行合理的、必要的监管措施,外国投资者应当遵守。
网络是数据传播的最重要形式,网络安全要求网络中的数据受到保护①网络安全是“网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断的状态”。《信息安全辞典》,上海辞书出版社2013年版,第21页。,数据安全是网络安全的一项重要内容②但是,数据安全的保护对象并非仅指网络中的数据,还包括在网络范畴之外的数据的载体(软件或硬件)。参见高能主编:《信息安全技术》,中国人民公安大学出版社2018年版,第109页。因此,网络安全和数据安全互为对方的重要组成内容,数据本地化措施同时关涉网络安全与数据安全。。不少国家已将数据安全和网络安全上升到和政治安全、国土安全、军事安全等传统国家安全相提并论的重要位置③以中国为例,《国家安全法》第25条规定:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。。网络科技缔造数字经济伟大时代的同时,以“棱镜门事件”为代表的数据和网络安全威胁也不断冲击着一国的安全利益。对数字经济后发型国家而言,出于对网络和数据安全的担忧以及自身实力的考量,采取保守的数据本地化措施似乎在情理之中。
然而,目前国际投资保护规则并未有效回应此种担忧和考量,非传统国家安全例外是否囊括数据和网络安全不甚清晰,东道国采取数据本地化措施能否援引安全例外条款存在较大争议。第一,传统IIA中并没有专门针对数据和网络安全设置例外条款,如2012年美式BIT范本仅笼统地对披露影响安全利益的信息保护行为本身作了例外规定。第二,晚近缔结的IIA出现了利用“其他紧急情况”来暗示非传统国家安全例外的趋势,但“其他紧急情况”的解释具有高度的灵活性,这一模棱两可的概念无法平息国家安全例外的内涵之争。理论界一般认为“其他紧急情况”不一定要求使用武力,在数字经济时代,网络战争、数据和网络安全威胁等已经达到“国际关系的其他紧急情况”的程度①See Michael J.Hahn,Vital Interests and the Law of GATT:An Analysis of GATT’s Security Exception,12 Michigan Journal of International Law 589(1991).参见孙南翔:《国家安全例外在互联网贸易中的适用及展开》,《河北法学》2017年第6期,第73页;张倩雯:《数据本地化措施之国际投资协定合规性与中国因应》,《法商研究》2020年第2期,第89-90页。,数据和网络安全似乎应包含在国家安全例外条款的范围之中。东道国也倾向于将安全例外的适用范围解释为包括数据本地化措施在内的维护网络安全的必要措施,从而排除国际投资保护规则的适用。但是,由于事实上“网络安全”或“数据安全”“信息安全”并未明确写入国家安全例外条款,外国投资者可以基于条约解释的严谨性,援引仲裁庭对一般安全例外的限缩解释,要求例外条款的援引必须在IIA中事先规定②See Occidental Exploration and Production Company v.Republic of Ecuador,LCIA Case No.UN 3467,Final Award.,主张“安全”的内涵不包括“网络安全”或“数据安全”,如此则会得出与东道国截然相反的结论。
公平公正待遇条款和征收条款的适用都需要考察数据本地化措施是否属于一国的正常监管范围,目前虽有不少东道国立法要求数据本地化,但包括调整数据本地化措施在内的关于数字经济的国际规则正在形成之中,国际社会对数据本地化措施的态度不一。目前唯一在该领域推进多边规则制定的是WTO电子商务谈判,但至今未达成有效成果,国际治理严重滞后于东道国内数据本地化措施的实践。这主要表现为一方面,以中国为代表的一批数字经济新兴国家支持并已在实践中采取数据本地化措施,包括俄罗斯、巴西、印度、越南、印度尼西亚等国,这些国家基于国内实践在最新一轮WTO电子商务谈判中倾向于主张对国内监管权的注重以及公共政策目标的实现③See WTO,Joint Statement on Electronic Commerce Communication from China,INF/ECOM/19.;另一方面,美国基于其优势地位,在双边和多边层面均激进地反对数据本地化措施,并通过自身的影响与多个国家和地区达成禁止数据本地化措施的协定或共识,例如,CPTPP以及USMCA中的“禁止数据本地化”条款。
此外,即使是立场相近且已形成有关共识的美国和欧盟,还存在投资保护规则的碎片化问题。2011年美欧《原则》一致认同禁止数据本地化措施,美欧双方承诺政府不应要求信息通信技术服务提供者使用当地基础设施或在当地建立该基础设施作为市场准入条件①See European Union-United States Trade Principles for Information and Communication Technology Services,https://ustr.gov/sites/default/files/uploads/agreements/morocco/pdfs/2011-04-04%20ICT%20principles%20text%20FINAL.pdf#:~:text=European%20Union-United%20States%20Trade%20Principles%20for%20Information%20and,and%20in%20their%20trade%20negotiations%20with%20third%20countries,visited on 20 November 2020.,但美欧随后的实践倾向却各有不同。首先,美国主导的USMCA中的禁止数据本地化措施条款没有任何例外规定,尽管在第19.15条中规定各缔约国应加强网络安全能力建设和国际合作,但不构成例外条款的实质性内容。②See United States-Mexico-Canada Agreement,Articles 19.12,19.15 and Annex 19-A.其次,欧盟主导下的IIA则从个人数据保护的角度强调了数据安全例外,如2019年欧盟—越南BIT的一般例外中规定,在处理和传播个人数据时为保护个人隐私和保护个人记录和账户的机密性,可以在遵守国民待遇和最惠国待遇的前提下不适用条约。③See EU-Viet Nam Investment Protection Agreement(2019),Article 4.6.可见,欧盟主张个人数据权利优先,为保护个人数据权允许东道国采取数据本地化措施,美国却更加激进地否定数据本地化措施成为例外规则。
不难看出,数字经济国际治理严重滞后于部分东道国国内数据本地化措施的发展,新一轮国际规则尚未形成,非约束性共识、约束性条约共生共存,单边、双边和区域性规则错综复杂,有效的国际治理暂时缺位,各国各自为政的现状将影响仲裁庭对数据本地化措施目的和性质的判断,同时也会加剧仲裁庭对国际投资保护规则适用的碎片化。
由前文论述可知,传统适用标准在新兴数字经济的冲击下可能面临“失语”是国际投资保护规则适用于数据本地化措施陷入困境的直接原因,仲裁庭可以适当革新部分国际投资保护规则的适用标准使其更加符合当前数字经济的新发展。
1.国民待遇条款“相似情形”的认定应充分考虑行业划分合理性
针对适用国民待遇条款中“相似情形”划分标准不统一以及东道国可能通过细化部门划分规避产生相似情形的问题,仲裁庭在采取“同一行业标准”进行考察时,不仅要结合有关措施所依附的整体法律环境分析,还可将部门划分的“合理性”纳入审查范围。
具体而言,可以分别考虑:第一,考察东道国对数字经济“同一行业”的划分是否与“同一业务”存在合理的种属关系,例如,“软件产品的开发”和“某软件产品的开发”存在包含关系,后者为某项具体业务,前者作为单独行业具有一定的合理性。第二,考察东道国法律体系对行业的划分与一般社会实践的协调性,即东道国划分行业应与自然形成的行业基本保持一致,不能明显脱离产业实践。
2.公平公正待遇条款“善意原则”的适用应更加灵活
针对适用公平公正待遇条款中善意原则的内涵解释不一,特别是对“国际承诺”的认定存在争议的问题,仲裁庭可灵活处理“国际承诺”和“背信弃义”之间的适用层次。数字经济的国际治理客观上处于发展的初级阶段,国际社会对数据本地化措施的态度不一,成熟的、有约束力的国际条约较少,但若因此对“国际承诺”的认定采取过于宽泛的标准,可能平添各国在尝试推进国际合作时的后顾之忧,不利于国际治理的进一步发展。但另一方面,东道国政府缔结的国际文件代表了一国的公信力,即使该文件不具有约束力,也因东道国的官方背书使投资者产生了一定的预期。因此,如东道国违反相关规定,虽不足以认定为违反国际承诺,但可能符合背信弃义的标准,可以据此认定为违背善意原则适用公平公正待遇条款。
当前国际投资保护规则的适用陷入困境的根本原因在于其相对于数字经济发展具有滞后性,只有解决该问题才能从根本上纾解困境。因此,除了前文所述分别调整部分国际投资保护规则的适用标准外,还应从IIA谈判入手,从整体上平衡东道国数据监管权与投资保护义务,尽量厘清投资保护义务的边界以适应数字经济冲击下东道国数据监管需求和非传统国家安全需求。IIA谈判中不能回避以数据本地化措施为代表的东道国数据监管权问题,具体而言,应当注重澄清以下几个问题:
1.东道国对源于本国境内的数据享有经济主权
明确东道国对源于本国境内的数据享有经济主权,东道国有权对本国数据实行一般监管措施。同时应注意:第一,东道国的数据主权作为经济主权的一部分是一国本身所享有的权力,IIA的规定是对其经济主权的强调,并非创设和赋予东道国对本国数据的监管权力,IIA中对此无明确规定的,不影响东道国行使数据主权。第二,东道国让渡部分主权缔结IIA,行使数据主权应与IIA中的承诺保持一致,但并不意味着履行承诺严重危害东道国数据主权时,东道国不能采取措施维护本国主权和利益。第三,澄清“本国数据”的概念,可采用“定义+列举”的模式,规定为“所有内容来源于一国境内的数据”,在外商投资领域主要包括服务提供者采集的境内消费者的个人数据、商业数据等。
2.数据监管规则应与国际投资保护规则相协调
东道国对本国数据行使一般监管权时不应违反本国签订的投资协定和其他类似的国际承诺,不应拒绝履行国际投资保护义务,除非履行上述承诺和义务严重危害东道国数据主权,东道国应当确保国内数据监管规则与国际投资保护规则相协调。
东道国可对数据进行分类管理,针对不同类型的数据采取不同程度、不同侧重的监管措施:第一,对于可能涉及国家安全和公共利益的重要敏感数据,东道国在进行必要性评估之后,可以在不违反国际投资保护规则的前提下要求数据存储本地化、设施本地化甚至是服务本地化。第二,对于外国投资者的商业数据,应注意区分数据来源地,针对来源于本国的普通商业数据,东道国原则上不采取数据本地化措施,但个人数据以及由个人数据处理而得的数据除外;针对来源于本国境外的数据,不应采取数据本地化措施。第三,对于外国投资者在经营中获取的东道国境内消费者的个人数据,应当尊重数据主体的个人意志,由数据主体自由选择是否将个人数据进行本地化存储或处理,但当投资者获取的个人数据达到一定规模危及国家安全和公共利益时,东道国仍有权在必要的情况下对其采取数据本地化措施。
3.明确IIA国家安全例外涵盖数据和网络安全
由于现有大多数IIA的投资保护规则依然比较传统,国家安全例外的内容较为笼统,可能导致数据本地化措施在适用投资保护规则时得出不同结果。针对该问题,应当肯定数据和网络安全作为非传统国家安全对一国的必要性和重要性,尽量明确IIA的国家安全例外条款涵盖数据和网络安全。
具体应明确以下几点:第一,数据和网络安全是国家安全的重要组成部分,东道国为确保本国数据和网络安全有权采取必要的监管措施,必要的数据本地化措施是上述监管措施的一个重要内容。第二,只有满足“必要性”的数据本地化措施可以适用非传统国家安全例外条款,在必要之外的数据本地化措施,如果其他要件均构对国际投资保护规则的违反,则东道国应承担相应赔偿责任。第三,“必要性”的内涵至少应同时包括数据本地化措施的目的是为维护国家网络安全或增进公共信息化福祉,实施的时机为国家安全和公共利益遭到实质损害或严重威胁,实施过程遵循比例原则,数据本地化措施与保护外国投资者的法律之间具有相称性,并且没有给外国投资者造成过度的负担。第四,对于已经在IIA中使用“紧急情况”等表述的,可增加注释进一步澄清该概念,明确“紧急情况”涵盖数据和网络安全。
4.设置规则和程序防止数据本地化措施的滥用
在IIA中明确例外条款涵盖数据和网络安全,虽然能在一定程度上减轻例外条款的笼统性带来的负面影响,但国家安全的概念仍然有可能被宽泛解释,并成为东道国滥用数据本地化措施的借口。为了防止上述情况出现,应在IIA中设置有效规则和程序避免数据本地化措施的滥用:第一,可以考虑在IIA中以附件或者在IIA之外以备忘录的形式对适用数据和网络安全例外规则的数据本地化措施进行列举,形成必要数据本地化措施的“正面清单”,尽量减少因概念笼统产生的争议。第二,对于是否属于“必要”数据本地化措施确有争议的部分,东道国应当负有证明该措施必要性的义务。可以借鉴WTO判例中“必要性”测试的做法,东道国必须充分考虑数据本地化措施与所追求的目标(主要是国家安全、公共利益)之间的联系,特别是目标的重要性、数据本地化措施对目标实现的贡献程度等。①See Colombia-Measures Relating to the Importation of Textiles,Apparel and Footwear,WT/DS461/R,para.7.310;Argentina-Measures Relating to Trade in Goods and Services,WT/DS453/R,para.7.684.
数字经济国际治理的滞后性是当前国际投资保护规则适用困境的一大症结,各国“各自为政”的现状不利于国际社会的整体发展。弥合各方分歧,努力促进国际社会对数据本地化措施达成基本共识并形成相对统一的规则,是纾解数字领域国际投资保护规则适用困境的长远之计。
目前唯一在数字贸易(电子商务)领域推进多边规则制定的是2019年1月开始的WTO电子商务诸边谈判,但由于数字经济谈判牵涉各方利益,各成员间数字经济发展不平衡,目前针对数据本地化措施所获收益较少。但本轮谈判的顺利开启本身对于数字贸易规则最终达成广泛共识具有重要意义,国际社会不能停止数字规则谈判的步伐,应当充分利用以WTO为代表的多边平台,尽快就以数据本地化措施为代表的数字规则达成基础性共识,以便各国在此共识框架下相对清晰地推进国际投资保护规则谈判改革以及开展本国数字监管。
1.确立对数据本地化措施的基本共识
国际社会可以WTO电子商务诸边谈判为契机尽快确立相对广泛的针对数据本地化措施的基本共识。该共识的形成宜考虑以下因素:第一,就数据、数字经济和网络空间的性质而言,数据本地化措施不符合该领域的发展规律。数字经济主要依靠数据在网络空间的搜集、传播和处理完成交易,数据跨境自由流动是数字经济全球化发展的重要条件,营造自由、开放、有序的网络空间符合数字经济发展的历史潮流。第二,就成员的一般监管权而言,对本国数据采取必要的监管措施是一国基于自身经济主权所享有的权力,特别是数字经济处于初级发展阶段的国家,更有可能为了维护非传统国家安全和公共利益采取数据本地化措施。第三,就各方态度而言,在本轮谈判中,以美国、欧盟、日本为代表的发达成员均主张禁止数据(存储)本地化措施,中国等发展中成员则强调经济主权和网络安全的重要性,各方立场的最大公约数较小。因此,在本轮WTO谈判中,平衡数字经济的自由需求与成员的监管需求、平衡发达成员和发展中成员的利益成为各方妥协的关键。
本文认为,数据本地化措施因应国际数字治理的失序而出现,过激的数据本地化措施也将随着国际数字规则的完善而逐渐消失,自由开放的数据政策是全球经济发展协调下的理想模板。但根据现阶段全球数字经济呈现国别间不平衡的特征(如2018年全球已有超过一半以上的人口在使用互联网,其中发达国家网民占其总人口81%,发展中国家和最不发达国家网民仅占各自总人口的45%和20%①See UN,The Sustainable Development Goals Report 2019,https://unstats.un.org/sdgs/report/2019/The-Sustainable-Development-Goals-Report-2019.pdf,visited on 1 February 2021.),如果强行要求发展中国家和最不发达国家无差别地禁止数据本地化措施,其在数字经济中的相对弱势会加剧该领域贸易机会的缺失和不公平,严重威胁这些国家的发展权,不利于全球的经济发展和社会进步。因此,如果本轮谈判顺利形成共识,则无论肯定或否定数据本地化措施,都需要尊重各国发展的客观实际、至少允许(不管是原则性条款还是例外条款)成员采取必要的数据本地化措施。
2.至少允许成员采取必要的数据本地化措施
为最大程度弥合各方分歧,WTO电子商务诸边谈判应至少允许成员采取必要的数据本地化措施。可以参考前文对IIA例外规则的建议,允许一国基于国家安全的考虑,对来自于本国境内的特定数据采取必要的数据本地化措施。对于“必要”的具体内涵,由于多边机制涉及的国家与地区相较于IIA更多,各方利益诉求更加复杂,不宜在最终达成的诸边或多边文件中直接规定,而应充分尊重各国经济主权,由各国根据本国国情采用承诺清单的形式自主决定。例如,美国的提案就在主张禁止数据本地化措施的基础上,对金融业的数据存储作了特别规定,允许在一定条件下要求金融服务计算机设施本地化②See WTO,Joint Statement on Electronic Commerce Communication from the United States,INF/ECOM/23.。此外,WTO也可考虑为各成员提供对于“必要”的参考性意见,具体内容与前文在数据和网络安全例外中明确的“必要性”内涵类似。
3.对特定国家适用特殊与差别待遇
特殊与差别待遇是WTO的基本原则,是公平互利这一国际法基本原则在多边贸易中的体现。特殊与差别待遇原则要求在处理发展中成员问题时充分尊重发展中成员的发展权,允许发展中成员在一定范围和条件下背离WTO协议的一般权利和义务。
中国在本轮谈判的提案中呼吁应从发展层面考虑到发展中成员特别是最不发达成员的困难和挑战①See WTO,Joint Statement on Electronic Commerce Communication from China,INF/ECOM/19.,深刻契合了特殊与差别待遇原则。各方应当认识到发展中成员经济的可持续发展对发达成员的利益也至关重要,帮助发展中成员全面参与和融入全球数字经济体系,符合全体成员方的共同利益。尽管特殊与差别待遇近年来备受挑战,但要在电子商务谈判中针对数据本地化措施的基本问题达成共识,就应当注意尊重各国数字经济发展不平衡的客观现实,否则谈判必然陷入僵局。可以借鉴《贸易便利化协定》等WTO协议中贯彻特殊与差别待遇的做法,增加发展中成员发展数字经济的机会、保障发展中成员的利益。例如,允许发展中成员和最不发达成员根据自身实际情况制定合理的过渡期,在过渡期内可以针对数据本地化措施承担较少的义务;发达成员和数字经济产业发达的成员还可以为发展中成员特别是最不发达成员提供必要的技术援助,帮助这些成员尽快过渡。
部分西方学者从合规性角度对数据本地化措施提出了质疑,认为该措施涉嫌违背投资自由化精神:其作为市场准入区分了国内外投资者违反了国民待遇条款;该措施的施行影响了东道国法律制度的可预测性和稳定性,违反了公平与公正待遇条款;对外国投资者造成了具有歧视性的实质性财产剥夺,构成间接征收,违反了征收条款。但是,利用上述国际投资保护规则仔细考察数据本地化措施,可知判定其不合规的充分性明显不足,国际投资保护规则面对数据本地化措施陷入了适用“失语”困境。这虽与数据本地化措施的实行时间、真实目的、配套措施等自身因素有关,但根本原因在于国际投资保护规则相对于数字经济发展明显滞后,其症结主要体现为:第一,经济主权以属地管辖为原则滞后于东道国数据监管需求;第二,安全例外条款滞后于非传统国家安全需求;第三,数字经济国际治理滞后于数据本地化措施实践。为纾解上述困境,除了应革新部分国际投资保护规则的适用标准外,还应从东道国的角度出发完善IIA,平衡东道国数据监管权与投资保护义务,协调国内监管规则与国际承诺,明确IIA国家安全例外涵盖数据和网络安全以及设置必要的规则和程序防止该措施的滥用。最后从国际社会的角度出发,利用以WTO为代表的多边平台尽量弥合各方分歧,至少允许成员采取必要的数据本地化措施,并对发展中成员和最不发达成员适用特殊与差别待遇,由此缓解各方分歧叠加国际投资规则碎片化的负面影响,促进全球数字经济整体协调发展。