赵海乐
(吉林大学法学院 长春 130012)
随着互联网技术的高速发展,数字经济已经成为国际经贸关系的重要组成部分。尤其是在新冠疫情背景下,数字经济的重要性愈发凸显,国家间争夺主导权的博弈也势必更加激烈。此种博弈既可以体现为规则博弈,如欧盟于2018年正式生效的《通用数据保护条例》就是其界定全球数字贸易规则的一次重要尝试;也可以体现为微观层面的市场争夺,如限制外资进入本国数字贸易市场或扶持本国企业争夺世界市场份额。最为典型的例子,是Tik Tok全球投资所遭遇的法律障碍。2020年8月,美国外国投资委员会(CFIUS)着手对字节跳动在2017年对美国音乐类短视频应用Musical.ly的收购进行调查;2020年8月6日,特朗普政府又先后针对Tik Tok和微信发布交易禁令。此禁令的实施意味着从2020年9月20日起,Tik Tok和微信在美国的业务将无法继续进行。与在美投资类似,Tik Tok在欧洲的投资也同样一波三折。2020年6月,欧盟正式启动对Tik Tok在欧洲投资的数据保护安全性审查。此次调查缘起于对Tik Tok未成年人数据保护的质疑,但随后规模和范围逐步扩大至综合性审查。
表面上看,上述种种事件似乎意味着以Tik Tok为代表的中国互联网企业“出海”连续受阻,我国国内相当一部分媒体也将两起事件相提并论。然而,从国际经济法的视角来看,Tik Tok在美欧所遭遇的法律障碍全然不同:美国政府2020年8月禁令的法律依据为《国际紧急经济权力法》,而对Tik Tok并购Musical.ly的调查则是外资安全审查。二者关注的重心均为Tik Tok在美经营行为是否构成对国家安全的威胁。而欧盟对Tik Tok进行调查的法律依据则是《通用数据保护条例(GDPR)》,调查内容为Tik Tok的数据保护是否符合欧盟标准,此种调查本质上是数据安全审查。这就不能不令人产生质疑:鉴于并无证据表明,Tik Tok在美欧经营策略存在根本差异;那么,为何美欧对Tik Tok的风险评估会存在如此大的差异?
不仅如此,对当前美欧数据治理比较研究的文献进行回顾还会发现,既有研究不但无法为上述问题提供答案,反而使其更加费解。目前,国内外学界能够达成共识的是,美欧数据治理模式差异首先源自于其思想基础差异——欧盟更加强调人的尊严,而美国则更多强调人的自由[1-2]。此种思想差异直接导致美欧数据治理法律模式差异:欧盟将个人信息作为基本权利加以保护,美国则更加注重数据主体的自由选择与信息自由流动[3],因而形成了欧盟立法“权利话语”与美国立法“市场话语”的价值分歧与制度设计分歧[4-6],并最终在国际经济法领域转化为美国鼓吹的信息跨境自由流动,与欧盟坚持的个人信息保护优先之间的冲突[7]。美国向来是数据自由的积极支持者,在各种FTA谈判当中均坚持数据自由流动、坚决反对数据本地留存等任何限制措施。与之相反,欧盟则主张数据自由必须受到限制、且坚决反对将数据保护问题作为贸易谈判的筹码[8]。上述种种思想、制度与国际主张的差异,足以加剧美欧态度差异带来的疑惑:美国强调“市场话语”、强调信息跨境自由流动,却又为何从服务贸易与外资准入两个方面对Tik Tok加以限制?欧盟要求对数据自由进行限制,此种谨慎态度为何又未延伸至对外资的专项审查(见表1)?这一问题仅从数据治理角度显然难以自圆其说。
表1 美欧数据治理模式差异在Tik Tok事件中的反映
不仅如此,当前对美欧外资政策的研究也同样无法解释其对Tik Tok规制路径差异。现有研究表明,美欧外资政策、尤其是其2018年以来“新政”的共性远大于差异——美欧分别于2018年和2019年通过《外国投资风险审查现代化法案(FIRRMA)》与《建立外国直接投资审查框架条例》,二者均提及了敏感信息保护问题[9]、且共同表现出对中国投资的特别关注[10]。而究其成因,上述共性又很大程度上来源于美欧对我国经济实力与产业竞争力的危机感与不适感[11]。那么,为何对“敏感信息”的共同关注与对中国崛起的共同危机感,仅在美国而非欧盟转化为对外资的不信任?此种从法律到实践的反常,原因必然不只在于美欧的数据治理或外资政策本身,而是在于美欧在数据治理当中对于外资的态度,究竟服务于何种政治经济利益。对此,本文将从Tik Tok事件切入,对美欧数据治理模式进行比较分析,在此基础上探讨其成因,并对我国未来的对策和数据治理立法模式提出建议。
2.1总体趋势:隐私权保护基础上的数据自由美国并不具有欧盟式的、以“信息保护”或“数据治理”为标题的联邦法律,其数据治理法律更多体现为对既有的隐私权概念进行拓展与修正,进而对个人信息保护提供理念支持。如,美国加利福尼亚州2020年1月正式生效的《加州消费者隐私权法((CCPA)》在提及隐私权是加州宪法中不可剥夺的权利的同时,也为数据持有者施加了严格的隐私保护要求。而对于这一现象的原因,我国学者通常认为,这是由于美国独特的建国历史导致其民众对政府的高度不信任,因而具有完备的隐私权立法,甚至将其作为“宪法未列明的权利”加以保护[1]。
或许正是由于此种对政府的不信任,美国对数字贸易的规制向来秉持着自由主义思想。对于国内数字经济,美国向来秉持行业自律理念,不愿对企业经营进行多政府干预。而在国际经贸领域,美国近年来订立的绝大多数FTA均坚决反对数据本地存储,主张应当努力避免对跨境电子信息流动施加或保持不必要的障碍[12]。例如,《美韩FTA》第15章第8条“跨境信息流动”规定,“各方认识到信息自由流动对促进贸易的重要性、以及保护个人信息的重要性;各方应当努力避免施加或维持对电子信息跨境流动的非必需的障碍。”而在《美墨加协定》当中,第19章“数字贸易”第2条措辞与上述第15章第8条几乎完全一致。第19章第8条虽名为“个人信息保护”、强调保护个人信息的经济与社会功能(第1款)、且列举了个人信息保护的关键原则(第3款),但随即立刻强调,“各方同样认识到,任何对跨境个人信息流动的限制都必须是必要的、与风险相称的”。第19章第11条更是明确禁止了对跨境信息流动的限制,除非其为实现合法公共政策目标所必需,且实施方式不得构成任意或不合理的歧视、对贸易的变相限制,以及不得超出实现上述公共政策目标所必需的限度。这一“除外”条款脱胎于GATT第20条“一般例外”,但对两个“必需性”的要求甚至较之于“一般例外”条款更加严格。
2.2问题:数据自由有别于数据控制者自由上文分析表明,美国是数据自由的坚定支持者。考虑到信息跨境流动具有双向性,美国所支持的数据自由,固然体现为外国信息应当不受阻碍地流入美国境内,但同时也应当对等体现为,美国信息可以不受阻碍地流入外国数据控制者母国。然而,美国近年来在外资监管问题上的种种做法,却恰恰反映了其对外国投资者的严格限制。
一方面,在国际投资领域,美国对可能导致外国企业控制美国敏感个人信息的并购给予了特别关注。具体来讲,2018年正式通过的美国《外国投资风险审查现代化法案(FIRRMA)》及其实施细则当中提出了“TID美国企业”的概念,其中TID分别指关键技术、关键基础设施与敏感个人信息。外国投资者对TID美国企业的并购即便不获得控制权,只需能够接触企业实质性技术、任命董事或参与信息使用、保存、公开等决策,该交易就会受到美国外国投资委员会的审查。持有或搜集敏感个人信息的美国企业如果向美国行政机关、军事部门提供产品或服务;或该企业在12个月内持有信息数量超过100万人,则该企业构成TID美国企业。对其的并购审查具有更低的“门槛”。
另一方面,在并购审查之外,美国还对外国企业与美国进行的货物与服务贸易加以限制。2019年5月,美国政府根据《国际紧急经济权利法(IEEPA)》颁布了“维护信息与通讯技术与服务供应链的行政命令”,其中规定,“外国敌对者正在创造与利用信息和通讯科技的弱点,以从事恶意的网络行为,包括经济与产业间谍。”“虽然在信息与通讯技术领域以及整个美国经济当中维持开放的投资环境对美国经济增长和繁荣非常重要,但此种开放应当与保护国家免遭国家安全威胁的需求相平衡。”该行政命令因而禁止“任何美国管辖范围内的人和财产购买、进口、转移、安装、交易或者使用信息与通讯技术或服务,如果该交易涉及外国政府或者外国人拥有利益,且交易涉及的信息与通讯技术或服务是由外国敌对者拥有、控制或管辖、指示的人设计、研发、制造、供应的。”此行政命令在实施过程中可以产生四重阻却效应:其一,阻却货物贸易的进行,如禁止美国企业进口包含中国5G技术的路由器;其二,阻却在美投资的外国企业参与美国市场竞争,如禁止华为(美国)公司在当地生产并销售手机;其三,阻却外国互联网企业在海外向美国提供服务;其四,阻却在美国投资的外国互联网企业在美国提供服务。从这一角度来看,上述行政命令不仅属于贸易禁令,实际上也等同于投资禁令。其对投资者参与市场竞争的禁止,在效果上几乎无异于“间接征收”。
此次Tik Tok在美国遭遇的法律障碍,实际上属于美国外商投资规则与上述行政命令共同作用的结果。Tik Tok并购Musical.ly引发美国外国投资委员会审查,并非由于交易金额过于巨大、或交易本身涉及美国军事利益,而是Musical.ly主营的音乐短视频业务当中包含了大量个人信息。这与此前的patientslikeme、Grindr与蚂蚁金服并购案的审查理由几乎完全一致。2020年8月的Tik Tok禁令在援引上述2019年行政命令后随即表示,Tik Tok在美国下载量极大,且自动获得了大量用户信息,包括地址信息与搜索浏览信息。这因而会导致中国政府获得美国人的个人与财产信息,进而设立个人信息库以供勒索或商业间谍活动,最终危及美国国家安全、外交政策与美国经济。
2.3小结:美国的“不信任”从何而来?综上,美国国内数据治理模式以隐私权保护为基础,以企业自律而非政府主导为基调;美国在数据贸易问题上以数据自由为圭臬,坚决反对外国政府强制性的数据本地存储要求。然而,在外国互联网企业在美国的经营问题上,美国却又一改在前两个问题上的态度,坚持以政府为主导、对外国数据控制者在美国的经营行为进行严格审查;且拒绝以包括数据本地存储、算法公开等方式化解国家安全风险。
对于上述矛盾,一个简单的解释方案是美国拒绝政府对数据流转的任何干预,这在国内治理与数据贸易问题上因而体现为自由主义倾向,但在国际投资领域则体现为对“可能由中国政府幕后参与”的中国投资者多加提防。然而,此解释方案的问题首先在于事实证据问题。包括Tik Tok在内的中国投资者是否与中国政府存在关联,即便是美国政府也并无证据。即便是在2020年8月的Tik Tok禁令当中,对此的描述也大量使用了“传闻(reportedly)”一词。这在美国政府行文中极其罕见。更重要的是,自由主义一词并不意味着法治必然缺位。美国即便坚持自由主义数据治理模式,也完全可以通过法治手段为外国投资者的行为划定边界,而非贸然以国家安全为名动辄阻碍国际贸易与投资。此种高度政治化的政策选择,必然服务于美国国家利益。而此种利益究竟如何,本文对此的剖析将在对美欧实践进行比较研究的基础上得出结论。
3.1欧盟数据治理模式:拒绝因贸易利益消减个人基本权利与美国不同,欧盟对个人数据一向作为基本权利进行保护。2009年生效的《欧洲基本权利宪章》当中集中概括了欧洲公民的基本权利,其中就同时包括隐私权(第7条)与获得个人信息保护的权利(第8条)。欧盟2018年生效的《通用数据保护条例》则是在其前身1995年《数据保护指令》的基础之上,进一步细化了个人信息保护规则(《条例》第3章)与个人数据流动规则(《条例》第2章、第4章、第5章)。就个人信息保护而言,根据《条例》第6条,对个人数据的处理原则上应当基于数据主体的同意,对此的例外仅包括实现数据主体利益、履行公共职能、保护第三人利益、维护公共利益等有限几种事由。与之相对,数据控制者与处理者若无法履行《条例》第四章规定的义务将承担责任。就个人数据流动而言,根据《条例》第45条、第46条,欧盟原则上限制数据由欧盟境内转移至第三国,除非该第三国已经由欧盟委员会认定能够对信息提供充分保护,或信息控制者、处理者能够提供适当的保障措施与救济措施。
从数据治理模式上看,欧盟模式是典型的政府主导立法模式。与之相对应,欧盟在FTA谈判当中,也屡屡强调个人基本权利的不可动摇。例如,在《欧盟-韩国FTA》第7章“服务贸易、企业成立和电子商务”当中就强调“缔约方重申其保护基本权利与个人自由的承诺,应当采取充分的保障措施保障隐私权,尤其是涉及个人信息的传输。”(第7.43条(b)款)第6章第8条第2款同时规定,“个人信息的传输只能在获取信息一方承诺至少达到提供信息一方所在国同等保护水平的情况下才能进行。”《欧盟-韩国FTA》的临时适用早在2011年就已开始,在《通用数据保护条例》生效后,欧盟也与韩国积极展开了关于数据保护充分性的协商。
与《欧盟-韩国FTA》相比,《欧盟-日本经济伙伴协定》对个人数据权利的保护则更为激进,直接通过例外条款将个人信息保护排除出了该协定规制范围。其第8章“服务贸易、投资自由和电子商务”第3条“一般例外”规定:“为遵循与本章规定不相抵触的法律法规所必需的措施,且此措施涉及……保护与处理和传播个人信息相关的个人隐私权,以及保护个人记录与账户保密权。”这就意味着,《通用数据保护条例》的适用将免受贸易自由与投资自由规则的限制。不仅如此,协定第8章第81条“信息自由流动”规定,在本协定生效之日起(2018年)三年内,缔约方将重新分析是否有必要将信息自由流动条款纳入此协定。而就在三年期尚未届满的2019年1月23日,欧盟已与日本达成了《通用数据保护条例》项下的“充分性决定”,认定日本政府承诺对其数据保护进行的一系列改革措施足以对来自欧盟的个人信息提供充分保护。来自欧盟的数据因此可以合法传输至日本。
3.2欧盟数据安全规则:对他国政府行为的法治化要求上文是对欧盟数据保护总体态势的概述,而欧盟对数据安全的强调,又体现为两个方面:
其一,欧盟的外资审查规则当中有限提及数据安全问题但并未在实践当中大规模应用。欧盟2019年3月的《外国直接投资审查框架》第4条“成员国与欧盟委员会可以考量的因素”当中规定,在确定外国直接投资是否可能影响安全或公共秩序时,成员国与欧盟委员会可以考量投资对关键基础设施(包括数据处理或存储)的影响;外国投资能否接触包括个人信息在内的敏感信息或是否有能力控制此信息。只不过,即便是在新冠疫情影响下,上述条款也并未引发与个人信息保护相关的重大争议。对此条款的应用多半集中于医疗相关产业的并购。
其二,欧盟在对第三国数据保护的“充分性”考量当中,集中分析了欧盟数据安全问题。此处的“安全”,不仅仅是欧盟数据是否被第三国企业妥善保管,更重要的是,对方国家是否会以公共利益、国家安全为由,侵害欧盟数据安全。对此最为经典的论述,当属美欧“安全港”与“隐私盾”系列争议。在“安全港”案当中,欧洲法院明确表示,信息出境的前提条件,是对方国家能够对信息提供充分保护,且“充分保护”标准之一是对方国家需建立有效的违法检查、监督与惩罚机制。然而,安全港协定事实上并未对美国政府的行为进行任何规制。协定首先允许美国政府在“国家安全、公共利益或执法所必需”的情况下偏离安全港原则;同时,美国政府有权制定与“安全港原则”相冲突的法律,且美国国内企业有义务优先适用美国国内法、且有权无视与之相冲突的信息保护规则。最后,即便美国政府获取欧盟信息超出了必需性与目的性要求,数据主体也仍然无法在美国法框架下寻求救济。欧洲法院因而认为,美欧安全港协定不能对欧盟信息提供充分保护。
此案判决作出后,美欧再次进行数据跨境流动谈判并达成“隐私盾”协议,但此协议再次被欧洲法院认定为“不足以为欧盟数据提供充分保护”:虽然美国已经承诺因国家安全、执法或其他公共利益目的访问欧洲数据应当严格限制在达到合法目标所必需的程度、且提供对此的法律保障;然而,根据美国《外国情报监控法(FISA)》,外国情报监控法院仅仅对监听项目进行年度许可,而不对个案进行授权;其仅仅负责分析监听项目是否服务于获得外国情报信息这一目标,但并不处理“为获得信息对个人的监听是否适当”这一问题。这因而不符合欧盟法当中的比例原则。不仅如此,信息主体同样无法享有对美国情报机关的诉权。
如果说上述两起案例从反面强调了欧盟视角下的数据安全应如何与他国国家安全实现平衡,那么,欧盟与日本之间的数据安全协议就正面给出了教科书式的回应。欧盟认为,日本如下承诺充分满足了“充分性”要求:首先,日本同意约束其境内企业保护敏感信息与个人权利;其次,日本建立独立的信息保护机构且允许法院对规则的实施加以执行;第三,日本政府承诺在刑事执法与因国家安全目标访问信息时提供额外保障,保证对个人信息的适用符合必需性标准与比例原则,以及,对此提供独立救济渠道。最后,日本将设立投诉机制以调查来自欧盟、对于日本政府访问其信息的投诉。
或许正是由于欧盟数据保护立法的强势地位,目前欧盟对Tik Tok的审查也集中在数据安全方面。欧洲数据保护委员会在其2020年6月10日的报道当中强调,《通用数据保护条例》所管辖下的所有数据控制者均应遵守其规则,不论该公司是否位于欧盟境内。仅从此报道而言,此次调查是否涉及数据跨境流动的目标国数据保护充分性问题尚不可知。不过,鉴于Tik Tok当前的数据中心分别位于美国和新加坡,即便进行“充分性”调查,其中的“数据流动目标国”很可能不是中国。目前尚不能确知,此全面调查是否会取代欧盟各成员国的调查进程。不过,Tik Tok于2020年8月在爱尔兰设立数据中心的行为如果能够保证欧洲数据存储不需出境,这或可有效减轻其合规压力。
上文对美欧数据治理与外资规制模式的分析足以表明,数据治理并不必然体现为国家安全问题,数据治理也完全可以以高度法治化、内外资平等、甚至于国家间平等的方式进行建构。因此,美欧间差异并不源自于法治手段的缺乏,而是源自于二者数据治理目标的差异:美国偏重于数据治理的国家安全向度,因而时时处处体现为对外国数据持有者的防范;欧盟偏重于数据治理的私权保护与数据安全向度,因而更加注重对“持有数据”这一行为的关注。对于这一现象的分析将分别从美欧实践的政治目标与经济目标两方面进行。
首先,对于美国而言,强调数据治理的国家安全向度有助于其大国竞争战略的实施。将数据治理“安全化”,只不过是特朗普政府上台以来一系列“安全化”举措的具象之一。所谓“安全化”,是指将一个非政治问题当做对国家生死存亡的严重威胁提上日程,进而使用超出传统政治经济手段的方法加以处理。此种“安全化”行为的范例,就是2018年美国先后对钢铁、铝、汽车提起的“232调查”。此次事件的动因是上述产品对美出口激增,这原本应当是WTO框架下通过保障措施可以解决的贸易摩擦。然而,特朗普政府对此提起的“232调查”本质上是对进口产品如何危及国家安全展开的调查,进而以国家安全为由完全规避了保障措施合法性问题。与之类似,美国选择在Tik Tok事件适用国家安全手段,这其中无疑存在大国竞争的考量——美国将任何对其国际领先地位的挑战视为对其国家安全的威胁,来自中国的挑战尤为如此。
“安全化”策略不仅能够服务于特朗普政府总体政治目标,也能够为其“信息自由”与“外资限制”这一具体政策组合提供合法性依据,进而服务于美国数字产业的总体利益。具体来讲,美国鼓吹数字贸易开放、且大量通过FTA促成数据自由,是因为美国本身是数据贸易强国。不论是以数据为载体的贸易(如亚马逊)还是以数据为内容的贸易(如谷歌)都是如此。正如海军力量强大的国家会主张公海自由,美国主张数据自由、坚决反对数据本地留存,除服务于其数据监听等政治目标之外,从经济角度来讲,也希望借此减少本国企业受到的限制。不仅如此,美国对外国企业进行贸易与投资限制,本质上仍然在于,美国更加希望本国企业独享数字经济红利,不希望引入他国竞争者分享美国乃至于世界市场。此处的“本国企业”,显然不包括在美国进行绿地投资或并购的外国投资者。综上,美国数字经济领域在世界上的绝对优势地位,决定了其不愿为其互联网企业的全球扩张施加任何国内法与国际法的壁垒。而“安全化”策略能够帮助其“合法”摆脱国际贸易、投资规则的影响[13],为其鼓吹的数据自由创造例外,为其双重标准自圆其说。
与美国相对,欧盟更加强调数据治理的个人信息保护成分。欧盟不仅给数据主体设定了具体权利,而且为数据持有者、欧盟成员国政府机关乃至于外国政府机关设定了不得侵犯私权的义务。此种数据治理模式反映在欧盟数字贸易谈判当中,一方面体现在跨境数据流动问题上对他国信息保护的“充分性”审查,另一方面体现为在FTA谈判当中拒绝因贸易利益牺牲数据保护,甚至将数据保护完整排除出贸易协定的规制之外。从这一角度来讲,对欧盟与非欧盟企业“一视同仁”的信息保护要求,既有利于维护欧盟核心价值,也有利于欧盟在国际上树立信息保护的标杆形象。
不仅如此,欧盟上述数据治理模式,同样服务于其经济利益诉求。相对于美国而言,欧盟数字经济并不发达,并不具有能与美国相抗衡的本土互联网企业。其本土市场反而被谷歌、facebook等美国企业大规模“入侵”。从这一角度来讲,要求外国企业在数字贸易当中遵循其严格的数据保护规则,首先服务于对市场的有效规制与欧洲公民权利保护,是否客观上增加市场主体的成本则未必在欧盟考量范围之内。与此同时,对别国政府数据保护“充分性”的严格考量,可以反向激励外国企业在欧盟投资。较之于甚至无法课征数字税的跨境数字贸易而言,外国互联网企业在欧盟的投资反而更加符合欧盟利益。投资首先意味着就业与税收的增长;与此同时,外国投资者遵守欧盟数据保护法律,甚至将数据在欧盟本地存储,这同样会服务于欧盟数据安全。这因而不难理解,为何欧盟内部市场专员Thierry Breton会在论及Tik Tok规制问题时表示:“我不愿对任何企业施加准入禁令,我只想清晰的告诉他们规则究竟是什么。”事实上,Tik Tok拟在爱尔兰设立欧洲数据中心,恰恰是深受国际互联网企业青睐的欧洲数字重镇。其优势不仅仅在于气候、语言和欧洲自由市场,还包括爱尔兰本身稳定的法治环境和对互联网企业投资的大力支持。
综上,美欧分别秉持数据自由与数据保护的数字治理模式;且分别坚持“国际贸易领域的数字自由与外商投资限制”,以及“数字贸易领域相对保守与在投资领域相对开放”。这一现象看似矛盾,但归根结底仍然是美欧数字经济实力差异与发展路径差异的直接结果。美国的总体政治经济实力与数字经济领域的绝对优势地位,决定了其无意于为其互联网企业的全球扩张施加任何国内法与国际法的壁垒。Tik Tok事件在美国高度政治化的处理方式,本身就是一种合乎美国理性的选择。这一路径既能够服务于特朗普政府的政治诉求,同时也有助于保护美国本土互联网企业。与之相对,欧盟在数字经济领域的相对弱势,则意味着其更有可能在立法上更加保守,在维护欧洲公民基本权利不受侵害的基础上有限度地接受数据自由。美欧自身的规制逻辑虽然相异,但均能形成逻辑自洽的“闭环”。而对我国而言,一方面需探讨应对之策,另一方面也应对我国未来的政策选择进行思考。
美欧数据治理模式的差异,是其经济利益与政治需求共同作用的结果。美国数字经济总体实力占优、但无法主导世界市场;欧盟整体处于守势,但其法律影响力同样不容忽视。而对我国而言,面临的首要问题,就是如何应对以Tik Tok事件为代表的互联网企业“出海”法律障碍。
从我国互联网企业“出海”趋利避害的角度来讲,美国当前并非互联网企业投资的理想地点。这不仅仅是由于美国政府对其的敌意,还在于美国即便拥有三权分立的政治体制也无法对其行政机关进行有效的监督。Tik Tok即便在美国提起违宪审查且最终胜诉,其最理想的结果也不过是与“罗尔斯公司诉奥巴马案”类似。美国宪法审查至多能够维护Tik Tok的正当程序权利,而无法就其是否真的有违美国国家安全作出裁决。除此之外,鉴于中美之间并无投资协定,即便美国当前的做法等同于间接征收,我国企业也同样缺乏有效的诉权。就国家间争端解决机制而言,即便对Tik Tok的禁令可能构成对服务贸易的限制、以及可能引发TRIMS协定项下的法律问题,但将此问题诉至WTO同样会面临对“安全例外”的解释问题[14];WTO上诉审的缺失也足以导致WTO司法救济的实际失灵。
不过,与美国相比,欧盟对互联网企业的态度或可给予我国企业投资的空间。欧盟向来是多元文化的倡导者与“媒体多元(media pluralism)”的支持者,且在英国脱欧之后,欧盟境内已无“五眼联盟”成员国。以上事实与“棱镜门”事件后欧盟对数据安全更加理性的态度共同意味着,欧盟完全可能以更加中立的态度看待中国在其境内的投资。此外,欧盟数据治理规则固然严格,但其《通用数据保护条例》的广泛管辖权直接导致我国企业不论在欧盟投资与否均需遵循其数据保护规则[15]。欧盟至少选择相对法制化的路径对敏感信息相关领域的外商投资进行规制。而对于中国企业而言,鉴于Tik Tok并不介意信息在美国的本地存储乃至于托管,在欧盟建立数据处理中心、遵循欧盟高标准的信息保护模式并不会根本上影响企业的海外利益。
在分析总体国际环境的同时,我国同样有必要研究美欧数据治理模式的不同构建方式,为我国自身的制度构建提供参照。这不仅仅是由于我国确有立法需求,还意味着,我国国内法一旦制定,对外数字贸易谈判与外商投资规制就必须以符合上述立法的方式进行。我国商务部既无权限也无必要突破现行国内立法另起炉灶。从我国目前已完成的数据治理立法来看,现行立法总体思路与欧盟更加类似但不完全相同。
首先,我国具有类似于欧盟的数据本地留存制度,但仅限于特定情形下的本地留存而非以数据本地留存为原则,在范围上小于欧盟。其次,我国在数字贸易谈判当中从未支持过美国式的数据开放主张,且FTA当中具有个人信息保护条款。此种立场与欧盟较为接近。当然,鉴于我国仅在与澳大利亚、韩国、新加坡签订的FTA和RCEP当中包含完整的“电子商务”章节,且缔约模式除RCEP之外仍然属于传统的“电子商务”立法,此问题就现有资料分析或许不够全面。第三,我国刚刚铺开类似于欧盟“充分性”审查的数据跨境传输安全管理试点,对数据跨境流动安全评估、数据保护能力认证、数据流通备份审查、跨境数据流动、交易风险评估等进行实验。虽然具体制度设计尚未可知,但这些制度本身的存在就意味着我国在数据传输问题上整体趋向于欧盟式制度构建。最后,对于个人信息的国内法保护,我国《民法典》第一百一十一条、第四编第六章均已对此进行了规定。其中,第四编第六章名为“隐私权和个人信息保护”,其中第一千零三十四条明确对“隐私权”保护与“个人信息保护”进行了区分。此种立法模式尤其类似于《欧洲基本权利宪章》当中将隐私权与获得个人信息保护的权利相分离的立法模式。
以上四点共同表明,我国未来的数据治理模式将秉持欧盟式的政策取向。从《网络安全法》《民法典》到《数据安全法》,我国数据治理模式已经逐步清晰。不过,在具体制度安排方面,仍有如下几个问题需要明确:
首先,我国对个人数据的保护确立于《民法典》,但具体保护手段,究竟应当采用纯私法保护方式,还是私法保护与公法保护并行的方式?美国采用前一种立法模式,是因为其立法的总体放任态度;欧盟采用第二种立法模式,允许私人就数据保护问题提起民事诉讼,同时也有专门的数据保护机构依职权展开调查。对我国而言,数据安全固然不宜采取美国式的国家安全手段,且《数据安全法(草案)》已原则上规定了数据收集者、处理者与国家机关的相应义务与责任。然而,对于法律义务的强制执行、法律责任的具体追究机关、追究方式,却仍需更加详细的行政法规、部门规章加以配合。对此的细化,将不仅有利于我国数据治理,更有利于在对外数字贸易谈判当中主张数据的对等保护。
其次,我国对外进行的自贸谈判,同样有必要随着国内数据治理的不断完善而逐步升级。上文已经表明,我国仅有4个FTA包括电子商务章节,且除RCEP之外的其余FTA仅有原则性提及个人信息或消费者信息保护。这与当前热议中的数字贸易规则谈判相去甚远。从我国国家利益出发,为扶持我国互联网企业“出海”,固然应支持在个人信息保护基础之上的数据贸易自由,如有必要亦可采取GATs模式的负面清单式开放模式。但不论如何,对于我国应当在何种程度上实现数据开放与信息保护的平衡,我国需要构建自己的数字贸易谈判模板而非被动跟随谈判相对方的步调。对一些数字经济不发达的国家而言,这一问题或许无关紧要。例如,上文分析美欧数据治理模式时曾先后提及《美韩FTA》与《欧盟-韩国经济伙伴协议》,韩国在两份FTA“数字贸易”章当中的态度甚至是完全相反的。这也客观上反映了数字贸易问题在韩国自贸谈判当中的边缘地位。然而,鉴于我国客观上需要在数字谈判当中参与规则制定,我国仍需在坚定自身态度的基础上寻求国际共识。
最后,我国在建立完备的数据治理与数字安全规则的同时,应谨慎将数据安全上升至国家安全问题,对数字贸易和互联网企业外商投资的国家安全审查应作为“例外”而非常规手段。除关键基础设施、金融数据等特殊领域之外,不宜以国家安全为由为当前数据治理立法创设例外。与之相配合,在面对他国数据贸易、投资限制时,根据《数据安全法(草案)》第二十四条进行的对等报复也将有章可循。