数据本地化的内涵分化与模式选择

范 婴

(北京师范大学法学院 北京 100010)

0 引 言

数据本地化是国际上发展最快的一个概念。它是伴随着法律义务的数据驻留，它要求在一国境内创建的数据保留在该国境内[1]。如果数据没有在本地存储或者处理，那么在哪些情况下，哪个主权国家的法律应该适用于这些数据，就会引起一定的混乱和担忧，从这个意义上讲，数据本地化简化了这一过程。现阶段，数据本地化措施也逐渐成为一个国家维护数据主权越来越普遍的方式，尤其是在地缘政治上不占主导地位的国家[2]。数据本地化在钝化地解决问题的过程中，自身也在成为需要解决的问题。厘清数据本地化内涵与模式，争取共识性标准有助于缓解规则碎片化而形成的贸易壁垒，减少贸易纷争，并最大程度上降低其对贸易的限制性影响。

1 问题的提出：什么是数据本地化

数据本地化涉及的主题具有广泛性、多样性和复杂性。从互联网治理到国际贸易法，从国家安全到监管标准再到透明度。因此，要充分的认识和理解数据本地化需要多维视角进行事实判断和价值判断，尽管数据本地化在其他领域同样具有重要的意义，但本文仅从与贸易有关的角度阐明其相关机理。

普遍认为“棱镜门”事件是数据本地化措施的关键催化剂[3]。从各国的实践来看，在当地进行存储和处理数据是有一定价值的，实施数据本地化法律国家的数量也足以证明这种态度。然而，关于数据本地化的内涵一直缺乏共识，导致对于什么是数据本地化这一概念截至目前仍没有一个普遍可接受的定义[4]。这种不确定性显然是无益的，因此，有针对性的对其现有的定义进行系统的梳理和分析，无论是在理论层面还是在执行操作方面都有重要的价值。

2 数据本地化的内涵分化

2.1 经合组织的观点

经合组织表示，良好的第一步是就数据本地化的通用定义达成一致。其提议将数据本地化定义为：直接或者间接规定在特定管辖区内以独占或非独占的方式存储或者处理数据的强行法或者行政性规定[5]。结合经合组织的定义，其在界定数据本地化时会更注重如下几个方面的特征：

首先，数据本地化既可以基于强行法的规定也可以基于一般的行政管理实践实施。这种界定的优点在于，我们要关注的是数据本地化现象本身，而不是其实施的方式。狭义的界定可能会刺激更多基于行政管理层面而产生的数据本地化。

其次，经合组织定义数据本地化的重点是“要求”而不是“鼓励”。如果一国通过鼓励措施将数据的存储和处理从管辖范围外吸引至管辖范围内，它就不属于数据本地化的范畴。例如，欧盟委员会2020年2月的一份文件指出：“欧盟应利用其有效的数据监管和政策框架，吸引其他国家和地区在欧盟进行数据存储和处理”[6]。

再次，该定义旨在强调任何类型的数据，无论是个人数据还是非个人数据都可能受到数据本地化要求的约束。然而，通常情况下，一国的数据本地化立法会具体规定哪种数据类型、哪些产业部门或者哪些类型的参与者属于受约束的范围。例如，中国《网络安全法》第37条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。其对关键信息基础设施的解释体现在该法第31条，具体包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子等重要重要行业和领域[7]。

最后，上述定义将数据本地化扩展至在特定管辖范围内既包含独占的方式也包含非独占的方式存储或处理数据的情形。所谓“独占式”是指数据副本不能离开的数据本地化要求，在“独占式”的场景下，数据被严格限制出境必须进行本地化的存储或者处理。而“非独占式”是指数据副本必须保留的数据本地化要求，因此，当副本的本地化存储条件满足时，数据跨境转移并不受实质影响。在有些国家，后者并非真正严格意义的数据本地化。

2.2 全球互联网治理委员会支持的观点

按照麦肯齐的合作伙伴James Kaplan和Kayvaun Rowshankish在全球互联网治理委员会发表的一篇论文中提出的观点，数据本地化按照从严至宽的程度可以分为以下四种主要类型：(1)数据导出的地理位置限制；(2)数据本身的地理位置限制；(3)基于许可的法规；(4)基于标准的法规[4]。

相较于经合组织的定义，Kaplan和Rowshankish对数据本地化的定义更为宽泛，但是过于宽泛的定义势必会混淆一些有价值被单独谈论的问题。例如，第一种模式下要求在特定管辖区内专门存储或处理数据的要求和第四种模式下仅在满足某些安全条件的情况下输出个人数据的要求完全是基本不同的考虑，这提醒我们注意要谨慎处理将本质上不同的现象捆绑在一个标签下的情形。

2.3 美国贸易代表办公室和《美墨加协定》中的定义

作为数字贸易壁垒的数据本地化在美国贸易代表办公室年度贸易评估的报告中是这样描述的：“包括在特定管辖区内存储数据设置不必要限制或要求在本地设置计算设施以及对跨境数据流的完全禁止”[8]。

据美国国际贸易会员会称：对于寻求从集中位置管理数据处理和网络管理功能的美国运营商而言，保护其免受本地化法律的影响至关重要[9]。认识到数字贸易市场带来机遇和自由便利，美国通常在其贸易协定中寻求禁止数据本地化的要求，第一例就是美国—墨西哥—加拿大协定(以下简称USMCA)，USMCA拥有一整章数字贸易的内容，包括禁止对数字产品征收关税、禁止歧视数字产品和服务的外国供应商以及禁止数据本地化的条款。其中针对数据本地化，协定措辞强硬的规定：任何一方均不得要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内，作为在该缔约方领土内进行商业行为的条件[10]。并且本章对数据本地化没有进一步的例外或限制规定。后来的贸易协定如《全面与进步跨太平洋伙伴关系协定》(以下简称CPTPP)[11]、最新的《区域全面经济伙伴关系协定》(以下简称RECP)[12]以及《新加坡—澳大利亚数字经济协议》(以下简称DEA)[13]虽各有例外的规定，但在同样的问题上几乎都使用了类似的语言。

相比经合组织和全球互联网治理委员会，晚近区域贸易协定中对“数据本地化”的定义更简练，也更强调义务性。它并不具体去细分，数据是需要在缔约国境内存储或是处理，也不强调副本是否允许保留，能被定性为数据本地化关键因素转换为对市场准入的限制性要求上：既不能以使用缔约国领土内的计算设施，也不能以在缔约国领土内建立计算设施作为在缔约国内从事商业行为的前置条件。即任何要求使用缔约国领土内的数据中心或者要求在缔约国领土内建立数据中心的行为，都属协定禁止的行为。

3 问题的延伸：视为贸易壁垒的数据本地化

3.1 问题的产生

对于全球大型科技公司而言，数据本地化所造成的直接成本是重复建设数据中心所要承担的全部费用，除此之外，还包括数据本地化在整体经济的传导中所带来的间接成本，例如系统效率低下、与全球价值链的联系减少、利用全球数据和技术资源的机会减少等后果。对于中小企业而言，由于无力承担昂贵的建设费用最终只能退出相关市场。

拥有众多科技巨头的美国认识到数据本地化对国内数字企业所产生的威胁，于是在其贸易协定如《美日贸易协定》、《跨太平洋伙伴关系协定》(CPTPP的前身)和《美墨加协定》中都加入禁止数据本地化的措施作为保障，保护美国的数字服务运营商免受本地化法律的影响。现如今，区域范围内自由化程度较高的贸易协定中几乎都引入了禁止数据本地化的相关内容，虽各有例外情形，但就禁止数据本地化的基本立场是一致的。

与此同时，实施数据本地化的国家数量却在四年间几乎翻了一番，从2017年的35个增加到2021年的62个。数据本地化政策(明确的和事实上的)总数也已经从2017年的67项增加到2021年的144项，增长了一倍之多。上述数字还不包含其他各国正在提议或者已经草拟的38项数据本地化政策[14]。

一方面，在区域范围内达成禁止数据本地化统一立场的贸易协定越来越多，另一方面，实施数据本地化的国家呈激增态势，而且在政策不断推进中，数据本地化也演化了出新的形式。例如，事实上的数据本地化政策。所谓事实上的数据本地化措施是指将数据传输复杂化、成本高昂且存在不确定因素，企业几乎别无选择，只能在本地存储数据，尤其是在面临巨额罚款的情况下[15]。

问题可能是因为框架设计不当使得数据本地化通常被视为潜在的贸易壁垒，而不考虑其保护数据安全和隐私的那一面[15]。从贸易的角度而言，同一政策目标的实现是否有替代性的解决方案或者在满足一定比例性原则的条件下是否已将对贸易的不利影响做了最大限度的调整。

3.2 数据本地化的不同模式

各国引入数据本地化除了表面上所追求数据安全、隐私保护、执法便利等政策目标之外，其真正的动机往往并不完全透明[16]。我们只能通过这些措施的外在表现形式和表现强度来洞察各国采取数据本地化的动机，是否偏离政策目标成为掩盖贸易保护主义的工具。

首先，非独占式的数据本地化优于独占式的数据本地化。前文已述，“独占式”是指数据副本不能离开的数据本地化措施，也即数据控制者需将数据完整保留在该国境内，禁止将数据的任何副本转移到外国，其实质是迫使外国公司将数据中心建立在该国境内；而“非独占式”是指数据副本必须保留的数据本地化要求，也即数据控制者在满足了数据的本地存储要求后，允许该数据其他副本向境外转移。这种方式下数据向境外传输或是在境外处理是不受任何限制的，而且可以最大程度上确保监管机构不会遇到与执行管辖相关的难题。相较于“独占式”的矫枉过正，“非独占式”的数据本地化是对跨境数据流动影响相对较小的处理方式。

还有一种新近的方法，在不规定数据本地化的国家或者地区，在限定或者指定的时间段内保留数据使其可供地方当局访问[17]。这种将数据仅在特定时间内保留的方法相对是无害的。例如，为审计目的存储数据是公司多年来必须遵守的规定。

其次，法律上的数据本地化优于事实上的数据本地化。数据本地化是主权国家进行数据管控的一种方式，通常会通过强行法的方式强化其对数据的控制权。例如澳大利亚2012年《我的健康记录法》、俄罗斯2014年修订的《个人信息保护法》、中国2017年《网络安全法》、印度2019年《个人数据保护法》都是法律上的数据本地化。而事实上的数据本地化，是将数据传输过程复杂化，不仅传输成本高昂且过程存在多种不确定因素。鉴于这种不确定性和潜在的巨额罚款，许多公司被迫采取保守的、甚至过度的数据管理方法来规避风险，最终将数据在本地存储和处理的行为。例如，欧盟取消了数据传输机制后，不仅没有为数据传输添加新的认证方式和其他新的法律工具，并且对保留机制如标准合同条款的限制和条件不断增加，潜在的促成了《通用数据保护条例》(GDPR)成为世界上最大的事实上的本地化框架[18]。

虽然法律上的数据本地化并不完美，有时也因其宽泛而模糊的类别限制，存在对大范围商业数据造成影响的情形，然而，相对事实上的数据本地化，它具有一定的确定性和透明度。相反，事实上的数据本地化通过严格限制其他数据的传输方式，对企业间接地施加压力，使其从根本上认识到其他替代方案的不可行或者不可控，最终“自愿”将数据进行本地存储和处理，这种行为最大问题在于政策的不透明和后期可规制的难度。由于此种行为并非出于强制又被称为“软性数据本地化”[19]。

最后，数据驻留优于数据本地化。数据驻留与数据本地化这两个术语之间存在较强的关联度，也存在互换使用的情形。所谓数据驻留是指企业出于政策原因将其数据存储在自己选择的地理位置，通常是为了利用一国的税收优惠制度。这种情形下，政府为企业提供有利的税收环境，作为交换，该公司制定数据驻留政策，规定所有数据必须在该国境内存储和处理。这其中也有企业对运营成本的考量，例如在该国建立数据中心成本较低或者使用当地数据服务商服务较优惠等。

相比数据本地化，数据驻留缺乏强制性，同时，作为数据控制者仍保留事实上的选择权，这种选择不是出于不满足条件下时巨额罚款的“威逼”而是纯粹出于企业根据自身发展需要的战略考量，是理想化的数据本地化策略。因此，无论从形式上还是在强度上，数据驻留都不是我们要克服的贸易壁垒。作为打造优质数字营商环境的国家，更应深入地研究数据驻留政策。

4 中式数据本地化的立法模式、应然分析及形塑路径

4.1 立法模式

在国际范围内，数据本地化是一直存在争议的对象，即使同是采取数据本地化的国家，也并不必然导致对他方的认同，前文已述，经合组织、全球互联网治理委员会、美国贸易代表办公室及国际上一些重要的贸易协定对数据本地化内涵的认识。然而，诸如许多已将数据本地化入法的国家一样，我们也无法在已有的立法文件中找到数据本地化的内涵界定，有鉴于此，我们仅能从这些数据立法文件中，推断出中式数据本地化的“究竟”。

《网络安全法》第37条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定[7]。通过对上述37条的梳理，可以合理推断中式数据本地化存储要求应是上述“独占式”的数据存储模式，特殊情况下，只有会同相关部门进行安全评估后，满足条件才能进行“非独占式”的转移。此外，《征信业管理条例》中对征信机构在中国境内采集的信息、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》对中国境内收集的个人金融信息和《汽车数据安全管理若干规定(征求意见稿)》对个人信息或者重要数据都采取了上述《网络安全法》的处理模式。

相比之下，《地图管理条例》和《人口健康信息管理办法(试行)》的规定则更加直接，通过强制性地将存放地图的数据和人口健康信息的服务器设立在中华人民共和国境内来实现数据本地存储和处理，区别在于前者的规定是义务性规范，而后者的规定是禁止性规范。

通过梳理上述关于数据本地化的法律文件可知，数据本地化在我国既可以通过法律或者行政法规的规定，也可以通过部门规章或是行政规范性文件规定，原则上无论是数据的存储还是处理都采取的是“独占式”数据本地化处理模式，是真正法律意义上的数据本地化。

4.2 应然性分析

数字经济时代，数据是新石油的格言虽被诟病不能反映数据的本质特性，但它确实在最基本的层面提醒我们，在这个时代，对数据的控制会持续性地获得经济和地缘政治上的优势。事实上，数据本地化最基本的原因总能追溯至数据的经济价值，当然远不止于经济价值。从地缘政治层面来看，各国数字技术和数字经济强弱不均，导致数据往往流向技术强势的国家，因此倒逼处于相对弱势的国家通过数据本地化的防御姿态，来守住本国的数据掌控权[20]。

中国的数据本地化起始于中国政府对跨境数据流动而引起国家安全问题的关注，从实际利益平衡的角度出发，跨境数据流动机制涉及立法者的多重考虑，随着网络空间地位的不断提升，网络安全成为事关国家安全的重大战略问题。网络安全关系到国家治理和社会运行重要行业和关键领域，例如能源、水利、公共服务等，因此，严重威胁到这些行业和领域的网络安全必然构成对国家安全的威胁。《网络安全法》第37条采取当地存储和出境评估相结合的模式，要求关键基础设施的经营者在境内执行数据本地化的要求就是在夯实网络安全的基础，有效地维护国家安全。

中国的数据本地化理念也使然于中国数字经济企业主要服务于国内市场的特殊需求，因此，其对跨境数据的流动不如美国数字巨头那样的强烈和迫切。同时，中国数字经济企业虽受制于国内严格且相对封闭的成长环境，但依托国内庞大的市场和众多的互联网用户，迅速发展并获取了垄断利润。基于对国内市场竞争优势的维持，数据本地化得到此类企业的拥护，他们自然无意于推动本国政府在相关贸易协定中做出额外的承诺减损其既得利益。

同时，作为高科技发展的基础资源，数据在国家战略中被赋予了非常重要的地位，被提升为国家的重要基础战略资源，数据不仅是未来技术发展的驱动力，也是我们从信息化迈向智能化的必备条件。因此，将数据作为一个稀缺资源保护起来，是数据本地化的基本逻辑。

中国的数据本地化是在特定外部环境和内部环境下，基于某种实用主义而做出的战略反应，它具有潜在价值和多重利益。总的来说，在国家整体安全观的指导下，实际安全需求、产业利益和技术发展都是推动数据本地化的主要力量，通过网络主权实现严格的数据本地化，再以政府主导的方式将其制度化。然而，在数字时代，保护主义不可能惠及未来。当这种严格的数据本地化措施遭到贸易伙伴的“对等待遇”时，无论是国内数字企业无法进入海外市场，还是市场价值较高的数据无法流入中国，都将对贸易产生实质性影响。

4.3 形塑路径

作为强化数据主权的法律工具，数据本地化的价值被越来越多的国家看到并且重视。然而，关于数据本地化的内涵和模式在国际上却一直缺乏共同认识和标准。因此，一个国家采取一种模式的数据本地化，并不当然地意味着对其他模式的接受和认可，这是当今数字贸易规则的“巴尔干化”在数据本地化上的映射。在多数国家仍视数据本地化措施为跨境数据流动为最主要挑战的大背景下，数据本地化规则的发展也将经历“去粗取精”的过程，这个过程不仅仅是对数据本身进行类型化，更重要的是将不同形式的数据本地化应用于不同的数据类型和数据场景。从国际贸易的层面上而言，这样的构架是为了将对贸易的限制性影响降到最低程度。

4.3.1营造非歧视性数字营商环境，鼓励数据驻留

从全球范围看，许多国际组织、政府部门和学界已经对数字经济或其具体领域开展了评价和测度，并且正在探讨形成数字营商环境的国家评价[21]。数字经济时代，数字基础设施是数字经济发展的基石，它不仅是构成国际组织评价一国数字营商环境的关键指标，也是各国优化数字营商环境面对的政策挑战。其中，数据中心是数字基础设施的重要组成部分。在“新基建”的推进下，对数据中心的建设要求进一步放宽准入门槛，优化频谱分配、轨道等资源，不断地降低使用成本；同时，无论是市场准入还是税收、补贴等政策一律推行竞争中立的原则，营造公平、公正、非歧视性数字营商环境。当他国的数字服务商不再是基于强行法的要求，而基于中国优质的数字营商环境将数据中心建立在中国时，就达成了数据驻留的政策目标，也从根本上排除了被定性为贸易壁垒的可能。

4.3.2建立重要数据的“正面清单”，提升规则的透明度

依据数据对象是具体还是宽泛，中国的数据本地化呈现出两种形态：一种针对特定类型的数据本地化，前述《征信管理条例》、中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》、《地图管理条例》等都是针对特定类型数据的数据本地化法律文件；另一种是相对宽泛类别的数据本地化，如采用“重要数据”“关键信息”或与国家安全相关的数据等表述方式，前述《网络安全法》采取的就是这种方式。这种方式最大的争议在于数据范围宽泛，在实操中缺乏明确的认定标准。

所谓满足透明度要求的数据本地化是指规定数据本地化的法律文件首先应是公开的，其次要具有一定的明确性和稳定性。而上述相对宽泛类别的数据本地化在界定数据类型时欠缺一定的明确性，这将不可避免地造成大范围商业数据受到波及的情形。在这方面，2021年5月12日网信办起草发布的《汽车数据安全管理若干规定(征求意见稿)》(以下简称《征求意见稿》)提供了一个很好的借鉴，《征求意见稿》开宗明义其立法目的是要保护与之相关的个人信息和重要数据，其后便对个人信息和重要数据做了详细的梳理，尤其是针对重要数据做了列举式的规定[22]。泛化的数据本地化规定方式，对跨境数据流的影响波及面广，不符合我们对数据进行分级分类的系统建设思路，钝化了数据本地化在数据安全、隐私保护等领域作用的发挥。通过建立正面清单的方式有助于厘清关键信息基础设施运营中收集和产生的真正需要本地化处理的重要数据，这不仅是为了提升规则的透明度，也为实操环节提供了更多的确定性，这也是过往一刀切进行防御过渡到精准定位解决问题的必经阶段。

4.3.3将“独占式”数据本地化严格限定在“公共政策”的范围内

“独占式”数据本地化是形式最严格的数据本地化，通常如果一个国家实施的是独占式的或者以独占式为主的数据本地化政策，其强化数据主权的同时必然叠加着贸易保护主义的动机，因为在独占式的数据场景下，代表着数字服务的“进口替代”。

结合《美墨加协定》第32章也嵌入式的融合了世界贸易组织《服务贸易总协定》第14条的一般例外，这种方式为各国根据自身情况提供了法律空间，从而开启了进行某种数据本地化的可能性，也为现阶段我们调整数字本地化战略提供了重要的价值参考。将“独占式”数据本地化政策严格限定在公共政策范围内，不仅符合目前国际上的实践，符合自身的实践[12]，也大大扫除了目前在这一领域内与高水平贸易协定存在的法律障碍，有助于我们进一步的开展多维度的国际合作。

5 结 语

将数据进行本地化存储和处理的“初心”并不是要将所有的数据本地化，然而，在没有精准化定位真正需要进行本地化存储和处理的数据之前，必将经历一段“野蛮生长”的过程，数据本地化规则的发展终究要从“钝化”走向“去粗取精”的发展道路。在这个过程中，首先，我们需要一个明确能阐述数据本地化内涵的定义，其次，要对真正需要本地化处理的数据类型化，最后，才是将不同模式的数据本地化应用于不同的数据类型和数据场景，以期最大程度上降低其对贸易的限制水平。数据中心本地化趋势的渐成，意味着未来数据本地化规则还会对贸易发生更深刻地影响，因此本文提出通过营造非歧视性数字营商环境，鼓励数据驻留，排除被定性为贸易壁垒的可能，减少这一领域内的贸易纷争；建立重要数据的“正面清单”，提升规则的透明度，有助于厘清真正需要本地化处理的重要数据； 同时，将“独占式”数据本地化严格限定在“公共政策”的范围内，既符合国际上的实践，也减少了在这一领域内与高水平贸易协定存在的法律障碍，有利于多维度的开展国际合作。