国际法语境下的数据主权规则探究

师 华 郭 乔

一、引言

自第三次工业革命开始,信息技术的高速发展推动了传统经济模式与国际贸易的变革,全球经济进入数字经济时代,与此同时,与农业经济时代和工业经济时代相同,出于各国各异的政治、经济、文化等基础条件,国家间对特定经济模式的治理思路及权衡重心并不一致,这种不一致在数字经济时代则体现于对数据主权治理、跨境数据流动的不同立法价值取向。数据主权概念最早见于法国媒体的报道,后被法国国家数字治理委员会加以沿用,自此出现在各国官方文件的相关表述中,但各国对于数据主权内涵、范围及特点的认定并不统一,在各种多边及区域协定中对于数据治理规则的规定大多也不具可执行性,而与数字经济治理关系最为密切的WTO《服务贸易总协定(GATS)》由于电子商务谈判未取得实质性进展,对全球数字经济的治理并不能起到应有的作用。在这样的背景下,为维护国家安全、维护个人信息安全、保证数字经济社会的高效与稳定发展,各国关于数据主权的研究和讨论具有正当性,而中国的数据主权规则也在摸索中前进。2021年开始,我国进入数据立法的密集时期,随着“数据三法”为框架的数据法体系的建立,中国的数据主权规则体系也逐渐明晰,由于各国数据治理的分歧、统一的国际规则仍处在萌芽阶段以及WTO法更新的滞后,在国际法语境下重新对数字主权概念进行明确,对各国数据主权治理规则进行梳理研究,并结合我国现有数据立法体系,对数据主权规则的完善提供建议,具有显著的必要性。

二、“数据主权”内涵及其实践

关于数据主权的性质,主流观点认为数据主权并非绝对独立于国家主权而存在,其本质为数字经济时代国家主权在数据领域的延伸及表达,(1)Jack Goldsmith,Sovereign Difference and Sovereign Deference on the Internet,The Yale Law Journal Forum,2019(3),pp.818-826.因此,明确数据主权的内涵需要回归国家主权的特点,而由于数据主权的内涵在学界并无定论,对其进行界定也需要结合数据主权与网络空间主权相比的特有价值、国际及各国涉外数据立法进行综合分析。

(一)国家主权及其网络空间主权、数据主权

国际法上的国家主权性质为国家自决权,即国家具有的不受其他国家干涉的、独立的根据其意志决定自身社会制度、国家形式、政府组织和处理以及决定国内外事务的权力,传统主权理论认为国家主权的客体及于国家领土的物理客体,而数据主权的概念显然将网络空间这样的虚拟客体和网络基础设备作为新的国家主权的承载物。有学者表示没有必要将数据作为一种新的国家主权的客体,这种观点认为,数据主权的主张可以依靠领土主权与网络空间主权加以实现,作为一种“物”,其主权化会冲击既定主权认知逻辑,(2)Jukka Ruohonen,The Treachery of Images in the Digital Sovereignty Debate,Minds and Machines,2021(31),pp.439-456.对这一观点,需要从国家主权特点的角度出发对数据主权逐一验证,认定数据主权作为新型主权是否适格。

传统主权理论的发展大致经历了四个历史时期,即亚里士多德《政治学》及《古罗马法》时期的人民主权说、博丹在其《国家论》中的民族主义国家主权说(封建统治主权)、卢梭个体意志的契约结合主权论以及德国邦治实践中诞生的主权拟制论,(3)参见[美]小查尔斯·爱德华·梅里亚姆:《卢梭以来的主权学说史》,毕洪海译,法律出版社2006年版。传统国家主权理论的贡献在于将人民主权的概念发展成为国家主权,为国际法上国家主权概念的进一步发展创造了理论基础;国际法上的国家主权理论自格劳秀斯开始历经近四百年的发展趋于成熟,取得了稳定的共识,国外学者如布朗利、魏智通等,国内学者如王铁崖教授、梁西教授,在对国家主权内涵的认定上基本认可并继承了国际法理论中对国家主权特征的观点,即国家拥有的对内事务处理权力的至高性和对外关系的独立性,(4)王芳:《浅析亨金在国际法上的主权思想》,《行政与法》2012年第8期。这样的特征从奥本海对主权概念的界定也可以得出,奥本海认为主权是最高权威,即一个独立于世界上任何其他权威之外的权威。因此,依照最严格和最狭隘的意义,主权含有全面独立的意思无论是在国土以内或在国土以外都是独立的。(5)[英]劳特派特修订:《奥本海国际法》(上卷第一分册),石蒂、陈健译,商务印书馆1971年版。从各学者对国家主权的定义分析,国家主权并不排斥任何客体作为其权力表达的对象,不论是自然资源还是虚拟资源,都可以成为国家主权的客体,有学者认为网络空间主权的存在使数据主权没有存在的必要,因为数据作为一种虚拟资源,其主权表达的需求可以完全通过网络空间主权加以实现,(6)陈曦笛:《法律视角下数据主权的理念解构与理性重构》,《中国流通经济》2022年第7期。这需要进一步明晰网络空间主权与数据主权的关系。

首先,不可否认,在实践中数据主权晚于网络空间主权出现,约翰·巴洛在1996年发表的《网络空间宣言》宣称网络空间相较于现实空间具有独立性,(7)John Perry Barlow,A Declaration of the Independence of Ceberspace,https://www.eff.org/cyberspace-independence,last visited on February 8,2022.这一表述旨在突破现实领土的法律管辖权,即网络空间主权的本质仍是一种基于管辖权需求的表达,而关于数据主权与网络空间主权概念在理论界的混用属于常见现象,这一点在美国及北约盟国制定的《网络活动适用国际法塔林手册2.0》中同样得以体现,该手册强调国际网络空间合作以“网络主权”为基础,据此有学者认为西方国家已无法避开网络空间主权来讨论网络自由,(8)王爱玲、达妮莎:《坚持“网络主权”的中国声音及国际认同分析》,《大连理工大学学报(社会科学版)》2020年第6期。黄志雄教授在其文章中对西方学界关于网络空间主权的主张进行梳理时认为,绝大多数西方学者支持将传统国际法规则应用于网络空间,《网络活动适用国际法塔林手册2.0》中倡议将外交和领事法、国际电信法等应用于网络空间正是基于这样的观念。(9)黄志雄:《网络空间规则博弈中的“软实力”——近年来国内外网络空间国际法研究综述》,《人大法律评论》2017年第3期。这里的网络空间主权显然具有传统主权“疆域”和“司法管辖”的内涵。而与现实空间不同的是,领土范围内的实在客体多种多样,而网络空间的客体只有数据,网络空间主权无法脱离这一单一客体存在,两者并非可替换的容纳关系,而是紧密结合的共存关系,缺一不可,(10)徐凤:《网络空间主权与数据主权的确立与维护》,《北京社会科学》2022年第7期。将数据类比于矿产等自然资源,属于对客体唯一性认识的不足,从个人信息保护与国家安全的意义上来讲,数据所载信息的实际价值远远超过网络空间本身的工具价值,两者呈现“目的”与“手段”的关系,共同创造了以高效为特征的数字经济,有观点指出需要“正视数字经济时代效率价值的重要地位,避免过度僵化地固守传统主权”。(11)刘天骄:《数据主权与长臂管辖的理论分野与实践冲突》,《环球法律评论》2020年第2期。可以认为在传统主权理论中管辖权此时可以放在数据主权的内涵下讨论,即虽然网络空间主权早于数据主权出现,且符合传统主权理论逻辑,但由于其客体的唯一性,这种逻辑不具有现实意义,即使我国在多部文件中对网络空间主权的概念进行了确认,但并不因此排除数据主权存在的必要性,仍可以将网络空间主权内涵下的法律管辖置于数据主权的内涵下进行讨论,两者相互依存、相互关联,直接排除数据主权概念的存在不利于参与国际数据治理。

其次,数据对国家安全的重大影响也非自然资源在相同语境下能够类比,数据本身并无价值,但数据所载信息的价值则无法衡量,棱镜门事件让世界各国感受到了来自数据领域的国家安全危机,自此各国普遍加强了数据本地规制和网络安全管理,这种对国家安全的直观联系和重大影响同样无法以自然资源类比。广泛应用于社会生活、国家事务方方面面的数据,具有牵一发而动全身的重大作用,数据立法也已然成为各国在数字经济时代主权表达的重要领域。

最后,网络空间主权并不是数据的唯一载体,诸如大型数据存储设备、可移动硬盘甚至是便携式电脑等网络基础设施在现实领土的跨境移动都会引起数据主权的连锁反应。因此,认为网络空间主权可以完全覆盖数据主权的表达途径无从谈起。

综上,数据主权作为新兴主权概念的存在不但具有理论可行性,同时也符合数据在数字经济、国家安全和个人信息保护中的重要地位,不论出于国家自身政策需求还是出于国际数据立法竞争的考虑。诚然数据主权的界限仍有待大国竞争与妥协后产生的规则加以确认,但并不影响其概念存在的现实意义。

(二)数据主权的国际法实践

此处的国际法指各种国际协定,即非国家单独进行立法的法律文件。在全球范围内影响力较大的多边、双边协定中,数据主权规则集中于个人隐私保护领域,主要的法律文件包括亚太经合组织(APEC)的跨境隐私规则体系(CBPRs)、欧盟与美国签订的《欧美隐私盾协议》、《美墨加协定》(USMCA)以及我国参与的《区域全面经济伙伴关系协定》(RCEP),在这些文件中,部分国家推行自身数据治理规则,因此这种数据主权并不体现在法律制定权的冲突,而是体现在国家规制权冲突。

这样的冲突首先体现在《欧美隐私盾协议》引发的案件中。欧盟GDPR(《通用数据保护条例》)要求个人信息的处理应当征得当事人的事先同意,而在美国《加州消费者隐私保护法》中,则采取让当事人事先决定处理规则的方式,即只有在当事人不同意个人信息被处理时才需要事先告知,这种差异致使欧美相关协议无法签订。而在棱镜门事件中,欧盟法院认为美国在该事件中的所作所为违反欧盟法相关规定而导致《安全港协议》(《隐私盾协议》的前身)无效,这是欧盟在数据争议的司法管辖权上对美国的强势回应。这样的数据规制权推行行为在USMCA中也有所体现,其第19.8条规定协定成员方认可CBPRs的有效性,(12)赵海乐:《数据主权视角下的个人信息保护国际法治冲突与对策》,《当代法学》2022年第4期。第19.8条第2款规定,各方制定保护个人信息的法律框架应当参考APEC的CBPRs框架及OECD(经济合作与发展组织)制定的《关于保护隐私和个人数据国际流通的指南的建议》,(13)参见USMCA网站:https://usmca.com/digital-trade-usmca-chapter-19/,最后访问日期:2022年8月30日。虽然APEC与OECD的原则不够具体且约束力有限,与欧盟GDPR的强规制性相比可能会引发质疑,(14)Andrew D,Mitchell &Neha Mishra,Regulating Cross-Border Data Flows in a Data-Driven World:How WTO Law Can Contribute,Journal of International Economic Law,2019(3),pp.389-416﹒但作为APEC个人隐私规制的核心规则,CBPRs对企业互认具有显著作用,满足条件的企业间能够进行数据自由流动,具有强烈的美式数据自由主义色彩。而在RCEP第12章第15条的相关表述中,虽然并未直接体现出某个特定国家的数据主权倾向,但其关于国家自决及非歧视的表述则将数据主权之争重新摆在缔约国之间。RCEP第15条规定,缔约方不得阻止基于商业行为的电子方式的跨境信息传输,但允许缔约方采取为实现公共目标所必要的措施,且该措施不违反不构成任意或不合理的歧视,或不构成变相的贸易限制的条件,(15)RCEP,Art.15.这样的表述显然借鉴了WTO法例外规则的表述,并直接将其应用在数据跨境领域之上,但这种国家自决的表述不仅在RCEP中显得十分模糊,即使在WTO争端解决机构(WTO/DSB)的相关案例中也需要通过必要性测试的方式加以确定。因此,该条款对缔约方的可执行性、约束力值得怀疑,最终仍然避免不了各国基于不同数据主权主张下的规制措施产生争议。

数据主权在国际法上的实践表现了规制权上的冲突,但表现形式多样,包括司法管辖权的冲突、特定国家对自身数据治理规则在国际条约中的推行,以及试图弥补WTO法在数据治理上的缺位,但未能做到统一国家自决标准的国际条约的立法尝试,而即使该国际条约统一了缔约国数据治理的各项标准,在其逐步发挥影响力的过程中,又会无法避免地与非缔约国间的数据治理规则产生冲突。

(三)数据主权的国内法实践

此处国内法实践是指各国国内立法中对数据跨境流动(即涉外部分)加以规制的内容,按数据流动的阶段可以分为对数据的本地化存储规制和数据出境规制,国内法层面的数据主权表达能够更直观的体现国家主权在数据治理上的至高性和独立性,但这并不意味着数据主权的任何表达都是合理的,与传统国家主权一样,数据主权也应受到一定的限制,否则就有可能侵犯他国数据主权。

首先是数据出境规制措施,具体可分为境外数据收集权和境外数据接收者资质要求两种类型。美国《云法案》对1986年的《存储通信法》进行了修改,赋予美国执法机关长臂管辖权,其有权通过传票或令状要求相应企业提供位于美国境外的数据,这种不合理的数据获取授权在美国数据立法中并非个例。早在1978年《外国情报监听法》第702条中就规定了美国国家安全局(NSA)对于外国公民的情报收集只需基于合理怀疑就可以实施,并且期限可长达1年。显然,美式数据治理已经超出了国家主权内涵下的平等原则,其数据主权实践实质上已经成为一种“数据霸权”的实践,其通过所谓授权行为获取的大量数据信息,不但侵犯了其他国家公民的个人隐私,同时也对他国国家安全造成严重威胁。中国长期以来也受到这种美式数据霸权的侵害,2022年9月5日中国国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告,显示美国国家安全局下属的特定入侵行动办公室针对中国的网络目标实施了上万次恶意网络攻击,先后使用41种专用网络攻击武器装备,对西北工业大学发起攻击窃密行动上千次,窃取了一批核心技术数据。美方还长期对中国的手机用户进行无差别语音监听,非法窃取手机用户的短信内容,并对其进行无线定位。(16)参见《西北工业大学遭网络攻击事件调查报告发布:网络攻击源头系美国国家安全局》,https://capital.huanqiu.com/article/49Wu7Q71Xf6,最后访问日期:2022年9月1日。可以看出自棱镜门事件爆发后美方非但没有收敛其数据霸权和非法监听行为,反而进一步加剧了这种行为,这种数据霸权导致国际规则在制定时需要对各国数据主权的边界进行确定。对境外数据接收者资格的要求也是一种对数据出境的规制,最具代表性的法律规定是欧盟GDPR第44-50条,它规定了两种个人数据出境的条件,一是被欧盟认可其数据保护能力的第三国,二是欧盟未予认可但主动采取了达到欧盟GDPR相同数据保护水准的境外数据接收方。(17)参见《通用数据保护条例》第1条及第44-50条,https://gdpr-info.eu/,最后访问日期:2022年9月1日。GDPR被称为史上最严格、保护水平最高的数据保护规则,可想而知对于其他国家而言,要满足欧盟数据保护标准难度较高,GDPR的数据出境规制事实上造成了一种数据本地化的效果,因此,欧盟在其数据治理中也在推行其数据主权规则。

其次是本地化存储规制。为应对数据跨境流动的消极影响,众多发展中国家采取了数据本地化措施,但在这些措施中具体模式和内容不尽相同,其中较为严格的数据本地化立法模式被认为构成对数字贸易的本地化阻碍。(18)韩静雅:《“本地化贸易壁垒”法律规制研究》,对外经济贸易大学2016博士论文。以印度和俄罗斯为例,印度对个人隐私数据按照重要程度做了分类,规定“关键个人信息”只能在印度进行处理,在电信数据方面,电信部门要求本地存储和处理用户信息,并禁止转让与用户或用户信息有关的会计信息。(19)戴永红、陈思齐:《印度数据本地化:网络利益边疆的碰撞与机遇》,《南亚研究季刊》2022年第2期。俄罗斯《信息、信息技术和信息保护法》修正案要求个人信息必须存储在俄罗斯境内,而网民所接收的数据也必须在境内存储6个月以上,(20)何波:《俄罗斯跨境数据流动立法规则与执法实践》,《大数据》2016年第6期。从对数据跨境流动的限制程度来看印度和俄罗斯都属于强数据本地化国家。而在发达国家中,数据本地化措施也是被广泛采取的,如澳大利亚《个人控制电子健康法》要求个人健康数据禁止向外传输,(21)Personally Controlled Electronic Health Records Act 2012,Division 3,Art.71,“Prohibitions and authorisation limited to health information collected by using the PCEHR system.”韩国在地图数据出境方面的限制等。(22)参见《韩政府决定不批准谷歌地图出境申请》,http://ku.m.chinanews.com/wapapp/zaker/gj/2016/11-18/8067592.shtml,最后访问日期:2022年12月27日。相较于发展中国家的数据本地化措施,发达国家的数据本地化措施明显更为温和,限制的范围和严厉程度都不及发展中国家。

综上所述,在界定数据主权和传统国家主权、网络空间主权关系的基础上,结合数据主权在国际法和国内涉外法的实践表达,参考传统国家主权定义,笔者认为可初步对国际法上数据主权的内涵进行界定:即一国拥有的平等、独立参与国际数据治理和不受他国干涉、对本国数据进行治理的国家主权。

三、中国的数据主权规则现状

我国目前已经完成了数据立法的基本框架,以《网络安全法》《数据安全法》及《个人信息保护法》为数据基本法的数据法体系正在完善,其中涉外部分即数据出境规制的内容,主要包括数据分类分级、本地化存储和数据出境安全评估三个部分。在当前国际数据治理的背景下,我国数据主权的行使面临着与新国际规则衔接以及旧国际规则合规的双重问题,前者需要解决我国行使数据主权时“走出去”的问题,后者需要解决我国数据治理规则与诸如GATS的旧国际规则相抵触风险的问题,对此需要进行进一步研究。

(一)中国数据主权规则立法概况

1.数据分类分级

根据上文分析,数据主权的内涵包括一国拥有的对本国数据进行治理的权力,因此,无论是作为国内数据治理措施还是作为数据本地化措施实施前提的数据分类分级都满足国家行使数据主权的特征,尤其对于数据分级而言,《网络安全法》第37条规定的“重要数据”是确定数据本地化对象的法律依据,但不论是《网络安全法》还是《信息安全技术重要数据识别指南(征求意见稿)》都无法明确地给出“重要数据”的特征,在数据分级上仍有待进一步讨论。对数据本地化措施而言,数据分类分级是其程序的起点,只有完成数据分类分级,才能确定什么数据属于《网络安全法》第37条规定的“关键基础信息”,对数据出境安全评估程序而言同样如此。数据分类分级一开始被规定在《网络安全法》第21条第1款第4项中,要求网络运营者自行采取分类分级,但并未明确分类分级的标准,随后出台的《数据安全法》在第21条对此作出了专门规定,分类标准包括数据在社会经济发展中的重要程度、遭到非法获取、非法泄露对国家安全及社会主体权益的损害程度,并且从2023年1月1日开始实施的《工业和信息化领域数据安全管理办法(试行)》对数据级别规定为三级,即一般数据、重要数据及核心数据(见表1)。这种对内通过数据分类分级形式的数据主权表达对外也具有重要意义,如印度同样对数据进行分类分级,但其分类标准与我国并不相同,在涉及跨国企业的数据互通时,就会产生因这种分类不同而导致的数据本地化及数据出境的冲突,影响企业数据互通的效率及经济成本,但数据分类分级的积极影响则在于使得数据类型在进入本地化或出境评估程序前得以事先确定,避免了数据本地化措施对象的不确定性和数据出境安全评估对象的不确定性。

表1 《工业和信息化领域数据安全管理办法(试行)》数据分类分级表

2.本地化存储

《网络安全法》第37条首次提出数据本地化存储的原则性要求,央行、卫健委等部门机构也相继在自身所处的部门出台带有数据本地化内容的管理办法,数据本地化措施在《个人信息保护法》第40条被再次加以确认,用以规制个人信息跨境传输。我国采取数据本地化措施的立法意图是明确的,总体看是为了消除数据跨境流动的消极影响,具体来看这种消极影响表现为对公民个人隐私安全及国家安全的威胁。除了被动保护功能,数据本地化措施的主动经济价值和司法价值也是立法所考量的因素,其经济价值是通过消除数据跨境流动的不良影响而产生的,而其司法价值则是指采取数据本地化措施给司法管辖带来的便利。如微软公司与美国法院管辖权争议一案,(23)See U.S.Supreme Court:United States v.Microsoft Corp.,584 U.S.(2018).美国司法部要求对微软位于爱尔兰境内的服务器(数据中心)进行数据调查,经过多次审理,爱尔兰法院否认了美国法院调查令的合法性,但从美国法院角度考虑,微软系其境内企业,其有权对微软的服务器数据行使调查权。上述矛盾的产生,围绕数据中心的所在地而展开,基于法院判决,可以看出在数据中心离岸的情形下,行使跨境司法管辖权并无强有力的依据,因此,要求企业在本国境内建立数据中心,一定程度上将会增加司法管辖的便利,避免国与国之间的管辖权争议。

数据本地化措施的立法价值衡量无疑体现了数据主权在国内政策自决上的至高性,其为司法管辖所提供的价值同时也满足国家主权要求的司法管辖权,因此,数据本地化措施立法同样是对我国数据主权规则的表达。对比欧盟的事后问责制非本地化措施,数据本地化毫无疑问能够给予用户个人信息以更高的保护水准,在数据跨境前进行管制相较于事后问责制,措施实施的有效性更能得到保障。

3.数据出境安全评估

欧盟GDPR对数据出境以限制境外数据接收者资质的方式进行规制,导致了事实上的数据本地化,这是欧盟对数据规制行使主权的方式之一,而在中国也存在这种数据出境限制的主权表达。2022年7月7日,国家网信办发布了《数据出境安全评估办法》,专门就安全评估事项作了充分的规定,在这之前与数据出境评估相关的内容也在《个人信息出境安全评估办法中(征求意见稿)》得到了体现,《数据出境安全评估办法》的发布整合了之前的《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》中关于个人信息保护的重要内容,本文以《数据出境安全评估办法》为例说明数据主权在数据跨境中的行使。

《评估办法》规定以下四种情形需要进行数据出境评估,包括重要数据、关键基础设施运营者、数据量累计达到100万以上的个人信息处理者、上一年1月1日起提供个人信息数据量累计达到10万或达到1万的个人敏感信息的出境及网信部规定的其他情形;评估程序包括申请前自行评估、申请、书面通知及复议;评估内容包括出境目的、数据内容和风险、境外接收方资质、境外接收方义务和承诺、标准合同内容等,作为数据出境的第三道程序,不符合条件的数据仍不能跨境传输,其中对境外接收方资质的要求与GDPR表述相似,但基于中欧不同的数据保护标准,对境外数据传输造成的实际限制效果并不相同,但同样属于国家对数据行使管理权的立法活动,在这样的管理下,只有满足法律规定和评估条件的数据才可以获准向境外传输流动,显然属于数据主权在数据跨境中的表达。

(二)中国数据主权规则面临的问题

我国的数据立法中与国际规则接轨以及限制数据跨境流动面临着新旧国际规则的矛盾,一方面是全球层面并未在数据治理领域形成统一的规则,另一方面是GATS的更新停滞、WTO电子商务谈判未产生实质性成果,国家数据治理与原有规则间存在冲突。

1.数据治理分歧

数据治理分歧不仅体现在国家对国内数据治理的不同立法倾向上,也体现在国家参与区域协定后体现的不同治理倾向上。对欧盟而言,其高标准的个人隐私数据出境限制基于其单一市场战略,政策目的则是为了在数字经济时代继续加强欧洲一体化进程,消除欧盟成员国数字壁垒、增强成员国数据互信;(24)陈家宁、张建文:《跨境数据流动治理的中国方案——以〈数据安全法(草案)〉为视角》,《长春理工大学学报(社会科学版)》2021年第2期。而美国的数据治理逻辑则倾向于将其数据霸权进行全球化扩张,主要变现为国内法的“长臂管辖”和“域外授权”,并希望通过积累的数字技术优势拉开与其他国家的差距;对于发展中国家如印度和俄罗斯而言,其采取的数据跨境流动规制措施显然出于保护主义而较为保守,为了应对数字风险的威胁而采取强有力数据本地化措施是其印证。

在国际规则方面,CPTPP(《全面与进步跨太平洋伙伴关系协定》)第14章电子商务在第14.11.1-3条分别规定了允许成员方各自采取监管要求、成员方需要允许用于开展业务的包括个人信息在内的信息传输、成员方的措施满足不构成任意或不合理的歧视、不构成变相贸易限制且不超过必要限度的条件,(25)CPTPP,Art.14.11.1-3.其中14.11.3条的表述与RCEP第15条接近,14.11.2条的表述与USMCA第19.11.1条接近,但USMCA第19.11.1条措辞更加严厉,规定缔约方不得禁止或限制跨境信息传输,(26)USMCA,Art.19.11.1.且USMCA与CPTPP都明文规定不允许成员国将数据中心本地化(计算机设施本地化)作为在其境内开展业务的前提,虽然CPTPP在随后采取了例外条款赋予成员国数据中心本地化正当化事由,但仍有因条款具体适用问题引发国家间争端的可能,在这一点上WTO法例外规则的实际适用也有同样的问题,毫无疑问CPTPP与USMCA都是美国推行其数据治理逻辑的国际实践,跨境数据流动自由主义是美式数据治理的核心利益诉求,(27)谭观福:《数字贸易中跨境数据流动的国际法规制》,《比较法研究》2022年第3期。但在从北美走向亚太的过程中对相关敏感条款的用词逐渐温和,这表现出美式数据治理逻辑对与亚太各国数据治理逻辑差异的妥协。我国自2021年9月正式提出加入CPTPP后形成了数据三法的立法成果,并正在就实施细则与CPTPP的衔接进行进一步研究,处理美式数据治理和中国数据治理逻辑的差异、达成协定层面的一致是接下来的重要议题。

2.GATS框架下的合规风险

一方面,在新自贸协定(FTA)层面美国推行其数据治理规则,另一方面,每年2月其发布的《中国WTO合规报告》,均对中国数据规制措施提出了质疑,尤其是对我国数据本地化措施的合规性质疑,美国贸易委员代表办公室在2021年发布的《中国WTO合规报告》中数字服务部分对我国数据本地化立法措辞的具体性、严厉性加以评价。(28)参见USTR网站,https://ustr.gov.综合分析其近年来发布的《中国WTO合规报告》,在市场准入、国内法义务及国民待遇方面对我国提出了质疑。与此同时学界对数据本地化措施的合理性颇有议论,部分学者认为我国数据本地化措施程度过高,不利于对外经济运行,存在阻碍社会生产力提高的可能。(29)马蒂亚斯·鲍尔:《数据本地化的代价:经济恢复期的自损行为(摘译)》,《汕头大学学报》2017年第5期。应当承认的是,数据本地化措施的内涵包括中心本地化及存储本地化,对外企在中国开展业务造成了额外的成本,且在我国的数据出境程序下加大了数据出境的时间跨度,在数据跨境的服务属于跨境交付服务模式且属于GATS调整的前提下(依据为联合国中间产品归类细则),(30)UN,Provisional Central Product Classification,ST/ESA/STAT/SER.M/77,1991.其确实限制了数据在不同国家间的传输,属于GATS能够调整的影响服务贸易的限制措施,则有一定的合规、涉诉风险。学界讨论较多的为数据本地化措施的合规风险,而对于数据造成的实际限制效果来看,数据流动的规制措施基于各国不同的数据规制倾向也存在合规争议,比如在要求企业在本国境内设置数据中心、复杂的数据出境安全评估程序造成的时间成本等就可能构成对GATS国民待遇原则、国内法义务等内容的违反。(31)张明:《国际贸易法视阈下数据本地化措施的边界及其协调——以〈个人信息保护法〉为切入点》,《南大法学》2020年第6期。

四、完善中国数据主权规则体系的方案

中国数据主权的体系在数据三法的背景下已经铺开,对数据的分类总体上以个人信息数据和非个人信息数据划分,辅之以数据本地化措施和出境安全评估程序,形成了国内数据主权和域外数据主权的两种主权表达形式,对与国际规则接轨和GATS框架下的合规问题,可以分别通过开展国际合作建立域外主权规则体系和促进WTO下数据保护框架的方式解决。

(一)主动参与国际合作

数据主权的概念围绕传统国家主权概念发展而来,从其概念诞生起就不可避免兼具国内主权行使与国际主权行使的双重属性,国内规则与国际规则的良好衔接是促成完整数据主权表达的必经之路,从我国积极申请参与CPTPP的实践来看,政府对国际合作和协商、调整国内数据治理规则持有较为开放的态度,也只有通过参与国际规则才能缔造更为包容开放的国内市场,并以此使国内企业更加高效地走向境外市场的路径,促进国与国、市场与市场、企业与企业之间的数据互信。

具体来看,首先,美式数据治理逻辑和欧盟的数据治理逻辑的主张都强调排除数据本地化措施的适用,但其参与的各类型FTA的具体条款却为数据本地化措施的适用留足了空间,不论是OECD的《关于保护隐私和个人数据国际流通的指南的建议》还是APEC的CBPRs都制定了较为宽松的数据监管合作模式。以此为契机,我国可选择的多边协定较多,由于各协定间不存在非此即彼的排斥关系,因此在接下来有关数据立法的实施细则和实施办法中可以在原数据本地化措施表述的基础上,制定适中的操作标准,为与美式数据自由流动主义留好协商空间,为加入CPTPP做足准备。其次对于欧盟强调非本地化规制的主张,在其参与国际数据治理时明显无法得到共识,欧盟采取单一市场政策,但跨国企业的存在和对境外市场的需求使其不得不对其数据主权做出让渡,这也是传统国家主权在国际法上的惯常做法,而对其数据出境标准而言,立法措辞与我国《数据出境安全评估办法》第8条第2款表述接近,可以通过谈判确定具体标准是否能够达成一致,在协商、妥协的过程中完成域外主权体系的建设。

(二)构建WTO项下数据保护规则框架

WTO仍是世界范围内参与国家最多、规则体系最为完善的合作机制,但现如今WTO运行现状饱受争议,2020年上诉机构最后一位法官任满卸任后,上诉机构停摆,在经济全球化背景下展开的电子商务谈判也未取得实质性成果,国际经济合作正在从全球化走向区域主义,有观点认为从GDP的角度分析,全球化发展的黄金时代已经结束。(32)张燕生、裴长洪、毕吉耀、洪晓东、杨国华、宋泓:《中国与世界贸易组织:回顾与展望》,《国际经济评论》2022第1期。笔者认为这种从全球化走向区域化的现状是数字经济与全球利益集团分化的体现,本质仍是一种新的经济竞争阶段,区域经济要进一步发展,最终仍然会走向全球化,现阶段任何FTA或BIT(双边投资协定)都是新一轮竞争中对规则话语权的争夺和较量,WTO代表国际社会形成的共识,其长期实践形成的国际商业习惯和商业道德在国际经贸活动中有着举足轻重的作用,且WTO法框架下的规则仍是众多FTA条款的重要参照。

首先,由WTO数据立法停滞导致的各种合规风险,根本上都需要以WTO法的更新加以解决,在WTO框架下对数据治理规则形成共识将会是一项长期工作,但基于WTO能够提供给更广泛国家以参与制度制定过程的资格,其形成的规则将具有更广泛的效力,更能促进数据跨境流动初衷的实现。其次,WTO法以市场为导向,对促进数据治理和国际经济运行的良好联动具有特殊作用,因此,构建WTO数据保护框架对实现我国数据主权的对外效力具有经济层面的现实意义。

五、结论

数据主权概念从国家主权及网络空间主权概念中独立出来不但在逻辑上可行,也更利于我国融入国际数据治理的话语体系,但这种独立并非否认数据主权对国家主权的依附性,这种独立体现为数字经济时代国家主权理论的新发展,这种独立相对而非绝对。国际法语境下的数字主权主要包括国际规则层面和国内法的涉外规则层面,全球数据治理分化和分歧短时间内难以达成共识,我国应当制定适中数据治理规则,在对国家安全和个人隐私提供有效保障的前提下促进数字经济发展,为加入如CPTPP等国际数据治理规则留出政策空间。