数字贸易背景下数据本地化法律问题研究

王 睿，宋兴鸽

（沈阳工业大学文法学院，沈阳 110870）

我国《数据安全法》等法律形成数据出境监管机制的初步框架，以数据安全为原则，限制跨境数据自由流动，是保护国家主权、安全和发展利益的重要举措。尽管对关乎国家安全的数据限制流通实质上形成了数据本地化，但是仍然具有合理与合法性。在跨境数据流动日益频繁的当下，廓清数据本地化的性质，为数据本地化的立法提供合理证成，是促进跨境数据健康自由流动的重要前提。

一、数据本地化的基本概念

数据本地化的概念并不统一：吴玄认为数据本地化是主权国家进行数据管控的一种方式，要求数据控制者将在一国收集的数据（个人和非个人信息）存储在境内，经审查可跨境传输。[1]陈咏梅、张姣则认为，数据本地化指一国要求收集或产生于该国的数据存储于境内，并限制或禁止数据跨境流动。[2]韩静雅则认为数据本地化是本地化贸易壁垒的新形式，包括数据中心本地化和数据本地存储。[3]董静然认为，数据本地化是指任何要求公司将存储和运行的数据中心设立在一国境内的规则或政策。[4]数据本地化作为对跨境数据流动进行法律规制的措施之一，影响着数字贸易的发展。数据存在于互联网体系架构中，要确定数据本地化的具体内涵需理解互联网体系的架构。互联网体系构架包括物理层、逻辑层、内容层。物理层处于最基础地位，主要包括计算机、服务器等设施。逻辑层主要包括传输协议和标准，例如TCP/IP 协议。内容层包括经由互联网传输的文字、图片等信息和资料，其内容可以直接被人类所理解。[5]数据主要存在于互联网内容层中，[6]通过程序处理后最终存储于物理层。故此，数据本地化的规制对象主要是计算设施。数据本地化的概念也以设施本地化为核心。数据本地化的性质属于国内法规政策，实施主体是国家，执行者是数据控制者。但是基于数据的流动性、可复制性特征，存储于本国的原始数据仍然可能通过流动进而失去控制权，因此就需要限制其流动性。

二、数据本地化的性质

（一）贸易壁垒与数据本地化

贸易壁垒又称贸易障碍，主要是指一国对外国商品劳务进口所实行的各种限制措施。GATT 旨在促进贸易便利化，通过约束关税等措施促进国际贸易正常发展。然而随着科技的发展，一些国家利用技术优势抢占国际市场，并设置政策标准限制他国进入，阻碍贸易发展，形成了新的非关税贸易壁垒，包括绿色贸易、技术性贸易、劳工标准等。数字时代，学者提出数字贸易壁垒，含义为采取关税或非关税措施限制数字贸易活动。[7]美国贸易代表办公室（USTR）发布的2017 年国家贸易预测（NTE，national trade estimate）中将数字贸易壁垒分为四类，包括数字本地化壁垒、技术壁垒、互联网服务壁垒、其他壁垒。USTR 发布的《2019 年全国贸易评估报告》，将印度、欧盟、印尼、中国和越南列为数字贸易领域壁垒最严重的国家或联盟。由上述分析，文章将贸易壁垒的要件划分为：以国内政策为表现形式、以贸易限制为规制方式、以维护本国产业贸易优势为目标。数据本地化以国内政策为表现形式，通过对数字贸易中的跨境数据流动设置限制，从而实现维护本国利益，符合贸易壁垒的构成要件。

（二）数据本地化的性质

数据本地化在学者的论述中大多被认为是贸易壁垒，[8]不符合数字贸易的发展趋势。从贸易壁垒的概念和构成要件出发，数据本地化属于贸易壁垒的范畴。但是数据本地化仍然具有合法性与合理性。

在合法性方面，贸易自由化以主权国家存在为前提，即使是GATT 与GATs 等国际条约，也仍然承认国家基于安全条款所采取限制贸易的做法为合法。CPTPP、DEPA、RCEP 也规定国家可以基于合法公共政策目标限制跨境数据流动。在合理性方面，学者多以数据主权来论述。[9]数字贸易背景下，国家基于主权仍然可以制定符合本国利益的数据本地化政策。

此处需要澄清的一个问题是，网络空间是否属于主权国家管辖的范围，有学者认为，将国家主权适用于网络空间是对传统威斯特伐利亚主权的突破。也有学者认为网络空间的组成部分与活动受领土主权的支配，网络空间的组成部分不能免于领土主权或免于国家管辖权的行使。[10]与数字贸易息息相关的是网络空间的界定问题。数字贸易以互联网信息技术为技术基础，而网络空间并非独立之地，相反是国家领土的延伸。国家主权可以延伸至网络空间，从基础架构设施的权属到互联网与社会现实的交融，都证明着网络空间并非独立的全球公域。[11]网络空间中的网络主权具有传统性与交互性。基础设施架构可以适用传统的主权理论，但是在逻辑与内容层，主权具有交互性，需要国际协商合作。[12]

理论层面主要存在数据主权与网络主权的关系问题。有学者认为数据主权包含于网络主权之中，网络主权赋予政府在其境内执行自己的法律和控制数据。[13]同时也有学者认为网络主权与数据主权存在交叉，侧重点不同。本文同意下述观点：数据主权与网络主权各有侧重，数据主权强调内容层，主要围绕数据本身的问题，[14]而网络主权则涵盖物理层、逻辑层、内容层。网络空间受国家主权的约束，而数据主权是网络主权在大数据时代的表现，[15]表现为国家对数据的对内控制权和对外独立性。[16]

三、数据本地化的法益目标

（一）维护国家安全

网络时代，几乎所有数据均存在于网络设施中，网络安全事关国家安全。由于数据跨境流动过程中存在的安全隐患不仅包括数据本身集合的隐患，也包括处理与存储设施的隐患，数据本地化将数据处理和存储的主动权掌握在国家手里，从内部保证了数据本身的安全。外部的数据安全威胁主要来源于网络攻击。

2013 年美国“棱镜门”监听事件凸显了网络安全维护的重要性。2022 年西北工业大学遭美国NSA网络攻击，相关数据信息被盗取并传送回美国，严重危害了我国的网络安全，是对国家安全的挑战。对网络安全进行维护和保障是我国重要的战略，2021 年12 月，国家网信办《“十四五”国家信息化规划》强调要坚持安全和发展并重，加强网络安全信息统筹机制建设，提升网络安全自主防御能力。2022 年1 月，国务院《“十四五”数字经济发展规划》系统阐述了网络安全对于数字经济的独特作用及重要性。在数字经济安全体系方面，提出增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险的要求。2015 年7 月《中华人民共和国网络安全法》开始施行，以法律形式保障网络安全。此后国家连续颁布《数据安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估规定》等法律法规保障网络数据安全。

（二）保护个人隐私

数据是信息的载体。在信息时代，个人空间与公共空间边界模糊化，绝对的隐私概念受到冲击，不断分化。为了平衡信息流动与隐私保护，个人隐私中的非重要信息能够自由流动。[17]本文以大隐私概念的分析视角，将个人信息包含于隐私范围中进行论述。

跨境数据流动中的个人隐私问题不仅包括跨境数据流动中的隐私泄露问题，也包括接收方所在国信息保护标准不一致所引发的合法泄露问题。为此，数据本地化也成为个人信息保护的一种方式。[18]欧盟将个人隐私视为基本人权，重视对个人信息的保护，限制跨境个人数据流动，其《通用数据保护条例》（GDPR）将约束范围扩大至任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织，并对其创设了个人信息保护义务，要求其接受隐私设计、指定数据保护人员或代表。相关企业需要满足对个人信息提供充分性保护的标准或者提供适当保障措施。新加坡《个人数据保护法》（PDPA）第26 条原则上限制个人数据的跨境流动，除非符合PDPA 的相关规定。印度《数字个人数据保护法》规定个人数据传输至印度境外，需要经中央政府评估。个人数据保护在我国也受到重视。《数据安全法》《个人信息保护法》相继颁布，规定对于敏感数据的跨境流动，需要经过申报评估；个人数据出境则须满足安全评估、个人信息保护认证、在合同中约定相关权利义务等要求。2020 年9 月中国发布《全球数据安全倡议》，倡议各国承诺采取措施防范、制止利用网络侵害个人信息的行为，为制定全球安全规则提供了蓝本。

（三）保护本国企业利益

数据作为新时代的资源其重要性不言而喻。企业通过大数据分析人群偏好，制定符合市场要求的营销政策，能够增加企业营收、促进企业发展。然而数据资源也存在分配不均的问题。数据寡头企业基于科技优势，掌握海量数据信息，出于逐利的目的，垄断数据市场，通过设置“数据屏障”等限制其他企业进入市场，将中小企业排除在市场竞争之外。

2022 年11 月1 日，欧盟《数字市场法》（DMA）正式生效。DMA 针对超大型数字平台的垄断行为进行特别规制，将其设定为守门人企业并明确其权利义务，推进数字市场公平竞争。2021 年2 月7 日，我国国务院印发《关于平台经济的反垄断指南》（以下简称《指南》），指出要预防和制止互联网平台经济领域的垄断行为，并对其进行了详细的界定和说明。2021 年6 月10 日《网络交易监督管理办法》发布，明确禁止电商平台“二选一”，是对我国《反垄断法》的进一步细化和落实。《网络安全法》《数据安全法》《个人信息保护法》《数据出境安全评估办法》等规范性文件确立了数据跨境传输分级分类处理制度，已经形成数据出境监管机制。《网络安全法》规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，关乎国家安全的重要数据禁止流通。2021 年7 月2 日网络安全审查办公室对“滴滴出行”进行网络安全审查，认为滴滴公司非法向美国提供国内乘客数据，其多项违法行为对于中国公民、中国国家整体信息安全构成了严重危害，对其做出80 亿的行政处罚。

四、数据自由背景下的数据本地化

（一）跨境数据流动中的统一规则尝试

2011 年世界贸易组织（WTO）多哈回合在磋商与服务贸易跨境流动有关的贸易壁垒议题时，因成员国持不同意见而未达成一致。2017 年，71 个WTO成员方发起电子商务联合行动声明（Joint Statement Initiatives,简称JSI），为WTO 将来的电子商务贸易谈判启动探索性工作，我国于2019 年1 月加入。电子商务JSI 涉及的主题涵盖数据贸易各种相关问题，包括跨境数据流动在内，2021 年12 月电子商务JSI 的共同发起人声明中，各方在线上消费者保护、开放政府数据等八个条款上达成共识。2019 年，76个WTO 成员签署《电子商务联合声明》，确认启动与贸易有关的电子商务议题谈判。跨境数据流动被列为主要议题。2020 年，东盟十国和中国、日本、韩国、澳大利亚签署《区域全面经济伙伴关系协定》（RCEP），增加电子商务便利化的新规则，其核心在于增强货物贸易、服务贸易等方面的市场开放。目前，国际层面关于跨境数据流动的规制问题未达成一致意见，有关跨境数据流动的规定仅仅形成于区域协定或者国内立法。国际层面上不存在对跨境数据流动进行规制的法律规则，基于跨境数据流动的贸易趋势，有关国际组织呼吁各国对跨境数据流动采取更开放和更便利的态度，致力于形成跨境数据流动的统一解决方案。

（二）跨境数据流动统一规则的数据自由趋势

国际层面不存在对跨境数据流动进行规制的统一立法，WTO 框架下GATT、GATs 的例外规定无法完全涵盖各国对数字贸易中跨境数据流动的法律规制差异问题，[19]为了促进数字贸易的发展，区域间协定（RTAs）形式的区域贸易规则在各相关国家地区参与下制定形成，基于数字贸易经济体量与国际影响，RTAs 规则条款出现国际化的趋势。据此猜想，RTAs 可（USMCA）第19.11 条规定任何一方均不得禁止或限制通过电子方式跨境转移信息（包括个人信息），第19.12 条规定任何一方不得要求受保人在其管辖区域内使用或定位计算机设备，以此作为在该管辖区域内开展业务的条件。此外，该协议也声明将促成更加自由的市场、更加公平的交易以及更可持续的经济增长。《数字经济伙伴关系协定》（DEPA）以电子商务便利化、数据转移自由化、个人信息安全化为主要内容，并就加强人工智能、金融科技等领域的合作进行了规定。第4.3 条规定每一缔约方应允许通过电子方式跨境传输信息，第4.4条规定任何缔约方不得要求一涵盖的人在该缔约方领土内将使用或设置计算设施作为在其领土内开展业务的条件。第9.4 条规定缔约方认识到，跨境数据流动和数据共享能够实现数据驱动的创新。DEPA 专章规定网络安全与合作问题，着力构建更广泛的信任环境，有关数据安全规则的议题契合我国数据安全诉求。[20]美国与欧盟《安全港协定》《隐私盾协议》的签订也是为了促进跨境数据在双方数字贸易中的自由流动，促进贸易自由化。[21]通过对以上区域规则中关于促进跨境数据流动自由化等规则进行分析，可以得出区域立法国际化以及跨境数据自由流动的趋势。[22]

（三）数据自由与数据本地化的平衡

由以上分析可知，数据本地化具有存在的合理与合法基础。且数字贸易具有风险二重性，本身的风险与次生风险都要求对跨境数据流动进行全面完整的法律规制。[23]数字贸易中，跨境数据自由流动是趋势，但是由于各国发展水平不一、经济实力相差较大，单纯强调数据自由可能会对不具有技术优势的国家产生不利影响，影响国家安全、个人隐私、企业利益。

根据中国信息通信研究院2021 年发布的《全球数字治理白皮书》，2020 年全球数字服务贸易规模达31 675.9 亿美元，增幅超过过去十年总和，数字服务贸易受疫情冲击的影响最小。国家统计局数据显示，2020 年全国电子商务交易额达37.21 亿元，同比增长4.5%。我国作为最大的跨境电子商务市场，在保障数据跨境流动方面存在重大利益，对数字贸易中的跨境数据流动进行法律规制在我国受到重视。2017 年，“数字经济”在政府工作报告中第一次出现，我国结合国内数字经济发展实际陆续出台《网络安全法》《数据安全法》《个人信息保护法》《数据处境安全评估办法》等法律法规，以及《网络安全标准实践指南- 个人信息跨境处理活动安全认证规范》《数据出境安全评估申报指南（第一版）》《个人信息出境标准合同规定（征求意见稿）》等规范性文件，形成数据出境监管机制的初步框架。同时我国也积极参与数字贸易的区域协定，为跨境数据流动贡献中国智慧。2020 年9 月8 日，我国在“抓住数字机遇，共谋合作发展”国际研讨会上提出《全球数据安全倡议》，呼吁各国秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系。

国情实际是基础，跨境数据流动法律规制要基于我国发展实际。目前，我国跨境数据流动以数据安全为立法原则、政府为统一治理主体、建立数据分级分类处理制度、事前风险防范与事后严厉惩罚并重，符合我国的国家利益和多变的国际环境，在风险与机遇并存的数字贸易中，我国尊重跨境数据自由流动的规律，同时也将国家安全利益放在首位，是适合我国国情的立法选择。目前欧美等国家均在试图将区域立法规则国际化，抢夺跨境数据流动法律规则制定的话语权，而发展中国家在跨境数据流动法律规制中的话语权一定程度上取决于国内的数据保护水平。我国作为世界上最大的发展中国家，关于跨境数据流动的法律规制起步较晚，法律框架较为简单，关于跨境数据流动的法律规定不够细化，仍然有发展的空间。随着数字贸易中跨境数据自由流动的趋势进一步明显，在新一轮的数据博弈中，要充分利用我国的经济和科技优势，不断完善跨境数据流动的法律规则，加强国际合作，在跨境数据流动领域制定符合发展中国家利益的国际规则。