摘 要:中国申请加入的《全面与进步跨太平洋伙伴关系协定》(CPTPP)主张对数据本地化进行限制以保证跨境数据的自由流通,而中国目前施行数据本地化政策以保护数据安全,这意味着中国加入CPTPP面临着一系列挑战。CPTPP安全例外条款能够为网络安全措施提供依据,但缔约国对“基本安全利益”的高度自裁权也使得条款的援引可能产生负面影响。基于此,中国应审慎适用安全例外条款,不断推动国内法与CPTPP对接,以协调好数字贸易自由化与国家安全之间的关系。
关键词:CPTPP;数据本地化;安全例外;跨境数据流动;数字贸易
本文索引:何瑶.<变量 2>[J].中国商论,2024(04):-128.
中图分类号:F742 文献标识码:A 文章编号:2096-0298(2024)02(b)--04
近年来,各国注意到跨境数据流动带来的重大经济利益,随之数字贸易规则成为各国争取话语权和提升国际地位的关键领域。CPTPP,其前身是《跨太平洋伙伴关系协定》(TPP),TPP首次将电子商务纳入谈判议题,要求成员国高标准地实施协约内容,开放互联网自由。美国退出TPP后,日本继续推动条约谈判,最终11个缔约方签署了《全面与进步跨太平洋伙伴关系协定》(CPTPP)。CPTPP第14章明确规定了禁止数据本地化以及推动跨境数据自由流动的规则,其高标准数据跨境流动规则的形成是美国等发达经济体在谈判中强势推崇数据跨境自由流动政策的必然结果。然而,由于网络数据事关一个国家非传统的安全,各国在追求数字贸易自由发展的同时,会在一定情况下采取数据本地化措施。数据本地化措施是指一国要求产生或者收集于该国的数据存储于境内,并对数据跨境流动进行限制或禁止[1]。以德国为例,其通过建立国内安全路径来避免国内数据被国外监控。我国基于国情考量,也以立法方式规定了个人信息及重要信息需要境内储存的原则。在国际经贸规则中,我国申请加入的CPTPP规定了安全例外条款作为兜底条款,承认缔约国在基本安全利益受到威胁时可以采取一定的数据本地化措施,当前对此条款有必要进行进一步研究分析。
1 CPTPP数据本地化规制的安全例外条款内容分析
1.1 安全例外规定的保护范围包括网络与数据安全
在GATT背景下,专家组在WTO俄罗斯过境运输措施案中指出,“基本安全利益”指的是与国家基本职能相关的利益,即“保护其领土和人口免受外部威胁,维护内部法律和公共利益”,虽然成员不能随意将问题上升为“基本安全利益”,但如果情况涉及国家基本安全,就不必拘泥于传统对基本安全利益的解释。数字时代,互联网是国家领土在网络空间的延伸,数据泄露所造成的经济损失和隐私权侵犯有可能上升为对整个国家的威胁,因此“基本安全”的范围应包含网络与数据安全,只有这样才能满足安全贸易的需要。
根据CPTPP第29.2条安全例外(Security Exceptions),本协定中任何条款不得解释为:要求一缔约方提供或允许获得其确定如披露则违背其基本安全利益的任何信息;或阻止一缔约方采取其认为对履行维护或恢复国际和平或安全义务或保护其自身基本安全利益所必需的措施。该条款对“基本安全利益”(essential security interests)没有明确进行明确内容限定,从文义解释上来看,基本(essential)是指“必要的、不可或缺的”,也就是说,基本安全利益有别于一般的国家安全利益,指的是对缔约国安全产生重要影响的利益,比如防止对公民安全的侵害以及对国内秩序的破坏等,而不包括单纯的经济利益和商业利益等。随着国际数字贸易活动的开展,数据安全对国家安全产生重大影响,国家基本安全问题的范围不再局限于传统的对领土的保护与战争,而扩大到网络、数据等非传统安全领域[2]。最新出台的自由贸易协定都提出保护数据安全,CPTPP作为21世纪代表性的新型自由贸易协定,其规定的“基本安全利益”涵盖国家核心数据所涉及的网络与数据安全利益[3]。
1.2 “基本安全利益”的自裁权不排除第三方客观审查
关于“基本安全利益”,CPTPP第29.2条的安全例外条款运用“其确定”与“其认为”的措辞,给予缔约国一定程度的自裁权。CPTPP中缔约方的自裁权较传统国家安全例外规定有所扩张,与GATT(1994)21条相比,CPTPP不再采用《联合国宪章》标准,而是采用了必要性标准。CPTPP第14.11条和14.13条分别规定通过电子方式跨境传输信息的和计算机设施位置的特别例外规定,但以上特别例外规定没有类似“缔约方认为”的措辞,没有体现出缔约国的自裁权。如果缔约方要援引条款以保护国家安全利益,就只能援引第29章中的安全例外条款。
然而,“基本安全利益”的自裁权不排除第三方客观审查。对此可以比较CPTPP与RCEP,RCEP意在保证各缔约国的监管自主权,并实现规则本身强制性与灵活性之间的平衡,CPTPP旨在推动数字贸易的高度自由化发展。RCEP指出缔约方可以保护“包括通讯、电力和水利基础设施在内的关键的公共基础设施”为由提出安全例外,并且明确规定了缔约方不能对此措施提出异议,不得将电子商务活动中产生争端交由第三方裁判解决,这样的规定给予了缔约国几乎绝对的自裁权。虽然CPTPP尊重各缔约国拥有充分的自裁权,推动了各缔约方签订协定,但是并未像RCEP一样将电子商务排除在争端解决之下,缔约方可能会对限制措施提出异议。因此,CPTPP缔约国在维护基本安全利益所采取的限制数据跨境流动措施上将面临第三方争端解决机制的审查,只是审查效果如何还有待观察。
1.3 限制措施的必要性由缔约国自行判断
CPTPP第29.2条(b)项中对限制措施的规定使用“必需”(necessary)一词,有学者提出该条赋予缔约方更大程度的确定维护自身基本安全利益的自我裁判权,而且对保护基本安全利益所必需的措施没有做任何限制性的规定[4]。缔约国对缔约国因安全例外而采取的数据本地化措施不应包括在经贸条约的争端解决条款的范围内,也就是不受第三方客观审判。CPTPP中涉及对数据本地化措施限制的规定主要是第14.11条和14.13条,这两条本身的特别例外都规定为实现公共政策目标实现的限制措施,要满足“构成任意或不合理歧视或对贸易构成变相限制”以及“不对计算设施的使用或位置施加超出实现目标所需限度”的限制要求。CPTPP安全例外条款单独规定在29章,不同于电子商务章的特别例外,并没有对限制措施规定非歧视和限度要求,说明CPTPP安全例外条款在限制措施上排除了审查程序,该符合维护“基本安全利益”要求的本地化措施是否“必需”,是否适度仅由采取措施的缔约国自行裁判。由此可见,未來中国如果要签订CPTPP,国家安全例外的条款设计上对限制措施的形式、内容等没有具体限制要求,这似乎符合我国对国家安全的风险保障需求。随着国家安全例外援引的扩大化的趋势,争端双方关键的冲突在于相关国际裁判机构的管辖权。
2 CPTPP数据本地化规制的安全例外规定的两面性审视
2.1 安全例外条款为缔约国数据流动提供国家安全抗辩
CPTPP安全例外条款赋予缔约国高度的自裁权,为缔约国接受高度自由的数据条款提供了安全保障。当今数字贸易规则分歧主要存在于美国与欧盟,美国主张自由化的数字贸易规则以巩固其国际贸易地位,欧盟倾向有条件的数字贸易自由化规则,这种分歧背后体现的是立法理念与互联网技术的差异。现今国际上没有统一的数据流动监管规则体系,各国只能先通过签订自由贸易协定来规范和指导国家间数据的储存和流动。CPTPP安全例外条款涉及的“基本安全利益”包含影响国家安全的网络与数据安全利益,且缔约国有充分自裁权决定采取措施是否符合安全例外,只要国家认为其基本安全受到威胁即可采取必要措施。长期以来,美国试图在其经贸条约里纳入一条保护其“基本安全利益”的条款,实际上美国的条约伙伴也在积极利用此条款维护自己的安全利益。随着时代发展,CPTPP安全利益条款的进步使其所保护的范畴扩大至更多新型的安全领域,CPTPP规则将裁判权力授予了缔约国,能包含更广泛包容的“基本安全利益”,为缔约国援引条款进行抗辩提供了机会。我国作为新兴发展中国家,目前的经济实力和信息技术与发达国家存在一定差异,在数字贸易规则的引导能力和影响范围上还不及欧美国家,需要安全例外保障在特定情况下顺利采取数据本地化措施。当前,我国积极申请加入CPTPP,该条款将为我国今后采取数据限制措施以保护国家安全提供依据。
2.2 安全例外条款的高度自裁性规定存在负面影响
2.2.1 模糊性规定增加条款的滥用风险
CPTPP的安全例外条款沿袭GATT第21条,但删除了涉及各国认为可能有违本国基本安全利益的信息披露、裂变材料、武器或军用设备的贸易、战时或国际关系紧急情况下的措施活动规定和与《联合国宪章》相关的桥段,仅仅规定涉及“基本安全利益”这一模糊性条件,这一改动加强了缔约方的自由裁量权,但也增加了其被滥用的风险,因为缺乏与《联合国宪章》相联系的“桥梁”意味着各方不再受其约束[5]。在GATT背景下,成员在例外条款的自裁权就受到关注,如果没有得到有效的限制,以安全例外为由采取的措施就可能构成对成员国之间任意或不合理的歧视。在数字贸易时代,数据本地化措施是一把双刃剑,其固然是保护一国数据安全乃至主权安全的有力监管措施,但也可能导致限制数字贸易的发展的副作用,极易引发国际贸易冲突[6]。
近些年,由于我国在贸易与投资上已经具备一定优势,我国的数字信息产品和企业被西方国家视为重要的安全威胁,一些国家基于维护国家安全的理由限制跨境数据流动。例如,西方国家以国家安全为理由频繁地对华为采取贸易限制措施,声称华为通过恶意硬件或软件的植入已经和中国政府分享了其所涉外国电信系统的广泛信息。这些国家采取的单边限制措施与其基本安全利益之间很难建立合理联系,其本质是想利用贸易手段达到国家的政治和军事目的。CPTPP由发达国家主导,一方面,安全例外条款的规则本身存在不足,使得缔约国对“基本安全利益”可作较为宽泛的解释和适用,导致条款滥用的可能。另一方面,权威第三方争端解决机制的缺失会纵容条款的滥用,使国际贸易矛盾进一步激化。
2.2.2 不同国家在实现安全抗辩上存在差异
每个国家的历史背景、社会文化、经济发展水平等方面存在不同,因此在援用例外条款进行国家安全抗辩时,由于不同国家对数据监管的理念存在差异,对数据保护的侧重不同,就会造成对援引条款理解的差异。发达国家为占据数据跨境流动规则的主导权,维护自身的数字贸易优势地位,必然将在未来的数据规则谈判中坚持对数据本地化的规制,此类条款在一定程度上针对的是侧重数据保护的新兴发展中国家,特别是中国,这将对广大发展中国家数据安全乃至国家主权构成严峻的挑战。
CPTPP安全例外条款的高度自裁性使缔约国在引用时面对较小的阻碍,但国家是否能真的实现国家抗辩存在差异。目前,国际社会有安全例外条款的判例很少,并未形成对“基本安全利益”权威统一的标准,随着数字经济的发展,基本安全利益的范围也发生了改变,这使得例外条款的引用更加不明确。发达国家基于国际军事与经济地位的优势,往往更容易实现国家抗辩,而发展中国家基于保护数据安全的需要引用安全例外,却可能面临着阻碍跨境数据流动和限制国际数字贸易的质疑,能够成功援引该条款达到抗辩成果的概率也比较小,导致在援引安全例外条款时会很谨慎。因此,虽然CPTPP安全例外条款为缔约国的数据本地化措施提供了条约依据,但各国实现国家抗辩上存在的差异可能导致国家之间的紧张关系,使国际秩序更加支离破碎。
3 中国数据本地化政策下对CPTPP安全例外规定的审慎适用
3.1 善意解释和援引CPTPP国家安全例外条款
為了给数据本地化措施寻找合法性依据,“基本安全利益”例外规定是更加方便的选择。作为缔约方,仅需证明其限制措施是为了维护国家基本安全利益,不需证明限制措施的非歧视性和必要性。但是,我国对基本安全例外的需求有限,中国需要借助最新的贸易协定使他国数据向国内流动,也需要限制他国滥用基本安全例外。从国家利益角度来看,不能动辄援引安全例外条款,应对该条款谨慎解释和援引,尽量限缩基本安全例外的适用范围[7]。
CPTPP安全例外规则承袭WTO传统规则,因此在适用时也要在WTO框架下进行考量。在发生争端时缔约国要遵循WTO善意原则,对例外条款的援引应保持克制的立场,不宜出于经济和商业目的而不适当地泛化对网络和数据安全环境下“基本安全利益”的解释,不得为了逃避条约义务适用安全例外。否则,安全例外条款的存在将有名无实,在面临真正威胁我国基本安全利益的情况时发挥不了其应有作用。我国应推动数据跨境流动措施中的“基本安全利益”向更为精准的方向解释与适用,只有这样才能减少安全例外条款的滥用,避免对数字贸易自由化发展产生不必要的限制。对条约的审慎解释和运用有利于推动中国顺应世界贸易的自由化趋势,也能使中国更好地保护自身利益[8]。
3.2 分类采取适当的维护基本安全利益的数据流动限制措施
为保护基本安全利益,在援引CPTPP安全例外时也要注意采取限制措施的“度”,即采取限制措施与实现保护基本安全利益的目标的比例要适当,避免对其他国家乃至国际贸易自由化的整体利益造成重大影响。就实施数据本地化措施而言,国家应重视权利与义务的平衡,重视推动贸易自由化发展的宗旨与义务,使措施不超过必需的限度。事实上,数据本地化不一定限制数据流动,限制数据流动的措施也未必是数据本地化措施。合理的数据本地化措施能有效保护国家网络与数据空间的安全,且不会对数字贸易造成严重的阻碍。
CPTPP意识到数据本地化措施可能产生的限制市场准入效果,在准入前的義务方面要求缔约方不得采取数据本地化措施。我国目前立法上对数据本地化措施的分类比较单一,且往往采取严格的标准限制数据出境,严格的数据本地化措施会导致国内法无法融入国际贸易体系。数据本地化措施实际上不都是严格限制流动的,我国可以不断增加不同的数据本地化措施,对分类的不同数据对应不同程度的数据本地化措施。在面对需要保护“基本安全利益”的情况下,可以根据具体情况采取严格的限制数据本地化的措施、一定程度允许数据流动的数据本地化的措施、不限制数据流动的本地化措施等。我国应主动承担推动全球数字贸易自由发展的责任,这将有利于我国融入国际数字经济体系,推动数据跨境流动规则的长远发展。
3.3 明确CPTPP安全例外条款与其他例外规则的适用顺序
CPTPP安全例外条款的适用条件较一般例外、电子商务章下特别例外的要求而言给予缔约国的自裁性更高,然而CPTPP数字贸易规则并未明确三者之间的适用顺序,规则上的缺失可能会造成缔约国适用例外条款的争议。在缔约国意图采取数据本地化措施时,由于安全例外条款对缔约国来说似乎更加容易引用,很可能导致国家绕开特别例外而直接援引安全例外,安全例外如果被习惯性援引,很可能导致后来其他国家援引时完全不受限制,这无疑是不符合条文设置初衷的。
在未来加入CPTPP的谈判过程中,中国可以与缔约国在谈判中对CPTPP例外规则的类型、适用顺序及中国实践例外规则的适用条件进行更明确的规范和探讨,从而达成较为统一和科学的标准。可以约定或设置指引性条款,建议缔约方先以电子商务章的特别例外为准,特定例外适用失败,则一般例外的适用也非常困难[9]。如果无法通过援引特别例外保护本国基本安全利益,存在援引安全例外条款的必要性,再考虑援引第29章中的安全例外条款,这样能尽可能地减少安全例外被滥用的可能,保障贸易协定真正发挥推动数字贸易发展的作用。
4 结语
网络与数据安全已成为影响国际经贸规则中“国家安全”条款未来发展的重要因素,在贸易协定中设置安全例外规定,允许特殊情况下采取数据本地化措施保护国家基本安全利益是必不可少的。CPTPP作为“21世纪新规则”之一,其跨境数据流动理念与条文指引着未来数字贸易规则的发展趋势。在中国侧重数据保护的现阶段,有必要对CPTPP安全例外结合现实进一步研究,明确其具体含义及适用中相关问题,不断完善国内跨境数据流动规则,并运用国际法和国际争端解决机制维护自身合法权益。总之,中国在参与全球数据治理的过程中,应坚守维护国家安全的红线,逐步推动数据跨境自由流动,合理平衡经济发展与国家安全利益之间的关系,推动国际数据规则未来更好地发展。
参考文献
陈咏梅,张姣.跨境数据流动国际规制新发展:困境与前路[J].上海对外经贸大学学报,2017,24(6):37-52.
黄世席.CPTPP中的数据本地化规制与安全例外抗辩[J].国际贸易,2022,491(11):81-87+95.
徐程锦.中国跨境数据流动规制体系的CPTPP合规性研究[J].国际经贸探索,2023,39(2):69-87.
黄世席.美国经贸条约中的国家安全例外条款:文本发展、评析与应对[J].当代法学,2023,37(4):29-44.
谭观福.数字贸易规制的免责例外[J].河北法学,2021,39(6): 102-120.
张明.数据本地化措施援引安全例外的解释论[J].北方法学,2022,16(5):146-160.
赵海乐.论我国数据本地化措施与FTA缔约的协调[J].国际经济法学刊,2022(2):29-40.
张明.面向CPTPP的数据跨境流动:规则比较与中国因应[J].情报杂志,2022,41(11):144-150.
马光.FTA数据跨境流动规制的三种例外选择适用[J].政法论坛,2021,39(5):14-24.