刘金瑞 | 全球规制数据跨境流动的关切与分歧

全球规制数据跨境流动的关切与分歧

　　目前来看数据跨境流动治理尚未单独作为一个全球议题，对其讨论从属于数字贸易谈判。但根据OECD、WTO和国际货币基金组织的定义，数字贸易是指“所有以数字方式订购和/或以数字方式交付的贸易”，明显不能涵盖与特定商品或服务交易无关的数据跨境流动。这表明规制数据跨境流动，不能仅限于贸易规则，而应该从数据流动本身着手。从数据特性看，数据作为信息的载体，可以承载人类社会生活多种多样的信息。因而数据跨境流动既涉及个人信息，也涉及商业数据、公共数据，甚至会涉及与国家安全有关的数据，这使得其既有促进贸易的经济面向，也会带来一系列非经济性挑战。

　　从应对这些挑战来看，主要经济体规制数据跨境流动的正当关切主要包括三个方面：个人信息权益保护、国家安全风险防范和司法执法管辖要求。梳理全球视野下这些关切的不同主张，既需要剖析近期的数字贸易谈判，也需要关注主要经济体的域内立法。2020年底，WTO电子商务诸边谈判取得重要进展，形成了谈判合并文本（以下简称“WTO谈判文本”），数据跨境流动主要涉及第B.2条“信息流动”和第C.2条“隐私”，这是分析不同经济体主张的重要依据。限于篇幅，以下主要分析欧盟和美国的不同主张。

　　一、个人信息权益保护

　　个人信息保护是规制数据跨境流动的最早关切，并一直延续至今。欧盟对此立法最为全面，并就在不损害个人数据保护前提下通过数据跨境流动促进贸易的最佳方式进行了充分讨论，2018年欧盟委员会最终通过了《欧盟关于跨境数据流动以及个人数据和隐私保护条款的建议》。从WTO谈判文本来看，欧盟的主张与该建议完全一致，主要包括：各方承认保护个人数据和隐私是一项基本权利，“在这方面的高标准有助于数字经济的信任和贸易的发展”；各方可以采取和维持其认为适当的保障措施，以确保个人数据和隐私保护，“包括通过采用和应用个人数据跨境传输规则”，并强调“本协定的任何内容均不影响缔约方各自保障措施对个人数据和隐私的保护”。

　　欧盟的主张与其长期将个人数据保护视为基本权利并予以严格的高标准保护有关。欧盟认为其境内个人数据只能流向保护水平与其等同的国家或地区，不能流向保护水平不如欧盟的“洼地”。1995年欧盟通过的《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》第25条规定，个人数据只能流向欧盟认定提供“充分水平保护”的国家。2018年施行的欧盟《一般数据保护条例》（以下简称“GDPR”）第45条延续了这一规定。截至目前，通过欧盟“充分性认定”的国家或地区只有14个。根据GDPR，将个人数据传输到未获充分性认定的国家或地区只能通过两种方式：一是数据控制者或处理者能够提供“适当的保障措施”，包括允许公司内部转移的具有约束力的公司规则（BCR）、欧盟委员会批准的公司间转移标准合同条款（SCC）以及欧盟批准的认证机制等；二是符合法定克减情形，包括数据主体知悉风险后的明确同意、数据传输对于履行合同是必要的、保护重要的公共利益等。

　　从WTO谈判文本来看，美国的建议一定程度上基于其主导形成的CPTPP第14.8条“个人信息保护”的规定，但仍有较大区别：不再承认该条的第1款，转而建议“各方承认确保遵守个人信息保护措施并确保对个人信息跨境流动的任何限制是必要的且与所面临风险成比例的重要性”；重申了应该尊重各方既有的个人信息保护框架，认为各方应采用或维持保护用户个人信息的措施，例如全面保护隐私、个人信息或个人数据的法律、涵盖隐私的特定部门法律或者规定执行由企业作出与隐私相关自愿承诺的法律，并应该公布与用户个人信息保护有关的信息，而对个人信息保护采取不同法律方式的缔约方，应该鼓励建立促进这些不同体制之间兼容性的机制。

　　美国的主张源于其自由市场的价值观，其并未将个人信息（隐私）视为基本权利，只是将其纳入市场经济中消费者保护的范畴。在联邦层面，美国并没有统一的个人信息保护立法，只是由美国联邦贸易委员会（FTC）确保消费者对其信息数据的使用有知情和同意的权利；考虑到市场失灵的风险，对部分特定行业进行了专门立法，例如征信业和健康保险业等。这种市场经济和基于风险的理念，可以解释美国为何在谈判中提出限制个人信息跨境流动应该是“必要的且与所面临风险成比例”。美国实际上是反对个人信息保护都采用像欧盟一样的“高标准”，而是主张各国可以按照自己的方式予以保护，不同保护方式之间应该促进“兼容性”。

　　二、国家安全风险防范

　　2013年，“斯诺登事件”披露“棱镜”等监控计划之后，各国日益重视数据跨境流动引发的国家安全风险，并基于此种关切开始限制或禁止某些数据跨境流动，这不仅涉及个人信息，也涉及金融、医疗健康等一些敏感领域的非个人信息。但国家安全关切在贸易谈判中一直是作为自由贸易的“例外情形”，集中体现就是WTO协定的“国家安全例外”。不过考虑到WTO协定谈判时并未考虑数据跨境流动，WTO过往争端解决的援引情况，援引WTO安全例外以支持为了国家安全而限制数据跨境应该非常困难。

　　可能就因如此，近期CPTPP、DEPA等数字贸易协定除了引入WTO安全例外之外，还针对数据跨境流动规定了专门例外。CPTPP第14.11条、DEPA第4.3条均规定，原则上“缔约方应允许通过电子方式跨境传输信息，包括个人信息，如这一活动用于涵盖的人开展业务”（第2款），但缔约方为实现合法公共政策目标可以对信息跨境流动采取或维持限制措施，只要该措施“不以构成任意或不合理歧视或对贸易构成变相限制的方式适用；不对信息传输施加超出实现目标所需限度的限制”（第3款）。

　　从WTO谈判文本来看，我国和部分国家建议引入WTO一般例外和安全例外；美国建议就数据跨境流动规定与CPTPP一致的专门例外，但相较CPTPP第14.11条，其对数据自由流动的主张更加彻底，不再承认该条第1款的缔约方“可设有各自的监管要求”，将该条第2款的“应允许”传输改为“不得禁止”传输；欧盟就数据跨境流动，除了前述认为各方可采取适当措施保护个人信息外，没有主张WTO例外条款，也没有提出专门例外，其建议主要是禁止四种方式的数据本地化，包括要求使用本国境内计算设施处理数据，要求在本国境内本地化存储或处理数据、禁止在其他国家境内存储或处理数据以及将使用本国境内计算设施或数据本地化要求作为允许数据流动的条件。

　　对于“合法公共政策”这种专门例外，目前尚无权威解释，但从表述和限定条件上看，应该区别于WTO国家安全例外而类似于WTO一般例外的“公共道德或公共秩序”，那么援引该例外实施规制措施类似的也需要“明确合法目标及必要性”“确保措施的实施不构成歧视或变相贸易限制”，而满足这些条件也相当困难。由此可见，面对数据跨境流动日益严峻的国家安全挑战，无论是WTO国家安全例外，还是数字贸易协定规定的“合法公共政策”例外，都不足以作为基于国家安全对跨境数据实施普遍规制措施的正当依据。

　　需要指出的是，尽管美国主张彻底的数据跨境流动，欧盟主张坚决反对数据本地化，但从其域内立法来看，都存在不少基于国家安全考虑来限制数据跨境流动的立法，这些普遍规定绝不仅是“例外条款”。以美国为例，2010年以来建立了受控非密信息管理制度，对国家秘密之外的国防、金融、情报、执法等20个大类125个子类的敏感信息，按照风险程度予以不同管控，措施之一就是“禁止国外传播（NOFORN）”，仅“国防”类之下禁止国外传播的信息就包括非机密受控核信息、国家披露政策等；2018年8月，颁行《外国投资风险审查现代化法》，授权外国投资委员会（CFIUS）审查针对美国“敏感个人数据”商业的外国非控制性投资，以避免这些数据被外国政府或主体获取；特朗普政府2019年5月签发《确保信息通信技术与服务供应链安全》行政命令并在执政期间推行“清洁网络计划”，禁止交易、使用可能对国家安全、外交政策和经济构成威胁的外国对手的信息技术和服务，拜登政府2021年6月签发《保护美国人的敏感数据不受外国对手侵害》行政命令，都是为了避免涉及美国国家安全的敏感数据出境。

　　三、司法执法管辖要求

　　数据跨境流动对主权管辖的挑战，是目前数字贸易谈判无法涵盖的重大关切。从国际法上看，国家行使主权的具体体现是对其领土及其国民进行管辖，以属地管辖、属人管辖为主，辅以保护管辖、普遍管辖，在国内可以分为立法管辖、司法管辖和执法管辖。互联网技术的出现和发展，产生了相对于物理空间的网络空间，数据在其中大规模跨境流动，极大冲击了基于国家疆界以属地管辖为主的传统国家主权，尤其是一国的司法执法管辖权。对此，在理念上开始出现扩张国家主权的主张，“信息主权”“数据主权”等概念相继提出。各国也纷纷出台维护主权管辖的举措，在某种程度上实际构成了对数据跨境流动的限制，这些举措概括起来主要包括两个方面：

　　一是规定“阻断条款”（blocking provisions），禁止境外司法执法机构不经本国同意调取数据。例如，美国1986年通过的《存储通信法》第2702条和第2703条规定，除例外情况外，向公众提供电子通信服务（ECS）和远程计算服务（RCS）的提供者不得故意向任何个人或实体泄露服务中存储或承载的通信内容；只有美国政府实体为了特定司法或执法目的，在满足法定条件下通过搜查令等才可以要求这两类服务提供者提供通信内容或相关记录。该法将强制获取通信数据的执法主体限于“美国政府实体”，实际上是禁止美国服务商向外国政府提供存储于美国的通信数据。再如，欧盟GDPR第48条规定，第三国法院或法庭的判决及行政机关的决定，如有要求数据控制者或处理者转移或披露个人数据的，只有在基于请求国与欧盟或成员国间生效的国际条约（如双边司法协助协定），且不影响其规定的转移基础时，才可以获得承认或执行。

　　二是要求将某些重要监管领域的数据留存在本国境内，以“数据本地化存储”来确保实现司法执法管辖权。例如，美国在推动形成CPTPP数据跨境流动条款过程中，考虑到美国财政部和金融监管机构会把金融数据本地化存储作为监管选项，就将金融数据排除在CPTPP适用范围之外。再如，2018年4月，印度要求所有支付系统提供商应确保其系统运营相关的全部数据，包括端到端交易的完整详细信息，存储在印度境内的系统中，以便印度中央银行可以“不受限制地监管访问这些系统提供商存储的数据，以及他们的服务提供商/中介机构/第三方供应商和支付生态系统中其他实体存储的数据”。

　　面对数据跨境流动日益频繁的现实，有些发达经济体开始认识到单纯的数据“阻断调取”和“本地化存储”难以适应实践需要，在倡导数据跨境流动的同时，开始扩张国家管辖权，主张对跨境数据进行“域外管辖”。典型代表是欧盟和美国，但二者路径有所不同。欧盟GDPR第3条基于传统属人管辖和属地管辖的连接点，从数据处理行为的效果入手，将欧盟境内机构境外处理个人数据的行为和欧盟境外机构处理欧盟境内个人数据的行为都纳入了管辖。美国2018年3月施行的《澄清境外合法使用数据法》（Clarifying Lawful Overseas Use of Data Act，以下简称“CLOUD法”）不再考虑数据的属地管辖，转而提出了管辖“数据掌控者”的新模式，规定无论通信、记录或其他信息是否位于美国境内，美国的电子通信服务（ECS）或远程计算服务（RCS）提供者都有义务按照法定要求，保存、备份或者披露其拥有、监管或控制的用户或订户的通信内容以及任何记录或其他信息。由此，这些服务提供者掌控的数据都可能被美国政府所获取，这极大地扩张了美国对境外数据的管辖权。

　　这些“域外管辖”明显是一种单边主义行为，虽然有利于缓和本国数据本地存储的压力，但是不可避免地会与既有的数据“属地管辖”产生冲突。如果不能妥善解决这种主权管辖冲突，不仅会造成跨国企业陷入管辖冲突的“旋涡”难以适从，还可能导致相关国家普遍要求“阻断调取”和“本地化存储”，进一步加剧对数据跨境流动的阻碍。解决跨境数据的国家管辖冲突，迫切需要在相互尊重主权的前提下探索多边协作。

　　四、要正视共同的正当关切

　　从上述梳理可以发现，全球主要经济体规制数据跨境流动的非经济关切，虽然程度可能不同，但集中体现为保护个人信息、维护国家安全和确保主权管辖等三个共同议题。目前美国发起策动的数字贸易谈判只涵盖了其中的部分议题，除了欧盟极力主张的个人信息保护议题完全纳入外，国家安全关切只是作为自由贸易的“例外情形”，司法执法管辖则完全没有涉及。究其原因，表面上看是限于数字贸易主题，但考虑到美国就数据安全和数据管辖的大量规制立法，美国在国际谈判中忽略上述关切应该是有意为之。这背后的深意在于：美国将“数据自由流动”与“贸易自由流动”捆绑设置议题，通过主张彻底的数据跨境自由流动，支持其先进的数字技术企业发展全球市场，使得海量数据流回美国，从而保持其在全球数字市场和网络空间的主导地位。

　　需要指出的是，数据跨境流动还引发了经济层面的数据保护主义。随着数字经济的发展，数据已经成为国家基础性战略资源，各国开始纷纷争夺数据资源。但无序的竞争催生了“数据民族主义”，印度就从数据民族主义角度来强调其推行数据本地化发展数字产业的必要性。从国家经济发展程度和国家战略来看，一定程度上的数据防御主义是可以接受的。但只从本国利益出发，不加区分限制数据跨境流动的做法，是一种数字贸易保护主义，应该予以坚决反对。本文认为无论是经济关切，还是非经济关切，都可能要求数据本地化，评判其正当性应该从规制目的和程度入手，不能一概而论。

　　总之，对于数据跨境流动而言，目前数字贸易谈判无法承载所有议题，也无法承担凝聚全球共识的重任。探索全球性的规制框架，亟须正视上述正当关切并予以充分探讨。

限于篇幅，省去引注，本文主要内容将发表于《行政法学研究》2022年第4期

数据跨境流动规制专题研究

促进和管控数据跨境流动的中国探索