數據跨境流動限制之三種例外疊加適用問題研究
【中國法治國際論壇(2021)主題征文】
【摘要】與世界貿易組織協定一樣����,多數的自由貿易協定都設有國家安全例外條款����,而這些條款與一般例外條款及電子商務或數字貿易章節中的數據跨境流動限制條款一道形成了對數據跨境流動的限制理由�����。特別是在國家安全例外條款中具有的基于披露則會違背其基本安全利益的任何信息之保護規定��,對數據的跨境流動有可能形成較大限制�����。對該條款中的任何信息是否包括個人信息進行研究具有重要意義�,因為較其他例外條款��,該條款的適用限制相對較少���,如果個人信息也包括在里面���,則有可能對數據跨境流動產生較大影響�����。另外���,三種例外的疊加適用問題也很重要����。因為在電子商務或數字貿易章節中本身就有例外條款的前提下���,再有一般例外和安全例外的疊加適用�����,也會對數據跨境流動產生更大限制效果���。
【關鍵詞】數據安全���;國家安全�;合規�;個人信息�����;跨境數據流動
一��、引言
通過自由的數據跨境流動�����,利用大數據分析��,一國可能對他國的社會狀況進行精準畫像�����,并有針對性地開展情報收集和研判等工作�����,威脅他國國家安全��,[]因而各國都或多或少地對數據跨境流動予以限制�。隨著《全面與進步跨太平洋伙伴關系協定》(以下簡稱為CPTPP)����、《美墨加貿易協定》(以下簡稱為USMCA)���、《區域全面經濟伙伴關系協定》(以下簡稱為RCEP)等超大型自由貿易協定(以下簡稱為FTA)的締結�,各國對通過電子方式跨境傳輸信息(即數據跨境流動)問題的關注度逐漸加強�����。而這些FTA在允許數據跨境流動的大原則和特定情況下對其進行限制方面似乎已經達成一致���,盡管其對例外的范圍方面具有很大差異����。這些FTA中���,對數據跨境流動的限制往往都包括三個部分�,即��,來自電子商務或數字貿易章節下的限制���,一般例外條款下的限制以及國家安全例外條款下的限制?�,F有的研究往往聚焦于第一種類型的限制�����,而基于一般例外條款��,諸多的世界貿易組織(以下簡稱為WTO)案例表明其不好援引����。但基于國家安全例外對數據跨境流動施加限制以及因此而對數據跨境流動產生的重大影響則尚未引起充分關注�����,況且����,目前國家安全的范圍正處于擴張的趨勢�,而想必網絡安全將對WTO提出一系列政治和法律問題��。
目前�,對以WTO的國家安全例外條款為中心的研究已經有一些��,并且隨著WTO爭端解決機構對相關案例作出裁定�,此類研究數量整體上呈現出上升的趨勢�。這些研究主要涉及對WTO國家安全例外條款的分析����,其中有部分研究也涉及到國家安全例外在數據跨境流動中作為限制理由得以援引的情況���。但這些研究卻忽略了基于基本安全利益而對信息流動采取的限制���,即對《關稅與貿易總協定》(以下簡稱為GATT)的第21條(a)項適用于數據跨境流動限制的情形缺乏研究�����,而該項極有可能成為代替較為嚴格的其他兩種限制成為可以對數據跨境流動合法設限的依據�����,從而降低數據自由流動的成果���。
不同的FTA對數據的跨境流動采取了不同的標準����,保護水平相同和相近的國家�、地區間更容易進行個人數據跨境轉移���,而發達國家基于產業優勢和國內立法完善��,對于數據自由流動的需求更大�����。CPTPP和USMCA總體上對數據跨境流動設限采取了較為嚴格的標準�����,而且兩者中尤以USMCA對數據跨境流動采取了更高的保護標準�,RCEP則雖然總體上也采取支持數據跨境流動的態度����,但同時也對各締約方政府賦予了采取限制的權利��,而這種權利有時可以避開其他締約方政府的挑戰����。這些FTA都同時規定了三種類型的設限途徑���,這就使得締約方可以通過疊加適用國家安全例外�����、一般例外條款以及電子商務或數字貿易章節下的限制措施�,從而降低數據跨境流動自由化成果�����。這一情況似乎是此類FTA締約方不曾預想到的�����,而這些條款的并存和交叉適用將會對數據跨境流動產生諸多不確定性�����。
2019年和2020年���,相繼締結了《美日數字貿易協定》(以下簡稱為DTA)以及《新加坡-新西蘭-智利數字經濟合作協定》(以下簡稱為DEPA)����、《新加坡-澳大利亞數字經濟協定》(以下簡稱為SADEA)這三個專門對數字經濟或數字貿易做出約定的條約��。而這些條約對三種例外的疊加適用做出了一些調整��,盡管在適用方面這些數字貿易或數字經濟協定和相對應的FTA在適用順序方面可能會存在爭議���。
基于上述考慮�����,本文將國家安全例外條款(特別是有關揭露信息的條款)適用于數據跨境流動限制的問題進行分析��,并在電子商務或數字貿易章節下的例外條款���,一般例外和國家安全例外的共同作用下數據跨境流動將所面臨的重大影響予以評析�,對三者重復適用可能引發的問題提出解決方案�。
二�����、FTA三種例外疊加適用可能性和特定限制條款分析
?����。ㄒ唬〧TA中對數據跨境流動的多重限制可能性
在WTO協定中并未就數據跨境流動進行專門規定�,而在上述FTA中均對此進行了專門規定��,這些專門規定中均有對數據跨境流動施加限制的特定例外內容(即����,往往是電子商務或數字貿易章節或條款下的限制)����。此外����,一般例外條款和國家安全例外條款作為FTA中的普遍適用條款����,也適用于電子商務或數字貿易章節或條款�。換言之�,就可以形成特定例外限制��、一般例外和國家安全例外條款下的例外限制�,從而在形成了多重限制�����。甚至�,在部分FTA中除了既有的國家安全例外條款��,也設有電子商務或數字貿易章節下基于基本安全利益采取措施的權利����,或許立法者在立法過程中基于便利將WTO協定的條款套用到FTA中�,但這在無意間形成了對數據跨境流動的多重限制����。
?����。ǘ〧TA對數據跨境流動的特定限制條款分析
美韓FTA第15.8條首次明確對數據跨境流動做出專門規定:締約雙方認識到信息自由流動對促進貿易的重要性�����,并認識到保護個人信息的重要性��,應努力避免對跨境電子信息流動施加或保持不必要的障礙�����。盡管該條不具有強制力��,而其在邁向數據跨境流動自由的方面還是具有重要意義����。以此為開端���,美國在自己締結或主導的FTA中都加上了電子商務或數字貿易條款或章節����,而且呈現出逐步加強數據跨境流動自由化的態勢���。特別是到了CPTPP和USMCA���,對數據跨境流動的相關條款內容已經相對完整����。之后的DTA以及DEPA����、SADEA等數字貿易或數字經濟協定也對此有所規定�,另一方面����,將數字貿易從一般貿易分離出來單獨立法����,或者是將數字貿易擴大范圍到數字經濟整體等方面都說明對數字貿易或數字經濟的關注度正在逐漸增強�����。
我國締結的FTA中����,雖然也有中國-澳大利亞FTA�、中國-新加坡FTA�、中-韓FTA�、中國-毛里求斯FTA對電子商務相關內容做出規定�,但直接對數據跨境流動做出規定的則只有RCEP�。下面將對這些FTA中的電子商務或數字貿易章節或條款對數據跨境流動的設限例外予以闡述����。
最早對數據跨境流動自由作出明確規定的FTA當屬CPTPP�,而之后的USMCA則對其進行了強化����。CPTPP規定各締約方可以對通過電子手段傳輸信息提出自己的監管要求�����,盡管該條款在其它條款的限制下并未賦予締約方實質性的規制權����,但因其在數據跨境流動條款的第一款����,所以似乎也可以理解為其以類似于總則的形式賦予締約方權利�����,而在USMCA����、DTA中美國則將該款予以刪除�����,這明顯是美國在FTA中對數據跨境流動規制的嚴格限制在這些條約中得以貫徹�,即無論締約方是出于國家公共安全還是各自的監管要求���,都不能妨礙這些FTA所定義的“跨境數據自由流動”�。但新加坡所主導的兩個數字經濟協定則沒有按照上述美國式FTA范本�,而是首先認可締約方的規制權��。CPTPP�����、USMCA���、DTA���、DEPA和SADEA均規定�����,締約方要保障包括個人信息在內信息的跨境流動�,也就是說��,數據跨境流動自由得以保障����。但這種保障也是有例外的���,即締約方為了實現合法的公共政策目標���,可以采取或維持對信息跨境流動的限制措施�����,而這種措施要符合:(1)不構成任意或不合理的歧視或變相的貿易限制��;(2)對信息傳輸施加的限制不超過實現目標所需限度�。換言之����,要符合這種例外�,應滿足如下四個條件:(1)實現合法公共政策目標所需���;(2)不構成任意或不合理的歧視��;(3)不構成變相的貿易限制���;(4)不超過實現合法公共政策目標所需限度��。只要不符合上述四個條件之一��,?就會構成對該條款的違反�。但實際上締約方的例外措施要符合這些條件非常困難�,各成員方在WTO協定下援引GATT第20條例外的爭端解決案例似乎印證了這一點�����,特別是要滿足所需限度這一條件確實不易�,導致在諸多WTO爭端解決案例中援引例外的成員方敗訴��。從此可以看到��,上述FTA中的這些規定顯然是貿易主導型的���。
與上述FTA相比��,RCEP則采取了不同的方式�����。與CPTPP�、DTA��、DEPA和SADEA等類似�,RCEP第12.15條首先認可締約方對于通過電子方式傳輸信息可能有各自的監管要求��。在此前提下提出不得阻止為進行商業行為而通過電子方式跨境傳輸信息的大要求����,進而列出例外��,即���,締約方可以采取其認為是其實現合法的公共政策目標所必要的措施(締約方確認實施此類合法公共政策的必要性應當由實施的締約方決定)���,只要該措施不以構成任意或不合理的歧視或變相的貿易限制的方式適用�����。與CPTPP等相比��,RCEP的電子商務章節下例外存在兩個特點�,第一是增加了“其認為”的措辭��,第二則是直接明確此類合法公共政策的必要性應當由實施措施的締約方決定���。除此之外�,RCEP還規定了締約方可以采取的另外措施�����,即���,其認為對保護其基本安全利益所必需的任何措施�����,而其他締約方不得對此類措施提出異議�����,該條就是在特定例外條款中額外加入了國家安全例外��。RCEP的特征是在類似于CPTPP或USMCA的條款設計下���,其實通過對合法公共政策的必要性由采取措施的締約方決定以及增加基本安全利益下的絕對權利豐富了締約方動用該條實現合法公共政策目標和維護國家利益并對數據跨境流動采取限制的可能性�����。從這一點來看�,兩者可以說具有非常大甚至是根本性的區別���。特別是對合法公共政策必要性由實施措施的締約方決定以及基于保護基本安全利益所必需的任何措施其他締約方不得提出異議的規定給了采取措施的締約方決定性的權利����。這其實是對數據跨境流動進行限制留了一個大口子����。
從外形上看����,CPTPP�����、USMCA�、DTA�����、DEPA���、SADEA�����、RCEP都倡導跨境數據自由流動��,同時也對其留有例外����,只不過因為這些例外條款實際上很難滿足其要求�����。但�,因為RCEP對其增加了基本安全利益之例外并降低了基于合法公共政策采取措施的權利���,且因此采取的措施必要性認定權在采取措施的締約方或其他締約方不得提出異議����,這就使得此條款適用起來還是相對簡便����。換言之�,RCEP 條款最顯著的特點是給各個締約方留足了規制空間���。
三����、一般例外和國家安全例外條款對數據跨境流動的適用
?�。ㄒ唬┮话憷夂蛧野踩鈼l款的緣起
在WTO規則下����,談到一般例外��,首先會想到GATT第20條的10項例外����,類似規定也出現在《服務貿易總協定》(以下簡稱為GATS)第14條��、《與貿易有關的投資措施協定》第3條�����。雖然內容各不相同�,但以CPTPP�、USMCA���、RCEP為代表的FTA也往往包含有此類一般例外條款�����,只不過在電子商務或數字貿易章節適用GATT下的一般例外條款還是GATS下的一般例外條款有所不同��,而且均直接將GATT第20條和GATS第14條納入到FTA條款中�����。WTO的安全例外�,則規定在GATT第21條和GATS第14條之一�。多數的FTA在總體上繼承了WTO安全例外條款的內容��,也有些FTA的安全例外條款對GATT第21條作了一定修改�。
WTO的國家安全例外條款對三種例外做出規定��,(a)項是對披露則會違背其基本安全利益的任何信息的保護��,(b)項是賦予成員為保護其基本安全利益所必需的任何行動的權利��,(c)項則賦予成員為履行其在《聯合國憲章》(以下簡稱為《憲章》)項下的維護國際和平與安全的義務而采取的任何行動的權利�。這是多邊條約首次明確規定的安全例外條款��。這不僅對此后國際經貿關系的調整具有重大意義����,而且作為嚴格意義的條約法上安全例外條款�����,在一般國際法上也堪稱先例����。類似的條款后來也被納入到GATS第14條之一��,《與貿易有關的知識產權協定》(以下簡稱為TRIPS)第73條�、《與貿易有關的投資措施協定》第3條等����。普遍被認為是國家安全例外條款的GATT第21條��,實際上標題是安全例外���,而(a)項和(b)項是基于基本安全利益采取措施的權利�,(c)項則是基于國際和平與安全按照《憲章》采取措施���,因而��,對什么事基本安全利益作出界定非常重要�。據《俄羅斯-運輸限制措施案》(DS512)中專家組作出的裁定����,基本安全利益顯然是比安全利益更狹隘的概念��,通??梢岳斫鉃榕c國家基本職能相關的利益��,即保護其領土和人民免受外部威脅���,以及內部維護法律和公共秩序���。GATT列舉為核物質運輸����、與武器彈藥等大規模殺傷性武器相關的作戰貿易運輸���、國際緊急情況(與戰爭或軍事安全相關)等���。也就是說�����,基本安全利益的范圍應緊密限制在軍事安全����、領土安全的范圍內����。FTA特定例外所保護的往往是合法的公共政策��,因而�,可以理解為公共政策和公共秩序在選取所采取措施時是有區別的����,即公共政策針對的是非基本安全利益��,而公共秩序則針對基本安全利益���。
國家安全例外同一般例外一起構成WTO例外體系的重要組成部分����,或許WTO協定中沒有任何條款比國家安全條款更具政治敏感性����。但�,至今其得到援引并不常見�,在WTO成立前盡管該條在爭端解決案例中有被援引�����,但尚無就此通過的專家組報告��,即使在WTO成立后也是僅有兩個專家組報告�����。這與一般例外條款在諸多WTO爭端解決案例中得以援引相差甚遠���。但在國家安全普遍被泛化的情況下�,在《俄羅斯-運輸限制措施案》中該條款曾得以援引��,除此之外����,《阿聯酋-與貨物��、服務和與貿易有關知識產權措施案》(DS526)��、《美國-對鋼產品和鋁產品措施案》(DS544���、547�、548�、550��、551�、552��、554�����、556�、564)��、《沙特阿拉伯-知識產權保護措施案》(DS567)���、《卡塔爾-對從阿聯酋進口貨物措施案》(DS576)�、《日本-有關向韓國出口產品和技術的措施案》(DS590)中該條款也得以援引���。如在《美國-對鋼產品和鋁產品措施案》中�����,美國將采取措施的依據放在GATT第21條��;在《阿聯酋-與貨物��、服務和與貿易有關知識產權措施案》中�����,阿聯酋也主張了國家安全例外�����,但該案在即將做出專家組報告之前被阿聯酋和卡塔爾雙方協議暫停專家組審議��;在《沙特阿拉伯-知識產權保護措施案》中沙特阿拉伯援引了TRIPS第73條下的國家安全例外�;在《日本-有關向韓國出口產品和技術的措施案》中��,日本主張基于國家安全的顧慮而采取正當的出口管制措施���,并試圖援引GATT第21條����。還有研究表明�����,截至2019年6月��,在GATT/WTO時期涉及安全例外條款的案件共有27起��。
?���。ǘ┮话憷鈼l款在FTA中的適用
CPTPP第29.1.3條和USMCA第32.1.2條規定�����,電子商務或數字貿易適用GATS第14條的一般例外���,但同時也在注釋中說明該款規定不影響電子產品是否應歸為貨物或服務���。DEPA第15.1.3條�����、SADEA第3.1條和第3.2條����、DTA第3條��、RCEP第12條則規定GATT第20條和GATS第14條一般例外的適用�。這些條款表明�����,對于一般例外�����,這些FTA均直接將GATT或(和)GATS的一般例外納入到FTA之中予以直接適用����,當然相互之間也存在差異��,就是CPTPP和USMCA規定適用GATS的一般例外條款���,而其他則規定同時適用GATT和GATS的一般例外����,即便如此��,前者也通過注釋的方式明確本款不影響電子產品是否應歸為貨物或服務���。只不過�,在GATS項下的一般例外情景明顯少于GATT項下的一般例外�����,而且WTO爭端實踐表明��,成員在GATT和GATS項下首選的例外情形大不相同���。在GATT中最常被引用的是保護公共健康和環境的例外��,而在GATS中最常被援引的是公共道德例外��。另外��,僅將電子產品明示出來���,似乎在暗示著除電子產品之外的電子商務或數字貿易則歸屬于服務貿易�����。因此�����,這些條款其實存在不小的區別�。
?�。ㄈ﹪野踩鈼l款在FTA中的適用
盡管具體內容并不完全相同����,但大多數的FTA復制了WTO協定的國家安全例外條款或明確WTO協定的國家安全例外條款對FTA的適用性�����。如��,CPTPP��、USMCA��、DTA���、DEPA���、RCEP等協定均包含有此類安全例外條款�。
如�,CPTPP第29.2條�、USMCA第32.2條�、DTA第4條�、DEPA第15.2條均規定:本協定中任何條款不得解釋為:(a)要求一締約方提供或允許獲得其確定如披露則違背其基本安全利益的任何信息�����;或(b)阻止一締約方采取其認為對履行維護或恢復國際和平或安全義務或保護其自身基本安全利益所必需的措施��。依據這些條款的規定����,締約方的自決權較WTO的國家安全例外有所擴張���,因為����,GATT第21條(c)項中的“根據《憲章》采取的維持國際和平與安全的行動”在這些協定中則變更為“其認為有必要為履行維持或恢復國際和平與安全之義務而采取的行動”�����,這為這些國家采取非《憲章》下的維持和平行動創造了可能�。
RCEP第17.13條也規定了國家安全例外����,從體系上來看��,其更加類似于GATT的國家安全例外���。其規定����,本協定的任何規定不得解釋為:(a)要求任何締約方提供其認為如披露則違背其基本安全利益的任何信息�;(b)阻止任何締約方采取其認為對保護其基本安全利益所必需的任何行動:1.與裂變和聚變物質或衍生此類物質的物質有關的行動���;2.與武器����、彈藥和作戰物資的交易有關的行動�,以及與直接或間接供應或給養軍事機關的此類交易運輸的其他貨物和物資或提供的服務有關的行動�;3.為保護包括通訊���、電力和水利基礎設施在內的關鍵的公共基礎設施而采取的行動�;4.在國家緊急狀態���,或戰時����,或國際關系中的其他緊急情況下采取的行動�����;或者(c)阻止任何締約方為履行其在《憲章》項下維護國際和平與安全的義務而采取的任何行動�����。此規定除了增加“為保護包括通訊����、電力和水利基礎設施在內的關鍵的公共基礎設施而采取的行動”�,“在國家緊急狀態”這些內容的增加之外��,與GATT第21條非常相似��。當然��,上述內容的增加�����,為締約方采取措施提供了更多可能性�����。
因為在RCEP中�����,已經在電子商務章節對限制措施的例外適用做出了較為寬泛或適用條件較低的規定���,因此�,締約方為了國家安全而援引第17.13條國家安全例外的可能性不大���,甚至�,其在電子商務章節中已經含有內容寬泛的國家安全例外條款���,這就導致國家安全例外同時存在于特定例外和安全例外的現狀���,這也是RCEP的一個特點�,即�,說明其更加注重對國家安全的保護�����。相反���,因為CPTPP���、USMCA�、DTA�、DEPA下對數據跨境流動限制措施伴隨著諸多前提條件����,所以���,反而導致援引國家安全例外條款的可能性增加�����。
SADEA則沒有設置國家安全例外條款���,僅在附件A第4條規定:本章的任何規定均不得要求一方提供或允許獲取機密信息����,如果披露機密信息將違反其法律���、妨礙執法或違反公共利益����,或會損害特定公共或私營企業的合法商業利益�。而此類規定在CPTPP第29.7條���、USMCA第32.7條�、RCPE第17.7條����、DEPA第16.6條中也能查找��。因此�����,其與國家安全例外條款存在區別�。
《俄羅斯-運輸限制措施案》中被援引的安全例外是GATT第21條(b)項�,其專家組裁定�,WTO成員方總體上有權自行判斷其“基本國家安全利益”以及相關措施是否是保護該利益“所必需的”���,但行使該自判權應基于“善意原則”(good?faith)��,專家組有權對其進行客觀審查�。這說明����,專家組認為貿易自由化和多邊主義精神與國家安全是相得益彰���?���!渡程匕⒗?知識產權保護措施案》中被援引的是內容與GATT第21條(b)項完全相同的TRIPS第73條(b)項�����,該案中專家組的裁決與《俄羅斯-運輸限制措施案》別無二致��。而(c)項則很明確針對《憲章》下的制裁�����。有觀點指出:(a)項被認為是條件最為寬泛(援引國認為如披露某些信息將違背其基本安全利益即可)���,但反過來該款所允許采取的行為范圍則最為狹窄(僅限于拒絕提供特定信息�,而不包括對特定進口或出口的限制)���,在實踐中的重要性和爭議性都相對較小�����。盡管如此�����,筆者還是認為(a)項至今雖未得以援引���,但就數據跨境流動而言��,該條具有非常重要的地位�����,況且(a)項中還缺少類似(b)項的“必需性”要件��。與上述FTA對GATT第21條(b)項和(c)項內容的不同程度引用相比��,對(a)項則均采取全盤接受���,即該項分別被CPTPP第29.2條的(a)項��、USMCA第32.2條的(a)項�、DEPA第15.2條(a)項��、DTA第4條(a)項和RCEP第17.13條(a)項中原封不動的予以引用��,唯一不同的是在SADEA中排除國家安全例外條款��。各締約方基于基本安全利益���,可以對相關信息采取保護��,這就意味著可以對相關數據的跨境流動予以限制��,因為此類數據的跨境流動將會導致其被披露�。而且�,各締約方對此可以自行判斷��,即“其認為”即可����。雖然在貨物貿易和服務貿易下此條款尚未被得以援引�,使得各國對其認識不足�����,但隨著數字貿易的進一步發展����,此條是否有可能搖身一變成為對數字貿易施加限制的殺手锏呢���?
問題是����,這里的信息是由締約方政府直接掌握的信息�����,還是泛指在其管轄權范圍內存儲的信息����?通常包含在貿易協定中的國家安全例外包含與個人數據直接相關的內容�。因此���,國家安全例外可能會提供針對數字貿易的其他保護措施�����,尤其是規范個人數據傳輸和存儲設施位置的政府措施�??梢哉f應用這些國家安全例外的可能性是一個可以在現有數字貿易規范的討論中帶來重大變化的問題�����。這意味著當前的“原則-例外”框架缺乏對這一部分的考慮���,存在固有的局限性��。尤其是在對個人信息的海外轉移保持保守或被動立場的國家���,將尋求通過國家安全例外來維持各種監管措施��。因為其會認為貿易協定的國家安全例外中包括的與“信息”有關的規定也直接適用于“個人信息”�。
四�、對FTA數據跨境流動限制條款的重塑
?����。ㄒ唬θN例外條款進行協調
數字貿易和個人信息的新時代需要在整個貿易協定中重新考慮和協調�,而且在這方面���,國家安全例外也需要相應地予以糾正�。這種平衡已朝著確保信息傳輸更多自由的方向發展���,因為在USMCA和DTA中已刪除了締約方政府可以進行管制的原則聲明���,并已將援引特定例外的條件進行調整以適應一般例外��。
USMCA和DTA中對禁止數據本地化并未設有類似CPTPP的特定例外�����,那么禁止數據本地化這一原則僅適用一般例外和安全例外����,該條對通過海外服務器收集和使用個人信息提供更加強有力的保護�����。想必DTA應該是考慮到了適用于整個協定的一般例外和國家安全例外����,因此����,在必要時可以證明與服務器位置有關的限制措施是合理的����。DTA的這種新發展提出了一個基本問題����,即關于數字貿易中已討論的特定例外與一般和安全例外之間的關系�����,這是因為DTA已經注意到存在這些例外疊加適用的可能性�。
在特定例外�����、一般和安全例外的適用順序方面�,可以首先嘗試援引特定例外�����。如果特定例外的適用失敗����,則實際上一般例外的適用也非常困難����,但是鑒于一般例外規定在貿易協定中的重要地位以及被援引的先例���,許多國家還是將嘗試對其援引����。一般例外保護為公共政策�����、公共道德��、生命和健康(在醫療個人信息的情況下)�����,環境(與消費環境侵權產品有關的個人信息)和自然資源(與有限資源消費有關的個人信息)保護所需采取的措施�����,因此其具有適用范圍比特定例外和安全例外更加廣泛的優點��。而GATT第21條的安全例外并沒有GATT第20條“序言”所要求的“任意或不合理歧視或對國際貿易的變相限制”的禁止性規定����,貿易限制措施的適用方式更為靈活���。因此���,其在適用方面也是有優勢�。
當然���,對于國家而言���,援引一般例外是一件非常困難的事情�。這是因為要滿足相關前提條件并不容易�,盡管如此��,我們也看到在WTO近期的案例中成功援引一般例外的情況逐漸多了起來�,比如����,在《韓國-對放射性核素的進口禁令和檢測認證要求案》和《澳大利亞-關于適用于煙草產品和包裝的商標���、地理標志和其他平裝要求的某些措施案》(DS435���、441��、458�、467)中均認可了基于人的生命�、健康保護而采取措施的正當性�。因此��,從理論上說�����,其還是認可通過一般例外保護當前國家認為的與個人信息有關政策的主權���,盡管其在現實中可能性不是很大����。
?。ǘ┚鑷野踩膺m用的泛化
不僅是國際條約����,各國的國內法對此也有類似的規定���。例如��,《通用數據保護條例》(以下簡稱為GDPR)序言規定�,GDPR不適用于國家安全事務�����,并且引入了國家安全的單獨例外條款��。俄羅斯于2015年出臺了《個人信息保護法》���,原則上要求在俄羅斯境內存儲個人信息��,并限制了向國外的轉移�����。在這里����,國家安全考慮也起著重要作用����?��!睹绹?019年國家安全和個人數據保護法案》規定�����,重要信息(包括一些敏感的個人信息)不應存儲在某些特定外國(中國�,俄羅斯等)����,認為其基礎是基于國家安全�。韓國也認識到個人信息與國家安全之間的聯系��,2017年制定的韓國《個人信息保護法》不適用于為國家安全有關的信息分析而收集的個人信息以及為公共安全而臨時處理的個人信息����。
在國家安全方面��,適用例外限制個人信息的跨境傳輸以及服務器在國外的國家實際上有三種選擇��。一種是利用FTA中有關電子商務(數字貿易)一章中包含的特定例外���,另一種是可以選擇適用于整個FTA的一般性例外���,最后一種方法也適用于整個FTA�����,它是在適用的國家安全例外情況中尋找解決方案的替代方法��。即使選擇第一個或第二個����,也有可能同時使用第三個作為補充���。安全例外條款不應適用于為經濟目的采取的措施���。但正如在TikTok事件中所看到�,在國際上鼓勵跨域數據自由流動為美國企業收集��、處理和傳輸等利用他國數據的行為破壁開路���,在其國內卻以國家安全為由限制數據利用�,使得外國企業處處掣肘���,以達到保護美國企業的目的�����。
現在討論的數字貿易不僅限于現有貿易的電子方法(傳統意義上的電子商務)�,還指具有新形式和新內容的交易�����。在現有貿易協定的框架下定義和管理這些新交易存在根本的局限性���。想必因為這些理由���,才出現了DTA以及DEPA���、SADEA等數字貿易或數字經濟協定���。
從個人信息和信息的關系來看�,信息應是包括個人信息的概念�。當然����,在某些條約條款的解釋當中���,要注意簽訂條約當時對某一用詞的普遍理解���,而不適宜做超出當時普遍理解的擴張解釋���。
在CPTPP���、USMCA�、RCEP等大型FTA中都有國家安全例外條款����,而這些條款或許可以成為締約方對數據跨境流動采取限制的依據�����,更值得關注的是這些規定給了締約方對是否違背其基本安全利益的認定權����,盡管在程度上各異���,但至少關于披露將會引發基本安全利益相關信息這一項下上述條約幾乎采取了相同的規定�����。
?����。ㄈ底仲Q易另行訂立協定
將數字貿易從現有FTA中分離出來并締結專門適用于數字貿易的協定也可以被視為是能夠解決結構性問題的一種方式����。它認識到數字貿易的特征����,為應用它準備了一個新的框架����,并通過它來規范數字貿易����,DTA�、SADEA���、DEPA等就是此方面作出的較好嘗試�,新加坡和韓國��、英國間也已啟動相關談判���。當然����,即使在這種情況下�,現有的相關貿易協定仍將適用于與數字貿易有關的一般貿易���,因此如何協調地引導這兩個協定的問題仍然存在�。如���,新加坡和澳大利亞�����、新西蘭之間既有FTA��,又有數字經濟協定�����,而美日兩國間�,也同時具有FTA和數字貿易協定�����。
SADEA第3條(a)項將新加坡-澳大利亞FTA的電子商務章節予以修訂����,即由其附件A的數字經濟章節予以替換��。新加坡與韓國和英國推動的數字經濟協定也極有可能采用這種做法����。美日貿易協定第2條也規定了其與DTA之間的關系�����,即���,每一締約方確認其在WTO協定和雙方均加入的其他協定項下相對于另一締約方的現有權利和義務���,此條也意味著DTA的內容優先適用于美日貿易協定�,但與SADEA的替換不同��,美日之間則采取了有順序的重復適用��。DEPA則因為是新加坡�、新西蘭��、智利三國間的多邊協定��,而三國間又沒有簽訂FTA����,因此并無類似條款�,僅在第1.2.2條規定:如果一締約方認為DEPA的條款與其和至少一個其他締約方作為締約方的另一協定的條款不一致����,應請求����,另一協定的相關締約方應協商以達成雙方滿意的協議�����。新加坡和新西蘭之間簽有FTA�����,因此��,如果新加坡-新西蘭FTA的電子商務章節以及與數字經濟有關的條款與DEPA不一致的話��,就會出現如何適用的爭議���。
五���、我國對數據跨境流動的限制及其完善建議
?����。ㄒ唬┟鞔_以自由為原則��,限制為例外的例外條款模式
歐美對數據跨境流動采取不同的模式��,歐盟通過GDPR確立了被稱為“世界上采用最廣泛的個人數據保護模式”�,大多數國家在國內立法中都在不同程度上適用其原則����。美國則通過推動亞太經合組織隱私框架下的跨境隱私規則體系等舉措��,旗幟鮮明地支持跨境數據自由流動�,反對數據本地化��,與其盟友建立了數據流動“朋友圈”�。鑒于我國既是數據大國也是對外投資大國��,例外條款的構建可考慮以數據跨境自由流動為原則����,以限制流動為例外�����。例外條款的設計是在為促進數字經濟發展的目標下保障我國安全利益而服務���,不應阻礙我國數字企業發揮優勢����。數據跨境自由流動成為常態��,而較高保護水準的數據隱私保護要求�����,以及涉及國家安全���、公共道德和公共秩序的內容審查機制均可被納入例外�����,只有在符合一定的采納和實施要件之后才能阻止數據流動�����。我國也可以進一步在國際社會上推動該類補救措施的合法化����,以維護受損害成員方在WTO下權利和義務的平衡���。在此方面���,RCEP中的例外條款模式還是提供了較好的模板�,因為其較好的處理了在國家安全等核心方面繼續保留較大范圍限制的同時又很好地貫徹了數據跨境流動總體自由的大方向�����。
?。ǘ╆P注FTA中三種例外對數據跨境流動的疊加適用問題
除了RCEP外�����,我國締結的FTA中對電子商務作出規定的主要有《中-韓FTA》和《中-澳FTA》���?�!吨?韓FTA》第21.1.2條規定��,電子商務而言��,GATS第14條經必要修訂后納入本協定并構成本協定的一部分�,而這對電子產品是否應被劃分為貨物或服務不產生影響��;《中-澳FTA》第16.2條則規定電子商務適用GATT第20條和GATS第14條的一般例外條款��?����!吨?韓FTA》第21.2條和《中-澳FTA》第16.3條則規定����,就本協定而言����,GATT第21條及GATS第14條之二經必要修訂后納入本協定并構成本協定的一部分��。即�,我國締結的FTA主要還是以直接適用WTO協定的一般例外和安全例外為主��。因為《中-韓FTA》和《中-澳FTA》均未對數據跨境流動進行規定�����,所以����,這些FTA并不存在電子商務章節下的特定例外����,當然�,從另外一個角度來看�����,就因為沒有對數據跨境流動做出明確的規定�����,即沒有就此承擔相關條約下的義務�,所以�����,也沒有必要通過例外條款來對其進行限定��。
當前就FTA的結構而言����,最緊迫的問題是澄清電子商務(數字貿易)一章中包含的特定例外與適用于整個FTA的例外之間的關系?�,F在�����,一般例外和國家安全例外適用于整個協定�,因此它們當然也適用于電子商務(數字貿易)部分�����。具有不同背景的例外情況并不一定要同時適用多個條款�����,但允許在同一情況下存在多個例外情況的系統注定會造成混亂�����。特別是�,如果沒有像現在這樣提及重復適用的可能性�����,并且沒有關于以何種順序和以何種方式適用這些例外的規定�,最終����,援引該例外的國家和反對國之間將出現爭議���。
另外���,在互聯網領域���,國家安全不存在統一認識��。如��,在我國�����,數據(信息)安全亦與政治安全��、國土安全��、軍事安全���、經濟安全�、文化安全��、社會安全�����、科技安全��、生態安全�����、資源安全��、核安全并列且相互交錯�����,共同組成綜合安全體系��。俄羅斯在《俄羅斯-運輸限制措施案》中主張國家有權就采取的措施是為保護其基本安全利益所必要作出決定�����,而美國也在該案中披露了與俄羅斯相同的觀點�。對美國而言��,GATT第21條(b)項的自我判斷性質使爭端“不可審理”�����,即認為專家組無權審查成員援引該條的權利�����。歐盟�、中國��、巴西���、澳大利亞�、日本和其他第三方則認為專家組有權審查此案����,不同意對涉及國家安全的爭議不可審理的觀點��。甚至���,美國在針對我國抖音和微信采取限制措施時曾主張個人信息的海外流露會影響國家安全��。即��,應該注意個人信息與國家的外交��、安全����、經濟和社會領域中關鍵國家職能的執行有關��。我國要警惕美國泛化基本安全利益的范疇�,特別是試圖將經濟安全也納入到基本安全利益����,從而實施對我國企業的打壓��。也要考慮有關個人信息的泄露是否會導致基本安全利益受損的問題���,對此�,建議對個人信息應采取區分��,即警惕將個人信息泄露直接與國家安全聯系起來�,也要注意把兩者完全區別對待�?���;蛟S在此方面����,網絡安全審查辦公室于2021年7月2日和7月5日分別對滴滴出行和運滿滿���、貨車幫����、BOSS直聘展開的網絡安全審查將會提供一個非常有用的案例�����。
2020年11月20日���,國家主席習近平表示���,我國將考慮加入CPTPP�。從目前的情況來看����,加入CPTPP可能會是一個漫長的過程�����,在加入中會遇到的一系列難點中數據跨境流動也會有一席之地����。從我國締結的FTA文本不難發現��,RCEP是對數據自由跨境流動做出最開放態度的協定�,盡管如此����,其還是受到很大限制�,在這樣的背景下���,比較CPTPP和RCEP的相關條款不難發現兩者具有很大區別����。而恰好CPTPP中一般例外和國家安全例外條款的存在和適當運用���,將會對我國具有很大啟發���,或許通過這些條款的援引���,可達到數據跨境流動自由和國家安全利益的最佳協調�����。特別是對基于基本安全利益所適用的不披露任何信息這一條款��,但是�,目前尚不清楚該“信息”如何與數字貿易中的“個人信息”相關聯����。當然�,可以主張�,除非另有協議���,否則同一協定中包含的相同詞語原則上應解釋為相同�。如果是這樣的話�,同一FTA中包含的“信息”一詞應在整個協定中得到相同的解釋�。目前似乎沒有理由對FTA中出現在各個條款中的信息這一措辭進行不同解釋���。并且����,“信息”的詞典含義涵蓋了包括子概念“個人信息”在內的廣泛內容����,這也從GATT第21條(a)項使用了“任何信息”這一措辭予以證明���。但與RCEP第12.17.3條規定任何締約方不得就電子商務章項下產生的任何事項訴諸爭端解決不同����,CPTPP等FTA則未將電子商務排除在爭端解決之下���。這也將是我國加入CPTPP時所要解決的問題�,即電子商務方面適用FTA爭端解決機制的問題��。在CPTPP下����,對基于基本安全利益而采取的限制數據跨境流動措施將面臨FTA爭端解決機制的審查�。
在美國設想第二次世界大戰后新的戰后貿易秩序之后����,國家安全例外被視為審查國際貿易組織(ITO)成立過程中的一個主要議題�。此外���,經過幾處修改����,它被作為GATT第21條引入WTO法中���。從這一歷史來看�����,此處引入的術語“信息”可被主張為與如今的個人信息其實無關���。但是��,因為后來諸多FTA將這兩個術語同時包含在其條款當中��,所以才出現了意外的連接���。如果是這樣��,我們也可考慮是否有需要將兩者之間的這種“意外”連接予以阻斷��。作為國家安全的例外����,很大一部分個人信息可以從“信息”的概念中排除�����。當前拒絕提供信息的規定包含誤解和許多濫用�。尤其是����,在使用信息作為其核心對象和媒介的數字貿易中���,這個問題更加嚴重���。此外��,當前拒絕提供信息的許多措施可能仍會被國家安全例外的其他規定所涵蓋�。如果是這樣�����,也可以考慮刪除此規定����。上述FTA將機密信息予以單獨分離出來的方式或許可以提供一種新的思路����,即對信息或數據劃分不同類型予以區別對待��。對于涉及國家安全����、社會重大利益的數據��,應采取最嚴格的數據管理措施�����,禁止或有條件地進行數據跨境轉移��;對于一般性行業數據和政府數據�,應根據雙邊��、多邊協定或依據國內法具體規定進行跨境流動�����;對于個人數據�����,則可采取較為寬松的管理措施��,以促進數字產業的發展�����。
?����。ㄈ┩晟莆覈鴩鴥确▽祿缇沉鲃拥南拗埔幎?/span>
我國國內法對數據跨境流動相關限制主要顯現在《網絡安全法》《數據安全法》和有待通過的《個人信息保護法》中�����。但是因為這些立法所制定的年份各不相同��,里面的具體條款也存在部分不夠明確����,相互不銜接等情況���。
1.數據跨境流動適用法律問題
就數據出境問題���,《網絡安全法》���、《數據安全法》與《個人信息保護法》之間的適用關系問題也值得探討���,盡管后者尚未通過���?!稊祿踩ā返?1條規定�,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理���,適用《網絡安全法》的規定��;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法����,由國家網信部門會同國務院有關部門制定��。因為《網絡安全法》也規定由國家網信部門會同國務院有關部門制定關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法�,因此��,所有重要數據的出境安全管理辦法是統一的還是割裂的也不明確���,目前對重要數據出境能夠適用的安全評估尚無章可循���,也未見有相關立法草案��。至于個人信息出境則應適用《個人信息保護法》����,《個人信息出境安全評估辦法(征求意見稿)》也尚處于草案階段����,因為目前《個人信息保護法》尚未制定���,該安全評估辦法又依據《網絡安全法》���,所以��,這些都需要適當調整����,而且也呼吁《個人信息保護法》盡早出臺�,從而理順相應關系����。
2.《網絡安全法》和《數據安全法》相關規定的完善
如���,《網絡安全法》第37條規定:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲�。因業務需要�����,確需向境外提供的�,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估��;法律�、行政法規另有規定的�,依照其規定����。即��,《網絡安全法》僅對關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據作出境內存儲的要求�,而且���,這些信息經安全評估也可出境����,最后���,還附加了其他法律和行政法規對其進行突破的口子�。但本條款存在諸多可探討的細節:第一��,存儲和提供并非相同概念�����,所以兩者并非原則和例外的關系����,境外存儲是不被允許的�,僅在確需時經過安全評估���,才能向境外提供���,該條將數據本地化和數據跨境流動這兩個不同的概念混為一談��,而往往在FTA中將這兩個內容放在不同的兩個條款�����,這種明確的區分值得我國立法借鑒��。第二��,關鍵信息基礎設施的概念或范圍不明確�?!蛾P鍵信息基礎設施安全保護條例(征求意見稿)》第18條對關鍵信息基礎設施的范圍作出如下界定:下列單位運行���、管理的網絡設施和信息系統���,一旦遭到破壞�、喪失功能或者數據泄露�,可能嚴重危害國家安全��、國計民生�����、公共利益的���,應當納入關鍵信息基礎設施保護范圍:(一)政府機關和能源�����、金融��、交通�、水利��、衛生醫療�����、教育�、社保��、環境保護��、公用事業等行業領域的單位��;(二)電信網�、廣播電視網���、互聯網等信息網絡�����,以及提供云計算��、大數據和其他大型公共信息網絡服務的單位��;(三)國防科工����、大型裝備���、化工��、食品藥品等行業領域科研生產單位���;(四)廣播電臺����、電視臺�����、通訊社等新聞單位�;(五)其他重點單位��。此條并非是對關鍵信息基礎設施的定義����,而是指出范圍���。該條首先是劃定了行業和單位�����,然后要求增加了破壞����、喪失功能或者數據泄露����,可能嚴重危害國家安全等時才被納入關鍵信息基礎設施保護范圍���。換言之����,其也不是界定關鍵信息基礎設施范圍���,而是說明在何種情況下納入該保護范圍�����。另外��,主要涉及個人信息保護的諸多電商企業是否包含在上述范圍看起來并不明確����,互聯網服務單位里是否包括各大電商企業呢��。即使包括��,嚴重危害國家安全�����、公共利益才被納入關鍵信息基礎設施保護范圍���,而這些內容都有待進一步明確�,否者就會導致企業無法適應����。第三���,重要數據的概念或范圍不明確����?!稊祿踩ā返?0條規定:國家建立數據分類分級保護制度��,根據數據在經濟社會發展中的重要程度�����,以及一旦遭到篡改����、破壞���、泄露或者非法獲取����、非法利用�,對國家安全�、公共利益或者公民����、組織合法權益造成的危害程度���,對數據實行分類分級保護����,并確定重要數據目錄��,加強對重要數據的保護�。各地區�����、各部門應當按照數據分類分級保護制度���,確定本地區�、本部門以及相關行業���、領域的重要數據具體目錄�,對列入目錄的數據進行重點保護�?��!稊祿踩芾磙k法(征求意見稿)》第28條也規定����,網絡運營者發布�����、共享����、交易或向境外提供重要數據前��,應當評估可能帶來的安全風險�����,并報經行業主管監管部門同意���;行業主管監管部門不明確的���,應經省級網信部門批準����。向境外提供個人信息按有關規定執行��。但因各部門和各地區都可設置重要數據目錄��,因而可能會導致較為復雜的重要數據目錄體系�����,這在具體執行中會導致一定的困擾����。如《汽車數據安全管理若干規定(征求意見稿)》第3條對汽車重要數據作出規定�,其它產業也有可能制定類似目錄�。而且何為數據分類分級保護制度��,也需要進一步明確�,因為重要數據目錄的制定顯然與此具有密切關聯�。第四��,安全評估主體和辦法等不明確����。而且���,即使屬于需要安全評估的個人信息����,因目前《個人信息出境安全評估辦法(征求意見稿)》尚未通過�,因此也缺乏可操作性����。非個人信息的其他重要數據之安全評估辦法也有待確立�����。因此����,僅從現行法還無法得知跨境數據轉移安全評估的具體標準�����,這樣會存在一定的不確定性����。第五�����,法律和行政法規的例外有待查明���。第六���,從RCEP實施的角度來看�,至少從外形上RCEP對數據跨境流動采取的是自由流動為原則��,這與《網絡安全法》第37條不一致���,即待RCEP生效后有可能產生國際法和國內法相適應的問題����。還好�����,《數據安全法》第11條對數據跨境流動的原則做了一定調整:國家積極開展數據安全治理�����、數據開發利用等領域的國際交流與合作�,參與數據安全相關國際規則和標準的制定���,促進數據跨境安全�、自由流動�����。該條表明��,此法已經將安全和自由流動擺在幾乎平等的地位��。第七�,《個人信息出境安全評估辦法(征求意見稿)》第2條規定:網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息(以下稱個人信息出境)��,應當按照本辦法進行安全評估�。經安全評估認定個人信息出境可能影響國家安全����、損害公共利益����,或者難以有效保障個人信息安全的��,不得出境���。問題是����,與《網絡安全法》比較����,該規定缺少因業務需要�����,確需提供的限制����。
3.《個人信息保護法》的制定和適用
《個人信息保護法(草案二次審議稿)》(以下簡稱為《個人信息保護法草案》)第38條規定�,個人信息處理者因業務等需要����,確需向中華人民共和國境外提供個人信息的���,應當至少具備下列一項條件:(一)依照本法第40條的規定通過國家網信部門組織的安全評估���;(二)按照國家網信部門的規定經專業機構進行個人信息保護認證�����;(三)按照國家網信部門制定的標準合同與境外接收方訂立合同�����,約定雙方的權利和義務��,并監督其個人信息處理活動達到本法規定的個人信息保護標準�;(四)法律��、行政法規或者國家網信部門規定的其他條件����。而第39條則規定����,個人信息處理者向中華人民共和國境外提供個人信息的��,應當向個人告知境外接收方的身份�、聯系方式�、處理目的�、處理方式����、個人信息的種類以及個人向境外接收方行使本法規定權利的方式等事項���,并取得個人的單獨同意�?����;诖?�,個人信息的出境除了上述要求�,還要經過個人的單獨同意�����。而且��,個人信息出境所需的四個條件�����,除了(四)項作為兜底條款模糊處理外�����,其它三項也有待制定相應實施細則�。
《個人信息保護法草案》第40條規定�,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者�,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內���。確需向境外提供的�,應當通過國家網信部門組織的安全評估����;法律��、行政法規和國家網信部門規定可以不進行安全評估的����,從其規定��。結合此條來看�����,在《網絡安全法》要求對關鍵信息基礎設施的運營者在中國境內收集和產生的個人信息存儲在境內����,處理個人信息達到國家網信部門規定數量的個人信息處理者在中國境內收集和產生的個人信息也需要存儲在境內��。這些個人信息跨境流動需要進行安全評估�,對于國家網信部門規定數量目前尚屬空白��,而《個人信息出境安全評估辦法(征求意見稿)》中目前也沒有相關規定�,僅在《汽車數據安全管理若干規定(征求意見稿)》第17條規定���,處理個人信息涉及個人信息主體超過10萬人�����、或者處理重要數據的運營者����,應當在每年12月15日前將年度數據安全管理情況報省級網信部門和有關部門�����。處理個人信息達到國家網信部門規定數量的個人信息處理者的相關標準也要予以明確�。
《個人信息保護法草案》第41條則對司法或執法層面的個人信息跨境流動進行了設限���。中華人民共和國境外的司法或者執法機構要求提供存儲于中華人民共和國境內的個人信息的���,非經中華人民共和國主管機關批準�,不得提供�����;中華人民共和國締結或者參加的國際條約��、協定有規定的�,可以按照其規定執行?���,F實問題是如因此導致這些企業受到外國相關機構的制裁應怎么辦��?遇到這種情況�,政府層面應如何應對以及是否可以啟動《反外國制裁法》予以反制等也值得深入研究���。(作者馬光系浙江大學光華法學院副教授�����、國際法研究所所長)
關注官方微信
關注官方微博
