谭观福:数字贸易中跨境数据流动的国际法规制

选择字号:   本文共阅读 140 次 更新时间:2022-06-27 23:27:27

进入专题: 数字贸易   跨境数据流动   国际法   WTO   FTA  

谭观福  
例如,某些政策目标(例如互联网审查或言论自由限制)在某些缔约方国内是合法的,而在另一些国家中可能被认为是非法的。

   为探究公共政策目标的范围,从法律解释的角度可以结合条约的目的和宗旨来理解。CPTPP序言规定:“承认缔约方固有的规制权,并决心保留缔约方在设定立法和监管优先事项、保障公共福利和保护合法公共福利目标方面的灵活性,如公共健康、安全、可用尽生物或非生物自然资源的保护、金融系统的完整性和稳定性以及公共道德。”可见,序言列举的公共福利目标与WTO一般例外条款涵盖的政策目标大体相同,并且CPTPP序言的列举并没有穷尽,仅仅是示例性的说明。在对跨境数据流动的规制中,隐私保护、在线消费者保护、公共道德、公共秩序等都有可能构成“合法公共政策目标”。如果发生相关的贸易争端,援引公共政策例外的缔约方负有责任证明其主张的国内政策目标符合上述例外条款的规定。

   事实上,GATT1994和GATS中的一般例外条款在作了必要修改之后已经被纳入到CPTPP中。那么,CPTPP第14.11.3条和第14.13.3条中的例外与CPTPP一般例外条款是何关系?CPTPP第14章内置的例外条款和一般例外条款为合法公共政策目标的实现提供了双重保障。根据CPTPP第29.1条(一般例外),第14章(电子商务)适用于GATS第14条的(a)(b)和(c)款,即电子商务章的规则要受到整个协定的一般例外条款的约束。如果一项限制跨境数据流动的措施无法依据CPTPP第14.11.3条或第14.13.3条正当化,还可以依据协定中的一般例外条款进行抗辩。

   CPTPP电子商务章中例外条款非歧视性的条件类似于GATT1994第20条和GATS第14条确定的严格测试,其目的在于平衡贸易和非贸易利益。对于何谓“任意或不合理的歧视”或“对国际贸易的变相限制”,WTO丰富的案例实践可以提供非常有益的参考。在评估限制措施是否“未超过为实现合法目标所必需的限度”时,CPTPP仲裁庭可以采用类似于GATT1994第20条中的“必需性”测试。跨境数据流动的例外条款体现了最小限制原则和比例原则,基于合法政策目标对跨境数据流动的限制应考虑对数据流动影响更小的措施。

   USMCA第19.11条关于合法政策目标例外的规定增加了一个脚注,即“如果一项措施仅仅因为数据传输是跨境的就被授予不同待遇,从而改变竞争条件,损害另一缔约方的服务提供者,则不符合本款的条件”。该脚注的规定借鉴了国民待遇原则中“不低于”概念的法律解释,强化了非歧视的概念,特别强调不得因为改变竞争条件而对境外服务提供者造成损害。USMCA第19.12条有关禁止计算设施本地化的条款把CPTPP第14.13条内置的例外条款删除了。但这并不意味着,禁止计算设施本地化是一项绝对的义务而没有例外,它仍然可以适用USMCA第32章中的一般例外和安全例外条款。

   总体而言,CPTPP第14.11条和第14.13条以及USMCA第19.11条和第19.12条通过确立“原则+例外”的规制模式为跨境数据流动构建了一个相对自由的法律框架。CPTPP和USMCA的上述规则可能是跨境数据流动监管合作形式的典范,它将在服务贸易中引发更广泛、更深入的承诺。RCEP第12章(电子商务)中的数据流动规则也借鉴了上述模式,其中的例外条款还涵盖了国家安全例外的情形。但“原则+例外”的规制模式依然存在局限性,其例外条款无法为限制数据流动的合法性提供足够的法律确定性。大量数据在全球范围内的不断流动,越来越多地涉及范围广泛的国内法规。由于缺乏统一的数字贸易治理框架,各国政府只能依赖宽泛的例外条款来限制数据流动。为了满足限制数据流动措施的“必需性”测试要求,通常需要各国在数据治理的国际标准和监管合作方面的共识作为支撑,而这恰恰是各国在数字贸易规制中所缺乏的。

   (二)特殊数据的专门规则

   不同类型数据的跨境流动可能影响的政策目标不同,为了对不同国家特定政策目标的维护提供法律确定性,也为了更好地利用数据,促进数字贸易发展,FTA数字贸易章节除了对跨境数据流动规定了“原则+例外”的总体要求以外,还对特殊数据规定了专门规则。CPTPP和USMCA对跨境数据自由流动的要求包括个人数据,因为个人数据也可能与涵盖人的商业行为有关,也可以被商业化。但个人数据的跨境流动直接关涉个人隐私保护,因此,CPTPP和USMCA还专门规定了个人数据保护条款。不过,CPTPP和USMCA的跨境数据自由流动要求均不适用于政府持有、处理或收集的数据。政府数据关涉一国的公共安全或国家安全,因而对政府数据采取本地化措施不受自由流动的义务约束。但政府数据的开放和利用可以促进数字贸易的发展,因此USMCA规定了政府数据开放条款。此外,前文述及的金融数据的单独传输规则亦属于此处的特殊数据的专门规则。

   1.个人数据保护

   个人数据的流动关涉个人隐私保护。谷歌(Google)、脸书(Facebook)等大型互联网公司在提供数字服务的过程中侵犯用户个人隐私的事件时有发生。由于不同国家在特定文化、宗教和政治背景方面的差异,人们对隐私和数据保护问题的看法往往截然不同,结果导致隐私保护要求在不同法域之间的差异,对于保护在线隐私的最佳方法尚无国际共识。欧盟强烈主张将隐私作为一项基本人权,我国数据保护法将隐私视为信息安全而非人权问题,美国将隐私视为一项消费者权利,但一些发展中国家尚未制定隐私或数据保护法。不同国家对个人数据的监管差异通常会增加跨境服务提供商的合规成本,因为他们需要为客户量身定制其网站和数据收集方法等,此类要求还可能影响新技术的采用和使用。复杂的隐私保护要求也将阻止中小微企业从事数字贸易,因为合规要求对他们来说是一种沉重的负担。隐私法规可能成为歧视性贸易壁垒,但在另一方面,完善的隐私法规提高了互联网用户的信心,因为他们的数据被服务提供商安全地收集、使用和存储。保护在线隐私日益成为数字贸易的基本要求之一。加拿大在2019年向WTO提交的首轮电子商务提案中特别强调隐私保护,以增进人们对数字贸易的信心和信任。

   欧盟将个人数据保护置于优先位置,并坚持其高标准的要求,不容挑战。为保障欧盟个人数据安全,欧盟和美国于2000年签署了《安全港协议》,但2013年的“棱镜门”事件暴露了《安全港协议》执行中存在的问题。欧盟公民在政府访问其数据时缺乏救济权,因而《安全港协议》无法确保充分的隐私保护。2015年欧洲法院裁定《安全港协议》无效。2016年2月,欧盟和美国就数据传输达成了《隐私盾协议》。根据《隐私盾协议》,美国公司通过行业机构或单独向美国商务部自我证明,他们将保护欧盟公民的个人数据。《隐私盾协议》承诺提供比《安全港协议》更严格的隐私标准,将权利扩展到欧盟数据主体,并强化了监督和执法要求。不过,由于美国的数据保护水平仍然未能达到“与欧盟基本等同”的标准,欧洲法院于2020年7月裁定《隐私盾协议》无效。

   GATS第14(c)(ii)条仅将保护隐私作为一项例外,不能确保所有成员在个人数据保护方面采用统一框架,也没有解决因各国隐私框架的差异而导致的贸易壁垒。自TPP谈判的早期阶段以来,美国就一直希望通过一种灵活的机制来保护个人信息,允许建立用于数据传输的自我认证机制并采用自我监管框架。亚太经合组织(以下简称“APEC”)在2004年通过了类似的隐私框架,但澳大利亚和加拿大等国反对宽松的隐私框架,因为它可能会限制其基于隐私理由限制跨境数据传输的能力。澳大利亚则特别关注如何维护其居民的电子健康记录的隐私。

   CPTPP第14.8.2条要求每一缔约方“采取或维持保护电子商务使用者个人信息的法律框架”。在数字贸易时代,如果一个国家没有个人信息保护方面的国内规则,可能构成贸易壁垒。但该条款并未为法律框架规定任何标准或基准,而是提出了一个更广泛和更普遍的要求,即缔约方应“考虑相关国际机构的原则或指南”。它承认隐私原则或指南正在发展,其他相关的国际机构也在处理这些问题。同时,该款的脚注允许缔约方采取自己版本的隐私法规来执行该款规定的义务。USMCA第19.8.2条在提及国际机构的原则或指南时专门列举了《APEC隐私框架》和OECD《关于隐私保护和个人数据跨境流动的指南(2013)》。这说明USMCA缔约方在规制个人数据出境方面接受APEC和OECD的相关原则作为统一的保护标准。USMCA第19.8.3条还强调对个人信息跨境流动的限制必须是必要的,并且与所面临的风险成比例。

   一些国家的数据监管措施忽视了对数据的保护,当个人或企业数据被政府滥用时,缺乏有效的救济途径。CPTPP第14.8.3条规定:“缔约方在保护电子商务使用者在其管辖法域中免遭个人信息侵犯行为时,应尽力采取非歧视的做法。”保护互联网用户的隐私有助于建立消费者对互联网服务的信任,但CPTPP第14.8.3条使用的措辞却是“尽力”,因而不具有强制约束力。CPTPP第14.8.4条规定:“缔约方宜公布其向电子商务使用者提供的个人信息保护的信息,包括:(a)个人如何寻求救济;和(b)企业如何遵循相关法律要求。”这一条款体现了透明度原则的要求。

   CPTPP第14.8.5条规定:“认识到各缔约方可采用不同方式保护个人信息,每一缔约方宜鼓励建立相应机制,以促进不同体系间的相互协调。这些机制可以包括互认规制结果,无论是自主承认还是通过共同安排承认,或通过更广的国际框架。为此,缔约方应尽力相互交换其管辖范围内适用的相关机制的信息,并探索相应的方法扩大这些机制或其他适当安排以促进机制间相互协调。”但对于个人信息保护问题,在国际上并没有公认的共识。CPTPP第14.8.2条中有关保护个人信息的“法律框架”是否存在最低标准,依然是不确定的。USMCA第19.8.6条提到,为实现保护个人信息的同时促进跨境信息传输,APEC的《跨境隐私规则体系》(CBPR)是有效的机制。在线隐私已在国际社会中日益被视为一项基本人权,因此基于保护隐私而限制数据流动的措施有可能构成CPTPP第14.11.3条和第14.13.3条中的合法公共政策目标之一。

   2.政府数据开放

   政府通常是数据最大的拥有者,公民的很多信息都被数据化,被政府掌握。政府数据与公众的生产生活息息相关,关涉公共安全甚至国家安全,因而不适用自由流动的原则性要求。大数据建立在开放数据的基础上,开放政府数据供社会利用是实现大数据战略的重要前提。开放数据不同于公开数据,开放数据往往是结构化、可机读、获得开放授权并得到良好维护的数据,而公开数据通常是非结构化的、混乱的、授权使用要求模糊的数据。政府数据开放不同于政府信息公开,信息公开强调公众的知情权,而数据开放强调公众利用数据的权利。

   政府数据开放有利于消除政府数据的垄断和不对称性,促进数据的运用,从而推动数字贸易的发展。日本在2018年4月向WTO提交的电子商务文件指出,为了促进电子商务/数字贸易的进一步发展,可以向公众开放由政府收集的数据,例如统计信息、公共交通数据和防灾数据。通过将这些数据提供给国内外公司,政府可以增加促进创新的机会。如果只允许国内公司访问此类数据,这将对外国公司构成国民待遇壁垒,使得外国公司无法进入相关市场。因此,各国政府收集的数据应当公开,并应在非歧视的基础上允许广泛获取。美国在2018年4月向WTO提交的电子商务文件也指出,便利公众获取和使用政府信息可促进经济和社会发展,并鼓励对该信息进行创新利用。贸易规则应鼓励政府以机器可读和开放的格式提供公共信息,并使信息可以被搜索、检索、使用、重复使用和重新分发。

USMCA数字贸易章新增了政府数据开放条款,(点击此处阅读下一页)

    进入专题: 数字贸易   跨境数据流动   国际法   WTO   FTA  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 国际法学
本文链接:http://www.aisixiang.com/data/134959.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统