谭观福:数字贸易中跨境数据流动的国际法规制

选择字号:   本文共阅读 140 次 更新时间:2022-06-27 23:27:27

进入专题: 数字贸易   跨境数据流动   国际法   WTO   FTA  

谭观福  
其第19.18条规定:“1.缔约方承认,便利公众获取和使用政府信息可以促进经济和社会发展、竞争和创新。2.在某一缔约方选择向公众提供政府信息(包括数据)的范围内,应努力确保该信息采用机器可读和开放的格式,并且可以被搜索、检索、使用、重复使用和重新分发。3.缔约双方应努力合作,以确定各缔约方可以扩大对本方公开的政府信息(包括数据)的访问和使用的方式,以期增加和创造商机,特别是为中小企业创造商机。”但这一条款并无强制性,仅仅是鼓励性的,没有为缔约方创设具体义务。《美日数字贸易协定》规定了与USMCA几乎完全一样的政府数据开放条款。政府数据开放需要满足一定的技术条件,政府在行使职能过程中收集的部分数据有可能是非结构化数据,无法机读,这将制约政府数据开放。

   对特殊数据规定专门规则,是FTA规制跨境数据流动议题的一大特点。FTA对跨境数据自由流动的要求针对的是涵盖人的商业行为有关的数据,即商业数据。由于跨境数据流动是进行数字贸易的前提,因此FTA将跨境数据自由流动上升为一项原则性要求。个人数据的跨境流动可能影响个人隐私,CPTPP和USMCA的个人数据保护条款要求缔约方采取保护个人数据的法律框架,考虑相关国际机构的原则或指南,采取非歧视的做法,并促进个人数据保护不同体系间的相互协调。这一规则设置有利于实现个人数据跨境流动与隐私保护之间的平衡,防止隐私规则或隐私执法措施成为数字贸易壁垒。USMCA的政府数据开放条款将促进政府数据的合理利用和创新,推动数字贸易发展。总体而言,对特殊数据进行专门规制与数字贸易规制的多元目标相契合,是较为合理的规制路径。当然,不同规则之间应注意衔接和协调。例如,个人数据保护也可以成为跨境数据流动“例外”中的合法公共政策目标之一,如果发生实际争端,相关条款的适用应防止出现冲突。

   四、跨境数据流动规则的协调

   通信技术服务和信息技术产品的贸易自由化为跨境数据流动奠定了基础。理想的数字贸易规则框架应促进数据自由流动、数字创新以及在全球数字市场中的健康竞争,同时不妨碍一国基于正当理由监管互联网的权力。CPTPP和USMCA在电子商务/数字贸易章为跨境数据流动设定了“原则+例外”的规制模式,并对特殊数据规定了专门规则。

   (一)在国际经贸协定框架下协调跨境数据流动规则的普遍困境

   有很多FTA(尤其是含发展中国家的FTA)在处理跨境数据流动问题上仅规定了监管合作条款,要求缔约方“努力保持信息的跨境流动,将其作为营造充满活力的电子商务环境的基本要素”。欧盟当前FTA中的数字贸易规则没有为跨境数据流动设定有约束力的义务,有些FTA仅强调了个人信息保护和隐私保护。《欧盟-日本经济伙伴关系协定》第8.81条规定:“双方应在本协定生效之日起三年内重新评估是否需要将数据自由流动条款纳入本协定。”这表明欧盟对跨境数据流动问题的讨论在不断发展,在未来的FTA中可能会有更多的具体行动和承诺。

   在国际经贸协定谈判中,跨境数据流动问题往往成为谈判方争议的焦点。在《国际服务贸易协定》(以下简称“TISA”)谈判中,关于数据流动的条款有很多争论。美国、日本和加拿大建议,“任何一方都不得阻止另一方的服务提供者在该方领土内或领土外转移、访问、处理或存储包括个人信息在内的信息,前提是此类活动与服务提供者的业务行为有关”。很多国家或地区考虑了该禁令的例外或条件,以允许更多的国内灵活性。例如,我国香港建议,跨境数据自由流动与保护个人数据之间应保持平衡,推进前者应不损害维护后者的权利。欧盟委员会公布的TISA第21轮谈判报告显示,有关数据流动和计算设施本地化的条款需要缔约方继续进行深入讨论。在《跨大西洋贸易与投资伙伴关系协定》(以下简称“TTIP”)谈判中,跨境数据流动议题也面临同样的困境。2017年1月发布的《美国-欧盟关于TTIP进展的联合报告》提到,TTIP谈判中有关数字贸易的分歧在于如何建构数据流动承诺,以加强美欧经济关系中必不可少的电子商务和数字基础设施,同时尊重保护隐私的合法关切。

   (二)在WTO框架下为数据保护达成基本框架

   跨境数据流动的国际规则协调所面临的一个重要分歧是在个人数据方面。为实现跨境数据自由流动,数据来源地国和目的地国都应具有有效的隐私框架。有学者曾在20年前主张在WTO主持下制定一项关于数据保护的国际条约,该条约侧重于建立规范发展的制度过程,旨在短期内促进不同制度的共存,并随着时间的推移促进信息隐私治理标准的统一。该学者指出,将该数据保护条约纳入WTO具有重要意义。首先,WTO框架提供了具有广泛成员资格的制度过程;其次,尽管WTO倾向于市场导向的规范,但将数据保护条约纳入WTO将把社会保护规范移植到贸易领域,将促进治理规范的融合。但时至今日,WTO仍未形成这样的数据保护条约。各国如果要在跨境数据流动规制问题上达成综合性条约,需要协调好各主权国家之间在互联网的物理层、逻辑层、应用层和核心层的权力配置关系,以及主权与互联网、主权与人权、主权与多方治理等多维利益平衡和价值协调问题,这在短期来看不具有可行性。

   相较于制定一项数据保护国际条约,在WTO中为数据保护达成一个基本框架的难度更低一些,但什么样的隐私框架可以作为基本的监管框架是一个极其复杂的问题。USMCA第19.8.2条列举了《APEC隐私框架》和OECD《关于隐私保护和个人数据跨境流动的指南(2013)》,但在多边体制下将APEC和OECD的原则作为基准可能会引起争议,因为与GDPR及其类似框架相比,这些原则被认为是过于宽松的。欧盟FTA在数据保护方面虽然也要求与国际标准兼容,但通常不规定任何具体的数据保护框架。例如,《欧盟-加拿大全面经济贸易协定》第16.4条规定:“每一缔约方应采取或维持法律、法规或行政措施,以保护从事电子商务的用户的个人信息,并且在这样做时,适当考虑双方都是成员的相关国际机构的数据保护国际标准。”

   (三)通过互认机制协调个人数据保护标准

   GATS第7条规定了相互承认“服务提供者获得授权、许可或证明的标准或准则”的机制。欧盟和美国签署的《安全港协议》和《隐私盾协议》是通过互认机制来协调个人数据保护标准的典型。GATS第7条允许这种选择性的、针对特定国家的承认协议,但该条要求数据来源国不得在存在类似条件的国家之间构成歧视,并给予其他国家加入该协议的机会。由于数字鸿沟的存在,通过互认机制来协调数据保护标准的实践主要发生在数字贸易大国之间,发展中国家和最不发达国家缺乏实践基础。但这种务实的双边互认机制会产生溢出效应和示范效应,从而影响其他国家之间的跨境数据流动规则协调。

   GATS第7.5条规定:“只要适当,承认即应以多边议定的准则为依据。在适当的情况下,各成员应与有关政府间组织和非政府组织合作,以制定和采用关于承认的共同国际标准和准则,以及有关服务行业和职业实务的共同国际标准。”该规定表明,WTO法有可能促进不同隐私框架的互操作性,从而协调跨境数据流动规则。根据该规定,成员可以通过纳入从事隐私标准和相关问题工作的相关跨国机构或多利益相关方机构,使相互承认的对话(例如在服务贸易理事会中的对话)更为有意义。WTO可以与从事国际合作以制定隐私规则/标准和跨辖区隐私执法的机构保持联系,如数据保护与隐私专员国际大会。该机构在采纳有关数据保护最佳做法的国际准则方面发挥着关键作用,并且在进一步制定数字隐私问题的规则和建立国际共识方面可以发挥至关重要的作用。

   (四)加强与APEC或OECD的合作

   APEC和OECD在制定通用的隐私标准和原则方面做了很重要的工作。2013年,OECD发布了《关于隐私保护和个人数据跨境流动的指南》,对1980年版的隐私指南进行了更新。该隐私指南规定了管理个人数据的收集、存储和使用的最低要求,以指导OECD成员发展国内隐私保护制度,其中的很多原则都反映在GDPR中。关于个人数据流动的规制,OECD纳入了基于欧盟GDPR路径和美国“行业自律”路径的两种方式,要求数据收集者对个人数据负责。APEC在2004年通过的APEC隐私框架类似于OECD的隐私指南。APEC隐私框架具有更强的可操作性,可以指导国内隐私法规的发展。APEC在隐私框架的基础上于2012年制定了《跨境隐私规则体系》,以促进APEC成员之间的个人数据流动。《跨境隐私规则体系》是一个自愿的、基于问责制的系统,可促进“尊重隐私”的跨境数据流动。《跨境隐私规则体系》并不改变各国有关个人数据的国内立法,它认识到,对于隐私保护,没有一种一刀切式的规制方法,因为不同国家在该问题上具有不同的法律和社会价值观及路径。鉴于互联网全球分布的特性,每个国家的数据治理机制都必须具有互操作性,以便同时实现隐私保护和数据流动。WTO成员可以通过与APEC或OECD合作,促进成员之间隐私标准的互相承认,从而协调跨境数据流动规则。

   2022年4月21日,美国、加拿大、日本、韩国、菲律宾、新加坡和我国台湾地区共同发布《全球跨境隐私规则声明》,宣布成立全球跨境隐私规则论坛,以促进数据保护和隐私的互操作性并帮助弥合不同监管方式之间的差距。声明的基本目标包括建立基于APEC、《跨境隐私规则体系》和《处理者隐私识别体系》(Privacy Recognition for Processors)的国际认证体系,定期审议成员的数据保护和隐私标准,促进与其他数据保护和隐私框架的互操作性等。声明还规定了其活动范围、运作模式、参与和组织规则。原则上,全球跨境隐私规则论坛旨在向接受本声明所体现的目标和原则的司法管辖区开放,本质上是将《跨境隐私规则体系》转变成一个所有国家或经济体都可以加入的体系。

   鉴于不同类型数据的跨境流动涉及的政策目标不同,有学者提出先对数据进行归类,然后对不同类型数据的市场准入和国民待遇分别作出承诺,例如对公司数据的开放采取负面清单模式,对个人数据采取正面清单模式。还有学者建议,在国际经贸协定谈判过程中,可以在对数据进行分类的基础上,再借鉴服务贸易部门开放或货物贸易关税减让谈判的形式,由谈判方就数据的流动自由进行谈判。上述学者建议的规制路径借鉴了WTO框架下传统服务或货物贸易的市场开放模式。国际经贸协定作为利益博弈的场所,国家在决定数据流动开放程度时需要平衡数字贸易自由化水平与国内政策目标,这一博弈过程有助于实现跨境数据流动规则的协调。上述建议的总体思路可行,但在具体操作过程中可能面临一定的障碍,因为数据的归类就像数字贸易的归类一样,本身又是一个悬而未决的难题。不同种类数据的范围可能存在重叠,彼此之间并不存在泾渭分明的界限。

   五、跨境数据流动规制的中国立场

   (一)我国对跨境数据流动的国内规制实践

   我国对跨境数据流动的规制坚持了以风险为基础的思路,目前初步形成了数据分级分类管理的顶层设计框架。根据我国数据安全法、个人信息保护法、网络安全法、关键信息基础设施安全保护条例等相关立法,可以从数据处理者和数据两个角度,将我国的跨境数据流动规则大致分为四种情形。

第一种情形为一般数据处理者处理个人信息(主体为一般主体,客体为非重要的个人信息)。借鉴GDPR等规定,我国个人信息保护法形成了个人信息多元化跨境提供的合法路径,确保实现同等保护水平。我国个人信息保护法第38条和第39条规定了个人信息跨境提供需要满足的基本要求。同时,由于向境外提供个人信息属于个人信息处理活动的一种类型,因此个人信息跨境提供还应当遵循我国个人信息保护法有关个人信息处理的一般规定。(点击此处阅读下一页)

    进入专题: 数字贸易   跨境数据流动   国际法   WTO   FTA  

本文责编:admin
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 国际法学
本文链接:http://www.aisixiang.com/data/134959.html

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统