中国参与数据跨境流动国际规则的挑战与因应
何波
(中国信息通信研究院高级工程师)
[摘 要]:2021年,中国正式申请加入CPTPP和DEPA两个高水平数字贸易相关协定,并积极参与WTO电子商务诸边谈判,数据跨境流动规则不仅是上述协定的核心议题,也是影响中国加入进程的关键因素。在参与数据跨境流动国际规则中,中国面临着三方面的严峻挑战,即国际数据跨境流动规则高水平发展的外部压力、国内数据跨境流动监管法律制度的适恰性障碍,以及来自发达成员排斥和干预的风险。随着中国日益深度地融入国际数字贸易,需要及时调整完善国内法律中关于数据出境渠道、安全评估适用等制度内容,积极化解外部压力风险,逐步提升参与数据跨境流动国际规则的“制度性话语权”,推动中国早日顺利加入相关协定。
[关键词]:数据跨境流动;国际规则;数字经济;贸易协定;CPTPP
引 言
当前,以大数据、云计算、5G网络、人工智能等为代表的新一代信息通信技术快速发展和跨界融合,加速全球数字化转型和国际数字贸易发展,推动国际经贸规则发展进入数字贸易规则时代。数据跨境流动不仅是数字经济发展中面临的重要问题,也是开展数字贸易的基本前提。从当前国际数字贸易相关协定来看,数据跨境流动规则正在成为高水平贸易协定的重要标志,无论是发达成员主导的《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA),还是发展中成员签署的《区域全面经济伙伴关系协定》(RCEP),数据跨境流动规则都是协定中的核心条款。与此同时,在正在推进的新一轮世界贸易组织(WTO)电子商务诸边谈判中,数据跨境流动议题作为各方高度关注的核心问题,也被认为是谈判中面临的最大挑战。
近年来,在推动国内数字经济发展的同时,中国政府先后通过《网络安全法》《数据安全法》《个人信息保护法》等法律法规构建了国内数据跨境流动管理框架体系,并越来越注重参与国际数字贸易相关协定谈判和规则制定。2021年9月,中国商务部代表中国政府正式提出申请加入CPTPP;同年11月,商务部又正式提出申请加入DEPA;与此同时,中国也在积极参与新一轮WTO电子商务诸边谈判。数据跨境流动规则作为当前国际数字贸易协定的核心议题,不仅是中国能否尽快成功加入CPTPP、DEPA等高水平贸易协定的关键议题,也是未来中国在参与WTO等全球数字多边治理中提升“制度性话语权”的重要要素。
对中国而言,如果未能及时适应数据跨境流动等国际新规则并实现自我调整,很可能需要面对“二次入世”的被动局面并承受愈发凸显的规则压力。因此,本文结合中国政府高度关注和深度参与的CPTPP、DEPA以及WTO电子商务诸边谈判,重点分析了目前中国在参与数据跨境流动国际规则面临的主要困难和挑战:一是来自数据跨境流动国际规则高水平发展的外部压力;二是国内数据跨境流动监管法律制度存在的适恰性障碍;三是发达成员对中国参与数据跨境流动国际规则的排斥和干预。在此基础上,文章进一步分析提出了中国在应对上述挑战、深入参与数据跨境流动国际规则的法律调试与实践因应,即,及时调整国内数据出境路径、安全评估适用等可能与国际规则不兼容的法律制度,灵活提出数据跨境流动的中国方案,积极化解外部压力和风险。通过以数据跨境流动规则为突破,推动中国早日顺利加入CPTPP和DEPA,并在未来WTO电子商务谈判中发挥更大的作用。
一、国际数据跨境流动规则高水平发展的外部压力
从全球范围来看,以数据跨境流动为核心的国际数字贸易规则不仅是WTO推动新一代经贸规则的核心议题,代表着21世纪国际经贸规则的方向,也是美国、欧盟以及中国等新兴经济体争夺数字产业、数字治理话语权的关键领域。发达成员不愿意放弃其传统上在国际经贸规则体系中的主导地位,在国际数字贸易规则制定协商过程中积极抢占主导权,利用双边和区域贸易协定推动达成了一系列规则成果,试图先行制定更高标准的数据跨境流动规则,建立竞争优势,迫使中国等发展中成员未来在融入新的规则体系中付出更高昂的代价和规则成本。
(一)区域和双边贸易协定中数据跨境流动规则竞争压力
以美国为代表的发达成员将区域和双边贸易协定作为其推进数据跨境自由流动主张的主要渠道,推动数据跨境流动规则不断向更高水平、更严标准、更加开放趋势发展。通过这种扩展制度性权力的方式,不仅有助实现其数据自由流动的核心主张,还利用其规则制定的主导优势和产业先发优势遏制中国等新兴经济体发展,形成在国际数据跨境流动规则上的竞争优势。
其一,从国际社会来看,美国最早在国际贸易协定中提出数据跨境流动议题,利用本国产业的先发优势推行数据全球自由流动主张,帮助美国企业在全球市场开疆扩土,保持其在数字科技领域的绝对领先地位,抢占数据跨境流动规则的主导权。数据跨境流动在部分贸易协定中也表述为信息跨境传输或流动。美国早在2004年生效的《美国-智利自由贸易协定》中就提出了数据跨境流动相关内容,要求缔约双方认识到维护信息跨境流动的重要性。2012年生效的《美国-韩国自由贸易协定》则是第一个包含了对跨境数据流动有约束力条款的国际贸易条约,要求“缔约双方应尽量避免对电子信息跨境流动施加或维持不必要的障碍”。在美国的主导和推动下,2016年12月签署的《跨太平洋伙伴关系协定》(TPP)则进一步增加了信息跨境传输等一系列高水平数字贸易规则承诺,明确“当通过电子方式跨境传输信息是为涵盖的人执行其业务时,缔约方应允许此跨境传输,包括个人信息”。尽管美国后期退出了TPP协定,但由其提出的跨境数据流动规则已成为越来越多国际数字贸易协定的范本,不仅在2018年的CPTPP协定中得到了完整保留,并在后来的《美墨加协定》(USMCA)数字贸易章节中继续提出了数据跨境自由流动规则,同时删除了“缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求”的例外规定,进一步提高了规则的实际约束效力,确立了贸易协定中数据跨境流动规则的“黄金标准”。
其二,从中国情况来看,近几年中国顺应国际数字贸易规则发展趋势,适时选择了一些双边自由贸易协定谈判,将电子商务规则作为独立章节纳入中方缔结的协定,但在数据跨境流动规则上缺乏突破性进展,也没有建立起制度优势。例如,在2015年签署的《中国-韩国自由贸易协定》《中国-澳大利亚自由贸易协定》以及2019年签署的《中国-毛里求斯自由贸易协定》中,均先后设立了电子商务章节,包含了电子认证和电子签名、无纸化贸易、个人信息保护等数字贸易规则议题。但相比于美国等发达成员主导的协定,中国前期参与的这些双边协定中数字贸易规则的议题数量相对有限,对于数据跨境流动等高标准的规则条款也都没有涉及。2020年11月,RCEP正式签署,中国全程参与RCEP谈判并发挥了积极的建设性作用。与中国已经签署的协定内容相比,RCEP在规则议题数量和水平上都有了进一步的提升,是中国参与的首个对数据跨境流动作出专款规定的协议,但在规则设计上相比于USMCA要逊色很多,其水平甚至比CPTPP和DEPA还要低一些,在与发达成员博弈中不具备实质竞争力。
(二)数据跨境流动国际规则高标准要求的压力
从具体规则内容来看,中国申请加入的CPTPP和DEPA两个协定,都对数据跨境流动监管提出了高水平的规则要求。与此同时,在WTO电子商务诸边谈判中,美国、欧盟等成员也提出了较为严格的数据跨境流动主张。可以预见的是,未来包括数据跨境流动议题在内的国际数字贸易规则谈判,必然是要在议题深度和广度上不断扩展,并最终形成更高的规则标准、更高的开放水平。而中国目前签署的贸易协定中只有RCEP涉及数据跨境流动议题,其规则在议题深度和广度上也未达到CPTPP的水平,将在未来参与相关谈判中面临较大压力。
其一,从CPTPP规则内容来看,其第14.11条为数据跨境流动设立了高水平的规则要求。首先,CPTPP规定的跨境数据流动规则法律约束力越来越强。第14.11条第2款确立了CPTPP缔约国数据跨境流动的一般原则,即当通过电子方式跨境传输信息是为涵盖的人执行其业务时,缔约方应当允许此跨境信息(包括个人信息)的传输,该款规定使用了“应当允许(shall allow)”的表述,是一项对缔约方的强制性义务要求。其次,CPTPP关于数据跨境流动规则适用的范围越来越大,已不仅限于商业数据和个人数据,甚至扩大到金融数据领域,没有像RCEP那样给相关监管措施留下政策空间。最后,CPTPP允许缔约方对数据跨境流动进行一定规制,但设定了非常严格的条件,应当满足目的限制、合理性以及必要性的要求。即,如果缔约方要对数据跨境流动采取限制性措施,必须是为了实现合法的公共政策目标,且该限制措施应当采取合理有据、非歧视、非变相限制贸易的方式进行,以及该限制措施应当是为了实现合法目标所必需的。总体来看,CPTPP原则上鼓励为开展业务需要而进行的数据跨境自由流动,虽然同时也允许缔约方对数据跨境流动进行限制,但规定了非常严苛的适用条件。CPTPP不仅树立了高标准的数据跨境流动规则,也对全球数字贸易规则产生了重大影响。由于DEPA的缔约方新加坡、智利和新西兰都属于CPTPP成员,2020年签署的DEPA中数据跨境传输条款便直接引用了CPTPP第14.11条的规则内容,声明协定成员坚持他们现有的 CPTPP协定中关于数据跨境流动的承诺。
其二,从中国签署的RCEP来看,其对于数据跨境流动的要求明显低于CPTPP的水平。2022年1月1日,RCEP对中国生效实施。RCEP电子商务章节第15条关于数据跨境传输的规定与CPTPP一样承认缔约方对于数据跨境流动可能有各自的监管要求,在此基础上规定“一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息”。但不同的是,RCEP削减了缔约方的义务,增加了给予缔约方的授权,整体降低了规则的水平。一方面,与CPTPP相比,RCEP同时规定了跨境数据流动的合法公共政策例外和基本安全利益的例外,其注释14提出“就本项而言,缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定”,实质上赋予了缔约方自主决定何为“合法公共政策”的权力,但CPTPP并没有此项授权。与此同时,RCEP还规定“该缔约方认为对保护其基本安全利益所必需的任何措施,其他缔约方不得对此类措施提出异议”,进一步给予了缔约方在数据跨境流动上的自主权。另一方面,RCEP消减了缔约方的义务,仅规定不得阻止基于“商业行为”而开展的数据跨境流动,排除了CPTPP中的“个人信息”,即RCEP缔约方出于个人信息保护的理由是可以采取对数据跨境流动限制措施的;同时,RCEP也剔除了CPTPP中关于“不对信息传输施加超出实现目标所需限度的限制”的规定,放宽了对数据跨境流动进行限制的条件。可以看出,RCEP关于数据跨境流动的规则设计为缔约方维护自身合法利益、确保国家产业发展和数据安全留下了较大的政策调整空间,但整体上还难以满足CPTPP关于数据跨境流动规则的要求。
其三,从WTO电子商务诸边谈判情况来看,对数据跨境流动的管理也是各方高度关注的问题,并提出了一些高水平的案文。2019年美国就向WTO提交了一份名为《数据跨境流动的经济效益》的提案,强调数据流动对全球经济发展的重要性,主张不应对数据跨境流动施加不合理的限制。在2020年12月发布的WTO 电子商务谈判合并文本中,美国、欧盟、韩国、日本、新加坡、加拿大、巴西等多个成员方就“通过电子手段进行的跨境信息传输/跨境数据流动”部分提出了案文建议。美国在USMCA的基础上继续主张数据跨境自由流动,提出不应禁止或限制为商业目的而进行的跨境信息传输(包括个人信息)。欧盟在坚持优先保护个人数据的前提下对促进跨境数据流动提出了要求,主张包括数据跨境流动在内的任何纪律或承诺都不应影响个人数据和隐私的保护,并同时提出了禁止限制数据跨境自由流动的四种措施。在中国向WTO提交的谈判提案中,并未涉及数据跨境流动在内的数字贸易新规则。中方认为,由于这些规则具有较大的复杂性和敏感性,且与WTO成员的核心利益密切相关,建议由各成员进行更多的讨论后再纳入谈判议题。虽然发展中成员长期对国际贸易协定中跨境数据流动问题持观望和保留态度,但在全球数字经济和国际数字贸易快速发展的大趋势下,解决数据跨境流动问题在国际贸易活动中已经不可避免。从国际数字贸易规则发展来看,在发达成员的主导下,关于数据跨境流动的规则设计相对已经比较成熟,如果中方仍不提出相关方案建议,在未来谈判中将可能陷入更加被动的局面。
二、国内数据跨境流动监管法律制度的适恰性障碍
国内法律制度是一国参与国际规则的基础,数字贸易作为数字经济发展的结果,必然受到国内数字领域相关法律制度和监管政策的影响。从数据跨境流动议题来看,中国目前签署的贸易协定文本及国内数据跨境流动法律制度体系尚不具备完全实施更高水准规则的实力,新的国际数字贸易规则和标准很可能超过了中国现有法律制度架构可以接受的现实。
(一)国内数据跨境流动法律制度存在与国际规则兼容问题
在中国数字经济和数字贸易持续发展壮大的过程中,也逐步形成了数据跨境流动管理的国内法律制度框架。一是规定了数据跨境流动的行业监管要求,对某些特定行业的数据跨境流动作了限制性规定,例如2015年发布的《地图管理条例》要求“互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内”。二是提出了中国数据向境外提供的基本原则,2016年11月通过的《网络安全法》规定关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据,原则上应当在中国境内存储;确需向境外提供数据的,依照相关法律规定进行安全评估。三是健全了中国数据跨境流动的法律制度体系。2021年6月《数据安全法》审议出台,在《网络安全法》基础上针对重要数据的跨境流动进行了补充完善;2021年8月《个人信息保护法》审议通过,全面、系统地构建了个人信息保护领域的跨境流动制度,明确了安全评估、保护认证、标准合同并行的数据跨境流动管理体系,补全了最为重要的一块拼图。虽然《网络安全法》《数据安全法》《个人信息保护法》构建了国内数据跨境流动管理的顶层制度,但是与CPTPP、DEPA等高水平数字贸易协定的要求相比,仍存在一些兼容性问题。
其一,中国对数据跨境流动采取限制措施的目的恐难以满足CPTPP中“合法公共政策目标”的必要性要求。根据CPTPP的规定,如果缔约方要对数据跨境流动采取限制性措施,必须是为了实现合法的公共政策目标。虽然CPTPP并未对“合法公共政策目标”作出界定,但参照WTO的一般例外条款来看,主要包括为维护公共道德或公共秩序所必需的措施、为保障人类和动植物的生命或健康所必需的措施等。目前,我国《网络安全法》以及落实《数据安全法》相关规定的《数据出境安全评估办法》(征求意见稿)对重要数据的跨境传输提出了安全评估的管理要求,《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)则明确规定“核心数据不得出境”。但是,对于重要数据和核心数据的具体范围和种类目前没有正式的规定,CPTPP与RCEP的要求不同,并没有规定缔约方可以自行决定合法公共政策目标。因此,如果我国上述对数据跨境流动的限制措施要援引“合法公共政策目标”例外,未来在谈判中需要充分证明其正当性和必要性,具有一定的难度。
此外,CPTPP等协定中的“合法公共政策目标”是一个例外条款,仅在极少数特定情况下才能援引。但是目前发布的《数据出境安全评估办法》(征求意见稿)则要求,数据处理者向境外提供数据,如果符合“(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形”等情形之一的,应当申报数据出境安全评估。上述这些要求数据出境进行安全评估的限制情况实际上涵盖了实践中的很多场景,事实上恐将“例外条款”变成“一般规定”。未来该征求意见稿一旦不加修改正式通过,在相关谈判中恐将很难援引“合法公共政策目标”的例外进行证明。
其二,我国对跨境数据流动的部分限制措施可能会对国际贸易造成不必要的负担。按照CPTPP关于合理性的要求,缔约方在对数据跨境流动采取限制措施时,该限制措施对国际贸易造成的负担应当维持在最低水平。质言之,如果存在其他同样能够实现目标、但负担更小的可替代措施,那么缔约方就应当采取该替代措施。从CPTPP成员的做法来看,日本、新加坡等国家针对个人信息的跨境传输设置了“同等保护”的标准,对于个人信息向已经通过“同等保护”认定的国家传输,则不需要针对每次跨境活动再进行审查。但是,我国《数据安全法》《个人信息保护法》“出境安全评估”是针对出境活动前的事前“一事一议”,《数据出境安全评估办法》(征求意见稿)还要求“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估”,数据出境评估结果有效期仅为二年,且在有效期内出现接收方所在地法律环境发生变化、向境外提供数据的目的方式范围类型等发生变化的,数据处理者还应当重新申报评估。相比之下,我国现有规定和立法趋势更加严格,对国际数字贸易造成的影响和负担可能更大,在未来参与相关谈判时,需要证明我国的相关要求不会对贸易形成实质性的限制,难度较大。
(二)国内立法之间存在对数据跨境流动规定不一致的情形
跨境数据流动面临的问题,主要是数据流出国和数据流入国之间对于数据保护和数据跨境监管的法律冲突与调和,因此对国内法律体系要求较高。但是从目前国内立法来看,不同层级立法之间存在对数据跨境流动规定不一致的情形。在《数据安全法》和《个人信息保护法》出台前,有关行政法规和部门规章已经对部分行业或领域的数据出境规定了某些限制性的要求,例如《地图管理条例》《人口健康信息管理办法(试行)》等。随着《数据安全法》《个人信息保护法》出台施行,进一步明确了我国数据跨境流动的基本原则和制度框架,但原有行业领域监管规定并未及时修订,客观上造成了法律要求与行政法规和部门规章不一致的情形。例如,根据《数据安全法》和《个人信息保护法》的规定,重要数据和个人信息在满足安全评估、标准合同等条件下可以跨境提供,并没有完全禁止某类数据出境,但是部分行业或领域的管理现状仍然是禁止数据出境。例如,《地图管理条例》要求互联网地图服务单位应当将存放地图数据的服务器设在中华人民共和国境内;再如,《人口健康信息管理办法(试行)》规定,“不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器”。前述规定完全禁止跨境传输,也没有留下制度衔接的空间,造成法律规定上的不一致。
(三)国内监管能力和安全保护水平面临较大考验
由于数据跨境流动天然具有全球化的属性,突破了传统物理国界和主权管辖的限制,因此,高标准的数据跨境流动规则也可能会给防护实力相对较弱的成员带来网络安全和数字主权的挑战,只有在本国政府有足够的监管能力和技术能力的前提下,才能为参与数字贸易活动提供必要的安全保障。目前,中国在数据跨境流动监管能力和网络安全保护水平方面都面临着较大的考验。
其一,从监管实践来看,高水平的数据跨境流动规则对监管力量和监管能力有更高的要求。美国等发达成员倡导数据自由流动,除了经济利益的考量之外,还有其能够对本国数据实现有效管控的技术和制度自信。美国企业具有巨大的先发和主导优势,带来天然的数据本地化存储及全球数据管理权,亚马逊、微软、谷歌、IBM四家美国企业在全球云计算服务市场上的份额将近70%,其中仅亚马逊一家就占到了37%。美国云计算企业在全球的巨大市场份额,赋予其对全球数据的巨大控制权和管理权,而无需担心本国会有数据大规模转移到国外的情形。此外,美国政府也对关键部门、行业和领域的数据跨境流动实施了分散、隐蔽但有效的管控。与发达国家和地区成熟健全的监管体制相比,中国监管力量相对比较薄弱。以电信和互联网行业为例,根据中国信息通信研究院发布的数据,截至2021年12月底,全国增值电信业务经营许可企业达到118289家,而全国31个省、自治区、直辖市通信管理局行政编制总共只有500名,但需要对增值业务市场近12万家企业进行监管,力量明显不足。
其二,在国内相关法律制度和安全技术手段尚不完善的情况下,贸然接受美式数字贸易规则中的 “数据跨境自由流动”等高度开放条款,如果监管不当,容易引发安全风险和产业威胁。一方面,数据不受限制地流向境外可能会影响我国数字产业发展的机遇。放任数据不受限制地流向境外,减少了本国企业开发利用数据资源的发展机会,将损害本国数字产业,降低本国数字经济竞争力。另一方面,大规模的数据跨境流出可能会对包括数据安全在内的国家安全产生威胁。随着网络信息技术与经济社会各领域融合发展不断深化,个人衣食住行等各种活动的数据以及企业生产经营的数据被广泛记录和存储,数据跨境流动事关公民人身财产安全,影响国家政治经济安全。如果监管不当,容易引发跨境网络攻击、用户信息泄露、恐怖信息传播等问题,对本国网络信息安全带来挑战。
三、发达成员对中国参与数据跨境流动国际规则的排斥和干预
长期以来,中国在参与国际经贸规则制定和谈判中就存在被发达成员排斥和干预的风险,这种趋势在以数据跨境流动为核心的国际数字贸易规则协商制定方面体现得更为明显和紧迫。
(一)发达成员间推动建立排斥中国的区域性互操作机制
从国际数据跨境流动发展趋势来看,鉴于多边场合推动数据自由流动进展缓慢,美国、欧盟以及日本韩国等发达成员内部之间开始寻求新的合作方式,建立能够让发达经济体以更加便利方式参与的数据跨境流动互操作机制,并推动建立以发达成员为核心的国际数据跨境流动圈,将中国等发展中成员排除在外。
首先,美欧之间多次尝试建立数据跨境流动合作机制。尽管美国与欧盟在个人数据保护路径上存在明显分歧,2015年欧盟法院甚至间接废除了美欧执行已逾15年的《欧盟-美国安全港规则》,但不可否认的是,二者之间的政策分歧从未实质性影响跨大西洋数据流动。2016年,美欧之间达成了新的《欧盟-美国隐私盾协议》以取代安全港规则,为欧美实现数据流动提供了积极机制。然而欧盟法院在2020年7月的Schrems II判决中以监控担忧为由,再次宣布协议无效,裁决根据隐私盾协议进行的个人数据跨境转移是非法的。不过美欧之间数据流动的机制并不会就此终止,欧盟与美国商务部发布的联合声明指出,双方将开始讨论评估增强的欧盟-美国隐私保护框架,以符合法院对Schrems II案作出的判决。
其次,欧盟不断扩大其数据跨境流动合作范围。一方面,欧盟通过优先采用《通用数据保护条例》(GDPR)中的“充分性保护”认定来推动双边国际合作。截至2022年1月,欧盟委员会已承认安道尔、阿根廷、加拿大、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭和韩国等13个成员提供了足够的个人数据保护水平。在当前与未来的充分性认定谈判安排上,欧盟委员会还将印度、印度尼西亚、部分拉丁美洲国家以及东欧和南欧邻国作为优先谈判与合作的对象。另一方面,欧盟也与更多的成员在《第108号公约》的基础上探讨建立多边数据流动圈的可能。由于加入《第108号公约》对于欧盟进行数据跨境流动 “充分性保护”认定具有重要的参考作用,自2010年以来,该公约的全球化进程加速推进,目前已有55个成员加入公约。
再次,美国将亚太经济合作组织(APEC)跨境隐私规则机制(CBPR)作为突破口,不断扩大数据跨境流动范围。CBPR是一种自愿性的、在APEC成员内部推行的隐私跨境流动机制,加入的企业遵守的是《APEC隐私框架》中的个人数据保护原则,企业可以通过加入CBPR以证明其符合国际认可的数据隐私保护标准。截至2022年1月,在APEC的21个经济体中,已经有澳大利亚、中国台北、加拿大、日本、韩国、墨西哥、新加坡、菲律宾和美国九个成员加入了该机制。美国和日本之间已经开始通过CBPR进行实质性合作。此外,CBPR成员中的日本、韩国和加拿大也同时通过了欧盟GDPR的充分性保护认定,美国不仅寻求在APEC内部扩大范围,还寻求将CBPR扩大至APEC之外,特别是推动CBPR与GDPR的互通来促进数据跨境流动。值得注意的是,在《美墨加协定》中,缔约方除了规定“跨境数据流动”条款,还在“个人信息保护”条款当中增加了承认CBPR作为一种有效地促进跨境信息转移机制的要求,这相当于缔约国之间在授权个人数据出境方面接受CBPR的相关原则作为统一的保护标准。
最后,日本、韩国等成员积极加入美欧数据跨境流动互操作机制。2019年1月,欧盟发布认定决定,对日本个人信息保护水平给予充分性认定,日本成功加入欧盟的白名单,实现了日欧之间个人信息的双边自由传输。作为APEC的CBPR机制参与方和通过欧盟充分性认定的成员,日本在美欧数据跨境流动中非常活跃,希望扮演连接美国、欧盟以及其他经济体之间数据跨境流动的桥梁。日本前首相安倍晋三在2019年初的达沃斯会议上提出了“可信数据自由流动”的概念,并推动在G20《大阪数字经济宣言》中变成会议共识。而韩国近年来多次对国内个人信息保护相关法律法规进行系统修改,并就欧盟个人数据保护充分性认定问题进行协商,于2021年12月最终通过了欧盟的充分性决定,成为欧盟数据流动圈的正式成员。
(二)美国及其盟友对中国参与数据跨境流动规则的干预
从历史来看,发达成员利用国际经贸规则的经验比较丰富,这也意味着发达成员在与发展中成员进行谈判过程中更善于推动国际数字贸易规则有利于发达成员的经济利益,因而在某种程度上占据着无形的优势地位。在传统国际经贸中,美国政府就十分重视利用国际规则对中国进行施压干预,要求中国必须遵守并履行国际经济方面的规则与规范。随着数字贸易时代到来,这种干预也延续到数据跨境流动等新的国际数字贸易规则领域。例如,对美国科技创新政策有重大影响力的信息技术与创新基金会(ITIF)就曾鼓吹,中国应被取消参加世界贸易组织数字贸易规则谈判的资格。ITIF撰文指出,在正常情况下,鉴于中国数字经济的发展,中国应当成为WTO相关谈判的一部分,但现实的评估表明,中国对数据流动采取了广泛的限制性措施,且尚未在数字贸易相关协定中就数据跨境流动做出实质性或可强制执行的承诺,也没有签署关于数据跨境流动的相关机制,在表明愿意就此做出明确和可执行的承诺之前,中国应该被排除在全球数字贸易规则谈判之外。
与此同时,以美国及其盟友为代表的发达成员有意孤立并干扰中国参与国际经贸规则制定过程。例如,美国奥巴马政府时期大力推行的TPP协定谈判就曾在亚太地区对中国造成巨大的伙伴压力,美国借助TPP协定与其他成员国形成了更紧密的国际经贸关系,并借此在一定程度上影响这些成员对待中国的态度和立场,试图将中国排除在新的数字贸易规则制定圈。而TPP协定正是CPTPP、DEPA等高水平数据跨境流动规则的最初渊源,未来在中国与CPTPP和DEPA成员方谈判过程中,仍需高度警惕美国直接或间接的干预阻碍。
四、中国参与数据跨境流动国际规则的法律调试与实践因应
当前阶段,数据跨境流动国际规则正处在一个协商塑造的关键时期,以数据跨境流动议题为核心的国际数字贸易规则向更高水平、更严标准的发展已是必然趋势。中国对数据跨境流动等规则的适应与调整情况,决定着其自身能否有效地在国际数字贸易规则博弈中占据有利地位。对中国而言,应以申请加入CPTPP和DEPA为契机,及时调整完善国内相关法律制度,力图在数据跨境流动国际规则制定中发挥与自身经济实力相符的作用,推动早日成功加入CPTPP和DEPA,并在WTO电子商务诸边谈判中发挥更大的作用。
(一)跨境数据流动国内法律制度调整
数据跨境流动规则本身应当是一个立足国内、面向国际的新型规范模式,对于同时面临国内治理短板和国际制度压力的中国而言,其首要工作是及时调整完善国内数据跨境流动相关法律制度规定,推动解决与CPTPP、DEPA等高水平数字贸易规则的兼容性问题,并为参与WTO谈判奠定良好的国内法基础。
第一,在数据分级分类管理的基础上,采取更加精细化的数据出境管理政策,以期符合CPTPP“合法公共政策目标”的必要性要求。一方面,建议落实《数据安全法》的相关要求,尽快制定出台国家层面的数据分级分类指南或标准,合理划分“核心数据”和“重要数据”的范围,明确其内涵和外延,尤其是要避免“重要数据”范围扩大化,以便未来在国际规则谈判中可以根据每类数据的重要程度证明中国对其进行跨境流动限制的必要性和合理性。另一方面,建议按照《网络安全法》《数据安全法》《个人信息保护法》构建的数据跨境流动制度要求,对此前出台施行的《地图管理条例》《人口健康信息管理办法(试行)》等行政法规和部门规章中对行业领域数据跨境流动规定不一致的条款进行修订。例如,可以与《个人信息保护法》等上位法保持一致,增加关于安全评估、认证等数据合法出境的路径;也可以在立法技术上作衔接性的规定,在现有条款基础上增加“法律、行政法规对数据跨境提供另有规定,从其规定”等例外规定,从而确保国内不同法律法规间对数据跨境流动监管要求的一致性。
第二,在技术能力允许的条件下,研究完善中国数据出境的多元路径。虽然欧盟对数据进行了严格保护,但近年来也通过立法改革提供了多样化数据跨境传输合法渠道,从而能够引导企业通过可预期的稳定机制在实现自身数据跨境需求的同时,实现监管者设定的产业发展及数据安全目标。从中国来看,随着网络和数据安全技术、产业能力的持续提升,在现有安全评估、个人信息保护认证、标准合同管理措施的基础上,可以考虑将“同等保护”作为一项独立的数据出境合法性事由。对于个人信息保护水平较高的国家和地区,尤其是部分重要的数字贸易伙伴,例如欧盟、新加坡等经济体,对其个人信息保护状况实施评估,结合对等原则,同时兼顾本国管理实际需要,形成“以数据保护水平为原则加若干例外情况”的认定方法,经过评估后可将其纳入数据跨境流动的“白名单”,减轻向这些国家和地区跨境传输数据的不必要负担。
第三,合理设计安全评估措施的具体适用,最大程度减少国内规定对国际贸易的限制性影响。数据出境安全评估已经通过《网络安全法》《数据安全法》和《个人信息保护法》成为一项法定制度,在当前中国数据跨境流动管理中发挥着关键作用,废除该项制度不切实际,但对于制度如何具体落实,存在较大的操作空间。目前,作为进一步贯彻落实数据出境安全评估的《网络数据安全管理条例(征求意见稿)》和《数据出境安全评估办法(征求意见稿)》还处在立法起草审议的阶段,其相关制度设计是可以进行修改完善的。建议在这两部法规中适当调整对数据出境监管要求的严苛程度,以符合CPTPP等高水平贸易协定的要求。例如,可以考虑放宽安全评估的有效期限,将目前《数据出境安全评估办法(征求意见稿)》中规定的两年有效期适当延长到三至五年。再如,可以优化对数据出境安全评估的程序要求,缩短进行安全评估的审核期限,提高国际贸易的效率。
(二)数据跨境流动国际规则参与策略
随着中国对全球治理的重视程度日益提升,中国有意愿也有能力在国际数字贸易治理中发挥重要作用,与利益诉求相同的发展中成员联合,提升在数据跨境流动等关键议题的话语权,推动形成有利于发展中成员利益的国际规则。
第一,明确中国在参与数据跨境流动等国际议题中的定位和立场。根据商务部中国自由贸易区服务网公布的数据,除申请加入CPTPP和DEPA外,目前中国还有多个正在谈判和研究的自贸区(见表1)。其中,既有韩国、日本等已经签署高标准数字贸易规则协定的成员,也有巴勒斯坦、尼泊尔、蒙古国等对数据跨境需求较低的发展中成员。不同贸易协定谈判涉及不同的谈判方,其利益诉求等具体情况也会有差别,因此,要区分不同谈判对象,分类分析、做好平衡、区别对待。例如在CPTPP、DEPA等谈判中,主要成员方为日本、新加坡等市场开放度较高的发达成员,其对中国市场开放有更多的诉求,需要更多考虑如何做好出价;而对于巴勒斯坦、尼泊尔等发展中成员涉及数据跨境流动的规则协定则应更加包容,重点关注数字贸易便利化发展。此外,也要充分考虑到中国在数字贸易规则领域的多层次规则需求。中国虽然是发展中成员,但数字经济和数字贸易发展已经具备一定规模优势,走向全球化也是必然趋势,未来存在一个地位转换的可能,相应地对于数据跨境流动的规则设计也要未雨绸缪,避免为自身施加束缚。
第二,联合立场相近成员提出关于全球数据跨境安全流动的具体主张和中国方案。虽然发达成员推动建立了排斥中国等发展中成员的数据跨境流动互操作机制,但在当前WTO电子商务诸边谈判中,发达成员的立场分化,美国、欧盟在个人数据保护和数据跨境流动议题上也存在一定分歧。中国可团结利益相同的发展中成员,协调立场相近的发达成员,推动在谈判过程中凝聚共识,在《全球数据安全倡议》的基础上,提出全球数据跨境安全流动的“中式方案”。与此同时,中国可以利用多双边协议推动建立中方主导的数据跨境流动互信机制。例如,采取“以双边带多边、以区域带整体”的推进策略,充分利用“一带一路”倡议等中方主导的机制,选取在国际经贸领域与中国往来密切、政治互信程度高的经济体,以签署高水平数字贸易协议作为突破口,就数据跨境流动及其相关议题形成“一揽子”制度安排,为中国数据跨境流动方案“增容扩圈”,也为中国企业走向海外,拓展全球竞争力提供政策助推。
第三,发挥产业比较优势,提升数据跨境流动相关协议的灵活性。从当前国际规则实践可以看到,同一规则的设计和接受可以有多种方式,可以是强制性的,也可以是非强制性;可以有不同程度、不同范围的例外规定;不同成员还可以根据各自不同情况在条款中或者章节最后注明本身的适用情况,这给予一国很大的灵活性。中国是仅次于美国的第二大数字经济体,也是全球领先的数字贸易大国,2020年中国数字经济总体规模达到39.2万亿元,数字服务贸易规模达2947.6亿美元,数字经济和数字贸易的快速发展为中国参与数字贸易领域国际规则制定提供了重要基础保障。在对不同国家和区域的谈判中,中国数字产业所处的比较优势地位是不同的,要予以充分利用,根据不同情况灵活提出最有利于本国利益的数据跨境流动规则主张。例如,东盟国家普遍存在规则不完善的情形,但中国数字企业走出去的诉求较为强烈,因此可在东盟及其成员国中主导跨境数据流动规则的建立,以利于我国数字产业走出去。在对欧盟及其成员国的谈判当中,由于欧盟对跨境数据流动限制很严格,我国的诉求在于如何能够帮助中国企业以较低的成本进行合规。在对美国的谈判中,我国产业和规则方面都处于下风,应更多从防御角度进行考虑。总之,中国可以在掌握这些技巧的基础上,以柔性姿态积极主动地应对其他国家在谈判中的要价。
第四,妥善处理安全、发展和开放的关系。在数字贸易时代,各国都面临更多的发展机遇,但也面临更大的安全风险挑战,需要妥善解决安全、发展和开放的关系。中国在参与数据跨境流动国际规则相关协定谈判中,要坚守国家安全底线,坚持安全和发展并重。“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”数据跨境流动政策面临政治、经济、文化等复杂的决策因素,但是服务于国家发展和安全的大局应当是我国的最终目标。与此同时,中国数字贸易总体具备全球较先进的产业竞争力,具备良好的开放基础,互联网、信息通信等行业特别是头部互联网企业具有较高的走出去诉求,而“网络安全是开放的而不是封闭的,只有立足开放环境,加强对外交流、合作、互动、博弈,吸收先进技术,网络安全水平才会不断提高”。在国家新一轮开放发展战略的总体指引下,中国对数据跨境流动的管理也要考虑到本国企业关于数据跨境流动的诉求,以及中国参与国际数字贸易规则谈判的需求,不能一刀切地阻断“数据自由流动”来实现安全目标,失去数字技术发展带来的巨大收益。未来,中国还要充分合理利用“合法公共政策目标”以及“安全例外”等国际规则,在数据大规模流动、聚合和分析的过程中,将数据出境产生的安全风险维持在一种可接受可控制的范围内,确保国家核心数据、重要数据安全,在对外开放中实现安全和发展的平衡兼顾。