數(shù)據(jù)跨境流動限制之三種例外疊加適用問題研究
【中國法治國際論壇(2021)主題征文】
【摘要】與世界貿(mào)易組織協(xié)定一樣,多數(shù)的自由貿(mào)易協(xié)定都設(shè)有國家安全例外條款�����,而這些條款與一般例外條款及電子商務(wù)或數(shù)字貿(mào)易章節(jié)中的數(shù)據(jù)跨境流動限制條款一道形成了對數(shù)據(jù)跨境流動的限制理由�。特別是在國家安全例外條款中具有的基于披露則會違背其基本安全利益的任何信息之保護規(guī)定,對數(shù)據(jù)的跨境流動有可能形成較大限制�����。對該條款中的任何信息是否包括個人信息進行研究具有重要意義�����,因為較其他例外條款����,該條款的適用限制相對較少���,如果個人信息也包括在里面����,則有可能對數(shù)據(jù)跨境流動產(chǎn)生較大影響。另外����,三種例外的疊加適用問題也很重要。因為在電子商務(wù)或數(shù)字貿(mào)易章節(jié)中本身就有例外條款的前提下�����,再有一般例外和安全例外的疊加適用�����,也會對數(shù)據(jù)跨境流動產(chǎn)生更大限制效果����。
【關(guān)鍵詞】數(shù)據(jù)安全;國家安全����;合規(guī);個人信息����;跨境數(shù)據(jù)流動
一����、引言
通過自由的數(shù)據(jù)跨境流動�����,利用大數(shù)據(jù)分析�����,一國可能對他國的社會狀況進行精準(zhǔn)畫像����,并有針對性地開展情報收集和研判等工作,威脅他國國家安全�����,[]因而各國都或多或少地對數(shù)據(jù)跨境流動予以限制����。隨著《全面與進步跨太平洋伙伴關(guān)系協(xié)定》(以下簡稱為CPTPP)、《美墨加貿(mào)易協(xié)定》(以下簡稱為USMCA)�、《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》(以下簡稱為RCEP)等超大型自由貿(mào)易協(xié)定(以下簡稱為FTA)的締結(jié),各國對通過電子方式跨境傳輸信息(即數(shù)據(jù)跨境流動)問題的關(guān)注度逐漸加強��。而這些FTA在允許數(shù)據(jù)跨境流動的大原則和特定情況下對其進行限制方面似乎已經(jīng)達成一致���,盡管其對例外的范圍方面具有很大差異���。這些FTA中,對數(shù)據(jù)跨境流動的限制往往都包括三個部分����,即,來自電子商務(wù)或數(shù)字貿(mào)易章節(jié)下的限制��,一般例外條款下的限制以及國家安全例外條款下的限制?�,F(xiàn)有的研究往往聚焦于第一種類型的限制���,而基于一般例外條款����,諸多的世界貿(mào)易組織(以下簡稱為WTO)案例表明其不好援引��。但基于國家安全例外對數(shù)據(jù)跨境流動施加限制以及因此而對數(shù)據(jù)跨境流動產(chǎn)生的重大影響則尚未引起充分關(guān)注��,況且,目前國家安全的范圍正處于擴張的趨勢����,而想必網(wǎng)絡(luò)安全將對WTO提出一系列政治和法律問題。
目前�,對以WTO的國家安全例外條款為中心的研究已經(jīng)有一些,并且隨著WTO爭端解決機構(gòu)對相關(guān)案例作出裁定��,此類研究數(shù)量整體上呈現(xiàn)出上升的趨勢��。這些研究主要涉及對WTO國家安全例外條款的分析��,其中有部分研究也涉及到國家安全例外在數(shù)據(jù)跨境流動中作為限制理由得以援引的情況�����。但這些研究卻忽略了基于基本安全利益而對信息流動采取的限制�,即對《關(guān)稅與貿(mào)易總協(xié)定》(以下簡稱為GATT)的第21條(a)項適用于數(shù)據(jù)跨境流動限制的情形缺乏研究,而該項極有可能成為代替較為嚴(yán)格的其他兩種限制成為可以對數(shù)據(jù)跨境流動合法設(shè)限的依據(jù)�����,從而降低數(shù)據(jù)自由流動的成果�。
不同的FTA對數(shù)據(jù)的跨境流動采取了不同的標(biāo)準(zhǔn),保護水平相同和相近的國家、地區(qū)間更容易進行個人數(shù)據(jù)跨境轉(zhuǎn)移�,而發(fā)達國家基于產(chǎn)業(yè)優(yōu)勢和國內(nèi)立法完善,對于數(shù)據(jù)自由流動的需求更大�����。CPTPP和USMCA總體上對數(shù)據(jù)跨境流動設(shè)限采取了較為嚴(yán)格的標(biāo)準(zhǔn)��,而且兩者中尤以USMCA對數(shù)據(jù)跨境流動采取了更高的保護標(biāo)準(zhǔn)�����,RCEP則雖然總體上也采取支持?jǐn)?shù)據(jù)跨境流動的態(tài)度����,但同時也對各締約方政府賦予了采取限制的權(quán)利�����,而這種權(quán)利有時可以避開其他締約方政府的挑戰(zhàn)�。這些FTA都同時規(guī)定了三種類型的設(shè)限途徑,這就使得締約方可以通過疊加適用國家安全例外�����、一般例外條款以及電子商務(wù)或數(shù)字貿(mào)易章節(jié)下的限制措施,從而降低數(shù)據(jù)跨境流動自由化成果�。這一情況似乎是此類FTA締約方不曾預(yù)想到的,而這些條款的并存和交叉適用將會對數(shù)據(jù)跨境流動產(chǎn)生諸多不確定性�����。
2019年和2020年�,相繼締結(jié)了《美日數(shù)字貿(mào)易協(xié)定》(以下簡稱為DTA)以及《新加坡-新西蘭-智利數(shù)字經(jīng)濟合作協(xié)定》(以下簡稱為DEPA)、《新加坡-澳大利亞數(shù)字經(jīng)濟協(xié)定》(以下簡稱為SADEA)這三個專門對數(shù)字經(jīng)濟或數(shù)字貿(mào)易做出約定的條約�。而這些條約對三種例外的疊加適用做出了一些調(diào)整,盡管在適用方面這些數(shù)字貿(mào)易或數(shù)字經(jīng)濟協(xié)定和相對應(yīng)的FTA在適用順序方面可能會存在爭議���。
基于上述考慮�,本文將國家安全例外條款(特別是有關(guān)揭露信息的條款)適用于數(shù)據(jù)跨境流動限制的問題進行分析����,并在電子商務(wù)或數(shù)字貿(mào)易章節(jié)下的例外條款,一般例外和國家安全例外的共同作用下數(shù)據(jù)跨境流動將所面臨的重大影響予以評析�,對三者重復(fù)適用可能引發(fā)的問題提出解決方案。
二���、FTA三種例外疊加適用可能性和特定限制條款分析
?�。ㄒ唬〧TA中對數(shù)據(jù)跨境流動的多重限制可能性
在WTO協(xié)定中并未就數(shù)據(jù)跨境流動進行專門規(guī)定�����,而在上述FTA中均對此進行了專門規(guī)定��,這些專門規(guī)定中均有對數(shù)據(jù)跨境流動施加限制的特定例外內(nèi)容(即���,往往是電子商務(wù)或數(shù)字貿(mào)易章節(jié)或條款下的限制)�����。此外,一般例外條款和國家安全例外條款作為FTA中的普遍適用條款����,也適用于電子商務(wù)或數(shù)字貿(mào)易章節(jié)或條款。換言之���,就可以形成特定例外限制����、一般例外和國家安全例外條款下的例外限制�,從而在形成了多重限制。甚至��,在部分FTA中除了既有的國家安全例外條款,也設(shè)有電子商務(wù)或數(shù)字貿(mào)易章節(jié)下基于基本安全利益采取措施的權(quán)利��,或許立法者在立法過程中基于便利將WTO協(xié)定的條款套用到FTA中����,但這在無意間形成了對數(shù)據(jù)跨境流動的多重限制。
?。ǘ〧TA對數(shù)據(jù)跨境流動的特定限制條款分析
美韓FTA第15.8條首次明確對數(shù)據(jù)跨境流動做出專門規(guī)定:締約雙方認(rèn)識到信息自由流動對促進貿(mào)易的重要性,并認(rèn)識到保護個人信息的重要性�����,應(yīng)努力避免對跨境電子信息流動施加或保持不必要的障礙�����。盡管該條不具有強制力����,而其在邁向數(shù)據(jù)跨境流動自由的方面還是具有重要意義。以此為開端����,美國在自己締結(jié)或主導(dǎo)的FTA中都加上了電子商務(wù)或數(shù)字貿(mào)易條款或章節(jié),而且呈現(xiàn)出逐步加強數(shù)據(jù)跨境流動自由化的態(tài)勢���。特別是到了CPTPP和USMCA�,對數(shù)據(jù)跨境流動的相關(guān)條款內(nèi)容已經(jīng)相對完整。之后的DTA以及DEPA����、SADEA等數(shù)字貿(mào)易或數(shù)字經(jīng)濟協(xié)定也對此有所規(guī)定,另一方面�,將數(shù)字貿(mào)易從一般貿(mào)易分離出來單獨立法,或者是將數(shù)字貿(mào)易擴大范圍到數(shù)字經(jīng)濟整體等方面都說明對數(shù)字貿(mào)易或數(shù)字經(jīng)濟的關(guān)注度正在逐漸增強�����。
我國締結(jié)的FTA中����,雖然也有中國-澳大利亞FTA����、中國-新加坡FTA、中-韓FTA���、中國-毛里求斯FTA對電子商務(wù)相關(guān)內(nèi)容做出規(guī)定���,但直接對數(shù)據(jù)跨境流動做出規(guī)定的則只有RCEP�。下面將對這些FTA中的電子商務(wù)或數(shù)字貿(mào)易章節(jié)或條款對數(shù)據(jù)跨境流動的設(shè)限例外予以闡述����。
最早對數(shù)據(jù)跨境流動自由作出明確規(guī)定的FTA當(dāng)屬CPTPP,而之后的USMCA則對其進行了強化����。CPTPP規(guī)定各締約方可以對通過電子手段傳輸信息提出自己的監(jiān)管要求,盡管該條款在其它條款的限制下并未賦予締約方實質(zhì)性的規(guī)制權(quán)�,但因其在數(shù)據(jù)跨境流動條款的第一款,所以似乎也可以理解為其以類似于總則的形式賦予締約方權(quán)利����,而在USMCA、DTA中美國則將該款予以刪除���,這明顯是美國在FTA中對數(shù)據(jù)跨境流動規(guī)制的嚴(yán)格限制在這些條約中得以貫徹��,即無論締約方是出于國家公共安全還是各自的監(jiān)管要求�����,都不能妨礙這些FTA所定義的“跨境數(shù)據(jù)自由流動”���。但新加坡所主導(dǎo)的兩個數(shù)字經(jīng)濟協(xié)定則沒有按照上述美國式FTA范本�����,而是首先認(rèn)可締約方的規(guī)制權(quán)�。CPTPP��、USMCA����、DTA、DEPA和SADEA均規(guī)定�,締約方要保障包括個人信息在內(nèi)信息的跨境流動,也就是說��,數(shù)據(jù)跨境流動自由得以保障�����。但這種保障也是有例外的����,即締約方為了實現(xiàn)合法的公共政策目標(biāo)�����,可以采取或維持對信息跨境流動的限制措施,而這種措施要符合:(1)不構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制���;(2)對信息傳輸施加的限制不超過實現(xiàn)目標(biāo)所需限度��。換言之�����,要符合這種例外�,應(yīng)滿足如下四個條件:(1)實現(xiàn)合法公共政策目標(biāo)所需��;(2)不構(gòu)成任意或不合理的歧視�����;(3)不構(gòu)成變相的貿(mào)易限制���;(4)不超過實現(xiàn)合法公共政策目標(biāo)所需限度����。只要不符合上述四個條件之一���,?就會構(gòu)成對該條款的違反�。但實際上締約方的例外措施要符合這些條件非常困難,各成員方在WTO協(xié)定下援引GATT第20條例外的爭端解決案例似乎印證了這一點�,特別是要滿足所需限度這一條件確實不易,導(dǎo)致在諸多WTO爭端解決案例中援引例外的成員方敗訴��。從此可以看到�,上述FTA中的這些規(guī)定顯然是貿(mào)易主導(dǎo)型的。
與上述FTA相比��,RCEP則采取了不同的方式�。與CPTPP、DTA���、DEPA和SADEA等類似��,RCEP第12.15條首先認(rèn)可締約方對于通過電子方式傳輸信息可能有各自的監(jiān)管要求��。在此前提下提出不得阻止為進行商業(yè)行為而通過電子方式跨境傳輸信息的大要求�����,進而列出例外���,即���,締約方可以采取其認(rèn)為是其實現(xiàn)合法的公共政策目標(biāo)所必要的措施(締約方確認(rèn)實施此類合法公共政策的必要性應(yīng)當(dāng)由實施的締約方?jīng)Q定)����,只要該措施不以構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制的方式適用。與CPTPP等相比���,RCEP的電子商務(wù)章節(jié)下例外存在兩個特點���,第一是增加了“其認(rèn)為”的措辭,第二則是直接明確此類合法公共政策的必要性應(yīng)當(dāng)由實施措施的締約方?jīng)Q定��。除此之外���,RCEP還規(guī)定了締約方可以采取的另外措施�,即��,其認(rèn)為對保護其基本安全利益所必需的任何措施�����,而其他締約方不得對此類措施提出異議���,該條就是在特定例外條款中額外加入了國家安全例外��。RCEP的特征是在類似于CPTPP或USMCA的條款設(shè)計下����,其實通過對合法公共政策的必要性由采取措施的締約方?jīng)Q定以及增加基本安全利益下的絕對權(quán)利豐富了締約方動用該條實現(xiàn)合法公共政策目標(biāo)和維護國家利益并對數(shù)據(jù)跨境流動采取限制的可能性。從這一點來看��,兩者可以說具有非常大甚至是根本性的區(qū)別�����。特別是對合法公共政策必要性由實施措施的締約方?jīng)Q定以及基于保護基本安全利益所必需的任何措施其他締約方不得提出異議的規(guī)定給了采取措施的締約方?jīng)Q定性的權(quán)利��。這其實是對數(shù)據(jù)跨境流動進行限制留了一個大口子�����。
從外形上看�,CPTPP、USMCA��、DTA�����、DEPA、SADEA�����、RCEP都倡導(dǎo)跨境數(shù)據(jù)自由流動����,同時也對其留有例外��,只不過因為這些例外條款實際上很難滿足其要求����。但,因為RCEP對其增加了基本安全利益之例外并降低了基于合法公共政策采取措施的權(quán)利�����,且因此采取的措施必要性認(rèn)定權(quán)在采取措施的締約方或其他締約方不得提出異議���,這就使得此條款適用起來還是相對簡便�����。換言之���,RCEP 條款最顯著的特點是給各個締約方留足了規(guī)制空間�����。
三���、一般例外和國家安全例外條款對數(shù)據(jù)跨境流動的適用
(一)一般例外和國家安全例外條款的緣起
在WTO規(guī)則下�����,談到一般例外���,首先會想到GATT第20條的10項例外��,類似規(guī)定也出現(xiàn)在《服務(wù)貿(mào)易總協(xié)定》(以下簡稱為GATS)第14條��、《與貿(mào)易有關(guān)的投資措施協(xié)定》第3條���。雖然內(nèi)容各不相同,但以CPTPP����、USMCA���、RCEP為代表的FTA也往往包含有此類一般例外條款,只不過在電子商務(wù)或數(shù)字貿(mào)易章節(jié)適用GATT下的一般例外條款還是GATS下的一般例外條款有所不同���,而且均直接將GATT第20條和GATS第14條納入到FTA條款中��。WTO的安全例外,則規(guī)定在GATT第21條和GATS第14條之一���。多數(shù)的FTA在總體上繼承了WTO安全例外條款的內(nèi)容����,也有些FTA的安全例外條款對GATT第21條作了一定修改�。
WTO的國家安全例外條款對三種例外做出規(guī)定,(a)項是對披露則會違背其基本安全利益的任何信息的保護����,(b)項是賦予成員為保護其基本安全利益所必需的任何行動的權(quán)利,(c)項則賦予成員為履行其在《聯(lián)合國憲章》(以下簡稱為《憲章》)項下的維護國際和平與安全的義務(wù)而采取的任何行動的權(quán)利���。這是多邊條約首次明確規(guī)定的安全例外條款�����。這不僅對此后國際經(jīng)貿(mào)關(guān)系的調(diào)整具有重大意義����,而且作為嚴(yán)格意義的條約法上安全例外條款,在一般國際法上也堪稱先例�����。類似的條款后來也被納入到GATS第14條之一���,《與貿(mào)易有關(guān)的知識產(chǎn)權(quán)協(xié)定》(以下簡稱為TRIPS)第73條�����、《與貿(mào)易有關(guān)的投資措施協(xié)定》第3條等��。普遍被認(rèn)為是國家安全例外條款的GATT第21條���,實際上標(biāo)題是安全例外,而(a)項和(b)項是基于基本安全利益采取措施的權(quán)利��,(c)項則是基于國際和平與安全按照《憲章》采取措施����,因而���,對什么事基本安全利益作出界定非常重要。據(jù)《俄羅斯-運輸限制措施案》(DS512)中專家組作出的裁定��,基本安全利益顯然是比安全利益更狹隘的概念��,通?��?梢岳斫鉃榕c國家基本職能相關(guān)的利益��,即保護其領(lǐng)土和人民免受外部威脅,以及內(nèi)部維護法律和公共秩序����。GATT列舉為核物質(zhì)運輸、與武器彈藥等大規(guī)模殺傷性武器相關(guān)的作戰(zhàn)貿(mào)易運輸���、國際緊急情況(與戰(zhàn)爭或軍事安全相關(guān))等�����。也就是說�����,基本安全利益的范圍應(yīng)緊密限制在軍事安全���、領(lǐng)土安全的范圍內(nèi)���。FTA特定例外所保護的往往是合法的公共政策,因而���,可以理解為公共政策和公共秩序在選取所采取措施時是有區(qū)別的,即公共政策針對的是非基本安全利益��,而公共秩序則針對基本安全利益���。
國家安全例外同一般例外一起構(gòu)成WTO例外體系的重要組成部分���,或許WTO協(xié)定中沒有任何條款比國家安全條款更具政治敏感性。但��,至今其得到援引并不常見�����,在WTO成立前盡管該條在爭端解決案例中有被援引,但尚無就此通過的專家組報告�����,即使在WTO成立后也是僅有兩個專家組報告�。這與一般例外條款在諸多WTO爭端解決案例中得以援引相差甚遠(yuǎn)。但在國家安全普遍被泛化的情況下����,在《俄羅斯-運輸限制措施案》中該條款曾得以援引,除此之外���,《阿聯(lián)酋-與貨物���、服務(wù)和與貿(mào)易有關(guān)知識產(chǎn)權(quán)措施案》(DS526)、《美國-對鋼產(chǎn)品和鋁產(chǎn)品措施案》(DS544����、547���、548�����、550�、551���、552����、554�����、556����、564)、《沙特阿拉伯-知識產(chǎn)權(quán)保護措施案》(DS567)�����、《卡塔爾-對從阿聯(lián)酋進口貨物措施案》(DS576)��、《日本-有關(guān)向韓國出口產(chǎn)品和技術(shù)的措施案》(DS590)中該條款也得以援引。如在《美國-對鋼產(chǎn)品和鋁產(chǎn)品措施案》中�,美國將采取措施的依據(jù)放在GATT第21條�����;在《阿聯(lián)酋-與貨物、服務(wù)和與貿(mào)易有關(guān)知識產(chǎn)權(quán)措施案》中����,阿聯(lián)酋也主張了國家安全例外,但該案在即將做出專家組報告之前被阿聯(lián)酋和卡塔爾雙方協(xié)議暫停專家組審議���;在《沙特阿拉伯-知識產(chǎn)權(quán)保護措施案》中沙特阿拉伯援引了TRIPS第73條下的國家安全例外��;在《日本-有關(guān)向韓國出口產(chǎn)品和技術(shù)的措施案》中�,日本主張基于國家安全的顧慮而采取正當(dāng)?shù)某隹诠苤拼胧?����,并試圖援引GATT第21條��。還有研究表明�����,截至2019年6月�,在GATT/WTO時期涉及安全例外條款的案件共有27起���。
?�。ǘ┮话憷鈼l款在FTA中的適用
CPTPP第29.1.3條和USMCA第32.1.2條規(guī)定�,電子商務(wù)或數(shù)字貿(mào)易適用GATS第14條的一般例外����,但同時也在注釋中說明該款規(guī)定不影響電子產(chǎn)品是否應(yīng)歸為貨物或服務(wù)。DEPA第15.1.3條�����、SADEA第3.1條和第3.2條�����、DTA第3條�����、RCEP第12條則規(guī)定GATT第20條和GATS第14條一般例外的適用��。這些條款表明,對于一般例外��,這些FTA均直接將GATT或(和)GATS的一般例外納入到FTA之中予以直接適用���,當(dāng)然相互之間也存在差異��,就是CPTPP和USMCA規(guī)定適用GATS的一般例外條款��,而其他則規(guī)定同時適用GATT和GATS的一般例外�����,即便如此�����,前者也通過注釋的方式明確本款不影響電子產(chǎn)品是否應(yīng)歸為貨物或服務(wù)����。只不過�,在GATS項下的一般例外情景明顯少于GATT項下的一般例外,而且WTO爭端實踐表明�����,成員在GATT和GATS項下首選的例外情形大不相同�。在GATT中最常被引用的是保護公共健康和環(huán)境的例外,而在GATS中最常被援引的是公共道德例外����。另外,僅將電子產(chǎn)品明示出來����,似乎在暗示著除電子產(chǎn)品之外的電子商務(wù)或數(shù)字貿(mào)易則歸屬于服務(wù)貿(mào)易。因此�����,這些條款其實存在不小的區(qū)別�����。
?�。ㄈ﹪野踩鈼l款在FTA中的適用
盡管具體內(nèi)容并不完全相同����,但大多數(shù)的FTA復(fù)制了WTO協(xié)定的國家安全例外條款或明確WTO協(xié)定的國家安全例外條款對FTA的適用性。如���,CPTPP��、USMCA�、DTA、DEPA����、RCEP等協(xié)定均包含有此類安全例外條款。
如����,CPTPP第29.2條、USMCA第32.2條�、DTA第4條、DEPA第15.2條均規(guī)定:本協(xié)定中任何條款不得解釋為:(a)要求一締約方提供或允許獲得其確定如披露則違背其基本安全利益的任何信息����;或(b)阻止一締約方采取其認(rèn)為對履行維護或恢復(fù)國際和平或安全義務(wù)或保護其自身基本安全利益所必需的措施。依據(jù)這些條款的規(guī)定�����,締約方的自決權(quán)較WTO的國家安全例外有所擴張���,因為�,GATT第21條(c)項中的“根據(jù)《憲章》采取的維持國際和平與安全的行動”在這些協(xié)定中則變更為“其認(rèn)為有必要為履行維持或恢復(fù)國際和平與安全之義務(wù)而采取的行動”,這為這些國家采取非《憲章》下的維持和平行動創(chuàng)造了可能���。
RCEP第17.13條也規(guī)定了國家安全例外,從體系上來看���,其更加類似于GATT的國家安全例外�����。其規(guī)定����,本協(xié)定的任何規(guī)定不得解釋為:(a)要求任何締約方提供其認(rèn)為如披露則違背其基本安全利益的任何信息��;(b)阻止任何締約方采取其認(rèn)為對保護其基本安全利益所必需的任何行動:1.與裂變和聚變物質(zhì)或衍生此類物質(zhì)的物質(zhì)有關(guān)的行動����;2.與武器、彈藥和作戰(zhàn)物資的交易有關(guān)的行動��,以及與直接或間接供應(yīng)或給養(yǎng)軍事機關(guān)的此類交易運輸?shù)钠渌浳锖臀镔Y或提供的服務(wù)有關(guān)的行動���;3.為保護包括通訊��、電力和水利基礎(chǔ)設(shè)施在內(nèi)的關(guān)鍵的公共基礎(chǔ)設(shè)施而采取的行動�����;4.在國家緊急狀態(tài)����,或戰(zhàn)時,或國際關(guān)系中的其他緊急情況下采取的行動����;或者(c)阻止任何締約方為履行其在《憲章》項下維護國際和平與安全的義務(wù)而采取的任何行動。此規(guī)定除了增加“為保護包括通訊��、電力和水利基礎(chǔ)設(shè)施在內(nèi)的關(guān)鍵的公共基礎(chǔ)設(shè)施而采取的行動”��,“在國家緊急狀態(tài)”這些內(nèi)容的增加之外��,與GATT第21條非常相似���。當(dāng)然�,上述內(nèi)容的增加�,為締約方采取措施提供了更多可能性。
因為在RCEP中,已經(jīng)在電子商務(wù)章節(jié)對限制措施的例外適用做出了較為寬泛或適用條件較低的規(guī)定���,因此�,締約方為了國家安全而援引第17.13條國家安全例外的可能性不大�,甚至,其在電子商務(wù)章節(jié)中已經(jīng)含有內(nèi)容寬泛的國家安全例外條款�����,這就導(dǎo)致國家安全例外同時存在于特定例外和安全例外的現(xiàn)狀���,這也是RCEP的一個特點,即�,說明其更加注重對國家安全的保護。相反����,因為CPTPP、USMCA��、DTA����、DEPA下對數(shù)據(jù)跨境流動限制措施伴隨著諸多前提條件,所以,反而導(dǎo)致援引國家安全例外條款的可能性增加���。
SADEA則沒有設(shè)置國家安全例外條款�,僅在附件A第4條規(guī)定:本章的任何規(guī)定均不得要求一方提供或允許獲取機密信息���,如果披露機密信息將違反其法律�、妨礙執(zhí)法或違反公共利益�����,或會損害特定公共或私營企業(yè)的合法商業(yè)利益��。而此類規(guī)定在CPTPP第29.7條�����、USMCA第32.7條���、RCPE第17.7條���、DEPA第16.6條中也能查找。因此��,其與國家安全例外條款存在區(qū)別。
《俄羅斯-運輸限制措施案》中被援引的安全例外是GATT第21條(b)項��,其專家組裁定���,WTO成員方總體上有權(quán)自行判斷其“基本國家安全利益”以及相關(guān)措施是否是保護該利益“所必需的”�����,但行使該自判權(quán)應(yīng)基于“善意原則”(good?faith)����,專家組有權(quán)對其進行客觀審查�����。這說明���,專家組認(rèn)為貿(mào)易自由化和多邊主義精神與國家安全是相得益彰?���!渡程匕⒗?知識產(chǎn)權(quán)保護措施案》中被援引的是內(nèi)容與GATT第21條(b)項完全相同的TRIPS第73條(b)項,該案中專家組的裁決與《俄羅斯-運輸限制措施案》別無二致��。而(c)項則很明確針對《憲章》下的制裁��。有觀點指出:(a)項被認(rèn)為是條件最為寬泛(援引國認(rèn)為如披露某些信息將違背其基本安全利益即可)�����,但反過來該款所允許采取的行為范圍則最為狹窄(僅限于拒絕提供特定信息,而不包括對特定進口或出口的限制)����,在實踐中的重要性和爭議性都相對較小����。盡管如此,筆者還是認(rèn)為(a)項至今雖未得以援引�,但就數(shù)據(jù)跨境流動而言��,該條具有非常重要的地位����,況且(a)項中還缺少類似(b)項的“必需性”要件�����。與上述FTA對GATT第21條(b)項和(c)項內(nèi)容的不同程度引用相比�,對(a)項則均采取全盤接受�,即該項分別被CPTPP第29.2條的(a)項、USMCA第32.2條的(a)項、DEPA第15.2條(a)項��、DTA第4條(a)項和RCEP第17.13條(a)項中原封不動的予以引用�,唯一不同的是在SADEA中排除國家安全例外條款。各締約方基于基本安全利益����,可以對相關(guān)信息采取保護,這就意味著可以對相關(guān)數(shù)據(jù)的跨境流動予以限制��,因為此類數(shù)據(jù)的跨境流動將會導(dǎo)致其被披露。而且����,各締約方對此可以自行判斷�,即“其認(rèn)為”即可。雖然在貨物貿(mào)易和服務(wù)貿(mào)易下此條款尚未被得以援引���,使得各國對其認(rèn)識不足,但隨著數(shù)字貿(mào)易的進一步發(fā)展����,此條是否有可能搖身一變成為對數(shù)字貿(mào)易施加限制的殺手锏呢�?
問題是��,這里的信息是由締約方政府直接掌握的信息���,還是泛指在其管轄權(quán)范圍內(nèi)存儲的信息?通常包含在貿(mào)易協(xié)定中的國家安全例外包含與個人數(shù)據(jù)直接相關(guān)的內(nèi)容���。因此��,國家安全例外可能會提供針對數(shù)字貿(mào)易的其他保護措施,尤其是規(guī)范個人數(shù)據(jù)傳輸和存儲設(shè)施位置的政府措施���?��?梢哉f應(yīng)用這些國家安全例外的可能性是一個可以在現(xiàn)有數(shù)字貿(mào)易規(guī)范的討論中帶來重大變化的問題��。這意味著當(dāng)前的“原則-例外”框架缺乏對這一部分的考慮,存在固有的局限性��。尤其是在對個人信息的海外轉(zhuǎn)移保持保守或被動立場的國家����,將尋求通過國家安全例外來維持各種監(jiān)管措施��。因為其會認(rèn)為貿(mào)易協(xié)定的國家安全例外中包括的與“信息”有關(guān)的規(guī)定也直接適用于“個人信息”。
四�����、對FTA數(shù)據(jù)跨境流動限制條款的重塑
?���。ㄒ唬θN例外條款進行協(xié)調(diào)
數(shù)字貿(mào)易和個人信息的新時代需要在整個貿(mào)易協(xié)定中重新考慮和協(xié)調(diào),而且在這方面���,國家安全例外也需要相應(yīng)地予以糾正。這種平衡已朝著確保信息傳輸更多自由的方向發(fā)展��,因為在USMCA和DTA中已刪除了締約方政府可以進行管制的原則聲明���,并已將援引特定例外的條件進行調(diào)整以適應(yīng)一般例外��。
USMCA和DTA中對禁止數(shù)據(jù)本地化并未設(shè)有類似CPTPP的特定例外,那么禁止數(shù)據(jù)本地化這一原則僅適用一般例外和安全例外���,該條對通過海外服務(wù)器收集和使用個人信息提供更加強有力的保護。想必DTA應(yīng)該是考慮到了適用于整個協(xié)定的一般例外和國家安全例外��,因此�,在必要時可以證明與服務(wù)器位置有關(guān)的限制措施是合理的�。DTA的這種新發(fā)展提出了一個基本問題��,即關(guān)于數(shù)字貿(mào)易中已討論的特定例外與一般和安全例外之間的關(guān)系,這是因為DTA已經(jīng)注意到存在這些例外疊加適用的可能性��。
在特定例外�����、一般和安全例外的適用順序方面,可以首先嘗試援引特定例外����。如果特定例外的適用失敗����,則實際上一般例外的適用也非常困難�,但是鑒于一般例外規(guī)定在貿(mào)易協(xié)定中的重要地位以及被援引的先例,許多國家還是將嘗試對其援引。一般例外保護為公共政策、公共道德���、生命和健康(在醫(yī)療個人信息的情況下)���,環(huán)境(與消費環(huán)境侵權(quán)產(chǎn)品有關(guān)的個人信息)和自然資源(與有限資源消費有關(guān)的個人信息)保護所需采取的措施,因此其具有適用范圍比特定例外和安全例外更加廣泛的優(yōu)點�����。而GATT第21條的安全例外并沒有GATT第20條“序言”所要求的“任意或不合理歧視或?qū)H貿(mào)易的變相限制”的禁止性規(guī)定,貿(mào)易限制措施的適用方式更為靈活���。因此�����,其在適用方面也是有優(yōu)勢���。
當(dāng)然�,對于國家而言�,援引一般例外是一件非常困難的事情��。這是因為要滿足相關(guān)前提條件并不容易�,盡管如此��,我們也看到在WTO近期的案例中成功援引一般例外的情況逐漸多了起來,比如�����,在《韓國-對放射性核素的進口禁令和檢測認(rèn)證要求案》和《澳大利亞-關(guān)于適用于煙草產(chǎn)品和包裝的商標(biāo)�����、地理標(biāo)志和其他平裝要求的某些措施案》(DS435���、441���、458��、467)中均認(rèn)可了基于人的生命、健康保護而采取措施的正當(dāng)性��。因此,從理論上說���,其還是認(rèn)可通過一般例外保護當(dāng)前國家認(rèn)為的與個人信息有關(guān)政策的主權(quán),盡管其在現(xiàn)實中可能性不是很大��。
(二)警惕國家安全例外適用的泛化
不僅是國際條約���,各國的國內(nèi)法對此也有類似的規(guī)定。例如���,《通用數(shù)據(jù)保護條例》(以下簡稱為GDPR)序言規(guī)定���,GDPR不適用于國家安全事務(wù)��,并且引入了國家安全的單獨例外條款�。俄羅斯于2015年出臺了《個人信息保護法》�,原則上要求在俄羅斯境內(nèi)存儲個人信息,并限制了向國外的轉(zhuǎn)移�。在這里���,國家安全考慮也起著重要作用�?!睹绹?019年國家安全和個人數(shù)據(jù)保護法案》規(guī)定�����,重要信息(包括一些敏感的個人信息)不應(yīng)存儲在某些特定外國(中國���,俄羅斯等)���,認(rèn)為其基礎(chǔ)是基于國家安全。韓國也認(rèn)識到個人信息與國家安全之間的聯(lián)系�����,2017年制定的韓國《個人信息保護法》不適用于為國家安全有關(guān)的信息分析而收集的個人信息以及為公共安全而臨時處理的個人信息���。
在國家安全方面��,適用例外限制個人信息的跨境傳輸以及服務(wù)器在國外的國家實際上有三種選擇。一種是利用FTA中有關(guān)電子商務(wù)(數(shù)字貿(mào)易)一章中包含的特定例外����,另一種是可以選擇適用于整個FTA的一般性例外�����,最后一種方法也適用于整個FTA,它是在適用的國家安全例外情況中尋找解決方案的替代方法���。即使選擇第一個或第二個���,也有可能同時使用第三個作為補充�。安全例外條款不應(yīng)適用于為經(jīng)濟目的采取的措施�����。但正如在TikTok事件中所看到,在國際上鼓勵跨域數(shù)據(jù)自由流動為美國企業(yè)收集、處理和傳輸?shù)壤盟麌鴶?shù)據(jù)的行為破壁開路����,在其國內(nèi)卻以國家安全為由限制數(shù)據(jù)利用,使得外國企業(yè)處處掣肘��,以達到保護美國企業(yè)的目的�。
現(xiàn)在討論的數(shù)字貿(mào)易不僅限于現(xiàn)有貿(mào)易的電子方法(傳統(tǒng)意義上的電子商務(wù))����,還指具有新形式和新內(nèi)容的交易。在現(xiàn)有貿(mào)易協(xié)定的框架下定義和管理這些新交易存在根本的局限性����。想必因為這些理由�����,才出現(xiàn)了DTA以及DEPA�、SADEA等數(shù)字貿(mào)易或數(shù)字經(jīng)濟協(xié)定。
從個人信息和信息的關(guān)系來看,信息應(yīng)是包括個人信息的概念���。當(dāng)然��,在某些條約條款的解釋當(dāng)中��,要注意簽訂條約當(dāng)時對某一用詞的普遍理解��,而不適宜做超出當(dāng)時普遍理解的擴張解釋����。
在CPTPP、USMCA、RCEP等大型FTA中都有國家安全例外條款���,而這些條款或許可以成為締約方對數(shù)據(jù)跨境流動采取限制的依據(jù)��,更值得關(guān)注的是這些規(guī)定給了締約方對是否違背其基本安全利益的認(rèn)定權(quán)�,盡管在程度上各異�,但至少關(guān)于披露將會引發(fā)基本安全利益相關(guān)信息這一項下上述條約幾乎采取了相同的規(guī)定。
?���。ㄈ?shù)字貿(mào)易另行訂立協(xié)定
將數(shù)字貿(mào)易從現(xiàn)有FTA中分離出來并締結(jié)專門適用于數(shù)字貿(mào)易的協(xié)定也可以被視為是能夠解決結(jié)構(gòu)性問題的一種方式��。它認(rèn)識到數(shù)字貿(mào)易的特征�����,為應(yīng)用它準(zhǔn)備了一個新的框架,并通過它來規(guī)范數(shù)字貿(mào)易���,DTA�����、SADEA���、DEPA等就是此方面作出的較好嘗試���,新加坡和韓國��、英國間也已啟動相關(guān)談判��。當(dāng)然�,即使在這種情況下��,現(xiàn)有的相關(guān)貿(mào)易協(xié)定仍將適用于與數(shù)字貿(mào)易有關(guān)的一般貿(mào)易���,因此如何協(xié)調(diào)地引導(dǎo)這兩個協(xié)定的問題仍然存在。如,新加坡和澳大利亞�����、新西蘭之間既有FTA����,又有數(shù)字經(jīng)濟協(xié)定,而美日兩國間���,也同時具有FTA和數(shù)字貿(mào)易協(xié)定����。
SADEA第3條(a)項將新加坡-澳大利亞FTA的電子商務(wù)章節(jié)予以修訂���,即由其附件A的數(shù)字經(jīng)濟章節(jié)予以替換。新加坡與韓國和英國推動的數(shù)字經(jīng)濟協(xié)定也極有可能采用這種做法�。美日貿(mào)易協(xié)定第2條也規(guī)定了其與DTA之間的關(guān)系���,即��,每一締約方確認(rèn)其在WTO協(xié)定和雙方均加入的其他協(xié)定項下相對于另一締約方的現(xiàn)有權(quán)利和義務(wù)���,此條也意味著DTA的內(nèi)容優(yōu)先適用于美日貿(mào)易協(xié)定���,但與SADEA的替換不同,美日之間則采取了有順序的重復(fù)適用��。DEPA則因為是新加坡��、新西蘭�、智利三國間的多邊協(xié)定����,而三國間又沒有簽訂FTA,因此并無類似條款��,僅在第1.2.2條規(guī)定:如果一締約方認(rèn)為DEPA的條款與其和至少一個其他締約方作為締約方的另一協(xié)定的條款不一致�,應(yīng)請求�,另一協(xié)定的相關(guān)締約方應(yīng)協(xié)商以達成雙方滿意的協(xié)議。新加坡和新西蘭之間簽有FTA����,因此,如果新加坡-新西蘭FTA的電子商務(wù)章節(jié)以及與數(shù)字經(jīng)濟有關(guān)的條款與DEPA不一致的話�����,就會出現(xiàn)如何適用的爭議���。
五�����、我國對數(shù)據(jù)跨境流動的限制及其完善建議
?���。ㄒ唬┟鞔_以自由為原則,限制為例外的例外條款模式
歐美對數(shù)據(jù)跨境流動采取不同的模式���,歐盟通過GDPR確立了被稱為“世界上采用最廣泛的個人數(shù)據(jù)保護模式”���,大多數(shù)國家在國內(nèi)立法中都在不同程度上適用其原則。美國則通過推動亞太經(jīng)合組織隱私框架下的跨境隱私規(guī)則體系等舉措�����,旗幟鮮明地支持跨境數(shù)據(jù)自由流動����,反對數(shù)據(jù)本地化,與其盟友建立了數(shù)據(jù)流動“朋友圈”�。鑒于我國既是數(shù)據(jù)大國也是對外投資大國,例外條款的構(gòu)建可考慮以數(shù)據(jù)跨境自由流動為原則�,以限制流動為例外。例外條款的設(shè)計是在為促進數(shù)字經(jīng)濟發(fā)展的目標(biāo)下保障我國安全利益而服務(wù),不應(yīng)阻礙我國數(shù)字企業(yè)發(fā)揮優(yōu)勢��。數(shù)據(jù)跨境自由流動成為常態(tài)���,而較高保護水準(zhǔn)的數(shù)據(jù)隱私保護要求����,以及涉及國家安全���、公共道德和公共秩序的內(nèi)容審查機制均可被納入例外�,只有在符合一定的采納和實施要件之后才能阻止數(shù)據(jù)流動�����。我國也可以進一步在國際社會上推動該類補救措施的合法化�,以維護受損害成員方在WTO下權(quán)利和義務(wù)的平衡��。在此方面��,RCEP中的例外條款模式還是提供了較好的模板����,因為其較好的處理了在國家安全等核心方面繼續(xù)保留較大范圍限制的同時又很好地貫徹了數(shù)據(jù)跨境流動總體自由的大方向。
(二)關(guān)注FTA中三種例外對數(shù)據(jù)跨境流動的疊加適用問題
除了RCEP外���,我國締結(jié)的FTA中對電子商務(wù)作出規(guī)定的主要有《中-韓FTA》和《中-澳FTA》�?!吨?韓FTA》第21.1.2條規(guī)定,電子商務(wù)而言�����,GATS第14條經(jīng)必要修訂后納入本協(xié)定并構(gòu)成本協(xié)定的一部分����,而這對電子產(chǎn)品是否應(yīng)被劃分為貨物或服務(wù)不產(chǎn)生影響;《中-澳FTA》第16.2條則規(guī)定電子商務(wù)適用GATT第20條和GATS第14條的一般例外條款����。《中-韓FTA》第21.2條和《中-澳FTA》第16.3條則規(guī)定�,就本協(xié)定而言,GATT第21條及GATS第14條之二經(jīng)必要修訂后納入本協(xié)定并構(gòu)成本協(xié)定的一部分���。即�����,我國締結(jié)的FTA主要還是以直接適用WTO協(xié)定的一般例外和安全例外為主�����。因為《中-韓FTA》和《中-澳FTA》均未對數(shù)據(jù)跨境流動進行規(guī)定���,所以�����,這些FTA并不存在電子商務(wù)章節(jié)下的特定例外��,當(dāng)然�,從另外一個角度來看����,就因為沒有對數(shù)據(jù)跨境流動做出明確的規(guī)定,即沒有就此承擔(dān)相關(guān)條約下的義務(wù)���,所以,也沒有必要通過例外條款來對其進行限定���。
當(dāng)前就FTA的結(jié)構(gòu)而言���,最緊迫的問題是澄清電子商務(wù)(數(shù)字貿(mào)易)一章中包含的特定例外與適用于整個FTA的例外之間的關(guān)系?,F(xiàn)在�����,一般例外和國家安全例外適用于整個協(xié)定�����,因此它們當(dāng)然也適用于電子商務(wù)(數(shù)字貿(mào)易)部分����。具有不同背景的例外情況并不一定要同時適用多個條款,但允許在同一情況下存在多個例外情況的系統(tǒng)注定會造成混亂��。特別是�,如果沒有像現(xiàn)在這樣提及重復(fù)適用的可能性,并且沒有關(guān)于以何種順序和以何種方式適用這些例外的規(guī)定�,最終,援引該例外的國家和反對國之間將出現(xiàn)爭議��。
另外�,在互聯(lián)網(wǎng)領(lǐng)域,國家安全不存在統(tǒng)一認(rèn)識����。如����,在我國�����,數(shù)據(jù)(信息)安全亦與政治安全����、國土安全、軍事安全�、經(jīng)濟安全、文化安全�、社會安全、科技安全���、生態(tài)安全���、資源安全、核安全并列且相互交錯��,共同組成綜合安全體系����。俄羅斯在《俄羅斯-運輸限制措施案》中主張國家有權(quán)就采取的措施是為保護其基本安全利益所必要作出決定,而美國也在該案中披露了與俄羅斯相同的觀點�。對美國而言,GATT第21條(b)項的自我判斷性質(zhì)使?fàn)幎恕安豢蓪徖怼?���,即認(rèn)為專家組無權(quán)審查成員援引該條的權(quán)利。歐盟���、中國����、巴西����、澳大利亞、日本和其他第三方則認(rèn)為專家組有權(quán)審查此案�����,不同意對涉及國家安全的爭議不可審理的觀點��。甚至���,美國在針對我國抖音和微信采取限制措施時曾主張個人信息的海外流露會影響國家安全���。即�,應(yīng)該注意個人信息與國家的外交��、安全���、經(jīng)濟和社會領(lǐng)域中關(guān)鍵國家職能的執(zhí)行有關(guān)�����。我國要警惕美國泛化基本安全利益的范疇�����,特別是試圖將經(jīng)濟安全也納入到基本安全利益�,從而實施對我國企業(yè)的打壓�。也要考慮有關(guān)個人信息的泄露是否會導(dǎo)致基本安全利益受損的問題,對此���,建議對個人信息應(yīng)采取區(qū)分��,即警惕將個人信息泄露直接與國家安全聯(lián)系起來�,也要注意把兩者完全區(qū)別對待?�;蛟S在此方面���,網(wǎng)絡(luò)安全審查辦公室于2021年7月2日和7月5日分別對滴滴出行和運滿滿、貨車幫���、BOSS直聘展開的網(wǎng)絡(luò)安全審查將會提供一個非常有用的案例�。
2020年11月20日��,國家主席習(xí)近平表示��,我國將考慮加入CPTPP���。從目前的情況來看���,加入CPTPP可能會是一個漫長的過程,在加入中會遇到的一系列難點中數(shù)據(jù)跨境流動也會有一席之地��。從我國締結(jié)的FTA文本不難發(fā)現(xiàn)�����,RCEP是對數(shù)據(jù)自由跨境流動做出最開放態(tài)度的協(xié)定,盡管如此���,其還是受到很大限制���,在這樣的背景下,比較CPTPP和RCEP的相關(guān)條款不難發(fā)現(xiàn)兩者具有很大區(qū)別�。而恰好CPTPP中一般例外和國家安全例外條款的存在和適當(dāng)運用,將會對我國具有很大啟發(fā)����,或許通過這些條款的援引,可達到數(shù)據(jù)跨境流動自由和國家安全利益的最佳協(xié)調(diào)��。特別是對基于基本安全利益所適用的不披露任何信息這一條款����,但是,目前尚不清楚該“信息”如何與數(shù)字貿(mào)易中的“個人信息”相關(guān)聯(lián)�����。當(dāng)然���,可以主張�����,除非另有協(xié)議��,否則同一協(xié)定中包含的相同詞語原則上應(yīng)解釋為相同��。如果是這樣的話����,同一FTA中包含的“信息”一詞應(yīng)在整個協(xié)定中得到相同的解釋���。目前似乎沒有理由對FTA中出現(xiàn)在各個條款中的信息這一措辭進行不同解釋�。并且��,“信息”的詞典含義涵蓋了包括子概念“個人信息”在內(nèi)的廣泛內(nèi)容��,這也從GATT第21條(a)項使用了“任何信息”這一措辭予以證明�����。但與RCEP第12.17.3條規(guī)定任何締約方不得就電子商務(wù)章項下產(chǎn)生的任何事項訴諸爭端解決不同�,CPTPP等FTA則未將電子商務(wù)排除在爭端解決之下。這也將是我國加入CPTPP時所要解決的問題,即電子商務(wù)方面適用FTA爭端解決機制的問題���。在CPTPP下��,對基于基本安全利益而采取的限制數(shù)據(jù)跨境流動措施將面臨FTA爭端解決機制的審查���。
在美國設(shè)想第二次世界大戰(zhàn)后新的戰(zhàn)后貿(mào)易秩序之后,國家安全例外被視為審查國際貿(mào)易組織(ITO)成立過程中的一個主要議題�。此外,經(jīng)過幾處修改�,它被作為GATT第21條引入WTO法中。從這一歷史來看���,此處引入的術(shù)語“信息”可被主張為與如今的個人信息其實無關(guān)�����。但是���,因為后來諸多FTA將這兩個術(shù)語同時包含在其條款當(dāng)中,所以才出現(xiàn)了意外的連接����。如果是這樣���,我們也可考慮是否有需要將兩者之間的這種“意外”連接予以阻斷。作為國家安全的例外�,很大一部分個人信息可以從“信息”的概念中排除。當(dāng)前拒絕提供信息的規(guī)定包含誤解和許多濫用�����。尤其是����,在使用信息作為其核心對象和媒介的數(shù)字貿(mào)易中,這個問題更加嚴(yán)重���。此外,當(dāng)前拒絕提供信息的許多措施可能仍會被國家安全例外的其他規(guī)定所涵蓋���。如果是這樣��,也可以考慮刪除此規(guī)定�。上述FTA將機密信息予以單獨分離出來的方式或許可以提供一種新的思路�����,即對信息或數(shù)據(jù)劃分不同類型予以區(qū)別對待。對于涉及國家安全��、社會重大利益的數(shù)據(jù)�����,應(yīng)采取最嚴(yán)格的數(shù)據(jù)管理措施�����,禁止或有條件地進行數(shù)據(jù)跨境轉(zhuǎn)移����;對于一般性行業(yè)數(shù)據(jù)和政府?dāng)?shù)據(jù),應(yīng)根據(jù)雙邊��、多邊協(xié)定或依據(jù)國內(nèi)法具體規(guī)定進行跨境流動�;對于個人數(shù)據(jù),則可采取較為寬松的管理措施����,以促進數(shù)字產(chǎn)業(yè)的發(fā)展。
?����。ㄈ┩晟莆覈鴩鴥?nèi)法對數(shù)據(jù)跨境流動的限制規(guī)定
我國國內(nèi)法對數(shù)據(jù)跨境流動相關(guān)限制主要顯現(xiàn)在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和有待通過的《個人信息保護法》中。但是因為這些立法所制定的年份各不相同���,里面的具體條款也存在部分不夠明確��,相互不銜接等情況�����。
1.數(shù)據(jù)跨境流動適用法律問題
就數(shù)據(jù)出境問題�,《網(wǎng)絡(luò)安全法》��、《數(shù)據(jù)安全法》與《個人信息保護法》之間的適用關(guān)系問題也值得探討����,盡管后者尚未通過?���!稊?shù)據(jù)安全法》第31條規(guī)定����,關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理,適用《網(wǎng)絡(luò)安全法》的規(guī)定����;其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法����,由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定�����。因為《網(wǎng)絡(luò)安全法》也規(guī)定由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法���,因此���,所有重要數(shù)據(jù)的出境安全管理辦法是統(tǒng)一的還是割裂的也不明確,目前對重要數(shù)據(jù)出境能夠適用的安全評估尚無章可循�����,也未見有相關(guān)立法草案���。至于個人信息出境則應(yīng)適用《個人信息保護法》����,《個人信息出境安全評估辦法(征求意見稿)》也尚處于草案階段,因為目前《個人信息保護法》尚未制定��,該安全評估辦法又依據(jù)《網(wǎng)絡(luò)安全法》����,所以,這些都需要適當(dāng)調(diào)整���,而且也呼吁《個人信息保護法》盡早出臺���,從而理順相應(yīng)關(guān)系。
2.《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》相關(guān)規(guī)定的完善
如����,《網(wǎng)絡(luò)安全法》第37條規(guī)定:關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要�,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估��;法律���、行政法規(guī)另有規(guī)定的,依照其規(guī)定���。即�,《網(wǎng)絡(luò)安全法》僅對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)作出境內(nèi)存儲的要求,而且�����,這些信息經(jīng)安全評估也可出境��,最后�,還附加了其他法律和行政法規(guī)對其進行突破的口子。但本條款存在諸多可探討的細(xì)節(jié):第一���,存儲和提供并非相同概念���,所以兩者并非原則和例外的關(guān)系,境外存儲是不被允許的��,僅在確需時經(jīng)過安全評估���,才能向境外提供���,該條將數(shù)據(jù)本地化和數(shù)據(jù)跨境流動這兩個不同的概念混為一談,而往往在FTA中將這兩個內(nèi)容放在不同的兩個條款�����,這種明確的區(qū)分值得我國立法借鑒。第二����,關(guān)鍵信息基礎(chǔ)設(shè)施的概念或范圍不明確?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》第18條對關(guān)鍵信息基礎(chǔ)設(shè)施的范圍作出如下界定:下列單位運行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)����,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全��、國計民生�、公共利益的�,應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍:(一)政府機關(guān)和能源、金融���、交通�、水利���、衛(wèi)生醫(yī)療����、教育�、社保、環(huán)境保護�����、公用事業(yè)等行業(yè)領(lǐng)域的單位���;(二)電信網(wǎng)��、廣播電視網(wǎng)���、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò),以及提供云計算��、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位��;(三)國防科工��、大型裝備��、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位����;(四)廣播電臺、電視臺����、通訊社等新聞單位;(五)其他重點單位��。此條并非是對關(guān)鍵信息基礎(chǔ)設(shè)施的定義����,而是指出范圍。該條首先是劃定了行業(yè)和單位���,然后要求增加了破壞�、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全等時才被納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍�����。換言之�,其也不是界定關(guān)鍵信息基礎(chǔ)設(shè)施范圍,而是說明在何種情況下納入該保護范圍�。另外,主要涉及個人信息保護的諸多電商企業(yè)是否包含在上述范圍看起來并不明確����,互聯(lián)網(wǎng)服務(wù)單位里是否包括各大電商企業(yè)呢����。即使包括,嚴(yán)重危害國家安全�����、公共利益才被納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍�,而這些內(nèi)容都有待進一步明確,否者就會導(dǎo)致企業(yè)無法適應(yīng)��。第三����,重要數(shù)據(jù)的概念或范圍不明確?��!稊?shù)據(jù)安全法》第20條規(guī)定:國家建立數(shù)據(jù)分類分級保護制度����,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度�����,以及一旦遭到篡改�、破壞����、泄露或者非法獲取��、非法利用�,對國家安全�、公共利益或者公民�、組織合法權(quán)益造成的危害程度��,對數(shù)據(jù)實行分類分級保護�����,并確定重要數(shù)據(jù)目錄�,加強對重要數(shù)據(jù)的保護����。各地區(qū)����、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度���,確定本地區(qū)、本部門以及相關(guān)行業(yè)�、領(lǐng)域的重要數(shù)據(jù)具體目錄��,對列入目錄的數(shù)據(jù)進行重點保護�����?�!稊?shù)據(jù)安全管理辦法(征求意見稿)》第28條也規(guī)定���,網(wǎng)絡(luò)運營者發(fā)布、共享�����、交易或向境外提供重要數(shù)據(jù)前,應(yīng)當(dāng)評估可能帶來的安全風(fēng)險����,并報經(jīng)行業(yè)主管監(jiān)管部門同意���;行業(yè)主管監(jiān)管部門不明確的��,應(yīng)經(jīng)省級網(wǎng)信部門批準(zhǔn)。向境外提供個人信息按有關(guān)規(guī)定執(zhí)行�。但因各部門和各地區(qū)都可設(shè)置重要數(shù)據(jù)目錄���,因而可能會導(dǎo)致較為復(fù)雜的重要數(shù)據(jù)目錄體系,這在具體執(zhí)行中會導(dǎo)致一定的困擾����。如《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》第3條對汽車重要數(shù)據(jù)作出規(guī)定��,其它產(chǎn)業(yè)也有可能制定類似目錄����。而且何為數(shù)據(jù)分類分級保護制度��,也需要進一步明確�����,因為重要數(shù)據(jù)目錄的制定顯然與此具有密切關(guān)聯(lián)。第四�,安全評估主體和辦法等不明確�。而且�����,即使屬于需要安全評估的個人信息����,因目前《個人信息出境安全評估辦法(征求意見稿)》尚未通過,因此也缺乏可操作性�����。非個人信息的其他重要數(shù)據(jù)之安全評估辦法也有待確立。因此���,僅從現(xiàn)行法還無法得知跨境數(shù)據(jù)轉(zhuǎn)移安全評估的具體標(biāo)準(zhǔn),這樣會存在一定的不確定性�。第五�����,法律和行政法規(guī)的例外有待查明�����。第六,從RCEP實施的角度來看,至少從外形上RCEP對數(shù)據(jù)跨境流動采取的是自由流動為原則�����,這與《網(wǎng)絡(luò)安全法》第37條不一致�����,即待RCEP生效后有可能產(chǎn)生國際法和國內(nèi)法相適應(yīng)的問題。還好����,《數(shù)據(jù)安全法》第11條對數(shù)據(jù)跨境流動的原則做了一定調(diào)整:國家積極開展數(shù)據(jù)安全治理��、數(shù)據(jù)開發(fā)利用等領(lǐng)域的國際交流與合作����,參與數(shù)據(jù)安全相關(guān)國際規(guī)則和標(biāo)準(zhǔn)的制定,促進數(shù)據(jù)跨境安全��、自由流動���。該條表明�,此法已經(jīng)將安全和自由流動擺在幾乎平等的地位���。第七,《個人信息出境安全評估辦法(征求意見稿)》第2條規(guī)定:網(wǎng)絡(luò)運營者向境外提供在中華人民共和國境內(nèi)運營中收集的個人信息(以下稱個人信息出境)�����,應(yīng)當(dāng)按照本辦法進行安全評估。經(jīng)安全評估認(rèn)定個人信息出境可能影響國家安全�����、損害公共利益���,或者難以有效保障個人信息安全的�,不得出境。問題是���,與《網(wǎng)絡(luò)安全法》比較����,該規(guī)定缺少因業(yè)務(wù)需要��,確需提供的限制�。
3.《個人信息保護法》的制定和適用
《個人信息保護法(草案二次審議稿)》(以下簡稱為《個人信息保護法草案》)第38條規(guī)定���,個人信息處理者因業(yè)務(wù)等需要,確需向中華人民共和國境外提供個人信息的�,應(yīng)當(dāng)至少具備下列一項條件:(一)依照本法第40條的規(guī)定通過國家網(wǎng)信部門組織的安全評估����;(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認(rèn)證�����;(三)按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同��,約定雙方的權(quán)利和義務(wù)���,并監(jiān)督其個人信息處理活動達到本法規(guī)定的個人信息保護標(biāo)準(zhǔn)���;(四)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件�����。而第39條則規(guī)定,個人信息處理者向中華人民共和國境外提供個人信息的����,應(yīng)當(dāng)向個人告知境外接收方的身份��、聯(lián)系方式�����、處理目的���、處理方式��、個人信息的種類以及個人向境外接收方行使本法規(guī)定權(quán)利的方式等事項����,并取得個人的單獨同意����?��;诖?,個人信息的出境除了上述要求��,還要經(jīng)過個人的單獨同意。而且�����,個人信息出境所需的四個條件�,除了(四)項作為兜底條款模糊處理外,其它三項也有待制定相應(yīng)實施細(xì)則���。
《個人信息保護法草案》第40條規(guī)定����,關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者����,應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi)��。確需向境外提供的���,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估��;法律�����、行政法規(guī)和國家網(wǎng)信部門規(guī)定可以不進行安全評估的���,從其規(guī)定�。結(jié)合此條來看��,在《網(wǎng)絡(luò)安全法》要求對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)收集和產(chǎn)生的個人信息存儲在境內(nèi),處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者在中國境內(nèi)收集和產(chǎn)生的個人信息也需要存儲在境內(nèi)��。這些個人信息跨境流動需要進行安全評估���,對于國家網(wǎng)信部門規(guī)定數(shù)量目前尚屬空白�����,而《個人信息出境安全評估辦法(征求意見稿)》中目前也沒有相關(guān)規(guī)定,僅在《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》第17條規(guī)定,處理個人信息涉及個人信息主體超過10萬人���、或者處理重要數(shù)據(jù)的運營者����,應(yīng)當(dāng)在每年12月15日前將年度數(shù)據(jù)安全管理情況報省級網(wǎng)信部門和有關(guān)部門��。處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者的相關(guān)標(biāo)準(zhǔn)也要予以明確��。
《個人信息保護法草案》第41條則對司法或執(zhí)法層面的個人信息跨境流動進行了設(shè)限���。中華人民共和國境外的司法或者執(zhí)法機構(gòu)要求提供存儲于中華人民共和國境內(nèi)的個人信息的,非經(jīng)中華人民共和國主管機關(guān)批準(zhǔn)�,不得提供;中華人民共和國締結(jié)或者參加的國際條約���、協(xié)定有規(guī)定的,可以按照其規(guī)定執(zhí)行?����,F(xiàn)實問題是如因此導(dǎo)致這些企業(yè)受到外國相關(guān)機構(gòu)的制裁應(yīng)怎么辦?遇到這種情況���,政府層面應(yīng)如何應(yīng)對以及是否可以啟動《反外國制裁法》予以反制等也值得深入研究��。(作者馬光系浙江大學(xué)光華法學(xué)院副教授��、國際法研究所所長)
關(guān)注官方微信
關(guān)注官方微博
