168体育数据跨境流动限制之三种例外叠加适用问题研究
发布时间 : 2024-02-13 17:52:45与世界贸易组织协定一样,多数的自由贸易协定都设有国家安全例外条款,而这些条款与一般例外条款及电子商务或数字贸易章节中的数据跨境流动限制条款一道形成了对数据跨境流动的限制理由。特别是在国家安全例外条款中具有的基于披露则会违背其基本安全利益的任何信息之保护规定,对数据的跨境流动有可能形成较大限制。对该条款中的任何信息是否包括个人信息进行研究具有重要意义,因为较其他例外条款,该条款的适用限制相对较少,如果个人信息也包括在里面,则有可能对数据跨境流动产生较大影响。另外,三种例外的叠加适用问题也很重要。因为在电子商务或数字贸易章节中本身就有例外条款的前提下,再有一般例外和安全例外的叠加适用,也会对数据跨境流动产生更大限制效果。
通过自由的数据跨境流动,利用大数据分析,一国可能对他国的社会状况进行精准画像,并有针对性地开展情报收集和研判等工作,威胁他国国家安全,[]因而各国都或多或少地对数据跨境流动予以限制。随着《全面与进步跨太平洋伙伴关系协定》(以下简称为CPTPP)、《美墨加贸易协定》(以下简称为USMCA)、《区域全面经济伙伴关系协定》(以下简称为RCEP)等超大型自由贸易协定(以下简称为FTA)的缔结,各国对通过电子方式跨境传输信息(即数据跨境流动)问题的关注度逐渐加强。而这些FTA在允许数据跨境流动的大原则和特定情况下对其进行限制方面似乎已经达成一致,尽管其对例外的范围方面具有很大差异。这些FTA中,对数据跨境流动的限制往往都包括三个部分,即,来自电子商务或数字贸易章节下的限制,一般例外条款下的限制以及国家安全例外条款下的限制。现有的研究往往聚焦于第一种类型的限制,而基于一般例外条款,诸多的世界贸易组织(以下简称为WTO)案例表明其不好援引。但基于国家安全例外对数据跨境流动施加限制以及因此而对数据跨境流动产生的重大影响则尚未引起充分关注,况且,目前国家安全的范围正处于扩张的趋势,而想必网络安全将对WTO提出一系列政治和法律问题。
目前,对以WTO的国家安全例外条款为中心的研究已经有一些,并且随着WTO争端解决机构对相关案例作出裁定,此类研究数量整体上呈现出上升的趋势。这些研究主要涉及对WTO国家安全例外条款的分析,其中有部分研究也涉及到国家安全例外在数据跨境流动中作为限制理由得以援引的情况。但这些研究却忽略了基于基本安全利益而对信息流动采取的限制,即对《关税与贸易总协定》(以下简称为GATT)的第21条(a)项适用于数据跨境流动限制的情形缺乏研究,而该项极有可能成为代替较为严格的其他两种限制成为可以对数据跨境流动合法设限的依据,从而降低数据自由流动的成果。
不同的FTA对数据的跨境流动采取了不同的标准,保护水平相同和相近的国家、地区间更容易进行个人数据跨境转移,而发达国家基于产业优势和国内立法完善,对于数据自由流动的需求更大。CPTPP和USMCA总体上对数据跨境流动设限采取了较为严格的标准,而且两者中尤以USMCA对数据跨境流动采取了更高的保护标准,RCEP则虽然总体上也采取支持数据跨境流动的态度,但同时也对各缔约方政府赋予了采取限制的权利,而这种权利有时可以避开其他缔约方政府的挑战。这些FTA都同时规定了三种类型的设限途径,这就使得缔约方可以通过叠加适用国家安全例外、一般例外条款以及电子商务或数字贸易章节下的限制措施,从而降低数据跨境流动自由化成果。这一情况似乎是此类FTA缔约方不曾预想到的,而这些条款的并存和交叉适用将会对数据跨境流动产生诸多不确定性。
2019年和2020年,相继缔结了《美日数字贸易协定》(以下简称为DTA)以及《新加坡-新西兰-智利数字经济合作协定》(以下简称为DEPA)、《新加坡-澳大利亚数字经济协定》(以下简称为SADEA)这三个专门对数字经济或数字贸易做出约定的条约。而这些条约对三种例外的叠加适用做出了一些调整,尽管在适用方面这些数字贸易或数字经济协定和相对应的FTA在适用顺序方面可能会存在争议。
基于上述考虑,本文将国家安全例外条款(特别是有关揭露信息的条款)适用于数据跨境流动限制的问题进行分析,并在电子商务或数字贸易章节下的例外条款,一般例外和国家安全例外的共同作用下数据跨境流动将所面临的重大影响予以评析,对三者重复适用可能引发的问题提出解决方案。
在WTO协定中并未就数据跨境流动进行专门规定,而在上述FTA中均对此进行了专门规定,这些专门规定中均有对数据跨境流动施加限制的特定例外内容(即,往往是电子商务或数字贸易章节或条款下的限制)。此外,一般例外条款和国家安全例外条款作为FTA中的普遍适用条款,也适用于电子商务或数字贸易章节或条款。换言之,就可以形成特定例外限制、一般例外和国家安全例外条款下的例外限制,从而在形成了多重限制。甚至,在部分FTA中除了既有的国家安全例外条款,也设有电子商务或数字贸易章节下基于基本安全利益采取措施的权利,或许立法者在立法过程中基于便利将WTO协定的条款套用到FTA中,但这在无意间形成了对数据跨境流动的多重限制。
美韩FTA第15.8条首次明确对数据跨境流动做出专门规定:缔约双方认识到信息自由流动对促进贸易的重要性,并认识到保护个人信息的重要性,应努力避免对跨境电子信息流动施加或保持不必要的障碍。尽管该条不具有强制力,而其在迈向数据跨境流动自由的方面还是具有重要意义。以此为开端168体育,美国在自己缔结或主导的FTA中都加上了电子商务或数字贸易条款或章节,而且呈现出逐步加强数据跨境流动自由化的态势。特别是到了CPTPP和USMCA,对数据跨境流动的相关条款内容已经相对完整。之后的DTA以及DEPA、SADEA等数字贸易或数字经济协定也对此有所规定,另一方面,将数字贸易从一般贸易分离出来单独立法,或者是将数字贸易扩大范围到数字经济整体等方面都说明对数字贸易或数字经济的关注度正在逐渐增强。
我国缔结的FTA中,虽然也有中国-澳大利亚FTA、中国-新加坡FTA、中-韩FTA、中国-毛里求斯FTA对电子商务相关内容做出规定,但直接对数据跨境流动做出规定的则只有RCEP。下面将对这些FTA中的电子商务或数字贸易章节或条款对数据跨境流动的设限例外予以阐述。
最早对数据跨境流动自由作出明确规定的FTA当属CPTPP,而之后的USMCA则对其进行了强化。CPTPP规定各缔约方可以对通过电子手段传输信息提出自己的监管要求,尽管该条款在其它条款的限制下并未赋予缔约方实质性的规制权,但因其在数据跨境流动条款的第一款,所以似乎也可以理解为其以类似于总则的形式赋予缔约方权利,而在USMCA、DTA中美国则将该款予以删除,这明显是美国在FTA中对数据跨境流动规制的严格限制在这些条约中得以贯彻,即无论缔约方是出于国家公共安全还是各自的监管要求,都不能妨碍这些FTA所定义的“跨境数据自由流动”。但新加坡所主导的两个数字经济协定则没有按照上述美国式FTA范本,而是首先认可缔约方的规制权。CPTPP、USMCA、DTA、DEPA和SADEA均规定,缔约方要保障包括个人信息在内信息的跨境流动,也就是说,数据跨境流动自由得以保障。但这种保障也是有例外的,即缔约方为了实现合法的公共政策目标,可以采取或维持对信息跨境流动的限制措施,而这种措施要符合:(1)不构成任意或不合理的歧视或变相的贸易限制;(2)对信息传输施加的限制不超过实现目标所需限度。换言之,要符合这种例外,应满足如下四个条件:(1)实现合法公共政策目标所需;(2)不构成任意或不合理的歧视;(3)不构成变相的贸易限制;(4)不超过实现合法公共政策目标所需限度。只要不符合上述四个条件之一, 就会构成对该条款的违反。但实际上缔约方的例外措施要符合这些条件非常困难,各成员方在WTO协定下援引GATT第20条例外的争端解决案例似乎印证了这一点,特别是要满足所需限度这一条件确实不易,导致在诸多WTO争端解决案例中援引例外的成员方败诉。168体育从此可以看到,上述FTA中的这些规定显然是贸易主导型的。
与上述FTA相比,RCEP则采取了不同的方式。与CPTPP、DTA、DEPA和SADEA等类似,RCEP第12.15条首先认可缔约方对于通过电子方式传输信息可能有各自的监管要求。在此前提下提出不得阻止为进行商业行为而通过电子方式跨境传输信息的大要求,进而列出例外,即,缔约方可以采取其认为是其实现合法的公共政策目标所必要的措施(缔约方确认实施此类合法公共政策的必要性应当由实施的缔约方决定),只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用。与CPTPP等相比,RCEP的电子商务章节下例外存在两个特点,第一是增加了“其认为”的措辞,第二则是直接明确此类合法公共政策的必要性应当由实施措施的缔约方决定。除此之外,RCEP还规定了缔约方可以采取的另外措施,即,其认为对保护其基本安全利益所必需的任何措施,而其他缔约方不得对此类措施提出异议,该条就是在特定例外条款中额外加入了国家安全例外。RCEP的特征是在类似于CPTPP或USMCA的条款设计下,其实通过对合法公共政策的必要性由采取措施的缔约方决定以及增加基本安全利益下的绝对权利丰富了缔约方动用该条实现合法公共政策目标和维护国家利益并对数据跨境流动采取限制的可能性。从这一点来看,两者可以说具有非常大甚至是根本性的区别。特别是对合法公共政策必要性由实施措施的缔约方决定以及基于保护基本安全利益所必需的任何措施其他缔约方不得提出异议的规定给了采取措施的缔约方决定性的权利。这其实是对数据跨境流动进行限制留了一个大口子。
从外形上看,CPTPP、USMCA、DTA、DEPA、SADEA、RCEP都倡导跨境数据自由流动,同时也对其留有例外,只不过因为这些例外条款实际上很难满足其要求。但,因为RCEP对其增加了基本安全利益之例外并降低了基于合法公共政策采取措施的权利,且因此采取的措施必要性认定权在采取措施的缔约方或其他缔约方不得提出异议,这就使得此条款适用起来还是相对简便。换言之,RCEP 条款最显著的特点是给各个缔约方留足了规制空间。
在WTO规则下,谈到一般例外,首先会想到GATT第20条的10项例外,类似规定也出现在《服务贸易总协定》(以下简称为GATS)第14条、《与贸易有关的投资措施协定》第3条。虽然内容各不相同,但以CPTPP、USMCA、RCEP为代表的FTA也往往包含有此类一般例外条款,只不过在电子商务或数字贸易章节适用GATT下的一般例外条款还是GATS下的一般例外条款有所不同,而且均直接将GATT第20条和GATS第14条纳入到FTA条款中。WTO的安全例外,则规定在GATT第21条和GATS第14条之一。多数的FTA在总体上继承了WTO安全例外条款的内容,也有些FTA的安全例外条款对GATT第21条作了一定修改。
WTO的国家安全例外条款对三种例外做出规定,(a)项是对披露则会违背其基本安全利益的任何信息的保护,(b)项是赋予成员为保护其基本安全利益所必需的任何行动的权利,(c)项则赋予成员为履行其在《联合国》(以下简称为《》)项下的维护国际和平与安全的义务而采取的任何行动的权利。这是多边条约首次明确规定的安全例外条款。这不仅对此后国际经贸关系的调整具有重大意义,而且作为严格意义的条约法上安全例外条款,在一般国际法上也堪称先例。类似的条款后来也被纳入到GATS第14条之一,《与贸易有关的知识产权协定》(以下简称为TRIPS)第73条、《与贸易有关的投资措施协定》第3条等。普遍被认为是国家安全例外条款的GATT第21条,实际上标题是安全例外,而(a)项和(b)项是基于基本安全利益采取措施的权利,(c)项则是基于国际和平与安全按照《》采取措施,因而,对什么事基本安全利益作出界定非常重要。据《俄罗斯-运输限制措施案》(DS512)中专家组作出的裁定,基本安全利益显然是比安全利益更狭隘的概念,通常可以理解为与国家基本职能相关的利益,即保护其领土和人民免受外部威胁,以及内部维护法律和公共秩序。GATT列举为核物质运输、与武器弹药等大规模杀伤性武器相关的作战贸易运输、国际紧急情况(与战争或军事安全相关)等。也就是说,基本安全利益的范围应紧密限制在军事安全、领土安全的范围内。FTA特定例外所保护的往往是合法的公共政策,因而,可以理解为公共政策和公共秩序在选取所采取措施时是有区别的,即公共政策针对的是非基本安全利益,而公共秩序则针对基本安全利益。
国家安全例外同一般例外一起构成WTO例外体系的重要组成部分,或许WTO协定中没有任何条款比国家安全条款更具政治敏感性。但,至今其得到援引并不常见,在WTO成立前尽管该条在争端解决案例中有被援引,但尚无就此通过的专家组报告,即使在WTO成立后也是仅有两个专家组报告。这与一般例外条款在诸多WTO争端解决案例中得以援引相差甚远。但在国家安全普遍被泛化的情况下,在《俄罗斯-运输限制措施案》中该条款曾得以援引,除此之外,《阿联酋-与货物、服务和与贸易有关知识产权措施案》(DS526)、《美国-对钢产品和铝产品措施案》(DS544、547、548、550、551、552、554、556、564)、《沙特阿拉伯-知识产权保护措施案》(DS567)、《卡塔尔-对从阿联酋进口货物措施案》(DS576)、《日本-有关向韩国出口产品和技术的措施案》(DS590)中该条款也得以援引。如在《美国-对钢产品和铝产品措施案》中,美国将采取措施的依据放在GATT第21条;在《阿联酋-与货物、服务和与贸易有关知识产权措施案》中,阿联酋也主张了国家安全例外,但该案在即将做出专家组报告之前被阿联酋和卡塔尔双方协议暂停专家组审议;在《沙特阿拉伯-知识产权保护措施案》中沙特阿拉伯援引了TRIPS第73条下的国家安全例外;在《日本-有关向韩国出口产品和技术的措施案》中,日本主张基于国家安全的顾虑而采取正当的出口管制措施,并试图援引GATT第21条。还有研究表明,截至2019年6月,在GATT/WTO时期涉及安全例外条款的案件共有27起。
CPTPP第29.1.3条和USMCA第32.1.2条规定,电子商务或数字贸易适用GATS第14条的一般例外,但同时也在注释中说明该款规定不影响电子产品是否应归为货物或服务。DEPA第15.1.3条、SADEA第3.1条和第3.2条、DTA第3条、RCEP第12条则规定GATT第20条和GATS第14条一般例外的适用。这些条款表明,对于一般例外,这些FTA均直接将GATT或(和)GATS的一般例外纳入到FTA之中予以直接适用,当然相互之间也存在差异,就是CPTPP和USMCA规定适用GATS的一般例外条款,而其他则规定同时适用GATT和GATS的一般例外,即便如此,前者也通过注释的方式明确本款不影响电子产品是否应归为货物或服务。只不过,在GATS项下的一般例外情景明显少于GATT项下的一般例外,而且WTO争端实践表明,成员在GATT和GATS项下首选的例外情形大不相同。在GATT中最常被引用的是保护公共健康和环境的例外,而在GATS中最常被援引的是公共道德例外。另外,仅将电子产品明示出来,似乎在暗示着除电子产品之外的电子商务或数字贸易则归属于服务贸易。因此,这些条款其实存在不小的区别。
尽管具体内容并不完全相同,但大多数的FTA复制了WTO协定的国家安全例外条款或明确WTO协定的国家安全例外条款对FTA的适用性。如,CPTPP、USMCA、DTA、DEPA、RCEP等协定均包含有此类安全例外条款。
如,CPTPP第29.2条、USMCA第32.2条、DTA第4条、DEPA第15.2条均规定:本协定中任何条款不得解释为:(a)要求一缔约方提供或允许获得其确定如披露则违背其基本安全利益的任何信息;或(b)阻止一缔约方采取其认为对履行维护或恢复国际和平或安全义务或保护其自身基本安全利益所必需的措施。依据这些条款的规定,缔约方的自决权较WTO的国家安全例外有所扩张,因为,GATT第21条(c)项中的“根据《》采取的维持国际和平与安全的行动”在这些协定中则变更为“其认为有必要为履行维持或恢复国际和平与安全之义务而采取的行动”,这为这些国家采取非《》下的维持和平行动创造了可能。
RCEP第17.13条也规定了国家安全例外,从体系上来看,其更加类似于GATT的国家安全例外。其规定,本协定的任何规定不得解释为:(a)要求任何缔约方提供其认为如披露则违背其基本安全利益的任何信息;(b)阻止任何缔约方采取其认为对保护其基本安全利益所必需的任何行动:1.与裂变和聚变物质或衍生此类物质的物质有关的行动;2.与武器、弹药和作战物资的交易有关的行动,以及与直接或间接供应或给养军事机关的此类交易运输的其他货物和物资或提供的服务有关的行动;3.为保护包括通讯、电力和水利基础设施在内的关键的公共基础设施而采取的行动;4.在国家紧急状态,或战时,或国际关系中的其他紧急情况下采取的行动;或者(c)阻止任何缔约方为履行其在《》项下维护国际和平与安全的义务而采取的任何行动。此规定除了增加“为保护包括通讯、电力和水利基础设施在内的关键的公共基础设施而采取的行动”,“在国家紧急状态”这些内容的增加之外,与GATT第21条非常相似。当然,上述内容的增加,为缔约方采取措施提供了更多可能性。
因为在RCEP中,已经在电子商务章节对限制措施的例外适用做出了较为宽泛或适用条件较低的规定,因此,缔约方为了国家安全而援引第17.13条国家安全例外的可能性不大,甚至,其在电子商务章节中已经含有内容宽泛的国家安全例外条款,这就导致国家安全例外同时存在于特定例外和安全例外的现状,这也是RCEP的一个特点,即,说明其更加注重对国家安全的保护。相反,因为CPTPP、168体育USMCA、DTA、DEPA下对数据跨境流动限制措施伴随着诸多前提条件,所以,反而导致援引国家安全例外条款的可能性增加。
SADEA则没有设置国家安全例外条款,仅在附件A第4条规定:本章的任何规定均不得要求一方提供或允许获取机密信息,如果披露机密信息将违反其法律、妨碍执法或违反公共利益,或会损害特定公共或私营企业的合法商业利益。而此类规定在CPTPP第29.7条、USMCA第32.7条、RCPE第17.7条、DEPA第16.6条中也能查找。因此,其与国家安全例外条款存在区别。
《俄罗斯-运输限制措施案》中被援引的安全例外是GATT第21条(b)项,其专家组裁定,WTO成员方总体上有权自行判断其“基本国家安全利益”以及相关措施是否是保护该利益“所必需的”,但行使该自判权应基于“善意原则”(good faith),专家组有权对其进行客观审查。这说明,专家组认为贸易自由化和多边主义精神与国家安全是相得益彰。《沙特阿拉伯-知识产权保护措施案》中被援引的是内容与GATT第21条(b)项完全相同的TRIPS第73条(b)项,该案中专家组的裁决与《俄罗斯-运输限制措施案》别无二致。而(c)项则很明确针对《》下的制裁。有观点指出:(a)项被认为是条件最为宽泛(援引国认为如披露某些信息将违背其基本安全利益即可),但反过来该款所允许采取的行为范围则最为狭窄(仅限于拒绝提供特定信息,而不包括对特定进口或出口的限制),在实践中的重要性和争议性都相对较小。尽管如此,笔者还是认为(a)项至今虽未得以援引,但就数据跨境流动而言,该条具有非常重要的地位,况且(a)项中还缺少类似(b)项的“必需性”要件。与上述FTA对GATT第21条(b)项和(c)项内容的不同程度引用相比,对(a)项则均采取全盘接受,即该项分别被CPTPP第29.2条的(a)项、USMCA第32.2条的(a)项、DEPA第15.2条(a)项、DTA第4条(a)项和RCEP第17.13条(a)项中原封不动的予以引用,唯一不同的是在SADEA中排除国家安全例外条款。各缔约方基于基本安全利益,可以对相关信息采取保护,这就意味着可以对相关数据的跨境流动予以限制,因为此类数据的跨境流动将会导致其被披露。而且,各缔约方对此可以自行判断,即“其认为”即可。虽然在货物贸易和服务贸易下此条款尚未被得以援引,使得各国对其认识不足,但随着数字贸易的进一步发展,此条是否有可能摇身一变成为对数字贸易施加限制的杀手锏呢?
问题是,这里的信息是由缔约方政府直接掌握的信息,还是泛指在其管辖权范围内存储的信息?通常包含在贸易协定中的国家安全例外包含与个人数据直接相关的内容。因此,国家安全例外可能会提供针对数字贸易的其他保护措施,尤其是规范个人数据传输和存储设施位置的政府措施。可以说应用这些国家安全例外的可能性是一个可以在现有数字贸易规范的讨论中带来重大变化的问题。这意味着当前的“原则-例外”框架缺乏对这一部分的考虑,存在固有的局限性。尤其是在对个人信息的海外转移保持保守或被动立场的国家,将寻求通过国家安全例外来维持各种监管措施。因为其会认为贸易协定的国家安全例外中包括的与“信息”有关的规定也直接适用于“个人信息”。
数字贸易和个人信息的新时代需要在整个贸易协定中重新考虑和协调,而且在这方面,国家安全例外也需要相应地予以纠正。这种平衡已朝着确保信息传输更多自由的方向发展,因为在USMCA和DTA中已删除了缔约方政府可以进行管制的原则声明,并已将援引特定例外的条件进行调整以适应一般例外。
USMCA和DTA中对禁止数据本地化并未设有类似CPTPP的特定例外,那么禁止数据本地化这一原则仅适用一般例外和安全例外,该条对通过海外服务器收集和使用个人信息提供更加强有力的保护。想必DTA应该是考虑到了适用于整个协定的一般例外和国家安全例外,因此,在必要时可以证明与服务器位置有关的限制措施是合理的。DTA的这种新发展提出了一个基本问题,即关于数字贸易中已讨论的特定例外与一般和安全例外之间的关系,这是因为DTA已经注意到存在这些例外叠加适用的可能性。
在特定例外、一般和安全例外的适用顺序方面,可以首先尝试援引特定例外。如果特定例外的适用失败,则实际上一般例外的适用也非常困难,但是鉴于一般例外规定在贸易协定中的重要地位以及被援引的先例,许多国家还是将尝试对其援引。一般例外保护为公共政策、公共道德、生命和健康(在医疗个人信息的情况下),环境(与消费环境侵权产品有关的个人信息)和自然资源(与有限资源消费有关的个人信息)保护所需采取的措施,因此其具有适用范围比特定例外和安全例外更加广泛的优点。而GATT第21条的安全例外并没有GATT第20条“序言”所要求的“任意或不合理歧视或对国际贸易的变相限制”的禁止性规定,贸易限制措施的适用方式更为灵活。因此,其在适用方面也是有优势。
当然,对于国家而言,援引一般例外是一件非常困难的事情。这是因为要满足相关前提条件并不容易,尽管如此,我们也看到在WTO近期的案例中成功援引一般例外的情况逐渐多了起来,比如,在《韩国-对放射性核素的进口禁令和检测认证要求案》和《澳大利亚-关于适用于烟草产品和包装的商标、地理标志和其他平装要求的某些措施案》(DS435、441、458、467)中均认可了基于人的生命、健康保护而采取措施的正当性。因此,从理论上说,其还是认可通过一般例外保护当前国家认为的与个人信息有关政策的主权,尽管其在现实中可能性不是很大。
不仅是国际条约,各国的国内法对此也有类似的规定。例如,《通用数据保护条例》(以下简称为GDPR)序言规定,GDPR不适用于国家安全事务,并且引入了国家安全的单独例外条款。俄罗斯于2015年出台了《个人信息保护法》,原则上要求在俄罗斯境内存储个人信息,并限制了向国外的转移。在这里,国家安全考虑也起着重要作用。《美国2019年国家安全和个人数据保护法案》规定,重要信息(包括一些敏感的个人信息)不应存储在某些特定外国(中国,俄罗斯等),认为其基础是基于国家安全。韩国也认识到个人信息与国家安全之间的联系,2017年制定的韩国《个人信息保护法》不适用于为国家安全有关的信息分析而收集的个人信息以及为公共安全而临时处理的个人信息。
在国家安全方面,适用例外限制个人信息的跨境传输以及服务器在国外的国家实际上有三种选择。一种是利用FTA中有关电子商务(数字贸易)一章中包含的特定例外,另一种是可以选择适用于整个FTA的一般性例外,最后一种方法也适用于整个FTA,它是在适用的国家安全例外情况中寻找解决方案的替代方法。即使选择第一个或第二个,也有可能同时使用第三个作为补充。安全例外条款不应适用于为经济目的采取的措施。但正如在TikTok事件中所看到,在国际上鼓励跨域数据自由流动为美国企业收集、处理和传输等利用他国数据的行为破壁开路,在其国内却以国家安全为由限制数据利用,使得外国企业处处掣肘,以达到保护美国企业的目的。
现在讨论的数字贸易不仅限于现有贸易的电子方法(传统意义上的电子商务),还指具有新形式和新内容的交易。在现有贸易协定的框架下定义和管理这些新交易存在根本的局限性。想必因为这些理由,才出现了DTA以及DEPA、SADEA等数字贸易或数字经济协定。
从个人信息和信息的关系来看,信息应是包括个人信息的概念。当然,在某些条约条款的解释当中,要注意签订条约当时对某一用词的普遍理解,而不适宜做超出当时普遍理解的扩张解释。
在CPTPP、USMCA、RCEP等大型FTA中都有国家安全例外条款,而这些条款或许可以成为缔约方对数据跨境流动采取限制的依据,更值得关注的是这些规定给了缔约方对是否违背其基本安全利益的认定权,尽管在程度上各异,但至少关于披露将会引发基本安全利益相关信息这一项下上述条约几乎采取了相同的规定。
将数字贸易从现有FTA中分离出来并缔结专门适用于数字贸易的协定也可以被视为是能够解决结构性问题的一种方式。它认识到数字贸易的特征,为应用它准备了一个新的框架,并通过它来规范数字贸易,DTA、SADEA、DEPA等就是此方面作出的较好尝试,新加坡和韩国、英国间也已启动相关谈判。当然,即使在这种情况下,现有的相关贸易协定仍将适用于与数字贸易有关的一般贸易,因此如何协调地引导这两个协定的问题仍然存在。如,新加坡和澳大利亚、新西兰之间既有FTA,又有数字经济协定,而美日两国间,也同时具有FTA和数字贸易协定。
SADEA第3条(a)项将新加坡-澳大利亚FTA的电子商务章节予以修订,即由其附件A的数字经济章节予以替换。新加坡与韩国和英国推动的数字经济协定也极有可能采用这种做法。美日贸易协定第2条也规定了其与DTA之间的关系,即,每一缔约方确认其在WTO协定和双方均加入的其他协定项下相对于另一缔约方的现有权利和义务,此条也意味着DTA的内容优先适用于美日贸易协定,但与SADEA的替换不同,美日之间则采取了有顺序的重复适用。DEPA则因为是新加坡、新西兰、智利三国间的多边协定,而三国间又没有签订FTA,因此并无类似条款,仅在第1.2.2条规定:如果一缔约方认为DEPA的条款与其和至少一个其他缔约方作为缔约方的另一协定的条款不一致,应请求,另一协定的相关缔约方应协商以达成双方满意的协议。新加坡和新西兰之间签有FTA,因此,如果新加坡-新西兰FTA的电子商务章节以及与数字经济有关的条款与DEPA不一致的话,就会出现如何适用的争议。
欧美对数据跨境流动采取不同的模式,欧盟通过GDPR确立了被称为“世界上采用最广泛的个人数据保护模式”,大多数国家在国内立法中都在不同程度上适用其原则。美国则通过推动亚太经合组织隐私框架下的跨境隐私规则体系等举措,旗帜鲜明地支持跨境数据自由流动,反对数据本地化,与其盟友建立了数据流动“朋友圈”。鉴于我国既是数据大国也是对外投资大国,例外条款的构建可考虑以数据跨境自由流动为原则,以限制流动为例外。例外条款的设计是在为促进数字经济发展的目标下保障我国安全利益而服务,不应阻碍我国数字企业发挥优势。数据跨境自由流动成为常态,而较高保护水准的数据隐私保护要求,以及涉及国家安全、公共道德和公共秩序的内容审查机制均可被纳入例外,只有在符合一定的采纳和实施要件之后才能阻止数据流动。我国也可以进一步在国际社会上推动该类补救措施的合法化,以维护受损害成员方在WTO下权利和义务的平衡。在此方面,RCEP中的例外条款模式还是提供了较好的模板,因为其较好的处理了在国家安全等核心方面继续保留较大范围限制的同时又很好地贯彻了数据跨境流动总体自由的大方向。
除了RCEP外,我国缔结的FTA中对电子商务作出规定的主要有《中-韩FTA》和《中-澳FTA》。《中-韩FTA》第21.1.2条规定,电子商务而言,GATS第14条经必要修订后纳入本协定并构成本协定的一部分,而这对电子产品是否应被划分为货物或服务不产生影响;《中-澳FTA》第16.2条则规定电子商务适用GATT第20条和GATS第14条的一般例外条款。《中-韩FTA》第21.2条和《中-澳FTA》第16.3条则规定,就本协定而言,GATT第21条及GATS第14条之二经必要修订后纳入本协定并构成本协定的一部分。即,我国缔结的FTA主要还是以直接适用WTO协定的一般例外和安全例外为主。因为《中-韩FTA》和《中-澳FTA》均未对数据跨境流动进行规定,所以,这些FTA并不存在电子商务章节下的特定例外,当然,从另外一个角度来看,就因为没有对数据跨境流动做出明确的规定,即没有就此承担相关条约下的义务,所以,也没有必要通过例外条款来对其进行限定。
当前就FTA的结构而言,最紧迫的问题是澄清电子商务(数字贸易)一章中包含的特定例外与适用于整个FTA的例外之间的关系。现在,一般例外和国家安全例外适用于整个协定,因此它们当然也适用于电子商务(数字贸易)部分。具有不同背景的例外情况并不一定要同时适用多个条款,但允许在同一情况下存在多个例外情况的系统注定会造成混乱。特别是,如果没有像现在这样提及重复适用的可能性,并且没有关于以何种顺序和以何种方式适用这些例外的规定,最终,援引该例外的国家和反对国之间将出现争议。
另外,在互联网领域,国家安全不存在统一认识。如,在我国,数据(信息)安全亦与政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、生态安全、资源安全、核安全并列且相互交错,共同组成综合安全体系。俄罗斯在《俄罗斯-运输限制措施案》中主张国家有权就采取的措施是为保护其基本安全利益所必要作出决定,而美国也在该案中披露了与俄罗斯相同的观点。对美国而言,GATT第21条(b)项的自我判断性质使争端“不可审理”,即认为专家组无权审查成员援引该条的权利。欧盟、中国、巴西、澳大利亚、日本和其他第三方则认为专家组有权审查此案,不同意对涉及国家安全的争议不可审理的观点。甚至,美国在针对我国抖音和微信采取限制措施时曾主张个人信息的海外流露会影响国家安全。即,应该注意个人信息与国家的外交、安全、经济和社会领域中关键国家职能的执行有关。我国要警惕美国泛化基本安全利益的范畴,特别是试图将经济安全也纳入到基本安全利益,从而实施对我国企业的打压。也要考虑有关个人信息的泄露是否会导致基本安全利益受损的问题,对此,建议对个人信息应采取区分,即警惕将个人信息泄露直接与国家安全联系起来,也要注意把两者完全区别对待。或许在此方面,网络安全审查办公室于2021年7月2日和7月5日分别对滴滴出行和运满满、货车帮、BOSS直聘展开的网络安全审查将会提供一个非常有用的案例。
2020年11月20日,国家主席习表示,我国将考虑加入CPTPP。从目前的情况来看,加入CPTPP可能会是一个漫长的过程,在加入中会遇到的一系列难点中数据跨境流动也会有一席之地。从我国缔结的FTA文本不难发现,RCEP是对数据自由跨境流动做出最开放态度的协定,尽管如此,其还是受到很大限制,在这样的背景下,比较CPTPP和RCEP的相关条款不难发现两者具有很大区别。而恰好CPTPP中一般例外和国家安全例外条款的存在和适当运用,将会对我国具有很大启发,或许通过这些条款的援引,可达到数据跨境流动自由和国家安全利益的最佳协调。特别是对基于基本安全利益所适用的不披露任何信息这一条款,但是,目前尚不清楚该“信息”如何与数字贸易中的“个人信息”相关联。当然,可以主张,除非另有协议,否则同一协定中包含的相同词语原则上应解释为相同。如果是这样的话,同一FTA中包含的“信息”一词应在整个协定中得到相同的解释。目前似乎没有理由对FTA中出现在各个条款中的信息这一措辞进行不同解释。并且,“信息”的词典含义涵盖了包括子概念“个人信息”在内的广泛内容,这也从GATT第21条(a)项使用了“任何信息”这一措辞予以证明。但与RCEP第12.17.3条规定任何缔约方不得就电子商务章项下产生的任何事项诉诸争端解决不同,CPTPP等FTA则未将电子商务排除在争端解决之下。这也将是我国加入CPTPP时所要解决的问题,即电子商务方面适用FTA争端解决机制的问题。在CPTPP下,对基于基本安全利益而采取的限制数据跨境流动措施将面临FTA争端解决机制的审查。
在美国设想第二次世界大战后新的战后贸易秩序之后,国家安全例外被视为审查国际贸易组织(ITO)成立过程中的一个主要议题。此外,经过几处修改,它被作为GATT第21条引入WTO法中。从这一历史来看,此处引入的术语“信息”可被主张为与如今的个人信息其实无关。但是,因为后来诸多FTA将这两个术语同时包含在其条款当中,所以才出现了意外的连接。如果是这样,我们也可考虑是否有需要将两者之间的这种“意外”连接予以阻断。作为国家安全的例外,很大一部分个人信息可以从“信息”的概念中排除。当前拒绝提供信息的规定包含误解和许多滥用。尤其是,在使用信息作为其核心对象和媒介的数字贸易中,这个问题更加严重。此外,当前拒绝提供信息的许多措施可能仍会被国家安全例外的其他规定所涵盖。如果是这样,也可以考虑删除此规定。上述FTA将机密信息予以单独分离出来的方式或许可以提供一种新的思路,即对信息或数据划分不同类型予以区别对待。对于涉及国家安全、社会重大利益的数据,应采取最严格的数据管理措施,禁止或有条件地进行数据跨境转移;对于一般性行业数据和政府数据,应根据双边、多边协定或依据国内法具体规定进行跨境流动;对于个人数据,则可采取较为宽松的管理措施,以促进数字产业的发展。
我国国内法对数据跨境流动相关限制主要显现在《网络安全法》《数据安全法》和有待通过的《个人信息保护法》中。但是因为这些立法所制定的年份各不相同,里面的具体条款也存在部分不够明确,相互不衔接等情况。
就数据出境问题,《网络安全法》、《数据安全法》与《个人信息保护法》之间的适用关系问题也值得探讨,尽管后者尚未通过。《数据安全法》第31条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。因为《网络安全法》也规定由国家网信部门会同国务院有关部门制定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,因此,所有重要数据的出境安全管理办法是统一的还是割裂的也不明确,目前对重要数据出境能够适用的安全评估尚无章可循,也未见有相关立法草案。至于个人信息出境则应适用《个人信息保护法》,《个人信息出境安全评估办法(征求意见稿)》也尚处于草案阶段,因为目前《个人信息保护法》尚未制定,该安全评估办法又依据《网络安全法》,所以,这些都需要适当调整,而且也呼吁《个人信息保护法》尽早出台,从而理顺相应关系。
如,《网络安全法》第37条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。即,《网络安全法》仅对关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据作出境内存储的要求,而且,这些信息经安全评估也可出境,最后,还附加了其他法律和行政法规对其进行突破的口子。但本条款存在诸多可探讨的细节:第一,存储和提供并非相同概念,所以两者并非原则和例外的关系,境外存储是不被允许的,仅在确需时经过安全评估,才能向境外提供,该条将数据本地化和数据跨境流动这两个不同的概念混为一谈,而往往在FTA中将这两个内容放在不同的两个条款,这种明确的区分值得我国立法借鉴。第二,关键信息基础设施的概念或范围不明确。《关键信息基础设施安全保护条例(征求意见稿)》第18条对关键信息基础设施的范围作出如下界定:下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。此条并非是对关键信息基础设施的定义,而是指出范围。该条首先是划定了行业和单位,然后要求增加了破坏、丧失功能或者数据泄露,可能严重危害国家安全等时才被纳入关键信息基础设施保护范围。换言之,其也不是界定关键信息基础设施范围,而是说明在何种情况下纳入该保护范围。另外,主要涉及个人信息保护的诸多电商企业是否包含在上述范围看起来并不明确,互联网服务单位里是否包括各大电商企业呢。即使包括,严重危害国家安全、公共利益才被纳入关键信息基础设施保护范围,而这些内容都有待进一步明确,否者就会导致企业无法适应。第三,重要数据的概念或范围不明确。《数据安全法》第20条规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。《数据安全管理办法(征求意见稿)》第28条也规定,网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。向境外提供个人信息按有关规定执行。但因各部门和各地区都可设置重要数据目录,因而可能会导致较为复杂的重要数据目录体系,这在具体执行中会导致一定的困扰。如《汽车数据安全管理若干规定(征求意见稿)》第3条对汽车重要数据作出规定,其它产业也有可能制定类似目录。而且何为数据分类分级保护制度,也需要进一步明确,因为重要数据目录的制定显然与此具有密切关联。第四,安全评估主体和办法等不明确。而且,即使属于需要安全评估的个人信息,因目前《个人信息出境安全评估办法(征求意见稿)》尚未通过,因此也缺乏可操作性。非个人信息的其他重要数据之安全评估办法也有待确立。因此,仅从现行法还无法得知跨境数据转移安全评估的具体标准,这样会存在一定的不确定性。第五,法律和行政法规的例外有待查明。第六,从RCEP实施的角度来看,至少从外形上RCEP对数据跨境流动采取的是自由流动为原则,这与《网络安全法》第37条不一致,即待RCEP生效后有可能产生国际法和国内法相适应的问题。还好,《数据安全法》第11条对数据跨境流动的原则做了一定调整:国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。该条表明,此法已经将安全和自由流动摆在几乎平等的地位。第七,《个人信息出境安全评估办法(征求意见稿)》第2条规定:网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。问题是,与《网络安全法》比较,该规定缺少因业务需要,确需提供的限制。
《个人信息保护法(草案二次审议稿)》(以下简称为《个人信息保护法草案》)第38条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件:(一)依照本法第40条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;(四)法律、行政法规或者国家网信部门规定的其他条件。而第39条则规定,个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。基于此,个人信息的出境除了上述要求,还要经过个人的单独同意。而且,个人信息出境所需的四个条件,除了(四)项作为兜底条款模糊处理外,其它三项也有待制定相应实施细则。
《个人信息保护法草案》第40条规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。结合此条来看,在《网络安全法》要求对关键信息基础设施的运营者在中国境内收集和产生的个人信息存储在境内,处理个人信息达到国家网信部门规定数量的个人信息处理者在中国境内收集和产生的个人信息也需要存储在境内。这些个人信息跨境流动需要进行安全评估,对于国家网信部门规定数量目前尚属空白,而《个人信息出境安全评估办法(征求意见稿)》中目前也没有相关规定,仅在《汽车数据安全管理若干规定(征求意见稿)》第17条规定,处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年12月15日前将年度数据安全管理情况报省级网信部门和有关部门。处理个人信息达到国家网信部门规定数量的个人信息处理者的相关标准也要予以明确。
《个人信息保护法草案》第41条则对司法或执法层面的个人信息跨境流动进行了设限。中华人民共和国境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息的,非经中华人民共和国主管机关批准,不得提供;中华人民共和国缔结或者参加的国际条约、协定有规定的,可以按照其规定执行。现实问题是如因此导致这些企业受到外国相关机构的制裁应怎么办?遇到这种情况,政府层面应如何应对以及是否可以启动《反外国制裁法》予以反制等也值得深入研究。(作者马光系浙江大学光华法学院副教授、国际法研究所所长)