【作者】许多奇
【内容提要】
*许多奇
复旦大学法学院教授
中国法与社会研究院企划委员会联袂主任
原文刊载于《行政法学研究》2022年第4期
摘要:数字经济背景下,数字贸易和跨境数据流动具有一体两面的特点,并由此产生通过贸易规则治理跨境数据流动的新问题。由于数据的多维度,使得以WTO为代表的传统多边贸易规则体系陷入回应困局。通过深入比较美国、欧盟和中国规制跨境数据流动的不同模式,本文认为在解决跨境数据流动问题上,已出现兼容性区域贸易规则的演进趋势。为推动跨境数据流动多边贸易规则的形成,我国应进一步坚持多边主义立场,充分利用WTO的多边谈判功能,积极参与电子商务JSI等诸边协议的谈判;统筹安全和发展,采取务实和灵活的态度,在新的跨境数据流动多边规则中充分维护我国利益;同时,坚持总体国家安全观同步完善数据跨境流动的国内机制,以期构建我国治理跨境数据流动的一体化贸易规则体系。
关键词:跨境数据流动;数字贸易;诸边贸易协定;数据治理
一、问题的提出:通过贸易规则治理跨境数据流动
数字信息技术的创新发展深刻改变了当代经济结构和形态,不论是称之为信息经济、网络经济、数字经济、智能经济,本质上都是“数据经济”。数据不仅是经济活动的一种重要资源,也已成为创造私人价值和社会价值的重要战略资产。除了经济维度之外,数据往往还涉及保护个人隐私和人权,关乎社会达成决策共识以及维护重要国家安全利益,这种多维度的数据特性,导致各国对于数据收集、储存、移转、分析、使用等各个环节的规则制定都分歧重重,立场迥异。尽管如此,近年来数字贸易的迅猛发展,在极大提升全球贸易效率和规模的同时,也促进了各类跨境数据流动规则谈判的产生与达成。
梳理近期达成的重要贸易协定,一个明显的趋势是,通过贸易规则治理跨境数据流动。无论是2022年1月1日生效的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership, RCEP)、2020年7月1日生效的《美墨加协定》(United States-Mexico-Canada Agreement, USMCA),还是2018年12月30日生效的《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership, CPTPP),跨境数据流动都是其中的核心议题之一。在数字经济背景下,数字贸易和跨境数据流动本就一体两面、密不可分,针对跨境数据流动中的诸多新问题,国际贸易规则体系的路径依赖使之成为解决各国之间数据治理差异化诉求的首选。目前,跨境数据流动的贸易规则治理呈现两大特点,一是主要贸易大国如美国、中国和欧盟的数据治理范式分歧明显,形成新的“数字鸿沟”(digital divide),对既有的国际贸易规则体系提出了严峻挑战,以WTO为代表的多边贸易体制陷入危机;二是双边或区域性贸易协定不断发展,跨境数据流动的特别国际规则加速形成,这既可能进一步加剧多边贸易规则体系的碎片化,也可能为未来统一规则体系奠定基础。
本文将聚焦通过贸易规则治理跨境数据流动这一现实问题,分析卓有成效的多边贸易规则体系为何在规制跨境数据流动时陷入僵局,通过比较中国、美国和欧盟等主要贸易大国诉诸双边或区域贸易协定以塑造跨境数据流动规则的不同范式,提出中国继续坚持多边主义并促进跨境数据流动的具体方案。
二、多边贸易规则体系回应跨境数据流动的困局
WTO的多边贸易规则体系是国际关系法治化的标杆:不仅几乎所有的贸易问题都在WTO条约体制管辖范围内,而且与之相关的贸易争端都能够提交争端解决机构(Dispute Settlement Body, DSB)予以裁断,并通过赔偿和报复赋予强制约束力。在这个意义上,WTO规则体系有别于一般国际法,具有了某种“硬法”(hard law)的性质。不仅如此,WTO还是一个多边贸易谈判场所,理论上应该成为解决与数字贸易密切相关的跨境数据流动问题的最佳场所。事实上,WTO早在1998年就认识到了数字技术发展的重要性,设立了电子商务(E-commerce)工作组,试图推动贸易规则的回应性变迁。但经过20多年,仍进展缓慢,几无收获。
应该承认的是,在乌拉圭回合谈判时,没人能预测未来数字技术的破坏性创新对国际贸易产生的结构性影响,因此,现有的WTO贸易规则体系中并没有专门针对数据跨境流动的协定。但数字技术也并非无中生有,无论是信息硬件设备还是内容提供等软件服务,在原有的货物贸易协定以及服务贸易协定中均有涉及,加上WTO的一般例外条款以及准司法性争端解决机制,理论上WTO的贸易规则体系也具有对跨境数据流动问题的回应性。但这种规则调适(legal adaptation)非常有限,难以应对新型、复杂、多元的跨境数据流动问题。
(一)具体贸易协定的准用性
一般认为数字贸易往往不涉及实体货物的交易,但随着数字化进一步扩展,新一代信息产品中也内置了越来越多的软件支持、内容更新等服务提供。但由于难以将跨境流动的数据完全归类于相关“货物”,故GATT1994或《信息技术协定》(Information Technology Agreement)准用于跨境数据流动都会受到极大的限制。
更可能适用于跨境数据流动的是《服务贸易协定》(General Agreement on Trade in Services, GATS),其核心是市场准入及具体承诺表(schedules of specific commitments)。GATS中与数据流动有关的,缔约时放在计算机和相关服务(computer and related services)类别,其中包括数据处理服务(data processing services)。也许是在乌拉圭回合谈判时,计算机和相关服务在当时仍属于新兴产业,各国国内的监管和限制较少,欧盟、美国、日本和中国都对此作出了承诺。因此,如何界定“与计算机有关的数据处理服务”,就成为GATS能否适用于相关缔约方的一个重要前提。但实践中,WTO成员方往往通过对服务类别的解释来逃避GATS约束,比如欧盟的一个惯常技术手段就是将其要限制的服务归类于视听服务(audiovisual services),由于欧盟在视听服务中未作任何市场准入的具体承诺,当然就可以采取任何限制措施。
(二)WTO例外条款的包容性
WTO各项协议中都存在例外条款,如果符合例外条款,则有关限制数据跨境流动的国内监管措施将不构成违反WTO规则。就跨境数据流动而言,GATS第14条例外条款中“涉及公共秩序或公共道德”以及“为遵守法律法规所必需”最具相关性,其适用是为了协调多边贸易自由化与国内公共政策目标之间的冲突,既保障成员方善意行使例外条款的权利,又保持多边贸易规则的包容性和灵活性。然而从既往涉及GATS例外条款的争端来看,无论是美国博彩案还是中国出版物及音像产品案,争端解决机构都采取了严格解释,认为例外条款的要件没有得到满足。沿着这一裁判逻辑,GATS例外条款似乎也难以支持成员方限制跨境数据流动,即便是欧盟GDPR似乎也不满足GATS例外条款的适用条件。
(三)准司法功能的局限性
WTO的争端解决机制创新性地采取反向协商一致程序,使专家组和上诉机构报告得以自动通过,从而为成员方之间就协议设定义务的争端提供公正和终局的纠纷解决。这不仅为WTO规则体系的强制约束力提供了有力保障,也为规则体系提供了法律确定性,并促进了WTO规则体系的演进。但对于涉及高度复杂和技术性的数字贸易领域,明确实体规则的缺乏,远非争端解决机构定纷止争的司法功能所能弥补,甚至在某种程度上导致了WTO争端解决机制陷入危机。本质上,WTO争端解决的有效性只能建立在各成员方对特定议题达成共识、形成相对明确规则的基础上,指望通过准司法性的争端解决来推动新领域的贸易规则形成,就完全脱离了争端解决的正当性基础。WTO争端解决机制的局限性也决定了其对于跨境数据流动这样的新议题很难有所作为,明确的规则生成更加重要。
(四)WTO贸易规则演进的僵局
规制跨境数据流动更重要的仍是相关实体规则的生成,这取决于WTO缔约方改革其议事机制,有效形成政治共识,推动造法性多边谈判进程。前已述及,WTO早在1998年就启动电子商务新议题的谈判,试图在成员方之间形成包括数据跨境流动的明确规则,然而囿于其“协商一致”的多边谈判机制的内在缺陷而迟迟毫无进展。尽管协商一致模式能够保障所做出的决定获得广泛的支持和良好的执行,但其作为一种支持现状的决策模式,导致WTO决策过程繁琐和效率低下。尤其是当WTO成员方已经扩大到164个,各成员方之间经济发展水平不同,利益诉求迥异,在缺乏“一揽子”跨议题妥协的总体成本收益考量下,针对数字贸易等新议题更难以达成政治共识。
三、治理跨境数据流动的多层次贸易规则模式
当治理跨境数据流动的多边贸易规则无法及时有效回应数字贸易的现实需求时,各国便绕开了WTO的约束,出于个人信息保护、促进自由贸易、维护国家安全等不同侧重点,通过单边法规、双边或区域性贸易协定的方式形成规制跨境数据流动的法律框架,呈现出多层次的贸易规则模式。尤其是主要经济贸易大国,在跨境数据流动问题中采取了三种不同的路径。
(一)美国:贸易优先的自由流动模式
美国作为全球数字贸易的领先国家,一直秉持着经济优先的自由贸易理念。早在克林顿政府时期,在跨境数据流动问题上即主张“最大可能的跨境信息自由流动”,确保“各国的监管差异不会成为实质的贸易壁垒”。2002年美国进一步提出了“数字议程”(Digital Agenda),在WTO多边谈判之外另辟蹊径,通过一系列的双边和区域性自由贸易协定的载体推进跨境数据自由流动。在美国贸易协定中,市场准入是核心关注,潜在的原因是美国互联网企业全球领先,具有明显的竞争优势,需要更加自由的贸易协议去开辟他国市场。这在很大程度上也导致了数据(信息)自由流动成为美国贸易协定的一项基本原则。在具体规则设定上呈现为两个层面:一方面强调个人(消费者)的数字产品和服务的选择自由,另一方面则限制国家对数据流动的管控。
最为典型的是2012年生效的《美国和韩国自贸协定》,在第15.7条“为电子商务目的接入和适用互联网的原则”中,包含了诸多消费者选择性数字权利;在国家层面,其第15.8条则首次明确载入了“信息自由流动”条款,虽然没有强制约束力,但充分体现了美国的立场,为之后的双边和区域性自由贸易协定跨境数据流动条款奠定了基础。
(二)欧盟:人权优先的域外管辖模式
一直以来,欧盟都坚持数据权利是个人的基本权利(fundamental right),在数据流动问题上采取人权优先的规则模式。对于欧盟境内的数据流动,采取“数字单一市场”战略,要求成员国在保护个人基本权利和自由尤其是涉及处理个人数据的隐私权的前提下,允许个人数据在成员国之间自由流动。对于与第三国之间的数据流动,欧盟则要求该第三国对个人数据提供与GDPR同等水平的充分保护(an adequate level of protection),且是否满足“充分保护”的条件,是通过所谓做出“充分性决定(adequacy decision)”,由欧盟自主判断。不仅如此,GDPR还具有广泛的域外适用效力,“即使数据控制者或处理者不在欧盟设立”,只要是“为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或对发生在欧洲范围内的数据主体的活动进行监控”,GDPR都将适用。本质上,欧盟人权保护优先模式同样也是一种单边主义立场,是一种以自身人权价值取向为名义的数据流动限制性措施。这也决定了欧盟对于贸易规则治理跨境数据流动的审慎态度。
(三)中国:安全优先的属地模式
我国在2016年通过的《网络安全法》中第一次明确提出了跨境数据流动“本地储存、出境评估”的制度,以数据主权为基础,强调安全优先的属地管理模式。数据主权源自传统国家主权理论,指一国对于国内产生的数据拥有管辖和支配的权力,对外享有排除他人干预的最高国家权力,以彰显国家在数据管理上的独立性与自主性。在跨境数据流动问题上,体现数字主权的重要规则表达就是数据本地化措施,即要求本国数据必须在本国境内进行存储和处理,这与数据自由流动模式形成鲜明对比。
数据本地化作为严格限制跨境数据流动的一种属地规制模式,将地域性的传统主权观念照搬至全球性的现代数字经济,容易产生安全与发展之间方枘圆凿的冲突。尤其当跨境数据流动本身就构成服务贸易模式的跨境提供时,成员国立基数据主权对跨境数据流动的国内法措施,就会直接或间接影响其对贸易协定中“市场准入”等承诺的遵守。这也导致不少国家在自由贸易协定中禁止数据本地化,主张数据本地化构成一种新型贸易壁垒。我国当前面对的贸易自由往来需求与数据主权之间的张力也愈发强烈。一方面,我国落后于以美国代表的技术强国,亟需数据自由流动带来的深层次技术革新,又需要数字贸易达成的多元化行业合作,采用社会本位论将信息流通的价值推至首位;另一方面,我国在立法、执法、司法方面落后于以欧盟为代表的发达国家,亟需国家转变消极的“守夜人”角色,采取强有力的规制手段保护处于弱势地位的数据人,通过行业自律、立法完善、责任救济、国际软法以及双边或多边条约等方式,平衡和消解跨境数据流动中的紧张冲突。
(四)兼容性区域协定的贸易规则演进
尽管在规制数据跨境流动上,存在着自由流动、人权保护与安全优先的三种模式,但在晚近的区域性贸易协定中,已经体现出三种模式一定程度上的融合。例如美国作为全球主要互联网巨头和数字服务商的所在国,一直强调出口导向,倡导数字市场开放,主张数据自由流动。但在最新的一些贸易协定中,无论是与欧盟之间的隐私盾协议,还是USMCA,也同时写入了数据保护的条款。欧盟作为最大的数字产品和数字服务市场之一,主要是数字贸易的接收端,在数据问题上以保护其消费者权利作为首要原则,但在与澳大利亚、新西兰和突尼斯的贸易协定草案中,写入了禁止数据本地化措施并推动数据自由流动的条款。中国也提出促进数字时代互联互通倡议,支持加强数字经济国际合作,包括参加或加入相关区域性贸易规则的谈判,所加入的RCEP中也规定了禁止数据本地化和承诺数据自由流动。
因此,理论上,跨境数据流动与数据主权之间并非完全不相容。从国际贸易规则的角度来看,主权原则主要体现为缔约方或成员方对相关领域采取监管或限制措施的自主权。基于同意而缔结的条约,即便限制了缔约国采取某些措施或管制的“主权”,那也属于缔约国行使主权的结果。当前,在区域贸易协定的谈判中,已经逐渐形成了兼容性的贸易规则体系,其中成功的经验就是例外条款的引入,以回应多价值维度的跨境数据流动。
与CPTPP和USMCA相较而言,RCEP在数据跨境流动方面的保留范围较大,赋予了缔约国更大的监管自主权,通过宽泛的例外条款来平衡数据流动和数据主权之间的张力。RCEP作为一个区域贸易协定,主要宗旨还在于开放市场、促进发展,并深化区域经济一体化。RCEP的一个巨大进展就是在电子商务章节中分别写入了禁止本地化措施条款和承诺数据自由流动条款,体现出更加宽松的数据跨境流动立场。当然,RCEP为了顾及“缔约方间不同的发展水平,对适当形式的灵活性的需要”,扩张了跨境数据流动的例外条款。如对于禁止本地化措施和承诺数据自由流动的两项规定,都包含了内容相同的两项例外:一是“任何该缔约方认为是实现其正当的公共政策目标(legitimate public policy)所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用”。而且,判断实施此类正当的公共政策目标必要性的权力,也应当由实施政策的缔约方决定。二是“该缔约方认为对保护其基本安全利益(essential security interests)所必要的任何措施。其他缔约方不得对此类措施提出异议”。这同样也是一个缔约方自我裁断的例外,与WTO协定中例外条款的第三方判断和严格适用颇不相同。总体上,RCEP作为区域贸易协定最终生效,展现了在不同发展水平的缔约方之间,能够达成贸易规则,适用于兼具经济因素和非经济因素的跨境数据流动。
四、从诸边贸易协议到多边贸易协定的中国方案
我国主动加入RCEP,意味着我国在跨境数据流动上的态度转变,更加统筹考虑安全和发展,采取了更加积极的态度看待数字经济背景下的跨境数据流动。不仅如此,我国已经正式对外宣布,将积极推进加入CPTPP和DEPA,坚定不移推动高水平开放。作为参与全球经济治理的战略部署,我国一直以来都反对保护主义、单边主义,维护以世界贸易组织为核心的多边贸易体制,同时也坚持规则导向,由国际社会共同制定规则来完善全球治理。因此,在数字贸易规则形成的重要时期,我国应进一步坚持多边主义立场,积极利用WTO的多边谈判功能,在电子商务议题上以诸边协议谈判推动多边贸易规则体系的完善。
(一)积极参与电子商务JSI等诸边协议的谈判
前已述及,WTO在过去二十多年中一直无法推动任何一轮重要谈判形成结果,主要原因在于其成员方众多,利益诉求分歧巨大,协商一致的谈判方式成为规则难产的根源。为了避免决策僵局,具有共同诉求的部分成员方在2017年的布宜诺斯艾利斯第11次部长级会议上就采取了一种新路径,即联合声明行动(Joint Statement Initiatives, JSI)谈判方式。
JSI实为诸边协议谈判(plurilateral negotiation)的一种工具。诸边贸易协定能够补充或者强化现有WTO规则,或者在WTO规则范围之外的领域创设规则,这对于提升全球贸易体系治理具有重要作用。诸边贸易协定的特点在于:一是能为特定议题或领域内问题的解决铺平道路;二是能灵活选择参与方;三是为绕开协商一致的决策难题提供了选择;四是可以灵活应对产业界不断变化的需求;五是为未来多边规则制定打下基础。
2017年12月,71个WTO成员方发起了电子商务JSI,“为WTO将来的电子商务贸易谈判启动探索性工作”,其中包括欧盟和美国。到2019年1月,中国加入电子商务JSI,76个WTO成员方再次声明,欢迎“尽可能多的成员方参与,寻求实现既有WTO协议和框架下的高水平结果”。截至目前,已有86个WTO成员方参与讨论,占全球贸易总额的90%。电子商务JSI讨论的主题涵盖了数据贸易的各种相关问题,包括跨境数据流动、源代码、数字产品的非歧视等。从目前谈判各方所提交的讨论文件来看,分歧较大。
(二)电子商务JSI中有关跨境数据流动规则的立场建议
推动WTO电子商务JSI谈判,旨在融合双边或区域性的碎片化跨境数据流动规则体系,以形成具有交互操作性的数字贸易多边规则,从而便利贸易,促进发展。在我国提交给电子商务JSI的声明文件中,对于数据流动问题,认为应以安全为前提,遵守各国法规有序流动。2021年12月电子商务JSI的共同发起人申明中,各方已经在八个条款上达成共识,接下来将加大努力,力争在2022年达成数据流动的规则条款。基于前文的讨论,笔者建议,应进一步统筹安全和发展,采取务实和灵活的态度,在跨境数据流动规则中维护我国利益。主要包括以下三个方面:
一是坚持数据保护条款,建立相互承认机制。数据保护是体现数据不同于单纯货物或者服务的重要方面,是建立数据流动的互信前提。在目前各国的双边和区域性贸易协定中,对于数据保护也有共识,主要的分歧在于以什么标准保护数据?换句话说,各国不同水平的个人信息保护如何建立相互承认的机制?值得注意的是,在最新的区域性协定中,对于数据保护的标准问题,都采取了灵活处理,引入“国际标准”来建立不同国家个人信息保护法之间的兼容性。不同缔约国法律制度之间的相互承认机制,实际上也是WTO体系中既尊重缔约国监管自主权,又减少贸易壁垒的经验。因此,我国同时也要重视和参与相关国际组织和国际性专业协会在有关数据流动上的标准设立。当前我国已经出台较为完善的《个人信息保护法》,一方面,这将为我国获得个人信息保护的充分性认定提供坚实的法律基础;另一方面,该法第38条第3款将“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”作为个人信息跨境流动的条件之一,以避免我国公民个人信息流向“保护洼地”,从而将承认数据处理者所在国的个人信息保护水平作为其中一个重要考量因素。
二是同步规定数据流动与例外条款。从目前参与电子商务JSI谈判的WTO成员方的立场来看,无论是在双边和区域性贸易协定中就数据流动所做的承诺,还是参与电子商务JSI谈判所提交的声明,数据自由流动和禁止数据本地化已成为较为普遍的实践。已经对中国生效的RCEP和中国正式申请加入的CPTPP,均规定了如上条款,从协调条约与国内法关系的务实角度考虑,在例外条款的安全阀机制下,我国可支持数据自由流动和禁止数据本地化条款。在这一点上,例外条款的包容性是关键。可以预判的是,对比RCEP和CPTPP中对公共政策目标或措施的“正当性”和“必要性”宽泛表述,电子商务JSI中可能会进一步明确限定政策目标或设置较高水准的“必要性测试”。但只要同步设立相应的例外条款,就将有力保障我国对数据流动的监管自主权。
三是规定发展中国家和最不发达国家的特殊和有差别待遇条款。特殊与差别待遇是WTO的重要基石,也是WTO促进发展的原则体现。我国在电子商务JSI声明中也强调,要跨越“数字鸿沟”,建立电子商务发展项目,为发展中国家和最不发达国家提供支持,提升其电子商务能力水平。RCEP和CPTPP分别对柬埔寨、老挝人民民主共和国和缅甸以及文莱达鲁萨兰国和越南都延期适用了相关条款。当然我国所面临的争议焦点是,我国能否在此问题上被视为发展中国家?从目前WTO规则体系来看,并没有对“发展中国家”进行界定,允许成员国自我指涉。实践中,即便自称为发展中国家,也并不必然导致其他成员国的认可。但无论如何,规定发展中国家的特殊和有差别待遇条款,将更好地协调WTO成员方之间的经济水平差距,推动建立更广泛的多边规则。
(三)坚持总体国家安全观同步完善数据跨境流动的国内机制
全面贯彻落实总体国家安全观,必须坚持统筹发展和安全两件大事,既要善于运用发展成果夯实国家安全的实力基础,又要善于塑造有利于经济社会发展的安全环境。中国是数据资源大国,正在开辟一条具有中国特色的数据治理道路,既不同于美国跨境自由流动模式,也没有移植欧盟“以基本权利保护作为价值根基,以欧洲法院的司法审查作为终极监管工具”的模式。在全球数字贸易和大规模跨境数据流动的变革时期,我国还需同步深化完善跨境数据流动的国内机制,以奠定塑造多边规则的基础。
一是统一关键政策,包括访问和共享数据的条件。跨境数据流动引起的权力结构改变既可能导致权力的集中,也可能导致权力的分散,这取决于矛盾双方的博弈结果以及关键政策的达成。尽量避免使用歧视性许可、认证和其他监管要求来限制数据本地存储;加强对数据价值和跨境数据流量的测度;就数字和数据相关权利及原则达成共识;加强平台治理;制定数据方面的标准等等。在实现上述优先事项的过程中,一国服务业政策透明程度至关重要,决定了市场的精准预期。
二是合理使用“白名单”和“负面清单”工具。一方面,尝试用白名单方式先行先试促进商业数据跨境流动。国家以自助原则获取数据安全的最终途径是数据本地化,如果每个国家都以强化数据本地化的方式对付其他国家,结果就会导致数据“安全困境”,数字贸易和跨境数据流动自由都无从谈起。RCEP服务贸易涉及条款中对于跨境数据限制主要包括机密信息与客户信息分类、特定信息处理以及数据跨境通路下公共电信网络参与,其本质都是对数据跨境采取十分严格的控制措施,而仅对企业运营数据提供正面许可,可尝试先从企业运营数据开始制定分级分类的白名单机制,让内控机制良好且只涉及经营信息的跨国企业信息自由流动起来,制定简明而准确的政策条款,尽量将跨境数据流动的标准及其适用企业的白名单在官方网站或在网上公报中公布,向公众或任何利害关系人公开。另一方面,针对数据企业明显危害国家安全和个人信息行为,则通过设置“负面清单”加以严格限制。
三是制定具有操作性的跨境数据流动执行细则。综观国际经验,跨境数据流动管理的每个手段和方式都需要具体的操作细则予以配合。我国在《网络安全法》《数据安全法》《个人信息保护法》中均有立法原则性规定,除了网信部门保证国家安全的底线外,还需要独立监管机构运用相关执行细则予以精准推动确需的跨境数据流动。但是当前诸如《个人信息和重要数据出境安全评估办法》《个人信息出境安全评估办法》等执行细则仍处于意见征求稿阶段而迟迟未能落地,不利于跨境数据流动活动安全有序地开展。
结 语
数据不同于普通物品,具有多重价值,对数据更好的理解是共享与汇聚,而非单纯交换。我们既不能以传统贸易类型、贸易额和贸易地点为主的方式给跨境数据治理提供依据,也不能简单地将适用于国际贸易的既定规则(如原产地规则)适用于数据。进一步来看,数据在任何环节流失便不可追偿,规制成本也相当高昂,对其采取“一刀切”的模式过于简单粗暴,面对不同场景的创新应用不利。数据的价值确定绕不开确权,却并不意味着必须确定谁“拥有”数据,而是应平等确定谁有权访问、控制、共享和使用数据,既保障数据人的基本权利,又保障互联网接入服务的终端用户的选择权,最大可能非歧视性地推动数字贸易和跨境数据流动的发展。从数字经济的全球化进展来看,只有形成统一的贸易规则体系,才能进一步促进创新和发展。我国应立足总体国家安全观,充分利用WTO的多边谈判场所,积极参与电子商务JSI的诸边谈判,共同推动各国之间关于数据跨境流动的多边贸易规则形成。