世貿組織背景下中國數據本地化存儲要求的評析

李毅 王迪

摘 要：中國《網絡安全法》規定，“關鍵信息基礎設施的運營者”收集和產生的“重要數據和個人信息”須本地化存儲以及其跨境流動須經安全評估，這不僅符合中國在《服務貿易總協定》中作出的關于市場準入與國民待遇的承諾，也符合其中的例外原則，而且這更是國際上具有普遍性的做法。美國對于中國《網絡安全法》的指責是從其數據霸權的地位出發的，是服務于其政治經濟目的的。對于中國來說，統籌國際國內兩個大局及其世貿組織成員國的身份，要求中國與世界各國一道在制定系列配套法律以及執法過程中平衡好維護數據主權與促進國際自由貿易兩個方面，努力促進安全與發展目標的達成和人類福祉的提升。

關鍵詞：數據主權;數據本地化存儲;《網絡安全法》;世貿組織;《服務貿易總協定》

中圖分類號：D996.1???????? 文獻標識碼：A? ? ?文章編號：1673-8268（2019）04-0034-10

自中國《網絡安全法》頒布以來，2018年，歐盟《一般數據保護條例》也正式實施，其他一些國家如印度、越南等，也在維護數據主權以及數據本地化存儲立法方面做了一些工作。基于國家或共同體安全和保護個人信息的考慮，對數據存儲和跨境流動作出相應規范，已成為世界各國各地區的普遍做法。

但是在經濟全球化的背景下，在世界貿易組織的框架中，不可避免會存在對該政策可能會影響國際服務貿易的疑慮。如2017年，美國向WTO貿易服務委員會成員國控告中國，聲稱中國的《網絡安全法》及其一系列配套政策的有關規定將會阻礙數據跨境流動，從而影響到世貿組織框架下的服務貿易和在華外企業務的開展。其關切主要在于“網絡運營者”定義的寬泛性、“重要數據”與“個人信息”傳輸限制的嚴苛性與牽涉社會部門的廣泛性、隱私保護義務的繁重性與不必要性、安全評估標準與關鍵信息基礎設施定義的寬泛性與模糊性等。基于此，美國要求中國承擔服務貿易總協定規定的市場準入和國民待遇等方面的義務并暫緩發布和實施最終措施。其實早在2016年8月[1]以及2017年5月就分別有數十家外國團體和國際商業機構對中國的《網絡安全法（草案）》提出集體關切和質疑。

所以，在世貿組織的背景下對中國數據本地化存儲的要求做一番評析是必要的。

一、數據本地化存儲的要求與數據主權

數據本地化存儲的要求是在大數據時代隨著一國安全形勢的變化而產生的，是國家數據主權的體現。

網絡技術領域“云”概念的應用突破了對計算機硬件存儲器的需要，無數終端數據脫離硬件設備直接上傳存儲在國界線之上的“云”中，傳統意義上以國界線為終點的國家主權的行使在此失效，國家實質上喪失了對本質屬于國內的數據的控制權[2]，造成國家主權部分——所謂“數據主權”——缺失。這種狀況顯示出互聯網技術特征的原罪，這就是數據的所有權、使用權以及數據存儲的分離，從而使權利/權力識別和有效行使面臨困境[3]。

從單純強調互聯網主權，到意識到信息的重要性，再到網絡空間主權，最后到強調大數據的重要地位，計算機網絡領域的主權概念在我國的建立和發展是一個漸進的過程。2010年，國務院新聞辦公室發布《中國互聯網狀況白皮書》，明確宣示中國境內的互聯網屬于我國主權管轄范圍;2014年，習近平主席在巴西國會發表演講，提出“國家信息主權”的概念，強調國家信息主權權益不應受到侵犯。隨著大數據概念的提出和技術應用，“數據主權”的說法出現在國務院文件中，2015年，國務院發布了《促進大數據發展行動綱要》，促進大數據發展正式成為國家的行動方略。

而在學術界，有學者將數據主權限定為網絡空間中的國家主權[4]，但該觀點明顯忽視了大數據時代數據的來源不僅僅來自互聯網，空間技術、衛星傳播等也可以成為數據產生和流動的路徑，所以僅僅以網絡空間框定數據主權的涵義較為片面;另外有學者主張，數據主權是一國獨立自主對本國數據進行管理和利用的權利[4]，該觀點沿用傳統主權理論，避開了對數據主權管轄范圍的討論，但又把主權限定在對數據進行管理和利用的內容上，忽視了與之相關的技術、設備等[5]。

實際上，還有學者對數據主權作廣義和狹義的兩種理解，認為廣義的數據主權包括國家數據主權和個人數據主權，兩者相互依存，互為實現的前提和支撐[6]。狹義的數據主權則不包括個人數據主權，即用戶對其數據的自決權和自我控制權[7]，僅僅指國家數據主權。

但大部分學者也能同意數據主權指一個國家對其政權管轄地域范圍內個人、企業和相關組織所產生的數據擁有的最高權力[8]這樣一個定義，并且回歸主權的本義從對內控制權和對外獨立性兩個層次來理解[8]，即數據主權是國家最高權力在數據領域的具化，具有獨立性、自主性和排他性的特征。在本國數據領域踐行傳統國家主權理論以確保國家對本國數據擁有獨立自主開發、管理和處置的最高權力[9]是應有之義。

二、中國涉及本地化存儲要求的國內立法之主要內容及其立法目的

（一）中國涉及本地化存儲要求的國內立法之主要內容

《網絡安全法》是在網絡技術高速發展與網絡立法規制碎片化雙重作用下產生了一些新的社會問題的背景下出臺的。相關立法不健全、規范層級低、政出多門、以行政指令為主，網絡管理的工作重點依舊停留在對網絡公司的管理和對涉黃違法信息的監控，對于一些新的問題，比如跨國網絡犯罪和信息竊密則沒有涉及[10]。

關于我國的數據本地化立法，在國家安全層面上，《國家安全法》要求對關鍵基礎設施和重要領域信息系統及數據實現安全可控。據此精神于2016年7月頒布的《網絡安全法》第37條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。”從而針對個人信息和重要數據確立了以境內存儲為原則、安全評估后向境外提供為例外的跨境數據傳輸制度。當前，與之相配套的一系列法律法規標準已經制定出來或正在制定當中，如《個人信息和重要數據出境安全評估辦法》《信息安全技術 數據出境安全評估指南》《關鍵信息基礎設施安全保護條例》和《網絡關鍵設備和網絡安全專用產品目錄》等，增強了《網絡安全法》的可操作性。

此前，在我國一些特定行業的立法中也有關于數據本地化存儲要求的先例。2011年央行發布的《關于銀行業金融機構做好個人金融信息保護工作的通知》、保監委發布的《保險公司開業驗收指引》、2013年國務院《征信業管理條例》、2014年國家衛計委發布的《人口健康信息管理辦法（試行）》、2015年國務院《地圖管理條例》、2016年發布的《網絡預約出租汽車經營服務管理暫行辦法》、廣電總局與工信部2016年發布的《網絡出版服務管理規定》等都不同程度地提出了服務器和設施本地化的要求，有的則明確禁止在本國收集的數據出境。

認真分析《網絡安全法》可以看出，中國的數據本地化存儲要求可以說是剛柔相濟：對于個人信息和重要數據，不存在只要達到既定的保護標準就可以跨境流動的數據目的國，這是其剛性的一面;同時又有所變通，“因業務需要，確需向境外提供的”，可以通過安全評估跨境流動，這是其柔性的一面。從另一個角度看，要求數據目的國建立高標準的保護措施不會比要求通過安全評估更具歧視性。

所以，基于數據跨境流動的貿易服務的提供在我國《網絡安全法》框架下仍是可以實現的，只不過涉及“重要數據”與“個人信息”的須經過安全評估。同時，歐盟于2018年10月正式通過了《非個人數據自由流動條例》，該條例針對非個人數據明確指出數據本地化規則的弊端， 要求確保在歐盟成員國實施數據自由流動[11]，其靈活性、區別對待的精神與中國《網絡安全法》的精神是一致的。

（二）中國數據本地化存儲要求的立法目的

入世之后，我國按照世貿組織的系列規則不斷深入對外開放，各領域對外交流與合作不斷加深。一方面，這是順應全球化趨勢與促進國際貿易發展的要求，是統籌國際國內兩個大局的體現;而另一方面，在對外開放的過程中，在信息技術水平相對不高并且尚未建立相關完善的法律保障體系的情況下，也必然導致整個經濟社會面臨各種不確定性的挑戰。

1.維護國家安全

針對某國公私部門的網絡攻擊與一國防范敵對勢力竊取本國涉密信息的技術發展自網絡誕生至今一直是依存伴生的，二者是一種此消彼長的關系，是網絡領域國際競爭的表現。國家互聯網應急中心的監測數據顯示，2018年，我國境內有23 462個網站遭到篡改，其中有799個政府網站;針對境內網站的仿冒頁面數量為55 180個;約944萬個終端遭到病毒感染，其中約616萬個IP地址對應的主機被木馬或僵尸程序控制服務器控制，境外木馬或僵尸程序控制服務器主要分布在美國、日本，控制境內主機數量居前列的主要是美國、中國香港、加拿大等國家和地區有關數據為本文作者根據國家互聯網應急中心發布的《互聯網安全威脅報告》整理計算得出。（參見http：//www.cert.org.cn/publish/main/45/index.html）。一些針對工業控制領域發動的網絡攻擊事件也頻頻發生，如美國紐約鮑曼水壩防洪控制系統遭受攻擊、烏克蘭電網因惡意程序“黑暗勢力”的變種攻擊發生供電故障等。而且中國還是高級持續性威脅（APT）組織的主要攻擊對象，大部分APT 組織都對我國境內目標發動了攻擊，涉及到多家政府部門、高校以及能源、航空、電信等重要信息系統部門[12]。同時，網絡上暴力、黃色、反動等信息以及謠言、非法宗教宣傳等也會造成極大危害。

可以說，只要國家間利益沖突的現象存在，甚至只要有國家存在，針對他國的公私部門進行網絡攻擊以及從意識形態進行文化宣傳以獲取秘密信息、危害他國國家安全的現象就會不斷發生。《促進大數據發展行動綱要》指出：“數據已成為國家基礎性戰略資源。”國家安全的內涵和外延以技術水平為界限被大大展開，一個國家、一個企業的利益和前途很大程度上可以用其數據汲取能力和數據保護水平來定義和闡述。從商業利益到政治利益，從政治經濟到社會文化，數據保護是這個時代國家安全戰的前線，對某些關鍵數據的保護是必不可少的。在這種背景下，國家實際上承擔起巨大的網絡防務壓力，這需要我國在不斷提高網絡科技水平的同時，通過各種途徑規制對外開放背景下危害國家安全的各種因素。事實上，我國在不受黑客影響的量子通信技術方面已經取得了突破。

2.保護個人數據

保護個人信息對于數據本地化存儲的要求實際上是從用戶隱私角度出發對國內外相關主體無實質歧視的同一規定，主要目的是保護公民權不受侵犯與防止用戶經濟損失，甚至保護其生命安全。

近年來，國內外個人數據信息泄露事件逐年增多，對公民隱私權、財產權甚至生命權造成極大危害，在政治、經濟、社會層面造成極端不良影響。2016年，美國總統大選“郵件門”嚴重影響了希拉里的選情;雅虎因先后兩次泄露涉及約15億的個人賬戶信息導致威瑞森收購雅虎計劃擱置，在2017年最終完成收購后，威瑞森又表示所有30億雅虎用戶的個人信息被泄露。2016年，我國免疫規劃系統網絡被惡意入侵，致使20萬兒童的信息被泄露并被公開售賣;信息泄露導致精準詐騙案件頻發，如“徐玉玉案”等。根據公安部“凈網2018”專項行動統計，僅2018年一年，公安部門就偵破公民個人信息被竊取買賣案件5 000余起，抓獲犯罪嫌疑人1.3萬余名，偵破黑客攻擊竊取數據案件2 000余起，抓獲犯罪嫌疑人2 000余名。

要求境外貿易服務提供者對個人信息進行本地化存儲同樣也是出于對人權的尊重，與此同時并非完全禁止個人信息及數據跨境流動，安全評估是尊重人權的應有之義。

三、中國數據本地化存儲要求的合法性分析——是否符合基于WTO協議承擔的相關義務

（一）中國的數據本地化存儲要求與《服務貿易總協定》中所承諾的義務

中國依據《服務貿易總協定》（GATS）及《入世議定書》履行了在服務貿易領域給予WTO其他成員方國民待遇、市場準入的義務，在有關國內立法方面也作出某些承諾。

1.國內法規

《服務貿易總協定》第6條第1款規定，每一成員應保證所有影響服務貿易的普遍適用的措施以合理、客觀和公正的方式實施。

其實，我國對于重要數據與個人信息本地化存儲以及跨境流動須經安全評估的要求的實施是否符合合理、客觀、公正的要求是一個程序問題，這不僅在表述上可以推出，而且在WTO貿易爭端解決機制框架內的判例也可佐證。在“美國：影響賭博和博彩服務的跨境提供的措施案”中，專家組認為《服務貿易總協定》第6條第1款并非指向有關措施的實質內容，而主要針對的是其實施程序。同時，有學者認為，根據以往判例，投訴一個WTO 成員的行為不公正或不合理是一種嚴重的指控，所以投訴方根據《服務貿易總協定》第6條第1款對中國提出的指控，應當進行與這一指控相一致的充分舉證，來證明中國本地化存儲政策要求的實施方式的確使其公司在市場競爭中受到了不利影響;而從中國政府的角度看，如果能夠證明該要求的實施方式與世界上大多數或者相當一部分國家類似，無疑有助于避免被視為不合理、不客觀、不公正[13]，這一點將在本文第四部分詳述。

2.市場準入

《服務貿易總協定》第16條規定，對于市場準入，每一成員對任何其他成員的服務和服務提供者給予的待遇，不得低于其在具體承諾減讓表中同意和列明的條款、限制和條件，不得就服務提供者的數量、服務交易或資產總值等六個方面維持或采取任何限制性措施。

在減讓表中，在《服務貿易總協定》所規定的四種服務提供方式下，增值電信服務包括電子郵件、電子數據交換等七項內容。中國對需要本地化存儲的“關鍵信息基礎設施的運營者”收集和產生的“個人信息和重要數據”的跨境流動要求進行安全評估，沒有低于減讓表中的對于任何一種服務提供方式下任何一項業務內容的承諾，反而會因嚴格的數據類別限定使某些外國企業的服務貿易過程更加規范化，實際上這項要求并沒有對市場準入義務的承諾造成任何不利影響。

3.國民待遇

《服務貿易總協定》第17條規定，對于列入減讓表的部門，每一成員在影響服務提供的所有措施方面給予任何其他成員的服務和服務提供者的待遇，不得低于其給予本國同類服務和服務提供者的待遇。

《網絡安全法》對中外企業提供服務貿易共同適用、同等對待，在實質上不存在造成外國服務貿易提供者相較本國提供者處于一個不利地位的疑問。事實上，在資本全球化的今天，國際投資規模、范圍不斷擴大，程度不斷加深，單純的本土企業已經很少了，需要進行重要數據與個人信息跨境流動的企業都必定是有國際競爭力的大企業，而能與它們競爭的主要營業地在國內的企業或多或少都有外資持股或者在境外有子企業，如阿里巴巴前兩大股東是軟銀與雅虎，持股比例為44.2%，這還是在阿里上市后持股比例有所下降的情況下;而騰訊第一大股東南非MIH集團持股比例也達到了33.93%。這些有外資持股或在境外設立了子企業的國內公司在實際運營過程中也必然涉及到數據跨境流動，在涉及到重要數據與個人信息時，它們也同樣適用《網絡安全法》。

4.關于電信服務的附件

《服務貿易總協定》的電信服務附件將《服務貿易總協定》有關公共電信傳輸和服務措施進行了詳細規定，具體包括對電信服務的范圍含義進行了界定、對有關電信服務的透明度和進入使用以及國際技術合作需求作了要求和規范，同樣并未在《服務貿易總協定》減讓表之外要求承擔義務。其第5條有關成員在公共電信傳輸網及其服務的準入和使用方面的義務構成了該附件的關鍵內容，其中（c）款規定，每一成員應保證任何其他成員的服務提供者可使用公共電信傳輸網絡和服務在其境內或跨境傳送信息。同時（d）款規定：盡管有上一項的規定，但是一成員仍可采取必要措施，以保證信息的安全和機密性，但此類措施不得以對服務貿易構成任意的或不合理的歧視或構成變相限制的方式實施。在4.1.2與4.1.3中已經論證了數據本地化存儲與安全評估數據跨境流動的要求符合我國所作的市場準入與國民待遇承諾，是非歧視的。

同時，中國《網絡安全法》要求本地化存儲并對要求跨境流動的個人信息和重要數據進行安全評估絕對不會比歐盟對數據目的國越來越高的保護標準要求更具歧視性，不斷提高的保護標準也會使人產生這是否實質上限制了服務貿易的疑問，因此，我們不能將歧視的概念無節制地濫用。

（二）中國的數據本地化存儲要求與《服務貿易總協定》中的例外規定

《服務貿易總協定》第14條一般例外條款規定，在某些情況下成員國所作的承諾可以有所例外，如為保護公共道德或維護公共秩序、為保護個人隱私和個人賬戶的機密性。但同時《關于基礎電信談判的附件》第5條又規定，只有在社會的某一根本利益受到真正的和足夠嚴重的威脅時，方可援引公共秩序例外條款。但同一條下的安全條款則又追加例外規定：不得要求任何成員提供其認為如披露則會違背其根本安全利益的任何信息。

我國立法將“關鍵信息基礎設施的運營者”收集和產生的“個人信息和重要數據”進行本地化存儲、確需跨境流動的須經安全評估的要求是適用于例外原則的。首先，這是維護公共道德與公共秩序、保護個人隱私與賬戶機密性所必需的措施。我們無法確定在電信詐騙猖狂泛濫的今天如果不加謹慎評估就允許個人信息流向境外會不會導致甚至比徐玉玉事件還惡劣的侵犯人權的案件，比如近些年頻發的跨境（臺灣東南亞地區）電信詐騙案件，這對社會秩序與公民基本權利的威脅與侵害已經足夠嚴重。其次，在此基礎上，我們甚至可以援引一般例外條款的（b）款：為保護人類、動物或植物的生命或健康所必需的措施。最后，安全例外條款將某些信息的披露是否會損害一國根本安全的判斷權交給了援引國，即“其認為”的表述的內涵。

四、中國的數據本地化存儲要求的合理性分析——當前的國際實踐及趨勢

雖然中國國內法被某些國家指責違反有關國際條約、協議，就像美國指責中國《網絡安全法》將會阻礙數據跨境流動，由此影響以之為基礎的特別是外國企業的服務貿易的提供一樣，但在本文第三部分已經證明我國關于數據本地化存儲的政策要求首先是符合基于WTO協議承擔的相關義務的，具有合法性。再者，從國際實踐看，我們的做法也是合理的，外國的質疑是可以澄清甚至可以被反質疑的。

（一）數據本地化存儲的國際實踐

數據本地化要求將數據存儲在本國的數據中心，謀求達到諸如保障國家安全和個人隱私、便利本國執法、促進本國產業發展的政策目標[14]。圍繞國家安全的主題，各國政府在斯諾登事件前后開始對數據安全、數據主權的議題更加關注，紛紛采取了不同限制程度的數據本地化措施。如印度尼西亞2012年通過的《電子系統與交易操作政府條例》（Government Regulation Concerning Electronic System and Transaction Operation，2012）要求公共服務的電子系統運營者應當把數據中心設置在本國境內;俄羅斯2015年9月1日生效的《個人數據法》規定，“運營人應確保使用位于俄羅斯聯邦境內的數據庫以記錄、系統化、積累、存儲、澄清（更新或修改）和取回俄羅斯聯邦公民的個人數據”，亦即必須將俄羅斯公民的個人數據保存在俄境內的服務器上;2016年，伊朗要求外國即時通訊應用公司必須將伊朗用戶數據存儲在伊朗境內;2018年7月，印度專門成立的高級別委員會發布了《2018年個人數據保護法案》，規定個人數據應確保在位于印度的服務器或數據中心存儲至少一份服務副本。

所以從國際范圍看，本地化存儲是合理的、慣常的。事實上，據統計，目前全球有超過60個國家作出了數據本地化存儲的要求，其中既包括歐美發達國家，也包括亞非發展中國家與轉型國家。，如圖1所示，顏色越深，表示該國家或地區數據本地化規定越嚴苛

（二）限制數據跨境流動的國際實踐

數據本地化存儲與數據跨境流動既有聯系又有不同。簡單說，對數據有本地化存儲要求不一定意味著禁止數據跨境流動。如印度《2018年個人數據保護法案》，其對個人數據有本地化存儲的要求，但是除其中的關鍵個人數據僅能在位于印度的服務器或數據中心中處理不得出境外，其他個人數據是可以有條件出境或沒有限制的[16];俄羅斯關于個人數據的跨境傳輸主要受規制于2006年生效的《個人信息保護法》，其精神是對于為個人數據提供充分保護的國家可以自由傳輸，否則必須基于個人的書面同意[17]。相似地，歐盟從《安全港協議》和《數據保護指令》到《隱私保護協議》和《一般數據保護條例》，都要求數據目的國能對跨境流動的數據安全提供高標準的保護，而韓國在2011年通過的《個人信息保護法》（Personal Information Protection Act，2011）同樣規定數據的流動必須獲得數據主體的同意。

事實上，在國際實踐中，大部分國家只對某一類或幾類關鍵數據的跨境流動進行限制。如澳大利亞在2012年通過的《個人控制電子健康記錄法案》（Personally Controlled Electronic Health Records Act，2012）專門針對個人電子健康記錄作出了禁止出境的規定，要求不得將醫療信息記錄移至澳大利亞境外，更不得在境外加工處理這些信息;意大利、匈牙利等國禁止將政府數據存儲于國外云服務提供商的服務器中;印尼在立法中要求交易數據必須存儲在境內;澳大利亞規定，對于屬于安全分類的數據，必須儲存在政府部門的云數據庫中，嚴禁在任何離岸公共云數據庫中存儲;美國在進行外資安全審查之后要求簽署的“安全協議”應體現“禁止外資通信公司將用戶的通信數據和個人數據存儲在境外”的規定條款;美國《出口管理條例》（The Export Administrative Regulations，EAR）對部分重要數據的出口進行許可管制，要求必須取得相關部門頒發的許可證才可以出口;2016年，谷歌向韓國政府申請將韓國的地圖數據向境外數據中心輸出，韓國政府認為，谷歌在韓國擁有較大的市場占有率，將本國地圖數據輸出境外將影響國家主要設施的安全，所以要求谷歌首先對韓國國內的重要設施進行模糊化處理。2017年5月1日，美國信息技術與創新基金會（ITIF）發布了一份關于跨境數據流動的報告，對世界有關國家限制數據跨境流動的種類作了詳細的介紹，主要限制數據有財會稅務類、個人類、電信類、新興數字服務類、政府和公共類以及其他類。

（三）小 結

有學者總結，在現階段，各國在數據主權和數據跨境流動方面的核心在于謀求對本國數據的排他性最高控制權。這不僅體現出各國對于獨立發展本國數據產業的需要，而且更體現出各國對于國家主權、對于本國有權根據自己的意志自行決定如何制定法規制度而排除任何外部勢力干涉和支配的宣示[9]。還有學者指出，除法理之外，對數據跨國流動進行限制也可以是基于道德倫理的要求。對于侵害文化倫理、道德價值觀的數據不得傳入境內。此外，數據的跨境流動也應堅持對等原則，凡是對本國公民和團體的數據權利加以限制的，應予以同等對待[19]。此外，還有學者認為，當今關于數據主權在國際上的立法表現為三種趨勢[20]：一是限制重要數據跨境出口，維護本國數據安全;二是通過對個人數據本地化存儲的立法調整，強化對數據的控制;三是延伸對數據的域外管轄權，從屬地主義擴大到屬人主義。

這些都可以證明中國數據本地化存儲與重要信息跨境流動須經安全評估的要求與世界上大多數或者相當一部分國家類似，是國際上普遍的做法。

我們發現，圍繞數據本地化存儲與數據跨境流動議題進行反復交鋒實際上形成了兩種訴求相反的共同體，一方是美國數據霸權，“911”事件之后，美國國會通過《愛國者法案》，以愛國反恐的名義為聯邦政府搜集處理全球范圍內的私人數據提供了便利，為警察機關監控有關個人信息如私人電話、私人郵件、消費記錄等大開方便之門。對于企業，美國情報機構可直接進入微軟、雅虎、谷歌等跨國互聯網公司的服務器和數據庫獲取位于歐洲數據中心的數據，實質上相當于撕毀了《安全港協議》。自2016年12月1日開始，美國聯邦調查局根據修訂后的《聯邦刑事訴訟程序規則》第41條，將在獲得搜查令后，“進入”網絡獲得相關的證據，而無論遭入侵裝置的具體地理位置。從最直接的結果看，美國的聯邦調查局僅僅憑借美國某個洲，乃至某個地區司法機構簽發的搜查令，就可以“合法”地入侵其他地區、其他州、乃至其他國家的網絡設備。2017年2月，費城地方法院裁決，要求谷歌提供儲存在境外服務器上的該公司客戶郵件，以便美國聯邦調查局（FBI）展開欺詐案的調查工作。加利福尼亞州地方法官認為，如果谷歌能夠在美國境內自有機器上提取信息，此類信息就理應屬于美國法院管轄范圍。此外，由于信息提取自山景城谷歌總部，不應被視為海外信息，與微軟隱私案中提及的將信息存儲在愛爾蘭的情況有所不同，最終谷歌還是按照政府要求提供了搜查令中規定的所有Gmail賬戶和郵件信息。2017年10月6日，美國發布新《美國自由法》草案，更新并重新授權了《外國情報監聽法》（FISA）第702條，目的是為查明和遏制針對美國國家和公民的恐怖主義威脅收集位于美國境外的非美國人通信，這使美國國家安全局（NSA）和FBI的監控合法化。另一方是美國之外的其他國家，他們起碼能在這樣的描述上達成與美國相對立的共識：這些國家追求對本國數據的保護，以保證不會被用于不利于國家與民眾的目的，在此基礎上再進行跨境流動與利用。

五、世貿組織背景下數據本地化存儲與自由貿易的協調

（一）數據本地化的困境與數據主權的對抗

雖然本文從國內立法本身的內容與配套措施的完備、世貿組織框架內對承諾的國民待遇與市場準入等義務的遵守、國際上類似立法的普遍性、反對數據霸權等角度，論證了“關鍵信息基礎設施的運營者”收集和產生的“個人信息和重要數據”須本地存儲以及其跨境流動須經安全評估的政策要求的合法性與合理性，但數據本地化的實踐仍面臨著雙重困境：正如前文所述，數據天然無國界，可以在全球范圍內自由使用，云技術的出現則更加方便了數據的跨境操作，同時電子商務跨境業務的發展也催生了跨境收集和處理用戶信息的極大需求，所以基于規范數據流動的制度設計也必須界定明確、設計嚴密以便于執行[14]，即個人信息與重要數據的明確界定、以何種具體方式獲得數據主體的同意等必須明確化。

此外，過于強調本國的數據主權將會導致對抗狀態[5]。首先，強調數據主權絕對獨立將導致多重管轄權沖突。在大數據時代，數據流動牽涉到多方跨境主體，流動范圍遍及全球。由于數據是完整的、不可分割的，只要數據一跨境便會導致國家管轄權的重疊，并由此產生主權沖突。在此情形下，法律多重適用將導致服務商趨易避難，逃避較為嚴格的數據保護國內規制，從而影響本國數據安全;其次，如果政府傾向于對數據實施絕對的單邊控制，這實際上將侵犯公民個人權利;最后，產生物極必反的效果。

（二）世貿組織背景下數據本地化存儲與自由貿易的協調

有不少外國學者認為，數據本地化存儲抑制了數據流動的天性，破壞了開放互通的互聯網架構，與全球化世界中各種要素高速流動的需要和現實背道而馳，將會嚴重影響產業發展和技術進步。有研究指出，數據本地化存儲的措施將造成一國GDP的損失，如對歐盟、印度、中國、俄羅斯的GDP將分別降低0.48%、0.25%、0.55%、0.27%[21]。我們可以注意到，這些研究報告中經過合理建模所量化出來的“精確”的結果是一種純技術層面的考量，沒有注意到如果完全放任一國內的所有信息或者數據跨境流動，不僅在技術水平不高、法制不健全的國家或地區可能引發違法犯罪現象，而且也是對公民權利尤其是隱私權的肆意踐踏。

就像在經濟領域市場政府兩只手要相互搭配一樣，世貿組織框架下全球范圍內的數據流動也要找到自由貿易與數據主權的那一個平衡點，其主要思路是：基于網絡空間的雙重屬性，在堅持網絡主權、數據主權的前提下求同存異、爭取共識，對不同種類數據區別對待，以謀求自由貿易的推進，人類福祉的提高。

毋庸置疑，網絡空間作為一種特殊空間，兼有現實性和虛擬性的雙重特點，因而也是兼具主權與公域的雙重屬性[22]。同理，對于各種數據，一方面，數據是虛擬的，不存在于一個有明確界限的空間之內，由跨越國境的各有關主體共享。雖然數據關系到所有國家和地區的利益，但任何政府都無法實現對其單獨、絕對的控制。但另一方面，數據也具有主權屬性。一國政府有權對產生和流經其管轄范圍的數據行使主權，對管轄范圍外的數據甚至可以依據國際法對其進行管轄。

同時，圍繞數據本地化存儲與數據跨境流動議題也就是“數據主權”進行反復交鋒則形成了兩大陣營，一方是美國數據霸權，另一方是通過各種形式保護本國數據的國家。兩大陣營在短期內完全消除分歧是不現實的，這其實是由美國處于信息技術水平絕對領先地位決定的。

因此，當前比較現實的策略是在堅持網絡主權與數據主權的前提下求同存異、爭取共識，循序漸進地向構建多邊共贏的國際網絡治理模式推進，在世貿組織框架下做好適當安排，進行區別對待，關注成員國對國家安全、公民隱私與經濟發展的三重關切，努力搭建一個公平合理的世界經濟舞臺，共同致力于人類福祉的提升。

六、結 語

包括數據主權在內的網絡主權，在中國現在所處的發展階段承擔著促進國家發展和維護國家安全的雙重目的[23]，此外也是捍衛公民權利的著力點。

針對國際上的疑慮，就《網絡安全法》本身來說，它至少有2個配套國家戰略、6個配套規章和規范性文件、2個配套立法草案、15個配套國家標準草案和3個國家標準立項，通過這些配套法律法規標準的細化，《網絡安全法》的可操作性將會增強、爭議性將會消減。

就中國在世貿組織框架內所作出的承諾來說，首先，作為有可能影響服務貿易的國內立法，根據GATS專家組判例，其實施是否符合合理、客觀、公正的要求只是一個程序問題，并且需要指控一方充分舉證。其次，在市場準入方面，數據跨境流動不會對市場準入義務的承諾造成任何不利影響。再次，在國民待遇方面，由于國際投資的擴大，有外資持股或在境外設立了子企業的國內公司在實際運營過程中也必然涉及到數據跨境流動，外國服務貿易提供者實際上與國內競爭對手處于同等地位;此外，關于電信服務的附件承認了成員國可采取必要措施以保證信息的安全和機密性的權利。最后，國內公共道德與公共秩序所面臨的威脅已經足夠援引一般例外的原則，并且安全例外的原則可否援引的判斷權在援引一方手中。所以，在GATS框架內，中國有足夠的合法性實施《網絡安全法》及其數據本地化存儲的要求。

就國際范圍內的實踐及發展趨勢來看，首先，數據本地化存儲是合理的、普遍的;其次，大部分國家只是針對某些重要數據作了限制流動的要求;再次，國際范圍內的實踐表現出反對美國數據霸權的突出特征;最后，從發展趨勢上看，大部分國家都存在加強對本國數據控制的傾向。所以，國際范圍內的實踐證明中國有足夠的合理性實施《網絡安全法》及其數據本地化存儲的要求。

總之，中國《網絡安全法》的有關措施不僅符合中國在GATS中作出的關于市場準入與國民待遇的承諾，也符合其中的例外原則，而且這更是國際上具有普遍性的做法。美國對于中國《網絡安全法》的指責是從其數據霸權的地位出發的，是服務于其政治經濟目的的。對于中國來說，統籌國際國內兩個大局及其世貿組織成員國的身份，要求中國與世界各國一道在制定系列配套法律以及執法過程中平衡好維護數據主權與促進國際自由貿易兩個方面，努力促進安全與發展目標的達成、人類福祉的提升。

參考文獻：

[1] 米強.中國網絡安全規則將阻礙增長[EB/OL].（2016-08-12）[2019-03-10].http.//www.ftchinese.com/story/001068889.

[2] DE FILIPPI P， MCCARTHY S. Cloud Computing. Centralization and Data Sovereignty[J]. European Journal of Law and Technology，2012（2）：15.

[3] PETERSON Z， GONDREE M， BEVERLY R. A Position Paper on Data Sovereignty： The Importance of Geolocating Data in the Cloud[C]//Proceeding of the 8th USENIX conference on networked systems design and implementation. Boston， MA： USENIX，2011.

[4] 曹磊.網絡空間的數據權研究[J].國際觀察，2013（1）：56.

[5] 孫南翔，張曉君.論數據主權——基于虛擬空間博弈與合作的考察[J].太平洋學報，2015（2）：64-68.

[6] 蔡翠紅.云時代數據主權概念及其運用前景[J].現代國際關系，2013（12）：59.

[7] TRACHTMAN J. Cyberspace， Sovereignty， Jurisdiction， and Modernism[J]. Indiana Journals of Global Legal Studies，1998（2）：566.

[8] 沈國麟.大數據時代的數據主權和國家數據戰略[J].南京社會科學，2014（6）：115.

[9] 吳沈括.數據跨境流動與數據主權研究[J].新疆師范大學學報（哲學社會科學版），2016（5）：115-116.

[10]王英良.云時代中國數據主權與安全研究[D].沈陽：遼寧大學，2015：30.

[11]吳沈括.歐盟《非個人數據自由流動條例》研判[J].網信軍民融合，2018（10）：43.

[12]國家計算機網絡應急技術處理協調中心.2016年中國互聯網網絡安全報告[R].北京：人民郵電出版社，2017：15-31.

[13]黃志雄.互聯網監管政策與多邊貿易規則法律問題探析[J].當代法學，2016（1）：64.

[14]李海英.數據本地化立法與數字貿易的國際規則[J].信息安全研究，2016（9）：783-785.

[15]Albright Stonebridge Group. Data Localization： A Challenge to Global Commerce and the Free Flow of Information[EB/OL].（2015-10-06）[2019-03-10].https：//www.albrightstonebridge.com/files/ASG%20Data%20Localization%20Report%20-%20September%202015.pdf.

[16]洪延青.印度《個人數據保護法（草案）》的數據本地化規定[EB/OL].（2018-08-01）[2019-03-29].https：//mp.weixin.qq.com/s？__biz=MzIxODM0NDU4MQ==&mid=2247485371&idx=1&sn=a30d076a27b0e6a1cc9ecec1f4e65807&chksm=97eaba51a09d334752cd161f8c6d6cb896fb23aa36bb95beda56583bfc37e4398221fcca41c6&scene=21#wechat_redirect.

[17]洪延青.俄羅斯數據本地化和跨境流動條款解析[EB/OL].（2018-10-19）[2019-03-29].http：//wemedia.ifeng.com/82823041/wemedia.shtml.

[18]Information Technology & Innovation Foundation. Cross-Border Data Flows： Where Are the Barriers， and What Do They Cost？[EB/OL].（2017-05-01）[2019-03-10]. https：//itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost.

[19]齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則[J].蘇州大學學報（哲學社會科學版），2015（1）：68.

[20]何波.數據主權法律實踐與對策建議研究[J].信息安全與通信保密，2017（5）：8-9.

[21]BAUER M， FERRACANE F F， VAN DER MAREL E. Tracing the Economic Impact of Regulations on the Free Flow of Data and Data Localization[C]//Global Commission on Internet Governance Paper Series. Ontario： CIGI，2016：10.

[22]馬新民.網絡空間的國際法問題[J].信息安全與通信保密，2016（11）：28.

[23]黃志雄.網絡主權論——法理、政策與實踐[M].北京：社會科學文獻出版社，2017：153.

An Analysis of Chinas Requirement for Data Localizationin the Context of the WTO

LI Yi1，WANG Di2

（1.Law School， Beijing Normal University， Beijing 100875， China;2.School of Government， Beijing Normal University， Beijing 100875， China）

Abstract：

Chinas “Cyber Safety Act” stipulates that “important data and personal information” collected and generated by “operators of critical information infrastructure” must be stored locally and the cross border flow of such information must be subject to a security assessment. This stipulation is not only in line with the principle of exceptions and Chinas commitments made in GATS concerning market access and national treatment， but also is a common practice in the international community. The U.S. accusation of Chinas “Cyber Safety Act” starts from its status as a data hegemony and serves its political and economic purposes. For China， the requirement of coordinating the overall situation at home and abroad as well as the membership of WTO requires that China， together with all other countries in the world， should strike a balance between safeguarding the sovereignty of data and promoting international free trade in the legislative and law enforcement process， and strive to help to achieve security and development goals and enhance human well-being.

Keywords：

data sovereignty; data localization; “Cyber Safety Act”; WTO; “General Agreement on Trade in Services” （GATS）

（編輯：劉仲秋）

收稿日期：2019-03-12? 修訂日期：2019-04-26

基金項目：國家社會科學基金重大項目：國際法與國內法視野下的跨境電子商務建設研究（17ZDA141）

作者簡介：李 毅（1970-），男，河南光山人，副教授，碩士生導師，法學博士，主要從事國際法、國際關系研究;王 迪（1993-），男，山東濟南人，碩士研究生，主要從事周邊關系研究。