數字貿易規則中的數據本地化問題探究

薛亞君

摘 要：目前，全球數字貿易規則正在逐步構建的過程中，數據本地化措施成為國際社會關注和爭論的一個熱點問題，各國的態度存在明顯差異。美國主張跨境數據自由流動，反對數據本地化措施，歐盟強調對區域安全和個人隱私有影響的數據應當采取本地化措施，而許多發展中國家則偏好數據本地化措施。我國應當在兼顧數據安全與經濟發展的前提下，對相關數據進行分類監管，以確定我國數據本地化措施的范圍。

關鍵詞：數字貿易;數據本地化;跨境數據流動

近年來，數字技術推動了數字貿易的興起。美國商務部的數據表明，2014年美國數字服務貿易已經突破了其服務貿易總量的一半。而我國商務部研究院發布的《全球服務貿易發展指數報告2018》指出，2018年中國跨境進口零售電商交易規模高達4216.7億元。數字貿易的發展呼喚全球數字貿易規則的建立，而在全球數字貿易規則形成的過程中，跨境數據流動與數據本地化要求成為了各國爭議的焦點之一。

數據本地化，是指要求收集或產生于某國或地區的數據存儲于該國或地區境內的服務器之中。在數字化時代，云計算資源以離散的方式分布于云系統之中，相關數據存儲處于動態之中。數據本地化主要是為了應對數字技術的發展給法律監管帶來的沖擊，以維護國家和個人數據的安全。但數據本地化的要求會對數據的跨境傳輸造成影響，因而各國出于自己利益的考慮，對數據本地化有不同的態度。

一、美國積極倡導個人數據跨境自由流動

美國是數字技術和數字經濟最發達的國家，2018年全球十大互聯網企業中，美國就占了6位。為了維護美國企業在大數據方面的國際競爭力，美國一直致力于在數字貿易國際規制中建立跨境數據的自由流動，因而反對數據本地化措施。

在美國的推動下，1980年經合組織（OECD）通過了《關于保護個人隱私與數據跨境流動的指南》（《OECD指南》），其中第三章規定，成員國應采取適當措施以保證個人數據跨境流動自由，反對以保護個人隱私為由對個人數據跨境流動進行限制。2004年的《APEC隱私保護框架》則以《OECD指南》為參考，目的是促進成員方信息共享，推動亞太地區無障礙的跨境數據流動。但上述兩份文件都只是倡導性文件，并不具有強制約束力。

近年來，為了構建符合自身利益的國際數字貿易規則，美國開始在各種雙邊和多邊自由貿易協定（FTAs）談判中引入跨境數據自由流動的相關議題。2012年《美—韓自由貿易協定》的第15.8條中規定“應盡量避免對跨境數據流動施加不必要的阻礙”，而《跨太平洋貿易與投資伙伴關系協定》（TPP）、《跨大西洋貿易與投資伙伴關系協定》（TTIP）和《服務貿易協定》（TISA）談判中，跨境數據自由流動也一直是美國最重要的關切。TPP的14.13.2和TISA的電子商務章都明確提出：締約方不應將供應商購買本地服務或設置本地基礎設施，作為市場準入的前提條件。

特朗普總統上臺后，出于黨派利益和競選承諾的考慮，宣布退出TPP，TTIP和TISA談判也遭到擱置，但這并不表示美國對推動跨境數據自由流動和反對數據本地化的態度發生了變化。在2018年的《美國、墨西哥、加拿大協議》（USMCA）談判中，特朗普政府一再向加、墨兩國施壓，并最終在協議中確定了“跨境數據自由流動”和“數據存儲非強制本地化”的要求。與此同時，2018年3月，美國國會頒布了《澄清合法利用海外數據法》，授權美國執法部門從互聯網服務提供商處獲取其存儲于境外的電子數據.

美國反對數據本地化的理論基礎之一是技術中立原則。該原則強調技術只是一種工具，無所謂好壞，好或壞的結果主要取決于人對技術的使用方式以及使用方向，技術本身不應當對結果承擔責任，強調數據本地化會對新技術的發展帶來不利影響。美國反對數據本地化的另一個理由，是認為數據本地化實質上屬于一種貿易壁壘，是不正當競爭的表現，數據本地化要求會提高美國企業的相關運營成本，對美國企業造成不利的影響。

二、歐盟對個人數據跨境自由流動持謹慎態度

由于歐盟數字技術和數字經濟的發展落后于美國，同時歐洲歷史上一直非常看重個人隱私保護，歐盟對跨境數據的自由流動持謹慎態度，在與美國進行的各種貿易談判中，一直強調數據本地化措施的適當納入。

對于美國提出的反對數據本地化的技術中立原則，歐盟認為技術并非是中立的，因為技術除了內在價值之外，還有社會價值，對技術的使用必須要考慮其社會影響。云技術使得數據能夠在瞬間從一地傳輸到另一地，因而個人信息和個人隱私很容易受到侵犯。采取數據本地化措施，可以將相關數據限制在歐盟境內，從而減少由于數據跨境傳輸而給歐盟及其公民帶來的危害。2013年，棱鏡計劃的曝光進一步推動了歐盟數據本地化的進程。在歐盟內部，德、法兩國一直對數據本地化持支持態度。出于對美國電子監聽的戒備，德國開始建立國家層面的專門網絡以存儲本地數據。而法國則投資1.5億歐元用以構建獨立于美國技術的云計算基礎設施。法國工業、能源與數字經濟部部長強調，法國的目標是在境內建立數據服務器基礎設施，以實現法國的數字主權。

鑒于數據跨境傳輸面臨著數據在未經授權的情況下，存在收集、訪問、使用、披露和篡改的潛在威脅，歐盟開始考慮數據脫離歐盟管轄區的實際風險，數據跨境傳輸規則日趨嚴格化。早在1995 年，歐盟即發布了《個人數據保護指令》（EU Directive 95/46/EC），頒行了較高的數據保護標準，提出了著名的"充分保護原則"。《指令》第25條規定：只有當數據轉移目的國達到歐盟所認可的充分保護水平的條件下，才可以進行數據轉移，從而確立了歐盟個人在電子商務和借助大跨國公司經營的社交媒體和郵件通信時的隱私權保護規范。歐盟承認的具有充分數據保護能力的國家僅包括瑞士、加拿大、阿根廷等12 個。

為了因應大數據、云計算、智能終端等新興技術對個人數據保護造成的沖擊，建立統一的內部法律框架應對新技術的挑戰，克服成員國各自立法保護水平差異給數據經濟市場發展造成的障礙，歐洲議會和歐盟理事會于2016年4月通過了新的個人數據保護法，即《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR）。2018年5月，GDPR正式實施，該條例規定了個人數據訪問權、可攜權和刪除權等權利，進一步提高了對個人數據存儲和處理的成本，要求相關企業在確保歐盟成員國公民隱私的前提下，才可以將數據向歐盟之外的國家流動。而在TTIP和TISA談判過程中，面對美國的壓力，歐盟也堅持有限制的跨境數據自由流動，并主張在出于“正當公共政策目標”考慮時，應當允許數據存儲本地化。

雖然針對美國這個數字技術強國，歐盟一貫堅持數據本地化措施，但在和數字技術、數字經濟沒有那么發達的發展中國家進行磋商時，歐盟則顯示了雙重標準。例如，歐盟在和越南進行貿易談判時，不接受對方提出的針對歐盟企業的數據強制本地化要求。再如，在2015年的一份貿易壁壘相關的報告中，歐盟委員會指出俄羅斯強制數據存儲本地化的做法是一種貿易壁壘，該報告同時還批評了中國的數據本地化措施。

三、部分國家主張限制個人數據跨境自由流動

其他國家出于本國利益的考慮，也各有自己的訴求。例如，俄羅斯從數據主權、信息安全、隱私保護等目的出發，強制要求相關組織機構將數據的存儲和處理在俄羅斯境內進行，為了應對數據安全的威脅，俄羅斯的《信息、信息技術和信息保護法》第16條規定，信息系統的運營方有義務將收集、整理的俄羅斯公民的個人數據存儲于境內的服務器，《俄羅斯聯邦個人數據法》第18條也提出了同樣的要求。

而印尼、馬來西亞、越南等國也和俄羅斯持同樣的態度，例如越南要求谷歌、Facebook等互聯網公司必須在越南境內設置數據存儲中心。印尼也提出不管是外國銀行還是互聯網公司，只要屬于數據攜帶者，就應該在印尼境內設置數據存儲中心。

這種過于絕對的做法存在一些嚴重的弊端，因為對于企業而言，要求所有數據的存儲、管理和處理只能在一個國家進行，會阻礙企業利用云技術的分布式特征所帶來的成本和速度的優勢，從而使企業的正常運營受到嚴重影響。俄羅斯等國過于閉關自守的數據流動管理方式，導致許多國外互聯網企業被迫退出這些國家的市場，也使得他們的本土互聯網企業失去了和國際一流的互聯網企業進行學習和交流的機會。

還有一些國家，例如澳大利亞、日本、新加坡、新西蘭等，即沒有美國那樣強大的數字技術而無法對跨境數據自由流動表示完全贊同，也認識到過于嚴格的數據保護會對互聯網經濟產生不利后果，因而在這個問題上更傾向于折中態度。這些國家一般主張，為了實現合法的公共政策目標，可以實施數據本地化措施，對跨境數據的流動做出適當限制。例如澳大利亞對相關數據采取分類管理，禁止金融數據、個人健康數據等數據跨境流動，同時將政府數據分為無需額外保護的數據和需要額外保護的數據，對于前者允許跨境流動，而對后者則采取保護性標識和不同的管理措施。

四、我國應對個人數據跨境自由流動的策略

對于數據存儲本土化問題，我國采取的做法與歐盟有些類似，但更側重于網絡安全的維護。《網絡安全法》第37條規定，關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。如果確實需向境外提供的，應當進行安全評估。

這種做法主要出于三方面的考慮：首先，相較于美國，中國的數字存儲技術起步較晚，也相對落后，數據本地化措施可以讓國外企業在進入中國市場時使用中國本土的云計算企業，從而促進我國云計算產業和數字存儲產業的發展。其次，考慮到“斯諾登事件”的影響，我國擔心一些重要數據被美國竊取而導致對國家安全的威脅。此外，數據本地化要求還可以使得我國政府在偵查一些有害信息時更加迅速和便利，從而避免或減少國外的不法攻擊帶來的損害。

需要注意的是，歐盟GDPR中過高的個人數據保護標準，已經對歐盟數字經濟和數字貿易的發展產生了一些不良影響，使得歐盟企業在與美國同行的競爭中常常處于劣勢地位。過于強調網絡安全，也將損害到中國數字經濟的競爭力和數字貿易的發展。本文認為，對于數字存儲本地化問題，我國可以有以下應對之策：

（一）數據主權優先、兼顧經濟發展

數據主權優先是各國的共識，國家安全應當是跨境數據流動問題上首先需要確定的原則，但我們也應當認識到對跨境數據流動的過分限制會影響經濟的發展。例如印度尼西亞過于保守的數據本地化措施使得其GDP減少了約0.7%，而相關投資則減少了2.3%左右。

目前，我國已經是全球數字技術的主要參與者之一，并且發展潛力巨大，中國與美國的數字化程度也正在縮小。對于我國互聯網企業而言，數據的收集能力是企業競爭力的體現，推動跨境數據的流動對我國電商企業的發展非常重要。我國的電子商務平臺正處于向海外擴張的過程中，在阿里巴巴集團的倡導下，2017年，電子世界貿易平臺（eWTP）第一個海外“數字中樞”在馬來西亞落地。2018年，阿里巴巴又和盧旺達政府在簽署共建eWTP的協議，這是eWTP首次在非洲國家落地。同時，阿里云、騰訊云等云服務提供商也已經在美國、澳大利亞、中東等地布局數據中心，因此，對于中國而言，過于嚴格的數據本地化措施并不符合本國的利益，我們不能像俄羅斯那樣要求所有跨境數據都要進行本地存儲，相比較而言，澳大利亞、日本等折中型的價值取向會是比較好的做法。

（二）數據分類監管

數字經濟時代，使人們有機會輕松享用各種服務的背后其實是數據的流動。因而與數據轉移相關的立法應當是基于對數據泄露、數據濫用行為的震懾，而不是對數據的應用、轉移、處理和共享設置過高的門檻。

對于數據的存儲和流動是否采取強制性的本地化措施，應當進行分類處理。對于政府數據、軍事數據、重要的經濟數據、個人信息敏感數據（例如與基因、醫療、銀行賬戶密碼相關的數據），應當禁止跨境流動，只能在境內的數據中心進行本地化存儲和處理。對于《網絡安全法》第37條所規定的關鍵基礎設施運營者所搜集的數據應當施加一定的限制，可以進行跨境流動的，應當予以安全評估。目前國家互聯網信息辦公室已經公布了《個人信息和重要數據出境安全評估辦法（征求意見稿）》，以及《信息安全技術數據出境安全評估指南（草案）》，后者在附錄A中詳細列舉了多個行業的重要數據類別以供參考，兩個草案目前都還在征求意見中。需要注意的是相關的評估辦法應當考慮到數據的即時消費性，或許某一數據在當天屬于敏感數據或者具有巨大價值，但24小時后或1個月后情況就會發生根本的變化。因而應當在兼顧國家安全和經濟發展的前提下，對數據進行適當的處理。至于其他數據，則可以在堅持“安全評估為例外”的原則下，尋求數字安全與數字自由貿易之間的平衡點。

（三）引導相關企業加強自律性

國家應當采取相關措施，引導從事數字貿易的相關企業加強自律性，在注意數據來源合法性的同時，防止數據的跨境轉移可能會給國家安全和個人隱私造成的損害。此外，還需要提醒從事數字貿易的企業經常關注國外的相關規定。例如，與俄羅斯、印尼、越南有業務往來的企業應當注意這些國家強制數據存儲本地化的要求，而與歐盟來往較多的跨境電商平臺和外貿企業，則需要注意GDPR合規性的要求，以避免因為合規性問題而遭受不必要的處罰。

（四）積極參加數字貿易國際規則的制定

當前，全球數字貿易規則正在逐步成型的過程中，以美國、歐盟為首的發達國家紛紛搶占相關規則制定的主導權。為此，我國也需要提早進行部署，以防在新規則的制定中處于被動地位。一方面，我國可以借助國際組織平臺積極參與相關議題的磋商，在新規則的制定中加強自己的話語權。另一方面，我國還可以通過區域全面經濟伙伴關系（RCEP）談判、亞太自由貿易區（FTAAP）談判或者一些雙邊自由貿易談判等，嘗試構建符合我國利益的數據本地化規則。我國還可以利用“一帶一路”政策的契機，與相關國家開展數字貿易規則的討論，尋求與他國建立數據共享機制。

參考文獻：

[1]周念利，陳寰琦，王濤.特朗普任內中美關于數字貿易治理的主要分歧研究[J].世界經濟研究，2018（10）.

[2] 彭岳.數據本地化措施的貿易規制問題研究[J].環球法律評論，2018，（2）.

[3] 胡煒.跨境數據流動立法的價值取向與我國選擇[J].社會科學，2018（4）.

[4] 王志安.云計算和大數據時代的國家立法管轄權——數據本地化與數據全球化的大對抗？[J].交大法學，2019（1）.

[5] 周念利，李玉昊.全球數字貿易治理體系構建過程中的美歐分歧[J].理論視野，2017（9）.

[6]陳詠梅，張姣.跨境數據流動國際規制新發展：困境與前路[J].上海對外經貿大學學報，2017，（6）.

[7] 鄧文.數據本地化立法問題研究[J].信息安全研究，2017，（2）.

[8] 何波.俄羅斯跨境數據流動立法規則與執法實踐[J].大數據，2016（6）.