數字貿易背景下數據本地化法律問題研究

王 睿，宋興鴿

（沈陽工業大學文法學院，沈陽 110870）

我國《數據安全法》等法律形成數據出境監管機制的初步框架，以數據安全為原則，限制跨境數據自由流動，是保護國家主權、安全和發展利益的重要舉措。盡管對關乎國家安全的數據限制流通實質上形成了數據本地化，但是仍然具有合理與合法性。在跨境數據流動日益頻繁的當下，廓清數據本地化的性質，為數據本地化的立法提供合理證成，是促進跨境數據健康自由流動的重要前提。

一、數據本地化的基本概念

數據本地化的概念并不統一：吳玄認為數據本地化是主權國家進行數據管控的一種方式，要求數據控制者將在一國收集的數據（個人和非個人信息）存儲在境內，經審查可跨境傳輸。[1]陳詠梅、張姣則認為，數據本地化指一國要求收集或產生于該國的數據存儲于境內，并限制或禁止數據跨境流動。[2]韓靜雅則認為數據本地化是本地化貿易壁壘的新形式，包括數據中心本地化和數據本地存儲。[3]董靜然認為，數據本地化是指任何要求公司將存儲和運行的數據中心設立在一國境內的規則或政策。[4]數據本地化作為對跨境數據流動進行法律規制的措施之一，影響著數字貿易的發展。數據存在于互聯網體系架構中，要確定數據本地化的具體內涵需理解互聯網體系的架構。互聯網體系構架包括物理層、邏輯層、內容層。物理層處于最基礎地位，主要包括計算機、服務器等設施。邏輯層主要包括傳輸協議和標準，例如TCP/IP 協議。內容層包括經由互聯網傳輸的文字、圖片等信息和資料，其內容可以直接被人類所理解。[5]數據主要存在于互聯網內容層中，[6]通過程序處理后最終存儲于物理層。故此，數據本地化的規制對象主要是計算設施。數據本地化的概念也以設施本地化為核心。數據本地化的性質屬于國內法規政策，實施主體是國家，執行者是數據控制者。但是基于數據的流動性、可復制性特征，存儲于本國的原始數據仍然可能通過流動進而失去控制權，因此就需要限制其流動性。

二、數據本地化的性質

（一）貿易壁壘與數據本地化

貿易壁壘又稱貿易障礙，主要是指一國對外國商品勞務進口所實行的各種限制措施。GATT 旨在促進貿易便利化，通過約束關稅等措施促進國際貿易正常發展。然而隨著科技的發展，一些國家利用技術優勢搶占國際市場，并設置政策標準限制他國進入，阻礙貿易發展，形成了新的非關稅貿易壁壘，包括綠色貿易、技術性貿易、勞工標準等。數字時代，學者提出數字貿易壁壘，含義為采取關稅或非關稅措施限制數字貿易活動。[7]美國貿易代表辦公室（USTR）發布的2017 年國家貿易預測（NTE，national trade estimate）中將數字貿易壁壘分為四類，包括數字本地化壁壘、技術壁壘、互聯網服務壁壘、其他壁壘。USTR 發布的《2019 年全國貿易評估報告》，將印度、歐盟、印尼、中國和越南列為數字貿易領域壁壘最嚴重的國家或聯盟。由上述分析，文章將貿易壁壘的要件劃分為：以國內政策為表現形式、以貿易限制為規制方式、以維護本國產業貿易優勢為目標。數據本地化以國內政策為表現形式，通過對數字貿易中的跨境數據流動設置限制，從而實現維護本國利益，符合貿易壁壘的構成要件。

（二）數據本地化的性質

數據本地化在學者的論述中大多被認為是貿易壁壘，[8]不符合數字貿易的發展趨勢。從貿易壁壘的概念和構成要件出發，數據本地化屬于貿易壁壘的范疇。但是數據本地化仍然具有合法性與合理性。

在合法性方面，貿易自由化以主權國家存在為前提，即使是GATT 與GATs 等國際條約，也仍然承認國家基于安全條款所采取限制貿易的做法為合法。CPTPP、DEPA、RCEP 也規定國家可以基于合法公共政策目標限制跨境數據流動。在合理性方面，學者多以數據主權來論述。[9]數字貿易背景下，國家基于主權仍然可以制定符合本國利益的數據本地化政策。

此處需要澄清的一個問題是，網絡空間是否屬于主權國家管轄的范圍，有學者認為，將國家主權適用于網絡空間是對傳統威斯特伐利亞主權的突破。也有學者認為網絡空間的組成部分與活動受領土主權的支配，網絡空間的組成部分不能免于領土主權或免于國家管轄權的行使。[10]與數字貿易息息相關的是網絡空間的界定問題。數字貿易以互聯網信息技術為技術基礎，而網絡空間并非獨立之地，相反是國家領土的延伸。國家主權可以延伸至網絡空間，從基礎架構設施的權屬到互聯網與社會現實的交融，都證明著網絡空間并非獨立的全球公域。[11]網絡空間中的網絡主權具有傳統性與交互性。基礎設施架構可以適用傳統的主權理論，但是在邏輯與內容層，主權具有交互性，需要國際協商合作。[12]

理論層面主要存在數據主權與網絡主權的關系問題。有學者認為數據主權包含于網絡主權之中，網絡主權賦予政府在其境內執行自己的法律和控制數據。[13]同時也有學者認為網絡主權與數據主權存在交叉，側重點不同。本文同意下述觀點：數據主權與網絡主權各有側重，數據主權強調內容層，主要圍繞數據本身的問題，[14]而網絡主權則涵蓋物理層、邏輯層、內容層。網絡空間受國家主權的約束，而數據主權是網絡主權在大數據時代的表現，[15]表現為國家對數據的對內控制權和對外獨立性。[16]

三、數據本地化的法益目標

（一）維護國家安全

網絡時代，幾乎所有數據均存在于網絡設施中，網絡安全事關國家安全。由于數據跨境流動過程中存在的安全隱患不僅包括數據本身集合的隱患，也包括處理與存儲設施的隱患，數據本地化將數據處理和存儲的主動權掌握在國家手里，從內部保證了數據本身的安全。外部的數據安全威脅主要來源于網絡攻擊。

2013 年美國“棱鏡門”監聽事件凸顯了網絡安全維護的重要性。2022 年西北工業大學遭美國NSA網絡攻擊，相關數據信息被盜取并傳送回美國，嚴重危害了我國的網絡安全，是對國家安全的挑戰。對網絡安全進行維護和保障是我國重要的戰略，2021 年12 月，國家網信辦《“十四五”國家信息化規劃》強調要堅持安全和發展并重，加強網絡安全信息統籌機制建設，提升網絡安全自主防御能力。2022 年1 月，國務院《“十四五”數字經濟發展規劃》系統闡述了網絡安全對于數字經濟的獨特作用及重要性。在數字經濟安全體系方面，提出增強網絡安全防護能力、提升數據安全保障水平、切實有效防范各類風險的要求。2015 年7 月《中華人民共和國網絡安全法》開始施行，以法律形式保障網絡安全。此后國家連續頒布《數據安全法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《數據出境安全評估規定》等法律法規保障網絡數據安全。

（二）保護個人隱私

數據是信息的載體。在信息時代，個人空間與公共空間邊界模糊化，絕對的隱私概念受到沖擊，不斷分化。為了平衡信息流動與隱私保護，個人隱私中的非重要信息能夠自由流動。[17]本文以大隱私概念的分析視角，將個人信息包含于隱私范圍中進行論述。

跨境數據流動中的個人隱私問題不僅包括跨境數據流動中的隱私泄露問題，也包括接收方所在國信息保護標準不一致所引發的合法泄露問題。為此，數據本地化也成為個人信息保護的一種方式。[18]歐盟將個人隱私視為基本人權，重視對個人信息的保護，限制跨境個人數據流動，其《通用數據保護條例》（GDPR）將約束范圍擴大至任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織，并對其創設了個人信息保護義務，要求其接受隱私設計、指定數據保護人員或代表。相關企業需要滿足對個人信息提供充分性保護的標準或者提供適當保障措施。新加坡《個人數據保護法》（PDPA）第26 條原則上限制個人數據的跨境流動，除非符合PDPA 的相關規定。印度《數字個人數據保護法》規定個人數據傳輸至印度境外，需要經中央政府評估。個人數據保護在我國也受到重視。《數據安全法》《個人信息保護法》相繼頒布，規定對于敏感數據的跨境流動，需要經過申報評估；個人數據出境則須滿足安全評估、個人信息保護認證、在合同中約定相關權利義務等要求。2020 年9 月中國發布《全球數據安全倡議》，倡議各國承諾采取措施防范、制止利用網絡侵害個人信息的行為，為制定全球安全規則提供了藍本。

（三）保護本國企業利益

數據作為新時代的資源其重要性不言而喻。企業通過大數據分析人群偏好，制定符合市場要求的營銷政策，能夠增加企業營收、促進企業發展。然而數據資源也存在分配不均的問題。數據寡頭企業基于科技優勢，掌握海量數據信息，出于逐利的目的，壟斷數據市場，通過設置“數據屏障”等限制其他企業進入市場，將中小企業排除在市場競爭之外。

2022 年11 月1 日，歐盟《數字市場法》（DMA）正式生效。DMA 針對超大型數字平臺的壟斷行為進行特別規制，將其設定為守門人企業并明確其權利義務，推進數字市場公平競爭。2021 年2 月7 日，我國國務院印發《關于平臺經濟的反壟斷指南》（以下簡稱《指南》），指出要預防和制止互聯網平臺經濟領域的壟斷行為，并對其進行了詳細的界定和說明。2021 年6 月10 日《網絡交易監督管理辦法》發布，明確禁止電商平臺“二選一”，是對我國《反壟斷法》的進一步細化和落實。《網絡安全法》《數據安全法》《個人信息保護法》《數據出境安全評估辦法》等規范性文件確立了數據跨境傳輸分級分類處理制度，已經形成數據出境監管機制。《網絡安全法》規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，關乎國家安全的重要數據禁止流通。2021 年7 月2 日網絡安全審查辦公室對“滴滴出行”進行網絡安全審查，認為滴滴公司非法向美國提供國內乘客數據，其多項違法行為對于中國公民、中國國家整體信息安全構成了嚴重危害，對其做出80 億的行政處罰。

四、數據自由背景下的數據本地化

（一）跨境數據流動中的統一規則嘗試

2011 年世界貿易組織（WTO）多哈回合在磋商與服務貿易跨境流動有關的貿易壁壘議題時，因成員國持不同意見而未達成一致。2017 年，71 個WTO成員方發起電子商務聯合行動聲明（Joint Statement Initiatives,簡稱JSI），為WTO 將來的電子商務貿易談判啟動探索性工作，我國于2019 年1 月加入。電子商務JSI 涉及的主題涵蓋數據貿易各種相關問題，包括跨境數據流動在內，2021 年12 月電子商務JSI 的共同發起人聲明中，各方在線上消費者保護、開放政府數據等八個條款上達成共識。2019 年，76個WTO 成員簽署《電子商務聯合聲明》，確認啟動與貿易有關的電子商務議題談判。跨境數據流動被列為主要議題。2020 年，東盟十國和中國、日本、韓國、澳大利亞簽署《區域全面經濟伙伴關系協定》（RCEP），增加電子商務便利化的新規則，其核心在于增強貨物貿易、服務貿易等方面的市場開放。目前，國際層面關于跨境數據流動的規制問題未達成一致意見，有關跨境數據流動的規定僅僅形成于區域協定或者國內立法。國際層面上不存在對跨境數據流動進行規制的法律規則，基于跨境數據流動的貿易趨勢，有關國際組織呼吁各國對跨境數據流動采取更開放和更便利的態度，致力于形成跨境數據流動的統一解決方案。

（二）跨境數據流動統一規則的數據自由趨勢

國際層面不存在對跨境數據流動進行規制的統一立法，WTO 框架下GATT、GATs 的例外規定無法完全涵蓋各國對數字貿易中跨境數據流動的法律規制差異問題，[19]為了促進數字貿易的發展，區域間協定（RTAs）形式的區域貿易規則在各相關國家地區參與下制定形成，基于數字貿易經濟體量與國際影響，RTAs 規則條款出現國際化的趨勢。據此猜想，RTAs 可（USMCA）第19.11 條規定任何一方均不得禁止或限制通過電子方式跨境轉移信息（包括個人信息），第19.12 條規定任何一方不得要求受保人在其管轄區域內使用或定位計算機設備，以此作為在該管轄區域內開展業務的條件。此外，該協議也聲明將促成更加自由的市場、更加公平的交易以及更可持續的經濟增長。《數字經濟伙伴關系協定》（DEPA）以電子商務便利化、數據轉移自由化、個人信息安全化為主要內容，并就加強人工智能、金融科技等領域的合作進行了規定。第4.3 條規定每一締約方應允許通過電子方式跨境傳輸信息，第4.4條規定任何締約方不得要求一涵蓋的人在該締約方領土內將使用或設置計算設施作為在其領土內開展業務的條件。第9.4 條規定締約方認識到，跨境數據流動和數據共享能夠實現數據驅動的創新。DEPA 專章規定網絡安全與合作問題，著力構建更廣泛的信任環境，有關數據安全規則的議題契合我國數據安全訴求。[20]美國與歐盟《安全港協定》《隱私盾協議》的簽訂也是為了促進跨境數據在雙方數字貿易中的自由流動，促進貿易自由化。[21]通過對以上區域規則中關于促進跨境數據流動自由化等規則進行分析，可以得出區域立法國際化以及跨境數據自由流動的趨勢。[22]

（三）數據自由與數據本地化的平衡

由以上分析可知，數據本地化具有存在的合理與合法基礎。且數字貿易具有風險二重性，本身的風險與次生風險都要求對跨境數據流動進行全面完整的法律規制。[23]數字貿易中，跨境數據自由流動是趨勢，但是由于各國發展水平不一、經濟實力相差較大，單純強調數據自由可能會對不具有技術優勢的國家產生不利影響，影響國家安全、個人隱私、企業利益。

根據中國信息通信研究院2021 年發布的《全球數字治理白皮書》，2020 年全球數字服務貿易規模達31 675.9 億美元，增幅超過過去十年總和，數字服務貿易受疫情沖擊的影響最小。國家統計局數據顯示，2020 年全國電子商務交易額達37.21 億元，同比增長4.5%。我國作為最大的跨境電子商務市場，在保障數據跨境流動方面存在重大利益，對數字貿易中的跨境數據流動進行法律規制在我國受到重視。2017 年，“數字經濟”在政府工作報告中第一次出現，我國結合國內數字經濟發展實際陸續出臺《網絡安全法》《數據安全法》《個人信息保護法》《數據處境安全評估辦法》等法律法規，以及《網絡安全標準實踐指南- 個人信息跨境處理活動安全認證規范》《數據出境安全評估申報指南（第一版）》《個人信息出境標準合同規定（征求意見稿）》等規范性文件，形成數據出境監管機制的初步框架。同時我國也積極參與數字貿易的區域協定，為跨境數據流動貢獻中國智慧。2020 年9 月8 日，我國在“抓住數字機遇，共謀合作發展”國際研討會上提出《全球數據安全倡議》，呼吁各國秉持發展和安全并重的原則，平衡處理技術進步、經濟發展與保護國家安全和社會公共利益的關系。

國情實際是基礎，跨境數據流動法律規制要基于我國發展實際。目前，我國跨境數據流動以數據安全為立法原則、政府為統一治理主體、建立數據分級分類處理制度、事前風險防范與事后嚴厲懲罰并重，符合我國的國家利益和多變的國際環境，在風險與機遇并存的數字貿易中，我國尊重跨境數據自由流動的規律，同時也將國家安全利益放在首位，是適合我國國情的立法選擇。目前歐美等國家均在試圖將區域立法規則國際化，搶奪跨境數據流動法律規則制定的話語權，而發展中國家在跨境數據流動法律規制中的話語權一定程度上取決于國內的數據保護水平。我國作為世界上最大的發展中國家，關于跨境數據流動的法律規制起步較晚，法律框架較為簡單，關于跨境數據流動的法律規定不夠細化，仍然有發展的空間。隨著數字貿易中跨境數據自由流動的趨勢進一步明顯，在新一輪的數據博弈中，要充分利用我國的經濟和科技優勢，不斷完善跨境數據流動的法律規則，加強國際合作，在跨境數據流動領域制定符合發展中國家利益的國際規則。