数字贸易协定 | DEPA和CPTPP给国内数据本地化和跨境流动管控预留的“自由度”
发布日期:2021-10-31
来源:数字科技说
关于《数字经济伙伴关系协定》(DEPA)的介绍,可见崔凡老师的文章【重磅:中国宣布决定申请加入《数字经济伙伴关系协定》】。DEPA中数据本地化和跨境流动的条款,与CPTPP的条款一致,如下:
DEPA的Article 4.3是数据跨境条款:
DEPA的Article 4.4是数据本地化条款:
本文不讨论CPTPP中存在的不符措施、政府信息和金融信息的例外、安全例外等,而仅仅从这两个条文本身中提供的正当化措施来看。【注:公号君个人认为DEPA中提供的安全例外,要比CPTPP的安全例外更加宽泛】
对于该条文,核心焦点在于是否能接受“合法公共政策目标”、“任意或不合理歧视的方式”、“对贸易构成变相限制”、“超出实现目标所需要的限制”。总的说来,就是三方面:1、有没有合法事由?2、措施是否必要?3、措施的实施是否有歧视性?
合法事由
到目前为止,“合法公共政策目标”没有权威的解释。更多的是各缔约方自我理解,但在CPTPP中,自我理解有争议解决机制来约束。那“合法公共政策目标”的范围可以有多大?
一个很好的参考是巴西在WTO电子商务章节谈判中所提出案文中所列举的事项:
通过电子方式跨境传输信息
成员认识到每个成员对通过电子方式跨境传输信息可能有自己的监管要求。
各成员国应允许以电子方式跨境传输信息,如果此传输是为开展业务所需。
本条的任何规定均不得阻止成员为实现公共政策目标,采取或维持与本条第2款不一致的措施,前提是该措施不是以一种构成任意或不合理歧视手段的方式适用。
本条中的任何内容均不得解释为阻止任何成员采用或强制执行必要措施,为实现如下目标:
a) 保护公共道德或维持公共秩序;
b) 确保防止欺骗性和欺诈性做法或处理在线合同违约的影响;
c) 保护公民、消费者和医疗患者在个人数据处理和散布时的隐私,以及保护个人记录和帐户的保密性;
d) 确保安全;
e) 网络安全;
f) 抵制和防止恐怖主义; 和
g) 打击并防止刑事犯罪。
本条款中的任何内容均不得解释为要求任何成员提供任何其认为一旦披露则可能损害其基本安全利益的信息。
本条款不得解释为阻止任何成员采取任何其认为保护其基本安全利益所必要的行动:
a) 与为军事设施直接或间接提供服务供应所相关的;
b) 与可裂变和可熔化材料或其衍生材料有关;
c) 在国际关系中发生战争或其他紧急情况时;或者
本条款不得解释为阻止任何成员为履行《联合国宪章》规定的维护国际和平与安全的义务而采取的任何行动。
可以从巴西的案文中看到,“合法公共政策目标”的范围在第4款中有列举。我们可以将国内立法对照上述范围,做一个简单的判断。
措施必要性
措施必要性很麻烦。一个关键问题是:CPTPP14.11和14.13条中提到的“需要的(required)”是否采取了WTO案例法中的“必要性测试”。众所周知,“必要性测试”的门槛特别高,现有案例中鲜有缔约国的国内法能够通过该测试。【相关分析见:数字贸易协定 | GATS/GATT中“一般性例外条款”的援引实践】
如果分析我国目前对数据本地化和跨境流动的规定中,数据本地化所实现的“合法公共政策”无外乎为:
1、实现信息安全
2、保护个人信息
3、确保监管方便地访问、调取数据
4、防止外国敌对势力获取存储在其境内的数据
对于目标1,美西方一贯认为,数据存储地点并不能保证数据安全。相反,数据存储时配套的管理和技术手段、人员能力和水平,才真正决定数据安全水平。
对于目标2,美国与欧盟具有分歧,但事实上美国接受了欧盟的立场,即为实现个人信息保护这个政策目标,可以要求数据在境内存储。
对于目标3,美西方具有一定的认可度,体现于TPP第11章——“金融服务”。该章的附录B的Section B要求[1],一国应当允许金融机构在日常运营中所需开展的跨境数据流动,除非是(a)为了保护个人数据,个人隐私,记录或账户的保密性;(b)出于审慎监管所需,在指定数据接收方前事先征求监管机构的许可。之所以美国允许这样的数据本地化规定,源自于其2008年金融危机期间的经验。2016年2月,美国前财政部部长Jack Lew透露,之所为TPP用了这样的语言,主要是美联储和美国联邦证券交易委员会的意见。这两个机构出于监管需要,特别是在2008年金融危机期间,需要实时地获取金融机构的数据;但由于这些数据遍布全球,调取十分困难和繁琐,严重耽误了监管工作的开展。但美国的金融机构对此条文反对强烈,要求美国政府在其他谈判中(注:主要是the Trade in Services Agreement (TiSA), theTransatlantic Trade and Investment Partnership with the EU (T-TIP), and theU.S.-China Bilateral Investment Treaty (BIT))修正在TPP中的立场,即更大程度避免金融业数据本地化的要求。【相关分析见:TPP对跨境金融数据“另眼相看”?】同时,美国认为金融业监管中,对于数据实时调取、访问的需求强于其他行业,因此对于其他领域中,出于为方便监管调取查阅数据目的的数据本地化要求,必然采取强烈的怀疑态度。
对于目标4主要体现国家安全需求,但美西方认为数据本地化本质上并不能防范外国敌对势力或组织获取数据,因为有组织的黑客发起的网络攻击并不止步于国境线。但是他们也承认,数据本地化的要求,可以有效避免外国政府利用法律、行政、政策等合法手段直接调取存储在其境内的数据。
因此,从政策目标出发,美西方认为我国有些数据本地化的规定正当性不足,由此采取的本地化要求是“任意的”、“超出实现目标所需要的”。
措施的歧视性
我国目前关于数据本地化和数据跨境的法律要求,对国内企业和外国企业“一视同仁”,但由于外国企业实现这个要求所需要的成本更高。
例如:在关于个人信息处理者用户规模的量级中,公号君所举的例子:
假设一个个中国用户自己注册了某个外国网站的用户【注意,这个不属于要出境评估的场景】,随着时间的累计,外国网站发现自己的中国用户数量已经超过了100万人,这时候,是不是按照第40条规定,外国网站必须将服务器挪到中国?或者至少在国内建立一个个人信息存储副本?
国外会认为,虽然这个规定在文本层面对中外企业一视同仁,但事实上在执行过程中对外国企业造成了实际竞争上的劣势,因此是个歧视性的规定。当然,是否真的构成歧视性效果,有很复杂的法律分析步骤,也要看争议解决机制中相关人员组成和其基本倾向等。
对文本的初步分析如上,并没有任何明确的结论,供大家参考。
