正文

数据跨境流动的国际治理

虽然海量数据的自由流动与开放共享在技术上可以实现,但是数据要素的跨国境流动对国际利益分配格局、国家安全与网络安全、数据主权以及个人隐私等诸多方面的深刻影响尚难估量。各国价值立场不同、技术规制也不同,这成为全球数字贸易治理规则形成过程中的最大变量。积极参与数据跨境流动国际治理已成为当下的迫切议题。


凝聚国际数据合作共识,需要不同国家和地区全面增进理解信任和价值认同。


数据跨境流动国际治理现状

目前,数据跨境流动国际治理格局主要以世贸规则与多、双边区域贸易协定等“硬法”规制为主,国际组织出台的“软法”约束为辅,呈现出立体化、多层次、碎片式的规制特征。


在各国国内治理层面上,截至目前,70多个国家或地区,都对数据跨境流动进行了不同程度的限制。2019年,上海社会科学院互联网研究中心在网络安全生态峰会上发布《全球数据跨境流动政策与中国战略研究报告》。报告以美国、欧盟、俄罗斯为例,将跨境数据流动规制的模式划分为进取型、规制型和出境限制型三类。实际上,任何一种划分方式的本质都可理解为各国基于产业实际而做出的数据重商主义的选择。例如,美国表面上倡导数据自由流动,但实际却要求自由的“数据流入”;欧盟对数据流动加以规制,核心诉求却是“数据流出”后的权益保障。


在多边经贸规则层面上,世贸组织发足于1995年,距今已近30年,彼时数字经济尚处于萌芽阶段。作为世贸组织总体法律框架的一揽子协定,制定之初主要以传统货物贸易和服务贸易为前提,其基本框架和主要原则缺少足够弹性,难以承载数字经济时代的需求。现行世贸规则对数据跨境流动的限制措施缺少一个最低标准,主要将其交由成员国自由裁量。各成员国出于公共政策或国家安全的考虑而对数据跨境流动采取不同的限制性措施,这一问题难以在旧有框架下解决。


主要国家对如何规制数据跨境流动尚未达成有效共识,甚至在数字贸易规则制定上表现得“政治化”和“阵营化”。在这种情况下,不少国家尝试通过《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《区域全面经济伙伴关系协定》(RCEP)、《数字经济伙伴关系协定》(DEPA)等区域贸易协定来应对。据统计,已有超过180个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则专门章节或专门条款。此外,国家间的数字经济合作也在蓬勃发展。例如,《日本-欧盟经济贸易协定》《墨西哥-欧盟自由贸易协定》《美国-韩国自由贸易协定》等协定均已生效。


在国际组织层面上。近年来,国际组织出台了多部推动数据跨境流动国际合作的推荐性“软法”。例如,2013年,经合组织发布《关于隐私保护和个人数据跨境流动的指南》,规定推荐成员国要遵守的最低规则标准。同时,经合组织理事会还提议,应充分考虑到数据本身的精微性和其它特性。再如,2018年,欧洲理事会修订了1981年出台的《关于个人数据自动化处理的个人保护公约》(也称108号公约),其中第14条对数据跨境流动问题给予充分回应,即成员国不得以个人数据保护为目的限制数据流动。


数字贸易国际规则平台呼之欲出

世贸组织理应充当打造全球数字贸易规则的最佳平台。一方面,世贸组织仍然是当下最权威、最成熟的多边国际贸易组织,比起“另起炉灶”,在现有资源基础上进行适应性数字规则创新更具可操作性,也更容易获得大多数国家的认可;另一方面,世贸组织在数字和电子商务相关规则和判例方面均有前期积累,对于未来国际规则的形成具有基础制度的意义和价值。特别是,如何确保贸易规则与数字创新同频共振,已成为当前世贸组织改革的重点内容,一个凝聚最大共识、尊重各方利益的数字贸易治理规则框架“呼之欲出”。


近年来,世贸组织改革成果明显,电子商务联合声明倡议即成果之一。2019年1月,76个世贸组织成员国在达沃斯世界经济论坛年会上共同发起电子商务谈判;同年3月,谈判正式启动;截至2021年8月,共有86个成员国加入谈判;2021年12月14日,作为召集人的澳大利亚、日本和新加坡贸易部长发表联合声明:“致力于在跨境数据流动等重要问题上取得实质性进展”。虽然主要成员国在数据治理、数据跨境流动的限制、本地化措施以及是否要求开放源代码等几个方面存在较大分歧,但各方对于今后形成一个具有较多共识、较高水准的数字贸易多边规则体系,持有乐观积极的态度。


从已有实践中探索未来规则

如果说世贸组织改革为数字贸易多边规则制定提供了有利契机和最佳平台,那么以CPTPP、RCEP为代表的区域贸易协定在内容创新上具有先行先试的探索价值。充分吸收可借鉴的经验做法,对于未来擘画一幅开放流动、安全可信的全球数字贸易规则图景至关重要。


第一,探索跨境数据流动规制与各国国内法制的合理融合路径。重点考虑未来全球数字贸易规则将会对各国数据治理带来的影响,并在此基础上划定一个大多数成员国可接受的规制范畴。就具体划定方式而言,完全可依照当前《服务贸易总协定》以及RCEP等区域贸易协定中通过设定例外条款的方式,赋予各国一定自由裁量权,合理保留成员国“自留地”范畴,以此确保更大范围、不同规模的数字经济主体都可分享到全球数字经济发展红利。


第二,确保数据安全流动是国际规则制定的重要内容。数据安全、有序地跨国境流动是开展国际合作的前提。现行《服务贸易总协定》第14条以一般性例外规定的形式,对各国符合公共政策或国家安全目的的数据跨境流动规制措施给予了一定的正当性,其可以理解为是间接性的规定。期待未来数字贸易多边规则有更具实效性、更为直接的条款设计。同时,如何避免数据安全条款的灵活性不被滥用,也是全球数字贸易规则制定中的难点。


第三,现有探索很可能成为未来数字贸易规则的文本基础。主要区域贸易协定在数字规则的内容设计上呈现出一定趋同性。例如,《美国—墨西哥—加拿大协定》几乎是整体移植了CPTPP中的电子商务章节,除数据跨境流动和数据本地化措施外,还包括计算机相关设备的禁止要求以及代码和算法开放的禁止性规定等内容。尽管RCEP在例外条款设计上与CPTPP存在一定差异,但总体架构并未发生过大偏离。特别是,不同区域贸易协定之间也在进一步寻求更大内容共识,这会进一步加速现有双、多边区域贸易协定在结构和内容上的达成合意。


在沟通与交流中形成合作共识

数字创新日新月异,一步迟则步步迟。考虑到当下数据跨境流动国际治理态势,以及世贸组织改革进程和步伐等不确定性因素,有必要探索更多元、更丰富、更有弹性的数据跨境流动国际合作推进路径。


国际上对于能够有效支撑自由、开放且安全的互联网以及跨境数据流动的互联网治理、隐私和服务器安全等公共政策问题,尚未形成共识。在此背景下,很难对数据跨境流动的规制方式形成国际合意。当务之急,应构建一个国际规制协调机制,确保大多数国家在关系到各国公共政策的问题上,进行有效率的沟通对话,以此强化各国和地区间的理解和信任。如何在更大范围的国家间实现信息交换和沟通对话,还需深度破题。


未来全球数字贸易多边规则,并不局限于以往主权国家的框架,还需要同IEEE(电气与电子工程师协会)、IETF(国际互联网工程任务组)、W3C(万维网联盟)等国际组织开展协同治理。特别在能够左右高水平科学技术发展的网络服务器安全领域,同政府强制性规制路径相比,自主规制路径或协同规制等自主治理手段反而更加有效。但是,数字相关标准制定往往是跨领域的,通常作为复杂产品的系统标准而呈现。除参与国际标准制定外,同样值得认真对待的是,应持续性跟踪国际标准制定组织的治理改进和表决过程。


未来数字贸易多边规则的努力方向是寻求各国法制对于数据跨境流动规制基准点的全球通解。但是,考虑到现实可行性,欧盟一般数据保护条例中的充分性认定——一种不以各国法制调和为前提,只要实现等同性标准即可的桥接机制,对于渐进性达成有限范围内国家或地区间的数据法制调和目标,并将局部性成果拓展为全球规则的做法具有非常重要的参照意义。


上海国际服务贸易网