返回上一页 文章阅读 登录

洪延青:数据竞争的美欧战略立场及中国因应

更新时间:2022-06-11 17:44:18
作者: 洪延青  
综合来看,欧盟在其境内打造了具有欧洲价值观特色的数据自由流动秩序。

  

   除了着力于境内,欧盟还积极将自身的影响力延展至其境外。GDPR宽泛的域外管辖规定即是一例:其不仅扩大了受其管辖的数据控制者范围,(22)还扩大了数据控制者这个概念本身。(23)这样的思路均被欧盟后续的立法和欧盟境内的司法判例所继承。(24)

  

   对于数据从欧盟境内传输至不受GDPR管辖的实体或个人这样的情形来说,欧盟的法律和政策很难用自由来形容。首先,GDPR要求的是确保在数据跨境传输的情形中,其所提供的个人数据保护水平“不会减损”(not undermined)。在美欧《安全港协议》被推翻时,欧盟法院(CJEU)将其解释为数据接收者所在的国家或地区,或者数据接收组织提供的保护水平应当与GDPR的要求“实质等同”(essentially equivalent)。由于欧盟将个人数据保护作为一项基本人权,因此不仅商用场景下的保护非常重要,限制数据接收者所在的国家或地区的公权力部门从接收者调取数据更是至关重要。也正是基于这个原因,无论是美欧之间的《安全港协议》还是《隐私盾协议》,欧盟法院都始终认为美国国内法对公权力调取数据的限制与欧盟类似的法律限制不匹配,上述两个协议对公权力的限制不足,因此无法提供“实质等同”的保护水平。(25)在严苛的判例指引下,欧盟委员会更新了标准格式合同条款(SCCs),强化了数据接收者对抗公权力数据调取行为的义务。(26)欧洲数据保护委员会(EDPB)更新了《为确保遵守欧盟个人数据保护水平的数据转移补充工具的建议》,进一步将欧盟法院“实质等同”的逻辑在新版标准格式合同条款的基础上演绎落地。(27)对于目前最为安全的数据跨境流动工具——“充分性认定”来说,欧盟的战略更为直白。欧盟委员会在2017年的通信中明确:应当让全世界的个人数据保护水平向欧盟看齐,最好的工具就是“充分性认定”;但具体和哪些国家和地区开展充分性认定的谈判,除数据保护和经贸水平方面的考虑外,还应当考量“特定国家与欧盟的政治关系,特别是是否秉持共同的价值和目标”。(28)顺着上述思路,欧盟在亚太地区率先和日本、韩国达成了充分性认定的协议,将这两个国家纳入自己打造的数据跨境流动秩序之中。

  

   欧盟采取了类似CFIUS的做法,其制定的《关于建立欧盟外国直接投资审查框架的条例》于2020年10月生效。该条例第4条列举了判断外国直接投资何时可能影响安全或公共秩序的考量因素,其中就包含“获取或控制包括个人数据在内的敏感信息的能力”。(29)

  

   在执法和司法方面的数据跨境调取,欧盟同样效仿美国的《云法》,于2018年启动了《关于刑事犯罪电子证据的调取令和保全令的规定》的立法工作,(30)同样要求所有面向欧盟市场的服务提供者均应当配合执法机构的数据调取命令,无论数据是否存储于欧盟境内。

  

   欧盟很清楚自身面向消费者(以下简称2C)的产业实力远落后于美国和中国,但其始终对自身面向企业(2B)的产业实力充满信心。总结起来,欧盟在数据方面的法律和政策“组合拳”,为欧洲企业消除了欧盟区域内数据获取和控制的壁垒,极大地抬高了外国2C企业在其境内运营的门槛。欧盟通过域外管辖,极力将在境内打造的数据治理秩序投射到欧盟境外;对于投射不到的情况,欧盟设定了极其苛刻的数据跨境流动条件,并事实上形成了将数据留在欧盟境内的局面,且仅仅非常有选择性地向少部分国家和地区开放了数据流动。(31)与此同时,投资审查方面的规定能够很大程度上保障个人数据始终为欧洲企业所控制。类似《云法》的跨境调取数据的法案保障了司法和执法需求。总的来说,欧盟按照自身的产业情况打造了数据治理秩序,并尽可能地将更多的国家或地区纳入该区域之中,试图在最大范围内拉平企业竞争的基线,促进其企业全球化运作。

  

   三 国际法策略:美欧在国际经贸协定谈判中的数据竞争立场

  

   2020年底,WTO电子商务谈判的合并文本在网上被公开。(32)文本中详细表明了各个成员所提出的条文方案。数据跨境流动条款被命名为信息流动(flow of information),并放置于第B节“开放度和电子商务”(openness and electronic commerce)之中。本部分将首先分析CPTPP电子商务章节中关于数据跨境流动的条款,并以此为基线,分析美国和欧盟在WTO谈判中的立场演进,以及其立场与前文勾勒的其数据战略的耦合程度。

  

   (一)分析基线:CPTPP数据跨境条款

  

   CPTPP中与数据跨境相关的条款主要出现在第14章电子商务章节,即第14.11条“通过电子方式跨境传输信息”(33)和第14.13条“计算设施的位置”(34)。总的来说,这两条的结构类似,核心关键词为“合法公共政策目标”“任意或不合理歧视的方式”“对贸易构成变相限制”“超出实现目标所必需的限制”。

  

   首先,CPTPP并未对“合法公共政策目标”做出限定,一般认为信息安全、个人信息保护、确保监管机构方便地访问和调取数据等各国常见的用来正当化数据本地化和跨境流动管制的目的,(35)都可以认为是“合法公共政策目标”。

  

   其次,即便是为了“合法公共政策目标”而采取的措施,也应符合两个条件。CPTPP第14.11条的(a)项和(b)项中间所用的“及”(and)这一词,表明这两项条件应同时具备,而非“二选一”的关系。具体而言,这里的(a)项规定针对的是措施的适用方式,类似于GATT第20条和GATS第14条的前言性规定(chapeau),偏重于对措施在适用程序性方面的要求;(b)项则偏重于对措施的实体性要求,即所采取的措施是必需的,且符合比例性要求。(36)

  

   (二)美国在国际经贸协定谈判中的数据竞争立场

  

   在合并谈判文本中,美国提出的条文基本上和CPTPP的第14.11条保持了一致,但新增了一个条款:“一项措施不满足第五段(37)规定的情形,如果该措施仅仅因为数据是跨境传输,就对该传输给予区别对待,从而改变了竞争条件,损害了另一缔约方的服务提供者。”(38)加上了这样的一个语句,实际上表明美国在WTO谈判中的立场与其签订的《美国—墨西哥—加拿大协定》(以下简称USMCA)第19.11条(39)完全相同。以下对该新增语句进行分析。

  

   首先,从字面上理解,假设某类数据传输不出境,某国国内的法律法规没有管制的话,则这类数据传输如果涉及出境,而法律法规做出了区别对待,就满足了该句所谓的“仅仅因为数据是跨境传输”。其次,“给予区别对待,从而改变了竞争条件,损害了另一缔约方的服务提供者”,其强调的是竞争条件的恶化。WTO法理关注实质效果,并非法律法规对国内外企业形式上“一视同仁”就可以认定国内外企业享受同等待遇。WTO要求即便是相同的法律法规,如果实际上对外国企业造成竞争上的不利影响,那么该法律法规就是造成了“较低待遇”(less favorable treatment)。因为一旦仅因数据跨境就做出管控,几乎肯定会对外国企业在市场竞争方面造成更加不利的影响。外国企业在成员国运营,肯定会涉及数据跨境传输,因此外国企业在此方面无论是经营空间或者成本花销方面,必然会与纯粹在国内运营的企业相比成本更高。以上的理解基于对“待遇”一词做形式化的理解,即与国内数据传输相比,对数据跨境传输另有规定。

  

   如果对“待遇”一词作实质性理解,以上结论同样成立,即:数据跨境传输所要求的保护水平不应该比国内数据传输所要求的保护水平(包括安全保护措施等)更高。换言之,一国政府不得因为数据跨境,而要求比同类型数据境内传输更高的保护水平或者其他方面更重的义务。(40)

  

   不难看出,美国立场中增加了这一新的段落,目的是将数据跨境流动和数据境内流动“等量齐观”,各国不应当仅仅因为数据是跨境传输就采取“歧视性”措施。无疑这样的条文设计与前文所述的美国数据竞争战略非常符合。另一个突出体现其战略意图的条文设计出现在合并谈判文本的个人信息保护条款。(41)该条设计的思路与其主导的《跨太平洋伙伴关系协定》(以下简称TPP)谈判文本(42)完全一致。首先,TPP第14章第11条“以电子方式跨境传输信息”要求各签署国应当允许个人信息的自由跨境流动,除非是出于“正当的公共政策目标”。保护个人信息显然属于“正当的公共政策目标”。而TPP第14章第8条“个人信息保护”表面上是说,保护个人信息对于电子商务开展十分重要,各签署国有义务对个人信息开展保护。但实际上的效果是说,各签署国保护的方式、方法、水平肯定是不一致的,但是只要满足一定的“较低标准”,那就算做到了对个人信息的保护。为什么说是“较低标准”?原因在于,该章节的注释6指出:“为进一步明确,一国可通过以下方式履行该段所规定的义务:采用或保持诸如一部统一的隐私、个人信息、个人数据保护法律,特定部门或行业的隐私保护法律,或能够监督企业自愿开展与隐私相关举措的法律。”换言之,通过该注释,各签署国获得了采取各自偏好的方式来保护个人信息的空间。例如美国,就不需要像韩国、日本那样需要设立高水平的“统一性的个人信息保护立法”,同时也可以对其他TPP签署国声称,其本国法律已经做到了对个人信息的保护了。与此同时,既然美国法律已经做到了对个人信息的保护,那么各签署国就不应该再出于保护个人信息的事由,限制个人信息流向美国,否则就属于第11条所说的“非必要措施”。也就是说,正是通过建立在低水平保护的CBPRs体系,或者通过TPP促使各签署国承认并认同美国法律对个人信息的保护水平。美国努力实现其战略利益——促进个人信息自由地跨境流动,更准确地说,向美国聚拢。

  

   现在,美国把TPP/CPTPP的这个关键注释平移到了WTO的合并谈判文本之中,实际上意图巩固符合其利益的CBPRs制度。同样,USMCA数字贸易章节的第8条也明确承认CBPRs体系为签署国认可的有效的数据跨境流动制度。

  

   (三)欧盟在国际经贸协定谈判中的数据竞争立场

  

   从WTO合并谈判文本来看,欧盟的条文分两段,本文以条文A和条文B来指代。其中,条文A主要规定了数据(包括各种类型的数据,其中包含个人数据)跨境流动。条文B主要是在A的基础上,就个人数据做出专门的规定。

  

首先看条文A。条文A要求:各国政府不应限制数据跨境流动,其中包括4个具体方面:(1)不得要求使用一方境内的计算设备或网络元件(network elements)进行数据处理,包括要求使用经在一方境内认证或批准的计算设备或网络元件;(2)不得要求数据在一方境内进行本地化存储或处理;(3)不得禁止在他方境内进行数据存储或处理;(4)不得把使用一方境内的计算设备或网络元件,(点击此处阅读下一页)


爱思想关键词小程序
本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/134584.html
文章来源:《国际法研究》2021年第6期
收藏