相关国际法论文

相关标签

美国跨境数据流动性的国际法规制方向与中国的因应

发布时间:2019-09-19 15:23

  自人类开始贸易时,数据或信息就是人们交易的内容。比如古代人们通过信息交换以确定与另一个部落之间的关系,商人也会将数据作为提升产品质量、效率以及价格的主要参考。但是近年来,数据在全球贸易和投资中的作用已发生了根本性的改变。借由互联网的飞速发展,数据的运用催生了很多新的部门和服务,包括云空间、人工智能和 App 等,由此产生了建立在跨境数据流动基础上的数字经济,我们也正迈入数字全球化的时代。〔1〕有学者甚至称数据已经成为当今全球经济的“生命之血”。〔2〕在过去十年间,跨境数据流动的体量增长超过了 45 倍。自 2015 年起,数据流动的价值已经超过了货物贸易的价值。〔3〕数据流动也几乎推动了所有工业的发展。〔4〕尽管跨境数据有着如此大的重要性,但它也会对国家安全、个人隐私保护以及公平竞争产生一些负面影响,因此各国针对数据流动都采取一些规制措施。在国际法层面,目前针对跨境数据流动也没有一个多边的国际条约,多数时候都是由各国通过区域或双边自由贸易协定进行规定。这方面美国、欧盟和中国的实践最有代表性,也会对未来跨境数据流动的国际法发展产生重要影响。

  关键词:跨境数据流动;数据保护主义;隐私权;多边规则体制

  互联网时代美国一直是全球互联网经济的领导者,包括亚马逊、苹果、脸书、谷歌、英特尔和微软在内的重要互联网品牌都来自美国。为了推动互联网经济的发展,美国最早针对跨境数据流动制定了相关的贸易政策,在国际法实践中,美国一直推行其较为自由化的规制路径。美国也最早对数据保护主义进行界定,但是美国在认定保护主义方面秉持着明显的“双重标准”,这就导致我国所采取的一些互联网规制措施常常被看作数字贸易的障碍。本文将通过梳理美国有关跨境数据流动的贸易政策发展,分析美国的国际法规制路径,并在此基础上分析美国路径的特点,以及它对于我国的借鉴意义和我国的应对。

  一、有关跨境数据流动的贸易政策发展

  美国是世界上最早考虑在国际经贸协定中涉及跨境数据流动的国家,早在里根政府时期美国就意识到跨境数据流动在投资中的重要性。1983 年里根政府发布了一份针对国际投资政策的声明,指出美国将通过积极的国际投资政策致力于减少阻碍或扭曲投资流动的政府行为,并在国民 待遇和最惠国待遇原则的基础上推动建立一个有关投资的国际体系。为此,美国政府将在经济合 作与发展组织(Organization for Economic Co-operation and Development,OECD)内部推动“数据保证”(data pledge)项目,确保发达国家不会对数据流动施加新的限制,并鼓励所有国家与美国一起采取更加开放和宽松的跨境数据流动政策。〔6〕考虑到当时计算机技术刚起步,而且多集中于发达国家,也就不难理解美国政府要致力于在OECD 框架下推动有关跨境数据流动的国际政策了。

  1997 年,克林顿政府制定了《全球电子商务框架》,确立了一套有关跨境数据流动治理的全球准则。在这一份文件中,美国明确了政府在一系列与电子商务有关的重要问题上的立场,并且为有关的国际谈判制定了路线图。文件还特别指出为了确保世界各国的不同政策不会阻碍数据的跨境流动,美国将会与其主要贸易伙伴展开谈判,以构建解决隐私问题的产业发展方案,并就私人数据处理形成客户满意的市场驱动机制。除了与欧盟国家和欧盟委员会进行相关政策讨论外,美国也通过现有的双边论坛以及亚洲太平洋经济合作组织(Asia-Pacific Economic Cooperation, APEC)等区域论坛与贸易伙伴进行对话。〔7〕

  《全球电子商务框架》确立了美国规制跨境数据流动的基础,克林顿还要求商务部形成一套统一的国际商事法律框架,以承认、推动和促进全球范围的电子交易,并且与国内私人部门合作以确立国内网络隐私标准。同样,在美国的推动下,世界银行也与联合国贸易与发展会议(United Nations Conference on Trade and Development,UNCTAD)合作帮助发展中国家制定有效的且支持其发展的电子商务政策。

  小布什总统时期,美国开始在其签署的自由贸易协定中涉及电子商务条款,但是这样的做法也没有适应互联网的迅速发展。随着该行业在其他国家的崛起和发展,美国的互联网巨头感受到了竞争的压力,也对其他国家所采取的限制跨境数据流动的措施感到焦虑。于是这些企业联合起来开始向美国政府施压,要求政府限制相关规制措施。为此,谷歌还资助相关智库就世界上四十多个国家的数据信息流动限制措施进行了研究。〔8〕

  奥巴马总统时期,美国已经将数字贸易作为重点关注对象,并将影响美国互联网企业发展的政策界定为保护主义。2016 年美国国会通过的《两党贸易优先权和责任法》确定了美国在货物和服务的数字贸易以及跨境数据流动方面的主要谈判目标,主要包括:确保目前世界贸易组织(World Trade Organization,WTO)协定和双边及区域协定下的义务、规则、原则和承诺适用于服务贸易和跨境数据流动;确保以电子方式传输的货物和服务在贸易规则和承诺下获得的待遇不低于以实物形式交付的产品所享受的待遇,以及确保此类产品和服务的分类能完全涵盖现有的和新的贸易类型,并能够使相关产品享受最自由的贸易待遇;确保政府不采取措施妨碍货物和服务数字贸易、限制跨境数据流动或要求数据在本地存储或处理;如果政府出于合法政策目标采取限制性的国内法措施,则此类措施应当是能对贸易带来最少限制、非歧视的和透明度的,而且是能促进开放的市场环境的措施。〔9〕

  这些政策目标成为美国进行有关贸易谈判的重要指引。考虑到 WTO 在推动相关议题方面进展缓慢,美国重点通过双边或区域贸易协定实现其目标。这一时期,在奥巴马的积极推动下,《美国-韩国自由贸易协定》和《跨太平洋伙伴关系协定》(Trans- Pacific Partnership Agreement,TPP) 中都包含了有关的电子商务条款

  特朗普上台后采取了完全不同的贸易政策,比如退出 TPP,重新就《北美自由贸易协定》展开谈判。这样的实践也招致不少学者和公众对于其执政政策的质疑。〔10〕 不过新签署的《美国 - 墨西哥 - 加拿大协定》(《美墨加协定》)表明在跨境数据流动方面,特朗普并没有太多偏离之前的政策路径。

  除了联邦政府层面的相关措施,美国不少州也针对数字贸易和跨境数据流动制定了相应的法律规定,特别是在欧盟通过《一般数据保护条例》后,加利福尼亚、阿拉巴马、亚利桑那、科罗拉多、爱荷华、路易斯安那、内布拉斯加和弗吉尼亚等州都通过了或相应修订了本州的数据侵权通知法。〔11〕

  二、美国的相关国际缔约实践

  (一)WTO 框架下的尝试

  美国一直是 WTO 层面电子商务国际规则谈判最积极的推动者之一。2011 年,美国和欧盟已经就电子商务问题联合提出了一些一般性的原则,这些原则以不影响现有的规则和承诺为前提, 旨在构建一个基本的和统一化的框架,推动各国政府以技术中立的方式规制电子商务,并将这样的政策引入双边和多边协定谈判。这些基本原则包括:确保相关规制措施是透明的;促进网络开放;确保数据能够自由流动;不施加数据本地化要求;确保无线电波的有效和非歧视使用;设立独立的监管机构;简化审查流程;以及确保国际合作,特别是在化解数字政策差异和提升数字文化方面的合作。2017 年同样在美国和欧盟的推动下,WTO 第十一届次部长会议通过了《关于电子商务的联合声明》。在稍早的 2016 年美国已经就如何在 WTO 框架下开展电子商务有关的谈判向 WTO 提交了建议。尽管在该份建议中,美国指出它并没有预设有关电子商务谈判的最佳方案, 也不主张 WTO 应当重点关注电子商务的哪些方面,建议的主要目的仅仅是为了推动成员方之间建设性的讨论等。但是这一份建议与美国在《服务贸易协定》(TISA)和 TPP 中的主张十分相似。在这份建议中,美国同样主张为跨境数据流动创造有利条件,允许企业和消费者以他们认为适当的方式转移数据。而有不少国家通过国内立法限制信息的自由流动,使一些从事数字经营的企业在竞争中处于劣势,因此适当的数字贸易规则应当限制此类措施来保护数据的自由流动,不过美国同时也同意允许国家在合理情况下采取措施保障消费者的权利。〔12〕

  第十一届部长会议结束后,美国贸易代表莱特希泽就表示美将在电子商务等领域与其他具有相似想法和共同意愿的成员方合作,打破 WTO 僵局,寻求新的开始。〔13〕2018 年 4 月 12 日, 美国向 WTO 总理事会提交了对联合声明的新议案(JOB/GC/178),该文件提出了七项议题,信息自由流动便是其中议题之一。在信息自由流动方面,美国主张允许消费者和企业对数据进行跨境传输,成员方不应对此施加任意或歧视性限制。禁止数据本地化,确保企业无须在运营地设立或购买数字基础设施,以及确保各成员方不得自己或要求网络服务提供者任意阻挡或过滤在线内容。

  此外,美国积极倡导在 TISA 谈判中纳入与电子商务有关的规制措施。美国也在其谈判提议中主张信息应当在服务提供者的商业活动中跨境自由流动。成员方也不应要求服务提供者将数据在本国存储或者处理作为允许服务提供者在本国进行提供服务或进行投资的前提。〔14〕

  (二)美国与欧盟的相关安排

  1. “安全港框架”

  欧盟在跨境数据流动规制方面同样有着悠久的历史传统。1995 年欧盟委员会就发布了《数据保护指令》,确定了欧盟在数据保护方面的充分性(adequacy)保护原则,禁止将个人数据传输到不符合欧盟隐私保护的充分性标准的非欧盟国家。考虑到美国在个人隐私方面采取不同的规制路径,为了弥补两者之间的差异,并方便美国企业满足欧盟的充分性标准,美国商务部与欧盟委员会协商制定了“安全港框架”(Safe Harbor Framework),并于 2000 年获得了欧盟的批准。从本质上看,“安全港框架”实际上是美国针对欧盟所关注的个人信息跨境流动问题的回应〔15〕,以确保美国企业在与欧盟的商事交易活动中不会遭受欧盟及其成员国依据隐私法进行的干预。美国企业可以自愿加入该框架,加入的企业会被视作满足了欧盟的充分性标准,因此欧盟成员国不再要求数据传输需经事前批准,或者使企业自动获得相关许可。美国企业的合规审查也更加简单化,而且相应成本也有所降低。在加入“安全港框架”时,美国企业需要满足框架协议的要求,也要就此作出公开的声明。为了能持久享受“安全港框架”的优惠,美国企业每年需要向美国商务部书面自证其同意遵守“安全港框架”规定的七项原则:通知原则、选择权原则、向前传输数据原则、信息获取原则、信息安全原则、信息完整性原则和执行原则。〔16〕

  从总体上看,“安全港框架”的执行机制主要在美国并依据美国法律实施,而且通常都依赖于私人部门的自我规制,但是当企业未能遵守自我规制的要求,或者企业自身不具备加入“安全港框架”的条件时,政府部门会依据联邦或州政府有关禁止不公平或欺骗性行为的法律规定介入。美国联邦贸易委员会和美国交通部都曾致信欧盟委员会表示它们会对那些表面声称遵守框架协议但实质上没有达到相关要求的企业采取执法行动。

  “安全港框架”在施行后,曾被看作是保障欧美跨境数据流动安全的重要保障。但是近年来美国利用其自身的技术优势,以维护国家安全为名义对世界进行监控,2013 年的“棱镜门”事件使得“安全港框架”形同虚设。〔17〕2014 年,奥地利人 Maximilian Schrems 发现脸书在爱尔兰的分支

  机构将他的个人数据传输到脸书美国服务器,于是他向爱尔兰数据保护委员会提出申诉,但申诉 遭到了否决。此后 Maximilian Schrems 向高等法院起诉,由于该案涉及欧盟委员会“安全港框架” 的效力问题,而只有欧盟法院有权对欧盟法律的效力作出认定,因此爱尔兰高等法院提请欧盟法 院对相关法律问题作出初步裁决。2014 年 10 月,欧盟法院作出判决,认定“安全港框架”是无效的,理由主要包括:第一,欧盟委员会怠于履行其职责。即使第三国通过的相应措施在文本上 能确保企业符合“安全港框架”的要求,欧盟委员会仍须考察相关措施在实践中是否能有效确保第三国对于个人数据的保护能够在实质上与欧盟所提供的保护等同〔18〕;第二,“安全港框架”只适用于从欧盟获得个人数据的自认证的美国企业,而美国公共当局却不用遵守这些规则〔19〕;第三, 根据“安全港框架”的规定,国家安全、公共利益或法律执法要求优先于框架中设定的原则,这 就导致当这些价值与“安全港框架”原则相冲突时,加入框架的企业必然会无视“安全港框架”〔20〕; 第四,“安全港框架”并没有提供个人获取、修改、清楚其个人数据的救济。〔21〕

  2. “隐私盾框架”(Privacy Shield Framework)

  鉴于欧美在跨境数据流动方面存在着巨大的商业利益,“安全港框架”失效后,经过多轮对话和磋商,美国与欧盟于 2016 年达成了“隐私盾框架”。该框架由美国商务部和欧盟委员会设计, 其主要目的仍然是确保当数据从欧盟转移到美国时能够符合欧盟的数据保护要求。与“安全港框架”相似,“隐私盾框架”仍采用企业自愿接受的方式,也同样采纳了原框架中的七项隐私保护原 则,但是也在此基础上作出了系列修正,以为欧盟个人数据保护提供强有力的和更易执行的保护。“隐私盾框架”的保护具体体现在以下几个方面。

  第一,赋予来自欧盟的个人更强有力的权利和更多的法律救济途径。比如个人可以直接针对“隐私盾框架”的参与者提出诉请,而且参与者应当在 45 日内作出答复;如果个人将相关诉请提

  交欧盟的数据保护机构,美国商务部应尽全力促进争端解决,并且应在 90 日内向欧盟机构作出答复;美国联邦贸易委员会应当与欧盟数据保护机构紧密合作,确保“隐私盾框架”的执行;个人也可以通过在美国法院起诉或者将案件交由有拘束力的仲裁的方式维护自己的权利。

  第二,更强有力的管理和监督。美国商务部承诺通过事前认证、事后跟踪、定期评估的方式对“隐私盾框架”下的企业进行更有效的监管。同时,商务部也承诺加强与欧盟数据保护机构的合作,主要包括建立专门的联络点、向数据保护机构提供与“隐私盾框架”有关的信息以提高透明度、与执法机关交换信息、与联邦贸易委员会和其他利益相关者召开年度会议以讨论与“隐私盾框架”的功能、实施、监管和执行等有关的事项

  第三,更广泛的规制对象。“隐私盾框架”除了规制自愿申请加入该框架的企业外,也规定已经退出框架的企业若要继续存储根据框架获得的个人数据,也须就该类数据的保护履行相关的框架义务。此外,根据“向前转移责任原则”,如果框架下的企业将个人数据传输给第三方时,应当通知并征得数据主体同意,同时也应与第三方签署协议,以确保个人数据被用于特定的用途,并且提供至少同等水平的保护。框架下企业也应采取合理措施阻止第三方对个人数据从事任何未经授权的行为。

  第四,行政权力受到更多限制。“隐私盾框架”要求美国政府作出书面声明,承诺政府机构维护国家安全的行为将受到约束,具体包括政府若以国家安全为由访问有关个人数据,应当有明确的条件限制,并不得破坏框架所设立的原则,相关数据也只能用于反恐和网络安全等特定目的。框架也要求美国设立一个独立于国家安全机构的监察员机制,专门负责和处理个人提出的诉请和咨询。〔22〕

  不难看出,“隐私盾框架”仍然体现出欧美在个人跨境数据流动规制方面的相互妥协,但从内容上看,它也更多地体现出欧盟在相关规则制定方面的影响力。〔23〕

  3. 跨大西洋贸易和投资伙伴协定(TTIP)谈判

  2013 年 7 月欧盟和美国启动了 TTIP 谈判,双方旨在达成一个全面的且雄心勃勃的贸易协定。由于启动谈判时美国尚未与欧盟就个人数据跨大西洋流动的保护达成一致,跨境数据流动一度在TTIP 谈判中被搁置。〔24〕即便如此,数据保护仍被看作是美欧之间最具争议的问题。〔25〕在 TTIP 谈判中,美国希望能够沿用《美国 - 韩国自由贸易协定》和 TPP 中的版本,但欧盟则表现得十分谨慎, 并继续倾向于要求其合作伙伴采用强化版的个人数据保护框架〔26〕,比如目前的“隐私盾框架”,而非采用一个默认的模板。也有学者认为 TTIP 将是美国和欧盟跨境数据流动政策融合的契机〔27〕,但是美国总统特朗普上台后,TTIP 谈判进展缓慢,欧盟委员会也认为 TTIP 谈判已经陷入僵局。〔28〕

  (三)相关的自由贸易协定实践

  多哈回合谈判后,在多边层面推动《服务贸易总协定》(GATS)项下贸易自由化谈判步伐停滞,促使不少国家通过自由贸易协定等方式在双边或复边层面对数字产品贸易进行规制。2010 年美国与约旦签署的自由贸易协定已经开始涉及电子商务,但是只简单规定了缔约方不能针对电子传输课以关税或施加不必要的限制。〔29〕自 2004 年起,美国在其自由贸易协定中引入了更加全面的电子商务条款:一方面,将与电子商务有关的内容单独作为一章进行规定;另一方面,相关规定也从最初的禁止性规定,向要求缔约方采取积极措施推动电子商务发展。

  美国与韩国于 2007 年签署的自由贸易协定在跨境数据流动方面包含了比较详细的内容。该定在第 15 章“电子商务”第 8 条“跨境信息流动”部分规定缔约双方意识到信息自由流动在促进贸易方面的重要性,以及保护个人信息的重要性,缔约双方应尽力(shall endeavor)避免对电子信息的跨境流动施加或维持不必要的障碍。针对第 13 章“金融服务”的附录 B 也规定缔约一方应允许来自缔约另一方的金融机构出于信息处理的需要将电子或其他形式的信息传入或传出本国境内,不过同时要求这种信息处理是该金融机构日常业务所必需的。

  相比较《美国 - 韩国自由贸易协定》,TPP 和如今的《全面与进步跨太平洋伙伴关系协定(CPTPP)在规制跨境数据流动方面更进一步,设定了对成员方有约束力的义务。TPP 协定是第一个针对数字贸易中的政策问题进行全面规定的贸易协定。〔30〕相关规定主要集中于第 14 章“电子商务”。第 14.2 条第 1 款明确了 TPP 协定成员国制定有关规则的主要目的,即针对电子商务设定制度框架,以保障消费者对电子商务的信心,并避免对电子商务的使用和发展造成不必要的壁垒。特别的,针对跨境数据流动,第 14.11 条“以电子方式进行的跨境信息传输”允许缔约一方可以对以电子方式进行的信息传输进行监管,同时缔约方应当允许协定所涵盖的人出于进行商业活动的目的,以电子方式进行跨境信息传输活动。该条同样允许缔约方为了实现合理的公共政策目标而采取或维持不符措施,但不符措施需要满足两个条件:该措施的实施并未构成任意或不合理的歧视或构成对贸易的变相限制,以及对信息传输所施加的限制并未超过为实现合法目标所必需的限度。第 14.13 条“计算设备的位置”禁止缔约方采取一些计算设备本地化的措施,包括要求使用位于缔约方境内的计算设备或将计算设备置于其境内,但该条同样包含了与第 14.11 条相同的例外规定。根据第 14.1 条“定义”条款的规定,第 14 章所涵盖的人并不包括缔约方的金融机构或缔约方的跨境金融服务提供者,这也就意味着金融机构或跨境金融服务的提供者可以不受第 14.11 条和第 14.13 条的约束。与此同时,第 14.8 条“个人信息保护”也确定了保护个人信息的法律框架,要求缔约方建立或维持保护电子商务使用者个人信息的法律制度。

  个方面的改变:第一,将《跨太平洋伙伴关系协定》中包含的电子商务章节改为“数字贸易”(digital trade)章节。数字贸易的兴起源于数字经济,其早期的表现形式主要为电子商务,是全球化和数字经济发展到一定阶段的产物,也可以视为一种对跨境电子商务的数字化拓展。第二,《美墨加协定》进一步扩大了它的涵盖范围。除了涉及个人信息外,《美墨加协定》也对政府信息和交互计算机服务进行了规定。第三,在相关规定方面,《美墨加协定》的内容更具操作性。相比较 TPP,《美墨加协定》明确提及了 APEC 的相关原则和指南文件,为缔约方采取或维持相关的政策提供更加明确的指引。第四,《美墨加协定》更加注重维持自由数字贸易与政府出于公共利益或合法政策目标而进行规制之间的平衡。一方面,《美墨加协定》新增第 19.12 条“计算机设施的本地化”,规定缔约方不能以要求条约所涵盖的人使用当地计算机设备或将计算机设备安置于东道国境内作为允许当事人进行商业活动的前提。另一方面,《美墨加协定》也考虑到了维护缔约方的网络安全。它要求缔约方要加强应对网络安全事件的能力建设,鼓励缔约方加强现有的合作,分享最佳实践经验。

  三、美国路径的特点与评价

  出于保护本国互联网企业的需要,美国近年来一直将数字贸易和跨境数据流动作为 WTO 框架下和自由贸易协定中谈判的重要事项。但是多哈回合谈判破裂后,在 WTO 体制下推动相关议题讨论步履维艰。美国仍主要通过区域或双边自由贸易协定推行其贸易政策目标,这就导致目前有关跨境数据流动的国际法规则仍然有明显的“双边主义”色彩,难有统一的路径。与欧盟等国的政策不同,美国在规制跨境数据流动方面体现出以下三方面的特点。

  第一,美国在国际法上的实践与国内法的规定密切相连。在电子商务发展的早期,为了鼓励本国互联网企业发展,美国一直采取较为宽松的规制措施。不少直接涉及互联网的法规都秉承其《宪法》第一修正案确立的言论自由原则,在互联网企业的责任方面作出了很多豁免的规定。比如1996 年制定的《通信规范法》第 230 节规定交互式计算机服务提供商免受因第三方言论而产生的法律索赔。1996 年的《通讯法》更是明确了美国的政策是保护互联网和计算机交互服务市场的活力和自由,使其不受联邦和州法律的约束。1998 年颁布的《千禧年数字版权法》第 512 条规定如果用户上传了有版权问题的内容,互联网公司可以快速删除这些内容而无须承担侵权责任。这些法律缩减了互联网企业的责任范围,推动了互联网的蓬勃发展。因此也就不难理解美国在国际法实践方面也一直持比较自由的立场。不过随着互联网和数字经济的发展,美国也逐渐意识到自由放任的监管态度也容易导致互联网企业的垄断和权力滥用,比如限制消费者在计算机软件方面的自由选择权。2000 年,美国哥伦比亚联邦法院杰克逊法官曾认定微软在操作系统市场上非法利用自己的垄断力量,从而违反了《谢尔曼法》,尽管该判决被哥伦比亚联邦上诉法院驳回,但微软最终通过支付巨额和解费用的方式与案件当事人达成了和解。近年来互联网企业的垄断也受到越来越多的社会关注,公众担忧互联网的垄断也会阻碍创新〔31〕,有学者借此提出了网络中立(Internet Neutrality)的原则,主张政府对网络的规制要确保互联网企业不会阻止最终用户获得最佳的产品和应用,以创造一种公平的且不断演进的竞争环境。〔32〕2005 年,美国联邦通信委员会通过的政策陈述明确采纳了这一原则。〔33〕2015 年 2 月,在奥巴马的支持下,美国联邦通信委员会投票通过了强有力的网络中立原则以支持互联网的开放与免费。〔34〕这些原则也体现在了美国所签署的 TPP 协定和《美墨加协定》中。如《美墨加协定》第 19.10 条“为数字贸易目的而接入和使用互联网的原则”允许消费者依据自己的选择使用相关服务和应用。

  第二,在对待个人数据方面,不同于欧盟将个人信息保护和隐私权看作人权和消费者权利, 美国认为保护隐私权主要是保护消费者的权利。〔35〕欧盟相关立法和政策的主要目的是加强对数据权利的保护,在个人数据保护方面维持比较高的门槛,而美国则原则上鼓励对个人数据进行商业使用,在特定条件下才加以规制。美国国内各州有关个人信息保护的立法多数也只关注消费者权利保护。如加利福尼亚州于 2018 年 1 月制定的 2018《消费者隐私保护法》,扩大了消费者的隐私权,并要求企业承担更多的披露义务。〔36〕该法将“个人信息”定义为“直接或间接地识别、关系到、能够关联到或合理联结到特定的消费者或家庭的信息”。〔37〕实践中,欧盟针对个人隐私的保护作出了全面的立法安排,建立了独立的政府数据保护机构,要求数据库向这些机构登记,在某些情况下,还要求个人数据的处理需要经过事先批准。然而美国并没有针对个人数据的流动与保护进行单独立法,相关的规定散见于各行业的法律法规中,而且也更多依赖于企业的自我监管, 比如要求美国企业通过自我申请与认证的方式加入美国与欧盟就个人数据跨大西洋流动作出的相关隐私保护安排。美国的相关主张也在 APEC 的《APEC 隐私保护框架》中得以体现。《APEC 隐私保护框架》九项原则中的“可担责性原则”就要求个人信息的控制者应当就遵守依据隐私保框架制定的政策承担责任。在将个人信息传输给另外一个人或组织时,个人信息的控制者应当征得个人的同意或者尽责地采取适当措施确保第三方也能够同样按照框架原则保护这些信息。〔38〕

  第三,美国更加看重数据自由流动,以及由此带来的经济效益。因此在对外政策上,美国只关注市场开放度以及各国所采取的限制政策。这一点在美国定义数据保护主义方面体现得十分明显。2013 年美国联邦贸易委员会在一份文件中将数据保护主义界定为对数字贸易设置障碍或阻碍数字贸易,包括数据审查、信息过滤、本地化措施以及保护隐私权的法规等。〔39〕特别地,美国认为目前各国在隐私权保护方面采取不同的立法, 导致这些国内立法之间缺乏互操作性interoperability),从而大幅增加了企业的成本,也带来了很大的不确定性。〔40〕但是美国这样的界定却没有考虑各国的隐私保护立法和数据本地化要求多是基于维护公共利益、公共道德和国家安全等考虑而作出的。美国的立场在新签订的《美墨加协定》中体现得最为明显。在数据本地化方面,它设置了更加严格的要求。〔41〕《美墨加协定》并没有保留 TPP 中规定的允许缔约方为实现合理公共政策目标而采取或维持不符措施,而仅规定缔约方不能以要求条约所涵盖的人使用当地计算机设备或将计算机设备安置于东道国境内作为允许当事人进行商业活动的前提。

  然而,美国在跨境数据流动的国际法实践方面也带有明显的“双重标准”。特别是在数据保护主义的认定方面,它批评其他国家所采取的数据本地化措施,将其他国家的相关政策看作数据保护主义,却没有意识到自身也在采取相同或者相似的措施或实践。〔42〕比如越来越多的美国民众意识到社交媒体平台有时会传播错误信息,不少平台也启动了自我审查的机制。美国政府也在考虑措施限制某些网络信息的访问。也有议员给谷歌和脸书等网络平台施压,要求它们更多地投入打击虚假信息和阻止外国的煽动。〔43〕此外,虽然美国政府表面上强调它不会使用网络监控窃取商业信息,但是 2015 年维基揭秘爆出美国政府对日本的企业和决策者采取了窃听行动, 以提前获知日本政府在贸易谈判中的立场。事件爆发后,当时的美国总统奥巴马还专门给日本首相打电话道歉。〔44〕

  球互联网体系;另一方面,美国又不得不面对中国、印度和印度尼西亚等国家互联网企业崛起对美国互联网主导地位的影响。这就可以理解为什么美国比世界上其他国家都更多地将数字保护主义作为其贸易和国家安全战略的组成部分了。〔45〕

  四、中国的对策

  随着互联网和数字贸易的重要性日益凸显,电子商务和跨境数据流动已经成为国际贸易关系中的重要问题。作为互联网大国,美国积极主张将电子商务纳入 WTO 框架下进行讨论,并在其签署的自由贸易协定中对跨境数据流动作出规定。我国近年来也积极参与 WTO 相关议题的讨论, 也在多边层面推动各国合作。2016 年,杭州峰会上 20 国集团通过了《二十国集团数字经济发展与合作倡议》,其中重申了各国要促进经济增长、信任和安全的信息流动,确认言论自由以及信息、思想、知识的自由流动对数字经济至关重要、对发展大有裨益;确认必须尊重知识产权,尊重用于保护隐私和个人数据的可适用框架。〔46〕但与美国注重数据自由流动带来的经济效益而采取相对宽松的立法不同,我国更关注国家和社会公共利益的维护。但是我国为此所采取的一些管控措施常常会被美国曲解为数据保护主义措施,比如美国贸易代表在 2018 年国家贸易政策评估中就将我国针对跨境数据流动所采取的限制措施看作数字贸易的重要障碍。〔47〕实际上在目前针对数字贸易和跨境数据流动缺乏统一的多边国际规则的情况下,很难对数据保护主义有一个准确的界定,而且如前文所述,美国在数据保护主义的界定上一直持有“双重标准”。

  美国和中国在跨境数据流动立法规制方面的不同路径根本上在于两国对数字贸易有着不同的关注点。美国更关注数字贸易的数字性,因为不少美国企业已经实现了公司经营的完全数字化。所以在认识到 WTO 法律制度在规制数字贸易方面的不足后,美国更关注各国针对数字贸易和跨境数据流动采取的限制性措施;而中国倾向于重视数字贸易的贸易属性,更关注与贸易有关的关税等问题,特别是与网购和线下派送有关的货物贸易的便利化问题。〔48〕

  考虑中美双方的不同立场,并结合我国关于跨境数据流动的法律实践,针对美国的政策,特别是美国对中国数字贸易壁垒的不当指责,本文认为我们可以从以下几个方面作出应对。

  首先,构建完善的个人数据保护的国内法律制度。尽管我国对互联网硬件和相关设施,以及通过互联网传播的内容都制定了相关法律规定,但是相关立法仍重点关注国家利益和社会公共利益的维护,在个人数据保护方面仍存在立法缺位的现象,这使得个人数据,特别是一些隐私数据无法受到法律的全面保护,现实中也存在不少有关个人信息被非法转移出境的情况。〔49〕值得关注的是全国人大将《中华人民共和国个人信息保护法》列入了《十三届全国人大常委会立法规划》中〔50〕,并在任期内拟提请审议,不过一项立法从草案到最终公布仍需要一些时间。除了通过基本的立法规范实现国家利益与个人隐私的均衡保护外,我国也应建立数据的分类保护制度,针对涉及国家安全的数据、个人数据和商业数据采取不同的管理方法,允许商业数据的跨境流动。〔51〕相关研究表明严苛的跨境数据流动限制也会对我国经济发展产生不利影响。〔52〕

  其次,中美之间可以考虑建立跨境数据流动规制方面的政府间沟通与对话机制。通过有效的对话机制,中美双方可以就共同关心的问题展开讨论,在求同存异的基础上形成相关解决方案, 从而避免相关摩擦。这样的做法在实践中也有例可寻。比如欧盟在个人数据保护方面采取更为严格的标准,这样的做法与中美的路径都有不同,但是并不妨碍欧盟与美国就个人隐私保护达成相关的“安全港框架”和“隐私盾框架”。欧盟虽多次表示数据保护是欧盟的一项基本权利,也不能作为谈判的筹码,但自 2017 年 1 月起,欧盟与日本就针对商业经营中跨境数据流动的便利化问题进行对话。在与欧盟进行经济合作伙伴协定谈判时,日本也要求欧盟就数据保护和数据保护主义之间的关系作出澄清。〔53〕

  中美之间已经建立的政府间经济对话机制,特别是中美商贸联委会,也已经就数据流动问题展开过磋商。如第 27 届中美商贸联委会联合成果清单指出:“中美双方确认各自国家在商业领域的通用信息通信技术安全相关的措施,不会采取不必要的歧视性做法或不必要地限制贸易或信息有序流动的做法。”〔54〕虽然特朗普上台后,中美之间的经济对话受到影响,不过我国一直对两国经贸合作交流持开放态度。〔55〕针对美国在数据保护主义方面的“双重标准”,我国可以借鉴日本在与欧盟进行经济合作伙伴协定谈判时的做法,要求美国进一步澄清数据保护和数据保护主义之间的关系,以避免美国以数据保护主义之名对中国的数字贸易进行不当限制。

  最后,我国应积极参与相关国际规则的制定。在目前进行的 WTO 相关议题谈判和我国的自贸协定谈判中,我国一直对电子商务和数字贸易议题持比较谨慎的态度。〔56〕即便我国在 2016 年11 月向 WTO 提交了关于电子商务议题讨论的建议,我国仍然主要考虑对现有的多边贸易制度适用的进一步澄清和完善。〔57〕在具体谈判步骤上,我国也主张以循序渐进的方式推动,先关注互联网跨境货物贸易,以及与互联网跨境货物贸易直接相关的支付和物流等服务。〔58〕不过除关注数字货物贸易外,我国也应该关注数字服务贸易。电子商务所涉及的不仅包括有形的货物,也包括无形的数字产品和以数字方式传输的贸易。数字经济使之前无法交易的服务也成为交易对象。如医疗和教育服务的交易之前难以跨越国界,但今天通过远程医疗和在线课程等形式,它们却成为标准的数字服务跨境贸易的表现形式。不难看出,随着数字贸易的发展,货物贸易与服务贸易的界限正变得越来越模糊。〔59〕因此除了关注传统的货物贸易话题外,我国也应该积极就跨境数据流动和数据本地化等数字贸易和投资的新议题与其他国家展开探讨,这也符合中共中央提出的加快提升我国对网络空间国际话语权和规则制定权的倡议。〔60〕具体而言,我国可以利用目前正在进行的

  《区域全面经济伙伴关系协定》(RCEP)谈判和双边贸易协定谈判,凝聚与发展中国家在跨境数据流动方面的共识,并在此基础上推动 WTO 框架下的议题讨论,努力实现发达国家与发展中国家之间的利益平衡。〔61〕

  五、结论

  从一定程度上看,美国与我国的不同路径代表了发达国家与发展中国家在跨境数据流动规制方面的不同态度。虽然这些立场能够充分反映不同类型国家的实际情况,但是我们仍应看到它们对于国际法制的负面的影响,不利于形成一个多边的和统一的法律制度。目前这样的“碎片化” 的安排,不仅容易引发国家间的贸易摩擦,也增加了数字贸易参与者的成本。因此从长远角度看, 针对跨境数据流动形成一个多边的国际法律规则势在必行。但是考虑到目前欧盟、美国和中国这三个最重要的国家或组织的不同规制路径,以及印度、加勒比海地区国家和撒哈拉以南非洲国家对电子商务议题并不太感兴趣的现实〔62〕,可以先考虑由中国与美国和欧盟等互联网产业和政策比较成熟的国家或经济体就跨境数据流动达成一个复边协定,再由其他国家以选择加入的方式扩大复边协定的影响,通过上文提到的共识构建机制凝聚发达国家和发展中国家的共识,进而形成一个多边规则体制

毕业论文:http://www.3lunwen.com/fx/gjf/4008.html

上一篇:浅谈国际法上的反对策在网络环境的适用

下一篇:浅析网络环境整治的国际法共识

     移动版:美国跨境数据流动性的国际法规制方向与中国的因应

本文标签:
最新论文