世貿(mào)組織背景下中國(guó)數(shù)據(jù)本地化存儲(chǔ)要求的評(píng)析
2019-07-06 16:43:15李毅王迪
李毅 王迪
摘 要:中國(guó)《網(wǎng)絡(luò)安全法》規(guī)定,“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”收集和產(chǎn)生的“重要數(shù)據(jù)和個(gè)人信息”須本地化存儲(chǔ)以及其跨境流動(dòng)須經(jīng)安全評(píng)估,這不僅符合中國(guó)在《服務(wù)貿(mào)易總協(xié)定》中作出的關(guān)于市場(chǎng)準(zhǔn)入與國(guó)民待遇的承諾,也符合其中的例外原則,而且這更是國(guó)際上具有普遍性的做法。美國(guó)對(duì)于中國(guó)《網(wǎng)絡(luò)安全法》的指責(zé)是從其數(shù)據(jù)霸權(quán)的地位出發(fā)的,是服務(wù)于其政治經(jīng)濟(jì)目的的。對(duì)于中國(guó)來(lái)說(shuō),統(tǒng)籌國(guó)際國(guó)內(nèi)兩個(gè)大局及其世貿(mào)組織成員國(guó)的身份,要求中國(guó)與世界各國(guó)一道在制定系列配套法律以及執(zhí)法過(guò)程中平衡好維護(hù)數(shù)據(jù)主權(quán)與促進(jìn)國(guó)際自由貿(mào)易兩個(gè)方面,努力促進(jìn)安全與發(fā)展目標(biāo)的達(dá)成和人類(lèi)福祉的提升。
關(guān)鍵詞:數(shù)據(jù)主權(quán);數(shù)據(jù)本地化存儲(chǔ);《網(wǎng)絡(luò)安全法》;世貿(mào)組織;《服務(wù)貿(mào)易總協(xié)定》
中圖分類(lèi)號(hào):D996.1???????? 文獻(xiàn)標(biāo)識(shí)碼:A? ? ?文章編號(hào):1673-8268(2019)04-0034-10
自中國(guó)《網(wǎng)絡(luò)安全法》頒布以來(lái),2018年,歐盟《一般數(shù)據(jù)保護(hù)條例》也正式實(shí)施,其他一些國(guó)家如印度、越南等,也在維護(hù)數(shù)據(jù)主權(quán)以及數(shù)據(jù)本地化存儲(chǔ)立法方面做了一些工作。基于國(guó)家或共同體安全和保護(hù)個(gè)人信息的考慮,對(duì)數(shù)據(jù)存儲(chǔ)和跨境流動(dòng)作出相應(yīng)規(guī)范,已成為世界各國(guó)各地區(qū)的普遍做法。
但是在經(jīng)濟(jì)全球化的背景下,在世界貿(mào)易組織的框架中,不可避免會(huì)存在對(duì)該政策可能會(huì)影響國(guó)際服務(wù)貿(mào)易的疑慮。如2017年,美國(guó)向WTO貿(mào)易服務(wù)委員會(huì)成員國(guó)控告中國(guó),聲稱(chēng)中國(guó)的《網(wǎng)絡(luò)安全法》及其一系列配套政策的有關(guān)規(guī)定將會(huì)阻礙數(shù)據(jù)跨境流動(dòng),從而影響到世貿(mào)組織框架下的服務(wù)貿(mào)易和在華外企業(yè)務(wù)的開(kāi)展。其關(guān)切主要在于“網(wǎng)絡(luò)運(yùn)營(yíng)者”定義的寬泛性、“重要數(shù)據(jù)”與“個(gè)人信息”傳輸限制的嚴(yán)苛性與牽涉社會(huì)部門(mén)的廣泛性、隱私保護(hù)義務(wù)的繁重性與不必要性、安全評(píng)估標(biāo)準(zhǔn)與關(guān)鍵信息基礎(chǔ)設(shè)施定義的寬泛性與模糊性等。基于此,美國(guó)要求中國(guó)承擔(dān)服務(wù)貿(mào)易總協(xié)定規(guī)定的市場(chǎng)準(zhǔn)入和國(guó)民待遇等方面的義務(wù)并暫緩發(fā)布和實(shí)施最終措施。其實(shí)早在2016年8月[1]以及2017年5月就分別有數(shù)十家外國(guó)團(tuán)體和國(guó)際商業(yè)機(jī)構(gòu)對(duì)中國(guó)的《網(wǎng)絡(luò)安全法(草案)》提出集體關(guān)切和質(zhì)疑。
所以,在世貿(mào)組織的背景下對(duì)中國(guó)數(shù)據(jù)本地化存儲(chǔ)的要求做一番評(píng)析是必要的。
一、數(shù)據(jù)本地化存儲(chǔ)的要求與數(shù)據(jù)主權(quán)
數(shù)據(jù)本地化存儲(chǔ)的要求是在大數(shù)據(jù)時(shí)代隨著一國(guó)安全形勢(shì)的變化而產(chǎn)生的,是國(guó)家數(shù)據(jù)主權(quán)的體現(xiàn)。
網(wǎng)絡(luò)技術(shù)領(lǐng)域“云”概念的應(yīng)用突破了對(duì)計(jì)算機(jī)硬件存儲(chǔ)器的需要,無(wú)數(shù)終端數(shù)據(jù)脫離硬件設(shè)備直接上傳存儲(chǔ)在國(guó)界線(xiàn)之上的“云”中,傳統(tǒng)意義上以國(guó)界線(xiàn)為終點(diǎn)的國(guó)家主權(quán)的行使在此失效,國(guó)家實(shí)質(zhì)上喪失了對(duì)本質(zhì)屬于國(guó)內(nèi)的數(shù)據(jù)的控制權(quán)[2],造成國(guó)家主權(quán)部分——所謂“數(shù)據(jù)主權(quán)”——缺失。這種狀況顯示出互聯(lián)網(wǎng)技術(shù)特征的原罪,這就是數(shù)據(jù)的所有權(quán)、使用權(quán)以及數(shù)據(jù)存儲(chǔ)的分離,從而使權(quán)利/權(quán)力識(shí)別和有效行使面臨困境[3]。
從單純強(qiáng)調(diào)互聯(lián)網(wǎng)主權(quán),到意識(shí)到信息的重要性,再到網(wǎng)絡(luò)空間主權(quán),最后到強(qiáng)調(diào)大數(shù)據(jù)的重要地位,計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的主權(quán)概念在我國(guó)的建立和發(fā)展是一個(gè)漸進(jìn)的過(guò)程。2010年,國(guó)務(wù)院新聞辦公室發(fā)布《中國(guó)互聯(lián)網(wǎng)狀況白皮書(shū)》,明確宣示中國(guó)境內(nèi)的互聯(lián)網(wǎng)屬于我國(guó)主權(quán)管轄范圍;2014年,習(xí)近平主席在巴西國(guó)會(huì)發(fā)表演講,提出“國(guó)家信息主權(quán)”的概念,強(qiáng)調(diào)國(guó)家信息主權(quán)權(quán)益不應(yīng)受到侵犯。隨著大數(shù)據(jù)概念的提出和技術(shù)應(yīng)用,“數(shù)據(jù)主權(quán)”的說(shuō)法出現(xiàn)在國(guó)務(wù)院文件中,2015年,國(guó)務(wù)院發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》,促進(jìn)大數(shù)據(jù)發(fā)展正式成為國(guó)家的行動(dòng)方略。
而在學(xué)術(shù)界,有學(xué)者將數(shù)據(jù)主權(quán)限定為網(wǎng)絡(luò)空間中的國(guó)家主權(quán)[4],但該觀(guān)點(diǎn)明顯忽視了大數(shù)據(jù)時(shí)代數(shù)據(jù)的來(lái)源不僅僅來(lái)自互聯(lián)網(wǎng),空間技術(shù)、衛(wèi)星傳播等也可以成為數(shù)據(jù)產(chǎn)生和流動(dòng)的路徑,所以?xún)H僅以網(wǎng)絡(luò)空間框定數(shù)據(jù)主權(quán)的涵義較為片面;另外有學(xué)者主張,數(shù)據(jù)主權(quán)是一國(guó)獨(dú)立自主對(duì)本國(guó)數(shù)據(jù)進(jìn)行管理和利用的權(quán)利[4],該觀(guān)點(diǎn)沿用傳統(tǒng)主權(quán)理論,避開(kāi)了對(duì)數(shù)據(jù)主權(quán)管轄范圍的討論,但又把主權(quán)限定在對(duì)數(shù)據(jù)進(jìn)行管理和利用的內(nèi)容上,忽視了與之相關(guān)的技術(shù)、設(shè)備等[5]。
實(shí)際上,還有學(xué)者對(duì)數(shù)據(jù)主權(quán)作廣義和狹義的兩種理解,認(rèn)為廣義的數(shù)據(jù)主權(quán)包括國(guó)家數(shù)據(jù)主權(quán)和個(gè)人數(shù)據(jù)主權(quán),兩者相互依存,互為實(shí)現(xiàn)的前提和支撐[6]。狹義的數(shù)據(jù)主權(quán)則不包括個(gè)人數(shù)據(jù)主權(quán),即用戶(hù)對(duì)其數(shù)據(jù)的自決權(quán)和自我控制權(quán)[7],僅僅指國(guó)家數(shù)據(jù)主權(quán)。
但大部分學(xué)者也能同意數(shù)據(jù)主權(quán)指一個(gè)國(guó)家對(duì)其政權(quán)管轄地域范圍內(nèi)個(gè)人、企業(yè)和相關(guān)組織所產(chǎn)生的數(shù)據(jù)擁有的最高權(quán)力[8]這樣一個(gè)定義,并且回歸主權(quán)的本義從對(duì)內(nèi)控制權(quán)和對(duì)外獨(dú)立性?xún)蓚€(gè)層次來(lái)理解[8],即數(shù)據(jù)主權(quán)是國(guó)家最高權(quán)力在數(shù)據(jù)領(lǐng)域的具化,具有獨(dú)立性、自主性和排他性的特征。在本國(guó)數(shù)據(jù)領(lǐng)域踐行傳統(tǒng)國(guó)家主權(quán)理論以確保國(guó)家對(duì)本國(guó)數(shù)據(jù)擁有獨(dú)立自主開(kāi)發(fā)、管理和處置的最高權(quán)力[9]是應(yīng)有之義。
二、中國(guó)涉及本地化存儲(chǔ)要求的國(guó)內(nèi)立法之主要內(nèi)容及其立法目的
(一)中國(guó)涉及本地化存儲(chǔ)要求的國(guó)內(nèi)立法之主要內(nèi)容
《網(wǎng)絡(luò)安全法》是在網(wǎng)絡(luò)技術(shù)高速發(fā)展與網(wǎng)絡(luò)立法規(guī)制碎片化雙重作用下產(chǎn)生了一些新的社會(huì)問(wèn)題的背景下出臺(tái)的。相關(guān)立法不健全、規(guī)范層級(jí)低、政出多門(mén)、以行政指令為主,網(wǎng)絡(luò)管理的工作重點(diǎn)依舊停留在對(duì)網(wǎng)絡(luò)公司的管理和對(duì)涉黃違法信息的監(jiān)控,對(duì)于一些新的問(wèn)題,比如跨國(guó)網(wǎng)絡(luò)犯罪和信息竊密則沒(méi)有涉及[10]。
關(guān)于我國(guó)的數(shù)據(jù)本地化立法,在國(guó)家安全層面上,《國(guó)家安全法》要求對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)實(shí)現(xiàn)安全可控。據(jù)此精神于2016年7月頒布的《網(wǎng)絡(luò)安全法》第37條規(guī)定:“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。”從而針對(duì)個(gè)人信息和重要數(shù)據(jù)確立了以境內(nèi)存儲(chǔ)為原則、安全評(píng)估后向境外提供為例外的跨境數(shù)據(jù)傳輸制度。當(dāng)前,與之相配套的一系列法律法規(guī)標(biāo)準(zhǔn)已經(jīng)制定出來(lái)或正在制定當(dāng)中,如《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄》等,增強(qiáng)了《網(wǎng)絡(luò)安全法》的可操作性。
此前,在我國(guó)一些特定行業(yè)的立法中也有關(guān)于數(shù)據(jù)本地化存儲(chǔ)要求的先例。2011年央行發(fā)布的《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》、保監(jiān)委發(fā)布的《保險(xiǎn)公司開(kāi)業(yè)驗(yàn)收指引》、2013年國(guó)務(wù)院《征信業(yè)管理?xiàng)l例》、2014年國(guó)家衛(wèi)計(jì)委發(fā)布的《人口健康信息管理辦法(試行)》、2015年國(guó)務(wù)院《地圖管理?xiàng)l例》、2016年發(fā)布的《網(wǎng)絡(luò)預(yù)約出租汽車(chē)經(jīng)營(yíng)服務(wù)管理暫行辦法》、廣電總局與工信部2016年發(fā)布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等都不同程度地提出了服務(wù)器和設(shè)施本地化的要求,有的則明確禁止在本國(guó)收集的數(shù)據(jù)出境。
認(rèn)真分析《網(wǎng)絡(luò)安全法》可以看出,中國(guó)的數(shù)據(jù)本地化存儲(chǔ)要求可以說(shuō)是剛?cè)嵯酀?jì):對(duì)于個(gè)人信息和重要數(shù)據(jù),不存在只要達(dá)到既定的保護(hù)標(biāo)準(zhǔn)就可以跨境流動(dòng)的數(shù)據(jù)目的國(guó),這是其剛性的一面;同時(shí)又有所變通,“因業(yè)務(wù)需要,確需向境外提供的”,可以通過(guò)安全評(píng)估跨境流動(dòng),這是其柔性的一面。從另一個(gè)角度看,要求數(shù)據(jù)目的國(guó)建立高標(biāo)準(zhǔn)的保護(hù)措施不會(huì)比要求通過(guò)安全評(píng)估更具歧視性。
所以,基于數(shù)據(jù)跨境流動(dòng)的貿(mào)易服務(wù)的提供在我國(guó)《網(wǎng)絡(luò)安全法》框架下仍是可以實(shí)現(xiàn)的,只不過(guò)涉及“重要數(shù)據(jù)”與“個(gè)人信息”的須經(jīng)過(guò)安全評(píng)估。同時(shí),歐盟于2018年10月正式通過(guò)了《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》,該條例針對(duì)非個(gè)人數(shù)據(jù)明確指出數(shù)據(jù)本地化規(guī)則的弊端, 要求確保在歐盟成員國(guó)實(shí)施數(shù)據(jù)自由流動(dòng)[11],其靈活性、區(qū)別對(duì)待的精神與中國(guó)《網(wǎng)絡(luò)安全法》的精神是一致的。
(二)中國(guó)數(shù)據(jù)本地化存儲(chǔ)要求的立法目的
入世之后,我國(guó)按照世貿(mào)組織的系列規(guī)則不斷深入對(duì)外開(kāi)放,各領(lǐng)域?qū)ν饨涣髋c合作不斷加深。一方面,這是順應(yīng)全球化趨勢(shì)與促進(jìn)國(guó)際貿(mào)易發(fā)展的要求,是統(tǒng)籌國(guó)際國(guó)內(nèi)兩個(gè)大局的體現(xiàn);而另一方面,在對(duì)外開(kāi)放的過(guò)程中,在信息技術(shù)水平相對(duì)不高并且尚未建立相關(guān)完善的法律保障體系的情況下,也必然導(dǎo)致整個(gè)經(jīng)濟(jì)社會(huì)面臨各種不確定性的挑戰(zhàn)。
1.維護(hù)國(guó)家安全
針對(duì)某國(guó)公私部門(mén)的網(wǎng)絡(luò)攻擊與一國(guó)防范敵對(duì)勢(shì)力竊取本國(guó)涉密信息的技術(shù)發(fā)展自網(wǎng)絡(luò)誕生至今一直是依存伴生的,二者是一種此消彼長(zhǎng)的關(guān)系,是網(wǎng)絡(luò)領(lǐng)域國(guó)際競(jìng)爭(zhēng)的表現(xiàn)。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測(cè)數(shù)據(jù)顯示,2018年,我國(guó)境內(nèi)有23 462個(gè)網(wǎng)站遭到篡改,其中有799個(gè)政府網(wǎng)站;針對(duì)境內(nèi)網(wǎng)站的仿冒頁(yè)面數(shù)量為55 180個(gè);約944萬(wàn)個(gè)終端遭到病毒感染,其中約616萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制服務(wù)器控制,境外木馬或僵尸程序控制服務(wù)器主要分布在美國(guó)、日本,控制境內(nèi)主機(jī)數(shù)量居前列的主要是美國(guó)、中國(guó)香港、加拿大等國(guó)家和地區(qū)有關(guān)數(shù)據(jù)為本文作者根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《互聯(lián)網(wǎng)安全威脅報(bào)告》整理計(jì)算得出。(參見(jiàn)http://www.cert.org.cn/publish/main/45/index.html)。一些針對(duì)工業(yè)控制領(lǐng)域發(fā)動(dòng)的網(wǎng)絡(luò)攻擊事件也頻頻發(fā)生,如美國(guó)紐約鮑曼水壩防洪控制系統(tǒng)遭受攻擊、烏克蘭電網(wǎng)因惡意程序“黑暗勢(shì)力”的變種攻擊發(fā)生供電故障等。而且中國(guó)還是高級(jí)持續(xù)性威脅(APT)組織的主要攻擊對(duì)象,大部分APT 組織都對(duì)我國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)了攻擊,涉及到多家政府部門(mén)、高校以及能源、航空、電信等重要信息系統(tǒng)部門(mén)[12]。同時(shí),網(wǎng)絡(luò)上暴力、黃色、反動(dòng)等信息以及謠言、非法宗教宣傳等也會(huì)造成極大危害。
可以說(shuō),只要國(guó)家間利益沖突的現(xiàn)象存在,甚至只要有國(guó)家存在,針對(duì)他國(guó)的公私部門(mén)進(jìn)行網(wǎng)絡(luò)攻擊以及從意識(shí)形態(tài)進(jìn)行文化宣傳以獲取秘密信息、危害他國(guó)國(guó)家安全的現(xiàn)象就會(huì)不斷發(fā)生。《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》指出:“數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源。”國(guó)家安全的內(nèi)涵和外延以技術(shù)水平為界限被大大展開(kāi),一個(gè)國(guó)家、一個(gè)企業(yè)的利益和前途很大程度上可以用其數(shù)據(jù)汲取能力和數(shù)據(jù)保護(hù)水平來(lái)定義和闡述。從商業(yè)利益到政治利益,從政治經(jīng)濟(jì)到社會(huì)文化,數(shù)據(jù)保護(hù)是這個(gè)時(shí)代國(guó)家安全戰(zhàn)的前線(xiàn),對(duì)某些關(guān)鍵數(shù)據(jù)的保護(hù)是必不可少的。在這種背景下,國(guó)家實(shí)際上承擔(dān)起巨大的網(wǎng)絡(luò)防務(wù)壓力,這需要我國(guó)在不斷提高網(wǎng)絡(luò)科技水平的同時(shí),通過(guò)各種途徑規(guī)制對(duì)外開(kāi)放背景下危害國(guó)家安全的各種因素。事實(shí)上,我國(guó)在不受黑客影響的量子通信技術(shù)方面已經(jīng)取得了突破。
2.保護(hù)個(gè)人數(shù)據(jù)
保護(hù)個(gè)人信息對(duì)于數(shù)據(jù)本地化存儲(chǔ)的要求實(shí)際上是從用戶(hù)隱私角度出發(fā)對(duì)國(guó)內(nèi)外相關(guān)主體無(wú)實(shí)質(zhì)歧視的同一規(guī)定,主要目的是保護(hù)公民權(quán)不受侵犯與防止用戶(hù)經(jīng)濟(jì)損失,甚至保護(hù)其生命安全。
近年來(lái),國(guó)內(nèi)外個(gè)人數(shù)據(jù)信息泄露事件逐年增多,對(duì)公民隱私權(quán)、財(cái)產(chǎn)權(quán)甚至生命權(quán)造成極大危害,在政治、經(jīng)濟(jì)、社會(huì)層面造成極端不良影響。2016年,美國(guó)總統(tǒng)大選“郵件門(mén)”嚴(yán)重影響了希拉里的選情;雅虎因先后兩次泄露涉及約15億的個(gè)人賬戶(hù)信息導(dǎo)致威瑞森收購(gòu)雅虎計(jì)劃擱置,在2017年最終完成收購(gòu)后,威瑞森又表示所有30億雅虎用戶(hù)的個(gè)人信息被泄露。2016年,我國(guó)免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)被惡意入侵,致使20萬(wàn)兒童的信息被泄露并被公開(kāi)售賣(mài);信息泄露導(dǎo)致精準(zhǔn)詐騙案件頻發(fā),如“徐玉玉案”等。根據(jù)公安部“凈網(wǎng)2018”專(zhuān)項(xiàng)行動(dòng)統(tǒng)計(jì),僅2018年一年,公安部門(mén)就偵破公民個(gè)人信息被竊取買(mǎi)賣(mài)案件5 000余起,抓獲犯罪嫌疑人1.3萬(wàn)余名,偵破黑客攻擊竊取數(shù)據(jù)案件2 000余起,抓獲犯罪嫌疑人2 000余名。
要求境外貿(mào)易服務(wù)提供者對(duì)個(gè)人信息進(jìn)行本地化存儲(chǔ)同樣也是出于對(duì)人權(quán)的尊重,與此同時(shí)并非完全禁止個(gè)人信息及數(shù)據(jù)跨境流動(dòng),安全評(píng)估是尊重人權(quán)的應(yīng)有之義。
三、中國(guó)數(shù)據(jù)本地化存儲(chǔ)要求的合法性分析——是否符合基于WTO協(xié)議承擔(dān)的相關(guān)義務(wù)
(一)中國(guó)的數(shù)據(jù)本地化存儲(chǔ)要求與《服務(wù)貿(mào)易總協(xié)定》中所承諾的義務(wù)
中國(guó)依據(jù)《服務(wù)貿(mào)易總協(xié)定》(GATS)及《入世議定書(shū)》履行了在服務(wù)貿(mào)易領(lǐng)域給予WTO其他成員方國(guó)民待遇、市場(chǎng)準(zhǔn)入的義務(wù),在有關(guān)國(guó)內(nèi)立法方面也作出某些承諾。
1.國(guó)內(nèi)法規(guī)
《服務(wù)貿(mào)易總協(xié)定》第6條第1款規(guī)定,每一成員應(yīng)保證所有影響服務(wù)貿(mào)易的普遍適用的措施以合理、客觀(guān)和公正的方式實(shí)施。
其實(shí),我國(guó)對(duì)于重要數(shù)據(jù)與個(gè)人信息本地化存儲(chǔ)以及跨境流動(dòng)須經(jīng)安全評(píng)估的要求的實(shí)施是否符合合理、客觀(guān)、公正的要求是一個(gè)程序問(wèn)題,這不僅在表述上可以推出,而且在WTO貿(mào)易爭(zhēng)端解決機(jī)制框架內(nèi)的判例也可佐證。在“美國(guó):影響賭博和博彩服務(wù)的跨境提供的措施案”中,專(zhuān)家組認(rèn)為《服務(wù)貿(mào)易總協(xié)定》第6條第1款并非指向有關(guān)措施的實(shí)質(zhì)內(nèi)容,而主要針對(duì)的是其實(shí)施程序。同時(shí),有學(xué)者認(rèn)為,根據(jù)以往判例,投訴一個(gè)WTO 成員的行為不公正或不合理是一種嚴(yán)重的指控,所以投訴方根據(jù)《服務(wù)貿(mào)易總協(xié)定》第6條第1款對(duì)中國(guó)提出的指控,應(yīng)當(dāng)進(jìn)行與這一指控相一致的充分舉證,來(lái)證明中國(guó)本地化存儲(chǔ)政策要求的實(shí)施方式的確使其公司在市場(chǎng)競(jìng)爭(zhēng)中受到了不利影響;而從中國(guó)政府的角度看,如果能夠證明該要求的實(shí)施方式與世界上大多數(shù)或者相當(dāng)一部分國(guó)家類(lèi)似,無(wú)疑有助于避免被視為不合理、不客觀(guān)、不公正[13],這一點(diǎn)將在本文第四部分詳述。
2.市場(chǎng)準(zhǔn)入
《服務(wù)貿(mào)易總協(xié)定》第16條規(guī)定,對(duì)于市場(chǎng)準(zhǔn)入,每一成員對(duì)任何其他成員的服務(wù)和服務(wù)提供者給予的待遇,不得低于其在具體承諾減讓表中同意和列明的條款、限制和條件,不得就服務(wù)提供者的數(shù)量、服務(wù)交易或資產(chǎn)總值等六個(gè)方面維持或采取任何限制性措施。
在減讓表中,在《服務(wù)貿(mào)易總協(xié)定》所規(guī)定的四種服務(wù)提供方式下,增值電信服務(wù)包括電子郵件、電子數(shù)據(jù)交換等七項(xiàng)內(nèi)容。中國(guó)對(duì)需要本地化存儲(chǔ)的“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”收集和產(chǎn)生的“個(gè)人信息和重要數(shù)據(jù)”的跨境流動(dòng)要求進(jìn)行安全評(píng)估,沒(méi)有低于減讓表中的對(duì)于任何一種服務(wù)提供方式下任何一項(xiàng)業(yè)務(wù)內(nèi)容的承諾,反而會(huì)因嚴(yán)格的數(shù)據(jù)類(lèi)別限定使某些外國(guó)企業(yè)的服務(wù)貿(mào)易過(guò)程更加規(guī)范化,實(shí)際上這項(xiàng)要求并沒(méi)有對(duì)市場(chǎng)準(zhǔn)入義務(wù)的承諾造成任何不利影響。
3.國(guó)民待遇
《服務(wù)貿(mào)易總協(xié)定》第17條規(guī)定,對(duì)于列入減讓表的部門(mén),每一成員在影響服務(wù)提供的所有措施方面給予任何其他成員的服務(wù)和服務(wù)提供者的待遇,不得低于其給予本國(guó)同類(lèi)服務(wù)和服務(wù)提供者的待遇。
《網(wǎng)絡(luò)安全法》對(duì)中外企業(yè)提供服務(wù)貿(mào)易共同適用、同等對(duì)待,在實(shí)質(zhì)上不存在造成外國(guó)服務(wù)貿(mào)易提供者相較本國(guó)提供者處于一個(gè)不利地位的疑問(wèn)。事實(shí)上,在資本全球化的今天,國(guó)際投資規(guī)模、范圍不斷擴(kuò)大,程度不斷加深,單純的本土企業(yè)已經(jīng)很少了,需要進(jìn)行重要數(shù)據(jù)與個(gè)人信息跨境流動(dòng)的企業(yè)都必定是有國(guó)際競(jìng)爭(zhēng)力的大企業(yè),而能與它們競(jìng)爭(zhēng)的主要營(yíng)業(yè)地在國(guó)內(nèi)的企業(yè)或多或少都有外資持股或者在境外有子企業(yè),如阿里巴巴前兩大股東是軟銀與雅虎,持股比例為44.2%,這還是在阿里上市后持股比例有所下降的情況下;而騰訊第一大股東南非MIH集團(tuán)持股比例也達(dá)到了33.93%。這些有外資持股或在境外設(shè)立了子企業(yè)的國(guó)內(nèi)公司在實(shí)際運(yùn)營(yíng)過(guò)程中也必然涉及到數(shù)據(jù)跨境流動(dòng),在涉及到重要數(shù)據(jù)與個(gè)人信息時(shí),它們也同樣適用《網(wǎng)絡(luò)安全法》。
4.關(guān)于電信服務(wù)的附件
《服務(wù)貿(mào)易總協(xié)定》的電信服務(wù)附件將《服務(wù)貿(mào)易總協(xié)定》有關(guān)公共電信傳輸和服務(wù)措施進(jìn)行了詳細(xì)規(guī)定,具體包括對(duì)電信服務(wù)的范圍含義進(jìn)行了界定、對(duì)有關(guān)電信服務(wù)的透明度和進(jìn)入使用以及國(guó)際技術(shù)合作需求作了要求和規(guī)范,同樣并未在《服務(wù)貿(mào)易總協(xié)定》減讓表之外要求承擔(dān)義務(wù)。其第5條有關(guān)成員在公共電信傳輸網(wǎng)及其服務(wù)的準(zhǔn)入和使用方面的義務(wù)構(gòu)成了該附件的關(guān)鍵內(nèi)容,其中(c)款規(guī)定,每一成員應(yīng)保證任何其他成員的服務(wù)提供者可使用公共電信傳輸網(wǎng)絡(luò)和服務(wù)在其境內(nèi)或跨境傳送信息。同時(shí)(d)款規(guī)定:盡管有上一項(xiàng)的規(guī)定,但是一成員仍可采取必要措施,以保證信息的安全和機(jī)密性,但此類(lèi)措施不得以對(duì)服務(wù)貿(mào)易構(gòu)成任意的或不合理的歧視或構(gòu)成變相限制的方式實(shí)施。在4.1.2與4.1.3中已經(jīng)論證了數(shù)據(jù)本地化存儲(chǔ)與安全評(píng)估數(shù)據(jù)跨境流動(dòng)的要求符合我國(guó)所作的市場(chǎng)準(zhǔn)入與國(guó)民待遇承諾,是非歧視的。
同時(shí),中國(guó)《網(wǎng)絡(luò)安全法》要求本地化存儲(chǔ)并對(duì)要求跨境流動(dòng)的個(gè)人信息和重要數(shù)據(jù)進(jìn)行安全評(píng)估絕對(duì)不會(huì)比歐盟對(duì)數(shù)據(jù)目的國(guó)越來(lái)越高的保護(hù)標(biāo)準(zhǔn)要求更具歧視性,不斷提高的保護(hù)標(biāo)準(zhǔn)也會(huì)使人產(chǎn)生這是否實(shí)質(zhì)上限制了服務(wù)貿(mào)易的疑問(wèn),因此,我們不能將歧視的概念無(wú)節(jié)制地濫用。
(二)中國(guó)的數(shù)據(jù)本地化存儲(chǔ)要求與《服務(wù)貿(mào)易總協(xié)定》中的例外規(guī)定
《服務(wù)貿(mào)易總協(xié)定》第14條一般例外條款規(guī)定,在某些情況下成員國(guó)所作的承諾可以有所例外,如為保護(hù)公共道德或維護(hù)公共秩序、為保護(hù)個(gè)人隱私和個(gè)人賬戶(hù)的機(jī)密性。但同時(shí)《關(guān)于基礎(chǔ)電信談判的附件》第5條又規(guī)定,只有在社會(huì)的某一根本利益受到真正的和足夠嚴(yán)重的威脅時(shí),方可援引公共秩序例外條款。但同一條下的安全條款則又追加例外規(guī)定:不得要求任何成員提供其認(rèn)為如披露則會(huì)違背其根本安全利益的任何信息。
我國(guó)立法將“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”收集和產(chǎn)生的“個(gè)人信息和重要數(shù)據(jù)”進(jìn)行本地化存儲(chǔ)、確需跨境流動(dòng)的須經(jīng)安全評(píng)估的要求是適用于例外原則的。首先,這是維護(hù)公共道德與公共秩序、保護(hù)個(gè)人隱私與賬戶(hù)機(jī)密性所必需的措施。我們無(wú)法確定在電信詐騙猖狂泛濫的今天如果不加謹(jǐn)慎評(píng)估就允許個(gè)人信息流向境外會(huì)不會(huì)導(dǎo)致甚至比徐玉玉事件還惡劣的侵犯人權(quán)的案件,比如近些年頻發(fā)的跨境(臺(tái)灣東南亞地區(qū))電信詐騙案件,這對(duì)社會(huì)秩序與公民基本權(quán)利的威脅與侵害已經(jīng)足夠嚴(yán)重。其次,在此基礎(chǔ)上,我們甚至可以援引一般例外條款的(b)款:為保護(hù)人類(lèi)、動(dòng)物或植物的生命或健康所必需的措施。最后,安全例外條款將某些信息的披露是否會(huì)損害一國(guó)根本安全的判斷權(quán)交給了援引國(guó),即“其認(rèn)為”的表述的內(nèi)涵。
四、中國(guó)的數(shù)據(jù)本地化存儲(chǔ)要求的合理性分析——當(dāng)前的國(guó)際實(shí)踐及趨勢(shì)
雖然中國(guó)國(guó)內(nèi)法被某些國(guó)家指責(zé)違反有關(guān)國(guó)際條約、協(xié)議,就像美國(guó)指責(zé)中國(guó)《網(wǎng)絡(luò)安全法》將會(huì)阻礙數(shù)據(jù)跨境流動(dòng),由此影響以之為基礎(chǔ)的特別是外國(guó)企業(yè)的服務(wù)貿(mào)易的提供一樣,但在本文第三部分已經(jīng)證明我國(guó)關(guān)于數(shù)據(jù)本地化存儲(chǔ)的政策要求首先是符合基于WTO協(xié)議承擔(dān)的相關(guān)義務(wù)的,具有合法性。再者,從國(guó)際實(shí)踐看,我們的做法也是合理的,外國(guó)的質(zhì)疑是可以澄清甚至可以被反質(zhì)疑的。
(一)數(shù)據(jù)本地化存儲(chǔ)的國(guó)際實(shí)踐
數(shù)據(jù)本地化要求將數(shù)據(jù)存儲(chǔ)在本國(guó)的數(shù)據(jù)中心,謀求達(dá)到諸如保障國(guó)家安全和個(gè)人隱私、便利本國(guó)執(zhí)法、促進(jìn)本國(guó)產(chǎn)業(yè)發(fā)展的政策目標(biāo)[14]。圍繞國(guó)家安全的主題,各國(guó)政府在斯諾登事件前后開(kāi)始對(duì)數(shù)據(jù)安全、數(shù)據(jù)主權(quán)的議題更加關(guān)注,紛紛采取了不同限制程度的數(shù)據(jù)本地化措施。如印度尼西亞2012年通過(guò)的《電子系統(tǒng)與交易操作政府條例》(Government Regulation Concerning Electronic System and Transaction Operation,2012)要求公共服務(wù)的電子系統(tǒng)運(yùn)營(yíng)者應(yīng)當(dāng)把數(shù)據(jù)中心設(shè)置在本國(guó)境內(nèi);俄羅斯2015年9月1日生效的《個(gè)人數(shù)據(jù)法》規(guī)定,“運(yùn)營(yíng)人應(yīng)確保使用位于俄羅斯聯(lián)邦境內(nèi)的數(shù)據(jù)庫(kù)以記錄、系統(tǒng)化、積累、存儲(chǔ)、澄清(更新或修改)和取回俄羅斯聯(lián)邦公民的個(gè)人數(shù)據(jù)”,亦即必須將俄羅斯公民的個(gè)人數(shù)據(jù)保存在俄境內(nèi)的服務(wù)器上;2016年,伊朗要求外國(guó)即時(shí)通訊應(yīng)用公司必須將伊朗用戶(hù)數(shù)據(jù)存儲(chǔ)在伊朗境內(nèi);2018年7月,印度專(zhuān)門(mén)成立的高級(jí)別委員會(huì)發(fā)布了《2018年個(gè)人數(shù)據(jù)保護(hù)法案》,規(guī)定個(gè)人數(shù)據(jù)應(yīng)確保在位于印度的服務(wù)器或數(shù)據(jù)中心存儲(chǔ)至少一份服務(wù)副本。
所以從國(guó)際范圍看,本地化存儲(chǔ)是合理的、慣常的。事實(shí)上,據(jù)統(tǒng)計(jì),目前全球有超過(guò)60個(gè)國(guó)家作出了數(shù)據(jù)本地化存儲(chǔ)的要求,其中既包括歐美發(fā)達(dá)國(guó)家,也包括亞非發(fā)展中國(guó)家與轉(zhuǎn)型國(guó)家。,如圖1所示,顏色越深,表示該國(guó)家或地區(qū)數(shù)據(jù)本地化規(guī)定越嚴(yán)苛
(二)限制數(shù)據(jù)跨境流動(dòng)的國(guó)際實(shí)踐
數(shù)據(jù)本地化存儲(chǔ)與數(shù)據(jù)跨境流動(dòng)既有聯(lián)系又有不同。簡(jiǎn)單說(shuō),對(duì)數(shù)據(jù)有本地化存儲(chǔ)要求不一定意味著禁止數(shù)據(jù)跨境流動(dòng)。如印度《2018年個(gè)人數(shù)據(jù)保護(hù)法案》,其對(duì)個(gè)人數(shù)據(jù)有本地化存儲(chǔ)的要求,但是除其中的關(guān)鍵個(gè)人數(shù)據(jù)僅能在位于印度的服務(wù)器或數(shù)據(jù)中心中處理不得出境外,其他個(gè)人數(shù)據(jù)是可以有條件出境或沒(méi)有限制的[16];俄羅斯關(guān)于個(gè)人數(shù)據(jù)的跨境傳輸主要受規(guī)制于2006年生效的《個(gè)人信息保護(hù)法》,其精神是對(duì)于為個(gè)人數(shù)據(jù)提供充分保護(hù)的國(guó)家可以自由傳輸,否則必須基于個(gè)人的書(shū)面同意[17]。相似地,歐盟從《安全港協(xié)議》和《數(shù)據(jù)保護(hù)指令》到《隱私保護(hù)協(xié)議》和《一般數(shù)據(jù)保護(hù)條例》,都要求數(shù)據(jù)目的國(guó)能對(duì)跨境流動(dòng)的數(shù)據(jù)安全提供高標(biāo)準(zhǔn)的保護(hù),而韓國(guó)在2011年通過(guò)的《個(gè)人信息保護(hù)法》(Personal Information Protection Act,2011)同樣規(guī)定數(shù)據(jù)的流動(dòng)必須獲得數(shù)據(jù)主體的同意。
事實(shí)上,在國(guó)際實(shí)踐中,大部分國(guó)家只對(duì)某一類(lèi)或幾類(lèi)關(guān)鍵數(shù)據(jù)的跨境流動(dòng)進(jìn)行限制。如澳大利亞在2012年通過(guò)的《個(gè)人控制電子健康記錄法案》(Personally Controlled Electronic Health Records Act,2012)專(zhuān)門(mén)針對(duì)個(gè)人電子健康記錄作出了禁止出境的規(guī)定,要求不得將醫(yī)療信息記錄移至澳大利亞境外,更不得在境外加工處理這些信息;意大利、匈牙利等國(guó)禁止將政府?dāng)?shù)據(jù)存儲(chǔ)于國(guó)外云服務(wù)提供商的服務(wù)器中;印尼在立法中要求交易數(shù)據(jù)必須存儲(chǔ)在境內(nèi);澳大利亞規(guī)定,對(duì)于屬于安全分類(lèi)的數(shù)據(jù),必須儲(chǔ)存在政府部門(mén)的云數(shù)據(jù)庫(kù)中,嚴(yán)禁在任何離岸公共云數(shù)據(jù)庫(kù)中存儲(chǔ);美國(guó)在進(jìn)行外資安全審查之后要求簽署的“安全協(xié)議”應(yīng)體現(xiàn)“禁止外資通信公司將用戶(hù)的通信數(shù)據(jù)和個(gè)人數(shù)據(jù)存儲(chǔ)在境外”的規(guī)定條款;美國(guó)《出口管理?xiàng)l例》(The Export Administrative Regulations,EAR)對(duì)部分重要數(shù)據(jù)的出口進(jìn)行許可管制,要求必須取得相關(guān)部門(mén)頒發(fā)的許可證才可以出口;2016年,谷歌向韓國(guó)政府申請(qǐng)將韓國(guó)的地圖數(shù)據(jù)向境外數(shù)據(jù)中心輸出,韓國(guó)政府認(rèn)為,谷歌在韓國(guó)擁有較大的市場(chǎng)占有率,將本國(guó)地圖數(shù)據(jù)輸出境外將影響國(guó)家主要設(shè)施的安全,所以要求谷歌首先對(duì)韓國(guó)國(guó)內(nèi)的重要設(shè)施進(jìn)行模糊化處理。2017年5月1日,美國(guó)信息技術(shù)與創(chuàng)新基金會(huì)(ITIF)發(fā)布了一份關(guān)于跨境數(shù)據(jù)流動(dòng)的報(bào)告,對(duì)世界有關(guān)國(guó)家限制數(shù)據(jù)跨境流動(dòng)的種類(lèi)作了詳細(xì)的介紹,主要限制數(shù)據(jù)有財(cái)會(huì)稅務(wù)類(lèi)、個(gè)人類(lèi)、電信類(lèi)、新興數(shù)字服務(wù)類(lèi)、政府和公共類(lèi)以及其他類(lèi)。
(三)小 結(jié)
有學(xué)者總結(jié),在現(xiàn)階段,各國(guó)在數(shù)據(jù)主權(quán)和數(shù)據(jù)跨境流動(dòng)方面的核心在于謀求對(duì)本國(guó)數(shù)據(jù)的排他性最高控制權(quán)。這不僅體現(xiàn)出各國(guó)對(duì)于獨(dú)立發(fā)展本國(guó)數(shù)據(jù)產(chǎn)業(yè)的需要,而且更體現(xiàn)出各國(guó)對(duì)于國(guó)家主權(quán)、對(duì)于本國(guó)有權(quán)根據(jù)自己的意志自行決定如何制定法規(guī)制度而排除任何外部勢(shì)力干涉和支配的宣示[9]。還有學(xué)者指出,除法理之外,對(duì)數(shù)據(jù)跨國(guó)流動(dòng)進(jìn)行限制也可以是基于道德倫理的要求。對(duì)于侵害文化倫理、道德價(jià)值觀(guān)的數(shù)據(jù)不得傳入境內(nèi)。此外,數(shù)據(jù)的跨境流動(dòng)也應(yīng)堅(jiān)持對(duì)等原則,凡是對(duì)本國(guó)公民和團(tuán)體的數(shù)據(jù)權(quán)利加以限制的,應(yīng)予以同等對(duì)待[19]。此外,還有學(xué)者認(rèn)為,當(dāng)今關(guān)于數(shù)據(jù)主權(quán)在國(guó)際上的立法表現(xiàn)為三種趨勢(shì)[20]:一是限制重要數(shù)據(jù)跨境出口,維護(hù)本國(guó)數(shù)據(jù)安全;二是通過(guò)對(duì)個(gè)人數(shù)據(jù)本地化存儲(chǔ)的立法調(diào)整,強(qiáng)化對(duì)數(shù)據(jù)的控制;三是延伸對(duì)數(shù)據(jù)的域外管轄權(quán),從屬地主義擴(kuò)大到屬人主義。
這些都可以證明中國(guó)數(shù)據(jù)本地化存儲(chǔ)與重要信息跨境流動(dòng)須經(jīng)安全評(píng)估的要求與世界上大多數(shù)或者相當(dāng)一部分國(guó)家類(lèi)似,是國(guó)際上普遍的做法。
我們發(fā)現(xiàn),圍繞數(shù)據(jù)本地化存儲(chǔ)與數(shù)據(jù)跨境流動(dòng)議題進(jìn)行反復(fù)交鋒實(shí)際上形成了兩種訴求相反的共同體,一方是美國(guó)數(shù)據(jù)霸權(quán),“911”事件之后,美國(guó)國(guó)會(huì)通過(guò)《愛(ài)國(guó)者法案》,以愛(ài)國(guó)反恐的名義為聯(lián)邦政府搜集處理全球范圍內(nèi)的私人數(shù)據(jù)提供了便利,為警察機(jī)關(guān)監(jiān)控有關(guān)個(gè)人信息如私人電話(huà)、私人郵件、消費(fèi)記錄等大開(kāi)方便之門(mén)。對(duì)于企業(yè),美國(guó)情報(bào)機(jī)構(gòu)可直接進(jìn)入微軟、雅虎、谷歌等跨國(guó)互聯(lián)網(wǎng)公司的服務(wù)器和數(shù)據(jù)庫(kù)獲取位于歐洲數(shù)據(jù)中心的數(shù)據(jù),實(shí)質(zhì)上相當(dāng)于撕毀了《安全港協(xié)議》。自2016年12月1日開(kāi)始,美國(guó)聯(lián)邦調(diào)查局根據(jù)修訂后的《聯(lián)邦刑事訴訟程序規(guī)則》第41條,將在獲得搜查令后,“進(jìn)入”網(wǎng)絡(luò)獲得相關(guān)的證據(jù),而無(wú)論遭入侵裝置的具體地理位置。從最直接的結(jié)果看,美國(guó)的聯(lián)邦調(diào)查局僅僅憑借美國(guó)某個(gè)洲,乃至某個(gè)地區(qū)司法機(jī)構(gòu)簽發(fā)的搜查令,就可以“合法”地入侵其他地區(qū)、其他州、乃至其他國(guó)家的網(wǎng)絡(luò)設(shè)備。2017年2月,費(fèi)城地方法院裁決,要求谷歌提供儲(chǔ)存在境外服務(wù)器上的該公司客戶(hù)郵件,以便美國(guó)聯(lián)邦調(diào)查局(FBI)展開(kāi)欺詐案的調(diào)查工作。加利福尼亞州地方法官認(rèn)為,如果谷歌能夠在美國(guó)境內(nèi)自有機(jī)器上提取信息,此類(lèi)信息就理應(yīng)屬于美國(guó)法院管轄范圍。此外,由于信息提取自山景城谷歌總部,不應(yīng)被視為海外信息,與微軟隱私案中提及的將信息存儲(chǔ)在愛(ài)爾蘭的情況有所不同,最終谷歌還是按照政府要求提供了搜查令中規(guī)定的所有Gmail賬戶(hù)和郵件信息。2017年10月6日,美國(guó)發(fā)布新《美國(guó)自由法》草案,更新并重新授權(quán)了《外國(guó)情報(bào)監(jiān)聽(tīng)法》(FISA)第702條,目的是為查明和遏制針對(duì)美國(guó)國(guó)家和公民的恐怖主義威脅收集位于美國(guó)境外的非美國(guó)人通信,這使美國(guó)國(guó)家安全局(NSA)和FBI的監(jiān)控合法化。另一方是美國(guó)之外的其他國(guó)家,他們起碼能在這樣的描述上達(dá)成與美國(guó)相對(duì)立的共識(shí):這些國(guó)家追求對(duì)本國(guó)數(shù)據(jù)的保護(hù),以保證不會(huì)被用于不利于國(guó)家與民眾的目的,在此基礎(chǔ)上再進(jìn)行跨境流動(dòng)與利用。
五、世貿(mào)組織背景下數(shù)據(jù)本地化存儲(chǔ)與自由貿(mào)易的協(xié)調(diào)
(一)數(shù)據(jù)本地化的困境與數(shù)據(jù)主權(quán)的對(duì)抗
雖然本文從國(guó)內(nèi)立法本身的內(nèi)容與配套措施的完備、世貿(mào)組織框架內(nèi)對(duì)承諾的國(guó)民待遇與市場(chǎng)準(zhǔn)入等義務(wù)的遵守、國(guó)際上類(lèi)似立法的普遍性、反對(duì)數(shù)據(jù)霸權(quán)等角度,論證了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”收集和產(chǎn)生的“個(gè)人信息和重要數(shù)據(jù)”須本地存儲(chǔ)以及其跨境流動(dòng)須經(jīng)安全評(píng)估的政策要求的合法性與合理性,但數(shù)據(jù)本地化的實(shí)踐仍面臨著雙重困境:正如前文所述,數(shù)據(jù)天然無(wú)國(guó)界,可以在全球范圍內(nèi)自由使用,云技術(shù)的出現(xiàn)則更加方便了數(shù)據(jù)的跨境操作,同時(shí)電子商務(wù)跨境業(yè)務(wù)的發(fā)展也催生了跨境收集和處理用戶(hù)信息的極大需求,所以基于規(guī)范數(shù)據(jù)流動(dòng)的制度設(shè)計(jì)也必須界定明確、設(shè)計(jì)嚴(yán)密以便于執(zhí)行[14],即個(gè)人信息與重要數(shù)據(jù)的明確界定、以何種具體方式獲得數(shù)據(jù)主體的同意等必須明確化。
此外,過(guò)于強(qiáng)調(diào)本國(guó)的數(shù)據(jù)主權(quán)將會(huì)導(dǎo)致對(duì)抗?fàn)顟B(tài)[5]。首先,強(qiáng)調(diào)數(shù)據(jù)主權(quán)絕對(duì)獨(dú)立將導(dǎo)致多重管轄權(quán)沖突。在大數(shù)據(jù)時(shí)代,數(shù)據(jù)流動(dòng)牽涉到多方跨境主體,流動(dòng)范圍遍及全球。由于數(shù)據(jù)是完整的、不可分割的,只要數(shù)據(jù)一跨境便會(huì)導(dǎo)致國(guó)家管轄權(quán)的重疊,并由此產(chǎn)生主權(quán)沖突。在此情形下,法律多重適用將導(dǎo)致服務(wù)商趨易避難,逃避較為嚴(yán)格的數(shù)據(jù)保護(hù)國(guó)內(nèi)規(guī)制,從而影響本國(guó)數(shù)據(jù)安全;其次,如果政府傾向于對(duì)數(shù)據(jù)實(shí)施絕對(duì)的單邊控制,這實(shí)際上將侵犯公民個(gè)人權(quán)利;最后,產(chǎn)生物極必反的效果。
(二)世貿(mào)組織背景下數(shù)據(jù)本地化存儲(chǔ)與自由貿(mào)易的協(xié)調(diào)
有不少外國(guó)學(xué)者認(rèn)為,數(shù)據(jù)本地化存儲(chǔ)抑制了數(shù)據(jù)流動(dòng)的天性,破壞了開(kāi)放互通的互聯(lián)網(wǎng)架構(gòu),與全球化世界中各種要素高速流動(dòng)的需要和現(xiàn)實(shí)背道而馳,將會(huì)嚴(yán)重影響產(chǎn)業(yè)發(fā)展和技術(shù)進(jìn)步。有研究指出,數(shù)據(jù)本地化存儲(chǔ)的措施將造成一國(guó)GDP的損失,如對(duì)歐盟、印度、中國(guó)、俄羅斯的GDP將分別降低0.48%、0.25%、0.55%、0.27%[21]。我們可以注意到,這些研究報(bào)告中經(jīng)過(guò)合理建模所量化出來(lái)的“精確”的結(jié)果是一種純技術(shù)層面的考量,沒(méi)有注意到如果完全放任一國(guó)內(nèi)的所有信息或者數(shù)據(jù)跨境流動(dòng),不僅在技術(shù)水平不高、法制不健全的國(guó)家或地區(qū)可能引發(fā)違法犯罪現(xiàn)象,而且也是對(duì)公民權(quán)利尤其是隱私權(quán)的肆意踐踏。
就像在經(jīng)濟(jì)領(lǐng)域市場(chǎng)政府兩只手要相互搭配一樣,世貿(mào)組織框架下全球范圍內(nèi)的數(shù)據(jù)流動(dòng)也要找到自由貿(mào)易與數(shù)據(jù)主權(quán)的那一個(gè)平衡點(diǎn),其主要思路是:基于網(wǎng)絡(luò)空間的雙重屬性,在堅(jiān)持網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)的前提下求同存異、爭(zhēng)取共識(shí),對(duì)不同種類(lèi)數(shù)據(jù)區(qū)別對(duì)待,以謀求自由貿(mào)易的推進(jìn),人類(lèi)福祉的提高。
毋庸置疑,網(wǎng)絡(luò)空間作為一種特殊空間,兼有現(xiàn)實(shí)性和虛擬性的雙重特點(diǎn),因而也是兼具主權(quán)與公域的雙重屬性[22]。同理,對(duì)于各種數(shù)據(jù),一方面,數(shù)據(jù)是虛擬的,不存在于一個(gè)有明確界限的空間之內(nèi),由跨越國(guó)境的各有關(guān)主體共享。雖然數(shù)據(jù)關(guān)系到所有國(guó)家和地區(qū)的利益,但任何政府都無(wú)法實(shí)現(xiàn)對(duì)其單獨(dú)、絕對(duì)的控制。但另一方面,數(shù)據(jù)也具有主權(quán)屬性。一國(guó)政府有權(quán)對(duì)產(chǎn)生和流經(jīng)其管轄范圍的數(shù)據(jù)行使主權(quán),對(duì)管轄范圍外的數(shù)據(jù)甚至可以依據(jù)國(guó)際法對(duì)其進(jìn)行管轄。
同時(shí),圍繞數(shù)據(jù)本地化存儲(chǔ)與數(shù)據(jù)跨境流動(dòng)議題也就是“數(shù)據(jù)主權(quán)”進(jìn)行反復(fù)交鋒則形成了兩大陣營(yíng),一方是美國(guó)數(shù)據(jù)霸權(quán),另一方是通過(guò)各種形式保護(hù)本國(guó)數(shù)據(jù)的國(guó)家。兩大陣營(yíng)在短期內(nèi)完全消除分歧是不現(xiàn)實(shí)的,這其實(shí)是由美國(guó)處于信息技術(shù)水平絕對(duì)領(lǐng)先地位決定的。
因此,當(dāng)前比較現(xiàn)實(shí)的策略是在堅(jiān)持網(wǎng)絡(luò)主權(quán)與數(shù)據(jù)主權(quán)的前提下求同存異、爭(zhēng)取共識(shí),循序漸進(jìn)地向構(gòu)建多邊共贏(yíng)的國(guó)際網(wǎng)絡(luò)治理模式推進(jìn),在世貿(mào)組織框架下做好適當(dāng)安排,進(jìn)行區(qū)別對(duì)待,關(guān)注成員國(guó)對(duì)國(guó)家安全、公民隱私與經(jīng)濟(jì)發(fā)展的三重關(guān)切,努力搭建一個(gè)公平合理的世界經(jīng)濟(jì)舞臺(tái),共同致力于人類(lèi)福祉的提升。
六、結(jié) 語(yǔ)
包括數(shù)據(jù)主權(quán)在內(nèi)的網(wǎng)絡(luò)主權(quán),在中國(guó)現(xiàn)在所處的發(fā)展階段承擔(dān)著促進(jìn)國(guó)家發(fā)展和維護(hù)國(guó)家安全的雙重目的[23],此外也是捍衛(wèi)公民權(quán)利的著力點(diǎn)。
針對(duì)國(guó)際上的疑慮,就《網(wǎng)絡(luò)安全法》本身來(lái)說(shuō),它至少有2個(gè)配套國(guó)家戰(zhàn)略、6個(gè)配套規(guī)章和規(guī)范性文件、2個(gè)配套立法草案、15個(gè)配套國(guó)家標(biāo)準(zhǔn)草案和3個(gè)國(guó)家標(biāo)準(zhǔn)立項(xiàng),通過(guò)這些配套法律法規(guī)標(biāo)準(zhǔn)的細(xì)化,《網(wǎng)絡(luò)安全法》的可操作性將會(huì)增強(qiáng)、爭(zhēng)議性將會(huì)消減。
就中國(guó)在世貿(mào)組織框架內(nèi)所作出的承諾來(lái)說(shuō),首先,作為有可能影響服務(wù)貿(mào)易的國(guó)內(nèi)立法,根據(jù)GATS專(zhuān)家組判例,其實(shí)施是否符合合理、客觀(guān)、公正的要求只是一個(gè)程序問(wèn)題,并且需要指控一方充分舉證。其次,在市場(chǎng)準(zhǔn)入方面,數(shù)據(jù)跨境流動(dòng)不會(huì)對(duì)市場(chǎng)準(zhǔn)入義務(wù)的承諾造成任何不利影響。再次,在國(guó)民待遇方面,由于國(guó)際投資的擴(kuò)大,有外資持股或在境外設(shè)立了子企業(yè)的國(guó)內(nèi)公司在實(shí)際運(yùn)營(yíng)過(guò)程中也必然涉及到數(shù)據(jù)跨境流動(dòng),外國(guó)服務(wù)貿(mào)易提供者實(shí)際上與國(guó)內(nèi)競(jìng)爭(zhēng)對(duì)手處于同等地位;此外,關(guān)于電信服務(wù)的附件承認(rèn)了成員國(guó)可采取必要措施以保證信息的安全和機(jī)密性的權(quán)利。最后,國(guó)內(nèi)公共道德與公共秩序所面臨的威脅已經(jīng)足夠援引一般例外的原則,并且安全例外的原則可否援引的判斷權(quán)在援引一方手中。所以,在GATS框架內(nèi),中國(guó)有足夠的合法性實(shí)施《網(wǎng)絡(luò)安全法》及其數(shù)據(jù)本地化存儲(chǔ)的要求。
就國(guó)際范圍內(nèi)的實(shí)踐及發(fā)展趨勢(shì)來(lái)看,首先,數(shù)據(jù)本地化存儲(chǔ)是合理的、普遍的;其次,大部分國(guó)家只是針對(duì)某些重要數(shù)據(jù)作了限制流動(dòng)的要求;再次,國(guó)際范圍內(nèi)的實(shí)踐表現(xiàn)出反對(duì)美國(guó)數(shù)據(jù)霸權(quán)的突出特征;最后,從發(fā)展趨勢(shì)上看,大部分國(guó)家都存在加強(qiáng)對(duì)本國(guó)數(shù)據(jù)控制的傾向。所以,國(guó)際范圍內(nèi)的實(shí)踐證明中國(guó)有足夠的合理性實(shí)施《網(wǎng)絡(luò)安全法》及其數(shù)據(jù)本地化存儲(chǔ)的要求。
總之,中國(guó)《網(wǎng)絡(luò)安全法》的有關(guān)措施不僅符合中國(guó)在GATS中作出的關(guān)于市場(chǎng)準(zhǔn)入與國(guó)民待遇的承諾,也符合其中的例外原則,而且這更是國(guó)際上具有普遍性的做法。美國(guó)對(duì)于中國(guó)《網(wǎng)絡(luò)安全法》的指責(zé)是從其數(shù)據(jù)霸權(quán)的地位出發(fā)的,是服務(wù)于其政治經(jīng)濟(jì)目的的。對(duì)于中國(guó)來(lái)說(shuō),統(tǒng)籌國(guó)際國(guó)內(nèi)兩個(gè)大局及其世貿(mào)組織成員國(guó)的身份,要求中國(guó)與世界各國(guó)一道在制定系列配套法律以及執(zhí)法過(guò)程中平衡好維護(hù)數(shù)據(jù)主權(quán)與促進(jìn)國(guó)際自由貿(mào)易兩個(gè)方面,努力促進(jìn)安全與發(fā)展目標(biāo)的達(dá)成、人類(lèi)福祉的提升。
參考文獻(xiàn):
[1] 米強(qiáng).中國(guó)網(wǎng)絡(luò)安全規(guī)則將阻礙增長(zhǎng)[EB/OL].(2016-08-12)[2019-03-10].http.//www.ftchinese.com/story/001068889.
[2] DE FILIPPI P, MCCARTHY S. Cloud Computing. Centralization and Data Sovereignty[J]. European Journal of Law and Technology,2012(2):15.
[3] PETERSON Z, GONDREE M, BEVERLY R. A Position Paper on Data Sovereignty: The Importance of Geolocating Data in the Cloud[C]//Proceeding of the 8th USENIX conference on networked systems design and implementation. Boston, MA: USENIX,2011.
[4] 曹磊.網(wǎng)絡(luò)空間的數(shù)據(jù)權(quán)研究[J].國(guó)際觀(guān)察,2013(1):56.
[5] 孫南翔,張曉君.論數(shù)據(jù)主權(quán)——基于虛擬空間博弈與合作的考察[J].太平洋學(xué)報(bào),2015(2):64-68.
[6] 蔡翠紅.云時(shí)代數(shù)據(jù)主權(quán)概念及其運(yùn)用前景[J].現(xiàn)代國(guó)際關(guān)系,2013(12):59.
[7] TRACHTMAN J. Cyberspace, Sovereignty, Jurisdiction, and Modernism[J]. Indiana Journals of Global Legal Studies,1998(2):566.
[8] 沈國(guó)麟.大數(shù)據(jù)時(shí)代的數(shù)據(jù)主權(quán)和國(guó)家數(shù)據(jù)戰(zhàn)略[J].南京社會(huì)科學(xué),2014(6):115.
[9] 吳沈括.數(shù)據(jù)跨境流動(dòng)與數(shù)據(jù)主權(quán)研究[J].新疆師范大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2016(5):115-116.
[10]王英良.云時(shí)代中國(guó)數(shù)據(jù)主權(quán)與安全研究[D].沈陽(yáng):遼寧大學(xué),2015:30.
[11]吳沈括.歐盟《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》研判[J].網(wǎng)信軍民融合,2018(10):43.
[12]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2016年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[R].北京:人民郵電出版社,2017:15-31.
[13]黃志雄.互聯(lián)網(wǎng)監(jiān)管政策與多邊貿(mào)易規(guī)則法律問(wèn)題探析[J].當(dāng)代法學(xué),2016(1):64.
[14]李海英.數(shù)據(jù)本地化立法與數(shù)字貿(mào)易的國(guó)際規(guī)則[J].信息安全研究,2016(9):783-785.
[15]Albright Stonebridge Group. Data Localization: A Challenge to Global Commerce and the Free Flow of Information[EB/OL].(2015-10-06)[2019-03-10].https://www.albrightstonebridge.com/files/ASG%20Data%20Localization%20Report%20-%20September%202015.pdf.
[16]洪延青.印度《個(gè)人數(shù)據(jù)保護(hù)法(草案)》的數(shù)據(jù)本地化規(guī)定[EB/OL].(2018-08-01)[2019-03-29].https://mp.weixin.qq.com/s?__biz=MzIxODM0NDU4MQ==&mid=2247485371&idx=1&sn=a30d076a27b0e6a1cc9ecec1f4e65807&chksm=97eaba51a09d334752cd161f8c6d6cb896fb23aa36bb95beda56583bfc37e4398221fcca41c6&scene=21#wechat_redirect.
[17]洪延青.俄羅斯數(shù)據(jù)本地化和跨境流動(dòng)條款解析[EB/OL].(2018-10-19)[2019-03-29].http://wemedia.ifeng.com/82823041/wemedia.shtml.
[18]Information Technology & Innovation Foundation. Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?[EB/OL].(2017-05-01)[2019-03-10]. https://itif.org/publications/2017/05/01/cross-border-data-flows-where-are-barriers-and-what-do-they-cost.
[19]齊愛(ài)民,盤(pán)佳.數(shù)據(jù)權(quán)、數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護(hù)的基本原則[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2015(1):68.
[20]何波.數(shù)據(jù)主權(quán)法律實(shí)踐與對(duì)策建議研究[J].信息安全與通信保密,2017(5):8-9.
[21]BAUER M, FERRACANE F F, VAN DER MAREL E. Tracing the Economic Impact of Regulations on the Free Flow of Data and Data Localization[C]//Global Commission on Internet Governance Paper Series. Ontario: CIGI,2016:10.
[22]馬新民.網(wǎng)絡(luò)空間的國(guó)際法問(wèn)題[J].信息安全與通信保密,2016(11):28.
[23]黃志雄.網(wǎng)絡(luò)主權(quán)論——法理、政策與實(shí)踐[M].北京:社會(huì)科學(xué)文獻(xiàn)出版社,2017:153.
An Analysis of Chinas Requirement for Data Localizationin the Context of the WTO
LI Yi1,WANG Di2
(1.Law School, Beijing Normal University, Beijing 100875, China;2.School of Government, Beijing Normal University, Beijing 100875, China)
Abstract:
Chinas “Cyber Safety Act” stipulates that “important data and personal information” collected and generated by “operators of critical information infrastructure” must be stored locally and the cross border flow of such information must be subject to a security assessment. This stipulation is not only in line with the principle of exceptions and Chinas commitments made in GATS concerning market access and national treatment, but also is a common practice in the international community. The U.S. accusation of Chinas “Cyber Safety Act” starts from its status as a data hegemony and serves its political and economic purposes. For China, the requirement of coordinating the overall situation at home and abroad as well as the membership of WTO requires that China, together with all other countries in the world, should strike a balance between safeguarding the sovereignty of data and promoting international free trade in the legislative and law enforcement process, and strive to help to achieve security and development goals and enhance human well-being.
Keywords:
data sovereignty; data localization; “Cyber Safety Act”; WTO; “General Agreement on Trade in Services” (GATS)
(編輯:劉仲秋)
收稿日期:2019-03-12? 修訂日期:2019-04-26
基金項(xiàng)目:國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目:國(guó)際法與國(guó)內(nèi)法視野下的跨境電子商務(wù)建設(shè)研究(17ZDA141)
作者簡(jiǎn)介:李 毅(1970-),男,河南光山人,副教授,碩士生導(dǎo)師,法學(xué)博士,主要從事國(guó)際法、國(guó)際關(guān)系研究;王 迪(1993-),男,山東濟(jì)南人,碩士研究生,主要從事周邊關(guān)系研究。
