數字貿易國際法規則中的國家數據主權問題探析

摘 要：數據主權是數字貿易發展過程當中不可回避的重要問題。在數字貿易中，由于貿易數據本身量大、繁雜，加之買賣雙方及其所屬國家多方參與，數據流動更加復雜，如果對這一過程中的數據流動不加限制和管理，必然極易對一國的數據主權造成嚴重打擊。在這一背景下，各國都開展了數據主權的法律制度建設，在本國數字貿易戰略中表達其訴求，同時還在多邊貿易協定中規定數據主權的條款。在這一背景下，我國圍繞數字主權的法律制度建設開展了積極探索，并取得了一定立法成果，未來還將繼續完善國內法律制度，積極參與國際規則制定以表達本國訴求。

關鍵詞：數字貿易;數據主權

在當前跨國數字貿易飛速發展的形勢下，跨國數字貿易帶來了大量的跨境數據流動，引起了各國的關注。一方面，為了促進數字經濟的發展，倡導數字貿易自由化，各國必然要接受大量數據跨境流動的現狀;另一方面，從一國流出的數據魚龍混雜，一旦某些重要數據流出，勢必對國家的數據安全造成影響。在這種情況下，各國在制定與數字貿易相關的雙邊、多邊和國際貿易規則時，都要規定維護國家利益的數據主權條款，從而化解數據跨境流動可能帶來的危險或損害。

對于數據主權（Data Sovereignty）這一概念的內涵，目前各界有著不同的認識與理解。綜合各種觀點，一國的數據主權是指國家在本國數據領域所享有的最高權力，國家有權獨立自主地管理、控制并處理其本國數據而不受他國的干涉。

一、數據主權國內立法之分析

（一）數據主權國內立法趨勢

前西德的黑森州在1970年通過世界上第一部《數據保護法》，從維護政府安全的角度出發進行立法，這部法律首次體現了國家保護本國數據主權的精神。之后，歐洲各國都相繼出臺了本國的個人數據保護法以限制個人數據的跨境轉移，從維護公民隱私的角度對數據主權進行保護。

當前，世界各國積極進行本國的數據主權法律制度建設，當前的數據主權立法主要呈現出三種發展趨勢。

1.對重要數據的跨境出口施加限制

美國、韓國兩國立法體現了這種趨勢，兩國對數據進行分級分類管理，并對其中的重要數據限制出口。美國《出口管理條例》對部分重要數據的進出口實行許可管制，要求必須取得相關部門頒發的許可證才可以出口。韓國《信息通信網絡的利用促進與信息保護等相關法》中規定，政府為防止國內產業、經濟及科學技術等重要信息泄露國外，可令信息通信服務提供商或使用人采取必要措施。

2.強制數據本地化存儲

這一規定對數據安全的保護力度更強，特別是對于部分重要、敏感數據，禁止其離境，典型代表包括俄羅斯和澳大利亞。俄羅斯的數據本地化立法在第242-FZ號聯邦法中確定，根據該法，任何存儲俄羅斯國民信息的組織，無論是客戶還是社交媒體用戶，都必須將該數據移至俄羅斯服務器。[1]而且，俄羅斯2014年底通過的《數據本土化法》要求所有搜集俄羅斯公民個人數據的數據控制者都應當將其服務器設置在俄羅斯境內。[2]此外，俄羅斯國家通訊委員會的操作規則要求電子通訊和網絡提供商配備數據留存設備實現數據的收集操作并且在服務器上保留87小時以上。澳大利亞則專門針對個人醫療信息作出了禁止出境的立法規定，其2012年《個人控制電子健康記錄法案》明文規定不得將（個人電子健康）記錄移至澳大利亞境外，也不得在境外加工或處理這些記錄。[3]

3.延伸對數據的域外管轄權

除了對本國數據流向國外進行嚴格規制，當前，部分國家和地區已經在立法實踐中主張將對數據的管轄權從屬地管轄權變為屬人管轄權，以此達到對本國公民和法人在境外數據的管轄，從而延伸對數據的域外管轄權。比如，美國在《美國自由法案中規定，如果出于“保障國家安全”和“打擊恐怖主義”兩個目的，國家安全局、中央情報局、聯邦調查局等機構在向聯邦司法部下屬的外國情報監控法庭（FISC）申請對嫌疑人進行監控并得到允許之后，仍可以實施電話監控、搜集和留存。[4]也即外國情報監控法庭可對本國犯罪嫌疑人在外國的數據情報進行管理和控制。再如，根據歐盟 2016 年通過的《個人數據保護通用條例》第三條“地域范圍”之規定，本法適用于對歐盟內的數據主體的個人數據處理，即使控制者和處理者沒有設立在歐盟境內，只要其處理行為發生在向歐盟境內的數據主體提供商品或服務的過程中（無論此項商品或服務是否需要數據主體支付對價）;或是對數據主體發生在歐盟內的行為進行的監控行為。[5]據此，無論企業是否設立于歐盟境內，只要其處理或控制了產生于歐盟境內的個人數據，那么就要受到該條例的約束。

（二）中國數據主權的立法實踐

中國對于數據主權問題一直密切關注。近年來，我國緊跟國際立法趨勢，也開始著手建立我國的數據主權法律制度。

首先，我國立法提出了網絡空間主權原則。2015年7月通過的《國家安全法》首次提出“網絡空間主權”，要求維護國家網絡空間主權、安全和發展利益。[6]于2017年6月11日起施行的《網絡安全法》，再次明確了要“維護網絡空間主權”。[7]

第二，我國立法對某些重要數據限制出境。如《保守國家秘密法》規定，任何組織和個人不得郵寄、托運國家秘密載體出境，未經有關主管部門批準，不得攜帶、傳遞國家秘密載體出境。[8]

第三，我國規定了對于重要數據的安全審查制度和數據本地化制度。這部分內容集中體現在《網絡安全法》中。其一，對于可能影響國家安全的關鍵信息基礎設施產品和服務，有關部門要組織國家安全審查。其二，關鍵信息基礎設施的運營者在中國境內手機和產生的個人信息和重要數據原則上應當在境內存儲，確需向境外提供的應當進行安全評估。[9]此外，《網絡出版服務管理規定》等行業法律法規也要求相關數據應當在中國境內儲存。[10]

第四，我國立法對于數據主權的域外延伸進行了相應規定。《網絡安全法》規定：其一，為保護關鍵信息基礎設施的安全，國家對境外的網絡安全風險和威脅進行監測、防御和處置;其二，對于來源于境外的危險信息，國家網信部門應當及時通知有關機構采取技術措施和其他必要措施阻斷傳播;其三，對于從事攻擊、侵入、干擾、破壞等危害中國的關鍵信息基礎設施活動的境外機構、組織、個人，國家依法追究法律責任并采取必要的制裁措施。[11]

我國當前的數據主權法律制度建設，在考慮本國實際情況的同時，積極順應了國際的立法趨勢。我國的數據主權法律制度建設還處于起步階段，當前的相關法律規定為日后相關制度的建設和完善提供了一個堅實的基礎，是一個良好的開端，是我國立法圍繞數據安全管理開展的有益探索。

二、歐、美、中數字貿易戰略中的數據主權訴求

在數據主權問題上，各國除了在其國內立法中對數據跨境流動進行規制，更在其對外公布的數字貿易戰略中提出其對于數據主權的訴求，旨在與他國相互交流，為未來國際數字貿易法律制度的制定做鋪墊，在保護國家數據主權的前提下，協調各方意見，促進國際數字貿易的發展。

（一）美國

近年來，美國除了在本國的政策文件中發布其數字貿易戰略之外，還不斷與他國建立區域合作、簽署區域自由貿易協定以及制定數字貿易新規則，在國際場合表達自己對于數字貿易的立場并試圖將其觀點上升為國際法規范。

美國向WTO總理事會提交的新議案（JOB/GC/178）提出了七項議題，其中的保護機密信息和數字安全議題體現了美國在數據主權問題上的立場。

保護機密信息具體包括保護源代碼，禁止要求企業強制技術轉讓以及禁止起施行技術要求。這一議題體現了美國對于本國企業知識產權的保護，通過保護源代碼防止企業的商業秘密和數據外泄，以保護本國的經濟發展。

數字安全，具體包括確保企業能夠使用安全的加密技術，允許政府合法地獲取數據，同時確保政府采用基于風險的方法來防止和應對網絡安全事件，以此避免對貿易的限制或扭曲。美國認為政府有權獲取數據，但其獲取應當是合法的，同時強調政府在處理網絡安全事件中要用對貿易影響較小的、基于風險的方法。

數字貿易自由化一直以來都是美國在數字貿易政策方面的立場和訴求。一是其對數據的保護主要是從維護企業利益，保護產業發展、經濟發展的角度出發的，極少提及國家安全。二是盡管美國賦予政府獲取數據并進行網絡數據管制的權力，但在其議題中，特別強調的則是要避免其權力行使限制貿易和強調權力行使的合法性，這都體現了美國堅持的貿易自由主張，而對國家數據安全則不予過多表述。

值得一提的是，2017年8月，美國國際貿易委員會發布《全球數字貿易的市場機遇與主要貿易限制》的研究報告將數據保護、網絡安全歸納為限制數字貿易發展的主要貿易監管和政策措施。美國不僅不考慮數據主權，甚至將其歸入數字貿易的限制因素，希望通過避免不必要的安全措施，來實現數據流動的價值最大化。這份國內報告相較于美國在國際上提出的議題，更激進地體現了其對數字貿易自由化的追求。

（二）歐盟

歐盟對于數據主權的維護由來已久，歐共體理事會早在1981年就出臺了《關于個人數據自動處理過程涉及的各國監管機構與跨境數據轉移的個人保護公約》。在數據主權問題上，歐盟向來強調對于個人數據的嚴格保護，這一立場也延伸到了歐盟的數字貿易戰略當中。

為了打破歐盟境內的數字市場壁壘，歐盟委員會于2015年5月6日公布了“單一數字市場”（Digital Single Market，DSM）戰略的詳細規劃。“單一數字市場”是指滿足以下三項條件的市場：商品、人員、服務和資本可以保證自由流通;居民、個人和商家能無縫銜接且所有線上活動都是在公平競爭條件下進行。單一數字市場是歐盟統一市場、促進貿易、推動經濟增長的一項長期而重要的工作，共包括三個支柱：為個人和企業提供更好的數字產品和服務，創造有利于數字網絡和服務繁榮發展的有利環境，最大化實現數字經濟的增長潛力。其中，創造有利于數字網絡和服務繁榮發展的有利環境全方位分析評估搜索引擎、社交媒體、應用商店等在線平臺的作用;加強數字化服務領域的安全管理，尤其是個人數據等。這些政策都體現了歐盟對個人數據保護的重視。

整體上來說，歐盟在提出了“歐洲數據自由流動計劃”，推動歐盟范圍的數據資源自由流動的同時，仍堅持其一貫的對個人數據嚴格保護的立場。歐盟在一定程度上認可了美國所追求的數字貿易自由化目標，但也呼吁政府加大干預力度，以保護個人隱私。

（三）中國

在《電子商務法》中，中國充分表達了其對于數字主權問題的立場。一方面，國家將電子商務發展納入國民經濟和社會發展規劃，促進跨境電子商務發展，鼓勵電子商務數據開發應用，保障電子商務數據依法有序自由流動;另一方面，明確規定了對電子商務所涉及的數據信息的保護，有關主管部門應當采取必要措施保護數據信息的安全，對于其中的個人信息、隱私和商業秘密應嚴格保密，違反個人信息保護規定的將依法受到處罰。[12]

此外，我國在2017年頒布的《中華人民共和國網絡安全法》和2015年頒布的《中華人民共和國國家安全法》明確禁止或嚴格限制常態化跨境信息流動，并強制向具有“關鍵信息基礎設施部門”的公司提出數據本地化要求。這兩部法律對于數據跨境流動的限制同樣適用于電子商務領域，也即從事電子商務中涉及數據的流動要受到嚴格的監管、限制，并應當進行相關數據的本地留存。

面對我國的數字貿易仍處于起步階段，以及國內知識產權保護和網絡安全較為落后的現實情況，我國現行立法著重于數據安全的維護和數據主權的保護。在數字貿易領域，中國的相關立法更側重于優先考慮產業政策和安全，并要求對數據流動進行限制，強制要求數據本地化，同時采取了要求技術轉讓和源代碼披露以及其他保護措施。這些規定具有防止外國不正當競爭的效果，并且可以防止通過數字手段對知識產權進行竊取，符合中國的實際情況。

三、數字貿易國際規則中的數據主權條款分析

現有的多邊貿易協定中的數據主權條款，是各國在數字主權問題上相互協調意見后的結果，預示著數字貿易中數字主權問題的未來走向和發展趨勢。

（一）WTO法中的規定

現有世貿組織協定中并沒有關于數字貿易的全面協定，但在一些世貿組織協定中涉及數字貿易領域。對于那些相互之間沒有簽訂相應的雙邊協定、多邊協定的國家來說，他們之間的數字貿易還是要受到現有的世貿組織協定的規范，并運用其中的相應條款對其數據主權作出相應的保護。

當前，涉及數字貿易領域的世貿組織協定主要包括《服務貿易總協定》《信息技術協定》、《全球電子商務宣言》、《與貿易有關的知識產權協定》等。其中，《服務貿易總協定》明確了成員可以隱私保護為由限制跨境服務貿易，根據其第14條規定，一國可以根據以保護數據處理、保護個人隱私和保護國家數據安全為由，在符合該條前言所規定的條件下，對數字貿易中的數據流動作出限制，這為成員在數字貿易中維護數據主權提供了法律依據。

近年來，世貿組織在數據主權問題上的態度有所變化。比如，2017年底，WTO成員在布宜諾斯艾利斯第11屆部長會議后共同發布了《電子商務聯合聲明》，重申電子商務的重要性及其為包容性貿易和發展所創造的機會。這份聲明呼應了之前世界電子貿易平臺宣布的“賦能電子商務”的主題，規則中的條款將確保數據的自由流通并禁止所有部門的數據本地化。不難看出，當時世貿組織對于數字貿易的態度是側重于鼓勵數據的自由流動，要求減少諸如數據本地化等不必要的安全措施以降低數字貿易的成本，促進數字貿易在全球范圍內的充分發展，這種態度有可能體現在未來WTO制定的數字貿易綜合性協定當中。

（二）區域性多邊貿易協定中的規定

區域性多邊貿易協定基本上都設定專門的一章來對數字貿易的相關規則作出全面的規定，其出臺時間較新、規定內容更多，更能反映當前世界上的主要國家在數字貿易問題上的態度和立場，更能體現數字貿易未來的立法趨勢。

《全面與進步跨太平洋伙伴關系協定》（CPTPP）于2018年12月30日正式生效。CPTPP采用了“電子商務”這一表述，并在第14章中進行了專章的規定。其中，第14.8條規定了對個人資料的保護，第14.11條和第14.13條則對跨境數據轉移作出規制，第14，17條規定了締約方以原始碼轉讓作為國際貿易的條件。根據14.11條的規定，（1）成員須認可其他成員已有的有關個人數據轉移方面的法律法規（第14.11條第1款）;（2）原則上所有的成員應當允許信息（包括個人信息）通過電子形式進行跨境轉移，只要這個轉移是為了該特定個人而進行的商業活動（第14.11條第 2 款），但這不能妨礙成員采取或者維持相應措施限制信息的跨境轉移以達到公共政策目標，條件是“這樣的措施并不構成任意的或者無端的歧視，或者變相的貿易限制;而且不會施加超出該措施目的之外的額外限制”（ 第14.11條第3款）;（3）原則上成員不得將數據存儲本土化作為企業在本土經營的條件，但這并不能妨礙成員采取或者維持這些規范性要求已達到正當公共政策目標，條件是“這樣的措施并不構成任意的或者無端的歧視，或者變相的貿易限制;而且不會施加超出該措施目的的額外限制”（第14.13條）。該協定在數字主權問題上原則上允許數據跨境流動并且要求各國不得采取強制的數據存儲本地化措施，同時尊重貿易各國的國內立法，并保留各國基于公共政策的考量通過采取或維持各種措施來限制數據流動和要求數據本地留存的權力。CPTPP的規定充分地體現了各國立場的一種協調和融合，原則上促進數據流動的同時，也要保留相應的例外政策以維護本國數據主權不受侵犯。

《美墨加三國協定》（USMCA）是美國、墨西哥和加拿大達成的三方貿易協議。該協定在第十四章中對于電子商務作出全面規定，其中，對于個人數據保護、跨境數據轉移和原始碼的規定與CPTPP大致相同，但第14.11條對于計算設施之位置的規定則十分強硬。該條明確規定成員不得將數據存儲本土化作為企業在本土經營的條件，而且并未規定任何例外。這條規定無疑充分體現了美國在數字貿易中一貫的立場，其一直認為數據本地化大大增加了數字貿易的成本，不利于數據價值的最大化實現，是限制數字貿易發展的因素之一。由于該協定簽訂方較少且美國在所有締約方中占據明顯的主導地位，美國的部分立場在該協定中得以強勢的體現，關于去數據本地化的要求就是最好的說明，但也不得不承認，該協定仍在跨境數據轉移方面保留了安全例外條款，各國可以基于公共政策目標而限制數據流動，這也體現了對數據主權的一定保護。

總之，在當前數字貿易相關的國際規則大力推行數據自由流動的趨勢下，各國始終或多或少地保留了本國基于國家安全、個人隱私的考慮限制數據流動的權力，對于數據主權的維護始終存在并且不可能消失。在未來數字貿易領域國際規則的制定中，對于數據主權的保護作為一國的底線原則必不可能消失，擱置爭議，協調各國立場，在不觸及各國底線的基礎上實現數據有序的跨境流動以促進數字貿易的發展必然是未來國際規則制定的方向。

四、數字貿易中數字主權問題的中國法律應對

數字貿易在現在和將來都是我國重要的經濟增長點之一，我國必須要參與到全球數字貿易當中才能實現數字貿易的發展最大化和價值最大化。同時，我國還處于數字貿易發展的初級階段，對于數字主權問題，需要結合國內情況并順應國際趨勢，才能作出合理且實用的發展規劃。

（一）完善數據主權法律制度建設

我國目前對于數據主權的主要規定集中于《網絡安全法》中，數字貿易中的數據跨境流動必然受到這部法律的規制，該法適用于中國境內經營的中國企業和外國企業，還將影響與前述企業具有跨境數據轉移業務合作的境外企業。當中國企業將來拓展國際市場時，其他國家很可能將我國的法律規定作為標準來采取對等的政策，限制中國企業將數據轉移至中國處理。因此，對于《網絡安全法》當中具體用語和制度的解釋都應當謹慎把握，這個問題在該法第37條的規定和解釋中應當尤為注意。

第一，我國《網絡安全法》第37條并未直接規定跨境數據轉移的安全評估標準，而是授權由國家網信部門會同國務院有關部門制定，但法律和行政法規另有規定的除外。根據該條規定，僅從現行法還無法得知跨境數據轉移安全評估的具體標準，安全評估標準的透明度不高，這樣會存在一定的不確定性，容易被他國指責。因此，我國《網絡安全法》授權國家網信部門會同國務院有關部門制定有關標準并無不妥，但具體的標準仍應公布，從而向國內外企業提供比較充分的可預見性。此外，可以考慮將第三方中立機構（例如APEC認證的隱私責任評估機構）的評估納入未來具體安全評估的參考因素之一，從而增強安全評估的客觀性和中立性。

第二，第37條顯示我國對跨境數據流動規制的理由是“安全評估”，這種“安全”的含義是否符合GATS第14條中的“安全例外”，決定了我國的安全評估政策是否符合WTO規則，否則就會成為國際貿易壁壘。GATS對于“國家安全”例外的內涵之規定十分狹窄，僅包括兩種情況：一是保護下列核心安全利益而采取任何必要的措施：任何直接或間接向軍事基地提供的服務;與核裂變和核聚變材料或者衍生這些物質有關的材料;在戰時或者與國際關系有關的其他緊急情況。二是承擔《聯合國憲章》所要求的維持國際和平與安全而采取的安全措施。據此，一國想要援引“國家安全”例外條款作為其限制數據跨境轉移的免責事由較為困難。因此，在對第37條的安全評估作出具體規定時，應當對“安全”一詞作出廣義解釋，不要將其做過多限定，其內涵應當包括但不限于國家安全、公共安全和個人數據安全，從而保證我國的相應政策符合WTO規則，消除其構成國際貿易壁壘的風險。

（二）積極參與國際規則制定

除了完善國內立法，一國想要在立法層面實現數字貿易的最大化，推動國際規則制定，積極參加區域性或國際談判必不可少。當前，大多數新興國家的數字貿易都處于初步發展階段，我國是這類新興國家的典型代表之一，在國際場合反映出這類國家在數字貿易中對于數據主權保護的迫切需求至關重要，否則當美國推行的自由貿易政策上升為國際法規范時，受到數據安全威脅最大的必然是這類新興國家，一旦出現數據安全事件受到經濟損害最大的也必然是這類國家。因此，作為世界主要經濟體之一，全球數字貿易的重要參與者，我國應當充分利用現有條件，比如亞太經合組織、上海合作組織等，積極推進與數字貿易相關的多邊談判，同時在國際層面上向世貿組織提出我國與數字貿易有關的議案，就數字主權問題表達我國的立場和訴求，在數字貿易國際規則的制定當中搶占先機。

注 釋

[1] See Federal Law of the Russian Federation “On Amendments to Certain Legislative Acts of the Russian Federation Regarding the Clarification of the Processing of Personal Data in Information and Telecommunication Networks”.

[2] 轉引自張金平：“跨境數據轉移的國際規制及中國法律的應對——兼評我國《網絡安全法》上的跨境數據轉移限制規則”，《政治與法律》，2016年第12期，第141頁

[3] See Australia Personal Controlled Electronic Health Records Act 2012， 77- Requirement not to hold or take records outside Australia.

[4] See USA FREEDOM Act of 2015，Title IV-FOREIGN INTELLIGENCE SURVEILLANCE COURT REFORMS.

[5] See European Union. Regulation （EU） 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data， and repealing Directive 95/46/EC （General Data Protection Regulation）， Official Journal of the European Union， 2016， p. 59.

[6] 參見《國家安全法》第25條。

[7] 參見《網絡安全法》第1條。

[8] 參見《保守國家秘密法》第25條。

[9] 參見《網絡安全法》第35條、第37條。

[10] 參見《網絡出版服務管理規定》第8條、《地圖管理條例》第34條、《征信業管理條例》第24條、《關于銀行業金融機構做好個人金融信息保護工作的通知》第6條、《人口健康信息管理辦法（試行）》第10條、《網絡預約出租汽車經營服務管理暫行辦法》第27條。

[11] 參見《網絡安全法》第5條、第50條、第75條。

[12] 參見《中華人民共和國電子商務法》第25條、第64條、第69條、第71條、第79條、第87條。

參考文獻

[1] 黃志雄，王楚喬.谷歌《數字安全與正當程序：云時代的政府跨境獲取標準的現代化》白皮書評析[J].信息安全與通信保密，2018.3

[2] 黃志雄.互聯網監管政策與多邊貿易規則法律問題探析[J].當代法學，2016.1

[3] 胡煒，跨境數據流動立法的價值取向與我國選擇[J].社會科學，2018.4

[4] 張金平.跨境數據轉移的國際規制及中國法律的應對——兼評我國《網絡安全法》上的跨境數據轉移限制規則[J].政治與法律，2016.12

[5] 徐翔.美國數字貿易發展分析[D].吉林大學，2017

[6] 齊愛民.論大數據時代數據安全法律綜合保護的完善——以《網絡安全法》為視角[J].東北師大學報（哲學社會科學版），2017.4

[7] 齊愛民，祝高峰.論國家數據主權制度的確立與完善[J].蘇州大學學報（哲學社會科學版），2016.1

[8] 吳沈括.數據跨境流動與數據主權研究[J].新疆師范大學學報（哲學社會科學版），2016.5

[9] 袁勝.跨境數據流動的國際博弈：隱私管理與數據主權[J].中國信息安全，2016.3

[10] 史宇航.主權的網絡邊界——以規制數據跨境傳輸的視角[J].情報雜志，2018.9

[11] 沈逸，姚旭.大國戰略互信與跨境數據流動管理新模式探索：以“數據主權”為核心推進網絡安全戰略建設[J].信息安全與通信保密，2018.12

[12] 何波.數據主權法律實踐與對策建議研究[J].信息安全與通信保密，2017.5

[13] 齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則[J].蘇州大學學報（哲學社會科學版），2015.1

作者簡介：周宇心（1996—），女，山東青島人，上海大學法學院2018級國際法學專業碩士研究生。研究方向：國際經濟法。