數據本地化措施興起下國際投資保護規則的適用困境及其紓解

張渝

伴隨著數字經濟在全球經濟發展中重要地位的日益凸顯，數字經濟國際治理逐漸成為新一輪國際經貿規則談判的焦點。數據是數字經濟的核心生產要素①數據作為一種生產要素，具有財產屬性。由于大多數國際投資協定對“投資”的定義持開放和包容態度，以“數據”為內容的外國投資應當根據東道國簽署的國際投資協定享受投資自由化待遇和投資保護。例如，中國—加拿大雙邊投資協定第1條規定，“投資”包括“其他任何出于商業目的取得或使用的有形或無形、可移動或不可移動的財產和相關財產權利”。，對數據的搜集、處理、傳播和應用是數字經濟的命脈。在全球化要求和互聯網技術革命的雙重加持下，數據跨境自由流動成為數字經濟發展的重要條件，并被認為是互聯網自由精神的象征。隨著數字時代的演進，數據逐漸蛻變為一種國家戰略性資源，但是對于數據的國際治理卻在“失序”狀態下隱患重重。

一、數據本地化措施的興起及其合規性爭議

2013年“棱鏡門”事件曝光后，全球對數據安全性的擔憂情緒蔓延，數據本地化措施（data localization measures）在一些國家興起①參見俄羅斯2020修訂版《關于信息、信息技術和信息保護法》第10.1條，Фeдepaльны йзaкoн№149-ФЗoт27.07.2006г.Oбинфopмaции,инфopмaциoнныxтexнoлoгияxиo зaщитeинфopмaции?(cизмeнeниями,внeceннымивcooтвeтcтвииcФeдepaльнымзaкoнoм№177-ФЗoт08.06.2020г.)；中國2018年《網絡安全法》第37條；印度尼西亞2012年《電子系統和傳輸的安排》第43條;Organization of Electronic System and Transaction,Article 43.，這些措施通常要求本國數據存儲在來源于本國的數據中心、使用本國境內的存儲設施，或要求在本地獲取的個人數據在進行跨境傳輸時須滿足特定限制條件從而達到事實上的數據本地化②See EU,General Data Protection Regulation,Article 45.。與此同時，反對和禁止該措施的聲音也層出不窮。國際實踐中，美國主導的國際經貿規則積極禁止數據本地化措施③See Trans-Pacific Partnership Agreement,14.13;United States-Mexico-Canada Agreement,Article 19.12.；理論上，部分西方學者不僅從數據的安全性④See Anupam Chander & Uyen P.Le,Breaking the Web:Data Localization vs.the Global Internet,1 Emory Law Journal 378(2014).、東道國建設數據安全基礎中心能力的薄弱⑤See Jonah Force Hill & Matthew Noyes,Rethinking Data,Geography,and Jurisdiction:Towards a Common Framework for Harmonizing Global Data Flow Controls,https://newamerica.org/documents/2084/Rethinking_Data_Geography_Jurisdiction_2.21.pdf,visited on 15 September 2020.、數字保護主義的危害⑥See Anupam Chander & Uyen P.Le,Breaking the Web:Data Localization vs.the Global Internet,1 Emory Law Journal 378(2014);William J.Drake,Background Paper for the Workshop on Data Localization and Barriers to Transborder Data Flows,http://www3.weforum.org/docs/Background_Paper_Forum_workshop% 2009.2016.pdf;Matthia Bauer et al.,The Costs of Data Localisation:Friendly Fire on Economic Recovery,https://www.econstor.eu/bitstream/10419/174726/1/ecipe-op-2014-3.pdf,visited on 15 September 2020.、人權⑦See Richard D.Taylor,“Data localization”:The Internet in the Balance,https://www.sciencedirect.com/science/article/pii/S0308596120300951,visited on 15 September 2020.等一般性角度嚴厲批評數據本地化措施，更重要的是，從違反國際投資保護規則的角度對其提出了合規性質疑，認為數據本地化措施違背投資自由化精神，涉嫌違反國民待遇、公平與公正待遇和征收條款。

然而，上述質疑未必全面和準確，國內有學者對此進行了反駁，認為數據本地化措施并不必然違背國際投資保護規則，而應當結合個案情況具體分析⑧參見張倩雯：《數據本地化措施之國際投資協定合規性與中國因應》，《法商研究》2020年第2期，第85-98頁。。此外，還有觀點從更宏觀的角度認可了數據本地化措施是一種客觀、合理的存在，但是需要國際社會的良法之治才能實現國家短期利益和各國共同長期利益的有效平衡。首先，從國際政治角度看，數據本地化措施是數據民族主義的體現，是各國因應大國競爭加劇、全球化逆轉、數據資源戰略性和美國技術霸權而作出的合理反應，這是一種長期且合理的，但需要加以約束和亟須治理的民族主義①參見毛維準、劉一燊：《數據民族主義：驅動邏輯與政策影響》，《國際展望》2020年第3期，第42頁。。其次，從現實主義角度看，數據本地化措施有利于保障總體國家安全觀下的國民安全、政治安全、便利執法和經濟發展，具有正當性的現實基礎。②參見王玥：《試論網絡數據本地化立法的正當性》，《西安交通大學學報（社會科學版）》2016年第1期，第54頁。

各國實踐和理論對于數據本地化措施的分歧較大，新一輪國際共識懸而未決，而現有國際投資保護規則無法準確解答數據本地化措施的合規性問題，這些規則的傳統適用標準在新興數字經濟的沖擊下面臨“失語”困境，目前也較少有文獻對該困境及困境的癥結進行分析與探討。基于此，本文首先有針對性地回應對數據本地化措施合規性的質疑，指出該措施雖然有可能符合適用國際投資保護規則的部分標準，但其他標準在適用過程中可能因為解釋角度的不同而得出不同結論，然后揭示陷入此種困境的根本原因在于國際投資保護規則相對于數字經濟發展具有滯后性，接著分析其癥結表現，最后結合數字經濟的特點，嘗試提出紓解國際投資保護規則適用陷入“失語”困境的可行方案。

二、國際投資保護規則適用于數據本地化措施的困境

（一）國民待遇條款適用于數據本地化措施的困境

部分西方學者批判數據本地化措施的一大根據是東道國通常將其作為市場準入的條件，對外國投資施加了限制，區分了內外國投資者，違反了國際投資條約中的國民待遇條款，構成數字經濟時代下的投資壁壘。美國旗幟鮮明地反對數據本地化措施，也是因為其“有利于國內數字產業、產品或服務而損害其他國家的數字產業、產品或服務”③United States International Trade Commission,Digital Trade in the U.S.and Global Economies,https://www.usitc.gov/publications/332/pub4485.pdf,visited on 12 November 2020.。適用國民待遇條款須依次符合相似情形、存在差別待遇和不屬于例外規定。其中，是否存在差別待遇的問題在個案中并不難認定，下文將主要對數據本地化措施進行相似情形和是否屬于例外規定的考察，可知上述兩項標準具有一定的滯后性，適用于數據本地化措施無法充分判定其是否合規。

1.相似情形劃分標準不統一

考察數據本地化措施是否符合國民待遇條款的第一步是將外國投資者與本國投資者進行比較，判斷內外國投資者是否處于“相似情形”。由于現有國際投資協定（IIA）體系是由2895個雙邊投資協定（BIT）和389個包含投資條款的協定（TIP）①See UNCTAD,World Investment Report 2020:International Production Beyond the Pandemic 106(United Nations Publications 2020).組成的碎片化結構，國際投資仲裁庭裁決的不一致性比較普遍。但仲裁庭通常會盡量避免對“相似情形”作出過于狹隘的闡釋，以便能夠依國民待遇條款全面審視相關措施。目前基本可以達成一致的是確定“相似情形”比較基準時，應當將有關措施所依附的整體法律環境納入審查范圍。②參見[德]魯道夫·多爾查、[奧]克里斯托弗·朔伊爾主編：《國際投資法原則》，祁歡、施進譯，中國政法大學出版社2014年版，第211頁。仲裁實踐針對“相似情形”曾先后采取三種不同的標準③另外兩種標準分別是“全體投資者標準”和“同一業務標準”。前者不區分行業，將當地所有內外國投資者一同比較。如Occidental訴厄瓜多爾案仲裁庭認為“相似情形”應當泛指當地所有生產商，并認為“如局限于特定行為所存在的經濟領域，國民待遇條款將難以實施”。See Marvin Roy Feldman Karpa v.United Mexican States,ICSID Case No.AF/99/1,Award,para.171.后者將從事完全相同業務的內外國投資者進行比較，如Methanex訴美國案仲裁庭將“相似情形”限定在“生產甲醇或MTBE”這一項業務中。See Methanex Corporation v.United States of America,UNCITRAL,Final Award of the Tribunal on Jurisdiction and Merits,para.38.，其中“同一行業標準”在仲裁實踐中利用頻率較高，也更符合各國按部門劃分進行經濟管理的現實做法。

“同一行業標準”將從事相同行業的內外國投資者進行比較，如Feldman訴墨西哥案仲裁庭將“煙草出口”這一行業作為相似情形的比較基準，并且強調其他可能少量涉及“煙草出口”業務的行業如“煙草生產”與本案不存在相似情形④See Marvin Roy Feldman Karpa v.United Mexican States,ICSID Case No.AF/99/1,Award,paras.171-172.。這意味著該標準中“行業”的內涵并不過于寬泛，籠統地將某一類行業歸于“相似情形”并不為仲裁實踐所支持。可見，考察數據本地化措施是否違反國民待遇條款，首先須依據該措施所依附的東道國整體法律環境來判斷。

但是，由于數字經濟是一類新興產業，如何在該產業大類下合理地劃分“行業”尚未形成共識，理論上東道國可以通過細化部門劃分直至“同一行業”趨近于“同一業務”，此時若仍然利用該措施所依附的東道國法律體系進行“相似情形”考察則會面臨適用的困境：一方面，東道國可采取措施規避要求數據本地化的行業與內國投資者處于“相似情形”；另一方面，不同東道國的行業劃分標準可能不同，此時同一數據本地化措施在不同東道國建立時，判斷是否符合“相似情形”將得到截然不同的結論，從而加劇國民待遇條款適用的不一致性。

2.是否符合例外規定存在爭議

適用國民待遇條款須考察的例外規定有國民待遇條款例外和IIA例外兩個方面。其中，國民待遇條款本身的例外相對清晰①例如，2002年日韓BIT在附件中明確列出兩類不適用于國民待遇的行業以及相關措施的清單。一類主要涉及國防、國家安全、公共事業、政府壟斷、國有企業等重要產業；另一類主要涉及國內保護產業如第一產業（農、林、牧、漁業）和資源產業（石油、采礦業）以及部分高端服務產業（電子通信、金融服務業）。See Agreement between the Government of Japan and the Government of the Republic of Korea for the Liberalisation,Promotion and Protection of Investment,Article 2,Annex I and Annex II.，IIA例外則具有較大的爭議性。

IIA例外是適用于整個協定或投資章節的一般例外，其效力及于國民待遇條款。例如，美式BIT范本規定了基本安全例外、金融服務例外等條款②See United States,2012 U.S.Model Bilateral Investment Treaty,Articles 18,20；United States,2004 U.S.Model Bilateral Investment Treaty,Articles 18,20.。近年來，在全球經濟增長放緩、貿易保護主義抬頭、東道國與投資者權利義務失衡、投資爭端解決機制改革浪潮翻涌等因素的疊加影響下，東道國參與國際投資活動更趨保守，IIA例外條款更加重視國家安全特別是非傳統國家安全。例如，2019年中國香港—澳大利亞BIT安全例外條款中，將“其他緊急情況”囊括進了“基本安全利益”的內涵中③See Australia-Hong Kong Investment Agreement(2019),Article 19.。如果將“其他緊急情況”解釋為危及包括數據安全在內的非傳統國家安全利益的情況，那么為保障數據安全而實施的數據本地化措施則符合該例外條款。

然而，“其他緊急情況”的內涵是否當然地囊括數據安全尚存在較大爭議。目前，大部分IIA中沒有明文規定數據安全屬于基本安全的范疇，從條款的明確性來看，將數據本地化措施認定為不符合IIA例外規定也具有一定的合理性。可見，數據本地化措施是否符合國家安全例外規定存在較大爭議，同一數據本地化措施經由不同角度的解釋可能得出不同的結論，利用IIA例外來考察數據本地化措施的合規性容易陷入適用的困境。

（二）公平公正待遇條款適用于數據本地化措施的困境

數據本地化措施也涉嫌違反公平公正待遇條款：有學者認為歐盟在GDPR中確立數據本地化原則和數據最小化原則影響了東道國法律制度的可預測性和穩定性，對外國投資者造成了不利影響，因此違反了公平公正待遇。④See Vishaka Ramesh,Data Protection Principles Around the World：Do They Violate International Investment Law?https://voelkerrechtsblog.org/articles/data-protection-principles-around-the-world/,visited on 15 November 2020.隨后，也有觀點對其進行了駁斥①See Erik Tuchtfeld & Lars Borchardt,Why International Investment Law Is not Violated by the GDPR,http://intr2dok.vifa-recht.de/servlets/MCRFileNodeServlet/mir_derivate_00004911/Why_International_Investment_Law_is_not_violated_by_the_GDPR.pdf,visited on 15 November 2020.作者認為Vishaka Ramesh的觀點沒有充分考慮數據本地化原則和數據最小化原則是基于“數據保護對于基本權利的（重要）價值”。，可見數據本地化措施是否違反公平公正待遇條款也爭議較大。

公平公正待遇不同于國民待遇的相對性，它是一個“絕對的”“無條件的”待遇標準②余勁松：《國際投資法》，法律出版社2018年版，第206頁。，在國際投資爭端中被援引的頻率最高。但其內涵和范圍始終無法被明確界定，大多數IIA文本對此也語焉不詳③See European Parliament,The Future European International Investment Policy,6 April 2011,Preface para.G.。隨著仲裁實踐的發展和成熟，公平公正待遇條款的適用范圍逐漸指向了三類共性要素：投資環境的穩定性（實體要素）、程序的正當性（程序要素）和東道國善意。其中，程序的正當性主要與各國數據本地化措施配套的法律法規具體內容密切相關，某一項數據本地化措施是否違反正當程序結合個案情況具體分析也并不難得出明確結論。因此，以下重點圍繞數據本地化措施的實體要素與東道國善意進行合規性分析。

1.投資環境穩定性的認定存在爭議

公平公正待遇要求保護外國投資者合理期待，這是基于東道國在投資協定中對促進和保護投資的保證，如果東道國違反此種保證，而外國投資者據此產生了合理期待，則違反公平公正待遇條款④See W.M.Reisman & M.H.Arsanjani,The Question of Unilateral Governmental Statements as Applicable Law in Investment Desputes,19 ICSID-Foreign Investment Law Journal 328(2004).。投資者的合理期待主要在于東道國營商法治環境的穩定性和可預見性，這要求東道國法律規則始終如一、具有透明度，以及投資者在遭受損害時享有求償權。

對“穩定”的認定則可能出現爭議。晚近仲裁實踐越來越強調“穩定”的相對性，即提供穩定的投資環境不影響東道國根據客觀環境變化合理調整國內法律制度。⑤例如，EDF訴羅馬尼亞案仲裁庭就不認同對穩定投資環境的內涵作出過于寬泛的解釋，其認為“（如果）公平公正待遇意味著對經濟生活法律規定的實質性凍結，則與東道國正常的監管權力和經濟生活的變化相悖”。See EDF(Services)Limited v.Romania,ICSID Case No.ARB/05/13,Award,para.217.El Paso訴阿根廷案的仲裁庭進一步闡釋了判斷“合理”的關鍵在于是否超出了一般監管權力的界限，對投資監管框架進行重大改變是否超出了可接受的范圍，See El Paso Energy International Company v.the Argentine Republic,ICSID Case No.ARB/03/15,Award,para.402.數據本地化措施因應數字經濟的雙刃影響而出現，是全球經濟、法治共同面臨的新課題，從這個角度看，東道國針對數字經濟這一新興經濟形式采取必要法律監管并無不可。因此，東道國即使在外國投資建立后采取數據本地化措施，也不能當然地認為其違反公平公正待遇，而應考察數據本地化措施是否屬于東道國“正常”和“可接受的”監管范圍。然而，該措施是否屬于或哪些具體措施屬于正常和可接受的監管范圍，在數據本地化措施本身面臨巨大爭議的背景下尚無定論，也因此增加了公平公正待遇準確適用于數據本地化措施的難度。

2.善意原則部分標準的內涵解釋不一

善意原則是公平公正待遇條款的固有內容，根據該原則，東道國不得故意造成對投資者的損害。從現代國際法視角看，善意原則的違反不要求東道國的行為達到極端惡劣的、令人憤怒或震驚的程度①See Mondev International Ltd.v.United States of America,ICSID Case No.ARB(AF)/99/2,Award,para.116.。適用法律中違背立法本意以及東道國政府有意阻礙和損害投資的行為②See Frontier Petroleum Services Ltd.v.The Czech Republic,UNCITRAL,Final Award,para.300.仲裁庭在本案中對違反善意原則行為的描述是：東道國的惡意行為包括運用法律手段，實現制度法律本身目的之外的其他目的。包括有政府機構有意阻礙或損害投資的行為、基于并非政府提出的原因而導致的投資終止以及基于地方保護主義對投資的驅逐。政府以其內部制度的原因作為不履行合同義務的理由也與善意原則相悖。、背信棄義③See Bayindir Insaat Turizm Ticaret Ve Sanayi A.S.v.Islamic Republic of Pakistan,ICSID Case No.ARB/03/29,Decision on Jurisdiction,paras.242-243,250.本案中，申請人認為東道國驅逐其投資的真實動機是地方保護主義和背信棄義，與其所稱“完工延誤”不符，仲裁庭認為如能證實該驅逐動機確實不公，則可構成對公平公正待遇的請求權。、違反國際承諾④See Chemtura Corporation v.Government of Canada,UNCITRAL,Award,paras.143-148,158,184.都與善意原則背道而馳，其中，前幾項標準結合個案分析相對容易得出確切結論，而違反國際承諾則在數字經濟現階段發展背景下有可能被作出不同的解釋，導致適用這項標準可能得出不同的結論。

如果東道國作出了不實行數據本地化措施的國際承諾，而后又要求數據本地化，那么該東道國的行為很容易被認定為違反國際承諾。數字經濟國際治理正處于發展的初級階段，美歐政府間協議《信息和通信技術服務貿易原則》⑤See European Union-United States Trade Principles for Information and Communication Technology Services，https://ustr.gov/sites/default/files/uploads/agreements/morocco/pdfs/2011-04-04%20ICT%20principles%20text%20FINAL.pdf#:～:text=European%20Union-United%20States%20Trade%20Principles%20for%20Information%20and,and%20in%20their%20trade%20negotiations%20with%20third%20countries,visited on 20 November 2020.（以下稱《原則》）僅為非約束的原則性共識。《原則》第4條內容為禁止數據本地化措施，如果該內容構成國際承諾，那么美歐采取數據本地化措施則背離了善意原則。但是，針對數據本地化措施的國際承諾究竟如何認定，是否必須是具有約束力的國際法規范，還是僅需達到由政府締結國際文件的程度，對其內涵的不同理解可能導致適用善意原則出現不同的結果。

（三）征收條款適用于數據本地化措施的困境

數據本地化措施還因涉嫌構成間接征收而遭到反對。有學者認為數據本地化措施具有歧視性，因為它使外國投資者相對于該行業的內國投資者處于明顯的劣勢地位，并且造成了依賴云計算的外國投資者短期和長期的經濟損失①See Vishaka Rameshm,Data Protection Principles Around the World：Do They Violate International Investment Law?https://voelkerrechtsblog.org/articles/data-protection-principles-around-the-world/,visited on 25 November 2020.，構成非法間接征收。隨著實踐的發展，間接征收的認定日益強調與東道國規制措施的區別②例如，2012年美式BIT范本中對“征收”的界定為：（1）判斷在某種特定情況下一方的行為或一系列行為是否構成間接征收應以事實為依據，具體問題具體分析。調查中須考察的關鍵因素是：①政府行為的經濟影響。盡管一方的行為或一系列行為對某項投資的經濟價值造成了負面影響，但這僅會被看做孤立事件，并不能由此認定間接征收已經實際發生。②政府行為對明確合理的投資預期的影響程度。③政府行為的性質。（2）在極少情況下，一方采取非歧視規制措施來保護合法的公共利益，如：公共健康、安全以及環境，這類措施不構成間接征收。United States,2012 U.S.Model Bilateral Investment Treaty,Annex B,para.4.，并逐漸與干涉財產的程度、政府行為的目的和性質等要素聯系起來。結合數據本地化措施的特征進行合規性分析，不難看出數據本地化措施適用征收條款無法得出確切結論，最主要在于還無法準確界定該措施的目的和性質。

首先，對于對私人財產的干涉程度，通常需要考慮兩個因素。第一，是否產生了嚴重的經濟影響，即東道國的措施是否實質性地損害了外國投資者的經濟權利。結合外國投資者的投資規模進行個案分析并不難得出數據本地化措施是否造成了實質性損害，以GDPR為例，調查發現企業平均需花費130萬美元用于GDPR合規性審查③See IAAP,EY Annual Privacy Governance Report 2018,https://iapp.org/media/pdf/resource_center/IAPP-EY-Gov_Report_2018-FINAL.pdf,visited on 10 December 2020.，對中小企業而言，其經濟權利就可能被實質性地損害。第二，影響是否持續產生，即東道國的措施對外國投資者的影響是暫時的還是持續的，不少仲裁庭認可短期措施不足以構成間接征收④See Wena Hotels Ltd.v.Arab Republic of Egypt,ICSID Case No.ARB/98/4,Decision on the Application by Wena Hotels Ltd.for Interpretation of the Arbitral Award,para.120;LG & amp;E Energy Corp.,LG & amp;E Capital Corp.,and LG & amp;E International,Inc.v.Argentine Republic,ICSID Case No.ARB/02/1,Decision on Liability,paras.193,200.。其次，以GDPR為例，雖然一次性罰款對中小型外國投資可能造成實質性的“剝奪”，但該影響是暫時的；然而在罰款后，這些外國投資仍要遵守GDPR中數據本地化的要求，而這有可能產生持續性影響，如要求個人數據傳輸到的第三國或第三國的某個區域必須得到歐盟委員會關于能夠提供充分保護的認定，否則該行為就需要獲得特定授權①See EU,General Data Protection Regulation,Article 45(1).，這將伴隨著該投資者的經營活動而持續產生影響。

認定東道國措施是否構成間接征收還應考察該措施的目的和性質，但此目的和性質目前還無法準確界定。一般而言，如果是為了促進普遍承認的“社會目的”或“普遍福利”的措施，包括實現公共健康、安全、社會道德和福利等目的，則很難被認定為征收。②參見余勁松：《國際投資法》，法律出版社2018年版，第294頁。不少東道國的數據本地化措施都強調了其目的的公益性，如巴西《互聯網公民權利框架》第4條③巴西《互聯網公民權利框架》第4條言明該法的目的在于促進“所有人使用互聯網的權利”“獲取信息、知識、參與文化生活和處理公共事務”。和中國《網絡安全法》第1條都有相應的規定④《中華人民共和國網絡安全法》第1條規定，本法的目的包括“維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展”。。

仲裁實踐表明，東道國在以“公共利益”為抗辯時，還應考察該措施與保護外國投資者的法律之間的相稱性。⑤例如，Tecmed訴墨西哥案的仲裁庭援引了歐洲人權法院的判決，認同“如果有關的人（指受公共利益政策影響的人）不得不承受個別和過度的負擔，則不會達成平衡；一項措施必須既符合其目標，又不至于不相稱”。See Técnicas Medioambientales Tecmed,S.A.v.United Mexican States,ICSID Case No.ARB(AF)/00/2,Award,para.122.此外，一些仲裁庭還認為，如果有關措施屬于“普遍接受的國家治安權”的范疇，則只要不是歧視，就可不必承擔補償責任，這已構成習慣國際法的一部分。⑥See Saluka Investments B.V.v.The Czech Republic,UNCITRAL,Partial Award,para.262.因此，數據本地化措施即使符合公共利益的合法目的，也應當考察其與外商投資保護法律之間的相稱性以及是否屬于東道國的治安權。“治安權”源于美國法中的概念⑦參見張晉藩主編：《中華法學大辭典·法律史學卷》，中國檢察出版社1999年版，第589頁。，屬于東道國一般監管權，但數據本地化措施是否屬于一般監管權限范疇仍存在較大爭議，因此無法確切判斷該措施是否違反了征收條款。

三、國際投資保護規則適用于數據本地化措施面臨困境的癥結

數據本地化措施雖然表面上符合一些違反國民待遇、公平公正待遇和征收條款的標準，并且因此遭到部分西方學者的強烈譴責，但從上文分析可知，現有國際投資保護規則無法準確判定數據本地化措施的合規性，存在模糊之處，因而陷入了適用的困境。這主要表現為部分傳統適用標準在新興數字經濟的沖擊下可能面臨“失語”，一是數字經濟的一些基本問題尚未形成普遍共識，如行業的分類、數據本地化措施的性質；二是數據的特殊性造成傳統適用標準的無效，如數字經濟一般監管權的依據與邊界的認定。總體而言造成困境的根本原因在于國際投資保護規則相對于數字經濟發展具有滯后性，具體癥結如下：

（一）經濟主權屬地管轄原則滯后于數據監管需求

在公平公正待遇條款和征收條款的適用中，數據本地化措施是否屬于東道國一般監管權是認定的關鍵因素，考察數據本地化措施的合規性必須考察其是否超出了東道國的正常監管范圍、是否超出了可接受的范圍。東道國對本國數據行使監管權是基于其自身的經濟主權，但傳統上經濟主權以屬地原則確定管轄范圍，而數據具有非地域性的特征，東道國對哪些數據擁有監管權、哪些措施屬于必要監管范圍，各國莫衷一是。而為保護本國利益，各國在數據立法中又呈現出域外適用擴張的現象①參見孔慶江、于華溢：《數據立法域外適用現象及中國因應策略》，《法學雜志》2020年第8期，第76頁。，傳統屬地管轄原則備受沖擊的同時新一輪管轄原則卻尚未建立起來。這一現狀將持續影響國際投資保護規則在實踐中的應用，是當前國際投資保護規則適用于數據本地化措施陷入“失語”困境的一大癥結。

根據1974年聯合國《關于建立新的國際經濟秩序的宣言》和《各國經濟權利與義務憲章》，經濟主權的內涵是國家對其全部財富、自然資源和國內一切經濟活動享有充分的永久主權，“包括擁有權、使用權和處置權在內，并得自由行使此項主權”②See UN,GA Resolution 3281(XXIX),12 December 1974,Article 2.。“數據”是數字經濟的核心生產要素，具有財產屬性，在一國管轄范圍內的“數據”無疑是該國的財富，也是經濟主權的權利客體。一國對本國數據享有充分的永久主權即為“數據主權”。當前，對“數據主權”權限范圍的爭議主要表現在：第一，數字經濟這一新興產業主要依靠數據在虛擬網絡空間的搜集、傳播和處理完成交易，而網絡空間與現實物理空間不同，兩者的關系可能重疊、交叉或毫不相干，因此，基于傳統屬地管轄原則的“主權”似乎也難以涵蓋毫無地域性可言的“數據”。為解決該問題，美國《澄清境外數據合法使用法案》（“CLOUD Act”）通過增加“人”為連接點，對數據的管轄采取“數據控制者原則”③See United States,Clarifying Lawful Overseas Use of Data Act,https://www.congress.gov/115/bills/hr4943/BILLS-115hr4943ih.pdf,visited on 1 December 2020.，認為擁有數據控制權的服務提供者的所在國對數據享有管轄權。美國的做法是基于其為全球數字經濟最發達國家的絕對優勢，可以利用各大巨型跨國數字公司如谷歌（Google）、臉書（Facebook）等超越屬地限制擴張其數據主權。而大多數國家并不具備美國的優勢地位，面對數據安全威脅，更多地強調本國的數據監管權，采取以數據本地化為代表的防御性措施。第二，有觀點認為數據流通和傳播的重要介質——網絡，天然具有開放性，在全球化要求和互聯網技術革命的雙重加持下，網絡空間實現全球性的自由、開放似乎更加符合數字經濟和全球化進程的歷史潮流，因而在此背景下以“數據主權”為由，對網絡空間進行監管涉嫌違背其自由化的天然屬性。

本文認為，盡管以上爭議在一定程度上揭示了數據主權不同于傳統經濟主權的特點，但就東道國要求外國投資者本地化存儲的來源于本國的“數據”而言，東道國有權進行監管，理由在于：第一，數據在被信息化采集之前以自然、虛擬的形態存在于東道國境內，是東道國一種特殊的資源，是數據得以形成并具有財產屬性的根源。例如，東道國內居民的個人數據在形成電子數據之前，以自然、虛擬的形態附著于具體的個人身上，還無法與個體分離，在被信息化采集之后，雖然個人數據作為數據仍是無法觸碰的虛擬形態，但此時已獨立于個人而存在，可以通過網絡傳播并為他人感知。收集、處理數據的過程是對這種特殊資源的轉化和加工。雖然收集和處理數據的活動不一定位于東道國境內，但數據得以形成和存在的根本在于東道國本國，即數據在未被信息化采集前所依附的主體具有清晰的地域性。因此，根據經濟主權原則，國家對境內全部財富享有永久主權，東道國對來源于本國境內的數據享有主權，有權進行必要的監管。第二，外國投資者雖然具有外國國籍，但依據東道國法律在東道國境內設立和運營，處于東道國的法律體系之內，有義務遵守東道國法律。東道國對數據實行合理的、必要的監管措施，外國投資者應當遵守。

（二）安全例外條款滯后于非傳統國家安全需求

網絡是數據傳播的最重要形式，網絡安全要求網絡中的數據受到保護①網絡安全是“網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷的狀態”。《信息安全辭典》，上海辭書出版社2013年版，第21頁。，數據安全是網絡安全的一項重要內容②但是，數據安全的保護對象并非僅指網絡中的數據，還包括在網絡范疇之外的數據的載體（軟件或硬件）。參見高能主編：《信息安全技術》，中國人民公安大學出版社2018年版，第109頁。因此，網絡安全和數據安全互為對方的重要組成內容，數據本地化措施同時關涉網絡安全與數據安全。。不少國家已將數據安全和網絡安全上升到和政治安全、國土安全、軍事安全等傳統國家安全相提并論的重要位置③以中國為例，《國家安全法》第25條規定：“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。。網絡科技締造數字經濟偉大時代的同時，以“棱鏡門事件”為代表的數據和網絡安全威脅也不斷沖擊著一國的安全利益。對數字經濟后發型國家而言，出于對網絡和數據安全的擔憂以及自身實力的考量，采取保守的數據本地化措施似乎在情理之中。

然而，目前國際投資保護規則并未有效回應此種擔憂和考量，非傳統國家安全例外是否囊括數據和網絡安全不甚清晰，東道國采取數據本地化措施能否援引安全例外條款存在較大爭議。第一，傳統IIA中并沒有專門針對數據和網絡安全設置例外條款，如2012年美式BIT范本僅籠統地對披露影響安全利益的信息保護行為本身作了例外規定。第二，晚近締結的IIA出現了利用“其他緊急情況”來暗示非傳統國家安全例外的趨勢，但“其他緊急情況”的解釋具有高度的靈活性，這一模棱兩可的概念無法平息國家安全例外的內涵之爭。理論界一般認為“其他緊急情況”不一定要求使用武力，在數字經濟時代，網絡戰爭、數據和網絡安全威脅等已經達到“國際關系的其他緊急情況”的程度①See Michael J.Hahn,Vital Interests and the Law of GATT:An Analysis of GATT’s Security Exception,12 Michigan Journal of International Law 589(1991).參見孫南翔：《國家安全例外在互聯網貿易中的適用及展開》,《河北法學》2017年第6期，第73頁；張倩雯：《數據本地化措施之國際投資協定合規性與中國因應》，《法商研究》2020年第2期，第89-90頁。，數據和網絡安全似乎應包含在國家安全例外條款的范圍之中。東道國也傾向于將安全例外的適用范圍解釋為包括數據本地化措施在內的維護網絡安全的必要措施，從而排除國際投資保護規則的適用。但是，由于事實上“網絡安全”或“數據安全”“信息安全”并未明確寫入國家安全例外條款，外國投資者可以基于條約解釋的嚴謹性，援引仲裁庭對一般安全例外的限縮解釋，要求例外條款的援引必須在IIA中事先規定②See Occidental Exploration and Production Company v.Republic of Ecuador,LCIA Case No.UN 3467,Final Award.，主張“安全”的內涵不包括“網絡安全”或“數據安全”，如此則會得出與東道國截然相反的結論。

（三）數字經濟國際治理滯后于數據本地化措施實踐

公平公正待遇條款和征收條款的適用都需要考察數據本地化措施是否屬于一國的正常監管范圍，目前雖有不少東道國立法要求數據本地化，但包括調整數據本地化措施在內的關于數字經濟的國際規則正在形成之中，國際社會對數據本地化措施的態度不一。目前唯一在該領域推進多邊規則制定的是WTO電子商務談判，但至今未達成有效成果，國際治理嚴重滯后于東道國內數據本地化措施的實踐。這主要表現為一方面，以中國為代表的一批數字經濟新興國家支持并已在實踐中采取數據本地化措施，包括俄羅斯、巴西、印度、越南、印度尼西亞等國，這些國家基于國內實踐在最新一輪WTO電子商務談判中傾向于主張對國內監管權的注重以及公共政策目標的實現③See WTO,Joint Statement on Electronic Commerce Communication from China,INF/ECOM/19.；另一方面，美國基于其優勢地位，在雙邊和多邊層面均激進地反對數據本地化措施，并通過自身的影響與多個國家和地區達成禁止數據本地化措施的協定或共識，例如，CPTPP以及USMCA中的“禁止數據本地化”條款。

此外，即使是立場相近且已形成有關共識的美國和歐盟，還存在投資保護規則的碎片化問題。2011年美歐《原則》一致認同禁止數據本地化措施，美歐雙方承諾政府不應要求信息通信技術服務提供者使用當地基礎設施或在當地建立該基礎設施作為市場準入條件①See European Union-United States Trade Principles for Information and Communication Technology Services，https://ustr.gov/sites/default/files/uploads/agreements/morocco/pdfs/2011-04-04%20ICT%20principles%20text%20FINAL.pdf#:～:text=European%20Union-United%20States%20Trade%20Principles%20for%20Information%20and,and%20in%20their%20trade%20negotiations%20with%20third%20countries,visited on 20 November 2020.，但美歐隨后的實踐傾向卻各有不同。首先，美國主導的USMCA中的禁止數據本地化措施條款沒有任何例外規定，盡管在第19.15條中規定各締約國應加強網絡安全能力建設和國際合作，但不構成例外條款的實質性內容。②See United States-Mexico-Canada Agreement,Articles 19.12,19.15 and Annex 19-A.其次，歐盟主導下的IIA則從個人數據保護的角度強調了數據安全例外，如2019年歐盟—越南BIT的一般例外中規定，在處理和傳播個人數據時為保護個人隱私和保護個人記錄和賬戶的機密性，可以在遵守國民待遇和最惠國待遇的前提下不適用條約。③See EU-Viet Nam Investment Protection Agreement(2019),Article 4.6.可見，歐盟主張個人數據權利優先，為保護個人數據權允許東道國采取數據本地化措施，美國卻更加激進地否定數據本地化措施成為例外規則。

不難看出，數字經濟國際治理嚴重滯后于部分東道國國內數據本地化措施的發展，新一輪國際規則尚未形成，非約束性共識、約束性條約共生共存，單邊、雙邊和區域性規則錯綜復雜，有效的國際治理暫時缺位，各國各自為政的現狀將影響仲裁庭對數據本地化措施目的和性質的判斷，同時也會加劇仲裁庭對國際投資保護規則適用的碎片化。

四、國際投資保護規則適用于數據本地化措施困境的紓解

（一）適當革新部分國際投資保護規則適用標準

由前文論述可知，傳統適用標準在新興數字經濟的沖擊下可能面臨“失語”是國際投資保護規則適用于數據本地化措施陷入困境的直接原因，仲裁庭可以適當革新部分國際投資保護規則的適用標準使其更加符合當前數字經濟的新發展。

1.國民待遇條款“相似情形”的認定應充分考慮行業劃分合理性

針對適用國民待遇條款中“相似情形”劃分標準不統一以及東道國可能通過細化部門劃分規避產生相似情形的問題，仲裁庭在采取“同一行業標準”進行考察時，不僅要結合有關措施所依附的整體法律環境分析，還可將部門劃分的“合理性”納入審查范圍。

具體而言，可以分別考慮：第一，考察東道國對數字經濟“同一行業”的劃分是否與“同一業務”存在合理的種屬關系，例如，“軟件產品的開發”和“某軟件產品的開發”存在包含關系，后者為某項具體業務，前者作為單獨行業具有一定的合理性。第二，考察東道國法律體系對行業的劃分與一般社會實踐的協調性，即東道國劃分行業應與自然形成的行業基本保持一致，不能明顯脫離產業實踐。

2.公平公正待遇條款“善意原則”的適用應更加靈活

針對適用公平公正待遇條款中善意原則的內涵解釋不一，特別是對“國際承諾”的認定存在爭議的問題，仲裁庭可靈活處理“國際承諾”和“背信棄義”之間的適用層次。數字經濟的國際治理客觀上處于發展的初級階段，國際社會對數據本地化措施的態度不一，成熟的、有約束力的國際條約較少，但若因此對“國際承諾”的認定采取過于寬泛的標準，可能平添各國在嘗試推進國際合作時的后顧之憂，不利于國際治理的進一步發展。但另一方面，東道國政府締結的國際文件代表了一國的公信力，即使該文件不具有約束力，也因東道國的官方背書使投資者產生了一定的預期。因此，如東道國違反相關規定，雖不足以認定為違反國際承諾，但可能符合背信棄義的標準，可以據此認定為違背善意原則適用公平公正待遇條款。

（二）利用IIA平衡東道國數據監管權與投資保護義務

當前國際投資保護規則的適用陷入困境的根本原因在于其相對于數字經濟發展具有滯后性，只有解決該問題才能從根本上紓解困境。因此，除了前文所述分別調整部分國際投資保護規則的適用標準外，還應從IIA談判入手，從整體上平衡東道國數據監管權與投資保護義務，盡量厘清投資保護義務的邊界以適應數字經濟沖擊下東道國數據監管需求和非傳統國家安全需求。IIA談判中不能回避以數據本地化措施為代表的東道國數據監管權問題，具體而言，應當注重澄清以下幾個問題：

1.東道國對源于本國境內的數據享有經濟主權

明確東道國對源于本國境內的數據享有經濟主權，東道國有權對本國數據實行一般監管措施。同時應注意：第一，東道國的數據主權作為經濟主權的一部分是一國本身所享有的權力，IIA的規定是對其經濟主權的強調，并非創設和賦予東道國對本國數據的監管權力，IIA中對此無明確規定的，不影響東道國行使數據主權。第二，東道國讓渡部分主權締結IIA，行使數據主權應與IIA中的承諾保持一致，但并不意味著履行承諾嚴重危害東道國數據主權時，東道國不能采取措施維護本國主權和利益。第三，澄清“本國數據”的概念，可采用“定義＋列舉”的模式，規定為“所有內容來源于一國境內的數據”，在外商投資領域主要包括服務提供者采集的境內消費者的個人數據、商業數據等。

2.數據監管規則應與國際投資保護規則相協調

東道國對本國數據行使一般監管權時不應違反本國簽訂的投資協定和其他類似的國際承諾，不應拒絕履行國際投資保護義務，除非履行上述承諾和義務嚴重危害東道國數據主權，東道國應當確保國內數據監管規則與國際投資保護規則相協調。

東道國可對數據進行分類管理，針對不同類型的數據采取不同程度、不同側重的監管措施：第一，對于可能涉及國家安全和公共利益的重要敏感數據，東道國在進行必要性評估之后，可以在不違反國際投資保護規則的前提下要求數據存儲本地化、設施本地化甚至是服務本地化。第二，對于外國投資者的商業數據，應注意區分數據來源地，針對來源于本國的普通商業數據，東道國原則上不采取數據本地化措施，但個人數據以及由個人數據處理而得的數據除外；針對來源于本國境外的數據，不應采取數據本地化措施。第三，對于外國投資者在經營中獲取的東道國境內消費者的個人數據，應當尊重數據主體的個人意志，由數據主體自由選擇是否將個人數據進行本地化存儲或處理，但當投資者獲取的個人數據達到一定規模危及國家安全和公共利益時，東道國仍有權在必要的情況下對其采取數據本地化措施。

3.明確IIA國家安全例外涵蓋數據和網絡安全

由于現有大多數IIA的投資保護規則依然比較傳統，國家安全例外的內容較為籠統，可能導致數據本地化措施在適用投資保護規則時得出不同結果。針對該問題，應當肯定數據和網絡安全作為非傳統國家安全對一國的必要性和重要性，盡量明確IIA的國家安全例外條款涵蓋數據和網絡安全。

具體應明確以下幾點：第一，數據和網絡安全是國家安全的重要組成部分，東道國為確保本國數據和網絡安全有權采取必要的監管措施，必要的數據本地化措施是上述監管措施的一個重要內容。第二，只有滿足“必要性”的數據本地化措施可以適用非傳統國家安全例外條款，在必要之外的數據本地化措施，如果其他要件均構對國際投資保護規則的違反，則東道國應承擔相應賠償責任。第三，“必要性”的內涵至少應同時包括數據本地化措施的目的是為維護國家網絡安全或增進公共信息化福祉，實施的時機為國家安全和公共利益遭到實質損害或嚴重威脅，實施過程遵循比例原則，數據本地化措施與保護外國投資者的法律之間具有相稱性，并且沒有給外國投資者造成過度的負擔。第四，對于已經在IIA中使用“緊急情況”等表述的，可增加注釋進一步澄清該概念，明確“緊急情況”涵蓋數據和網絡安全。

4.設置規則和程序防止數據本地化措施的濫用

在IIA中明確例外條款涵蓋數據和網絡安全，雖然能在一定程度上減輕例外條款的籠統性帶來的負面影響，但國家安全的概念仍然有可能被寬泛解釋，并成為東道國濫用數據本地化措施的借口。為了防止上述情況出現，應在IIA中設置有效規則和程序避免數據本地化措施的濫用：第一，可以考慮在IIA中以附件或者在IIA之外以備忘錄的形式對適用數據和網絡安全例外規則的數據本地化措施進行列舉，形成必要數據本地化措施的“正面清單”，盡量減少因概念籠統產生的爭議。第二，對于是否屬于“必要”數據本地化措施確有爭議的部分，東道國應當負有證明該措施必要性的義務。可以借鑒WTO判例中“必要性”測試的做法，東道國必須充分考慮數據本地化措施與所追求的目標（主要是國家安全、公共利益）之間的聯系，特別是目標的重要性、數據本地化措施對目標實現的貢獻程度等。①See Colombia-Measures Relating to the Importation of Textiles,Apparel and Footwear,WT/DS461/R,para.7.310;Argentina-Measures Relating to Trade in Goods and Services,WT/DS453/R,para.7.684.

（三）利用多邊平臺彌合各國對數據本地化措施的分歧

數字經濟國際治理的滯后性是當前國際投資保護規則適用困境的一大癥結，各國“各自為政”的現狀不利于國際社會的整體發展。彌合各方分歧，努力促進國際社會對數據本地化措施達成基本共識并形成相對統一的規則，是紓解數字領域國際投資保護規則適用困境的長遠之計。

目前唯一在數字貿易（電子商務）領域推進多邊規則制定的是2019年1月開始的WTO電子商務諸邊談判，但由于數字經濟談判牽涉各方利益，各成員間數字經濟發展不平衡，目前針對數據本地化措施所獲收益較少。但本輪談判的順利開啟本身對于數字貿易規則最終達成廣泛共識具有重要意義，國際社會不能停止數字規則談判的步伐，應當充分利用以WTO為代表的多邊平臺，盡快就以數據本地化措施為代表的數字規則達成基礎性共識，以便各國在此共識框架下相對清晰地推進國際投資保護規則談判改革以及開展本國數字監管。

1.確立對數據本地化措施的基本共識

國際社會可以WTO電子商務諸邊談判為契機盡快確立相對廣泛的針對數據本地化措施的基本共識。該共識的形成宜考慮以下因素：第一，就數據、數字經濟和網絡空間的性質而言，數據本地化措施不符合該領域的發展規律。數字經濟主要依靠數據在網絡空間的搜集、傳播和處理完成交易，數據跨境自由流動是數字經濟全球化發展的重要條件，營造自由、開放、有序的網絡空間符合數字經濟發展的歷史潮流。第二，就成員的一般監管權而言，對本國數據采取必要的監管措施是一國基于自身經濟主權所享有的權力，特別是數字經濟處于初級發展階段的國家，更有可能為了維護非傳統國家安全和公共利益采取數據本地化措施。第三，就各方態度而言，在本輪談判中，以美國、歐盟、日本為代表的發達成員均主張禁止數據（存儲）本地化措施，中國等發展中成員則強調經濟主權和網絡安全的重要性，各方立場的最大公約數較小。因此，在本輪WTO談判中，平衡數字經濟的自由需求與成員的監管需求、平衡發達成員和發展中成員的利益成為各方妥協的關鍵。

本文認為，數據本地化措施因應國際數字治理的失序而出現，過激的數據本地化措施也將隨著國際數字規則的完善而逐漸消失，自由開放的數據政策是全球經濟發展協調下的理想模板。但根據現階段全球數字經濟呈現國別間不平衡的特征（如2018年全球已有超過一半以上的人口在使用互聯網，其中發達國家網民占其總人口81%，發展中國家和最不發達國家網民僅占各自總人口的45%和20%①See UN,The Sustainable Development Goals Report 2019,https://unstats.un.org/sdgs/report/2019/The-Sustainable-Development-Goals-Report-2019.pdf,visited on 1 February 2021.），如果強行要求發展中國家和最不發達國家無差別地禁止數據本地化措施，其在數字經濟中的相對弱勢會加劇該領域貿易機會的缺失和不公平，嚴重威脅這些國家的發展權，不利于全球的經濟發展和社會進步。因此，如果本輪談判順利形成共識，則無論肯定或否定數據本地化措施，都需要尊重各國發展的客觀實際、至少允許（不管是原則性條款還是例外條款）成員采取必要的數據本地化措施。

2.至少允許成員采取必要的數據本地化措施

為最大程度彌合各方分歧，WTO電子商務諸邊談判應至少允許成員采取必要的數據本地化措施。可以參考前文對IIA例外規則的建議，允許一國基于國家安全的考慮，對來自于本國境內的特定數據采取必要的數據本地化措施。對于“必要”的具體內涵，由于多邊機制涉及的國家與地區相較于IIA更多，各方利益訴求更加復雜，不宜在最終達成的諸邊或多邊文件中直接規定，而應充分尊重各國經濟主權，由各國根據本國國情采用承諾清單的形式自主決定。例如，美國的提案就在主張禁止數據本地化措施的基礎上，對金融業的數據存儲作了特別規定，允許在一定條件下要求金融服務計算機設施本地化②See WTO,Joint Statement on Electronic Commerce Communication from the United States,INF/ECOM/23.。此外，WTO也可考慮為各成員提供對于“必要”的參考性意見，具體內容與前文在數據和網絡安全例外中明確的“必要性”內涵類似。

3.對特定國家適用特殊與差別待遇

特殊與差別待遇是WTO的基本原則，是公平互利這一國際法基本原則在多邊貿易中的體現。特殊與差別待遇原則要求在處理發展中成員問題時充分尊重發展中成員的發展權，允許發展中成員在一定范圍和條件下背離WTO協議的一般權利和義務。

中國在本輪談判的提案中呼吁應從發展層面考慮到發展中成員特別是最不發達成員的困難和挑戰①See WTO,Joint Statement on Electronic Commerce Communication from China,INF/ECOM/19.，深刻契合了特殊與差別待遇原則。各方應當認識到發展中成員經濟的可持續發展對發達成員的利益也至關重要，幫助發展中成員全面參與和融入全球數字經濟體系，符合全體成員方的共同利益。盡管特殊與差別待遇近年來備受挑戰，但要在電子商務談判中針對數據本地化措施的基本問題達成共識，就應當注意尊重各國數字經濟發展不平衡的客觀現實，否則談判必然陷入僵局。可以借鑒《貿易便利化協定》等WTO協議中貫徹特殊與差別待遇的做法，增加發展中成員發展數字經濟的機會、保障發展中成員的利益。例如，允許發展中成員和最不發達成員根據自身實際情況制定合理的過渡期，在過渡期內可以針對數據本地化措施承擔較少的義務；發達成員和數字經濟產業發達的成員還可以為發展中成員特別是最不發達成員提供必要的技術援助，幫助這些成員盡快過渡。

五、結語

部分西方學者從合規性角度對數據本地化措施提出了質疑，認為該措施涉嫌違背投資自由化精神：其作為市場準入區分了國內外投資者違反了國民待遇條款；該措施的施行影響了東道國法律制度的可預測性和穩定性，違反了公平與公正待遇條款；對外國投資者造成了具有歧視性的實質性財產剝奪，構成間接征收，違反了征收條款。但是，利用上述國際投資保護規則仔細考察數據本地化措施，可知判定其不合規的充分性明顯不足，國際投資保護規則面對數據本地化措施陷入了適用“失語”困境。這雖與數據本地化措施的實行時間、真實目的、配套措施等自身因素有關，但根本原因在于國際投資保護規則相對于數字經濟發展明顯滯后，其癥結主要體現為：第一，經濟主權以屬地管轄為原則滯后于東道國數據監管需求；第二，安全例外條款滯后于非傳統國家安全需求；第三，數字經濟國際治理滯后于數據本地化措施實踐。為紓解上述困境，除了應革新部分國際投資保護規則的適用標準外，還應從東道國的角度出發完善IIA，平衡東道國數據監管權與投資保護義務，協調國內監管規則與國際承諾，明確IIA國家安全例外涵蓋數據和網絡安全以及設置必要的規則和程序防止該措施的濫用。最后從國際社會的角度出發，利用以WTO為代表的多邊平臺盡量彌合各方分歧，至少允許成員采取必要的數據本地化措施，并對發展中成員和最不發達成員適用特殊與差別待遇，由此緩解各方分歧疊加國際投資規則碎片化的負面影響，促進全球數字經濟整體協調發展。