歐盟《一般數據保護條例》對國際服務貿易規則的影響

摘要：為了保護隱私權，歐盟制定了《一般數據保護條例》（GDPR），保護個人數據和規范數據跨境流動是其兩大目標。為了符合GDPR的要求，非歐盟企業客觀上只有兩種選擇：要么撤出歐盟市場，要么將數據本地化，否則將面臨巨額罰款。實際上，數據本地化構成了貿易壁壘，違反了《國際服務貿易總協定》第16和17條。為了促進數字貿易，以《全面與進步跨太平洋伙伴關系協定》（CPTPP）、《歐盟日本經濟伙伴關系協定》（EPA）和《美墨加協定》（USMCA）為代表的新型區域貿易協定禁止數據中心本地化設置。為此，歐盟應設法消除任何數據本地化要求的可能性，同時應設法完善GDPR下的充分性決定機制。GDPR客觀上對國際服務貿易規則產生了深遠而廣泛的影響。為了因應國際服務貿易規則的新發展，中國應引導與推動《服務貿易總協定》（GATS）的改進，加速構建促進個人信息保護、數據有序流動和保護公共利益相協調的新型數字貿易規則；借鑒歐盟與美國締結的《隱私盾協議》，與歐盟開展有關數據跨境流動的雙邊協議談判。

關鍵詞：數據保護；數據流動；貿易壁壘；服務貿易；《一般數據保護條例》

中圖分類號：F279.33文獻標識碼：A文章編號：1007-8266（2021）04-0093-10

基金項目：福建省高等學校新世紀優秀人才支持計劃（閩教科[2018]47號）

一、引言

受歐洲一體化的影響，歐盟在數據立法上始終采用綜合性立法方式。從《有關個人數據自動化處理之個人保護公約》到《關于個人數據處理保護與自由流動指令》（簡稱《數據保護指令》），再到《一般數據保護條例》（General Data Protection Reg ulations，GDPR），歷經從指導、建議性的軟法規范到強制性遵從的硬法規范的過程[ 1 ]。其中，GDPR因其嚴苛的規定、廣泛的適用范圍、高昂的罰款，被稱為“史上最嚴格的個人數據保護法”，對國際貿易特別是服務貿易產生深遠影響。同時，由于GDPR的“長臂管轄”原則，其適用范圍已擴大到非歐盟企業[ 2 ]。GDPR下的合規要求對非歐盟企業產生巨大影響——或將這些企業排除出歐盟市場，或推動它們在歐盟內的任何與數據相關的活動本地化。因此，GDPR阻止了服務的跨國自由流動，違反了《服務貿易總協定》（General Agreement on Trade in Services，GATS）第16條、第17條。

雖然GDPR旨在保護個人數據，但在商務活動中，將數據明顯區分為個人數據與非個人數據是很困難的，即使可能，成本也極高。進入后疫情時代，傳統貿易模式受到很大影響，企業不能參展，不能出國拜訪，不能地推，轉型線上開展國際貿易已成大勢所趨。商家不可避免地要使用搜索引擎、海關數據、社交媒體、地圖、黃頁等客戶開發渠道。當客戶在歐盟地區時，受GDPR的影響與約束將不可避免。

歐盟的這種數據監管制度與現有的世界貿易組織規則，特別是國際服務貿易規則之間存在一定的沖突。世界數字經濟產業發展客觀上需要調整國際貿易特別是數字貿易的新規則，但世界貿易組織自2001年開始的多哈回合談判一直處于停滯狀態[ 3 ]。因此，以GDPR為代表，包括《跨太平洋伙伴關系全面進步協定》（Comprehensive and Pro gressive Agreement for Trans- Pacific Partnership，CPTPP）、《歐盟日本經濟伙伴關系協定》（EU-Ja pan Economic Partnership Agreement，EPA）、《美墨加協定》（The United States-Mexico-Canada Agree ment，USMCA）的新型區域貿易協定，主導并確立了關于個人隱私保護、跨境數據流動以及推動數字經濟發展的新型貿易規則。中國作為數字經濟大國，應正確研判國際貿易規則的發展形勢，把握發展機遇，提高在多邊、區域或國際貿易談判中的話語權。同時，中國也應在不違反國際貿易規則的前提下，構建促進國家網絡安全、企業公平競爭及個人信息保護協調發展的新型數字貿易規則[ 4 ]。

二、GDPR的立法背景與合規要求

歐盟的數據保護立法歷經了從指令到法規的演變過程。與追求跨境數據流動高標準的CPTPP和USMCA不同，歐盟的數據監管制度相對保守，分析GDPR的立法背景，可以看出：歐盟歷來重視保護個人信息權和隱私權等權利，并實施強立法保護模式；歐盟目前沒有大型互聯網企業，嚴格的數據監管制度客觀上有利于抵制美、中等國互聯網企業對歐盟市場的侵占，借機培育、發展歐盟內的互聯網企業。

（一）GDPR的立法背景

隱私權是歐盟法律不可分割的一部分，被認為是一項基本人權。《歐盟基本權利憲章》第7條和第8條明文規定了私人生活、通訊和個人信息保護的權利。隨著科技的進步，越來越多的日常生活、工作和學習從線下轉移到線上，且需要在各種數字交易平臺中輸入個人信息，由此產生了個人信息泄露的問題。數字貿易給人們帶來便利的同時，也帶來了隱私保護和個人數據如何合法地收集、處理和流動等問題。早在1980年9月，經濟合作與發展組織（OECD）就發布了《關于隱私保護與個人數據跨界流動的指導方針》，建立了保護個人數據的指南，但指南作為軟法，對成員國并沒有法律約束力。

1995年，歐盟制定了《關于個人數據處理保護與自由流動指令》，以規范個人數據的處理及跨境移動。歐盟對數據跨境轉移進行規制，是基于以下兩個原因：一是加強保護與個人數據相關的權利，特別是隱私權；二是維護歐盟信息主權和保障經濟發展[ 5 ]。《關于個人數據處理保護與自由流動指令》統一了歐盟成員國內的數據保護標準，允許個人數據在歐盟內的自由流動，而對歐盟之外的國家，則采取以充分性決定機制為主的跨境數據轉移規則。但在接下來的15年里，隨著技術的進步，個人數據不僅需要進一步的保護，而且充分性決定機制需要統一實施。為此，歐盟議會于2016年4月通過了GDPR，在經過兩年的緩沖期后，于2018年5月25日開始生效。

作為綜合性數據保護條例，GDPR不僅適用于歐盟內部的組織，也適用于歐盟以外的企業（如果它們向歐盟內的數據主體提供商品或服務，或者監督歐盟內部人員的行為）。GDPR的影響范圍已擴大到歐盟之外，成為許多國家制定個人數據保護法的基準。不僅歐盟成員國更新了其個人數據保護法，許多中東歐國家、歐洲經濟區域會員國、韓國、日本甚至俄羅斯都參照GDPR制定了個人數據保護法。

（二）GDPR的適用范圍

GDPR適用于所有完全或部分通過自動化方式處理的個人數據，并致力于管理上述數據的自由流動。任何收集、傳輸、保留或處理涉及歐盟所有成員國內個人信息的機構、組織均受GDPR約束。

根據GDPR規定，個人數據是指任何可用于識別自然人的資料，例如姓名或與某人的外貌、遺傳、經濟或社會身份有關的其他因素。除少數情況外，禁止處理屬于特殊類別的個人數據，包括個人健康、性生活、種族、性取向和宗教或政治信仰等。

GDPR將參與數據收集、處理的實體分為“控制者”（Controller）或“處理者”（Processor），并賦予不同的責任。數據“控制者”為決定主體，是單獨或聯合決定個人數據處理目的和方式的自然人、機構或企業，而數據“處理者”是受委托，為控制者處理個人數據的自然人、機構或企業。“控制者”負責確保控制數據處理的措施已經到位，以確保所有操作都符合GDPR[ 1 ]。GDPR適用于歐盟境內的控制者和處理者，無論其數據處理行為是否發生在歐盟境內。GDPR也適用于非歐盟的數據控制者和處理者對歐盟境內的主體開展個人數據處理的行為。

以中國金融業為例，以下幾種情況都可能受GDPR管轄：在歐盟有分支機構；某金融企業或其服務提供商為歐盟境內主體提供商品或服務（如在西班牙提供支付服務）；某金融企業或其服務提供商對數據主體在歐盟境內的行業進行監控（如作為監控在西班牙辦理的信用卡余額的第三方）；處理居住在中國境內的歐盟居民的數據。

（三）GDPR下的數據跨境轉移規則

隨著數字技術的發展，數字貿易已成為國際服務貿易的重要部分，而數據跨境流動是數字貿易的內在要求。GDPR下的數據跨境轉移規則對跨境服務貿易者造成很重的合規負擔，本文第三部分將分析其是否構成貿易壁壘。

歐盟GDPR關于數據跨境轉移的規則是在1995年《關于個人數據處理保護與自由流動指令》的基礎上發展完善的。GDPR的數據跨境傳輸規則既要滿足一般性原則，又要符合三項具體的數據轉移規則。根據一般性原則，個人數據只有在符合GDPR規定的前提下才可以傳輸給第三國或者國際組織。三項具體的規則分別為：基于充分性認定的數據跨境傳輸規則，提供適當保障措施的數據跨境傳輸規則及特殊情況下的數據跨境傳輸規則。其中充分性決定機制是“一勞永逸”的，因為該決定消除了從歐盟到該第三國的數據傳輸的任何障礙，而無需任何進一步的數據保護要求。目前僅有12個國家獲得充分性認定。如果第三國不屬于充分性認定范圍的，該國應對轉讓的數據提供以下保障措施之一：標準合同條款（Stan dard Contractual Clause，SCC）；具有約束力的企業規則（Binding Corporate Rules，BCRs）；行為準則；經歐盟委員會認可的第三方認證等。但是這些保障措施必須得到歐盟數據委員會或某個歐盟成員國數據保護局的批準。以中國的金融機構為例，這些機構一般采用標準合同條款（SCC）或有約束力的公司規則（BCRs）這兩種保障性措施。如果第三國不能提供相應的保障措施，則只能采用第三種方式“特殊情況下的數據跨境傳輸規則”，即存在下列情況時，可以進行個人數據傳輸：數據主體同意為了特殊目的處理其數據；簽訂或履行合同的需要；公共利益的需要；建立、行使或捍衛法律主張的需要；保護數據主體或其他自然人切身利益的需要；公共登記數據的需要。

根據GDPR關于數據自由流動的“充分保護原則”，歐盟對第三國的數據保護水平進行評估。被列入“充分保護決定”的國家、地區和國際組織，無需經過歐盟數據監管機構事前授權，就可以與歐盟之間實現數據自由流動。2020年7月以前，有12個國家和地區（包括美國）獲得歐盟充分決定的認證。2020年7月之后，美國被排除在外。

美國沒有數據保護方面的綜合性立法，而是采用了行業自律為主的監管模式，因此不符合歐盟對個人數據給予充分保護的要求。為了雙方的貿易合作，歐盟與美國達成《信息安全港框架協議》（Safe Harbor Framework），規定雙方之間數據跨境自由流動僅限于受美國聯邦貿易委員會監管的行業，而將通信行業和交通行業排除在外。斯諾登事件后，歐盟法院通過Schrems案件裁定《信息安全港框架協議》無效，理由是該框架允許美國以國家安全、公共利益、執法為由規避監管，從而導致實施15年的歐盟與美國數據跨境流動機制被撤銷。2016年，美國調整保護框架內容，將限制公權力的措施寫入《隱私盾協議》（Privacy Shield），并獲得歐盟委員會充分性決定。但在2020年7月的Data Protection Commissioner v. Facebook Ireland案中，歐盟法院認為歐盟委員會的充分性決定是無效的，因為提供的保護不滿足對等要求[ 6 ]。

三、GDPR對國際服務貿易的影響

數據本地化要求所有數據都駐留在特定的位置，通常是收集數據的同一國家、區域等。對于來自未被充分性決策覆蓋的國家的公司來說，數據本地化是最簡單的，在某些情況下也是唯一的、符合要求的解決方案。即使企業的總部位于與歐盟有協議的國家之中，它們的安全也難以得到保證，也需要數據本地化。GDPR生效后不到一個月，微軟office，一家通過Privacy Shield認證的美國企業，在德國黑森州被發現不再符合GDPR[ 7 ]。導致這一決定的一個主要因素是微軟公司關閉了德國境內的Microsoft Office數據服務器。因此，為了解決不合規問題，微軟被建議重新開放上述服務器。

在GDPR下的眾多義務中，數據轉移到第三國的嚴苛合規義務是否構成貿易壁壘，進而違反《服務貿易總協定》存在爭議。數據究竟是一種商品還是一種服務的問題在學術界也存在爭議。如果數據是服務，就要在《服務貿易總協定》下討論。如果是商品，那就要在《關稅及貿易總協定》（Gen eral Agreement on Tariffs and Trade，GATT）下討論。本文認為數據是一種服務，并在此基礎上分析GDPR是如何通過其所確立的數據跨境轉移規則來影響數字貿易規則，進而影響國際服務貿易。

（一）GDPR下的數據跨境轉移規則造成數字封鎖，構成了貿易障礙

個人數據保護和數據自由流動是歐盟數據保護相關立法的兩大目標。歐盟先后通過1995年《關于個人數據處理保護與自由流動指令》、2016年GDPR統一了成員國之間的數據保護水平，從而實現數據在歐盟各成員國內的自由流動。對于數據向歐盟外國家、地區流動的情形，歐盟提出了充分保護原則，對數據接收國的數據保護水平進行評估。當接收國滿足歐盟的數據保護原則后，個人數據的跨境傳輸將被批準。

1.滿足GDPR標準的數據合規要求困難重重

GDPR是一項涉及數據保護各個方面、監管程度高的立法。歐盟委員會（European Commission）為了尋求解決企業跨國經營可能出現的問題，提出了充分性決定的概念，這是一個先于GDPR的概念，早在1995年《關于個人數據處理保護與自由流動指令》中就被提出。GDPR保留了充分保護原則和充分決定機制，并對其進行了發展與完善。根據充分保護原則，那些被認定為對個人數據有充分保護的國家，可以與歐盟之間進行數據跨境轉移。然而，要滿足歐盟GDPR對個人數據進行充分保護的合規要求困難重重。

首先，充分性決定的評估執行程序存在不透明的問題。被排除在“充分性決定”認證之外的國家中，有些國家的數據保護法律實際上極其嚴格。韓國就是這樣一個國家[ 8 ]。2011年，韓國制定了自己的數據隱私法，即《個人信息保護法》（the Personal Information Protection Act，PIPA），這部法在很多方面與GDPR規則相呼應。2015年，韓國又制定了《網絡法》。違反PIPA或《網絡法》可能會被處以罰金或刑罰，最高可被處以1億韓元的罰款和10年勞役。此外，阿根廷在2003年獲得了充分的數據保護，但在該決定獲得批準時，阿根廷甚至還沒有開始實施其數據保護法[ 9 ]。

其次，充分性決定的評估方法也存在不確定性。充分性決定機制要求第三國對個人數據的保護應達到與歐盟“必要相等的程度”，其評估根據有第三國國內法及所承擔的國際義務、基本權利和自由、第三國保護水平是否達到歐盟基于《歐盟基本權利憲章》和1995年指令所給予的保護力度[ 5 ]。上述評估方法也存在很多不確定性，例如第三國承擔的國際義務是指什么，并不明確。

此外，如果用“適當保障措施”進行跨境數據轉移，也存在很多問題。比如，我國金融機構如通過與歐盟分行簽署“標準合同條款”方式提供“適當保障措施”，雖然簽署及獲批耗時相對較短，但如果海外分支較多，則要簽署多份，導致后續維護成本較大。而采用“有約束力的企業規則”能夠覆蓋集團個人數據傳輸的所有用途，但其認證流程非常嚴格，審批耗時長，難度大[ 2 ]。總之，非歐盟企業為了實現與歐盟市場間的數據傳輸，都需承擔較高的合規成本。

2.數據本地化是滿足GDPR合規要求的最佳選擇

對所有這些非歐盟公司面臨的障礙，數據本地化提供了一個解決方案，幫助其實現合規。數據本地化要求數據保存在特定站點的服務器上，而不考慮控股企業的位置。其結果是，以控股企業為代價為東道國的經濟做貢獻。

雖然GDPR本身并不包含任何顯式的數據本地化需求，但自從GDPR生效以來，數據本地化基本上成為一個事實上的需求。對于總部位于未被充分性決定覆蓋國家的企業來說，情況尤其如此。因為這些企業在如何重組以繼續在歐盟內部運營方面的選擇更少。

2018年，德國黑森州學生使用的微軟office 365被認為不再符合GDPR。出現這種結果，是由于微軟關閉了其在德國的數據中心，這意味著學生的數據將被轉移到美國的服務器上進行數據處理。微軟公司的另一種選擇是將Microsoft Office軟件切換為具有本地許可的應用程序，允許數據在本地處理和保存。如果微軟公司重新將數據托管在德國國內服務器上，則沒有必要采用這種方法。值得注意的是，微軟是在《隱私盾協議》保護下進行自我認證的公司之一，這表明《隱私盾協議》本身可能不足以保護美國企業。由于黑森州對歐盟國民數據的處理方式有限制，許多企業會發現，只要將所有有關歐盟的數據本地化到歐盟內部，就能更容易地合規管理。

一些公司正在退出歐盟，因為這樣做比以符合法規的方式進行重組更簡單。比如在GDPR生效后，中國互聯網巨頭阿里巴巴旗下的全球速賣通、新浪微博國際版、微信海外版等紛紛向歐洲區用戶更新隱私政策，請求重新授權。而短期難以適應規則的公司，則選擇了暫時退出。例如小米生態鏈企業、美拍、網易云音樂等，均暫停了歐洲服務[ 2 ]。

從美國與歐盟簽訂的《隱私盾協議》中可以看到，有一些公司選擇撤回當時的Privacy Shield認證，盡管Privacy Shield的目的相當于獲得“充分性保護”決定，但這些公司認為這不足以阻止他們違反GDPR[ 10 ]。盡管GDPR僅實施了兩年多，但歐盟國家將毫不猶豫地根據GDPR對其發現的違規公司進行處罰。根據GDPR的規定，違規公司被罰款的上限為2 000萬歐元或最高為上一個財政年度全球全年營業收入的4%（兩者中取數額大者）。因為違反了GDPR規則，歐盟對英國航空、谷歌和萬豪等公司分別處以2.04億歐元，5 700萬美元和1.24億美元的罰款。雖然未發生因違規將數據轉移到第三國而被征收罰款的情況，但并不意味著這種合規風險不存在。即使罰款的金額微不足道，歐盟內部執行處罰的意愿也十分堅決[ 11 ]。

（二）GDPR違反《服務貿易總協定》平等準入與平等待遇要求

《服務貿易總協定》的目的是消除貿易壁壘，促進服務貿易自由。根據歐盟加入《服務貿易總協定》時所做出的承諾，可以得出GDPR違反了《服務貿易總協定》第16條和第17條。

1.GDPR違反了《服務貿易總協定》第16條的平等準入要求

世界貿易組織的每一個成員國就《服務貿易總協定》訂有一份與特定服務部門有關的具體承諾減讓表。在承諾表中列明的開放服務部門必須遵守《服務貿易總協定》市場準入和國民待遇條款中的要求。《服務貿易總協定》第16條（市場準入）要求世貿組織成員必須向來自這些部門的外國供應商提供市場準入，這些供應商的待遇不得低于國內供應商。

在最初的承諾中，歐盟并未對電信服務或數據檢索的市場準入加以限制。世界貿易組織爭端解決機構（DSB）規定，一項服務如果屬于附表中所做承諾的類別之一，則必須遵守與第16條相一致的規定。如賭博和博彩服務被認為是美國承諾開放的服務部門，這意味著美國不能制定法律來限制外國投資者提供這些服務。2003年，安提瓜和巴布達就對美國提起訴訟，指控美國禁止網上博彩服務跨境供應的措施違反了《服務貿易總協定》第16條市場準入原則。GDPR也應受到歐盟在《服務貿易總協定》中所做承諾的約束。事實上，歐盟確實在其承諾范圍內制定了對金融數據處理的具體限制，將其從《服務貿易總協定》的市場準入和國民待遇條款中豁免。因此可以推論，除金融數據外，所有其他數據都被排除在這一限制之外。對歐盟承諾做出的這些調整是在《數據保護指令》作為歐盟主要數據保護法期間完成的。此后，雖然通過了GDPR數據保護法律，但歐盟一直沒有努力重新審視其在除金融數據外領域的承諾時間表。

GDPR對非歐盟企業的要求表明，這些企業受到的待遇低于歐盟內部企業，因而違反了第16條（市場準入）。對非歐盟企業來說，除了要將涉及歐盟的數據本地化這一潛在差別對待外，設立數據保護官是另一個進入歐盟市場的壁壘。根據GDPR要求，當非歐盟企業要對歐盟境內的數據主體進行定期、系統的數據處理時，應設立數據保護官。歐盟在加入《服務貿易總協定》做出承諾時并未為數字服務或個人數據開辟例外，歐盟已承諾允許這些服務在其自身和其他世貿組織成員之間自由流動。因此，GDPR對數據在歐盟和第三國之間的自由流動設置的障礙已經違反了承諾，也違反了《服務貿易總協定》第16條規定。

2.GDPR違反了《服務貿易總協定》第17條的平等待遇要求

《服務貿易總協定》第17條（國民待遇）要求“對外國和國內服務提供者給予平等待遇”。根據GDPR規定，非歐盟企業無法像以前一樣在歐盟內部繼續運營。這是因為它們要么來自那些被認為沒有得到充分保護的國家，要么認為遵守GDPR下的合規規定將是一種太大的財政負擔。事實上GDPR阻止了這些企業進入歐盟的整個內部市場。

相比之下，位于歐盟內部的企業則沒有這些限制，并有機會在一個開放的內部市場運營。事實上，非歐盟公司基本上只能選擇退出或數據本地化（如果是180多個未被充分性決定覆蓋的國家之一）。但是，這相當于給予歐盟企業優惠待遇，并因此改變了歐盟市場的競爭格局。

（三）GDPR不適用《服務貿易總協定》第14條

與大多數管理貿易的條約一樣，《服務貿易總協定》也有例外。在規定有關服務自由流動要求的同時，服務貿易總協定也規定了例外情況。如《服務貿易總協定》第14條（c）款所列舉的：ⅰ.為了防止詐騙或處理服務合同違約；ⅱ.為了保護個人信息隱私及個人記錄、賬戶的機密；ⅲ.為了確保安全等方面法律、法規得到遵守而采取的措施。即使上述這些措施與《服務貿易總協定》的規定不一致，但只要這些法律、法規與《服務貿易總協定》不相抵觸，也是《服務貿易總協定》所允許的[ 12 ]。

如果被訴至世界貿易組織爭端解決機構，歐盟可以根據《服務貿易總協定》列出的幾種例外情況辯稱它有權維持GDPR。最有可能的辯護依據是第14條（c）款所列的例外措施中的（ii）項。但根據《服務貿易總協定》第14條“各項例外措施在適用時不得任意，在效果上不會造成不公平的、歧視性的后果”的規定，歐盟的這個辯護理由將站不住腳。盡管GDPR的目標是隱私保護，但要想被視為一個可接受的例外，它必須被證明這類措施的實施不會在情況相同的國家間造成不公平、歧視，或構成對服務貿易的變相限制。在考察那些存在強有力的數據保護法律卻沒有得到充分性保護決定的國家時，我們可以清楚地看到，做出這些決定的過程是十分武斷的。韓國的情況最能說明歐盟充分性決定機制的隨意性。其他例子也表明，在充分性決定的決策過程中存在著不合理的歧視和武斷。阿根廷是僅有的11個被授予充分保護決定的國家之一，甚至在實施其數據保護法之前就被授予了充分性保護決定。愈是仔細審查充分性決定機制，就愈難提出“‘保護與個人資料的處理和散播有關的個人隱私是一項基本權利并受第十四條（c）款（ii）項保護”的論點。因此，歐盟援引第14條（c）款（ii）項，認為GDPR是一個可接受的例外的辯護是站不住腳的。

四、應對GDPR影響的對策與建議

隨著萬物互聯時代的到來，國際服務貿易不可避免地要涉及數據跨境轉移，而在商務活動中要嚴格區分個人數據與非個人數據是很困難的。雖然GDPR旨在保護個人數據，卻對國際服務貿易產生了很大影響，甚至違反了《服務貿易總協定》。為此，本文對歐盟應如何完善GDPR下的數字貿易規則提出一些建議。同時對中國應如何應對GDPR的影響提出對策，以解決GDPR造成的數據保護與全球信息自由流動之間的緊張關系。

（一）歐盟應完善GDPR下的數字貿易規則

為了完善GDPR制度，歐盟內部應有所作為。同時，國際社會也可以通過向國際貿易爭端解決機構及歐盟內部監察專員、歐盟法院提起上訴這兩條起訴的路徑促使歐盟完善GDPR下的數據保護與數據流動規則。

1.歐盟應禁止數據本地化要求并完善充分性決定機制

為了緩解GDPR引起的一些問題，歐盟可以采取的第一步是通過一項規定，即不允許任何成員國制定明確的數據本地化法律。德國和法國已經提出了制定快速數據本地化法律的建議，但這些建議沒有得到歐盟委員會的采納[ 13 ]。委員會對這些法律的負面反應，對禁止任何其他國家采取同樣立法行動來說是一個好兆頭。然而，任何禁止特定國家數據本地化法律的歐盟立法都不能解決非歐盟國家和企業難以遵守GDPR的問題。

充分性決定機制是處理這個問題的重要解決方案。自充分性決定機制實施25年以來，只有12個國家或地區被歐盟認定為對個人數據進行過充分性保護，可以與歐盟之間進行自由的數據跨境流動。被授予充分性決定的國家如此之少說明該機制本身存在不足之處。歐盟可以從以下兩個方面入手：首先，可以通過簡化充分性決定的認定流程來解決這些問題；其次，可以通過與各國密切合作，查明問題根源，采取有效措施來解決這些問題。總之，為了鼓勵數據的自由流動，充分性決定的決策過程必須更新，要讓決策程序更加透明和明確。

2.促使歐盟完善GDPR下的充分性決定機制的途徑

如果歐盟委員會不能盡快完善充分性決定機制，那么國際社會可以提起訴訟以促成變化，其途徑有：

（1）向國際貿易組織爭端解決機構提起上訴。如果一個WTO成員認為另一個成員制定了一項成為新貿易壁壘的規定，并試圖限制貿易，則前者有權向WTO提起申訴，指控相關做法違反了貿易協定。例如，2003年，安提瓜和巴布達對美國提起訴訟，指控禁止網上博彩服務跨境供應的措施違反了《服務貿易總協定》第16條市場準入原則。安提瓜和巴布達在訴美國賭博案中辯稱，禁止跨境提供博彩服務的三條聯邦法律違反了美國關于市場準入的承諾。安提瓜和巴布達的理由是，由于美國承諾向外國供應商提供與國內供應商相同的待遇，因此，禁止安提瓜和巴布達在美國境內經營賭博和博彩服務，違反了《服務貿易總協定》。世界貿易組織爭端解決機構在為安提瓜和巴布達做出裁決時認為美國違反了關于其各自附表所列各項承諾的第16條的規定，未向安提瓜和巴布達賭博和博彩服務供應商提供與本國供應商相同的待遇[ 14 ]。

目前，向WTO爭端解決機構提起上訴這一路徑并不可行。由于美國的阻擾，國際貿易組織爭端解決機構事實上已處于停擺狀態，上訴機構已不再運作，任何向WTO提起針對歐盟的訴訟的嘗試都可能是徒勞的[ 3 ]，甚至申訴至DSB也收效甚微。以安提瓜和巴布達訴美國開放網上博彩業為例，即使爭端解決機構最后裁判美國敗訴，并授權安提瓜和巴布達對美國采取報復性措施，對美國也沒有任何影響，因為申訴雙方的市場體量反差太大。

（2）向歐盟監察專員申訴。向爭端解決機構申訴并不是提起訴訟的唯一途徑，因為在歐盟內部還存在一種途徑來消除充分性決策程序缺乏透明度對非歐盟企業的影響。

監察專員（行政申訴專員）是歐洲聯盟眾多機構之一。申訴專員負責監督整個歐盟各機構的廉潔問題，調查有關歐盟管理機構行政失當的投訴。被調查的不當行政管理的類型包括濫用權力、歧視、適用法律不當和缺乏透明度等。而透明度和相稱性作為原則載入歐盟憲法框架，成為有效民主制度的重要基礎。

申訴專員的服務可提供給歐盟國家的公民或居民，或總部設在歐盟的公司。假如一個韓國公司在法國有商業存在，由于韓國未獲得歐盟充分性保護決定，這將導致韓國總公司與歐盟分公司之間無法自由地進行數據跨境流動。歐盟分公司可以以充分性決定機制缺乏透明度和存在歧視為由向監察專員進行投訴。在提出申訴時，該公司可以辯稱，在韓國擁有嚴格的數據保護法規的情況下，為了獲得“充分性保護”決定而讓韓國等很多年是一種歧視，而且影響了公司在歐盟開展業務的能力。

（3）向歐盟法院起訴。雖然向監察專員申訴有助于鼓勵歐盟委員會改變充分性決定的決策程序，但這并不是問題的全面解決方案，因為申訴專員無權發布禁令。然而，歐盟法院（The Court of Justice of the European Union，CJEU）卻擁有這種權力。位于歐洲的非歐盟企業可以侵犯個人經濟權利或違反歐盟法律的一般原則為由，向CJEU提出索賠。歐盟法院于1994年發表了第1/94號意見，答復了歐洲共同體（歐盟的前身）關于《服務貿易總協定》歸誰管轄的問題，最終將《服務貿易總協定》原則納入歐盟法律。

（二）GDPR對國際服務貿易規則影響的中國因應

事實上，GDPR已影響了國際貿易規則，特別是國際服務貿易規則。中國應正確研判國際貿易規則的發展形勢，把握發展機遇，提高在多邊、區域或國際貿易談判中的話語權。同時，中國也應在不違反國際貿易規則的前提下，構建促進國家網絡安全、企業公平競爭及個人信息保護協調發展的新型數字貿易規則。此外，為了解決與歐盟之間數據跨境傳輸問題，中國可借鑒歐盟—美國《隱私盾協議》模式，盡早與歐盟磋商談判并簽訂協議。

1.引導與推動《服務貿易總協定》的改進

數字技術的進步推動了全球服務貿易的快速發展，也帶來了數據流動與隱私保護問題。各國紛紛通過國內立法來規制數據流動及存儲問題。如澳大利亞要求對醫療信息進行本地化存儲。加拿大的英屬哥倫比亞和新斯科舍兩個省規定，禁止從境外訪問醫院、學校等公共部門的信息。俄羅斯法律要求本國企業的電子通訊和社交網絡數據需進行本地化。印度、越南等國家也有數據本地化存儲的法律規定。歐盟更是通過GDPR的實施，深刻影響了世界數據規則。這種現狀已事實上構成了新型數字貿易壁壘。

其實，2016年7月頒布的《中華人民共和國網絡安全法》（下稱《網絡安全法》）也被置疑影響了國際服務貿易，并于2017年被美國訴至WTO貿易服務委員會。美國認為我國的《網絡安全法》及其配套政策、規定將會阻礙數據跨境流動，進而影響國際服務貿易和在華外企的業務開展。“網絡運營者”的廣泛性、“重要數據”和“個人信息”傳輸限制的嚴苛性與牽涉部門的廣泛性、隱私保護義務的繁重性與不必要性、安全評估標準與關鍵信息基礎設施的廣泛性與模糊性等問題都受到關注[ 15 ]。

針對數字經濟有關事項，《服務貿易總協定》及《與貿易有關的知識產權協定》（Agreement on Trade- Related Aspects of Intellectual Property Rights，TRIPS）都制定了相應的規范，但仍不能適應數字經濟發展的需求。現有的WTO規則對新型數字貿易壁壘無能為力。從2001年開始的多哈回合談判已處于停滯狀態。

中國作為多邊貿易體制的受益者，應積極利用WTO多邊談判體制，引導WTO成員關注WTO多邊協定中所缺乏的應對數字貿易壁壘的規范，借鑒GDPR所創設的平衡數據自由流動與隱私保護的新型數據流動規則，吸納以《區域全面經濟伙伴關系協定》《全面與進步跨太平洋伙伴關系協定》《歐盟日本經濟伙伴關系協定》《美墨加協定》為代表的新型區域貿易協定中的數字貿易規則，細化《服務貿易總協定》協定已有的四種貿易模式，發揮WTO爭端解決機制作用，改進與完善《服務貿易總協定》。

2.構建促進國家網絡安全、企業公平競爭及個人信息保護協調發展的新型數字貿易規則

我國的數據監管法律制度正在不斷地完善。2017年6月《網絡安全法》及最新刑事司法解釋正式運行。2018年8月，《中華人民共和國電子商務法》在《網絡安全法》的基礎上，對個人信息保護規則做了進一步細化。2021年1月1日生效的《中華人民共和國民法典》在總則和分則中均對個人信息保護有明文規定。現有的其他法律如《中華人民共和國消費者權益保護法》《中華人民共和國廣告法》等也涉及到對個人信息的保護。但在社會實踐中，這些法律的適用大多規定得較為原則，并不能滿足人民群眾對個人信息保護的各類迫切需求。此外，縱觀其他法規及規范性文件，例如《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》、（工業和信息化部）（GB/T 35273—2020）《信息安全技術個人信息安全規范》等，這些法律法規雖然為企業提供了極強的合規參考價值，但也存在著一定的滯后性，并不能夠適應各類互聯網企業的合規需要。目前我國已加速個人信息保護的立法進程，《中華人民共和國個人信息保護法（草案）》（以下簡稱《個人信息保護法》）和《中華人民共和國數據安全法（草案）》（下稱《數據安全法》）均已公布。

我國在制定《個人信息保護法》和《數據安全法》的過程中，可以充分借鑒GDPR的條款。以GDPR為代表的歐盟高水平數據保護要求，倒逼我國提高個人信息保護水平。將我國的《個人信息保護法》草案與GDPR進行對比發現，兩者主要存在以下不同：

（1）在個人數據的跨境轉移上，GDPR規定了包括充分保護性認定、有約束力的公司規則、數據保護標準條款、特別告知同意、履行合同必要等多種合規路徑。而我國《個人信息保護法》統一將“告知并取得個人同意”作為數據跨境傳輸的前提條件，在合規路徑方面規定了安全評估、個人信息保護認證、與境外接收方訂立合同等方式[ 16 ]。我國是一個數據大國，目前數字經濟規模僅次于美國，位列全球第二。中國有9家企業位于全球市值最高的20家互聯網企業之列。雖然我國互聯網企業目前的國際化程度不如美國企業，但未來勢必將成為數據進口大國。因此，拓寬個人數據跨境合規流動的路徑是極為必要的。

（2）在個人數據本地化存儲上，《個人信息保護法（草案）》對關鍵信息基礎設施運營者和符合國家網信部門規定的個人信息處理者提出了本地化存儲的要求。其中的跨境規則對于跨境經營類企業（如境外跨國企業、中國出海企業）的影響較大，需根據其自身情況確定合規路徑，并征得用戶的單獨同意。正如本文第二部分所述，GDPR未明確要求數據本地化都有可能違反《服務貿易總協定》第16條和17條，如果我國《個人信息保護法》明確要求數據本地化，則更有可能與《服務貿易總協定》沖突并被訴至國際貿易組織爭端解決機構。

（3）在數據處理者的義務上，GDPR對于數據“控制者”和“處理者”有較細的法律義務的分配，且要求“控制者只能選用有充分保證的、可采取合適技術與組織措施的、其處理方式符合本條例要求并且保障數據主體權利的處理者”。而《個人信息保護法》規定“個人信息處理者委托處理個人信息的，應當與受托方約定雙方權利義務，并對受托方的個人信息處理活動進行監督”。就受托方的義務而言，除履行其合同義務、返還或刪除個人信息義務，及不得轉委托外，并無進一步的規定。

（4）在處罰上，GDPR規定有兩千萬歐元或上一年全球總營業額4%的金額的罰款上限（取兩者中的較高者），還規定了處罰的考量因素。而《個人信息保護法》草案將罰款上限規定為“五千萬元”或者“上一年度營業額5%”，未明確處罰數額的考量因素、針對適用的違法情形以及營業額的范圍。

3.借鑒歐盟—美國《隱私盾協議》，與歐盟開展數據跨境流動雙邊協議談判

美國通過與歐盟締結《隱私盾協議》來化解雙方的數字貿易壁壘。美歐之間能達成雙邊協議，有三個有利因素：一是美歐之間經濟依存度高；二是美歐之間有政治互信；三是美國強大的外部執法機制能約束信息控制者的行為[ 17 ]。中國如想與歐盟達成類似協議，還需在個人信息保護水平、數據保護立法與標準、執法監督機制、救濟手段等方面進一步改善。可喜的是，2020年12月30日《中歐全面投資協定》（The China-EU Comprehensive Agreement on Investment，CAI）完成談判。我國在個人信息保護立法與執法體系趨于完善之時，應盡早與歐盟開展有關數據跨境流動的雙邊協議談判。現階段，我國可由商務部牽頭組織國內各大企業建立海外合規信息與資源共享平臺，加強與歐盟委員會等海外個人數據保護監管機構的平等磋商與合作，盡快達成有利于雙方的相關協議，降低我國企業特別是中小企業開拓歐盟市場的合規成本、合規風險[ 2 ]。

4.吸收借鑒數字貿易規則，為積極加入CPTPP磋商創造條件

在WTO改革沒有進展，也無力解決數字貿易壁壘問題的現狀下，以GDPR為代表，包括《全面與進步跨太平洋伙伴關系協定》《歐盟日本經濟伙伴關系協定》《美墨加協定》等新型區域貿易協定在內的數字貿易規則對我國制定相應規則有較大的借鑒意義。我國應關注數據跨境流動、數據相關設施的本地化、數字貿易業務的市場準入、數字知識產權保護、跨境電商便利化等方面的國際態勢與主要分歧，在完善國內相關法律制度的同時，積極參與雙邊和區域協定談判，與國際接軌。

以數字貿易業務的市場準入為例。國際上對云計算是“計算機相關服務”還是“電信服務”一直存在較大分歧。美國力主云計算是“計算機相關服務”，而許多發展中國家將云計算視為電信服務，采取許可管理。根據CAI的內容，中國已同意收緊對計算機服務市場準入的限制，同時CAI還包括了“技術中立”條款，以確保對增值電信服務設置的股權上限不會適用于金融、物流、醫療等在線服務。雖然CAI還未簽署、生效，但云計算的服務分類必將影響CAI條款的實施。

數據（設施）本地化問題，《美墨加協定》第19章第12條規定“禁止將計算設施置于某一成員國內或使用某一成員國境內的計算設施等本地化要求，且無任何例外情況”。而我國2016年的《網絡安全法》就因要求關鍵信息基礎設施本地化等規定而飽受爭議。

我國近兩年在區域協定的談判、簽署上都取得了較大進展。2020年11月15日，《區域全面經濟伙伴關系協定》正式簽署。2020年12月30日，中歐領導人共同宣布如期完成中歐投資協定談判，同時中國領導人宣布積極考慮加入《全面與進步跨太平洋伙伴關系協定》。所有這些區域協定均涉及數字貿易規則。因此，我國應盡早借鑒已創設的新型數字貿易規則，助力我國數字經濟發展。

五、結語

根據《服務貿易總協定》第16條和17條之規定，歐盟有義務不采取任何有利于國內服務供應商而不利于外國服務供應商的措施。GDPR在個人數據保護和跨境轉移上對非歐盟公司的運營提出了很高的要求，造成了不適當的負擔。為了符合GDPR的要求，非歐盟企業客觀上只有兩種選擇：要么撤出歐盟市場，要么將數據本地化，否則將面臨巨額罰款。而要求數據本地化實際上構成了貿易壁壘，違反了《國際服務貿易總協定》第16條（市場準入）和第17條（國民待遇）。由于美國的阻擾，國際貿易組織爭端解決機制事實上已處于停擺狀態。鑒于此，那些在歐盟有商業存在的非歐盟企業可以向歐盟行政申訴專員提出申訴。

數據跨境流動是數字貿易的內在要求，而數字貿易又是國際服務貿易的重要組成部分。因此，GDPR會對國際服務貿易產生廣泛而深遠的影響。本文建議，歐盟應禁止數據本地化要求并完善充分性決定機制。因應GDPR對國際服務貿易法的影響，中國應引導與推動《服務貿易總協定》的改進與完善；吸收借鑒以GDPR為代表的《全面與進步跨太平洋伙伴關系協定》《歐盟—日本經濟伙伴關系協定》《美墨加協定》等新型區域貿易協定所創設的數字貿易規則，構建促進國家網絡安全、企業公平競爭及個人信息保護協調發展的國內數據監管法律制度；盡早與歐盟開展有關數據跨境流動的雙邊協議談判。

參考文獻：

[1]陳文清.歐盟《一般數據保護條例》中數據處理主體的二元劃分及其啟示[J].西部法學評論，2020（4）：56-66.

[2]屈剛，洪金瑩，楊茜，李罡琴.歐盟《一般數據保護條例》的實施與應對——基于中國銀行的探索實踐[J].國際金融，2020（6）：37-48.

[3]陳鼎莊.從中美貿易摩擦看國際貿易法的發展及中國的對策[J].中國流通經濟，2019（10）：107-116.

[4]戴龍，數字經濟產業與數字貿易壁壘規制——現狀、挑戰及中國因應[J].財經問題研究，2020（8）：40-47.

[5]袁慧.歐盟數據跨境轉移中的充分決定機制研究[J].電子知識產權，2020（11）：56-69.

[6]JOSEPH J L，MARY T C.Tag archives：data protection commissioner v. facebook ireland and maximillian schrems[EB/OL].（2020-01-23）[2021-01-25].https：//www.work placeprivacyreport.com/tags/data-protection-commissionerv-facebook-ireland-and-maximillian-schrems/.

[7]DAVID R.Why the Privacy shield wont make you gdprcompliant[EB/OL].（2018- 05- 25）[2020- 12- 05].https：// www.cmswire.com/information-management/why-the-priva cy-shield-wont-make-you-gdpr-compliant/.

[8]KURT W.Third annual detlev f. vagts roundtable on transna tional law：data protection in a global world[C].112 Am. Socy Intl L. Proc.（2018）：219-231.

[9]JENNIFER S，CHAN B，JOLY Y.The European Unions adequacy approach to privacy and international data sharing in health research[J].The journal of law，medicine & ethics，2018（1）：143-155.

[10]Generally list：active，privacy shield framework[EB/OL].（2019- 10- 06）[2020- 12- 10].https：//www.privacyshield. gov/list.

[11]GDPR enforcement tracker，enforcement tracker[EB/OL].（2019- 11- 09）[2020- 12- 10].http：//www.enforcement tracker.com/.

[12]李國安.《服務貿易總協定》的例外及其限制[J].國際經濟法學刊，2004，9（2）：20-52.

[13]李毅，王迪.世貿組織背景下中國數據本地化存儲要求的評析[J].重慶郵電大學學報（社會科學版），2019，31（4）：34-43.

[14]JOEL P T.United States-measures affecting the cross-bor der supply of gambling and betting services[J].American journal of international law，2005，99（4）：861-867.

[15]China- measures affecting trading rights and distribution services for certain publications and audiovisual entertain ment products[R].Report of the Appellate Body，2009.

[16]王淼.數字經濟發展的法律規制——研討會專家觀點綜述[J].中國流通經濟，2020，34（12）：114-124.

[17]JOSHUA D. B.Reading the trade tea leaves：a comparative analysis of potential United States WTO-GATS claims against privacy[J].Localization and cybersecurity laws，2018，49（2）：801-843.

責任編輯：嘉斌

The Influence of General Data Protection Regulation on International Service Trade Rules

CHEN Ding-zhuang

（Xiamen Huaxia University，Xiamen 361016，Fujian，China）

Abstract：In order to protect privacy right，the European Union（EU）has developed General Data Protection Regulations（GDPR），whose two main objectives are to protect personal data and regulate the flow of data across borders. In order to comply with the GDPR，non-EU companies objectively have only two options：either pull out of the EU market or localize their data，otherwise they will face huge fines. In fact，requiring data localization constitutes a trade barrier and violates Articles 16-17 of General Agreement on International Trade in Services（GATS）. In order to promote digital trade，new regional trade agreements such as the Comprehensive Progressive Trans-Pacific Partnership（CPTPP），the Agreement between the European Union and Japan for an Economic Partnership（EPA）and the United States–Mexico–Canada Agreement（USMCA）also prohibit data center localization. So，the EU should try to eliminate the possibility of any data localization requirements and perfect the adequacy decision-making system. GDPR has a profound and extensive impact on international service trade rules. In order to adapt to the new development of international service trade rules，China should guide and promote the improvement of GATS，accelerate the development of new digital trade rules that harmonize the protection of personal information，the orderly flow of data and the protection of public interest，and refer to the Privacy Shield Agreement to negotiate a bilateral agreement with EU on cross-border data flow.

Key words：data protection；data flow；trade barriers；service trade；GDPR