數字貿易自由化與數據安全的協調機制研究

劉恩惠

（伊犁師范大學新疆社會治理與發(fā)展研究中心,新疆 伊犁 835100）

隨著數字化經濟和全球化的快速發(fā)展，數據和國際貿易緊密地結合在一起。目前，數據已經成功地滲入國際貿易的方方面面，數據改變貿易雙方的交易方式，同時也改變貿易雙方的結算方式。數字貿易不僅使跨國貿易更加便捷，還增加了貿易商品的種類。比如，在信息技術高度發(fā)達的今天，數據也可以成為貿易標的進行交易。正因為數字貿易成為國家間貿易不可忽視的部分，國際組織和各國也日益重視數字貿易自由化和數據安全。數字貿易自由化與數據安全問題之間的沖突時有發(fā)生，但并非不可調和，在運用技術手段且制定合理的規(guī)則后，數據安全技術將會為數字貿易自由化保駕護航。

1 數字貿易自由化的發(fā)展

當前，數字貿易范圍日益擴增。在數據技術不甚發(fā)達的年代，要想將德國生產的冰箱銷往中國，只能將冰箱運至中國。而今天，隨著數據技術的發(fā)展，德國公司只需要將電冰箱的生產數據傳輸至中國分公司就可以進行生產銷售。這樣的數字貿易形式在當下并不罕見。數字貿易使貿易既可以承載傳統(tǒng)的貨物交易方式，還可以催生新的貿易形式。因此，數字貿易的發(fā)展使各國越來越重視推動數據貿易自由化，以促使本國經濟得到更好更快發(fā)展[1]。

第一，新時代數字貿易的特征。將數字貿易與傳統(tǒng)的國際貿易方式進行對比后，發(fā)現數字貿易使傳統(tǒng)貿易在貿易對象、貿易方式、貿易效率方面發(fā)生了很大的變化[2]。首先，就貿易對象而言，貿易對象由物轉化為數據，數據再進一步轉化為產品或服務。其次，貿易方式也發(fā)生了變化，傳統(tǒng)貿易交易對時間、地點、人力的要求比較高，有時還會有極高的貨物運輸標準，而數字貿易的交易過程以數字化方式完成[3]，節(jié)省了大量的人力物力成本。最后，數字貿易顯現出驚人的貿易效率。通常代理人、批發(fā)商、零售商等在傳統(tǒng)貿易中會產生中間環(huán)節(jié)，貿易洽談、貨物流通、資金支付較為耗時耗力，數字貿易由于互聯網的開放性，消費者擁有更多個性化的數字產品服務選擇范圍。

第二，數字貿易自由化發(fā)展的重要性。近年來，隨著數字貿易和貿易自由化得到國際社會的認可，數字貿易自由化的發(fā)展如火如荼。同時，數字貿易自由化的優(yōu)勢十分明顯。數字貿易自由化帶來了更加激烈的競爭。與貿易自由化類似，數字貿易自由化依托信息數據的開放性和便捷性，通過對數據資源的整合，能更方便快捷地獲知各地貿易價格，在原材料以較低價格買入和成品以較高的價格賣出方面占有優(yōu)勢。

2 數據安全的重要性

數據的范圍很廣泛，既包括商業(yè)經營者自身的數據，如企業(yè)所掌握的自家產品的生產數據；也包括商業(yè)經營者掌握的消費者個人數據，如購物平臺儲存著消費者的家庭住址，身份信息等數據。數據種類繁多，數據安全問題不容小覷。

數據安全之所以被各國政府重視，是因為各國都曾發(fā)生過或大或小的數據安全事件。例如，2014年，土耳其某黑客組織入侵當地電力管理系統(tǒng)后更改及刪除債務數據。這給當地電力系統(tǒng)造成150萬土耳其幣（約合65萬美元）的巨額損失。此次數據安全事件所涉金額巨大，引起了當地政府乃至全世界的關注[4]。在中國，快遞業(yè)迅速發(fā)展，數據信息泄漏的門檻有所降低。在一起互聯網網絡信息案中，有人利用快遞公司的漏洞，竊取了1 400萬條快遞用戶信息并非法出售。其行為之所以能夠在公司數據庫中暢通無阻，是因為快遞公司的后臺安全性低，僅憑簡單的技術手段便能輕易破解，前后竊取過程僅用20秒。從這些事件中可以看出，不注重數據安全的數字貿易自由化不能走得長遠。

再如，美國GPS全球都能免費用，為何我國還要耗巨資開發(fā)北斗衛(wèi)星導航系統(tǒng)？這是因為，其實GPS開放的只是民碼，精度比美國軍方使用的軍碼差了十倍。一旦有國家和美國發(fā)生沖突，美國就會禁止該國使用GPS，或是向其他國家發(fā)送假的數據，這對作戰(zhàn)國家來說就是滅頂之災。如今，中國有了北斗衛(wèi)星導航系統(tǒng)，數據安全就有了基本保障[5]。從各國發(fā)生的數據安全事故中，我們也可以看出保護數據安全的重要性。

數據流動是數字貿易自由化的核心問題之一。近年來隨著數據安全問題成為焦點，各國都變得審慎起來。中國對跨境流通的數據轉移持審慎的態(tài)度，這是出于對網絡安全及網絡主權的考量。中國網絡安全相關法律對跨境流通等都采取了較為嚴格的監(jiān)管措施[6]。例如，《中華人民共和國網絡安全法》第三十七條：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。”與此同時，美國政府在2013年發(fā)布的《大數據研究和發(fā)展計劃》中，將大數據從商業(yè)行為上升到國家意志和國家戰(zhàn)略，并且對國家數據保護方面做了詳細的要求。英國政府在《開放數據白皮書》中對個人隱私保護設置專章進行保護，對數據保護專家指導和數據流動過程中各個環(huán)節(jié)的隱私保護措施制定了詳細的規(guī)定。

3 數字貿易自由化與數據安全的關系

數字貿易自由化的發(fā)展始終離不開大數據的支撐，大數據自身發(fā)展中最不可忽視的問題就是數據安全問題。數據安全與數字貿易自由化是相互促進、相互限制、協調共生的關系。

第一，相互促進。數據對于數字貿易的發(fā)展舉足輕重，但是在數字貿易自由化的過程中數據安全問題仿佛是一道不可逾越的鴻溝，但是兩者并非水火不容的關系。一方面，正是有了數字貿易自由化這片廣闊的試驗田，數據安全問題理論才能得到豐富的發(fā)展，數據安全問題才有可能得到妥善解決；另一方面，數據安全理論的每一次進步都推動著數字貿易自由化向前發(fā)展。因此，兩者是相互促進的關系。

第二，相互限制。數據安全問題成為大數據發(fā)展的短板，又進一步成為數據貿易自由化的掣肘。顯而易見的是，數據安全問題頻發(fā)，不僅使社會民眾對數據陷入信任危機，更使企業(yè)、國家對數據安全持慎重的態(tài)度。各國政府針對數據安全問題制定的政策法規(guī)，在一定程度上限制了數字貿易自由化的發(fā)展。與此同時，數字貿易自由化進程中暴露出的數據安全問題給數字貿易參加者提出了挑戰(zhàn)，有許多數據安全問題亟待解決。

第三，協調共生。雖然數據安全問題在一定程度上是數字貿易自由化更好更快發(fā)展的掣肘。但是不能將數字貿易自由化與數據安全對立起來，應當使兩者協調共生，共同發(fā)展。數據安全問題得到妥善解決后，數字貿易自由化就會有更加廣闊的發(fā)展空間。

4 數字貿易自由化與數據安全的沖突

4.1 數字貿易自由化要求加強跨境數據流動

數據在數字貿易自由化發(fā)展中的地位舉足輕重，數字貿易自由化要進步，其具體要求包括以下三個方面。

第一，推動數字貿易便利化。數字貿易離不開數據流動，數據流動極大地促進了貿易的便利性。數字貿易自由化要求推動數字化轉型以促進數字貿易便利化。推動數字貿易便利化需要打造集國際貿易數字化、跨境數字金融服務、跨境電子資質申請與認證服務、在線國際貿易跨境糾紛調解與司法救助服務于一體的平臺。

第二，推動數字貿易自由化。美國以及歐洲許多國家均在積極布局數字貿易規(guī)則體系，在當前世界數字貿易規(guī)則體系中，數字貿易壁壘成為各國保護本國數據安全的重要手段。數字貿易自由化要求著眼于未來貿易格局，高度重視數字貿易，主張平衡好網絡安全、個人數據保護、貿易發(fā)展等目標次序，評估對經濟和安全影響、國際規(guī)則動向、貿易壁壘影響，在平衡利弊、放眼未來、協商一致的立足點上推動數字貿易自由化發(fā)展。

第三，推動數字貿易全球化。數字貿易自由化發(fā)展的最終目標是數字貿易全球化，在2013年，WTO會議關注如何撤銷包括《服務貿易總協定》（GATS）、《與貿易有關的知識產權協議》（TRIPS）、《技術性貿易壁壘協定》（Agreement on Technical Barriers to Trade）在內的現有規(guī)定。2018年，有70個成員方簽署聲明要求就數字貿易規(guī)則進行談判。世界貿易組織（WTO）自1995年成立以來，在數字貿易領域僅達成貿易便利化協定。這意味著WTO在數字貿易自由化改革進程上進展緩慢，與數字貿易全球化的發(fā)展嚴重不符。

4.2 跨境數據流動可能帶來的風險

數字貿易自由化要求加快數據流動，數據流動過程中不可避免的問題就是數據安全問題。要想做好數據安全與數字貿易自由化的協調，使兩者能夠找到平衡而使數據安全問題對數字貿易自由化發(fā)展的阻力降至最低，首先要重視數據權利。

大數據是由每個人的數據組成的，個人的數據權利應當首先得到重視，《一般數據保護條例》中多次提到這一要點。數據主體的同意應當是一切數據權利的前提。數據主體與數據控制者相比太過渺小，但是數據權利的損害對數據主體的影響十分重大，因此為個人主體的數據權利提供救濟十分重要。數字貿易的參加者擁有的數據量更為宏大，涉及的種類和包含的人員范圍更加廣闊，因此，數字貿易參加主體的數據權利也應當受到重視。數字貿易參加主體應享有知悉權、更正權等數據權利。

4.3 現有沖突表現

數字貿易自由化要求加快跨境數據流動，而各國雖然對跨境數據流動的好處心知肚明，但卻因為數據安全問題望而卻步。同時，數據流動是有條件的，各國希望能夠在數據流動問題上達成共識，但因為各國和經濟體在數據保護方面的要求不同，數字化發(fā)展程度不同就很難達成一致，因此，各國就極有可能在保護數據安全方面發(fā)生沖突。

目前，世界主要國家和地區(qū)都已經出臺了專門的數據保護法案，如歐盟《一般數據保護條例》（GDPR），英國《數據保護法案》（Data Protection Act），瑞典《瑞典數據法案》（Swedish Data Act）等，都對個人數據、在線服務商、監(jiān)管機構等方面進行了明確規(guī)定[7]。值得注意的是，美國加利福尼亞州于2020年1月起實施的《加利福尼亞州消費者隱私法案》（以下簡稱“CCPA”）中包含了對數據權利的規(guī)定。CCPA的具體內容有數據訪問權、數據刪除權、不被歧視的權利、未成年人和監(jiān)護人授權、私人訴訟權等。同時，CCPA 要求任何和加利福尼亞州居民發(fā)生業(yè)務往來的公司都要遵守這一法律，不存在屬地管轄的原則。這無疑會給很多非美國的海外企業(yè)帶來影響。

5 數字貿易自由化與數據安全的協調

5.1 數據參與人的透明性義務

在數據的收集、整合、使用過程中，公開透明應當是數據參加者的基本義務。公開透明不是指數據內容的公開透明，而是指數據收集者、數據控制者和數據處理者在收集數據、控制數據、處理數據的過程應當盡可能做到公開透明。

第一，數據收集者的透明性義務。收集數據是整合數據的前提，數據的收集者是第一手接觸數據的人。收集數據的主體一般有網絡運營者，國家機關政務網絡的運營者，應用軟件服務提供者，購物平臺等。為了保護數據，必須明確數據收集者的透明性義務[8]。數據收集者的透明性義務首先要求數據收集者做到收集數據合法正當。數據收集者的透明性義務還要求收集者在收集時要得到數據主體的明示同意。數據主體對自己的數據信息有一定的控制權，數據收集者應當尊重他人的控制權，收集信息時向被收集者明示收集目的、使用方式和途徑。沒有經過被收集人同意的，不能收集。

第二，數據控制者的透明性義務。數據控制者一詞最先起源于歐洲法律。數據控制者起源于計算機自動化的發(fā)展，隨著信息網絡的迅猛發(fā)展，數據的生成量成倍增長，政府和企業(yè)開始重視數據收集者，對數據收集者提出要求。其中數據安全、告知、更正和清除三項義務從最早的法律淵源中延續(xù)到了今天，并逐漸延伸開來。數據控制者的告知義務應當放在重要地位來看待，同時，告知應當作為數據控制者的透明性義務的第一要義。在《一般數據保護條例》中規(guī)定，在收集數據的同時應當告知數據主體相關信息。因此，告知成為數據控制者其他多項義務的附隨義務。數據控制者的報告義務是數據控制者的透明性義務第二層含義。《保護個人享有的與個人數據處理有關的權利以及個人數據自由流動的指令》指出，數據控制者不僅要向監(jiān)管機構披露自身信息，也要證明自身處理數據的合法性。數據控制者的報告義務要求數據控制者向監(jiān)管機構報告是無條件的[9]。

第三，數據處理者的透明性義務。《一般數據保護條例》認為，通常情形下，數據控制者與數據處理者往往相同，特定個人或者團體在控制該數據的基礎上會對數據做進一步處理，但也存在數據控制者在控制數據后交由他人進行處理的情形，也就是說，在某些情況下數據的控制者與數據的處理者是分離的。控制者是擁有個人數據并決定個人數據是否需要處理以及如何處理Google的（法）人，處理者是代表控制者處理個人數據的（法）人。當數據的處理者是單獨的主體時，也應當做到透明義務。首先，處理者有義務在控制者設定的任務范圍內行事。如果處理者行事超出任務范圍，為了其自身或其他的目的而處理個人數據，則就該特定部分的數據處理而言，處理者將被視為數據控制者。其次，處理者應當遵守數據處理協議。《一般數據保護條例》第28條規(guī)定，若無數據控制者事先以書面形式作出的一般或特定同意，數據處理者不得與其他處理者就該數據處理事項簽署合同。此種同意可在雙方之間的數據處理協議中規(guī)定。最后，數據處理者的透明性義務要求數據處理者做好數據處理活動的記錄。《一般數據保護條例》對記錄的具體內容有著細致的要求。

5.2 建立風險規(guī)制體制

在規(guī)定數據參與者義務的基礎上考慮數據風險的規(guī)避更加有利于保護數據安全。在數據相對安全的環(huán)境中，數字貿易自由化才能真正實現自由化發(fā)展。

第一，風險評估。《一般數據保護條例》對于收集、控制、處理數據將會觸發(fā)的安全問題也從不同角度規(guī)定了風險規(guī)制體制。《一般數據保護條例》對風險評估的規(guī)定為：“當數據的使用對數據主體的權利帶來風險時，數據處理者應當考慮數據處理的性質、范圍、語境以及目的，對可能給數據主體帶來的風險進行評估。評估當然也包括對個人數據保護的影響[10]。”風險評估機制的重要性就在于此，當考慮到可能對自然人的權利帶來高風險后，介入風險預防機制，將危險問題扼殺在搖籃里。

第二，建立與風險相稱的技術與制度。《一般數據保護條例》規(guī)定，在考慮了技術要求、實施成本、處理方法、處理范圍之后，以及處理給自然人權利和自由帶來傷害的可能性與嚴重性之后，控制者和處理者應當采取適當技術與制度，以便保證和風險相稱的安全水平。適當的技術與組織措施主要著重于從技術手段和規(guī)則制度雙重層面對自然人的數據權利進行保護。

第三，監(jiān)管機構的風險監(jiān)督。在建立風險規(guī)制體制中，最不可或缺的部分是建立和完善監(jiān)管機構的風險監(jiān)督機制。當數據處理過程中發(fā)現有違反《一般數據保護條例》的規(guī)定時，監(jiān)管機構應當及時向數據處理者發(fā)出反饋，要求其調整其行為。監(jiān)管機構也可以自行采取措施以防止違反條例的行為發(fā)生，因為規(guī)定《一般數據保護條例》的目的不是處罰，而是保護數據主體的數據權利。數據權利一旦遭到破壞，則恢復權利的圓滿狀態(tài)的可能性微乎其微，因此賦予監(jiān)管機構處理違反條例行為的權利以保護數據安全。

5.3 形成數據貿易規(guī)則共識

當前各國在數字貿易自由化中存在著不同的主張，不少國家以保護本國數據安全為借口而高舉數字貿易壁壘的大旗。這樣的做法不僅不利于本國的發(fā)展，更不利于數字貿易自由化的發(fā)展。在為數據安全建立良好的預防、評估機制的基礎上，各個國家還要形成數據貿易規(guī)則共識，共同致力于數據貿易發(fā)展。只有這樣才能協調數字貿易發(fā)展的需求與保護數據安全的需要。

第一，認可數字貿易自由化發(fā)展前提共識。數字化轉型對于國際經貿規(guī)則的影響是深遠的，當下任何國家和經濟體都不能忽視了數字貿易自由化的發(fā)展。數字貿易自由化不僅推動了國際貿易的服務化變革，還推動了國際貿易的跨境支付。各國應當在參與的貿易協定中，把數字化轉型相關議題納入高水平自貿區(qū)協定。WTO要重視當前各國渴望在電子商務規(guī)則談判上達成共識的呼聲，盡早確定關于數字貿易的議題，認真考慮各成員方提交的關于數字貿易自由化的提案。

第二，個人數據流動共識。數字貿易高速發(fā)展，數據安全問題和網絡安全問題層出不窮。一些國家認為這些問題的出現都是由個人數據流動帶來的。不同國家在對待個人數據流動問題上的做法不同。美國做法較為開放，支持個人數據的流動。而通過《一般數據保護條例》可以看出，歐盟則采取了較為保守的做法。盡管各國有不同的要求，但還是應該達成共識，確定個人數據的流動標準。數據是數據貿易的生命線，同時個人數據也影響著數據主體的隱私和安全，因此，應當在保護數據安全的基準上允許個人數據的流動。

第三，數據本地化共識。2018年1月，蘋果公司宣布，根據中國相關法律規(guī)定，自2018年2月28日起，中國內地客戶的iCloud服務將轉由云上貴州大數據產業(yè)發(fā)展有限公司負責運營。無獨有偶，印度也要求華為在當地設立服務器，而禁止華為將本國的用戶數據帶到國外。后來，俄羅斯、印度尼西亞、中國、土耳其等國也紛紛提出數據本地化要求。雖然不同國家的經濟社會發(fā)展水平不同、法律制度不同、政策要求不同，但是各國都選擇要求數據本地化以保護本國數據。數據流動對于數字貿易影響極大，在每個國家都要求數據本地化的情況下，許多數據貿易就難以開展了。各國應當加強協商，凝聚共識，在尊重各方數據安全保護訴求的前提下，給予數據跨國流動空間。

6 結語

一方面，隨著信息技術的發(fā)展，數據安全問題從技術上會得到妥善的解決；另一方面，隨著各個國家積極主動地參與數字貿易協商議程，數據安全將會有更加完善的規(guī)則制度來保障。歐盟《一般數據保護條例》作為當下數字貿易規(guī)則的先驅，極大地推動了數據保護規(guī)則的完善，使數字貿易擁有更廣闊的發(fā)展空間。與此同時，多國正在積極行動，一方面從國家內部關注保護數據，制定網絡信息安全保護法規(guī)；另一方面注重參與國際貿易新規(guī)則的商議。通過數據規(guī)則的建立，數據安全問題將不再是數字貿易止步不前的障礙，而是數字貿易自由化發(fā)展、公平化發(fā)展、長遠化發(fā)展的必要保障。