摘 要
数据跨境自由流动是数字贸易得以存在和发展的基础和前提。跨境数据隐私保护法律框架可为跨境数据自由流动创造一个值得信任和充满信心的环境。但是,各国不同的跨境数据隐私保护法律也可能会不当阻碍数据跨境自由流动。当前,通过贸易规制方式协调各国跨境数据隐私保护法律制度已成为国际数字治理的主导模式之一。国际贸易协定主要通过贸易例外和贸易事项两种方式将数据隐私保护问题纳入贸易法框架。前者不会实质性地限制一国数据隐私保护法律制度的构建,后者则对之施加了公平信息实践要求。中国加入CPTPP和DEPA有助于行使制度话语权,塑造新一代的跨境数据隐私保护规则。
关键词
数据隐私保护 贸易法维度 RCEP CPTPP DEPA
根据国务院发布的《“十四五”数字经济发展规划》,为有效拓展数字经济国际合作,中国应积极构建良好国际合作环境,包括“借鉴国际规则和经验,围绕数据跨境流动……数据隐私保护等重大问题探索建立治理规则”。作为数字经济大国,积极参与数字经济国际合作意味着“要密切观察、主动作为,主动参与国际组织数字经济议题谈判,开展双多边数字治理合作,维护和完善多边数字经济治理机制,及时提出中国方案,发出中国声音。”
数据跨境流动和数据隐私保护事项涉及数字经济治理与国际经济法等不同学科领域,存在着全球、区域、国家和私人等多重合作层次,表现为利害攸关方参与和主权国家主导两类治理模式。近期,中国在区域数字贸易协定方面的国际合作成果更为突出:2022年1月1日,中国于2020年11月15日签署的《区域全面经济伙伴关系协定》(RCEP)生效。其中,RCEP第12章(电子商务)较为全面地涉及数据跨境流动和数据隐私保护问题,这必然会对中国参与数字经济合作,特别是塑造数字贸易规则产生较大的规范效应。2021年下半年,中国相继申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)。其中,CPTPP第14章(电子商务)和DEPA模块4(数据事项)分别就跨境数据流动和数据隐私保护作出规定。此类规定极有可能影响到中国未来数字贸易政策的路径选择和改革方向。
对于中国政府而言,签署或申请加入相关区域贸易协定,不仅意味着要承担相应的国际条约义务,还意味着对某一数字贸易治理路径的认可,进而影响到国内、区域乃至全球数字经济治理规则的发展方向。有鉴于此,本文首先讨论数据跨境流动与数据隐私保护的国家规制,然后分析数据隐私保护的具体规制语境以及贸易协定纳入数据隐私保护的两种模式,最后就中国申请加入CPTPP和DEPA对国内数据隐私保护法律的影响作一简要法律政策分析,从而说明中国所面临的挑战。
跨境数据流动和数据隐私保护构数据规制的重要组成部分之一。按照新芝加哥学派规制理论,除直接规制数据行为之外,法律还可通过规制社会规范、市场和架构等,间接规制数据行为。
(一)数据流动、数据隐私与国家介入
随着信息技术的进步、互联网的普及以及各类在线商业业态的蓬勃发展,继农业经济、工业经济之后,人类社会进入到以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力的数字经济阶段。“数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。”在本阶段,维护关键信息基础设施的运行安全、促进互联网服务提供商和数字平台公司的有效竞争以及保证相关信息和数据的自由流动构成数字经济治理的核心内容。如果说互联网创立之初,强调去中心化的技术架构只是将信息跨境自由流动作为值得追求的目标,那么,在数据资源成为数字经济生产要素的大数据时代,数据跨境自由流动已然成为新经济形态不可或缺的生命线。
数据跨境自由流动越是在数字经济中发挥不可替代的作用,因数据自由流动引发的负面效应——数据滥用问题就越发明显。理论上,在信息技术和市场力量的双重作用下,经由成本收益计算,人们最终会被携裹进数字经济的洪流之中,而不得不降低对数据隐私的要求。但是,不能从人们按照相关平台隐私标准参与数字经济之事实,倒因为果地推断出,人们对数字经济之运行模式持更为开放之态度,且愿意用隐私来换取便利。更为可能的情况是,当个人数据隐私受到威胁时,人们参与数字经济的意愿和强度也会相应降低,相关数据的数量和质量将难以得到保证,数字经济发展的广度、深度和限度也会有所限制。
不仅如此,技术和市场决定论忽视了技术发展和市场运行过程中的一个重要结构性变量——主权国家规制所可能产生的决定性影响。主权国家之所以强行介入数字经济运行过程,对个人数据隐私加以公法保护,既有可能基于公共利益,如经济性目标或非经济性目标的考量,也有可能出于对政治主体私人利益的追求。不管其具体政策目标如何,相关数据隐私保护措施的实施均会实质性地影响数据跨境自由流动,进而限制国际贸易的发展。
(二)国家规制的切入点
一旦国家介入互联网治理,原本相对简单的治理模式将会变得复杂,原本相对明晰的治理原则也会出现适用上的不确定。就互联网空间而言,首当其中的问题是,网络空间活动能否受到法律规制,以及通过何种渠道加以规制?
在著名的《网络空间独立宣言》中,面对“工业世界的政府们”,作为网络世界的“代言人”,巴洛宣称:“我代表未来,要求过去的你们别管我们”。因为,“你们不了解我们的文化和我们的伦理,或我们的不成文的‘法典’(代码),与你们的任何强制性法律相比,它们能够使得我们的社会更加有序。”
对网络空间自我规制的主张,法学理论的反应不一而足,大致可分为两派,并集中体现在关于互联网法是否属于“马法”的属性争议之中。
一派观点以伊斯特布鲁克为代表。他认为,互联网法与“马法”类似,仅限于调整某一具体对象,不会给现有的法律体系增加新的内容。就网络空间对现有法律体系提出的挑战,伊斯特布鲁克指出,“立法上的错误是常见的,在技术飞速发展的时候更是如此。我们没有必要努力使一个不完善的法律体系与一个我们不甚了解、不断发展的世界相匹配。相反,让我们做一些至关重要的事情,以允许这个不断变化世界的参与者们作出他们自己的决定。这意味着三件事:明确规则;在没有产权的地方创造产权;并促进议价机制的形成。然后,让网络空间世界按照自己的意愿发展,并从中受益。”
另一派以莱斯格为代表。他认为,就真实空间和网络空间,存在四种相互作用的规制模态——法律、社会规范、市场和架构,其中,网络空间中最为重要的架构就是代码。通过技术配置和系统设计,代码编写者既可基于商业之需求和利益,来设置网络空间架构,也因应法律的要求,对网络空间架构予以调整。正是因为代码规制的独特性、显著性和系统性,互联网法不再是“马法”。因此,如果网络空间之价值取向与法律所认可之价值取向相违背,则代表公共利益的法律应采取自上而下的规制方式,以代码为规制对象,限制网络空间的自我规制范围。
就其核心主张而言,伊斯特布鲁克和莱斯格之间的区别不仅仅在于后者提出代码是网络空间最为核心的规制模态,还在于两者赋予国家以不同的规制地位。虽然理论与实践并不存在简单的一一对应关系,但对于不同规范性权源的强调,会影响到最终规制模式的选择与效果。如依据伊斯特布鲁克的自由放任理论,国家权力之缺席固然可为网络世界自我规制留下足够空间,但也会导致国家对于网络空间中出现的非传统价值取代传统价值的现象,特别是无视个人数据隐私、滥用个人数据问题束手无策。反之,根据莱斯格的代码规制模态理论,代码是一种可与法律发挥类似功能的规制模态之一,借由对代码的规制,国家完全可以将传统价值植入网络空间之中,从而防止市场主体规避其在真实空间中的法律义务。虽然莱斯格关于如何保护个人数据隐私的具体建议——通过财产规则和技术赋权强化个人数据控制权——受到批判,但其关于代码功能的理论界定解决了网络空间是否可以规制以及如何规制的难题,从而为国家介入保护个人数据隐私奠定了坚实的理论基础。
虽然代码规制模态理论解决了国家规制网络空间的渠道问题,但具体规制目标的确定和手段的选择仍需依赖于具体的规制语境。
(一)互联网治理三原则
就跨境数据隐私保护而言,与之最为相关的具体规制情景为数据跨境自由流动。理论上,面向数据自由流动,存在着三个相互依存和相互补充的互联网治理原则:互联网开放性、互联网安全性和互联网隐私。
互联网开放性原则的核心要义是数据可以无阻碍或不受控制地在网络上自由流动。衡量互联网开放性的指标至少包括技术、经济和社会三个维度。技术维度方面,基于“端到端原则”,互联网的开放性指“被输入互联网一端的信息,应该在不被修改的情况下,从另一端出来”, 从而实现不同通讯设备的无缝连接。经济维度方面,互联网的开放性与个人、企业和组织上网、利用互联网增加经济机会和利用这些机会的能力相适应。随着经济全球化的进一步扩展和深化,基于跨境的互联网消费和服务供应更能反应技术开放性。社会维度方面,互联网的开放性与个人利用互联网扩大其非金钱机会的能力相对应,从实践的角度来看,开放意味着人们花在网上的时间和在网上完成的事项将更多。然而,人们越是在网上活动,个人数据越有可能被无限制的收集和滥用,隐私受到侵害的可能性就越大。有鉴于此,一国可基于保护数据隐私之理由,对互联网开放实施限制,阻止数据跨境自由流动。
互联网安全性原则通常指通过电子或类似手段处理、储存和通信的互联网措施应具有保密性、完整性和可用性。其中保密性与数据泄露有关,旨在“防止未经授权的信息泄露”;完整性与互联网开放性原则中的“端到端原则”类似,但范围更广,旨在“保证发送的消息与接收的消息相同,并且消息在传输过程中不被更改”;可用性指的是“当消费者需要信息时,无论用户身处何地,信息都能及时、不间断地提供给消费者的保证。”总体而言,互联网安全性原则旨在促进互联网和通过该网络提供服务的所有应用程序和网站的安全,防止通过网络传输的数据被“无意或未经授权的访问、更改或破坏”。需要说明的是,数据安全并不必然意味着个人隐私得到保护。即使个人数据未被泄漏、更改以及随时可用,依然难以防止服务提供商或第三方滥用该数据,从而侵害到个人隐私。
互联网隐私原则指的是在管理个人数据的过程中,如收集、存储、使用、传送这些数据,应保护个人用户的隐私,同时使之免受不必要的监视。在数据为王的数字经济时代,隐私与数据保护存在密切关联,但不完全等同。其中,数据保护是“隐私权的表达”,而隐私是“数据保护的核心”。为使隐私保护合理化,各国大多求助于经济理性和人权价值:前者强调隐私保护之于建立消费者信任的必要性,后者主张隐私保护之于个人人格的不可或缺性。受网络空间架构所限,国家介入隐私保护时,更注重借助代码进行过程管理,即以数据为抓手,通过对个人数据的收集、储存和处理等过程施加较为明确的要求,来达到保护隐私的效果。由于隐私本质上是一种社会构造物,其社会意义、功能、价值和内容在很大程度上具有武断性和随机性,各国关于隐私保护的目标、标准和具体措施存在较大差异。在此情况下,不同的数据隐私保护体制会给数据跨境自由流动造成障碍。
与规则不同,即使原则之间发生冲突,也可通过相互支持和相互补充的方式予以适用。如表面上看,互联网安全性原则和互联网隐私原则会限制互联网开放性原则的适用,但一个充分开放但不值得用户信赖的互联网很难持续存在和发展,因为更为注重数据安全和数据隐私的用户要么停止使用某些服务,要么转向封闭的、专有的解决方案。而前两个原则的实施可以增强用户对互联网的信任程度,并避免用户采取其他替代方式引发的额外风险。又如,基于互联网安全性原则所采取的某些措施,如要求实名认证、提供个人信息、共享有可能被网络攻击的数据等显然会增加隐私风险,但是,如果互联网、应用程序和网站的安全难以保证的话,用户数据隐私将会受到毁灭性的打击。
(二)多元治理与贸易治理
虽然互联网治理三原则之间有相互协调的可能性,但并不意味着存在一套放之四海而皆准的统一方案。值得注意的是,互联网治理涉及众多利害攸关方——国家、民间团体、企业和国际组织的利益,其中,主权国家及其国际合作依然可以决定性地影响到互联网治理。与之相对应,互联网治理三原则之间的协调最终体现为:由谁来权威性地选择规制方案,以缓解主权国家与全球化数字经济市场之间的紧张关系。
根据政治三难困境理论,就“经济一体化”“主权国家”和“全球民主”,相关决策者只能三选二。如为保证数据跨境自由流动,我们可以给民族国家穿上“金色紧身衣”,将主权行为限定在非常有限的领域之中;或为尊重民族国家的主权意志,限制数据跨境流动的方式;亦或以牺牲国家主权为代价,实现互联网利害攸关方的多元治理。但不管如何,我们不可能同时实现数据跨境自由流动、利害攸关方多元治理、国家主权自决。正是因为如此,就数据隐私保护的国际合作机制,存在着多元治理与贸易治理的模式冲突与选择。其中,多元治理模式以国家让渡主权给多元治理机制为特征,国家不再作为主导者,而是作为利害攸关方参与多元治理的国际商谈,以期达成各方均认可的方案,并在国内层面予以实施。而贸易治理模式依然以“全球化”和“国家规制”为关键词,旨在通过国际层面的条约机制,来解决各国间规制冲突,从而有效降低全球化市场中的合规成本。
在缺乏有效国际法机制予以保障的情况下,基于多元治理的国际商谈困难重重,这主要表现在三点:(1)就哪些利害攸关方有权参与国际商谈存在理论和实践争议,特别是,对于各利害攸关方的角度定位和职权范围,历来争议不断。(2)就哪些议题可被纳入国际商谈日程,以及相关议题的优先性存在着激烈的国际话语权和日程主导权之争。(3)相关国际商谈缺乏统一的程序规则,致使第三方难以判断国际商谈成果的有效性和合理性。
多元治理模式下国际商谈所面临的上述困境很大程度上反映出互联网治理中自由主义理念的短板。在此理念下,任何可能实质性影响到互联网演变、运转和使用的主体均可成为利害攸关方。但是,该理念未能充分考虑到,互联网治理独特的权力结构决定了,某些利害攸关方可利用某类规制模态的主导权而成为关键决策者。与之不同,互联网治理中的主权主义理念认识到,互联网治理存在如下三大问题亟待解决:(1)若干关键的决策者在世界上最重要的信息交换系统中拥有相当大的权力和影响力,却缺乏适当形式的问责和控制。(2)主权国家相关法律具有域外管辖效力,影响到互联网的全球化潜能,但在国际层面缺乏有效协调。(3)互联网治理往往被视为执行国家政策和当地法律的工具之一,互联网有被分解为“分裂网”(splinternet)的风险。
互联网治理措施不仅具有显著外部性,还持续冲击着传统主权观念。鉴于互联网多元治理很难通过全球行政法与现行的国内法和国际法制度接轨,以美国为代表的数字经济强国越来越倾向于利用较为成熟的国际贸易法体制调整与贸易有关的互联网治理问题。与多元治理不同,国际贸易法体制旨在塑造和维护一种具有实证法意义的“俱乐部产品”,而非自然法意义的“公共产品”。如相关国家欲享受成员权利,消费“俱乐部产品”,则应获得成员资格、遵守相关规则与承担相应义务。正是借助这一法律结构,因各国数据隐私保护措施之不同所引发的国际冲突被导入国际贸易法的框架之内。
数字经济对社会各个方面造成了冲击。数据规制,特别是面向数据流动的互联网治理涉及不同学科领域,呈现出碎片化和多元化的特征。当国际贸易法被用于协调各国数据规制和互联网治理冲突时,首先要解决的是如何确定一套适当的和可行的机制,平衡和协调国家经济和非经济利益,在促进贸易自由化的同时,维护重要的社会价值。按数据隐私保护事项在国际贸易法框架内的逻辑地位,相关国际贸易实践大致可分为两类模式:贸易例外模式和贸易事项模式。
(一)作为贸易例外的数据隐私保护
贸易例外模式主要出现在世贸组织(WTO)的《服务贸易总协定》(GATS)之中,这与乌拉圭回合谈判之前以及谈判期间各国关于数据跨境流动的政策立场密不可分。
因数据跨境流动所引发的国家主权争议由来已久。早在1974年的一次会议上,经济合作与发展组织(OECD)的一个专家组创造出“跨境数据流动”这一术语,并提出:它是否“构成了一个问题,其对国家主权的影响足以让政府提出监管行动”。随后,OECD成立了一个跨境数据流动工作组,并在接下来的十年里深入研究企业跨境数据流动对民族国家经济、法律、社会和政治独立等的潜在影响,而这些通常被界定为对国家主权的挑战。
1980年,就个人数据隐私保护问题,OECD发布《保护隐私和个人数据跨境流动指南》(OECD“隐私指南”)。该指南确立了收集限制、数据质量、目的特定性、使用限制等数据规制原则。以此为基础,在国内服务行业的推动下,凭借其相对较低的制度变更成本优势,美国政府开始利用国际贸易体制寻求实现跨境数据的自由流动。然而,正是由于当时美国在计算机、软件、通讯卫星等方面占据优势地位,使得他国对于美国将数据自由流动纳入国际贸易协定的提议疑虑重重。毕竟,数据自由流动固然有助于商业、教育、技术和科学进步,但也会导致公司权力和政治权力的过度集中,进而威胁到国家安全、公共道德和隐私等价值。
在各国就跨境数据自由流动问题久议不决的情况下,OECD于1985年发布了《跨境数据流动宣言》。它在很大程度上反映出当时主要发达国家对数据自由流动、数据隐私保护以及它们与国际贸易之间关系的复杂立场。
首先,OECD承认,成员国在促进跨境数据流动方面存在共同利益,同时,也需要在这一领域协调不同的政策目标。
其次,在充分考虑到各国法律的前提下,OECD成员将其意图表述为:(1)促进获得数据和信息及有关服务,并避免对数据和信息的国际交流造成不合理的障碍;(2)在有关影响跨境数据流动的信息、计算机和通信服务的规章和政策方面,寻求透明度;(3)制订处理与跨境数据流动有关问题的共同办法,并酌情制订协调一致的解决方案;(4)在处理与跨境数据流动有关的问题时,考虑对其他国家可能产生的影响。
最后,OECD成员同意,就伴随国际贸易的数据流动、市场化的计算机服务和计算机化的信息服务、公司内部数据流动等产生的跨境数据流动问题,开展进一步的工作。
就其历史意义而言,1985年的《跨境数据流动宣言》更像是宣告一个基本常识,即各国均承认有必要便利数据流动,但对于如何、何时以及何处限制数据流动仍悬而未决。此后,在全球企业和美国等关键国家政府持续不断的努力之下,OECD关于协调各国数据规制的大部分工作被压缩,跨境数据流动的政策讨论又回到了原点——仅限于与可识别的个人信息有关的跨境流动以及随之而来的数据保护和隐私问题等。
正是在此大背景下,GATS将数据隐私保护作为贸易承诺的一般例外,纳入WTO的法律框架之中。具体而言,GATS第XIV(c)(ii)条规定,如果相关法律或法规涉及“保护与个人数据处理和传播有关的个人隐私,以及保护个人记录和账户的机密性”,则构成与 GATS不相抵触的法律或法规,GATS的任何规定不得解释为阻止任何成员采取或执行确保此类法律或法规得到遵守所必需的措施,只要该措施的实施不在情形类似的国家之间构成任意或不合理歧视的手段或构成对服务贸易的变相限制。GATS“关于电信服务的附件”第5(d)条规定,尽管每一成员应保证任何其他成员的服务提供者可适用公共电信传输网络和服务在其境内或跨境传送信息,“一成员仍可采取必要措施,以保证信息的安全和机密性,但要求此类措施不得以对服务贸易构成任意的或不合理的歧视,或构成变相限制的方式实施”。
上述GATS第XIV(c)(ii)条以及“关于电信服务的附件”第5(d)条的规定表明,WTO成员已认识到,作为一项政策目标,个人数据处理和传播中的个人隐私保护具有根本重要性,因此,即使相关措施违反了成员的贸易义务,也是允许的。此外,GATS第XIV(c)(ii)条并未阻止成员选择特定的数据隐私保护制度和标准,而只是要求相关数据隐私保护措施的采取应符合相应的关系要件,措施的实施应符合最低贸易限制要求等。显然,这一模式不能确保所有WTO成员都采用适当和稳健的数据隐私法律,更无法解决因各国隐私框架冲突而产生的贸易壁垒。
根据此前WTO相关案例,很少有例外措施能够满足GATT第XX条或GATS第XIV条关于一般例外的严格规定。然而,考虑到此类案例中存在明显的“幸存者偏差”现象,且WTO成员完全可以以非歧视的方式采用和实施数据隐私保护措施,可以认为,GATS的贸易例外模式在为WTO成员采取不同措施保护数据隐私留下了足够的制度空间。
(二)作为贸易事项的数据隐私保护
与传统货物和服务贸易有所不同,以数据跨境流动为核心的数字贸易在一开始就与个人数据隐私保护存在密切关联。就隐私规制,美国与其主要贸易伙伴之间存在着视角和规制方法上的重大差别,而这种差别反过来影响到数据跨境流动。
具体而言,在美国法项下,网络空间中的隐私只是消费者权利的对象之一,而在欧洲、澳大利亚和加拿大,隐私构成人权和消费者权利的重要组成部分,并由政府加以保护。1995年,随着欧盟公布《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》(1995年“欧盟数据指令”),有别于一般隐私保护的数据隐私保护制度开始对数字经济和数字贸易产生全面影响。根据该指令,除非欧盟认为相关国家对于数据隐私的保护符合要求,否则禁止个人数据流出欧盟。这一强制、全面和综合的规制方法与美国所力主的自愿、有限和部门的规制方法存在性质上差异。
为解决其间关于数据权利的冲突,欧盟、美国所采取的外交策略也各有不同。自克林顿政府开始,美国试图将所有阻碍数据跨境流动的行为贴上贸易保护主义标签。此后,布什政府利用双边和区域贸易自由化体制,在一系列国际贸易协定中规定,各缔约方应该避免设立新的数字贸易壁垒,包括商业存在要求等。及至奥巴马时代,美国采取了更具系统性的方法:与未磋商协定的国家,或未包含电子商务章节的贸易协定伙伴,美国将与之签订原则性安排;与正在谈判贸易协定的国家,将纳入数据自由流动条款;对于采取数字保护主义策略的国家,将采取公开指责的方式予以回应。2012年,《美国-韩国自由贸易协定》首次在电子商务章节纳入一条关于数据自由流动的倡导性条款——“各方应努力避免对跨境电子信息流动设置或维持不必要的障碍”。在《跨太平洋伙伴关系协定》(TPP)谈判过程中,美国代表提出,应将数据跨境自由流动作为缺省规则,TPP缔约方不得阻碍互联网数据的自由流入或流出、不得将数据服务器设置在当地作为开业条件以及电子商务平台无需在当地建立商业存在即可从事营业等。
欧盟并不反对数据跨境流动,1995年“欧盟数据指令”以及取代该指令的《一般数据保护条例》(2106年GDPR)均将促进欧盟内部数据自由流动作为立法宗旨之一。与美国推定数据保护措施构成贸易壁垒的立场不同,欧盟认为,“不同数据保护系统之间的更大兼容性将促进个人数据的国际流动,无论是出于商业目的还是公共当局之间的合作”。鉴于“欧盟数据指令”及GDPR含有更高的数据隐私保护标准和更广泛的域外管辖效力,欧盟强调,“欧盟数据保护规则不能成为自由贸易协定谈判的主题”。相应地,欧盟对于利用贸易协定推动数据自由流动的政策意愿较低。如《欧盟-韩国自由贸易协定》电子商务章节缺乏数据自由流动的条款,只是规定,“电子商务的发展必须完全符合数据保护的国际标准,以确保电子商务用户的信心”。《欧盟-加拿大全面经济贸易协定》电子商务章节强调,“本章并未规定一方有义务允许通过电子方式进行交付,但根据本协议另一条款规定的该方义务除外”。
对于为何国际社会难以达成多边贸易协定,妥当解决数据跨境流动和数据隐私保护问题,有学者将之归结为:(1)国际社会尚未将跨境数据流动定义为服务贸易,因为诸多数据流动并不涉及金钱交换。(2)对于其他国家的关切,如自身是否有足够能力对数据流动加以控制,来保护隐私、国家安全和公共道德等,美国的政策制定者们未能予以充分尊重。(3)就政府何时以及如何限制数据流动,各国政策制定者们未能达成国际共识。结合上述互联网治理中的自由主义理念和主权主义理念之争,可以发现,将数据隐私保护问题纳入国际贸易协定极有可能严重限制各国规制互联网的主权权限。对于美国之外的其他国家而言,通过代码间接规制来解决数据隐私保护问题并不现实,如果这些国家直接规制主权受到限制,则很难确保国家安全、公共道德和隐私等价值得到充分保护。
四、RCEP、CPTPP和DEPA中的数据隐私保护规定及对中国的影响
尽管在多边贸易协定层面,各国很难就数据隐私保护标准达成一致,但在双边和区域贸易协定方面,美国的多年推动终于取得了成果。2016年2月,包括美国在内的12个国家签署TPP,其中,电子商务章节就个人信息保护问题作出特别规定。由于美国退出TPP,其他TPP缔约方于2018年3月签署了经修改的CPTPP,并于同年12月30日生效。其后,RCEP和DEPA相继签署和生效。鉴于这三个重要的区域贸易协定均含有数据自由流动和数据隐私保护条款,这就给利用贸易协定规制数据事项增加了诸多变数。
(一)RCEP、CPTPP和DEPA中的数据隐私保护规定
1.RCEP关于数据隐私保护的规定
RCEP第12章(电子商务)包含五节内容:一般条款、贸易便利化、为电子商务创造有利环境、促进跨境电子商务、其他条款等。与数据自由流动最为密切的第12.12条——“通过电子方式跨境传输信息”被放置在“促进跨境电子商务”一节,与数据隐私保护最为密切的第12.8条——“线上个人信息保护”被放置在“为电子商务创造有利环境”一节。这一结构安排和措辞充分表明,缔约方主要从电子商务的角度来规制数据隐私问题,即个人数据隐私之所以得到承认,是因为它有助于创造有利于电子商务发展的环境。
为促进跨境电子商务,RCEP第12.15.2条确定了数据自由流动原则,即“一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息”。同时,第12.15.3条还规定了类似于GATS第XIV条的例外,即“本条的任何规定不得阻止一缔约方采取或维持任何与第二款不符但该缔约方认为是其实现合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用”。第12.15.3条的注释强调,“就本项而言,缔约方确认实施此类合法公共政策的必要性应当由实施政策的缔约方决定。”就此,缔约方完全可以基于保护数据隐私之政策目标,对数据自由流动加以限制。
然而,与GATS第XIV(c)(ii)条不同,在RCEP项下,如果缔约方对线上个人信息进行保护而限制了数据跨境传输,则除了符合第12.15.3条的例外规定之外,还要符合第12.8条的特别要求。正是在此意义上,可以认为,RCEP成功地将数据隐私保护问题贸易化。根据第12.8条,每一缔约方应采取或维持保证电子商务用户个人信息受到保护的法律框架;在制定保护个人信息的法律框架时,每一缔约方应考虑相关国际组织或机构的国际标准、原则、指南和准则;每一缔约方应公布其向电子商务用户提供个人信息保护的相关信息,包括个人如何寻求救济以及企业如何遵守任何法律要求等。此外,缔约方应鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序;缔约方应在可能的范围内合作,以保护从一缔约方转移来的个人信息。
在上述关于个人信息保护的诸多规定中,关于缔约方应考虑相关国际标准、原则、指南和准则来制定保护个人信息的法律框架的要求最具体系重要性。当前,在国际层面,存在着诸多相互竞争的国际标准、原则、指南和准则,如1980年OECD公布并于2013年修订的OECD“隐私指南”,1981年欧洲理事会公布并于1999年、2001年、2012年和2018年修订和补充的《关于个人数据自动化处理的个人保护公约》(“108号”公约),1995年公布的“欧盟数据指令”、2016年公布的GDPR,2004年APEC发布并于2015年更新的《隐私框架》等均含有保护个人信息的规定。由此产生的问题是:哪一些“国际机构或组织”的数据隐私保护标准才构成RCEP第12.8条意义上的国际标准?如果某一缔约方按照国际标准制定了相关国内个人信息保护法律,是否意味着其他缔约方不应限制境内个人数据流向该国?
由于RCEP电子商务章节适用范围有限,且任何缔约方不得就本章项下产生的任何事项诉诸争端解决机制,而只能首先善意地进行磋商,以及磋商不成时可将该事项提交至RCEP联合委员会,由其认为适当和必要时对本协定的条款作出解释。这意味着相关争议的解决将具有较为明显的权力导向特征。
2.CPTPP关于数据隐私保护的规定
CPTPP第14章(电子商务)也有关于数据自由流动和数据隐私保护的规定。其中,第14.11条题为“通过电子方式跨境传输信息”,与RCEP协定第12.15.2条类似,该条第2款明确规定,“每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。”只不过,该条特别强调,相关信息应包括个人信息。根据CPTPP第14.1条,“个人信息指关于已识别或可识别的自然人的任何信息,包括数据”。由此,CPTPP第14.11.2条传达了非明确的政策信号:即使是涉及个人数据,跨境数据自由流动也是一项应予遵守的原则。
为了保障跨境数据自由流动,相较于RCEP的规定,CPTPP第14.11.3条关于跨境数据流动例外的规定更为严格,这主要体现为,在判断是否对信息传输施加“超出实现目标所需限度的限制”时,不再由实施的缔约方自我认定。参照WTO的相关案例,在解释相关限制措施是否超出所需限度时,应采取客观的权衡方法,包括但不限于:将要实施的法律或法规旨在保护的公共利益或价值的相对重要性;限制措施对实现其所追求的目的及对确保涉案法律或法规遵守所做出贡献的程度;限制措施对国际贸易产生的不利影响等。这意味着,在CPTPP项下,缔约方限制措施的实施将受到严格约束。
关于数据隐私保护,相较于RCEP第12.8条,CPTPP第14.8条有三个特点:一是对个人信息保护的价值作出整体评价,即“缔约方认识到保护电子商务用户个人信息的经济和社会效益,及其对增强消费者对电子商务的信心所作贡献。”二是在要求缔约方应考虑相关国际机构的原则和指南制定个人信息保护的法律框架时,强调缔约方可通过多种方式来履行该义务,如“全面保护隐私、个人信息或个人数据的法律、涵盖隐私的特定部门法律或规定执行由企业作出与隐私相关的自愿承诺的法律。”三是强调每一缔约方应鼓励建立促进不同个人信息保护体制之间兼容性的机制。“这些机制可包括对监管结果的承认,无论是自主给予还是通过共同安排,或通过更广泛的国际框架”。结合美国数据隐私法的现状,可以认为,上述规定有为美国量身定做之嫌。根据该条规定,如果某一缔约方之个人信息保护体制符合相关国际机构的原则和指南,则其他缔约方应该承认该体制之替代合规效果,不应阻止数据的跨境自由流动。
值得注意的是,对于CPTPP第14.11条项下义务的争端,第14章也作出了特别规定。除马来西亚、越南在生效之日后 2 年期限内,就数据跨境自由流动采取的措施不受第28章(争端解决)约束外,其他缔约方可就数据隐私保护争议提请争端解决。与RCEP的相关规定相比,CPTPP的规定更具规则导向特征,在CPTPP项下提起争端解决有助于进一步澄清该协定中的数据隐私保护规则。
3.DEPA关于数据隐私保护的规定
与RCEP和CPTPP不同,新加坡、新西兰、智利三国于2020年6月签署的DEPA内容广泛,是世界上第一个多国参与的专门数字贸易协议。就具体内容而言,在参考CPTPP相关条款的基础上,DEPA采取了更为灵活的模块化结构形式,包括如下16个模块:初步规定和一般定义、商业和贸易便利化、数字产品及相关问题的处理、数据问题、广泛的信任环境、商业和消费者信任、数字身份、新兴趋势和技术、创新与数字经济、中小企业合作、数字包容、联合委员会和联络点、透明度、争端解决、例外和最后条款。其中,模块4——数据问题涉及个人信息保护、通过电子手段进行的跨境数据流动、计算机设施的位置等内容。
就数据跨境自由流动,DEPA第4.3条直接引用了CPTPP第14.11条。这与DEPA缔约三方同时也是CPTPP的缔约方存在很大关系。为此,DEPA第4.3条强调,“缔约方确认它们关于以电子方式跨境传输信息的承诺水平”。就数据隐私保护,DEPA第4.2条同样承袭了CPTPP第14.8条的规定,包括:缔约方认识到保护数字经济参与者个人信息重要性;为此目的,各方应采用或维持一个法律框架,以保护电子商务和数字贸易用户的个人信息;在制定个人信息保护法律框架时,每一缔约方应考虑到有关国际机构的原则和准则;以及推动建立机制,促进不同制度在保护个人信息方面的兼容性和互操作性等。
除上述规定外,DEPA第4.2条还列举了保护个人信息的健全法律框架所应包括的原则:收集限制、数据质量、目的明确、使用限制、安全保障、透明度、个人参与和可问责性。如果将这些原则与OECD “隐私指南”中的八项原则相比较,可以发现,两者几乎完全对应。通说认为,OCED “隐私指南”所列的八原则是公平信息实践(FIPs)的体现。该实践已有近50年的发展历史,包括一系列理想原则,用于为负责任的数据实践建立规则模型,它一方面赋予个体以隐私自我管理的权利,另一方面对信息控制者或处理者施加责任。自1973年诞生以来,公平信息实践体现为不同的版本,如美国1973年“公平信息实践准则”五项原则和1977年“隐私保护研究委员会报告”八项原则、1981年欧洲理事会“108号公约”诸原则、1995年欧盟“数据保护指令”八项原则和2016年GDPR六项原则、1980年OECD“隐私指南”八项原则、2004年APEC《隐私框架》九项原则等。在赋权程度和施加责任方面,不同的公平信息实践版本之间存在显著差异,具有较强的可塑性和可分性。由于OECD“隐私指南”八项原则只代表第一代数据隐私标准,其要求远没有第二代数据隐私标准(以1995年欧盟“数据保护指令”和2001年修订的欧洲理事会“108号公约”为代表)和第三代数据隐私标准(以2016年GDPR为代表)严格,理论上,DEPA协定缔约方只需满足该较低要求,即可要求其他缔约方给予替代合规待遇,实现数据跨境自由流动。
需要指出的是,根据DEPA第14章(争端解决)之规定,该章项下的争端解决机制,包括调节机制和仲裁机制等,不得适用于第4.3条(通过电子方式跨境传输信息)和第4.4条(计算设施位置),这意味着缔约方将不能利用争端解决机制来澄清相关争议。
(二)RCEP、CPTPP和DEPA对中国数据隐私保护制度的影响
就数据隐私保护制度的法律建构,中国长期处于相对落后的状态,但近年来发展十分迅速。在当前的立法体例下,数据隐私保护问题可被纳入个人信息保护的法律框架之下。与传统隐私法不同,个人信息保护法有其特定的义务主体(个人信息处理者)、特定的客体(以自动化方式处理的个人信息)和特定的规则体系(基于公平信息实践的准则)。可以说,数据隐私保护中,数据行为规制的公法色彩更为浓厚。
根据《个人信息保护法》第3条,不仅在中国境内处理自然人个人信息的活动适用本法,在中国境外处理境内自然人个人信息的活动,如果以向境内自然人提供产品或者服务为目的,或构成分析、评估境内自然人的行为,或符合法律、行政法规规定的其他情形,也适用本法。通过上述属人管辖原则、属地管辖原则和法定管辖原则,《个人信息保护法》实现了对全球化数据市场的全面覆盖。这一立法体例必将深刻地影响数据跨境自由流动,也更容易受到国际条约的约束。
在国际法层面,基于有约必守原则,加入RCEP以及申请加入CPTPP和DEPA意味着中国的数据隐私保护措施将受到条约条款的约束。但在国内法层面,相关国际法规则能否获得国内法体系的承认,需视条约适用的国内法规则而定。根据所涉法律关系的性质,条约条款可分为三类:(1)水平条约条款,规范国家与国家之间的关系;(2)垂直条约条款,规范国家与私人主体之间的关系;(3)跨境条约条款,规范私人主体之间的关系。私人主体通常在国内法院主张其在后两类条约条款项下的权利,由此引发条约在法院的可直接适用性问题。
就个人信息跨境提供的法律制度,《个人信息保护法》第三章六个条文确立了一项原则、两个面向、三重维度的基本框架,“即以自由与安全作为个人信息跨境流动的基本原则,搭建对内合规与对外博弈两个面向,涵盖了个人信息保护、促进企业合规、国际合作与斗争三个维度。”其中,《个人信息保护法》第38条第1款确立了数据跨境自由流动所应满足的条件,包括通过国家安全评估、获得专业机构个人信息保护认证、订立标准合同以及“法律、行政法规或者国家网信部门规定的其他条件”等。第2款规定,如中国缔结或者参加的国际条约、协定对向中国境外提供个人信息的条件等有规定的,“可以按照其规定执行”。就文意而言,“可以”并非强制性要求,具体执行机构可拥有较大裁量权;“按照其规定执行”意味着仅对执行机构施加义务,市场主体并不当然获得相应的司法救济权利。第43条强调,任何国家或地区在个人信息保护方面,对中国采取歧视性禁止、限制或者其他类似措施的,中国可以根据实际情况对该国家或地区对等采取措施。因此,即使中国加入国际贸易协定,该协定项下的义务性规定并不必然在国内法体系中被执行和适用。
问题是,即使相关贸易协定的规定无法借助国内法制度在国内层面落实,一国也不得以国内法的规定为由,拒绝履行其在国际法上的义务。如上所述,RCEP、CPTPP和DEPA均将数据隐私保护作为贸易事项而非贸易例外加以规制,并要求各缔约方个人信息保护的法律框架应当参照国际机构的标准或指南加以制定。中国《个人信息保护法》关于处理个人信息的原则包括:合法、正当、必要和诚信原则(第5条)、目的限定原则(第6条)、公开和透明原则(第7条)、信息质量原则(第8条)、可问责性原则(第9条)、处理限定原则(第13条、第17条、第19条)、个人参与原则(第44条-第47条)、安全保障原则(第51条)等。可以说,这些原则与OECD和APEC等国际机构提倡的公平信息实践准则并不抵触,也符合DEPA第4.2条之要求。
在RCEP项下,《个人信息保护法》符合国际机构认可的公平信息实践仅意味着中国可依据本法,对数据跨境流动采取限制措施,但不能据此要求其他缔约方应允许该国境内数据向中国境内流动。相应地,其他RCEP缔约方也有类似条约权利。因此,总体而言,RCEP将数据隐私保护作为贸易事项规制,不会实质性地限制缔约方的数据规制主权。但是,在CPTPP和DEPA项下,中国还可要求其他缔约方承认《个人信息保护法》的替代合规效应,进而不应限制该国境内数据跨境自由流动。同理,当其他缔约方个人信息保护的法律框架也符合公平信息实践时,亦可要求中国不应以保护数据隐私为由限制数据向境外流动。这一倾向于数据跨境自由流动的制度设计将会大大限缩一国的数据规制主权。
鉴于条约条款平等适用,除非结合CPTPP和DEPA各缔约方具体数字经济发展阶段和数字技术发达程度,我们很难判断,中国申请加入CPTPP和DEPA在经济上的成本和收益。但从制度建构角度而言,如果中国成功加入CPTPP协定和DEPA协定,则必将获得重要的体制内话语权。鉴于作为贸易事项的数据隐私保护制度仍处于发展过程之中,这意味着中国可利用缔约方身份塑造更为合理的替代合规制度。
数据主体与数据控制人或处理人之间往往缺乏足够的共同利益,致使相对弱势的数据主体很难通过传统的合同法或侵权法等法律手段维护自身利益。为有效保护个人数据隐私,各主要数字经济国家纷纷出台或修订数据隐私法律,赋予数据主体以权利,施加数据控制人或处理人以义务,以期改善存在于两者之间的不平等信息关系。与国内数据隐私保护的二元规制模式相适应,国际数据治理也呈现出数据规制和贸易规制两种路径,后者又进一步细分为作为贸易例外的数据隐私保护模式和作为贸易事项的数据隐私保护模式。
在以GATS为代表的贸易例外模式项下,为保护数据隐私,只要相关WTO成员所采取的措施符合子项中的“必需”要件,以及该措施的实施符合前言中的贸易限制最小要件,则该成员国内数据隐私法律的具体内容不受WTO协定的约束。而在贸易事项模式下,就数据隐私相关的国内法规,RCEP、CPTPP和DEPA等均作出了原则性规定。对于各缔约方可能采取不同法律方式保护个人信息,导致保护水准不一的问题,RCEP指出,缔约方应当在可能的范围内合作,保护从一缔约方转移来的个人信息,而CPTPP和DEPA更进一步,规定缔约方应鼓励建立促进这些不同体制之间兼容性的机制。
无论是作为贸易例外还是作为贸易事项,数据隐私得到法律保护可为数字贸易创造一个值得信任和充满信心的环境。只不过,在数据隐私保护作为贸易事项的模式下,缔约方建构个人信息保护法律框架的自主性将受到条约相关条款的约束。由于中国已经建立起以《个人信息保护法》为核心的数据隐私保护体系,且采用了全球通用的公平信息实践准则,理论上,RCEP、CPTPP和DEPA关于个人信息保护的规定不会对中国的数据隐私保护法律制度造成大的冲击,但CPTPP和DEPA的替代合规制度可能会不当限制《个人信息保护法》域外适用的效力。中国有必要通过加入CPTPP和DEPA的方式,获取体制内话语权,提出更为明确的数据隐私保护国际标准和更加合理的替代合规体制。