GATS框架下跨境数据流动限制的合规性分析,国际私法论文.docx

《GATS框架下跨境数据流动限制的合规性分析,国际私法论文.docx》由会员分享，可在线阅读，更多相关《GATS框架下跨境数据流动限制的合规性分析,国际私法论文.docx（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、GATS框架下跨境数据流动限制的合规性分析,国际私法论文摘 要： 在WTO框架下, 成员方在对于跨境数据流动进行国内监管享有自主权的同时, 也需要遵守WTO的规定。本文在分析国际上对于跨境数据流动监管的三种主要方式后, 指出在成员方就相关服务做出承诺的情况下, 通过立法对跨境数据流动设置限制条件以及设置本地数据中心要求时, 违背了GATS第6条国内法规、第16条市场准入和第17条国民待遇的相关规定。同时, 在援引GATS第6条 国际标准 和第14条 隐私例外 和 安全例外 作为抗辩理由时也存在条文解释和举证责任等困难。因而, 作者在考察我们国家数据流动监管措施后, 建议我们国家在制定相关国内法

2、规时不仅能够借鉴欧美的做法扩大监管范围, 还能够通过采用施行国际标准、积极参加会谈将网络安全例外引入国际规则等方式方法, 来减少我们国家相关监管措施违犯GATS规定的风险。 本文关键词语： 跨境数据流动; 数据流动限制措施; 国际标准; 隐私例外; 网络安全例外; 随着信息科技的发展及其在商业中的应用, 跨境数据流动在全球经济中所占的比重日益上升。根据麦肯锡咨询公司的分析:在2020年, 数据流动促进全球增长约2.8万亿美元;同时数据流动能直接促进全球每年增加3%1 (p77) 。 随着数据流动对经济增长重要性的增加, 跨境数据流动的监管开场成为各国国内监管的重要议题。首先, 监管数据流动对保

3、卫个人数据主体的合法权益非常必要。早期的 跨境数据流动 被以为是点对点的数据传输, 例如公司内部对客户信息、客户对服务的评价等信息的传输2 (p201) , 这种数据传输一般是有意的, 个人可控的。但是, 随着信息科技的发展, 十分是云计算和 物联网 的应用, 个人日常生活和商业活动的数据无需人为输入, 只需要相关设备直接接入网络, 数据便有可能自行在全球范围内传输。而作为数据提供者的个人, 很容易在不知情的情况下, 数据被输出或者被输入不必要的信息。其次, 跨境数据流动还牵涉到社会文化和国家安全等众多国家政策考量。十分在斯诺登事件后, 各国对跨境数据流动的关注到达史无前例的高度, 欧盟、巴西

4、、印度尼西亚等多个国家都采取了不同的跨境数据流动限制措施(1)3。 但是各国对跨境数据流动的监管措施很容易被滥用为贸易保卫主义的工具, 美国就以为包括欧洲在内的其他国家是利用斯诺登事件从美国互联网企业中抢占其国内市场4。在WTO框架下, 一个国家在行使国内监管自主权时需要遵守其在WTO下的承诺。因而, 一国在施行跨境数据流动监管措施时, 也需要遵守其在GATS (1) 协议下的义务和承诺。 一、各国对跨境数据流动的主要监管措施 各国基于本国的数字贸易状况和政策考量, 对于跨境数据流动的监管范围和监管幅度都不一样。总体来讲, 在国内立法中对于跨境数据流动的规制主要有下面三种监管方式。 (一) 对

5、跨境数据流动不进行立法限制 对跨境数据流动不进行限制是指一个国家不通过国内立法对之进行直接的限制。采用这种形式的国家主要是美国, 通过自我规制途径。即提倡行业自律, 要求企业自我评估, 自我管制。联邦贸易委员会提供包括行业规范, 商业组织以及第三方程序在内的众多方式方法促使业者自我监督。假如企业未遵守上述方式方法自我管制, 将被视为欺诈或不公平竞争之行为, FTC处以罚款或是提起诉讼解决。 美国能采取此方式主要基于下面两个原因。第一, 美国互联网企业对全球数据的掌控。在全球前十大互联网公司中, 除了中国的四家企业 (阿里巴巴、腾讯、百度、京东) , 其余全部都是美国的互联网企业。因而, 在世界

6、大部分国家的境内, 最大互联网服务和产品提供者都是美国互联网企业, 能够讲美国互联网企业掌控着全球绝大部分互联网上的数据。第二, 美国通过一系列的国内立法使得美国能够和企业分享信息。2021年(网络安全信息分享法案要求企业将网络威胁指标实时共享给联邦5。美国(电子通信隐私法案规定, 向科技企业索取用户电子邮件等数据时, 能够要求企业对请求予以保密。另外, 美国域外法权也为美国获得国内企业的域外数据提供法律基础, 美国司法部曾屡次要求微软、苹果向提供位于境外的数据并引发多起诉讼。与此同时, 旨在限制宽带互联网接入服务 (BIAS) 运营商使用或者分享用户信息的(宽带用户隐私保卫法案于2021年却

7、被美国众议院否决。因而, 美国通过与其国内互联网企业分享信息, 能够获得全球互联网大部分数据, 对跨境数据流动限制不符合其国家利益。 但是, 美国固然没有对跨境数据流动进行直接的立法限制, 却在实践中采取了其他的监管措施。美国(联邦云计算战略就要求审查企业根据美国的网络安全审查制度签署网络安全协议, 而协议通常包括:通信基础设施必须位于美国境内, 通信数据、交易数据、用户信息等仅存储在美国境内。美国外国投资委员会也在实践中经常以 威胁美国国家安全 为由拒绝外国服务提供商进入美国市场。 (二) 立法对跨境数据流动设置限制条件 通过立法对跨境数据流动设置限制条件指一国通过立法在特定范围内禁止, 或

8、者在特定条件下允许数据跨境自由流动。当前, 对数据流动的限制主要设置两种条件。第一是设立许可规定, 即要求机构获得个人对数据传输的同意。这种同意可能是个人积极的许可, 例如巴西和阿根廷立法要求银行获得客户明确的书面批准才能转移他们的数据;可以能是 不禁止即许可 , 例如瑞士和卢森堡立法允许客户禁止银行跨境发送数据。第二是设立标准规定, 即要求数据流动需要知足其立法要求的某种标准, 例如隐私标准、安全标准等, 才能流出或者流入其境内。 当前对于数据流动立法最为全面的是欧盟。2021年, 欧盟通过了R (一般数据保卫条例) 明确规定对于数据处理必须以合法, 公正和透明的方式进行。只要在告知数据主体

9、其数据被谁收集并将怎样使用后, 在获得数据主体的允许下, 数据控制者和数据处理者才能使用其数据。同时, 欧盟还对其管辖权范围做了扩大的规定, 即无论数据处理公司的位置或者数据处理的位置能否在欧盟境内, 主要相关数据能够确定寓居在欧盟境内的数据主体的身份 (可确定身份的信息包括直接或间接地通过参考诸如姓名、身份证号码、位置数据、在线标识符等, 或者对身体、生理、遗传、精神、经济、文化或社会认同) 都属于欧盟管辖权范围。 另外, 为了加强 单一数字市场 的安全性和可靠性, 欧盟委员会于2021年1月10日通过了 隐私与电子通讯指令 (e Privacy Directive, 简称e PD) 的修订

10、草案, 作为十分法, 它与R中关于数据保卫的规定相一致, 同时补充R中关于电子通信部门的一般规则。e PD修正案在R的基础上扩大了下面内容: (1) 增加适用主体, 将新兴的电子通信服务提供者, 比方Whats App、Facebook Messenger、Skype等纳入监管范围; (2) 扩大监管电子通信数据的范围, 无论数据在境内还是境外, 无论是电子通信内容 (短信、语音、视频、图像和声音) 还是和电子通信的相关信息元数据 (日期、时间、地点、通话时间、通信类型) 6, 都纳入e PD的监管范围; (3) 将数据分为通信内容和元数据 (通话时间、位置等) , 两者都被包括在隐私保卫的范

11、畴之内, 但是两者的允许使用条件规定不同。当前, e PD的草案已经进入了欧盟立法程序。固然很多成员国都以为同时审查两部法律草案是不现实的6 (p6) , 而且e PD和争议很大的电信条例修改的联络非常严密, 因而, 2021年能否两个法案能够共同对欧盟的数据流动进行监管尚有疑问。但是, 欧盟对于数据流动的限制仍然被以为是最严格的。 (三) 本地数据中心要求 本地数据中心要求是指要求企业在该国提供特定数字服务就需要在其境内设立数据中心, 数据必须存储在数据中心。实践中, 数据中心又分为两类:第一是 数据复制不能离开 , 即要求数据的存储和处理都在其境内, 这方面的限制一般限于金融领域;第二是

12、数据复制能离开 , 即允许数据在国外进行复制以供处理, 但是需要在本地基础设施中有复制数据。印度尼西亚2021年要求提供公共服务网络服务提供者必须在印度尼西亚境内储存数据, 但是对数据在国外处理不做限制 (1) 。 包括越南、韩国、巴西、俄罗斯等国在内的部分国家已将数据中心本地化要求纳入到计划施行或已施行的进程中。例如越南要求Facebook、谷歌等提供互联网服务的企业必须在本国设置数据中心。印尼出台的本地数据中心法草案也提出, 不管是外国银行还是移动网络服务提供商, 只要属于数据携带者, 都需要在本国设置数据中心。 综上所述, 当前各国对跨境数据流动的限制措施主要包括通过国内法规设置限制条件

13、 (许可或标准) 和要求设立本地数据中心。下面将从GATS第6条、第16条、第17条和第14条对上述两种措施进行合规性分析, 来确定相关措施能否符合GATS的一般义务和详细承诺。 二、GATS框架下跨境数据流动限制的合规性分析 对跨境数据流动不进行限制的监管措施很明显不需要进行合规性审查, 下面主要对各国限制跨境数据流动施行的措施, 包括设立标准规定能否符合了GATS项下第6条 国内法规 的要求, 本地数据中心要求能否违背GATS第16条市场准入、第17条国民待遇的义务规定, 另外, 能否通过GATS第14条相关条款作为抗辩理由。 (一) 国内法规限制跨境数据流动在GATS第6条第5款下的合规

14、性分析 GATS第6条第5款规定: 在一成员已作出详细承诺的部门中 该成员不得以下面方式施行使此类详细承诺失效或减损的许可要求、资格要求和技术标准 (b) 在确定一成员能否符合 (上述) 义务时, 应考虑该成员所施行的有关国际组织的国际标准。 并在注释中标明 有关国际组织 指成员资格对至少所有WTO成员的有关机构开放 (open) 的国际机构 (international bodies) (2) 。因而, 对于已经对数据服务作出承诺的成员方, 是不能再通过国内法规损害对其所作承诺进行限制的。但是, 假如国内法规的相关规定是在施行 国际标准 , 就能够以为该成员方没有违犯其承诺义务。 1. 国际

15、标准的认定。 不同于TBT协定和SPS协定, GATS第6条第5款并没有对 国际标准 进行详细规定, 只是以为应 考虑 其所施行的 有关国际组织 的 国际标准 。当前关于跨境数据流动, 主要有3个国际标准。 第一是联合国的(关于计算机处理的个人数据文件指南。指南规定:当两国或两国以上跨国数据流通的立法为保卫隐私提供可比拟的保障时, 信息应该能够在每个有关领土内自由流通。尽管原文用的是 may , 但还是指出国内规制对于数据流通的限制不能单独基于保卫隐私一个政策考量。 第二是OECD在1988年制定的隐私指南, 其目的旨在为隐私和个人数据保卫确立最低的标准, 并且尽可能地消除限制跨境数据流动的因

16、素。OECD在2020年又通过了隐私指南的修订版 (关于隐私保卫与个人数据跨境流动的指南 (2020) (下面简称(修订指南) 。(修订指南在保存原隐私指南的八项核心原则 (1) 的基础上, 对其进行了进一步更新或澄清, 并引入了隐私管理程序 (privacy management programs) 、安全漏洞通知 (security breach notification) 、国家隐私策略 (national privacy strategies) 等新的概念和规则。 第三是(APEC隐私框架。APEC于2005年制定了(APEC隐私框架, 主张在不设置不必要障碍限制跨境数据流动的前提下有

17、效保卫个人隐私。为了使APEC隐私框架得到切实贯彻, APEC于2020年设立了(跨境隐私规则体系, 规范牵涉到个人数据跨境传输的企业。要求企业通过对照自评以及问责代理机构评估, 通过后获得CBPRs认证, 即被认可为符合隐私保卫标准的企业, 能够在亚太各国从事牵涉个人信息跨境收集、加工、利用以及传输的业务。 2. 国际组织的认定。 GATS第6条第5款在其文本下脚注3将 国际组织 解释为 成员资格对至少所有WTO成员的有关机构开放 (open) 的国际机构 。但是在注释中将 orgnization 解释为 body 的做法令人不解。在金枪鱼II案中, 专家组以为 国际机构 (internat

18、ional body) 和 国际组织 (international organization) 是有区别的 (2) 7 (p135) 。但是在GATS注释的解释下, 国际机构和国际组织似乎是没有区别, 能够替换的。在金枪鱼II案, 上诉机构根据牛津字典的含义, 以为open的意思是 无障碍可进入7 (p138) 而且不被限制, 即全部成员方都能够进入。考虑到联合国只对主权国家开放, APEC只覆盖亚太地区, 上面的三个国际标准只要OECD的修订指南知足条件。 所以, 假如施行OECD修订指南的成员方, 根据指南规定采取限制数据流动措施, 能够使用GATS第6条第5款 国际标准 为抗辩理由, 使

19、其措施合规化。 (二) 本地数据中心要求在GATS第16条、第17条下的合规性分析 GATS下的市场准入义务 (第16条) 和国民待遇义务 (第17条) 仅限于成员方在减让表中做出承诺的服务部门。GATS的减让表采用的是 正面清单 形式, 即各成员方在承诺表中列明自个承诺开放的服务部门, 假如没有对数据服务做出详细承诺, 那么就能够不给予其他成员方市场准入和国民待遇。 即便对于数据服务作出详细承诺, 本地数据中心要求能否会违犯 市场准入 承诺这个命题本身是存疑的。将设立 数据中心 作为展开业务的条件, 这里的 条件 是允许境外服务提供者市场准入的前置条件, 还是进入国内市场后提供服务的条件?假

20、如将 条件 以为是允许其市场准入的前置条件, 就和对商业存在的规定冲突。假如以为某国已经就相关服务部门承诺市场准入, 那么市场进入后有可能限制它进入市场的条件还适用吗?有人以为不需要, 由于承诺的是市场准入, 在美国博彩案中, 上诉机构就以为不管 (美国) 对于国内在线赌博怎样规定, 其在国外在线赌博服务上就不应当做出任何限制, 否则就是通过 零配额 施行了数量限制, 违犯了GATS第16条的规定8 (p78-84) 。但这对成员监管服务贸易自主权的影响也是广为诟病的。 本地数据中心要求 能否违犯国民待遇除了取决于成员方的详细承诺, 还取决于能否对本国服务或者或服务提供者采取了一样的要求, 假

21、如对本地服务提供者也要求设立数据中心, 那么就不应当被以为是违犯了国民待遇的义务。反之, 就有可能违犯GATS第17条的规定。 (三) GATS第14条 (c) 项能否作为限制跨境数据流动的抗辩理由 GATS第14条一般例外条款规定: 在这里类措施的施行不在情形类似的国家之间构成任意或不合理歧视的手段或构成对服务贸易的变相限制的前提下, 本协定的任何规定不得解释为阻止任何成员采取或施行下面措施: (ii) 保卫与个人信息处理和传播有关的个人隐私及保卫个人记录和账户的机密性 。 该条款当前尚未被适用过, 但是根据WTO的惯例, 假如适用该条款, 应该同时知足三个条件:第一, 有关措施是为了保卫与

22、个人信息处理和传播有关的个人隐私及保卫个人记录和账户的机密性。第二, 该项措施是为了实现上述政策目的所必需的措施。第三, 必须同时知足前言的要求。 第一, 有关措施是为了保卫与个人信息处理和传播有关的个人隐私及保卫个人记录和账户的机密性。在这里 保卫与个人信息处理和传播有关的个人隐私 与 保卫个人记录和账户的机密性 使用 和 作为联合词。这与第14条 (a) 款为 保卫公共道德或维护公共秩序 用 或 作为联合词不同。那么, 在 (a) 款下, 成员方能够选择采用 公共道德 或者采用 公共秩序 作为抗辩理由。但是在本款下, 既然选择了不同的表示出方式, 那么其目的就是需要 保卫与个人信息处理和传

23、播有关的个人隐私 和 保卫个人记录和账户的机密性 的重叠适用。另外, 保卫的目的必须是为了个人的隐私、个人记录和账户的机密性。欧盟基于 种族或者族裔出身, 政治观点, 宗教或哲学信仰, 工会会员 等原因的限制数据流动就不应该属于此范围内。本款牵涉的对象是 个人信息 个人记录 和 个人账户 。假如某数据或者某群数据即便属于一个数据主体, 但是不能表示出有关数据主体的任何信息, 例如匿名数据, 那么也不应该属于此范围内。另外, 本款只牵涉信息的 处理 和 传播 , 并不牵涉信息的储存。因而, 本地数据中心要求也是不能援引该条款的。 第二, 在评估该措施时, 还应该考虑 手段 (means) 与 目

24、的 (ends) 之间能否有 合理联络9 (p51-53) (reasonably related) 来证明限制数据流动的措施与 隐私保卫 之间存在 合理联络 , 各国采取的数据流动限制措施能否是为了保卫隐私所必需的措施。在 中美出版物和视听产品案 中, 中美双方均认同文化产品与公共道德的密切相关性, 但是因而限制贸易权能否保卫公共道德所 必需 的措施就需要进一步考察。专家组就以为 必需 一词的含义广于 不可或缺 , 但又不限于简单的 有助于 10 (p132) 。具言之, 对 必需 一词的考察要考虑涉诉措施所保卫价值的重要性、涉诉措施对公共道德保卫的奉献度以及涉案措施的必要性。根据WTO争端

25、机制 遵循先例 的原则, 假如有成员方试图援引GATS第14条 (c) 项作为限制跨境数据流动的抗辩理由, 那么必须就其涉案措施对保卫隐私的重要性和奉献度提供证据。同时, 由于对方往往会提出替代措施, 因而还需要被诉方证明其采取的措施比替代措施更合理, 在 中美出版物和视听产品案 中, 就是由于中国无法提供充分证据证明美国提出的 替代措施 加大负担而败诉。因而, 采取限制数据流动措施的成员方在援引本条款时无论在条文解释上还是举证责任上都面临相当的困难。 (四) GATS第14条能否作为限制跨境数据流动的抗辩理由 在前文提到很多国家以国家安全为由, 采取措施限制数据流动。GATS第14条即国家安

26、全例外条款规定: 本协定的任何规定不得解释为:要求任何成员方提供其以为如披露则会违犯其基本安全利益的任何信息;或阻止任何成员方采取其以为对保卫其基本安全利益所必需的任何行动: (1) 与裂变和聚变物质或衍生这些物质的物质有关的行动; (2) 与武器、弹药和作战物资的贸易有关的行动, 及与此类贸易所运输的直接或间接供给军事机关的其他货物或物资有关的行动; (3) 在战时或国际关系中的其他紧急情况下采取的行动;或阻止任何成员为履行其在(联合国宪章项下的维护国际和平与安全的义务而采取的任何行动。 上述三款中, 第1、2款是以保障国家安全为目的的例外, 第3款是为维护国际和平与安全而采取的措施。华而不

27、实, 第1款允许成员方以 如披露则会违犯其基本安全利益 作为抗辩理由, 但是此处仅限于 披露 相关信息, 而不包括限制信息的自由流动, 也就是讲将数据限制在某地储存或者要求以特定方式处理数据的措施都不在第1款涵盖范围内。在第2款中, 固然允许成员方采取 其以为对保卫其基本国家安全利益所必需的任何行动 , 但是也规定这些措施需要 与裂变和聚变物质或衍生这些物质的物质有关 与武器、弹药和作战物资的贸易有关 和 战时或国际关系中的其他紧急情况 。而一般日常中的数据处理很难被认定知足上述条件。第3款固然包括进口或出口限制在内的 任何行动 , 但是却需要以联合国安理睬施行经济制裁为前提。 有学者以为,

28、除了类似2007年4月爱沙尼亚在全国范围内遭到的大规模网络攻击和2018年伊朗核设施遭到的 震网 病毒攻击等极少数事例外, 一国基于维护网络安全或其他非传统安全理由所采取的措施都难以构成 战时或国际关系中的其他紧急情况 11 (p12) 。因而, 对于基于网络安全为目的的数据流动限制措施很难以GATS第14条作为抗辩理由而使措施获得合规性。 三、我们国家跨境数据流动监管措施及合规性分析 我们国家( 十三五 国家信息化规划明确提出强化数据资源管理, 注重数据安全保卫, 建立跨境数据流动安全监管制度, 保障国家基础数据和敏感信息安全的要求。在立法层面, 于2021年通过的(网络安全法主要规制我们国

29、家 境内 网络的 建设 运营 维护 和 使用 以及网络安全。并在第41条明确规定了对信息处理的要求, 即要求 网络运营者收集、使用个人信息, 应当遵循合法、正当、必要的原则, 公开收集、使用规则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意 。我们国家采用了通过国内法规设置许可要求的限制措施。鉴于(网络安全法的规定非常原则化, 我们国家正在制定(关键信息基础设施安全保卫条例(个人信息和重要数据出境安全评估办法, 对数据流动监管进行详细规定。我们国家采取的相关措施能否有违犯我们国家GATS义务之嫌?首先需要看我们国家对数据服务能否作出详细承诺。 (一) 我们国家在GATS中有关数据

30、服务做出的承诺 中国2001年参加WTO时, 服务减让表的分类主要根据了(联合国临时核心产品分类目录 (Provisional Central Product Classification, CPCprov版本) 。华而不实, 我们国家对数据处理服务 (编码CPC843) 下的输入准备服务 (编码8431) 的形式1 (跨境提供) 和形式2 (境外消费) 作出了 没有限制 的承诺, 形式3作出了 允许设立外商独资企业 的承诺;对于数据处理和制表服务 (编码8432) 和分时服务 (编码8433) 在形式1、形式2和形式3下都做了 没有限制 的承诺。而其他数据处理服务 (编码8439) 我们国家

31、并没有列入减让表, 也就是没有作出承诺。同时, 根据CPCprov的解释性讲明, 输入准备服务 (编码8431) 是指 键盘穿孔、光学扫描和其他数据输入方式方法 处理服务 (编码84320) 包括数据处理, 制表服务, 计算机计算服务, 以及计算机时间的租用服务14。那么, 除了输入准备服务、数据处理和制表服务, 以及分时服务外, 我们国家是没有作出承诺的, 因而我们国家在相关服务部门中采用的限制措施并不违犯我们国家GATS下义务规定。但是, 在上述三项服务中, 我们国家在形式1和形式2都承诺不做限制, 即WTO其他成员方能够在境外直接向我们国家提供相关服务。同时, 我们国家在 输入准备服务

32、允许设立外商独资企业;在 数据处理服务 的形式3商业存在也不做限制, 即外国企业能够通过设立独资企业、合资企业、子公司、代表处等形式在我们国家展开业务。 但是, CPCpro版本较早, 在随后的CPC1.1版本中对CPCpro版本843进行了更新, 华而不实CPC843名称从 数据处理服务 改为 在线内容 , 而 数据处理服务 归于CPC859615。那么, 更新的CPC版本能否会对我们国家的减让表产生影响?答案:能否定的。各国对服务部门做出 正面清单 承诺的时候, 其缔约意图肯定是根据当时已经出现的服务部门做出的承诺。在美国博彩案中, 上诉机构也明确表示W120是 解释之补充资料 , 其对应

33、的也是CPCpro版本, 因而CPC版本的更新对我们国家现有的GATS义务是没有影响的。但是, 随着数字技术的进一步发展, 早期的分类难免会和现有的技术不符, 因而, 我们国家应该就相关问题积极展开会谈, 设置更为明确的承诺表。 (二) 我们国家有关数据存储的限制性规定 (网络安全法第31条规定: 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等关键信息基础设施 实行重点保卫 。在(关键信息基础设施安全保卫条例 (征求意见稿) 中第18条将 电信网、广播电视网、互联网等信息网络, 以及提供云计算、大数据和其他大型公共信息网络服务的单位 纳入了关键信息基础设

34、施的范围。另外, 在第29条要求运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 云计算和大数据属于 数据处理服务 (CP-Cprov编码84320) , 我们国家对此项服务做出了对跨境提供和境外消费 不做限制 的承诺。假如要求云计算和大数据处理中的数据存储在我们国家境内不能流出国境的话, 那么相当于相关的数据处理业务只能通过商业存在的形式在中国展开, 而无法通过跨境提供或者境外消费两种形式展开相关业务, 这在本质上有可能被以为是在相关承诺部门上采取了数量限制措施, 违犯了我们国家的WTO义务。而前文部分也分析过, 网络安全当前并不能作为例外条款使不符措施合法化, 即便相当

35、一部分国家在实践中都采用网络安全这一提法。 (三) 我们国家有关数据输出的限制性规定 首先, (网络安全法要求对于关键信息基础设施的运营者对在我们国家境内运营中收集和产生的个人信息和重要数据应当在境内存储。在境外存储数据和输出数据时, 应当进行安全评估。另外, (网络安全法规定对网络产品强迫性要求设立国家标准。网络产品、服务具有收集用户信息功能的, 其提供者应当向用户明示并获得同意。 其次, 在(个人信息和重要数据出境安全评估办法 (征求意见稿) 中具体规定网络运营者应在数据出境前, 自行组织对数据出境进行安全评估, 并对评估结果负责。安全评估的内容包括 数据出境的必要性, 个人信息情况以及信

36、息主体能否同意, 重要数据情况, 数据接收方情况, 数据出境后风险和数据会聚风险 。对于 数量大 数据内容重要 关键信息基础设施运营者向境外提供 以及其他可能影响国家安全和社会公共利益的应该由行业主管或者监管部门安全评估。同时, 还限制 未经个人信息主体同意 以及 可能损害个人利益 , 对我们国家政治、经济、科技、国防有风险, 以及影响国家安全、社会公共利益的信息出境。 能够看出, 我们国家对跨境数据流动采取了限制的监管措施, 既采取了设立许可的措施也采取了设立标准的措施。但是, 对于我们国家做出承诺的数据服务部门, 在制定国内法规监管数据流动时, 应该遵循GATS第六条的规定, 并能够参考施

37、行OECD隐私指南的规定以降低违规风险。 四、结论 当前, 各国基于本国的国情, 对数据流动采取了不同程度的限制措施。WTO规则产生于数字贸易大规模发展之前, 很多规则的制定以及成员方的承诺都没有考虑到数据流动的重要性, 因而当前各国采取的数据流动限制措施在很多WTO规则下, 十分是GATS规则下有违规之嫌。同时, 以欧盟为代表的国家以OECD隐私指南为基础, 已经在国际上开场建立了新的数据流动规则, 我们国家在制定规则上应该参考这些已经成为 国际标准 的规则, 并借用其他的先进立法技巧。 第一, 能够借鉴美国的(网络安全信息分享法案的做法, 要求企业将相关信息分享给。美国基于国内互联网企业的

38、发达, 将产业置于数据流动限制规则之上。我们国家也是数据大国, 通过数据分享, 既能避免违犯WTO下的义务充分及时地保卫网络安全, 也能保卫我们国家产业不受限制, 充分利用数据更好地发展。 第二, 我们国家对于数据监管范围定义过窄。(网络安全法第37条只要求 关键信息基础设施的运营者 就其 在中国境内运营中收集和产生的个人信息和重要数据 施行数据出境安全评估, 而并非所有的 网络运营者 及其所收集的相关数据。同时, 只对出境的数据进行了规定, 但是没有对境外运营中手机和产生的个人信息和重要数据进行规定。因而, 能够借鉴欧盟的数据监管范围的规定, 不仅包括我们国家境内运营产生的个人信息和重要数据

39、, 还应该包括我们国家公民所有 (无论境内还是境外) 的个人信息和重要数据。 第三, 我们国家将数据出境的范围界定过窄。(个人信息和重要数据出境安全评估办法将 数据出境 定义为 网络运营者将在中国境内运营中收集和产生的个人信息和重要数据, 提供应位于境外的机构、组织、个人 。该条款限制了数据流动的监管范围, 正如序言所讲, 如今的数据流动很多数据输出并不是有意的, 全球分布的服务器使国内的数据在传输中也有可能跨境流动, 因而, 将数据出境限定在 提供 上, 那么数据处理中经过境外服务器的数据就不在这里范围内。建议直接采用描绘叙述的方式定义数据出境, 即 数据 流出国境, 以扩大对我们国家数据安

40、全的保卫。 第四, 我们国家应积极推动 网络安全例外 条款纳入WTO规则。网络安全作为限制跨境数据流动的理由当前很难援引GATS的例外条款而获得合法性, 尽管网络安全是网络主权的行使, 也是国家主权在网络空间的延伸, 但是, 除非我们国家积极推进将 网络安全例外 纳入国际贸易规则体系, 否则在现有的贸易规则下, 是很难援引网络安全作为国内监管措施损害到贸易自由化的抗辩理由的。网络安全不仅关系到我们国家的重大安全利益, 也是世界上大部分国家利益考量因素, 实践中, 采用 网络安全 提法的国家也很多。因而, 我们国家应该在国际贸易规则会谈中寻求合作, 争取将 网络安全例外 条款纳入WTO规则中。

41、第五, 在制定跨境数据流动限制措施时, 积极参考国际标准, 十分是OECD制定的标准。采用该标准不仅有利于避免我们国家在采取监管措施时违犯WTO义务, 同时可预测的和协调一致的跨境数据流动监管政策也有利于中国企业走出去。 以下为参考文献： 1James Manyika, Susan Lund, Jacques Bughin, etal.Digital globalization:The new era of global flows, Mc Kinsey Company 2021EB/OL.mck- Kinsey/Business%20Functions/Mc Kinsey%20Digital

42、/Our%20Insights/Digital%20glo-balization%20The%20new%20era%20of%20global%20flows/MGI-Digital-globalization-Full-report.ashx, 2021-12-01. 2J.M.Carroll.The Problem of Transnational DataFlows.M/Policy Issues in Data Protection and Privacy, Proceedings of the OECD Seminar 24th to 26th June1974. 3Chander

43、, Anupam, Uy n P.L , Data nationalism, Emory LJ 64 (2020) EB/OL.httplaw.emory.edu/elj/content/volume-64/issue-3/articles/data-nationalism.#section-c94d487f630c 275b466ee7e3d3dc7114, 2021-12-01. 4 美国(网络安全信息分享法案sec 105 (3) (a) EB/OL.congress.gov/bill/114th-congress/senate-bill/754/text#toc-id7aa014d82

44、19640b0be5ba8486e0f5776, 2021-12-01. 5 The Proposed Regulation for the e Privacy Regu-lation 7.1, 7.2条EB/OL.ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications, 2021-12-01. 6European Council progress report, p.6, Brussels, 24 may 2021EB/OL.httpdata.co

45、nsilium.europa.eu/doc/document/ST-9324-2021-INIT/en/pdf, 2021-12-01. 7Appellate Body Report, US Tuna II (Mexico) , WT/DS381/AB/R, para 356, 364. 8Appellate Body Report, US Gambling, WT/DS285/AB/R.para 228-252. 9Appellate Body Report, United States ImportProhibition of Certain Shrimp and, Shrimp Prod

46、ucts, WT/DS58/AB/R, para 135, 141. 10Appellate Body Report, China Publicationsand Audiovisual Products, WT/DS363/AB/R, para.310. 11黄志雄.网络安全规制的WTO法律问题探析:以2020年中国银行业网络安全和信息化法规为中心J.中国软科学, 2021 (9) . 12 联合国统计署.CPCprov codeEB/OL.unstats.un.org/unsd/cr/registry/regcs.asp?Cl=9 Lg=1 Co=849, 2021-12-01. 14 联

47、合国统计署.CPC Ver.1.1 codeEB/OL.unstats.un.org/unsd/cr/registry/regcs.asp?Cl=16 Lg=1 Co=85960, 2021-12-01. 注释： 1 在斯诺登事件前, 各国其实已经对于数据流动采取了一定的限制措施, 参见Maxwell, Winston, andChristopher Wolf, A Global Reality:Governmental Access to Data in the Cloud, white paper, Hogan Lovells.而在斯诺登事件后, 对数据流动限制措施普遍化, 主要包括制定信

48、息跨境规则, 跨境传输需要信息主体同意, 信息需要储存在境内或者有复印件在境内, 数据出口征税等措施。 2 WTO下, GATT规范货物贸易, GATS规范服务贸易。早在1981年, 联合国跨国公司中心将 跨境数据流动 是 跨越国界对机器可读的数据进行处理、存储和读取等。其后OECD在1985年的(跨境数据流动宣言中, 将跨境数据流动定义为 计算机化的数据或者信息在国际层面的流动 。无论是数据的处理、存储、读取还是传输在(联合国核心产品分类目录 (CPC) 中都属于服务。在CPC临时版本中, 与数据相关的活动在 计算机以及相关服务 项下, 在CPC1.1中, 即便数据处理目录由CPC8432变为CPC85960, 但是与数据相关的活动也包含在 商业与生产服务 项下 (具体参见联合国统计署网站:unstats.un.org/unsd/cr/registry/regcs.asp?Cl=16 Lg=1 Co=84300) 。因而, 与数据流动有关的经济活动归于服务贸易总协定 (GATS) 。 3 印度尼西亚数据保卫法全称是 Protection of Personal Data in Electronic Systems , 对境内和离境 (off-shore) 数据进行了区分, 该法对境内数据的处理进行了规定, 但是对于离境数据的处理交由通信与信息