文 馬 光（浙江大學(xué)，浙江杭州 310008）

內(nèi)容提要：隨著國際數(shù)字貿(mào)易的快速發(fā)展，現(xiàn)有規(guī)則已經(jīng)很難滿足其進(jìn)一步發(fā)展，因此，需要出臺相應(yīng)的國際規(guī)則。美國為了維持和發(fā)展在數(shù)字貿(mào)易領(lǐng)域所處的領(lǐng)先地位作出了積極的努力。而在數(shù)字貿(mào)易中對個人隱私的保護(hù)也越來越多的受到關(guān)注，歐盟則是較為典型的個人數(shù)據(jù)保護(hù)倡導(dǎo)者，主張為了隱私保護(hù)而對信息的跨境流動進(jìn)行限制是正當(dāng)?shù)?。將?shù)據(jù)貿(mào)易、個人信息保護(hù)和網(wǎng)絡(luò)安全的規(guī)定捆綁在一起的模式，也向我們提示了有關(guān)網(wǎng)絡(luò)空間利用的國際規(guī)范之方向。

一、引言

2013年“棱鏡門”事件發(fā)生后，對個人數(shù)據(jù)的保護(hù)迅速成為國際熱門話題。在2013年的聯(lián)合國大會上通過了《數(shù)字時代的隱私權(quán)》決議，歐盟法院則在2015年以美國情報部門有可能侵犯歐盟市民的個人數(shù)據(jù)保護(hù)為由，將從2000年開始實(shí)施的歐美《安全港協(xié)議》予以無效化。接著在2016年7月14日，美國聯(lián)邦上訴巡回法院判決美國法律執(zhí)行當(dāng)局不能強(qiáng)制要求微軟公司將其存儲在愛爾蘭數(shù)據(jù)中心的顧客郵件交出來。此案被評價為在法律執(zhí)行的正當(dāng)利益和個人隱私權(quán)之間謀求較好的均衡。聯(lián)合國信息安全政府專家組（以下簡稱為UNGGE）和上合組織的《2015年國際行動綱領(lǐng)草案》也確認(rèn)國家對信息通信技術(shù)的利用要尊重人權(quán)和基本自由。對數(shù)字隱私［1］的保護(hù)在以聯(lián)合國為中心的多邊體制和歐盟、美國等貿(mào)易主體的雙邊體制中都得到確認(rèn)。美國通常在假設(shè)只有私人信息可以得到保護(hù)的前提下使用“數(shù)據(jù)隱私”一詞。相比之下，歐洲使用更廣泛的術(shù)語“數(shù)據(jù)保護(hù)”，它可以擴(kuò)展到公共領(lǐng)域的信息。

互聯(lián)網(wǎng)等網(wǎng)絡(luò)空間對貿(mào)易和經(jīng)濟(jì)發(fā)展起到了至關(guān)重要的作用，而我們將此類經(jīng)濟(jì)稱為“數(shù)字經(jīng)濟(jì)”，將此類貿(mào)易則稱為“數(shù)字貿(mào)易”。《關(guān)貿(mào)總協(xié)定》和《服務(wù)貿(mào)易總協(xié)定》分別為促進(jìn)貨物貿(mào)易和服務(wù)貿(mào)易而制定，那么，為了發(fā)展和調(diào)整數(shù)字貿(mào)易，是否需要出臺新的國際規(guī)則呢？答案是肯定的，因?yàn)楝F(xiàn)有的國際規(guī)則已經(jīng)無法滿足數(shù)字貿(mào)易的快速發(fā)展。而在此方面，美國為了維持和發(fā)展他們在數(shù)字經(jīng)濟(jì)（包括數(shù)字貿(mào)易）領(lǐng)域所處的領(lǐng)先地位作出了積極的努力。這些努力主要表現(xiàn)在以《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（以下簡稱為CPTPP）和 《美墨加協(xié)定》（以下簡稱為USMCA）等自由貿(mào)易協(xié)定（以下簡稱為FTA）為中心的國際條約上。其實(shí)，美國和約旦、澳大利亞、巴林、智利、哥倫比亞、韓國、摩洛哥、阿曼、巴拿馬、秘魯、新加坡等國簽訂的FTA和中美洲FTA 均具有電子商務(wù)相關(guān)章節(jié)，但因CPTPP 和USMCA 的內(nèi)容更為典型和全面，故在本文中僅對這兩個FTA 進(jìn)行研究。其中，CPTPP 已于 2018年 12月 30日正式生效，而USMCA 則尚需完成締約國的國內(nèi)批準(zhǔn)程序。

另一方面，在數(shù)字貿(mào)易中對個人數(shù)據(jù)的保護(hù)也越來越多的受到關(guān)注，歐盟則是較為典型的個人數(shù)據(jù)保護(hù)倡導(dǎo)者，這主要表現(xiàn)在以其 《通用數(shù)據(jù)保護(hù)條例》（以下簡稱為GDPR）為中心的立法上。

本文將從CPTPP、USMCA 對數(shù)字貿(mào)易的相關(guān)規(guī)定入手，再結(jié)合GDPR 和《關(guān)于個人數(shù)據(jù)自動化處理的個人保護(hù)公約》（以下簡稱為《108 號公約》）對跨境流動個人數(shù)據(jù)的保護(hù)規(guī)定，探討這些規(guī)定的內(nèi)涵，并在此基礎(chǔ)上對國際數(shù)字貿(mào)易規(guī)則的制定提出相關(guān)建議。

二、相關(guān)定義和CPTPP、USMCA的適用范圍

首先，我們要明確若干相關(guān)概念，這些包括：電子商務(wù)和數(shù)字貿(mào)易，個人信息、個人數(shù)據(jù)和個人隱私，數(shù)字產(chǎn)品等。

目前世界上尚無普遍得到認(rèn)可的電子商務(wù)和數(shù)字貿(mào)易定義，但實(shí)際上兩個概念在多數(shù)情況下得以混用。例如，從美國所發(fā)起或簽訂的 FTA 來看，USMCA 之前的 FTA 均采用了電子商務(wù)的用詞，而在USMCA 中，在內(nèi)容幾乎相同的情況下，電子商務(wù)章節(jié)名稱更名為數(shù)字貿(mào)易。

1998年，世界貿(mào)易組織 （以下簡稱為WTO）總理事會在其依照 《世界電子商務(wù)宣言》所通過的《電子商務(wù)工作程序》中將電子商務(wù)定義為，通過電子方式生產(chǎn)、分銷，營銷、銷售或交付貨物和服務(wù)。而這一定義在2004年簽訂的美國-摩洛哥FTA 第14.4 條中也得以沿用，盡管這是美國簽訂的FTA 中唯一對電子商務(wù)下定義的FTA。

美國從2013年開始使用數(shù)字貿(mào)易的概念，即，美國國際貿(mào)易委員會 （以下簡稱為USITC）的報告將其定義為：通過固定線路或無線數(shù)字網(wǎng)絡(luò)交付產(chǎn)品和服務(wù)。此定義包括美國的國內(nèi)商業(yè)活動以及國際貿(mào)易，但不包括大多數(shù)實(shí)物商品的貿(mào)易，例如在線訂購的商品和具有數(shù)字對應(yīng)物的實(shí)物商品 （例如以CD 或DVD 出售的書籍和軟件，音樂和電影）。［2］2018年，美國貿(mào)易代表部（以下簡稱為USTR）則將其定義為，包括WTO 對電子商務(wù)的定義之所有要素在內(nèi)，通過電子手段進(jìn)行的與貿(mào)易有關(guān)的所有貿(mào)易方面。［3］USTR 對數(shù)字貿(mào)易的定義涵蓋了傳統(tǒng)的電子商務(wù)和包括數(shù)據(jù)跨境流動在內(nèi)的依靠電子手段進(jìn)行的貿(mào)易，因此，我們可以將USTR 對數(shù)字貿(mào)易的定義看作是廣義的數(shù)字貿(mào)易定義，其包括了電子商務(wù)和數(shù)據(jù)跨境流動在內(nèi)的狹義的數(shù)字貿(mào)易。CPTPP 的電子商務(wù)章節(jié)包括數(shù)據(jù)跨境流動相關(guān)的內(nèi)容，因此，這里的電子商務(wù)概念又比數(shù)字貿(mào)易概念要廣，但是要記住CPTPP 中的數(shù)據(jù)跨境流動之規(guī)定限定于電子商務(wù)層面上。

與未對數(shù)字貿(mào)易下定義不同，包括CPTPP和USMCA 在內(nèi)的多數(shù)FTA 都對數(shù)字產(chǎn)品做出如下定義：“數(shù)字產(chǎn)品”是指經(jīng)過數(shù)字編碼、生產(chǎn)，用于商業(yè)銷售或分銷，并可以電子方式傳輸?shù)挠嬎銠C(jī)程序、文本、視頻、圖像、錄音或其他產(chǎn)品，數(shù)字產(chǎn)品不包括貨幣在內(nèi)金融工具的數(shù)字化表示［GDPR 4（1）條，《108 號公約》第 2 條］。

通過比較分析不難看出美國所主導(dǎo)的FTA中所用到的個人信息和歐盟在GDPR 中用到的個人數(shù)據(jù)概念其實(shí)沒有本質(zhì)區(qū)別。而從《經(jīng)濟(jì)合作組織對關(guān)于隱私保護(hù)與個人資料跨境流動的指針做出的建議》來看，雖然并未對隱私做出明確定義，但其將“保護(hù)隱私的法律”定義為 “指其執(zhí)行具有保護(hù)個人數(shù)據(jù)作用的國家法律或法規(guī)”，從而不難看出其實(shí)是將個人隱私與個人數(shù)據(jù)等同起來，即，從這一點(diǎn)來看，個人數(shù)據(jù)、個人信息和個人隱私其實(shí)都被予以混用，本文也將不對這三個概念進(jìn)行區(qū)分，但是，在援引相關(guān)條約和法律的具體條款時，則采用與條約中的用法相一致的概念。

而且，GDPR 對個人數(shù)據(jù)的定義和CPTPP和USMCA 對個人信息的定義也基本相同。GDPR 和《108 號公約》均對個人數(shù)據(jù)做出了如下定義：“個人數(shù)據(jù)”是指與已識別或可識別的自然人 （“數(shù)據(jù)主體”）有關(guān)的任何信息［GDPR 4（1）條，《108 號公約》第 2 條］；“可識別的自然人”是指可以直接或間接識別的自然人，特別是可以參考諸如姓名、識別號、位置數(shù)據(jù)、在線標(biāo)識符之類的標(biāo)識符，或者可以參考特定于身體、生理、該自然人的遺傳、心理、經(jīng)濟(jì)、文化或社會身份［GDPR 4（1）條］。而CPTPP 和USMCA 對 “個人信息”的定義是，指包括數(shù)據(jù)在內(nèi)，能夠被識別的有關(guān)自然人的信息（CPTPP 14.1 條，USMCA 19.1 條）。

關(guān)于數(shù)據(jù)的國際法地位，包括數(shù)字隱私角度上的個人信息和數(shù)字貿(mào)易角度上的個人信息。相同的，數(shù)據(jù)在國際法上武裝沖突領(lǐng)域也得到較為深入的探討。例如，在《網(wǎng)絡(luò)行動國際法塔林手冊》（以下簡稱為《手冊》）的編寫過程中對數(shù)據(jù)可否成為在國際人道法上受到網(wǎng)絡(luò)攻擊的物體予以探討。即，如果數(shù)據(jù)能夠被認(rèn)定為不構(gòu)成網(wǎng)絡(luò)攻擊對象的民用物體，破壞或變更數(shù)據(jù)的網(wǎng)絡(luò)行動就能構(gòu)成適用國際人道法的攻擊，而對民用數(shù)據(jù)和其他受保護(hù)數(shù)據(jù)采取的網(wǎng)絡(luò)行動則是非法的。當(dāng)然，對數(shù)據(jù)的攻擊導(dǎo)致人員的傷亡或物體的損傷，將被認(rèn)定為攻擊。相同的，使得設(shè)施等功能喪失的數(shù)據(jù)破壞或變更也被理解為攻擊。

但是，對于在不發(fā)生人員傷亡或物體損傷等物理結(jié)果或功能喪失的情況下對數(shù)據(jù)本身的網(wǎng)絡(luò)行動可否構(gòu)成能夠適用國際人道法的攻擊這一問題，《手冊》 編寫組的多數(shù)專家持否定意見。他們認(rèn)為紅十字國際委員會對《1949年日內(nèi)瓦第一議定書》（以下簡稱為《第一議定書》）中“民用物體的一般保護(hù)”的相關(guān)評注所提到的“可見的且有形的”某物這一解釋具有說服力。國際專家組多數(shù)意見認(rèn)為，數(shù)據(jù)是無形的，也是不可見的，因此不屬于受國際人道法保護(hù)的物體。他們認(rèn)為，數(shù)據(jù)無法被感覺器官所感知，因而物體的含義不應(yīng)包括數(shù)據(jù)。盡管如此，少數(shù)專家的意見是應(yīng)將特定數(shù)據(jù)當(dāng)作物體。他們主張，對沒有被認(rèn)定為軍事目標(biāo)的數(shù)據(jù)應(yīng)禁止網(wǎng)絡(luò)行動。因?yàn)?，如果不對?shù)據(jù)的網(wǎng)絡(luò)行動予以禁止，對很有價值和重要的民用數(shù)據(jù)的刪除將能規(guī)避武裝沖突法的規(guī)制范圍。這樣，就將會與《第一議定書》第48 條所規(guī)定的平民居民應(yīng)從敵對行為的效果得到保護(hù)的武裝沖突法目的相抵觸。但是，多數(shù)專家還是認(rèn)為這種立場并非實(shí)在法，而僅僅是應(yīng)然法，所以對此予以否決（《手冊》規(guī)則 100 第 5-7 段）。

至少現(xiàn)在數(shù)據(jù)因不可見和無形，無法被認(rèn)定為受到國際人道法保護(hù)的民用物體，但因?yàn)閿?shù)據(jù)滅失的效果有可能比伴隨傳統(tǒng)攻擊產(chǎn)生的效果更加有害，也許這種法律立場無法持續(xù)很長時間。例如，以毀損國家經(jīng)濟(jì)體制信賴的方式變更金融體制的數(shù)據(jù)，比對一家銀行進(jìn)行的傳統(tǒng)攻擊，對平民居民來說可能更為致命。在依賴于網(wǎng)絡(luò)的世界里，對有形物體產(chǎn)生的損害和對數(shù)據(jù)產(chǎn)生的損害來說，規(guī)范的區(qū)分將逐漸變得困難。［4］

2013年12月18日，聯(lián)合國大會在第68屆會期中通過了《數(shù)字時代的隱私權(quán)》決議。該決議是基于國際社會對2013年6月發(fā)生的“棱鏡門”事件的強(qiáng)烈反響，由巴西和德國主導(dǎo)。該決議重申《聯(lián)合國憲章》的宗旨和原則，也重申了《世界人權(quán)宣言》和《公民權(quán)利和政治權(quán)利國際公約》《經(jīng)濟(jì)、社會及文化權(quán)利國際公約》 在內(nèi)的相關(guān)人權(quán)條約中銘記的人權(quán)和基本自由。并且，該決議確認(rèn)包括隱私權(quán)在內(nèi)，人在網(wǎng)下所具有的相同權(quán)利在網(wǎng)上也應(yīng)得到保護(hù)。從此，在人權(quán)理事會2012年《互聯(lián)網(wǎng)上推動、保護(hù)及享有人權(quán)》決議所特別明示的網(wǎng)上言論自由外，還特別明示了線上的隱私權(quán)保護(hù)。

2014年 6月 30日，聯(lián)合國人權(quán)高專辦向聯(lián)合國大會提交 《數(shù)字時代的隱私權(quán)》報告。該報告闡明世界上公開和非公開的數(shù)字監(jiān)控例子在擴(kuò)散，政府的大量監(jiān)控已經(jīng)不再是例外措施，而是成為一種危險的習(xí)慣。而且，該報告確認(rèn)國際人權(quán)法對包括國內(nèi)外監(jiān)控，對數(shù)字通信監(jiān)聽和個人信息搜集在內(nèi)，對隱私權(quán)的促進(jìn)和保護(hù)提供明確和普遍的裝置。該報告建議通過開發(fā)能夠有效防止濫用的保護(hù)裝置，使得監(jiān)視政策或行為能夠符合包括隱私權(quán)在內(nèi)的國際人權(quán)法，并為此將各自的國內(nèi)法、政策和行為進(jìn)行審查，同時關(guān)注到被害者對有效救濟(jì)措施的權(quán)利，要求保障有效、獨(dú)立的監(jiān)督體制和行為。

在UNGGE 看來，網(wǎng)上的人權(quán)保護(hù)對美國在內(nèi)的西方國家和包括中國和俄羅斯在內(nèi)的非西方國家來說都是敏感的事項(xiàng)。

在第四屆UNGGE 報告的自發(fā)性規(guī)則部分，各國提到為了保障信息通信技術(shù)的安全利用，要保障包括表達(dá)自由權(quán)利在內(nèi)的人權(quán)，并為此應(yīng)尊重聯(lián)合國大會的 《數(shù)字時代的隱私權(quán)》和人權(quán)理事會的《互聯(lián)網(wǎng)上推動、保護(hù)及享有人權(quán)》決議。雖然線上人權(quán)保障包含在自發(fā)性規(guī)則這一點(diǎn)來看，其強(qiáng)制力上是有問題的，但是，不能排除其發(fā)展成為國際規(guī)范的可能性。

CPTPP 和USMCA 能夠支持武裝沖突法的這種新解釋可能性。在商品和服務(wù)的基礎(chǔ)上，對數(shù)據(jù)的貿(mào)易以國際規(guī)范的方式得到認(rèn)可和保護(hù)，意味著數(shù)據(jù)與商品和服務(wù)一樣成為能夠所有和使用的對象，并從而具有了經(jīng)濟(jì)價值。如果CPTPP 和USMCA 對數(shù)字貿(mào)易的國際規(guī)范能夠被其它FTA 和WTO 諸邊協(xié)定所吸收，那么數(shù)據(jù)將與受到國際人道法一般保護(hù)的人和傳統(tǒng)物體一樣，能夠成為新的受保護(hù)的物體。因?yàn)?，在?jīng)濟(jì)貿(mào)易關(guān)系中被認(rèn)定為重要的數(shù)據(jù)在國際人道法上也應(yīng)被認(rèn)定為從網(wǎng)絡(luò)攻擊受到保護(hù)的重要民用物體。數(shù)據(jù)作為國際網(wǎng)絡(luò)法的基本要素，也成為連接構(gòu)成國際網(wǎng)絡(luò)法具體領(lǐng)域的要素。

CPTPP 第 14 章 （電子商務(wù)）和 USMCA第19 章（數(shù)字貿(mào)易）中包含對信息的規(guī)定，而該信息涵蓋了個人信息。這兩章均適用于締約方采取或維持的以電子方式影響貿(mào)易的措施 （CPTPP 14.2.2 條，USMCA 19.2.2 條）。因?yàn)槭怯绊戀Q(mào)易的措施，所以，其適用范圍廣于適用于貿(mào)易或調(diào)整貿(mào)易的措施。而這里的措施包括任何法律、法規(guī)、程序、要求或?qū)嵺`，因此，其實(shí)際適用范圍應(yīng)在具體情況下予以分析。

CPTPP 第 14 章和 USMCA 第 19 章不適用于：（1）政府采購；（2）由締約方或代表締約方持有或處理的信息，或與此類信息有關(guān)的措施，包括與其收集有關(guān)的措施（CPTPP 14.2.3 條，USMCA 19.2.3 條）。因此，由政府或代表政府收集或處理信息的行為不適用該章，例如，國內(nèi)法要求將政府持有的公民健康信息僅在國內(nèi)予以保存和處理，這種規(guī)定則不受CPTPP 和USMCA 的約束，即，此時無需考慮這些FTA 對數(shù)據(jù)本地化的禁止。而CPTPP 和USMCA 把個人信息保護(hù)的范圍限定在電子商務(wù)或數(shù)字貿(mào)易用戶 （CPTPP 14.8條，USMCA 19.8 條）。這一點(diǎn)是可以理解的，因?yàn)槠浞旁陔娮由虅?wù)或數(shù)字貿(mào)易章節(jié)中。另外，CPTPP 第 14 章和 USMCA 第 19 章的規(guī)定還適用WTO 《服務(wù)貿(mào)易總協(xié)定》14 條下的一般例外及類似于14 條之二所規(guī)定的安全例外 （CPTPP 29.1.3 條和 29.2 條，USMCA 32.1.2 條和 32.2 條）。即，在符合這些例外的情況下，是可以對數(shù)據(jù)跨境流動進(jìn)行限制，盡管這些限制因受到相關(guān)條件的約束而變得非常困難。USMCA 則附加公開的政府?dāng)?shù)據(jù)適用該章。而對公開的政府?dāng)?shù)據(jù)則規(guī)定在19.18條中。其規(guī)定：締約方認(rèn)識到，便利公眾獲取和使用政府信息可以促進(jìn)經(jīng)濟(jì)和社會發(fā)展、競爭力和創(chuàng)新。在某一締約方選擇向公眾提供政府信息（包括數(shù)據(jù)）的范圍內(nèi)，應(yīng)努力確保該信息采用機(jī)器可讀和開放的格式，并且可以被搜索、檢索、使用、反復(fù)使用和重新分發(fā)。締約方應(yīng)努力合作，以查明締約方可以擴(kuò)大對已公開的政府信息（包括數(shù)據(jù)）的訪問和使用的方式，以期增加和創(chuàng)造商機(jī)，特別是為中小企業(yè)創(chuàng)造商機(jī)。從政府信息的整體排除到部分排除，反映了美國締結(jié)FTA 時的一種新傾向。

三、對數(shù)據(jù)自由跨境流動的要求和本地化的限制

CPTPP 14.11.1 條規(guī)定各締約方可以對通過電子手段傳輸信息提出自己的監(jiān)管要求，而類似條款在USMCA 則沒有出現(xiàn)。盡管該條款在其它條款的限制下并未賦予締約方實(shí)質(zhì)性的規(guī)制權(quán)，但因其在第一款就以類似于總則的形式賦予締約方權(quán)利，所以在USMCA 中將該款予以刪除，還是可以理解為對數(shù)據(jù)跨境移動的規(guī)制產(chǎn)生了較大影響。盡管如此，當(dāng)該活動涉及涵蓋人的經(jīng)營活動時，各方應(yīng)允許通過電子手段跨境流動包括個人信息在內(nèi)的各種信息 （CPTPP 14.11.2 條，USMCA 19.11.2 條）。而“涵蓋人”則包括：涵蓋投資、締約方的投資者（金融機(jī)構(gòu)投資者除外）、締約方的服務(wù)提供者（CPTPP 14.1 條，USMCA 19.1 條）。因此，締約方要保障包括個人信息在內(nèi)信息的跨境流動，也就是說，數(shù)據(jù)跨境流動自由得以保障。

但這種保障也是有例外的，即締約方為了實(shí)現(xiàn)合法的公共政策目標(biāo)，可以采取或維持對信息跨境流動的限制措施，而這種措施要符合：（1）不構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制；（2）對信息傳輸施加的限制不超過實(shí)現(xiàn)目標(biāo)所需限度 （CPTPP 14.11.3 條，USMCA 19.11.3 條）。換言之，要符合這種例外，應(yīng)滿足如下四個條件：（1）實(shí)現(xiàn)合法公共政策目標(biāo)所需；（2）不構(gòu)成任意或不合理的歧視；（3）不構(gòu)成變相的貿(mào)易限制；（4）不超過實(shí)現(xiàn)合法公共政策目標(biāo)所需限度。只要不符合上述四個條件之一，就會構(gòu)成對該條款的違反。

這里所規(guī)定的“合法公共政策目標(biāo)”應(yīng)包含隱私保護(hù)。因此，可以主張為了隱私保護(hù)而對信息的跨境流動進(jìn)行限制是正當(dāng)?shù)摹５珜?shí)際上這種例外能夠符合上述所有條件并非易事。盡管如此，能夠?qū)▊€人信息在內(nèi)的信息之電子手段跨境流動規(guī)定為一種義務(wù)還是具有很大意義。將信息或數(shù)據(jù)看作商品、服務(wù)、資本和人之外新的生產(chǎn)要素，允許信息的跨境流動符合時代要求，并能通過信息流動進(jìn)一步擴(kuò)大商品和服務(wù)的自由貿(mào)易。只不過考慮到個人信息所具有的隱私等有關(guān)人權(quán)的特性來看，原則上不限制個人信息跨境流動應(yīng)與個人信息或隱私保護(hù)的另一法益相均衡。盡管在CPTPP 和USMCA 中包含了個人信息保護(hù)相關(guān)規(guī)定，但其并不要求各締約方對保護(hù)個人信息的規(guī)范進(jìn)行統(tǒng)一，而是允許各締約方維持各自的相關(guān)法律體系。

2013年“棱鏡門”事件和2015年歐盟法院將歐美《安全港協(xié)議》予以無效化等表明各國都普遍認(rèn)為個人信息存儲在美國服務(wù)器時并不能很好地得到美國政府的保護(hù)。而基于此種擔(dān)憂，各國要求特定種類的信息存儲于本國的服務(wù)器里，而美國則對此批評為是數(shù)字保護(hù)主義。CPTPP 和USMCA 則普遍禁止此類本地化要求。盡管如此，這種禁止還是有嚴(yán)格限制的例外。首先，CPTPP14.13.1 條規(guī)定各締約方可以對計算設(shè)施提出包括尋求確保通信安全和機(jī)密性的監(jiān)管要求，盡管這一規(guī)定在USMCA 里并未得以延續(xù)。例如，為了保護(hù)個人數(shù)據(jù)，各締約方可以規(guī)定相關(guān)要求，從而自行規(guī)制計算設(shè)備的利用。而這里的“計算設(shè)備”是指用于處理或存儲商業(yè)信息的計算機(jī)服務(wù)器和存儲設(shè)備（CPTPP 14.1 條，USMCA19.1 條）。但是，各締約方均不得要求涵蓋人在該締約方領(lǐng)土內(nèi)使用或放置計算設(shè)施，以此作為在該領(lǐng)土內(nèi)開展業(yè)務(wù)的條件（CPTPP 14.13.2，USMCA 19.12 條）。即，締約方不能對在該領(lǐng)土內(nèi)開展業(yè)務(wù)的企業(yè)要求必須使用位于該國境內(nèi)的服務(wù)器。

盡管如此，與對數(shù)據(jù)跨境流動的限制類似，數(shù)據(jù)本地化限制也存在相應(yīng)的例外。CPTPP 14.13.3 條規(guī)定，締約方為了實(shí)現(xiàn)合法的公共政策目標(biāo)，可以采取或維持本地化措施，而這種措施又要符合：（1）不構(gòu)成任意或不合理的歧視或變相的貿(mào)易限制；（2）限制措施不超過實(shí)現(xiàn)目標(biāo)所需限度。而這一內(nèi)容并未在USMCA 里得以延續(xù)，表明后者對數(shù)據(jù)本地化的限制變得更加嚴(yán)格。

我國《網(wǎng)絡(luò)安全法》第37 條也規(guī)定了本地化要求，即關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。

四、個人信息保護(hù)

CPTPP 14.8 條和USMCA 19.8 條是關(guān)于個人信息保護(hù)的規(guī)定，締約方認(rèn)識到保護(hù)電子商務(wù)（或數(shù)字貿(mào)易）用戶個人信息的經(jīng)濟(jì)和社會效益，以及這對提高消費(fèi)者對電子商務(wù)（或數(shù)字貿(mào)易）信心所做的貢獻(xiàn)（CPTPP 14.8.1條，USMCA 19.8.1 條）。為此，各締約方應(yīng)制定或維持一個法律框架，規(guī)定保護(hù)電子商務(wù)（或數(shù)字貿(mào)易）用戶的個人信息（CPTPP 14.8.2 條，USMCA 19.8.2 條）。因該條款使用了shall 這個單詞，所以此項(xiàng)規(guī)定并非具有法律拘束力。個人信息保護(hù)法律體系的要求僅適用于電子商務(wù)利用者。［5］因此，如果公共部門的個人信息和電子商務(wù)不關(guān)聯(lián)，則此類個人信息的保護(hù)就不包含在內(nèi)。換句話說，CPTPP 和USMCA 的個人信息保護(hù)并非具有一般性。從這一點(diǎn)來看，因其FTA 的性質(zhì)，這些FTA 中對個人信息的保護(hù)還是與GDPR具有很大區(qū)別。締約方可以通過綜合性個人信息保護(hù)法、包含隱私的部門特定法、通過隱私相關(guān)企業(yè)的自發(fā)承諾進(jìn)行執(zhí)行的立法等方式滿足這一要求（CPTPP 14.8.2 條注釋 6）。因此，CPTPP 和USMCA 締約方提供此類法律體系的方式應(yīng)是相當(dāng)自由，進(jìn)而各締約方的個人信息保護(hù)法律體系將是多種內(nèi)容和形式。在這一點(diǎn)上，已經(jīng)具有個人信息保護(hù)法律體系的締約方可以將此類相關(guān)法律予以維持。例如，美國可以不制定 《個人信息保護(hù)法》，而繼續(xù)通過企業(yè)等的自行承諾達(dá)到這一要求。

在制定保護(hù)個人信息的法律框架時，各締約方應(yīng)考慮到有關(guān)國際機(jī)構(gòu)的原則和準(zhǔn)則（CPTPP 14.8.2 條，USMCA 19.8.2 條）。但是，具體有哪些國際組織或相關(guān)原則，CPTPP 并未明確列舉。因此，各締約方在選擇自己的個人信息保護(hù)法律體系時具有相當(dāng)大的自由，同時對法律體系中所反映的個人信息保護(hù)原則也會有相當(dāng)大的自由。而USMCA 則列舉了如亞太經(jīng)合組織 （以下簡稱為APEC）《隱私框架》和OECD《對關(guān)于隱私保護(hù)與個人資料跨境流動的指針做出的建議》 等。進(jìn)而USMCA19.8.3 條規(guī)定，關(guān)鍵原則包括：限制收集；選擇；數(shù)據(jù)質(zhì)量；目的規(guī)范；使用限制；安全保障措施；透明度；個人參與和問責(zé)制。締約方還認(rèn)識到確保遵守保護(hù)個人信息的措施以及確保對個人信息的跨境流動進(jìn)行任何限制并與所承擔(dān)的風(fēng)險成比例的重要性。

另外，在承認(rèn)各締約方可以采用不同的個人信息保護(hù)規(guī)定的同時，CPTPP 和USMCA建議締約方查找能夠促進(jìn)這些不同法律體系共存的機(jī)制。此類機(jī)制可以采用自律的或通過相互約定，甚至可以通過廣泛的國際體制完成，而關(guān)注的是規(guī)制的效果（CPTPP 14.8.5條，USMCA 19.8.6 條）。APEC 的《跨境隱私規(guī)則》（Cross Border Privacy Rules）或者歐盟適當(dāng)性地位的自律認(rèn)定也是這種機(jī)制。各締約方之間將這種機(jī)制相關(guān)信息予以交換，并試圖探索能夠?qū)Υ司哂写龠M(jìn)效果的其它更佳方案。這種體制說明CPTPP 和USMCA 作為FTA 在締約方之間追求市場規(guī)則的統(tǒng)一，而在個人信息保護(hù)方面目前還難以追求此類統(tǒng)一。

各締約方應(yīng)努力采取非歧視性做法，保護(hù)電子商務(wù)用戶免受其管轄范圍內(nèi)發(fā)生的個人信息保護(hù)違規(guī)行為的侵害 （CPTPP 14.8.3條 ，USMCA 19.8.4 條 ）。雖 然 CPTPP 和USMCA 對不歧視并未定義，但考慮到一般在貿(mào)易中不歧視的含義，應(yīng)理解為某一締約方應(yīng)按照國民待遇將本國國民和另一締約方的國民在個人信息保護(hù)中同等對待，也應(yīng)將不同締約方的國民同等對待。只不過此項(xiàng)內(nèi)容并不是強(qiáng)制性的，而是一種建議。

各締約方應(yīng)公布其為電子商務(wù)用戶提供的個人信息保護(hù)信息，包括：個人如何尋求救濟(jì)；企業(yè)如何遵守任何法律要求（CPTPP 14.8.4 條，USMCA 19.8.5 條）。因此，各締約方只要盡量公開自己的個人信息保護(hù)法律體系如何運(yùn)作即可，此項(xiàng)要求其實(shí)并無多大的現(xiàn)實(shí)意義。

歐盟將對人權(quán)的保護(hù)置于數(shù)據(jù)自由流動之上。［6］GDPR 第五章對將個人數(shù)據(jù)轉(zhuǎn)移到第三國或國際組織做出相應(yīng)規(guī)定，其規(guī)定，對于正在處理或計劃進(jìn)行處理的個人數(shù)據(jù)，將其轉(zhuǎn)移到第三國或國際組織，包括將個人數(shù)據(jù)從第三國或國際組織轉(zhuǎn)移到另一第三國或另一國際組織，控制者和處理者必須滿足相應(yīng)規(guī)定，而這些規(guī)定包括：基于認(rèn)定具有充足保護(hù)的轉(zhuǎn)移，符合轉(zhuǎn)移所需要的適當(dāng)安全保障，有約束力的公司規(guī)則，未經(jīng)歐盟法授權(quán)的轉(zhuǎn)移或披露，特殊情形下的轉(zhuǎn)移等 （GDPR 44條-49 條）。

五、網(wǎng)絡(luò)安全國際合作

CPTPP 和USMCA 不僅包含電子商務(wù)中個人信息的保護(hù)，還包含網(wǎng)絡(luò)安全領(lǐng)域的合作。即，締約方認(rèn)識到以下重要性：（1）建立負(fù)責(zé)計算機(jī)安全事件響應(yīng)的國家實(shí)體的能力；（2）利用現(xiàn)有的合作機(jī)制進(jìn)行合作，以識別和減少惡意入侵或傳播影響締約方電子網(wǎng)絡(luò)的惡意代碼，并利用這些機(jī)制迅速解決網(wǎng)絡(luò)安全事件，以及共享信息以提高意識和達(dá)到最佳做法 （CPTPP 14.16 條，USMCA 19.15.1條）。“現(xiàn)有的合作機(jī)制”是指締約方國內(nèi)計算機(jī)事件響應(yīng)小組之間的合作機(jī)制。在此基礎(chǔ)上，USMCA19.15.2 條進(jìn)一步要求，鑒于網(wǎng)絡(luò)安全威脅的性質(zhì)在不斷發(fā)展，各締約方認(rèn)識到，在應(yīng)對這些威脅方面，基于風(fēng)險的方法可能比規(guī)定性法規(guī)更為有效。因此，每一締約方應(yīng)努力雇用并鼓勵其管轄范圍內(nèi)的企業(yè)使用基于風(fēng)險的方法，這些方法依靠基于共識的標(biāo)準(zhǔn)和風(fēng)險管理最佳實(shí)踐來識別和防范網(wǎng)絡(luò)安全風(fēng)險，檢測、響應(yīng)網(wǎng)絡(luò)安全事件，并從此得以恢復(fù)。

除此之外，USMCA19.14 條還規(guī)定，認(rèn)識到數(shù)字貿(mào)易的全球性，締約方應(yīng)努力：（1）交流信息并分享有關(guān)數(shù)字貿(mào)易的法規(guī)、政策、執(zhí)行和合規(guī)方面的經(jīng)驗(yàn)，包括：個人信息保護(hù)，特別是為了在執(zhí)行保護(hù)隱私的法律方面加強(qiáng)現(xiàn)有的國際合作機(jī)制，電子通訊的安全性，身份驗(yàn)證，以及政府使用數(shù)字工具和技術(shù)來實(shí)現(xiàn)更好的政府績效；（2）就促進(jìn)和發(fā)展包括APEC《跨境隱私規(guī)則》在內(nèi)的機(jī)制而進(jìn)行合作并保持對話，以進(jìn)一步提高隱私制度的全球互操作性；（3）積極參加區(qū)域和多邊論壇，以促進(jìn)數(shù)字貿(mào)易的發(fā)展；（4）鼓勵私營部門發(fā)展促進(jìn)數(shù)字貿(mào)易的自我調(diào)節(jié)方法，包括行為守則、示范合同、準(zhǔn)則和執(zhí)行機(jī)制；（5）促進(jìn)殘疾人獲得信息和通信技術(shù)的機(jī)會；（6）通過國際跨界合作舉措促進(jìn)發(fā)展機(jī)制，以協(xié)助用戶提交有關(guān)個人信息保護(hù)的跨界投訴。締約方應(yīng)考慮建立一個論壇，以解決上述任何問題或與執(zhí)行有關(guān)的任何其他事項(xiàng)。

在聯(lián)合國層面也對網(wǎng)絡(luò)安全國際合作進(jìn)行了一系列探討和規(guī)定，例如，2015年6月通過的第四屆UNGGE 報告包含了網(wǎng)絡(luò)安全所需的多項(xiàng)互信措施，包括：（1）加強(qiáng)各國網(wǎng)絡(luò)安全負(fù)責(zé)機(jī)構(gòu)之間的合作機(jī)制，開發(fā)包括事故應(yīng)對領(lǐng)域人員交流在內(nèi)的技術(shù)機(jī)制；（2）成立國家計算機(jī)危機(jī)應(yīng)對小組或網(wǎng)絡(luò)安全應(yīng)對小組，或者正式成立能夠完成上述功能的機(jī)構(gòu)，并且支持和促進(jìn)此類小組和其它授權(quán)機(jī)構(gòu)之間的合作；（3）在計算機(jī)危機(jī)應(yīng)對小組和網(wǎng)絡(luò)安全事故應(yīng)對小組之間的合作中支持達(dá)成旨在減少攻擊的適當(dāng)行為。［7］

六、結(jié)語

CPTPP 和USMCA 被評價為是在數(shù)字貿(mào)易和個人信息保護(hù)等有關(guān)數(shù)據(jù)方面規(guī)定較為詳細(xì)的兩個重要多邊FTA。盡管之前APEC也曾在2004年達(dá)成《隱私保護(hù)框架》等有關(guān)個人信息保護(hù)的文件，但因其不具有法律拘束力，相比之下，作為條約的這些FTA 則具有重要意義。

CPTPP 和USMCA 的個人信息保護(hù)規(guī)定對個人信息的保護(hù)水平并不是很高，其只是在包括個人信息在內(nèi)的跨境信息流動中對數(shù)據(jù)出口限制和數(shù)據(jù)本地化規(guī)定了原則性的禁止。而且，在個人信息保護(hù)方面允許采用各種形式，其中包括美國式民間主導(dǎo)的自律規(guī)制形式，即，其并非意圖在各締約方之間要統(tǒng)一個人信息保護(hù)水平。如此寬松的個人信息保護(hù)規(guī)定被評價為僅僅是一種形式上的保護(hù)，其真正目的則是實(shí)現(xiàn)數(shù)據(jù)的進(jìn)出口自由。即，這些FTA 中的個人信息保護(hù)規(guī)定是為了補(bǔ)充數(shù)據(jù)貿(mào)易這一主要規(guī)定而附屬存在。

盡管如此，CPTPP 和USMCA 就包括個人信息在內(nèi)的信息或數(shù)據(jù)的國際規(guī)則來講還是具有幾點(diǎn)重要意義：首先，CPTPP 和USMCA 作為FTA 包含了個人信息在內(nèi)的信息相關(guān)規(guī)定，從而證明了包括個人信息在內(nèi)的信息保護(hù)和利用在21 世紀(jì)的數(shù)字經(jīng)濟(jì)時代成為更為重要和新的經(jīng)濟(jì)要素。特別是通過FTA 將數(shù)據(jù)的進(jìn)出口作為國際規(guī)范得以保護(hù)和認(rèn)可，這一點(diǎn)對國際貿(mào)易關(guān)系甚至是國際關(guān)系和其規(guī)范的發(fā)展來說具有重大意義。第二，CPTTP 和 USMCA 中關(guān)于信息的規(guī)定對現(xiàn)在進(jìn)行談判的 《跨大西洋貿(mào)易與投資伙伴協(xié)定》和《國際服務(wù)貿(mào)易協(xié)定》中信息相關(guān)規(guī)定也會起到重要影響。第三，1980年OECD 的 《關(guān)于保護(hù)隱私與個人數(shù)據(jù)跨境流動的指南》和1981年歐洲理事會的《108 號公約》通過后，國際上在個人信息的自由流動和個人信息保護(hù)之間形成了牽制和均衡。但是，CPTPP 和USMCA 似乎打破了這種現(xiàn)狀，在某種意義上其單方面強(qiáng)調(diào)了包括個人信息在內(nèi)的信息的自由流動和利用。這可以說明在FTA 中對個人信息做出規(guī)定時的局限性，因?yàn)槠洚吘故菍⑸唐泛头?wù)的自由貿(mào)易放在優(yōu)先地位。第四，CPTPP 和 USMCA 的有關(guān)數(shù)據(jù)貿(mào)易的規(guī)定得到個人信息保護(hù)相關(guān)規(guī)定和網(wǎng)絡(luò)安全相關(guān)規(guī)定的補(bǔ)充。作為數(shù)據(jù)貿(mào)易對象的信息中包含了個人信息，因此，CPTPP 和USMCA 中包含了有關(guān)個人信息的規(guī)定，數(shù)據(jù)貿(mào)易則通過網(wǎng)絡(luò)空間進(jìn)行，因此，為了數(shù)據(jù)貿(mào)易在網(wǎng)絡(luò)空間不受到其他侵害，規(guī)定了網(wǎng)絡(luò)安全合作規(guī)定。這樣，將數(shù)據(jù)貿(mào)易、個人信息保護(hù)和網(wǎng)絡(luò)安全的規(guī)定捆綁在一起的模式，也向我們提示了有關(guān)網(wǎng)絡(luò)空間利用的國際規(guī)范之方向。第五，世界上的主要各國都在積極推進(jìn)的數(shù)字貿(mào)易以及成為其核心的數(shù)據(jù)相關(guān)國際規(guī)范包含在CPTPP 和USMCA 中的現(xiàn)象可以看作是有關(guān)數(shù)據(jù)貿(mào)易的國際規(guī)范正式出臺。以后在FTA 等有關(guān)貿(mào)易的協(xié)定中將會有更多的與個人信息等信息跨境流動有關(guān)的內(nèi)容，從而使得數(shù)據(jù)貿(mào)易成為繼商品和服務(wù)自由貿(mào)易之后又一新的重要領(lǐng)域。［8］