王籽琀 上海大學(xué)法學(xué)院

一、數(shù)據(jù)本地化措施的新發(fā)展

數(shù)據(jù)跨境流動(dòng)的規(guī)則以及數(shù)據(jù)本地化措施一直是當(dāng)前國(guó)際貿(mào)易法領(lǐng)域亟待解決的問(wèn)題。2020年7月，歐盟法院就Facebook與奧地利隱私活動(dòng)家施雷姆斯一案（以下簡(jiǎn)稱施雷姆斯II案）做出了判決，宣布?xì)W盟與美國(guó)之間用于跨境傳輸數(shù)據(jù)的“隱私盾”協(xié)議無(wú)效，并對(duì)通過(guò)標(biāo)準(zhǔn)合同條款機(jī)制從歐盟向美國(guó)轉(zhuǎn)移個(gè)人數(shù)據(jù)的過(guò)程設(shè)置了重大障礙。[1]早在2015年，歐盟法院即通過(guò)施雷姆斯I案推翻了美國(guó)與歐盟2000年達(dá)成的《安全港協(xié)議》，法院認(rèn)為美國(guó)對(duì)于傳輸?shù)膫€(gè)人數(shù)據(jù)未能提供“充分”的保護(hù)[2]，該案直接導(dǎo)致企業(yè)通過(guò)安全港協(xié)議將歐盟的數(shù)據(jù)傳輸至美國(guó)的行為違反了《歐盟數(shù)據(jù)保護(hù)指令》，并催生了新的跨境傳輸安排——“隱私盾”的出現(xiàn)。

在施雷姆斯II案中，歐盟法院指出，美國(guó)的情報(bào)機(jī)構(gòu)具有不受限制地獲取歐盟公民個(gè)人數(shù)據(jù)的權(quán)力，并且美國(guó)的國(guó)內(nèi)法沒(méi)有給予數(shù)據(jù)主體尋求救濟(jì)的權(quán)利。因而，法院認(rèn)定美國(guó)與歐盟之間的隱私盾協(xié)議未能給予數(shù)據(jù)主體“確?；旧系韧凇稓W盟基本權(quán)利憲章》規(guī)定的保護(hù)水平”。法院還宣布，如果監(jiān)管機(jī)構(gòu)認(rèn)為“根據(jù)轉(zhuǎn)移的所有情況”，數(shù)據(jù)無(wú)法得到適當(dāng)保護(hù)，則標(biāo)準(zhǔn)合同條款下的數(shù)據(jù)傳輸應(yīng)當(dāng)被暫停。目前歐洲大約90%向外的數(shù)據(jù)傳輸流使用的是標(biāo)準(zhǔn)合同條款，大型跨國(guó)公司有能力支付昂貴的法律咨詢來(lái)審查外國(guó)或地區(qū)的國(guó)內(nèi)法是否歐盟要求的保護(hù)水平，但小公司則無(wú)法承受這一過(guò)程的復(fù)雜和成本。因而施雷姆斯II案的判決結(jié)果對(duì)于歐盟境內(nèi)的跨國(guó)企業(yè)產(chǎn)生了極大的不確定性。有學(xué)者將施雷姆斯II案的判決稱之為“軟性數(shù)據(jù)本地化”（“Soft Data Localization”）措施，它沒(méi)有直接要求數(shù)據(jù)或流程的本地化，而是通過(guò)向企業(yè)施壓壓力迫使其轉(zhuǎn)向數(shù)據(jù)本地存儲(chǔ)的做法。近日，愛(ài)爾蘭的數(shù)據(jù)監(jiān)管機(jī)構(gòu)已向Facebook下達(dá)一項(xiàng)初步命令，要求對(duì)方停止通過(guò)標(biāo)準(zhǔn)合同條款將歐盟用戶的相關(guān)數(shù)據(jù)傳輸?shù)矫绹?guó)。施雷姆斯II案以及歐盟監(jiān)管部門的后續(xù)行為盡管凸顯的是美國(guó)與歐盟就隱私保護(hù)方面的矛盾，卻從一個(gè)側(cè)面印證了國(guó)際范圍內(nèi)數(shù)據(jù)本地化措施長(zhǎng)期持續(xù)性，我國(guó)如何應(yīng)對(duì)國(guó)際貿(mào)易框架下數(shù)據(jù)本地化這一新發(fā)展是一個(gè)值得探究的問(wèn)題。

二、中國(guó)的因應(yīng)

（一）完善國(guó)內(nèi)數(shù)據(jù)保護(hù)立法體系

《個(gè)人信息保護(hù)法（草案）》近日首次亮相，它的出臺(tái)標(biāo)志著我國(guó)搭建數(shù)據(jù)出境制度邁出了重要的一步?！毒W(wǎng)絡(luò)安全法》對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者”施加“數(shù)據(jù)本地化措施”的義務(wù)，《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（草案）》對(duì)個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估的工作要求、方法流程、評(píng)估內(nèi)容和結(jié)果判定進(jìn)行了規(guī)范。此次審議的《個(gè)人信息保護(hù)法（草案）》則將所有的個(gè)人信息出境納入調(diào)整范圍。草案在安全評(píng)估的之外，還設(shè)置了保護(hù)認(rèn)證、簽訂合同等路徑。這樣的設(shè)置在一定程度上借鑒了GDPR對(duì)數(shù)據(jù)出境的規(guī)定，可以更好地對(duì)外開展數(shù)據(jù)跨境談判。

由于數(shù)據(jù)本地化措施將在國(guó)際層面長(zhǎng)期存在，我國(guó)應(yīng)該綜合判斷各項(xiàng)價(jià)值追求，平衡好經(jīng)濟(jì)發(fā)展和各項(xiàng)政策目標(biāo)，在未來(lái)出臺(tái)的《個(gè)人信息保護(hù)法》基礎(chǔ)上對(duì)各類數(shù)據(jù)進(jìn)行細(xì)分管理，明確數(shù)據(jù)本地化措施的適用范疇，創(chuàng)新便利我國(guó)企業(yè)跨境數(shù)據(jù)傳輸?shù)姆绞?。?duì)于涉及國(guó)家安全的數(shù)據(jù)，應(yīng)當(dāng)嚴(yán)格禁止出境；對(duì)于涉及個(gè)人隱私的數(shù)據(jù)，應(yīng)當(dāng)允許進(jìn)行一定的技術(shù)處理后進(jìn)行流動(dòng)。

（二）提升國(guó)際治理能力和規(guī)則話語(yǔ)權(quán)

在“電子商務(wù)諸邊談判”中，我國(guó)提案主張數(shù)據(jù)流動(dòng)應(yīng)以安全為前提。同時(shí)因該問(wèn)題的敏感性，建議各成員進(jìn)行更多探索性工作。外界對(duì)此解讀為我國(guó)在WTO電子商務(wù)諸邊談判中將不對(duì)跨境數(shù)據(jù)流動(dòng)和禁止本地化措施進(jìn)行承諾。[3]為防止美歐模板成為國(guó)際貿(mào)易框架下跨境數(shù)據(jù)流動(dòng)規(guī)則的藍(lán)本，中國(guó)作為一個(gè)負(fù)責(zé)任的大國(guó)，不應(yīng)回避數(shù)據(jù)跨境流動(dòng)和數(shù)據(jù)本地化問(wèn)題。

明確我國(guó)的數(shù)字治理規(guī)則，應(yīng)當(dāng)結(jié)合我國(guó)目前的實(shí)際情況，首先，我國(guó)談判的基本立場(chǎng)是將國(guó)家安全利益放在首位，數(shù)據(jù)的跨境流動(dòng)不得威脅到國(guó)家安全，尋求對(duì)于國(guó)家信息安全等利益訴求的國(guó)際普遍共識(shí)；其次，我國(guó)的互聯(lián)網(wǎng)和電商企業(yè)在國(guó)際上有很強(qiáng)的競(jìng)爭(zhēng)力，在海外的發(fā)展上需要有寬松的市場(chǎng)環(huán)境和數(shù)據(jù)流動(dòng)機(jī)制，在參與有關(guān)數(shù)字貿(mào)易多邊協(xié)定時(shí)應(yīng)當(dāng)考慮到我國(guó)企業(yè)的進(jìn)攻利益；最后，廣大發(fā)展中國(guó)家對(duì)于數(shù)據(jù)跨境流動(dòng)規(guī)則和數(shù)據(jù)本地化措施有著相近的立場(chǎng)，我國(guó)應(yīng)該積極發(fā)展數(shù)字貿(mào)易伙伴，參與并制定數(shù)字貿(mào)易的雙邊和區(qū)域協(xié)定，可以通過(guò)與“一帶一路”周邊國(guó)家展開合作，聯(lián)合有共同利益訴求的國(guó)家，向世界展示規(guī)制數(shù)字貿(mào)易和數(shù)據(jù)本地化措施的“中國(guó)方案”。