数据出境的中美博弈

　　数据出境的中美博弈

　　任何成员单方面的自我合规审查，并不等于当然地符合WTO国际规则，为此仍然需要做好必要的应对准备

　　文 《法人》特约撰稿 彭德雷 潘永

　　当前，美国对中国数据出境的相关法律规制极为关切。2017年9月26日，美国就中国已经颁布和即将实施的涉及网络安全的相关“措施”，向WTO服务贸易理事会提出了正式函告（函告编号：S/C/W/374，17-5101）。函告认为，中国的上述措施将对全球尤其是美国的服务贸易提供者产生不利影响。

　　措施（Measures），在WTO规则和实践中是非常重要的一个法律术语。就该函告所涉内容而言，美国质疑的“措施”主要指向是中国的“《国家安全法》《网络安全法》《个人信息和重要数据出境安全评估办法（征求意见稿）》（下称《数据出境安评办法》）和《信息安全技术-数据出境安全评估指南（征求意见稿）》”。从上述分析来看，如果美国政府后续最终在WTO起诉中国，其逻辑应为美国认为上述中国国内相关立法应属WTO规则下的“措施”之列。

　　美国质疑背后的WTO法依据

　　美国本次函告WTO服务贸易理事会，甚至后续向WTO起诉中国，可能从WTO规则体系的以下方面寻找法律依据。

　　首先是《服务贸易总协定》(GATS)项下的国民待遇。

　　关于国民待遇，美国提到“我们注意到，中国在GATS下承担的市场准入和国民待遇的义务”。然而，尽管《网络安全法》和《数据出境安评办法》等或对外国服务提供者产生一定影响，但上述法律并非是针对外商的立法。现有法律、法规中对“网络运营者”的定义是“网络的所有者、管理者和网络服务提供者”，其中并未进行内外资的区分，因此违反“国民待遇”之说，缺乏国际法依据。

　　当然，在个案实施中，中国执法机关仍然有必要根据WTO的非歧视（non-discrimination）原则进行具体评估、做出合法决定。

　　其次是市场准入下“跨境提供”和“商业存在”的义务。

　　在“市场准入”方面，中国相应的承诺是：(1)“跨境提供”的承诺为“没有限制”；(2)“商业存在”的承诺为“允许设立外商独资企业”，总体而言都相对开放。但比较而言，如果将来出现争端，中国在“跨境提供”方面的承诺或更容易被美国利用。

　　在“商业存在”方面，现有关于网络安全的立法并未新设限制外商在该领域的投资，因此难说违反中国在“商业存在”方面的市场准入承诺。通俗地讲，外商仍然可以像以往一样，在中国设立合资或独资企业提供数据服务。

　　第三是TBT协定中措施（技术法规、标准和合格评定程序）的必要性要求。

　　事实上，TBT协定属于WTO货物贸易项下的规则，美国的上述函告从属性上更倾向于服务贸易。但是，随着当前数字贸易（Digital Trade）的发展，在最终产品的表现上却可能出现两者的交叉，就如同一部手机，涵盖“软件和硬件”两个部分。

　　就内容而言，WTO技术贸易委员会（TBT Committee）协定主要是对WTO成员制定技术法规、标准和合格评定程序的约束。例如，第2.2条“各缔约方应保证技术法规的制定、采用或实施在目的或效果上均不会给国际贸易制造不必要的障碍”；第5.1.2条“合格评定程序的制定、采用或实施在目的和效果上不应为国际贸易制造不必要的障碍”等。

　　可见，在TBT协定中，措施的“必要性”是关键。美国提出，中国要求“网络运营者”在进行跨境数据传输时需要获得个人信息主体的同意，这一规定对网络运营者而言义务繁重。按照美国的函告，当前存在更少义务要求的选择以实现隐私保护的目标。例如，APEC跨境隐私规则体系规定的跨境传输的隐私保护制度是网络运营者与第三方订立协议并进行第三方评估等。简言之，目前在美国看来，中国立法中，对“重要数据”以及网络产品的审查似乎难以满足必要性要求。

　　中国立法合规性的WTO法依据

　　目前，中国已经建立了贸易政策合规体系。

　　中国入世后, 由于WTO中国涉诉争端的不断涌现并且不少案例败诉，这使得国家对贸易政策的合规性日益重视。为此，2014年，国务院专门制定了《关于进一步加强贸易政策合规工作的通知》（国办发〔2014〕29号）；与之相适应，商务部2014年制定了《贸易政策合规工作实施办法（试行）》（2014年第86号）。考虑到网络安全立法的重要性，不难想象，相关部门应该已经进行了WTO合规性审查，或者说上述相关立法的出台是经过官方的深思熟虑和论证的。

　　当然，任何成员单方面的自我合规审查，并不等于当然地符合WTO国际规则，为此仍然需要做好必要的应对准备。

　　实际上，关于“重要数据”等概念，亦有上位法依据。

　　包括美国企业等外界观点认为，国家互联网办公室制定的《数据出境安评办法》中的“重要数据”等概念宽泛，甚至超越此前《网络安全法》中的“关键信息基础设施”等概念。但从该评估办法的上位法来看，并非仅是《网络安全法》，还包括《国家安全法》等。其中《国家安全法》第25条规定“国家建设网络与信息安全保障体系，??实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控，??维护国家网络空间主权、安全和发展利益”，这一规定可以看成是该评估办法的上位法渊源之一。

　　将来，如果中美就该议题形成争端，关于“GATS一般例外、安全例外与TBT正当目标”是中国可以援引进行抗辩的重要法律依据。GATS第14 条之一（一般例外）涵盖了“（ⅱ）保护与个人信息处理和传播有关的个人隐私及保护个人记录和账户的机密性；（ⅲ）安全”等例外规定。同时，第14 条之二（安全例外）亦规定“本协定的任何规定不得解释为：（a）要求任何成员提供其认为如披露则会违背其根本安全利益的任何信息”。这些是中国进行抗辩的重要国际法依据。

　　在TBT协定方面，尽管TBT第2.2条规定了“措施的必要性”要求，但同时规定成员在实施正当目标时存在例外，“这里所说的正当目标是指国家安全，防止欺骗，保护人身健康和安全，保护动物植物的生命和健康，保护环境”。这也是中国可以援引的一条重要国际法依据。

　　需要关注的几个WTO经典判例

　　上述是分析主要是从事实和规则的视角进行讨论，但是具体规则适用还需要参考WTO此前的判例，因为对规则的解释路径更多是反应在具体的WTO案例裁判中。对照美国函告服务贸易理事会的内容，以下几个案例的相关裁决值得重点关注，本议题的解决必然绕下述案例所涉及的法律问题。

　　第一个判例是“安提瓜诉美国博彩服务案”（DS285）。

　　本案是WTO上诉机构审理的首起服务贸易争端，案例中对互联网博彩的“跨境提供”以及“公共道德”例外进行了裁判解释。

　　第二个判例是“美国诉中国出版物与音像制品案”（DS363）和“美国诉中国电子支付案”（DS413）。

　　前者涉及GATS一般例外条款 “为保护公共道德所‘必需’”的解释，以及“技术中立”原则的讨论，后者则涉及中国GATS减让表的解释。

　　第三个判例是“乌克兰诉澳大利亚简明香烟包装案件”（DS435、DS441、DS458、DS467）。本案涉及到澳大利亚《简明香烟包装立法》措施的必要性和正当目标抗辩，据悉本裁决将不久公布，该案裁判结果值得我们关注。

　　当前，互联网和大数据催生了许多新兴行业的形成，而1995年达成的GATS协定被有些学者称为是“前互联网时代的产物”，因此对于新行业面临的新问题，不管对于谈判者还是裁判者而言都颇为棘手。当前，由于美国在信息产业和数据处理方面仍然具有很强的实力和优势，其无疑希望该领域的限制越少越好。未来议题的具体走势，还有待观察上述网络安全相关立法的具体实施和个案处理。

　　正如中国驻WTO代表团张向晨大使就涉及本议题在回答国外有关媒体时指出：“贸易保护主义并没有明确的定义，每一个成员国都有在WTO体系中制订贸易政策的合法权利。但至于哪些政策是合法的、哪些不合法，我们需要非常谨慎地讨论这些问题”。同时，按照各成员服务贸易开放“不得倒退”的实践，从中国的视角而言，由于网络信息事关广大民众利益和国家安全，因此必然会谨慎立法。

　　（作者彭德雷系华东理工大学商学院副教授、瑞士伯尔尼大学研究人员；潘永建系通力律师事务所合伙人、律师）