鄭玲麗

（南京師范大學法學院，江蘇 南京 210046）

由于WTO電子商務談判前景不明，區(qū)域貿(mào)易協(xié)定（Regional Trade Agreements，以下簡稱RTAs）已然成為試圖解決“與貿(mào)易相關電子商務法律問題”（Trade Related E-commerce Legal Issues）的試驗田?！犊缣窖蠡锇殛P系協(xié)定》（Trans-Pacific Partnership Agreement，以下簡稱TPP）作為第一個將電子商務納入談判議題的新型RTA，其生效和實施對亞太區(qū)域乃至多邊跨境電子商務的發(fā)展有著至關重要的影響。美國2017年退出TPP后，其余11個締約方在2018年3月8日簽署了《跨太平洋伙伴關系全面漸進協(xié)定》（CPTPP）。①Comprehensive and Progressive Agreement on Trans Pacific Partnership[EB/OL]. 2017, https://www.mfat.govt.nz/assets/CPTPP/Comprehensive-and-Progressive-Agreement-for-Trans-Pacific-Partnership-CPTPP-English.pdf.[2018-08-10](2019-04-20).CPTPP是一個“21世紀”的貿(mào)易協(xié)定，將比重商主義和實用主義的WTO協(xié)定更符合當代國際貿(mào)易現(xiàn)實。②Mira, Burri. The Regulatory Framework for Digital Trade in the Trans-Pacific Partnership Agreement[C]. in Pedro,Roffe and Xavier, Current Alliances in International Intellectual Property Lawmaking: The Emergence and Impact of Mega-Regionals, Seuba, Geneva/Strasbourg: ICTSD and CEIPI, 2017.此外，2018年9月30日，美國、墨西哥和加拿大達成《美墨加貿(mào)易協(xié)定》（The United States-Mexico-Canada Agreement，以下簡稱USMCA），修改和替代《北美自由貿(mào)易協(xié)定》（NAFTA）。新協(xié)議數(shù)字貿(mào)易章節(jié)頗具特色。以美式FTA電子商務條款為基礎的電子商務規(guī)則在某種程度上將成為國際電子商務立法領域的標桿和范本。CPTPP電子商務規(guī)則和USMCA數(shù)字貿(mào)易規(guī)則中禁止數(shù)據(jù)本地化的立法模式將對未來RTAs電子商務談判和規(guī)則制定產(chǎn)生深遠影響。

一、數(shù)據(jù)本地化的緣起與現(xiàn)狀

隨著越來越多的電子商務模式和實踐轉移到數(shù)字平臺，數(shù)據(jù)在國際范圍內(nèi)越來越多地共享和交換，其與跨境電子商務的關系也越來越密切。由于數(shù)據(jù)是在全球基礎上由眾多締約方收集、數(shù)字化、存儲和移動，因此有關數(shù)據(jù)的域內(nèi)限制措施和法律規(guī)定直接影響跨境電子商務的發(fā)展。面對數(shù)據(jù)安全和隱私的擔憂，世界各國許多立法機構都在轉向實施數(shù)據(jù)本地化措施。

數(shù)據(jù)本地化（Data Localization）有兩層含義。第一，是指各國政府強制互聯(lián)網(wǎng)主機將本國互聯(lián)網(wǎng)用戶的數(shù)據(jù)存儲在該國政府管轄范圍內(nèi)的服務器上(本地化數(shù)據(jù)托管)。存儲在本地管轄區(qū)內(nèi)的數(shù)據(jù)可以是數(shù)據(jù)的唯一副本，也可以是發(fā)送到另一個管轄區(qū)內(nèi)存儲或處理的數(shù)據(jù)本地副本。第二，即各國政府強制互聯(lián)網(wǎng)服務提供商通過僅位于其管轄范圍內(nèi)的網(wǎng)絡在其管轄范圍內(nèi)的互聯(lián)網(wǎng)用戶之間發(fā)送數(shù)據(jù)包(本地化數(shù)據(jù)路由器)（陳寰琦等，2019）。本文只討論第一類數(shù)據(jù)本地化。

世界各國針對數(shù)據(jù)本地化采取了一系列不同政策措施，主要分為兩大類：

（1）反對數(shù)據(jù)本地化政策。發(fā)達國家認為，數(shù)據(jù)本地化是數(shù)字貿(mào)易的大敵，跨境信息傳輸中的數(shù)據(jù)存儲設施本地化要求是阻礙發(fā)達國家電子商務發(fā)展的重要因素（陳詠梅等，2017）。以美國為首的國家強烈反對數(shù)據(jù)本地化，認為數(shù)據(jù)本地化政策是一種“有害的非關稅壁壘形式，它損害了數(shù)字貿(mào)易的增長”（洪延青等，2018），可能構成數(shù)字貿(mào)易壁壘，會導致互聯(lián)網(wǎng)的“巴爾干化”（Balkanization of the Internet）。①Albright Stonebridge Group. Data Localization: A Challenge to Global Commerce and the Free Flow of Information[EB/OL]. http://www.albrightstonebridge.com/files/ASG Data Localization Report September 2015.pdf,[2015-09-20](2020-03-18).美國政府大力推動新一代RTAs跨境電子商務規(guī)則，全面禁止計算設施本地化，禁止強制公開源代碼，從而在區(qū)域法治層面限制其他國家實施數(shù)據(jù)本地化的努力。鑒于在全球層面就跨境電子商務問題達成協(xié)議困難重重，新一代RTAs中禁止數(shù)據(jù)本地化條款將產(chǎn)生規(guī)則溢出效應，受影響國家的數(shù)量和范圍都有所增加。

（2）支持數(shù)據(jù)本地化政策。中國等為數(shù)不少的國家則堅持數(shù)據(jù)本地化，理由如下：首先，數(shù)據(jù)本地化提供了更好的針對外國情報機構的信息安全；其次，數(shù)據(jù)本地化保護公民數(shù)據(jù)的隱私和國家安全；再次，數(shù)據(jù)本地化支持地方執(zhí)法。

2018年美國《國家貿(mào)易評估報告》詳細列舉了主要國家的數(shù)字貿(mào)易壁壘措施：中國、印度尼西亞、尼日利亞、俄羅斯、土耳其、越南等對跨境數(shù)據(jù)流動的限制和數(shù)據(jù)本地化要求，中國和泰國的網(wǎng)絡過濾和屏蔽，韓國對基于位置的數(shù)據(jù)跨境傳輸限制等。①2018 Fact Sheet: Key Barriers to Digital Trade[EB/OL], https://ustr.gov/about-us/policy-offices/press-office/factsheets/2018/march/2018-fact-sheet-key-barriers-digital. [2018-03-15] (2020-03-22).

二、數(shù)據(jù)本地化與隱私保護案例述評

最近在歐盟法院和美國聯(lián)邦最高法院裁決的兩起數(shù)據(jù)隱私訴訟案，雖然沒有直接創(chuàng)立數(shù)據(jù)本地化法律制度，但突出了美國和歐盟在數(shù)據(jù)隱私方面不可調和的不同做法，并排除了有效的跨境數(shù)據(jù)傳輸路徑，使得數(shù)據(jù)本地化成為僅存的彈性解決方案。

（一）數(shù)據(jù)保護署專員訴施雷姆斯案

跨境數(shù)據(jù)傳輸分為兩類：商業(yè)傳輸和執(zhí)法傳輸。商業(yè)數(shù)據(jù)傳輸首先在數(shù)據(jù)保護署專員訴施雷姆斯案（Data Protection Commissioner v. Schrems I，以下簡稱Schrems I）②S[2016] IEHC 414 (Hi. Ct.) (Ir.).中受到質疑。

2014年，奧地利律師馬克西米利安·施雷姆斯(Maximillian Schrems)向愛爾蘭數(shù)據(jù)保護署(DPA)提交了一份針對Facebook愛爾蘭子公司的指控，稱根據(jù)歐盟法，美國法律未能對美國的大規(guī)模監(jiān)控提供足夠的數(shù)據(jù)保護。③See Written Observations of Applicant 21-23, Case C-362/14, Schrems I, 2014 E.C.R. 6[EB/OL], http://www.europe-v-facebook.org/CJEU_subs.pdf. [2014-08-26] (2020-03-24).施雷姆斯的指控是直接響應斯諾登事件，他認為Facebook與美國國家安全局棱鏡項目合作，涉嫌違反1988年和2003年《歐盟數(shù)據(jù)保護指令》（EU Data Protection Directive）及2000年《安全港決議》（EU-U.S. Safe Harbor Agreement）。④Commission Decision of 26 July 2000 Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of the Protection Provided by the Safe Harbor Privacy Principles and Related Frequently Asked Questions Issued by the US Department of Commerce, 2000 O.J. (L 215), p.7~47.在初級法院失利后，施雷姆斯上訴至愛爾蘭高等法院。該院經(jīng)司法審查發(fā)現(xiàn)，一旦個人數(shù)據(jù)被轉移到美國，美國國家安全局和聯(lián)邦調查局能夠通過大量不加選擇的監(jiān)測和搜集數(shù)據(jù)訪問個人信息。雖然該院承認這種行為違反了愛爾蘭的憲法和數(shù)據(jù)保護法，但這個問題最終涉及歐盟法的解釋和適用，因此將案件提交給歐盟法院。

在分析施雷姆斯的訴訟請求時，歐盟法院全面審查了《安全港協(xié)議》與《歐盟數(shù)據(jù)保護指令》。歐盟法院認為，美國法律沒有提供基本上相當于歐盟法的足夠程度的保護，因為美國政府允許普遍獲取電子信息，而沒有提供救濟機制。⑤Schrems I, 2014 E.C.R. 81~82, 93, 95; Charter of Rights, Article. 7.2015年10月6日，歐盟法院推翻了《安全港協(xié)議》作為從歐盟向美國轉移數(shù)據(jù)的有效法律依據(jù)的規(guī)定。①McCann, Fitzgerald. Commercial Court Affirms Legal Principles on Admission of an Amicus Curiae, Lexology[EB/OL] https://www.lexology.com/library/detail.aspx?g=8be84b34-c0b7-4a66-9542-fdde0db0e269. [2016-08-03](2020-03-26).本案裁決的直接后果是，安全港制度下所有從美國轉移到歐盟的數(shù)據(jù)將違反《歐盟數(shù)據(jù)保護指令》。②See Communication from the Commission to the European Parliament and the Council on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14 (Schrems), at 4 COM (2015) 566 final.安全港制度的失效造成了法律上的不確定性和新制度安排的必要性。然而,該指令仍然允許公司使用標準合同條款（Standard Contract Clauses,以下簡稱SCCs）或其他減損（例如同意）作為可替代數(shù)據(jù)轉移機制，直至歐美《隱私盾協(xié)議》（EU-U.S. Privacy Shield）③EU-U.S. Privacy Shield Framework Principles Issued by the U.S. Department of Commerce[EB/OL]. https://www.privacyshield.gov/servlet/ servlet.FileDownload?file=015t00000004qAg. (2020-03-26).出臺。該協(xié)議旨在糾正Schrems I所述的問題，并允許公司自行證明其遵守了《隱私盾協(xié)議》中隱私保護原則的承諾。2016年7月12日，歐盟委員會(European Commission)發(fā)布了關于《隱私盾協(xié)議》的決定，認為新的框架確保了對跨境數(shù)據(jù)傳輸?shù)淖銐虮Ｗo。④See Commission Implementing Decision of July 12, 2016. Pursuant to Directive 95/46/EC of the European Parliament and of the Council on the Adequacy of Protection Provided by the EU-U.S. Privacy Shield, art. 1, 13,C (2016) 4176 final[EB/OL]. http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacydecision_en.pdf. [2016-07-12] (2020-03-29).雖然該決定受到了美國和歐盟企業(yè)的歡迎，但《隱私盾協(xié)議》卻遭到了廣泛批評。雖然《隱私盾協(xié)議》為公司提供了一種證明采取了足夠安全防護措施的機制，但僅適用于美國聯(lián)邦貿(mào)易委員會管轄范圍內(nèi)的公司。不在此管轄范圍內(nèi)的公司一般依據(jù)《歐盟數(shù)據(jù)保護指令》第26(2)條所規(guī)定的提供充分數(shù)據(jù)轉移基礎的SCCs。然而，在下文討論的Schrems II中，施雷姆斯對這些條款是否適當提出了質疑。

繼Schrems I之后，施雷姆斯向DPA提交了第二份投訴，質疑SCCs的有效性，該案被稱為“Schrems II”。DPA根據(jù)《歐盟數(shù)據(jù)保護指令》對美國法律的充分性進行調查。最后結論是，雖然它對《歐盟憲章》所載條款的有效性提出質疑，但在愛爾蘭高等法院或歐洲高等法院就這些條款的有效性作出裁決之前，它無法作出最后決定。⑤Draft Decision of the Data Protection Commissioner 62, Schrems II, [2016] IEHC 414 (Hi. Ct.) (Ir.) (No. 4809P)愛爾蘭高等法院審理了該案件，并審查了DPA的決定。最后，愛爾蘭高等法院同意DPA就SCCs的有效性所作的裁決。然而，愛爾蘭高等法院也發(fā)現(xiàn)自己受到司法管轄的約束，因為撤銷案件將等于默認SCCs的存在。2017年10月3日，愛爾蘭高等法院正式將Schrems II提交給歐盟法院，對SCCs的有效性進行初步裁定。⑥See Commission Decision 2011/497/EC of June 2001, 2001 O.J. (L 181) 19; Commission Decision 2004/915/EC of 27 December 2004, 2004 O.J. (L 385) 74; Commission Decision 2010/87/EU of 5 February 2010, 2010 O.J.(L39) 5.鑒于88%的公司使用SCCs將個人數(shù)據(jù)從歐盟轉移到美國，此案審理結果將受到密切關注。⑦Lee, Matheson. Understanding“Schrems 2.0”IAPP[EB/OL]. https://iapp.org/news/a/understandingschrems-2-0. [2017-10-03] (2020-04-01).

（二）美國訴微軟公司案

影響用戶數(shù)據(jù)跨境傳輸?shù)牧硪坏湫桶咐敲绹V微軟公司案（United States v.Microsoft Corp.）。①Andrew, Keane Woods. A Primer on Microsoft Ireland, the Supreme Court’s Extraterritorial Warrant Case[EB/OL].https://www.lawfareblog.com/primer-microsoft-ireland-supreme-courtsextraterritorial-warrant-case. [2017-10-16](2020-04-02).此案關鍵爭議點在于：根據(jù)1986年美國《存儲通信法案》（the Stored Communications Act，SCA），美國政府的搜查令是否能要求通信服務商提交存儲在美國境外的數(shù)據(jù)？

2013年12月，美國聯(lián)邦調查局（FBI）向紐約南區(qū)聯(lián)邦地方法院申請搜查令，要求微軟公司披露所有客戶賬戶相關的電子郵件和其他信息。聯(lián)邦執(zhí)法人員已經(jīng)證明有足夠的理由相信該賬戶被用于進一步的非法毒品交易，但該用戶的數(shù)據(jù)僅存儲在位于愛爾蘭都柏林的微軟數(shù)據(jù)中心。微軟公司披露了搜查令中要求的所有其他信息，但請求地方法官撤銷有關都柏林存儲的用戶數(shù)據(jù)的搜查令，理由是1986年《存儲通信法案》沒有授權聯(lián)邦法院強制執(zhí)行已存儲在美國境外的數(shù)據(jù)，即堅持“數(shù)據(jù)存儲地標準”。紐約南部巡回法院駁回了這個論點，認為《存儲通信法案》授權地方法院對“存儲在國外服務器上的信息”發(fā)出搜查令。地方法官認為，相關的執(zhí)行地是政府審查內(nèi)容所在地美國，而不是內(nèi)容存儲所在地愛爾蘭，即堅持“數(shù)據(jù)控制者標準”。微軟公司立即上訴。

紐約第二巡回上訴法院推翻了初審裁決，并裁定《存儲通信法案》不能授權強制執(zhí)行美國服務供應商已存儲在外國的數(shù)據(jù)。②Warrant to Search a Certain E-Mail Account Controlled & Maintained by Microsoft Corp., 15 F. Supp. 3d at 222.第二巡回法院確定《存儲通信法案》的主要焦點是存儲通信的隱私，因此，法院應適用侵犯隱私發(fā)生地法。由于對用戶隱私的實際侵犯發(fā)生在愛爾蘭數(shù)據(jù)中心（Irish Data Center），法院裁定將適用愛爾蘭法律，而不是美國法律。2017年10月16日，最高法院批準調審此案。③United States v. Microsoft Corp., 138 S. Ct. 356 (2017).那么，根據(jù)《美國聯(lián)邦法典》（U.S.C）第18卷第2703節(jié)的規(guī)定，即使電子郵件記錄僅存儲在美國境外，被送達的電子郵件供應商是否也必須向聯(lián)邦政府提供電子郵件？

2018年3月23日，美國國會制定并簽署了《明確合法海外使用數(shù)據(jù)法案》（the Clarifying Lawful Overseas Use of Data Act，CLOUD Act；以下簡稱《云法案》）。《云法案》④《云法案》第103條(a)款(1)款加入以下條文：“無論通信、記錄或其他信息是否存儲在美國境內(nèi)，服務提供者均應當按照本章所規(guī)定的義務要求，保存、備份、披露通信內(nèi)容、記錄或其他信息。”修正了《存儲通信法案》，明確采納了“數(shù)據(jù)控制者標準”，只要數(shù)據(jù)在美國的數(shù)據(jù)控制者手中，默認的情況是美國政府能夠直接從全球各地調取，僅在少數(shù)情況下是例外，而且例外的大小寬窄均由美國法院單獨裁量決定（王亮，2016）。

根據(jù)最新法案，美國政府新頒布了一個搜查令。鑒于本案雙方同意搜查令以新代舊，且雙方對獲準調查的問題沒有任何實際爭議，最高法院認為此案已變得毫無意義。2018年4月17日，最高法院判決發(fā)回美國第二巡回上訴法院重審。雖然評論人士傾向于認為美國法院會站在美國政府一邊，但是這對雙方都有不利的影響。①Jennifer, Daskal. There’s No Good Decision in the Next Big Data Privacy Case[EB/OL]. N.Y. TIMES. https://www.nytimes.com/2017/10/18/opinion/data-abroad-privacycourt.html. [2017-10-18] (2020-04-04).另外，美國法院的判決可能會減損美國在Schrems II上的首戰(zhàn)告捷效果，因為美國政府將對歐盟居民適用美國法，而不是歐盟法，從而增加美國執(zhí)法部門可以不受限制地訪問歐盟用戶數(shù)據(jù)的印象。

（三）綜合點評

上文第一起案件限制了出于商業(yè)目的的用戶數(shù)據(jù)跨境移動，而第二起案件可能會限制執(zhí)法部門訪問美國公司在外國持有的用戶數(shù)據(jù)。然而這兩起案例有兩個關鍵聯(lián)系點。首先，對于公司遵守國內(nèi)法院的命令持有的數(shù)據(jù)，公司必須將數(shù)據(jù)從外國轉移到美國，以便向美國執(zhí)法部門披露信息。如果數(shù)據(jù)存儲在歐盟，則此傳輸將自動涉及適用《隱私盾協(xié)議》、SCCs或其他傳輸工具。其次，由于微軟公司案也影響了美國執(zhí)法部門獲取用戶數(shù)據(jù)的范圍，因此該判決將被納入歐盟法院在Schrems II中的判決，對《隱私盾協(xié)議》也構成挑戰(zhàn)，最終都將要求企業(yè)數(shù)據(jù)本地化，以確保遵守事實上的數(shù)據(jù)本地化制度。

概括而言，這兩個案例將以兩種方式推進數(shù)據(jù)本地化：（1）取消用于商業(yè)數(shù)據(jù)傳輸?shù)暮戏缇硵?shù)據(jù)傳輸機制；（2）為執(zhí)法目的分配數(shù)據(jù)的領域。Schrems I 和Schrems II本身就強調了歐盟和美國在隱私保護方面的根本差異，并明確指出美國的做法不當，從而促進了數(shù)據(jù)本地化。此外，由于SCCs和《隱私盾協(xié)議》均以相同的充分性標準為基礎，因此，SCCs的失效亦會增加《隱私盾協(xié)議》面臨的挑戰(zhàn)，并使歐盟法院難以支持后者的體系。因此，盡管美國在《安全港協(xié)議》失效后做出了一些改變，但如果SCCs和《隱私盾協(xié)議》進一步失效，將表明美國和歐盟之間的隱私保護差異是不可調和的。微軟公司案進一步推動了數(shù)據(jù)本地化的趨勢，因為它確保了數(shù)據(jù)所在地法律限制執(zhí)法部門訪問這些數(shù)據(jù)。綜上所述,兩起案例有效地在無國界的網(wǎng)絡中設立了領土邊界，限制了企業(yè)跨境傳輸和接收數(shù)據(jù)的能力，也限制了執(zhí)法機構訪問數(shù)據(jù)。

如果歐盟法院認定SCCs和《隱私盾協(xié)議》無效，美國可以有兩個選擇：（1）通過立法加強隱私保護以滿足歐盟標準；（2）對數(shù)據(jù)進行本地化。在歐美《隱私盾協(xié)議》談判中，美國修改了許多法律，并實施了各種保護措施，以加強對歐盟公民數(shù)據(jù)的隱私保護。考慮到美國政府已做出改變的程度，國會似乎不太可能立法加強隱私保護。此外，正如DPA委員在Schrems II中的決定草案所反映的那樣，幾個有爭議的問題涉及關鍵的憲法分歧，如第三條的立場。①McCann, Fitzgerald. Commercial Court Affirms Legal Principles on Admission of an Amicus Curiae,Lexology[EB/OL], https://www.lexology.com/ library/detail.aspx?g=8be84b34-c0b7-4a66-9542-fdde0db0e269[2016-08-03] (2020-04-05).針對美國判例這些長期存在的原則，歐盟向美國發(fā)出了最后通牒，要求美國要么調整美國法律的基本原則，要么不要轉移數(shù)據(jù)。因此，美國能否在不推翻數(shù)十年法律先例的情況下，在談判桌上做出更多讓步，的確讓人疑竇叢生。

此外，從國家安全角度來看，美國的讓步都將使美國受到比歐盟更大的限制。例如，在Schrems I之后，美國修訂了《外國情報監(jiān)聽法》（Foreign Intelligence Surveillance Act，F(xiàn)ISA）。這些保護措施與歐盟指令和GDPR所提供的保護措施相當，甚至超過后者。

三、CPTPP和USMCA對數(shù)據(jù)本地化的限制及例外

在電子商務時代，數(shù)據(jù)為王。但與此同時，在數(shù)據(jù)本地化、隱私保護、法律適用與管轄權等法律問題上，歐美和其他國家各持己見。根據(jù)UNCTAD調查顯示，截至2016年4月，全球已有108個國家制定了數(shù)據(jù)保護法規(guī)，但仍有30%的國家尚未出臺相關法律。透過國際貿(mào)易法中圍繞各國在數(shù)據(jù)本地化問題上的紛爭，折射出不同國家在數(shù)據(jù)流動監(jiān)管乃至數(shù)據(jù)主權上的分歧和博弈。

在TPP談判中，美國為維護本國企業(yè)在全球數(shù)字貿(mào)易中的競爭優(yōu)勢，主張不受限制的跨境數(shù)據(jù)傳輸；而澳大利亞、新西蘭、馬來西亞和越南等國則強調必要的數(shù)據(jù)審查和個人信息保護，主張在跨境數(shù)據(jù)流動監(jiān)管方面賦予政府更多的自由裁量權。由于美國極力倡導貿(mào)易數(shù)據(jù)的跨境自由流動，推動TPP成為第一個在“電子商務”章節(jié)中納入具有約束力的規(guī)制跨境數(shù)據(jù)流動的自由貿(mào)易協(xié)定（王利明，2012）。

（一）禁止計算設施本地化和禁止強制公開源代碼

CPTPP第14.13條禁止強制計算設施本地化，使用了與跨境數(shù)據(jù)傳輸相同的例外條款，都是基于“合法公共政策目標”（legitimate public policy objective）的例外，即隱私和基本安全。但無論是依條約上下文還是語義解釋，均無法對隱私和基本安全的含義做出恰如其分的解釋，因此這些例外情形使得CPTPP禁止數(shù)據(jù)本地化條款的范圍和可操作性變得不確定、不可預測。CPTPP第14.17條禁止強制公開源代碼，但只適用于“大眾市場軟件或包含這種軟件的產(chǎn)品”（mass-market software or products）。②CPTPP協(xié)定第14.17條第2款。因為關鍵定義沒有界定，該條同樣產(chǎn)生了很大的不確定性。

USMCA第19.12條①USMCA第19.12條規(guī)定：“任何一方均不得禁止或限制通過電子手段跨境傳輸信息，包括個人信息，如果該活動是為所涵蓋人員的業(yè)務行為而進行。”則更進一步將CPTPP第14.11（2）條②CPTPP第14.11（2）條規(guī)定：“當通過電子方式跨境傳輸信息是為涵蓋的人執(zhí)行其業(yè)務時，締約方應允許此跨境傳輸，包括個人信息?！卑l(fā)展為一項措辭強硬的禁止性聲明。除此之外，根據(jù)USMCA第17.20條，任何一方不得要求涵蓋的人使用或定位計算設施作為開展業(yè)務的條件，只要該締約方進入監(jiān)管當局的監(jiān)管或監(jiān)督的目的在于直接完成或正在進行的信息獲取位于處理或存儲在計算設施外的人使用或定位的領域。一刀切地禁止強制計算設施本地化將對締約方互聯(lián)網(wǎng)行業(yè)的發(fā)展造成不公平競爭的局面。盡管市場力量幫助塑造了不平等的程度，但國家政策塑造了那些市場力量（王蕊，2016）。

CPTPP電子商務章節(jié)乃至USMCA數(shù)字貿(mào)易章節(jié)均明令禁止計算設施本地化和禁止強制公開源代碼，對金融服務和機構的本地化措施禁令有所放寬，政府采購也被排除在外，從而反映了美式FTA電子商務章節(jié)少有的“硬法”特色。美國勢必會在日后的區(qū)域及多邊規(guī)則的談判中引入這一規(guī)則，對發(fā)展中國家的數(shù)據(jù)主權構成嚴峻的挑戰(zhàn)。這些“硬核”條款在一定程度上是針對那些對美國現(xiàn)有企業(yè)構成重大競爭威脅的發(fā)展中國家，特別是中國（張子源譯，2013）。這是中國在最近的FTA談判中開始重視電子商務議題的原因之一（Avril，2002）。

（二）保護個人信息與隱私

雖然關于個人信息權的定義存在不同觀點，但不能否認個人信息屬于個人隱私的范疇。在FTA中最具政治敏感性和技術挑戰(zhàn)性的問題之一就是個人隱私，包括通過電子手段跨境傳輸信息、計算設施的使用和位置以及個人信息保護。③Robert, Wolfe. Learning about Digital Trade: Privacy and E-commerce in CETA and TPP[EB/OL], EUI Working Paper RSCAS 2018/27. https://ssrn.com/abstract=3188158. [2018-05-01] (2020-04-06).

CPTPP過度降低隱私和數(shù)據(jù)保護標準，④CPTPP第14.8（2）條規(guī)定：“每一締約方應采取或維持保護電子商務用戶個人信息的法律框架。在建立對個人信息保護的法律框架過程中，每一締約方應考慮相關國際機構的原則和指導方針?！痹摋l注釋規(guī)定：“為進一步明確，一締約方可通過采取或維持措施，如保護隱私、個人信息或個人數(shù)據(jù)的綜合性法律，涉及隱私的部門法律，或規(guī)定企業(yè)對隱私做出自愿承諾實施的法律，以符合本款規(guī)定的義務?！币呀?jīng)在國外學術界備受詬病。在個人信息保護的不同體制間，CPTPP鼓勵“締約方增強不同體制的兼容性，包括對監(jiān)管結果的認可，無論該認可是自主給予還是通過共同安排，或是通過更廣泛的國際框架。”⑤CPTPP第14.8（5）條。

USMCA第19.8條共有6款對“個人信息保護”做出了具體規(guī)定，且參照了《APEC隱私框架》和2013年《OECD隱私保護和個人數(shù)據(jù)跨境流動指南》。美國并沒有象以往所簽訂的RTAs（如TPP第14.13條）那樣在USMCA中對“數(shù)據(jù)存儲非強制本地化”設置例外條款。相對于CPTPP而言，USMCA對個人信息保護設置了“武裝到牙齒”的法律條款，并提高了國內(nèi)保護標準。

（三）合法的公共政策目標例外

CPTPP電子商務章節(jié)和USMCA數(shù)字貿(mào)易章節(jié)旨在促進國際貿(mào)易自由化的措施與締約國為實現(xiàn)合法公共政策目標（如保護人權、環(huán)境、公共健康、公共道德和文化等）而進行監(jiān)管的主權之間試圖達成平衡。

CPTPP在其電子商務章節(jié)中納入了合法公共政策目標例外條款，包括第14.11（3）條通過電子方式跨境傳輸信息例外條款①CPTPP第14.11（3）條規(guī)定：“本條不得阻止締約方為實現(xiàn)合法公共政策目標而采取或維持與第2款不符的措施，條件是該措施：（a）不得以構成任意或不合理歧視的方式適用，或對貿(mào)易構成變相限制；及（b）不對信息傳輸施加超出實現(xiàn)目標所需要的限制?！焙偷?4.13（3）條計算設施的位置例外條款。②CPTPP第14.13（3）條規(guī)定：“本條不得阻止締約方為實現(xiàn)合法公共政策目標而采取或維持與第2款不符的措施，條件是該措施：（a）不得以構成任意或不合理歧視的方式適用，或對貿(mào)易構成變相限制；及（b）不對計算設施的使用或位置施加超出實現(xiàn)目標所需要的限制。”雖然這兩個例外規(guī)定在很大程度上反映了GATS第14條的規(guī)定，但將其擴大到所有“合法的公共政策目標”，反映了CPTPP締約方對GATS例外規(guī)定中可能適用的公共政策措施的潛在范圍有限的擔憂。③Aaditya, Mattoo, Joshua, P. Meltzer, International Data Flows and Privacy: The Conflict and Its Resolution[R],World Bank Policy Research Working Paper 8431, 2018.

而USMCA取消了這些豁免，導致對簽署國的要求更加嚴格。根據(jù)USMCA附件19-A，USMCA第19.17條受第32.1條“一般例外”和GATS第14（a）條“公共道德例外”約束。正如Jacqueline所指出：“在這方面，USMCA在計算設施上的立場更加嚴格，其簡化的語言允許的例外空間更小?！雹躂acqueline, Yin. Cross-Border Data Continues to Flow under the USMCA[EB/OL], http://www.project-disco.org/21st-century-trade/100518-cross-border-data-under-the-usmca/. [2018-10-05] (2020-04-06).

從CPTPP乃至USMCA合法的公共政策目標例外條款可以看出，新一代巨型FTA立法導向仍然是貿(mào)易至上，極力推動貿(mào)易自由化，而對締約國公共政策目標予以“合法的”彈性條款進行平衡。這種“合法的”公共政策目標例外條款為今后貿(mào)易與公共政策例外爭端埋下伏筆。維持區(qū)域貿(mào)易協(xié)定中數(shù)字貿(mào)易自由化和合法的公共政策目標間的平衡面臨著獨特的挑戰(zhàn)，因為數(shù)字產(chǎn)業(yè)內(nèi)在的某些特性和數(shù)字市場上的商務規(guī)則會引發(fā)嚴重的反競爭問題。

四、區(qū)域貿(mào)易協(xié)定的數(shù)據(jù)本地化規(guī)則與例外發(fā)展態(tài)勢

美國原則上容忍了歐盟基于數(shù)據(jù)本地化的保護立法，并積極與歐盟執(zhí)法機關之間開展必要的合作，以保障本國企業(yè)在歐盟數(shù)據(jù)市場的地位。但與此同時，美國非常重視加強RTAs層面對數(shù)據(jù)的掌控，美國訴微軟公司案直接推動了美國國內(nèi)法的修訂。

跨境數(shù)據(jù)流動與貨物流動同等重要，貿(mào)易政策制定者必須找到促進這些流動的方法。⑤WTO Public Forum. USTR Froman Warns Poor Countries Would Be the Biggest Losers If Bali Fails[EB/OL]. http://www.wto.org/english/news_e/news13_e/pfor_01oct13_e.htm. [2013-10-01] (2020-04-06).如何在國家數(shù)據(jù)主權、公司利益與用戶隱私安全的沖突之間達成平衡與協(xié)調？又有多少主權國家愿意在多高的透明度水平上放棄多少數(shù)據(jù)流動自由以換取何種水平的隱私安全？到目前為止，CPTPP和USMCA并未澄源正本，厘清數(shù)據(jù)本地化與貿(mào)易壁壘的關系問題。從CPTPP到USMCA，其中關于跨境電子商務最重要的條款——禁止數(shù)據(jù)本地化條款，也是最有可能成為未來貿(mào)易爭端焦點的條款。展望未來RTAs數(shù)據(jù)本地化規(guī)則及其例外條款，應從以下幾個層面規(guī)范數(shù)據(jù)本地化，防范數(shù)字貿(mào)易壁壘：

（1）數(shù)據(jù)本地化規(guī)則適用范圍因數(shù)據(jù)類型不同而異。鑒于網(wǎng)絡空間的無國界性質，在互聯(lián)網(wǎng)上創(chuàng)建、獲取和處理跨境數(shù)據(jù)不可避免產(chǎn)生公共政策影響，“一刀切”的決策是最不可行的。RTAs成員可通過數(shù)據(jù)分類從而將數(shù)據(jù)與處理數(shù)據(jù)的貿(mào)易政策（包括防止數(shù)據(jù)跨邊界移動的決策）耦合起來，在技術上可以對數(shù)據(jù)進行差異處理。①Jatinder, Singh. Seeing through the Clouds: Managing Data Flow and Compliance in Cloud Computing[EB/OL].https://www.cl.cam.ac.uk/research/srg/opera/publications/papers/ 2015ccmagSI.pdf. [2015-01-12] (2020-04-06).根據(jù)數(shù)據(jù)類型，包括通過確保某些類型數(shù)據(jù)的市場準入來進一步開放數(shù)字經(jīng)濟，同時為其他類型的數(shù)據(jù)保留更大的監(jiān)管自主權。例如，可以對數(shù)據(jù)的自由流動作出更多的橫向承諾，即對不與個人或社會數(shù)據(jù)重疊的公司數(shù)據(jù)，在選擇退出的情況下，對市場準入和國民待遇義務作出更多的橫向承諾。這將導致一種允許某些數(shù)據(jù)自由流動的制度。但是，對于國家希望加強國內(nèi)管制的數(shù)據(jù)，例如個人和社會數(shù)據(jù)，可以保留正面清單辦法。

（2）RTAs成員需證明數(shù)據(jù)本地化措施符合“公共政策目標”例外。RTAs電子商務條款規(guī)范了參與跨境電子商務的國家、公司和個人的行為，而貿(mào)易協(xié)定由各國政府主導談判，公司特別是個人的隱私保護和利益訴求容易被忽視。本文上述Schrems I 和Schrems II、美國訴微軟公司案均從司法實踐層面揭示了這一點。由于政府秉承的公共政策目標與公司、個人的利益和立場有差異，防止濫用“公共政策目標”例外條款的最佳方案是參考具有習慣國際法屬性的具有普遍約束力的基本人權標準，如《世界人權宣言》。成員可考慮采用類似于《實施衛(wèi)生與植物檢疫措施協(xié)定》（SPS）的機制，由另一個在公共政策、公共道德問題上有管轄權的國際組織如聯(lián)合國人權委員會制定標準，并在貿(mào)易與公共政策例外爭端產(chǎn)生時將其授權給WTO爭端解決機制予以裁決。在跨境電子商務司法實踐中，援引公共政策例外的主要是隱私和安全問題。聯(lián)合國及其機構可接受并倡導2018年生效的歐盟GDPR隱私保護標準，并在符合1976年生效的《公民權利和政治權利國際公約》（International Covenant on Civil and Political Rights，ICCPR）第17條②《公民權利和政治權利國際公約》第17條規(guī)定：“1.對任何人的隱私、家庭、住宅或通信，不得無理或非法侵擾其名譽及信用，亦不得非法破壞；2.對于此種侵擾或破壞，人人有受法律保護之權利?！被A上，更新數(shù)字時代隱私權的文件。2016年3月8日，聯(lián)合國人權理事會根據(jù)第28/16號決議（“數(shù)字時代的隱私權”），已設立隱私權特別報告制度，調查各國隱私保護狀況。雖然當代政府都把保護人權（特別是公民的安全）作為頭等大事，認為“保護人權本身是不可談判的”，但哪怕是ICCPR在全球也欠缺法律約束力或強制執(zhí)行力。然而，區(qū)域貿(mào)易協(xié)定具有強制約束力和可具體執(zhí)行的承諾，使得它們成為監(jiān)管跨境數(shù)據(jù)流動、保護個人隱私和安全的一個有吸引力的工具。

（3）RTAs成員需證明數(shù)據(jù)本地化措施不構成“數(shù)字保護主義”（Digital Protectionism）或“數(shù)字貿(mào)易壁壘”（Digital Trade Barrier），即不會導致任意的或無理的歧視，也不會對跨境數(shù)據(jù)流動構成變相限制或者扭曲。數(shù)據(jù)本地化措施主要分為3種：強制本地數(shù)據(jù)存儲（Forced Local Data Storage），如中國、俄羅斯和越南；特定部門的數(shù)據(jù)存儲要求（Sector-Specific Data Storage Requirements），如加拿大和澳大利亞；限制數(shù)據(jù)傳輸（Restrictions on Data Transfers），如歐盟。無論成員采取哪種數(shù)據(jù)本地化措施，與其他貿(mào)易保護措施一樣，都要通過“必要性”測試（necessity test）。RTAs可借助WTO“必要性測試”的判例。WTO專家組和上訴機構在最近的案件①Appellate Body Report, European Communities-Measures Prohibiting the Importation and Marketing of Seal Products(hereinafter EC-Seal Products), WT/DS400/AB/R, WT/DS401/AB/R, 18 June 2014, para. 5.210.中認定，根據(jù)GATT第20條，評價一項措施“必要性”的路徑取決于風險的性質、所追求的目標和所尋求的保護水平。問題的關鍵在于數(shù)據(jù)本地化措施與其所依據(jù)的公共政策目標之間的聯(lián)系。②Panel Report, Colombia-Measures Relating to the Importation of Textiles, Apparel and Footwear (hereinafter Colombia-Textiles), WT/DS461/AB/R, 27 Nov. 2015, para. 7.304. Panel Report, Argentina-Measures Relating to Trade in Goods and Services (hereinafter Argentina-Financial Services), WT/DS453/AB/R9, May 2016, para. 7.684.在必要性分析下，數(shù)據(jù)本地化措施的權衡還要考慮是否存在與WTO一致的可替代措施？或者是否有與WTO宗旨目標更符合的合理可行的措施？可替代措施必須前后一致，同時對受質疑的數(shù)據(jù)本地化措施所追求的目標的實現(xiàn)做出同等貢獻。