摘要：為了保護隱私權(quán)，歐盟制定了《一般數(shù)據(jù)保護條例》（GDPR），保護個人數(shù)據(jù)和規(guī)范數(shù)據(jù)跨境流動是其兩大目標。為了符合GDPR的要求，非歐盟企業(yè)客觀上只有兩種選擇：要么撤出歐盟市場，要么將數(shù)據(jù)本地化，否則將面臨巨額罰款。實際上，數(shù)據(jù)本地化構(gòu)成了貿(mào)易壁壘，違反了《國際服務(wù)貿(mào)易總協(xié)定》第16和17條。為了促進數(shù)字貿(mào)易，以《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、《歐盟日本經(jīng)濟伙伴關(guān)系協(xié)定》（EPA）和《美墨加協(xié)定》（USMCA）為代表的新型區(qū)域貿(mào)易協(xié)定禁止數(shù)據(jù)中心本地化設(shè)置。為此，歐盟應(yīng)設(shè)法消除任何數(shù)據(jù)本地化要求的可能性，同時應(yīng)設(shè)法完善GDPR下的充分性決定機制。GDPR客觀上對國際服務(wù)貿(mào)易規(guī)則產(chǎn)生了深遠而廣泛的影響。為了因應(yīng)國際服務(wù)貿(mào)易規(guī)則的新發(fā)展，中國應(yīng)引導與推動《服務(wù)貿(mào)易總協(xié)定》（GATS）的改進，加速構(gòu)建促進個人信息保護、數(shù)據(jù)有序流動和保護公共利益相協(xié)調(diào)的新型數(shù)字貿(mào)易規(guī)則；借鑒歐盟與美國締結(jié)的《隱私盾協(xié)議》，與歐盟開展有關(guān)數(shù)據(jù)跨境流動的雙邊協(xié)議談判。

關(guān)鍵詞：數(shù)據(jù)保護；數(shù)據(jù)流動；貿(mào)易壁壘；服務(wù)貿(mào)易；《一般數(shù)據(jù)保護條例》

中圖分類號：F279.33文獻標識碼：A文章編號：1007-8266（2021）04-0093-10

基金項目：福建省高等學校新世紀優(yōu)秀人才支持計劃（閩教科[2018]47號）

一、引言

受歐洲一體化的影響，歐盟在數(shù)據(jù)立法上始終采用綜合性立法方式。從《有關(guān)個人數(shù)據(jù)自動化處理之個人保護公約》到《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》（簡稱《數(shù)據(jù)保護指令》），再到《一般數(shù)據(jù)保護條例》（General Data Protection Reg ulations，GDPR），歷經(jīng)從指導、建議性的軟法規(guī)范到強制性遵從的硬法規(guī)范的過程[ 1 ]。其中，GDPR因其嚴苛的規(guī)定、廣泛的適用范圍、高昂的罰款，被稱為“史上最嚴格的個人數(shù)據(jù)保護法”，對國際貿(mào)易特別是服務(wù)貿(mào)易產(chǎn)生深遠影響。同時，由于GDPR的“長臂管轄”原則，其適用范圍已擴大到非歐盟企業(yè)[ 2 ]。GDPR下的合規(guī)要求對非歐盟企業(yè)產(chǎn)生巨大影響——或?qū)⑦@些企業(yè)排除出歐盟市場，或推動它們在歐盟內(nèi)的任何與數(shù)據(jù)相關(guān)的活動本地化。因此，GDPR阻止了服務(wù)的跨國自由流動，違反了《服務(wù)貿(mào)易總協(xié)定》（General Agreement on Trade in Services，GATS）第16條、第17條。

雖然GDPR旨在保護個人數(shù)據(jù)，但在商務(wù)活動中，將數(shù)據(jù)明顯區(qū)分為個人數(shù)據(jù)與非個人數(shù)據(jù)是很困難的，即使可能，成本也極高。進入后疫情時代，傳統(tǒng)貿(mào)易模式受到很大影響，企業(yè)不能參展，不能出國拜訪，不能地推，轉(zhuǎn)型線上開展國際貿(mào)易已成大勢所趨。商家不可避免地要使用搜索引擎、海關(guān)數(shù)據(jù)、社交媒體、地圖、黃頁等客戶開發(fā)渠道。當客戶在歐盟地區(qū)時，受GDPR的影響與約束將不可避免。

歐盟的這種數(shù)據(jù)監(jiān)管制度與現(xiàn)有的世界貿(mào)易組織規(guī)則，特別是國際服務(wù)貿(mào)易規(guī)則之間存在一定的沖突。世界數(shù)字經(jīng)濟產(chǎn)業(yè)發(fā)展客觀上需要調(diào)整國際貿(mào)易特別是數(shù)字貿(mào)易的新規(guī)則，但世界貿(mào)易組織自2001年開始的多哈回合談判一直處于停滯狀態(tài)[ 3 ]。因此，以GDPR為代表，包括《跨太平洋伙伴關(guān)系全面進步協(xié)定》（Comprehensive and Pro gressive Agreement for Trans- Pacific Partnership，CPTPP）、《歐盟日本經(jīng)濟伙伴關(guān)系協(xié)定》（EU-Ja pan Economic Partnership Agreement，EPA）、《美墨加協(xié)定》（The United States-Mexico-Canada Agree ment，USMCA）的新型區(qū)域貿(mào)易協(xié)定，主導并確立了關(guān)于個人隱私保護、跨境數(shù)據(jù)流動以及推動數(shù)字經(jīng)濟發(fā)展的新型貿(mào)易規(guī)則。中國作為數(shù)字經(jīng)濟大國，應(yīng)正確研判國際貿(mào)易規(guī)則的發(fā)展形勢，把握發(fā)展機遇，提高在多邊、區(qū)域或國際貿(mào)易談判中的話語權(quán)。同時，中國也應(yīng)在不違反國際貿(mào)易規(guī)則的前提下，構(gòu)建促進國家網(wǎng)絡(luò)安全、企業(yè)公平競爭及個人信息保護協(xié)調(diào)發(fā)展的新型數(shù)字貿(mào)易規(guī)則[ 4 ]。

二、GDPR的立法背景與合規(guī)要求

歐盟的數(shù)據(jù)保護立法歷經(jīng)了從指令到法規(guī)的演變過程。與追求跨境數(shù)據(jù)流動高標準的CPTPP和USMCA不同，歐盟的數(shù)據(jù)監(jiān)管制度相對保守，分析GDPR的立法背景，可以看出：歐盟歷來重視保護個人信息權(quán)和隱私權(quán)等權(quán)利，并實施強立法保護模式；歐盟目前沒有大型互聯(lián)網(wǎng)企業(yè)，嚴格的數(shù)據(jù)監(jiān)管制度客觀上有利于抵制美、中等國互聯(lián)網(wǎng)企業(yè)對歐盟市場的侵占，借機培育、發(fā)展歐盟內(nèi)的互聯(lián)網(wǎng)企業(yè)。

（一）GDPR的立法背景

隱私權(quán)是歐盟法律不可分割的一部分，被認為是一項基本人權(quán)?！稓W盟基本權(quán)利憲章》第7條和第8條明文規(guī)定了私人生活、通訊和個人信息保護的權(quán)利。隨著科技的進步，越來越多的日常生活、工作和學習從線下轉(zhuǎn)移到線上，且需要在各種數(shù)字交易平臺中輸入個人信息，由此產(chǎn)生了個人信息泄露的問題。數(shù)字貿(mào)易給人們帶來便利的同時，也帶來了隱私保護和個人數(shù)據(jù)如何合法地收集、處理和流動等問題。早在1980年9月，經(jīng)濟合作與發(fā)展組織（OECD）就發(fā)布了《關(guān)于隱私保護與個人數(shù)據(jù)跨界流動的指導方針》，建立了保護個人數(shù)據(jù)的指南，但指南作為軟法，對成員國并沒有法律約束力。

1995年，歐盟制定了《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》，以規(guī)范個人數(shù)據(jù)的處理及跨境移動。歐盟對數(shù)據(jù)跨境轉(zhuǎn)移進行規(guī)制，是基于以下兩個原因：一是加強保護與個人數(shù)據(jù)相關(guān)的權(quán)利，特別是隱私權(quán)；二是維護歐盟信息主權(quán)和保障經(jīng)濟發(fā)展[ 5 ]?！蛾P(guān)于個人數(shù)據(jù)處理保護與自由流動指令》統(tǒng)一了歐盟成員國內(nèi)的數(shù)據(jù)保護標準，允許個人數(shù)據(jù)在歐盟內(nèi)的自由流動，而對歐盟之外的國家，則采取以充分性決定機制為主的跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則。但在接下來的15年里，隨著技術(shù)的進步，個人數(shù)據(jù)不僅需要進一步的保護，而且充分性決定機制需要統(tǒng)一實施。為此，歐盟議會于2016年4月通過了GDPR，在經(jīng)過兩年的緩沖期后，于2018年5月25日開始生效。

作為綜合性數(shù)據(jù)保護條例，GDPR不僅適用于歐盟內(nèi)部的組織，也適用于歐盟以外的企業(yè)（如果它們向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或者監(jiān)督歐盟內(nèi)部人員的行為）。GDPR的影響范圍已擴大到歐盟之外，成為許多國家制定個人數(shù)據(jù)保護法的基準。不僅歐盟成員國更新了其個人數(shù)據(jù)保護法，許多中東歐國家、歐洲經(jīng)濟區(qū)域會員國、韓國、日本甚至俄羅斯都參照GDPR制定了個人數(shù)據(jù)保護法。

（二）GDPR的適用范圍

GDPR適用于所有完全或部分通過自動化方式處理的個人數(shù)據(jù)，并致力于管理上述數(shù)據(jù)的自由流動。任何收集、傳輸、保留或處理涉及歐盟所有成員國內(nèi)個人信息的機構(gòu)、組織均受GDPR約束。

根據(jù)GDPR規(guī)定，個人數(shù)據(jù)是指任何可用于識別自然人的資料，例如姓名或與某人的外貌、遺傳、經(jīng)濟或社會身份有關(guān)的其他因素。除少數(shù)情況外，禁止處理屬于特殊類別的個人數(shù)據(jù)，包括個人健康、性生活、種族、性取向和宗教或政治信仰等。

GDPR將參與數(shù)據(jù)收集、處理的實體分為“控制者”（Controller）或“處理者”（Processor），并賦予不同的責任。數(shù)據(jù)“控制者”為決定主體，是單獨或聯(lián)合決定個人數(shù)據(jù)處理目的和方式的自然人、機構(gòu)或企業(yè)，而數(shù)據(jù)“處理者”是受委托，為控制者處理個人數(shù)據(jù)的自然人、機構(gòu)或企業(yè)?！翱刂普摺必撠煷_?？刂茢?shù)據(jù)處理的措施已經(jīng)到位，以確保所有操作都符合GDPR[ 1 ]。GDPR適用于歐盟境內(nèi)的控制者和處理者，無論其數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)。GDPR也適用于非歐盟的數(shù)據(jù)控制者和處理者對歐盟境內(nèi)的主體開展個人數(shù)據(jù)處理的行為。

以中國金融業(yè)為例，以下幾種情況都可能受GDPR管轄：在歐盟有分支機構(gòu)；某金融企業(yè)或其服務(wù)提供商為歐盟境內(nèi)主體提供商品或服務(wù)（如在西班牙提供支付服務(wù)）；某金融企業(yè)或其服務(wù)提供商對數(shù)據(jù)主體在歐盟境內(nèi)的行業(yè)進行監(jiān)控（如作為監(jiān)控在西班牙辦理的信用卡余額的第三方）；處理居住在中國境內(nèi)的歐盟居民的數(shù)據(jù)。

（三）GDPR下的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則

隨著數(shù)字技術(shù)的發(fā)展，數(shù)字貿(mào)易已成為國際服務(wù)貿(mào)易的重要部分，而數(shù)據(jù)跨境流動是數(shù)字貿(mào)易的內(nèi)在要求。GDPR下的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則對跨境服務(wù)貿(mào)易者造成很重的合規(guī)負擔，本文第三部分將分析其是否構(gòu)成貿(mào)易壁壘。

歐盟GDPR關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的規(guī)則是在1995年《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》的基礎(chǔ)上發(fā)展完善的。GDPR的數(shù)據(jù)跨境傳輸規(guī)則既要滿足一般性原則，又要符合三項具體的數(shù)據(jù)轉(zhuǎn)移規(guī)則。根據(jù)一般性原則，個人數(shù)據(jù)只有在符合GDPR規(guī)定的前提下才可以傳輸給第三國或者國際組織。三項具體的規(guī)則分別為：基于充分性認定的數(shù)據(jù)跨境傳輸規(guī)則，提供適當保障措施的數(shù)據(jù)跨境傳輸規(guī)則及特殊情況下的數(shù)據(jù)跨境傳輸規(guī)則。其中充分性決定機制是“一勞永逸”的，因為該決定消除了從歐盟到該第三國的數(shù)據(jù)傳輸?shù)娜魏握系K，而無需任何進一步的數(shù)據(jù)保護要求。目前僅有12個國家獲得充分性認定。如果第三國不屬于充分性認定范圍的，該國應(yīng)對轉(zhuǎn)讓的數(shù)據(jù)提供以下保障措施之一：標準合同條款（Stan dard Contractual Clause，SCC）；具有約束力的企業(yè)規(guī)則（Binding Corporate Rules，BCRs）；行為準則；經(jīng)歐盟委員會認可的第三方認證等。但是這些保障措施必須得到歐盟數(shù)據(jù)委員會或某個歐盟成員國數(shù)據(jù)保護局的批準。以中國的金融機構(gòu)為例，這些機構(gòu)一般采用標準合同條款（SCC）或有約束力的公司規(guī)則（BCRs）這兩種保障性措施。如果第三國不能提供相應(yīng)的保障措施，則只能采用第三種方式“特殊情況下的數(shù)據(jù)跨境傳輸規(guī)則”，即存在下列情況時，可以進行個人數(shù)據(jù)傳輸：數(shù)據(jù)主體同意為了特殊目的處理其數(shù)據(jù)；簽訂或履行合同的需要；公共利益的需要；建立、行使或捍衛(wèi)法律主張的需要；保護數(shù)據(jù)主體或其他自然人切身利益的需要；公共登記數(shù)據(jù)的需要。

根據(jù)GDPR關(guān)于數(shù)據(jù)自由流動的“充分保護原則”，歐盟對第三國的數(shù)據(jù)保護水平進行評估。被列入“充分保護決定”的國家、地區(qū)和國際組織，無需經(jīng)過歐盟數(shù)據(jù)監(jiān)管機構(gòu)事前授權(quán)，就可以與歐盟之間實現(xiàn)數(shù)據(jù)自由流動。2020年7月以前，有12個國家和地區(qū)（包括美國）獲得歐盟充分決定的認證。2020年7月之后，美國被排除在外。

美國沒有數(shù)據(jù)保護方面的綜合性立法，而是采用了行業(yè)自律為主的監(jiān)管模式，因此不符合歐盟對個人數(shù)據(jù)給予充分保護的要求。為了雙方的貿(mào)易合作，歐盟與美國達成《信息安全港框架協(xié)議》（Safe Harbor Framework），規(guī)定雙方之間數(shù)據(jù)跨境自由流動僅限于受美國聯(lián)邦貿(mào)易委員會監(jiān)管的行業(yè)，而將通信行業(yè)和交通行業(yè)排除在外。斯諾登事件后，歐盟法院通過Schrems案件裁定《信息安全港框架協(xié)議》無效，理由是該框架允許美國以國家安全、公共利益、執(zhí)法為由規(guī)避監(jiān)管，從而導致實施15年的歐盟與美國數(shù)據(jù)跨境流動機制被撤銷。2016年，美國調(diào)整保護框架內(nèi)容，將限制公權(quán)力的措施寫入《隱私盾協(xié)議》（Privacy Shield），并獲得歐盟委員會充分性決定。但在2020年7月的Data Protection Commissioner v. Facebook Ireland案中，歐盟法院認為歐盟委員會的充分性決定是無效的，因為提供的保護不滿足對等要求[ 6 ]。

三、GDPR對國際服務(wù)貿(mào)易的影響

數(shù)據(jù)本地化要求所有數(shù)據(jù)都駐留在特定的位置，通常是收集數(shù)據(jù)的同一國家、區(qū)域等。對于來自未被充分性決策覆蓋的國家的公司來說，數(shù)據(jù)本地化是最簡單的，在某些情況下也是唯一的、符合要求的解決方案。即使企業(yè)的總部位于與歐盟有協(xié)議的國家之中，它們的安全也難以得到保證，也需要數(shù)據(jù)本地化。GDPR生效后不到一個月，微軟office，一家通過Privacy Shield認證的美國企業(yè)，在德國黑森州被發(fā)現(xiàn)不再符合GDPR[ 7 ]。導致這一決定的一個主要因素是微軟公司關(guān)閉了德國境內(nèi)的Microsoft Office數(shù)據(jù)服務(wù)器。因此，為了解決不合規(guī)問題，微軟被建議重新開放上述服務(wù)器。

在GDPR下的眾多義務(wù)中，數(shù)據(jù)轉(zhuǎn)移到第三國的嚴苛合規(guī)義務(wù)是否構(gòu)成貿(mào)易壁壘，進而違反《服務(wù)貿(mào)易總協(xié)定》存在爭議。數(shù)據(jù)究竟是一種商品還是一種服務(wù)的問題在學術(shù)界也存在爭議。如果數(shù)據(jù)是服務(wù)，就要在《服務(wù)貿(mào)易總協(xié)定》下討論。如果是商品，那就要在《關(guān)稅及貿(mào)易總協(xié)定》（Gen eral Agreement on Tariffs and Trade，GATT）下討論。本文認為數(shù)據(jù)是一種服務(wù)，并在此基礎(chǔ)上分析GDPR是如何通過其所確立的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則來影響數(shù)字貿(mào)易規(guī)則，進而影響國際服務(wù)貿(mào)易。

（一）GDPR下的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則造成數(shù)字封鎖，構(gòu)成了貿(mào)易障礙

個人數(shù)據(jù)保護和數(shù)據(jù)自由流動是歐盟數(shù)據(jù)保護相關(guān)立法的兩大目標。歐盟先后通過1995年《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》、2016年GDPR統(tǒng)一了成員國之間的數(shù)據(jù)保護水平，從而實現(xiàn)數(shù)據(jù)在歐盟各成員國內(nèi)的自由流動。對于數(shù)據(jù)向歐盟外國家、地區(qū)流動的情形，歐盟提出了充分保護原則，對數(shù)據(jù)接收國的數(shù)據(jù)保護水平進行評估。當接收國滿足歐盟的數(shù)據(jù)保護原則后，個人數(shù)據(jù)的跨境傳輸將被批準。

1.滿足GDPR標準的數(shù)據(jù)合規(guī)要求困難重重

GDPR是一項涉及數(shù)據(jù)保護各個方面、監(jiān)管程度高的立法。歐盟委員會（European Commission）為了尋求解決企業(yè)跨國經(jīng)營可能出現(xiàn)的問題，提出了充分性決定的概念，這是一個先于GDPR的概念，早在1995年《關(guān)于個人數(shù)據(jù)處理保護與自由流動指令》中就被提出。GDPR保留了充分保護原則和充分決定機制，并對其進行了發(fā)展與完善。根據(jù)充分保護原則，那些被認定為對個人數(shù)據(jù)有充分保護的國家，可以與歐盟之間進行數(shù)據(jù)跨境轉(zhuǎn)移。然而，要滿足歐盟GDPR對個人數(shù)據(jù)進行充分保護的合規(guī)要求困難重重。

首先，充分性決定的評估執(zhí)行程序存在不透明的問題。被排除在“充分性決定”認證之外的國家中，有些國家的數(shù)據(jù)保護法律實際上極其嚴格。韓國就是這樣一個國家[ 8 ]。2011年，韓國制定了自己的數(shù)據(jù)隱私法，即《個人信息保護法》（the Personal Information Protection Act，PIPA），這部法在很多方面與GDPR規(guī)則相呼應(yīng)。2015年，韓國又制定了《網(wǎng)絡(luò)法》。違反PIPA或《網(wǎng)絡(luò)法》可能會被處以罰金或刑罰，最高可被處以1億韓元的罰款和10年勞役。此外，阿根廷在2003年獲得了充分的數(shù)據(jù)保護，但在該決定獲得批準時，阿根廷甚至還沒有開始實施其數(shù)據(jù)保護法[ 9 ]。

其次，充分性決定的評估方法也存在不確定性。充分性決定機制要求第三國對個人數(shù)據(jù)的保護應(yīng)達到與歐盟“必要相等的程度”，其評估根據(jù)有第三國國內(nèi)法及所承擔的國際義務(wù)、基本權(quán)利和自由、第三國保護水平是否達到歐盟基于《歐盟基本權(quán)利憲章》和1995年指令所給予的保護力度[ 5 ]。上述評估方法也存在很多不確定性，例如第三國承擔的國際義務(wù)是指什么，并不明確。

此外，如果用“適當保障措施”進行跨境數(shù)據(jù)轉(zhuǎn)移，也存在很多問題。比如，我國金融機構(gòu)如通過與歐盟分行簽署“標準合同條款”方式提供“適當保障措施”，雖然簽署及獲批耗時相對較短，但如果海外分支較多，則要簽署多份，導致后續(xù)維護成本較大。而采用“有約束力的企業(yè)規(guī)則”能夠覆蓋集團個人數(shù)據(jù)傳輸?shù)乃杏猛?，但其認證流程非常嚴格，審批耗時長，難度大[ 2 ]?？傊?，非歐盟企業(yè)為了實現(xiàn)與歐盟市場間的數(shù)據(jù)傳輸，都需承擔較高的合規(guī)成本。

2.數(shù)據(jù)本地化是滿足GDPR合規(guī)要求的最佳選擇

對所有這些非歐盟公司面臨的障礙，數(shù)據(jù)本地化提供了一個解決方案，幫助其實現(xiàn)合規(guī)。數(shù)據(jù)本地化要求數(shù)據(jù)保存在特定站點的服務(wù)器上，而不考慮控股企業(yè)的位置。其結(jié)果是，以控股企業(yè)為代價為東道國的經(jīng)濟做貢獻。

雖然GDPR本身并不包含任何顯式的數(shù)據(jù)本地化需求，但自從GDPR生效以來，數(shù)據(jù)本地化基本上成為一個事實上的需求。對于總部位于未被充分性決定覆蓋國家的企業(yè)來說，情況尤其如此。因為這些企業(yè)在如何重組以繼續(xù)在歐盟內(nèi)部運營方面的選擇更少。

2018年，德國黑森州學生使用的微軟office 365被認為不再符合GDPR。出現(xiàn)這種結(jié)果，是由于微軟關(guān)閉了其在德國的數(shù)據(jù)中心，這意味著學生的數(shù)據(jù)將被轉(zhuǎn)移到美國的服務(wù)器上進行數(shù)據(jù)處理。微軟公司的另一種選擇是將Microsoft Office軟件切換為具有本地許可的應(yīng)用程序，允許數(shù)據(jù)在本地處理和保存。如果微軟公司重新將數(shù)據(jù)托管在德國國內(nèi)服務(wù)器上，則沒有必要采用這種方法。值得注意的是，微軟是在《隱私盾協(xié)議》保護下進行自我認證的公司之一，這表明《隱私盾協(xié)議》本身可能不足以保護美國企業(yè)。由于黑森州對歐盟國民數(shù)據(jù)的處理方式有限制，許多企業(yè)會發(fā)現(xiàn)，只要將所有有關(guān)歐盟的數(shù)據(jù)本地化到歐盟內(nèi)部，就能更容易地合規(guī)管理。

一些公司正在退出歐盟，因為這樣做比以符合法規(guī)的方式進行重組更簡單。比如在GDPR生效后，中國互聯(lián)網(wǎng)巨頭阿里巴巴旗下的全球速賣通、新浪微博國際版、微信海外版等紛紛向歐洲區(qū)用戶更新隱私政策，請求重新授權(quán)。而短期難以適應(yīng)規(guī)則的公司，則選擇了暫時退出。例如小米生態(tài)鏈企業(yè)、美拍、網(wǎng)易云音樂等，均暫停了歐洲服務(wù)[ 2 ]。

從美國與歐盟簽訂的《隱私盾協(xié)議》中可以看到，有一些公司選擇撤回當時的Privacy Shield認證，盡管Privacy Shield的目的相當于獲得“充分性保護”決定，但這些公司認為這不足以阻止他們違反GDPR[ 10 ]。盡管GDPR僅實施了兩年多，但歐盟國家將毫不猶豫地根據(jù)GDPR對其發(fā)現(xiàn)的違規(guī)公司進行處罰。根據(jù)GDPR的規(guī)定，違規(guī)公司被罰款的上限為2 000萬歐元或最高為上一個財政年度全球全年營業(yè)收入的4%（兩者中取數(shù)額大者）。因為違反了GDPR規(guī)則，歐盟對英國航空、谷歌和萬豪等公司分別處以2.04億歐元，5 700萬美元和1.24億美元的罰款。雖然未發(fā)生因違規(guī)將數(shù)據(jù)轉(zhuǎn)移到第三國而被征收罰款的情況，但并不意味著這種合規(guī)風險不存在。即使罰款的金額微不足道，歐盟內(nèi)部執(zhí)行處罰的意愿也十分堅決[ 11 ]。

（二）GDPR違反《服務(wù)貿(mào)易總協(xié)定》平等準入與平等待遇要求

《服務(wù)貿(mào)易總協(xié)定》的目的是消除貿(mào)易壁壘，促進服務(wù)貿(mào)易自由。根據(jù)歐盟加入《服務(wù)貿(mào)易總協(xié)定》時所做出的承諾，可以得出GDPR違反了《服務(wù)貿(mào)易總協(xié)定》第16條和第17條。

1.GDPR違反了《服務(wù)貿(mào)易總協(xié)定》第16條的平等準入要求

世界貿(mào)易組織的每一個成員國就《服務(wù)貿(mào)易總協(xié)定》訂有一份與特定服務(wù)部門有關(guān)的具體承諾減讓表。在承諾表中列明的開放服務(wù)部門必須遵守《服務(wù)貿(mào)易總協(xié)定》市場準入和國民待遇條款中的要求。《服務(wù)貿(mào)易總協(xié)定》第16條（市場準入）要求世貿(mào)組織成員必須向來自這些部門的外國供應(yīng)商提供市場準入，這些供應(yīng)商的待遇不得低于國內(nèi)供應(yīng)商。

在最初的承諾中，歐盟并未對電信服務(wù)或數(shù)據(jù)檢索的市場準入加以限制。世界貿(mào)易組織爭端解決機構(gòu)（DSB）規(guī)定，一項服務(wù)如果屬于附表中所做承諾的類別之一，則必須遵守與第16條相一致的規(guī)定。如賭博和博彩服務(wù)被認為是美國承諾開放的服務(wù)部門，這意味著美國不能制定法律來限制外國投資者提供這些服務(wù)。2003年，安提瓜和巴布達就對美國提起訴訟，指控美國禁止網(wǎng)上博彩服務(wù)跨境供應(yīng)的措施違反了《服務(wù)貿(mào)易總協(xié)定》第16條市場準入原則。GDPR也應(yīng)受到歐盟在《服務(wù)貿(mào)易總協(xié)定》中所做承諾的約束。事實上，歐盟確實在其承諾范圍內(nèi)制定了對金融數(shù)據(jù)處理的具體限制，將其從《服務(wù)貿(mào)易總協(xié)定》的市場準入和國民待遇條款中豁免。因此可以推論，除金融數(shù)據(jù)外，所有其他數(shù)據(jù)都被排除在這一限制之外。對歐盟承諾做出的這些調(diào)整是在《數(shù)據(jù)保護指令》作為歐盟主要數(shù)據(jù)保護法期間完成的。此后，雖然通過了GDPR數(shù)據(jù)保護法律，但歐盟一直沒有努力重新審視其在除金融數(shù)據(jù)外領(lǐng)域的承諾時間表。

GDPR對非歐盟企業(yè)的要求表明，這些企業(yè)受到的待遇低于歐盟內(nèi)部企業(yè)，因而違反了第16條（市場準入）。對非歐盟企業(yè)來說，除了要將涉及歐盟的數(shù)據(jù)本地化這一潛在差別對待外，設(shè)立數(shù)據(jù)保護官是另一個進入歐盟市場的壁壘。根據(jù)GDPR要求，當非歐盟企業(yè)要對歐盟境內(nèi)的數(shù)據(jù)主體進行定期、系統(tǒng)的數(shù)據(jù)處理時，應(yīng)設(shè)立數(shù)據(jù)保護官。歐盟在加入《服務(wù)貿(mào)易總協(xié)定》做出承諾時并未為數(shù)字服務(wù)或個人數(shù)據(jù)開辟例外，歐盟已承諾允許這些服務(wù)在其自身和其他世貿(mào)組織成員之間自由流動。因此，GDPR對數(shù)據(jù)在歐盟和第三國之間的自由流動設(shè)置的障礙已經(jīng)違反了承諾，也違反了《服務(wù)貿(mào)易總協(xié)定》第16條規(guī)定。

2.GDPR違反了《服務(wù)貿(mào)易總協(xié)定》第17條的平等待遇要求

《服務(wù)貿(mào)易總協(xié)定》第17條（國民待遇）要求“對外國和國內(nèi)服務(wù)提供者給予平等待遇”。根據(jù)GDPR規(guī)定，非歐盟企業(yè)無法像以前一樣在歐盟內(nèi)部繼續(xù)運營。這是因為它們要么來自那些被認為沒有得到充分保護的國家，要么認為遵守GDPR下的合規(guī)規(guī)定將是一種太大的財政負擔。事實上GDPR阻止了這些企業(yè)進入歐盟的整個內(nèi)部市場。

相比之下，位于歐盟內(nèi)部的企業(yè)則沒有這些限制，并有機會在一個開放的內(nèi)部市場運營。事實上，非歐盟公司基本上只能選擇退出或數(shù)據(jù)本地化（如果是180多個未被充分性決定覆蓋的國家之一）。但是，這相當于給予歐盟企業(yè)優(yōu)惠待遇，并因此改變了歐盟市場的競爭格局。

（三）GDPR不適用《服務(wù)貿(mào)易總協(xié)定》第14條

與大多數(shù)管理貿(mào)易的條約一樣，《服務(wù)貿(mào)易總協(xié)定》也有例外。在規(guī)定有關(guān)服務(wù)自由流動要求的同時，服務(wù)貿(mào)易總協(xié)定也規(guī)定了例外情況。如《服務(wù)貿(mào)易總協(xié)定》第14條（c）款所列舉的：ⅰ.為了防止詐騙或處理服務(wù)合同違約；ⅱ.為了保護個人信息隱私及個人記錄、賬戶的機密；ⅲ.為了確保安全等方面法律、法規(guī)得到遵守而采取的措施。即使上述這些措施與《服務(wù)貿(mào)易總協(xié)定》的規(guī)定不一致，但只要這些法律、法規(guī)與《服務(wù)貿(mào)易總協(xié)定》不相抵觸，也是《服務(wù)貿(mào)易總協(xié)定》所允許的[ 12 ]。

如果被訴至世界貿(mào)易組織爭端解決機構(gòu)，歐盟可以根據(jù)《服務(wù)貿(mào)易總協(xié)定》列出的幾種例外情況辯稱它有權(quán)維持GDPR。最有可能的辯護依據(jù)是第14條（c）款所列的例外措施中的（ii）項。但根據(jù)《服務(wù)貿(mào)易總協(xié)定》第14條“各項例外措施在適用時不得任意，在效果上不會造成不公平的、歧視性的后果”的規(guī)定，歐盟的這個辯護理由將站不住腳。盡管GDPR的目標是隱私保護，但要想被視為一個可接受的例外，它必須被證明這類措施的實施不會在情況相同的國家間造成不公平、歧視，或構(gòu)成對服務(wù)貿(mào)易的變相限制。在考察那些存在強有力的數(shù)據(jù)保護法律卻沒有得到充分性保護決定的國家時，我們可以清楚地看到，做出這些決定的過程是十分武斷的。韓國的情況最能說明歐盟充分性決定機制的隨意性。其他例子也表明，在充分性決定的決策過程中存在著不合理的歧視和武斷。阿根廷是僅有的11個被授予充分保護決定的國家之一，甚至在實施其數(shù)據(jù)保護法之前就被授予了充分性保護決定。愈是仔細審查充分性決定機制，就愈難提出“‘保護與個人資料的處理和散播有關(guān)的個人隱私是一項基本權(quán)利并受第十四條（c）款（ii）項保護”的論點。因此，歐盟援引第14條（c）款（ii）項，認為GDPR是一個可接受的例外的辯護是站不住腳的。

四、應(yīng)對GDPR影響的對策與建議

隨著萬物互聯(lián)時代的到來，國際服務(wù)貿(mào)易不可避免地要涉及數(shù)據(jù)跨境轉(zhuǎn)移，而在商務(wù)活動中要嚴格區(qū)分個人數(shù)據(jù)與非個人數(shù)據(jù)是很困難的。雖然GDPR旨在保護個人數(shù)據(jù)，卻對國際服務(wù)貿(mào)易產(chǎn)生了很大影響，甚至違反了《服務(wù)貿(mào)易總協(xié)定》。為此，本文對歐盟應(yīng)如何完善GDPR下的數(shù)字貿(mào)易規(guī)則提出一些建議。同時對中國應(yīng)如何應(yīng)對GDPR的影響提出對策，以解決GDPR造成的數(shù)據(jù)保護與全球信息自由流動之間的緊張關(guān)系。

（一）歐盟應(yīng)完善GDPR下的數(shù)字貿(mào)易規(guī)則

為了完善GDPR制度，歐盟內(nèi)部應(yīng)有所作為。同時，國際社會也可以通過向國際貿(mào)易爭端解決機構(gòu)及歐盟內(nèi)部監(jiān)察專員、歐盟法院提起上訴這兩條起訴的路徑促使歐盟完善GDPR下的數(shù)據(jù)保護與數(shù)據(jù)流動規(guī)則。

1.歐盟應(yīng)禁止數(shù)據(jù)本地化要求并完善充分性決定機制

為了緩解GDPR引起的一些問題，歐盟可以采取的第一步是通過一項規(guī)定，即不允許任何成員國制定明確的數(shù)據(jù)本地化法律。德國和法國已經(jīng)提出了制定快速數(shù)據(jù)本地化法律的建議，但這些建議沒有得到歐盟委員會的采納[ 13 ]。委員會對這些法律的負面反應(yīng)，對禁止任何其他國家采取同樣立法行動來說是一個好兆頭。然而，任何禁止特定國家數(shù)據(jù)本地化法律的歐盟立法都不能解決非歐盟國家和企業(yè)難以遵守GDPR的問題。

充分性決定機制是處理這個問題的重要解決方案。自充分性決定機制實施25年以來，只有12個國家或地區(qū)被歐盟認定為對個人數(shù)據(jù)進行過充分性保護，可以與歐盟之間進行自由的數(shù)據(jù)跨境流動。被授予充分性決定的國家如此之少說明該機制本身存在不足之處。歐盟可以從以下兩個方面入手：首先，可以通過簡化充分性決定的認定流程來解決這些問題；其次，可以通過與各國密切合作，查明問題根源，采取有效措施來解決這些問題。總之，為了鼓勵數(shù)據(jù)的自由流動，充分性決定的決策過程必須更新，要讓決策程序更加透明和明確。

2.促使歐盟完善GDPR下的充分性決定機制的途徑

如果歐盟委員會不能盡快完善充分性決定機制，那么國際社會可以提起訴訟以促成變化，其途徑有：

（1）向國際貿(mào)易組織爭端解決機構(gòu)提起上訴。如果一個WTO成員認為另一個成員制定了一項成為新貿(mào)易壁壘的規(guī)定，并試圖限制貿(mào)易，則前者有權(quán)向WTO提起申訴，指控相關(guān)做法違反了貿(mào)易協(xié)定。例如，2003年，安提瓜和巴布達對美國提起訴訟，指控禁止網(wǎng)上博彩服務(wù)跨境供應(yīng)的措施違反了《服務(wù)貿(mào)易總協(xié)定》第16條市場準入原則。安提瓜和巴布達在訴美國賭博案中辯稱，禁止跨境提供博彩服務(wù)的三條聯(lián)邦法律違反了美國關(guān)于市場準入的承諾。安提瓜和巴布達的理由是，由于美國承諾向外國供應(yīng)商提供與國內(nèi)供應(yīng)商相同的待遇，因此，禁止安提瓜和巴布達在美國境內(nèi)經(jīng)營賭博和博彩服務(wù)，違反了《服務(wù)貿(mào)易總協(xié)定》。世界貿(mào)易組織爭端解決機構(gòu)在為安提瓜和巴布達做出裁決時認為美國違反了關(guān)于其各自附表所列各項承諾的第16條的規(guī)定，未向安提瓜和巴布達賭博和博彩服務(wù)供應(yīng)商提供與本國供應(yīng)商相同的待遇[ 14 ]。

目前，向WTO爭端解決機構(gòu)提起上訴這一路徑并不可行。由于美國的阻擾，國際貿(mào)易組織爭端解決機構(gòu)事實上已處于停擺狀態(tài)，上訴機構(gòu)已不再運作，任何向WTO提起針對歐盟的訴訟的嘗試都可能是徒勞的[ 3 ]，甚至申訴至DSB也收效甚微。以安提瓜和巴布達訴美國開放網(wǎng)上博彩業(yè)為例，即使爭端解決機構(gòu)最后裁判美國敗訴，并授權(quán)安提瓜和巴布達對美國采取報復性措施，對美國也沒有任何影響，因為申訴雙方的市場體量反差太大。

（2）向歐盟監(jiān)察專員申訴。向爭端解決機構(gòu)申訴并不是提起訴訟的唯一途徑，因為在歐盟內(nèi)部還存在一種途徑來消除充分性決策程序缺乏透明度對非歐盟企業(yè)的影響。

監(jiān)察專員（行政申訴專員）是歐洲聯(lián)盟眾多機構(gòu)之一。申訴專員負責監(jiān)督整個歐盟各機構(gòu)的廉潔問題，調(diào)查有關(guān)歐盟管理機構(gòu)行政失當?shù)耐对V。被調(diào)查的不當行政管理的類型包括濫用權(quán)力、歧視、適用法律不當和缺乏透明度等。而透明度和相稱性作為原則載入歐盟憲法框架，成為有效民主制度的重要基礎(chǔ)。

申訴專員的服務(wù)可提供給歐盟國家的公民或居民，或總部設(shè)在歐盟的公司。假如一個韓國公司在法國有商業(yè)存在，由于韓國未獲得歐盟充分性保護決定，這將導致韓國總公司與歐盟分公司之間無法自由地進行數(shù)據(jù)跨境流動。歐盟分公司可以以充分性決定機制缺乏透明度和存在歧視為由向監(jiān)察專員進行投訴。在提出申訴時，該公司可以辯稱，在韓國擁有嚴格的數(shù)據(jù)保護法規(guī)的情況下，為了獲得“充分性保護”決定而讓韓國等很多年是一種歧視，而且影響了公司在歐盟開展業(yè)務(wù)的能力。

（3）向歐盟法院起訴。雖然向監(jiān)察專員申訴有助于鼓勵歐盟委員會改變充分性決定的決策程序，但這并不是問題的全面解決方案，因為申訴專員無權(quán)發(fā)布禁令。然而，歐盟法院（The Court of Justice of the European Union，CJEU）卻擁有這種權(quán)力。位于歐洲的非歐盟企業(yè)可以侵犯個人經(jīng)濟權(quán)利或違反歐盟法律的一般原則為由，向CJEU提出索賠。歐盟法院于1994年發(fā)表了第1/94號意見，答復了歐洲共同體（歐盟的前身）關(guān)于《服務(wù)貿(mào)易總協(xié)定》歸誰管轄的問題，最終將《服務(wù)貿(mào)易總協(xié)定》原則納入歐盟法律。

（二）GDPR對國際服務(wù)貿(mào)易規(guī)則影響的中國因應(yīng)

事實上，GDPR已影響了國際貿(mào)易規(guī)則，特別是國際服務(wù)貿(mào)易規(guī)則。中國應(yīng)正確研判國際貿(mào)易規(guī)則的發(fā)展形勢，把握發(fā)展機遇，提高在多邊、區(qū)域或國際貿(mào)易談判中的話語權(quán)。同時，中國也應(yīng)在不違反國際貿(mào)易規(guī)則的前提下，構(gòu)建促進國家網(wǎng)絡(luò)安全、企業(yè)公平競爭及個人信息保護協(xié)調(diào)發(fā)展的新型數(shù)字貿(mào)易規(guī)則。此外，為了解決與歐盟之間數(shù)據(jù)跨境傳輸問題，中國可借鑒歐盟—美國《隱私盾協(xié)議》模式，盡早與歐盟磋商談判并簽訂協(xié)議。

1.引導與推動《服務(wù)貿(mào)易總協(xié)定》的改進

數(shù)字技術(shù)的進步推動了全球服務(wù)貿(mào)易的快速發(fā)展，也帶來了數(shù)據(jù)流動與隱私保護問題。各國紛紛通過國內(nèi)立法來規(guī)制數(shù)據(jù)流動及存儲問題。如澳大利亞要求對醫(yī)療信息進行本地化存儲。加拿大的英屬哥倫比亞和新斯科舍兩個省規(guī)定，禁止從境外訪問醫(yī)院、學校等公共部門的信息。俄羅斯法律要求本國企業(yè)的電子通訊和社交網(wǎng)絡(luò)數(shù)據(jù)需進行本地化。印度、越南等國家也有數(shù)據(jù)本地化存儲的法律規(guī)定。歐盟更是通過GDPR的實施，深刻影響了世界數(shù)據(jù)規(guī)則。這種現(xiàn)狀已事實上構(gòu)成了新型數(shù)字貿(mào)易壁壘。

其實，2016年7月頒布的《中華人民共和國網(wǎng)絡(luò)安全法》（下稱《網(wǎng)絡(luò)安全法》）也被置疑影響了國際服務(wù)貿(mào)易，并于2017年被美國訴至WTO貿(mào)易服務(wù)委員會。美國認為我國的《網(wǎng)絡(luò)安全法》及其配套政策、規(guī)定將會阻礙數(shù)據(jù)跨境流動，進而影響國際服務(wù)貿(mào)易和在華外企的業(yè)務(wù)開展?！熬W(wǎng)絡(luò)運營者”的廣泛性、“重要數(shù)據(jù)”和“個人信息”傳輸限制的嚴苛性與牽涉部門的廣泛性、隱私保護義務(wù)的繁重性與不必要性、安全評估標準與關(guān)鍵信息基礎(chǔ)設(shè)施的廣泛性與模糊性等問題都受到關(guān)注[ 15 ]。

針對數(shù)字經(jīng)濟有關(guān)事項，《服務(wù)貿(mào)易總協(xié)定》及《與貿(mào)易有關(guān)的知識產(chǎn)權(quán)協(xié)定》（Agreement on Trade- Related Aspects of Intellectual Property Rights，TRIPS）都制定了相應(yīng)的規(guī)范，但仍不能適應(yīng)數(shù)字經(jīng)濟發(fā)展的需求?，F(xiàn)有的WTO規(guī)則對新型數(shù)字貿(mào)易壁壘無能為力。從2001年開始的多哈回合談判已處于停滯狀態(tài)。

中國作為多邊貿(mào)易體制的受益者，應(yīng)積極利用WTO多邊談判體制，引導WTO成員關(guān)注WTO多邊協(xié)定中所缺乏的應(yīng)對數(shù)字貿(mào)易壁壘的規(guī)范，借鑒GDPR所創(chuàng)設(shè)的平衡數(shù)據(jù)自由流動與隱私保護的新型數(shù)據(jù)流動規(guī)則，吸納以《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》《全面與進步跨太平洋伙伴關(guān)系協(xié)定》《歐盟日本經(jīng)濟伙伴關(guān)系協(xié)定》《美墨加協(xié)定》為代表的新型區(qū)域貿(mào)易協(xié)定中的數(shù)字貿(mào)易規(guī)則，細化《服務(wù)貿(mào)易總協(xié)定》協(xié)定已有的四種貿(mào)易模式，發(fā)揮WTO爭端解決機制作用，改進與完善《服務(wù)貿(mào)易總協(xié)定》。

2.構(gòu)建促進國家網(wǎng)絡(luò)安全、企業(yè)公平競爭及個人信息保護協(xié)調(diào)發(fā)展的新型數(shù)字貿(mào)易規(guī)則

我國的數(shù)據(jù)監(jiān)管法律制度正在不斷地完善。2017年6月《網(wǎng)絡(luò)安全法》及最新刑事司法解釋正式運行。2018年8月，《中華人民共和國電子商務(wù)法》在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，對個人信息保護規(guī)則做了進一步細化。2021年1月1日生效的《中華人民共和國民法典》在總則和分則中均對個人信息保護有明文規(guī)定。現(xiàn)有的其他法律如《中華人民共和國消費者權(quán)益保護法》《中華人民共和國廣告法》等也涉及到對個人信息的保護。但在社會實踐中，這些法律的適用大多規(guī)定得較為原則，并不能滿足人民群眾對個人信息保護的各類迫切需求。此外，縱觀其他法規(guī)及規(guī)范性文件，例如《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、（工業(yè)和信息化部）（GB/T 35273—2020）《信息安全技術(shù)個人信息安全規(guī)范》等，這些法律法規(guī)雖然為企業(yè)提供了極強的合規(guī)參考價值，但也存在著一定的滯后性，并不能夠適應(yīng)各類互聯(lián)網(wǎng)企業(yè)的合規(guī)需要。目前我國已加速個人信息保護的立法進程，《中華人民共和國個人信息保護法（草案）》（以下簡稱《個人信息保護法》）和《中華人民共和國數(shù)據(jù)安全法（草案）》（下稱《數(shù)據(jù)安全法》）均已公布。

我國在制定《個人信息保護法》和《數(shù)據(jù)安全法》的過程中，可以充分借鑒GDPR的條款。以GDPR為代表的歐盟高水平數(shù)據(jù)保護要求，倒逼我國提高個人信息保護水平。將我國的《個人信息保護法》草案與GDPR進行對比發(fā)現(xiàn)，兩者主要存在以下不同：

（1）在個人數(shù)據(jù)的跨境轉(zhuǎn)移上，GDPR規(guī)定了包括充分保護性認定、有約束力的公司規(guī)則、數(shù)據(jù)保護標準條款、特別告知同意、履行合同必要等多種合規(guī)路徑。而我國《個人信息保護法》統(tǒng)一將“告知并取得個人同意”作為數(shù)據(jù)跨境傳輸?shù)那疤釛l件，在合規(guī)路徑方面規(guī)定了安全評估、個人信息保護認證、與境外接收方訂立合同等方式[ 16 ]。我國是一個數(shù)據(jù)大國，目前數(shù)字經(jīng)濟規(guī)模僅次于美國，位列全球第二。中國有9家企業(yè)位于全球市值最高的20家互聯(lián)網(wǎng)企業(yè)之列。雖然我國互聯(lián)網(wǎng)企業(yè)目前的國際化程度不如美國企業(yè)，但未來勢必將成為數(shù)據(jù)進口大國。因此，拓寬個人數(shù)據(jù)跨境合規(guī)流動的路徑是極為必要的。

（2）在個人數(shù)據(jù)本地化存儲上，《個人信息保護法（草案）》對關(guān)鍵信息基礎(chǔ)設(shè)施運營者和符合國家網(wǎng)信部門規(guī)定的個人信息處理者提出了本地化存儲的要求。其中的跨境規(guī)則對于跨境經(jīng)營類企業(yè)（如境外跨國企業(yè)、中國出海企業(yè)）的影響較大，需根據(jù)其自身情況確定合規(guī)路徑，并征得用戶的單獨同意。正如本文第二部分所述，GDPR未明確要求數(shù)據(jù)本地化都有可能違反《服務(wù)貿(mào)易總協(xié)定》第16條和17條，如果我國《個人信息保護法》明確要求數(shù)據(jù)本地化，則更有可能與《服務(wù)貿(mào)易總協(xié)定》沖突并被訴至國際貿(mào)易組織爭端解決機構(gòu)。

（3）在數(shù)據(jù)處理者的義務(wù)上，GDPR對于數(shù)據(jù)“控制者”和“處理者”有較細的法律義務(wù)的分配，且要求“控制者只能選用有充分保證的、可采取合適技術(shù)與組織措施的、其處理方式符合本條例要求并且保障數(shù)據(jù)主體權(quán)利的處理者”。而《個人信息保護法》規(guī)定“個人信息處理者委托處理個人信息的，應(yīng)當與受托方約定雙方權(quán)利義務(wù)，并對受托方的個人信息處理活動進行監(jiān)督”。就受托方的義務(wù)而言，除履行其合同義務(wù)、返還或刪除個人信息義務(wù)，及不得轉(zhuǎn)委托外，并無進一步的規(guī)定。

（4）在處罰上，GDPR規(guī)定有兩千萬歐元或上一年全球總營業(yè)額4%的金額的罰款上限（取兩者中的較高者），還規(guī)定了處罰的考量因素。而《個人信息保護法》草案將罰款上限規(guī)定為“五千萬元”或者“上一年度營業(yè)額5%”，未明確處罰數(shù)額的考量因素、針對適用的違法情形以及營業(yè)額的范圍。

3.借鑒歐盟—美國《隱私盾協(xié)議》，與歐盟開展數(shù)據(jù)跨境流動雙邊協(xié)議談判

美國通過與歐盟締結(jié)《隱私盾協(xié)議》來化解雙方的數(shù)字貿(mào)易壁壘。美歐之間能達成雙邊協(xié)議，有三個有利因素：一是美歐之間經(jīng)濟依存度高；二是美歐之間有政治互信；三是美國強大的外部執(zhí)法機制能約束信息控制者的行為[ 17 ]。中國如想與歐盟達成類似協(xié)議，還需在個人信息保護水平、數(shù)據(jù)保護立法與標準、執(zhí)法監(jiān)督機制、救濟手段等方面進一步改善?？上驳氖?，2020年12月30日《中歐全面投資協(xié)定》（The China-EU Comprehensive Agreement on Investment，CAI）完成談判。我國在個人信息保護立法與執(zhí)法體系趨于完善之時，應(yīng)盡早與歐盟開展有關(guān)數(shù)據(jù)跨境流動的雙邊協(xié)議談判?，F(xiàn)階段，我國可由商務(wù)部牽頭組織國內(nèi)各大企業(yè)建立海外合規(guī)信息與資源共享平臺，加強與歐盟委員會等海外個人數(shù)據(jù)保護監(jiān)管機構(gòu)的平等磋商與合作，盡快達成有利于雙方的相關(guān)協(xié)議，降低我國企業(yè)特別是中小企業(yè)開拓歐盟市場的合規(guī)成本、合規(guī)風險[ 2 ]。

4.吸收借鑒數(shù)字貿(mào)易規(guī)則，為積極加入CPTPP磋商創(chuàng)造條件

在WTO改革沒有進展，也無力解決數(shù)字貿(mào)易壁壘問題的現(xiàn)狀下，以GDPR為代表，包括《全面與進步跨太平洋伙伴關(guān)系協(xié)定》《歐盟日本經(jīng)濟伙伴關(guān)系協(xié)定》《美墨加協(xié)定》等新型區(qū)域貿(mào)易協(xié)定在內(nèi)的數(shù)字貿(mào)易規(guī)則對我國制定相應(yīng)規(guī)則有較大的借鑒意義。我國應(yīng)關(guān)注數(shù)據(jù)跨境流動、數(shù)據(jù)相關(guān)設(shè)施的本地化、數(shù)字貿(mào)易業(yè)務(wù)的市場準入、數(shù)字知識產(chǎn)權(quán)保護、跨境電商便利化等方面的國際態(tài)勢與主要分歧，在完善國內(nèi)相關(guān)法律制度的同時，積極參與雙邊和區(qū)域協(xié)定談判，與國際接軌。

以數(shù)字貿(mào)易業(yè)務(wù)的市場準入為例。國際上對云計算是“計算機相關(guān)服務(wù)”還是“電信服務(wù)”一直存在較大分歧。美國力主云計算是“計算機相關(guān)服務(wù)”，而許多發(fā)展中國家將云計算視為電信服務(wù)，采取許可管理。根據(jù)CAI的內(nèi)容，中國已同意收緊對計算機服務(wù)市場準入的限制，同時CAI還包括了“技術(shù)中立”條款，以確保對增值電信服務(wù)設(shè)置的股權(quán)上限不會適用于金融、物流、醫(yī)療等在線服務(wù)。雖然CAI還未簽署、生效，但云計算的服務(wù)分類必將影響CAI條款的實施。

數(shù)據(jù)（設(shè)施）本地化問題，《美墨加協(xié)定》第19章第12條規(guī)定“禁止將計算設(shè)施置于某一成員國內(nèi)或使用某一成員國境內(nèi)的計算設(shè)施等本地化要求，且無任何例外情況”。而我國2016年的《網(wǎng)絡(luò)安全法》就因要求關(guān)鍵信息基礎(chǔ)設(shè)施本地化等規(guī)定而飽受爭議。

我國近兩年在區(qū)域協(xié)定的談判、簽署上都取得了較大進展。2020年11月15日，《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》正式簽署。2020年12月30日，中歐領(lǐng)導人共同宣布如期完成中歐投資協(xié)定談判，同時中國領(lǐng)導人宣布積極考慮加入《全面與進步跨太平洋伙伴關(guān)系協(xié)定》。所有這些區(qū)域協(xié)定均涉及數(shù)字貿(mào)易規(guī)則。因此，我國應(yīng)盡早借鑒已創(chuàng)設(shè)的新型數(shù)字貿(mào)易規(guī)則，助力我國數(shù)字經(jīng)濟發(fā)展。

五、結(jié)語

根據(jù)《服務(wù)貿(mào)易總協(xié)定》第16條和17條之規(guī)定，歐盟有義務(wù)不采取任何有利于國內(nèi)服務(wù)供應(yīng)商而不利于外國服務(wù)供應(yīng)商的措施。GDPR在個人數(shù)據(jù)保護和跨境轉(zhuǎn)移上對非歐盟公司的運營提出了很高的要求，造成了不適當?shù)呢摀?。為了符合GDPR的要求，非歐盟企業(yè)客觀上只有兩種選擇：要么撤出歐盟市場，要么將數(shù)據(jù)本地化，否則將面臨巨額罰款。而要求數(shù)據(jù)本地化實際上構(gòu)成了貿(mào)易壁壘，違反了《國際服務(wù)貿(mào)易總協(xié)定》第16條（市場準入）和第17條（國民待遇）。由于美國的阻擾，國際貿(mào)易組織爭端解決機制事實上已處于停擺狀態(tài)。鑒于此，那些在歐盟有商業(yè)存在的非歐盟企業(yè)可以向歐盟行政申訴專員提出申訴。

數(shù)據(jù)跨境流動是數(shù)字貿(mào)易的內(nèi)在要求，而數(shù)字貿(mào)易又是國際服務(wù)貿(mào)易的重要組成部分。因此，GDPR會對國際服務(wù)貿(mào)易產(chǎn)生廣泛而深遠的影響。本文建議，歐盟應(yīng)禁止數(shù)據(jù)本地化要求并完善充分性決定機制。因應(yīng)GDPR對國際服務(wù)貿(mào)易法的影響，中國應(yīng)引導與推動《服務(wù)貿(mào)易總協(xié)定》的改進與完善；吸收借鑒以GDPR為代表的《全面與進步跨太平洋伙伴關(guān)系協(xié)定》《歐盟—日本經(jīng)濟伙伴關(guān)系協(xié)定》《美墨加協(xié)定》等新型區(qū)域貿(mào)易協(xié)定所創(chuàng)設(shè)的數(shù)字貿(mào)易規(guī)則，構(gòu)建促進國家網(wǎng)絡(luò)安全、企業(yè)公平競爭及個人信息保護協(xié)調(diào)發(fā)展的國內(nèi)數(shù)據(jù)監(jiān)管法律制度；盡早與歐盟開展有關(guān)數(shù)據(jù)跨境流動的雙邊協(xié)議談判。

參考文獻：

[1]陳文清.歐盟《一般數(shù)據(jù)保護條例》中數(shù)據(jù)處理主體的二元劃分及其啟示[J].西部法學評論，2020（4）：56-66.

[2]屈剛，洪金瑩，楊茜，李罡琴.歐盟《一般數(shù)據(jù)保護條例》的實施與應(yīng)對——基于中國銀行的探索實踐[J].國際金融，2020（6）：37-48.

[3]陳鼎莊.從中美貿(mào)易摩擦看國際貿(mào)易法的發(fā)展及中國的對策[J].中國流通經(jīng)濟，2019（10）：107-116.

[4]戴龍，數(shù)字經(jīng)濟產(chǎn)業(yè)與數(shù)字貿(mào)易壁壘規(guī)制——現(xiàn)狀、挑戰(zhàn)及中國因應(yīng)[J].財經(jīng)問題研究，2020（8）：40-47.

[5]袁慧.歐盟數(shù)據(jù)跨境轉(zhuǎn)移中的充分決定機制研究[J].電子知識產(chǎn)權(quán)，2020（11）：56-69.

[6]JOSEPH J L，MARY T C.Tag archives：data protection commissioner v. facebook ireland and maximillian schrems[EB/OL].（2020-01-23）[2021-01-25].https：//www.work placeprivacyreport.com/tags/data-protection-commissionerv-facebook-ireland-and-maximillian-schrems/.

[7]DAVID R.Why the Privacy shield wont make you gdprcompliant[EB/OL].（2018- 05- 25）[2020- 12- 05].https：// www.cmswire.com/information-management/why-the-priva cy-shield-wont-make-you-gdpr-compliant/.

[8]KURT W.Third annual detlev f. vagts roundtable on transna tional law：data protection in a global world[C].112 Am. Socy Intl L. Proc.（2018）：219-231.

[9]JENNIFER S，CHAN B，JOLY Y.The European Unions adequacy approach to privacy and international data sharing in health research[J].The journal of law，medicine & ethics，2018（1）：143-155.

[10]Generally list：active，privacy shield framework[EB/OL].（2019- 10- 06）[2020- 12- 10].https：//www.privacyshield. gov/list.

[11]GDPR enforcement tracker，enforcement tracker[EB/OL].（2019- 11- 09）[2020- 12- 10].http：//www.enforcement tracker.com/.

[12]李國安.《服務(wù)貿(mào)易總協(xié)定》的例外及其限制[J].國際經(jīng)濟法學刊，2004，9（2）：20-52.

[13]李毅，王迪.世貿(mào)組織背景下中國數(shù)據(jù)本地化存儲要求的評析[J].重慶郵電大學學報（社會科學版），2019，31（4）：34-43.

[14]JOEL P T.United States-measures affecting the cross-bor der supply of gambling and betting services[J].American journal of international law，2005，99（4）：861-867.

[15]China- measures affecting trading rights and distribution services for certain publications and audiovisual entertain ment products[R].Report of the Appellate Body，2009.

[16]王淼.數(shù)字經(jīng)濟發(fā)展的法律規(guī)制——研討會專家觀點綜述[J].中國流通經(jīng)濟，2020，34（12）：114-124.

[17]JOSHUA D. B.Reading the trade tea leaves：a comparative analysis of potential United States WTO-GATS claims against privacy[J].Localization and cybersecurity laws，2018，49（2）：801-843.

責任編輯：嘉斌

The Influence of General Data Protection Regulation on International Service Trade Rules

CHEN Ding-zhuang

（Xiamen Huaxia University，Xiamen 361016，F(xiàn)ujian，China）

Abstract：In order to protect privacy right，the European Union（EU）has developed General Data Protection Regulations（GDPR），whose two main objectives are to protect personal data and regulate the flow of data across borders. In order to comply with the GDPR，non-EU companies objectively have only two options：either pull out of the EU market or localize their data，otherwise they will face huge fines. In fact，requiring data localization constitutes a trade barrier and violates Articles 16-17 of General Agreement on International Trade in Services（GATS）. In order to promote digital trade，new regional trade agreements such as the Comprehensive Progressive Trans-Pacific Partnership（CPTPP），the Agreement between the European Union and Japan for an Economic Partnership（EPA）and the United States–Mexico–Canada Agreement（USMCA）also prohibit data center localization. So，the EU should try to eliminate the possibility of any data localization requirements and perfect the adequacy decision-making system. GDPR has a profound and extensive impact on international service trade rules. In order to adapt to the new development of international service trade rules，China should guide and promote the improvement of GATS，accelerate the development of new digital trade rules that harmonize the protection of personal information，the orderly flow of data and the protection of public interest，and refer to the Privacy Shield Agreement to negotiate a bilateral agreement with EU on cross-border data flow.

Key words：data protection；data flow；trade barriers；service trade；GDPR