WTO规制跨境数据流动的实践与建议

徐德顺　刘昆

摘 要：WTO在规制跨境数据流动方面，已经有了一些实践。GATS提出了跨境数据流动的原则要求，WTO项下的诸边谈判也较为活跃，这些对促进数字贸易和数字经济发展起到了一定作用。但WTO缺少跨境数据流动规制也是不争的事实，跨境数据流动规制碎片化，增加贸易成本和阻碍国际贸易发展，导致国际贸易摩擦增加甚至数字保护主义兴起，加剧数字鸿沟与不平等扩大。建议借鉴RTAs和“倡议”规制跨境数据流动的探索经验，推动WTO加强组织跨境数据流动理论、技术、标准等方面的研究，加强与其他国际组织的合作，坚持求同存异的原则，探索数据治理的新形式，促进联合国可持续发展目标的实现。

关键词： WTO;跨境数据流动;数字贸易;数字贸易规则

一、WTO规制全球跨境数据流动的实践

（一）WTO主要协定缺乏规制全球跨境数据流动

GATS包含了跨境数据流动的原则要求。WTO的三大协定，包括1947生效的GATT、1995生效的GATS和1994生效、2017修正的TRIPS，分别在促进货物贸易、服务贸易发展与知识产权保护方面发挥了重大作用。1997生效、2015年扩大产品涵盖范围的《信息技术协定》（ITA）是WTO项下的诸边协定，旨在逐步将信息技术产品的关税削减至零，是与数据相关的重要国际协定，82个成员国代表了全球97%的IT产品出口额。梳理上述WTO主要协定，发现GATS附件的电信5“公共电信传输网和服务的进入和使用”规定，与跨境数据流动相关：“各成员应保证任何其他成员的服务提供者为在境内或跨境传递信息而可以使用公共电信网和服务，包括这些提供者的公司内部通讯，和使用在任何成员境内的数据库或以其他机器可读方式存储的信息。成员的任何新的或修订的措施如果明显影响了这种使用，则应根据本协定有关条款予以通知并接受磋商”。GATS规定隐含支持数据自由流动，但GATS第十四条一般性例外（要求“保护与个人资料的处理和散播有关的个人隐私以及保护个人记录和賬户秘密”）和安全例外（不得解释为“阻止任何成员为保护其基本安全利益而有必要采取的行动”），使跨境数据自由流动具有前提条件，给各国限制数据跨境流动留出了政策空间。

WTO对跨境数据流动达成共识面临挑战。有关数据流动的争论最早出现在20世纪70年代对隐私的担忧，第一个政府间的协定是OECD在1980年制定的《关于隐私保护和个人数据跨境流动的指南》，1981年欧洲委员会也推出“108号公约”以保护个人数据。受限于数字技术、数字贸易和数字经济的突飞猛进发展，全球跨境数据流动规则的建立进展缓慢，现有WTO规则在规制跨境数据流动的适用性存在争议。正因为如此，自2011年以来，陆续有WTO成员国提交议案支持跨境数据流动。美国曾多次要求在电子商务中促进跨境数据流动并限制数据本地化，得到了墨西哥、韩国、澳大利亚等国家的支持，但以印度、印度尼西亚、南非和其他一些非洲国家为代表的大多数发展中国家持反对意见，而德国和法国等发达国家也出于各自考量而不支持这些提案。面对在跨境数据流动上难以达成共识的困难，部分WTO成员开始转向诸边谈判，期待未来条件成熟后，再转为多边协议。历经三年努力，2021年12月，86个WTO成员发表电子商务联合声明倡议（Joint Statement Initiative on E-commerce），在在线消费者保护、电子签名和验证、未经请求的商业电子信息、开放政府数据、电子合同、透明度、无纸化交易以及开放的互联网访问八项条款的谈判中取得了不错成绩，并力争2022年底前就“关税的电子传输、跨境数据流、数据本地化、源代码、电子交易框架、网络安全和电子发票以及市场准入”等大多数议题达成协议。

（二）WTO跨境数据流动规则缺失带来的问题

1.跨境数据流动规制碎片化，增加了贸易成本，阻碍了国际贸易发展。数据作为数字经济的核心驱动力，在数字时代显得尤为重要。目前WTO框架下还没有专门的协议来规制跨境数据流动，各国对此问题纷纷提出了不同的主张。如表1所示，一部分国家在不同程度上要求数据本地化，大部分国家允许有条件的跨境数据流动，少部分国家提倡数据自由流动。以中俄为首的新兴经济体和部分发展中国家，面对国家和信息安全、历史文化传统等原因，对跨境数据流动采取了较为严格的限制。澳大利亚、新加坡、加拿大有开放的传统，菲律宾服务外包高度依赖他国，这些国家追随所谓数字领导者的美国提倡最低程度干涉数据流动。大部分国家对待规制持中立立场，主张有条件的跨境数据流动。不同国家不同的跨境数据流动规则，不仅增加了像微软、亚马逊、阿里巴巴等大型跨国数字平台进入当地的合规成本，也不利于中小微数字公司的成长和发展。高度数据本地化的要求对新兴的数据密集型产业造成不利影响，损害消费者福利，降低服务质量;同时，数据无序自由流动也可能造成数据滥用，被不法分子错误使用，甚至发生网络攻击和恐怖主义活动。

2. 跨境数据流动规制缺少，导致国际贸易摩擦增加与数字保护主义兴起。个人数据保护和数据安全问题在各国的重要性日益凸显，但由于缺乏跨境数据流动的全球规则，以自身利益为出发点，按照本国或本地区法律规则，对涉及跨境数据流动的数字公司予以处置，多次引发国际争议。如表2所示，具有较大争议的事件包括：美国自2019年5月开始多轮制裁华为，不仅禁止华为在美开展业务，还纠集其盟友在全球范围内共同抵制该公司;美国政府认为抖音国际版TikTok和微信涉嫌将美国用户个人数据移交给中国政府，进而可能损害美国国家安全，禁止了两款软件在美国的使用;欧盟法院以Facebook将欧盟用户个人数据传输至美国侵犯了个人隐私安全为由，禁止了其跨境数据流动。目前有关跨境数据流动的冲突主要发生在中美及欧美国家之间，这从侧面反映了中美欧三方是数据治理的主要参与者。作为数字经济规模最大的两个国家，中美之间竞争激烈，中美冲突几乎是全方面的，从数据流动的底层技术到数字应用软件，美国全方位打压中国。美国不仅阻碍中国数据驱动型公司进入美国市场，还要求美国同类公司可以在中国及其它国家自由开展相关业务，彰显其“数据霸权”。美欧冲突的主要矛盾在于个人数据保护，欧洲历来重视个人隐私，特别是前美国中情局雇员斯诺登在2013年揭露“棱镜门”计划后，美欧矛盾进一步激化，虽然双方曾在2016年签署了《隐私盾》协议，但欧盟认为在该协议下，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护，该协议也在2020年7月被废除。另外，冲突发生的另一个主要原因是滥用“国家安全”。

3. 跨境数据流动规制滞后于数字经济发展，导致数字鸿沟与不平等扩大。由于数字基础设施落后，最不发达国家仅有20%的居民使用网络，而且通常面临着较低的网速和相对昂贵的价格。一些贫穷国家和非洲地区由于ICT基础设施缺乏和收入水平低下，导致农村与城市、男性与女性在互联网连接度上存在较大差别。据UNCTAD《数字经济报告2021》顯示，中美领先其他国家，两国拥有约全球50%的超大规模数据中心，在过去五年94%的AI创业公司被中美共享，中美两国的大型数字平台公司占据了同领域全球总市值的约90%。具有规模经济、范围经济、网络效应特征的数字平台，像苹果、微软、亚马逊、字母表（谷歌）、元宇宙（脸书）、腾讯和阿里巴巴逐渐投资于全球数据价值链（Global Data Value Chain）的各个环节，这些公司从全球收集、储存、分析、利用数据，拥有巨大的信息竞争优势，已成为横跨全球的超级数字平台，掌握巨大的金融、市场和科技力量并控制大量的用户数据。发达国家与发展中国家的网络连接度、访问和使用量的差距依然巨大，为可持续发展目标带来了巨大挑战。数据的真正价值在于收集后进行处理和分析、生成数字信息，进而货币化或实现其它目的，现实世界里与数据价值链相关的价值鸿沟已经明显出现。数据资源更多集中于少数大国的超级跨国数字平台公司，部分发展中国家和规模较小的国家仅作为数字平台原始数据提供者的风险日益提升，这与第一次工业革命后的两极分化的产业格局较为相似。图1展示了世界互联网分地区发展水平概况。

二、RTAs和“倡议”规制跨境数据流动的探索

（一）RTAs关于跨境数据流动的已有协定

由于WTO及WTO项下的诸边协定中，缺少跨境数据流动的规制。不少国家寻求区域贸易协定（RTAs）来规范跨境数据流动，进而期望引领世界规则。截止2021年2月，向WTO通报并有效的RTA共326起，其中109起包含数字贸易条款，或多或少涉及跨境数据流动。2016年，美国主导的《跨太平伙伴关系协定》（TPP）成为第一个包含跨境数据流动约束性规则的贸易协定，为其后的区域协定提供了参考依据。美国退出TPP后，《全面与进步跨太平伙伴关系协定》（CPTPP）基本继承了其内容，对待跨境数据流动问题，其14章规定“缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求”“缔约方应允许通过电子方式跨境传输信息，包括个人信息，如这一活动用于涵盖的人开展业务”。“为实现合法公共政策目标”，缔约方被允许采取或维持不一致的措施，前提是只要该措施“不以构成任意或不合理歧视或对贸易构成变相限制的方式”“不对信息传输施加超出实现目标所需限度的限制”。对待数据本地化问题，缔约方“不得要求一个涵盖的人在该缔约方领土内将使用或设置计算设施作为在其领土内开展业务的条件”，一般例外与跨境数据流动例外情况相同。2018年的《美墨加协议》（USMCA）基本沿袭了TPP/CPTPP的内容，但是取消了计算设施本地化的例外条款。《区域全面经济伙伴关系协定》（RCEP）很大程度上也参考了TPP/CPTPP，但给予各成员方相当大的权力可以采用措施限制跨境数据流动和要求数据本地化，如针对例外条款增加“本条的任何规定不得阻止一缔约方采取或维持：该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议”，把“为实现合法公共政策目标”修改为“该缔约方认为是其实现合法的公共政策目标所必要的措施”。RCEP目前没有提供数据治理承诺的政府间争端解决机制，RCEP相对CPTPP更加灵活包容，有利于不同发展水平的国家加入。

（二）“倡议”约束跨境数据流动

除了贸易协定安排，应对跨境数据流动还采用论坛或倡议的形式。

一是OECD在2013年更新了其1980年的指南，内容包含保护和限制个人数据收集、用户有权访问他们数据的保障措施，呼吁成员国促进跨境数据流动。

二是2019年在大阪举行的G20峰会提出了“可信赖的数据自由流动”，领导人的宣言强调数据流动的重要性，同时承认与隐私、安全和数据保护相关的挑战，然而，这一倡议由于印度尼西亚、印度和南非并没有签署而缺乏共识，给其蒙上了一层阴影。

三是2020年6月，新加坡、智利和新西兰三国签署了《数字经济伙伴关系协定》（DEPA），这一协定涵盖了一系列与数字经济和数字贸易相关的议题，其中4.2、4.3和4.4章节专门处理跨境数据流动与数据本地化问题。4.2增加了承诺采用法律框架保护个人数据时的透明和非歧视，4.3增加了个人信息也可自由流动，4.4增加了争端解决机制，其它与CPTPP规定类似。DEPA协定的最大优势在于其开放性，协定由包含16个主题的模块构成，参与者可以根据各自国情选择特定的条款。

四是亚太经合组织（APEC）的跨境隐私规制体系（CBPR），CBPR作为一种倡议形式，是基于2005年的APEC隐私框架发起的。CBPR体系是一个隐私认证体系，公司只要证明其遵守数据隐私保护并有相关保护措施就可以加入该体系，国家需要证明国内认证的公司若违反规则会受到强制性措施。CBPR体系为治理跨境数据流动提供了有益的参考，但APEC成员是自愿加入该体系，目前也仅有9个成员（加拿大、日本、美国、韩国、墨西哥、新加坡、菲律宾、澳大利亚、中国台湾）加入，约束力和参与意愿比较小。

有关跨境数据流动的主要协定或倡议，详见表3。

（三）RTAs和“倡议”规制跨境数据流动的困境

1. 缺乏数据和跨境数据流动的理论支撑。数据是所有数字技术快速进步的核心，然而，目前尚无关于跨境数据流动的理论框架，导致在分析和制定政策时复杂性增加。一是数据产权及其价值测度问题。数据是一种特殊的无形资源，它具有非竞争性和不同程度的排他性，既可以是私人产品，也可以是俱乐部和公共产品。集体数据一般比个体独自的数据价值更大。数据不仅对个人和企业具有价值，对整个社会也具有经济价值，数据还与隐私、人权、国家安全等相关。二是数据的属性与分类标准问题。大部分数据跨境流动仅作为国际贸易的附属品存在而没有货币交易，OECD没有把与特定商品或服务无关的原始数据流动纳入数字贸易概念的范畴。数据和跨境数据流动的复杂性强，目前缺乏权威的流动数据统计。数据可以划分为商业数据、政府和公共数据、消费者数据，又可以划分为消费、健康、金融、社交等类型。三是数据的主权问题。数据的特殊性挑战主权，传统的国家主权与国家边界相关，而数据所属的数字空间具有开放性、全球性与无边界性，这使得依赖于贸易类型、价值和地点的数据统计信息而进行的传统国际贸易治理方式面临挑战。

2.加剧地缘政治博弈与大国竞争。数字经济的主要参与者对如何治理数据流动和发展数字经济各有主张，部分观点甚至相矛盾。从全球来看，目前主要存在三种数据治理模式：美国模式提倡数据自由流动;中国模式强调在维护国家安全的前提下促进数字发展;欧盟模式主张保护个人数据和尊重人权。三种模式中尤以中美之间分歧较大。中美在数据本地化存储和开放源代码两个议题上存在较大分歧，对包括AI相关技术在内的数据治理标准存有不同意见。尽管各方目标不完全一致，但有迹象表明数据大国之间呈现趋同之势。美国从提倡市场自由，到如今限制外国数据驱动型公司进入其市场，禁止与国防及国家安全相关的数据流出。中国对跨境数据流动的限制有所减弱，2020年中国政府允许跨境数据在海南自由贸易港流动，2021年先后申请加入含有跨境数据高度自由流动的协议——DEPA与CPTPP。

三、未来WTO规制全球跨境数据流动的建议

数据是所有数字技术的核心，关乎联合国可持续发展目标的实现。选择何种方式规制跨境数据流动不仅会影响到贸易、创新和经济增长，还与数字化收益分配、人权、法律实施和国家安全等问题相关。全球跨境数据流动治理，需要在双边诸边多邊等实践的基础上，最终回归到WTO框架下。中国应代表最广大国家的利益，在推动WTO规制全球跨境数据流动方面有所作为。具体建议如下：

一是推动WTO加强组织跨境数据流动有关理论、技术、标准等方面的研究，尽快达成共识。WTO组织或支持跨境数据流动研究，研究范畴涵盖经济和发展、技术、伦理、政治、地理、法律等多学科领域。WTO尽快明确跨境数据流动的内涵与外延，出台详细的数据分类、数据分级标准。探索界定数据的主权、产权、使用权和申诉权，重视数据的非经济价值，保护个人隐私、商业秘密和国家安全。

二是推动WTO加强与其他国际组织的合作，凝聚多方力量。新冠疫情给人类留下了宝贵的重要经验，数据交流能够在应对全球性公共危机时发挥重大作用。WTO需要与联合国、世界银行等国际组织合作，协同各国政府、公民社会团体、私人部门利益相关者来共同解决数据治理难题。数字平台治理、数字税、数据权利与原则、数据公共产品等问题，需要动用全球力量来完成。

三是推动WTO坚持求同存异的原则，寻求最大公约数。欠发达国家、大多数发展中国家由于信息基础设施薄弱和缺乏大型数字公司，在含有跨境数据流动的协定和倡议中参与度较低，有的国家甚至不主张跨境数据自由流动。考虑到各国巨大的差异，为了防止数据治理的碎片化和数字鸿沟的扩大，WTO框架下的跨境数据流动规制需要灵活和包容。建议给予发展中国家或数字能力较弱的国家以暂时的低门槛和过渡性安排，使不同准备程度的国家都可以从数据跨境流动中获益。建议WTO寻找更为妥善的方法，兼顾数据自由流动与安全管理，既要实现数字化收益在国内与国际间公平的分配，也要应对与人权和国家安全相关的风险。

四是推动WTO探索跨境数据治理的新形式，尽快出台专门的数字贸易协定。现有的世贸组织框架，无论是在GATS，还是电子商务宣言，都不能满足处理全球数据治理的需要和特定问题。建议WTO制定以跨境数据流动为核心的专门的数字贸易协定，建立合适的规则对全球跨境数据流动进行治理。治理内容可包含：公共数据开放共享机制，推进公共数据归集整合、有序流通和共享;建立健全数据流通交易规则，在保护个人隐私和确保数据安全的前提下，分级分类、分步有序推动数据跨境流通应用;拓展规范化数据开发利用场景，发挥领军企业和行业组织作用，推动人工智能、区块链、互联网、物联网等领域数据采集标准化;推动完善数据分级分类安全保护制度，运用技术手段构建数据安全风险防控体系，探索数据跨境流动管控方式，完善重要数据出境安全管理制度。

参考文献：

[1]王中美.跨境数据流动的全球治理框架：分歧与妥协[J].国际经贸探索，2021（4）：98-112.

[2]杨楠.大国“数据战”与全球数据治理的前景[J].社会科学，2021（7）：44-58.

[3]金晶.个人数据跨境传输的欧盟标准——规则建构、司法推动与范式扩张[J].欧洲研究，2021（4）：89-109+7.

[4] Richard D. Taylor. “Data localization”： The internet in the balance[J]. Telecommunications Policy，2020（8）.

[作者简介]徐德顺（1966—），男，商务部国际贸易经济合作研究院研究员，本刊编委;研究方向：国际经贸与国际金融、复杂经济系统。刘昆（1998—），男，商务部国际贸易经济合作研究院硕士研究生;研究方向：国际贸易、数字经济。