從2018年開始,公號(hào)君就開始給有關(guān)數(shù)字貿(mào)易協(xié)定談判提供技術(shù)支撐工作。很高興能看到:9月16日,中國(guó)正式提出申請(qǐng)加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)。但與此同時(shí),部分CPTPP成員國(guó)已經(jīng)對(duì)我國(guó)數(shù)據(jù)跨境和數(shù)據(jù)本地化方面的規(guī)定是否能夠符合CPTPP相關(guān)條款的紀(jì)律要求,提出了質(zhì)疑。對(duì)于這個(gè)問題的回答,是個(gè)系統(tǒng)性的工程。公號(hào)君將會(huì)把在提供技術(shù)支撐工作中形成的一些未在正式報(bào)告中所采用的的研究資料和大家分享。
我國(guó)能否成功加入CPTPP,一個(gè)重要的問題是,CPTPP14.11和14.13條中提到的“需要的(required)”是否采取了WTO案例法中的“必要性測(cè)試”。眾所周知,“必要性測(cè)試”的門檻特別高,現(xiàn)有案例中鮮有締約國(guó)的國(guó)內(nèi)法能夠通過該測(cè)試。
如果CPTPP所說的“需要的(required)”等同于“必要性測(cè)試”,那對(duì)我國(guó)來說,很不容易。但目前,除了CPTPP成員國(guó)談判專家論述過CPTPP有意和WTO拉開距離之外,我們還能有來自其他方面的確信嗎?
因此,第一篇關(guān)注歐盟的GDPR能夠通過WTO的必要性測(cè)試問題。初步分析表明,歐盟自身并不認(rèn)為GDPR能夠通過必要性測(cè)試。
但為什么關(guān)注歐盟?歐盟又不會(huì)加入CPTPP,研究歐盟對(duì)我國(guó)加入CPTPP有什么幫助嗎?因?yàn)槟壳埃?guó)正處于加入CPTPP的談判之中,日本對(duì)英國(guó)的加入信心滿滿(但日本對(duì)我國(guó)卻表示了嚴(yán)重質(zhì)疑)。但是英國(guó)在國(guó)內(nèi)立法中吸納了GDPR,并獲得了歐盟委員會(huì)的充分性認(rèn)定。如果英國(guó)最終能夠加入CPTPP,那就能直接說明CPTPP14.11和14.13條中提到的需要的(required)并沒有采用WTO案例法中的必要性測(cè)試。確實(shí),這個(gè)研究路徑有點(diǎn)繞,但也是無奈之舉。
就數(shù)據(jù)跨境流動(dòng)和計(jì)算設(shè)施本地化來說,歐盟在雙多邊自貿(mào)協(xié)定中從沒有接受類似于CPTPP的14.11和14.13的案文。既有觀點(diǎn)認(rèn)為主要原因是歐盟對(duì)于自己的GDPR能否通過GATS一般性例外存在擔(dān)憂。本附件對(duì)此做專題研究。
一、GDPR數(shù)據(jù)跨境流動(dòng)管控機(jī)制簡(jiǎn)介
1、基本要求
GDPR第44條規(guī)定了歐盟個(gè)人數(shù)據(jù)跨境流動(dòng)的基本原則,核心是確保在跨境傳輸?shù)那樾沃校珿DPR提供的個(gè)人數(shù)據(jù)保護(hù)水平“不會(huì)減損”(not undermined)。也就是說,GDPR提供的保護(hù)水平應(yīng)該隨著個(gè)人數(shù)據(jù)的流動(dòng)而流動(dòng)(follow the data)。按照GDPR的邏輯,個(gè)人數(shù)據(jù)受保護(hù)是一項(xiàng)基本人權(quán)。因此個(gè)人信息在跨境場(chǎng)景下的保護(hù),也主要目的是為了保障個(gè)人合法權(quán)益,即便數(shù)據(jù)已經(jīng)流出了國(guó)境。該要求被歐盟法院在判例中發(fā)展為“實(shí)質(zhì)等同”(essentially equivalent)原則,即并不要求數(shù)據(jù)接收國(guó)的法律與GDPR一致,但應(yīng)當(dāng)提供“實(shí)質(zhì)等同”的保護(hù)水平。
2、具體措施
在GDPR看來,數(shù)據(jù)流出國(guó)境,與數(shù)據(jù)在境內(nèi)流動(dòng)相比,有三個(gè)主要的變化:一是數(shù)據(jù)流出后適用的法律法規(guī)不同了;二是原境內(nèi)監(jiān)管機(jī)關(guān)無法對(duì)接收數(shù)據(jù)的境外主體實(shí)施管轄權(quán);三是個(gè)人數(shù)據(jù)主體維護(hù)自身合法權(quán)益的渠道變少了,且變得更加困難。因此,GDPR數(shù)據(jù)跨境流動(dòng)制度的主要設(shè)計(jì),主要著力于解決上述三方面問題。在具體制度設(shè)計(jì)方面,GDPR在第五章規(guī)定了豐富的數(shù)據(jù)跨境傳輸機(jī)制,由于認(rèn)、行為準(zhǔn)則等機(jī)制尚未正式實(shí)施,本節(jié)將重點(diǎn)討論標(biāo)準(zhǔn)格式合同條款、有拘束力公司準(zhǔn)則以及充分性認(rèn)定三種機(jī)制。
根據(jù)GDPR的規(guī)定,標(biāo)準(zhǔn)格式合同條款(standard contract clauses, SCC)是由歐盟委員會(huì)或監(jiān)管機(jī)構(gòu)通過的、企業(yè)與企業(yè)之間將歐盟公民個(gè)人數(shù)據(jù)跨境傳輸?shù)綒W盟境外所采用的合同模板。SCC通過固定數(shù)據(jù)出境后所受保護(hù)原則,決定數(shù)據(jù)出境后所受保護(hù)水平)。同時(shí),SCC也引入問責(zé)制,通過法律責(zé)任劃分的形式,將境內(nèi)組織明確為主要問責(zé)主體,為境內(nèi)監(jiān)管機(jī)關(guān)追究責(zé)任提供了便利。當(dāng)然,境內(nèi)主體也可以通過合同的形式,繼續(xù)追究境外主體的責(zé)任。此外,SCC還在其合同中規(guī)定了個(gè)人數(shù)據(jù)主體可以基于合同擁有一些特定的權(quán)利。
有約束力的公司準(zhǔn)則(binding corporate rules, BCR),主要適用于跨國(guó)公司、集團(tuán)公司,也是著力于上述三個(gè)方面。跨國(guó)公司、集團(tuán)公司可制定約束企業(yè)內(nèi)部之間進(jìn)行數(shù)據(jù)跨境傳輸?shù)膫€(gè)人數(shù)據(jù)保護(hù)規(guī)則,如果歐盟認(rèn)可BCR提供的數(shù)據(jù)保護(hù)水平,便可以在集團(tuán)內(nèi)部進(jìn)行數(shù)據(jù)跨境傳輸,無需另行批準(zhǔn)。BCR的保障機(jī)制在于即便跨國(guó)分公司所在國(guó)家的保護(hù)水平比較低,則該分公司還是需要遵守BCR,根據(jù)BCR規(guī)定的原則提供數(shù)據(jù)保護(hù)。具體來說,特定公司在提交BCR申請(qǐng)時(shí),需要確定主申報(bào)國(guó)家。一旦主申報(bào)國(guó)家確定,則以該公司在主申報(bào)國(guó)家的主體作為承擔(dān)有關(guān)于數(shù)據(jù)出境的所有法律責(zé)任的主體——即監(jiān)管機(jī)關(guān)、個(gè)人數(shù)據(jù)主體,均可以通過境內(nèi)的公司主體來追究法律責(zé)任。
充分性認(rèn)定是GDPR核心的數(shù)據(jù)跨境流動(dòng)機(jī)制,只有數(shù)據(jù)接收方所在國(guó)家具有與歐盟實(shí)質(zhì)等同的個(gè)人數(shù)據(jù)保護(hù)水平,數(shù)據(jù)方可向其進(jìn)行跨境傳輸。在GDPR第45條明確指出在進(jìn)行充分性認(rèn)定時(shí)所考慮的相關(guān)因素,包括法治和基本人權(quán)保護(hù)程度、是否存在獨(dú)立且有效運(yùn)轉(zhuǎn)的監(jiān)管機(jī)構(gòu)等。對(duì)某個(gè)國(guó)家或地區(qū)進(jìn)行充分性認(rèn)定,就意味著對(duì)該國(guó)家或地區(qū)法律法規(guī)的認(rèn)可;意味著認(rèn)可該國(guó)家或地區(qū)監(jiān)管機(jī)關(guān)對(duì)數(shù)據(jù)保護(hù)的執(zhí)法力度;也意味著個(gè)人行使權(quán)利便利程度的認(rèn)可。因此,充分性認(rèn)定是個(gè)非常慎重的過程,需要全方面的考察。目前,歐盟確認(rèn)英國(guó)、安道爾、阿根廷、加拿大(商業(yè)組織)、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士和烏拉圭等國(guó)家或地區(qū)具有同等數(shù)據(jù)保護(hù)水平。
此外,GDPR第49條也規(guī)定了基于公共利益、為提起、行使或抗辯法律訴求等例外情形,或者僅涉及偶發(fā)、少量數(shù)據(jù)的跨境流動(dòng)請(qǐng)情形,允許在欠缺前述三種機(jī)制條件下,進(jìn)行數(shù)據(jù)跨境流動(dòng)。從上述角度來看,個(gè)人同意無法“補(bǔ)齊”數(shù)據(jù)出境帶來的三個(gè)變化。所以GDPR并不將個(gè)人同意作為出境的先決條件。在實(shí)踐中,如果將同意作為個(gè)人信息出境的條件,主要的場(chǎng)景是偶發(fā)、單次、數(shù)量較少,且其他出境制度(如充分性認(rèn)定、標(biāo)準(zhǔn)格式條款、有約束力的公司準(zhǔn)則等)均不適用的情況下。
二、從GATS一般性例外檢視GDPR
第一,GDPR對(duì)國(guó)際服務(wù)貿(mào)易的具體影響,可能影響“必要性測(cè)試”所要求的“衡量和平衡”。例如,2020年7月16日,歐盟法院就備受關(guān)注的Schrems II案作出判決,認(rèn)定因美國(guó)數(shù)據(jù)保護(hù)水平未能達(dá)到歐盟標(biāo)準(zhǔn),歐盟與美國(guó)在2016年達(dá)成的美歐數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制“歐美隱私盾”協(xié)議無效。與此同時(shí),在判決中歐盟法院卻支持歐盟標(biāo)準(zhǔn)合同條款(“SCC”)繼續(xù)有效,但數(shù)據(jù)出口方和接收方都有義務(wù),“一事一議”地在數(shù)據(jù)跨境前去評(píng)估第三國(guó)是否提供充分?jǐn)?shù)據(jù)保護(hù)水平;必要時(shí),可以增加額外的保護(hù)措施。數(shù)據(jù)接收方一旦發(fā)現(xiàn)自己不能遵守SCC(比如第三國(guó)執(zhí)法協(xié)助請(qǐng)求不允許接收方向出口方披露),則接收方有義務(wù)立即通知數(shù)據(jù)出口方自己不能遵守SCC,出口方應(yīng)該暫停或者終止數(shù)據(jù)跨境;如果出口方?jīng)Q定繼續(xù)跨境轉(zhuǎn)移,應(yīng)該通知本國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)。除非有歐盟委員會(huì)對(duì)第三國(guó)的“數(shù)據(jù)保護(hù)充分性”認(rèn)定,數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)一旦認(rèn)為SCC不能在當(dāng)?shù)貒?guó)家得到遵從,而且也不能通過其他方式提供同等于歐盟的數(shù)據(jù)保護(hù)水平時(shí),監(jiān)管機(jī)構(gòu)應(yīng)該暫停或者禁止數(shù)據(jù)轉(zhuǎn)移到第三國(guó)。歐盟和成員國(guó)必須執(zhí)行法院對(duì)GDPR條款的新解釋,由于對(duì)額外保護(hù)措施的評(píng)估和實(shí)施極端困難,存在重大不確定性,因此GDPR對(duì)服務(wù)貿(mào)易的具體限制,會(huì)影響必要性測(cè)試的判斷。
第二,如果投訴方援引能夠確保遵守?cái)?shù)據(jù)保護(hù)法的“限制性較小的替代方案”,那么確保合規(guī)所需措施的“必要性”最終會(huì)受到質(zhì)疑。國(guó)際上公認(rèn)GDPR對(duì)個(gè)人數(shù)據(jù)提供了最高水平的保護(hù)措施,而且這些保護(hù)措施通過數(shù)據(jù)跨境流動(dòng)管控規(guī)則來防止被規(guī)避。將這些規(guī)則與其他國(guó)家或地區(qū)的數(shù)據(jù)保護(hù)框架進(jìn)行測(cè)試,特別是美國(guó)極力推行的APEC的CBRPs制度,WTO裁決機(jī)構(gòu)可能認(rèn)為在確保遵守歐盟數(shù)據(jù)保護(hù)法方面,存在一些限制性較小的可替代性措施。具體來說,CBPRs的宗旨是通過特定的機(jī)制保障APEC隱私框架中九大原則在成員經(jīng)濟(jì)體中得到實(shí)現(xiàn),為亞太地區(qū)的個(gè)人信息隱私保護(hù)提供了指導(dǎo)性原則和標(biāo)準(zhǔn),最終促使區(qū)域內(nèi)個(gè)人信息在得到保護(hù)的基礎(chǔ)上實(shí)現(xiàn)無障礙流動(dòng),推動(dòng)亞太地區(qū)跨境電子商務(wù)的發(fā)展。究其實(shí)質(zhì),CBPRs促進(jìn)個(gè)人數(shù)據(jù)跨境流動(dòng)的基本邏輯是,如果位處于不同國(guó)家的不同公司,統(tǒng)一承諾并遵循APEC隱私框架提出的九大個(gè)人數(shù)據(jù)保護(hù)原則,則個(gè)人數(shù)據(jù)在這些公司之間流動(dòng)就應(yīng)該不受阻礙。相應(yīng)地,由于這些公司都通過同一套原則來保護(hù)個(gè)人數(shù)據(jù),那參與CBPRs的國(guó)家就不得再以保護(hù)個(gè)人數(shù)據(jù)為理由,阻礙個(gè)人數(shù)據(jù)的跨境流動(dòng)。
第三,即使GDPR關(guān)于數(shù)據(jù)跨境流動(dòng)管控規(guī)則被認(rèn)為是必要的,但仍有一種觀點(diǎn)認(rèn)為,這些規(guī)定的潛在不一致的實(shí)施將經(jīng)不起GATS第14條“起首部分”的考驗(yàn)。例如,歐盟法院兩次對(duì)Schrems案件的判決,事實(shí)上將“充分性認(rèn)定”和“有約束力的公司準(zhǔn)則”凸出為最牢靠和穩(wěn)定的數(shù)據(jù)跨境流動(dòng)工具。前者需要?dú)W盟委員會(huì)對(duì)數(shù)據(jù)接收國(guó)進(jìn)行全面詳盡的評(píng)估,后者同樣需要?dú)W盟成員國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)所提交的公司準(zhǔn)則進(jìn)行全面詳盡的評(píng)估,兩者均有賴于歐盟單方面的自由裁量。特別是對(duì)于充分性認(rèn)定,歐盟委員會(huì)曾在正式的通信中表態(tài):是否啟動(dòng)對(duì)某個(gè)國(guó)家的“充分性認(rèn)定”進(jìn)程,所考慮的主要方面,包括特定國(guó)家與歐盟之間的商貿(mào)關(guān)系、數(shù)據(jù)流動(dòng)情況,特定國(guó)家在其所在區(qū)域中是否是隱私和數(shù)據(jù)保護(hù)的領(lǐng)頭羊,以及特定國(guó)家與歐盟的政治關(guān)系,特別是是否秉持共同的價(jià)值和目標(biāo)。
三、歐盟提出的數(shù)據(jù)跨境流動(dòng)和計(jì)算設(shè)施本地化的案文
從WTO合并談判文本來看,歐盟對(duì)于數(shù)據(jù)跨境流動(dòng)和計(jì)算設(shè)施本地化的條文分兩段,本附件以條文A和條文B來指代。其中,條文A主要規(guī)定了數(shù)據(jù)(包括各種類型的數(shù)據(jù),其中包含個(gè)人數(shù)據(jù))跨境流動(dòng)。條文B主要是在A的基礎(chǔ)上,就個(gè)人數(shù)據(jù)做出專門的規(guī)定。
首先看條文A。條文A要求:各國(guó)政府不應(yīng)限制數(shù)據(jù)跨境流,其中包括四個(gè)具體方面:(1)不得要求使用一方境內(nèi)的計(jì)算設(shè)備或網(wǎng)絡(luò)元件(network elements)進(jìn)行數(shù)據(jù)處理,包括要求使用經(jīng)在一方境內(nèi)認(rèn)證或批準(zhǔn)的計(jì)算設(shè)備或網(wǎng)絡(luò)元件;(2)不得要求數(shù)據(jù)在一方境內(nèi)進(jìn)行本地化存儲(chǔ)或處理;(3)不得禁止在他方境內(nèi)進(jìn)行數(shù)據(jù)存儲(chǔ)或處理;(4)不得把使用一方境內(nèi)的計(jì)算設(shè)備或網(wǎng)絡(luò)元件,或者是否事先滿足一方境內(nèi)的本地化要求,作為數(shù)據(jù)跨境流動(dòng)的前提條件。因此,條文A主要起到禁止數(shù)據(jù)本地化的作用。
再來看條文B。條文B主要針對(duì)個(gè)人數(shù)據(jù),因此本質(zhì)上是在條文A的基礎(chǔ)上,就個(gè)人數(shù)據(jù)“開辟”出一個(gè)例外,以符合GDPR的規(guī)定。條文B規(guī)定:(1)各方認(rèn)可,個(gè)人數(shù)據(jù)和隱私獲得保護(hù)是一項(xiàng)基本權(quán)利,在這一方面設(shè)立較高標(biāo)準(zhǔn)有助于數(shù)字經(jīng)濟(jì)中的互信和貿(mào)易的發(fā)展。(2)各方均可采取并維持其認(rèn)為適當(dāng)?shù)谋U洗胧ㄍㄟ^和實(shí)施個(gè)人數(shù)據(jù)跨境傳輸規(guī)則,以確保對(duì)個(gè)人數(shù)據(jù)和隱私的保護(hù)。本協(xié)定中的任何內(nèi)容均不影響各方的保障措施對(duì)個(gè)人數(shù)據(jù)和隱私提供的保護(hù)。
從條文B來看,事實(shí)上達(dá)到的效果就是歐盟(包括其他接受該條款的簽署國(guó))可以為保護(hù)個(gè)人數(shù)據(jù)和隱私,采取各自認(rèn)為恰當(dāng)?shù)恼摺⒘⒎ā⒋胧┑龋▽?duì)個(gè)人數(shù)據(jù)的跨境流動(dòng)進(jìn)行專門的監(jiān)管。而這樣的監(jiān)管措施,可以包含數(shù)據(jù)(和設(shè)施的)本地化規(guī)定。
話句話說,歐盟并不接受其GDPR需要接受必要性測(cè)試的考驗(yàn),而是另起爐灶提出了新的案文。(完)
