從2018年開始，公號君就開始給有關數(shù)字貿易協(xié)定談判提供技術支撐工作。很高興能看到：9月16日，中國正式提出申請加入《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）。但與此同時，部分CPTPP成員國已經(jīng)對我國數(shù)據(jù)跨境和數(shù)據(jù)本地化方面的規(guī)定是否能夠符合CPTPP相關條款的紀律要求，提出了質疑。對于這個問題的回答，是個系統(tǒng)性的工程。公號君將會把在提供技術支撐工作中形成的一些未在正式報告中所采用的的研究資料和大家分享。

　　我國能否成功加入CPTPP，一個重要的問題是，CPTPP14.11和14.13條中提到的“需要的（required）”是否采取了WTO案例法中的“必要性測試”。眾所周知，“必要性測試”的門檻特別高，現(xiàn)有案例中鮮有締約國的國內法能夠通過該測試。

　　如果CPTPP所說的“需要的（required）”等同于“必要性測試”，那對我國來說，很不容易。但目前，除了CPTPP成員國談判專家論述過CPTPP有意和WTO拉開距離之外，我們還能有來自其他方面的確信嗎？

　　因此，第一篇關注歐盟的GDPR能夠通過WTO的必要性測試問題。初步分析表明，歐盟自身并不認為GDPR能夠通過必要性測試。

　　但為什么關注歐盟？歐盟又不會加入CPTPP，研究歐盟對我國加入CPTPP有什么幫助嗎？因為目前，英國正處于加入CPTPP的談判之中，日本對英國的加入信心滿滿（但日本對我國卻表示了嚴重質疑）。但是英國在國內立法中吸納了GDPR，并獲得了歐盟委員會的充分性認定。如果英國最終能夠加入CPTPP，那就能直接說明CPTPP14.11和14.13條中提到的需要的（required）并沒有采用WTO案例法中的必要性測試。確實，這個研究路徑有點繞，但也是無奈之舉。

　　就數(shù)據(jù)跨境流動和計算設施本地化來說，歐盟在雙多邊自貿協(xié)定中從沒有接受類似于CPTPP的14.11和14.13的案文。既有觀點認為主要原因是歐盟對于自己的GDPR能否通過GATS一般性例外存在擔憂。本附件對此做專題研究。

　　一、GDPR數(shù)據(jù)跨境流動管控機制簡介

　　1、基本要求

　　GDPR第44條規(guī)定了歐盟個人數(shù)據(jù)跨境流動的基本原則，核心是確保在跨境傳輸?shù)那樾沃?，GDPR提供的個人數(shù)據(jù)保護水平“不會減損”（not undermined）。也就是說，GDPR提供的保護水平應該隨著個人數(shù)據(jù)的流動而流動（follow the data）。按照GDPR的邏輯，個人數(shù)據(jù)受保護是一項基本人權。因此個人信息在跨境場景下的保護，也主要目的是為了保障個人合法權益，即便數(shù)據(jù)已經(jīng)流出了國境。該要求被歐盟法院在判例中發(fā)展為“實質等同”（essentially equivalent）原則，即并不要求數(shù)據(jù)接收國的法律與GDPR一致，但應當提供“實質等同”的保護水平。

　　2、具體措施

　　在GDPR看來，數(shù)據(jù)流出國境，與數(shù)據(jù)在境內流動相比，有三個主要的變化：一是數(shù)據(jù)流出后適用的法律法規(guī)不同了；二是原境內監(jiān)管機關無法對接收數(shù)據(jù)的境外主體實施管轄權；三是個人數(shù)據(jù)主體維護自身合法權益的渠道變少了，且變得更加困難。因此，GDPR數(shù)據(jù)跨境流動制度的主要設計，主要著力于解決上述三方面問題。在具體制度設計方面，GDPR在第五章規(guī)定了豐富的數(shù)據(jù)跨境傳輸機制，由于認、行為準則等機制尚未正式實施，本節(jié)將重點討論標準格式合同條款、有拘束力公司準則以及充分性認定三種機制。

　　根據(jù)GDPR的規(guī)定，標準格式合同條款（standard contract clauses, SCC）是由歐盟委員會或監(jiān)管機構通過的、企業(yè)與企業(yè)之間將歐盟公民個人數(shù)據(jù)跨境傳輸?shù)綒W盟境外所采用的合同模板。SCC通過固定數(shù)據(jù)出境后所受保護原則，決定數(shù)據(jù)出境后所受保護水平）。同時，SCC也引入問責制，通過法律責任劃分的形式，將境內組織明確為主要問責主體，為境內監(jiān)管機關追究責任提供了便利。當然，境內主體也可以通過合同的形式，繼續(xù)追究境外主體的責任。此外，SCC還在其合同中規(guī)定了個人數(shù)據(jù)主體可以基于合同擁有一些特定的權利。

　　有約束力的公司準則（binding corporate rules, BCR），主要適用于跨國公司、集團公司，也是著力于上述三個方面?？鐕尽⒓瘓F公司可制定約束企業(yè)內部之間進行數(shù)據(jù)跨境傳輸?shù)膫€人數(shù)據(jù)保護規(guī)則，如果歐盟認可BCR提供的數(shù)據(jù)保護水平，便可以在集團內部進行數(shù)據(jù)跨境傳輸，無需另行批準。BCR的保障機制在于即便跨國分公司所在國家的保護水平比較低，則該分公司還是需要遵守BCR，根據(jù)BCR規(guī)定的原則提供數(shù)據(jù)保護。具體來說，特定公司在提交BCR申請時，需要確定主申報國家。一旦主申報國家確定，則以該公司在主申報國家的主體作為承擔有關于數(shù)據(jù)出境的所有法律責任的主體——即監(jiān)管機關、個人數(shù)據(jù)主體，均可以通過境內的公司主體來追究法律責任。

　　充分性認定是GDPR核心的數(shù)據(jù)跨境流動機制，只有數(shù)據(jù)接收方所在國家具有與歐盟實質等同的個人數(shù)據(jù)保護水平，數(shù)據(jù)方可向其進行跨境傳輸。在GDPR第45條明確指出在進行充分性認定時所考慮的相關因素，包括法治和基本人權保護程度、是否存在獨立且有效運轉的監(jiān)管機構等。對某個國家或地區(qū)進行充分性認定，就意味著對該國家或地區(qū)法律法規(guī)的認可；意味著認可該國家或地區(qū)監(jiān)管機關對數(shù)據(jù)保護的執(zhí)法力度；也意味著個人行使權利便利程度的認可。因此，充分性認定是個非常慎重的過程，需要全方面的考察。目前，歐盟確認英國、安道爾、阿根廷、加拿大（商業(yè)組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士和烏拉圭等國家或地區(qū)具有同等數(shù)據(jù)保護水平。

　　此外，GDPR第49條也規(guī)定了基于公共利益、為提起、行使或抗辯法律訴求等例外情形，或者僅涉及偶發(fā)、少量數(shù)據(jù)的跨境流動請情形，允許在欠缺前述三種機制條件下，進行數(shù)據(jù)跨境流動。從上述角度來看，個人同意無法“補齊”數(shù)據(jù)出境帶來的三個變化。所以GDPR并不將個人同意作為出境的先決條件。在實踐中，如果將同意作為個人信息出境的條件，主要的場景是偶發(fā)、單次、數(shù)量較少，且其他出境制度（如充分性認定、標準格式條款、有約束力的公司準則等）均不適用的情況下。

　　二、從GATS一般性例外檢視GDPR

　　第一，GDPR對國際服務貿易的具體影響，可能影響“必要性測試”所要求的“衡量和平衡”。例如，2020年7月16日，歐盟法院就備受關注的Schrems II案作出判決，認定因美國數(shù)據(jù)保護水平未能達到歐盟標準，歐盟與美國在2016年達成的美歐數(shù)據(jù)跨境轉移機制“歐美隱私盾”協(xié)議無效。與此同時，在判決中歐盟法院卻支持歐盟標準合同條款（“SCC”）繼續(xù)有效，但數(shù)據(jù)出口方和接收方都有義務，“一事一議”地在數(shù)據(jù)跨境前去評估第三國是否提供充分數(shù)據(jù)保護水平；必要時，可以增加額外的保護措施。數(shù)據(jù)接收方一旦發(fā)現(xiàn)自己不能遵守SCC（比如第三國執(zhí)法協(xié)助請求不允許接收方向出口方披露），則接收方有義務立即通知數(shù)據(jù)出口方自己不能遵守SCC，出口方應該暫?；蛘呓K止數(shù)據(jù)跨境；如果出口方?jīng)Q定繼續(xù)跨境轉移，應該通知本國數(shù)據(jù)保護監(jiān)管機構。除非有歐盟委員會對第三國的“數(shù)據(jù)保護充分性”認定，數(shù)據(jù)保護監(jiān)管機構一旦認為SCC不能在當?shù)貒业玫阶駨模乙膊荒芡ㄟ^其他方式提供同等于歐盟的數(shù)據(jù)保護水平時，監(jiān)管機構應該暫?；蛘呓箶?shù)據(jù)轉移到第三國。歐盟和成員國必須執(zhí)行法院對GDPR條款的新解釋，由于對額外保護措施的評估和實施極端困難，存在重大不確定性，因此GDPR對服務貿易的具體限制，會影響必要性測試的判斷。

　　第二，如果投訴方援引能夠確保遵守數(shù)據(jù)保護法的“限制性較小的替代方案”，那么確保合規(guī)所需措施的“必要性”最終會受到質疑。國際上公認GDPR對個人數(shù)據(jù)提供了最高水平的保護措施，而且這些保護措施通過數(shù)據(jù)跨境流動管控規(guī)則來防止被規(guī)避。將這些規(guī)則與其他國家或地區(qū)的數(shù)據(jù)保護框架進行測試，特別是美國極力推行的APEC的CBRPs制度，WTO裁決機構可能認為在確保遵守歐盟數(shù)據(jù)保護法方面，存在一些限制性較小的可替代性措施。具體來說，CBPRs的宗旨是通過特定的機制保障APEC隱私框架中九大原則在成員經(jīng)濟體中得到實現(xiàn)，為亞太地區(qū)的個人信息隱私保護提供了指導性原則和標準，最終促使區(qū)域內個人信息在得到保護的基礎上實現(xiàn)無障礙流動，推動亞太地區(qū)跨境電子商務的發(fā)展。究其實質，CBPRs促進個人數(shù)據(jù)跨境流動的基本邏輯是，如果位處于不同國家的不同公司，統(tǒng)一承諾并遵循APEC隱私框架提出的九大個人數(shù)據(jù)保護原則，則個人數(shù)據(jù)在這些公司之間流動就應該不受阻礙。相應地，由于這些公司都通過同一套原則來保護個人數(shù)據(jù)，那參與CBPRs的國家就不得再以保護個人數(shù)據(jù)為理由，阻礙個人數(shù)據(jù)的跨境流動。

　　第三，即使GDPR關于數(shù)據(jù)跨境流動管控規(guī)則被認為是必要的，但仍有一種觀點認為，這些規(guī)定的潛在不一致的實施將經(jīng)不起GATS第14條“起首部分”的考驗。例如，歐盟法院兩次對Schrems案件的判決，事實上將“充分性認定”和“有約束力的公司準則”凸出為最牢靠和穩(wěn)定的數(shù)據(jù)跨境流動工具。前者需要歐盟委員會對數(shù)據(jù)接收國進行全面詳盡的評估，后者同樣需要歐盟成員國數(shù)據(jù)保護機構對所提交的公司準則進行全面詳盡的評估，兩者均有賴于歐盟單方面的自由裁量。特別是對于充分性認定，歐盟委員會曾在正式的通信中表態(tài)：是否啟動對某個國家的“充分性認定”進程，所考慮的主要方面，包括特定國家與歐盟之間的商貿關系、數(shù)據(jù)流動情況，特定國家在其所在區(qū)域中是否是隱私和數(shù)據(jù)保護的領頭羊，以及特定國家與歐盟的政治關系，特別是是否秉持共同的價值和目標。

　　三、歐盟提出的數(shù)據(jù)跨境流動和計算設施本地化的案文

　　從WTO合并談判文本來看，歐盟對于數(shù)據(jù)跨境流動和計算設施本地化的條文分兩段，本附件以條文A和條文B來指代。其中，條文A主要規(guī)定了數(shù)據(jù)（包括各種類型的數(shù)據(jù)，其中包含個人數(shù)據(jù)）跨境流動。條文B主要是在A的基礎上，就個人數(shù)據(jù)做出專門的規(guī)定。

　　首先看條文A。條文A要求：各國政府不應限制數(shù)據(jù)跨境流，其中包括四個具體方面：（1）不得要求使用一方境內的計算設備或網(wǎng)絡元件（network elements）進行數(shù)據(jù)處理，包括要求使用經(jīng)在一方境內認證或批準的計算設備或網(wǎng)絡元件；（2）不得要求數(shù)據(jù)在一方境內進行本地化存儲或處理；（3）不得禁止在他方境內進行數(shù)據(jù)存儲或處理；（4）不得把使用一方境內的計算設備或網(wǎng)絡元件，或者是否事先滿足一方境內的本地化要求，作為數(shù)據(jù)跨境流動的前提條件。因此，條文A主要起到禁止數(shù)據(jù)本地化的作用。

　　再來看條文B。條文B主要針對個人數(shù)據(jù)，因此本質上是在條文A的基礎上，就個人數(shù)據(jù)“開辟”出一個例外，以符合GDPR的規(guī)定。條文B規(guī)定：（1）各方認可，個人數(shù)據(jù)和隱私獲得保護是一項基本權利，在這一方面設立較高標準有助于數(shù)字經(jīng)濟中的互信和貿易的發(fā)展。（2）各方均可采取并維持其認為適當?shù)谋Ｕ洗胧?，包括通過和實施個人數(shù)據(jù)跨境傳輸規(guī)則，以確保對個人數(shù)據(jù)和隱私的保護。本協(xié)定中的任何內容均不影響各方的保障措施對個人數(shù)據(jù)和隱私提供的保護。

　　從條文B來看，事實上達到的效果就是歐盟（包括其他接受該條款的簽署國）可以為保護個人數(shù)據(jù)和隱私，采取各自認為恰當?shù)恼?、立法、措施等，包括對個人數(shù)據(jù)的跨境流動進行專門的監(jiān)管。而這樣的監(jiān)管措施，可以包含數(shù)據(jù)（和設施的）本地化規(guī)定。

　　話句話說，歐盟并不接受其GDPR需要接受必要性測試的考驗，而是另起爐灶提出了新的案文。（完）