李 毅，王 迪

(1.北京師范大學(xué) 法學(xué)院，北京 100875;2.北京師范大學(xué) 政府管理學(xué)院，北京 100875)

自中國《網(wǎng)絡(luò)安全法》頒布以來，2018年，歐盟《一般數(shù)據(jù)保護(hù)條例》也正式實施，其他一些國家如印度、越南等，也在維護(hù)數(shù)據(jù)主權(quán)以及數(shù)據(jù)本地化存儲立法方面做了一些工作?；趪一蚬餐w安全和保護(hù)個人信息的考慮，對數(shù)據(jù)存儲和跨境流動作出相應(yīng)規(guī)范，已成為世界各國各地區(qū)的普遍做法。

但是在經(jīng)濟全球化的背景下，在世界貿(mào)易組織的框架中，不可避免會存在對該政策可能會影響國際服務(wù)貿(mào)易的疑慮。如2017年，美國向WTO貿(mào)易服務(wù)委員會成員國控告中國，聲稱中國的《網(wǎng)絡(luò)安全法》及其一系列配套政策的有關(guān)規(guī)定將會阻礙數(shù)據(jù)跨境流動，從而影響到世貿(mào)組織框架下的服務(wù)貿(mào)易和在華外企業(yè)務(wù)的開展。其關(guān)切主要在于“網(wǎng)絡(luò)運營者”定義的寬泛性、“重要數(shù)據(jù)”與“個人信息”傳輸限制的嚴(yán)苛性與牽涉社會部門的廣泛性、隱私保護(hù)義務(wù)的繁重性與不必要性、安全評估標(biāo)準(zhǔn)與關(guān)鍵信息基礎(chǔ)設(shè)施定義的寬泛性與模糊性等?；诖?，美國要求中國承擔(dān)服務(wù)貿(mào)易總協(xié)定規(guī)定的市場準(zhǔn)入和國民待遇等方面的義務(wù)并暫緩發(fā)布和實施最終措施。其實早在2016年8月[1]以及2017年5月就分別有數(shù)十家外國團(tuán)體和國際商業(yè)機構(gòu)對中國的《網(wǎng)絡(luò)安全法(草案)》提出集體關(guān)切和質(zhì)疑。

所以，在世貿(mào)組織的背景下對中國數(shù)據(jù)本地化存儲的要求做一番評析是必要的。

一、數(shù)據(jù)本地化存儲的要求與數(shù)據(jù)主權(quán)

數(shù)據(jù)本地化存儲的要求是在大數(shù)據(jù)時代隨著一國安全形勢的變化而產(chǎn)生的，是國家數(shù)據(jù)主權(quán)的體現(xiàn)。

網(wǎng)絡(luò)技術(shù)領(lǐng)域“云”概念的應(yīng)用突破了對計算機硬件存儲器的需要，無數(shù)終端數(shù)據(jù)脫離硬件設(shè)備直接上傳存儲在國界線之上的“云”中，傳統(tǒng)意義上以國界線為終點的國家主權(quán)的行使在此失效，國家實質(zhì)上喪失了對本質(zhì)屬于國內(nèi)的數(shù)據(jù)的控制權(quán)[2]，造成國家主權(quán)部分——所謂“數(shù)據(jù)主權(quán)”——缺失。這種狀況顯示出互聯(lián)網(wǎng)技術(shù)特征的原罪，這就是數(shù)據(jù)的所有權(quán)、使用權(quán)以及數(shù)據(jù)存儲的分離，從而使權(quán)利/權(quán)力識別和有效行使面臨困境[3]。

從單純強調(diào)互聯(lián)網(wǎng)主權(quán)，到意識到信息的重要性，再到網(wǎng)絡(luò)空間主權(quán)，最后到強調(diào)大數(shù)據(jù)的重要地位，計算機網(wǎng)絡(luò)領(lǐng)域的主權(quán)概念在我國的建立和發(fā)展是一個漸進(jìn)的過程。2010年，國務(wù)院新聞辦公室發(fā)布《中國互聯(lián)網(wǎng)狀況白皮書》，明確宣示中國境內(nèi)的互聯(lián)網(wǎng)屬于我國主權(quán)管轄范圍；2014年，習(xí)近平主席在巴西國會發(fā)表演講，提出“國家信息主權(quán)”的概念，強調(diào)國家信息主權(quán)權(quán)益不應(yīng)受到侵犯。隨著大數(shù)據(jù)概念的提出和技術(shù)應(yīng)用，“數(shù)據(jù)主權(quán)”的說法出現(xiàn)在國務(wù)院文件中，2015年，國務(wù)院發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，促進(jìn)大數(shù)據(jù)發(fā)展正式成為國家的行動方略。

而在學(xué)術(shù)界，有學(xué)者將數(shù)據(jù)主權(quán)限定為網(wǎng)絡(luò)空間中的國家主權(quán)[4]，但該觀點明顯忽視了大數(shù)據(jù)時代數(shù)據(jù)的來源不僅僅來自互聯(lián)網(wǎng)，空間技術(shù)、衛(wèi)星傳播等也可以成為數(shù)據(jù)產(chǎn)生和流動的路徑，所以僅僅以網(wǎng)絡(luò)空間框定數(shù)據(jù)主權(quán)的涵義較為片面；另外有學(xué)者主張，數(shù)據(jù)主權(quán)是一國獨立自主對本國數(shù)據(jù)進(jìn)行管理和利用的權(quán)利[4]，該觀點沿用傳統(tǒng)主權(quán)理論，避開了對數(shù)據(jù)主權(quán)管轄范圍的討論，但又把主權(quán)限定在對數(shù)據(jù)進(jìn)行管理和利用的內(nèi)容上，忽視了與之相關(guān)的技術(shù)、設(shè)備等[5]。

實際上，還有學(xué)者對數(shù)據(jù)主權(quán)作廣義和狹義的兩種理解，認(rèn)為廣義的數(shù)據(jù)主權(quán)包括國家數(shù)據(jù)主權(quán)和個人數(shù)據(jù)主權(quán)，兩者相互依存，互為實現(xiàn)的前提和支撐[6]。狹義的數(shù)據(jù)主權(quán)則不包括個人數(shù)據(jù)主權(quán)，即用戶對其數(shù)據(jù)的自決權(quán)和自我控制權(quán)[7]，僅僅指國家數(shù)據(jù)主權(quán)。

但大部分學(xué)者也能同意數(shù)據(jù)主權(quán)指一個國家對其政權(quán)管轄地域范圍內(nèi)個人、企業(yè)和相關(guān)組織所產(chǎn)生的數(shù)據(jù)擁有的最高權(quán)力[8]這樣一個定義，并且回歸主權(quán)的本義從對內(nèi)控制權(quán)和對外獨立性兩個層次來理解[8]，即數(shù)據(jù)主權(quán)是國家最高權(quán)力在數(shù)據(jù)領(lǐng)域的具化，具有獨立性、自主性和排他性的特征。在本國數(shù)據(jù)領(lǐng)域踐行傳統(tǒng)國家主權(quán)理論以確保國家對本國數(shù)據(jù)擁有獨立自主開發(fā)、管理和處置的最高權(quán)力[9]是應(yīng)有之義。

二、中國涉及本地化存儲要求的國內(nèi)立法之主要內(nèi)容及其立法目的

(一)中國涉及本地化存儲要求的國內(nèi)立法之主要內(nèi)容

《網(wǎng)絡(luò)安全法》是在網(wǎng)絡(luò)技術(shù)高速發(fā)展與網(wǎng)絡(luò)立法規(guī)制碎片化雙重作用下產(chǎn)生了一些新的社會問題的背景下出臺的。相關(guān)立法不健全、規(guī)范層級低、政出多門、以行政指令為主，網(wǎng)絡(luò)管理的工作重點依舊停留在對網(wǎng)絡(luò)公司的管理和對涉黃違法信息的監(jiān)控，對于一些新的問題，比如跨國網(wǎng)絡(luò)犯罪和信息竊密則沒有涉及[10]。

關(guān)于我國的數(shù)據(jù)本地化立法，在國家安全層面上，《國家安全法》要求對關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)實現(xiàn)安全可控。據(jù)此精神于2016年7月頒布的《網(wǎng)絡(luò)安全法》第37條規(guī)定：“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估?！睆亩槍€人信息和重要數(shù)據(jù)確立了以境內(nèi)存儲為原則、安全評估后向境外提供為例外的跨境數(shù)據(jù)傳輸制度。當(dāng)前，與之相配套的一系列法律法規(guī)標(biāo)準(zhǔn)已經(jīng)制定出來或正在制定當(dāng)中，如《個人信息和重要數(shù)據(jù)出境安全評估辦法》《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》和《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》等，增強了《網(wǎng)絡(luò)安全法》的可操作性。

此前，在我國一些特定行業(yè)的立法中也有關(guān)于數(shù)據(jù)本地化存儲要求的先例。2011年央行發(fā)布的《關(guān)于銀行業(yè)金融機構(gòu)做好個人金融信息保護(hù)工作的通知》、保監(jiān)委發(fā)布的《保險公司開業(yè)驗收指引》、2013年國務(wù)院《征信業(yè)管理條例》、2014年國家衛(wèi)計委發(fā)布的《人口健康信息管理辦法(試行)》、2015年國務(wù)院《地圖管理條例》、2016年發(fā)布的《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營服務(wù)管理暫行辦法》、廣電總局與工信部2016年發(fā)布的《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等都不同程度地提出了服務(wù)器和設(shè)施本地化的要求，有的則明確禁止在本國收集的數(shù)據(jù)出境。

認(rèn)真分析《網(wǎng)絡(luò)安全法》可以看出，中國的數(shù)據(jù)本地化存儲要求可以說是剛?cè)嵯酀簩τ趥€人信息和重要數(shù)據(jù)，不存在只要達(dá)到既定的保護(hù)標(biāo)準(zhǔn)就可以跨境流動的數(shù)據(jù)目的國，這是其剛性的一面；同時又有所變通，“因業(yè)務(wù)需要，確需向境外提供的”，可以通過安全評估跨境流動，這是其柔性的一面。從另一個角度看，要求數(shù)據(jù)目的國建立高標(biāo)準(zhǔn)的保護(hù)措施不會比要求通過安全評估更具歧視性。

所以，基于數(shù)據(jù)跨境流動的貿(mào)易服務(wù)的提供在我國《網(wǎng)絡(luò)安全法》框架下仍是可以實現(xiàn)的，只不過涉及“重要數(shù)據(jù)”與“個人信息”的須經(jīng)過安全評估。同時，歐盟于2018年10月正式通過了《非個人數(shù)據(jù)自由流動條例》，該條例針對非個人數(shù)據(jù)明確指出數(shù)據(jù)本地化規(guī)則的弊端, 要求確保在歐盟成員國實施數(shù)據(jù)自由流動[11]，其靈活性、區(qū)別對待的精神與中國《網(wǎng)絡(luò)安全法》的精神是一致的。

(二)中國數(shù)據(jù)本地化存儲要求的立法目的

入世之后，我國按照世貿(mào)組織的系列規(guī)則不斷深入對外開放，各領(lǐng)域?qū)ν饨涣髋c合作不斷加深。一方面，這是順應(yīng)全球化趨勢與促進(jìn)國際貿(mào)易發(fā)展的要求，是統(tǒng)籌國際國內(nèi)兩個大局的體現(xiàn)；而另一方面，在對外開放的過程中，在信息技術(shù)水平相對不高并且尚未建立相關(guān)完善的法律保障體系的情況下，也必然導(dǎo)致整個經(jīng)濟社會面臨各種不確定性的挑戰(zhàn)。

1.維護(hù)國家安全

針對某國公私部門的網(wǎng)絡(luò)攻擊與一國防范敵對勢力竊取本國涉密信息的技術(shù)發(fā)展自網(wǎng)絡(luò)誕生至今一直是依存伴生的，二者是一種此消彼長的關(guān)系，是網(wǎng)絡(luò)領(lǐng)域國際競爭的表現(xiàn)。國家互聯(lián)網(wǎng)應(yīng)急中心的監(jiān)測數(shù)據(jù)顯示，2018年，我國境內(nèi)有23 462個網(wǎng)站遭到篡改，其中有799個政府網(wǎng)站；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為55 180個；約944萬個終端遭到病毒感染，其中約616萬個IP地址對應(yīng)的主機被木馬或僵尸程序控制服務(wù)器控制，境外木馬或僵尸程序控制服務(wù)器主要分布在美國、日本，控制境內(nèi)主機數(shù)量居前列的主要是美國、中國香港、加拿大等國家和地區(qū)[注]有關(guān)數(shù)據(jù)為本文作者根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《互聯(lián)網(wǎng)安全威脅報告》整理計算得出。(參見http://www.cert.org.cn/publish/main/45/index.html)。一些針對工業(yè)控制領(lǐng)域發(fā)動的網(wǎng)絡(luò)攻擊事件也頻頻發(fā)生，如美國紐約鮑曼水壩防洪控制系統(tǒng)遭受攻擊、烏克蘭電網(wǎng)因惡意程序“黑暗勢力”的變種攻擊發(fā)生供電故障等。而且中國還是高級持續(xù)性威脅(APT)組織的主要攻擊對象，大部分APT 組織都對我國境內(nèi)目標(biāo)發(fā)動了攻擊，涉及到多家政府部門、高校以及能源、航空、電信等重要信息系統(tǒng)部門[12]。同時，網(wǎng)絡(luò)上暴力、黃色、反動等信息以及謠言、非法宗教宣傳等也會造成極大危害。

可以說，只要國家間利益沖突的現(xiàn)象存在，甚至只要有國家存在，針對他國的公私部門進(jìn)行網(wǎng)絡(luò)攻擊以及從意識形態(tài)進(jìn)行文化宣傳以獲取秘密信息、危害他國國家安全的現(xiàn)象就會不斷發(fā)生?！洞龠M(jìn)大數(shù)據(jù)發(fā)展行動綱要》指出：“數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源?！眹野踩膬?nèi)涵和外延以技術(shù)水平為界限被大大展開，一個國家、一個企業(yè)的利益和前途很大程度上可以用其數(shù)據(jù)汲取能力和數(shù)據(jù)保護(hù)水平來定義和闡述。從商業(yè)利益到政治利益，從政治經(jīng)濟到社會文化，數(shù)據(jù)保護(hù)是這個時代國家安全戰(zhàn)的前線，對某些關(guān)鍵數(shù)據(jù)的保護(hù)是必不可少的。在這種背景下，國家實際上承擔(dān)起巨大的網(wǎng)絡(luò)防務(wù)壓力，這需要我國在不斷提高網(wǎng)絡(luò)科技水平的同時，通過各種途徑規(guī)制對外開放背景下危害國家安全的各種因素。事實上，我國在不受黑客影響的量子通信技術(shù)方面已經(jīng)取得了突破。

2.保護(hù)個人數(shù)據(jù)

保護(hù)個人信息對于數(shù)據(jù)本地化存儲的要求實際上是從用戶隱私角度出發(fā)對國內(nèi)外相關(guān)主體無實質(zhì)歧視的同一規(guī)定，主要目的是保護(hù)公民權(quán)不受侵犯與防止用戶經(jīng)濟損失，甚至保護(hù)其生命安全。

近年來，國內(nèi)外個人數(shù)據(jù)信息泄露事件逐年增多，對公民隱私權(quán)、財產(chǎn)權(quán)甚至生命權(quán)造成極大危害，在政治、經(jīng)濟、社會層面造成極端不良影響。2016年，美國總統(tǒng)大選“郵件門”嚴(yán)重影響了希拉里的選情；雅虎因先后兩次泄露涉及約15億的個人賬戶信息導(dǎo)致威瑞森收購雅虎計劃擱置，在2017年最終完成收購后，威瑞森又表示所有30億雅虎用戶的個人信息被泄露。2016年，我國免疫規(guī)劃系統(tǒng)網(wǎng)絡(luò)被惡意入侵，致使20萬兒童的信息被泄露并被公開售賣；信息泄露導(dǎo)致精準(zhǔn)詐騙案件頻發(fā)，如“徐玉玉案”等。根據(jù)公安部“凈網(wǎng)2018”專項行動統(tǒng)計，僅2018年一年，公安部門就偵破公民個人信息被竊取買賣案件5 000余起，抓獲犯罪嫌疑人1.3萬余名，偵破黑客攻擊竊取數(shù)據(jù)案件2 000余起，抓獲犯罪嫌疑人2 000余名。

要求境外貿(mào)易服務(wù)提供者對個人信息進(jìn)行本地化存儲同樣也是出于對人權(quán)的尊重，與此同時并非完全禁止個人信息及數(shù)據(jù)跨境流動，安全評估是尊重人權(quán)的應(yīng)有之義。

三、中國數(shù)據(jù)本地化存儲要求的合法性分析——是否符合基于WTO協(xié)議承擔(dān)的相關(guān)義務(wù)

(一)中國的數(shù)據(jù)本地化存儲要求與《服務(wù)貿(mào)易總協(xié)定》中所承諾的義務(wù)

中國依據(jù)《服務(wù)貿(mào)易總協(xié)定》(GATS)及《入世議定書》履行了在服務(wù)貿(mào)易領(lǐng)域給予WTO其他成員方國民待遇、市場準(zhǔn)入的義務(wù)，在有關(guān)國內(nèi)立法方面也作出某些承諾。

1.國內(nèi)法規(guī)

《服務(wù)貿(mào)易總協(xié)定》第6條第1款規(guī)定，每一成員應(yīng)保證所有影響服務(wù)貿(mào)易的普遍適用的措施以合理、客觀和公正的方式實施。

其實，我國對于重要數(shù)據(jù)與個人信息本地化存儲以及跨境流動須經(jīng)安全評估的要求的實施是否符合合理、客觀、公正的要求是一個程序問題，這不僅在表述上可以推出，而且在WTO貿(mào)易爭端解決機制框架內(nèi)的判例也可佐證。在“美國：影響賭博和博彩服務(wù)的跨境提供的措施案”中，專家組認(rèn)為《服務(wù)貿(mào)易總協(xié)定》第6條第1款并非指向有關(guān)措施的實質(zhì)內(nèi)容，而主要針對的是其實施程序。同時，有學(xué)者認(rèn)為，根據(jù)以往判例，投訴一個WTO 成員的行為不公正或不合理是一種嚴(yán)重的指控，所以投訴方根據(jù)《服務(wù)貿(mào)易總協(xié)定》第6條第1款對中國提出的指控，應(yīng)當(dāng)進(jìn)行與這一指控相一致的充分舉證，來證明中國本地化存儲政策要求的實施方式的確使其公司在市場競爭中受到了不利影響；而從中國政府的角度看，如果能夠證明該要求的實施方式與世界上大多數(shù)或者相當(dāng)一部分國家類似，無疑有助于避免被視為不合理、不客觀、不公正[13]，這一點將在本文第四部分詳述。

2.市場準(zhǔn)入

《服務(wù)貿(mào)易總協(xié)定》第16條規(guī)定，對于市場準(zhǔn)入，每一成員對任何其他成員的服務(wù)和服務(wù)提供者給予的待遇，不得低于其在具體承諾減讓表中同意和列明的條款、限制和條件，不得就服務(wù)提供者的數(shù)量、服務(wù)交易或資產(chǎn)總值等六個方面維持或采取任何限制性措施。

在減讓表中，在《服務(wù)貿(mào)易總協(xié)定》所規(guī)定的四種服務(wù)提供方式下，增值電信服務(wù)包括電子郵件、電子數(shù)據(jù)交換等七項內(nèi)容。中國對需要本地化存儲的“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”收集和產(chǎn)生的“個人信息和重要數(shù)據(jù)”的跨境流動要求進(jìn)行安全評估，沒有低于減讓表中的對于任何一種服務(wù)提供方式下任何一項業(yè)務(wù)內(nèi)容的承諾，反而會因嚴(yán)格的數(shù)據(jù)類別限定使某些外國企業(yè)的服務(wù)貿(mào)易過程更加規(guī)范化，實際上這項要求并沒有對市場準(zhǔn)入義務(wù)的承諾造成任何不利影響。

3.國民待遇

《服務(wù)貿(mào)易總協(xié)定》第17條規(guī)定，對于列入減讓表的部門，每一成員在影響服務(wù)提供的所有措施方面給予任何其他成員的服務(wù)和服務(wù)提供者的待遇，不得低于其給予本國同類服務(wù)和服務(wù)提供者的待遇。

《網(wǎng)絡(luò)安全法》對中外企業(yè)提供服務(wù)貿(mào)易共同適用、同等對待，在實質(zhì)上不存在造成外國服務(wù)貿(mào)易提供者相較本國提供者處于一個不利地位的疑問。事實上，在資本全球化的今天，國際投資規(guī)模、范圍不斷擴大，程度不斷加深，單純的本土企業(yè)已經(jīng)很少了，需要進(jìn)行重要數(shù)據(jù)與個人信息跨境流動的企業(yè)都必定是有國際競爭力的大企業(yè)，而能與它們競爭的主要營業(yè)地在國內(nèi)的企業(yè)或多或少都有外資持股或者在境外有子企業(yè)，如阿里巴巴前兩大股東是軟銀與雅虎，持股比例為44.2%，這還是在阿里上市后持股比例有所下降的情況下；而騰訊第一大股東南非MIH集團(tuán)持股比例也達(dá)到了33.93%。這些有外資持股或在境外設(shè)立了子企業(yè)的國內(nèi)公司在實際運營過程中也必然涉及到數(shù)據(jù)跨境流動，在涉及到重要數(shù)據(jù)與個人信息時，它們也同樣適用《網(wǎng)絡(luò)安全法》。

4.關(guān)于電信服務(wù)的附件

《服務(wù)貿(mào)易總協(xié)定》的電信服務(wù)附件將《服務(wù)貿(mào)易總協(xié)定》有關(guān)公共電信傳輸和服務(wù)措施進(jìn)行了詳細(xì)規(guī)定，具體包括對電信服務(wù)的范圍含義進(jìn)行了界定、對有關(guān)電信服務(wù)的透明度和進(jìn)入使用以及國際技術(shù)合作需求作了要求和規(guī)范，同樣并未在《服務(wù)貿(mào)易總協(xié)定》減讓表之外要求承擔(dān)義務(wù)。其第5條有關(guān)成員在公共電信傳輸網(wǎng)及其服務(wù)的準(zhǔn)入和使用方面的義務(wù)構(gòu)成了該附件的關(guān)鍵內(nèi)容，其中(c)款規(guī)定，每一成員應(yīng)保證任何其他成員的服務(wù)提供者可使用公共電信傳輸網(wǎng)絡(luò)和服務(wù)在其境內(nèi)或跨境傳送信息。同時(d)款規(guī)定：盡管有上一項的規(guī)定，但是一成員仍可采取必要措施，以保證信息的安全和機密性，但此類措施不得以對服務(wù)貿(mào)易構(gòu)成任意的或不合理的歧視或構(gòu)成變相限制的方式實施。在4.1.2與4.1.3中已經(jīng)論證了數(shù)據(jù)本地化存儲與安全評估數(shù)據(jù)跨境流動的要求符合我國所作的市場準(zhǔn)入與國民待遇承諾，是非歧視的。

同時，中國《網(wǎng)絡(luò)安全法》要求本地化存儲并對要求跨境流動的個人信息和重要數(shù)據(jù)進(jìn)行安全評估絕對不會比歐盟對數(shù)據(jù)目的國越來越高的保護(hù)標(biāo)準(zhǔn)要求更具歧視性，不斷提高的保護(hù)標(biāo)準(zhǔn)也會使人產(chǎn)生這是否實質(zhì)上限制了服務(wù)貿(mào)易的疑問，因此，我們不能將歧視的概念無節(jié)制地濫用。

(二)中國的數(shù)據(jù)本地化存儲要求與《服務(wù)貿(mào)易總協(xié)定》中的例外規(guī)定

《服務(wù)貿(mào)易總協(xié)定》第14條一般例外條款規(guī)定，在某些情況下成員國所作的承諾可以有所例外，如為保護(hù)公共道德或維護(hù)公共秩序、為保護(hù)個人隱私和個人賬戶的機密性。但同時《關(guān)于基礎(chǔ)電信談判的附件》第5條又規(guī)定，只有在社會的某一根本利益受到真正的和足夠嚴(yán)重的威脅時，方可援引公共秩序例外條款。但同一條下的安全條款則又追加例外規(guī)定：不得要求任何成員提供其認(rèn)為如披露則會違背其根本安全利益的任何信息。

我國立法將“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”收集和產(chǎn)生的“個人信息和重要數(shù)據(jù)”進(jìn)行本地化存儲、確需跨境流動的須經(jīng)安全評估的要求是適用于例外原則的。首先，這是維護(hù)公共道德與公共秩序、保護(hù)個人隱私與賬戶機密性所必需的措施。我們無法確定在電信詐騙猖狂泛濫的今天如果不加謹(jǐn)慎評估就允許個人信息流向境外會不會導(dǎo)致甚至比徐玉玉事件還惡劣的侵犯人權(quán)的案件，比如近些年頻發(fā)的跨境(臺灣東南亞地區(qū))電信詐騙案件，這對社會秩序與公民基本權(quán)利的威脅與侵害已經(jīng)足夠嚴(yán)重。其次，在此基礎(chǔ)上，我們甚至可以援引一般例外條款的(b)款：為保護(hù)人類、動物或植物的生命或健康所必需的措施。最后，安全例外條款將某些信息的披露是否會損害一國根本安全的判斷權(quán)交給了援引國，即“其認(rèn)為”的表述的內(nèi)涵。

四、中國的數(shù)據(jù)本地化存儲要求的合理性分析——當(dāng)前的國際實踐及趨勢

雖然中國國內(nèi)法被某些國家指責(zé)違反有關(guān)國際條約、協(xié)議，就像美國指責(zé)中國《網(wǎng)絡(luò)安全法》將會阻礙數(shù)據(jù)跨境流動，由此影響以之為基礎(chǔ)的特別是外國企業(yè)的服務(wù)貿(mào)易的提供一樣，但在本文第三部分已經(jīng)證明我國關(guān)于數(shù)據(jù)本地化存儲的政策要求首先是符合基于WTO協(xié)議承擔(dān)的相關(guān)義務(wù)的，具有合法性。再者，從國際實踐看，我們的做法也是合理的，外國的質(zhì)疑是可以澄清甚至可以被反質(zhì)疑的。

(一)數(shù)據(jù)本地化存儲的國際實踐

數(shù)據(jù)本地化要求將數(shù)據(jù)存儲在本國的數(shù)據(jù)中心，謀求達(dá)到諸如保障國家安全和個人隱私、便利本國執(zhí)法、促進(jìn)本國產(chǎn)業(yè)發(fā)展的政策目標(biāo)[14]。圍繞國家安全的主題，各國政府在斯諾登事件前后開始對數(shù)據(jù)安全、數(shù)據(jù)主權(quán)的議題更加關(guān)注,紛紛采取了不同限制程度的數(shù)據(jù)本地化措施。如印度尼西亞2012年通過的《電子系統(tǒng)與交易操作政府條例》(Government Regulation Concerning Electronic System and Transaction Operation，2012)要求公共服務(wù)的電子系統(tǒng)運營者應(yīng)當(dāng)把數(shù)據(jù)中心設(shè)置在本國境內(nèi)；俄羅斯2015年9月1日生效的《個人數(shù)據(jù)法》規(guī)定，“運營人應(yīng)確保使用位于俄羅斯聯(lián)邦境內(nèi)的數(shù)據(jù)庫以記錄、系統(tǒng)化、積累、存儲、澄清(更新或修改)和取回俄羅斯聯(lián)邦公民的個人數(shù)據(jù)”，亦即必須將俄羅斯公民的個人數(shù)據(jù)保存在俄境內(nèi)的服務(wù)器上；2016年，伊朗要求外國即時通訊應(yīng)用公司必須將伊朗用戶數(shù)據(jù)存儲在伊朗境內(nèi)；2018年7月，印度專門成立的高級別委員會發(fā)布了《2018年個人數(shù)據(jù)保護(hù)法案》，規(guī)定個人數(shù)據(jù)應(yīng)確保在位于印度的服務(wù)器或數(shù)據(jù)中心存儲至少一份服務(wù)副本。

所以從國際范圍看，本地化存儲是合理的、慣常的。事實上，據(jù)統(tǒng)計，目前全球有超過60個國家作出了數(shù)據(jù)本地化存儲的要求，其中既包括歐美發(fā)達(dá)國家，也包括亞非發(fā)展中國家與轉(zhuǎn)型國家。

(二)限制數(shù)據(jù)跨境流動的國際實踐

數(shù)據(jù)本地化存儲與數(shù)據(jù)跨境流動既有聯(lián)系又有不同。簡單說，對數(shù)據(jù)有本地化存儲要求不一定意味著禁止數(shù)據(jù)跨境流動。如印度《2018年個人數(shù)據(jù)保護(hù)法案》，其對個人數(shù)據(jù)有本地化存儲的要求，但是除其中的關(guān)鍵個人數(shù)據(jù)僅能在位于印度的服務(wù)器或數(shù)據(jù)中心中處理不得出境外，其他個人數(shù)據(jù)是可以有條件出境或沒有限制的[16]；俄羅斯關(guān)于個人數(shù)據(jù)的跨境傳輸主要受規(guī)制于2006年生效的《個人信息保護(hù)法》，其精神是對于為個人數(shù)據(jù)提供充分保護(hù)的國家可以自由傳輸，否則必須基于個人的書面同意[17]。相似地，歐盟從《安全港協(xié)議》和《數(shù)據(jù)保護(hù)指令》到《隱私保護(hù)協(xié)議》和《一般數(shù)據(jù)保護(hù)條例》，都要求數(shù)據(jù)目的國能對跨境流動的數(shù)據(jù)安全提供高標(biāo)準(zhǔn)的保護(hù)，而韓國在2011年通過的《個人信息保護(hù)法》(Personal Information Protection Act，2011)同樣規(guī)定數(shù)據(jù)的流動必須獲得數(shù)據(jù)主體的同意。

事實上，在國際實踐中，大部分國家只對某一類或幾類關(guān)鍵數(shù)據(jù)的跨境流動進(jìn)行限制。如澳大利亞在2012年通過的《個人控制電子健康記錄法案》(Personally Controlled Electronic Health Records Act，2012)專門針對個人電子健康記錄作出了禁止出境的規(guī)定，要求不得將醫(yī)療信息記錄移至澳大利亞境外，更不得在境外加工處理這些信息；意大利、匈牙利等國禁止將政府?dāng)?shù)據(jù)存儲于國外云服務(wù)提供商的服務(wù)器中；印尼在立法中要求交易數(shù)據(jù)必須存儲在境內(nèi)；澳大利亞規(guī)定，對于屬于安全分類的數(shù)據(jù)，必須儲存在政府部門的云數(shù)據(jù)庫中，嚴(yán)禁在任何離岸公共云數(shù)據(jù)庫中存儲；美國在進(jìn)行外資安全審查之后要求簽署的“安全協(xié)議”應(yīng)體現(xiàn)“禁止外資通信公司將用戶的通信數(shù)據(jù)和個人數(shù)據(jù)存儲在境外”的規(guī)定條款；美國《出口管理條例》(The Export Administrative Regulations，EAR)對部分重要數(shù)據(jù)的出口進(jìn)行許可管制，要求必須取得相關(guān)部門頒發(fā)的許可證才可以出口；2016年，谷歌向韓國政府申請將韓國的地圖數(shù)據(jù)向境外數(shù)據(jù)中心輸出，韓國政府認(rèn)為，谷歌在韓國擁有較大的市場占有率，將本國地圖數(shù)據(jù)輸出境外將影響國家主要設(shè)施的安全，所以要求谷歌首先對韓國國內(nèi)的重要設(shè)施進(jìn)行模糊化處理。2017年5月1日，美國信息技術(shù)與創(chuàng)新基金會(ITIF)發(fā)布了一份關(guān)于跨境數(shù)據(jù)流動的報告，對世界有關(guān)國家限制數(shù)據(jù)跨境流動的種類作了詳細(xì)的介紹，主要限制數(shù)據(jù)有財會稅務(wù)類、個人類、電信類、新興數(shù)字服務(wù)類、政府和公共類以及其他類。

(三)小 結(jié)

有學(xué)者總結(jié)，在現(xiàn)階段，各國在數(shù)據(jù)主權(quán)和數(shù)據(jù)跨境流動方面的核心在于謀求對本國數(shù)據(jù)的排他性最高控制權(quán)。這不僅體現(xiàn)出各國對于獨立發(fā)展本國數(shù)據(jù)產(chǎn)業(yè)的需要，而且更體現(xiàn)出各國對于國家主權(quán)、對于本國有權(quán)根據(jù)自己的意志自行決定如何制定法規(guī)制度而排除任何外部勢力干涉和支配的宣示[9]。還有學(xué)者指出，除法理之外，對數(shù)據(jù)跨國流動進(jìn)行限制也可以是基于道德倫理的要求。對于侵害文化倫理、道德價值觀的數(shù)據(jù)不得傳入境內(nèi)。此外，數(shù)據(jù)的跨境流動也應(yīng)堅持對等原則，凡是對本國公民和團(tuán)體的數(shù)據(jù)權(quán)利加以限制的，應(yīng)予以同等對待[19]。此外，還有學(xué)者認(rèn)為，當(dāng)今關(guān)于數(shù)據(jù)主權(quán)在國際上的立法表現(xiàn)為三種趨勢[20]：一是限制重要數(shù)據(jù)跨境出口，維護(hù)本國數(shù)據(jù)安全；二是通過對個人數(shù)據(jù)本地化存儲的立法調(diào)整，強化對數(shù)據(jù)的控制；三是延伸對數(shù)據(jù)的域外管轄權(quán)，從屬地主義擴大到屬人主義。

這些都可以證明中國數(shù)據(jù)本地化存儲與重要信息跨境流動須經(jīng)安全評估的要求與世界上大多數(shù)或者相當(dāng)一部分國家類似，是國際上普遍的做法。

我們發(fā)現(xiàn)，圍繞數(shù)據(jù)本地化存儲與數(shù)據(jù)跨境流動議題進(jìn)行反復(fù)交鋒實際上形成了兩種訴求相反的共同體，一方是美國數(shù)據(jù)霸權(quán)，“911”事件之后，美國國會通過《愛國者法案》，以愛國反恐的名義為聯(lián)邦政府搜集處理全球范圍內(nèi)的私人數(shù)據(jù)提供了便利，為警察機關(guān)監(jiān)控有關(guān)個人信息如私人電話、私人郵件、消費記錄等大開方便之門。對于企業(yè)，美國情報機構(gòu)可直接進(jìn)入微軟、雅虎、谷歌等跨國互聯(lián)網(wǎng)公司的服務(wù)器和數(shù)據(jù)庫獲取位于歐洲數(shù)據(jù)中心的數(shù)據(jù)，實質(zhì)上相當(dāng)于撕毀了《安全港協(xié)議》。自2016年12月1日開始，美國聯(lián)邦調(diào)查局根據(jù)修訂后的《聯(lián)邦刑事訴訟程序規(guī)則》第41條，將在獲得搜查令后，“進(jìn)入”網(wǎng)絡(luò)獲得相關(guān)的證據(jù)，而無論遭入侵裝置的具體地理位置。從最直接的結(jié)果看，美國的聯(lián)邦調(diào)查局僅僅憑借美國某個洲，乃至某個地區(qū)司法機構(gòu)簽發(fā)的搜查令，就可以“合法”地入侵其他地區(qū)、其他州、乃至其他國家的網(wǎng)絡(luò)設(shè)備。2017年2月，費城地方法院裁決，要求谷歌提供儲存在境外服務(wù)器上的該公司客戶郵件，以便美國聯(lián)邦調(diào)查局(FBI)展開欺詐案的調(diào)查工作。加利福尼亞州地方法官認(rèn)為，如果谷歌能夠在美國境內(nèi)自有機器上提取信息，此類信息就理應(yīng)屬于美國法院管轄范圍。此外，由于信息提取自山景城谷歌總部，不應(yīng)被視為海外信息，與微軟隱私案中提及的將信息存儲在愛爾蘭的情況有所不同，最終谷歌還是按照政府要求提供了搜查令中規(guī)定的所有Gmail賬戶和郵件信息。2017年10月6日，美國發(fā)布新《美國自由法》草案，更新并重新授權(quán)了《外國情報監(jiān)聽法》(FISA)第702條，目的是為查明和遏制針對美國國家和公民的恐怖主義威脅收集位于美國境外的非美國人通信，這使美國國家安全局(NSA)和FBI的監(jiān)控合法化。另一方是美國之外的其他國家，他們起碼能在這樣的描述上達(dá)成與美國相對立的共識：這些國家追求對本國數(shù)據(jù)的保護(hù)，以保證不會被用于不利于國家與民眾的目的，在此基礎(chǔ)上再進(jìn)行跨境流動與利用。

五、世貿(mào)組織背景下數(shù)據(jù)本地化存儲與自由貿(mào)易的協(xié)調(diào)

(一)數(shù)據(jù)本地化的困境與數(shù)據(jù)主權(quán)的對抗

雖然本文從國內(nèi)立法本身的內(nèi)容與配套措施的完備、世貿(mào)組織框架內(nèi)對承諾的國民待遇與市場準(zhǔn)入等義務(wù)的遵守、國際上類似立法的普遍性、反對數(shù)據(jù)霸權(quán)等角度，論證了“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”收集和產(chǎn)生的“個人信息和重要數(shù)據(jù)”須本地存儲以及其跨境流動須經(jīng)安全評估的政策要求的合法性與合理性，但數(shù)據(jù)本地化的實踐仍面臨著雙重困境：正如前文所述，數(shù)據(jù)天然無國界，可以在全球范圍內(nèi)自由使用，云技術(shù)的出現(xiàn)則更加方便了數(shù)據(jù)的跨境操作，同時電子商務(wù)跨境業(yè)務(wù)的發(fā)展也催生了跨境收集和處理用戶信息的極大需求，所以基于規(guī)范數(shù)據(jù)流動的制度設(shè)計也必須界定明確、設(shè)計嚴(yán)密以便于執(zhí)行[14]，即個人信息與重要數(shù)據(jù)的明確界定、以何種具體方式獲得數(shù)據(jù)主體的同意等必須明確化。

此外，過于強調(diào)本國的數(shù)據(jù)主權(quán)將會導(dǎo)致對抗?fàn)顟B(tài)[5]。首先，強調(diào)數(shù)據(jù)主權(quán)絕對獨立將導(dǎo)致多重管轄權(quán)沖突。在大數(shù)據(jù)時代，數(shù)據(jù)流動牽涉到多方跨境主體，流動范圍遍及全球。由于數(shù)據(jù)是完整的、不可分割的，只要數(shù)據(jù)一跨境便會導(dǎo)致國家管轄權(quán)的重疊，并由此產(chǎn)生主權(quán)沖突。在此情形下，法律多重適用將導(dǎo)致服務(wù)商趨易避難，逃避較為嚴(yán)格的數(shù)據(jù)保護(hù)國內(nèi)規(guī)制，從而影響本國數(shù)據(jù)安全；其次，如果政府傾向于對數(shù)據(jù)實施絕對的單邊控制，這實際上將侵犯公民個人權(quán)利；最后，產(chǎn)生物極必反的效果。

(二)世貿(mào)組織背景下數(shù)據(jù)本地化存儲與自由貿(mào)易的協(xié)調(diào)

有不少外國學(xué)者認(rèn)為，數(shù)據(jù)本地化存儲抑制了數(shù)據(jù)流動的天性，破壞了開放互通的互聯(lián)網(wǎng)架構(gòu)，與全球化世界中各種要素高速流動的需要和現(xiàn)實背道而馳，將會嚴(yán)重影響產(chǎn)業(yè)發(fā)展和技術(shù)進(jìn)步。有研究指出，數(shù)據(jù)本地化存儲的措施將造成一國GDP的損失，如對歐盟、印度、中國、俄羅斯的GDP將分別降低0.48%、0.25%、0.55%、0.27%[21]。我們可以注意到，這些研究報告中經(jīng)過合理建模所量化出來的“精確”的結(jié)果是一種純技術(shù)層面的考量，沒有注意到如果完全放任一國內(nèi)的所有信息或者數(shù)據(jù)跨境流動，不僅在技術(shù)水平不高、法制不健全的國家或地區(qū)可能引發(fā)違法犯罪現(xiàn)象，而且也是對公民權(quán)利尤其是隱私權(quán)的肆意踐踏。

就像在經(jīng)濟領(lǐng)域市場政府兩只手要相互搭配一樣，世貿(mào)組織框架下全球范圍內(nèi)的數(shù)據(jù)流動也要找到自由貿(mào)易與數(shù)據(jù)主權(quán)的那一個平衡點，其主要思路是：基于網(wǎng)絡(luò)空間的雙重屬性，在堅持網(wǎng)絡(luò)主權(quán)、數(shù)據(jù)主權(quán)的前提下求同存異、爭取共識，對不同種類數(shù)據(jù)區(qū)別對待，以謀求自由貿(mào)易的推進(jìn)，人類福祉的提高。

毋庸置疑，網(wǎng)絡(luò)空間作為一種特殊空間，兼有現(xiàn)實性和虛擬性的雙重特點，因而也是兼具主權(quán)與公域的雙重屬性[22]。同理，對于各種數(shù)據(jù)，一方面，數(shù)據(jù)是虛擬的，不存在于一個有明確界限的空間之內(nèi)，由跨越國境的各有關(guān)主體共享。雖然數(shù)據(jù)關(guān)系到所有國家和地區(qū)的利益，但任何政府都無法實現(xiàn)對其單獨、絕對的控制。但另一方面，數(shù)據(jù)也具有主權(quán)屬性。一國政府有權(quán)對產(chǎn)生和流經(jīng)其管轄范圍的數(shù)據(jù)行使主權(quán)，對管轄范圍外的數(shù)據(jù)甚至可以依據(jù)國際法對其進(jìn)行管轄。

同時，圍繞數(shù)據(jù)本地化存儲與數(shù)據(jù)跨境流動議題也就是“數(shù)據(jù)主權(quán)”進(jìn)行反復(fù)交鋒則形成了兩大陣營，一方是美國數(shù)據(jù)霸權(quán)，另一方是通過各種形式保護(hù)本國數(shù)據(jù)的國家。兩大陣營在短期內(nèi)完全消除分歧是不現(xiàn)實的，這其實是由美國處于信息技術(shù)水平絕對領(lǐng)先地位決定的。

因此，當(dāng)前比較現(xiàn)實的策略是在堅持網(wǎng)絡(luò)主權(quán)與數(shù)據(jù)主權(quán)的前提下求同存異、爭取共識，循序漸進(jìn)地向構(gòu)建多邊共贏的國際網(wǎng)絡(luò)治理模式推進(jìn)，在世貿(mào)組織框架下做好適當(dāng)安排，進(jìn)行區(qū)別對待，關(guān)注成員國對國家安全、公民隱私與經(jīng)濟發(fā)展的三重關(guān)切，努力搭建一個公平合理的世界經(jīng)濟舞臺，共同致力于人類福祉的提升。

六、結(jié) 語

包括數(shù)據(jù)主權(quán)在內(nèi)的網(wǎng)絡(luò)主權(quán)，在中國現(xiàn)在所處的發(fā)展階段承擔(dān)著促進(jìn)國家發(fā)展和維護(hù)國家安全的雙重目的[23]，此外也是捍衛(wèi)公民權(quán)利的著力點。

針對國際上的疑慮，就《網(wǎng)絡(luò)安全法》本身來說，它至少有2個配套國家戰(zhàn)略、6個配套規(guī)章和規(guī)范性文件、2個配套立法草案、15個配套國家標(biāo)準(zhǔn)草案和3個國家標(biāo)準(zhǔn)立項，通過這些配套法律法規(guī)標(biāo)準(zhǔn)的細(xì)化，《網(wǎng)絡(luò)安全法》的可操作性將會增強、爭議性將會消減。

就中國在世貿(mào)組織框架內(nèi)所作出的承諾來說，首先，作為有可能影響服務(wù)貿(mào)易的國內(nèi)立法，根據(jù)GATS專家組判例，其實施是否符合合理、客觀、公正的要求只是一個程序問題，并且需要指控一方充分舉證。其次，在市場準(zhǔn)入方面，數(shù)據(jù)跨境流動不會對市場準(zhǔn)入義務(wù)的承諾造成任何不利影響。再次，在國民待遇方面，由于國際投資的擴大，有外資持股或在境外設(shè)立了子企業(yè)的國內(nèi)公司在實際運營過程中也必然涉及到數(shù)據(jù)跨境流動，外國服務(wù)貿(mào)易提供者實際上與國內(nèi)競爭對手處于同等地位；此外，關(guān)于電信服務(wù)的附件承認(rèn)了成員國可采取必要措施以保證信息的安全和機密性的權(quán)利。最后，國內(nèi)公共道德與公共秩序所面臨的威脅已經(jīng)足夠援引一般例外的原則，并且安全例外的原則可否援引的判斷權(quán)在援引一方手中。所以，在GATS框架內(nèi)，中國有足夠的合法性實施《網(wǎng)絡(luò)安全法》及其數(shù)據(jù)本地化存儲的要求。

就國際范圍內(nèi)的實踐及發(fā)展趨勢來看，首先，數(shù)據(jù)本地化存儲是合理的、普遍的；其次，大部分國家只是針對某些重要數(shù)據(jù)作了限制流動的要求；再次，國際范圍內(nèi)的實踐表現(xiàn)出反對美國數(shù)據(jù)霸權(quán)的突出特征；最后，從發(fā)展趨勢上看，大部分國家都存在加強對本國數(shù)據(jù)控制的傾向。所以，國際范圍內(nèi)的實踐證明中國有足夠的合理性實施《網(wǎng)絡(luò)安全法》及其數(shù)據(jù)本地化存儲的要求。

總之，中國《網(wǎng)絡(luò)安全法》的有關(guān)措施不僅符合中國在GATS中作出的關(guān)于市場準(zhǔn)入與國民待遇的承諾，也符合其中的例外原則，而且這更是國際上具有普遍性的做法。美國對于中國《網(wǎng)絡(luò)安全法》的指責(zé)是從其數(shù)據(jù)霸權(quán)的地位出發(fā)的，是服務(wù)于其政治經(jīng)濟目的的。對于中國來說，統(tǒng)籌國際國內(nèi)兩個大局及其世貿(mào)組織成員國的身份，要求中國與世界各國一道在制定系列配套法律以及執(zhí)法過程中平衡好維護(hù)數(shù)據(jù)主權(quán)與促進(jìn)國際自由貿(mào)易兩個方面，努力促進(jìn)安全與發(fā)展目標(biāo)的達(dá)成、人類福祉的提升。