從2018年開始，公號君就開始給有關數字貿易協定談判提供技術支撐工作。很高興能看到：9月16日，中國正式提出申請加入《全面與進步跨太平洋伙伴關系協定》（CPTPP）。但與此同時，部分CPTPP成員國已經對我國數據跨境和數據本地化方面的規定是否能夠符合CPTPP相關條款的紀律要求，提出了質疑。對于這個問題的回答，是個系統性的工程。公號君將會把在提供技術支撐工作中形成的一些未在正式報告中所采用的的研究資料和大家分享。

　　我國能否成功加入CPTPP，一個重要的問題是，CPTPP14.11和14.13條中提到的“需要的（required）”是否采取了WTO案例法中的“必要性測試”。眾所周知，“必要性測試”的門檻特別高，現有案例中鮮有締約國的國內法能夠通過該測試。

　　如果CPTPP所說的“需要的（required）”等同于“必要性測試”，那對我國來說，很不容易。但目前，除了CPTPP成員國談判專家論述過CPTPP有意和WTO拉開距離之外，我們還能有來自其他方面的確信嗎？

　　因此，第一篇關注歐盟的GDPR能夠通過WTO的必要性測試問題。初步分析表明，歐盟自身并不認為GDPR能夠通過必要性測試。

　　但為什么關注歐盟？歐盟又不會加入CPTPP，研究歐盟對我國加入CPTPP有什么幫助嗎？因為目前，英國正處于加入CPTPP的談判之中，日本對英國的加入信心滿滿（但日本對我國卻表示了嚴重質疑）。但是英國在國內立法中吸納了GDPR，并獲得了歐盟委員會的充分性認定。如果英國最終能夠加入CPTPP，那就能直接說明CPTPP14.11和14.13條中提到的需要的（required）并沒有采用WTO案例法中的必要性測試。確實，這個研究路徑有點繞，但也是無奈之舉。

　　就數據跨境流動和計算設施本地化來說，歐盟在雙多邊自貿協定中從沒有接受類似于CPTPP的14.11和14.13的案文。既有觀點認為主要原因是歐盟對于自己的GDPR能否通過GATS一般性例外存在擔憂。本附件對此做專題研究。

　　一、GDPR數據跨境流動管控機制簡介

　　1、基本要求

　　GDPR第44條規定了歐盟個人數據跨境流動的基本原則，核心是確保在跨境傳輸的情形中，GDPR提供的個人數據保護水平“不會減損”（not undermined）。也就是說，GDPR提供的保護水平應該隨著個人數據的流動而流動（follow the data）。按照GDPR的邏輯，個人數據受保護是一項基本人權。因此個人信息在跨境場景下的保護，也主要目的是為了保障個人合法權益，即便數據已經流出了國境。該要求被歐盟法院在判例中發展為“實質等同”（essentially equivalent）原則，即并不要求數據接收國的法律與GDPR一致，但應當提供“實質等同”的保護水平。

　　2、具體措施

　　在GDPR看來，數據流出國境，與數據在境內流動相比，有三個主要的變化：一是數據流出后適用的法律法規不同了；二是原境內監管機關無法對接收數據的境外主體實施管轄權；三是個人數據主體維護自身合法權益的渠道變少了，且變得更加困難。因此，GDPR數據跨境流動制度的主要設計，主要著力于解決上述三方面問題。在具體制度設計方面，GDPR在第五章規定了豐富的數據跨境傳輸機制，由于認、行為準則等機制尚未正式實施，本節將重點討論標準格式合同條款、有拘束力公司準則以及充分性認定三種機制。

　　根據GDPR的規定，標準格式合同條款（standard contract clauses, SCC）是由歐盟委員會或監管機構通過的、企業與企業之間將歐盟公民個人數據跨境傳輸到歐盟境外所采用的合同模板。SCC通過固定數據出境后所受保護原則，決定數據出境后所受保護水平）。同時，SCC也引入問責制，通過法律責任劃分的形式，將境內組織明確為主要問責主體，為境內監管機關追究責任提供了便利。當然，境內主體也可以通過合同的形式，繼續追究境外主體的責任。此外，SCC還在其合同中規定了個人數據主體可以基于合同擁有一些特定的權利。

　　有約束力的公司準則（binding corporate rules, BCR），主要適用于跨國公司、集團公司，也是著力于上述三個方面。跨國公司、集團公司可制定約束企業內部之間進行數據跨境傳輸的個人數據保護規則，如果歐盟認可BCR提供的數據保護水平，便可以在集團內部進行數據跨境傳輸，無需另行批準。BCR的保障機制在于即便跨國分公司所在國家的保護水平比較低，則該分公司還是需要遵守BCR，根據BCR規定的原則提供數據保護。具體來說，特定公司在提交BCR申請時，需要確定主申報國家。一旦主申報國家確定，則以該公司在主申報國家的主體作為承擔有關于數據出境的所有法律責任的主體——即監管機關、個人數據主體，均可以通過境內的公司主體來追究法律責任。

　　充分性認定是GDPR核心的數據跨境流動機制，只有數據接收方所在國家具有與歐盟實質等同的個人數據保護水平，數據方可向其進行跨境傳輸。在GDPR第45條明確指出在進行充分性認定時所考慮的相關因素，包括法治和基本人權保護程度、是否存在獨立且有效運轉的監管機構等。對某個國家或地區進行充分性認定，就意味著對該國家或地區法律法規的認可；意味著認可該國家或地區監管機關對數據保護的執法力度；也意味著個人行使權利便利程度的認可。因此，充分性認定是個非常慎重的過程，需要全方面的考察。目前，歐盟確認英國、安道爾、阿根廷、加拿大（商業組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、新西蘭、瑞士和烏拉圭等國家或地區具有同等數據保護水平。

　　此外，GDPR第49條也規定了基于公共利益、為提起、行使或抗辯法律訴求等例外情形，或者僅涉及偶發、少量數據的跨境流動請情形，允許在欠缺前述三種機制條件下，進行數據跨境流動。從上述角度來看，個人同意無法“補齊”數據出境帶來的三個變化。所以GDPR并不將個人同意作為出境的先決條件。在實踐中，如果將同意作為個人信息出境的條件，主要的場景是偶發、單次、數量較少，且其他出境制度（如充分性認定、標準格式條款、有約束力的公司準則等）均不適用的情況下。

　　二、從GATS一般性例外檢視GDPR

　　第一，GDPR對國際服務貿易的具體影響，可能影響“必要性測試”所要求的“衡量和平衡”。例如，2020年7月16日，歐盟法院就備受關注的Schrems II案作出判決，認定因美國數據保護水平未能達到歐盟標準，歐盟與美國在2016年達成的美歐數據跨境轉移機制“歐美隱私盾”協議無效。與此同時，在判決中歐盟法院卻支持歐盟標準合同條款（“SCC”）繼續有效，但數據出口方和接收方都有義務，“一事一議”地在數據跨境前去評估第三國是否提供充分數據保護水平；必要時，可以增加額外的保護措施。數據接收方一旦發現自己不能遵守SCC（比如第三國執法協助請求不允許接收方向出口方披露），則接收方有義務立即通知數據出口方自己不能遵守SCC，出口方應該暫停或者終止數據跨境；如果出口方決定繼續跨境轉移，應該通知本國數據保護監管機構。除非有歐盟委員會對第三國的“數據保護充分性”認定，數據保護監管機構一旦認為SCC不能在當地國家得到遵從，而且也不能通過其他方式提供同等于歐盟的數據保護水平時，監管機構應該暫停或者禁止數據轉移到第三國。歐盟和成員國必須執行法院對GDPR條款的新解釋，由于對額外保護措施的評估和實施極端困難，存在重大不確定性，因此GDPR對服務貿易的具體限制，會影響必要性測試的判斷。

　　第二，如果投訴方援引能夠確保遵守數據保護法的“限制性較小的替代方案”，那么確保合規所需措施的“必要性”最終會受到質疑。國際上公認GDPR對個人數據提供了最高水平的保護措施，而且這些保護措施通過數據跨境流動管控規則來防止被規避。將這些規則與其他國家或地區的數據保護框架進行測試，特別是美國極力推行的APEC的CBRPs制度，WTO裁決機構可能認為在確保遵守歐盟數據保護法方面，存在一些限制性較小的可替代性措施。具體來說，CBPRs的宗旨是通過特定的機制保障APEC隱私框架中九大原則在成員經濟體中得到實現，為亞太地區的個人信息隱私保護提供了指導性原則和標準，最終促使區域內個人信息在得到保護的基礎上實現無障礙流動，推動亞太地區跨境電子商務的發展。究其實質，CBPRs促進個人數據跨境流動的基本邏輯是，如果位處于不同國家的不同公司，統一承諾并遵循APEC隱私框架提出的九大個人數據保護原則，則個人數據在這些公司之間流動就應該不受阻礙。相應地，由于這些公司都通過同一套原則來保護個人數據，那參與CBPRs的國家就不得再以保護個人數據為理由，阻礙個人數據的跨境流動。

　　第三，即使GDPR關于數據跨境流動管控規則被認為是必要的，但仍有一種觀點認為，這些規定的潛在不一致的實施將經不起GATS第14條“起首部分”的考驗。例如，歐盟法院兩次對Schrems案件的判決，事實上將“充分性認定”和“有約束力的公司準則”凸出為最牢靠和穩定的數據跨境流動工具。前者需要歐盟委員會對數據接收國進行全面詳盡的評估，后者同樣需要歐盟成員國數據保護機構對所提交的公司準則進行全面詳盡的評估，兩者均有賴于歐盟單方面的自由裁量。特別是對于充分性認定，歐盟委員會曾在正式的通信中表態：是否啟動對某個國家的“充分性認定”進程，所考慮的主要方面，包括特定國家與歐盟之間的商貿關系、數據流動情況，特定國家在其所在區域中是否是隱私和數據保護的領頭羊，以及特定國家與歐盟的政治關系，特別是是否秉持共同的價值和目標。

　　三、歐盟提出的數據跨境流動和計算設施本地化的案文

　　從WTO合并談判文本來看，歐盟對于數據跨境流動和計算設施本地化的條文分兩段，本附件以條文A和條文B來指代。其中，條文A主要規定了數據（包括各種類型的數據，其中包含個人數據）跨境流動。條文B主要是在A的基礎上，就個人數據做出專門的規定。

　　首先看條文A。條文A要求：各國政府不應限制數據跨境流，其中包括四個具體方面：（1）不得要求使用一方境內的計算設備或網絡元件（network elements）進行數據處理，包括要求使用經在一方境內認證或批準的計算設備或網絡元件；（2）不得要求數據在一方境內進行本地化存儲或處理；（3）不得禁止在他方境內進行數據存儲或處理；（4）不得把使用一方境內的計算設備或網絡元件，或者是否事先滿足一方境內的本地化要求，作為數據跨境流動的前提條件。因此，條文A主要起到禁止數據本地化的作用。

　　再來看條文B。條文B主要針對個人數據，因此本質上是在條文A的基礎上，就個人數據“開辟”出一個例外，以符合GDPR的規定。條文B規定：（1）各方認可，個人數據和隱私獲得保護是一項基本權利，在這一方面設立較高標準有助于數字經濟中的互信和貿易的發展。（2）各方均可采取并維持其認為適當的保障措施，包括通過和實施個人數據跨境傳輸規則，以確保對個人數據和隱私的保護。本協定中的任何內容均不影響各方的保障措施對個人數據和隱私提供的保護。

　　從條文B來看，事實上達到的效果就是歐盟（包括其他接受該條款的簽署國）可以為保護個人數據和隱私，采取各自認為恰當的政策、立法、措施等，包括對個人數據的跨境流動進行專門的監管。而這樣的監管措施，可以包含數據（和設施的）本地化規定。

　　話句話說，歐盟并不接受其GDPR需要接受必要性測試的考驗，而是另起爐灶提出了新的案文。（完）