数字贸易协定 | 欧盟GDPR与WTO的必要性测试

笔者按：

从2018年开始，公号君就开始给有关数字贸易协定谈判提供技术支撑工作。很高兴能看到：9月16日，中国正式提出申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）。但与此同时，部分CPTPP成员国已经对我国数据跨境和数据本地化方面的规定是否能够符合CPTPP相关条款的纪律要求，提出了质疑。对于这个问题的回答，是个系统性的工程。公号君将会把在提供技术支撑工作中形成的一些未在正式报告中所采用的的研究资料和大家分享。

我国能否成功加入CPTPP，一个重要的问题是，CPTPP14.11和14.13条中提到的“需要的（required）”是否采取了WTO案例法中的“必要性测试”。众所周知，“必要性测试”的门槛特别高，现有案例中鲜有缔约国的国内法能够通过该测试。

如果CPTPP所说的“需要的（required）”等同于“必要性测试”，那对我国来说，很不容易。但目前，除了CPTPP成员国谈判专家论述过CPTPP有意和WTO拉开距离之外，我们还能有来自其他方面的确信吗？

因此，第一篇关注欧盟的GDPR能够通过WTO的必要性测试问题。初步分析表明，欧盟自身并不认为GDPR能够通过必要性测试。

但为什么关注欧盟？欧盟又不会加入CPTPP，研究欧盟对我国加入CPTPP有什么帮助吗？因为目前，英国正处于加入CPTPP的谈判之中，日本对英国的加入信心满满（但日本对我国却表示了严重质疑）。但是英国在国内立法中吸纳了GDPR，并获得了欧盟委员会的充分性认定。如果英国最终能够加入CPTPP，那就能直接说明CPTPP14.11和14.13条中提到的需要的（required）并没有采用WTO案例法中的必要性测试。确实，这个研究路径有点绕，但也是无奈之举。

就数据跨境流动和计算设施本地化来说，欧盟在双多边自贸协定中从没有接受类似于CPTPP的14.11和14.13的案文。既有观点认为主要原因是欧盟对于自己的GDPR能否通过GATS一般性例外存在担忧。本附件对此做专题研究。

一、GDPR数据跨境流动管控机制简介

1、基本要求

GDPR第44条规定了欧盟个人数据跨境流动的基本原则，核心是确保在跨境传输的情形中，GDPR提供的个人数据保护水平“不会减损”（not undermined）。也就是说，GDPR提供的保护水平应该随着个人数据的流动而流动（follow the data）。按照GDPR的逻辑，个人数据受保护是一项基本人权。因此个人信息在跨境场景下的保护，也主要目的是为了保障个人合法权益，即便数据已经流出了国境。该要求被欧盟法院在判例中发展为“实质等同”（essentially equivalent）原则，即并不要求数据接收国的法律与GDPR一致，但应当提供“实质等同”的保护水平。

2、具体措施

在GDPR看来，数据流出国境，与数据在境内流动相比，有三个主要的变化：一是数据流出后适用的法律法规不同了；二是原境内监管机关无法对接收数据的境外主体实施管辖权；三是个人数据主体维护自身合法权益的渠道变少了，且变得更加困难。因此，GDPR数据跨境流动制度的主要设计，主要着力于解决上述三方面问题。在具体制度设计方面，GDPR在第五章规定了丰富的数据跨境传输机制，由于认、行为准则等机制尚未正式实施，本节将重点讨论标准格式合同条款、有拘束力公司准则以及充分性认定三种机制。

根据GDPR的规定，标准格式合同条款（standard contract clauses, SCC）是由欧盟委员会或监管机构通过的、企业与企业之间将欧盟公民个人数据跨境传输到欧盟境外所采用的合同模板。SCC通过固定数据出境后所受保护原则，决定数据出境后所受保护水平）。同时，SCC也引入问责制，通过法律责任划分的形式，将境内组织明确为主要问责主体，为境内监管机关追究责任提供了便利。当然，境内主体也可以通过合同的形式，继续追究境外主体的责任。此外，SCC还在其合同中规定了个人数据主体可以基于合同拥有一些特定的权利。

有约束力的公司准则（binding corporate rules, BCR），主要适用于跨国公司、集团公司，也是着力于上述三个方面。跨国公司、集团公司可制定约束企业内部之间进行数据跨境传输的个人数据保护规则，如果欧盟认可BCR提供的数据保护水平，便可以在集团内部进行数据跨境传输，无需另行批准。BCR的保障机制在于即便跨国分公司所在国家的保护水平比较低，则该分公司还是需要遵守BCR，根据BCR规定的原则提供数据保护。具体来说，特定公司在提交BCR申请时，需要确定主申报国家。一旦主申报国家确定，则以该公司在主申报国家的主体作为承担有关于数据出境的所有法律责任的主体——即监管机关、个人数据主体，均可以通过境内的公司主体来追究法律责任。

充分性认定是GDPR核心的数据跨境流动机制，只有数据接收方所在国家具有与欧盟实质等同的个人数据保护水平，数据方可向其进行跨境传输。在GDPR第45条明确指出在进行充分性认定时所考虑的相关因素，包括法治和基本人权保护程度、是否存在独立且有效运转的监管机构等。对某个国家或地区进行充分性认定，就意味着对该国家或地区法律法规的认可；意味着认可该国家或地区监管机关对数据保护的执法力度；也意味着个人行使权利便利程度的认可。因此，充分性认定是个非常慎重的过程，需要全方面的考察。目前，欧盟确认英国、安道尔、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士和乌拉圭等国家或地区具有同等数据保护水平。

此外，GDPR第49条也规定了基于公共利益、为提起、行使或抗辩法律诉求等例外情形，或者仅涉及偶发、少量数据的跨境流动请情形，允许在欠缺前述三种机制条件下，进行数据跨境流动。从上述角度来看，个人同意无法“补齐”数据出境带来的三个变化。所以GDPR并不将个人同意作为出境的先决条件。在实践中，如果将同意作为个人信息出境的条件，主要的场景是偶发、单次、数量较少，且其他出境制度（如充分性认定、标准格式条款、有约束力的公司准则等）均不适用的情况下。

二、从GATS一般性例外检视GDPR

第一，GDPR对国际服务贸易的具体影响，可能影响“必要性测试”所要求的“衡量和平衡”。例如，2020年7月16日，欧盟法院就备受关注的Schrems II案作出判决，认定因美国数据保护水平未能达到欧盟标准，欧盟与美国在2016年达成的美欧数据跨境转移机制“欧美隐私盾”协议无效。与此同时，在判决中欧盟法院却支持欧盟标准合同条款（“SCC”）继续有效，但数据出口方和接收方都有义务，“一事一议”地在数据跨境前去评估第三国是否提供充分数据保护水平；必要时，可以增加额外的保护措施。数据接收方一旦发现自己不能遵守SCC（比如第三国执法协助请求不允许接收方向出口方披露），则接收方有义务立即通知数据出口方自己不能遵守SCC，出口方应该暂停或者终止数据跨境；如果出口方决定继续跨境转移，应该通知本国数据保护监管机构。除非有欧盟委员会对第三国的“数据保护充分性”认定，数据保护监管机构一旦认为SCC不能在当地国家得到遵从，而且也不能通过其他方式提供同等于欧盟的数据保护水平时，监管机构应该暂停或者禁止数据转移到第三国。欧盟和成员国必须执行法院对GDPR条款的新解释，由于对额外保护措施的评估和实施极端困难，存在重大不确定性，因此GDPR对服务贸易的具体限制，会影响必要性测试的判断。

第二，如果投诉方援引能够确保遵守数据保护法的“限制性较小的替代方案”，那么确保合规所需措施的“必要性”最终会受到质疑。国际上公认GDPR对个人数据提供了最高水平的保护措施，而且这些保护措施通过数据跨境流动管控规则来防止被规避。将这些规则与其他国家或地区的数据保护框架进行测试，特别是美国极力推行的APEC的CBRPs制度，WTO裁决机构可能认为在确保遵守欧盟数据保护法方面，存在一些限制性较小的可替代性措施。具体来说，CBPRs的宗旨是通过特定的机制保障APEC隐私框架中九大原则在成员经济体中得到实现，为亚太地区的个人信息隐私保护提供了指导性原则和标准，最终促使区域内个人信息在得到保护的基础上实现无障碍流动，推动亚太地区跨境电子商务的发展。究其实质，CBPRs促进个人数据跨境流动的基本逻辑是，如果位处于不同国家的不同公司，统一承诺并遵循APEC隐私框架提出的九大个人数据保护原则，则个人数据在这些公司之间流动就应该不受阻碍。相应地，由于这些公司都通过同一套原则来保护个人数据，那参与CBPRs的国家就不得再以保护个人数据为理由，阻碍个人数据的跨境流动。

第三，即使GDPR关于数据跨境流动管控规则被认为是必要的，但仍有一种观点认为，这些规定的潜在不一致的实施将经不起GATS第14条“起首部分”的考验。例如，欧盟法院两次对Schrems案件的判决，事实上将“充分性认定”和“有约束力的公司准则”凸出为最牢靠和稳定的数据跨境流动工具。前者需要欧盟委员会对数据接收国进行全面详尽的评估，后者同样需要欧盟成员国数据保护机构对所提交的公司准则进行全面详尽的评估，两者均有赖于欧盟单方面的自由裁量。特别是对于充分性认定，欧盟委员会曾在正式的通信中表态：是否启动对某个国家的“充分性认定”进程，所考虑的主要方面，包括特定国家与欧盟之间的商贸关系、数据流动情况，特定国家在其所在区域中是否是隐私和数据保护的领头羊，以及特定国家与欧盟的政治关系，特别是是否秉持共同的价值和目标。

三、欧盟提出的数据跨境流动和计算设施本地化的案文

从WTO合并谈判文本来看，欧盟对于数据跨境流动和计算设施本地化的条文分两段，本附件以条文A和条文B来指代。其中，条文A主要规定了数据（包括各种类型的数据，其中包含个人数据）跨境流动。条文B主要是在A的基础上，就个人数据做出专门的规定。

首先看条文A。条文A要求：各国政府不应限制数据跨境流，其中包括四个具体方面：（1）不得要求使用一方境内的计算设备或网络元件（network elements）进行数据处理，包括要求使用经在一方境内认证或批准的计算设备或网络元件；（2）不得要求数据在一方境内进行本地化存储或处理；（3）不得禁止在他方境内进行数据存储或处理；（4）不得把使用一方境内的计算设备或网络元件，或者是否事先满足一方境内的本地化要求，作为数据跨境流动的前提条件。因此，条文A主要起到禁止数据本地化的作用。

再来看条文B。条文B主要针对个人数据，因此本质上是在条文A的基础上，就个人数据“开辟”出一个例外，以符合GDPR的规定。条文B规定：（1）各方认可，个人数据和隐私获得保护是一项基本权利，在这一方面设立较高标准有助于数字经济中的互信和贸易的发展。（2）各方均可采取并维持其认为适当的保障措施，包括通过和实施个人数据跨境传输规则，以确保对个人数据和隐私的保护。本协定中的任何内容均不影响各方的保障措施对个人数据和隐私提供的保护。

从条文B来看，事实上达到的效果就是欧盟（包括其他接受该条款的签署国）可以为保护个人数据和隐私，采取各自认为恰当的政策、立法、措施等，包括对个人数据的跨境流动进行专门的监管。而这样的监管措施，可以包含数据（和设施的）本地化规定。