世贸组织背景下中国数据本地化存储要求的评析*

李 毅，王 迪

(1.北京师范大学 法学院，北京 100875;2.北京师范大学 政府管理学院，北京 100875)

自中国《网络安全法》颁布以来，2018年，欧盟《一般数据保护条例》也正式实施，其他一些国家如印度、越南等，也在维护数据主权以及数据本地化存储立法方面做了一些工作。基于国家或共同体安全和保护个人信息的考虑，对数据存储和跨境流动作出相应规范，已成为世界各国各地区的普遍做法。

但是在经济全球化的背景下，在世界贸易组织的框架中，不可避免会存在对该政策可能会影响国际服务贸易的疑虑。如2017年，美国向WTO贸易服务委员会成员国控告中国，声称中国的《网络安全法》及其一系列配套政策的有关规定将会阻碍数据跨境流动，从而影响到世贸组织框架下的服务贸易和在华外企业务的开展。其关切主要在于“网络运营者”定义的宽泛性、“重要数据”与“个人信息”传输限制的严苛性与牵涉社会部门的广泛性、隐私保护义务的繁重性与不必要性、安全评估标准与关键信息基础设施定义的宽泛性与模糊性等。基于此，美国要求中国承担服务贸易总协定规定的市场准入和国民待遇等方面的义务并暂缓发布和实施最终措施。其实早在2016年8月[1]以及2017年5月就分别有数十家外国团体和国际商业机构对中国的《网络安全法(草案)》提出集体关切和质疑。

所以，在世贸组织的背景下对中国数据本地化存储的要求做一番评析是必要的。

一、数据本地化存储的要求与数据主权

数据本地化存储的要求是在大数据时代随着一国安全形势的变化而产生的，是国家数据主权的体现。

网络技术领域“云”概念的应用突破了对计算机硬件存储器的需要，无数终端数据脱离硬件设备直接上传存储在国界线之上的“云”中，传统意义上以国界线为终点的国家主权的行使在此失效，国家实质上丧失了对本质属于国内的数据的控制权[2]，造成国家主权部分——所谓“数据主权”——缺失。这种状况显示出互联网技术特征的原罪，这就是数据的所有权、使用权以及数据存储的分离，从而使权利/权力识别和有效行使面临困境[3]。

从单纯强调互联网主权，到意识到信息的重要性，再到网络空间主权，最后到强调大数据的重要地位，计算机网络领域的主权概念在我国的建立和发展是一个渐进的过程。2010年，国务院新闻办公室发布《中国互联网状况白皮书》，明确宣示中国境内的互联网属于我国主权管辖范围；2014年，习近平主席在巴西国会发表演讲，提出“国家信息主权”的概念，强调国家信息主权权益不应受到侵犯。随着大数据概念的提出和技术应用，“数据主权”的说法出现在国务院文件中，2015年，国务院发布了《促进大数据发展行动纲要》，促进大数据发展正式成为国家的行动方略。

而在学术界，有学者将数据主权限定为网络空间中的国家主权[4]，但该观点明显忽视了大数据时代数据的来源不仅仅来自互联网，空间技术、卫星传播等也可以成为数据产生和流动的路径，所以仅仅以网络空间框定数据主权的涵义较为片面；另外有学者主张，数据主权是一国独立自主对本国数据进行管理和利用的权利[4]，该观点沿用传统主权理论，避开了对数据主权管辖范围的讨论，但又把主权限定在对数据进行管理和利用的内容上，忽视了与之相关的技术、设备等[5]。

实际上，还有学者对数据主权作广义和狭义的两种理解，认为广义的数据主权包括国家数据主权和个人数据主权，两者相互依存，互为实现的前提和支撑[6]。狭义的数据主权则不包括个人数据主权，即用户对其数据的自决权和自我控制权[7]，仅仅指国家数据主权。

但大部分学者也能同意数据主权指一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力[8]这样一个定义，并且回归主权的本义从对内控制权和对外独立性两个层次来理解[8]，即数据主权是国家最高权力在数据领域的具化，具有独立性、自主性和排他性的特征。在本国数据领域践行传统国家主权理论以确保国家对本国数据拥有独立自主开发、管理和处置的最高权力[9]是应有之义。

二、中国涉及本地化存储要求的国内立法之主要内容及其立法目的

(一)中国涉及本地化存储要求的国内立法之主要内容

《网络安全法》是在网络技术高速发展与网络立法规制碎片化双重作用下产生了一些新的社会问题的背景下出台的。相关立法不健全、规范层级低、政出多门、以行政指令为主，网络管理的工作重点依旧停留在对网络公司的管理和对涉黄违法信息的监控，对于一些新的问题，比如跨国网络犯罪和信息窃密则没有涉及[10]。

关于我国的数据本地化立法，在国家安全层面上，《国家安全法》要求对关键基础设施和重要领域信息系统及数据实现安全可控。据此精神于2016年7月颁布的《网络安全法》第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”从而针对个人信息和重要数据确立了以境内存储为原则、安全评估后向境外提供为例外的跨境数据传输制度。当前，与之相配套的一系列法律法规标准已经制定出来或正在制定当中，如《个人信息和重要数据出境安全评估办法》《信息安全技术 数据出境安全评估指南》《关键信息基础设施安全保护条例》和《网络关键设备和网络安全专用产品目录》等，增强了《网络安全法》的可操作性。

此前，在我国一些特定行业的立法中也有关于数据本地化存储要求的先例。2011年央行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》、保监委发布的《保险公司开业验收指引》、2013年国务院《征信业管理条例》、2014年国家卫计委发布的《人口健康信息管理办法(试行)》、2015年国务院《地图管理条例》、2016年发布的《网络预约出租汽车经营服务管理暂行办法》、广电总局与工信部2016年发布的《网络出版服务管理规定》等都不同程度地提出了服务器和设施本地化的要求，有的则明确禁止在本国收集的数据出境。

认真分析《网络安全法》可以看出，中国的数据本地化存储要求可以说是刚柔相济：对于个人信息和重要数据，不存在只要达到既定的保护标准就可以跨境流动的数据目的国，这是其刚性的一面；同时又有所变通，“因业务需要，确需向境外提供的”，可以通过安全评估跨境流动，这是其柔性的一面。从另一个角度看，要求数据目的国建立高标准的保护措施不会比要求通过安全评估更具歧视性。

所以，基于数据跨境流动的贸易服务的提供在我国《网络安全法》框架下仍是可以实现的，只不过涉及“重要数据”与“个人信息”的须经过安全评估。同时，欧盟于2018年10月正式通过了《非个人数据自由流动条例》，该条例针对非个人数据明确指出数据本地化规则的弊端, 要求确保在欧盟成员国实施数据自由流动[11]，其灵活性、区别对待的精神与中国《网络安全法》的精神是一致的。

(二)中国数据本地化存储要求的立法目的

入世之后，我国按照世贸组织的系列规则不断深入对外开放，各领域对外交流与合作不断加深。一方面，这是顺应全球化趋势与促进国际贸易发展的要求，是统筹国际国内两个大局的体现；而另一方面，在对外开放的过程中，在信息技术水平相对不高并且尚未建立相关完善的法律保障体系的情况下，也必然导致整个经济社会面临各种不确定性的挑战。

1.维护国家安全

针对某国公私部门的网络攻击与一国防范敌对势力窃取本国涉密信息的技术发展自网络诞生至今一直是依存伴生的，二者是一种此消彼长的关系，是网络领域国际竞争的表现。国家互联网应急中心的监测数据显示，2018年，我国境内有23 462个网站遭到篡改，其中有799个政府网站；针对境内网站的仿冒页面数量为55 180个；约944万个终端遭到病毒感染，其中约616万个IP地址对应的主机被木马或僵尸程序控制服务器控制，境外木马或僵尸程序控制服务器主要分布在美国、日本，控制境内主机数量居前列的主要是美国、中国香港、加拿大等国家和地区[注]有关数据为本文作者根据国家互联网应急中心发布的《互联网安全威胁报告》整理计算得出。(参见http://www.cert.org.cn/publish/main/45/index.html)。一些针对工业控制领域发动的网络攻击事件也频频发生，如美国纽约鲍曼水坝防洪控制系统遭受攻击、乌克兰电网因恶意程序“黑暗势力”的变种攻击发生供电故障等。而且中国还是高级持续性威胁(APT)组织的主要攻击对象，大部分APT 组织都对我国境内目标发动了攻击，涉及到多家政府部门、高校以及能源、航空、电信等重要信息系统部门[12]。同时，网络上暴力、黄色、反动等信息以及谣言、非法宗教宣传等也会造成极大危害。

可以说，只要国家间利益冲突的现象存在，甚至只要有国家存在，针对他国的公私部门进行网络攻击以及从意识形态进行文化宣传以获取秘密信息、危害他国国家安全的现象就会不断发生。《促进大数据发展行动纲要》指出：“数据已成为国家基础性战略资源。”国家安全的内涵和外延以技术水平为界限被大大展开，一个国家、一个企业的利益和前途很大程度上可以用其数据汲取能力和数据保护水平来定义和阐述。从商业利益到政治利益，从政治经济到社会文化，数据保护是这个时代国家安全战的前线，对某些关键数据的保护是必不可少的。在这种背景下，国家实际上承担起巨大的网络防务压力，这需要我国在不断提高网络科技水平的同时，通过各种途径规制对外开放背景下危害国家安全的各种因素。事实上，我国在不受黑客影响的量子通信技术方面已经取得了突破。

2.保护个人数据

保护个人信息对于数据本地化存储的要求实际上是从用户隐私角度出发对国内外相关主体无实质歧视的同一规定，主要目的是保护公民权不受侵犯与防止用户经济损失，甚至保护其生命安全。

近年来，国内外个人数据信息泄露事件逐年增多，对公民隐私权、财产权甚至生命权造成极大危害，在政治、经济、社会层面造成极端不良影响。2016年，美国总统大选“邮件门”严重影响了希拉里的选情；雅虎因先后两次泄露涉及约15亿的个人账户信息导致威瑞森收购雅虎计划搁置，在2017年最终完成收购后，威瑞森又表示所有30亿雅虎用户的个人信息被泄露。2016年，我国免疫规划系统网络被恶意入侵，致使20万儿童的信息被泄露并被公开售卖；信息泄露导致精准诈骗案件频发，如“徐玉玉案”等。根据公安部“净网2018”专项行动统计，仅2018年一年，公安部门就侦破公民个人信息被窃取买卖案件5 000余起，抓获犯罪嫌疑人1.3万余名，侦破黑客攻击窃取数据案件2 000余起，抓获犯罪嫌疑人2 000余名。

要求境外贸易服务提供者对个人信息进行本地化存储同样也是出于对人权的尊重，与此同时并非完全禁止个人信息及数据跨境流动，安全评估是尊重人权的应有之义。

三、中国数据本地化存储要求的合法性分析——是否符合基于WTO协议承担的相关义务

(一)中国的数据本地化存储要求与《服务贸易总协定》中所承诺的义务

中国依据《服务贸易总协定》(GATS)及《入世议定书》履行了在服务贸易领域给予WTO其他成员方国民待遇、市场准入的义务，在有关国内立法方面也作出某些承诺。

1.国内法规

《服务贸易总协定》第6条第1款规定，每一成员应保证所有影响服务贸易的普遍适用的措施以合理、客观和公正的方式实施。

其实，我国对于重要数据与个人信息本地化存储以及跨境流动须经安全评估的要求的实施是否符合合理、客观、公正的要求是一个程序问题，这不仅在表述上可以推出，而且在WTO贸易争端解决机制框架内的判例也可佐证。在“美国：影响赌博和博彩服务的跨境提供的措施案”中，专家组认为《服务贸易总协定》第6条第1款并非指向有关措施的实质内容，而主要针对的是其实施程序。同时，有学者认为，根据以往判例，投诉一个WTO 成员的行为不公正或不合理是一种严重的指控，所以投诉方根据《服务贸易总协定》第6条第1款对中国提出的指控，应当进行与这一指控相一致的充分举证，来证明中国本地化存储政策要求的实施方式的确使其公司在市场竞争中受到了不利影响；而从中国政府的角度看，如果能够证明该要求的实施方式与世界上大多数或者相当一部分国家类似，无疑有助于避免被视为不合理、不客观、不公正[13]，这一点将在本文第四部分详述。

2.市场准入

《服务贸易总协定》第16条规定，对于市场准入，每一成员对任何其他成员的服务和服务提供者给予的待遇，不得低于其在具体承诺减让表中同意和列明的条款、限制和条件，不得就服务提供者的数量、服务交易或资产总值等六个方面维持或采取任何限制性措施。

在减让表中，在《服务贸易总协定》所规定的四种服务提供方式下，增值电信服务包括电子邮件、电子数据交换等七项内容。中国对需要本地化存储的“关键信息基础设施的运营者”收集和产生的“个人信息和重要数据”的跨境流动要求进行安全评估，没有低于减让表中的对于任何一种服务提供方式下任何一项业务内容的承诺，反而会因严格的数据类别限定使某些外国企业的服务贸易过程更加规范化，实际上这项要求并没有对市场准入义务的承诺造成任何不利影响。

3.国民待遇

《服务贸易总协定》第17条规定，对于列入减让表的部门，每一成员在影响服务提供的所有措施方面给予任何其他成员的服务和服务提供者的待遇，不得低于其给予本国同类服务和服务提供者的待遇。

《网络安全法》对中外企业提供服务贸易共同适用、同等对待，在实质上不存在造成外国服务贸易提供者相较本国提供者处于一个不利地位的疑问。事实上，在资本全球化的今天，国际投资规模、范围不断扩大，程度不断加深，单纯的本土企业已经很少了，需要进行重要数据与个人信息跨境流动的企业都必定是有国际竞争力的大企业，而能与它们竞争的主要营业地在国内的企业或多或少都有外资持股或者在境外有子企业，如阿里巴巴前两大股东是软银与雅虎，持股比例为44.2%，这还是在阿里上市后持股比例有所下降的情况下；而腾讯第一大股东南非MIH集团持股比例也达到了33.93%。这些有外资持股或在境外设立了子企业的国内公司在实际运营过程中也必然涉及到数据跨境流动，在涉及到重要数据与个人信息时，它们也同样适用《网络安全法》。

4.关于电信服务的附件

《服务贸易总协定》的电信服务附件将《服务贸易总协定》有关公共电信传输和服务措施进行了详细规定，具体包括对电信服务的范围含义进行了界定、对有关电信服务的透明度和进入使用以及国际技术合作需求作了要求和规范，同样并未在《服务贸易总协定》减让表之外要求承担义务。其第5条有关成员在公共电信传输网及其服务的准入和使用方面的义务构成了该附件的关键内容，其中(c)款规定，每一成员应保证任何其他成员的服务提供者可使用公共电信传输网络和服务在其境内或跨境传送信息。同时(d)款规定：尽管有上一项的规定，但是一成员仍可采取必要措施，以保证信息的安全和机密性，但此类措施不得以对服务贸易构成任意的或不合理的歧视或构成变相限制的方式实施。在4.1.2与4.1.3中已经论证了数据本地化存储与安全评估数据跨境流动的要求符合我国所作的市场准入与国民待遇承诺，是非歧视的。

同时，中国《网络安全法》要求本地化存储并对要求跨境流动的个人信息和重要数据进行安全评估绝对不会比欧盟对数据目的国越来越高的保护标准要求更具歧视性，不断提高的保护标准也会使人产生这是否实质上限制了服务贸易的疑问，因此，我们不能将歧视的概念无节制地滥用。

(二)中国的数据本地化存储要求与《服务贸易总协定》中的例外规定

《服务贸易总协定》第14条一般例外条款规定，在某些情况下成员国所作的承诺可以有所例外，如为保护公共道德或维护公共秩序、为保护个人隐私和个人账户的机密性。但同时《关于基础电信谈判的附件》第5条又规定，只有在社会的某一根本利益受到真正的和足够严重的威胁时，方可援引公共秩序例外条款。但同一条下的安全条款则又追加例外规定：不得要求任何成员提供其认为如披露则会违背其根本安全利益的任何信息。

我国立法将“关键信息基础设施的运营者”收集和产生的“个人信息和重要数据”进行本地化存储、确需跨境流动的须经安全评估的要求是适用于例外原则的。首先，这是维护公共道德与公共秩序、保护个人隐私与账户机密性所必需的措施。我们无法确定在电信诈骗猖狂泛滥的今天如果不加谨慎评估就允许个人信息流向境外会不会导致甚至比徐玉玉事件还恶劣的侵犯人权的案件，比如近些年频发的跨境(台湾东南亚地区)电信诈骗案件，这对社会秩序与公民基本权利的威胁与侵害已经足够严重。其次，在此基础上，我们甚至可以援引一般例外条款的(b)款：为保护人类、动物或植物的生命或健康所必需的措施。最后，安全例外条款将某些信息的披露是否会损害一国根本安全的判断权交给了援引国，即“其认为”的表述的内涵。

四、中国的数据本地化存储要求的合理性分析——当前的国际实践及趋势

虽然中国国内法被某些国家指责违反有关国际条约、协议，就像美国指责中国《网络安全法》将会阻碍数据跨境流动，由此影响以之为基础的特别是外国企业的服务贸易的提供一样，但在本文第三部分已经证明我国关于数据本地化存储的政策要求首先是符合基于WTO协议承担的相关义务的，具有合法性。再者，从国际实践看，我们的做法也是合理的，外国的质疑是可以澄清甚至可以被反质疑的。

(一)数据本地化存储的国际实践

数据本地化要求将数据存储在本国的数据中心，谋求达到诸如保障国家安全和个人隐私、便利本国执法、促进本国产业发展的政策目标[14]。围绕国家安全的主题，各国政府在斯诺登事件前后开始对数据安全、数据主权的议题更加关注,纷纷采取了不同限制程度的数据本地化措施。如印度尼西亚2012年通过的《电子系统与交易操作政府条例》(Government Regulation Concerning Electronic System and Transaction Operation，2012)要求公共服务的电子系统运营者应当把数据中心设置在本国境内；俄罗斯2015年9月1日生效的《个人数据法》规定，“运营人应确保使用位于俄罗斯联邦境内的数据库以记录、系统化、积累、存储、澄清(更新或修改)和取回俄罗斯联邦公民的个人数据”，亦即必须将俄罗斯公民的个人数据保存在俄境内的服务器上；2016年，伊朗要求外国即时通讯应用公司必须将伊朗用户数据存储在伊朗境内；2018年7月，印度专门成立的高级别委员会发布了《2018年个人数据保护法案》，规定个人数据应确保在位于印度的服务器或数据中心存储至少一份服务副本。

所以从国际范围看，本地化存储是合理的、惯常的。事实上，据统计，目前全球有超过60个国家作出了数据本地化存储的要求，其中既包括欧美发达国家，也包括亚非发展中国家与转型国家。

(二)限制数据跨境流动的国际实践

数据本地化存储与数据跨境流动既有联系又有不同。简单说，对数据有本地化存储要求不一定意味着禁止数据跨境流动。如印度《2018年个人数据保护法案》，其对个人数据有本地化存储的要求，但是除其中的关键个人数据仅能在位于印度的服务器或数据中心中处理不得出境外，其他个人数据是可以有条件出境或没有限制的[16]；俄罗斯关于个人数据的跨境传输主要受规制于2006年生效的《个人信息保护法》，其精神是对于为个人数据提供充分保护的国家可以自由传输，否则必须基于个人的书面同意[17]。相似地，欧盟从《安全港协议》和《数据保护指令》到《隐私保护协议》和《一般数据保护条例》，都要求数据目的国能对跨境流动的数据安全提供高标准的保护，而韩国在2011年通过的《个人信息保护法》(Personal Information Protection Act，2011)同样规定数据的流动必须获得数据主体的同意。

事实上，在国际实践中，大部分国家只对某一类或几类关键数据的跨境流动进行限制。如澳大利亚在2012年通过的《个人控制电子健康记录法案》(Personally Controlled Electronic Health Records Act，2012)专门针对个人电子健康记录作出了禁止出境的规定，要求不得将医疗信息记录移至澳大利亚境外，更不得在境外加工处理这些信息；意大利、匈牙利等国禁止将政府数据存储于国外云服务提供商的服务器中；印尼在立法中要求交易数据必须存储在境内；澳大利亚规定，对于属于安全分类的数据，必须储存在政府部门的云数据库中，严禁在任何离岸公共云数据库中存储；美国在进行外资安全审查之后要求签署的“安全协议”应体现“禁止外资通信公司将用户的通信数据和个人数据存储在境外”的规定条款；美国《出口管理条例》(The Export Administrative Regulations，EAR)对部分重要数据的出口进行许可管制，要求必须取得相关部门颁发的许可证才可以出口；2016年，谷歌向韩国政府申请将韩国的地图数据向境外数据中心输出，韩国政府认为，谷歌在韩国拥有较大的市场占有率，将本国地图数据输出境外将影响国家主要设施的安全，所以要求谷歌首先对韩国国内的重要设施进行模糊化处理。2017年5月1日，美国信息技术与创新基金会(ITIF)发布了一份关于跨境数据流动的报告，对世界有关国家限制数据跨境流动的种类作了详细的介绍，主要限制数据有财会税务类、个人类、电信类、新兴数字服务类、政府和公共类以及其他类。

(三)小 结

有学者总结，在现阶段，各国在数据主权和数据跨境流动方面的核心在于谋求对本国数据的排他性最高控制权。这不仅体现出各国对于独立发展本国数据产业的需要，而且更体现出各国对于国家主权、对于本国有权根据自己的意志自行决定如何制定法规制度而排除任何外部势力干涉和支配的宣示[9]。还有学者指出，除法理之外，对数据跨国流动进行限制也可以是基于道德伦理的要求。对于侵害文化伦理、道德价值观的数据不得传入境内。此外，数据的跨境流动也应坚持对等原则，凡是对本国公民和团体的数据权利加以限制的，应予以同等对待[19]。此外，还有学者认为，当今关于数据主权在国际上的立法表现为三种趋势[20]：一是限制重要数据跨境出口，维护本国数据安全；二是通过对个人数据本地化存储的立法调整，强化对数据的控制；三是延伸对数据的域外管辖权，从属地主义扩大到属人主义。

这些都可以证明中国数据本地化存储与重要信息跨境流动须经安全评估的要求与世界上大多数或者相当一部分国家类似，是国际上普遍的做法。

我们发现，围绕数据本地化存储与数据跨境流动议题进行反复交锋实际上形成了两种诉求相反的共同体，一方是美国数据霸权，“911”事件之后，美国国会通过《爱国者法案》，以爱国反恐的名义为联邦政府搜集处理全球范围内的私人数据提供了便利，为警察机关监控有关个人信息如私人电话、私人邮件、消费记录等大开方便之门。对于企业，美国情报机构可直接进入微软、雅虎、谷歌等跨国互联网公司的服务器和数据库获取位于欧洲数据中心的数据，实质上相当于撕毁了《安全港协议》。自2016年12月1日开始，美国联邦调查局根据修订后的《联邦刑事诉讼程序规则》第41条，将在获得搜查令后，“进入”网络获得相关的证据，而无论遭入侵装置的具体地理位置。从最直接的结果看，美国的联邦调查局仅仅凭借美国某个洲，乃至某个地区司法机构签发的搜查令，就可以“合法”地入侵其他地区、其他州、乃至其他国家的网络设备。2017年2月，费城地方法院裁决，要求谷歌提供储存在境外服务器上的该公司客户邮件，以便美国联邦调查局(FBI)展开欺诈案的调查工作。加利福尼亚州地方法官认为，如果谷歌能够在美国境内自有机器上提取信息，此类信息就理应属于美国法院管辖范围。此外，由于信息提取自山景城谷歌总部，不应被视为海外信息，与微软隐私案中提及的将信息存储在爱尔兰的情况有所不同，最终谷歌还是按照政府要求提供了搜查令中规定的所有Gmail账户和邮件信息。2017年10月6日，美国发布新《美国自由法》草案，更新并重新授权了《外国情报监听法》(FISA)第702条，目的是为查明和遏制针对美国国家和公民的恐怖主义威胁收集位于美国境外的非美国人通信，这使美国国家安全局(NSA)和FBI的监控合法化。另一方是美国之外的其他国家，他们起码能在这样的描述上达成与美国相对立的共识：这些国家追求对本国数据的保护，以保证不会被用于不利于国家与民众的目的，在此基础上再进行跨境流动与利用。

五、世贸组织背景下数据本地化存储与自由贸易的协调

(一)数据本地化的困境与数据主权的对抗

虽然本文从国内立法本身的内容与配套措施的完备、世贸组织框架内对承诺的国民待遇与市场准入等义务的遵守、国际上类似立法的普遍性、反对数据霸权等角度，论证了“关键信息基础设施的运营者”收集和产生的“个人信息和重要数据”须本地存储以及其跨境流动须经安全评估的政策要求的合法性与合理性，但数据本地化的实践仍面临着双重困境：正如前文所述，数据天然无国界，可以在全球范围内自由使用，云技术的出现则更加方便了数据的跨境操作，同时电子商务跨境业务的发展也催生了跨境收集和处理用户信息的极大需求，所以基于规范数据流动的制度设计也必须界定明确、设计严密以便于执行[14]，即个人信息与重要数据的明确界定、以何种具体方式获得数据主体的同意等必须明确化。

此外，过于强调本国的数据主权将会导致对抗状态[5]。首先，强调数据主权绝对独立将导致多重管辖权冲突。在大数据时代，数据流动牵涉到多方跨境主体，流动范围遍及全球。由于数据是完整的、不可分割的，只要数据一跨境便会导致国家管辖权的重叠，并由此产生主权冲突。在此情形下，法律多重适用将导致服务商趋易避难，逃避较为严格的数据保护国内规制，从而影响本国数据安全；其次，如果政府倾向于对数据实施绝对的单边控制，这实际上将侵犯公民个人权利；最后，产生物极必反的效果。

(二)世贸组织背景下数据本地化存储与自由贸易的协调

有不少外国学者认为，数据本地化存储抑制了数据流动的天性，破坏了开放互通的互联网架构，与全球化世界中各种要素高速流动的需要和现实背道而驰，将会严重影响产业发展和技术进步。有研究指出，数据本地化存储的措施将造成一国GDP的损失，如对欧盟、印度、中国、俄罗斯的GDP将分别降低0.48%、0.25%、0.55%、0.27%[21]。我们可以注意到，这些研究报告中经过合理建模所量化出来的“精确”的结果是一种纯技术层面的考量，没有注意到如果完全放任一国内的所有信息或者数据跨境流动，不仅在技术水平不高、法制不健全的国家或地区可能引发违法犯罪现象，而且也是对公民权利尤其是隐私权的肆意践踏。

就像在经济领域市场政府两只手要相互搭配一样，世贸组织框架下全球范围内的数据流动也要找到自由贸易与数据主权的那一个平衡点，其主要思路是：基于网络空间的双重属性，在坚持网络主权、数据主权的前提下求同存异、争取共识，对不同种类数据区别对待，以谋求自由贸易的推进，人类福祉的提高。

毋庸置疑，网络空间作为一种特殊空间，兼有现实性和虚拟性的双重特点，因而也是兼具主权与公域的双重属性[22]。同理，对于各种数据，一方面，数据是虚拟的，不存在于一个有明确界限的空间之内，由跨越国境的各有关主体共享。虽然数据关系到所有国家和地区的利益，但任何政府都无法实现对其单独、绝对的控制。但另一方面，数据也具有主权属性。一国政府有权对产生和流经其管辖范围的数据行使主权，对管辖范围外的数据甚至可以依据国际法对其进行管辖。

同时，围绕数据本地化存储与数据跨境流动议题也就是“数据主权”进行反复交锋则形成了两大阵营，一方是美国数据霸权，另一方是通过各种形式保护本国数据的国家。两大阵营在短期内完全消除分歧是不现实的，这其实是由美国处于信息技术水平绝对领先地位决定的。

因此，当前比较现实的策略是在坚持网络主权与数据主权的前提下求同存异、争取共识，循序渐进地向构建多边共赢的国际网络治理模式推进，在世贸组织框架下做好适当安排，进行区别对待，关注成员国对国家安全、公民隐私与经济发展的三重关切，努力搭建一个公平合理的世界经济舞台，共同致力于人类福祉的提升。

六、结 语

包括数据主权在内的网络主权，在中国现在所处的发展阶段承担着促进国家发展和维护国家安全的双重目的[23]，此外也是捍卫公民权利的着力点。

针对国际上的疑虑，就《网络安全法》本身来说，它至少有2个配套国家战略、6个配套规章和规范性文件、2个配套立法草案、15个配套国家标准草案和3个国家标准立项，通过这些配套法律法规标准的细化，《网络安全法》的可操作性将会增强、争议性将会消减。

就中国在世贸组织框架内所作出的承诺来说，首先，作为有可能影响服务贸易的国内立法，根据GATS专家组判例，其实施是否符合合理、客观、公正的要求只是一个程序问题，并且需要指控一方充分举证。其次，在市场准入方面，数据跨境流动不会对市场准入义务的承诺造成任何不利影响。再次，在国民待遇方面，由于国际投资的扩大，有外资持股或在境外设立了子企业的国内公司在实际运营过程中也必然涉及到数据跨境流动，外国服务贸易提供者实际上与国内竞争对手处于同等地位；此外，关于电信服务的附件承认了成员国可采取必要措施以保证信息的安全和机密性的权利。最后，国内公共道德与公共秩序所面临的威胁已经足够援引一般例外的原则，并且安全例外的原则可否援引的判断权在援引一方手中。所以，在GATS框架内，中国有足够的合法性实施《网络安全法》及其数据本地化存储的要求。

就国际范围内的实践及发展趋势来看，首先，数据本地化存储是合理的、普遍的；其次，大部分国家只是针对某些重要数据作了限制流动的要求；再次，国际范围内的实践表现出反对美国数据霸权的突出特征；最后，从发展趋势上看，大部分国家都存在加强对本国数据控制的倾向。所以，国际范围内的实践证明中国有足够的合理性实施《网络安全法》及其数据本地化存储的要求。

总之，中国《网络安全法》的有关措施不仅符合中国在GATS中作出的关于市场准入与国民待遇的承诺，也符合其中的例外原则，而且这更是国际上具有普遍性的做法。美国对于中国《网络安全法》的指责是从其数据霸权的地位出发的，是服务于其政治经济目的的。对于中国来说，统筹国际国内两个大局及其世贸组织成员国的身份，要求中国与世界各国一道在制定系列配套法律以及执法过程中平衡好维护数据主权与促进国际自由贸易两个方面，努力促进安全与发展目标的达成、人类福祉的提升。