数字贸易自由化与数据安全的协调机制研究

刘恩惠

（伊犁师范大学新疆社会治理与发展研究中心,新疆 伊犁 835100）

随着数字化经济和全球化的快速发展，数据和国际贸易紧密地结合在一起。目前，数据已经成功地渗入国际贸易的方方面面，数据改变贸易双方的交易方式，同时也改变贸易双方的结算方式。数字贸易不仅使跨国贸易更加便捷，还增加了贸易商品的种类。比如，在信息技术高度发达的今天，数据也可以成为贸易标的进行交易。正因为数字贸易成为国家间贸易不可忽视的部分，国际组织和各国也日益重视数字贸易自由化和数据安全。数字贸易自由化与数据安全问题之间的冲突时有发生，但并非不可调和，在运用技术手段且制定合理的规则后，数据安全技术将会为数字贸易自由化保驾护航。

1 数字贸易自由化的发展

当前，数字贸易范围日益扩增。在数据技术不甚发达的年代，要想将德国生产的冰箱销往中国，只能将冰箱运至中国。而今天，随着数据技术的发展，德国公司只需要将电冰箱的生产数据传输至中国分公司就可以进行生产销售。这样的数字贸易形式在当下并不罕见。数字贸易使贸易既可以承载传统的货物交易方式，还可以催生新的贸易形式。因此，数字贸易的发展使各国越来越重视推动数据贸易自由化，以促使本国经济得到更好更快发展[1]。

第一，新时代数字贸易的特征。将数字贸易与传统的国际贸易方式进行对比后，发现数字贸易使传统贸易在贸易对象、贸易方式、贸易效率方面发生了很大的变化[2]。首先，就贸易对象而言，贸易对象由物转化为数据，数据再进一步转化为产品或服务。其次，贸易方式也发生了变化，传统贸易交易对时间、地点、人力的要求比较高，有时还会有极高的货物运输标准，而数字贸易的交易过程以数字化方式完成[3]，节省了大量的人力物力成本。最后，数字贸易显现出惊人的贸易效率。通常代理人、批发商、零售商等在传统贸易中会产生中间环节，贸易洽谈、货物流通、资金支付较为耗时耗力，数字贸易由于互联网的开放性，消费者拥有更多个性化的数字产品服务选择范围。

第二，数字贸易自由化发展的重要性。近年来，随着数字贸易和贸易自由化得到国际社会的认可，数字贸易自由化的发展如火如荼。同时，数字贸易自由化的优势十分明显。数字贸易自由化带来了更加激烈的竞争。与贸易自由化类似，数字贸易自由化依托信息数据的开放性和便捷性，通过对数据资源的整合，能更方便快捷地获知各地贸易价格，在原材料以较低价格买入和成品以较高的价格卖出方面占有优势。

2 数据安全的重要性

数据的范围很广泛，既包括商业经营者自身的数据，如企业所掌握的自家产品的生产数据；也包括商业经营者掌握的消费者个人数据，如购物平台储存着消费者的家庭住址，身份信息等数据。数据种类繁多，数据安全问题不容小觑。

数据安全之所以被各国政府重视，是因为各国都曾发生过或大或小的数据安全事件。例如，2014年，土耳其某黑客组织入侵当地电力管理系统后更改及删除债务数据。这给当地电力系统造成150万土耳其币（约合65万美元）的巨额损失。此次数据安全事件所涉金额巨大，引起了当地政府乃至全世界的关注[4]。在中国，快递业迅速发展，数据信息泄漏的门槛有所降低。在一起互联网网络信息案中，有人利用快递公司的漏洞，窃取了1 400万条快递用户信息并非法出售。其行为之所以能够在公司数据库中畅通无阻，是因为快递公司的后台安全性低，仅凭简单的技术手段便能轻易破解，前后窃取过程仅用20秒。从这些事件中可以看出，不注重数据安全的数字贸易自由化不能走得长远。

再如，美国GPS全球都能免费用，为何我国还要耗巨资开发北斗卫星导航系统？这是因为，其实GPS开放的只是民码，精度比美国军方使用的军码差了十倍。一旦有国家和美国发生冲突，美国就会禁止该国使用GPS，或是向其他国家发送假的数据，这对作战国家来说就是灭顶之灾。如今，中国有了北斗卫星导航系统，数据安全就有了基本保障[5]。从各国发生的数据安全事故中，我们也可以看出保护数据安全的重要性。

数据流动是数字贸易自由化的核心问题之一。近年来随着数据安全问题成为焦点，各国都变得审慎起来。中国对跨境流通的数据转移持审慎的态度，这是出于对网络安全及网络主权的考量。中国网络安全相关法律对跨境流通等都采取了较为严格的监管措施[6]。例如，《中华人民共和国网络安全法》第三十七条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”与此同时，美国政府在2013年发布的《大数据研究和发展计划》中，将大数据从商业行为上升到国家意志和国家战略，并且对国家数据保护方面做了详细的要求。英国政府在《开放数据白皮书》中对个人隐私保护设置专章进行保护，对数据保护专家指导和数据流动过程中各个环节的隐私保护措施制定了详细的规定。

3 数字贸易自由化与数据安全的关系

数字贸易自由化的发展始终离不开大数据的支撑，大数据自身发展中最不可忽视的问题就是数据安全问题。数据安全与数字贸易自由化是相互促进、相互限制、协调共生的关系。

第一，相互促进。数据对于数字贸易的发展举足轻重，但是在数字贸易自由化的过程中数据安全问题仿佛是一道不可逾越的鸿沟，但是两者并非水火不容的关系。一方面，正是有了数字贸易自由化这片广阔的试验田，数据安全问题理论才能得到丰富的发展，数据安全问题才有可能得到妥善解决；另一方面，数据安全理论的每一次进步都推动着数字贸易自由化向前发展。因此，两者是相互促进的关系。

第二，相互限制。数据安全问题成为大数据发展的短板，又进一步成为数据贸易自由化的掣肘。显而易见的是，数据安全问题频发，不仅使社会民众对数据陷入信任危机，更使企业、国家对数据安全持慎重的态度。各国政府针对数据安全问题制定的政策法规，在一定程度上限制了数字贸易自由化的发展。与此同时，数字贸易自由化进程中暴露出的数据安全问题给数字贸易参加者提出了挑战，有许多数据安全问题亟待解决。

第三，协调共生。虽然数据安全问题在一定程度上是数字贸易自由化更好更快发展的掣肘。但是不能将数字贸易自由化与数据安全对立起来，应当使两者协调共生，共同发展。数据安全问题得到妥善解决后，数字贸易自由化就会有更加广阔的发展空间。

4 数字贸易自由化与数据安全的冲突

4.1 数字贸易自由化要求加强跨境数据流动

数据在数字贸易自由化发展中的地位举足轻重，数字贸易自由化要进步，其具体要求包括以下三个方面。

第一，推动数字贸易便利化。数字贸易离不开数据流动，数据流动极大地促进了贸易的便利性。数字贸易自由化要求推动数字化转型以促进数字贸易便利化。推动数字贸易便利化需要打造集国际贸易数字化、跨境数字金融服务、跨境电子资质申请与认证服务、在线国际贸易跨境纠纷调解与司法救助服务于一体的平台。

第二，推动数字贸易自由化。美国以及欧洲许多国家均在积极布局数字贸易规则体系，在当前世界数字贸易规则体系中，数字贸易壁垒成为各国保护本国数据安全的重要手段。数字贸易自由化要求着眼于未来贸易格局，高度重视数字贸易，主张平衡好网络安全、个人数据保护、贸易发展等目标次序，评估对经济和安全影响、国际规则动向、贸易壁垒影响，在平衡利弊、放眼未来、协商一致的立足点上推动数字贸易自由化发展。

第三，推动数字贸易全球化。数字贸易自由化发展的最终目标是数字贸易全球化，在2013年，WTO会议关注如何撤销包括《服务贸易总协定》（GATS）、《与贸易有关的知识产权协议》（TRIPS）、《技术性贸易壁垒协定》（Agreement on Technical Barriers to Trade）在内的现有规定。2018年，有70个成员方签署声明要求就数字贸易规则进行谈判。世界贸易组织（WTO）自1995年成立以来，在数字贸易领域仅达成贸易便利化协定。这意味着WTO在数字贸易自由化改革进程上进展缓慢，与数字贸易全球化的发展严重不符。

4.2 跨境数据流动可能带来的风险

数字贸易自由化要求加快数据流动，数据流动过程中不可避免的问题就是数据安全问题。要想做好数据安全与数字贸易自由化的协调，使两者能够找到平衡而使数据安全问题对数字贸易自由化发展的阻力降至最低，首先要重视数据权利。

大数据是由每个人的数据组成的，个人的数据权利应当首先得到重视，《一般数据保护条例》中多次提到这一要点。数据主体的同意应当是一切数据权利的前提。数据主体与数据控制者相比太过渺小，但是数据权利的损害对数据主体的影响十分重大，因此为个人主体的数据权利提供救济十分重要。数字贸易的参加者拥有的数据量更为宏大，涉及的种类和包含的人员范围更加广阔，因此，数字贸易参加主体的数据权利也应当受到重视。数字贸易参加主体应享有知悉权、更正权等数据权利。

4.3 现有冲突表现

数字贸易自由化要求加快跨境数据流动，而各国虽然对跨境数据流动的好处心知肚明，但却因为数据安全问题望而却步。同时，数据流动是有条件的，各国希望能够在数据流动问题上达成共识，但因为各国和经济体在数据保护方面的要求不同，数字化发展程度不同就很难达成一致，因此，各国就极有可能在保护数据安全方面发生冲突。

目前，世界主要国家和地区都已经出台了专门的数据保护法案，如欧盟《一般数据保护条例》（GDPR），英国《数据保护法案》（Data Protection Act），瑞典《瑞典数据法案》（Swedish Data Act）等，都对个人数据、在线服务商、监管机构等方面进行了明确规定[7]。值得注意的是，美国加利福尼亚州于2020年1月起实施的《加利福尼亚州消费者隐私法案》（以下简称“CCPA”）中包含了对数据权利的规定。CCPA的具体内容有数据访问权、数据删除权、不被歧视的权利、未成年人和监护人授权、私人诉讼权等。同时，CCPA 要求任何和加利福尼亚州居民发生业务往来的公司都要遵守这一法律，不存在属地管辖的原则。这无疑会给很多非美国的海外企业带来影响。

5 数字贸易自由化与数据安全的协调

5.1 数据参与人的透明性义务

在数据的收集、整合、使用过程中，公开透明应当是数据参加者的基本义务。公开透明不是指数据内容的公开透明，而是指数据收集者、数据控制者和数据处理者在收集数据、控制数据、处理数据的过程应当尽可能做到公开透明。

第一，数据收集者的透明性义务。收集数据是整合数据的前提，数据的收集者是第一手接触数据的人。收集数据的主体一般有网络运营者，国家机关政务网络的运营者，应用软件服务提供者，购物平台等。为了保护数据，必须明确数据收集者的透明性义务[8]。数据收集者的透明性义务首先要求数据收集者做到收集数据合法正当。数据收集者的透明性义务还要求收集者在收集时要得到数据主体的明示同意。数据主体对自己的数据信息有一定的控制权，数据收集者应当尊重他人的控制权，收集信息时向被收集者明示收集目的、使用方式和途径。没有经过被收集人同意的，不能收集。

第二，数据控制者的透明性义务。数据控制者一词最先起源于欧洲法律。数据控制者起源于计算机自动化的发展，随着信息网络的迅猛发展，数据的生成量成倍增长，政府和企业开始重视数据收集者，对数据收集者提出要求。其中数据安全、告知、更正和清除三项义务从最早的法律渊源中延续到了今天，并逐渐延伸开来。数据控制者的告知义务应当放在重要地位来看待，同时，告知应当作为数据控制者的透明性义务的第一要义。在《一般数据保护条例》中规定，在收集数据的同时应当告知数据主体相关信息。因此，告知成为数据控制者其他多项义务的附随义务。数据控制者的报告义务是数据控制者的透明性义务第二层含义。《保护个人享有的与个人数据处理有关的权利以及个人数据自由流动的指令》指出，数据控制者不仅要向监管机构披露自身信息，也要证明自身处理数据的合法性。数据控制者的报告义务要求数据控制者向监管机构报告是无条件的[9]。

第三，数据处理者的透明性义务。《一般数据保护条例》认为，通常情形下，数据控制者与数据处理者往往相同，特定个人或者团体在控制该数据的基础上会对数据做进一步处理，但也存在数据控制者在控制数据后交由他人进行处理的情形，也就是说，在某些情况下数据的控制者与数据的处理者是分离的。控制者是拥有个人数据并决定个人数据是否需要处理以及如何处理Google的（法）人，处理者是代表控制者处理个人数据的（法）人。当数据的处理者是单独的主体时，也应当做到透明义务。首先，处理者有义务在控制者设定的任务范围内行事。如果处理者行事超出任务范围，为了其自身或其他的目的而处理个人数据，则就该特定部分的数据处理而言，处理者将被视为数据控制者。其次，处理者应当遵守数据处理协议。《一般数据保护条例》第28条规定，若无数据控制者事先以书面形式作出的一般或特定同意，数据处理者不得与其他处理者就该数据处理事项签署合同。此种同意可在双方之间的数据处理协议中规定。最后，数据处理者的透明性义务要求数据处理者做好数据处理活动的记录。《一般数据保护条例》对记录的具体内容有着细致的要求。

5.2 建立风险规制体制

在规定数据参与者义务的基础上考虑数据风险的规避更加有利于保护数据安全。在数据相对安全的环境中，数字贸易自由化才能真正实现自由化发展。

第一，风险评估。《一般数据保护条例》对于收集、控制、处理数据将会触发的安全问题也从不同角度规定了风险规制体制。《一般数据保护条例》对风险评估的规定为：“当数据的使用对数据主体的权利带来风险时，数据处理者应当考虑数据处理的性质、范围、语境以及目的，对可能给数据主体带来的风险进行评估。评估当然也包括对个人数据保护的影响[10]。”风险评估机制的重要性就在于此，当考虑到可能对自然人的权利带来高风险后，介入风险预防机制，将危险问题扼杀在摇篮里。

第二，建立与风险相称的技术与制度。《一般数据保护条例》规定，在考虑了技术要求、实施成本、处理方法、处理范围之后，以及处理给自然人权利和自由带来伤害的可能性与严重性之后，控制者和处理者应当采取适当技术与制度，以便保证和风险相称的安全水平。适当的技术与组织措施主要着重于从技术手段和规则制度双重层面对自然人的数据权利进行保护。

第三，监管机构的风险监督。在建立风险规制体制中，最不可或缺的部分是建立和完善监管机构的风险监督机制。当数据处理过程中发现有违反《一般数据保护条例》的规定时，监管机构应当及时向数据处理者发出反馈，要求其调整其行为。监管机构也可以自行采取措施以防止违反条例的行为发生，因为规定《一般数据保护条例》的目的不是处罚，而是保护数据主体的数据权利。数据权利一旦遭到破坏，则恢复权利的圆满状态的可能性微乎其微，因此赋予监管机构处理违反条例行为的权利以保护数据安全。

5.3 形成数据贸易规则共识

当前各国在数字贸易自由化中存在着不同的主张，不少国家以保护本国数据安全为借口而高举数字贸易壁垒的大旗。这样的做法不仅不利于本国的发展，更不利于数字贸易自由化的发展。在为数据安全建立良好的预防、评估机制的基础上，各个国家还要形成数据贸易规则共识，共同致力于数据贸易发展。只有这样才能协调数字贸易发展的需求与保护数据安全的需要。

第一，认可数字贸易自由化发展前提共识。数字化转型对于国际经贸规则的影响是深远的，当下任何国家和经济体都不能忽视了数字贸易自由化的发展。数字贸易自由化不仅推动了国际贸易的服务化变革，还推动了国际贸易的跨境支付。各国应当在参与的贸易协定中，把数字化转型相关议题纳入高水平自贸区协定。WTO要重视当前各国渴望在电子商务规则谈判上达成共识的呼声，尽早确定关于数字贸易的议题，认真考虑各成员方提交的关于数字贸易自由化的提案。

第二，个人数据流动共识。数字贸易高速发展，数据安全问题和网络安全问题层出不穷。一些国家认为这些问题的出现都是由个人数据流动带来的。不同国家在对待个人数据流动问题上的做法不同。美国做法较为开放，支持个人数据的流动。而通过《一般数据保护条例》可以看出，欧盟则采取了较为保守的做法。尽管各国有不同的要求，但还是应该达成共识，确定个人数据的流动标准。数据是数据贸易的生命线，同时个人数据也影响着数据主体的隐私和安全，因此，应当在保护数据安全的基准上允许个人数据的流动。

第三，数据本地化共识。2018年1月，苹果公司宣布，根据中国相关法律规定，自2018年2月28日起，中国内地客户的iCloud服务将转由云上贵州大数据产业发展有限公司负责运营。无独有偶，印度也要求华为在当地设立服务器，而禁止华为将本国的用户数据带到国外。后来，俄罗斯、印度尼西亚、中国、土耳其等国也纷纷提出数据本地化要求。虽然不同国家的经济社会发展水平不同、法律制度不同、政策要求不同，但是各国都选择要求数据本地化以保护本国数据。数据流动对于数字贸易影响极大，在每个国家都要求数据本地化的情况下，许多数据贸易就难以开展了。各国应当加强协商，凝聚共识，在尊重各方数据安全保护诉求的前提下，给予数据跨国流动空间。

6 结语

一方面，随着信息技术的发展，数据安全问题从技术上会得到妥善的解决；另一方面，随着各个国家积极主动地参与数字贸易协商议程，数据安全将会有更加完善的规则制度来保障。欧盟《一般数据保护条例》作为当下数字贸易规则的先驱，极大地推动了数据保护规则的完善，使数字贸易拥有更广阔的发展空间。与此同时，多国正在积极行动，一方面从国家内部关注保护数据，制定网络信息安全保护法规；另一方面注重参与国际贸易新规则的商议。通过数据规则的建立，数据安全问题将不再是数字贸易止步不前的障碍，而是数字贸易自由化发展、公平化发展、长远化发展的必要保障。