论数字贸易自由化下的数据隐私权保护

张 明

内容提要：数字时代，数据跨境自由流动与数字贸易发展相辅相成。由此，作为数据隐私权的内生需求，贸易自由化与数据隐权密切联结，数据隐私保护逐渐成为一项贸易事项。但是，两者间相抵触的规则设定使两者之间存在冲突，并产生了迥异的规则制定。数据隐私权的权利理念为贸易自由化发展提供了指引、评价功能，有利于数字贸易的良性健康发展。理性看待贸易自由化与数据隐私保护间的关系互动，将二者分置于独立体系内是现阶段的合宜选择。数据本地化措施是平衡数字贸易自由化与数据隐私权的有效举措。作为一项数据隐私保护措施，数据本地化措施在贸易法框架下具有正当性。面向未来，为实现数字贸易自由化与数据隐私权保护的共进，各方应以坚守各国国内监管自主权为前提，尊重各国基于其本国国情和个人数据保护考量而采取的数据本地化措施。

关键词：数字贸易　数据隐私权　数据本地化措施　贸易联结

国际法的发展实践表明，经济全球化理念和人权理念是冷战结束以来引领国际法演进的两大基本理念。国际贸易法领域，以经济全球化为引领的贸易自由化理念与人权理念持续存在着冲突并饱受评论。自1999年西雅图事件爆发以来，基于人权话语而对WTO展开的批判活动日趋流行起来，并引发了学界关于“贸易自由化与人权保护”长达十数年的跨国、跨学科论战。正因为自由贸易对包括人权在内的诸多领域所造成的影响，贸易联结即“贸易与”现象成为各方关注焦点并成为国际制度中的核心政策难题。

迈入数字时代，贸易联结问题产生了诸多新现象。数字贸易所倚赖的数据跨境自由流动潜在侵蚀数据/信息背后所承载的个人数据/信息隐私安全。作为贸易自由化新表征的数据跨境自由流动与数字时代基本人权的数据隐私权发生交集并产生冲突。由此，法律和政策层面开始关注这一问题。在法律层面，数据隐私保护或者个人信息保护立法正在全球兴起。中国的《网络安全法》《个人信息保护法》以及配套的规范性文件，欧盟的《通用数据保护条例》(GDPR)等皆是对数据隐私保护的法律回应。而在政策层面，越来越多的政策性文件将数据隐私保护纳入其中。2021年，国务院印发的《“十四五”数字经济发展规划》强调借鉴国际规则和经验，围绕数据隐私保护等重大问题探索建立治理规则。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)则提出“完善数据全流程合规与监管规则体系……确保流通数据来源合法、隐私保护到位、流通和交易规范”。此外，诸地印发的自由贸易试验区方案也多将数据隐私保护纳入政策议程。由此可见，数据隐私保护已经成为现实问题并日益得到关注。

实践的发展引发学术的共鸣。回应数据隐私保护这一数字贸易时代热点，诸多学者对数据隐私保护展开了富有洞见的讨论。但是，数据隐私保护议题的火热缘于数据跨境自由流动，并在数字贸易时代被无限放大。因此，需要思考的是，贸易自由化与数据隐私权存在何种联结？在数字贸易自由化蓬勃发展的趋势下，数据隐私权又当如何获得有效保护？其中，数据本地化措施作为一种数据隐私保护措施，其边界何在？基于此，本文尝试对数字贸易自由化与数据隐私权的关系互动展开讨论，探索贸易自由化背景下数据隐私保护的合理路径，进而以中国《个人信息保护法》论证数据本地化措施是平衡贸易自由化与数据隐私保护的有效措施并提出优化意见。

一、数字贸易自由化与数据隐私权的联结与冲突

数据跨境自由流动与数字贸易发展相辅相成。然而，数据跨境自由流动在助力数字贸易发展的同时，也引发了一系列现实关切。就数据隐私保护而言，国家物理疆界的淡化使得国家监管的难度持续加大，个人隐私的保护亦越发困阻。数据隐私保护由此成为各国关注的核心焦点。各国(或国家联盟)基于自身数字贸易和数字基础设施的发展现状及其立法传统而开创出不同的监管路径。数据本地化措施即为各方监管路径分歧的现实体现，亦是数据跨境自由流动(贸易自由化)与数据隐私保护(人权)联结的现实写照。

(一)数字贸易自由化与数据隐私权的联结

尽管贸易自由化发展已成为不可逆趋势并为全球社会整体福利的增长带来了切实好处，但是，实践表明，贸易自由化并非只有单向的益处。贸易自由化对基本人权所产生的负面影响使贸易自由化与基本人权的冲突得到了越来越多的关注和重视。而在数字贸易时代，此种冲突依然存在。

首先，数据隐私权是人权在数字时代的现实体现。包括保障数据隐私权在内的数据权利是民主社会的基础，也是数字化社会健康发展的前提。数字时代，人权形态正面临数字化所带来的前所未有的改造和重塑。为了适应数字时代的客观发展要求，转变人权理念并推动人权观由物理世界向数字世界转型升级具有现实必要性和紧迫性。而数据隐私权无疑是其中关注的核心焦点。在此背景下，包括数据隐私权等在内的数字人权的出现即是对数字环境下个人基本权利的现实回应并日益成为各国的数字贸易谈判立场。正如欧盟委员会所强调的，“数据保护不是繁文缛节(red tape)或关税问题，这是一项基本权利，因而是不可协商的”。由此可见，数据隐私权成为数字时代数字人权的核心构成而被越来越多的国家所重视。

其次，对数据跨境自由流动的强力推动和不懈追逐是贸易自由化在数字贸易领域的典型体现。数据跨境自由流动是数字贸易发展的自发过程与必然结果。因此，从一定程度上看，对数据跨境自由流动的追求就是对数字贸易自由化的追求。以美国为例，由于数据流动是数字产业赖以生存的基础，推动数据存储的非强制本地化和数据跨境的自由流动即成为美国在数字贸易领域的工作和谈判重点。这无疑体现出一种高度贸易自由化的倾向。

最后，数字贸易自由化与属于数字人权的数据隐私权存在着紧密联系。国际贸易法视阈下，数据隐私保护可以通过多种方式转化为贸易问题。第一，数据隐私权已经成为各国制定和执行数字贸易政策的核心关切。这一关切的重要性程度伴随着数字贸易发展进程的加快以及数据隐私泄露事件的频发而日益凸显。由此，不同国家或地区基于不同的政策立场和核心关切而制定不同的数据隐私保护标准和保护路径即可能造成新型数字贸易壁垒，而对国际贸易自由化发展产生影响。第二，数字贸易自由化发展不可避免地会对数据隐私权造成威胁。数字技术的发展和数据流动的便捷消散了物理世界的实体边界，进而削弱了个人对数据的控制。同时，数据技术的发展和运用也改变了公共空间与私人空间的社会构型，使公域与私域之分难以为继。数据隐私因而面临潜在威胁，数据隐私权保护的呼声也因而高涨。由此可见，数字贸易自由化与属于数据隐私权的数字人权唇齿相依，互相影响，处于紧密联系之中。

需要关注到的是，数字贸易的发展天生具有跨国界性质。数字贸易已经成为国际贸易发展的新阶段并在全球范围内广泛开展。这也意味着，任何参与到数字贸易的国家与个人都无法回避数字贸易自由化与数据隐私权的冲突问题。而数据隐私保护议题在数字贸易规则谈判中的日趋火热无疑是这一趋势的现实体现。

(二)数字贸易自由化与数据隐私权的冲突及其原因分析

无论是以国际人权宪章为引领的国际人权法体系还是以WTO为核心的国际贸易法体系，都是现行国际法的重要组成部分。从理论上讲，贸易与人权应当处于一种平等关系而得到同等重视。但是，当数字贸易自由化与数据隐私保护存在冲突时，数据隐私权未能得到普遍且充分有效的保护。数字贸易自由化与数据隐私权之间存在着明显的冲突。

国际贸易规则与数据隐私保护规则之间的抵触是数字贸易自由化与数据隐私权冲突的现实体现。国际贸易法体系下，以WTO为代表的国际贸易规则不断推动贸易自由化发展，包括对数据跨境自由流动的追逐。在WTO电子商务谈判合并文本中，尽管在义务范围和程度上还存在差异和分歧，但多数谈判方提出了确保数据自由跨境流动的提案并倾向于禁止数据本地化措施。而晚近缔结的诸多区域贸易协定也纷纷对数据本地化措施采取限制性立场并强调数据跨境自由流动的重要性。国际人权法体系下，隐私权被视为一项基本人权而致力于通过国际规则的制定引导各国强化对数据隐私权的保护。隐私和数据保护已成为诸多国际组织的优先事项。《世界人权宣言》和《公民权利和政治权利国际公约》明确规定了作为基本人权的隐私权。数字时代，作为传统人权的隐私权被逐步引入数字空间并要求国家重视对数据隐私权的保护。2013年12月18日，第68届联合国大会通过了《关于数字时代的隐私权第68/167号决议》，重申《世界人权宣言》第12条和《公民权利和政治权利国际公约》第17条所载明的隐私权，促请各国尊重并保护数字领域的隐私权，并有效地履行其按照国际人权法所应承担的义务。2014年12月18日，第69届联合国大会通过的《关于数字时代的隐私权第69/166号决议》则进一步鼓励人权理事会探索关于促进和保护隐私权的原则、标准和最佳做法。联合国大会的决议虽然并不具备强制约束力，但是为国际法发展和习惯规则的快速形成提供了基础，并可能作为一种权威解释而产生相应的法律效力。由此可见，在宏观国际法体系内，国际贸易法规则与国际人权法规则存在着相互抵触的义务设定。

数字贸易自由化与数据隐私权之间的冲突，究其缘由，其一是源于两者在价值追求上的背离。数字贸易自由化所追求的贸易效率价值强调数据跨境的自由流动并将限制数据跨境自由流动的措施视为贸易壁垒，因而要求各国能够尽可能削减数字贸易中的监管措施和贸易限制。与之相反，国际人权法则将隐私权视为一项基本人权而强调对数据隐私的保护和重视。冲突由此产生。其二则在于国际法的碎片化发展加剧了数字贸易自由化与数据隐权之间的冲突。国际法的碎片化发展会引发国际法的“部门主义”和“区域主义”倾向进而引发实体法规则之间的冲突。诚如联合国国际法委员会在《国际法的碎片化》报告中所述，这种冲突体现为“两种规则或原则表明对同一个问题存在着不同处理方式的情形”。这意味着，这些冲突将导致适用国际法规则的困难，而使得国家需要遵守互相排斥的义务。以数据本地化措施为例，一方面，国际贸易法体系下，数据本地化措施作为一项对数字贸易产生限制性影响的国内监管措施，潜在面临着国际贸易法的否定性评价而需要“限制”其存在。另一方面，国际人权法视阈下，国家基于数据隐私保护之目的而采取数据本地化措施是落实国际人权宪章中关于隐私权的实践举措而无可非议。甚至，数据本地化措施被视为是一项人权保护措施而被“支持”存在。这种国际部门法体系间的不协调、不衔接和碎片化使得数字贸易自由化与数据隐私权之间无可避免会存在冲突进而会对数字贸易的发展形成掣肘。面对相互冲突的国际法规则，国家可能会落入一种无所适从甚至无从抉择的窘境。在此窘境下，国家可能会因为担忧违反贸易法义务而怠于为数据隐私权提供充分且必要的保护。因此，国际法的碎片化发展在制约数字贸易发展的同时也使得数据隐私权的保护变得困难重重。

(三)数字贸易联结与冲突的现实体现：美欧间迥异的路径选择

回溯国际贸易的发展历程，同属发达资本主义的美国和欧盟在贸易全球化进程中共识远多于分歧。在贸易自由主义的引导下，美欧均强调并推动贸易自由化发展。然而，在数字贸易领域，美欧尽管均强调数据跨境自由流动的重要性，但却在数据隐私保护的重要性和优先性问题上存在分歧进而形成了迥异的监管路径选择。既有的学术研究将之归结为“市场话语”与“权利话语”的路径差异。

就美国而言，美国坚持数据跨境自由流动的主张，致力于推动和保障数据跨境自由流动进而充分释放数据流动的经济效能。从自由贸易协定缔结情况看，在美国签订的第一个包含数据跨境流动议题的自由贸易协定，即美韩自由贸易协定中，相关条款即强调了数据跨境自由流动的重要性而只字未提数据隐私保护。在WTO电子商务诸边谈判中，美国尽管承认数据隐私的重要性，但仍强调“应以使隐私保护机制对贸易最小限制的方式解决隐私问题”。客观来看，美国政府的表述并无不妥，但其中所影射出的对当前全球数据隐私保护机制可能对贸易造成过度限制的关切凸显出美国强调数字跨境流动优先性的一贯立场。当然，晚近实践也表明，美国开始重视对个人信息和数据隐私的保护。就其国内立法，2022年6月3日，美国众议院和参议院发布了一份全面的有关国家数据隐私和数据安全框架的讨论草案，即《美国数据隐私和保护法案》。但是，该立法草案并未对数据跨境流动问题予以回应，而仅关注了数据隐私保护。因而无法直接证明美国在数据跨境流动与数据隐私保护议题间排序顺位的转变。综上，尽管美国并未否定对数据隐私保护的应有关注，但却更为偏向对“市场”和“经济利益”的考量而强调数字贸易的自由化发展。

与美国过度强调开放和自由不同，欧盟在推动数据跨境自由流动时充分重视对数据隐私的保护。欧盟基于其人权保护优先的立场而在贸易规则治理数据跨境流动中秉持审慎态度。首先，人权被看作是其中的一条“银线”而贯穿于欧盟对外贸易关系的方方面面。在数字贸易领域，欧盟推行的是一种数据隐私强保护基础上的数据跨境自由流动。甚至，欧盟基于数据隐私保护而采取的部分监管措施还可能与高水平自由贸易协定相冲突。例如，欧盟制定并已付诸执行的GDPR即因其中所采取的诸多措施而被质疑为具有数据本地化措施等贸易限制立场。其次，数据隐私保护始终是晚近欧盟自由贸易协定中的核心议题。在WTO电子商务谈判中，欧盟即强调应当致力于确保数据跨境自由流动以促进数字经济中的贸易活动，但同时也要对数据和消费者隐私进行保护。最后，欧盟在数据隐私保护领域的立法和执法实践在全球范围内形成了极强的“布鲁塞尔效应”。欧盟严苛的执法和GDPR“充分性”认定的高标准强有力地推动了各国在数据跨境流动中的数据隐私保护。例如，韩国的相关法律和数据隐私保护规制路径即深受欧盟影响。综上，基于基本人权的历史理念，欧盟形成了强调数据隐私保护的监管路径。

通过对比美欧间的迥异路径，不难发现，强调自由的美式路径与坚守数据隐私保护的欧式路径事实上矗立于一座天平的两端。尽管两者之间存在着足够的空间以实现协调、兼容与平衡，但是实践一再表明这绝非易事。美欧间先后达成了“安全港框架”和“隐私盾框架”，但却均被欧盟法院宣判无效。2022年3月25日，欧盟委员会和美国宣布双方已就新的跨大西洋数据隐私框架达成原则性协议，以解决欧盟法院在前期案件中提出的关切。但是，新的协议能否根据GDPR的要求通过欧洲数据保护委员会审查并最终转化为法律文件仍然有待观察。

综上，数字贸易自由化与数据隐私权之间存在着密切联结和现实冲突。以美欧为代表的截然不同的政策与监管路径恰是这一联结与冲突的现实体现。问题的重点在于：在贸易自由化利益日趋重视的当下，数据隐私权如何能够获得有效的保护？而这一问题的根源则在于，数字贸易自由化与数据隐私权之间的关系互动与路径选择。

二、数字贸易自由化与数据隐私权的关系互动与路径选择

贸易自由化与数据隐私保护的价值选择是各国数据跨境自由流动监管实践差异日趋强烈的根源之一。这也间接影响着各国的政策立场，进而对数据隐私权的保护产生影响。回归对数字贸易自由化与数据隐私权关系互动的讨论是探索数字贸易时代数据隐私保护和贸易自由化平衡发展的理论起点，也是完善数据隐私权保护的应然要求。

(一)数据隐私权在数字贸易自由化进程中的理性定位

人权在贸易法中的地位问题是讨论国际人权法与WTO法律制度关系所亟待解决的问题。全球化时代，“数据信息既可能会增进人权、发展人权，也可能会威胁人权、侵蚀人权”。而数字技术和数字贸易发展所带动的数据跨境流动无疑加剧了数据隐私保护的难度。尽管诸如数据本地化措施等对数据隐私权的保护措施可能阻碍贸易自由化的发展，但是，数据隐私权在数字贸易的发展进程中也一定程度上扮演着积极的角色定位。

从国际贸易规则制定角度看，数据隐私权在一定程度上居于指引地位，指引数字贸易规则制定和发展的应然面向。长期以来，人权在国际贸易发展进程中提供着一种独立的价值指引以避免国际贸易过度追求经济和效率价值。而在价值指引之外，人权还扮演着一种制度指引的角色。人权为实质性调整贸易政策和贸易制度提供了规范框架并为贸易政策制定者在重新设计国际贸易体系时提供指引和帮助。数据隐私权所秉持的权利价值观明确了数据隐私保护的最低目标和要求，并强调将数据隐私保护作为一项基本义务而予以遵守。自由贸易协定中数据跨境流动条款和数据本地化条款中所设置的例外条款即在一定程度上体现了数据隐私权的制度指引和底线划定。在USMCA协定的谈判过程中，美国曾提案删除例外条款以更大程度地实现数据跨境自由流动。对此，加拿大明确表示难以接受这一提案，并强调了例外条款对隐私保护的重要价值。

从国际贸易规则实施角度看，数据隐私权在一定程度上居于数字贸易规则实施的评价地位。一方面，数据隐私权日趋成为数字贸易规则合法性评价标准之一。为实现数据跨境自由流动，美欧间曾先后达成并付诸实施的“安全港协议”和“隐私盾协议”被视为支撑美欧数字贸易发展的关键协议。然而，两项协议均被欧盟法院宣判无效，其核心原因即在于对数据隐私风险的担忧。欧盟法院对“安全港协议”和“隐私盾协议”的无效宣告判决也使得美欧间的数字贸易发展的不确定性加剧。另一方面，在法律评价之外，数据隐私权还潜在构成数字贸易规则实施的道德评价标准之一。保护人权无疑占据着道德制高点。而长期以来，国际贸易规则饱受人权人士的批判即为道德评价的现实体现。因此，是否有利于基本人权的实现在事实上成为数字贸易规则实施评价因素之一。

综上，数据隐私权在数字贸易自由化发展进程中扮演着重要角色。这有利于数字贸易的良性健康发展和数字贸易规则的优化制定。而数据隐私得到法律保护也为数字贸易创造了可靠、信任且充满信心的环境。基于此，需要进一步思考的是，应当如何处理好贸易自由化与数据隐私权这二者间的互动路径？

(二)数字贸易自由化与数据隐私权的二元互动路径

尽管数据跨境自由流动对国际贸易自由化发展的重要意义以及数据隐私权作为基本人权在数字贸易时代的核心价值已得到普遍承认和关注，但是，由于这一贸易联结议题的新颖性，两者间的关系互动路径仍未稳定。恰因为未能形成稳定的互动两者之间才尚未达成有效协调。针对这一问题，贸易自由化与人权联结问题的分析在一定程度上反映了贸易自由化与人权互动的路径选择。

首先，秉承古典自由主义经济学“自由贸易能够增进全球福利”的效率优先论是解释贸易与人权关系互动的传统观点。基于此，在处理贸易自由化与人权保护议题时，贸易自由化处于优先级而人权则处于劣后级。坦诚而言，此种观点在应对传统贸易自由化与人权联结议题时尚存一定合理性。因为传统贸易联结议题更多涉及物理世界中的基本人权，如食物权、环境权、健康权等。这些基本权利的实现有赖于物质生活水平和技术水平的提升。自由贸易通过充分发挥各国比较优势，对贸易参与国乃至全球经济增长给予了正向激励进而促进了传统人权的保障。然而，数字时代数字人权的实现并非如此。数字贸易自由化并不必然会带给包括数据隐私权在内的数字人权以积极意义。甚至从某种程度上看，恰恰是数字技术和数字贸易的高速发展才使得数据隐私权面临着严峻风险并使得其重要性日趋凸显。在此背景下，仍然依据贸易自由化对社会整体福利增长之贡献来强调贸易自由化对人权保护的促进显然已不再准确。

其次，与鼓吹贸易自由化对人权保护的积极影响截然相反，批判者更关注贸易自由化所产生的消极影响，因而对多边贸易体制秉持一种根本性的批判立场。在批判人士眼中，人权是一种优先于贸易的价值取向，而贸易则仅是实现人权的一种手段而已。尽管这一观点具有一定的合理性，但是其过于激进的立场并不客观，也不利于解决贸易联结问题。数据隐私权所面临的风险并不能全盘否定数字贸易自由化对发展权等基本权利所产生的积极作用。而将贸易作为人权发展的一种手段亦并不现实。在高度重视效率价值的当今社会，通过发展贸易自由化实现人权目的尚无成功的实例。与之相反，人权更多属于一种对过度重视效率价值的纠偏工具。而数据隐私权同样扮演着纠偏工具的角色。

再次，立宪进路将宪法思维引入国际贸易法并认为应当将人权纳入WTO协定中以实现两者的体系融合。学者彼得斯曼基于欧盟宪法原理和欧盟实践所提出的权利取向贸易理论引发了广泛的关注。基于其观点，在贸易与人权的关系研究中应当奉行权利本位立场，进而基于人权来构建国际法上的贸易与人权关系。尽管这一进路在应对贸易与人权的关系方面具有极大的革新并能够有效应对国际法碎片化困境，但是，就贸易自由化与数据隐私权保护而言，基于权利理念来统摄贸易与人权问题似乎并不可行。从理论层面看，将数字贸易自由视为一项基本人权仍然无法得到妥善解释。尽管数字贸易自由化与人权保护均旨在提升全人类整体福祉，但是，目标一致并不意味着定位一致。有别于人权基于“人”的立场定位，数字贸易自由则是基于国家的立场定位而展开的。同时，有别于数据隐私权的“生而固有”，数字贸易自由仍然更多体现为效率层面的工具价值。而从实践层面看，立宪进路在数字贸易时代能否“行之有路”仍然有待于观察。美欧间的博弈暴露出当前全球两大贸易体在人权与贸易自由之间的分歧，且一时无法解决。而且，如前文所提及，对数字贸易自由义务的遵守正在压缩国家保护人权的国内政策空间。如此窘境之下，立宪进路在数字贸易时代难成主流。

最后，例外平衡论在当前贸易自由化与人权研究中占据着重要地位。例外平衡论认为一些贸易规则已经采用灵活方式来实现人权目标，包括通过设置“例外条款”的方式来提供人权保障机制。然而，数据隐私权能否通过例外条款实现有效保护是存疑的。一方面，由于WTO诞生于传统贸易时代，WTO中的例外条款能否周延地适用于数据隐私权的保护尚且存疑。另一方面，尽管数字贸易规则如雨后春笋般地冒出，但其中的例外条款仍大体延续了传统贸易规则中的表述。因此，试图仅仅通过规则解释来为数据隐私提供有效保护是不切实际的。一般例外条款被认为是赋权条款，即赋予国家在违反协定义务时可以通过援引一般例外条款豁而免予承担法律后果的权利。这种赋予各国以抗辩权的模式意味着一般例外条款无法强制性要求各国构建起有效的数据隐私保护体系。因此，例外条款在适用过程中能否有效实现数据隐私权等人权保护也是值得谨慎考虑的。

基于此，既有关于贸易自由化与人权互动的路径选择在适用于数据隐私权保护时仍然存在着些许不适和失调。数字贸易时代，贸易自由化与数据隐私权之间的互动路径仍然有待于进一步的思考与探索。

(三)数字贸易时代贸易自由化与数据隐私权互动的路径选择

在数据隐私权内涵与外延尚未准确界定以及数字贸易规则尚处发展阶段的现实背景下，可考虑将贸易自由化与数据隐私保护分置于贸易法和人权法框架内，通过相互间的运作和磨合共同推动发展。尽管将贸易自由化与数据隐私权分置于不同的法律框架内实现有限互动进而探索两者间的逐步融合存在固有且尚难以有效解决的弊端(例如国际法的碎片化)，但在当前环境下，将贸易自由化与数据隐私权分置有其现实必然性和固有的好处。

首先，贸易与人权本质上分属两个体系，制度整合困难重重。进入数字贸易时代，这种困难仍然存在并在一定程度上呈现出加剧趋势。因为，数据隐私权与贸易自由化存在的根本性争议焦点关系到数据的自由流动程度。而数据自由流动与否关系到数字贸易发展的根基。故而有别于传统贸易联结议题主要关系到国际贸易发展的旁支，数据隐私权与贸易自由化的冲突则直击数字贸易发展的根本核心问题。这使得两者间的协调更为困难。

其次，各国数字基础设施建设水平和数据隐私保护严苛程度的不同决定了各国对数据隐私保护规则的诉求不同，因而试图在国际贸易法框架内设置统一的具有强制力的数据隐私保护规则尚难存共识。发达国家与发展中国家数字基础设施的技术差距在无形之中扩大了彼此之间的分歧，进而使得彼此间难以达成具有现实可行性的统一标准。而专就发达国家内部而言，囿于价值立场差异，其内部也尚未形成一致意见。这就使得彼此合作进而在国际贸易法框架内达成一致意见困难重重。这有别于传统贸易联结议题中发达国家高度一致的立场定位。因此，相比而言，探索并推行具有指引作用的独立的数据保护规则在现阶段更具现实可行性，而晚近所达成的自由贸易协定即多采取此种路径。

再次，将数据隐私保护事项杂糅于贸易协定之中存在固有弊端。数据隐私保护本质上属于数据治理事项。数据治理与贸易治理身处不同阶段。全球贸易治理已进入高度发展的阶段，而数据治理仍然处于早期阶段。若把数据治理事项冒然纳入贸易协定之中将会阻碍数据治理的发展。此外，在贸易协定中全面纳入数字治理问题也可能阻碍数据治理的多样化尝试。因此，数据治理需要更系统性和多元化的应对方案，单纯的贸易治理路径显然无法实现数据隐私保护的诉求。

最后，国际贸易的发展历程表明，贸易自由化与人权分置于不同体系内互相角力进而共同进步是两者间的互动常态。这种互动状态体现在国际造法策略中的“机制转移”方面。例如，在与贸易有关的知识产权领域，当高标准的知识产权保护标准影响公共健康进而对健康权造成危机时，以WHO为代表的联合国公共健康体制即通过“机制转移”的策略推动对作为基本人权的健康权的保护。当前，在数字贸易规则无法形成统一方案的现实背景下，将贸易自由化规则与数据隐私权规则分置于不同体系并保持互动也不失为一剂良方。

综上，理性看待数字贸易自由化与数据隐私权的关系互动，两者仍然适宜分置于两个独立的体系之内。这是数字贸易规则构建的必然要求，也是数字贸易发展的现实所需。需要进一步思考的是，如何探索实现“适度”的数据隐私保护以在贸易自由化中实现数据隐私权的有效保护。

三、数据本地化措施：数字贸易自由化中的数据隐私权保护

如何能够在贸易自由化背景下实现数据隐私权的保护是当前亟待解决的现实难题。现有状态下，数据本地化措施可被视为一项平衡两者间关系的现实举措。需要进一步思考的是，作为一项数据隐私保护(人权)措施，数据本地化措施在贸易法框架下的正当性如何？进一步落脚于中国，中国《个人信息保护法》中的数据本地化措施又当如何进一步优化？

(一)作为平衡贸易自由化与数据隐私保护的数据本地化措施

数据隐私保护与数字贸易自由化处于密不可分且相互促进的关系之中。两者之间的平衡与协调也将在未来很长时间内成为各方持续关注的数字贸易话题。当前，协调贸易自由化与数据隐私权相平衡的趋势日趋强烈。而数据本地化措施无疑在贸易法体系下扮演着数据隐私保护的重要作用。

从贸易自由化与数据隐私权的协调趋势看，在国际人权法领域，强化数据隐私保护的呼声日趋强烈，并开始影响国际贸易法的发展以唤醒国际贸易法对数据隐私保护的关注。受此影响，国际贸易法开始重视数据隐私权保护并逐渐强化数据隐私保护。面对数据隐私保护议题，即便是最为追求数据跨境自由流动的美国也未彻底否定数据隐私保护的重要性。而在旨在实现高标准服务贸易自由化的TiSA谈判中，包括加拿大、日本和韩国等发达国家也强调了数据隐私保护的重要性。

数据本地化措施是全球广泛存在的数据隐私保护措施。晚近，为降低数据跨境流动中数据泄露对个人数据隐私所带来的风险，各国开始采取限制数据流动的防范性措施。数据本地化措施在这一系列防范措施中最为常见。在国际贸易法体系中，数据本地化措施对贸易自由化与数据隐私保护的协调体现在三个方面。一是与数据本地化措施相关的条款在贸易法体系中确认了数据隐私保护的基本导向。例如，在RCEP中，各缔约方即明确表达，每一缔约方有“寻求保证通信安全和保密”的义务，体现出规则的指引作用。二是既有规则在一定程度上明确了各国采取数据本地化措施的限度，体现出规则的评价作用。三是数据本地化措施的实施在一定程度上发挥了措施的实效。既有研究亦表明，“通过数据本地化留存避免跨境数据可能产生的国家安全隐患和个人隐私风险，效果总的来看是好的”。

(二)贸易法视域下数据本地化措施的正当性考量

数据本地化措施是一种典型的数据隐私保护措施。作为一项数据隐私保护措施，在贸易法视角下对其展开审视具有必要性。而这也是实现贸易自由化与数据隐私保护相平衡的重要环节。从国际贸易规则看，以GATS一般例外条款为代表的国际贸易规则为数据本地化措施提供了正当性和合法性基础。GATS一般例外条款规定了部分专门适用于服务贸易的例外规则，其中之一即涉及个人隐私保护问题。因此，问题的关键就在于，数据本地化措施的援引能否满足一般例外条款的基本要求。

GATS一般例外条款的适用需要遵循严格的判断方法。根据GATS第14条的规定，GATS一般例外条款由序言和具体例外情形两部分组成。沿循专家组和上诉机构的分析步骤，确定某一措施是否符合一般例外条款时应当采取“两步分析法”，即先确定具体措施是否属于具体例外情形，进而再确定具体措施实施的方式是否符合一般例外条款序言的要求。

就具体例外情形的相符性判断而言，鉴于一般例外条款已将隐私保护明确列入条文之中，原则上看，基于数据隐私保护目的而采取数据本地化措施是可能符合GATS一般例外的具体情形的。但是，数据本地化措施是否符合GATS一般例外的要求还需要进一步予以判断。具体而言，隐私例外规定于GATS一般例外条款中的(c)项，而WTO争端解决机构专家组在“美国赌博案”中进一步阐明了GATS第14条(c)项的法律判断标准，即(1)措施必须旨在使法律法规得到“确保遵守”；(2)“法律或法规”不得与WTO协定相违背；(3)措施是“必要的”。沿循这一思路依次展开，首先，数据隐私保护是数据本地化措施实施的主要目标之一。故而数据本地化措施的实施至少在一定程度上是为了确保遵守合理的法律法规。其次，就有关数据隐私保护的法律法规是否与WTO相违背而言，GATS第14条(c)项以开放列举的形式提供了一个非详尽清单，其中即包括了与隐私保护有关的法律法规。问题的关键在于相关法律法规是否与包括非歧视原则等在内的WTO规则和义务相抵触。此时，则需要基于数据本地化措施的具体内容而展开判断。最后，就相关措施的必要性看，必要性的判断应当权衡一系列因素方可确定，包括成员方所追求的利益或价值的重要程度、相关措施对政策目标达成的贡献程度、相关措施的贸易限制程度以及成员方对公共利益和价值保护的程度和更少贸易限制性替代措施等因素。在这些要素中，所追求的利益或价值的重要程度、相关措施对政策目标达成的贡献程度、相关措施的贸易限制程度三个要素是应当予以重点考量的因素。

就数据本地化措施是否符合一般例外条款序言的要求而言，需要判断基于数据隐私保护考量的数据本地化措施的实施是否会在情形类似的国家之间构成任意或不合理歧视的手段或构成对服务贸易的变相限制。一般例外条款的序言并非针对相关争议措施的具体内容，而是针对该措施的实施方式进而确保一般例外条款不被滥用。因此，基于数据隐私保护目的而实施的数据本地化措施应当基于善意的原则予以实施。如果某些数据本地化措施的实施可能对外国公司施加不合理的负担，以使得外国公司在与本国公司的竞争中处于明显的不利地位，则这类措施可能很难符合一般例外条款的序言的要求。

(三)有效的数据隐私保护：中国《个人信息保护法》中数据本地化措施的优化

目前，《个人信息保护法》包含有一系列数据本地化措施。综观《个人信息保护法》全文，其对个人信息的跨境提供规定了更为具体和限制性的规定。但是，中国数字贸易机制中对隐私权的保护还未成体系，相对欠缺对隐私价值的维护。在贸易自由化背景下，《个人信息保护法》如何推动贸易自由化与数据隐私保护相平衡仍然有待进一步审慎思考。

其一，《个人信息保护法》在实施过程中可考虑增强与国际通行数据隐私保护标准的对接与协调。国际通行的数据隐私保护规则对数字贸易产生着日趋深刻的影响。从《个人信息保护法》看，个人信息的跨境提供应当通过国家网信部门组织的安全评估抑或经专业机构进行个人信息保护认证等。这就为《个人信息保护法》对接国际组织标准提供了接口和可能性。这也是中国落实晚近缔约的RCEP协定的现实要求。通过与具有影响力的国际组织标准的对接，既能够推动数据控制者有效保护数据信息，也有利于推动数据控制者更好地融入到全球的数据市场进而更顺畅地融入到全球数字贸易市场。

其二，《个人信息保护法》在实施过程中可考虑进一步建构和完善中国版的标准合同条款。中国《个人信息保护法》第38条规定了个人信息跨境提供的基本条件。根据规定，除通过安全评估外，信息提供者还可通过与境外信息接收方订立合同的方式以满足信息跨境提供要求。本质上看，此类合同是私主体之间基于政府部门(即国家网信部门)所提供之标准合同而达成的，因而仍将体现出一定的公权力特征。这就要求中国在打造自身特色的标准合同时，国家网信部门应当审慎制定合同条款以避免隐私利益与贸易利益的失衡。过于冗杂的标准合同难免会因干预合同的意思自治而遭受质疑。对此，由于涉及信息安全和隐私保护，对于信息传输路径、接收存储和二次许可，标准合同对此可考虑制定明确的义务性条款。而对于信息的开发利用，标准合同则不宜将之过度地列入强制性条款范围内。

其三，《个人信息保护法》在实施过程中应当积极推动跨境提供规则的国际化。GDPR的实践已经充分表明，域内规则的国际化对其数据隐私的保护乃至参与全球数字贸易活动都会产生积极作用。倘若中国的个人信息保护认证标准和安全评估标准能够在全球范围内推广，那么中国企业参与全球数据市场和贸易市场的前景也将更为广阔。对此，中国可考虑通过“一带一路”战略积极推广其个人信息跨境提供规则。

代结语：数字贸易自由化与数据隐私权保护的共进发展

基于以上研究，作为数字贸易发展核心关注焦点的数据本地化措施，实质上反映出数字贸易时代的贸易联结问题，即数字贸易自由化与数据隐私权的联结。推动数据隐私权保护，探索实现两者的互动发展并提升两者间互动的质效是当前需要积极思考的问题。对此，国际贸易规则与数据隐私保护规则应当秉承互相尊重、互相敬畏的基本态度，相互尊重彼此的利益诉求并保持彼此间的基本界限，审慎介入对方的治理领域。

面对数字贸易的蓬勃发展，应以尊重各国国内监管自主权为前提推动国际贸易规则对数据隐私保护的介入。当前，数字贸易规则的发展在一定程度上限制了各国采取数据隐私保护措施的自主权。尽管国际贸易规则对数字贸易的回应对贸易全球化的发展意义重大，但是国际贸易规则对数据议题的强势介入也是贸易全球化与数据隐私保护冲突的原因之一。基于此，实现数字贸易规则与数据隐私保护规则的互动发展，国际贸易规则应当在充分尊重各国的国内监管自主权的基础上审慎介入数据隐私保护议题。这就使得各国可以更自主地基于国际人权法规则和其本国考量而采取各类数据隐私保护措施。当然，国际贸易规则对数据隐私保护议题的审慎介入并不代表一切数据隐私保护措施的必然合法性。事实上，数据隐私保护措施本质上属于一种国内监管措施。针对国内监管措施，国际贸易规则已经形成了其特有的“要素权衡分析”判断路径。在国际贸易规则中过于强调数据跨境自由流动而对数据隐私保护措施施加限制并无必要。因此，在国际贸易视阈下，针对数据隐私保护措施，国际贸易规则应当秉持尊重监管自主权的基本立场。而落脚于数据本地化措施，在不构成不必要的贸易限制的前提下，数字贸易国际规则应当尊重各国基于其本国国情和个人数据保护考量而采取的数据本地化措施。在数字基础设施建设和数字贸易发展进程差距较大的现实背景下，以尊重国内监管自主权为前提推动构建统一的数据本地化国际规则不仅符合贸易自由化发展的利益诉求，也同时符合广大数字贸易发展中国家的基本利益诉求。

无论是数字贸易规则还是数据隐私保护规则，作为冉冉升起的数字大国，中国应当积极地参与到国际规则的构建中去。这不仅是中国参与全球数字贸易的应然要求，也是中国更积极有为地参与全球数字贸易治理的必然要求。如此，中国才能更好地享受数字贸易发展所带来的红利。

（张明，南京大学法学院博士后研究人员，中国计量大学法学院讲师，硕士生导师，法学博士。）

【本文系中国博士后科学基金第75批面上资助“中国维护全球供应链安全稳定的法治路径研究”（批准号：2024M751358）的阶段性成果。】

Abstract：In the digital era，the free cross-border flow of data and the development of digital trade are complementary. Consequently，as an inherent demand for data privacy，trade liberalization is closely linked to the right to data privacy，and data privacy protection is increasingly becoming a trade issue. However，conflicting rule settings between the two create discrepancies and result in differing rule-making approaches. The concept of the right to data privacy provides guidance and evaluative functions for the development of trade liberalization，facilitating the healthy development of digital trade. It is appropriate to treat the interaction between trade liberalization and data privacy protection in a rational way and to place them within independent systems at this stage. Data localization measures are an effective way to balance digital trade liberalization with the right to data privacy. As a data privacy protection measure，data localization has legitimacy within the trade law framework. Looking ahead，to achieve a harmonious advancement of digital trade liberalization and protection of the right to data privacy，all parties should uphold the premise of the national regulatory autonomy，and respect the data localization measures adopted by countries based on their own national conditions and personal data protection considerations.

Keywords：Digital Trade；Right to Data Privacy；Data Localization Measures；Trade Linkage

(责任编辑 曹 炜)