歐盟《一般數(shù)據(jù)保護(hù)條例》對(duì)國(guó)際服務(wù)貿(mào)易規(guī)則的影響

摘要：為了保護(hù)隱私權(quán)，歐盟制定了《一般數(shù)據(jù)保護(hù)條例》（GDPR），保護(hù)個(gè)人數(shù)據(jù)和規(guī)范數(shù)據(jù)跨境流動(dòng)是其兩大目標(biāo)。為了符合GDPR的要求，非歐盟企業(yè)客觀上只有兩種選擇：要么撤出歐盟市場(chǎng)，要么將數(shù)據(jù)本地化，否則將面臨巨額罰款。實(shí)際上，數(shù)據(jù)本地化構(gòu)成了貿(mào)易壁壘，違反了《國(guó)際服務(wù)貿(mào)易總協(xié)定》第16和17條。為了促進(jìn)數(shù)字貿(mào)易，以《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、《歐盟日本經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（EPA）和《美墨加協(xié)定》（USMCA）為代表的新型區(qū)域貿(mào)易協(xié)定禁止數(shù)據(jù)中心本地化設(shè)置。為此，歐盟應(yīng)設(shè)法消除任何數(shù)據(jù)本地化要求的可能性，同時(shí)應(yīng)設(shè)法完善GDPR下的充分性決定機(jī)制。GDPR客觀上對(duì)國(guó)際服務(wù)貿(mào)易規(guī)則產(chǎn)生了深遠(yuǎn)而廣泛的影響。為了因應(yīng)國(guó)際服務(wù)貿(mào)易規(guī)則的新發(fā)展，中國(guó)應(yīng)引導(dǎo)與推動(dòng)《服務(wù)貿(mào)易總協(xié)定》（GATS）的改進(jìn)，加速構(gòu)建促進(jìn)個(gè)人信息保護(hù)、數(shù)據(jù)有序流動(dòng)和保護(hù)公共利益相協(xié)調(diào)的新型數(shù)字貿(mào)易規(guī)則；借鑒歐盟與美國(guó)締結(jié)的《隱私盾協(xié)議》，與歐盟開(kāi)展有關(guān)數(shù)據(jù)跨境流動(dòng)的雙邊協(xié)議談判。

關(guān)鍵詞：數(shù)據(jù)保護(hù)；數(shù)據(jù)流動(dòng)；貿(mào)易壁壘；服務(wù)貿(mào)易；《一般數(shù)據(jù)保護(hù)條例》

中圖分類號(hào)：F279.33文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-8266（2021）04-0093-10

基金項(xiàng)目：福建省高等學(xué)校新世紀(jì)優(yōu)秀人才支持計(jì)劃（閩教科[2018]47號(hào)）

一、引言

受歐洲一體化的影響，歐盟在數(shù)據(jù)立法上始終采用綜合性立法方式。從《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》到《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》（簡(jiǎn)稱《數(shù)據(jù)保護(hù)指令》），再到《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Reg ulations，GDPR），歷經(jīng)從指導(dǎo)、建議性的軟法規(guī)范到強(qiáng)制性遵從的硬法規(guī)范的過(guò)程[ 1 ]。其中，GDPR因其嚴(yán)苛的規(guī)定、廣泛的適用范圍、高昂的罰款，被稱為“史上最嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)法”，對(duì)國(guó)際貿(mào)易特別是服務(wù)貿(mào)易產(chǎn)生深遠(yuǎn)影響。同時(shí)，由于GDPR的“長(zhǎng)臂管轄”原則，其適用范圍已擴(kuò)大到非歐盟企業(yè)[ 2 ]。GDPR下的合規(guī)要求對(duì)非歐盟企業(yè)產(chǎn)生巨大影響——或?qū)⑦@些企業(yè)排除出歐盟市場(chǎng)，或推動(dòng)它們?cè)跉W盟內(nèi)的任何與數(shù)據(jù)相關(guān)的活動(dòng)本地化。因此，GDPR阻止了服務(wù)的跨國(guó)自由流動(dòng)，違反了《服務(wù)貿(mào)易總協(xié)定》（General Agreement on Trade in Services，GATS）第16條、第17條。

雖然GDPR旨在保護(hù)個(gè)人數(shù)據(jù)，但在商務(wù)活動(dòng)中，將數(shù)據(jù)明顯區(qū)分為個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)是很困難的，即使可能，成本也極高。進(jìn)入后疫情時(shí)代，傳統(tǒng)貿(mào)易模式受到很大影響，企業(yè)不能參展，不能出國(guó)拜訪，不能地推，轉(zhuǎn)型線上開(kāi)展國(guó)際貿(mào)易已成大勢(shì)所趨。商家不可避免地要使用搜索引擎、海關(guān)數(shù)據(jù)、社交媒體、地圖、黃頁(yè)等客戶開(kāi)發(fā)渠道。當(dāng)客戶在歐盟地區(qū)時(shí)，受GDPR的影響與約束將不可避免。

歐盟的這種數(shù)據(jù)監(jiān)管制度與現(xiàn)有的世界貿(mào)易組織規(guī)則，特別是國(guó)際服務(wù)貿(mào)易規(guī)則之間存在一定的沖突。世界數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)發(fā)展客觀上需要調(diào)整國(guó)際貿(mào)易特別是數(shù)字貿(mào)易的新規(guī)則，但世界貿(mào)易組織自2001年開(kāi)始的多哈回合談判一直處于停滯狀態(tài)[ 3 ]。因此，以GDPR為代表，包括《跨太平洋伙伴關(guān)系全面進(jìn)步協(xié)定》（Comprehensive and Pro gressive Agreement for Trans- Pacific Partnership，CPTPP）、《歐盟日本經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（EU-Ja pan Economic Partnership Agreement，EPA）、《美墨加協(xié)定》（The United States-Mexico-Canada Agree ment，USMCA）的新型區(qū)域貿(mào)易協(xié)定，主導(dǎo)并確立了關(guān)于個(gè)人隱私保護(hù)、跨境數(shù)據(jù)流動(dòng)以及推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的新型貿(mào)易規(guī)則。中國(guó)作為數(shù)字經(jīng)濟(jì)大國(guó)，應(yīng)正確研判國(guó)際貿(mào)易規(guī)則的發(fā)展形勢(shì)，把握發(fā)展機(jī)遇，提高在多邊、區(qū)域或國(guó)際貿(mào)易談判中的話語(yǔ)權(quán)。同時(shí)，中國(guó)也應(yīng)在不違反國(guó)際貿(mào)易規(guī)則的前提下，構(gòu)建促進(jìn)國(guó)家網(wǎng)絡(luò)安全、企業(yè)公平競(jìng)爭(zhēng)及個(gè)人信息保護(hù)協(xié)調(diào)發(fā)展的新型數(shù)字貿(mào)易規(guī)則[ 4 ]。

二、GDPR的立法背景與合規(guī)要求

歐盟的數(shù)據(jù)保護(hù)立法歷經(jīng)了從指令到法規(guī)的演變過(guò)程。與追求跨境數(shù)據(jù)流動(dòng)高標(biāo)準(zhǔn)的CPTPP和USMCA不同，歐盟的數(shù)據(jù)監(jiān)管制度相對(duì)保守，分析GDPR的立法背景，可以看出：歐盟歷來(lái)重視保護(hù)個(gè)人信息權(quán)和隱私權(quán)等權(quán)利，并實(shí)施強(qiáng)立法保護(hù)模式；歐盟目前沒(méi)有大型互聯(lián)網(wǎng)企業(yè)，嚴(yán)格的數(shù)據(jù)監(jiān)管制度客觀上有利于抵制美、中等國(guó)互聯(lián)網(wǎng)企業(yè)對(duì)歐盟市場(chǎng)的侵占，借機(jī)培育、發(fā)展歐盟內(nèi)的互聯(lián)網(wǎng)企業(yè)。

（一）GDPR的立法背景

隱私權(quán)是歐盟法律不可分割的一部分，被認(rèn)為是一項(xiàng)基本人權(quán)?！稓W盟基本權(quán)利憲章》第7條和第8條明文規(guī)定了私人生活、通訊和個(gè)人信息保護(hù)的權(quán)利。隨著科技的進(jìn)步，越來(lái)越多的日常生活、工作和學(xué)習(xí)從線下轉(zhuǎn)移到線上，且需要在各種數(shù)字交易平臺(tái)中輸入個(gè)人信息，由此產(chǎn)生了個(gè)人信息泄露的問(wèn)題。數(shù)字貿(mào)易給人們帶來(lái)便利的同時(shí)，也帶來(lái)了隱私保護(hù)和個(gè)人數(shù)據(jù)如何合法地收集、處理和流動(dòng)等問(wèn)題。早在1980年9月，經(jīng)濟(jì)合作與發(fā)展組織（OECD）就發(fā)布了《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨界流動(dòng)的指導(dǎo)方針》，建立了保護(hù)個(gè)人數(shù)據(jù)的指南，但指南作為軟法，對(duì)成員國(guó)并沒(méi)有法律約束力。

1995年，歐盟制定了《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》，以規(guī)范個(gè)人數(shù)據(jù)的處理及跨境移動(dòng)。歐盟對(duì)數(shù)據(jù)跨境轉(zhuǎn)移進(jìn)行規(guī)制，是基于以下兩個(gè)原因：一是加強(qiáng)保護(hù)與個(gè)人數(shù)據(jù)相關(guān)的權(quán)利，特別是隱私權(quán)；二是維護(hù)歐盟信息主權(quán)和保障經(jīng)濟(jì)發(fā)展[ 5 ]?！蛾P(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》統(tǒng)一了歐盟成員國(guó)內(nèi)的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，允許個(gè)人數(shù)據(jù)在歐盟內(nèi)的自由流動(dòng)，而對(duì)歐盟之外的國(guó)家，則采取以充分性決定機(jī)制為主的跨境數(shù)據(jù)轉(zhuǎn)移規(guī)則。但在接下來(lái)的15年里，隨著技術(shù)的進(jìn)步，個(gè)人數(shù)據(jù)不僅需要進(jìn)一步的保護(hù)，而且充分性決定機(jī)制需要統(tǒng)一實(shí)施。為此，歐盟議會(huì)于2016年4月通過(guò)了GDPR，在經(jīng)過(guò)兩年的緩沖期后，于2018年5月25日開(kāi)始生效。

作為綜合性數(shù)據(jù)保護(hù)條例，GDPR不僅適用于歐盟內(nèi)部的組織，也適用于歐盟以外的企業(yè)（如果它們向歐盟內(nèi)的數(shù)據(jù)主體提供商品或服務(wù)，或者監(jiān)督歐盟內(nèi)部人員的行為）。GDPR的影響范圍已擴(kuò)大到歐盟之外，成為許多國(guó)家制定個(gè)人數(shù)據(jù)保護(hù)法的基準(zhǔn)。不僅歐盟成員國(guó)更新了其個(gè)人數(shù)據(jù)保護(hù)法，許多中東歐國(guó)家、歐洲經(jīng)濟(jì)區(qū)域會(huì)員國(guó)、韓國(guó)、日本甚至俄羅斯都參照GDPR制定了個(gè)人數(shù)據(jù)保護(hù)法。

（二）GDPR的適用范圍

GDPR適用于所有完全或部分通過(guò)自動(dòng)化方式處理的個(gè)人數(shù)據(jù)，并致力于管理上述數(shù)據(jù)的自由流動(dòng)。任何收集、傳輸、保留或處理涉及歐盟所有成員國(guó)內(nèi)個(gè)人信息的機(jī)構(gòu)、組織均受GDPR約束。

根據(jù)GDPR規(guī)定，個(gè)人數(shù)據(jù)是指任何可用于識(shí)別自然人的資料，例如姓名或與某人的外貌、遺傳、經(jīng)濟(jì)或社會(huì)身份有關(guān)的其他因素。除少數(shù)情況外，禁止處理屬于特殊類別的個(gè)人數(shù)據(jù)，包括個(gè)人健康、性生活、種族、性取向和宗教或政治信仰等。

GDPR將參與數(shù)據(jù)收集、處理的實(shí)體分為“控制者”（Controller）或“處理者”（Processor），并賦予不同的責(zé)任。數(shù)據(jù)“控制者”為決定主體，是單獨(dú)或聯(lián)合決定個(gè)人數(shù)據(jù)處理目的和方式的自然人、機(jī)構(gòu)或企業(yè)，而數(shù)據(jù)“處理者”是受委托，為控制者處理個(gè)人數(shù)據(jù)的自然人、機(jī)構(gòu)或企業(yè)?！翱刂普摺必?fù)責(zé)確?？刂茢?shù)據(jù)處理的措施已經(jīng)到位，以確保所有操作都符合GDPR[ 1 ]。GDPR適用于歐盟境內(nèi)的控制者和處理者，無(wú)論其數(shù)據(jù)處理行為是否發(fā)生在歐盟境內(nèi)。GDPR也適用于非歐盟的數(shù)據(jù)控制者和處理者對(duì)歐盟境內(nèi)的主體開(kāi)展個(gè)人數(shù)據(jù)處理的行為。

以中國(guó)金融業(yè)為例，以下幾種情況都可能受GDPR管轄：在歐盟有分支機(jī)構(gòu)；某金融企業(yè)或其服務(wù)提供商為歐盟境內(nèi)主體提供商品或服務(wù)（如在西班牙提供支付服務(wù)）；某金融企業(yè)或其服務(wù)提供商對(duì)數(shù)據(jù)主體在歐盟境內(nèi)的行業(yè)進(jìn)行監(jiān)控（如作為監(jiān)控在西班牙辦理的信用卡余額的第三方）；處理居住在中國(guó)境內(nèi)的歐盟居民的數(shù)據(jù)。

（三）GDPR下的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則

隨著數(shù)字技術(shù)的發(fā)展，數(shù)字貿(mào)易已成為國(guó)際服務(wù)貿(mào)易的重要部分，而數(shù)據(jù)跨境流動(dòng)是數(shù)字貿(mào)易的內(nèi)在要求。GDPR下的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則對(duì)跨境服務(wù)貿(mào)易者造成很重的合規(guī)負(fù)擔(dān)，本文第三部分將分析其是否構(gòu)成貿(mào)易壁壘。

歐盟GDPR關(guān)于數(shù)據(jù)跨境轉(zhuǎn)移的規(guī)則是在1995年《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》的基礎(chǔ)上發(fā)展完善的。GDPR的數(shù)據(jù)跨境傳輸規(guī)則既要滿足一般性原則，又要符合三項(xiàng)具體的數(shù)據(jù)轉(zhuǎn)移規(guī)則。根據(jù)一般性原則，個(gè)人數(shù)據(jù)只有在符合GDPR規(guī)定的前提下才可以傳輸給第三國(guó)或者國(guó)際組織。三項(xiàng)具體的規(guī)則分別為：基于充分性認(rèn)定的數(shù)據(jù)跨境傳輸規(guī)則，提供適當(dāng)保障措施的數(shù)據(jù)跨境傳輸規(guī)則及特殊情況下的數(shù)據(jù)跨境傳輸規(guī)則。其中充分性決定機(jī)制是“一勞永逸”的，因?yàn)樵摏Q定消除了從歐盟到該第三國(guó)的數(shù)據(jù)傳輸?shù)娜魏握系K，而無(wú)需任何進(jìn)一步的數(shù)據(jù)保護(hù)要求。目前僅有12個(gè)國(guó)家獲得充分性認(rèn)定。如果第三國(guó)不屬于充分性認(rèn)定范圍的，該國(guó)應(yīng)對(duì)轉(zhuǎn)讓的數(shù)據(jù)提供以下保障措施之一：標(biāo)準(zhǔn)合同條款（Stan dard Contractual Clause，SCC）；具有約束力的企業(yè)規(guī)則（Binding Corporate Rules，BCRs）；行為準(zhǔn)則；經(jīng)歐盟委員會(huì)認(rèn)可的第三方認(rèn)證等。但是這些保障措施必須得到歐盟數(shù)據(jù)委員會(huì)或某個(gè)歐盟成員國(guó)數(shù)據(jù)保護(hù)局的批準(zhǔn)。以中國(guó)的金融機(jī)構(gòu)為例，這些機(jī)構(gòu)一般采用標(biāo)準(zhǔn)合同條款（SCC）或有約束力的公司規(guī)則（BCRs）這兩種保障性措施。如果第三國(guó)不能提供相應(yīng)的保障措施，則只能采用第三種方式“特殊情況下的數(shù)據(jù)跨境傳輸規(guī)則”，即存在下列情況時(shí)，可以進(jìn)行個(gè)人數(shù)據(jù)傳輸：數(shù)據(jù)主體同意為了特殊目的處理其數(shù)據(jù)；簽訂或履行合同的需要；公共利益的需要；建立、行使或捍衛(wèi)法律主張的需要；保護(hù)數(shù)據(jù)主體或其他自然人切身利益的需要；公共登記數(shù)據(jù)的需要。

根據(jù)GDPR關(guān)于數(shù)據(jù)自由流動(dòng)的“充分保護(hù)原則”，歐盟對(duì)第三國(guó)的數(shù)據(jù)保護(hù)水平進(jìn)行評(píng)估。被列入“充分保護(hù)決定”的國(guó)家、地區(qū)和國(guó)際組織，無(wú)需經(jīng)過(guò)歐盟數(shù)據(jù)監(jiān)管機(jī)構(gòu)事前授權(quán)，就可以與歐盟之間實(shí)現(xiàn)數(shù)據(jù)自由流動(dòng)。2020年7月以前，有12個(gè)國(guó)家和地區(qū)（包括美國(guó)）獲得歐盟充分決定的認(rèn)證。2020年7月之后，美國(guó)被排除在外。

美國(guó)沒(méi)有數(shù)據(jù)保護(hù)方面的綜合性立法，而是采用了行業(yè)自律為主的監(jiān)管模式，因此不符合歐盟對(duì)個(gè)人數(shù)據(jù)給予充分保護(hù)的要求。為了雙方的貿(mào)易合作，歐盟與美國(guó)達(dá)成《信息安全港框架協(xié)議》（Safe Harbor Framework），規(guī)定雙方之間數(shù)據(jù)跨境自由流動(dòng)僅限于受美國(guó)聯(lián)邦貿(mào)易委員會(huì)監(jiān)管的行業(yè)，而將通信行業(yè)和交通行業(yè)排除在外。斯諾登事件后，歐盟法院通過(guò)Schrems案件裁定《信息安全港框架協(xié)議》無(wú)效，理由是該框架允許美國(guó)以國(guó)家安全、公共利益、執(zhí)法為由規(guī)避監(jiān)管，從而導(dǎo)致實(shí)施15年的歐盟與美國(guó)數(shù)據(jù)跨境流動(dòng)機(jī)制被撤銷。2016年，美國(guó)調(diào)整保護(hù)框架內(nèi)容，將限制公權(quán)力的措施寫(xiě)入《隱私盾協(xié)議》（Privacy Shield），并獲得歐盟委員會(huì)充分性決定。但在2020年7月的Data Protection Commissioner v. Facebook Ireland案中，歐盟法院認(rèn)為歐盟委員會(huì)的充分性決定是無(wú)效的，因?yàn)樘峁┑谋Ｗo(hù)不滿足對(duì)等要求[ 6 ]。

三、GDPR對(duì)國(guó)際服務(wù)貿(mào)易的影響

數(shù)據(jù)本地化要求所有數(shù)據(jù)都駐留在特定的位置，通常是收集數(shù)據(jù)的同一國(guó)家、區(qū)域等。對(duì)于來(lái)自未被充分性決策覆蓋的國(guó)家的公司來(lái)說(shuō)，數(shù)據(jù)本地化是最簡(jiǎn)單的，在某些情況下也是唯一的、符合要求的解決方案。即使企業(yè)的總部位于與歐盟有協(xié)議的國(guó)家之中，它們的安全也難以得到保證，也需要數(shù)據(jù)本地化。GDPR生效后不到一個(gè)月，微軟office，一家通過(guò)Privacy Shield認(rèn)證的美國(guó)企業(yè)，在德國(guó)黑森州被發(fā)現(xiàn)不再符合GDPR[ 7 ]。導(dǎo)致這一決定的一個(gè)主要因素是微軟公司關(guān)閉了德國(guó)境內(nèi)的Microsoft Office數(shù)據(jù)服務(wù)器。因此，為了解決不合規(guī)問(wèn)題，微軟被建議重新開(kāi)放上述服務(wù)器。

在GDPR下的眾多義務(wù)中，數(shù)據(jù)轉(zhuǎn)移到第三國(guó)的嚴(yán)苛合規(guī)義務(wù)是否構(gòu)成貿(mào)易壁壘，進(jìn)而違反《服務(wù)貿(mào)易總協(xié)定》存在爭(zhēng)議。數(shù)據(jù)究竟是一種商品還是一種服務(wù)的問(wèn)題在學(xué)術(shù)界也存在爭(zhēng)議。如果數(shù)據(jù)是服務(wù)，就要在《服務(wù)貿(mào)易總協(xié)定》下討論。如果是商品，那就要在《關(guān)稅及貿(mào)易總協(xié)定》（Gen eral Agreement on Tariffs and Trade，GATT）下討論。本文認(rèn)為數(shù)據(jù)是一種服務(wù)，并在此基礎(chǔ)上分析GDPR是如何通過(guò)其所確立的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則來(lái)影響數(shù)字貿(mào)易規(guī)則，進(jìn)而影響國(guó)際服務(wù)貿(mào)易。

（一）GDPR下的數(shù)據(jù)跨境轉(zhuǎn)移規(guī)則造成數(shù)字封鎖，構(gòu)成了貿(mào)易障礙

個(gè)人數(shù)據(jù)保護(hù)和數(shù)據(jù)自由流動(dòng)是歐盟數(shù)據(jù)保護(hù)相關(guān)立法的兩大目標(biāo)。歐盟先后通過(guò)1995年《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》、2016年GDPR統(tǒng)一了成員國(guó)之間的數(shù)據(jù)保護(hù)水平，從而實(shí)現(xiàn)數(shù)據(jù)在歐盟各成員國(guó)內(nèi)的自由流動(dòng)。對(duì)于數(shù)據(jù)向歐盟外國(guó)家、地區(qū)流動(dòng)的情形，歐盟提出了充分保護(hù)原則，對(duì)數(shù)據(jù)接收國(guó)的數(shù)據(jù)保護(hù)水平進(jìn)行評(píng)估。當(dāng)接收國(guó)滿足歐盟的數(shù)據(jù)保護(hù)原則后，個(gè)人數(shù)據(jù)的跨境傳輸將被批準(zhǔn)。

1.滿足GDPR標(biāo)準(zhǔn)的數(shù)據(jù)合規(guī)要求困難重重

GDPR是一項(xiàng)涉及數(shù)據(jù)保護(hù)各個(gè)方面、監(jiān)管程度高的立法。歐盟委員會(huì)（European Commission）為了尋求解決企業(yè)跨國(guó)經(jīng)營(yíng)可能出現(xiàn)的問(wèn)題，提出了充分性決定的概念，這是一個(gè)先于GDPR的概念，早在1995年《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》中就被提出。GDPR保留了充分保護(hù)原則和充分決定機(jī)制，并對(duì)其進(jìn)行了發(fā)展與完善。根據(jù)充分保護(hù)原則，那些被認(rèn)定為對(duì)個(gè)人數(shù)據(jù)有充分保護(hù)的國(guó)家，可以與歐盟之間進(jìn)行數(shù)據(jù)跨境轉(zhuǎn)移。然而，要滿足歐盟GDPR對(duì)個(gè)人數(shù)據(jù)進(jìn)行充分保護(hù)的合規(guī)要求困難重重。

首先，充分性決定的評(píng)估執(zhí)行程序存在不透明的問(wèn)題。被排除在“充分性決定”認(rèn)證之外的國(guó)家中，有些國(guó)家的數(shù)據(jù)保護(hù)法律實(shí)際上極其嚴(yán)格。韓國(guó)就是這樣一個(gè)國(guó)家[ 8 ]。2011年，韓國(guó)制定了自己的數(shù)據(jù)隱私法，即《個(gè)人信息保護(hù)法》（the Personal Information Protection Act，PIPA），這部法在很多方面與GDPR規(guī)則相呼應(yīng)。2015年，韓國(guó)又制定了《網(wǎng)絡(luò)法》。違反PIPA或《網(wǎng)絡(luò)法》可能會(huì)被處以罰金或刑罰，最高可被處以1億韓元的罰款和10年勞役。此外，阿根廷在2003年獲得了充分的數(shù)據(jù)保護(hù)，但在該決定獲得批準(zhǔn)時(shí)，阿根廷甚至還沒(méi)有開(kāi)始實(shí)施其數(shù)據(jù)保護(hù)法[ 9 ]。

其次，充分性決定的評(píng)估方法也存在不確定性。充分性決定機(jī)制要求第三國(guó)對(duì)個(gè)人數(shù)據(jù)的保護(hù)應(yīng)達(dá)到與歐盟“必要相等的程度”，其評(píng)估根據(jù)有第三國(guó)國(guó)內(nèi)法及所承擔(dān)的國(guó)際義務(wù)、基本權(quán)利和自由、第三國(guó)保護(hù)水平是否達(dá)到歐盟基于《歐盟基本權(quán)利憲章》和1995年指令所給予的保護(hù)力度[ 5 ]。上述評(píng)估方法也存在很多不確定性，例如第三國(guó)承擔(dān)的國(guó)際義務(wù)是指什么，并不明確。

此外，如果用“適當(dāng)保障措施”進(jìn)行跨境數(shù)據(jù)轉(zhuǎn)移，也存在很多問(wèn)題。比如，我國(guó)金融機(jī)構(gòu)如通過(guò)與歐盟分行簽署“標(biāo)準(zhǔn)合同條款”方式提供“適當(dāng)保障措施”，雖然簽署及獲批耗時(shí)相對(duì)較短，但如果海外分支較多，則要簽署多份，導(dǎo)致后續(xù)維護(hù)成本較大。而采用“有約束力的企業(yè)規(guī)則”能夠覆蓋集團(tuán)個(gè)人數(shù)據(jù)傳輸?shù)乃杏猛?，但其認(rèn)證流程非常嚴(yán)格，審批耗時(shí)長(zhǎng)，難度大[ 2 ]?？傊菤W盟企業(yè)為了實(shí)現(xiàn)與歐盟市場(chǎng)間的數(shù)據(jù)傳輸，都需承擔(dān)較高的合規(guī)成本。

2.數(shù)據(jù)本地化是滿足GDPR合規(guī)要求的最佳選擇

對(duì)所有這些非歐盟公司面臨的障礙，數(shù)據(jù)本地化提供了一個(gè)解決方案，幫助其實(shí)現(xiàn)合規(guī)。數(shù)據(jù)本地化要求數(shù)據(jù)保存在特定站點(diǎn)的服務(wù)器上，而不考慮控股企業(yè)的位置。其結(jié)果是，以控股企業(yè)為代價(jià)為東道國(guó)的經(jīng)濟(jì)做貢獻(xiàn)。

雖然GDPR本身并不包含任何顯式的數(shù)據(jù)本地化需求，但自從GDPR生效以來(lái)，數(shù)據(jù)本地化基本上成為一個(gè)事實(shí)上的需求。對(duì)于總部位于未被充分性決定覆蓋國(guó)家的企業(yè)來(lái)說(shuō)，情況尤其如此。因?yàn)檫@些企業(yè)在如何重組以繼續(xù)在歐盟內(nèi)部運(yùn)營(yíng)方面的選擇更少。

2018年，德國(guó)黑森州學(xué)生使用的微軟office 365被認(rèn)為不再符合GDPR。出現(xiàn)這種結(jié)果，是由于微軟關(guān)閉了其在德國(guó)的數(shù)據(jù)中心，這意味著學(xué)生的數(shù)據(jù)將被轉(zhuǎn)移到美國(guó)的服務(wù)器上進(jìn)行數(shù)據(jù)處理。微軟公司的另一種選擇是將Microsoft Office軟件切換為具有本地許可的應(yīng)用程序，允許數(shù)據(jù)在本地處理和保存。如果微軟公司重新將數(shù)據(jù)托管在德國(guó)國(guó)內(nèi)服務(wù)器上，則沒(méi)有必要采用這種方法。值得注意的是，微軟是在《隱私盾協(xié)議》保護(hù)下進(jìn)行自我認(rèn)證的公司之一，這表明《隱私盾協(xié)議》本身可能不足以保護(hù)美國(guó)企業(yè)。由于黑森州對(duì)歐盟國(guó)民數(shù)據(jù)的處理方式有限制，許多企業(yè)會(huì)發(fā)現(xiàn)，只要將所有有關(guān)歐盟的數(shù)據(jù)本地化到歐盟內(nèi)部，就能更容易地合規(guī)管理。

一些公司正在退出歐盟，因?yàn)檫@樣做比以符合法規(guī)的方式進(jìn)行重組更簡(jiǎn)單。比如在GDPR生效后，中國(guó)互聯(lián)網(wǎng)巨頭阿里巴巴旗下的全球速賣通、新浪微博國(guó)際版、微信海外版等紛紛向歐洲區(qū)用戶更新隱私政策，請(qǐng)求重新授權(quán)。而短期難以適應(yīng)規(guī)則的公司，則選擇了暫時(shí)退出。例如小米生態(tài)鏈企業(yè)、美拍、網(wǎng)易云音樂(lè)等，均暫停了歐洲服務(wù)[ 2 ]。

從美國(guó)與歐盟簽訂的《隱私盾協(xié)議》中可以看到，有一些公司選擇撤回當(dāng)時(shí)的Privacy Shield認(rèn)證，盡管Privacy Shield的目的相當(dāng)于獲得“充分性保護(hù)”決定，但這些公司認(rèn)為這不足以阻止他們違反GDPR[ 10 ]。盡管GDPR僅實(shí)施了兩年多，但歐盟國(guó)家將毫不猶豫地根據(jù)GDPR對(duì)其發(fā)現(xiàn)的違規(guī)公司進(jìn)行處罰。根據(jù)GDPR的規(guī)定，違規(guī)公司被罰款的上限為2 000萬(wàn)歐元或最高為上一個(gè)財(cái)政年度全球全年?duì)I業(yè)收入的4%（兩者中取數(shù)額大者）。因?yàn)檫`反了GDPR規(guī)則，歐盟對(duì)英國(guó)航空、谷歌和萬(wàn)豪等公司分別處以2.04億歐元，5 700萬(wàn)美元和1.24億美元的罰款。雖然未發(fā)生因違規(guī)將數(shù)據(jù)轉(zhuǎn)移到第三國(guó)而被征收罰款的情況，但并不意味著這種合規(guī)風(fēng)險(xiǎn)不存在。即使罰款的金額微不足道，歐盟內(nèi)部執(zhí)行處罰的意愿也十分堅(jiān)決[ 11 ]。

（二）GDPR違反《服務(wù)貿(mào)易總協(xié)定》平等準(zhǔn)入與平等待遇要求

《服務(wù)貿(mào)易總協(xié)定》的目的是消除貿(mào)易壁壘，促進(jìn)服務(wù)貿(mào)易自由。根據(jù)歐盟加入《服務(wù)貿(mào)易總協(xié)定》時(shí)所做出的承諾，可以得出GDPR違反了《服務(wù)貿(mào)易總協(xié)定》第16條和第17條。

1.GDPR違反了《服務(wù)貿(mào)易總協(xié)定》第16條的平等準(zhǔn)入要求

世界貿(mào)易組織的每一個(gè)成員國(guó)就《服務(wù)貿(mào)易總協(xié)定》訂有一份與特定服務(wù)部門有關(guān)的具體承諾減讓表。在承諾表中列明的開(kāi)放服務(wù)部門必須遵守《服務(wù)貿(mào)易總協(xié)定》市場(chǎng)準(zhǔn)入和國(guó)民待遇條款中的要求?！斗?wù)貿(mào)易總協(xié)定》第16條（市場(chǎng)準(zhǔn)入）要求世貿(mào)組織成員必須向來(lái)自這些部門的外國(guó)供應(yīng)商提供市場(chǎng)準(zhǔn)入，這些供應(yīng)商的待遇不得低于國(guó)內(nèi)供應(yīng)商。

在最初的承諾中，歐盟并未對(duì)電信服務(wù)或數(shù)據(jù)檢索的市場(chǎng)準(zhǔn)入加以限制。世界貿(mào)易組織爭(zhēng)端解決機(jī)構(gòu)（DSB）規(guī)定，一項(xiàng)服務(wù)如果屬于附表中所做承諾的類別之一，則必須遵守與第16條相一致的規(guī)定。如賭博和博彩服務(wù)被認(rèn)為是美國(guó)承諾開(kāi)放的服務(wù)部門，這意味著美國(guó)不能制定法律來(lái)限制外國(guó)投資者提供這些服務(wù)。2003年，安提瓜和巴布達(dá)就對(duì)美國(guó)提起訴訟，指控美國(guó)禁止網(wǎng)上博彩服務(wù)跨境供應(yīng)的措施違反了《服務(wù)貿(mào)易總協(xié)定》第16條市場(chǎng)準(zhǔn)入原則。GDPR也應(yīng)受到歐盟在《服務(wù)貿(mào)易總協(xié)定》中所做承諾的約束。事實(shí)上，歐盟確實(shí)在其承諾范圍內(nèi)制定了對(duì)金融數(shù)據(jù)處理的具體限制，將其從《服務(wù)貿(mào)易總協(xié)定》的市場(chǎng)準(zhǔn)入和國(guó)民待遇條款中豁免。因此可以推論，除金融數(shù)據(jù)外，所有其他數(shù)據(jù)都被排除在這一限制之外。對(duì)歐盟承諾做出的這些調(diào)整是在《數(shù)據(jù)保護(hù)指令》作為歐盟主要數(shù)據(jù)保護(hù)法期間完成的。此后，雖然通過(guò)了GDPR數(shù)據(jù)保護(hù)法律，但歐盟一直沒(méi)有努力重新審視其在除金融數(shù)據(jù)外領(lǐng)域的承諾時(shí)間表。

GDPR對(duì)非歐盟企業(yè)的要求表明，這些企業(yè)受到的待遇低于歐盟內(nèi)部企業(yè)，因而違反了第16條（市場(chǎng)準(zhǔn)入）。對(duì)非歐盟企業(yè)來(lái)說(shuō)，除了要將涉及歐盟的數(shù)據(jù)本地化這一潛在差別對(duì)待外，設(shè)立數(shù)據(jù)保護(hù)官是另一個(gè)進(jìn)入歐盟市場(chǎng)的壁壘。根據(jù)GDPR要求，當(dāng)非歐盟企業(yè)要對(duì)歐盟境內(nèi)的數(shù)據(jù)主體進(jìn)行定期、系統(tǒng)的數(shù)據(jù)處理時(shí)，應(yīng)設(shè)立數(shù)據(jù)保護(hù)官。歐盟在加入《服務(wù)貿(mào)易總協(xié)定》做出承諾時(shí)并未為數(shù)字服務(wù)或個(gè)人數(shù)據(jù)開(kāi)辟例外，歐盟已承諾允許這些服務(wù)在其自身和其他世貿(mào)組織成員之間自由流動(dòng)。因此，GDPR對(duì)數(shù)據(jù)在歐盟和第三國(guó)之間的自由流動(dòng)設(shè)置的障礙已經(jīng)違反了承諾，也違反了《服務(wù)貿(mào)易總協(xié)定》第16條規(guī)定。

2.GDPR違反了《服務(wù)貿(mào)易總協(xié)定》第17條的平等待遇要求

《服務(wù)貿(mào)易總協(xié)定》第17條（國(guó)民待遇）要求“對(duì)外國(guó)和國(guó)內(nèi)服務(wù)提供者給予平等待遇”。根據(jù)GDPR規(guī)定，非歐盟企業(yè)無(wú)法像以前一樣在歐盟內(nèi)部繼續(xù)運(yùn)營(yíng)。這是因?yàn)樗鼈円磥?lái)自那些被認(rèn)為沒(méi)有得到充分保護(hù)的國(guó)家，要么認(rèn)為遵守GDPR下的合規(guī)規(guī)定將是一種太大的財(cái)政負(fù)擔(dān)。事實(shí)上GDPR阻止了這些企業(yè)進(jìn)入歐盟的整個(gè)內(nèi)部市場(chǎng)。

相比之下，位于歐盟內(nèi)部的企業(yè)則沒(méi)有這些限制，并有機(jī)會(huì)在一個(gè)開(kāi)放的內(nèi)部市場(chǎng)運(yùn)營(yíng)。事實(shí)上，非歐盟公司基本上只能選擇退出或數(shù)據(jù)本地化（如果是180多個(gè)未被充分性決定覆蓋的國(guó)家之一）。但是，這相當(dāng)于給予歐盟企業(yè)優(yōu)惠待遇，并因此改變了歐盟市場(chǎng)的競(jìng)爭(zhēng)格局。

（三）GDPR不適用《服務(wù)貿(mào)易總協(xié)定》第14條

與大多數(shù)管理貿(mào)易的條約一樣，《服務(wù)貿(mào)易總協(xié)定》也有例外。在規(guī)定有關(guān)服務(wù)自由流動(dòng)要求的同時(shí)，服務(wù)貿(mào)易總協(xié)定也規(guī)定了例外情況。如《服務(wù)貿(mào)易總協(xié)定》第14條（c）款所列舉的：ⅰ.為了防止詐騙或處理服務(wù)合同違約；ⅱ.為了保護(hù)個(gè)人信息隱私及個(gè)人記錄、賬戶的機(jī)密；ⅲ.為了確保安全等方面法律、法規(guī)得到遵守而采取的措施。即使上述這些措施與《服務(wù)貿(mào)易總協(xié)定》的規(guī)定不一致，但只要這些法律、法規(guī)與《服務(wù)貿(mào)易總協(xié)定》不相抵觸，也是《服務(wù)貿(mào)易總協(xié)定》所允許的[ 12 ]。

如果被訴至世界貿(mào)易組織爭(zhēng)端解決機(jī)構(gòu)，歐盟可以根據(jù)《服務(wù)貿(mào)易總協(xié)定》列出的幾種例外情況辯稱它有權(quán)維持GDPR。最有可能的辯護(hù)依據(jù)是第14條（c）款所列的例外措施中的（ii）項(xiàng)。但根據(jù)《服務(wù)貿(mào)易總協(xié)定》第14條“各項(xiàng)例外措施在適用時(shí)不得任意，在效果上不會(huì)造成不公平的、歧視性的后果”的規(guī)定，歐盟的這個(gè)辯護(hù)理由將站不住腳。盡管GDPR的目標(biāo)是隱私保護(hù)，但要想被視為一個(gè)可接受的例外，它必須被證明這類措施的實(shí)施不會(huì)在情況相同的國(guó)家間造成不公平、歧視，或構(gòu)成對(duì)服務(wù)貿(mào)易的變相限制。在考察那些存在強(qiáng)有力的數(shù)據(jù)保護(hù)法律卻沒(méi)有得到充分性保護(hù)決定的國(guó)家時(shí)，我們可以清楚地看到，做出這些決定的過(guò)程是十分武斷的。韓國(guó)的情況最能說(shuō)明歐盟充分性決定機(jī)制的隨意性。其他例子也表明，在充分性決定的決策過(guò)程中存在著不合理的歧視和武斷。阿根廷是僅有的11個(gè)被授予充分保護(hù)決定的國(guó)家之一，甚至在實(shí)施其數(shù)據(jù)保護(hù)法之前就被授予了充分性保護(hù)決定。愈是仔細(xì)審查充分性決定機(jī)制，就愈難提出“‘保護(hù)與個(gè)人資料的處理和散播有關(guān)的個(gè)人隱私是一項(xiàng)基本權(quán)利并受第十四條（c）款（ii）項(xiàng)保護(hù)”的論點(diǎn)。因此，歐盟援引第14條（c）款（ii）項(xiàng)，認(rèn)為GDPR是一個(gè)可接受的例外的辯護(hù)是站不住腳的。

四、應(yīng)對(duì)GDPR影響的對(duì)策與建議

隨著萬(wàn)物互聯(lián)時(shí)代的到來(lái)，國(guó)際服務(wù)貿(mào)易不可避免地要涉及數(shù)據(jù)跨境轉(zhuǎn)移，而在商務(wù)活動(dòng)中要嚴(yán)格區(qū)分個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)是很困難的。雖然GDPR旨在保護(hù)個(gè)人數(shù)據(jù)，卻對(duì)國(guó)際服務(wù)貿(mào)易產(chǎn)生了很大影響，甚至違反了《服務(wù)貿(mào)易總協(xié)定》。為此，本文對(duì)歐盟應(yīng)如何完善GDPR下的數(shù)字貿(mào)易規(guī)則提出一些建議。同時(shí)對(duì)中國(guó)應(yīng)如何應(yīng)對(duì)GDPR的影響提出對(duì)策，以解決GDPR造成的數(shù)據(jù)保護(hù)與全球信息自由流動(dòng)之間的緊張關(guān)系。

（一）歐盟應(yīng)完善GDPR下的數(shù)字貿(mào)易規(guī)則

為了完善GDPR制度，歐盟內(nèi)部應(yīng)有所作為。同時(shí)，國(guó)際社會(huì)也可以通過(guò)向國(guó)際貿(mào)易爭(zhēng)端解決機(jī)構(gòu)及歐盟內(nèi)部監(jiān)察專員、歐盟法院提起上訴這兩條起訴的路徑促使歐盟完善GDPR下的數(shù)據(jù)保護(hù)與數(shù)據(jù)流動(dòng)規(guī)則。

1.歐盟應(yīng)禁止數(shù)據(jù)本地化要求并完善充分性決定機(jī)制

為了緩解GDPR引起的一些問(wèn)題，歐盟可以采取的第一步是通過(guò)一項(xiàng)規(guī)定，即不允許任何成員國(guó)制定明確的數(shù)據(jù)本地化法律。德國(guó)和法國(guó)已經(jīng)提出了制定快速數(shù)據(jù)本地化法律的建議，但這些建議沒(méi)有得到歐盟委員會(huì)的采納[ 13 ]。委員會(huì)對(duì)這些法律的負(fù)面反應(yīng)，對(duì)禁止任何其他國(guó)家采取同樣立法行動(dòng)來(lái)說(shuō)是一個(gè)好兆頭。然而，任何禁止特定國(guó)家數(shù)據(jù)本地化法律的歐盟立法都不能解決非歐盟國(guó)家和企業(yè)難以遵守GDPR的問(wèn)題。

充分性決定機(jī)制是處理這個(gè)問(wèn)題的重要解決方案。自充分性決定機(jī)制實(shí)施25年以來(lái)，只有12個(gè)國(guó)家或地區(qū)被歐盟認(rèn)定為對(duì)個(gè)人數(shù)據(jù)進(jìn)行過(guò)充分性保護(hù)，可以與歐盟之間進(jìn)行自由的數(shù)據(jù)跨境流動(dòng)。被授予充分性決定的國(guó)家如此之少說(shuō)明該機(jī)制本身存在不足之處。歐盟可以從以下兩個(gè)方面入手：首先，可以通過(guò)簡(jiǎn)化充分性決定的認(rèn)定流程來(lái)解決這些問(wèn)題；其次，可以通過(guò)與各國(guó)密切合作，查明問(wèn)題根源，采取有效措施來(lái)解決這些問(wèn)題?？傊?，為了鼓勵(lì)數(shù)據(jù)的自由流動(dòng)，充分性決定的決策過(guò)程必須更新，要讓決策程序更加透明和明確。

2.促使歐盟完善GDPR下的充分性決定機(jī)制的途徑

如果歐盟委員會(huì)不能盡快完善充分性決定機(jī)制，那么國(guó)際社會(huì)可以提起訴訟以促成變化，其途徑有：

（1）向國(guó)際貿(mào)易組織爭(zhēng)端解決機(jī)構(gòu)提起上訴。如果一個(gè)WTO成員認(rèn)為另一個(gè)成員制定了一項(xiàng)成為新貿(mào)易壁壘的規(guī)定，并試圖限制貿(mào)易，則前者有權(quán)向WTO提起申訴，指控相關(guān)做法違反了貿(mào)易協(xié)定。例如，2003年，安提瓜和巴布達(dá)對(duì)美國(guó)提起訴訟，指控禁止網(wǎng)上博彩服務(wù)跨境供應(yīng)的措施違反了《服務(wù)貿(mào)易總協(xié)定》第16條市場(chǎng)準(zhǔn)入原則。安提瓜和巴布達(dá)在訴美國(guó)賭博案中辯稱，禁止跨境提供博彩服務(wù)的三條聯(lián)邦法律違反了美國(guó)關(guān)于市場(chǎng)準(zhǔn)入的承諾。安提瓜和巴布達(dá)的理由是，由于美國(guó)承諾向外國(guó)供應(yīng)商提供與國(guó)內(nèi)供應(yīng)商相同的待遇，因此，禁止安提瓜和巴布達(dá)在美國(guó)境內(nèi)經(jīng)營(yíng)賭博和博彩服務(wù)，違反了《服務(wù)貿(mào)易總協(xié)定》。世界貿(mào)易組織爭(zhēng)端解決機(jī)構(gòu)在為安提瓜和巴布達(dá)做出裁決時(shí)認(rèn)為美國(guó)違反了關(guān)于其各自附表所列各項(xiàng)承諾的第16條的規(guī)定，未向安提瓜和巴布達(dá)賭博和博彩服務(wù)供應(yīng)商提供與本國(guó)供應(yīng)商相同的待遇[ 14 ]。

目前，向WTO爭(zhēng)端解決機(jī)構(gòu)提起上訴這一路徑并不可行。由于美國(guó)的阻擾，國(guó)際貿(mào)易組織爭(zhēng)端解決機(jī)構(gòu)事實(shí)上已處于停擺狀態(tài)，上訴機(jī)構(gòu)已不再運(yùn)作，任何向WTO提起針對(duì)歐盟的訴訟的嘗試都可能是徒勞的[ 3 ]，甚至申訴至DSB也收效甚微。以安提瓜和巴布達(dá)訴美國(guó)開(kāi)放網(wǎng)上博彩業(yè)為例，即使?fàn)幎私鉀Q機(jī)構(gòu)最后裁判美國(guó)敗訴，并授權(quán)安提瓜和巴布達(dá)對(duì)美國(guó)采取報(bào)復(fù)性措施，對(duì)美國(guó)也沒(méi)有任何影響，因?yàn)樯暝V雙方的市場(chǎng)體量反差太大。

（2）向歐盟監(jiān)察專員申訴。向爭(zhēng)端解決機(jī)構(gòu)申訴并不是提起訴訟的唯一途徑，因?yàn)樵跉W盟內(nèi)部還存在一種途徑來(lái)消除充分性決策程序缺乏透明度對(duì)非歐盟企業(yè)的影響。

監(jiān)察專員（行政申訴專員）是歐洲聯(lián)盟眾多機(jī)構(gòu)之一。申訴專員負(fù)責(zé)監(jiān)督整個(gè)歐盟各機(jī)構(gòu)的廉潔問(wèn)題，調(diào)查有關(guān)歐盟管理機(jī)構(gòu)行政失當(dāng)?shù)耐对V。被調(diào)查的不當(dāng)行政管理的類型包括濫用權(quán)力、歧視、適用法律不當(dāng)和缺乏透明度等。而透明度和相稱性作為原則載入歐盟憲法框架，成為有效民主制度的重要基礎(chǔ)。

申訴專員的服務(wù)可提供給歐盟國(guó)家的公民或居民，或總部設(shè)在歐盟的公司。假如一個(gè)韓國(guó)公司在法國(guó)有商業(yè)存在，由于韓國(guó)未獲得歐盟充分性保護(hù)決定，這將導(dǎo)致韓國(guó)總公司與歐盟分公司之間無(wú)法自由地進(jìn)行數(shù)據(jù)跨境流動(dòng)。歐盟分公司可以以充分性決定機(jī)制缺乏透明度和存在歧視為由向監(jiān)察專員進(jìn)行投訴。在提出申訴時(shí)，該公司可以辯稱，在韓國(guó)擁有嚴(yán)格的數(shù)據(jù)保護(hù)法規(guī)的情況下，為了獲得“充分性保護(hù)”決定而讓韓國(guó)等很多年是一種歧視，而且影響了公司在歐盟開(kāi)展業(yè)務(wù)的能力。

（3）向歐盟法院起訴。雖然向監(jiān)察專員申訴有助于鼓勵(lì)歐盟委員會(huì)改變充分性決定的決策程序，但這并不是問(wèn)題的全面解決方案，因?yàn)樯暝V專員無(wú)權(quán)發(fā)布禁令。然而，歐盟法院（The Court of Justice of the European Union，CJEU）卻擁有這種權(quán)力。位于歐洲的非歐盟企業(yè)可以侵犯?jìng)€(gè)人經(jīng)濟(jì)權(quán)利或違反歐盟法律的一般原則為由，向CJEU提出索賠。歐盟法院于1994年發(fā)表了第1/94號(hào)意見(jiàn)，答復(fù)了歐洲共同體（歐盟的前身）關(guān)于《服務(wù)貿(mào)易總協(xié)定》歸誰(shuí)管轄的問(wèn)題，最終將《服務(wù)貿(mào)易總協(xié)定》原則納入歐盟法律。

（二）GDPR對(duì)國(guó)際服務(wù)貿(mào)易規(guī)則影響的中國(guó)因應(yīng)

事實(shí)上，GDPR已影響了國(guó)際貿(mào)易規(guī)則，特別是國(guó)際服務(wù)貿(mào)易規(guī)則。中國(guó)應(yīng)正確研判國(guó)際貿(mào)易規(guī)則的發(fā)展形勢(shì)，把握發(fā)展機(jī)遇，提高在多邊、區(qū)域或國(guó)際貿(mào)易談判中的話語(yǔ)權(quán)。同時(shí)，中國(guó)也應(yīng)在不違反國(guó)際貿(mào)易規(guī)則的前提下，構(gòu)建促進(jìn)國(guó)家網(wǎng)絡(luò)安全、企業(yè)公平競(jìng)爭(zhēng)及個(gè)人信息保護(hù)協(xié)調(diào)發(fā)展的新型數(shù)字貿(mào)易規(guī)則。此外，為了解決與歐盟之間數(shù)據(jù)跨境傳輸問(wèn)題，中國(guó)可借鑒歐盟—美國(guó)《隱私盾協(xié)議》模式，盡早與歐盟磋商談判并簽訂協(xié)議。

1.引導(dǎo)與推動(dòng)《服務(wù)貿(mào)易總協(xié)定》的改進(jìn)

數(shù)字技術(shù)的進(jìn)步推動(dòng)了全球服務(wù)貿(mào)易的快速發(fā)展，也帶來(lái)了數(shù)據(jù)流動(dòng)與隱私保護(hù)問(wèn)題。各國(guó)紛紛通過(guò)國(guó)內(nèi)立法來(lái)規(guī)制數(shù)據(jù)流動(dòng)及存儲(chǔ)問(wèn)題。如澳大利亞要求對(duì)醫(yī)療信息進(jìn)行本地化存儲(chǔ)。加拿大的英屬哥倫比亞和新斯科舍兩個(gè)省規(guī)定，禁止從境外訪問(wèn)醫(yī)院、學(xué)校等公共部門的信息。俄羅斯法律要求本國(guó)企業(yè)的電子通訊和社交網(wǎng)絡(luò)數(shù)據(jù)需進(jìn)行本地化。印度、越南等國(guó)家也有數(shù)據(jù)本地化存儲(chǔ)的法律規(guī)定。歐盟更是通過(guò)GDPR的實(shí)施，深刻影響了世界數(shù)據(jù)規(guī)則。這種現(xiàn)狀已事實(shí)上構(gòu)成了新型數(shù)字貿(mào)易壁壘。

其實(shí)，2016年7月頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（下稱《網(wǎng)絡(luò)安全法》）也被置疑影響了國(guó)際服務(wù)貿(mào)易，并于2017年被美國(guó)訴至WTO貿(mào)易服務(wù)委員會(huì)。美國(guó)認(rèn)為我國(guó)的《網(wǎng)絡(luò)安全法》及其配套政策、規(guī)定將會(huì)阻礙數(shù)據(jù)跨境流動(dòng)，進(jìn)而影響國(guó)際服務(wù)貿(mào)易和在華外企的業(yè)務(wù)開(kāi)展?！熬W(wǎng)絡(luò)運(yùn)營(yíng)者”的廣泛性、“重要數(shù)據(jù)”和“個(gè)人信息”傳輸限制的嚴(yán)苛性與牽涉部門的廣泛性、隱私保護(hù)義務(wù)的繁重性與不必要性、安全評(píng)估標(biāo)準(zhǔn)與關(guān)鍵信息基礎(chǔ)設(shè)施的廣泛性與模糊性等問(wèn)題都受到關(guān)注[ 15 ]。

針對(duì)數(shù)字經(jīng)濟(jì)有關(guān)事項(xiàng)，《服務(wù)貿(mào)易總協(xié)定》及《與貿(mào)易有關(guān)的知識(shí)產(chǎn)權(quán)協(xié)定》（Agreement on Trade- Related Aspects of Intellectual Property Rights，TRIPS）都制定了相應(yīng)的規(guī)范，但仍不能適應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展的需求?，F(xiàn)有的WTO規(guī)則對(duì)新型數(shù)字貿(mào)易壁壘無(wú)能為力。從2001年開(kāi)始的多哈回合談判已處于停滯狀態(tài)。

中國(guó)作為多邊貿(mào)易體制的受益者，應(yīng)積極利用WTO多邊談判體制，引導(dǎo)WTO成員關(guān)注WTO多邊協(xié)定中所缺乏的應(yīng)對(duì)數(shù)字貿(mào)易壁壘的規(guī)范，借鑒GDPR所創(chuàng)設(shè)的平衡數(shù)據(jù)自由流動(dòng)與隱私保護(hù)的新型數(shù)據(jù)流動(dòng)規(guī)則，吸納以《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》《歐盟日本經(jīng)濟(jì)伙伴關(guān)系協(xié)定》《美墨加協(xié)定》為代表的新型區(qū)域貿(mào)易協(xié)定中的數(shù)字貿(mào)易規(guī)則，細(xì)化《服務(wù)貿(mào)易總協(xié)定》協(xié)定已有的四種貿(mào)易模式，發(fā)揮WTO爭(zhēng)端解決機(jī)制作用，改進(jìn)與完善《服務(wù)貿(mào)易總協(xié)定》。

2.構(gòu)建促進(jìn)國(guó)家網(wǎng)絡(luò)安全、企業(yè)公平競(jìng)爭(zhēng)及個(gè)人信息保護(hù)協(xié)調(diào)發(fā)展的新型數(shù)字貿(mào)易規(guī)則

我國(guó)的數(shù)據(jù)監(jiān)管法律制度正在不斷地完善。2017年6月《網(wǎng)絡(luò)安全法》及最新刑事司法解釋正式運(yùn)行。2018年8月，《中華人民共和國(guó)電子商務(wù)法》在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，對(duì)個(gè)人信息保護(hù)規(guī)則做了進(jìn)一步細(xì)化。2021年1月1日生效的《中華人民共和國(guó)民法典》在總則和分則中均對(duì)個(gè)人信息保護(hù)有明文規(guī)定?，F(xiàn)有的其他法律如《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》《中華人民共和國(guó)廣告法》等也涉及到對(duì)個(gè)人信息的保護(hù)。但在社會(huì)實(shí)踐中，這些法律的適用大多規(guī)定得較為原則，并不能滿足人民群眾對(duì)個(gè)人信息保護(hù)的各類迫切需求。此外，縱觀其他法規(guī)及規(guī)范性文件，例如《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、（工業(yè)和信息化部）（GB/T 35273—2020）《信息安全技術(shù)個(gè)人信息安全規(guī)范》等，這些法律法規(guī)雖然為企業(yè)提供了極強(qiáng)的合規(guī)參考價(jià)值，但也存在著一定的滯后性，并不能夠適應(yīng)各類互聯(lián)網(wǎng)企業(yè)的合規(guī)需要。目前我國(guó)已加速個(gè)人信息保護(hù)的立法進(jìn)程，《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）和《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》（下稱《數(shù)據(jù)安全法》）均已公布。

我國(guó)在制定《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的過(guò)程中，可以充分借鑒GDPR的條款。以GDPR為代表的歐盟高水平數(shù)據(jù)保護(hù)要求，倒逼我國(guó)提高個(gè)人信息保護(hù)水平。將我國(guó)的《個(gè)人信息保護(hù)法》草案與GDPR進(jìn)行對(duì)比發(fā)現(xiàn)，兩者主要存在以下不同：

（1）在個(gè)人數(shù)據(jù)的跨境轉(zhuǎn)移上，GDPR規(guī)定了包括充分保護(hù)性認(rèn)定、有約束力的公司規(guī)則、數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)條款、特別告知同意、履行合同必要等多種合規(guī)路徑。而我國(guó)《個(gè)人信息保護(hù)法》統(tǒng)一將“告知并取得個(gè)人同意”作為數(shù)據(jù)跨境傳輸?shù)那疤釛l件，在合規(guī)路徑方面規(guī)定了安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、與境外接收方訂立合同等方式[ 16 ]。我國(guó)是一個(gè)數(shù)據(jù)大國(guó)，目前數(shù)字經(jīng)濟(jì)規(guī)模僅次于美國(guó)，位列全球第二。中國(guó)有9家企業(yè)位于全球市值最高的20家互聯(lián)網(wǎng)企業(yè)之列。雖然我國(guó)互聯(lián)網(wǎng)企業(yè)目前的國(guó)際化程度不如美國(guó)企業(yè)，但未來(lái)勢(shì)必將成為數(shù)據(jù)進(jìn)口大國(guó)。因此，拓寬個(gè)人數(shù)據(jù)跨境合規(guī)流動(dòng)的路徑是極為必要的。

（2）在個(gè)人數(shù)據(jù)本地化存儲(chǔ)上，《個(gè)人信息保護(hù)法（草案）》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和符合國(guó)家網(wǎng)信部門規(guī)定的個(gè)人信息處理者提出了本地化存儲(chǔ)的要求。其中的跨境規(guī)則對(duì)于跨境經(jīng)營(yíng)類企業(yè)（如境外跨國(guó)企業(yè)、中國(guó)出海企業(yè)）的影響較大，需根據(jù)其自身情況確定合規(guī)路徑，并征得用戶的單獨(dú)同意。正如本文第二部分所述，GDPR未明確要求數(shù)據(jù)本地化都有可能違反《服務(wù)貿(mào)易總協(xié)定》第16條和17條，如果我國(guó)《個(gè)人信息保護(hù)法》明確要求數(shù)據(jù)本地化，則更有可能與《服務(wù)貿(mào)易總協(xié)定》沖突并被訴至國(guó)際貿(mào)易組織爭(zhēng)端解決機(jī)構(gòu)。

（3）在數(shù)據(jù)處理者的義務(wù)上，GDPR對(duì)于數(shù)據(jù)“控制者”和“處理者”有較細(xì)的法律義務(wù)的分配，且要求“控制者只能選用有充分保證的、可采取合適技術(shù)與組織措施的、其處理方式符合本條例要求并且保障數(shù)據(jù)主體權(quán)利的處理者”。而《個(gè)人信息保護(hù)法》規(guī)定“個(gè)人信息處理者委托處理個(gè)人信息的，應(yīng)當(dāng)與受托方約定雙方權(quán)利義務(wù)，并對(duì)受托方的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督”。就受托方的義務(wù)而言，除履行其合同義務(wù)、返還或刪除個(gè)人信息義務(wù)，及不得轉(zhuǎn)委托外，并無(wú)進(jìn)一步的規(guī)定。

（4）在處罰上，GDPR規(guī)定有兩千萬(wàn)歐元或上一年全球總營(yíng)業(yè)額4%的金額的罰款上限（取兩者中的較高者），還規(guī)定了處罰的考量因素。而《個(gè)人信息保護(hù)法》草案將罰款上限規(guī)定為“五千萬(wàn)元”或者“上一年度營(yíng)業(yè)額5%”，未明確處罰數(shù)額的考量因素、針對(duì)適用的違法情形以及營(yíng)業(yè)額的范圍。

3.借鑒歐盟—美國(guó)《隱私盾協(xié)議》，與歐盟開(kāi)展數(shù)據(jù)跨境流動(dòng)雙邊協(xié)議談判

美國(guó)通過(guò)與歐盟締結(jié)《隱私盾協(xié)議》來(lái)化解雙方的數(shù)字貿(mào)易壁壘。美歐之間能達(dá)成雙邊協(xié)議，有三個(gè)有利因素：一是美歐之間經(jīng)濟(jì)依存度高；二是美歐之間有政治互信；三是美國(guó)強(qiáng)大的外部執(zhí)法機(jī)制能約束信息控制者的行為[ 17 ]。中國(guó)如想與歐盟達(dá)成類似協(xié)議，還需在個(gè)人信息保護(hù)水平、數(shù)據(jù)保護(hù)立法與標(biāo)準(zhǔn)、執(zhí)法監(jiān)督機(jī)制、救濟(jì)手段等方面進(jìn)一步改善?？上驳氖牵?020年12月30日《中歐全面投資協(xié)定》（The China-EU Comprehensive Agreement on Investment，CAI）完成談判。我國(guó)在個(gè)人信息保護(hù)立法與執(zhí)法體系趨于完善之時(shí)，應(yīng)盡早與歐盟開(kāi)展有關(guān)數(shù)據(jù)跨境流動(dòng)的雙邊協(xié)議談判?，F(xiàn)階段，我國(guó)可由商務(wù)部牽頭組織國(guó)內(nèi)各大企業(yè)建立海外合規(guī)信息與資源共享平臺(tái)，加強(qiáng)與歐盟委員會(huì)等海外個(gè)人數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)的平等磋商與合作，盡快達(dá)成有利于雙方的相關(guān)協(xié)議，降低我國(guó)企業(yè)特別是中小企業(yè)開(kāi)拓歐盟市場(chǎng)的合規(guī)成本、合規(guī)風(fēng)險(xiǎn)[ 2 ]。

4.吸收借鑒數(shù)字貿(mào)易規(guī)則，為積極加入CPTPP磋商創(chuàng)造條件

在WTO改革沒(méi)有進(jìn)展，也無(wú)力解決數(shù)字貿(mào)易壁壘問(wèn)題的現(xiàn)狀下，以GDPR為代表，包括《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》《歐盟日本經(jīng)濟(jì)伙伴關(guān)系協(xié)定》《美墨加協(xié)定》等新型區(qū)域貿(mào)易協(xié)定在內(nèi)的數(shù)字貿(mào)易規(guī)則對(duì)我國(guó)制定相應(yīng)規(guī)則有較大的借鑒意義。我國(guó)應(yīng)關(guān)注數(shù)據(jù)跨境流動(dòng)、數(shù)據(jù)相關(guān)設(shè)施的本地化、數(shù)字貿(mào)易業(yè)務(wù)的市場(chǎng)準(zhǔn)入、數(shù)字知識(shí)產(chǎn)權(quán)保護(hù)、跨境電商便利化等方面的國(guó)際態(tài)勢(shì)與主要分歧，在完善國(guó)內(nèi)相關(guān)法律制度的同時(shí)，積極參與雙邊和區(qū)域協(xié)定談判，與國(guó)際接軌。

以數(shù)字貿(mào)易業(yè)務(wù)的市場(chǎng)準(zhǔn)入為例。國(guó)際上對(duì)云計(jì)算是“計(jì)算機(jī)相關(guān)服務(wù)”還是“電信服務(wù)”一直存在較大分歧。美國(guó)力主云計(jì)算是“計(jì)算機(jī)相關(guān)服務(wù)”，而許多發(fā)展中國(guó)家將云計(jì)算視為電信服務(wù)，采取許可管理。根據(jù)CAI的內(nèi)容，中國(guó)已同意收緊對(duì)計(jì)算機(jī)服務(wù)市場(chǎng)準(zhǔn)入的限制，同時(shí)CAI還包括了“技術(shù)中立”條款，以確保對(duì)增值電信服務(wù)設(shè)置的股權(quán)上限不會(huì)適用于金融、物流、醫(yī)療等在線服務(wù)。雖然CAI還未簽署、生效，但云計(jì)算的服務(wù)分類必將影響CAI條款的實(shí)施。

數(shù)據(jù)（設(shè)施）本地化問(wèn)題，《美墨加協(xié)定》第19章第12條規(guī)定“禁止將計(jì)算設(shè)施置于某一成員國(guó)內(nèi)或使用某一成員國(guó)境內(nèi)的計(jì)算設(shè)施等本地化要求，且無(wú)任何例外情況”。而我國(guó)2016年的《網(wǎng)絡(luò)安全法》就因要求關(guān)鍵信息基礎(chǔ)設(shè)施本地化等規(guī)定而飽受爭(zhēng)議。

我國(guó)近兩年在區(qū)域協(xié)定的談判、簽署上都取得了較大進(jìn)展。2020年11月15日，《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》正式簽署。2020年12月30日，中歐領(lǐng)導(dǎo)人共同宣布如期完成中歐投資協(xié)定談判，同時(shí)中國(guó)領(lǐng)導(dǎo)人宣布積極考慮加入《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》。所有這些區(qū)域協(xié)定均涉及數(shù)字貿(mào)易規(guī)則。因此，我國(guó)應(yīng)盡早借鑒已創(chuàng)設(shè)的新型數(shù)字貿(mào)易規(guī)則，助力我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展。

五、結(jié)語(yǔ)

根據(jù)《服務(wù)貿(mào)易總協(xié)定》第16條和17條之規(guī)定，歐盟有義務(wù)不采取任何有利于國(guó)內(nèi)服務(wù)供應(yīng)商而不利于外國(guó)服務(wù)供應(yīng)商的措施。GDPR在個(gè)人數(shù)據(jù)保護(hù)和跨境轉(zhuǎn)移上對(duì)非歐盟公司的運(yùn)營(yíng)提出了很高的要求，造成了不適當(dāng)?shù)呢?fù)擔(dān)。為了符合GDPR的要求，非歐盟企業(yè)客觀上只有兩種選擇：要么撤出歐盟市場(chǎng)，要么將數(shù)據(jù)本地化，否則將面臨巨額罰款。而要求數(shù)據(jù)本地化實(shí)際上構(gòu)成了貿(mào)易壁壘，違反了《國(guó)際服務(wù)貿(mào)易總協(xié)定》第16條（市場(chǎng)準(zhǔn)入）和第17條（國(guó)民待遇）。由于美國(guó)的阻擾，國(guó)際貿(mào)易組織爭(zhēng)端解決機(jī)制事實(shí)上已處于停擺狀態(tài)。鑒于此，那些在歐盟有商業(yè)存在的非歐盟企業(yè)可以向歐盟行政申訴專員提出申訴。

數(shù)據(jù)跨境流動(dòng)是數(shù)字貿(mào)易的內(nèi)在要求，而數(shù)字貿(mào)易又是國(guó)際服務(wù)貿(mào)易的重要組成部分。因此，GDPR會(huì)對(duì)國(guó)際服務(wù)貿(mào)易產(chǎn)生廣泛而深遠(yuǎn)的影響。本文建議，歐盟應(yīng)禁止數(shù)據(jù)本地化要求并完善充分性決定機(jī)制。因應(yīng)GDPR對(duì)國(guó)際服務(wù)貿(mào)易法的影響，中國(guó)應(yīng)引導(dǎo)與推動(dòng)《服務(wù)貿(mào)易總協(xié)定》的改進(jìn)與完善；吸收借鑒以GDPR為代表的《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》《歐盟—日本經(jīng)濟(jì)伙伴關(guān)系協(xié)定》《美墨加協(xié)定》等新型區(qū)域貿(mào)易協(xié)定所創(chuàng)設(shè)的數(shù)字貿(mào)易規(guī)則，構(gòu)建促進(jìn)國(guó)家網(wǎng)絡(luò)安全、企業(yè)公平競(jìng)爭(zhēng)及個(gè)人信息保護(hù)協(xié)調(diào)發(fā)展的國(guó)內(nèi)數(shù)據(jù)監(jiān)管法律制度；盡早與歐盟開(kāi)展有關(guān)數(shù)據(jù)跨境流動(dòng)的雙邊協(xié)議談判。

參考文獻(xiàn)：

[1]陳文清.歐盟《一般數(shù)據(jù)保護(hù)條例》中數(shù)據(jù)處理主體的二元?jiǎng)澐旨捌鋯⑹綶J].西部法學(xué)評(píng)論，2020（4）：56-66.

[2]屈剛，洪金瑩，楊茜，李罡琴.歐盟《一般數(shù)據(jù)保護(hù)條例》的實(shí)施與應(yīng)對(duì)——基于中國(guó)銀行的探索實(shí)踐[J].國(guó)際金融，2020（6）：37-48.

[3]陳鼎莊.從中美貿(mào)易摩擦看國(guó)際貿(mào)易法的發(fā)展及中國(guó)的對(duì)策[J].中國(guó)流通經(jīng)濟(jì)，2019（10）：107-116.

[4]戴龍，數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)與數(shù)字貿(mào)易壁壘規(guī)制——現(xiàn)狀、挑戰(zhàn)及中國(guó)因應(yīng)[J].財(cái)經(jīng)問(wèn)題研究，2020（8）：40-47.

[5]袁慧.歐盟數(shù)據(jù)跨境轉(zhuǎn)移中的充分決定機(jī)制研究[J].電子知識(shí)產(chǎn)權(quán)，2020（11）：56-69.

[6]JOSEPH J L，MARY T C.Tag archives：data protection commissioner v. facebook ireland and maximillian schrems[EB/OL].（2020-01-23）[2021-01-25].https：//www.work placeprivacyreport.com/tags/data-protection-commissionerv-facebook-ireland-and-maximillian-schrems/.

[7]DAVID R.Why the Privacy shield wont make you gdprcompliant[EB/OL].（2018- 05- 25）[2020- 12- 05].https：// www.cmswire.com/information-management/why-the-priva cy-shield-wont-make-you-gdpr-compliant/.

[8]KURT W.Third annual detlev f. vagts roundtable on transna tional law：data protection in a global world[C].112 Am. Socy Intl L. Proc.（2018）：219-231.

[9]JENNIFER S，CHAN B，JOLY Y.The European Unions adequacy approach to privacy and international data sharing in health research[J].The journal of law，medicine & ethics，2018（1）：143-155.

[10]Generally list：active，privacy shield framework[EB/OL].（2019- 10- 06）[2020- 12- 10].https：//www.privacyshield. gov/list.

[11]GDPR enforcement tracker，enforcement tracker[EB/OL].（2019- 11- 09）[2020- 12- 10].http：//www.enforcement tracker.com/.

[12]李國(guó)安.《服務(wù)貿(mào)易總協(xié)定》的例外及其限制[J].國(guó)際經(jīng)濟(jì)法學(xué)刊，2004，9（2）：20-52.

[13]李毅，王迪.世貿(mào)組織背景下中國(guó)數(shù)據(jù)本地化存儲(chǔ)要求的評(píng)析[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2019，31（4）：34-43.

[14]JOEL P T.United States-measures affecting the cross-bor der supply of gambling and betting services[J].American journal of international law，2005，99（4）：861-867.

[15]China- measures affecting trading rights and distribution services for certain publications and audiovisual entertain ment products[R].Report of the Appellate Body，2009.

[16]王淼.數(shù)字經(jīng)濟(jì)發(fā)展的法律規(guī)制——研討會(huì)專家觀點(diǎn)綜述[J].中國(guó)流通經(jīng)濟(jì)，2020，34（12）：114-124.

[17]JOSHUA D. B.Reading the trade tea leaves：a comparative analysis of potential United States WTO-GATS claims against privacy[J].Localization and cybersecurity laws，2018，49（2）：801-843.

責(zé)任編輯：嘉斌

The Influence of General Data Protection Regulation on International Service Trade Rules

CHEN Ding-zhuang

（Xiamen Huaxia University，Xiamen 361016，F(xiàn)ujian，China）

Abstract：In order to protect privacy right，the European Union（EU）has developed General Data Protection Regulations（GDPR），whose two main objectives are to protect personal data and regulate the flow of data across borders. In order to comply with the GDPR，non-EU companies objectively have only two options：either pull out of the EU market or localize their data，otherwise they will face huge fines. In fact，requiring data localization constitutes a trade barrier and violates Articles 16-17 of General Agreement on International Trade in Services（GATS）. In order to promote digital trade，new regional trade agreements such as the Comprehensive Progressive Trans-Pacific Partnership（CPTPP），the Agreement between the European Union and Japan for an Economic Partnership（EPA）and the United States–Mexico–Canada Agreement（USMCA）also prohibit data center localization. So，the EU should try to eliminate the possibility of any data localization requirements and perfect the adequacy decision-making system. GDPR has a profound and extensive impact on international service trade rules. In order to adapt to the new development of international service trade rules，China should guide and promote the improvement of GATS，accelerate the development of new digital trade rules that harmonize the protection of personal information，the orderly flow of data and the protection of public interest，and refer to the Privacy Shield Agreement to negotiate a bilateral agreement with EU on cross-border data flow.

Key words：data protection；data flow；trade barriers；service trade；GDPR