中国太平洋经济合作全国委员会官网

彼特·拉夫洛克

 

经济的数字化使各国政府需要调整各自国内的法律、政策及开放市场，以达到更紧密的互联互通与跨境信息流动。数字贸易正是各国政府调整进程的一部分。数字贸易的增长取决于更紧密的互联互通与司法管辖权的互认。

然而，数字贸易的一体化是个复杂、多维的进程，需要整合全球数字价值链的规制结构、政策设计、数字技术和营商程序。它不仅需要数字服务、产品和技术的跨境自由流动，也需要制成品（即以互联网为平台的贸易）、数据、资本、想法、人才的跨境自由流动，及一体化的物理和虚拟基础设施的可获得性。数字贸易一体化不仅取决于消除数字贸易的障碍，也要求更广泛的技术、法律和政策协调。因此，亚太地区各经济体积极通过国际贸易协定来努力实现这种数字贸易的互联互通及一体化。

近期的贸易安排开始包含或者关注减少数字贸易和跨境数据贸易的规制障碍。当前数字需求和应用正在呈指数增长，政府也强调加快国内的数字经济增长，常常伴随着数字转型和电子政务。但国际数字贸易的规制限制也在同步增长，即使不是增长更快的话。如果国内的数字经济增长至少在一定程度上依赖于数字贸易（跨境数据流动和贸易），那么，如何解决这明显的矛盾呢？

这些新出现的FTA是不是跟那些现存的FTA一样，在支持数字发展和包容、培育国际规制合作方面不够呢？很明显，现在下结论还为时尚早。

抓住数字贸易的机会、释放数字贸易在经济增长中的潜能依赖于贸易规则的协调。贸易规则有助于消除贸易障碍，像跨境数据流动限制、本地化要求、信息通讯技术设备的关税和配额、不符合国际标准的国内和地方标准、有效争端解决机制的缺乏，等等。

针对上述问题，本文将评估当前的数字贸易协定的状况，讨论它们在数字规定与数字语言的使用方面是否一致，分析这些协定间的差距是限制还是在培育数字贸易。

 

过去两年出现了五个数字贸易协定：全面和进步的跨太平洋伙伴关系协定(CPTPP)和美墨加协定(USMCA)是现有自由贸易协定，更新和修改增加了电子商务和数字贸易章节。另外的三个则是纯“数字贸易协定”——美日数字贸易协定(Digital Trade Agreement);新加坡-智利-新西兰数字经济伙伴关系协定(DEPA)和新加坡-澳大利亚数字经济协定(SADEA)。

这些多边协定寻求发展国际框架，以推动数字贸易规则协调，加强国际标准合作和创造互操作的系统。现实中，这些协定无论是格式还是语言，都与传统的贸易协定有很多相同点。因此，一个常常让人疑惑的问题是：当前数字贸易协定的内容，能够反映和实现这些目标吗？或者，它就是个限制——旧瓶装新酒？

在此，我们关注这五个协定中的四个——CPTPP、USMCA、SADEA和DEPA.下面将简述这四个协定，关键的方法和目标对比放在表一中。

 

全面和进步的跨太平洋伙伴关系协定(CPTPP)：CPTPP是澳大利亚、文莱、加拿大、智利、日本、马来西亚、墨西哥、新西兰、秘鲁、新加坡和越南11个国家之间的自由贸易协定。澳大利亚、加拿大、日本、墨西哥、新西兰和新加坡六国于2018年12月30日开始实施，越南于2019年1月14日开始实施，文莱、智利、马来西亚、秘鲁需要完成国内的法律程序后再实施。CPTPP的“电子商务”章节设定了便利数字贸易的规制，允许成员优惠进入其他成员的市场，包括推动数据流动、保护隐私和消费者权利及知识产权。[1]

 

美墨加协定(USMCA)：USMCA是美国、墨西哥和加拿大之间的自由贸易协定，2020年7月1日开始实施，取代了北美自由贸易协定（NAFTA）。 USMCA的“电子贸易”章节是在TPP的相关章节的基础上发展而来的，包括禁止对数字产品征税，保护数据流动、隐私和知识产权，推动网络安全合作等。[2]

 

美日数字贸易协定(Digital Trade Agreement)：美国和日本在2019年分别签署了两份协定——贸易协定和数字贸易协定。美日数字贸易协定于2020年1月1日开始实施，提供了数字贸易的优先领域的指南。[3]该协定与USMCA对应，包含禁止对数字产品征税或其他的保护主义的措施等关键内容。

 

新加坡-智利-新西兰数字经济伙伴关系协定（DEPA）：DEPA由智利、新西兰和新加坡三国于2020年6月12日签署，目的是加强成员间在数字贸易上的合作，提高互操作性。[4]DEPA分成12个模块，包括数字产品待遇、数字问题、新兴技术、数字包容性和中小企业合作等章节。只要两个成员完成了国内法律程序，DEPA将自动生效。

 

新加坡-澳大利亚数字经济协定(SADEA)：SADEA由新加坡和澳大利亚在2020年8月6日签署。该协定是在现有CPTPP及新澳自由贸易协定的基础上发展而来的，包含一系列数字经济的贸易规则。两国还签署了一系列关于电子发票、电子证书、个人信息保护和数字身份证等谅解备忘录，作为SADEA的一部分。

表一：四个数字贸易协定的内容和主要规定

CPTPP	USMCA	DEPA	SADEA
第14章是“电子商务”，包括数字经济的框架：[5] 缔约方同意适用消费者保护的法律，避免网络欺诈。 推进自由与开放的互联网，保证新网络服务的创新与增长。 建立规则确保跨境数据流动，防止强制技术转让。 创新公司可以使用最有利和最适合他们的技术。	作为修改后的NAFTA的一部分，USMCA的第19章“数字贸易”包括如下内容：[6]  禁止对数字产品征收关税。 确保极小化数据本地化要求。 承认电子认证的应用，推动数字交易。 保护数字市场上的消费者。 推动政府相关的公共数据的开放。 将平台中介责任限制在知识产权执法范围之外。	DEPA共12个模块，包括商务和贸易便利化，数字身份，新趋势和技术，数字经济等。 每个独立模块可以拆分，在任何地方均可使用。[7] 任何经济体都可以加入整个协定，或在不同的贸易谈判中整合几个特定模块。	部分是从现存的新加坡-澳大利亚自由贸易协定而来。 原第14章“电子商务”被新的第14章“数字经济”所取代。

数字贸易语言的相似性：未来之路？

对这些数字贸易协定的大多数评论都是赞美的——认为在当前数字已经是无处不在、数字贸易成为贸易的一部分的时候，这些协定采用通用的原则，为未来的贸易协定的通用语言做好了准备。从这个意义上来讲，这些协定也有不同，因为他们有两个来源——一类是修改现有贸易协定，比如CPTPP和USMCA,另一类明显是新的纯数字协定，比如DEPA。

如表二所示，这些差异可以按“购物单”模式来分类，表明数字条款还是有一套通用的规则。

表二：主要数字贸易规定比较

主要规定	CPTPP	USMCA	DEPA	SADEA
取消数字产品和电子交易的关税	是	是	是	是
数字产品的非歧视性待遇	是	是	是	是
电子认证和签名	是	是	是	是
无纸贸易	是	是	是	是
国内电子交易框架	是	是	是	是
网上消费者保护	是	是	是	是
个人信息保护	是	是	是	是
反对恶意电子商业广告的措施	是	是	是	是
网络安全	是	是	是	是
跨境信息转移	是	是	是	是
禁止数据本地化	是	是	是	是
通过电子方式的跨境信息转移和禁止金融服务数据本地化	否	是	无	是
中介服务提供者的责任	否	是	无	无
软件源代码和算法保密	部分	是	无	是
开放政府数据	无	是	是	是

资料来源:修改自http://asiantradecentre.org/talkingtrade/comparing-digital-rules-in-trade-agreements

 

是:规定中包括单独的条款，完全解决此问题；

否:规定中包括单独的条款，但完全没有解决对此问题；

部分:规定中没有完全解决此问题；

无:协定中未提此规定。

如此说来，数字贸易的主要规则“基本上相同，所有的协定里都有”。这些“主要规则”真的是关键和重要的问题：数字产品的关税、数字产品的非歧视性待遇、跨境信息流动和本地化要求、个人信息保护和网络安全。这些协议在“一些对成员待遇的规定和例外方面”有些不同，都是贸易协定中标准的和可以预见的内容。

然而，这个“购物清单法”未能包含的重要内容就是对“数字”本身的理解。在一些关键规定的解释及用语方面存在巨大的差异，导致协定的规定不相同。

表三详细呈现了这些协定中的用语，表明在数字贸易的用语及保护方面的共性非常复杂。该表将DEPA、SADEA与CPTPP和USMCA的“无纸贸易、个人信息保护、计算设备的位置和国内电子交易框架、网上消费保护和网络安全”等内容做了对比。

 

表三、数字贸易协定中的关键用语

规定	CPTPP	USMCA	DEPA	SADEA
数字贸易便利化	同意采用与《联合国国际贸易法委员会电子商务示范法》或《联合国国际合同使用电子通信公约》一致的法律框架，来管理电子交易。缔约方鼓励采用可互操作的电子认证。	确保供应商使用电子认证和签名不受限，从而便利数字交易。	相互承认安全的数字身份和标准的电子发票； 推动和承认营商所用的金融技术解决方案。	可兼容的电子发票/电子支付/电子交易框架； 互认电子认证和签名，为无纸贸易提供单一窗口。
数字产品的关税	缔约方对电子传输的内容不征收关税。	禁止对数字产品征收关税，但缔约方可以继续在国内征收税费。	缔约方对电子传输不征收关税，包括内容。但缔约方可以在国内征收税费。	缔约方对电子传输不征收关税。
数字产品的非歧视性待遇	缔约方不歧视其他成员的电子产品。
跨境数据转移	促进跨境数据自由流动，将本地化要求降到极小。然而，政府保留修改数据流动相关法规的能力。	保证数据的跨境传输，对数据储存和处理地点的限制极小化。	信息可以跨境流动，以使工商界可以服务他们的客户，而不论他们在哪里。	允许为了商业目的的数据流动，包括金融部门。
数据本地化	缔约国不强迫企业使用本地设施，不阻碍企业提供云计算和信息存储服务。	禁止缔约方要求工商界在辖区内使用本地计算设施作为营业的条件。
网上消费者保护	承诺保护隐私，加强消费者保护，打击垃圾信息。	在数字市场，加强消费者保护，包括隐私和垃圾邮件。	立法保护网上消费者，避免欺诈性行为的伤害。	承诺合作，以创造和推动安全的网络环境。
个人信息保护	缔约方同意采用基于国际标准的个人信息保护框架。	包括APEC CBPR 隐私框架和OECD指南。
源代码公开	在进口和销售软件时，缔约方不要求有权使用专有软件的源代码。	限制政府要求公开专用计算源代码或算法的权限。	无	不将有权使用或公开软件的源代码作为软件进口、分销和零售的条件。 规则覆盖大众软件和定制软件，特别保护中小企业。
知识产权	缔约方提供知识产权保护的国民待遇。	要求版权和知识产权的全面国民待遇。	无	无
交互式计算机服务	无	只是简单地拥有或处理第三方内容的网络平台，可以免于造成损害的中介责任。	无	无
政府数据公开	无	推动政府产生的公共数据的公开，以促进创新和商业应用。	扩大政府数据的公开，以创造新的机会，特别是对中小企业。	改善政府数据的可获得性。
网络安全	缔约方承认，为了网络安全，加强各国计算机应急队伍合作非常重要。	加强网络安全机构的能力，强化合作机制。	缔约方同意加强国内负责网络安全机构的能力、培养人才、合作辨认和减轻威胁。
合作领域	协助中小企业使用电子商务；分享电子商务规制的信息和经验。	网络安全、垃圾邮件预防、消费者保护和个人信息保护。	网络安全、金融技术、政府采购、竞争政策、开放政府数据、中小企业。	数字贸易标准、金融技术、科技企业监管、海底电缆保护。

 

数字贸易用语的差异

那么，这四个协议的关键规定用语的差异，是怎样影响数字贸易的呢？

 

关于跨境信息转移和本地化

四个协议的差异很小，都鼓励跨境信息流动，禁止本地化要求。关于跨境数据流动，CPTPP和USMCA都表示成员有义务允许数据流动，但增加了例外条款——为了“合法的公共政策目的（LPPO），成员可以采用或维持一些规制措施”。CPTPP第一个明确承认相应成员的规制要求。DEPA、SADEA与CPTPP的用语一样。

关于数据本地化，USMCA与美日协定一样，明确禁止将计算设施的本地化作为营商的前提条件。CPTPP一样禁止数据本地化，但也增加了例外条款，成员可以为了“合法的公共政策目的”，采用或维持一些规制措施。SADEA和DEPA又同样地采用了CPTPP的用语。虽然这些例外可以被看作保护成员在隐私、安全方面的权利，但模糊的LPPO语言已被主观地解释，用来制造法律的不确定性，或者是用于明显的保护主义目的。

未来的协定也许应该包括一个“公共政策目的”的解释，为成员提供指导，这样既有足够的灵活性，也能防止保护主义措施。

 

金融服务的信息转移

对于保护和促进信息流动、禁止数据本地化要求，本文评估的这些协定都有特定的承诺。但这些承诺并不都能延伸到金融服务领域。在此方面，USMCA是高水平的标杆，在金融服务章节里提出了禁止数据本地化的详细规定。[8]这些规定指出，只要金融监管机构能够“立即、直接、全面和持续检查计算设施处理或储存的信息”，成员就不能将计算设施的本土化作为营商的前提条件。这种明确的规定非常有用，因为成员常常将确保政府检查金融数据的权利作为本土化的正当理由。SADEA复制了USMCA的用语。

虽然如此，所有的协定在此领域还是为国内规制设定了例外。在金融服务的数据流动方面， CPTPP的用语特别模糊。[9]DEPA也是保留了成员在CPTPP中的现存承诺，允许数据自由流动，禁止要求本地化，但并没有将这些内容延伸到金融服务。 在移动支付服务的国民待遇和市场准入方面，这些协定也有所不同。是否将这方面的承诺置于WTO的规则之下是选择性的。USMCA明确给予其他成员的支付公司国民待遇和市场准入。但另一方面，CPTPP将国民待遇作为自选动作，并不保证非歧视性——如果有外国的支付服务公司营业的话，允许成员给予本地支付企业更优惠的待遇。另外，CPTPP对移送支付服务的定义集中在信用卡网络和B2B交易[10]——然而，零售支付（B2C交易、电子商务和颠覆性的新支付渠道）才是创新和行动的发生之地。

 

提高互操作性

四个协定中，DEPA包含的提高互操作性的内容最多。协定中，各成员明确承认在促进数字系统之间的互操作性和增进高附加值产品和服务方面国际标准的作用。

虽然DEPA许多规定中不包含金融服务，但它设立了移动支付的单独章节。成员“同意支持有效的、安全的跨境移动支付的发展，在支付基础设施方面采用国际接受的标准，提高互操作性和连接”。SADEA包含相同的用语，甚至更明确地呼吁双方为了确保移动支付系统的互操作性，需要采用国际标准，比如ISO20022。[11]

DEPA成员还同意推动应用程序接口(APIs)的应用，让第三方能够获得使用权。通过考虑互连互通的支付网络的整个价值链，这项额外承诺完善了DEPA减少跨境支付摩擦的整体方法。[12]SADEA在便利API在移动支付的互操作性、创新和竞争方面使用了同样的语言。

DEPA的个人信息保护、数据交换系统和数字身份证同样包含互操作性的承诺。成员希望“建立或维护培育技术的互操作性或共同标准的合适的框架”。DEPA同样强调了电子发票系统的互操作性。每个成员都同意“对电子发票的措施要基于现存的国际标准、指南或建议”。同样地，SADEA对提高互操作性方面的承诺集中在电子认证、电子发票和数据交换系统。在其他协定的提高互操作性方面，美日协定强调了个人信息保护，CPTPP强调了电子认证。

DEPA和 SADEA在鼓励互操作性方面的规定可以作为WTO讨论电子商务和数字贸易的模板。

 

个人信息保护

四个协议都重视保护个人信息。CPTPP强制要求成员采用或者维护保护个人信息的法律框架。考虑到不同的法律框架之间的差异，CPTPP鼓励成员开发机制，推动不同体系间的兼容。跟CPTPP一样，USMCA也是强制要求成员采用或者维护保护个人信息的法律框架，但对有活力的法律框架的规定更具体，要求采用国际原则和指南，特别是《APEC隐私框架》和OECD2013年通过的《管理跨境个人数据流动隐私保护指南》。USMCA还强制要求成员保证对跨境个人信息流动的限制“与出现的风险相比，是必要的和合适的”。

SADEA包含与USMCA相同的内容。但SADEA又承认APEC“跨境隐私保护规则”（CBPR）,其成员同意“推广CBPR，鼓励参与CBPR体系，包括产业界”。这类用语可能是培育CBPR这些倡议成功的关键。DEPA包含的内容与USMCA和SADEA相同，但又更进一步——为了确保与个人信息保护标准和最佳实践一致，其成员同意在工商界采用信息保护信任标记。成员还同意互相承认其他成员的信任标记，以作为便利跨境信息流动的机制。这种新出现的信息转移机制的创新形式是对过去实践的突破，表明在未来应该被推广。

各国国内个人信息保护法的规则以OECD和APEC的国际指南和建议为基础，保证了各国间信息贸易框架间的一致性。同样地，承认可行的信息流动机制，比如APEC的CBPR及数据保护信息标记等，将减少工商界的障碍，增进数字信任和推动数字贸易一体化。

 

中介服务提供者的责任

中介服务提供者是交互式计算服务的供应商。这方面的规定涉及明确区分服务提供商和他们的用户，防止服务提供商为用户储存、处理、传输、分发和供给信息而造成的伤害负法律责任，允许服务提供商通过限制有害的或者有争议的材料，审核线上内容。

USMCA特别强调了中介服务提供商的责任，使用的是相同的语言，注意到各成员国“在确定与存储、处理、传输、分发或供给的信息有关的损害的责任时，不会采取或维持将交互式计算机服务的提供者或用户视为信息内容提供者的措施”。

美国退出TPP后，CPTPP成员去掉了中介责任的规定。SADEA和DEPA同样也没有中介责任的内容。

 

源代码

软件的源代码，或者算法的源代码是商业秘密，是其所有者的竞争优势。保护源代码或算法不公开的规定，意味着为企业提供安全保护和消除贸易障碍。

USMCA的用语特别强调成员“不要求或查看其它成员的个人拥有的软件代码，或者是将转让、查看源代码和算法作为在其领土上进口、分销、零售或使用该软件产品的前提条件”。但与此同时，该规定并不能阻止一国的立法或司法机构获得该源代码或算法。SADEA包含同样的规定和用语。

CPTPP 14.17条款同样禁止“要求或查看其它成员的个人拥有的软件代码，或者是将转让、查看源代码和算法作为在其领土上进口、分销、零售或使用该软件产品的前提条件。”此外，CPTPP和SADEA还提出协议中的任何规定，不能阻碍关于“商业谈判合同”中的源代码的内容与实施。成员也不能以现有法律和规定为由，要求企业修改源代码。因此，CPTPP和SADEA让企业自己以合同为基础谈判源代码问题，但阻止政府强制查看源代码。

然而，CPTPP还包括另外的规定，将“禁止获取源代码”限制于大众市场软件或包括该软件的产品，不包括“关键基础设施”的软件。附件8-B“贸易的技术障碍”中同样重复了该规定。对于准备商用的使用了密码法的信息通讯技术（ICT），“各方不能实施技术规定或手续，要求产品的制造商或供应商提供密匙或其他的加密后门，作为制造、零售、分销、进口或使用的前提”。然而，这并不能阻止成员国的执法机构要求服务提供商“遵守缔约方的国内法律程序”提供非加密的通讯。[13]

关于大众市场软件，到底有多少这类软件不能在关键基础设施的电脑上运行也是个问题。例如，商业软件可能最终被政府雇员使用。这可能会无意地导致国内开发关键基础设施的软件，或者是使用在政府系统之中。[14]

DEPA没有提到源代码或源代码中的算法的要求。然而，在模块3-数码产品和相关问题中，DEPA沿袭了CPTPP的保护加密技术的规定。

 

各个贸易协议中又有哪些独特的规定呢？

• DEA是唯一包括海底通讯电缆系统、金融服务计算设施的位置、监管技术合作的协议。
• 它还有单独的关于标准的规定。[15]
• DEPA是唯一包括物流和数字金融包容性的协议。
• 它还是唯一不包含电子认证、电子签名和源代码的协议。
• USMCA 是唯一包括交互式计算服务规定的协议。
• 它反映了此问题对美国格外重要。
• CPTPP 是唯一不包括“开放政府数据”的协议，反之，另外三个协议都包括此内容。从TPP的早期讨论以来，该领域正在快速进入协议的范围。
• 尤其是，这些协议都没有适当地认识到下一个正在发展的领域——“数据共享架构和安排”。
• DEA和CPTPP包括“网络互联互通成本分担”，但DEPA和USMSC没有。

 

新一代数字贸易协定：前进之路，错误的开始，还是死胡同？

这些数字贸易协定都没有妥当应对以下三大挑战：

1. 跨境条款的司法适用，需要跨国协调才能有效执行。
• 这还包括国家安全和敏感性、文化敏感理解和应用，及国内的注册和分类的问题。
2. 国内部门间就交叉问题的协调。
• 对于数字协定来说，这个问题既不新也不独特，只是更广泛、更复杂。
3. “数字贸易”准确的、一致的定义，还有很多关键的数字贸易规定的定义。

 

现在还无法确定，缺少解决这些问题的机制到底是“过早长牙”（就像当年质疑服务贸易协定的紧迫性一样）的问题，还是这些问题本身就是协议的薄弱环节。

 

四个协议对相关用语定义的差距，可以归纳为：

• 数字贸易: 四个协议都没有对“数字贸易”给出定义，并且每个协议都从不同的方面来解释和使用。DEA和DEPA解释为数字经济，CPTPP解释为电子商务，USMCA解释为数字贸易。

因此，需要对“数字贸易”作出通用的解释和定义，以利于更普遍地理解和使用。

• 数字服务:四个协议对“数字服务”也没有定义（只有数码产品）。规定中建议“不对数码产品采取歧视性措施”，但对数码服务呢？

数字服务的定义与数字税高度相关。这个领域需要一致的定义，才能达到更大的利益，并减少已经存在并不断增长的贸易摩擦。

• 数字身份：各协议对数字身份也没有给出定义。虽然DEPA 和SADEA都单独列出了“数字身份”，以示格外重视。
• 对“人工智能”同样也没有给出定义。为了有效的互认、推广和保护执法，协议中不对此进行定义是很有问题的疏忽。

因此，很有必要对数字技术的关键用语给出定义，像人工智能、5G、物联网等，否则的话，将使它们概念模糊，影响规制协调的相关性和适用性。

• 数据分类和平台类型：尽管承认某些类型的数据符合“合法的公共政策目标”，需要特别考虑、保护和管制，包括本地化目的，但仍没有区分不同类型的数据。同样地，虽然有保护中介责任的关键条款，也没有区分不同类型的数字平台。
• 虽然线上贸易的平台很多，但协议只提到很有限的线上平台。SADEA和DEPA只提到一处“鼓励各国的中小企业（SME）加入平台，这些平台有助于他们联系国际供应商、买家和其他潜在的商业伙伴”。[16]

 

表5:数字贸易协议中的定义差异

定义	CPTPP	USMSC	DEPA	SADEA
“数字贸易”的定义	无 章节中的用语是“电子商业”	无 第19章名“数字贸易	无 章节中的用语是“数字经济”	无 章节中的用语 “数字经济”
算法		是
计算设施	是	是	是	是
数码产品	是	是	是	是
电子认证	是	是	是	是
电子签名		是
政府信息		是
信息内容提供者		是
交互式计算服务		是
个人信息	是	是	是	是
贸易管理文件	是	是	是	是
恶意商业电子信息	是	是	是	是
电子传输	是		是	是 （缔约方规定的电子格式的文件，包括通过传真发送的文件）
电子发票			是	是
电子支付			是	是
电子记录			是
电子档案				是
开放标准			是
单一窗口			是
开放数据			是
金融技术				是
监管技术				是
信息通讯技术密码				是

 

（杨泽瑞 翻译）