01
背景:欧盟关注金融机构ICT服务商风险
过去两年间,对于欧盟委员会提出的诸多立法提案,国际上的注意力主要集中在《数字服务法》(DSA)和《数字市场法》(DMA)以及《数据治理法》(DGA)。
除了专家们,很少有人关注欧盟委员会根据数字技术的变化改革现有的欧盟法规。一个典型的例子是,2020 年 9 月提出的《数字运营弹性法案》(Digital Operational Resilience Act,简称DORA)的提案,已获欧盟理事会通过(2022年11月28日)。而这一复杂法规的若干条款直接威胁到在欧盟没有业务存在的ICT 公司为欧盟金融实体提供服务(包括数据处理和数据传输)的能力。
2008 年全球金融危机之后的几年里,金融部门对 ICT 服务的使用有增无减——例如在远程银行业务。于是欧盟通过立法加强了欧盟金融部门的金融弹性,但只是在某些领域间接解决了 ICT 风险。ICT 风险继续对欧盟金融体系的运营弹性、绩效和稳定性构成挑战。欧盟成员国开始采用零碎的数字运营弹性规则来填补空白,现在导致委员会提议在整个联盟范围内进行一定程度的协调。DORA中的若干条款专门旨在确保对第三方ICT提供商的协调监管,其中一些提供商可能位于欧盟以外。
尽管 DORA 不会直接限制银行和第三方 ICT 提供商之间的跨境数据传输,但它的一些规定会间接导致这种结果——如果第三方提供商的服务是从外部提供的,则DORA限制欧盟银行使用它们。
本文探讨了DORA这一限制的性质,以及根据国际贸易法中包含的非歧视义务这一限制产生的问题。根据欧盟的世贸组织和服务贸易的双边义务,DORA似乎可以受到质疑。
02
《数字运营弹性法案》(DORA)对域外ICT服务提供商的限制
DORA提出的新框架有几个目标:
- 规定欧盟金融实体必须监控其使用第三方ICT提供商所产生的风险;
- 对欧盟金融实体签署的外部合同施加某些限制;
- 赋予欧盟金融监管机构统一的监督权。
DORA有三个条款将产生域外效应——
(一)第 26 条第 2 款
如果欧盟金融实体与在欧盟设立的ICT提供商签订合同,允许该欧盟ICT提供商将关键或重要功能分包给在非欧盟第三国设立的另一家ICT提供商,则欧盟金融实体将承担特殊义务——必须评估这样的分包链是否以及如何影响其全面监控合同功能的能力,以及监管当局有效监督金融实体的能力。总部位于欧盟的金融实体必须特别注意分包商受制于的外国法律,包括数据保护法。
尽管 ICT 分包商的外国身份本身并不意味着被取消供应商资格,但该条款确实建立了一个假设,即选择这种外国实体对总部位于欧盟的金融实体来说是一个复杂因素。
(二)第 28 条第 9 款
第二项规定涉及“关键” ICT 第三方服务提供商”(根据其规模、系统重要性和不可或缺性进行定义,在欧洲开展业务的主要美国云服务提供商可能属于此类)。DORA该条款提出了一个绝对的禁止:“假如某服务提供商是在欧盟建立的,就会被认定为关键的ICT第三方服务提供商,那么欧盟的金融实体不得使用在第三国建立的该服务提供商。”
换句话说,欧盟的金融实体不得使用在欧盟没有业务存在的公司提供“关键的 ICT 服务”。
起草者明确强调本地机构的规定不是数据本地化要求。作为该立法的介绍性陈述:“被指定为关键的ICT第三方服务提供商在欧盟内合法合并的要求不等于数据本地化,因为本法案不涉及对在联盟内进行的数据存储或处理的任何进一步要求。”
(三)第31(1)(d)条
DORA该条款将授权金融监管机构建议未来措施,以应对ICT的分承包商链带来的风险。一家在欧盟设立的ICT供应商,如果其分包商是在第三国设立的,并且将代表该金融实体执行关键或重要工作,则建议该ICT承包商不要与分包商签订分包合同。因此,这种权力可能迫使已经在欧盟建立的ICT第三方承包商为外包做出额外的尽职调查要求。
03
国际贸易法视角下,《数字运营弹性法案》(DORA)受到挑战
欧盟是世界贸易组织 (WTO) 成员,并且签订了诸多反歧视的双边贸易协定。然而,DORA根据国籍对 ICT 第三方服务提供商进行“歧视”(在第 28 条第 9 款中最为明显),是否违反了上述国际义务?
《服务贸易总协定》(GATS)是 WTO 法律主体的一部分,世贸组织成员承诺给予任何其他成员的服务和服务提供者国民待遇。欧盟已承诺为第三国计算机和相关服务 (CRS) 提供商提供国民待遇,这一类别可能涵盖 DORA 提案中涉及的 ICT 服务提供商。
然而,几乎没有 WTO 判例法将《服务贸易总协定》( GATS )义务适用于 ICT 服务。为数不多的案件之一是2010年美国针对中国“中国对支付卡交易的电子支付服务和这些服务的供应商保持的某些限制和要求”引起的争议。世贸组织争端解决小组就此案件裁定,中国对第三国供应商的限制违反了其国民待遇义务。
在上述“电子支付服务”的案例应该同样适用于国籍歧视非欧盟 ICT提供商的欧盟法律条款。DORA第28条第9款导致基于国籍的歧视,因为它会拒绝在第三国注册并且在欧盟没有业务存在的“关键”ICT第三方服务提供商从欧盟金融实体获得合同的机会。
最近的一例诉讼来自阿根廷。该国出于财务透明度的目的对“特定国家”——这些国家没有与阿根廷交换相关信息——的服务和服务供应商实施的金融、税收、外汇和登记措施。世贸组织上诉机构驳回了阿根廷援引防止欺骗和欺诈行为作为一般例外情况,认定其政府未能满足《服务贸易总协定》(GATS)第十四条的不得任意或不合理施加歧视的原则。
上诉机构还审查并驳回了阿根廷的一项主张,即阿根廷的两项措施属于关贸总协定关于金融服务的附件所载的单独义务的范围,可以以该附件所载的允许“出于审慎理由”采取措施的例外为理由。与阿根廷不同,欧盟不能援引《服务贸易总协定》(GATS )审慎例外来应对他国对DORA的挑战,因为DORA第 28条第9款影响 ICT(或“计算机及相关”)服务的跨境供应,而不是金融服务。
1994 年缔结的《服务贸易总协定》(GATS)的一个弱点是,它不包含对国际数据传输的一般保护,而这通常是 ICT 服务提供商的重要考虑因素。只有在金融服务提供商方面,WTO 成员才允许对数据传输做出承诺。但是,在涉及计算机和相关服务的案件中,不能直接依赖这些承诺。
总而言之,第 28 条第 9 款对欧盟金融机构与在欧盟以外设立的关键 ICT提供商签订合同的禁令似乎受到了挑战。然而,这样的案例将带来挑战,也是因为WTO条款并不能反映当代ICT世界——ICT和金融服务提供商之间的区别不再清晰,《服务贸易总协定》(GATS)争端解决程序的相关先例非常有限。
看看欧盟通过双边自由贸易协定(FTA)向ICT提供商提供国民待遇的义务,就会得出相同结论。例如,2017年欧盟与加拿大的《全面经济和贸易协定》(CETA)保障了加拿大关键信息通信技术服务供应商向欧盟金融机构提供服务的权利。如果被DORA第28条第9款禁止这样做,加拿大似乎可以通过《全面经济和贸易协定》(CETA)的争端解决机制代表公司提出歧视索赔。欧盟在近期与英国、日本和新加坡签订的自由贸易协定中,也对跨境ICT服务提供商承担了类似的国民待遇义务。
04
结论:如何平衡跨境数据流动及金融监管?
随着欧盟金融机构越来越多地转向第三方 ICT 提供商来管理其运营,“数字运营弹性”已成为目前主要的监管主题。欧盟委员会在DORA 中加入了要求对非欧盟服务提供商进行特殊审查的条款,并且此类公司在欧盟境内没有业务存在的情况下直接禁止这些公司的服务。
欧盟由此可能面临国际贸易法下的歧视指控。它已承诺根据 GATS 和若干双边自由贸易协定为 ICT 服务提供国民待遇,这些义务的例外情况并不完全符合 DORA 中潜在的监管理由。
笔者认为,欧盟至少需要更好地阐明对位于其领土以外的第三方 ICT 提供商的拟议限制如何符合贸易法中的非歧视义务,或者如何通过相关例外情况证明其合理性。欧盟还应该考虑是否有更好的途径可以尊重跨境数据流动以及金融监管的利益。
总而言之,金融部门跨境数据传输的重要性值得布欧盟委员会进一步反思。
补充资料:美国相关贸易协定
美国的自由贸易协定采取了与欧盟大体相似的做法,即在跨境提供信息通信技术服务方面禁止基于国籍的歧视。
例如,《美墨加协定》(USMCA)中关于跨境服务贸易的章节就包含了提供国民待遇的义务。其数字贸易章节更进一步,特别保障了出于商业目的的信息跨境转移。然而,政府可以为实现“合法的公共政策目标”而对数据转移施加限制,前提是它符合先前提到的WTO条件,即避免任意或不合理的歧视或变相的贸易限制,并将限制调整到必要的最小程度。
USMCA单独的金融服务章节包含一项条款,表明贸易谈判代表努力解决欧盟DORA背后的监管困境。第17.18条承认,金融监管机构需要“立即、完整和持续地获取”金融机构的信息,“包括这些人的交易和业务基础信息”。然而,USMCA缔约方不得要求金融机构将数据本地化作为其开展业务的条件,只要另一方的金融监管机构能够访问位于监管机构领土之外的所需信息。尽管这一义务仅适用于金融机构本身,而不适用于其跨境ICT服务提供商,但这是一个很有前途的概念,可以平衡银行监管机构的利益和ICT提供商的商业模式。
作者:肯尼斯·普罗普(KENNETH PROPP)。 大西洋理事会欧洲中心高级研究员,跨境数据论坛高级研究员,乔治城法学院欧洲法兼职教授。从2011年到2015年,他担任美国驻比利时布鲁塞尔欧盟代表团的法律顾问。
译者:《互联网法律评论》
【 免责声明 】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。
本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据。