互联网技术发展的同时数据也在爆发性增长,数据安全尤其是在数据流动过程中需要的安全保障要求也与日俱增。大数据时代数据跨境流动成为常态,与此同时数据窃取、数据滥用、国家数据遭受监视、隐私侵犯、管辖冲突和司法协助难度增加等问题也随之而来。技术的逐步进步使得社会风险更不易发现和察觉,而危险爆发所造成的恶劣影响将难以承受和清除。于是,以“数据本地化措施”为主要手段对跨境数据流动进行监管受到全球大部分国家的青睐。中国作为互联网大国,同时也是互联网技术后发国家,更倾向于适用数据本地化措施对跨境数据流动和数据安全进行保护。互联网经济依托的是自由的管理和规制措施,数字贸易的发展也要求统一的市场及自由的数据流动,而这均与数据本地化措施的限制作用相悖。但是这并不能否认数据本地化措施的功能和价值,数据本地化措施具有合理性基础。对中国来说,为取得在数字经济领域的发展优势地位,保护国家安全,保障人权等,对跨境数据流动采取适当的数据本地化措施是必要的。WTO作为目前国际秩序中最为重要的多边贸易规则体制,中国作为贸易大国,同时也是WTO重要成员之一,WTO的相关规则当然适用于中国。由于数据本地化措施不涉及货物贸易,受到影响的主要是服务贸易,因此本文重点讨论的是GATS项下中国数据本地化措施的合理性及合法性问题。在合理性方面,首先,中国作为最大发展中国家,为了促进自身经济发展,尤其在互联网等新兴技术领域保护自身产业,促进数字贸易等方面适当采取数据本地化措施是必要的也是合理的。其次,中国数据本地化措施要实现的目标与GATS允许的“安全例外”条款相符,“斯诺登”事件的发生也在现实上对世界各国敲响了警钟。国家安全不仅仅是中国的诉求,也是世界各国共同的要求。中国的国家安全在互联网上的表现就是“网络主权”,而数据本地化措施正是实现这一目标价值的重要手段。最后,对于人权的尊重,对个人隐私保护离不开对个人数据的监督和管理。数据本地化措施能起到的作用之一就是能够有控制的实现对个人数据的保护,中国的相关措施不仅与世界其他国家的立场一致,也符合GATS中“隐私例外”所赋予的合理做法。在合法性方面,首先,受到数据本地化措施影响的主要是服务贸易中商业存在和跨境交付两种模式,因此GATS规则适用于数据本地化措施。其次,对中国来说主要是数据本地化措施是否违反中国在WTO中的具体承诺内容,具体为是否存在违反GATS中的有关“国内法义务”、“市场准入原则”和“国民待遇原则”的情形。最后,在违反相关规则的情况下,对于例外条款的援引和解释应当具备的条件进行分析,讨论是否存在可以援引GATS中例外条款的可能性。数据本地化措施应当作为实现数据安全措施的重要工具,而不应成为实现数据安全的目的。数据本地化措施仅仅只能当作服务于其他重要考量内容的一环。我国应当考虑本国的现实情况,在立法价值上追求“国家安全和数据主权优先,个人隐私保护和贸易发展并重”的目标,采用数据分类分级进行监督和管理,加强数据跨境流动惩罚措施。与此同时,加强我国数据本地化措施在GATS中的合规性要求,完善相关措施内容,在积极参与和推进WTO改革过程中,可以参考借鉴TRIMs中的规则促进服务贸易领域规则的完善。