随着大数据技术的发展,数据呈现爆发性增长,数据流动过程中的不确定性和威胁性也日渐凸显,数据滥用、他国数据监视、隐私权侵犯、管辖和执法难度加大等问题成为各国数据监管中挥之不去的阴霾,且2013年美国“棱镜门”事件更是给各国尤其是发展中国家敲响了数据主权和国家安全的警钟。在此背景下,各国纷纷紧缩跨境数据流动监管政策,限制跨境数据的自由流动,其中以“数据本地化”策略最为常见。“数据本地化”要求信息收集者将在本国境内收集或来源于本国境内的相关数据存储在本国境内,当前被中国、俄罗斯、巴西、印度等主要发展中国家所普遍采用,如我国《网络安全法》即要求个人信息和重要数据应当本地化存储。数据本地化措施的缘起有其合理性和正当性,但与此同时,跨境数据流动是当前互联网经济及国际贸易发展最主要的动力,尤其在当前数字贸易兴起的背景下,数据已然成为企业开展贸易最有价值的资源,直接影响其业务模式和业务效率。因此,数据本地化等限制跨境数据流动的措施可能会对经济发展和国际贸易秩序造成潜在负面影响。对此,美国也曾发布多份报告,认为世界各国限制跨境数据流动的措施,尤其是数据本地化措施,属于数字贸易壁垒,有违国际贸易规则,从而引发数据本地化措施在国际贸易框架下的合规性争议。在当前国际贸易秩序下,WTO仍然是最主要的贸易规则。由于数据本地化措施限制跨境数据流动,不涉及货物贸易,主要影响服务贸易,因此本文仅讨论数据本地化措施在GATS规则下的合规性。首先,数据本地化措施对跨境服务贸易中的跨境交付和商业存在这两种服务模式会造成影响,因此GATS规则对数据本地化措施具有适用性。其次,需要分析数据本地化措施是否构成对GATS规则下具体承诺的违反。WTO框架并未针对跨境数据流动做出专门规定。就现有框架下的义务而言,数据本地化措施存在违反GATS框架下有关“国内法义务”和“国民待遇原则”的风险,在此情况下,需要考虑援引GATS框架下例外条款的可能性。当前各国采用数据本地化措施的主要立场是基于国家安全和个人信息保护,与GATS框架下的“国家安全例外”及“个人隐私例外”存在契合点。但由于尚未有先例援引过GATS框架下的“国家安全例外”和“个人隐私例外”,因此其可援引性存在模糊性和不确定性,且其援引的成功可能性与本国具体立法情况存在较大程度的关联。WTO谈判自多哈回合以来一直停滞不前,在WTO规则未能在跨境数据流动问题上取得实质性进展的情况下,不少国家和国际组织开始致力于推动区域性规则建设,以期为跨境数据流动国际规则的设计提供方向和思路。目前来看,对个人数据跨境流动提供较为详细操作标准的是APEC的《跨境隐私规则体系》(CBPR),其通过行业自律和行政监管双重措施对个人数据跨境流动加以规制。除此之外,区域性和双多边贸易协定如TPP、TiSA和TTIP也尝试对跨境数据流动及数据本地化措施做出改革性的安排和规制。在当前WTO规则尚缺且进展无果的情况下,从区际规则着手推进不失为行之有效的方法。我国当前正处于网络安全和跨境数据流动规则的战略部署时期,当前复杂的国际环境既是挑战也是机遇,正确处理当前的形势有助于我国实现在互联网经济和数字贸易上的“弯道超车”。过于自由的跨境数据流动政策有损于我国数据主权和国家安全,也不利于公民隐私权的保护,但过于严格的数据本地化要求将抑制我国当前在互联经济和数字贸易发展上的势头,因此,平衡跨境数据流动中的多重价值目标是我国现今亟待厘清的问题。对此,我国应当立足本国发展现状,确立“国家安全和数据主权优先,个人隐私保护和贸易发展并重”的立法理念,并采用数据分类分级的措施以实现不同的监管价值目标。此外,我国应当尽量加强国内立法与国际制度的协调和衔接,以减少国际社会对我国数字战略部署的质疑和戒备。最后,在当前跨境数据流动国际规则建立势在必行的情况下,我国应当积极推进WTO规则改革,同时也要致力于区际和双边协定的推进,争取做国际规则的制定者而非被动接受者。