刘宏松、程海烨：跨境数据流动的全球治理：进展、趋势与中国路径(3)

[13]WTO则致力于确保跨境数据的流动体现数字贸易的公平性，构建数字贸易信任体系。例如，WTO《服务贸易总协定》（GATS）强调市场准入义务和国民待遇义务；其附加协议《关于电信服务的附件》（Annexon Telecommunications）第5条还规定，即使WTO成员没有开放本国的电信市场，也要确保本国的公用电信网络符合非歧视原则。[14]
第三，关注跨境数据流动规制的风险管控和互操作性。《OECD隐私框架》（2013）提出了国家隐私战略（national privacy strategies）、隐私管理程序（privacy management programs）和安全漏洞通知（security breach notification）三个概念，强调对个人隐私的风险管控及全球层面隐私监管的互操作性。[15]《APEC隐私框架》下的CBPR体系要求申请加入的企业所在国至少有一个隐私执法机构加入跨境隐私执法安排（Cross-border Privacy EnforcementArrangement, CPEA），监督参与跨境数据流动企业的隐私保护情况，提升各经济体隐私执法机构的互操作性。[16]在前三届峰会成果基础上，2019年《二十国集团领导人大阪峰会宣言》提出，不仅要创新数字化产业和新兴技术，还要创新跨境数据流动的风险监管，弥合数字鸿沟等。
[17]
（二）既有多边规制面临的困境
上述国际机制在跨境数据流动治理领域开展了一系列行动，但也面临以下三个困境。
第一，效力不足。《OECD隐私框架》（2013）是指导性框架，仅为全球跨境数据流动提供了建设性指导方针。该框架第6条指出，“各成员国应达到个人隐私保护及个人自由的最低标准，”[18]但并没有提出具体和明确的要求，也不具备法律效力。《APEC隐私框架》属于自愿性框架协议，且只有自愿加入CBPR体系，并通过CPEA认证，达到APEC对消费者隐私保护要求的企业，才能从法律意义上保护消费者隐私。[19]G20是跨境数据流动的全球治理倡议平台，没有强制执行机制。尽管各成员国对数字经济展开较多讨论，提出跨境数据自由流动的理想模式，但并未形成良好的多边规制体系来约束成员国行为。WTO框架下的GATS虽对成员国有约束力，但因其部分条例相互矛盾，法律效力在一定程度上遭到削弱。例如，GATS第2条规定了成员国的最惠国待遇，但第7条却允许成员国对来自不同国家或地区的服务提供商实行差别对待。