數(shù)字經(jīng)濟(jì)視野下跨境數(shù)據(jù)流動(dòng)法律監(jiān)管制度研究及對(duì)我國(guó)的啟示

傅盈盈

摘 要：數(shù)字經(jīng)濟(jì)時(shí)代下，國(guó)際貿(mào)易離不開(kāi)數(shù)據(jù)的全球性流動(dòng)。學(xué)界關(guān)于跨境數(shù)據(jù)流動(dòng)治理的研究大多聚焦于美國(guó)和歐盟，關(guān)于日本跨境數(shù)據(jù)流動(dòng)法律監(jiān)管問(wèn)題在中日學(xué)界都沒(méi)有針對(duì)性、系統(tǒng)性研究。日本有關(guān)跨境數(shù)據(jù)流動(dòng)的國(guó)內(nèi)立法主要集中規(guī)定在2015年修正后的《個(gè)人信息保護(hù)法》中，主要存在四個(gè)方面的亮點(diǎn)：一是明確“主體同意原則”;二是設(shè)置“白名單”制度;三是完善了個(gè)人隱私安全保護(hù)同國(guó)民生命健康安全保護(hù)及公共利益之間的平衡;四是對(duì)處理個(gè)人信息的經(jīng)營(yíng)者委托國(guó)外主體管理數(shù)據(jù)，或?qū)?shù)據(jù)傳輸給境外關(guān)聯(lián)公司過(guò)程中產(chǎn)生的數(shù)據(jù)跨境流動(dòng)監(jiān)管問(wèn)題提出解決方案。日本在完成其國(guó)內(nèi)跨境數(shù)據(jù)流動(dòng)相關(guān)法律制度之后，也像歐美國(guó)家一樣開(kāi)始在雙多邊交涉中增加關(guān)于跨境數(shù)據(jù)流動(dòng)規(guī)則的談判，如簽訂CPTPP、EPA、RCEP等雙多邊自由貿(mào)易協(xié)定，努力實(shí)現(xiàn)日本與其他國(guó)家地區(qū)之間規(guī)范的跨境數(shù)據(jù)流動(dòng)。中國(guó)如今應(yīng)當(dāng)加快構(gòu)建跨境數(shù)據(jù)流動(dòng)法律監(jiān)管體系，積極參與國(guó)際規(guī)則的制定和國(guó)際條約的簽訂。

關(guān)鍵詞：跨境數(shù)據(jù)流動(dòng);數(shù)據(jù)治理;日本法律;中國(guó)法律應(yīng)對(duì)

中圖分類號(hào)：D996.1? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號(hào)：1673-291X（2021）33-0125-05

引言

近年來(lái)，以互聯(lián)網(wǎng)為載體的數(shù)字經(jīng)濟(jì)飛速發(fā)展，極大改變了國(guó)際貿(mào)易的運(yùn)行模式。在國(guó)際貿(mào)易中，除了傳統(tǒng)的“人物錢”跨境流動(dòng)之外，數(shù)據(jù)跨境流動(dòng)也引起全世界的廣泛關(guān)注。誠(chéng)然，數(shù)據(jù)在全世界范圍內(nèi)快速流動(dòng)帶動(dòng)了國(guó)際貿(mào)易的快速發(fā)展，但也帶來(lái)一系列問(wèn)題，如個(gè)人數(shù)據(jù)被非法使用、企業(yè)商業(yè)機(jī)密泄露、國(guó)家信息安全受到威脅等，因此各國(guó)都在探索如何能在平衡數(shù)字經(jīng)濟(jì)發(fā)展和維護(hù)信息安全的前提下對(duì)跨境數(shù)據(jù)進(jìn)行規(guī)制。國(guó)際權(quán)威機(jī)構(gòu)Statista的統(tǒng)計(jì)數(shù)據(jù)顯示，直至2019年，中國(guó)數(shù)字產(chǎn)業(yè)總規(guī)模位居世界第一，但很遺憾的是，我國(guó)擁有如此大的數(shù)字產(chǎn)業(yè)規(guī)模，針對(duì)數(shù)據(jù)跨境流動(dòng)的監(jiān)管卻沒(méi)有系統(tǒng)的立法。因此，借鑒國(guó)際上有關(guān)數(shù)據(jù)跨境流動(dòng)的先進(jìn)立法經(jīng)驗(yàn)和積極參與國(guó)際上有關(guān)數(shù)據(jù)跨境流動(dòng)的立法討論、掌握國(guó)際規(guī)則制定話語(yǔ)權(quán)非常重要。

目前，跨境數(shù)據(jù)流動(dòng)領(lǐng)域還未能形成統(tǒng)一的全球治理規(guī)則。歐盟和美國(guó)在跨境數(shù)據(jù)監(jiān)管方面起步較早，已形成兩套較為成熟的監(jiān)管體系，并各自通過(guò)簽訂自由貿(mào)易協(xié)定在全世界范圍內(nèi)推廣自己的監(jiān)管模式。2015年的“棱鏡門”事件后，日本意識(shí)到了跨境數(shù)據(jù)流動(dòng)全球治理上的缺陷，也明白不能完全依賴于美國(guó)或者歐盟主導(dǎo)的治理體系，必須要建立本國(guó)的數(shù)據(jù)跨境流動(dòng)監(jiān)管法律體系。2019年，日本首相安倍晉三在G20峰會(huì)上確立了“Data Free Flow with Trust”數(shù)據(jù)流通原則，啟動(dòng)大版軌道，致力于在構(gòu)建令人有信賴感的數(shù)據(jù)自由流通治理體系，促進(jìn)各國(guó)間數(shù)字貿(mào)易發(fā)展?？梢?jiàn)，日本現(xiàn)如今十分重視數(shù)據(jù)跨境流通的治理問(wèn)題。作為與日本貿(mào)易關(guān)系最為密切的同為亞洲國(guó)家的中國(guó)，應(yīng)當(dāng)關(guān)注日本數(shù)據(jù)治理動(dòng)態(tài)，借鑒其長(zhǎng)處，加速構(gòu)建本國(guó)的數(shù)據(jù)跨境流動(dòng)監(jiān)管法律體系。因此，本文將梳理、分析日本有關(guān)跨境數(shù)據(jù)流動(dòng)的國(guó)內(nèi)立法和同他國(guó)簽訂的雙多變國(guó)際條約，并探討其對(duì)中國(guó)的啟示，試圖對(duì)我國(guó)跨境數(shù)據(jù)流動(dòng)法律監(jiān)管提出建議。

一、跨境數(shù)據(jù)流動(dòng)監(jiān)管領(lǐng)域日本的國(guó)內(nèi)立法

早期，日本政府對(duì)數(shù)據(jù)流動(dòng)持盡量不去干預(yù)或少干預(yù)，保護(hù)對(duì)象僅限于個(gè)人數(shù)據(jù)。直到2003年，日本才制定了首部《個(gè)人信息保護(hù)法》，并且從文本看也無(wú)專門規(guī)制數(shù)據(jù)跨境流動(dòng)的條款。此時(shí)，日本跨境數(shù)據(jù)流動(dòng)治理基本處于自由、自愿和自律的“三自”狀態(tài)。

2015年“棱鏡門”事件暴露了跨境數(shù)據(jù)流動(dòng)全球治理的缺陷，不但使歐美跨境數(shù)據(jù)流動(dòng)“安全港協(xié)議”作廢，更催化了日本就跨境數(shù)據(jù)流動(dòng)治理出臺(tái)一系列規(guī)制政策，在這樣的背景下，2015年9月，修正后的《個(gè)人信息保護(hù)法》，其中對(duì)跨境數(shù)據(jù)流動(dòng)監(jiān)管的規(guī)定主要有以下幾個(gè)亮點(diǎn)。

（一）明確“主體同意原則”

修正后的《個(gè)人信息保護(hù)法》明確了除特定情形外，處理個(gè)人信息的經(jīng)營(yíng)者在將數(shù)據(jù)提供給外國(guó)第三者時(shí)，必須事先獲得數(shù)據(jù)主體對(duì)該提供行為的同意。這里的“外國(guó)第三者”是指，除了處理個(gè)人信息的經(jīng)營(yíng)者和個(gè)人信息主體以外的域外主體，包括外國(guó)政府在內(nèi)。這里的“同意”是指，個(gè)人信息的主體對(duì)處理個(gè)人信息的經(jīng)營(yíng)者向國(guó)外第三者提供其個(gè)人信息的行為做出同意的意思表示，若該主體是未成年人、無(wú)民事行為能力或限制民事行為能力等無(wú)法理解做出同意意思表示后會(huì)產(chǎn)生的后果的主體，個(gè)人信息經(jīng)營(yíng)者還必須獲得其親屬或法定代理人的同意。在無(wú)法事先獲得數(shù)據(jù)主體同意的場(chǎng)合，除敏感信息外，將法律規(guī)定的事項(xiàng)通知到個(gè)人信息主體，同時(shí)將情況向個(gè)人信息保護(hù)委員會(huì)報(bào)告并經(jīng)其公示之后，可以將個(gè)人信息提供給國(guó)外的第三者。在新舊法的銜接上，在新法實(shí)施之前，已獲取過(guò)數(shù)據(jù)主體同意處理個(gè)人信息的經(jīng)營(yíng)者，在新法實(shí)施之后，可以將數(shù)據(jù)主體同意范圍內(nèi)的個(gè)人信息提供給外國(guó)第三人。

可見(jiàn)，日本對(duì)個(gè)人信息跨境流動(dòng)采取“主體同意原則”，對(duì)個(gè)人信息經(jīng)營(yíng)者設(shè)置了較為嚴(yán)格的通知義務(wù)。同時(shí)也考慮到商事行為的效率問(wèn)題，在無(wú)法取得數(shù)據(jù)主體同意的情況下，允許處理個(gè)人信息的經(jīng)營(yíng)者在完成通知義務(wù)和向個(gè)人信息保護(hù)委員會(huì)的報(bào)告義務(wù)之后，向境外傳輸非敏感信息。且在此情況下，數(shù)據(jù)主體也享有隨時(shí)叫停提供信息行為的權(quán)利，在最大程度上平衡個(gè)人信息的保護(hù)和商事行為的效率。而在新舊法的銜接上，更偏向于保護(hù)商事行為的效率，即使新法實(shí)施前數(shù)據(jù)主體并沒(méi)有明確同意處理個(gè)人信息的經(jīng)營(yíng)者可以將其信息跨境傳輸，只要其曾做出過(guò)允許處理個(gè)人信息的經(jīng)營(yíng)者傳輸其個(gè)人信息的意思表示，就視為其同意處理個(gè)人信息的經(jīng)營(yíng)者在相同范圍內(nèi)將信息跨境傳輸給外國(guó)第三者。

（二）設(shè)置“白名單制度”

日本通過(guò)設(shè)置“白名單”，使個(gè)人信息數(shù)據(jù)能在日本和與日本有相同水準(zhǔn)的個(gè)人信息保護(hù)制度的國(guó)家之間自由流通。法條規(guī)定，如果某國(guó)在個(gè)人信息保護(hù)委員會(huì)制定的名單之中，就代表這些國(guó)家的個(gè)人信息保護(hù)水平已達(dá)到同日本相同的水準(zhǔn)，那么處理個(gè)人信息的經(jīng)營(yíng)者即使沒(méi)有取得數(shù)據(jù)主體的同意，也可使個(gè)人信息在日本與該國(guó)之間自由流通。被日本個(gè)人信息保護(hù)委員會(huì)納入“白名單”的國(guó)家，需要符合的條件包括：該國(guó)制定實(shí)施的法律對(duì)個(gè)人信息保護(hù)力度同日本相當(dāng);該國(guó)存在同日本個(gè)人信息保護(hù)委員會(huì)類似的執(zhí)行機(jī)構(gòu);該國(guó)同日本在如何合理地利用個(gè)人信息與保護(hù)數(shù)據(jù)主體權(quán)利的問(wèn)題上能夠相互理解;相互合作的國(guó)家該國(guó)不可超過(guò)必要的范圍限制信息跨境流動(dòng);個(gè)人數(shù)據(jù)在日本與該國(guó)之間流動(dòng)可以促進(jìn)新產(chǎn)業(yè)發(fā)展，激發(fā)經(jīng)濟(jì)活力，并有利于豐富國(guó)民生活。如今，在日本個(gè)人信息保護(hù)委員會(huì)白名單國(guó)家主要是歐盟的國(guó)家和英國(guó)。

設(shè)立數(shù)據(jù)跨境傳輸“白名單”原本是歐盟的一貫做法。2016年4月14日，歐盟議會(huì)和歐盟理事會(huì)通過(guò)《通用數(shù)據(jù)保護(hù)條例》（GDPR），并于2018年5月25日正式生效。GDPR在第45條規(guī)定了若第三國(guó)或者國(guó)際組織已對(duì)個(gè)人信息保護(hù)建立了充分的保護(hù)體制，那么歐盟將會(huì)將該國(guó)加入充分保護(hù)“白名單”，明確允許數(shù)據(jù)轉(zhuǎn)移到這些國(guó)家。截至2020年3月12日，名單包括13個(gè)國(guó)家，其中也包括2019年加入歐盟“白名單”的日本。日本設(shè)立個(gè)人信息跨境傳輸“白名單”一是為了借鑒歐盟的經(jīng)驗(yàn)，允許數(shù)據(jù)傳輸至擁有完善的數(shù)據(jù)保護(hù)監(jiān)管制度的國(guó)家，既保障了數(shù)據(jù)流動(dòng)的安全性，又能促進(jìn)數(shù)據(jù)在一定范圍自由流動(dòng)，促進(jìn)經(jīng)濟(jì)發(fā)展;二是因《日歐經(jīng)濟(jì)伙伴協(xié)定》（EPA）需要數(shù)據(jù)跨境在日本與歐盟之間流動(dòng)，互將對(duì)方加入“白名單也是當(dāng)務(wù)之急。

（三）完善了個(gè)人隱私安全保護(hù)同國(guó)民生命健康安全保護(hù)及公共利益之間的平衡

日本允許處理個(gè)人信息的經(jīng)營(yíng)者在法律規(guī)定的情形內(nèi)，可以在不事先經(jīng)數(shù)據(jù)主體同意的情況下將數(shù)據(jù)跨境傳輸，完善了個(gè)人隱私安全保護(hù)同國(guó)民生命健康安全保護(hù)及公共利益之間的平衡。此處法律規(guī)定的情形具體包括：向國(guó)外第三者提供該數(shù)據(jù)是保護(hù)數(shù)據(jù)主體生命、身體、財(cái)產(chǎn)所必需的措施，且獲得數(shù)據(jù)主體同意較為困難;向國(guó)外第三者提供該數(shù)據(jù)是為了公共衛(wèi)生或者維護(hù)兒童身心健全的需要必須向境外傳輸個(gè)人信息，且獲得數(shù)據(jù)主體同意較為困難;國(guó)家機(jī)關(guān)為了實(shí)施法律規(guī)定的事務(wù)時(shí)必須獲得民間企業(yè)的配合將個(gè)人數(shù)據(jù)傳輸至外國(guó)國(guó)家機(jī)關(guān)，并且等待數(shù)據(jù)主體的同意會(huì)阻礙事務(wù)的實(shí)施等。日本設(shè)置的這些例外情形都涉及國(guó)民的切身利益和社會(huì)公共利益，允許在這些情形下處理個(gè)人信息的經(jīng)營(yíng)者可以適當(dāng)背離“數(shù)據(jù)傳輸須經(jīng)同意”的原則，增加數(shù)據(jù)跨境傳輸監(jiān)管制度靈活度和可應(yīng)變性，防止發(fā)生因嚴(yán)格遵守“同意”原則而在需要為實(shí)現(xiàn)國(guó)家利益、公共利益、國(guó)民切身利益時(shí)數(shù)據(jù)跨境傳輸受到過(guò)度的限制。

（四）為處理個(gè)人信息的經(jīng)營(yíng)者委托國(guó)外主體管理數(shù)據(jù)，或?qū)?shù)據(jù)傳輸給境外關(guān)聯(lián)公司過(guò)程中產(chǎn)生的數(shù)據(jù)跨境流動(dòng)監(jiān)管問(wèn)題提出解決方案

日本《個(gè)人信息法》規(guī)定，若信息接收方滿足一定的條件，即使其所處國(guó)并不在“國(guó)家白名單”之內(nèi)，處理個(gè)人信息的經(jīng)營(yíng)者也可在未經(jīng)數(shù)據(jù)主體同意的情況下將數(shù)據(jù)提供給該接收方。具體來(lái)說(shuō)，如果接收個(gè)人信息的外國(guó)第三人已經(jīng)同信息提供者簽訂合同，明確處理個(gè)人信息所需遵守的義務(wù)，且該義務(wù)符合《個(gè)人信息保護(hù)法》相關(guān)規(guī)定;或者接收個(gè)人信息的外國(guó)第三人已經(jīng)獲得CBPR系統(tǒng)的認(rèn)證或其個(gè)人信息保護(hù)水平符合OECD制定的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通的指南》的標(biāo)準(zhǔn)，則處理個(gè)人信息經(jīng)營(yíng)者就能在沒(méi)有事先獲得數(shù)據(jù)主體同意的情況下將數(shù)據(jù)傳輸給該接受數(shù)據(jù)的外國(guó)第三人。

該規(guī)定明確如果日本處理個(gè)人信息經(jīng)營(yíng)者基于數(shù)據(jù)管理委托需求或者與關(guān)聯(lián)公司之間業(yè)務(wù)交接需求，想使數(shù)據(jù)在日本與“非白名單”國(guó)家企業(yè)之間自由流動(dòng)，只要滿足法律規(guī)定的條件就可以實(shí)現(xiàn)。該規(guī)定為那些遵守法律，已建立完善的數(shù)據(jù)保護(hù)監(jiān)管體制的企業(yè)打開(kāi)數(shù)據(jù)自由流動(dòng)的窗口，避免過(guò)于限制商事主體跨境傳輸數(shù)據(jù)的行為，提高了商事行為的效率。

二、跨境數(shù)據(jù)流動(dòng)監(jiān)管領(lǐng)域日本參與的國(guó)際條約

由于世貿(mào)組織的大多數(shù)規(guī)則制定于20世紀(jì)90年代，那時(shí)電子商務(wù)還未發(fā)展起來(lái)，因此世貿(mào)組織規(guī)則中并沒(méi)有直接規(guī)制跨境數(shù)據(jù)流動(dòng)的法律條文，在跨境數(shù)據(jù)流動(dòng)監(jiān)管方面的，還沒(méi)有產(chǎn)生獲得絕大多數(shù)國(guó)家支持的全球性規(guī)則。因此越來(lái)越多的國(guó)家開(kāi)始積極制定雙邊或單邊的自由貿(mào)易協(xié)定，來(lái)彌補(bǔ)國(guó)際規(guī)則的缺失。在過(guò)去的20年，產(chǎn)生了超過(guò)400份自由貿(mào)易協(xié)定，其中超過(guò)70份自由貿(mào)易協(xié)定中包含電子商務(wù)相關(guān)的內(nèi)容。日本在完成其國(guó)內(nèi)跨境數(shù)據(jù)流動(dòng)相關(guān)法律制度之后，也像歐美國(guó)家一樣開(kāi)始在雙多邊交涉中增加關(guān)于跨境數(shù)據(jù)流動(dòng)規(guī)則的談判，以彌補(bǔ)日本在此問(wèn)題上的短板，實(shí)現(xiàn)日本與其他國(guó)家地區(qū)之間規(guī)范的跨境數(shù)據(jù)流動(dòng)。

（一）CPTPP中的跨境數(shù)據(jù)流動(dòng)規(guī)則

2017年美國(guó)退出TPP之后，日本接替美國(guó)開(kāi)啟了CPTPP的多邊談判。在電子商務(wù)方面，CPTPP第14章中制定了許多高水準(zhǔn)的規(guī)則，其中第14.11和第14.12條對(duì)跨境數(shù)據(jù)的轉(zhuǎn)移和保存做出了規(guī)定。

CPTPP第14.11條第1項(xiàng)明確，各締約國(guó)都有制定各自跨境數(shù)據(jù)監(jiān)管制度的權(quán)利，第2項(xiàng)則規(guī)定各締約國(guó)都應(yīng)當(dāng)允許數(shù)據(jù)在為開(kāi)展經(jīng)營(yíng)業(yè)務(wù)時(shí)可以在各國(guó)之間流動(dòng)，但也為締約國(guó)保留了一定的裁量空間，即若是為了實(shí)現(xiàn)合法的公共政策目的，可做出同第2項(xiàng)條款不相符合的措施，但該措施不可構(gòu)成任意或不合理的歧視或?qū)Q(mào)易進(jìn)行變相限制，也不可對(duì)數(shù)據(jù)傳輸進(jìn)行超出實(shí)現(xiàn)目的所需限度的限制。

CPTPP第14.12條對(duì)計(jì)算機(jī)設(shè)施的設(shè)置作出規(guī)定。第1項(xiàng)規(guī)定各締約國(guó)都可對(duì)計(jì)算機(jī)設(shè)施的使用設(shè)置各自的監(jiān)管要求，包括尋求通信安全性和機(jī)密性要求，第2項(xiàng)規(guī)定任何締約方不得將在該締約方領(lǐng)土內(nèi)使用或設(shè)置計(jì)算設(shè)施作為在其領(lǐng)土內(nèi)開(kāi)展業(yè)務(wù)的條件。同CPTPP第14.11條相同，若是為了實(shí)現(xiàn)合法的公共政策目的，可做出同第2項(xiàng)條款不相符合的措施，但該措施不可構(gòu)成任意或不合理的歧視或?qū)Q(mào)易進(jìn)行變相限制，也不可對(duì)數(shù)據(jù)傳輸進(jìn)行超出實(shí)現(xiàn)目的所需限度的限制。

可見(jiàn)，CPTPP的基本理念是鼓勵(lì)跨境數(shù)據(jù)自由流動(dòng)，原則上禁止各締約國(guó)做出數(shù)據(jù)本地化的要求。CPTPP繼承了美國(guó)的跨境數(shù)據(jù)傳輸理念，更多考慮到的是電子商務(wù)的發(fā)展需求。也許是為了兼顧保障人權(quán)的需要，CPTPP設(shè)置了公共政策一般例外條款，但條文中對(duì)“什么樣的公共政策目的是合法公共政策目的”沒(méi)有做出列舉性的說(shuō)明，只是規(guī)定為實(shí)現(xiàn)合法公共政策目的所為措施不可構(gòu)成任意或不合理的歧視或?qū)Q(mào)易進(jìn)行變相限制，也不可對(duì)數(shù)據(jù)傳輸進(jìn)行超出實(shí)現(xiàn)目的所需限度的限制，條文語(yǔ)言較為曖昧。在發(fā)生糾紛時(shí)，對(duì)爭(zhēng)議措施的合法性、正當(dāng)性的判斷可能會(huì)變得困難，導(dǎo)致公共政策一般例外條款被濫用的局面，在適用時(shí)需要適用目的解釋、體系解釋等各種方法來(lái)進(jìn)行判斷。

（二）日歐經(jīng)濟(jì)伙伴關(guān)系協(xié)定（EPA）中的跨境數(shù)據(jù)流動(dòng)規(guī)則

2018年，日本和歐盟簽訂了“日歐經(jīng)濟(jì)伙伴關(guān)系協(xié)定”，2019年正式生效。日歐EPA的談判涉及商品貿(mào)易、原產(chǎn)地規(guī)則、服務(wù)貿(mào)易、電子商務(wù)等各方面的內(nèi)容，該協(xié)議條文中并沒(méi)有與“跨境數(shù)據(jù)流動(dòng)”直接相關(guān)的規(guī)定，但事實(shí)上日歐之間在洽談EPA協(xié)議的同時(shí)，就個(gè)人數(shù)據(jù)的自由流動(dòng)問(wèn)題也一直在進(jìn)行磋商。2016年7月，日本個(gè)人信息保護(hù)委員會(huì)發(fā)布“努力構(gòu)建日歐間數(shù)據(jù)自由流動(dòng)體制”的方針，2017年7月，日歐之間達(dá)成合意，日本將對(duì)歐盟適用《個(gè)人信息保護(hù)法》第24條，允許個(gè)人信息在日歐之間自由流動(dòng)，而歐盟基于《通用數(shù)據(jù)保護(hù)條例》（GDPR）第24條，對(duì)日本進(jìn)行“保護(hù)充分性認(rèn)定“制度，將日本列入數(shù)據(jù)流動(dòng)白名單國(guó)家，使日歐之間個(gè)人信息可以自由流動(dòng)。2019年1月，日歐間“保護(hù)充分性”相互認(rèn)定正式生效，由此，日歐間的個(gè)人信息可自由流動(dòng)。

（三）區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定（RCEP）中的跨境數(shù)據(jù)流動(dòng)規(guī)則

《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）是2012年由東盟發(fā)起，談判歷時(shí)八年，2020年11月15日，第四次區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定（RCEP）領(lǐng)導(dǎo)人會(huì)議以視頻方式舉行，會(huì)后東盟10國(guó)和中國(guó)、日本、韓國(guó)、澳大利亞、新西蘭共15個(gè)亞太國(guó)家正式簽署了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》。

RCEP中有關(guān)跨境數(shù)據(jù)流動(dòng)的條款主要是第12章14條和15條。同CPTPP一樣，RCEP第12章第14條和第15條也存在著一般例外條款，明確締約國(guó)為實(shí)現(xiàn)正當(dāng)?shù)墓舱呖梢圆扇”匾胧﹣?lái)限制跨境數(shù)據(jù)流動(dòng)或?qū)嵤?shù)據(jù)本地化，但不能構(gòu)成任意或不合理的歧視或限制貿(mào)易自由，但與CPTPP不同的是，RCEP中規(guī)定，為實(shí)現(xiàn)公共政策采取措施的必要性由措施實(shí)施國(guó)自行判斷，其他各締約國(guó)不可對(duì)該措施有異議?？梢?jiàn)，相比CPTPP，RCEP對(duì)于數(shù)據(jù)跨境自由流動(dòng)采取的態(tài)度更為謹(jǐn)慎，締約國(guó)可以隨時(shí)采取措施，叫?？缇硵?shù)據(jù)自由流動(dòng)或者要求他國(guó)信息處理者實(shí)施數(shù)據(jù)本地化。

三、跨境數(shù)據(jù)流動(dòng)監(jiān)管領(lǐng)域中國(guó)法律應(yīng)對(duì)

（一）中國(guó)跨境數(shù)據(jù)流動(dòng)治理方面主要存在的問(wèn)題

1.立法內(nèi)容缺乏可操作性?！毒W(wǎng)絡(luò)安全法》是我國(guó)目前為止數(shù)據(jù)跨境流動(dòng)方面重要的法律，但其立法內(nèi)容卻缺乏可操作性。《網(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。但對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者的具體范圍沒(méi)有規(guī)定，只是在第31條規(guī)定，由國(guó)務(wù)院進(jìn)一步確定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。近日生效的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第18條采用“非窮盡列舉+認(rèn)證”的模式來(lái)界定關(guān)鍵信息基礎(chǔ)設(shè)施的概念，導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施的范圍很廣，缺乏可預(yù)測(cè)性。另外，條文中規(guī)定一般業(yè)務(wù)要向境外傳輸數(shù)據(jù)需要經(jīng)過(guò)安全評(píng)估，但對(duì)于評(píng)估的標(biāo)準(zhǔn)，現(xiàn)在還處在意見(jiàn)稿階段，并且該評(píng)估辦法由于過(guò)大地?cái)U(kuò)張了數(shù)據(jù)本地化義務(wù)，引起了許多爭(zhēng)議。可見(jiàn)，《網(wǎng)絡(luò)安全法》雖然位階高，但是在跨境數(shù)據(jù)流動(dòng)治理方面的立法內(nèi)容大多是原則性規(guī)定，在實(shí)踐中缺乏可操作性。2021年9月生效的《數(shù)據(jù)安全法》是護(hù)航我國(guó)數(shù)據(jù)安全，助力數(shù)字經(jīng)濟(jì)發(fā)展的重要法律，其亮點(diǎn)之一是實(shí)現(xiàn)了對(duì)跨境數(shù)據(jù)的域外管轄，并定下了積極開(kāi)展數(shù)據(jù)領(lǐng)域國(guó)際交流與合作，促進(jìn)數(shù)據(jù)安全、自由流動(dòng)的方針，但是《數(shù)據(jù)安全法》中關(guān)于如何進(jìn)行跨境數(shù)據(jù)傳輸沿用了《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，并沒(méi)有進(jìn)一步進(jìn)行細(xì)化，如何進(jìn)行數(shù)據(jù)分級(jí)管理、數(shù)據(jù)安全評(píng)估辦法的實(shí)施細(xì)則還不完善、關(guān)鍵信息基礎(chǔ)設(shè)施范圍過(guò)于寬泛等問(wèn)題還未解決，同樣存在立法內(nèi)容缺乏操作性的問(wèn)題。

2.《個(gè)人信息保護(hù)法》中個(gè)人信息跨境流動(dòng)規(guī)制過(guò)于嚴(yán)苛。2021年11月1日起實(shí)施的《個(gè)人信息保護(hù)法》中專章規(guī)定了個(gè)人信息跨境提供規(guī)則，是完善我國(guó)在個(gè)人信息跨境流動(dòng)法律監(jiān)管制度歷程上的重要里程碑。對(duì)比中日兩國(guó)個(gè)人信息保護(hù)法中關(guān)于數(shù)據(jù)跨境流動(dòng)的法律規(guī)定，內(nèi)容基本相近，但也略有不同。例如，有關(guān)“個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供個(gè)人信息”的條件，中國(guó)采用的是“經(jīng)安全評(píng)估/經(jīng)安全認(rèn)證/與境外接收信息者之間已約定符合本法規(guī)定的權(quán)利義務(wù)+本人同意”的模式，日本采用的是“須經(jīng)本人同意為原則，法定情形可不經(jīng)本人同意為例外”的模式，其中法定情形包括：第一，信息接收方身處白名單國(guó)家。第二，信息接收方信息保護(hù)水平達(dá)一定的標(biāo)準(zhǔn)。例如，同樣是“與境外接收信息者之間已約定符合本法規(guī)定的權(quán)利義務(wù)”這一場(chǎng)合，按照中國(guó)的個(gè)人信息保護(hù)法，需同時(shí)滿足該項(xiàng)條件和取得數(shù)據(jù)主體同意才能進(jìn)行數(shù)據(jù)跨境傳輸;而按照日本的個(gè)人信息保護(hù)法，若滿足此項(xiàng)要求，即使沒(méi)有事先取得數(shù)據(jù)主體同意，也可以進(jìn)行數(shù)據(jù)跨境傳輸。又如日本的個(gè)人信息保護(hù)法中規(guī)定，因客觀情況事先無(wú)法取得數(shù)據(jù)主體同意時(shí)，向數(shù)據(jù)主體告知法律規(guī)定事項(xiàng)并向個(gè)人信息保護(hù)委員會(huì)報(bào)備之后也可跨境傳輸個(gè)人信息，而中國(guó)的個(gè)人信息保護(hù)法中并沒(méi)有這樣的規(guī)定?？梢?jiàn)，中國(guó)對(duì)于個(gè)人數(shù)據(jù)跨境流動(dòng)的監(jiān)管更為嚴(yán)格，嚴(yán)格采用“須經(jīng)數(shù)據(jù)主體同意后才可傳輸”的原則。相比日本，我國(guó)體現(xiàn)出對(duì)個(gè)人信息保護(hù)從嚴(yán)保護(hù)的決心，但是也可能會(huì)因此對(duì)跨境電商施加過(guò)大的合規(guī)壓力。

3.缺乏專門的跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)?！稊?shù)據(jù)安全法》明確了中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)國(guó)家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國(guó)家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國(guó)家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制;各地區(qū)、各部門對(duì)本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé);國(guó)家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。其中存在的問(wèn)題是，我國(guó)缺少一個(gè)專門的跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)或者數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)。如果各地區(qū)、各部門對(duì)本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全各自負(fù)責(zé)，而上級(jí)部門只是負(fù)責(zé)統(tǒng)籌協(xié)調(diào)等宏觀方面的工作，那么難免會(huì)出現(xiàn)對(duì)跨境數(shù)據(jù)進(jìn)行評(píng)估、審查、監(jiān)管，以防止監(jiān)管的缺失、重疊或者越位等問(wèn)題。

4.我國(guó)跨境數(shù)據(jù)治理的國(guó)際規(guī)制參與度較低。習(xí)近平總書記多次強(qiáng)調(diào)，要牢牢把握信息化發(fā)展的新機(jī)遇，堅(jiān)定貫徹新發(fā)展理念，加快推進(jìn)數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化、積極參與數(shù)字經(jīng)濟(jì)國(guó)開(kāi)放合作。目前為止，我國(guó)尚未同大的數(shù)據(jù)經(jīng)濟(jì)體簽訂明確可供執(zhí)行的數(shù)據(jù)跨境流動(dòng)協(xié)議，也尚未同貿(mào)易伙伴建立數(shù)據(jù)自由流動(dòng)的互信機(jī)制。我國(guó)對(duì)跨境數(shù)據(jù)治理的國(guó)際規(guī)制參與度較低可能會(huì)導(dǎo)致我國(guó)失去跨境數(shù)據(jù)國(guó)際規(guī)制定方面的主導(dǎo)話語(yǔ)權(quán)，造成“數(shù)據(jù)孤島”的現(xiàn)象，不利于一個(gè)數(shù)據(jù)大國(guó)的經(jīng)濟(jì)發(fā)展。

（二）跨境數(shù)據(jù)流動(dòng)的中國(guó)方案

1.提高跨境數(shù)據(jù)流動(dòng)治理方面的立法層級(jí)，完善操作細(xì)則。我國(guó)目前有關(guān)數(shù)據(jù)跨境流動(dòng)治理方面，層級(jí)為法律的立法是《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，但這三部法律立法內(nèi)容過(guò)于原則，缺乏可操作性，因此我國(guó)應(yīng)提高與其配套的實(shí)施細(xì)則的立法層級(jí)。例如，同《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》相配套的《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》的效力層級(jí)僅為規(guī)范性文件，并尚處于意見(jiàn)稿狀態(tài)，這就使原則性立法缺少可操作性。因此，我國(guó)應(yīng)盡快出臺(tái)立法層級(jí)較高的實(shí)施細(xì)則，形成完善的跨境數(shù)據(jù)流動(dòng)治理體系，增強(qiáng)原則性法律的可操作性。另外，我國(guó)需盡快完善《個(gè)人信息保護(hù)法》的實(shí)施細(xì)則?！秱€(gè)人信息保護(hù)法》中針對(duì)個(gè)人數(shù)據(jù)跨境傳輸規(guī)定了嚴(yán)格的“須經(jīng)數(shù)據(jù)主體同意才可傳輸”的原則可能會(huì)給企業(yè)增加了過(guò)重的合規(guī)負(fù)擔(dān)。而日本在企業(yè)因客觀情況無(wú)法取得數(shù)據(jù)主體事先同意的場(chǎng)合下，允許個(gè)人信息經(jīng)營(yíng)者在完成通知義務(wù)和向個(gè)人信息保護(hù)委員會(huì)的報(bào)備義務(wù)之后，向境外傳輸非敏感信息，適當(dāng)“網(wǎng)開(kāi)一面”，避免實(shí)踐中在無(wú)法事先取得數(shù)據(jù)主體同意的情況下出現(xiàn)僵局的情況，有利于兼顧商事行為的效率。我國(guó)也許可借鑒日本《個(gè)人信息保護(hù)法》的實(shí)施細(xì)則，適當(dāng)為“須經(jīng)數(shù)據(jù)主體同意才可傳輸”的原則增添更多的例外情況，減輕企業(yè)的合規(guī)負(fù)擔(dān)，更好地促進(jìn)數(shù)字經(jīng)濟(jì)的跨境發(fā)展。

2.我國(guó)要盡快建立專門的數(shù)據(jù)跨境流動(dòng)監(jiān)管機(jī)構(gòu)。我國(guó)缺乏專門的、權(quán)責(zé)明確的跨境數(shù)據(jù)監(jiān)管機(jī)構(gòu)，而日本、歐盟等數(shù)據(jù)大國(guó)都擁有專門的跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)。日本設(shè)立了個(gè)人信息保護(hù)委員會(huì)，作為獨(dú)立的個(gè)人信息監(jiān)管機(jī)構(gòu)。在個(gè)人數(shù)據(jù)跨境傳輸方面，個(gè)人信息保護(hù)委員會(huì)承擔(dān)了對(duì)他國(guó)個(gè)人信息保護(hù)體制完善性進(jìn)行評(píng)估、確定“白名單國(guó)家”、監(jiān)督處理個(gè)人信息經(jīng)營(yíng)者的跨境個(gè)人數(shù)據(jù)傳輸行為、協(xié)助企業(yè)進(jìn)行個(gè)人數(shù)據(jù)保護(hù)合規(guī)等職責(zé)，對(duì)個(gè)人數(shù)據(jù)跨境傳輸治理起到了很大的整合、協(xié)調(diào)作用。筆者認(rèn)為，我國(guó)可以借鑒日本這種設(shè)立專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)的做法，設(shè)立一個(gè)國(guó)家數(shù)據(jù)安全保護(hù)機(jī)關(guān)，專門負(fù)責(zé)數(shù)據(jù)規(guī)范的具體落實(shí)、數(shù)據(jù)安全評(píng)估、企業(yè)合規(guī)監(jiān)管與協(xié)助、跨境數(shù)據(jù)源流動(dòng)治理等活動(dòng)。

3.積極參與國(guó)際規(guī)則的制定和國(guó)際條約的簽訂。首先，我國(guó)應(yīng)當(dāng)積極參與世貿(mào)組織有關(guān)數(shù)據(jù)跨境流動(dòng)的談判。世界貿(mào)易組織作為世界全面調(diào)整各國(guó)、各地區(qū)貿(mào)易關(guān)系和貿(mào)易政策規(guī)模最大、范圍最廣的國(guó)際經(jīng)濟(jì)組織，對(duì)各成員貿(mào)易領(lǐng)域立法產(chǎn)生了很大的影響。近年來(lái)，隨著信息化的飛速發(fā)展，國(guó)際貿(mào)易中的各個(gè)環(huán)節(jié)都依賴于數(shù)據(jù)的流動(dòng)，因此世貿(mào)組織會(huì)議上也掀起對(duì)如何規(guī)制跨境數(shù)據(jù)量流動(dòng)的熱烈討論。世貿(mào)組織在2020年12月的報(bào)告中指出，新冠疫情的暴發(fā)加速了數(shù)字經(jīng)濟(jì)的發(fā)展，跨境電商將成為國(guó)際貿(mào)易復(fù)蘇的重要一環(huán)，制定有利于電子數(shù)據(jù)流通的規(guī)則具有重要的商業(yè)意義，世貿(mào)組織會(huì)在2021年的前期對(duì)這個(gè)議題進(jìn)行更深層次的談判。日本對(duì)于本次世貿(mào)組織有關(guān)數(shù)據(jù)治理的談判十分重視，在2019年1月9日，日美歐三方貿(mào)易部長(zhǎng)舉行會(huì)談并發(fā)表共同聲明，確認(rèn)對(duì)盡快啟動(dòng)世貿(mào)組織關(guān)于電子商務(wù)談判的支持;2019年1月23日世界經(jīng)濟(jì)論壇年會(huì)的演講中，日本首相安倍提道：“希望今年的G20峰會(huì)成為全球數(shù)據(jù)治理的起點(diǎn)，為大家長(zhǎng)久記憶。聚焦數(shù)據(jù)治理的峰會(huì)，我們不當(dāng)先將其命名為大阪軌道，開(kāi)始在世貿(mào)組織對(duì)此進(jìn)行討論。”可見(jiàn)，日本不但將全球數(shù)據(jù)治理問(wèn)題與G20峰會(huì)掛鉤，還延伸到世貿(mào)組織改革的討論中，如今日美歐已經(jīng)隱隱主導(dǎo)了世貿(mào)組織有關(guān)數(shù)據(jù)全球治理的談判，中國(guó)也應(yīng)當(dāng)積極參與本次世貿(mào)組織有關(guān)數(shù)據(jù)全球治理的談判，努力爭(zhēng)取制定規(guī)則的話語(yǔ)權(quán)。其次，我國(guó)可以考慮通過(guò)簽訂雙邊協(xié)定，與他國(guó)進(jìn)行雙邊數(shù)據(jù)保護(hù)充分性認(rèn)定。雙邊數(shù)據(jù)保護(hù)充分性認(rèn)定，就是兩個(gè)國(guó)家之間簽訂雙邊協(xié)議，認(rèn)定對(duì)方對(duì)于數(shù)據(jù)保護(hù)程度已達(dá)到和本國(guó)同等水平，互相將對(duì)方加入本國(guó)的數(shù)據(jù)流動(dòng)“白名單國(guó)家”，允許數(shù)據(jù)在本國(guó)和對(duì)方國(guó)之間自由流動(dòng)。日本已經(jīng)和歐盟、英國(guó)相互進(jìn)行了充分性認(rèn)定，這樣做的好處一來(lái)是可以使本國(guó)的電子商務(wù)從業(yè)者可以更方便地進(jìn)入對(duì)方國(guó)家的市場(chǎng)，二來(lái)也可以促進(jìn)本國(guó)數(shù)據(jù)保護(hù)法律體制的完善。據(jù)中國(guó)貿(mào)易報(bào)報(bào)道，截至2020年初，來(lái)自不同國(guó)家的18個(gè)監(jiān)管機(jī)構(gòu)發(fā)出444份正式或非正式跨境互助協(xié)議，回應(yīng)率高達(dá)79.5%?？梢?jiàn)，聯(lián)合監(jiān)管已成為數(shù)據(jù)流動(dòng)監(jiān)管的重要發(fā)展趨勢(shì)。我國(guó)在國(guó)際上的影響力日益攀升，對(duì)于愿意與我國(guó)合作，同我國(guó)關(guān)系良好的國(guó)家，我們可以借鑒日本、歐盟的做法，與這些國(guó)家進(jìn)行雙邊數(shù)據(jù)保護(hù)充分性認(rèn)定，采取跨境數(shù)據(jù)監(jiān)管對(duì)等措施，形成數(shù)據(jù)跨境流動(dòng)的信任體系。再次，我國(guó)還可以嘗試加入更多的區(qū)域貿(mào)易協(xié)定。例如我國(guó)現(xiàn)在加入的RCEP協(xié)議，在數(shù)據(jù)跨境流動(dòng)方面，雖然主要還是倡導(dǎo)數(shù)據(jù)在締約國(guó)之間無(wú)障礙自由流動(dòng)，但也賦予締約國(guó)隨時(shí)“叫停權(quán)”，比較適合我國(guó)以監(jiān)管為原則的跨境數(shù)據(jù)管理理念。我國(guó)可以加入如RCEP這樣擁有彈性較大數(shù)據(jù)流動(dòng)規(guī)則的協(xié)議，或者發(fā)起相關(guān)區(qū)域合作，推進(jìn)多邊數(shù)據(jù)跨境流動(dòng)談判，打造聯(lián)合監(jiān)管同盟。

參考文獻(xiàn)：

[1]? 張曉磊.日本跨境數(shù)據(jù)流動(dòng)治理問(wèn)題研究[J].日本學(xué)刊，2020，（4）：85-108.

[2]? 崔靜.歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管的經(jīng)驗(yàn)做法及我國(guó)的策略選擇[J].經(jīng)濟(jì)體制改革，2021，（2）：173-179.

[3]? 范思博.數(shù)據(jù)跨境流動(dòng)中的個(gè)人數(shù)據(jù)保護(hù)[J].電子知識(shí)產(chǎn)權(quán)，2020，（6）：85-97.

[4]? 東條吉純.「WTO協(xié)定による越境データ流通の規(guī)律と限界」.“RIETI Discussion Paper Series”，20-J-011.

[5]? 崔靜.歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管的經(jīng)驗(yàn)做法及我國(guó)的策略選擇[J].經(jīng)濟(jì)體制改革，2021，（2）：173-179.

[6]? 『個(gè)人情報(bào)保護(hù)法ガイドライン』（外國(guó)第三者提供編）[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[7]? 『個(gè)人情報(bào)の保護(hù)に関する法律』（平成15年法律第57號(hào)）[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[8]? 『平成 28 年個(gè)人情報(bào)保護(hù)委員會(huì)規(guī)則第 3 號(hào)』[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[9]? CPTPP Chapter14 ElectronicCommerce[Z/OL].http：//www.mfat.govt.nz/assets/Trans-Pacific-Partnership/Text/14.-Eletronic-Commerce-Chapter.pdf，2021-05-14.

[10]? 『地域的な包括的経済連攜（RCEP）協(xié)定』.https：//www.mofa.go.jp/mofaj/gaiko/fta/j-eacepia/index.html，2021-05-16.

[11]? 『個(gè)人情報(bào)保護(hù)委員會(huì)について』.https：//www.ppc.go.jp/aboutus/commission/，2021-05-16.

[12]? WTO：2020年世界貿(mào)易報(bào)告（附報(bào)告）[Z/OL].https：//www.dx2025.com/archives/111561.html，2021-05-14.

[責(zé)任編輯 曉 群]