个人数据跨境流动
——中日韩合作规制进路探析

2021-11-30 13:23
关键词:个人信息流动跨境

(山东科技大学 文法学院,山东 青岛 266590)

个人数据跨境流动(以下简称“数据跨境流动”)是指任何与个人相关的可识别信息的跨境转移(1)The OECD Privacy Framework, 2013,p.13.尽管有学者认为“信息”和“数据”并不相同,但《OECD隐私框架》与《亚太经合组织隐私框架》中均将“个人数据”(personal date)和“个人信息”(personal information)等同互换而未加区分;另鉴于该问题并非本文探讨主题、也并非需要解决的先决问题,是故,本文在此不作区分。,它为全球带来的经济价值已经超过单纯的货物贸易贡献,[1]但也为个人信息保护(2)对于“个人信息保护”,也被称之为“个人隐私保护”,如美国、APEC等,其本质并无不同。See Erdem Büyüksagis, Towards a transatlantic concept of data privacy, Fordham Intellectual Property Media & Entertainment Law Journal, vol.30, 2019, p.139,150-164.带来了风险和困难。为了在促进数据跨境流动自由化的同时,又能兼顾对个人信息的保护,以欧盟、美国为代表在国际层面分别采取了不同的合作规制进路。我国参与签署的《区域全面经济伙伴关系协定》(RCEP)中也有针对数据跨境流动的专门条款,这是我国就数据跨境流动在国际层面作出的首次立法尝试,但是囿于不同缔约方在电子商务发展以及个人信息保护水平方面差距较大,协定文本没能对跨境规则进行明确和细化。我国拥有庞大的个人数据资源,以收费数字服务、电子商务、ICT产品和服务等为代表的数字经济也在加速发展,与之相关的数据跨境传输就在所难免,我们必须加强对该领域国际规则的探索和实践,以助力数字经济赋能的产业转型升级。中国、日本和韩国都是数据跨境流动规模较大的经济体,三国之间密切的经济交往使得跨境数据流动具有较高的亲密度和相关性,[2]各自国内对个人信息的重视和保护以及对数据出境的相似要求都使得三国之间具备合作的基础。而这种合作可以通过哪种类型的条约以及何种规模来实现,正是我们需要预先着手研究的内容。

一、共同的个人数据出境前提——“同意”

随着云计算、物联网和大数据的出现,经贸活动中对数据跨境传输的需求日益旺盛,中日韩三国近几年都有涉及数据跨境传输的立法举措。三个国家都以征得信息主体同意作为允许向境外第三方提供信息的前提,但是对于告知内容的规定却不尽相同。比如,除了均须告知输出信息类别、使用目的、存储和使用期限、传输时间、传输方式、目的国、接收方情况等以外,韩国还要求明确告知信息主体享有拒绝同意的权利以及拒绝后对信息主体可能造成的不利影响;(3)See Korea’s Personal Information Protection Act, arts.17.2&63.2.日本要求向信息主体告知目的国有关个人信息保护的法律制度、信息接收方拟采取的保护措施以及其他相关情况,以便信息主体决定是否同意;(4)See Japan’s Act on the Protection of Personal Information, art.24.2&3.对于“同意”本身,比如,征求信息主体同意应采用“选择性加入(opt-in)”还是“选择性退出(opt-out)”、是否只有单独作出的同意才被认定为信息主体的许可、不需征得“同意”的例外情形等问题,三个国家的规定并不相同。除了以信息主体同意为出境前提外,根据相关立法草案,中国还规定要对拟出境信息进行安全评估,是否会对信息主体造成损害是评估的一个重要方面,该评估由网络运营者主动向所在地省级网信部门申报,由网信部门出具评估结论。(5)参见《个人信息和重要数据出境安全评估办法》第四条、第七条、第十一条;《个人信息出境安全评估办法(征求意见稿)》第二条、第三条、第十四条。此外,诸如有关“敏感信息”“跨境数据”等特定类型数据的认定和处理规定,也与数据跨境流动相关,但是三国的规定也并不完全相同。

由此可见,中日韩立法对于数据跨境流动的规则大体一致,为了防止个人数据出境后给本国公民造成损害,原则上都以获得信息主体同意为前提,并且都在立法中对后续通过国际合作便利数据跨境传输予以授权,这些都为三国之间创建合作机制提供了法律上的可能性。但突出的问题是,技术性的细节差异较多。“魔鬼隐藏在细节中”,大量的、细微的规则差异也足以构成不同法域间数据流动的制度藩篱,如果一个企业要向位于另外两个国家境内的客户传输必要的个人数据,就必须对这些立法中所谓的“细枝末节”洞若观火,通常做法是委托专业律师团队作合规培训和把关,但这无疑会大大增加企业的运营成本。如果隐私保护制度的执行成本过高,企业可能会选择想方设法规避数据保护义务,而不是采取合规行为。

二、中日韩合作规制条约类型选择

目前涉及到数据跨境流动的国际规则有两类:一类是内含电子商务或者数字贸易条款的自由贸易协定,其中WTO下的《服务贸易总协定》(GATS)以及新近签署的RCEP可以适用于中日韩三国,此外中韩之间还有《中国韩国自由贸易协定》;另一类是就数据跨境流动中的个人信息保护事项专门建立的合作机制,我国尚未签署此类专门性条约,日本和韩国均为亚太经合组织隐私框架(APEC Privacy Framework,以下简称“APEC隐私框架”)的缔约国。下文将从这几项条约着手,对中日韩三国在合作时可以选择的条约类型予以考察分析。

(一)WTO与RCEP对数据跨境流动的规制

以互联网为媒介的跨境经贸往来规模日益庞大,无论是自由贸易协定中的集大成者WTO还是“新秀”RCEP,都试图对跨境电子商务进行规制,其中就涉及成员方国内的数据跨境流动措施。但是由于多边贸易谈判的成果最终只锁定在有限的商贸领域,所以对缔约方来说,并不是其所有的商贸数据出境措施都受到贸易协定的规制。并且RCEP和GATS都允许成员方就服务部门以及服务提供方式作出具体承诺,以作为其各自的义务范围,因此只有涉及这些承诺范围的国内措施才受条约约束,当跨境传输数据本身就构成服务贸易模式——“跨境提供”时,成员方有关数据跨境传输的国内法措施就会影响其对“市场准入”承诺的遵守。由于不同的产业发展现状和国内需求,一个国家会就不同部门或者同一部门中不同服务提供方式的“市场准入”作出不同承诺,也就意味着都是数据跨境传输行为,但是由于分属不同的服务贸易门类,输出国需要采取不同的规制措施,这显然是不合理的。并且GATS和RCEP服务贸易的承诺表都采取了传统的服务部门划分方法,(6)GATS目前采用的是1991年版的《联合国核心产品分类》(United Nations Provisional Central Product Classification)。使得一些大量参与数据跨境传输的新兴产业,比如社交网络、网络游戏、网络通讯工具等,无法被准确、无争议地归入到某一具体部门,进而无法确定成员方对该类网络平台的数据跨境传输有权采取的规制措施。

其次,就具体的数据传输规则来看,WTO目前尚无专门条款规定,各国可以自行维持和制订数据出境的国内规则,只要不违反其在GATS下的义务即可,特定情况下允许成员方为了保护个人隐私而背离GATS的义务;(7)See GATS art.XIV.c(ii).但是例外条款中的“个人数据”“处理”“隐私”等语汇缺乏具体规定和实践,并且就WTO案例中援引“例外条款”的逻辑来看,成员方应该是以保护个人隐私为由限制本国数据出境,这对加强该成员作为数据输入国、保护来自于他国国民个人信息作用十分有限。不同于WTO,RCEP中有专门的“电子商务”章节,内设数据跨境流动条款,但是该条款仍然将设置具体规则的权力交给了成员方,对于成员方的义务仅作了以下概括性规定:不得阻碍协定所涵盖领域中的电子数据跨境传输,(8)See RCEP art.12.15.1&2.努力避免对电子交易施加不必要的负担,(9)See RCEP art.12.10.2.尽可能通过合作保护来自于其他成员方境内的个人信息等。(10)See RCEP art.12.8.5.所以,尽管有数据跨境流动条款,但RCEP下各国对数据出境仍然是维持各自不同的程序或实体性要求,如前文所述,这些差异化的要求会为企业增加负担,成为数据跨境流动的制度性壁垒。

综上,这两个贸易协定都不能为中日韩之间的数据跨境流动提供一个统一的、足够具体的规则,无法消弭此领域三个国家国内法的差异,对来自于其他缔约方的个人信息是否能够在接收国得到有效保护,也都没有给予足够关注。

(二)APEC隐私框架

APEC隐私框架是专门针对数据跨境流动以及其中的个人信息保护而制订的一套多边合作机制,它明确了个人隐私保护的原则,除了可以适用于贸易中的数据跨境流动外,还可以适用于包括投资在内的其他经济领域、以及社会领域的数据跨境流动,它将加强有效隐私保护和促进信息自由流动作为共同目标,避免隐私保护成为信息流动的障碍。[3]“跨境隐私执行安排”(APEC Cross-border Privacy Enforcement Arrangement, CPEA)和“跨境隐私规则体系”(APEC Cross-Border Privacy Rules system,CBPR)分别是该“框架”下两个具体实施机制,CPEA建立了成员方之间的跨境隐私保护合作机制,CBPR则为成员方境内所属机构的个人信息跨境传输制订了行为标准,以及第三方评估认证程序。加入CBPR的前提是某一APEC成员国的个人隐私保护部门应先加入CPEA——日本个人信息保护委员会(Personal Information Protection Commission of Japan)、韩国内政部、韩国通讯委员会(Korea Communications Commission)均是CPEA的成员,成员之间可以自愿就分享信息、跨境调查和执法、跨境投诉处理等事项按照特定程序请求协助。CPEA中还规定了与非成员方的合作,也就是说,虽然我国工信部并非CPEA的成员,中日韩之间的跨境隐私保护合作仍然可以CPEA为依据,但是除了要求在“职责权限内”“尽力合作”外,它对与非成员的合作程序、具体事项等语焉不详。(11)See APEC Cross-border Privacy Enforcement Arrangement, art.9.4&5.即便是成员之间,CPEA也允许一方基于违反国内法规或政策、能力或资源不足、与其利益不相符等原因拒绝其他成员的合作请求。(12)See APEC Cross-border Privacy Enforcement Arrangement, art.7.1.

CBPR是一种“以组织机构为基础(organizationally-based)”的数据跨境传输合作机制,各缔约方可以指定其国内的特定机构作为CBPR下问责机制的责任代理人(Accountability Agent),责任代理人负责对本国企业是否符合APEC隐私框架进行评估,通过认证的企业据此更容易获得合作伙伴、消费者或者政府机构的信赖,比如有的国家规定向获得此类认证的企业传输数据时,可免于征求信息主体同意,因此,该机制的设计确实有利于加强隐私保护和促进信息自由流动双重目标的实现。这种认证是基于企业的自愿申请,由于CBPR并不要求成员方修改国内法,而只是在成员方国内缺乏个人信息保护的规定时,提供一个最低保护标准,[4]所以责任代理人可以自行确定符合APEC隐私框架九大原则的评估标准,给予申请人认证,但是,即便获得了认证,企业仍然要遵守不同成员国不同的数据跨境传输国内法,因为CBPR无意替代或者修改成员方的国内法。日本和韩国都参加了该体系,并各自拥有一个CBPR责任代理人,(13)指定的责任代理人分别是日本信息经济社会推进协会(JIPDEC)和韩国互联网振兴院(KISA)。但是责任代理人数量太少可能会使得认证价格过高,从而不利于企业,尤其是中小企业参与该体系的认证,[5]从目前情况来看,韩国和日本参与该认证体系的企业并不多。(14)日本有四家企业经由JIPDEC做了CBPR认证,其中Intasect公司就与其在中国子公司之间的签证服务作了认证。韩国尚未有企业进行CBPR 认证。http:∥cbprs.org/compliance-directory/cbpr-system/,最后访问时间: 2021年2月27日。

(三)自由贸易协定vs.专门性的国际条约

通过以上分析可以看出,APEC隐私框架较WTO和RCEP更有利于促进数据自由流动和隐私保护,它针对性更强,规则设计更丰富,数据自由流动和隐私保护平衡的预设目标也更容易实现。无论WTO还是RCEP,作为经贸类协定,其目的和宗旨决定了在体例安排、规则拟定上,均以经济贸易自由化的实现为重心,其依据货物贸易、服务贸易、国际投资等调整对象不同来进行规则设计,契合不同种类经贸活动的特点,但是却可能造成对相同数据传输行为的不合理分类。虽然意识到保护个人隐私的需要,但是较为笼统的规定却可能因为给成员方留下较大立法空间,从而为贸易主体带来更大不确定性,这些问题在中韩自贸协定的“电子商务”章也同样存在。(15)参见《中国-韩国自由贸易协定》第13条和第10.3条。自贸协定的本质属性决定了它是以推进贸易自由化、促进成员经济增长为目的,它没有为成员方设定保护个人信息和隐私的义务及权限。因此,中日韩之间数据跨境流动的规则不应依附于贸易协定之下,贸易协定不能很好地完成这项任务。APEC隐私框架作为针对性更强的合作机制,可以更好地实现数据自由流动和隐私保护,但与贸易协定相比,它又缺乏较强的拘束力。由美国主导制订的隐私保护机制,APEC呈现出与美国国内宽松、碎片化的个人信息保护机制一脉相承的特点:CPEA中允许一个成员方拒绝其他成员的合作请求,理由可以是违反国内法规或政策、能力或资源不足、与其利益不相符等;(16)See APEC Cross-border Privacy Enforcement Arrangement, art.7.1.CBPR是一种自愿机制,企业自愿申请认证,缔约方也没有为了该机制修改国内法的义务。这些意味着,即便中国加入该框架,中日韩三国仍然可以各自维持对数据出境前“个人同意”的相关规定,那么为数据流动消除制度藩篱的合作初衷也就无法实现。

综上,目前中日韩共同参加的国际机制均不能满足三国之间数据跨境流动的需求,三国之间需要以便利数据流动和促进信息保护为目的,在贸易合作框架外构建专门的、有较强拘束力的国际合作机制,同时需要注意由此产生的不同类型条约的交叉适用。

三、中日韩合作规制模式选择

目前对数据跨境流动的国际合作规制存在“以组织机构为基础”和“以地域为基础(geographically-based)”两种模式,前者以美国及其主导的APEC隐私保护机制为代表,上文已略有介绍;后者以欧盟《通用数据保护条例》(GDPR)中的“白名单”机制为代表,即由欧盟委员会对其他国家和地区的个人信息保护水平进行综合评估,如果认为其能够对来自欧盟的个人信息给予充分保护,那么该国家或者地区就可列入“白名单”中,信息跨境传输时不再需要征得信息主体同意等其他程序。

(一)“以组织机构为基础”vs.“以地域为基础”

三个国家中目前只有日本既是APEC隐私保护框架的缔约方,又通过了欧盟的“白名单”认定,它在国内法中引入了部分条款与之衔接,我们在此便以日本国内法的相关规定为例来分析。

日本的《个人信息保护法》规定,如果位于第三国的数据接收方收到个人数据后,拟采取的保护措施符合日本个人信息保护委员会的标准,或者该第三国能够提供与日本同等水平的个人信息保护,则输出方无需在信息跨境传输前征求信息主体同意。其中个人信息保护委员会的标准是指:(1)个人数据出口商和进口商能够通过提供合同或备忘录、企业内部规范、相关证明文件等做法,满足日本《个人信息保护法》中对处理个人信息的要求;或者(2)数据进口商获得关于个人信息保护的国际认证(如CBPR认证)。(17)Japan’s Act on the Protection of Personal Information, art.24.该标准就是以企业等组织机构为基础的数据跨境传输规制模式的体现,接收数据的企业需主动采取措施来实现合规操作。无论是申请CBPR认证,还是企业根据自身情况,如业务范围、数据类别、数据规模、传输方式和用途等,来逐一拟定合同文本和内部规章等文件,都会大大增加经营者的运营成本,对中小型企业来说更是如此。况且,目前各国在此领域的立法实践尚处于初期,对未知风险的预测、对立法的规划以及法律规范的表达等都有待完善,于是,这种不成熟的立法阶段就会出现频繁的法律修订,着眼于风险控制的强行性、命令性规范条款会首当其冲,有关数据出境的规定即属此类,这种法律的频繁变动使得参与数据跨境传输企业的负担在原有基础上更重了。因此,不若采纳日本《个人信息保护法》衔接条款中的后一种规定情形:由司职个人信息保护的公权力机构通过预先评估,作出“白名单”认定,来对他国加以甄别。尽管这一任务量较为庞大,但政府机构的一次性投入可以省去企业分别合规的时间和经济成本。

“以组织机构为基础”的规制模式,来源于美国国内的个人信息保护制度,根植于其自由市场的文化,人们普遍不太信赖大政府和权威,倾向于鼓励依赖市场的自行运作,这与我们东亚三国的法律文化传统并不一致。尤其在中国,对于作为信息主体的个人来说,与其寄希望于网络服务运营商对自己的保护措施,不如相信公权力主导下建立的信息监管和保护体系,更遑论与美国相比,目前东亚地区有能力对企业个人信息保护体系进行评估认证、有影响力的商业机构非常有限,评估主体数量的欠缺也制约着选择“以组织机构为基础”的模式。另外,根据我国的出境前信息安全评估制度,信息主体遭受损害的可能性与程度,与对国家安全和公共利益的影响一样,共同归属于出境前信息安全评估的事项,这种信息安全评估将来不大可能完全交由市场主体决定。因此,无论从法治文化还是市场的现状和未来判断,中日韩三国的合作都不宜选择“以组织机构为基础”作为主要的合作模式。

(二)“以地域为基础”模式的可行性

1.存在国内法中的授权条款

如前所述,日本在立法和国际实践中都已明确可以采取“以地域为基础”的合作规制模式。韩国目前虽然还没有作出如日本《个人信息保护法》第5条那样的明确规定,但是在《韩国个人信息保护法》《信息通信网络的利用和信息保护等相关法》(以下简称《网络法》)中都有与他国就数据传输合作的规定,尤其是自2018年开始,已经有提案要求修订《网络法》第63条,加入“充分或同等数据保护标准”,[6]随着韩国寻求欧盟委员会“白名单”的认定,未来极有可能作出相关修订。我国在《个人信息出境安全评估办法(征求意见稿)》中也为参加这种合作规制路径提供了法律依据,规定与其他国家、地区签署有关于数据出境协议的,按照协议规定执行,(18)《个人信息出境安全评估办法(征求意见稿)》第十五条。《个人数据保护法(草案)》更明确了要展开与其他国家的合作和规则互认。(19)《个人数据保护法(草案)》第十二条。以上这些授权条款(或可预期的授权条款)为三国选取“以地域为基础”的合作模式分别提供了国内法依据。

2.具备“充分性认定”的基础

“以地域为基础”的合作模式是要通过对另一国家的数据保护作出“充分性认定”,使个人数据能够安全、自由地流向第三国,而无须数据传输者提供进一步的保障措施或申请任何授权,[7]它要考虑的是第三国的法律体制能否为本国国民的个人信息提供对等有效的保护。目前三国中只有日本发布了“充分性认定”的评估标准,就核心考量要素来看,采取了与欧盟相同的做法,即分别从立法、执法、司法三个角度予以评估,[8]这一方法极有可能以后为中国和韩国所借鉴。日本目前缺少相关实践,从欧盟委员会对GDPR下“白名单”认定的实践来看,它并不要求输入国与欧盟对个人信息保护采取完全一致的法律规定,只要输入国的法律法规能够有效防止对信息主体的侵害——包括可能来自于公权力机构的侵害;同时,还应有专门负责个人信息保护的机构来监督和执行这类法律,当权利人被侵害时,能够通过法律规定的行政和司法程序获得相应救济。所以,尽管日本在个人信息保护方面的立法并没有达到如GDPR般严格,但是由于“充分性认定”是对一个国家整体保护水平的评估,所以它依然获得了GDPR第45条中的“充分性认定”。韩国的个人信息保护立法整体较日本更为严格,[9]个人信息保护委员会作为专门机构,负责该领域法律的制订与执行,还有互联网与安全局、通信委员会等机构予以配合实施,韩国还加入了APEC隐私保护框架这一国际机制,以上这些已经满足了GDPR中明确规定的考量要求,(20)See GDPR, art.45(2).它大概率应该会获得欧盟的“白名单”资格,(21)2021年3月30日,欧盟委员会宣布与韩国就“充分性认定”谈判圆满完成,争取在未几个月内通过“充分性认定”决定。https:∥ec.europa.eu/commission/presscorner/detail/en/statement_21_1506,最后访问时间:2021年6月12日。这就意味着韩国能够给予入境后的个人信息以充分保护。我国已有不同部门和层级立法规定了要保护个人信息,《民法典》将自然人的个人信息受法律保护规定在人格权下,受到损害的个人可以依据《消费者权益保护法》和《侵权责任法》提起民事诉讼,构成犯罪的还可以依据2015年《刑法修正案(九)》增设的侵犯公民个人信息罪,对犯罪人或者单位追究刑事责任。在行政法领域,《网络安全法》对个人网络信息保护作出统一规定,另有《电信和互联网用户个人信息保护规定》《儿童个人信息网络保护规定》《个人信息出境安全评估办法(征求意见稿)》等多项部门规章予以细化,主要以工业和信息化部门为主,另有公安部、市场监督管理局等国务院其他部门负责监督实施对个人网络信息的保护。随着《个人信息保护法(草案)》进入第二次审议,我国第一部个人信息保护单项立法出台加速,个人信息将会得到更加完善、全面、系统的法律保护。

通过上文的分析,可以看出日本和韩国均能够为信息主体提供充分有效的保护,我国正行驶在个人信息保护的立法快速路上,个人对该问题的敏感度、舆论的关注度和政府的关切度都在持续升温,这些必将促使更有力的保护措施出台。以近几年的立法趋势看,三国都着力继续提高保护水平,这也就意味着采取“以地域为基础”合作模式的现实可行性不断强化。

四、中日韩合作规制机制下中国的关键措施

综上所述,对于中国、日本和韩国之间的个人数据跨境流动,宜采取独立于贸易协定之外的专门性合作规制机制,该机制应主要采取“以地域为基础”的模式来设计,该路径的实施需要中国在以下方面作出准备。

(一)加强对公权力机构的法律约束

在进行“充分性认定”时,一国已经加入的个人数据保护国际机制会是其重要加分项,目前最主要的国际合作机制是APEC隐私框架和欧盟主导的“白名单”机制,且欧盟作为对个人数据保护立法最严的地区,它的背书大可代表对日韩保护水平的评价。我国目前尚未参加在该领域的任何国际合作机制,我们的个人信息保护水平是否能获得日韩的“充分性认定”,这是能否选择“以地域为基础”的合作模式之关键。如前所述,中国已经行驶在个人信息保护的立法快速路上,尤其加强了对网络运营商、服务商等商业活动主体侵犯个人信息行为的立法和监管,但是对于公权力机构的约束却尚未引起足够重视,(22)参见王秀哲:《大数据时代公共安全领域个人信息保护的政府责任》,载《理论探讨》2017年第4期,第54-55页。就《个人信息保护法(草案)》来看,比如,第三十四条是对国家机关履行法定职责处理个人信息的规范化要求,但只笼统规定“应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”在评估一国的保护水平时,这将是非常重要的一个方面。欧盟法院在“Schrems II”案中废止了“欧盟-美国隐私盾”机制,主要原因即在于此。[10]尤其是当信息权不能被确认为一项宪法性权利时,被侵害的信息主体只能获得私法上的救济,这与日本、韩国的个人信息保护制度不同,它可能会被质疑面对公权力的损害,信息主体得到的司法救济和保护不够。[11]在暂时不能将信息权纳入宪法性权利获得更有力的保障之前,用立法规定明确限定公权力的行使范围就显得更为必要。公权力机构为了提供社会服务和国家安全,不可避免需要采集和处理个人数据,其间可能会产生公共安全权力行使与个人信息隐私权的冲突,尤其身处后疫情时代这一特殊时期,要实现二者平衡更为困难。可以选择与日韩往来比较密切的山东半岛作小范围的尝试,依托自贸区“先行先试”的政策,在山东省自贸区内进行立法实验,对公权力机关及其授权的其他机构在获取、使用和披露个人信息时,通过立法明确其授权条件、范围和程序,探索共享公益和个人权益平衡的边界,在评估该区域立法实践中的得失后制订全国通行的法律文本。

(二)确定“充分性认定”的合理范围

采取“以地域为基础”的合作规制模式,以中日韩三国对彼此数据保护水平予以认可为前提,进而缔结充分性认定协议。但是这种认可是对一国整体保护水平的认可,并不意味着我国所有的保护措施在日韩国内法中都存在。我国是三个国家中数据资源最丰富者,这种模式由于认可了国家间差异化的立法从而便利了数据流动,但这些差异化措施的客观存在却可能会为信息主体带来域外风险,所以需要预先评估哪些措施会增加域外风险,在缔结“充分性认定”协议时将其排除。比如,有关向第三国转移信息的规定——假定来自中国的数据在日本进行处理后,又转移给位于日韩以外的第三国数据接收方,根据日本《个人信息保护法》第二十四条,如果存在经认可的有约束力的公司规则(Binding Corporate Rules)或者标准合同条款(Standard Contractual Clauses),就不需要征得信息主体的同意。但在我国,这种情况下仍然须征得信息主体同意才可以传输,这样就会增加中国信息主体在日韩以外第三国遭受损害的风险。对此,中方可以在谈判时提出,对来自中国的数据向日韩以外第三国转移时仍须征得信息主体同意,该提议在得到日韩同意后,规定在“充分性认定”的补充协议中,对方据此调整特定国内法律条款对来自中国信息的适用。(23)See Japan Supplementary Rules under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU based on an Adequacy Decision.除此之外,可能还会有其他的差异性规定,这就要求我们预先对日韩与我国的个人信息保护立法进行全面、深入比对,发现和评估这些措施的效果和风险,以保护信息主体所必要为前提,增加合作的可能性和包容性。另外,由于一国对个人信息保护的情况可能是动态变化、发展不均衡的,所以“充分性认定”应该以3-4年为一个周期进行复审,(24)日本法律规定有关个人信息保护的法律应该3年审查修订一次,See Act on Partial Revision of the Act on the Protection of Personal Information and Act on the Use of Numbers to Identify a Specific Individuals in the Administrative Procedures,art.12;该期限的设计也参考了欧盟GDPR中对审核周期的规定,参见 GDPR,art.45(3).对于不能够提供充分保护的区域、产业部门,可以排除在数据自由流动范围之外。

(三)实现与中日韩自贸协定的兼容

中日韩自由贸易协定谈判自2012年开始启动,其间中韩于2015年签署了双边自贸协定,随着RCEP谈判成功,中日韩自贸协定就有了更好的商谈基础。作为RCEP升级版的中日韩自贸协定,其中必然有涉及数据跨境传输的条款,在商谈时需要注意与三国之间“充分性认定”协议的兼容与协调,尤其当自贸协定谈判先于“充分性认定”协议达成时,应在自贸协定谈判文本中预留空间。比如考虑到并不是所有领域的数据跨境传输都会被将来的“充分性认定”协议所囊括,那么这些“协议外的领域”应该和自贸协定中的例外部门和行业相一致,比如服务贸易中的金融、电信、医疗健康、涉及地理位置的服务等;在数据可能构成一种“投资”时,[12]“充分性认定”协议排除的商务领域也应与中国所列的负面清单相一致。此外,某些既定的文本条款也应该摒弃,比如关于数据传输的条款不能再沿袭类似RCEP的文本,认可缔约方在数据跨境传输事宜上的不同监管标准;(25)See RCEP, art.15.1.由于电子商务并不被认为是独立于货物和服务的贸易形式,所以,“电子商务”章中往往规定“服务贸易”和“投资”章节的规定优先适用,(26)参见《中国韩国自由贸易协定》第 13.2 条; See RCEP, art.12.3.5.如此一来,只在“电子商务”中规定缔约方遵守“充分性认定”协议的义务,便有可能会减损该协议的效力。以上两个问题的解决,可以通过在中日韩自贸协定序言“与其他条约的关系”中,对“充分性认定”协定的适用加以规定来实现。

五、结语

伴随RCEP的成功签署,诞生了第一个可以在中日韩之间适用的区域性贸易协定,其中的数据跨境传输条款亦是首创,但由于谈判方众多、国内电子商务发展和对个人信息保护水平差异较大,最终条款并不能完全满足中日韩之间的数字经济交流需求,三国之间需要建立更为开放和具体的数据跨境流动合作规制机制。该机制不宜附属于未来的中日韩自由贸易协定之下,而应该单独成立和存在,可以采纳“以地域为基础”的合作模式,通过对彼此国内个人信息保护水平的评估,签署“充分性认定”协议,在特定商贸领域实现数据的跨境自由传输。为了该机制的成功建立,我们还需要注意防范对信息主体可能造成的域外损害,提升国内的保护水平,注意与中日韩自贸协定谈判的兼容和协调。

猜你喜欢
个人信息流动跨境
个人信息保护进入“法时代”
敏感个人信息保护:我国《个人信息保护法》的重要内容
流动的画
主题语境九:个人信息(1)
跨境支付两大主流渠道对比谈
民法典应进一步完善侵害个人信息责任规定
在跨境支付中打造银企直联
跨境外币清算:从“走出去”到“连起来”
关于促进跨境投融资便利化的几点思考