RCEP,个人数据跨境流动保护与中国的应对路径

吴琦玮

（上海政法学院 国际法学院，上海 201701）

近年来，我国不断加强数字经济合作，并于2019年签署了《大阪数字经济宣言》，将海南自由贸易港作为该宣言内容落实的重点区域，表明了我国想要逐步开放数据市场，促进个人数据跨境流动与数字经济合作的决心。《区域全面经济伙伴关系协定》（RECP）于2020 年11 月15 日正式签署，RECP 对个人数据跨境流动做出了新的规定。

随着社会经济的发展，世界各个国家之间的个人数据跨境流动日益频繁，数字经济活动日益增加，但个人数据跨境流动泄露的风险也逐渐提高。因此，平衡推进个人数据跨境流动的自由化与加大对个人数据跨境流动的保护力度之间的关系是个人数据保护的一个重要议题。《中华人民共和国个人信息保护法》（简称《个人信息保护法》）明确载有关于个人数据跨境流动的保护的规定。RECP 于2020 年11 月15 日正式签署，我国在RCEP 下应对个人数据跨境流动的风险成为重要问题。

在现有的个人数据跨境流动规制的制定及实践中，始终缺乏一个对于“个人数据跨境流动”的清晰定义。即使是在各种各样的框架、法律和规制条文当中，也难以找到一个统一的明确描述。

（一）个人数据跨境流动的概念

目前世界上对此没有统一的定义。“个人数据跨境流动”（transborder flows of personal data）这一概念由OECD 首先在《指南》（1980）中提出，“个人数据跨境流动”即是指“个人数据的移动跨越了国家边界”。具体而言，数据的流动可以通过电缆或卫星以电子方式即时进行，也可以通过人工传送磁带、磁盘、卡片或类似媒介来进行，速度较慢。个人数据跨境流动的本质是以机器可读的形式传输信息。

由于个人数据具有人格和财产的双重属性，对个人数据跨境流动进行立法监管的价值也体现在两个方面。个人数据的人格属性体现为即使个人数据离开了数据主体国家主权的保护范围，也应存在适当的国际法为其权利提供保护和救济；
而个人数据的财产属性决定了跨境数据流动制度应尽可能减少和去除阻碍数据自由流动的因素，避免国家以保护人权为借口限制自由贸易的发展。[1]

（二）个人数据跨境流动保护的必要性

在个人数据的跨境流动中，由于各国政治、经济、发展水平上的巨大差异，个人数据的跨境流动风险会因为一国对个人数据的保护水平低而有所上升，从而造成个人数据的泄露，主要体现为以下两个方面。

第一，在有隐私和数据保护控制的国家从事个人数据处理的组织，可能会寻求将其业务转移到没有保护法律的国家，从而逃避其母国的立法政策的规制。第二，为了阻止数据处理者将其业务转移到其他地区，各国将数据转移到其领土以外实施管制，例如颁发出口许可证，这将危及个人数据的自由流动。[2]

在这种情形下，来源于个人数据保护水平高的国家的个人数据一旦流入个人数据保护水平低的国家，就无法得到有效保护，从而不利于国际数字经济的合作与交流，因此，从国际法层面上对个人数据跨境流动进行保护确有必要。

RCEP 关于个人数据跨境流动保护的条款主要为第十二章“电子商务”，其中第八条和第十条对个人数据跨境流动的保护作出了规定。

（一）线上信息保护

1.要求各缔约方具有国内数据法律体系

RCEP 要求每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架，即要求各缔约方具有能保障电子商务用户个人信息安全的国内数据法律体系。我国在RCEP 生效前已通过《个人信息保护法》与《中华人民共和国数据安全法》（简称“《数据安全法》”），为RCEP 更好地发挥作用做好了准备。

2.规定各缔约方国内数据法律所规定的最低保护标准

RCEP 要求各缔约方在制定保护个人信息的法律框架时，应当考虑相关国际组织或机构的国际标准、原则、指南和准则。该款对各缔约方国内数据法律所规定的保护标准作出了要求。

3.要求各缔约方普及国内数据法律

RCEP 要求每一缔约方应当公布其向电子商务用户提供个人信息保护的相关信息，包括两个方面，即个人如何寻求救济，以及企业如何遵守任何法律要求。

4.鼓励各缔约方境内的法人对个人数据的相关保护政策和程序透明化

RCEP 要求各缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序。该款规定要求各缔约方境内的法人自主制定内部的、与个人信息保护相关的政策和程序，以便个人寻求救济方式。但是，该规定较为原则性，其具体实施主要还是依赖于各缔约方国内的相关规定。

5.各缔约方个人数据跨境流动保护的合作

RCEP 要求各缔约方应当在可能的范围内合作，以保护从一缔约方转移来的个人信息。

（二）国内监管体系

RCEP 既要求各缔约方在适用于电子商务的国际公约和示范法基础上，如《联合国国际贸易法委员会电子商务示范法（1996）》、2005 年11 月23 日订于纽约的《联合国国际合同使用电子通信公约》，采取或维持监管电子交易的法律框架，又要求各缔约方采取的监管电子交易的法律框架不能阻碍个人数据跨境流动。

（三）RCEP 的数据跨境流动保护条款对我国的影响

RCEP 以原则性规定为主，对个人数据保护力度比较弱。RCEP 的个人数据跨境流动保护条款采取自愿适用的原则。

欧盟具有代表性的规制个人数据跨境流动的法律体系，以通用数据保护条例（General Data Protection Regulation，以下简称GDPR）为代表性文件，对它的内容和规制原因进行分析，有利于我国个人数据跨境流动保护规则的发展，并制定出我国在这一国际环境下的符合我国国情的关于跨境数据流动的应对方案。

（一）欧盟个人数据跨境流动规制体系内容

GDPR 为平衡国家之间、国家与地区之间或地区与地区之间的个人数据跨境流动保护水平，主要规定了以下两方面的内容。

1.限制第三国、第三国境内地区与欧盟之间的个人数据跨境流动

GDPR 第45 条对充分性认定作出了规定，其对欧盟以外的国家和地区的个人数据保护法律体系提出了要求，只有当立法情况、监管机构设立情况以及是否参加包含个人数据保护内容的国际公约或作出相关承诺这三方面满足欧盟标准，与欧盟保护水平基本相同的情况下，才被认为提供了充分保护，欧盟才允许其成员国将公民个人数据传输至该国或该地区。但是，因为各国个人数据法律体系的发展差异，GDPR 并没有明确认定充分性的统一具体标准和方法。

2.严格的个人数据跨境流动监管体系

GDPR 设专章规定了个人数据的监管机制，并且首次规定了以下三个新的内容。

第一，GDPR 首次规定了“单套规制”，“单套规制”是指GDPR 将直接适用于欧盟各成员国，无需各成员国单独批准。[3]因此，其直接避免了因各成员国国内数据法律规制不同而导致侵害欧盟公民个人数据权益的情况，强调了欧盟致力于从整体层面进行跨境数据流动治理的决心，促使了各成员国的数据监管机构之间的互相配合与协助。

第二，GDPR 首次在监管环节引入了“一站式服务机制”，设立了领导监管机构。“一站式服务机制”指当与在多个不同欧盟成员国都开设有分公司的企业有关联的个人数据在不同的成员国接受处理时，将会有一个单独的监督机构对全欧盟范围内所有与之相关的数据控制方与数据处理方进行全过程监察。[4]这个监督机构通常应该是该公司总部所在成员国的数据保护机构，而这个执行一站式服务机制的监督机构在GDPR 中被称作领导监管机构。

第三，GDPR 极大提升了救济方式和惩罚力度，数据监管机构有权对违反GDPR 的企业作出几十万至几百万欧元的罚款决定。这极具开创性意义，加大惩罚力度可以真正促使欧盟各成员国的企业遵守GDPR 的相关规定，从而有效遏制侵害欧盟公民个人数据权益的情况发生。

（二）GDPR 对中国在RCEP 背景下的应对路径的启示

GDPR 的立法经验对中国在RCEP 背景下完善个人数据跨境流动保护的应对路径主要有以下三方面的启示。

1.与RCEP 其他缔约方确立具体的个人数据跨境流动保护办法

如前所述，RCEP 多为原则性规定，通过与RCEP其他缔约方签订双边协议，确立具体的个人数据跨境流动的保护办法很有必要，但是，考虑到缔约方的国内数据法律体系的发展，经济发展状况等方面差异较大，其条款的严格程度不应与GDPR 相同，不然会给各缔约方施加过大的负担。

2.制定个人数据跨境流动的保护标准

个人数据跨境流动的主要争议点在于如何平衡个人数据跨境流动的自由化与个人数据跨境流动保护之间的关系，制定个人数据跨境流动的保护标准能够解决这一问题。RCEP 缔约方的国内数据法的发展水平差距较大，要做到完全统一是非常困难的，所以保护标准应以不损害任一缔约方公民的个人数据权益为底线。在制定具体标准时，可以通过制定一些配套的保障措施，如标准数据保护条款、标准合同条款等来弥补跨境数据传输目的地缺少的对个人数据的保护规定。

3.设立个人数据跨境流动的专门监管机构

RCEP 对个人数据跨境流动的监管多依赖于各缔约方国内的法律框架，设立一个独立于各缔约方的专门监管机构很有必要。

如前文所述，如何在RCEP 的基础上在加强跨境数据流动的同时又有效地维护国家安全、降低数据流动的风险，成为了我国在RCEP 生效背景下的一个新议题。针对此问题，提出以下几方面应对路径。

（一）完善关于个人数据跨境流动监管的立法

RCEP 主要依赖于各成员国国内个人数据跨境流动监管机制，因此，《个人信息保护法》应声出台，其中明确载有允许个人数据跨境流动的规定，该条款对个人数据境外接收方数据保护能力的最低标准进行了明确规定，要求不低于《个人信息保护法》所规定的数据保护能力，但是个人数据境外接收方的数据保护能力是否符合标准要求个人信息处理者自行判断，并采取措施以保障个人数据境外接收方的数据保护能力符合标准。然而，《个人信息保护法》没有对个人数据境外接收方的数据保护能力具体评估方案作出规定。因此，为解决上述问题，我国可以对符合我国个人数据跨境流动安全评估的国家或国际组织予以认证，并作出充分保护决定。

《数据安全法》也明确提出要对数据进行分级分类管理，其中就涉及到了个人数据。数据分级分类管理制度是平衡个人数据跨境流动自由化与对个人数据跨境流动保护之间关系的一个可行解决方案，其可以促进个人数据流动到境外，同时又限制敏感的个人数据的跨境流动。对于数据分类标准，可以将个人数据划分为一般数据和敏感数据，再分别对其进行管理，从而能在促进个人数据跨境流动自由化的同时，又保护我国公民的个人数据权益。

此外，完善与上述立法相配套的《个人信息出境安全评估办法》《关键信息基础设施安全保护条例》《数据安全管理办法》等规范也十分重要，通过设置安全评估、例外事项、标准合同等多元数据出境途径，使得《个人信息保护法》以及《数据安全法》能真正发挥其作用，从而有效平衡个人数据跨境流动的自由化与加大对个人数据跨境流动保护力度之间的关系。

（二）设立数据跨境流动的专门监管机构

RCEP下个人数据跨境流动的合作以独立数据监管机构作为各成员方的代表进行展开。我国可以与RCEP 的其他缔约方通过信息交换、签署双边协定等方式，尽可能一致地解决个人数据跨境流动的监管问题。这将有助于确保各国政府在个人数据跨境流动监管过程中，不会采取重复或相互冲突的措施。

（三）推进行业自律制度建设

我国不断完善发展的个人数据保护法律体系提高了企业的合规要求，产生了建设行业自律制度的需求。由于企业掌握大量的用户数据，相关部门应要求企业深入了解关于个人数据保护及个人数据跨境流动的要求的规定，并在日常运营中对其予以严格落实，对于其中的一些原则性的规定，可以将其通过企业规章制度等方式予以具体落实。此外，为防止个人数据被滥用、失窃、非法交易等行为的发生，在行业自律制度中，还可以规定一定的惩罚性赔偿措施。[5]

大数据技术在日常生活中的使用越来越频繁，个人数据跨境流动的可能性也不断增大。RCEP 是我国首次签署载有允许个人数据跨境流动的区域性文件，在这一新形势下，我国如何应对随之而来的个人数据跨境流动过程中的潜在的隐私安全风险，成为了一个迄待研究的重大问题。对此，本文提出了三条应对路径，分别为完善国内关于个人数据跨境流动监管的立法、设立数据跨境流动的专门监管机构以及推进行业自律制度建设。从而构建一个更专业、更系统化、更全面的、符合数字经济全球化发展趋势的个人信息保护法律体系。

猜你喜欢 缔约方数据保护个人信息 防范电信网络诈骗要做好个人信息保护公民与法治(2022年10期)2022-10-12个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01主题语境九：个人信息（1）疯狂英语·爱英语(2020年9期)2020-01-07——戴尔易安信数据保护解决方案">数据保护护航IT转型
——戴尔易安信数据保护解决方案网络安全和信息化(2019年5期)2019-12-23欧洲数据保护委员会通过《一般数据保护条例》相关准则互联网天地(2019年11期)2019-11-29警惕个人信息泄露绿色中国(2019年14期)2019-11-26我国将承办湿地公约第十四届缔约方大会绿色中国(2019年13期)2019-11-26欧盟“最严”数据保护条例生效WTO经济导刊(2018年6期)2018-09-20

推荐访问:中国 路径 应对