跨境数据治理系列研究之

APEC(亚太经济合作组织)框架下的

数据跨境规则研究

吴沈括

网络法治国际中心执行主任、博导

中国互联网协会研究中心副主任

邓立山

网络法治国际中心研究助理

亚太经济合作组织(Asia-Pacific Economic Cooperation,APEC)为确保充分保护个人信息,同时实现经济体间的数据安全流动,从而让各经济体能够充分享受当今全球数字经济的利益,其在APEC隐私框架(APEC Privacy Framework)中提出了对数据跨境问题的解决方案。

一、APEC数据跨境规则的创立背景

APEC于1989年由12个亚太地区经济体成立,是全球最大的区域性经济合作组织,其成立目的是促进区域经济的发展和繁荣。APEC于2021年扩展到21个经济体成员,其中包括美国、中国和日本等全球和地区主要国家。APEC的主要目标是为促进亚太地区的工业化经济体和发展中经济体之间,自由和开放的投资和贸易。自90年代开始,APEC为促进亚太地区逐渐兴起的电子商务对经济发展的推动,成立了电子商务指导小组(Electronic Commerce Steering Group,ECSG)。ECSG的任务之一是推动亚太统一的法律和政策环境构建,并于2003年组建数据隐私小组(Data Privacy Subgroup),数据隐私小组于2005年制定并实行了APEC隐私框架,该隐私框架于2015年进行了更新。APEC隐私框架包括了APEC的隐私原则和实施指南,其符合并借鉴了经合组织关于保护隐私和个人数据跨境流动的指导方针,旨在促进亚太地区对隐私和个人信息保护措施的一致性,同时确保数据的自由流动,以促进经济发展和区域一体化。

2007年,APEC批准了APEC数据隐私探路者倡议(APEC Data Privacy Pathfinder Initiative),建立了数据隐私探路者(Data Privacy Pathfinder),其目标是促进亚太地区负责任的数据跨境流动。2011年,在数据隐私探路者的努力下,在APEC 21个经济体首脑的通过后,建立了跨境隐私规则(Cross-Border Privacy Rules, CBPR)体系,这是对APEC隐私框架要求的实施,并将适用于APEC经济体之间的个人信息流动,这提供了一个现成的、国际认可的隐私保护认证框架。在CBPR之外,APEC还建立跨境隐私执法安排(Cross-Border Privacy Enforcement Arrangement,CPEA),以支持建立整体的数据跨境机制。

二、APEC数据跨境规则的方案要旨

APEC数据跨境规则方案主要体现在隐私框架的第五部分关于“国际实施”的内容中,方案包括了:1)经济体之间的对数据跨境相关信息的共享;2)数据跨境调查和执法活动的国际合作;3)建立数据跨境隐私机制;4)对限制数据跨境传输的规定;5)不同隐私保护框架的兼容性倡议。此方案在促进APEC经济体之间的数据跨境合作之外,将制度设计重点集中于对数据传输主体(如数据控制者)隐私保护情况的认证,而非对相关经济体数据保护能力和机制的宏观评价,这将方便有数据跨境需求的企业更容易地满足合规需求,在保障安全的情况下促进数据跨境自由流动。此方案的具体内容如下:

第一,APEC隐私框架鼓励成员经济体之间互相共享信息,具体包括设立专门机构,用于支持数据跨境合作和经济体之间的隐私保护信息共享。框架还提出建立国际层面的标准,以方便国际隐私和个人信息流动的政策制定。

第二,隐私框架应当在现有的国际和国内制度基础上,扩大双边和多边的隐私保护和数据流动合作,其具体应当注重数据跨境制度在调查和执法层面的合作,例如建立经济体主管部门之间调查和执法行动的通报机制、信息共享机制、协助调查机制、合作案件处理的优先处理机制以及信息交换的保密机制。

第三,APEC在隐私框架下希望建立保持个人信息跨境流动和隐私安全平衡的机制,CBPR是这一目标下的重要制度。CBPR体系通过数据隐私小组的联合监督小组(Joint Oversight Panel)进行统一管理,建立了经济体、责任代理(Accountability Agent)和申请组织等三级认证制度,并通过经济体间隐私执法机关的合作提供强制效力保障。CBPR体系建立了一套由政府背书的,自愿、可执行和基于责任制的隐私保护认证机制,APEC经济体中的数据控制者可以在满足认证要求后加入该认证体系,以向境外交易相对方证明自身的数据保护水平。在CBPR体系下,APEC于2015年建立了数据处理者隐私识别(Privacy Recognition for Processors,PRP)体系,帮助个人信息处理者证明他们有能力有效履行个人信息控制人在处理个人信息方面的义务。

第四,APEC隐私框架要求成员经济体,应当在其他数据跨境目标经济体已通过立法或监管工具落实隐私框架并具备充分的隐私保障措施时,减少对数据跨境的限制性规定。如果有限制,则该限制应当与数据跨境的风险大小相对应,并考虑数据的类型、目的和背景情况,遵循比例原则。

第五,APEC隐私框架鼓励加强成员经济体之间的隐私安排和国际隐私安排的互操作性,由此可以在个人隐私得到充分保障并减轻个人信息处理者和控制者合规义务的背景下,促进个人信息的跨境流动。此外,互操作性的增强还将有助于个人进行跨经济体隐私维权和经济体相关机构进行跨境执法。

声明:本文来自数字治理全球洞察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。