作者:大成数据保护团队

2018年12月,台湾地区加入亚太经济合作组织(Asia-Pacific Economic Cooperation, APEC)框架下的跨境信息传输区域安排“跨境隐私规则体制”(Cross Border Privacy Rules System, CBPRs)。美、日、台在个人信息跨境传输方面的壁垒将消,这是近年来跨境信息传输区域安排或者“数据自贸区”蓬勃发展的最新例证。

一、 CBPRs概况及其运行体制

CBPRs于2011年由美国主导在APEC论坛内设立,旨在促进加入国之间个人信息的无障碍跨境流动,同时确保其安全性和隐秘性。APEC成员均可申请加入。

CBPRs的运行规则是,批准加入的成员国政府会指定一个或多个法人担任“问责代理机构”(Accountability Agents),经CBPRs认可的问责机构通过认证成员国内其他企业或组织使这些“认证企业”最终成为CBPRs的真正参与者。认证企业之间个人信息的跨境传输应不受阻碍,即认证企业无需额外证明跨境信息传输符合他国/地区的个人信息保护法,且后者也不得以保护个人信息为由,阻碍信息的跨境流动[1]。

截至目前,美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚和台湾地区已加入CBPRs[2],但根据前述CBPRs的运行规则,由于加入国中仅有美、日两国的共计26家企业通过了CBPRs认证[3],所以美、日企业才是目前该体系的直接参与者。中小企业占市场大部的台湾地区的加入或将为该体系注入“活水”,但短期内,CBPRs对台湾地区数据流通及数字贸易的影响,将主要体现在同美、日的交往之中。

2017年年初APEC发布的调查数据表明,中国大陆正在考虑是否加入CBPRs,没有正式出台的个人信息保护法却成为一大阻碍[4]。此外,APEC当下正与欧盟协商建立数据传输的互通体制(interoperability),也就是说,得到CBPRs认证过的企业在加入欧盟约束性公司规则(Binding Corporate Rules, BCR)[5]时,后者严格的审批机制和繁琐的程序将会得到大部简化。

二、世界范围内其他跨境信息传输区域安排的运作现状

除APEC框架下的CBPRs外,全球其他的跨境信息传输区域安排还有“欧盟模式”下的欧日“对等充分性协议”[6]、美欧间《隐私盾协议》[7]以及体现在双边和区域贸易协定中的数据跨境流动条款等等。

(一)欧日“对等充分性协议”

2019年1月23日在欧盟与日本之间生效的数据流动“适当性决议”,让欧盟和日本间的数据传输成为现实。“适当性决议”是2018年5月生效的欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)中已纳入的个人数据跨境传输和处理的工具,具体来说,其是欧盟委员会做出的一种决议,以确认第三国以国内法或者国际承诺形式对个人资料的保护达到了与欧盟相当的水平。这也是典型的以“充分保护”为原则的“欧盟模式”[8]。在该“适当性决议”的基础上,个人数据可以从欧洲经济区流向日本,而不受进一步的阻碍。如欧盟司法、消费者权益及性别平等专员Věra Jourová所说,“这一充分性认定创造了世界上最大的数据安全流动区域。”

(二)美欧间《隐私盾协议》(EU-US Privacy Shield

美国与欧盟向来高度重视彼此之间经贸合作的紧密型和交往关系的稳定性,随着信息化时代的到来,个人数据流通和交换逐渐发展成为美欧在商业与法律执行领域紧密关系的核心与基石。对重要的贸易伙伴美国,欧盟方面对其在数据跨境传输的典型模式进行了变通,“充分保护”原则的严苛标准变得灵活。2000年12月的《安全港协议》(现已无效)和2016年7月的《隐私盾协议》即是美欧双方在数据交流领域所达成的共识性成果。目前,已有超过3,500家美国公司获得了“盾牌认证”,其中一半以上是中小型企业[9]。此外,《隐私盾协议》已经呈现出一定的溢出效应,并对世界其他国家和地区的数据保护立法和国际合作产生了直接或间接的影响。

(三)双边和区域贸易协定中的数据跨境流动条款

2012年, 美国和韩国签订自由贸易协定 (KORUS FTA) , 在“电子商务”章中, KORUS FTA首次提及数据自由流动问题,成为美、韩金融信息跨境流动原则性条款;2015年,在美国主导下达成的跨太平洋伙伴关系协定(Trans-Pacific Partnership Agreement, TPP)引入了有强制性、可诉性的跨境数据流动规制。此外,还有许多国家正进行协商,考虑在区域性贸易协定中纳入跨境数据传输条款[10]。

除上述跨境信息传输区域安排外,目前仍有其他国家、地区正在就数据跨境流动进行谈判。

三、跨境信息传输区域安排的最新发展

在传统贸易领域,双边、多边的区域性贸易体系无论在促进贸易增长还是贸易法治建设方面都取得了瞩目的成就,以WTO为代表的多边体制、与亚太地区的跨太平洋伙伴关系协定(TPP)、东南亚国家联盟(ASAN)等区域性机制分庭抗礼。WTO“零关税”概念的提出,一定程度上抑制了贸易壁垒和地方保护主义,是自由贸易趋势下,相关国家追求国家利益最大化的捷径。

而现如今,在数据经济时代,数据逐渐取代货物、服务等成为国家竞争的重要战略资源。此外,数据的外部性特征也决定了数据需要在更大的维度和广度实现开放、流动、融合才能产生更高的价值和效用。因此,跨境信息传输区域安排的构建是继传统的区域性贸易体制后的新的趋势。同贸易区域协作的逻辑相似,区域性数据交流体制在促进成员间数据流动的同时,也构成了同非成员间数据的隔离墙;该体制不仅将在数据交流、企业扩张等经济领域对非成员造成限制,也会在政治上产生对非成员的排斥。“数据自贸区”将会是这一体制的产物。

国际贸易的协调机制崛起之初,中国便抓住机遇搭乘“经济全球化”列车,在区域、全球的广阔市场内风帆大展。而现在,数据经济如潜龙在渊,中国大陆至今并未被纳入全球范围内任一跨境信息传输区域安排,对大陆企业的跨境数据传输、电商贸易将或多或少产生影响。

我国目前国内正加紧进行信息保护立法,依照全国人大常委会立法日程,《个人信息保护法》、《数据安全法》均为一类立法项目。在相关法律实施后,我国的个人信息保护水平将进一步提升。但在另一方面,面临跨境信息传输区域安排的国际浪潮,中国应当积极考虑将建立或参与“数据自贸区”纳入国家整体数据战略框架。(Chloe/Edith对本文有贡献。)

注释:

[1]依照CBPR“政策、规则和指南”规定,认证企业仍需遵守成员当地法律法规,如国成员的当地法使该成员参加CBPRs的能力受到排除或限制,则成员需考虑对相关法律法规进行修改。实践中,日本在加入CBPRs前,修改了《个人信息保护法》,将CBPRs归为允许个人信息跨境流动的情形之一。详见“看清APEC‘跨境隐私保护规则’体系背后的政治和经济”.http://www.dgcs-research.net/a/xueshuguandian/2018/0201/99.html

[2]Government.http://cbprs.org/government/(最后访问时间:2019年1月14日)

[3]CBPRSYSTEM DIRECTORY.http://cbprs.org/compliance-directory/cbpr-system/(最后访问时间:2019年1月26日)

[4]Surveyon the Readiness for Joining Cross Border Privacy Rules System – CBPRs.http://publications.apec.org/Publications/2017/01/Survey-on-the-Readiness-for-Joining-Cross-Border-Privacy-Rules-System---CBPRs(最后访问时间:2019年1月21日)

[5]约束性公司规则提供了一套行为准则,在满足该准则的情况下,跨国公司的个人信息数据能够在公司内部自由地跨境流动。详见“Binding corporate rules”.https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en(最后访问时间;2019年1 月21日)

[6]欧盟和日本将共建世界最大的安全数据流. http://www.cbdio.com/BigData/2018-07/23/content_5773376.htm(最后访问时间:2019年1月18日)

[7]Privacy Shield Framework.http://www.cbdio.com/BigData/2018-07/23/content_5773376.htm(最后访问时间:2019年1月18日)

[8]朱晓东. 我国个人数据跨境传输规制范式的域外镜鉴与优化路径[D]. 上海:华东政法大学,2018

[9]欧盟-美国数据传输协议第二次年度审查集中关注隐私保护问题.http://www.kaixian.tv/gd/2018/1029/949005.html(最后访问时间:2019年1月18日)

[10]陈咏梅、张姣. 跨境数据流动国际规制新发展:困境与前路[J].《上海对外经贸大学学报》,2017年第6期

声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。