在数字经济蓬勃发展的时代,数据跨境流动已成为全球经济发展的关键驱动力。然而,不同国家和地区出于数据安全、隐私保护和产业发展等多方面的考虑,制定了差异化的数据跨境流动规则,形成了复杂、分散的国际数据治理格局。例如,美国通过《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act,CLOUD Act)、《出口管理条例》(Export Administration Regulations,EAR)、《外国投资风险审查现代化法案》(Foreign Investment Risk Review Modernization Act,FIRRMA)及《加州消费者隐私法》(California Consumer Privacy Act,CCPA)等构建了分散式、多层次治理体系;欧盟通过《通用数据保护条例》(General Data Protection Regulation,GDPR)建立了“充分性评估”体系,要求个人数据跨境传输必须满足“充分保护水平”的需求,涵盖第三国立法、执法实践和国际条约履行等维度。日本正在构建不同于美国模式、欧盟模式的独特范式——“可信数据自由流动”(Data Free Flow With Trust,DFFT)框架。2019年1月,在瑞士日内瓦举行的达沃斯世界经济论坛年会上,时任日本首相安倍晋三提出“DFFT框架倡议”,并呼吁美国、欧洲、日本、中国、印度及非洲各国能够共同参与进来。在同年6月举行的二十国集团(G20)大阪峰会上,DFFT框架倡议得到各国首脑的支持,并被写入“首脑宣言”,成为日本积极推动全球数据治理进程的重要标志之一。DFFT框架旨在构建既能保障数据安全又能促进数据跨境自由流动的规则体系,在国际数据治理领域引起了广泛关注。
本文在对DFFT框架提出背景、核心内容与目标进行概览的基础上,分别从制度基础、国际扩散路径和信任构建机制3个维度,考察日本DFFT框架的构建与国际推广经验,剖析数据跨境流动规则的“日本模式”。以此揭示日本参与全球数据治理的制度逻辑,以及其向全球传播其数据规则理念的主要策略,探讨对中国数据跨境流动治理的启示,为完善中国数据治理体系提供理论参考。
一、日本可信数据自由流动框架的概述
1.1 研究背景
日本提出的DFFT框架体现了深刻的时代背景与国内外发展需求。
从国际层面来看,全球数字经济竞争日益激烈,数据已成为重要的生产要素和战略资源。欧盟发布《通用数据保护条例》,树立了数据保护的高标准,对全球数据跨境流动规则产生了深远影响。美国凭借其强大的数字技术优势和互联网企业,积极推动数据流动国际规则的制定。数据治理规则的差异化导致全球数据治理模式呈现碎片化,给国际数据流动带来障碍。在这样的国际环境下,日本需要确立符合自身经济利益的国际数据治理规则,以维护并争取在数字经济时代更大的发展空间。同时,试图主导构建数据跨境流动规则框架,提升本国的影响力和话语权。
从国内层面看,日本数字经济发展面临诸多挑战。一方面,海外布局是支撑日本经济发展的重要方式,日本企业在全球数字市场中面临来自欧美企业的激烈竞争,需要通过数据跨境流动获取更广阔的市场和资源,在全球范围内尽可能减少数据带来的贸易壁垒;另一方面,数据泄露事件频发,数据安全与隐私保护问题受到广泛关注。国际社会对数据安全和隐私保护的要求也日益严格,若日本在数据跨境流动规则中没有重视这些问题,则会面临国际舆论的压力和贸易制裁的风险。同时,日本也面临数据安全和隐私保护的巨大压力,民众对个人数据保护的意识不断增强。因此,日本在构建数据跨境流动规则时,须妥善解决数据安全与隐私保护问题,赢得民众信任和国际认可。
1.2 核心内容与目标
DFFT框架倡导的理念是“在确保隐私和安全、知识产权相关信赖的同时,能够使有益于解决商业和社会问题的数据不分国界地自由流动,促进数据的国际自由流通”,该理念决定了其核心内容与目标。
DFFT框架以“信任”为基底,信任是实现数据跨境自由流通的重要前提,主要围绕数据跨境流动的安全性、可靠性和合规性展开设计。其核心内容包括:建立统一的数据跨境流动标准和认证机制,确保数据输出方和接收方在数据保护水平上的一致性;加强数据跨境流动过程中的监管与审计,实时监控数据传输状态,防范数据泄露和滥用风险;推动国际数据治理合作,通过签订“双边协议”或“多边协议”,促进数据在可信伙伴之间的自由流动。
DFFT框架的目标是实现“自由开放的数据流通”与“数据安全安心”之间的平衡。主要体现在两个方面:一是在经济层面,通过促进数据跨境自由流动,降低日本企业参与全球数字经济合作的成本,推动本国数字产业的发展,提升日本在全球数字经济产业链中的地位;二是在安全层面,通过严格的数据保护措施和监管机制,保障本国数据主权和公民数据安全,维护国内社会稳定。
二、日本DFFT框架的制度基础
日本DFFT框架的制度基础旨在考察支撑日本DFFT推出和机制运行的根本性制度框架,强调制度层面的基础性支撑作用。数据跨境国际框架的发起与构建,需要发起国具有鲜明且稳定的理念和主张,且为之做好较为充分的国内制度设计;DFFT框架提出后,需要应对不同国家间利益诉求的冲突及与其他既有规则、框架的协调问题,以使框架能够达成广泛国际共识,拓展与他国的合作空间。因此,日本国内制度设计和准备、协调国家间的目标差异及提升与其他规则的兼容性,成为影响日本DFFT框架确立的重要因素。日本政府为应对上述问题所采取的策略性选择与平衡机制,塑造了DFFT框架的最终形态。
2.1 基于国内规制理念和实践,提出本国主张
DFFT框架是日本政府提出的全球数据治理理念,但其制度基础源自日本国内数据规制理念和长期实践经验。DFFT是日本国内数据规制目标和规则体系的国际化延伸。日本自2016年12月颁布实施《推进官民数据活用基本法》,并于2017年5月全面实施修订后的《个人信息保护法》,积极推动数据跨境流通规则和制度体系的构建。
日本创设个人数据商店(Personal Data Store,PDS)、信息银行和数据交易市场等数据流通、交易机制,探索个人数据收益分享机制,鼓励多层次数据交易模式创新,推动数据在流通中释放价值。其中,PDS是一种代表用户存储和管理其个人数据的系统,其能够聚合用户持有的数据,并根据用户的个人意愿向第三方提供相关数据。信息银行(信息利用信用银行)根据与用户个人签订的合同管理个人数据,除了能够利用PDS等系统管理个人数据之外,还可以根据用户的指示或预先指定的条件向第三方提供数据。信息银行能够支持个人在旅游、金融(金融科技)、医疗、护理、保健和人力资源等各个领域基于个人意愿使用其个人信息,并将其利益返还给个人。数据交易市场是为数据持有人与数据需求方提供互通有无、价值互换的数据交易平台,并为用户提供数据增值服务的解决方案。数据交易市场支持个人数据、企业数据和政府数据等各类数据的交易,有望激活PDS中积累的个人数据,促进不同领域企业持有的产业数据开展交易,是助力跨企业、跨领域数据流通的基础。
2.2 探索强监管替代举措,破解“信任悖论”
DFFT框架以实现“信任”与“自由流通”的协同效应为基础。即允许数据在可信规则下的自由流通,以充分发挥数据和数字经济的潜力,推动创新。但是,在数据跨境领域,“信任”往往存在一种悖论:一方面,就一国或地区内部而言,信任的建立需要通过解决隐私、数据保护、知识产权和安全等相关问题,以增强民众和产业界的信赖感,从而实现进一步推动数据自由流通的目标;另一方面,从国际关系来看,若上述数据保护举措缺乏灵活性或过于严苛,除了会给开展全球业务的企业带来一定的合规成本和风险之外,也会割断国家间的信任和信赖关系。例如,基于隐私保护、产业安全、执法及防止犯罪等原因,不同国家或地区实施的数据强监管政策,为数据跨境流通带来了制度壁垒。
对于数据跨境自由流动中的“信任悖论”问题,日本DFFT框架尤其关注的是“数据本地化”监管措施。在《G7 DFFT合作路线图》,以及后续的《促进DFFT行动计划》中,“数据本地化”问题均被视为DFFT下一步推进工作的首要挑战。“数据本地化”是指各国以将数据留在国内等为目的,对跨境数据流通采取的相关干预措施。而这与以数据自由流通为目标的DFFT相反。为此,日本多次强调,将持续致力于分析数据本地化措施带来的经济和社会影响,并探讨数据本地化的替代手段。同时,进一步深化对隐私、数据保护、安全和知识产权保护等相关数据监管措施的理论认知,为DFFT所推崇的数据自由流通提供更坚实的理论支撑。
2.3 提升规则间兼容性,推动协调治理
国际框架的形成本质上是达成国际共识的过程。对于数据跨境流通,不同国家或地区由于经济、社会、政治及文化背景等方面存在差异,数据监管理念、监管方式方法等也存在不同。这些差异对开展数据流通的政府、企业及个人,会带来诸多不确定性或违法风险。国际框架若要谋求更多的国际共识与认可,争取更多国家的积极加入,需要充分考虑与其他国家相关法律之间的差异或冲突,并能够在不同规则间形成较为有效、便捷的兼容性。因此,DFFT框架提出在确认各国国内数据法律规制实效性及其稳定性的基础上,进一步比较分析不同国家或地区间的数据监管规则,明确数据跨境流动监管理念和监管方法的共同点、数据监管实践及开展国际合作的相关状况。由此,DFFT框架寻求在数据治理理念层面的共识,推进具体规则的协同,继而推动更多国家参与其中。
对于该项工作,日本主要借助OECD下设机构——“伙伴关系制度性安排”(The Institutional Arrangement for Partnership,IAP)具体推进。IAP是OECD于2023年设立的围绕DFFT框架开展国际研讨和政策协调的机构,也是日本借助OECD舞台发挥主导力的重要机构。IAP以落实《G7 DFFT合作路线图》和《促进DFFT行动计划》为任务,汇聚各国政府、利益相关者和数据保护当局等不同背景的数据治理专家群体,探索建立跨境数据流动的知识中心。通过成立工作组,采用“基于证据”模式,创建跨境数据传输监管国际数据库,开展规则评估,基于隐私增强技术(Privacy-Enhancing Technologies,PETs)开展监管沙盒合作等,提升成员国间数据治理的兼容性和互通性。
三、日本DFFT框架的国际扩散路径
3.1 主导推进世界贸易组织电子商务谈判
2019年1月,在达沃斯世界经济论坛上,时任日本首相安倍晋三提出了DFFT概念,希望G20大阪峰会能成为一个开启全球数据治理的峰会,在世界贸易组织(World Trade Organization,WTO)支持下,讨论如何在不牺牲个人隐私的基础上,确定安全数据治理的新跑道,同时还能促进医疗、工业和交通等数据的自由流动。在该论坛上,包括中国、美国、欧盟、俄罗斯、日本和巴西等在内的76个WTO成员签署《关于电子商务的联合声明》,确认有意在WTO现有协定和框架基础上,启动与贸易有关的电子商务议题谈判。该文件强调,将充分认识并考虑WTO成员在电子商务领域面临的独特机遇和挑战,鼓励所有成员参加谈判,以便使电子商务为企业、消费者和全球经济带来更大的利益。
在G20大阪峰会上,安倍晋三提出构建“数据流通圈”的构想,主张实现数据跨境自由流动,强调日本将积极推动建立全新的国际数据监管体系,倡导在强化个人信息保护、知识产权维护及网络安全保障的前提下,促进全球数据自由流通,并制定稳定可靠的规则框架。他还特别提及,期望在2020年6月举办的第12届WTO部长会议中,能就数据自由流动议题取得实质性成果。在此次峰会上,各国共同签署了《大阪数字经济宣言》,“大阪轨道”由此正式启动。日本此举旨在借助G20这一重要国际平台,抢占全球数据治理先机,从而掌握数据领域的规则制定主导权,并引领WTO后续相关议题的讨论走向。其中,将DFFT理念深度融入WTO《电子商务协定》,是日本的核心目标之一。
WTO框架下的电子商务谈判主要议题包括跨境数据流动、数据本地化、源代码保护和电子传输免关税永久化等。日本作为WTO电子商务谈判的共同召集方之一,表现尤为活跃,在推动谈判进程方面发挥了主导作用,积极推动WTO在《电子商务协定》中融入DFFT理念。2024年8月,澳大利亚、日本和新加坡代表各方公布了《电子商务协定》文本。该文本包括诸多数字贸易基本规则,例如,促进境内和跨境无缝数字贸易的电子签名和电子发票;增强在线消费者信任的保护条款;加强缔约方网络安全合作等,使国际数字贸易环境更可靠、可负担;禁止对电子传输征收关税;促进发展中国家消费者和企业参与数字贸易等。
3.2 以双边或区域贸易协定为扩散载体
日本政府不仅将DFFT框架定位为一项数据跨境规则,更将其本质上归属于国际贸易规则。因此,DFFT框架下数据跨境流动相关举措的推进,主要以国际贸易规则为载体,践行数据跨境流动相关举措。日本通过签署双边和区域贸易协定,将DFFT框架的理念和规则嵌入其中,实现国际扩散。
以日欧数据跨境规则为例,面对欧盟GDPR等严格的数据保护规则,日本积极与欧盟进行谈判和合作,通过签署数据互认(Adequacy Decision)协议等方式,降低与欧盟数据跨境流动的壁垒。在实现法律层面规则互认的基础上,日本进一步将数据流动的具体规则嵌入相关的贸易协定当中,及时推动贸易协定内容对数据跨境流动新规则的落地。2023年10月,日本与欧盟签署的《经济伙伴关系协定》(E.U.-Japan Economic Partnership Agreement,EPA)中,包含了数据跨境流动相关条款,认可双方在数据保护方面的等效性,使交易双方企业能够高效处理数据,为从事金融服务、运输、机械和电子商务等行业的企业发展创造便捷的法律制度环境。
此外,在与美国、英国等国家的合作中,日本强调数据自由流动的重要性,推动构建符合自身利益的国际数据治理规则。通过《美日数字贸易协定》(United States-Japan Digital Trade Agreement,UJDTA)、日英全面经济伙伴关系协定(Japan-United Kingdom Comprehensive Economic Partnership Agreement,EPA)、数字经济伙伴关系协定(Digital Economy Partnership Agreement,DEPA)、《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)等双边和多边贸易协定对数据跨境流动、数字贸易等内容做出规定,为日本与成员国之间的数据流动提供了规则保障。通过这些协定,日本将DFFT框架的规则和标准向合作伙伴输出,持续扩大其在全球数据治理领域的影响力。
3.3 国际标准的制定与推广
技术和标准化是日本推进DFFT框架的核心关切之一。在国际标准化进程中,日本以《个人信息保护法》为核心构建数据跨境治理框架,制定了一系列具体的安全评估标准细则。
一是个人数据跨境原则上需预先获得数据主体的明示同意,确保数据主体对自身数据跨境流动具有清晰的认知与决定权;二是可向已确立与日本同等个人信息保护标准的实体传输数据,通过对接收方保护水平的严格要求,保障数据跨境后的安全与隐私得到妥善维护;三是可向被日本官方评定达到充分保护水平的“白名单”国家输出个人数据信息,日本个人信息保护委员会依据一系列严格的评估指标,如数据保护法律法规完善程度、监管机构执行力度等,对其他国家进行评定,在保障数据安全的前提下推动数据跨境自由流动;四是数据处理者及行政机构在获得数据主体同意后,还需遵循个人信息保护委员会要求:提前向数据主体披露接收国的隐私保护制度详情、第三方实施的数据安全措施以及其他相关辅助信息等,以提升数据跨境传输透明度。
这些标准在一定程度上体现了DFFT框架的核心思想。通过推广这些标准,日本将DFFT框架的规则和理念传播到全球,引导其他国家遵循相关标准,提升日本在国际数据治理规则制定中的地位。
四、日本DFFT框架的信任构建机制
4.1 技术层面的安全保障
日本在DFFT框架中高度重视技术层面的安全保障,通过研发和应用先进的数据加密、访问控制和数据脱敏等技术,确保数据在跨境流动过程中的安全性。例如,日本企业采用区块链技术实现数据的可信存储和传输,利用其去中心化、不可篡改等特性,确保传输数据的真实可靠,从而增强数据的安全性和可信度。日本政府推动建立数据安全检测和评估机制,对参与数据跨境流动的企业和平台进行技术安全审查,确保其符合相关标准和要求。基于国际标准ISO/IEC 27001建立“信息安全管理体系”(Information Security Management System,ISMS),采取符合标准的政策、流程、程序和控制措施,确保信息的保密性、完整性和可用性,帮助企业管理和保护其信息资产的安全。日本许多企业和组织都采用ISMS加强信息安全管理,以应对日益增长的信息安全威胁。通过实施ISMS,企业可以更好地识别和评估信息安全风险,制定相应的风险应对措施,确保信息系统的安全运行,保护企业的商业机密、客户信息等重要资产,同时也有助于满足合规性要求,提升组织的声誉和竞争力。
4.2 法律层面的规范与约束
日本构建了较为完善的法律体系,为DFFT框架提供支撑,明确数据跨境流动各方的权利和义务,规范数据处理行为。2016年,日本颁布实施《推进官民数据活用基本法》,旨在改善数据利用环境,促进公共数据和私人数据的高效利用。以《推进官民数据活用基本法》为基础,日本修改完善了《个人信息保护法》《数字程序法》《独占禁止法》《著作权法》《防止不正当竞争法》《特定电子邮件法》等,并新颁布了《透明化法》《次世代医疗基础法》等,从不同角度对各类数据跨境流动进行规范和管理。
在个人数据方面,《个人信息保护法》是保护个人数据的核心法律,对个人数据的收集、使用和跨境传输等环节均做出严格规定。其在明确规定禁止不正当使用个人信息、强化个人信息处理透明性及保障本人对个人信息知情权和控制权的同时,还通过“匿名加工信息制度”“假名加工信息制度”等,为推动个人信息的合理开发利用、实现数据经济社会价值提供了一定的空间。通过法律的强制约束,日本对个人数据、产业数据和公共数据的收集、使用和跨境传输等环节做出了严格规定,增强了数据跨境流动各方的信任,保障了DFFT框架的有效实施。
在产业数据方面,为提升产业数据跨境流动的效率,2025年1月,日本经济产业省发布《工业数据跨境管理手册》,对企业数据跨境的预期风险和应对措施等进行提示。该文件重点关注企业经营活动中收集、存储的四大类数据:安全保障数据、业务数据、技术数据及其他数据。针对上述数据遇到的“政府行为引发的风险”(如数据本地化、数据强制访问和强制披露数据等)和“企业行为引发的风险”(如限制转移、数据泄露、共享范围扩大、超出目的外使用和数据篡改等),分别从风险监测、事前应对和事后应对等方面提出具体举措,包括组织措施(制定指南、选择存储位置等)、法律措施(签订合同等)和技术措施(加密、限制访问等)。
4.3 官民合作与多方参与机制
日本建立了多方合作机制,促进政府、企业、社会组织与国际机构之间的合作与交流,共同构建数据跨境流动的信任环境。在政府与企业之间建立沟通协调机制,使政府及时了解企业在数据跨境流动过程中的需求和问题,并提供政策支持和指导。例如,2021年日本经济产业省成立“数据跨境流动研究会”,作为官民共同探讨日本跨境数据规制的协调机构,该研究会的委员由学者、互联网企业、经济团体及法律实务界等多元主体构成,产学官共同商讨如何基于DFFT框架,在全球范围内激活与数据相关的各种社会价值和效用。同时,鼓励企业之间开展合作,共享数据安全技术和经验。例如,2017年11月,日本数十家企业围绕数据流通业务成立了一般社团法人“数据流通推进协议会”,探讨构建以民营企业为主导的数据流通企业认证制度,并与政府、专家学者等共同推进讨论。
在国际协作方面,G7、G20等是日本宣传DFFT理念、争取国际认可的重要舞台。日本利用担任G7主席国的契机,推动DFFT框架国际性落地的机制化进程。在G20框架下,倡导数据跨境自由流动与安全保护平衡,推动全球数据治理规则协调统一。此外,日本还发起了区域性的数据治理倡议,例如,与东盟国家合作开展数据治理项目,分享DFFT框架的经验和做法,促进区域内的数据跨境流动和数字经济合作。通过这些国际组织合作和倡议,日本不断扩大DFFT框架的国际影响力,推动形成符合自身利益的全球数据治理格局。
五、对中国数据跨境流动规则体系建设的启示
作为数字经济大国,中国通过颁布《网络安全法》《数据安全法》《个人信息保护法》,对外发布《全球数据安全倡议》《全球人工智能治理倡议》《全球数据跨境流动合作倡议》,就数字治理关键问题向国际社会提出中国方案。但整体来看,数据跨境全球治理规则处于以欧美为主导的区域性跨境数据流动规制下,中国推动国际跨境数据流动的多边治理合作任重道远。通过上述对日本DFFT框架的考察分析,本文提出以下几点对中国数据跨境流动规则体系建设的启示。
第一,强化数据主权安全保障,确保重点领域核心数据的自主可控。中国应立足本国实际,保障数据主权安全。与日本不同,中国面临更为复杂的数据安全挑战,庞大的数据体量和多样的应用场景,使得明确数据主权范围至关重要。中国应通过完善《数据安全法》等相关法律法规,细化国家对关键领域数据的管理权限,如能源、金融和国防等领域的数据,确保国家对核心数据拥有绝对控制权,防止外部势力的非法获取与干涉。在国际合作中,积极推动数据主权理念的传播与认可。中国应凭借在数字经济领域的影响力,在国际组织和多边合作中,积极倡导尊重各国数据主权的原则。例如,在“一带一路”沿线国家数字经济合作中,中国与沿线国家共同制定数据合作规则,明确数据流动中的主权权利与义务,构建基于数据主权平等的国际合作框架,改变当前国际数据治理规则主要由欧美国家及地区主导的局面,提升中国在全球数据治理中的话语权。
第二,优化制度运行逻辑,构建高效协同的数据治理制度体系。日本在数据治理方面形成了较为系统的国内法规框架,中国可借鉴其经验,整合现有分散的数据管理法规与政策。建立跨部门的数据治理协调机制,改变当前多部门分头管理、职能交叉的局面。例如,设立国家层面的数据治理委员会,由中央网信办、工业和信息化部、公安部和商务部等共同参与,统一协调数据治理政策的制定与执行,提高数据治理的效率与协调性,确保制度运行的顺畅。同时,加强数据治理制度的执行监督,建立专门的数据治理监督机构,对各部门、各企业的数据管理行为进行常态化监督。制定严格的数据治理考核指标,将数据安全、数据合规使用等纳入政府部门和企业的绩效考核体系。对于违反数据治理制度的行为,应加大处罚力度,提高违法成本,确保数据治理制度能够切实落地,从制度运行逻辑上保障数据治理的有效性。
第三,完善数据跨境流动规则体系,制定分层分类的差异化跨境流动规则。参考日本根据数据主体属性设置不同合规途径的实践,中国应依据数据的敏感程度、重要性等因素,制定分层分类的数据跨境流动规则。对于一般的商业数据,在确保数据安全的前提下,应适度放宽跨境流动限制,促进数字贸易发展;对于涉及个人隐私、国家安全等敏感数据,应实施严格的出境审查制度,要求企业提供详细的数据出境安全评估报告,经相关部门审查批准后方可出境。同时,秉持开放合作的原则,积极参与数据跨境流动国际规则的制定。主动参与国际数据治理规则的讨论与制定,联合其他发展中国家,提出符合发展中国家利益的数据跨境流动规则和方案。在国际规则制定中,应充分考虑中国的数据主权安全需求和数字经济发展现状,推动建立公平、合理和包容的全球数据跨境流动规则体系,为中国的数据治理营造良好的国际环境。
作者:李慧敏1,2
1. 中国科学院科技战略咨询研究院,北京 100190;
2. 中国科学院大学公共政策与管理学院,北京 100049
来源:《全球科技经济瞭望》 2025年5月第40卷 第5期
文章观点不代表主办机构立场。
声明:本文来自科情智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
