傅盈盈

摘 要：數(shù)字經(jīng)濟(jì)時(shí)代下，國際貿(mào)易離不開數(shù)據(jù)的全球性流動(dòng)。學(xué)界關(guān)于跨境數(shù)據(jù)流動(dòng)治理的研究大多聚焦于美國和歐盟，關(guān)于日本跨境數(shù)據(jù)流動(dòng)法律監(jiān)管問題在中日學(xué)界都沒有針對性、系統(tǒng)性研究。日本有關(guān)跨境數(shù)據(jù)流動(dòng)的國內(nèi)立法主要集中規(guī)定在2015年修正后的《個(gè)人信息保護(hù)法》中，主要存在四個(gè)方面的亮點(diǎn)：一是明確“主體同意原則”;二是設(shè)置“白名單”制度;三是完善了個(gè)人隱私安全保護(hù)同國民生命健康安全保護(hù)及公共利益之間的平衡;四是對處理個(gè)人信息的經(jīng)營者委托國外主體管理數(shù)據(jù)，或?qū)?shù)據(jù)傳輸給境外關(guān)聯(lián)公司過程中產(chǎn)生的數(shù)據(jù)跨境流動(dòng)監(jiān)管問題提出解決方案。日本在完成其國內(nèi)跨境數(shù)據(jù)流動(dòng)相關(guān)法律制度之后，也像歐美國家一樣開始在雙多邊交涉中增加關(guān)于跨境數(shù)據(jù)流動(dòng)規(guī)則的談判，如簽訂CPTPP、EPA、RCEP等雙多邊自由貿(mào)易協(xié)定，努力實(shí)現(xiàn)日本與其他國家地區(qū)之間規(guī)范的跨境數(shù)據(jù)流動(dòng)。中國如今應(yīng)當(dāng)加快構(gòu)建跨境數(shù)據(jù)流動(dòng)法律監(jiān)管體系，積極參與國際規(guī)則的制定和國際條約的簽訂。

關(guān)鍵詞：跨境數(shù)據(jù)流動(dòng);數(shù)據(jù)治理;日本法律;中國法律應(yīng)對

中圖分類號：D996.1? ? ? ? 文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號：1673-291X（2021）33-0125-05

引言

近年來，以互聯(lián)網(wǎng)為載體的數(shù)字經(jīng)濟(jì)飛速發(fā)展，極大改變了國際貿(mào)易的運(yùn)行模式。在國際貿(mào)易中，除了傳統(tǒng)的“人物錢”跨境流動(dòng)之外，數(shù)據(jù)跨境流動(dòng)也引起全世界的廣泛關(guān)注。誠然，數(shù)據(jù)在全世界范圍內(nèi)快速流動(dòng)帶動(dòng)了國際貿(mào)易的快速發(fā)展，但也帶來一系列問題，如個(gè)人數(shù)據(jù)被非法使用、企業(yè)商業(yè)機(jī)密泄露、國家信息安全受到威脅等，因此各國都在探索如何能在平衡數(shù)字經(jīng)濟(jì)發(fā)展和維護(hù)信息安全的前提下對跨境數(shù)據(jù)進(jìn)行規(guī)制。國際權(quán)威機(jī)構(gòu)Statista的統(tǒng)計(jì)數(shù)據(jù)顯示，直至2019年，中國數(shù)字產(chǎn)業(yè)總規(guī)模位居世界第一，但很遺憾的是，我國擁有如此大的數(shù)字產(chǎn)業(yè)規(guī)模，針對數(shù)據(jù)跨境流動(dòng)的監(jiān)管卻沒有系統(tǒng)的立法。因此，借鑒國際上有關(guān)數(shù)據(jù)跨境流動(dòng)的先進(jìn)立法經(jīng)驗(yàn)和積極參與國際上有關(guān)數(shù)據(jù)跨境流動(dòng)的立法討論、掌握國際規(guī)則制定話語權(quán)非常重要。

目前，跨境數(shù)據(jù)流動(dòng)領(lǐng)域還未能形成統(tǒng)一的全球治理規(guī)則。歐盟和美國在跨境數(shù)據(jù)監(jiān)管方面起步較早，已形成兩套較為成熟的監(jiān)管體系，并各自通過簽訂自由貿(mào)易協(xié)定在全世界范圍內(nèi)推廣自己的監(jiān)管模式。2015年的“棱鏡門”事件后，日本意識到了跨境數(shù)據(jù)流動(dòng)全球治理上的缺陷，也明白不能完全依賴于美國或者歐盟主導(dǎo)的治理體系，必須要建立本國的數(shù)據(jù)跨境流動(dòng)監(jiān)管法律體系。2019年，日本首相安倍晉三在G20峰會(huì)上確立了“Data Free Flow with Trust”數(shù)據(jù)流通原則，啟動(dòng)大版軌道，致力于在構(gòu)建令人有信賴感的數(shù)據(jù)自由流通治理體系，促進(jìn)各國間數(shù)字貿(mào)易發(fā)展?？梢?，日本現(xiàn)如今十分重視數(shù)據(jù)跨境流通的治理問題。作為與日本貿(mào)易關(guān)系最為密切的同為亞洲國家的中國，應(yīng)當(dāng)關(guān)注日本數(shù)據(jù)治理動(dòng)態(tài)，借鑒其長處，加速構(gòu)建本國的數(shù)據(jù)跨境流動(dòng)監(jiān)管法律體系。因此，本文將梳理、分析日本有關(guān)跨境數(shù)據(jù)流動(dòng)的國內(nèi)立法和同他國簽訂的雙多變國際條約，并探討其對中國的啟示，試圖對我國跨境數(shù)據(jù)流動(dòng)法律監(jiān)管提出建議。

一、跨境數(shù)據(jù)流動(dòng)監(jiān)管領(lǐng)域日本的國內(nèi)立法

早期，日本政府對數(shù)據(jù)流動(dòng)持盡量不去干預(yù)或少干預(yù)，保護(hù)對象僅限于個(gè)人數(shù)據(jù)。直到2003年，日本才制定了首部《個(gè)人信息保護(hù)法》，并且從文本看也無專門規(guī)制數(shù)據(jù)跨境流動(dòng)的條款。此時(shí)，日本跨境數(shù)據(jù)流動(dòng)治理基本處于自由、自愿和自律的“三自”狀態(tài)。

2015年“棱鏡門”事件暴露了跨境數(shù)據(jù)流動(dòng)全球治理的缺陷，不但使歐美跨境數(shù)據(jù)流動(dòng)“安全港協(xié)議”作廢，更催化了日本就跨境數(shù)據(jù)流動(dòng)治理出臺一系列規(guī)制政策，在這樣的背景下，2015年9月，修正后的《個(gè)人信息保護(hù)法》，其中對跨境數(shù)據(jù)流動(dòng)監(jiān)管的規(guī)定主要有以下幾個(gè)亮點(diǎn)。

（一）明確“主體同意原則”

修正后的《個(gè)人信息保護(hù)法》明確了除特定情形外，處理個(gè)人信息的經(jīng)營者在將數(shù)據(jù)提供給外國第三者時(shí)，必須事先獲得數(shù)據(jù)主體對該提供行為的同意。這里的“外國第三者”是指，除了處理個(gè)人信息的經(jīng)營者和個(gè)人信息主體以外的域外主體，包括外國政府在內(nèi)。這里的“同意”是指，個(gè)人信息的主體對處理個(gè)人信息的經(jīng)營者向國外第三者提供其個(gè)人信息的行為做出同意的意思表示，若該主體是未成年人、無民事行為能力或限制民事行為能力等無法理解做出同意意思表示后會(huì)產(chǎn)生的后果的主體，個(gè)人信息經(jīng)營者還必須獲得其親屬或法定代理人的同意。在無法事先獲得數(shù)據(jù)主體同意的場合，除敏感信息外，將法律規(guī)定的事項(xiàng)通知到個(gè)人信息主體，同時(shí)將情況向個(gè)人信息保護(hù)委員會(huì)報(bào)告并經(jīng)其公示之后，可以將個(gè)人信息提供給國外的第三者。在新舊法的銜接上，在新法實(shí)施之前，已獲取過數(shù)據(jù)主體同意處理個(gè)人信息的經(jīng)營者，在新法實(shí)施之后，可以將數(shù)據(jù)主體同意范圍內(nèi)的個(gè)人信息提供給外國第三人。

可見，日本對個(gè)人信息跨境流動(dòng)采取“主體同意原則”，對個(gè)人信息經(jīng)營者設(shè)置了較為嚴(yán)格的通知義務(wù)。同時(shí)也考慮到商事行為的效率問題，在無法取得數(shù)據(jù)主體同意的情況下，允許處理個(gè)人信息的經(jīng)營者在完成通知義務(wù)和向個(gè)人信息保護(hù)委員會(huì)的報(bào)告義務(wù)之后，向境外傳輸非敏感信息。且在此情況下，數(shù)據(jù)主體也享有隨時(shí)叫停提供信息行為的權(quán)利，在最大程度上平衡個(gè)人信息的保護(hù)和商事行為的效率。而在新舊法的銜接上，更偏向于保護(hù)商事行為的效率，即使新法實(shí)施前數(shù)據(jù)主體并沒有明確同意處理個(gè)人信息的經(jīng)營者可以將其信息跨境傳輸，只要其曾做出過允許處理個(gè)人信息的經(jīng)營者傳輸其個(gè)人信息的意思表示，就視為其同意處理個(gè)人信息的經(jīng)營者在相同范圍內(nèi)將信息跨境傳輸給外國第三者。

（二）設(shè)置“白名單制度”

日本通過設(shè)置“白名單”，使個(gè)人信息數(shù)據(jù)能在日本和與日本有相同水準(zhǔn)的個(gè)人信息保護(hù)制度的國家之間自由流通。法條規(guī)定，如果某國在個(gè)人信息保護(hù)委員會(huì)制定的名單之中，就代表這些國家的個(gè)人信息保護(hù)水平已達(dá)到同日本相同的水準(zhǔn)，那么處理個(gè)人信息的經(jīng)營者即使沒有取得數(shù)據(jù)主體的同意，也可使個(gè)人信息在日本與該國之間自由流通。被日本個(gè)人信息保護(hù)委員會(huì)納入“白名單”的國家，需要符合的條件包括：該國制定實(shí)施的法律對個(gè)人信息保護(hù)力度同日本相當(dāng);該國存在同日本個(gè)人信息保護(hù)委員會(huì)類似的執(zhí)行機(jī)構(gòu);該國同日本在如何合理地利用個(gè)人信息與保護(hù)數(shù)據(jù)主體權(quán)利的問題上能夠相互理解;相互合作的國家該國不可超過必要的范圍限制信息跨境流動(dòng);個(gè)人數(shù)據(jù)在日本與該國之間流動(dòng)可以促進(jìn)新產(chǎn)業(yè)發(fā)展，激發(fā)經(jīng)濟(jì)活力，并有利于豐富國民生活。如今，在日本個(gè)人信息保護(hù)委員會(huì)白名單國家主要是歐盟的國家和英國。

設(shè)立數(shù)據(jù)跨境傳輸“白名單”原本是歐盟的一貫做法。2016年4月14日，歐盟議會(huì)和歐盟理事會(huì)通過《通用數(shù)據(jù)保護(hù)條例》（GDPR），并于2018年5月25日正式生效。GDPR在第45條規(guī)定了若第三國或者國際組織已對個(gè)人信息保護(hù)建立了充分的保護(hù)體制，那么歐盟將會(huì)將該國加入充分保護(hù)“白名單”，明確允許數(shù)據(jù)轉(zhuǎn)移到這些國家。截至2020年3月12日，名單包括13個(gè)國家，其中也包括2019年加入歐盟“白名單”的日本。日本設(shè)立個(gè)人信息跨境傳輸“白名單”一是為了借鑒歐盟的經(jīng)驗(yàn)，允許數(shù)據(jù)傳輸至擁有完善的數(shù)據(jù)保護(hù)監(jiān)管制度的國家，既保障了數(shù)據(jù)流動(dòng)的安全性，又能促進(jìn)數(shù)據(jù)在一定范圍自由流動(dòng)，促進(jìn)經(jīng)濟(jì)發(fā)展;二是因《日歐經(jīng)濟(jì)伙伴協(xié)定》（EPA）需要數(shù)據(jù)跨境在日本與歐盟之間流動(dòng)，互將對方加入“白名單也是當(dāng)務(wù)之急。

（三）完善了個(gè)人隱私安全保護(hù)同國民生命健康安全保護(hù)及公共利益之間的平衡

日本允許處理個(gè)人信息的經(jīng)營者在法律規(guī)定的情形內(nèi)，可以在不事先經(jīng)數(shù)據(jù)主體同意的情況下將數(shù)據(jù)跨境傳輸，完善了個(gè)人隱私安全保護(hù)同國民生命健康安全保護(hù)及公共利益之間的平衡。此處法律規(guī)定的情形具體包括：向國外第三者提供該數(shù)據(jù)是保護(hù)數(shù)據(jù)主體生命、身體、財(cái)產(chǎn)所必需的措施，且獲得數(shù)據(jù)主體同意較為困難;向國外第三者提供該數(shù)據(jù)是為了公共衛(wèi)生或者維護(hù)兒童身心健全的需要必須向境外傳輸個(gè)人信息，且獲得數(shù)據(jù)主體同意較為困難;國家機(jī)關(guān)為了實(shí)施法律規(guī)定的事務(wù)時(shí)必須獲得民間企業(yè)的配合將個(gè)人數(shù)據(jù)傳輸至外國國家機(jī)關(guān)，并且等待數(shù)據(jù)主體的同意會(huì)阻礙事務(wù)的實(shí)施等。日本設(shè)置的這些例外情形都涉及國民的切身利益和社會(huì)公共利益，允許在這些情形下處理個(gè)人信息的經(jīng)營者可以適當(dāng)背離“數(shù)據(jù)傳輸須經(jīng)同意”的原則，增加數(shù)據(jù)跨境傳輸監(jiān)管制度靈活度和可應(yīng)變性，防止發(fā)生因嚴(yán)格遵守“同意”原則而在需要為實(shí)現(xiàn)國家利益、公共利益、國民切身利益時(shí)數(shù)據(jù)跨境傳輸受到過度的限制。

（四）為處理個(gè)人信息的經(jīng)營者委托國外主體管理數(shù)據(jù)，或?qū)?shù)據(jù)傳輸給境外關(guān)聯(lián)公司過程中產(chǎn)生的數(shù)據(jù)跨境流動(dòng)監(jiān)管問題提出解決方案

日本《個(gè)人信息法》規(guī)定，若信息接收方滿足一定的條件，即使其所處國并不在“國家白名單”之內(nèi)，處理個(gè)人信息的經(jīng)營者也可在未經(jīng)數(shù)據(jù)主體同意的情況下將數(shù)據(jù)提供給該接收方。具體來說，如果接收個(gè)人信息的外國第三人已經(jīng)同信息提供者簽訂合同，明確處理個(gè)人信息所需遵守的義務(wù)，且該義務(wù)符合《個(gè)人信息保護(hù)法》相關(guān)規(guī)定;或者接收個(gè)人信息的外國第三人已經(jīng)獲得CBPR系統(tǒng)的認(rèn)證或其個(gè)人信息保護(hù)水平符合OECD制定的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通的指南》的標(biāo)準(zhǔn)，則處理個(gè)人信息經(jīng)營者就能在沒有事先獲得數(shù)據(jù)主體同意的情況下將數(shù)據(jù)傳輸給該接受數(shù)據(jù)的外國第三人。

該規(guī)定明確如果日本處理個(gè)人信息經(jīng)營者基于數(shù)據(jù)管理委托需求或者與關(guān)聯(lián)公司之間業(yè)務(wù)交接需求，想使數(shù)據(jù)在日本與“非白名單”國家企業(yè)之間自由流動(dòng)，只要滿足法律規(guī)定的條件就可以實(shí)現(xiàn)。該規(guī)定為那些遵守法律，已建立完善的數(shù)據(jù)保護(hù)監(jiān)管體制的企業(yè)打開數(shù)據(jù)自由流動(dòng)的窗口，避免過于限制商事主體跨境傳輸數(shù)據(jù)的行為，提高了商事行為的效率。

二、跨境數(shù)據(jù)流動(dòng)監(jiān)管領(lǐng)域日本參與的國際條約

由于世貿(mào)組織的大多數(shù)規(guī)則制定于20世紀(jì)90年代，那時(shí)電子商務(wù)還未發(fā)展起來，因此世貿(mào)組織規(guī)則中并沒有直接規(guī)制跨境數(shù)據(jù)流動(dòng)的法律條文，在跨境數(shù)據(jù)流動(dòng)監(jiān)管方面的，還沒有產(chǎn)生獲得絕大多數(shù)國家支持的全球性規(guī)則。因此越來越多的國家開始積極制定雙邊或單邊的自由貿(mào)易協(xié)定，來彌補(bǔ)國際規(guī)則的缺失。在過去的20年，產(chǎn)生了超過400份自由貿(mào)易協(xié)定，其中超過70份自由貿(mào)易協(xié)定中包含電子商務(wù)相關(guān)的內(nèi)容。日本在完成其國內(nèi)跨境數(shù)據(jù)流動(dòng)相關(guān)法律制度之后，也像歐美國家一樣開始在雙多邊交涉中增加關(guān)于跨境數(shù)據(jù)流動(dòng)規(guī)則的談判，以彌補(bǔ)日本在此問題上的短板，實(shí)現(xiàn)日本與其他國家地區(qū)之間規(guī)范的跨境數(shù)據(jù)流動(dòng)。

（一）CPTPP中的跨境數(shù)據(jù)流動(dòng)規(guī)則

2017年美國退出TPP之后，日本接替美國開啟了CPTPP的多邊談判。在電子商務(wù)方面，CPTPP第14章中制定了許多高水準(zhǔn)的規(guī)則，其中第14.11和第14.12條對跨境數(shù)據(jù)的轉(zhuǎn)移和保存做出了規(guī)定。

CPTPP第14.11條第1項(xiàng)明確，各締約國都有制定各自跨境數(shù)據(jù)監(jiān)管制度的權(quán)利，第2項(xiàng)則規(guī)定各締約國都應(yīng)當(dāng)允許數(shù)據(jù)在為開展經(jīng)營業(yè)務(wù)時(shí)可以在各國之間流動(dòng)，但也為締約國保留了一定的裁量空間，即若是為了實(shí)現(xiàn)合法的公共政策目的，可做出同第2項(xiàng)條款不相符合的措施，但該措施不可構(gòu)成任意或不合理的歧視或?qū)Q(mào)易進(jìn)行變相限制，也不可對數(shù)據(jù)傳輸進(jìn)行超出實(shí)現(xiàn)目的所需限度的限制。

CPTPP第14.12條對計(jì)算機(jī)設(shè)施的設(shè)置作出規(guī)定。第1項(xiàng)規(guī)定各締約國都可對計(jì)算機(jī)設(shè)施的使用設(shè)置各自的監(jiān)管要求，包括尋求通信安全性和機(jī)密性要求，第2項(xiàng)規(guī)定任何締約方不得將在該締約方領(lǐng)土內(nèi)使用或設(shè)置計(jì)算設(shè)施作為在其領(lǐng)土內(nèi)開展業(yè)務(wù)的條件。同CPTPP第14.11條相同，若是為了實(shí)現(xiàn)合法的公共政策目的，可做出同第2項(xiàng)條款不相符合的措施，但該措施不可構(gòu)成任意或不合理的歧視或?qū)Q(mào)易進(jìn)行變相限制，也不可對數(shù)據(jù)傳輸進(jìn)行超出實(shí)現(xiàn)目的所需限度的限制。

可見，CPTPP的基本理念是鼓勵(lì)跨境數(shù)據(jù)自由流動(dòng)，原則上禁止各締約國做出數(shù)據(jù)本地化的要求。CPTPP繼承了美國的跨境數(shù)據(jù)傳輸理念，更多考慮到的是電子商務(wù)的發(fā)展需求。也許是為了兼顧保障人權(quán)的需要，CPTPP設(shè)置了公共政策一般例外條款，但條文中對“什么樣的公共政策目的是合法公共政策目的”沒有做出列舉性的說明，只是規(guī)定為實(shí)現(xiàn)合法公共政策目的所為措施不可構(gòu)成任意或不合理的歧視或?qū)Q(mào)易進(jìn)行變相限制，也不可對數(shù)據(jù)傳輸進(jìn)行超出實(shí)現(xiàn)目的所需限度的限制，條文語言較為曖昧。在發(fā)生糾紛時(shí)，對爭議措施的合法性、正當(dāng)性的判斷可能會(huì)變得困難，導(dǎo)致公共政策一般例外條款被濫用的局面，在適用時(shí)需要適用目的解釋、體系解釋等各種方法來進(jìn)行判斷。

（二）日歐經(jīng)濟(jì)伙伴關(guān)系協(xié)定（EPA）中的跨境數(shù)據(jù)流動(dòng)規(guī)則

2018年，日本和歐盟簽訂了“日歐經(jīng)濟(jì)伙伴關(guān)系協(xié)定”，2019年正式生效。日歐EPA的談判涉及商品貿(mào)易、原產(chǎn)地規(guī)則、服務(wù)貿(mào)易、電子商務(wù)等各方面的內(nèi)容，該協(xié)議條文中并沒有與“跨境數(shù)據(jù)流動(dòng)”直接相關(guān)的規(guī)定，但事實(shí)上日歐之間在洽談EPA協(xié)議的同時(shí)，就個(gè)人數(shù)據(jù)的自由流動(dòng)問題也一直在進(jìn)行磋商。2016年7月，日本個(gè)人信息保護(hù)委員會(huì)發(fā)布“努力構(gòu)建日歐間數(shù)據(jù)自由流動(dòng)體制”的方針，2017年7月，日歐之間達(dá)成合意，日本將對歐盟適用《個(gè)人信息保護(hù)法》第24條，允許個(gè)人信息在日歐之間自由流動(dòng)，而歐盟基于《通用數(shù)據(jù)保護(hù)條例》（GDPR）第24條，對日本進(jìn)行“保護(hù)充分性認(rèn)定“制度，將日本列入數(shù)據(jù)流動(dòng)白名單國家，使日歐之間個(gè)人信息可以自由流動(dòng)。2019年1月，日歐間“保護(hù)充分性”相互認(rèn)定正式生效，由此，日歐間的個(gè)人信息可自由流動(dòng)。

（三）區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定（RCEP）中的跨境數(shù)據(jù)流動(dòng)規(guī)則

《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（RCEP）是2012年由東盟發(fā)起，談判歷時(shí)八年，2020年11月15日，第四次區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定（RCEP）領(lǐng)導(dǎo)人會(huì)議以視頻方式舉行，會(huì)后東盟10國和中國、日本、韓國、澳大利亞、新西蘭共15個(gè)亞太國家正式簽署了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》。

RCEP中有關(guān)跨境數(shù)據(jù)流動(dòng)的條款主要是第12章14條和15條。同CPTPP一樣，RCEP第12章第14條和第15條也存在著一般例外條款，明確締約國為實(shí)現(xiàn)正當(dāng)?shù)墓舱呖梢圆扇”匾胧﹣硐拗瓶缇硵?shù)據(jù)流動(dòng)或?qū)嵤?shù)據(jù)本地化，但不能構(gòu)成任意或不合理的歧視或限制貿(mào)易自由，但與CPTPP不同的是，RCEP中規(guī)定，為實(shí)現(xiàn)公共政策采取措施的必要性由措施實(shí)施國自行判斷，其他各締約國不可對該措施有異議?？梢姡啾菴PTPP，RCEP對于數(shù)據(jù)跨境自由流動(dòng)采取的態(tài)度更為謹(jǐn)慎，締約國可以隨時(shí)采取措施，叫?？缇硵?shù)據(jù)自由流動(dòng)或者要求他國信息處理者實(shí)施數(shù)據(jù)本地化。

三、跨境數(shù)據(jù)流動(dòng)監(jiān)管領(lǐng)域中國法律應(yīng)對

（一）中國跨境數(shù)據(jù)流動(dòng)治理方面主要存在的問題

1.立法內(nèi)容缺乏可操作性?！毒W(wǎng)絡(luò)安全法》是我國目前為止數(shù)據(jù)跨境流動(dòng)方面重要的法律，但其立法內(nèi)容卻缺乏可操作性?！毒W(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。但對于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者的具體范圍沒有規(guī)定，只是在第31條規(guī)定，由國務(wù)院進(jìn)一步確定關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。近日生效的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第18條采用“非窮盡列舉+認(rèn)證”的模式來界定關(guān)鍵信息基礎(chǔ)設(shè)施的概念，導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施的范圍很廣，缺乏可預(yù)測性。另外，條文中規(guī)定一般業(yè)務(wù)要向境外傳輸數(shù)據(jù)需要經(jīng)過安全評估，但對于評估的標(biāo)準(zhǔn)，現(xiàn)在還處在意見稿階段，并且該評估辦法由于過大地?cái)U(kuò)張了數(shù)據(jù)本地化義務(wù)，引起了許多爭議。可見，《網(wǎng)絡(luò)安全法》雖然位階高，但是在跨境數(shù)據(jù)流動(dòng)治理方面的立法內(nèi)容大多是原則性規(guī)定，在實(shí)踐中缺乏可操作性。2021年9月生效的《數(shù)據(jù)安全法》是護(hù)航我國數(shù)據(jù)安全，助力數(shù)字經(jīng)濟(jì)發(fā)展的重要法律，其亮點(diǎn)之一是實(shí)現(xiàn)了對跨境數(shù)據(jù)的域外管轄，并定下了積極開展數(shù)據(jù)領(lǐng)域國際交流與合作，促進(jìn)數(shù)據(jù)安全、自由流動(dòng)的方針，但是《數(shù)據(jù)安全法》中關(guān)于如何進(jìn)行跨境數(shù)據(jù)傳輸沿用了《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定，并沒有進(jìn)一步進(jìn)行細(xì)化，如何進(jìn)行數(shù)據(jù)分級管理、數(shù)據(jù)安全評估辦法的實(shí)施細(xì)則還不完善、關(guān)鍵信息基礎(chǔ)設(shè)施范圍過于寬泛等問題還未解決，同樣存在立法內(nèi)容缺乏操作性的問題。

2.《個(gè)人信息保護(hù)法》中個(gè)人信息跨境流動(dòng)規(guī)制過于嚴(yán)苛。2021年11月1日起實(shí)施的《個(gè)人信息保護(hù)法》中專章規(guī)定了個(gè)人信息跨境提供規(guī)則，是完善我國在個(gè)人信息跨境流動(dòng)法律監(jiān)管制度歷程上的重要里程碑。對比中日兩國個(gè)人信息保護(hù)法中關(guān)于數(shù)據(jù)跨境流動(dòng)的法律規(guī)定，內(nèi)容基本相近，但也略有不同。例如，有關(guān)“個(gè)人信息處理者因業(yè)務(wù)等需要，確需向中華人民共和國境外提供個(gè)人信息”的條件，中國采用的是“經(jīng)安全評估/經(jīng)安全認(rèn)證/與境外接收信息者之間已約定符合本法規(guī)定的權(quán)利義務(wù)+本人同意”的模式，日本采用的是“須經(jīng)本人同意為原則，法定情形可不經(jīng)本人同意為例外”的模式，其中法定情形包括：第一，信息接收方身處白名單國家。第二，信息接收方信息保護(hù)水平達(dá)一定的標(biāo)準(zhǔn)。例如，同樣是“與境外接收信息者之間已約定符合本法規(guī)定的權(quán)利義務(wù)”這一場合，按照中國的個(gè)人信息保護(hù)法，需同時(shí)滿足該項(xiàng)條件和取得數(shù)據(jù)主體同意才能進(jìn)行數(shù)據(jù)跨境傳輸;而按照日本的個(gè)人信息保護(hù)法，若滿足此項(xiàng)要求，即使沒有事先取得數(shù)據(jù)主體同意，也可以進(jìn)行數(shù)據(jù)跨境傳輸。又如日本的個(gè)人信息保護(hù)法中規(guī)定，因客觀情況事先無法取得數(shù)據(jù)主體同意時(shí)，向數(shù)據(jù)主體告知法律規(guī)定事項(xiàng)并向個(gè)人信息保護(hù)委員會(huì)報(bào)備之后也可跨境傳輸個(gè)人信息，而中國的個(gè)人信息保護(hù)法中并沒有這樣的規(guī)定?？梢?，中國對于個(gè)人數(shù)據(jù)跨境流動(dòng)的監(jiān)管更為嚴(yán)格，嚴(yán)格采用“須經(jīng)數(shù)據(jù)主體同意后才可傳輸”的原則。相比日本，我國體現(xiàn)出對個(gè)人信息保護(hù)從嚴(yán)保護(hù)的決心，但是也可能會(huì)因此對跨境電商施加過大的合規(guī)壓力。

3.缺乏專門的跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)?！稊?shù)據(jù)安全法》明確了中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)國家數(shù)據(jù)安全工作的決策和議事協(xié)調(diào)，研究制定、指導(dǎo)實(shí)施國家數(shù)據(jù)安全戰(zhàn)略和有關(guān)重大方針政策，統(tǒng)籌協(xié)調(diào)國家數(shù)據(jù)安全的重大事項(xiàng)和重要工作，建立國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制;各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負(fù)責(zé);國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。其中存在的問題是，我國缺少一個(gè)專門的跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)或者數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)。如果各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全各自負(fù)責(zé)，而上級部門只是負(fù)責(zé)統(tǒng)籌協(xié)調(diào)等宏觀方面的工作，那么難免會(huì)出現(xiàn)對跨境數(shù)據(jù)進(jìn)行評估、審查、監(jiān)管，以防止監(jiān)管的缺失、重疊或者越位等問題。

4.我國跨境數(shù)據(jù)治理的國際規(guī)制參與度較低。習(xí)近平總書記多次強(qiáng)調(diào)，要牢牢把握信息化發(fā)展的新機(jī)遇，堅(jiān)定貫徹新發(fā)展理念，加快推進(jìn)數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化、積極參與數(shù)字經(jīng)濟(jì)國開放合作。目前為止，我國尚未同大的數(shù)據(jù)經(jīng)濟(jì)體簽訂明確可供執(zhí)行的數(shù)據(jù)跨境流動(dòng)協(xié)議，也尚未同貿(mào)易伙伴建立數(shù)據(jù)自由流動(dòng)的互信機(jī)制。我國對跨境數(shù)據(jù)治理的國際規(guī)制參與度較低可能會(huì)導(dǎo)致我國失去跨境數(shù)據(jù)國際規(guī)制定方面的主導(dǎo)話語權(quán)，造成“數(shù)據(jù)孤島”的現(xiàn)象，不利于一個(gè)數(shù)據(jù)大國的經(jīng)濟(jì)發(fā)展。

（二）跨境數(shù)據(jù)流動(dòng)的中國方案

1.提高跨境數(shù)據(jù)流動(dòng)治理方面的立法層級，完善操作細(xì)則。我國目前有關(guān)數(shù)據(jù)跨境流動(dòng)治理方面，層級為法律的立法是《網(wǎng)絡(luò)安全法》與《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，但這三部法律立法內(nèi)容過于原則，缺乏可操作性，因此我國應(yīng)提高與其配套的實(shí)施細(xì)則的立法層級。例如，同《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》相配套的《個(gè)人信息出境安全評估辦法（征求意見稿）》的效力層級僅為規(guī)范性文件，并尚處于意見稿狀態(tài)，這就使原則性立法缺少可操作性。因此，我國應(yīng)盡快出臺立法層級較高的實(shí)施細(xì)則，形成完善的跨境數(shù)據(jù)流動(dòng)治理體系，增強(qiáng)原則性法律的可操作性。另外，我國需盡快完善《個(gè)人信息保護(hù)法》的實(shí)施細(xì)則。《個(gè)人信息保護(hù)法》中針對個(gè)人數(shù)據(jù)跨境傳輸規(guī)定了嚴(yán)格的“須經(jīng)數(shù)據(jù)主體同意才可傳輸”的原則可能會(huì)給企業(yè)增加了過重的合規(guī)負(fù)擔(dān)。而日本在企業(yè)因客觀情況無法取得數(shù)據(jù)主體事先同意的場合下，允許個(gè)人信息經(jīng)營者在完成通知義務(wù)和向個(gè)人信息保護(hù)委員會(huì)的報(bào)備義務(wù)之后，向境外傳輸非敏感信息，適當(dāng)“網(wǎng)開一面”，避免實(shí)踐中在無法事先取得數(shù)據(jù)主體同意的情況下出現(xiàn)僵局的情況，有利于兼顧商事行為的效率。我國也許可借鑒日本《個(gè)人信息保護(hù)法》的實(shí)施細(xì)則，適當(dāng)為“須經(jīng)數(shù)據(jù)主體同意才可傳輸”的原則增添更多的例外情況，減輕企業(yè)的合規(guī)負(fù)擔(dān)，更好地促進(jìn)數(shù)字經(jīng)濟(jì)的跨境發(fā)展。

2.我國要盡快建立專門的數(shù)據(jù)跨境流動(dòng)監(jiān)管機(jī)構(gòu)。我國缺乏專門的、權(quán)責(zé)明確的跨境數(shù)據(jù)監(jiān)管機(jī)構(gòu)，而日本、歐盟等數(shù)據(jù)大國都擁有專門的跨境數(shù)據(jù)流動(dòng)監(jiān)管機(jī)構(gòu)。日本設(shè)立了個(gè)人信息保護(hù)委員會(huì)，作為獨(dú)立的個(gè)人信息監(jiān)管機(jī)構(gòu)。在個(gè)人數(shù)據(jù)跨境傳輸方面，個(gè)人信息保護(hù)委員會(huì)承擔(dān)了對他國個(gè)人信息保護(hù)體制完善性進(jìn)行評估、確定“白名單國家”、監(jiān)督處理個(gè)人信息經(jīng)營者的跨境個(gè)人數(shù)據(jù)傳輸行為、協(xié)助企業(yè)進(jìn)行個(gè)人數(shù)據(jù)保護(hù)合規(guī)等職責(zé)，對個(gè)人數(shù)據(jù)跨境傳輸治理起到了很大的整合、協(xié)調(diào)作用。筆者認(rèn)為，我國可以借鑒日本這種設(shè)立專門數(shù)據(jù)監(jiān)管機(jī)構(gòu)的做法，設(shè)立一個(gè)國家數(shù)據(jù)安全保護(hù)機(jī)關(guān)，專門負(fù)責(zé)數(shù)據(jù)規(guī)范的具體落實(shí)、數(shù)據(jù)安全評估、企業(yè)合規(guī)監(jiān)管與協(xié)助、跨境數(shù)據(jù)源流動(dòng)治理等活動(dòng)。

3.積極參與國際規(guī)則的制定和國際條約的簽訂。首先，我國應(yīng)當(dāng)積極參與世貿(mào)組織有關(guān)數(shù)據(jù)跨境流動(dòng)的談判。世界貿(mào)易組織作為世界全面調(diào)整各國、各地區(qū)貿(mào)易關(guān)系和貿(mào)易政策規(guī)模最大、范圍最廣的國際經(jīng)濟(jì)組織，對各成員貿(mào)易領(lǐng)域立法產(chǎn)生了很大的影響。近年來，隨著信息化的飛速發(fā)展，國際貿(mào)易中的各個(gè)環(huán)節(jié)都依賴于數(shù)據(jù)的流動(dòng)，因此世貿(mào)組織會(huì)議上也掀起對如何規(guī)制跨境數(shù)據(jù)量流動(dòng)的熱烈討論。世貿(mào)組織在2020年12月的報(bào)告中指出，新冠疫情的暴發(fā)加速了數(shù)字經(jīng)濟(jì)的發(fā)展，跨境電商將成為國際貿(mào)易復(fù)蘇的重要一環(huán)，制定有利于電子數(shù)據(jù)流通的規(guī)則具有重要的商業(yè)意義，世貿(mào)組織會(huì)在2021年的前期對這個(gè)議題進(jìn)行更深層次的談判。日本對于本次世貿(mào)組織有關(guān)數(shù)據(jù)治理的談判十分重視，在2019年1月9日，日美歐三方貿(mào)易部長舉行會(huì)談并發(fā)表共同聲明，確認(rèn)對盡快啟動(dòng)世貿(mào)組織關(guān)于電子商務(wù)談判的支持;2019年1月23日世界經(jīng)濟(jì)論壇年會(huì)的演講中，日本首相安倍提道：“希望今年的G20峰會(huì)成為全球數(shù)據(jù)治理的起點(diǎn)，為大家長久記憶。聚焦數(shù)據(jù)治理的峰會(huì)，我們不當(dāng)先將其命名為大阪軌道，開始在世貿(mào)組織對此進(jìn)行討論。”可見，日本不但將全球數(shù)據(jù)治理問題與G20峰會(huì)掛鉤，還延伸到世貿(mào)組織改革的討論中，如今日美歐已經(jīng)隱隱主導(dǎo)了世貿(mào)組織有關(guān)數(shù)據(jù)全球治理的談判，中國也應(yīng)當(dāng)積極參與本次世貿(mào)組織有關(guān)數(shù)據(jù)全球治理的談判，努力爭取制定規(guī)則的話語權(quán)。其次，我國可以考慮通過簽訂雙邊協(xié)定，與他國進(jìn)行雙邊數(shù)據(jù)保護(hù)充分性認(rèn)定。雙邊數(shù)據(jù)保護(hù)充分性認(rèn)定，就是兩個(gè)國家之間簽訂雙邊協(xié)議，認(rèn)定對方對于數(shù)據(jù)保護(hù)程度已達(dá)到和本國同等水平，互相將對方加入本國的數(shù)據(jù)流動(dòng)“白名單國家”，允許數(shù)據(jù)在本國和對方國之間自由流動(dòng)。日本已經(jīng)和歐盟、英國相互進(jìn)行了充分性認(rèn)定，這樣做的好處一來是可以使本國的電子商務(wù)從業(yè)者可以更方便地進(jìn)入對方國家的市場，二來也可以促進(jìn)本國數(shù)據(jù)保護(hù)法律體制的完善。據(jù)中國貿(mào)易報(bào)報(bào)道，截至2020年初，來自不同國家的18個(gè)監(jiān)管機(jī)構(gòu)發(fā)出444份正式或非正式跨境互助協(xié)議，回應(yīng)率高達(dá)79.5%?？梢?，聯(lián)合監(jiān)管已成為數(shù)據(jù)流動(dòng)監(jiān)管的重要發(fā)展趨勢。我國在國際上的影響力日益攀升，對于愿意與我國合作，同我國關(guān)系良好的國家，我們可以借鑒日本、歐盟的做法，與這些國家進(jìn)行雙邊數(shù)據(jù)保護(hù)充分性認(rèn)定，采取跨境數(shù)據(jù)監(jiān)管對等措施，形成數(shù)據(jù)跨境流動(dòng)的信任體系。再次，我國還可以嘗試加入更多的區(qū)域貿(mào)易協(xié)定。例如我國現(xiàn)在加入的RCEP協(xié)議，在數(shù)據(jù)跨境流動(dòng)方面，雖然主要還是倡導(dǎo)數(shù)據(jù)在締約國之間無障礙自由流動(dòng)，但也賦予締約國隨時(shí)“叫停權(quán)”，比較適合我國以監(jiān)管為原則的跨境數(shù)據(jù)管理理念。我國可以加入如RCEP這樣擁有彈性較大數(shù)據(jù)流動(dòng)規(guī)則的協(xié)議，或者發(fā)起相關(guān)區(qū)域合作，推進(jìn)多邊數(shù)據(jù)跨境流動(dòng)談判，打造聯(lián)合監(jiān)管同盟。

參考文獻(xiàn)：

[1]? 張曉磊.日本跨境數(shù)據(jù)流動(dòng)治理問題研究[J].日本學(xué)刊，2020，（4）：85-108.

[2]? 崔靜.歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管的經(jīng)驗(yàn)做法及我國的策略選擇[J].經(jīng)濟(jì)體制改革，2021，（2）：173-179.

[3]? 范思博.數(shù)據(jù)跨境流動(dòng)中的個(gè)人數(shù)據(jù)保護(hù)[J].電子知識產(chǎn)權(quán)，2020，（6）：85-97.

[4]? 東條吉純.「WTO協(xié)定による越境データ流通の規(guī)律と限界」.“RIETI Discussion Paper Series”，20-J-011.

[5]? 崔靜.歐美數(shù)據(jù)跨境流動(dòng)監(jiān)管的經(jīng)驗(yàn)做法及我國的策略選擇[J].經(jīng)濟(jì)體制改革，2021，（2）：173-179.

[6]? 『個(gè)人情報(bào)保護(hù)法ガイドライン』（外國第三者提供編）[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[7]? 『個(gè)人情報(bào)の保護(hù)に関する法律』（平成15年法律第57號）[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[8]? 『平成 28 年個(gè)人情報(bào)保護(hù)委員會(huì)規(guī)則第 3 號』[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[9]? CPTPP Chapter14 ElectronicCommerce[Z/OL].http：//www.mfat.govt.nz/assets/Trans-Pacific-Partnership/Text/14.-Eletronic-Commerce-Chapter.pdf，2021-05-14.

[10]? 『地域的な包括的経済連攜（RCEP）協(xié)定』.https：//www.mofa.go.jp/mofaj/gaiko/fta/j-eacepia/index.html，2021-05-16.

[11]? 『個(gè)人情報(bào)保護(hù)委員會(huì)について』.https：//www.ppc.go.jp/aboutus/commission/，2021-05-16.

[12]? WTO：2020年世界貿(mào)易報(bào)告（附報(bào)告）[Z/OL].https：//www.dx2025.com/archives/111561.html，2021-05-14.

[責(zé)任編輯 曉 群]