(山東科技大學(xué) 文法學(xué)院,山東 青島 266590)

個人數(shù)據(jù)跨境流動(以下簡稱“數(shù)據(jù)跨境流動”)是指任何與個人相關(guān)的可識別信息的跨境轉(zhuǎn)移(1)The OECD Privacy Framework, 2013，p.13.盡管有學(xué)者認為“信息”和“數(shù)據(jù)”并不相同，但《OECD隱私框架》與《亞太經(jīng)合組織隱私框架》中均將“個人數(shù)據(jù)”(personal date)和“個人信息”(personal information)等同互換而未加區(qū)分；另鑒于該問題并非本文探討主題、也并非需要解決的先決問題，是故，本文在此不作區(qū)分。，它為全球帶來的經(jīng)濟價值已經(jīng)超過單純的貨物貿(mào)易貢獻，[1]但也為個人信息保護(2)對于“個人信息保護”，也被稱之為“個人隱私保護”，如美國、APEC等，其本質(zhì)并無不同。See Erdem Büyüksagis, Towards a transatlantic concept of data privacy, Fordham Intellectual Property Media & Entertainment Law Journal, vol.30, 2019, p.139,150-164.帶來了風(fēng)險和困難。為了在促進數(shù)據(jù)跨境流動自由化的同時，又能兼顧對個人信息的保護，以歐盟、美國為代表在國際層面分別采取了不同的合作規(guī)制進路。我國參與簽署的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》(RCEP)中也有針對數(shù)據(jù)跨境流動的專門條款，這是我國就數(shù)據(jù)跨境流動在國際層面作出的首次立法嘗試，但是囿于不同締約方在電子商務(wù)發(fā)展以及個人信息保護水平方面差距較大，協(xié)定文本沒能對跨境規(guī)則進行明確和細化。我國擁有龐大的個人數(shù)據(jù)資源，以收費數(shù)字服務(wù)、電子商務(wù)、ICT產(chǎn)品和服務(wù)等為代表的數(shù)字經(jīng)濟也在加速發(fā)展，與之相關(guān)的數(shù)據(jù)跨境傳輸就在所難免，我們必須加強對該領(lǐng)域國際規(guī)則的探索和實踐，以助力數(shù)字經(jīng)濟賦能的產(chǎn)業(yè)轉(zhuǎn)型升級。中國、日本和韓國都是數(shù)據(jù)跨境流動規(guī)模較大的經(jīng)濟體，三國之間密切的經(jīng)濟交往使得跨境數(shù)據(jù)流動具有較高的親密度和相關(guān)性，[2]各自國內(nèi)對個人信息的重視和保護以及對數(shù)據(jù)出境的相似要求都使得三國之間具備合作的基礎(chǔ)。而這種合作可以通過哪種類型的條約以及何種規(guī)模來實現(xiàn)，正是我們需要預(yù)先著手研究的內(nèi)容。

一、共同的個人數(shù)據(jù)出境前提——“同意”

隨著云計算、物聯(lián)網(wǎng)和大數(shù)據(jù)的出現(xiàn)，經(jīng)貿(mào)活動中對數(shù)據(jù)跨境傳輸?shù)男枨笕找嫱?，中日韓三國近幾年都有涉及數(shù)據(jù)跨境傳輸?shù)牧⒎ㄅe措。三個國家都以征得信息主體同意作為允許向境外第三方提供信息的前提，但是對于告知內(nèi)容的規(guī)定卻不盡相同。比如，除了均須告知輸出信息類別、使用目的、存儲和使用期限、傳輸時間、傳輸方式、目的國、接收方情況等以外，韓國還要求明確告知信息主體享有拒絕同意的權(quán)利以及拒絕后對信息主體可能造成的不利影響；(3)See Korea’s Personal Information Protection Act, arts.17.2&63.2.日本要求向信息主體告知目的國有關(guān)個人信息保護的法律制度、信息接收方擬采取的保護措施以及其他相關(guān)情況，以便信息主體決定是否同意；(4)See Japan’s Act on the Protection of Personal Information, art.24.2&3.對于“同意”本身，比如，征求信息主體同意應(yīng)采用“選擇性加入(opt-in)”還是“選擇性退出(opt-out)”、是否只有單獨作出的同意才被認定為信息主體的許可、不需征得“同意”的例外情形等問題，三個國家的規(guī)定并不相同。除了以信息主體同意為出境前提外，根據(jù)相關(guān)立法草案，中國還規(guī)定要對擬出境信息進行安全評估，是否會對信息主體造成損害是評估的一個重要方面，該評估由網(wǎng)絡(luò)運營者主動向所在地省級網(wǎng)信部門申報，由網(wǎng)信部門出具評估結(jié)論。(5)參見《個人信息和重要數(shù)據(jù)出境安全評估辦法》第四條、第七條、第十一條；《個人信息出境安全評估辦法(征求意見稿)》第二條、第三條、第十四條。此外，諸如有關(guān)“敏感信息”“跨境數(shù)據(jù)”等特定類型數(shù)據(jù)的認定和處理規(guī)定，也與數(shù)據(jù)跨境流動相關(guān)，但是三國的規(guī)定也并不完全相同。

由此可見，中日韓立法對于數(shù)據(jù)跨境流動的規(guī)則大體一致，為了防止個人數(shù)據(jù)出境后給本國公民造成損害，原則上都以獲得信息主體同意為前提，并且都在立法中對后續(xù)通過國際合作便利數(shù)據(jù)跨境傳輸予以授權(quán)，這些都為三國之間創(chuàng)建合作機制提供了法律上的可能性。但突出的問題是，技術(shù)性的細節(jié)差異較多?！澳Ч黼[藏在細節(jié)中”，大量的、細微的規(guī)則差異也足以構(gòu)成不同法域間數(shù)據(jù)流動的制度藩籬，如果一個企業(yè)要向位于另外兩個國家境內(nèi)的客戶傳輸必要的個人數(shù)據(jù)，就必須對這些立法中所謂的“細枝末節(jié)”洞若觀火，通常做法是委托專業(yè)律師團隊作合規(guī)培訓(xùn)和把關(guān)，但這無疑會大大增加企業(yè)的運營成本。如果隱私保護制度的執(zhí)行成本過高，企業(yè)可能會選擇想方設(shè)法規(guī)避數(shù)據(jù)保護義務(wù)，而不是采取合規(guī)行為。

二、中日韓合作規(guī)制條約類型選擇

目前涉及到數(shù)據(jù)跨境流動的國際規(guī)則有兩類：一類是內(nèi)含電子商務(wù)或者數(shù)字貿(mào)易條款的自由貿(mào)易協(xié)定，其中WTO下的《服務(wù)貿(mào)易總協(xié)定》(GATS)以及新近簽署的RCEP可以適用于中日韓三國，此外中韓之間還有《中國韓國自由貿(mào)易協(xié)定》；另一類是就數(shù)據(jù)跨境流動中的個人信息保護事項專門建立的合作機制，我國尚未簽署此類專門性條約，日本和韓國均為亞太經(jīng)合組織隱私框架(APEC Privacy Framework，以下簡稱“APEC隱私框架”)的締約國。下文將從這幾項條約著手，對中日韓三國在合作時可以選擇的條約類型予以考察分析。

(一)WTO與RCEP對數(shù)據(jù)跨境流動的規(guī)制

以互聯(lián)網(wǎng)為媒介的跨境經(jīng)貿(mào)往來規(guī)模日益龐大，無論是自由貿(mào)易協(xié)定中的集大成者WTO還是“新秀”RCEP，都試圖對跨境電子商務(wù)進行規(guī)制，其中就涉及成員方國內(nèi)的數(shù)據(jù)跨境流動措施。但是由于多邊貿(mào)易談判的成果最終只鎖定在有限的商貿(mào)領(lǐng)域，所以對締約方來說，并不是其所有的商貿(mào)數(shù)據(jù)出境措施都受到貿(mào)易協(xié)定的規(guī)制。并且RCEP和GATS都允許成員方就服務(wù)部門以及服務(wù)提供方式作出具體承諾，以作為其各自的義務(wù)范圍，因此只有涉及這些承諾范圍的國內(nèi)措施才受條約約束，當跨境傳輸數(shù)據(jù)本身就構(gòu)成服務(wù)貿(mào)易模式——“跨境提供”時，成員方有關(guān)數(shù)據(jù)跨境傳輸?shù)膰鴥?nèi)法措施就會影響其對“市場準入”承諾的遵守。由于不同的產(chǎn)業(yè)發(fā)展現(xiàn)狀和國內(nèi)需求，一個國家會就不同部門或者同一部門中不同服務(wù)提供方式的“市場準入”作出不同承諾，也就意味著都是數(shù)據(jù)跨境傳輸行為，但是由于分屬不同的服務(wù)貿(mào)易門類，輸出國需要采取不同的規(guī)制措施，這顯然是不合理的。并且GATS和RCEP服務(wù)貿(mào)易的承諾表都采取了傳統(tǒng)的服務(wù)部門劃分方法，(6)GATS目前采用的是1991年版的《聯(lián)合國核心產(chǎn)品分類》(United Nations Provisional Central Product Classification)。使得一些大量參與數(shù)據(jù)跨境傳輸?shù)男屡d產(chǎn)業(yè)，比如社交網(wǎng)絡(luò)、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)通訊工具等，無法被準確、無爭議地歸入到某一具體部門，進而無法確定成員方對該類網(wǎng)絡(luò)平臺的數(shù)據(jù)跨境傳輸有權(quán)采取的規(guī)制措施。

其次，就具體的數(shù)據(jù)傳輸規(guī)則來看，WTO目前尚無專門條款規(guī)定，各國可以自行維持和制訂數(shù)據(jù)出境的國內(nèi)規(guī)則，只要不違反其在GATS下的義務(wù)即可，特定情況下允許成員方為了保護個人隱私而背離GATS的義務(wù)；(7)See GATS art.XIV.c(ii).但是例外條款中的“個人數(shù)據(jù)”“處理”“隱私”等語匯缺乏具體規(guī)定和實踐，并且就WTO案例中援引“例外條款”的邏輯來看，成員方應(yīng)該是以保護個人隱私為由限制本國數(shù)據(jù)出境，這對加強該成員作為數(shù)據(jù)輸入國、保護來自于他國國民個人信息作用十分有限。不同于WTO，RCEP中有專門的“電子商務(wù)”章節(jié)，內(nèi)設(shè)數(shù)據(jù)跨境流動條款,但是該條款仍然將設(shè)置具體規(guī)則的權(quán)力交給了成員方，對于成員方的義務(wù)僅作了以下概括性規(guī)定：不得阻礙協(xié)定所涵蓋領(lǐng)域中的電子數(shù)據(jù)跨境傳輸，(8)See RCEP art.12.15.1&2.努力避免對電子交易施加不必要的負擔，(9)See RCEP art.12.10.2.盡可能通過合作保護來自于其他成員方境內(nèi)的個人信息等。(10)See RCEP art.12.8.5.所以，盡管有數(shù)據(jù)跨境流動條款，但RCEP下各國對數(shù)據(jù)出境仍然是維持各自不同的程序或?qū)嶓w性要求，如前文所述，這些差異化的要求會為企業(yè)增加負擔，成為數(shù)據(jù)跨境流動的制度性壁壘。

綜上，這兩個貿(mào)易協(xié)定都不能為中日韓之間的數(shù)據(jù)跨境流動提供一個統(tǒng)一的、足夠具體的規(guī)則，無法消弭此領(lǐng)域三個國家國內(nèi)法的差異，對來自于其他締約方的個人信息是否能夠在接收國得到有效保護，也都沒有給予足夠關(guān)注。

(二)APEC隱私框架

APEC隱私框架是專門針對數(shù)據(jù)跨境流動以及其中的個人信息保護而制訂的一套多邊合作機制，它明確了個人隱私保護的原則，除了可以適用于貿(mào)易中的數(shù)據(jù)跨境流動外，還可以適用于包括投資在內(nèi)的其他經(jīng)濟領(lǐng)域、以及社會領(lǐng)域的數(shù)據(jù)跨境流動，它將加強有效隱私保護和促進信息自由流動作為共同目標，避免隱私保護成為信息流動的障礙。[3]“跨境隱私執(zhí)行安排”(APEC Cross-border Privacy Enforcement Arrangement, CPEA)和“跨境隱私規(guī)則體系”(APEC Cross-Border Privacy Rules system，CBPR)分別是該“框架”下兩個具體實施機制，CPEA建立了成員方之間的跨境隱私保護合作機制，CBPR則為成員方境內(nèi)所屬機構(gòu)的個人信息跨境傳輸制訂了行為標準，以及第三方評估認證程序。加入CBPR的前提是某一APEC成員國的個人隱私保護部門應(yīng)先加入CPEA——日本個人信息保護委員會(Personal Information Protection Commission of Japan)、韓國內(nèi)政部、韓國通訊委員會(Korea Communications Commission)均是CPEA的成員，成員之間可以自愿就分享信息、跨境調(diào)查和執(zhí)法、跨境投訴處理等事項按照特定程序請求協(xié)助。CPEA中還規(guī)定了與非成員方的合作，也就是說，雖然我國工信部并非CPEA的成員，中日韓之間的跨境隱私保護合作仍然可以CPEA為依據(jù)，但是除了要求在“職責(zé)權(quán)限內(nèi)”“盡力合作”外，它對與非成員的合作程序、具體事項等語焉不詳。(11)See APEC Cross-border Privacy Enforcement Arrangement, art.9.4&5.即便是成員之間，CPEA也允許一方基于違反國內(nèi)法規(guī)或政策、能力或資源不足、與其利益不相符等原因拒絕其他成員的合作請求。(12)See APEC Cross-border Privacy Enforcement Arrangement, art.7.1.

CBPR是一種“以組織機構(gòu)為基礎(chǔ)(organizationally-based)”的數(shù)據(jù)跨境傳輸合作機制，各締約方可以指定其國內(nèi)的特定機構(gòu)作為CBPR下問責(zé)機制的責(zé)任代理人(Accountability Agent)，責(zé)任代理人負責(zé)對本國企業(yè)是否符合APEC隱私框架進行評估，通過認證的企業(yè)據(jù)此更容易獲得合作伙伴、消費者或者政府機構(gòu)的信賴，比如有的國家規(guī)定向獲得此類認證的企業(yè)傳輸數(shù)據(jù)時，可免于征求信息主體同意，因此，該機制的設(shè)計確實有利于加強隱私保護和促進信息自由流動雙重目標的實現(xiàn)。這種認證是基于企業(yè)的自愿申請，由于CBPR并不要求成員方修改國內(nèi)法，而只是在成員方國內(nèi)缺乏個人信息保護的規(guī)定時，提供一個最低保護標準，[4]所以責(zé)任代理人可以自行確定符合APEC隱私框架九大原則的評估標準，給予申請人認證，但是，即便獲得了認證，企業(yè)仍然要遵守不同成員國不同的數(shù)據(jù)跨境傳輸國內(nèi)法，因為CBPR無意替代或者修改成員方的國內(nèi)法。日本和韓國都參加了該體系，并各自擁有一個CBPR責(zé)任代理人，(13)指定的責(zé)任代理人分別是日本信息經(jīng)濟社會推進協(xié)會(JIPDEC)和韓國互聯(lián)網(wǎng)振興院(KISA)。但是責(zé)任代理人數(shù)量太少可能會使得認證價格過高，從而不利于企業(yè)，尤其是中小企業(yè)參與該體系的認證，[5]從目前情況來看，韓國和日本參與該認證體系的企業(yè)并不多。(14)日本有四家企業(yè)經(jīng)由JIPDEC做了CBPR認證，其中Intasect公司就與其在中國子公司之間的簽證服務(wù)作了認證。韓國尚未有企業(yè)進行CBPR 認證。http:∥cbprs.org/compliance-directory/cbpr-system/，最后訪問時間： 2021年2月27日。

(三)自由貿(mào)易協(xié)定vs.專門性的國際條約

通過以上分析可以看出，APEC隱私框架較WTO和RCEP更有利于促進數(shù)據(jù)自由流動和隱私保護，它針對性更強，規(guī)則設(shè)計更豐富，數(shù)據(jù)自由流動和隱私保護平衡的預(yù)設(shè)目標也更容易實現(xiàn)。無論WTO還是RCEP，作為經(jīng)貿(mào)類協(xié)定，其目的和宗旨決定了在體例安排、規(guī)則擬定上，均以經(jīng)濟貿(mào)易自由化的實現(xiàn)為重心，其依據(jù)貨物貿(mào)易、服務(wù)貿(mào)易、國際投資等調(diào)整對象不同來進行規(guī)則設(shè)計，契合不同種類經(jīng)貿(mào)活動的特點，但是卻可能造成對相同數(shù)據(jù)傳輸行為的不合理分類。雖然意識到保護個人隱私的需要，但是較為籠統(tǒng)的規(guī)定卻可能因為給成員方留下較大立法空間，從而為貿(mào)易主體帶來更大不確定性，這些問題在中韓自貿(mào)協(xié)定的“電子商務(wù)”章也同樣存在。(15)參見《中國-韓國自由貿(mào)易協(xié)定》第13條和第10.3條。自貿(mào)協(xié)定的本質(zhì)屬性決定了它是以推進貿(mào)易自由化、促進成員經(jīng)濟增長為目的，它沒有為成員方設(shè)定保護個人信息和隱私的義務(wù)及權(quán)限。因此，中日韓之間數(shù)據(jù)跨境流動的規(guī)則不應(yīng)依附于貿(mào)易協(xié)定之下，貿(mào)易協(xié)定不能很好地完成這項任務(wù)。APEC隱私框架作為針對性更強的合作機制，可以更好地實現(xiàn)數(shù)據(jù)自由流動和隱私保護，但與貿(mào)易協(xié)定相比，它又缺乏較強的拘束力。由美國主導(dǎo)制訂的隱私保護機制，APEC呈現(xiàn)出與美國國內(nèi)寬松、碎片化的個人信息保護機制一脈相承的特點：CPEA中允許一個成員方拒絕其他成員的合作請求，理由可以是違反國內(nèi)法規(guī)或政策、能力或資源不足、與其利益不相符等；(16)See APEC Cross-border Privacy Enforcement Arrangement, art.7.1.CBPR是一種自愿機制，企業(yè)自愿申請認證，締約方也沒有為了該機制修改國內(nèi)法的義務(wù)。這些意味著，即便中國加入該框架，中日韓三國仍然可以各自維持對數(shù)據(jù)出境前“個人同意”的相關(guān)規(guī)定，那么為數(shù)據(jù)流動消除制度藩籬的合作初衷也就無法實現(xiàn)。

綜上，目前中日韓共同參加的國際機制均不能滿足三國之間數(shù)據(jù)跨境流動的需求，三國之間需要以便利數(shù)據(jù)流動和促進信息保護為目的，在貿(mào)易合作框架外構(gòu)建專門的、有較強拘束力的國際合作機制，同時需要注意由此產(chǎn)生的不同類型條約的交叉適用。

三、中日韓合作規(guī)制模式選擇

目前對數(shù)據(jù)跨境流動的國際合作規(guī)制存在“以組織機構(gòu)為基礎(chǔ)”和“以地域為基礎(chǔ)(geographically-based)”兩種模式，前者以美國及其主導(dǎo)的APEC隱私保護機制為代表，上文已略有介紹；后者以歐盟《通用數(shù)據(jù)保護條例》(GDPR)中的“白名單”機制為代表，即由歐盟委員會對其他國家和地區(qū)的個人信息保護水平進行綜合評估，如果認為其能夠?qū)碜詺W盟的個人信息給予充分保護，那么該國家或者地區(qū)就可列入“白名單”中，信息跨境傳輸時不再需要征得信息主體同意等其他程序。

(一)“以組織機構(gòu)為基礎(chǔ)”vs.“以地域為基礎(chǔ)”

三個國家中目前只有日本既是APEC隱私保護框架的締約方，又通過了歐盟的“白名單”認定，它在國內(nèi)法中引入了部分條款與之銜接，我們在此便以日本國內(nèi)法的相關(guān)規(guī)定為例來分析。

日本的《個人信息保護法》規(guī)定，如果位于第三國的數(shù)據(jù)接收方收到個人數(shù)據(jù)后，擬采取的保護措施符合日本個人信息保護委員會的標準，或者該第三國能夠提供與日本同等水平的個人信息保護，則輸出方無需在信息跨境傳輸前征求信息主體同意。其中個人信息保護委員會的標準是指：(1)個人數(shù)據(jù)出口商和進口商能夠通過提供合同或備忘錄、企業(yè)內(nèi)部規(guī)范、相關(guān)證明文件等做法，滿足日本《個人信息保護法》中對處理個人信息的要求；或者(2)數(shù)據(jù)進口商獲得關(guān)于個人信息保護的國際認證(如CBPR認證)。(17)Japan’s Act on the Protection of Personal Information, art.24.該標準就是以企業(yè)等組織機構(gòu)為基礎(chǔ)的數(shù)據(jù)跨境傳輸規(guī)制模式的體現(xiàn)，接收數(shù)據(jù)的企業(yè)需主動采取措施來實現(xiàn)合規(guī)操作。無論是申請CBPR認證，還是企業(yè)根據(jù)自身情況，如業(yè)務(wù)范圍、數(shù)據(jù)類別、數(shù)據(jù)規(guī)模、傳輸方式和用途等，來逐一擬定合同文本和內(nèi)部規(guī)章等文件，都會大大增加經(jīng)營者的運營成本，對中小型企業(yè)來說更是如此。況且，目前各國在此領(lǐng)域的立法實踐尚處于初期，對未知風(fēng)險的預(yù)測、對立法的規(guī)劃以及法律規(guī)范的表達等都有待完善，于是，這種不成熟的立法階段就會出現(xiàn)頻繁的法律修訂，著眼于風(fēng)險控制的強行性、命令性規(guī)范條款會首當其沖，有關(guān)數(shù)據(jù)出境的規(guī)定即屬此類，這種法律的頻繁變動使得參與數(shù)據(jù)跨境傳輸企業(yè)的負擔在原有基礎(chǔ)上更重了。因此，不若采納日本《個人信息保護法》銜接條款中的后一種規(guī)定情形：由司職個人信息保護的公權(quán)力機構(gòu)通過預(yù)先評估，作出“白名單”認定，來對他國加以甄別。盡管這一任務(wù)量較為龐大，但政府機構(gòu)的一次性投入可以省去企業(yè)分別合規(guī)的時間和經(jīng)濟成本。

“以組織機構(gòu)為基礎(chǔ)”的規(guī)制模式，來源于美國國內(nèi)的個人信息保護制度，根植于其自由市場的文化，人們普遍不太信賴大政府和權(quán)威，傾向于鼓勵依賴市場的自行運作，這與我們東亞三國的法律文化傳統(tǒng)并不一致。尤其在中國，對于作為信息主體的個人來說，與其寄希望于網(wǎng)絡(luò)服務(wù)運營商對自己的保護措施，不如相信公權(quán)力主導(dǎo)下建立的信息監(jiān)管和保護體系，更遑論與美國相比，目前東亞地區(qū)有能力對企業(yè)個人信息保護體系進行評估認證、有影響力的商業(yè)機構(gòu)非常有限，評估主體數(shù)量的欠缺也制約著選擇“以組織機構(gòu)為基礎(chǔ)”的模式。另外，根據(jù)我國的出境前信息安全評估制度，信息主體遭受損害的可能性與程度，與對國家安全和公共利益的影響一樣，共同歸屬于出境前信息安全評估的事項，這種信息安全評估將來不大可能完全交由市場主體決定。因此，無論從法治文化還是市場的現(xiàn)狀和未來判斷，中日韓三國的合作都不宜選擇“以組織機構(gòu)為基礎(chǔ)”作為主要的合作模式。

(二)“以地域為基礎(chǔ)”模式的可行性

1.存在國內(nèi)法中的授權(quán)條款

如前所述，日本在立法和國際實踐中都已明確可以采取“以地域為基礎(chǔ)”的合作規(guī)制模式。韓國目前雖然還沒有作出如日本《個人信息保護法》第5條那樣的明確規(guī)定，但是在《韓國個人信息保護法》《信息通信網(wǎng)絡(luò)的利用和信息保護等相關(guān)法》(以下簡稱《網(wǎng)絡(luò)法》)中都有與他國就數(shù)據(jù)傳輸合作的規(guī)定，尤其是自2018年開始，已經(jīng)有提案要求修訂《網(wǎng)絡(luò)法》第63條，加入“充分或同等數(shù)據(jù)保護標準”，[6]隨著韓國尋求歐盟委員會“白名單”的認定，未來極有可能作出相關(guān)修訂。我國在《個人信息出境安全評估辦法(征求意見稿)》中也為參加這種合作規(guī)制路徑提供了法律依據(jù)，規(guī)定與其他國家、地區(qū)簽署有關(guān)于數(shù)據(jù)出境協(xié)議的，按照協(xié)議規(guī)定執(zhí)行，(18)《個人信息出境安全評估辦法(征求意見稿)》第十五條?！秱€人數(shù)據(jù)保護法(草案)》更明確了要展開與其他國家的合作和規(guī)則互認。(19)《個人數(shù)據(jù)保護法(草案)》第十二條。以上這些授權(quán)條款(或可預(yù)期的授權(quán)條款)為三國選取“以地域為基礎(chǔ)”的合作模式分別提供了國內(nèi)法依據(jù)。

2.具備“充分性認定”的基礎(chǔ)

“以地域為基礎(chǔ)”的合作模式是要通過對另一國家的數(shù)據(jù)保護作出“充分性認定”，使個人數(shù)據(jù)能夠安全、自由地流向第三國，而無須數(shù)據(jù)傳輸者提供進一步的保障措施或申請任何授權(quán)，[7]它要考慮的是第三國的法律體制能否為本國國民的個人信息提供對等有效的保護。目前三國中只有日本發(fā)布了“充分性認定”的評估標準，就核心考量要素來看，采取了與歐盟相同的做法，即分別從立法、執(zhí)法、司法三個角度予以評估，[8]這一方法極有可能以后為中國和韓國所借鑒。日本目前缺少相關(guān)實踐，從歐盟委員會對GDPR下“白名單”認定的實踐來看，它并不要求輸入國與歐盟對個人信息保護采取完全一致的法律規(guī)定，只要輸入國的法律法規(guī)能夠有效防止對信息主體的侵害——包括可能來自于公權(quán)力機構(gòu)的侵害；同時，還應(yīng)有專門負責(zé)個人信息保護的機構(gòu)來監(jiān)督和執(zhí)行這類法律，當權(quán)利人被侵害時，能夠通過法律規(guī)定的行政和司法程序獲得相應(yīng)救濟。所以，盡管日本在個人信息保護方面的立法并沒有達到如GDPR般嚴格，但是由于“充分性認定”是對一個國家整體保護水平的評估，所以它依然獲得了GDPR第45條中的“充分性認定”。韓國的個人信息保護立法整體較日本更為嚴格，[9]個人信息保護委員會作為專門機構(gòu)，負責(zé)該領(lǐng)域法律的制訂與執(zhí)行，還有互聯(lián)網(wǎng)與安全局、通信委員會等機構(gòu)予以配合實施，韓國還加入了APEC隱私保護框架這一國際機制，以上這些已經(jīng)滿足了GDPR中明確規(guī)定的考量要求，(20)See GDPR, art.45(2).它大概率應(yīng)該會獲得歐盟的“白名單”資格，(21)2021年3月30日，歐盟委員會宣布與韓國就“充分性認定”談判圓滿完成，爭取在未幾個月內(nèi)通過“充分性認定”決定。https:∥ec.europa.eu/commission/presscorner/detail/en/statement_21_1506，最后訪問時間：2021年6月12日。這就意味著韓國能夠給予入境后的個人信息以充分保護。我國已有不同部門和層級立法規(guī)定了要保護個人信息，《民法典》將自然人的個人信息受法律保護規(guī)定在人格權(quán)下，受到損害的個人可以依據(jù)《消費者權(quán)益保護法》和《侵權(quán)責(zé)任法》提起民事訴訟，構(gòu)成犯罪的還可以依據(jù)2015年《刑法修正案(九)》增設(shè)的侵犯公民個人信息罪，對犯罪人或者單位追究刑事責(zé)任。在行政法領(lǐng)域，《網(wǎng)絡(luò)安全法》對個人網(wǎng)絡(luò)信息保護作出統(tǒng)一規(guī)定，另有《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》《個人信息出境安全評估辦法(征求意見稿)》等多項部門規(guī)章予以細化，主要以工業(yè)和信息化部門為主，另有公安部、市場監(jiān)督管理局等國務(wù)院其他部門負責(zé)監(jiān)督實施對個人網(wǎng)絡(luò)信息的保護。隨著《個人信息保護法(草案)》進入第二次審議，我國第一部個人信息保護單項立法出臺加速，個人信息將會得到更加完善、全面、系統(tǒng)的法律保護。

通過上文的分析，可以看出日本和韓國均能夠為信息主體提供充分有效的保護，我國正行駛在個人信息保護的立法快速路上，個人對該問題的敏感度、輿論的關(guān)注度和政府的關(guān)切度都在持續(xù)升溫，這些必將促使更有力的保護措施出臺。以近幾年的立法趨勢看，三國都著力繼續(xù)提高保護水平，這也就意味著采取“以地域為基礎(chǔ)”合作模式的現(xiàn)實可行性不斷強化。

四、中日韓合作規(guī)制機制下中國的關(guān)鍵措施

綜上所述，對于中國、日本和韓國之間的個人數(shù)據(jù)跨境流動，宜采取獨立于貿(mào)易協(xié)定之外的專門性合作規(guī)制機制，該機制應(yīng)主要采取“以地域為基礎(chǔ)”的模式來設(shè)計，該路徑的實施需要中國在以下方面作出準備。

(一)加強對公權(quán)力機構(gòu)的法律約束

在進行“充分性認定”時，一國已經(jīng)加入的個人數(shù)據(jù)保護國際機制會是其重要加分項，目前最主要的國際合作機制是APEC隱私框架和歐盟主導(dǎo)的“白名單”機制，且歐盟作為對個人數(shù)據(jù)保護立法最嚴的地區(qū)，它的背書大可代表對日韓保護水平的評價。我國目前尚未參加在該領(lǐng)域的任何國際合作機制，我們的個人信息保護水平是否能獲得日韓的“充分性認定”，這是能否選擇“以地域為基礎(chǔ)”的合作模式之關(guān)鍵。如前所述，中國已經(jīng)行駛在個人信息保護的立法快速路上，尤其加強了對網(wǎng)絡(luò)運營商、服務(wù)商等商業(yè)活動主體侵犯個人信息行為的立法和監(jiān)管，但是對于公權(quán)力機構(gòu)的約束卻尚未引起足夠重視，(22)參見王秀哲：《大數(shù)據(jù)時代公共安全領(lǐng)域個人信息保護的政府責(zé)任》，載《理論探討》2017年第4期，第54-55頁。就《個人信息保護法(草案)》來看，比如，第三十四條是對國家機關(guān)履行法定職責(zé)處理個人信息的規(guī)范化要求，但只籠統(tǒng)規(guī)定“應(yīng)當依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進行，不得超出履行法定職責(zé)所必需的范圍和限度?！痹谠u估一國的保護水平時，這將是非常重要的一個方面。歐盟法院在“Schrems II”案中廢止了“歐盟-美國隱私盾”機制，主要原因即在于此。[10]尤其是當信息權(quán)不能被確認為一項憲法性權(quán)利時，被侵害的信息主體只能獲得私法上的救濟，這與日本、韓國的個人信息保護制度不同，它可能會被質(zhì)疑面對公權(quán)力的損害，信息主體得到的司法救濟和保護不夠。[11]在暫時不能將信息權(quán)納入憲法性權(quán)利獲得更有力的保障之前，用立法規(guī)定明確限定公權(quán)力的行使范圍就顯得更為必要。公權(quán)力機構(gòu)為了提供社會服務(wù)和國家安全，不可避免需要采集和處理個人數(shù)據(jù)，其間可能會產(chǎn)生公共安全權(quán)力行使與個人信息隱私權(quán)的沖突，尤其身處后疫情時代這一特殊時期，要實現(xiàn)二者平衡更為困難?？梢赃x擇與日韓往來比較密切的山東半島作小范圍的嘗試，依托自貿(mào)區(qū)“先行先試”的政策，在山東省自貿(mào)區(qū)內(nèi)進行立法實驗，對公權(quán)力機關(guān)及其授權(quán)的其他機構(gòu)在獲取、使用和披露個人信息時，通過立法明確其授權(quán)條件、范圍和程序，探索共享公益和個人權(quán)益平衡的邊界，在評估該區(qū)域立法實踐中的得失后制訂全國通行的法律文本。

(二)確定“充分性認定”的合理范圍

采取“以地域為基礎(chǔ)”的合作規(guī)制模式，以中日韓三國對彼此數(shù)據(jù)保護水平予以認可為前提，進而締結(jié)充分性認定協(xié)議。但是這種認可是對一國整體保護水平的認可，并不意味著我國所有的保護措施在日韓國內(nèi)法中都存在。我國是三個國家中數(shù)據(jù)資源最豐富者，這種模式由于認可了國家間差異化的立法從而便利了數(shù)據(jù)流動，但這些差異化措施的客觀存在卻可能會為信息主體帶來域外風(fēng)險，所以需要預(yù)先評估哪些措施會增加域外風(fēng)險，在締結(jié)“充分性認定”協(xié)議時將其排除。比如，有關(guān)向第三國轉(zhuǎn)移信息的規(guī)定——假定來自中國的數(shù)據(jù)在日本進行處理后，又轉(zhuǎn)移給位于日韓以外的第三國數(shù)據(jù)接收方，根據(jù)日本《個人信息保護法》第二十四條，如果存在經(jīng)認可的有約束力的公司規(guī)則(Binding Corporate Rules)或者標準合同條款(Standard Contractual Clauses),就不需要征得信息主體的同意。但在我國，這種情況下仍然須征得信息主體同意才可以傳輸，這樣就會增加中國信息主體在日韓以外第三國遭受損害的風(fēng)險。對此，中方可以在談判時提出，對來自中國的數(shù)據(jù)向日韓以外第三國轉(zhuǎn)移時仍須征得信息主體同意，該提議在得到日韓同意后，規(guī)定在“充分性認定”的補充協(xié)議中，對方據(jù)此調(diào)整特定國內(nèi)法律條款對來自中國信息的適用。(23)See Japan Supplementary Rules under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU based on an Adequacy Decision.除此之外，可能還會有其他的差異性規(guī)定，這就要求我們預(yù)先對日韓與我國的個人信息保護立法進行全面、深入比對，發(fā)現(xiàn)和評估這些措施的效果和風(fēng)險，以保護信息主體所必要為前提，增加合作的可能性和包容性。另外，由于一國對個人信息保護的情況可能是動態(tài)變化、發(fā)展不均衡的，所以“充分性認定”應(yīng)該以3-4年為一個周期進行復(fù)審，(24)日本法律規(guī)定有關(guān)個人信息保護的法律應(yīng)該3年審查修訂一次，See Act on Partial Revision of the Act on the Protection of Personal Information and Act on the Use of Numbers to Identify a Specific Individuals in the Administrative Procedures，art.12；該期限的設(shè)計也參考了歐盟GDPR中對審核周期的規(guī)定，參見 GDPR,art.45(3).對于不能夠提供充分保護的區(qū)域、產(chǎn)業(yè)部門，可以排除在數(shù)據(jù)自由流動范圍之外。

(三)實現(xiàn)與中日韓自貿(mào)協(xié)定的兼容

中日韓自由貿(mào)易協(xié)定談判自2012年開始啟動，其間中韓于2015年簽署了雙邊自貿(mào)協(xié)定，隨著RCEP談判成功，中日韓自貿(mào)協(xié)定就有了更好的商談基礎(chǔ)。作為RCEP升級版的中日韓自貿(mào)協(xié)定，其中必然有涉及數(shù)據(jù)跨境傳輸?shù)臈l款，在商談時需要注意與三國之間“充分性認定”協(xié)議的兼容與協(xié)調(diào)，尤其當自貿(mào)協(xié)定談判先于“充分性認定”協(xié)議達成時，應(yīng)在自貿(mào)協(xié)定談判文本中預(yù)留空間。比如考慮到并不是所有領(lǐng)域的數(shù)據(jù)跨境傳輸都會被將來的“充分性認定”協(xié)議所囊括，那么這些“協(xié)議外的領(lǐng)域”應(yīng)該和自貿(mào)協(xié)定中的例外部門和行業(yè)相一致，比如服務(wù)貿(mào)易中的金融、電信、醫(yī)療健康、涉及地理位置的服務(wù)等；在數(shù)據(jù)可能構(gòu)成一種“投資”時，[12]“充分性認定”協(xié)議排除的商務(wù)領(lǐng)域也應(yīng)與中國所列的負面清單相一致。此外，某些既定的文本條款也應(yīng)該摒棄，比如關(guān)于數(shù)據(jù)傳輸?shù)臈l款不能再沿襲類似RCEP的文本，認可締約方在數(shù)據(jù)跨境傳輸事宜上的不同監(jiān)管標準；(25)See RCEP, art.15.1.由于電子商務(wù)并不被認為是獨立于貨物和服務(wù)的貿(mào)易形式，所以，“電子商務(wù)”章中往往規(guī)定“服務(wù)貿(mào)易”和“投資”章節(jié)的規(guī)定優(yōu)先適用，(26)參見《中國韓國自由貿(mào)易協(xié)定》第 13.2 條; See RCEP, art.12.3.5.如此一來，只在“電子商務(wù)”中規(guī)定締約方遵守“充分性認定”協(xié)議的義務(wù)，便有可能會減損該協(xié)議的效力。以上兩個問題的解決，可以通過在中日韓自貿(mào)協(xié)定序言“與其他條約的關(guān)系”中，對“充分性認定”協(xié)定的適用加以規(guī)定來實現(xiàn)。

五、結(jié)語

伴隨RCEP的成功簽署，誕生了第一個可以在中日韓之間適用的區(qū)域性貿(mào)易協(xié)定，其中的數(shù)據(jù)跨境傳輸條款亦是首創(chuàng)，但由于談判方眾多、國內(nèi)電子商務(wù)發(fā)展和對個人信息保護水平差異較大，最終條款并不能完全滿足中日韓之間的數(shù)字經(jīng)濟交流需求，三國之間需要建立更為開放和具體的數(shù)據(jù)跨境流動合作規(guī)制機制。該機制不宜附屬于未來的中日韓自由貿(mào)易協(xié)定之下，而應(yīng)該單獨成立和存在，可以采納“以地域為基礎(chǔ)”的合作模式，通過對彼此國內(nèi)個人信息保護水平的評估，簽署“充分性認定”協(xié)議，在特定商貿(mào)領(lǐng)域?qū)崿F(xiàn)數(shù)據(jù)的跨境自由傳輸。為了該機制的成功建立，我們還需要注意防范對信息主體可能造成的域外損害，提升國內(nèi)的保護水平，注意與中日韓自貿(mào)協(xié)定談判的兼容和協(xié)調(diào)。