1、 全球及中国数据跨境流动规则和机制建设 白皮书 中国电子信息产业发展研究院中国电子信息产业发展研究院 赛迪智库赛迪智库网络安全网络安全研究研究所所 赛迪区块链研究院赛迪区块链研究院 2021 年年 8 月月 赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库I 目 录 前言.1 一、主要国家和地区的数据跨境流动规则和机制.2(一)欧盟:同等保护水平条件下促进数据跨境流动.2(二)美国:数据自由流动原则下限制敏感数据出口.8(三)日本:积极推动与欧美的数据跨境流动.14 二、国际组织的数据跨境流动规则和机制.17(一)OECD:确立数据跨境流动和保护的基本原则.17(二)APEC:美国主导跨境隐私
2、规则体系(CBPRs).18(三)东盟:重点发展示范合同条款和数据跨境认证.20 三、我国的数据跨境流动规则和机制.21(一)重要数据:原则上境内存储,确有必要跨境提供需进行安全评估.21(二)个人信息:在数据主体同意的前提下,提供安全评估、认证等三种机制.24(三)数据跨境调取:奉行对等原则,并需经有关主管部门批准.25 四、我国数据跨境流动规则和机制建设面临形势、主要挑战及对策建议.26(一)面临形势.26 1.各国加快构建符合其利益的规则和制度体系.26 2.西方国家积极推动建立全球数据跨境流动圈.28 3.地缘政治成为数据跨境流动的重要考量因素.29 赛迪智库赛迪智库赛迪智库赛迪智库赛
3、迪智库赛迪智库II (二)主要挑战.30 1.数字技术普及使得网络数据出境更不易察觉.30 2.以窃取我国敏感数据为目的的境外攻击增多.31 3.境内数字企业违反规定向境外提供大量数据.32(三)对策建议.34 1.建立健全数据跨境流动规则体系.34 2.发展数据跨境流动安全保障能力.35 3.试点探索数据跨境流动管理机制.36 4.推广数据跨境流动中国治理方案.38 赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库1 前言 数据跨境流动对于促进数字创新、提高经济增长效率和增进社会福祉至关重要。麦肯锡 2016 年的研究表明,自 2008年以来,数据流动对全球经济增长的贡献已经超过传统的跨国贸
4、易和投资,成为推动全球经济发展的重要力量1。美国智库 CSIS 于 2021 年 4 月发布的 亚太地区的数据治理中指出,疫情大流行前的一项研究曾预测,跨境数据流动将在2020 年使全球经济产出增加 3以上,或将近 3 万亿美元2。随着各国对数据跨境流动意义和影响的认识日益深入,数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、产业能力等多方面的考量,各国确立了不同的数据跨境流动策略,并基于此加快构建自身的数据跨境流动规则体系。当前,以美国为首的西方国家将地缘政治作为数据跨境流动的重要考量因素,采取包括限制关键技术数据出口、对涉数据交易开展国家安全审查、禁止敏感数据向竞争
5、对手流入等措施,加快对中国等战略竞争对手的数据封锁。同时,美欧等西方国家为抢占国际规则话语权,维护数字竞争优势,还积极与志同道合伙伴联合,推动构建全球数据跨境流动圈,进一步排挤竞争对手。这不仅阻碍了全球范围内达成数据跨境流动的共识,也给我国数据跨境流动 1 麦肯锡全球研究院(MGI):数据全球化:新时代的全球性流动,https:/ 年 3 月。2 美国 CSIS:亚太地区的数据治理,https:/ 年 4 月。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库2 规则和机制构建带来了不小的挑战。我国是全球数据资源大国,数据产生量位居世界前列,据调查2019年我国共产生了3.9ZB的数据量,约占全
6、球9.3%,居世界第二3。我国构建自身的数据跨境流动规则和机制,要着眼于促进数字创新,同时要兼顾维护国家安全、公共利益和个人隐私权益。在当前全球尚未建立统一规则的情况下,我国一方面要加快构建数据跨境流动规则体系,建立健全数据出境安全评估、个人信息保护认证等制度,并通过试点探索数据跨境流动管理机制,另一方面要积极推广数据跨境流动中国治理方案,与合作伙伴建立共同的规则和制度安排,实现规则的趋同和互操作,推动数据安全有序地跨境流动。一、主要国家和地区的数据跨境流动规则和机制(一)(一)欧盟欧盟:同等同等保护保护水平水平条件条件下促进数据跨境流动下促进数据跨境流动 欧盟将个人数据保护视为一项基本权利,
7、一直坚持高标准保护个人数据。在消除境内数据自由流动壁垒、建立统一数据保护标准的同时,欧盟要求其他国家只有在提供与欧盟同等水平保护的情况下,才允许个人数据跨境向其进行传输。1 1.基于充分性认定建立数据跨境基于充分性认定建立数据跨境传输传输白名单白名单制度制度 “充分性认定”是一般数据保护条例(GDPR)确立的主要数据跨境传输机制。欧盟委员会综合考虑数据保护立法实施、执法能力、救济机制、国际参与等因素,对欧盟以 3 中央网信办副主任杨小伟在 2021 中国国际大数据产业博览会的致辞,https:/ 年 6 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库3 外国家或地区数据
8、保护的充分性进行评估,将与欧盟保护水平相当的国家或地区列入“白名单”,允许欧盟个人数据向上述国家或地区传输。根据 GDPR 第 45 条,欧盟委员会做出充分性认定时,需特别考虑以下因素:(1)法制程度高低、是否尊重人权和基本自由、相关立法和立法实施情况;(2)拥有有效、专业的独立监管机构;(3)加入有关个人数据保护的国际条约或多边协定,承担国际法上的义务。充分性认定的程序是:由欧盟委员会发起提案,征求欧洲数据保护委员会意见并获得欧盟成员国代表组成的委员会同意后,欧盟委员会最终通过。欧盟委员会对获得认定的国家和地区至少每四年进行一次评估,以确保其满足同等保护水平要求。截止 2021 年 4 月,
9、获得欧盟委员会充分性认定的国家和地区有 12 个,即安道尔、阿根廷、加拿大(商业组织)、法罗群岛、格恩西岛、以色列、马纳岛、日本、泽西岛、新西兰、瑞士和乌拉圭4。此外,欧盟委员会已完成了与英国、韩国数据保护水平谈判,认为两国具备了与 GDPR 基本相同的数据保护水平。2021 年 2 月,欧盟委员会发布了将个人数据传输到英国的充分性认定决议(草案),6 月正式作出针对英国数据保护的充分性决定;2021 年 3 月,欧盟与韩国完成关于数据保护同等水平的谈判并得出“充分性”结论,6 月 4 欧盟委员会网站,https:/ec.europa.eu/info/law/law-topic/data-pr
10、otection/international-dimension-data-protection/adequacy-decisions_en,2021 年 6 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库4 欧盟委员会正式启动并通过了关于向韩国传输数据的充分性认定程序。2 2.在在适当保障措施适当保障措施下提供多样化数据跨境下提供多样化数据跨境传输传输方式方式 对于没有获得欧盟充分性认定的国家或地区,数据控制者或处理者在提供了适当保障措施,并且满足数据主体能行使权利、能获得有效法律救济的条件时,可将个人数据向上述国家或地区传输。GDPR 规定的适当保障措施主要包括:约
11、束性公司约束性公司规则(规则(Binding Corporate Rules,BCR)。BCR适用于在欧盟设立总部或分支机构的跨国公司,由跨国公司自行拟定内部机构之间数据传输和保护的规则,经欧盟成员国数据监管机构审核批准后生效。运行多年来,共有 100 多家跨国公司申请并获得通过。BCR 解决了跨国公司内部机构之间频繁传输数据的隐私保护问题,但同时也存在适用范围有限、实施成本高等弊端。标准合同条款(标准合同条款(Standard Contractual Clause,SCC)。)。SCC 是数据传输双方采用欧盟标准合同条款,通过将 GDPR规定的义务转化为合同义务和责任,确保对数据主体权利的保
12、护。在 GDPR 生效之前,欧盟委员会已经于 2001 年、2004年和 2010 年出台了三个标准合同文本。2020 年 11 月 EDPB就 向第三国传输数据的标准合同条款草案 公开征求意见,2021 年 6 月欧盟委员会公布了两套标准合同文本,取代了之赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库5 前的三个标准合同文本5:一是将个人数据从欧盟转移到第三国的新标准合同文本;二是适用于欧盟境内的控制者与处理者之间的标准合同文本。SCC 为数据跨境流动提供了一个相对宽松且安全的解决方案,有助于促进数据跨境流动规则的融合与统一。行为准则(行为准则(Codes of conduct,CoC)。
13、)。CoC 是 GDPR 新引入的机制。当欧盟以外国家未获得充分性认定时,该国的数据控制者或处理者可作出具有约束力和可强制执行的承诺,承诺遵守经批准的行为准则,则欧盟数据可向其传输。根据 2019 年 EDPB 发布的指南,行为准则草案由代表数据控制者或处理者的行业组织和协会起草,经欧盟成员国数据监管机构审查同意后(跨国准则还应经 EDPB 审查同意),提交欧盟委员会审查公布。目前欧盟委员会还未批准任何 CoC。认证机制认证机制(Certification)。认证是GDPR新引入的机制。欧盟鼓励建立数据保护认证机制、印章或标识,欧盟委员会制定数据保护认证机制的具体要求,并可通过实施性法令来确定
14、认证机制、印章或标识。成员国监管机构认可的认证机构签发数据保护认证,数据控制者和处理者自愿申请认证,得到批准后,可使用印章或标识证明其数据活动符合欧盟规定,并进行数据跨境传输。此外,如果欧盟以外国家未达到欧盟数据保护水平,且 5 欧盟委员会网站,https:/ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en,2021 年 6 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库6
15、未提供适当的保障措施时,GDPR 规定了数据跨境传输的法定例外情形,包括:数据主体同意、履行合同义务、保护重要公共利益、保护数据主体及他人的重大利益、行使或抗辩法定请求权、公共注册登记机构数据传输等情形。3 3.通过限制数据本地化等促进通过限制数据本地化等促进非个人数据非个人数据自由流动自由流动 2018 年 11 月,欧盟发布非个人数据自由流动框架条例,对成员国的数据本地化要求进行限制,并对国家机关获取数据、数据自由迁移等问题作出了规定,建立了欧盟内部数据跨境流动的基本规则。限制成员国的数据本地化要求。限制成员国的数据本地化要求。一是除非基于公共安全的理由,数据本地化要求应当被禁止;二是成员
16、国立法引入新的数据本地化要求或者对现行要求作出修改,应当按照程序报告欧盟委员会;三是在条例实施之日起 24 个月内,成员国应当废除现行的数据本地化要求;四是成员国应当公开数据本地化要求的详细信息,并保持更新。确保成员国主管部门的数据获取权限。确保成员国主管部门的数据获取权限。一是当成员国主管部门提出访问数据的请求时,不得以该数据由另一成员国处理为由而拒绝;二是当成员国主管部门提出访问数据的要求后未能获得访问数据,且欧盟法律或国际协议下不存在不同成员国主管部门交换数据的具体合作机制的,一国的主管部门可以按照程序要求另一成员国主管部门予以协助;三是根据欧盟或成员国法律,成员国对未遵守数据提供义务的
17、行赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库7 为可实施有效、适当的处罚。保障“专业用户”能够自由地进行数据迁移。保障“专业用户”能够自由地进行数据迁移。针对欧盟境内云计算等服务商利用技术、合同等手段锁闭用户的情况,条例提出保障“专业用户”对数据进行自由迁移:一是将“专业用户”界定为:基于贸易、商业等相关目的使用或请求数据处理服务的自然人或法人;二是欧盟委员会鼓励和促进欧盟层面制定自律性行为守则,行为守则应包括向用户提供数据迁移的流程、技术要求、时间等信息,并评估此类行为守则的发展情况和实施效果。4 4.以以大规模大规模监控监控侵害个人权利侵害个人权利为由为由废除美欧“隐私盾”废除美欧“
18、隐私盾”1995 年个人数据处理及自由流动保护指令出台后,考虑到欧盟与美国贸易往来频繁,对个人数据的跨境流动需求极大,且美国不满足欧盟的充分性保护要求,欧美设立了数据跨境传输的特殊管道“安全港”协议,后来被“隐私盾协议”取代。但 2013 年斯诺登事件后,欧盟认为美国政府的大规模监控使美国无法提供数据充分性保护,故分别于2015 年和 2020 年废除了上述协议。“安全港”“安全港”协议协议(U.S.-EU Safe Harbor Framework)。2000 年 11 月美欧“安全港协议”正式生效。在该协议框架下,美国企业向商务部“自我证明”满足协议规定的七项原则及相关要求,就可以将欧盟个
19、人数据传输到美国进行处理。2013 年斯诺登事件后,欧盟对存储在美国科技企业的欧盟个赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库8 人数据的安全性提出质疑,并引发了对“安全港”协议合法性的质疑。2015 年 10 月,欧盟法院作出判决,认定“安全港”协议无效。“安全港”协议运行了 15 年,约有 4500 余家美国企业加入该协议。协议无效后,大批美国大型及中小型跨国企业的数据跨境传输失去了法律基础,对美欧贸易和经济发展形成一定阻碍。为解决上述问题,欧盟与美国启动紧急谈判,寻求新的跨境数据传输解决方案。“隐私盾”协议“隐私盾”协议(EU-U.S.Privacy Shield Framewor
20、k)。2016 年 7 月,欧盟与美国“隐私盾”协议正式生效。协议取代了“安全港”协议,为欧美数据跨境传输提供了新的规则。协议强化了美国企业的数据保护义务和欧洲公民的权利救济,特别强调了监督机制的执行,并对美国政府的大规模监视进行了约束和限制。但 2020 年 7 月,“隐私盾”协议被欧盟法院判决无效。法院认为,美国把国家安全、公共利益和执法的要求放在首位,美国内法对公权力访问数据的限制不能满足欧盟法的要求,“隐私盾”协议无法保证欧洲公民不成为美国情报部门的潜在监视目标,也没有赋予这些个人对抗美国政府、寻求司法救助的权利,“隐私盾协议”无法为欧盟转移到美国的个人数据提供充分保护。(二)(二)美
21、国美国:数据自由流动:数据自由流动原则原则下下限制限制敏感敏感数据出口数据出口 基于其数字技术优势和经济全球扩张的需求,美国主张全球数据自由流动,反对对数据跨境流动进行不必要的限制。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库9 但同时,基于遏制战略竞争对手、维护其技术霸权目的,美国以国家安全为由严格限制敏感数据出口。1 1.对对涉涉敏感个人敏感个人数据交易数据交易进行进行外国投资安全审查外国投资安全审查 2020 年 2 月,美国外国投资风险审查现代化法(FIRRMA)全部条款及实施条例生效,明确界定了敏感个人数据,并将敏感个人数据视为国家安全的组成要素,将涉敏感个人数据交易纳入外国投资
22、安全审查范围。根据 FIRRMA 及实施细则,针对维护或收集敏感个人数据的美国企业的外国投资,如果该美国企业满足相应条件,且可能使外国投资者获得特定权利,则应当纳入美国外国投资委员会(CFIUS)的安全审查范围。其中,外国拟投资的美国企业需满足下列任一条件:(1)企业为美国政府或军事机构提供产品或服务;(2)企业过去 12 个月内维护或收集超过 100 万人的数据;(3)企业有明确业务目标去维护或收集超过 100 万人的数据,且该数据属于企业主要产品或服务的组成部分。“可能使外国投资者获得特定权利”主要指下列权利之一:(1)能够访问任何“重大非公开技术信息”;(2)获得董事会或类似机构的成员资
23、格或观察员权利,或提名某人担任董事会或类似机构职位的权利;(3)以股东投票权以外的其他方式参与到企业重大决策中,如涉及美国公民个人敏感信息的使用、开发、获取、保护或披露,或关键技术的使用、开发、获取或披露等。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库10 FIRRMA 还规定了“白名单”做法,设置了“例外国”和“例外投资者”,目前已将澳大利亚、加拿大和英国认定为首批“例外国”,其特定投资者可豁免涉敏感数据等交易审查。而被美国认为对国家安全威胁大的国家,如中国、俄罗斯等,则成为特别关注国,接受严格的外国投资安全审查。目前美国已经以国家安全为由,对我国多起涉敏感个人数据交易进行外国投资安全审
24、查。例如,2019 年 3 月,CFIUS向我国昆仑集团发出通知,要求其出售持有的同性恋交友软件 Grindr 的股权;2019 年 4 月,CFIUS 要求我国碳云智能公司出售持有的病患在线服务平台 PatientsLikeMe 的股权;2020 年 3 月,美国政府发布行政令,要求我国石基信息公司剥离酒店管理解决方案提供商 StayNTouch 相关的所有权益。2 2.对对敏感数据敏感数据大规模大规模跨境跨境提供进行严格管控提供进行严格管控 美国虽然没有普遍性的数据跨境流动法律,但对敏感个人数据、政府重要数据、商业数据等的大规模出境,有着严格的管控要求。在限制本国企业大规模数据出境行为的同
25、时,美国尤其关注外国产品或服务收集、获取美国敏感数据的风险,并以国家安全为由对外国产品或服务进行严格管控。2021 年 6 月 9 日,美国总统拜登签署了关于保护美国人的敏感数据不受外国敌对势力侵害的行政命令。该行政命令指出,应用程序可以访问和捕获用户的大量信息,包括美国个人信息和专有商业信息,这种数据收集有可能为外国赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库11 对手提供获取这些信息的机会,从而带来重大安全风险。该行政命令要求美商务部“对与外国对手有关联的软件应用进行安全评估,并酌情采取行动。评估的对象涉及中国等外国对手设计、研发、制造或供应并可能对美国和美国人构成不应有或不可接受风险
26、的软件应用”。在评估应用程序风险时应考虑几个因素,包括:使用应用程序进行监视或间谍活动,使得外国对手可访问敏感或机密的政府或商业信息,或敏感的个人数据;所收集数据的范围和敏感性;连接应用程序的用户数量和敏感性等。6 此外,美国国会还提出了相关立法提案,以国家安全与个人数据保护法案(National Security and Personal Data Protection Act of 2019)和保护美国人的数据免受外国监视法案(Protecting Americans Data from Foreign Surveillance Act)为代表。前者由参议员 Josh Hawley 于 2
27、019 年提出,法案的管制对象是依据“特别关注国家”(主要是中国和俄罗斯)法律成立的、提供基于数据的在线服务的科技企业,法案禁止科技企业向特别关注国家传输用户数据以及破译相关用户数据所需的密钥数据(包括间接通过第三方非特别关注国家传输),禁止特别关注企业将其从美国收集的数据存储在美国以外或和美国签订协议共享数据的国家以外,并 6 美国白宫网站,https:/www.whitehouse.gov/briefing-room/presidential-actions/2021/06/09/executive-order-on-protecting-americans-sensitive-data-
28、from-foreign-adversaries/,2021 年 6 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库12 明确了科技企业收集、处理数据的规则和要求7。后者由参议员 RonWyden 于 2021 年 4 月提出,法案要求商务部确定可能因跨境提供而危害美国国家安全的个人数据类别,并明确对这些数据的批量出口实行许可制度;对于非法出口数据的企业高管,设定相应处罚,并对因非法出口数据在国外遭受人身伤害、逮捕或拘留的个人创设个人行动权8。3 3.通过“长臂管辖”通过“长臂管辖”扩大美国境外扩大美国境外数据数据调取权力调取权力 2018 年 3 月,美国总统签署澄清
29、境外数据合法使用法案(Clarifying Overseas Use of Data Act,CLOUD 法案),核心内容有两方面:一是通过“控制者原则”,扩大了美国执法机构调取境外个人数据的权力。根据该法案,美国的网络服务提供商默认应向美国政府披露其控制的数据,无论网络服务提供商的通信内容、记录或其他信息是否存储在美国境内,只要该网络服务提供者拥有、控制或监管上述内容、记录或信息,均需要按照该法案的要求保存、备份、披露。同时,如果外国企业在美国提供业务并且与美国发生了充分的联系,也可能被要求提供境外数据。二是法案舍弃了传统的双边或多边司法协助条约,允许“符合资格的外国政府”通过与美国签订双边
30、协定形式,申 7 美国国会网站,https:/www.congress.gov/bill/116th-congress/senate-bill/2889#:text=National%20Security%20and%20Personal%20Data%20Protection%20Act%20of,pose%20a%20substantial%20risk%20to%20U.S.%20national%20security,2021 年 6 月 16 日最新访问。8 https:/www.wyden.senate.gov/news/press-releases/wyden-releases-
31、draft-legislation-to-protect-americans-personal-data-from-hostile-foreign-governments,2021 年 6 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库13 请通过网络服务商调取美国的数据。其中,“符合资格的外国政府”需满足美国设定的人权、数据保护、信息自由流动和互联网开放等要求。4 4.主导多双边协定限制各国设置数据跨境流动壁垒主导多双边协定限制各国设置数据跨境流动壁垒 美国在与各国的多双边贸易谈判中,都主张将数据跨境自由流动作为原则性条款纳入,以限制各国为数据跨境流动设置的本地化存储
32、等市场壁垒,促进数据自由流动。美韩自由贸易协定美韩自由贸易协定。2012 年美国与韩国签署美韩自由贸易协定,首次就跨境数据流动达成原则性条款。该协定明确,考虑到贸易中数据自由流动和个人信息保护极其重要,双方应当努力避免给电子数据的跨境流动强加不必要的障碍。同时,该协定金融服务章节提出,双方应当允许金融机构以电子或其他形式跨境传输数据,用于处理日常的业务。跨太平洋伙伴关系跨太平洋伙伴关系(TPP)。2016 年 2 月,美国在推动跨太平洋伙伴关系协定谈判过程中首次增加了有关跨境数据流动的约束性条款,以减少双方跨境数字贸易的壁垒。2017 年美国退出该协定后,后续“全面与进步跨太平洋伙伴关系协定”
33、电子商务章节基本保留了美国主导的 TPP 原先达成的内容,明确规定:除为“正当公共政策之目的”外,应允许为数据主体利益而进行的数据跨境传输。目前该规则已成为不少国际协定电子商务章节的范本。TPP 协定关于数据跨境自由流动的条款内容主要包括:(1)缔约方不将设立数赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库14 据中心作为允许 TPP 缔约方企业进入市场的前提条件,也不要求转让或获取软件源代码;(2)禁止对电子传输征收关税,不允许缔约方以歧视性措施或直接阻止的方式支持本国类似产品的生产商或供应商;(3)各缔约方同意实施并保持针对网上诈骗和商业欺诈行为的消费者保护法,并确保隐私和其他消费者权益
34、保护得到执行;(4)各缔约方有义务采取措施阻止推销性质的商业电子信息。美墨加协定(美墨加协定(USMCA)。2018 年 11 月 30 日,美国、墨西哥、加拿大三国签署美墨加三国协定(USMCA)。USMCA 于 2020 年 7 月 1 日正式生效。在数据跨境流动方面,USMCA 与 TPP 基本保持一致,主张除非为了正当公共利益外,不得对数据跨境传输进行限制。该协定明确:当相关机构是在其业务许可范围内开展相关数据跨境传输活动时,三方不允许限制相关机构以电子或其他形式跨境传输数据(包括个人数据)。同时,协定在 TPP 基础上新增了数据相关义务,主要包括:(1)限制第三方在互联网平台上发布内
35、容的民事责任(知识产权除外);(2)通过建立一个最小化本地存储需求的流程,为金融数据自由跨境提供了机会;(3)促进政府开放数据获取。(三)(三)日本:日本:积极推动积极推动与与欧美欧美的的数据跨境流动数据跨境流动 借鉴欧盟做法,日本加快制定本国数据跨境流动规则,提供数据主体同意、白名单国家等灵活多样的数据跨境流动赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库15 机制;同时,积极跟进美国主张,倡导“可信数据自由流动”理念,探索构建与欧美乃至更广范围的数据跨境流动圈。1.1.提供灵活多样的数据跨境流动提供灵活多样的数据跨境流动方式方式 日本关于数据跨境流动的规定主要包含在个人信息保护法中。该法
36、 2003 年发布,2015 年 9 月进行修订,并于2017 年正式生效。新修订的个人信息保护法关于跨境数据流动的主要内容包括:(1)设立“个人信息保护委员会”(PIPC)作为独立监管机构,制定向境外传输数据的规则和指南。(2)增加跨境数据流动一般性规定,明确一般情况下,处理个人信息的经营者在向国外第三方提供个人数据时,需要事先获得数据主体对该提供行为的同意。(3)增加数据主体同意的例外性规定,将数据主体的数据向任何位于第三国的第三方转移时,原则上必须事先经过其同意,除非在以下情形下:(a)符合日本个人信息保护委员会制定的标准的两类服务商:一是采取“适当与合理”的措施确保达到日本个人信息保护
37、法相关要求的服务商;二是获得国际隐私保护框架认证的服务商。(b)当某一国个人信息保护法的相关规定能够确保该国个人信息保护达到日本的水平,则个人数据可传输至该国(白名单国家)。采取“适当与合理”措施的服务商采取“适当与合理”措施的服务商。按照日本个人信息保护委员会发布的指南,是否构成“适当与合理”的方式应赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库16 当根据个案来进行评估判断。例如,通过签订合同、认证、签署谅解备忘录等方式,日本境内的经营者将个人数据的处理委托给外国的经营者;又如,个人数据是在同一个集团的内部公司间根据内部规则、隐私政策等规定进行传输,这些规则和政策同时约束数据发送方和接收
38、方。获得国际隐私保护框架认证的服务商获得国际隐私保护框架认证的服务商。日本加入了APEC CBPRs,因此获得该体系认证的服务商,不需要取得数据主体的同意。日本还引入了 TRUSTe 认证制度,该认证制度以“OECD 八项原则”为基础,但具体标准较日本个人信息保护法更高。日本还引入了 ISMS 国际标准认证体系,在对国际标准进行本土化改造后发布 JIS Q 27001 标准,并据此开展认证。白名单国家白名单国家。根据日本公布的具有与日本同等保护水平的第三国列表,第三国必须满足以下五个条件:(1)有同等的法律或规则;(2)设立了与“个人信息保护委员会”同等的独立监管机构,实施必要和适当的监管;(
39、3)基于对个人信息利用和个人权益保护的共同理念而与日本达成合作;(4)对个人数据的国际传输施加的限制不得超越保护个人信息的必要范围;(5)能够为日本的产业创新、经济社会蓬勃发展以及实现国民的富裕生活做出贡献。2 2.建立建立与欧美的与欧美的数据跨境数据跨境流动流动机制机制 日本积极跟进美国数据跨境自由流动的主张,加入了美赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库17 国主导的 APEC CBPR 体系,并且在美国退出 TPP 后主导了“全面与进步跨太平洋伙伴关系协定”(CPTPP)。同时,日本积极与欧盟就数据跨境流动“充分性保护”进行磋商,2019年 1 月,欧盟通过了对日本的数据保护充
40、分性认定,双方跨境数据流动与各自境内数据流动并无二致。3.3.倡导倡导全球全球可信数据自由流动可信数据自由流动 2019 年初,日本首相安倍在达沃斯会议上提出了“可信数据自由流动”理念。2019 年 6 月,利用担任 G20 主席国之际,率先提出 G20大阪数字经济宣言,包括中国、美国和欧盟等 24 个国家和地区签署,就全球跨境数据流动形成共识。宣言明确,将在尊重国内和国际法律框架的基础上,鼓励不同框架之间的互操作性,建立信任和促进数据的自由流动。目前,G20 关于跨境数据流动的共识还处在理念层面,尚未形成框架性协议。二、国际组织的数据跨境流动规则和机制(一一)OECD:确立数据跨境流动和保护
41、的基本原则:确立数据跨境流动和保护的基本原则 1980 年,OECD 颁布隐私保护和个人数据跨境路东指南,概括性地抽象出个人数据(隐私)保护的八项基本原则,主要是收集限制、数据质量、目的特定、使用限制、安全保护、公开、个人参与、责任等原则,数据控制者对是否有效实施上述原则承担责任。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库18 2013 年 7 月,OECD 通过了理事会关于隐私保护和个人数据跨境流动的指南建议 2013,针对部分原则增加了具体实施要求,主要修改包括:(1)强调完善国际和国内隐私保护法律环境,要求成员国建立隐私执法机构;(2)增加了数据控制者实施隐私管理规划、数据安全损毁
42、通知两项义务;(3)进一步放宽对个人数据跨境流动的限制,最大限度地促进数据的自由流动;(4)规定了国家实现隐私保护目标的具体手段与措施;(5)强调隐私保护全球一体化的必要性和重要性,倡导在国际层面建立起一个强大的全球性隐私执法机构合作网络。(二二)APEC:美国主导:美国主导跨境隐私规则跨境隐私规则体系体系(CBPRs)2007 年,为落实APEC 隐私保护框架,APEC 第 19届部长级会议签署了APEC 数据隐私探路者倡议,首次提出建立 APEC 跨境隐私保护规则体系(CBPRs)。2011 年 11月,CBPRs 在APEC第19次领导人非正式会议上得到认可。CBPRs 是一项自愿的、政
43、府支持的隐私认证体系。该体系对成员经济体参与 CBPRs 提出明确要求,并建立了隐私执法机构跨境合作、问责代理机构认可和商业机构认证机制。各成员经济体的商业机构自愿加入,以证明遵守国际公认的数据隐私保护标准,通过认证的商业机构可相互之间自由传输数据。CBPRs 是 APEC 跨境个人隐私保护的核心内容,旨在促进 APEC 各经济体之间无障碍的跨境信息流动。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库19 成员成员经济体经济体参与参与CBPRs。成员经济体选择加入CBPRs,应当满足以下条件9:(1)该国至少有一个隐私执法机构加入APEC 跨境隐私执法安排(CEPA)。(2)该国必须向 AP
44、EC电子商务指导小组主席、数据隐私小组主席和 CBPRs 联合监督小组(JOP)主席提交信件,说明如下内容:一是成员经济体有隐私执法机构加入 CPEA;二是成员经济体计划使用或指定至少一个经 CBPRs 认可的问责代理机构;三是该国隐私法律、法规和行政措施的详细情况,以及上述法律法规的执法情况;四是详细说明成员经济体具有符合 CBPRs 要求的隐私保护法律法规,及如何执行这些法律法规。问责代理机构问责代理机构认可机制。认可机制。CBPRs 使用经 APEC 认可的问责代理机构,证明商业机构的隐私政策和做法符合 APEC 隐私框架并为其认证,监督商业机构遵守 CBPRs。当成员经济体被获准加入
45、CBPRs 体系后,该国至少要指定一个问责代理机构。联合监督小组(JOP)负责对问责代理机构的申请进行审核,并按年度核实其是否符合认可标准的要求。商业机构商业机构隐私保护认证机制隐私保护认证机制。拟加入 CBPRs 的商业机构向问责代理机构申请隐私保护认证,问责代理机构按照CBPRs 要求对其进行评估,通过评估的商业机构获得隐私保护印章、信任标识。需要特别说明的是,2011 年 CBPRs 仅适用于个人数据控制者,为了使数据处理者也获得同样的认 9 APEC CBPRs 网站,http:/cbprs.org/government/economies-requirements/,2021 年 6
46、 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库20 证,对外展示其遵守隐私义务的能力,2015 年 2 月 APEC 又批准了处理者隐私识别(PRP)。CBPRs 实施实施的最新的最新进展。进展。目前 APEC 有九个成员经济体参与 CBPRs,即美国、墨西哥、日本、加拿大、新加坡、大韩民国、澳大利亚、中华台北和菲律宾。在这些经济体中,仅有日本、韩国、新加坡和美国四个国家指定了问责代理机构,其中日本 1 家、韩国 1 家、新加坡 1 家和美国 5 家,有近 40 家商业机构获得了认证,绝大多数是美国的商业机构10。(三三)东盟东盟:重点发展重点发展示范合同条款和数据跨
47、境认证示范合同条款和数据跨境认证 2018 年,东盟发布了东盟数字数据治理框架,将“数据跨境流动”作为数字数据治理的四大战略重点之一,明确提出要建立东盟数据跨境流动机制,对数据流动不作不必要的限制,以增强跨境数据流动的确定性。2019年 11 月,东盟通过了东盟跨境数据流动机制的关键方法,建议东盟重点发展两个机制,即:东盟示范合同条款(MCCs)和东盟跨境数据流动认证。2021 年 1 月 22 日,作为对东盟数字数据治理框架的回应和落实,东盟批准发布东盟跨境数据流动示范合同条款,作为实施东盟跨境数据流动机制的第一步。该合同条款区分数据控制者到数据处理者、数据控制者到数 10 APEC CBP
48、Rs 网站,http:/cbprs.org/business/,2021 年 6 月 16 日最新访问。赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库21 据控制者两种情形,明确了数据输出方和接收方各自的责任、所需的数据保护措施和相关义务。MCCs 是一项自愿性的标准,是数据跨境流动中应当遵守的最低标准,无论成员国是否有数据保护法律,均可实现数据跨境传输。东盟跨境数据流动认证是授予已证明有良好数据保护政策和做法的成员国及企业、组织或机构以印章或标志。目前东盟尚未出台认证相关的标准、要求和程序,后续东盟发展数据工作组将开展制定工作。此外,东盟允许数据传输双方自由使用东盟认可的任何其他有效数据传
49、输机制,只要这些机制适用于东盟成员国,如 APEC CBPRs、具有约束力的公司规则、行为准则等。三、我国的数据跨境流动规则和机制(一)(一)重要数据:原则上境内存储,确有必要重要数据:原则上境内存储,确有必要跨境跨境提供提供需进行安全评估需进行安全评估 我国网络安全法和数据安全法确立了重要数据出境的基本框架,即重要数据原则上应当在境内存储,确需向境外提供时应当进行安全评估。可见,目前我国重要数据跨境流动制度的核心是数据出境安全评估。1 1.数据出境数据出境安全评估安全评估旨在把控数据出境的安全风险旨在把控数据出境的安全风险 2017 年国家互联网信息办公室发布了个人信息和重要数据出境安全评估
50、办法(征求意见稿),2019 年又发布了个人信息出境安全评估办法(征求意见稿),着赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库赛迪智库22 力构建可操作性的数据出境安全评估制度。根据上述办法,我国数据出境安全评估重点评估以下内容:(1)数据出境的必要性;(2)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;(3)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;(4)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;(5)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险等。2 2.金融等行业金融等行业完善数据跨境流动规则和制度完善数
浙ICP备2021020529号-1 | 浙B2-20240490 
