動(dòng)態(tài)與觀點(diǎn)

RCEP能否促成亞太版GDPR?

2021-10-18
瀏覽量
7356

要 點(diǎn):RCEP締約國(guó)可以GDPR為藍(lán)本,以現(xiàn)有國(guó)際協(xié)定成果為參考,采取先建立基本規(guī)則再后續(xù)補(bǔ)充細(xì)則的路線,形成統(tǒng)一、包容、現(xiàn)代、前瞻且合理兼顧信息保護(hù)與經(jīng)貿(mào)便利的區(qū)域性數(shù)據(jù)監(jiān)管制度。

數(shù)據(jù)是“21世紀(jì)的石油”。數(shù)據(jù)已成為國(guó)際貿(mào)易與投資不可或缺的要素,脫離數(shù)據(jù)的(data free)跨境貿(mào)易和投資是不可想象的。

2021年4月9日,《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》正式將數(shù)據(jù)納入與土地、勞動(dòng)力、資本、技術(shù)并列的生產(chǎn)要素。

生產(chǎn)要素只有流通起來(lái)積極參與生產(chǎn)過(guò)程,才能發(fā)揮最大的價(jià)值。數(shù)據(jù)亦然。歷史表明,國(guó)家間的制度差異會(huì)形成貿(mào)易壁壘,阻礙貨物、人員、資本、技術(shù)的流通,增加交易成本,不利于國(guó)際貿(mào)易和投資的發(fā)展。

世界貿(mào)易組織(WTO)規(guī)則和各種雙邊或多邊自由貿(mào)易協(xié)定,就是人類努力消除貿(mào)易壁壘的成果。有研究發(fā)現(xiàn),數(shù)據(jù)也同樣易受貿(mào)易壁壘的負(fù)面影響,而這類貿(mào)易壁壘的主要表現(xiàn)形式也是國(guó)家或區(qū)域間的制度差異。

歐盟是全球首個(gè)制定和實(shí)施統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)規(guī)則的自由貿(mào)易區(qū)。2018年5月25日,歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)開(kāi)始施行。該條例旨在保護(hù)歐盟所屬自然人的個(gè)人數(shù)據(jù),對(duì)個(gè)人數(shù)據(jù)的使用和處理設(shè)定了嚴(yán)格的標(biāo)準(zhǔn)和程序。

GDPR具有跨地域的管轄效力,即無(wú)論是否在歐盟境內(nèi)處理,只要涉及的數(shù)據(jù)關(guān)系到歐盟所屬的自然人,相關(guān)的數(shù)據(jù)處理活動(dòng)就必須遵循GDPR的規(guī)定,違者將遭受嚴(yán)苛的處罰。同時(shí),GDPR也嚴(yán)格限制向歐盟境外傳輸個(gè)人數(shù)據(jù)。

根據(jù)GDPR,當(dāng)數(shù)據(jù)出口方需要將個(gè)人數(shù)據(jù)從歐洲經(jīng)濟(jì)區(qū)傳輸?shù)狡渌麌?guó)家,而后者并不是一個(gè)被歐盟認(rèn)定為能提供足夠個(gè)人數(shù)據(jù)保護(hù)(即“充分性認(rèn)定”)的國(guó)家時(shí),則數(shù)據(jù)出口方需和該國(guó)的數(shù)據(jù)接收方簽訂標(biāo)準(zhǔn)合同條款,對(duì)數(shù)據(jù)傳輸?shù)臈l件、責(zé)任等做出一系列規(guī)定以保障對(duì)個(gè)人數(shù)據(jù)的保護(hù)(2021年6月4日,歐盟委員會(huì)正式采用了新的數(shù)據(jù)傳輸標(biāo)準(zhǔn)合同條款 )。

亞太國(guó)家中,目前只有日本和新西蘭獲得歐盟的充分性認(rèn)定。這意味著歐盟企業(yè)向這兩個(gè)國(guó)家和亞太其他國(guó)家(包括中國(guó)和東盟國(guó)家)傳輸數(shù)據(jù)時(shí),將面臨不同的門檻。

2020年11月15日簽訂的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(RCEP)擬在亞太主要經(jīng)濟(jì)體之間建立全球最大的自由貿(mào)易區(qū),促進(jìn)區(qū)域經(jīng)濟(jì)的一體化,提高域內(nèi)經(jīng)濟(jì)體抵御重大風(fēng)險(xiǎn)的能力。

自由貿(mào)易區(qū)的重要特征是貨物、資金、人員等要素在區(qū)域內(nèi)流動(dòng)的障礙得到消除或大幅減少,區(qū)內(nèi)貿(mào)易和投資成本顯著降低。

RCEP在貨物貿(mào)易零關(guān)稅、原產(chǎn)地累積規(guī)則、服務(wù)貿(mào)易開(kāi)放、投資市場(chǎng)準(zhǔn)入和保護(hù)、自然人流動(dòng)方面,都有了詳細(xì)而具體的約定,對(duì)貿(mào)易和投資自由化的積極效應(yīng)毋庸置疑。

那么,在數(shù)據(jù)治理方面,RCEP是否也能建立起統(tǒng)一規(guī)則,創(chuàng)造亞太版的GDPR,從而消除數(shù)據(jù)流通的壁壘,促進(jìn)數(shù)據(jù)在區(qū)域內(nèi)的安全和高效流動(dòng),讓數(shù)據(jù)最大程度地造福地區(qū)經(jīng)濟(jì)發(fā)展呢? 

跨境貿(mào)易與投資已離不開(kāi)數(shù)據(jù)的交換

互聯(lián)網(wǎng)改變了國(guó)際貿(mào)易和投資的模式,也讓數(shù)據(jù)發(fā)揮了前所未有的價(jià)值,數(shù)據(jù)已深入到跨國(guó)經(jīng)濟(jì)活動(dòng)的方方面面。

數(shù)據(jù)對(duì)于跨境電商、信息服務(wù)、公用設(shè)施、金融等行業(yè)的重要性自不待言,對(duì)于傳統(tǒng)的制造、貿(mào)易行業(yè)同樣不可或缺。例如,在東盟的馬來(lái)西亞、越南、泰國(guó)等國(guó),有大量來(lái)自日本、新加坡、中國(guó)、歐美等的產(chǎn)業(yè)投資,形成制造業(yè)產(chǎn)業(yè)鏈。

為了實(shí)現(xiàn)產(chǎn)業(yè)鏈的運(yùn)轉(zhuǎn),每條產(chǎn)業(yè)鏈上的各個(gè)節(jié)點(diǎn)企業(yè)必須密切溝通關(guān)于生產(chǎn)、銷售、庫(kù)存、運(yùn)輸?shù)刃畔?;關(guān)聯(lián)企業(yè)與總部之間需要分享員工的信息,以便將人力資源在組織間進(jìn)行合理分配;企業(yè)需要收集和分析各國(guó)的人口數(shù)據(jù)和消費(fèi)者行為信息,以便針對(duì)各市場(chǎng)設(shè)計(jì)適銷對(duì)路的產(chǎn)品、服務(wù)及更有效的營(yíng)銷計(jì)劃。

舉例來(lái)說(shuō),中國(guó)的用友網(wǎng)絡(luò)公司于2010年在新加坡設(shè)立了區(qū)域業(yè)務(wù)中心,覆蓋泰國(guó)、越南、緬甸、馬來(lái)西亞等東南亞國(guó)家,主要目的之一就是滿足中資企業(yè)中國(guó)總部與地區(qū)分支機(jī)構(gòu)之間的數(shù)據(jù)交換和協(xié)同方面的需求。

隨著各國(guó)制造業(yè)紛紛向“智能制造”“工業(yè)4.0”升級(jí),相關(guān)數(shù)據(jù)的產(chǎn)生量和處理量將呈爆炸式增長(zhǎng)。根據(jù)國(guó)際權(quán)威機(jī)構(gòu)Statista的預(yù)測(cè),2020年全球數(shù)據(jù)產(chǎn)生量可達(dá)47ZB(1ZB=1012GB);而到了2035年,這一數(shù)字將達(dá)到2142ZB。

經(jīng)濟(jì)合作組織(OECD)于2018年發(fā)布的貿(mào)易政策報(bào)告《數(shù)字貿(mào)易與市場(chǎng)開(kāi)放》(Digital Trade and Market Openness)指出,一個(gè)開(kāi)放的市場(chǎng)至少應(yīng)符合以下六個(gè)原則:

(1)透明,即減少規(guī)則的不確定性,以提高合規(guī)水平;

(2)非歧視,即來(lái)自不同產(chǎn)地的貨物和服務(wù)都可享受實(shí)質(zhì)性的公平待遇,以促進(jìn)競(jìng)爭(zhēng)和創(chuàng)新;

(3)避免過(guò)度監(jiān)管,即監(jiān)管措施應(yīng)限制在合理必要的程度內(nèi),避免過(guò)度管制對(duì)貿(mào)易的損害;

(4)統(tǒng)一,即各國(guó)的管制措施應(yīng)協(xié)調(diào)一致,避免監(jiān)管割裂;

(5)互認(rèn),即承認(rèn)他國(guó)的對(duì)等監(jiān)管措施,減少國(guó)家標(biāo)準(zhǔn)的差異對(duì)貿(mào)易的妨礙;

(6)競(jìng)爭(zhēng),即鼓勵(lì)市場(chǎng)主體的有效競(jìng)爭(zhēng)。

該報(bào)告還指出,數(shù)字貿(mào)易已深入到經(jīng)濟(jì)的各個(gè)行業(yè)和各個(gè)環(huán)節(jié),經(jīng)濟(jì)的數(shù)字化有利于國(guó)際貿(mào)易。報(bào)告經(jīng)過(guò)計(jì)算發(fā)現(xiàn),兩國(guó)間的數(shù)據(jù)互聯(lián)程度每提高10%,貨物貿(mào)易平均將增長(zhǎng)近2%,而且這種效應(yīng)隨著貨物制造復(fù)雜程度的提高而越發(fā)明顯(例如,對(duì)電子產(chǎn)品貿(mào)易的拉動(dòng)效應(yīng)高于對(duì)農(nóng)產(chǎn)品貿(mào)易的拉動(dòng)效應(yīng))。

因此,在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的時(shí)代,要促進(jìn)國(guó)際貿(mào)易,首先要保證數(shù)據(jù)的自由和有序流通,相關(guān)國(guó)家應(yīng)參照以上六項(xiàng)原則規(guī)劃和制定其數(shù)字政策。

筆者認(rèn)為,RCEP締約國(guó)應(yīng)努力實(shí)現(xiàn)數(shù)據(jù)監(jiān)管制度的協(xié)調(diào)和統(tǒng)一,以最大程度地發(fā)揮RCEP協(xié)定對(duì)區(qū)域經(jīng)濟(jì)的推動(dòng)作用。 

RCEP締約國(guó)提升數(shù)據(jù)治理的努力

早在RCEP簽訂之前,區(qū)域內(nèi)各國(guó)大多數(shù)已經(jīng)開(kāi)展數(shù)據(jù)和個(gè)人信息保護(hù)的立法和監(jiān)管。例如:

日本

日本于2005年開(kāi)始施行《個(gè)人信息保護(hù)法》,并先后于2017年和2020年進(jìn)行了大幅度修訂。

馬來(lái)西亞

馬來(lái)西亞于2010年出臺(tái)了《個(gè)人數(shù)據(jù)保護(hù)法令》。

印度尼西亞

印度尼西亞在2012年就頒布了關(guān)于電子系統(tǒng)和交易的第82號(hào)法規(guī)。

新加坡

新加坡于2012年頒布了《個(gè)人數(shù)據(jù)保護(hù)法》,并于2018年通過(guò)了《網(wǎng)絡(luò)安全法》。

越南

越南于2019開(kāi)始施行《網(wǎng)絡(luò)安全法》。

中國(guó)

中國(guó)也在積極行動(dòng)。2021年8月20日,中國(guó)《個(gè)人數(shù)據(jù)保護(hù)法》落地,將于2021年11月1日生效。

結(jié)合之前出臺(tái)的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及一系列數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)和規(guī)范,中國(guó)已初步建立起關(guān)于數(shù)據(jù)治理的完整制度體系。

在相關(guān)立法的基礎(chǔ)上,各國(guó)政府也在加大執(zhí)法力度,對(duì)違規(guī)事件的處罰越來(lái)越頻繁。

新加坡

2019年1月15日,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)(PDPC)對(duì)新加坡健康服務(wù)私人有限公司和綜合健康信息系統(tǒng)公司分別處以罰款25萬(wàn)新加坡元和75萬(wàn)新加坡元,理由是該等機(jī)構(gòu)未能采取適當(dāng)?shù)谋Wo(hù)措施,導(dǎo)致150萬(wàn)患者的個(gè)人信息被盜。

澳大利亞

2020年3月9日,澳大利亞信息專員辦公室在聯(lián)邦法院對(duì)臉書(Facebook)提起訴訟,稱被告未經(jīng)同意就泄露了30多萬(wàn)澳大利亞用戶的個(gè)人信息。

中國(guó)

自2019年12月至2021年7月,中國(guó)工業(yè)和信息化部已累計(jì)組織16批次集中抽測(cè),檢查139萬(wàn)款A(yù)PP,通報(bào)1407款違規(guī)APP,下架377款拒不整改的APP。其中,違反個(gè)人信息保護(hù)規(guī)定是主要的違規(guī)情形。

RCEP締約國(guó)加緊數(shù)據(jù)保護(hù),一方面是基于對(duì)數(shù)據(jù)價(jià)值的認(rèn)識(shí)提升,意在保護(hù)國(guó)民的基本權(quán)益和國(guó)家的戰(zhàn)略安全免遭外部的侵害;另一方面,歐盟主導(dǎo)的較為激進(jìn)的數(shù)據(jù)保護(hù)模式也對(duì)各國(guó)形成了壓力。

歐盟GDPR的管轄范圍包括全球范圍內(nèi)有可能處理歐盟自然人公民的個(gè)人數(shù)據(jù)的任何主體,違法者將遭受高額的罰款。

GDPR還嚴(yán)格限制向歐盟以外的第三地輸出數(shù)據(jù),規(guī)定數(shù)據(jù)輸出的目的國(guó)家必須獲得歐盟委員會(huì)的“充分性認(rèn)定”,否則輸出方必須證明已經(jīng)采取了適當(dāng)?shù)拇胧┐_保數(shù)據(jù)可以得到適當(dāng)?shù)谋Wo(hù)。

歐盟是RCEP締約國(guó)的最重要貿(mào)易伙伴之一。為了避免本國(guó)企業(yè)遭受歐盟的嚴(yán)苛處罰,并且確保本國(guó)企業(yè)與歐盟之間的正常數(shù)據(jù)交流,RCEP締約方也不得不向GDPR看齊,努力提升本國(guó)的數(shù)據(jù)保護(hù)水平,爭(zhēng)取獲得歐盟的充分性認(rèn)定。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)水平,已日益成為國(guó)家乃至地區(qū)競(jìng)爭(zhēng)力的重要構(gòu)成。 

RCEP締約國(guó)的數(shù)據(jù)保護(hù)規(guī)則差異較大

目前,RCEP締約國(guó)的數(shù)據(jù)保護(hù)規(guī)則基本上都遵循歐美所倡導(dǎo)的“合法、正當(dāng)、必要、主體許可、最小化”等原則,嚴(yán)格限制對(duì)數(shù)據(jù)的收集、轉(zhuǎn)移及利用。

然而,各國(guó)的數(shù)據(jù)保護(hù)規(guī)則在相似的外表下仍存在較大的差異,如果再配合執(zhí)法上的自由裁量權(quán),極容易形成新型的貿(mào)易壁壘。

首先,RCEP締約方的網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)水平發(fā)展不一。

既有擁有全球領(lǐng)先網(wǎng)絡(luò)安全監(jiān)管的新加坡,也有老撾、柬埔寨、緬甸等尚在進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)的國(guó)家(這三個(gè)國(guó)家都還沒(méi)有專門的個(gè)人數(shù)據(jù)保護(hù)法律),對(duì)于數(shù)據(jù)的跨境流通難免出現(xiàn)監(jiān)管真空和脫節(jié)。

例如,除了中國(guó)、日本、新加坡、澳大利亞等國(guó)外,其他締約國(guó)鮮有對(duì)違反個(gè)人信息保護(hù)的情形展開(kāi)調(diào)查或處罰的先例。

其次,在現(xiàn)有制度框架下,各國(guó)關(guān)于數(shù)據(jù)監(jiān)管的對(duì)象也未形成統(tǒng)一認(rèn)識(shí)。

例如,關(guān)于個(gè)人信息,大部分國(guó)家將其定義為可導(dǎo)致對(duì)自然人的身份進(jìn)行識(shí)別的信息,但對(duì)這類信息的具體范圍,一些國(guó)家僅將其限定于姓名、生日、性別、住址、電子郵箱等基本信息;而另一些國(guó)家,則將監(jiān)管信息擴(kuò)大至銀行賬戶、網(wǎng)絡(luò)名稱、虛擬貨幣賬號(hào)等信息,甚至某些本身不能識(shí)別自然人但與其他信息結(jié)合則可識(shí)別特定自然人的信息也被囊括在內(nèi),如IP地址、個(gè)人上網(wǎng)記錄、個(gè)人位置信息等。

在這方面,澳大利亞就將關(guān)于個(gè)人的任何信息和評(píng)論意見(jiàn)都納入保護(hù)的范圍,無(wú)論這些信息和意見(jiàn)是否真實(shí)和準(zhǔn)確。上述監(jiān)管對(duì)象的不統(tǒng)一,給企業(yè)的跨境運(yùn)營(yíng)造成很大的不確定性。

再次,各國(guó)對(duì)數(shù)據(jù)跨境傳輸限制的不統(tǒng)一也容易產(chǎn)生數(shù)據(jù)本地化壁壘。

雖然大多數(shù)國(guó)家原則上規(guī)定數(shù)據(jù)主體的同意是跨境傳輸?shù)谋匾獥l件之一,但同時(shí)又對(duì)某些特殊信息設(shè)置額外的限制條件。

例如,泰國(guó)對(duì)于“重大戰(zhàn)略性信息”的限制,越南對(duì)于“國(guó)家秘密”的限制,新加坡對(duì)于金融信息的限制,等等。

最后,對(duì)于數(shù)據(jù)本地化存儲(chǔ)的要求將對(duì)企業(yè)的投資安排有直接影響。

例如,印度尼西亞、越南、澳大利亞、中國(guó)都對(duì)數(shù)據(jù)有本地化存儲(chǔ)的強(qiáng)制要求,也就是說(shuō)企業(yè)必須在運(yùn)營(yíng)所在國(guó)設(shè)置存儲(chǔ)在該國(guó)產(chǎn)生的數(shù)據(jù)的服務(wù)器。這種要求導(dǎo)致了東南亞的數(shù)據(jù)中心(IDC)投資的快速增長(zhǎng)。

據(jù)預(yù)測(cè),東南亞IDC市場(chǎng)投資在2021年至2026年期間,將以8%的復(fù)合年增長(zhǎng)率增長(zhǎng),阿里云、騰訊云、UCloud等國(guó)內(nèi)云計(jì)算服務(wù)商都在加快東南亞布局,新加坡、印尼、馬來(lái)西亞、菲律賓、印度等地都有中資數(shù)據(jù)中心的存在。

數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一,相當(dāng)于在各國(guó)之間樹(shù)立了高矮疏密不一的數(shù)據(jù)籬笆,直接妨礙數(shù)據(jù)以及與其相關(guān)的資本和人員的互通。

數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一還將對(duì)跨國(guó)供應(yīng)鏈產(chǎn)生深遠(yuǎn)的影響。

跨國(guó)企業(yè)為了節(jié)省合規(guī)成本,可能會(huì)放棄一些位于實(shí)施嚴(yán)格數(shù)據(jù)保護(hù)的國(guó)家的供應(yīng)商,而選用數(shù)據(jù)保護(hù)較寬松的國(guó)家的供應(yīng)商,甚至將運(yùn)營(yíng)管理的中心轉(zhuǎn)移到數(shù)據(jù)監(jiān)管較弱的國(guó)家。

此外,不少中小型企業(yè)可能會(huì)由于無(wú)法承擔(dān)數(shù)據(jù)保護(hù)合規(guī)的高昂成本而逐漸被排除在區(qū)域乃至全球供應(yīng)鏈之外,失去發(fā)展的機(jī)會(huì);對(duì)數(shù)據(jù)有高度依賴的科技創(chuàng)新企業(yè)也可能減少在數(shù)據(jù)合規(guī)成本較高的國(guó)家的投資。

瑞典官方機(jī)構(gòu)國(guó)民貿(mào)易局(The National Board of Trade)于2014年發(fā)表的企業(yè)調(diào)查報(bào)告《無(wú)傳輸即無(wú)貿(mào)易》(No Transfer, No Trade),通過(guò)眾多真實(shí)案例論證了歐盟區(qū)內(nèi)割裂的數(shù)據(jù)保護(hù)制度對(duì)跨境貿(mào)易和投資的負(fù)面影響。

GDPR在很大程度上正是對(duì)歐盟企業(yè)關(guān)于協(xié)調(diào)區(qū)域內(nèi)各自為政的數(shù)據(jù)監(jiān)管制度強(qiáng)烈呼聲的回應(yīng)。

RCEP為亞太地區(qū)數(shù)據(jù)保護(hù)建立了統(tǒng)一原則

在RCEP簽訂前,世界主要經(jīng)濟(jì)體已經(jīng)開(kāi)始了協(xié)調(diào)數(shù)據(jù)監(jiān)管規(guī)則的嘗試。

2019年1月,包括美國(guó)、歐盟、日本、新加坡、澳大利亞、中國(guó)、巴西、俄羅斯在內(nèi)的76個(gè)WTO成員共同簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》,確認(rèn)將在WTO現(xiàn)有協(xié)定框架基礎(chǔ)上,開(kāi)展電子商務(wù)諸邊談判。

與此同時(shí),在WTO多邊框架之外的超大型自由貿(mào)易協(xié)定,如《全面進(jìn)步的跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)、《日本-歐盟經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(EPA)、《美墨加貿(mào)易協(xié)定》(USMCA)等,大都包含了相關(guān)“數(shù)字貿(mào)易或電子商務(wù)”章節(jié),涉及“數(shù)據(jù)自由流動(dòng)”及“禁止數(shù)據(jù)本地化”等內(nèi)容,進(jìn)行了跨國(guó)數(shù)據(jù)監(jiān)管一體化的嘗試。

RCEP作為一個(gè)現(xiàn)代、全面、高水平和互惠的貿(mào)易協(xié)定,在數(shù)據(jù)保護(hù)的國(guó)際化方面付出了很大的努力,試圖建立一套不同于歐盟或美國(guó)體制的國(guó)際數(shù)字治理新模式。

首先,RCEP肯定數(shù)據(jù)治理的必要性。

其第十二章“電子商務(wù)”第八條第一款規(guī)定,“每一締約方應(yīng)當(dāng)采取或維持保證電子商務(wù)用戶個(gè)人信息受到保護(hù)的法律框架”。

同時(shí),RCEP也關(guān)注過(guò)度監(jiān)管對(duì)數(shù)據(jù)流動(dòng)的妨礙。

其第十二章第十條第二款規(guī)定,“每一締約方應(yīng)當(dāng)努力避免對(duì)電子交易施加任何不必要的監(jiān)管負(fù)擔(dān)”。第十二章第十五條第二款規(guī)定,“任何締約方不得阻止其他締約方的投資者為進(jìn)行商業(yè)行為而通過(guò)電子方式跨境傳輸信息”。

RCEP也試圖減少數(shù)據(jù)存儲(chǔ)本地化對(duì)跨國(guó)投資者的負(fù)擔(dān)。

其第十二章第十四條第二款規(guī)定,“締約方不得將要求涵蓋的人使用該締約方領(lǐng)土內(nèi)的計(jì)算設(shè)施或者將設(shè)施置于該締約方領(lǐng)土之內(nèi),作為在該締約方領(lǐng)土內(nèi)進(jìn)行商業(yè)行為的條件”。

關(guān)于鼓勵(lì)數(shù)據(jù)跨境流動(dòng)和避免數(shù)據(jù)存儲(chǔ)本地化的規(guī)定,被視為RCEP在促進(jìn)數(shù)字貿(mào)易方面的重大創(chuàng)舉。澳大利亞政府在簽約當(dāng)天發(fā)表的評(píng)論稱,RCEP的這些條款是很多締約方首次訂立的類似條款,是對(duì)包括澳大利亞-新西蘭自由貿(mào)易協(xié)定、馬來(lái)西亞-澳大利亞自由貿(mào)易協(xié)定、東盟自由貿(mào)易協(xié)定等在內(nèi)的諸多貿(mào)易協(xié)定關(guān)于電子商務(wù)問(wèn)題的成果的升級(jí)。

為了提高數(shù)據(jù)監(jiān)管的透明度,RCEP第十二章第八條第四款規(guī)定,“締約方應(yīng)當(dāng)鼓勵(lì)法人通過(guò)互聯(lián)網(wǎng)等方式公布其與個(gè)人信息保護(hù)相關(guān)的政策和程序”;其第十二條則進(jìn)一步要求每一締約方盡快公布與電子商務(wù)有關(guān)的監(jiān)管措施。

在數(shù)據(jù)監(jiān)管規(guī)則的協(xié)調(diào)和統(tǒng)一方面,RCEP建議締約方借鑒現(xiàn)有的國(guó)際規(guī)范。

其第十二章第八條第二款規(guī)定,“在制定保護(hù)個(gè)人信息的法律框架時(shí),每一締約方應(yīng)當(dāng)考慮相關(guān)國(guó)際組織或機(jī)構(gòu)的國(guó)際標(biāo)準(zhǔn)、原則、指南和準(zhǔn)則”;第十條第一款規(guī)定,“每一締約方應(yīng)當(dāng)在考慮《聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)電子商務(wù)示范法(1996 年)》《聯(lián)合國(guó)國(guó)際合同使用電子通信公約(2005年)》,或其他適用于電子商務(wù)的國(guó)際公約和示范法基礎(chǔ)上,采取或維持監(jiān)管電子交易的法律框架”。

換言之,締約國(guó)期望,各方應(yīng)努力使本國(guó)的數(shù)據(jù)監(jiān)管法律框架與國(guó)際普遍通行的規(guī)范靠攏和兼容,以提高監(jiān)管措施的可預(yù)見(jiàn)性與穩(wěn)定性,降低商業(yè)主體的合規(guī)成本。 

對(duì)RCEP統(tǒng)一跨境數(shù)據(jù)監(jiān)管規(guī)則的建議

其實(shí),RCEP締約方一直在進(jìn)行統(tǒng)一跨境數(shù)據(jù)監(jiān)管的努力。

2013年,亞太經(jīng)合組織(APEC)通過(guò)了《跨境隱私規(guī)則體系》(CBPR)。該體系是亞太地區(qū)第一個(gè)數(shù)據(jù)保護(hù)協(xié)同框架,建立了一整套的執(zhí)行機(jī)制和措施。

一般而言,加入CBPR的標(biāo)準(zhǔn)包括:國(guó)內(nèi)隱私法、隱私保護(hù)執(zhí)法機(jī)構(gòu)、信任標(biāo)志(trust-mark)提供商、隱私法與APEC隱私框架的一致性等。

目前,共有美國(guó)、日本、加拿大、墨西哥、新加坡、韓國(guó)、澳大利亞和中國(guó)臺(tái)灣加入了CBPR。CBPR是規(guī)范APEC成員經(jīng)濟(jì)體關(guān)于企業(yè)和個(gè)人信息跨境傳輸活動(dòng)的自愿性多邊數(shù)據(jù)隱私保護(hù)計(jì)劃,并不具有法律約束力,但對(duì)協(xié)調(diào)參與國(guó)的數(shù)據(jù)監(jiān)管有重要的指導(dǎo)意義。

2019年1月22日,東盟十國(guó)簽署了《東盟電子商務(wù)協(xié)定》。該協(xié)定是全球?yàn)閿?shù)不多的聚焦電子商務(wù)的區(qū)域性協(xié)定,包含了個(gè)人網(wǎng)上信息保護(hù)、網(wǎng)絡(luò)安全等內(nèi)容,具有法律約束力,并且絕大多數(shù)條款適用爭(zhēng)端解決。

目前,東盟十國(guó)正在履行該協(xié)定的國(guó)內(nèi)核準(zhǔn)程序。2021年1月22日,第一屆東盟數(shù)字部長(zhǎng)會(huì)議批準(zhǔn)發(fā)布了《東盟數(shù)據(jù)管理框架》和《東盟跨境數(shù)據(jù)流動(dòng)示范合同條款》。

兩份文件旨在為區(qū)域數(shù)字經(jīng)濟(jì)和數(shù)字貿(mào)易發(fā)展制定東盟內(nèi)部的數(shù)據(jù)流動(dòng)規(guī)則,以促進(jìn)與東盟地區(qū)數(shù)據(jù)相關(guān)的商業(yè)業(yè)務(wù)運(yùn)營(yíng),減少談判和合規(guī)成本;同時(shí),確??缇硵?shù)據(jù)傳輸過(guò)程中的個(gè)人數(shù)據(jù)保護(hù)。東盟下一步將制定有關(guān)東盟跨境數(shù)據(jù)流動(dòng)認(rèn)證的細(xì)節(jié),預(yù)計(jì)于2021年完成。

歐盟GDPR是迄今為止關(guān)于數(shù)據(jù)監(jiān)管統(tǒng)一化的最成功范例,對(duì)世界各國(guó)的數(shù)據(jù)保護(hù)立法和實(shí)踐將持續(xù)產(chǎn)生重大影響。RCEP締約國(guó)如越南、中國(guó)、泰國(guó)、日本等國(guó),在制定或修訂本國(guó)的數(shù)據(jù)保護(hù)法律時(shí)都積極借鑒了GDPR。因此,GDPR可作為RCEP締約國(guó)搭建區(qū)域統(tǒng)一數(shù)據(jù)監(jiān)管制度的參考模板。

RCEP第十二章第十六條聲明,締約方認(rèn)識(shí)到,在適當(dāng)時(shí)與利益相關(guān)方對(duì)話,有利于促進(jìn)電子商務(wù)的發(fā)展和提升其使用價(jià)值。而這些對(duì)話應(yīng)當(dāng)包括數(shù)字產(chǎn)品待遇、源代碼、金融服務(wù)中跨境數(shù)據(jù)流動(dòng)和計(jì)算設(shè)施的位置等問(wèn)題??梢?jiàn),RCEP已為締約方繼續(xù)磋商以改善區(qū)域數(shù)據(jù)監(jiān)管統(tǒng)一化預(yù)留了空間。

筆者認(rèn)為,RCEP締約國(guó)可在尊重各國(guó)利益訴求和約束條件的前提下,以GDPR為藍(lán)本,以現(xiàn)有的關(guān)于跨境數(shù)據(jù)監(jiān)管的國(guó)際協(xié)定成果(如CBPR、CPTPP、《東盟數(shù)據(jù)管理框架》等)為參考,求同存異、抓大放小,采取先建立基本規(guī)則再后續(xù)補(bǔ)充細(xì)則的路線,結(jié)合區(qū)內(nèi)區(qū)外不斷演進(jìn)的監(jiān)管實(shí)踐,形成統(tǒng)一、包容、現(xiàn)代、前瞻且合理兼顧信息保護(hù)與經(jīng)貿(mào)便利的區(qū)域性數(shù)據(jù)監(jiān)管制度。

一旦形成這套制度,則不僅區(qū)域內(nèi)的貿(mào)易和投資將更加通暢,區(qū)域經(jīng)濟(jì)產(chǎn)出得到提升,而且RCEP締約國(guó)與歐盟、美國(guó)等發(fā)達(dá)經(jīng)濟(jì)體之間的“數(shù)據(jù)鴻溝”也有望被填平,RCEP締約國(guó)更易獲得歐盟和美國(guó)的“充分性認(rèn)證”,數(shù)據(jù)跨境傳輸限制對(duì)跨區(qū)貿(mào)易的掣肘將被有效削弱。

目前已有泰國(guó)、新加坡、中國(guó)、日本完成了國(guó)內(nèi)程序,批準(zhǔn)了RCEP。

十五個(gè)締約國(guó)一致表示,將盡快完成RCEP的國(guó)內(nèi)批準(zhǔn)程序,爭(zhēng)取在2022年1月1日生效實(shí)施。疫情延誤了RCEP的批準(zhǔn)進(jìn)程,但也讓締約國(guó)意識(shí)到數(shù)據(jù)的運(yùn)用和管理對(duì)公共健康、社會(huì)秩序、勞動(dòng)就業(yè)、經(jīng)濟(jì)轉(zhuǎn)型等的重要意義。

平衡數(shù)據(jù)保護(hù)與經(jīng)濟(jì)活動(dòng)成為前所未有的挑戰(zhàn)。各國(guó)通過(guò)抗擊疫情,積累了數(shù)據(jù)監(jiān)管和運(yùn)用的新鮮經(jīng)驗(yàn)。相信隨著疫情的平息、社會(huì)活動(dòng)恢復(fù)常態(tài),RCEP一旦正式生效,締約國(guó)將會(huì)就電子商務(wù)議題展開(kāi)深入對(duì)話和磋商,區(qū)域數(shù)據(jù)監(jiān)管的統(tǒng)一化進(jìn)程有望在新的起點(diǎn)上加速推進(jìn)。


本文于2021年10月1日在《中國(guó)外匯》2021年第19期首發(fā)

作者原文鏈接:https://mp.weixin.qq.com/s/OLpFsnwhc5AhKqFrUVmJ_w

企業(yè)微信截圖_7d59dff9-493a-470f-9012-bbdb2a1f68e8.png

企業(yè)微信截圖_b7292342-9c81-482d-963d-a57144af8690.png

企業(yè)微信截圖_d8d28f03-8579-4b5b-adca-e14dfea365e5.png