文:上海君倫律師事務所
伴隨著經濟全球化的快速發展,跨境貿易、電子商務、電信服務、高新技術產業、金融等行業領域的交互日益活躍,數字經濟時代應運而生。在各類貿易服務交互的過程中,資料不僅作為貫穿於各類商業活動中的重要性得以彰顯外,其自身獨特的財產屬性也逐漸被重視,國家已將資料納為重要生產要素。跨境資料的大規模流動,使得更多的國家和商事主體期待能夠實現資料的共用和彙聚。
然而,一方面,由於很多國家出於保護國家安全、公共政策、維護國家主權、隱私保護等原因,設置了服務貿易壁壘,而其中涉及資料存儲、使用和傳輸領域的規制最多;另一方面,因為每個國家在跨境資料流程動相關保護規則的制定和資料治理上也存在顯著差異,因此跨境資料在實現自由流動、資料共用和彙聚上存在很大程度的限制和障礙。
《區域全面經濟夥伴關係協定》(以下簡稱“RCEP”)標誌著當前世界上人口最多、經貿規模最大、最具發展潛力的自由貿易區的起航,其在跨境資料流程動方面制定了一系列規則,一定程度上為亞太地區的資料保護建立了統一原則,採取寬鬆的資料跨境流動立場,就促進資料自由流動起到了一定的推進作用。
本文將通過與中、日、韓、美、歐盟等國家或區域間關於跨境資料流程動規則進行對比的方式,分析RCEP項下跨境資料流程動規則的特點,從而進一步討論分析中國企業在日後跨境資料流程動實務中的可能經歷的機遇與挑戰。
一、分析RCEP與以歐盟、美國為主導的跨境資料流程動規則的異同
(一)歐盟的資料保護規則特點:優先個人資訊保護
歐盟關於跨境資料保護的相關規則主要以《通用資料保護條例》(簡稱“GDPR”)為法律依據和行為準則。
GDPR以地理區域為基準的充分性保護原則,實施預先防範。歐盟的規制途徑對於歐盟內部和外部的資料流程動採用了統一標準,只要同歐盟公民的個人資料發生關聯,GDPR均有權利加以管制;GDPR限制資料傳輸到地理層面上的歐盟外部,要求提供充分性的資料保護。GDPR通過賦予資料主體更大的權利,從而為跨國公司的資料跨境傳輸設置更高的門檻。非歐盟國家可以選擇:1.制定與GDPR同等的限制;2.接受約束性企業規則(BCR);3.在特定的商業交易中使用標準合同條款(SCC)。
歐盟以人權為導向,強調個人資料權,整體政府主導,實施強立法保護。關於跨境資料流程動,歐盟強調跨境資料的監管與個人資訊保護,嚴格限制個人資訊的進出口,以資料保護高標準引導全球重建資料保護規則體系。
而這樣的資料保護政策會對全球數位和服務貿易帶來阻力,增加合規成本以及公司運營成本,進而抑制企業的創新能力。GDPR對資料控制者和處理者提出了極高的要求的同時也為第三國的資料保護水準提供了“歐盟標準”。然而這一標準與大資料時代的“個人資料”特徵有著很大隔閡。大資料經濟時代其自身具有“共用性”社群主義特徵,而不是傳統的基於個體主義的原子化社會。基於理性的個體主義市場競爭邏輯,將逐步被合作共用的有機整合型經濟所取代。
(二)美國的資料保護規則特點:宣導資料自由流動
美國在跨境資料流程動上沒有制定統一的個人資訊保護法,而是對私人行業採取分散立法的模式,並奉行以市場為主導、以行業自治為中心的資訊隱私政策。其在跨境資料流程動規制領域具有一定程度的話語權,並且依靠其在亞太地區的政治經濟影響力推動構建了有別于歐盟的規制體系。如,在2004年亞太地區達成的第一份關於跨境資料流程動規制的區域性指導檔APEC隱私框架中,帶有明顯的美國規制特徵,提及要在隱私保護中發揮“行業自律”的作用,並強調公私部門的相互合作。
隨後,美國在《美-韓自由貿易協定》納入“成員方應努力避免對跨境電子資訊流動施加或維持不必要阻礙”的跨境資料流程動規則,在區域性協定TPP中專門引入“商業資訊跨境自由傳輸條款”,而在近年的《美墨加三國協議》中,更是設置專章—第19章“數字貿易”,明確包含現行國際協定中關於數位貿易最有利規則,支援美國在具有競爭優勢的創新產品和服務方面擴大貿易以及投資。尤其強調要確保資料可以跨境流通,並最大限度減少資料存儲和處理的當地語系化限制、推動政府公開資料的公開。
美國宣導資訊共用與寬鬆的跨境資料流程動規則,主要基於其在數字經濟和貿易領域的領先優勢,以平衡跨境資料流程動與個人資訊保護,反映了其擬打破資料壁壘以維護其產業競爭優勢和經濟利益的意圖。
(三)RCEP特點及分析對比
RCEP在肯定資料治理的必要性的同時也關注過度監管對資料流程動的妨礙,且試圖減少資料存儲當地語系化對跨國投資者的負擔。
RCEP基於成員國數位化程度同步性差的背景,對於跨境資料流程動採取收縮和保留態度,即在確保資料不流失的基礎上傾向於低程度的資料跨境流動,為本國監管機構實施監管留出較大空間,確保跨境資料流程動的可管制性,從而在資料通道上進行主動截斷。
通過RCEP關於電腦設備或資料儲存位置的規定可知,締約方認為對保護其基本安全利益所必須的任何措施,其他締約方不得對此提出異議(無評議權)。這就保留了更多的例外權利。而且在對資訊的傳輸和處理的規定方面,也明確各締約方對資訊的傳輸和處理有各自的法律規定[12],可以採取不同的法律途徑。且不得採取措施阻止為在其境內從事金融服務提供者的日常業務所必需的資訊傳輸,包括通過電子或其他方式進行的資料傳輸;以及處理在其境內從事金融服務提供者的日常業務所需的資訊。
GDPR和美國關於跨境資料流程動及保護規則的設定上,為爭奪全球資料治理的話語權,均在一定程度上帶有“長臂管轄”的特徵。歐盟和美國都是RCEP締約國的最重要交易夥伴之一,為了避免本國企業遭受分別來自歐盟和美國的嚴苛處罰,並且確保本國企業與歐美之間的正常資料交流,RCEP締約國也不得不向歐美看齊,努力提升本國的資料保護水準。
然而有學者從價值角度分析認為,GDPR項下對資料主體權利的強化保護,一定程度上為資料自由貿易和流通設置了新壁壘,很有可能引發國與國之間資料主權的衝突與博弈,不利於全球資料經濟的發展。而美國主導的“市場優先”為原則、規制保護為例外的模式,應予支援和值得借鑒。
“美國規則”和RCEP相較于“歐盟規則”而言,鼓勵資料跨境流動,允許基於商業行為的跨境資料流程動,要求只要不構成任意歧視或對貿易構成變相限制,就不得阻止實現合法公共政策目標所必要的措施。
除此之外,RCEP其在資料監管規則的協調和統一方面,建議各締約方努力使本國的資料監管法律框架與國際普遍通行的規範靠攏和相容,以提高監管措施的可預見性與穩定性,降低商業主體的合規成本。
由此可見,RCEP開闢了以美國和歐盟為主導的跨境資料流程動規則的第三條路徑,在宣導資料自由流動的同時也推行締約國間共同構建一個統一、穩定的資料監管法律體系。
二、RCEP下的資料流程動規則(以中日韓為例)
作為RCEP的成員國的中國、日本和韓國之間有著密切的經濟往來、貿易上的相互開放、投資一體化的發展趨勢,為三國資料跨境流通奠定了良好的基礎。同時,三國之間的資料流程通也存在諸多挑戰,面對疫情風險、全球暫時性經濟衰退、俄烏衝突、美國及地緣政治等因素,對資料流程動帶來了不小的挑戰。RCEP成員國,特別是中日韓應攜手合作,以共同發展的理念充分履行RCEP約定,實現RCEP帶來的制度紅利,三國之間應積極促成“RCEP+”,推動東亞經濟一體化發展。在全球資料化時代的背景下,資料跨境流通、資料保護、網路安全一直是各國達成RCEP時關注的重要內容。
RCEP的一大亮點是首次承認各成員國對於資料傳輸的不同監管要求,但規定各成員國不得阻止出於商業性質的資訊的跨境傳輸(第十二章第十五條),各成員國應公佈其關於電子商務使用者個人資訊保護的相關資訊(第十二章第八條第三款)。因此,瞭解並遵守日本與韓國的資料傳輸監管要求是實現中國資料出口的必備條件之一。
三、RCEP跨境資料流程動規則項下中國企業的挑戰
經濟全球化趨勢下,RCEP成員國之間的經濟貿易往來持續擴大,中國企業走出去,向其他國家出口其產品及提供服務的規模不斷擴大是未來趨勢。在此過程中,中國企業不可避免地需要向境外提供資料。在最為嚴苛的中國資料保護制度項下,中國企業將面臨不小的挑戰。
(一)資料監管方面
針對個人資訊跨境流動需要經國內網信部門的安全審查、專業機構的認證或簽署網信部門制定的標準合同。但是,該等安全審查、專業機構的認證的具體操作規定尚未制定,暫沒有形成完整的資料跨境傳輸監管體系,導致企業對於個人資訊的跨境流動尚無明文規定可依。其次,面對動態發展的、複雜的國際形勢以及不同的跨境資料管理要求,如何處理個人資訊跨境是對企業來說是一項嚴峻的考驗。
(二)企業資料治理
因RCEP承認各成員國對於資料跨境傳輸的不同監管要求,各成員國對資料安全和管理適用國內法。對於全球化發展的跨境企業來說,由於各關聯公司所在國的不同,企業往往需要面對全球各國的資料監管要求,這對企業資料跨境治理造成了一定的困難。因此,資料跨境治理歸公司總部統一管理還是由各國關聯公司自行掌握管理許可權,也是一個值得探討的問題。
企業資料跨境流動不僅是一次性的,單項的業務操作,而是持續性的,深入到公司日常合規管理的專案,企業應當採取外部和內部相結合的、有序可控的合規措施。
1.內部措施
首先,通過設定流程滿足監管要求。企業應當規劃跨境傳輸流程,明確資料收集路徑、資料類型、出口國監管、進口國監管、傳輸事由、傳輸途徑、國際條約、風險等級、風險處理、權責歸屬等,以此制定對特定國家的跨境資料傳輸管理框架,以便應對國內監管、RCEP承認特定國的法律監管及企業的合規需求。
其次,通過企業內部聯動滿足合規要求。企業在跨境資料傳輸管理制度下,資料流程通過程中如何保證有序性、可控性,是每個企業都要面臨的重要挑戰。針對個人資訊境外傳輸評估時,可能針對的是進口國某應用領域或某時刻的場景,一旦這些發生變化,企業能否及時聯動地把相應的監管措施、內部流程、風險管理等同步處理,對於跨國公司或大型企業來說是尤為重要。
最後,為了應對資料跨境合規問題,企業內部可建立獨立的資料合規部門,制定統一的資料管理制度,明確資料管理許可權及責任歸屬、標準化操作流程,如跨國企業明確各關聯公司所在國的法律規定、資料所有權歸屬、收集許可權、日常管理等的權責劃分,從源頭上保證資料產生到銷毀的整個生命週期,而不應是隔斷治理。
2.外部措施
首先,通過充分瞭解法律規則降低法律風險。不僅包括國內法律法規,也包括關於各國的資料跨境傳輸法律規則,還應當充分瞭解所涉國際條約。必要時,可通過專業的律師及諮詢公司,指導不同法域所涉及的相關問題、降低法律風險。
其次,通過技術手段降低法律風險。資料傳輸技術應當與法律合規要求相結合,不同國家對於資料傳輸規定各不相同,特別是對資料獲取、關鍵資訊、控制許可權、共用許可權、傳輸加密、存儲環境等的評估要求均有所不同。因此,企業在選擇協力廠商設計資料處理技術方案時,應當長遠考慮各國的監管要求,同時也要具備事後持續監測、持續評估的能力、跟進處理能力等。
最後,通過法律盡職調查降低法律風險。如需選擇當地協力廠商資料處理服務商時,同樣可通過委託專業的律師進行資料處理及傳輸合規相關法律盡職調查,保證資料本地處理及傳輸的安全性和可靠性,避免不必要的跨境法律糾紛。
四、結語
不論是《通用資料保護條例》或《美墨加三國協定》還是《區域全面經濟夥伴關係協定》,對國家或區域間跨境資料流程動、資料共用和彙聚開放程度不斷提高,逐漸形成開放的、趨於一體化的、相互相容的資料跨境體系。因此,中國企業面臨該等趨勢,應重視資料合規,構建符合本土及國際化要求的資料合規體系。
