(山東科技大學(xué) 文法學(xué)院,山東 青島 266590)

個(gè)人數(shù)據(jù)跨境流動(dòng)(以下簡稱“數(shù)據(jù)跨境流動(dòng)”)是指任何與個(gè)人相關(guān)的可識(shí)別信息的跨境轉(zhuǎn)移(1)The OECD Privacy Framework, 2013，p.13.盡管有學(xué)者認(rèn)為“信息”和“數(shù)據(jù)”并不相同，但《OECD隱私框架》與《亞太經(jīng)合組織隱私框架》中均將“個(gè)人數(shù)據(jù)”(personal date)和“個(gè)人信息”(personal information)等同互換而未加區(qū)分；另鑒于該問題并非本文探討主題、也并非需要解決的先決問題，是故，本文在此不作區(qū)分。，它為全球帶來的經(jīng)濟(jì)價(jià)值已經(jīng)超過單純的貨物貿(mào)易貢獻(xiàn)，[1]但也為個(gè)人信息保護(hù)(2)對于“個(gè)人信息保護(hù)”，也被稱之為“個(gè)人隱私保護(hù)”，如美國、APEC等，其本質(zhì)并無不同。See Erdem Büyüksagis, Towards a transatlantic concept of data privacy, Fordham Intellectual Property Media & Entertainment Law Journal, vol.30, 2019, p.139,150-164.帶來了風(fēng)險(xiǎn)和困難。為了在促進(jìn)數(shù)據(jù)跨境流動(dòng)自由化的同時(shí)，又能兼顧對個(gè)人信息的保護(hù)，以歐盟、美國為代表在國際層面分別采取了不同的合作規(guī)制進(jìn)路。我國參與簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(RCEP)中也有針對數(shù)據(jù)跨境流動(dòng)的專門條款，這是我國就數(shù)據(jù)跨境流動(dòng)在國際層面作出的首次立法嘗試，但是囿于不同締約方在電子商務(wù)發(fā)展以及個(gè)人信息保護(hù)水平方面差距較大，協(xié)定文本沒能對跨境規(guī)則進(jìn)行明確和細(xì)化。我國擁有龐大的個(gè)人數(shù)據(jù)資源，以收費(fèi)數(shù)字服務(wù)、電子商務(wù)、ICT產(chǎn)品和服務(wù)等為代表的數(shù)字經(jīng)濟(jì)也在加速發(fā)展，與之相關(guān)的數(shù)據(jù)跨境傳輸就在所難免，我們必須加強(qiáng)對該領(lǐng)域國際規(guī)則的探索和實(shí)踐，以助力數(shù)字經(jīng)濟(jì)賦能的產(chǎn)業(yè)轉(zhuǎn)型升級。中國、日本和韓國都是數(shù)據(jù)跨境流動(dòng)規(guī)模較大的經(jīng)濟(jì)體，三國之間密切的經(jīng)濟(jì)交往使得跨境數(shù)據(jù)流動(dòng)具有較高的親密度和相關(guān)性，[2]各自國內(nèi)對個(gè)人信息的重視和保護(hù)以及對數(shù)據(jù)出境的相似要求都使得三國之間具備合作的基礎(chǔ)。而這種合作可以通過哪種類型的條約以及何種規(guī)模來實(shí)現(xiàn)，正是我們需要預(yù)先著手研究的內(nèi)容。

一、共同的個(gè)人數(shù)據(jù)出境前提——“同意”

隨著云計(jì)算、物聯(lián)網(wǎng)和大數(shù)據(jù)的出現(xiàn)，經(jīng)貿(mào)活動(dòng)中對數(shù)據(jù)跨境傳輸?shù)男枨笕找嫱ⅲ腥枕n三國近幾年都有涉及數(shù)據(jù)跨境傳輸?shù)牧⒎ㄅe措。三個(gè)國家都以征得信息主體同意作為允許向境外第三方提供信息的前提，但是對于告知內(nèi)容的規(guī)定卻不盡相同。比如，除了均須告知輸出信息類別、使用目的、存儲(chǔ)和使用期限、傳輸時(shí)間、傳輸方式、目的國、接收方情況等以外，韓國還要求明確告知信息主體享有拒絕同意的權(quán)利以及拒絕后對信息主體可能造成的不利影響；(3)See Korea’s Personal Information Protection Act, arts.17.2&63.2.日本要求向信息主體告知目的國有關(guān)個(gè)人信息保護(hù)的法律制度、信息接收方擬采取的保護(hù)措施以及其他相關(guān)情況，以便信息主體決定是否同意；(4)See Japan’s Act on the Protection of Personal Information, art.24.2&3.對于“同意”本身，比如，征求信息主體同意應(yīng)采用“選擇性加入(opt-in)”還是“選擇性退出(opt-out)”、是否只有單獨(dú)作出的同意才被認(rèn)定為信息主體的許可、不需征得“同意”的例外情形等問題，三個(gè)國家的規(guī)定并不相同。除了以信息主體同意為出境前提外，根據(jù)相關(guān)立法草案，中國還規(guī)定要對擬出境信息進(jìn)行安全評估，是否會(huì)對信息主體造成損害是評估的一個(gè)重要方面，該評估由網(wǎng)絡(luò)運(yùn)營者主動(dòng)向所在地省級網(wǎng)信部門申報(bào)，由網(wǎng)信部門出具評估結(jié)論。(5)參見《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法》第四條、第七條、第十一條；《個(gè)人信息出境安全評估辦法(征求意見稿)》第二條、第三條、第十四條。此外，諸如有關(guān)“敏感信息”“跨境數(shù)據(jù)”等特定類型數(shù)據(jù)的認(rèn)定和處理規(guī)定，也與數(shù)據(jù)跨境流動(dòng)相關(guān)，但是三國的規(guī)定也并不完全相同。

由此可見，中日韓立法對于數(shù)據(jù)跨境流動(dòng)的規(guī)則大體一致，為了防止個(gè)人數(shù)據(jù)出境后給本國公民造成損害，原則上都以獲得信息主體同意為前提，并且都在立法中對后續(xù)通過國際合作便利數(shù)據(jù)跨境傳輸予以授權(quán)，這些都為三國之間創(chuàng)建合作機(jī)制提供了法律上的可能性。但突出的問題是，技術(shù)性的細(xì)節(jié)差異較多?！澳Ч黼[藏在細(xì)節(jié)中”，大量的、細(xì)微的規(guī)則差異也足以構(gòu)成不同法域間數(shù)據(jù)流動(dòng)的制度藩籬，如果一個(gè)企業(yè)要向位于另外兩個(gè)國家境內(nèi)的客戶傳輸必要的個(gè)人數(shù)據(jù)，就必須對這些立法中所謂的“細(xì)枝末節(jié)”洞若觀火，通常做法是委托專業(yè)律師團(tuán)隊(duì)作合規(guī)培訓(xùn)和把關(guān)，但這無疑會(huì)大大增加企業(yè)的運(yùn)營成本。如果隱私保護(hù)制度的執(zhí)行成本過高，企業(yè)可能會(huì)選擇想方設(shè)法規(guī)避數(shù)據(jù)保護(hù)義務(wù)，而不是采取合規(guī)行為。

二、中日韓合作規(guī)制條約類型選擇

目前涉及到數(shù)據(jù)跨境流動(dòng)的國際規(guī)則有兩類：一類是內(nèi)含電子商務(wù)或者數(shù)字貿(mào)易條款的自由貿(mào)易協(xié)定，其中WTO下的《服務(wù)貿(mào)易總協(xié)定》(GATS)以及新近簽署的RCEP可以適用于中日韓三國，此外中韓之間還有《中國韓國自由貿(mào)易協(xié)定》；另一類是就數(shù)據(jù)跨境流動(dòng)中的個(gè)人信息保護(hù)事項(xiàng)專門建立的合作機(jī)制，我國尚未簽署此類專門性條約，日本和韓國均為亞太經(jīng)合組織隱私框架(APEC Privacy Framework，以下簡稱“APEC隱私框架”)的締約國。下文將從這幾項(xiàng)條約著手，對中日韓三國在合作時(shí)可以選擇的條約類型予以考察分析。

(一)WTO與RCEP對數(shù)據(jù)跨境流動(dòng)的規(guī)制

以互聯(lián)網(wǎng)為媒介的跨境經(jīng)貿(mào)往來規(guī)模日益龐大，無論是自由貿(mào)易協(xié)定中的集大成者WTO還是“新秀”RCEP，都試圖對跨境電子商務(wù)進(jìn)行規(guī)制，其中就涉及成員方國內(nèi)的數(shù)據(jù)跨境流動(dòng)措施。但是由于多邊貿(mào)易談判的成果最終只鎖定在有限的商貿(mào)領(lǐng)域，所以對締約方來說，并不是其所有的商貿(mào)數(shù)據(jù)出境措施都受到貿(mào)易協(xié)定的規(guī)制。并且RCEP和GATS都允許成員方就服務(wù)部門以及服務(wù)提供方式作出具體承諾，以作為其各自的義務(wù)范圍，因此只有涉及這些承諾范圍的國內(nèi)措施才受條約約束，當(dāng)跨境傳輸數(shù)據(jù)本身就構(gòu)成服務(wù)貿(mào)易模式——“跨境提供”時(shí)，成員方有關(guān)數(shù)據(jù)跨境傳輸?shù)膰鴥?nèi)法措施就會(huì)影響其對“市場準(zhǔn)入”承諾的遵守。由于不同的產(chǎn)業(yè)發(fā)展現(xiàn)狀和國內(nèi)需求，一個(gè)國家會(huì)就不同部門或者同一部門中不同服務(wù)提供方式的“市場準(zhǔn)入”作出不同承諾，也就意味著都是數(shù)據(jù)跨境傳輸行為，但是由于分屬不同的服務(wù)貿(mào)易門類，輸出國需要采取不同的規(guī)制措施，這顯然是不合理的。并且GATS和RCEP服務(wù)貿(mào)易的承諾表都采取了傳統(tǒng)的服務(wù)部門劃分方法，(6)GATS目前采用的是1991年版的《聯(lián)合國核心產(chǎn)品分類》(United Nations Provisional Central Product Classification)。使得一些大量參與數(shù)據(jù)跨境傳輸?shù)男屡d產(chǎn)業(yè)，比如社交網(wǎng)絡(luò)、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)通訊工具等，無法被準(zhǔn)確、無爭議地歸入到某一具體部門，進(jìn)而無法確定成員方對該類網(wǎng)絡(luò)平臺(tái)的數(shù)據(jù)跨境傳輸有權(quán)采取的規(guī)制措施。

其次，就具體的數(shù)據(jù)傳輸規(guī)則來看，WTO目前尚無專門條款規(guī)定，各國可以自行維持和制訂數(shù)據(jù)出境的國內(nèi)規(guī)則，只要不違反其在GATS下的義務(wù)即可，特定情況下允許成員方為了保護(hù)個(gè)人隱私而背離GATS的義務(wù)；(7)See GATS art.XIV.c(ii).但是例外條款中的“個(gè)人數(shù)據(jù)”“處理”“隱私”等語匯缺乏具體規(guī)定和實(shí)踐，并且就WTO案例中援引“例外條款”的邏輯來看，成員方應(yīng)該是以保護(hù)個(gè)人隱私為由限制本國數(shù)據(jù)出境，這對加強(qiáng)該成員作為數(shù)據(jù)輸入國、保護(hù)來自于他國國民個(gè)人信息作用十分有限。不同于WTO，RCEP中有專門的“電子商務(wù)”章節(jié)，內(nèi)設(shè)數(shù)據(jù)跨境流動(dòng)條款,但是該條款仍然將設(shè)置具體規(guī)則的權(quán)力交給了成員方，對于成員方的義務(wù)僅作了以下概括性規(guī)定：不得阻礙協(xié)定所涵蓋領(lǐng)域中的電子數(shù)據(jù)跨境傳輸，(8)See RCEP art.12.15.1&2.努力避免對電子交易施加不必要的負(fù)擔(dān)，(9)See RCEP art.12.10.2.盡可能通過合作保護(hù)來自于其他成員方境內(nèi)的個(gè)人信息等。(10)See RCEP art.12.8.5.所以，盡管有數(shù)據(jù)跨境流動(dòng)條款，但RCEP下各國對數(shù)據(jù)出境仍然是維持各自不同的程序或?qū)嶓w性要求，如前文所述，這些差異化的要求會(huì)為企業(yè)增加負(fù)擔(dān)，成為數(shù)據(jù)跨境流動(dòng)的制度性壁壘。

綜上，這兩個(gè)貿(mào)易協(xié)定都不能為中日韓之間的數(shù)據(jù)跨境流動(dòng)提供一個(gè)統(tǒng)一的、足夠具體的規(guī)則，無法消弭此領(lǐng)域三個(gè)國家國內(nèi)法的差異，對來自于其他締約方的個(gè)人信息是否能夠在接收國得到有效保護(hù)，也都沒有給予足夠關(guān)注。

(二)APEC隱私框架

APEC隱私框架是專門針對數(shù)據(jù)跨境流動(dòng)以及其中的個(gè)人信息保護(hù)而制訂的一套多邊合作機(jī)制，它明確了個(gè)人隱私保護(hù)的原則，除了可以適用于貿(mào)易中的數(shù)據(jù)跨境流動(dòng)外，還可以適用于包括投資在內(nèi)的其他經(jīng)濟(jì)領(lǐng)域、以及社會(huì)領(lǐng)域的數(shù)據(jù)跨境流動(dòng)，它將加強(qiáng)有效隱私保護(hù)和促進(jìn)信息自由流動(dòng)作為共同目標(biāo)，避免隱私保護(hù)成為信息流動(dòng)的障礙。[3]“跨境隱私執(zhí)行安排”(APEC Cross-border Privacy Enforcement Arrangement, CPEA)和“跨境隱私規(guī)則體系”(APEC Cross-Border Privacy Rules system，CBPR)分別是該“框架”下兩個(gè)具體實(shí)施機(jī)制，CPEA建立了成員方之間的跨境隱私保護(hù)合作機(jī)制，CBPR則為成員方境內(nèi)所屬機(jī)構(gòu)的個(gè)人信息跨境傳輸制訂了行為標(biāo)準(zhǔn)，以及第三方評估認(rèn)證程序。加入CBPR的前提是某一APEC成員國的個(gè)人隱私保護(hù)部門應(yīng)先加入CPEA——日本個(gè)人信息保護(hù)委員會(huì)(Personal Information Protection Commission of Japan)、韓國內(nèi)政部、韓國通訊委員會(huì)(Korea Communications Commission)均是CPEA的成員，成員之間可以自愿就分享信息、跨境調(diào)查和執(zhí)法、跨境投訴處理等事項(xiàng)按照特定程序請求協(xié)助。CPEA中還規(guī)定了與非成員方的合作，也就是說，雖然我國工信部并非CPEA的成員，中日韓之間的跨境隱私保護(hù)合作仍然可以CPEA為依據(jù)，但是除了要求在“職責(zé)權(quán)限內(nèi)”“盡力合作”外，它對與非成員的合作程序、具體事項(xiàng)等語焉不詳。(11)See APEC Cross-border Privacy Enforcement Arrangement, art.9.4&5.即便是成員之間，CPEA也允許一方基于違反國內(nèi)法規(guī)或政策、能力或資源不足、與其利益不相符等原因拒絕其他成員的合作請求。(12)See APEC Cross-border Privacy Enforcement Arrangement, art.7.1.

CBPR是一種“以組織機(jī)構(gòu)為基礎(chǔ)(organizationally-based)”的數(shù)據(jù)跨境傳輸合作機(jī)制，各締約方可以指定其國內(nèi)的特定機(jī)構(gòu)作為CBPR下問責(zé)機(jī)制的責(zé)任代理人(Accountability Agent)，責(zé)任代理人負(fù)責(zé)對本國企業(yè)是否符合APEC隱私框架進(jìn)行評估，通過認(rèn)證的企業(yè)據(jù)此更容易獲得合作伙伴、消費(fèi)者或者政府機(jī)構(gòu)的信賴，比如有的國家規(guī)定向獲得此類認(rèn)證的企業(yè)傳輸數(shù)據(jù)時(shí)，可免于征求信息主體同意，因此，該機(jī)制的設(shè)計(jì)確實(shí)有利于加強(qiáng)隱私保護(hù)和促進(jìn)信息自由流動(dòng)雙重目標(biāo)的實(shí)現(xiàn)。這種認(rèn)證是基于企業(yè)的自愿申請，由于CBPR并不要求成員方修改國內(nèi)法，而只是在成員方國內(nèi)缺乏個(gè)人信息保護(hù)的規(guī)定時(shí)，提供一個(gè)最低保護(hù)標(biāo)準(zhǔn)，[4]所以責(zé)任代理人可以自行確定符合APEC隱私框架九大原則的評估標(biāo)準(zhǔn)，給予申請人認(rèn)證，但是，即便獲得了認(rèn)證，企業(yè)仍然要遵守不同成員國不同的數(shù)據(jù)跨境傳輸國內(nèi)法，因?yàn)镃BPR無意替代或者修改成員方的國內(nèi)法。日本和韓國都參加了該體系，并各自擁有一個(gè)CBPR責(zé)任代理人，(13)指定的責(zé)任代理人分別是日本信息經(jīng)濟(jì)社會(huì)推進(jìn)協(xié)會(huì)(JIPDEC)和韓國互聯(lián)網(wǎng)振興院(KISA)。但是責(zé)任代理人數(shù)量太少可能會(huì)使得認(rèn)證價(jià)格過高，從而不利于企業(yè)，尤其是中小企業(yè)參與該體系的認(rèn)證，[5]從目前情況來看，韓國和日本參與該認(rèn)證體系的企業(yè)并不多。(14)日本有四家企業(yè)經(jīng)由JIPDEC做了CBPR認(rèn)證，其中Intasect公司就與其在中國子公司之間的簽證服務(wù)作了認(rèn)證。韓國尚未有企業(yè)進(jìn)行CBPR 認(rèn)證。http:∥cbprs.org/compliance-directory/cbpr-system/，最后訪問時(shí)間： 2021年2月27日。

(三)自由貿(mào)易協(xié)定vs.專門性的國際條約

通過以上分析可以看出，APEC隱私框架較WTO和RCEP更有利于促進(jìn)數(shù)據(jù)自由流動(dòng)和隱私保護(hù)，它針對性更強(qiáng)，規(guī)則設(shè)計(jì)更豐富，數(shù)據(jù)自由流動(dòng)和隱私保護(hù)平衡的預(yù)設(shè)目標(biāo)也更容易實(shí)現(xiàn)。無論WTO還是RCEP，作為經(jīng)貿(mào)類協(xié)定，其目的和宗旨決定了在體例安排、規(guī)則擬定上，均以經(jīng)濟(jì)貿(mào)易自由化的實(shí)現(xiàn)為重心，其依據(jù)貨物貿(mào)易、服務(wù)貿(mào)易、國際投資等調(diào)整對象不同來進(jìn)行規(guī)則設(shè)計(jì)，契合不同種類經(jīng)貿(mào)活動(dòng)的特點(diǎn)，但是卻可能造成對相同數(shù)據(jù)傳輸行為的不合理分類。雖然意識(shí)到保護(hù)個(gè)人隱私的需要，但是較為籠統(tǒng)的規(guī)定卻可能因?yàn)榻o成員方留下較大立法空間，從而為貿(mào)易主體帶來更大不確定性，這些問題在中韓自貿(mào)協(xié)定的“電子商務(wù)”章也同樣存在。(15)參見《中國-韓國自由貿(mào)易協(xié)定》第13條和第10.3條。自貿(mào)協(xié)定的本質(zhì)屬性決定了它是以推進(jìn)貿(mào)易自由化、促進(jìn)成員經(jīng)濟(jì)增長為目的，它沒有為成員方設(shè)定保護(hù)個(gè)人信息和隱私的義務(wù)及權(quán)限。因此，中日韓之間數(shù)據(jù)跨境流動(dòng)的規(guī)則不應(yīng)依附于貿(mào)易協(xié)定之下，貿(mào)易協(xié)定不能很好地完成這項(xiàng)任務(wù)。APEC隱私框架作為針對性更強(qiáng)的合作機(jī)制，可以更好地實(shí)現(xiàn)數(shù)據(jù)自由流動(dòng)和隱私保護(hù)，但與貿(mào)易協(xié)定相比，它又缺乏較強(qiáng)的拘束力。由美國主導(dǎo)制訂的隱私保護(hù)機(jī)制，APEC呈現(xiàn)出與美國國內(nèi)寬松、碎片化的個(gè)人信息保護(hù)機(jī)制一脈相承的特點(diǎn)：CPEA中允許一個(gè)成員方拒絕其他成員的合作請求，理由可以是違反國內(nèi)法規(guī)或政策、能力或資源不足、與其利益不相符等；(16)See APEC Cross-border Privacy Enforcement Arrangement, art.7.1.CBPR是一種自愿機(jī)制，企業(yè)自愿申請認(rèn)證，締約方也沒有為了該機(jī)制修改國內(nèi)法的義務(wù)。這些意味著，即便中國加入該框架，中日韓三國仍然可以各自維持對數(shù)據(jù)出境前“個(gè)人同意”的相關(guān)規(guī)定，那么為數(shù)據(jù)流動(dòng)消除制度藩籬的合作初衷也就無法實(shí)現(xiàn)。

綜上，目前中日韓共同參加的國際機(jī)制均不能滿足三國之間數(shù)據(jù)跨境流動(dòng)的需求，三國之間需要以便利數(shù)據(jù)流動(dòng)和促進(jìn)信息保護(hù)為目的，在貿(mào)易合作框架外構(gòu)建專門的、有較強(qiáng)拘束力的國際合作機(jī)制，同時(shí)需要注意由此產(chǎn)生的不同類型條約的交叉適用。

三、中日韓合作規(guī)制模式選擇

目前對數(shù)據(jù)跨境流動(dòng)的國際合作規(guī)制存在“以組織機(jī)構(gòu)為基礎(chǔ)”和“以地域?yàn)榛A(chǔ)(geographically-based)”兩種模式，前者以美國及其主導(dǎo)的APEC隱私保護(hù)機(jī)制為代表，上文已略有介紹；后者以歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)中的“白名單”機(jī)制為代表，即由歐盟委員會(huì)對其他國家和地區(qū)的個(gè)人信息保護(hù)水平進(jìn)行綜合評估，如果認(rèn)為其能夠?qū)碜詺W盟的個(gè)人信息給予充分保護(hù)，那么該國家或者地區(qū)就可列入“白名單”中，信息跨境傳輸時(shí)不再需要征得信息主體同意等其他程序。

(一)“以組織機(jī)構(gòu)為基礎(chǔ)”vs.“以地域?yàn)榛A(chǔ)”

三個(gè)國家中目前只有日本既是APEC隱私保護(hù)框架的締約方，又通過了歐盟的“白名單”認(rèn)定，它在國內(nèi)法中引入了部分條款與之銜接，我們在此便以日本國內(nèi)法的相關(guān)規(guī)定為例來分析。

日本的《個(gè)人信息保護(hù)法》規(guī)定，如果位于第三國的數(shù)據(jù)接收方收到個(gè)人數(shù)據(jù)后，擬采取的保護(hù)措施符合日本個(gè)人信息保護(hù)委員會(huì)的標(biāo)準(zhǔn)，或者該第三國能夠提供與日本同等水平的個(gè)人信息保護(hù)，則輸出方無需在信息跨境傳輸前征求信息主體同意。其中個(gè)人信息保護(hù)委員會(huì)的標(biāo)準(zhǔn)是指：(1)個(gè)人數(shù)據(jù)出口商和進(jìn)口商能夠通過提供合同或備忘錄、企業(yè)內(nèi)部規(guī)范、相關(guān)證明文件等做法，滿足日本《個(gè)人信息保護(hù)法》中對處理個(gè)人信息的要求；或者(2)數(shù)據(jù)進(jìn)口商獲得關(guān)于個(gè)人信息保護(hù)的國際認(rèn)證(如CBPR認(rèn)證)。(17)Japan’s Act on the Protection of Personal Information, art.24.該標(biāo)準(zhǔn)就是以企業(yè)等組織機(jī)構(gòu)為基礎(chǔ)的數(shù)據(jù)跨境傳輸規(guī)制模式的體現(xiàn)，接收數(shù)據(jù)的企業(yè)需主動(dòng)采取措施來實(shí)現(xiàn)合規(guī)操作。無論是申請CBPR認(rèn)證，還是企業(yè)根據(jù)自身情況，如業(yè)務(wù)范圍、數(shù)據(jù)類別、數(shù)據(jù)規(guī)模、傳輸方式和用途等，來逐一擬定合同文本和內(nèi)部規(guī)章等文件，都會(huì)大大增加經(jīng)營者的運(yùn)營成本，對中小型企業(yè)來說更是如此。況且，目前各國在此領(lǐng)域的立法實(shí)踐尚處于初期，對未知風(fēng)險(xiǎn)的預(yù)測、對立法的規(guī)劃以及法律規(guī)范的表達(dá)等都有待完善，于是，這種不成熟的立法階段就會(huì)出現(xiàn)頻繁的法律修訂，著眼于風(fēng)險(xiǎn)控制的強(qiáng)行性、命令性規(guī)范條款會(huì)首當(dāng)其沖，有關(guān)數(shù)據(jù)出境的規(guī)定即屬此類，這種法律的頻繁變動(dòng)使得參與數(shù)據(jù)跨境傳輸企業(yè)的負(fù)擔(dān)在原有基礎(chǔ)上更重了。因此，不若采納日本《個(gè)人信息保護(hù)法》銜接條款中的后一種規(guī)定情形：由司職個(gè)人信息保護(hù)的公權(quán)力機(jī)構(gòu)通過預(yù)先評估，作出“白名單”認(rèn)定，來對他國加以甄別。盡管這一任務(wù)量較為龐大，但政府機(jī)構(gòu)的一次性投入可以省去企業(yè)分別合規(guī)的時(shí)間和經(jīng)濟(jì)成本。

“以組織機(jī)構(gòu)為基礎(chǔ)”的規(guī)制模式，來源于美國國內(nèi)的個(gè)人信息保護(hù)制度，根植于其自由市場的文化，人們普遍不太信賴大政府和權(quán)威，傾向于鼓勵(lì)依賴市場的自行運(yùn)作，這與我們東亞三國的法律文化傳統(tǒng)并不一致。尤其在中國，對于作為信息主體的個(gè)人來說，與其寄希望于網(wǎng)絡(luò)服務(wù)運(yùn)營商對自己的保護(hù)措施，不如相信公權(quán)力主導(dǎo)下建立的信息監(jiān)管和保護(hù)體系，更遑論與美國相比，目前東亞地區(qū)有能力對企業(yè)個(gè)人信息保護(hù)體系進(jìn)行評估認(rèn)證、有影響力的商業(yè)機(jī)構(gòu)非常有限，評估主體數(shù)量的欠缺也制約著選擇“以組織機(jī)構(gòu)為基礎(chǔ)”的模式。另外，根據(jù)我國的出境前信息安全評估制度，信息主體遭受損害的可能性與程度，與對國家安全和公共利益的影響一樣，共同歸屬于出境前信息安全評估的事項(xiàng)，這種信息安全評估將來不大可能完全交由市場主體決定。因此，無論從法治文化還是市場的現(xiàn)狀和未來判斷，中日韓三國的合作都不宜選擇“以組織機(jī)構(gòu)為基礎(chǔ)”作為主要的合作模式。

(二)“以地域?yàn)榛A(chǔ)”模式的可行性

1.存在國內(nèi)法中的授權(quán)條款

如前所述，日本在立法和國際實(shí)踐中都已明確可以采取“以地域?yàn)榛A(chǔ)”的合作規(guī)制模式。韓國目前雖然還沒有作出如日本《個(gè)人信息保護(hù)法》第5條那樣的明確規(guī)定，但是在《韓國個(gè)人信息保護(hù)法》《信息通信網(wǎng)絡(luò)的利用和信息保護(hù)等相關(guān)法》(以下簡稱《網(wǎng)絡(luò)法》)中都有與他國就數(shù)據(jù)傳輸合作的規(guī)定，尤其是自2018年開始，已經(jīng)有提案要求修訂《網(wǎng)絡(luò)法》第63條，加入“充分或同等數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)”，[6]隨著韓國尋求歐盟委員會(huì)“白名單”的認(rèn)定，未來極有可能作出相關(guān)修訂。我國在《個(gè)人信息出境安全評估辦法(征求意見稿)》中也為參加這種合作規(guī)制路徑提供了法律依據(jù)，規(guī)定與其他國家、地區(qū)簽署有關(guān)于數(shù)據(jù)出境協(xié)議的，按照協(xié)議規(guī)定執(zhí)行，(18)《個(gè)人信息出境安全評估辦法(征求意見稿)》第十五條?！秱€(gè)人數(shù)據(jù)保護(hù)法(草案)》更明確了要展開與其他國家的合作和規(guī)則互認(rèn)。(19)《個(gè)人數(shù)據(jù)保護(hù)法(草案)》第十二條。以上這些授權(quán)條款(或可預(yù)期的授權(quán)條款)為三國選取“以地域?yàn)榛A(chǔ)”的合作模式分別提供了國內(nèi)法依據(jù)。

2.具備“充分性認(rèn)定”的基礎(chǔ)

“以地域?yàn)榛A(chǔ)”的合作模式是要通過對另一國家的數(shù)據(jù)保護(hù)作出“充分性認(rèn)定”，使個(gè)人數(shù)據(jù)能夠安全、自由地流向第三國，而無須數(shù)據(jù)傳輸者提供進(jìn)一步的保障措施或申請任何授權(quán)，[7]它要考慮的是第三國的法律體制能否為本國國民的個(gè)人信息提供對等有效的保護(hù)。目前三國中只有日本發(fā)布了“充分性認(rèn)定”的評估標(biāo)準(zhǔn)，就核心考量要素來看，采取了與歐盟相同的做法，即分別從立法、執(zhí)法、司法三個(gè)角度予以評估，[8]這一方法極有可能以后為中國和韓國所借鑒。日本目前缺少相關(guān)實(shí)踐，從歐盟委員會(huì)對GDPR下“白名單”認(rèn)定的實(shí)踐來看，它并不要求輸入國與歐盟對個(gè)人信息保護(hù)采取完全一致的法律規(guī)定，只要輸入國的法律法規(guī)能夠有效防止對信息主體的侵害——包括可能來自于公權(quán)力機(jī)構(gòu)的侵害；同時(shí)，還應(yīng)有專門負(fù)責(zé)個(gè)人信息保護(hù)的機(jī)構(gòu)來監(jiān)督和執(zhí)行這類法律，當(dāng)權(quán)利人被侵害時(shí)，能夠通過法律規(guī)定的行政和司法程序獲得相應(yīng)救濟(jì)。所以，盡管日本在個(gè)人信息保護(hù)方面的立法并沒有達(dá)到如GDPR般嚴(yán)格，但是由于“充分性認(rèn)定”是對一個(gè)國家整體保護(hù)水平的評估，所以它依然獲得了GDPR第45條中的“充分性認(rèn)定”。韓國的個(gè)人信息保護(hù)立法整體較日本更為嚴(yán)格，[9]個(gè)人信息保護(hù)委員會(huì)作為專門機(jī)構(gòu)，負(fù)責(zé)該領(lǐng)域法律的制訂與執(zhí)行，還有互聯(lián)網(wǎng)與安全局、通信委員會(huì)等機(jī)構(gòu)予以配合實(shí)施，韓國還加入了APEC隱私保護(hù)框架這一國際機(jī)制，以上這些已經(jīng)滿足了GDPR中明確規(guī)定的考量要求，(20)See GDPR, art.45(2).它大概率應(yīng)該會(huì)獲得歐盟的“白名單”資格，(21)2021年3月30日，歐盟委員會(huì)宣布與韓國就“充分性認(rèn)定”談判圓滿完成，爭取在未幾個(gè)月內(nèi)通過“充分性認(rèn)定”決定。https:∥ec.europa.eu/commission/presscorner/detail/en/statement_21_1506，最后訪問時(shí)間：2021年6月12日。這就意味著韓國能夠給予入境后的個(gè)人信息以充分保護(hù)。我國已有不同部門和層級立法規(guī)定了要保護(hù)個(gè)人信息，《民法典》將自然人的個(gè)人信息受法律保護(hù)規(guī)定在人格權(quán)下，受到損害的個(gè)人可以依據(jù)《消費(fèi)者權(quán)益保護(hù)法》和《侵權(quán)責(zé)任法》提起民事訴訟，構(gòu)成犯罪的還可以依據(jù)2015年《刑法修正案(九)》增設(shè)的侵犯公民個(gè)人信息罪，對犯罪人或者單位追究刑事責(zé)任。在行政法領(lǐng)域，《網(wǎng)絡(luò)安全法》對個(gè)人網(wǎng)絡(luò)信息保護(hù)作出統(tǒng)一規(guī)定，另有《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《個(gè)人信息出境安全評估辦法(征求意見稿)》等多項(xiàng)部門規(guī)章予以細(xì)化，主要以工業(yè)和信息化部門為主，另有公安部、市場監(jiān)督管理局等國務(wù)院其他部門負(fù)責(zé)監(jiān)督實(shí)施對個(gè)人網(wǎng)絡(luò)信息的保護(hù)。隨著《個(gè)人信息保護(hù)法(草案)》進(jìn)入第二次審議，我國第一部個(gè)人信息保護(hù)單項(xiàng)立法出臺(tái)加速，個(gè)人信息將會(huì)得到更加完善、全面、系統(tǒng)的法律保護(hù)。

通過上文的分析，可以看出日本和韓國均能夠?yàn)樾畔⒅黧w提供充分有效的保護(hù)，我國正行駛在個(gè)人信息保護(hù)的立法快速路上，個(gè)人對該問題的敏感度、輿論的關(guān)注度和政府的關(guān)切度都在持續(xù)升溫，這些必將促使更有力的保護(hù)措施出臺(tái)。以近幾年的立法趨勢看，三國都著力繼續(xù)提高保護(hù)水平，這也就意味著采取“以地域?yàn)榛A(chǔ)”合作模式的現(xiàn)實(shí)可行性不斷強(qiáng)化。

四、中日韓合作規(guī)制機(jī)制下中國的關(guān)鍵措施

綜上所述，對于中國、日本和韓國之間的個(gè)人數(shù)據(jù)跨境流動(dòng)，宜采取獨(dú)立于貿(mào)易協(xié)定之外的專門性合作規(guī)制機(jī)制，該機(jī)制應(yīng)主要采取“以地域?yàn)榛A(chǔ)”的模式來設(shè)計(jì)，該路徑的實(shí)施需要中國在以下方面作出準(zhǔn)備。

(一)加強(qiáng)對公權(quán)力機(jī)構(gòu)的法律約束

在進(jìn)行“充分性認(rèn)定”時(shí)，一國已經(jīng)加入的個(gè)人數(shù)據(jù)保護(hù)國際機(jī)制會(huì)是其重要加分項(xiàng)，目前最主要的國際合作機(jī)制是APEC隱私框架和歐盟主導(dǎo)的“白名單”機(jī)制，且歐盟作為對個(gè)人數(shù)據(jù)保護(hù)立法最嚴(yán)的地區(qū)，它的背書大可代表對日韓保護(hù)水平的評價(jià)。我國目前尚未參加在該領(lǐng)域的任何國際合作機(jī)制，我們的個(gè)人信息保護(hù)水平是否能獲得日韓的“充分性認(rèn)定”，這是能否選擇“以地域?yàn)榛A(chǔ)”的合作模式之關(guān)鍵。如前所述，中國已經(jīng)行駛在個(gè)人信息保護(hù)的立法快速路上，尤其加強(qiáng)了對網(wǎng)絡(luò)運(yùn)營商、服務(wù)商等商業(yè)活動(dòng)主體侵犯個(gè)人信息行為的立法和監(jiān)管，但是對于公權(quán)力機(jī)構(gòu)的約束卻尚未引起足夠重視，(22)參見王秀哲：《大數(shù)據(jù)時(shí)代公共安全領(lǐng)域個(gè)人信息保護(hù)的政府責(zé)任》，載《理論探討》2017年第4期，第54-55頁。就《個(gè)人信息保護(hù)法(草案)》來看，比如，第三十四條是對國家機(jī)關(guān)履行法定職責(zé)處理個(gè)人信息的規(guī)范化要求，但只籠統(tǒng)規(guī)定“應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限、程序進(jìn)行，不得超出履行法定職責(zé)所必需的范圍和限度?！痹谠u估一國的保護(hù)水平時(shí)，這將是非常重要的一個(gè)方面。歐盟法院在“Schrems II”案中廢止了“歐盟-美國隱私盾”機(jī)制，主要原因即在于此。[10]尤其是當(dāng)信息權(quán)不能被確認(rèn)為一項(xiàng)憲法性權(quán)利時(shí)，被侵害的信息主體只能獲得私法上的救濟(jì)，這與日本、韓國的個(gè)人信息保護(hù)制度不同，它可能會(huì)被質(zhì)疑面對公權(quán)力的損害，信息主體得到的司法救濟(jì)和保護(hù)不夠。[11]在暫時(shí)不能將信息權(quán)納入憲法性權(quán)利獲得更有力的保障之前，用立法規(guī)定明確限定公權(quán)力的行使范圍就顯得更為必要。公權(quán)力機(jī)構(gòu)為了提供社會(huì)服務(wù)和國家安全，不可避免需要采集和處理個(gè)人數(shù)據(jù)，其間可能會(huì)產(chǎn)生公共安全權(quán)力行使與個(gè)人信息隱私權(quán)的沖突，尤其身處后疫情時(shí)代這一特殊時(shí)期，要實(shí)現(xiàn)二者平衡更為困難?？梢赃x擇與日韓往來比較密切的山東半島作小范圍的嘗試，依托自貿(mào)區(qū)“先行先試”的政策，在山東省自貿(mào)區(qū)內(nèi)進(jìn)行立法實(shí)驗(yàn)，對公權(quán)力機(jī)關(guān)及其授權(quán)的其他機(jī)構(gòu)在獲取、使用和披露個(gè)人信息時(shí)，通過立法明確其授權(quán)條件、范圍和程序，探索共享公益和個(gè)人權(quán)益平衡的邊界，在評估該區(qū)域立法實(shí)踐中的得失后制訂全國通行的法律文本。

(二)確定“充分性認(rèn)定”的合理范圍

采取“以地域?yàn)榛A(chǔ)”的合作規(guī)制模式，以中日韓三國對彼此數(shù)據(jù)保護(hù)水平予以認(rèn)可為前提，進(jìn)而締結(jié)充分性認(rèn)定協(xié)議。但是這種認(rèn)可是對一國整體保護(hù)水平的認(rèn)可，并不意味著我國所有的保護(hù)措施在日韓國內(nèi)法中都存在。我國是三個(gè)國家中數(shù)據(jù)資源最豐富者，這種模式由于認(rèn)可了國家間差異化的立法從而便利了數(shù)據(jù)流動(dòng)，但這些差異化措施的客觀存在卻可能會(huì)為信息主體帶來域外風(fēng)險(xiǎn)，所以需要預(yù)先評估哪些措施會(huì)增加域外風(fēng)險(xiǎn)，在締結(jié)“充分性認(rèn)定”協(xié)議時(shí)將其排除。比如，有關(guān)向第三國轉(zhuǎn)移信息的規(guī)定——假定來自中國的數(shù)據(jù)在日本進(jìn)行處理后，又轉(zhuǎn)移給位于日韓以外的第三國數(shù)據(jù)接收方，根據(jù)日本《個(gè)人信息保護(hù)法》第二十四條，如果存在經(jīng)認(rèn)可的有約束力的公司規(guī)則(Binding Corporate Rules)或者標(biāo)準(zhǔn)合同條款(Standard Contractual Clauses),就不需要征得信息主體的同意。但在我國，這種情況下仍然須征得信息主體同意才可以傳輸，這樣就會(huì)增加中國信息主體在日韓以外第三國遭受損害的風(fēng)險(xiǎn)。對此，中方可以在談判時(shí)提出，對來自中國的數(shù)據(jù)向日韓以外第三國轉(zhuǎn)移時(shí)仍須征得信息主體同意，該提議在得到日韓同意后，規(guī)定在“充分性認(rèn)定”的補(bǔ)充協(xié)議中，對方據(jù)此調(diào)整特定國內(nèi)法律條款對來自中國信息的適用。(23)See Japan Supplementary Rules under the Act on the Protection of Personal Information for the Handling of Personal Data Transferred from the EU based on an Adequacy Decision.除此之外，可能還會(huì)有其他的差異性規(guī)定，這就要求我們預(yù)先對日韓與我國的個(gè)人信息保護(hù)立法進(jìn)行全面、深入比對，發(fā)現(xiàn)和評估這些措施的效果和風(fēng)險(xiǎn)，以保護(hù)信息主體所必要為前提，增加合作的可能性和包容性。另外，由于一國對個(gè)人信息保護(hù)的情況可能是動(dòng)態(tài)變化、發(fā)展不均衡的，所以“充分性認(rèn)定”應(yīng)該以3-4年為一個(gè)周期進(jìn)行復(fù)審，(24)日本法律規(guī)定有關(guān)個(gè)人信息保護(hù)的法律應(yīng)該3年審查修訂一次，See Act on Partial Revision of the Act on the Protection of Personal Information and Act on the Use of Numbers to Identify a Specific Individuals in the Administrative Procedures，art.12；該期限的設(shè)計(jì)也參考了歐盟GDPR中對審核周期的規(guī)定，參見 GDPR,art.45(3).對于不能夠提供充分保護(hù)的區(qū)域、產(chǎn)業(yè)部門，可以排除在數(shù)據(jù)自由流動(dòng)范圍之外。

(三)實(shí)現(xiàn)與中日韓自貿(mào)協(xié)定的兼容

中日韓自由貿(mào)易協(xié)定談判自2012年開始啟動(dòng)，其間中韓于2015年簽署了雙邊自貿(mào)協(xié)定，隨著RCEP談判成功，中日韓自貿(mào)協(xié)定就有了更好的商談基礎(chǔ)。作為RCEP升級版的中日韓自貿(mào)協(xié)定，其中必然有涉及數(shù)據(jù)跨境傳輸?shù)臈l款，在商談時(shí)需要注意與三國之間“充分性認(rèn)定”協(xié)議的兼容與協(xié)調(diào)，尤其當(dāng)自貿(mào)協(xié)定談判先于“充分性認(rèn)定”協(xié)議達(dá)成時(shí)，應(yīng)在自貿(mào)協(xié)定談判文本中預(yù)留空間。比如考慮到并不是所有領(lǐng)域的數(shù)據(jù)跨境傳輸都會(huì)被將來的“充分性認(rèn)定”協(xié)議所囊括，那么這些“協(xié)議外的領(lǐng)域”應(yīng)該和自貿(mào)協(xié)定中的例外部門和行業(yè)相一致，比如服務(wù)貿(mào)易中的金融、電信、醫(yī)療健康、涉及地理位置的服務(wù)等；在數(shù)據(jù)可能構(gòu)成一種“投資”時(shí)，[12]“充分性認(rèn)定”協(xié)議排除的商務(wù)領(lǐng)域也應(yīng)與中國所列的負(fù)面清單相一致。此外，某些既定的文本條款也應(yīng)該摒棄，比如關(guān)于數(shù)據(jù)傳輸?shù)臈l款不能再沿襲類似RCEP的文本，認(rèn)可締約方在數(shù)據(jù)跨境傳輸事宜上的不同監(jiān)管標(biāo)準(zhǔn)；(25)See RCEP, art.15.1.由于電子商務(wù)并不被認(rèn)為是獨(dú)立于貨物和服務(wù)的貿(mào)易形式，所以，“電子商務(wù)”章中往往規(guī)定“服務(wù)貿(mào)易”和“投資”章節(jié)的規(guī)定優(yōu)先適用，(26)參見《中國韓國自由貿(mào)易協(xié)定》第 13.2 條; See RCEP, art.12.3.5.如此一來，只在“電子商務(wù)”中規(guī)定締約方遵守“充分性認(rèn)定”協(xié)議的義務(wù)，便有可能會(huì)減損該協(xié)議的效力。以上兩個(gè)問題的解決，可以通過在中日韓自貿(mào)協(xié)定序言“與其他條約的關(guān)系”中，對“充分性認(rèn)定”協(xié)定的適用加以規(guī)定來實(shí)現(xiàn)。

五、結(jié)語

伴隨RCEP的成功簽署，誕生了第一個(gè)可以在中日韓之間適用的區(qū)域性貿(mào)易協(xié)定，其中的數(shù)據(jù)跨境傳輸條款亦是首創(chuàng)，但由于談判方眾多、國內(nèi)電子商務(wù)發(fā)展和對個(gè)人信息保護(hù)水平差異較大，最終條款并不能完全滿足中日韓之間的數(shù)字經(jīng)濟(jì)交流需求，三國之間需要建立更為開放和具體的數(shù)據(jù)跨境流動(dòng)合作規(guī)制機(jī)制。該機(jī)制不宜附屬于未來的中日韓自由貿(mào)易協(xié)定之下，而應(yīng)該單獨(dú)成立和存在，可以采納“以地域?yàn)榛A(chǔ)”的合作模式，通過對彼此國內(nèi)個(gè)人信息保護(hù)水平的評估，簽署“充分性認(rèn)定”協(xié)議，在特定商貿(mào)領(lǐng)域?qū)崿F(xiàn)數(shù)據(jù)的跨境自由傳輸。為了該機(jī)制的成功建立，我們還需要注意防范對信息主體可能造成的域外損害，提升國內(nèi)的保護(hù)水平，注意與中日韓自貿(mào)協(xié)定談判的兼容和協(xié)調(diào)。