數字經濟視野下跨境數據流動法律監管制度研究及對我國的啟示

傅盈盈

摘 要：數字經濟時代下，國際貿易離不開數據的全球性流動。學界關于跨境數據流動治理的研究大多聚焦于美國和歐盟，關于日本跨境數據流動法律監管問題在中日學界都沒有針對性、系統性研究。日本有關跨境數據流動的國內立法主要集中規定在2015年修正后的《個人信息保護法》中，主要存在四個方面的亮點：一是明確“主體同意原則”;二是設置“白名單”制度;三是完善了個人隱私安全保護同國民生命健康安全保護及公共利益之間的平衡;四是對處理個人信息的經營者委托國外主體管理數據，或將數據傳輸給境外關聯公司過程中產生的數據跨境流動監管問題提出解決方案。日本在完成其國內跨境數據流動相關法律制度之后，也像歐美國家一樣開始在雙多邊交涉中增加關于跨境數據流動規則的談判，如簽訂CPTPP、EPA、RCEP等雙多邊自由貿易協定，努力實現日本與其他國家地區之間規范的跨境數據流動。中國如今應當加快構建跨境數據流動法律監管體系，積極參與國際規則的制定和國際條約的簽訂。

關鍵詞：跨境數據流動;數據治理;日本法律;中國法律應對

中圖分類號：D996.1? ? ? ? 文獻標志碼：A? ? ? 文章編號：1673-291X（2021）33-0125-05

引言

近年來，以互聯網為載體的數字經濟飛速發展，極大改變了國際貿易的運行模式。在國際貿易中，除了傳統的“人物錢”跨境流動之外，數據跨境流動也引起全世界的廣泛關注。誠然，數據在全世界范圍內快速流動帶動了國際貿易的快速發展，但也帶來一系列問題，如個人數據被非法使用、企業商業機密泄露、國家信息安全受到威脅等，因此各國都在探索如何能在平衡數字經濟發展和維護信息安全的前提下對跨境數據進行規制。國際權威機構Statista的統計數據顯示，直至2019年，中國數字產業總規模位居世界第一，但很遺憾的是，我國擁有如此大的數字產業規模，針對數據跨境流動的監管卻沒有系統的立法。因此，借鑒國際上有關數據跨境流動的先進立法經驗和積極參與國際上有關數據跨境流動的立法討論、掌握國際規則制定話語權非常重要。

目前，跨境數據流動領域還未能形成統一的全球治理規則。歐盟和美國在跨境數據監管方面起步較早，已形成兩套較為成熟的監管體系，并各自通過簽訂自由貿易協定在全世界范圍內推廣自己的監管模式。2015年的“棱鏡門”事件后，日本意識到了跨境數據流動全球治理上的缺陷，也明白不能完全依賴于美國或者歐盟主導的治理體系，必須要建立本國的數據跨境流動監管法律體系。2019年，日本首相安倍晉三在G20峰會上確立了“Data Free Flow with Trust”數據流通原則，啟動大版軌道，致力于在構建令人有信賴感的數據自由流通治理體系，促進各國間數字貿易發展。可見，日本現如今十分重視數據跨境流通的治理問題。作為與日本貿易關系最為密切的同為亞洲國家的中國，應當關注日本數據治理動態，借鑒其長處，加速構建本國的數據跨境流動監管法律體系。因此，本文將梳理、分析日本有關跨境數據流動的國內立法和同他國簽訂的雙多變國際條約，并探討其對中國的啟示，試圖對我國跨境數據流動法律監管提出建議。

一、跨境數據流動監管領域日本的國內立法

早期，日本政府對數據流動持盡量不去干預或少干預，保護對象僅限于個人數據。直到2003年，日本才制定了首部《個人信息保護法》，并且從文本看也無專門規制數據跨境流動的條款。此時，日本跨境數據流動治理基本處于自由、自愿和自律的“三自”狀態。

2015年“棱鏡門”事件暴露了跨境數據流動全球治理的缺陷，不但使歐美跨境數據流動“安全港協議”作廢，更催化了日本就跨境數據流動治理出臺一系列規制政策，在這樣的背景下，2015年9月，修正后的《個人信息保護法》，其中對跨境數據流動監管的規定主要有以下幾個亮點。

（一）明確“主體同意原則”

修正后的《個人信息保護法》明確了除特定情形外，處理個人信息的經營者在將數據提供給外國第三者時，必須事先獲得數據主體對該提供行為的同意。這里的“外國第三者”是指，除了處理個人信息的經營者和個人信息主體以外的域外主體，包括外國政府在內。這里的“同意”是指，個人信息的主體對處理個人信息的經營者向國外第三者提供其個人信息的行為做出同意的意思表示，若該主體是未成年人、無民事行為能力或限制民事行為能力等無法理解做出同意意思表示后會產生的后果的主體，個人信息經營者還必須獲得其親屬或法定代理人的同意。在無法事先獲得數據主體同意的場合，除敏感信息外，將法律規定的事項通知到個人信息主體，同時將情況向個人信息保護委員會報告并經其公示之后，可以將個人信息提供給國外的第三者。在新舊法的銜接上，在新法實施之前，已獲取過數據主體同意處理個人信息的經營者，在新法實施之后，可以將數據主體同意范圍內的個人信息提供給外國第三人。

可見，日本對個人信息跨境流動采取“主體同意原則”，對個人信息經營者設置了較為嚴格的通知義務。同時也考慮到商事行為的效率問題，在無法取得數據主體同意的情況下，允許處理個人信息的經營者在完成通知義務和向個人信息保護委員會的報告義務之后，向境外傳輸非敏感信息。且在此情況下，數據主體也享有隨時叫停提供信息行為的權利，在最大程度上平衡個人信息的保護和商事行為的效率。而在新舊法的銜接上，更偏向于保護商事行為的效率，即使新法實施前數據主體并沒有明確同意處理個人信息的經營者可以將其信息跨境傳輸，只要其曾做出過允許處理個人信息的經營者傳輸其個人信息的意思表示，就視為其同意處理個人信息的經營者在相同范圍內將信息跨境傳輸給外國第三者。

（二）設置“白名單制度”

日本通過設置“白名單”，使個人信息數據能在日本和與日本有相同水準的個人信息保護制度的國家之間自由流通。法條規定，如果某國在個人信息保護委員會制定的名單之中，就代表這些國家的個人信息保護水平已達到同日本相同的水準，那么處理個人信息的經營者即使沒有取得數據主體的同意，也可使個人信息在日本與該國之間自由流通。被日本個人信息保護委員會納入“白名單”的國家，需要符合的條件包括：該國制定實施的法律對個人信息保護力度同日本相當;該國存在同日本個人信息保護委員會類似的執行機構;該國同日本在如何合理地利用個人信息與保護數據主體權利的問題上能夠相互理解;相互合作的國家該國不可超過必要的范圍限制信息跨境流動;個人數據在日本與該國之間流動可以促進新產業發展，激發經濟活力，并有利于豐富國民生活。如今，在日本個人信息保護委員會白名單國家主要是歐盟的國家和英國。

設立數據跨境傳輸“白名單”原本是歐盟的一貫做法。2016年4月14日，歐盟議會和歐盟理事會通過《通用數據保護條例》（GDPR），并于2018年5月25日正式生效。GDPR在第45條規定了若第三國或者國際組織已對個人信息保護建立了充分的保護體制，那么歐盟將會將該國加入充分保護“白名單”，明確允許數據轉移到這些國家。截至2020年3月12日，名單包括13個國家，其中也包括2019年加入歐盟“白名單”的日本。日本設立個人信息跨境傳輸“白名單”一是為了借鑒歐盟的經驗，允許數據傳輸至擁有完善的數據保護監管制度的國家，既保障了數據流動的安全性，又能促進數據在一定范圍自由流動，促進經濟發展;二是因《日歐經濟伙伴協定》（EPA）需要數據跨境在日本與歐盟之間流動，互將對方加入“白名單也是當務之急。

（三）完善了個人隱私安全保護同國民生命健康安全保護及公共利益之間的平衡

日本允許處理個人信息的經營者在法律規定的情形內，可以在不事先經數據主體同意的情況下將數據跨境傳輸，完善了個人隱私安全保護同國民生命健康安全保護及公共利益之間的平衡。此處法律規定的情形具體包括：向國外第三者提供該數據是保護數據主體生命、身體、財產所必需的措施，且獲得數據主體同意較為困難;向國外第三者提供該數據是為了公共衛生或者維護兒童身心健全的需要必須向境外傳輸個人信息，且獲得數據主體同意較為困難;國家機關為了實施法律規定的事務時必須獲得民間企業的配合將個人數據傳輸至外國國家機關，并且等待數據主體的同意會阻礙事務的實施等。日本設置的這些例外情形都涉及國民的切身利益和社會公共利益，允許在這些情形下處理個人信息的經營者可以適當背離“數據傳輸須經同意”的原則，增加數據跨境傳輸監管制度靈活度和可應變性，防止發生因嚴格遵守“同意”原則而在需要為實現國家利益、公共利益、國民切身利益時數據跨境傳輸受到過度的限制。

（四）為處理個人信息的經營者委托國外主體管理數據，或將數據傳輸給境外關聯公司過程中產生的數據跨境流動監管問題提出解決方案

日本《個人信息法》規定，若信息接收方滿足一定的條件，即使其所處國并不在“國家白名單”之內，處理個人信息的經營者也可在未經數據主體同意的情況下將數據提供給該接收方。具體來說，如果接收個人信息的外國第三人已經同信息提供者簽訂合同，明確處理個人信息所需遵守的義務，且該義務符合《個人信息保護法》相關規定;或者接收個人信息的外國第三人已經獲得CBPR系統的認證或其個人信息保護水平符合OECD制定的《隱私保護和個人數據跨境流通的指南》的標準，則處理個人信息經營者就能在沒有事先獲得數據主體同意的情況下將數據傳輸給該接受數據的外國第三人。

該規定明確如果日本處理個人信息經營者基于數據管理委托需求或者與關聯公司之間業務交接需求，想使數據在日本與“非白名單”國家企業之間自由流動，只要滿足法律規定的條件就可以實現。該規定為那些遵守法律，已建立完善的數據保護監管體制的企業打開數據自由流動的窗口，避免過于限制商事主體跨境傳輸數據的行為，提高了商事行為的效率。

二、跨境數據流動監管領域日本參與的國際條約

由于世貿組織的大多數規則制定于20世紀90年代，那時電子商務還未發展起來，因此世貿組織規則中并沒有直接規制跨境數據流動的法律條文，在跨境數據流動監管方面的，還沒有產生獲得絕大多數國家支持的全球性規則。因此越來越多的國家開始積極制定雙邊或單邊的自由貿易協定，來彌補國際規則的缺失。在過去的20年，產生了超過400份自由貿易協定，其中超過70份自由貿易協定中包含電子商務相關的內容。日本在完成其國內跨境數據流動相關法律制度之后，也像歐美國家一樣開始在雙多邊交涉中增加關于跨境數據流動規則的談判，以彌補日本在此問題上的短板，實現日本與其他國家地區之間規范的跨境數據流動。

（一）CPTPP中的跨境數據流動規則

2017年美國退出TPP之后，日本接替美國開啟了CPTPP的多邊談判。在電子商務方面，CPTPP第14章中制定了許多高水準的規則，其中第14.11和第14.12條對跨境數據的轉移和保存做出了規定。

CPTPP第14.11條第1項明確，各締約國都有制定各自跨境數據監管制度的權利，第2項則規定各締約國都應當允許數據在為開展經營業務時可以在各國之間流動，但也為締約國保留了一定的裁量空間，即若是為了實現合法的公共政策目的，可做出同第2項條款不相符合的措施，但該措施不可構成任意或不合理的歧視或對貿易進行變相限制，也不可對數據傳輸進行超出實現目的所需限度的限制。

CPTPP第14.12條對計算機設施的設置作出規定。第1項規定各締約國都可對計算機設施的使用設置各自的監管要求，包括尋求通信安全性和機密性要求，第2項規定任何締約方不得將在該締約方領土內使用或設置計算設施作為在其領土內開展業務的條件。同CPTPP第14.11條相同，若是為了實現合法的公共政策目的，可做出同第2項條款不相符合的措施，但該措施不可構成任意或不合理的歧視或對貿易進行變相限制，也不可對數據傳輸進行超出實現目的所需限度的限制。

可見，CPTPP的基本理念是鼓勵跨境數據自由流動，原則上禁止各締約國做出數據本地化的要求。CPTPP繼承了美國的跨境數據傳輸理念，更多考慮到的是電子商務的發展需求。也許是為了兼顧保障人權的需要，CPTPP設置了公共政策一般例外條款，但條文中對“什么樣的公共政策目的是合法公共政策目的”沒有做出列舉性的說明，只是規定為實現合法公共政策目的所為措施不可構成任意或不合理的歧視或對貿易進行變相限制，也不可對數據傳輸進行超出實現目的所需限度的限制，條文語言較為曖昧。在發生糾紛時，對爭議措施的合法性、正當性的判斷可能會變得困難，導致公共政策一般例外條款被濫用的局面，在適用時需要適用目的解釋、體系解釋等各種方法來進行判斷。

（二）日歐經濟伙伴關系協定（EPA）中的跨境數據流動規則

2018年，日本和歐盟簽訂了“日歐經濟伙伴關系協定”，2019年正式生效。日歐EPA的談判涉及商品貿易、原產地規則、服務貿易、電子商務等各方面的內容，該協議條文中并沒有與“跨境數據流動”直接相關的規定，但事實上日歐之間在洽談EPA協議的同時，就個人數據的自由流動問題也一直在進行磋商。2016年7月，日本個人信息保護委員會發布“努力構建日歐間數據自由流動體制”的方針，2017年7月，日歐之間達成合意，日本將對歐盟適用《個人信息保護法》第24條，允許個人信息在日歐之間自由流動，而歐盟基于《通用數據保護條例》（GDPR）第24條，對日本進行“保護充分性認定“制度，將日本列入數據流動白名單國家，使日歐之間個人信息可以自由流動。2019年1月，日歐間“保護充分性”相互認定正式生效，由此，日歐間的個人信息可自由流動。

（三）區域全面經濟伙伴關系協定（RCEP）中的跨境數據流動規則

《區域全面經濟伙伴關系協定》（RCEP）是2012年由東盟發起，談判歷時八年，2020年11月15日，第四次區域全面經濟伙伴關系協定（RCEP）領導人會議以視頻方式舉行，會后東盟10國和中國、日本、韓國、澳大利亞、新西蘭共15個亞太國家正式簽署了《區域全面經濟伙伴關系協定》。

RCEP中有關跨境數據流動的條款主要是第12章14條和15條。同CPTPP一樣，RCEP第12章第14條和第15條也存在著一般例外條款，明確締約國為實現正當的公共政策可以采取必要措施來限制跨境數據流動或實施數據本地化，但不能構成任意或不合理的歧視或限制貿易自由，但與CPTPP不同的是，RCEP中規定，為實現公共政策采取措施的必要性由措施實施國自行判斷，其他各締約國不可對該措施有異議。可見，相比CPTPP，RCEP對于數據跨境自由流動采取的態度更為謹慎，締約國可以隨時采取措施，叫停跨境數據自由流動或者要求他國信息處理者實施數據本地化。

三、跨境數據流動監管領域中國法律應對

（一）中國跨境數據流動治理方面主要存在的問題

1.立法內容缺乏可操作性。《網絡安全法》是我國目前為止數據跨境流動方面重要的法律，但其立法內容卻缺乏可操作性。《網絡安全法》第37條規定，關鍵信息基礎設施的運營者因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。但對于關鍵信息基礎設施的運營者的具體范圍沒有規定，只是在第31條規定，由國務院進一步確定關鍵信息基礎設施的具體范圍。近日生效的《關鍵信息基礎設施安全保護條例》第18條采用“非窮盡列舉+認證”的模式來界定關鍵信息基礎設施的概念，導致關鍵信息基礎設施的范圍很廣，缺乏可預測性。另外，條文中規定一般業務要向境外傳輸數據需要經過安全評估，但對于評估的標準，現在還處在意見稿階段，并且該評估辦法由于過大地擴張了數據本地化義務，引起了許多爭議。可見，《網絡安全法》雖然位階高，但是在跨境數據流動治理方面的立法內容大多是原則性規定，在實踐中缺乏可操作性。2021年9月生效的《數據安全法》是護航我國數據安全，助力數字經濟發展的重要法律，其亮點之一是實現了對跨境數據的域外管轄，并定下了積極開展數據領域國際交流與合作，促進數據安全、自由流動的方針，但是《數據安全法》中關于如何進行跨境數據傳輸沿用了《網絡安全法》相關規定，并沒有進一步進行細化，如何進行數據分級管理、數據安全評估辦法的實施細則還不完善、關鍵信息基礎設施范圍過于寬泛等問題還未解決，同樣存在立法內容缺乏操作性的問題。

2.《個人信息保護法》中個人信息跨境流動規制過于嚴苛。2021年11月1日起實施的《個人信息保護法》中專章規定了個人信息跨境提供規則，是完善我國在個人信息跨境流動法律監管制度歷程上的重要里程碑。對比中日兩國個人信息保護法中關于數據跨境流動的法律規定，內容基本相近，但也略有不同。例如，有關“個人信息處理者因業務等需要，確需向中華人民共和國境外提供個人信息”的條件，中國采用的是“經安全評估/經安全認證/與境外接收信息者之間已約定符合本法規定的權利義務+本人同意”的模式，日本采用的是“須經本人同意為原則，法定情形可不經本人同意為例外”的模式，其中法定情形包括：第一，信息接收方身處白名單國家。第二，信息接收方信息保護水平達一定的標準。例如，同樣是“與境外接收信息者之間已約定符合本法規定的權利義務”這一場合，按照中國的個人信息保護法，需同時滿足該項條件和取得數據主體同意才能進行數據跨境傳輸;而按照日本的個人信息保護法，若滿足此項要求，即使沒有事先取得數據主體同意，也可以進行數據跨境傳輸。又如日本的個人信息保護法中規定，因客觀情況事先無法取得數據主體同意時，向數據主體告知法律規定事項并向個人信息保護委員會報備之后也可跨境傳輸個人信息，而中國的個人信息保護法中并沒有這樣的規定。可見，中國對于個人數據跨境流動的監管更為嚴格，嚴格采用“須經數據主體同意后才可傳輸”的原則。相比日本，我國體現出對個人信息保護從嚴保護的決心，但是也可能會因此對跨境電商施加過大的合規壓力。

3.缺乏專門的跨境數據流動監管機構。《數據安全法》明確了中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制;各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責;國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作。其中存在的問題是，我國缺少一個專門的跨境數據流動監管機構或者數據流動監管機構。如果各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全各自負責，而上級部門只是負責統籌協調等宏觀方面的工作，那么難免會出現對跨境數據進行評估、審查、監管，以防止監管的缺失、重疊或者越位等問題。

4.我國跨境數據治理的國際規制參與度較低。習近平總書記多次強調，要牢牢把握信息化發展的新機遇，堅定貫徹新發展理念，加快推進數字產業化、產業數字化、積極參與數字經濟國開放合作。目前為止，我國尚未同大的數據經濟體簽訂明確可供執行的數據跨境流動協議，也尚未同貿易伙伴建立數據自由流動的互信機制。我國對跨境數據治理的國際規制參與度較低可能會導致我國失去跨境數據國際規制定方面的主導話語權，造成“數據孤島”的現象，不利于一個數據大國的經濟發展。

（二）跨境數據流動的中國方案

1.提高跨境數據流動治理方面的立法層級，完善操作細則。我國目前有關數據跨境流動治理方面，層級為法律的立法是《網絡安全法》與《數據安全法》《個人信息保護法》，但這三部法律立法內容過于原則，缺乏可操作性，因此我國應提高與其配套的實施細則的立法層級。例如，同《網絡安全法》《數據安全法》相配套的《個人信息出境安全評估辦法（征求意見稿）》的效力層級僅為規范性文件，并尚處于意見稿狀態，這就使原則性立法缺少可操作性。因此，我國應盡快出臺立法層級較高的實施細則，形成完善的跨境數據流動治理體系，增強原則性法律的可操作性。另外，我國需盡快完善《個人信息保護法》的實施細則。《個人信息保護法》中針對個人數據跨境傳輸規定了嚴格的“須經數據主體同意才可傳輸”的原則可能會給企業增加了過重的合規負擔。而日本在企業因客觀情況無法取得數據主體事先同意的場合下，允許個人信息經營者在完成通知義務和向個人信息保護委員會的報備義務之后，向境外傳輸非敏感信息，適當“網開一面”，避免實踐中在無法事先取得數據主體同意的情況下出現僵局的情況，有利于兼顧商事行為的效率。我國也許可借鑒日本《個人信息保護法》的實施細則，適當為“須經數據主體同意才可傳輸”的原則增添更多的例外情況，減輕企業的合規負擔，更好地促進數字經濟的跨境發展。

2.我國要盡快建立專門的數據跨境流動監管機構。我國缺乏專門的、權責明確的跨境數據監管機構，而日本、歐盟等數據大國都擁有專門的跨境數據流動監管機構。日本設立了個人信息保護委員會，作為獨立的個人信息監管機構。在個人數據跨境傳輸方面，個人信息保護委員會承擔了對他國個人信息保護體制完善性進行評估、確定“白名單國家”、監督處理個人信息經營者的跨境個人數據傳輸行為、協助企業進行個人數據保護合規等職責，對個人數據跨境傳輸治理起到了很大的整合、協調作用。筆者認為，我國可以借鑒日本這種設立專門數據監管機構的做法，設立一個國家數據安全保護機關，專門負責數據規范的具體落實、數據安全評估、企業合規監管與協助、跨境數據源流動治理等活動。

3.積極參與國際規則的制定和國際條約的簽訂。首先，我國應當積極參與世貿組織有關數據跨境流動的談判。世界貿易組織作為世界全面調整各國、各地區貿易關系和貿易政策規模最大、范圍最廣的國際經濟組織，對各成員貿易領域立法產生了很大的影響。近年來，隨著信息化的飛速發展，國際貿易中的各個環節都依賴于數據的流動，因此世貿組織會議上也掀起對如何規制跨境數據量流動的熱烈討論。世貿組織在2020年12月的報告中指出，新冠疫情的暴發加速了數字經濟的發展，跨境電商將成為國際貿易復蘇的重要一環，制定有利于電子數據流通的規則具有重要的商業意義，世貿組織會在2021年的前期對這個議題進行更深層次的談判。日本對于本次世貿組織有關數據治理的談判十分重視，在2019年1月9日，日美歐三方貿易部長舉行會談并發表共同聲明，確認對盡快啟動世貿組織關于電子商務談判的支持;2019年1月23日世界經濟論壇年會的演講中，日本首相安倍提道：“希望今年的G20峰會成為全球數據治理的起點，為大家長久記憶。聚焦數據治理的峰會，我們不當先將其命名為大阪軌道，開始在世貿組織對此進行討論。”可見，日本不但將全球數據治理問題與G20峰會掛鉤，還延伸到世貿組織改革的討論中，如今日美歐已經隱隱主導了世貿組織有關數據全球治理的談判，中國也應當積極參與本次世貿組織有關數據全球治理的談判，努力爭取制定規則的話語權。其次，我國可以考慮通過簽訂雙邊協定，與他國進行雙邊數據保護充分性認定。雙邊數據保護充分性認定，就是兩個國家之間簽訂雙邊協議，認定對方對于數據保護程度已達到和本國同等水平，互相將對方加入本國的數據流動“白名單國家”，允許數據在本國和對方國之間自由流動。日本已經和歐盟、英國相互進行了充分性認定，這樣做的好處一來是可以使本國的電子商務從業者可以更方便地進入對方國家的市場，二來也可以促進本國數據保護法律體制的完善。據中國貿易報報道，截至2020年初，來自不同國家的18個監管機構發出444份正式或非正式跨境互助協議，回應率高達79.5%。可見，聯合監管已成為數據流動監管的重要發展趨勢。我國在國際上的影響力日益攀升，對于愿意與我國合作，同我國關系良好的國家，我們可以借鑒日本、歐盟的做法，與這些國家進行雙邊數據保護充分性認定，采取跨境數據監管對等措施，形成數據跨境流動的信任體系。再次，我國還可以嘗試加入更多的區域貿易協定。例如我國現在加入的RCEP協議，在數據跨境流動方面，雖然主要還是倡導數據在締約國之間無障礙自由流動，但也賦予締約國隨時“叫停權”，比較適合我國以監管為原則的跨境數據管理理念。我國可以加入如RCEP這樣擁有彈性較大數據流動規則的協議，或者發起相關區域合作，推進多邊數據跨境流動談判，打造聯合監管同盟。

參考文獻：

[1]? 張曉磊.日本跨境數據流動治理問題研究[J].日本學刊，2020，（4）：85-108.

[2]? 崔靜.歐美數據跨境流動監管的經驗做法及我國的策略選擇[J].經濟體制改革，2021，（2）：173-179.

[3]? 范思博.數據跨境流動中的個人數據保護[J].電子知識產權，2020，（6）：85-97.

[4]? 東條吉純.「WTO協定による越境データ流通の規律と限界」.“RIETI Discussion Paper Series”，20-J-011.

[5]? 崔靜.歐美數據跨境流動監管的經驗做法及我國的策略選擇[J].經濟體制改革，2021，（2）：173-179.

[6]? 『個人情報保護法ガイドライン』（外國第三者提供編）[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[7]? 『個人情報の保護に関する法律』（平成15年法律第57號）[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[8]? 『平成 28 年個人情報保護委員會規則第 3 號』[Z/OL].https：//www.ppc.go.jp/personalinfo/legal/，2021-05-10.

[9]? CPTPP Chapter14 ElectronicCommerce[Z/OL].http：//www.mfat.govt.nz/assets/Trans-Pacific-Partnership/Text/14.-Eletronic-Commerce-Chapter.pdf，2021-05-14.

[10]? 『地域的な包括的経済連攜（RCEP）協定』.https：//www.mofa.go.jp/mofaj/gaiko/fta/j-eacepia/index.html，2021-05-16.

[11]? 『個人情報保護委員會について』.https：//www.ppc.go.jp/aboutus/commission/，2021-05-16.

[12]? WTO：2020年世界貿易報告（附報告）[Z/OL].https：//www.dx2025.com/archives/111561.html，2021-05-14.

[責任編輯 曉 群]