RCEP 個人數據跨境流動保護與中國的應對路徑

吳琦瑋

（上海政法學院 國際法學院，上海 201701）

近年來，我國不斷加強數字經濟合作，并于2019年簽署了《大阪數字經濟宣言》，將海南自由貿易港作為該宣言內容落實的重點區域，表明了我國想要逐步開放數據市場，促進個人數據跨境流動與數字經濟合作的決心。《區域全面經濟伙伴關系協定》（RECP）于2020 年11 月15 日正式簽署，RECP 對個人數據跨境流動做出了新的規定。

隨著社會經濟的發展，世界各個國家之間的個人數據跨境流動日益頻繁，數字經濟活動日益增加，但個人數據跨境流動泄露的風險也逐漸提高。因此，平衡推進個人數據跨境流動的自由化與加大對個人數據跨境流動的保護力度之間的關系是個人數據保護的一個重要議題。《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）明確載有關于個人數據跨境流動的保護的規定。RECP 于2020 年11 月15 日正式簽署，我國在RCEP 下應對個人數據跨境流動的風險成為重要問題。

一、個人數據跨境流動概述

在現有的個人數據跨境流動規制的制定及實踐中，始終缺乏一個對于“個人數據跨境流動”的清晰定義。即使是在各種各樣的框架、法律和規制條文當中，也難以找到一個統一的明確描述。

（一）個人數據跨境流動的概念

目前世界上對此沒有統一的定義。“個人數據跨境流動”（transborder flows of personal data）這一概念由OECD 首先在《指南》（1980）中提出，“個人數據跨境流動”即是指“個人數據的移動跨越了國家邊界”。具體而言，數據的流動可以通過電纜或衛星以電子方式即時進行，也可以通過人工傳送磁帶、磁盤、卡片或類似媒介來進行，速度較慢。個人數據跨境流動的本質是以機器可讀的形式傳輸信息。

由于個人數據具有人格和財產的雙重屬性，對個人數據跨境流動進行立法監管的價值也體現在兩個方面。個人數據的人格屬性體現為即使個人數據離開了數據主體國家主權的保護范圍，也應存在適當的國際法為其權利提供保護和救濟；而個人數據的財產屬性決定了跨境數據流動制度應盡可能減少和去除阻礙數據自由流動的因素，避免國家以保護人權為借口限制自由貿易的發展。[1]

（二）個人數據跨境流動保護的必要性

在個人數據的跨境流動中，由于各國政治、經濟、發展水平上的巨大差異，個人數據的跨境流動風險會因為一國對個人數據的保護水平低而有所上升，從而造成個人數據的泄露，主要體現為以下兩個方面。

第一，在有隱私和數據保護控制的國家從事個人數據處理的組織，可能會尋求將其業務轉移到沒有保護法律的國家，從而逃避其母國的立法政策的規制。第二，為了阻止數據處理者將其業務轉移到其他地區，各國將數據轉移到其領土以外實施管制，例如頒發出口許可證，這將危及個人數據的自由流動。[2]

在這種情形下，來源于個人數據保護水平高的國家的個人數據一旦流入個人數據保護水平低的國家，就無法得到有效保護，從而不利于國際數字經濟的合作與交流，因此，從國際法層面上對個人數據跨境流動進行保護確有必要。

二、RCEP 的數據跨境流動保護條款評析

RCEP 關于個人數據跨境流動保護的條款主要為第十二章“電子商務”，其中第八條和第十條對個人數據跨境流動的保護作出了規定。

（一）線上信息保護

1.要求各締約方具有國內數據法律體系

RCEP 要求每一締約方應當采取或維持保證電子商務用戶個人信息受到保護的法律框架，即要求各締約方具有能保障電子商務用戶個人信息安全的國內數據法律體系。我國在RCEP 生效前已通過《個人信息保護法》與《中華人民共和國數據安全法》（簡稱“《數據安全法》”），為RCEP 更好地發揮作用做好了準備。

2.規定各締約方國內數據法律所規定的最低保護標準

RCEP 要求各締約方在制定保護個人信息的法律框架時，應當考慮相關國際組織或機構的國際標準、原則、指南和準則。該款對各締約方國內數據法律所規定的保護標準作出了要求。

3.要求各締約方普及國內數據法律

RCEP 要求每一締約方應當公布其向電子商務用戶提供個人信息保護的相關信息，包括兩個方面，即個人如何尋求救濟，以及企業如何遵守任何法律要求。

4.鼓勵各締約方境內的法人對個人數據的相關保護政策和程序透明化

RCEP 要求各締約方應當鼓勵法人通過互聯網等方式公布其與個人信息保護相關的政策和程序。該款規定要求各締約方境內的法人自主制定內部的、與個人信息保護相關的政策和程序，以便個人尋求救濟方式。但是，該規定較為原則性，其具體實施主要還是依賴于各締約方國內的相關規定。

5.各締約方個人數據跨境流動保護的合作

RCEP 要求各締約方應當在可能的范圍內合作，以保護從一締約方轉移來的個人信息。

（二）國內監管體系

RCEP 既要求各締約方在適用于電子商務的國際公約和示范法基礎上，如《聯合國國際貿易法委員會電子商務示范法（1996）》、2005 年11 月23 日訂于紐約的《聯合國國際合同使用電子通信公約》，采取或維持監管電子交易的法律框架，又要求各締約方采取的監管電子交易的法律框架不能阻礙個人數據跨境流動。

（三）RCEP 的數據跨境流動保護條款對我國的影響

RCEP 以原則性規定為主，對個人數據保護力度比較弱。RCEP 的個人數據跨境流動保護條款采取自愿適用的原則。

三、歐盟個人數據跨境流動規制體系探析

歐盟具有代表性的規制個人數據跨境流動的法律體系，以通用數據保護條例（General Data Protection Regulation，以下簡稱GDPR）為代表性文件，對它的內容和規制原因進行分析，有利于我國個人數據跨境流動保護規則的發展，并制定出我國在這一國際環境下的符合我國國情的關于跨境數據流動的應對方案。

（一）歐盟個人數據跨境流動規制體系內容

GDPR 為平衡國家之間、國家與地區之間或地區與地區之間的個人數據跨境流動保護水平，主要規定了以下兩方面的內容。

1.限制第三國、第三國境內地區與歐盟之間的個人數據跨境流動

GDPR 第45 條對充分性認定作出了規定，其對歐盟以外的國家和地區的個人數據保護法律體系提出了要求，只有當立法情況、監管機構設立情況以及是否參加包含個人數據保護內容的國際公約或作出相關承諾這三方面滿足歐盟標準，與歐盟保護水平基本相同的情況下，才被認為提供了充分保護，歐盟才允許其成員國將公民個人數據傳輸至該國或該地區。但是，因為各國個人數據法律體系的發展差異，GDPR 并沒有明確認定充分性的統一具體標準和方法。

2.嚴格的個人數據跨境流動監管體系

GDPR 設專章規定了個人數據的監管機制，并且首次規定了以下三個新的內容。

第一，GDPR 首次規定了“單套規制”，“單套規制”是指GDPR 將直接適用于歐盟各成員國，無需各成員國單獨批準。[3]因此，其直接避免了因各成員國國內數據法律規制不同而導致侵害歐盟公民個人數據權益的情況，強調了歐盟致力于從整體層面進行跨境數據流動治理的決心，促使了各成員國的數據監管機構之間的互相配合與協助。

第二，GDPR 首次在監管環節引入了“一站式服務機制”，設立了領導監管機構。“一站式服務機制”指當與在多個不同歐盟成員國都開設有分公司的企業有關聯的個人數據在不同的成員國接受處理時，將會有一個單獨的監督機構對全歐盟范圍內所有與之相關的數據控制方與數據處理方進行全過程監察。[4]這個監督機構通常應該是該公司總部所在成員國的數據保護機構，而這個執行一站式服務機制的監督機構在GDPR 中被稱作領導監管機構。

第三，GDPR 極大提升了救濟方式和懲罰力度，數據監管機構有權對違反GDPR 的企業作出幾十萬至幾百萬歐元的罰款決定。這極具開創性意義，加大懲罰力度可以真正促使歐盟各成員國的企業遵守GDPR 的相關規定，從而有效遏制侵害歐盟公民個人數據權益的情況發生。

（二）GDPR 對中國在RCEP 背景下的應對路徑的啟示

GDPR 的立法經驗對中國在RCEP 背景下完善個人數據跨境流動保護的應對路徑主要有以下三方面的啟示。

1.與RCEP 其他締約方確立具體的個人數據跨境流動保護辦法

如前所述，RCEP 多為原則性規定，通過與RCEP其他締約方簽訂雙邊協議，確立具體的個人數據跨境流動的保護辦法很有必要，但是，考慮到締約方的國內數據法律體系的發展，經濟發展狀況等方面差異較大，其條款的嚴格程度不應與GDPR 相同，不然會給各締約方施加過大的負擔。

2.制定個人數據跨境流動的保護標準

個人數據跨境流動的主要爭議點在于如何平衡個人數據跨境流動的自由化與個人數據跨境流動保護之間的關系，制定個人數據跨境流動的保護標準能夠解決這一問題。RCEP 締約方的國內數據法的發展水平差距較大，要做到完全統一是非常困難的，所以保護標準應以不損害任一締約方公民的個人數據權益為底線。在制定具體標準時，可以通過制定一些配套的保障措施，如標準數據保護條款、標準合同條款等來彌補跨境數據傳輸目的地缺少的對個人數據的保護規定。

3.設立個人數據跨境流動的專門監管機構

RCEP 對個人數據跨境流動的監管多依賴于各締約方國內的法律框架，設立一個獨立于各締約方的專門監管機構很有必要。

四、我國在RCEP 背景下的應對路徑

如前文所述，如何在RCEP 的基礎上在加強跨境數據流動的同時又有效地維護國家安全、降低數據流動的風險，成為了我國在RCEP 生效背景下的一個新議題。針對此問題，提出以下幾方面應對路徑。

（一）完善關于個人數據跨境流動監管的立法

RCEP 主要依賴于各成員國國內個人數據跨境流動監管機制，因此，《個人信息保護法》應聲出臺，其中明確載有允許個人數據跨境流動的規定，該條款對個人數據境外接收方數據保護能力的最低標準進行了明確規定，要求不低于《個人信息保護法》所規定的數據保護能力，但是個人數據境外接收方的數據保護能力是否符合標準要求個人信息處理者自行判斷，并采取措施以保障個人數據境外接收方的數據保護能力符合標準。然而，《個人信息保護法》沒有對個人數據境外接收方的數據保護能力具體評估方案作出規定。因此，為解決上述問題，我國可以對符合我國個人數據跨境流動安全評估的國家或國際組織予以認證，并作出充分保護決定。

《數據安全法》也明確提出要對數據進行分級分類管理，其中就涉及到了個人數據。數據分級分類管理制度是平衡個人數據跨境流動自由化與對個人數據跨境流動保護之間關系的一個可行解決方案，其可以促進個人數據流動到境外，同時又限制敏感的個人數據的跨境流動。對于數據分類標準，可以將個人數據劃分為一般數據和敏感數據，再分別對其進行管理，從而能在促進個人數據跨境流動自由化的同時，又保護我國公民的個人數據權益。

此外，完善與上述立法相配套的《個人信息出境安全評估辦法》《關鍵信息基礎設施安全保護條例》《數據安全管理辦法》等規范也十分重要，通過設置安全評估、例外事項、標準合同等多元數據出境途徑，使得《個人信息保護法》以及《數據安全法》能真正發揮其作用，從而有效平衡個人數據跨境流動的自由化與加大對個人數據跨境流動保護力度之間的關系。

（二）設立數據跨境流動的專門監管機構

RCEP下個人數據跨境流動的合作以獨立數據監管機構作為各成員方的代表進行展開。我國可以與RCEP 的其他締約方通過信息交換、簽署雙邊協定等方式，盡可能一致地解決個人數據跨境流動的監管問題。這將有助于確保各國政府在個人數據跨境流動監管過程中，不會采取重復或相互沖突的措施。

（三）推進行業自律制度建設

我國不斷完善發展的個人數據保護法律體系提高了企業的合規要求，產生了建設行業自律制度的需求。由于企業掌握大量的用戶數據，相關部門應要求企業深入了解關于個人數據保護及個人數據跨境流動的要求的規定，并在日常運營中對其予以嚴格落實，對于其中的一些原則性的規定，可以將其通過企業規章制度等方式予以具體落實。此外，為防止個人數據被濫用、失竊、非法交易等行為的發生，在行業自律制度中，還可以規定一定的懲罰性賠償措施。[5]

五、結語

大數據技術在日常生活中的使用越來越頻繁，個人數據跨境流動的可能性也不斷增大。RCEP 是我國首次簽署載有允許個人數據跨境流動的區域性文件，在這一新形勢下，我國如何應對隨之而來的個人數據跨境流動過程中的潛在的隱私安全風險，成為了一個迄待研究的重大問題。對此，本文提出了三條應對路徑，分別為完善國內關于個人數據跨境流動監管的立法、設立數據跨境流動的專門監管機構以及推進行業自律制度建設。從而構建一個更專業、更系統化、更全面的、符合數字經濟全球化發展趨勢的個人信息保護法律體系。