日本跨境數據流動監管制度的發展與中國企業的應對

薛志華 曾德華 孟奇勛

大規模的跨境數據流動推動了全球數字經濟的繁榮發展，也導致了數據傳輸中的安全風險 ①。為平衡數據安全與發展，世界主要國家均將跨境數據流動納入國內法律框架進行調整。日本先后制定、修訂國內法律以完善跨境數據流動監管。研究日本監管規則修訂的原因及產生的影響，有助于及時掌握國外數據治理規則發展動態。從現有對跨境數據流動規則的研究來看，學術界主要關注美國和歐盟的立法和實踐 ②，對日本的數據治理規則研究主要聚焦于規則制度的規范性分析，借助案例分析闡釋企業應對的研究有待深化。本文在全面分析日本跨境數據流動監管制度框架的基礎上，以2021年發生的日本通信軟件Line數據安全漏洞案件為分析對象，研究日本監管新動向引發的風險及中國企業的應對，以期支持中國企業對日本開展經貿、投資活動。

日本跨境數據流動監管的制度框架及其最新發展

跨境數據流動監管的法律框架

遵循人權導向，注重保護國民個體尊嚴和人身權利是日本跨境數據流動法律框架的基礎。這一理念被《日本國憲法》通過幸福追求權的內容加以規定。當前幸福追求權的規定進一步被具體化為隱私權、個人信息權的內容，并被日本《個人信息保護法》加以明確化。

《個人信息保護法》（Act on the Protection of Personal Information，以下簡稱“APPI”）是日本數據治理的核心法規之一，最初于2003年5月制定，2005年4月全面施行。該法律先后于2015年與2020年進行了修訂，2020年修訂案于2022年4月1日起全面施行。該法綜合了歐洲和美國立法模式特點，采用了美國的“事后限制”方法，尊重私人企業的自主性，注重信息的自由流通和使用，并借鑒了歐洲制定“一般法”的方式 ①。該法規定了個人信息的收集、使用、提供等方面的義務，同時設立了個人信息保護委員會（以下簡稱“PPC”），負責監督法規的執行，為跨境數據流動監管提供明確的依據。

2020年修訂版第28條中明確了對外國第三方提供個人信息的限制，規定個人信息處理業者在向外國（定義為日本境外的國家或地區）的第三方提供個人數據時，除非該外國有與日本相同水平的個人信息保護制度，否則必須事先獲得本人的同意。此外，提供數據前必須向本人提供有關該外國個人信息保護制度和第三方保護措施的信息。如果第三方已經實施了與日本個人信息保護法相當的措施，那么個人信息處理業者需要采取適當措施來確保這些措施得到持續執行，并在用戶要求時提供相關信息。根據法律第29條的規定，其中包括創建第三方提供記錄等措施：規定個人信息處理業者在向第三方提供個人數據時，必須根據個人信息保護委員會規則創建相關記錄，并保存一定期限。同時，法律第30條規定了接受第三方提供時的確認等，要求個人信息處理業者在接受第三方提供的個人數據時，必須進行必要的確認，并創建相關記錄。

跨境數據流動監管條款的最新修訂

隨著信息通信技術的快速發展和全球化的深入，跨境數據傳輸的需求不斷增加，這給原有的個人信息保護規則帶來挑戰。日本的立法者在APPI的附則中預留了一個更新機制，即政府每三年對個人信息保護相關的國際動向和新興產業進行考察并適時制定新的措施。以附則中的更新機制為依據，日本在2020年對APPI中跨境監管的相關條款進行修訂，以適應跨境數據流動監管的需要。

1.增加數據傳輸方的信息披露義務

APPI（2020年修訂）第28條第2款明確規定，進行跨境數據傳輸的個人信息處理者在向外國第三方提供個人信息時，需要在獲取數據主體同意之前履行信息披露義務。具體要求包括向相關監管機構和信息主體披露以下信息：信息接收方所在國家及該國的個人信息保護制度，信息接收方為保護個人信息所采取的安全保障措施，以及其他應該提供給本人參考的信息。此外，數據傳輸方的信息披露方式也在此次立法中得到調整：從“以書面方式為原則”修改為“以個人指定方式為原則”。這意味著企業必須按照個人指定的披露方式（包括電子數據）進行披露。同時，考慮到企業負擔的減輕，如果個人指定的披露方式因費用過高等原因難以實現，也可以允許采用書面形式進行披露。

2.采取必要措施的義務

APPI（2020年修訂）第 28條第3款規定，如果個人信息處理者向境外第三方提供個人數據，則必須按照個人信息保護委員會的規定，“采取必要措施以確保第三方繼續實施相應的保護措施，并在數據主體要求時提供有關這些必要措施的信息。”必要措施的具體要求包括（《個人信息保護委員會規則》第18條）“以適當和合理的方式，定期確認該第三方實施適當措施的情況，以及可能影響該措施實施的該外國的制度是否存在及其內容。”另外，“當該第三方實施適當措施遇到障礙時，應采取必要和適當的措施，并在持續實施該措施變得困難時，停止向該第三方提供個人數據。”考慮到第三方的參與，數據處理者無法完全防備第三方對數據的破壞和泄露，無法完全控制第三方的行為。基于這一點，這種加重的義務并不是要求數據處理者保證數據在任何情況下都不會遭到破壞或泄露，而是要求他們采取所有合理的手段來約束和監督第三方，使他們能夠以一種可預測和可管理的方式執行其職責，減少了因未能滿足不明確的義務標準而可能面臨的無端責任追究。

日本跨境數據流動監管制度發展的原因

加強對跨境數據流動的監管體現了日本對數據自由流動政策的調整，政策重心在關注數據流動自由的同時強調與安全并重，這個轉變主要涉及國內和國際兩個方面原因。

一方面，借助增強監管的政策宣示提升日本民眾自愿提供數據的信心。跨境數據流動帶來的經濟價值需要建立在海量的數據供給基礎上。實現這一目標，除了需要企業的數據供給外，還需要國內民眾高度配合愿意提供個人數據。日本總務省做的一項民眾與數據流動認識的調查結果顯示，日本國民提供個人數據的意愿度與理解度遠低于中國、美國、英國、德國，造成這一現象的原因之一是日本國民對數據泄露、惡意使用等安全問題的擔憂，對數據處理者能否做好數據安全管理心存戒備 ①。在這種情況下，一味地追求數據自由流動，將不可避免地忽視國民對數據安全的呼聲，最終對數據的匯集、處理產生不利影響。因此，日本通過加強跨境數據流動的監管，提高企業的數據安全管理要求，以增強國民對數據安全的信心和提供個人數據的主動性。

另一方面，提升日本在全球數據安全治理領域的國際話語權。當前全球數據安全國際規則的競爭態勢愈演愈烈。歐盟的跨境數據流動認證標準、美國的數據控制者標準均在國際上產生了較大影響。日本借助舉辦G20峰會的契機，提出“可信數據自由流動”倡議，這一倡議既強調促進數據驅動經濟的發展，也強調建立數據安全信任，保護國家安全和個人隱私 ②。日本跨境數據流動監管制度的發展可以視為對這一倡議內容的具體化。借助APPI的修訂，并將安全流動的理念和內容落實到雙邊條約和多邊貿易協定中，日本著力推動與歐盟、美國在跨境數據流動領域的安全同盟建設，推動建立安全同盟內部的數據安全圈。這種做法是日本介入美歐主導全球數據跨境流動格局的嘗試，旨在逐步提升跨境數據流動治理的國際影響力和話語權 ③。

監管制度發展引發的法律風險

2018年以來，LINE公司（日本）在上海的關聯公司（上海LINE數碼科技有限公司）中4名負責系統維護的中國工程師，在沒有通知日本用戶的情況下登錄日本服務器至少32次，訪問了用戶信息。這些服務器上存放著用戶的姓名、電話號碼和電子郵件地址等信息。LINE公司解釋稱，該公司出于業務上的需要而訪問用戶信息，并沒有發現信息泄露現象。

2021年3月19日，基于當時實施的法案，日本個人信息保護委員會要求LINE公司及其母公司Z控股公司（Z Holdings）提交報告，并于同年3月31日起，對LINE公司實施入內檢查。依其當時實施的《個人信息保護法》即2015年法來看，個人信息保護委員會按照該法第40條規定對LINE公司實施報告收集和檢查工作。從PPC官網披露的信息中可以得知，委員會在此次檢查工作中認為LINE的安全管理體系不充分，需要對LINE的報告進行進一步調查和驗證，并強調LINE公司需要持續改進數據安全管理 ①。由于LINE處理的個人數據具有高度隱私性和大量性，因此對安全措施的要求很高。委員會根據法律第41條（2020年修訂版APPI第147條）規定對LINE公司提供行政指導，強調了對處理個人數據的承包商進行適當監督的必要性、定期審計制度的實施，以及明確通知用戶收集個人信息的范圍 ②。

Line案例涉及的法律問題

1.管轄權問題。

基于網絡空間的無國界性、虛擬性、發散性、復合性和互動性等特征，跨境數據流動天然地對傳統管轄規則提出了新的挑戰 ③。目前，隨著數據在網絡媒介上的跨境流動和存儲變得普遍，導致數據的來源、存儲和處理地之間出現了分離和割裂，進而導致了數據管轄權和治理權之間的界限模糊。考慮到數據對國家安全和公民隱私的重要性，一些國家或區域組織通過立法對跨境數據賦予了擴張性的執法管轄權 ④。

APPI（2020年修訂）第171條規定：“當個人信息處理者對于獲得的國內數據主體的個人信息，在國外進行處理的情況下，該法律仍然適用。”這意味著即使數據處理發生在國外，只要涉及的個人信息是來自日本國內的數據主體，日本的法律就有管轄權。在上述案件中，日本LINE公司所委托的第三方是一家中國企業，但這家企業對存儲于日本的LINE公司服務器上的用戶數據進行了直接訪問。根據第171條的規定，這種行為顯然仍屬于APPI所調整的范圍之內。個人信息保護委員會依照法律對LINE公司進行行政執法的行為，不僅體現了在相關領域日本行政管轄權的域外擴張，同時肯定了相關立法的域外效力，為域外執法管轄權的行使提供了合法性的支持。

2.企業開展跨境數據傳輸的實體義務問題。

APPI（2020年修訂）第28條第2款明確規定，進行跨境數據傳輸的個人信息處理者在向外國第三方提供個人信息時，需要在獲取數據主體同意之前履行信息披露義務。特定情況下第28條的規定不適用，包括提供給具有同等個人信息保護水平的國家的第三方；提供給已建立相當措施的第三方。如果第三方已經根據個人信息保護委員會的規則采取相應措施，建立了與個人信息處理事業者相當的體系，那么在向這些第三方提供個人信息時，可以不需要遵循第28條的同意要求。

在LINE公司的案例中，由于涉及在中國的外包公司對LINE公司個人信息數據的處理（包括訪問），而中國并不屬于日本個人信息保護委員會所規定的具有相當個人信息保護水平的國家，意味著需要獲取數據主體的明確同意。此外，根據APPI，個人信息處理事業者必須采取必要且適當的措施，以防止個人數據的泄露、丟失或損壞，并確保個人數據的安全管理（APPI第23條）。當將個人信息處理的全部或部分委托給第三方時，必須對委托方進行必要且適當的監督，以確保數據安全（APPI第25條）。即使已經獲得數據擁有者本人的同意將個人數據提供給外國的第三方，也不免除對委托方進行監督的義務。監督的目的是確保與事業者自身處理個人信息相同水平的保護。如果作為委托方的日本LINE公司，在中國工程師訪問日本服務器的數據時，未能履行這些信息披露義務，那么它可能涉及到對APPI中相關規定的違反，即被視為不適當的第三方提供，從而構成信息泄露，進而導致責任方日本LINE公司承擔相應的違反義務的法律后果。

案件反映的法律風險類型

1.境外訪問行為的管轄風險。

APPI（2020年修訂）第171條規定，“當個人信息處理者在國外處理國內數據主體的個人信息時，該法律仍然適用。”這意味著，即使某個行為在物理上發生在日本之外，只要它涉及或影響到日本境內的個人信息，該法律就有適用的空間。這對于在日本的中國企業或與日本企業有業務往來的國際企業而言，構成了一個顯著的合規挑戰。因此，對于涉及跨境數據處理的企業來說，理解并遵守日本的個人信息保護法規是至關重要的。這不僅涉及遵守具體的法律條款，如同意的獲取和數據的安全處理，也涉及更廣泛的合規文化，包括對數據主體權利的尊重，以及在數據處理過程中的透明度和責任性。

2.違背信息披露義務的風險。

APPI（2020年修訂）第28條第2款對個人信息處理者披露義務的規定，旨在增強數據傳輸的透明度和數據主體的知情權，從而保障數據主體的利益。違反這一信息披露義務可能導致一系列風險。首先，最直接的風險是法律責任。例如，LINE公司的案例中，其處理個人信息的方式引起了公眾和監管機構的關注。若LINE公司未能遵守上述法律規定，可能會受到法律制裁，損害其商業信譽和客戶信任。其次，不遵守信息披露義務可能導致數據主體的信任喪失，會被視為不透明或欺詐行為，這在長期內可能對企業的品牌和市場定位產生負面影響。此外，若個人信息處理者未能充分了解信息接收方的數據保護措施，可能會將數據傳輸給安全措施不足的第三方，增加數據泄露的風險。

3.針對承包商的監督義務風險。

APPI第25條規定，“個人信息處理者委托處理全部或部分個人數據的，必須對受委托方進行必要和適當的監督，以確保受委托處理的個人數據的安全管理。”個人信息處理者不僅要對自身的數據處理活動負責，還需對委托給第三方承包商的數據處理活動進行監督和管理，監督義務的實施涉及多個風險點。首先，承包商可能缺乏足夠的數據保護措施，而增加由此產生的數據泄露的風險。其次，承包商可能未能完全遵守數據保護法律和規范，導致合法性問題。此外，監督過程中的不透明或不足可能導致個人信息處理者無法準確評估承包商的數據處理活動。在LINE公司的案例中，公司面臨的主要問題是在處理和存儲個人數據時涉及的外部承包商。該案例表明，即使是大型企業也可能在對承包商的數據處理活動進行持續且有效的監督方面遇到挑戰。

中國企業如何提升數據安全治理水平

健全企業內部數據治理機制

內部數據治理機制不僅是企業加強數據安全管理的需要，也是應對域外長臂管轄的需要。對于數據治理領域域外管轄的興起，中國企業需全面跟蹤和及時掌握數據流入和流出國家的監管規則發展，完善內部數據安全治理框架。

第一，建立數據全生命周期安全管理制度。在合法正當、知情同意、最小必要和公開透明等數據處理原則的指導下，針對各種級別的數據，應該制定具體的分級保護要求和操作規程，確保在數據收集、存儲、使用和傳輸的每一個環節實施嚴格的數據安全措施以滿足數據合規要求。

第二，落實數據安全處理人員管理制度。數據合規實踐反復證明確立數據合規控制流程不能完全消弭風險，還需要企業主體著眼于數據合規風險應對機制的構建并明確監管紅線，包括設立內部數據合規機構、確定數據安全責任人和責任部門，應根據需求設立數據安全管理人員，負責全面監督和管理數據處理活動的安全性，并協助行業監管部門的相關工作。

第三，培養數據合規文化。企業應該通過塑造合規理念，將合規觀念納入經營實踐中，并建立起員工的合規意識。

增強企業數據處理的透明度

數據處理者需要履行信息披露義務，增強數據處理透明度已成為普遍共識。在當前的法律規則中，透明度要求具象化為知情同意規則，同時要求企業滿足信息披露義務的要求，建立與用戶間的投訴和爭議解決機制。

一是遵守知情同意規則。個人信息處理者只有在取得個人同意后才能處理相關的個人信息，知情同意規則是在1970年由德國黑森州的數據保護法所確認的 ①。在處理個人信息時，企業要獲取數據主體的同意必須確保其同意是在知情的基礎上，明確、自愿且真實作出的。當涉及向外國第三方提供個人數據時，尤為重要的是要確保獲取數據本人的明確同意，并向其提供充足的信息，包括數據將如何被處理、存儲和保護，以及移轉目的地的相關信息。

二是滿足信息披露義務要求。作為信息處理者，需要明確了解相關法律對信息披露義務的具體要求，并確立監管的底線。應當配合相關法律制度，從信息披露時間、披露內容、披露方式等方面完善企業的信息披露體系。在處理個人信息時，需以公開、透明的方式行事，向信息主體公布個人信息處理規則，并清楚告知處理目的、方式及范圍。在緊急情況下，若無法及時通知，處理者應在情況緩解后盡快履行告知義務。并且應以顯著方式、清晰易懂的語言通知，確保信息主體充分理解。

三是建立投訴和爭議解決機制。投訴和爭議解決機制源自于用戶與數據處理者在掌握信息、可調動資源等領域的不平衡地位。從保護用戶權益、實現實質公平的視角，企業需建立相關機制，增強數據處理過程的可訴性。企業可以通過用戶協議的形式，明確用戶投訴渠道，建立爭議解決機制。一方面是明確投訴程序啟動的條件、程序，告知用戶投訴處理的期限、結果反饋的渠道。另一方面，針對用戶對投訴結果不滿的情形，企業可建立第三方爭議解決機制，由第三方對爭議進行處理，更好地維護用戶權益。

加強同承包商之間的協同合作

APPI第25條規定，委托方在委托處理個人數據時，必須對受委托方進行必要和適當的監督，突顯了數據處理合作關系中的核心法律責任。個人信息處理者在委托數據處理時，不能只依賴受委托方的自我管理，必須主動監督，確保符合數據保護標準。企業需要在以下幾個方面加強同承包商之間的協作，有效執行這一要求。

第一，審慎選擇合作伙伴。合作伙伴的選擇不僅應基于其專業技能和服務質量，更要考慮其數據保護政策和歷史表現。這一過程需要通過細致的盡職調查來完成，包括但不限于審查潛在承包商的數據保護措施、安全策略和遵守法律的記錄。一旦選擇了合適的承包商，接下來的關鍵步驟是在合同中明確規定數據保護的條款。這些條款不僅應覆蓋數據處理的具體細節，還應包括監督和審核機制，以及在數據泄露或其他安全事件發生時的應對措施，確保雙方對于數據保護的期望和責任有著共同的理解。

第二，建立定期監督和評估機制。在合作過程中，定期的監督和評估是保證數據安全管理的關鍵環節。這不僅包括定期審查承包商的數據處理活動，還應包括對其安全措施的評估和驗證。在必要時，進行現場審核或第三方審核也是確保數據安全管理到位的有效手段。

第三，明確各自法律責任。在業務合同中應納入數據保護條款，如果數據處理方通過間接渠道獲取重要和核心數據，應該與數據提供方簽訂相關協議或承諾書，明確雙方的法律責任。在委托傳輸數據時，應根據數據的特性、重要性和使用環境，制定相應的安全策略，并實施適當的保護措施。為了適應全球化的數據治理趨勢，克服跨境數據合規的難題，我國企業應當密切關注相關國家立法新動向，著重把握當地數據跨境要求，明確監管紅線，構建一套完善的現代化企業數據流動合規體系。在數據主權安全日益受到重視的今天，各國的數據流動監管規則都將不斷對企業數據合規體系提出更高的要求，企業在出海時必須直面跨境數據合規難題，強化數據安全管理與合規體系建設，以適應數字經濟的未來發展趨勢。

（編輯 楊利紅）

① 梁正.跨境數據流動中的信息安全問題探究[J].人民論壇， 2023 （17） ： 38-41.

② 張光.宋歌.數字經濟下的全球規則博弈與中國路徑選擇：基于跨境數據流動規制視角[J].學術交流， 2022 （1）： 96-113.

① 宇賀克也.個人情報保護法の逐條解説（第6版）[M].日本： 有斐閣， 2018： 26-27.

① 総務省.2017年版情報通信白書[EB/OL].（2017-07） [2023-02-05]. https：//www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/pdf/ n2200000.pdf.

② 鄧靈斌.日本跨境數據流動規制新方案及中國路徑——基于“數據安全保障”視角的分析[J].情報資料工作， 2022 （1） ： 52-60.

③ Suda Yuko. Japans Personal Information Protection Policy Under Pressure： The Japan-EU Data Transfer Dialogue and Beyond[J]. Asian Survey， 2020， 60 （3） ： 510-533.

① 日本個人信息保護委員會.LINE株式會社に対する調査狀況について[EB/OL]. （2021-7-21） [2024-1-5]. https：//www.ppc.go.jp/files/pdf/210721_ shiryou-1.pdf

②日本個人信息保護委員會.個人情報の保護に関する法律に基つく行政上の対応について[EB/OL]. （2021-4-23） [2024-1-5]. https：//www.ppc. go.jp/files/pdf/210423_houdou.pdf

③ 孫尚鴻.傳統管轄規則在網絡背景下所面臨的沖擊與挑戰[J].法律科學： 西北政法學院學報， 2018 （4） ： 160-168.

④ 邵懌.論域外數據執法管轄權的單方擴張[J].社會科學， 2020 （10）： 119-129.

① 程嘯.論個人信息處理者的告知義務[J].上海政法學院學報（法治論叢）， 2021 （5） ： 67-80.