动态与观点
要 点:RCEP缔约国可以GDPR为蓝本,以现有国际协定成果为参考,采取先建立基本规则再后续补充细则的路线,形成统一、包容、现代、前瞻且合理兼顾信息保护与经贸便利的区域性数据监管制度。
数据是“21世纪的石油”。数据已成为国际贸易与投资不可或缺的要素,脱离数据的(data free)跨境贸易和投资是不可想象的。
2021年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式将数据纳入与土地、劳动力、资本、技术并列的生产要素。
生产要素只有流通起来积极参与生产过程,才能发挥最大的价值。数据亦然。历史表明,国家间的制度差异会形成贸易壁垒,阻碍货物、人员、资本、技术的流通,增加交易成本,不利于国际贸易和投资的发展。
世界贸易组织(WTO)规则和各种双边或多边自由贸易协定,就是人类努力消除贸易壁垒的成果。有研究发现,数据也同样易受贸易壁垒的负面影响,而这类贸易壁垒的主要表现形式也是国家或区域间的制度差异。
欧盟是全球首个制定和实施统一的个人数据保护规则的自由贸易区。2018年5月25日,欧盟《一般数据保护条例》(GDPR)开始施行。该条例旨在保护欧盟所属自然人的个人数据,对个人数据的使用和处理设定了严格的标准和程序。
GDPR具有跨地域的管辖效力,即无论是否在欧盟境内处理,只要涉及的数据关系到欧盟所属的自然人,相关的数据处理活动就必须遵循GDPR的规定,违者将遭受严苛的处罚。同时,GDPR也严格限制向欧盟境外传输个人数据。
根据GDPR,当数据出口方需要将个人数据从欧洲经济区传输到其他国家,而后者并不是一个被欧盟认定为能提供足够个人数据保护(即“充分性认定”)的国家时,则数据出口方需和该国的数据接收方签订标准合同条款,对数据传输的条件、责任等做出一系列规定以保障对个人数据的保护(2021年6月4日,欧盟委员会正式采用了新的数据传输标准合同条款 )。
亚太国家中,目前只有日本和新西兰获得欧盟的充分性认定。这意味着欧盟企业向这两个国家和亚太其他国家(包括中国和东盟国家)传输数据时,将面临不同的门槛。
2020年11月15日签订的《区域全面经济伙伴关系协定》(RCEP)拟在亚太主要经济体之间建立全球最大的自由贸易区,促进区域经济的一体化,提高域内经济体抵御重大风险的能力。
自由贸易区的重要特征是货物、资金、人员等要素在区域内流动的障碍得到消除或大幅减少,区内贸易和投资成本显著降低。
RCEP在货物贸易零关税、原产地累积规则、服务贸易开放、投资市场准入和保护、自然人流动方面,都有了详细而具体的约定,对贸易和投资自由化的积极效应毋庸置疑。
那么,在数据治理方面,RCEP是否也能建立起统一规则,创造亚太版的GDPR,从而消除数据流通的壁垒,促进数据在区域内的安全和高效流动,让数据最大程度地造福地区经济发展呢?
跨境贸易与投资已离不开数据的交换
互联网改变了国际贸易和投资的模式,也让数据发挥了前所未有的价值,数据已深入到跨国经济活动的方方面面。
数据对于跨境电商、信息服务、公用设施、金融等行业的重要性自不待言,对于传统的制造、贸易行业同样不可或缺。例如,在东盟的马来西亚、越南、泰国等国,有大量来自日本、新加坡、中国、欧美等的产业投资,形成制造业产业链。
为了实现产业链的运转,每条产业链上的各个节点企业必须密切沟通关于生产、销售、库存、运输等信息;关联企业与总部之间需要分享员工的信息,以便将人力资源在组织间进行合理分配;企业需要收集和分析各国的人口数据和消费者行为信息,以便针对各市场设计适销对路的产品、服务及更有效的营销计划。
举例来说,中国的用友网络公司于2010年在新加坡设立了区域业务中心,覆盖泰国、越南、缅甸、马来西亚等东南亚国家,主要目的之一就是满足中资企业中国总部与地区分支机构之间的数据交换和协同方面的需求。
随着各国制造业纷纷向“智能制造”“工业4.0”升级,相关数据的产生量和处理量将呈爆炸式增长。根据国际权威机构Statista的预测,2020年全球数据产生量可达47ZB(1ZB=1012GB);而到了2035年,这一数字将达到2142ZB。
经济合作组织(OECD)于2018年发布的贸易政策报告《数字贸易与市场开放》(Digital Trade and Market Openness)指出,一个开放的市场至少应符合以下六个原则:
(1)透明,即减少规则的不确定性,以提高合规水平;
(2)非歧视,即来自不同产地的货物和服务都可享受实质性的公平待遇,以促进竞争和创新;
(3)避免过度监管,即监管措施应限制在合理必要的程度内,避免过度管制对贸易的损害;
(4)统一,即各国的管制措施应协调一致,避免监管割裂;
(5)互认,即承认他国的对等监管措施,减少国家标准的差异对贸易的妨碍;
(6)竞争,即鼓励市场主体的有效竞争。
该报告还指出,数字贸易已深入到经济的各个行业和各个环节,经济的数字化有利于国际贸易。报告经过计算发现,两国间的数据互联程度每提高10%,货物贸易平均将增长近2%,而且这种效应随着货物制造复杂程度的提高而越发明显(例如,对电子产品贸易的拉动效应高于对农产品贸易的拉动效应)。
因此,在数字经济蓬勃发展的时代,要促进国际贸易,首先要保证数据的自由和有序流通,相关国家应参照以上六项原则规划和制定其数字政策。
笔者认为,RCEP缔约国应努力实现数据监管制度的协调和统一,以最大程度地发挥RCEP协定对区域经济的推动作用。
RCEP缔约国提升数据治理的努力
早在RCEP签订之前,区域内各国大多数已经开展数据和个人信息保护的立法和监管。例如:
日本
日本于2005年开始施行《个人信息保护法》,并先后于2017年和2020年进行了大幅度修订。
马来西亚
马来西亚于2010年出台了《个人数据保护法令》。
印度尼西亚
印度尼西亚在2012年就颁布了关于电子系统和交易的第82号法规。
新加坡
新加坡于2012年颁布了《个人数据保护法》,并于2018年通过了《网络安全法》。
越南
越南于2019开始施行《网络安全法》。
中国
中国也在积极行动。2021年8月20日,中国《个人数据保护法》落地,将于2021年11月1日生效。
结合之前出台的《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》以及一系列数据安全技术标准和规范,中国已初步建立起关于数据治理的完整制度体系。
在相关立法的基础上,各国政府也在加大执法力度,对违规事件的处罚越来越频繁。
新加坡
2019年1月15日,新加坡个人数据保护委员会(PDPC)对新加坡健康服务私人有限公司和综合健康信息系统公司分别处以罚款25万新加坡元和75万新加坡元,理由是该等机构未能采取适当的保护措施,导致150万患者的个人信息被盗。
澳大利亚
2020年3月9日,澳大利亚信息专员办公室在联邦法院对脸书(Facebook)提起诉讼,称被告未经同意就泄露了30多万澳大利亚用户的个人信息。
中国
自2019年12月至2021年7月,中国工业和信息化部已累计组织16批次集中抽测,检查139万款APP,通报1407款违规APP,下架377款拒不整改的APP。其中,违反个人信息保护规定是主要的违规情形。
RCEP缔约国加紧数据保护,一方面是基于对数据价值的认识提升,意在保护国民的基本权益和国家的战略安全免遭外部的侵害;另一方面,欧盟主导的较为激进的数据保护模式也对各国形成了压力。
欧盟GDPR的管辖范围包括全球范围内有可能处理欧盟自然人公民的个人数据的任何主体,违法者将遭受高额的罚款。
GDPR还严格限制向欧盟以外的第三地输出数据,规定数据输出的目的国家必须获得欧盟委员会的“充分性认定”,否则输出方必须证明已经采取了适当的措施确保数据可以得到适当的保护。
欧盟是RCEP缔约国的最重要贸易伙伴之一。为了避免本国企业遭受欧盟的严苛处罚,并且确保本国企业与欧盟之间的正常数据交流,RCEP缔约方也不得不向GDPR看齐,努力提升本国的数据保护水平,争取获得欧盟的充分性认定。网络安全和数据保护水平,已日益成为国家乃至地区竞争力的重要构成。
RCEP缔约国的数据保护规则差异较大
目前,RCEP缔约国的数据保护规则基本上都遵循欧美所倡导的“合法、正当、必要、主体许可、最小化”等原则,严格限制对数据的收集、转移及利用。
然而,各国的数据保护规则在相似的外表下仍存在较大的差异,如果再配合执法上的自由裁量权,极容易形成新型的贸易壁垒。
首先,RCEP缔约方的网络安全和个人信息保护水平发展不一。
既有拥有全球领先网络安全监管的新加坡,也有老挝、柬埔寨、缅甸等尚在进行网络安全基础建设的国家(这三个国家都还没有专门的个人数据保护法律),对于数据的跨境流通难免出现监管真空和脱节。
例如,除了中国、日本、新加坡、澳大利亚等国外,其他缔约国鲜有对违反个人信息保护的情形展开调查或处罚的先例。
其次,在现有制度框架下,各国关于数据监管的对象也未形成统一认识。
例如,关于个人信息,大部分国家将其定义为可导致对自然人的身份进行识别的信息,但对这类信息的具体范围,一些国家仅将其限定于姓名、生日、性别、住址、电子邮箱等基本信息;而另一些国家,则将监管信息扩大至银行账户、网络名称、虚拟货币账号等信息,甚至某些本身不能识别自然人但与其他信息结合则可识别特定自然人的信息也被囊括在内,如IP地址、个人上网记录、个人位置信息等。
在这方面,澳大利亚就将关于个人的任何信息和评论意见都纳入保护的范围,无论这些信息和意见是否真实和准确。上述监管对象的不统一,给企业的跨境运营造成很大的不确定性。
再次,各国对数据跨境传输限制的不统一也容易产生数据本地化壁垒。
虽然大多数国家原则上规定数据主体的同意是跨境传输的必要条件之一,但同时又对某些特殊信息设置额外的限制条件。
例如,泰国对于“重大战略性信息”的限制,越南对于“国家秘密”的限制,新加坡对于金融信息的限制,等等。
最后,对于数据本地化存储的要求将对企业的投资安排有直接影响。
例如,印度尼西亚、越南、澳大利亚、中国都对数据有本地化存储的强制要求,也就是说企业必须在运营所在国设置存储在该国产生的数据的服务器。这种要求导致了东南亚的数据中心(IDC)投资的快速增长。
据预测,东南亚IDC市场投资在2021年至2026年期间,将以8%的复合年增长率增长,阿里云、腾讯云、UCloud等国内云计算服务商都在加快东南亚布局,新加坡、印尼、马来西亚、菲律宾、印度等地都有中资数据中心的存在。
数据保护规则的不统一,相当于在各国之间树立了高矮疏密不一的数据篱笆,直接妨碍数据以及与其相关的资本和人员的互通。
数据保护规则的不统一还将对跨国供应链产生深远的影响。
跨国企业为了节省合规成本,可能会放弃一些位于实施严格数据保护的国家的供应商,而选用数据保护较宽松的国家的供应商,甚至将运营管理的中心转移到数据监管较弱的国家。
此外,不少中小型企业可能会由于无法承担数据保护合规的高昂成本而逐渐被排除在区域乃至全球供应链之外,失去发展的机会;对数据有高度依赖的科技创新企业也可能减少在数据合规成本较高的国家的投资。
瑞典官方机构国民贸易局(The National Board of Trade)于2014年发表的企业调查报告《无传输即无贸易》(No Transfer, No Trade),通过众多真实案例论证了欧盟区内割裂的数据保护制度对跨境贸易和投资的负面影响。
GDPR在很大程度上正是对欧盟企业关于协调区域内各自为政的数据监管制度强烈呼声的回应。
RCEP为亚太地区数据保护建立了统一原则
在RCEP签订前,世界主要经济体已经开始了协调数据监管规则的尝试。
2019年1月,包括美国、欧盟、日本、新加坡、澳大利亚、中国、巴西、俄罗斯在内的76个WTO成员共同签署了《关于电子商务的联合声明》,确认将在WTO现有协定框架基础上,开展电子商务诸边谈判。
与此同时,在WTO多边框架之外的超大型自由贸易协定,如《全面进步的跨太平洋伙伴关系协定》(CPTPP)、《日本-欧盟经济伙伴关系协定》(EPA)、《美墨加贸易协定》(USMCA)等,大都包含了相关“数字贸易或电子商务”章节,涉及“数据自由流动”及“禁止数据本地化”等内容,进行了跨国数据监管一体化的尝试。
RCEP作为一个现代、全面、高水平和互惠的贸易协定,在数据保护的国际化方面付出了很大的努力,试图建立一套不同于欧盟或美国体制的国际数字治理新模式。
首先,RCEP肯定数据治理的必要性。
其第十二章“电子商务”第八条第一款规定,“每一缔约方应当采取或维持保证电子商务用户个人信息受到保护的法律框架”。
同时,RCEP也关注过度监管对数据流动的妨碍。
其第十二章第十条第二款规定,“每一缔约方应当努力避免对电子交易施加任何不必要的监管负担”。第十二章第十五条第二款规定,“任何缔约方不得阻止其他缔约方的投资者为进行商业行为而通过电子方式跨境传输信息”。
RCEP也试图减少数据存储本地化对跨国投资者的负担。
其第十二章第十四条第二款规定,“缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内,作为在该缔约方领土内进行商业行为的条件”。
关于鼓励数据跨境流动和避免数据存储本地化的规定,被视为RCEP在促进数字贸易方面的重大创举。澳大利亚政府在签约当天发表的评论称,RCEP的这些条款是很多缔约方首次订立的类似条款,是对包括澳大利亚-新西兰自由贸易协定、马来西亚-澳大利亚自由贸易协定、东盟自由贸易协定等在内的诸多贸易协定关于电子商务问题的成果的升级。
为了提高数据监管的透明度,RCEP第十二章第八条第四款规定,“缔约方应当鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序”;其第十二条则进一步要求每一缔约方尽快公布与电子商务有关的监管措施。
在数据监管规则的协调和统一方面,RCEP建议缔约方借鉴现有的国际规范。
其第十二章第八条第二款规定,“在制定保护个人信息的法律框架时,每一缔约方应当考虑相关国际组织或机构的国际标准、原则、指南和准则”;第十条第一款规定,“每一缔约方应当在考虑《联合国国际贸易法委员会电子商务示范法(1996 年)》《联合国国际合同使用电子通信公约(2005年)》,或其他适用于电子商务的国际公约和示范法基础上,采取或维持监管电子交易的法律框架”。
换言之,缔约国期望,各方应努力使本国的数据监管法律框架与国际普遍通行的规范靠拢和兼容,以提高监管措施的可预见性与稳定性,降低商业主体的合规成本。
对RCEP统一跨境数据监管规则的建议
其实,RCEP缔约方一直在进行统一跨境数据监管的努力。
2013年,亚太经合组织(APEC)通过了《跨境隐私规则体系》(CBPR)。该体系是亚太地区第一个数据保护协同框架,建立了一整套的执行机制和措施。
一般而言,加入CBPR的标准包括:国内隐私法、隐私保护执法机构、信任标志(trust-mark)提供商、隐私法与APEC隐私框架的一致性等。