(1)透明�,即減少規(guī)則的不確定性�,以提高合規(guī)水平;
(2)非歧視��,即來自不同產(chǎn)地的貨物和服務(wù)都可享受實(shí)質(zhì)性的公平待遇,以促進(jìn)競爭和創(chuàng)新���;
(3)避免過度監(jiān)管,即監(jiān)管措施應(yīng)限制在合理必要的程度內(nèi)����,避免過度管制對貿(mào)易的損害;
(4)統(tǒng)一���,即各國的管制措施應(yīng)協(xié)調(diào)一致����,避免監(jiān)管割裂��;
(5)互認(rèn)���,即承認(rèn)他國的對等監(jiān)管措施�����,減少國家標(biāo)準(zhǔn)的差異對貿(mào)易的妨礙����;
(6)競爭,即鼓勵(lì)市場主體的有效競爭�。
該報(bào)告還指出,數(shù)字貿(mào)易已深入到經(jīng)濟(jì)的各個(gè)行業(yè)和各個(gè)環(huán)節(jié)�����,經(jīng)濟(jì)的數(shù)字化有利于國際貿(mào)易���。報(bào)告經(jīng)過計(jì)算發(fā)現(xiàn)�����,兩國間的數(shù)據(jù)互聯(lián)程度每提高10%�����,貨物貿(mào)易平均將增長近2%��,而且這種效應(yīng)隨著貨物制造復(fù)雜程度的提高而越發(fā)明顯(例如��,對電子產(chǎn)品貿(mào)易的拉動效應(yīng)高于對農(nóng)產(chǎn)品貿(mào)易的拉動效應(yīng))����。
因此,在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的時(shí)代����,要促進(jìn)國際貿(mào)易,首先要保證數(shù)據(jù)的自由和有序流通�,相關(guān)國家應(yīng)參照以上六項(xiàng)原則規(guī)劃和制定其數(shù)字政策。
筆者認(rèn)為���,RCEP締約國應(yīng)努力實(shí)現(xiàn)數(shù)據(jù)監(jiān)管制度的協(xié)調(diào)和統(tǒng)一,以最大程度地發(fā)揮RCEP協(xié)定對區(qū)域經(jīng)濟(jì)的推動作用�����。
RCEP締約國提升數(shù)據(jù)治理的努力
早在RCEP簽訂之前�����,區(qū)域內(nèi)各國大多數(shù)已經(jīng)開展數(shù)據(jù)和個(gè)人信息保護(hù)的立法和監(jiān)管�。例如:
日本
日本于2005年開始施行《個(gè)人信息保護(hù)法》,并先后于2017年和2020年進(jìn)行了大幅度修訂���。
馬來西亞
馬來西亞于2010年出臺了《個(gè)人數(shù)據(jù)保護(hù)法令》�。
印度尼西亞
印度尼西亞在2012年就頒布了關(guān)于電子系統(tǒng)和交易的第82號法規(guī)�����。
新加坡
新加坡于2012年頒布了《個(gè)人數(shù)據(jù)保護(hù)法》,并于2018年通過了《網(wǎng)絡(luò)安全法》��。
越南
越南于2019開始施行《網(wǎng)絡(luò)安全法》�。
中國
中國也在積極行動。2021年8月20日��,中國《個(gè)人數(shù)據(jù)保護(hù)法》落地�,將于2021年11月1日生效。
結(jié)合之前出臺的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及一系列數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)和規(guī)范�,中國已初步建立起關(guān)于數(shù)據(jù)治理的完整制度體系。
在相關(guān)立法的基礎(chǔ)上���,各國政府也在加大執(zhí)法力度���,對違規(guī)事件的處罰越來越頻繁。
新加坡
2019年1月15日���,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(PDPC)對新加坡健康服務(wù)私人有限公司和綜合健康信息系統(tǒng)公司分別處以罰款25萬新加坡元和75萬新加坡元�����,理由是該等機(jī)構(gòu)未能采取適當(dāng)?shù)谋Wo(hù)措施�,導(dǎo)致150萬患者的個(gè)人信息被盜。
澳大利亞
2020年3月9日����,澳大利亞信息專員辦公室在聯(lián)邦法院對臉書(Facebook)提起訴訟,稱被告未經(jīng)同意就泄露了30多萬澳大利亞用戶的個(gè)人信息����。
中國
自2019年12月至2021年7月,中國工業(yè)和信息化部已累計(jì)組織16批次集中抽測��,檢查139萬款A(yù)PP��,通報(bào)1407款違規(guī)APP�����,下架377款拒不整改的APP����。其中�,違反個(gè)人信息保護(hù)規(guī)定是主要的違規(guī)情形。
RCEP締約國加緊數(shù)據(jù)保護(hù)�����,一方面是基于對數(shù)據(jù)價(jià)值的認(rèn)識提升,意在保護(hù)國民的基本權(quán)益和國家的戰(zhàn)略安全免遭外部的侵害���;另一方面��,歐盟主導(dǎo)的較為激進(jìn)的數(shù)據(jù)保護(hù)模式也對各國形成了壓力�。
歐盟GDPR的管轄范圍包括全球范圍內(nèi)有可能處理歐盟自然人公民的個(gè)人數(shù)據(jù)的任何主體�����,違法者將遭受高額的罰款���。
GDPR還嚴(yán)格限制向歐盟以外的第三地輸出數(shù)據(jù)�,規(guī)定數(shù)據(jù)輸出的目的國家必須獲得歐盟委員會的“充分性認(rèn)定”����,否則輸出方必須證明已經(jīng)采取了適當(dāng)?shù)拇胧┐_保數(shù)據(jù)可以得到適當(dāng)?shù)谋Wo(hù)。
歐盟是RCEP締約國的最重要貿(mào)易伙伴之一�����。為了避免本國企業(yè)遭受歐盟的嚴(yán)苛處罰�����,并且確保本國企業(yè)與歐盟之間的正常數(shù)據(jù)交流,RCEP締約方也不得不向GDPR看齊���,努力提升本國的數(shù)據(jù)保護(hù)水平�,爭取獲得歐盟的充分性認(rèn)定�����。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)水平�����,已日益成為國家乃至地區(qū)競爭力的重要構(gòu)成���。
RCEP締約國的數(shù)據(jù)保護(hù)規(guī)則差異較大
目前����,RCEP締約國的數(shù)據(jù)保護(hù)規(guī)則基本上都遵循歐美所倡導(dǎo)的“合法�����、正當(dāng)����、必要、主體許可�����、最小化”等原則����,嚴(yán)格限制對數(shù)據(jù)的收集、轉(zhuǎn)移及利用�。
然而,各國的數(shù)據(jù)保護(hù)規(guī)則在相似的外表下仍存在較大的差異���,如果再配合執(zhí)法上的自由裁量權(quán)���,極容易形成新型的貿(mào)易壁壘。
首先����,RCEP締約方的網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)水平發(fā)展不一。
既有擁有全球領(lǐng)先網(wǎng)絡(luò)安全監(jiān)管的新加坡����,也有老撾、柬埔寨��、緬甸等尚在進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)的國家(這三個(gè)國家都還沒有專門的個(gè)人數(shù)據(jù)保護(hù)法律),對于數(shù)據(jù)的跨境流通難免出現(xiàn)監(jiān)管真空和脫節(jié)�。
例如,除了中國��、日本��、新加坡���、澳大利亞等國外����,其他締約國鮮有對違反個(gè)人信息保護(hù)的情形展開調(diào)查或處罰的先例���。
其次�,在現(xiàn)有制度框架下�,各國關(guān)于數(shù)據(jù)監(jiān)管的對象也未形成統(tǒng)一認(rèn)識。
例如����,關(guān)于個(gè)人信息���,大部分國家將其定義為可導(dǎo)致對自然人的身份進(jìn)行識別的信息��,但對這類信息的具體范圍��,一些國家僅將其限定于姓名�����、生日���、性別��、住址��、電子郵箱等基本信息�����;而另一些國家���,則將監(jiān)管信息擴(kuò)大至銀行賬戶、網(wǎng)絡(luò)名稱����、虛擬貨幣賬號等信息,甚至某些本身不能識別自然人但與其他信息結(jié)合則可識別特定自然人的信息也被囊括在內(nèi)�,如IP地址��、個(gè)人上網(wǎng)記錄�、個(gè)人位置信息等����。
在這方面,澳大利亞就將關(guān)于個(gè)人的任何信息和評論意見都納入保護(hù)的范圍����,無論這些信息和意見是否真實(shí)和準(zhǔn)確。上述監(jiān)管對象的不統(tǒng)一�,給企業(yè)的跨境運(yùn)營造成很大的不確定性。
再次����,各國對數(shù)據(jù)跨境傳輸限制的不統(tǒng)一也容易產(chǎn)生數(shù)據(jù)本地化壁壘。
雖然大多數(shù)國家原則上規(guī)定數(shù)據(jù)主體的同意是跨境傳輸?shù)谋匾獥l件之一��,但同時(shí)又對某些特殊信息設(shè)置額外的限制條件����。
例如,泰國對于“重大戰(zhàn)略性信息”的限制��,越南對于“國家秘密”的限制,新加坡對于金融信息的限制���,等等。
最后�,對于數(shù)據(jù)本地化存儲的要求將對企業(yè)的投資安排有直接影響。
例如����,印度尼西亞、越南�、澳大利亞、中國都對數(shù)據(jù)有本地化存儲的強(qiáng)制要求���,也就是說企業(yè)必須在運(yùn)營所在國設(shè)置存儲在該國產(chǎn)生的數(shù)據(jù)的服務(wù)器����。這種要求導(dǎo)致了東南亞的數(shù)據(jù)中心(IDC)投資的快速增長�����。
據(jù)預(yù)測��,東南亞IDC市場投資在2021年至2026年期間�����,將以8%的復(fù)合年增長率增長,阿里云��、騰訊云�、UCloud等國內(nèi)云計(jì)算服務(wù)商都在加快東南亞布局,新加坡�����、印尼�、馬來西亞、菲律賓�、印度等地都有中資數(shù)據(jù)中心的存在。
數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一��,相當(dāng)于在各國之間樹立了高矮疏密不一的數(shù)據(jù)籬笆��,直接妨礙數(shù)據(jù)以及與其相關(guān)的資本和人員的互通�����。
數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一還將對跨國供應(yīng)鏈產(chǎn)生深遠(yuǎn)的影響��。
跨國企業(yè)為了節(jié)省合規(guī)成本�,可能會放棄一些位于實(shí)施嚴(yán)格數(shù)據(jù)保護(hù)的國家的供應(yīng)商����,而選用數(shù)據(jù)保護(hù)較寬松的國家的供應(yīng)商�,甚至將運(yùn)營管理的中心轉(zhuǎn)移到數(shù)據(jù)監(jiān)管較弱的國家。
此外��,不少中小型企業(yè)可能會由于無法承擔(dān)數(shù)據(jù)保護(hù)合規(guī)的高昂成本而逐漸被排除在區(qū)域乃至全球供應(yīng)鏈之外�����,失去發(fā)展的機(jī)會���;對數(shù)據(jù)有高度依賴的科技創(chuàng)新企業(yè)也可能減少在數(shù)據(jù)合規(guī)成本較高的國家的投資。
瑞典官方機(jī)構(gòu)國民貿(mào)易局(The National Board of Trade)于2014年發(fā)表的企業(yè)調(diào)查報(bào)告《無傳輸即無貿(mào)易》(No Transfer, No Trade)�����,通過眾多真實(shí)案例論證了歐盟區(qū)內(nèi)割裂的數(shù)據(jù)保護(hù)制度對跨境貿(mào)易和投資的負(fù)面影響�。
GDPR在很大程度上正是對歐盟企業(yè)關(guān)于協(xié)調(diào)區(qū)域內(nèi)各自為政的數(shù)據(jù)監(jiān)管制度強(qiáng)烈呼聲的回應(yīng)。
RCEP為亞太地區(qū)數(shù)據(jù)保護(hù)建立了統(tǒng)一原則
在RCEP簽訂前�����,世界主要經(jīng)濟(jì)體已經(jīng)開始了協(xié)調(diào)數(shù)據(jù)監(jiān)管規(guī)則的嘗試��。
2019年1月,包括美國���、歐盟���、日本、新加坡���、澳大利亞����、中國�、巴西、俄羅斯在內(nèi)的76個(gè)WTO成員共同簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》���,確認(rèn)將在WTO現(xiàn)有協(xié)定框架基礎(chǔ)上���,開展電子商務(wù)諸邊談判。
與此同時(shí)��,在WTO多邊框架之外的超大型自由貿(mào)易協(xié)定�����,如《全面進(jìn)步的跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)、《日本-歐盟經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(EPA)�����、《美墨加貿(mào)易協(xié)定》(USMCA)等�����,大都包含了相關(guān)“數(shù)字貿(mào)易或電子商務(wù)”章節(jié)�,涉及“數(shù)據(jù)自由流動”及“禁止數(shù)據(jù)本地化”等內(nèi)容���,進(jìn)行了跨國數(shù)據(jù)監(jiān)管一體化的嘗試�����。
RCEP作為一個(gè)現(xiàn)代�、全面�����、高水平和互惠的貿(mào)易協(xié)定���,在數(shù)據(jù)保護(hù)的國際化方面付出了很大的努力����,試圖建立一套不同于歐盟或美國體制的國際數(shù)字治理新模式。
首先�,RCEP肯定數(shù)據(jù)治理的必要性。
其第十二章“電子商務(wù)”第八條第一款規(guī)定�,“每一締約方應(yīng)當(dāng)采取或維持保證電子商務(wù)用戶個(gè)人信息受到保護(hù)的法律框架”。
同時(shí)���,RCEP也關(guān)注過度監(jiān)管對數(shù)據(jù)流動的妨礙��。
其第十二章第十條第二款規(guī)定���,“每一締約方應(yīng)當(dāng)努力避免對電子交易施加任何不必要的監(jiān)管負(fù)擔(dān)”。第十二章第十五條第二款規(guī)定�,“任何締約方不得阻止其他締約方的投資者為進(jìn)行商業(yè)行為而通過電子方式跨境傳輸信息”。
RCEP也試圖減少數(shù)據(jù)存儲本地化對跨國投資者的負(fù)擔(dān)��。
其第十二章第十四條第二款規(guī)定�,“締約方不得將要求涵蓋的人使用該締約方領(lǐng)土內(nèi)的計(jì)算設(shè)施或者將設(shè)施置于該締約方領(lǐng)土之內(nèi),作為在該締約方領(lǐng)土內(nèi)進(jìn)行商業(yè)行為的條件”��。
關(guān)于鼓勵(lì)數(shù)據(jù)跨境流動和避免數(shù)據(jù)存儲本地化的規(guī)定�,被視為RCEP在促進(jìn)數(shù)字貿(mào)易方面的重大創(chuàng)舉。澳大利亞政府在簽約當(dāng)天發(fā)表的評論稱�����,RCEP的這些條款是很多締約方首次訂立的類似條款,是對包括澳大利亞-新西蘭自由貿(mào)易協(xié)定���、馬來西亞-澳大利亞自由貿(mào)易協(xié)定�����、東盟自由貿(mào)易協(xié)定等在內(nèi)的諸多貿(mào)易協(xié)定關(guān)于電子商務(wù)問題的成果的升級�����。
為了提高數(shù)據(jù)監(jiān)管的透明度,RCEP第十二章第八條第四款規(guī)定�,“締約方應(yīng)當(dāng)鼓勵(lì)法人通過互聯(lián)網(wǎng)等方式公布其與個(gè)人信息保護(hù)相關(guān)的政策和程序”;其第十二條則進(jìn)一步要求每一締約方盡快公布與電子商務(wù)有關(guān)的監(jiān)管措施�。
在數(shù)據(jù)監(jiān)管規(guī)則的協(xié)調(diào)和統(tǒng)一方面,RCEP建議締約方借鑒現(xiàn)有的國際規(guī)范�。
其第十二章第八條第二款規(guī)定,“在制定保護(hù)個(gè)人信息的法律框架時(shí)�,每一締約方應(yīng)當(dāng)考慮相關(guān)國際組織或機(jī)構(gòu)的國際標(biāo)準(zhǔn)、原則���、指南和準(zhǔn)則”�;第十條第一款規(guī)定,“每一締約方應(yīng)當(dāng)在考慮《聯(lián)合國國際貿(mào)易法委員會電子商務(wù)示范法(1996 年)》《聯(lián)合國國際合同使用電子通信公約(2005年)》�,或其他適用于電子商務(wù)的國際公約和示范法基礎(chǔ)上,采取或維持監(jiān)管電子交易的法律框架”�����。
換言之�,締約國期望,各方應(yīng)努力使本國的數(shù)據(jù)監(jiān)管法律框架與國際普遍通行的規(guī)范靠攏和兼容�,以提高監(jiān)管措施的可預(yù)見性與穩(wěn)定性,降低商業(yè)主體的合規(guī)成本��。
對RCEP統(tǒng)一跨境數(shù)據(jù)監(jiān)管規(guī)則的建議
其實(shí)����,RCEP締約方一直在進(jìn)行統(tǒng)一跨境數(shù)據(jù)監(jiān)管的努力。
2013年�����,亞太經(jīng)合組織(APEC)通過了《跨境隱私規(guī)則體系》(CBPR)��。該體系是亞太地區(qū)第一個(gè)數(shù)據(jù)保護(hù)協(xié)同框架����,建立了一整套的執(zhí)行機(jī)制和措施����。
