(1)透明���,即減少規(guī)則的不確定性,以提高合規(guī)水平;
(2)非歧視,即來(lái)自不同產(chǎn)地的貨物和服務(wù)都可享受實(shí)質(zhì)性的公平待遇,以促進(jìn)競(jìng)爭(zhēng)和創(chuàng)新;
(3)避免過度監(jiān)管��,即監(jiān)管措施應(yīng)限制在合理必要的程度內(nèi),避免過度管制對(duì)貿(mào)易的損害�;
(4)統(tǒng)一,即各國(guó)的管制措施應(yīng)協(xié)調(diào)一致,避免監(jiān)管割裂;
(5)互認(rèn)���,即承認(rèn)他國(guó)的對(duì)等監(jiān)管措施�����,減少國(guó)家標(biāo)準(zhǔn)的差異對(duì)貿(mào)易的妨礙;
(6)競(jìng)爭(zhēng)�,即鼓勵(lì)市場(chǎng)主體的有效競(jìng)爭(zhēng)�����。
該報(bào)告還指出�,數(shù)字貿(mào)易已深入到經(jīng)濟(jì)的各個(gè)行業(yè)和各個(gè)環(huán)節(jié)�����,經(jīng)濟(jì)的數(shù)字化有利于國(guó)際貿(mào)易��。報(bào)告經(jīng)過計(jì)算發(fā)現(xiàn),兩國(guó)間的數(shù)據(jù)互聯(lián)程度每提高10%,貨物貿(mào)易平均將增長(zhǎng)近2%,而且這種效應(yīng)隨著貨物制造復(fù)雜程度的提高而越發(fā)明顯(例如,對(duì)電子產(chǎn)品貿(mào)易的拉動(dòng)效應(yīng)高于對(duì)農(nóng)產(chǎn)品貿(mào)易的拉動(dòng)效應(yīng))����。
因此,在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的時(shí)代��,要促進(jìn)國(guó)際貿(mào)易��,首先要保證數(shù)據(jù)的自由和有序流通,相關(guān)國(guó)家應(yīng)參照以上六項(xiàng)原則規(guī)劃和制定其數(shù)字政策��。
筆者認(rèn)為�����,RCEP締約國(guó)應(yīng)努力實(shí)現(xiàn)數(shù)據(jù)監(jiān)管制度的協(xié)調(diào)和統(tǒng)一,以最大程度地發(fā)揮RCEP協(xié)定對(duì)區(qū)域經(jīng)濟(jì)的推動(dòng)作用����。
RCEP締約國(guó)提升數(shù)據(jù)治理的努力
早在RCEP簽訂之前,區(qū)域內(nèi)各國(guó)大多數(shù)已經(jīng)開展數(shù)據(jù)和個(gè)人信息保護(hù)的立法和監(jiān)管��。例如:
日本
日本于2005年開始施行《個(gè)人信息保護(hù)法》�,并先后于2017年和2020年進(jìn)行了大幅度修訂�����。
馬來(lái)西亞
馬來(lái)西亞于2010年出臺(tái)了《個(gè)人數(shù)據(jù)保護(hù)法令》��。
印度尼西亞
印度尼西亞在2012年就頒布了關(guān)于電子系統(tǒng)和交易的第82號(hào)法規(guī)。
新加坡
新加坡于2012年頒布了《個(gè)人數(shù)據(jù)保護(hù)法》����,并于2018年通過了《網(wǎng)絡(luò)安全法》�����。
越南
越南于2019開始施行《網(wǎng)絡(luò)安全法》��。
中國(guó)
中國(guó)也在積極行動(dòng)���。2021年8月20日���,中國(guó)《個(gè)人數(shù)據(jù)保護(hù)法》落地����,將于2021年11月1日生效�����。
結(jié)合之前出臺(tái)的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及一系列數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)和規(guī)范��,中國(guó)已初步建立起關(guān)于數(shù)據(jù)治理的完整制度體系��。
在相關(guān)立法的基礎(chǔ)上��,各國(guó)政府也在加大執(zhí)法力度����,對(duì)違規(guī)事件的處罰越來(lái)越頻繁�。
新加坡
2019年1月15日�����,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)(PDPC)對(duì)新加坡健康服務(wù)私人有限公司和綜合健康信息系統(tǒng)公司分別處以罰款25萬(wàn)新加坡元和75萬(wàn)新加坡元�,理由是該等機(jī)構(gòu)未能采取適當(dāng)?shù)谋Wo(hù)措施�����,導(dǎo)致150萬(wàn)患者的個(gè)人信息被盜����。
澳大利亞
2020年3月9日,澳大利亞信息專員辦公室在聯(lián)邦法院對(duì)臉書(Facebook)提起訴訟����,稱被告未經(jīng)同意就泄露了30多萬(wàn)澳大利亞用戶的個(gè)人信息��。
中國(guó)
自2019年12月至2021年7月���,中國(guó)工業(yè)和信息化部已累計(jì)組織16批次集中抽測(cè)���,檢查139萬(wàn)款A(yù)PP�,通報(bào)1407款違規(guī)APP,下架377款拒不整改的APP��。其中��,違反個(gè)人信息保護(hù)規(guī)定是主要的違規(guī)情形����。
RCEP締約國(guó)加緊數(shù)據(jù)保護(hù),一方面是基于對(duì)數(shù)據(jù)價(jià)值的認(rèn)識(shí)提升,意在保護(hù)國(guó)民的基本權(quán)益和國(guó)家的戰(zhàn)略安全免遭外部的侵害�����;另一方面����,歐盟主導(dǎo)的較為激進(jìn)的數(shù)據(jù)保護(hù)模式也對(duì)各國(guó)形成了壓力����。
歐盟GDPR的管轄范圍包括全球范圍內(nèi)有可能處理歐盟自然人公民的個(gè)人數(shù)據(jù)的任何主體����,違法者將遭受高額的罰款��。
GDPR還嚴(yán)格限制向歐盟以外的第三地輸出數(shù)據(jù)�����,規(guī)定數(shù)據(jù)輸出的目的國(guó)家必須獲得歐盟委員會(huì)的“充分性認(rèn)定”�,否則輸出方必須證明已經(jīng)采取了適當(dāng)?shù)拇胧┐_保數(shù)據(jù)可以得到適當(dāng)?shù)谋Wo(hù)���。
歐盟是RCEP締約國(guó)的最重要貿(mào)易伙伴之一。為了避免本國(guó)企業(yè)遭受歐盟的嚴(yán)苛處罰�,并且確保本國(guó)企業(yè)與歐盟之間的正常數(shù)據(jù)交流�,RCEP締約方也不得不向GDPR看齊�,努力提升本國(guó)的數(shù)據(jù)保護(hù)水平,爭(zhēng)取獲得歐盟的充分性認(rèn)定。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)水平�����,已日益成為國(guó)家乃至地區(qū)競(jìng)爭(zhēng)力的重要構(gòu)成。
RCEP締約國(guó)的數(shù)據(jù)保護(hù)規(guī)則差異較大
目前���,RCEP締約國(guó)的數(shù)據(jù)保護(hù)規(guī)則基本上都遵循歐美所倡導(dǎo)的“合法���、正當(dāng)�、必要�、主體許可����、最小化”等原則�����,嚴(yán)格限制對(duì)數(shù)據(jù)的收集����、轉(zhuǎn)移及利用�����。
然而�����,各國(guó)的數(shù)據(jù)保護(hù)規(guī)則在相似的外表下仍存在較大的差異�����,如果再配合執(zhí)法上的自由裁量權(quán)�,極容易形成新型的貿(mào)易壁壘����。
首先���,RCEP締約方的網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)水平發(fā)展不一��。
既有擁有全球領(lǐng)先網(wǎng)絡(luò)安全監(jiān)管的新加坡����,也有老撾�����、柬埔寨���、緬甸等尚在進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)的國(guó)家(這三個(gè)國(guó)家都還沒有專門的個(gè)人數(shù)據(jù)保護(hù)法律),對(duì)于數(shù)據(jù)的跨境流通難免出現(xiàn)監(jiān)管真空和脫節(jié)。
例如�,除了中國(guó)、日本、新加坡、澳大利亞等國(guó)外,其他締約國(guó)鮮有對(duì)違反個(gè)人信息保護(hù)的情形展開調(diào)查或處罰的先例��。
其次���,在現(xiàn)有制度框架下�����,各國(guó)關(guān)于數(shù)據(jù)監(jiān)管的對(duì)象也未形成統(tǒng)一認(rèn)識(shí)����。
例如,關(guān)于個(gè)人信息�,大部分國(guó)家將其定義為可導(dǎo)致對(duì)自然人的身份進(jìn)行識(shí)別的信息���,但對(duì)這類信息的具體范圍,一些國(guó)家僅將其限定于姓名���、生日�����、性別、住址��、電子郵箱等基本信息����;而另一些國(guó)家��,則將監(jiān)管信息擴(kuò)大至銀行賬戶�����、網(wǎng)絡(luò)名稱、虛擬貨幣賬號(hào)等信息��,甚至某些本身不能識(shí)別自然人但與其他信息結(jié)合則可識(shí)別特定自然人的信息也被囊括在內(nèi),如IP地址、個(gè)人上網(wǎng)記錄���、個(gè)人位置信息等����。
在這方面����,澳大利亞就將關(guān)于個(gè)人的任何信息和評(píng)論意見都納入保護(hù)的范圍,無(wú)論這些信息和意見是否真實(shí)和準(zhǔn)確����。上述監(jiān)管對(duì)象的不統(tǒng)一�,給企業(yè)的跨境運(yùn)營(yíng)造成很大的不確定性。
再次����,各國(guó)對(duì)數(shù)據(jù)跨境傳輸限制的不統(tǒng)一也容易產(chǎn)生數(shù)據(jù)本地化壁壘�����。
雖然大多數(shù)國(guó)家原則上規(guī)定數(shù)據(jù)主體的同意是跨境傳輸?shù)谋匾獥l件之一���,但同時(shí)又對(duì)某些特殊信息設(shè)置額外的限制條件�。
例如,泰國(guó)對(duì)于“重大戰(zhàn)略性信息”的限制,越南對(duì)于“國(guó)家秘密”的限制����,新加坡對(duì)于金融信息的限制�,等等�。
最后�,對(duì)于數(shù)據(jù)本地化存儲(chǔ)的要求將對(duì)企業(yè)的投資安排有直接影響�。
例如��,印度尼西亞�����、越南�、澳大利亞、中國(guó)都對(duì)數(shù)據(jù)有本地化存儲(chǔ)的強(qiáng)制要求��,也就是說企業(yè)必須在運(yùn)營(yíng)所在國(guó)設(shè)置存儲(chǔ)在該國(guó)產(chǎn)生的數(shù)據(jù)的服務(wù)器。這種要求導(dǎo)致了東南亞的數(shù)據(jù)中心(IDC)投資的快速增長(zhǎng)。
據(jù)預(yù)測(cè)�����,東南亞IDC市場(chǎng)投資在2021年至2026年期間,將以8%的復(fù)合年增長(zhǎng)率增長(zhǎng),阿里云���、騰訊云����、UCloud等國(guó)內(nèi)云計(jì)算服務(wù)商都在加快東南亞布局�����,新加坡���、印尼����、馬來(lái)西亞、菲律賓���、印度等地都有中資數(shù)據(jù)中心的存在����。
數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一,相當(dāng)于在各國(guó)之間樹立了高矮疏密不一的數(shù)據(jù)籬笆,直接妨礙數(shù)據(jù)以及與其相關(guān)的資本和人員的互通��。
數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一還將對(duì)跨國(guó)供應(yīng)鏈產(chǎn)生深遠(yuǎn)的影響���。
跨國(guó)企業(yè)為了節(jié)省合規(guī)成本���,可能會(huì)放棄一些位于實(shí)施嚴(yán)格數(shù)據(jù)保護(hù)的國(guó)家的供應(yīng)商�����,而選用數(shù)據(jù)保護(hù)較寬松的國(guó)家的供應(yīng)商,甚至將運(yùn)營(yíng)管理的中心轉(zhuǎn)移到數(shù)據(jù)監(jiān)管較弱的國(guó)家�。
此外���,不少中小型企業(yè)可能會(huì)由于無(wú)法承擔(dān)數(shù)據(jù)保護(hù)合規(guī)的高昂成本而逐漸被排除在區(qū)域乃至全球供應(yīng)鏈之外����,失去發(fā)展的機(jī)會(huì);對(duì)數(shù)據(jù)有高度依賴的科技創(chuàng)新企業(yè)也可能減少在數(shù)據(jù)合規(guī)成本較高的國(guó)家的投資���。
瑞典官方機(jī)構(gòu)國(guó)民貿(mào)易局(The National Board of Trade)于2014年發(fā)表的企業(yè)調(diào)查報(bào)告《無(wú)傳輸即無(wú)貿(mào)易》(No Transfer, No Trade)���,通過眾多真實(shí)案例論證了歐盟區(qū)內(nèi)割裂的數(shù)據(jù)保護(hù)制度對(duì)跨境貿(mào)易和投資的負(fù)面影響。
GDPR在很大程度上正是對(duì)歐盟企業(yè)關(guān)于協(xié)調(diào)區(qū)域內(nèi)各自為政的數(shù)據(jù)監(jiān)管制度強(qiáng)烈呼聲的回應(yīng)��。
RCEP為亞太地區(qū)數(shù)據(jù)保護(hù)建立了統(tǒng)一原則
在RCEP簽訂前�����,世界主要經(jīng)濟(jì)體已經(jīng)開始了協(xié)調(diào)數(shù)據(jù)監(jiān)管規(guī)則的嘗試。
2019年1月����,包括美國(guó)���、歐盟、日本����、新加坡���、澳大利亞��、中國(guó)�����、巴西���、俄羅斯在內(nèi)的76個(gè)WTO成員共同簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》�����,確認(rèn)將在WTO現(xiàn)有協(xié)定框架基礎(chǔ)上���,開展電子商務(wù)諸邊談判��。
與此同時(shí),在WTO多邊框架之外的超大型自由貿(mào)易協(xié)定,如《全面進(jìn)步的跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)�����、《日本-歐盟經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(EPA)、《美墨加貿(mào)易協(xié)定》(USMCA)等,大都包含了相關(guān)“數(shù)字貿(mào)易或電子商務(wù)”章節(jié)�,涉及“數(shù)據(jù)自由流動(dòng)”及“禁止數(shù)據(jù)本地化”等內(nèi)容����,進(jìn)行了跨國(guó)數(shù)據(jù)監(jiān)管一體化的嘗試���。
RCEP作為一個(gè)現(xiàn)代、全面���、高水平和互惠的貿(mào)易協(xié)定����,在數(shù)據(jù)保護(hù)的國(guó)際化方面付出了很大的努力����,試圖建立一套不同于歐盟或美國(guó)體制的國(guó)際數(shù)字治理新模式�。
首先,RCEP肯定數(shù)據(jù)治理的必要性��。
其第十二章“電子商務(wù)”第八條第一款規(guī)定����,“每一締約方應(yīng)當(dāng)采取或維持保證電子商務(wù)用戶個(gè)人信息受到保護(hù)的法律框架”。
同時(shí)�����,RCEP也關(guān)注過度監(jiān)管對(duì)數(shù)據(jù)流動(dòng)的妨礙。
其第十二章第十條第二款規(guī)定�����,“每一締約方應(yīng)當(dāng)努力避免對(duì)電子交易施加任何不必要的監(jiān)管負(fù)擔(dān)”���。第十二章第十五條第二款規(guī)定����,“任何締約方不得阻止其他締約方的投資者為進(jìn)行商業(yè)行為而通過電子方式跨境傳輸信息”�。
RCEP也試圖減少數(shù)據(jù)存儲(chǔ)本地化對(duì)跨國(guó)投資者的負(fù)擔(dān)。
其第十二章第十四條第二款規(guī)定�,“締約方不得將要求涵蓋的人使用該締約方領(lǐng)土內(nèi)的計(jì)算設(shè)施或者將設(shè)施置于該締約方領(lǐng)土之內(nèi),作為在該締約方領(lǐng)土內(nèi)進(jìn)行商業(yè)行為的條件”��。
關(guān)于鼓勵(lì)數(shù)據(jù)跨境流動(dòng)和避免數(shù)據(jù)存儲(chǔ)本地化的規(guī)定��,被視為RCEP在促進(jìn)數(shù)字貿(mào)易方面的重大創(chuàng)舉����。澳大利亞政府在簽約當(dāng)天發(fā)表的評(píng)論稱,RCEP的這些條款是很多締約方首次訂立的類似條款�,是對(duì)包括澳大利亞-新西蘭自由貿(mào)易協(xié)定、馬來(lái)西亞-澳大利亞自由貿(mào)易協(xié)定�����、東盟自由貿(mào)易協(xié)定等在內(nèi)的諸多貿(mào)易協(xié)定關(guān)于電子商務(wù)問題的成果的升級(jí)。
為了提高數(shù)據(jù)監(jiān)管的透明度�����,RCEP第十二章第八條第四款規(guī)定����,“締約方應(yīng)當(dāng)鼓勵(lì)法人通過互聯(lián)網(wǎng)等方式公布其與個(gè)人信息保護(hù)相關(guān)的政策和程序”���;其第十二條則進(jìn)一步要求每一締約方盡快公布與電子商務(wù)有關(guān)的監(jiān)管措施��。
在數(shù)據(jù)監(jiān)管規(guī)則的協(xié)調(diào)和統(tǒng)一方面,RCEP建議締約方借鑒現(xiàn)有的國(guó)際規(guī)范�。
其第十二章第八條第二款規(guī)定,“在制定保護(hù)個(gè)人信息的法律框架時(shí)����,每一締約方應(yīng)當(dāng)考慮相關(guān)國(guó)際組織或機(jī)構(gòu)的國(guó)際標(biāo)準(zhǔn)��、原則�����、指南和準(zhǔn)則”;第十條第一款規(guī)定,“每一締約方應(yīng)當(dāng)在考慮《聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)電子商務(wù)示范法(1996 年)》《聯(lián)合國(guó)國(guó)際合同使用電子通信公約(2005年)》����,或其他適用于電子商務(wù)的國(guó)際公約和示范法基礎(chǔ)上,采取或維持監(jiān)管電子交易的法律框架”����。
換言之,締約國(guó)期望�����,各方應(yīng)努力使本國(guó)的數(shù)據(jù)監(jiān)管法律框架與國(guó)際普遍通行的規(guī)范靠攏和兼容��,以提高監(jiān)管措施的可預(yù)見性與穩(wěn)定性,降低商業(yè)主體的合規(guī)成本��。
對(duì)RCEP統(tǒng)一跨境數(shù)據(jù)監(jiān)管規(guī)則的建議
其實(shí)��,RCEP締約方一直在進(jìn)行統(tǒng)一跨境數(shù)據(jù)監(jiān)管的努力����。
2013年���,亞太經(jīng)合組織(APEC)通過了《跨境隱私規(guī)則體系》(CBPR)�。該體系是亞太地區(qū)第一個(gè)數(shù)據(jù)保護(hù)協(xié)同框架����,建立了一整套的執(zhí)行機(jī)制和措施。
