(1)透明,即減少規(guī)則的不確定性�����,以提高合規(guī)水平;
(2)非歧視�����,即來自不同產(chǎn)地的貨物和服務(wù)都可享受實質(zhì)性的公平待遇�����,以促進(jìn)競爭和創(chuàng)新����;
(3)避免過度監(jiān)管,即監(jiān)管措施應(yīng)限制在合理必要的程度內(nèi)���,避免過度管制對貿(mào)易的損害��;
(4)統(tǒng)一����,即各國的管制措施應(yīng)協(xié)調(diào)一致�����,避免監(jiān)管割裂;
(5)互認(rèn)�����,即承認(rèn)他國的對等監(jiān)管措施��,減少國家標(biāo)準(zhǔn)的差異對貿(mào)易的妨礙�;
(6)競爭,即鼓勵市場主體的有效競爭��。
該報告還指出�����,數(shù)字貿(mào)易已深入到經(jīng)濟(jì)的各個行業(yè)和各個環(huán)節(jié)�����,經(jīng)濟(jì)的數(shù)字化有利于國際貿(mào)易����。報告經(jīng)過計算發(fā)現(xiàn)����,兩國間的數(shù)據(jù)互聯(lián)程度每提高10%����,貨物貿(mào)易平均將增長近2%��,而且這種效應(yīng)隨著貨物制造復(fù)雜程度的提高而越發(fā)明顯(例如��,對電子產(chǎn)品貿(mào)易的拉動效應(yīng)高于對農(nóng)產(chǎn)品貿(mào)易的拉動效應(yīng))�����。
因此���,在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的時代��,要促進(jìn)國際貿(mào)易���,首先要保證數(shù)據(jù)的自由和有序流通,相關(guān)國家應(yīng)參照以上六項原則規(guī)劃和制定其數(shù)字政策���。
筆者認(rèn)為�,RCEP締約國應(yīng)努力實現(xiàn)數(shù)據(jù)監(jiān)管制度的協(xié)調(diào)和統(tǒng)一�����,以最大程度地發(fā)揮RCEP協(xié)定對區(qū)域經(jīng)濟(jì)的推動作用。
RCEP締約國提升數(shù)據(jù)治理的努力
早在RCEP簽訂之前�����,區(qū)域內(nèi)各國大多數(shù)已經(jīng)開展數(shù)據(jù)和個人信息保護(hù)的立法和監(jiān)管�。例如:
日本
日本于2005年開始施行《個人信息保護(hù)法》,并先后于2017年和2020年進(jìn)行了大幅度修訂���。
馬來西亞
馬來西亞于2010年出臺了《個人數(shù)據(jù)保護(hù)法令》��。
印度尼西亞
印度尼西亞在2012年就頒布了關(guān)于電子系統(tǒng)和交易的第82號法規(guī)��。
新加坡
新加坡于2012年頒布了《個人數(shù)據(jù)保護(hù)法》�,并于2018年通過了《網(wǎng)絡(luò)安全法》�。
越南
越南于2019開始施行《網(wǎng)絡(luò)安全法》���。
中國
中國也在積極行動。2021年8月20日����,中國《個人數(shù)據(jù)保護(hù)法》落地,將于2021年11月1日生效。
結(jié)合之前出臺的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》以及一系列數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)和規(guī)范�����,中國已初步建立起關(guān)于數(shù)據(jù)治理的完整制度體系���。
在相關(guān)立法的基礎(chǔ)上���,各國政府也在加大執(zhí)法力度,對違規(guī)事件的處罰越來越頻繁���。
新加坡
2019年1月15日,新加坡個人數(shù)據(jù)保護(hù)委員會(PDPC)對新加坡健康服務(wù)私人有限公司和綜合健康信息系統(tǒng)公司分別處以罰款25萬新加坡元和75萬新加坡元��,理由是該等機構(gòu)未能采取適當(dāng)?shù)谋Wo(hù)措施,導(dǎo)致150萬患者的個人信息被盜����。
澳大利亞
2020年3月9日��,澳大利亞信息專員辦公室在聯(lián)邦法院對臉書(Facebook)提起訴訟��,稱被告未經(jīng)同意就泄露了30多萬澳大利亞用戶的個人信息���。
中國
自2019年12月至2021年7月,中國工業(yè)和信息化部已累計組織16批次集中抽測�����,檢查139萬款A(yù)PP��,通報1407款違規(guī)APP����,下架377款拒不整改的APP。其中�����,違反個人信息保護(hù)規(guī)定是主要的違規(guī)情形���。
RCEP締約國加緊數(shù)據(jù)保護(hù),一方面是基于對數(shù)據(jù)價值的認(rèn)識提升�����,意在保護(hù)國民的基本權(quán)益和國家的戰(zhàn)略安全免遭外部的侵害���;另一方面���,歐盟主導(dǎo)的較為激進(jìn)的數(shù)據(jù)保護(hù)模式也對各國形成了壓力。
歐盟GDPR的管轄范圍包括全球范圍內(nèi)有可能處理歐盟自然人公民的個人數(shù)據(jù)的任何主體�,違法者將遭受高額的罰款。
GDPR還嚴(yán)格限制向歐盟以外的第三地輸出數(shù)據(jù)����,規(guī)定數(shù)據(jù)輸出的目的國家必須獲得歐盟委員會的“充分性認(rèn)定”,否則輸出方必須證明已經(jīng)采取了適當(dāng)?shù)拇胧┐_保數(shù)據(jù)可以得到適當(dāng)?shù)谋Wo(hù)���。
歐盟是RCEP締約國的最重要貿(mào)易伙伴之一��。為了避免本國企業(yè)遭受歐盟的嚴(yán)苛處罰��,并且確保本國企業(yè)與歐盟之間的正常數(shù)據(jù)交流��,RCEP締約方也不得不向GDPR看齊���,努力提升本國的數(shù)據(jù)保護(hù)水平,爭取獲得歐盟的充分性認(rèn)定���。網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)水平�,已日益成為國家乃至地區(qū)競爭力的重要構(gòu)成。
RCEP締約國的數(shù)據(jù)保護(hù)規(guī)則差異較大
目前�����,RCEP締約國的數(shù)據(jù)保護(hù)規(guī)則基本上都遵循歐美所倡導(dǎo)的“合法�、正當(dāng)、必要�、主體許可、最小化”等原則���,嚴(yán)格限制對數(shù)據(jù)的收集����、轉(zhuǎn)移及利用��。
然而�,各國的數(shù)據(jù)保護(hù)規(guī)則在相似的外表下仍存在較大的差異,如果再配合執(zhí)法上的自由裁量權(quán)�,極容易形成新型的貿(mào)易壁壘。
首先�����,RCEP締約方的網(wǎng)絡(luò)安全和個人信息保護(hù)水平發(fā)展不一���。
既有擁有全球領(lǐng)先網(wǎng)絡(luò)安全監(jiān)管的新加坡�����,也有老撾���、柬埔寨、緬甸等尚在進(jìn)行網(wǎng)絡(luò)安全基礎(chǔ)建設(shè)的國家(這三個國家都還沒有專門的個人數(shù)據(jù)保護(hù)法律)��,對于數(shù)據(jù)的跨境流通難免出現(xiàn)監(jiān)管真空和脫節(jié)�����。
例如����,除了中國、日本�����、新加坡�、澳大利亞等國外��,其他締約國鮮有對違反個人信息保護(hù)的情形展開調(diào)查或處罰的先例�。
其次�����,在現(xiàn)有制度框架下�����,各國關(guān)于數(shù)據(jù)監(jiān)管的對象也未形成統(tǒng)一認(rèn)識���。
例如�����,關(guān)于個人信息�����,大部分國家將其定義為可導(dǎo)致對自然人的身份進(jìn)行識別的信息�����,但對這類信息的具體范圍�,一些國家僅將其限定于姓名、生日�、性別�����、住址�����、電子郵箱等基本信息���;而另一些國家���,則將監(jiān)管信息擴大至銀行賬戶、網(wǎng)絡(luò)名稱�����、虛擬貨幣賬號等信息���,甚至某些本身不能識別自然人但與其他信息結(jié)合則可識別特定自然人的信息也被囊括在內(nèi)��,如IP地址���、個人上網(wǎng)記錄�����、個人位置信息等�����。
在這方面��,澳大利亞就將關(guān)于個人的任何信息和評論意見都納入保護(hù)的范圍���,無論這些信息和意見是否真實和準(zhǔn)確。上述監(jiān)管對象的不統(tǒng)一���,給企業(yè)的跨境運營造成很大的不確定性��。
再次��,各國對數(shù)據(jù)跨境傳輸限制的不統(tǒng)一也容易產(chǎn)生數(shù)據(jù)本地化壁壘�。
雖然大多數(shù)國家原則上規(guī)定數(shù)據(jù)主體的同意是跨境傳輸?shù)谋匾獥l件之一���,但同時又對某些特殊信息設(shè)置額外的限制條件���。
例如����,泰國對于“重大戰(zhàn)略性信息”的限制�����,越南對于“國家秘密”的限制�,新加坡對于金融信息的限制�,等等。
最后��,對于數(shù)據(jù)本地化存儲的要求將對企業(yè)的投資安排有直接影響����。
例如,印度尼西亞�、越南、澳大利亞�、中國都對數(shù)據(jù)有本地化存儲的強制要求,也就是說企業(yè)必須在運營所在國設(shè)置存儲在該國產(chǎn)生的數(shù)據(jù)的服務(wù)器���。這種要求導(dǎo)致了東南亞的數(shù)據(jù)中心(IDC)投資的快速增長�。
據(jù)預(yù)測,東南亞IDC市場投資在2021年至2026年期間�,將以8%的復(fù)合年增長率增長,阿里云�����、騰訊云���、UCloud等國內(nèi)云計算服務(wù)商都在加快東南亞布局���,新加坡、印尼��、馬來西亞��、菲律賓��、印度等地都有中資數(shù)據(jù)中心的存在��。
數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一����,相當(dāng)于在各國之間樹立了高矮疏密不一的數(shù)據(jù)籬笆�,直接妨礙數(shù)據(jù)以及與其相關(guān)的資本和人員的互通���。
數(shù)據(jù)保護(hù)規(guī)則的不統(tǒng)一還將對跨國供應(yīng)鏈產(chǎn)生深遠(yuǎn)的影響��。
跨國企業(yè)為了節(jié)省合規(guī)成本���,可能會放棄一些位于實施嚴(yán)格數(shù)據(jù)保護(hù)的國家的供應(yīng)商,而選用數(shù)據(jù)保護(hù)較寬松的國家的供應(yīng)商�,甚至將運營管理的中心轉(zhuǎn)移到數(shù)據(jù)監(jiān)管較弱的國家。
此外�����,不少中小型企業(yè)可能會由于無法承擔(dān)數(shù)據(jù)保護(hù)合規(guī)的高昂成本而逐漸被排除在區(qū)域乃至全球供應(yīng)鏈之外�����,失去發(fā)展的機會���;對數(shù)據(jù)有高度依賴的科技創(chuàng)新企業(yè)也可能減少在數(shù)據(jù)合規(guī)成本較高的國家的投資。
瑞典官方機構(gòu)國民貿(mào)易局(The National Board of Trade)于2014年發(fā)表的企業(yè)調(diào)查報告《無傳輸即無貿(mào)易》(No Transfer, No Trade)�,通過眾多真實案例論證了歐盟區(qū)內(nèi)割裂的數(shù)據(jù)保護(hù)制度對跨境貿(mào)易和投資的負(fù)面影響。
GDPR在很大程度上正是對歐盟企業(yè)關(guān)于協(xié)調(diào)區(qū)域內(nèi)各自為政的數(shù)據(jù)監(jiān)管制度強烈呼聲的回應(yīng)����。
RCEP為亞太地區(qū)數(shù)據(jù)保護(hù)建立了統(tǒng)一原則
在RCEP簽訂前���,世界主要經(jīng)濟(jì)體已經(jīng)開始了協(xié)調(diào)數(shù)據(jù)監(jiān)管規(guī)則的嘗試。
2019年1月����,包括美國、歐盟�、日本、新加坡�����、澳大利亞�、中國、巴西�����、俄羅斯在內(nèi)的76個WTO成員共同簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》�,確認(rèn)將在WTO現(xiàn)有協(xié)定框架基礎(chǔ)上,開展電子商務(wù)諸邊談判��。
與此同時�����,在WTO多邊框架之外的超大型自由貿(mào)易協(xié)定,如《全面進(jìn)步的跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)�����、《日本-歐盟經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(EPA)����、《美墨加貿(mào)易協(xié)定》(USMCA)等,大都包含了相關(guān)“數(shù)字貿(mào)易或電子商務(wù)”章節(jié)�,涉及“數(shù)據(jù)自由流動”及“禁止數(shù)據(jù)本地化”等內(nèi)容,進(jìn)行了跨國數(shù)據(jù)監(jiān)管一體化的嘗試�。
RCEP作為一個現(xiàn)代、全面�����、高水平和互惠的貿(mào)易協(xié)定����,在數(shù)據(jù)保護(hù)的國際化方面付出了很大的努力����,試圖建立一套不同于歐盟或美國體制的國際數(shù)字治理新模式��。
首先����,RCEP肯定數(shù)據(jù)治理的必要性����。
其第十二章“電子商務(wù)”第八條第一款規(guī)定,“每一締約方應(yīng)當(dāng)采取或維持保證電子商務(wù)用戶個人信息受到保護(hù)的法律框架”����。
同時,RCEP也關(guān)注過度監(jiān)管對數(shù)據(jù)流動的妨礙�����。
其第十二章第十條第二款規(guī)定���,“每一締約方應(yīng)當(dāng)努力避免對電子交易施加任何不必要的監(jiān)管負(fù)擔(dān)”�����。第十二章第十五條第二款規(guī)定�,“任何締約方不得阻止其他締約方的投資者為進(jìn)行商業(yè)行為而通過電子方式跨境傳輸信息”。
RCEP也試圖減少數(shù)據(jù)存儲本地化對跨國投資者的負(fù)擔(dān)���。
其第十二章第十四條第二款規(guī)定�����,“締約方不得將要求涵蓋的人使用該締約方領(lǐng)土內(nèi)的計算設(shè)施或者將設(shè)施置于該締約方領(lǐng)土之內(nèi)�����,作為在該締約方領(lǐng)土內(nèi)進(jìn)行商業(yè)行為的條件”�����。
關(guān)于鼓勵數(shù)據(jù)跨境流動和避免數(shù)據(jù)存儲本地化的規(guī)定�����,被視為RCEP在促進(jìn)數(shù)字貿(mào)易方面的重大創(chuàng)舉�����。澳大利亞政府在簽約當(dāng)天發(fā)表的評論稱,RCEP的這些條款是很多締約方首次訂立的類似條款��,是對包括澳大利亞-新西蘭自由貿(mào)易協(xié)定����、馬來西亞-澳大利亞自由貿(mào)易協(xié)定���、東盟自由貿(mào)易協(xié)定等在內(nèi)的諸多貿(mào)易協(xié)定關(guān)于電子商務(wù)問題的成果的升級。
為了提高數(shù)據(jù)監(jiān)管的透明度�,RCEP第十二章第八條第四款規(guī)定,“締約方應(yīng)當(dāng)鼓勵法人通過互聯(lián)網(wǎng)等方式公布其與個人信息保護(hù)相關(guān)的政策和程序”���;其第十二條則進(jìn)一步要求每一締約方盡快公布與電子商務(wù)有關(guān)的監(jiān)管措施�。
在數(shù)據(jù)監(jiān)管規(guī)則的協(xié)調(diào)和統(tǒng)一方面�,RCEP建議締約方借鑒現(xiàn)有的國際規(guī)范。
其第十二章第八條第二款規(guī)定���,“在制定保護(hù)個人信息的法律框架時����,每一締約方應(yīng)當(dāng)考慮相關(guān)國際組織或機構(gòu)的國際標(biāo)準(zhǔn)��、原則�����、指南和準(zhǔn)則”;第十條第一款規(guī)定����,“每一締約方應(yīng)當(dāng)在考慮《聯(lián)合國國際貿(mào)易法委員會電子商務(wù)示范法(1996 年)》《聯(lián)合國國際合同使用電子通信公約(2005年)》,或其他適用于電子商務(wù)的國際公約和示范法基礎(chǔ)上����,采取或維持監(jiān)管電子交易的法律框架”。
換言之�����,締約國期望��,各方應(yīng)努力使本國的數(shù)據(jù)監(jiān)管法律框架與國際普遍通行的規(guī)范靠攏和兼容����,以提高監(jiān)管措施的可預(yù)見性與穩(wěn)定性,降低商業(yè)主體的合規(guī)成本����。
對RCEP統(tǒng)一跨境數(shù)據(jù)監(jiān)管規(guī)則的建議
其實,RCEP締約方一直在進(jìn)行統(tǒng)一跨境數(shù)據(jù)監(jiān)管的努力�����。
2013年�����,亞太經(jīng)合組織(APEC)通過了《跨境隱私規(guī)則體系》(CBPR)�����。該體系是亞太地區(qū)第一個數(shù)據(jù)保護(hù)協(xié)同框架����,建立了一整套的執(zhí)行機制和措施。
