(1)透明,即減少規(guī)則的不確定性���,以提高合規(guī)水平��;
(2)非歧視�����,即來自不同產地的貨物和服務都可享受實質性的公平待遇��,以促進競爭和創(chuàng)新�;
(3)避免過度監(jiān)管,即監(jiān)管措施應限制在合理必要的程度內�����,避免過度管制對貿易的損害�;
(4)統(tǒng)一,即各國的管制措施應協調一致���,避免監(jiān)管割裂�����;
(5)互認�,即承認他國的對等監(jiān)管措施����,減少國家標準的差異對貿易的妨礙;
(6)競爭��,即鼓勵市場主體的有效競爭��。
該報告還指出,數字貿易已深入到經濟的各個行業(yè)和各個環(huán)節(jié)�,經濟的數字化有利于國際貿易。報告經過計算發(fā)現���,兩國間的數據互聯程度每提高10%����,貨物貿易平均將增長近2%�,而且這種效應隨著貨物制造復雜程度的提高而越發(fā)明顯(例如,對電子產品貿易的拉動效應高于對農產品貿易的拉動效應)����。
因此����,在數字經濟蓬勃發(fā)展的時代,要促進國際貿易��,首先要保證數據的自由和有序流通����,相關國家應參照以上六項原則規(guī)劃和制定其數字政策。
筆者認為����,RCEP締約國應努力實現數據監(jiān)管制度的協調和統(tǒng)一���,以最大程度地發(fā)揮RCEP協定對區(qū)域經濟的推動作用。
RCEP締約國提升數據治理的努力
早在RCEP簽訂之前�,區(qū)域內各國大多數已經開展數據和個人信息保護的立法和監(jiān)管。例如:
日本
日本于2005年開始施行《個人信息保護法》��,并先后于2017年和2020年進行了大幅度修訂�����。
馬來西亞
馬來西亞于2010年出臺了《個人數據保護法令》���。
印度尼西亞
印度尼西亞在2012年就頒布了關于電子系統(tǒng)和交易的第82號法規(guī)�。
新加坡
新加坡于2012年頒布了《個人數據保護法》���,并于2018年通過了《網絡安全法》����。
越南
越南于2019開始施行《網絡安全法》���。
中國
中國也在積極行動���。2021年8月20日�,中國《個人數據保護法》落地�,將于2021年11月1日生效。
結合之前出臺的《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》以及一系列數據安全技術標準和規(guī)范��,中國已初步建立起關于數據治理的完整制度體系����。
在相關立法的基礎上,各國政府也在加大執(zhí)法力度�����,對違規(guī)事件的處罰越來越頻繁����。
新加坡
2019年1月15日���,新加坡個人數據保護委員會(PDPC)對新加坡健康服務私人有限公司和綜合健康信息系統(tǒng)公司分別處以罰款25萬新加坡元和75萬新加坡元�,理由是該等機構未能采取適當的保護措施���,導致150萬患者的個人信息被盜����。
澳大利亞
2020年3月9日,澳大利亞信息專員辦公室在聯邦法院對臉書(Facebook)提起訴訟�����,稱被告未經同意就泄露了30多萬澳大利亞用戶的個人信息����。
中國
自2019年12月至2021年7月,中國工業(yè)和信息化部已累計組織16批次集中抽測�����,檢查139萬款APP�,通報1407款違規(guī)APP,下架377款拒不整改的APP���。其中�����,違反個人信息保護規(guī)定是主要的違規(guī)情形���。
RCEP締約國加緊數據保護�����,一方面是基于對數據價值的認識提升���,意在保護國民的基本權益和國家的戰(zhàn)略安全免遭外部的侵害;另一方面�����,歐盟主導的較為激進的數據保護模式也對各國形成了壓力�。
歐盟GDPR的管轄范圍包括全球范圍內有可能處理歐盟自然人公民的個人數據的任何主體,違法者將遭受高額的罰款�����。
GDPR還嚴格限制向歐盟以外的第三地輸出數據��,規(guī)定數據輸出的目的國家必須獲得歐盟委員會的“充分性認定”����,否則輸出方必須證明已經采取了適當的措施確保數據可以得到適當的保護���。
歐盟是RCEP締約國的最重要貿易伙伴之一����。為了避免本國企業(yè)遭受歐盟的嚴苛處罰,并且確保本國企業(yè)與歐盟之間的正常數據交流���,RCEP締約方也不得不向GDPR看齊�����,努力提升本國的數據保護水平�,爭取獲得歐盟的充分性認定�����。網絡安全和數據保護水平�����,已日益成為國家乃至地區(qū)競爭力的重要構成��。
RCEP締約國的數據保護規(guī)則差異較大
目前����,RCEP締約國的數據保護規(guī)則基本上都遵循歐美所倡導的“合法、正當���、必要����、主體許可、最小化”等原則�����,嚴格限制對數據的收集����、轉移及利用。
然而�����,各國的數據保護規(guī)則在相似的外表下仍存在較大的差異�,如果再配合執(zhí)法上的自由裁量權,極容易形成新型的貿易壁壘�����。
首先�����,RCEP締約方的網絡安全和個人信息保護水平發(fā)展不一����。
既有擁有全球領先網絡安全監(jiān)管的新加坡,也有老撾����、柬埔寨、緬甸等尚在進行網絡安全基礎建設的國家(這三個國家都還沒有專門的個人數據保護法律)�,對于數據的跨境流通難免出現監(jiān)管真空和脫節(jié)。
例如�����,除了中國���、日本�����、新加坡��、澳大利亞等國外�����,其他締約國鮮有對違反個人信息保護的情形展開調查或處罰的先例����。
其次,在現有制度框架下�����,各國關于數據監(jiān)管的對象也未形成統(tǒng)一認識����。
例如,關于個人信息�,大部分國家將其定義為可導致對自然人的身份進行識別的信息,但對這類信息的具體范圍����,一些國家僅將其限定于姓名、生日�、性別、住址���、電子郵箱等基本信息����;而另一些國家,則將監(jiān)管信息擴大至銀行賬戶�����、網絡名稱����、虛擬貨幣賬號等信息��,甚至某些本身不能識別自然人但與其他信息結合則可識別特定自然人的信息也被囊括在內���,如IP地址���、個人上網記錄、個人位置信息等���。
在這方面���,澳大利亞就將關于個人的任何信息和評論意見都納入保護的范圍,無論這些信息和意見是否真實和準確���。上述監(jiān)管對象的不統(tǒng)一���,給企業(yè)的跨境運營造成很大的不確定性��。
再次����,各國對數據跨境傳輸限制的不統(tǒng)一也容易產生數據本地化壁壘��。
雖然大多數國家原則上規(guī)定數據主體的同意是跨境傳輸的必要條件之一�,但同時又對某些特殊信息設置額外的限制條件。
例如�,泰國對于“重大戰(zhàn)略性信息”的限制,越南對于“國家秘密”的限制���,新加坡對于金融信息的限制����,等等����。
最后,對于數據本地化存儲的要求將對企業(yè)的投資安排有直接影響�����。
例如,印度尼西亞�、越南、澳大利亞���、中國都對數據有本地化存儲的強制要求���,也就是說企業(yè)必須在運營所在國設置存儲在該國產生的數據的服務器����。這種要求導致了東南亞的數據中心(IDC)投資的快速增長。
據預測���,東南亞IDC市場投資在2021年至2026年期間�,將以8%的復合年增長率增長�,阿里云、騰訊云��、UCloud等國內云計算服務商都在加快東南亞布局����,新加坡�、印尼���、馬來西亞��、菲律賓�、印度等地都有中資數據中心的存在���。
數據保護規(guī)則的不統(tǒng)一�,相當于在各國之間樹立了高矮疏密不一的數據籬笆��,直接妨礙數據以及與其相關的資本和人員的互通��。
數據保護規(guī)則的不統(tǒng)一還將對跨國供應鏈產生深遠的影響����。
跨國企業(yè)為了節(jié)省合規(guī)成本,可能會放棄一些位于實施嚴格數據保護的國家的供應商�,而選用數據保護較寬松的國家的供應商,甚至將運營管理的中心轉移到數據監(jiān)管較弱的國家����。
此外,不少中小型企業(yè)可能會由于無法承擔數據保護合規(guī)的高昂成本而逐漸被排除在區(qū)域乃至全球供應鏈之外�����,失去發(fā)展的機會;對數據有高度依賴的科技創(chuàng)新企業(yè)也可能減少在數據合規(guī)成本較高的國家的投資�。
瑞典官方機構國民貿易局(The National Board of Trade)于2014年發(fā)表的企業(yè)調查報告《無傳輸即無貿易》(No Transfer, No Trade),通過眾多真實案例論證了歐盟區(qū)內割裂的數據保護制度對跨境貿易和投資的負面影響����。
GDPR在很大程度上正是對歐盟企業(yè)關于協調區(qū)域內各自為政的數據監(jiān)管制度強烈呼聲的回應。
RCEP為亞太地區(qū)數據保護建立了統(tǒng)一原則
在RCEP簽訂前����,世界主要經濟體已經開始了協調數據監(jiān)管規(guī)則的嘗試���。
2019年1月���,包括美國、歐盟����、日本、新加坡��、澳大利亞�、中國���、巴西、俄羅斯在內的76個WTO成員共同簽署了《關于電子商務的聯合聲明》��,確認將在WTO現有協定框架基礎上�����,開展電子商務諸邊談判���。
與此同時�,在WTO多邊框架之外的超大型自由貿易協定�,如《全面進步的跨太平洋伙伴關系協定》(CPTPP)、《日本-歐盟經濟伙伴關系協定》(EPA)�����、《美墨加貿易協定》(USMCA)等�,大都包含了相關“數字貿易或電子商務”章節(jié),涉及“數據自由流動”及“禁止數據本地化”等內容����,進行了跨國數據監(jiān)管一體化的嘗試。
RCEP作為一個現代��、全面、高水平和互惠的貿易協定��,在數據保護的國際化方面付出了很大的努力��,試圖建立一套不同于歐盟或美國體制的國際數字治理新模式���。
首先�,RCEP肯定數據治理的必要性�。
其第十二章“電子商務”第八條第一款規(guī)定,“每一締約方應當采取或維持保證電子商務用戶個人信息受到保護的法律框架”�。
同時,RCEP也關注過度監(jiān)管對數據流動的妨礙����。
其第十二章第十條第二款規(guī)定����,“每一締約方應當努力避免對電子交易施加任何不必要的監(jiān)管負擔”。第十二章第十五條第二款規(guī)定����,“任何締約方不得阻止其他締約方的投資者為進行商業(yè)行為而通過電子方式跨境傳輸信息”。
RCEP也試圖減少數據存儲本地化對跨國投資者的負擔�����。
其第十二章第十四條第二款規(guī)定,“締約方不得將要求涵蓋的人使用該締約方領土內的計算設施或者將設施置于該締約方領土之內���,作為在該締約方領土內進行商業(yè)行為的條件”����。
關于鼓勵數據跨境流動和避免數據存儲本地化的規(guī)定����,被視為RCEP在促進數字貿易方面的重大創(chuàng)舉。澳大利亞政府在簽約當天發(fā)表的評論稱�,RCEP的這些條款是很多締約方首次訂立的類似條款,是對包括澳大利亞-新西蘭自由貿易協定���、馬來西亞-澳大利亞自由貿易協定���、東盟自由貿易協定等在內的諸多貿易協定關于電子商務問題的成果的升級。
為了提高數據監(jiān)管的透明度��,RCEP第十二章第八條第四款規(guī)定�����,“締約方應當鼓勵法人通過互聯網等方式公布其與個人信息保護相關的政策和程序”;其第十二條則進一步要求每一締約方盡快公布與電子商務有關的監(jiān)管措施����。
在數據監(jiān)管規(guī)則的協調和統(tǒng)一方面,RCEP建議締約方借鑒現有的國際規(guī)范�。
其第十二章第八條第二款規(guī)定,“在制定保護個人信息的法律框架時����,每一締約方應當考慮相關國際組織或機構的國際標準、原則�����、指南和準則”����;第十條第一款規(guī)定,“每一締約方應當在考慮《聯合國國際貿易法委員會電子商務示范法(1996 年)》《聯合國國際合同使用電子通信公約(2005年)》����,或其他適用于電子商務的國際公約和示范法基礎上���,采取或維持監(jiān)管電子交易的法律框架”�。
換言之,締約國期望����,各方應努力使本國的數據監(jiān)管法律框架與國際普遍通行的規(guī)范靠攏和兼容,以提高監(jiān)管措施的可預見性與穩(wěn)定性���,降低商業(yè)主體的合規(guī)成本���。
對RCEP統(tǒng)一跨境數據監(jiān)管規(guī)則的建議
其實,RCEP締約方一直在進行統(tǒng)一跨境數據監(jiān)管的努力���。
2013年��,亞太經合組織(APEC)通過了《跨境隱私規(guī)則體系》(CBPR)�。該體系是亞太地區(qū)第一個數據保護協同框架����,建立了一整套的執(zhí)行機制和措施。
