最优秀的中国互联网法律律师事务所之一

日本的数据跨境传输规则

宫下弘教授   2018-02-01 17:20
1.数据自由流动与个人数据保护
联合国教科文组织(UNESCO)宪章(第1(2)(a)条)中指出的“运用文字与图像促进思想之自由交流”这一观念,正是互联网时代的基石。个人数据的自由流动不仅可以促进人们的自我实现,也可以促进经济交易和跨境贸易的繁荣。

另一方面,保护个人信息是互联网时代另一种基本价值。在数据自由流动和保护个人数据之间维持平衡,在跨境的领域越来越成为一个难题。
在欧盟,将于2018年5月生效的《通用数据保护条例》对于数据传输规定了严格的规则。亚太经济合作组织(APEC)对于跨境数据传输则通过权责一致机制(accountability mechanism)规定了不同的规制方式。跨境数据传输在各种“经济伙伴关系协定”中也成为最为重要的议题之一,例如日本和欧盟之间的协定。
笔者将在本文介绍日本关于跨境数据传输规则的最新发展,包括贸易协定的内容。[1] 中国与日本之间的贸易关系密切,其中涉及到海量的数据传输,因此很有必要对两国的制度都进行深入了解。
 
2. 数据传输规则概述
(1)数据传输新规则
日本2003年生效的《个人信息保护法》[2](以下简称“《保护法》”)于2015年9月进行了修改,并于2017年5月生效。新《保护法》包含了关于跨境数据传输的重要规定,还设立了“个人信息保护委员会”(以下简称“PIPC”)作为独立监管机构,制定向境外传输数据的规则和指南。

PIPC指南给出了《保护法》规定的“第三方”的具体实例;其中包括,母公司和其子公司、同系子公司或者同一集团下属各公司之间的个人数据交换;或者,特许经营组织的总部和特许经营者之间的个人数据交换。[3]
 
(2)同等保护水平
《保护法》第24条规定,一般情况下,处理个人信息的经营者在向位于外国的第三方提供个人数据时,需要事先获得数据主体对该提供行为的同意。一般情况下,数据主体的同意是数据传输的前提。

但是,更为重要的是,第24条规定,第三方不包括以下接收方:该接收方已经建立起必要的机制,使其能够持续采取个人信息处理方面的措施,这些措施与处理个人信息的经营者根据PIPC规则处理个人数据的行为具有同等水平。此外,如果PIPC认可某些国家在保护个人权益方面建立了与日本具有同等标准的个人信息保护制度,那么第24条也不适用于这些国家。因此必须注意,日本的《保护法》设定了个人同意的例外情形,适用于那些拥有同等保护水平的国家和确保遵守PIPC规则所设标准的接收方。
 
(3)第三国列表
PIPC公开征求意见后于2017年12月公布了具有与日本法律制度“同等”保护水平的第三国列表草案。根据条款草案,必须满足以下五个条件。

1.对于处理个人信息的经营者或其下属机构规定了同等的法律或其他规则;

2.设立了与“个人信息保护委员会”同等的独立监管机构以及配套机制,以实施必要和适当的监管;

3.基于对于个人信息利用和个人权益保护的共同理念而与日本达成合作;

4.在保护个人信息的同时,互相保障数据的顺畅流动,对个人数据的国际传输施加的限制不得超越保护个人信息的必要范围;

5.按照第24条规定确定的外国列表,能够为日本的产业创新、经济社会蓬勃发展以及实现国民的富裕生活做出贡献。
 
(4)适当与合理的方式
从日本向外国进行数据传输中的接收方如果能够确保采用“适当与合理的方式”,这种数据传输即可被允许。根据PIPC指南,是否构成“适当与合理的方式”应当根据个案的判断来进行评估。PIPC指南给出了一些实例,例如其中一种情况是,数据发送方和接收方之间通过签订合同、认证、签署谅解备忘录等方式,日本境内的经营者将个人数据的处理委托给外国的经营者;还有一种情况是,个人数据是在同一个集团的内部公司间根据内部规则、隐私政策等规定进行传输,这些规则和政策同时约束数据发送方和接收方。

值得注意的是,PIPC指南要求采取的以上措施应当具有“国际一致性”。判断国际一致性时,需要考虑《经济合作与发展组织(OECD)隐私指南》、《APEC隐私框架》等国际组织制定的规则。指南明确提到了根据《APEC跨境隐私规则》制度获得认证的经营者。

还应当注意,《APEC跨境隐私规则》认可了JIPDEC作为执行权责一致规则的代理机构,到2017年12月为止,JIPDEC已经为超过15000家公司发放了认证(隐私标章PrivacyMark)。[4]这一认证机制将来有可能成为APEC区域数据传输都可以使用的一种工具。

 
(5 )日本-欧盟保护充足性谈判
根据2017年12月由PIPC专员和欧洲委员会专员发布的“共同声明”,双方将于2018年初就“保护充足性的同时确认”进行磋商。如果谈判进行顺利,日本将成为从欧盟获得保护充足性认可的首个亚洲国家。
 
3.贸易领域的数据传输
(1) “跨太平洋伙伴关系”/“全面且先进的跨太平洋伙伴关系协定”
“跨太平洋伙伴关系”(以下简称“TPP”)是11个国家于2016年2月签署的贸易协定,后来改名为“全面且先进的跨太平洋伙伴关系协定” (以下简称“CPTPP”)。

TPP的第14章“电子商务”规定了数据保护和数据传输的若干问题。[5] 例如, “每一缔约方应采取或维持保护电子商务用户个人信息的法律框架。”(14.8(2))总体而言,关于数据保护的条款标准不算很高,只要求规定个人救济和公司合规方面的内容。(14.8(4))

最具争议的问题之一是数据本地化。亦即,“缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或将设施置于其领土之内作为在其领土内从事经营的条件。”(14.13(2))根据这一条款,只要数据流动对数字贸易有益,TPP/CPTPP成员国即不得作出数据本地化的要求。在这一贸易协定中,可以认为数据传输规则的出发点更多考虑的是电子商务的需求,而不是人权问题。
 
(2)日本-欧盟经济伙伴关系协定
在开展TPP谈判的同时,日本政府于2017年12月与欧盟达成了“经济伙伴关系协定”(最终文本尚未公布)。[6]

多年以来,欧盟数据保护法律都是建立在人格尊严和基本权利的基础之上。正如欧洲委员会前司法专员的名句:“数据保护并非繁文缛节,亦非关税。它是一项基本权利,因此没有任何讨价还价的余地。” [7] 因此,“隐私不是可以用于交易的商品。” [8] 贸易谈判中涉及这一问题的例子是,由于欧盟监管框架中存在宽泛的例外情况,跨境服务贸易中的《服务贸易总协定》(GATS)所规定的例外情况与欧盟数据保护的基本权利性质可能存在冲突。

可以认为,以保护充分性谈判为后盾的“日本-欧盟经济伙伴关系协定”反映了双方在共同商业利益背景下的人权保护视角。
 
4. 数据跨境传输的理论基础
讨论跨境数据传输问题的理论基础是什么?数据传输的规则尚未尘埃落定,而是随着数据的全球流动而变动不居。

探讨数据传输规则时,应当将多个因素纳入考虑范围,具体包括:人权、商业贸易、安全措施,可能还包括政治意志。日本最近的贸易谈判可能也可以据此进行归类。TPP/CPTPP看起来对数据流动更为宽容,而“日欧经济伙伴关系协定”可能更多从基本权利角度来考虑数据保护。

日本的新《保护法》在2017年5月刚刚生效,目前还没有国家被认定为是具有同等保护水平的国家。现阶段,对数据传输问题得出任何定论都为时尚早。但是可以确信,中日两国存在紧密联系,我们应当互相深入了解彼此的数据传输法律框架,并就制度基础探寻并形成共识。



[1] 本文的这部分内容是基于:宮下紘「貿易協定と越境データ移転」(贸易协定与跨境数据流转),载比較法雑誌50巻3号(2016年), 但是内容也进行了实质性的修改,以符合本文作为博客文章形式的要求,并且包含了2017年12月为止的最新信息。

[2] 英文翻译可以从以下网址获取:https://www.ppc.go.jp/files/pdf/Act_on_the_Protection_of_Personal_Information.pdf

[3] PIPC关于向外国第三方进行数据传输的指南,https://www.ppc.go.jp/files/pdf/guidelines02.pdf (仅有日文版本)。

[4] “隐私标章”机制的信息可访问https://privacymark.org/

[5] 可以从下列网址获取英文翻译:https://www.mfat.govt.nz/assets/Trans-Pacific-Partnership/Text/14.-Electronic-Commerce-Chapter.pdf

[6] 双方共同声明可以从以下网址获取:http://www.mofa.go.jp/mofaj/files/000315382.pdf

[7] Viviane Reding, 新闻稿: Towards a more dynamic transatlantic area of growth and investment(“迈向跨大西洋地区更具活力的增长和投资”),2013年10月29日。

[8] 欧洲委员会:Fact Sheet: Key elements of the EU-Japan Economic Partnership Agreement(“实况报道:欧盟-日本经济伙伴关系协定的关键要素”), 2017年7月6日。