文 | 魏心舒
编辑 | 律小圈
前言数据流动是企业进行数字贸易的核心。RCEP 的签署将助力区域内将形成统一的数据保护与流动规则,促进电子商务将加速发展。对于跨境电商企业,RCEP新增的“通过电子方式跨境传输信息”和“数据设施和数据本地化”规则将有助于成员国数字企业的转型。在带来机遇的同时,新的数字贸易规则也对电商企业的数据合规能力建设提出了新要求。
01 RCEP中的跨境电商《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership, RCEP)由中国、日本、韩国、澳大利亚、新西兰与东盟(十国)共15个国家于 2020 年11月15日签署,于2022年1月1日生效,是目前全球涵盖范围最大的自由贸易协定。
如下图,东盟各成员国签署的协定纷繁复杂,成员国之间的多个自由贸易协定形成了面条碗效应(“noodle bowl” effect),多重规则导致交易和行政费用上升,提高了成本,抵消了这些贸易协定的好处。RCEP帮助东盟巩固了其中心地位,加强其在亚太贸易架构中的枢纽作用。
图片来源:亚洲发展银行[1]
RCEP有望刺激跨境电子商务。电子商务的兴起为中小企业提供了机会,从而加强中小电商企业在2022年及以后从疫情中复苏的能力。持续的COVID-19大流行,特别是Delta和Omicron的肆虐,更强化了电子商务在加强区域贸易中的重要性。
RCEP第12章的总体目标是促进电子商务,并为其创造一个支持性的法律、监管和政策环境。这契合了数字经济,电子商务,包括数字金融,电商平台和社交网络公司在RCEP成员国迅速增长的大背景。RCEP第12章涵盖了网络安全、个人隐私、国家安全等内容,赋予了中国在制定未来数字贸易规则方面的领导潜力。
为创造有利于电子商务的区域环境,RCEP成员国的主要义务如下:
具体而言,第12章在无纸化交易、电子认证和电子签名、计算机设施的位置、通过电子方式跨境传输信息、电子商务对话和争端解决等问题均做出具体约定。值得注意的是,中国作为RCEP签署国,在原则上首次做出了对数据设施和数据本地化的约束性承诺[2]。同时RCEP中的例外规则规定,缔约方可以采取保护其安全利益的措施阻止数据跨境流动和要求数据本地化,这与中国目前关于数据跨境流动与存储的理念趋同。
02 数据跨境流通的利益平衡与公共政策考量1. 自由传输与数据主权的博弈
对于贸易本身,跨境数据共享非常重要,尤其对于以互联网为基础的服务和电子商务,最近的云计算、人工智能(AI)和物联网(IoT)等第四次工业革命技术均依赖于获取存在于多个区域的高质量数据。
对于政府而言,数字技术的进步和数据收集的便利可能会危及消费者的隐私和安全,且数据具备经济资产的属性,因此,数据的跨境自由流动可能会危及国家的经济增长和主权。因此,一些政府对数据实施了控制,例如将数据本地化,禁止数据跨境流动或要求某些数据在本地存储。目前自由传输与数据主权的博弈主要围绕在个人权利、国家安全、与经济发展的框架内[3]。
个人权利:1980 年经合组织《关于保护隐私和个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data)规定,各成员国应取消限制个人数据流动的规定,但所转移的国家并无隐私权保护规定的不在此限。欧盟以《欧洲人权公约》为基础,逐渐将“个人数据受保护权”上升为基本人权, 2013 年,亚太经济合作组织《跨境隐私规则体系》同样将“个人信息的隐私与安全建立有意义的保护”作为数据跨境流动的前提。国家安全:不论是《服务贸易总协议》和《技术性贸易壁垒协定》,还是《全面与进步跨太平洋伙伴关系协定》(CPTPP),均秉承“国家安全例外”原则,各国不得接受或要求他国提供违反其国家重要安全利益之信息。经济发展:数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量,当前社会生产投入要素从最早的土地到劳动力到资本到技术到当前的数据,数据成为整个社会再生产中最重要的切入要素,由此带动了资本、技术和其他一些要素的进一步发展[4]。在思考数据跨境流动这一复杂议题时,在上述要素的博弈中,不同主权国家有不同的价值观和战略重点。为了在各国之间建立信任,显然需要建立政策框架,以利用规模经济,特别是区域一级的规模经济,使政府能够为各国公司充分参与国际数据经济创造友好的政策环境。
2. RCEP对于数据跨境流动的规定
RCEP 第十二章第15条[5]规定了通过电子手段进行的跨境信息传递,这是有关数字贸易的区域和多边谈判中最具争议的问题。RCEP缔约方虽不得阻止人们通过商业行为传输信息,但是传输存在更广泛的例外情况,例如实现公共政策目标的措施和保护基本安全利益的措施。
该条规定,数据跨境流动必须基于商业行为,相较于金融服务所产生的数据,其敏感程度较高,往往涉及个人隐私、国家安全等,因此这项条款考虑了各缔约方之间的监管差异,仍以安全为首要原则,要求提供者遵守数据管理等规定。同样重要的是,这些措施不会受到其他成员国的质疑。也意味着,对于该章节不会存在任何侵权行为。
3. RCEP对于数据本地化的规定
随着数据对技术创新和总体经济增长的推动作用越发重要,一些希望主导新的全球数据经济的国家正在采取越来越积极的措施,增加数据本地化布局,以确保其本地企业能够获得大量数据。但与商品不同,数据不是有限的资源,数据会产生数据,通过合并和分析产生更多高质量数据集,使各种规模的国家分享跨境数据共享的收益。因此RCEP鼓励数据的跨境流动与存储。
具体而言,RCEP对缔约方进行了一定程度的限制,要求不得将所使用设施必须置于境内。尽管如此,RCEP第十二章第14条[6]的规定并不苛刻,它允许更广泛的公共政策空间。作为禁止数据本地化的例外,成员国可以为保护其基本安全利益采取任何必要措施,只要是为实施“合法公共政策”的必须行为即可豁免。由此可以看出RCEP对各国主权安全保护的尊重[7]。
4. 中国法律框架体系
随着数字贸易规模的不断扩大,我国日趋重视国内数据安全领域的立法,开始针对电子商务相关问题进行规制。从现有规则实践来看,我国立法相对谨慎。基于国家安全和网络安全的考量,我国对数据跨境流动控制较为严格,尤其是数据跨境流动和计算设施本地化要求[8]。下图所示正在制定中的法律仍未落地,细则有待制订。
03 RCEP背景下跨境电商企业数据合规建议1. 密切关注数据跨境法律法规的制定与实施
数据跨境流动立法正在制定中,数据分级分类管理规则标准尚不明确,《数据安全管理办法》、《个人信息出境安全评估办法》、《数据处境安全评估办法》 发布征求意见稿,但至今上述办法仍未落地,安全评估细则有待制订,数据跨境流动的具体标准存在一定的不确定性,个人信息保护认证、标准合同以及其他条件也需要进一步明确。电商企业应对相关配套法规的制定与实施密切关注,并可在必要时通过合法途径提出合理建议和意见。
2. 积极加强数据跨境之合规能力建设
对于数据跨境,应增强数据合规审查能力。在RCEP第12章第8条规定,每一缔约方应采取或维持电子商务用户个人信息受到保护的法律框架。电商平台消费者每一笔交易衍生的交易电子数据、支付、物流信息等个人信息,是跨境电商交易闭环的重要组成部分。跨境电商企业对该个人信息的处理和保护,主要依靠缔约方国内的法律框架[9]。
具体而言,根据《个人信息保护法》的规定应梳理、识别电商企业中涉及个人信息处理的各类业务类型,从信息收集、使用、加工、存储、传输、提供等各个环节进行排查,例如,个人信息处理活动是否符合个人的通常预期、是否涉及个人信息跨境提供、是否坚持了“非脱敏信息授权使用,已脱敏信息自由使用,不确定时谨慎使用”的原则等。根据《数据安全法》的规定对于个人信息的跨境流动,可以根据个人信息的敏感程度实施分层级保护,重视对个人隐私的保护。对于电商企业数据的保护,基于其与个人信息的重叠,需要在判断数据权属的基础上调整保护程度,确保数据分级分类管理制度的有效实现。根据《网络安全法》的规定应及时建立、完善自身的数据安全评估机制,在相关部门安全评估之前先对涉及数据安全的行为进行自我评估。并针对审查中发现的问题,制定有效改正措施,降低合规风险。
3. 积极加强数据本地化之合规能力建设
对于数据本地化,应满足数据存储合规要求。尽管RCEP规定“缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内,作为在该缔约方领土内进行商业行为的条件”,但RCEP中所述的商业行为多与网络信息安全有关,而且允许成员国出于合法的公共政策与安全等原因强制数据本地化。这也意味着,电商企业必须满足当地对数据收集、传输和使用法律法规。
《网络安全法》第 37 条规定,关键信息基础设施的运营者在中国境内收集、产生的个人信息和重要信息应当储存在境内。可能被纳入到关键信息基础设施运营者范围的企业应当考虑将存储相关数据的物理设备置于中国大陆境内,并与境外的设备进行一定的隔离。《个人信息和重要数据出境安全评估办法(征求意见稿)》第2条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息,应当在境内储存。
虽然目前跨境电商行业中关键信息基础设施运营者的范围仍未落定,考虑到跨境电商企业在日常业务中涉及体量较大的个人(敏感)信息,仍然有可能被认定为关键信息基础设施运营者,相应地则可能需要履行个人数据本地化的义务[10]。对于在云端储存数据的企业而言,也需要采取一定的本地化措施。比如特斯拉已经在中国建立数据中心,并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。同时向车主开放车辆信息查询平台,以适应 《网络安全法》有关数据本地化的合规要求。
结语通过分析与研究RCEP 新增的数字流通与存储规则,可以看到区域性的数据跨境规则正在形成。近几年,无论是国家还是地方,开始探索安全、有序的数据跨境流动。在国家层面,《海南自由贸易港建设总体方案》 要求重点保障关键信息基础设施和数据安全,创新数据出境安全的制度设计,实现数据充分汇聚,培育发展数字经济。在地方层面,《上海市关于高质量落实<区域全面经济伙伴关系协定>(RCEP)的若干措施》提出在工业互联网、智慧城市、5G、区块链等领域,推动RCEP框架下数字经济国际合作。推动虹桥国际中央商务区全球数字贸易港率先成势,加快融入RCEP数字贸易市场网络。以进一步推动跨境电商发展,抢抓RCEP机遇。
在中国积极参与构建全球数据治理规则的时代环境下,RCEP第12章的签署及特殊数据跨境规则及中国跨境数据立法尚未完全建立的现状对企业来说是机遇也是挑战。中国跨境电商企业能否适应国内外关于数据跨境监管合规要求有待时间的进一步检验。
注释:
[1]Asian Development Bank(ADB).A Preliminary Assessment of the Regional Comprehensive Economic Partnership.NO.206.JANUARY 2022
[2]Sithanonxay Suvannaphakdy.RCEP Will Drive ASEAN Economic Recovery.The Diplomat.December 17,2021
[3]邓志松,戴健民.限制数据跨境传输的国际冲突与企业应对[J].网络信息法学研究,2018,0(1):182-203313
[4]同脚注3
[5]第十五条通过电子方式跨境传输信息:一、缔约方认识到每一缔约方对于通过电子方式传输信息可能有各自的监管要求。二、一缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。三、本条的任何规定不得阻止一缔约方采取或维持:
(一)任何与第二款不符但该缔约方认为是其实现合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用;或者
(二)该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议。
[6]第十四条计算设施的位置一、缔约方认识到每一缔约方对于计算设施的使用或位置可能有各自的措施,包括寻求保证通信安全和保密的要求。二、缔约方不得将要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于该缔约方领土之内,作为在该缔约方领土内进行商业行为的条件。三、本条的任何规定不得阻止一缔约方采取或维持:
(一)任何与第二款不符但该缔约方认为是实现其合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用;或者
(二)该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议。
[7]Asian Development Bank(ADB).Forthcoming.The Regional Comprehensive Economic Partnership(RCEP)Agreement:A New Paradigm in Asian Regional Cooperation.Asian Development Bank,Manila.
[8]洪治纲,霍俊先.RCEP对数据跨境流动的规制及其重要影响[J].西南金融,2022(4):83-94
[9]MIKE GALLAHER.Trade agreements to move the digital economy.Visa Economic Empowerment Institute.December 2020
[10]黄秋红,李雅颖.对接CPTPP数据跨境流动规则研究[J].南海法学,2022,6(1):115-124
法律咨询 | 文章投稿 | 商务合作 | 转载开白
请在后台留言
欢迎分享我们的文章
“感谢您的时间”