数据跨境国际规则的日本方案：基于信任的数据自由流通（DFFT）倡议解读

据日本数字厅官方网站的介绍，“DFFT（Data Free Flow with Trust，本文译作基于信任的数据自由流通）”意为在确保隐私、安全、知识产权之可信赖性的同时，以促进跨国数据自由流通为目标，使对于处理商务和社会问题有益的数据跨国自由往来的构想。2019年1月23日，日本时任首相安倍晋三在达沃斯世界经济论坛上首倡DFFT概念，并指出：“我们的个人数据、知识产权、国家安全保障相关机密数据等，应该严加保管。另一方面，我们应该让医疗、产业、交通等其他为最有用的匿名后的非个人数据跨越国界自由往来……⁵”由此可知，在DFFT最初的设计中是明确将包括个人数据、涉及知识产权和国家安全机密在内的数据排除在跨境流通数据范围之外的。同年5月30日，安倍在第25届国际交流会议“亚洲的未来”晚餐会演讲中指出将在G20峰会上启动名为“大阪轨道”的国际数据流动倡议，首次表达了希望将DFFT引入至WTO的愿景⁶，但未提出相关具体实施方法。而在6月8日和9日举行的G20茨城筑波贸易和数字经济大臣会议上，作为阶段性成果文件的部长级声明就DFFT的实施，提出了“尊重国内和国际的法律框架”“合作以鼓励不同框架之间的互操作性”“确认数据在发展中的作用”的主张⁷。在6月28日的G20大阪峰会领导人数字经济特别会议演讲中，安倍将加快制定WTO电子商务规则作为推动数据自由流通的当务之急⁸ 。同日，峰会上大多数与会成员国和参与78国《有关电子商务联合声明》的其他世贸组织成员一起，宣布启动“大阪轨道”，并签署《大阪数字经济宣言》⁹。至此标志着DFFT从概念提出阶段进入实践阶段。

此后四年间，日本借助各种双边､多边､区域､国际机制推进DFFT¹⁰，并在2019年以来的G7和G20峰会中领导了具体步骤：在双边层面，DFFT写入《日美数字贸易协定（USJDTA）》和《日英全面经济伙伴关系协定（EPA）》；在多边与区域层面，日本主导或参与了《全面与进步跨太平洋伙伴关系协定》（CPTPP）、《区域全面经济伙伴关系协定》（RCEP）等关涉数字领域的多边倡议；G7数字技术部长会于2021年、2022年先后通过了《DFFT合作路线图》《促进DFFT行动计划》，确认了数据本地化、监管合作、值得信赖的政府访问数据以及优先领域数据共享四个合作领域，聚焦提升未来数字监管互操作性、数字贸易背景下促进DFFT以及知识共享等重点工作¹¹；国际层面，日本在WTO电子商务谈判中作为联合召集人（co-convener），积极领导和推进以《日美数字贸易协定》、CPTPP为基础的高水平数据规则。

此外，日本还希望就DFFT建立专门平台支持，摆脱目前颇受诟病的松散架构：根据2023年4月战略与国际研究中心（CSIS）发布的《实施可信数据自由流动》政策简报称，日本希望在经合组织等国际组织的框架下，围绕DFFT成立秘书处以建立讨论、制定全球数据治理规则和框架的专门场合，并已启动“DFFT伙伴关系机制性安排”（Institutional Arrangement for Partnership on DFFT，IAP），希望借此促进更强有力的规则落实¹²。2023年4月G7的部长级会议达成的《七国集团关于实施DFFT及其优先事项的愿景附件》（Annex on G7 Vision for Operationalising DFFT and its Priorities）则进一步指明IAP须特别关注有关数据本地化、监管合作、值得信赖的政府访问数据（Trusted Government Access to Data）与数据共享这四个关键议题，提议将由OECD协助建立并引领IAP¹³。

DFTT体现了日本通过主导全球数据规则制定，争取“数字主权”的决心。2023年度的G7会议结束后，有分析指出DFFT已成为国际数据治理共识原则¹⁴。但由于数字政策事关国家核心利益，各国的数据治理能力、数据使用目的、数据分类标准也有所不同。DFTT应如何尽可能平衡各国诉求，势必将成为DFFT国际影响力扩张过程中须考虑的关键问题。作为G20成员的印度、印度尼西亚和南非拒绝签署《大阪数字经济宣言》，致使DFFT至少失去9亿潜在数据生产者市场¹⁵，则成为佐证该问题严重性的现实案例之一。时任印度商业部长戈亚尔（Piyush Goyal）曾表示，在发展中国家的数据基础设施未完善、数字经济领域未实现公平竞争的前提下，数据跨国流通只会“严重阻碍发展中国家从数据贸易中获利”。此外，DFFT在具备灵活性的同时也意味着其核心要素的模糊性，DFFT中的数据概念应如何界定、何为DFFT中的“信任”、在不同应用场景下如何体现“信任”等问题迄今悬而未决，已成为该概念辐射各国的障碍之一。

有学者观点指出：“DFFT只是明确了数据治理的概念，尚未真正地形成规则。¹⁶”但事实上，日本对于DFFT内涵建构与规则探讨的步伐从未止息。由上文亦可看出DFFT已经在多项双边、多边与区域协定中有所体现。自2021年11月1日起至今，日本经济产业省已召开八次针对DFFT的专题研讨会（データの越境移転に関する研究会）¹⁷，并于2023年年初更新了相关报告书。报告书中指出DFFT具体化的方向是在“就确保DFFT这一目标达成一致的基础上，从战略上避免意识形态和政策优先级的对立，推进有效合作、加深相互理解，以灵活的行动原则为基础，追求成果具体化¹⁸”，并明确了DFFT具体化的五大核心领域，提出各领域存在的问题困惑。本节拟结合报告书中内容充分展示日本DFFT具体化的相关愿景与实践化操作方案。

图1  DFFT具体化的五大核心领域¹⁹

（1）确保透明度

较高的政策透明度能够降低合规成本，有利于数据生命周期中所有相关者的利益。日本经济产业省参考现有国际贸易制度中确立的确保透明度机制，指出在联合国贸易和发展会议（UNCTAD）和经济合作与发展组织（OECD）等国际组织的制度中，有诸多确保政策透明度的机制（如公布和通报、要求查询和提供信息、设立查询站、反向通报、调查和报告、提供数据库等），这些机制都可为DFFT发展提供借鉴。参照上述机制，报告书中列出相关建议举措：（a）尽快成立DFFT相关信息收集、汇总和讨论的论坛；（b）导入通报、反向通报、查询等系统；（c）整顿政府相关部门职能；（d）推动企业及市民社会代表等利益相关者加入论坛；（e）推动建立如“DFFT Inventory”民间知识库以减轻政府负担²⁰。

此外，报告书中特别指出希望建立能正确映射各国数据跨境转移相关制度并明确其特征的图谱，以求改善政策透明度，降低企业的合规成本。在映射图的制作方面，报告书建议参考“云计算中的互操作性和可移植性”的国际标准（ISO/IEC19941：2017）进行要素分析，从而完成制度映射；同时，以下因素/特征对于映射图的制作发挥着重要作用：数据生命周期可以分为9个阶段（acquisition，transmission，storage，preparation，use，exchange，sharing，archive，deletion）；国际标准ISO 21823-1规定的互操作性的五个方面（传输、语法、语义、行为、策略）；国际标准化组织发布的国际标准（ISO/IEC TC 5723：2022）中规定的数据处理的可信性（Trustworthiness）由包括安全和隐私在内的15个特征；国际标准《信息技术 云计算 概述和词汇》（ISO/IEC 17788：2014）中展示的云计算的13个横向特性。以数据生命周期的9个阶段+互操作性的5大方面+数据处理可信性的15个特征+云计算的13个横向特性之组合为工具²¹，将使各国数据跨境转移相关制度的详细映射成为可能，并为确保各国制度的透明度提供了途径。

（2）技术与标准化

企业等数据处理者在将数据跨境转移到第三国时，往往需要保障数据传输的安全性。不少国家法律亦要求数据的境外接收方具备数据系统安全保护措施。因此，无论是数据处理者还是数据接收方都需要具备相应的数据安全技术能力，能够针对数据收集、存储、使用、加工、传输、提供、公开、删除等全流程采取充分的安全技术措施。报告书提出推广应用PETs（一种隐私强化技术，全称为Privacy-enhancing technologies）与RegTech (监管科技，全称为Regulatory Technology) 两种技术手段，以推进数据安全技术能力的标准化。PETs作为可兼顾隐私保护和数据利用的技术群，主要服务于个人信息的跨境传输；Reg Tech则主要应用于包含产业数据等非个人数据的跨境传输场景。

图2  报告书中所列举的PETs代表性技术²²

（3）互操作性

企业在内的数据处理者在遵守各国的数据跨境传输相关制度时，往往因制度框架间的差异而付出巨大的操作成本，这也严重阻碍了数据的跨境自由流通。例如，企业在获取个人数据时，是仅需在网上显示或通知使用条款，还是需获取用户的知情同意，由于各国法律对此的规定不同，企业目前很难协调遵守不同国家的合规要求。此外，数据传输安全性评估也依赖于各国的法律评价标准。因此，确保各国数据跨境传输框架的互操作性对于实现DFFT至关重要²³。

除了（1）中提到的数据跨境制度映射图外，报告还特别提出了以下建议：①政府应大力推进监管沙盒（Regulatory Sandbox）制度和数字沙盒（Digital Sandbox）制度，完善PETs等技术的应用场景，确定能够同时遵守多国法规的标准技术。②政府应大力支持共享确保数据共同定义和互操作性的框架制度，以便形成对跨国共享数据的共同理解。③举办技术冲刺（Tech Sprints），促进研发有助于确保互操作性的技术。

（4）关联制度的互补性

报告书指出，现阶段有必要根据与数据自由跨境流通相关的现有贸易规则和一般原则（G7数字贸易原则等），以及在隐私、安全、知识产权等领域有关数据处理的讨论，考察DFFT具体化提案与现有制度的互补性。报告还提到，日本经济产业省对于现有CPTPP、USMCA、RCEP等经济协定中的数据跨境转移规则展开研究，发现CPTPP等与EU・NZ FTA（《欧盟·新西兰自由贸易协定》）和RCEP的立场难以趋同²⁴，因此为了迅速满足企业的需求，DFFT应在承认各国经济协定之间差异性的同时，建立新的能够尽早启动的国际数据跨境流通制度框架。而在非经济协定中，涉及数据跨境流动的规定中缺乏提高政策透明度和降低政府监管成本的规定，因此应予以补足。

（5）DFFT具体化实施机制的落地

为使DFFT具体化提案得到更多国家的广泛赞同，需要在DFFT相关国际谈判和讨论中考虑图示四要素（这些要素在人道主义对话及外交谈判场合也发挥着作用）。此外，应通过减少DFFT参与国在确保透明度方面的负担，给予其积极加入DFFT倡议的正向激励，确保其参与积极性，秘书处也应在其中发挥协调各国的关键性作用。DFFT相关谈判成果文件的内容应以描述性（descriptive）而非分析性（analytic）的方式记载，以避免给人一种批判特定国家或特定事件的政治化印象。

图3  报告书中所列举的DFFT相关国际谈判四大原则要素²⁵

上述具体化方案显示出日本政府在推动DFFT发展方面的强大决心，方案中对于具体技术应用的探讨体现出了具体化方案存在一定的可操作性。然而，从报告书中亦可窥知DFFT落地所面临的诸多荆棘：报告书中缺乏了对于DFFT之具体应用场景的叙述；就第四章“关联制度的互补性（関連する制度との補完性）”所提到的方案来看，各国经济协定不同规定背后存在着国家利益间的分歧与齟齬。如何求同存异，建立通用的国际数据跨境流通制度框架并无具体实操方案与时间表；第五章“关于DFFT具体化实施机制的落地方案（DFFT具体化の履行枠組みの実装）”内容单薄，“去政治化”等理念依然仅停留于口号；层出不穷的新兴技术应用也影响着DFFT未来具体化的方向，如DFFT机制如何与生成式AI大数据训练的数据跨境传输需求相匹配等问题依然尚待研究。

如上文所述，2023年4月G7广岛峰会达成的《七国集团关于实施DFFT及其优先事项的愿景附件》中明确将数据本地化（Data Localisation）作为IAP的特别关注领域。OECD研究报告指出，数据本地化意为直接或间接地规定在特定的管辖范围内排他或非排他地存储或处理数据的强制性法律或行政要求²⁶。具体到实务中，部分国家要求企业在数据跨境传输时于本地保留数据副本（通常为个人信息、敏感数据），有些国家则不允许企业进行数据跨境传输，而这在客观上将增加企业实施数据跨境传输操作的合规成本，甚至有意见指出数据本地化措施是数据跨境自由流动规制中最严苛的表现形式²⁷。因而DFFT如何应对各国的数据本地化政策（及对数据本地化不同态度）成为各国观望焦点之一。对此，学者党玺、徐安妮指出DFFT和数据本地化存在天然排斥关系²⁸；学者板仓阳一郎亦指出DFFT中的“信任（trust）”应包括“①保障原则上的数据自由流通②去除数据本地化③数字产品应享受非歧视待遇和免税待遇④不要求公开源代码等”，将DFFT的实现与数据本地化之去除相关联²⁹。但根本拓表示“数据本地化措施可能会影响数据的跨境转移，但不一定限制数据的跨境转移（例如如果某些数据存储在国内服务器上，则会获准将这些数据无限制地转移到其他国家）。”他还指出OECD亦出于同种考量，在2021年发布的名为Mapping Commonalities In Regulatory Approaches To Cross-Border Data Transfer研究报告中将该种数据本地化措施排除出分析对象范围³⁰。

数据本地化规制的主要目的是确保敏感信息的安全性和加强隐私保护，同时维护国家的数字主权和监管能力。赫思瑶指出发展中国家在经济实力、贸易条件、制度建设方面也与发达国家存在差距。如果直接进行完全自由的数据流动，对于数据本地化不留例外地禁止，发展中国家在数字贸易领域很难建立优势，与发达国家真正公平地竞争³¹。因此可以说，鉴于国际形势和各国国家利益需要，当前数据本地化规制不存在消失的可能性和空间。然而美国出于自身国家利益考量，反对其他国家（尤其是中国）的数据本地化规制措施。美国智库信息技术与创新基金会（ITIF）在其报告中指责中国是全球对数据跨境流动限制最多的国家，并建议美国与其盟友在签订数据共享框架时将中国、俄罗斯等限制数据流动的国家排除在外³²，在WTO成员之间的电子商务谈判中加入有关禁止数据本地化的条款。笔者认为在对待数据本地化问题上，DFFT可参照RCEP对于数据本地化采取的原则+例外的方式，而非全面禁止所有数据本地化措施，以凝聚各国最大共识，避免政治冷战。

图4  日本首相岸田文雄在twitter中将DFFT与经济安全保障相联系³³

“寻求合作发展和强调本国利益之间的取舍与平衡”³⁴是各国对于数据本地化措施所应采取的最佳姿态。而这亦符合日本对于DFFT倡议的定位。日本首相、经济产业省的相关国内发言中频将DFFT作为应对日本国家和国民经济生存、维持和发展威胁（即“经济安全保障”）的重要一环。日本在认识到DFFT事关本国国家利益的同时，也应认识到如数据本地化规制等议题直接关系着各国的国家利益与经济安全，并应在上述议题上充分平衡本国发展与其他国家的核心利益。因此，未来DFFT伙伴关系机制性安排（IAP）将如何对“数据本地化”这一特别关注领域提出解决方案与部署值得关注。

参考文献

[1]  此观点参见张雪春,曾园园：《日本数字贸易现状及中日数字贸易关系展望》，《金融理论与实践》2023第2期，第1-8页。

[2]  杉山恒司「DFFTとは～注目されている理由・メリット・実際の取り組みを紹介」，载ツギノジダイ「朝日インタラクティブ」2023年5月5日，https://smbiz.asahi.com/article/14897732。但不少观点对此表示反对，印度商业部长戈亚尔（Piyush Goyal）就曾表示，数据跨国间的分隔与流通“严重阻碍发展中国家从数据贸易中获利”，因此拒绝接受日本的DFFT主张。

[3]  根本拓「信頼性のある自由なデータ流通(DFFT)を促進するための多様なアプローチの分析－OECDマッピングレポートの紹介を通じて－」『RIETI Policy Discussion Paper Series』（2023年）2頁参照。

[4]  参见刘云：《中美欧数据跨境流动政策比较分析与国际趋势》，《中国信息安全》2020年第11期，第75-78页。（引者注：原文为“世界经济朝着数字化方向转型,数据驱动的趋势越来越明显,确保数据的安全､自由流动是普遍需求｡”本文有改动。）

[5]  安倍晋三「世界経済フォーラム年次総会安倍総理スピーチ」，载内阁官房内阁广报室https://www.kantei.go.jp/cn/98_abe/statement/201901/_00010.html 平成31年1月23日。（引者注：中文为根据内阁官房内阁广报室中文翻译，对照日语原文略作修改所得。）

[6]  安倍晋三『第 25 回国際交流会議「アジアの未来」晩さん会 安倍総理スピーチ』，载内阁官房内阁广报室 https://www.kantei.go.jp/cn/98_abe/statement/201905/_00005.html令和元年5月30日。（引者注：中文为根据内阁官房内阁广报室中文翻译，对照日语原文略作修改所得。）

[7]  《G20部长会议关于贸易和数字经济的声明（含中英文全文）》，载上海控安研发与转化功能型平台，https://www.shkp.org.cn/articles/2019/10/wx247484.html，2023年8月27日访问。

[8]  https://www.kantei.go.jp/cn/98_abe/statement/201906/_00007.html 安倍总理在G20大阪峰会数字经济首脑特別活动上的演讲

[9]  《G20发布《大阪数字经济宣言》（全文中译版）》，载数据人，https://www.sohu.com/a/326519514_500652，2023年8月27日访问。

[10]  同注4。

[11]  《战略与国际研究中心（CSIS）就日本推动实施“可信数据自由流动”提出五点建议》，载CAICT国际治理观察，https://mp.weixin.qq.com/s/XoPUZ139Vs_LUBp3G6ZtUQ，2023年8月27日访问。

[12]  同注11。

[13]  鄭昀欣、黃禾田：近期國際跨境資料流通議題之發展與討論，载（台北）中華經濟研究院，https://web.wtocenter.org.tw/Page/83/384827，2023年8月27日访问。

[14]  同注13。

[15]  《G20发布“大阪数字经济宣言” 中美立场对比强烈》，载观察者网，https://news.sina.cn/gn/2019-06-29/detail-ihytcitk8552562.d.html，2023年8月27日访问。

[16]  中原秋樱,刘宏松：《日本参与跨境数据流动治理：动因、路径与困境》，《日本研究》2023年第1期，第72-83页。

[17]  所有会议实录详见経済産業省「データの越境移転に関する研究会報告書」，载経済産業省公式ホームページ，https://www.meti.go.jp/shingikai/mono_info_service/data_ekkyo_iten/，2023年8月27日访问。

[18]  経済産業省「データの越境移転に関する研究会報告書」，载経済産業省公式ホームページ，https://www.meti.go.jp/shingikai/mono_info_service/data_ekkyo_iten/20230131_report.html，2023年8月27日访问。（引者注：原文为DFFTの具体化の方向性は、「データの円滑な越境移転を確保することが必要である」というゴールについて関係者間で合意した上で、教条的なイデオロギーや政策的要請の優先順位に関する対立を戦略的に避けることであり、また実際にデータを流していくために効果的な協力を進めて行くべく、ステークホルダー間の相互理解を深め、柔軟な行動原則に基づいて、具体的な成果を追及していくことである。根据原文翻译为中文引文。）

[19]  同注18，「データの越境移転に関する研究会報告書」6頁参照。

[20]  同注18，「データの越境移転に関する研究会報告書」12-14頁参照。

[21]  同注18，「データの越境移転に関する研究会報告書」21-22頁参照（引者注：情報処理の信頼性（Trustworthiness）はセキュリティやプライバシーを含む 15 の特徴からなることが ISO/IEC TC 5723:2022 に規定されており、更に、クラウドコンピューティングの概要と用語の国際規格であるISO/IEC 17788:2014には13の横断的特性が示されているため、データライフサイクルの各ステージ（９）×相互運用性の各側面（５）×情報処理の信頼性の各特徴（15）×クラウド環境で横断的に要求される各共通特性（13）の組み合わせによって、DFFT で考慮すべき要素を網羅できる。これによって、各国におけるデータの越境移転に係る制度の詳細なマッピングが可能になり、各国制度の透明性を確保するための道筋が見えてくる。根据原文翻译为中文引文）。

[22]  同注18，「データの越境移転に関する研究会報告書」25頁参照。

[23]  同注18，「データの越境移転に関する研究会報告書」49頁参照。

[24]  同注18，「データの越境移転に関する研究会報告書」41-42頁参照。

[25]  同注18，「データの越境移転に関する研究会報告書」47-48頁参照。

[26]  经济合作与发展组织：《数据本地化趋势和挑战——审查隐私准则的考量》，载https://www.oecd-ilibrary.org/docserver/7fbaed62en.pdfepires=1623698783&id=id&accname=guest&checksum=5D59DFE7B1BA1D93445528C7AF99806。

[27]  赫思瑶：《中国特色国际经济法学基本原则下的数据本地化探究》，载《上海法学研究》集刊2021年第19卷。

[28]  党玺,徐安妮：《中日跨境数据流动治理对比研究——基于数据分类治理的视角》，载《浙江理工大学学报(社会科学)》2023年50期，第198-205页。

[29]  板倉陽一郎「DFFTと経済安全保障」『経済安全保障研究会・研究報告』（2020年）9頁参照。

[30]  同注3。

[31]  同注27。

[32]  《智库报告：中国是全球限制数据流动最多的国家》，载VOA中文网，https://www.voachinese.com/a/China-security-data-border-20210719/5971562.html，2023年8月27日访问。

[33]  https://twitter.com/kishida230/status/1439481892164628481?lang=zh，2023年8月27日访问。

[34]  同注27。