国际 | 日本数据跨境流动的治理规则 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中南财经政法大学法学院陈昆

在数据跨境流动治理立法方面，日本采取了将欧盟统一式立法与美国分散式立法折中的模式。在数据跨境流动治理规则制定中，国内层面通过《个人信息保护法》等基础法规构建数据跨境治理框架；国际层面则秉持“可信任数据自由流通”原则，积极参与双边、多边数据跨境治理合作。该数据立法模式为日本数据跨境流动治理提供了较为完善的法治环境。

网络安全领域的治理规则

为系统地提升国家网络安全监管水平，日本于2014年颁布的《网络安全基本法》，提供了全面的网络治理法律规制框架。该法开创性地在法律层面定义了“网络安全”，并系统确立了国家行政机构、关键基础设施运营商、数字网络服务提供商及教科文组织等主体责任，旨在增强公共与私营部门在网络安全领域的协作执行与网络威胁的综合应对能力。

2021年5月，日本通过《数字社会形成整备法》，该法将《行政机关个人信息保护法》《独立行政法人等个人信息保护法》与《个人信息保护法》整合为统一框架下的综合性法律体系，以此标准化公共与私营部门处理个人数据的行为。同时，该法还修订了《关于在行政程序中使用号码识别特定个人的法律》，通过拓宽个人识别信息的共享范围实现了行政程序的优化。

2021年9月，日本通过《数字社会形成基本法》替代了2001年的《高度信息通信网络社会形成基本法》。该法确立了构建“数字社会”的核心概念，并界定了国家行政机构与数据经营者参与数字经济活动的义务与责任。

个人数据保护领域的治理规则

关于个人数据保护领域的数据跨境流动治理规则，日本以2003年颁布的《个人信息保护法》作为规范个人数据处理的核心立法，并对该法进行了三次重要的修订，其最新版本于2023年4月生效，为日本个人数据保护提供了基础性的法律框架。

修订后的《个人信息保护法》着重于扩展域外适用效力、提升数据处理者的责任与义务、强化数据主体权利以及违规处罚力度，系统性提高了数据跨境流动的合规标准。特别是在增加数据处理者义务方面，新规要求数据输出者必须将第三方数据接受国及该国数据保护制度情况告知个人数据主体。相较于旧法，现行版本确立了国家与地方政府在个人数据保护方面的职责及政策指导原则，并规定了数据企业和公共机构处理数据跨境的法律责任。

关于数据跨境流动的具体规则，《个人信息保护法》对数据跨境的情形认定及传输条件的标准设定进行了系统界定。该法根据数据主体的不同属性，为数据处理者及行政机构设置了“以获取数据主体同意为原则、三种法定免除获取数据主体同意情形为例外”的四重合规途径。一是个人数据的跨境传输原则上需预先获得数据主体的明示同意；二是可向已确立与日本同等个人信息保护标准的实体传输数据；三是可向被日本官方评定达到充分保护水平的“白名单”国家输出个人数据信息；四是数据处理者及行政机构在获得个人数据主体的同意后，还需遵循个人信息保护委员会的要求，提前向数据主体披露接收国的隐私保护制度详情、第三方实施的数据安全措施以及其他相关辅助信息，以确保数据主体在充分知情的情况下作出决定。此规定加强了数据跨境传输过程的透明度和数据主体的权益保护。

日本为监管数据跨境流动参与者的数据处理行为，还专门设立了个人信息保护委员会，并制定了一系列个人信息保护规范指南，其中，与数据跨境流动治理相关的主要有2022年4月修订的《保护个人信息的基本方针》，2022年9月更新的《关于保护个人信息的法律指南》的通则篇、向境外第三方提供数据篇以及向第三方提供数据的确认与记录义务篇，2023年5月发布的《〈关于保护个人信息的法律指南〉的问答》。尽管上述指南在本质上不具备普遍法律约束力，但对补充相关法规以及指导个人信息保护委员会的数据治理发挥着关键作用。

此外，针对数据跨境流动涉及的充分性认定豁免机制，个人信息保护委员会在2023年4月专门颁布了《具备与本国相等个人权利保护标准及相关个人信息保护制度的国家》，确保《个人信息保护法》中数据跨境流动治理规则实施的有效性和可操作性。

关于数据跨境流动的传输条件，个人信息保护委员会相关指南要求符合以下几点：1.数据经营者及第三方须采取适宜且审慎的方式，确保在个人数据处理过程中切实履行个人信息保护委员会第4章规定的应尽义务。2.第三方已取得诸如亚太经济合作组织跨境隐私规则系统认可的国际体系认证。3.在特定情况下，数据跨境的同意要求可予以豁免，包括但不限于：保障个人生命或财产安全时直接征得同意不切实际；为公共卫生或儿童福祉获取同意时有实际障碍；政府机构或其委托人员履行法定职责时，寻求同意可能不适当或妨碍公职；学术研究机构出于研究目的处理数据。这些豁免情形皆出于平衡数据保护与公共利益的考量。

国际合作领域的治理规则

日本为维持其数字经济市场与数据安全，已深度参与一系列全球数据治理协议。2019年，日本基于“可信任数据自由流通”原则，在G20峰会上与他国签署《大阪数字经济宣言》，并倡导构建“大阪轨道”的数据流通框架。同年，日本通过《日欧经济伙伴关系协定》获得了欧盟《通用数据保护条例》的“充分性认定”，还与美国签署了《日美数字贸易协定》。又先后加入《亚太经合组织跨境隐私规则体系》《全面与进步跨太平洋伙伴关系协定》以及《区域全面经济伙伴关系协定》，强化了区域数据的治理。

首先，加入《亚太经合组织跨境隐私规则体系》。该体系是一项由政府资助并由第三方机构进行监管的隐私保护制度，并通过《跨境隐私保护协议》来保证参与该体系的机构执行其隐私保护政策。为与亚太经济合作组织数据跨境流动规则协调一致，包括日本在内的多个成员国已将该体系的相关条款嵌入本国数据跨境流动治理框架中，该体系有自我评估、合规审计、跨境规则认证、争议解决及执行机制等核心内容。而且，亚太经合组织基于该体系创设了数据处理者隐私认定及跨境隐私执法协作机制。因此，通过《亚太经合组织跨境隐私规则体系》认证，即符合境外实体获取日本个人信息保护委员会许可数据跨境流动的合规条件。

其次，日本加入了2018年12月生效的《全面与进步跨太平洋伙伴关系协定》。该协定确立了关于排除数据本地化条款、免除数据传输税费及规范数据跨境传输等规定。相关条款还强调，缔约国需确保包括个人数据在内的数据自由跨境流动，同时赋予缔约国依据“合法公共政策”目标，在不构成贸易歧视或间接贸易壁垒的前提下实施必要的豁免权利。协议准许缔约国基于国家数据安全和公共利益的考量，对数字网络设施的应用制定差异化监管标准，但明确禁止以数据本地化作为市场准入门槛的强制性措施，除非符合特定的例外情况。

2022年1月，日本成为《区域全面经济伙伴关系协定》的一员。虽然该协定不具备强制执行力，但为平衡不同发展水平成员国之间的数字经济利益，弥合发展中国家与数字经济强国之间的数字鸿沟，该协定为成员国构建了统一框架下的平等数据跨境规则体系。其中，关于金融数据的跨境传输条款明确规定各缔约国应确保金融服务数据的区域跨境传输，不得实施任何形式的限制措施。另外，该协定规定缔约国不得强制要求数据网络服务器或存储设施在境内部署作为市场准入的必要条件，并禁止对商业运行中必要的数据跨境流动施加任何阻碍。同时，该协定还为上述限制条款设立了双重豁免机制，允许缔约国在实施“合法公共政策”或捍卫“基本安全利益”的情况下，对上述规定作出必要的例外处理。

在数据智能时代，数据跨境流动是网络科技与数字经济全球化并行推进的必然结果，也是驱动全球数字经济转型以及数据跨境贸易增长的核心要素。但是，由于数字科技与经济文化发展的差异化，各国关于数据跨境流动治理也不尽相同，为营造健康有序的数据跨境流动交易环境，深入解构分析他国的治理规则，有助于构建完善的国际国内数字经济法治环境。【本文系2020年国家社科基金重大项目《国际私法视域下中国法域外适用的制度构建研究》（项目批准号：20&ZD202）的中期成果】

（来源：人民法院报）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情