数据跨境合规一般涉及两个问题,一是本地化要求;二是数据跨境传输合规要求。下文将聚焦于上述角度,根据《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,以下简称“RCEP”)缔约国数据保护专门立法,以及RCEP禁止性规定及其例外规范探讨数据跨境合规要求。
在讨论RCEP数据跨境合规之禁止性规定及其例外规范前,应首先考虑RCEP缔约国数据保护专门立法的域外适用效力。“域外”与“境外”存在一定差异,非以主权国家地域为限,单一制国家一般为一个法域,联邦制或其他特殊情况的国家并存复数法域,法域指法律效力所及的空间范围,域内法律并不当然对域外实体产生约束力。随着数据主权意识的强调,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)采取了“长臂管辖”的方式,即无论实体是否在欧盟区域内设立,只要该等实体涉及GDPR明确列举的针对欧盟数据主体的数据处理行为,如向欧盟内的数据主体提供商品或服务,无论是否涉及有偿服务,或监督数据主体在欧盟区域内的行为,均适用于GDPR。除此之外,新加坡、泰国、菲律宾以及我国等颁布的个人信息保护立法普遍具有域外适用效力,但同时为避免对商业活动下全球数据流动的不合理障碍,各国规定了域外适用效力的成就条件,以下将简单梳理除中国外部分RCEP缔约国的域外适用条款。
基于缔约国数据保护专门立法对出海企业数据处理活动具有域外适用效力的前提,我们应进一步考虑该缔约国的数据跨境合规要求,以下为除中国外部分RCEP缔约国的法律规定,主要包括数据本地化以及数据跨境传输合规要求。
RCEP第12章第14条第2款规定“缔约方不得要求涵盖的人使用该缔约方领土内的计算设施或者将设施置于领土之内,作为其在该缔约方领土内进行商业行为的条件(No Party shall require a covered person to use or locate computing facilities in that Party’s territory as a condition for conducting business in that Party’s territory)”,该条款规定了缔约国不得要求数据本地化。RCEP第12章第15条第2款规定“缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。(A Party shall not prevent cross-border transfer of information by electronic means where such activity is for the conduct of the business of a covered person)”,该条款规定了缔约国不得禁止数据跨境传输行为。可见,RCEP缔约国不得要求数据本地化以及禁止数据跨境传输。
RCEP第12章第14条第3款以及第12章第15条第3款规定了数据跨境禁止性条款的例外规范,“任何与第2款不符但该缔约方认为是实现其合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用;或者该缔约方认为对保护其基本安全利益所必要的任何措施。其他缔约方不得对此类措施提出异议(any measure inconsistent with paragraph 2 that it considers necessary to achieve a legitimate public policy objective, provided that the measure is not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination or a disguised restriction on trade; or (b) any measure that it considers necessary for the protection of its essential security interests. Such measures shall not be disputed by other Parties)”,由此可见,在“合法的公共政策目的”以及“基本安全利益”前提下,允许缔约国要求数据本地化以及禁止数据跨境传输。
RCEP未进一步规定何为“合法的公共政策目的”以及“基本安全利益”,仅提出“确认实施此类合法公共政策的必要性应当由实施的缔约方决定”。我们认为在不构成不合理的歧视或变相的贸易限制的范围内,缔约国可广泛解释“合法的公共政策目的”以及“基本安全利益”的内涵和外延。
根据RCEP第12章第14条第2款以及第12章第15条第2款的脚注“柬埔寨、老挝人民民主共和国和缅甸在本协定生效之日起五年内不得被要求适用本款,如有必要可再延长三年。越南在本协定生效之日起五年内不得被要求适用本款( Cambodia, Lao PDR, and Myanmar shall not be obliged to apply this paragraph for a period of five years after the date of entry into force of this Agreement, with an additional three years if necessary. Viet Nam shall not be obliged to apply this paragraph for a period of five years after the date of entry into force of this Agreement)”。据了解,RCEP于2022年1月1日起对柬埔寨、老挝、越南生效,因此柬埔寨、老挝在2027年1月1日或2030年1月1日之前以及越南在2027年1月1日之前,可不适用RCEP上述规定,从而进一步要求数据本地化以及禁止数据跨境传输。
提示注意的是,柬埔寨、老挝以及越南,暂未正式颁布个人信息保护专门立法,但可根据其他法律进行数据跨境传输限制。
若企业数据处理行为涉及RCEP缔约国,如日本、韩国、澳大利亚、新西兰、东盟成员国等国家,首先需关注是否符合上述国家数据保护专门立法规定的域外适用条件,其次需进一步考虑该国是否存在数据本地化以及数据跨境传输要求,最后可判断该等数据跨境要求是否与RCEP数据跨境合规之禁止性规定及其例外规范相冲突,以此来指导以韩国、日本、东盟成员国、澳大利亚、新西兰为目标国的数据跨境行为。