欧盟数据保护标准在全球的扩散

本文作者：钱靓

摘要

日本和韩国在近两年完成了对本国数据保护规则的修订以靠近欧盟数据保护标准，从而通过欧盟跨境数据传输的“充分性认定”程序，这一举措预计将给欧日、欧韩的数字贸易带来促进作用，进一步推广了欧盟GDPR数据保护标准在全球范围内的接受程度，在可预见的未来，欧盟本身强大的经济影响力或吸引更多的国家和企业遵守其数据保护规则。

图源：https://www.theguardian.com/commentisfree/2018/jun/10/data-protection-press-freedom

2022年2月2日，欧盟委员会(European Commission)公布《标准化战略》(Strategy on Standardisation)，将加大欧盟将其标准推广为全球基准的努力。在数据保护领域，欧盟的《通用数据保护条例（General Data Protection Regulation）》（以下简称为“GDPR”）自2018年发布后一直被视作全球数据保护的最严标准，四年过去，欧盟的数据保护标准在全世界范围内的接受度如何？2021年12月20日，继日本、英国等13个国家之后，韩国通过欧盟数据保护的“充分性认定”程序，意味着韩国企业可不受限制地将在欧盟收集的个人数据引入国内。而为了通过欧盟的“充分性认定”程序，韩国基于欧盟数据保护标准修改了本国相关法律。

一、日韩靠近欧盟数据保护标准

欧盟GDPR中有三种主要的跨境个人数据传输保障机制：首先是“充分性认定”（adequacy decision）程序，即确保第三国的数据保护标准与欧盟标准相当，将个人数据从欧盟传输到第三国。换言之，向第三国的数据传输与欧盟内部数据传输方式一致，从而便利欧盟数据的跨境自由流动。充分性要求第三国的数据保护标准要基于“基本等效”的欧盟标准，这涉及对第三国的数据保护法律框架的全面评估，欧洲数据保护当局制定了一份评估所需的要素清单。其次是“标准合同条款（Standard Contractual Clauses）”（以下简称“SCC”）。SCC是由欧盟委员会通过的、企业与企业之间将欧盟公民个人数据跨境传输到欧盟境外所采用的合同模板。最后，“具有约束力的公司规则（Binding Corporate Rules, BCRs）”是在欧盟成立的公司遵守的数据保护政策。

截至目前，全球范围内已有13个国家通过欧盟“充分性认定”程序，包括安道尔公国、阿根廷、加拿大（商业组织）、法罗群岛、根西岛、以色列、马恩岛、日本、泽西岛、新西兰、瑞士、乌拉圭、韩国和英国。欧美之间的“隐私盾协议（EU-US Privacy Shield）”便是其中一种，但欧盟法院已于2020年7月6日宣布该协议无效，目前美欧正就后续数据传输协议协商。

在亚洲，目前仅有日本、韩国两个国家通过欧盟数据保护的“充分性认定”程序。2019年1月，欧日先后认定双方的个人数据保护措施相当。欧盟的数据保护标准被认作是世界上最严格的，因此日本为这一对等认定承诺了额外的保障措施。第一，日本通过“补充规则”弥合与欧盟在个人数据保护上的差异。具体措施包括扩展对敏感数据的定义范围、保障数据个人权利的行使、向日本以外的第三方传输的数据将受到更高级别的保护；第二，日本承诺，以国家安全和刑事执法为目的获取欧盟数据将被限制，受到独立监督和有效的补救机制；第三，日本同意在已有的数据保护机构个人信息保护委员会（Personal Information Protection Commission，以下简称“IPRC”）下建立“争议处理机制（complaint-handling mechanism）”，以处理日本使用欧盟数据时产生的投诉。

2021年12月20日，韩国通过欧盟数据保护的“充分性认定”程序，意味着韩国企业可不受限制地将在欧盟收集的个人数据引入国内。此前韩国企业须与欧盟签署标准合约才能引入个人数据。标准合约的签署过程长达三个月以上，且费用超过一亿韩元。为了通过欧盟的“充分性认定”程序，韩国也作出了类似日本的努力，修订了韩国的《数据保护法（Personal Information Protection Act）》（以下简称“PIPA”）。第一，整合数据保护相关法规，增强韩国个人数据保护委员会（Personal Data Protection Commission，以下简称“PDPC”）机构的管辖力。欧盟的充分性认定前提之一是，对方国需要有强大、独立的数据保护监督机构保证欧盟的个人数据安全，且能够及时、有效地处理数据侵犯的投诉。但是，在此前，韩国的数据保护条例分散在三个不同的法规中，与个人数据保护相关的执法权力分散在各个政府机构中。除PIPA外，在韩国还有《促进信息和通信网络的利用和信息保护法（Act on Promotion of Information and Communications Network Utilization and Information Protection）》以及《信用信息使用和保护法（Credit Information Use and Protection Act）》，数据保护由不同的机构完成。规整后，不仅将法案全部并入PIPA，还删除了其余两项法律的相应条款，使得PDPC能够独立完成对数据传输非法行为的执法。第二，修正案明确规定，违反PIPA将可能产生对企业总销售额3%的行政罚款，重者可处刑事处罚或监禁；GDPR的罚款达到企业全球营业额的4%。第三，PIPA引用GDPR中出现的“假名化（pseudonymization）”概念，增强数据流动性。在未经数据主体同意的情况下，出于符合公众利益的科学目的，韩国允许数据处理者处理假名化的信息。

二、为何日韩会向欧盟标准靠近？

第一，日韩期望通过数据保护推动本国数字经济和贸易发展。数字时代，数据自由流动是繁荣贸易的基础。日韩需要优质的个人数据以适应全球数字经济，这意味着不仅需要在境内加强个人数据保护，还需要在境外数据本土化的背景下支持自由跨境数据流动。日韩积极与其他实行数据保护的国家和地区推动基于互惠原则的数据跨境传输，在与其他国家的《自由贸易协定》中也注重对跨境数据传输规定的补充。

第二，目前的国际社会尚未达成一致的数据保护协议，各国的数据保护水平尚存偏差；但是越来越多的数据保护标准已经向GDPR靠近。韩国Nohyoung Park教授在《韩国数据本地化方法（A Korean Approach to Data Localization）》中认为，在目前的贸易谈判桌上，美国是《全面与进步跨太平洋伙伴关系协定（CPTPP）》的前身《跨太平洋伙伴关系协定（TPP）》中自由数字贸易的支持者，而中国可能是《区域全面经济伙伴关系协定（CPTPP）》中严格的数字贸易的规则制定者。韩国若想在跨境数字贸易上成为有力的规则制定者，必须要在数据保护方面向高标准的数据保护规则靠近，制定有效的规则，在此基础上支持数字贸易的稳定运行。

三、结语

日本和韩国在近两年完成了对本国数据保护规则的修订以靠近欧盟数据保护标准，从而通过欧盟跨境数据传输的“充分性认定”程序，这一举措预计将给欧日、欧韩的数字贸易带来促进作用，进一步推广了欧盟GDPR数据保护标准在全球范围内的接受程度，在可预见的未来，欧盟本身强大的经济影响力或吸引更多的国家和企业遵守其数据保护规则。

声明：本文来自海国图智研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。