数字经济视野下跨境数据流动法律监管制度研究及对我国的启示
2021-04-01傅盈盈
傅盈盈
摘 要:数字经济时代下,国际贸易离不开数据的全球性流动。学界关于跨境数据流动治理的研究大多聚焦于美国和欧盟,关于日本跨境数据流动法律监管问题在中日学界都没有针对性、系统性研究。日本有关跨境数据流动的国内立法主要集中规定在2015年修正后的《个人信息保护法》中,主要存在四个方面的亮点:一是明确“主体同意原则”;二是设置“白名单”制度;三是完善了个人隐私安全保护同国民生命健康安全保护及公共利益之间的平衡;四是对处理个人信息的经营者委托国外主体管理数据,或将数据传输给境外关联公司过程中产生的数据跨境流动监管问题提出解决方案。日本在完成其国内跨境数据流动相关法律制度之后,也像欧美国家一样开始在双多边交涉中增加关于跨境数据流动规则的谈判,如签订CPTPP、EPA、RCEP等双多边自由贸易协定,努力实现日本与其他国家地区之间规范的跨境数据流动。中国如今应当加快构建跨境数据流动法律监管体系,积极参与国际规则的制定和国际条约的签订。
关键词:跨境数据流动;数据治理;日本法律;中国法律应对
中图分类号:D996.1 文献标志码:A 文章编号:1673-291X(2021)33-0125-05
引言
近年来,以互联网为载体的数字经济飞速发展,极大改变了国际贸易的运行模式。在国际贸易中,除了传统的“人物钱”跨境流动之外,数据跨境流动也引起全世界的广泛关注。诚然,数据在全世界范围内快速流动带动了国际贸易的快速发展,但也带来一系列问题,如个人数据被非法使用、企业商业机密泄露、国家信息安全受到威胁等,因此各国都在探索如何能在平衡数字经济发展和维护信息安全的前提下对跨境数据进行规制。国际权威机构Statista的统计数据显示,直至2019年,中国数字产业总规模位居世界第一,但很遗憾的是,我国拥有如此大的数字产业规模,针对数据跨境流动的监管却没有系统的立法。因此,借鉴国际上有关数据跨境流动的先进立法经验和积极参与国际上有关数据跨境流动的立法讨论、掌握国际规则制定话语权非常重要。
目前,跨境数据流动领域还未能形成统一的全球治理规则。欧盟和美国在跨境数据监管方面起步较早,已形成两套较为成熟的监管体系,并各自通过签订自由贸易协定在全世界范围内推广自己的监管模式。2015年的“棱镜门”事件后,日本意识到了跨境数据流动全球治理上的缺陷,也明白不能完全依赖于美国或者欧盟主导的治理体系,必须要建立本国的数据跨境流动监管法律体系。2019年,日本首相安倍晋三在G20峰会上确立了“Data Free Flow with Trust”数据流通原则,启动大版轨道,致力于在构建令人有信赖感的数据自由流通治理体系,促进各国间数字贸易发展。可见,日本现如今十分重视数据跨境流通的治理问题。作为与日本贸易关系最为密切的同为亚洲国家的中国,应当关注日本数据治理动态,借鉴其长处,加速构建本国的数据跨境流动监管法律体系。因此,本文将梳理、分析日本有关跨境数据流动的国内立法和同他国签订的双多变国际条约,并探讨其对中国的启示,试图对我国跨境数据流动法律监管提出建议。
一、跨境数据流动监管领域日本的国内立法
早期,日本政府对数据流动持尽量不去干预或少干预,保护对象仅限于个人数据。直到2003年,日本才制定了首部《个人信息保护法》,并且从文本看也无专门规制数据跨境流动的条款。此时,日本跨境数据流动治理基本处于自由、自愿和自律的“三自”状态。
2015年“棱镜门”事件暴露了跨境数据流动全球治理的缺陷,不但使欧美跨境数据流动“安全港协议”作废,更催化了日本就跨境数据流动治理出台一系列规制政策,在这样的背景下,2015年9月,修正后的《个人信息保护法》,其中对跨境数据流动监管的规定主要有以下几个亮点。
(一)明确“主体同意原则”
修正后的《个人信息保护法》明确了除特定情形外,处理个人信息的经营者在将数据提供给外国第三者时,必须事先获得数据主体对该提供行为的同意。这里的“外国第三者”是指,除了处理个人信息的经营者和个人信息主体以外的域外主体,包括外国政府在内。这里的“同意”是指,个人信息的主体对处理个人信息的经营者向国外第三者提供其个人信息的行为做出同意的意思表示,若该主体是未成年人、无民事行为能力或限制民事行为能力等无法理解做出同意意思表示后会产生的后果的主体,个人信息经营者还必须获得其亲属或法定代理人的同意。在无法事先获得数据主体同意的场合,除敏感信息外,將法律规定的事项通知到个人信息主体,同时将情况向个人信息保护委员会报告并经其公示之后,可以将个人信息提供给国外的第三者。在新旧法的衔接上,在新法实施之前,已获取过数据主体同意处理个人信息的经营者,在新法实施之后,可以将数据主体同意范围内的个人信息提供给外国第三人。
可见,日本对个人信息跨境流动采取“主体同意原则”,对个人信息经营者设置了较为严格的通知义务。同时也考虑到商事行为的效率问题,在无法取得数据主体同意的情况下,允许处理个人信息的经营者在完成通知义务和向个人信息保护委员会的报告义务之后,向境外传输非敏感信息。且在此情况下,数据主体也享有随时叫停提供信息行为的权利,在最大程度上平衡个人信息的保护和商事行为的效率。而在新旧法的衔接上,更偏向于保护商事行为的效率,即使新法实施前数据主体并没有明确同意处理个人信息的经营者可以将其信息跨境传输,只要其曾做出过允许处理个人信息的经营者传输其个人信息的意思表示,就视为其同意处理个人信息的经营者在相同范围内将信息跨境传输给外国第三者。
(二)设置“白名单制度”
日本通过设置“白名单”,使个人信息数据能在日本和与日本有相同水准的个人信息保护制度的国家之间自由流通。法条规定,如果某国在个人信息保护委员会制定的名单之中,就代表这些国家的个人信息保护水平已达到同日本相同的水准,那么处理个人信息的经营者即使没有取得数据主体的同意,也可使个人信息在日本与该国之间自由流通。被日本个人信息保护委员会纳入“白名单”的国家,需要符合的条件包括:该国制定实施的法律对个人信息保护力度同日本相当;该国存在同日本个人信息保护委员会类似的执行机构;该国同日本在如何合理地利用个人信息与保护数据主体权利的问题上能够相互理解;相互合作的国家该国不可超过必要的范围限制信息跨境流动;个人数据在日本与该国之间流动可以促进新产业发展,激发经济活力,并有利于丰富国民生活。如今,在日本个人信息保护委员会白名单国家主要是欧盟的国家和英国。
设立数据跨境传输“白名单”原本是欧盟的一贯做法。2016年4月14日,欧盟议会和欧盟理事会通过《通用数据保护条例》(GDPR),并于2018年5月25日正式生效。GDPR在第45条规定了若第三国或者国际组织已对个人信息保护建立了充分的保护体制,那么欧盟将会将该国加入充分保护“白名单”,明确允许数据转移到这些国家。截至2020年3月12日,名单包括13个国家,其中也包括2019年加入欧盟“白名单”的日本。日本设立个人信息跨境传输“白名单”一是为了借鉴欧盟的经验,允许数据传输至拥有完善的数据保护监管制度的国家,既保障了数据流动的安全性,又能促进数据在一定范围自由流动,促进经济发展;二是因《日欧经济伙伴协定》(EPA)需要数据跨境在日本与欧盟之间流动,互将对方加入“白名单也是当务之急。
(三)完善了个人隐私安全保护同国民生命健康安全保护及公共利益之间的平衡
日本允许处理个人信息的经营者在法律规定的情形内,可以在不事先经数据主体同意的情况下将数据跨境传输,完善了个人隐私安全保护同国民生命健康安全保护及公共利益之间的平衡。此处法律规定的情形具体包括:向国外第三者提供该数据是保护数据主体生命、身体、财产所必需的措施,且获得数据主体同意较为困难;向国外第三者提供该数据是为了公共卫生或者维护儿童身心健全的需要必须向境外传输个人信息,且获得数据主体同意较为困难;国家机关为了实施法律规定的事务时必须获得民间企业的配合将个人数据传输至外国国家机关,并且等待数据主体的同意会阻碍事务的实施等。日本设置的这些例外情形都涉及国民的切身利益和社会公共利益,允许在这些情形下处理个人信息的经营者可以适当背离“数据传输须经同意”的原则,增加数据跨境传输监管制度灵活度和可应变性,防止发生因严格遵守“同意”原则而在需要为实现国家利益、公共利益、国民切身利益时数据跨境传输受到过度的限制。
(四)为处理个人信息的经营者委托国外主体管理数据,或将数据传输给境外关联公司过程中产生的数据跨境流动监管问题提出解决方案
日本《个人信息法》规定,若信息接收方满足一定的条件,即使其所处国并不在“国家白名单”之内,处理个人信息的经营者也可在未经数据主体同意的情况下将数据提供给该接收方。具体来说,如果接收個人信息的外国第三人已经同信息提供者签订合同,明确处理个人信息所需遵守的义务,且该义务符合《个人信息保护法》相关规定;或者接收个人信息的外国第三人已经获得CBPR系统的认证或其个人信息保护水平符合OECD制定的《隐私保护和个人数据跨境流通的指南》的标准,则处理个人信息经营者就能在没有事先获得数据主体同意的情况下将数据传输给该接受数据的外国第三人。
该规定明确如果日本处理个人信息经营者基于数据管理委托需求或者与关联公司之间业务交接需求,想使数据在日本与“非白名单”国家企业之间自由流动,只要满足法律规定的条件就可以实现。该规定为那些遵守法律,已建立完善的数据保护监管体制的企业打开数据自由流动的窗口,避免过于限制商事主体跨境传输数据的行为,提高了商事行为的效率。
二、跨境数据流动监管领域日本参与的国际条约
由于世贸组织的大多数规则制定于20世纪90年代,那时电子商务还未发展起来,因此世贸组织规则中并没有直接规制跨境数据流动的法律条文,在跨境数据流动监管方面的,还没有产生获得绝大多数国家支持的全球性规则。因此越来越多的国家开始积极制定双边或单边的自由贸易协定,来弥补国际规则的缺失。在过去的20年,产生了超过400份自由贸易协定,其中超过70份自由贸易协定中包含电子商务相关的内容。日本在完成其国内跨境数据流动相关法律制度之后,也像欧美国家一样开始在双多边交涉中增加关于跨境数据流动规则的谈判,以弥补日本在此问题上的短板,实现日本与其他国家地区之间规范的跨境数据流动。
(一)CPTPP中的跨境数据流动规则
2017年美国退出TPP之后,日本接替美国开启了CPTPP的多边谈判。在电子商务方面,CPTPP第14章中制定了许多高水准的规则,其中第14.11和第14.12条对跨境数据的转移和保存做出了规定。
CPTPP第14.11条第1项明确,各缔约国都有制定各自跨境数据监管制度的权利,第2项则规定各缔约国都应当允许数据在为开展经营业务时可以在各国之间流动,但也为缔约国保留了一定的裁量空间,即若是为了实现合法的公共政策目的,可做出同第2项条款不相符合的措施,但该措施不可构成任意或不合理的歧视或对贸易进行变相限制,也不可对数据传输进行超出实现目的所需限度的限制。
CPTPP第14.12条对计算机设施的设置作出规定。第1项规定各缔约国都可对计算机设施的使用设置各自的监管要求,包括寻求通信安全性和机密性要求,第2项规定任何缔约方不得将在该缔约方领土内使用或设置计算设施作为在其领土内开展业务的条件。同CPTPP第14.11条相同,若是为了实现合法的公共政策目的,可做出同第2项条款不相符合的措施,但该措施不可构成任意或不合理的歧视或对贸易进行变相限制,也不可对数据传输进行超出实现目的所需限度的限制。
可见,CPTPP的基本理念是鼓励跨境数据自由流动,原则上禁止各缔约国做出数据本地化的要求。CPTPP继承了美国的跨境数据传输理念,更多考虑到的是电子商务的发展需求。也许是为了兼顾保障人权的需要,CPTPP设置了公共政策一般例外条款,但条文中对“什么样的公共政策目的是合法公共政策目的”没有做出列举性的说明,只是规定为实现合法公共政策目的所为措施不可构成任意或不合理的歧视或对贸易进行变相限制,也不可对数据传输进行超出实现目的所需限度的限制,条文语言较为暧昧。在发生纠纷时,对争议措施的合法性、正当性的判断可能会变得困难,导致公共政策一般例外条款被滥用的局面,在适用时需要适用目的解释、体系解释等各种方法来进行判断。
(二)日欧经济伙伴关系协定(EPA)中的跨境数据流动规则
2018年,日本和欧盟签订了“日欧经济伙伴关系协定”,2019年正式生效。日欧EPA的谈判涉及商品贸易、原产地规则、服务贸易、电子商务等各方面的内容,该协议条文中并没有与“跨境数据流动”直接相关的规定,但事实上日欧之间在洽谈EPA协议的同时,就个人数据的自由流动问题也一直在进行磋商。2016年7月,日本个人信息保护委员会发布“努力构建日欧间数据自由流动体制”的方针,2017年7月,日欧之间达成合意,日本将对欧盟适用《个人信息保护法》第24条,允许个人信息在日欧之间自由流动,而欧盟基于《通用数据保护条例》(GDPR)第24条,对日本进行“保护充分性认定“制度,将日本列入数据流动白名单国家,使日欧之间个人信息可以自由流动。2019年1月,日欧间“保护充分性”相互认定正式生效,由此,日欧间的个人信息可自由流动。
(三)区域全面经济伙伴关系协定(RCEP)中的跨境数据流动规则
《区域全面经济伙伴关系协定》(RCEP)是2012年由东盟发起,谈判历时八年,2020年11月15日,第四次区域全面经济伙伴关系协定(RCEP)领导人会议以视频方式举行,会后东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》。
RCEP中有关跨境数据流动的条款主要是第12章14条和15条。同CPTPP一样,RCEP第12章第14条和第15条也存在着一般例外条款,明确缔约国为实现正当的公共政策可以采取必要措施来限制跨境数据流动或实施数据本地化,但不能构成任意或不合理的歧视或限制贸易自由,但与CPTPP不同的是,RCEP中规定,为实现公共政策采取措施的必要性由措施实施国自行判断,其他各缔约国不可对该措施有异议。可见,相比CPTPP,RCEP对于数据跨境自由流动采取的态度更为谨慎,缔约国可以随时采取措施,叫停跨境数据自由流动或者要求他国信息处理者实施数据本地化。
三、跨境数据流动监管领域中国法律应对
(一)中国跨境数据流动治理方面主要存在的问题
1.立法内容缺乏可操作性。《网络安全法》是我国目前为止数据跨境流动方面重要的法律,但其立法内容却缺乏可操作性。《网络安全法》第37条规定,关键信息基础设施的运营者因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但对于关键信息基礎设施的运营者的具体范围没有规定,只是在第31条规定,由国务院进一步确定关键信息基础设施的具体范围。近日生效的《关键信息基础设施安全保护条例》第18条采用“非穷尽列举+认证”的模式来界定关键信息基础设施的概念,导致关键信息基础设施的范围很广,缺乏可预测性。另外,条文中规定一般业务要向境外传输数据需要经过安全评估,但对于评估的标准,现在还处在意见稿阶段,并且该评估办法由于过大地扩张了数据本地化义务,引起了许多争议。可见,《网络安全法》虽然位阶高,但是在跨境数据流动治理方面的立法内容大多是原则性规定,在实践中缺乏可操作性。2021年9月生效的《数据安全法》是护航我国数据安全,助力数字经济发展的重要法律,其亮点之一是实现了对跨境数据的域外管辖,并定下了积极开展数据领域国际交流与合作,促进数据安全、自由流动的方针,但是《数据安全法》中关于如何进行跨境数据传输沿用了《网络安全法》相关规定,并没有进一步进行细化,如何进行数据分级管理、数据安全评估办法的实施细则还不完善、关键信息基础设施范围过于宽泛等问题还未解决,同样存在立法内容缺乏操作性的问题。
2.《个人信息保护法》中个人信息跨境流动规制过于严苛。2021年11月1日起实施的《个人信息保护法》中专章规定了个人信息跨境提供规则,是完善我国在个人信息跨境流动法律监管制度历程上的重要里程碑。对比中日两国个人信息保护法中关于数据跨境流动的法律规定,内容基本相近,但也略有不同。例如,有关“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息”的条件,中国采用的是“经安全评估/经安全认证/与境外接收信息者之间已约定符合本法规定的权利义务+本人同意”的模式,日本采用的是“须经本人同意为原则,法定情形可不经本人同意为例外”的模式,其中法定情形包括:第一,信息接收方身处白名单国家。第二,信息接收方信息保护水平达一定的标准。例如,同样是“与境外接收信息者之间已约定符合本法规定的权利义务”这一场合,按照中国的个人信息保护法,需同时满足该项条件和取得数据主体同意才能进行数据跨境传输;而按照日本的个人信息保护法,若满足此项要求,即使没有事先取得数据主体同意,也可以进行数据跨境传输。又如日本的个人信息保护法中规定,因客观情况事先无法取得数据主体同意时,向数据主体告知法律规定事项并向个人信息保护委员会报备之后也可跨境传输个人信息,而中国的个人信息保护法中并没有这样的规定。可见,中国对于个人数据跨境流动的监管更为严格,严格采用“须经数据主体同意后才可传输”的原则。相比日本,我国体现出对个人信息保护从严保护的决心,但是也可能会因此对跨境电商施加过大的合规压力。
3.缺乏专门的跨境数据流动监管机构。《数据安全法》明确了中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制;各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责;国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。其中存在的问题是,我国缺少一个专门的跨境数据流动监管机构或者数据流动监管机构。如果各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全各自负责,而上级部门只是负责统筹协调等宏观方面的工作,那么难免会出现对跨境数据进行评估、审查、监管,以防止监管的缺失、重叠或者越位等问题。
4.我国跨境数据治理的国际规制参与度较低。习近平总书记多次强调,要牢牢把握信息化发展的新机遇,坚定贯彻新发展理念,加快推进数字产业化、产业数字化、积极参与数字经济国开放合作。目前为止,我国尚未同大的数据经济体签订明确可供执行的数据跨境流动协议,也尚未同贸易伙伴建立数据自由流动的互信机制。我国对跨境数据治理的国际规制参与度较低可能会导致我国失去跨境数据国际规制定方面的主导话语权,造成“数据孤岛”的现象,不利于一个数据大国的经济发展。
(二)跨境数据流动的中国方案
1.提高跨境数据流动治理方面的立法层级,完善操作细则。我国目前有关数据跨境流动治理方面,层级为法律的立法是《网络安全法》与《数据安全法》《个人信息保护法》,但这三部法律立法内容过于原则,缺乏可操作性,因此我国应提高与其配套的实施细则的立法层级。例如,同《网络安全法》《数据安全法》相配套的《个人信息出境安全评估办法(征求意见稿)》的效力层级仅为规范性文件,并尚处于意见稿状态,这就使原则性立法缺少可操作性。因此,我国应尽快出台立法层级较高的实施细则,形成完善的跨境数据流动治理体系,增强原则性法律的可操作性。另外,我国需尽快完善《个人信息保护法》的实施细则。《个人信息保护法》中针对个人数据跨境传输规定了严格的“须经数据主体同意才可传输”的原则可能会给企业增加了过重的合规负担。而日本在企业因客观情况无法取得数据主体事先同意的场合下,允许个人信息经营者在完成通知义务和向个人信息保护委员会的报备义务之后,向境外传输非敏感信息,适当“网开一面”,避免实践中在无法事先取得数据主体同意的情况下出现僵局的情况,有利于兼顾商事行为的效率。我国也许可借鉴日本《个人信息保护法》的实施细则,适当为“须经数据主体同意才可传输”的原则增添更多的例外情况,减轻企业的合规负担,更好地促进数字经济的跨境发展。
2.我国要尽快建立专门的数据跨境流动监管机构。我国缺乏专门的、权责明确的跨境数据监管机构,而日本、欧盟等数据大国都拥有专门的跨境数据流动监管机构。日本设立了个人信息保护委员会,作为独立的个人信息监管机构。在个人数据跨境传输方面,个人信息保护委员会承担了对他国个人信息保护体制完善性进行评估、确定“白名单国家”、监督处理个人信息经营者的跨境个人数据传输行为、协助企业进行个人数据保护合规等职责,对个人数据跨境传输治理起到了很大的整合、协调作用。笔者认为,我国可以借鉴日本这种设立专门数据监管机构的做法,设立一个国家数据安全保护机关,专门负责数据规范的具体落实、数据安全评估、企业合规监管与协助、跨境数据源流动治理等活动。
3.积极参与国际规则的制定和国际条约的签订。首先,我国应当积极参与世贸组织有关数据跨境流动的谈判。世界贸易组织作为世界全面调整各国、各地区贸易关系和贸易政策规模最大、范围最广的国际经济组织,对各成员贸易领域立法产生了很大的影响。近年来,随着信息化的飞速发展,国际贸易中的各个环节都依赖于数据的流动,因此世贸组织会议上也掀起对如何规制跨境数据量流动的热烈讨论。世贸组织在2020年12月的报告中指出,新冠疫情的暴发加速了数字经济的发展,跨境电商将成为国际贸易复苏的重要一环,制定有利于电子数据流通的规则具有重要的商业意义,世贸组织会在2021年的前期对这个议题进行更深层次的谈判。日本对于本次世贸组织有关数据治理的谈判十分重视,在2019年1月9日,日美欧三方贸易部长举行会谈并发表共同声明,确认对尽快启动世贸组织关于电子商务谈判的支持;2019年1月23日世界经济论坛年会的演讲中,日本首相安倍提道:“希望今年的G20峰会成为全球数据治理的起点,为大家长久记忆。聚焦数据治理的峰会,我们不当先将其命名为大阪轨道,开始在世贸组织对此进行讨论。”可见,日本不但将全球数据治理问题与G20峰会挂钩,还延伸到世贸组织改革的讨论中,如今日美欧已经隐隐主导了世贸组织有关数据全球治理的谈判,中国也应当积极参与本次世贸组织有关数据全球治理的谈判,努力争取制定规则的话语权。其次,我国可以考虑通过签订双边协定,与他国进行双边数据保护充分性认定。双边数据保护充分性认定,就是两个国家之间签订双边协议,认定对方对于数据保护程度已达到和本国同等水平,互相将对方加入本国的数据流动“白名单国家”,允许数据在本国和对方国之间自由流动。日本已经和欧盟、英国相互进行了充分性认定,这样做的好处一来是可以使本国的电子商务从业者可以更方便地进入对方国家的市场,二来也可以促进本国数据保护法律体制的完善。据中国贸易报报道,截至2020年初,来自不同国家的18个监管机构发出444份正式或非正式跨境互助协议,回应率高达79.5%。可见,联合监管已成为数据流动监管的重要发展趋势。我国在国际上的影响力日益攀升,对于愿意与我国合作,同我国关系良好的国家,我们可以借鉴日本、欧盟的做法,与这些国家进行双边数据保护充分性认定,采取跨境数据监管对等措施,形成数据跨境流动的信任体系。再次,我国还可以尝试加入更多的区域贸易协定。例如我国现在加入的RCEP协议,在数据跨境流动方面,虽然主要还是倡导数据在缔约国之间无障碍自由流动,但也赋予缔约国随时“叫停权”,比较适合我国以监管为原则的跨境数据管理理念。我国可以加入如RCEP这样拥有弹性较大数据流动规则的协议,或者發起相关区域合作,推进多边数据跨境流动谈判,打造联合监管同盟。
参考文献:
[1] 张晓磊.日本跨境数据流动治理问题研究[J].日本学刊,2020,(4):85-108.
[2] 崔静.欧美数据跨境流动监管的经验做法及我国的策略选择[J].经济体制改革,2021,(2):173-179.
[3] 范思博.数据跨境流动中的个人数据保护[J].电子知识产权,2020,(6):85-97.
[4] 東條吉純.「WTO協定による越境データ流通の規律と限界」.“RIETI Discussion Paper Series”,20-J-011.
[5] 崔静.欧美数据跨境流动监管的经验做法及我国的策略选择[J].经济体制改革,2021,(2):173-179.
[6] 『個人情報保護法ガイドライン』(外国第三者提供編)[Z/OL].https://www.ppc.go.jp/personalinfo/legal/,2021-05-10.
[7] 『個人情報の保護に関する法律』(平成15年法律第57号)[Z/OL].https://www.ppc.go.jp/personalinfo/legal/,2021-05-10.
[8] 『平成 28 年個人情報保護委員会規則第 3 号』[Z/OL].https://www.ppc.go.jp/personalinfo/legal/,2021-05-10.
[9] CPTPP Chapter14 ElectronicCommerce[Z/OL].http://www.mfat.govt.nz/assets/Trans-Pacific-Partnership/Text/14.-Eletronic-Commerce-Chapter.pdf,2021-05-14.
[10] 『地域的な包括的経済連携(RCEP)協定』.https://www.mofa.go.jp/mofaj/gaiko/fta/j-eacepia/index.html,2021-05-16.
[11] 『個人情報保護委員会について』.https://www.ppc.go.jp/aboutus/commission/,2021-05-16.
[12] WTO:2020年世界贸易报告(附报告)[Z/OL].https://www.dx2025.com/archives/111561.html,2021-05-14.
[责任编辑 晓 群]
