〔日〕中原秋樱 刘宏松

20 世纪90 年代初，随着互联网的迅速发展，日本将产业数字化上升为国家战略。自2000 年起发布了《IT 基本法》，并随着科技的进步不断改进日本在数字领域的发展战略。跨境数据流动有助于加速产业数字化转型，对提升日本在全球数字经济中的竞争力起着至关重要的作用。在瑞士洛桑国际管理发展学院（International Institute for Management Development，IMD）公布的全球数字竞争力排行榜中，日本排名27，其中数据利用的排名为63 名，远低于其他发达国家。而日本的数据流动从2018 年至2019 年增长了15%。[1]2015 年以来随着互联网的普及，跨境数据流动增长了45 倍，预计未来五年将再增长9 倍。[2]与此同时，数据是一种无形的非竞争性的特殊资源，可以通过技术和法律手段使数据产生不同程度的排他性。日本早在2013 年就发现数据的重要性，近年来加速推动跨境数据流动治理，并积极将日本方案推向世界。2018 年，日本政府发布《世界最先进IT 国家创造宣言·官民数据利用推进基本计划》。[3]在国际方面，2019 年日本时任首相安倍晋三提出“可信任的数据自由流动”（Data Free Flow With Trust,DFFT）概念，并呼吁创建数据自由流通框架的“大阪轨道”。[4]同年，日本开始加强与欧美在跨境数据领域的合作，并于2019年与欧盟达成协议，认定日本符合欧盟的《一般数据保护条例》（General Data Protection Regulation,GDPR）的“充分性认定”（Adequacy Decision）条款，与美国达成《日美数字贸易协定》（U.S.-Japan Digital Trade Agreement）。[5]

既有文献已对日本跨境数据流动展开相关研究。中国相关文献较少，研究基本集中分析日本推进数据流动的目的。如江天骄研究了日本参与跨国数据流动的目的，认为日本并不满足仅仅参与数据流动的讨论，而是谋求主导全球规则的制定。[6]陈友俊则研究了数据治理对日本综合发展的作用，认为日本利用数据治理作为切入点构建大国的政治影响力，并将数据视为经济复苏的重要路径。[7]张晓磊的文章深入和系统地分析了推动跨境数据流动的目的逻辑及背后动因,认为强化数据流动治理是发展数字经济的重要手段，能够为日本数字产品的进出口贸易和贸易竞争力提供重要制度保障，以此对冲日本经济衰退风险。日本促进数据流动是因为要跳出资源不足的困境，改变传统贸易结构，利用数字化信息贸易对前者加以改善。[8]日本学者的研究内容相对更宽，涉及面广。如纳富史仁提出，日本一方面期待数据流通可以为促进经济增长和创新做出贡献，但在规定数据流通范围和企业应遵守的规则方面仍存在模糊的部分，导致日本国民对数据流通抱有怀疑态度。[9]岩田一政指出日本政府应着力解决两个问题：一是要兼顾数据自由流动和个人隐私保护。隐私保护和数字服务的选择权属于个人，而不是平台与企业。政府需要明确个人的数据控制权并为大型科技企业制定数据共享指导方针。二是思考如何符合国家安全要求，促进跨境数据自由流动。目前全球对数据流通、数据保护和国家安全维护尚未达成共识。日本的跨境数据流通将面临其实施方针需要适应美国、欧盟、中国等国家情况。[10]日本提出的DFFT 是作为推动多方合作的概念框架，由日美欧三方成立联盟，再推向其他国家，形成一个大型的“数据池”。[11]城山英明则指出，尽管日本与欧美和中国相比数字流通规模较小，但日本已经成功地与欧盟达成充分性认定、与美国达成日美数字贸易协定、与中国在RCEP 共同合作。[12]日本在欧美跨境数据政策存在差异的情况下协调政策，兼顾各方。长期对美欧开展政策协调，进行合作和博弈，并通过对外协调倒逼国内政策改革。[13]

以往学者的研究主要停留在梳理日本数据流动政策与分析日本参与数据治理的动机，却对日本的数据治理没有进行多角度研究，目前看学者对日本的跨境数据治理的困境研究也比较少。基于这一情况，本文在以往研究的基础上从日本的数字战略背景出发，梳理日本政府在国内与全球层面上参与数据治理的动机，并分析日本数据治理的困境与现状。

一、日本参与跨境数据流动治理的动因

（一）振兴日本经济

日本一直以来都是全球自由贸易的受益者，目前日本国内的市场容量无法满足经济发展的要求，只有转向国外市场才能够持续经济运作。所以在全球经济衰退、保护主义盛行的情况下，日本依旧坚持全球自由贸易，加强经济伙伴协定(Economic Partnership Agreement,EPA)合作。越来越多的国家为了保护本国数据安全，选择数据本地化，对数据进行监管限制。企业为了传输数据不得不在各个国家或地区建立或运营数据中心，数据流动的限制会给国际贸易体系带来高昂的成本，也会阻碍国家的经济发展。数据作为一种无形的资产，只有在流动的情况下才能创造价值。作为全球贸易的受益者，日本强调数据的流动性，只有最大程度地发挥数据的潜力才能够对日本数字产品的进出口贸易提供有利条件。日本提倡的数据流动主要侧重于产业数据，并没有想把个人数据、知识产权以及涉及国家安全的机密数据纳入到DFFT 流通体制内。目前全球的数据主要掌握在知名互联网企业，日本在互联网企业方面不占优势，通过建立数据流动机制，可以使日本在劣势的情况下也能从美国四大互联网巨头企业“GAFA”(Google、Apple、Facebook、Amazon)和中国三大互联网巨头企业“BAT”（Baidu、Alibaba、Tencent）等互联网企业中实现数据共享。另外，日本有雄厚的制造业优势，制造业增加值占日本GDP 的20%。[14]然而，日本制造业的数据利用程度远低于美、英、德企业。[15]在制造业的供应链中，日本虽然善于使用产品开发和设计的数据，但生产方面和销售、流通方面的数据利用处于劣势，面临着缺乏收集数据的方法、数据分析人才不足等问题。在制造业领域促成数据共享也能使日本的制造业获得更大的优势。促进数据的共享也是为了促进数字贸易，进而推动日本与外国的贸易。

数字化可以帮助日本解决国内问题，改善国民生活质量。政府与民间的数据贡献和再利用，可以以更低的成本、更准确的方式延缓少子老龄化的发展以及防范公共卫生问题的发生。例如，数字化可以提高企业的生产力，行政效率的提升可以解决劳动力不足的问题。另外，数字化也可以为日本带来远程办公、远程医疗等新生活方式，使住在偏远地区的老年人可以获得大城市的先进医疗服务，实现智慧养老。

（二）提升日本国际话语权

在全球经济治理体系拥有主导权意味着一国具有强大的实力。当今世界各国将参与全球经济治理作为一个参与权力博弈、塑造国家形象和展示本国实力、维护国家利益的手段。日本近年来一直强调要履行与世界大国相匹配的责任，为世界和平与稳定做出贡献，发挥更好的作用。作为世界第三经济大国，日本有能力推动实施全球经济治理机制，并为全球经济治理提供公共产品。

日本希望通过主动承担主导国责任，解决世界面临的问题，展示日本的实力和诚意，赢取成员国的好感，在国际社会中树立良好的国家形象，从经济大国成为真正的政治大国。20 世纪70 年代，日本在参与全球治理时更多处于一个被动接受的角色，直到在G7 主动提出核不扩散和环保等议题，才逐渐提高在全球治理体系中的地位，成为全球治理的积极参与角色。[16]然而，G20 逐渐取代了G7 的地位，G7 一直是支撑日本国际地位最重要的外交支柱，一旦其被G20取代，日本在全球治理的地位将从1/7 下降为1/20。[17]日本专门将数据流动捆绑到G20 的议题中，以便发挥日本在全球数据治理的参与和引导作用，提升日本在国际社会的地位。随着数字化时代的到来，除了经济、军事等传统实力可以代表硬实力外，在网络空间的实力也成为一种衡量国家的硬实力标准。数据作为网络空间的重要要素之一，虽然日本在网络空间不具备中美的互联网优势，但是目前中美欧在数据流动管制方面存在意见分歧，如果日本可以在数据治理议题获得主导权，那么日本的网络实力可以赶超中美欧，增强日本的硬实力。

目前跨境数据流动的全球治理处于规制多极化和美欧争夺数据流动控制权的两大发展趋势，存在制定者的偏好差异，各个国家未达成一致意见，且国际机制效力不足。例如，OECD 仅为全球数据治理提供一个指导方针，G20 没有强制执行机制，GATS（服务贸易总协定）内部条例相互矛盾、法律效力遭到削弱。各国的意见不统一易受欧美两大规制体系的影响导致无法保持自身独立性，难以平衡数据保护和数据自由流动。[18]在全球数据规则空缺的情况下，参与国际规则的制定意味着在国际社会能够拥有一定的话语权。此外，日本一直将“自由、民主、人权、法制”价值观作为基础，强调加强与日本具有相同价值观的国家合作。[19]日本的数据治理理念是在受欧美的影响下逐步建立的，在各个国家争夺数据治理的规制权时，日本提出的DFFT 也是为了与欧洲的GDPR、美国的CBPR 和中国的数据流动治理理念有所区别，以此展现日本的独特性。但是，日本也清楚制定规则离不开其他国家的支持，日本希望依旧能够与和日本具有相同价值观的欧美国家一同合作，发挥主导作用，保持现有国际秩序。[20]尤其是日本认为中国采取的是“数据保护主义”，中国在数据治理中所采取的立场更多是保护本国数据，如果由中国获得数据治理的主导权，那么很有可能会偏离日本的偏好。[21]日本通过与偏好一致的国家建立自由开放的秩序，在一定程度上可以抑制中国参与全球数据治理的影响，以增加自身的国际影响力。日本目前与欧盟签署了《日欧经济合作协定》（EUJapan Economic Partnership Agreement,EPA），确保了日本与欧盟之间的数据共享的可能性。日本目前在《全面与进步跨太平洋伙伴关系协定》（Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP）处于主导地位，只要英国加入，甚至美国也加入的话，那么CPTTP 将会成为一个巨大的经济圈。通过多方面在区域组织渗透DFFT，很有可能实现将DFFT升级为国际规则。

此外，日本一方面致力于开放数据流通，另一方面又提倡数据的安全性。日本总务省在进行民众对数据流通的认识的相关调查时发现，日本国民提供个人数据的意愿度与理解度远低于中美英德，其中最大原因是国民对提供数据有不安感，尤其是对提供本人的个人信息相比其他国家有着深度的戒备。其背后原因在于担心个人信息会被泄露或者被恶用。[22]但大多数国民愿意在企业做好安全管理、可以在一定的期间拥有删除权、使用数据时须获得本人同意等条件的情况下提供数据。如果一味地开放数据自由流通，反而会造成国民的反感，而没有国民的配合，数据是无法源源不断产生的，日本深知只有提高数据的安全性才能够真正地促进数据的流通。日本在国内努力完善个人隐私保护与数据安全保护等相关法律，保障国民的个人隐私，将数据保护措施达到世界标准，最终获得欧盟GDPR 的充分性认可。与外国缔结数字相关条约时要求把数字知识产权纳入产权保护范畴，提出禁止强制公开源代码和算法、禁止政府对加密技术等特定技术的使用施加强制要求、禁止政府访问企业的知识产权和商业秘密时以不正当方式获取。[23]

二、日本参与跨境数据流动治理的路径

（一）制定可信任的数据自由流动战略

20 世纪90 年代随着电脑、手机等通信技术产品的快速普及，日本政府在2000 年建立了情报通信技术战略本部，颁布了《IT 基本法》，[24]同时，日本政府发表了《e-Japan 战略》，[25]提出5 年内将日本发展为世界最先进的IT 国家。事实上，日本在发表《e-Japan 战略》两年后就达成了“建设高速宽带网络等基础设施”的目标，电商环境和电子政府的制度也有所推进，因此在2003 年，IT 战略部门在《e-Japan 战略》的基础上提出了《e-Japan 战略II》。[26]在医疗、饮食、生活、中小企业金融、知识、劳动和行政服务7大领域作为先行领域推动数字化，实现“健康、安心、感动、便利的社会”。

然而，随着科技的快速发展以及金融危机的发生，日本政府发现已有的IT 战略已经无法满足新时代发展的要求，尤其是无法应对经济危机。因此，2009 年IT 战略本部制定了新的发展计划——《面向数字化新时代的新战略：三年紧急计划》，[27]并在同年制定了中长期计划《i-Japan 战略2015》。[28]新计划的制定者认识到，以往的战略计划更多地是从网络服务提供者的角度考虑，缺乏国民视角，应当站在用户的角度形成以人为中心的数字技术，让用户能够更加自发地接受数字社会。新计划将“电子政府”“医疗健康”“教育与人才”作为三大重点，以此推动产业与地方的改革，提升日本产业的国际竞争力。

2013 年，日本政府发布了《世界最尖端IT国家创造宣言》，[29]据此构建未来日本经济发展的基石，计划在2020 年前，将日本打造为世界最高水准的IT 使用社会，并将其成果向国际社会推广。宣言提出：第一，创造创新产业和服务，形成促进所有产业发展的社会。第二，建造一个世界高水平的可应对灾难、能够使国民健康与安心的生活体系。第三，建造一个任何人、任何地点和任何时间都可以接受公共服务的一站式社会。在宣言中，日本首次提及了对数据的看法，明确表示：“官民持有的海量数据是全新的知识源泉和经营资源。通过利用数字化数据创造新的产业与服务，振兴现有产业至关重要。此外，建立一个公开与可利用的数据环境是日本作为国际社会一员的使命。”日本认为应当创建一个公开的平台，让日本国内外都可以自由地获取高信赖度的公共数据（地理数据、防灾数据等），利用民间数据共同创建新产业与服务。其背后原因在于，日本的数据利用处于“瘫痪”状态。政府掌握着高度可靠的基础数据，在民间有着高度需求，然而，由于对公共数据的二次使用存在限制，数据难以通过机器或软件进行解析和读取，有许多公共数据在商业领域未能够充分利用，影响了日本的经济创新。因此，日本认为应当开放数据。自2013 年起，日本修改了原有对公共数据的二次利用的限制规定，将解析数据的机器改善到国际标准，扩大数据的利用以使其在商业和官民合作服务中产生价值。关于个人数据，建立一个既能促进个人数据利用又能保护个人隐私的环境。此外，建设隐私与信息安全规则的标准化国际体系促进国际合作。事实上，宣言对数据治理的阐述所占比例较小，对数据的解释仅在第一类的创造创新新产业、服务和实现促进所有产业发展的机会中被提及，更多关注在防灾与医疗等方面的IT 利用。

自此之后，日本政府的战略报告涉及数据的次数增多，在2016 年出台了《官民数据利用推进基本法》，[30]明确官民数据的界限与基本理念，要求都道府县地方政府有“义务”、市町村政府有“努力义务”，基于官民数据利用推进基本计划制定各地区政府的规划。在组织建设方面，日本政府在IT 综合战略本部体系下设置官民数据利用推进战略会议，对数据利用计划进行评估与推进。在2017 年，政府将已有的《世界最先进IT 国家创造宣言》加上《官民数据利用推进基本法》的基本理念，提出《世界最先进IT 国家创造宣言——官民数据利用推进的基本计划》（「世界最先端IT 国家創造宣言·官民データ活用推進基本計画」）。文中表示数据大流通时代即将来临，其未来AI 与机器人等尖端技术会产生大量的数据，应当把握机会，积极利用，为日本新技术与新服务等创新做出贡献。[31]日本逐渐从IT治理转化为数字治理，基于IT 宣言·官民数据计划制定了《数字治理推进方针》，[32]并于次年提出《数字治理实行计划》，[33]要求各府省制定中长期计划，最少每年一次评估计划的进展，进行修改或扩充。2018 年，日本政府宣布将已有的IT 计划改为数字计划，发布《世界最先进数字国家创造宣言·官民数据利用推进基本计划》，对行政服务、地方、民间部门进行数字化改革，构建数据流通的环境，对行政部门持有的数据100%公开，促进共享经济成长。2019 年6 月，又再次发表了数字时代的新IT 政策大纲，主要目的有两点：第一，赢得数字时代的国际竞争。以往的日本擅长在制造业等实物空间中的竞争，然而随着数字化时代发展，数字产品与网络平台有着更大的发展空间，假如日本无法获取数据利用的优势，其在国际社会的竞争力将会弱化。第二，通过高度的社会数字化来解决日本的问题。目前少子老龄化成为许多国家的共同问题，日本作为超少子老龄化国家，假如能够通过数字化提高效率，日本可以成为国际社会的榜样。

纵观日本数字化战略的发展历程，可以分为四个阶段：2000 年的e-Japan 战略可以被视为第一阶段的ICT 基础设施建设阶段，2009 年的i-Japan 战略使日本上升到第二阶段，即ITC 使用推进阶段。随着日本政府发现数据的重要性，自2013 年起日本将数据写入国家战略计划，进入第三阶段——数字数据使用推进阶段。目前，日本从IT 国家战略转换为数字国家战略，全面进入第四阶段——构建数字化社会阶段。从日本的国家战略演变可以发现，日本不断调整本国的国家战略，确定数字国家的立场与数据的重要性，再将其战略推广到全球范围。

（二）构建与数据自由流动相匹配的数据安全机制

1.日本在提出数据战略的同时致力于完善国内数据安全的相关立法，为推动数据跨境自由流动提供法律保障

2003 年5 月是日本个人信息保护制度发展的重要节点，在此之前的个人信息保护制度主要由地方政府和自治体设立。2003 年5 月，日本国会正式通过了《个人信息保护法》①①日语“情报”一词的中文对应词汇为“信息”，因此本文将日本的“个人情报保护法”翻译为“个人信息保护法”，但是涉及到一些机构名称如“个人情报委员会”等，为便于查找保留了原名。，[34]并于2005年4 月1 日正式生效，这一法律成为日本第一个有关隐私保护类的综合性法律。《个人信息保护法》与以往的法律结构不同，在第1 章至第3 章采取了欧洲“集锦式”管理的基本法，第4 章至第6 章采取了美国“分治式”管理的一般法，受到了欧美的不同影响。[35]根据团体的性质分别对国家行政机关、地方团体、独立行政法人等制定信息保护法律。早期阶段，日本致力于推进电子政府和公开公共机构的数据，以提高行政管理效率，对公共机构的严格要求可以使国民放心，促进政府行政透明化。民营企业的数据收集行为大多属于内部管理和正常商业行为，假如对民营企业管理严格，反而很有可能会限制数据的流动。

《个人信息保护法》于2005 年4 月1 日正式生效，然而由于时代的快速发展，该法案已经无法适应新的环境变化。2016 年欧洲GDPR 法案的实施让日本希望能够与欧盟达成充分性认定，以此实现在欧盟和日本之间的数据流动。而已有的个人信息保护法案无法达到欧盟的要求。因此日本政府对法案进行了大幅修正，2015 年公布了修改法案，2017 年全面正式实施,并决定了每三年就要重新评估法案，进行修改。2020 年6 月12 日公布了修订法，并宣布2022 年4 月1 日生效。[36]

新修订的法规主要关注的问题有以下方面：第一，强化本人的权利保护，将6 个月以内的数据视为“受保护个人数据”，个人信息处理者有义务向本人进行公开、修改或删除等。第二，追加企业及机构的责任分担，要求个人信息处理者当发生信息泄露时有义务向本人和个人情报保护委员会进行报告（第22 条）。第三，对特定领域的企业实施认定团体制度。第四，促进数据流动。新增“假名加工信息”制度，删除干扰他人所含有的部分记述和全部个人识别符号，对个人信息进行加工，使其无法被特定个人识别，采取“假名加工信息”的个人信息处理者可以免除部分个人信息保护法的义务规定，在一定程度上可以减轻个人信息处理者的负担，从而促进数据的流动（第35 条2 项）。第五，加强对违法行为的责罚。旧法对违反法规的处罚是6 个月以内的有期徒刑或30 万日元以内的罚金，新法则是将刑罚提升到1 年以内的有期徒刑或100 万日元以内的罚金，对违反报告义务课以50 万日元以内的罚金（第85 条）。对法人的违法行为进行重罚，将违反命令和个人信息不正当利用行为的罚金从30 万日元以内提升至1 亿日元以内（第87 条）。这条法规可以被认为是在向GDPR 看齐，通过强化罚则减少企业的违法行为。第六，对外国机构追加报告征收、入地检查等罚则。旧法中，拥有日本国内的个人信息的外国企业并不是监督对象，以往只能由个人情报保护委员会进行指导和劝告，但不具有强制性。新法明确表示在信息情报委员会的支持下，可以到外国个人信息处理者的事务所或召其职员开展讯问或检查账簿资料等物品。新法的修订内容规定可以采取更有效的措施，减少外国企业的不正当信息处理行为。[37]

2.日本在政府的指导下成立了由国家主导的信息银行

信息银行是目前日本独有的新系统，其机制是用户可以将个人信息存储在银行进行管理，经过用户的同意后，银行可将用户的个人信息提供给需要的企业，进行读取与分析，而用户可以享受到信息所带来的利益。信息银行对外部提供用户信息，其前提是用户可以选择愿意提供的商家，也可选择提供个人信息的范围，保证对个人信息的控制权。另一方面，商家所拿到的信息都是经过本人确定过的，可以放心对数据进行分析。信息银行成立的背景是谷歌、苹果等科技巨头公司拥有的庞大数据，利用个人数据赚取巨额利润。日本深知数据在商业领域的重要性，然而，日本并没有与GAFA 相当的科技巨头公司。通过设立本土的信息银行，让国民可以放心地交付个人信息，而企业则可以不用通过外国的科技巨头，也能获得用户信息进行分析。日本既可以流通数据，也能保证本国的数据安全，减少数据流入到外国企业，从而促进国内数字经济发展。[38]

3.日本创建了数字厅，负责数字政策的建言与监督，并制定数字改革政策

新冠疫情的暴发暴露了日本数字化战略存在的缺陷。虽然日本一直布局数字国家计划，要实现数据流通、电子政府等计划。但事实上在抗击疫情过程中，日本政府发现以往制定的战略计划只是纸上谈兵，并没有真正地落实。尤其发现，中国可以通过各个地方政府的数据共享，对疫情传播链进行调控分析，而日本还处于需要人工进行数据确认阶段。2020 年9 月发表的世界数字竞争力排行榜，日本在63 个国家中排第27 名。虽然在ICT 设施等方面排位居前，但是在大数据利用、数字人才与企业数字化改革等方面排位都非常低。这也使日本推进数字化政策成为重中之重。2020 年菅义伟内阁成立后，便将数字改革作为政策重点，同年12 月发布了题为“为创建数字社会实施改革的基本方针”的文件，创建数字厅，首相担任最高负责人，内阁任命担当大臣，聘用40%民间企业人士和60%公务员，使其成为推行数据战略的指挥部。菅内阁废止了原有的《IT 基本法》，向国会提交《构建数字社会基本法》法案，[39]通过审议，取代《IT 基本法》。基本法提出了“数字社会”的发展愿景和制定“数字社会”的基本原则。数字社会的基本内涵是通过互联网等先进通信网络，在全球范围内自由、安全地获取、共享和传播各种信息或知识。另外，将包含尖端技术的信息和通信技术进行电磁记录，适当有效地利用所记录的多样化和大量数据在各种领域实现创造性和获利性的发展。

（三）倡议跨境数据流动的全球治理合作

第一，提出所谓的“大阪轨道”倡议，在G20 机制中提出DFFT 数字治理理念。2018 年9月日本经济大臣与美国贸易代表和欧盟委员进行第四次日美欧会谈，首次对数字贸易达成共识，并发表共同声明，表示对数字保护主义泛滥的担忧，认为三方应当以合作的方式促进数字贸易和数字经济的发展，现有的WTO 规则不能适应数字经济的技术发展新形势。应当加速对WTO 的改革，基于WTO 多边框架促进数据安全、改善商业环境。[40]2019 年1 月，时任首相安倍晋三在世界经济论坛峰会的演讲中指出：“希望（不久日本主办的）G20 峰会成为启动全球数据治理的机会，为大家长久记忆，将新倡议命名为‘大阪轨道’，在WTO 之下讨论的焦点聚集在数据治理上面。”[41]日本提出的方案核心内容就是DFFT；基于信任与自由的原则，在保护个人信息、国家安全机密信息的同时，将医疗、产业、交通等有利用价值与非个人的匿名数据将不受政府或外在因素的干预，可以在国际自由流通，赋予数据信任与自由。[42]在同年的G20 峰会上，各国同意了跨境数据流动对生产与创新的重要性这一观点。各国领导人表示要致力于实现DFFT 的愿景，就更开放与可信赖的数据流动是全球治理所需达成了一致。日本希望通过DFFT 来主导全球数据治理。事实上，DFFT 只是明确了数据治理的概念，尚未真正地形成规则，更多的工作应在于促进规则的制定。[43]日本一直致力于与欧美共同构建数据治理体系，在发表DFFT 后，日本分别对美国与欧洲进行对话，2019 年2 月与美国国务院、商务部、联邦委员会、电气通信情报厅进行局长级别会谈。2019 年3 月于布鲁塞尔与欧盟委员会进行会谈。2019 年5 月起与欧美多次举办了有关创造自由与安心的个人数据国际流通的会议。[44]与此同时，日本与OECD 也召开了有关数据治理与隐私保护的专家会议并提出提案。虽然日本与各国政府、国际组织、行业、学界等进行了多方会谈，但目前并没有一个专门针对全球数据治理的论坛。日本通过在G20 峰会提出DFFT 是希望能够将数据流动上升为全球议题，让日本能够在国际社会中做出贡献。

第二，与欧盟达成“充分性认定”协议。2019 年1 月23 日，日本与欧盟宣布双方互认对方数据保护系统，充分性认定协议正式生效。日本成为了欧盟认定名单中的第一个亚洲国家。充分性认定被称为世界上最大的安全数据传输领域。[45]基于双方在个人隐私领域的相同价值观，日本与欧盟企业可以相互传输对方国家公民数据信息，有利于欧盟与日本之间的战略伙伴关系。早在2013 年，日本就开始关注欧洲的数据保护规则，认为日本应当与外国进行制度协调使本国企业可以顺利地在全球范围内实现数据共享和传输。为了实现与欧盟的充分性认定，2016 年，日本专门设置个人情报委员会，与欧盟进行对话，提出希望日本与欧盟之间能够构建一个相互之间转移数据的体系。个人情报委员会的国际协调的权限也逐渐转向外交形式，代表日本与欧盟进行协商。欧盟的GDPR 被称为史上最严格的数据保护法，为了获得欧盟的充分性认定，日本首先通过补充本国《个人信息保护法案》的规则，加强个人信息保护来弥补与欧盟个人数据保护方面存在的差距。在已有的个人情报委员会的基础上，建立“争端处置机制”，以确保处理欧盟数据在日本使用时所产生的投诉。由于双方制度不同，日本修改法律需要很长时间，日本提出了不修改法律，在个人情报保护委员的权限内进行改进，最终欧盟同意以个人情报委员会提交数据转移指南作为替代解决方案。[46]日本之所以迫切地与欧盟达成互认，其背后推手与日本企业有关。一般情况下，企业会倾向于选择监管宽松的机制，然而，日本商界却选择了接受欧盟的严格监管。其背后因素是欧盟是日本的第三大出口市场，虽然日本有较大的国内市场，使欧盟愿意与日本就EPA 进行谈判，但日本对欧盟市场依赖超过欧盟对日本市场的依赖。为了减少日本企业转移欧盟数据所面临的风险，商界会主动敦促日本政府与欧盟谈判，达成互认。因为从欧盟平稳地传输个人数据的好处大于遵守严格数据保护规则所带来的调整成本。欧盟的监管机构使日本企业推动政府进行国内改革，对外做出反应。[47]尽管日欧已经生效充分性认定协议，且没有时间限制，但欧盟委员会每四年将会对日本是否达到充分性认定条件进行审查。未来遇到被取消的或调整的可能性仍然存在，另外有裁判欧美“隐私盾”失效的前车之鉴，日欧的跨境数据流动也存在不确定性。

三、日本参与跨境数据流动治理的困境

第一，“可信任的数据自由流动”政策难以执行。DFFT 概念是安倍内阁提出的政策。目前，日本继安倍之后已经换了两任首相。尽管菅政府在任时积极组建数字厅，进行数字化改革，但当时菅内阁的执政根基不牢靠，扁平化的“阁僚主导型”内阁导致责权不清，经常受到在野党的批评。其提交的数字改革法案被在野党挑出45 处问题。[48]由于菅内阁的数字改革是在既有的制度基础上进行的，阻碍既得利益集团的利益链，因此受到反对。尽管菅内阁继承了安倍内阁的方针，但由于疫情愈加严重，菅政府只能把精力放在防疫政策上，对数字改革无暇顾及，后劲不足，出现边际效应递减。菅政府曾经表示2022年达成普及“个人号码卡”的目标。个人号码卡将与个人的银行账户、保险、驾照进行统一绑定，为未来日本数据利用打下重要的基础，但这一政策也因为国民的反对不得不推迟。另外，国民认为菅政府抗疫不力，导致其支持率逐渐下降，最终以短短的一年时间结束了执政。2021 年新任首相岸田公开表示:“随着世界贸易保护主义抬头，日本作为自由贸易的旗手，将在制定国际规则方面发挥积极作用，以实现数字时代的数据自由流动和DFFT”，[49]并将DFFT 纳入到岸田政府的三大外交·安保计划之中。但是岸田内阁依旧面临着选择疫情防控或经济恢复的两大困境，又会走菅内阁的老路，时而偏重疫情防控政策，时而偏重经济恢复，最终两边都绩效甚微。目前岸田内阁开始出现脱离安倍路线的趋势，停止一部分安倍内阁时期的政策。作为安倍内阁遗产之一的DFFT 是否能够真正地在岸田内阁时期贯彻下去还有待观察。

日本将推广DFFT 分为三个阶段，第一阶段是2021 年前成立了第一期DFFT 研究会，调研企业对跨境数据流动的需求以及问题。日本认为不应该把各个国家的法律差异视为问题，而是应该采取措施来填补不同国家之间对跨境数据领域存在的法律法规空白。第二阶段是将DFFT 研究会所调研的结果在国际上进一步加以讨论，分析日本国内的案例是否在国际上也有效。日本国内是由数字厅、总务省、经济产业省三省协调共同研究如何在日本开展DFFT，而通过与OECD 共同合作使DFFT 推向国际化，旨在消除发达国家和发展中国家的数据鸿沟。第三阶段则是日本打算在2023 年G7 会议再次提出DFFT 议案，建议建立协调措施系统，确保跨境数据可以在不同国家的治理体系之间顺利转移。[50]尽管日本致力于推广DFFT，但是日本在国际社会提出的DFFT也面临着国际协调的困境。各国对数据安全保护的立场与看法不同，通过DFFT 达成全球共识仍需时间。例如，印度政府在G20 宣称拒绝参与DFFT，未签署《大阪数字经济宣言》。印度认为DFFT 的概念过于模糊无法全面涵盖所有国家，其次，作为发展中国家，过度的数据开放会使外国科技企业获取本国公民的海量数据信息，并不会为本国实现经济创新反而会影响发展中国家本国企业的数字化发展。[51]欧盟与美国对跨境数据流动的立场不同，也会导致日本难以推行DFFT，日本希望成为欧美之间的桥梁，填补双方立场的空白之处，发挥日本的优势，然而仅靠日本无法将跨境数据规则上升到全球规则，欧美双方目前处于博弈状态，各自都希望推行本国的体系GDPR 和CBPR，掌握全球数字经济规则的主导权。日本不仅需要与欧美协调，还需要在欧美两大强势体系下拓展日本方案。

第二，日本国内数字化发展缓慢，难以在数据流通领域占据优势地位。尽管日本早在20 世纪90 年代就将数字化发展作为国家战略大力推进，但仍处于被动落后的状态。与中国和美国相比，目前在日本很难找到能与谷歌、苹果、腾讯、阿里巴巴等相同水准的互联网巨头，日常所使用的社交软件几乎都是用外国企业的软件，数据占有方面难以抢得先机。根据对日本企业的数字化调查结果，尽管日本企业在数据储存等安全领域有着高度成熟的表现，但在数据治理领域中依旧处于弱势。大多数企业没有对企业的数据治理建设合理的规则，企业数据合规的人才短缺使企业除了需要耗费精力制定数据利用政策及数据利用范围等，还需招聘数字治理人才提高内部培训水平。企业距离实现真正的数字化还需时间。[52]此外，日本的行政机关、行业系统、各大企业处于各自为政的状态，不愿意真正地做到各部门之间相互畅通。疫情的暴发更加暴露出了日本数字行政的滞后，日本行政依旧受制于以往的“印章”“纸质化”等传统模式，导致政府派发补贴时出现延迟事故，保健机构收集确诊人数据只能依赖传真机，并没有真正实现信息数字化。日本疫情初期，在政府的推进下研发了确认新冠接触的APP—COCOA，通过收集行动数据获取疫情信息，假如使用者在两周内接触到新冠确诊者，就会收到APP 发来的信息。然而，从2000年6 月APP 推出至2021 年9 月，在一年多时间内只有3000 万下载量，登录数不及日本国内人口的四分之一。使用人数的不足，也使APP 无法真正地发挥作用，并没有发挥防疫的作用。低下载率与没有得到国民的信赖有一定的联系，APP 需要随时掌握使用者的行动数据，而日本国民对自己的行踪会被掌握一事有抵触，COCOA 推出之时曾出现过安卓系统无法正常使用等问题，导致国民担心数据会被泄露，对下载APP 并不热衷。[53]

第三，日本政府及民众对跨境数据流动可能会导致隐私泄露问题持有戒备心理。2021 年，日本国内8600 万人利用的社交软件Line 被曝出软件系统内容排查业务和开发工作外包给中国公司，该公司员工利用职务访问了Line 用户的个人信息，另外，Line 公司的另一个支付软件Line pay 也被曝料称，用户支付信息与个人信息均保存在韩国境内的数据中心。根据日本的《个人信息保护法》规定，假如企业将数据转移到海外保管时，必须先征得用户的同意，而Line 在隐私政策中并没有如实地向用户说明有利用外包业务，包括数据在海外存档一事。Line 作为日本最大的社交软件，日本各大行政体在Line 拥有公众号，方便国民办理行政业务。Line 事件暴露后，在日本引发了热议，国民担心自己的个人信息与聊天记录会被国外访问，发生信息泄露，日本总务省也宣布停止在Line 的公众号应用。尽管Line 公司声称Line 是一家全球企业，与外国公司合作开发属于正常范围，但是为了重新获得国民与政府的信任，Line 宣布结束在中国和韩国的所有业务，转回日本国内，在日本设立数据中心，将所有数据保存在日本国内。Line 事件也表明日本依旧对数据海外流出抱有戒心，难以做到数据自由跨境流通。[54]

四、结论

振兴日本经济和提高日本在国际社会的话语权是日本积极推动跨境数据流动治理的两个主要原因。数据流通可以提高日本的外贸经济，使日本制造业的竞争优势进一步增强，应对日本的少子老龄化等社会问题，推动日本社会经济发展。在全球治理体系中，美国与欧盟对数据流动治理的分歧使日本赢得机会，吸取欧美数据流动的优点并主动构建和提出日本方案，创建平台让发达国家和发展中国家可以共同参与。这些做法既能展现日本争取成为政治大国的角色，还能使日本谋求在制定全球数据规则中的主导地位，提高在国际社会的话语权。日本参与跨境数据流动治理的路径分为国内与国际两个层面：在跨境数据治理领域中首先完善本国政策，在国内层面将提升数字化作为国家战略之一，对日本国内进行数字化改革推广数据治理。在国际层面与欧美协调，将本国的数据安全保护水平达到西方国家数据流通的要求。积极地在G20 等国际治理机制中提出日本的全球数据方案，同时试图建立一个以日美欧为中心的“数据流动圈”，与拥有共同价值观的国家之间进行数据流动，保障数据安全。日本深知想要让数据达到真正的流通，就需要先确保数据的安全性。为了能够更好地推广数据流通理念，先从国内进行一系列改革；设立个人情报保护委员会对数据流动进行监管，对已有的《个人信息保护法》进行完善与修改，推进信息银行体系，设置数字厅。尽管日本的数据流动治理已取得阶段性成效，但依旧面临着一些困境，新任的岸田内阁是否会着重推广安倍内阁时期的DFFT 还有待考察，国民对个人信息强烈的自我保护意识也使日本数字化改革发展滞后，而落后的数字化很难让日本成功地将本国模式向全球推广。

目前，发展中国家与发达国家在数据流通方面仍然存在鸿沟，日本要做到让所有国家采纳日本的概念是一个巨大的挑战。日本本身对数据流通一事还处于摇摆不定阶段，一方面希望数据能够在全球进行流通，另一方面又担心本国数据会被泄露。Line 事件也证明，日本对可以开展数据流通的国家有偏好，未来会强化建立一个以日美欧为主的数据流动圈，一部分国家可能会被排除在外，如此便无法做到真正的全球性数据流通。

跨境数据流动与日本国内经济社会发展紧密相连，对增强日本的全球竞争力有着重要的作用。笔者建议日本未来推进跨境数据流动应当将DFFT 方案清晰化，目前DFFT 仅处于概念层面，并没有对跨境数据流动规则提出明确的法律方案。没有统一的和明确的制度将导致各个国家对数据流动产生误解。日本应当借鉴GDPR 或CBPR，将DFFT 从概念方案落地到明确的法律制度，构建源于日本的全球跨境数据流动规则。