薛志华 曾德华 孟奇勋

大规模的跨境数据流动推动了全球数字经济的繁荣发展，也导致了数据传输中的安全风险 ①。为平衡数据安全与发展，世界主要国家均将跨境数据流动纳入国内法律框架进行调整。日本先后制定、修订国内法律以完善跨境数据流动监管。研究日本监管规则修订的原因及产生的影响，有助于及时掌握国外数据治理规则发展动态。从现有对跨境数据流动规则的研究来看，学术界主要关注美国和欧盟的立法和实践 ②，对日本的数据治理规则研究主要聚焦于规则制度的规范性分析，借助案例分析阐释企业应对的研究有待深化。本文在全面分析日本跨境数据流动监管制度框架的基础上，以2021年发生的日本通信软件Line数据安全漏洞案件为分析对象，研究日本监管新动向引发的风险及中国企业的应对，以期支持中国企业对日本开展经贸、投资活动。

日本跨境数据流动监管的制度框架及其最新发展

跨境数据流动监管的法律框架

遵循人权导向，注重保护国民个体尊严和人身权利是日本跨境数据流动法律框架的基础。这一理念被《日本国宪法》通过幸福追求权的内容加以规定。当前幸福追求权的规定进一步被具体化为隐私权、个人信息权的内容，并被日本《个人信息保护法》加以明确化。

《个人信息保护法》（Act on the Protection of Personal Information，以下简称“APPI”）是日本数据治理的核心法规之一，最初于2003年5月制定，2005年4月全面施行。该法律先后于2015年与2020年进行了修订，2020年修订案于2022年4月1日起全面施行。该法综合了欧洲和美国立法模式特点，采用了美国的“事后限制”方法，尊重私人企业的自主性，注重信息的自由流通和使用，并借鉴了欧洲制定“一般法”的方式 ①。该法规定了个人信息的收集、使用、提供等方面的义务，同时设立了个人信息保护委员会（以下简称“PPC”），负责监督法规的执行，为跨境数据流动监管提供明确的依据。

2020年修订版第28条中明确了对外国第三方提供个人信息的限制，规定个人信息处理业者在向外国（定义为日本境外的国家或地区）的第三方提供个人数据时，除非该外国有与日本相同水平的个人信息保护制度，否则必须事先获得本人的同意。此外，提供数据前必须向本人提供有关该外国个人信息保护制度和第三方保护措施的信息。如果第三方已经实施了与日本个人信息保护法相当的措施，那么个人信息处理业者需要采取适当措施来确保这些措施得到持续执行，并在用户要求时提供相关信息。根据法律第29条的规定，其中包括创建第三方提供记录等措施：规定个人信息处理业者在向第三方提供个人数据时，必须根据个人信息保护委员会规则创建相关记录，并保存一定期限。同时，法律第30条规定了接受第三方提供时的确认等，要求个人信息处理业者在接受第三方提供的个人数据时，必须进行必要的确认，并创建相关记录。

跨境数据流动监管条款的最新修订

随着信息通信技术的快速发展和全球化的深入，跨境数据传输的需求不断增加，这给原有的个人信息保护规则带来挑战。日本的立法者在APPI的附则中预留了一个更新机制，即政府每三年对个人信息保护相关的国际动向和新兴产业进行考察并适时制定新的措施。以附则中的更新机制为依据，日本在2020年对APPI中跨境监管的相关条款进行修订，以适应跨境数据流动监管的需要。

1.增加数据传输方的信息披露义务

APPI（2020年修订）第28条第2款明确规定，进行跨境数据传输的个人信息处理者在向外国第三方提供个人信息时，需要在获取数据主体同意之前履行信息披露义务。具体要求包括向相关监管机构和信息主体披露以下信息：信息接收方所在国家及该国的个人信息保护制度，信息接收方为保护个人信息所采取的安全保障措施，以及其他应该提供给本人参考的信息。此外，数据传输方的信息披露方式也在此次立法中得到调整：从“以书面方式为原则”修改为“以个人指定方式为原则”。这意味着企业必须按照个人指定的披露方式（包括电子数据）进行披露。同时，考虑到企业负担的减轻，如果个人指定的披露方式因费用过高等原因难以实现，也可以允许采用书面形式进行披露。

2.采取必要措施的义务

APPI（2020年修订）第 28条第3款规定，如果个人信息处理者向境外第三方提供个人数据，则必须按照个人信息保护委员会的规定，“采取必要措施以确保第三方继续实施相应的保护措施，并在数据主体要求时提供有关这些必要措施的信息。”必要措施的具体要求包括（《个人信息保护委员会规则》第18条）“以适当和合理的方式，定期确认该第三方实施适当措施的情况，以及可能影响该措施实施的该外国的制度是否存在及其内容。”另外，“当该第三方实施适当措施遇到障碍时，应采取必要和适当的措施，并在持续实施该措施变得困难时，停止向该第三方提供个人数据。”考虑到第三方的参与，数据处理者无法完全防备第三方对数据的破坏和泄露，无法完全控制第三方的行为。基于这一点，这种加重的义务并不是要求数据处理者保证数据在任何情况下都不会遭到破坏或泄露，而是要求他们采取所有合理的手段来约束和监督第三方，使他们能够以一种可预测和可管理的方式执行其职责，减少了因未能满足不明确的义务标准而可能面临的无端责任追究。

日本跨境数据流动监管制度发展的原因

加强对跨境数据流动的监管体现了日本对数据自由流动政策的调整，政策重心在关注数据流动自由的同时强调与安全并重，这个转变主要涉及国内和国际两个方面原因。

一方面，借助增强监管的政策宣示提升日本民众自愿提供数据的信心。跨境数据流动带来的经济价值需要建立在海量的数据供给基础上。实现这一目标，除了需要企业的数据供给外，还需要国内民众高度配合愿意提供个人数据。日本总务省做的一项民众与数据流动认识的调查结果显示，日本国民提供个人数据的意愿度与理解度远低于中国、美国、英国、德国，造成这一现象的原因之一是日本国民对数据泄露、恶意使用等安全问题的担忧，对数据处理者能否做好数据安全管理心存戒备 ①。在这种情况下，一味地追求数据自由流动，将不可避免地忽视国民对数据安全的呼声，最终对数据的汇集、处理产生不利影响。因此，日本通过加强跨境数据流动的监管，提高企业的数据安全管理要求，以增强国民对数据安全的信心和提供个人数据的主动性。

另一方面，提升日本在全球数据安全治理领域的国际话语权。当前全球数据安全国际规则的竞争态势愈演愈烈。欧盟的跨境数据流动认证标准、美国的数据控制者标准均在国际上产生了较大影响。日本借助举办G20峰会的契机，提出“可信数据自由流动”倡议，这一倡议既强调促进数据驱动经济的发展，也强调建立数据安全信任，保护国家安全和个人隐私 ②。日本跨境数据流动监管制度的发展可以视为对这一倡议内容的具体化。借助APPI的修订，并将安全流动的理念和内容落实到双边条约和多边贸易协定中，日本着力推动与欧盟、美国在跨境数据流动领域的安全同盟建设，推动建立安全同盟内部的数据安全圈。这种做法是日本介入美欧主导全球数据跨境流动格局的尝试，旨在逐步提升跨境数据流动治理的国际影响力和话语权 ③。

监管制度发展引发的法律风险

2018年以来，LINE公司（日本）在上海的关联公司（上海LINE数码科技有限公司）中4名负责系统维护的中国工程师，在没有通知日本用户的情况下登录日本服务器至少32次，访问了用户信息。这些服务器上存放着用户的姓名、电话号码和电子邮件地址等信息。LINE公司解释称，该公司出于业务上的需要而访问用户信息，并没有发现信息泄露现象。

2021年3月19日，基于当时实施的法案，日本个人信息保护委员会要求LINE公司及其母公司Z控股公司（Z Holdings）提交报告，并于同年3月31日起，对LINE公司实施入内检查。依其当时实施的《个人信息保护法》即2015年法来看，个人信息保护委员会按照该法第40条规定对LINE公司实施报告收集和检查工作。从PPC官网披露的信息中可以得知，委员会在此次检查工作中认为LINE的安全管理体系不充分，需要对LINE的报告进行进一步调查和验证，并强调LINE公司需要持续改进数据安全管理 ①。由于LINE处理的个人数据具有高度隐私性和大量性，因此对安全措施的要求很高。委员会根据法律第41条（2020年修订版APPI第147条）规定对LINE公司提供行政指导，强调了对处理个人数据的承包商进行适当监督的必要性、定期审计制度的实施，以及明确通知用户收集个人信息的范围 ②。

Line案例涉及的法律问题

1.管辖权问题。

基于网络空间的无国界性、虚拟性、发散性、复合性和互动性等特征，跨境数据流动天然地对传统管辖规则提出了新的挑战 ③。目前，随着数据在网络媒介上的跨境流动和存储变得普遍，导致数据的来源、存储和处理地之间出现了分离和割裂，进而导致了数据管辖权和治理权之间的界限模糊。考虑到数据对国家安全和公民隐私的重要性，一些国家或区域组织通过立法对跨境数据赋予了扩张性的执法管辖权 ④。

APPI（2020年修订）第171条规定：“当个人信息处理者对于获得的国内数据主体的个人信息，在国外进行处理的情况下，该法律仍然适用。”这意味着即使数据处理发生在国外，只要涉及的个人信息是来自日本国内的数据主体，日本的法律就有管辖权。在上述案件中，日本LINE公司所委托的第三方是一家中国企业，但这家企业对存储于日本的LINE公司服务器上的用户数据进行了直接访问。根据第171条的规定，这种行为显然仍属于APPI所调整的范围之内。个人信息保护委员会依照法律对LINE公司进行行政执法的行为，不仅体现了在相关领域日本行政管辖权的域外扩张，同时肯定了相关立法的域外效力，为域外执法管辖权的行使提供了合法性的支持。

2.企业开展跨境数据传输的实体义务问题。

APPI（2020年修订）第28条第2款明确规定，进行跨境数据传输的个人信息处理者在向外国第三方提供个人信息时，需要在获取数据主体同意之前履行信息披露义务。特定情况下第28条的规定不适用，包括提供给具有同等个人信息保护水平的国家的第三方；提供给已建立相当措施的第三方。如果第三方已经根据个人信息保护委员会的规则采取相应措施，建立了与个人信息处理事业者相当的体系，那么在向这些第三方提供个人信息时，可以不需要遵循第28条的同意要求。

在LINE公司的案例中，由于涉及在中国的外包公司对LINE公司个人信息数据的处理（包括访问），而中国并不属于日本个人信息保护委员会所规定的具有相当个人信息保护水平的国家，意味着需要获取数据主体的明确同意。此外，根据APPI，个人信息处理事业者必须采取必要且适当的措施，以防止个人数据的泄露、丢失或损坏，并确保个人数据的安全管理（APPI第23条）。当将个人信息处理的全部或部分委托给第三方时，必须对委托方进行必要且适当的监督，以确保数据安全（APPI第25条）。即使已经获得数据拥有者本人的同意将个人数据提供给外国的第三方，也不免除对委托方进行监督的义务。监督的目的是确保与事业者自身处理个人信息相同水平的保护。如果作为委托方的日本LINE公司，在中国工程师访问日本服务器的数据时，未能履行这些信息披露义务，那么它可能涉及到对APPI中相关规定的违反，即被视为不适当的第三方提供，从而构成信息泄露，进而导致责任方日本LINE公司承担相应的违反义务的法律后果。

案件反映的法律风险类型

1.境外访问行为的管辖风险。

APPI（2020年修订）第171条规定，“当个人信息处理者在国外处理国内数据主体的个人信息时，该法律仍然适用。”这意味着，即使某个行为在物理上发生在日本之外，只要它涉及或影响到日本境内的个人信息，该法律就有适用的空间。这对于在日本的中国企业或与日本企业有业务往来的国际企业而言，构成了一个显著的合规挑战。因此，对于涉及跨境数据处理的企业来说，理解并遵守日本的个人信息保护法规是至关重要的。这不仅涉及遵守具体的法律条款，如同意的获取和数据的安全处理，也涉及更广泛的合规文化，包括对数据主体权利的尊重，以及在数据处理过程中的透明度和责任性。

2.违背信息披露义务的风险。

APPI（2020年修订）第28条第2款对个人信息处理者披露义务的规定，旨在增强数据传输的透明度和数据主体的知情权，从而保障数据主体的利益。违反这一信息披露义务可能导致一系列风险。首先，最直接的风险是法律责任。例如，LINE公司的案例中，其处理个人信息的方式引起了公众和监管机构的关注。若LINE公司未能遵守上述法律规定，可能会受到法律制裁，损害其商业信誉和客户信任。其次，不遵守信息披露义务可能导致数据主体的信任丧失，会被视为不透明或欺诈行为，这在长期内可能对企业的品牌和市场定位产生负面影响。此外，若个人信息处理者未能充分了解信息接收方的数据保护措施，可能会将数据传输给安全措施不足的第三方，增加数据泄露的风险。

3.针对承包商的监督义务风险。

APPI第25条规定，“个人信息处理者委托处理全部或部分个人数据的，必须对受委托方进行必要和适当的监督，以确保受委托处理的个人数据的安全管理。”个人信息处理者不仅要对自身的数据处理活动负责，还需对委托给第三方承包商的数据处理活动进行监督和管理，监督义务的实施涉及多个风险点。首先，承包商可能缺乏足够的数据保护措施，而增加由此产生的数据泄露的风险。其次，承包商可能未能完全遵守数据保护法律和规范，导致合法性问题。此外，监督过程中的不透明或不足可能导致个人信息处理者无法准确评估承包商的数据处理活动。在LINE公司的案例中，公司面临的主要问题是在处理和存储个人数据时涉及的外部承包商。该案例表明，即使是大型企业也可能在对承包商的数据处理活动进行持续且有效的监督方面遇到挑战。

中国企业如何提升数据安全治理水平

健全企业内部数据治理机制

内部数据治理机制不仅是企业加强数据安全管理的需要，也是应对域外长臂管辖的需要。对于数据治理领域域外管辖的兴起，中国企业需全面跟踪和及时掌握数据流入和流出国家的监管规则发展，完善内部数据安全治理框架。

第一，建立数据全生命周期安全管理制度。在合法正当、知情同意、最小必要和公开透明等数据处理原则的指导下，针对各种级别的数据，应该制定具体的分级保护要求和操作规程，确保在数据收集、存储、使用和传输的每一个环节实施严格的数据安全措施以满足数据合规要求。

第二，落实数据安全处理人员管理制度。数据合规实践反复证明确立数据合规控制流程不能完全消弭风险，还需要企业主体着眼于数据合规风险应对机制的构建并明确监管红线，包括设立内部数据合规机构、确定数据安全责任人和责任部门，应根据需求设立数据安全管理人员，负责全面监督和管理数据处理活动的安全性，并协助行业监管部门的相关工作。

第三，培养数据合规文化。企业应该通过塑造合规理念，将合规观念纳入经营实践中，并建立起员工的合规意识。

增强企业数据处理的透明度

数据处理者需要履行信息披露义务，增强数据处理透明度已成为普遍共识。在当前的法律规则中，透明度要求具象化为知情同意规则，同时要求企业满足信息披露义务的要求，建立与用户间的投诉和争议解决机制。

一是遵守知情同意规则。个人信息处理者只有在取得个人同意后才能处理相关的个人信息，知情同意规则是在1970年由德国黑森州的数据保护法所确认的 ①。在处理个人信息时，企业要获取数据主体的同意必须确保其同意是在知情的基础上，明确、自愿且真实作出的。当涉及向外国第三方提供个人数据时，尤为重要的是要确保获取数据本人的明确同意，并向其提供充足的信息，包括数据将如何被处理、存储和保护，以及移转目的地的相关信息。

二是满足信息披露义务要求。作为信息处理者，需要明确了解相关法律对信息披露义务的具体要求，并确立监管的底线。应当配合相关法律制度，从信息披露时间、披露内容、披露方式等方面完善企业的信息披露体系。在处理个人信息时，需以公开、透明的方式行事，向信息主体公布个人信息处理规则，并清楚告知处理目的、方式及范围。在紧急情况下，若无法及时通知，处理者应在情况缓解后尽快履行告知义务。并且应以显著方式、清晰易懂的语言通知，确保信息主体充分理解。

三是建立投诉和争议解决机制。投诉和争议解决机制源自于用户与数据处理者在掌握信息、可调动资源等领域的不平衡地位。从保护用户权益、实现实质公平的视角，企业需建立相关机制，增强数据处理过程的可诉性。企业可以通过用户协议的形式，明确用户投诉渠道，建立争议解决机制。一方面是明确投诉程序启动的条件、程序，告知用户投诉处理的期限、结果反馈的渠道。另一方面，针对用户对投诉结果不满的情形，企业可建立第三方争议解决机制，由第三方对争议进行处理，更好地维护用户权益。

加强同承包商之间的协同合作

APPI第25条规定，委托方在委托处理个人数据时，必须对受委托方进行必要和适当的监督，突显了数据处理合作关系中的核心法律责任。个人信息处理者在委托数据处理时，不能只依赖受委托方的自我管理，必须主动监督，确保符合数据保护标准。企业需要在以下几个方面加强同承包商之间的协作，有效执行这一要求。

第一，审慎选择合作伙伴。合作伙伴的选择不仅应基于其专业技能和服务质量，更要考虑其数据保护政策和历史表现。这一过程需要通过细致的尽职调查来完成，包括但不限于审查潜在承包商的数据保护措施、安全策略和遵守法律的记录。一旦选择了合适的承包商，接下来的关键步骤是在合同中明确规定数据保护的条款。这些条款不仅应覆盖数据处理的具体细节，还应包括监督和审核机制，以及在数据泄露或其他安全事件发生时的应对措施，确保双方对于数据保护的期望和责任有着共同的理解。

第二，建立定期监督和评估机制。在合作过程中，定期的监督和评估是保证数据安全管理的关键环节。这不仅包括定期审查承包商的数据处理活动，还应包括对其安全措施的评估和验证。在必要时，进行现场审核或第三方审核也是确保数据安全管理到位的有效手段。

第三，明确各自法律责任。在业务合同中应纳入数据保护条款，如果数据处理方通过间接渠道获取重要和核心数据，应该与数据提供方签订相关协议或承诺书，明确双方的法律责任。在委托传输数据时，应根据数据的特性、重要性和使用环境，制定相应的安全策略，并实施适当的保护措施。为了适应全球化的数据治理趋势，克服跨境数据合规的难题，我国企业应当密切关注相关国家立法新动向，着重把握当地数据跨境要求，明确监管红线，构建一套完善的现代化企业数据流动合规体系。在数据主权安全日益受到重视的今天，各国的数据流动监管规则都将不断对企业数据合规体系提出更高的要求，企业在出海时必须直面跨境数据合规难题，强化数据安全管理与合规体系建设，以适应数字经济的未来发展趋势。

（编辑 杨利红）

① 梁正.跨境数据流动中的信息安全问题探究[J].人民论坛， 2023 （17） ： 38-41.

② 张光.宋歌.数字经济下的全球规则博弈与中国路径选择：基于跨境数据流动规制视角[J].学术交流， 2022 （1）： 96-113.

① 宇賀克也.個人情報保護法の逐条解説（第6版）[M].日本： 有斐閣， 2018： 26-27.

① 総務省.2017年版情報通信白書[EB/OL].（2017-07） [2023-02-05]. https：//www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/pdf/ n2200000.pdf.

② 邓灵斌.日本跨境数据流动规制新方案及中国路径——基于“数据安全保障”视角的分析[J].情报资料工作， 2022 （1） ： 52-60.

③ Suda Yuko. Japans Personal Information Protection Policy Under Pressure： The Japan-EU Data Transfer Dialogue and Beyond[J]. Asian Survey， 2020， 60 （3） ： 510-533.

① 日本个人信息保护委员会.LINE株式会社に対する調査状況について[EB/OL]. （2021-7-21） [2024-1-5]. https：//www.ppc.go.jp/files/pdf/210721_ shiryou-1.pdf

②日本个人信息保护委员会.個人情報の保護に関する法律に基つく行政上の対応について[EB/OL]. （2021-4-23） [2024-1-5]. https：//www.ppc. go.jp/files/pdf/210423_houdou.pdf

③ 孙尚鸿.传统管辖规则在网络背景下所面临的冲击与挑战[J].法律科学： 西北政法学院学报， 2018 （4） ： 160-168.

④ 邵怿.论域外数据执法管辖权的单方扩张[J].社会科学， 2020 （10）： 119-129.

① 程啸.论个人信息处理者的告知义务[J].上海政法学院学报（法治论丛）， 2021 （5） ： 67-80.