看清APEC“跨境隐私保护规则”体系背后的政治和经济
中国的数据跨境流动治理制度正在逐步形成,在此过程中,经常收到美国政府、美国商会等提出的建议。核心建议之一,更准确地说是敦促之一,即是中国采用APEC的“跨境隐私保护规则”(CBPR)体制多好啊,为什么要自己另开一条道路呢?
近日,美国在WTO场合提交了一份针对我国网络安全法的文件,再次提出APEC的CBPR体系,声称这是一项less burdensome option,而且也能够achieve privacy objectives【见文件中的3(C)段,中文译文参见此处。】
简单来说,CBPR促进个人数据跨境流动的基本逻辑是,如果位处于不同国家的不同公司,统一承诺并遵循APEC隐私框架提出的九大个人信息保护原则,则个人数据在这些公司之间流动就应该不受阻碍。由于这些公司都通过同一套原则来保护个人信息,那参与CBPR的国家就不得再以保护个人信息为理由,阻碍个人信息的跨境流动。【请原谅本文没对CBPR给出一定的基础介绍,感兴趣的读者可访问http://www.cbprs.org/,权威的介绍和官方文件均在此处。】
正好在香港参加完第39届的ICDPPC(International Conference of Data Protection and Privacy Commissioners),和不少相关人士探讨了CBPR的问题,形成了一些不成熟的看法和观点,通过此短文写出,算是对美国政府、商会等的回应。
CBPR“成功”吗?
CBPR建立于2011年。其官方网站上声称美国、日本、墨西哥、加拿大已经加入。但实际上,墨西哥和加拿大还没有指定Accountability Agent,所以不能说这两国已经开始实际运作CBPR体系。【注:在ICDPPC上,韩国的个人数据保护机构的官员已经介绍了其加入CBPR的进展,新加坡的个人数据保护机构官员明确表示了加入的意向。】
所以,准确地说,经过6年,真正开始运作CBPR的只有美国和日本。值得注意的是,日本也仅仅在2016年2月指定了Accountability Agent——the Japan Institute for Promotion of Digital Economy and Community (JIPDEC) ,也就是说,日本真正开始运作CBPR体系的时间,不到两年。而且,墨西哥是从2013年就决定加入CBPR,加拿大是2015年决定加入,但是两个国家拖了这么长的时间,还没有指定Accountability Agent,背后的原因是什么?
再让我们看看取得CBPR认证的企业数量。到目前为止,只有23家企业。其中,美国22家。日本只有一家——Intasect Communications, Inc。【不知道各位朋友听过这家企业没有,反正我是没听过。】也就是说,日本开始运作CBPR的一年多时间内,只有一家企业取得了CBPR的认证。即便是美国,从2012年至今,也只有22家企业取得了CBPR认证。【注:绝非取得CBPR认证非常困难,这一点下文会解释。】
相比欧盟建立的个人数据跨境各项机制来看,CBPR的成绩真的是小巫见大巫。单单拿被判决无效的安全港协议,多少美国企业加入其中。就算是刚刚经过一年的隐私盾协议,按照ICDPPC会上,美、欧官员确认至少有2400家企业加入其中。
如此大的差异,显然不能用美欧之间贸易量更大来解释。否则奥巴马政府为什么要提出重返亚太计划?否则奥巴马政府为什么要提出覆盖大多数APEC国家的TPP协议?一边是亚太区域内巨大的贸易往来,一边是进展超级缓慢的CBPR制度和企业对CBPR非常低落的兴趣,这中间巨大的反差甚至是裂痕,如何解释?
如何看待CBPR基于的APEC隐私框架?
按照国际上许多学者的研究,个人信息保护基本原则已经历经了两代,目前很可能进入了第三代:
第一代的个人信息保护原则就是OECD1980年发布的隐私框架和Council of Europe 1981年发布的“第108号公约”。基本上,两份文件定义了现代意义上的“个人信息保护法”应具备的基本内容。
第二代个人信息保护原则的主要代表性立法就是欧盟95年的指令。其在第一代原则的基础上进行了扩展,加入了包括“数据最少够用”、“删除”、“敏感信息”、“独立的个人信息保护机构”等等要素。
第三代个人信息保护原则的主要代表性立法还是由欧盟主导,即《通用数据保护条例》(GDPR)。GDPR与第二代相比又有了扩展,包括“企业内部设立数据保护官”、“数据保护影响评估”、“发生数据安全事件后对数据保护机构的报告和对个人的通知”、“集体诉讼制度”等等要素。
除了欧盟主导的演进外,OECD在2013年发布了新版的隐私框架,没有太大的改动,主要是增加了“发生数据安全事件后对数据保护机构的报告和对个人的通知”。APEC隐私框架2016年的改动主要是向OECD2013版本看齐。
通过这三代的演进,我们来看APEC隐私框架中包含的九大原则,显然APEC体现的原则还处于第一代的水准。
当然,我们可以认为,仅仅是欧盟在“一意孤行”地推动个人信息保护,其他国家还是觉得第一代的保护水平足够了。但实证研究却展现出另一幅图景。在ICDPPC会议上,长期跟踪个人信息保护的知名学者Greenleaf教授做了精彩的演讲。他在“欧盟之外”且“通过了统一性的个人信息保护立法”的国家和地区中,选取了GDP前20的国家和地区,发现相当多的国家和地区做到了向第二代个人数据保护原则的靠拢。以打分计算的话,10分为完全符合,结果如下:
Peru (10); South Africa (9); Korea (South) (9); Argentina (8); Colombia (8); Malaysia (8); Canada (7); Taiwan (7); Australia (6); Hong Kong (6); New Zealand (6); Philippines (6); Israel (5); Japan (5); Mexico (5); Singapore (5); India (4); Vietnam (3); Indonesia (2); and Chile (1).
按照Greenleaf教授的计算,考虑到智利、印度尼西亚、新西兰正在起草新的个人信息保护法,如果通过,则这20个国家和地区向第二代个人数据保护原则的靠拢程度将达到6.5。再考虑到印度最高法院新近做出“隐私是基本人权”的判决,并要求印度政府起草新的个人信息保护法律,则这个平均分将更高。
也就是说,“欧盟之外”且“通过了统一性的个人信息保护立法”的国家和地区,主要是在向欧盟95年的指令靠拢,提供的个人信息保护水平已经显著超越了OECD、APEC提出的保护水平。
这一点也在我和加拿大、墨西哥、韩国、新加坡、香港等国家和地区的个人数据保护官员的交谈中得到证实,他们均认为自己国家的个人数据保护法律,已经明显超过了APEC九大原则提出的保护水平。【这也就解释了获得CBPR的认证其实不难,主要是公司自己觉得是否有必要花费成本加入而已】
CBPR束缚了一国主权吗?
在ICDPPC的几场CBPR的宣讲会中,美国官员极力宣扬,CBPR的好处是参与国家不需要通过、修改自己的国内法;CBPR可以和各国家国内的个人信息保护法律并行不悖。美国官员的潜台词是:我们不像欧盟,无论是在充分性认定的谈判中,还是在美欧之间隐私盾的谈判中,都需要其他国家修改自己的法律向欧盟靠拢。
但在日本相关官员的演讲中,展现了另外一幅情形。日本在2015年修改了自己的个人信息保护法,并于2017年正式生效。其中对个人信息跨境流动的条款修改成:
可以看到,日本允许个人信息跨境流动有三种情形:第一是日本认定的白名单国家;第二是位于第三国的数据接收方遵循了“日本个人数据保护法指定的保护标准”。第三是个人信息主体的同意。
在其中第二种情形中,日本个人信息保护机构在解释“the standards prescribed by the PPC rules”时,明确将APEC隐私框架以及CBPR体系纳入其中。也就是说,为了在2016年正式运行CBPR体系,日本专门修改了关于跨境流动的法条,专门认定取得CBPR认证的海外公司算是采用了“合适和合理的方式”(appropriate and reasonable method)来保护个人信息,因此个人信息可以由日本自由地向这些海外公司流动。
同样的,韩国的个人信息保护官员告诉我,在目前韩国法律中(PIPA的article 17)要求,向境外提供个人信息时,需要个人的同意。为了加入CBPR,韩国的KCC(Korean Communication Commission)已经于2017年3月向韩国国会提交了修改该条的提案,但是目前仍然没有结果。
从日本、韩国的例子说明了什么?让我们一步步推演:
一个国家的数据保护制度,一般来说包括两部分,一部分是数据在国内的保护,一部分是数据的跨境制度。对于国内保护部分,你可以把保护水平设计得很高,没问题。但是在设计跨境制度时,你不能要求第三国的水平和你的水平一致。例如,韩国、日本可以把个人信息在其国内的保护,设计得很严格,没问题,甚至达到9分、10分都行,但是只要加入了CBPR体制,你不能要求第三国的数据接收方也达到9分、10分的保护水平;相反,只要该接收方达到了APEC要求的6分的保护水平,个人信息就得放行。
这也是为什么日本、韩国必需修改自己国内的法律,以适应CBPR的要求。因此,美国官员的话有意或无意地模糊了一个非常重要的区分:确实CBPR没有要求参与国修改或降低自己在国内对个人数据的保护水平,但是它强制这个国家在管控个人信息出境时,不得要求第三国的数据接收方提供超过APEC的保护水平。
很明显,这是对主权的一个显著限制。
CBPR和TPP有什么关系?
在我看来,CBPR和TPP一样,都显著体现了美国政府的战略利益。通过强迫各参与国同意一个基于低水平保护的个人信息跨境流动制度【参见本文第二点】,使得各国的个人信息便利地向美国聚拢。
让我们来看看TPP电子商务章节的有关规定:
首先,Article 14.11 Cross-Border Transfer of Information by Electronic Means要求各签署国应当允许个人信息的自由跨境流动,除非是出于“正当的公共政策目标”【“a legitimate public policy objective”】。对此,许多朋友肯定会说,保护个人信息,显然属于“正当的公共政策目标”。
没错。让我们再看Article 14.8: Personal Information Protection。该条表面上是说,保护个人信息对于电子商务开展有多重要,各签署国有义务这么做。但实际上的效果是说,各签署国保护的方式、方法、水平肯定是不一致的,但是只要满足一定的低线,那就算做到了对个人信息的保护。
为什么说是低线?确实魔鬼处于细节之中,请各位朋友们和我一起再仔细阅读TPP本章的注释6:For greater certainty, a Party may comply with the obligation in this paragraph by adopting or maintaining measures such as a comprehensive privacy, personal information or personal data protection laws, sector-specific laws covering privacy, or laws that provide for the enforcement of voluntary undertakings by enterprises relating to privacy. 通过该注释,各签署国获得了采取各自偏好的方式来保护个人信息的空间,例如美国,就不需要像韩国、日本那样需要设立高水平的“统一性的个人信息保护立法”,同时也可以对其他TPP签署国声称,其本国法律已经做到了对个人信息的保护了。与此同时,既然美国法律已经做到了对个人信息的保护,那么各签署国就不应该再出于保护个人信息的事由,限制个人信息流向美国。
也正是在看到TPP的该条款和该注释之后,欧盟赶紧在和美国开展的TTIP谈判时一再声称:个人信息保护是基本人权,因此决不能在贸易谈判中谈没了(bargain away)。换句话说,欧盟的这个表态是在坚决杜绝美国通过TPP类似条款,要求欧盟放弃对个人信息出境的高水平保护要求。
也就是说,正是通过建立在低水平保护的CBPR体系,或者通过TPP强迫各签署国承认并认同美国法律对个人信息保护水平,美国努力实现其战略利益——促进个人信息自由地跨境流动,更准确地说,向美国聚拢。
小结
当下,欧盟正在利用95指令、GDPR中提供的各种工具,使得各国向其靠拢,提供高水平的个人信息保护。详见本公号文章“欧盟对数据的战略性“玩法””。
而美国政府则极力宣扬CBPR体系,并拉拢其坚定盟友的加盟,其核心实质是——通过建立于低水平保护的个人信息跨境流动秩序,确保各国家不会用“自身国内提供了高水平保护”为理由而限制个人信息的出口,最终实现个人信息向美国聚拢。显然,CBPR体系有很浓的对抗欧盟95指令和GDPR推崇的数据跨境流动体制的意味。
在上述两大趋势的对撞中,中国难道不应该从自身利益出发,做出独立自主的选择吗?