编者按：

新闻报道

中国的数据跨境流动治理制度正在逐步形成，在此过程中，经常收到美国政府、美国商会等提出的建议。核心建议之一，更准确地说是敦促之一，即是中国采用APEC的“跨境隐私保护规则”（CBPR）体制多好啊，为什么要自己另开一条道路呢？

近日，美国在WTO场合提交了一份针对我国网络安全法的文件，再次提出APEC的CBPR体系，声称这是一项less burdensome option，而且也能够achieve privacy objectives【见文件中的3（C）段，中文译文参见此处。】

简单来说，CBPR促进个人数据跨境流动的基本逻辑是，如果位处于不同国家的不同公司，统一承诺并遵循APEC隐私框架提出的九大个人信息保护原则，则个人数据在这些公司之间流动就应该不受阻碍。由于这些公司都通过同一套原则来保护个人信息，那参与CBPR的国家就不得再以保护个人信息为理由，阻碍个人信息的跨境流动。【请原谅本文没对CBPR给出一定的基础介绍，感兴趣的读者可访问http://www.cbprs.org/，权威的介绍和官方文件均在此处。】

正好在香港参加完第39届的ICDPPC（International Conference of Data Protection and Privacy Commissioners），和不少相关人士探讨了CBPR的问题，形成了一些不成熟的看法和观点，通过此短文写出，算是对美国政府、商会等的回应。

CBPR“成功”吗？

CBPR建立于2011年。其官方网站上声称美国、日本、墨西哥、加拿大已经加入。但实际上，墨西哥和加拿大还没有指定Accountability Agent，所以不能说这两国已经开始实际运作CBPR体系。【注：在ICDPPC上，韩国的个人数据保护机构的官员已经介绍了其加入CBPR的进展，新加坡的个人数据保护机构官员明确表示了加入的意向。】

【公号君注：从2017年至今，又有几个经济体加入了CBPR体系。现在一共有九个经济体，分别是：美国、墨西哥、日本、加拿大、新加坡、韩国、澳大利亚、中华台北、菲律宾。全是美国的盟友国家和地区。】

所以，准确地说，经过6年，真正开始运作CBPR的只有美国和日本。值得注意的是，日本也仅仅在2016年2月指定了Accountability Agent——the Japan Institute for Promotion of Digital Economy and Community (JIPDEC) ，也就是说，日本真正开始运作CBPR体系的时间，不到两年。而且，墨西哥是从2013年就决定加入CBPR，加拿大是2015年决定加入，但是两个国家拖了这么长的时间，还没有指定Accountability Agent，背后的原因是什么？

【公号君注：在CBPR网站中，有这么一句话：“目前，总部设在日本、韩国、新加坡和美国的公司均可获得CBPR认证”。（CBPR certification is currently available to companies headquartered in Japan, Korea, Singapore and the United States. ）换句话说，另外5个国家并没有实际地运营CBPR认证。背后的原因是什么？】

再让我们看看取得CBPR认证的企业数量。到目前为止，只有23家企业。其中，美国22家。日本只有一家——Intasect Communications, Inc。【不知道各位朋友听过这家企业没有，反正我是没听过。】也就是说，日本开始运作CBPR的一年多时间内，只有一家企业取得了CBPR的认证。即便是美国，从2012年至今，也只有22家企业取得了CBPR认证。【注：绝非取得CBPR认证非常困难，这一点下文会解释。】

【公号君注：目前，取得CBPR认证的企业数量为35家。其中有3家日本公司，其余为美国公司。http://cbprs.org/compliance-directory/cbpr-system/】

相比欧盟建立的个人数据跨境各项机制来看，CBPR的成绩真的是小巫见大巫。单单拿被判决无效的安全港协议，多少美国企业加入其中。就算是刚刚经过一年的隐私盾协议，按照ICDPPC会上，美、欧官员确认至少有2400家企业加入其中。

【公号君注：隐私盾在被推翻之际，共有5000余家企业加入其中】

如此大的差异，显然不能用美欧之间贸易量更大来解释。否则奥巴马政府为什么要提出重返亚太计划？否则奥巴马政府为什么要提出覆盖大多数APEC国家的TPP协议？一边是亚太区域内巨大的贸易往来，一边是进展超级缓慢的CBPR制度和企业对CBPR非常低落的兴趣，这中间巨大的反差甚至是裂痕，如何解释？

如何看待CBPR基于的APEC隐私框架？

按照国际上许多学者的研究，个人信息保护基本原则已经历经了两代，目前很可能进入了第三代：

第一代的个人信息保护原则就是OECD1980年发布的隐私框架和Council of Europe 1981年发布的“第108号公约”。基本上，两份文件定义了现代意义上的“个人信息保护法”应具备的基本内容。

第二代个人信息保护原则的主要代表性立法就是欧盟95年的指令。其在第一代原则的基础上进行了扩展，加入了包括“数据最少够用”、“删除”、“敏感信息”、“独立的个人信息保护机构”等等要素。

第三代个人信息保护原则的主要代表性立法还是由欧盟主导，即《通用数据保护条例》（GDPR）。GDPR与第二代相比又有了扩展，包括“企业内部设立数据保护官”、“数据保护影响评估”、“发生数据安全事件后对数据保护机构的报告和对个人的通知”、“集体诉讼制度”等等要素。

除了欧盟主导的演进外，OECD在2013年发布了新版的隐私框架，没有太大的改动，主要是增加了“发生数据安全事件后对数据保护机构的报告和对个人的通知”。APEC隐私框架2016年的改动主要是向OECD2013版本看齐。

通过这三代的演进，我们来看APEC隐私框架中包含的九大原则，显然APEC体现的原则还处于第一代的水准。

当然，我们可以认为，仅仅是欧盟在“一意孤行”地推动个人信息保护，其他国家还是觉得第一代的保护水平足够了。但实证研究却展现出另一幅图景。在ICDPPC会议上，长期跟踪个人信息保护的知名学者Greenleaf教授做了精彩的演讲。他在“欧盟之外”且“通过了统一性的个人信息保护立法”的国家和地区中，选取了GDP前20的国家和地区，发现相当多的国家和地区做到了向第二代个人数据保护原则的靠拢。以打分计算的话，10分为完全符合，结果如下：

Peru (10); South Africa (9);  Korea (South) (9);  Argentina (8); Colombia (8);  Malaysia (8);  Canada (7); Taiwan (7); Australia (6);  Hong Kong (6);  New Zealand (6); Philippines (6); Israel (5); Japan (5); Mexico (5);  Singapore (5); India (4); Vietnam (3); Indonesia (2); and Chile (1).

按照Greenleaf教授的计算，考虑到智利、印度尼西亚、新西兰正在起草新的个人信息保护法，如果通过，则这20个国家和地区向第二代个人数据保护原则的靠拢程度将达到6.5。再考虑到印度最高法院新近做出“隐私是基本人权”的判决，并要求印度政府起草新的个人信息保护法律，则这个平均分将更高。

也就是说，“欧盟之外”且“通过了统一性的个人信息保护立法”的国家和地区，主要是在向欧盟95年的指令靠拢，提供的个人信息保护水平已经显著超越了OECD、APEC提出的保护水平。

这一点也在我和加拿大、墨西哥、韩国、新加坡、香港等国家和地区的个人数据保护官员的交谈中得到证实，他们均认为自己国家的个人数据保护法律，已经明显超过了APEC九大原则提出的保护水平。【这也就解释了获得CBPR的认证其实不难，主要是公司自己觉得是否有必要花费成本加入而已】

CBPR束缚了一国主权吗？

在ICDPPC的几场CBPR的宣讲会中，美国官员极力宣扬，CBPR的好处是参与国家不需要通过、修改自己的国内法；CBPR可以和各国家国内的个人信息保护法律并行不悖。美国官员的潜台词是：我们不像欧盟，无论是在充分性认定的谈判中，还是在美欧之间隐私盾的谈判中，都需要其他国家修改自己的法律向欧盟靠拢。

但在日本相关官员的演讲中，展现了另外一幅情形。日本在2015年修改了自己的个人信息保护法，并于2017年正式生效。其中对个人信息跨境流动的条款修改成：

可以看到，日本允许个人信息跨境流动有三种情形：第一是日本认定的白名单国家；第二是位于第三国的数据接收方遵循了“日本个人数据保护法指定的保护标准”。第三是个人信息主体的同意。

在其中第二种情形中，日本个人信息保护机构在解释“the standards prescribed by the PPC rules”时，明确将APEC隐私框架以及CBPR体系纳入其中。也就是说，为了在2016年正式运行CBPR体系，日本专门修改了关于跨境流动的法条，专门认定取得CBPR认证的海外公司算是采用了“合适和合理的方式”（appropriate and reasonable method）来保护个人信息，因此个人信息可以由日本自由地向这些海外公司流动。

同样的，韩国的个人信息保护官员告诉我，在目前韩国法律中（PIPA的article 17）要求，向境外提供个人信息时，需要个人的同意。为了加入CBPR，韩国的KCC（Korean Communication Commission）已经于2017年3月向韩国国会提交了修改该条的提案，但是目前仍然没有结果。

从日本、韩国的例子说明了什么？让我们一步步推演：

一个国家的数据保护制度，一般来说包括两部分，一部分是数据在国内的保护，一部分是数据的跨境制度。对于国内保护部分，你可以把保护水平设计得很高，没问题。但是在设计跨境制度时，你不能要求第三国的水平和你的水平一致。例如，韩国、日本可以把个人信息在其国内的保护，设计得很严格，没问题，甚至达到9分、10分都行，但是只要加入了CBPR体制，你不能要求第三国的数据接收方也达到9分、10分的保护水平；相反，只要该接收方达到了APEC要求的6分的保护水平，个人信息就得放行。

这也是为什么日本、韩国必需修改自己国内的法律，以适应CBPR的要求。因此，美国官员的话有意或无意地模糊了一个非常重要的区分：确实CBPR没有要求参与国修改或降低自己在国内对个人数据的保护水平，但是它强制这个国家在管控个人信息出境时，不得要求第三国的数据接收方提供超过APEC的保护水平。

很明显，这是对主权的一个显著限制。

CBPR和TPP有什么关系？

在我看来，CBPR和TPP一样，都显著体现了美国政府的战略利益。通过强迫各参与国同意一个基于低水平保护的个人信息跨境流动制度【参见本文第二点】，使得各国的个人信息便利地向美国聚拢。

让我们来看看TPP电子商务章节的有关规定：

首先，Article 14.11 Cross-Border Transfer of Information by Electronic Means要求各签署国应当允许个人信息的自由跨境流动，除非是出于“正当的公共政策目标”【“a  legitimate  public policy objective”】。对此，许多朋友肯定会说，保护个人信息，显然属于“正当的公共政策目标”。

没错。让我们再看Article 14.8: Personal Information Protection。该条表面上是说，保护个人信息对于电子商务开展有多重要，各签署国有义务这么做。但实际上的效果是说，各签署国保护的方式、方法、水平肯定是不一致的，但是只要满足一定的低线，那就算做到了对个人信息的保护。

为什么说是低线？确实魔鬼处于细节之中，请各位朋友们和我一起再仔细阅读TPP本章的注释6：For greater certainty, a Party may comply with the obligation in this paragraph by adopting or maintaining measures such as a comprehensive privacy, personal information or personal data protection laws, sector-specific laws covering privacy, or laws that provide for the enforcement of voluntary undertakings by enterprises relating to privacy. 通过该注释，各签署国获得了采取各自偏好的方式来保护个人信息的空间，例如美国，就不需要像韩国、日本那样需要设立高水平的“统一性的个人信息保护立法”，同时也可以对其他TPP签署国声称，其本国法律已经做到了对个人信息的保护了。与此同时，既然美国法律已经做到了对个人信息的保护，那么各签署国就不应该再出于保护个人信息的事由，限制个人信息流向美国。

也正是在看到TPP的该条款和该注释之后，欧盟赶紧在和美国开展的TTIP谈判时一再声称：个人信息保护是基本人权，因此决不能在贸易谈判中谈没了（bargain away）。换句话说，欧盟的这个表态是在坚决杜绝美国通过TPP类似条款，要求欧盟放弃对个人信息出境的高水平保护要求。

也就是说，正是通过建立在低水平保护的CBPR体系，或者通过TPP强迫各签署国承认并认同美国法律对个人信息保护水平，美国努力实现其战略利益——促进个人信息自由地跨境流动，更准确地说，向美国聚拢。

小结

当下，欧盟正在利用95指令、GDPR中提供的各种工具，使得各国向其靠拢，提供高水平的个人信息保护。详见本公号文章“欧盟对数据的战略性“玩法””。

而美国政府则极力宣扬CBPR体系，并拉拢其坚定盟友的加盟，其核心实质是——通过建立于低水平保护的个人信息跨境流动秩序，确保各国家不会用“自身国内提供了高水平保护”为理由而限制个人信息的出口，最终实现个人信息向美国聚拢。显然，CBPR体系有很浓的对抗欧盟95指令和GDPR推崇的数据跨境流动体制的意味。

在上述两大趋势的对撞中，中国难道不应该从自身利益出发，做出独立自主的选择吗？（完）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

人脸识别系列文章

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）
   

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）
   

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）
   

4. 人脸识别技术的规制框架（PPT+讲稿）
   

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）
   

7. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

8. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

9. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

10. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

11. 人脸识别技术研究综述（一）：应用场景

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

6. 网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨：以5G安全为例

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准
   

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议

7. 欧盟“技术主权”进展 | 欧洲共同数据空间治理立法框架
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）

数据安全法系列文章：

1. 对《数据安全法》的理解和认识 | 立法思路

2. 对《数据安全法》的理解和认识 | 数据分级分类

3. 对《数据安全法》的理解和认识 | 中国版的封阻法令

4. 对《数据安全法》的理解和认识 | 重要数据如何保护

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）
    

11. 美国司法部“中国计划”的概况介绍

12. 突发 | 特朗普签署关于TIKTOK和WECHAT的行政令

13. 理解特朗普禁令中的Transactions

14. 白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑

15. 《国际紧急经济权力法》（IEEPA）的起源、演变和应用