RCEP：数据保护、跨境传输与网络安全成为国际规则重要支点

2020年11月15日，《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP）正式签署。RCEP标志着世界上参与人口最多、成员结构最多元、发展潜力最大的自贸区诞生，成员包括东盟10国、中国、日本、韩国、新西兰和澳大利亚，人口、经济体量、贸易总额均占全球30%。其中，RCEP在第八章“服务贸易”附件二、第十一章、第十二章中对数据保护、跨境传输、网络安全等进行专门约定，成为国际规则的重要支点，企业关注的重点内容。

【数据保护】要求各缔约方审视个人信息数据保护法律框架，各缔约方应公布其向电子商务用户提供个人信息保护的相关信息，鼓励法人通过互联网等方式公布其与个人信息保护相关的政策和程序，并在可能的范围内合作，以保护从一缔约方转移来的个人信息；

【跨境传输】要求缔约方认识各缔约方对于通过电子方式传输信息可能有各自的监管要求，不得阻止出于商业原因通过电子方式跨境传输信息的行为，并预留出于公共利益考量的例外情形；

【网络安全】要求各缔约方认识负责计算机安全事件应对的各自主管部门的能力建设的重要性，利用现有合作机制，在与网络安全相关的事项开展合作的重要性；

【金融信息】要求各缔约方不得随意阻止金融信息提供和转移以及金融数据处理，遵守数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规。

RCEP共二十章，第八章与第十二章分别是服务贸易与电子商务的相关规定，第十二章涵盖了数据保护、跨境传输、网络安全领域。在第八章附件一金融服务中涉及跨境传输相关的规定。要点包括：

• 各成员国应制定或保持既有的电子商务用户个人信息保护的法律框架，在制定时应参考相关国际组织或机构的国际标准、原则、指南和准则。（第十二章第八条第一款、第二款）

• 各成员国应公布其关于电子商务用户个人信息保护的相关信息。（第十二章第八条第三款）

• 鼓励区域内的法人通过互联网等方式公布其与个人信息保护相关的政策和程序。（第十二章第八条第四款）

• 各成员国加强合作，保护区域间转移的个人信息。（第十二章第八条第五款）

• 承认各成员国对于数据传输的不同监管要求，但规定各成员国不得阻止出于商业性质的信息的跨境传输。该规定同时附加了成员国出于合法的公共利益或者成员国基本安全利益的例外。（第十二章第十五条）

• 各成员国不得阻止其领土内的金融服务提供者为日产营运所需的信息转移和信息处理，但该条规定同时附加了例外，即成员国的监管机构出于监管或审慎原因要求其领土内的金融服务提供者遵守与数据管理、存储和系统维护、保留在其领土内的记录副本相关的法律和法规的情形。（第八章附件一第九条）

• 加强对网络安全重要性的认识和交流，利用现有合作机制开展与网络安全相关的合作。（第十二章第十三条）

【国际规则企业遵从】RCEP作为全球规模最大的自贸协定，涵盖货物贸易、服务贸易、电子商务、知识产权、政府采购等多方面，对数据保护、跨境传输与网络安全高度重视并达成共识，企业应全面吸纳各项合规要求，评估吸纳为企业规则，以符合在RECP区内乃至全球市场准入要求，防控经营风险。

【产品服务安全合规】产品服务销往RCEP各国时，合规、产品安全、产品线等部门紧密协同，从产品研发设计到产品销售，遵守隐私保护设计、默认安全设计原则，保证产品符合各国对于数据保护的要求；

【数据跨境合规治理】数据跨境传输方面，针对RCEP各国电子商务网站需同步维护，严格遵守各国数据存储本地化、数据跨境要求；

【网络安全协同管控】网络安全方面，加强技术措施保障体系建设，从网站安全、信息传输、数据泄露等方面建设虚拟保护墙。

《区域全面经济伙伴关系协定》（RCEP）中文版

本文作者：D.P