欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（下）

Original 数治君数据信任与治理 2022-09-08

收录于合集 #数据跨境流动治理 8个

2022年4月21日，美国率领一众经济体宣布建立“全球跨境隐私体系”，将APEC框架下的CBPR数据跨境传输机制的适用扩展至全球范围。CBPR机制具体如何运作，与欧盟GDPR中规定的数据跨境传输机制有何区别？二者优劣如何？本文编译了2019年发布的《物联网时代下关于欧盟GDPR和APEC CBPR数据跨境传输机制和个人信息保护的比较分析》

（EU GDPR or APEC CBPR? A comparative analysis of the approach of the EU and APEC to cross border data transfers and protection of personal data in the IoT era），

原文载于Computer Law & Security Review，

作者Clare Sullivan，

本文上篇内容已发布，可点击欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（上）阅读。为保证阅读的流畅性，本文对脚注及正文内容有删减。

6. 两种机制的比较

本节将在物联网数据处理背景下，对欧盟GDPR数据传输计划的关键信息和APEC CBPR框架进行详细的审查和比较，初步的观察结果如下所述：

APEC CBPR框架和欧盟GDPR同时适用于私营和公共部门对个人数据的处理，欧盟GDPR的目标之一是为物联网、大数据和人工智能等提供更新数据保护的服务。此外，2015年更新的APEC CBPR框架涉及到技术发展，但序言虽指出了考虑技术的影响，却并没有涉及欧盟GDPR涵盖的关于物联网等的具体表述。

APEC CBPR框架和欧盟GDPR都旨在促进数据跨境流动和个人数据保护，但两者有不同的概念基础，因而重点不同。欧盟GDPR的重点为保护自然人的基本权利和自由，尤其侧重于保护个人数据权利；而APEC CBPR框架则侧重于促进数据跨境流动。这种不同的概念基础体现在：APEC CBPR框架从对个人受到伤害风险角度出发，而欧盟GDPR则是从对基本人权的保护角度出发。APEC CBPR框架的大多数要求以“合理性”为标准，许多以“适当性”为标准，还有一些则取决于个人受到伤害的风险和类型，具体的例子将在下文讨论。但应当注意到，在APEC CBPR框架之下对如何确定“合理性”、“适当性”以及个人风险的指导有限，这种标准虽然能够灵活解释，但在一定程度上可能导致对个人数据权利的保护程度缺乏明确性。

从APEC CBPR框架和欧盟GDPR处理物联网数据的情况可以看出，APEC CBPR框架只规定了一个最低限度的数据保护标准，而欧盟GDPR则规定得更加详细明确，其具体要求可直接作为法律适用。

下文将讨论两种模式之下的数据跨境传输、个人数据保护、数据主体权利以及两种模式差异的影响。

6.1.个人数据

APEC CBPR框架和欧盟GDPR对个人数据的定义相似。APEC CBPR框架和欧盟GDPR都将个人数据定义为已识别或可识别的个人任何数据。但欧盟GDPR的定义更加细化，类似定义最早出现在1995年《数据保护指令》（Data Protection Directive）中，即如果来自不同来源的数据综合考虑能够识别自然人的身份，则该一系列数据即为个人数据，因此，与消费者相关的连接物联网的数据很容易被纳入欧盟GDPR之下的个人数据定义。

为了将物联网数据排除在个人数据之外，可以从更加符合实际的角度出发对APEC CBPR框架和欧盟GDPR之下的个人数据定义进行解释，除非该物联网数据明显应当受到个人数据保护。在确定信息是否能够直接或间接识别自然人以构成个人信息的情况下，APEC成员国澳大利亚对适用该标准做了示范。澳大利亚联邦法院合议庭确认，根据1988年联邦《隐私法》（Privacy Act），只有当信息与个人之间存在足够充足的联系时，该信息才会被作为“个人数据”来规制，这是一个与物联网数据相关的重大司法发展，其影响范围远远超出澳大利亚。

澳大利亚《隐私法》与欧盟GDPR一样，根据数据是否可以识别一个人来定义的“个人数据”。一直以来，澳大利亚与采用欧盟模式的国家一样，主张只要能从一系列不同来源的数据中识别出一个人，这些数据就会被认为是“个人数据”。然而澳大利亚联邦法院合议庭的判决推翻了这一假设，在关于“个人数据”定义的第一个重要司法判决中，即在“隐私专员诉澳大利亚电信公司”（Privacy Commissioner v Telstra Corporation Limited）一案中联邦法院作出了判决。联邦法院在该案判决中一致认为，只有当数据所指向的对象是个人时，才可以被认定为个人数据。法院拒绝承认能通过合理方式确定个人身份的数据是个人数据，指出这种解释会使确认“关于个人”的要求变得宽泛不明晰。并认为《隐私法》中个人数据的概念虽然宽泛，但受到信息必须是“关于个人”且个人身份必须是明确的定义限制。法院举例说，个人的手机颜色和网络类型（3G）是法院认为不属于数据主体的信息，但是在其他情况下，结论可能是不同的，每个案件的结论将取决于案件具体的不同情况。

该判决在澳大利亚开创了法律先河，甚至可能影响其他司法管辖区对个人数据定义的解释，以限制个人数据定义的范围。澳大利亚《隐私法》与世界上大多数同类立法一样，严格遵循包括定义在内的欧盟数据保护模式。该判决意味着澳大利亚《隐私法》不一定会延伸到与个人没有实质关系的可能被追溯到该人的信息。考虑到该国目前根深蒂固的隐私保护文化，以及长期以来的所有可以合理地确定个人身份的信息都是个人数据的观点，这一判决让澳大利亚的许多人感到惊讶。虽然该案件没有涉及物联网数据，但这一判决可以被看作是对新时代“个人数据”法律定义的再回应。这一解释对物联网的意义在于，有关个人的信息不一定被定义为个人数据的做法可能引起欧盟GDPR等对个人信息处理的限制；好处在于这种方法并不绝对包含所有物联网数据，而且可以将其作为过渡的第一步，为实现个人利益和物联网之间的平衡制定更多的司法标准。

6.2.数据处理

欧盟GDPR中对数据处理的定义涵盖广泛，包括收集、记录、通过传输和删除手段进行披露等，并特别包括对物联网背景下完全或部分通过自动化手段进行的处理。APEC CBPR框架中没有对数据处理进行定义，但其对“个人信息控制者”的定义提到了一些具体的处理活动，即“收集、持有、处理、使用、披露或转让个人信息”。

与欧盟GDPR不同，APEC CBPR框架一般不保护已公开的个人数据，也不保护直接从数据主体那里收集的个人数据。APEC CBPR框架指出，个人信息控制者可能不适合提供收集和使用公开信息的通知，这与欧盟GDPR非常不同。例如，欧盟GDPR第14条规定，当个人数据还没有从数据主体那里收集，控制者应当向数据主体提供相关信息和通知。

欧盟GDPR第5条规定，收集个人数据一般应当出于特定明确且合法的目的，并且不得以非法方式作进一步处理。但欧盟GDPR和APEC CBPR框架都存在例外情况，如征得数据主体同意的情况。然而，APEC CBPR框架的基本要求一般低于欧盟GDPR，APEC CBPR框架仅规定应当通过合法公平的手段进行收集，并在适当情况下通知数据主体。至于数据的使用，APEC CBPR框架规定收集的个人信息仅可用于实现收集或其他相关目的。

APEC CBPR框架和欧盟GDPR都涵盖了数据访问和数据更正规范。APEC CBPR框架指出，数据主体能够对控制者所持有的个人数据进行确认，能够访问、质疑数据，并要求纠正、补充、修改和删除相关数据。但与欧盟GDPR不同的是，APEC CBPR框架规定由于个人数据性质的不同等原因，数据访问和数据更正的程序细节可能存在差别。因为这个原因，在某些情况下，更正或删除数据可能是不可行的，基于此，APEC CBPR框架相关方案要求APEC CBPR参与者实施合理适当的机制，以纠正、更新和删除数据，或满足数据主体不再使用所收集数据的要求。

欧盟GDPR将确认、访问、纠正以及删除个人数据确定为数据主体的权利，但并没有达到《相关程序要求》（以下简称“《要求》”）的程度。欧盟GDPR对处理信息进行了规定，其中包括：处理了哪些种类的数据、数据的接收者是谁、以及数据主体的权利、数据的来源、数据是否受到自动分析、处理对数据主体的重要性和预期后果等其他相关信息。虽然处理的信息通常是可取的，但由于人工智能固有的不透明性，给使用人工智能的物联网数据处理带来了困难。然而撇开这一点不谈，欧盟GDPR通常要求提供比APEC CBPR框架更多的数据信息。

6.3.数据主体通知和同意

与欧盟GDPR的通知规定相比，APEC CBPR框架做了一个类似但没有那么严格的规定，即数据控制者应提供清晰的声明，说明他们在个人数据方面的政策。APEC CBPR框架规定：在适当的情况下，应规定一套明确、突出、易懂且可负担的机制，以便数据主体在收集、使用和披露其个人数据方面行使选择权。然而在收集公开信息时，个人信息控制者可能不适合规定这些机制，但应尽最大可能，确保在收集个人信息之前或当时提供此类通知；《要求》再次重申了这一规定，要求控制者以“合理的方式”提供特权声明。这一规定为数据控制者提供了灵活性，但在实际应用中留下了很多不确定性的空间，不一定符合欧盟GDPR第5条规定的个人数据处理指导原则的公平透明要求。

APEC CBPR框架虽然要求取得数据主体的同意，但是缺乏具体的细节指导规定；而欧盟GDPR的数据主体同意规定是详细规范的。根据欧盟GDPR第4条规定，数据主体的“同意”应当是自由给予的、具体的、知情的和可接受的。数据主体应当通过声明或明确的肯定行动，表示同意处理与其有关的个人数据，表明自己的意愿。同意还必须与所有的处理活动有关，同时同意必须针对处理活动的所有目的，如果不允许对不同的处理活动作出单独的同意，则推定同意不是自由的。

欧盟GDPR进一步规定，数据主体应当通过书面声明、电子方式或口头声明等明确表示自己的“同意”，同时指出：默认设定或预先制定不应构成同意；预先制定的同意声明应当是清晰可获得的，且不包含不公平条款。

欧盟GDPR还规定了特殊类别个人数据（一般称为“敏感个人数据”）同意的具体要求，首先欧盟GDPR对特殊类别个人数据进行了定义，即由种族、民族血统、政治观点、宗教或哲学信仰或工会会员资格、基因数据、生物识别数据、健康数据或自然人性生活、性取向等组成的数据。根据欧盟GDPR的明确同意要求，除了有限的例外情况如出于公共利益考量或数据主体公开等，一般禁止在没有数据主体明确同意的情况下处理这些数据，要明确告知数据主体数据的使用情况，并采取清晰肯定的行动来证明同意。

APEC CBPR框架并未规定敏感个人数据的类别，虽然《要求》提及敏感个人数据的处理应当取得“明示同意”，但并没有对敏感个人数据进行定义，也没有规定“明示同意”具体条件。《要求》将明确同意的必要性建立在个人可能受到的伤害风险基础之上，指出如果未经授权使用或披露信息可能会对个人造成财务、身体或声誉上的损害，则在向服务提供商以外的第三方转移个人数据之前，必须获得个人的明确同意。

6.4.数据处理者和控制者

APEC CBPR框架和欧盟GDPR均规定数据控制者对数据处理合法合规负主要责任。APEC CBPR框架之下对控制者的定义为对数据处理的控制，不包括根据指令行事的自然人或法人；欧盟GDPR中对控制者的定义为代表控制者处理个人数据的自然人或法人、公共当局或其他机构。

对比APEC CBPR框架和欧盟GDPR的规定，数据控制者的责任免除存在根本差异，这在物联网数据转移方面尤为明显。APEC CBPR框架要求，如果个人数据被转移给另一个人或组织，控制者应当进行尽职调查；欧盟GDPR则规定按照第5条中的个人数据处理指导原则的公平透明要求进行处理。

6.5.数据保护和安全

APEC CBPR框架和欧盟GDPR均采用基于风险的数据保护和数据安全方法，但其存在很大的差异，这些差异对于物联网数据处理十分重要。

考虑到滥用个人数据可能造成的危害，为防止滥用个人数据，APEC CBPR框架指出，公司应以适当的保障措施保护个人信息，以防止个人信息的丢失或未经授权的访问破坏、使用、修改或披露等或其他滥用行为，同时该保障措施应当与收集、使用和转让个人信息所造成的危害可能性和严重性相称。

欧盟GDPR同样要求保护个人数据，但比APEC CBPR框架规定得更为广泛是特别要求使用适当的技术或组织措施来防止未经授权或非法处理的损失、破坏或损害。同时欧盟GDPR确实包含基于合理性或损害的限制，列出了处理个人数据所涉及的风险类型，这些风险类型超出了APEC CBPR框架中所列的风险类型范围。

与APEC CBPR框架规定一样，欧盟GDPR要求控制者实施与风险相适应的安全水平的保护措施，与此同时，欧盟GDPR将这一要求扩展到数据处理者。根据欧盟GDPR第32条规定，数据控制者和处理者应当采取措施，确保在控制者或处理者授权下行事的任何自然人在接触到个人数据时不会处理数据，除非得到控制者的指示。此外还要求任命一名“数据保护官员”，即具有数据保护法和实践方面专业知识的人，协助控制者或处理者监测内部合规情况。

总的来说，APEC CBPR框架在个人数据保护和数据安全方面的规定没有欧盟GDPR全面详细，欧盟GDPR与APEC CBPR框架的不同之处在于将数据安全框定在数据主体及其权利的风险方面，而不仅仅只局限于数据本身的风险。

6.6.数据泄露

在个人数据泄露方面，APEC CBPR框架和欧盟GDPR之间存在很大的差别。考虑到物联网时代的高度连接性以及数据泄露对个人造成伤害的风险增加，该差别对于物联网数据处理来说是非常重要的。

欧盟GDPR规定，个人数据泄露指导致意外或非法破坏、丢失、更改、未经授权披露或获取传输、存储或以其他方式保存的个人数据的安全漏洞。欧盟GDPR要求对数据事件进行评估，并在自然人的权利和自由面临高风险的情况下，无不当延迟地向数据主体发出明确的违规通知，但如果控制者已经实施了适当的保护措施，则不需要再向数据主体发出通知。

APEC CBPR框架在数据控制者部分没有规定数据泄露问题，只在“防止伤害”部分的评论中指出，在出现影响个人数据的重大安全漏洞时，向隐私执法机构或有关个人发出通知可能有助于减少个人遭受伤害的风险。APEC CBPR框架要求个人信息处理者、代理人、承包商或其他服务提供者在个人信息被转移时，及时通知数据控制者发生数据泄露。美国认证问责机构TrustArc进一步要求对第三方服务提供商也规定同等的义务，并要求第三方服务提供商向参与者提供数据泄露的通知。虽然这整体上是朝着正确的方向迈出的一步，但总的来说，这远远没有达到欧盟GDPR的要求。

APEC CBPR框架也没有要求成员国对隐私执法机构或数据主体实施强制通知，只要求成员国规定数据控制者应当以合同形式要求数据处理者、代理人、承包商和其他服务提供商向其进行通知。但这在任何情况下，尤其是在涉及物联网数据时，都是一个重大缺陷。

APEC CBPR框架的“国内实施指南”一节中的规定非常笼统，即成员经济体应考虑鼓励或要求个人信息控制者在出现个人信息的重大安全漏洞时，酌情向隐私执法机构或其他相关机构发出通知；如果有理由相信该漏洞可能会影响到个人，在可行和合理的情况下，应鼓励或要求及时通知受影响的个人。总的来说，在数据泄露方面，APEC CBPR框架并不符合欧盟GDPR以及一般的良好做法。

6.7.总结

对比APEC CBPR框架和欧盟GDPR可知，虽然两者存在一定的相似之处，但基本目标和标准不同。比较表明，APEC CBPR框架缺乏具体明确的规定，且总体上也没有达到欧盟GDPR所设定的标准。

APEC CBPR框架在以下方面存在明显不足：

缺乏数据收集的具体规定，特别是没有规定什么构成自由和知情同意；
没有解决对特殊类别个人数据，特别是健康数据、遗传数据和生物识别数据提供额外保护的需要；
虽然经过认证的公司可以国内法律作为其内部治理标准和程序的一部分，或满足问责机构独立要求的额外管理标准，但问题是缺乏共同的标准和要求；
没有达到欧盟GDPR所要求的数据和隐私保护水平；在某些方面例如加密，所采用的方法明显与欧盟GDPR和通常的做法不一致。

APEC CBPR的支持者断言，欧盟的方法过于关注数据保护和隐私，以至于相关规定有可能阻碍跨境数据流动，从而阻碍物联网设备、数据处理和通信的发展，但欧盟GDPR包含的一系列的数据传输机制，既可以用来传输数据，同时也充分保护个人权利，以此能够有效地来平衡此种冲突。

7. 结论

为了在促进国际数据流动的同时保护个人数据，物联网时代凸显了对有效机制的需求。尽管物联网为个人和企业带来了许多好处，但显然也存在着相应的个人数据保护风险，因此本文所探讨的门槛问题是物联网数据处理背景之下，哪种方案能更有效地实现这种平衡。

正如所讨论的那样，APEC CBPR框架和欧盟GDPR存在一些相似之处，但在概念基础、目标以及要求方面存在着明显的差异，尤其是个人数据保护的整体标准有着很大的不同。

APEC CBPR是一个促进APEC区域内贸易的机制，例如，日本自动允许获得APEC CBPR批准的公司进行数据跨境传输。然而，该框架是否符合第一部分所提到的意图（即为APEC的企业和政府实体提供明确的指导和方向、说明常见的隐私问题以及隐私问题对合法商业行为和政府职能的影响）是值得怀疑的。正如上文的比较显示的那样，APEC CBPR框架没有在一些关键领域提供明确和充分的指导，也没有规定一般认为的良好做法。

相比之下，欧盟GDPR具有较强的指导性。虽然欧盟GDPR的某些方面也存在一定的缺陷，但总体而言，个人数据保护的基本方法是完善的；同时也提供了一系列机制，以适应物联网数据和通信的各种数据传输情况。

APEC CBPR框架促进了包括美国在内的APEC成员之间的数据流动，而美国的国内数据保护法却不符合欧盟GDPR的适当性要求。目前值得怀疑的是该框架是否在贸易目标和充分的个人数据保护之间取得了正确的平衡。与APEC CBPR框架相比，欧盟GDPR更侧重于充分保护个人数据以及个人数据主体的权利。但这有时是以牺牲商业需求为代价的，该代价在拟议的《电子隐私条例》（e-Privacy Regulation）对物联网数据通信的应用中可能是最明显的；然而，APEC CBPR框架的标准和要求是最基本的，无法达到欧盟GDPR所要求的保护标准，在某些方面甚至也无法达到普遍接受的商业标准。

虽然APEC CBPR框架和欧盟GDPR都有可能通过更合适的解释和应用来平衡商业贸易目标与个人权利，但在物联网时代欧盟GDPR则是更合适的选择。欧盟GDPR遵从机制使组织在处理个人数据的同时，对个人数据和隐私提供高标准的保护。欧盟可能会继续为数据保护立法设定国际模式，已经有迹象表明，类似于欧盟GDPR中的变化正在被纳入欧盟以外国家的国内立法中，各国可能会实施类似的数据保护要求、境外管辖范围、数据传输机制和充分性要求，随着时间的推移，这将导致国家间数据保护标准的进一步趋同，增加相互承认适当性的机会。

即使像美国这样的国家，在短期内也不可能颁布与欧盟GDPR同等的国内数据保护立法，欧盟GDPR的域外管辖权也会致使美国的组织将欧盟GDPR的要求和标准纳入其全球企业合规政策和程序之中。因此，无论是通过法律还是通过实践，欧盟模式尤其是欧盟GDPR将继续设定国际数据保护标准。

（完）

往期文章：

1.数据跨境流动治理

数据跨境流动的规则监管与多元治理

欧盟GDPR vs. APEC CBPR：数据跨境传输机制比较分析（上）

2.国际数据空间

合作发布|国际数据空间IDS China Reaserch Lab正式启动

合作发布|IDS-数据自主权的标准

国际数据空间在欧洲数据战略中的作用

3.全球数据治理观察

国内外数据交易模式对比分析