G7国家数据跨境流动政策演进

2022年9月7至8日，七国集团（以下简称“G7”）数字部长级会议的补充会议在德国波恩举行，会议参与者包括G7各成员国及欧盟相关隐私监管部门的部长。

据“华尔街日报”报道，会议在此前已达成“信任的数据自由流动（DFFT）”共识的背景下，会议各方以“如何让数据在发达国家之间更顺畅地流动”为主题[1]，从国际数据空间、SCC协议和技术措施、监管和立法合作等角度展开了讨论。

★

1

G7是什么？

G7最早起源于1973年，从建立之初便旨在汇集世界主要工业国家的国家元首和政府首脑进行面对面会谈，就全球政治问题交换意见，从而达成一致的立场和目标。目前，G7的成员国包括：加拿大、法国、德国、意大利、日本、英国、美国以及欧盟这几个主要工业国家和民主国家。

与通常被认为是全球经济协调框架的二十国集团（G20）一样，G7并非是一个国际组织，而是一个受共同价值观约束的非正式论坛。因此，G7没有独立的行政机构，每年由成员国轮流担任当值主席，负责组织峰会和制定议程。2022年，德国从英国（2021年）手中接任轮值主席职位，并将由日本（2023年）继任。

除受到广泛关注的国家元首和政府首脑峰会以外，G7还包括具有特定职责的各部长级会议，数字部长会议便是其中之一。

2

G7数字部长会议的核心议题：

数据跨境流动

2022年9月举行的G7数字部长补充会议上，各国讨论的核心问题在于“如何让数据在发达国家之间更顺畅地流动”。与会的大多数成员之间都存在支持双边数据流动的协议，但由于各国对数据和个人隐私等性质的认识差别，对数据合规的标准也存在差异，现有的协议面临着国家数据保密、数据跨境传输安全、个人信息保护等问题的考验。

例如，美国和欧盟此前签订的数据传输协议“隐私盾”，在2020年被欧盟法院判定为无效。法院认为，在该协议下，美国情报机关仍有可能获取用户信息，欧盟公民的个人数据无法得到应有的保护。[2]

该判决下，即使欧美企业仍然可以采用标准合同条款（以下简称“SCC”）作为数据跨境传输的合法依据，但由于SCC必须遵守欧盟《一般数据保护条例》（GDPR）的所有内容，因此对数据传输及数据保护带来了极高的标准，这对所有国际公司来说，数据跨境传输的壁垒仍然存在且亟待解决。

3

“信任的数据自由流动”（DFFT）

此前，日本在G7提出了“信任的数据自由流动”（Date Free Flow with Trust，以下简称“DFFT”）的概念。提出为了促进数据的自由流动，保障有利于商业和解决社会问题的数据可以不受限制地自由进出国境，同时加强对隐私、安全和知识产权的信任，要建立基于DFFT的体制[3]。

2021年4月28日，在英国康沃尔G7数字部长会议中，各成员国就此达成了一致并制定了“DFFT合作路线图”，该路线图提出了四大问题：（1）数据本地化；（2）共同监管：（3）政府获取私营部门持有的个人数据；（4）优先领域的数据共享。

4

DFFT的新进展：

实施监管合作，发展数字技术

2022年5月11日，德国G7数字部长会议通过了《促进可靠自由的数据流通（DFFT）》的附录（以下简称“附录”）[4]，针对上述问题进行了回答：

第一，加强DFFT的基础建设。支持和鼓励有利于跨境数据流动的工作，深入了解有关隐私、数据保护及知识产权保护的监管方法及监管技术；更好地了解数据本地化措施及其影响（尤其是对中小微企业的影响）和替代方案。

第二，寻找各国现有监管共性，促进互操作性发展。在各国相同的、互补的、趋同的现有监管基础上，进一步分析SCC或其他可以增强信任的技术方法，促进未来互操作性的发展。进一步支持“政府获取私营部门持有个人数据”起草小组的工作，在个人数据从社会转向政府过程中制定更高准则。

第三，加强监管合作。支持和鼓励隐私技术、数据中介、网络跟踪、跨境沙盒等数据保护和个人信息领域的监管途径，进一步加强数据保护和隐私管理部门之间就执行数据保护和相关法律和法规的合作。

第四，促进DFFT在数字贸易背景下的进一步发展。

第五，加快国际数据空间前沿成果的分享。为了推动学术界、工业界和公共部门的进一步创新，在国内或国际组织和部门之间进行可信和自愿的数据共享，促进有利的政策环境。

附录签署后的四个月，G7的数据跨境流动政策逐渐落实到对细节的勾勒。

今年9月的G7各国数字部长补充会议上，会议主持德国联邦数据保护专员Kelber认为，“关于隐私立法的讨论已经变得更加广泛。”他认为，了解每个司法管辖区域的规则，对监管机构处理隐私问题的方法进行调整，是本次会议的目的所在。[1]

此外，各国已就数据转移（data transfer）的具体立法工作展开了合作。会议上各国对立法方向有了一致的认识：一方面，要根据企业的业务需求匹配适合的数据跨境工具；另一方面，也要明确，个人资料和敏感数据（例如国家安全信息）都有其特殊性，前者只有在“绝对必要”的国家安全目的下才能被访问，后者则只能保留在相对的管辖范围内。

参考文献

[1] Catherine Stupp, G-7 Privacy Regulators Aim To Ease Turbulent International Data Flows, Sept. 9, 2022, https://www.wsj.com/articles/g-7-privacy-regulators- aim-to-ease-turbulent-international-data-flows-11662730512?mod=tech_featst_pos3。

[2] 李慧琪：《欧美隐私盾被判无效背后：防止美国政府监控 数字主权博弈升级》，载搜狐网，2020年07月27日，https://www.sohu.com/a/410025536_161795。

[3] 日本IT战略总部：《数字时代新IT政策大纲》，第41段，2019年6月7日。

[4]日本总务部，https://www.soumu.go.jp /menu_news/s-news/01tsushin06_ 02000222.html，2022年9月14日访问。