CPTPP数据跨境流动要求遭遇挑战
Background
2022年8月15日,为配合应对、克服国家安全重要信息系统故障,越南政府副总理签发《关于网络安全法若干条款实施细则的53/2022/ND-CP号议定》(以下简称“第53号法令”)[1],对2019年1月1日生效的越南《网络安全法》中的一些条款做了补充说明。根据第53号法令的规定,所有在越南开展数据处理活动的外国公司都应将信息存储在越南本地。法令将于2022年10月1日生效。
作为《跨太平洋伙伴全面进步协定》(The Comprehensive and Progressive Agreement for Trans-Pacific Partnership,以下简称“CPTPP”)成员国之一,越南第53号法令对“数据本地化”的规定一经签发便受到了其他成员国的反对,它们认为,根据CPTPP关于数据跨境流动的有关约定,各缔约方应力图促进数据的跨境自由流动,否则既不利于跨国科技公司在越数字贸易的发展,也不利于国际协议成员国义务一致性承诺的履行。
★
1
CPTPP数据跨境流动要求
2018年3月,为了促进亚太地区的自由贸易进程,日本、加拿大等十一个国家在智利共同签署CPTPP,越南正是首批签署的成员国之一。协定于2018年12月28日正式生效。此后,英国、中国、韩国等国家于2021年先后提出申请加入CPTPP,标志着CPTPP在全球自由贸易发挥着越来越重要的作用。
由于CPTPP各缔约方都认识到“电子商务为经济增长和机遇及促进消费者对电子商务的信心和避免对其使用和发展造成不必要障碍的框架的重要性”[2],为了确保各国企业通过数字媒介扩大在线商业机会,CPTPP第十四章“电子商务”部分对数据跨境流动规定进行了规定。
即使CPTPP第14.11条第1款承认[3],各缔约国数据跨境治理规则具有本地性和多样性,但第14.11条第2款也明确“每一缔约方应允许通过电子方式跨境传输信息,包括个人信息”。作为CPTPP数据跨境流动的关键条款,第2款的规定对CPTPP各缔约国数据跨境自由流动的治理规则定下了基调。第14.11条第3款规定了数据跨境流动的例外情况[4],也即为了“合法公共政策目标”,可以违反第2款规定的强制传输义务。
此外,CPTPP通过第14.13条有关“计算设施的位置”的规定进一步对数据本地化做出规制。第14.13条第1款允许各缔约国“对计算设施的使用设有各自的监管要求”,继而在第14.13条第2款明确不得将计算设施的使用或设置限制在该领土内[5],也即不得将数据本地化作为市场准入条件。
2
越南要求数据存储本地化
2.1. 越南数据本地化规定
越南颁布的第53号令之所以引起CPTPP其他成员国的反对,主要原因是其中对数据本地化的规定很难与CPTPP成员国应当履行的义务保持一致。
第53号令第26条和第27条明确了数据本地化所涵盖的数据范围,同时将适用主体扩大到国外有关企业。[6]
第53号令规定,凡是在越南境内网络上开展数据处理活动的,其本地服务提供商(包括根据越南法律成立的外国投资企业)都必须将这些数据储存在越南境内。该规定所涉的数据是指包括服务用户的个人信息数据、服务用户生成的数据、服务用户关系数据在内的所有类型数据。
此外,第53号令规定了10个受监管的行业,外国企业从事任一或多个行业并向越南提供跨境服务,都需要在越南存储有关数据,这些行业包括:(1)电信服务;(2)在网络空间存储和共享数据(云存储);(3)向越南的服务用户提供国内或国际域名;(4)电子商务;(5)网上支付;(6)中介付款;(7)网络空间运输连接服务;(8)社交网络和社交媒体;(9)在线电子游戏;(10)以消息、电话、视频通话、电子邮件或在线聊天的形式在网络空间提供、管理或操作其他信息的服务。
受监管的数据必须在越南本地存储至少24个月,用于刑事调查目的的系统日志必须保存至少12个月。[7]
2.2. CPTPP成员的反对与越南的妥协
据日经亚洲2022年8月22日的报道[8],CPTPP成员国日本和加拿大的相关负责人明确表示了对第53号令所规定的数据本地化的反对,认为该规定“与越南在相关国际协议下的义务之间”很难保持一致。此外,由亚马逊、西门子等跨国大科技公司资助的全球软件联盟(BSA)认为,“第53号令将使大科技公司处于竞争劣势,削弱其选择供应商和寻找客户的能力。”
2022年9月9日,由谷歌、Meta等大型科技公司共同资助的亚洲互联网联盟 (AIC) 向越南总理提交了一份行业联合申明,认为第53号令是“一个巨大的负担”。[9]
面对种种压力,河内有意推迟该法令的生效时间[10]。对此,CPTPP其他缔约方同意在2024年之前将不予起诉越南,这让越南有更多的时间和机会,可以在数据跨境领域调整国内法规,使之与国际协议更有效地衔接。
3
小结
近年来,我国先后在数据治理方面出台了《网络安全法》《数据安全法》《个人信息保护法》及相关配套制度,数据治理制度不断完善,在数据跨境流动领域,我国以积极主动的精神面貌,不断融入世界数字经济、数字产业建设的潮流。
此前,我国已于2021年9月16日正式向CPTPP提交了加入申请,并进行了一系列洽谈工作[11]。做好国内法规与国际协议相适配的工作,推动国内相关法律制度的落地实施,是不断推进国际数字经济合作、持续优化数字营商环境的应有之义。
参考文献
[1] 《越南政府、政府总理上周(8月13日至19日)指导工作亮点》,载越南政府新闻网2022年8月22日,https://cn.baochinhphu.vn/116220823150454991.htm。
[2] 《跨太平洋伙伴全面进步协定》第14.1条。
[3] 《跨太平洋伙伴全面进步协定》第14.2条第1款:“缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求。”
[4] 《跨太平洋伙伴全面进步协定》第14.2条第3款:“本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第 2 款不一致的措施,只要该措施:(a) 不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;及(b) 不对信息传输施加超出实现目标所需限度的限制。”
[5] 《跨太平洋伙伴全面进步协定》第14.2条第2款:“任何缔约方不得要求一涵盖的人在该缔约方领土内将使用或设置计算设施作为在其领土内开展业务的条件。”
[6] 《第 53 号法令为越南网络安全法的实施提供了期待已久的指导》,2022年8月19日,https://www.tilleke.com/insights/decree-53-provides-long-awaited-guidance-on-implementation-of-vietnams-cybersecurity-law/。
[7] Foreign firms required to store users' data in Viet Nam, Vietnam MIC, 22/08/2022, https://english.mic.gov.vn/Pages/TinTuc/154653/Foreign-firms- required-to-store-users--data-in-Viet-Nam. html。
[8] LIEN HOANG, Vietnam data storage law rankles Big Tech and CPTPP trade bloc, Nikkei Asia, Sept.15, 2022, https://asia.nikkei.com/Business/Technology/ Vietnam-data-storage-law-rankles-Big-Tech-and-CPTPP-trade-bloc.
[9] RE: Decree No. 53/2022/ND-CP detailing the implementation of a number of articles of the Law on Cybersecurity (LOCS), Sept.9, 2022, https://aicasia.org/ wp- content/ uploads/2022/09/Industry-Letter-Regarding- Decree-53-LOCS.pdf.
[10] LIEN HOANG, Vietnam data storage law rankles Big Tech and CPTPP trade bloc, Nikkei Asia, Sept.15, 2022, https://asia.nikkei.com/Business/Technology/ Vietnam-data-storage-law-rankles-Big-Tech-and-CPTPP-trade-bloc.
[11] 商务部:中方正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP),2021年9月16日, http://www.mofcom.gov.cn/article/ae/bldhd/ 202109/20210903199707.shtml。
(完)
往期文章:
1、全球数据跨境流动治理
G7国家数据跨境流动政策演进
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
2、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《个人信息出境标准合同规定(征求意见稿)》适用要点解读
3、全球数据治理观察
4、国际数据空间
【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
5、欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
6、数据权属与数据治理之争
7、产业数据治理