G20轮值主席国印度尼西亚的数据跨境流动主张简析
2022年,印度尼西亚为G20轮值主席国,其表示会在数字经济工作组 (DEWG)会议中列出三个优先问题,其中一个问题是数据跨境流动。2022年9月20日,印度尼西亚众议院通过了《个人数据保护法》。2022年10月17日,法案获总统批准,标志着法律的颁布和生效。印尼《个人数据保护法》中也规定了有关数据跨境的内容。作为世界第16大经济体、东南亚最大经济体,印尼在G20会议中与在《个人数据保护法》中对数据跨境流动的态度怎样值得探究。
1 印尼在G20中对数据跨境流动的态度
根据谷歌、淡马锡、贝恩发布的《乘风破浪,走向机遇之海(2022年报告)》,印尼的数字经济将在2022年达到约770亿美元,并有望在2025年达到约1300亿美元,贡献主要来自电子商务。快速发展的数字经济和电子商务催生了数据的跨境流动,看到基于数据的经济增长的巨大潜力,印尼密切关注数据跨境流动这一话题。
1.1 2019年达成“信任的数据自由流动”共识
2019年日本轮值G20主席国之时,提出“信任的数据自由流动”(Data Free Flow with Trust,DFFT),这一观点由日本首相安倍晋三在2019年1月的达沃斯世界经济论坛首先提出。2019年G20峰会举办前夕,G20贸易部长和数字经济部长发布了《G20贸易和数字经济部长级声明》,其中第二节介绍了“信任的数据自由流动”概念:通过解决与隐私、数据保护、知识产权和安全相关的挑战,进一步促进数据自由流动并加强消费者和企业的信任;并提出,为了建立信任并促进数据的自由流动,有必要尊重国内和国际的法律框架,我们鼓励不同框架的合作和互操作性(点此查看DFFT在G7集团发展概况)。此后,G20峰会通过了《G20大阪领导人宣言》,该文件认为数据、信息、思想和知识的跨境流动产生了更高的生产力、更大的创新和更好的可持续发展,并表达了各国对“信任的数据自由流动”理念的认可。此后,G20峰会通过了《G20大阪领导人宣言》,该文件认为数据、信息、思想和知识的跨境流动产生了更高的生产力、更大的创新和更好的可持续发展,并表达了各国对“信任的数据自由流动”理念的认可。
印尼作为G20的一员,其对《G20贸易和数字经济部长级声明》与《G20贸易和数字经济部长级声明》的认可态度表明,印尼支持数据跨境流动,但其也注意到数据跨境流动过程中的隐私、数据保护、知识产权、安全等问题。
1.2 2020年提出合法、公平、透明、互惠原则
2020年G20峰会,对于数据跨境流动议题,印尼提出了四项原则,即合法、公开、透明、互惠。(1)合法原则,即数据交换过程必须按照适用的法律法规进行,并且可以解释其有效性。(2)公平原则,即数据交换过程必须有明确有效的目的。(3)透明原则,即数据处理信息开放、易于理解,数据处理沟通渠道畅通,可以轻松访问。(4)互惠原则,即若个人数据控制者、个人数据处理者或数据接收方所在国具有等于或高于协议规定的保护级别,则可实施数据传输。此外,印尼还提出,在数据跨境流动中要注重数据保护与隐私。
2021年G20峰会,印尼重申了上述四项原则。
1.3 2022年作为G20主席国提出数据跨境流动议题
2022年,印尼为G20轮值主席国,其在数字经济工作组会议中列出了3个问题,其中之一为数据跨境流动,其他两个分别为数字素养和平等数字接入。
2022年G20峰会尚未召开,但可以通过一些采访窥见印尼在数据跨境流动方面的态度。印尼通信和信息部信息应用总局数字经济主任阿迪亚纳在4月份举办的“数字化、数据治理和跨境数据流动”网络研讨会上表示,印尼正在审议跨境数据流动的互操作性和其他运营实践,并试图解决与数据保护、隐私、安全和知识产权有关的问题;可靠或值得信赖的跨境数据流动或数据自由流动对于全球数字经济的发展非常重要。印尼通讯和信息部长普拉特在6月份的一次采访中表示,围绕数据存在三大问题:(1)需要很好地管理数据;(2)数据关系到国家主权;(3)数据具有地缘战略性。
以上表态说明印尼政府非常重视数据跨境流动,并积极地行动以期待在数据跨境流动方面有所作为。但同时,其强调定义“信任的数据跨境流动”中的“信任”,以解决数据跨境流动中的数据保护、安全和隐私、知识产权问题。
2 印尼为数据跨境流动作出的法律努力
2.1 2019年撤销一项有关数据本地化规定的政府条例
2019年10月,印尼《2019年关于电子系统和交易组织的第71号政府法规》(Government Regulation No. 71 of 2019 on Organisation of Electronic Systems and Transactions,以下简称“GR71”)取代了《2012年关于电子系统和交易管理的第82号政府条例》(Government Regulation No. 82 of 2012 on the Management of Electronic Systems and Transactions,以下简称“GR82”),这意味着私营部门不再受数据本地化限制。
具体而言,GR82规定,公共服务电子系统运营商有义务将数据中心和灾难恢复中心设置在印度尼西亚境内。而GR71区分了公共和私人电子系统运营商,并仅对公共电子系统运营商施加了数据本地化义务。公共电子系统运营商是指(1)公共机构(例如中央和地区行政、立法、司法机构以及根据法定授权设立的任何其他机构);(2)由公共机构指定代表其操作电子系统的实体。根据GR 71及其实施条例《2020年通信和信息部部长关于私营电子系统运营商的第5号条例》(Regulation of Minister of Communication and Informatics No. 5 of 2020 on Private Electronic System Operators),私营电子系统运营商可以在印度尼西亚境外管理、处理和/或存储电子数据或电子系统。尽管如此,私营电子系统运营商必须允许政府机构进行“监督”,包括授予对电子系统和数据的访问权限以用于监控和执法目的。
2.2 2022年《个保法》有关数据跨境流动的规定
2022年10月17日,印尼《个人数据保护法》生效,其中也规定了有关数据跨境的内容。
《个人数据保护法》第56条适用于将个人数据传输到印度尼西亚境外。与其他规定数据跨境传输的数据保护法类似,《个人数据保护法》要求控制者确保数据接收者所在国家/地区的数据保护水平等于或高于《个人数据保护法》。《个人数据保护法》进一步要求控制者在接受国法律未提供同等或更高标准的情况下,“确保提供充分且具有约束力的个人数据保护”。法案中没有具体说明如何实现这一点,但第56条第5款指出,有关个人数据转移的进一步规定将包含在单独的法规中。此外,《个人数据保护法》在其“充分性”要求中包含了更广泛的同意例外。第56条第4款要求组织在上述条件均无法满足的情况下使用此豁免,但并未对使用此豁免进行限制。
值得注意的是,在之前《个人信息保护法》草案中出现过的数据本地化义务并没有出现在正式生效文本中。这意味着个人数据跨境传输没有了数据本地化义务的阻碍,境内数据传输方理论上可以向境外传输《个人信息保护法》定义下的全部数据类型。
3 小结
为了推动数字经济的发展,印尼在G20峰会和其《个人数据保护法》中均表现出对数据跨境流动的支持态度,但是对数据安全和隐私的态度也较为审慎,强调彼此间要建立“信任”。而关于如何解决“信任”问题,印尼或拟将再三提及的“合法、公平、透明、互惠”四项原则作为应对方案。然而,一则该四项原则的内容仍较为笼统、未包含具体可操作的规范,在具体解释和实施时可能有不同理解;二则该四项原则尚未获得G20其他国家的认可。虽然印尼表示其仍会在2022年G20峰会上鼓励大家采用该四项原则,但是是否能够取得进展仍未可知。
参考文献
[1] Laila Afifa, Indonesia to Propose 3 Issues Related to Data in G20 Agenda, Tempo.Co (Jan. 26 2022), https://en.tempo.co/read/1554392/indonesia-to-propose-3-issues-related-to-data-in-g20-agenda.
[2] Hunter Dorwart, Katerina Demetzou, Indonesia’S Personal Data Protection Bill: Overview, Key Takeaways, And Context, Future of Privacy Forum(Oct. 19, 2022), https://fpf.org/blog/indonesias-personal-data-protection-bill-overview-key-takeaways-and-context/.
[3] Indonesia Serukan Kedaulatan dan Keamanan Data dalam G20 Digital Economy Ministerial Meeting, Diskominfomatik(Jul. 23, 2020), https://diskominfo.bandaacehkota.go.id/2020/07/23/indonesia-serukan-kedaulatan-dan-keamanan-data-dalam-g20-digital-economy-ministerial-meeting/.
[4] Antara, Indonesia Echoes Cross-Border Data Facilitation Commitment at G20: Minister, medcom.id(Oct. 01, 2021), https://www.medcom.id/english/tech/yNLP571N-indonesia-echoes-cross-border-data-facilitation-commitment-at-g20-minister.
[5] Rizka K, Mecca Yumna, Indonesia pushing G20 discussions on cross-country data flows,ANTARA(Apr. 28, 2022), https://en.antaranews.com/news/227377/indonesia-pushing-g20-discussions-on-cross-country-data-flows.
[6] Natisha A, Fadhli Ruhman, Minister outlines importance of discussing cross-border data flow, ANTARA(Jun. 18, 2022), https://en.antaranews.com/news/234921/minister-outlines-importance-of-discussing-cross-border-data-flow.
[7]《2012年关于电子系统和交易管理的第82号政府条例》,http://www.flevin.com/id/lgso/translations/JICA%20Mirror/english/4902_PP_82_2012_e.html,2022年11月8日访问。
[8] 亚洲基金经理人:https://www.asiafundmanagers.com/us/indonesia-economy/,2022年11月8日访问。
[9] 谷歌服务:https://services.google.com/fh/files/misc/indonesia_e_conomy_sea_2022_report.pdf。2022年11月8日访问。
[10] 欧盟委员会经济贸易:https://trade.ec.europa.eu/doclib/docs/2019/june/tradoc_157920.pdf,2022年11月8日访问。
[11] 2019年G20峰会:https://www.mofa.go.jp/policy/economy/g20_summit/osaka19/en/documents/final_g20_osaka_leaders_declaration.html,2022年11月8日访问。
(完)
往期文章
1、全球数据跨境流动治理
EDPB《关于认证作为数据跨境传输工具的第07/2022号指南》中译本
印度拟发布新的数据保护法草案,或放宽数据本地化要求
数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中
G7国家数据跨境流动政策演进
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
2、产业数据治理
数据要素治理|美国拟议消费者数据权利新规,促进金融数据共享流通
3、中心数据治理动态
“中国澳门-欧盟科研数据跨境流动实践”入选“2022携手构建网络空间命运共同体精品案例”
4、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《个人信息出境标准合同规定(征求意见稿)》适用要点解读
5、欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
6、全球数据治理观察
7、国际数据空间
【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
8、数据权属与数据治理之争