从韩国进入英国数据跨境流动“白名单”谈“中国策略”

2023-07-12

以下文章来源于CNCERT国家工程研究中心。

关于CNCERT国家工程研究中心

网络安全应急技术国家工程研究中心是由国家互联网应急中心运营的国家级研究中心。研究中心致力于工控物联网和数据跨境方面的基础理论研究、关键技术研发与实验验证，并为国家关键基础设施的安全建设和运行提供保障，为数据跨境安全提供监测和预警。

自2022年7月英国与韩国达成数据充分性认定原则性协议至今已满一年时间。在这一年时间里，全球数据跨境流动的互认谈判和实践取了较多进展，比如欧盟委员会通过“欧盟-美国数据隐私框架”的充分性决定、内地与香港特别行政区签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》等等。本文借英韩充分性认定协议周年之际，回溯该协议达成的过程和内容，初步探讨对我国数据跨境流动制度建设的一些借鉴。

2022年11月21日，英国制定了韩国获得数据跨境充分性认定的正式法规《2022年数据保护（充分性认定）（韩国）条例》^[1]（No.1213）（The Data Protection (Adequacy) (Republic of Korea) Regulations 2022），并已生效。这是英国脱欧后首个独立充分性认定的立法，使得英国的个人信息可以自由地传输给韩国的自然人或法人。此前2021年，韩国已与欧盟完成欧盟《通用数据保护条例》（GDPR）项下充分性认定协商，成为亚洲第二个进入欧盟数据“白名单”的国家，此次韩国再下一城，进入了英国数据跨境“白名单”。

这对韩国来说，个人信息可以在无需经过签订标准合同或办理认证等保障性措施的情况下从英国自由和安全地流向韩国，便利韩国企业进入欧盟和英国市场，加强与英国数字经济的贸易与投资合作，促进韩国数字经济发展，为本国企业发展营造良好的国际数字营商环境，同时为韩国在全球树立了个人信息保护典范。

一、“白名单”制度

根据《英国通用数据保护条例》^[2]（UK General Data Protection Regulation，以下简称“UK GDPR”)规定，个人信息原则上不得向本国以外的国家或地区传输，除非满足“充分性认定”（UK GDPR 第45条）、“适当保障措施”（UK GDPR 第46条）、“例外克减情形”（UK GDPR 第49条）的三种数据跨境流动路径之一。目的是确保国内的个人信息被传输到海外时，数据主体获得不低于本国标准的保护从而避免遭受损害。在三条数据向外传输的路径当中，充分性认定是首先需考虑的向境外传输路径。英国此次颁布的首个充分性认定法规对韩国完成了UK GDPR项下第45条提及的充分性认定，以实现英国个人信息不受限制且安全地传输到韩国境内。

“充分性认定”制度源自欧盟委员会根据《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”)提出的概念（GDPR 第45条），是指个人信息可以在没有任何特别授权的情况下向已认定为“已达到充分保护标准”的国家或地区传输，即需要确定第三国是否通过国内法或者国际承诺能够与本国提供相当的个人信息保护水平的认定。该制度类似一个数据跨境流动的“白名单”，即数据处理者或控制者可以将欧盟的个人信息向获得充分性认定的国家或地区自由传输。然而，当前“白名单”上的国家或地区数量较为有限，中国也暂未被列入欧盟或英国的“白名单”，即欧盟和英国的个人信息向中国的传输无法基于此种法律基础。

二、“充分性”标准的考虑因素

从英国发布的《2022年数据保护（充分性认定）（韩国）条例》，结合英国《2018年数据保护法》（Data Protection Act 2018）可知，“充分性”是指需要达到与英国一致的数据保护水平。UK GDPR 45条第2款规定，在评估保护水平的充分性时，应特别考虑充分性认定申请国（如韩国）的法律制度、行政执法机构和国际条约三个方面的因素，具体是：

首先，法治、尊重人权和基本自由，包括关于公共安全、国防、国家安全、刑法和公共机构访问个人信息的一般性与部门性立法，以及此类立法的实施、数据保护规则、专业规则和安全措施，包括将个人信息传输到该国所必须遵守的规则、判例法以及有效可执行的数据主体权利、对其个人信息正在传输的数据主体的司法救济；

其次，该国是否存在一个或多个有效运作的独立监管机构，保证数据保护规则的实施，包括具有足够的执行权力，在数据主体行使其权利时和与监管机构合作时提供帮助和建议；

最后，该国已经许下的国际承诺，或者承诺愿意承担有法律约束力的条约或法律文件所产生的其他责任，以及参与多边或区域性的体系，特别是和数据保护相关的体系所产生的其他责任。

三、英国对韩国进行充分性认定的评估内容

英国着重评估了韩国如下内容后决定将其纳入自己的数据跨境“白名单”。从评估内容来看，比较符合前文“充分性”标准“法律制度、行政执法和国际条约”的考虑因素。

·评估韩国的数据保护法律和实践及其保护个人信息的国内和国外承诺。还包括分析韩国法律制度的其他要素，包括法治和尊重人权、有关保护个人信息的具体相关法律的实际实施和监督、国际传输和再传输、公共机构对个人信息的获取和国家安全框架。韩国数据治理以二元立法格局为基础，将数据划分为个人信息（personal information）和公共数据（public data），通过不同法律规范对不同类型数据的跨境传送施加不同规制要求。一方面，韩国国会积极推进个人信息保护立法的统一化，个人信息保护法律制度自此形成了由作为一般法的《个人信息保护法》（PIPA）统领，《信息通讯网络使用及信息保护促进法》和《信用信息保护和使用法》等特别法补充的立法格局，实现了从公私部门分立规制向集中立法统一规制的转变；另一方面，韩国公共数据立法理念由被动披露进化为主动公开，将公共数据作为重要资源加以利用，以促进本国数字经济发展。此外，在特定领域，包括土地空间、教育机构和涉及公共部门使用云端运算（cloud computing）服务领域，由特定的法律法规进行规制。

·综合数据保护法规：韩国《个人信息保护法》（PIPA）及《个人信息保护法执行令》（PIPA Enforcement Decree）；补充数据保护法规：《信用信息使用和保护法》（CIA）及《信用信息使用和保护法执行令》（CIA Enforcement Decree），以及个人信息保护委员会（PIPC）制定的补充规则。

·个人信息保护的监督机构：个人信息保护委员会（PIPC），属于中央行政机构，负责执行韩国《个人信息保护法》；金融服务委员会（FSC）监管金融机构和信贷信息业务。个人信息保护委员会（PIPC）和金融服务委员会（FSC）具备独立性、主动性、有效性、救济性。

·韩国公共机构：对隐私权的干预满足如下条件：（1）目的正当，符合公共利益和国家安全的目的；（2）手段必要，仅限于为实现合法目的所必需的和必要的干预；（3）保护有效（存在对这种干预的有效保护）。

·韩国数据跨境规定：由《个人信息保护法》（PIPA）严格规制。

四、从英韩“白名单”谈“中国策略”

我国数据跨境流动安全管理制度正在建立完善过程中，而英韩充分性协定的实践和韩国数据保护的治理模式对我国探索如何在保护数据安全的前提下为数据跨境提供最大限度的自由，促进更好的经济发展提供了有益的借鉴。对此，笔者从中国进入他国白名单、建立自身审查国别库和签订双多边协议这三个方面提出如下建议。

（一）进一步完善我国数据保护体系，争取跻身他国“白名单”

欧盟在数据安全保护方面形成了较为综合和完整的立法体系，而且其经济发达，市场规模较大，世界数字经济大国都在努力能进入其数据跨境流动的“白名单”，以期降低企业的数据处理成本，提高竞争力。美国虽未进入欧盟白名单，但通过积极推动《欧美数据隐私框架》的签署使得其适格企业将享受“白名单”国家的“特殊待遇”。韩国、印度等国一直在积极完善立法、加强执法，以推动充分性协定谈判。

我国也可以借鉴其他国家的作法，增强国内立法的科学性、规范性，使其更好地与国际标准和国外高水平谈判接轨。

以韩国为例，韩国《个人信息保护法》（PIPA）第2条1.（b）规定了虽然本身不能识别特定个人，但与其他信息结合可以轻易识别特定个人的信息属于个人信息，是否“轻易”取决于识别工作所使用的时间、成本和技术等来合理考量。我国法律关于的“个人信息”的定义虽也包括“可识别”这个维度，但未明确识别工作的轻易程度与个人信息认定之间的关系，下一步可以通过配套法规或国家标准等细化“轻易识别”的甄别规则。

又如，在敏感个人信息差异化保护方面，韩国《个人信息保护法》第二十三条规定“敏感信息的处理限制”的一般情形，而《个人信息保护法实施令》则规定了敏感信息不同场景的特殊规定，即对于《个人信息保护法》第十八条第二款第五项至第九项所规定的情形，公共机关不得处理如下敏感信息：包括“通过测试基因获得的基因信息”“犯罪经历资料信息”“以识别特定个人为目的通过一定的技术手段生成的与个人的身体、生理、行动特征相关的信息”以及“与人种或民族相关的信息”；而对其他敏感信息和普通个人信息则没有这样的限制。韩国对个人信息进行层级划分，并对不同信息的收集、处理和利用予以区别对待，对特定的高度敏感信息实施更加严格的保护的做法值得我国借鉴。由于欧洲国家的“充分性”标准除了数据跨境方面的具体制度评估，也会关注整体数据治理、个人信息保护方面，我国进一步细化数据保护制度的颗粒度有利于提升整体数据治理水平，也有助于进入他国“白名单”。

与此同时，我国也要加强行政执法力度，建立国家网信部门与各产业主管部门的协调工作机制，在具体行业数据利用中建立个人信息保护适当标准，为数据流通“安全有序”与“开发利用”的平衡提供有效的沟通协作平台。

（二）借鉴充分性认定原则，建立数据跨境流动审查国别库

英国沿用欧盟GDPR做法，通过对第三国的数据治理水平进行评估，并且与本国同等水平的第三国签订充分性协定，予以纳入数据跨境“白名单”，最终到达确保本国数据安全自由跨境流通的目的。

我国《个人信息保护法》项下虽不具有“白名单”制度的直接立法依据，但可以在现有数据跨境制度体系（如数据出境安全评估、认证制度）的基础上进行部分参考借鉴。以数据出境安全评估制度为例，根据《数据出境安全评估办法》第八条第（二）款和配套指南模板，第三国（地区）的数据安全保护政策法规和网络安全环境是评估的必选项，不仅数据处理者在自评估时要填写，监管部门在安全评估时也要评估。为了提高监管部门在审核大量安全评估申报时对该项评估的效率和准确率，监管机构可对国外数据治理法律法规进行专业评估，建立内部国别审查库，考虑数据接收方所在国（地区）的数据保护水平与中国大陆是否具有同等保护水平，并对该第三国（地区）的保护水平进行持续性的监督和定期的检查和更新，甚至可以与数据接收方较多的国家政府合作，接受该国政府提供的官方资料。相似的是，《个人信息出境标准合同办法》第五条第（五）款和配套指南模板要求评估境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响，因此建立数据跨境流动审查国别库也可提高标准合同路径项下的监管效率。

（三）签订双多边协议，加强区域合作，拓展“朋友圈”

当前全球层面的数据治理并没有达成统一共识，较为成熟的大多都是欧盟、东盟这种区域合作数据治理规则。鉴于区域层面国际数据治理规则的发展明显领先于全球层面之际，同时，在经济全球化面临阵营对抗，全球数据治理的统一化进程受阻的情形下，我国可以借鉴其他数据强国缔结双边协议的成功经验，拓展自己的“朋友圈”。例如，本次韩国通过与英国签订双边协议进而加强其国际数据流通，提高其国际数字经济竞争力；《欧盟-美国数据隐私框架》的成功推进，意味着美国离重新进入欧盟跨境流动“白名单”国家的目标又实质性地近了一步。我国可以关注和研究各国数据治理的博弈立场，在其利益诉求基础上逐步扩大与其共识，持续推进与各国之间的协议谈判，先行在双边协议中确定初步框架与原则进而将具体规则落实。

另外，我国还可以开展多边协议的谈判，加强区域合作，以签订双多边协议作为突破口，形成“以双边带多边、以区域带整体”的利好局面，最近内地与香港特别行政区签订的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》便是此方面的良好实践。在RECP和中欧投资协定等区域经贸协定的基础上，我们也可以继续与东亚、欧盟国家深化在数据领域的合作。

在经济全球化的数字时代之际，我们亟需利用国际条约与协定、法律法规、行业规范等顶层设计消除国家间、区域间的数据自由流动障碍壁垒，以数据自由流动促进经济文化交流，助力人类社会更好发展。

参考文献：

[1]The Data Protection (Adequacy) (Republic of Korea) Regulations 2022,访问网站为

https://www.legislation.gov.uk/uksi/2022/1213/contents/made

[2]英国脱欧期间，颁布UK GDPR，该立法的内容体例基本遵照欧盟GDPR

[3]Explanatory Memorandum to the Data Protection（adequacy）（Republic of Korea）Regulations 2022 ，访问网站为https://www.legislation.gov.uk/uksi/2022/1213/memorandum/contents

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。