中心研究|印尼《个人数据保护法》能否为全球数据跨境流动探索出替代数据本地化的新路径?
全文共4200字,细读时间约15分钟
黄潇怡|中国信息通信研究院互联网法律研究中心研究员
2022年10月17日,印度尼西亚《个人数据保护法》(以下简称“PDP法案”)获总统批准,标志着法律的颁布和生效。印尼PDP法案对数据跨境流动作出了相关规定,但并未对数据本地化义务作出相关要求,境内数据传输方理论上可以向境外传输PDP法案定义下的全部数据类型。印尼作为2022年G20轮值主席国、世界第16大经济体、东南亚最大经济体,其PDP法案中避免数据本地化的做法,能否为东南亚地区乃至全球数据跨境流动探索出一条灵活和务实的新路径?对此信息技术和创新基金会(ITIF)也于2022年12月21日发布相关分析文章,值得深入研究和思考。
2022年10月17日正式生效的PDP法案第56条对向境外传输个人数据作出如下规定:允许个人数据控制者在以下情况下将个人数据传输给位于印尼境外的个人数据控制者和/或处理者:(a)接收个人数据传输的个人数据控制者和/或处理者所在国家/地区的个人数据保护程度等于或高于PDP法案规定的保护程度;(b)在无法满足(a)项规定的情况下,要求个人数据控制者确保有足够的个人数据保护措施,并且这种保护措施具有约束力;(c)在无法满足(a)(b)项规定的情况下,征得个人数据主体的同意。
对比2020年的PDP法案草案,正式生效的PDP法案对个人数据转移至印尼境外的相关要求大大简化。一是进行国家级评估,如果外国的数据隐私法对个人数据的保护水平与印尼相当或更高,则印尼的个人数据可以直接流向该国。二是进行企业级评估,如果国家级评估不适用,则可以评估企业/组织是否可以确保对数据进行充分有效的保护。PDP法案中没有规定数据控制者如何确保“提供充分且具有约束力的个人数据保护”,但第56条第5款指出,有关个人数据转移的进一步规定将包含在单独的法规中。预计印尼当局将会不断丰富和完善法律工具,为企业/组织提供数据转移的法律依据,可能包括标准化合同或合同条款(如《东盟示范合同条款》)、技术工具(如匿名化和加密),以及区域性和全球个人数据传输框架(如新的全球跨境隐私制度)等。三是数据主体同意,第56条第4款规定“组织在上述条件均无法满足的情况下使用此豁免”,且并未对使用此豁免进行限制,这为“充分性”要求提供了更广泛的同意例外。如此看来,印尼对将个人数据转移到境外的要求已经简化为得到数据主体同意即可,但PDP法案第56条只涉及“数据控制者”传输个人数据的情形,这是否意味着只有数据控制者才能够将个人数据转移到境外有待印尼当局进一步明确。四是未规定“数据本地化”相关要求,此前的PDP法案草案中曾出现过的数据本地化义务,但相关义务并没有出现在正式生效文本中。这意味着个人数据跨境传输没有了数据本地化义务的阻碍,境内数据传输方理论上可以向境外传输PDP法案定义下的全部数据类型。
信息技术和创新基金会(ITIF)贸易政策副主任奈杰尔·科里(Nigel Cory)认为,印尼与欧盟在数据跨境流动政策方面的最大区别是,欧盟试图让其他国家承担保护欧盟个人数据的责任;而印尼PDP法案的核心是“问责制原则”。
(一)政策对比
欧盟试图通过“充分性决定”迫使其他国家调整自己的隐私法以配合欧盟的《通用数据保护条例》。欧盟的政策制定者成了全球隐私保护政策的评判者,通过“充分性决定”判断一个国家是否“足够”保护欧洲个人数据,并将地理位置与隐私保护水平联系起来。而且,经过多年的艰苦谈判,也仅有少数国家/地区被欧盟认定为满足“充分性决定”。实际上许多国家并不想被欧洲政策制定者评判,尽管各国都在不断完善和修改本国的隐私保护相关立法,但复制和粘贴欧盟的隐私保护方法并不是全球唯一路径。
印尼的做法不同于欧盟,根据PDP法案相关要求,无论数据在哪里,所有在印度尼西亚运营的组织都要对印度尼西亚的数据负责,即数据在哪里法律责任就在哪里。虽然印尼已在金融、公共服务等重要领域作出了数据本地化的要求,但印尼正尝试以“问责制原则”逐步替代数据本地化相关要求,此次颁布的PDP法案就未涉及数据本地化。
(二)印尼数据本地化政策沿革
一是模糊化私营部门的数据本地化相关要求。印尼的数据本地化工作大都源于通信和信息部2012年第82号条例,该条例要求“公共服务电子系统运营商”在本地存储数据,“公共服务电子系统运营商有义务将数据中心和灾难恢复中心设置在印度尼西亚境内”。2019年,关于电子系统和交易组织的第71号条例(以下简称“GR71”)取代了第82号条例,GR71对公共和私营电子系统运营商进行了区分,并且仅对公共电子系统运营商施加了数据本地化义务。公共电子系统运营商是指(1)公共机构(例如中央和地区行政、立法、司法机构以及根据法定授权设立的任何其他机构);(2)由公共机构指定代表其操作电子系统的实体。根据GR71及其实施条例《2020年通信和信息部部长关于私营电子系统运营商的第5号条例》,私营电子系统运营商可以在印度尼西亚境外管理、处理和/或存储电子数据或电子系统。尽管如此,私营电子系统运营商必须允许政府机构进行“监督”,任何“电子系统提供商”(ESP)在海外存储和处理数据都需要事先获得政府的批准,包括授予对电子系统和数据的访问权限以用于监控和执法目的。
二是为电子商务相关的数据本地化要求提供了例外情形。印度尼西亚关于电子商务的第80/2019号法规规定,除非贸易部认为接收国具有与印度尼西亚相同水平的个人数据标准和保护,否则个人数据不能转移到海外,可以认为这是事实上的本地化策略。如第一部分所述,正式颁布的PDP法案已为此要求提供了“企业级评估”和“数据主体同意”的例外情形,且并未提及数据本地化相关要求,虽然印尼PDP法案最终将如何落地实施尚待持续关注,但法案释放了弱化数据本地化相关要求的信号。
三是金融等重要领域仍然实行较为严格的数据本地化。尽管印尼金融服务管理局(称为OJK)已逐步允许一些用于银行服务、保险服务、多融资服务等的电子处理系统设在境外,但总体政策仍要求企业在国内处理其金融交易。2021年,OJK颁布了一项关于非银行金融机构IT风险管理的规定(4/POJK.05/2021),除了例外情况,非银行金融机构必须在印度尼西亚拥有数据中心和灾难恢复中心。印度尼西亚银行仍然要求核心/重要金融交易在国内处理并本地存储数据,还要求支付网关提供商必须获得中央银行的批准,并且80%为国内所有。2021年,印度尼西亚央行发布了新法规,要求非银行支付服务至少拥有 15% 的印度尼西亚所有权。至少51%的有投票权的股份必须由印度尼西亚人,个人或实体拥有,这些规则将有效地禁止外国公司在印尼国内支付领域发挥作用。
奈杰尔·科里于2022年12月21日发表了《印度尼西亚的数据隐私法避免了代价高昂且误导性的本地化》一文,认为本地化是一项代价高昂且误入歧途的政策,因为跨境电商和国际贸易不可避免的涉及消费者个人信息(如姓名、地址、账单信息等),如果这些数据不跨境,业务就无法开展。ITIF的最新报告显示,如果印尼实施所有拟议的本地化政策,预计五年后进口价格上涨2%,进口下降6.9%,贸易额下降5.8%;因部分进口被用作国内生产和贸易的中间投入,因此出口也将受到影响,印度尼西亚的总贸易量随着进口的减少而减少。奈杰尔·科里同时认为,“问责制原则”是在相互关联的全球数字经济中采取合理方法管理数据的基础,PDP法案对跨境数据流动采取了一种有趣的、有序的方法,可以为其他国家效仿。
印尼通信和信息部长约翰尼·普拉特(Johny Plate)认为,PDP法案使印尼成为全球数据治理的领导者,并且与G20的“信任的数据自由流动”(Data Free Flow with Trust,DFFT)倡议一致。奈杰尔·科里认为,虽然PDP法能否成为全球数据跨境流动的典范取决于PDP法案的一系列配套政策如何规定,印尼当局如何执法,以及法案最终如何落地实施;但印尼政策制定者在PDP法案起草过程中对建设性的反馈的开放态度,以及对跨境数据流动采取的务实、有序和灵活的方法为全球数据跨境流动提供了一些思考。对此,ITIF在其官网发布的《孟加拉国、香港、印度尼西亚、巴基斯坦和越南的数据本地化政策成本》一文中提出了如下建设性意见:
一是政策制定者应更加关注法律责任而不是本地化和“控制”,坚持“问责制原则”和可互操作的隐私框架。政策制定者可以明确声明,一个国家/地区的本地法应与其数据一起流动,法律责任延伸到第三方数据处理者,无论它们位于何处。例如,孟加拉国数据保护法草案第43条强调公司(数据传输方和接收方)有义务保护数据,无论其存储位置如何。在特定国家开展业务的公司应协助该国以外的合作伙伴遵守该国的隐私保护政策,因为其公民和政府可以就任何侵犯隐私的行为(例如数据泄露)向该公司寻求补救措施,无论该公司或其合作伙伴是否有过错。另外,国内监管制度需要具有全球互操作性,因为每个国家在将其法律应用于可能在司法管辖区之间传输数据的情形时都面临着挑战,可互操作的隐私框架是“问责制原则”的国际延伸,各国的数据保护规则随着其数据在不同的隐私制度之间流动。
二是政策制定者应采用国际网络安全标准和认证确保政府数据和服务的安全,而不是数据本地化政策。政策制定者制定数据本地化政策的核心因素是确保政府数据和服务的安全。然而,数据的安全性通常并不取决于信息存储在哪个国家,而是安全存储信息的措施。例如,马来西亚的服务器与巴西的服务器没有什么不同,数据安全性取决于服务提供商实施的技术、物理和管理控制。政策制定者应该关注的核心是制定标准来判断云服务提供商是否采用国际网络安全最佳实践。例如,德国和新加坡已采用ISO/IEC 27001(世界上最知名的信息安全管理系统标准)、ISO/IEC 27017(适用于提供和使用云服务的信息安全控制指南)和ISO 27018(保护公共云中个人身份信息的操作守则)作为各自认证基本要求。政策制定者应鼓励使用国际标准,不仅因为安全性高,还节省合规成本。
三是数据本地化会阻碍跨境司法合作,应采用示范协议等方式加强跨境司法合作。目前,法律互助条约仍然是实现跨境数据交换的最常见工具,但是因数据本地化要求等原因导致效率低下,一些国家需要数年时间才能对请求做出回应,而有些国家,如俄罗斯,甚至不回应相关请求。政策制定者应审查和改革国内和国际法律框架,在遵守隐私和人权保护的同时,确保执法部门能够及时请求和接收刑事调查所需的数据,如,访问其他国家的通信和其他记录等。例如,欧盟的“电子证据”提案简化了欧盟服务提供商和执法部门之间的合作。