數據跨境國際規則的日本方案：“基于信任的數據自由流通”（DFFT）倡議解讀

數字貿易蓬勃發展的全球化浪潮下，跨境數據流動被視為打破數字巨頭（如美國谷歌、蘋果等企業）的數據壟斷¹，惠及發展中國家²及中小企業³，促進全球經濟發展的重要途徑。但完全自由的跨境數據流動可能帶來國家安全隱患、個人隱私泄露、知識產權侵權、數字監管無能等危機。因此，確保數據安全、自由地流動已成為各國的普遍需求⁴，然而基于維護國家核心利益考量，各國對數據跨境流動的規則尚未形成廣泛共識，全球跨境數據流動規則的話語權斗爭亦愈發激烈。本文通過介紹日本“基于信任的數據自由流通”（DFFT）倡議，旨在展示日本在這一話語權爭奪戰中的布局與攻防，以資增進對數據治理國際化、我國跨境數據流動制度建設等議題的理解與思考。

一、DFFT的提出與輻射

據日本數字廳官方網站的介紹，“DFFT（Data Free Flow with Trust，本文譯作基于信任的數據自由流通）”意為在確保隱私、安全、知識產權之可信賴性的同時，以促進跨國數據自由流通為目標，使對于處理商務和社會問題有益的數據跨國自由往來的構想。2019年1月23日，日本時任首相安倍晉三在達沃斯世界經濟論壇上首倡DFFT概念，并指出：“我們的個人數據、知識產權、國家安全保障相關機密數據等，應該嚴加保管。另一方面，我們應該讓醫療、產業、交通等其他為最有用的匿名后的非個人數據跨越國界自由往來……⁵”由此可知，在DFFT最初的設計中是明確將包括個人數據、涉及知識產權和國家安全機密在內的數據排除在跨境流通數據范圍之外的。同年5月30日，安倍在第25屆國際交流會議“亞洲的未來”晚餐會演講中指出將在G20峰會上啟動名為“大阪軌道”的國際數據流動倡議，首次表達了希望將DFFT引入至WTO的愿景⁶，但未提出相關具體實施方法。而在6月8日和9日舉行的G20茨城筑波貿易和數字經濟大臣會議上，作為階段性成果文件的部長級聲明就DFFT的實施，提出了“尊重國內和國際的法律框架”“合作以鼓勵不同框架之間的互操作性”“確認數據在發展中的作用”的主張⁷。在6月28日的G20大阪峰會領導人數字經濟特別會議演講中，安倍將加快制定WTO電子商務規則作為推動數據自由流通的當務之急⁸ 。同日，峰會上大多數與會成員國和參與78國《有關電子商務聯合聲明》的其他世貿組織成員一起，宣布啟動“大阪軌道”，并簽署《大阪數字經濟宣言》⁹。至此標志著DFFT從概念提出階段進入實踐階段。

此后四年間，日本借助各種雙邊?多邊?區域?國際機制推進DFFT¹⁰，并在2019年以來的G7和G20峰會中領導了具體步驟：在雙邊層面，DFFT寫入《日美數字貿易協定（USJDTA）》和《日英全面經濟伙伴關系協定（EPA）》；在多邊與區域層面，日本主導或參與了《全面與進步跨太平洋伙伴關系協定》（CPTPP）、《區域全面經濟伙伴關系協定》（RCEP）等關涉數字領域的多邊倡議；G7數字技術部長會于2021年、2022年先后通過了《DFFT合作路線圖》《促進DFFT行動計劃》，確認了數據本地化、監管合作、值得信賴的政府訪問數據以及優先領域數據共享四個合作領域，聚焦提升未來數字監管互操作性、數字貿易背景下促進DFFT以及知識共享等重點工作¹¹；國際層面，日本在WTO電子商務談判中作為聯合召集人（co-convener），積極領導和推進以《日美數字貿易協定》、CPTPP為基礎的高水平數據規則。

此外，日本還希望就DFFT建立專門平臺支持，擺脫目前頗受詬病的松散架構：根據2023年4月戰略與國際研究中心（CSIS）發布的《實施可信數據自由流動》政策簡報稱，日本希望在經合組織等國際組織的框架下，圍繞DFFT成立秘書處以建立討論、制定全球數據治理規則和框架的專門場合，并已啟動“DFFT伙伴關系機制性安排”（Institutional Arrangement for Partnership on DFFT，IAP），希望借此促進更強有力的規則落實¹²。2023年4月G7的部長級會議達成的《七國集團關于實施DFFT及其優先事項的愿景附件》（Annex on G7 Vision for Operationalising DFFT and its Priorities）則進一步指明IAP須特別關注有關數據本地化、監管合作、值得信賴的政府訪問數據（Trusted Government Access to Data）與數據共享這四個關鍵議題，提議將由OECD協助建立并引領IAP¹³。

DFTT體現了日本通過主導全球數據規則制定，爭取“數字主權”的決心。2023年度的G7會議結束后，有分析指出DFFT已成為國際數據治理共識原則¹⁴。但由于數字政策事關國家核心利益，各國的數據治理能力、數據使用目的、數據分類標準也有所不同。DFTT應如何盡可能平衡各國訴求，勢必將成為DFFT國際影響力擴張過程中須考慮的關鍵問題。作為G20成員的印度、印度尼西亞和南非拒絕簽署《大阪數字經濟宣言》，致使DFFT至少失去9億潛在數據生產者市場¹⁵，則成為佐證該問題嚴重性的現實案例之一。時任印度商業部長戈亞爾（Piyush Goyal）曾表示，在發展中國家的數據基礎設施未完善、數字經濟領域未實現公平競爭的前提下，數據跨國流通只會“嚴重阻礙發展中國家從數據貿易中獲利”。此外，DFFT在具備靈活性的同時也意味著其核心要素的模糊性，DFFT中的數據概念應如何界定、何為DFFT中的“信任”、在不同應用場景下如何體現“信任”等問題迄今懸而未決，已成為該概念輻射各國的障礙之一。

二、DFFT具體化的愿景與方案

有學者觀點指出：“DFFT只是明確了數據治理的概念，尚未真正地形成規則。¹⁶”但事實上，日本對于DFFT內涵建構與規則探討的步伐從未止息。由上文亦可看出DFFT已經在多項雙邊、多邊與區域協定中有所體現。自2021年11月1日起至今，日本經濟產業省已召開八次針對DFFT的專題研討會（データの越境移転に関する研究會）¹⁷，并于2023年年初更新了相關報告書。報告書中指出DFFT具體化的方向是在“就確保DFFT這一目標達成一致的基礎上，從戰略上避免意識形態和政策優先級的對立，推進有效合作、加深相互理解，以靈活的行動原則為基礎，追求成果具體化¹⁸”，并明確了DFFT具體化的五大核心領域，提出各領域存在的問題困惑。本節擬結合報告書中內容充分展示日本DFFT具體化的相關愿景與實踐化操作方案。

圖1  DFFT具體化的五大核心領域¹⁹

（1）確保透明度

較高的政策透明度能夠降低合規成本，有利于數據生命周期中所有相關者的利益。日本經濟產業省參考現有國際貿易制度中確立的確保透明度機制，指出在聯合國貿易和發展會議（UNCTAD）和經濟合作與發展組織（OECD）等國際組織的制度中，有諸多確保政策透明度的機制（如公布和通報、要求查詢和提供信息、設立查詢站、反向通報、調查和報告、提供數據庫等），這些機制都可為DFFT發展提供借鑒。參照上述機制，報告書中列出相關建議舉措：（a）盡快成立DFFT相關信息收集、匯總和討論的論壇；（b）導入通報、反向通報、查詢等系統；（c）整頓政府相關部門職能；（d）推動企業及市民社會代表等利益相關者加入論壇；（e）推動建立如“DFFT Inventory”民間知識庫以減輕政府負擔²⁰。

此外，報告書中特別指出希望建立能正確映射各國數據跨境轉移相關制度并明確其特征的圖譜，以求改善政策透明度，降低企業的合規成本。在映射圖的制作方面，報告書建議參考“云計算中的互操作性和可移植性”的國際標準（ISO/IEC19941：2017）進行要素分析，從而完成制度映射；同時，以下因素/特征對于映射圖的制作發揮著重要作用：數據生命周期可以分為9個階段（acquisition，transmission，storage，preparation，use，exchange，sharing，archive，deletion）；國際標準ISO 21823-1規定的互操作性的五個方面（傳輸、語法、語義、行為、策略）；國際標準化組織發布的國際標準（ISO/IEC TC 5723：2022）中規定的數據處理的可信性（Trustworthiness）由包括安全和隱私在內的15個特征；國際標準《信息技術 云計算 概述和詞匯》（ISO/IEC 17788：2014）中展示的云計算的13個橫向特性。以數據生命周期的9個階段+互操作性的5大方面+數據處理可信性的15個特征+云計算的13個橫向特性之組合為工具²¹，將使各國數據跨境轉移相關制度的詳細映射成為可能，并為確保各國制度的透明度提供了途徑。

（2）技術與標準化

企業等數據處理者在將數據跨境轉移到第三國時，往往需要保障數據傳輸的安全性。不少國家法律亦要求數據的境外接收方具備數據系統安全保護措施。因此，無論是數據處理者還是數據接收方都需要具備相應的數據安全技術能力，能夠針對數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全流程采取充分的安全技術措施。報告書提出推廣應用PETs（一種隱私強化技術，全稱為Privacy-enhancing technologies）與RegTech (監管科技，全稱為Regulatory Technology) 兩種技術手段，以推進數據安全技術能力的標準化。PETs作為可兼顧隱私保護和數據利用的技術群，主要服務于個人信息的跨境傳輸；Reg Tech則主要應用于包含產業數據等非個人數據的跨境傳輸場景。

圖2 報告書中所列舉的PETs代表性技術²²

（3）互操作性

企業在內的數據處理者在遵守各國的數據跨境傳輸相關制度時，往往因制度框架間的差異而付出巨大的操作成本，這也嚴重阻礙了數據的跨境自由流通。例如，企業在獲取個人數據時，是僅需在網上顯示或通知使用條款，還是需獲取用戶的知情同意，由于各國法律對此的規定不同，企業目前很難協調遵守不同國家的合規要求。此外，數據傳輸安全性評估也依賴于各國的法律評價標準。因此，確保各國數據跨境傳輸框架的互操作性對于實現DFFT至關重要²³。

除了（1）中提到的數據跨境制度映射圖外，報告還特別提出了以下建議：①政府應大力推進監管沙盒（Regulatory Sandbox）制度和數字沙盒（Digital Sandbox）制度，完善PETs等技術的應用場景，確定能夠同時遵守多國法規的標準技術。②政府應大力支持共享確保數據共同定義和互操作性的框架制度，以便形成對跨國共享數據的共同理解。③舉辦技術沖刺（Tech Sprints），促進研發有助于確保互操作性的技術。

（4）關聯制度的互補性

報告書指出，現階段有必要根據與數據自由跨境流通相關的現有貿易規則和一般原則（G7數字貿易原則等），以及在隱私、安全、知識產權等領域有關數據處理的討論，考察DFFT具體化提案與現有制度的互補性。報告還提到，日本經濟產業省對于現有CPTPP、USMCA、RCEP等經濟協定中的數據跨境轉移規則展開研究，發現CPTPP等與EU?NZ FTA（《歐盟·新西蘭自由貿易協定》）和RCEP的立場難以趨同²⁴，因此為了迅速滿足企業的需求，DFFT應在承認各國經濟協定之間差異性的同時，建立新的能夠盡早啟動的國際數據跨境流通制度框架。而在非經濟協定中，涉及數據跨境流動的規定中缺乏提高政策透明度和降低政府監管成本的規定，因此應予以補足。

（5）DFFT具體化實施機制的落地

為使DFFT具體化提案得到更多國家的廣泛贊同，需要在DFFT相關國際談判和討論中考慮圖示四要素（這些要素在人道主義對話及外交談判場合也發揮著作用）。此外，應通過減少DFFT參與國在確保透明度方面的負擔，給予其積極加入DFFT倡議的正向激勵，確保其參與積極性，秘書處也應在其中發揮協調各國的關鍵性作用。DFFT相關談判成果文件的內容應以描述性（descriptive）而非分析性（analytic）的方式記載，以避免給人一種批判特定國家或特定事件的政治化印象。

圖3 報告書中所列舉的DFFT相關國際談判四大原則要素²⁵

上述具體化方案顯示出日本政府在推動DFFT發展方面的強大決心，方案中對于具體技術應用的探討體現出了具體化方案存在一定的可操作性。然而，從報告書中亦可窺知DFFT落地所面臨的諸多荊棘：報告書中缺乏了對于DFFT之具體應用場景的敘述；就第四章“關聯制度的互補性（関連する制度との補完性）”所提到的方案來看，各國經濟協定不同規定背后存在著國家利益間的分歧與齟齬。如何求同存異，建立通用的國際數據跨境流通制度框架并無具體實操方案與時間表；第五章“關于DFFT具體化實施機制的落地方案（DFFT具體化の履行枠組みの実裝）”內容單薄，“去政治化”等理念依然僅停留于口號；層出不窮的新興技術應用也影響著DFFT未來具體化的方向，如DFFT機制如何與生成式AI大數據訓練的數據跨境傳輸需求相匹配等問題依然尚待研究。

三、DFFT與數據本地化

如上文所述，2023年4月G7廣島峰會達成的《七國集團關于實施DFFT及其優先事項的愿景附件》中明確將數據本地化（Data Localisation）作為IAP的特別關注領域。OECD研究報告指出，數據本地化意為直接或間接地規定在特定的管轄范圍內排他或非排他地存儲或處理數據的強制性法律或行政要求²⁶。具體到實務中，部分國家要求企業在數據跨境傳輸時于本地保留數據副本（通常為個人信息、敏感數據），有些國家則不允許企業進行數據跨境傳輸，而這在客觀上將增加企業實施數據跨境傳輸操作的合規成本，甚至有意見指出數據本地化措施是數據跨境自由流動規制中最嚴苛的表現形式²⁷。因而DFFT如何應對各國的數據本地化政策（及對數據本地化不同態度）成為各國觀望焦點之一。對此，學者黨璽、徐安妮指出DFFT和數據本地化存在天然排斥關系²⁸；學者板倉陽一郎亦指出DFFT中的“信任（trust）”應包括“①保障原則上的數據自由流通②去除數據本地化③數字產品應享受非歧視待遇和免稅待遇④不要求公開源代碼等”，將DFFT的實現與數據本地化之去除相關聯²⁹。但根本拓表示“數據本地化措施可能會影響數據的跨境轉移，但不一定限制數據的跨境轉移（例如如果某些數據存儲在國內服務器上，則會獲準將這些數據無限制地轉移到其他國家）。”他還指出OECD亦出于同種考量，在2021年發布的名為Mapping Commonalities In Regulatory Approaches To Cross-Border Data Transfer研究報告中將該種數據本地化措施排除出分析對象范圍³⁰。

數據本地化規制的主要目的是確保敏感信息的安全性和加強隱私保護，同時維護國家的數字主權和監管能力。赫思瑤指出發展中國家在經濟實力、貿易條件、制度建設方面也與發達國家存在差距。如果直接進行完全自由的數據流動，對于數據本地化不留例外地禁止，發展中國家在數字貿易領域很難建立優勢，與發達國家真正公平地競爭³¹。因此可以說，鑒于國際形勢和各國國家利益需要，當前數據本地化規制不存在消失的可能性和空間。然而美國出于自身國家利益考量，反對其他國家（尤其是中國）的數據本地化規制措施。美國智庫信息技術與創新基金會（ITIF）在其報告中指責中國是全球對數據跨境流動限制最多的國家，并建議美國與其盟友在簽訂數據共享框架時將中國、俄羅斯等限制數據流動的國家排除在外³²，在WTO成員之間的電子商務談判中加入有關禁止數據本地化的條款。筆者認為在對待數據本地化問題上，DFFT可參照RCEP對于數據本地化采取的原則+例外的方式，而非全面禁止所有數據本地化措施，以凝聚各國最大共識，避免政治冷戰。

圖4 日本首相岸田文雄在twitter中將DFFT與經濟安全保障相聯系³³

“尋求合作發展和強調本國利益之間的取舍與平衡”³⁴是各國對于數據本地化措施所應采取的最佳姿態。而這亦符合日本對于DFFT倡議的定位。日本首相、經濟產業省的相關國內發言中頻將DFFT作為應對日本國家和國民經濟生存、維持和發展威脅（即“經濟安全保障”）的重要一環。日本在認識到DFFT事關本國國家利益的同時，也應認識到如數據本地化規制等議題直接關系著各國的國家利益與經濟安全，并應在上述議題上充分平衡本國發展與其他國家的核心利益。因此，未來DFFT伙伴關系機制性安排（IAP）將如何對“數據本地化”這一特別關注領域提出解決方案與部署值得關注。

四、結語

由于篇幅所限，本文就日本DFFT在雙邊、多邊協定及WTO貿易規則談判中的體現僅作列舉，也未能全面展示如美國、歐盟、印度、中國等基于本國數字利益而對DFFT采取的不同姿態。但總體而言，本文對日本DFFT概念的產生、發展以及這一概念具體化的前景和方案進行了簡要介紹，并探討了概念本身存在的問題與具體化可能面臨的挫折。DFFT概念本身綜合了“自由”“可信”的數據跨境傳輸理念，體現了一定的豐富性與先進性，其具體化方案也擬運用前沿技術與專業化架構，展現出較強的可行性。但筆者認為，日本若希望持續擴大DFFT的國際影響力，則必須在“數據本地化”等問題上堅持去政治化姿態，綜合考慮各國“數據主權”與核心關切。