日本跨境數(shù)據(jù)流動監(jiān)管制度的發(fā)展與中國企業(yè)的應(yīng)對

薛志華 曾德華 孟奇勛

大規(guī)模的跨境數(shù)據(jù)流動推動了全球數(shù)字經(jīng)濟(jì)的繁榮發(fā)展，也導(dǎo)致了數(shù)據(jù)傳輸中的安全風(fēng)險 ①。為平衡數(shù)據(jù)安全與發(fā)展，世界主要國家均將跨境數(shù)據(jù)流動納入國內(nèi)法律框架進(jìn)行調(diào)整。日本先后制定、修訂國內(nèi)法律以完善跨境數(shù)據(jù)流動監(jiān)管。研究日本監(jiān)管規(guī)則修訂的原因及產(chǎn)生的影響，有助于及時掌握國外數(shù)據(jù)治理規(guī)則發(fā)展動態(tài)。從現(xiàn)有對跨境數(shù)據(jù)流動規(guī)則的研究來看，學(xué)術(shù)界主要關(guān)注美國和歐盟的立法和實踐 ②，對日本的數(shù)據(jù)治理規(guī)則研究主要聚焦于規(guī)則制度的規(guī)范性分析，借助案例分析闡釋企業(yè)應(yīng)對的研究有待深化。本文在全面分析日本跨境數(shù)據(jù)流動監(jiān)管制度框架的基礎(chǔ)上，以2021年發(fā)生的日本通信軟件Line數(shù)據(jù)安全漏洞案件為分析對象，研究日本監(jiān)管新動向引發(fā)的風(fēng)險及中國企業(yè)的應(yīng)對，以期支持中國企業(yè)對日本開展經(jīng)貿(mào)、投資活動。

日本跨境數(shù)據(jù)流動監(jiān)管的制度框架及其最新發(fā)展

跨境數(shù)據(jù)流動監(jiān)管的法律框架

遵循人權(quán)導(dǎo)向，注重保護(hù)國民個體尊嚴(yán)和人身權(quán)利是日本跨境數(shù)據(jù)流動法律框架的基礎(chǔ)。這一理念被《日本國憲法》通過幸福追求權(quán)的內(nèi)容加以規(guī)定。當(dāng)前幸福追求權(quán)的規(guī)定進(jìn)一步被具體化為隱私權(quán)、個人信息權(quán)的內(nèi)容，并被日本《個人信息保護(hù)法》加以明確化。

《個人信息保護(hù)法》（Act on the Protection of Personal Information，以下簡稱“APPI”）是日本數(shù)據(jù)治理的核心法規(guī)之一，最初于2003年5月制定，2005年4月全面施行。該法律先后于2015年與2020年進(jìn)行了修訂，2020年修訂案于2022年4月1日起全面施行。該法綜合了歐洲和美國立法模式特點，采用了美國的“事后限制”方法，尊重私人企業(yè)的自主性，注重信息的自由流通和使用，并借鑒了歐洲制定“一般法”的方式 ①。該法規(guī)定了個人信息的收集、使用、提供等方面的義務(wù)，同時設(shè)立了個人信息保護(hù)委員會（以下簡稱“PPC”），負(fù)責(zé)監(jiān)督法規(guī)的執(zhí)行，為跨境數(shù)據(jù)流動監(jiān)管提供明確的依據(jù)。

2020年修訂版第28條中明確了對外國第三方提供個人信息的限制，規(guī)定個人信息處理業(yè)者在向外國（定義為日本境外的國家或地區(qū)）的第三方提供個人數(shù)據(jù)時，除非該外國有與日本相同水平的個人信息保護(hù)制度，否則必須事先獲得本人的同意。此外，提供數(shù)據(jù)前必須向本人提供有關(guān)該外國個人信息保護(hù)制度和第三方保護(hù)措施的信息。如果第三方已經(jīng)實施了與日本個人信息保護(hù)法相當(dāng)?shù)拇胧?，那么個人信息處理業(yè)者需要采取適當(dāng)措施來確保這些措施得到持續(xù)執(zhí)行，并在用戶要求時提供相關(guān)信息。根據(jù)法律第29條的規(guī)定，其中包括創(chuàng)建第三方提供記錄等措施：規(guī)定個人信息處理業(yè)者在向第三方提供個人數(shù)據(jù)時，必須根據(jù)個人信息保護(hù)委員會規(guī)則創(chuàng)建相關(guān)記錄，并保存一定期限。同時，法律第30條規(guī)定了接受第三方提供時的確認(rèn)等，要求個人信息處理業(yè)者在接受第三方提供的個人數(shù)據(jù)時，必須進(jìn)行必要的確認(rèn)，并創(chuàng)建相關(guān)記錄。

跨境數(shù)據(jù)流動監(jiān)管條款的最新修訂

隨著信息通信技術(shù)的快速發(fā)展和全球化的深入，跨境數(shù)據(jù)傳輸?shù)男枨蟛粩嘣黾?，這給原有的個人信息保護(hù)規(guī)則帶來挑戰(zhàn)。日本的立法者在APPI的附則中預(yù)留了一個更新機(jī)制，即政府每三年對個人信息保護(hù)相關(guān)的國際動向和新興產(chǎn)業(yè)進(jìn)行考察并適時制定新的措施。以附則中的更新機(jī)制為依據(jù)，日本在2020年對APPI中跨境監(jiān)管的相關(guān)條款進(jìn)行修訂，以適應(yīng)跨境數(shù)據(jù)流動監(jiān)管的需要。

1.增加數(shù)據(jù)傳輸方的信息披露義務(wù)

APPI（2020年修訂）第28條第2款明確規(guī)定，進(jìn)行跨境數(shù)據(jù)傳輸?shù)膫€人信息處理者在向外國第三方提供個人信息時，需要在獲取數(shù)據(jù)主體同意之前履行信息披露義務(wù)。具體要求包括向相關(guān)監(jiān)管機(jī)構(gòu)和信息主體披露以下信息：信息接收方所在國家及該國的個人信息保護(hù)制度，信息接收方為保護(hù)個人信息所采取的安全保障措施，以及其他應(yīng)該提供給本人參考的信息。此外，數(shù)據(jù)傳輸方的信息披露方式也在此次立法中得到調(diào)整：從“以書面方式為原則”修改為“以個人指定方式為原則”。這意味著企業(yè)必須按照個人指定的披露方式（包括電子數(shù)據(jù)）進(jìn)行披露。同時，考慮到企業(yè)負(fù)擔(dān)的減輕，如果個人指定的披露方式因費用過高等原因難以實現(xiàn)，也可以允許采用書面形式進(jìn)行披露。

2.采取必要措施的義務(wù)

APPI（2020年修訂）第 28條第3款規(guī)定，如果個人信息處理者向境外第三方提供個人數(shù)據(jù)，則必須按照個人信息保護(hù)委員會的規(guī)定，“采取必要措施以確保第三方繼續(xù)實施相應(yīng)的保護(hù)措施，并在數(shù)據(jù)主體要求時提供有關(guān)這些必要措施的信息?！北匾胧┑木唧w要求包括（《個人信息保護(hù)委員會規(guī)則》第18條）“以適當(dāng)和合理的方式，定期確認(rèn)該第三方實施適當(dāng)措施的情況，以及可能影響該措施實施的該外國的制度是否存在及其內(nèi)容?！绷硗猓爱?dāng)該第三方實施適當(dāng)措施遇到障礙時，應(yīng)采取必要和適當(dāng)?shù)拇胧?，并在持續(xù)實施該措施變得困難時，停止向該第三方提供個人數(shù)據(jù)?！笨紤]到第三方的參與，數(shù)據(jù)處理者無法完全防備第三方對數(shù)據(jù)的破壞和泄露，無法完全控制第三方的行為?；谶@一點，這種加重的義務(wù)并不是要求數(shù)據(jù)處理者保證數(shù)據(jù)在任何情況下都不會遭到破壞或泄露，而是要求他們采取所有合理的手段來約束和監(jiān)督第三方，使他們能夠以一種可預(yù)測和可管理的方式執(zhí)行其職責(zé)，減少了因未能滿足不明確的義務(wù)標(biāo)準(zhǔn)而可能面臨的無端責(zé)任追究。

日本跨境數(shù)據(jù)流動監(jiān)管制度發(fā)展的原因

加強(qiáng)對跨境數(shù)據(jù)流動的監(jiān)管體現(xiàn)了日本對數(shù)據(jù)自由流動政策的調(diào)整，政策重心在關(guān)注數(shù)據(jù)流動自由的同時強(qiáng)調(diào)與安全并重，這個轉(zhuǎn)變主要涉及國內(nèi)和國際兩個方面原因。

一方面，借助增強(qiáng)監(jiān)管的政策宣示提升日本民眾自愿提供數(shù)據(jù)的信心?？缇硵?shù)據(jù)流動帶來的經(jīng)濟(jì)價值需要建立在海量的數(shù)據(jù)供給基礎(chǔ)上。實現(xiàn)這一目標(biāo)，除了需要企業(yè)的數(shù)據(jù)供給外，還需要國內(nèi)民眾高度配合愿意提供個人數(shù)據(jù)。日本總務(wù)省做的一項民眾與數(shù)據(jù)流動認(rèn)識的調(diào)查結(jié)果顯示，日本國民提供個人數(shù)據(jù)的意愿度與理解度遠(yuǎn)低于中國、美國、英國、德國，造成這一現(xiàn)象的原因之一是日本國民對數(shù)據(jù)泄露、惡意使用等安全問題的擔(dān)憂，對數(shù)據(jù)處理者能否做好數(shù)據(jù)安全管理心存戒備 ①。在這種情況下，一味地追求數(shù)據(jù)自由流動，將不可避免地忽視國民對數(shù)據(jù)安全的呼聲，最終對數(shù)據(jù)的匯集、處理產(chǎn)生不利影響。因此，日本通過加強(qiáng)跨境數(shù)據(jù)流動的監(jiān)管，提高企業(yè)的數(shù)據(jù)安全管理要求，以增強(qiáng)國民對數(shù)據(jù)安全的信心和提供個人數(shù)據(jù)的主動性。

另一方面，提升日本在全球數(shù)據(jù)安全治理領(lǐng)域的國際話語權(quán)。當(dāng)前全球數(shù)據(jù)安全國際規(guī)則的競爭態(tài)勢愈演愈烈。歐盟的跨境數(shù)據(jù)流動認(rèn)證標(biāo)準(zhǔn)、美國的數(shù)據(jù)控制者標(biāo)準(zhǔn)均在國際上產(chǎn)生了較大影響。日本借助舉辦G20峰會的契機(jī)，提出“可信數(shù)據(jù)自由流動”倡議，這一倡議既強(qiáng)調(diào)促進(jìn)數(shù)據(jù)驅(qū)動經(jīng)濟(jì)的發(fā)展，也強(qiáng)調(diào)建立數(shù)據(jù)安全信任，保護(hù)國家安全和個人隱私 ②。日本跨境數(shù)據(jù)流動監(jiān)管制度的發(fā)展可以視為對這一倡議內(nèi)容的具體化。借助APPI的修訂，并將安全流動的理念和內(nèi)容落實到雙邊條約和多邊貿(mào)易協(xié)定中，日本著力推動與歐盟、美國在跨境數(shù)據(jù)流動領(lǐng)域的安全同盟建設(shè)，推動建立安全同盟內(nèi)部的數(shù)據(jù)安全圈。這種做法是日本介入美歐主導(dǎo)全球數(shù)據(jù)跨境流動格局的嘗試，旨在逐步提升跨境數(shù)據(jù)流動治理的國際影響力和話語權(quán) ③。

監(jiān)管制度發(fā)展引發(fā)的法律風(fēng)險

2018年以來，LINE公司（日本）在上海的關(guān)聯(lián)公司（上海LINE數(shù)碼科技有限公司）中4名負(fù)責(zé)系統(tǒng)維護(hù)的中國工程師，在沒有通知日本用戶的情況下登錄日本服務(wù)器至少32次，訪問了用戶信息。這些服務(wù)器上存放著用戶的姓名、電話號碼和電子郵件地址等信息。LINE公司解釋稱，該公司出于業(yè)務(wù)上的需要而訪問用戶信息，并沒有發(fā)現(xiàn)信息泄露現(xiàn)象。

2021年3月19日，基于當(dāng)時實施的法案，日本個人信息保護(hù)委員會要求LINE公司及其母公司Z控股公司（Z Holdings）提交報告，并于同年3月31日起，對LINE公司實施入內(nèi)檢查。依其當(dāng)時實施的《個人信息保護(hù)法》即2015年法來看，個人信息保護(hù)委員會按照該法第40條規(guī)定對LINE公司實施報告收集和檢查工作。從PPC官網(wǎng)披露的信息中可以得知，委員會在此次檢查工作中認(rèn)為LINE的安全管理體系不充分，需要對LINE的報告進(jìn)行進(jìn)一步調(diào)查和驗證，并強(qiáng)調(diào)LINE公司需要持續(xù)改進(jìn)數(shù)據(jù)安全管理 ①。由于LINE處理的個人數(shù)據(jù)具有高度隱私性和大量性，因此對安全措施的要求很高。委員會根據(jù)法律第41條（2020年修訂版APPI第147條）規(guī)定對LINE公司提供行政指導(dǎo)，強(qiáng)調(diào)了對處理個人數(shù)據(jù)的承包商進(jìn)行適當(dāng)監(jiān)督的必要性、定期審計制度的實施，以及明確通知用戶收集個人信息的范圍 ②。

Line案例涉及的法律問題

1.管轄權(quán)問題。

基于網(wǎng)絡(luò)空間的無國界性、虛擬性、發(fā)散性、復(fù)合性和互動性等特征，跨境數(shù)據(jù)流動天然地對傳統(tǒng)管轄規(guī)則提出了新的挑戰(zhàn) ③。目前，隨著數(shù)據(jù)在網(wǎng)絡(luò)媒介上的跨境流動和存儲變得普遍，導(dǎo)致數(shù)據(jù)的來源、存儲和處理地之間出現(xiàn)了分離和割裂，進(jìn)而導(dǎo)致了數(shù)據(jù)管轄權(quán)和治理權(quán)之間的界限模糊?？紤]到數(shù)據(jù)對國家安全和公民隱私的重要性，一些國家或區(qū)域組織通過立法對跨境數(shù)據(jù)賦予了擴(kuò)張性的執(zhí)法管轄權(quán) ④。

APPI（2020年修訂）第171條規(guī)定：“當(dāng)個人信息處理者對于獲得的國內(nèi)數(shù)據(jù)主體的個人信息，在國外進(jìn)行處理的情況下，該法律仍然適用?！边@意味著即使數(shù)據(jù)處理發(fā)生在國外，只要涉及的個人信息是來自日本國內(nèi)的數(shù)據(jù)主體，日本的法律就有管轄權(quán)。在上述案件中，日本LINE公司所委托的第三方是一家中國企業(yè)，但這家企業(yè)對存儲于日本的LINE公司服務(wù)器上的用戶數(shù)據(jù)進(jìn)行了直接訪問。根據(jù)第171條的規(guī)定，這種行為顯然仍屬于APPI所調(diào)整的范圍之內(nèi)。個人信息保護(hù)委員會依照法律對LINE公司進(jìn)行行政執(zhí)法的行為，不僅體現(xiàn)了在相關(guān)領(lǐng)域日本行政管轄權(quán)的域外擴(kuò)張，同時肯定了相關(guān)立法的域外效力，為域外執(zhí)法管轄權(quán)的行使提供了合法性的支持。

2.企業(yè)開展跨境數(shù)據(jù)傳輸?shù)膶嶓w義務(wù)問題。

APPI（2020年修訂）第28條第2款明確規(guī)定，進(jìn)行跨境數(shù)據(jù)傳輸?shù)膫€人信息處理者在向外國第三方提供個人信息時，需要在獲取數(shù)據(jù)主體同意之前履行信息披露義務(wù)。特定情況下第28條的規(guī)定不適用，包括提供給具有同等個人信息保護(hù)水平的國家的第三方；提供給已建立相當(dāng)措施的第三方。如果第三方已經(jīng)根據(jù)個人信息保護(hù)委員會的規(guī)則采取相應(yīng)措施，建立了與個人信息處理事業(yè)者相當(dāng)?shù)捏w系，那么在向這些第三方提供個人信息時，可以不需要遵循第28條的同意要求。

在LINE公司的案例中，由于涉及在中國的外包公司對LINE公司個人信息數(shù)據(jù)的處理（包括訪問），而中國并不屬于日本個人信息保護(hù)委員會所規(guī)定的具有相當(dāng)個人信息保護(hù)水平的國家，意味著需要獲取數(shù)據(jù)主體的明確同意。此外，根據(jù)APPI，個人信息處理事業(yè)者必須采取必要且適當(dāng)?shù)拇胧?，以防止個人數(shù)據(jù)的泄露、丟失或損壞，并確保個人數(shù)據(jù)的安全管理（APPI第23條）。當(dāng)將個人信息處理的全部或部分委托給第三方時，必須對委托方進(jìn)行必要且適當(dāng)?shù)谋O(jiān)督，以確保數(shù)據(jù)安全（APPI第25條）。即使已經(jīng)獲得數(shù)據(jù)擁有者本人的同意將個人數(shù)據(jù)提供給外國的第三方，也不免除對委托方進(jìn)行監(jiān)督的義務(wù)。監(jiān)督的目的是確保與事業(yè)者自身處理個人信息相同水平的保護(hù)。如果作為委托方的日本LINE公司，在中國工程師訪問日本服務(wù)器的數(shù)據(jù)時，未能履行這些信息披露義務(wù)，那么它可能涉及到對APPI中相關(guān)規(guī)定的違反，即被視為不適當(dāng)?shù)牡谌教峁?，從而?gòu)成信息泄露，進(jìn)而導(dǎo)致責(zé)任方日本LINE公司承擔(dān)相應(yīng)的違反義務(wù)的法律后果。

案件反映的法律風(fēng)險類型

1.境外訪問行為的管轄風(fēng)險。

APPI（2020年修訂）第171條規(guī)定，“當(dāng)個人信息處理者在國外處理國內(nèi)數(shù)據(jù)主體的個人信息時，該法律仍然適用?！边@意味著，即使某個行為在物理上發(fā)生在日本之外，只要它涉及或影響到日本境內(nèi)的個人信息，該法律就有適用的空間。這對于在日本的中國企業(yè)或與日本企業(yè)有業(yè)務(wù)往來的國際企業(yè)而言，構(gòu)成了一個顯著的合規(guī)挑戰(zhàn)。因此，對于涉及跨境數(shù)據(jù)處理的企業(yè)來說，理解并遵守日本的個人信息保護(hù)法規(guī)是至關(guān)重要的。這不僅涉及遵守具體的法律條款，如同意的獲取和數(shù)據(jù)的安全處理，也涉及更廣泛的合規(guī)文化，包括對數(shù)據(jù)主體權(quán)利的尊重，以及在數(shù)據(jù)處理過程中的透明度和責(zé)任性。

2.違背信息披露義務(wù)的風(fēng)險。

APPI（2020年修訂）第28條第2款對個人信息處理者披露義務(wù)的規(guī)定，旨在增強(qiáng)數(shù)據(jù)傳輸?shù)耐该鞫群蛿?shù)據(jù)主體的知情權(quán)，從而保障數(shù)據(jù)主體的利益。違反這一信息披露義務(wù)可能導(dǎo)致一系列風(fēng)險。首先，最直接的風(fēng)險是法律責(zé)任。例如，LINE公司的案例中，其處理個人信息的方式引起了公眾和監(jiān)管機(jī)構(gòu)的關(guān)注。若LINE公司未能遵守上述法律規(guī)定，可能會受到法律制裁，損害其商業(yè)信譽(yù)和客戶信任。其次，不遵守信息披露義務(wù)可能導(dǎo)致數(shù)據(jù)主體的信任喪失，會被視為不透明或欺詐行為，這在長期內(nèi)可能對企業(yè)的品牌和市場定位產(chǎn)生負(fù)面影響。此外，若個人信息處理者未能充分了解信息接收方的數(shù)據(jù)保護(hù)措施，可能會將數(shù)據(jù)傳輸給安全措施不足的第三方，增加數(shù)據(jù)泄露的風(fēng)險。

3.針對承包商的監(jiān)督義務(wù)風(fēng)險。

APPI第25條規(guī)定，“個人信息處理者委托處理全部或部分個人數(shù)據(jù)的，必須對受委托方進(jìn)行必要和適當(dāng)?shù)谋O(jiān)督，以確保受委托處理的個人數(shù)據(jù)的安全管理?！眰€人信息處理者不僅要對自身的數(shù)據(jù)處理活動負(fù)責(zé)，還需對委托給第三方承包商的數(shù)據(jù)處理活動進(jìn)行監(jiān)督和管理，監(jiān)督義務(wù)的實施涉及多個風(fēng)險點。首先，承包商可能缺乏足夠的數(shù)據(jù)保護(hù)措施，而增加由此產(chǎn)生的數(shù)據(jù)泄露的風(fēng)險。其次，承包商可能未能完全遵守數(shù)據(jù)保護(hù)法律和規(guī)范，導(dǎo)致合法性問題。此外，監(jiān)督過程中的不透明或不足可能導(dǎo)致個人信息處理者無法準(zhǔn)確評估承包商的數(shù)據(jù)處理活動。在LINE公司的案例中，公司面臨的主要問題是在處理和存儲個人數(shù)據(jù)時涉及的外部承包商。該案例表明，即使是大型企業(yè)也可能在對承包商的數(shù)據(jù)處理活動進(jìn)行持續(xù)且有效的監(jiān)督方面遇到挑戰(zhàn)。

中國企業(yè)如何提升數(shù)據(jù)安全治理水平

健全企業(yè)內(nèi)部數(shù)據(jù)治理機(jī)制

內(nèi)部數(shù)據(jù)治理機(jī)制不僅是企業(yè)加強(qiáng)數(shù)據(jù)安全管理的需要，也是應(yīng)對域外長臂管轄的需要。對于數(shù)據(jù)治理領(lǐng)域域外管轄的興起，中國企業(yè)需全面跟蹤和及時掌握數(shù)據(jù)流入和流出國家的監(jiān)管規(guī)則發(fā)展，完善內(nèi)部數(shù)據(jù)安全治理框架。

第一，建立數(shù)據(jù)全生命周期安全管理制度。在合法正當(dāng)、知情同意、最小必要和公開透明等數(shù)據(jù)處理原則的指導(dǎo)下，針對各種級別的數(shù)據(jù)，應(yīng)該制定具體的分級保護(hù)要求和操作規(guī)程，確保在數(shù)據(jù)收集、存儲、使用和傳輸?shù)拿恳粋€環(huán)節(jié)實施嚴(yán)格的數(shù)據(jù)安全措施以滿足數(shù)據(jù)合規(guī)要求。

第二，落實數(shù)據(jù)安全處理人員管理制度。數(shù)據(jù)合規(guī)實踐反復(fù)證明確立數(shù)據(jù)合規(guī)控制流程不能完全消弭風(fēng)險，還需要企業(yè)主體著眼于數(shù)據(jù)合規(guī)風(fēng)險應(yīng)對機(jī)制的構(gòu)建并明確監(jiān)管紅線，包括設(shè)立內(nèi)部數(shù)據(jù)合規(guī)機(jī)構(gòu)、確定數(shù)據(jù)安全責(zé)任人和責(zé)任部門，應(yīng)根據(jù)需求設(shè)立數(shù)據(jù)安全管理人員，負(fù)責(zé)全面監(jiān)督和管理數(shù)據(jù)處理活動的安全性，并協(xié)助行業(yè)監(jiān)管部門的相關(guān)工作。

第三，培養(yǎng)數(shù)據(jù)合規(guī)文化。企業(yè)應(yīng)該通過塑造合規(guī)理念，將合規(guī)觀念納入經(jīng)營實踐中，并建立起員工的合規(guī)意識。

增強(qiáng)企業(yè)數(shù)據(jù)處理的透明度

數(shù)據(jù)處理者需要履行信息披露義務(wù)，增強(qiáng)數(shù)據(jù)處理透明度已成為普遍共識。在當(dāng)前的法律規(guī)則中，透明度要求具象化為知情同意規(guī)則，同時要求企業(yè)滿足信息披露義務(wù)的要求，建立與用戶間的投訴和爭議解決機(jī)制。

一是遵守知情同意規(guī)則。個人信息處理者只有在取得個人同意后才能處理相關(guān)的個人信息，知情同意規(guī)則是在1970年由德國黑森州的數(shù)據(jù)保護(hù)法所確認(rèn)的 ①。在處理個人信息時，企業(yè)要獲取數(shù)據(jù)主體的同意必須確保其同意是在知情的基礎(chǔ)上，明確、自愿且真實作出的。當(dāng)涉及向外國第三方提供個人數(shù)據(jù)時，尤為重要的是要確保獲取數(shù)據(jù)本人的明確同意，并向其提供充足的信息，包括數(shù)據(jù)將如何被處理、存儲和保護(hù)，以及移轉(zhuǎn)目的地的相關(guān)信息。

二是滿足信息披露義務(wù)要求。作為信息處理者，需要明確了解相關(guān)法律對信息披露義務(wù)的具體要求，并確立監(jiān)管的底線。應(yīng)當(dāng)配合相關(guān)法律制度，從信息披露時間、披露內(nèi)容、披露方式等方面完善企業(yè)的信息披露體系。在處理個人信息時，需以公開、透明的方式行事，向信息主體公布個人信息處理規(guī)則，并清楚告知處理目的、方式及范圍。在緊急情況下，若無法及時通知，處理者應(yīng)在情況緩解后盡快履行告知義務(wù)。并且應(yīng)以顯著方式、清晰易懂的語言通知，確保信息主體充分理解。

三是建立投訴和爭議解決機(jī)制。投訴和爭議解決機(jī)制源自于用戶與數(shù)據(jù)處理者在掌握信息、可調(diào)動資源等領(lǐng)域的不平衡地位。從保護(hù)用戶權(quán)益、實現(xiàn)實質(zhì)公平的視角，企業(yè)需建立相關(guān)機(jī)制，增強(qiáng)數(shù)據(jù)處理過程的可訴性。企業(yè)可以通過用戶協(xié)議的形式，明確用戶投訴渠道，建立爭議解決機(jī)制。一方面是明確投訴程序啟動的條件、程序，告知用戶投訴處理的期限、結(jié)果反饋的渠道。另一方面，針對用戶對投訴結(jié)果不滿的情形，企業(yè)可建立第三方爭議解決機(jī)制，由第三方對爭議進(jìn)行處理，更好地維護(hù)用戶權(quán)益。

加強(qiáng)同承包商之間的協(xié)同合作

APPI第25條規(guī)定，委托方在委托處理個人數(shù)據(jù)時，必須對受委托方進(jìn)行必要和適當(dāng)?shù)谋O(jiān)督，突顯了數(shù)據(jù)處理合作關(guān)系中的核心法律責(zé)任。個人信息處理者在委托數(shù)據(jù)處理時，不能只依賴受委托方的自我管理，必須主動監(jiān)督，確保符合數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)。企業(yè)需要在以下幾個方面加強(qiáng)同承包商之間的協(xié)作，有效執(zhí)行這一要求。

第一，審慎選擇合作伙伴。合作伙伴的選擇不僅應(yīng)基于其專業(yè)技能和服務(wù)質(zhì)量，更要考慮其數(shù)據(jù)保護(hù)政策和歷史表現(xiàn)。這一過程需要通過細(xì)致的盡職調(diào)查來完成，包括但不限于審查潛在承包商的數(shù)據(jù)保護(hù)措施、安全策略和遵守法律的記錄。一旦選擇了合適的承包商，接下來的關(guān)鍵步驟是在合同中明確規(guī)定數(shù)據(jù)保護(hù)的條款。這些條款不僅應(yīng)覆蓋數(shù)據(jù)處理的具體細(xì)節(jié)，還應(yīng)包括監(jiān)督和審核機(jī)制，以及在數(shù)據(jù)泄露或其他安全事件發(fā)生時的應(yīng)對措施，確保雙方對于數(shù)據(jù)保護(hù)的期望和責(zé)任有著共同的理解。

第二，建立定期監(jiān)督和評估機(jī)制。在合作過程中，定期的監(jiān)督和評估是保證數(shù)據(jù)安全管理的關(guān)鍵環(huán)節(jié)。這不僅包括定期審查承包商的數(shù)據(jù)處理活動，還應(yīng)包括對其安全措施的評估和驗證。在必要時，進(jìn)行現(xiàn)場審核或第三方審核也是確保數(shù)據(jù)安全管理到位的有效手段。

第三，明確各自法律責(zé)任。在業(yè)務(wù)合同中應(yīng)納入數(shù)據(jù)保護(hù)條款，如果數(shù)據(jù)處理方通過間接渠道獲取重要和核心數(shù)據(jù)，應(yīng)該與數(shù)據(jù)提供方簽訂相關(guān)協(xié)議或承諾書，明確雙方的法律責(zé)任。在委托傳輸數(shù)據(jù)時，應(yīng)根據(jù)數(shù)據(jù)的特性、重要性和使用環(huán)境，制定相應(yīng)的安全策略，并實施適當(dāng)?shù)谋Ｗo(hù)措施。為了適應(yīng)全球化的數(shù)據(jù)治理趨勢，克服跨境數(shù)據(jù)合規(guī)的難題，我國企業(yè)應(yīng)當(dāng)密切關(guān)注相關(guān)國家立法新動向，著重把握當(dāng)?shù)財?shù)據(jù)跨境要求，明確監(jiān)管紅線，構(gòu)建一套完善的現(xiàn)代化企業(yè)數(shù)據(jù)流動合規(guī)體系。在數(shù)據(jù)主權(quán)安全日益受到重視的今天，各國的數(shù)據(jù)流動監(jiān)管規(guī)則都將不斷對企業(yè)數(shù)據(jù)合規(guī)體系提出更高的要求，企業(yè)在出海時必須直面跨境數(shù)據(jù)合規(guī)難題，強(qiáng)化數(shù)據(jù)安全管理與合規(guī)體系建設(shè)，以適應(yīng)數(shù)字經(jīng)濟(jì)的未來發(fā)展趨勢。

（編輯 楊利紅）

① 梁正.跨境數(shù)據(jù)流動中的信息安全問題探究[J].人民論壇， 2023 （17） ： 38-41.

② 張光.宋歌.數(shù)字經(jīng)濟(jì)下的全球規(guī)則博弈與中國路徑選擇：基于跨境數(shù)據(jù)流動規(guī)制視角[J].學(xué)術(shù)交流， 2022 （1）： 96-113.

① 宇賀克也.個人情報保護(hù)法の逐條解説（第6版）[M].日本： 有斐閣， 2018： 26-27.

① 総務(wù)省.2017年版情報通信白書[EB/OL].（2017-07） [2023-02-05]. https：//www.soumu.go.jp/johotsusintokei/whitepaper/ja/h29/pdf/ n2200000.pdf.

② 鄧靈斌.日本跨境數(shù)據(jù)流動規(guī)制新方案及中國路徑——基于“數(shù)據(jù)安全保障”視角的分析[J].情報資料工作， 2022 （1） ： 52-60.

③ Suda Yuko. Japans Personal Information Protection Policy Under Pressure： The Japan-EU Data Transfer Dialogue and Beyond[J]. Asian Survey， 2020， 60 （3） ： 510-533.

① 日本個人信息保護(hù)委員會.LINE株式會社に対する調(diào)査狀況について[EB/OL]. （2021-7-21） [2024-1-5]. https：//www.ppc.go.jp/files/pdf/210721_ shiryou-1.pdf

②日本個人信息保護(hù)委員會.個人情報の保護(hù)に関する法律に基つく行政上の対応について[EB/OL]. （2021-4-23） [2024-1-5]. https：//www.ppc. go.jp/files/pdf/210423_houdou.pdf

③ 孫尚鴻.傳統(tǒng)管轄規(guī)則在網(wǎng)絡(luò)背景下所面臨的沖擊與挑戰(zhàn)[J].法律科學(xué)： 西北政法學(xué)院學(xué)報， 2018 （4） ： 160-168.

④ 邵懌.論域外數(shù)據(jù)執(zhí)法管轄權(quán)的單方擴(kuò)張[J].社會科學(xué)， 2020 （10）： 119-129.

① 程嘯.論個人信息處理者的告知義務(wù)[J].上海政法學(xué)院學(xué)報（法治論叢）， 2021 （5） ： 67-80.