东盟数据治理现状及其对《数字经济框架协议》的启示

东盟数据治理现状及其对策Agreement对数字经济框架的影响 大川凯塔野村研究院(NRI)Ema OGURA东盟和东亚经济研究所(ERIA)野村研究院(NRI)Shota WATANABE 2025 年 1 月 Abstract:数据驱动社会的转型加强了平衡数据自由流动与 robust 数据保护以保障隐私、知识产权、商业秘密及国家安全的重要性。尽管不同国家引入了各种数据治理框架，包括全面的隐私法律，但跨境监管差异阻碍了数据流动，增加了合规成本并限制了企业扩张，尤其是中小企业。2019年G20提出的“数据自由流通与信任”（DataFree Flow with Trust, DFFT）概念旨在通过促进互操作性来解决这一平衡问题，同时尊重国家主权。然而，在东盟地区，监管碎片化进一步复杂化了跨境数据流动。东盟成员国（AMS）之间在数据本地化政策和个人数据治理方面的差异为企业发展带来了重大挑战。例如，对敏感数据要求、数据主体权利和安全措施的不同规定要求公司在多个司法管辖区运营时进行额外的合规努力。此外，非个人数据法规，如供应链数据共享或强制技术转让的限制，阻碍了全球研发合作，并在某些国家抑制了投资。本研究对东盟的数据相关法规进行了全面分析，并为东盟数字经济框架协定（DEFA）提出了政策建议，该协定计划于2025年实施。它强调了透明度、监管协调以及各种机制对于促进更顺畅的跨境数据流动和最终推动区域数字一体化的必要性。 关键字:东盟, 数据治理, 信任数据自由流动 (DFFT), 东盟数字经济框架协议 (DEFA) JEL 分类 ： K2 1. Introduction 数据利用在经济发展中的重要性显著增加，因为社会正越来越多地转向以数据驱动型社会。在这种以数据为中心的社会和经济中，供应链相互紧密连接；因此，确保数据的自由流动变得至关重要，以便各类利益相关者能够有效地跨越边界访问数据。尽管数据自由流动的重要性不断增加，同样重要的是要妥善保护数据以实现合法目的，如隐私、知识产权、商业秘密和国家安全。为应对这些挑战，各国和地区纷纷引入了各种数据治理法规，包括制定全面的隐私保护立法。虽然必须尊重每个国家的监管主权，但平衡这些法规与数据自由流动的需求对于实现数字化带来的好处至关重要。 国际上关于数据自由流动与保护的平衡问题已在多个国际论坛（如G7和G20）下进行了讨论，并以“数据自由流动与信任”（Data Free Flow with Trust, DFFT）的概念展开。该概念由日本政府在2019年的G20峰会上提出，并自那时起在G7和G20峰会上获得了频繁的支持（Oikawa, 2024）。这些讨论伴随着经济合作与发展组织（OECD）秘书处开展的数据治理研究，逐步形成了关于这一主题的知识体系。例如，已经广泛记录了不同国家在基本概念上的差异，如对数据定义的理解和实施数据本地化的要求，即要求数据必须在国家边界内进行处理和存储。这些不同的数据治理框架导致公司在跨境转移必要数据时遇到困难。由此产生的合规成本阻碍了全球业务的发展，尤其对于中小企业而言更为明显。为应对这些挑战，先前的研究探讨了可能的解决方案，如贸易协定和认证系统，以增强国内系统的互操作性。这些方法旨在尊重每个国家的监管主权同时最大化数据的自由流动。 平衡数据的自由流动与保护也是东盟内部的重要议题。此前关于东盟成员国（AMS）个人数据保护法规的研究表明（欧盟-东盟商业理事会，2020：22-24），各成员国在数据本地化类型（如存储和处理数据的位置要求）以及有条件允许跨境传输限制（刘、森恩斯特施密德、桂，2023：7-9）方面存在差异，这导致了区域内数据自由流动的限制。 东盟。为了平衡数据的自由流动与保护，在前述规定之外，还需要审视以下两种关键类型的数据保护法规。 The first type concerns data protection regulations that govern the handling of personal data within a country’s jurisdiction. Previous studies have analyzed differences among AMS regarding such regulations, focusing on specific aspects involving sensitive information such as gender identity, race, personal information on children, and data breach notifications. These domestic variations in managing personal data can pose challenges for businesses operating across multiple countries (Liu, Sengstschmid, Ge, 2023). However, differences in broader personal data governance beyond sensitive information—such as the rights of data subjects—also need to be considered.1并且安全措施也影响跨境数据流动（UNCTAD, 2023；Fritz 和 Giardini, 2023）。例 如，如果一家公司在其本国可以未经同意处理个人数据以履行合同，但在另一个国家则需要获得明确同意，这种差异需要额外的合规努力。希望进入新市场的公司必须通知个人获取同意、修订隐私政策、调整法律依据，并相应地修改数据处理实践。这种监管碎片化阻碍了该地区充分利用其数字潜力。因此，在一定水平上协调AMS的数据保护法规对于促进更顺畅的跨境数据流动和推动区域数字一体化至关重要。 其他类型的监管涉及非个人数据的数据保护。尽管以往的研究主要关注个人数据，但公司还管理大量非个人数据，如供应链数据和研发（R&D）数据。例如，如果由于数据本地化规定禁止在多个国家之间整合或共享研发数据，这可能会阻碍公司建立全球研发结构的能力，从而导致企业在实施此类数据本地化规定的国家避免进行研发活动。此外，在政府要求强制技术转让的情况下，公司可能因担心失去通过研发投资获得的竞争优势而犹豫是否扩大在这些国家的业务规模。因此，影响非个人数据流动的监管措施也对跨境数据流动产生了重大影响。 考虑到上述问题，基于对东盟及其他国家和地区数据相关法规之前的研究，本研究进行了更为全面的分析。 分析了10个东盟成员国当前的数据相关法规状况，并为《东盟数字经济发展框架协议》（DEFA）制定了政策建议，旨在增强跨境数据流动。第二部分分析了AMS当前的数据相关法规，探索东盟在实现DFFT过程中面临的挑战。第三部分提出了应对这些挑战的潜在解决方案。最后，第四部分基于本研究的发现，为DEFA提出了政策建议。 2. 东盟数据相关法规的现状 这一部分评估了每个AMS（经济合作与发展组织成员经济体）当前的数据相关法规，并重点关注这些法规对公司跨多个AMS运营的影响。当公司进入外国市场并开展业务时，他们不仅管理客户的个人数据和员工的个人数据，还管理通过与个人识别无关的商业活动生成的非个人数据。此外，当公司在其本国直接从国外获得受保护的数据时，必须遵守所在国的数据保护法规；而在客户、供应商或海外集团公司将数据转移回公司所在国后，公司也需要遵守这些法规进行数据传输。当公司将其在本国获得的数据转移到外国实体时，必须遵守其所在国的跨境数据传输法规，而这些法规会因目的地国家的不同而有所不同。 因此，公司需要承担业务成本来审查这些数据相关法规，并实施必要的合规措施。此外，无论涉及跨境数据传输与否，数据相关法规本身直接关联到业务成本。如果各国在制定和执行这些法规之前未能仔细考虑其对商业活动的影响，他们可能会损害自己作为有利商业运营地点的竞争力。 为了了解这些数据相关法规对企业活动的影响，以下将分析AMS国内法规的内容和差异，并识别其中的机构性问题。该分析包括数据定义以及限制跨境数据传输的例外范围等方面。首先，审查数据保护法规的结构以获得总体概况。接下来，将这些法规分类为两类：（i）国内数据流动法规，管理在一国境内获取的数据处理；（ii）跨境数据流动法规，管理向外国转移数据的管理。 2.1. 数据保护条例的结构 有两种类型的法律体系用于隐私保护：（i）全面法规和（ii）行业特定法规。全面法规适用于所有部门和行业，规范公司和其他实体处理个人数据的行为。相比之下，行业特定法规是由个别法律法规组成的，仅在特定部门和行业中规范个人数据的保护。如表1所示，已有七个国家和地区实施并执行了全面的个人数据保护法规。2 全面的法规在各行业中提供了统一的个人数据保护。相反，没有全面法规的国家仅在特定法律存在的行业中实施个人数据保护。因此，在缺乏全面法规的情况下，某些行业或领域可能缺乏足够的个人数据保护。这种不一致性为公司跨境转移个人数据带来了挑战。例如，如果接收国（即外国）缺乏全面的个人数据保护法规，原籍国（即本国）的法规可能会禁止个人数据的转移。或者，原籍国可能要求公司在转移数据时采取额外的保护措施。即使在原籍国不存在明确的限制，公司也可能难以确保接收数据的外国公司遵守原籍国对个人数据保护的标准。 为了在东盟区域内实现无缝数据流动，必须妥善保护个人和非个人数据。企业内部管理和不公开的价值技术及专有知识（如商业机密）等非个人数据需要得到保护。这类信息通常受到知识产权法律的保护，赋予公司合法权利以保护商业机密。从公司的角度来看，在某些司法管辖区，政府对非个人数据的不受限制的访问会带来重大风险。公司可能会犹豫将敏感的非个人数据传输到具有此类政策的国家，从而阻碍国际业务扩张。此外，允许政府广泛访问的国家可能会因其作为商业地点的吸引力下降而受到影响。 过于严格的非个人数据监管也可能妨碍企业活动。例如，通过物联网、供应链管理和研发产生的数据对于数字化企业价值链（如制造过程）至关重要。现代信息技术使公司内部价值链的拆分成为可能。在全球范围内优化价值链的能力对于增强公司的竞争力至关重要。正如以下所述的数据本地化措施可能会阻止此类非个人数据的跨境流动。这种限制可能损害这些全球价值链，损害企业的竞争力。此外，从其他国家企业的角度来看，具有数据本地化规定的国家的吸引力可能会降低。 减少，导致该国在地理位置上的竞争力下降。为了避免对商业活动施加不必要的限制，关于非个人数据的监管措施应仅限于实现正当公共政策目标所必需的措施。决策者必须仔细识别需要特别保护的行业，如ICT和贸易，并适当界定数据监管的范围。 如表2所示，AMS（先进市场国家）的数据保护方法各不相同。一些国家采用了全面的法规，类似于个人数据框架，为所有行业提供了统一的数据保护。另一些国家则依赖于特定行业的法规，针对特定的行业或领域进行数据保护。 BRN = 文莱达鲁萨兰国, DPA = 数据保护法, IDN = 印度尼西亚, KHM = 柬埔寨, LAO = 老挝人民民主共和国, MMR = 缅甸, MYS = 马来西亚, PHL = 菲律宾, SGP = 新加坡, THA = 泰国,VNM = 越南。数据来源：作者。 例如，老挝民主人民共和国（老挝）的电子数据保护法保护国家安全和商业秘密，如专有技术和专业知识，涵盖所有行业。该法律要求明确向数据所有者沟通数据收集目的。3此外，数据必须得到适当的管理。在印度尼西亚，《电力信息与交易法》保护个人和非个人数据，包括文字、语音、图像、地图、文件、照片、电子数据交换、电子邮件、电报、电传、传真和其它电子数据。其范围限于在电子系统中处理的数据。 相比之下，泰国的《贸易机密法》（2015年）提供了特定领域的保护。该法律保护贸易和商业领域的机密信息，要求公司在其商业价值因保密性而