深度讨论：韩国数据跨境流动规则

韩国在对个人信息提供充分保护的同时，也通过缔结经贸协定和修订国内法的方式允许数据的跨境流动。在国际法层面，2012年生效的《韩国-美国自由贸易协定》中已开始包含数据跨境流动的条款。在国内法层面，韩国于2023年修订《韩国个人信息保护法》，进一步细化了个人数据跨境流动规则。

韩国已与欧盟、英国、中国、印度、越南、新加坡、澳大利亚、新西兰、东盟、加拿大、美国、哥伦比亚、以色列、菲律宾、柬埔寨、印度尼西亚等国家和地区签订了自由贸易协定。韩国也是《区域全面经济伙伴关系协定》的缔约方。除了传统的自由贸易协定，韩国还与新加坡缔结了数字伙伴关系协定，该协定对《韩国-新加坡自由贸易协定》中的电子商务、金融服务和例外相关的内容进行了修订。韩国也以加入的方式成为《数字经济伙伴关系协定》的缔约方。

在这些经贸协定中，韩国与美国、新加坡、阿联酋、厄瓜多尔缔结的自由贸易协定、《区域全面经济伙伴关系协定》和《数字经济伙伴关系协定》中设有数据跨境流动条款。《韩国-美国自由贸易协定》规定，缔约双方认识到信息自由流动对促进贸易的重要性以及保护个人信息的重要性，应努力避免对跨境电子信息流动施加或保持不必要的障碍，但该条款并未规定明确的权利义务。其余几项经贸协定中的数据跨境流动条款则规定得较为详细。其中，《区域全面经济伙伴关系协定》中的数据跨境流动条款又与韩国与新加坡、阿联酋、厄瓜多尔签订的自由贸易协定以及《数字经济伙伴关系协定》中的规定存在较为明显的区别。后者普遍承认缔约方对数据跨境流动的规制权，并规定不得限制以商业为目的进行的数据跨境流动，但为了实现合法的公共政策目标可以采取或维持对数据跨境流动的限制措施，同时这种措施要符合：

（1）不构成任意或不合理的歧视或变相的贸易限制；

（2）对信息传输施加的限制不超过实现目标所需限度。

实际上，缔约方的例外措施要符合这些条件非常困难，尽管如此，《区域全面经济伙伴关系协定》还增加了为实现基本安全利益所需限制措施的规制权，且就合法公共政策和基本安全利益的判定赋予了采取措施的一方自裁权。

除了经贸协定之外，韩国先后于2021年、2022年取得了欧盟和英国的充分性认定。充分性认定允许欧盟和英国的个人数据向韩国自由流动，这意味着设有高标准个人数据保护要求的欧盟认可韩国对个人数据保护的力度。尽管韩国与欧盟、英国之间的自由贸易协定对数据跨境流动没有规定，但通过充分性认定，双方间的数据已经实现自由流动，其效果与在自由贸易协定对此予以规定是相似的。

韩国作为适用亚太经合组织跨境隐私规则的国家，对数据跨境流动的规制主要通过认证来完成。但也在引入类似白名单国家的制度，即允许获得其个人信息保护委员会认可的，与其个人信息保护水平相当的国家进行数据跨境流动。