走出去智库观察
今年3月,越南政府通过《个人数据保护法》草案的第27/NQCP号决议,表明该草案距离通过又推进了一步。越南《个人数据保护法》草案于2021年2月发布并征求公众意见,如果最终版本提交国会通过后,将成为该国在个人数据跨境传输监管体系中的重要法律。
走出去智库(CGGT)特约研究员杨耀源指出,虽然中国与越南是两个独立国家,属于两个法域,法律不能适用,但是在商事领域的合同可以约定争议时适用哪国的法律,而且两国在经济领域的互补性远远大于竞争性,合作共赢前景可期。目前,两国决策层在政治领域上致力于打造具有战略意义的中越命运共同体的战略考量,因此在“一带一路”和“两廊一圈”合作基础上推动两国在数据跨境互联互通,是一个具有前瞻性和示范性的课题。
中越如何推动跨境数据合作?今天,走出去智库(CGGT)刊发杨耀源博士的分析文章,供关注跨境数据合作的读者参考。
要 点
1、“数字丝绸之路”是“一带一路”国际合作的新引擎,是高质量共建“一带一路”的重要组成部分。构建“数字丝绸之路”良好的国际合作环境,需探索在双边或多边层面建立围绕数据跨境流动和融通、加强数据隐私保护和提升跨境数据流动有效管理等治理规则。
2、越南政府对个人数据跨境保护和监管意识有待进一步提升。个人数据跨境流动引发了越南政府对互联网数据安全、国家安全、网络空间、超越国界的执法能力等诸多担忧。然而,越南对数据控制者、处理者的责任,数据分级保护、匿名化、存储加密等保护措施要求尚需细化。
3、建议由中国工信部和越南信息通信部牵头,组织一批具有实现数据跨境互联互通开发利用的技术理论的大数据、社交媒体和人工智能等科技公司,打造中越跨境经济合作区互联网数据跨境联盟,集中力量为中越跨境经济合作区建设服务。
一、引言
越南是当今东盟人口最年轻、增长最快的经济体之一,凭借其濒临国际海洋运输航线并处于东南亚的地理中心、东亚地区贸易中心,又与中国地理接壤、陆海相连等优势,成为进入新世纪第二个十年以来中国大陆企业理想的外迁、出口的转运中心,承接来自中国大陆的资本、技术等生产要素。
过去5年来,数字经济一直是越南增长最快的经济产业,从2015年的30亿美元增长到2020年的140亿美元,预计到2025年将达到520亿美元。与此同时,根据越南政策研究与传播研究所于2021年10月发布的《个人数据的跨境流动——从信任到自由》报告称,越南是过去十年亚洲跨境数据流动增长率最高的国家,也是全球跨境数据量最大的10个国家之一,加上越南又是市场开放度高达GDP的200%的经济体,为此拥有大量用户参与数字环境,足以反映了越南的潜力和机遇。也可以看出,涉越的数据跨境流通也日益频繁。
“数字丝绸之路”是“一带一路”国际合作的新引擎,是高质量共建“一带一路”的重要组成部分。构建“数字丝绸之路”良好的国际合作环境,需探索在双边或多边层面建立围绕数据跨境流动和融通、加强数据隐私保护和提升跨境数据流动有效管理等治理规则,而近年来越南政府大力推动电子政务向数字政府和数字经济方向发展的一系列战略举措,彰显出积极参与第四次工业革命和发展数字经济的决心,这为中越在“一带一路”和“两廊一圈”合作基础上共建“数字丝绸之路”提供了有力保障,也为中越在跨境数据流动合作提供历史性契机。
近年来,我国进一步加强监管数据跨境流动,依据《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规,国家互联网信息办公室于2021年10月起草了《数据出境安全评估办法》(下称《办法》)的征求意见稿,并有望在2022年年内正式出台,这将是中国数据出境制度建设推进落实的标志性事件。而2022年2月正式修订发布的《网络安全审查办法》将审查对象新增数据处理活动,突出赴国外上市申报审查,也给中资进入越南资本市场以及中越跨境数据流动产生诸多影响。
本文拟通过初探越南个人数据跨境传输规则,展望中越两国跨境数据流动领域的合作前景。
二、越南个人数据跨境传输的相关规定
(一)越南关于数据保护、个人信息和隐私的现行法律(见表1)
表1、越南关于数据保护、个人信息和隐私的现行法律
名称 | 文件名称 | 发布年份 | 相关内容 |
1 | 越南宪法 | 2013年 | 私人生活和个人秘密不可侵犯原则 |
2 | 社会法律 | 2015年 | 与私人生活、个人秘密和家庭秘密有关的概念和受保护的公民权利。 |
3 | 电子交易法 | 2005年 | 参与电子交易的各方的内部保密原则,国家管理责任,以确保各方权利和义务的行使。 |
4 | 信息技术法 | 2006年 | 信息技术基础设施建设中各方的国家政策、权利和义务。 |
7 | 网络信息安全法 | 2015年 | 各方在保障网络信息安全方面的权利和责任;民用密码学;网络信息安全标准和技术法规;从事网络信息安全领域的业务;网络信息安全的国家管理 |
8 | 电信法 | 2009年 | 国家电信基础设施、电信服务业务发展政策 |
9 | 网络安全法 | 2018年 | 保障网络技术基础设施安全、国家重要安全信息系统安全、网络空间政治敏感内容管控、打击网络犯罪和网络攻击。 |
10 | 体检和治疗法 | 2009年 | 保护公民记录、健康和医疗信息的机密性。 |
11 | 税收管理法 | 2006年 | 保护公民收入和纳税的财务秘密。 |
12 | 信贷机构法 | 2010年 | 保护公民账户和账户交易的机密性。 |
13 | 保险商法 | 2000年 | 保护保险合同的机密性。 |
14 | 社会保险法 | 2014年 | 保密保护,防止非法保险数据访问 |
15 | 行政违法处罚法 | 对违反个人信息披露行为的行政处罚。 | |
16 | 刑法 | 2015年 | 对网络犯罪分子、高科技犯罪和侵犯隐私实施刑事制裁。 |
17 | 刑事诉讼法 | 2015年 | 诉讼机关调查犯罪、要求提供私人生活、个人秘密和家庭秘密信息的权利。 |
18 | 关于在国家机构活动中应用信息技术的第 64/2007 号法令 | 2007年 | |
19 | 关于民用密码产品和服务贸易、民用密码产品进出口的第 58/2016 号法令 | 2016年 | |
20 | 关于使用高科技防止犯罪和其他违法行为的第 25/2014 号法令。 | 2014年 | 公安部、国防部的专门机构在有违法迹象时,有权要求信息技术和电信企业提供客户和用户信息。 |
注:数据来源由越南法律委员会官网公开资料整理得出
(二)越南关于数据保护、个人信息和隐私的现行法律说明
1.基本概念
根据越南政府2015年出台的《网络信息安全法》第3条定义,个人信息是与识别特定人员相关的信息。但是在此前2007年越南政府发布的《关于信息技术在政府机构活动中的应用》的第64/2007/ND-CP号法令有更加详细的定义,个人信息是足以准确确定身份的信息,至少包括以下信息:全名、出生日期、职业、职务、联系地址、电子邮件地址、电话号码、身份证号码、护照。机密信息包括医疗记录、税务记录、社会保险卡号、信用卡号和其他个人机密。此外,需要注意的是,一些专门的法律如《体检与治疗法》、《税收征管法》、《信用机构法》、《保险业务法》等,对属于安全对象的个人信息也有作出定义。关于隐私权的定义,根据越南2015年出台的(新修订版《民法典》)第38条的定义,个人隐私权被理解为法律保护三个“不可侵犯”的对象,即私人生活、个人秘密、个人和家庭秘密。综上可见,越南政府对“个人信息”的理解比整个欧洲、欧美的法规更狭义、更直接、更简单。因此,不准确和不清晰的信息,但与其他信息结合间接识别一个人,不被视为保护对象。相反,关于隐私权,越南法律只有非常笼统的规定,因此可以从广义上推断。
需要注意的是,在现代信息社会中,以隐私为公民的权益也经常遇到困难,但结合法律专家和法院的实际解释,人们可以确定“隐私秘密”和“公开信息”之间的界限,以减少争论和争议。例如,除了那些明确地标记为“隐私”或“公共”的空间外,还有一个公认的原则:这是你自己生活的一部分,你没有积极地宣布或采取适当的措施来保护你的隐私,这意味着你不会受到法律的保护。在这方面,《网络信息安全法》第16条对此也做了相应说明,个人保护自己的个人信息。
2.合法收集和处理个人数据的条件
事实上,个人数据是通过作为商品和服务的买家或卖家在网络上的日常民商事交易自然收集的。数据处理的概念包括验证、排序、汇总、聚合、分析、报告、分类等一系列行为和阶段。为此,欧盟通用数据保护条例(GDPR)中设定了六项具体条件,要求数据处理者至少满足其中一项条件,包括:
a) 数据主体的同意。是否出于特定目的;
b) 需要履行相关合同;
c) 遵守数据处理者的法律义务;
d) 为保护数据主体或其他人的切身利益所必需;
e) 为履行公共利益义务所必需;
f) 为另一方的合法利益所必需,但不得限制数据主体的基本自由,尤其是儿童权利。
同时,《网络信息安全法》第17条仅规定了两个一般性原则性条件,在该原则性条件下,数据处理者可以:
a) 在征得同意后收集个人信息。收集和使用此类信息的目的;
b) 征得个人信息主体同意后,仅将收集到的个人信息用于原目的以外的用途。
3.越南拟出台《个人数据保护法》
2022年3月,越南政府通过《个人数据保护法》草案的第27/NQCP号决议。该草案包含5项条文,规定在若干情况下即使未经当事人同意,也可使用个人信息,包括当出现危害生命、健康或安全的紧急情况,导致有必要使用信息;按法例要求须披露信息;基于国家安全考虑须使用信息;当国家机关处理有关其他法例的违法情况;及当国家主管机关依法使用信息。该草案通过后,越南公安部将于近期将草案最终版本提交国会咨询、审阅并作出相应修订,随后再提交立法,最终签署成法律。
(1)《个人数据保护法》草案针对个人数据的跨境传输适用范围的界定的第22条规定,主要内容如下:
1.越南公民的个人资料在完全满足以下04条件的情况下可以转移出越南领土边界:
a) 当数据主体同意转移时;
b) 原始数据存储在越南;
c) 有文件证明其所迁入的国家、地区或所在国家或地区的特定地区已颁布个人资料保护条例达到或高于本条第一款规定的水平条 本法令;
d) 获得个人数据保护委员会的书面同意。
2.数据保护机构出具个人数据跨境转移文件的依据:
a) 根据本法令有效保护数据主体的权利;
b) 个人数据处理者在注册时承诺跨境传输个人数据;
c) 保护个人数据的措施由个人数据处理器在文件中显示。
3.在下列情况下,不符合本条第 1 款规定条件的个人数据可以转移出越南领土:
a) 数据主体的同意;
b) 获得个人资料保护委员会的书面同意;
c) 承诺保护数据处理者的个人数据;
d) 承诺应用个人数据处理者的个人数据保护措施。
4.个人数据处理者向境外传输数据,必须建立系统存储03年的数据传输历史,包括以下内容:
a) 向外界提供个人数据的时间;
b) 接收方的身份,包括姓名、地址、联系方式;
c) 传输到外部的个人数据的类型、数量和敏感性;
d) 个人资料保护机构规定的其他内容。
5.个人资料保护委员会每年定期评估个人资料处理者越南境外的个人资料传输情况。
6.出现下列情形之一时,停止跨境传输个人资料:
a) 处理个人数据的一方或接收方因发生滥用或泄露大量数据的事件;
b) 数据主体无法或难以维护其合法权益;
c) 个人数据处理者或接收方无法保护个人数据。
7.个人数据出境登记备案及程序,包括:
a) 个人数据出境申请,包括以下信息:个人数据处理方的姓名、登记机构、营业地点、居住地等联系方式;引用个人数据跨境传输的法律依据;跨境传输个人数据的目的;为跨境传输注册的个人数据类型;为跨境传输而注册的个人数据来源;个人数据跨境转移的注册地或注册地;跨境传输个人数据的条件;个人数据保护措施的详细说明。
b) 个人数据跨境转移登记时的影响评估报告,包括以下内容:个人数据跨境转移的详细说明、个人数据跨境转移的目的、边界;评估风险和可能的危害;减少或消除该风险或损害的措施。
c) 处理个人敏感数据时,与个人数据处理申请书和影响评估报告中提及的内容相关的文件。
8.个人资料保护委员会自收到个人资料之日起20个工作日内处理个人资料跨境转移申请。个人信息保护委员会有权对个人信息跨境转移登记申请中所述信息内容进行事实核查。
(2)《个人数据保护法》草案对违反个人数据跨境传输处理规定的行政处罚
草案规定,违反有关个人数据跨境传输的规定,将处以80,000,000越南盾至100,000,000越南盾(约合3,478美元至4,347美元)的罚款。具体而言,除了规定的处罚外,如果个人数据处理者多次违规并造成严重后果,可能会被处以个人数据处理者在越南总收入的5%的罚款。
(三)越南对个人数据跨境传输监管体系分析
通过上述对越南关于数据保护、个人信息和隐私的现行法律的分析,当前越南对个人数据跨境流动监管有以下几大特点:
一是在促进数据自由流动,为数字经济蓬勃发展服务与确保用户安全和数据隐私监管的冲突将长期并存。数据是数字经济的“命脉”。在越南是当今全球数据交换量大的国家的背景下,“血管”越透明,就越有利。因此,越南需要实现双重目标:既要促进数据自由流动,为数字经济发展服务,同时确保用户安全和数据隐私。如何在包括个人数据和跨境数据在内的数据交换之间找到平衡,并确保其安全以建立用户的数字信任是越南政府当前亟待解决的重大课题。
二是越南政府对个人数据跨境保护和监管意识有待进一步提升。个人数据跨境流动引发了越南政府对互联网数据安全、国家安全、网络空间、超越国界的执法能力等诸多担忧。然而,越南对数据控制者、处理者的责任,数据分级保护、匿名化、存储加密等保护措施要求尚需细化。从法律层面上分析,越南对个人数据跨境传输的监管体系存在如下漏洞:1.没有关于专门关于个人数据跨国界传输的法律文件;2.缺乏对个人数据匿名化/去匿名化的监管;3.缺乏关于“忘记”(一段时间后删除个人数据)的权利的规定;4.缺乏允许个人数据的经济价值被利用的监管(数据权被认为是一种非传统的经济道德权利);5.缺乏专门处理个人数据交易的法律条文。
三是尚未充分认识到保护个人数据和保护隐私的重要性。越南现行的法律法规(包括《信息安全法》和《网络安全法》)只规定了有关主管国家机构的国际合作职能的一般规定,而没有具体规定将越南公民的个人数据转移到第三国或国际组织的条件。例如,当前正在讨论的《个人数据保护法》草案发现,关于个人数据跨境转移条件的规定已经建立,但尚不清楚,在转移条件与异常转移之间,异常转移与数据保护委员会同意转移的文本之间存在重叠。通过审查正在起草的法律文件,即《规范个人数据保护的法令草案》,发现个人数据跨境转移条件的规定详细但不明确,两者之间存在重叠四是越南目前对存在禁止数据离境、解除数据流动禁止的条件、数据本地化储存的要求尚未有明确要求。
简单而言,越南关于个人跨境数据传输的法律法规仍处于初期阶段。具体而言,在越中企面临如下挑战:一是引发对越南政府保护个人跨境数据主体隐私的能力的担忧;二是跨境数据流动使各国面临执行与不在其领土内的实体相关的法律法规的挑战。这在网络空间中很常见——它是一个无国界的空间,所以基本上可以提供服务的企业可以在另一个国家开展业务,而无需设立办事处或总部。这对越南执法部门在履行检查、违法处理、投诉处理等法定义务方面提出了巨大挑战。
三、推进中越数据跨境流动合作的思考
虽然中国与越南是两个独立国家,属于两个法域,法律不能适用,但是在商事领域的合同可以约定争议时适用哪国的法律,而且两国在经济领域的互补性远远大于竞争性,合作共赢前景可期,两国决策层在政治领域上致力于打造具有战略意义的中越命运共同体的战略考量,因此在“一带一路”和“两廊一圈”合作基础上推动两国在数据跨境互联互通是一个具有前瞻性和示范性的课题。要达到该目标固然涉及多方因素,但由于越南的《网络信息安全法》以及即将出台的《个人数据保护法》中关于对保护范围、数据主体权利、处罚措施等方面的规定,以行政处罚措施为主:违反有关个人数据跨境传输的规定,将处以80,000,000越南盾至100,000,000越南盾(约合3,478美元至4,347美元)的罚款,与世界上一些国家和地区相比,制裁成本相对较低。此外,中越跨境数据流动不仅可以推动中越跨境数字经济发展,也能为中越经济持续合作催生出共享经济、平台经济等新业态和新模式助力。
为了推动中越数据跨境流动合作,笔者提出如下几点建议:
1.建议由中国工信部和越南信息通信部牵头,组织一批具有实现数据跨境互联互通开发利用的技术理论的大数据、社交媒体和人工智能等科技公司,打造中越跨境经济合作区互联网数据跨境联盟,集中力量为中越跨境经济合作区建设服务。
2.建议由深圳市和越南胡志明政府部门牵头,依托在中越国家发展战略对接规划框架下,吸引敦促相关企业负责人等前来中越跨境经济合作区进行访学、交流,以此普及他们对互联网数据跨境联盟的认识,进而吸引他们前往中越跨境经济合作区投资。
3.建议由北京市、深圳市等政府派出相关人员赴越实地考察,了解越南当前的互联网技术、科技水平、大数据和人工智能的普及情况以及具体的实际需求,从而为吸引两地企业前来中越跨境经济合作区投资,制定更有针对性的方案。
4.加快推进与越南政府在数据安全领域的合作,推动双边数据安全合规体系接轨,明确双边合作中的数据安全监管边界。建立与越南政府数据安全问题常态化沟通协调机制,维护我国数据主权和在越中企权益。
5.加快健全中越跨境数据流动监管体制。建立对中越跨境数据流动的技术开发、测试、运维等严格的信息安全监管机制,加快推动与越南企业、组织等各种机构签署统一的服务协议,构建同等保护水平的合同条款等中越数据跨境流动合法通道。考虑发挥新加坡等第三国专业仲裁机构功能和影响力,受理包括中越跨境数据流动纠纷,推动数据要素规范安全有序流动。
作者简介
杨耀源
中国人民大学国际关系专业博士,北京第二外国语学院政党外交学院教师。研究方向:东南亚政治与经济、越南问题。在《当代亚太》、《当代世界与社会主义》、《东南亚研究》、《南洋问题研究》、《东南亚纵横》、《商业经济研究》等国内相关领域核心期刊发表论文数篇,已出版论著《大国海权兴衰启示录》(人民出版社,2014年10月,专著)。《数字贸易助推“一带一路”高质量发展》,中共中央党校出版社,2020年10月。《双循环格局下西部陆海新通道建设高质量发展关键路径》,中共中央党校出版社,2021年9月。《“一带一路”倡议下中国与东盟文化贸易高质量发展研究》,人民出版社,独著,2021年9月。
声明:本文来自走出去智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。