作者 | 洪延青 北京理工大学法学院

随着《数据出境安全评估办法》的正式颁布,“三法一条例”(《网络安全法》《数据安全法》《个人信息保护法》以及《关键信息基础设施安全保护条例》)所建立的中国数据出境安全管理制度得到了有效落地。此举也宣示了我国维护网络空间主权的坚定决心。

但目前,对于数据出境安全评估存在一种误读,认为我国规定的数据出境安全评估与既有国际实践相违背,核心理由在于安全评估这个措施并未出现在实施日常数据出境安全管理的他国法律或政策文件之中,而是更多地是用在涉及国家安全事项的审查(例如美国的外国投资审查委员会)之中。如此的误读进一步导致了对我国数据出境安全管理制度的批评,认为我国为数据出境设置了过于严苛的“门槛”,破坏全球正常的商业运营。本文将通过国际比较纠正上述错误的看法,并分析《数据出境安全评估办法》中相关制度设计如何保障了数据依法有序自由流动。

一、外国数据出境安全管理实践中普遍使用评估机制

先看欧盟。确实在其《通用数据保护条例》(GDPR)关于个人信息跨境的章节中没有将安全评估作为一种支撑数据跨境流动的机制。但仔细分析其相关规定,就可以发现安全评估其实“无处不在”。首先看充分性认定这个机制。GDPR第45条规定了欧盟对特定国家和地区做出认定时应当考虑的因素(法治、对人权和基本自由的尊重、相关一般性和部门性立法等等)。显然,在做出白名单决定时,欧盟委员会要对第三国、地区、国际组织等进行广泛的评估。其次,GDPR第46条规定,在欧盟委员会没有做出充分性认定时,数据控制者、数据处理者可向第三国或国际组织传输个人数据,当且仅当数据控制者、数据处理者提供了“合适的保护措施”,同时数据主体的权利能有效行使,其同时享有有效的法律救济途径。何为“合适的保护措施”?GDPR给出了多个机制,常见的如:有约束力的公司准则(BCRs)、官方制定的标准数据保护条款(SCCs)、官方认可的行为准则、官方批准的数据保护认证机制等。细究起来,这些机制都需要官方的批准或认可。显然,无论是欧盟数据保护委员会(EDPB)还是成员国的数据保护机构(DPA),都需要通过综合评估准则、条款、认证中规定的方方面面,才能做出保护措施是否合适的结论。而在不采用上述常见机制的情况时,GDPR要求数据控制者和处理者采取的保护措施需要监管机构“特定、单独的授权”。同样,监管机构开展评估不可避免。

再看美国。对于个人信息跨境流动,美国首推跨境隐私规则体系(CBPRs),并在近期宣布将CBPRs从APEC框架中“释放”出来,成为一个非APEC成员的经济体也能加入的规则体系。CBPRs体系的基本逻辑是如果位处于不同经济体的不同公司,统一承诺并遵循“APEC隐私框架”提出的九大个人数据保护原则,则个人数据在这些公司之间流动就应该不受阻碍。相应地,由于这些公司都通过同一套原则来保护个人数据,那参与CBPRs的经济体就不得再以保护个人数据为理由,阻碍个人数据的跨境流动。一个公司加入CBPRs的基本步骤是:第一步,企业根据问卷进行自评估(该问卷基于“APEC隐私框架”而设计)。第二步,加入CBPRs体系的成员国所指定的测评机构(Accountability Agent)根据企业对问卷的回答和企业提交的其他材料,进行合规评估。从上述步骤看出,CBPRs制度的运转事实上也需要通过评估。

总结起来,无论是欧盟的GDPR,还是美国力推的CBPRs,核心要求均为确保个人数据在出境后的保护水平“不会降低”或“一致”。其中,欧盟GDPR要求,保护水平不应比GDPR低;CBPRs要求,在各参与的经济体境内的组织,通过共同遵守CBPRs对个人信息的保护规则(即APEC隐私框架),实现保护水平的“一致”。而评估都是欧盟和美国确保数据保护水平的重要手段之一,如果不是基本手段的话。

二、我国数据出境安全评估并非所谓的“一事一议”

可见,安全评估实际上是数据出境管控工作中必然要使用的方法。这一点,美、欧、中莫不如是。有些人会进一步认为,美、欧的评估和我国目前《数据出境安全评估办法》所设计的安全评估,在评估点上有重要的区别。美、欧评估的是国家和地区的保护水平,以及组织内部的个人信息保护规则(分别包括合同和有约束力的公司准则)。这样的制度设计,给外界的感觉并非“一事一议”,即每次要数据出境,都要开展一次评估。而我国实施的数据出境安全评估给外界感觉是“一事一议”式的评估,即每次数据要出境,都要开展一次评估。对此,笔者还是认为这是一种误读。

首先,《数据出境安全评估办法》第五条在规范数据处理者的申报时,并没有要求每次数据出境活动都要提交数据出境申报。相反,《数据出境安全评估办法》第五条规定的风险自评估时,明确了申报是以特定的业务目的为最重要的维度。即围绕着某个具体的业务目的,即便涵盖了不止一类数据出境活动,或不止一个数据接收方,但只要是从属于一个业务目的,就可以放在一起申报。其次,《数据出境安全评估办法》第十四条在规范评估有效期和重新申报评估时,提出了数据出境安全评估的结果有效期为2年,这一点也明确了我国的评估是以特定业务目的为申报评估为维度的。只要特定业务目的、其所涉及的数据出境活动,以及配套的安全措施能够保障数据出境后的安全性,则在2年期间内,出境的数据数量并不是触发重新评估的因素。这一点也在第十四条第一款中得到印证——重新申报评估的事由包括:“向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长重要数据和个人信息境外保存期限的”,数量不在其中。

限于篇幅,本文仅分析这两点,意在指出我国施行的数据出境安全评估,和国外现行的主要数据出境安全管理工具,本质上是意同而形不同而已。

三、展望

我国开展数据出境安全管理,绝不是在数据方面“切断”我国与世界的联系。除了安全评估之外,关于数据出境的个人信息保护认证和标准合同都在制定过程之中。这些制度的总体目标都是为了实现保障数据依法有序自由流动。目前我国正在紧锣密鼓地开展加入《数字经济伙伴关系协定》(DEPA)和《全面与进步跨太平洋全面伙伴关系协定》(CPTPP)的谈判工作。这些国际经贸协定中均包含了高水平的数据跨境流动的纪律要求。希望通过本文对数据出境安全评估机制的简要分析,能够佐证中国进一步向世界开放的决心和步伐。

声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。