摘 要:《数据出境安全评估办法》(以下简称《办法》)是我国规范数据出境行为的重要制度,因其存在“重要数据”概念界定不明、数据出境自评估负担畸高等问题,有可能与我国承担的国际义务相抵触。特别是我国当前正在申请加入 CPTPP,《办法》相关措施可能构成对 CPTPP 数据跨境流动义务的表面违反,但是有机会通过例外条款得到正当化。为推进《办法》与 CPTPP 的顺畅对接,应秉持谦抑态度,明晰重要数据界定范围,完善风险自评估机制,实现安全与自由兼顾的数据跨境流动。

内容目录:

1 《办法》中的数据出境限制措施

1.1 规则模糊:重要数据出境触发安全评估

1.2 负担畸高:数据出境的风险自评估要求

2 CPTPP 规则下的相符性检视

2.2 《办法》措施可以通过 CPTPP 第 14.11 条第 3 款加以合法化

2.3 《办法》措施最后还可能通过 CPTPP 第29.2 条加以合法化

3 推动《办法》与 CPTPP 对接的建议

3.1 明晰重要数据范围

3.2 完善风险自评估机制

4 结 语

近十年来,全球数字贸易蓬勃发展。根据商务部国际贸易经济合作研究院统计,2022 年中国数字贸易规模达到 4.65 万亿元人民币,我国已成为全球最大的跨境电子商务零售(B2C)出口经济体 。数据跨境流动是开展数字贸易的基本前提,数据出境的顺畅程度直接影响数字经济的健康发展。对于我国而言,如何规范数据出境行为,实现维护数据安全和数字经济发展的平衡与善治等问题变得日渐紧迫。

在此背景下,《数据出境安全评估办法》(以下简称《办法》)于 2022 年 9 月颁布实施,建立了以安全评估为主要手段的数据出境管理机制。虽然出于安全考量,我国对数据跨境流动持审慎态度,但作为数字经济强国与数据跨境流动大国,我国历来秉持多边主义导向,积极探索加入全球或区域性数字经贸规则体系,推动数据跨境国际治理合作——2021 年 9 月我国正式申请加入《全面与进步跨太平洋伙伴关系协定 》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP),即为典例 。一旦成功加入此协定,我国数字贸易实践势必受到 CPTPP 规则的形塑,届时《办法》所代表的数据出境规制措施也将与 CPTPP 所载明的数字贸易纪律相互碰撞。

《办法》能否以及如何顺畅对接 CPTPP 相关规则,这一假想问题是本文尝试回应的核心设问。为此,本文首先提炼《办法》中关于数据出境的主要限制措施;其次将其置于 CPTPP相关规则下进行相符性检视;最后提出相应建议,以期推动我国数据出境规制措施与国际数字经贸规则顺畅对接。

《办法》中的数据出境限制措施

《办法》虽然明确以“保障数据依法有序自由流动”作为立法目的,但旨在规制数据出境行为。特别是注意到配套文件《数据出境安全评估申报指南(第一版)》(以下简称《指南》)要求数据出境以“确需”为前提,可以认为官方在总体上对数据出境仍持保守态度 。《办法》规定,对确需出境的重要数据和依法应当进行安全评估的个人信息“坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动”。在这个安全评估框架中,以下两个方面的数据出境限制措施最有可能影响我国数据出境制度顺畅融入现有国际规则。

1.1 规则模糊:重要数据出境触发安全评估

根据《办法》,若出境数据是重要数据,则必须进行安全评估。因此,对执法部门和数据出境主体而言,精准识别重要数据范围至关重要。《办法》第十九条仅对“重要数据”做了定性规定,即是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。为明确重要数据范围,需检视其他相关法律法规。

“重要数据”的概念首见于《中华人民共和国网络安全法》。其后,《中华人民共和国数据安全法》(以下简称《数据安全法》)进一步要求国家建立数据分类分级保护制度,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护。由于《数据安全法》中并未提供统一标准,各地划定的重要数据范围参差不齐,导致认定重要数据的实践缺乏确定性和一致性。

为此,国家互联网信息办公室、全国信息安全标准化技术委员会等单位发布了一系列指导性细则,试图明确重要数据的分布范围、识别原则和识别方式,其中,国标《信息安全技术 重要数据识别指南(征求意见稿)》列举了重要数据的主要分布场所,包括政务部门、关键信息基础设施运营者在内的重点行业企业、公共服务机构、权威专业机构、科研机构、互联网企业以及实体经济企业等;国标《信息安全技术 重要数据识别规则(征求意见稿)》指出识别重要数据应遵循的原则,包括聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、动态识别复评,并明确了重要数据应具备的因素;《网络安全标准实践指南——网络数据分类分级指引》规定了与重要数据相关的国家安全、公共安全的危害标准。

尽管现行法律法规从多个维度尝试对重要数据进行界定,但仍未形成操作性强的具体标准,导致重要数据的识别存在较大不确定性,而这与《办法》对重要数据出境管控的明确要求形成鲜明反差 [5]。在这种情形下,为了保险起见,不论是执法部门还是数据出境主体,自然都更倾向于将难以定性的数据认定为重要数据,进而提高数据出境安全评估的触发频率。

1.2 负担畸高:数据出境的风险自评估要求

遵循风险自评估与国家安全评估相结合的规制框架,《办法》第五条列举了风险自评估的重点事项,并要求数据出境主体在数据出境前,主动根据规范评估自身的数据安全保障能力、拟出境数据的安全风险等要素,对拟申报的数据出境活动做出客观的风险自评 。此举实际上是对数据出境主体赋予了更多的数据合规责任。数据出境自评估内容既庞杂又细致,包括数据量、数据类型、收集方式、处理频率、出境方式、数据处理者及接收方的数据安全保障能力、跨境传输法律文件等多个方面,需要综合调动多种专业能力才能处理。实况调研资料表明,目前企业普遍缺乏对于数据出境安全重要性的认知,不少企业尚未建立数据安全合规内控体系;企业对数据跨境传输的场景、跨境数据类型、跨境数据量等问题识别存在困难,市场上也缺少能够满足此种需求的对口人才。在此种情形下,要求企业完全按照《办法》的要求事先完成风险自评估,将给企业带来不小的负担。

风险自评估负担畸高之事实,可以从《办法》实施以来的实际申报情况得到一定程度的印证。公开信息显示,北京、上海、江苏和浙江四地网信办只收到 500 多家单位正式提交的申报材料,仍有相当多的企业暂时还没有申报数据出境。主管部门对申报材料进行审核时,需要进行较细颗粒度的核验校对,省级网信部门在进行材料完备性审核的过程中可能会多次要求企业进行申报材料的修改和完善,国家网信办进行实质性审查的过程也可能超过 45 个工作日,从目前公告的安全评估工作动态推算,即便是已经完成申报的第一批企业,其完成评估工作的实际时长也远超 57 个工作日。截至目前,仅有 7 家单位的数据出境安全评估申报获国家互联网信息办公室批准。

CPTPP 规则下的相符性检视

作为典型的美式数字贸易规则,CPTPP 要求缔约方尽可能推动数据跨境流动并减少数据本地化存储 [7]。CPTPP 第 14 章专章规定了电子商务规则,其第 14.11 条为数据跨境流动条款,共含 3 款:第 1 款确认了缔约方对数据跨境流动的监管权力;第 2 款设置了对缔约国数据跨境流动管制措施的约束纪律,作为强制性义务;第 3 款作为例外条款,为违反第 2 款的措施提供合法化路径。倘若缔约国措施被认定违反第14.11 条第 2 款,且无法通过第 14.11 条第 3 款加以合法化,其还可能通过第 29.2 条国家安全例外条款加以合法化。下文即按此逻辑,对《办法》的数据出境限制措施进行相符性检视。

2.1 《办法》措施可能违反 CPTPP 第 14.11 条第2款

第 14.11 条第 2 款是 CPTPP 关于数据跨境流动纪律的核心条款,要求:“各缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。”本款使用“应允许(Shall Allow)”之措辞,显示其为对缔约方的强制性义务要求,而此种义务的适用范围则限定于“涵盖的人(Covered Person)”所实施的商业行为。

基于《办法》的安全评估是我国目前最主要的数据出境管制措施,适用范围覆盖几乎所有数据跨境传输与处理的应用场景,因此当然包括“涵盖的人”实施“商业行为”导致的数据跨境传输情形。此时,CPTPP 第 14.11 条第 2 款实际上将导致缔约国承担义务,确保通过电子方式跨境传输信息“应被允许”,而不设置其他限制性条件。但如前所述,触发安全评估的不确定性以及风险自评估的高负担,均可能对数据出境构成实质性限制,从而导致对 CPTPP义务的表面违反。

此外,在数据出境需求激增的背景下,《办法》具体实施的工作流程也可能在事实上加重对数据出境的限制。如若严格执行《办法》要求的“一事一议”事前审查,将会给审核机构带来过重的工作负荷,进而导致数据出境安全审查的拖沓延期,阻碍数据及时合规出境。如果考虑到数据出境评估结果有效期仅为 2 年,在有效期内出现接收方所在地法律环境发生变化,向境外提供数据的目的、方式、范围、种类等发生变化的,数据处理者还应当重新申报评估,此类问题对“通过电子方式跨境传输信息”的阻碍效应将更加明显。

2.2 《办法》措施可以通过 CPTPP 第 14.11 条第 3 款加以合法化

倘若《办法》措施确被认为违反 CPTPP 第14.11 条第 2 款,其可能通过援引该条第 3 款例外条款进行合法化抗辩,但需论证同时满足 3 个条件:一是出于实现合法公共政策目的(Legitimate Public Policy Objective),二是不构成任意的或不合理的歧视或变相贸易限制,三是不超过必要限度。具体如下文所述。

2.2.1 是否满足实现合法公共政策目的

CPTPP 第 14.11 条并未明确合理公共政策目标的范围,但 CPTPP 第 29.1 条第 3 款明确:“对于第 14 章(电子商务)而言,GATS 第 14 条(a)款、(b)款和(c)款在细节上进行必要修改后纳入本协定并成为本协定的一部分。”因此,可以合理参照 GATS 第 14 条“一般例外”条款进行推断解读,后者明确列出了可以援引为“一般例外”的公共政策目标,包括为维护公共道德或公共秩序所必需的措施、为保障人类和动植物的生命或健康所必需的措施等。“美国博彩案”专家组报告进一步确认,公共道德指“社会、国家所维持的正确或错误的行为标准”,公共秩序指“保护那些与法律、社会安全和道德相关联的基本利益”。二者的概念虽有区别,但目的都是保护公共利益,因此不能完全区分,并且二者还会随着社会发展而不断变化。美国在其自由贸易协定和政府工作报告中均认为,“合法公共政策目的”的涵盖范围包括公共道德、国家安全和个人信息保护。

根据《办法》要求,需要履行数据出境安全评估程序的,要么限于与网络安全密切相关的主体,例如关键信息基础设施运营者;要么限于与国民隐私和数字人权相关的标的,例如出境数据是重要数据或较大数量的个人信息或个人敏感信息。此种情形下限制数据出境均为保障网络安全、重要公共利益或个人隐私,应属于第 14.11 条第 3 款所说的合理公共政策目标。

2.2.2 是否构成恣意的或不正当的歧视或变相贸易限制

CPTPP 以与 GATT 第 20 条引言部分完全相同的措辞,对例外条款的适用条件进行明确,其目的是防止缔约方对例外条款的滥用。“美国海龟案”上诉机构报告确认,要判断措施构成恣意或不正当的歧视,必须同时满足 4 个要件:一是措施的适用必然导致歧视的结果;二是歧视的性质必须是武断的或不公正的;三是歧视必须是在相同条件的国家间发生;四是变相的贸易限制应理解为“隐蔽的(Concealed)”或“未宣布的(Unannounced)”限制 。

从目前通过数据出境安全评估的企业来看,三分之二为外企,因此有观点认为,对数据出境专门设置安全评估,对数据的境内流动则不作此要求,增加了外企的运营成本,构成不合理的歧视和变相的贸易限制。对此本文认为:首先,数据在国外泄露的风险确实大于国内,需要进行专门规制;其次,根据《网络数据安全管理条例(征求意见稿)》第三十二条,在境内开展共享、交易、委托处理重要数据,需要进行安全评估,评估内容与数据出境安全评估的内容并无实质性区别;最后,根据《办法》的规定,安全评估由国家网信部门统一组织实施,有明确的评估程序、评估内容和评估标准等,对符合条件的数据出境主体同等适用,其实施的公开性也能确保相关数据出境主体具有充分的知情权。据此可以认为,只要正常适用安全评估程序和标准,就不存在恣意、歧视或隐藏的贸易限制问题。

2.2.3 是否超过必要限度

这一要件本质上就是要求相关措施通过“必要性测试”,对此也可参照 GATT 第 20 条的解释逻辑。作为 WTO 法律体系中的一项基本原则,“必要性测试”实质上是通过运用比例原则寻求非经济监管目标和经济贸易发展的平衡 。通常情况下,只有当不存在合理且可用的对贸易限制更小的替代性措施时,一项措施才能被认定为必要的。通过“韩国牛肉案”与“美国博彩案”上诉机构的总结报告可以看出,“必要性测试”包含 3 项内容:首先要分析措施带来的利益和价值的重要性,其次要分析措施对目标的实现能够有多大贡献,最后分析措施对国际贸易的限制性影响有多大。

按上述逻辑,为了满足“必要性测试”,在对《办法》的限制措施提出质疑时,需同时举证,存在能够同样实现特定公共政策目标且对贸易限制更小的替代性方案。为此,可对与《办法》具有类似目的的外国措施做一审视。欧盟方面,主要以《通用数据保护条例》(General Data Protection Regulation,GDPR)和《非个人数据自由流动框架条例》为依据,以充分性认定为手段,建立数据出境“白名单”监管机制,其本质还是基于安全评估。依据 GDPR 第 45 条,欧盟可以对域外国家的数据保护水平进行整体评估和持续监督,当欧委会认定某个国家、某个国家的特定区域或行业,或者某个国际组织的数据保护水平达到“同等保护”标准时,即可向上述国家、区域或国际组织传输数据 。并且,欧盟至少每 4 年审查一次前述国家的数据保护水平。从内容上看,数据出境安全评估与充分性认定并无二致,但《办法》并不要求数据接收方所在地区的数据保护法治环境达到“同等保护”标准 。因此,可以说《办法》对数据跨境流动的限制弱于充分性认定。美国方面,其尚未制定专门的数据出境监管制度,但通过出口管制、外资安全审查等手段,对其认为是重要的数据实施严格监管。以美国外国投资委员会禁止 Tik Tok 的母公司字节跳动访问美国用户数据这一事件为例:由于 Tik Tok 数据主要涉及大规模个人信息,假若适用《办法》的规定,在通过安全评估后仍有可能出境;而美国外国投资委员会以国家安全为由,要求 TikTok 将美国用户的所有数据转移至甲骨文在美国境内的服务器 。可见,美国的审查标准更加恣意、不透明,是更加严苛、更具有贸易壁垒性质的数据出境监管机制。因此,至少目前可以论证,数据出境安全评估在满足我国国家安全利益追求的前提下,对数据出境的限制影响较小。

2.3 《办法》措施最后还可能通过 CPTPP 第29.2 条加以合法化

即使《办法》措施无法通过援引第 14.11 条第 3 款例外条款进行合法化抗辩,其还有可能通过援引第 29.2 条国家安全例外进行合法化抗辩。由于本条可以适用于 CPTPP 各章节,这意味着 CPTPP 中的任何规定均不得阻止缔约方采取其认为对保护其自身的基本安全利益所必要的措施。根据 DS512 案专家组报告的解释,适用“安全例外”要满足 3 个要件:一是成员方有权定义何种利益属于其根本安全利益,亦有权决定何种措施是必要的;二是成员方应秉持善意原则(Good Faith)定义自身的基本安全利益;三是实施的措施至少要满足最低限度的合理性。并且,“安全例外”不包含只基于商业经济目的考量的安全利益 。

因此,援引 CPTPP 第 29.2 条应承担两项举证责任:一是证明数据出境安全评估保障的是何种“安全利益”;二是证明该项措施与“安全利益”具有“最小合理”的关联性。一方面,在地缘政治竞争加剧的背景下,国家安全的范围从传统军事领域扩张到气候变化、网络安全、生物安全、粮食与能源安全等领域。根据《办法》第一条宣示的立法目标,表明相关措施系为维护“保护个人信息权益、维护国家安全和社会公共利益”之根本安全利益。另一方面,《办法》评估的标的限于重要数据、关键基础设施产生的个人信息或较大数量的个人信息,若任由这些数据自由出境,则无法杜绝其在境外遭受泄露而对国家安全造成的威胁,数据出境安全评估与“安全利益”具有“最小合理”的关联性。因此,只要在实际操作中,本着“善意”精神进行数据出境安全评估审查,不随意扩大审查的适用范围,或以安全为名追求贸易利益,应能援引并满足基本安全例外条款。

推动《办法》与 CPTPP 对接的建议

前文表明,《办法》中的数据出境限制措施虽可能违反 CPTPP 数据跨境流动规则的义务性规定,但也可以通过两个例外条款予以合法化。鉴于成功援引国际协定中例外条款的难度不容小视,且往往伴有高昂的协商谈判成本,因此不宜将相关国内措施与国际条约的相符性完全寄希望于例外条款。本文认为,可以通过明确重要数据概念范围、优化风险自评估机制,推动《办法》措施与 CPTPP 规则更为妥洽地对接。

3.1 明晰重要数据范围

面对重要数据定义模糊、标准不一对数据跨境流动构成阻碍的现状,立法机关应坚守促进依法有序、自由流动的理念,秉持谦抑态度,根据具体场景与功能确定重要数据的范围及其识别方法 。针对新兴数字经济领域设置数据跨境流动白名单制度,对特定行业范围内的数据出境活动予以相应程度的审查豁免,为 AI 技术跨境使用、数据监管沙盒等创新性较强的领域提供包容、宽松的法律环境,减少商业性个人信息数据流通的阻碍,减轻企业的运营成本。在《数据安全法》的基础上,于国家层面统一重要数据目录编制的标准,防止各地区、各部门重要数据的重合差异。

3.2 完善风险自评估机制

风险自评估机制对企业提出了高标准的合规要求——在更加细化的程度上有效识别出境数据,持续控制和监管数据出境路径与出境接口,实现常态化的数据出境合规管理 。《办法》与《指南》虽然对风险自评估进行了明确规范的指引,但单靠企业自身恐难满足“合法、正当、必要”的要求。虽然合法性审查属于形式审查,但其要求同时评估数据出境行为是否符合我国与数据接收方所在国家或地区的数据合规法律制度,专业性强且成本畸高。建议将评估数据出境合法性的责任赋予地方网信部门,企业重点评估数据出境行为的正当性及必要性,减轻企业负担,提高企业参与数据出境评估的积极性。在保证数据安全的前提下,最大限度促进数据自由流动。

结 语

囿于不同的法律文化、制度背景、社会经济等诸多外部因素,全球数据跨境传输制度呈现碎片化的趋势,但促进数据跨境流动的价值取向是一致的 。如今,中国的崛起以及发展中国家在政治、经济领域的影响力逐步扩大,作为全球最大的发展中国家,我国有需求也有责任引领全球数字经济规则制定,代表发展中国家在国际法新规则的制定中争取利益。申请加入 CPTPP,不仅表明了我国参与国际数字经济合作的诚意,也彰显了我国在数字治理领域开放包容的态度。随着加入 CPTPP 谈判的不断推进,中国可以与各方就数据治理在谈判过程中交流看法,推动中国规则和中国理念的国际影响力,为世贡献数据跨境流动规制的中国方案。

引用格式:刘俊超 .《数据出境安全评估办法》与 CPTPP 对接研究 [J]. 信息安全与通信保密 ,2023(11):37-45.

作者简介 >>>

刘俊超,男,硕士,厦门大学法学院网络空间国际法研究中心研究助理,主要研究方向为经济法、国际经济法。

选自《信息安全与通信保密》2023年第11期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。