洪延青
中国人民大学法学院博士后研究人员
北京理工大学法学院院聘教授
法学博士
《促进和规范数据跨境流动规定》实质性地调整了我国数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度的适配场景。其在坚持数据安全逻辑的同时,创造性地吸纳了部分的经贸促进逻辑。该规定的实施,标志着我国改变了对数据出境的强监管姿态,实现了安全与发展的“再平衡”。进一步结合经贸促进逻辑中未被《促进和规范数据跨境流动规定》吸纳的内容开展分析,可以发现该规定勾勒出我国数据竞争战略的雏形。
本文原题为《中国数据出境安全管理制度的“再平衡”——基于国家间数据竞争战略的视角》,将刊于《中国法律评论》2024年第3期策略栏目。
目次
一、《规定》重塑我国数据跨境流动的监管格局
(一)个人信息出境监管的现状
(二)重要数据出境监管的现状
(三)《规定》带来的重大变革
二、《规定》在数据安全逻辑基础上首次纳入经贸促进逻辑
(一)数据安全逻辑和经贸促进逻辑的辨析
(二)《规定》创造性地结合了丰富的经贸促进逻辑
三、《规定》事实上蕴含了我国数据竞争战略的雏形
(一)经贸促进逻辑未能在我国《规定》中落地的方面
(二)从经贸协定进一步看《规定》中的“缺失”
(三)我国数据竞争战略的雏形初现
四、总结与展望
出于安全目的,中国对数据跨境流动实施强监管,已经成为一种中外共识。例如,在2023年11月召开的全球数商大会上,商务部国际贸易经济合作研究院与上海数据交易所共同发布《全球数据跨境流动规则全景图》,其中明确提出“严格监管型主要强调数据跨境的事前监管,通过安全要求后方可进行数据出境,典型的代表为中国、俄罗斯、巴西等,国际贸易协定主要为RCEP等”。
类似的,美国产业智库“信息技术与创新基金会”(ITIF)2021年发布的报告——《跨境数据流动的障碍如何在全球蔓延、代价是什么以及如何解决这些问题》直言,“中国是世界上数据限制最严格的国家,其次是印度尼西亚、俄罗斯和南非”。
2024年3月22日,国家互联网信息办公室正式发布了《促进和规范数据跨境流动规定》(以下称《规定》)并在发布之日立即生效。该《规定》在总结数据出境安全评估、个人信息出境标准合同、个人信息保护认证实施经验的基础上,集中调整了上述制度所适配的场景。事实上,自2023年9月28日国家互联网信息办公室发布该《规定》的征求意见稿开始,其已经引发国内外的高度关注。
因此,在《规定》生效之际,除分析其对数据处理者具体合规要求的调整之外,本文更为重要的目标是厘清《规定》生效之后,各界对我国“强监管”的认识是否继续适用。在前述分析的基础上,本文还进一步提出,《规定》事实上蕴含了我国“数据竞争”战略的雏形。
《规定》重塑我国数据跨境流动的监管格局
我国现行的法律法规对数据跨境流动的监管集中在数据向境外提供(即“数据出境”)这个环节,并且监管的对象为两类数据:个人信息和重要数据。本节将简述《规定》生效前我国数据出境安全监管制度的格局,并分析《规定》带来的重大变化。
(一)个人信息出境监管的现状
我国《个人信息保护法》第38条规定了个人信息出境的三个路径——数据出境安全评估(下文简称“安全评估”)、个人信息出境标准合同(下文简称“标准合同”)和个人信息保护认证(下文简称“保护认证”)。此前,国家网信部门发布的《数据出境安全评估办法》和《个人信息出境标准合同办法》,分别细化了第38条中的安全评估和标准合同。尽管国家网信部门还未制定关于个人信息保护认证的管理办法,但和国家市场监督管理总局联合发布了《个人信息保护认证实施规则》,将个人信息跨境处理活动纳入认证制度之中。
根据国家网信部门当前的制度设计,安全评估是企业向境外提供个人信息的主要合规路径,即适用于大多数场景,具体包括:(1)数据处理者向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。只有在上述三个场景均不适用的情况下,企业才能通过签订标准合同的方式开展个人信息出境活动。对于保护认证,国家网信部门并未通过法律文件正式明确保护认证所适用的个人信息出境活动或场景。
(二)重要数据出境监管的现状
《数据出境安全评估办法》给出了重要数据的定义,是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。对于重要数据的出境,现行规则明确只有安全评估这一条通路。
从实践效果来说,企业对上述数据出境安全监管制度反映的主要问题如下:
一是标准合同所适用的场景太少。企业认为《个人信息保护法》本身的规定并没有对安全评估、保护认证、标准合同三个路径作出“优劣安排”,其本意是三个路径的效力应被“一视同仁”。但现行规则事实上将安全评估作为主要的数据出境合规路径;二是国家网信部门所设计的安全评估制度,具有两个鲜明特征——“一事一议”和“事前审批”。企业普遍认为其与国际实践不符合;三是申报安全评估时效较长、标准不清、流程和评估标准不透明,导致企业面临很大不确定性,影响业务开展,进而可能影响企业未来营商计划和战略的制定;四是企业本身难以把握重要数据的界定标准,很容易造成遗漏申报,进而导致违法违规的可能性。
(三)《规定》带来的重大变革
首先,《规定》明确了免予申报安全评估、订立标准合同、通过保护认证的情形。
具体来说包括:(1)境外数据传输至我国,并在我国处理加工且没有境内个人信息或重要数据参与时,其后续向境外转移;(2)为订立、履行个人作为一方当事人的合同确需向境外提供个人信息;(3)实施跨境人力资源管理确需向境外提供员工个人信息;(4)紧急情况下为保护个人的生命健康和财产安全,确需向境外提供个人信息的;(5)非关键信息基础设施的数据处理者在当年累计向境外提供不满10万人个人信息且不含敏感个人信息的。
在这五个情形中,第(2)(3)(4)项“豁免”覆盖了跨境电商、跨境物流、跨境出行等大量数字经济活动,以及跨国企业所必然需要的人力资源管理,很大程度上降低了数据处理者的合规要求。值得注意的是,在这三个情形中,出境的个人信息即便涉及超过100万人,上述“豁免”仍然适用。
其次,《规定》扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围,在相当程度上提升了个人信息出境的便利化程度。《规定》明确,非关键信息基础设施的数据处理者在当年累积向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)的,或者在当年累积向境外提供不满1万人敏感个人信息的,应当通过订立标准合同,或者通过保护认证的方式,合法合规地向境外提供个人信息。
从目前情况来看,这个范围覆盖了我国绝大多数的个人信息处理者向境外提供个人信息的情形。因此,在《规定》的框架下,个人信息出境标准合同和个人信息保护认证的适用性可以说非常强。
再次,《规定》增加了地方政府在数据出境安全管理体制中的角色和权重。最突出的就是第6条第1款规定:“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。”
对于负面清单外数据出境,第6条第2款规定“可以免予”申报安全评估、订立标准合同、通过保护认证。就此,各个自贸区可以因地制宜,按照自身定位和发展战略、方向等,确定豁免“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的数据清单。
换句话说,对于各个自贸区确立的发展方向(特别是数字化领域)所同时伴生的数据跨境流动需求,国家网信部门此次给各个地方作了监管适配性的授权;而且对于各个地方对白名单所作的决策选择,国家网信部门只是备案,并非审批。这对我国自贸区的发展来说,无疑是一个非常积极的举措。
最后是重要数据的安全评估。《规定》在征求意见稿阶段即提出,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估,此举将重要数据的识别和认定从“架在”数据处理者头上的法定义务,转置到了相关部门或地区,被业界普遍认为是一次非常积极的重大变化。
虽然《规定》在正式稿中增加了一个前置性的条件——“数据处理者应当按照相关规定识别、申报重要数据”,但与现状相比仍然不失为一种进步,毕竟相关部门、地区需要抓紧出台各自行业和区域的重要数据识别“相关规定”,否则数据处理者也无法展开识别和申报工作。
总体来说,上述四点重大变革,事实上将我国数据出境安全监管体制从以“事前”为重心,转变为以“事中事后”为主线,主要体现在以下两个方面:
一方面,在《规定》所建立的体制下,向境外提供个人信息的数量和范围,只要不超过100万人的个人信息或者不超过1万人的敏感个人信息,可以通过数据处理者(非关键信息基础设施的运营者,以下称“非关基”)和境外接收方自主签订标准合同的方式合法合规地出境。
另一条路径是通过保护认证,而保护认证本身也是由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动;认证机构本身不是监管机构,其完成对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动的认证之后,可以适用于多次的个人信息跨境情形。只有超过100万人的个人信息或者超过1万人的敏感个人信息的出境,数据处理者(非关基)才需要申报事前的安全评估。相比以往,安全评估的适用场景发生了极大的缩限。
另一方面,《规定》规定了五种豁免情形和自贸区认定“可以免予”的情形。这些情形中,数据处理者虽然不需要申报安全评估、订立标准合同、通过保护认证,但仍然需要按照《个人信息保护法》第38条的规定,采取必要措施,保障境外接收方处理个人信息的活动达到其规定的个人信息保护标准。
这也是《规定》在第11条重申“数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告”,以及在第12条中要求“各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事中事后全链条全领域监管……”。这些都是典型的从事中事后角度监督数据处理者履行安全保护责任的制度设计。
《规定》在数据安全逻辑基础上首次纳入经贸促进逻辑
除了将“事前为主”变为“事中事后为主”之外,《规定》与以往个人信息保护和数据安全的法律法规相比,存在一个本质性的区别——将“数据安全逻辑”与“经贸促进逻辑”首次实质性地结合在一起。
(一)数据安全逻辑和经贸促进逻辑的辨析
所谓数据安全逻辑,主要是指主管网络安全、数据安全和个人信息保护的部门在开展监管、监督、执法工作中的主要关注点和逻辑思路。以个人信息在出境场景下的安全保护为例,数据安全逻辑下的最基本目标是在个人信息流出国境后,持续保障个人信息安全。
与个人信息仅在境内向他人提供相比,向境外提供个人信息产生了四方面的风险变化:一是个人信息被境外主体所处理,境外主体的安全保护能力和提供的安全保护水平可能出现“落差”;二是个人信息在境外适用的法律法规与国内不同,可能带来安全要求相互冲突的情况;三是境内的各监管部门无法对接收个人信息的境外主体实施监督;四是个人信息在境外存在被滥用进而危害我国国家、组织、个人合法利益的情形。
在上述关注点的统摄下,无论是欧盟《通用数据保护条例》(GDPR),还是我国《数据出境安全评估办法》和《个人信息出境标准合同办法》,均将规范的重点着眼于数据本身,而非数据所属的行业或业态。
例如,欧盟《数据跨境传输标准合同条款》(SCC)固定了个人数据出境后所受的保护原则(也就决定了保护水平);同时SCC还通过法律责任划分的形式,将主要责任确定在了境内的组织,给境内监管机关追究责任提供了便利。欧盟《数据跨境约束性公司规则》(BCR)同样关注于个人数据在集团公司内部的跨境流动时所享有的保护规则和保护水平,而无关乎集团所从事的业务。
GDPR所规定的充分性认定,意味着欧盟对该国家或地区的数据保护方面法律法规的认可,以及该国家或地区监管机关对数据保护的执法力度等方面的认可;充分性认定均质化地适用于该国家或地区中的各行各业。类似的,我国的《个人信息保护法》《数据安全法》的规定均“锚定”在数据本身,我国的安全评估和标准合同相关规定也均未对数据所承载的行业或者业态作出规定。
而所谓的经贸促进逻辑,主要是指负有经贸促进职责的部门的主要关注点和逻辑思路。这类部门聚焦于保障正常经贸往来所伴生的数据跨境流动不受阻拦,希望通过经贸协定中包含的数据相关条款的签署,将其转变成国家承担的国际义务,并进而对主管网络安全、数据安全和个人信息保护的部门监管动作施加外部限制。这一点从《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)与数据跨境流动相关条款的逻辑也可以看出来。
两个协定的条款均沿袭三层逻辑步骤:第一,承认每个国家可对以电子方式进行的信息传输规定自己的监管要求。第二,明确各个国家应当具有支持数据跨境流动的义务,即当以电子方式进行跨境信息传输的活动是为了组织的正常商业行为时,每个国家应当允许以电子方式进行跨境信息传输,包括个人信息。第三,在对各个国家提出第二步的强制性义务时,同时允许一定程度的不符措施,但对不符措施提出限制;限制主要是不符措施“不得构成任意或无理的歧视或对贸易或投资的变相限制”,不得“施加超出实现目标所需要的限制”。
由此可见,经贸促进逻辑对数据的关注是从保障经贸活动顺利开展为出发点,落脚点也并非对数据的具体规制,而是避免针对数据的监管措施对经贸活动造成负面影响。
可以从数字贸易层次化视角进一步观察数据安全逻辑和经贸促进逻辑的区分。传统来说,跨国间贸易一般区分为货物贸易和服务贸易。随着信息通信技术的发展,货物贸易开展所必需的下单、物流、报关、支付等环节已经完成了数字化转型;这些环节伴随着数据跨境流动。同样,服务贸易,例如,跨境电商、音视频产品、资讯等,也借由信息通信技术的普及,多数已经转变为数字化形态;因此,服务贸易的开展也依赖于数据跨境流动。
目前,国际上将货物贸易和服务贸易的数字化转型,统称为数字贸易(digital trade)。经济合作与发展组织(OECD)就将数字贸易定义为“包括由数字支持的货物和服务贸易交易,这些交易可以通过数字或实物交付,并涉及消费者、公司和政府”。类似地,欧盟将数字贸易定义为“指通过电子手段——电信和/或信息和通信技术服务——实现的商业活动,涵盖货物和服务贸易”。
因此,在层次化视角下来看,经贸促进视角是从货物和服务贸易的视角往下看数据,提出对数据监管的“外在”要求(非歧视、比例性等要求);而数据安全逻辑完全从数据出发,围绕着数据本身提出监管要求,并不关注数据所承载的内容、行业、领域。如下图所示。
(二)《规定》创造性地结合了丰富的经贸促进逻辑
在多数情况下,数据安全逻辑和经贸促进逻辑在一个国家的数据跨境流动政策立场形成中,缺少实质性的协调。例如,数据安全逻辑倾向于认为数据存储在境内便于开展持续安全保护方面的监管,因此往往有扩大数据本地化存储要求的冲动,但忽视数据本地化存储对跨国企业全球化运营所带来的巨大调整成本。
同样,经贸促进逻辑倾向于认为企业运营或所作的商业决定具有天然的正当性,因此应当尽可能尊重企业对数据存储和跨境作出的商业决策,但其忽视了数据跨境流动后,因为链条扩长、法域变化而存在被滥用、泄露的风险。由于数据安全逻辑和经贸促进逻辑在一个国家的数据跨境流动政策体系中往往缺乏制度性的沟通协调渠道,数据安全逻辑和经贸促进逻辑所产出的政策经常“各自为营”。两类逻辑各自提出的要求相互之间非常缺乏互操作性,最终导致一个国家在形成国家间数据竞争战略方面无论是诉求还是执行都非常不明晰,地方、产业或企业均无所适从。
我国也存在类似的情况。经贸促进逻辑下所出台的政策在涉及数据出境政策时,举措和用词往往不甚清晰。例如,2020年发布的《海南自由贸易港建设总体方案》中对数据出境的提法是:“便利数据流动。在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制。”即便是新近发布的重要文件,在此方面仍然不够明确。
例如,2023年8月发布的《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》中,对数据出境提出了如下要求:“探索便利化的数据跨境流动安全管理机制。落实网络安全法、数据安全法、个人信息保护法等要求,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动。支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务”。可见,以经贸促进逻辑为主线的政策文件,对数据安全逻辑的体现比较“外围”。
国家互联网信息办公室发布的《规定》,显然是一份以数据安全逻辑为主线的政策文件,但其第一次实现了对经贸促进逻辑的直接和实质性的吸纳,具体体现在以下三个方面。第一个方面,对自由贸易试验区的直接赋权。事实上,在数据出境安全监管方面向地方赋权,在全世界范围内也实属罕见。
第二个方面,对所谓“两头在外”商业模式的“豁免”。所谓的“两头在外”,是指数据的源头在境外,同时数据的服务对象也在境外;按照《规定》第4条的界定,其为“在境外收集和产生的个人信息传输至境内处理后向境外提供”。《规定》第4条提出,符合“两头在外”情形的数据出境,只要在境内处理过程中“没有引入境内个人信息或者重要数据的”,免予申报安全评估、订立标准合同或通过保护认证。
为什么说这点是对经贸促进逻辑的体现?“两头在外”原指“原料从国外进口、产品在国外销”的来料加工模式,运用在数据领域即所谓的“离岸数据中心”:中心位于我国境内,但由于数据方面“两头在外”的特点,部分自贸区提倡对“离岸数据中心”可不执行中国境内部分法律法规,尤其是数据出境安全管理要求。我国广东、上海、海南等地均提出在自贸区内建设“离岸数据中心”的计划和设想,目的在于吸引产业落地,促进服务贸易的跨境开展。
但事实上,对于向境外提供个人信息,《个人信息保护法》采取的是属地原则,而无论个人信息是否在境内收集或者产生。具体体现在,首先,“在中华人民共和国境内处理自然人个人信息的活动,适用本法”(第3条),其次,“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的……”(第38条);最后,“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”(第41条)。因此,单单从《个人信息保护法》字面解读,并没有豁免“在境外收集和产生的个人信息传输至境内处理后向境外提供”的,可以不适用第38条。
所以,《规定》对“两头在外”商业模式的“豁免”,体现了数据安全逻辑对经贸促进逻辑的一次重大“让步”:在法律没有提供豁免的情况下,国家网信部门运用《个人信息保护法》第38条中“国家网信部门规定的其他条件”对此作出了豁免。事实上,GDPR对此情况也没有提供类似的豁免。因此,此举只能从经贸促进逻辑得以解释。
第三个方面,《规定》选择性地对“基于个人主动发起的跨境服务”和“跨境人力资源管理”进行了豁免。《规定》列举的前者包括“跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等”,其对应的是《个人信息保护法》第13条所列举的七项个人信息处理合法性基础中的第2项——“为订立、履行个人作为一方当事人的合同所必需”。跨境人力资源管理同样对应第13条第2项中的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”。
按照《个人信息保护法》的制度设计,第13条所列举的七项个人信息处理合法性所支撑的个人信息出境行为,均应当适用该法第38条——即均应当通过安全评估、签订标准合同,或通过保护认证——无一例外。但《规定》改变了《个人信息保护法》的法定制度安排,特别地对第二项作出了豁免。
本文认为,其背后还是数据安全逻辑对经贸促进逻辑的一次“让步”。
首先,“基于个人主动发起的跨境服务”和“跨境人力资源管理”所涵盖的情形,都是跨境数字服务贸易和跨国公司日常运营过程中所出现的高频场景,从经贸促进逻辑出发,高频场景的豁免将极大减少日常的合规成本。
其次,豁免场景的选择并不能从数据安全逻辑的角度得到“合理化”。以欧盟GDPR为例,该条例并没有对“合同所必需”“人力资源管理”这两个情况豁免其第46条中规定的要求。即便是GDPR第49条规定的“克减”的(b)项:“因履行合同,且数据主体是合同的一方或按数据主体要求完成合同签署前的步骤,而必须传输个人数据的”,GDPR前言部分也将此“克减”限定在“偶发且必需”(occasional and necessary)的情况下。
进一步举例说明,如果一个商业安排主要是为个人提供跨境预订海外机票酒店服务,则从数据控制者的角度来说,其处理个人数据的合法性基础为“合同所必需”,但由于这是其日常业务,数据跨境传输大量且经常发生,因此无法适用第49条的“克减”,进而必须符合第46条的规定。从欧盟的路径设计可以看出,第49条克减之所以能成立的根本原因在于偶发的数据出境的安全风险较小。但反观我国的《规定》,其并没有体现类似于GDPR这样的差异区别,而是将个人发起的跨境服务作为豁免的唯一条件。这样的特别“豁免”,事实上比欧盟的《通用数据保护条例》(GDPR)来得“宽松”,显然,经贸促进逻辑在背后发挥了作用。
《规定》事实上蕴含了我国数据竞争战略的雏形
通过与GDPR关于个人数据出境规定的比较,上述我国《规定》中三个体现经贸促进逻辑的方面得以凸显。进一步深挖,经贸促进逻辑未能在我国《规定》中落地的方面,其实同样具有讨论的价值。本节提出,将经贸促进逻辑在《规定》中体现和未体现的方面结合起来看,事实上能够勾勒出我国数据竞争战略的雏形。
(一)经贸促进逻辑未能在我国《规定》中落地的方面
本小节以跨国企业在中国运营的现状为例说明。跨国企业在中国的分支机构虽然在中国运营,但无论是产品和服务的设计、制造和日常运营,还是人力(具体包括招聘、薪酬、晋升、培训等)、财务(包括预算、支付等)、IT系统(包括邮箱、办公平台、差旅申请等)在内的公司内部治理等方面,绝大多数都与其外国总部对接。即便是落地维护的产品(如车辆和医疗设备),也涉及相关的维护数据向外国总部报告,而且还存在需要从国外更换零部件的情况。
除了具体的业务安排之外,跨国企业普遍依赖战略性的全球产业链整体布局,以实现有效控制成本提高效率的目的,基于此,跨国企业往往根据某一国家或地区的比较优势,选择建立相应的且辐射于全球的内设机构或者选择供应商,例如,基于印度的IT远程技术服务、基于中国的研发中心、基于德国的车辆质量分析管理和召回决策机构等。这样的模式高度依赖全球范围内的供应商和服务商的紧密合作以维持良好的运转。
在数字时代的今天,这显然意味着数据大量频繁地跨境流动。因此,数据出境安全管理制度(包括本地化要求和出境安全合规要求)对于跨国企业而言,不仅仅是一个数据的存储问题,而且是一整套供应链服务团队、运营模式的调整,是具有蝴蝶效应的战略性调整。由此,跨国企业对任何国家或地区的数据出境安全管理制度,存在两个主要担忧:一是原有的业务和管理模式是否会因此改变,以及多大程度上需要改变;二是即便无须改变原有模式,但由此带来的合规成本有多大。
在上述背景下,《规定》豁免了“基于个人主动发起的跨境服务”和“跨境人力资源管理”,但是“不涉及”个人主动发起的跨境业务安排,没有得到相同的制度优待。以下通过具体的例子说明。
情形一:个人通过国内某出行平台租用在海外使用的车辆。在该情形中,个人是租车合同中一方当事人,海外租车也是个人主动要求的服务,合同的另一方是在海外当地运营的租车公司。在此过程中,出行平台协助个人将自身的个人信息传输至海外租车公司,对此不仅个人具有明确的认知,而且这也是达成和履行海外租车合同所必需的步骤。因此,《规定》对于该情形中国内出行平台向境外提供个人信息的行为给予了“豁免”。
情形二:个人在国内线下门店购买了一件外国品牌的服装,持有该跨国品牌的企业意图通过设在中国的分支机构将所累积的中国会员数据传输到境外总部,以便总部对会员的个人信息开展分析并决定进一步的广告投放策略。在此情形中,个人是服装购买合同的一方当事人,该企业的中国分支机构是另一方当事人,但无论个人消费者是否知晓其个人信息将会被传输至境外分析,中国会员数据传输至境外总部都绝不可能会被认为属于履行服装购买合同而“确需向境外提供个人信息”的情况,毕竟购买行为和服装交付行为都发生在中国境内。因此,《规定》中的“豁免”无法适用。
情形三:某外方企业全球总部决定采购由一家外国公司提供的办公协同软件(例如,微软公司提供的office 365办公软件,或者思科公司提供的webEx视频会议软件等)供其在全球的各个分支机构使用,以实现高效率的实时跨国工作协同。由于办公软件的服务器设置在海外,因此位于中国的分支机构的员工在使用这个软件时,必然会出现与员工/客户/供应商等相关的个人信息的出境。由于跨境协同工作中的个人信息出境,不可能被解释为“跨境人力资源管理”所必需,因此《规定》中“豁免”无法适用。
从跨国企业看来,上述三个情形都常见于其跨国运营过程中。事实上,如果说情形一往往只涉及具有特定商业模式的企业,则情形二和情形三(及其类似情形)则几乎为所有跨国企业都会遇到。但显然,《规定》对上述情形作出了区别对待。
(二)从经贸协定进一步看《规定》中的“缺失”
上述情形所展示的区别对待,似乎很难从数据安全逻辑中——前文提出的“向境外提供个人信息产生了四方面的风险变化”,找到正当化的理由。毕竟从数据的维度来看,这三个情形中均发生了个人信息的跨境流动,而且向境外提供个人信息所涉及的人数可能不相上下。这也就解释了上述三个场景在适用GDPR方面,并不会存在本质差别。其实,在《规定》出台之前,我国的数据出境安全管理制度也不会将它们区别对待。
从经贸促进逻辑角度来看,《规定》将情形一与情形二、三区别对待,也缺乏正当化理由。以DEPA为例。DEPA第4.4条规定了“计算设施的位置”,第4.3条规定了“电子方式跨境传输信息”,从这两个条文中均无法看出情形一与情形二、三的区别。具体来说,情形二中企业选择将分析中国会员数据的计算设施放置于我国境外,因此需要向境外传输信息;情形三中企业选择购买了由外国公司提供的办公协同软件,而该办公协同软件的服务器(计算设施)同样在我国境外,同样需要向境外传输信息。按照第4.4条的规定,企业选择计算设施的位置是其商业自由,缔约方不得无故要求其将计算设施设置在境内。
进一步地,第4.3条规定“每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,当这一活动是用于涵盖的人(a covered person)开展业务”,这意味着情形二和情形三所涉及的数据跨境流动,与情形一都是正常开展业务所涉及的数据跨境流动,因此具有等量的正当性和合法性。本质上来说,经贸协定及经贸促进逻辑均认为,企业站在商业运营的一线,对自身的需求最为了解,应当尽可能地尊重企业对计算设施的位置选择,以及对数据出境活动的必要性判断。
由上可知,《规定》仅是部分地顺应了经贸促进逻辑,对特定的商业模式——“基于个人主动发起的跨境服务”和“跨境人力资源管理”——作出了“豁免”的优待,但对正常经贸活动中涉及的其他业务模式,仍然坚持适用安全评估、标准合同和保护认证。当然,《规定》极大地扩张标准合同和保护认证的适用范围,使得没有被豁免的业务模式的合规成本也得到了很大程度的降低,但对于在中国有广泛商业存在的外方跨国企业来说,由于其在类似于情形二或情形三中向境外提供个人信息的数量很可能超过100万人,或者敏感个人信息数量超过1万人,安全评估仍然是其唯一的选择。
(三)我国数据竞争战略的雏形初现
虽然经贸协定和经贸促进逻辑允许缔约方出于正当公共政策目标采取不符措施,但由于从数据安全逻辑中也同样难以正当化区别对待,因此只能认为前文所述的《规定》对经贸促进逻辑的选择性落地,是一种战略上的“有意为之”。
为分析这种战略上的选择所形成的效果,有必要对前文列举的三个情形进一步抽象化和类型化。情形一是个人明确要求的产品或服务来自境外,因此,其供给自然涉及个人信息的出境。情形一本质上是世界贸易组织(WTO)《服务贸易总协定》规定的国际服务贸易四种模式中的“跨境交付”和“境外消费”的结合。
前者是指从一成员境内向任何其他成员境内提供服务。在这种形式下,服务的提供者和被提供者分别在其本国境内,并不移动过境。后者是指从一成员境内向任何其他成员服务消费者提供服务。在这种服务提供形式下,服务的被提供者,也就是消费者跨过国境进入提供者所在的国家或地区接受服务。当然,本文逻辑中,情形一也可以只包含“跨境交付”,如跨境远程医疗服务。
情形二中,个人明确要求的产品或服务商品已经位于境内,因此其是在境内被交付给个人的,但企业所架构的业务运营安排中部分元素或环节位于境外。其接近于国际服务贸易中的“设立商业存在”,即一成员服务提供者在任何其他成员境内以商业存在的形式提供服务。这种模式认为,对于服务来说,由于要确保在服务的生产、交付以及交付之后的各个阶段与处于其本土上的消费者保持密切联系,境外商业存在的设立是必要的。但在现代信息技术的支持下,除了产品或服务的交付在境内发生之外,服务或货物的生产环节和交付之后的维护、召回等环节,以及与之相关的分析、改进、营销等环节,企业可以选择在境内或者境外实现。情形二即如此。
情形三与向个人提供产品或服务无直接关系,但涉及企业在其运营安排中的某一环节选择了来自境外的供应商支撑其商业运作。除了前文所述的办公协同软件,常见的境外采购包括租用境外的云计算服务、使用境外的财务分析服务等。
进一步在更高维度抽象的话,情形一是直接面向个人用户的模式(2C模式):只要个人用户所需要的产品或服务来自境外,无论个人用户最终在境内还是境外直接消费,此过程中的个人用户与企业的直接交互部分(无论是否通过中介平台)——购买消费合同的达成环节,以及包括交付和消费在内的合同履行环节,《规定》对所涉及的全部个人信息出境活动给予了“豁免”。如下图所示。
情形二和情形三则可以统一为“境内商业存在”对自身生产、营销、研发等方面的组织和安排,《规定》对所涉及的个人信息出境没有“豁免”。如下图所示。
分析至此,可以总结《规定》对经贸促进逻辑的选择性落地在数据竞争方面可能实现的效果。首先,《规定》在数据安全逻辑的基础上,创造性地吸纳了部分经贸促进逻辑,对全球数据资源向我国汇聚大有帮助。
一是对于“两头在外”的“离岸数据中心”模式直接给予了数据出境安全监管的“豁免”,有助于我国利用能源、地域、人才等方面的优势,吸引全球数据资源向我国汇聚。值得注意的是,对“离岸数据中心”模式的豁免,不限于自由贸易试验区,如此,我国“东数西算”工程所激活的西部计算资源都能够参与其中。
二是对于自由贸易试验区给予自主授权,允许自贸区设立数据出境的“负面清单”,并允许其在负面清单之外进一步自主决定“豁免”数据出境安全监管的情形。此举能够挖掘推动自贸区发展的制度性动力,夯实了我国自由贸易试验区提升战略——“对接国际高标准经贸规则,推进高水平制度型开放”的目标。自贸区通过改善区域内的制度体系和监管模式,提升营商环境,吸引外商投资进而打造“总部经济”,同样具有吸引全球数据资源向我国汇聚的效果。
其次,《规定》对产品或服务的“跨境提供”和“跨境消费”的个人信息出境安全监管“豁免”,一改过去仅从数据安全角度建立合规门槛的做法,缓解了我国在加入DEPA/CPTPP协定谈判过程中面临的压力;通过“自身开放”换“对方开放”,《规定》也一定程度上避免了其他国家或地区“对等”地采取限制个人信息向我国流动的措施。
最后,对于已经在境内有商业存在且产品或服务都在境内向个人交付的情形,《规定》没有豁免企业对自身生产、营销、研发等方面的组织和安排中所涉及的个人信息出境安全监管,此举客观上增加了数据本地化的可能性。与此同时,《规定》将事先审批性质的数据安全评估的门槛提高到了当年累计向境外提供100万人以上个人信息,或者1万人以上敏感个人信息,因此主要影响的是在中国有广大用户基础的跨国企业自主构建供应链的自由度。
综合以上三个方面的分析,《规定》的生效使得我国数据竞争战略初具雏形。一句话概括就是:从原来的对境内收集和产生的个人信息和重要数据的一味防守,改为在局部实现放松(通过对自贸区内、对“两头在外”模式,以及对跨境提供、跨境消费模式中个人信息出境的放松)以换取全球数据向我国汇聚的可能性。
总结与展望
《规定》在局部实现了个人信息出境安全管控的放松,且其放松程度超过了经常被作为比较基准的欧盟GDPR。结合这些局部放松能够覆盖较多个人信息出境场景的制度现实,本文认为再继续用“强监管”的标签来认识我国数据出境安全管理体制已经不合时宜。
然而,从国家间竞争的角度出发,数据出境的放松本身仅仅是手段而已;《规定》在数据安全逻辑的基础上,吸纳了经贸促进逻辑的内容但又未全盘接受,恰恰勾勒出我国数据竞争战略的雏形,这是《规定》最为重要但又往往被忽视的内涵。但同时应当认识到,在美欧等并没有改变对数据跨境“政治化”和“阵营化”打法的国际背景下,《规定》实施后对我国数据竞争战略的实效应当持续评估。
声明:本文来自中国法律评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
