今天和大家分享的是公号君发表在《中国网信》2024年第2期的一篇文章。

数据跨境流动是全球数据治理的关键议题,主要国家和地区均对数据跨境流动安全给予高度关注,纷纷从保障安全角度出台法律政策和监管工具,例如,欧盟《通用数据保护条例》(GDPR)从法律层面要求个人数据流出欧盟的前提是保障“对自然人的保护水平不会降低”,俄罗斯、印度等国家则要求相关数据必须在遵守本地化要求的前提下有条件出境。与此同时,随着信息技术以及数字经济全球化迅猛发展,客观上决定了数据作为一种生产要素,其跨境流动需求必然会不断增长。数据跨境流动管理一方面必须实现维护国家安全、社会公共利益和个人信息权益,另一方面也必须满足经济社会发展的需要。

2022年7月,国家互联网信息办公室发布《数据出境安全评估办法》;2022年11月,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》;2023年2月,国家互联网信息办公室发布《个人信息出境标准合同办法》……至此,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等规定的数据出境安全评估、个人信息出境标准合同、个人信息保护认证等三条数据出境合规路径初步建立,我国数据出境安全管理制度体系基本形成。

我国数据出境安全管理制度的基本逻辑

回顾我国数据出境安全管理制度的立法进程,其制度设计聚焦客观风险并借鉴国外相关成熟实践。例如,个人信息在出境场景下的安全保护,其基本目标是在个人信息流出国境后持续保障个人信息安全。与个人信息仅在境内向他人提供相比,向境外提供个人信息产生了四个方面的风险变化:一是个人信息被境外主体所处理,境外主体的安全保护能力和提供的安全保护水平可能出现“落差”;二是个人信息在境外适用的法律法规与国内不同,可能会带来安全要求相互冲突的情况;三是境内的各监管部门无法对接收个人信息的境外主体实施监督;四是个人信息可能在境外被滥用进而危害我国国家、组织、个人的合法利益。因此,国内外保障个人信息出境安全的主要制度设计基本着力于上述四个方面。

就相关实践已经落地实施较长时间的欧盟来说,其《通用数据保护条例》在95指令的基础上,进一步固定并更新了个人数据出境的安全保护制度。首先,看标准格式合同条款(standard contract clause,SCC)。SCC固定了数据出境后受到的保护原则(也就决定了保护水平),同时SCC还通过法律责任划分的形式,将主要责任确定在了境内组织,给境内监管机构追究责任提供了便利。当然,境内主体可以通过合同的形式转而继续追究境外主体的责任。SCC还在合同中规定了个人数据主体可以基于合同拥有一些特定的权利。其次,看有约束力的公司准则(binding corporate rules,BCR)。BCR需要境内监管机构的认可,这就意味着境内监管机构需要认可BCR所提供的数据保护水平,如果有一家跨国分公司所在国家的保护水平较低,则该分公司还需要遵守BCR,根据BCR规定的原则提供数据保护。公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则公司在该国的公司主体就要承担有关数据出境的所有法律责任—即监管机构、个人数据主体,均可通过境内的公司主体来追究法律责任。最后,看充分性认定。对某个国家或地区进行充分性认定,就意味着对该国家或地区法律法规的认可;意味着认可该国家或地区监管机构对数据保护的执法力度;也意味着对个人行使权利便利程度的认可。从上述角度来看,单纯依赖个人同意作为个人数据出境的条件,无法“补齐”数据出境带来的四个变化。所以从国际上来看,个人同意普遍不是个人信息出境的先决条件。在实践中,如果将个人同意作为个人信息出境的条件,主要场景是偶发、单次、数量较少,且其他出境制度(如标准格式合同条款、有约束力的公司准则、充分性认定等)均不适用的情况。

我国数据出境安全管理制度体系也同样关注这些风险,参考国际既有先进实践,努力平衡安全与发展。

首先,我国并非将所有数据跨境流动纳入监管范畴,而是仅针对重要数据和个人信息;对于非重要数据且非个人信息的一般数据,可以自由跨境流动。究其原因,还是因为重要数据和个人信息所指向的国家安全、社会公共利益和个人信息权益,需要公权力的额外保护,不能完全依赖私营部门所常用的民商事法律手段。其次,由于重要数据和一定规模的个人信息一旦发生安全事件,所导致的影响或结果不仅关乎具体个人或组织,更涉及国家安全和社会公共利益。因此,需要公权力提前介入,通过组织开展数据出境安全评估预判安全风险,并根据评估结果提出和实施增强性安全措施。在此方面,《数据出境安全评估办法》及相关配套文件对数据出境安全评估落地提供了具体规则。实践表明,并不是涉及重要数据和一定规模的个人信息一律不得出境,经评估不会影响国家安全和社会公共利益的、不会减损个人合法权益的数据就可以出境。对于未达到一定规模的个人信息跨境流动,我国设计了两条自主性较强的路径。一是个人信息出境标准合同。以创设合同义务为抓手,确保个人信息跨境流动安全,构筑了基于标准合同出境的个人信息保护的最低约束条件。二是个人信息保护认证。在此方面,《关于实施个人信息保护认证的公告》《个人信息保护认证实施规则》《信息安全技术 个人信息跨境传输认证要求(征求意见稿)》等共同对个人信息保护认证如何实施提供了具体操作指南。上述两项制度设计参考借鉴了欧盟《通用数据保护条例》中“有约束力的公司准则”、亚太经合组织(APEC)的跨境隐私保护规则(CBPRs),以及欧盟和东盟的数据跨境标准合同体系。

我国数据出境安全管理制度持续优化

2023年6月29日,国家互联网信息办公室与香港特区政府创新科技及工业局(香港创科局)签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称“备忘录”),在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动。2023年12月10日,为落实备忘录关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“大湾区标准合同”)。

总的来说,大湾区标准合同存在以下鲜明特点:一是在“一国两制”方针下实现两地个人信息保护制度充分衔接问题,在不需要两地进行个人信息保护制度调整的前提下,保障个人信息跨粤港澳大湾区双向自由流动;二是两地政府在各自个人信息保护制度实施层面进行监管模式创新,大湾区标准合同实际上豁免了个人信息从粤港澳大湾区内内地向香港流动的数据出境安全评估要求,个人信息处理者和接收方通过签订合同自愿承诺提升个人信息保护水平,并通过执法合作和诉讼等特别安排确保个人信息主体权利得到充分保障。

除了针对粤港澳大湾区的举措之外,国家互联网信息办公室还于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“规定”)。在总结数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度实施过程中获得经验的基础上,规定集中调整了上述制度所适配的数据出境情形。从目前公布的文本来看,首先,规定明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。其次,规定扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围,很大程度上提高了数据出境的便利化程度。再次,规定支持自贸试验区制定数据出境管理负面清单,探索便利化数据跨境流动管理机制。这些方面突出体现了我国持续优化数据出境制度、推进高水平对外开放的决心。

对我国数据出境安全管理制度的评价

经规定调优过后的数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境合规路径,从数据跨境流动安全风险出发,在监管手段方面进行了多层次设计,能够满足组织或个人因业务目的向境外提供数据的需求,是我国深化开放合作、统筹安全和发展的重要举措。

保障数据所指向的法益为先。个人信息出境标准合同和个人信息保护认证两项制度均聚焦保护个人合法权益,高度关注个人信息主体权益保护,重点在于确保境外接收方处理个人信息的活动达到与中国一致的个人信息保护标准,并梳理了个人信息处理者、境外接收方等各方实体的权利义务,将技术措施、管理制度等要求落地到可举证、可追责的程度,确保个人信息出境后个人信息主体权益依然受到保护。数据出境安全评估侧重于国家安全和社会公共利益,体现在组织数据处理者自评估,叠加国家网信部门组织开展的安全评估的制度设计上,通过双重评估确保出境数据安全。

促进数字经济健康发展。数字经济是中国也是全球经济发展的重要战略侧重点和大趋势。随着云计算、人工智能、大数据等技术的不断发展,数字经济成为中国经济的重要支柱之一。2022年,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,提出“构建数据安全合规有序跨境流通机制”“坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。三条主要路径供不同类型、不同规模的组织或个人所选用,能够很好地回应需求,一方面为组织或个人跨境业务合作提供法治保障,另一方面推动促进数据自由流动和数字经济发展。

体现对外友好开放态度。中国是世界上最大的互联网使用国家之一,也是数字经济发展最为迅速的国家之一,更是拥有网民数量第一的国家。三条主要路径的实施,体现了中国对数字经济的重视和对数据安全保护的关注,也表明了中国对外友好开放的态度。三条主要路径在设计时详细参考和借鉴既有国际实践,有利于促进全球数据安全保护标准的协调性和一致性,有助于增强国际社会对中国数字经济发展的信心和认可,有益于推动中国在数字经济领域的国际合作和交流。相信在未来,我国数据出境安全管理制度还会不断更新完善,以适应不断变化的经济发展模式和国际合作需要。但无论如何,保障数据安全,促进数据发展,是中国数据治理的核心要义,是数据出境安全管理始终不变的宗旨。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。