习近平总书记强调,“数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力”“加强数据安全管理,加大个人信息保护力度,规范互联网企业和机构对个人信息的采集使用,特别是做好数据跨境流动的安全评估和监管”。当前,我国电子商务、交通运输、医药研发、学术合作、生产制造、市场营销等领域数据跨境交流共享需求旺盛,场景丰富。构建安全有序便捷的数据跨境流动管理机制,对于促进数字经济发展、防范数据安全风险具有重大意义。近年来,国家网信办深入贯彻落实习近平总书记关于网络强国的重要思想,认真落实党中央、国务院决策部署,坚持高质量发展和高水平安全良性互动,出台一系列法规政策文件,逐步建立完善中国数据跨境流动安全管理制度体系,会同各地各部门依法依规开展数据跨境流动安全管理,促进数据跨境安全有序流动,助力数字经济高质量发展。

秉持开放合作理念,坚持依法依规管理

第一,坚持依法管理。随着数据跨境流动活动的日益频繁,世界上许多国家和地区从本国、本地区实际出发,对数据跨境流动安全管理作了制度性探索,制定出台了一系列法律法规和规则标准。中国结合自身国情,先后制定出台了《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),在法律层面对向中华人民共和国境外提供重要数据和个人信息作出明确规定。《网络安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。《数据安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《个人信息保护法》规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,可以通过安全评估、个人信息保护认证、与境外接收方订立标准合同等多种途径。上述立法,构筑了我国数据跨境流动安全管理的基础法律框架,为开展数据跨境流动安全管理提供了法律依据。

第二,坚持分类分级管理。数据相比传统生产要素,流动起来更为便捷,跨地域、跨国界流动的特点也更加明显。中国的数据跨境流动安全管理工作是以维护数据安全、保护公民个人信息权益为出发点,同时把促进数据跨境安全有序流动、发挥数据要素作用作为重要目标。我们既充分认识数据流动的重要性,也注重防范数据流动过程中产生的安全风险。中国数据跨境流动安全管理不是针对所有的数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。对于重要数据出境,经过安全评估认为不会危害国家安全和社会公共利益的,可以出境。对于个人信息出境,个人信息处理者可以选择申报数据出境安全评估、通过个人信息保护认证、与境外接收方订立个人信息出境标准合同等方式。对于不涉及重要数据或者个人信息的一般数据,在履行法律规定的一般性合规义务下,可以跨境自由流动。

第三,坚持标准尺度统一。数据出境的行为主体涉及各行各业,境外接收方也分布在不同国家和地区。中国的数据跨境流动安全管理制度是普适性的规定,不针对任何特定国家和特定企业,对境内外企业一视同仁。在实践中,我们在充分征求吸纳各方意见建议的基础上,出台了关于数据跨境流动管理的一系列规定、指南、标准等,对法律作出的制度性安排进行了进一步细化,明确了数据处理者开展数据跨境活动的合规义务,不断健全完善数据出境安全管理机制,确保数据依法安全有序流动。

第四,坚持开放合作。目前,全球尚未形成统一的数据跨境流动规则,建立相互协调的国际治理体系,促进数据跨境安全有序流动,是各方面临的共同课题。《个人信息保护法》规定,中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。中国支持依据国际条约、协定,按照对等原则实现数据跨境安全有序流动。中国愿在联合国、世界贸易组织等框架下,同其他国家和地区就数据跨境问题开展多双边交流合作,推动制定各方普遍接受的数据跨境流动国际规则,助力数字经济全球化发展。

坚持开放创新,初步建立数据出境安全管理制度体系

落实法律关于数据出境安全管理的制度性安排,国家网信办抓紧建立完善我国数据出境安全管理制度体系,明确数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境安全管理制度的实施路径,持续抓好相关制度的贯彻落实,取得阶段性成效。

第一,建立实施数据出境安全评估制度。为加强重要数据和大规模个人信息出境安全管理,国家网信办于2022年7月7日制定发布《数据出境安全评估办法》,自2022年9月1日起施行,明确了数据出境安全评估的适用范围、评估流程、评估要点、监管要求等。2022年8月31日发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明,指导和帮助数据处理者规范有序申报数据出境安全评估。2024年3月22日更新发布《数据出境安全评估申报指南(第二版)》,对数据处理者需要提交的申报材料进行优化简化,进一步降低数据处理者合规成本。首都医科大学附属北京友谊医院申报的跨境健康医疗研究项目(境外接收方为荷兰阿姆斯特丹大学医学中心)成为首个获得通过的数据出境安全评估项目,标志着安全评估制度正式落地实施。截至2024年5月8日,国家网信办收到各省、自治区、直辖市网信办报送的数据出境安全评估申报项目262个,依法受理243个,已完成评估项目234个,其中232个出具评估结果(通过或部分通过评估的206个、不通过评估的26个),2个终止评估,不通过率为11.1%。评估项目涉及零售、交通、金融、工业、互联网电商、卫生健康、科技、邮政、文旅、教育、人才招聘、电信、房地产等行业领域,境外接收方主要位于欧盟、美国、中国香港、新加坡、日本等国家或地区。

第二,建立实施个人信息出境标准合同备案制度。为便利和规范个人信息处理者向境外提供小规模个人信息,国家网信办于2023年2月22日制定发布《个人信息出境标准合同办法》,自2023年6月1日起施行,明确了个人信息出境标准合同的适用范围、标准合同订立和备案要求等,并编制了标准合同范本。2023年5月30日公开发布《个人信息出境标准合同备案指南(第一版)》,对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明,指导和帮助个人信息处理者规范有序备案个人信息出境标准合同。2024年3月22日更新发布《个人信息出境标准合同备案指南(第二版)》,对个人信息处理者需要提交的备案材料进行优化简化。2023年6月,北京德亿信数据有限公司与香港诺华诚信有限公司订立的个人信息出境标准合同通过北京市网信办备案,成为首个个人信息出境标准合同落地案例。截至2024年5月8日,各省、自治区、直辖市网信办共备案个人信息出境标准合同760余个,备案数量位于前列的为上海、北京、江苏、广东等地。

第三,建立实施个人信息保护认证制度。2022年11月4日,国家网信办联合市场监管总局制定发布《关于实施个人信息保护认证的公告》及其配套认证规则,明确对个人信息处理者开展个人信息出境活动进行认证的基本原则和具体要求,鼓励个人信息处理者通过认证方式提升个人信息保护能力。个人信息保护认证是国家推行的自愿性认证,按照市场化方式运作,由企业自愿申请,认证机构依据相关法律法规和标准规范,运用合格评定、持续监督等方法对个人信息处理者的个人信息保护能力进行综合评价。

第四,建立粤港澳大湾区数据跨境流动便利化机制。为推动粤港澳大湾区高质量发展,探索建立既便利数据流动又保障安全的机制,2023年6月29日,国家网信办与香港特区政府创新科技及工业局签订《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,同年12月10日联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,支持个人信息通过认证或者订立标准合同的方式跨境流动,免予申报数据出境安全评估,不含重要数据或者个人信息的一般数据在粤港澳大湾区内自由流动。签订并实施备忘录,是区域性数据跨境流动合作的一次有益尝试,也为后续开展多双边数据跨境合作交流积累了宝贵经验。

第五,坚持高水平对外开放,不断优化数据跨境流动安全管理制度。为进一步促进数据依法有序流动,激发数据要素价值,扩大高水平对外开放,国家网信办在认真总结数据出境安全管理实践经验、充分听取各方意见建议的基础上,于2024年3月22日出台实施《促进和规范数据跨境流动规定》(以下简称《规定》),对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境安全管理制度作出优化调整。一是明确可免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动情形。二是对需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动情形予以优化调整。三是延长了通过数据出境安全评估的结果有效期,由2年调整为3年。四是明确数据处理者应当依法依规进行重要数据识别、申报,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。五是明确自贸试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),自贸试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。近日,国家网信办会同国家数据局明确了自贸试验区负面清单备案工作机制和流程,中国(天津)自贸试验区成为首个通过负面清单备案的自贸试验区。

需要指出的是,符合《规定》所列相关情形的数据出境活动,免予的是申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等合规条件,而非“豁免”数据安全和个人信息保护法定义务,数据处理者仍应遵守《网络安全法》《数据安全法》《个人信息保护法》规定,履行建立健全数据安全管理制度、个人信息保护影响评估、告知并取得个人单独同意、采取技术措施和其他必要措施保障数据安全等法定义务。

坚持安全与发展并重,持续健全完善数据跨境流动安全管理体系

2023年中央经济工作会议提出,“必须坚持高质量发展和高水平安全良性互动,以高质量发展促进高水平安全,以高水平安全保障高质量发展,发展和安全要动态平衡、相得益彰”“对标国际高标准经贸规则,认真解决数据跨境流动、平等参与政府采购等问题”。下一步,国家网信办将深入贯彻落实习近平总书记重要指示精神和党中央决策部署,全面贯彻新发展理念,不断总结实践经验,持续健全完善数据跨境流动管理体系,促进数据跨境安全有序流动,助力数字经济蓬勃健康发展。

第一,抓好法规政策落地实施,构建与高质量发展相适应的数据出境安全管理制度体系。加强与各地和国务院各有关部门的协同联动,不断完善数据出境安全管理工作机制,推动数据出境安全管理各项制度有序实施、取得实效。做好数据出境安全管理法规政策宣传解读,充分利用多种方式、通过多种渠道宣传阐释数据出境安全管理法律、政策、制度、标准,推广数据出境安全管理实践中的好经验、好做法,增进各方理解认同,为经济高质量发展营造良好环境。发挥自贸试验区政策先行先试试验田作用,指导自贸试验区结合数据跨境流动实际研究制定负面清单,为自贸试验区企业创造更加便利的数据跨境流动条件。及时跟进数字经济发展需要,做好数据出境安全管理政策的动态调整优化。

第二,加强对外交流合作,构建与高水平开放相适应的数据跨境流动管理规则体系。深刻把握全球数字经济和国际数字贸易快速发展的大趋势,坚持高水平对外开放,积极对接《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)等国际高标准经贸规则。在联合国、世界贸易组织等框架下,积极参与数据跨境流动国际规则和标准的制定,助力数字经济全球化发展。积极开展多双边数字治理合作,按照平等互惠原则,探索与有关国家和地区就数据跨境流动建立特殊制度性安排,促进数据跨境安全有序流动。

第三,坚持统筹发展和安全,构建与新发展格局相适应的数据跨境流动安全保障体系。习近平总书记强调,“越开放越要重视安全,越要统筹好发展和安全”。坚持安全与发展并重,始终把保障数据安全和促进数据安全有序流动、促进数据开发利用作为数据出境安全管理工作的基本方向,加快建立健全与新发展格局相适宜的数据跨境流动安全监管模式,加强数据分类分级保护,强化数据出境安全监管技术能力建设和运用,指导企业提升数据出境合规能力,既保障数据安全,又促进流通应用,实现发展和安全动态平衡、相得益彰。

作者:胡啸系国家互联网信息办公室网络数据管理局局长。

来源:《中国网信》2024年第5期

声明:本文来自中国网信杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。