文 / 中国银河证券股份有限公司数据跨境课题组
随着各国对数据跨境流动意义和影响的认识日益深入,数据跨境流动逐步成为国家和地区间博弈的重要问题。基于国家安全、经济发展、产业能力等多方面的考量,各国确立了不同的数据跨境流动策略,并基于此加快构建自身的数据跨境流动规则体系。当前,以美国为首的西方国家将地缘政治作为数据跨境流动的重要考量因素,采取包括限制关键技术数据出口、对涉及的数据交易开展国家安全审查、禁止敏感数据向竞争对手流入等措施,加快对中国等战略竞争对手的数据封锁;同时,美欧等西方国家为抢占国际规则话语权,维护数字竞争优势,还积极与合作伙伴联合,推动构建全球数据跨境流动圈,进一步挤压竞争对手,所有这些给我国数据跨境流动规则和机制构建带来了极大的挑战。
在当前全球尚未建立统一数据跨境规则的情况下,我国正尝试通过签署双多边协议,畅通数据跨境传输通道,现已签署的数据跨境双多边协议还比较少,主要有RCEP协议涉及“电子方式跨境传输信息”规定,以及PCAOB和证监会签署的中美审计监管合作协议,但也只是原则上承诺,不能诉诸争端解决机制。同时,由于美欧等主要西方国家对数据的长臂管辖权范围不断扩大,以及我国受制于现行数据本地化政策的现状,导致以期通过协议打通与美欧的数据传输通道存在较大障碍,且还面临被“规则排除”的不利局面。为构建我国与主要贸易伙伴国之间合法、便捷的数据流动机制,降低数据处理者数据跨境合规成本及安全风险,建议尽快提出和推广数据跨境规制的“中国方案”,通过双多边协议畅通数据跨境传输通道。为此,我国一方面要加快构建数据跨境流动规则体系,建立健全数据出境安全评估、个人信息保护认证等制度,并通过试点探索数据跨境流动管理机制;另一方面要积极推广数据跨境流动,尤其是数据入境的解决方案,与合作伙伴建立共同的规则和制度安排,实现规则的趋同和互操作,推动数据安全、有序地跨境流动。
我国在数据入境方面所面临的问题主要集中在数据入境与境外数据出境要求的冲突上。目前境外的数据跨境流通法律规制主要分为以下三种:一是以数据本地化存储和以充分性原则为核心的“严格保护模式”,代表国家包括俄罗斯、印尼、越南、印度、欧盟等;二是以问责原则为核心的“宽松保护模式”,以美国为代表;三是以利益均衡为导向的“折衷保护模式”代表国家包括澳大利亚、中国香港、日本、新加坡等。需要注意的是,这三种模式是相对的而不是绝对的,在个人信息及隐私保护范畴内,境外数据流动均有严格限制。
在研究境外国家和地区数据跨境流动的主要法律法规基础上,对不同模式下的境外数据入境场景进行应对。
严格保护模式下的数据入境
严格数据保护模式下的主要代表国家主要为欧盟。欧盟将个人信息保护视为一项基本权利,一直坚持高标准保护个人信息。在消除境内数据自由流动壁垒、建立统一数据保护标准的同时,欧盟要求其他国家只有在提供与欧盟同等水平保护的情况下,才允许个人信息跨境向其进行传输。
1.数据本地化存储
对于关键数据的存储、处理及使用均要求在数据所属国境内进行,无法实现数据入境。如,印尼《关于提供系统和电子交易的监管条例》要求涉及公共服务的经营者应将数据中心设置在境内,互联网提供商必须使用本地IP号码并在境内存储数据。越南2022年的《网络安全法》也要求将有关医疗保健、社会保障、保险、金融及电信等特定类型的数据在本地存储。此外,印度中央银行也强势推进支付数据本地化。2018年4月,印度要求所有支付系统提供商应确保其系统运营相关的全部数据,包括端到端交易的完整详细信息,存储在印度境内的系统中,以便印度中央银行可以“不受限制地监管访问这些系统提供商存储的数据,以及他们的服务提供商/中介机构/第三方供应商和支付生态系统中其他实体存储的数据”。
对于重要数据的存储、处理要求在数据所属国境内实施,但允许在境外使用,对这类数据只能进行跨境访问。如,俄罗斯在2015年的《个人数据保护法》中规定,对于俄罗斯公民个人信息数据的存储、处理只能存储于俄境内数据库中,同时要求数据供应商就相关数据至少保留12小时,以便为俄罗斯联邦安全局提供数据资料。
对于一般数据仅须在数据所属国境内存储,对于数据处理及使用地点则未作要求,对这类数据是可以进行跨境处理与使用的。如,俄罗斯2015年生效的第242-FZ联邦法要求所有境外法人须在俄境内的服务器中存储收集到的数据,但并未对存储后的处理、访问等行为地点限制。因此,对诸如俄罗斯等采用以数据本地化存储为基准的国家数据入境,由于采用严格的数据本地存储政策。较难获取数据来源国的数据的入境。我们可以通过双边或区域组织(如“一带一路”等)多边谈判的方式解决数据跨境输入的问题。
2.采用充分性原则
“充分性认定”是欧盟《一般数据保护条例》(GDPR)确立的主要数据跨境传输机制的依据。欧盟委员会综合考虑数据保护立法、执法能力、救济机制、国际参与等因素,对欧盟以外国家或地区数据保护的充分性进行评估,将与欧盟保护水平相当的国家或地区列入“白名单”,允许欧盟个人信息向上述国家或地区传输。
对于没有获得欧盟充分性认定的国家或地区,数据控制者或处理者在提供了适当保障措施,并且满足数据主体能行使权利、能获得有效法律救济的条件时,欧盟可将个人信息向上述国家或地区传输。GDPR规定的适当保障措施主要包括:约束性公司规则(Binding Corporate Rules,BCR)、标准合同条款(Standard Contractual Clause,SCC)、行为准则(Codes of conduct,CoC)与认证机制(Certification)。
由于目前我国还没有纳入欧盟数据跨境流动“白名单”,与欧盟之间目前还无法保证数据跨境的自由流动。这一方面需要我们提高国内跨境数据保护和安全水平,另一方面就数据跨境流动问题积极与欧盟进行谈判,争取早日达成相关协议。
宽松保护模式下的数据入境
美国以及以美国为主导的USMAC体现的是内流特点,美国在与其他经济体签订的双边或者多边贸易协议中一直强调有限例外原则,旨在推动数据跨境自由流动,将全球数据流向美国境内,从而利用自身技术市场优势实现数据跨境流动的经济利益最大化。
虽然美国在国际多双边协定中表现出数据跨境自由化理念,但随着美国单边主义的推行,美国开始从数据跨境多边治理逐渐转型为单边限制,以国家安全为由对关键数据作出严格跨境限制。美国通过发布《外国投资风险审查现代化法案》的实施细则,将关键数据等均纳入国家安全审查范围,将受到管控的数据进行本地化储存。同时,美国通过《澄清域外合法使用数据法案》扩张本国数据主权,苛刻地限制他国对储存在美国数据的提取。因此,时下的美国一方面对关键数据采取严格的限制,另一方面对非关键商业数据依然秉持自由化理念。但美国在国际层面表现更为强势,积极通过多双边协议以破除他国数据本地化市场壁垒。事实上,美国通过与他国缔结多双边协定,亦使得缔约国成为美国对数据跨境治理理念的推广者,以将美国的政策主张融入其他新达成的国际协定中。
对以美国为代表的采用以问责原则为核心的“宽松保护模式”的国家数据入境,我们对一般数据可以较方便地跨境获取,但由于美国采用强制约束力的隐私保护计划,对关键数据还是很难获得。因此,需要我们更需积极参与或推动国际协定中数据跨境制度的达成,从而影响并主导数据跨境国际规则发展,以争取数据跨境流动的主动权。
折衷保护模式下的数据入境
对澳大利亚、中国香港、日本、新加坡等采用以利益均衡为导向的“折衷保护模式”的国家数据入境,围绕着数据分类分级、保障数据安全的目标,对关键数据、重要数据以及一般数据的跨境流动设置了不同标准,采取强制性规定与推荐性指南相结合的管理方式,兼顾了数据安全与自由流动的平衡,并与国际实践相协调。这种模式下,一般并不禁止一般数据的跨境流动,但涉及重要数据和关键数据,原则上必须由本地的数据中心来存储和处理,数据跨境需要通过政府数据跨境安全风险评估才可,因此很难实现重要数据和关键数据的入境。所以,要获得重要数据及关键数据的入境,应通过双边或区域组织多边谈判的方式,在区域性范围内实现数据共享及数据的双向流动。
中国银河证券数据跨境课题组主要成员有向仕建、王作敬、杨光、孙锐、王超、谭文希等
(此文刊发于《金融电子化》2024年7月下半月刊)
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
