作者: 陈兵 杨鎏林
[ 作为数据出境安全评估的重要价值目标之一,《征求意见稿》第3条明确指出“保障数据依法有序自由流动”,然而,数据流动本身便意味着风险存在,在促进数据自由流动的同时,也应妥善应对和防范数据出境安全风险,实现数据流动与数据保护的平衡。故立足于我国数据出境流动治理的现实情况,建议多措并举保障数据出境安全,维护我国在全球数据经济活动中的合法权益。 ]
随着国际数字贸易的飞速发展,数据跨境流动成为各国和地区数据信息交流和经贸往来的重要形式和通路。数据跨境流动的爆炸式增长在促进国际数字贸易繁荣的同时,也对个人信息安全、数据产业发展甚至国家数据安全带来了挑战,诸如个人信息泄露、商业数据违规披露、国家数据主权冲突等层见叠出,如何规范数据出境活动,促进数据跨境安全、自由流动,维护个人信息权益、国家安全和社会公共利益成为社会各界关注的热点与难点。
数据出境合规体系更加完善
10月29日,国家互联网信息办公室(下称“网信办”)就《数据出境安全评估办法(征求意见稿)》(下称《征求意见稿》)向社会公开征求意见。《征求意见稿》共十八条,内容囊括了数据处理者应当申报数据出境安全评估的具体情形、申报数据出境安全评估应当提交的材料、数据处理者风险自评估与监管部门安全评估、数据处理者与境外接收方订立合同要求、数据出境安全评估主管部门、重新申报评估情形以及相关法律责任等,对数据出境安全评估提供了明确的规则指引。
在《征求意见稿》)发布前,《中华人民共和国网络安全法》(下称《网络安全法》)《中华人民共和国数据安全法》(下称《数据安全法》)和《中华人民共和国个人信息保护法》(下称《个人信息保护法》)从法律层面建立了数据出境合规机制,构建了科学系统的网络空间数据出境合规法律体系。
具体而言,《网络安全法》第37条规定了关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据原则上应当遵循本地化储存原则,确需进行跨境传输时应当履行数据出境安全评估义务。
《数据安全法》第30条和第31条规定了重要数据处理者的风险评估义务,以及关键信息基础设施运营者和其他数据处理者在我国境内运营中收集和产生的重要数据的数据出境安全评估义务。
《个人信息保护法》第36条和第40条规定了国家机关处理的个人信息在向境外提供时,应当进行安全评估,以及关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者,在向境外提供个人信息时,应当进行安全评估。然而,上述法律并未对数据出境评估规范进行细化规定,导致实践中对数据出境进行安全评估时缺乏具体实施规则,不利于依法规范开展数据出境安全评估,维护个人信息权益、国家安全和社会公共利益。
本次《征求意见稿》在遵循上述法律基本要求的前提下,对数据出境安全评估规范进行了细致的规定。《征求意见稿》第2条明确规定:数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。
在适用对象上,《征求意见稿》并未采用《网络安全法》《数据安全法》《个人信息保护法》有关“关键信息基础设施运营者”“重要数据处理者”“其他数据处理者”的表述,而是统一采用“数据处理者”,在适用对象上更具广泛性和包容性。当然,也存在与现有法律如何衔接的问题,可能会引发对“数据处理者”这一概念的不同理解,不利于对数据出境活动中负有核心义务的数据处理者做规范化、系统化及法治化的认定。
《征求意见稿》重要内容解析
一是坚持事前评估和持续监督相结合、风险自评估与安全评估相结合。《征求意见稿》第3条明确指出“数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”,对数据出境评估流程进行了清晰的制度构建。其中,事前评估具体体现为风险自评估与安全评估制度,通过数据处理者对风险自评估与监管部门所做的外部安全评估,可及时发现并预判数据出境可能存在的潜在风险或已知风险,及时采取措施化解风险,降低数据泄露对个人信息权益、社会公共利益和国家利益的影响。
持续监督具体体现为数据出境评估结果有效期制度,根据《征求意见稿》第12条,数据出境评估结果有效期两年,如在有效期内出现本条规定的特定情形,数据处理者需要向监管部门重新申报数据出境安全评估。通过事前评估与持续监督“双管齐下”,《征求意见稿》建立了全流程、全链条、全周期的数据出境风险防范与化解机制,有助于灵活高效应对数据跨境流动中可能存在的治理难题,提升数据出境安全评估治理效能。
二是明确应当申报数据出境安全评估的具体情形。《征求意见稿》第4条明晰了数据处理者应当申报数据出境安全评估的具体情形,内容涵盖关键信息基础设施运营者、重要数据处理者、处理个人信息达到规定数量的个人信息处理者以及其他数据处理者等,并将规定数量确定为“处理个人信息达到一百万人”或“累计向境外提供超过十万人以上或者一万人以上敏感个人信息”。该规定立足个人信息跨境流动的客观风险来源与我国个人信息保护制度的具体要求,契合实践中对个人数据(信息)跨境流动风险防范的现实需求。当然,如该条得以施行,仍需遵循《网络安全法》《数据安全法》《个人信息保护法》等上位法的规范,维护法律法规间的统一性与系统性。
三是明确规定数据出境安全自评估与数据出境安全评估。《征求意见稿》规定了数据处理者向境外提供数据满足规定情形时的两类评估义务,即数据出境安全自评估与监管部门数据出境安全评估。第5条明确规定了数据出境风险自评估的具体事项,有助于数据处理者全面分析和预测数据安全风险,形成系统的数据出境风险自评估报告,为监管部门进行数据安全评估提供参考,形成政府与企业数据出境安全评估交流的互动机制。第8条对监管部门数据出境安全评估的事项进行了细化规定,填补了《网络安全法》《数据安全法》《个人信息保护法》对数据出境安全评估事项的规定空白。且第8条规定的数据出境安全评估事项在范围上大于第5条数据出境风险自评估事项,这将对监管部门全方位审查数据出境活动的安全风险程度以及数据处理者相应安全保障措施的适当性,提供更加全面客观的指南。
四是要求数据处理者与境外接收方订立合同应当充分约定数据安全保护责任。境外数据接收方的技术安全能力,处理数据的用途、方式,以及出境数据是否会再转移等因素,均会影响数据保护水平,对数据跨境流动安全产生挑战。故在与境外接受方订立合同时,充分约定数据安全保护责任,是强化境外接收方按照我国法律履行数据安全保护义务的重要保障,有助于提供具有约束力的行权条款和争议解决条款,在境外接收方出现违约情形时,便于我国数据出境企业和权益受损的个人依法进行维权。
同时,数据安全保护责任也是监管部门数据出境安全评估以及重新申报数据出境安全评估的重要内容或影响因素,随着《征求意见稿》对境外接收方数据安全保护责任的规定,数据出境安全将迎来更加系统的安全保障体系,在日趋激烈的国际数据争夺战中,为维护我国数据主权、安全和发展利益提供强有力的法治保障作用。
五是明确重新申报数据出境安全评估的情形。实践中数据出境安全保护环境复杂多变,譬如,数据出境目的、方式、范围变化,境外接受方改变数据用途、使用方式,境外接收方所在国家或地区法律环境变化,数据出境合同变更等因素,均会从实质上改变数据出境安全环境。根据《征求意见稿》第20条对重新申报数据出境安全评估的规定,数据出境评估结果有效期两年,除非出现本条规定的特定情形,否则无需重新申报数据出境安全评估。作为数据出境评估结果有效期制度的重要组成部分,重新申报规定在保持数据出境安全稳定性的同时,有助于灵活应对数据出境安全保护环境变化,实现全场景、全链条、全周期防范数据出境安全风险。
保障数据出境安全需多措并举
数据的价值在于流动,只有在持续高质量的流动中才能充分发挥和挖掘数据价值,最大效能释放数据红利。作为数据出境安全评估的重要价值目标之一,《征求意见稿》第3条明确指出“保障数据依法有序自由流动”,然而,数据流动本身便意味着风险存在,在促进数据自由流动的同时,也应妥善应对和防范数据出境安全风险,实现数据流动与数据保护的平衡。故立足于我国数据出境流动治理的现实情况,建议多措并举保障数据出境安全,维护我国在全球数据经济活动中的合法权益。
第一,在制度建构层面,根据《数据安全法》《信息安全技术数据出境安全评估指南(征求意见稿)》等法律、国家标准的规定,尽快建立数据分类分级制度。根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。对不同安全层级的数据采取不同层次的保护水平,降低数据出境对国家安全、社会公共利益的影响,最大限度避免数据安全事件的发生。
第二,在国际合作层面,加强我国在数据跨境流动治理领域的国际合作。一方面,加紧推进国际合作渠道尤其是区域性合作渠道的建立,9月16日,中国正式申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP),CPTPP针对互联网规则和数字经济设定了较高标准,其中涉及数据跨境流动与数据本地化存储等问题,在正式加入后可能成为沟通我国与世界各国数据合作的纽带;另一方面,可以尝试将国际协定与国内治理进行衔接,率先与已经构建起良好协作关系的国家或地区进行数据跨境流通的先行先试,逐渐推动国内治理机制与国际规则的双向交互发展。
第三,在监管层面,完善数据跨境流动行业监管体系,建立数据安全监管平台。当前,数据安全风险更多地来源于数据运行周期的不可控性,数据安全风险存在于数据收集、存储、分析、加工、共享到销毁的每一环节。故有必要借助数据交易中心的建设,建立数据安全监管平台,做到对数据跨境流动全周期监控和实时预警,维护市场交易稳定与安全,推动数据市场健康发展。
第四,在行业自律和企业合规层面,切实发挥行业协会与企业的积极性与能动性,减轻政府对数据跨境流动风险审查的压力。在行业自律方面,应充分发挥行业协会自身优势,积极参与到维护数据安全、促进数据竞争的治理中,推动建立行业内部惩戒机制、健全行业自律规则、完善数据跨境流动规范,形成公平有序、开放竞争、安全可靠的数据跨境流动治理行业标准。
在企业合规方面,除积极引导企业开展合规工作外,还应建设企业合规的新工具,譬如,构建企业资质认证制度,对企业的数据保护能力及专门从事数据跨境传递业务的水平等资质进行考核评定,做好事前资质审查,避免等待审查、重复审查的情况出现。同时,针对数据出境不可逆的特性,企业应充分重视境外合规工作,通过加强与高校、科研机构的深入合作,准确把握境外接收方所在国家或者地区的数据治理法律制度,灵活应对域外法律环境的变化,采取有效措施避免或降低域外相应制度对我国数据利益的不当影响。
(陈兵系南开大学法学院教授、司法与社会研究中心主任,杨鎏林系南开大学法学院硕士)
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)