编者按
关于我国数据跨境流动监管体制变革的系列文章:
今天和大家分享的是公号君发表在《中国网信》2024年第2期的一篇文章。
数据跨境流动是全球数据治理的关键议题,主要国家和地区均对数据跨境流动安全给予高度关注,纷纷从保障安全角度出台法律政策和监管工具,例如,欧盟《通用数据保护条例》(GDPR)从法律层面要求个人数据流出欧盟的前提是保障“对自然人的保护水平不会降低”,俄罗斯、印度等国家则要求相关数据必须在遵守本地化要求的前提下有条件出境。与此同时,随着信息技术以及数字经济全球化迅猛发展,客观上决定了数据作为一种生产要素,其跨境流动需求必然会不断增长。数据跨境流动管理一方面必须实现维护国家安全、社会公共利益和个人信息权益,另一方面也必须满足经济社会发展的需要。
2022年7月,国家互联网信息办公室发布《数据出境安全评估办法》;2022年11月,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》;2023年2月,国家互联网信息办公室发布《个人信息出境标准合同办法》……至此,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等规定的数据出境安全评估、个人信息出境标准合同、个人信息保护认证等三条数据出境合规路径初步建立,我国数据出境安全管理制度体系基本形成。
我国数据出境安全管理制度的基本逻辑
回顾我国数据出境安全管理制度的立法进程,其制度设计聚焦客观风险并借鉴国外相关成熟实践。例如,个人信息在出境场景下的安全保护,其基本目标是在个人信息流出国境后持续保障个人信息安全。与个人信息仅在境内向他人提供相比,向境外提供个人信息产生了四个方面的风险变化:一是个人信息被境外主体所处理,境外主体的安全保护能力和提供的安全保护水平可能出现“落差”;二是个人信息在境外适用的法律法规与国内不同,可能会带来安全要求相互冲突的情况;三是境内的各监管部门无法对接收个人信息的境外主体实施监督;四是个人信息可能在境外被滥用进而危害我国国家、组织、个人的合法利益。因此,国内外保障个人信息出境安全的主要制度设计基本着力于上述四个方面。
就相关实践已经落地实施较长时间的欧盟来说,其《通用数据保护条例》在95指令的基础上,进一步固定并更新了个人数据出境的安全保护制度。首先,看标准格式合同条款(standard contract clause,SCC)。SCC固定了数据出境后受到的保护原则(也就决定了保护水平),同时SCC还通过法律责任划分的形式,将主要责任确定在了境内组织,给境内监管机构追究责任提供了便利。当然,境内主体可以通过合同的形式转而继续追究境外主体的责任。SCC还在合同中规定了个人数据主体可以基于合同拥有一些特定的权利。其次,看有约束力的公司准则(binding corporate rules,BCR)。BCR需要境内监管机构的认可,这就意味着境内监管机构需要认可BCR所提供的数据保护水平,如果有一家跨国分公司所在国家的保护水平较低,则该分公司还需要遵守BCR,根据BCR规定的原则提供数据保护。公司在提交BCR申请时,需要确定主申报国家。一旦主申报国家确定,则公司在该国的公司主体就要承担有关数据出境的所有法律责任—即监管机构、个人数据主体,均可通过境内的公司主体来追究法律责任。最后,看充分性认定。对某个国家或地区进行充分性认定,就意味着对该国家或地区法律法规的认可;意味着认可该国家或地区监管机构对数据保护的执法力度;也意味着对个人行使权利便利程度的认可。从上述角度来看,单纯依赖个人同意作为个人数据出境的条件,无法“补齐”数据出境带来的四个变化。所以从国际上来看,个人同意普遍不是个人信息出境的先决条件。在实践中,如果将个人同意作为个人信息出境的条件,主要场景是偶发、单次、数量较少,且其他出境制度(如标准格式合同条款、有约束力的公司准则、充分性认定等)均不适用的情况。
我国数据出境安全管理制度体系也同样关注这些风险,参考国际既有先进实践,努力平衡安全与发展。
首先,我国并非将所有数据跨境流动纳入监管范畴,而是仅针对重要数据和个人信息;对于非重要数据且非个人信息的一般数据,可以自由跨境流动。究其原因,还是因为重要数据和个人信息所指向的国家安全、社会公共利益和个人信息权益,需要公权力的额外保护,不能完全依赖私营部门所常用的民商事法律手段。其次,由于重要数据和一定规模的个人信息一旦发生安全事件,所导致的影响或结果不仅关乎具体个人或组织,更涉及国家安全和社会公共利益。因此,需要公权力提前介入,通过组织开展数据出境安全评估预判安全风险,并根据评估结果提出和实施增强性安全措施。在此方面,《数据出境安全评估办法》及相关配套文件对数据出境安全评估落地提供了具体规则。实践表明,并不是涉及重要数据和一定规模的个人信息一律不得出境,经评估不会影响国家安全和社会公共利益的、不会减损个人合法权益的数据就可以出境。对于未达到一定规模的个人信息跨境流动,我国设计了两条自主性较强的路径。一是个人信息出境标准合同。以创设合同义务为抓手,确保个人信息跨境流动安全,构筑了基于标准合同出境的个人信息保护的最低约束条件。二是个人信息保护认证。在此方面,《关于实施个人信息保护认证的公告》《个人信息保护认证实施规则》《信息安全技术 个人信息跨境传输认证要求(征求意见稿)》等共同对个人信息保护认证如何实施提供了具体操作指南。上述两项制度设计参考借鉴了欧盟《通用数据保护条例》中“有约束力的公司准则”、亚太经合组织(APEC)的跨境隐私保护规则(CBPRs),以及欧盟和东盟的数据跨境标准合同体系。
我国数据出境安全管理制度持续优化
2023年6月29日,国家互联网信息办公室与香港特区政府创新科技及工业局(香港创科局)签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》(以下简称“备忘录”),在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动。2023年12月10日,为落实备忘录关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“大湾区标准合同”)。
总的来说,大湾区标准合同存在以下鲜明特点:一是在“一国两制”方针下实现两地个人信息保护制度充分衔接问题,在不需要两地进行个人信息保护制度调整的前提下,保障个人信息跨粤港澳大湾区双向自由流动;二是两地政府在各自个人信息保护制度实施层面进行监管模式创新,大湾区标准合同实际上豁免了个人信息从粤港澳大湾区内内地向香港流动的数据出境安全评估要求,个人信息处理者和接收方通过签订合同自愿承诺提升个人信息保护水平,并通过执法合作和诉讼等特别安排确保个人信息主体权利得到充分保障。
除了针对粤港澳大湾区的举措之外,国家互联网信息办公室还于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“规定”)。在总结数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度实施过程中获得经验的基础上,规定集中调整了上述制度所适配的数据出境情形。从目前公布的文本来看,首先,规定明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。其次,规定扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围,很大程度上提高了数据出境的便利化程度。再次,规定支持自贸试验区制定数据出境管理负面清单,探索便利化数据跨境流动管理机制。这些方面突出体现了我国持续优化数据出境制度、推进高水平对外开放的决心。
对我国数据出境安全管理制度的评价
经规定调优过后的数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境合规路径,从数据跨境流动安全风险出发,在监管手段方面进行了多层次设计,能够满足组织或个人因业务目的向境外提供数据的需求,是我国深化开放合作、统筹安全和发展的重要举措。
**保障数据所指向的法益为先。**个人信息出境标准合同和个人信息保护认证两项制度均聚焦保护个人合法权益,高度关注个人信息主体权益保护,重点在于确保境外接收方处理个人信息的活动达到与中国一致的个人信息保护标准,并梳理了个人信息处理者、境外接收方等各方实体的权利义务,将技术措施、管理制度等要求落地到可举证、可追责的程度,确保个人信息出境后个人信息主体权益依然受到保护。数据出境安全评估侧重于国家安全和社会公共利益,体现在组织数据处理者自评估,叠加国家网信部门组织开展的安全评估的制度设计上,通过双重评估确保出境数据安全。
**促进数字经济健康发展。**数字经济是中国也是全球经济发展的重要战略侧重点和大趋势。随着云计算、人工智能、大数据等技术的不断发展,数字经济成为中国经济的重要支柱之一。2022年,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,提出“构建数据安全合规有序跨境流通机制”“坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。三条主要路径供不同类型、不同规模的组织或个人所选用,能够很好地回应需求,一方面为组织或个人跨境业务合作提供法治保障,另一方面推动促进数据自由流动和数字经济发展。
**体现对外友好开放态度。**中国是世界上最大的互联网使用国家之一,也是数字经济发展最为迅速的国家之一,更是拥有网民数量第一的国家。三条主要路径的实施,体现了中国对数字经济的重视和对数据安全保护的关注,也表明了中国对外友好开放的态度。三条主要路径在设计时详细参考和借鉴既有国际实践,有利于促进全球数据安全保护标准的协调性和一致性,有助于增强国际社会对中国数字经济发展的信心和认可,有益于推动中国在数字经济领域的国际合作和交流。相信在未来,我国数据出境安全管理制度还会不断更新完善,以适应不断变化的经济发展模式和国际合作需要。但无论如何,保障数据安全,促进数据发展,是中国数据治理的核心要义,是数据出境安全管理始终不变的宗旨。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过400人。关于DPO社群和沙龙更多的情况如下:
DPO线下沙龙的实录见:
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
网络空间的国际法适用问题系列文章:
《网络数据安全管理条例(征求意见稿)》系列文章:
《数据安全法》的相关文章包括:
赴美上市的网络、数据安全方面的两国监管乃至冲突方:
个性化广告或行为定向广告(behavioral targeting advertising)系列的文章:
内容安全方面的文章如下:
关于健康医疗数据方面的文章有:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
数字贸易专题系列:
关于中国数据出境安全管理制度的文章
美国方面的个人信息保护立法的文章:
关于印度的数据保护和数据治理政策和技术文件的文章有:
关于数据的安全、个人信息保护、不正当竞争等方面的重大案例:
围绕供应链安全,本公众号曾发表文章:
围绕着出口管制,本公众号曾发表文章:
本公号发表过的关于数据执法跨境调取的相关文章:
通过技术增强对个人信息的保护的文章包括:
关于保护网络和信息系统安全的相关文章包括:
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
地缘政治与跨国科技公司运营之间的互动影响:
关于个人信息安全影响评估的文章如下:
关于我国《个人信息保护法》相关文章包括:
关于业务场景中数据跨境流动的文章如下:
[盟-美国数据隐私框架”充分性决定草案(全文中译本)](http://mp.weixin.qq.com/s?__biz=MzIxODM0NDU4MQ==&mid=2247497575&idx=1&sn=d171ad4002ce54b744cc9c9a84c3457d&chksm=97e94a8da09ec39bb4fd005d1276aa87bc2a09eb59efd16c3eab5acfc59797404e89329df8de&scene=21#wechat_redirect)
关于数据要素治理的文章有:
人脸识别系列文章:
针对审计在数据安全、个人信息保护、A安全的作用与落地实操,本公众号发布过的文章:
针对已公开数据的个人信息保护研究,本公号发表过以下文章
关于中国的网络安全审查制度,本公号发表过的文章:
关于域外在数据、电信、外国投资方面所建立的国家安全相关的审查机制,本公号发布过以下文章:
美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)
人工智能安全和可信赖方面的文章:
关于我国人工智能算法监管的文章:
关于LLMs(大型语言模型)的风险和监管,本公号发布过以下文章:
关于AI与标准化工作,本公号发表的文章:
关于欧盟的人工智能监管方面的立法、政策和实践方面的文章:
关于欧盟技术主权相关举措的翻译和分析:
针对美国的人工智能监管政策发展,本公众号发表过如下文章: