上班了,網信辦數據跨境流動新政的重要信號,接收到了嗎?
|小貝案語|
■ “念負重於春冰,懷御奔於秋駕”,這句詩常常用來形容加班的辛苦。今天節后第一天上班,很適合送給數據安全行業的同仁們。因為咱們國家網信辦最近又留作業了,而且依然延續以前的風格,要么是半夜,要么是節前的最后一天。這次又是在中秋國慶雙節前發布了《規范和促進數據跨境流動規定(征求意見稿)》(以下簡稱《規定》)。得!大家的“御奔”都牽回來吧。
但這個作業做的值!《規定》雖然只是個征求意見稿,情況卻有些特殊,因為它的信息量太大了,大到可能會對今后一些涉及數據的工作產生深遠影響。特別是,這個文件發布于數據跨境流動安全管理制度實施的關鍵時刻。時逢政策環境變化迅速,很多問題通過這個文件得到了澄清。
老規矩,小貝說安全本次還是采取問答的形式進行解讀,我們走起。
一、如何看待《規定》的發布時機?何如看待《規定》的定位?
來吧,先說背景。《規定》發布于我國數據出境安全評估制度正式實施的1年后。這個時候發布《規定》,充分體現了數據流動與經濟發展的關系。信息流引領技術流、資金流、人才流、物資流,沒有數據的流動就沒有經濟社會的發展。跨境數據流動更是如此,其直接支撐了跨國貿易。可以這么說,數據跨境流動看似是個技術問題,實質上是個貿易問題,是經濟發展問題(當然,從另一層面說,也是國家安全問題),所以這個問題帶有全局性。
我國于2022年9月1日起實施《數據出境安全評估辦法》,并隨后發布了關于個人信息保護的認證文件和個人信息出境標準合同模板,即《網絡安全法》《數據安全法》和《個人信息保護法》這三部法律共同建立的數據跨境流動安全管理政策已全面落地。
一段時間以來,這項制度對規范數據出境、提升全社會數據安全合規意識發揮了顯著作用,數據無序出境的趨勢得到了遏制,但也存在著細則不明確、執行標準不一致不透明等問題。此外,巨大的數據出境需求和監管部門有限的行政資源之間構成了突出矛盾。這導致某些企業的業務受到了不同程度的影響,甚至產生了一些對中國營商環境的質疑,國外對此也有一些炒作。
對于上述情況,我國政府是非常重視的。一個月之內,李強總理兩次表態,要求探索跨境數據管理新模式,國務院也印發了《關于進一步優化外商投資環境 加大吸引外商投資力度的意見》,提出“探索便利化的數據跨境流動安全管理機制”。
《規定》便是對上述形勢的回應。《規定》最后一條指出,《數據出境安全評估辦法》《個人信息出境標準合同辦法》等相關規定與本規定不一致的,按照本規定執行。這時,可能有人會認為,中國的數據跨境流動安全管理制度做了比較大的調整。但實際上,本次的《規定》沒有變更我國的數據跨境流動安全管理制度,而是主要對既有政策做了澄清,在個別處對既有政策作了細化,這是《規定》的實質。
這種澄清與細化是操作層面的,但極為重要,它使得很多數據出境行為豁免于評估或通過認證、簽訂標準合同,從而極大便利了數據出境,對經濟發展是重大利好。
二、《規定》第一條是否調整了原有政策?
這一條的象征意義大于實際意義。我國數據跨境流動安全管理制度的本質就是只規范個人信息和重要數據,如果既不是個人信息也不是重要數據,當然不用受這一制度的約束。故《規定》的第一條并無任何新增信息量,其目的在于重申了我國數據跨境流動安全管理制度的規范對象,厘清了很多人對于這一制度的誤解(自始至終,我國數據跨境流動安全管理制度只管重要數據和個人信息)。至于“國際貿易、學術合作、跨國生產制造和市場營銷等活動”云云,也無實際意義,因為所有的活動都是這樣的。這么寫主要是為了表態,說明我國的數據跨境流動安全管理制度支持國際貿易、學術合作、跨國生產制造和市場營銷等活動。
我們推測,有可能是文件或領導同志講話中對這些活動特別提及,故此處予以強調,以表明我國的開放態度。
三、怎么理解《規定》第二條?
第二條非常短,卻石破天驚。因為其背后涉及的是重要數據的識別流程,而這一問題此前從未在公開場合進行過討論。該條的走向,極有可能對今后的工作產生重大影響。
眾所周知,我國通過《數據安全法》等法律法規,正在構建重要數據保護制度。無論是數據跨境流動安全管理,還是網絡安全審查、數據安全評估等,都繞不開“重要數據”。這是監管的重點,重要數據處理者需履行十分繁重的法律義務。
那么,怎么確定重要數據處理者呢?對此類問題,有兩個制度可以參考。
一個是國家秘密的確定。根據《保守國家秘密法》第十四條,機關、單位對所產生的國家秘密事項,應當按照國家秘密及其密級的具體范圍的規定確定密級,同時確定保密期限和知悉范圍。同時第二十條也規定,機關、單位對是否屬于國家秘密或者屬于何種密級不明確或者有爭議的,由國家保密行政管理部門或者省、自治區、直轄市保密行政管理部門確定。很顯然,這是各單位自主確定國家秘密,但主管部門可以調整。。
另一個是關鍵信息基礎設施的確定。根據《關鍵信息基礎設施安全保護條例》第十條,保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,并通報國務院公安部門。即,關鍵信息基礎設施不能由各單位自己說了算,而是由主管監管部門確定。因此在實踐中,一個單位如果沒有被通知是關鍵信息基礎設施運營者,那它就不是,由此便不必承擔關鍵信息基礎設施運營者的義務。
那么問題來了,重要數據的識別由誰負責呢?是采用以上的第一種還是第二種?理論上,重要數據和國家秘密信息有很大的相似性,理應采用第一種。但與國家秘密信息不同的是,重要數據廣泛分布于商業領域,天然脫離國家的管控,所以需要在第一種方法的基礎上,加以政府的強管控手段。即,重要數據的識別的流程應當是自主識別+政府審定。
但《規定》第二條卻指出,未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。這實際上是說,是否屬于重要數據,要由相關部門、地區告知。這一思路完全采用了上述第二種方法,即官方指定。
但這種方法在理論上面臨挑戰。關鍵信息基礎設施總計有多少?重要數據又有多少?關鍵信息基礎設施基礎設施可以靠主管部門“先知先覺”且“運籌帷幄”,但重要數據是自上而下能搞清楚的嗎?時至今日,有哪個行業或地方的重要數據識別指南是清單制的?不都是需要數據處理者根據非常原則性的標準去研判嗎?
就安全工作而言,評價一個制度的實施效果,關鍵要看其能否應對主要威脅。
我們為什么要建立數據跨境流動安全管理制度?首要的目的是為了維護國家安全。但重要數據和個人信息,誰對國家安全的影響大呢?
答案不言而喻。
所以在數據跨境流動安全管理制度的實施中不能只聚焦于個人信息。但從目前的實踐看,企業申報的基本都是個人信息出境,重要數據基本不提。這固然有重要數據識別規則不明確的因素在,但解決方法不能是“撤退”。按照《規定》第二條的辦法,至少很長一段時間內不會有重要數據的出境申報,這顯然不合理。
但我們認為,國家網信部門在征求意見稿中如此規定,可能有其不得已的苦衷。
根據《數據安全法》,建立重要數據目錄的職責并不在國家網信辦。亦即,國家網信辦牽頭實施的數據跨境流動安全管理制度,要去管重要數據;但重要數據的識別又不歸國家網信辦管,甚至國家網信部門可能并不知道各單位的重要數據識別結果。這就尷尬了。
因此,《規定》第二條雖然不盡合理,但卻反映出了我國數據安全工作中的一個深層次挑戰。鑒于重要數據的影響絕不限于數據跨境流動安全管理,這個問題宜早日解決。
四、《規定》第三條的意思是說,外面進來的數據再出去時不屬于監管對象嗎?
《規定》第三條的澄清非常有意義。當年在研究數據出境的定義時,專家們就曾經提到過兩種特殊情況。
一種是境內的數據沒有流出境外,但是被境外人士在境內訪問到了,這算數據出境。另一種是境外來的數據在境內處理又流出境外,這不算數據出境。第二種情況對應于《規定》的第三條,這在外包服務中比較普遍,很多外貿企業在從事這類業務。
既然不算數據出境,當然就不必受數據跨境流動安全管理制度的約束。但此前尚未有正式文件對此進行確認,所以《規定》要進行強調,這也是大力支持來自海外的信息技術服務外包業務之舉。
但在實踐中,問題往往不是這么簡單。從境外來的數據,真的就是在原封不動出去嗎?如果數據僅僅是做一次跨國旅行,那有什么意義呢?很多情況下,這些數據是要在境內進行處理的。既然如此,就會產生兩個問題:
一是,這些數據的處理,是否需要境內數據的參與?如果需要,就不能簡單地認為這不是數據出境。
二是,這些數據的處理,是否涉及敏感的數據處理技術?如果數據本身沒什么,但是加工后的數據能夠反映出我們某項敏感技術的狀況,這當然也要進行保護。典型的是,境外的原始視頻數據委托國內處理,高清晰的畫質可能是軍用級視頻處理技術應用的結果,那么數據處理結果顯然不能輕易出境。
所以實踐中落實《規定》第三條時,也依然需要進行自評估,以判斷境外數據在境內的處理情況。當然,如果的確屬于“不是在境內收集產生的個人信息”,即未進行任何處理,那當然可以直接出境。
五、《規定》第四條對部分個人信息做了豁免,這符合上位法的規定嗎?
一些人認為《規定》第四條的豁免條件以前沒有,這是對原有制度的重大調整。其實不然。
《個人信息保護法》第七十二條指出,自然人因個人或者家庭事務處理個人信息的,不適用本法。這里的“不適用”,當然包括對《個人信息保護法》第三章“個人信息跨境提供的規則”的不適用。為什么要這么規定呢?這又回到了數據跨境流動安全管理制度的初衷了。
對重要數據出境進行安全管理,是為了維護國家安全;
對批量個人信息出境進行安全管理,也是為了國家安全和公共利益;
對非批量的個人信息出境進行安全管理,是為了保護當事人的合法權益。
但如果當事人按照自己的意愿主動發起(而不是由別人把自己的個人信息傳出境外),或者自己同意呢?顯然國家就可以不管了。“自然人因個人或者家庭事務處理個人信息的”,便是屬于這種情況。跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,其實都可歸于此類。
如前所述,在單條個人信息的情況下,數據是否可以出境,與數據是否可以合法處理具有相同的性質。那么,《個人信息保護法》所確立的數據處理的合法性基礎是什么呢?這集中在《個人信息保護法》的第十三條。
《個人信息保護法》第十三條第一款第(二)至(六)項規定了不需取得個人同意的場景,其中有三種場景與個人信息出境有關。
第一種是第(二)項中的“為訂立、履行個人作為一方當事人的合同所必需”,
第二種是第(二)項中的“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”;
第三種是第(四)項中的“緊急情況下為保護自然人的生命健康和財產安全所必需”。
這便是《規定》第四條的出處。因此,《規定》第四條并沒有調整現有制度,而是在上位法的指導下,對需要豁免的具體場景做了澄清。
當然,“跨境購物、跨境匯款、機票酒店預訂、簽證辦理”等情況更應適用《個人信息保護法》第七十二條,將其列為第十三條第一款第(二)項的情況略有牽強,但瑕不掩瑜。
《規定》第四條很有意義,使得一大批對人力資源數據經常有跨境傳輸需求的跨國公司松了口氣。
六、《規定》第五條、第六條中的“一萬人”同以前常說的“一百萬人”“十萬人”是什么關系?
《規定》第五條、第六條是亮點,充分體現了網信辦從善如流的務實之舉。
在原有的政策中,處理100萬人以上個人信息的數據處理者向境外提供個人信息,或者自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息,便需要申報個人信息出境安全評估。問題是,已處理100萬人以上個人信息,或者自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息,這都是過去時,同本次出境的個人信息有必然聯系嗎?
不一定。
如果某“處理100萬人以上個人信息”的“數據處理者”本次只出境一條個人信息,難道也需要經過評估嗎?這顯然不必要。
所以說,原《數據出境安全評估辦法》在這個問題上的處理是有待完善的。
本次的《規定》則通過第五條、第六條對此作了補充規定,從而實現了糾偏的效果。
有人問,既然原文件留有尾巴,為什么不去做修訂,而要單獨發布一個《規定》呢?原因有兩個。
一是,《規定》的多數內容是對已有政策的澄清與細化,有些屬于解釋性的,不宜在《數據出境安全評估辦法》中體現。
二是,本次《規定》涉及全面的數據跨境流動安全管理制度,不僅僅是數據出境安全評估,只修訂《數據出境安全評估辦法》不能解決全部問題。
七、《規定》第七條中的“負面清單”是怎么回事?如何理解其與國務院文件中的“正面清單”的關系?
《規定》是一個非常及時、非常好的文件,但第二條和第七條值得商榷,第二條如前已述。
第七條的制定有一個背景,即國務院11號文《關于進一步優化外商投資環境 加大吸引外商投資力度的意見》第十四條提出了“試點探索形成可自由流動的一般數據清單”。
國務院文件的這一規定值得商榷。因為從原理上說,數據出境是常態,禁止出境、受限出境是例外。這從根本上決定了,數據出境絕不可能是“正面清單”制度(“自由流動的數據清單”就是正面清單)。更何況,在我國數據分級管理制度中,一般數據本來就是自由流動的,只有重要數據才需要出境評估,沒有制定“一般數據清單”的必要性。
政策文件的制定本來就是一個不斷完善的過程,這個過程也伴隨著人們對客觀事物發展規律認識的持續深化。數據跨境安全管理是個新事物,在不同時期有不同的規定實屬正常。國務院11號文在今年8月份發布時,有特定的歷史背景,這可以理解。但關于“正面清單”的規定確實不科學。
為此,本次《規定》第七條不再提正面名單,而是負面清單,這是回到了正確的軌道上來,因為這符合數據跨境流動的規律。
制定負面清單將大大提高政策的可操作性,充分體現開放的宗旨,必將受到全社會的廣泛歡迎。但第七條的爭議在于,是否有必要放得太開,由各自由貿易試驗區自行制定?而且,僅是“經省級網絡安全和信息化委員會批準后,報國家網信部門備案”如何保證操作尺度的一致性?誠然,各個自貿區因為業務不完全一致,負面清單的內容可能會有所差別,但研判尺度應該是一樣的。這個過程中,應當由國家有關主管部門強力介入。否則,又會導致重要數據的識別出現混亂。而如前所述,重要數據是個全局性概念。
這里需要指出,國務院11號文發布后,一些地方正在研究落實政策,但照搬11號文的第十四條恐有問題。例如,北京便迅速起草了《北京市外商投資條例》,目前正在征求意見。該條例的第三十一條沿襲11號文,也提出了“制定可自由流動的一般數據清單”,我們認為其應借鑒《規定》第七條,調整為“負面清單”制度。
八、《規定》第八條提到敏感信息與敏感個人信息,這是為什么?核心數據為什么沒提?
數據的分類分級有多個維度,而且一般、重要和核心數據是在國家秘密信息之外。之所以數據跨境流動安全管理制度只規范個人信息和重要數據,是因為國家秘密信息的管理已由《保守國家秘密法》進行規范,核心數據則由于其特殊性,原則上禁止出境。
因此,需要意識到,《規定》的規范對象不含國家秘密信息和核心數據,所謂的“其他數據”當然不含國家秘密信息和核心數據,文件對此不需要反復強調。
至于“敏感信息”,的確不是法律用語。這主要是考慮到了數據的敏感度還有其他分級方法,特別是對于政府部門和特定行業而言。不同的分級方法往往都有對應的法律、行政法規、部門規章,故以“敏感信息”以蓋之。
|小貝結語|
■ 無論是在姿態上表明中國政府的開放決心,還是在實操上推動數據跨境流動安全管理制度的完善,《規定》都具有十分重要的意義,也充分體現了國家網信部門務實的工作作風。該文件目前正在征求意見階段,故我們在解讀時沒有回避對其中一些問題的討論。
