我國數據跨境流動相關舉措分析
摘要:數據正成為驅動數字經濟發展的生產要素,世界各國在推動經濟增長、促進產業升級等方面對數據資源的依賴也越來越大。隨著全球化程度加深,數據跨境流動成為各國貿易往來、政府間協作的重要推動力,各方對于跨境數據流動的需求逐步增大。為助力我 國數字經濟發展,促使數據流動發揮更大價值,我國近期在商務部發布的《關于印發全面 深化服務貿易創新發展試點總體方案的通知》和海南全面深化改革開放領導小組印發的《智慧海南總體方案(2020—2025 年)》中明確了開展數據跨境流動安全管理的多個具體問題,對破解我國當前數據跨境流動制度不完善的問題具有實踐意義。
內容目錄:
1 相關文件的具體內容
1.1 《通知》的主要內容
1.2 《方案》的主要內容
1.3 文件的主要目標
2 重點問題分析
2.1 數據跨境流動安全評估
2.2 數據跨境流動區域性規則
2.3 白名單機制
3 意見與建議
3.1 數據跨境安全評估
3.2 積極參與和制定數據跨境流動區域性規則
3.3 建立我國數據跨境流動“白名單”
2020 年,我國數據跨境流動工作,尤其是 自貿區(港) 、重點行業相關工作的開展如火 如荼,商務部發布的《關于印發全面深化服務 貿易創新發展試點總體方案的通知》(以下稱《通 知》)以及海南全面深化改革開放領導小組印 發的《智慧海南總體方案(2020—2025 年)》(以 下稱《方案》) 便是其中的典型代表。兩個文 件中涉及有關數據跨境流動的安全評估、區域 性規則構建、白名單機制等重點問題。本文將 以兩個文件為抓手,聚焦其中提到的幾大關鍵 點進行研究和探討,既總結整理國際相關經驗,又對我國的數據跨境流動制度構建、實踐開展等方面提出了針對性建議。
01 相關文件的具體內容
《通知》和《方案》從數據跨境流動整體 工作的部署出發,明確了我國試點地區和海南 自貿港未來在數據跨境流動工作中的重點方向。
1.1 《通知》的主要內容
為了貫徹黨中央、國務院關于進一步推動試點創新示范、推進服務貿易開放的重要精神,促進外貿工作的高質量、優結構發展,《通知》于 2020 年 8 月由商務部正式向社會發布,總體目標是通過在北京、天津、上海等 28 個省市(區域)全民開展深化試點工作,實現服務貿易深層次改革全面推進,高水平開放有序推 進,全方位創新更加深化。在“全面探索完善 監管模式”的試點任務當中, 《通知》提出要 “探索符合新時期服務貿易發展特點的監管體 系,在服務貿易高質量發展中實現監管職權規范、監管系統優化、監管效能提升”,其中一項具體舉措就是“支持試點地區聚焦集成電路、人工智能、工業互聯網、生物醫藥、總部經濟等重點領域,試點開展數據跨境流動安全評估,建立數據保護能力認證、數據流通備份審查、跨境數據流動和交易風險評估等數據安全管理機制……”
1.2 《方案》的主要內容
《方案》是 2020 年 8 月由推進海南全面深 化改革開放領導小組印發。《方案》的出臺并非偶然,習近平總書記在慶祝海南建省辦經濟 特區 30 周年大會上的講話已經明確要全面推進深化改革開放在海南落地,《中共中央國務院關于支持海南全面深化改革開放的指導意見》《海南自由貿易港建設總體方案》等文件中,也已經為全面發展海南自由貿易港、發揮中國特色海島優勢做出了整體部署,以實現培育壯大外向型數字經濟和現代服務業,促進資源要素高效有序自由流通等目標。
其中,數據跨境流動是建設海南自由貿易 港的一項重點工作,是發展貿易港整體經濟的重要支撐因素,《方案》明確提出要在海南“開放發展,先行先試”,要“以信息流支撐貿易、投資、跨境資金、人員進出、運輸來往和數據安全自由流動”,涉及數據跨境流動的重點任務主要包括兩個方面,一是培育國際大數據服務新業態,在海南試點建設開放透明、安全可控的跨境數據流動監管體系,并通過建立和參與區域性的跨境數據流動規則以及白名單機制,圍繞以多語種翻譯、數字內容等為代表的相關領域,開展國際化的大數據相關服務。二是培 育國際數據服務業務,研究制定與數據跨境流動緊密聯系的數據安全管理機制,并根據海南自身特色,以主要國際貿易伙伴以及游客來源 國等國家和地區為主,優先探索代表性的旅游、 跨境貿易等領域的數據跨境流動。
1.3 文件的主要目標
《通知》和《方案》均體現出促進數據跨境流動對構建我國整體數字營商環境便利化、提升我國數字經濟發展水平具有重要作用,我國政府相關部門應當為數據跨境流動創建良好的外部環境,但同時更要注重數據跨境流動過程中的安全監管和安全評估工作,以確保促進數據跨境安全、自由流動。在試點領域方面,《通知》和《方案》規定不同,《通知》選取了包括集成電路、人工智能、工業互聯網、生物醫藥、總部經濟等在內的多個區域積極探索開展數據跨境流動安全評估,而《方案》中在海南選取多語種翻譯、數字內容等領域開展國際大數據 服務,同時以全球主要貿易伙伴以及游客來源國等國家和地區為主率先研究完善旅游以及跨 境貿易等重要領域的數據跨境流動。在安全監 管方面,《通知》支持試點開展安全評估工作,并建立相應的數據安全管理機制;《方案》也 明確要在海南通過先行先試,研究制定數據跨 境流動的安全管理機制。在對外合作方面,《通 知》和《方案》都注重通過對外交流合作來提 升我國在數據領域的參與程度、《通知》鼓勵 試點地區參與數字規則的國際合作以加大數據保護力度,《方案》則主張建立區域性跨境數 據流動規則和白名單機制,建立我國的數據跨 境流動合作“朋友圈”。
從《通知》和《方案》的整體工作來看,完善數據跨境流動安全監管(安全評估) 機制、 探索建立數據跨境流動區域性規則和白名單機制將是我國未來在數據跨境流動領域的重點 工作。
02 重點問題分析
數據跨境流動安全評估、區域性規則建立、白名單機制等重點問題分別在我國立法和國際 制度中有規定,為我國試點地區和海南自貿港 制度的建立提供了法律基礎和經驗借鑒。
2.1 數據跨境流動安全評估
數據跨境流動安全評估制度是《中華人民 共和國網絡安全法》中規定的數據出境監管制度,2021 年出臺的《中華人民共和國數據安全 法》和《中華人民共和國個人信息保護法》在此基礎上進一步進行了補充和完善。第三十七條規定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和 重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。該條明確我國數據出境以“本地化存儲 + 出境安全評估”為原則的管理制度,需要出境的關鍵信息 基礎設施運營者的個人信息和重要數據應當按 照相關規定進行安全評估之后才能出境,這種 安全評估的舉措屬于一事一議的事前審批方式。除此之外,《中華人民共和國個人信息保護法》還規定處理個人信息達到一定數量的個人信息處理者,如果跨境傳輸個人信息,那么也應當經過網信部門組織的安全評估。
2019 年 6 月 13 日發布的《個人信息出境安 全評估辦法(征求意見稿) 》細化了該項制度,通過審查出境合同實現數據出境活動中的個人 信息保護,也屬于對每一次個人信息出境活動 所涉及的合同文本進行個案評估,需要進行安 全評估的范圍為“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息”的,安全評估的審查機構為網絡運營者所在地的省級網信部門。
當前,我國的數據出境安全評估制度還存在以下問題: 一是《中華人民共和國網絡安全法》 《中華人民共和國數據安全法》《中華人民共 和國個人信息保護法》中僅明確了“關鍵信息 基礎設施運營者”的“個人信息和重要數據”、處理個人信息達到一定數量的個人信息處理者的個人信息應當通過安全評估進行出境,但是對于其他網絡運營者的數據應當怎么監管才能 確保整體數據安全有待明確,如非關鍵信息基 礎設施運營者的重要數據如果需要出境,《中 華人民共和國數據安全法》規定還有待網信部 門制定相關管理辦法,但當前尚未出臺相關辦 法;二是安全評估制度的具體規定沒有出臺,安全評估制度無法實質性落地,數據出境存在 困境;三是在監管數據是否出境方面缺少技術監管手段和實質性執法,目前存在數據不受監 管出境的情形。
2.2 數據跨境流動區域性規則
世界各國在推動經濟增長、促進產業升級 等方面對數據資源的依賴程度也越來越大,數據跨境流動已成為各國制定政策的關注重點,也成為主要國際機制和諸多雙多邊談判的主要議題和關鍵議題。當前,美國在世界數據跨境流動區域性規則的制定中占據了主導地位,在多個區域性規則中倡導數據自由流動。比較重要的區域性規則包括:
(1)《跨太平洋伙伴關系協定》(TPP) 。 2011 年 TPP 第七輪談判時,美國將強制性的跨境數據流動規則列入草案文本中。TPP 強制要求各方允許跨境數據流動,禁止數據本地化,僅允許為實現公共政策目標而采取或維持本地化 措施。2017 年 1 月, 因為特朗普反對自由貿易,遷回域外工廠、增加底層就業機會,選擇退出TPP。美國退出后,2017 年 11 月,TPP 被全面 與進步跨太平洋伙伴關系協定(CPTPP)所替代。2018 年 12 月 CPTPP 正 式 生 效,明 確 了“ 通 過 電子方式跨境轉移信息”的要求,禁止締約方采取計算機設備本地化措施。
(2)《跨境隱私規則》(CBPR)。2011 年,美國主導建立的 APEC《跨境隱私規則》(CBPR) 是當前多邊監管合作中較為成熟的機制,通過認證的企業間跨境數據流動不受阻礙。加入CBPR 的評估標準包括:國內隱私法、隱私保護 執法機構、信任標志提供商、隱私法與 APEC 隱 私框架的一致性等。目前參與 CBPR 機制的國家或地區共有八個,包括了美國、墨西哥、日本、加拿大、新加坡、韓國、澳大利亞和中國臺灣,由于中國沒有隱私保護法而被認為不具備加入 CBPRs 的條件。
(3)《北美自由貿易協定》(NAFTA)。2018 年 11 月,美國、墨西哥和加拿大三國在原 來的《北美自由貿易協定》基礎上進行了完善和升級,簽署了新的《美墨加協定》(USMCA), 其中包含了高水平的跨境數據流動條款,要求 確保跨境數據自由流動,盡量取消對于數據加工和存儲地點的要求。
當前,我國還沒有與任何國家和地區在數 據跨境流動方面達成相關的區域性規則。
2.3 白名單機制
白名單機制是指對于其他國家的數據保護 機制進行審查認證,決定本國數據是否可以流 轉到該國,將滿足本國要求的國家列入白名單,允許今后數據自由傳輸到該國。歐盟是典型的設立白名單機制的地區。《通用數據保護條例》 GDPR 實施以后,歐盟通過“充分性保護”認 定機制與多個國家建立了跨境數據流動合作機制, 按照 GDPR 的規定,歐盟委員會在審核其 他國家、地區、國際組織是否可以加入根據“充分性保護”建立的白名單時應當考慮以下因素:
一是一個國家或地區的相關法律環境,對于人權、基本自由等的尊重程度,包括在有關公共 安全、防衛、國家安全和刑事法律制度在內的 政策中規定的公共機構對個人數據的訪問權及 相關立法的實施,個人數據保護的相關規定,職業準則和安全措施等;二是其他國家、地區或國際組織是否設立了一個或多個獨立、有效運行的監管機構,目的在于全面負責確保數據 保護規則的執行和遵守,包括是否具有足夠的 執法權,以幫助和指導個人數據主體行使相關 的權利,也包括是否能夠與成員國中的其他監管機構開展廣泛的合作;三是第三國、地區以 及相關國際組織是否以及締結了相關的國際協定,或者是否會遵守其他具有約束力的公約、文件所規定的義務等。
目前歐洲委員會確認的“充分性”認定國家(白名單國家)共有 13 個,包括安道爾、阿 根廷、加拿大(商業組織)、法羅群島、根西島、 以色列、馬恩島、澤西島、新西蘭、瑞士、烏拉圭和美國(僅限于隱私盾框架,已被廢除 )以及日本。隨著 GDPR 的實施,越來越多的國家通過制定或修訂個人數據保護法,對接歐盟規則,試圖與歐盟開展充分性認定談判,以進入歐盟市場。目前,韓國正在與歐盟進行談判,希望通過修訂立法,賦予機構更多的獨立性和執法權,以滿足歐盟的要求。印度、智利以及巴西等國家也正在制定或修改本國法律,以期加入與歐盟的數據保護“充分性”認定談判。目前, 我國因自身特點,未通過“充分性保護”認定機制,在國內也尚未建立類似白名單機制的數據跨境流動合作制度。
03 意見與建議
從《通知》和《方案》兩個文件可以看出,在數據跨境流動方面,我國聚焦于國內國際兩個方面在試點區域和海南自貿港開展相關工作,國內主要是落實數據跨境安全評估制度,確保通過安全監管實現數據安全、有序流動;在國際合作方面,主要通過探索制定區域性規則、建立白名單機制的方式來拓展我國的數據跨境 流動圈。
3.1 數據跨境安全評估
數據跨境流動安全評估工作應當從制度和實踐兩方面推進。一方面,落實我國《中華人民共和國網絡安全法》第三十七條的精神,加快構建完善我國數據跨境流動的安全評估制度。加快制定出臺個人信息和重要數據出境安全評估辦法,明確安全評估的具體手段、具體要求和具體程序,為數據合法合規出境建立可行性機制。 另一方面,《通知》和《方案》中試點地區和海南自貿港的數據跨境安全評估手段可以以《通知》 中的幾項具體手段為參考,例如,鼓勵第三方機 構建立對數據保護水平和能力的認證;要求跨境傳輸數據的企業做好數據跨境的相關備份,監管機構可以進行不定期日常檢查;鼓勵企業跨境傳輸數據時開展第三方評估和自評估,監管機構可以將此作為安全評估的參考。
3.2 積極參與和制定數據跨境流動區域性規則
區域性的“數據跨境流動圈”是目前全球 數據跨境流動的主要趨勢,而且主要國家和地區一般會考慮和自己經貿往來比較頻繁、或者與本國在價值理念方面比較一致的國家和地區建立跨境數據流動機制。我國在該領域還有待突破,可以參考歐美國家和地區的成熟經驗,一方面,應充分發揮現有多邊機制作用,在傳統貿易伙伴基礎上,擴大數據領域合作,依托 “一帶一路”倡議、區域全面經濟伙伴關系協 定等機制,提出中國方案,推動將跨境數據流 動議題納入其中,推進構建以我國為主導的區域性數據跨境流動規則。另一方面,可以充分利用當前美歐“隱私盾協議”被判無效,數據跨境流動機制產生分歧的有利時機和有利機會, 爭取把握住歐盟的動向,積極主動與歐盟及其成員國家溝通數據跨境流動的多雙邊規則 。
3.3 建立我國數據跨境流動“白名單”
數據跨境流動“白名單”主要包括建立國 家白名單和建立可以自由流動的數據白名單方式。一方面,建立國家“白名單機制”,既要明確我國對于數據跨境流動的具體要求和前提 基礎,也可以參考歐盟的“充分性保護”模式,對數據保護水平較高、與我國商貿往來比較頻繁、企業開展業務潛在需求較大的國家和地區 可以積極開展談判,簽署數據跨境流動的協議,允許試點地區、自貿港內企業將數據跨境傳輸 到這些國家和地區。另一方面,建立數據“白名單機制”,采取事后監督管理辦法,將個人屬性較低及非敏感的工業設備運行數據、純屬個人意愿產生的國際漫游數據等納入白名單中,允許這些數據跨境傳輸時不進行安全評估,僅做備案即可。
04 結 語
整體來看,我國的數據跨境流動管理制度雖然進展較慢,但在近兩年數字經濟全球化以及國際形勢不斷動蕩的大背景下,我國有關部門已經意識到構建完善的數據跨境流動頂層制度、推進數據跨境流動的開展已經成為關系我國數字經濟發展、影響我國國際經貿合作的關鍵問題。針對我國構建的以安全評估為核心的 管理制度,我國下一步可以借鑒成熟國際經驗,同時立足我國實際情況,進一步推進試點示范工作的進行,同時不斷完善和細化我國相關制度,為我國跨境數據流動相關工作的開展構建合理、合法的可行路徑。
引用本文:劉耀華 . 我國數據跨境流動相關舉措分析 [J]. 信息安全與通信保密 , 2021(11):2-8.
