數據出境安全制度的新探索
數據跨境流動在當今數字經濟中扮演重要角色,各國都將其監管上升到數據主權的高度,我國對此也高度重視,通過《網絡安全法》《個人信息保護法》《數據安全法》對重要數據、個人信息的跨境流動建立起符合我國實際和國際大環境的基本監管制度。根據上述法律規定,國家互聯網信息辦公室制定《數據出境安全評估辦法》(下稱《辦法》),明確了數據出境安全評估的目的、原則、范圍、程序和監督機制等具體規定,對保護我國國家安全、公共利益、個人合法利益和促進數字經濟發展具有重要的里程碑意義。
一、堅決貫徹習近平法治思想,依法監管數據向境外流動
習近平總書記提出要堅持建設中國特色社會主義法治體系,積極推進國家安全、涉外法治等重要領域立法;同時要堅持統籌推進國內法治和涉外法治,要加快涉外法治工作戰略布局,協調推進國內治理和國際治理,更好維護國家主權、安全、發展利益,要推動全球治理體系變革,推動構建人類命運共同體。
近年來,我國加快完善數據出境安全管理制度,2016年11月通過的《網絡安全法》,其中第37條規定了對關鍵信息基礎設施運營者的重要數據和個人信息需進行安全評估,但其他主體的重要數據和個人信息出境并未加以明確。2021年6月通過的《數據安全法》,其中第31條在重申關鍵信息基礎設施運營者的重要數據出境的安全評估要求之外,還進一步規定“其他數據處理者”的重要數據出境也需進行安全評估。2021年8月通過的《個人信息保護法》,其中第38條第1款第1項和第40條,在重申關鍵信息基礎設施運營者的個人信息出境安全評估要求之外,還進一步規定“達到國家網信部門規定數量的個人信息處理者”的個人信息出境也需進行安全評估。由此,上述三大立法全面建立起數據出境的基礎性制度——安全評估制度。
目前,歐美都高度關注數據出境的監管。其中,歐盟GDPR對個人數據出境的監管已經相對成型,包括了充分性認定、集團有效規則、標準合同條款、認證等機制,每一個機制都有配套的實施細則。在非個人數據向外流動監管上,歐盟《非個人數據自由流動條例》對內要求成員國之間自由流動,但向境外流動方面則正擬通過《數據治理法》和《數據市場法》加以明確。美國則通過《外國投資風險審查現代化法》《出口管制條例》《受控非密信息行政令》等法律法規限制數據向外流動。
因此,為貫徹習近平法治思想,國家互聯網信息辦公室根據我國上述三部法律規定,統籌數據出境監管的國內法治和涉及境外接收方數據處理要求的涉外法治,制定了本《辦法》,有力維護國家在數據領域的主權、安全和發展利益。
二、合理設計數據出境安全評估規則,做到監管有度
數據跨境流動在數字時代是一種常態,但由于跨境流動的數據在規模、范圍、種類等方面容易給國家安全、公共利益和個人權益帶來風險,因此各國對數據跨境流動的監管也會成為一種常態。《辦法》明確數據出境安全評估的目的、原則、門檻、程序、評估決定的有效期、出境的終止和重新申報評估等內容,體現出監管有度、規則合理透明。
(一)數據出境安全評估的目的應區分重要數據和個人信息兩類數據的出境安全評估的目的。《辦法》第1條規定數據出境安全評估的目的在于“保護個人信息權益,維護國家安全和社會公共利益”,但并不意味著重要數據和個人信息的出境安全評估的目的是完全一致的,相反二者評估目的是由其上位法決定的。其中,重要數據出境監管制度由《網絡安全法》和《數據安全法》加以明確,其核心目的是維護網絡空間主權和國家安全、社會公共利益。相比之下,《個人信息保護法》(第1條)明確個人信息出境監管的目的是保護個人信息權益。因此,作為授權立法,《辦法》第1條是從統籌重要數據和個人信息出境監管的角度作出規定。
(二)適用安全評估的范圍最大程度凝聚了各方共識。《辦法》第4條規定數據處理者在四種情形下向境外提供重要數據或者個人信息,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。其中,按照現有立法要求,所有主體的重要數據出境都要申報安全評估。個人信息出境進行安全評估的門檻主要在于執行《個人信息保護法》第40條的規定,明確累計向境外提供個人信息的特定規模設定為年度累計,充分反映了相關主體有關科學設定個人信息出境安全評估范圍的訴求,便利其通過認證、標準合同等機制開展個人信息出境。
(三)安全評估程序設置科學合理。具體而言,《辦法》明確安全評估的程序包括:(1)數據處理者自評估;(2)數據處理者申報安全評估;(3)省級網信部門的申報接收和國家網信部門的申報受理;(4)國家網信部門組織安全評估,評估過程中可要求數據處理者進行材料補充或更正;(5)評估結果的告知與申請復評;(6)通過數據出境安全評估但在有效期內出現特定情形的重新申報評估;(7)通過數據出境安全評估后的終止數據出境。其中,《辦法》第13條相對于征求意見稿專門新增了評估結果的復評,為數據處理者提供了異議機會,進一步增強了制度的科學性。
(四)安全評估的多元考慮因素設計,較為全面地應對數據出境的各種安全風險。《辦法》第8條明確了數據出境安全評估重點關注數據出境活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險,并列舉了七大評估因素。其中,一是關注數據處理者開展數據出境的合法性、正當性和必要性;二是關注境外接收方保障數據安全的能力,以及所在國家和地區的技術和法律環境對該能力的影響;三是關注數據出境可能面臨的安全風險;四是關注數據出境后數據安全和個人信息權益是否最終得到充分保障;五是關注數據處理者對境外接收方的約束能力;六是考慮數據處理者和境外接收方遵紀守法的信譽;七是其他事項,應對數據安全技術、商業模式和境外環境的發展和變化。正是因為這七大安全評估因素的統籌設計,《辦法》能夠較為全面地應對數據出境的各種安全風險。
三、規則細節體現數據治理的中國探索
數據出境安全評估是我國對數據出境安全管理的重要措施,每一個規則細節不僅會對國家安全、公共利益、個人和組織合法權益帶來重大影響,也會對數據跨境流動背后的全球數字經濟帶來重大影響。因此,要制定合理而巧妙的數據出境安全評估實施細則并非易事。《辦法》除了設置合理的安全評估流程和評估考慮因素外,還在如下兩個細節充分展現了有益探索。
(一)提出數據安全評估的兩大原則,既明確數據出境的主體責任,又實現監管閉環。相較于2017年和2019年有關數據出境安全評估的草案,《辦法》第3條首次明確提出數據出境安全評估的兩大原則,即事前評估和持續監督相結合原則、風險自評估與安全評估相結合原則。
其中,事前評估和持續監督相結合原則明確安全評估不僅關注數據出境前對出境后可能出現的風險的評估和所要采取的安全保障措施,還關注數據出境后風險發生的變化以及原有措施的有效性,因而該原則建立起數據出境風險全過程的動態評估要求。
風險自評估和安全評估相結合原則明確數據處理者的主體責任,即通過自評估的形式對自己的數據出境行為負責,確保根據數據出境風險采取相適應且有效的安全保障措施。然而,數據出境關涉國家利益、公共利益和個人權益,而且數據處理者的自評估的結論傾向于通過評估,因此《網絡安全法》《數據安全法》《個人信息保護法》都要求通過國家網信部門安全評估,確認數據處理者是否切實承擔主體責任,以及評估數據出境風險和所采取措施的充分性、有效性。
(二)評估決定2年有效期的規定保障了企業參與全球數字經濟建設的持續性和連貫性。《辦法》第14條明確安全評估結果有效期為2年,意味著數據處理者可以申報2年內對特定境外接收方的數據出境計劃,極大方便企業開展連續性數據出境業務,促進全球數字經濟發展。這種設置帶來了相對的制度優勢。以個人信息出境為例,歐盟雖然設置了充分性認定、企業有效規則、標準合同條款等合法機制,但目前通過充分性認定的只有14個國家,企業有效規則難獲審批(中國企業尚未有獲批的案例),采用標準合同并不免除數據處理者根據數據出境個案的風險采取額外補充措施的義務。相比較而言,跨國企業在我國開展個人信息出境,如果符合安全評估的情形,那么其通過安全評估的確定性要顯著增強,而且還可以提供2年有效期的穩定預期,極大方便了企業開展跨境業務。
總體而言,經過多年醞釀和公開討論的《辦法》,在充分平衡各方利益的基礎上對數據出境安全管理作出新探索,既著力于維護國家安全、公共利益和個人與組織合法權益,也為全球數字經濟健康發展提供了中國方案。
