中国构建完善立法体系 划下数据出境安全红线
继2016 年《网络安全法》发布后,2021 年,中国陆续出台《个人信息保护法》《数据安全法》等法律,并基于三大法出台了《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》等行政法规,构建起中国数据出境安全保护的顶层规则体系。
由于网络空间个人信息往往不可避免主动或被动地流出境外,因此《网络安全法》第 37 条首先强调进行“数据本地化”要求,规定关键信息基础设施的运营者应当在境内存储个人信息、重要数据。《网络安全法》第 37 条还明确了数据出境的安全评估要求,规定因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。《网络安全法》第 37 条的规定标志我国开始进入数据出境强监管的时代。
《数据安全法》关于数据出境的安全规则集中在第 24 条数据安全审查制度,第 25 条出口管制制度以及第 31 条重要数据出境安全管理等。其中,《数据安全法》第 31 条与《网络安全法》第 37 条规定的重要数据内容进行了衔接,其规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定,进一步解决重要数据出境安全评估的法律效力问题。对出口管制数据的范围以及重要数据的界定,《网络数据安全管理条例(征求意见稿)》第 73 条进行了明确,并将出口管制数据纳入重要数据范畴。此外,《数据安全法》第 36 条明确基于国际条约、协议等缘由向外国司法或者执法机构提供境内数据的,须经主管机关批准。
《个人信息保护法》第三章建立了个人信息跨境流动的规则。第 38 与 39 条对于向境外提供个人信息设置了前置条件,包括出境安全评估、个人信息保护认证、订立标准合同以及出境事项告知并取得个人单独同意等。《个人信息保护法》补充了《网络安全法》第 37 条有关个人信息跨境流动管理的相关内容,主要体现在第 40 条个人信息出境安全评估条款。《个人信息保护法》第 41 条则与《数据安全法》第 36 条相呼应,明确即使基于国际条约、协议等缘由向外国司法或者执法机构提供境内个人信息的,也需要经主管机关批准。
除出台《网络安全审查办法》《数据出境安全评估办法》等部门规章外,我国针对个人信息出境制定了相应的国家标准,进一步保障数据出境安全,细化数据安全出境操作路径。
为落实《数据安全法》第 24 条关于数据安全审查制度的规定,国家对原基于《网络安全法》制定的《网络安全审查办法》进行修订。除保留原先的安全审查内容外,《网络安全审查办法》主要增加了网络平台运营者在国外上市的规定,强调“掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”。《数据出境安全评估办法》细化《网络安全法》第 37 条、《数据安全法》第 31 条以及《个人信息保护法》第 40 条关于重要数据、个人信息出境评估的要求。《数据出境安全评估办法》明确了评估事项,评估所需材料、评估申请流程、评估所需期限等内容。至于哪些情形需要申请出境安全评估,《数据出境安全评估办法》明确了具体的范围,主要是包括:重要数据出境;关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息以及出于兜底需要的其他情形。
对于个人信息出境,目前有三种路径,除适用《数据出境安全评估办法》外,还可适用《个人信息跨境处理活动安全认证规范 V2.0》与个人信息出境标准合同。《个人信息出境标准合同办法》明确个人信息出境标准合同适用的是未达到安全评估门槛的个人信息出境情形并且由个人信息处理者自我审查决定,与《数据出境安全评估办法》有清晰的界限。同时,个人信息出境标准合同与东盟的 MCCs 类似,《个人信息出境标准合同办法》明确个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。《个人信息跨境处理活动安全认证规范 V2.0》则是依托第三方专业机构对个人信息处理者开展个人信息出境进行安全认证,不过与其他两种路径有清晰的适用范围相比,其缺乏较为具体的认证适用范围。
2023 年 9 月 28 日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(下称“《规定》”),旨在保障国家数据安全,保护个人信息权益的基础上,进一步规范和促进数据依法有序自由流动。本次《规定》的重点内容主要包括重申需申报数据出境安全评估的场景;明确无需申报数据出境安全评估的情形;赋予自由贸易区制定“负面清单”的权利等。本次《规定》的出台与此前发布的法律法规构成我国数据出境更加完善的规则体系,在厘清数据安全红线的前提上,踩下了数据出境的“油门”。
基于全球数据跨境流动规则的思考建议
(一)探索数据跨境流动安全管理便利化机制
目前我国依托自由贸易试验区、自贸港等高水平开放平台探索数据跨境流动安全管理试点,如上海自贸试验区临港新片区、北京自贸试验区、海南自由贸易港、雄安新区片区等都加快推出了包括实施国际互联网数据跨境安全有序流动、促进数字产业开放发展等制度突破创新等举措。2023 年 9 月 28 日,国家网信办就《规范和促进数据跨境流动规定(征求意见稿)》公开征求意见,赋予自贸试验区制定数据出境“负面清单”的权利。下一步应充分发挥开放平台制度创新优势,在数据出境安全评估、个人信息保护认证、标准合同备案等方面率先探索,逐步探索形成数据跨境流动便利化路径,形成可复制、可推广的经验。支持北京、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单。支持各自贸试验区统筹安全与发展,结合企业数据出境的实际需求,探索制定数据出境“负面清单”。依托上海数据交易所等数据交易平台,提供数据跨境流动合规服务,如设立数据安全与治理公共服务平台,吸引一批有数据跨境需求的企业以及优质数据合规的服务机构入驻,为数据出境企业提供政策咨询、风险评估、安全培训、自评估报告完备性审查等数据安全合规服务。
(二)推进数据保护可信认证试点与新技术应用
数据保护可信认证是很多国家和区域及数字贸易协定中常用的数据跨境流动机制,其本质是对数据保护水平达到一定标准的“白名单”认证。如新加坡建立了数据保护可信任标志,并在 DEPA 中推进成员国对数据保护可信任标志的互认,促进数据跨境流动。上海作为跨国公司集聚地,可结合企业数据出境实际需求,率先探索推进数据保护可信认证便利化试点,为已部署数据保护措施并达到数据合规标准的企业提供便利化认证方式,并探索与主要经济体实现数据保护可信任标志的互认,实现在国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的非重要非敏感数据跨境自由流动。同时,近年来,区块链、隐私计算等技术的发展和数据中介的出现为数据跨境传输提供了新的范式。如欧盟基于盖亚云(Gaia-X)建立的欧洲公共数据空间、日本数据社会联盟建立的数据交换平台(Data-EX)等。此外,隐私增强技术(PETs)、数据监管沙箱等也为数据跨境流动的应用实践提供了新的选择。下一步,应支持和鼓励各地数据交易所加快新技术新模式的研究,应用数据空间、数据监管沙箱等新工具,探索数据跨境安全流动新方式。
(三)增强数据安全保障能力
数据跨境流动将会带来一系列安全风险,如数据泄露、数据滥用等,对国家安全构成威胁。因此推进数据跨境流动必须增强数据安全保障能力。一方面,支持建设数据安全监测系统。如支持上海数据交易所等平台建立智能化数据安全监管系统,加强数据安全风险评估、信息共享、监测预警等技术能力建设。支持政府部门与数据安全企业协作,建设数据跨境流动安全威胁感知和监测预警基础设施,统筹数据安全威胁信息的获取、分析、研判、预警工作,强化数据安全事件日常监测、通报预警、快速响应、追踪溯源恶意行为等技术能力。另一方面,强化前沿数据安全技术研发。支持上海数据交易所等平台强化数据安全技术研发,针对数据跨境流动过程中可能的数据泄露、个人隐私风险、数据滥用等一系列安全风险,支持差分隐私、零知识证明、同态加密、多方计算、联邦学习等前沿数据安全技术研究,支持安全产品研发及产业化应用,为数据跨境流动安全提供切实可行的技术方案,降低数据跨境流动安全风险。
(四)推广数据跨境流动中国治理方案
目前全球数据跨境流动治理与规则正处于形成过程中,美欧等西方国家正在基于信任关系加速构建将我国排除在外的数据跨境流动自由圈。而我国尚未明确提出我国数据跨境流动治理方案,也尚未与世界主要经济体、我国主要贸易伙伴建立数据跨境传输便利化机制,参与数据跨境流动全球治理不足。一方面,我国应以“一带一路”建设为契机,基于互利互惠、安全便利等原则,提出有利于我国发展的数据跨境流动治理方案,推动形成可互认的数据保护认证、标准合同条款等机制,实现区域内数据跨境自由流动。另一方面,我国应积极推进 CPTPP、DEPA 谈判议程。新加坡作为亚太地区重要数据枢纽,是 CPTPP 发起成员,也是DEPA 的主要推动方。我国应加强同新加坡在数据跨境流动方面的对接与合作,探索数据跨境流动可操作路径,进而将相关经验推广至 CPTPP、DEPA 其他成员。
(五)企业做好“出境”与“入境”的合规
目前,《网络安全法》《数据安全法》《个人信息保护法》等立法以及《数据出境安全评估办法》等规章构建了我国数据跨境流动的安全规则体系,因此企业在数据出境时需按照现有法律要求做好数据出境安全合规,如进行数据分类分级,涉及核心数据、重要数据等需进行数据出境安全评估等。数据跨境流动不仅涉及数据出境,还有数据入境,当前全球主要经济出于保障数据主权的需要对本区域内的数据出境进行立法规制,典型的如欧盟的 GDPR 等。因此企业在将境外的数据引入中国境内时,需按照数据来源国的法律要求做好安全合规,在满足数据来源国合规的要求的前提下,将数据流入中国境内。
(六)利用上海数据交易所国际板探索数据跨境新模式
上海数据交易所已经开设运行国际板,建设国际化数据交易平台,探索形成便捷、高效、安全的数据跨境流动规则体系,积极赋能我国国际数字贸易的发展,为我国参与国际数字贸易规则制定贡献探索实践的经验,同时服务于企业数据“走出去”与“引进来”。企业在开展数据跨境流动时,可利用上海数交所国际板开展数据产品合规评估审查,提高数据产品交易效率,同时依托上海数据交易所,加快企业向全球进行数据产品推介的步伐。
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。 主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。 主要产品:数据易投、数据易贷、数据易保、数据易售。