数据跨境流动是全球数据治理的关键议题,主要国家和地区均对数据跨境流动安全给予高度关注,纷纷从保障安全角度出台法律政策和监管工具,例如欧盟《通用数据保护条例》从法律层面要求个人数据流出欧盟的前提是保障“对自然人的保护水平不会降低”,俄罗斯、印度等国家则要求相关数据必须在遵守本地化要求的前提下有条件出境。与此同时,随着信息技术迅猛发展,以及数字经济全球化,客观上决定了数据作为一种生产要素,其跨境流动需求必然不断增长。数据跨境流动管理一方面必须维护国家安全、社会公共利益和个人信息权益,另一方面也必须满足经济社会发展的需要。
2022年7月国家互联网信息办公室公布《数据出境安全评估办法》,2022年11月国家市场监督管理总局、国家互联网信息办公室联合公布《关于实施个人信息保护认证的公告》,2023年2月国家互联网信息办公室公布《个人信息出境标准合同办法》。回顾我国数据出境安全管理制度的立法进程,其制度设计始终聚焦客观风险,参考国际既有先进实践,努力平衡安全与发展。随着《促进和规范数据跨境流动规定》(以下简称《规定》)的公布,我国主要的数据出境制度——数据出境安全评估、个人信息出境标准合同、个人信息保护认证不断优化完善,更好地实现了与数据出境安全风险的“精细化匹配”。《规定》的实施在进一步夯实我国数据依法有序自由流动的制度基础的同时,凸显了我国坚定不移推进高水平对外开放的决心。
一、《规定》进一步优化了我国的数据出境制度
在总结数据出境安全评估、个人信息出境标准合同、个人信息保护认证等制度实施经验的基础上,《规定》集中调整了上述制度所适配的数据出境情形。
首先,《规定》明确了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。具体来说包括:(1)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的不含个人信息和重要数据的数据向境外提供;(2)境外个人信息在我国处理且没有境内个人信息或者重要数据参与时,其后续向境外提供;(3)为订立、履行个人作为一方当事人的合同确需向境外提供个人信息;(4)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息;(5)紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息;(6)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息且不含敏感个人信息。上述“豁免”覆盖了跨境电商、跨境物流、跨境出行等大量数字贸易活动,降低了数据处理者的合规成本。值得注意的是,在上述第3至5项情形中,出境的个人信息即便涉及超过100万人,上述豁免仍然适用。
其次,《规定》扩大和明确了个人信息出境标准合同和个人信息保护认证的适用范围,很大程度上提高了数据出境的便利化程度。《规定》明确,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上但不满100万人个人信息(不含敏感个人信息)的,或者不满1万人敏感个人信息的,应当通过订立个人信息出境标准合同,或者通过个人信息保护认证的方式,合法合规地向境外提供个人信息。从目前情况来看,这个范围覆盖了我国绝大多数的个人信息处理者向境外提供个人信息的情形。因此,个人信息出境标准合同和个人信息保护认证的适用性可以说非常之强。
再次,《规定》增加了地方政府在数据出境安全管理体制中的角色和权重。最突出的就是第六条规定的“自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案”。对于负面清单外数据的出境,“可以免予”申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。就此,各个自贸区可以因地制宜,按照自身定位和发展战略、方向等,确定豁免“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”的数据清单。换句话说,对于各个自贸区确立的发展方向(特别是数字化领域)所同时伴生的数据跨境流动需求,国家网信部门此次给各个地方做了监管适配性的授权。这对我国自贸区的发展来说,无疑是一次非常积极的举措。
二、《规定》体现了我国推进高水平对外开放的决心
数字经济是中国也是全球经济发展的重要战略侧重点和大趋势。随着人工智能、大数据、云计算等技术的不断发展,数字经济已经成为了中国经济的重要支柱之一。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据安全合规有序跨境流通机制”“坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。经《规定》调适之后,数据出境安全评估、个人信息出境标准合同、个人信息保护认证这三项主要的数据出境制度可供不同类型、不同规模的组织或者个人所选用,能够很好地回应需求,一方面为组织或者个人跨境业务合作提供法治保障,另一方面推动促进数据自由流动和数字经济发展。
中国是世界上最大的互联网应用国家之一,也是数字经济发展最为迅速的国家之一,更是拥有网民数量第一的国家。在《规定》的统摄之下,三项主要制度的实施和持续优化,体现了中国对数字经济的重视和对数据安全保护的关注,也表明了中国对外友好开放的态度。三项主要制度在设计时详细参考和借鉴既有国际实践,有利于促进全球数据安全保护标准的协调性和一致性,有助于增强国际社会对中国数字经济发展的信心和认可,有益于推动中国在数字经济领域的国际合作和交流。
相信在未来,我国数据出境安全管理制度还会不断更新完善,以适应不断变化的经济发展模式和国际合作需要。保障数据安全的同时促进数据发展,是中国数据治理的核心要义,也是数据出境安全管理始终坚持的宗旨。(作者:洪延青 北京理工大学法学院教授)