1、背景
當今世界已經進入數據經濟時代,數據逐漸成爲驅動全球經濟社會發展的核心資源。在全球化和數字化背景下,數據經濟的發展離不開數據的跨境流動,其有利于促進技術的革新、經濟的發展以及縮小各國的經濟文化差異,甚至有利于打擊跨國犯罪和恐怖主義。隨著互聯網服務的擴展,跨境數據無限制流動的快速發展導致許多國家對侵犯個人數據和國家安全議題感到擔憂。尤其是在斯諾登事件的警示下,各國都開始加強對本國數據跨境流動的監管。因此,完善數據立法、加強監管等法治保障對于跨境數據流動的規範和風險防範具有至關重要的作用。
2、國際數據跨境立法形勢
據不完全統計,在全球總計231個國家中,已經有超過135個國家出台數據保護法,其中大多數有跨境數據流動法律或政策。國際上通常不允許個人數據流向保護標准較低的國家。爲了減少此類控制措施對企業部門的影響,許多國家結成聯盟就采用統一數據保護標准達成協議,以使數據在聯盟內部自由流動,減少開展跨境業務的限制。
歐盟立法的特點是統一規則實施歐盟數字化單一市場戰略,以數據保護高標准引導全球重建數據保護規則體系,其更多關注個人數據保護,強調在規則、個人隱私保護方面注重價值發揮。2018年5月正式生效的《通用數據保護條例》(GDPR)中,有關數據跨境的制度主要集中在第五章(個人轉移給第三國或國際組織)。對于歐盟成員國而言,個人數據可以自由流動。對于歐盟國之外的第三國,歐盟數據保護委員會需要通過“充分性認定”,確保第三國對相關數據有適當的保護水平,評估內容包括第三國法制和人權保障及基本自由、公共當局獲得數據轉移的情況、數據保護當局的存在和有效職能等。
美國的立法特點有區別于歐盟,借助在信息通訊産業和數字經濟全球領先優勢,主張“數據跨境自由流動”,希望更多的數據流通在美國境內,以破除許多國家利用跨境數據流動設置的市場准入壁壘,同時限制重要技術數據出口和特定數據領域的外國投資,遏制戰略競爭對手發展,確保美國在科技領域的全球領導地位。通過“長臂域外管轄”擴大國內法域外適用的範圍,以滿足新環境下美國政府跨境調取數據的執法需要。2018年3月28日,美國議會通過《澄清境外數據的合法使用法案》,該法擴大了美國執法機關調取海外數據的權力,使美國的數據主權擴展至美國企業所在的全球市場。
其他國家也紛紛出台了跨境數據流動規則。例如,日本同時是歐盟充分性認定的成員和APEC構建跨境隱私規則體系成員,其希望扮演橋梁連接美、日、歐及其他經濟體之間的數據流通;新加坡確保被傳輸到他國的數據得到與本國同等的數據保護,同時又設立了豁免條件,以建設亞太地區數據中心爲導向,積極參與跨境數據流動區域合作;印度區分敏感數據和非敏感數據,采取數據主體同意轉移,以及數據控制人和數據主體之間達成合法契約等方式,在融入全球化和促進本國數字經濟發展之間尋求本地化中間路線。
3、國內政策合規分析
在全球各國數據跨境流動的背景下,我國更加注重國家層面的安全,特別是政治安全、意識形態安全或國家在主權層面的安全,強調重要數據與個人信息數據出境要經過國家相關部門的嚴格審批。
近年來,我國逐漸加速數據跨境流動的立法工作。以《網絡安全法》《數據安全法》《個人信息保護法》三部法律爲基礎,在各自側重的網絡安全領域、數據安全領域、個人信息安全領域分別對數據跨境問題有具體條例解釋。同時還發布了幾部關于數據出境管理與評估辦法,雖然目前還在向社會公開征求意見階段,但對未來數據出境的管控措施具有極大的參考價值。
3.1 數據出境法律
從《網絡安全法》《數據安全法》《個人信息保護法》三部法律中我們可以發現,如果是關鍵信息基礎設施的運營者或者是達到特定信息數量的個人信息處理者,原則上要將在我國境內運營收集的個人信息和重要數據存儲在中國境內,如果因業務發展需要出境的,必須經過網信部門對涉及關鍵信息基礎設施的數據進行安全評估及批准。
3.2 數據出境行政法規
國家互聯網信息辦公室(簡稱“國家網信辦”)共發布了3份關于數據出境的評估辦法,分別是《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》《數據出境安全評估辦法(征求意見稿)》,業內人士普遍認爲2021年10月29日發布的《數據出境安全評估辦法(征求意見稿)》,是綜合考慮了《網絡安全法》《數據安全法》《個人信息保護法》對數據出境的要求,同時結合了當前國際形勢與各方意見後較成熟的版本。我們一起先來看看三個文件的差異。
《數據出境安全評估辦法(征求意見稿)》要求:數據處理者向境外提供在中華人民共和國境內運營中收集和産生的重要數據和依法應當進行安全評估的個人信息,應當按照本辦法的規定進行安全評估。數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合,防範數據出境安全風險,保障數據依法有序自由流動。
3.3 數據出境行業規範
2021年8月16日,國家網信辦聯合四部委發布了《汽車數據安全管理若幹規定(試行)》,自2021年10月1日起施行。第12條要求:汽車數據處理者向境外提供重要數據,不得超出出境安全評估時明確的目的、範圍、方式和數據種類、規模等。國家網信部門會同國務院有關部門以抽查等方式核驗前款規定事項,汽車數據處理者應當予以配合,並以可讀等便利方式予以展示。
2021年9月30日,工信部公開征求對《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》的意見。第24條要求:工業和電信數據處理者在我國境內收集和産生的重要數據,應當在境內存儲,確需向境外提供的,應當依法進行數據出境安全評估,在確保安全的前提下進行數據出境,並加強對數據出境後的跟蹤掌握。核心數據不得出境。
4、國內企業數據出境建議
當前,我國企業在數據出境面臨得風險是巨大的,如果企業事先對跨境數據法律風險准備不足,事中對風險又不善應對,就可能會導致數據出境後因觸犯境外國家法律而遭受巨額罰款。所以企業應當組建數據合規團隊,嚴重落實數據出境的相關規範要求,制定數據出境計劃,對數據出境情況進行檢查與問題整改,持續提升數據出境合規化能力。
第一步:企業在數據出境前應首先判斷出境目的,如果數據出境目的不具有合法性、正當性和必要性,不得出境。在此基礎上再評估數據出境安全風險,將數據出境及再轉移後被泄露、損毀、篡改、濫用等風險有效地降至最低限度。
第二步:建立數據分類分級制度,參照國家和行業領域的重要數據識別指南等文件,結合企業自身的業務數據識別重要數據與個人敏感信息。
第三步:由企業的信息安全部門、法務部門和業務部門等成員組成數據出境合規委員會。數據出境合規委員會定期對國內外數據安全法律法規進行研究,確保在采集和處理國外數據時不違反當地法律;在本國數據出境時,接入方有嚴格的安全保護措施來保證數據安全。同時,落實數據出境的安全主體責任制,建立企業數據出境管理制度,加強數據出境安全監測與防護。
第四步:企業數據出境的過程中須保留相關記錄,比如出境審批記錄、出境數據日志等。企業數據出境合規委員會由專人不定期抽查,及時發現違規現象並通知相關責任人處理。
第五步:企業數據出境風險自評估是數據處理者向境外提供數據的必經之路,對出境方式、數據數量、數據屬性進行充分綜合判斷,制定數據出境計劃,最終形成數據出境風險評估報告。通過有效的自評估,不僅可以降低數據出境的合規風險,在向主管部門申報安全評估時,也有助于提高監管部門安全評估的效率。
第六步:建立企業數據出境合同,約定雙方的數據安全保護權責,優化隱私政策和用戶協議中跨境條款。
第七步:企業建立完善的數據泄露應急預案,在緊急事件發生後,第一時間通知相關責任人,同時在法律規定的時間內上報數據監管機構,避免因違反法規程序而擴大不良影響及懲罰金額。
第八步:通過常態化的數據安全風險評估,及時發現企業在管理與技術上的不足,不斷完善數據跨境流動治理框架體系。
5、數據出境安全展望
面對美歐等大國借助數字戰略強化規則主導權的新態勢,我國應服務于建設“數字經濟強國”的戰略目標,全面加強數據安全監管和推進我國數據出境相關制度建設,探索適合中國國情與發展道路的跨境數據流動治理框架體系,最大化地保障本國企業的數據安全。