數(shù)據(jù)跨境流動在當今數(shù)字經(jīng)濟中扮演重要角色�,各國都將其監(jiān)管上升到數(shù)據(jù)主權的高度��,我國對此也高度重視�,通過《網(wǎng)絡安全法》《個人信息保護法》《數(shù)據(jù)安全法》對重要數(shù)據(jù)、個人信息的跨境流動建立起符合我國實際和國際大環(huán)境的基本監(jiān)管制度��。根據(jù)上述法律規(guī)定���,國家互聯(lián)網(wǎng)信息辦公室制定《數(shù)據(jù)出境安全評估辦法》(下稱《辦法》)�,明確了數(shù)據(jù)出境安全評估的目的���、原則���、范圍����、程序和監(jiān)督機制等具體規(guī)定����,對保護我國國家安全����、公共利益、個人合法利益和促進數(shù)字經(jīng)濟發(fā)展具有重要的里程碑意義�。
一、堅決貫徹習近平法治思想�����,依法監(jiān)管數(shù)據(jù)向境外流動
習近平總書記提出要堅持建設中國特色社會主義法治體系�����,積極推進國家安全�、涉外法治等重要領域立法;同時要堅持統(tǒng)籌推進國內(nèi)法治和涉外法治,要加快涉外法治工作戰(zhàn)略布局���,協(xié)調(diào)推進國內(nèi)治理和國際治理�����,更好維護國家主權��、安全�����、發(fā)展利益�����,要推動全球治理體系變革��,推動構建人類命運共同體�。
近年來�����,我國加快完善數(shù)據(jù)出境安全管理制度��,2016年11月通過的《網(wǎng)絡安全法》,其中第37條規(guī)定了對關鍵信息基礎設施運營者的重要數(shù)據(jù)和個人信息需進行安全評估�,但其他主體的重要數(shù)據(jù)和個人信息出境并未加以明確。2021年6月通過的《數(shù)據(jù)安全法》����,其中第31條在重申關鍵信息基礎設施運營者的重要數(shù)據(jù)出境的安全評估要求之外,還進一步規(guī)定“其他數(shù)據(jù)處理者”的重要數(shù)據(jù)出境也需進行安全評估��。2021年8月通過的《個人信息保護法》��,其中第38條第1款第1項和第40條�����,在重申關鍵信息基礎設施運營者的個人信息出境安全評估要求之外���,還進一步規(guī)定“達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”的個人信息出境也需進行安全評估。由此�����,上述三大立法全面建立起數(shù)據(jù)出境的基礎性制度——安全評估制度��。
目前���,歐美都高度關注數(shù)據(jù)出境的監(jiān)管����。其中,歐盟GDPR對個人數(shù)據(jù)出境的監(jiān)管已經(jīng)相對成型����,包括了充分性認定、集團有效規(guī)則����、標準合同條款、認證等機制���,每一個機制都有配套的實施細則�����。在非個人數(shù)據(jù)向外流動監(jiān)管上���,歐盟《非個人數(shù)據(jù)自由流動條例》對內(nèi)要求成員國之間自由流動,但向境外流動方面則正擬通過《數(shù)據(jù)治理法》和《數(shù)據(jù)市場法》加以明確��。美國則通過《外國投資風險審查現(xiàn)代化法》《出口管制條例》《受控非密信息行政令》等法律法規(guī)限制數(shù)據(jù)向外流動���。
因此�,為貫徹習近平法治思想,國家互聯(lián)網(wǎng)信息辦公室根據(jù)我國上述三部法律規(guī)定�����,統(tǒng)籌數(shù)據(jù)出境監(jiān)管的國內(nèi)法治和涉及境外接收方數(shù)據(jù)處理要求的涉外法治�����,制定了本《辦法》�����,有力維護國家在數(shù)據(jù)領域的主權�����、安全和發(fā)展利益�。
二����、合理設計數(shù)據(jù)出境安全評估規(guī)則,做到監(jiān)管有度
數(shù)據(jù)跨境流動在數(shù)字時代是一種常態(tài)��,但由于跨境流動的數(shù)據(jù)在規(guī)模、范圍��、種類等方面容易給國家安全��、公共利益和個人權益帶來風險�����,因此各國對數(shù)據(jù)跨境流動的監(jiān)管也會成為一種常態(tài)���?����!掇k法》明確數(shù)據(jù)出境安全評估的目的�����、原則����、門檻��、程序�、評估決定的有效期���、出境的終止和重新申報評估等內(nèi)容,體現(xiàn)出監(jiān)管有度�、規(guī)則合理透明。
(一)數(shù)據(jù)出境安全評估的目的應區(qū)分重要數(shù)據(jù)和個人信息兩類數(shù)據(jù)的出境安全評估的目的����。《辦法》第1條規(guī)定數(shù)據(jù)出境安全評估的目的在于“保護個人信息權益,維護國家安全和社會公共利益”����,但并不意味著重要數(shù)據(jù)和個人信息的出境安全評估的目的是完全一致的,相反二者評估目的是由其上位法決定的��。其中�����,重要數(shù)據(jù)出境監(jiān)管制度由《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》加以明確����,其核心目的是維護網(wǎng)絡空間主權和國家安全、社會公共利益���。相比之下����,《個人信息保護法》(第1條)明確個人信息出境監(jiān)管的目的是保護個人信息權益�。因此,作為授權立法��,《辦法》第1條是從統(tǒng)籌重要數(shù)據(jù)和個人信息出境監(jiān)管的角度作出規(guī)定�。
(二)適用安全評估的范圍最大程度凝聚了各方共識。《辦法》第4條規(guī)定數(shù)據(jù)處理者在四種情形下向境外提供重要數(shù)據(jù)或者個人信息���,應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估���。其中,按照現(xiàn)有立法要求���,所有主體的重要數(shù)據(jù)出境都要申報安全評估�����。個人信息出境進行安全評估的門檻主要在于執(zhí)行《個人信息保護法》第40條的規(guī)定����,明確累計向境外提供個人信息的特定規(guī)模設定為年度累計�,充分反映了相關主體有關科學設定個人信息出境安全評估范圍的訴求�����,便利其通過認證�����、標準合同等機制開展個人信息出境��。
(三)安全評估程序設置科學合理�。具體而言�����,《辦法》明確安全評估的程序包括:(1)數(shù)據(jù)處理者自評估�����;(2)數(shù)據(jù)處理者申報安全評估�����;(3)省級網(wǎng)信部門的申報接收和國家網(wǎng)信部門的申報受理����;(4)國家網(wǎng)信部門組織安全評估�,評估過程中可要求數(shù)據(jù)處理者進行材料補充或更正����;(5)評估結果的告知與申請復評�����;(6)通過數(shù)據(jù)出境安全評估但在有效期內(nèi)出現(xiàn)特定情形的重新申報評估�����;(7)通過數(shù)據(jù)出境安全評估后的終止數(shù)據(jù)出境�����。其中�,《辦法》第13條相對于征求意見稿專門新增了評估結果的復評,為數(shù)據(jù)處理者提供了異議機會�����,進一步增強了制度的科學性��。
(四)安全評估的多元考慮因素設計,較為全面地應對數(shù)據(jù)出境的各種安全風險�。《辦法》第8條明確了數(shù)據(jù)出境安全評估重點關注數(shù)據(jù)出境活動可能對國家安全、公共利益����、個人或者組織合法權益帶來的風險,并列舉了七大評估因素����。其中,一是關注數(shù)據(jù)處理者開展數(shù)據(jù)出境的合法性���、正當性和必要性�;二是關注境外接收方保障數(shù)據(jù)安全的能力���,以及所在國家和地區(qū)的技術和法律環(huán)境對該能力的影響��;三是關注數(shù)據(jù)出境可能面臨的安全風險�;四是關注數(shù)據(jù)出境后數(shù)據(jù)安全和個人信息權益是否最終得到充分保障����;五是關注數(shù)據(jù)處理者對境外接收方的約束能力;六是考慮數(shù)據(jù)處理者和境外接收方遵紀守法的信譽�����;七是其他事項,應對數(shù)據(jù)安全技術��、商業(yè)模式和境外環(huán)境的發(fā)展和變化�����。正是因為這七大安全評估因素的統(tǒng)籌設計��,《辦法》能夠較為全面地應對數(shù)據(jù)出境的各種安全風險��。
三����、規(guī)則細節(jié)體現(xiàn)數(shù)據(jù)治理的中國探索
數(shù)據(jù)出境安全評估是我國對數(shù)據(jù)出境安全管理的重要措施��,每一個規(guī)則細節(jié)不僅會對國家安全�����、公共利益���、個人和組織合法權益帶來重大影響����,也會對數(shù)據(jù)跨境流動背后的全球數(shù)字經(jīng)濟帶來重大影響。因此���,要制定合理而巧妙的數(shù)據(jù)出境安全評估實施細則并非易事�?��!掇k法》除了設置合理的安全評估流程和評估考慮因素外����,還在如下兩個細節(jié)充分展現(xiàn)了有益探索����。
(一)提出數(shù)據(jù)安全評估的兩大原則,既明確數(shù)據(jù)出境的主體責任���,又實現(xiàn)監(jiān)管閉環(huán)�����。相較于2017年和2019年有關數(shù)據(jù)出境安全評估的草案���,《辦法》第3條首次明確提出數(shù)據(jù)出境安全評估的兩大原則��,即事前評估和持續(xù)監(jiān)督相結合原則�����、風險自評估與安全評估相結合原則����。
其中��,事前評估和持續(xù)監(jiān)督相結合原則明確安全評估不僅關注數(shù)據(jù)出境前對出境后可能出現(xiàn)的風險的評估和所要采取的安全保障措施���,還關注數(shù)據(jù)出境后風險發(fā)生的變化以及原有措施的有效性,因而該原則建立起數(shù)據(jù)出境風險全過程的動態(tài)評估要求��。
風險自評估和安全評估相結合原則明確數(shù)據(jù)處理者的主體責任�����,即通過自評估的形式對自己的數(shù)據(jù)出境行為負責��,確保根據(jù)數(shù)據(jù)出境風險采取相適應且有效的安全保障措施�。然而,數(shù)據(jù)出境關涉國家利益���、公共利益和個人權益�����,而且數(shù)據(jù)處理者的自評估的結論傾向于通過評估��,因此《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》都要求通過國家網(wǎng)信部門安全評估����,確認數(shù)據(jù)處理者是否切實承擔主體責任,以及評估數(shù)據(jù)出境風險和所采取措施的充分性�、有效性。
(二)評估決定2年有效期的規(guī)定保障了企業(yè)參與全球數(shù)字經(jīng)濟建設的持續(xù)性和連貫性����。《辦法》第14條明確安全評估結果有效期為2年,意味著數(shù)據(jù)處理者可以申報2年內(nèi)對特定境外接收方的數(shù)據(jù)出境計劃��,極大方便企業(yè)開展連續(xù)性數(shù)據(jù)出境業(yè)務��,促進全球數(shù)字經(jīng)濟發(fā)展���。這種設置帶來了相對的制度優(yōu)勢��。以個人信息出境為例���,歐盟雖然設置了充分性認定�����、企業(yè)有效規(guī)則�、標準合同條款等合法機制���,但目前通過充分性認定的只有14個國家�����,企業(yè)有效規(guī)則難獲審批(中國企業(yè)尚未有獲批的案例)�,采用標準合同并不免除數(shù)據(jù)處理者根據(jù)數(shù)據(jù)出境個案的風險采取額外補充措施的義務��。相比較而言�����,跨國企業(yè)在我國開展個人信息出境�,如果符合安全評估的情形�,那么其通過安全評估的確定性要顯著增強,而且還可以提供2年有效期的穩(wěn)定預期�,極大方便了企業(yè)開展跨境業(yè)務���。
總體而言,經(jīng)過多年醞釀和公開討論的《辦法》�����,在充分平衡各方利益的基礎上對數(shù)據(jù)出境安全管理作出新探索�����,既著力于維護國家安全��、公共利益和個人與組織合法權益��,也為全球數(shù)字經(jīng)濟健康發(fā)展提供了中國方案�。
(作者:張金平 中央財經(jīng)大學副教授)
法治號
