摘要:伴随着全球经济一体化和数字经济的快速发展,数据跨境流动的需求日益迫切,但与之相关的国家安全、个人数据保护等方面的问题和挑战也日益突出。新审议的《数据安全法(草案)》对我国数据跨境流动体系构建做出了规范。本次研究从我国企业“走出去”和国外企业“引进来”两个视角出发,深入分析《数据安全法(草案)》对我国数据跨境流动的影响。
一、现有法律法规环境下数据跨境流动的困境
(一)各国数据跨境流动法律法规不一致
各国数据跨境流动立法标准不统一。据不完全统计,全球已有超过135个国家(地区)出台数据保护的法律法规,其中大多数涉及到数据跨境流动的法律或政策。欧盟以“构筑单一数字市场”为战略目标,按照“外严内松”原则引领建立全球数据规制体系,通过《一般数据保护条例》(GDPR)和《非个人数据在欧盟境内自由流动框架条例》保障数据在欧盟范围内的自由流动,消除各成员国的数据本地化要求,并通过充分性认定确定了数据跨境自由流动白名单国家;美国以维护数字竞争优势和强化“长臂管辖”为主旨,构建数据跨境流动与限制政策,《澄清境外数据的合法使用法案(CLOUD)》以适用“控制者原则”扩大美国执法机关调取海外数据的权力;俄罗斯兼顾国家安全和产业发展,实施了数据本土化和数据跨境流动白名单政策;日本以加强跨境数据流动政策灵活性为主导,全面加强与美欧两大跨境数据流动监管框架的对接。可以看出,各国数据跨境流动法律法规的主旨是在本国利益最大化的前提下合法推进数据跨境流动。数据跨境流动成为我国企业在国际贸易中的业务需求,我国企业“走出去”必须满足各国数据跨境法律法规要求。
(二)我国数据跨境流动规制尚不健全
我国数据跨境流动法律体系尚不完善。我国目前仅有一条法律条款针对数据跨境流动作出规定,《中华人民共和国网络安全法》第37条明确了人信息和重要数据的本地存储、出境评估等法律义务。国家网信办虽于2019年公布了《网络安全审查办法(征求意见稿)》《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》等法规,但统一客观、可操作性强的数据跨境流动法规仍处于缺位状态,目前的法律法规都无法适应数据跨境流动合规建设和多元化发展要求,数据出境和入境安全评估亦未落地实施。
二、《数据安全法(草案)》下数据跨境流动的影响
纵观草案,第2条、第22条、第23条、第24条、第33条,分别从域外适用效力、数据安全审查制度、数据出口管制、数据对等反制措施和数据跨境调取审批制度等不同维度,初步确立了我国针对数据跨境流动的基本法律框架。
(一)拓展草案域外适用效力有助于维护国家安全和保障公民个人信息安全。
《数据安全法(草案)》第2条第2款“中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任”是在《网络安全法》第75条“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任”的基础上进行延续拓展,与欧盟GDPR第58条类似,赋予了《数据安全法(草案)》域外适用效力。
一方面,我国国际贸易持续活跃,伴随大量双边和多边经贸合作协议的签订,以及与“一带一路”国家贸易关系的紧密发展,带动了双边和多边的数据交互流动持续上升。另一方面,数字经济的快速发展加速了数据的全球流通和融合,而全球数据黑色产业链日益成熟,离境数据被恶意利用和买卖的现象频发,数据泄露事件不断发生,且各国数据保护标准不一致,造成数据在全球范围内自由流动缺乏安全可信的在线环境。
面对新形势,《数据安全法(草案)》基于最为必要的原则,在国家安全、公共利益或者公民、组织合法权益方面确立了域外适用效力,既能为针对中国的数据犯罪活动提供执法依据,同时还能够维护中国的数据主权。
(二)数据安全审查制度为跨境数据活动建立“防护罩”。
《数据安全法(草案)》第22条“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查”项下的“数据安全审查制度”为企业数据活动划定边界,增加了我国数据安全防护手段。
数据安全审查制度与我国网络安全审查和外商投资安全审查的审查对象不同,数据活动囊括了数据的收集、存储、加工、使用、提供、交易、公开等各种行为。赛智时代认为建立数据安全审查制度,一方面,为危及国家安全数据活动建立“防护罩”,促进我国数据跨境流动的合规建设和第三方数据安全评估企业的发展,与网络安全审查制度共同确保数据跨境活动的安全性。另一方面,数据安全审查制度增大了重要数据跨境流动的时间跨度,降低了数据的时效性,一定程度上增加了企业数据跨境流动的成本,某种程度上可能抑制国外企业进入的积极性。
6月30日印度封禁了59款中国APP,印度电子和信息技术部声称,相关APP以未经授权的方式窃取和秘密传输用户数据到印度以外服务器,有损“印度主权和完整、印度国防、国家安全和公共秩序”,根据《信息技术法案》第69A条“禁止访问规则”予以封禁,破坏了经济活动和法律环境,为我们展现了该条款的威力,也在一定程度上成为该条款运用的反面例证。
(三)数据出口管制有助于平衡数据主权与数据跨境流动,实现安全与发展并重。
《数据安全法(草案)》第23条“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”与《出口管制法(草案)》相衔接,将《出口管制法(草案)》中的管制物项从“货物、技术、服务”扩大到“数据”,其目的类似美国的《2018年出口管制法》和《出口管制条例》(EAR)项下对科技数据的出境限制。
数据出口管制是根据数据属性、风险程度等对政府、银行、金融、征信、健康、税收等关键基础设施和行业数据采取出口限制的措施,可能包括完全禁止出境、选择性禁止、有条件出境等。《数据安全法(草案)》将“数据”作为出口管制物项,为后续重要数据以及个人非敏感数据、政府和公共部门的一般数据、行业非限制性技术数据的数据出口管制规则提供依据,并从国际合作、双边和多边对话、技术合作、基础设施建设等方面采取积极应对措施,使得中国企业承诺遵守协议的原则,得以在其他国家开展业务。
(四)数据对等反制措施为我国企业在国际公平竞争中提供法律支撑。
《数据安全法(草案)》第24条“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施”,将国际法中对等原则在数据跨境流动领域确立使用,为我国企业在国际公平竞争中增加了保护措施。
赛智时代认为,构筑数据跨境流动环境的原则是公平和对等,《数据安全法(草案)》第24条推动建立公平的数据流动国际环境,为我国在数据跨境流动中依法、合法采取反制措施赋权,增大我国在数据跨境流动过程中域外保护管辖权,保障了我国企业在数字领域的公平竞争。
(五)数据跨境调取审批制度是应对他国长臂管辖的“封阻法令”。
《数据安全法(草案)》第33条“境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告获得批准后方可提供”与《国际刑事司法协助法》第4条,构成了应对外国长臂管辖的“封阻法令”。
该条款旨在应对包括《美国澄清境外合法使用数据法案》(CLOUDAct)项下的数据跨境调取措施。CLOUD法案通过适用“控制者原则”,扩大了美国执法机关调取海外数据的权力,同时其他国家要调取存储在美国的数据,则必须通过美国“适格外国政府”的审查,需满足美国所设定的人权、法治和数据自由流动标准。面对美国试图引入和推广的数据跨境调取执法机制,一方面,应当基于数据主权实现对个人数据和重要数据出境的全生命周期保护,积极鼓励和支持我国企业加强与国内外监管机构的合作,参与国际跨境数据执法规则的制订;另一方面,通过政府与企业多种形式合作的基础上完善我国数据跨境流动规则,同时加速与其他国家的数据执法合作,并依托“一带一路”、区域全面经济伙伴关系协定等国际合作平台,推广我国数据跨境执法的立场、制度和典型案例。
综上所述,赛智时代认为,数据跨境流动应当统筹“安全”与“发展”,按照法规要求坚守安全底线,同时持续推动数据流动,有效释放数据红利。
注:本文摘自赛智大数据课题组魏贝、周振松完成的研究报告,详细内容请点击饮鹿网产业报告栏目阅读。
声明:本文来自赛智时代,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
