文 | 中伦律师事务所合伙人、中国法学会网络与信息法学研究会常务理事 陈际红
数据跨境传输涉及国家安全、公共利益和个人权益保护等诸多考虑,成为近年来各国立法和监管的焦点。当前,我国“数据出境监管三种机制”已初步形成,主管部门也就数据出境安全评估、个人信息出境标准合同备案和个人信息保护认证形成了一定的监管实践,并仍在不断探索,可谓处在“确立监管标准”的关键节点。基于此,有必要分析我国数据出境监管机制的制度目标,顺应企业的发展诉求和国际变化,不断优化目前各数据出境监管机制的实施,促进数据安全和数据流通的动态平衡。
一、我国数据跨境传输监管法律框架初步形成
自 2022 年下半年开始,《网络安全法》《数据安全法》和《个人信息保护法》确定的数据出境监管机制——数据出境安全评估、个人信息出境标准合同与个人信息保护认证的实施规则相继发布,被业界称为“中国数据出境监管三件套”。这是自《网络安全法》确立数据出境安全评估制度以来,我国的数据跨境传输监管进入制度性落地阶段的重要标志。“中国数据出境监管三件套”适用于广泛的数据出境场景,与适用于特殊情况下的数据跨境监管制度共同构成了我国数据跨境传输的监管框架。
在“中国数据出境监管三件套”中,安全评估与标准合同、认证构成了“法定适用”与“选择适用”的两层次数据跨境监管规则。安全评估属于法定适用,适用于以下的场景:一是出境数据包含重要数据,而不论数据处理者是否构成关键信息基础设施运营者;二是数据处理者构成特殊主体:数据处理者被认定为关键信息基础设施运营者,向境外提供个人信息;三是数据处理者所处理的数据量超过“门槛”:处理个人信息达到 100 万人以上;或自上年 1 月 1 日起累计向境外提供超过 10 万人个人信息或 1 万人敏感个人信息。针对法定适用安全评估之外的场景,可以选择标准合同或认证。
相关法律法规还规定了特殊情况下所适用的数据跨境监管制度,包括网络安全审查及数据安全审查制度、应外国司法或执法机构要求提供境内数据的审批制度(如《数据安全法》第 36 条)、其他特殊类型数据的出境管制(如人类遗传资源信息)、数据出口管制物项许可等。
在逐步完善国家数据跨境安全管理制度框架的同时,出于发展数字经济、释放数据要素价值、优化外商投资环境等目的,有关部门也在进行数据跨境便利化的尝试。2020 年 6 月 1 日印发的《海南自由贸易港建设总体方案》,将“开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制”作为自由贸易港封关前的重点任务。2020 年 8 月发布的《关于印发全面深化服务贸易创新发展试点总体方案的通知》提出,在北京、上海、海南、雄安新区等条件相对较好的试点地区开展数据跨境传输安全管理试点。2023 年 6 月发布的《关于促进粤港澳大湾区数据跨境流动的合作备忘录》提出,在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动的安全规则,加强内地与香港的数据跨境安全有序流动。按照 2023 年 7 月发布的《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,主管部门将积极探索便利化的数据跨境流动安全管理机制,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,支持北京、天津、上海、粤港澳大湾区等地试点探索形成可自由流动的一般数据清单。
二、中国数据出境监管机制的制度目标
“中国数据出境监管三件套”的制度设计体现了各自的制度目标。具体而言,数据出境安全评估的制度设计围绕保障国家安全和公共利益的核心目标展开,而标准合同和认证则属于为实现个人信息同等保护水平要求而制定的制度工具。
(一)数据出境安全评估
《网络安全法》第 37 条规定了关键信息基础设施运营者对个人信息和重要数据的境内存储义务,如需向境外提供的,应当通过安全评估。据此,我国第一次设立了数据出境的安全评估制度。根据《关键信息基础设施安全保护条例》第2条的规定,关键信息基础设施的主要识别标准是考虑当系统遭到破坏、丧失功能或者数据泄露所产生的影响后果,如可能严重危害国家安全、国计民生、公共利益的,则该重要网络设施、信息系统会被认定为关键信息基础设施。据此,可以认为,关键信息基础设施安全保护制度的目标是为了维护国家安全、国计民生和公共利益。因此,《网络安全法》第 37 条规定的针对关键信息基础设施运营者实施的数据出境安全评估制度的目标,亦是如此。
《数据安全法》第 31 条重申了关键信息基础设施运营者评估重要数据出境安全的义务,并将义务主体扩展到其他的数据处理者,即针对非关键信息基础设施运营者的重要数据出境的安全管理办法,授权网信部门会同国务院有关部门制定。因此,《数据安全法》的该条规定针对重要数据出境构建了一个全方位监管框架,但对非关键信息基础设施运营者的重要数据出境是否适用安全评估制度,并没有给出答案。《数据出境安全评估办法》第 4 条明确,无论数据处理者是否为关键信息基础设施运营者,向境外提供重要数据的,都应当通过数据出境的安全评估。据此,可以认定,《数据安全法》及《数据出境安全评估办法》确立了重要数据出境一体化适用安全评估的要求。目前,重要数据的识别标准和识别程序存在较大不确定性,而国标《信息安全技术 重要数据识别指南》还处于征求意见阶段。根据《数据出境安全评估办法》第 19 条规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。可以认为,重要数据制度的保护对象是国家安全和公共利益,重要数据出境的安全评估也理应如此。
《个人信息保护法》第 38 条确立了个人信息跨境传输的三种合法路径,即网信部门组织的安全评估、个人信息保护认证和标准合同。对于个人信息跨境传输的安全评估,《个人信息保护法》第 40 条规定了两种适用主体:关键信息基础设施运营者及处理个人信息达到国家网信部门规定数量的个人信息处理者。对于关键信息基础设施运营者而言,《网络安全法》已做出规定,而对达到规定数量的个人信息处理者适用的安全评估,则是新的法律要求。《数据出境安全评估办法》第 4 条明确了触发安全评估的数量门槛:处理 100 万人以上个人信息的数据处理者向境外提供个人信息;或者,自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息。对于这样的规定,立法部门可能持有的逻辑是,如果个人信息处理者本身处理的数据量大,或者向境外累计传输数据的量达到一定的规模,可能会影响公共利益乃至于国家安全,因此,需要安全评估机制的介入。
综上,《网络安全法》《数据安全法》及《个人信息保护法》确立的数据出境安全评估制度虽在主体及数据类型层面各有侧重,但最终殊途同归,均以保障国家安全和公共利益作为制度目标。
(二)个人信息出境标准合同与个人信息保护认证
《个人信息出境标准合同》文本的起始段落开宗明义地阐明了标准合同的目标追求,即“为了确保境外接收方处理个人信息的活动达到中华人民共和国相关法律法规规定的个人信息保护标准”。标准合同实质上是实施《个人信息保护法》确立的同等保护原则的一种手段或机制,即考虑到境外接收方所在国家或地区在个人信息保护立法或执法保护水平上可能存在的不足,通过标准合同,把《个人信息保护法》等法律法规确立的个人信息保护基准要求转化为对境外接收方具有法律约束力和可执行的合同条款。这一制度目标与欧盟《通用数据保护条例》(GDPR)规定的标准合同条款(SCCs)具有一致性。GDPR 在个人数据跨境转移规则的制定上,无论是充分性认定还是标准合同条款亦或有约束力的公司规则(BCR),虽其保障手段或措施不同,但都是围绕同等保护水平要求展开。
个人信息跨境处理活动认证属于国家推荐的自愿性认证,一旦认证成功,即可作为在认证范围内的跨境处理活动的合法路径。同时,认证属于一种长效的机制,在获得认证后的一定期限内,如果个人信息跨境处理活动的认证事项没有发生实质性变化的,即可作为连续性的跨境处理活动的依赖。认证所适用的场景主要包括三类:跨国公司的个人信息跨境处理活动;同一经济、事业实体下属子公司的个人信息跨境处理活动;关联公司之间的个人信息跨境处理活动。跨国公司及同一实体下的子公司间的处理活动,具有内部性,且各方的关系稳定、公司管理架构一致,容易达成认证所需要的协议、组织设置、统一数据处理规则等要求,比较适合于认证机制。有一种观点认为,该项认证是中国版的 BCR,但是,在认证标准和监管手段的设计上,二者之间还是有实质性差别的。归根结底,此等借助第三方机构对个人信息跨境处理活动进行检查和认证的机制,根本目标仍是确认能否实现同等保护水平的要求。
综上,作为“选择适用”的个人信息出境标准合同与个人信息保护认证,均以实现个人信息的同等保护水平要求作为制度目标。
三、对目前数据跨境传输监管实践的观察
在数据出境安全评估审查实践方面,《数据出境安全评估办法》,相比而言,算是实践较为充分的一项制度。基于既往案例的观察,对数据出境安全评估的审核要求较为严格,除了法律维度上的合法、正当和必要性评估之外,申报主体还需要列明数据出境的具体字段类型、服务器位置、IP 地址、跨境传输链路,以及对安全能力的证明等,要求的信息颗粒度比较细。目前看,申报周期普遍比较长,数次往返补充资料也比较常见;结合近期监管动向,审核速度可能会加快。大多数适用企业都认真地组织了数据出境安全评估的申报工作,但也有部分企业在办法生效之初持观望态度,导致申报工作开展不及时,还有些企业担心申报不通过会被停止数据传输,尚在犹豫。对此,监管部门态度比较明确,要求依法申报、应报尽报。很多企业还在 2023 年 2 月 28 日之后陆续递交申请。可以预计,安全评估申报与评估会持续比较长的周期。企业的诉求主要包括希望对安全评估审查标准的进一步明确和稳定,尤其是所需要提供信息的详细程度及证明材料的具体要求。在实践中,应区分《个人信息保护法》第 13 条所规定的不同的合法基础的适用情形,不要一概地把同意作为合法基础并要求个人信息处理者获得单独同意。有一些企业还认为,触发安全评估的门槛较低,应适当提高。例如,在中国市场环境下,大量对消费者的企业会很容易达到“处理超过 100 万人个人信息”的标准,从而导致安全评估适用的普遍化。同时,也有一些企业提出,对于关联企业间联合申报或备案,在法律允许范围内,应鼓励且制定一个实施标准,提升企业实施和政府监管的效率。
在个人信息出境标准合同备案审查实践方面,自 2023 年 6 月 1 日开始,各地省级网信部门开始接受个人信息出境标准合同备案申请,也有部分申请获得备案通过。虽然标准合同属于备案性质,根据实际案例观察,各地网信部门还是会对备案材料(包括个人信息保护影响评估报告)进行较严格的实质性审核,而非仅仅是形式要件的审查。
四、推动数据跨境的安全有序流动的建议
为准确实现数据跨境监管制度目标,推动数据跨境的安全有序流动,在“确立监管标准”的关键节点,建议不断优化目前各数据出境监管机制执行的方式,因时而变,探索行业良好实践及便利化的数据出境机制,实现数据安全和数据流通的动态平衡。
一是合理配置三种数据出境监管工具的适用范围。考虑到数据出境安全评估的审查标准更高、程序更严格,企业的合规成本也会更高,该监管工具的适用应当围绕国家安全和公共利益的核心目标展开,对不会触发国家安全和公共利益考虑的数据出境场景,可设置安全评估的例外,交由其他机制解决。例如,一些处理个人信息数量超过一百万的企业,数据出境场景简单,仅涉及少量员工个人信息或者一些商业合作伙伴的联系人信息出境,一般而言,不会带来国家安全和公共利益的担忧。此种情况若交由标准合同解决,除了会提升监管审查的效率外,也会降低企业负担。对此,《个人信息保护法》第 40 条也有相应的法律依据,对法定适用安全评估的情形,法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
二是促进标准合同备案程序的便利化。与安全评估相比,标准合同备案应当是一种更基础和广泛适用的跨境机制,能解决企业在跨境民商事活动中大部分个人信息出境场景需求。由于其性质属于备案,与安全评估程序的实质性评估不同,备案程序对备案材料的审核应侧重于形式审核。在监管方面,应当以事后监管为主,通过案件调查、接受举报、备案抽查等监管方式实现监管目标。在备案程序便利化方面,建议建立备案系统,实现在线完成填表和文件提交工作。基于此,将标准合同机制打造成企业个人信息跨境的便利通途。
三是实现不同跨境监管机制下监管部门的协同。除了三种基础性的数据出境监管工具外,我国还有其他与数据跨境相关的监管制度,如《数据安全法》第 36 条规定的向外国司法或者执法机构提供境内数据。监管部门的协同主要是为了实现两个目标,一是避免出现监管的真空地带,二是避免出现监管工具的叠加适用。
四是促进双边或多边数据便利流通机制的建立。在各国数据本地化立法加强,数据跨境监管日趋严格,甚至在数字贸易规则制定上表现出“政治化”和“阵营化”的背景下,构建全球具有广泛共识的数据跨境规则体系不具有现实性。然而,考虑中国外向经济的实际情况,中国企业在海外的业务已受到数据跨境流动的制约,企业界对便利化的跨境数据传输机制具有很强的诉求。在行动方面,可以设置区域多边机制,如充分利用《区域全面经济伙伴关系协定》(RCEP)确立的“数据自由流动”基础性原则,深化在成员国间的落地机制,同时,也可以寻求“一对一”的便利化,与重要贸易伙伴签订类似“充分性认定”的双边协议。
五是探索行业良好实践并展现案例的指示性。对于数据跨境需求密集的行业,包括汽车、跨境电商、互联网、金融等,可以梳理行业的良好实践案例,建立行业数据跨境的“红绿灯”清单,增强企业合法开展数据出境的方向性和准确把握监管水位的可预期性。《关于进一步优化外商投资环境加大吸引外商投资力度的意见》所述的“探索形成可自由流动的一般数据清单”,应有此意。
六是在治理路径上建立政府监管、行业发展和社会治理的良性互动。监管的要求能够清晰和有效地传递给行业,行业的诉求和问题能够被监管敏捷地感知,柔性和硬性治理工具搭配合理,从而形成多方互动、多元治理,平衡数据跨境传输安全与经济发展的良性态势。
(本文刊登于《中国信息安全》杂志2023年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
