张继红:数据出境的法律合规——现状、实践及趋势|数据合规论坛经典演讲
律新社编者按
当下,数据不仅是国家基础性、战略性资源,而且成为数字经济发展的关键生产要素。今年,我国的《政府工作报告》中提出:健全数据基础制度,大力推动数据开发开放和流通使用。近三年来,我国不断在制度政策上作出新的举措,解决发展中的实际问题,促进数据的安全流通。
2024年6月30日,“循规而行·数据致远——2024数据合规法律服务发展论坛”召开,上海政法学院教授张继红作“数据出境的法律合规:现状、实践及趋势”主旨演讲。张继红教授围绕我国企业跨境数据流动的法律合规,介绍了美国、欧盟以及中国数据出境监管模式,深入分析了我国数据出境监管政策在落地实施中存在的问题、企业面临的困境以及未来的发展趋势。张继红教授的主题分享整理如下:
一、数据跨境流动的基本类型
按照主体与处理目的的不同,可以将数据跨境流动分为私主体(如企业)的数据出入境,以及公权机关(如执法机关)的数据跨境调取。
客观来看,基于业务需要的跨境数据流动非常普遍,例如在亚马逊购物、出国留学的跨境支付等;另一方面,公权机关基于公共管理与执法的需要,进行跨境数据调取。需要注意的是,对于“跨境”的理解,其中的“境”是指边境而非国境。我国是“一国四法域”,内地的数据流入我国香港特别行政区、澳门特别行政区以及台湾地区,也属于数据跨境。这里,我们主要聚焦私主体因业务需要的数据出境活动。
二、我国数据出境的条件:基于业务需要
我国数据出境所涉及的三部核心法律为:《网络安全法》《数据安全法》《个人信息保护法》。
根据《个人信息保护法》第38条,基于业务需要,个人信息主要通过三条路径出境:一是通过国家网信部门组织的安全评估;二是进行个人信息保护认证;三是按照国家网信部门制定的标准合同与境外接收方订立合同。
除上述三种路径之外,还有其他路径,即法律法规及网信部门规定的其他条件。例如结合《个人信息保护法》的相关规定,一是自然人因个人或者家庭事务处理个人信息的,不属于《个人信息保护法》的适用对象;二是个人信息匿名化后不再是个人信息,也不属于重要数据的情形;三是根据《网络数据安全管理条例(征求意见稿)》第35条第2款规定,“数据处理者为订立、履行个人作为一方当事人的合同所必需同境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息。”
实践中,企业对于我国数据出境监管制度的理解还存在很多误区。这里,需要注意的是:
01 我国数据出境管理制度不等于出境安全评估,数据出境路径不只是出境安全评估。
02 数据出境重点规制的数据类型是重要数据与个人信息。
03 数据出境重点的监管对象是关键基础设施运营者、达到规定数量的个人信息的数据处理者。
三、数据出境安全评估政策的演变
2022年 9月1日正式施行的《数据出境安全评估办法》规定了数据出境安全评估的情形:
01 数据处理者向境外提供重要数据。
02 关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。
03 自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者向境外提供个人信息。实践中我国很多数据处理型的中小企业已经达到该标准,应当严格遵守该办法规定,履行安全评估义务。
基于上述问题,中央层面进行了数据出境监管政策的调整。2023年12月7日,国务院发布《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》(国发〔2023〕23号),规定企业和个人因业务需要确需向境外提供数据,且符合国家数据跨境传输安全管理要求的,可以向境外提供。同时,支持上海自贸区率先制定重要的数据目录,指导数据处理者开展数据出境风险自评估,探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性。
2024年3月22日,国家网信办制定的《促进和规范数据跨境流动规定》正式生效。其中规定,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。对于之前出台的文件,即2022年7月7日公布的《数据出境安全评估办法》、2023年2月22日公布的《个人信息出境标准合同办法》等相关规定与该《规定》不一致的,适用该《规定》。此外,该《规定》给予自贸区在数据出境方面的自主权限,制定负面清单,加大了数据跨境自由流动的实现范围,大大降低了企业数据出境合规成本。
在地方实践上,天津首发《负面清单》,列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形。
作为第一部省级地方数据立法,《上海市数据条例》首创数据跨境“正面清单”,即“在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动”(第69条)。2024年2月8日,作为落地政策,《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》正式生效,规定核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据目录。2024年5月17日,中国(上海)自由贸易试验区临港新片区发布“数据跨境场景化一般数据清单及清单配套操作指南”,首批一般数据清单包含智能网联汽车、公募基金、生物医药等三个领域,涉及智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景。上海采用“一般数据清单+负面清单”相结合的工作路径,建立行业领域“红绿清单”,能够较好地解决长期困扰企业的“哪些数据可以出境”的问题,进一步减轻了企业数据出境的合规压力。
四、国际监管模式比较
作为两大数据经济体,美国与欧盟在数据跨境流动政策上存在明显差异。为了促进数字产业发展,美国更关注数据的跨境自由流动, 并以国家安全、反恐为由积极拓展境外数据的获取广度和深度,采用“开源节流”模式。2024年2月,美国发布《关于阻止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》,以禁止或限制中国、俄罗斯等 “受关注国家”访问美国人敏感个人数据和美国政府相关数据,对我国施以数据封锁。欧盟则遵循“一体两面”的跨境监管政策:对内,为了构建单一欧洲数据市场,限制各成员国数据本地化措施,确保数据的可访问和再利用,最大限度上促进欧盟成员国内部非个人数据的自由流动;对外,为了保障其个人数据的基本权利, 施以严格的限制个人数据出境政策, 推动其他国家达到“充分保护”标准,以提升欧盟数据监管标准的全球竞争力。
上述两大数字经济体监管模式背后是国家利益的博弈,反映了对数据治理国际话语权的争夺,特别是利用双方在产业和规则制定上的先发优势形成其在国际数据跨境流动领域的竞争优势。2023年7月,双方达成《欧美数据隐私框架协议》,由此形成合围之势,给我国带来了较高的数据跨境流动壁垒。未来,我国应以申请加入CPTPP和DEPA为契机,及时调整完善国内数据跨境流动相关法律政策,在国际规则制定中发挥与自身政治、经济实力相符的作用。
最后,数据出境合规关系到个人、企业、国家三方利益,需要多方共同协作,在个人信息保护与数据利用、国家安全之间找到最佳的平衡点!
↓扫码观看演讲视频↓
相关阅读
►加“数”信任基建 撬动万亿市场!2024数据合规法律服务发展论坛隆重举行
►数据合规领域“品牌之星”闪耀登场!律新社《精品法律服务品牌指南(2024):数据合规领域》重磅发布
►“守正创新”:数据合规管理新次元丨律新社2024数据合规领域见解洞察
END
了解更多行业干货
欢迎关注律新社新媒体矩阵
商务合作
lvxinnews@126.com