促流动、保安全 ——《数据出境安全评估办法》规范数据出境活动安全有序
2022-07-09
以下文章来源于网络安全应急技术国家工程实验室。
关于网络安全应急技术国家工程实验室:
网络安全应急技术国家工程实验室是由国家互联网应急中心运营的国家级实验室。实验室致力于物联网安全领域的基础理论研究、关键技术研发与实验验证,并为国家关键基础设施的物联网建设和运行提供安全保障。
2022年06月30日,国家互联网信息办公室(“国家网信办”)发布了《个人信息出境标准合同规定(征求意见稿)》(“标准合同规定”)。这是继去年10月29日发布的《数据出境安全评估办法(征求意见稿)》(“评估办法”)之后,国家网信办为了落实《个人信息保护法》(“个保法”)第三十八条项下三条个人信息出境路径(即安全评估、认证、标准合同)而推出的第二个具体规定,构成我国数据出境安全管理制度一个重要组成部分。
2022年7月7日,国家互联网信息办公室正式发布《数据出境安全评估办法》(以下简称《评估办法》),标志着《网络安全法》首次确立的数据出境安全评估制度正式落地,也落实了《数据安全法》和《个人信息保护法》中有关数据出境安全管理的规定。
随着全球化与数字经济的发展,数据作为具有极大经济价值的生产要素,在国际间的流动越来越频繁,数量呈逐年增长趋势。然而,数据跨境的无序流动不仅会给数据主体和数据安全带来风险,还关乎国家主权和安全、社会公共利益。《评估办法》将作为我国数据跨境流动安全管理制度中尤为关键的一环,承担起保障数字经济健康有序发展、防范数据跨境传输和境外汇聚风险的重要任务。
一、五年磨一剑,瓜熟终蒂落
自《网络安全法》于2017年6月1日实施以来,国家互联网信息办公室分别于2017年和2019年就数据出境安全评估先后尝试出台过两个办法的征求意见稿,即《个人信息和重要数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》(以下简称《旧办法》),但因当时《数据安全法》和《个人信息保护法》还处在起草过程中,上述《旧办法》并未正式实施。
2021年发布并实施的《数据安全法》和《个人信息保护法》分别从重要数据和个人信息的角度完成了数据出境安全管理制度顶层框架的搭建,而同年发布的《汽车数据安全管理若干规定(试行)》、《网络安全审查办法》修订、《网络数据安全管理条例(征求意见稿)》等则从不同方面规范数据出境活动。在这个大背景下,国家网信部门在前期工作经验基础上,经过不断打磨完善,于2021年10月29日出台了《数据出境安全评估办法(征求意见稿)》。在广泛听取社会各界意见的基础上,2022年7月7日,《评估办法》正式颁布,并于9月1日正式实施。
历经五年的反复论证研究以及从《旧办法》立法尝试中汲取的经验,《评估办法》搭建了一套更加成熟和完备的数据出境安全评估管理体系,在概念和制度建设方面与上位法及其他涉及数据跨境流动的法律文件形成良好的衔接。
二、诸多监管模式创新,为全球数据跨境流动治理贡献中国智慧
世界上超过90%的国家对数据跨境流动进行不同程度的管控。因该领域涉及隐私保护、数据主权、国家安全、经济发展等诸多复杂的议题,各国政府和国际组织在设计数据跨境流动的规制方案时面临巨大挑战,试图在各种利益平衡中找到一个符合自身政策诉求且行之有效的管理路径,例如,印度、俄罗斯等国采取较为严苛的规制手段,而加拿大、新加坡等国的数据出境机制则相对宽松。
欧盟和美国作为世界领先的两大数字经济体通过其分散的立法努力来管控数据的跨境流动:欧盟利用《通用数据保护条例》(GDPR)中的“充分性认定+适当性保障措施”来确保个人数据的保护水平被传输到第三国后不会降低,在其《数据法》(Data Act)草案中对非个人数据向境外传输进行限制;美国则通过《外国投资风险评估现代化法案》(FIRRMA)扩大美国外国投资委员会(CFIUS)的审查权限来限制美国数据流向非美国人的控制之手。
相比较而言,《评估办法》在制度设计方面则具有诸多创新之处。
1.《评估办法》将个人信息和非个人信息(即重要数据)的出境监管整合到一个审查机制下,且交由一个部门(即国家网信部门)统一协调组织相关工作。这将有效避免分散的规则安排和行政分工可能带来的管理漏洞,有利于统一评估尺度。
2.对于个人信息,《评估办法》并未采用一刀切的方式,而是将评估的适用范围仅限定在四类“高风险”的主体上,即(1)关键信息基础设施运营者;(2)处理100万人以上个人信息的数据处理者;(3)年累计向境外提供10万人个人信息的数据处理者;(4)年累计向境外提供1万人敏感个人信息的数据处理者。换句话说,数据处理者仅在达到特定主体条件(即到关键信息基础设施运营者)或者处理个人信息的量级达到一定规模(即100万、10万、1万)时才需进行安全评估。该做法符合适当性原则,将评估事项压缩到必要范围,最大限度地平衡了安全与发展之间关系。
3.与欧盟等很多国家采用“充分性认定”(又称“白名单”制度,即境外接收方所在国家或者地区的数据保护如果经评估能达到“充分”水平,数据可以自由向该境外接收方传输)不同,《评估办法》不仅关注“境外接收方所在国家或者地区的数据安全保护政策法规”等国家层面的整体情况,还考虑与数据出境活动有关的具体内容,如数据出境的“合法性、正当性、必要性”、“出境数据的规模……”、“出境中和出境后遭到泄露……等风险”。两者的本质区别是:前者关注国家或者地区的宏观数据安全保护水平,而后者不仅关注国家或者地区的宏观数据安全保护水平,更着眼于微观个案分析。显然,《评估办法》的这一制度体现了其风控管理的针对性特点。
三、多处与国际现行做法接轨,便利企业多法域合规
鉴于全球数据跨境流动规则的差异化现状,跨国企业面临越来越大的合规挑战。《评估办法》多处制度设计与国际上成熟的数据跨境流动规则或原则保持一致,将在一定程度上缓解在华跨国企业和国内走出去企业在多法域合规工作中的困难。
1.《评估办法》在工作流程上采用“风险自评估+安全评估”的模式,这与亚太经合组织(APEC)跨境隐私规则体系(CBPRs)的“自评估(Self-assessment)+合规审查(Compliance Review)”有异曲同工之处。
2.《评估办法》为“通过数据出境安全评估的结果”设置了2年有效期(即有效期届满后需要重新申报评估),而欧盟GDPR的“充分性认定”也需要每4年重新评估。虽然两个有效期具体适用客体略有不同,但其本质均为了达到“持续监督”的目的。
3.《评估办法》为安全评估设置了一个适用“门槛”,未达到“门槛”的数据出境活动则可以通过标准合同、认证等中国版的“适当性保障措施”出境。这种多渠道、便利化的跨境数据流动监管机制,与国际上通用的做法一致。
至今,全球尚未形成全面、统一的数据跨境流动规则体系。欧洲与美国凭借各自优势试图主导国际规则制定的话语权。根据商务部发布的《中国数字贸易发展报告2020》显示,2019年我国数据跨境流动量约为1.11亿Mbps,占全球数据跨境流动量的23%,位居世界第一。我国可以利用数据大国的地位,一方面以《评估办法》为“锚”,将其作为国际规则制定竞争中的一个重要抓手,借以加强在全球特别是主要贸易伙伴中的影响力;另一方面,以双多边合作为“帆”,推动包括类似《区域全面经济伙伴关系协定》(RCEP)数据跨境流动条款的自由贸易体系构建,为全球早日达成规则共识破局。
“千里之行,始于足下”,《评估办法》的出台标志着我国在搭建数据出境安全管理制度的工作中迈出了重要且坚实的一步。《评估办法》既具有中国特色,又保留与世界现有规则多处衔接,体现了较高的立法水平。当然,作为一个全新的立法尝试,《评估办法》需要在实践中持续完善。随着“重要数据”等概念在实践中逐渐明晰,以及其他配套法规和政策文件的不断出台,《评估办法》必将在维护国家安全、促进数字经济发展、保护个人信息权益方面发挥越来越大的作用。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
