从2020年《全球数据安全倡议》作出尊重各国数据主权的郑重承诺,到2024年《全球数据跨境流动合作倡议》明确提出加快数据领域国际合作,推动以数据流动为牵引的新型全球化,我国在数据跨境流动议题上的立场行动日益清晰。
“数据跨境流动”是近年来数字公共政策议题中最具有挑战性的制度领域之一。既关系个人权益保护,也涉及数字经济发展、国际数字贸易规则,更与国家数据主权与安全休戚相关。受外部复杂因素影响,过去10多年间,各国数据跨境流动政策均有较大调整。我国相关政策的孵化出台、实施完善也经历了复杂历程。
第一阶段:初步提出数据跨境原则要求(2011-2016)
与大多数发展中国家类似,我国数据跨境流动政策是在网络基础设施逐步完善,数据跨境流动场景日益丰富之后,基于国家网络安全视角而提出。自2011年起,陆续在金融、征信、人口健康、地图等重要行业与领域,初步建立了数据本地化要求。直至2016年,《网络安全法》在网络安全基本法律制度中,首次明确提出特定的数据本地化和数据出境安全评估。
第二阶段:搭建制度体系,孵化监管思路(2017~2021)
在提出框架性原则要求后,我国开启了具体实施层面的规范探索。并于2017[1]、2019[2]、2021[3]分别发布三次关于数据出境安全评估规范征求意见稿。其中评估范围、机制不断变化调整,侧面反映出:在数据跨境流动成为数字经济发展普遍现象的背景下,对数据跨境活动的监管干预,本身是一件极具挑战的任务。[4]
第三阶段:落地实施并快速调整优化(2022~2024)
2022年7月,我国数据出境安全评估制度出台[5],并在实施近一年后,结合工作实际,迅速做出了调优完善。适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放[6]。
政策的探索调整充分说明:跨境数据流动机制并非一成不变,安全评估也没有被视为最终唯一的出境机制。在全新未知的数字政策领域,重要的是时刻保持着审慎、积极、开放的心态,寻找能够保障自身优先目标而又适应数字全球化进程的最佳方法[7]。
2024年3月,《促进和规范数据跨境流动规定》(以下简称为“新规”)的出台标志着出境评估制度的优化调整[8]。一方面,对安全评估的泛化趋势进行了校正;另一方面,明确了数据出境路径的适用及其豁免条件,为数据跨境流动提供了更加清晰的指导,具有里程碑式的意义。
1.多样化的数据跨境合规路径
新规出台后,将绝大部分因正常商业和社会活动需要而开展的数据跨境,整体性的豁免相关合规要求,进一步引入多样化的跨境路径。(如图)
2.豁免场景具有充分合理性,是优先适用的重要规则
新规的最大亮点之一是设置了递进式的豁免规则。对于跨境购物、跨境寄递、跨境支付等基于履行合同所必要,以及基于人力资源管理所必要的业务场景(新规第五条),整体性的豁免了包括安全评估、标准合同、保护认证等在内的出境监管要求。展现了我国构建高效、便利、安全的数据跨境流动的决心,其所明确的豁免场景具备充分的合理性。
针对”履行合同所必需”的豁免,符合“业务合法,则相关数据流动亦合法“的内在逻辑。换言之,合同所涉及的业务活动(如跨境购物、寄递、支付等)建立在充分的正当性与合法性基础之上,其本身已经受到了基于业务之上的严格监管。为实现该业务目的,必要范围内的数据跨境流动,在与用户订立、履行合同的过程中,用户亦有明确的知情和授权。针对此类合法正当业务场景的出境豁免,并没有让数据安全、个人权益受到减损,同时还显著减轻了监管机构与企业双方之间的负担,便利了数字经济的发展。
因此,对于这一重要豁免场景,新规将其作为优先适用项。在第七条,第八条等多个条款中予以了反复强调。意味着不论是关键基础设施运营者,还是其他数据处理者,符合第五条场景的,均可以优先适用豁免规则。近期发布的《全球数据跨境流动合作倡议》中更是明确:鼓励因正常商业和社会活动需要而通过电子方式跨境传输数据。[9]此类数据跨境减负,是鼓励政策的最佳实践。
3.自贸区以清单方式回应最紧迫问题,促进数据流动
跨境政策调整后,自贸区在国家数据分类分级保护制度框架下,可制定区内数据清单,经批准备案后,负面清单以外的数据出境可豁免出境要求。当前,北京、上海、天津、福建等已展开积极探索。其中:天津采取了负面清单模式,未列入负面清单的数据可免予履行数据出境事前监管要求,实现自由流动[10]。北京采取了正面+负面相结合的方式,针对汽车、医疗、零售、人工智能等特定行业与领域,明确了相关负面清单[11]、上海临港[12]、福建平潭[13]为“正面清单”,清单内的数据出境场景豁免相关出境要求。
总体而言,在形式上,各地负面清单呈现出场景化、字段化、体系化的特点,对监管部门而言,减轻了落地实操的难度;在内容上,对于企业最紧迫最现实的需求作出了一定回应。例如:上海针对智能汽车领域VIN号码易被监管部门识别为个人信息的问题,明确其在未与具体个人建立关联的情况下属于“一般数据”,备案可出境;福建平潭对跨境旅游、国际航运领域的具体场景作出了列举;北京则在民航、零售领域等将触发安全评估、标准合同备案或认证的阈值上调,缩小评估适用范围,如将民航业触发安全评估的一般个人信息调整至500万以上,敏感个人信息调整至10万以上。
继续推进数据跨境政策创新探索
当前,数字贸易在全球贸易中的占比持续提升,成为继货物贸易、服务贸易之后的重要贸易形态[14]。然而与之匹配的数字规则,在全球远未达成协调一致,甚至有进一步碎片化的风险。根据OECD全球数字服务贸易限制指数, 各国针对数字服务的限制措施仍在不断上升,其中,跨境数据流动的限制、歧视性差别待遇等措施已经成为影响数字经济发展的主要负面变量[15]。
面对短期内无法形成全球统一共识的局面,各国从双边、小多边着手,寻求跨境合作机制,增强政策稳定性。2023年,新加坡与墨西哥、澳大利亚分别签署升级个人信息信息保护合作机制,开发兼容两国监管框架的数据传输机制。2024年,《欧盟-日本关于跨境数据流动的协议》正式生效,协议强调双方要确保以电子方式进行的跨境数据传输[16]。与此同时,我国在数据跨境流动议题上的立场日益清晰。从2020年《全球数据安全倡议》侧重于尊重数据主权的基本承诺,到2024年《全球数据跨境流动合作倡议》明确提出推动全球数据跨境流动合作。
1.推进数据领域国际合作,夯实国家间“数据信任”的基础
今年以来,我国在数据跨境议题上取得积极进展。2024年6月,中德签署《关于中德数据跨境流动合作的谅解备忘录》[17];中新数字政策对话机制第一次会议召开[18];同年8月,中欧数据跨境流动交流机制建立[19]。在多边领域,我国一如既往主动对接《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》中的高水平数字贸易规则。在动荡变化的大形势下,这些有力举措无疑有助于夯实国家间“数据信任”基础,建立数据流动的绿色通道。建议未来能更进一步展开务实合作,建立合作机制,求同存异,互利共赢。
2.明确标准合同的定位,优化适用规则
我国在粤港澳大湾区数据流动中,积极发挥标准合同机制作用。目前,已与香港、澳门发布标准合同实施指引[20][21],旨在为粤港澳大湾区间企业的个人信息跨境流动“减负”。
从长远看,作为国际上较为通用的数据出境合规路径,标准合同机制的作用发挥仍有很大提升空间。在我国数据跨境“双轨制”框架之下,安全评估侧重维护国家安全、公共利益;而标准合同、保护认证方式旨在保护个人权益[22]。因此,标准合同与安全评估本该“各行其道”,相互补位。但目前来看,标准合同的相关条款内容、合规义务与安全评估有较大重叠。导致二者在功能目标上的区分变得模糊。标准合同条款的过高要求提高了中小规模个人信息的出境门槛,原本为‘优先促发展’而设计的标准合同机制并没有发挥应有的作用,反而又回到了‘优先保安全’的框架内。[23]。未来可考虑对标准合同机制“减负”,合理确定条款的强制使用机制和内容强制程度,以适当平衡自治与管制[24],使之真正成为能够被普遍采用的数据出境路径。
3.加强自贸区政策的开放性与协调一致
通过近一年来的探索实践,自贸区以清单方式回应了产业界关注的重点问题,提升了政策的清晰度。然而出于对出境新规的不同认识,目前自贸区的相关规定存在较大差异。一是对豁免规则的理解差异,导致一些本属于新规豁免情况的出境场景(典型如基于订立履行合同所必需),在自贸区内可能有更多限制[25]。此外,对于新规中已经明确的豁免场景,自贸区是否还能够增加新的评估、备案要求存在着争议;二是对重要数据和敏感个人信息的不同界定,一定程度上增加了新的不确定性。三是清单运用方式的差异。尽管正面清单有利于明确回应企业关切问题(即明确特定数据不纳入出境监管框架),然而长期来看,由于正面清单无法穷举所有场景[26],其未来扩展仍有局限性。
放权自贸区的原意,是在特定区域内探索比国家一般性政策更为灵活宽松的政策,若结果更加严格,则不仅与初衷南辕北辙,也增加了政策的碎片化风险。本质上,我们最终要建立的是国家层面协调一致的跨境政策,而并非各地制度的重复建设[27]。当然,采取“清单方式”,本身也意味着“清单”会根据实际情况进行动态调整。相信自贸区未来能够进一步定位于扩大改革开放的“桥头堡”定位,发挥创新功能,开辟更多高效便利安全流动渠道。
本文作者:
王融 腾讯研究院首席数据法律专家
钟雨霏 腾讯研究院公共政策中心实习生
注释来源:
[2] 国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知,2019-06-13,https://www.gov.cn/xinwen/2019-06/13/content_5399812.htm
[3] 国家互联网信息办公室关于《数据出境安全评估办法(征求意见稿)》公开征求意见的通知,2021-10-29日,https://www.cac.gov.cn/2021-10/29/c_1637102874600858.htm
[4] 王融,《数据跨境流动政策认知与建议》,腾讯研究院公众号,2018年1月29日
[5] 《国家互联网信息办公室. 数据出境安全评估办法》, 2022年07月08日, https://www.gov.cn/zhengce/zhengceku/2022-07/08/content_5699851.htm.
[6] 《促进和规范数据跨境流动规定》答记者问,2024年03月22日。https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm
[7] 杨筱敏,《全球跨境数据流动国际规则及立法趋势观察和思考》,CAICT互联网法律研究中心公众号,2019年9月17日。
[8] 《促进和规范数据跨境流动规定》,2024年03月22日,https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
[9] 全球数据跨境流动合作倡议,2024年11月20日. https://www.cac.gov.cn/2024-11/20/c_1733706018163028.htm
[10] 天津市商务局《关于印发《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》的通知》,https://shangwuju.tj.gov.cn/tjsswjzz/zwgk/zcfg_48995/swjwj/202405/t20240509_6620796.html
[11] 北京市互联网信息办公室等三部门关于印发《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》的通知,2024-08-30,https://www.beijing.gov.cn/zhengce/zhengcefagui/202409/t20240902_3787646.html
[12] 上海临港发布首批数据跨境一般数据清单, https://www.gov.cn/lianbo/difang/202405/content_6951895.htm, 2024年05月17日.
[13] 平潭综合实验区自贸试验与深化改革办公室关于印发《中国(福建)自由贸易试验区平潭片区数据跨境流动一般数据清单(试行)》的通知, https://www.pingtan.gov.cn/zwgk/zfxxgk/dfbmptlj/ptzhsyqbm/ptzhsyqgwh/fdzdgknr/qtyzdgkdzf/202409/t20240903_93344.htm,2024年08月26日.
[14] 中国信通院发布《全球数字经贸规则年度报告(2024年)》,中国信通院 微信公众号,2024年9月27日
[15] OECD Digital Services Trade Restrictiveness Index,https://goingdigital.oecd.org/en/indicator/73
[16] EU-Japan deal on data flows enters into force, European Commission. 2024, July 1, https://policy.trade.ec.europa.eu/news/eu-japan-deal-data-flows-enters-force-2024-07-01_en
[17] 庄荣文会见德国数字化和交通部部长维辛 双方共同签署《关于中德数据跨境流动合作的谅解备忘录》, https://www.cac.gov.cn/2024-06/26/c_1721081180089753.htm,2024年06月26日.
[18] 中新数字政策对话机制第一次会议在京召开,https://zfsg.gd.gov.cn/xxfb/sjyw/content/post_4449065.html,2024年07月02日.
[19] 中欧数据跨境流动交流机制正式建立并举行第一次会议,https://cagd.gov.cn/v/2024/08/5596.html,2024年08月27日.
[20] 《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》, 2024年09月10日,https://www.cac.gov.cn/2024-09/10/c_1727567893741986.htm.
[21] 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,2023年12月10日,https://www.gov.cn/zhengce/zhengceku/202312/content_6920259.htm.
[22] 刘金瑞.数据跨境双轨制下个人信息出境监管豁免制度的适用与完善[J].财经法学,2024,(5): 23-40
[23] 叶传星,闫文光.论中国数据跨境制度的现状、问题与纾困路径[J].北京航空航天大学学报(社会科学版),2024,37(1): 57-71
[24] 金晶.作为个人信息跨境传输监管工具的标准合同条款[J].法学研究,2022,44(5): 19-36
[25] 宁宣凤 , 吴涵等,《春风几度玉门关:论天津自贸区数据出境负面清单》,https://www.kwm.com/cn/zh/insights/latest-thinking/on-negative-list-for-outbound-data-issued-by-china-tianjin-pilot-free-trade-zone.html
[26] 金昌华、徐琳等,《从<规范和促进数据跨境流动规定(征求意见稿)>看网信办如何为企业数据出境“松绑”?》,2023年10月12日,https://mp.weixin.qq.com/s/5Qb3apMUVDqwswZERrvb4w
[27] 王一楠、全婉晴,《津沪闽京自贸区数据跨境流动清单管理制度研究》,2024年11月11日,https://www.secrss.com/articles/72265.
王星:《公共数据、基础设施与人工智能:数据市场发展的三个驱动力 | 数据要素行业洞察(四)》
👇 点个“在看”分享洞见
