通途乍现 – 临港自贸片区的跨境数据传输新政畅想
作者: 通力律师事务所 杨迅 | 杨坚琪
为通力律师事务所在临港新片区设立分所献礼!
2020年11月5日, 上海市人民政府对外发布了《上海市全面深化服务贸易创新发展试点实施方案》(“《服贸创新实施方案》”), 意在加快上海市的服务贸易的改革开放, 推动服务贸易的进一步创新发展。尤为引人注意的是, 《服务创新实施方案》在第八条特别提出, 上海将在临港新片区探索研究“推进数据跨境安全的有序流动”机制, 为金融业、生命健康业、高端制造业企业的数据跨境传输的可行性提供了畅想的空间。本文将简要介绍《服务创新实施方案》对于目前数据跨境流动框架的可能突破方向。
《服贸创新实施方案》下的数据流通政策
《服贸创新实施方案》并非是首个研究跨境数据传输机制的政策。实际上, 在2019年7月设立临港自贸新片区时, 国务院就通过《中国(上海)自由贸易试验区临港新片区总体方案》将探索研究“跨境数据流通”规则的任务交给了临港新片区。在经过了一年多的实践考察后, 结合上海外资金融机构多、生命健康领域强的特点, 以及考虑到智能汽车巨头特斯拉(以及背后的产业链)主要营业场所就在临港的现实优势, 《服贸创新实施方案》极具针对性地提出了为在沪金融、医药和高端制造业企业打造“临港版跨境数据流通政策”的愿景。
对比北京地区的服务贸易和数字贸易的政策、深圳地区的“双区驱动”政策, 上海政府出台的《服贸创新实施方案》更加关注实践中跨国企业在数据跨境传输中遇到的问题, 这表明临港片区可能已经与中央政府有关监管部门进行过沟通, 在维护数据安全的同时, 解决外国投资者对外传输数据限制的担忧。
现有法律体系下对数据出境的限制
近年来, 全球各地政府都加强了数据安全方面的立法, 而“数据本地化”要求则是维护数据安全重要立法举措之一。作为提出“数据主权”最早概念的国家之一, 我国在很多敏感领域要求数据储存在当地, 不能任意向境外提供。
我国的数据本地储存要求不仅体现在《网络安全法》中, 也存在于众多行业监管部门的监管实践中。比如:
- 在证券基金领域, 《证券法》限制“与证券业务活动有关的文件和资料”向境外传输; 《证券基金经营机构信息技术管理办法》禁止“证券基金经营机构……截取、留存客户信息, [或]以任何方式向其他机构、个人提供客户信息”。实际上, 这样的监管要求导致跨国金融机构在境内获取的客户信息和交易信息难以与境外母公司整合处理。
- 在医疗健康领域, 《人口健康信息管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《中华人民共和国人类遗传资源管理条例》等法律规定限制人口健康信息、健康医疗大数据和人类遗传资源信息的出境, 导致中国境内的医疗病例和人口健康信息难以共享, 给国际多中心医学研究带来困难;
- 在自动驾驶汽车领域, 虽然没有禁止有关数据出境的强制规定, 但是考虑到其牵涉到公众的安全和国家利益, 落入大数据领域, 自动驾驶的控制系统甚至可能构成关键信息基础设施, 因此相关的数据出境也受到很大限制。
上述所列仅仅是中国法下限制数据出境的冰山一角。从金融到实业, 从对公到对私业务, 各行各业多多少少遇到数据出境的障碍。尤其对于跨国公司, 无法或难以在全球层面整合中国境内的数据, 不仅给统筹管理中国业务带来困难, 也阻碍了数据的有效利用和充分发挥数据的价值。此外, 对数据出境的限制, 也阻碍了国内企业利用境外部署的数据处理平台, 分析和处理在境内收集的数据, 因为在境外平台处理数据也必然意味着源自境内的数据必须出境。
面对信息出境的困难, 技术、商务和法律界探索着各种解决途径, 包括境外平台的境内映射、对出境信息颗粒度的放大或脱敏处理、以及寻求各方法律限制下的例外。临港新片区在《服贸创新实施方案》中提出的“跨境数据流动分类监管模式”, 则为各类机构“合法化”进行跨境数据传输开辟了“新通途”。
临港新片区数据处境的突破方向
《服贸创新实施方案》提出了“探索跨境数据流动分类监管模式, 开展数据跨境传输安全管理试点。”换而言之, 在临港新片区, 允许(而非限制)跨境数据流通将成为发展的方向, 而根据不同类项的数据, 探索分类保护的方式, 则是保护数据流通安全的途径。
首先, 《服贸创新实施方案》打开了金融类数据跨境传输的可行通途。《服贸创新实施方案》提出: 在临港新片区将“试行允许符合条件的外资金融机构因集团化管理而涉及其在境内控股金融机构向境外报送有关数据, 特别是涉及内部管理和风险控制类数据”, 这回应了外资金融机构的实际需求。随着中国金融市场的加速对外开放, 越来越多的国际金融机构开始加速在华的投资和运营。但受限于《证券法》、《证券基金经营机构信息技术管理办法》以及银保监的有关数据本地化储存要求, “投资者信息、征信信息、交易信息、个人金融信息”等各类信息一般不被允许对外传输。长期以来, 尤其对于跨国外资金融机构, 对信息出境的限制, 阻碍了利用境外信息系统处理客户信息和全球化的统一管理, 甚至给履行境外法律要求(例如反洗钱要求)而报送投资者信息造成困难。临港片区的《服贸创新实施方案》有条件地允许为了“集团化管理的目的向境外报送数据”的跨境传输实践, 为特定金融类数据的跨境数据传输指出了可行的道路。虽然, 这条道路如何走还需要协调各金融监管部门的意见, 但《服贸创新实施方案》无疑给出了数据出境的可能途径, 值得有着实际需求的外资金融机构关注。
其次, 《服贸创新实施方案》提出了在重点领域的“试点数据跨境流动安全评估机制。”换而言之, 一改通常而言的禁止性规定, 《服贸创新实施方案》更注重在安全可靠基础上的信息传输。如前文所述, 在智能制造、工业互联网和生命健康产业中也有大量的数据本地化法律要求, 而这些尖端产业往往存在着“数据种类多”, “数据价值大”, “对国家安全和社会利益有重大影响”等特点, 监管部门往往或多或少要求在境内储存。例如, 智能汽车的安全管理中心需要在本地部署, 其收集的安全运行数据也需要在境内储存; 在生命健康行业中, “医疗健康大数据”、“人口健康信息”等数据要求在本地留存。这些禁止性规定固然旨在维护病患或者特定人群信息的安全性, 但另一方面, 也可能阻碍数据流通, 致使数据价值没有得到充分实现。有鉴于此, 《服贸创新实施方案》特别提出要在“汽车产业、工业互联网、医疗研究(涉及人类遗传资源的除外)等领域”试点数据跨境流动安全评估机制。也就是说, 临港新片区将从数据的类型、敏感性、影响程度等因素出发, 在充分评估数据流通的安全性的基础上, 通过加快数据的流通以加快“以数据为生产要素”的经济发展模式建设。这也就给汽车产业、工业互联网、医疗研究领域的合法跨境数据流通增加了确定性。
最后, 《服贸创新实施方案》指出“建立数据保护能力认证”制度的目标。这一目标契合我国今年10月颁布的《个人信息保护法(草案)》中提出的“认证要求”。《个人信息保护法(草案)》为解决数据跨境传输的困境, 专门规定了 “个人信息跨境传输”的条件。其中, 如果境内机构已经“按照国家网信部门的规定经专业机构进行个人信息保护认证”, 那么该等境内机构可以向境外传输个人信息。但是, 什么是专业机构, 如何实施认证, 在目前法律体系下并没有规定。临港新片区提出的“建立数据保护能力认证”的目标似乎意味着, 在临港新片区将开展以“数据保护能力认证”为基础的先试先行, 提供另一条数据处境的通道。
临港新片区数据出境实践展望
《服贸创新实施方案》虽然提出了“安全评估”、“能力认证”等数据出境的通途, 但是并不意味着数据在临港新片区必然可以自由出境。
一方面, 《服贸创新实施方案》仅仅提出了数据出境有关评估和认证制度的建设目标, 而非已经建立了该些制度。无论是“汽车产业、工业互联网、医疗研究等领域”的数据跨境流动安全评估机制试点, 还是数据跨境传输的保护能力认证, 目前只是临港新片区的工作目标。在该些制度建立和完善之前, 数据出境仍然必须在现行法律系体内完成。
另一方面, 《服贸创新实施方案》作为一部地方性行政规章, 其有效执行仍然需要获得有关监管部门的认同和配合。尤其对于金融领域, 无论证监会、银保监还是人民银行, 其对各自领域内的数据出境监管, 并不受制于《服贸创新实施方案》; 相反, 临港新片区注册的金融机构能否实现跨境数据共享, 仍然取决于各自监管机构的态度。对于有明文规定数据不得出境的情况, 除非主管机关豁免, 纵有《服贸创新实施方案》的规定, 仍然不能出境。
但是, 《服贸创新实施方案》又确实为数据出境指出了方向。就金融机构的跨境数据共享而言, 在临港新片区注册的一些金融机构有望通过临港新片区的协调, 获得监管机构有限豁免, 从而实现为内部管理和风控目的的跨境数据共享。对于其他有数据处境需求的企业而言, 对于敏感的重要数据的出境, 也有望在临港新片区政府的支持和协助下, 通过评估和认证, 从而获得更大的确定性。
作者:
杨迅 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com | |
| 杨坚琪 律师 |
往期分享
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!