专家解读|数据跨境传输制度建设迈向新阶段
在先后制定数据出境安全评估、个人信息出境标准合同以及个人信息保护认证等具体制度后,我国数据跨境传输制度已经初步成型,为企业跨境业务提供较为明确的规范指引。并且,北京市互联网信息办公室发布了全国首例数据出境安全评估案例和首个个人信息出境标准合同备案获批案例,兼顾流动与安全的数据跨境传输制度正在逐步落地落实。为了进一步充分释放数据要素的市场活力,国家网信办近日公布了《促进和规范数据跨境流动规定》(以下简称《规定》),在现有数据跨境传输制度基础上,细化企业业务合规层面的实施标准,推动数据以安全可信的方式出境。
《规定》的最大亮点之处在于,不再是单纯限定企业数据出境需要满足的具体条件,而是直接明确不需要采用数据出境安全评估、个人信息出境标准合同以及个人信息保护认证的具体情形。其一,针对跨境购物、跨境汇款、机票酒店预订、签证办理等常见业务活动,只要是为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息,那么个人信息处理者无需申报相关数据跨境传输监管。此外,对于跨国企业或者对外提供劳务的企业而言,只要属于“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息”,同样不需要申报相关数据跨境传输监管。其二,针对实践中有关国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据出境,只要不包括个人信息或者重要数据,数据处理者同样可以豁免适用数据跨境传输的前置程序。背后的立法考量是兼顾市场交易效率,因为国际贸易、跨境运输、学术合作、跨国生产制造以及市场营销等常见业务活动会频繁存在数据跨境传输的实践需求,不分场景、不分情形地适用数据出境前置程序反而会限制数据跨境流动。这些制度安排充分体现了我国数据跨境安全监管理念的先进性与科学性,因为设置安全评估、标准合同、保护认证等机制的目的是更高效、更安全地跨境传输数据,而不是对所有的数据出境活动均施加相同的法定义务。
数据跨境传输活动的形式并非一成不变,不同的业务场景、技术应用等因素往往会产生不同的跨境传输需求。虽然安全评估、标准合同以及保护认证已经为企业业务合规提供了多渠道数据出境的选择空间,但为了更深层次地激发跨境传输领域的数据要素经济价值,仍然需要持续探索更加高效的数据出境机制。为此,《规定》为我国自贸区预留了先行先试的数据跨境传输特殊机制,其目的有二:一是探索更加适合自贸区跨境数字贸易活动特征的数据跨境传输制度,二是为以后优化数据跨境传输制度提供充分实践样本。不过,这种数据跨境传输试点模式并非直接排除安全评估、标准合同和保护认证的适用,而是在现行数据安全基础制度的框架内,允许自贸区以负面清单的形式划定是否适用数据跨境传输前置程序的特殊情形。进一步而言,这也与《关于进一步优化外商投资环境加大吸引外商投资力度的意见》提及的“数据清单”形成法律制度与产业政策的有效衔接,在简化数据出境前置程序的基础上,方便涉及跨境业务的企业高效从事数据跨境传输业务。
此外,《规定》还回应了数据跨境实践中有关重要数据认定困难的合规难题。因为一旦涉及重要数据的数据出境活动,需要严格适用特定的数据跨境传输制度。但是,企业因其自身业务合规水平有限,对于重要数据的识别标准和认定范围难以准确把握,无法确定数据跨境传输活动是否需要适用数据出境安全评估等制度。为了提供明确且可操作的行为规范,《规定》明确,只要出境的数据不属于被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。此种制度安排化解了企业因无法准确识别重要数据而可能导致的业务不合规风险。
总结而言,此次《规定》的公布无疑向数字市场释放“利好”信号,极大解决了企业数据跨境传输业务合规的常见困惑,反映了我国监管机构在数据跨境传输监管实践中监管能力和监管方式的提升和优化。数据利用是目的,数据安全是保障。数据跨境传输制度的立法目的是最大限度地实现利用与安全的平衡兼顾,并且,这种平衡兼顾的方式没有停留于口号层面,而是通过具体的制度规范实现数据“又好又快地”出境。《规定》的公布将有助于确保数据出境相关制度的准确实施,也使得监管机构能够在既有的数据跨境传输制度基础上,以更加灵活的方式预防和控制数据出境可能存在的各类安全风险,同时确保数据跨境传输的商业效率需求。
审核:李佳民