范雨萱|对外数字贸易的数据跨境转移法律规制研究
随着数字贸易的兴起,国内外法域相继出台相关法律法规对数据跨境转移进行规制,以及数字经济协定等国际双边、多边条约中对数据跨境转移规则的约定,各自凸显出各国不同的数据保护与数据跨境转移的规制态度与方式路径。通过对国内外不同法域现行的数据跨境转移法律规定、实施状况、现有风险等角度进行分析,总结我国数据跨境转移的现存问题,并针对问题所在提出规制建议,以期进一步完善我国对外数字贸易数据跨境转移的现行规定,加快数字贸易制度体系构建,在法治轨道上推进国家治理体系与治理能力的现代化,用法治保障我国数字贸易繁荣发展,加快建成贸易强国。
引言
党的二十大报告中指出,要“推动货物贸易优化升级,创新服务贸易发展机制,发展数字贸易,加快建设贸易强国”,对外贸易是疏通国内国际双循环、构建新发展格局的重要一环。而数字贸易不仅是贸易方式的数字化,更涵盖贸易对象的数字化,无法完全适用传统贸易规则,要发展建设对外数字贸易,数据这一数字经济时代最基本的生产要素单位,对其在跨境转移上的问题是保障我国高质量贸易发展、建设贸易强国绕不开的话题。研究数据跨境转移问题与数据出境、数据跨境流通问题的不同之处在于,数据跨境转移在概念上当然涵盖数据出境,同时存在数据所有权的让与,且需要考虑至少两个不同法域在数据出入境问题上的保护与监管规定之间可能出现的冲突及调和。
近年来,我国相继出台了网络安全法、数据安全法、个人信息保护法,初步构建了数据基础制度体系,架构起我国数据跨境转移的法律框架。2022年7月,网信办出台《数据出境安全评估办法》以审查的方式监督国内数据跨境转移,进一步规范数据出境活动,完善数据基础制度体系。然而在实践中,有学者指出《数据出境安全评估办法》所持的“数据防御主义”以及“重要数据”概念泛化等倾向,可能会顾此失彼,反噬保护国家安全的初衷,同时亦存在执法成本高难度大等问题。此外,通过认证、标准合同方式进行个人信息数据跨境转移的相关规章也新近出台,引发社会热议,网信办近期也公布了《规范和促进数据跨境流动规定(征求意见稿)》向社会集思广益。我国数据跨境转移制度体系已初具规模,亟待实际应用与完善。
因此,针对我国数据跨境转移法律制度的现有风险与不足,通过比较分析不同法域的法律规定、实施状况,进行完善路径的探索,以平衡数据主权论下国家安全、公民权利与数据自由流通间的利益冲突,应对数据强国在数据跨境转移问题上设置的障碍与歧视,更好地发挥大国作用、深入参与到国际条约项下的数据跨境转移规则制定上以推动建立全球贸易伙伴关系,促进国内国际双循环,用法治保障我国经济社会的运行与繁荣发展,显得尤为重要。
一、国内数据跨境转移现状
无法流通的数据将难以适配市场供给,数据的过度集中一定程度上会成为数据开发利用以及数据产品供给的障碍。纵然学界对于数据确权仍有争议,但不可否认的是我国在官方立场与立法规制倾向上都更为采信数据主权论,我国在数据跨境转移流通问题上也采取国家安全、公民权利、数据自由流通的顺序价值位阶立场,这种立场也充分反映在了我国现行数据跨境转移法律上。
我国在数据领域始终秉持数据主权主义,始终从数据安全视角处理问题,反对数据无国界主义与完全的数据自由贸易主义,我国始终倡议并致力于维护开放、非歧视性的营商环境,同时强调全球数据安全观与尊重他国主权的重要性。
在我国现行的法律框架下,有两大类行为:一类是在我国大陆境内收集、产生的数据传输、存储至境外,另一类是境外机构等主体通过查询、下载等手段接触、访问大陆境内存储的数据,都被认定为数据跨境(出境)。对于特种数据,例如工业和信息化领域数据,我国建立了数据分类保护制度,采用风险控制原则对数据进行分类分级,将核心数据与重要数据两个类别的数据进行了更为严格的管控,两类数据的处理活动记录需严格管理并记录备案,如有法律法规规定即需依法在境内存储,确实需要跨境转移的,满足《工业和信息化领域数据安全管理办法(试行)》(以下简称《工信领域数安办法》)第18条签订数据安全协议、检验接收方数据保护能力并采取必要的安全保护措施,再通过数据出境安全评估后进行数据跨境。并特别规定,对于外国工业、电信、无线电执法机构对工业化数据跨境调取的请求,原则上除因国际条约、协定、平等互惠原则,非经工信部批准,不得对前述执法机构进行工业数据跨境转移,该条款可以应对《澄清境外数据合法使用法案》(CLOUD Act)的域外管辖,采取与其对应的手段进行防御。
现阶段我国数据跨境转移主要以网信办组织的出境安全评估进行,但也并非所有数据跨境转移都需经过出境安全评估,评估主要针对规模或数量级超过标准以及重要数据,少量、小规模以及一般数据不需要经过评估,但其并不意味着对数据跨境转移的安全责任的减免,数据转移方仍应积极进行数据合规管理,遵守相关数据收集、存储、转移的法律法规,保证出境前后保护水平的一致。对于进行出境安全评估则需提交申请前3个月内完成的数据出境风险自评报告、与境外数据接收方(拟)订立的有法律约束的文件(例如合同、合作协议)与其他材料。截至2023年12月据公开信息统计,目前我国已有27个数据出境安全评估实践案例。
我国对于个人信息保护的态度,总体受欧盟《通用数据保护条例》(GDPR)影响较大,然而在强调人权保护的同时,我国并未仿效欧盟严格限制个人数据的跨境转移,而是采取非必要不转移、转移则需要通过至少一种法定方式,确保跨境转移行为不会使得自然人的数据人身权遭受减损,社会与公共利益也不会因此受到损害。个人信息的数据跨境转移的数据转移主体首先需要进行个人信息保护影响评估,不同转移方式需参照不同规则进行评估事项的确认,通过网信办评估出境方式进行数据跨境转移,评估事项需满足个人信息保护法及GB/T 35273-2020的要求,并有其他有效法律文件充分约定了双方的数据安全保护义务。标准合同则要求进一步评估接收方所在司法辖区相关法律对履行合同约定的影响。据公开可查信息,已有四家企业通过标准合同备案进行数据跨境转移,其中北京某数据有限公司的案例涉及北京与香港两地的征信金融数据转移,近期亦有《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布,以促进大湾区内部的个人信息跨境流通。若通过个人信息保护认证的方式进行转移,则需在满足个人信息保护法、GB/T 35273-2020基础上,同时满足向境外转移标准TC260-PG-20222A的规定,虽然认证的方式在表述上与其他两种方式略有不同,但具体而言,对于个人信息影响评估的标准并未上升。内容为接收方所在司法辖区法律、网络环境等是否会对自然人的数据权利产生影响,我国首批已有五家企业获得个人信息出境认证证书,期待更多的实践样态。
在国际经济协定方面,我国已加入了《区域全面经济伙伴关系协定》(RCEP),该协定下各参与国制定个人信息保护框架时,拥有极大的主权自由,可以采取必要的安全措施保护国家基本安全利益,且安全例外不可诉,与我国数据主权立场相适应,与广大发展中国家的发展利益相符。而全面与进步跨太平洋伙伴关系协定、数字经济伙伴关系协定更强调促进数据自由流动,最大程度上降低数据跨境转移成本。
显然,要做到与三种经济协定的良好衔接,我国在国内数据跨境转移立法上应结合我国现实国情,做出合理变通,特别是在国家安全例外与采取的必要手段在国内法中的列明与解释。有学者分析认为,《数据出境安全评估办法》在安全例外上已做到了良好衔接。
综上所述,我国目前关于数据跨境转移的立法已经较为完善,对于不同规模、数量级、重要程度的数据进行跨境转移,各规定了不同可适用的跨境转移方式,具体实施办法也新近出台,期待更多实践,同时也存在着一些体系性问题以及实践上的困难亟待解决。我国参与到了多个数据跨境转移的国际条约、数字协定等共识文件中,国内数据跨境转移如何与国际社会良好衔接、适用的问题也值得考量。要试图完善立法、解决现存问题,才能更好地深化全球伙伴关系,增强贸易纽带,以法治推动数字贸易发展。
二、美国与欧盟数据跨境转移法律规制的域外经验与启示
随着大数据时代的深化,各国对数据跨境转移的法律规制日趋完善,以美国为代表的数据自由贸易派与欧盟为代表的数据人权保护派等,各自显现出了其利益视角下鲜明的立法与实践倾向。
(一)美国
在数据跨境转移问题上,美国制定了严格的隐私政策与数据出境限制,且大量全球主要信息通信企业总部也设立于美国,2022全球数字贸易行业企业100家企业评选中也有36家美国企业入选。美国所倡导的数据跨境自由贸易主义“只是为了促进数据流入美国和美国企业,从而加强美国对全球数据的掌握,与此同时别国却不能自由获取美国的数据”,是一种典型的“美国例外主义”。
目前美国国内适用于规制数据跨境转移问题的立法有2018年生效的《出口管制改革法案》(ECRA)及下位法《出口管理条例》(EAR)、CLOUD Act等联邦层面立法,各州层面目前对数据跨境转移问题尚无明确立法。根据ECRA等相关出口管制立法,美国目前认定的数据出口行为有两大类,包括任何形式的数据跨境传输或转移、向位于美国的外国(法)人等对技术信息或源代码进行披露,后者虽然从一般物理意义上并没有进行“出口活动”仅有转移行为,然而美国法上将这种行为拟制为出口,扩大了数据出口的管辖范围。同时,出口管制立法的适用也及于数据跨境转移后向其他国家/地区再次转移的再出口行为,只要数据从美国“出口”,无论该等数据转移到达何处,始终受美国出口管制法律管辖。
需要进行数据跨境转移或者说出口的主体需要向美国商务部产业与安全局(BIS)申请出口许可(license),申请人需在申请书上填写BIS根据物品性质分配的出口管制分类号(ECCN),而一旦某种技术被BIS认定为“新兴与基础技术”(emerging and foundational technologies)将以有威胁国家安全的隐患为由,受到严格的许可审查,且有可能被要求强制披露相关技术细节,此外BIS也通过出口管制清单“实体清单”(entitylist)限制某些被认为对美国国家安全不利或将来可能不利的实体向美国进口。当然根据美国对于进出口行为的定义,同这些实体进行数据跨境转移行为,均属禁止。
美国国内目前联邦层面大量数据转移立法集中于技术数据,对于单纯的个人数据跨境转移问题尚无联邦层面立法,而对于个人数据以州立法为主,而州立法尚无关于数据转移问题的专门规制。此外,美国在2018年针对国际司法协助进行数据跨境转移进行了修法、出台了CLOUD Act,赋予了公权力机关调取域外数据的广泛权力,同时凭借本国企业掌握的大量全球数据,极大地扩张了区域管辖权力。虽然CLOUD Act对该等域外权力进行了一定的限缩,规定只有在存在危及美国国家安全或严重刑事犯罪的情况下才能够进行数据调取,但是从美方对达成行政协议的“适格政府”调取数据做出的多重限制与数据立法上的趋同性要求,以及在司法实践中美国对于国际礼让原则适用的随意性来看,美国现行法律基本无法对公权力机关由CLOUD Act获得的数据跨境转移域外权力进行良好的限制。
美国在数据跨境转移问题上表面采取数据自由贸易主义,积极主导、深入影响贸易领域国际条约的制定,充分利用本国信息行业领先优势,引导各国数据自由流入本国。而实际上通过国内立法从各方面采取严格的数据跨境转移限制,将数据跨境转移行为等同于传统商品出口、引入“拟制出口”等新概念,控制数据的自由流出,扩大执法、司法管辖范围,有滥用国家安全主张之嫌。
(二)欧盟
欧盟倾向于将数据权利人格权化,将数据跨境转移以人权保护的立法方向置于法律框架中,一方面与欧盟一贯强调的“人格尊严”立法传统相一致,这种特殊理念根植于近代欧洲的人权历史,长期以来,数据权利都作为公民人格权的一部分进行保护。另一方面欧洲在全球信息化进程中的落后地位,使得其在面临数据相关立法上往往采取防御主义,以遏制外国科技巨头对欧盟各国数据控制的进一步壮大,以严格的数据保护标准增强其规则制定话语权。2009年《欧盟基本权利宪章》第8条与GDPR第1条明确强调了欧盟对于个人数据的人权保护立场,更利用“知情—同意”原则、数据本地化要求、删除权(“被遗忘”权)等系列数据权利,以及数据保护审查评估、高额的行政罚款等措施手段,充分贯彻了这一立场。
对于“数据跨境”这一概念,GDPR所定义的“跨境”是指一个在欧盟多个成员国建有营业机构的主体跨多个成员国进行数据活动的情形,或仅在一个成员国建有营业机构进行数据活动但实质上能够影响多个成员国的情形。而对于向第三国或国际组织的数据跨境转移,以及转移后向第三国或国际组织的再转移,GDPR指出除了在数据保护上要满足条例中对于成员国间的要求标准,更需要通过认证、白名单、标准合同条款、具有约束力和执行力的法律文件等多种数据跨境转移方式之一,确保受GDPR保护的自然人之数据权利不受减损。显然,GDPR对于向第三国或国际组织的数据跨境转移以及再转移,提高了数据保护标准的证明要求。以GDPR第40条、第42条规定为例,对于向第三国或国际组织的数据跨境转移或再转移,数据控制者或处理者可以通过“行为准则”或“认证”方式证明满足数据保护的充分性,且仍需通过具有法律约束力和执行力的文件做出相当的承诺,以保障对个人数据的“高水平”保护。而对于成员国内的跨境转移,则无须再通过法律文件做出相当承诺。此举通过程序加重了向第三国或国际组织进行数据跨境转移或再转移的数据控制者或处理者的法律负担,实质上意欲通过具有约束力和执行力的法律文件,让欧盟实现对第三国境内主体或国际组织的长臂管辖,使其数据保护标准与司法效力及于欧盟成员国外。GDPR虽然在立法上具有一定强硬的域外管辖性质,但在执法实践中仍然无法也无力直接对再转移主体进行管辖。
随着时间推移、法律应用深化,欧盟发现,GDPR对于“数据本地化”的要求增加了数据跨境转移成本,造成数据跨境困难、阻碍了云计算等基于数据流通之上的互联网服务模式发展。为降低数据跨境成本、促进非个人数据在欧盟成员国内自由流通,欧盟出台了《非个人数据自由流通框架条例》以规制数据本地化要求、主管机构的数据监管与专业用户对数据的转移,该框架条例原则上禁止非个人数据的本地化要求,以公共安全为由采取比例原则为例外,也鼓励制定欧盟层面的“行为准则”,以透明与交互为共识,在成员国内的专业用户间进行非个人数据转移活动。
可以看出,欧盟的数据跨境转移立法坚持了人权保护的法律传统,同时基于经济社会情况进行了一定的灵活变通,通过设置高标准的合规门槛等法律手段捍卫成员国的数据权利与规则制定话语权,产生了大量保护数据安全、规制数据跨境转移行为的经典案例,也呈现了一定霸权主义倾向的长臂管辖手段,有效打击了外国互联网企业在欧盟境内的大规模垄断状态,然而在促进成员国互联网工业发展与对抗美国霸权主义话语的反制上产生的效果并不明显,并由于过于严格的数据保护、跨境规则与高昂跨境成本,使得成员国境内中小体量互联网企业的生存陷入了困境。
(三)美欧数据跨境转移制度比较分析总结
美国与欧盟在数据跨境转移上所持立场、立法目的、规制情况等多个方面都呈现出了不同特性,下面将对此进行分析总结(见表1)。
表1 美国与欧盟制度比较分析总结
美国出于国家安全以及保障商业竞争优势出发进行规制,以进攻型战略,实现数据由境外的自由流入,但严格限制数据流出,利用CLOUD Act与互联网通信产业的优势地位,保护商贸利益与技术价值,控制全球数据。而欧盟数据跨境转移立法旨在保护公民基本权利、实现公平贸易,采用防御主义的规制方式,数据可以在成员国内自由跨境转移、成员国外则采取跨境限制。欧盟在全球互联网通信产业上地位弱势,然而凭借制定严格的数据安全标准,加强影响力,推动其标准体系全球化,从而把握全球数据治理话语体系。
美欧在数据跨境转移立法目的、立场及法律规制上的不同态度,不仅与其本国(地区)的法律历史沿革有关,更与其产业情况与经济贸易地位有关。美国强势的、霸权性质的数据跨境转移立法,为保持其商贸竞争优势采用双重标准,进行长臂管辖,提供了占据新兴产业优势地位的立法实践样态,但其行为严重侵犯了他国主权、违反了平等原则,为国际社会所谴责。而欧盟的防御性立法历程充分展现了地域面对已遭遇外国巨头侵占新兴市场的弱势情况下,可以采取的立法应对与探索,具有借鉴意义。然而就如同前文已经指出的,欧盟法律虽然在打击外国科技巨头上效果显著,却无法扶植本土企业的壮大,甚至威胁、加剧了本土企业的生存难度。
(四)美欧数据跨境转移制度对我国的启示
美欧数据跨境转移研究较早、立法规制也先于我国,目前已产生了许多具有判例意义的实践案例能够一定程度上证明其可行性。我国对于两地相关制度可以合理借鉴但绝不能照搬、照抄。
CLOUD Act、EAR、GDPR等美欧数据领域立法域外管辖特性鲜明,对他国的本土管辖权而言具有一定“侵犯”性。究其本质,数据具有流动性、分散性等特征,数据本身无国界也无边界,数据“跨境”的概念诞生于人类社会的规制,因此单凭传统属地管辖显然难以进行有效治理,对数据跨境转移管辖进行合理扩张的态势在所难免。我国在相关领域立法也不应对管辖权的扩张采取否定或消极态度,而应积极探索实现跨境转移过程中双方,甚至多方国家(地区)利益的平衡点,对我国行使此类域外管辖权设置条件与限制,具体来说应当明确可以/应当进行域外管辖的情形;涉及国家安全、社会公益、紧急情况的例外条款应当明确前述概念含义与场景,而非如同CLOUD Act泛化法律概念;在案例及其他实践中保持国际礼让原则适用的限度与一致性等。
“拟制出口”是美国EAR中将创设的新法律概念,将更多的美国国内数据转移行为定义为跨境行为,此条对于我国也有极佳的借鉴意义。我国目前在数据领域拥有极大的占有量,一方面我国人口基数较大、产生的数据量基数庞大,另一方面我国在多个新兴及前沿领域占据优势地位,考虑到国家安全与国家发展利益,我国应当将更多的数据转移行为置于有权机关的监管之下,将其作为“跨境”行为进行规制。需要注意的是,此举并非为了限制数据跨境转移,而是出于事前预防的目的,因此在判断可以作为拟制跨境的行为时,应当选择实践上高度连带或高概率的数据转移行为。
三、当前国内数据跨境转移的法律风险与应对路径
(一)我国跨境转移立法的体系性问题与应对
我国数据跨境转移立法体系已经基本完备,然而在法律规制的外在逻辑存在一些混乱,各法律间一般法与特别法、上位法与下位法之间的规定有所交叉、重复,甚至影响到了法律效力层级的一般规定。例如,个人信息保护法框架下的个人数据跨境转移需要提交的个人信息保护影响评估与《数据出境安全评估办法》规定需提交的出境风险自评报告,分属于不同制度,然而两者规定的评估事项相同、存在重复性规定,客观来看,其令个人信息保护影响评估“沦为风险自评估制度在个人信息保护领域的‘特殊形式’”,从法理而言,与我国法律体系的效力位阶不符。《数据出境安全评估办法》第4条指出,该办法适用于规模或数量达到规定要求、重要数据或网信办规定的其他情形;工信部《工信领域数安办法》第21条规定,工业重要数据或工业核心数据进行跨境转移需要通过出境安全评估。一般认为《工信领域数安办法》指称的出境安全评估即网信办组织的数据出境安全评估,但在《数据出境安全评估办法》第4条列举式的立法方式下显然工业核心数据并不在其列。结合《工信领域数安办法》对工业核心数据的定义,将其归为《数据出境安全评估办法》第4条作为兜底的网信办规定的其他情形,从维护我国国家安全与发展利益的立法目的来看,是能够适用的,然而从完整的体系逻辑来讲是存在瑕疵的。前述两个例子,部分反映了我国数据跨境转移立法体系上存在的不足,在法律宣传上,可能造成理解上的偏差,在实践中,可能引起法律适用困难与冲突。
笔者认为,应当尽快弥补数据跨境转移立法体系上的问题,在各部委制定的行政法规验证了一定可行性后,尽快进行体系性修订并统合上升为法律,解决适用问题。同时,明确上位法与下位法之间的关系,指明不同数据跨境转移可选择的不同方式,以利于各数据转移主体对法律的遵守与社会公众对法律实施的监督。
(二)我国数据跨境转移防御性的立法色彩的应对
我国数据跨境转移立法上受欧盟模式影响较大,即使结合我国实际国情进行了一系列规制的放宽与适应国际协定的变通,但仍然具有较明显的数据防御色彩,具体体现在多项数据评估制度上。对于自然人数据权利、社会公共利益的多维度自评估与网信部门在此基础之上再进行的综合评估,虽然利用多重手段能够进一步充分保障自然人、公共与国家安全、发展利益,防御性的立法能够有效对其起到限制作用、保护我国数据安全及发展利益。但过度强调、追求绝对的数据安全,将不可避免地使得大量数据滞留境内、阻碍产业健康发展,甚至受到国家安全的反噬,例如数据接收方达不到我国的数据保护水平,无法通过出境安全评估,转移方利用其他手段规避监管,私自进行数据跨境转移或进行数据拆分后转移。且将我国的数据保护水平作为评估数据保护水平基准,势必在数据跨境转移国别上造成对数据强国的倾斜,以及对发展中国家、欠发达国家的隐性歧视。此外,由此上升的数据跨境转移与数据合规、维护成本,对于中小企业而言更是一种运营负担,更有可能迫使其走上投机取巧、规避监管的道路,无法切实起到数据保护、维护数据安全的目的。
针对此类问题目前没有太好的解决路径,如要依据不同国家的数据保护水平设定不同标准显然不符合保护社会公众与国家安全的宗旨,且很可能造成数据强国将数据弱国作为转口港进行数据跨境转移的中转,规避数据流出国的监管,“一事一议”的做法也有引导贸易歧视之嫌。可行的路径有二,一方面我国应积极加入国际条约、经济协定等共识文件的制定过程,积极把握数据跨境转移规则制定的国际话语权,转变话语重心、以此对抗英美的文明优越主义,《金砖国家数字经济伙伴关系框架》就是极佳的尝试。当然,我国也需注意国内数据跨境转移立法与国际条约等共识文件间的衔接,确保文件正常发挥作用。另一方面可以从技术侧入手,提高数据加密传输、数据集加密等密码技术,在不提高数据保护水平标准的情况下,提高数据跨境转移安全性。同时,完善数据安全应急机制,鼓励技术专家交流合作,对欠发达国家、发展中国家的数据接收者进行适当的帮扶帮带,共筑全球数据安全。
对于中小企业数据跨境转移与数据合规成本的上升,相关部门应积极探索多种数据跨境转移方式,切实推动制度落地,开展法律法规、行业政策解读会议、对跨境转移主体进行工作指导与培训,有条件地公布最佳实践,鼓励法律界专业人士提供数据跨境合规的公益法律援助,对于数据跨境合规的中小企业进行专项税收减免等多措并举,降低数据跨境合规成本、强调数据跨境合规优势,提高企业社会责任感,维护社会公共与国家利益。
(三)缺乏数据跨境转移实践案例的应对
“数据是数字时代的核心资源,必须促进数据流动、实现数据要素的有效配置”,数字时代我国各行各业都在党中央的坚强领导、高瞻远瞩的顶层设计下蓬勃发展,存在大量的数据跨境转移需求。
我国目前数据跨境转移主要通过出境安全评估、标准合同以及认证的方式,在个人信息方面三种方式的相关标准文件已经出台,工业数据主要以安全评估的方式出境,未来是否会将其余两种方式也应用于工业数据领域目前尚不明晰。数据出境安全评估方式进行跨境转移存有的实践案例最多,自2022年9月评估方法正式出台后有至少27家单位成功获批数据跨境转移,行业大量分布在汽车与制造业,互联网、快消等次之,亦有金融、软件与物联网企业等。但通过该种方式进行跨境转移申报时间长、程序较为繁杂,首个获批数据出境安全评估案例从筹备到通过评估耗时超过8个月,而截至2023年5月,单上海就有超过400家企业有数据跨境需求,完成完备性查验报送网信办的不足60家,申请成功的、目前公开信息可查的仅5家,无一不都是大型企业。安全评估的出境方式实际而言对中小型私人企业并不友好,需要付出的数据合规成本极高。对此,网信部门组织了政策系列宣讲活动,北京网信办开通全国首个地方申报受理咨询电话、成立工作专班对各单位的申报逐一提出反馈与修改意见,上海网信办发布申报工作实务问题以引导各单位数据跨境转移申报工作。行业内也自行组织了交流会,例如国航向各航空公司介绍报批经验;经验丰富的主办律师公开发表文章介绍金融项目报批材料要点等。
然而不可否认的是,目前仍然缺少优秀的申报实践案例供社会参照,其余两种跨境转移方式的实践案例仍然较少,实践中相关审批标准仍存在模糊区域,无法给予各单位进行实践活动的明确导向。建议有关部门在保证工作质量的同时加快评估、审查,此外可以对具有广泛参考意义的申请样例去标识化处理后进行有条件公开以供各企事业进行参考。
结语
数据跨境转移问题是大数据时代的法学研究重点,美国等西方国家在相关领域立法上具有先进经验,我国应当坚持数据主权主义,取长补短,合理借鉴可行制度,对于数据跨境转移的现存问题探索解决与应对之道,完善我国数据跨境转移法律体系,平衡各数据主体与国家安全、发展前途、社会公众之间的利益,探寻数据跨境转移方式的最佳实践以加强数字领域涉外法治体系建设,保障数字贸易繁荣发展,促进建成贸易强国。
往期精彩回顾
张议亓|强制性公司可持续尽责义务研究——基于对欧盟《公司可持续尽责指令提案》的考察