试析数据跨境流动三大机制
卢健 律师/高级合伙人
jian.lu@dentons.cn
执业领域:数据合规;房地产与建设工程;刑事
一
引言
在当前全球跨境数据流GDP总值超过全球商品流的大趋势下,全球性和区域性的国家贸易规则开始将跨境数据流动条款纳入其中。而各国出于对数据行业发展、隐私保护传统、国家立场和安全观念等核心议题的考虑,对个人数据出境实施了不同水平的限制。如何通过打造数据主权相关法律,对标欧盟、美国通过《通用数据保护条例》(GDPR)、《跨境隐私规则》(TPP)、《北美自由贸易协定》(NAFTA)等国际条约打造的国际合作框架成为我国相关规则制定的核心议题。在欧盟建立附条件的数据跨境自由流动规则、美国以反数据本地化的形式推行数据霸权的当下,中国也从自身利益出发,通过三部上位法及相关行政法规、部委规章,围绕数据本地化、跨境数据评估等关键事项提出“中国版解决方案”。
本文将从数据跨境流动的核心机制--数据跨境安全评估出发,结合三大机制目前呈现的融通特色及各自的价值侧重,试析我国目前初步建设的数据跨境规则。
二
立法进程
1. 中国第一次对数据跨境流动做出统一规定是在2017年6月1日正式施行的《网络安全法》,其中首次提出了“数据本地化,出境数据安全评估”的概念。第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
2. 《中华人民共和国数据安全法》2021年9月1日正式生效,其并未就数据跨境流通作详细规定,而是就数据跨境流通的问题引用《网络安全法》的相应规定并明确由国务院与国家网信部门制定具体规则。此外,其明确了国家建立数据分类分级保护制度,制定重要数据目录,加强对重要数据的保护;同时,各地区各部门可结合本地区、本部门及行业、领域的特色制定重要数据具体目录,并配套相应保护措施。《数据安全法》虽然仅对“重要数据”概念作原则性概念界定,相关重要数据目录仍在试行探索之中,但已规定了丰富的规则体系。
3. 于2021年11月1日生效的《个人信息保护法》第三条明确提出了个人信息保护的“域外管辖”规则。同时,《个人信息保护法》的第三章明确规定了个人信息跨境提供的要求与条件。
至此,对于数据跨境传输我国初步确立了以安全评估制度为核心的数据跨境基本规则。在此期间,国家网信办等有关部门、标准制定单位等陆续发布了不同层级的数据跨境细则、标准指南等草案文件,仍在逐步明晰数据跨境合规的具体监管和实践措施。
三
数据跨境安全评估机制
2022年9月1日生效的《数据出境安全评估办法》(“评估办法”)及《数据出境安全评估申报指南(第一版)》(“评估指南”)进一步细化安全评估的适用范围及数据出境安全评估具体方案,通过特定数据、特定主体、特定量级界定必须适用安全评估流程的“提供行为”。
只要出境数据涉及“重要数据”,即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”,出于数据主权、国家安全及数据安全事件可能造成的危害等原因,出境前必须适用安全评估流程。
目前,《数据安全法》仅对重要数据进行原则性的界定,具体企业内部业务信息、其他数据跨境时是否构成重要数据出境,仍待明确。
特定主体,指关键信息基础设施运营者或处理100万人以上的数据处理者。关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。而处理100万人以上个人信息的数据处理者,不仅适用安全评估,还应进行数据本体化存储。
特定量级,指自上年1月1日起向境外提供10万人以上个人信息或1万人敏感个人信息的数据处理者。
根据《评估办法》及《评估指南》,数据跨境安全评估的具体方案包括企业风险自评估,以及申报国家网信部门进行监管评估。《评估指南》中细节规定了网络运营者自评估的启动情形,既包括出于产品或业务所需向境外提供数据,也包括已完成数据出境安全评估的产品、业务涉及的数据出境,在目的、范围、类型、数量等方面发生较大变化、数据接收方变更或发生重大安全事件的。
企业风险自评估,须出具评估报告,此报告也将成为后续申报评估的审查对象。报告出具主体可以为数据处理者也可以为第三方机构,但需保持评估责任主体的独立性。
在申报监管评估前3个月内必须完成自评估,而后数据处理者可向所在地省级网信部门申报数据出境安全评估。省级网信部门仅进行完备性审查,由国家网信部门负责组织专业机构、省级网信部门、行业主管部门等进行安全评估。可见监管评估呈现为对企业风险自评估“双重验证”。
四
标准合同式跨境
排除应当进行安全评估的场景后,剩余数据跨境场景均可采用个人信息影响评估、并与境外数据接收方签订一份数据跨境标准合同,该合同必须按照网信办《个人信息出境标准合同办法》及标准合同模版签订。
标准合同对于数据传输方和接收方权责义务、解除程序、违约责任均有明确的格式条款予以界定,合同并无过多的意思自治空间,只在争议解决、技术和管理措施方面提供可供选择的有限选项。同时,合同双方协商约定的部分仍不能与标准合同有所冲突。
对于标准合同式跨境的适用,国家坚持“自主缔约与备案管理相结合”,标准合同签订后备案,但网信部门仍需对合同内容是否切实履行进行持续监管。
五
个人信息保护认证
依据《个人信息保护法》第三十八条第二款,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,可按照国家网信部门的规定经专业机构进行个人信息保护认证。
个人信息保护认证的适用场景,包括集团内跨境和《个人信息保护法》第三条第二款规定的,境外处理境内自然人个人信息,且以向境内自然人提供产品或服务为目的或为了分析、评估境内自然人的行为(即“域外管辖”)。
开展跨境处理活动的个人信息处理者自愿采取认证机制的,必须符合信安标委发布的TC260-PG-20222A《个人信息跨境处理活动安全认证规范》(“跨境认证规范”)。对境内数据传输者和境外数据接收者均适用“技术认证+现场审核+获证后监督”的认证模式。
目前,如何由国家制定技术认证的统一规范,如何对境外接收者进行现场审核的具体规则仍在探索试行之中。
六
三大机制融通,数据跨境规则体系初步落成
1. 综合对比《跨境认证规范V1.0》、《跨境认证规范V2.0》、《个人出境标准合同办法》、《评估办法》,对于数据传输方和数据接收方间签署的法律文件,三大数据跨境规则的内容要求具有高度重合性,成为企业起草相关法律文件时的参考规范。包括但不限于两方基本信息,数据出境的目的、方式、数据范围;两方的数据安全保证义务,应急管理措施等。
2. 企业风险自评估和个人信息保护影响评估的内容也具有高度重合性,均是围绕个人信息处理者数据出境计划的正当性和风险可控性进行综合评估。
七
三大机制规则侧重不同
1.数据出境安全评估的评估重点在于网络运营者数据出境计划的合法正当性及风险可控性,立法目的侧重于国家安全。45至60个工作日的评估流程,“一事一议”、“一合同一议”无疑彰显了其作为核心数据跨境审查机制的审慎性,同时也加重了对省级网信办等监督主体的行政资源考验。
2. 标准合同式跨境侧重于轻量级、涉及个人属性低、敏感性较低的数据出境。仅需备案无需审核的审查方式使其成为企业数据跨境的首选。
3.标准合同、安全评估都是以数据出境场景为具体评估对象,而认证兼以数据传输者、数据接收者作为具体对象进行个体分析。贯彻自愿认证原则、责任明确等原则,除了作为数据跨境传输的合规机制,认证也成为了企业向监管机构、合作方、用户展示其合规水平的有力证明。
八
结语
随着三部上位法及各层级规范性文件的落地,企业数据跨境风险自评估重点内容、监管评估重点内容、标准合同模版等的确立,企业数据跨境监管已逐步向标准化、规范化迈进。随着规则日益变化,数据监管日益严苛,企业应时刻关注相关合规风险并寻求专家建议,降低监管成本和运营风险。
参考文献
1、张奕欢:《数据跨境流动各国立法和国际合作机制初探》,《法制博览》,2020年01月。
2、冯洁菡、周濛:《跨境数据流动规制:核心议题、国际方案及中国因应》,《深圳大学学报(人文社会科学版)》,2021年第4期。
3、周念利、姚亭亭:《中国自由贸易试验区推进数据跨境流动的现状、难点及对策分析》,《国际商务研究》2021年第3期。
4、裴炜、陈鹏:《数据合规实务全指引--关键场景与典型行业》,法律出版社2022年版。
5、刘瑛、李晓华:《数据合规实务--尽职调查及解决方案》,法律出版社2022年版。
感谢实习生陈妍意、董新雨对本文的重要贡献