在数字经济时代,数据已经成为一种全新的市场化要素,是各国竞相争夺的基础性战略资源。海量跨境数据在支撑国际贸易活动、促进跨国科技合作、推动数据资源共享的同时,给个人隐私权、企业商业利益和国家安全也带来挑战。欧美国家或地区纷纷加强数据治理前瞻布局,频繁出台数据跨境战略法案和配套细则,不断强化数据资源掌控能力,力求在全球数字经济发展格局中占据优势。在此国际形势下,我国急需加紧完善数据跨境流动管理制度体系,全面提高我国数据跨境流动管理能力。
一、国际数据跨境流动管理主要做法
(一)明确数据跨境流动管理基本思路
美国、欧盟等以自身核心战略利益为原则,对数据流入和流出采用不同的管理思路。
美国《国家安全战略报告》将数据安全作为维护国家安全的核心战略要素,强调要保持美国在网络空间和数据资源上的优势。在数据流入方面主张“数据自由流动”,凭借美国信息科技优势汇聚和利用全球数据资源,助力其数字经济发展。在数据流出方面,利用出口管制手段限制高科技、军民两用技术数据出境。
欧盟以《数字化单一市场战略》为指引,采取“内松外紧”的数据跨境流动管理思路。2018年,欧盟出台《非个人数据在欧盟境内自由流动框架条例》(简称《框架条例》)与《通用数据保护条例》(GDPR),形成欧盟数据保护的完整法律框架体系,一方面通过《框架条例》促进欧盟内部数据自由流动,另一方面通过GDPR加大对数据向境外流动管控力度。
(二)设置差异化数据岀境安全管理制度
美国和欧盟等国家或地区主要根据数据类型设置差异化的岀境管理制度,以确保数据出境活动不威胁国家安全、公共利益和个人主体权益。
一方面,在数据接收方所在国家或地区满足一定的安全保障要求时,一般允许个人数据出境。欧盟GDPR通过白名单、标准合同、风险评估、协议控制等方式进行个人信息出境安全管理。但是存在对出境国家的针对性管理趋势,如2019年11 月美国参议员提议制定《2019年国家安全和个人数据保护法》(草案),限制对中国、俄罗斯等“特别关注国家”特定数据的跨境传输和存储行为。
另一方面,限制重要数据和个人敏感数据出境。欧盟、美国、澳大利亚、韩国等无专门重要数据岀境管理文件,管理规则分散于国家产品、技术出口管理条例及国家行业立法中。根据数据属性和影响程度等因素,有些国家对银行、金融、征信等重要行业或领域数据实施禁止岀境管理;有些国家结合本国国情和政治文化差异,对健康、税收、地图、政府等相对敏感数据,选择性地实施禁止或限制岀境管理。美国依据《出口管理条例》梳理汇编形成“受管控非秘数据列表”,将国家经济数据、政府管理数据、敏感技术数据等视为重要数据,并采取严格出境管理。中美贸易摩擦背景下,美国对技术数据和敏感个人信息的管控日趋严格。
(三)架设与重要贸易伙伴间的跨境流动国际通道
一是开展数据跨境流动认证。欧盟、美国积极与重要贸易伙伴国开展数据跨境流动认证。如美欧双方达成《隐私盾协议》。欧盟加快完成对重要贸易伙伴(如日本、新西兰、瑞士等)基于GDPR的充分性认定工作。
二是通过自由贸易协定推行数据跨境流动规则。2011年,亚太经合组织(APEC )建立出境商业个人隐私保护规则体系(CBPR ),美国作为首批成员国加入CBPR,并积极拉拢日本、加拿大、墨西哥等国形成其主导地位,推动CBPR 与欧盟约束性公司规则(BCR )的互认工作,扩大CBPR影响范围。
(四)逐步完善重点领域数据跨境传输规则
一是强化跨境执法领域数据调取。2018年美国制定出台《澄清境外数据的合法使用法案》,为美国执法机构访问在美国境内运营的企业存储在海外的用户数据提供明确授权,扩大了美国执法机构调取域外数据的权力,并与英国签署双边数据访问协议。2020年3月,澳大利亚联邦政府修订《电信(监听和访问)法案》,为与美国签署双边协议奠定基础。
二是推进公共领域数据跨境合作。2020年2月24日,欧洲数据保护委员会发布《EEA与non-EEA公共机构间数据国际转移指南》(征求意见稿),要求数据控制方和数据接收方签订数据传输协议,为欧洲经济区公共机构向第三国公共机构及国际组织转移数据提供了相对灵活便捷的传输途径。
二、我国数据跨境流动管理主要情况
(一)战略层面明确安全与发展并重的数据跨境流动方针
为进一步推动“一带一路”和企业“走出去和引进来”等国家战略实施,我国高度重视数据的共享和开放,出台大数据战略纲要,鼓励数据自由有序跨境流动。pt老虎机游戏印发《促进大数据发展行动纲要》,提出要把数据开放共享作为战略部署的重要任务,以顺应未来发展大势。2019年,工业和信息化部部长苗圩在参加G20会议时指出,推动跨境数据安全有序流动,让数据流动更好地促进技术进步,服务数字经济发展。
(二)法律制度标准层面初步明确了数据岀境管理要求
《网络安全法》第37条明确我国数据出境安全评估要求,保障我国国家安全以及个人信息主体权益。2019年6月,国家互联网信息办公室组织对《个人信息出境安全评估办法(征求意见稿)》向社会征求意见,探索建立政府部门评估和企业自评估相结合的评估体系。中国信息通信研究院牵头研究起草并公开征求意见的国家标准《数据岀境安全评估指南(征求意见稿)》,构建数据岀境安全评估框架,提出数据出境评估方法和指标体系。
金融、交通、保险等行业根据监管需要制定管理政策文件,对个人金融信息、人口健康信息、征信信息等重要敏感数据提岀本地化存储、限制岀境等管理要求。中国人民银行发布《pt老虎机游戏:银行业金融机构做好个人金融信息保护工作的通知》,明确规定在中国境内收集的个人金融信息的存储、处理和分析应当在中国境内进行。交通运输部、工信部等7部委共同颁布《网络预约出租汽车经营服务管理暂行办法》,要求网约车平台公司应将所采集的个人信息和生成的业务数据在中国内地存储和使用,除法律法规另有规定外不得外流。此外,《人口健康信息管理办法(试行)》《保险公司开业验收指引》《征信管理条例》《地图管理条例》等都提岀了不同程度的数据本地化要求。
(三)实践层面选取典型场景开展安全评估
网信办等积极选择典型场景和典型企业,开展安全评估试点实践。一方面,依托大数据安全审查制度,筹备开展数据岀境安全评估试点示范,针对腾讯等重点互联网企业探索开展评估实践,指引企业加强数据出境安全保障能力建设。另一方面,结合国家标准研制等工作,组织企业开展评估方法验证,指导企业梳理涉及数据出境的业务清单、业务场景分类,开展典型业务数据岀境安全风险等级判定等。
三、完善我国数据跨境流动管理的思路建议
目前,我国数据跨境管理存在数据出境管理制度有待进一步完善,管理手段较为单一,数据跨境流动国际合作不足等问题。基于典型国家数据跨境流动管理主要做法,提岀以下完善建议。
(一)明确数据跨境流动管理基本思路
兼顾数据“流入”和“流出”两方面,将“拿得到,护得住”作为数据跨境流动管理基本思路。在数据流入方面,在安全与发展并重的数据跨境流动方针的引导下,推动数据流动共享,促进我国数字经济发展。在数据流出方面,加强数据安全保护和岀境评估,避免重要数据和个人敏感信息非法出境危害公民合法权益和国家安全。
(二)加快构建数据跨境法律管理制度体系
一是推进《数据安全法》《个人信息保护法》等数据安全和个人信息保护顶层立法,完善数据跨境流动管理的上位法依据。二是推进《个人信息出境安全评估办法》《关键信息基础设施安全保护条例》《数据安全管理办法》等《网络安全法》配套规范,设置安全评估、例外事项、标准合同等多元数据岀境途径,保障我国数据岀境安全。
(三)建立分级分类的数据岀境安全监管机制
一是根据个人信息和重要数据的分类明确安全管理模式。对于个人信息出境,通过合同约束、备案申请等方式,重点保障出境后个人信息主体权益与救济。对于重要数据,通过一事一议、行政审批等强监管措施,保障国家安全、经济发展与社会稳定。二是按照出境国家地区政治环境、国际关系、数据保护水平等因素,划分数据岀境风险等级,探索制定对低风险国家地区的数据出境白名单,减少数据流动障碍。同时,针对数据出境主体的风险高地,制定特别管理要求,对于如外资企业、合资企业、境外组织机构等高风险主体,制定差异化数据岀境管理要求,加强数据岀境安全保障。
(四)加强数据跨境流动管理国际合作
一是增进国际交流,构建政府间、行业间、研究机构间多类型多线条的沟通模式,确保管理框架和基本制度与国际规则衔接,增进数据跨境领域国际互信。二是加强数据跨境流动认证,以工业互联网、车联网等重点领域数据出境为突破口,积极寻求与重要贸易伙伴通过双边、多边协议建立数据跨境流动认证等信任机制,推动建立区域统一的数据流动规则,打通数据跨境流动壁垒,形成数据流入汇聚效应。三是积极促进跨境执法、公共机构间数据跨境传输等重点领域的国际合作。
(原载于《保密科学技术》杂志2020年4月刊)