数据跨境流动在当今数字经济中扮演重要角色,各国都将其监管上升到数据主权的高度,我国对此也高度重视,通过《网络安全法》《个人信息保护法》《数据安全法》对重要数据、个人信息的跨境流动建立起符合我国实际和国际大环境的基本监管制度。根据上述法律规定,国家互联网信息办公室制定《数据出境安全评估办法》(下称《办法》),明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定,对保护我国国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义。

一、坚决贯彻习近平法治思想,依法监管数据向境外流动

习近平总书记提出要坚持建设中国特色社会主义法治体系,积极推进国家安全、涉外法治等重要领域立法;同时要坚持统筹推进国内法治和涉外法治,要加快涉外法治工作战略布局,协调推进国内治理和国际治理,更好维护国家主权、安全、发展利益,要推动全球治理体系变革,推动构建人类命运共同体。

近年来,我国加快完善数据出境安全管理制度,2016年11月通过的《网络安全法》,其中第37条规定了对关键信息基础设施运营者的重要数据和个人信息需进行安全评估,但其他主体的重要数据和个人信息出境并未加以明确。2021年6月通过的《数据安全法》,其中第31条在重申关键信息基础设施运营者的重要数据出境的安全评估要求之外,还进一步规定“其他数据处理者”的重要数据出境也需进行安全评估。2021年8月通过的《个人信息保护法》,其中第38条第1款第1项和第40条,在重申关键信息基础设施运营者的个人信息出境安全评估要求之外,还进一步规定“达到国家网信部门规定数量的个人信息处理者”的个人信息出境也需进行安全评估。由此,上述三大立法全面建立起数据出境的基础性制度——安全评估制度。

目前,欧美都高度关注数据出境的监管。其中,欧盟GDPR对个人数据出境的监管已经相对成型,包括了充分性认定、集团有效规则、标准合同条款、认证等机制,每一个机制都有配套的实施细则。在非个人数据向外流动监管上,欧盟《非个人数据自由流动条例》对内要求成员国之间自由流动,但向境外流动方面则正拟通过《数据治理法》和《数据市场法》加以明确。美国则通过《外国投资风险审查现代化法》《出口管制条例》《受控非密信息行政令》等法律法规限制数据向外流动。

因此,为贯彻习近平法治思想,国家互联网信息办公室根据我国上述三部法律规定,统筹数据出境监管的国内法治和涉及境外接收方数据处理要求的涉外法治,制定了本《办法》,有力维护国家在数据领域的主权、安全和发展利益。

二、合理设计数据出境安全评估规则,做到监管有度

数据跨境流动在数字时代是一种常态,但由于跨境流动的数据在规模、范围、种类等方面容易给国家安全、公共利益和个人权益带来风险,因此各国对数据跨境流动的监管也会成为一种常态。《办法》明确数据出境安全评估的目的、原则、门槛、程序、评估决定的有效期、出境的终止和重新申报评估等内容,体现出监管有度、规则合理透明。

(一)数据出境安全评估的目的应区分重要数据和个人信息两类数据的出境安全评估的目的。《办法》第1条规定数据出境安全评估的目的在于“保护个人信息权益,维护国家安全和社会公共利益”,但并不意味着重要数据和个人信息的出境安全评估的目的是完全一致的,相反二者评估目的是由其上位法决定的。其中,重要数据出境监管制度由《网络安全法》和《数据安全法》加以明确,其核心目的是维护网络空间主权和国家安全、社会公共利益。相比之下,《个人信息保护法》(第1条)明确个人信息出境监管的目的是保护个人信息权益。因此,作为授权立法,《办法》第1条是从统筹重要数据和个人信息出境监管的角度作出规定。

(二)适用安全评估的范围最大程度凝聚了各方共识。《办法》第4条规定数据处理者在四种情形下向境外提供重要数据或者个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。其中,按照现有立法要求,所有主体的重要数据出境都要申报安全评估。个人信息出境进行安全评估的门槛主要在于执行《个人信息保护法》第40条的规定,明确累计向境外提供个人信息的特定规模设定为年度累计,充分反映了相关主体有关科学设定个人信息出境安全评估范围的诉求,便利其通过认证、标准合同等机制开展个人信息出境。

(三)安全评估程序设置科学合理。具体而言,《办法》明确安全评估的程序包括:(1)数据处理者自评估;(2)数据处理者申报安全评估;(3)省级网信部门的申报接收和国家网信部门的申报受理;(4)国家网信部门组织安全评估,评估过程中可要求数据处理者进行材料补充或更正;(5)评估结果的告知与申请复评;(6)通过数据出境安全评估但在有效期内出现特定情形的重新申报评估;(7)通过数据出境安全评估后的终止数据出境。其中,《办法》第13条相对于征求意见稿专门新增了评估结果的复评,为数据处理者提供了异议机会,进一步增强了制度的科学性。

(四)安全评估的多元考虑因素设计,较为全面地应对数据出境的各种安全风险。《办法》第8条明确了数据出境安全评估重点关注数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,并列举了七大评估因素。其中,一是关注数据处理者开展数据出境的合法性、正当性和必要性;二是关注境外接收方保障数据安全的能力,以及所在国家和地区的技术和法律环境对该能力的影响;三是关注数据出境可能面临的安全风险;四是关注数据出境后数据安全和个人信息权益是否最终得到充分保障;五是关注数据处理者对境外接收方的约束能力;六是考虑数据处理者和境外接收方遵纪守法的信誉;七是其他事项,应对数据安全技术、商业模式和境外环境的发展和变化。正是因为这七大安全评估因素的统筹设计,《办法》能够较为全面地应对数据出境的各种安全风险。

三、规则细节体现数据治理的中国探索

数据出境安全评估是我国对数据出境安全管理的重要措施,每一个规则细节不仅会对国家安全、公共利益、个人和组织合法权益带来重大影响,也会对数据跨境流动背后的全球数字经济带来重大影响。因此,要制定合理而巧妙的数据出境安全评估实施细则并非易事。《办法》除了设置合理的安全评估流程和评估考虑因素外,还在如下两个细节充分展现了有益探索。

(一)提出数据安全评估的两大原则,既明确数据出境的主体责任,又实现监管闭环。相较于2017年和2019年有关数据出境安全评估的草案,《办法》第3条首次明确提出数据出境安全评估的两大原则,即事前评估和持续监督相结合原则、风险自评估与安全评估相结合原则。

其中,事前评估和持续监督相结合原则明确安全评估不仅关注数据出境前对出境后可能出现的风险的评估和所要采取的安全保障措施,还关注数据出境后风险发生的变化以及原有措施的有效性,因而该原则建立起数据出境风险全过程的动态评估要求。

风险自评估和安全评估相结合原则明确数据处理者的主体责任,即通过自评估的形式对自己的数据出境行为负责,确保根据数据出境风险采取相适应且有效的安全保障措施。然而,数据出境关涉国家利益、公共利益和个人权益,而且数据处理者的自评估的结论倾向于通过评估,因此《网络安全法》《数据安全法》《个人信息保护法》都要求通过国家网信部门安全评估,确认数据处理者是否切实承担主体责任,以及评估数据出境风险和所采取措施的充分性、有效性。

(二)评估决定2年有效期的规定保障了企业参与全球数字经济建设的持续性和连贯性。《办法》第14条明确安全评估结果有效期为2年,意味着数据处理者可以申报2年内对特定境外接收方的数据出境计划,极大方便企业开展连续性数据出境业务,促进全球数字经济发展。这种设置带来了相对的制度优势。以个人信息出境为例,欧盟虽然设置了充分性认定、企业有效规则、标准合同条款等合法机制,但目前通过充分性认定的只有14个国家,企业有效规则难获审批(中国企业尚未有获批的案例),采用标准合同并不免除数据处理者根据数据出境个案的风险采取额外补充措施的义务。相比较而言,跨国企业在我国开展个人信息出境,如果符合安全评估的情形,那么其通过安全评估的确定性要显著增强,而且还可以提供2年有效期的稳定预期,极大方便了企业开展跨境业务。

总体而言,经过多年酝酿和公开讨论的《办法》,在充分平衡各方利益的基础上对数据出境安全管理作出新探索,既着力于维护国家安全、公共利益和个人与组织合法权益,也为全球数字经济健康发展提供了中国方案。(作者:张金平 中央财经大学副教授