在数据要素市场化配置的国家战略导向下,数据安全高效出境顺势成为立法工作的重要内容。《网络安全法》《数据安全法》《个人信息保护法》建构起全方位的数据安全和个人信息保障体系,但是数据安全不等于限制数据流动,而是为了促成数据更高效的流动。在此背景下,我国出台了《数据出境安全评估办法》,解决了涉及大量个人信息、重要数据的出境安全问题。但是,数据出境立法进程并没有就此止步。为了满足企业数据出境的业务需求以及迎合不同规模数据出境的行业特征,国家互联网信息办公室又出台了《个人信息出境标准合同办法》(下简称《办法》)。这不仅意味着我国数据出境立法的体系化工作取得巨大成就,也意味着我国个人信息出境就此步入“标准化”法治时代。

一、数据安全监管理念升级,合规出境渠道多元化

数字经济的创新发展离不开数据资源的供给与流动,为了进一步解放数据资源在数字市场中的生产要素功能,填补数据合规出境的单一性,国家互联网信息办公室一针见血地点出行业痛点,以标准化合同的制度模式为企业数据出境提供了另一种可能性。与过去强监管模式相比,《办法》体现了我国监管机构在长期的数据安全监管实践活动中所探索出的新型监管理念和监管模式,即将行政监管与企业自主合规相结合。

(一)定底线,留磋商。《办法》看似对企业个人信息出境合同作出了种种限制,甚至还列明了《个人信息出境标准合同》,但这种表现的背后却体现了我国的监管智慧:在私法层面,合同的生命在于意思自治和自主磋商,《办法》并没有事无巨细地限定企业应当怎么订立合同,而是以示范性的标准合同的形式指引企业应当如何完成的个人信息保障义务。《办法》第6条规定标准合同应当按照《办法》附件订立,但同时也允许在与附件内容不冲突的情况下约定其他条款。

(二)填空白,多渠道。《数据出境安全评估办法》的出台解决了大规模个人信息、重要数据的安全出境问题,但是对于出境数据规模不大、不属于关键信息基础设施运营者的其他企业而言,采取同样的数据出境模式又未免存在合规成本过高等问题。《办法》第4条则明确了标准合同机制适用应当同时符合以下情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。该条直接说明了《办法》对数据出境安全评估机制适用范围的填补,企业在出境部分个人信息时,可选择的合规模式更加多元。

(三)重备案,强保密。《办法》第3条明确提及了适用原则包括“自主缔约与备案管理相结合”“保护权益与防范风险相结合”等。一方面,这里的“备案”不同于数据安全评估机制所要求的实质性审查,而是强调监管机构仅对提交材料进行形式审查,至于备案材料的真实性则由企业自行负责。另一方面,这里的“防范风险”除了强调个人信息处理者需要控制个人信息出境的安全风险,还强调了备案机构及其工作人员同样对备案材料负有保密义务,个人信息处理者不必担心主动备案出境合同可能会导致商业秘密等泄露,更不用担心因泄露而导致潜在的商业机会丧失。

二、数据出境立法呈体系化趋向,条款内容“承上启下”

时至今日,我国数据安全立法经历了从无到有、从有到优的发展历程,随着《网络安全法》《数据安全法》《个人信息保护法》相继颁布,我国的数据立法工作呈现纵深化、专题化和领域化的发展趋势。在数据安全出境领域,前三部法律明确了数据出境的基本原则和基本制度架构,而此次的《办法》和《数据出境安全评估办法》等则构成了数据安全出境体系的具体内容,并且除了适用范围具有相互填补衔接的特点之外,在立法目标和具体条款上同样实现了监管标准的统一化和体系化。

(一)数据出境需进行个人信息保护影响评估。《个人信息保护法》第55条和第56条规定了“向境外提供个人信息”时应当事前进行个人信息保护影响评估,并明确了评估事项主要包括处理目的、处理方式、个人权益影响及安全风险、风险匹配度等。而《办法》第5条则将个人信息保护影响评估事项进一步细化,专门针对个人信息出境之后的潜在风险点作出了一体性评估要求,包括但不限于境外接收方能否履行承诺的个人信息保护法义务、出境后是否存在非法利用、泄露等风险、境外接收方所在国家或地区的相关立法能否保障标准合同的履行。

(二)“安全评估、标准合同、机构认证”出境机制并行。《个人信息保护法》第38条规定了个人信息出境需要满足的法定条件包括“安全评估”“个人信息保护认证”和“标准合同”。《数据出境安全评估办法》公布后不到一年内,国家互联网信息办公室紧锣密鼓地颁布《办法》,意味着我国个人信息出境机制正在逐渐按照上位法《个人信息保护法》的内容逐一补全,企业数据出境业务合规的选择空间更加广阔。

(三)依照上位法确定标准合同内容,并未实际增加企业合规成本。《办法》附件所列明的标准合同条款内容绝大部分均是以《个人信息保护法》所涉及的个人信息主体权利和个人信息处理者义务为基础,企业依据《个人信息保护法》要求落实个人信息保护义务的同时,实际上也在完成个人信息出境标准合同所要求的义务。附件标准合同的“定义”部分与《个人信息保护法》所规定的个人信息主体、个人信息、敏感个人信息等概念保持一致,至于“个人信息处理者的义务”“境外接收方的义务”“个人信息主体权利”等内容则是针对个人信息出境场景的风险特殊性,细化了《个人信息保护法》规定的义务履行方式和权利行使方式,保持了监管标准的一致性。

三、数据安全风险治理新探索:打造可信可控的个人信息出境模式

现阶段,网民往往在繁琐冗杂的隐私政策、用户协议等平台规则中“迷失方向”,在一次次点击“同意”按钮时,又在担心自己的个人信息出境之后是否安全,这种社会公众对个人信息出境乃至数据流动安全性的不信任已经成为数据要素市场化配置的关键阻碍。为了保障自然人个人信息权益,同时最大限度地实现个人信息效用,《办法》选择从个人信息出境最直接的风险来源切入——以出境后的个人信息安全保障为重心,以救济方式、违约责任、争议解决机制等方式消解社会公众对个人信息出境的不信任,同时确保境外接收方能够按照合同约定履行义务。这种数据安全风险治理新探索主要体现在以下两个方面。

(一)个人信息主体维权有所依,相互推诿不复在。附件标准合同在“第六条 救济”中明确了境外接收者需要向个人信息主体提供询问或投诉的具体渠道,以网站公告或单独通知的方式告知境外接收方的固定联系人,避免个人信息主体维权时对于境外接收方“可望不可及”。个人信息主体再也不用担心发生争议时个人信息处理者与境外接收方相互“踢皮球”,将争议问题推诿给对方。

(二)违约责任保障合同义务履行,仲裁或诉讼解决先行赔偿问题。附件标准合同以个人信息主体的权利保障为优先事项,规定了违约方需要承担民事责任、行政责任乃至刑事责任,同时提及了双方依法承担连带责任的,个人信息主体完全有权选择其中一方或双方承担责任。一方承担的责任超过其应当承担的责任份额时,有权向另一方追偿。(作者:赵精武 北京航空航天大学法学院副教授)