保障数据依法有序流动
数据在当今世界具有鲜明的时代特性,且具有天然的流动优势,在全球化时代,数据随着流动而不断增值。近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。但是,数据流动本身便意味着风险存在,在促进数据自由流动的同时,也应妥善应对和防范数据出境安全风险,实现数据流动与数据保护的平衡。
2022年7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自9月1日起施行。《办法》旨在落实网络安全法、数据安全法、个人信息保护法的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
数据跨境流动在形式上可以分为数据入境与数据出境。根据《办法》,数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。实际上,数据跨境流动不仅会涉及跨境贸易等经济问题,也会涉及私权保护、国家安全、主权管辖等问题。而与数据入境相比,数据出境存在的风险可能更大。对于个人来说,数据出境后,易引发个人数据泄露和数据滥用问题;对于企业而言,数据出境可能带来技术、资产和组织管理等方面的弊端;在国家层面,则可能涉及本国的数据利益和安全。因此,对数据出境进行法律规制,是许多国家的普遍做法。
我国关于数据出境的法律规制,主要规定于网络安全法、数据安全法、个人信息保护法之中。在这三部法律出台之前,我国立法对于数据跨境流动的问题有所涉及,但仅针对特定对象,以业务数据和行业信息为主。2013年,工信部实施了《信息安全技术公共及商用服务信息系统个人信息保护指南》,其中规定,个人信息管理者向境外转移个人信息,须合乎法律,经信息主体明示同意或主管部门同意。这是对于个人信息的跨境流动的一般性规定,但是该文件的立法层级较低,所规范的范围也仅限于个人信息。此外,其他法律法规与规章中也间接涉及数据跨境流动的问题,如国家安全法和保守国家秘密法分别从档案、国家秘密的角度对该问题进行了规制。但综合而言,这一时期我国对于数据跨境流动的规制并不充分,相应的规则也比较概括,且缺乏配套制度。
2016年起,随着网络安全法、数据安全法、个人信息保护法等法律的陆续出台,我国基本构建了数据治理的法律制度。其中,根据网络安全法第37条规定,关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据原则上应当遵循本地化储存原则,确需进行跨境传输时应当履行数据出境安全评估义务。数据安全法第30条和第31条规定了重要数据处理者的风险评估义务,以及关键信息基础设施运营者和其他数据处理者在我国境内运营中收集和产生的重要数据的数据出境安全评估义务。个人信息保护法第36条和第40条规定了国家机关处理的个人信息在向境外提供时,应当进行安全评估,以及关键信息基础设施运营者和处理个人信息达到规定数量的个人信息处理者,在向境外提供个人信息时,应当进行安全评估。然而,上述法律并未对数据出境评估规范进行细化规定,导致实践中对数据出境进行安全评估时缺乏具体实施规则,不利于依法规范开展数据出境安全评估,维护个人信息权益、国家安全和社会公共利益。
此次《办法》在遵循上述法律基本要求的前提下,对数据出境安全评估规范进行了细致的规定。《办法》第2条明确规定,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估。在适用对象上,《办法》并未采用网络安全法、数据安全法、个人信息保护法中“关键信息基础设施运营者”“重要数据处理者”“其他数据处理者”的表述,而是统一使用“数据处理者”,在适用对象上更具广泛性和包容性。
《办法》确定了事前评估和持续监督相结合、风险自评估与安全评估相结合的基本原则,明确了应当申报数据出境安全评估的具体情形,内容涵盖关键信息基础设施运营者、重要数据处理者、处理个人信息达到规定数量的个人信息处理者以及其他数据处理者等;规定了数据处理者向境外提供数据满足规定情形时的两类评估义务,即数据出境安全自评估与监管部门数据出境安全评估,同时,要求数据处理者与境外接收方订立合同时应当充分约定数据安全保护责任。上述规定,填补了过去法律规定的空白,有利于我国数据出境企业和权益受损的个人依法进行维权,也对监管部门全方位审查数据出境活动的安全风险程度提供了更加全面客观的指南,有助于灵活高效应对数据跨境流动中可能存在的治理难题,提升数据出境安全评估治理效能。
实践中,数据出境安全保护环境复杂多变,《办法》的有效落实需要相应机制的配合。在遵循网络安全法等上位法的规范,维护法律法规间的统一性与系统性的基础上,一方面,应加强数据跨境流动治理领域的国际合作,推动国际协定与国内治理的有效衔接;另一方面,应切实发挥行业协会与企业的积极性与能动性,减轻政府对数据跨境流动风险审查的压力。(吴凡)