从2020年《全球数据安全倡议》作出尊重各国数据主权的郑重承诺,到2024年《全球数据跨境流动合作倡议》明确提出加快数据领域国际合作,推动以数据流动为牵引的新型全球化,我国在数据跨境流动议题上的立场行动日益清晰。
“数据跨境流动”是近年来数字公共政策议题中最具有挑战性的制度领域之一。既关系个人权益保护,也涉及数字经济发展、国际数字贸易规则,更与国家数据主权与安全休戚相关。受外部复杂因素影响,过去10年间,各国数据跨境流动政策均有较大调整。我国相关政策的孵化出台、实施完善也经历了复杂历程。
与大数发展中国家类似,我国数据跨境流动政策是在网络基础设施逐步完善,数据跨境流动场景日益丰富之后,基于国家网络安全视角而提出。自2011年起,陆续在金融、征信、人口健康、地图等重要行业与领域,初步建立了数据本地化要求。直至2016年,《网络安全法》在网络安全基本法律制度中,首次明确提出特定的数据本地化和数据出境安全评估。
在提出框架性原则要求后,我国开启了具体实施层面的规范探索。并于2017[1]、2019[2]、2021[3]分别发布三次关于数据出境安全评估规范征求意见稿。其中评估范围、机制不断变化调整,侧面反映出:在数据跨境流动成为数字经济发展普遍现象的背景下,对数据跨境活动的监管干预,本身是一件极具挑战的任务。[4]
2022年7月,我国数据出境安全评估制度出台[5],并在实施近一年后,结合工作实际,迅速做出了调优完善。适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放[6]。
政策的探索调整充分说明:跨境数据流动机制并非一成不变,安全评估也没有被视为最终唯一的出境机制。在全新未知的数字政策领域,重要的是时刻保持着审慎、积极、开放的心态,寻找能够保障自身优先目标而又适应数字全球化进程的最佳方法[7]。
2024年3月,《促进和规范数据跨境流动规定》(以下简称为“新规”)的出台标志着出境评估制度的优化调整[8]。一方面,对安全评估的泛化趋势进行了校正;另一方面,明确了数据出境路径的适用及其豁免条件,为数据跨境流动提供了更加清晰的指导,具有里程碑式的意义。
新规出台后,将绝大部分因正常商业和社会活动需要而开展的数据跨境,整体性的豁免相关合规要求,进一步引入样化的跨境路径。(如图)
新规的最大亮点之一是设置了递进式的豁免规则。对于跨境购物、跨境寄递、跨境支付等基于履行合同所必要,以及基于人力资源管理所必要的业务场景(新规第五条),整体性的豁免了包括安全评估、标准合同、保护认证等在内的出境监管要求。展现了我国构建高效、便利、安全的数据跨境流动的决心,其所明确的豁免场景具备充分的合理性。
针对”履行合同所必需”的豁免,符合“业务合法,则相关数据流动亦合法“的内在逻辑。换言之,合同所涉及的业务活动(如跨境购物、寄递、支付等)建立在充分的正当性与合法性基础之上,其本身已经受到了基于业务之上的严格监管。为实现该业务目的,必要范围内的数据跨境流动,在与用户订立、履行合同的过程中,用户亦有明确的知情和授权。针对此类合法正当业务场景的出境豁免,并没有让数据安全、个人权益受到减损,同时还显著减轻了监管机构与企业双方之间的负担,便利了数字经济的发展。
因此,对于这一重要豁免场景,新规将其作为优先适用项。在第七条,第八条等个条款中予以了反复强调。意味着不论是关键基础设施运营者,还是其他数据处理者,符合第五条场景的,均可以优先适用豁免规则。近期发布的《全球数据跨境流动合作倡议》中更是明确:鼓励因正常商业和社会活动需要而通过电子方式跨境传输数据。[9]此类数据跨境减负,是鼓励政策的最佳实践。
跨境政策调整后,自贸区在国家数据分类分级保护制度框架下,可制定区内数据清单,经批准备案后,负面清单以外的数据出境可豁免出境要求。当前,北京、上海、天津、福建等已展开积极探索。其中:天津采取了负面清单模式,未列入负面清单的数据可免予履行数据出境事前监管要求,实现自由流动[10]。北京采取了正面+负面相结合的方式,针对汽车、医疗、零售、人工智能等特定行业与领域,明确了相关负面清单[11]、上海临港[12]、福建平潭[13]为“正面清单”,清单内的数据出境场景豁免相关出境要求。
当前,数字贸易在全球贸易中的占比持续提升,成为继货物贸易、服务贸易之后的重要贸易形态[14]。然而与之匹配的数字规则,在全球远未达成协调一致,甚至有进一步碎片化的风险。根据OECD全球数字服务贸易限制指数, 各国针对数字服务的限制措施仍在不断上升,其中,跨境数据流动的限制、歧视性差别待遇等措施已经成为影响数字经济发展的主要负面变量[15]。
面对短期内无法形成全球统一共识的局面,各国从双边、小边着手,寻求跨境合作机制,增强政策稳定性。2023年,新加坡与墨西哥、澳大利亚分别签署升级个人信息信息保护合作机制,开发兼容两国监管框架的数据传输机制。2024年,《欧盟-日本关于跨境数据流动的协议》正式生效,协议强调双方要确保以电子方式进行的跨境数据传输[16]。与此同时,我国在数据跨境流动议题上的立场日益清晰。从2020年《全球数据安全倡议》侧重于尊重数据主权的基本承诺,到2024年《全球数据跨境流动合作倡议》明确提出推动全球数据跨境流动合作。
今年以来,我国在数据跨境议题上取得积极进展。2024年6月,中德签署《关于中德数据跨境流动合作的谅解备忘录》[17];中新数字政策对话机制第一次会议召开[18];同年8月,中欧数据跨境流动交流机制建立[19]。在边领域,我国一如既往主动对接《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》中的高水平数字贸易规则。在动荡变化的大形势下,这些有力举措无疑有助于夯实国家间“数据信任”基础,建立数据流动的绿色通道。建议未来能更进一步展开务实合作,建立合作机制,求同存异,互利共赢。
我国在粤港澳大湾区数据流动中,积极发挥标准合同机制作用。目前,已与香港、澳门发布标准合同实施指引[20][21],旨在为粤港澳大湾区间企业的个人信息跨境流动“减负”。
从长远看,作为国际上较为通用的数据出境合规路径,标准合同机制的作用发挥仍有很大提升空间。在我国数据跨境“双轨制”框架之下,安全评估侧重维护国家安全、公共利益;而标准合同、保护认证方式旨在保护个人权益[22]。因此,标准合同与安全评估本该“各行其道”,相互补位。但目前来看,标准合同的相关条款内容、合规义务与安全评估有较大重叠。导致二者在功能目标上的区分变得模糊。标准合同条款的过高要求提高了中小规模个人信息的出境门槛,原本为‘优先促发展’而设计的标准合同机制并没有发挥应有的作用,反而又回到了‘优先保安全’的框架内。[23]。未来可考虑对标准合同机制“减负”,合理确定条款的强制使用机制和内容强制程度,以适当平衡自治与管制[24],使之真正成为能够被普遍采用的数据出境路径。
通过近一年来的探索实践,自贸区以清单方式回应了产业界关注的重点问题,提升了政策的清晰度。然而出于对出境新规的不同认识,目前自贸区的相关规定存在较大差异。一是对豁免规则的理解差异,导致一些本属于新规豁免情况的出境场景(典型如基于订立履行合同所必需),在自贸区内可能有限制[25]。此外,对于新规中已经明确的豁免场景,自贸区是否还能够增加新的评估、备案要求存在着争议;二是对重要数据和敏感个人信息的不同界定,一定程度上增加了新的不确定性。三是清单运用方式的差异。尽管正面清单有利于明确回应企业关切问题(即明确特定数据不纳入出境监管框架),然而长期来看,由于正面清单无法穷举所有场景[26],其未来扩展仍有局限性。
放权自贸区的原意,是在特定区域内探索比国家一般性政策更为灵活宽松的政策,若结果更加严格,则不仅与初衷南辕北辙,也增加了政策的碎片化风险。本质上,我们最终要建立的是国家层面协调一致的跨境政策,而并非各地制度的重复建设[27]。当然,采取“清单方式”,本身也意味着“清单”会根据实际情况进行动态调整。相信自贸区未来能够进一步定位于扩大改革开放的“桥头堡”定位,发挥创新功能,开辟高效便利安全流动渠道。
[4] 王融,《数据跨境流动政策认知与建议》,腾讯研究院公众号,2018年1月29日
[7] 杨筱敏,《全球跨境数据流动国际规则及立法趋势观察和思考》,CAICT互联网法律研究中心公众号,2019年9月17日。
[14] 中国信通院发布《全球数字经贸规则年度报告(2024年)》,中国信通院 微信公众号,2024年9月27日
[19] 中欧数据跨境流动交流机制正式建立并举行第一次会议,,2024年08月27日.
[22] 刘金瑞.数据跨境双轨制下个人信息出境监管豁免制度的适用与完善[J].财经法学,2024,(5): 23-40
[23] 叶传星,闫文光.论中国数据跨境制度的现状、问题与纾困路径[J].北京航空航天大学学报(社会科学版),2024,37(1): 57-71
[25] 宁宣凤 , 吴涵等,《春风几度玉门关:论天津自贸区数据出境负面清单》,
[26] 金昌华、徐琳等,《从规范和促进数据跨境流动规定(征求意见稿)看网信办如何为企业数据出境“松绑”?》,2023年10月12日,
[27] 王一楠、全婉晴,《津沪闽京自贸区数据跨境流动清单管理制度研究》,2024年11月11日,返回搜狐,查看更多