关于中国数据出境管制政策的建议
【编者按】
2018年9月18日下午,由国家发展和改革委员会及上海市人民政府等单位主办的“2018世界人工智能大会•静安国际大数据主题论坛”在上海举行。
华东政法大学数据法律研究中心向本次论坛的“跨境数据流通”闭门会提交了有关我国数据出境管制政策的研究报告,近二十位与会专家对该报告提出的问题和观点进行了深度研讨。本文是在本次闭门会上形成的专家共识。
欢迎讨论。
网络产生了大量丰富的数据资源,趋动着科技创新、经济发展和社会治理。人类已经进入数字经济时代。
网络的无疆域性、云服务的全球性、大数据跨境的流动性,不仅使数据控制权成为数字经济参与者争夺的焦点,而且成为网络治理和国际秩序的焦点问题。一方面,在网络开放、自由竞争、贸易自由等观念驱动下,人们渴望数据自由流动。另一方面,为维护公民权利、经济安全和政治稳定,需要对数据流动给予适当的控制。于是,数据出境管制(又称数据跨境流通管制)成为推进数字经济发展,参与国际经济新秩序的关键基础制度。
2017年6月1日起实施的我国《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
由此确立的数据境内存储(又称数据本地化)和数据出境安全评估制度只针对关键信息基础设施运营者。之所以如此规定,背后的理由是,关键信息基础设施关系到网络安全,而网络安全关系到国家安全。因此,这一规定具有正当性和合理性。
为具体落实《网络安全法》第三十七条之规定,2017年4月,国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》。该征求意见稿以及相关解读赋予《网络安全法》过多“使命”,导致我国被国际社会误解为采取了数据保护主义政策。
为形成有利于我国数字经济发展的数据出境管制政策,我们特提出以下六条建议。
一、基于《国家安全法》第二十五条构建我国的跨境数据监管制度
依《国家安全法》第二十五条之规定,我国有权维护“关键基础设施和重要领域信息系统及数据的安全可控”。显然,这里的数据特指关键基础设施的数据和重要领域的数据。这些数据关系到国家安全,据此构筑我国数据出境管制的政策,具有法律正当性。
但如果将我国数据出境管制政策建立在《网络安全法》基础上,即存在关键信息基础设施运营者是否能够涵盖所有关系到国家安全的重要数据控制者的问题。《个人信息和重要数据出境安全评估办法(征求意见稿)》制订的本意是扩大出境数据的管控范围,将关键信息基础设施运营者扩大为“网络运营者”。但是,这样的扩大不仅偏离《网络安全法》本意,还存在是否能够涵盖一切重要数据的问题。其实,一旦超越《网络安全法》,数据出境管控的主体就是重要数据控制者。
二、分离本地化存储与出境数据管控之间的联系
将《网络安全法》作为数据出境管制的依据还带来一个问题,即将本地化存储与数据出境管制直接关联或等同。
数据本地化与数据跨境监管是两个不同的概念或制度。本地化存储最初只是针对国家安全而设置的制度,早在《网络安全法》颁行之前,对一些特殊行业就有重要数据境内存储的要求,《网络安全法》进一步规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”也不为过。
但是,如果将个人信息也纳入,就会引发个人信息是否都关系到国家安全的疑问。为消除人们的疑虑,除了限定《网络安全法》的本地化存储的适用范围(即限定是“关键信息基础设施运营者”在境内生产的数据)外,还要分离本地化存储和出境管制的关系。
数据的本地化并不意味着数据不能出境。数据出境管制是由数据是否关系到国家安全,而不是数据的本地化存储来决定的。《网络安全法》之所以要求将关键信息基础设施上产生的个人信息也纳入本地化存储,主要也考虑的是本国司法和执法便利,缓和目前国际司法协助程序繁杂带来的本国法律实施困难。这与数据出境管控没有直接联系。
因此,《网络安全法》所要求的“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”,不宜理解为严苛型的本地化(禁止数据出境),而应理解为是可以出境甚至是允许境外访问的本地化存储。应将本地化存储与数据出境管制分离。
三、区分重要数据和个人数据,建立不同出境管制政策
重要数据和个人数据(个人信息)出境规制政策不同。重要数据应当纳入出境管制范围,原则上不允许出境;而个人数据则不宜纳入数据出境管制范围,在同等保护前提下,遵循一定规则即可以出境。
这是因为,一般来讲个人数据仅关系到数据上的公民个人权益保护问题,一般不涉及国家安全。因而国际社会通行的基本原则是,只要个人数据的目的国(进境国)对个人数据的保护达到出境国的个人数据保护水平,或者有其他机制使出境后的公民个人数据得到保护,那么应当允许公民个人数据流出境外。因此,个人数据出境问题并不是数据出境管制问题,而是国家基于保护公民权益的义务,对个人数据出境施加的限制。这种限制目前在国际社会被认为是合理的、可接受的。
但是,重要数据出境是国家基于维护经济和政治安全或国家安全而实施的管控,一般不纳入到贸易谈判中进行协商,而是由国家建立统一的限制和禁止数据出境的基本原则和制度规则,然后由各行业主管部门监管和实施本行业的数据出境监管。
比如,我们可以结合《保守国家秘密法》、《地图管理条例》等法律法规,发展出以维护国家安全目的的禁止和限制出境数据的目录清单,建立动态调整机制,规定在目录清单之内的数据纳入数据出境监管,而目录清单外的数据即可出境。这样的数据出境管制才是真正的出境监管。显然,在这样的监管体制下,重要数据是否能够出境,不是企业或单位自评估可以决定的事情。
我们认为,自评估不能适用于重要数据,并作为重要数据出境的一种管制措施。适用于数据控制者的数据管制政策应当是国家统一制度,不应是数据控制者自主评估决定的事情。
需要指出的是,区分个人数据与重要数据并实施不同的出境政策,并不意味着个人数据不能纳入出境监管。特殊人群的数据、特定种类的个人数据(比如基因)因为其重要性,仍然可以纳入到国家的数据出境监管体系。但是,相关评价标准仍然是是否关系到国家安全,而不是关于个人的信息是否产生于境内。
四、安全评估不宜作为个人数据出境的条件
依据《网络安全法》的规定,数据安全评估被作为数据是否可以出境的管控方式,且被理解为替代事前监管的事中监管措施。
即使安全评估被理解为我国“放管服”政策下,减少事前监管,增强市场主体自我责任的重要措施,我们也认为自我评估不宜作为个人数据出境控制的手段。这是因为,数据出境是否安全,需要评估的是数据流入国的数据保护水平,而这样的保护水平让一个企业或单位自评,不仅困难,徒增成本,而且有主观性,可能造成对同样的国家有不同的评估结果。至少在他国保护水平方面,适用国家相互认定(协定)或者权威的中立机构加以认证决定,而不适用每个数据出境者自己评估。
数据出境者自己能够评估的是在公认的保护水平下,所要出境的数据是否会有风险。因此,数据安全评估多被许多法律认可为是数据控制者利用合规和风控的手段,数据能否出境或出境的条件则是由法律规定的。比如欧盟条例就规定了国家协定、公司约束规则、示范合同等多种数据出境方式。因此,我们不反对安全评估在数据出境中的应用,但是,它不应作为个人数据出境的条件,不能承担法律或者国家应当承担的职责。
五、在数据经济战略下制定个人数据保护和利用规则
有了我国的个人数据保护规则,然后才能寻求国外的同等保护或充分保护,才有谈判的基础,因此,加快制定我国的个人信息保护法已成共识。
个人数据成为当今数字贸易秩序构建的要素,因而个人信息保护法必须同时考虑个人数据跨境流通问题。在经济日益全球化、数字经济日益跨境的背景下,我们的个人信息保护法还必须考虑我国对境外数据的获取和开拓国际市场问题。毕竟,在个人数据领域奉行的是同等保护原则,在国际贸易和经济合作中奉行的是互惠互利原则,我国对个人数据出境的过度限制势将成为我国经济全球化、开拓全球服务市场的障碍。因此,个人信息保护立法应当与跨境数据流动政策同步,或者为今后的跨境数据贸易谈判贸下余地。
这样,数据出境条件和出境通道的设置就具有经济含义,而不再是单纯的公民权利保护问题。因此,个人信息保护法应当平衡经济发展和安全利益。形成有利于我国参与全球数字市场竞争的个人数据流通利用规则,应当成为正在制定的个人信息保护法的重要目的。
六、积极参与国际谈判,为我国数字经济发展争取更多空间
数据流动是国家间投资贸易的必然要素。对传统经济而言,无数据流动,就没有国际合作和贸易;对数据经济而言,没有数据跨境流动,就没有境外市场开拓和跨境服务。
在这样的背景下,数据跨境流动政策就成为未来国际新秩序的关键要素。这一点从美国贸易代表办公室(USTR)已将“数字贸易”列入《北美自贸易协定》(NAFTA)重新谈判目标中可以看出端倪,“数字贸易”也成为如今《跨太平洋伙伴关系全面进步协定》(CPTPP)和《服务贸易协定》(TiSA)的主要内容。
所有的国际贸易谈判或协议都是基于本国经济实力和利益诉求作出的妥协。我国虽然有发达的网络应用和体量庞大的网络经济,但在基础网络和数据服务的关键技术方面与美欧仍有一定差距。这样,数据(本质上是市场)就成为我国参与新的国际竞争秩序的重要谈判砝码。因此,我国应当形成和坚持统一的正确数据跨境流动政策,在开放和保护、管制与自由之间寻求平衡点,通过双边协定方式来推进国际数字经济新秩序的形成。
欧盟推出的《统一数据保护条例》(GDPR)已给我国企业带来合规压力,在这样的情形下,我国应当积极与欧盟谈判,寻求已经在欧盟有业务的中国企业数据合规的过渡性解决方案,并最终促成欧盟认可我国企业对个人数据的保护水平。