跨境数据流动:安全与发展如何平衡
当下,以数字经济为代表的数字数据市场是长三角地区经济发展的突出一环,作为中国社会主义市场经济的重要组成部分,是中国经济社会发展的重要驱动。
在数字数据市场中,跨境数据流动是极为重要的组成部分。要做好数字经济发展建设,跨境数据流动是不可忽视的一环。所谓跨境数据流动,我们采用《欧盟跨境数据流动治理:平衡自由流动与规制保护》中的观点,将其定义为“trans-border data flows”,在法律意义上,它是从本司法管辖区转移数据到其他司法管辖区,或是转移到其他司法管辖区之后意图再转移的行为。
作为数据创造和消费大国,中国在企业生产、政务服务、社会民生等领域都有着庞大的数据使用和流通需求。例如,随着国际国内双循环发展的稳步推进,在企业跨国合作、协同生产等领域,数据正发挥着愈来愈重要的作用。如何平衡数据自由流动和数据安全存储是中国这一发展大国当前需要面临的一大难题。
一、“企业-政府”跨境数据流动现存的问题
经过调研,当前中国跨境数据流动领域面临着诸多困境,数据流动的发展侧和安全侧均受到了不同类别的挑战,出现了一定程度的失衡。
1、企业面临的数据出境困境。在调研中,部分企业曾表示,面对全球化市场的需求,企业对于数据出境和跨国协同生产的需要进一步扩大。但目前来看,中国的数据出境政策处于一个更为稳健、谨慎的规则角度,对数据的出境审批流程有着较为严格的限制。这使得部分企业处于规则僵局中。部分企业表示,中国法律法规中紧缩和模糊的数据出境审批政策给企业的审批和合规流程带来了诸多不确定因素,一定程度上压缩了企业对外发展的空间。部分无良企业因此铤而走险进行违规传输,对中国公民的个人隐私和国家信息安全造成了一定风险。某企业负责人表示,在此局面下,未来可能会有越来越多的企业铤而走险,进行违规传输,这在一定意义上挤压了遵守中国法律法规进行合规出境的企业的发展空间。
2、政府端面临的监管难题。当前,中国政府面临着不可避免的数据监管难题。从大方向上,中国对于数据出境一直秉承着谨慎稳健的态度。但由于数据市场经济飞速发展,相应的上层建筑和顶层设计却存在一定程度的落后,目前政府端对于数据市场的监管稍显颓势,有力不从心之感。在面对企业复杂的申报数据时,有关政府部门不仅缺少足够的法规支持,相应的处理经验也稍显不足。此外,不同政府部门之间存在权力拉扯,对于数据出境审查监管流程造成了一定的经济影响。
二、跨境数据流动遇困的原因分析
1、在政策层面,中国对于数据出境的监管条例仍不够完善。整合各类法律条文、管理条例等可以发现,虽然中国在数据安全方面已经完善了顶层法律、主要条例以及部分具体实施细则等,但阅读部分细则可以发现,在监管办法中仍存在诸多具有不确定性的规则。
首先,针对“数据”这一概念,中国在2022年7月17日出台的《数据出境安全评估办法》中点明了几类需要向国家网信部门申报数据出境安全评估的数据类型,分别为:重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;国家网信部门规定的其他需要申报数据出境安全评估的情形。在上述四类需要进行申报评估的数据类型中,网信办暂未对“重要数据”“其他需要申报数据安全评估的情形”作出详细规定。何谓重要数据?重要数据内部有无分类?虽然其他条例对这些问题略有涉及,但在此《办法》中暂无详细阐释。因而,企业在进行内部数据出境材料整合时面临诸多困境,例如,是否申报、所申报数据是否合规,都是困扰企业的常见问题。
同时,在涉及数据出境的诸多法律法规中,频繁出现“其他情况”“其他条件”等指意模糊的字句。例如,《个人信息保护法》中指出,个人信息出境需要符合以下条件之一:(1)进行个人信息保护认证;(2)与境外接收方订立标准合同;(3)其他条件。再例如,2023年2月正式出台的《个人信息出境标准合同规定》第八条指出,在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:(1)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;(2)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;(3)可能影响个人信息权益的其他情形。
可以看出,对于数据出境的具体评判要求,部分法律法规、实施办法或细则等有较为模糊的规定,会引起企业方的不安与疑惑。
2、数据出境的法律法规存在不确定性。这不仅给监管部门带来了执行困境,企业方也呼吁相关部门出台更为清晰、监管边界明确的实施细则。由于数据及数据出境问题的复杂性,不同的政府部门经常会合作办公。在目前已公开的数据条例已明确规定的范围内,各部门各司其职,共同服务监管我国各企业各单位的数据出境安全申报。但仍会出现在条例、办法中尚未明确规定的情况,比如一些涉及一般个人信息或一般企业发展信息的数据是否也包括在重要数据的范围内。
在此情况下,政府被赋予了相当大的裁量权,这使得企业端数据的出境审批流程具有相当大的不确定性,不仅减缓了双方提交、审批的速度,也产生了一些存在于企业和政府间的灰色空间。此外,由于法律制定端和政府执行端处于两个截然不同的政策点位中,政府部门在很多情况下对相应的数据出境持模糊看法,一些处于敏感与非敏感的边界数据的执行规则难以确定。倘若监管部门采取宽松态度,可能会存在出境数据产生相应的法律或隐私责任的风险。因此,在大多数情况下,相应监管部门会偏好稳健而谨慎的审批策略,从最大程度上保障中国的数据安全。
最后,由于条例中存在许多概念规定不确定、各类数据审批范围定义过宽等问题,在面临具有歧义或争议性的数据类型时,不同的部门经常会出现一定程度的拉扯。例如,在监管部门和其他相关部门之间会产生审批要求的掣肘,这不仅对数据出境的审批造成严重影响,也极大程度地影响了政府部门的分工协作。
3、存在部分企业不顾监管规则,违规进行数据出海传输,甚至泄露个人隐私信息等重要数据。近年来,某外资在华汽车企业被爆出泄露车主隐私信息、数据存储无加密传输等新闻。无独有偶,在部分制造业行业,有些企业为加快生产中转,多次向境外违规传输重要制造信息。对此,企业应懂得数据出境的安全监管与发展是一体两面之关系。倘若仅为满足企业发展要求,绕过监管程序进行数据违法出境,不仅损害了中国公民的个人隐私安全、国家的经济发展安全等,也为企业的后续发展埋下了隐患。
三、促进跨境数据流动的安全与发展的平衡
在跨境数据流动中,安全与发展实则是一体两面之关系。只有在数据安全的基础上谋求发展,中国数字经济乃至整个经济社会的发展方能行稳致远。
1、相关部门应进一步完善政策及政府监管。
首先,从政策制定层面,应尽快理清“重要数据”“其他情形”等条款的具体内容,对数据监管的目录进行完善,从而明确界定关键信息基础设施和重要数据的范围,减少商业性个人信息数据流通的阻碍,减轻企业的运营成本。
其次,针对数据出境相关议题,政府和企业之间可以构建若干个长期有效的沟通座谈机制。通过沟通座谈,企业端将能更直接地表达自身需求,深度参与后续的规则协作;政府端则将能更直观地了解企业诉求,完善监管服务条例和实施细则,打通审批-监管的堵点。在座谈会基础上,政府和企业代表可以共同构建专班协调机制,实时跟进数据出境合规服务建设。
最后,政府应进一步完善数据出境白名单建设。部分企业表示,根据当下国家发布的数据出境审批实施细则,一般数据和部分本不需要安全评估的个人信息出境也须通过网信部门申报安全评估,这既增加了企业的送审压力,也加重了政府部门的业务负担。因此,完善白名单建设是一个较为切实、高效的解决办法。经由白名单,一般个人信息、企业基础生产数据以及公开经营数据、文宣数据等可以通过绿色出境通道等途径快速出境,优化审批流程,提高审批效率。值得注意的是,白名单的建设应经过企业、发展部门、监管部门等多方磋商,对于确实需要进入白名单的一般数据,政府应给予服务支持;对于仍需要申报审批的重要数据,政府应严格依据条例进行监管,防止“白名单”变为“灰名单”。
2、政府各部门之间应理清权责关系。监管部门、发展部门和组织部门等部门之间应做好协商规划,在相关条例等规范下合作开展工作。部门职能不越界,部门权责不推卸,共同做好数据出境的服务以及审批监管工作。在国家统一规制下,各省各部门也应做好相应的标准协调工作,促进新政策、新规定在全国统一落地实施。
3、各企业应落实数据分类管理。鼓励相应行业、数据出口重点企业建立统一的行业数据分级标准。同时,发挥行会党支部、各企业党支部等先锋引领作用,推进行业数据分级标准落细、落实和优化完善。
4、优化政府企业间合作模式。政府与企业可携手共建数据出境企业服务专班试点工作。《商务部关于印发全面深化服务贸易创新发展试点总体方案的通知》指出,要在中央网信办指导下,在北京、上海、海南及雄安新区等试点地区推进跨境数据流动分类监管模式,开展数据跨境传输安全管理试点。并在具备条件的试点地区开通国际互联网数据专用通道,推动第三方数据辅助流通机制,更好更快发挥作用。调研发现,在上海、海南、北京等地区均落地了第三方跨境数据服务机构,比如上海临港的跨境数科公司。应进一步强化此类国际数据综合服务公司建设,协同促进中国综合国际数据港建设。
同时,省级部门也可积极配合网信部门探索建立地方性数据安全综合评估办法,联系当地企业开展综合性数据安全评估审批工作,形成“网信部门——地方——数据出境试点服务企业”三者的服务监管链条,更好服务各企业数据出境申报与审批。
图1 服务监管链条示意图
5、积极接轨国际,扩大战略发展空间。目前中国已正式申请加入CPTPP和DEPA等开放内容更多的自由贸易或数字经济协定。随着中国数字经济对外开放的不断扩大,中国各数据出境法律法规也受到了国际相关规则的影响。在CPTPP中存在一般例外和国家安全例外条款,适当借鉴和运用此类条款等规则方向,有助于中国数据跨境流动自由和国家安全利益达到最佳协调。然而,中国也应注意,部分国际条款限制了缔约国对于本国数据出境的监管,变相约束了中国对数据出境的审查权,这势必会对中国以后的数据安全造成一定影响,有关部门应该谨慎考虑。
目前,中国的跨境数据流动及数据出境安全评估、监管审查制度仍处于制定初期,规章制度等上层建筑不够完善,政府相应的监管流程也不够清晰明确。尽管中国已提出了多地开展的试点工作,但仍缺乏较为完整的实践支撑。在下一阶段,中国应持续推进跨境数据流动安全评估及监管立法,创新政府-企业合作实践,从双视角出发推进数据出境评估与审查。同时,中国有关部门也应关注国际上其他国家或地区的相关立法与实践,以进一步完善我国的跨境数据流动安全监管制度。在保障数据安全的前提下谋求经济发展,在发展的过程中促进数据出境安全监管创新,政府、企业与社会协力促进我国数据经济安全健康发展。
(作者徐沁芃来自复旦大学,本文系《城市数字治理安全与发展的平衡:上海跨境数据流动治理》报告成果之一,报告主编:姚旭、江天骄,课题组成员包括:李之端、徐沁芃、吴思杰、高健)