专家解读|新规定引领数据跨境流动“新动向”

发布时间:2024-12-21 22:25:45 来源: sp20241221

  在数字经济时代,数据的有序流动和利用效率,对数据要素配置优化至关重要。特别是在跨境数字贸易活动中,高效且安全的跨境数据传输制度已成为推动数字贸易新秩序的基础。从世界范围看,美国、欧盟、东盟等都在推动各自国内法层面的数据跨境传输制度建设,意图抢占全球数据跨境传输规则的制定权和话语权。为充分把握住数字时代的经济脉络,参与数字经济格局新秩序的竞争与合作,我国先后制定了《数据出境安全评估办法》《个人信息出境标准合同办法》等高质量数据跨境传输规则,产生了良好的效果。

  在上述规则的基础上,围绕数字贸易实践中不断涌现的新问题、新需求,我国坚持统筹高质量发展和高水平安全,立足产业实践需求,国家网信办制定了《促进和规范数据跨境流动规定》(以下简称《规定》)。《规定》在我国现行数据跨境传输立法框架内,进一步细化了企业数据出境的业务合规标准和操作规范,充分反映了我国在数据跨境传输监管领域的创新思路,那就是:既要通过保障数据跨境传输安全实现数字贸易活动稳定,也要通过畅通数据跨境传输制度渠道打造跨境数字贸易新格局。《规定》的公布进一步优化了我国数据跨境流动的制度体系,为企业数据出境提供多样化、灵活性的制度工具,同时也有力回击美国等西方国家对我国“数据本地化主义”和阻碍全球数字贸易活动等无端指责。

  《规定》对推动跨境数字贸易高质量发展的作用,主要体现在以下四个方面。

  第一,立足数字贸易实践特征,细化数据跨境传输制度的适用范围。在监管实践中,部分企业对自身数据跨境传输业务的法律性质认知不够准确,难以准确地确认应当适用何种数据跨境传输流动机制。为了在法律实施层面解决数据跨境流动机制的适用标准模糊问题,《规定》将无需适用数据出境安全评估、个人信息出境标准合同、个人信息保护认证的情形予以列举。例如,“订立、履行个人作为一方当事人的合同”主要涉及跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等活动,这些活动的共同性表现为,个人跨境活动需要高频次、无障碍地进行个人信息跨境传输。又如,“实施跨境人力资源管理”的必要性的判断标准是依法制定的劳动规章制度和依法签订的集体合同,此种条款表述在保障跨境企业或跨境业务所必需的员工个人信息能够正常出入境的基础上,有效避免了部分企业不当扩大跨境人力资源管理之必要的实际范围,导致非必要的个人信息以不安全的方式出境。还如,“紧急情况”是指为了保护自然人生命健康和财产安全等目的,数据出境具有迫切性。

  第二,明确商业活动场景需求,推动数据跨境传输制度的有序实施。自我国确立以数据出境安全评估、个人信息出境标准合同以及个人信息保护认证为中心的数据跨境传输体系后,监管机构也在持续推动这些制度的具体实施。如全国首个数据合规出境案例,首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目为医疗健康数据出境安全管理、国际医疗科研合作提供了实践指引。再如,我国汽车领域首个全系统盘点、全业务申报、全场景获批的数据出境安全评估案例,北京现代汽车有限公司数据出境安全评估项目为汽车领域数据出境活动展示了标准化的业务合规方式。在这种场景导向的数据跨境传输治理理念下,《规定》也侧重针对特定场景的业务需求,在不包含个人信息或者重要数据的前提下,允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据出境安全评估、个人信息标准合同和个人信息保护认证机制。此种豁免情形无疑为中国企业出海开展跨境业务提供了极大便利,因为经济全球化的发展趋势下,客服、物流、云存储、数据分析等常见跨境贸易活动会频繁生成和传输相关业务数据。这些业务数据的出境不会直接导致国家安全等问题,《规定》将之豁免,有效消除了此类问题背后的监管不确定因素。

  第三,预留监管制度解释空间,促进数据跨境传输制度的多元创新。数据跨境传输制度是我国各类自贸港、自贸区乃至粤港澳大湾区等经济改革地区探索新型跨境数字贸易活动的重要依托和安全保障。《中国(上海)自由贸易试验区临港新片区国际数据产业专项规划(2023—2025 年)》中明确提出,要优化数据跨境流动操作规则、推进数据跨境流动安全评估、完善数据跨境流动公共服务管理平台功能等多项具体措施。为了充分保障“先试先行”治理模式的落地,《规定》专门就自贸区的数据跨境流动制度增设了“灵活变通的空间”,即通过数据清单的形式在现有数据跨境传输机制上予以“微调”。该数据清单机制可以被理解为“充分授权”“法定程序”“便捷流动”三类治理要素的有机整合。“充分授权”是指《规定》授权自贸区自行制定适合本地区经济贸易活动的数据出境监管机制;“法定程序”是指《规定》明确限定了从地方到中央的批准备案流程,真正实现“合法范围内的充分创新”;“便捷流动”是指《规定》允许数据清单之外的其他数据跨境传输活动不必继续适用数据出境安全评估、个人信息出境标准合同、个人信息保护认证等具体制度,而是以符合商事效率的方式直接与跨境数字贸易活动一并完成。自贸区属于“境内关外”区域,在工商登记、外商投资、人才引进等领域均存在政策优惠,《规定》所设置的数据清单能够让自贸区在兼顾安全管理的基础上,更多地偏向探索具有自贸区经济特色的数据跨境流动体制机制。

  第四,回应企业数据出境合规担忧,降低数据跨境传输制度的合规难度。《规定》的一大亮点是提升了现行数据跨境传输制度的操作性,降低了中小企业数据出境的业务合规难度。《规定》并没有对数据处理者所持有的数据总量作出监管门槛的设定,而是更加侧重对数据环境风险水平的评估。因此,《规定》将风险关注的重心调整至数据出境的规模和类型。例如,在向境外提供非敏感个人信息的出境活动中,设置了“自当年1月1日起累计向境外提供不满10万人个人信息的”“自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息的”以及“自当年1月1日起累计向境外提供100万人以上个人信息的”三类数据出境数量门槛,分别对应“完全豁免”“豁免适用数据出境安全评估”“强制申报数据出境安全评估”三类业务合规要求。对于明确不具备危害国家安全、个人信息权利等的数据出境活动,例如跨境传输的数据数量稀少,则无需专门申报数据出境安全评估等监管流程。

  有理由相信,《规定》的公布和实施,对于进一步促进安全、有序、高效的数据跨境,对于进一步促进跨境数字贸易活动,对于提升我国参与国际数字治理新格局的竞争和合作能力,都将发挥重要作用。

  作者:王锡锌 北京大学宪法与行政法研究中心主任、教授,中国法学会网络与信息法学研究会副会长

  来源:“网信中国”微信公众号 【编辑:李润泽】