我國跨境數據流動管理制度概論:兼析《網絡安全法》第37條的制度構建及意義
責編:gltian |2022-08-24 17:37:54摘要
《網絡安全法》第37條首次設立了我國跨境數據流動管理的頂層制度,明確了關鍵信息基礎設施的個人信息和重要數據應當遵守的四個基本條件,即原則上本地存儲、因業務需要、確需向境外提供、安全評估。我國跨境數據流動管理具有三個階段的制度構建過程,一、二階段已經完成,第三階段即將完成。《網絡安全法》第37條作為第二階段的立法,在我國跨境數據流動管理的建設歷程中起到了承上啟下的作用,統一了該領域之前的法律規范,為后續《個人信息保護法》《數據安全法》全面規范跨境數據流動夯實了制度基礎。
關鍵詞:跨境數據流動;關鍵信息基礎設施;安全評估
縱觀我國跨境數據流動管理制度,共形成了三個階段的立法:第一階段為分散立法,即通過行政法規、部門規章、規范性文件等形式明確了特定行業特定領域的跨境數據流動管理要求,主要包括《征信業管理條例》《地圖管理條例》《金融消費者權益保護實施辦法》《人口健康信息管理辦法》《人類遺傳資源管理條例》等;第二階段為重點立法,即《網絡安全法》第37條針對關鍵信息基礎設施運營者在我國境內運營產生的個人信息和重要數據作出規定;第三階段為全局立法,即《個人信息保護法》和《數據安全法》作出了更為全面的跨境數據流動管理規定。其中,《網絡安全法》第37條是我國跨境數據流動管理制度形成中的重要根基,地位重要、作用突出。
一、《網絡安全法》第37條背景介紹
《網絡安全法》第37條對跨境數據流動管理作出規定是適應國際形勢和互聯網技術發展的舉措。從技術層面講,個人信息跨境流動,是互聯網技術發展與全球信息交流的必然結果。跨境數據流動并非新事物,嚴格來說,通過優盤、光盤等形式將數據帶出境外,以及跨國郵件等等均可被視為跨境數據流動的表現形式。[1]但跨境數據流動成為一項重要的國際議題逐漸引起各方關注應當是在進入21世紀之后走向高潮的。21世紀初,互聯網發展進入2.0階段,網站和內容流型社交網絡并存,通過互聯網傳輸、訪問數據逐漸開始大規模發展起來。2009年之后,互聯網發展開始進入移動互聯網階段,信息流開始具有通過互聯網提供內容和服務的重要特征。[2]大量信息在網絡中流動,在推動互聯網創新、產業發展方面作出重大貢獻,也開始引起更多國家和地區的重視。例如,在數據流動性極強的網絡空間內,個人信息往往不可避免主動或被動地流入域外。[3]根據美國著名智庫布魯金斯學會(Brookings Institution)的相關研究,2009—2018年十年間,全球數據跨境流動對全球經濟增長貢獻度高達10.1%。[4]據美國國際貿易委員會(ITC)估計,數據流動使得美國的GDP增加了3.4~4.8個百分點,創造了240萬個就業。[5]在這一階段,全球多個國家和地區的政策、舉措也成為跨境數據流動管理發展過程中的里程碑事件。例如2015年微軟訴美國境外數據索取案直接導致了后來《澄清境外數據的合法使用法》(簡稱《云法案》)的出臺,2013年奧地利律師施雷姆斯訴臉書事件(Schrems vs Facebook )導致了后續一系列的歐美《安全港協議》破裂及《隱私盾協議》的達成和無效,[6]這均凸顯了跨境數據流動在這一階段引起的爭議和關注極其聚焦。我國的《網絡安全法》即是在這種背景下出臺,并通過第37條首次在法律層面確立了我國重點領域的跨境數據流動頂層制度設計。
《網絡安全法》第37條開創了我國跨境數據流動管理制度的新階段。《網絡安全法》出臺之前,我國跨境數據流動管理規則主要存在于特定行業領域的行政法規、部門規章和規范性文件中,相關行業主管部門對征信數據、互聯網地圖數據、個人金融信息、人口健康信息等的跨境流動明確了各自的要求。《網絡安全法》出臺之前,這些立法和文件是相關部門管理數據跨境流動的主要依據,如2015年9月,華大基因與上海華山醫院因未經許可與英國牛津大學開展中國人類遺傳資源國際合作研究,華大科技未經許可將部分人類遺傳資源信息從網上傳遞出境。科技部要求華大基因立即停止該研究工作的執行,停止國際合作,整改驗收合格后再展開。[7]但在這一階段,各種類型信息之間的管理較為分散,不具有一致性,甚至在實踐中還可能因為數據類型的交叉和監管部門職權的差異而產生沖突,如《金融消費者權益保護實施辦法》第33條規定:“在中國境內收集的個人金融信息的存儲、處理和分析應當在中國境內進行。除法律法規及中國人民銀行另有規定外,金融機構不得向境外提供境內個人金融信息。”[8]而《人口健康信息管理辦法》第10條第2款規定:“不得將人口健康信息在境外的服務器中存儲,不得托管、租賃在境外的服務器。”前者規定了除外條款,但后者是絕對禁止跨境傳輸。那么,對于金融行業和人口健康行業存在的重疊個人數據,應當按照哪個規定進行管理和執行,從理論上來說是存在沖突的。
《網絡安全法》第37條確立了關鍵信息基礎設施的跨境數據流動管理制度。該條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。”從字面的意思來看,第37條主要包括以下含義:監管對象是關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據;關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據原則上應當在我國境內存儲,而向境外提供數據是特殊的例外情況;從出境的條件來看,關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據的出境,應當滿足三個要件,即“因業務需要”“確需向境外提供”“進行安全評估”。因此,本地化存儲原則、因業務需要、確需向境外提供、安全評估構成了《網絡安全法》第37條規定的跨境數據流動管理制度的核心要件。
二、對本地化存儲原則的理解
數據本地化存儲是第37條針對關鍵信息基礎設施運營者的個人信息和重要數據規定的基本原則,很多國家和地區的立法中均有所涉及。
第37條規定的本地化原則,屬于相對意義上的本地化。從寬嚴程度上來說,數據本地化可以分為兩類形式:一種是絕對意義上的本地化,即數據是不允許流到境外的,只能在本國境內存儲,如我國對互聯網地圖數據、人口健康信息、人類遺傳資源的規定,還有印度在《2019年個人數據保護法案(草案)》中對關鍵個人信息的規定,都要求只能存儲在境內,[9]屬于絕對意義上的本地化;另一種是相對意義上的本地化,即所有的數據必須要在本國境內進行備份,然后可以在滿足相關條件之后流到境外,如俄羅斯在“棱鏡門”事件之后,基于維護國家安全的歷史傳統和現實中的網絡數據安全威脅,通過修訂《俄羅斯聯邦關于信息、信息技術和信息保護法》《俄羅斯聯邦個人數據法》加強數據本地化和數據跨境流動的監管,明確提出公民數據的存儲和處理必須在俄羅斯境內的數據庫進行,[10]但同時提出并非禁止數據流動,在滿足其他條件之后仍然可以按照要求進行跨境流動,成為相對意義上數據本地化的典型代表。從《網絡安全法》第37條的整體規定來看,確立的是相對意義上的本地化,并沒有絕對禁止關鍵信息基礎設施運營者的個人信息和重要數據跨境流動,而是允許在滿足“業務需要+確需向境外提供+通過安全評估”的條件后,可以向境外提供。
從當前跨境數據流動管理的發展趨勢來看,數據本地化逐漸成為很多國家傾向采取的主要管理方式,如2019年4月,OECD針對數據本地化問題在成員國間進行調研,在收到的29件回復中,11國稱有數據本地化相關規定。[11]近期,歐盟作為全球數字規則的引領者,在2020年7月確認《隱私盾協議》無效后,同時也進一步強化了對于“標準合同”(SCC)的管理要求。2021年5月,美國的大型科技企業微軟官方表態稱,將在2022年年底實現歐盟數據本地化存儲。[12]在數字經濟全球化和全球數權博弈的態勢下,數據跨境流動是發揮數據價值、開展全球業務的必然需要,但同時數據也成為各國和地區競相爭奪的資源,多個國家認為數據本地化是數據跨境流動面臨的很大挑戰。
數據本地化原則的設計主要是出于保護個人數據、維護網絡安全、保障社會公共利益和國家安全、產業發展的考慮。但數據本地化是否能夠真正實現這些目標,則有待于進一步研究。
第一,數據本地化是否能保護個人數據以及保障個人的合法權益。理論上來說,數據本地化能夠避免被他國公司濫用和被他國政府監視,但總體而言個人數據的保護水平取決于一國的個人數據保護制度設計,如果一國的個人數據保護制度并沒有達到其他國家的數據保護水平,那么將個人數據強制留在國內并不一定能充分保護個人的合法權益。另外,正如OECD在《數據本地化趨勢和挑戰》研究報告中所說,數據本地化無法排除,甚至是強化了存儲國政府對個人數據進行控制和監視的力度。[13]因此,數據本地化對個人數據是否能達到理想中的保護,還有待綜合多個角度進行論證。
第二,數據本地化是否能實現對網絡安全、社會公共利益、國家安全的保護。網絡安全旨在確保機密性、完整性和可用性,防止重要數據出境在很大程度上是出于對網絡攻擊、網絡犯罪的防范。當一個國家與全球互聯網的聯系切斷時,數據本地化舉措確實可以確保該國快速恢復網絡能力。例如,2019年12月,俄羅斯經過一系列測試之后,成功切斷了與全球互聯網的連接,同時確保俄羅斯網絡保持無間斷正常運行。不得不說,這在很大程度上得益于俄羅斯數據本地化備份的制度。但這一制度同時也讓數據或網絡出現其他風險的程度加深。正如“雞蛋不能放在同一個籃子里”,將重要數據存放在同一個地區的服務器中,當出現不可預知的自然風險或意外事件時,服務器或數據的損失可能會給整個國家網絡運行帶來阻礙,這應當成為各國設置數據本地化舉措時著重考慮的一個因素。另外,在當前技術飛速發展的情況下,通過存儲位置限制網絡攻擊的可能性也不是很高,并不能絕對排除遠程訪問的可能性。
第三,數據本地化是否能夠使一國獲得經濟競爭優勢。許多國家的政府設置數據本地化舉措是出于維護本國產業發展的考慮,如印度、印度尼西亞等。數據確實是數字經濟時代的重要驅動因素,將數據流入境外相當于間接提升了其他國家發展數字經濟的優勢,但數據本地化的舉措也需要同時考慮以下問題:一方面,企業將數據存儲在不同的地方就需要在不同的地方付出較高成本建設或租用當地的服務器,對于企業來說,它們可能同時會將成本轉嫁到當地國家消費者頭上,或轉嫁到當地下游企業身上,導致當地整體經濟成本的普遍上升;另一方面,一般來說,在國際上數據的跨境流動均是雙(多)向互惠的,一國限制本國數據流到其他國家,其他國家可能也會采取相應的限制舉措,那么一國在限制本國數據利益流出的同時也切斷了其他國家數據利益的流入。
從第37條限制的個人信息和重要數據的范圍來看,《網絡安全法》設置原則上數據本地化存儲的制度時也是綜合考慮了個人數據保護、網絡安全維護、社會利益保障等多方因素。但第37條并非絕對限制數據的流動,而是設置三個條件限制數據的跨境流出,應當說在一定程度上兼顧了安全和發展的雙重目標。
三、對“因業務需要”的理解
“因業務需要”是第37條規定的向境外提供數據應當滿足的前提條件之一。《網絡安全法》生效實施之后,相關部門針對第37條又出臺了多個配套規定的征求意見稿,但均沒有對“因業務需要”進行具體的細化解釋。例如,2017年公布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》只是重申了“因業務需要”這一條件,但沒有進一步的要求;2019年的《個人信息出境安全評估辦法(征求意見稿)》沒有提及“因業務需要”,規避了對這一條件的具體解釋。因此,明確什么是“因業務需要”這一條件就是促進跨境數據流動制度具體落地實施的關鍵。
第一,什么是“因業務需要”。在維基百科中,“業務”是一個內涵較為廣泛的概念,指的是“某種有目的的工作或工作項目”。從這個意思上來說,只要是為了開展某項工作或完成某個工作項目都應當屬于“因業務需要”:一方面,業務的范圍存在多種情況,直接為了某個具體事項或業務跨境提供數據的情況判斷起來相對較為簡單,如PayPal為了向中國用戶提供支付服務,需要實時將用戶的個人信息和金融數據傳輸到位于新加坡的數據中心,顯而易見,是屬于為了業務的需要而開展跨境數據傳輸。但在其他一些情況下進行的跨境數據流動則沒有這么容易判斷,如某境內設備公司為了獲取境外公司的專利A,需要以其專利技術B進行交換,這種并非需要直接在業務中使用跨境提供的數據活動是否屬于“因業務需要”存在很大的不確定性,畢竟專利技術B中的數據并不是為了直接開展專利技術交易的條件。跨境電商企業為了向境外售賣商品或服務屬于因業務需要,那么將自身的資金存儲在境外是否屬于因業務需要則有待進一步判斷。另一方面,主體范圍也有待探討。在實踐中,除了企業因業務需要向境外提供數據外,個人也會因各種各樣的原因開展數據跨境流動活動,如個人通過被劃定為關鍵信息基礎設施運營者的郵件系統與境外的個人進行聯系,并在聯系過程中提供了少量屬于自己本人或親友的個人數據,那么這種情況下跨境數據流動的產生也存在關鍵信息基礎設施運營者為了提供郵件服務的需要,關鍵信息基礎設施運營者是否還應履行安全評估的義務?第37條及其他立法規范均未對上述情況進行具體分析和明確,但其他國家的立法將這種情況作為個人事務且不作監管考慮,如歐盟《通用數據保護條例》(GDPR)第2條明確規定“自然人純粹個人或家庭活動中所進行的個人數據處理”不適用GDPR。從個人發送郵件的性質來看,主要目的還是以達成個人的家庭生活目標為主,并沒有涉及關鍵信息基礎設施運營者的具體業務運行,潛在影響并不會很大;從個人發送郵件提供的個人數據數量來看,數量較小,并不具有很大的安全評估監管必要。鑒于此,本文認為可不將此種情況作為“因業務需要”而開展的活動。但是,如果個人通過此種方式大量對外傳輸數據,從關鍵信息基礎設施運營者的角度來說,極有可能落入“因業務需要”的范圍。
第二,誰來判斷是否因業務需要?當前,監管機構并沒有給出明確的標準以供判斷什么是“因業務需要”,企業自身也沒有在具體的案例中闡明“業務”的范圍。在實踐中,主要存在三種方式:一是由監管機構進行判斷。如果采用此種方式,那么監管機構應通過出臺相應的立法、指南、標準等文件為網絡運營者提前提供可以參考的依據,在事前即可通過明確的標準判斷自身的跨境數據流動是否符合要求,從而提高監管的效率,同時也相應減少企業的合規成本。以這種方式進行判斷,權威性較高,但監管機構則有可能需要考慮實踐中的多種情況,出臺操作性較強的指導文件,同時還要在安全評估時對于傳輸的數據類型與業務之間的關系進行實質性審核。二是由企業自身判斷,企業對自身業務最為了解,可以清晰判斷數據活動與業務運行之間的聯系,通過此種方式進行監管,則主要由企業提供證明,并經監管機構進行形式審查。這種方式效率較高,同時也節約了行政監管成本,但其弊端也顯而易見。企業在跨境數據流動活動中,運動員和裁判者的角色集于一身,結果的公允性可能存在一定的偏差。三是由第三方機構進行判斷。第三方機構相對來說比較中立,相較于上述兩種形式來說,既可以維持最大限度的公允性,也極大節約了監管成本,提高了監管機構的效率。綜合來看,安全評估本就是屬于“一事一議”的跨境數據流動管理制度,效率相對較低,第三方評估機構進行判斷的方式可以相應抵消這種障礙,也是符合我國現階段需要的最佳選擇。但為了實現最優判斷,并非所有第三方機構都能成為有權評判的機構,應當由監管機構設置一定的條件,被批準之后的第三方機構才能行使該項判斷權。
四、關于“確需向境外提供”的理解
相較于前兩個要件,應該說“確需向境外提供”在實踐中是一個更難確立標準和符合要求的概念。如果沒有“確”字,“需向境外提供”的判斷和合規成本會低很多,只要能夠提供相應的證據,證明向境外提供數據的需求即可,并無必要對需要的程度再進行說明。但“確”字使得企業必須更進一步地證明“向境外提供數據”的需求程度到底是不是很深。這是一個非常主觀的判斷標準,一方面,立法并沒有對證明的程度進行限制,證明的義務可能會陷入“無底洞”的深淵;另一方面,對于能夠替代“向境外提供”的其他措施,立法也并沒有從經濟成本上進行限制,也就是說,如果“向境外提供數據”的成本為1,即使存在成本為100的能夠不向境外提供數據的其他替代措施,那么從理論上來說,企業也可能并不符合“確需向境外提供”的標準,而應當采取成本為100的替代措施。
如果不考慮經濟成本,數據本地化存儲可以在很大程度上替代向境外傳輸數據。實踐中,其實很多案例都存在這種情況,如之前蘋果宣稱為了向中國用戶提供更好的服務,需要將中國用戶的個人數據傳輸到境外進行分析和維護,但并沒有成功,最終在談判兩年之后,于2017年決定將中國內地的iCloud服務遷移到貴州。蘋果公司在貴州設立數據中心,運營方則是云上貴州大數據產業發展有限公司(以下簡稱“云上貴州”),蘋果公司提供技術支持,雙方合作建設“iCloud 貴安新區主數據中心”。[14]為了建設該數據中心,蘋果的投入為10億美金,遠遠超出了直接將數據傳輸到已有的國外數據中心的成本。另外,亞馬遜在寧夏中衛建立全球第10個數據中心,把國內的數據存儲在中國境內;近期特斯拉的數據安全和數據跨境傳輸事件也甚囂塵上,引起社會廣泛關注,據相關媒體報道,特斯拉也承諾將仿效蘋果在中國大陸境內建立多個數據中心。[15]除我國外,其他國家似乎也在作類似的判斷。例如,我國三一重工企業曾經想將在日本的機器設備數據回傳中國,但遭到日本政府和相關部門的禁止,只能作罷;微軟近日表態,宣布了一項名為“微軟云的歐盟數據邊界”的新舉措,稱將使得歐盟客戶在2022年前能夠將其所有數據存儲在該地區。[16]
“確需向境外提供”的規定具有一定的合理性,也在一定程度上與國際大趨勢相契合:一方面,關鍵信息基礎設施指的是“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”,涉及人數眾多、地位重要,關系到我國社會的整體正常運行,對其進行嚴格監管具有合理性和必要性。從第37條的限制范圍來說,管理的是關鍵信息基礎設施運營者的個人信息和重要數據,要么數量眾多,要么數據較為敏感,通過“確需向境外提供”的程度判斷標準,能夠在實踐中賦予監管機構較大的自由裁量權,監管機構能夠靈活判斷是否應當允許相關數據向境外傳輸,以維護我國公民的個人權益、社會公共利益和國家安全。另一方面,從全球監管的角度來看,對于重要和敏感的個人數據,很多國家是通過直接限制出境的方式來進行管理的,如在美國的外資安全審查制度中,2018年美國外資安全審查改革首次明確關注涉及關鍵技術、關鍵基礎設施和敏感個人數據的商業活動,在實踐中也經常會讓外資企業簽署承諾書,承諾不會將敏感個人數據傳輸到境外。印度在《2019年個人數據保護法草案》第33條規定關鍵個人數據絕對禁止傳輸到境外,只能在印度境內存儲;法國近日表示在數據本地化的前提下,微軟云、亞馬遜云等外國云服務公司可以處理敏感數據。[17]
五、關于安全評估的理解
安全評估是關鍵信息基礎設施運營者在我國境內產生的個人信息和重要數據向境外提供最重要的條件。第37條明確“應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估”。
安全評估的適用范圍在配套規定出臺過程中難以拓展。第37條將需要進行安全評估的范圍僅限縮在關鍵信息基礎設施的范圍之內,但由于關鍵信息基礎設施的范圍有限,并非所有設施都能納入其中。在實踐中,有些數據雖然可能不屬于關鍵信息基礎設施的數據,但重要性也不容忽視,如上文提到的PayPal向境外傳輸的我國公民的個人金融信息,也是我國金融領域對跨境流動有嚴格限制的數據。然而,由于《網絡安全法》第37條規定只有“法律、行政法規另有規定的,依照其規定”,目前對金融數據跨境流動作出限制和規范的大都屬于部門規章或行業標準,如果PayPal沒有被歸類為關鍵信息基礎設施,則無法直接適用第37條的安全評估。《網絡安全法》生效之后,相關部門試圖對安全評估的適用范圍進行拓展,如《個人信息出境安全評估辦法(征求意見稿)》規定“網絡運營者向境外提供在中華人民共和國境內運營中收集的個人信息,應當按照本辦法進行安全評估”。《個人信息和重要數據出境安全評估辦法(征求意見稿)》中規定“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據,應當在境內存儲。因業務需要,確需向境外提供的,應當按照本辦法進行安全評估”。上述兩個征求意見稿均將評估的適用對象拓展到了所有的網絡運營者。但由于與《網絡安全法》的規定不一致,在沒有上位法依據的情況下加重了其他網絡運營者的義務,引發了諸多爭議,同時也成為這些配套規定遲遲沒有出臺的原因之一。
安全評估的適用范圍在我國法律制定過程中得到擴展。《個人信息保護法》《數據安全法》兩部重要立法的制定巧妙地解決了安全評估適用范圍的難題,也使得《網絡安全法》第37條確立的跨境數據流動管理的思路得到補充。《個人信息保護法》主要補充了個人信息的跨境流動管理,在第37條關鍵信息基礎設施的個人信息基礎之上,《個人信息保護法(草案二審稿)》規定“處理個人信息達到國家網信部門規定數量的”也需要進行安全評估;《數據安全法》則補充了重要數據的跨境流動管理,《數據安全法》規定關鍵信息基礎設施的重要數據適用《網絡安全法》第37條規定,其他重要數據的出境應遵守國家網信部門會同國務院有關部門制定的管理辦法,為適用安全評估程序預留了適用空間。
安全評估適用范圍的拓展有利有弊:一方面,存在合理性。處理的個人信息數量較多說明涉及的用戶數量可能比較多,影響范圍較廣。關鍵信息基礎設施重要數據以外的其他重要數據,既然被納入重要數據的范疇,則說明存在一定的敏感度,也應加以重視。將這兩類數據納入跨境數據流動的管理范疇其實無可厚非且理所應當。但另一方面,范圍的拓展可能帶來監管成本和合規成本的攀升:首先,符合數量的個人信息處理者較多,《個人信息和重要數據出境安全評估辦法(征求意見稿)》規定,符合“含有或累計含有50萬人以上的個人信息”條件的應當進行安全評估。據統計,2018年9月,企業用戶數量TOP100中,排到第100名的企業用戶數量也為1800萬以上,由此可見,用戶數量超過50萬人的企業數量應該很龐大。如果對這些企業的數據跨境流動都要通過安全評估進行管理的話,監管機構可能會花費大量的人力物力和時間成本。當前,50萬人的數量還未確定,未來的配套制度中應當通過更深入的研究確定相關的數據。其次,重要數據的類型也很難判斷。《數據安全法》規定各地區、各部門應當按照分類分級保護制度確定重要數據目錄,但實踐中,即使是同行業,由于核心業務的不同,各個企業的重要數據類型可能也是不一樣的,重要數據要通過目錄的形式進行確定的話存在一定困難。由關鍵信息基礎設施的重要數據擴展到所有網絡運營者的重要數據,更是進一步加大了重要數據的判斷難度,增加了重要數據的類型。另外,安全評估本身就屬于“一事一議”性質的事前審核手段,擴展適用對象,無疑將增加評估的難度,并延長評估時間。
安全評估制度仍有很多問題有待進一步明確。除上述個人信息的數量、重要數據的類型之外,其他很多具體問題也應進一步明確,以加快促進安全評估制度的實施:一是評估的實施主體。評估到底由監管機構直接進行,還是由第三方機構進行?中央和地方的職權應當如何劃分?二是評估的具體針對對象。是針對出境企業的個人數據保護水平進行評估,還是針對出境行為進行評估?三是評估的時限。評估結果是一次性有效,還是長期有效,還是一定期限內有效?如何確定都將影響監管成本和出境后果。
結 語
《網絡安全法》第37條在我國跨境數據流動管理制度不斷完善的過程中,初步構建了我國跨境數據傳輸模式的基本規則,[18]起到了承上啟下的作用:一方面,將之前的分散型立法進行了統籌規劃,首次引入了“出境安全評估”制度,開創了跨境數據流動的新階段;另一方面,也成為《個人信息保護法》和《數據安全法》進一步補充相關制度的前提和基礎。《個人信息保護法》和《數據安全法》均是在第37條的基礎之上進行了制度的疊加規定。《個人信息保護法》在關鍵信息基礎設施個人信息出境評估的基礎上,疊加了處理個人信息達到網信部門規定數量的則需要評估,以及其他個人信息出境采取認證和標準合同的方式;《數據安全法》則在關鍵信息基礎設施重要數據出境評估的基礎上,疊加了其他重要數據出境需要遵守網信部門等制定的安全管理辦法。
《網絡安全法》第37條的相關內容需要在未來進一步細化和完善。第37條雖然明確了出境安全評估的主要形式,但其中的具體內容,如評估的要求、程序、條件等并沒有清晰界定。出境的路徑也沒有詳細規劃,就相當于一座房子的大門外是汪洋大海,雖然允許過海,但旁邊沒有任何過海的工具,那么只要不想被淹死,就只能留在房子里。這里,進一步細化的配套規定便是過海的工具。雖然當前我國正在努力提供過海的工具,但總體來說進度很慢,效果并不明顯,主要原因如下:首先,《網絡安全法》第37條之前的相關配套規定均停留在征求意見稿的階段,如《關鍵信息基礎設施安全保護條例(征求意見稿)》《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》等。2021年5月12日,國家互聯網信息辦公室發布的《汽車數據安全管理若干規定(征求意見稿)》也要求根據《網絡安全法》第37條規定明確汽車數據中涉及個人信息和重要數據的跨境傳輸問題。其次,《個人信息保護法》《數據安全法》雖然進一步補充完善了第37條的規則,但也產生了更多需要解釋的規則,如《個人信息保護法》中的“認證”“標準合同”有待細化,《數據安全法》中除關鍵信息基礎設施的重要數據之外的其他重要數據出境管理辦法有待制定等。另外,第二階段和第三階段的原則性規定導致實踐中并沒有案例是成功通過“安全評估”的路徑出境的,而且由于具體要求不明確,多個自貿港、自貿區的跨境實踐也很難實現。鑒于此,相關部門的下一步工作應當是盡快細化和解釋具體的要求,為數據跨境流動提供具體可行的法律依據。
[1] 賈開:《數據跨境流動全球治理機制創新》,載《中國社會科學報》2019年3月27日,第2版。
[2] 李穎:《中國IT產業發展呈現六大趨勢》,載《中國工業報》2021年3月24日,第2版。
[3] 許多奇:《論跨境數據流動規制企業雙向合規的法治保障》,載《東方法學》2020年第2期。
[4] 劉典:《全球數字貿易的格局演進、發展趨勢與中國應對——基于跨境數據流動規制的視角》,載《學術論壇》2021年第2期
[5] 許多奇:《個人數據跨境流動規制的國際格局及中國應對》,載《法學論壇》2018年第3期。
[6] 曹博:《跨境數據傳輸的立法模式與完善路徑———從〈網絡安全法〉第37條切入》,載《西南民族大學學報(人文社會科學版)》2018年第9期。
[7] 唐唯珂:《人類遺傳信息違規出境處罰公開 基因大數據安全拷問》,載https://new.qq.com/cmsn/20181029/20181029002061.html,最后訪問日期:2021年11月16日
[8] 需注意的是,2020年9月15日公布的《金融消費者權益保護實施辦法》取代了舊辦法,正式文本中刪去了個人金融信息出境以及服務外包的條款。
[9] 嵇紹國、王宏:《印度<個人數據保護法案>淺析》,載《保密科學技術》2020年第2期。
[10] 何波:《俄羅斯跨境數據流動立法規則與執法實踐》,載《大數據》2016年第6期。
[11] OECD:Data Localization Trends and Challenges: Considerations for the Review of the Privacy Guidelines, available at https://www.oecd-ilibrary.org/science-and-technology/data-localisation-trends-and-challenges_7fbaed62-en.
[12]《明年開始歐盟的微軟客戶將能夠在當地存儲他們的所有數據》,載https://www.sohu.com/a/464947486_100191015,最后訪問日期:2021年11月16日。
[13] OECD:Data Localization Trends and Challenges: Considerations for the Review of the Privacy Guidelines, available at https://www.oecd-ilibrary.org/science-and-technology/data-localisation-trends-and-challenges_7fbaed62-en,
[14] 《蘋果在貴州建了一個數據中心,它是怎么回事?》,載https://www.sohu.com/a/156725340_114837,最后訪問日期:2021年11月16日
[15] 《特斯拉或效仿蘋果“云上貴州”模式 建立數據中心》,載https://auto.163.com/21/0415/08/G7K2B78I000884MM.html,最后訪問日期:2021年11月16日
[16]《微軟云的歐盟數據邊界 微軟:歐盟客戶2022年將在當地存儲所有數據》,載http://datacenter.ctocio.com.cn/datacenter/2021/0510/80892.html,最后訪問日期:2021年11月16日
[17] 《法國表示,谷歌,微軟云服務可以處理敏感數據》,載https://cloud.51cto.com/art/202105/662999.htm,最后訪問日期:2021年11月16日
[18] 曹博:《跨境數據傳輸的立法模式與完善路徑——從〈網絡安全法〉第37條切入》,載《西南民族大學學報(人文社會科學版)》2018年第9期。
來源:CAICT互聯網法律研究中心