数据跨境传输监管体系与企业合规——评商务部《关于印发全面深化服务贸易创新发展试点总体方案的通知》
胡岩 于楚佳
在各国争相发展数字化经济的今天,数据作为一种新兴生产要素,若一国能实现数据自由流入而对自身重要数据限制流出,将形成信息科技优势的汇聚以及对全球数据资源的充分利用,形成事实意义上的数字经济大国。而如何建立数据跨境监管体系,使有数据跨境需求的企业能充分吸收优势且能避免对国家安全、公共利益和个人主体利益的侵害,是一国建设数字化经济的重中之重。
一、建立数据跨境传输安全管理试点
1.试点制度
2020年8月14日,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》[1](以下简称“《方案》”),在北京、天津、上海、广州、深圳、河北雄安新区、贵州贵安新区、陕西西咸新区等28 个省市(区域)开展试点,试点期限为 3 年。
《方案》提出试点任务之一为:“全面探索提升便利水平,推动数字营商环境便利化。对标国际高标准高水平,探索构建与我国数字经济创新发展相适应、与我国数字经济国际地位相匹配的数字营商环境。在条件相对较好的试点地区开展数据跨境传输安全管理试点[2]”。
在《方案》附表《全面深化服务贸易创新发展试点任务、具体举措及责任分工》(以下简称《分工》)第76条中,具体规定了有关数据跨境安全管理试点的政策保障措施由中央网信办指导并制定,由北京、上海、海南、雄安新区等试点地区负责推进。
《分工》第115条、116条同时要求中央网信办、工信部、商务部等部门支持和指导各试点开展数据跨境流动安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。鼓励有关试点地区参与数字规则国际合作,加大对数据的保护力度。对涉及关键技术、平台安全、数据安全和个人隐私安全的服务贸易,加强综合监管,形成制度性成果。
我们注意到,在商务部印发《方案》之前,已有地方城市率先作出相应立法尝试。
例如广东省深圳市在2020年7月15日公布《深圳经济特区数据条例(征求意见稿)》[3](以下简称《深圳数据条例》),广泛征求社会各界意见。其中,《深圳数据条例》的第七十三条至七十六条特别规定了要探索建立数据跨境机制,建设以维护数据安全和高效处理为目标的数据跨境流通自由港,与其他国家、地区或国际组织建立双边、多边合作机制,通过建立个人数据跨境流动白名单的方式,实现自由港内个人数据向白名单国家、地区或者国际组织跨境流通。
又如,在2020年6月1日国务院发布的《海南自由贸易港建设总体方案》[4]的制度设计一节中,特别提出要促进数据安全有序流动,在确保数据流动安全可控的前提下,扩大数据领域开放,开展国际互联网数据交互试点。
结合本次《分工》第七十六条有关数据跨境安全管理试点的政策保障措施由北京、上海、海南、雄安新区等试点地区负责推进的表述,可以看出我国致力于集聚全球优质数据生产要素并同时维护数据安全的决心。
2.“数据跨境传输”的内涵
数据跨境传输理论上包含数据入境与数据出境。数据入境部分的法律规制,从逻辑上看应该主要包含两类,一是对应当入境而受到限制或禁止而无法入境的数据,要求强制其入境;二是对有意愿入境也能够入境的数据进行筛选,禁止或限制某些数据入境。从现行的法律体系来看,似乎还未建立起强制某些数据必须入境的机制,而对入境数据的禁止或限制则主要体现在对出版、新闻等内容进口的传统管理机制上。
结合近年来的立法实践, 我们认为,此次试点应该集中在建立数据出境方面的安全管理上。
受监管主体
2017年6月1日正式生效的《中华人民共和国网络安全法》(“以下简称《网络安全法》”)第三十七条明确规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”据此可知,需要进行安全评估的主体对象为“关键信息基础设施的运营者[5]。”而在网信办2017年4月出台的配套文件《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下简称“《旧办法》”)第二条规定:“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。”该条将受监管的主体范围从关键信息基础设施的运营者进一步扩大至网络运营者。
根据《网络安全法》第七十六条的定义,网络运营者是指网络的所有者、管理者和网络服务提供者。由此可知,部分在境内运营的企业将因自身所有、管理和提供网络服务的行为而被定义为网络运营者,进而在需要数据跨境时面临安全评估等监管要求。
受监管的数据类型
《网络安全法》将数据类型限定为“在中华人民共和国境内运营中收集和产生的个人信息和重要数据[6]”。
其中,“个人信息”的内涵已由《网络安全法》第七十六条进行明确定义:“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
至于“重要数据”,《旧办法》第十七条将其定义为:“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”此处的“有关标准和识别指南”,目前来看应该是指的《信息安全技术 数据出境安全评估指南(征求意见稿)》的附录A, 该附录列举了石油天然气、煤炭、电力、通信、钢铁、国防、地理信息等二十八个行业/类别的重要数据。同时,《数据安全管理办法(征求意见稿)》第三十八条通过列举的方式将其表述为:“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”
因《旧办法》中所提及的“国家有关标准和重要数据识别指南”,即《信息安全技术数据出境安全评估指南(征求意见稿)》目前尚未正式定稿发布,而《数据安全管理办法(征求意见稿)》中对“重要数据”的定义也仍然比较概括而缺乏具体的指引,再加上《数据安全法(草案)》规定:“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护”,究竟哪些数据才会落入“重要数据”的范畴,目前来看尚未最终确定。
受监管的跨境传输行为
从受监管的数据跨境传输行为来看,《网络安全法》并未直接定义数据出境的内涵。而在《旧办法》第十七条中,将数据出境定义为“网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。”国家标准《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称《数据出境指南》)3.7中将其定义为:“网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。”
如按照上述定义对数据跨境行为实行监管,则在实践中几乎所有的数据跨境行为都将落入监管范围,即使数据仅流经域外而并未在域外进行实质性处理(如数据经过变动或加工处理)也不例外。在这种情形下也进行严格的监管,不仅增加企业的负担,对执法资源也将提出更高的要求。参考欧盟制定的《通用数据保护条例》(下称“GDPR”)也对数据仅流经他国这一行为作出豁免[7],之后我国正式施行的约束文件也有可能会将数据出境的行为限定为需要在其他国家对数据进行实质性处理。我们将对该定义的立法表述保持持续关注。
二、我国的数据跨境监管体系
现阶段,我国在数据跨境传输方面的法律框架仍以《网络安全法》为基础,另外辅之以一系列金融、卫生、生物遗传等领域的数据跨境传输方面的单行法规。与此同时,一系列有关个人信息保护、数据保护与跨境传输方面的立法、国家标准、行业标准也正在制定过程中。 本文对现行的、以及可预见将对数据跨境活动产生管控影响的法律法规及相关国家标准进行梳理如下表[8]。
三、企业合规要点
虽然前文表格中所列的多数监管文件暂未生效,但在我国对数据跨境监管日渐重视的趋势之下,企业可以根据下述流程考虑是否以及如何初步建立合规制度,以应对法规的出台与变化。如前所述,我国对数据出境的规制主要分为“个人信息”和“重要数据”两条路径,本文也将按这两条路径简述企业合规要点。
个人信息
有关个人信息的监管,网信办在2019年发布的《个人信息出境安全评估办法(征求意见稿)》(以下简称“《新办法》”)已对《旧办法》的方式进行了调整。《旧办法》中触发监管部门的评估需要满足一定的条件,例如“数据量超过1000GB[10]”等。而《新办法》将满足条件触发评估改为定期(每两年一次)的无差别评估,评估也将统一由省级网信部门组织进行。
对企业而言,《新办法》虽未最终定稿发布,但具有很强的指导意义,可参考《新办法》按以下思路进行内部合规管控。
第一,明确企业数据跨境行为是否属于监管对象,细分为三点:
1. 梳理企业各业务流程,判断自身是否属于在中国境内运营并收集个人信息的网络运营者。其中,境内运营是指在中国境内开展业务,提供产品或服务的活动[11]。判断是否在境内运营,仅以开展业务活动为判断要件,不受企业是否在境内注册所影响[12]。具体判断网络运营者是否在中国境内开展业务或向境内提供产品或服务的参考因素包括但不限于:是否使用中文、是否以人民币作为结算货币以及是否向中国境内配送物流等。
2. 企业应判断自身是否具有数据出境后在境外进行实质处理的行为(相关内容请见前文分析)。
3. 企业应对涉及出境的数据进行盘点梳理,判断其中是否涵盖个人信息(相关定义请见前文分析)。
第二,在向所在地省级网信部门申报数据出境前,对涉及被监管的数据出境行为先自行组织安全评估。评估要点如下[13]:
1. 合法性:数据出境的行为是否属于法律法规明令禁止或是有关国家部门明确认定为不被允许的。
2. 正当性: 涉及个人信息的部分是否已征得了个人信息主体的有效同意(虽未经个人信息主体同意但是危及公民生命财产安全等紧急情况除外)。
3. 必要性:相关个人信息是否不出境便无法满足业务处理的需要;并且涉及出境的个人信息是否是能满足业务处理需要的最小数量、类型、范围及敏感程度。
4. 安全性:数据接收方是否具备相应的安全保护措施、能力及水平;与数据接收方签署的合同是否能有效约束对方并得到执行;个人信息主体能否有有效的救济渠道;以及数据接收方所在国家/地区的网络安全环境是否达标。
需要解释说明的是,相较于《旧办法》,《新办法》对“信息接受者的主体审查、管理保障能力、技术保障能力”的考量进行了较大的调整。《新办法》的主要思路是通过合同方式来保证对信息接收方的相关能力的控制。《新办法》规定了网络运营者与个人信息的接受者之间的合同中的必备条款,其中若干必备条款就是对信息接收者的要求,例如,“不得将收到的个人信息传输给第三方,除非满足特定条件”;“如果接收方所在的国家和地区的法律发生变化,可能影响合同的执行时,应该终止合同或重新进行安全评估”,等等。
5. 风险性:数据出境及再转移后被泄露、毁损、篡改、滥用的风险,以及可能对国家安全、社会公共利益、个人合法利益带来的风险。
第三, 建立数据出境记录并且至少保存5年[14],记录包括:向境外提供数据的日期时间;数据接收者的身份;出境数据的数量、类型、范围与敏感程度;以及国家网信部门规定的必要内容。
具体操作上,企业应构建内部合规团队,建立健全内控制度,与各业务生产部门通力合作,根据业务需求起草或修订有关数据存储、跨境传输以及开展安全评估的政策,完善与数据跨境接收方的协议,做好第三方接收管理与风险安全预案。
重要数据
如前所述,从目前的法律法规来说,“重要数据”的识别和管理制度至今尚不明晰。但若依据现有法律法规(包括各草案、征求意见稿)能够初步判断企业收集处理传输的数据有可能落入“重要数据”范畴之时,企业也可从合规体系建设之目的出发,先参照对个人信息出境的管理思路,从“必要性”、“安全性”、“风险性”等角度进行评估,并做好记录工作。
四、域外数据跨境监管体系与启示
在域外立法方面,虽然各国对数据出境安全的监管不一,但整体呈现出向欧盟GDPR强监管靠拢的趋势。基于此,本文将从欧盟制定的GDPR开始,探讨几个网络强国/地区的监管立法实践,以期从中获得对我国构建数据跨境传输安全监管体系及企业合规的启示。
(一)欧盟
GDPR延续了此前95指令的原意,以限制个人数据流出欧盟为原则,以“充分性认定”(adequate level of protection)为例外。个人数据只有在满足以下三种情况的时候,才可流出欧盟境外[15]:
1. 数据流入国应当具备对个人数据的充分保护(adequate protection)。在作出是否满足充分保护的认定时,欧盟委员会将综合考虑数据流入国的以下情况:
数据流入国有关人权保护及基本自由的立法机制与法律,有关公共安全、国防、国家安全、刑法及政府部门对个人数据访问的法律法规,有关数据保护的规定、行业细则与安全措施,包括数据流入国对自身数据出境的监管,以及个人数据主体的有效救济渠道;
数据流入国是否存在独立的有效运作的监管组织负责保障个人数据主体实现其自身合法权利,促使数据控制者以及数据处理者遵守数据保护的规定;
数据流入国是否已加入有关数据保护的国际组织、多边组织或区域组织,或已签署的合法有效的国际公约中有关于数据保护的义务。
2. 若第一条不满足,但数据流入国存在有效并可强制执行的个人数据主体权利及司法救济时,则有数据跨境需求的数据控制者或处理者能为个人数据主体提供适当保障(appropriate safeguards)的。
3. 若以上两点皆不满足,则数据出境行为满足GDPR所规定的的除外情况(derogations for specific situations)的。
由上述可知,欧盟对数据出境设置了极其严格的高标准。虽然其他国家的监管体系并未如欧盟一般如此严格,但考虑到大型跨国企业在设计自身不同内控制度及相应数据传输流程时的成本,在实际中已形成GDPR的域外效力。大型跨国企业在设计有关数据跨境的安全控制机制以提供欧盟要求的适当保障时,多会采用欧盟委员会认可的数据保护标准合同条款(standard data protection clauses)、设置有约束力的公司规则(binding BCRs)、做风险评估、通过协议约束数据接收方等方式来保证符合GDPR的监管要求。[16]
虽然欧盟的监管过于严格,但欧盟同时也在积极寻求多渠道开放数据交流。美欧之间的安全港协议(Safe Harbor & Safe Harbor II)及隐私盾协议(The Privacy Shield),就体现了欧盟作相关探寻的努力。虽然隐私盾协议已在2020年7月16日被Schrems II一案的判决宣布无效,但CJEU继续认可了欧盟标准合同条款的保障数据跨境传输的效力。由此可见,欧盟并未放弃作出适度放松要求的尝试。
(二)美国
在欧盟的严格监管一定程度上阻碍了全球数字经济的自由流动时,美国在2018年制定出台了《澄清境外数据合法使用法案》(theCLOUD Act)。该法案[17]使得美国政府有权罔顾他国对个人信息及电子数据的保护而调用存储在美国境外的电子数据,造成了实际上的强制数据流入。
虽然该法案也同步规定了其他适格外国政府(qualifying foreign government)有权要求电子通讯服务提供者提交相关电子数据,但其规定的审核机制却对数据的流出设置了重重阻碍:该适格外国政府必须已与美国签订行政协议(executive agreement),且该行政协议已由司法部长首肯并对国会作出符合2523条款(18 U.S. Code § 2523)的正式证明(an executive agreement that the Attorney Generalhas determined and certified to Congress satisfies section 2523)。而国会对该行政协议的认定还需要考虑包括对该国法制体系的考察等多重因素,实际上是在选择性地对某些国家实施限制数据出境管理。
另一方面,美国又积极拉拢部分APEC会员国家,譬如日本、加拿大、墨西哥等加入APEC跨境隐私保护规则体系(Cross-Border Privacy Rules, CBPR),致力于促进该体系内国家跨境数据传输与流通。同时,APEC也在力推与欧盟接轨,使得CBPR与欧盟达到互认,促进体系内国家与欧盟境内的数据互通,进一步扩大CBPR体系内国家的数字经济优势。
(三)印度
2000年《信息技术法案》(the Information TechnologyAct 2000)经2008年修正案修正后,配套《2011信息技术守则》(the Information Technology Rules 2011)制定了部分条款以保护个人数据及隐私。这些条款[18]并未使用例如数据控制者、数据处理者或数据主体等名词,而是广泛地应用于一切个人或组织,无论他们身处印度境内或境外,只要这些个人或组织处理位于印度境内的个人数据,或使用位于印度境内的电脑、电脑系统或电脑网络处理位于印度境外的个人数据。[19]
该法案将个人数据区分为个人信息(personal information)与敏感个人信息(sensitive personal data or information, SPDI)。法案限制SPDI的跨境传输,除非数据接收方可以对SPDI提供同等保护,并且该跨境传输行为至少满足二者之一:或是数据主体已同意该跨境传输行为,或该行为对执行与数据主体的合同约定是必要的。
同时,印度还发布了《个人信息保护法(草案)》 [20](Personal Information Protection Act),尽管尚未正式生效,但其在实践中已有较强的指导意义。
更为重要的是,印度现行的《信息技术法案》第69A部分还赋予了政府基于特定目的,禁止公众访问任何形成、传输、接收、存储或托管在任何计算机资源中的数据的权力。其中,第69A部分所规定的特定目的包括,保护印度主权及保护国家安全与公共秩序,维持与外国友好关系,以及防止煽动实施与前述有关的任何可识别罪行等。2020年6月29日,印度电子信息技术部(Ministry of Electronics & IT)发布公告禁止来自中国的59款APP,其理由就是该59款APP违规窃取并传输印度境内用户信息至境外,对印度的主权与完整造成损害,危害国防与国家安全,侵犯了社会公共秩序,其法律依据正是《信息技术法案》第 69A[21]。
由上述内容可知,印度对于个人数据的保护面非常之大(甚至可说是沾边即管),同时对于数据跨境传输的行为具有较大的裁量权,给我国面向印度市场的企业带来了较大的合规风险。
小结
从以上国家/地区的立法可看出,目前国际上对于数据跨境传输的监管有如下趋势:一方面严格限制境内的个人信息和重要数据出境以保护国家数据安全,另一方面又采取积极手段促进区域内其他国家的数据向本国输入流通,以最大程度上汇聚科技信息优势,在全球数字化经济竞争中抢占先机。我国虽然目前数据跨境传输安全管理制度上暂不全面、有待完善,但从商务部本次印发的通知来看,已有采取多元化管理手段、促进数据跨境流动国际合作的重要趋势。
对企业而言,尽管相当一部分法律法规仍在建立过程中,也应当积极应对,主动做好数据的合法采集、分级分类存储、合同约束、安全评估、保存记录以及依法向监管部门报请备案等内部控制手段,以期平稳开展企业跨境业务。
注释:
[1] 具体内容请见:
http://www.gov.cn/zhengce/zhengceku/2020-08/14/content_5534759.htm
[2] 具体内容请见《方案》第四条第(三)款;
[3] 具体内容请见:
http://sf.sz.gov.cn/hdjlpt/yjzj/answer/5748
[4] 具体内容请见:
http://www.gov.cn/zhengce/2020-06/01/content_5516608.htm
[5] 关键信息基础设施的运营者的范围请见《关键信息基础设施安全保护条例(征求意见稿)》。
[6] 具体请见《网络安全法》第三十七条。
[7] GDPR在第五章数据出境一节注明,GDPR仅适用于数据在第三国处理或意图在转让至第三国之后处理的情况(which are undergoing processing or are intended for processing after transfer to a third country)。即若数据仅途经第三国而最终处理国仍位于欧盟境内,并且途经国并未对数据进行实质处理(substantive processing),则该途经行为不受监管。
[8] 注:该表格仅对适用通用情况的数据跨境监管体系进行梳理,未纳入针对特定行业适用的具体法律法规。
[9] 2019年6月,网信办发布《个人信息出境安全评估办法(征求意见稿)》,删除了“重要数据”的表述,仅对“个人信息”的出境进行规制。据此可合理推测,在“个人信息”出境方面,《个人信息出境安全评估办法(征求意见稿)》将取代《旧办法》,而“重要数据”的出境问题则很可能落入《数据安全法》、《数据安全管理办法》等法律法规的另一规制体系。
[10] 具体规定请见:《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条。
[11] 具体定义请见《信息安全技术 数据出境安全评估指南(征求意见稿)》3.2。
[12] 尽管《数据出境安全评估指南》并非强制性国家标准,目前也尚未正式通过,但考虑到我国立法和执法的惯例,这一原则保留下来的可能性比较大。
[13] 具体内容请见《个人信息和重要数据出境安全评估办法(征求意见稿)》第八条及《个人信息出境安全评估办法(征求意见稿)》第六条。
[14] 具体内容请见《个人信息出境安全评估办法(征求意见稿)》第八条。
[15] See Chapter 5 of the GDPR.
[16] See GDPR Chapter 5 Art.46;
[17] See H.R. 4943 - 115th Congress (2017-2018)
[18] See Sections 1(2) and 75, IT Act
[19] 具体请见:
Data protection in India: overview, by Supratim Chakraborty, Khaitan & Co. LLP, 09 Mar 2020
[20] 具体请见:
http://164.100.47.4/BillsTexts/LSBillTexts/Asintroduced/373_2019_LS_Eng.pdf
[21] 具体请见:
https://pib.gov.in/PressReleseDetailm.aspx?PRID=1635206
