保障數(shù)據(jù)依法有序流動
作者:吳凡
數(shù)據(jù)在當今世界具有鮮明的時代特性,且具有天然的流動優(yōu)勢,在全球化時代,數(shù)據(jù)隨著流動而不斷增值。近年來,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)跨境活動日益頻繁,數(shù)據(jù)處理者的數(shù)據(jù)出境需求快速增長。但是,數(shù)據(jù)流動本身便意味著風險存在,在促進數(shù)據(jù)自由流動的同時,也應妥善應對和防范數(shù)據(jù)出境安全風險,實現(xiàn)數(shù)據(jù)流動與數(shù)據(jù)保護的平衡。
2022年7月7日,國家互聯(lián)網(wǎng)信息辦公室公布《數(shù)據(jù)出境安全評估辦法》(以下簡稱《辦法》),自9月1日起施行?!掇k法》旨在落實網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法的規(guī)定,規(guī)范數(shù)據(jù)出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數(shù)據(jù)跨境安全、自由流動,切實以安全保發(fā)展、以發(fā)展促安全。
數(shù)據(jù)跨境流動在形式上可以分為數(shù)據(jù)入境與數(shù)據(jù)出境。根據(jù)《辦法》,數(shù)據(jù)出境活動主要包括:一是數(shù)據(jù)處理者將在境內(nèi)運營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi),境外的機構、組織或者個人可以訪問或者調(diào)用。實際上,數(shù)據(jù)跨境流動不僅會涉及跨境貿(mào)易等經(jīng)濟問題,也會涉及私權保護、國家安全、主權管轄等問題。而與數(shù)據(jù)入境相比,數(shù)據(jù)出境存在的風險可能更大。對于個人來說,數(shù)據(jù)出境后,易引發(fā)個人數(shù)據(jù)泄露和數(shù)據(jù)濫用問題;對于企業(yè)而言,數(shù)據(jù)出境可能帶來技術、資產(chǎn)和組織管理等方面的弊端;在國家層面,則可能涉及本國的數(shù)據(jù)利益和安全。因此,對數(shù)據(jù)出境進行法律規(guī)制,是許多國家的普遍做法。
我國關于數(shù)據(jù)出境的法律規(guī)制,主要規(guī)定于網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法之中。在這三部法律出臺之前,我國立法對于數(shù)據(jù)跨境流動的問題有所涉及,但僅針對特定對象,以業(yè)務數(shù)據(jù)和行業(yè)信息為主。2013年,工信部實施了《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》,其中規(guī)定,個人信息管理者向境外轉移個人信息,須合乎法律,經(jīng)信息主體明示同意或主管部門同意。這是對于個人信息的跨境流動的一般性規(guī)定,但是該文件的立法層級較低,所規(guī)范的范圍也僅限于個人信息。此外,其他法律法規(guī)與規(guī)章中也間接涉及數(shù)據(jù)跨境流動的問題,如國家安全法和保守國家秘密法分別從檔案、國家秘密的角度對該問題進行了規(guī)制。但綜合而言,這一時期我國對于數(shù)據(jù)跨境流動的規(guī)制并不充分,相應的規(guī)則也比較概括,且缺乏配套制度。
2016年起,隨著網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法等法律的陸續(xù)出臺,我國基本構建了數(shù)據(jù)治理的法律制度。其中,根據(jù)網(wǎng)絡安全法第37條規(guī)定,關鍵信息基礎設施運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)原則上應當遵循本地化儲存原則,確需進行跨境傳輸時應當履行數(shù)據(jù)出境安全評估義務。數(shù)據(jù)安全法第30條和第31條規(guī)定了重要數(shù)據(jù)處理者的風險評估義務,以及關鍵信息基礎設施運營者和其他數(shù)據(jù)處理者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的數(shù)據(jù)出境安全評估義務。個人信息保護法第36條和第40條規(guī)定了國家機關處理的個人信息在向境外提供時,應當進行安全評估,以及關鍵信息基礎設施運營者和處理個人信息達到規(guī)定數(shù)量的個人信息處理者,在向境外提供個人信息時,應當進行安全評估。然而,上述法律并未對數(shù)據(jù)出境評估規(guī)范進行細化規(guī)定,導致實踐中對數(shù)據(jù)出境進行安全評估時缺乏具體實施規(guī)則,不利于依法規(guī)范開展數(shù)據(jù)出境安全評估,維護個人信息權益、國家安全和社會公共利益。
此次《辦法》在遵循上述法律基本要求的前提下,對數(shù)據(jù)出境安全評估規(guī)范進行了細致的規(guī)定?!掇k法》第2條明確規(guī)定,數(shù)據(jù)處理者向境外提供在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)和依法應當進行安全評估的個人信息,應當按照本辦法的規(guī)定進行安全評估。在適用對象上,《辦法》并未采用網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法中“關鍵信息基礎設施運營者”“重要數(shù)據(jù)處理者”“其他數(shù)據(jù)處理者”的表述,而是統(tǒng)一使用“數(shù)據(jù)處理者”,在適用對象上更具廣泛性和包容性。
《辦法》確定了事前評估和持續(xù)監(jiān)督相結合、風險自評估與安全評估相結合的基本原則,明確了應當申報數(shù)據(jù)出境安全評估的具體情形,內(nèi)容涵蓋關鍵信息基礎設施運營者、重要數(shù)據(jù)處理者、處理個人信息達到規(guī)定數(shù)量的個人信息處理者以及其他數(shù)據(jù)處理者等;規(guī)定了數(shù)據(jù)處理者向境外提供數(shù)據(jù)滿足規(guī)定情形時的兩類評估義務,即數(shù)據(jù)出境安全自評估與監(jiān)管部門數(shù)據(jù)出境安全評估,同時,要求數(shù)據(jù)處理者與境外接收方訂立合同時應當充分約定數(shù)據(jù)安全保護責任。上述規(guī)定,填補了過去法律規(guī)定的空白,有利于我國數(shù)據(jù)出境企業(yè)和權益受損的個人依法進行維權,也對監(jiān)管部門全方位審查數(shù)據(jù)出境活動的安全風險程度提供了更加全面客觀的指南,有助于靈活高效應對數(shù)據(jù)跨境流動中可能存在的治理難題,提升數(shù)據(jù)出境安全評估治理效能。
實踐中,數(shù)據(jù)出境安全保護環(huán)境復雜多變,《辦法》的有效落實需要相應機制的配合。在遵循網(wǎng)絡安全法等上位法的規(guī)范,維護法律法規(guī)間的統(tǒng)一性與系統(tǒng)性的基礎上,一方面,應加強數(shù)據(jù)跨境流動治理領域的國際合作,推動國際協(xié)定與國內(nèi)治理的有效銜接;另一方面,應切實發(fā)揮行業(yè)協(xié)會與企業(yè)的積極性與能動性,減輕政府對數(shù)據(jù)跨境流動風險審查的壓力。(吳凡)
版權聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權歸高原(北京)文化傳播有限公司。任何媒體轉載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關法律責任。