探析数据跨境流动的法律框架
助力数据处理者数据跨境合规
作者:金晓萍 李恒
数据跨境流动是现代数字经济的重要组成部分,它不仅推动了全球化的深入发展,同时也带来了复杂的法律挑战。这些挑战主要包括个人隐私保护、国家安全和公共利益等方面。在中国,数据跨境流动的安全与管理已经成为维护国家安全和推进国际数据治理的重要课题。习近平总书记曾强调,要保障国家数据安全,包括制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度等,并指出要加强维护国家信息主权的研究,确保每个国家在信息领域的主权权益不受侵犯。
一、企业数据跨境的法律规范体系
随着《网络安全法》《数据安全法》《个人信息保护法》为主要框架的数据出境法律层面的顶层设计逐渐形成,数据跨境的治理日渐成熟。
概括而言,我国数据跨境的法律规范体系主要包括以下几个层次:顶层法律:《网络安全法》、《数据安全法》、《个人信息保护法》等构成了数据跨境的基本法律框架,对数据跨境传输的原则、要求、评估程序等进行了规定。实施细则:《数据出境安全评估办法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等文件对数据出境的具体流程、评估内容、评估机构等做了详细说明。行业指南与标准:包括《信息安全技术数据出境安全评估指南(征求意见稿)》等标准,对数据出境的技术细节、操作流程提供了指导。
具体而言,《网络安全法》明确规定,关键信息基础设施运营者所收集和产生的个人信息及重要数据应当在境内存储,并要求如果这些数据需要出境,则必须通过安全评估(第37条)。为了进一步明确出境数据的安全评估标准,国家互联网信息办公室在2017年和2019年分别发布了两份关于数据出境安全评估的征求意见稿,并于2021年出台了《关键信息基础设施安全保护条例》,强化了对于关键数据出境的安全评估要求。
《个人信息保护法》于2021年实施,其管辖范围不仅限于国内,还涵盖了境外处理境内个人信息的行为,明确了个人信息处理者向境外提供个人信息的具体条件和要求,并将个人信息境内存储的主体范围从关键信息基础设施运营者扩展到了处理一定规模个人信息的主体。同年,《数据安全法》及其相关条例再次强调了重要数据出境的安全性要求。
此外,2021年修订的《网络安全审查办法》指出,拥有超过一百万用户个人信息的网络平台运营商若计划在国外上市,必须接受网络安全审查。同年发布的《数据出境安全评估办法》进一步细化了安全评估的相关情况、重点考虑因素以及具体程序。
在此基础上,我国还制定了多项标准来规范数据出境行为,比如2017年发布的《信息安全技术数据出境安全评估指南(征求意见稿)》具体化了数据出境安全评估的要求;2022年发布的《信息安全技术网络数据处理安全要求》(GB/T41479--2022)规定境内用户的网络流量不应被路由至境外;同年发布的《重要数据识别指南(征求意见稿)》则明确了重要数据的识别原则和方法;《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》提供了跨境处理个人信息的基本原则和要求,帮助个人信息处理者规范其跨境活动。这些举措共同构建了我国数据跨境流动的法律和技术框架。
二、不能自由出境的数据的不同合规要求
不能自由出境的数据根据现行的跨境法律框架体系,主要分为三类,并各自有着不同的合规要求:
(一)需要履行安全评估的数据
这类数据需要在出境前经过安全评估。具体情形包括但不限于数据处理者向境外提供重要数据、关键信息基础设施运营者向境外提供个人信息、处理超过百万个人信息的数据处理者向境外提供个人信息、自年初起累计向境外提供十万人个人信息或一万敏感个人信息等。
安全评估的内容涵盖数据出境的目的、范围、方式的合法性、正当性和必要性;境外接收方所在国家或地区的数据安全保护政策法规及其网络安全环境对出境数据安全的影响;出境数据的规模、种类、敏感程度及可能面临的风险;数据安全和个人信息权益保障的程度;数据处理者与境外接收方之间法律文件的约定情况;以及遵守中国法律的情况。
安全评估的责任主体不仅包括政府监管部门,还包括数据处理者本身。数据处理者需要进行风险自评估,并提交相应的申报材料。
(二)个人信息处理者向境外提供个人信息
个人信息处理者向境外提供个人信息时,必须履行特别告知义务,向数据主体告知境外接收方的名称、联系方式、处理目的、处理方式等信息,并取得个人的单独同意。
此外,个人信息处理者还需采取必要措施确保境外接收方处理个人信息活动达到法定的个人信息保护标准。
在满足合规要求方面,个人信息处理者可以通过国家网信部门的安全评估、经专业机构进行个人信息保护认证、依据国家网信部门制定的标准合同与境外接收方订立合同或符合其他条件之一来实现。
个人信息处理者还需进行个人信息影响评估(DPIA),评估内容包括个人信息处理的目的、方式是否合法正当必要、对个人权益的影响及安全风险、所采取的保护措施是否合法有效等,并且评估报告和处理情况记录需至少保存三年。
(三)向境外司法和执法机构提供境内数据
无论是何种类型、规模或影响的数据,只要接收方是外国司法或执法机构,必须经过中国主管机关批准。在处理此类数据时,企业法务、律师等法律工作者需要确保数据出境过程符合相关法律法规的要求。
三、助力数据处理者数据跨境合规
在现有的数据跨境法律框架内,数据处理者在进行数据跨境活动时需关注以下几个方面的合规要求:
(一)制度建设
1.动态评估与定性制度:企业需要根据国家规定对其身份(是否为关键信息基础设施运营者)和数据处理行为进行动态评估和定性,以便针对性地建立相应的数据跨境管理制度。
2.数据出境安全评估制度:基于自身业务系统梳理出具体的数据跨境场景,并据此建立相应的数据出境安全评估制度。
3.境内存储与管理制度:确立重要数据和个人信息在境内的存储地点与安全保障措施,界定跨境传输的适用情形、判断标准以及审批和监管权责。
4.安全监测与风险响应制度:建立数据跨境的安全监测系统及风险事件响应机制,明确应急处理权限、流程和预警机制。
(二)机制建设
Ⅰ法律冲突识别与应对机制:设立专门团队持续跟踪数据目的地的法律法规变化,评估数据跨境安全性,并制定解决法律冲突的方案。
Ⅱ分层分级评估机制:根据不同类型数据建立跨境安全评估、审查和批准机制,明确责任人,并确保法律风险防控与业务团队的有效沟通。
Ⅲ个人信息保护认证机制:针对个人信息出境,建立事前认证机制。
Ⅳ境外接收方资质审查机制:对境外接收方进行资质审查,使用标准化数据传输合同,并监督执行。
Ⅴ安全事件监测机制:确保安全事件能够迅速上报给管理层和监管机构。
Ⅵ个人信息保护机制:建立专门的个人信息保护机制,包括告知与同意程序、数据携带权与遗忘权的执行。
Ⅶ监管应对机制:准备专门机制以配合监管机关的数据跨境评估、审查等活动。
(三)能力建设
ⅰ培训机制:定期开展培训,内容涵盖国内数据传输相关的法律规定、境外数据政策及法律制度、国家限制或禁止的数据跨境清单等。
ⅱ冲突应对能力:加强处理数据跨境法律冲突及境外法律责任追究的能力,特别是在当前复杂的国际关系背景下。
综上所述,企业不仅要建立健全内部的数据跨境合规体系,还需要具备适应外部法律环境变化的能力,以确保数据跨境活动的合法性和安全性。
四、新政解读
《北京市数据跨境流动便利化服务管理若干措施》
《北京市数据跨境流动便利化服务管理若干措施》(以下简称“《措施》”)于2024年8月30日由北京市互联网信息办公室、市商务局、市政务服务和数据管理局联合发布,旨在提升数据跨境流动的便利性与合规性。以下是对《措施》的详细解读:
(一)编制背景
近年来,随着《数据安全法》《个人信息保护法》等法律法规的实施,北京市在数据跨境流动方面面临着日益增长的需求与挑战。《措施》的出台是为了响应市委市政府关于推动数据跨境流动便利化的政策要求,构建一个高效、安全的数据跨境流动管理体系。
(二)主要内容
《措施》从以下四个方面提出了18项具体措施,旨在解决数据跨境流动中的共性难点问题:
1.畅通数据合规出境通道
高效开展数据出境安全评估,优化评估流程。
提升标准合同备案的质效,压缩备案时长。
推动个人信息保护认证的落实,设立认证服务办理网点。
2.细化服务举措
编发企业数据出境合规指引,帮助企业提升合规能力。
实施自由贸易试验区数据出境“负面清单”管理,明确可出境数据的范围。
建立企业数据出境“绿色通道”服务机制,提供快速通道服务。
搭建政府与企业的常态化沟通平台,及时回应企业关切。
3.优化监管措施
强化重要数据出境的保护,提升数据跨境基础设施的监管能力。
实施事前、事中、事后的全链条监管,确保数据安全。
4.强化保障措施
建立跨部门专项工作机制,确保各项措施的落实。
实行专班实体化运行,为便利化服务提供资源保障。
动态评估和调整便利化服务举措,持续优化服务质量。
(三)政策亮点
1.服务便利化:全市范围内常态化提供数据出境咨询服务,设立数据跨境服务中心,形成统一的服务能力。
2.管理精细化:通过编发多项指引,细化企业合规能力建设的具体事项,加强对数据出境活动的指导与监督。
3.执行效能化:成立数据跨境政策创新和企业服务工作专班,优化评估、备案工作流程,提供“一对一”服务指导,快速响应企业需求。
《北京市数据跨境流动便利化服务管理若干措施》的实施,标志着北京市在数据跨境流动领域的管理水平和服务能力的显著提升,旨在促进数据安全与数字经济的健康发展。这些措施不仅为企业提供了更加便利的合规路径,也为保障数据安全提供了坚实的法律基础。为此,建议企业结合本地和本企业的情况,积极关注并落实相关政策,以确保在数据跨境流动中的合规性与安全性。
参考资料:
裴炜、陈鹏:《数据合规实务全指引:关键场景与典型行业》,法律出版社2023年版,第30页。
网信北京 《北京市数据跨境流动便利化服务管理若干措施》政策解读。