中國信息安全 - 論壇·數據跨境治理 | 對有益構建中國數據跨境治理方案的思考－鑽石舞台

Jun 10 Fri 2022 22:01
中國信息安全 - 論壇·數據跨境治理 | 對有益構建中國數據跨境治理方案的思考

掃碼訂閱《中國信息安全》雜誌

權威刊物重要平台關鍵渠道

郵發代號 2-786

如何安全有效利用數據資源是各國面臨的共同問題，數據有序流動也將有利於促進全球可持續發展目標的實現。2021 年，我國陸續出台《數據安全法》《個人信息保護法》等重要法律及配套文件，並申請加入《全面與進步跨太平洋夥伴關係協定》（CPTPP）、《數字經濟夥伴關係協定》（DEPA）等國際貿易協定，不僅為企業的數據跨境活動提供了規則指引，也為全球數據流動提供了中國方案的有益探索。

一、我國逐步構建了數據跨境的規則體系

我國數據跨境治理體系以「網絡與信息安全理念」為基石，以促進數據跨境安全、自由流動為目標，並隨着數據安全管理制度的構建而逐步發展和完善。

「碎片化」的立法文件開始出現。2016 年，國務院發布《「十三五」國家信息化規劃》，明確提出「建立跨境數據流動安全監管制度」的戰略性要求。在此之前，數據傳輸相關規範着眼數據收集、存儲等處理活動，集中在金融、交通、徵信等特殊領域。例如，2011 年的《人民銀行關於銀行業金融機構做好個人金融信息保護工作的通知》要求，境內收集的個人金融信息應採取本地化存儲措施，並不得向境外提供。2013 年的《徵信業管理條例》要求，徵信機構在境內採集的信息的整理、保存和加工也應當在境內進行。2013年的國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》（GB/Z28828-2012）要求，未經同意或法定許可，個人信息管理者不得將收集的個人信息轉移給境外組織或個人。總體看，此階段的數據跨境治理多為原則性規定，可操作性弱，偶有「碎片化」的規則出現，但是立法層級整體偏低，甚至是不具有強制效力的國家標準。

數據跨境治理從「諸法分立」走向「協調統一」。2016 年出台的《網絡安全法》對數據跨境治理做出了突破性規定，標誌着我國數據跨境治理從「諸法分立」時代走向「協調統一」時代。《網絡安全法》首次提出了數據跨境傳輸的安全評估制度，引入關鍵信息基礎設施、重要數據等核心概念，為後續立法提供了明確的指引和方向。以此為起點，我國數據跨境規則體系開始快速發展，從廣度和深度上不斷加強。2019 年起，《個人信息出境安全評估辦法（徵求意見稿）》《數據安全管理辦法（徵求意見稿）》等多部配套規章相繼公開徵求意見。

數據跨境治理體系的頂層設計趨於成熟。2021年，《數據安全法》《個人信息保護法》相繼頒布，與《網絡安全法》並列，成為拉動數據治理的「三駕馬車」。《數據安全法》專門針對重要數據跨境制度進行了完善，並對數據分類分級保護、政務數據利用、數據安全審查制度等做出規定。《個人信息保護法》對個人信息的跨境提供做出了專章規定，明確了個人信息處理者實施個人信息跨境的具體規則，同時對個人信息處理者提出了更加嚴格的合規要求，包括告知義務以及在以同意作為數據處理的合法性基礎時，要求取得用戶的單獨同意。自此，我國數據跨境治理體系的頂層立法設計基本完成。

配套立法密集出台促進制度落地。上述三部上位法在實踐中落地還要依賴系列配套規範性文件，為此，多部門密集出台配套文件，既有行政法規層面高位階立法的有序推進，也有部門規範性文件相繼公開徵求意見。2021 年 10 月，《數據出境安全評估辦法（徵求意見稿）》公開發布，專門針對安全評估制度進行細化，成為繼三部上位法生效後首部「細化和落實」數據出境安全評估的部門規章，對評估程序、評估內容、評估時限等都做出了具體規定，具有一定可操作性。2021 年 11 月，《網絡數據安全管理條例（徵求意見稿）》發布，設置了專門章節對數據跨境安全管理做出了規定。該條例是對 2019 年《數據安全管理辦法（草案）》的效力升級，且由原部門規章升為行政法規，將成為連接三部上位法和其他部門規章、部門規範性文件的重要橋樑，對構建我國數據跨境治理體系具有重要意義。此外，《個人信息出境標準合同規定》等多部配套規範，也在起草過程中。

二、我國數據跨境治理體系兼顧發展與安全

在與數據相關法律法規及配套文件陸續出台的過程中，我國數據跨境治理體系逐步實現了從「碎片化」到「體系化」的演進。這一過程既體現了我國數據跨境治理規則在制度設計、保障措施、執法力度等方面不斷提高，也彰顯了兼顧發展與安全的基本理念。

構建體系完善、目標明確的數據跨境治理規則。在充分借鑑國際立法經驗的基礎上，我國逐步形成了「法律 + 行政法規 + 部門規範性文件 + 地方規範性文件 + 標準」的較完善的數據跨境治理體系。這樣既能維護我國數據治理體系的統籌一致，又使我國數據跨境規則在制度設計、保障措施方面均得到了提高。在數據跨境治理的監管架構方面，形成了網信部門主導、行業主管部門配合的工作機制。此外，重要數據目錄製訂及其他相關監管工作也由各地行業主管部門參與。可見，在監管架構上，國家網信部門發揮統一協調的作用，各職能部門密切配合，有利於克服數據出境監管中可能出現的監管漏洞和責任問題，進而保證安全評估制度的專業性、完整性和連續性。

採用精細化管理思路，構建科學合理的監督管理機制。我國數據跨境規則採用精細化管理思路，對數據跨境的主體和類型進行細化區分，並做出監管流程及義務上的區別規定，以靈活設置不同主體及數據客體的跨境規則，構建科學合理的監督管理機制。《網絡安全法》着力「一個主體、兩類數據」，即關鍵信息基礎設施的運營者這一主體；個人信息和重要數據這兩類數據，首先要進行本地化存儲，其次要經安全評估後才能出境。《數據安全法》則規定了「兩個主體、一類數據」，即「關鍵信息基礎設施 + 其他數據處理者」兩類主體收集和產生的「重要數據」，前者適用《網絡安全法》相關規定，後者則由有關部門另行制訂辦法。《個人信息保護法》又從個人信息保護的角度規定了「三類特殊主體」處理個人信息需要進行安全評估的情況，包括國家機關、關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者。上述規定給企業的數據跨境實踐提供了相對明確的引導，解決了企業合規困惑，並填補了數據跨境安全評估制度中的監管漏洞。

立足基本國情，為企業全球化運營提供多元化合規基礎。為避免過於嚴厲的數據跨境前置條件對數據自由流動產生過多負擔，我國實際上建立了分層次的多元化數據跨境管理制度。對關鍵信息基礎設施、重要數據、達到一定數量的個人信息等實施更為嚴格的出境安全評估制度，而對其他一般性數據則實施第三方認證、標準合同等便捷制度，從而實現促進數字流動與兼顧維護國家安全、公共利益和個人隱私權益間的平衡。此外，數據跨境安全評估制度在借鑑歐美等地區規定的基礎上，做出了更加符合我國國情的調整。《數據出境安全評估辦法》增加了風險自評估程序，在國家網信部門對跨境數據進行評估前增加了一道企業「自評估」程序，從而建立起「自評估 +安全評估」的雙層評估機制。

三、對我國數據跨境治理方案的未來展望

整體看，我國已構建了層級分明、體系科學的數據跨境治理規則，但是具體落地方案仍有可優化的空間，尤其是加強國際合作、積極參與國際規則制定等方面。

建立更加明確的數據分類分級標準。數據分類分級可以幫助企業有效地管理、保護、存儲和使用數據資產，是實現數據跨境傳輸、提升數字競爭力的一項基礎性制度。《數據安全法》提出「國家建立數據分類分級保護制度」，並將數據明確分為一般數據、重要數據、核心數據，要求各地區、各部門制定重要數據目錄。2021 年 9 月發布的《工業和信息化領域數據安全管理辦法（試行）（徵求意見稿）》和 11 月公布的《信息安全技術重要數據識別指南（徵求意見稿）》等配套文件，採取了「概括 + 列舉」的形式對重要數據的定義進行了細化。可以預見，未來數據分類分級標準、具體類別和詳細特徵將更加明確，對三類數據的關係與處理原則也將提供更具操作性的實務指引，從而有利於企業在數據跨境傳輸的場景中做好合規工作，確保數據安全。

進一步完善和細化數據跨境流動操作規範。隨着數據出境安全評估制度的明確，相關操作規範將進一步推出。受限於立法的規範與體例，目前的法律法規不可能涵蓋所有數據跨境傳輸中的操作規範。例如，對「向境外提供」這一術語的理解，可能存在包括向境外主體提供、向境外服務器提供，以及境內主體出境等諸多解釋。在《數據出境安全評估辦法》（徵求意見稿）中，省級網信部門向國家網信部門提交申報材料的時間周期、國家網信部門收到評估申報材料後的處理程序等，還有待進一步明確；而對於特定情形下需要重新申報評估的規定，也暫時欠缺具象的、可把握的標準。因此，為了提高實際操作中的規範水平，相關具體規則還需要進一步細化和完善。

有效分流各類數據出境場景。《數據出境安全評估辦法 ( 徵求意見稿 )》細化了《個人信息保護法》中規定的「達到一定數量的個人信息」適用安全評估制度的範圍，明確了「處理個人信息達到一百萬人以上的個人信息處理者向境外提供個人信息」「累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息」等適用場景。雖然以上數額門檻已不低，但是考慮到我國數字服務的用戶眾多，在實踐中可能會出現大多數數據出境仍然要適用出境安全評估制度，而不能夠有效分流至第三方安全認證、標準合同等出境管理機制。因此，充分貫徹三部上位法確立的數據出境分類監管框架，有效分流各類數據出境場景，實施與風險程度相匹配的安全管理制度，有利於在確保安全的前提下，促進數據跨境流動，實現數字經濟的健康有序發展。

可適度引入「白名單」制度，加強國際合作。歐盟、美國等都在數據保護立法中規定了「白名單」制度，以加快構建數據跨境流動圈。歐盟《通用數據保護條例》（GDPR）基於「充分性認定」機制，綜合考慮目標國家或地區的數據保護立法實施、執法能力、救濟機制、國際參與等情況，符合其理念、達到與其同等水平的國家和地區可被納入「白名單」。在「白名單」內的國家無需特別授權即可自由地接受來自歐盟的個人數據。俄羅斯同樣實施「白名單」制度，並在其《個人數據保護法》中規定特定條件下可按照「白名單」制度予以審核。日本則已加入了美國主導的「APEC 跨境隱私規則」，並與歐盟達成了充分性認定協議，倡導「可信數據自由流動」理念，與美等西方國家積極促進多邊數據跨境流動。

目前，我國在數據跨境立法中也已體現出從「嚴監管」向「促進數據跨境安全、自由流動」的治理態度轉變，主張要積極參與國際數據治理合作與規則制定，但是在治理體系中尚未確立類似的「白名單」規則。我國也要在數據跨境體系中進一步提高出境安全評估的透明度和效率，預留國際協作相關制度的法律空間。

（本文刊登於《中國信息安全》雜誌2022年第3期）