習近平總書記強調�����,“數據是新的生產要素�����,是基礎性資源和戰略性資源,也是重要生產力”“加強數據安全管理��,加大個人信息保護力度��,規范互聯網企業和機構對個人信息的采集使用�,特別是做好數據跨境流動的安全評估和監管”。當前����,我國電子商務、交通運輸�、醫藥研發����、學術合作、生產制造���、市場營銷等領域數據跨境交流共享需求旺盛��,場景豐富����。構建安全有序便捷的數據跨境流動管理機制���,對于促進數字經濟發展、防范數據安全風險具有重大意義。近年來���,國家網信辦深入貫徹落實習近平總書記關于網絡強國的重要思想��,認真落實黨中央�����、國務院決策部署��,堅持高質量發展和高水平安全良性互動�����,出臺一系列法規政策文件,逐步建立完善中國數據跨境流動安全管理制度體系�����,會同各地各部門依法依規開展數據跨境流動安全管理���,促進數據跨境安全有序流動��,助力數字經濟高質量發展。
秉持開放合作理念,堅持依法依規管理
第一,堅持依法管理���。隨著數據跨境流動活動的日益頻繁��,世界上許多國家和地區從本國��、本地區實際出發�����,對數據跨境流動安全管理作了制度性探索����,制定出臺了一系列法律法規和規則標準���。中國結合自身國情,先后制定出臺了《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)�����、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)�、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》),在法律層面對向中華人民共和國境外提供重要數據和個人信息作出明確規定�?�!毒W絡安全法》規定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲�。因業務需要��,確需向境外提供的���,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律����、行政法規另有規定的���,依照其規定?�!稊祿踩ā芬幎?��,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《網絡安全法》的規定�����;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法�,由國家網信部門會同國務院有關部門制定���?��!秱€人信息保護法》規定�����,個人信息處理者因業務等需要���,確需向中華人民共和國境外提供個人信息的����,可以通過安全評估��、個人信息保護認證、與境外接收方訂立標準合同等多種途徑�����。上述立法,構筑了我國數據跨境流動安全管理的基礎法律框架��,為開展數據跨境流動安全管理提供了法律依據��。
第二�����,堅持分類分級管理。數據相比傳統生產要素��,流動起來更為便捷�,跨地域����、跨國界流動的特點也更加明顯。中國的數據跨境流動安全管理工作是以維護數據安全��、保護公民個人信息權益為出發點,同時把促進數據跨境安全有序流動����、發揮數據要素作用作為重要目標�。我們既充分認識數據流動的重要性,也注重防范數據流動過程中產生的安全風險���。中國數據跨境流動安全管理不是針對所有的數據,只限于重要數據和個人信息���,這里的重要數據是針對國家而言�,而不是針對企業和個人�����。對于重要數據出境����,經過安全評估認為不會危害國家安全和社會公共利益的�����,可以出境。對于個人信息出境,個人信息處理者可以選擇申報數據出境安全評估����、通過個人信息保護認證��、與境外接收方訂立個人信息出境標準合同等方式。對于不涉及重要數據或者個人信息的一般數據�,在履行法律規定的一般性合規義務下��,可以跨境自由流動��。
第三,堅持標準尺度統一���。數據出境的行為主體涉及各行各業�,境外接收方也分布在不同國家和地區���。中國的數據跨境流動安全管理制度是普適性的規定�����,不針對任何特定國家和特定企業����,對境內外企業一視同仁��。在實踐中,我們在充分征求吸納各方意見建議的基礎上����,出臺了關于數據跨境流動管理的一系列規定、指南�����、標準等����,對法律作出的制度性安排進行了進一步細化���,明確了數據處理者開展數據跨境活動的合規義務���,不斷健全完善數據出境安全管理機制�,確保數據依法安全有序流動�����。
第四,堅持開放合作��。目前,全球尚未形成統一的數據跨境流動規則����,建立相互協調的國際治理體系,促進數據跨境安全有序流動��,是各方面臨的共同課題�����。《個人信息保護法》規定�����,中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的��,可以按照其規定執行��。中國支持依據國際條約���、協定,按照對等原則實現數據跨境安全有序流動。中國愿在聯合國�、世界貿易組織等框架下��,同其他國家和地區就數據跨境問題開展多雙邊交流合作�����,推動制定各方普遍接受的數據跨境流動國際規則����,助力數字經濟全球化發展。
堅持開放創新,初步建立數據出境安全管理制度體系
落實法律關于數據出境安全管理的制度性安排�,國家網信辦抓緊建立完善我國數據出境安全管理制度體系���,明確數據出境安全評估、個人信息出境標準合同�、個人信息保護認證等數據出境安全管理制度的實施路徑,持續抓好相關制度的貫徹落實���,取得階段性成效����。
第一����,建立實施數據出境安全評估制度�����。為加強重要數據和大規模個人信息出境安全管理�,國家網信辦于2022年7月7日制定發布《數據出境安全評估辦法》���,自2022年9月1日起施行,明確了數據出境安全評估的適用范圍����、評估流程��、評估要點�����、監管要求等�����。2022年8月31日發布《數據出境安全評估申報指南(第一版)》�,對數據出境安全評估申報方式�����、申報流程、申報材料等具體要求作出了說明�����,指導和幫助數據處理者規范有序申報數據出境安全評估�。2024年3月22日更新發布《數據出境安全評估申報指南(第二版)》��,對數據處理者需要提交的申報材料進行優化簡化,進一步降低數據處理者合規成本。首都醫科大學附屬北京友誼醫院申報的跨境健康醫療研究項目(境外接收方為荷蘭阿姆斯特丹大學醫學中心)成為首個獲得通過的數據出境安全評估項目��,標志著安全評估制度正式落地實施��。截至2024年5月8日��,國家網信辦收到各省���、自治區�����、直轄市網信辦報送的數據出境安全評估申報項目262個���,依法受理243個�����,已完成評估項目234個���,其中232個出具評估結果(通過或部分通過評估的206個�、不通過評估的26個)�,2個終止評估���,不通過率為11.1%。評估項目涉及零售��、交通�、金融�����、工業����、互聯網電商���、衛生健康�、科技��、郵政�、文旅��、教育、人才招聘����、電信���、房地產等行業領域�����,境外接收方主要位于歐盟���、美國�����、中國香港、新加坡���、日本等國家或地區�。
第二,建立實施個人信息出境標準合同備案制度���。為便利和規范個人信息處理者向境外提供小規模個人信息����,國家網信辦于2023年2月22日制定發布《個人信息出境標準合同辦法》����,自2023年6月1日起施行�����,明確了個人信息出境標準合同的適用范圍、標準合同訂立和備案要求等���,并編制了標準合同范本���。2023年5月30日公開發布《個人信息出境標準合同備案指南(第一版)》��,對個人信息出境標準合同備案方式�、備案流程���、備案材料等具體要求作出了說明,指導和幫助個人信息處理者規范有序備案個人信息出境標準合同�����。2024年3月22日更新發布《個人信息出境標準合同備案指南(第二版)》,對個人信息處理者需要提交的備案材料進行優化簡化�。2023年6月����,北京德億信數據有限公司與香港諾華誠信有限公司訂立的個人信息出境標準合同通過北京市網信辦備案,成為首個個人信息出境標準合同落地案例��。截至2024年5月8日��,各省、自治區��、直轄市網信辦共備案個人信息出境標準合同760余個�����,備案數量位于前列的為上海�����、北京�、江蘇��、廣東等地���。
第三,建立實施個人信息保護認證制度���。2022年11月4日��,國家網信辦聯合市場監管總局制定發布《關于實施個人信息保護認證的公告》及其配套認證規則����,明確對個人信息處理者開展個人信息出境活動進行認證的基本原則和具體要求���,鼓勵個人信息處理者通過認證方式提升個人信息保護能力����。個人信息保護認證是國家推行的自愿性認證�����,按照市場化方式運作�����,由企業自愿申請���,認證機構依據相關法律法規和標準規范�,運用合格評定�、持續監督等方法對個人信息處理者的個人信息保護能力進行綜合評價�。
第四�,建立粵港澳大灣區數據跨境流動便利化機制���。為推動粵港澳大灣區高質量發展����,探索建立既便利數據流動又保障安全的機制�����,2023年6月29日,國家網信辦與香港特區政府創新科技及工業局簽訂《關于促進粵港澳大灣區數據跨境流動的合作備忘錄》��,同年12月10日聯合發布《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》�,支持個人信息通過認證或者訂立標準合同的方式跨境流動����,免予申報數據出境安全評估,不含重要數據或者個人信息的一般數據在粵港澳大灣區內自由流動�����。簽訂并實施備忘錄,是區域性數據跨境流動合作的一次有益嘗試��,也為后續開展多雙邊數據跨境合作交流積累了寶貴經驗�����。
第五,堅持高水平對外開放����,不斷優化數據跨境流動安全管理制度�����。為進一步促進數據依法有序流動�,激發數據要素價值,擴大高水平對外開放���,國家網信辦在認真總結數據出境安全管理實踐經驗��、充分聽取各方意見建議的基礎上�����,于2024年3月22日出臺實施《促進和規范數據跨境流動規定》(以下簡稱《規定》)����,對數據出境安全評估、個人信息出境標準合同�����、個人信息保護認證等數據出境安全管理制度作出優化調整���。一是明確可免予申報數據出境安全評估��、訂立個人信息出境標準合同���、通過個人信息保護認證的數據出境活動情形。二是對需要申報數據出境安全評估、訂立個人信息出境標準合同���、通過個人信息保護認證的數據出境活動情形予以優化調整�����。三是延長了通過數據出境安全評估的結果有效期�,由2年調整為3年�����。四是明確數據處理者應當依法依規進行重要數據識別���、申報,未被相關部門����、地區告知或者公開發布為重要數據的�,數據處理者不需要作為重要數據申報數據出境安全評估�����。五是明確自貿試驗區在國家數據分類分級保護制度框架下���,可以自行制定區內需要納入數據出境安全評估��、個人信息出境標準合同�、個人信息保護認證管理范圍的數據清單(以下簡稱“負面清單”),自貿試驗區內數據處理者向境外提供負面清單外的數據����,可以免予申報數據出境安全評估��、訂立個人信息出境標準合同�、通過個人信息保護認證。近日���,國家網信辦會同國家數據局明確了自貿試驗區負面清單備案工作機制和流程,中國(天津)自貿試驗區成為首個通過負面清單備案的自貿試驗區�。
需要指出的是��,符合《規定》所列相關情形的數據出境活動�����,免予的是申報數據出境安全評估��、訂立個人信息出境標準合同、通過個人信息保護認證等合規條件�,而非“豁免”數據安全和個人信息保護法定義務,數據處理者仍應遵守《網絡安全法》《數據安全法》《個人信息保護法》規定�,履行建立健全數據安全管理制度�、個人信息保護影響評估���、告知并取得個人單獨同意、采取技術措施和其他必要措施保障數據安全等法定義務����。
堅持安全與發展并重���,持續健全完善數據跨境流動安全管理體系
2023年中央經濟工作會議提出����,“必須堅持高質量發展和高水平安全良性互動�,以高質量發展促進高水平安全����,以高水平安全保障高質量發展����,發展和安全要動態平衡����、相得益彰”“對標國際高標準經貿規則,認真解決數據跨境流動�����、平等參與政府采購等問題”��。下一步�����,國家網信辦將深入貫徹落實習近平總書記重要指示精神和黨中央決策部署,全面貫徹新發展理念�,不斷總結實踐經驗,持續健全完善數據跨境流動管理體系�,促進數據跨境安全有序流動�,助力數字經濟蓬勃健康發展�����。
第一����,抓好法規政策落地實施��,構建與高質量發展相適應的數據出境安全管理制度體系。加強與各地和國務院各有關部門的協同聯動��,不斷完善數據出境安全管理工作機制��,推動數據出境安全管理各項制度有序實施、取得實效�����。做好數據出境安全管理法規政策宣傳解讀���,充分利用多種方式�、通過多種渠道宣傳闡釋數據出境安全管理法律�����、政策、制度�、標準,推廣數據出境安全管理實踐中的好經驗��、好做法���,增進各方理解認同,為經濟高質量發展營造良好環境��。發揮自貿試驗區政策先行先試試驗田作用,指導自貿試驗區結合數據跨境流動實際研究制定負面清單����,為自貿試驗區企業創造更加便利的數據跨境流動條件�。及時跟進數字經濟發展需要��,做好數據出境安全管理政策的動態調整優化��。
第二�����,加強對外交流合作,構建與高水平開放相適應的數據跨境流動管理規則體系����。深刻把握全球數字經濟和國際數字貿易快速發展的大趨勢�,堅持高水平對外開放�����,積極對接《全面與進步跨太平洋伙伴關系協定》(CPTPP)����、《數字經濟伙伴關系協定》(DEPA)等國際高標準經貿規則�����。在聯合國��、世界貿易組織等框架下�,積極參與數據跨境流動國際規則和標準的制定����,助力數字經濟全球化發展。積極開展多雙邊數字治理合作����,按照平等互惠原則,探索與有關國家和地區就數據跨境流動建立特殊制度性安排��,促進數據跨境安全有序流動�����。
第三�,堅持統籌發展和安全����,構建與新發展格局相適應的數據跨境流動安全保障體系����。習近平總書記強調,“越開放越要重視安全���,越要統籌好發展和安全”。堅持安全與發展并重����,始終把保障數據安全和促進數據安全有序流動、促進數據開發利用作為數據出境安全管理工作的基本方向�����,加快建立健全與新發展格局相適宜的數據跨境流動安全監管模式,加強數據分類分級保護�����,強化數據出境安全監管技術能力建設和運用����,指導企業提升數據出境合規能力���,既保障數據安全,又促進流通應用����,實現發展和安全動態平衡、相得益彰�。
作者:胡嘯系國家互聯網信息辦公室網絡數據管理局局長�。
來源:《中國網信》2024年第5期
蘇公網安備32130002004002號