《促进和规范数据跨境流动规定》对数据跨境的影响及数据跨境监管的欧盟视角
一、《促进和规范数据跨境流动规定》出台的背景
数据跨境流动是指数据处理者将个人信息等数据提供至境外,通常情形下可理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。 我国自2016年起先后通过了《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等法律法规,为规范数据出境活动、推动数据跨境有序流动提供了基础法律框架。为进一步为跨境数据流动提供指引,国家网信办于2022年7月7日和2023年2月22日先后公布了《数据出境安全评估办法》和《个人信息出境标准合同办法》,我国数据出境的合规体系由此逐步确立。
依据《个人信息保护法》第三十八条之规定,个人信息处理者可选择“数据出境安全评估”“个人信息保护认证”或“个人信息出境标准合同”任一种方式完成个人信息出境。为进一步推动前述前置审批方式的落地实施,国家网信部门先后发布了《数据出境安全评估办法》和《个人信息出境标准合同办法》,分别从2022年9月1日起和2023年6月1日起给予了个人信息处理者6个月的整改时间,截至2023年12月。据不完全统计,网络公开可检索到通过数据出境申报的企业仅有30家左右,其中采用“个人信息出境标准合同备案”方式通过出境申报的主体有5家,采用“数据出境安全评估”通过出境申报的主体有24家,采用“个人信息保护认证”审批方式出境的仅有一家。
就通过数据出境申报的企业选择的前置审批程序而言,三种程序被应用的频率存在明显差异。笔者认为,“个人信息保护认证”相比其他两种数据出境路径没有成为通过数据出境申报主体的选择,或系“数据出境实际需求”和“个人信息保护认证标准严苛”双重作用的结果。首先,依据《个人信息保护法》第四十条之规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者如果确需向境外提供数据,应当通过国家网信部门组织的安全评估。换言之,如果个人信息处理者需出境的数据达到需要进行安全评估的情形,进行“个人信息保护认证”不能免除安全评估的义务。其次,“个人信息保护认证”需要同时遵循《个人信息保护认证实施规则》和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“《认证规范》”)的要求,相较于标准合同备案路径,《认证规范》不仅在文件5.1条要求个人信息处理者和境外接收方签订具有法律约束力和可执行的文件,以确保个人信息主体权益得到充分的保障,还要求个人信息处理者和境外接收方同时设置个人信息保护负责人和个人信息保护机构、建立并遵守境内外双方共同适用的个人信息跨境处理规则、开展个人信息保护影响评估等。繁杂的认证要求可能给个人信息处理者带来更高的合规成本和潜在的更高标准。加之目前网信办及相关部门尚未公开有资格进行“个人信息保护认证”的认证机构名录,仅在中国网络安全审查技术与认证中心(以下简称“CCRC”)官网发布了个人信息保护认证申请书及个人信息保护认证申办系统。符合资质要求认证机构不明确也给数据处理者选择此路径进行出境申报带来了一定障碍。
此外,除三种数据出境申报程序在实践中的应用频率差异外,更应该关注的是目前通过数据出境申报审批的企业数量过少。虽然难以精确掌握网信办与各地网信部门收到的数据出境申报总量,但数十个成功通过数据出境申报的主体数量与我国庞大的跨国企业体量相比显然畸少。笔者认为,受制于整改期限短、网信办审核压力大等原因,以上三种数据出境审批方式显然未能理想地在实践中为大量有数据跨境需求的跨国企业提供高效的数据出境解决方案。《促进和规范数据跨境流动规定》(以下简称“《规定》”)的出台符合现实需要,是我国顺应数据跨境流动国际趋势的必然选择。
二、《规定》出台后数据出境监管的主要变化及影响
《规定》在我国数据跨境监管框架的基础上,对跨境数据监管的范围、方式作出系列重大调整,这些调整主要体现在“收窄出境受监管的数据范围”、“扩大可豁免数据出境前置审批的个人信息范围”及“发挥特定区域合作优势”三个方向。
(一)收窄受监管的出境数据范围
首先,《规定》第三条在之前的数据出境监管法律框架基础上,进一步明确了不是任何数据出境都需要接受监管。在国际贸易、跨境运输、学术合作、跨国生产制造和市场营销此类常见可能产生数据跨境需求的场景下,只要确保拟向境外提供的数据不包括个人信息或重要数据,即可以被排除出数据出境的监管范围。此外,为进一步厘清“重要数据”的定义和范围,《规定》第二条将“相关部门、地区告知或者公开发布”作为认定重要数据的前提。换言之,在重要数据目录公开发布前,没有被告知的企业可以不用对潜在的重要数据承担更高标准的合规责任。
其次,《规定》创新性地将过境数据也排除出了数据合规监管范围。依据《规定》第四条之规定,如个人信息是在境外收集和产生,传入境内处理后又向境外提供,只要处理过程没有引入境内的个人信息或重要数据,即可以免予通过法律规定的三种途径完成数据出境前置审批。
前述内容在客观上在数据监管的框架内让渡了一部分数据流动的自由空间,只要无害于法律对个人信息的保护和重要数据的监管,《规定》对常见场景的数据跨境流动和境外机构密切关注的数据过境呈现出相对包容的态度。在立法语言上将“不包含个人信息或者重要数据”作为明确限定词,也体现了《规定》对数据出境监管“必要限度”和“合理范围”的重新审视。
(二)扩大可豁免数据出境前置审批的个人信息范围
在坚持“境内个人信息”和“重要数据”保护底线的同时,《规定》在个人信息类别中进一步划分出可以豁免前置审批的个人信息范围,提高了特定场景下的数据传输效率,减轻了数据处理者的申报负担。《规定》第五条规定,在“为订立、履行个人作为一方当事人的合同”、“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”或“紧急情况下为保护自然人的生命健康和财产安全”场景下,数据处理者向境外提供个人信息可以免予通过三种前置审批程序进行申报。但笔者认为,对前述场景下个人信息出境进行前置审批豁免的同时需对相关场景的认定进行严格限制。如数据处理者援引《规定》第五条第一款,希望基于订立、履行合同的需要向境外提供个人信息时,应当充分论证相关个人信息为订立合同所必需。数据处理者及监管部门如何把握立法文本中“确需”的内涵是影响该规范实践效果的重要因素。又如《规定》第五条第二款规定了数据处理者能够依据的人力资源管理文件包括“依法制定的劳动规章制度”和“依法签订的集体合同”,这一规定极大地缓解了许多跨国企业对其雇员信息出境申报的压力。
此外,《规定》结合待出境数据数量豁免了小体量个人信息出境的前置审批程序。《规定》第五条、第七条、第八条结合关键信息基础设施运营者(CIIO)以外的个人信息处理者拟向境外提供个人信息的数量,设置了不同的前置审批程序。对向境外提供不满10
万人个人信息(不含敏感信息)的,无需审批;对向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,前置审批程序可在标准合同和个人信息保护认证中二选一;对于拟向境外提供重要数据,或者拟向境外提供的个人信息(不含敏感个人信息)累计超过100万人的,应该进行数据出境安全评估。在《规定》发布的答记者问中明确,前述数量的计数周期自当年1月1日起至申报数据出境安全评估之日,且属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。虽然《规定》严守了对重要数据的监管要求,规定重要数据不适用任何豁免情形,但对不含敏感信息的个人信息区分数量对应了不同的前置审批措施。这一创新性规定不仅能一定程度上减轻数据处理者的审批负担,也有利于为数据处理者提供明确参考,方便其调整数据出境的方案和策略。
(三)发挥特定区域合作优势
除通用的数据出境规范外,《规定》第六条还赋予了自由贸易试验区更高程度的数据跨境自由,在不违反国家数据分类分级保护制度框架下,自贸区可以自行制定区内分别适用三种前置审批程序的数据清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案即可。自贸区内的数据处理者向境外提供负面清单外的数据也可以免予前置审批。
此外,《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》也为特定区域内的个人数据跨境流动提供了便利条件。数据处理者如符合签订《大湾区标准合同》的条件,即可不受《个人信息出境标准合同办法》个人信息跨境数量和敏感个人信息的限制,免除就接收方所在地区个人信息保护的法律法规进行评估的义务,要求开展个人信息保护影响评估的范围也大幅减少。
《规定》及其他相关数据跨境监管文件基于场景、数量、区域等因素尽力提升了数据跨境流动监管的区分度,拒绝“一刀切”式为所有的拟跨境数据设定同样的申报要求,体现了我国数据跨境流动监管框架重视数据监管“必要限度”的重要立场。在风险可控且实践经验、监管经验充足的背景下,更为弹性、便利的数据跨境监管体系或可在更大的范围内得以适用。
(四)《规定》出台前已申报出境项目的处理
仅以我们办理的案件为例,2023年6月1日施行的《个人信息出境标准合同办法》规定了为期6个月的整改期限,为避免合规风险,符合以标准合同出境的企业需要在2023年12月前对已经出境的个人信息进行标准合同备案。《标准合同办法》出台后,我们同时收到了客户韩国企业、南非企业的个人信息出境标准合同备案需求。
该两跨国企业的总部分别在韩国、南非,在中国设立有分支机构。韩国客户是一贸易公司,涉及到的个人信息出境场景主要是将在中国形成的员工信息出境至韩国总部。南非客户是一跨国医药公司,涉及到的个人信息出境场景多样,包括员工信息、医疗专业人员信息、讲者信息等。我们针对该两客户进行了合规整改、拟定《标准合同》、指导出具《个人信息保护影响评估报告》,在项目申报的过程中,《规定》(征求意见稿)出台,可以预判到有较大的数据跨境要求修改的可能性。我们针对两客户分别提供了可能对其更为有利的处理建议:对于韩国客户,由于其出境的主要为劳动人事方面的员工个人信息,虽然彼时《规定》并未正式出台,但从《征求意见稿》中可以看到“内部员工个人信息”系明确豁免备案的,且该类个人信息的出境产生重大影响的可能性较小,因此对于该客户的备案申请我们暂停提交。对于南非客户,由于其出境的个人信息场景多样,且是医药行业跨国企业,个人信息出境产生重大影响的可能性相对较高,我们仍在规定的期限向网信办提交了备案材料。
《规定》出台后,按照《规定》第五条第一款第四项关于个人信息出境总量的规定,前述两客户均可用豁免申报个人信息出境(无论是安全评估、标准合同备案、个人信息保护认证的方式)。且根据《规定》答记者问第14答,对于《规定》施行前已经完成或正在申报的项目,可以继续开展,也可申请撤回。考虑到南非公司的申报材料付出了极大的工作量,获得正式的备案通过亦可作为客户个人信息安全保护能力的证明,因此我们并未撤回。近期,我们已收到广东省网信办的通知,我们提交的备案申请正式获批,且获批并非因《规定》的出台,而是备案材料符合审批要求。
因此,对于《规定》出台前已经申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证的,不须急于撤回,可综合考虑出境是否有其他不良影响、获得通过的可能性、获批记录对于后续公司数据合规方面的影响等因素,综合决策。
三、欧盟数据跨境流动监管的启示
欧盟国家在数据安全与个人隐私保护领域已有近30年的历史。近年来,跨境数据流动成为全球化的重要特征,但缺少统一的国际条约对该活动加以规范。各国差异巨大的监管模式不仅提高了企业跨国经营的成本,也可能因主权国家对数据跨境流动的域内监管对外部市场跨国企业业务产生影响,从而形成实际上的长臂管辖,欧盟近年来的数据跨境监管就体现出该特征。 《通用数据保护条例》(General Data Protection Regulation,GDPR)将管辖原则扩展为“影响主义原则”即数据处理者即使并未在欧盟境内设立实体机构,只要其向欧盟境内居民提供商品或服务都会受到该法的约束。GDPR由此成为世界性的法律,在数据跨境规管领域有着超越法域的影响力。更重要的是,我国被誉为“效仿欧盟数据保护法最重要的司法辖区之一”,我国的《个人信息保护法》《数据安全法》《网络安全法》和《关键信息基础设施安全保护条例》均不同程度地移植了GDPR的核心概念和典型制度。我国前置审批程序中应用的《个人信息出境标准合同》和《数据出境安全评估办法》对欧盟的标准契约条款(Standard Contractual Clause,SCC)和数据保护影响评估也多有借鉴。了解欧盟数据跨境监管框架、把握数据监管态势和走向对我国形成内外联动的数据保护体系具有重要意义。
早在1995年,欧盟就曾颁布《欧盟数据保护指令》 (Data Protection Directive 95/46/EC,DPD)规范数据跨境流动,但DPD的监管内容较为粗放,强调任何涉及个人信息处理的行为原则上都要受到规制,因此很大程度上限制了数据的跨境流动。随数据流动的全球发展,DPD的监管体系呈现出一定的滞后性,GDPR在此背景下应运而生。GDPR整体上通过更高的违规处罚、更广泛的保护范围在欧盟内建立了统一的高标准保护体系。为应对欧盟外部国家数据保护能力参差不齐的现状,GDPR第44条至第47条对数据处理者向欧盟外国家传输数据进行了严格限制,即数据处理者必须“基于充分性决定获得数据跨境转移限制豁免”、“具备适当保障措施”或“依靠有约束力的公司规则”才能向第三国传输数据。对于可以依据充分性认定获得特定授权豁免以外的国家,GDPR也提供了标准契约条款(Standard Contractual Clause,SCC)和约束性企业规则(Binding Corporate Rules,BCR),对数据跨境合规的流程和程序作出了具体规定。但GDPR的合规要求相对复杂,审查机制繁琐,惩罚力度较大,这给非欧盟成员国的数据巨头和向欧盟国家提供服务的跨国企业带来了极高的合规成本。虽然GDPR自2018年开始生效实施至今还不到六年的时间,但显然该规范确立的数据出境合规要求时刻面临着国际上数据流动潮流和商业化需求的冲击,如何在保障数据主体权利的前提下进一步为数据跨境流动创造便利成为了国际数据跨境监管中的共同课题。
(一)市场化规制转向与监管底线
后GDPR时代,欧盟通过系列立法不断完善其数据监管框架。《数字服务法案》(DSA)与《数字市场法案》(DMA)通过对“守门人”平台企业增加额外义务,进一步保护了中小型企业和消费者的合法权益,为广义的数据共享与流动创造了更好的条件。《数据法案》(Data Act)进一步促进了互联产品的数据共享、增强可移植性权利,通过为数据更广泛地访问提供便利来消除数据服务提供者之间的障碍。但前述立法似乎并未实质性放松欧盟GDPR框架下对数据跨境流动的严格限制。《数据法案》要求数据处理者应为确保非个人数据传输到欧盟外国家后不违反欧盟法律及相关成员国立法的规定而采取一切必要措施,将非个人数据也纳入监管范围形成了对GDPR个人信息跨境监管的重要补充。
欧盟数据监管立法发展体现出明显的市场规制转向,通过巩固单一数据市场、提振消费者和中小企业信心尝试打造更公平的数据市场竞争环境,防止出现市场垄断和新的数据壁垒。但这种市场规制转向和促进数据流动、共享的态势似乎并未延伸至数据跨境流动监管领域。为保证欧盟国家境内数据安全,欧盟的数据监管模式呈现出“外紧内松”的特征,维持了对数据跨境高标准的监管底线,以更好的保护欧盟的数据主权,增将其在全球互联网与信息产业中的优势地位。
(二)GDPR监管框架下促进数据跨境流动的曲折探索
虽然目前欧盟保留了GDPR监管体系下严格的数据跨境监管模式,但欧盟外国家一直在尝试通过双边协议等方式,减少欧盟严苛的数据跨境监管体系对国家间数据流动的影响。以美国和欧盟国家之间的数据跨境流动合作为例,2015年欧盟法院曾基于Schrems案判决,认为欧盟-美国安全港协议(Safe Harbor)允许美国的任何国家安全或公共利益凌驾于安全港协议之上,是变相的允许美国公共当局干涉个人数据权利,由此宣布安全港决定无效。 2020年,欧盟法院又在“SchremsⅡ案”中认为美国监控立法违反了《欧盟基本权利宪章》(The Charter of Fundamental Rights of the European Union)之规定,无法为欧盟境内数据主体提供有效的司法救济,从而认定欧盟-美国隐私盾(Privacy Shield)无效。但欧盟与美国之间并未放弃建立双边数据合作框架的尝试。2023年7月10日,欧盟委员会投票通过了欧盟-美国数据隐私框架(EU-U.S. Data Privacy Framework,DPF)的充分性决定,使得个人数据可以从欧盟的控制者和处理者转移到美国的认证组织,而无需取得进一步的授权。数据跨境流动的重要性在国际上得到充分重视,法律监管也在不损害数据主体权利的前提下呈现出便利数据跨境流动的趋势。
中国的数据安全与个人信息保护尚处于起步探索期,从实践经验上与欧盟仍有一定差距,但基于数据跨境流动监管中普遍存在对接收地保护水平的评估要求,这提示我们在数据跨境监管的立法和实践中不能局限于对特定地区或法域的关注。鉴于中国与欧盟国家的经贸地位,双方数据监管规则的制定势必会是合作与竞争并存的博弈结果。如何在维护我国数据主权的同时顺应促进数据跨境流动的国际趋势,需要我国数据跨境监管体系在实践中不断探索完善。
结语
从2023年9月28日国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》到2024年3月22日《促进和规范数据跨境流动规定》正式出台,正式《规定》标题中“规范”和“促进”的语序调换表明了国家网信部门便利数据跨境流动、减轻数据处理者出境申报负担的基本立场。但即使出境的压力减轻,企业仍然需要按照我国关于个人信息保护、数据出境的相关法律法规,提前做到合法合规,以便更好地应对日常监管和后续可能发生的出境场景。
参考文献
1. 张新宝:《专家解读|促进和规范数据跨境流动的重要规定》,载国家网信网2024年3月22日https://www.cac.gov.cn/2024-03/22/c_1712776625820516.htm。
2.《29条数据出境申报成功案例》,载中国大数据产业观察网2023年12月15日,http://www.cbdio.com/BigData/2023-12/15/content_6175930.htm。
3.《全国首张“个人信息保护认证”证书正式发出》,载中国工信新闻网2023年12月25日https://www.cnii.com.cn/rmydb/202312/t20231225_532719.html。
4. 网络安全审查认证和市场监管大数据中心网页,https://www.isccc.gov.cn/zxyw/sjaq/grxxbhrz/index.shtml。
5.《<促进和规范数据跨境流动规定>答记者问》,载中国网信网2024年3月22日,https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm。
6. 夏菡:《欧盟数据跨境流动监管立法的市场规则转向及对中国的启示》,载《河北法学》2023年第8期,第169-182页。
7. 叶开儒:《数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察》,载《法学评论》2020年第1期。
8. 金晶:《欧盟的规则,全球的标准?——数据跨境流动监管的“逐顶竞争”》,载《中外法学》 2023年第1期。
9. C-362/14 Schrems [2015].
10. C-311/18 SchremsⅡ[2020].
11. 杨帆:《后“Schrems Ⅱ案”时期欧盟数据跨境流动法律监管的演进及我国的因应》,载《环球法律评论》2022年第1期。
