原标题:完善数据跨境流动法律规制
高钰
2020年4月9日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》发布。《意见》将数据作为与土地、劳动力、资本、技术并列的生产要素,提出要加快培育数据要素市场,充分挖掘数据要素价值。“十四五”规划指出,要发展数字经济,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推进数字产业化。
数据跨境流动规制存在的问题
国际数据公司2019年测算显示,到2025年,中国拥有的数据量在全球的占比将提升到27.8%,成为全球首位。数据资源的开发利用将直接影响国家数据安全、数字产业发展和个人数据权利保护。为充分释放数据要素性价值,我建议,国家应采取措施保障数据跨境流动安全有序发展,完善数据跨境流动法律规制。我在调研中发现,目前数据跨境流动规制存在一些问题。
首先,缺乏数据出境安全评估具体规则。国家网信办曾于2017年就个人信息和重要数据出境安全评估办法征求意见,后又于2019年就个人信息出境安全评估发布征求意见稿,但现在前述文件仍未正式颁行,数据出境安全评估的具体规则尚未落地。
其次,数据跨境流动监管方式形式单一。网络安全法确立了数据本地化存储与数据出境安全评估相结合的监管方式,但操作性不强,未能结合数据跨境流动的具体场景等进行多层次、差异化监管,将安全评估作为数据出境的必经程序将极大压缩数据流动的空间。
最后,数据跨境流动监管包容性不足。目前数据跨境流动必须经过安全评估,这种监管方法过于强调安全而在一定程度上忽略了数据跨境流动对经济发展的拉动作用,将难以满足企业日益增长的数据跨境流动需要和数字经济、数字产业的发展需要。
健全数据保护法律体系保障信息安全
我认为,国家在继续完善相关法律的同时,还要密切关注国际出现的新情况,应鼓励信息技术专家、科技公司等共同对当前的网络安全环境与数据保护进行研究,探索出一套有特色的程序机制,协调经济社会发展和数据安全。
为有效防范数据跨境流动中的风险,我建议尽快明确数据跨境流动安全评估的具体规则和评估流程,公布评估标准;建议由国家网信部门牵头制定并发布跨境数据传输标准合同文本,通过标准化合同管控数据流动风险。企业进行数据跨境传输选择适用标准合同文本时,可不再进行数据出境安全评估,仅需将标准合同文本与其他相关合同、数据出境安全风险与保障措施分析报告及相关材料向所在地备案。标准合同文本应包括当事人双方应遵守的数据保护规定,要求境内企业在数据管理、存储、流动各环节确保数据安全;要求数据接收方必须确保其合同义务的履行,并采取必要措施防止数据出境后保护力度减弱;数据接收方所在地数据安全监管政策发生重大变化时应负担及时告知义务;要求合同适用我国法律并接受我国法院管辖,以及设定任何一方未合理履行合同义务时的救济和责任条款。
构建多层次的数据跨境流动监管秩序
国家网信部门是数据出境安全评估的统一组织机关和监督机关,不同性质的数据跨境流动可以采取差异化的管控办法。经过初步安全评估,对涉及国家数据安全、个人数据权利保护等不同风险类型的数据出境采取不同的管控措施。对经过脱敏处理、具有较低风险等级的一般数据出境,可采取“轻监管”模式,合理设定数据传输、接收各方的权利义务后,满足数据出境标准和程序便可允许出境。如果数据出境可能影响个体数据权利保护的,除合理设定各方权利义务、满足相应的标准和程序外,还需经原数据主体的单独同意和明确授权,并适当强化监管,深入到企业内部将法律法规和监管要求逐项分解落实到数据跨境流动全过程的各个环节,明确具体责任人并建立问责机制。个人敏感数据出境或重要数据出境,可能会影响国家安全或具有较高风险等级的,应采取“强监管”模式,结合数据出境的具体情境采取适当的安全保障措施,或在必要情况下禁止数据跨境流动。
我认为,应鼓励独立第三方机构适度参与数据出境安全评估,为网信部门和被授权专业机构评估提供辅助性参考。除参与安全评估外,各行业协会、独立第三方机构亦可对本行业内企业的数据安全保护情况展开审查评估,利用市场化机制倒逼企业提升数据治理能力。
增强国际交流与合作
我建议,将数据跨境流动纳入双、多边贸易投资谈判内容,根据域外相关国家和地区的数据保护情况及对等原则建立动态“跨境数据流动白名单”机制,将部分国家和地区根据产业类别纳入可自由接收数据的目的地。企业数据出境目的地在“白名单”范围之内的,可不再经过国家网信部门组织的安全评估,将数据出境相关合同、数据安全风险与保障措施分析报告等材料报送企业所在地网信部门和行业主管部门备案后即可流动。动态制的“白名单”应由网信部门统一组织认证并公布,参考国际通用标准,主要考察目的地国家和地区的法律环境、数据安全保护及风险防范能力等指标,同时结合我国典型的出境商贸企业、跨国公司的数据出境场景与主要目的地。
此外,我建议利用“一带一路”倡议、金砖国家等平台增强跨境数据传输及其配套监管机制的对话交流,增进境外对我国企业和市场的了解互信;通过加入、签订双边或多边条约、协定拓展数据跨境流动范围,以带动数字经济与相关行业持续发展。