Loading
2023-04-06 14:32:00
2020年3月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,文中将数据定义为一种新型生产要素,与土地、劳动力、资本、技术要素并列。2022年12月,《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出建立合规高效、场内外结合的数据要素流通和交易制度,其中,构建数据安全合规有序跨境流通机制作为关键一环。
当下数字经济时代,数据要素的地位日益显著,全球化的必然趋势使得数据跨境需求日益强烈,伴随着我国逐步完善的跨境数据监管体系,企业对数据跨境的合规要求亟需予以重视,笔者围绕现行数据跨境合规要求作为重点议题,现推出系列文章之一:数据跨境合规体系概述。
《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》是我国数据领域的“三驾马车”,共同构建了我国数据合规法律体系框架。目前针对数据跨境,虽然《中华人民共和国网络安全法》、《中华人民共和国数据安全法》有部分提及,但我国关于数据跨境合规体系主要展开于《中华人民共和国个人信息保护法》。
除了数据“三法”之外,我国仍在陆续颁布相关规定,为数据跨境合规体系的落地添砖加瓦,诸法共同构建了数据跨境的三大核心合规路径,即数据出境安全评估、个人信息保护认证和个人信息出境标准合同。具体分析如下:
一
数据“三法”关于数据跨境合规路径之规定
——从关键信息基础设施的运营者到
个人信息处理者
1
《网络安全法》的数据跨境合规路径
—— 针对关键信息基础设施的运营者
相关法条
《网络安全法》第三十七条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
《网络安全法》第六十六条:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
综上,关于数据跨境,2017年6月施行的《网络安全法》仅对关键信息基础设施的运营者提出合规要求,即关键信息基础设施的运营者向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据时,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
《网络安全法》并未将该“安全评估”的要求扩张至该法适用范围内的其他“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理”的网络运营者。《网络安全法》第三十一条规定:“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。”由此可见,除关键信息基础设施的运营者外,《网络安全法》对于其余网络运营者止于鼓励,并未规定强制的规范以约束。
至于何为关键信息基础设施的运营者,《网络安全法》第三十一条规定,关键信息基础设施的具体范围和安全保护办法由国务院制定。国务院于2021年9月施行的《关键信息基础设施安全保护条例》第二条规定:“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
2
《数据安全法》的数据跨境合规路径
——依托《网络安全法》,监管力度更严
相关法条
《数据安全法》第十一条:“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。”
《数据安全法》第三十一条:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
《数据安全法》第三十六条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
《数据安全法》第四十六条:“违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”
综上,关于数据跨境,因《网络安全法》已有部分规定,2021年9月1日施行的《数据安全法》除了多出“促进数据跨境安全、自由流动”的原则性规定及“向外国司法或者执法机构提供数据”需经主管机关批准的限制性规定外,便是在第三十一条直接规定关键信息基础设施的运营者的数据出境适用《网络安全法》的规定,其合规范围和要求较《网络安全法》实质上皆未有额外的特殊规定。
其次须注意的是,《数据安全法》对于违反数据出境要求的关键信息基础设施的运营者的惩治力度规定严于《网络安全法》,最高可达一千万元。
3
《个人信息保护法》的数据跨境合规路径
——初步建立围绕个人信息保护的
数据跨境合规路径
相关法条
《个人信息保护法》第三十六条:“国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。”
《个人信息保护法》第三十八条:“个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”
《个人信息保护法》第四十条:“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”
《个人信息保护法》第四十一条:“中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。”
《个人信息保护法》第五十五条:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。”
综上,关于数据跨境,2021年11月1日施行的《个人信息保护法》对不同个人信息处理主体初步铺设了体系化的合规制度,结合《网络安全法》、《数据安全法》的已有规定,参考《个人信息保护法》第三十八条的核心规定,笔者将数据“三法”关于数据跨境的合规要求汇总如下:
关于数据跨境,数据“三法”已经初步启动如上表所述的合规体系,但除了数据出境安全评估、个人信息保护认证、个人信息出境标准合同外,尚存在主管机关批准、个人信息保护影响评估及其他条件的数据处理者需要满足的合规要求。
“其他条件”是为兜底条款,自不必言;“主管机关批准”适用于向外国司法或者执法机构提供个人信息和数据,实务中适用情形极少。至于“个人信息保护影响评估”,其不属于《个人信息保护法》第三十八条规定的条件之一,既然如此,个人信息保护影响评估又需要用于何处呢?应该如何评价其性质?为何目前中普遍认为数据跨境存在三大合规路径,而不包括个人信息保护影响评估?在“(二)数据跨境合规路径之落地——三大合规路径的逐步建成”的“2.数据跨境合规路径落地的现有规定——初见雏形”,我们将以论述。
二
数据跨境合规路径之落地
——三大合规路径的逐步建成
随着数据跨境合规路径的初步确立,我国也逐步颁布相关办法及指南等有关规定,以推动数据跨境制度的落地实施。
1
数据跨境合规路径落地的重要统筹部门
——国家网信部门
相关法条
《网络安全法》第八条规定:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。”
《数据安全法》第六条规定:“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”
《个人信息保护法》第六十条规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。”
根据上述规定,结合《个人信息保护法》第三十八条规定,国家网信部门频繁出镜,被数据“三法”授权为负责统筹协调网络数据安全、个人信息保护工作和相关监管工作的部门,并具体负责制定数据出境合规途径的适用规定。
在国家层面,网信管理的最高部门是中共中央网络安全和信息化委员会办公室和中华人民共和国国家互联网信息办公室,两者分别简称“中央网信办”和“国家网信办”。中央网信办成立于2018年3月,其前身是成立于2014年2月28日的中央网络安全和信息化领导小组。国家网信办是2011年5月经国务院批准设立的互联网信息监管机构,挂靠于国务院新闻办公室。根据《国务院关于机构设置的通知(2018)》规定,国家网信办与中央网信办是一个机构两块牌子,列入中共中央直属机构序列。
综上所述,在数据跨境合规路径的制度落地过程中,国家网信部门将持续扮演重要的角色。
2
数据跨境合规路径落地的现有规定
——初见雏形
目前,针对数据跨境的三大合规路径,我国主要颁布了如下规定:
是故,个人信息保护影响评估实际上是属于个人信息保护认证及个人信息出境标准合同两项合规要求项下的一个的前置的条件,并不能与该二者并列。
综上所述,随着我国关于数据跨境的具体制度文件陆续颁布,我国已初步建成关于数据跨境的三大核心合规路径:数据出境安全评估;个人信息保护认证;个人信息出境标准合同。