在数据要素市场化配置的国家战略导向下,数据安全高效出境顺势成为立法工作的重要内容。《网络安全法》《数据安全法》《个人信息保护法》建构起全方位的数据安全和个人信息保障体系,但是数据安全不等于限制数据流动,而是为了促成数据更高效的流动。在此背景下,我国出台了《数据出境安全评估办法》,解决了涉及大量个人信息、重要数据的出境安全问题。但是,数据出境立法进程并没有就此止步。为了满足企业数据出境的业务需求以及迎合不同规模数据出境的行业特征,国家互联网信息办公室又出台了《个人信息出境标准合同办法》(下简称《办法》)。这不仅意味着我国数据出境立法的体系化工作取得巨大成就,也意味着我国个人信息出境就此步入“标准化”法治时代。
一、数据安全监管理念升级,合规出境渠道多元化
数字经济的创新发展离不开数据资源的供给与流动,为了进一步解放数据资源在数字市场中的生产要素功能,填补数据合规出境的单一性,国家互联网信息办公室一针见血地点出行业痛点,以标准化合同的制度模式为企业数据出境提供了另一种可能性。与过去强监管模式相比,《办法》体现了我国监管机构在长期的数据安全监管实践活动中所探索出的新型监管理念和监管模式,即将行政监管与企业自主合规相结合。
(一)定底线,留磋商。《办法》看似对企业个人信息出境合同作出了种种限制,甚至还列明了《个人信息出境标准合同》,但这种表现的背后却体现了我国的监管智慧:在私法层面,合同的生命在于意思自治和自主磋商,《办法》并没有事无巨细地限定企业应当怎么订立合同,而是以示范性的标准合同的形式指引企业应当如何完成的个人信息保障义务。《办法》第6条规定标准合同应当按照《办法》附件订立,但同时也允许在与附件内容不冲突的情况下约定其他条款。
(二)填空白,多渠道。《数据出境安全评估办法》的出台解决了大规模个人信息、重要数据的安全出境问题,但是对于出境数据规模不大、不属于关键信息基础设施运营者的其他企业而言,采取同样的数据出境模式又未免存在合规成本过高等问题。《办法》第4条则明确了标准合同机制适用应当同时符合以下情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。该条直接说明了《办法》对数据出境安全评估机制适用范围的填补,企业在出境部分个人信息时,可选择的合规模式更加多元。
(三)重备案,强保密。《办法》第3条明确提及了适用原则包括“自主缔约与备案管理相结合”“保护权益与防范风险相结合”等。一方面,这里的“备案”不同于数据安全评估机制所要求的实质性审查,而是强调监管机构仅对提交材料进行形式审查,至于备案材料的真实性则由企业自行负责。另一方面,这里的“防范风险”除了强调个人信息处理者需要控制个人信息出境的安全风险,还强调了备案机构及其工作人员同样对备案材料负有保密义务,个人信息处理者不必担心主动备案出境合同可能会导致商业秘密等泄露,更不用担心因泄露而导致潜在的商业机会丧失。
二、数据出境立法呈体系化趋向,条款内容“承上启下”
时至今日,我国数据安全立法经历了从无到有、从有到优的发展历程,随着《网络安全法》《数据安全法》《个人信息保护法》相继颁布,我国的数据立法工作呈现纵深化、专题化和领域化的发展趋势。在数据安全出境领域,前三部法律明确了数据出境的基本原则和基本制度架构,而此次的《办法》和《数据出境安全评估办法》等则构成了数据安全出境体系的具体内容,并且除了适用范围具有相互填补衔接的特点之外,在立法目标和具体条款上同样实现了监管标准的统一化和体系化。
(一)数据出境需进行个人信息保护影响评估。《个人信息保护法》第55条和第56条规定了“向境外提供个人信息”时应当事前进行个人信息保护影响评估,并明确了评估事项主要包括处理目的、处理方式、个人权益影响及安全风险、风险匹配度等。而《办法》第5条则将个人信息保护影响评估事项进一步细化,专门针对个人信息出境之后的潜在风险点作出了一体性评估要求,包括但不限于境外接收方能否履行承诺的个人信息保护法义务、出境后是否存在非法利用、泄露等风险、境外接收方所在国家或地区的相关立法能否保障标准合同的履行。