数据跨境流动在当今数字经济中扮演重要角色,各国都将其监管上升到数据主权的高度,我国对此也高度重视,通过《网络安全法》《个人信息保护法》《数据安全法》对重要数据、个人信息的跨境流动建立起符合我国实际和国际大环境的基本监管制度。根据上述法律规定,国家互联网信息办公室制定《数据出境安全评估办法》(下称《办法》),明确了数据出境安全评估的目的、原则、范围、程序和监督机制等具体规定,对保护我国国家安全、公共利益、个人合法利益和促进数字经济发展具有重要的里程碑意义。
一、坚决贯彻习近平法治思想,依法监管数据向境外流动
习近平总书记提出要坚持建设中国特色社会主义法治体系,积极推进国家安全、涉外法治等重要领域立法;同时要坚持统筹推进国内法治和涉外法治,要加快涉外法治工作战略布局,协调推进国内治理和国际治理,更好维护国家主权、安全、发展利益,要推动全球治理体系变革,推动构建人类命运共同体。
近年来,我国加快完善数据出境安全管理制度,2016年11月通过的《网络安全法》,其中第37条规定了对关键信息基础设施运营者的重要数据和个人信息需进行安全评估,但其他主体的重要数据和个人信息出境并未加以明确。2021年6月通过的《数据安全法》,其中第31条在重申关键信息基础设施运营者的重要数据出境的安全评估要求之外,还进一步规定“其他数据处理者”的重要数据出境也需进行安全评估。2021年8月通过的《个人信息保护法》,其中第38条第1款第1项和第40条,在重申关键信息基础设施运营者的个人信息出境安全评估要求之外,还进一步规定“达到国家网信部门规定数量的个人信息处理者”的个人信息出境也需进行安全评估。由此,上述三大立法全面建立起数据出境的基础性制度——安全评估制度。
目前,欧美都高度关注数据出境的监管。其中,欧盟GDPR对个人数据出境的监管已经相对成型,包括了充分性认定、集团有效规则、标准合同条款、认证等机制,每一个机制都有配套的实施细则。在非个人数据向外流动监管上,欧盟《非个人数据自由流动条例》对内要求成员国之间自由流动,但向境外流动方面则正拟通过《数据治理法》和《数据市场法》加以明确。美国则通过《外国投资风险审查现代化法》《出口管制条例》《受控非密信息行政令》等法律法规限制数据向外流动。
因此,为贯彻习近平法治思想,国家互联网信息办公室根据我国上述三部法律规定,统筹数据出境监管的国内法治和涉及境外接收方数据处理要求的涉外法治,制定了本《办法》,有力维护国家在数据领域的主权、安全和发展利益。
二、合理设计数据出境安全评估规则,做到监管有度
数据跨境流动在数字时代是一种常态,但由于跨境流动的数据在规模、范围、种类等方面容易给国家安全、公共利益和个人权益带来风险,因此各国对数据跨境流动的监管也会成为一种常态。《办法》明确数据出境安全评估的目的、原则、门槛、程序、评估决定的有效期、出境的终止和重新申报评估等内容,体现出监管有度、规则合理透明。
(一)数据出境安全评估的目的应区分重要数据和个人信息两类数据的出境安全评估的目的。《办法》第1条规定数据出境安全评估的目的在于“保护个人信息权益,维护国家安全和社会公共利益”,但并不意味着重要数据和个人信息的出境安全评估的目的是完全一致的,相反二者评估目的是由其上位法决定的。其中,重要数据出境监管制度由《网络安全法》和《数据安全法》加以明确,其核心目的是维护网络空间主权和国家安全、社会公共利益。相比之下,《个人信息保护法》(第1条)明确个人信息出境监管的目的是保护个人信息权益。因此,作为授权立法,《办法》第1条是从统筹重要数据和个人信息出境监管的角度作出规定。
(二)适用安全评估的范围最大程度凝聚了各方共识。《办法》第4条规定数据处理者在四种情形下向境外提供重要数据或者个人信息,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。其中,按照现有立法要求,所有主体的重要数据出境都要申报安全评估。个人信息出境进行安全评估的门槛主要在于执行《个人信息保护法》第40条的规定,明确累计向境外提供个人信息的特定规模设定为年度累计,充分反映了相关主体有关科学设定个人信息出境安全评估范围的诉求,便利其通过认证、标准合同等机制开展个人信息出境。