·“主管部门对数据跨境流动的整体监管逻辑已经有了重大转变,并为各相关主体划出了更为清晰的数据出境路径。”
·“明确无需申报安全评估的情形是本次征求意见稿的重大突破,大大降低了相关主体在数据出境时的合规成本,加快了我国数据出境的效率。”
国家互联网信息办公室9月28日发布消息,为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,该办起草了《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”),向社会公开征求意见。
上海数据交易所研究院研究员林梓瀚对澎湃科技(www.thepaper.cn)表示,主管部门对数据跨境流动的整体监管逻辑已经有了重大转变,并为各相关主体划出了更清晰的数据出境路径。
随着全球数据跨境流动的日益频繁,全球主要经济体都在进行数据跨境流动生态圈的构建,如日本的“可信赖的数据自由流动倡议”、英美的“数据桥”以及欧美之间的《数据隐私框架协议》。林梓瀚认为,本次征求意见稿所体现的转变是及时和必要的。
在该征求意见稿发布后,香港科技股29日上扬。在后市交易中,阿里健康(0241.HK)大涨12%,京东健康(6618.HK)上涨9.0%。恒生科技指数上涨4.3%。
具体而言,林梓瀚认为本次征求意见稿重点涉及了三个方面:
一是明确无需申报数据出境安全评估的情形。征求意见稿明确,在国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的且不包含个人信息或者重要数据的数据出境、非境内收集的个人信息以及跨境购物、跨境汇款、机票酒店预订、签证办理、人力资源管理需要涉及个人信息出境等不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
林梓瀚认为,明确无需申报安全评估的情形是本次征求意见稿的重大突破,大大降低了相关主体在数据出境时的合规成本,加快了我国数据出境的效率。
二是重申需申报数据出境安全评估的场景。征求意见稿第六条强调向境外提供100万人以上个人信息的,还是需要申报数据出境安全评估。至于国家机关以及关键信息基础设施运营者这些主体向境外提供个人信息和重要数据,以及涉及党政军和涉密单位敏感信息、敏感个人信息、重要数据出境的,征求意见稿第八条、第九条提出依照现行规定执行。
“这意味着,对于这些关键主体进行数据出境以及这类敏感数据的出境,若触发《网络安全审查办法》《数据出境安全评估办法》的规定,仍然需要进行网络安全审查或申报数据出境安全评估。”林梓瀚说。
三是赋予自由贸易区制定“负面清单”的权利。征求意见稿第七条规定自由贸易试验区可自行制定本自贸区数据出境的负面清单,而负面清单所包含的内容是主管部门规定需以既定路径出境的数据。对于负面清单外的数据,征求意见稿强调了可以自由出境,此举促进了自贸区内数据跨境流动的便捷性,强化了自贸区在数据跨境流动领域的集聚力。
在林梓瀚看来,本次征求意见稿赋予自贸区制定“负面清单”的权利,将有利于继续发挥自贸区带头示范的作用,进一步推动自贸区的高水平开放与制度创新。
林梓瀚还表示,2022年12月国家出台“数据二十条”(《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》)。针对数据跨境流动的探索,“数据二十条”明确了优先在跨境电商、跨境支付、供应链管理、服务外包等典型应用场景进行先行先试,本次征求意见稿对“数据二十条”的相关要求进行了落实。未来,基于这些典型应用场景将产生大量新的经济增长点与发展方向,并对其他应用场景产生正向的溢出效应,将成为我国国际数字贸易发展的新引擎。
同时,林梓瀚解读道,“数据二十条”提出要积极参与国际数字规则和数字技术标准制定,随着我国开启CPTPP(跨太平洋伙伴全面进步协定)、DEPA(数字经济合作伙伴协议)等的谈判,征求意见稿的相关措施有利于我国与DEPA等国际数字经贸协定的对接,推动我国对国际数字规则制定的参与。
此前,继2016年《网络安全法》实施后,2021年,国家陆续出台《个人信息保护法》《数据安全法》等法律,共同构建起中国数据出境安全保护的顶层法律体系。而为了进一步保障数据出境安全,在顶层法律体系的基础上,国家细化数据安全出境操作路径,不仅出台《网络安全审查办法》《数据出境安全评估办法》《个人信息出境标准合同管理办法》等部门规章,还针对数据出境制定了相应的国家标准。
“本次规定的出台与此前发布的法律法规构成我国数据出境更加完善的规则体系,在厘清数据安全红线的前提上,踩下了数据出境的‘油门’。” 林梓瀚说。
据悉,目前上海数据交易所已经正式开设运营国际板,建设国际化数据交易平台,探索构建便捷、高效、安全的全球数据跨境流动体系,旨在积极赋能我国国际数字贸易的发展,为我国进行国际数字贸易规则对接与制定贡献探索实践经验。
附:《规范和促进数据跨境流动规定(征求意见稿)》(全文):
为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
一、国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
二、未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
三、不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
四、符合以下情形之一的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同所必需,如跨境购物、跨境汇款、机票酒店预订、签证办理等,必须向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理,必须向境外提供内部员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全等,必须向境外提供个人信息的。
五、预计一年内向境外提供不满1万人个人信息的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
六、预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估。但是,基于个人同意向境外提供个人信息的,应当取得个人信息主体同意。
七、自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
八、国家机关和关键信息基础设施运营者向境外提供个人信息和重要数据的,依照有关法律、行政法规、部门规章规定执行。
向境外提供涉及党政军和涉密单位敏感信息、敏感个人信息的,依照有关法律、行政法规、部门规章规定执行。
九、数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
十、各地方网信部门应当加强对数据处理者数据出境活动的指导监督,强化事前事中事后监管,发现数据出境活动存在较大风险或者发生安全事件的,要求数据处理者进行整改消除隐患;对拒不改正或者导致严重后果的,依法责令其停止数据出境活动,保障数据安全。
十一、《数据出境安全评估办法》、《个人信息出境标准合同办法》等相关规定与本规定不一致的,按照本规定执行。
