点击上方“中国上海自贸试验区”可订阅!
“中国上海自贸试验区”是上海自贸区管理委员会唯一认证的官方公众号,在这里,您可以得到最权威、最全面、最及时的上海自贸区各类信息,添加关注获得更多资讯。 《中华人民共和国个人信息保护法》第三十八条规定了个人信息出境的三个路径:通过国家网信办的安全评估;经过全国信息安全标准化技术委员会秘书处进行安全认证;根据国家网信办《个人信息出境标准合同办法》制定标准合同。目前,国家网信部门发布的《数据出境安全评估办法》《个人信息出境标准合同办法》分别细化了第三十八条中的安全评估和标准合同。虽然国家网信部门还未制定关于个人信息保护认证的管理办法,但和国家市场监管总局联合发布了《个人信息保护认证实施规则》,将个人信息跨境处理活动纳入认证制度之中。 目前,个人信息出境安全评估是企业向境外提供个人信息的主要合规路径,即出境安全评估适用于多数场景,具体包括:数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。只有在不满足上述三个场景的情况下,企业才能通过签订标准合同的方式开展数据出境活动。在个人信息保护认证和数据安全评估方面,自2017年起,我国陆续开始制定《数据出境安全评估办法》《个人信息出境标准合同办法》。此前,国家网信部门并未通过法律文件明确个人信息保护认证所适用的个人信息出境活动或场景,因此,企业对开展认证积极性不高。 数据运用是数字经济发展的关键,数据跨境流动是数字贸易的支柱,也是国际贸易协定和国际投资协定中关注的焦点。但数据跨境流动必然引发国家数据安全和个人隐私保护的矛盾和担忧。如何平衡数据安全与经济发展,是制定数据治理和跨境流动规则必须考量的重要因素。自2022年以来,我国陆续出台了有关数据跨境流动的法律法规和规范指南,初步搭建了以“安全评估、标准合同、个人信息保护认证和其他”为主要机制的数据出境监管制度。但强化数据安全的同时,也会对经济和贸易产生一定影响,如何在保障数据安全的前提下,充分发挥数据作为经济和贸易发展核心资产的作用,备受关注。笔者认为,在此背景下,可以依托自贸试验区探索数据跨境流动规则。 依托自贸试验区先行先试进行制度创新 制度创新是建设自贸试验区的重要使命之一。目前,我国自贸试验区建设过程中,部分自贸试验区已陆续在其总体方案中对数据跨境流动作了制度性安排。2023年11月1日,中国第22个自贸试验区——中国(新疆)自由贸易试验区挂牌成立。至此,我国自由贸易试验区达到22个,形成了覆盖东西南北中,统筹沿海、内陆、沿边的全方位格局。 2020年8月,商务部提出在北京、上海、海南等条件相对较好的自贸试验区(港)开展数据跨境传输安全管理试点。事实上,由于我国一些自贸试验区(港)已拥有较完善的产业生态和市场应用基础,企业有着较迫切和多元化的数据出境需求。2023年8月,国务院印发的《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》指出,支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。其中,“试点探索形成可自由流动的一般数据清单”的实质,即是制定数据跨境负面清单。因此,根据《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》的规定,加之各地自贸试验区客观的发展阶段及定位的差异性,国家网信部门可以授权特定自贸试验区自行制定本区域的数据跨境负面清单,其他部门自贸试验区适用统一的数据跨境负面清单,这种立法方式可能兼顾到特定自贸试验区的特色诉求及其他大部分自贸试验区的立法、执法的统一性。2019年7月发布的《中国(上海)自由贸易试验区临港新片区总体方案》指出,临港新片区实施国际互联网数据跨境安全有序流动。建设完备的国际通信设施,提升新片区内宽带接入能力、网络服务质量和应用水平,构建安全便利的国际互联网数据专用通道,试点开展数据跨境流动的安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制,主动参与引领全球数字经济交流合作。2020年9月发布的《中国(北京)自由贸易试验区总体方案》要求,北京自贸试验区加强跨境数据保护规制合作,探索制定信息技术安全、数据隐私保护、跨境数据流动等重点领域规则,探索构建安全便利的国际互联网数据专用通道。《中国(北京)自由贸易试验区条例》第五章“数字经济发展”规定,在自贸试验区探索制定信息技术安全、数据隐私保护、跨境数据流动管理等重点领域规则,建立市场主体数据保护能力的第三方认证机制,健全安全评估,完善监测管理,分级分类推动数据安全有序流动。各自贸试验区总体方案围绕数据跨境流动的便利性、安全有序性及参与国际规则建设、建立国际互联网数据专用通道等方面作了安排,为自贸试验区数据跨境方面的制度创新、功能创新指明了方向,但在实操和落地上还缺乏突破口,亟须进行制度型开放体系创新探索。 2023年9月,国家互联网信息办公室发布的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》),很好地回应了数据出境实操层面市场主体的关切点,完善了数据出境的原有规则,建立了一些更市场化、便利化的数据跨境流动新机制;明确适用范围是“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境”。这将简化数据出境相关行政审批程序,降低企业合规成本和经营负担,赋予了企业更多自主判断空间。 数据跨境流动迎来自贸试验区负面清单模式 提出数据跨境自贸试验区负面清单模式。《征求意见稿》第七条规定:“自由贸易试验区可自行制定本自贸试验区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。”该规定鼓励自贸试验区制度创新,授权自贸试验区可自行制定本自贸试验区的数据出境监管负面清单。在履行程序上,各自贸试验区负面清单报省级网络安全和信息化委员会批准后,报国家网信部门备案,简化了履行程序。这有利于负面清单之外的数据出境流动。 加大自贸试验区创新力度。可以授权省一级自贸试验区开展数据跨境流动试点工作。国家网信部门可以依据个人信息保护法第三十八条规定的“国家网信部门规定的其他条件”,授权各自贸试验区分别制定清单,为各自贸试验区预留了足够的创新和改革空间。 采取负面清单制度。此前,自贸试验区探索数据出境创新监管已有先例。例如,《中国(上海)自由贸易试验区临港新片区条例》第三十三条规定,按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动。《关于深圳建设中国特色社会主义先行示范区放宽市场准入若干特别措施的意见》提出,在国家及行业数据跨境传输安全管理制度框架下,开展数据跨境传输(出境)安全管理试点,建立数据安全保护能力评估认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制。《征求意见稿》在数据跨境传输的监管领域创新负面清单制度。作为对比,白名单是对特定出境场景或特定数量以下的出境行为进行豁免,而“负面清单”则是仅保留对少量数据的监管,而放宽对其他数据出境的要求。换言之,允许自贸试验区设定“负面清单”实际上是允许自贸试验区探索更为宽松的监管政策。之所以由自贸试验区探索该负面清单制度,不仅因为自贸试验区在我国经济发展中的定位,也是基于自贸试验区行业发展情况的实际考量。面对自贸试验区企业较迫切和多元的数据出境需求,自贸试验区可以在兼顾安全基础上,促进数据的跨境流通。 此外,自贸试验区进行制度创新,也将推进国家层级相关监管制度的落地实施,同时提升现有法律法规的可操作性和可执行性。此次数据跨境新规明确制定数据跨境自贸试验区负面清单,清单外的数据可以自由跨境流动,为自贸试验区数据跨境流动的便利性、安全有序性提供了方向指引,也是自贸试验区制度创新体系的重要成果之一。