打开世界数字经济图景,奔腾流动的跨境数据呈现无穷的生机活力。当前,数据流动正在逐步超过传统的跨国贸易和投资,成为驱动全球经济增长的新动能。
习近平总书记深刻指出,“浩瀚的数据海洋就如同工业社会的石油资源,蕴含着巨大生产力和商机,谁掌握了大数据技术,谁就掌握了发展的资源和主动权”。
今天,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。世界主要国家和地区纷纷加强数据跨境安全管理。
2023年12月,中央经济工作会议指出,对标国际高标准经贸规则,认真解决数据跨境流动等问题。
作为数字经济大国,如何推动数据跨境流动制度体系建设,以更好顺应数字经济高质量发展趋势、更好适应我国更高水平对外开放与安全需要,成为信息时代掌握发展主动权的必答题。
统筹发展与安全,推动中国特色数据跨境流动管理制度体系建设
当前,庞大、复杂的经济活动产生了海量、多样和即时的数据。作为一种新型的生产要素,数据已经成为数字时代的基础性资源和战略性资源。
据麦肯锡研究报告,预计到2025年,数据跨境流动对全球GDP的贡献价值将达到11万亿美元。
作为连接全球数字经济的纽带,数据跨境流动虽然为全球化带来了新动能,但也给国家安全、数据主权、隐私保护等带来诸多挑战。加强数据跨境安全管理刻不容缓。
越来越多的国家和地区制定了相应的数据跨境管理规则。据统计,截至2023年5月,已有70多个国家和地区对数据跨境流动有所规制,超过180个区域贸易协定中增设了包括数据跨境流动在内的数字贸易规则专门章节或专门条款。
美国从EO 13556号行政令到《外国投资风险审查现代化法案》《出口管制条例》等,推进有利于自身的数据跨境流动规则,在倡导数据自由流动的同时,也对关键基础设施、金融、税收、人工智能关键技术等关键领域数据出境施加限制措施。
欧盟《通用数据保护条例》(GDPR)对欧盟境内个人数据向欧盟境外传输有着严格的管控,但也提供多种途径实现个人数据的跨境传输:为涉及个人数据出境业务的企业或机构提供了数据保护充分性认定、约束性公司规则和标准合同条款等。
此外,印度、巴西等国家参照欧盟GDPR建立了要求较为严格的数据跨境传输规定,俄罗斯将数据本地化作为跨境传输的前提。
“在整体思路上,我国与其他国家有益做法一样,均希望确保数据能够在安全前提下实现有序自由流动。”北京师范大学法学院博士生导师吴沈括表示。
我国主要制度在设计时详细参考和借鉴既有国际实践,有利于促进全球数据安全保护标准的协调性和一致性,推动中国在数字经济领域的国际合作和交流。
谋篇布局,立柱架梁。
当前,我国已成为数字贸易大国和数据资源大国,拥有超大规模市场、海量数据资源和丰富的应用场景等优势。积极探索数据跨境流动机制,更好促进数据依法有序自由流动,激发数据要素价值,成为一项紧迫课题。
在2018年全国网络安全和信息化工作会议上,习近平总书记强调,要加强数据安全管理,加大个人信息保护力度,规范互联网企业和机构对个人信息的采集使用,特别是做好数据跨境流动的安全评估和监管。
2022年6月22日,习近平总书记主持召开中央全面深化改革委员会第二十六次会议时强调,“要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济”。
作为我国网络安全领域的首部基础性法律,《中华人民共和国网络安全法》首次规定了数据出境的安全评估制度,为跨境数据安全流动与数据监管起到了奠基性作用。2021年,我国陆续出台《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),形成了数据分类分级管理的设计框架,为开展数据跨境流动管理提供了法律依据。
2022年7月7日,《数据出境安全评估办法》(以下简称《评估办法》)发布,明确了需要进行出境安全评估的三类场景:第一类是重要数据出境;第二类是关键信息基础设施运营者收集和产生的个人信息出境;第三类是达到一定条件的非关键信息基础设施运营者收集和产生的个人信息出境。
《评估办法》坚持安全和发展并重,对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章,标志着我国数据治理法治实践走出关键一步。
随着数字经济的蓬勃发展,个人信息出境需求快速增长,个人信息权益保护面临较大挑战。
2023年2月,国家网信办公布《个人信息出境标准合同办法》(以下简称《标准合同办法》),对“标准合同”途径下的个人信息出境要求作了详细规定,明确了个人信息出境标准合同的适用范围、订立条件和备案要求,其“附件”还列出了标准合同的基本条款,将法律规范转化为合同规则。
《标准合同办法》与《评估办法》互为补充、互相衔接,为“非关键、小规模”的个人信息出境提供了详细规范,为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本,进一步完善了个人信息出境管理制度。
“当下,高效且安全的跨境数据传输制度已成为推动数字贸易新秩序的基础。”中国国际贸易促进委员会发展研究部副部长卢宁认为,“如何平衡数据安全与经济发展,是制定数据治理和跨境流动规则必须考量的重要因素”。
法随时而变。形势在发展,事物在变化,法律法规必须与时俱进。
结合数据出境安全管理工作实际,国家网信办于2024年3月公布《促进和规范数据跨境流动规定》(以下简称《规定》)。
中国人民大学网络信息法中心主任张新宝介绍,《规定》有以下主要内容:一是符合规定情形的重要数据出境需要经过安全评估;二是不包含个人信息或者重要数据的出境,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;三是部分个人信息出境,如为订立、履行个人作为一方当事人的合同确需向境外提供个人信息等情形,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证;四是给予自由贸易试验区更大授权,设立自由贸易试验区负面清单制度;五是细化数据出境安全评估和个人信息出境标准合同及认证制度。
“立足发展与安全,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,这是《规定》最突出的特点之一。”吴沈括表示。
比如,针对跨境购物、跨境汇款、机票酒店预订、签证办理等常见业务活动,只要是为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息的,那么个人信息处理者无需申报相关数据跨境传输监管。
“安全”与“发展”始终贯穿在我国数据出境安全管理制度建设中。
目前,我国已形成数据分类分级管理的顶层设计框架,以及数据出境安全评估、个人信息出境标准合同和个人信息保护认证三个维度的具体落实办法,数据跨境流动管理制度的具体实施路径予以进一步明确,基本构建起中国特色的数据跨境流动管理体系。
这背后,是以法治方式营造良好营商环境,促进高质量发展。
“从我们了解的情况看,在华外资企业对《规定》的发布感到振奋,认为《规定》发布恰逢其时,回应了大家对于便利数据跨境流动的期盼,有利于促进企业研发、生产、销售等数据安全有序流动,充分体现了中国政府扩大开放的信心和决心,为企业在华经营带来很大便利。”卢宁说。
中国社会科学院法学研究所网络与信息法研究室副主任周辉指出,《规定》既是优化营商环境、支持外资企业在中国持续深耕发展的有力举措,也是统筹推进深层次改革和高水平开放,持续打造更具竞争力的数字经济的重要制度创新。
加强合规实践,促进数据跨境安全有序自由流动
数据出境,乍一听有点陌生,但其实与每个人的生活息息相关。
通过电商平台全球购入手心仪的化妆品;购买了一辆国外品牌的汽车出现故障需要报修······这些发生在我们身边的小事儿,都在产生数据和数据的跨境流动。
数据跨境流动主要包括两种情形:数据跨境的传输、转移行为;尽管数据尚未跨境,但能够被境外的主体进行访问、处理。
随着我国在数据跨境流动方面的法律法规、政策制度的逐渐完善,各地积极探索数据安全合规社会化服务,切实推动我国数据跨境流动监管制度落地,探索数据跨境安全有序自由流动,助力数字经济高质量发展。
重要数据如何识别?怎样找到数据出境获得个人单独同意的实施路径?由于对相关制度缺乏了解、自身的数据处理还未到位等种种原因,一开始,如何合规申报数据出境对于一些企业而言存在一定的难题。
2023年最后几周,北京自贸试验区(大兴)数据跨境服务中心首席专家、高级工程师张腾都在忙活着这样一件事儿:配合北京网信办打造跨国药企数据出境“绿色通道”,争取在药物警戒、药物临床试验方面取得数据合规出境突破。
“为了进一步帮助跨国药企申报数据出境,同时为全球前五的跨国药企打造数据出境的绿色通道,我们用三周左右的时间就完成了药企主要出境场景数据的合法性分析。”张腾介绍。
据了解,该服务中心已服务北京、上海等七省市40多家企业的近百种复杂数据出境业务场景,并在人工智能、跨境清算、征信查询等领域形成全国首例合规出境案例。
从国家网信办发布《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等,到各地加强政策宣讲解读、开发建设数据跨境流动便利化服务平台等,各级政府立足现实需求,及时解疑释惑,指导和帮助数据处理者规范、有序申报数据出境安全评估。
北京网信办成立数据跨境政策创新和企业服务工作专班,动态搜集、及时掌握企业数据出境诉求;上海网信办组织多场宣讲会,为近千家企业提供面对面服务;天津网信办丰富政策宣传渠道,创新运用大模型等新技术新手段推出数据出境政策咨询助手;“粤港澳大湾区数据保护与数据跨境服务平台”上线启动,为企业数据流通的安全性、合规性提供保障······各地着力提升便利化服务水平,帮助企业构建数据跨境安全合规的有效路径。
2023年6月,首都医科大学附属北京友谊医院的临床数据研究平台上,胃肠外科研究团队录入的患者治疗数据经过合规处理后跨越半个地球,传输到荷兰阿姆斯特丹大学医学中心。
这是北京友谊医院与荷兰阿姆斯特丹医学中心共同牵头发起高质量全球结直肠领域研究的第四个研究项目。北京友谊医院肠胃外科主任医师姚宏伟教授介绍:“这个研究项目,需要定期、不定期地将患者治疗数据进行数据跨境传输以便分析。这些数据越准确、完善,我们得出的研究结果在全球范围内就会更适用。”
医疗健康数据流动的必要性和科学意义毋庸置疑,但不能以让渡安全为代价。在筹备阶段,北京友谊医院启动该项目的数据出境审批申报工作。姚宏伟说:“我们数据存储的服务器设在中国,而且在收集个人信息时也会尽量做到最小化,没有必要的数据就尽可能不收集。”
2023年1月,该项目成为全国首个获批数据出境安全评估案例,标志着国家数据出境安全评估制度在北京率先落地。
在国家网信办的指导下,北京网信办遴选出数据出境需求迫切的典型企业,开展国家数据出境安全评估制度试行试用,推动社交媒体、医疗、金融、汽车、民航5大行业重点企业完成数据出境风险自评估工作。
其中,北京德亿信数据有限公司成为全国首家通过订立标准合同实现个人信息合规出境的企业。
“早前,香港特区的金融机构在为在港内地居民提供金融服务时,苦于没有权威、合规的跨境个人信息验证以及个人征信报告验证渠道,导致流程烦琐、客户体验不佳。”北京德亿信监事金麟回忆道。
作为香港特区个人征信机构,香港诺华依托其分支公司北京德亿信数据有限公司,尝试开辟京港两地个人信息及个人征信报告的核验通道。
随着《标准合同办法》的发布,规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。
“《标准合同办法》提供了跨境个人征信领域的关键合规支撑和重要创新沃土,这给了我们很大信心。”金麟说。
在国家网信办、北京网信办的指导和北京国际大数据交易所的技术支持下,北京德亿信数据有限公司作为境内数据处理者,与香港诺华合作,提交双方的个人信息出境标准合同备案,并成功获批。
金麟表示,“《规定》进一步细化和规范了数据出境的流程,为我们企业如何办理数据出境、哪些数据需要办理审批提供了更明确的指引,助力企业更好地参与全球竞争”。
贸易数字化带来了丰富的数据,数据流动又成为推动数字贸易发展的新动能。当下,在我国跨境电商领域,数据流动与贸易发展的双向奔赴正在不断实现。
进入中国制造网的外国网站,各国买家在鼠标轻点间快速浏览、获取国内供应商的相关信息,享受便利的交易体验。在这个过程中,供应商信息的跨境流动就发生了。
作为江苏焦点科技股份有限公司(以下简称“焦点科技”)旗下的外贸电商平台,中国制造网拥有百万级中国供应商和千万级全球采购商会员,年访问量超过22亿人次,确保业务过程中的流动数据安全极为重要。
焦点科技有关负责人介绍:“在申报过程中,我们还明确好数据接收方的权利与数据保护义务,采用独立文件嵌入的方式降低合规整改成本。”
2023年5月,“中国制造网外贸电商平台业务”项目通过国家网信办数据出境安全评估,成为跨境电商领域全国首个数据合规出境案例。
目前,我国已有多家企事业单位通过数据安全评估、个人信息出境标准合同备案和个人信息保护认证审核。截至2024年5月8日,国家网信办收到各省、自治区、直辖市网信办报送的数据出境安全评估申报项目262个,依法受理243个,已完成评估项目234个;各省、自治区、直辖市网信办共备案个人信息出境标准合同760余个。
“三年多来,随着各项规章制度的落地实施,各企业更加重视自身数据生态建设,比如开展数据分类分级和梳理数据资产等相关工作。”吴沈括认为,相关规章制度进一步指导了企业业务发展。
当下,我国主要的数据出境制度——数据出境安全评估、个人信息出境标准合同、个人信息保护认证不断优化完善。国内外企业及组织正依法依规开展数据跨境流动业务合作,推动数据跨境双向有序流动,更好释放数据作为新型生产要素的资源潜能和经济社会价值。
推进高水平对外开放,与世界共享数字发展机遇
开放是当代中国的鲜明标识。
中国不断推进高水平对外开放,激活了中国发展的澎湃春潮,也激活了世界经济的一池春水。
信息时代,网络信息跨国界流动,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富。以数据吸引全球资源要素、深度参与全球产业分工和合作,是扩大高水平对外开放的重要举措。
和平发展、合作共赢是人间正道、大势所趋。
2022年11月4日,习近平总书记在第五届中国国际进口博览会开幕式上发表致辞。习近平总书记强调,开放是人类文明进步的重要动力,是世界繁荣发展的必由之路。
2023年4月24日,习近平总书记向第四届联合国世界数据论坛致贺信:“中国愿同世界各国一道,在全球发展倡议框架下深化国际数据合作,以‘数据之治’助力落实联合国2030年可持续发展议程,携手构建开放共赢的数据领域国际合作格局,促进各国共同发展进步。”
2023年4月28日,中共中央政治局会议指出,要支持有条件的自贸试验区和自由贸易港对接国际高标准经贸规则,开展改革开放先行先试。
建设自由贸易试验区,是我国在新时代推进改革开放的一项战略举措,向世界亮明“中国开放的大门只会越来越大”的鲜明态度。
《规定》针对新技术环境下数据跨境流动的场景特殊性、合规特殊性和监管执法特殊性,创新自由贸易试验区数据跨境负面清单机制,明确免予自由贸易试验区内负面清单外数据出境的事前评估认证义务,进一步凸显了我国坚定不移推进高水平对外开放的决心。
《规定》提出,自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
周辉表示:“这一举措是数字经济新阶段市场化法治化国际化营商环境建设的重要创新,为全球数据流动治理探索、积累和提供中国经验。”
作为中国对外开放新格局的窗口和一系列自主制度创新的试验田,先行先试探索数据跨境流动创新管理成为自由贸易试验区高质量发展的题中应有之义。
2024年5月9日,天津市率先发布《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024年版)》(以下简称《管理清单》)。天津自由贸易试验区管委会相关负责人介绍:“本质上讲,负面清单制度代表着更加开放的管理制度。《管理清单》的制定实施,为有效解决企业数据出境问题、助力培育国际经济合作和竞争新优势提供了制度保障。”
在云遥宇航一楼展厅,超大显示屏连接着天上不同轨道面的卫星,实时记录着卫星各项数据。
作为天津自由贸易试验区机场片区一家专业从事气象卫星载荷研发、气象数据采集、气象应用服务的高新技术企业,云遥宇航希望用中国人自己的卫星数据为全球用户提供定制化气象服务。
