专栏名称: 天翼智库
天翼智库是中国电信研究院战略发展研究所承办的面向公众的智库研究信息发布平台,为您提供最新信息通信行业发展动态、政策观察、产业分析和战略洞察等。
目录
相关文章推荐
江苏教育发布  ·  解码《纲要》⑨ | ... ·  22 小时前  
江苏教育发布  ·  解码《纲要》⑨ | ... ·  22 小时前  
游戏茶馆  ·  网易裁撤《漫威争锋》西雅图开发团队 ·  2 天前  
51好读  ›  专栏  ›  天翼智库

数据要素观察系列之二:我国数据跨境新规的理解及启示

天翼智库  · 公众号  ·  · 2024-05-28 15:27

正文

我国数据出境 i 管理制度在探索中不断发展,在保障国家数据安全及个人信息权益的同时,也存在数据出境安全评估成本高、周期长等问题,不利于数据跨境有序流动及数字经济健康发展。2024年两会上“解决数据跨境流动问题”首次写入政府工作报告,2024年3月国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《新规》)实施,释放了“促进数据依法有序自由流动”的积极信号,数据跨境正式进入了“2.0时代”。本文梳理了数据跨境规则的发展脉络,总结《新规》四大变化并提出相关启示建议。

数据跨境规则发展进程

作为数字经济的重要生产要素,数据是国际贸易活动、科技合作的重要驱动,近年数据跨境流动需求进一步增长。如何在保障国家数据安全前提下,促进国内经济发展、数据跨境流动成为国家制定相关法律法规时面临的关键问题。为保障国家安全与个人信息权益,促进数据开发利用,积极推动数据跨境安全、促进数据依法有序自由流动,我国制定出台了多部相关法律法规,立法进程可分为三阶段。

图1 我国数据跨境法律法规进程

(一)2022年之前:没有专门法律文件,参考数据安全法律为主。 主要以数据安全法律“三驾马车”——《网络安全法》《数据安全法》《个人信息保护法》指导数据跨境的安全评估,奠定了基本框架,但缺乏非重要数据出境需要的具体流程、要求,不利于企业相关业务实践开展。

(二)2022年-2023年9月:出台专门法律文件,限制重要数据跨境流通。 《数据出境安全评估办法》《个人信息出境标准合同办法》《关于实施个人信息保护认证的公告》相继出台,为重要数据、个人信息等出境需求提供多样跨境流动申报途径,我国数据跨境管理制度初步成型。此外,国家互联网信息办公室先后公布《数据出境安全评估申报指南》《个人信息出境标准合同备案指南》等文件,对数据处理者申报数据安全评估、备案个人信息出境标准合同的方式、流程及需提交的材料等具体要求作出说明。各行业监管部门也在相关法律指引下,针对各自领域的敏感数据、重要数据进行跨境流动行为规范。

(三)2023年9月至今:数据跨境流动重要性提高,促进数据依法有序流动。 2023年09月28日网信办发布《规范和促进数据跨境流动规定(征求意见稿)》。2024年两会上,政府工作报告首次提出解决数据跨境流动问题、促进高水平对外开放,多位代表提出尽快制定切实可行的数据跨境实践规则,提案涉及数据跨境监管、重要数据认证等方面。《新规》发布夯实了我国数据依法有序自由流动的制度基础,展现了我国深化对外开放、促进国际合作的积极姿态。

对数据跨境新规的理解

《新规》篇幅精炼、仅14条,收窄数据出境安全评估范围、放宽数据跨境流动条件,在保障国家数据安全评估的基石下,叠加适度的先试先行创新机制,以达到降低企业合规成本,提高我国数字经济对外开放水平的目标。

(一)重要数据出境安全评估申报标准进一步明确

以往企业因其自身业务合规水平有限,难以把握重要数据的识别和认定标准,是否需要进行数据出境安全评估。《新规》第二条,“数据处理者有责任根据相关法规识别并申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。重要数据认定责任交给行业主管和地方部门,使得企业能在官方指导下明确重要数据的范畴,在处理数据出境时采取安全申报程序。这一规定回应了数据处理者对重要数据出境合规成本及相关责任的担忧。

(二)数据跨境豁免范围进一步放宽

无论是否是关键信息基础设施运营者,涉及个人信息,只要符合以下五种情况(数据过境、跨境合同、人力资源管理、紧急保护、非自贸区负面清单)即可自由出境。其中非关键信息基础设施运营者还可在“自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)”情况下自由出境。《新规》消除了各种常规国际事务中对个人信息跨境的阻碍,极大减轻了需要处理大量个人信息的企业的负担。据统计中国大概有超过70万家外企面临典型的数据出境场景 ii ,如跨国公司的人力资源系统及客户信息集中管理等。而截至2023年12月成功通过数据出境申报(国家网信部门的“审批”或“备案”)的企业29家,数据出境申报通过率仅百分之一。《新规》出台后,符合以上五种情况的相关企业数据可自由出境,大大方便了跨国公司人力资源管理工作的开展。

(三)数据出境安全评估有效期进一步延长

《新规》第九条对于数据出境安全评估的有效期限及其延期申请做了详细规定。数据出境安全评估有效期由《数据出境安全评估办法》(国家互联网信息办公室令第11号 )的两年延长至三年,为企业提供更长的时间窗口来规划和实施数据出境策略,从而确保业务的连续性和稳定性。此外,如果企业需要继续开展数据出境活动且在此期间未发生需要重新申报数据出境安全评估的情形,可向国家网信部门提出延长评估结果有效期3年的申请,大大减少重复评估成本,从而提高了企业的运营效率。

(四)自由贸易试验区创新数据出境制度

《新规》为自由贸易试验区的数据跨境流动制度提供了灵活变通的空间,旨在促进自贸区内的数据跨境活动高效有序进行。在国家数据分类分级保护制度框架下,自贸区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),行政范围内清单外数据可自由出境。跨国企业具有迫切的数据出境需求,由自贸区率先探索制定“负面清单”制度,不仅能够在确保数据安全的基础上满足自贸区内企业切实的发展需求,还能够为全国数据跨境流动管理提供有益的经验和借鉴。这既是为自贸区促进国内国际双循环提供制度型开放基础,也有利于我国对接更高标准的国际和区域性数据自由流动经贸规则。

数据跨境流动的启示及思考

(一)为企业有效降低数据跨境的合规成本

企业可以根据《新规》指导,对自身的数据跨境需求进行详细分析,明确数据出境的目的、范围、涉及的数据类型数量以及接收方的情况等,制定安全合理有效的数据跨境方案。企业还应审慎评估数据出境的范围,降低数据跨境涉及的人数,按《新规》要求调整数据出境的路径,如以往是申报数据出境安全评估,现阶段可适用个人信息标准合同备案或者个人信息认证,以更好地规避风险,提高数据流动的效率。据报道,上海自贸区内,翼方健数公司正在申请报批医疗数据跨境流动场景,将个人敏感数据处理转化为一般数据再行跨境流动,让国内外的医院能更顺畅地协作交流。

(二)为自贸区带来数据跨境灵活空间与更大安全责任

目前,自贸区正积极探索数据出境创新监管机制。以上海自贸区为例,2024年2月以来,上海率先提出制定重要数据目录、探索建立合法安全便利的数据跨境流动机制等措施。临港新片区建立数据跨境服务中心,提供负面清单管理、一般数据清单管理、跨境数据场景评估受理等业务场景。自贸区在迎来发展机遇的同时,也要承担更大的数据安全责任。一方面,自贸区需把握区域内数据跨境流动需求,积极开展“负面清单”制定工作,吸引出海企业、外资企业在自贸区设立分支机构或总部,设立离岸数据中心发展离岸数据处理服务产业,激发新的经济增长点。另一方面,虽然“负面清单”外的数据无需履行数据出境管理的事前程序,但仍需履行数据安全保护义务,这意味着自贸区应保障清单外数据跨境流动的安全性,提高数据安全保护水平,为开展数据跨境国际合作先行先试打下重要基础。

(三)运营商在数据跨境新形势下当践行责任把握机遇

运营商作为关键信息基础设施 iii 运营者,应严格遵守国家数据安全保护制度,按照相关规定识别、申报重要数据,同时作为央企责任担当,积极对接各方需求为数据跨境活动贡献行业与科技力量。一是聚焦国内企业数据跨境业务需求,加快区块链、隐私计算等技术创新,通过技术工具帮助企业提高数据出境合规工作的效率。二是密切关注自贸区政策动态,针对自贸区促进数据跨境流动的新举措,提供数据跨境服务中心建设、数据跨境公共服务管理平台上线等支撑服务,与政府部门协作共建数据跨境有序流动的安全环境。

注释

1. 根据《数据出境安全评估办法》(第一版),数据出境,一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构组织或者个人可以访问或调用。

2. 澎湃新闻.第五要素|数据跨境流动新规体现监管思路重构[EB/OL].(2023.10.25)[2024.4.22].https://new.qq.com/rain/a/20231025A019SR00。

3. 根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

本文作者

田雨

战略发展研究所

助理分析师

硕士,长期从事市场研究,近年来专注于数字化转型、企业级SaaS、数字化平台相关研究。

虞苏妍







请到「今天看啥」查看全文


推荐文章
管理智慧  ·  高情商的下属,都这样问领导问题
8 年前