建立数据跨境流动机制的三个关键着力点

2024-09-04 新闻资讯 万阅读 投稿:admin

《中共中央关于进一步全面深化改革、推进中国式现代化的决定》明确,“建立高效便利安全的数据跨境流动机制”。高效便利安全的数据跨境流动机制既是经济高质量发展体制机制的重要组成部分,也是高水平对外开放体制机制的应有之义。高效便利安全的数据跨境流动机制已经成为数字经济和数字贸易发展的关键,对于促进数字产业化和产业数字化、稳步扩大制度型开放,以及参与全球数字治理都具有重要意义。从实践来看,尽管现实需求很大,但现有机制安排还不能满足境内外企业数据跨境流动的需要。为此,高效便利安全的数据跨境流动机制的建立,还需要从以下几个方面进一步发力。

重要数据目录编制工作需要加大力度

数据分类分级管理是建立数据跨境流动机制的基础条件。作为数据跨境流动的核心要素,分级分类是保障数据安全、促进数据依法有序跨境流动的关键性基础条件。离开对各类海量数据进行科学有效、依法合规的分级分类,跨境数据流动机制的建立只能停留在倡议层面,不可能得到真正落实,企业数据依法依规有序出境问题也得不到真正有效的解决,最终影响的可能是透明稳定可预期的国际化营商环境。

2021年9月1日实施的《数据安全法》,是建立数据跨境流动机制的一部重要法律。该法第21条规定,国家建立数据分类分级保护制度,同时规定各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。2021年11月1日实施的《个人信息保护法》,则对个人信息权益保护与合理利用问题做出了相应规定。该法第51条规定“对个人信息实行分类管理”。《数据安全法》和《个人信息保护法》作为两部重要的法律,为实施数据分类分级管理提供了基础性法律框架,也为开展数据跨境流动实施提供了制度保障。

从实践层面看,天津市发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》,为实现数据分类分级管理进行了具体探索。该分类分级标准规范按照数据具有的某种共同属性或特征(包括数据对象共享属性、开放属性、应用场景等),将数据分为核心、重要、一般三级;按照所属行业性质分类,将企业数据分成13个大类40个子类,并在此基础上出台《中国(天津)自由贸易试验区数据出境管理清单(负面清单)》,首次明确了“重要数据”的识别标准。

与天津不同,上海依托临港新片区发布了全国首批数据跨境场景化“一般数据清单”,涵盖智能生物医药、网联汽车、公募基金三大领域,共涉及11个具体业务场景。通过明确特定场景的数据类别和数据字段,使企业数据跨境流动更加便捷高效。

上述探索对于数据跨境流动机制的建立和完善意义重大。目前看,数据分类分级的制度设计原则在各地的探索中基本形成共识,即按照行业分类的数据,可分为核心、重要和一般数据三级。通俗理解,核心数据不可跨境流动,一般数据可自由流动,重要数据可有条件流动。如果说数据分类分级管理是建立数据跨境流动机制的基础条件,那么,重要数据目录的编制就是数据分类分级管理的关键。跨境数据流动需求最大也最难以界定的往往是重要数据,而非核心数据和一般数据。现行实践中在行业层面,工信部颁布了《工业和信息化领域数据安全管理办法(试行)》;地方层面,天津发布了《数据分类分级标准规范》,规定重要数据判定参照相关法律、法规和规定,结合本标准规范开展。例如,大宗农产品国际合作数据、国际贸易数据、战略储备数据,达到一定精度或未公开农产品地理信息数据等,都属于重要数据。

但是大多数行业或区域还没有制定重要数据目录,而且,一些重要数据目录的认定仍然比较原则,缺乏可操作性。因此,加快推进重要数据目录的编制工作,是推进数据跨境流动机制建立的关键一环。现有法律如《促进和规范数据跨境流动规定》规定了处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。

数据安全评估主体、评估标准需要进一步完善

数据安全评估是防范数据跨境流动风险的重要手段。2017年6月1日,我国网络安全领域的首部基础性法律《网络安全法》正式实施。该法第37条规定相关数据“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。

2022年9月1日施行的《数据出境安全评估办法》,旨在进一步防范数据出境安全风险,保障数据依法安全流动。该法第四条规定了数据处理者向境外提供重要数据等在内的四类需要申报安全评估的情形。同时规定,数据处理者在申报数据出境安全评估前,还应当开展数据出境风险自评估。

此外,针对个人信息跨境流动问题,《个人信息保护法》要求,达到规定数量的个人信息需要经过安全评估才能出境。涉及少量或非敏感个人信息,可以通过订立标准合同和个人信息保护认证的方式向境外提供。这些共同构成了跨境数据流动安全性的法律基础。

《数据出境安全评估办法》规定,国家网信办作为数据出境安全评估的主责部门,需对数据出境的目的、范围、方式等的合法性、正当性、必要性进行评估。其中,数据跨境流动的合法性评估主要考察是否符合《网络安全法》《数据安全法》《个人信息保护法》等法律。目前,国家网信部门是负责安全评估的机构。相信随着重要数据目录的出台,申请评估的主体将大幅增加,势必对数据跨境流动的高效便利产生影响。建议未雨绸缪,参照早年外资市场准入和境外投资监管模式,依据风险程度、敏感行业和地区等,分别由国家行业主管部门和省一级主管部门开展安全评估,在防范风险的同时提升评估效力。同时,对数据出境正当性评估的具体标准(或内容)做出必要的解释和说明,以提高评估办法的可执行性和企业评估申请的可预期性。至于数据跨境的必要性评估,鉴于不同行业、不同数据跨境流动的专业性特征,最好采用企业备案说明方式,不进行必要性评估。

重要数据目录先行先试和动态调整速度需要加快

各地自贸试验区在数据跨境流动机制建立方面要继续扮演好为“国家试制度”的先行先试角色。2023年6月1日,国务院发布《关于在有条件的自由贸易试验区和自由贸易港试点对接国际高标准推进制度型开放的若干措施》,希望有条件的自贸试验区(港),能够为构建与高水平制度型开放相衔接的制度体系和监管模式作探索。推进数据实现高效便利安全的跨境流动,是构建与高水平制度型开放相衔接的制度体系和监管模式的重要内容之一,而自贸试验区是数据跨境流动机制主要依托的创新实验平台。

数据跨境流动“负面清单”模式与外资准入“负面清单”制度有一定的类似性。外资市场准入“负面清单”曾经经历不断更新迭代的发展过程。根据当下现实情况所作的有关核心数据、重要数据和一般数据分类,以及编制的重要数据目录或者“负面清单”,同样也会随着时间的推移和情况的变化,出现动态更新迭代的需要。例如,不排除当初推出清单时存在某些经过后来实践检验风险较小的数据,需要考虑从重要数据目录中移除。也可能会发现一些风险较大、需要纳入新目录中的数据。不管怎样,从建立高效便利安全的流动机制,促进跨境数据流动的大方向看,不管是“负面清单”还是重要数据目录,总体应该朝着逐步精简的目标推进。

尤为值得一提的是,2024年3月22日发布施行的《促进和规范数据跨境流动规定》,其中第二条规定“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。第三至五条还特别规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的例外。如国际贸易、跨境运输、学术合作等活动中收集和产生的不包含个人信息或者重要数据的情形。这些规定如能得以有效实施,将大大有利于推进各地各行业重点数据目录编制和调整工作,也为高效便利安全的数据跨境流动机制建设提供一项重要的制度保障。

(阎海峰系华东理工大学副校长、教授,临港—华东理工大学自贸区创新研究院院长;彭德雷系华东理工大学法学院院长、教授,临港—华东理工大学自贸区创新研究院研究员)

帮企客致力于为您提供最新最全的财经资讯,想了解更多行业动态,欢迎关注本站。
声明:易百科所有作品(图文、音视频)均由用户自行上传分享,仅供网友学习交流。若您的权利被侵害,请联系。