首頁 > AI資訊 > 最新資訊 > 第五要素|數據跨境流動新規體現監管思路重構

第五要素|數據跨境流動新規體現監管思路重構

新火種    2023-10-27

·“根據從公開渠道統計的數據,從去年9月1日開始(《數據出境安全評估申報指南(第一版)》于2022年8月31日公布),僅17家企業的申報通過了國家網信辦審核評估,通過率約1%?!?/span>

·丁學明注意到,這次征求意見稿有一個特別的地方——一般征求意見稿出來后至少需要一個月的意見征求時間,但這次只有15天,到10月15日截止。

【編者按】數據,是繼土地、勞動力、資本、技術四大生產要素之后的第五大生產要素,中國政府已提出要加快培育數據要素市場。隨著人工智能技術的飛速發展,大模型的開發更離不開高質量的數據支持。在此背景下,澎湃科技(www.thepaper.cn)推出“第五要素——上海市數據科學重點實驗室數據要素產業化系列報道”,關注由上海市數據科學重點實驗室策劃的數據要素產業化系列論壇。第一期數據治理論壇主要聚焦數據治理的最新動態和前沿趨勢,探索數據治理的規則與邊界。

“《規范和促進數據跨境流動規定(征求意見稿)》(下稱“征求意見稿”)出臺后,有的法律專家解讀說這是把以前的標準更加細化了,但其實在我看來基本上是重構了一遍?!?0月8日,蘭迪律師事務所高級合伙人、蘭迪數字經濟團隊牽頭人丁學明在數據要素產業化系列論壇第一期“數據治理論壇”上分享道。

9月28日,國家互聯網信息辦公室發布消息稱,為保障國家數據安全,保護個人信息權益,進一步規范和促進數據依法有序自由流動,依據有關法律,該辦起草了《規范和促進數據跨境流動規定(征求意見稿)》(下稱“征求意見稿”),向社會公開征求意見。

丁學明注意到,這次征求意見稿有一個特別的地方——一般征求意見稿出來后至少需要一個月的意見征求時間,但這次只有15天,到10月15日截止。

此前的數據跨境流動監管是什么樣?出現哪些難點?這次的11條規定又會帶來什么轉變?丁學明逐一進行了解讀。

“企業數據出境申報通過率為1%”

2021年11月1日,中國《個人信息保護法》生效,這是中國第一部專門保護個人信息權利的法律?!秱€人信息保護法》第三十八條規定,個人信息處理者因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:

(一)依照本法第四十條的規定通過國家網信部門組織的安全評估;

(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;

(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;

(四)法律、行政法規或者國家網信部門規定的其他條件。

丁學明認為,《個人信息保護法》第三十八條架構了3條個人信息出境的路徑,第一是企業取得個人信息保護認證,第二是向中央網信辦(中共中央網絡安全和信息化委員會辦公室)申請評估。第三是在簽立標準合同之后,在地方網信辦備案。

數據出境合規路徑。

怎么理解數據出境?丁學明分為兩個層次解釋:第一,是將境內運營中收集和產生的個人信息傳輸、存儲至境外;第二,境外的機構、組織或個人可以查詢、調取、下載、導出境內存儲的數據。常見的數據出境場景包括,跨國公司的人力資源系統及客戶信息集中管理?!坝幸粋€數據,截至去年8月,中國大概有超過70萬家外企都滿足這個場景?!倍W明說。

不過,丁學明分享道,“根據從公開渠道統計的數據,從去年9月1日開始(《數據出境安全評估申報指南(第一版)》于2022年8月31日公布),僅17家企業的申報通過了國家網信辦審核評估,通過率約1%。”

為什么這么難?

丁學明認為,首先在于數據出境的場景識別較難,即使《數據出境安全評估申報指南(第一版)》羅列了數據跨境的兩類情形:傳輸(包括存儲)與訪問(包括查詢、調取、下載、導出),但這兩類數據出境場景在企業實務中可能表現為多種具體的場景,如境內主體使用服務器位于海外的信息系統上載或存儲數據等;其次是合規路徑的選擇難,包括重要數據識別和出境數據量的判斷;第三,申報主體選擇難,比如在中國境內有多家實體的外企如何選擇申報主體,在境內無實體的外企如何進行申報。

除此之外,一個重要的問題也在于,公司層面與監管層面對于數據出境合法性、正當性和必要性的論述思路上有鴻溝,比如基于人力資源管理場景進行數據出境是否滿足“必要性”,僅因系統部署在境外導致數據出境是否滿足“必要性”等。

《規范和促進數據跨境流動規定(征求意見稿)》逐條解讀

丁學明對征求意見稿包含的11條新規逐條進行了解讀。

一、國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境,不包含個人信息或者重要數據的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

“這條沒有特殊的新增信息量?!倍W明說。

二、未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估。

《數據出境安全評估辦法》規定,重要數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。不過在實踐中,對于行業里具體哪些數據屬于重要數據的判斷實際并不明晰?!岸@一條對企業在判斷出境數據是否屬于‘重要數據’的難點上做出了明確導向?!倍W明認為。

三、不是在境內收集產生的個人信息向境外提供,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

“以前很多企業在境內有業務,但在境內沒實體,比如香港的保險公司,在境內登錄網站就可以買保險,但是它在境內沒有實體。之前它們要么需要在境內注冊一個實體,要么再找一個代理人,現在不需要了?!倍W明認為,這一條對于非“境內收集”個人信息是否需要滿足3條合規路徑之一進行了明確。

四、符合以下情形之一的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:

(一)為訂立、履行個人作為一方當事人的合同所必需,如跨境購物、跨境匯款、機票酒店預訂、簽證辦理等,必須向境外提供個人信息的;

(二)按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理,必須向境外提供內部員工個人信息的;

(三)緊急情況下為保護自然人的生命健康和財產安全等,必須向境外提供個人信息的。

“這一條有利于減輕跨境公司數據出境合規壓力?!倍W明說。

五、預計一年內向境外提供不滿1萬人個人信息的,不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。但是,基于個人同意向境外提供個人信息的,應當取得個人信息主體同意。

“之前我們還區分敏感個人信息和不敏感個人信息,現在只要不超過1萬條就不需要申報。這一條也有利于減輕跨境公司數據出境合規壓力?!倍W明說。

六、預計一年內向境外提供1萬人以上、不滿100萬人個人信息,與境外接收方訂立個人信息出境標準合同并向省級網信部門備案或者通過個人信息保護認證的,可以不申報數據出境安全評估;向境外提供100萬人以上個人信息的,應當申報數據出境安全評估。但是,基于個人同意向境外提供個人信息的,應當取得個人信息主體同意。

“這一條有利于減輕即使為‘100萬人個人信息處理者’但出境數據量較少的企業合規壓力。”丁學明說。

七、自由貿易試驗區可自行制定本自貿區需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(以下簡稱負面清單),報經省級網絡安全和信息化委員會批準后,報國家網信部門備案。負面清單外數據出境,可以不申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

丁學明認為,這一條明確了自由貿易試驗區可制定“負面清單”,有利于數據跨境流動。”

八、國家機關和關鍵信息基礎設施運營者向境外提供個人信息和重要數據的,依照有關法律、行政法規、部門規章規定執行。向境外提供涉及黨政軍和涉密單位敏感信息、敏感個人信息的,依照有關法律、行政法規、部門規章規定執行。

“該條款基于國家安全以及社會公共利益的考慮?!倍W明說。

九、數據處理者向境外提供重要數據和個人信息,應當遵守法律、行政法規的規定,履行數據安全保護義務,保障數據出境安全;發生數據出境安全事件或者發現數據出境安全風險增大的,應當采取補救措施,及時向網信部門報告。

“該條款仍明確了數據安全保障義務?!倍W明說。

十、各地方網信部門應當加強對數據處理者數據出境活動的指導監督,強化事前事中事后監管,發現數據出境活動存在較大風險或者發生安全事件的,要求數據處理者進行整改消除隱患;對拒不改正或者導致嚴重后果的,依法責令其停止數據出境活動,保障數據安全。

“這一條跟之前相比完全改變了。之前到了一定規模以上的企業,如果申報評估不被通過,就要停止業務。這個懲罰對企業來說非常嚴重,現在把這個標準改了。即如果發現問題,可以先整改,如果整改消除了隱患就沒問題,而如果沒有整改,那么再責令其停止數據出境活動?!倍W明說。

十一、《數據出境安全評估辦法》、《個人信息出境標準合同辦法》等相關規定與本規定不一致的,按照本規定執行。

丁學明認為,該條款明確了《規范和促進數據跨境流動規定(征求意見稿)》與其他文件的沖突效力。

本期數據治理論壇由上海市數據科學重點實驗室、中國數據管理協會(DAMA China)主辦,澳汰爾工程軟件(上海)有限公司、澎湃新聞以及DataFun社區提供支持。出品人分別為上海市數據科學重點實驗室知識工場執行副主任、復旦大學青年研究員李直旭,全球數據要素50人論壇專家、DAMA數據管理專家馬歡,上海市數據科學重點實驗室主任、復旦大學教授肖仰華。

相關推薦
免責聲明
本文所包含的觀點僅代表作者個人看法,不代表新火種的觀點。在新火種上獲取的所有信息均不應被視為投資建議。新火種對本文可能提及或鏈接的任何項目不表示認可。 交易和投資涉及高風險,讀者在采取與本文內容相關的任何行動之前,請務必進行充分的盡職調查。最終的決策應該基于您自己的獨立判斷。新火種不對因依賴本文觀點而產生的任何金錢損失負任何責任。

熱門文章