论我国数据跨境流动监管规则的构建「律师合规业务」
今天给大家普及一下论我国数据跨境流动监管规则的构建「律师合规业务」相关知识,最近很多在问论我国数据跨境流动监管规则的构建「律师合规业务」,希望能帮助到您。
梁幸
原创作者 :梁 幸
北京市京师(武汉)律师事务所企业合规中心副主任,律所监事委员会委员,股权与纠纷法律事务部主任。
业务领域:企业合规;股权激励、架构设计;民商事诉讼。
01数据的特殊性决定了数据跨境流动是监管的重点
理解相关法律法规对数据监管、数据跨境流动的规定,需以认识和理解数据所具有的特殊性为前提。与传统商品和服务相比,数据具有特殊性,不能以所有权和主权等概念去理解数据的价值和权属,重要的不只是确定谁“采集”和“拥有”数据,而是谁有权访问、控制和使用数据。跨境数据流动本身既不是电子商务,也不是贸易,不应简单地被作为电子商务或贸易来监管,与“数字贸易”也不是一个概念。
数据的价值更在于共享而非占有,也天然超越了主权、地缘政治等概念,因此,数据跨境流动是数据的监管重点。
02我国对数据跨境流动的规范性文件
当前,我国颁布了《网络安全法》《数据安全法》《个人信息保护法》作为数据保护的上位法,围绕上位法,颁布了多个法律法规的征求意见稿。虽然诸多法律法规尚未颁布正式文件,但从相关征求意见稿来看,对数据安全、监管和管辖执法等方面的法律规范体系正在建立,形成对数据跨境流动治理的规则。
相关法律法规及征求意见稿概述如下表所示:
法规名称
相关重点条文内容
施行/颁布时间
效力
网络安全法
关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。
2017年
现行有效
数据安全法
关键信息基础设施运营者在境内收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在境内收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
非经中国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于境内的数据。
2021年
现行有效
个人信息保护法
在境外处理境内个人信息的活动中,分析、评估境内自然人的行为和以向境内自然人提供产品或者服务为目的的,也适用本法。
专章规定了个人信息跨境提供的规则。
在多个条文中规定了向境外提供个人信息的,应该进行安全评估。
2021年
现行有效
个人金融信息保护技术规范
对个人金融信息收集、传输、存储、使用、删除、销毁等各环节进行了规定。
明确规定了向境外提供个人金融信息的要求。
2020年
现行有效
网络安全审查办法
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
网络安全审查重点评估相关对象或者情形的国家安全风险因素。
2022年
现行有效
关键信息基础设施安全保护条例
关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2021年
现行有效
网络数据安全管理条例(征求意见稿)
在境外处理境内个人和组织数据的活动,有下列情形之一的,适用本条例:以向境内提供产品或者服务为目的;分析、评估境内个人、组织的行为;涉及境内重要数据处理。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
数据处理者开展合并、分立、赴外、赴港上市等重大活动,应当申报网络安全审查;
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估。
专章规定了数据跨境安全管理。
在境外开展数据处理活动,损害国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
条例中对重要数据、核心数据、大型互联网平台运营者等多个用语进行了定义。
2021年
征求意见稿
数据出境安全评估办法(征求意见稿)
对数据出境安全评估的情形、要求、程序进行了规定。
2021年
征求意见稿
数据安全管理办法(征求意见稿)
网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。
2019年
征求意见稿
个人信息出境安全评估办法(征求意见稿)
对个人信息出境安全评估的申报、要求、程序、禁止情形进行了规定。
2019年
征求意见稿
个人信息和重要数据出境安全评估办法(征求意见稿)
对个人信息和重要数据出境安全评估进行了规定。
2017年
征求意见稿
信息安全技术数据出境安全评估指南(征求意见稿)
对个人信息和重要数据出境的安全评估流程、要点和方法提出了详细的指引,对重要术语提出了定义。
2017年
征求意见稿
03我国对数据跨境流动的规范体系
从我国颁布的法律法规来看,对数据跨境流动采用分层分类管理的治理规则,对个人信息、重要数据、其他数据的合规管控进行了分层分类的规定。虽然,相关的配套规范性文件和指引尚在制定中,但是我国对数据跨境流动的规范体系已建立。
在个人信息跨境流动方面,我国确定了数据出境安全评估、个人信息保护认证、以标准合同为基础订立合同、达到个人信息保护标准、取得单独同意等制度。对于特定行业和特定类型的数据,明确了本地化的要求。
在重要数据跨境流动方面,确立了数据本地化、数据出境安全评估、网络安全审查等重要制度。
值得一提的是,在2017年,国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,在文件中对个人信息和重要数据的出境安全评估办法进行规定。在2021年,网信办又分别发布了《数据出境安全评估办法(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》。这一过程,证明我国在数据跨境流动的治理更进一步,可以预见,未来对个人信息、重要数据、特定类型的数据、其他数据的合规管控会继续按照分层分类管理的原则和方式进行细化的规定。