【網路安全法】【數據安全法】【個人資訊保護法】及相關配套制度建立了中國數據出境的基本規則,針對數據跨境流動構築了安全螢幕障,但在推動多邊、區域數位貿易協定方面也引發了一定障礙。對此,需要在符合立法本意和堅持安全的前提下對數據出境規則進行適當的「解構」,為基於信任關系的協定談判和貿易繁榮提供支持。可從適用出境路徑的準確性及建立可自由流動的一般數據清單等方面入手,進一步明確數據出境規則,推動跨境數據的自由、有序與安全流動。
伴隨著線上貿易與數位經濟的蓬勃發展,數據跨境流動治理愈發成為全球治理的重點。盡管各國政府對數據跨境流動治理存在規制分歧,且此種分歧從目前來看將在相當長一段時間內難以彌合,但國際社會仍在以各種形式持續探索數據跨境流動合作規則,以謀求逐步達成一種數據流動的規制共識和妥協。
中國有關數據跨境流動的規則已經建立,部份規定與【區域全面經濟夥伴關系協定】( Regional Comprehensive Economic Partnership ,RCEP)、【全面與進步跨太平洋夥伴關系協定】( Comprehensive and Progressive Agreement for Trans Pacific Partnership ,CPTPP)、【數位經濟夥伴關系協定】( Digital Economy Partnership Agreement, DEPA)等多邊、區域協定要求存在差異,其中有屬於國際貿易安全例外規則的考慮,也有些是數據的技術特點使然。對既定規則進行適當「解構」與重塑,關系相關貿易協定談判的推進,也是將中國規則融入國際制度建設體系,提升中國在數據跨境流動方面話語權的現實需要。
1
數據跨境流動的國內規則與協定進展
【網路安全法】【數據安全法】【個人資訊保護法】及相關配套制度構建了當前中國數據出境的基本規則。【網路安全法】第三十七條對關鍵資訊基礎設施營運者在中國境內營運產生的個人資訊和重要數據做出規定,從法律層面確立在地化儲存和數據出境安全評估制度。【數據安全法】第三十一條針對重要數據出境管理做出規定,一方面銜接【網路安全法】,明確關鍵資訊基礎設施的營運者在中華人民共和國境內營運中收集和產生的重要數據的出境安全管理適用【網路安全法】規定,另一方面彌補空白,明確其他數據處理者在中華人民共和國境內營運中收集和產生的重要數據的管理辦法由國家網信部門會同國務院有關部門制定。【個人資訊保護法】第三章對個人資訊跨境提供的規則進行規定,明確個人資訊可以透過安全評估、保護認證以及標準合約方式等出境。
在【網路安全法】【數據安全法】【個人資訊保護法】構設的數據跨境流動管理框架下,重要數據和個人資訊成為數據跨境流動的監管物件,數據出境安全評估、個人資訊保護認證、個人資訊出境標準合約為重要數據和個人資訊出境提供路徑。【數據出境安全評估辦法】【個人資訊跨境處理活動安全認證規範】和【個人資訊出境標準合約辦法】作為配套制度措施,分別對相關路徑的適用規則做出進一步明確。基於數據重要程度、數據處理者性質以及數據規模體量等因素,3 種數據出境路徑適用於不同的數據處理情形,在適用的優先級別上也非並列關系,作為強制性義務,數據處理者應首先判斷自身是否適用數據出境安全評估路徑。只有未觸發數據出境安全評估適用情形的,才可以選擇透過個人資訊出境標準合約或者個人資訊保護認證進行出境。上述規則在事實上涵蓋了所有重要數據以及個人資訊出境場景。
除上述規則外,中國加入的多邊和區域協定中也包含大量有關數據跨境流動的規範性要求,這構成了數據跨境流動的協定安排,同樣對中國具有約束力。以 2022 年 1 月對中國生效的 RCEP 為例,第十二章電子商務章節的第八條對線上個人資訊保護做出要求,即「每一締約方應當采取或維持保證電子商務使用者個人資訊受到保護的法律框架;每一締約方應當公布其向電子商務使用者提供個人資訊保護的相關資訊,包括:個人如何尋求救濟以及企業如何遵守任何法律要求;締約方應當在可能的範圍內合作,以保護從一締約方轉移來的個人資訊」。在這一規定下,締約方對區域內消費者的個人資訊保護應予以從跨境傳輸處理到救濟的一系列考慮。第四節從促進電子商務角度對計算設施的位置以及透過電子方式跨境傳輸資訊做出原則性要求,即「除實作合法的公共政策目標所必要的措施或保護其基本安全利益所必要的任何措施外,締約方不得將要求涵蓋的人使用該締約方領土內的計算設施或者將設施置於該締約方領土之內,作為在該締約方領土內進行商業行為的條件;一締約方不得阻止涵蓋的人為進行商業行為而透過電子方式跨境傳輸資訊」。以上應解釋為禁止不必要的計算裝置和數據在地化或托管策略,但考慮到各國規制之間的差異甚至分歧,特別設定了例外條款來包容各締約方內部監管體系,謀求共識以促進數據跨境自由流動。
中國於 2021 年正式申請加入的 CPTPP 和DEPA 針對計算設施位置也做出明確規定,除為實作合法公共政策等目的外,任何締約方不得將要求涵蓋的人在該締約方領土內使用或部署計算設施作為在其領土內開展業務的條件。這些協定規則與 RCEP 一樣,體現了兼顧數據跨境流動自由與數據安全保護,強調市場開放與最佳化監管並舉的理念。比較而言,中國在其中的數據跨境流動、金融領域開放、營商環境要求等方面存在一定差距。
顯然,基於中國數據安全與國家安全保障考慮構建起的數據出境規則與考慮到數據雙向及多向流動的協定安排存在不同,針對數據流出進行規制的單向考慮導致前者的監管力度整體高於後者,且可能在國際性的持續經濟活動中引發投資、貿易活動障礙。一國之外的投資者在多個地區進行投資選擇時,如果同一活動在不同地區會產生不同法律後果,其必然會考慮和比較數據儲存在地化、數據出境監管要求的合規投入和風險,並據此做出商事活動決策。
國務院 2023 年印發的【關於進一步最佳化外商投資環境加大吸引外商投資力度的意見】(以下簡稱【意見】)基於「提高投資營運便利化水平」這一考慮,於第十四條明確,要「探索便利化的數據跨境流動安全管理機制。落實【網路安全法】【數據安全法】【個人資訊保護法】等要求,為符合條件的外商投資企業建立綠色通道,高效開展重要數據和個人資訊出境安全評估,促進數據安全有序自由流動。支持北京、天津、上海及粵港澳大灣區等地在實施數據出境安全評估、個人資訊保護認證、個人資訊出境標準合約備案等制度過程中,試點探索形成可自由流動的一般數據清單,建設服務平台,提供數據跨境流動合規服務」,反映了對中國既有法律規則進行調整的實際需求,也給出了解構的整體思路,但何為「綠色通道」以及如何建立「一般數據清單」,尚有待進一步闡釋和澄清。2023 年 9 月,國家網信辦釋出了【規範和促進數據跨境流動規定(征求意見稿)】(以下簡稱【促進規定】),體現了透過「除外規定」的方式對數據出境路徑進行排除適用,即不需要申報數據出境安全評估、訂立個人資訊出境標準合約或透過個人資訊保護認證便可進行數據出境的初步探索成果。
2
協定安排對國內數據跨境規則的解構
如前文所述,當這些協定以區域或多邊形式,透過締約國之間談判進行固定和國內法轉化時,意味著需要對中國數據出境規則中的剛性部份進行適當的保留和縮限,對彈性部份進行可用性闡述和擴張。
2.1 剛性條款——以法律原則為堅持
盡管多邊或區域協定在一定程度上對【網路安全法】【數據安全法】【個人資訊保護法】等構建的數據跨境規則形成挑戰,但無論是【意見】,還是更早的【關於構建數據基礎制度更好發揮數據要素作用的意見】(以下簡稱【數據二十條】),都並未突破法律的基本原則框架。即使是探索便利化的數據跨境流動,對於重要數據及個人資訊的出境,仍然需要透過數據出境安全評估、個人資訊標準合約或者個人資訊保護認證,以實作對基本法律原則和硬性條件的符合,這構成了法律的剛性條款,也是國際上談及數據跨境流動時的基本語境前提。
從這一理解出發,未來無論是北京、上海、海南的地方立法,還是粵港澳大灣區關於數據跨境流動「數據保護與數據跨境服務平台」模式的先行先試 ,都是在既有的 3 條路徑下進行規劃、設計和調整。無論是實踐中探討的如何界定「境外」,還是透過營運商「專供」,都不能規避相應的出境規則適用。例如,不能透過地方立法、協定商定或類似方式,將以單純采購基礎電信業者的專線視為符合數據出境實質要件,或將服務協定解讀為由營運商承擔評估責任,規避數據處理者自身應履行的出境評估申報或其他義務。同樣,透過自貿區先行先試等方式可以獲取壓力測試的局部經驗,但缺乏直接轉化為普遍適用的國內法的法律依據。
同時,對【網路安全法】【數據安全法】【個人資訊保護法】剛性原則從配套制度和標準層面進行「試探性」突破,則會成為協定談判中的「脆弱性」敏感問題。例如,2021 年 11月釋出的【網路數據安全管理條例(征求意見稿)】第三十九條規定,「國家網信部門會同國務院有關部門核驗向境外提供個人資訊和重要數據的型別、範圍時,數據處理者應當以明文、可讀方式予以展示」,盡管該條款引發了「基於監管核驗目的,以明文、可讀方式進行展示是否必要」的爭議,但全國資訊保安標準化技術委員會於 2023 年 8 月釋出的【資訊保安技術 重要數據處理安全要求(征求意見稿)】仍然體現了相關內容。顯然,該項規定於協定安排的影響並未得到充分認識和討論,明文、可讀不僅意味著數據內容的強制解密,還會產生源碼展示和其他解讀,這與 RCEP、DEPA 以及CPTPP等中國已加入或可能最終加入的多邊、區域協定的規定存在較大差異。
以 DEPA 為例,第 3.4 條對使用加密術的資訊和通訊技術產品的解密規則做出明確,即「本節不得解釋為阻止一締約方的執法機關要求服務提供者使用由其控制的加密術,根據該締約方的法律程式提供未加密的通訊」。根據該項規定,執法解密必須限定在:(1)由服務提供者控制而非使用者自行控制的密碼技術;(2)需要符合嚴格的程式性法律要求。在該限定下,【網路數據安全管理條例(征求意見稿)】第三十九條規定的核驗如何同時以符合協定和中國法規定的方式進行,將成為其需要面對的考驗。
2.2 彈性條款——以可信為基石
雖然【網路安全法】【數據安全法】【個人資訊保護法】確立的數據跨境流動規則的原則已經固定,但迎接區域及多邊協定,促進數位經濟繁榮的願景也需要非原則性條款與協定條款的互構和連結。值得「慶幸」的是,大量彈性條款的存在和法律原意的可解讀性,在堅守法律原則的同時,也為基於可信基礎的協定安排提供了內部性的可能空間。
目前,這方面最重要的成果體現為 2023 年6 月國家互聯網資訊辦公室與中國香港特區政府創新科技及工業局簽署的【關於促進粵港澳大灣區數據跨境流動的合作備忘錄】(以下簡稱【備忘錄】)。可以認為其是粵港澳大灣區基礎設施「硬聯通」和規則機制「軟銜接」整體設計下「軟銜接」的重要組成部份,透過建立「貿易單一視窗」「跨境電商綜試」,乃至更細粒度的與港澳規則對接事項清單等方式探尋具體落地經驗。從【備忘錄】及中國與新加坡簽署的新版【數位經濟合作協定】等的推進情況看,是否和如何進行彈性條款解構,應包括以下幾個方面的考慮:
一是各國之間是否具備可信基礎。已經開展的國家間協定談判,顯然具有已經或尋求建立互信的意願基礎。無論是中新之間基於經貿傳統,還是粵港澳之間基於天然的地域共同體發展需求,如果沒有長期累積的基本信任,都很難達成合作。這實際也可以解釋在缺乏信任的前提下,歐盟和一些國家進行「充分性認定」的困難。而「可信」在網路空間的體現,即是各國之間不存在網路威脅、攻擊的基本安全態勢,並在個案的安全維護上有開展合作的基礎。這一信任機制如果建立,將符合個人資訊、重要數據跨境流動的「脫敏」和「安全」預期。
二是各國法律之間是否可以系統性互構。從法律制度設計及其對社會權利義務調整、安全利益維護等方面來看,無論是大陸法系的法典化表述,還是英美法系判例機制的可重述性,對協定需求的解讀都具有相當空間。從個人資訊和數據保護上看,RCEP 的部份成員國在過往受到亞太經濟合作組織【跨境私密規則體系】( Cross Border Privacy Rules System ,CBPRs)的影響(這在其成員國的國內法中亦有所體現,如泰國 2019 年【個人數據保護法】規定的數據跨境傳輸條件)。2022 年 4 月,美國釋出的【全球跨境私密規則聲明】又進一步擴大了 CBPR 體系的全球適用性,以著力推進其所設想的數據全球範圍內的流動。相關國家對數據跨境流動監管呈現相對寬松的特點,與中國數據跨境規則匹配的過程中存在一定的「勢差」,即數據易從監管相對寬松的區域流向相對嚴格的區域,但難以從監管相對嚴格的區域流向相對寬松的區域,進而引發數據跨境流動障礙。這就要求中國在堅持數據安全基本法律原則的同時,挖掘條款的可解釋潛力,彌合與協定條款的差異。
3
協定基礎上的國內數據跨境規則塑造
本文認為,在可信前提和互構思路下,結合【數據二十條】【意見】和【促進規定】,數據跨境流動規則的可解釋性包括以下內容:
一是將數據處理主體準確適用出境路徑作為「綠色通道」建立的基礎。數據出境相關立法基於屬地與屬人原則對中國境內數據的出境活動進行了統一適用,但基於最佳化營商環境等考慮,可在堅守基本規則的前提下,對出境路徑的適用情形做出進一步細化,以供企業進行更靈活選擇。以外商投資主體尤其是跨國企業為例,在其基於人力資源管理目的向境外關聯方提供員工個人資訊時,針對「自上年 1 月 1 日起累計向境外提供 1 萬人敏感個人資訊」 ,允許企業區分員工國別進行人數計算,從而為企業提供更為靈活的數據出境安全評估、個人資訊保護認證或是標準合約的路徑選擇。同時,準確把握「個人資訊處理者不得采取數量拆分等手段,將依法應當透過出境安全評估的個人資訊透過訂立標準合約的方式向境外提供」 這一監管要求的本質,對於拆分合規性的判定應兼具合法性與合理性。例如,境外接收方發生上市架構拆分導致境內數據處理者股權架構調整,使得原本應當透過安全評估出境的個人資訊透過標準合約或認證進行出境的,不應視為對數據出境安全評估義務的規避。
數據處理主體準確選擇出境路徑,安全評估、個人資訊保護認證或標準合約相關監管機構準確理解和適用法律規則,是推動建立高效便利的數據跨境流動安全管理機制的基礎。對於數據出境安全評估工作面臨的關註和疑問,根本上而言需要把握國家間信任程度和國家間法律對映關系,在理解規則和定性主體之上將監管機構和數據處理主體從繁冗的申報文書中釋放出來,這樣才能形成一視同仁而非厚此薄彼的綠色通道,規則的說服力才能得到彰顯,從更高層面上也是基於監管推動的微觀主體互動以增進國家間信任關系。
二是基於數據分類分級建立可自由流動的一般數據清單。如前文所述,數據出境規則體系下,重要數據與個人資訊是主要監管物件。盡管重要數據與個人資訊的出境合規引發廣泛關註,但非重要數據、非個人資訊等占大多數體量的一般數據可自由、常態化流動的事實不應忽略。【數據二十條】對數據流通價值的肯定以及【意見】提出的試點先行探索,「還原」了立法全貌,為可自由流動的一般數據清單的實作提供了依據。
事實上,包括歐盟在內已有多區域嘗試和推動基於充分性認定的「白名單」定性模式。為此,中國針對數據出境的監管,宜從個人資訊和重要數據出境的安全評估、標準合約備案或認證的前置條件預設,調整為一般數據可自動、自由出境的初始預設。即企業只需要對照一般數據清單,並將重要數據與個人資訊的辨識規則等作為補充,透過正反兩方面對比排查,即可確定其數據是否可自由、有序出境。當然,一般數據清單的確認並不意味著可以忽略數據出境規則,因為數據體量、時效和分析能力的提升都可能對清單的內容產生影響,因此可自由流動的一般數據清單應保持可信基礎上的動態更新。
可自由流動的一般數據清單可考慮包括以下數據型別:
(1)透過電子政務網站公開存取的即時公共數據(如已經試用中的通關數據等)。這是基於互聯網路整體可用性的基本要求和傳統,基於各國對政府網路的可存取性和信任關系,可考慮以允許存取為一般原則,特定 IP 段為例外限制。
(2)基於統計口徑和具有時效性遲延的行業、產業數據。對於區域、多邊協定締約國的企業而言,跨國貿易需要對不同國家、地區的產業、行業進行理解,獲取以上數據對於實作相關商業目的而言是不可或缺的。
(3)跨國企業基於人力資源管理、業務經營等活動形成的非個人數據。允許其在「集團」層面對該類數據進行常態化傳輸。
(4)其他具有區域特點的型別化數據。例如,粵港澳大灣區涉及金融、醫療目的的特定跨境個人數據,但其他試點可以與此不同。
總而言之,可自由流動的一般數據清單應考慮如何降低數據摸排難度,減少數據處理者有關數據出境的成本投入,進而促進市場開放與監管最佳化。
基於以上考慮,【促進規定】也應體現相應調整,以打消企業、行業對數據出境規則不確定性的重大疑慮:
(1)應當基於多邊或區域的可信基礎進行規範和促進數據跨境流動的制度設計。無論是歐盟的「充分性認定」、亞太經合組織的 CBPR,還是歐盟的【個人數據自動化處理中的個人保護公約】,都不是無條件和無差別地開放,數據出境規則的任何調整都應置於特定的國家或地區主體關系以及國際貿易秩序中進行考慮。在此前提下,中國在 RCEP、DEPA 和 CPTPP 等不同貿易協定下的數據在地化制度和跨境條件可以不同。
(2)應充分結合並綜合運用一般數據清單的寬泛「白名單」和細粒度的「負面清單」,將白名單作為數據出境時的初始預設。【促進規定】透過除外規定體現了這一趨勢,但部份條款仍較為原則並存在爭議。例如,第四條規定的「按照依法制定的勞動規章制度和依法簽訂的集體合約實施人力資源管理,必須向境外提供內部員工個人資訊的,不需要申報數據出境安全評估、訂立個人資訊出境標準合約、透過個人資訊保護認證」,看似減輕了企業合規成本,但其隱含的集體勞動合約、提供內部員工個人資訊必要性等條件實際上可能引發理解方面的困惑,加之數據出境場景的復雜程度,能否適用該條還需要結合個案進行分析;整體上也尚需補足負面清單細粒度不足的短板,其所規定的自由貿易試驗區可自行制定本自貿區負面清單,同樣也需要符合多邊、區域性國家或地區的不同需求。
4
結論與展望
從【網路安全法】【數據安全法】到【個人資訊保護法】的演進體現出立法者對數據法律性質、安全保障和價值實作的認識深化,但數據跨境並非一個前所未見的新生事物,對法律條款的解讀和適配是法律工具的傳統。在保持數據跨境規則剛性的同時,法律實踐和對外交流的需要又要求展現其彈性的一面。
同時,對法律適用的彈性展開是否正確和恰當,未來亦需要司法互認和跨境救濟的例項驗證,相關立法、釋法、執法及司法活動,也將對國家間信任關系和貿易繁榮產生形而上的影響和作用,凡此種種都將成為中國新型全球化方案的一部份。
