近日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(下称“《规定》”),旨在保障国家数据安全,保护个人信息权益的基础上,进一步规范和促进数据依法有序自由流动。
本次《规定》的出台与此前发布的法律法规构成我国数据出境更加完善的规则体系,在厘清数据安全红线的前提上,踩下了数据出境的“油门”。《规定》虽然只有十一条,然而纵观整部《规定》,发现主管部门对数据跨境流动的整体监管逻辑已经有了重大的转变,并为各相关主体划出了更为清晰的数据出境路径。
上海数据交易所研究院研究员林梓瀚表示,《规定》重申需申报数据出境安全评估的场景。《规定》第六条强调向境外提供100万人以上个人信息的,还是需要申报数据出境安全评估。至于国家机关以及关键信息基础设施运营者这些主体向境外提供个人信息和重要数据,以及涉及党政军和涉密单位敏感信息、敏感个人信息、重要数据出境的,《规定》第八条、第九条提出依照现行规定执行。这意味着,对于这些关键主体进行数据出境以及这类敏感数据的出境,如若触发《网络安全审查办法》《数据出境安全评估办法》的规定,仍然需要进行网络安全审查或申报数据出境安全评估。
明确无需申报数据出境安全评估的情形。《规定》明确,在国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的且不包含个人信息或者重要数据的数据出境、非境内收集的个人信息以及跨境购物、跨境汇款、机票酒店预订、签证办理、人力资源管理需要涉及个人信息出境等不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。明确无需申报安全评估的情形是本次《规定》的重大突破,大大降低了相关主体在数据出境时的合规成本,加快了我国数据出境的效率。
值得一提的是,《规定》赋予自由贸易区制定“负面清单”的权利。《规定》第七条自由贸易试验区可自行制定本自贸区数据出境的负面清单,而负面清单所包含的内容是主管部门规定需以既定路径出境的数据。对于负面清单外的数据,《规定》强调了可以自由出境,此举促进了自贸区内数据跨境流动的便捷性,强化了自贸区在数据跨境流动领域的集聚力。
上海市数据交易专家委员会委员陈吉栋则表示,将自贸区确立为数据特区进行试点,明确自贸区可以自行制定数据跨境流通中的负面清单,在负面清单内的企业数据仍需要完成数据出境前置监管程序,负面清单外的企业数据以自由跨境流通为原则,负面清单中具体应当包括哪些内容,则由各自贸区针对本区域的实际情况灵活确定,主要以促进自贸区内企业数据的跨境流通为目的,由自贸区先行探索可行的数据跨境流通道路。之所以由自贸区探索该负面清单制度,是因为自贸区内的企业大多具有数据出境需求。
目前,已有自贸区先行探索数据出境。《中国(上海)自由贸易试验区临港新片区条例》中规定,按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动。
林梓瀚还表示,2022年12月国家出台“数据二十条”,针对数据跨境流动的探索,“数据二十条”明确了优先在跨境电商、跨境支付、供应链管理、服务外包等典型应用场景进行先行先试,本次《规定》对“数据二十条”的相关要求进行了落实。未来,基于这些典型应用场景将产生大量新的经济增长点与发展方向,并对其他应用场景产生正向的溢出效应,将成为我国国际数字贸易发展的新引擎。同时,“数据二十条”提出要积极参与国际数字规则和数字技术标准制定,随着我国开启CPTPP、DEPA等的谈判,《规定》的相关措施有利于我国与DEPA等国际数字经贸协定的对接,推动我国对国际数字规则制定的参与。
据悉,目前上海数据交易所已经正式开设运营国际板,建设国际化数据交易平台,探索构建便捷、高效、安全的全球数据跨境流动体系,旨在积极赋能我国国际数字贸易的发展,为我国进行国际数字贸易规则对接与制定贡献探索实践经验。
编辑/樊宏伟