91精品国产99久久久久久红楼,欧美高清另类,欧美日韩中文在线观看,久久激情精品,91视频导航,亚洲欧美日韩一级,巨人精品福利官方导航

論后全球化時代下中國數據出境安全監(jiān)管實踐 及企業(yè)合規(guī)路徑探索

2023年第06期    作者:文│江海 程豐    閱讀 1,400 次

數據作為新型生產要素，在全球經濟和貿易體系中扮演著至關重要的角色。數據價值有賴于規(guī)模和維度的增加，以及有效配置下的自由流動。但國家安全等公共利益風險也在數據維度增加過程中集聚，國家對數據的掌控與處理能力也是治理能力的體現(xiàn)。數據的自由流通與國家主權和個人隱私之間存在不可避免的矛盾。后全球化國際競爭中，國家角力舞臺已變革為借助數據權力增強區(qū)域經濟影響力和規(guī)則制定話語權。本文總結了當前環(huán)境下國際主體間的數據治理規(guī)則博弈現(xiàn)狀，并梳理出我國數據出境安全評估制度的治理邏輯與立法框架，分析了當前各行業(yè)的數據出境趨勢與合規(guī)需求，指出我國應根據行業(yè)特征形成具有中國特色的“重要數據”判定標準和技術優(yōu)勢，在實踐中探索能夠兼顧安全和發(fā)展的中國數據治理方案。

一、數據跨境流動治理國際實踐經驗與中國路徑選擇

（一）流動與共享：釋放數據生產要素價值的重要路徑

經濟的發(fā)展有賴于要素的流動。傳統(tǒng)模式下，商品貿易在要素流動中占絕對數量，但隨著要素的概念外延從兩要素論（勞動力和土地）發(fā)展至包括數據在內的七要素論，數據流動已超越傳統(tǒng)貿易，成為國際貿易和投資的基礎。

數據要素價值釋放依賴于流通與共享。在數字經濟時代，數據跨境流動也是國際貿易與交流的必要組成部分。跨國企業(yè)、公共部門等數據處理者在業(yè)務推進中面臨大量數據跨境處理需求，有效的監(jiān)管措施不僅可以保障企業(yè)合規(guī)開展業(yè)務，也釋放了生產要素的潛在價值。2022年9月出臺的《數據出境安全評估辦法》（以下簡稱《辦法》）明確了數據出境安全評估的合規(guī)路徑。新規(guī)出臺當日，具有大量數據跨境需求的互聯(lián)網中概股多數收漲，其原因在于規(guī)則的明晰使得監(jiān)管的“靴子”得以落地，成為中國互聯(lián)網企業(yè)發(fā)展的利好因素。

（二）安全價值：數據本質屬性、國家主權及個人隱私之間的必然沖突

數字經濟呈現(xiàn)由區(qū)域走向全球化的趨勢，作為數據時代主角的互聯(lián)網平臺的數據跨境需求激增。但商業(yè)主體由于自身利益驅動，天然具有擴大針對用戶的數據收集范圍傾向，以開發(fā)其中的商業(yè)價值。同時，新型商業(yè)模式（如“元宇宙”等）不斷涌現(xiàn)，導致個人隱私概念的內涵和外延不再如以往易于確定與解釋，邊界趨于模糊。數據安全研究已延伸至包括國家安全、主權管轄在內的非經濟領域。關注數據安全并不僅僅只是出于安全考慮，而是為了更好地兼顧發(fā)展與安全。

（三）國際數據治理現(xiàn)狀：規(guī)則博弈呈“不可能三角”態(tài)勢

挖掘數據“新石油”并充分釋放價值，面臨價值、技術和安全難題，其中最為核心的是國家主體價值觀和利益上的差異。文化和國情的差異使各主要經濟體站在不同立法出發(fā)點，導致跨境數據流動缺乏體系化治理，僅由各種單邊、雙邊、多邊框架和貿易規(guī)則組成。因此，跨境數據流動面臨“不可能三角”問題。即在限定的時間和空間內，一國的數據保護自主權、充分保障個人數據權利和推動數據跨境自由流動三大目標不能同時實現(xiàn)，最多只能同時滿足其中的兩個目標。

理解數據安全、國家主權和主體權益的關系，方能理解數據跨境流動規(guī)則博弈的深層次原因。各大經濟體的數據治理戰(zhàn)略呈現(xiàn)以發(fā)達國家為主的“自由流動”和以發(fā)展中國家為主的“本地限制”兩大類型。美國和其盟友依靠其在搶占科技制高點上占據的技術優(yōu)勢，采用“自由并后置監(jiān)管”的雙重標準數據治理體系。歐盟則基于其權利保障觀念，將“人權保障”視為制定跨境數據流動規(guī)則的首要考慮因素。其他主要數據立法經濟體則將主權列為第一位的考慮要素，采取“在數據主權維護前提下驅動經濟發(fā)展”的數據治理模式。

在這些價值關切中，國家基于數據主權對數據的管轄與自由主義相矛盾；數據保護自主權的視野落在了國家概念之內，更強調國家的主權，而充分保障個人數據權利是站在了數據產生者的角度，更強調私主體的權利。不同制度間的差異導致企業(yè)合規(guī)成本上升，最終抑制了數據驅動創(chuàng)新發(fā)展。

（四）國際數據治理經驗對中國的啟示

1.中國數據治理的道路選擇

國際數據流動治理經驗可以概括為清晰界定和明確數據出境鏈條上相關主體的角色、權利和義務。例如，數據出境前需要獲得個人信息主體的同意；明確數據控制者的數據保護責任；落實主體的救濟手段，如歐盟將救濟途徑視為他國數據保護“充分性”的重要標準之一。在充分吸收國際數據治理立法經驗的基礎上，中國數據出境安全標準立足“網絡安全是國家安全的基礎，數據安全是國家安全的題中之義”，《網絡安全法》《數據安全法》《個人信息保護法》全面建立起數據出境安全評估制度的框架。

2.中國數據出境治理的概念基礎

形成有效的數據出境治理制度，需要對“數據出境”概念進行清晰的界定，明確各概念的內涵和外延。國際共識認為，數據出境依托通信系統(tǒng)、信息交互和互聯(lián)網等媒介工具進行；其次，“數據”本身不應存在機器可讀性限制、地域使用限制和拒絕復制。只要能夠使境外獲得境內的數據，就落入數據出境的概念范圍之內?；诖耍瑪祿鼍郴顒又饕ǎ阂皇菙祿幚碚邔⒃诰硟冗\營中收集和產生的數據傳輸、存儲至境外；二是數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以訪問或者調用。

二、中國數據出境安全評估制度的治理邏輯分析

（一）數據出境安全評估關注由量變到質變的“高風險”場景

中國治理方案相對于歐盟《通用數據保護條例》（GDPR）更加深入和全面，GDPR的落腳點在主體權益，但隨著數據出境體量積累，量變積累下的侵犯個體利益風險將會質變擴展至牽涉公共利益和國家安全層面，承擔維護公共利益義務的政府介入即有正當性基礎。因此，中國對不同類型數據采取差異化規(guī)制措施：處理者特殊（如關鍵信息基礎設施運營者）；數據類型特殊（重要數據）；數據規(guī)模特殊（包括個人信息與敏感信息的大規(guī)模處理）。

量變意味著“自特定時點起累計特定體量的個人信息”，只能適用安全評估方案。立法者的關切落點于保障數據背后的主體權益，而非紙面的數據本身，因此“10萬”等體量指向境外傳輸個人信息的主體人數，而非信息條目。同時，安全需要兼顧發(fā)展，如果將門檻設置得過低，幾乎每一家企業(yè)都需要進行安全評估，增加了管理和監(jiān)督的復雜性。同時，監(jiān)管也需要消耗包括時間和人力等社會資源，過低的門檻將會對企業(yè)和監(jiān)管機構的資源造成巨大壓力。從國際規(guī)則博弈出發(fā)，中性的安全評估門檻可以使中國規(guī)則更具競爭力，吸引數據流向中國。

（二）重要數據：數據出境安全評估制度的關鍵切入點

重要數據是數據治理的“牛鼻子”。我國采取“抓大放小”戰(zhàn)略，從重要數據切入把握數據治理體系。重要數據的管理疏忽可能會存在多種法律責任競合，新修訂的《反間諜法》特別將“刺探其他關系國家安全和利益的數據”納入了間諜行為的范疇，與重要數據的領域顯然存在交集與重疊。

在未來的治理方向上，由于數據的價值釋放依賴于有效流動，因此只要不涉及重要數據且未達到量級，對其流動就應持鼓勵態(tài)度。以境外訴訟為例，國內企業(yè)在境外訴訟中通過提供數據舉證證明事實，應是企業(yè)自身的權利，也很少有個案滿足需要申報數據出境安全評估的情況。監(jiān)管機關應積極與各行業(yè)主管部門協(xié)調，致力于創(chuàng)建并向公眾公開重要數據的大目錄。然而，鑒于牽涉的部門眾多，“重要數據目錄”制定尚未形成規(guī)模；但以重要數據為抓手仍是我國未來數據治理的關鍵方向。

（三）單獨同意：個人信息出境合規(guī)的實質性義務

個人信息具備雙重屬性，個人信息權益承載了個體對其隱私自主控制的決定權；但個人信息不同于傳統(tǒng)私有財產，其本身也具有信息的公共性質。治理的核心方向應在尊重主體權益的基礎上鼓勵信息自由流通，通過流通維持和釋放信息的價值，降低信息不對導致的資源無效分配。因此，個人信息的保護不能簡單地歸類為傳統(tǒng)私法或公法的范疇。

根據《個人信息保護法》，無論是處理個人信息抑或是境外提供個人信息，均需具有“必要性”，且滿足“告知”和“單獨同意”義務。個人信息收集必要性與數據出境必要性不可等同，前者關注對主體權益的影響，而后者是圍繞“數據出境活動是否可能對國家安全、公共利益、個人或者組織合法權益帶來風險”展開，數據出境的必要性建立在判斷個人信息收集的必要性之上。

個人信息合法流動還需取得主體的“單獨同意”。過往實踐中，通常以在軟件或應用程序中點擊同意條款作為授權方式。但需注意，單獨同意不是形式性的流程，而是實質性的合規(guī)證據。根據對近期數據出境安全評估的被否決案例的研究，大量個人信息出境案例被否決是因為其單獨同意書不完整。例如，某醫(yī)藥企業(yè)申報個人信息出境時，因其提交的同意書將多個主體的同意內容合并在一起，不符合單獨同意的要求而被否決。

三、中國數據出境安全評估制度運行現(xiàn)狀框架分析

（一）數據出境安全評估的基本流程

根據《辦法》的規(guī)定，觸發(fā)數據出境安全評估的情形包括：（1）重要數據（例如北京友誼醫(yī)院的醫(yī)療數據出境需求）；（2）關鍵信息基礎設施運營者數據出境；（3）數據處理達到法定量級。

《辦法》明確了構建“自評估—申請評估—重新申報評估”的出境安全評估流程框架，一般至多57個工作日內可完成流程。但《辦法》同時規(guī)定，國家網信部門有權自主決定延長評估期限，這意味著流程期限實際上具有很大不確定性；因此，企業(yè)如有數據出境需求，在制定數據合規(guī)計劃時應謹慎考慮時間因素。

（二）各行業(yè)申報比例及場景必要性分析

根據北京網信辦和上海網信辦發(fā)布的公開數據，在兩地總共約700件申報中，首批通過率低于1%。根據公開信息，筆者整理出已獲得通過的企業(yè)，如表1所示。

根據《辦法》第八條，數據出境安全評估重點評估包括數據出境的必要性。數據必要性因素包括企業(yè)業(yè)務場景、數據數量、類型和頻率。企業(yè)類型上，16個成功的數據出境申報案例中有三分之二屬于外資企業(yè)；作為其跨境經營的基本方式，跨國公司基于市場分析等目的申報數據出境可以視為具有必要性。同時，跨境酒店旅游、國際航空客運行業(yè)由于涉及境內與境外航司、機場、海關等機構的雙向信息交流，旅客指紋、護照號碼、照片等信息構成敏感個人信息，因此國際航司的業(yè)務需求也可以視為具有數據出境必要性。

（三）數據出境安全評估將成為個人信息出境的主要選擇路徑

《網絡安全法》《數據安全法》《個人信息保護法》三大頂層立法提供了個人信息向境外提供的三條路徑，即“安全評估”“標準合同”與“個人信息保護認證”，數據出境安全評估僅僅只是諸多出境鏈路之一。但根據各行業(yè)申報數據出境成功的比例，數據出境安全評估申報被批準的企業(yè)數量遠多于通過個人信息出境標準合同備案的企業(yè)。這種趨勢未來將伴隨著中國企業(yè)全球化業(yè)務的規(guī)模提升繼續(xù)發(fā)展，《辦法》所制定的“100萬”量級硬性申報標準在中國“走出去”企業(yè)的運營中已非常容易達到；同時，中國企業(yè)“走出去”已不再局限于傳統(tǒng)的制造業(yè)，而是涉足了更多的行業(yè)，包括科技、金融、文化媒體等。全球化業(yè)務需求導致中國企業(yè)更頻繁地進行數據出境操作，因此更容易觸發(fā)數據出境安全評估的要求。數據出境安全評估將可能成為未來個人信息出境鏈路的主流模式。

（四）申報安全評估的前置條件：數據處理者“自評估”

《辦法》要求數據處理者在向監(jiān)管機關提起申報前進行自評估，其主要目的在于要求數據處理者開展事先評估，將合規(guī)監(jiān)管前置。自評估的義務由征求意見稿中的“數據處理者在向境外提供數據前”改為“數據處理者在申報數據出境安全評估前”，即對于不需要向監(jiān)管申報安全評估（如未達量級的非重要數據）的出境，自評估并非強制性法律義務，企業(yè)的合規(guī)成本得以降低；但這并不意味著企業(yè)無需進行任何內部自主判斷，企業(yè)對合規(guī)風險的判斷應保持在合理標準中。

此外，《個人信息保護法》中規(guī)定的“個人信息保護影響評估”與《辦法》中的“自評估”既有關聯(lián)也有區(qū)別。二者的目的都是梳理活動中的風險點，在內容上有相似性，合并個人信息保護影響評估和數據出境自評估工作可以降低企業(yè)合規(guī)成本。但個人信息保護影響評估以主體權益保護為入口，評估企業(yè)處理個人信息的風險；而數據出境自評估以數據為切入點，包含對數據接收方的安全保障能力的評價以及對數據傳輸的安全評估，所評估的風險維度更加廣泛。

四、后全球化時代釋放數據價值的合規(guī)之道

（一）多邊協(xié)調機制層面：加快推進中國數據標準融入國際數據體系

技術的實踐經驗需轉化為切實可行的制度。中國應在國際交流與合作框架下積極推動重要數據目錄和數據出境標準的制定，并參與國際規(guī)則和標準的討論與修訂工作。在區(qū)域層面，積極探索將中國的數據安全標準納入區(qū)域國際協(xié)議，例如“一帶一路”和上海合作組織，形成區(qū)域共識并積累合作經驗，推動符合我國利益和價值取向的數據跨境合作?；趨^(qū)域合作基礎，在國際舞臺上積極推動多邊數據跨境監(jiān)管協(xié)議或相關規(guī)則的制定，成為該領域的協(xié)調者和領先者，提升我國數據網絡安全的國際競爭力和標準話語權。

（二）行業(yè)監(jiān)管層面：從重要數據切入，完善監(jiān)管覆蓋范圍

重要數據在數據治理體系中處于關鍵地位，是數據治理的重要切入點。我國需要通過高級別的工作協(xié)調機制的統(tǒng)籌職能，加快協(xié)調各相關部門制定重要數據目錄和相應的配套措施，確保數據管理體系更為統(tǒng)一和高效。

同時，區(qū)塊鏈、隱私計算、“云空間”等新興技術模式對傳統(tǒng)“出境”概念提出了挑戰(zhàn)，“境內運營”“數據出境”“數據接收者”等概念也可能因這些新興技術而產生新的定義，將影響到數據出境安全評估制度的適用范圍。因此，監(jiān)管層面需要在穩(wěn)定性和靈活性之間尋找平衡，保持對技術演進趨勢的關注，并隨時準備對監(jiān)管措施進行更新和調整。

（三）數據處理者層面：從合規(guī)角度出發(fā)，全面評估業(yè)務中的數據出境活動

在整體趨勢上，數據出境安全評估讓業(yè)務主營戰(zhàn)場為國際領域、數據輸出量較大的公司增加了必要的合規(guī)成本；但善變方能應變，謹慎應對分散的監(jiān)管環(huán)境變得更加重要。從激勵角度，出境安全評估程序可能將倒逼企業(yè)合規(guī)調整業(yè)務結構，例如推進數據本地化建設。而未通過評估的企業(yè)，將面臨重新思考其業(yè)務模式合規(guī)性和數據出境必要性的局面。

在微觀操作層面，一方面，關于數據處理者的身份，考慮到關鍵信息基礎設施運營者（CIIO）向境外提供個人信息將直接觸發(fā)數據出境安全評估，盡管CIIO由行業(yè)和領域的主管部門以及監(jiān)督管理部門進行認定，但有數據出境需求的企業(yè)也應當謹慎初步評估是否符合CIIO的身份標準。

另一方面，對于確有數據出境需求的主體，整個出境流程中最為重要的步驟是自評估。自評估報告要求企業(yè)以詳細方式描述所發(fā)現(xiàn)的風險問題、采取的整改措施以及最終的整改效果，涉及在精細度和披露規(guī)模間進行的敏感平衡；關注點在于企業(yè)讓監(jiān)管看到需求和出境必要性，同時具有良好的安全措施，消除監(jiān)管對安全性的疑慮。此外，在精細度和披露規(guī)模間進行的敏感平衡需要通過不斷的實踐經驗總結來獲得。根據官方口徑，企業(yè)可委托具有監(jiān)管溝通經驗的第三方機構參與評估流程，但需說明基本情況以及參與評估情況，不同企業(yè)的數據出境需求各不相同，因此需要針對性的申報方案。經驗豐富的第三方機構可以根據企業(yè)的具體情況和需求，量身定制申報計劃，幫助企業(yè)更高效地完成申報流程，節(jié)省時間和資源。

結語

傳統(tǒng)行政監(jiān)管活動所依賴的強制性法定義務和禁止性規(guī)范無法全面回應信息技術創(chuàng)新迭代所帶來的諸多不確定性。在傳統(tǒng)經濟要素增速放緩的時代環(huán)境中，數據驅動創(chuàng)新經濟逆勢穩(wěn)步崛起。2022年12月，中共中央、國務院印發(fā)《關于構建數據基礎制度更好發(fā)揮數據要素作用的意見》，其中有17處提到數據跨境的規(guī)范化與國際化。這意味著我國在政策層面已充分汲取國際數據治理經驗和深刻理解數字化轉型的變革范式，并在多方主體合作基礎上著力構建有序多維的數據生態(tài)圖景。

展望未來，中國應當把握時代機遇、總結治理經驗，向更精細處布局跨境數據流通治理體系，協(xié)同多域數據價值釋放，以確保制度始終充滿活力。同時，企業(yè)也需盡早審視自身的數據出境需求，確保合規(guī)要求得以及時滿足。協(xié)同努力將確保數據流動兼顧發(fā)展與安全，從而促進經濟繁榮與和諧穩(wěn)定。

江海上海和歸律師事務所合伙人，全國律協(xié)醫(yī)藥衛(wèi)生法律專業(yè)委員會委員、上海律協(xié)醫(yī)藥健康專業(yè)委員會副主任，上海市黃浦區(qū)區(qū)委法律顧問業(yè)務方向：合規(guī)和涉外公司業(yè)務

程豐

上海和歸律師事務所合伙人

業(yè)務方向：合規(guī)和涉外公司業(yè)務