界面新闻记者 |
近日,国家互联网信息办公室对《规范和促进数据跨境流动规定(征求意见稿)》(下称“征求意见稿”)公开征求意见。
征求意见稿共计11条,对数据出境监管、重要数据认定、数据过境申报等内容做出规定。
上海市数据交易专家委员会委员、同济大学法学院副教授陈吉栋分析该征求意见稿时认为,总体上,征求意见稿降低了在多种情形下数据出境事前监管的要求,疏解了市场的焦虑,构成了我国数据跨境的最新的制度革新,尤其值得重视。
2022年7月7日,国家网信办发布了《数据出境安全评估办法》,又于2022年6月24日发布《个人信息跨境处理活动安全认证规范》。2023年2月22日,国家网信办发布《个人信息出境标准合同办法》。上述三份文件强调向境外提供数据需要通过数据出境安全评估,或订立个人信息保护标准合同,或通过个人信息安全保护认证,由此构成了我国目前数据出境的三条路径。
对比此前的法律规范,陈吉栋认为,《数据跨境规定》针对此前数据出境前置监管中的实际问题,调整了数据出境前置监管的适用标准,豁免了具有强出境必要性及少量个人信息出境的数据出境前置监管义务,降低了企业的数据合规成本,是对于此前规则的完善和突破。
具体来看,征求意见稿中首先明确四类数据出境豁免申报。
国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
陈吉栋分析称,从立法体系上来看,本条对《数据出境安全评估办法》第四条及《个人信息保护法》第五十五条中规定不明的情况进行了明确,在不涉及个人信息的场景下,豁免了对应的监管义务,减轻了企业开展数据跨境流动合规工作的负担。
在此次发布的征求意见稿中,对“重要数据”的认定引发市场关注。
未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
陈吉栋指出,本条暂缓了对重要数据的认定。依据该条的规定,在本行业内的重要数据得以确定前,数据处理者均可豁免申报数据出境安全评估的义务,正常开展数据出境活动。本条针对尚未得以明确的“重要数据”采取“暂时搁置”的办法较为符合监管实际现状,既能有效促进数据出境,又给未来的立法活动留有余地。
在数据出境监管上,此次征求意见稿也做了多项“松绑”。
不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
此外,境购物、跨境汇款、机票酒店预订、签证办理等多个情形之一的,也不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
陈吉栋认为,上述规定对“数据过境”进行了“松绑”,可概括理解为“数据过境”不再需要申报数据出境安全评估、订立个人信息出境标准合同、个人信息保护认证。
“本条的积极意义在于,提供跨境服务的企业,尤其是云服务提供商,在对境外开展业务时将不必担心是否申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证等监管问题。”陈吉栋说。
在数据跨境制度建设探索上,征求意见稿也有亮点。
自由贸易试验区可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),报经省级网络安全和信息化委员会批准后,报国家网信部门备案。
陈吉栋认为,本条内容的亮点在于将自贸区确立为数据特区进行试点,明确自贸区可以自行制定数据跨境流通中的负面清单。
他认为,之所以由自贸区探索该负面清单制度,是因为自贸区内的企业大多具有数据出境需求,并且自贸区先行探索数据出境的道路已有先例。而且自贸区具有较高开放度和优惠政策,可以促进贸易和投资自由化和便利化。比如《中国(上海)自由贸易试验区临港新片区条例》规定,按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全有序流动。
在陈吉栋看来,征求意见稿出台的总体背景是国内外数据跨境流通进入了新的发展阶段提出了新的要求。就国内来看,促进数据的跨境交易不仅一直被视为我国数据要素市场建设的应有之义,更被作为促进外商投资优化投资环境的重要因素,因此也成为立法者关注的焦点。
他同时强调,数据跨境规则的调整并不意味着数据安全合规重要性的降低,依然需要持续不断的完善数据合规的生态体系,尤其是发挥数据交易所这样的基础设施的功能,辅助企业安全合规的开展跨境数据交易活动,防止在事中、事后出现被监管叫停的风险出现。
“总的来说,交易所提供的合规服务和支撑功能,在尊重数商合规意愿的基础上,有助于保障企业的交易合规合法,让市场建立信心,使监管通达产业逻辑。”陈吉栋表示。
评论