刘蓉蓉 上海市法学会律师法学研究会副会长,北京大成(上海)律师事务所*党**委副书记
学术专长:公司法
代表作:《公司诉讼律师实务》(法律出版社2021年12月版)、《“一带一路”法律·经贸丛书》(上海人民出版社2020年7月版,丛书共八本)。
习*平近**总书记在*党**的二十大报告中提出要“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群” 。
习*平近**总书记强调,数据基础制度建设事关国家发展和安全大局,不断做强做优做大我国数字经济。可见,发展数字经济是我国经济未来增长动能的重要来源。数字化转型也已经成为全球经济发展的大趋势,世界主要国家都把数字化作为优先发展的方向。
数据领域是决定国家未来发展潜力和国际竞争力的重要领域,在发展数字经济的过程中,如何保障数据要素的合规高效流通利用,需要法律人进行深入研究,以专业化的法律服务助力数字经济的高质量发展。
2022年12月2日,国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》即“数据二十条”,从数据产权、流通交易、收益分配、安全治理四方面初步搭建我国数据基础制度体系,目的在于在促进数据的高效流通,支持我国数字化经济建设的全面发展。
“数据二十条”一大亮点是搁置所有权问题,探索性地提出数据资源持有权、数据加工使用权和数据产品经营权分置,形成了“三权分置”的数据产权框架,对未来数据产权相关制度的构建具有里程碑的意义。
在数据流通交易方面,“数据二十条”提出要构建规范高效的数据交易场所,坚持场内与场外两种数据流通方式并举,虽然场内场外对数据交易的诉求不同,但这类多层次市场交易体系为数据流通提供了坚实的基础。
数据的价值在于流动,数据自由跨境流动和数据本地存储是全球数据治理最为关注的两个问题。
“数据二十条”明确,要构建数据安全合规有序跨境流通机制,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作。针对跨境电商、跨境支付、供应链管理、服务外包等典型应用场景,探索安全规范的数据跨境流动方式。
从2022年到现在,我国接连发布了《数据出境安全评估办法》《个人信息跨境处理活动安全认证规范》《个人信息出境标准合同办法》及《个人信息出境标准合同》等与数据出境相关的规定,为企业数据出境起到了指引作用。
一、什么是数据出境?
数据出境通常是指将在中华人民共和国境内收集和产生的电子形式的个人信息和重要数据,提供给境外机构、组织、个人。数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。三是国家网信办规定的其他数据出境行为。
这里的“提供”不仅指直接主动将数据传输至境外的行为,也包括通过其他方式,使得境外可以访问、获取。比如境外母公司通过访问查看境内子公司的个人信息也属于这里的“提供”范畴。
另外,“出境”也不仅是指物理上跨越国境的行为,数据传输至港澳台地区也属于数据出境的范畴。
二、数据出境评估
对于个人信息出境,《个人信息保护法》给出了三条明确的出境路径,即安全评估、专业机构认证及订立标准合同。这三条路径并非是由企业自主选择,而是首先要对数据场景进行识别,不同风险的数据场景对应着法定的适用情形。三种路径中,保护认证是由第三方专业机构审查,标准合同对应的是备案机制,而安全评估则因为涉及高风险数据出境场景,所以具有更强的行政监管属性。
对于需要安全评估的情形而言,《数据出境安全评估办法》将数据类型分为重要数据和个人作息。数据处理者向境外提供数据,必须向国家网信部门申报数据出境安全评估的情形:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;及(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
首先,什么是“重要数据”?《数据出境安全评估办法》将“重要数据”定义为“一旦被篡改、销毁、泄露、非法获取、非法使用,可能危害国家安全、经济运行、社会稳定、公共卫生安全等的数据”。
此外,全国信息安全标准化技术委员会(信安标委)先后发布两稿《信息安全技术——数据出境安全评估指南》征求意见,对重要数据的定义为:相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据。同时提供了附录《重要数据识别指南》,列明了各行业中重要数据的范围。在实务中,对于具体目录中没有的可参考通用识别规则和监管部门的回复。
需要注意的是,除重要数据外,个人信息的规模突破相应的法定数量也会触发安全评估,由于数据规模是动态变化的,所以企业建立数据的动态监测系统非常必要。
再者,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。根据《网络安全审查办法》,申报网络安全审查,应当提供申报书、安全分析报告、IPO材料等文件。网络安全审查办公室将按照《网络安全审查办法》第10条的要求对数据出境企业国家安全风险因素进行评估,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
三、数据跨境流动的比较法分享
目前,全球对于数据跨境流动没有统一的监管规则。各国数据跨境的价值取向存在较大差异。美国追求数据的经济价值,主张数据自由跨境流动,欧盟提倡保护个*权人**利,要求以数据权利保护为基础的数据跨境流动,中国则主张数据跨境流动应该以国家数据安全为前提。
以欧盟为例,欧盟《通用数据保护条例》(GDPR)被认为是最严格的个人信息保护条例。按照 GDPR 的规定,企业违规可能会面临高达2,000万欧元或企业全球年收入的4%的罚款(两者取其高)。
如前所述,我国数据出境的几种路径,其中“标准合同范本”“经用户个人同意”可以在GDPR找到相对应的路径方式。但GDPR采取以企业自治为主的方式,数据出境大部分工作需要企业自主完成,*家部国门**较少介入企业数据出境的合规。而根据我国的《个人信息保护法》,企业需要就标准合同向有关部门进行备案。
另一方面,欧盟对于数据安全的强监管也对我国企业数据出境产生重大影响。根据GDPR规定,GDPR适用于以下三种情形:
情形一:数据控制者、数据处理者在欧盟有营业场所的,不论数据处理行为发生在欧盟还是境外。例如:我国某公司在欧盟设有分支机构,但数据处理系统部署在中国,或只处理中国客户的个人信息,受GDPR约束。
情形二:数据控制者、数据处理者未在欧盟设立营业场所,但向欧盟的数据主体提供商品或者服务,或者被追踪的网络行为发生在欧盟的。例如:我国某公司设立在国内且在欧盟无实体,但是为包括欧盟公民在海外市场提供产品和服务,受到GDPR约束。
情形三:虽然数据控制者、数据处理者未在欧盟设立营业场所,但是根据国际公法应当适用欧盟成员国法律的。
2021年,荷兰数据保护局以侵犯儿童隐私故而违*G反**DPR相关条款为由,决定对字节跳动旗下短视频社交平台TikTok(抖音国际版)处以75万欧元的罚款。荷兰数据保护局认为,在2018年至2020年,TikTok仅向荷兰数据主体提供英文版隐私政策,但荷兰官方语言为荷兰语,这意味着TikTok提供的隐私政策信息无法轻易被16岁以下只掌握荷兰语的儿童理解。因此,不会英语的儿童必须主动搜集信息才能知晓数据控制者的完整义务,从而增加了儿童未能被及时告知的风险,也背离了保护弱者及透明公平原则。
这是中国企业第一次因违*G反**DPR相关条款而遭受处罚,对于我国企业具有深远意义。在中国企业数据跨境流动数量不断攀升的背景下,面对欧盟等发达国家对数据强的监督,我国企业势必将面临更为严格的数据安全监管。
2022年,我国数字经济规模超过50万亿元,占GDP比重超过40%,持续保持在10%的高位增长速度,成为稳定经济增长的关键动力。
中国已经进入数字现代化新阶段,数据的基础战略地位已经形成,数字经济时代已经到来。数字领域作为我国蓬勃发展的新兴领域,给予了法律服务市场更多的可能性,也对律师的专业性提出了更高的要求。律师在数字经济时代应该聚焦自身专业水平的与时俱进,以及法律服务核心竞争力的提升,护航企业的高质量发展,为我国数字经济持续健康增长作出积极贡献。
责任编辑:王 健 王洁莹