随着全球化和数字经济的快速发展,数据作为国家基础性战略资产,成为国家间博弈的新主战场。全球海量数据在网络空间中不断移动和流转,由此产生的数据出境显著激增,其安全风险也在日益加剧,数据出境安全治理受到世界各国和重要组织的广泛重视,业界一直对我国出台相关的规章制度翘首以盼。近日,国家互联网信息办公室正式发布《数据出境安全评估办法》(简称《办法》),这是继《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》后颁布实施的又一项重要的法律文件,标志着我国在依法治网方面取得了新的成效。

一、加强学习,充分认识《办法》出台的重要意义

(一)《办法》是贯彻落实习近平法治思想的重要举措,是我国依法管网治网的有力抓手

习近平总书记指出,网络空间不是“法外之地”,要坚持依法治网、依法办网、依法上网,让互联网在法治轨道上健康运行。在习近平法治思想的指引下,我国构建了切实有效的管网治网法律制度体系,取得了一系列实施成就,为我国数字经济高质高效发展提供了坚实基础。当前,网络强国建设在“两个一百年”奋斗目标接续推进中进入新的发展阶段,数据跨境流动的爆炸式增长对国家数据安全带来了严峻挑战。《办法》的出台,紧紧抓住由数据引发的全球数字化转型战略机遇,紧扣作为新生产要素的数据驱动作用,力争在数字经济发展中抢占先机,奋力推进网络强国建设。《办法》深刻认识到数据在国家安全和经济发展中的关键作用,提出基于国家主权和网络主权原则的数据治理战略,严格规范数据跨境流动,为有效保障数据出境安全提供坚实屏障和有力抓手。

(二)《办法》解决了数据出境合规问题,我国数据治理法规体系逐渐健全

近年来,我国在数据出境安全管理体系建设方面初见成效,但在具体实施细则上仍有待确立。2017年6月,《网络安全法》正式实施,首次提出数据出境应当按照有关部门制定的办法进行评估,明确了关键信息基础设施运营者在境内收集和产生的个人信息和重要数据的出境管理要求;2021年9月,《数据安全法》正式实施,在《网络安全法》的基础上明确了重要数据的出境管理要求,要求数据跨境不得损害个人利益、公共利益和国家利益;2021年11月,《个人信息保护法》正式实施,确定了个人信息跨境流动安全监管的核心理念,明确了个人信息的出境管理要求。《办法》是《网络安全法》《数据安全法》和《个人信息保护法》共同确立的数据出境安全评估制度的落地细则,与三部基础性法律的定位和要求形成有效衔接,解决了数据出境合规问题,有效满足了上述三部法律有关数据出境安全监管要求,我国数据治理法规体系逐渐走向健全。

(三)《办法》满足了促进数据出境安全和依法有序自由流动的现实迫切需求

在全球数字经济格局博弈与规则确立的关键时期,数据领域的合作与竞争共存、机遇与挑战兼具,安全、有序、高效的数据跨境流动是推动数字经济健康发展的重要保障。我国作为数据大国,重要数据和个人信息种类多、规模庞大,数据跨境流动日益频繁。以北京为例,截至2020年底,超过165个国家和地区、累计超过4.5万家外商独资企业在京设立;3.5万家外国常驻机构、4000多家地区总部和研发中心、55家世界500强企业总部设在北京,拥有独角兽企业93家,跨国企业数据跨境流动业务客观存在,数据出境需求迫切。此外,国内大型互联网平台企业多数在境外上市,全国互联网领域中概股企业大约110家,其中境内运营主体在北京的企业近50家,占全国40%以上,这些平台企业涉足电商、搜索、房产、社交、娱乐、新闻信息等多个领域,数据出境监管制度直接影响到这些企业的国际化进程,在贸易全球化遇到极大挑战的今日,促进这些企业数据依法有序自由流动,以主动开放赢得主动发展,以高水平对外开放推动高质量发展是我国应对逆全球化的有力反制措施,具有极其重要的战略意义和现实的迫切需要。

二、坚持问题导向,统筹安全和发展,构建“自上而下”的数据安全监管制度

(一)坚持问题导向,建立全过程风险防范机制

数字时代具有海量交易、操作隐蔽的特征,各类数据的拥有主体多样,处理活动复杂,安全风险加大,监管难度上升,尤其在数据出境的过程中,可能会出现境外接收方缺乏足够数据保护能力或者不按承诺使用、出境数据遭到泄露、篡改、丢失乃至受到网络攻击、黑客入侵等安全风险,近年来大型互联网平台滥用数据、境外暗网售卖个人数据等事件层出不穷,如果没有相关法律约束数据出境,不仅危及个人隐私和商业利益,更直接危及国家安全和社会稳定,必须建立健全出境管理各项制度措施,切实加强数据出境安全保护。《办法》在第三条【评估原则】中提出要“坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”,通过第五条【风险自评估】和第八条【评估事项】实现事前预判风险的目的;通过在2年有效期内的持续监督,能够及时发现问题并采取措施。《办法》建立了全过程、全链条、动态化的数据出境风险防范机制,最大限度降低数据出境对个人信息权益、社会公共利益和国家安全的影响。

(二)明确 “两个主体”,强化域外约束效力

数据出境涉及主体包括境内数据处理者和境外数据接收方,只有双方共同履行好相关责任义务,才能真正实现数据的安全跨境流动。同时,数据出境所在地的国家或者地区对于数据的保护要求一般不同于数据入境所在地的保护制度,数据跨境流动监管的制度与政策可能出现不协调不衔接的情况。《办法》充分考虑了上述情况,在第五条【风险自评估】和第八条【评估事项】中着重考量了“与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务”,在第九条【法律文件要求】中明确了责任义务应包括的内容,并提出对境外接收方的数据保护水平进行评估。《办法》在第十四条【评估有效期和重新评估情形】中,对境外接收方所在地相关政策法规和网络安全环境发生变化、境外接收方实际控制权发生变化、与境外接收方法律文件变更等影响出境数据安全的情况,要求重新申报评估。可以说,《办法》充分考虑到数据出境具有不可逆的特性,在明确对数据处理者要求的同时对境外数据接收方提出了合规要求,实现了我国法律的域外约束效力,从而确保评估工作的各个环节之间有章可循、密切衔接。

(三)划分“三道红线”,契合个人信息出境现实需求

随着数字技术的不断进步,数据的分享和流动已成为常态,由此造成的个人隐私泄露和数据滥用问题广泛存在。在数据使用方面,企业和个人处于不对等的位置,个人作为数据的弱势群体,遭受到更多的利益侵害。《办法》直面这一急需规制的问题,充分考虑数据处理者处理个人信息的复杂性、多样性,对个人信息规模划分“三道红线”。《办法》在第四条【申报情形】中除了明确重要数据和关键信息基础设施运营者提供的个人信息在出境时必须申报评估外,还明确处理100万人以上个人信息的数据处理者、自上年1月1日起累计向境外提供10万人个人信息的数据处理者、自上年1月1日起累计向境外提供1万人敏感个人信息的数据处理者向境外提供数据需申报评估。同时,《办法》针对个人信息的规模和敏感程度相应明确了时间范围,契合了防范个人信息出境安全风险的现实需求。

(四)做到“两个统筹”,推进出境数据合法合规流动

在制订《办法》的过程中,国家网信部门遵循数字经济发展规律,统筹安全和发展,借鉴国际经验平衡数据开放流通与数据安全监管,在维护数据主权与国家安全、保护个人和公共利益的同时,支持数据高效流动并发挥其对经济增长、社会发展的作用。《办法》细化了出境数据安全评估的具体要求,为数据处理者合规的开展数据出境提供了清晰的路径和遵循。同时,《办法》明确提出“保障数据依法有序自由流动”,相比征求意见稿将“向境外提供超过10万人个人信息或者1万人敏感个人信息”由长期累计调整为年度累计,目的是尽最大可能减少重要数据出境限制对发展的不利影响,表明了我国进一步促进数据出境安全、自由流动的意愿,鼓励数据在依法有序的前提下自由流动,体现了以安全保发展、以发展促安全的治理理念。

(五)构建“自上而下”组织形态,创新监管模式

数据安全事关国家安全和主权,作为中央事权,在顶层制度设计上,要求数据控制主体在数据出境前需符合法律规定条件或按照规定完成安全评估,对数据出境安全评估的组织管理采取了国家网信部门主导的多部门协同开展的形式,同时积极发挥省级网信部门的作用,构建上下一体的监管格局。《办法》在第四条【申报情形】中明确规定,符合申报情形的数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估;在第十条【组织评估】中提出,国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。《办法》将省级网信部门作为数据处理者申报评估的“第一窗口”,充分考虑到省级网信部门对本地数据处理者的情况更加熟悉了解,能够发挥属地指导、协调和动员作用;《办法》同时兼顾了不同行业数据的特殊性和差异性,将国务院有关部门、专门机构同时纳入评估体系,形成评估合力。

三、多维度、深层次、全方位推动《办法》落地实施

《办法》的出台宣告我国正式开启了数据出境监管新篇章,必将更好地为国家安全、公共利益、个人信息权益保驾护航,同时也为全球数据出境监管提供了中国样本和方案。围绕《办法》的落地实施,提出以下四点建议。

(一)引导数据处理者夯实数据出境风险自评估能力

《办法》在第三条【评估原则】方面提出“风险自评估与安全评估相结合”,明确数据处理者在申报评估前,应当开展数据出境风险自评估。数据出境风险自评估是整个数据出境安全评估过程的前提条件和重要组成部分,企业事前做好自评估工作,可以为之后的申报评估节省时间和成本;如果企业事前不注重合规工作,在自评估质量和准确性等方面敷衍了事,后期申报评估就会遇到更多阻碍。因此,需要引导相关企业充分重视并熟练掌握自评估事项,对出境数据的数量、范围、种类、敏感程度,以及数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险等进行科学的分析研判,增强企业对自身出境数据的把控。同时,支持依法依规开展数据出境安全风险评估服务,逐渐探索形成可复制可借鉴的自评估有效模式,优化数据出境风险自评估管理工作的相关流程,进一步保障数据出境安全合规和管理制度有效落地。

(二)探索完善数据出境安全风险监测技术手段

创新监管理念,优化监管方式,面向国家数据安全重大需求,加快核心技术攻关,探索建立完善数据出境安全风险监测技术手段,将事前评估与持续监督相结合,围绕数据出境中和出境后遭到泄露、篡改、丢失、破坏、转移或者非法获取、非法利用多个方面进行风险监测,确保在评估有效期内开展动态过程跟踪,加强出境数据的识别定位及其传输途径、安全风险分析,最终实现出境数据分布可视、流转可控、访问可管、风险可预警、联动处置能力,不断提升我国数据出境监管科学化、规范化、智能化水平。

(三)加强宣贯培训,促进《办法》有效执行

一是加强宣传培训力度,将《办法》同《网络安全法》《数据安全法》《个人信息保护法》上位法的宣贯工作进行统筹安排,全面开展会展赛训等系列宣传活动,进一步加强对数据出境监管工作重要性的认识,进一步明晰《办法》出台的政策考量,进一步营造良好舆论氛围,进一步提高数据出境安全评估的能力和水平。二是创新宣传培训形式,充分利用微博、公众号、短视频等喜闻乐见的形式开展培训,力求培训实效。三是不断优化《办法》贯彻落实的实践操作模式,深入研究《办法》实施中出现的新情况、新问题,持续关注《办法》实施后有关方面的意见建议,及时出台配套的政策文件,提升立法质量和效果,确保立法目标顺利实现。

(四)完善重要数据目录,压实数据出境安全主体责任

《办法》在第四条【申报情形】阐释了数据处理者向境外提供哪些数据应该申报数据出境安全评估,明确了向境外提供重要数据必须进行评估。目前,各地存在对数据分类分级标准不统一、重要数据目录不一致的现象,直接影响了《办法》的顺利实施和落地见效。建议各地区、各部门尽快确定本地区、本部门以及相关行业、领域的重要数据具体目录,制定任务书、时间表、路线图并加快推进,对列入目录的数据进行重点保护,强化重要数据出境安全。

《办法》作为我国数据出境安全管理体系的重要组成部分,填补了我国在数据出境评估方面的政策空白,回应了社会关注的热点,是我国加强数据治理的有力举措,必将对维护国家安全和社会公共利益、保障数字经济健康有序发展、保护个人信息合法权益发挥积极作用。