资源描述
2021-2022全球及中国数据跨境流动规则和机制建设研究报告I目录前言 1一、主要国家和地区的数据跨境流动规则和机制 2(一)欧盟:同等保护水平条件下促进数据跨境流动 2(二)美国:数据自由流动原则下限制敏感数据出口 8(三)日本:积极推动与欧美的数据跨境流动 14二、国际组织的数据跨境流动规则和机制 17(一)OECD:确立数据跨境流动和保护的基本原则 17(二)APEC:美国主导跨境隐私规则体系(CBPRs) 18(三)东盟:重点发展示范合同条款和数据跨境认证 20三、我国的数据跨境流动规则和机制 21(一)重要数据:原则上境内存储,确有必要跨境提供需进行安 全评估 21(二)个人信息:在数据主体同意的前提下,提供安全评估、认 证等三种机制 24(三)数据跨境调取:奉行对等原则,并需经有关主管部门批准.25四、我国数据跨境流动规则和机制建设面临形势、主要挑战及对策建议. 26(一)面临形势 261.各国加快构建符合其利益的规则和制度体系262.西方国家积极推动建立全球数据跨境流动圈283.地缘政治成为数据跨境流动的重要考量因素29(二)主要挑战 301.数字技术普及使得网络数据出境更不易察觉302.以窃取我国敏感数据为目的的境外攻击增多313.境内数字企业违反规定向境外提供大量数据32(三)对策建议 341.建立健全数据跨境流动规则体系342.发展数据跨境流动安全保障能力353.试点探索数据跨境流动管理机制364.推广数据跨境流动中国治理方案38II前言数据跨境流动对于促进数字创新、提高经济增长效率和 增进社会福祉至关重要。麦肯锡 2016 年的研究表明,自 2008 年以来,数据流动对全球经济增长的贡献已经超过传统的跨 国贸易和投资,成为推动全球经济发展的重要力量1。美国智 库 CSIS 于 2021 年 4 月发布的亚太地区的数据治理中指 出,疫情大流行前的一项研究曾预测,跨境数据流动将在 2020 年使全球经济产出增加 3以上,或将近 3 万亿美元2。随着各国对数据跨境流动意义和影响的认识日益深入, 数据跨境流动逐步成为国家和地区间博弈的重要问题。基于 国家安全、经济发展、产业能力等多方面的考量,各国确立 了不同的数据跨境流动策略,并基于此加快构建自身的数据 跨境流动规则体系。当前,以美国为首的西方国家将地缘政 治作为数据跨境流动的重要考量因素,采取包括限制关键技 术数据出口、对涉数据交易开展国家安全审查、禁止敏感数 据向竞争对手流入等措施,加快对中国等战略竞争对手的数 据封锁。同时,美欧等西方国家为抢占国际规则话语权,维 护数字竞争优势,还积极与志同道合伙伴联合,推动构建全 球数据跨境流动圈,进一步排挤竞争对手。这不仅阻碍了全 球范围内达成数据跨境流动的共识,也给我国数据跨境流动6规则和机制构建带来了不小的挑战。我国是全球数据资源大国,数据产生量位居世界前列, 据调查 2019 年我国共产生了 3.9ZB 的数据量,约占全球 9.3%, 居世界第二3。我国构建自身的数据跨境流动规则和机制,要 着眼于促进数字创新,同时要兼顾维护国家安全、公共利益 和个人隐私权益。在当前全球尚未建立统一规则的情况下, 我国一方面要加快构建数据跨境流动规则体系,建立健全数 据出境安全评估、个人信息保护认证等制度,并通过试点探 索数据跨境流动管理机制,另一方面要积极推广数据跨境流 动中国治理方案,与合作伙伴建立共同的规则和制度安排, 实现规则的趋同和互操作,推动数据安全有序地跨境流动。一、主要国家和地区的数据跨境流动规则和机制(一)欧盟:同等保护水平条件下促进数据跨境流动欧盟将个人数据保护视为一项基本权利,一直坚持高标 准保护个人数据。在消除境内数据自由流动壁垒、建立统一 数据保护标准的同时,欧盟要求其他国家只有在提供与欧盟 同等水平保护的情况下,才允许个人数据跨境向其进行传输。1.基于充分性认定建立数据跨境传输白名单制度“充分性认定”是一般数据保护条例(GDPR)确立 的主要数据跨境传输机制。欧盟委员会综合考虑数据保护立 法实施、执法能力、救济机制、国际参与等因素,对欧盟以外国家或地区数据保护的充分性进行评估,将与欧盟保护水平相当的国家或地区列入“白名单”,允许欧盟个人数据向上 述国家或地区传输。根据 GDPR 第 45 条,欧盟委员会做出充分性认定时, 需特别考虑以下因素:(1)法制程度高低、是否尊重人权和 基本自由、相关立法和立法实施情况;(2)拥有有效、专业 的独立监管机构;(3)加入有关个人数据保护的国际条约或 多边协定,承担国际法上的义务。充分性认定的程序是:由 欧盟委员会发起提案,征求欧洲数据保护委员会意见并获得 欧盟成员国代表组成的委员会同意后,欧盟委员会最终通过。 欧盟委员会对获得认定的国家和地区至少每四年进行一次 评估,以确保其满足同等保护水平要求。截止 2021 年 4 月,获得欧盟委员会充分性认定的国家和地区有 12 个,即安道尔、阿根廷、加拿大(商业组织)、 法罗群岛、格恩西岛、以色列、马纳岛、日本、泽西岛、新 西兰、瑞士和乌拉圭4。此外,欧盟委员会已完成了与英国、 韩国数据保护水平谈判,认为两国具备了与 GDPR 基本相同 的数据保护水平。2021 年 2 月,欧盟委员会发布了将个人数 据传输到英国的充分性认定决议(草案),6 月正式作出针对 英国数据保护的充分性决定;2021 年 3 月,欧盟与韩国完成 关于数据保护同等水平的谈判并得出“充分性”结论,6 月欧盟委员会正式启动并通过了关于向韩国传输数据的充分性认定程序。2.在适当保障措施下提供多样化数据跨境传输方式 对于没有获得欧盟充分性认定的国家或地区,数据控制者或处理者在提供了适当保障措施,并且满足数据主体能行 使权利、能获得有效法律救济的条件时,可将个人数据向上 述国家或地区传输。GDPR 规定的适当保障措施主要包括:约束性公司规则(Binding Corporate Rules,BCR)。BCR适用于在欧盟设立总部或分支机构的跨国公司,由跨国公司 自行拟定内部机构之间数据传输和保护的规则,经欧盟成员 国数据监管机构审核批准后生效。运行多年来,共有 100 多 家跨国公司申请并获得通过。BCR 解决了跨国公司内部机构 之间频繁传输数据的隐私保护问题,但同时也存在适用范围 有限、实施成本高等弊端。标准合同条款(Standard Contractual Clause,SCC)。SCC 是数据传输双方采用欧盟标准合同条款,通过将 GDPR 规定的义务转化为合同义务和责任,确保对数据主体权利的 保护。在 GDPR 生效之前,欧盟委员会已经于 2001 年、2004 年和 2010 年出台了三个标准合同文本。2020 年 11 月 EDPB 就向第三国传输数据的标准合同条款草案公开征求意见, 2021 年 6 月欧盟委员会公布了两套标准合同文本,取代了之前的三个标准合同文本5:一是将个人数据从欧盟转移到第三 国的新标准合同文本;二是适用于欧盟境内的控制者与处理 者之间的标准合同文本。SCC 为数据跨境流动提供了一个相 对宽松且安全的解决方案,有助于促进数据跨境流动规则的 融合与统一。行为准则(Codes of conduct,CoC)。CoC 是 GDPR 新引入的机制。当欧盟以外国家未获得充分性认定时,该国的 数据控制者或处理者可作出具有约束力和可强制执行的承 诺,承诺遵守经批准的行为准则,则欧盟数据可向其传输。 根据 2019 年 EDPB 发布的指南,行为准则草案由代表数据 控制者或处理者的行业组织和协会起草,经欧盟成员国数据 监管机构审查同意后(跨国准则还应经 EDPB 审查同意),提 交欧盟委员会审查公布。目前欧盟委员会还未批准任何 CoC。认证机制(Certification)。认证是 GDPR 新引入的机制。欧盟鼓励建立数据保护认证机制、印章或标识,欧盟委员会 制定数据保护认证机制的具体要求,并可通过实施性法令来 确定认证机制、印章或标识。成员国监管机构认可的认证机 构签发数据保护认证,数据控制者和处理者自愿申请认证, 得到批准后,可使用印章或标识证明其数据活动符合欧盟规 定,并进行数据跨境传输。此外,如果欧盟以外国家未达到欧盟数据保护水平,且未提供适当的保障措施时,GDPR 规定了数据跨境传输的法定例外情形,包括:数据主体同意、履行合同义务、保护重 要公共利益、保护数据主体及他人的重大利益、行使或抗辩 法定请求权、公共注册登记机构数据传输等情形。3.通过限制数据本地化等促进非个人数据自由流动2018 年 11 月,欧盟发布非个人数据自由流动框架条 例,对成员国的数据本地化要求进行限制,并对国家机关获 取数据、数据自由迁移等问题作出了规定,建立了欧盟内部 数据跨境流动的基本规则。限制成员国的数据本地化要求。一是除非基于公共安全的理由,数据本地化要求应当被禁止;二是成员国立法引入 新的数据本地化要求或者对现行要求作出修改,应当按照程 序报告欧盟委员会;三是在条例实施之日起 24 个月内,成员 国应当废除现行的数据本地化要求;四是成员国应当公开数 据本地化要求的详细信息,并保持更新。确保成员国主管部门的数据获取权限。一是当成员国主管部门提出访问数据的请求时,不得以该数据由另一成员国 处理为由而拒绝;二是当成员国主管部门提出访问数据的要 求后未能获得访问数据,且欧盟法律或国际协议下不存在不 同成员国主管部门交换数据的具体合作机制的,一国的主管 部门可以按照程序要求另一成员国主管部门予以协助;三是 根据欧盟或成员国法律,成员国对未遵守数据提供义务的行为可实施有效、适当的处罚。保障“专业用户”能够自由地进行数据迁移。针对欧盟 境内云计算等服务商利用技术、合同等手段锁闭用户的情况, 条例提出保障“专业用户”对数据进行自由迁移:一是将“专 业用户”界定为:基于贸易、商业等相关目的使用或请求数 据处理服务的自然人或法人;二是欧盟委员会鼓励和促进欧盟层面制定自律性行为守则,行为守则应包括向用户提供数 据迁移的流程、技术要求、时间等信息,并评估此类行为守 则的发展情况和实施效果。4.以大规模监控侵害个人权利为由废除美欧“隐私盾”1995 年个人数据处理及自由流动保护指令出台后, 考虑到欧盟与美国贸易往来频繁,对个人数据的跨境流动需 求极大,且美国不满足欧盟的充分性保护要求,欧美设立了 数据跨境传输的特殊管道“安全港”协议,后来被“隐 私盾协议”取代。但 2013 年斯诺登事件后,欧盟认为美国政 府的大规模监控使美国无法提供数据充分性保护,故分别于 2015 年和 2020 年废除了上述协议。“安全港”协议(U.S.-EU Safe Harbor Framework)。2000 年 11 月美欧“安全港协议”正式生效。在该协议框架 下,美国企业向商务部“自我证明”满足协议规定的七项原 则及相关要求,就可以将欧盟个人数据传输到美国进行处理。 2013 年斯诺登事件后,欧盟对存储在美国科技企业的欧盟个7人数据的安全性提出质疑,并引发了对“安全港”协议合法性的质疑。2015 年 10 月,欧盟法院作出判决,认定“安全 港”协议无效。“安全港”协议运行了 15 年,约有 4500 余家 美国企业加入该协议。协议无效后,大批美国大型及中小型 跨国企业的数据跨境传输失去了法律基础,对美欧贸易和经 济发展形成一定阻碍。为解决上述问题,欧盟与美国启动紧 急谈判,寻求新的跨境数据传输解决方案。“隐私盾”协议(EU-U.S. Privacy Shield Framework)。2016 年 7 月,欧盟与美国“隐私盾”协议正式生效。协议取 代了“安全港”协议,为欧美数据跨境传输提供了新的规则。 协议强化了美国企业的数据保护义务和欧洲公民的权利救 济,特别强调了监督机制的执行,并对美国政府的大规模监 视进行了约束和限制。但 2020 年 7 月,“隐私盾”协议被欧 盟法院判决无效。法院认为,美国把国家安全、公共利益和 执法的要求放在首位,美国内法对公权力访问数据的限制不 能满足欧盟法的要求,“隐私盾”协议无法保证欧洲公民不成 为美国情报部门的潜在监视目标,也没有赋予这些个人对抗 美国政府、寻求司法救助的权利,“隐私盾协议”无法为欧盟 转移到美国的个人数据提供充分保护。(二)美国:数据自由流动原则下限制敏感数据出口基于其数字技术优势和经济全球扩张的需求,美国主张 全球数据自由流动,反对对数据跨境流动进行不必要的限制。13但同时,基于遏制战略竞争对手、维护其技术霸权目的,美国以国家安全为由严格限制敏感数据出口。1.对涉敏感个人数据交易进行外国投资安全审查2020 年 2 月,美国外国投资风险审查现代化法(FIRRMA)全部条款及实施条例生效,明确界定了敏感个 人数据,并将敏感个人数据视为国家安全的组成要素,将涉 敏感个人数据交易纳入外国投资安全审查范围。根据 FIRRMA 及实施细则,针对维护或收集敏感个人数 据的美国企业的外国投资,如果该美国企业满足相应条件, 且可能使外国投资者获得特定权利,则应当纳入美国外国投 资委员会(CFIUS)的安全审查范围。其中,外国拟投资的 美国企业需满足下列任一条件:(1)企业为美国政府或军事 机构提供产品或服务;(2)企业过去 12 个月内维护或收集超过 100 万人的数据;(3)企业有明确业务目标去维护或收集超过 100 万人的数据,且该数据属于企业主要产品或服务 的组成部分。“可能使外国投资者获得特定权利”主要指下 列权利之一:(1)能够访问任何“重大非公开技术信息”;(2)获得董事会或类似机构的成员资格或观察员权利,或提 名某人担任董事会或类似机构职位的权利;(3)以股东投票 权以外的其他方式参与到企业重大决策中,如涉及美国公民 个人敏感信息的使用、开发、获取、保护或披露,或关键技 术的使用、开发、获取或披露等。FIRRMA 还规定了“白名单”做法,设置了“例外国”和“例外投资者”,目前已将澳大利亚、加拿大和英国认定 为首批“例外国”,其特定投资者可豁免涉敏感数据等交易 审查。而被美国认为对国家安全威胁大的国家,如中国、俄 罗斯等,则成为特别关注国,接受严格的外国投资安全审查。目前美国已经以国家安全为由,对我国多起涉敏感个人 数据交易进行外国投资安全审查。例如,2019 年 3 月,CFIUS 向我国昆仑集团发出通知,要求其出售持有的同性恋交友软 件 Grindr 的股权;2019 年 4 月,CFIUS 要求我国碳云智能 公司出售持有的病患在线服务平台 PatientsLikeMe 的股权; 2020 年 3 月,美国政府发布行政令,要求我国石基信息公司 剥离酒店管理解决方案提供商 StayNTouch 相关的所有权益。2.对敏感数据大规模跨境提供进行严格管控美国虽然没有普遍性的数据跨境流动法律,但对敏感个 人数据、政府重要数据、商业数据等的大规模出境,有着严 格的管控要求。在限制本国企业大规模数据出境行为的同时, 美国尤其关注外国产品或服务收集、获取美国敏感数据的风 险,并以国家安全为由对外国产品或服务进行严格管控。2021 年 6 月 9 日,美国总统拜登签署了关于保护美国 人的敏感数据不受外国敌对势力侵害的行政命令。该行政 命令指出,应用程序可以访问和捕获用户的大量信息,包括 美国个人信息和专有商业信息,这种数据收集有可能为外国对手提供获取这些信息的机会,从而带来重大安全风险。该行政命令要求美商务部“对与外国对手有关联的软件应用进 行安全评估,并酌情采取行动。评估的对象涉及中国等外国 对手设计、研发、制造或供应并可能对美国和美国人构成不 应有或不可接受风险的软件应用”。在评估应用程序风险时 应考虑几个因素,包括:使用应用程序进行监视或间谍活动, 使得外国对手可访问敏感或机密的政府或商业信息,或敏感 的个人数据;所收集数据的范围和敏感性;连接应用程序的 用户数量和敏感性等。6此外,美国国会还提出了相关立法提案,以国家安全 与个人数据保护法案(National Security and Personal Data Protection Act of2019)和保护美国人的数据免受外国监 视法案(Protecting Americans Data from Foreign Surveillance Act)为代表。前者由参议员 Josh Hawley 于 2019 年提出, 法案的管制对象是依据“特别关注国家”(主要是中国和俄 罗斯)法律成立的、提供基于数据的在线服务的科技企业, 法案禁止科技企业向特别关注国家传输用户数据以及破译 相关用户数据所需的密钥数据(包括间接通过第三方非特别 关注国家传输),禁止特别关注企业将其从美国收集的数据 存储在美国以外或和美国签订协议共享数据的国家以外,并明确了科技企业收集、处理数据的规则和要求7。后者由参议 员 RonWyden 于 2021 年 4 月提出,法案要求商务部确定可 能因跨境提供而危害美国国家安全的个人数据类别,并明确 对这些数据的批量出口实行许可制度;对于非法出口数据的 企业高管,设定相应处罚,并对因非法出口数据在国外遭受 人身伤害、逮捕或拘留的个人创设个人行动权8。3.通过“长臂管辖”扩大美国境外数据调取权力2018 年 3 月,美国总统签署澄清境外数据合法使用法 案(Clarifying Overseas Use of Data Act,CLOUD 法案),核 心内容有两方面:一是通过“控制者原则”,扩大了美国执法机构调取境外 个人数据的权力。根据该法案,美国的网络服务提供商默认 应向美国政府披露其控制的数据,无论网络服务提供商的通 信内容、记录或其他信息是否存储在美国境内,只要该网络 服务提供者拥有、控制或监管上述内容、记录或信息,均需 要按照该法案的要求保存、备份、披露。同时,如果外国企 业在美国提供业务并且与美国发生了充分的联系,也可能被 要求提供境外数据。二是法案舍弃了传统的双边或多边司法协助条约,允许 “符合资格的外国政府”通过与美国签订双边协定形式,申请通过网络服务商调取美国的数据。其中,“符合资格的外国政府”需满足美国设定的人权、数据保护、信息自由流动和 互联网开放等要求。4.主导多双边协定限制各国设置数据跨境流动壁垒美国在与各国的多双边贸易谈判中,都主张将数据跨境 自由流动作为原则性条款纳入,以限制各国为数据跨境流动 设置的本地化存储等市场壁垒,促进数据自由流动。美韩自由贸易协定。2012 年美国与韩国签署美韩自由贸易协定,首次就跨境数据流动达成原则性条款。该协定明 确,考虑到贸易中数据自由流动和个人信息保护极其重要, 双方应当努力避免给电子数据的跨境流动强加不必要的障 碍。同时,该协定金融服务章节提出,双方应当允许金融机 构以电子或其他形式跨境传输数据,用于处理日常的业务。跨太平洋伙伴关系(TPP)。2016 年 2 月,美国在推动跨太平洋伙伴关系协定谈判过程中首次增加了有关跨境数 据流动的约束性条款,以减少双方跨境数字贸易的壁垒。 2017 年美国退出该协定后,后续“全面与进步跨太平洋伙伴 关系协定”电子商务章节基本保留了美国主导的 TPP 原先达 成的内容,明确规定:除为“正当公共政策之目的”外,应 允许为数据主体利益而进行的数据跨境传输。目前该规则已 成为不少国际协定电子商务章节的范本。TPP 协定关于数据 跨境自由流动的条款内容主要包括:(1)缔约方不将设立数据中心作为允许 TPP 缔约方企业进入市场的前提条件,也不要求转让或获取软件源代码;(2)禁止对电子传输征收关税, 不允许缔约方以歧视性措施或直接阻止的方式支持本国类 似产品的生产商或供应商;(3)各缔约方同意实施并保持针 对网上诈骗和商业欺诈行为的消费者保护法,并确保隐私和 其他消费者权益保护得到执行;(4)各缔约方有义务采取措 施阻止推销性质的商业电子信息。美墨加协定(USMCA)。2018 年 11 月 30 日,美国、墨西哥、加拿大三国签署美墨加三国协定(USMCA)。 USMCA 于 2020 年 7 月 1 日正式生效。在数据跨境流动方 面,USMCA 与 TPP 基本保持一致,主张除非为了正当公共 利益外,不得对数据跨境传输进行限制。该协定明确:当相 关机构是在其业务许可范围内开展相关数据跨境传输活动 时,三方不允许限制相关机构以电子或其他形式跨境传输数 据(包括个人数据)。同时,协定在 TPP 基础上新增了数据 相关义务,主要包括:(1)限制第三方在互联网平台上发布 内容的民事责任(知识产权除外);(2)通过建立一个最小化 本地存储需求的流程,为金融数据自由跨境提供了机会;(3) 促进政府开放数据获取。(三)日本:积极推动与欧美的数据跨境流动借鉴欧盟做法,日本加快制定本国数据跨境流动规则, 提供数据主体同意、白名单国家等灵活多样的数据跨境流动19机制;同时,积极跟进美国主张,倡导“可信数据自由流动”理念,探索构建与欧美乃至更广范围的数据跨境流动圈。 1.提供灵活多样的数据跨境流动方式 日本关于数据跨境流动的规定主要包含在个人信息保护法中。该法 2003 年发布,2015 年 9 月进行修订,并于2017 年正式生效。 新修订的个人信息保护法关于跨境数据流动的主要内容包括:(1)设立 “个人信息保护委员会” (PIPC) 作为 独立监管机构,制定向境外传输数据的规则和指南。(2)增 加跨境数据流动一般性规定,明确一般情况下,处理个人信 息的经营者在向国外第三方提供个人数据时,需要事先获得 数据主体对该提供行为的同意。(3)增加数据主体同意的例 外性规定,将数据主体的数据向任何位于第三国的第三方转 移时,原则上必须事先经过其同意,除非在以下情形下:(a) 符合日本个人信息保护委员会制定的标准的两类服务商:一 是采取“适当与合理”的措施确保达到日本个人信息保护 法相关要求的服务商;二是获得国际隐私保护框架认证的 服务商。(b)当某一国个人信息保护法的相关规定能够确保 该国个人信息保护达到日本的水平,则个人数据可传输至该 国(白名单国家)。采取“适当与合理”措施的服务商。按照日本个人信息保护委员会发布的指南,是否构成“适当与合理”的方式应当根据个案来进行评估判断。例如,通过签订合同、认证、签署谅解备忘录等方式,日本境内的经营者将个人数据的处 理委托给外国的经营者;又如,个人数据是在同一个集团的 内部公司间根据内部规则、隐私政策等规定进行传输,这些 规则和政策同时约束数据发送方和接收方。获得国际隐私保护框架认证的服务商。 日本加入了APEC CBPRs,因此获得该体系认证的服务商,不需要取得 数据主体的同意。日本还引入了 TRUSTe 认证制度,该认证 制度以“OECD 八项原则”为基础,但具体标准较日本个人 信息保护法更高。日本还引入了 ISMS 国际标准认证体系, 在对国际标准进行本土化改造后发布 JIS Q 27001 标准,并 据此开展认证。白名单国家。根据日本公布的具有与日本同等保护水平的第三国列表,第三国必须满足以下五个条件:(1)有同等 的法律或规则;(2)设立了与“个人信息保护委员会”同等 的独立监管机构,实施必要和适当的监管;(3)基于对个人 信息利用和个人权益保护的共同理念而与日本达成合作;(4) 对个人数据的国际传输施加的限制不得超越保护个人信息 的必要范围;(5)能够为日本的产业创新、经济社会蓬勃发 展以及实现国民的富裕生活做出贡献。2.建立与欧美的数据跨境流动机制日本积极跟进美国数据跨境自由流动的主张,加入了美国主导的 APEC CBPR 体系,并且在美国退出 TPP 后主导了“全面与进步跨太平洋伙伴关系协定”(CPTPP)。同时,日 本积极与欧盟就数据跨境流动“充分性保护”进行磋商,2019 年 1 月,欧盟通过了对日本的数据保护充分性认定,双方跨 境数据流动与各自境内数据流动并无二致。3.倡导全球可信数据自由流动2019 年初,日本首相安倍在达沃斯会议上提出了“可信 数据自由流动”理念。2019 年 6 月,利用担任 G20 主席国之 际,率先提出 G20大阪数字经济宣言,包括中国、美国和 欧盟等 24 个国家和地区签署,就全球跨境数据流动形成共 识。宣言明确,将在尊重国内和国际法律框架的基础上,鼓 励不同框架之间的互操作性,建立信任和促进数据的自由流 动。目前,G20 关于跨境数据流动的共识还处在理念层面, 尚未形成框架性协议。二、国际组织的数据跨境流动规则和机制(一)OECD:确立数据跨境流动和保护的基本原则 1980 年,OECD 颁布隐私保护和个人数据跨境路东 指南,概括性地抽象出个人数据(隐私)保护的八项基本原则,主要是收集限制、数据质量、目的特定、使用限 制、安全保护、公开、个人参与、责任等原则,数据控制 者对是否有效实施上述原则承担责任。2013 年 7 月,OECD 通过了理事会关于隐私保护和个人数据跨境流动的指南建议 2013,针对部分原则增加 了具体实施要求,主要修改包括:(1)强调完善国际和国 内隐私保护法律环境,要求成员国建立隐私执法机构;(2)增加了数据控制者实施隐私管理规划、数据安全损毁 通知两项义务;(3)进一步放宽对个人数据跨境流动的限 制,最大限度地促进数据的自由流动;(4)规定了国家实 现隐私保护目标的具体手段与措施;(5)强调隐私保护全 球一体化的必要性和重要性,倡导在国际层面建立起一个 强大的全球性隐私执法机构合作网络。(二)APEC:美国主导跨境隐私规则体系(CBPRs)2007 年,为落实APEC 隐私保护框架,APEC 第 19 届部长级会议签署了APEC 数据隐私探路者倡议,首次提 出建立 APEC 跨境隐私保护规则体系(CBPRs)。2011 年 11 月,CBPRs 在 APEC 第 19 次领导人非正式会议上得到认可。 CBPRs 是一项自愿的、政府支持的隐私认证体系。该体 系对成员经济体参与 CBPRs 提出明确要求,并建立了隐私执法机构跨境合作、问责代理机构认可和商业机构认证机制。 各成员经济体的商业机构自愿加入,以证明遵守国际公认的 数据隐私保护标准,通过认证的商业机构可相互之间自由传 输数据。CBPRs 是 APEC 跨境个人隐私保护的核心内容,旨 在促进 APEC 各经济体之间无障碍的跨境信息流动。成员经济体参与 CBPRs。成员经济体选择加入 CBPRs,应当满足以下条件9:(1)该国至少有一个隐私执法机构加入APEC 跨境隐私执法安排(CEPA)。(2)该国必须向 APEC 电子商务指导小组主席、数据隐私小组主席和 CBPRs 联合 监督小组(JOP)主席提交信件,说明如下内容:一是成员经 济体有隐私执法机构加入 CPEA;二是成员经济体计划使用 或指定至少一个经 CBPRs 认可的问责代理机构;三是该国 隐私法律、法规和行政措施的详细情况,以及上述法律法规 的执法情况;四是详细说明成员经济体具有符合 CBPRs 要 求的隐私保护法律法规,及如何执行这些法律法规。问责代理机构认可机制。CBPRs 使用经 APEC 认可的问责代理机构,证明商业机构的隐私政策和做法符合 APEC 隐 私框架并为其认证,监督商业机构遵守 CBPRs。当成员经济 体被获准加入 CBPRs 体系后,该国至少要指定一个问责代 理机构。联合监督小组(JOP)负责对问责代理机构的申请进 行审核,并按年度核实其是否符合认可标准的要求。商业机构隐私保护认证机制。拟加入 CBPRs 的商业机构向问责代理机构申请隐私保护认证,问责代理机构按照 CBPRs 要求对其进行评估,通过评估的商业机构获得隐私保 护印章、信任标识。需要特别说明的是,2011 年 CBPRs 仅 适用于个人数据控制者,为了使数据处理者也获得同样的认证,对外展示其遵守隐私义务的能力,2015 年 2 月 APEC 又批准了处理者隐私识别(PRP)。CBPRs 实施的最新进展。目前 APEC 有九个成员经济 体参与 CBPRs,即美国、墨西哥、日本、加拿大、新加坡、 大韩民国、澳大利亚、中华台北和菲律宾。在这些经济体中, 仅有日本、韩国、新加坡和美国四个国家指定了问责代理机构,其中日本 1 家、韩国 1 家、新加坡 1 家和美国 5 家,有近 40 家商业机构获得了认证,绝大多数是美国的商业机构10。(三)东盟:重点发展示范合同条款和数据跨境认证2018 年,东盟发布了东盟数字数据治理框架,将 “数据跨境流动”作为数字数据治理的四大战略重点之 一,明确提出要建立东盟数据跨境流动机制,对数据流动 不作不必要的限制,以增强跨境数据流动的确定性。2019 年 11 月,东盟通过了东盟跨境数据流动机制的关键方 法,建议东盟重点发展两个机制,即:东盟示范合同条 款(MCCs)和东盟跨境数据流动认证。2021 年 1 月 22 日,作为对东盟数字数据治理框架 的回应和落实,东盟批准发布东盟跨境数据流动示范合 同条款,作为实施东盟跨境数据流动机制的第一步。该 合同条款区分数据控制者到数据处理者、数据控制者到数20据控制者两种情形,明确了数据输出方和接收方各自的责任、所需的数据保护措施和相关义务。MCCs 是一项自愿性 的标准,是数据跨境流动中应当遵守的最低标准,无论成 员国是否有数据保护法律,均可实现数据跨境传输。东盟跨境数据流动认证是授予已证明有良好数据保护 政策和做法的成员国及企业、组织或机构以印章或标志。 目前东盟尚未出台认证相关的标准、要求和程序,后续东 盟发展数据工作组将开展制定工作。此外,东盟允许数据 传输双方自由使用东盟认可的任何其他有效数据传输机 制,只要这些机制适用于东盟成员国,如 APEC CBPRs、 具有约束力的公司规则、行为准则等。三、我国的数据跨境流动规则和机制(一)重要数据:原则上境内存储,确有必要跨境提供 需进行安全评估我国网络安全法和数据安全法确立了重要数 据出境的基本框架,即重要数据原则上应当在境内存储, 确需向境外提供时应当进行安全评估。可见,目前我国重 要数据跨境流动制度的核心是数据出境安全评估。1.数据出境安全评估旨在把控数据出境的安全风险2017 年国家互联网信息办公室发布了个人信息和重 要数据出境安全评估办法(征求意见稿),2019 年又发 布了个人信息出境安全评估办法(征求意见稿),着21力构建可操作性的数据出境安全评估制度。根据上述办法,我国数据出境安全评估重点评估以下内容:(1)数据 出境的必要性;(2)涉及重要数据情况,包括重要数据的 数量、范围、类型及其敏感程度等;(3)数据接收方的安 全保护措施、能力和水平,以及所在国家和地区的网络安 全环境等;(4)数据出境及再转移后被泄露、毁损、篡 改、滥用等风险;(5)数据出境及出境数据汇聚可能对国 家安全、社会公共利益、个人合法利益带来的风险等。2.金融等行业完善数据跨境流动规则和制度我国金融、卫生健康、交通运输等部门很早就结合行 业需求对特定数据出境提出了要求,建立健全数据跨境流 动规则和机制。相关要求主要集中在两个方面:(1)明确要求数据本地化存储。例如,2006 年银监会发布的电子银行业务管理办法第十条规定,中资银行 业金瓯让机构的电子银行业务运营系统和业务处理服务器 设置在中华人民共和国境内;2016 年由交通运输部、工信 部等 7 部委发布的网络预约出租汽车经营服务管理暂行 办法第二十七条规定,网约车平台公司应当遵守国家网 络和信息安全有关规定,所采集的个人信息和生成的业务 数据,应当在中国内地存储和使用,保存期限不少于 2 年,除法律法规另有规定外,上述信息和数据不得外流; 2016 年国家新闻出版广电总局、工业和信息化部发布的22网络出版服务管理规定第十二条要求,申请从事网络出版服务应当提交网站域名注册证明、相关服务器存放在 中华人民共和国境内的承诺。(2)明确数据出境相关要求。这方面多数是笼统性的规定,缺乏操作性。例如,2013 年发布的征信业管理条 例第二十四条规定,征信机构向境外组织或者个人提供 信息,应当遵守法律、行政法规和国务院征信业监督管理 部门的有关规定;2019 年中国人民银行等四部委发布的信用评级业管理暂行办法第三十条规定,信用评级机 构向境外组织或者个人提供信息,应当遵守法律法规以及 信用评级行业主管部门和业务管理部门的有关规定;2021 年 5 月国家互联网信息办公室发布的汽车数据安全管理 若干规定第十二条规定,个人信息或者重要数据应当依 法在境内存储,确需向境外提供的,应当通过国家网信部 门组织的数据出境安全评估。3.地方加快探索数据跨境安全监管模式2020 年 8 月,商务部发布关于印发全面深化服务贸 易创新发展试点总体方案的通知,提出北京、上海、海南 等条件相对较好的试点地区开展数据跨境传输安全管理试 点,明确要求支持试点开展数据跨境流动安全评估,建立 数据保护能力认证、数据流通备份审查、跨境数据流动和 交易风险评估等数据安全管理机制。32根据北京、上海、浙江、海南等地的自贸试验区方案,各地都在加快数据跨境流动机制探索,并采取了一些 创新性的举措。例如,北京明确要加强跨境数据保护规制 合作,促进数字证书和电子签名的国际互认,探索制定跨 境数据流动等重点领域规则,提出数据产品跨境交易模 式,并设立了北京国际大数据交易所;上海明确要建立数 据保护能力认证、数据流通备份审查、跨境数据流动和交 易风险评估等数据安全管理机制,并提出依托国际光缆登 录口构建跨境数据中心、新型互联网交换中心,建设新型 数据监管关口,设立新片区跨境数据公司。(二)个人信息:在数据主体同意的前提下,提供安全评估、认证等三种机制借鉴欧盟 GDPR 等规定,我国个人信息保护法确 立了三种个人信息跨境流动机制:(1)安全评估,由国家 网信部门组织实施;(2)个人信息保护认证,国家网信部 门出台相关规定,专业机构按照规定开展认证活动;(3) 标准合同文本,由国家网信部门制定标准合同文本,数据 输出方和接收方订立合同,明确双方的权利和义务,并监 督接收方的个人信息活动达到法律规定的个人信息保护标 准。目前上述三种机制都还在制度设计阶段。2019 年国家 互联网信息办公室发布个人信息出境安全评估办法(征求意见稿),安全评估工作由省级网信部门组织进行,重点评估一下内容:(1)是否符合国家有关法律法规和政策 规定;(2)合同条款是否能够充分保
展开阅读全文