袁屹、辛小天、史蕾：数据出境新政开启企业自治与监管创新的双重奏——新政将面临的国际评价和监管挑战

2022-08-10

对于数据接收方国家或地区的数据保护措施进行“同等保护水平”评估，在全球各国或地区的数据跨境规则中较具有普适性。国际社会会如何评价中国的新数据政策，数据跨境途径的正式启动将会成为中国参与国际数据流通的桥梁亦或壁垒，成为中国企业参与国际市场以及国际贸易中不可避免需要论证的问题。为论证这个问题，需要对比中国与国际主流规则中的数据跨境流通原则是否存在较大偏离。

目前与中国相关的国际规则以我国于2020年11月签署的《区域全面经济伙伴关系协定》(“RCEP”)和正在申请加入的《全面与进步跨太平洋伙伴关系协定》（“CPTTP”）为主，后者被公认为迄今为止在所有区域贸易协定中作出的针对跨境电子商贸中最全面的规定。

国际规则介绍

无论RCEP还是CPTTP都是针对数据跨境规定了原则+例外的流通规定。CPTPP第14.11.2条规定“当以电子方式进行跨境信息传输的活动是为了涵盖人的商业行为时，每一缔约方应当允许以电子方式进行跨境信息传输，包括个人信息。CPTPP中的跨境数据做出了两个层次的例外规定：(1) 适用主体方面，CPTTP“涵盖人”的定义包括涵盖投资、投资者或服务提供者，但排除了金融机构和跨境金融服务提供者，同时不适用于政府采购和政府持有或处理的信息。(2) 目的方面，将“监管要求” 例外和“合法公共政策目标”作为数据自由流动的例外。在对跨境数据流动的规制中，隐私保护、在线消费者保护、公共道德、公共秩序等都有可能构成“合法公共政策目标”，为避免被过度使用， CPTTP规定了“必需性”评判机制 --- 要求出境限制措施应当采取合理有据、非歧视、非变相限制贸易的方式进行，以及限制措施应当是为了实现合法目标所必需的。而RCEP则规定了三类例外情形，即监管例外、合法公共政策例外和基本安全，并与CPTTP显著的区别是，RCEP给予了各国极大的自由裁量权，将“合法公共政策”的界定权直接赋予了缔约方。

例外规定作为针对数据跨境自由的让位已成为各国以及国际规则中的共识，评判一个国家数据自由流通的尺度中也是以评价出境限制“例外”规定的合理性和边界性。但由于缺乏全球统一的数字贸易治理框架，各国和地区展现了不同的关注侧重点。欧盟通过GDPR提出了以个人数据保护和建立欧盟内的数据流通市场为出发点；澳大利亚、新西兰和加拿大希望限制跨境数据传输以解决有关其公民数据的隐私关切;越南主张以国家安全为由限制互联网的使用和数据传输;新加坡提出以公共道德为由限制数据流动。美国虽然一直倡导数据自由流动政策，但通过《云法案》扩大其跨境数据的执法权利，抢夺他国的“治外法权”。

我国基础机制评价

我国2017年的《网络安全法》第 37 条采用的“原则不出境+安全评估例外”的规制模式。2021 年通过的《数据安全法》表明了我国促进数据跨境安全、自由流动的态度。《个人信息保护法》和《数据出境安全评估办法》的出台转变和奠定了我国数据出境的监管基调 --- 遵守数据分级分类管理的顶层设计框架，允许一般数据出境的流通自由度，对大量级个人信息、重要数据、核心数据和特殊行业（例如测绘、金融、医疗等）进行自由跨境例外管理。直面关键信息基础设施防护、网络安全保护等方面的技术上不足现状，中国在数据出境的整体政策上以“防守”性为主，数据出境限制主要体现在出境安全审查机制的设立、特殊行业数据出境限制以及现有个人信息保护规则等方面，该等机制的存在应可以归入CPTTP的“合法公共政策目标”原则。

纵观其他国家和地区的政策，现有机制而且也不单单是“中国特色”的特殊性表现。

(1)本地化规定

虽然CPTPP设置了禁止计算设施本地化的规则（第14.13.2条规定:“任何缔约方不得要求涵盖人使用位于其境内的计算设施，或将计算设施置于其境内，作为在其境内从事商业行为的前提条件。”），但本地化特别是针对特殊行业关键数据的跨境在各国各地区本土政策中并不少见。德国在 2016 年就针对某一类型的电信元数据提出了数据本地化存储的要求; 法国在医疗、信息通信等领域也存在相关的数据出境限制要求。

(2) 出境审查

号称数据自由流动倡导者的美国针对包括医疗健康、教育、儿童隐私、金融等领域的重要数据出口进行严格限制。美国和印度等国通过将涉及关键或敏感数据跨境以及相关交易纳入外资安全审查范围，设置出境的高门槛和严监管要求，并作为政治武器制裁他国企业。

(3) 个人信息保护规则

由于各国地区的立法态度不同，个人信息保护本地化政策从来都是跨境数据流动的国际规则协调难题，一方面隐私和人权各国地区数据保护体系建设的起始点；另一方面，复杂的保护规则以及越来越细化的监管要求，正在成为企业数字化活动中的沉重负担，在跨境贸易中反而可能阻碍本国企业的顺利出境以及国际合作的开展。最典型的冲突体现在欧盟和美国两大阵营从“安全港”、“隐私盾”到“跨大西洋新数据隐私框架”的反反复复结合和分歧。

“必需性”的判定挑战和建议

在中国现有出境合规政策与国际主流规则和各国本土控制情况并无较大偏离的情况下，则更应该从现有规则的明确化、统一化和正当性入手完善，方能充分应对CPTPP的“必需性”的客观判定要求。

(1)整合统一现有监管规定，完善配套准则，尽早出台整体数据治理框架

中国尚未形成完整统一的数据治理框架。特殊行业和领域的规定，如《中华人民共和国保守国家秘密法》《征信业管理条例》《人类遗传资源管理条例》《人口健康信息管理办法 (试行) 》等对数据出境限制类的法规，存在交叉、重叠，未能与《数据安全法》《个人信息保护法》最新规定原则进行统一更新。重要数据和关键信息基础设施企业作为数据出境安全审查的重要对象，但目前行业目录以及政府的认定规则仍在完善，该等认定涉及是CPTPP的“必需性”的基础，应配套《数据出境安全审查办法》尽快出台和明确。另外，针对大型互联网平台监管、数据不正当竞争、云计算人工智能能新技术应用要求以及数据资产化探索等规定仍然过于零散，颁布层级也高低不一，针对我国整体的数字经济和数据治理的战略框架应尽早出台，方能有助于国际交流中其他国家和地区对于我国数字政策客观全面评价。

(2)建立针对性个人信息保护评估和措施指引

跨境的隐私保护和消费者保护的规定主要集中在《个人信息保护法》中，其中规定数据输出方应当采取必要措施，保障境外接受方处理个人信息的活动的安全水平，并在数据主体的知情和权利行使上进行了原则性要求。国内APP的违法违规处理活动的开展引发了愈发细化的“中国特色式”个人信息保护监管要求，如果针对境外接受方的安全措施和评估要求与国内细化监管过于“一视同仁”，会因各国治理实操上的差异而导致上商业谈判和调整成本的增加。因此建议要求应遵从保障基本原则的基础上，针对境外接受方的个人信息保护措施出台针对性的政府指引建议。

另一个问题存在于现有《个人信息保护法》只规定了统一适用的原则要求，但针对具体的场景而导致的风险程度区别和评估差异化要求缺乏指引。2021年9月美国商务部、司法部、DNI针对因欧盟法院宣布《隐私盾》无效而导致的美国企业面临的个案评估论证问题，联合发布了白皮书指导美国企业如何对美国隐私保护法律环境进行评估（监管风险层级概述见下图），供美国企业对外澄清援引，其中指引了相同的数据处理阶段因面临的不同场景和接受对象而导致的风险差异，对美国企业进行了指导的同时也向世界表明了本国政府的数据风险关注态度。以上政府实践值得参考。

(3)加快国际互认机制，鼓励试点先行

通过区域贸易协定或联盟布局，局部实现自由跨境流动成为解决各国本土数据规则冲突的重要方式。世界贸易研究所一项关于 “双边贸易协定中的数据相关条款” 的研究显示, 自 2000 年起, 全球共有99项双边协议中包含了至少一条关于电子商务和数据跨境流动的条款, 其中有 72 项双边协议包含了电子商务和数据跨境流动的章节。中国前期参与的双边协定中数字贸易规则的议题数量相对有限，对于数据跨境流动等高标准的规则条款也都没有涉及。2020 年 11 月的RCEP是中国参与的首个对数据跨境流动作出专款规定的协议。提升国际经贸治理规则的话语权，通过互认建立数字联盟便利数字贸易，是推动中国数字强国建设的关键。

境外实践中标准合同和认证都存在一些诟病，包括灵活有余，但是监管不足，导致事后漏洞难补；而事前 ”一事一议“的出境安全评估机制监管成本和时间耗费较大，因此目前审批适用范围相对紧缩。针对贸易合作国的双边整体评估和互认应可以作为现有数据出境途径的有效补足。

应充分发挥我国现有数据跨境传输安全管理试点区优势（主要试点区政策要点见下图），借助区内制度优势开展和探索专项试点。尤其是粤港澳大湾区更具有区域试点的地域和政策优势，在国家倡导的大数据中心国家枢纽节点布局的前提下，“探索有利于人才、资本、信息、技术等创新要素跨境流动和区域融通的政策举措，共建粤港澳大湾区大数据中心和国际化创新平台。”（《粤港澳大湾区发展规划纲要》）。当地政府和网信部门应考虑建立试点项目和试点企业的报名和选择机制，聚焦集成电路、人工智能、工业互联网、生物医药、科学数据、总部经济等贸易创新发展领域，深挖主要贸易类以及在港、在澳中资企业的数据交流主要模型和特点，建议试点配备绿色通道、沙箱容错机制以激励企业参与的积极性。