專家解讀｜數據跨境傳輸制度建設邁向新階段

在先後制定數據出境安全評估、個人信息出境標準合同以及個人信息保護認證等具體制度後，我國數據跨境傳輸制度已經初步成型，爲企業跨境業務提供較爲明確的規範指引。並且，北京市互聯網信息辦公室發佈了全國首例數據出境安全評估案例和首個個人信息出境標準合同備案獲批案例，兼顧流動與安全的數據跨境傳輸制度正在逐步落地落實。爲了進一步充分釋放數據要素的市場活力，國家網信辦近日公佈了《促進和規範數據跨境流動規定》（以下簡稱《規定》），在現有數據跨境傳輸制度基礎上，細化企業業務合規層面的實施標準，推動數據以安全可信的方式出境。

《規定》的最大亮點之處在於，不再是單純限定企業數據出境需要滿足的具體條件，而是直接明確不需要採用數據出境安全評估、個人信息出境標準合同以及個人信息保護認證的具體情形。其一，針對跨境購物、跨境匯款、機票酒店預訂、簽證辦理等常見業務活動，只要是爲訂立、履行個人作爲一方當事人的合同，確需向境外提供個人信息，那麼個人信息處理者無需申報相關數據跨境傳輸監管。此外，對於跨國企業或者對外提供勞務的企業而言，只要屬於“按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息”，同樣不需要申報相關數據跨境傳輸監管。其二，針對實踐中有關國際貿易、跨境運輸、學術合作、跨國生產製造和市場營銷等活動中收集和產生的數據出境，只要不包括個人信息或者重要數據，數據處理者同樣可以豁免適用數據跨境傳輸的前置程序。背後的立法考量是兼顧市場交易效率，因爲國際貿易、跨境運輸、學術合作、跨國生產製造以及市場營銷等常見業務活動會頻繁存在數據跨境傳輸的實踐需求，不分場景、不分情形地適用數據出境前置程序反而會限制數據跨境流動。這些制度安排充分體現了我國數據跨境安全監管理唸的先進性與科學性，因爲設置安全評估、標準合同、保護認證等機制的目的是更高效、更安全地跨境傳輸數據，而不是對所有的數據出境活動均施加相同的法定義務。

數據跨境傳輸活動的形式並非一成不變，不同的業務場景、技術應用等因素往往會產生不同的跨境傳輸需求。雖然安全評估、標準合同以及保護認證已經爲企業業務合規提供了多渠道數據出境的選擇空間，但爲了更深層次地激發跨境傳輸領域的數據要素經濟價值，仍然需要持續探索更加高效的數據出境機制。爲此，《規定》爲我國自貿區預留了先行先試的數據跨境傳輸特殊機制，其目的有二：一是探索更加適合自貿區跨境數字貿易活動特徵的數據跨境傳輸制度，二是爲以後優化數據跨境傳輸制度提供充分實踐樣本。不過，這種數據跨境傳輸試點模式並非直接排除安全評估、標準合同和保護認證的適用，而是在現行數據安全基礎制度的框架內，允許自貿區以負面清單的形式劃定是否適用數據跨境傳輸前置程序的特殊情形。進一步而言，這也與《關於進一步優化外商投資環境加大吸引外商投資力度的意見》提及的“數據清單”形成法律制度與產業政策的有效銜接，在簡化數據出境前置程序的基礎上，方便涉及跨境業務的企業高效從事數據跨境傳輸業務。

此外，《規定》還回應了數據跨境實踐中有關重要數據認定困難的合規難題。因爲一旦涉及重要數據的數據出境活動，需要嚴格適用特定的數據跨境傳輸制度。但是，企業因其自身業務合規水平有限，對於重要數據的識別標準和認定範圍難以準確把握，無法確定數據跨境傳輸活動是否需要適用數據出境安全評估等制度。爲了提供明確且可操作的行爲規範，《規定》明確，只要出境的數據不屬於被相關部門、地區告知或者公開發布爲重要數據的，數據處理者不需要作爲重要數據申報數據出境安全評估。此種制度安排化解了企業因無法準確識別重要數據而可能導致的業務不合規風險。

總結而言，此次《規定》的公佈無疑向數字市場釋放“利好”信號，極大解決了企業數據跨境傳輸業務合規的常見困惑，反映了我國監管機構在數據跨境傳輸監管實踐中監管能力和監管方式的提升和優化。數據利用是目的，數據安全是保障。數據跨境傳輸制度的立法目的是最大限度地實現利用與安全的平衡兼顧，並且，這種平衡兼顧的方式沒有停留於口號層面，而是通過具體的制度規範實現數據“又好又快地”出境。《規定》的公佈將有助於確保數據出境相關制度的準確實施，也使得監管機構能夠在既有的數據跨境傳輸制度基礎上，以更加靈活的方式預防和控制數據出境可能存在的各類安全風險，同時確保數據跨境傳輸的商業效率需求。

來源：“網信中國”微信公衆號