数字技术的蓬勃发展多层次地影响着世界经济格局,数据逐渐成为各国新一轮国际政治博弈中争夺的重要资源。当前,数据资源的全球竞争中,越来越多的国家或地区立足于发展利益,制定了相应的数据跨境管理规则。
由于数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,《评估办法》不仅是对《网络安全法》《数据安全法》《个人信息保护法》等法律法规中“出境数据安全评估”规定的细化落实,2022年7月7日,国家互联网信息办公室正式公布《数据出境安全评估办法》(以下简称《评估办法》),因而《评估办法》对随着数字经济快速发展,也是保护我国基础性战略资源和国家安全的关键措施。“数据主权”、“数据隐私”、“数据跨境流通规则”等越来越受到国际的关注。完善我国数据出境管理规则势在必行。
伴随数字经济蓬勃发展,融入全球数据跨境流动的趋势不可避免。我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家也更为严峻,亟需建立健全数据跨境管理规则。《评估办法》立足维护国家安全和社会公共利益、保护个人信息权益,构建了我国数据出境安全评估的制度,将事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。
数据作为数字经济的核心要素,是我国破题数据跨境流动管理规则的重要实践。欧美已经形成较为体系化的数据跨境管理制度,就个人信息和重要数据的出境安全评估管理措施提供具体的法律解决方案,已经成为国家之间争夺的重要战略资源。
《网络安全法》第37条要求,关键信息基础设施运营者向境外提供个人信息和重要数据应当进行安全评估,首次从法律层面提出了数据出境安全评估要求。《数据安全法》第31条将重要数据出境管辖范围由关键信息基础设施运营者拓展至所有数据处理者,《个人信息保护法》第40条要求达到规定数量的个人信息处理者向境外提供个人信息需要进行安全评估,进一步完善了数据出境安全评估的范围和合规机制。本次出台的《评估办法》落实这三部法律的数据出境管理规定和要求,明确了数据出境安全评估的适用条件、评估流程、管理机制等,使数据出境安全评估制度具体落地。
欧盟的跨境数据流动政策主要体现在对个人数据的保护和限制,其《通用数据保护条例》(GDPR)构建了一套高标准的数据保护机制,并为涉及个人数据出境业务的企业或机构提供了数据保护充分性认定、约束性公司规则(BCR)和标准合同条款(SCC)等多种合规渠道和工具,而充分性认定是通过建立“白名单”对其数据流入国进行严格限定。同时,为满足安全和执法诉求,欧盟也提出了数据的域外管辖要求。
除日本、韩国、澳大利亚等已经加入美国数据跨境规则阵营的国家外,其他国家普遍采纳谨慎的数据跨境流动政策。印度、巴西等国家参照欧盟GDPR建立了要求较为严格的数据跨境传输规定。俄罗斯将数据本地化作为跨境传输的前提,奉行较为严格数据跨境传输管控措施。根据有关数据,从2017年到2021年,要求数字信息存储在特定国家的法律、法规和政府政策的数量增加了一倍多,达到144个。
美国积极推进有利于自身的跨境数据流动规则,在倡导数据自由流动的同时,也对关键领域数据出境施加限制措施,EO 13556号行政令严格限定了关键基础设施、金融、税收等近20个门类数据的传播范围,《外国投资风险审查现代化法》《出口管制条例》等法律通过外商投资安全审查、出口管制等手段对人工智能关键技术、敏感个人数据等采取相关跨境限制措施。
近期评论