人物简介
王春晖
我国知名信息通信与数字经济战略与法律专家,浙江大学教授、网络空间治理与数字经济法治(长三角)研究基地主任、联合国国际贸易法委员会中国观察员专家团成员、工信部信息通信经济专家委员会委员、中国行为法学会网络与数字法治研究院院长、中国法学会网络与信息法学研究会常务理事,参与我国《网络安全法》《个人信息保护法》《数据安全法》等法律的立法咨询与修改,多次代表中国参加联合国国际电联《国际电信规则》的审议。
随着全球贸易发展向产业服务化、服务数据化方向演进,“跨境流通交易”等越发引起各界关注。针对数据跨境交易安全合规等焦点话题,南都专访了浙江大学教授、网络空间治理与数字经济法治(长三角)研究基地主任王春晖,其参与了《网络安全法》《个人信息保护法》《数据安全法》等法律立法咨询与修改。
A
数据跨境流通法律规则源于三大基础性法律
南都:数据跨境流通、交易一直是数据合规领域重要话题,也是监管重中之重。目前我国涉及数据出境法律法规主要包括《网络安全法》《个人信息保护法》《数据安全法》《网络安全审查办法》以及《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》等,这些法律法规对于数据跨境流通规定有什么异同点?
王春晖:我国数据跨境流通、交易的法律规则主要源于《网络安全法》《数据安全法》和《个人信息保护法》这三大基础性法律。
首先,2017年6月1日施行的《网络安全法》第37条规定向境外提供数据的法律规则,这是我国首先以法律形式确立数据出境需要进行安全评估的规定,该条有两层含义,一是关键信息基础设施的运营者在国内收集和产生的个人信息和重要数据应当在境内存储;二是因业务需要,确需向境外提供的,应当依法进行安全评估。这条内容主要针对主体是关键信息基础设施的运营者。
其次,2021年9月1日施行的《数据安全法》是我国首部数据安全领域的基础性立法,该法第31条确立数据出境的基本法律规则。该条对数据出境法律适用做了分工:一是关键信息基础设施的运营者收集和产生的重要数据确需出境,适用《网络安全法》(第三十七条)的规定;二是关键信息基础设施运营者以外的“其他数据处理者”在国内收集和产生的重要数据出境,适用国家网信办制定的相关出境安全管理办法。
2021年10月,国家网信办公布《数据出境安全评估办法(征求意见稿)》,其上位法包括《网络安全法》《数据安全法》和《个人信息保护法》,其性质属于上述三部法律有关数据和个人信息出境安全评估的专门配套规定。
再次,2021年11月11日施行的《个人信息保护法》详细确立了个人信息跨境提供的重要规则。
B
数据和个人信息跨境流通实施阶梯式评估
南都:国内对数据跨境流通安全评估模式有哪些?企业或监管机构如何平衡数据安全与数据流通、交易之间的利益冲突?
王春晖:目前我国数据和个人信息跨境流通实施阶梯式评估模式:“自评估”+“国家安全评估”。企业应重点掌握,一个“前提”和一个“保障”,即以企业数据出境自评估为前提,以数据出境的国家安全审查为保障的数据出境安全评估机制。
“自评估”合规要点包括:1.数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;2.出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;3.数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;4.境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;5.数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;6.与境外接收方订立的数据出境合同是否充分约定数据安全保护责任义务。
“国家安全评估”时的审查要点主要包括:1.数据出境的目的、范围、方式等的合法性、正当性、必要性;2.境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中国法律、行政法规规定和强制性国家标准的要求;3.出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;4.数据安全和个人信息权益是否能够得到充分有效保障;5.数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;6.遵守中国法律、行政法规、部门规章情况;7.国家网信办认为需要评估的其他事项。
C
完善的数据要素交易 体系有五大合规要素
南都:北数所、深数交等均在探索数据跨境交易路径。数据提供方、数据需求方、数据服务方,需要如何做好数据交易合规?
王春晖:数据要素商品化形成的数据生产要素市场,需要构建完善的数据要素交易合规体系,重点应考虑五大合规要素:数据交易标的合规、数据交易场所合规、数据交易平台合规、数据交易行为合规以及数据交易安全合规。
一是数据交易标的合规。数据交易标的合规主要指数据供方交易的数据获取渠道合法、权利清晰无争议,能向数据交易机构提供拥有交易数据完整相关权益的承诺及交易数据采集渠道、个人信息保护政策、用户授权等相关材料,以及确保交易数据的真实性,能够向数据交易机构提供交易数据真实性的承诺及相关材料。数据交易机构或其委托的合法数据处理机构应当对数据供方提供的交易数据的合法、真实、来源进行合规审查。
二是数据交易场所合规。目前,最有代表性的两部地方数据综合性立法《深圳经济特区数据条例》《上海市数据条例》均规定,数据市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。
三是数据交易平台合规。为了保障数据交易的公信力,数据交易应当通过依法设立的数据交易平台进行,建议数据交易平台由政府牵头设立。比如《深圳经济特区数据条例》要求深圳市政府应当推动建立数据交易平台,引导市场主体通过数据交易平台进行数据交易。
四是数据交易行为合规。数据交易行为一般包括交易申请、交易磋商、交易实施、交易结束、争议处理等环节。
五是数据交易安全合规。重点是对数据交易机构的合规要求。数据交易机构应当设立数据安全负责人和管理机构,落实数据安全保护责任,还应当对拟交易的数据建立分类制度,落实有关部门对不同类别数据提出的安全要求,对拟交易数据建立分级保护机制。如果交易数据需向境外提供的,应当依法按照国家网信办制定的数据出境安全评估办法进行安全评估。
专访为节选内容 更多详情请扫码阅读
