主办单位:中国物品编码中心 | 中国自动识别技术协会 | 《中国自动识别技术》杂志社

设为首页 | 加入收藏 | 关于我们

  电子商务  正文

数字经济时代 数据出境合规探讨

发布时间:2023年05月05日 来源:中国自动识别网 作者:王玉娟

数据出境的合规是数字跨境贸易繁荣背景下保护国家安全、公共利益和个人权益的需要。本文通过梳理目前中国国内法律法规现状,指导数据处理者根据自身性质、业务所涉及的数据类型、数量等数据出境的合规是数字跨境贸易繁荣背景下保护国家安全、公共利益和个人权益的需要及中国国内法律法规现状,指导数据处理者根据自身性质、业务所涉及的数据类型、数量等选择合适、合规的数据出境路径。
数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。数据资源是数字经济时代的关键生产要素,是推动经济社会高质量发展的重要引擎。
党的二十大报告指出:“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。”随着全球数字经济的迅速发展,数据跨区域的流动成为趋势。数据资源流动在推动数字经济与国际贸易发展的同时,涉及个人隐私保护、产业发展需求、国家安全维护等多重利益的冲突与平衡。从全球范围来看,世界各国对数据资源的争夺日益激烈,数据出境流动的治理规则在很大程度上直接关系国家安全、公共利益以及个人的合法权益。
 
什么是数据出境?
根据2022年9月1日发布的《数据出境安全申报指南》的相关规定:1、数据处理者将在境内运营中收集和产生的数据传输、存储至境外;2、数据处理者收集和产生的数据存储在境内、境外的机构、组织或者个人可以查询、调取、下载、导出;3、国家网信办规定的其他数据出境行为。由此可见,符合以上三类情形之一的都会被认定为是数据出境。
 
我国数据出境相关法规制度逐步建立和完善
近年来,我国正在逐步建立和完善与数据出境相关的法规制度,便于保障国家安全、公共利益以及个人合法权益的前提下更好的促进数据在全球范围内的安全流动、满足产业发展的需求、保障数字经济安全可持续发展。2016年11月7日,《中华人民共和国网络安全法》正式颁布,第三十七条明确规定;关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。这是国家首次明确了数据出境需要进行安全评估要求。
2021年《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》相继发布,三部法律的制定为数据出境提供了法律基础。
近两年,《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》《个人信息保护认证实施规则》《个人信息跨境处理活动安全认证规范V2.0》以及《个人信息出境标准合同规定(征求意见稿)》等规范性文件的陆续发布,对数据出境的路径、流程进行了具体规定,实现了数据出境相关规定的具体化和可操作化,逐步从制度层面搭建出了我国数据出境的监管机制,国内法律法规梳理,如图1所示。
图1  数据出境相关法律法规梳理
 
 
数据处理者数据出境可选择的主要法律路径
所谓数据处理者,根据《中华人民共和国数据安全法》第一章第三条规定数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。2021年11月14日,国家互联网信息办公室发布的《网络数据安全管理条例》(征求意见稿)对数据处理者的基本概念进行了定义,指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
通过对以上国内相关法规制度要求的梳理,有数据出境合规需求的数据处理者,可根据自身性质以及处理数据的基本情况选择以下三种途径之一实现数据合规跨境:1.数据出境安全评估;2.个人信息保护认证;3.标准合同。
数据处理者需首先对自身的性质进行判定,对自身涉及出境的数据进行梳理,若数据处理者属于关键基础设施运营者或者出境数据属于重要数据则必须进行数据出境安全评估。对于处理个人信息数量不满足触发数据出境安全评估条件的数据处理者可以选择进行个人信息保护认证或者选用标准合同来实现个人信息合规出境,如图2所示。
图2  数据出境合规路径
 
以上三种路径都是在审查或评估数据处理者是否履行数据出境方面的责任原则要求,但具体审查的主体有所不同。安全评估的审查主体是网信部门,其中省级网信部门对申请材料进行形式审查,国家网信部门对申请材料进行实质审查并作出是否可以出境的决定。个人信息保护认证的审查主体是国家认证认可监督管理委员会认定的专业机构,该专业机构不是政府机构,而是市场化运营的组织。相比之下,标准合同机制下的审查主体是签订合同的双方主体。
数据出境的安全评估
适用范围 数据处理者向境外提供重要数据;关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,以上情况满足其一便可触发数据出境安全评估的门槛,数据处理者应当开展数据出境安全评估工作。
申报材料 申报方式及流程可具体参考国家网信办于2022年9月1日发布的《数据出境安全评估申报指南》。
数据处理者未触发数据出境安全评估的相关要求,比如数据处理者非关键基础设施运营者,并且处理的数据非重要数据、运营的个人信息数量未达到100万人以上以及自上年1月1日起累计向境外提供的个人信息未达到10万、个人敏感信息未达到1万,满足以上这些条件外,若其出境数据中仍包含个人信息,则应选择个人信息保护认证或标准合同实现合规出境,这两种方式任选其一即可。
个人信息保护认证
适用范围 根据《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》相关规定,认证的适用范围为:跨国公司或者同一经济、事业实体下属子公司或关联公司之间的个人信息跨境处理活动,由境内一方申请认证并承担法律责任。
认证范围 根据《个人信息保护认证实施规则》规定,对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
认证模式 认证机构以及认证流程等具体可参考由国家市场监督管理总局、国家互联网信息办公室于2022年11月8日发布的《个人信息保护认证实施规则》。
另外,根据《认证规范2.0》第5.4条的规定,开展个人信息跨境活动的个人信息处理者应当事前进行“个人信息保护影响评估”;由此可见,认证方式的出境路径还需要进行“个人信息保护影响评估”。
标准合同
适用范围 根据《个人信息出境标准合同规定(征求意见稿)》相关规定,其适用范围为:非关键信息基础设施运营者;处理个人信息不满100万人的;自上年1月1日起累计向境外提供未达到10万人个人信息的;自上年1月1日起累计向境外提供未达到1万人敏感个人信息。满足以上条件的个人信息处理者可通过签订标准合同实现个人信息合规出境。
关键内容 个人信息处理者和境外接收方的基本信息,包括但不限于名称、地址、联系人姓名、联系方式等;个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等;个人信息处理者和境外接收方保护个人信息的责任与义务,以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等;境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响;个人信息主体的权利,以及保障个人信息主体权利的途径和方式;救济、合同解除、违约责任、争议解决等。
另外,根据《标准合同规定征求意见稿》第5条的规定,个人信息处理者向境外提供个人信息前,应当事前开展个人信息保护影响评估,第7条规定,个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门提交标准合同和个人信息保护影响评估报告,以进行备案。由此可见,数据处理者通过标准合同的出境路径也需要进行“个人信息保护影响评估”。关于如何进行个人信息保护影响评估,数据处理者可具体参考《信息安全技术 个人信息安全影响评估指南》。需要注意的是,目前《标准合同规定征求意见稿》尚未正式发布,满足条件的主体可持续关注相关法律的进展。
全球数字经济的深入发展加快了数据在全球范围内的流通使用,数据安全上升到了国家主权的高度。数据的跨境流动关乎个人、社会和国家利益。我国的数字经济发展具有独特的市场规模优势,数据处理者必须做好个人信息跨境的合规化建设,在此基础上充分利用数字经济优势地位,增强在全球数字经济发展中的竞争力,助力相关行业持续稳定发展。
中国物品编码中心  王玉娟
《条码与信息系统》2023年第2期总第174期

延伸阅读:

声明:

    凡本网注明“来源:中国自动识别网、《中国自动识别技术》、《条码与信息系统》”的所有作品,版权均属于中国自动识别网、《中国自动识别技术》、《条码与信息系统》, 未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国自动识别网、《中国自动识别技术》或《条码与信息系统》”。违反上述声明者,本网将追究其相关法律责任。
    凡本网注明“来源:XXX(非中国自动识别网、《中国自动识别技术》、《条码与信息系统》)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。文章内容仅供参考。 如因作品内容、版权和其他问题需要同本网联系的,请将内容传真至010-84295675,以便本网尽快处理。

高端访谈 更多>>
商品二维码 全球商品通用...
王毅 研究员、中国物品编码中心技术部副主任兼二维码研究室主任,国际自动识别与数据采集技术分委会(ISO/IEC JTC 1/...
物品身份及其编码的本质
张成海 中国物品编码中心主任、中国ECR委员会联合主席、国际物品编码组织(GS1)管理委员会委员及顾问委员会委员、全...
推进我国二维码标准化应...
王毅,中国物品编码中心二维码研究室主任,技术部副主任,研究员,国际自动识别与数据采集技术分委会(ISO/IEC JTC1/S...
AVEVA剑维软件: 信息和智...
数据是数字化转型的关键因素,是企业的重要资产。
杂志专区 更多>>

《2024第1期》

《2024第1期》