欢迎您访问河南省工业信息安全产业发展联盟网站!
联盟公众号
数据跨境流动新规的风向标意义

作者:张茉楠(Zhang Monan)

中国国际经济交流中心美欧研究部副部长

数据跨境流动新规在很大程度上完善了中国数据跨境流动管理制度,使发展利益与安全利益达成新的平衡,并更侧重于发展利益。

9月28日,中国国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》。这是中国在数据跨境流动管理上的突破性创新,对未来中国数字营商环境以及制度型开放具有重要的风向标意义。

数据跨境流动是新一轮全球化的核心,是中国制度型开放的关键领域,更是参与高标准自贸谈判绕不过去的“坎儿”。数字领域的竞争既是技术之争,更是规则之争。当前,以数据跨境流动为核心议题的全球多双边经贸规则协定代表着新一轮高标准国际贸易规则的方向,主要大国均想借助规则主导权加紧输出本国数字治理模式,延伸数字管辖权,并拉拢利益相关者构筑规则,以期既保障数据主权安全,又不断提升数字领域国际竞争力。

相比之下,中国在数据跨境治理方面还存在诸多挑战。第一大挑战是国内数据跨境流动法律制度与国际规则不兼容。总体看,虽然《网络安全法》《数据安全法》《个人信息保护法》构成国内数据跨境流动管理的上位法,但与《全面与进步跨太平洋伙伴关系协定》(CPTPP)、《数字经济伙伴关系协定》(DEPA)等高标准数字贸易协定的要求相比,仍存在诸多兼容性问题。例如,《网络安全法》提出的数据跨境流动“本地存储、出境评估”等限制措施,就难以满足CPTPP“实现合法公共政策目标所需;不构成任意或不合理的歧视;不构成变相的贸易限制”等缔约要求。同时,目前中国尚未加入全球或区域数据跨境传输协定,也缺少对接国际数据跨境流动规则的接口与通道,明显处于被动。这将不同程度影响中国同其他国家和地区之间的信息流、资金流和贸易流。

第二大挑战是国内立法之间对数据跨境流动规定存在差异。《网络安全法》《数据安全法》《个人信息保护法》相继出台施行,进一步明确了中国数据跨境流动的基本原则和制度框架。但原有行业领域监管规定并未及时修订,这就在客观上造成了法律要求和行政法规与部门规章不一致的情形。

第三大挑战是受上位法限制,先行先试地区难以有实质性突破。数据跨境流动属于“国家事权”,地方难以越权。在《网络安全法》《数据安全法》《数据出境安全评估办法(征求意见稿)》等上位法约束下,自由贸易试验区、自由贸易港等先行先试地区的相关实践难以有实质性突破。

而此次国家网信办的数据跨境流动新规,在很大程度上完善了中国数据跨境流动管理制度,在重要数据确定、非安全数据跨境流动、离岸数据贸易、数据跨境流动试点等领域进行了大胆创新,使发展利益与安全利益达成新的平衡,并更侧重于发展利益。

首先,畅通非安全数据流动。新规明确规定,对于“国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。这将大大便利外资在华生产制造和创新研发的全球数据共享与流动。

数据跨境流动新规的风向标意义2.jpg

其次,离岸数据豁免审批。新规规定,“非在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”。这意味着入境的个人信息再出境,将豁免数据出境前置程序。更进一步讲,这对那些包括外资企业在内的致力于发展“两头在外”的离岸数据外包产业,并希望建立境外数据在境内存储、加工、贸易的全球数据服务商而言,将是一个重大的政策利好。

再有,给予自由贸易试验区(港)更大监管创新自主权。根据新规要求,“自由贸易试验区(港)可自行制定本自贸区需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经省级网络安全和信息化委员会批准后,报国家网信部门备案”。这一举措可能预示着将改变以往“一事一议、层层审批、逐项审核”的授权方式,给予地方更大改革自主权,鼓励自由贸易试验区(港)等开放平台和创新高地先行先试,为推动更高水平制度型开放探索路径。

然而,新规只是探索中国数据跨境流动管理制度创新的一步,未来需要通过高水平制度型开放,进一步落实数据跨境流动的“边界后”改革。比如,建立数据跨境流动清单,优先推动不危及国家安全、敏感程度低、经济效益明显的数据跨境有序流动,探索“白名单”制度,注重事前事中事后监督,改事前监管为事后监管,强化数据出境后风险评估监管,真正践行《数据二十条》所强调的加强数据分类分级管理,“把该管的管住、该放的放开”。此外,中国还应积极寻求数据跨境流动监管创新的突破口,加快与各国、各地区及国际组织合作,推动有关数据跨流动双多边协议的签署和国际规则制定,发挥多边主义关键力量,共建开放、合作、安全、透明的全球数据治理体系。

文章来源:“中美聚焦”公众号