中国数据跨境流动治理的现有规则有哪些?
随着互联网、电子商务、国际贸易等日渐发展,数据跨境流动的规模正在日益扩大,其对数字经济发展的驱动力也日益显著。在全球化的大背景下,无论是新兴互联网企业、跨国公司还是传统行业,其商业活动的开展都和数据跨境流动息息相关。中国在数字经济领域发展迅速,如何在保护数据安全的同时,推动数据流动、充分发挥数据效用,是我国深入推进数字经济跨境贸易与全球化的现实难题。
当前,我国数据跨境流动治理体系初步形成。在国内法律制度层面,《网络安全法》《数据安全法》《个人信息保护法》等法律对数据跨境流动作出顶层设计,《地图管理条例》《征信业管理条例》等行政法规对特定行业的数据管理作出具体要求。其中,《网络安全法》第三十七条第一次明确提出了个人信息和重要数据“境内储存、出境评估”的制度,为我国的数据跨境流动治理指明了原则与方向。值得注意的是今年7月7日,国家网信办公布了《数据出境安全评估办法》。该部规章对数据出境安全评估提出了具体要求,进一步明确了重点数据的定义、数据出境安全评估的流程、重点评估事项等内容,为数据跨境流动提供了规则指引。
在国际规则方面,中国于2020年正式签署《区域全面经济伙伴关系协定》(RCEP),与日本、韩国、澳大利亚等国家就数据跨境流动达成了一致协议,为促进区域内数据跨境流动奠定了良好基础。2021年,中国又陆续申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)与《数字经济伙伴关系协定》(DEPA),积极参与全球数据跨境流动规则的制定,不断加快与国际接轨的步伐。
总体而言,我国目前数据跨境流动法律法规体系已形成基础性框架,但仍有待继续完善。例如,数据安全管理方面的《网络数据安全管理条例(征求意见稿)》正在制定中,尚未出台。而新出台的《数据出境安全评估办法》内容较为精炼,有待于在实践中细化和落实。
欧美数据跨境流动规制体系介绍
在对数据跨境流动的治理上,欧盟一直强调以高标准保护为前提。在《数据法案》草案出台以前,欧盟于2018年通过了《通用数据保护条例》(GDPR)和《非个人数据自由流动条例》,对欧盟个人数据的跨境流动与非个人数据在欧盟境内的流动做出了有关规定,而今年通过的《数据法案》则进一步对非个人数据跨境流动作出了严格限制,填补了相关规则的空白。欧盟通过对个人数据与非个人数据的严格保护,实现对美国数据长臂管辖权的制约与数据主权的维护。
美国对于数据跨境流动总体持积极态度,其通过制定宽松的监管政策,鼓励数据跨境流动以实现贸易利益最大化。在国际层面,美国通过亚太经济合作组织(APEC)跨境隐私规则机制(CBPR)推动成员内部的数据流动。今年4月21日,美国发布《全球跨境隐私规则声明》,宣布建立全球跨境隐私规则体系,进一步扩大了CBPR机制的全球影响。此外,美国寻求对境外数据的管辖权,其通过《澄清境外数据的合法使用法案》(CLOUD法案)实现数据领域的“长臂管辖权”,扩大了美国执法机构调取境外数据的权力。
美欧之间也一直尝试建立起数据跨境流动的合作机制。尽管双方曾经达成的安全港协议、隐私盾协议最终因欧盟认为美国未能提供充分隐私保护而被废止,但在今年3月25日,欧盟委员会和美国宣布就新的跨大西洋数据隐私框架达成一致的政治协议,从而进一步推进跨大西洋数据流动。从美欧双方对推动数据跨境流动的不断尝试中,可以看出推动数据在全球范围内跨境流动,以实现数据价值的真正最大化,仍是数据跨境流动的未来趋势。