新民晚报讯(记者 叶薇)9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,旨在保障国家数据安全,保护个人信息权益的基础上,进一步规范和促进数据依法有序自由流动。
此前,继2016年《网络安全法》实施后,2021年,国家陆续出台《个人信息保护法》《数据安全法》等法律,共同构建起中国数据出境安全保护的顶层法律体系。而为了进一步保障数据出境安全,在顶层法律体系的基础上,国家细化数据安全出境操作路径,不仅出台《网络安全审查办法》《数据出境安全评估办法》《个人信息出境标准合同管理办法》等部门规章,还针对数据出境制定了相应的国家标准。本次《规定》的出台与此前发布的法律法规构成我国数据出境更加完善的规则体系,在厘清数据安全红线的前提下,踩下了数据出境的“油门”。
上海数据交易所研究院研究员林梓瀚表示,本次《规定》的重点涉及了诸多方面。
一是重申需申报数据出境安全评估的场景。《规定》第六条强调向境外提供100万人以上个人信息的,还是需要申报数据出境安全评估。至于国家机关以及关键信息基础设施运营者这些主体向境外提供个人信息和重要数据,以及涉及党政军和涉密单位敏感信息、敏感个人信息、重要数据出境的,《规定》第八条、第九条提出依照现行规定执行。这意味着,对于这些关键主体进行数据出境以及这类敏感数据的出境,如若触发《网络安全审查办法》《数据出境安全评估办法》的规定,仍然需要进行网络安全审查或申报数据出境安全评估。
二是明确无须申报数据出境安全评估的情形。《规定》明确,在国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的且不包含个人信息或者重要数据的数据出境、非境内收集的个人信息以及跨境购物、跨境汇款、机票酒店预订、签证办理、人力资源管理需要涉及个人信息出境等不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。明确无须申报安全评估的情形是本次《规定》的重大突破,大大降低了相关主体在数据出境时的合规成本,加快了我国数据出境的效率。
三是赋予自由贸易区制定“负面清单”的权利。《规定》第七条自由贸易试验区可自行制定本自贸区数据出境的负面清单,而负面清单所包含的内容是主管部门规定需以既定路径出境的数据。对于负面清单外的数据,《规定》强调了可以自由出境,此举促进了自贸区内数据跨境流动的便捷性,强化了自贸区在数据跨境流动领域的集聚力。本次《规定》赋予自贸区制定“负面清单”的权利,将有利于继续发挥自贸区带头示范作用,进一步推动自贸区的高水平开放与制度创新。
林梓瀚还表示,2022年12月国家出台“数据二十条”,针对数据跨境流动的探索,“数据二十条”明确了优先在跨境电商、跨境支付、供应链管理、服务外包等典型应用场景进行先行先试,本次《规定》对“数据二十条”的相关要求进行了落实。未来,基于这些典型应用场景将产生大量新的经济增长点与发展方向,并对其他应用场景产生正向的溢出效应,将成为我国国际数字贸易发展的新引擎。同时,“数据二十条”提出要积极参与国际数字规则和数字技术标准制定,随着我国开启CPTPP、DEPA等的谈判,《规定》的相关措施有利于我国与DEPA等国际数字经贸协定的对接,推动我国对国际数字规则制定的参与。
据悉,目前上海数据交易所已经正式开设运营国际板,建设国际化数据交易平台,探索构建便捷、高效、安全的全球数据跨境流动体系,旨在积极赋能我国国际数字贸易的发展,为我国进行国际数字贸易规则对接与制定贡献探索实践经验。
