首页 > 新闻舆情 > 国内数据法结构解析

国内数据法结构解析

专栏推荐 肖飒 · 零壹财经专栏 2023-02-20

关键词:个人信息保护数据出境安全数据安全数据跨境立法

我们国家现有数据跨境立法总体成“N+1+3+N”的结构。

作者:肖飒   来源:零壹财经专栏

飒姐团队近期针对数据出境监管体系进行了一定的梳理。我国数据跨境监管立法呈现从行业到整体国家安全统合的趋势。从数据类型来看,我国从特殊行业的数据本地化保护、信息基础设施运营者重要信息保护到多方主体类型的数据出境规制。

数据本地化要求的单行立法

针对特殊行业数据,我国一直坚持单行立法确保行业数据的本地化。2006年在《电子银行业务管理办法》中便提出“中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内”,此外,对保险、征信、健康、地图等行业数据也做了相应的本地化要求。

01  “1+3”模式的上位法组合

暨“总体国家安全观”提出之后,《国家安全法》第二十五条明确了“网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”的要求,并在第五十九条规定了可以对涉及国家安全的网络信息技术产品和服务进行审查监管。

《国家安全法》作为总体国家观的法治保障,在信息化时代的新变化新趋势之下,统领信息领域安全工作,维护我国网络空间主权和数据主权的利益和发展,为数据出境纳入国家监管指明了方向,是我国数据立法的基石,也是整个体系中占指导地位的“1”。以此为基石所搭建的数据立法体系如下图所示:

下面我们就一一对相关立法进行解读。

02 《网络安全法》、《数据安全法》、《个人信息保护法》相继生效

17年6月1日《网络安全法》(下称《网安法》)作为《国家安全法》网络空间层面的配套立法正式实施,其第三十七条规定,关键信息基础设施运营者(Critical Information Infrastructure Operator,下称“CIIO”,)收集和产生的个人信息和重要数据需境内存储,出境必须进过网信部门等制定的“安全评估”制度。

《数据安全法》(下称《数安法》)的视角不仅仅局限于网络数据、个人信息数据,而是将涉及国家利益的一切数据囊括在内。第五条侧重于国家机关职权划分,强调了中央国家安全领导机构统筹协调全局性的数据安全工作,各部门、地区对相关领域、地域的数据安全负责,而网信部门统筹协调网络数据的安全监管工作。在这里多数从业者可能认为《网安法》为上,《数安法》为下,实质上在数据安全领域,《数安法》是《国家安全法》直接下位法,《网安法》只是对网络数据安全进行补充,而任何形式数据都是国家数据安全策略所保护的对象。

同时《数安法》第三章提及三个和数据出境相关的制度,包括“数据分类分级”、“数据安全审查制度”、“(部分)数据出口管制”以及“对等反制原则”,并没有做太多详细具体的合规规定。总体而言,《数安法》由于其立法背景的特殊性,只是提供多个“法律接口”,需要其他细则、标准的填充。

《个人信息保护法》(下称《个保法》)第三章为涉及“个人信息”数据,跨境需要注意的相关规定。第四十条对“安全评估”主体进行了扩充,个人信息达到国家网信部门规定数量的个人信息处理者也加入在列。结合第三十八条详细规定了个人信息处理者数据出境的路径,可以梳理出首先判断个人信息处理者是否需要“安全评估”,若不需要则可以选择“个人信息保护认证”或是“标准合同”的基本合规路线或是“国际条约协定”的特殊路线,最后数据接收方处理数据同样需要符合《个保法》的要求。

三十八条在笔者看来是一个关键性的“接口条款”,背后对接了“安全评估”、“保护认证”、“标准合同”三个标准或者法规以及《个保法》自生于境外数据处理方的“长臂管辖”。另外,《个保法》第三十九条表明个人信息出境必须经过单独同意这个前置要求,数据出境不仅仅是关系政府部门和双方企业,更是要回归个人信息本人;第四十一条对涉及外国司法、执法的数据也提出了特殊要求。

跨境体系之填补

四部上位法的制定,搭建起国家安全观下数据跨境的大体框架和基本制度,但是在具体指导企业合规实践中仍需要相关部门法规以及标准、细则、指南等“软法”的详细补充。一方面这些法规直接具有法律效力,而标准和法律“对接”,强制性标准作为行政执法的依据;另一方面这些标准被引用与合同中,对双方当事人产生约束力。同时这些文件对企业合规都是必要且具体的指引。相关工作正由网信办、企业等法规、标准参与制定单位以及相关行业专家、学者加紧推进。

《信息安全技术 个人信息安全规范》(GB/T 35273)是17年和《网安法》同一时期推出的推荐性标准,2020年重新修订。然而其中并没有对个人信息跨境传输做实质性的规定。由此可见数据跨境管控情况之复杂。类似的还有《信息安全技术 数据出境安全评估指南》,17年修订,最终没有落地。

22年6月30日,网信办发布《个人信息出境标准合同规定》(征求意见稿)。其中对于适用该合同的主体,采取的是补集的方式区分个人信息处理者,因此整体适用范围较广。合同中对出境个人信息的定义,引用了GB/T 35273标准中的定义。合同主要规定了出境方和接收方的权利义务,将其制约在我国个人信息安全语境下,以合同范式的方式尽可能地将风险最小化。

《数据出境安全评估办法》(下称《评估办法》)是22年9月1日施行的国家互联网信息办公室令。其中规定了强制安全评估的对象,和《个保法》中的规定“关键基础设施运营者和数据处理者”主体一致,“重要信息和个人信息”类型一致。有关评估主体,其中对个人信息数量计算以“人”为单位,“处理100万人以上个人信息”的累加制或是“自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息”的按年清零制,按照《个保法》中第二十八条区分是否为敏感个人信息。《评估办法》中还提出了前置程序风险自评估,正式程序安全评估的各项要求内容和详细的评估程序说明。为了帮助数据处理者规范、有序申报数据出境安全评估,网信办还发布了《数据出境安全评估申报指南(第一版)》,提供了清晰的申报材料样例。

22年11月18日网信办发布《个人信息保护认证实施规则》,其中规定“个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求”,因此后者虽说是“网络安全标准实践指南”,对数据跨境企业而言是标准之补充,相较于原标准更为重要。其适用主体情形其一为“跨国公司或者同一经济、事业实体下属子公司或关联公司之间”,其二为“《中华人民共和国个人信息保护法》第三条第二款适用”的主体,即在境外分析、评估境内自然人的行为。因此其可认证主体限定较窄。相较于“标准合同”,更适用于需要长期数据流通业务场景。

总结

由上可知,我们国家现有数据跨境立法总体成“N+1+3+N”的结构,整体框架由早期的单行立法,“1+3”的上位法组合,以及主要寄挂在《个保法》三十八条之下的“法规、标准类簇”组成,呈现“部门数据严格出口管控,个人信息在修补中完善,其他数据缺乏规制,审查分级制度不明”的零散的仍然处于发展期的立法框架。这种补丁式立法存在着很多地方内涵和外延上的冲突,譬如最基本的数据跨境范畴依然不清晰,数据合规审查和其他安全制度的重复审查问题有待解决。
 

耗时 137ms