数据安全法中的数据跨境流动规则
发布日期:2021-09-15 来源:民主与法制时报 作者:高通

  2021年9月1日起施行的《中华人民共和国数据安全法》,进一步规范数据跨境流动规则,为我国跨境数据的依法有序自由流动提供有力保护,其第十一条确立了数据跨境流动应遵循安全、自由的原则;第二十五条、第二十六条、第三十一条、第三十六条、第四十六条等,进一步完善数据跨境流动规则。

  数据安全法中的数据跨境流动规则

  首先,在数据分级分类保护制度基础上,确立不同数据的出境安全管理规则。根据数据安全法的规定,我国数据可区分为国家核心数据、重要数据和一般数据。

  国家核心数据的跨境流动应遵循更严格的审查规则。数据安全法第二十一条第二款规定,对“关系国家安全、国民经济命脉、重要民生、重大公共利益等”国家核心数据实行“更加严格的管理制度”。这意味着国家核心数据的跨境流动应遵循更严格的安全审查规则,且依据数据安全法第二十五条的规定,对“与维护国家安全和利益、履行国际义务相关的属于管制物项的数据”,依法实施出口管制。

  重要数据的跨境流动应遵循法律法规确立的出境安全审查规则。依据数据处理主体的不同,重要数据区分为关键信息基础设施运营者收集和产生的重要数据以及其他数据处理者收集和产生的重要数据。对于关键信息基础设施运营者收集和产生的重要数据的跨境流动,数据安全法规定要依据网络安全法相关规定进行安全审查。对于其他数据处理者收集和产生的重要数据的跨境流动,数据安全法第三十一条规定,“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”

  一般数据在遵循平等互惠等原则基础上基本可实现自由流动。对国家核心数据和重要数据之外一般数据的跨境流动,数据安全法并未作明确限定。这意味着这类数据的跨境流动基本可实现自由流动。纵观数据安全法和网络安全法相关规定,一般数据的跨境流动可能受到三方面限制:一是对于自愿参与关键信息基础设施保护体系的一般数据,依据关键信息基础设施收集和产生数据的跨境流动规则进行审查。网络安全法第三十一条第二款规定,“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。”二是一般数据的处理活动如果“影响或可能影响国家安全”也应进行国家安全审查。数据安全法第二十四条第一款规定,“对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”三是依据平等原则对一般数据的跨境流动进行限制。数据安全法第二十六条规定,“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。”

  其次,对司法和执法领域数据出境作了专门规定。数据安全法第三十六条对境外司法机构或者执法机构跨境调取数据进行专门规定,确立了与普通数据不同的跨境流动规则。

  处理调取数据司法协助或执法合作请求时,应当依据条约、协定或平等互惠原则进行。为了特定的司法或执法目的,境外司法或执法机构可以向中国提出司法协助或执法合作请求,但这种合作应建立在平等互惠原则基础之上。因此,数据安全法第三十六条规定,“按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。”

  限制境外司法或执法机构直接向中国境内组织或个人调取数据的做法。数据安全法第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”这与国际刑事司法协助法、个人信息保护法等法律的规定一致,体现了我国对这一问题的基本态度和思路。

  数据跨境流动规则适用需注意的问题

  数据安全法确立的数据跨境流动规则契合当前我国数据跨境流动的发展趋势,有利于我国应对愈演愈烈的网络安全风险。但在适用数据跨境流动规则时,应注意如下三个问题:

  平衡安全与发展的关系,推动跨境数据安全自由流动。数据自由流动与数据安全基于对自由流动与安全价值追求的不同,跨境流动规则也不尽相同。我国确立了安全、自由的跨境数据流动原则,更注重维护数据安全,特别是数据安全中的国家安全问题。数据安全法颁布后,《网络安全审查办法(修订草案征求意见稿)》增加了国家安全审查范围,如将“掌握超过100万用户个人信息的运营者赴国外上市”纳入网络安全审查范围,将国家安全风险考虑因素从五项增加至七项,并将“非法出境的风险”作为国家安全风险的考虑因素等。需要注意的是,国家安全风险也有高低、类别之分,对于不同等级、不同类别的国家安全风险应当确立不同的处置方式。对那些可能产生特定国家安全风险的数据跨境流动,应进行严格限定;对大部分一般数据,应持更开放包容的态度,通过数据安全促进数据的跨境自由流动和数据产业的发展。

  合理建构数据分级分类管理制度。虽然数据安全法将数据区分为国家核心数据、重要数据和一般数据,如数据安全法第二十一条规定,重要数据的判断标准包括“在经济社会发展中的重要程度”“对国家安全、公共利益或者个人、组织合法权益造成的危害程度”;国家核心数据即“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。”但数据安全法并未进一步明确重要数据的“重要程度”和“危害程度”标准,而是授权“各地区、各部门”制定本领域内的重要数据目录。虽然这种授权性规定能够发挥各地区、各部门的积极性,但也可能因立法中的地区利益或部门利益而带来诸多问题。因此,数据安全法适用过程中应当进一步明确“重要数据”的具体内涵和判断标准,并应统筹“重要数据”的认定授权和认定程序,确保数据分级分类管理制度的有效实现。

  司法或执法数据的跨境流动规则应进一步明确。由于司法协助应对互联网时代犯罪的局限性以及数据跨境流动的便捷性,一些国家和地区确立了司法或执法机构直接向境外企业或个人调取数据的做法。我国基于维护司法主权的考虑,原则上禁止境外司法或执法机构直接调取存储于我国境内的数据,这对应对境外“长臂管辖”具有重要意义,但主管机关何种情形下应批准境外司法或执法机构直接调取存储于境内的数据?除“一事一议”之外,可借鉴数据安全法第二十六条平等互惠原则的规定。

  (作者单位:南开大学法学院。本文为2019年国家社科基金青年项目“监察程序与刑事诉讼程序衔接中的证据双向转化使用研究”的阶段性成果,项目编号为19CFX034

责任编辑:郝魁府
本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题请与我们联系。
^