伴随数字经济的快速发展,数据跨境传输成为各国关注的焦点问题,数据能否跨境传输,如何跨境传输,不断成为国际双边、多边贸易谈判过程中的新议题。
近期,中国正式提出申请加入《全面与进步跨太平洋伙伴关系协定》(简称CPTPP,Comprehensive and Progressive Agreementfor Trans-Pacific Partnership),引发广泛关注。
CPTPP由30个主体章节构成,在对货物贸易、投资、一般性质的服务贸易三大领域作出规定的同时,也对农产品、纺织品和服装、专业服务、快递服务、金融服务、电信服务等具有重要经济影响的部门单列成章或小节,并加以特别规制。
相较于《区域全面经济伙伴关系协定》(RegionalComprehensive Economic Partnership,简称RCEP)更侧重于传统的货物贸易关税,CPTPP则包括了服务贸易,数据流动等各领域,也具有更高的标准。
已经签订的RCEP中有专门规定数据跨境传输的规则,一方面要求缔约方认识到各方对于数据跨境传输的不同监管要求,另一方面要求缔约方不得阻止出于商业原因的数据跨境传输行为,而在CPTPP中也规定了关于数据跨境的相关条款。
目前,我国正在加紧制定数据跨境安全的相关规范文件,并于今年施行《数据安全法》和《个人信息保护法》。
虽然我国已经正式申请加入CPTPP,且已经经过主管部门的审慎研究与权衡,但我国能否成功加入CPTPP仍然面临着不确定性,特别是在电子商务、数据跨境等国内政策规则上将一同迎来CPTPP相关条款的审查考验。
因此,本文将聚焦数据跨境传输领域,在对CPTPP以及我国数据跨境传输规则进行基本介绍的基础下,对我国数据跨境传输规则与CPTPP相关规则的适用性进行分析,并对相关可能产生的争议问题进行重点讨论。
CPTPP的发展历程
全面与进步跨太平洋伙伴关系协定(CPTPP)是美国退出跨太平洋伙伴关系协定(TPP)后该协定的新名字。
2017年11月11日,由加拿大、墨西哥、智利、秘鲁、日本、越南、文莱、新加坡、马来西亚、澳大利亚和新西兰等11个启动TPP谈判的亚太国家共同发布了一份联合声明,宣布“已经就新的协议达成了基础性的重要共识”,并决定协定改名为“跨太平洋伙伴关系全面进展协定”。
2018年3月8日,该11国代表在智利首都圣地亚哥举行协定签字仪式。2018年12月30日,CPTPP正式生效。
2020年11月20日晚,习近平主席表示“中方将积极考虑加入全面与进步跨太平洋伙伴关系协定”。
2021年9月16日,中国正式提出申请加入《全面与进步跨太平洋伙伴关系协定》。
我国数据跨境传输规则的基本背景
数字经济的发展趋势要求数据在全球范围内进行深度循环共享,对我国在复杂的国际形式中维护国家安全,保护公民个人信息提出了更高的要求,同时也促使我国数字产业进行合法合规的数据跨境传输,并最大化发挥我国数字经济全球领先优势。
目前我国已初步形成以个人信息、重要数据为主要监管对象,对特定行业进行差异化管理的数据跨境传输规则体系。
(一)我国数据跨境传输的基本框架
在我国数据安全立法监管方面的“三驾马车”——《网络安全法》《数据安全法》《个人信息保护法》中共同以个人信息、重要数据为主要监管对象,构成了我国数据跨境传输的基本框架。
2016年11月,《网络安全法》出台,属于首次以国家法律形式明确了数据跨境传输的政策立场。
根据《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
2021年9月1日,《数据安全法》开始实行。根据《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
2021年11月1日,《个人信息保护法》将正式施行。根据《个人信息保护法》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
因此,在数据跨境传输方面,前述的《网络安全法》《数据安全法》《个人信息保护法》共同确立了重要数据跨境传输的基本框架。而在前述法律出台后,我国加入CPTPP的时机也变得愈加成熟,在建立自己的数据跨境管理政策框架后对于涉及数据跨境相关问题也就具有了更为清晰的谈判立场与抓手。
(二)我国特定行业的数据跨境传输要求
除上述提到的《网络安全法》《数据安全法》《个人信息保护法》中对以个人信息、重要数据的跨境传输进行监管,我国也建立了对特定行业进行差异化管理的数据跨境传输规则体系。
比如在汽车、金融、医疗等行业分别结合其内在的行业需求对特定数据的跨境传输提出了要求,并不断建立健全不同行业的数据跨境传输规则和机制。
1.汽车行业
2021年5月12日晚间,中国国家互联网信息办公室发布通知,将针对《汽车数据安全管理若干规定(征求意见稿)》公开征求意见。
随后,据特斯拉官方微博信息显示,“我们已经在中国建立数据中心,以实现数据存储本地化,并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。同时,我们将向车主开放车辆信息查询平台。此项工作正在紧锣密鼓地进行中,详情及进展将陆续向大家汇报。”
2021年10月1日,《汽车数据安全管理若干规定(试行)》正式施行,根据其第十一条规定,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。
除《汽车数据安全管理若干规定(试行)》,还有《网络预约出租汽车经营服务管理暂行办法》《工信部关于加强智能网联汽车生产企业及产品准入管理的意见》等文件,对网约车平台公司、智能网联汽车生产企业、汽车数据处理者等主体就汽车行业所涉的个人信息、重要数据在跨境传输方面的监管要求进行了专门规定。
2.金融行业
近年来,随着金融行业的虚拟化、网络化和全球化程度不断提升,个人金融信息数据具有更多的商业价值,金融行业的数据安全,特别是在跨境方面也面临着更多的挑战,发生了诸多金融数据安全泄露等安全事件。
2021年2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T0171—2020),规定在中华人民共和国境内提供金融产品或服务过程中收集和产生的个人金融信息,应在境内存储、处理和分析。因业务需要,确需向境外机构(含总公司、母公司或分公司、子公司及其他为完成该业务所必需的关联机构)提供个人金融信息的,需首先满足其规定的具体要求。
在金融行业,关于客户的身份资料和交易信息尤为重要,对此如在《银行业金融机构反洗钱和反恐怖融资管理办法》中,针对依法履行反洗钱和反恐怖融资义务获得的客户身份资料和交易信息,要求非依法律、行政法规规定,银行业金融机构不得向境外提供。
3.医疗行业
在全球疫情下,个人信息如健康信息、医疗信息等数据被不断收集,在出入境、疫苗研发等场景下,都会用到个人数据。
对此,为了更好地保护医疗数据、人口健康信息等数据,我们国家也出台了《国家健康医疗大数据标准、安全和服务管理办法(试行)》《人口健康信息管理办法(试行)》等文件,在医疗行业数据跨境方面做出了不得在境外服务器中存储人口健康信息,除非因业务需要确需向境外提供的,也应按照相关法律法规及有关要求进行安全评估审核等具体监管要求。
人类遗传资源含有人体基因组等遗传资料,具有重要的医学研究价值,对此,我们国家也出台了《人类遗传资源管理条例》,规定对于利用人类遗传资源开展国际科学研究或确需出境的,需满足法定条件并取得有关部门出具的出境证明,如可能影响公共健康、国家安全、社会公共利益的,也应通过有关部门的安全审查。
CPTPP数据跨境的条款分析
在对我国数据跨境传输的基本框架与特定行业的数据跨境传输规则有了基本了解后,接下来即可对CPTPP数据跨境的条款,以及对我国的数据跨境传输规则与CPTPP相关规则的适用性进行具体分析。
(一)CPTPP数据跨境条款内容
关于CPTPP的数据跨境条款规定在第14章电子商务章节第14.11条中,具体条款内容如下:
中文版本:
第14.11条通过电子方式跨境传输信息
1.缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求。
2.每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。
3.本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第2款不一致的措施,只要该措施:
(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;及
(b)不对信息传输施加超出实现目标所需限度的限制。
英文版本:
Article 14.11:Cross-Border Transfer of Information by Electronic Means
- The Partiesrecognise that each Party may have its own regulatory requirements concerningthe transfer of information by electronic means.
- Each Party shallallow the cross-border transfer of information by electronic means, includingpersonal information, when this activity is for the conduct of the business ofa covered person.
- Nothing in thisArticle shall prevent a Party from adopting or maintaining measuresinconsistent with paragraph 2 to achieve a legitimate public policy objective,provided that the measure:
(a) is not applied ina manner which would constitute a means of arbitrary or unjustifiablediscrimination or a disguised restriction on trade; and
(b) does not imposerestrictions on transfers of information greater than are required to achievethe objective.
(二)CPTPP第14.11条第一款分析
根据CPTPP14.11条第一款规定,缔约方认识到每一缔约方对通过电子方式传输信息可设有各自的监管要求,即各成员可以对跨境传输电子信息设有自己的规制要求。
因为该款并不涉及强制性义务,也就不涉及是否违反的问题。
(三)CPTPP第14.11条第二款分析
CPTPP14.11条第二款规定,每一缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。
该条款应当属于强制性义务,也是CPTPP关于跨境数据流动的核心规定。
关于第14.11条第二款中“涵盖的人”是指:
(a)按第9.1条(定义)中所定义的一涵盖投资;
(b)按第9.1条(定义)中所定义的一缔约方的投资者,但不包括一金融机构的投资者;或
(c)按第10.1条(定义)中所定义的缔约方的服务提供者,
但不包括按第11.1条(定义)中所定义的“金融机构”或“一缔约方的跨境金融服务提供者”;
对第14.11条第二款可以理解为缔约方应当允许通过电子方式进行跨境传输信息,只要该行为是出于开展业务的目的。
根据我国《个人信息保护法》第三章第三十八条的规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;(四)法律、行政法规或者国家网信部门规定的其他条件。
根据《个人信息保护法》可知,我国虽然允许数据的跨境传输,但存在数据跨境传输时需要满足安全评估、进行认证或订立标准合同等要求。
然而,第14.11条也只规定成员“应当允许跨境传输电子信息”,并没有明确不得设置任何条件,也没有使用“自由传输”的规定,且在第一款规定了可以设有各自的监管要求。
因此,虽然我国存在数据跨境传输时需要满足安全评估、认证或标准合同等要求,但在本质上也是对数据跨境传输设置了一定的条件,并非是不允许数据出境。
在我国法律监管中,数据出境安全评估的前提之一是“因业务需要确需向境外提供”,这也与第二款的开展业务的目的相契合。
因此,就整体而言,我国的数据跨境传输规制框架并不违反CPTPP第14.11条的第二款规则。
(四)CPTPP第14.11条第三款分析
CPTPP第14.11条第三款规定,本条中任何内容不得阻止一缔约方为实现合法公共政策目标而采取或维持与第2款不一致的措施,只要该措施:(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;及(b)不对信息传输施加超出实现目标所需限度的限制。
在前述分析CPTPP第14.11条第二款时,虽然我们认为即使在我国存在数据跨境传输时可能需要满足安全评估、安全审查、认证或标准合同等要求,其在本质上是对数据跨境传输设置一定的条件,并非是不允许数据出境。
但不排除在某些特定场景下,我国设定的在数据跨境传输时需要满足的相关条件也可能被认为是对“应允许通过电子方式跨境传输信息”的违反或构成跨境传输的实质性障碍。
此时,则可以尝试援引CPTPP第14.11条第三款进行抗辩。
鉴于认证与标准合同的条件也是其他国家在个人信息跨境传输中普遍使用的机制,所以认证与标准合同的抗辩难度并不大。
比如,在《通用数据保护条例》(General Data Protection Regulation,简称GDPR)第五章提到控制者或处理者需提供适当的保障措施,就包括公共机构或实体之间具有法律约束力并可执行的文件、有约束力的公司规则、标准合同条款等。
国家网信部门组织的安全评估是我国相对独特的机制设计,所以这里主要还是需要考虑关于数据跨境传输时需要面临的安全评估问题。
根据CPTPP第14.11条第三款内容,可以归纳2个核心点,一个是要求限制数据出境的措施是为实现合理公共政策目标,另一个是求限制措施不任意,非歧视,且不构成变相的贸易限制。
关于要求限制数据出境的措施是为实现合理公共政策目标。在我国跨境数据流动制度框架中,数据出境进行安全评估的背后考量主要就是保障重要公共利益,至少也是个人和组织的合法权益,所以也应属于第三款规定的合理公共政策目标。
关于要求限制措施不任意,非歧视,且不构成变相的贸易限制。虽然国家互联网信息办公室会同有关部门早在2019年就起草了《个人信息出境安全评估办法(征求意见稿)》,但数据出境安全评估的具体规则尚未正式出台。
根据既往征求意见稿和合理推测,安全评估应具有一套客观标准,包括评估范围、评估流程、评估重点等内容。
该套标准将由相关国家网信部门统一组织安全评估,也是为了在具体实施中保持标准的客观统一。因此,只要正常适用安全评估程序和标准,也不应理解为存在任意、歧视或变相的贸易限制问题。
需要注意的是,如果其他国家在国内数据保护规则,特别是数据跨境传输等方面的法律法规和政策规则存在不完善等原因,导致其在安全评估中处于劣势,则应属于该客观评估标准适用于具体国家的结果,并非是贸易限制,也更不应被认为是对该国的歧视。
当然,前述关于我国设立的安全评估等数据跨境传输的条件也很有可能会成为将来谈判中的争议焦点。
总结与展望
通过本文可知,我国已经建立了日益完善的跨境数据流动规则,这也为我国成功加入CPTPP打下了良好的基础。
但另一方面,我们也需要进一步完善和统一关于数据跨境传输规则的相关表述,并尽快出台数据出境安全评估、重要数据认定等配套制度,不断建立健全我国的跨境数据流动规则体系,使得我国数据跨境政策能更为顺利地通过此次国际大考。
据了解,2021年9月17日,针对中国正式申请加入CPTPP一事,中国外交部发言人赵立坚表示,中方在对CPTPP协定条款进行了全面研究评估基础上,按照有关程序和步骤,正式提出申请加入CPTPP。下一步,中方将按照CPTPP有关程序,与各成员进行必要磋商。
最后,祝愿我国早日顺利加入CPTPP。
