2020年11月15日,东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)。该协定对各缔约方提出了促进数据跨境流动的要求。
2021年11月2日,RCEP保管机构东盟秘书处发布通知,宣布6个东盟成员国和中国、日本、新西兰、澳大利亚等4个非东盟成员国已向东盟秘书长正式提交核准书,根据协定规定,RCEP将于2022年1月1日如期生效。
与此同时,我国在国家战略层面明确提出“将在有条件的地区探索跨境数据流动分级分类监管,开展数据跨境传输安全管理试点,推动数据自由流动等方面先行先试,完善数字贸易促进政策,及时出台符合我国数字贸易发展特点的政策法规。”[1]
本文将结合数据“三架马车”——《网络安全法》、《数据安全法》、《个人信息保护法》,以及与其配套的数据法律法规,梳理我国目前对于数据出境的合规要求,兼就地方立法的最新尝试,在即将生效的RCEP范围内谈谈我国数据跨境流动的规则及实践。
一、国内立法进度
1. “三驾马车”搭建数据监管框架
自《网络安全法》于2017年颁布至今,《数据安全法》、《个人信息保护法》在2021年相继出台,我国数字领域“三驾马车”主线法律合规框架搭建完毕,执行细节在法规、规章、标准层面正逐步落地。三项“大法”从原则上鼓励数据跨境流动[2],并从两个维度对于特定类型及特定主体掌握的数据的出境做出了一定保留:
维度一:特定数据类型
1)个人信息
《个人信息保护法》规定了个人信息确需出境需要满足的条件:
《个人信息保护法》属于我国对于个人信息保护规则的基石与核心,该法的出台也契合了RCEP为电子商务创造有利环境的要求[3],为电子商务用户个人信息受保护提供了法律框架基础。
2)重要数据
重要数据出境需要进行安全评估
根据《网络安全法》的规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据以境内存储为原则,确需出境的,需要进行安全评估。
根据《数据安全法》规定,非属于关键信息基础设施的运营者的其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门另行制定。
2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》规定了网络运营者在我国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。[4]在此基础上,2021年10月29日发布的《数据出境安全评估办法(征求意见稿)》,其第四条进一步明确了,数据处理者向境外提供重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。[5]由此,如上述办法后续生效,对于非关键信息基础设施的运营者,只要向境外提供的数据为“重要数据”,亦须按照其规定的程序,进行出境安全评估。
判断是否属于重要数据是企业目前考虑数据出境问题的难点之一
不同行业“重要数据”的定义及具体范围,有待各行业主管部门的进一步解释。现已通过的行业规范,仅有汽车行业的《汽车数据安全管理若干规定(试行)》,其中第三条[6]明确例举了构成汽车行业重要数据的数据,例如重要敏感区域的地理信息、人员流量、车辆流量数据,车辆流量、物流等反映经济运行情况的数据等。
值得一提的是,在国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中,特别对于重要数据作出了类别例举,包括:(1)未公开的政务数据、工作秘密、情报数据和执法司法数据;(2)出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;(3)国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;(4)工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;(5)达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;(6)国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;(7)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
虽然该《管理条例》仍处于征求意见稿阶段,但对重要数据进行类别例举的尝试,确实对实务领域更具指导性。再进一步纵深到各行各业,有待各行各业的跟进。
维度二:特殊收集主体
根据数据收集主体的不同,其承担的数据出境合规义务亦有区别,主要梳理如下:
2. 数据出境具体操作指引仍在落地过程中
国家网信办于2021年10月29日公布了《数据出境安全评估办法(征求意见稿)》,我们可以看到,新规涵盖了有数据出境需求的企业所最关心的几个问题,数据出境安全评估的申报材料、申报及处理的时限、安全评估有效期等,与《网络安全法》第三十七条、《数据安全法》第三十一条及《个人信息保护法》第三十八条第一款第(一)项下有关数据出境的安全评估要求进行了衔接,例举了需要进行安全评估的具体情形。[12]
但即便如此,实务上仍无法据此办法直接进行数据出境的具体操作。一来该办法并未正式通过进入实施阶段,二来该征求意见稿在部分规定仍有模糊之处,有待监管部门在进行数据出境安全评估的过程中进一步做出解释。例如需要进行申报的条件当中,“处理个人信息达到一百万人”、“累计向境外提供超过十万人以上个人信息”以及“一万人以上敏感个人信息”的统计口径具体为何?再如怎么理解“数据出境评估结果有效期为二年”?是每次有数据出境需求时按次申请评估,还是可以将一段时间内有出境需求的数据按时段统一申请评估?
3. 数据出境后并不代表境内数据处理者对数据的义务的终结
在实务中,诸多跨国集团公司均会问及数据出境后是否可以再转移的问题。以及,国内的数据处理者,在数据出境之后,对数据的义务是否就转移或终结了?我们理解跨国集团公司会有此问主要基于集团之间信息共享的考虑。对于此类问题,我们可以参考《网络数据安全管理条例(征求意见稿)》第四十条的规定,向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:(一)全部数据接收方名称、联系方式;(二)出境数据的类型、数量及目的;(三)数据在境外的存放地点、存储期限、使用范围和方式;(四)涉及向境外提供数据的用户投诉及处理情况;(五)发生的数据安全事件及其处置情况;(六)数据出境后再转移的情况;(七)国家网信部门明确向境外提供数据需要报告的其他事项。”由此可见,目前《条例》的精神是——即便是数据出境了,数据处理者亦当对于数据出境之后的处理情况具有清晰的了解与把控,并负有报告的义务。
4. 地方立法
在地方立法层面,上海、深圳[13]、海南[14]等地区积极试点、探索数据流动规则。以上海为例,2021年11月25日,上海市十五届人大常委会第37次会议表决通过了《上海市数据条例》。[15]
总体来说,《上海市数据条例》的立法精神与《数据安全法》第七条的精神是一致的——保障个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。这是在保障数据安全前提之下,促进数据流通和开发利用、赋能数字经济和社会发展的有益探索。
值得一提的是,该条例第十二条在征求意见稿提到的数字财产权益包括“自然人、法人和非法人组织在使用、加工等数据处理活动中形成的法定或约定的财产权益”的基础上,增加了“在数字经济发展中有关数据创新活动取得的合法财产权益”。强调创新活动,这参考了知识产权的权利取得方式,对于市场主体的数据财产权益的范围确定,为符合该定义的数据交易和流通提供了合规基础。
根据该条例第六十七条,上海数据交易所在上海浦东挂牌成立,成立当天完成挂牌数据产品20个。[16]上海数据交易所的落地,无疑将从数据交易配套制度到针对数据交易全过程提供一系列制度规范,这将进一步推动数据的合规化流动及合规数据的有序交易。根据该条例第五十三条至五十七条有关数据交易的相关规定,将继续健全数据交易服务机构相关的管理制度及规则,进一步促进数据交易,亦呼应了上海数据交易所的建立。
与此同时,该条例第六十九条确定了:“本市依照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。”这是全国范围内首次提出制定低风险跨境流动数据目录。我们期待目录的进一步出台。
二、RCEP与企业数据合规
1. RCEP与国内法的关系
由条约创设的权利义务在一国国内是否需要实施、如何实施,应由我国国内法所决定。我国目前许多单行立法中都规定有“中华人民共和国缔结或者参加的国际条约同本法有不同规定的,适用国际条约的规定,但中华人民共和国声明保留的条款除外。”这一条款一般会被解释为,条约在法律明确规定的情况下,具有国内法的效力,可以被直接适用。将国际条约的内容融入国内立法,也已成为我国履行国际义务的具体实践。[17]
在数字领域,“三架马车”当中仅有《个人信息保护法》第三十八条[18]明确提及“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行”。《网络安全法》及《数据安全法》并未有将国际条约的内容融入国内立法的相关规定,《数据安全法》仅在处理外国司法或者执法机构关于提供数据的请求的情况下,讨论了需依据有关法律和我国缔结或者参加的国际条约、协定。[19]
因此,为更好地与RCEP规则进行衔接,未来国内数据领域法律法规的制定与更新,都应与RCEP的相关内容相容。
2. RCEP中与数据相关的重要规则解读
1)条文原文 
上述三条文的行文逻辑基本一致:
第一部分的关键词为“承认”,承认每个缔约方可能对于“计算设施的位置”、“通过电子方式跨境传输信息”及“金融信息[20]转移及处理” 有自己的监管要求;
第二部分的关键词为“不得”,要求不得将“计算设施的位置”置于缔约方境内在其领土内进行商业行为的条件,不得阻止为进行商业行为而通过电子方式跨境传输信息,不得阻止其领土内的金融服务提供者为进行日常营运所需的信息转移及处理;
第三部分的关键词为“公共政策目标及基本安全利益”, RCEP第十二章第十条及第十五条两条的第三款完全相同,规定了允许缔约方基于“公共政策目标及基本安全利益”作出一定的限制,第八章附件一第九条的第三款及第四款,我们倾向于理解为是在金融信息领域中,对于“公共政策目标及基本安全利益”的展开,体现为“监管或审慎原因”及“保护个人数据、个人隐私,以及个人记录和帐户机密性的权利”。
与此同时,第三部分皆规定了排除条款,明确规定了缔约方基于公共政策的限制措施不得构成任意或不合理的歧视或变相的贸易限制,在金融信息领域的限制措施不得被用作规避缔约方在RCEP项下的承诺或义务的手段。
但需要注意的是:1)缔约方有权自主决定实施此类合法公共政策的必要性;2)不能对缔约方基于基本安全利益而制定的措施提出异议;3) “不歧视”要求可能不具有强有力的约束力,因为RCEP的争端解决机制不适用于RCEP第12章的相关规定。如果RCEP的成员国不能通过协商自行解决争端,那么争端将被提交给RCEP联合委员会(部长级)作进一步讨论,但该委员会无权将任何决定强加于任何国家。
2)对于企业数据出境合规的具体影响
原则上,RCEP缔约方不得将“计算设施的位置”置于缔约方境内作为在其领土内进行商业行为的条件,不得阻止为进行商业行为而通过电子方式跨境传输。但RCEP该等原则受制于缔约方自行决定的公共政策目标及基本安全利益。因此并不能因为我国加入了RCEP而使得企业免于国内法基于保护个人信息、维护国家网络、数据安全等目标而设置的各类数据出境合规义务。
以实务中经常被咨询的电子商务场景为例:在境内向境外传送即时聊天信息,又或者境内公司通过邮箱向境外供应商发送采购订单信息,虽然构成数据出境,但只要属于为进行商业行为而通过电子方式跨境传输信息,在RCEP的框架下应被允许。但是如果此类向境外提供的信息中,含有本文梳理的出境受监管的数据,那么向境外提供前应当满足所有国内法律法规要求的条件。
再以金融数据出境的场景为例:金融数据的构成较为复杂,面临两方面的监管——行业监管及数据合规。金融行业的监管规则决定了,金融服务提供者针对客户资料负有保密义务,本就难以向境外提供数据;[21] 在“三驾马车”的监管框架下,金融数据可能因其含有个人信息和重要数据而负有较高的出境合规义务,例如应当在境内存储、必须进行安全评估等。[22] 在这方面,虽然RCEP要求缔约方不得阻止金融服务提供者为进行日常营运之目的信息转移及处理,但并没有要求缔约方不得对其进行监管、设置条件。各国对于金融重要数据的限制,只要落入缔约方“对于信息转移、信息处理设置及其管理要求”,则此类合理限制并不违反RCEP的规定。
三、结语
2021年11月22日,在我国和东南亚国家联盟成员国举行中国—东盟建立对话关系30周年纪念峰会上,各方在数据领域达成了诸多共识:欢迎RCEP将于2022年1月1日生效,中国、东盟将共同有效落实该协定,在数字经济领域创造更多贸易机会,努力建设更加包容、现代、全面和互利的中国—东盟自由贸易区;探讨《东盟数字总体规划2025》与《中国—东盟关于建立数字经济合作伙伴关系的倡议》及其行动计划对接,加强在数字经济、智慧城市、人工智能、电子商务、大数据、5G应用、数字转型、网络和数据安全等领域开展合作,迎接第四次工业革命。[23]
除了申请加入RCEP,我国亦于2021年9月16日及11月1日先后申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)及《数字经济伙伴关系协定》(DEPA)。这两个协定亦包含了为驱动全球互联网和数字经济发展、为适应无纸化贸易及电子支付而涉及的促进信息和数据跨境流动的具体内容[24]。
青山缭绕观前路,但见千帆隐映来。
[1]http://www.mofcom.gov.cn/article/bnjg/202110/20211003209143.shtml, 最后访问时间,2021年11月25日
[2] 《网络安全法》第十二条、《数据安全法》第七条和《个人信息保护法》第十二条
[3] RCEP第十二章第三节第八条
[4] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条
[5] 《数据出境安全评估办法(征求意见稿)》第四条
[6] 《汽车数据安全管理若干规定(试行)》第三条
[7] 《关键信息基础设施安全保护条例》第二条
[8] 《数据安全法》第四十条
[9] 《网络安全法》第三十七条
[10] 《个人信息保护法》第三十六条
[11] 《数据安全法》第四十条
[12] 《数据出境安全评估办法(征求意见稿)》第四条
[13] https://www.sznews.com/news/content/mb/2021-08/30/content_24524113.htm
[14] https://www.hainan.gov.cn/hainan/ztzc/202008/6758897ae22d4b6abb89387b2c41019d.shtml
[15] https://wap.xinmin.cn/content/32069539.html
[16] https://www.thepaper.cn/newsDetail_forward_15545388
[17] 宋建立. 国际条约国内适用的若干问题[J]. 人民司法, 2015(5):5
[18] 《个人信息保护》第三十八条
[19] 《数据安全法》第三十六条
[20] 为便于开展讨论之目的,本文所提及的“金融数据”是指与RCEP第八章附件一所描述的“金融服务”中所产生的各类数据,包括但不限于保险、贷款、金融租赁、支付、担保、证券发行服务等。
[21] 《人民币银行结算账户管理办法》第九条、《反洗钱法》第五条和《银行业金融机构反洗钱和反恐怖融资管理办法》第二十二条
[22]
根据中国人民银行印发的《金融数据安全数据安全分级指南》(JR/T 0197—2020)中的数据安全定级规则参考表,金融数据亦有可能构成重要数据。
可能严重损害、一般损害、轻微损害国家安全,严重损害公共权益的金融数据,属于重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
[23] https://view.inews.qq.com/a/20211122A0BD4700
[24] 我国于2021年9月16日向《全面与进步跨太平洋伙伴关系协定》(CPTPP)保存方提交了正式申请加入CPTPP的书面信函,CPTPP在第十四章电子商务章节明确了与跨境数据流动相关的规则,与RCEP规则较为相似,最大不同在于此类措施需要通过必要性测试。
2021年11月1日我国正式提出申请加入《数字经济伙伴关系协定》(DEPA),与DEPA缔约方新加坡、新西兰和智利开展了各层级沟通交流,DEPA成员坚持他们现有的CPTPP 协定承诺,允许数据跨边界自由流动,有利于营造一个良好的营商环境。RCEP明确了电子商务项下各成员方制定数据本地化和数据跨境流动政策的基本原则,为构建数据跨境流动体系贡献了亚洲方案。
RCEP框架下,我国数据跨境流动的规则与实践
作者:郑文洁 符淇媛来源:金诚同达

2020年11月15日,东盟10国和中国、日本、韩国、澳大利亚、新西兰共15个亚太国家正式签署了《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partn