数据跨境流通如何评估安全?浙大王春晖解读数据交易合规体系

数据跨境流通法律规则主要源于三大基础性法律：

《网络安全法》《数据安全法》和《个人信息保护法》

南都：数据跨境流通、交易一直是数据合规领域重要话题，也是监管重中之重。目前我国涉及数据出境法律法规主要包括《网络安全法》《个人信息保护法》《数据安全法》《网络安全审查办法》以及《数据出境安全评估办法（征求意见稿）》《网络数据安全管理条例（征求意见稿）》等，这些法律法规对于数据跨境流通规定有什么异同点？

王春晖：我国数据跨境流通、交易的法律规则主要源于《网络安全法》《数据安全法》和《个人信息保护法》这三大基础性法律。

首先，2017年6月1日施行的《网络安全法》第37条规定向境外提供数据的法律规则，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。” 这是我国首先以法律形式确立数据出境需要进行安全评估的规定，该条有两层含义，一是关键信息基础设施的运营者在国内收集和产生的个人信息和重要数据应当在境内存储；二是因业务需要，确需向境外提供的，应当依法进行安全评估。这条内容主要针对主体是关键信息基础设施的运营者。

其次，2021年9月1日施行的《数据安全法》是我国首部数据安全领域的基础性立法，该法第31条确立数据出境的基本法律规则，即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定；其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”。该条对数据出境法律适用做了分工：一是关键信息基础设施的运营者收集和产生的重要数据确需出境，适用《网络安全法》（第三十七条）的规定；二是关键信息基础设施运营者以外的“其他数据处理者”在国内收集和产生的重要数据出境，适用国家网信办制定的相关出境安全管理办法。

2021年10月，国家网信办公布《数据出境安全评估办法（征求意见稿）》，其上位法包括《网络安全法》《数据安全法》和《个人信息保护法》，其性质属于上述三部法律有关数据和个人信息出境安全评估的专门配套规定。根据《数据出境安全评估办法（征求意见稿）》要求，数据处理者向境外提供数据，符合以下五种情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：一是关键信息基础设施的运营者收集和产生的个人信息和重要数据；二是出境数据中包含重要数据；三是处理个人信息达到一百万人的个人信息处理者向境外提供个人信息；四是累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息；五是国家网信部门规定的其他需要申报数据出境安全评估的情形。

再次，2021年11月11日施行的《个人信息保护法》详细确立了个人信息跨境提供的重要规则，个人信息处理者因业务等需要，确需向中国境外提供个人信息的，应当具备下列四项条件之一：

一是通过国家网信部门组织的安全评估，即关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内，确需向境外提供的，应当通过国家网信部门组织的安全评估；

二是按照国家网信部门的规定经专业机构进行个人信息保护认证，根据《网络数据安全管理条例（征求意见稿）》第35条（二）的规定，数据处理者和数据接收方均要通过国家网信部门认定的专业机构进行的个人信息保护认证；

三是按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。具体如何约定数据安全保护的权利和义务，《数据出境安全评估办法（征求意见稿）》有详细的要求；

四是法律、行政法规或者国家网信部门规定的其他条件。这里适用法律、行政法规与国家网信部门的规定是一种选择关系，即适用法律、行政法规或适用国家网信部门的规定均可以。法律主要是《网络安全法》《数据安全法》《个人信息保护法》，行政法规主要是《网络数据安全管理条例》（目前在征求意见）；国家网信部门的规定的其他条件，主要涉及的规定是《数据出境安全评估办法》（目前在征求意见）等。

数据和个人信息跨境流通实施阶梯式评估：

“自评估”+“国家安全评估”

南都：国内对数据跨境流通安全评估模式有哪些？企业或监管机构如何平衡数据安全与数据流通、交易之间的利益冲突？

王春晖：目前我国数据和个人信息跨境流通实施阶梯式评估模式：“自评估”+“国家安全评估”。企业应重点掌握，一个“前提”和一个“保障”，即以企业数据出境自评估为前提，以数据出境的国家安全审查为保障的数据出境安全评估机制。

“自评估”合规要点包括：1.数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；2.出境数据的数量、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；3.数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险；4.境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；5.数据出境和再转移后泄露、毁损、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等；6.与境外接收方订立的数据出境合同是否充分约定数据安全保护责任义务。

“国家安全评估”时的审查要点主要包括：1.数据出境的目的、范围、方式等的合法性、正当性、必要性；2.境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中国法律、行政法规规定和强制性国家标准的要求；3.出境数据的数量、范围、种类、敏感程度，出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险；4.数据安全和个人信息权益是否能够得到充分有效保障；5.数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务；6.遵守中国法律、行政法规、部门规章情况；7.国家网信办认为需要评估的其他事项。

构建完善的数据要素交易合规体系

应重点应考虑五大合规要素

南都：北数所、深数交等均在探索数据跨境交易路径，例如北数所研发的数据托管服务平台是国内首个可支持企业数据跨境流通的数据托管服务平台，深数交已与香港生产力促进局签订跨境数据流通试点合作框架协议，正推进首批跨境数据交易。数据提供方、数据需求方、数据服务方，需要如何做好数据交易合规？

王春晖：数据要素商品化、社会化形成数据生产要素市场，是数字经济时代数字新生产力发展和技术进步的重要标志。数据要素商品化形成的数据生产要素市场，需要构建完善的数据要素交易合规体系，重点应考虑五大合规要素：数据交易标的合规、数据交易场所合规、数据交易平台合规、数据交易行为合规以及数据交易安全合规。

一是数据交易标的合规。数据交易所涉及数据标的，不仅仅是数据产品本身，还应包括与数据产品相关的数据服务。数据产品主要包括用于交易的原始数据和加工处理后的数据衍生产品；数据服务主要是数据供方对数据进行一系列计算、分析、可视化等处理后,为数据需方提供处理结果及基于结果的个性化服务。

数据交易标的合规主要指数据供方交易的数据获取渠道合法、权利清晰无争议,能向数据交易机构提供拥有交易数据完整相关权益的承诺及交易数据采集渠道、个人信息保护政策、用户授权等相关材料，以及确保交易数据的真实性,能够向数据交易机构提供交易数据真实性的承诺及相关材料。数据交易机构或其委托的合法数据处理机构应当对数据供方提供的交易数据的合法、真实、来源进行合规审查。

二是数据交易场所合规。目前，最有代表性的两部地方数据综合性立法《深圳经济特区数据条例》《上海市数据条例》均规定，数据市场主体可以通过依法设立的数据交易所进行数据交易，也可以依法自行交易。我认为，数据要素具有分散性、多样性、易复制性、时效性、再创性等特性，这就要求数据要素的交易不仅要具有合规性，还应当具有安全、可信、可控、可追溯性。因此，数据应当在依法设立的数据交易机构进行交易。鉴于数据交易行为的特殊性，从事数据交易机构的准入，应当依据《行政许可法》第12条的规定设立行政许可制度。

三是数据交易平台合规。为了保障数据交易的公信力，数据交易应当通过依法设立的数据交易平台进行，建议数据交易平台由政府牵头设立。比如《深圳经济特区数据条例》要求深圳市政府应当推动建立数据交易平台，引导市场主体通过数据交易平台进行数据交易。

数据交易服务平台应至少应当具备下列五项基本功能：供求信息管理功能、交易数据计费管理功能、数据安全管理功能、数据交易审计功能以及五是数据交易日志管理功能。数据交易平台应依据《网络安全法》《数据安全法》及其配套规定建立健全网络安全等级保护制度和全流程数据安全管理制度，并根据需要支持数据存储、加密、销毁、存取控制,以及数据库、中间件、数据接口等功能,为数据供需双方开展数据交易提供运行环境和技术支撑。

四是数据交易行为合规。数据交易行为一般包括交易申请、交易磋商、交易实施、交易结束、争议处理等环节。具体而言，首先，在申请环节，数据供方应明确说明交易数据的来源、内容、权属情况和使用范围,提供对交易数据的描述信息和样本数据,数据需方应披露数据需求内容、数据用途。数据交易服务机构应对数据供需双方披露信息进行审核,督促双方依法及时、准确地披露信息；

其次，在交易磋商环节，数据供需双方应对交易数据的用途、使用范围、交易方式和使用期限等进行协商和约定,形成交易订单。数据交易服务机构应对交易订单进行审核,确保符合相关法律、法规、规章和标准等要求；

再次，在交易实施环节,数据交易服务机构应与数据供方和数据需方签订三方合同,明确数据内容、数据用途、数据质量、交易方式、交易金额、交易参与方安全责任、保密条款等内容。如发现数据交易存在违法违规情形,数据交易服务机构应当依法采取必要的处置措施,并向有关主管部门报告。

数据交易服务机构可以与当地仲裁机构联合设立争议解决机制,制定并公示争议解决规则,根据自愿原则,公平、公正解决数据供需双方的争议。

五是数据交易安全合规。重点是对数据交易机构的合规要求。数据交易机构应当设立数据安全负责人和管理机构,落实数据安全保护责任，依照《网络安全法》《数据安全法》《个人信息保护法》等法律、法规、规章和国家标准的强制性要求,建立全流程数据交易安全管理制度,定期组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,确保数据交易安全。

数据交易机构应当对拟交易的数据建立分类制度,落实有关部门对不同类别数据提出的安全要求，对拟交易数据建立分级保护机制,根据数据的不同级别,为数据供需双方提供不同强度的安全保护技术支持措施。如果交易数据需向境外提供的,应当依法按照国家网信办制定的数据出境安全评估办法进行安全评估。

个人简介

王春晖，我国知名信息通信与数字经济战略与法律专家，浙江大学教授、网络空间治理与数字经济法治（长三角）研究基地主任、联合国国际贸易法委员会中国观察员专家团成员、工信部信息通信经济专家委员会委员、中国行为法学会网络与数字法治研究院院长、中国法学会网络与信息法学研究会常务理事，参与我国《网络安全法》《个人信息保护法》《数据安全法》等法律的立法咨询与修改，多次代表中国参加联合国国际电联《国际电信规则》的审议。

出品：南都大数据研究院 数字政府研究中心

本文仅做分享使用，版权等归原出处所有

侵删