导言
2020年,国内和国际上数据立法活动依旧活跃,而且受疫情影响,个人信息的深度挖掘、人工智能技术的开发和应用、数据安全和泄露等问题更引起广泛关注。在国内,《民法典》《数据安全法》《个人信息保护法》等数据领域的顶层立法草案于2020年发布(《民法典》已于2021年1月1日生效)。《个人信息保护法(草案)》作为2020年国内顶层立法的收官之作,不仅对个人信息保护相关问题做出规制,从其具体规定入手并通过与数据领域其他立法进行比较,更可看出我国数据应用和治理理念的发展变化。
本文尝试以《个人信息保护法(草案)》为切入点,选择了数据领域的几个主要问题,包括数据跨境传输、新基建与数据安全、人工智能、行政监管、数据权利归属、公共数据等,对其近年来的发展过程进行回顾和梳理,以期深入理解国内对相关数据问题的立法和监管理念,从而对其未来趋势和走向做出判断,为企业提供参考。
受篇幅所限,我们将本文分三篇发布,每篇将针对两个问题展开讨论。
第一篇:数据跨境传输与新基建
一、 数据跨境传输
数据传输是数字经济发展的重要组成部分,是实现国家、行业、领域之间互联互通的必经之路,也是数字经济大国国家战略的重要一环。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”。
自2017年《网络安全法》提出数据(包括个人信息和重要数据)出境安全评估制度以来,我国关于数据出境的监管思路近年来一直在不断调整,截至目前仍未确定:在适用主体上,从关键信息基础设施运营者扩大到所有个人信息处理者;在适用对象上,从对个人信息和重要数据实施统一出境监管措施的单轨制发展为将个人信息和重要数据出境分别监管的双轨制;在出境监管措施上,则经历了从“自评估+特定情形下主管部门评估”到“自评估+主管部门批准”(仅针对重要数据)/“主管部门评估”(仅针对个人信息)再到《个人信息保护法(草案)》提出的多元化监管措施的变化。
2020年初,我们曾在《关于在“一带一路”国家战略实施和优化营商环境制度建设过程中保障数据合法跨境流动的提案》(以下称“《数据跨境传输提案》”,详情请参阅《天达共和数据合规资讯月报2020年第7期》[SXY1] “热点评述”)中,提出对我国数据跨境传输制度现状、制度问题的思考以及相关建议。回顾《个人信息保护法(草案)》以及2020年发布的相关数据跨境传输政策,我们在其中看到了《数据跨境传输提案》中的多数观点和建议以及一些新的监管思路。
1. 适用主体范围的扩大将有顶层立法支持
在《数据跨境传输提案》中,我们曾指出,《网络安全法》规定的数据出境安全评估机制仅适用于关键信息基础设施运营者(以下称“CIIO”),而其后发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年)、《数据安全管理办法(征求意见稿)》(2019年)、《个人信息出境安全评估办法(征求意见稿)》(2019年)规定适用于所有网络运营者,其以《网络安全法》为上位法不妥。
在个人信息出境方面,《个人信息保护法(草案)》将解决这一上位法缺失问题。根据《个人信息保护法(草案)》第三章“个人信息跨境提供的规则”,个人信息出境安全保护制度将适用于所有个人信息处理者,且处理个人信息达到国家网信部门规定数量的个人信息处理者还应适用主管部门评估机制。由此可以基本确定,在个人信息出境方面,所有自主决定处理目的、处理方式等个人信息处理事项的组织、个人[1]都将有义务落实我国个人信息出境安全保护制度。
对于个人信息以外的其他数据(包括重要数据),《数据安全法(草案)》未就跨境传输制度的适用主体进行明确规定,仅笼统说明国家将保障数据依法有序自由流动,促进数据跨境安全、自由流动[2],但其明确规定,国家将对数据试行分级分类保护,并要求各地区、各部门确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。结合《个人信息和重要数据出境安全评估办法(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》中对重要数据的分类,我们理解,对于重要数据的出境,可能会采取分类分级监管的思路,对于确定为重要数据的全部或部分类别数据实施出境监管,而不区分其处理主体或数量。
2. 个人信息出境监管制度适用对象的界定标准有待明确
尽管个人信息出境制度的顶层立法有望完善,但由于我国关于CIIO的认定、个人信息处理量级的标准等配套制度仍未确立,其适用主体的具体范围仍难以清晰界定。
《关键信息基础设施安全保护条例(征求意见稿)》(以下称“CII条例”)早在2017年即已发布并于2019年计划上报国务院,全国信息安全标准化技术委员会于2018年、2019年先后启动《信息安全技术 关键信息基础设施安全检查评估指南》(报批稿)国家标准项目试点工作和《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作,关键信息基础设施识别工作在相关重点行业也在逐步开展,在全社会的高度关注中,CII条例及配套规定仍未能于2020年出台。
《个人信息和重要数据出境安全评估办法(征求意见稿)》曾将“含有或累计含有50万人以上的个人信息”作为主管部门启动数据出具安全评估机制的标准起点。但除这一征求意见稿外,我们未在其他法规或草案中看到类似规定。上述标准是否将在未来被《个人信息保护法》的配套制度所采纳,存在较大不确定性,有待主管部门进一步明确。
3. 数据出境安全保护措施呈现多元化趋势
2019年发布的《个人信息出境安全评估办法(征求意见稿)》曾提出对个人信息出境实施单一的主管部门评估措施。这种“一刀切”式的监管思路一经提出,其科学性和实操性即备受质疑。
在《个人信息保护法(草案)》中,立法部门对个人信息出境安全保护措施进行了显著调整。除在此前立法中始终强调的主管部门评估机制(仅适用于CIIO和处理个人信息达到法定量级的个人信息处理者)外,《个人信息保护法(草案)》还提出了个人信息保护认证、与境外方订立合同并对其履约情况进行监督等多种解决方案,同时还将具备“法律、行政法规或者国家网信部规定的其他条件”即可出境设定为兜底条款,增加了个人信息出境保护措施的灵活性和可操作性[3]。
4. “本地化”储存的规制方式逐渐清晰
CIIO以外的网络运营者/数据处理者是否需要对数据进行本地化存储,除2017年发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》提出“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储”外[4],后续立法对这一问题一直未予说明,而《个人信息和重要数据出境安全评估办法(征求意见稿)》的规定明显缺乏可操作性且不利于数字化转型下的经济发展。
《个人信息保护法(草案)》要求CIIO以外的处理个人信息达到国家网信部门规定数量的个人信息处理者将其在中国境内收集和产生的个人信息存储在境内。
结合《个人信息保护法(草案)》《数据安全法(草案)》和2019年发布的《数据安全管理办法(征求意见稿)》所提出数据分类分级管理制度,以及相关行业、领域的监管规定,关于数据的“本地化”存储,呈现出从数据量级和类型两个维度进行规制的特点和趋势:一方面,当数据处理主体处理的数据达到法定量级时,则其应对数据做“本地化”存储,而不区分数据类型;同时,对于特定类型的数据,无论处理的数量如何,均应按照相关法规的要求存储在中国境内,例如,征信信息[5]、人口健康信息[6]等。
5. 国际条约和协定将为数据跨境传输提供规则依据
在《数据跨境传输提案》中,我们曾建议“基于共同的数据保护理念和保护水平,与其他国家和地区达成多边或双边协议,在此框架下形成一定类别数据的区域自由流动”。《数据安全法(草案)》和《个人信息保护法(草案)》在明确国际司法协助情形下主管部门对数据出境的审批制度的同时,确立了国际条约、协定对数据跨境传输的效力[7]。2020年11月15日中国、日本、韩国、澳大利亚、新西兰和东盟十国共15方成员签署《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,以下称“RCEP”)。在在第十二章“电子商务”中,RCEP规定了跨境传输数据的规则,旨在促进跨境贸易的同时,保护区域内消费者个人信息安全。今后,涉及数据跨境传输问题的机构或个人有望依据此类国际条约、协定解决相关问题。
6. 数据出口管制加强
《个人信息保护法(草案)》提出“境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施”;“任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施”[8]。这实际是《数据安全法(草案)》关于数据和相关技术出口管制与反制思路在个人信息安全领域的延续和体现。
2020年,受国际环境影响,中国大量企业,特别是电信和互联网企业,在美国、印度等多地受到限制、禁止甚至制裁。在这一背景下,《数据安全法(草案)》提出“国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制”;“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施”[9]。
2020年8月28日,商务部、科技部发布了最新版的《中国禁止出口限制出口技术目录》(商务部科技部公告2020年第38号),在限制出口部分新增了人工智能交互界面技术、基于数据分析的个性化信息推送服务技术、密码安全技术、信息防御技术、信息对抗技术等多项与数据开发利用有关的内容。
2020年12月1日生效的《出口管制法》也明确规定管制物项包括物项相关的技术资料等数据[10]。
随着近两年贸易保护主义升温,可以预见到,我国政府为改变中国企业出海面临的被动局面,在未来可能会对有关国家采取一系列反制措施,包括针对出口对象(包括国家、地区、组织、个人)、出口内容(包括特定类型个人信息、其他数据以及数据相关技术)制定“黑名单”,从而对数据的跨境流转产生影响。
7. 数据跨境传输区域试点或将为数据跨境流动提供更多解决方案
在《数据跨境传输提案》中,我们曾以粤港澳大湾区为例,建议以部分地区为试点,就促进数据便捷有序流动先行先试。2020年8月,商务部发布《全面深化服务贸易创新发展试点总体方案》及《全面深化服务贸易创新发展试点任务、具体举措及责任分工》,提出将在北京、天津、上海、重庆、深圳、海南等28个省市(区域)开展全面深化服务贸易创新发展试点工作,具体举措中即包括探索跨境数据流动分类监管模式,开展数据跨境传输安全管理试点。
仍以深圳市为例,在商务部发布《全面深化服务贸易创新发展试点总体方案》之前,深圳市已于2020年7月发布《深圳经济特区数据条例(征求意见稿)》,提出两种数据跨境国际合作模式,其一是通过与其他国家、地区或国际组织建立双边、多边合作机制,建设数据跨境流通自由港,以实现数据安全有序跨境流通;其二是建立个人数据跨境流动白名单,允许自由港内个人数据向白名单的国家、地区或者国际组织跨境流通[11]。同时,针对深港澳区域内的数据流动,该征求意见稿明确提出将建立深港澳地区数据融通机制,成立深港澳数据融通委员会并制定《深港澳数据融通规则》,保障深港澳地区数据融通的安全与发展[12]。
除深圳外,北京、上海等地也先后于2020年发布了《北京市促进数字经济创新发展行动纲要(2020-2022年)》《上海市全面深化服务贸易创新发展试点实施方案》等涉及数据跨境流动的政策,开展数据跨境流动/传输安全管理试点。例如,北京市数据跨境流动安全管理试点工作将从个人信息出境安全评估、企业数据保护能力认证等工作入手,先行先试[13];上海市则提出探索跨境数据流动分类监管模式,推动建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制,并允许符合条件的外资金融机构因集团化管理而涉及其在境内控股金融机构向境外报送有关数据,特别是涉及内部管理和风险控制类数据[14]。
另一个值得关注的地区是海南省。根据2020年12月31日发布的《中华人民共和国海南自由贸易港法(草案)》,海南自由贸易港将建立安全有序便利的数据流动管理制度,依法保护公民、组织与数据有关的权益,有序扩大通信资源和业务开放,扩大数据领域开放,促进以数据为关键要素的数字经济发展;国家支持海南自由贸易港探索加入区域性国际数据跨境流动制度安排[15]。
这些针对特定地区的法律、地方性规定和政策及其试验效果不仅将为我国数据跨境传输制度的确立和细化提供重要参考,而且在国家层面的制度尚不明确的情况下,将在一定区域内为数据跨境流动提供阶段性的解决方案,特别值得有数据跨境传输需求的企业关注。
二、 新基建与数据安全
1. 新基建的安全核心内容
随着数字经济的发展,以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的新型基础设施的建设方兴未艾。按照国家发改委的说明,新型基础设施主要包括3个方面内容:(1)信息基础设施;(2)融合基础设施;(3)创新基础设施[16]。新基建项目及其运营者将是数据资源处理和利用的重要主体。
数据安全是数据有序流动的根本保证问题之一,对于新基建项目及其运营者而言其重要程度更是不言自明。我们认为,保障数据安全的工作重点在于数据的分级分类和确保数据安全保障能力,由此也就成为了新基建的安全核心内容。
2. 数据的分级分类管理
2017年施行的《网络安全法》以及2020年公布的《数据安全法(草案)》中都强调了数据分级分类的要求。《个人信息保护法(草案)》在个人信息处理者的义务中,也明确把对个人信息实行分级分类管理作为保护数据安全必要措施的主要内容之一。同时,《个人信息保护法(草案)》确立了个人信息的概念范围,即包括“可识别性”和“关联性”,特别是以法律形式明确了敏感个人信息的概念和处理规则,为个人信息的分级分类奠定了基础。
在新基建项目的运营过程中,将会涉及海量个人信息的处理,依照《个人信息保护法(草案)》规定,根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,对所处理的个人信息进行分级分类,并对应的采取安全保护措施及处理是新基建项目的合规重点内容。数据分级分类是保护数据安全和实施有效保护措施的前提和基础。中国人民银行2020年9月发布并实施了《金融数据安全 数据安全分级指南(JR/T 0197-2020)》,重点行业主管部门出台有关数据安全分级分类相关的细则和指引,将有力推动数据分级分类管理工作的落地和实施。
3. 确保数据安全保障能力
《网络安全法》确立了以网络安全等级保护制度(以下称“等保”)为核心的网络安全运行保障制度规范,同时强调了对于重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,要在等保的基础上实行重点保护(以下称“关保”)。其后于2020年10月正式施行的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下称“《个人信息安全规范》”;关于《个人信息安全规范》的主要规定和变化,请参阅本团队往期文章《水落石出——新版<个人信息安全规范>解读》[SXY2] )针对个人信息生命周期的处理活动规定了个人信息控制者的个人信息安全保障义务。
《个人信息保护法(草案)》从对象上不再限定于网络运营者,并且沿用《民法典》的规定合并了个人信息处理者的概念,将个人信息安全保障的责任主体进行了全方面覆盖。从内容上基本承继了迄今为止的安全保障能力要求,包括(1)制度和流程要求,(2)采用安全技术措施的要求,(3)组织机构、负责人及安全教育培训的组织和人员管理要求,(4)安全事件应急预案管理的要求,(5)对个人信息处理活动及保护措施的定期审计要求等。特别是明确了在处理敏感个人信息、自动化决策、委托处理、向境外提供等特定应用场景下进行风险评估的要求以及评估的内容[17]。此外,《个人信息保护法(草案)》还规定了个人信息处理者在发现个人信息泄露时采取补救措施、通知职责部门和个人的义务及其例外规则[18]。从而对安全保障能力的要求进行了事前、事中、事后的管理闭环式的全面规定。
《个人信息保护法》是针对线上线下全部模式个人信息处理者义务的要求。另一方面,现实社会经济生活中,利用网络处理数据仍然是个人信息实际应用的最主要方式。新基建项目就更是以信息系统、通信传输网络和数据资源为基础进行数据的处理和利用。同时,新基建项目基于其重要性和影响性,特别在涉及重要行业和领域进行应用时,很有可能同时被列为关键基础信息设施(CII)。等保和关保的具体要求也很大程度反映并为数据安全保障能力的保证提供了支持。这些都决定新基建项目及其运营者应该应用等保及关保的要求,加强对自身网络运行安全的保护,以达到提升数据安全保障能力的目的。
2020年7月22日,公安部向中央和国家机关各部委、国务院各直属机构、办事机构、事业单位、各中央企业印发了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下称“《指导意见》”)。《指导意见》进一步明确了等保、关保工作的法律原则、监管要求、工作重点等内容,为各地监管机关全面推进等保、关保工作提出了明确的要求(详情请参阅本团队往期文章《“两个制度”与“双保时代”——网络安全最新制度、监管动向解读及实务建议》[SXY3] )。2020年年末,金融、广电、工控等重点行业领域相继发布了行业领域内的等保实施细则或要求标准,“公安主管+行业分管”的等保、关保监管格局得以逐步落实。可以预见目前都在意见征求阶段的《网络安全等级保护条例》(以下称“《等保条例》”)、CII条例将陆续正式浮出水面,届时对于等保、关保的要求以及执法监督活动将会更加明确和严格。
《个人信息保护法》《数据安全法》的陆续正式出台,将与《网络安全法》共同作为基础性顶层法律,并与《等保条例》、CII条例等相关法规和规范性文件,共同构建我国网络安全和数据合规的法律体系。企业特别是新基建项目企业应当密切关注法律法规要求的出台和落地,切实提升和保证数据安全的保障能力,确保数据安全,才能保证业务顺利的进行并避免风险的发生。
******
下一篇我们将讨论人工智能与行政监管涉及的数据问题,敬请期待。
******
注释:
[1] 见《个人信息保护法(草案)》第六十九条第(一)项“个人信息处理者”定义
[2] 《数据安全法(草案)》第五条、第十条
[3] 《个人信息保护法(草案)》第三十八条、第四十条
[4] 《个人信息和重要数据出境安全评估办法(征求意见稿)》第二条
[5] 《征信业管理条例》第二十四条
[6] 《人口健康信息管理办法(试行》第十条
[7] 《数据安全法(草案)》第三十三条、《个人信息保护法(草案)》第四十一条
[8] 《个人信息保护法(草案)》第四十二条、第四十三条
[9] 《数据安全法(草案)》第二十三条、第二十四条
[10] 《出口管制法》第二条
[11] 《深圳经济特区数据条例(征求意见稿)》第四章第五节
[12] 《深圳经济特区数据条例(征求意见稿)》第四章第四节
[13] 《北京市推进数据跨境流动安全管理试点》,http://www.gov.cn/xinwen/2020-12/24/content_5572905.htm
[14] 《上海市全面深化服务贸易创新发展试点实施方案》第二条第(三)款第8项
[15] 《中华人民共和国海南自由贸易港法(草案)》第四十二条
[16] 新浪财经,国家发改委首次明确新基建范围https://baijiahao.baidu.com/s?id=1664462340638326126&wfr=spider&for=pc
[17] 《个人信息保护法(草案)》第五十条、第五十三条、第五十四条
[18] 《个人信息保护法(草案)》第五十五条
