完善数据跨境合规治理
日期:2024-05-15 来源:中国社会科学网
驱动数据跨境流动不但可以提高商业效率,亦有助于解决重大全球问题,协助知识创新,增进社会公共福祉。然而,如果数据治理尚不成熟,数据被随意窃取、滥用的现象将时有发生,势必会给国家带来巨大安全隐患,对信息主体权益造成严重损害。因此,如何尽快健全企业数据跨境合规流转机制、保障数据安全、释放数据动能,成为新时代我国数字经济高质量发展的一项核心议题。
积极探索成效初显
数据跨境合规指在数据跨境流动过程中数据主体遵循法律及政策规定,确保数据安全有效流动。数据跨境合规治理则指政府或企业实施的一切处理数据跨境流动过程中合规难题的系列举措总和。数据跨境合规兼具超越地域性、强调主体性、举措多样性等特质。首先,数据跨境合规逐渐脱离依靠物理疆域执行管理的体系;其次,数据跨境合规治理的对象主要聚焦市场主体,政府数据因涉及国家利益、公共利益及国家安全,禁止此类数据跨境流动;最后,数字产业催生多元的合规管理需求,跨境数据合规治理通过实施“事前—事中—事后”结构性举措,以此维护现有数据在有效市场秩序中安全自由流动。
在贯彻落实党和国家宏观政策指引的基础上,国家及地方政府、行业与企业在数据治理领域积极探索,并且已经取得一定成效,主要体现在如下四个方面。其一,结合国内外形势,相继出台《网络安全法》《数据安全法》《个人信息保护法》,初步搭建我国数据跨境治理的顶层制度架构。其二,围绕制度顶层设计,相继出台公共政策、规范条例及配套制度,形成我国数据跨境治理的规范体系。通过深化数据跨境治理公共政策、配套制度及具体举措,激活数据要素潜能,持续优化国家数据治理立法水平,构筑国家竞争新优势,在实质层面上推动数据治理现代化进程。其三,在遵循国家数据治理顶层设计的基础上,地方政府立足本土数字产业特色及优势,制定区域数据跨境新规则。聚焦粤港澳大湾区,出台《广东省数据要素市场化配置改革行动方案》《广州市建设国家数字经济创新发展试验区实施方案》《深圳市数据交易管理暂行办法》,地方政府在数据利用、数据流转(跨境)、数据交易等领域积极探索,不断优化区域数据治理体系。其四,在数据立法不断完善与数据监管日益强化的社会背景下,国内已有部分科技企业通过提升企业数据监管和运用水平,以达到国家及地方数据出境标准,成为国内企业数据出境的示范样板,成功案例覆盖汽车制造、跨境电商、智能物联网、医疗等领域。
明确动因和挑战
我国企业数据跨境合规治理的主要动因体现在三个方面。第一,契合企业数据跨境合规治理方式更迭的现实需要。第二,盘活数据资源,助力数字产业良序发展。第三,提升我国数据治理能力,积极应对国际数据跨境监管的外部压力。
目前,新时代数据跨境治理体系正在发生重大变革,我国企业数据跨境合规面临国内外多维挑战。第一,数据跨境治理规范体系呈现零散分布样态,不利于数据跨境治理体系化建设。第二,囿于数据安全、数据跨境涵摄于多部法律规范中,以致其核心概念、监管对象、适用范围、评估标准等存在重叠与边界模糊的情形,不利于企业精准识别数据跨境合规风险,亟须明晰合理且具化的配套规则。第三,我国数据跨境采取分散监管模式,不利于数据跨境协同治理。诚如有学者指出的,《网络安全法》采取“原则禁止,以安全评估为例外”的监管模式,然而关于个人金融数据跨境问题,相关监管部门采取“原则禁止,以业务必须+客户同意+关联机构+保密为例外”的监管模式,监管标准的差异实则提高了企业数据跨境合规风险和监管成本。第四,国际错综复杂的数据治理制度环境,为我国企业数据跨境合规管理带来较大挑战。
制定因应方案
首先,确立以总体国家安全观为标准的合规图谱,恪守国家安全利益的底线思维。目前,总体国家安全观被立法、执法、司法等多个领域涵括。须注意的是,坚持总体国家安全观确立的数据主权、数据安全至上的立法价值,并不是禁止数据流动,而是须兼顾数据自由流动的经济价值,划定数据跨境流动“红线”,实现权益保护与数据自由流动之间的有效平衡。同时,面对错综复杂的域外制度和国际环境,我国政府以及企业应当警惕数据霸权主义,强化保障国家安全利益的底线思维。通过制定国内法与借用国际条约确立合法性依据,提高中国企业应对外国不当干预的能力,保障我国数字产业稳定发展。
其次,优化数据跨境治理研判体系,全面提升企业数据跨境合规治理效能。第一,围绕《网络安全法》《数据安全法》《个人信息保护法》的立法宗旨和规范设计,持续完善数据治理体系的顶层设计,厘清概念边界、适用对象与范围。第二,结合配套数据治理的相关办法,制定适应数据跨境合规要求的具体指引,针对传输环节设置数据安全流动原则、适度弱化“知情同意”原则、形塑数据跨境全周期管理和风险全链条控制理念,突破以往传统“静态规则”的制度窠臼,使得合规治理契合数据流动的客观规律。第三,持续完善数据分级分类保护制度,优化数据分级分类实施细则。第四,数据安全是数据治理的题中之义,应具化数据出境安全的评价标准和量化方案。第五,优化数据治理国际冲突解决机制,提升我国数据跨境流动国际话语权。
再次,建立专门的数据跨境保护与监管机构,为数据跨境合规制度建设提供行业指引。国家治理能力现代化要求政府具备良好的政策引导能力和社会协同能力,通过监管主体的切实参与和积极引导,可以激发不同社会主体协同参与数字治理的积极性和创造性。现阶段,国内研究更趋向建立独立的数据跨境合规监管机构,提高我国数据安全治理的统一性和连贯性。在实施步骤方面可从短期试点和长期建制两个方面着手:在国家安全领导机构统筹协调下,通过加强跨部门协同监管与协作,统一数据跨境监管标准,未来可以构建独立监管机构统筹协调数据跨境事宜,进而提升数据跨境合规监管效能。在国内法允许的条件下,通过区域试点探索数据跨境合规监管机构的职能与权限。
最后,提升企业数据跨境合规能力建设,鼓励企业主动适配数据跨境合规要求。企业作为复合型的社会经济组织,兼具市场性和社会性。随着企业社会责任理论的不断发展,数据合规已成为企业社会责任的新课题;相较于事后纠偏的监管模式,企业主动适配数据跨境合规要求有助于实现公司治理与社会治理的同步现代化。具体实施方案如下:第一,企业应当主动关注域外数据治理法律法规的区域差异,做好外部法律规则尽职调查,明确目标国家的合规审查要求,以及数据跨境流程和关键节点。第二,数据分析阶段应当适配“去标识化”及数据传输规范要求,以适应信息披露的透明化要求。第三,企业应当合理利用数据合规工具,普及“安全左移”的全过程安全规范,降低由于信息不对称所导致的非理性交易后果。第四,通过建立行业数据合规信息联盟,构建企业数据跨境合规命运共同体,共同有效应对数据跨境合规的挑战。
(本文系教育部人文社会科学研究规划基金项目“粤港澳大湾区深化构建知识产权协作机制研究”(20YJAZH031)阶段性成果)
(作者单位:广东技术师范大学法学与知识产权学院;华南理工大学法学院)