1、2023 年第 4 期一、引言数据跨境流动日益成为数字贸易发展的关键支撑,同时也涉及国家安全、个人隐私和商业秘密等敏感问题。关于如何平衡数据跨境流动治理中的“安全目标”和“发展目标”,各国正在积极探索,但目前仍存在较大分歧。我国日益重视数据跨境流动问题,但目前配套的监管措施尚处于探索阶段,还未形成十分成熟的模式与路径。国内部分自由贸易试验区(港)(以下简称“自贸区(港)”)拥有较完善的产业生态和市场应用基础,且位于其中的企业也有较迫切的数据出境需求,因此,自贸区(港)率先在数据跨境流动领域展开试点探索具有比较优势,也是必要和可行的。针对数据跨境流动试点建设问题,与本文密切相关的研究主要有以下
2、3 类。第 1 类为数据跨境流动的国际规则研究。一方面,学者们梳理了世界贸易组织(WTO)、经济合作与发展组织(OECD)、亚太经济合作组织(APEC)和二十国集团(G20)等多边机制在数据跨境流动方面所开展的规制行动并指出其困境所在(刘我国自贸区(港)数据跨境流动试点制度创新研究摘 要:现阶段我国自贸区(港)数据跨境流动试点建设成效主要体现在模式创新和技术创新,而制度创新收效甚微。随着国家层面数据跨境流动治理法律体系的构建和完善以及主管部门的事权归一,自贸区(港)开展制度创新则恰逢其时。自贸区(港)开展制度创新应遵循 3 项基本原则:在兼顾“安全目标”的基础上更偏重“发展目标”;在明确审批权
3、边界基础上更注重推进监管制度体系的落地实施;在洞察国际动向基础上更注重总结提炼中式数据流动治理方案。在此基础上,建议自贸区(港)数据跨境流动制度创新可围绕 5 个核心抓手展开:协助数据出境安全评估机制平稳落地、先行探索个人信息保护认证机制、优化符合贸易情境的标准合同、推动数据出境评判标准透明化以及便捷处理同主体同类数据高频出境。关键词:数据跨境流动试点;制度创新;自贸区(港)中图分类号:F114.4 文献标识码:A 文章编号:1006-1894(2023)04-0086-12周念利 于美月 柳春苗(对外经济贸易大学,北京 100105)作者简介:周念利,对外经济贸易大学中国 WTO 研究院、国
4、家(北京)对外开放研究院研究员,经济学博士,博士生导师,研究方向:数字贸易;于美月,对外经济贸易大学中国 WTO 研究院 2021 级博士研究生,研究方向:数字贸易;柳春苗,对外经济贸易大学中国 WTO 研究院硕士研究生,研究方向:数字贸易。基金项目:国 家 社 科 基 金 重 点 项 目“美 国 印 太 新 经 济 框 架 下 的 数 字 贸 易 规 则 塑 造 及 应 对 研 究”(项 目 编 号:22AGJ008);教育部人文社会科学重点研究基地重大项目“全球数字贸易治理动向追踪及中国应对研究”(项目编号:22JJD790010);对外经济贸易大学国家(北京)对外开放研究院智库科研团队专
5、项经费资助(项目编号:2023TD01)。对外经济贸易大学中央高校基本科研业务费专项资金(项目编号:CXTD14-02)周念利 于美月 柳春苗 87 国际商务研究 2023 年第 4 期宏松和程海烨,2020;Mitchell and Mishra,2019)。另一方面,对代表性区域贸易协定的对比分析是研究热点。周念利和陈寰琦(2019)梳理了“美式”跨境数据流动规则的演进特征,指出美墨加协定(USMCA)在跨境数据流动规则制定方面的雄心水平最高,全面与进步跨太平洋伙伴关系协定(CPTPP)次之。相较于约束力较强的“美式”规则,以区域全面经济伙伴关系协定(RCEP)为代表的“中式”规则虽然也提
6、倡数据跨境自由流动,但是更加尊重缔约方在跨境数据流动方面的监管自主权与“公共政策目标例外”(谢卓君和杨署东,2021)。李佳倩等(2022)发现,数字经济伙伴关系协定(DEPA)等“新式”模板中的跨境数据流动规则完全承袭了 CPTPP,其雄心水平高于 RCEP。针对中国如何对接高标准跨境数据流动规则,不少文献也进行了合规性分析,并提供了对策建议(徐程锦,2023;梅傲和李淮俊,2023;陶斌智和蔡彦,2023)。陈寰琦(2020)和殷凤等(2023)还通过定量研究证实了区域贸易协定中跨境数据流动规则的贸易促进效应。第 2 类为数据跨境流动的国内立法研究。一是以欧美日等主要经济体为切入点,分析这
7、些经济体单边出台的与数据跨境流动相关的法律法规(李墨丝,2021;张倩雯和张文艺,2023;Jim nez-Gmez,2021)。也有学者关注俄罗斯和印度等新兴经济体实施的以“主权保护”为导向的限制性数据跨境流动政策措施(周念利和李金东,2020;孙祁和尤利娅哈里托诺娃,2022;Bailey and Parsheera,2021)。二是聚焦梳理中国国内的数据治理法律法规框架。张明(2022)通过分析我国的数据安全法和个人信息保护法指出,我国的数据跨境流动监管将“防范”作为重心,以最大程度保障数据跨境安全。刘金瑞(2022)指出,我国构建了以“重要数据”和“个人信息”为抓手的多轨双层次规制制度
8、,并在此基础上提出了数据跨境流动全球规制的中国方案。赵精武(2023)认为,虽然目前我国的跨境数据流动法律法规框架基本建立,但是数据流动制度的体系化水平仍有待提高。此外,对于数据出境安全评估等具体的数据出境机制而言,我国应采取合理、开放和动态的风险观对其进行理解与解释(丁晓东,2023)。第 3 类为数据跨境流动的地方实践研究。周念利和姚亭亭(2021)针对自贸区推进数据跨境流动的难点和问题,建议采取“强化底层技术支撑和创研能力”及“设置灵活的数据出境路径”等措施应对。陈利强和刘羿瑶(2021)以海南自贸港为研究对象,针对自贸港跨境数据流动法律法规难题,提出“事权法治制度环境一体化”的解决路径
9、。广东外语外贸大学粤港澳大湾区研究院课题组(2022)聚焦粤港澳大湾区数据跨境流动的立法基础和实践现状,认为粤港澳大湾区数据治理建设可从制度规则、政府效能和技术突破等方面着手推进。既有文献为自贸区(港)开展数据跨境流动试点工作提供了支撑,但存在不足之处。第一,对于数据跨境流动的国际规则研究,现有文献大多聚焦 RTAs、国别及多边机制的视角,鲜有文献从如何对标国际高标准规则入手,为自贸区(港)数据跨境流动试点建设提供可能的路径。第二,对于数据跨境流动的国内立法和地方实我国自贸区(港)数据跨境流动试点制度创新研究 88 国际商务研究 2023 年第 4 期践研究,现有文献大多关注各类数据跨境流动的
10、限制性法律法规。事实上,国内自贸区(港)已逐渐开始探索如何灵活应用甚至适度放松对数据跨境流动的既有管制并已总结了一些经验和教训,但也碰到一些现实问题,这些问题正是今后制度创新需着力解决的难点,学者们对此却关注较少。鉴于此,本文结合现阶段我国自贸区(港)数据跨境流动试点建设现状,明确开展数据跨境流动试点创新的 3 个层面(模式创新、技术创新和制度创新),并以制度创新为主要着力点展开专门研究,提出自贸区(港)开展数据跨境流动试点制度创新的基本原则,进一步挖掘制度创新的核心抓手,以期为保障数据安全高效出境、促进数据跨境合作以及优化营商环境提供参考。二、我国自贸区(港)数据跨境流动试点建设现状(一)现
11、阶段自贸区(港)数据跨境流动试点探索收效甚微2020 年 8 月,商务部发布关于印发全面深化服务贸易创新发展试点总体方案的通知,提出在北京、上海、海南等条件较好的试点地区开展数据跨境传输安全管理试点。目前各自贸区(港)主要从以下几方面开展试点工作:(1)开展数据跨境流动的“模式创新”探索。在传统数据交易或流通中,绝大多数情况下是数据供需双方直接对接,以“点对点”的模式开展。以该模式从事数据交易,存在数据权属不清晰、交易双方信任机制难以完全构建等问题;另外,在供需直接对接的情形下,缺乏市场统一的数据质量评价体系,极大限制了数据交易效率。因此,一些自贸区(港)尝试探索基于第三方的“数据中介交易模式
12、”,即通过引入第三方(如大数据交易所、数据交易平台、数据经纪商以及个人信息管理系统等)充当数据供需双方的交易中介。例如,北京设立了国际大数据交易所,并推出数据产品跨境交易模式。(2)开展数据跨境流动“技术创新”探索,即自贸区(港)以技术创新为动力和先导,通过为数据跨境流动及安全监管提供关键支撑技术和新型基础设施方式,实现数据的安全存储和高效流通。例如,上海临港新片区依托“国际数据港”,建设新型互联网交换中心、互联网数据专用通道等新型基础设施;北京自贸区尝试利用区块链等技术手段,开展数据跨境流动等试点任务。事实上,试点创新工作还应包括“制度创新”,即在严格遵照国家数据跨境流动法律法规的前提下,各
13、自贸区(港)结合自身的产业基础和治理实践出台相关的举措和办法,使数据出境合规且便利。但在过去两年多的试点建设探索中,相较于“模式创新”和“技术创新”,自贸区(港)在“制度创新”方面的进展微乎其微。例如,虽然海南启动海南自由贸易港网络与数据安全条例的地方立法工作,但条例尚 商务部.商务部关于印发全面深化服务贸易创新发展试点总体方案的通知EB/OL.http:/ 制度创新助力上海数字贸易发展EB/OL.https:/ 海南启动网络数据安全地方立法EB/OL.http:/ 于美月 柳春苗 89 国际商务研究 2023 年第 4 期未颁布实施。自贸区(港)在数据跨境流动“制度创新”方面的探索收效甚微,
14、原因有:(1)国家层面构建和完善数据跨境流动治理的法律体系有一定周期。我国在 2017年 6 月实施的网络安全法中就已提及数据出境安全评估制度,但其规定的数据出境评估范围过窄,仅限于关键信息基础设施数据的安全评估,这导致大量非关键信息基础设施数据的出境评估一直被搁置,直至 2021 年 9 月和 11 月,国家先后出台数据安全法和个人信息保护法后,该政策漏洞才初步得到弥补。尽管如此,彼时数据跨境流动仅有上位法支撑,多是原则规定,与之配套的相关细则还在征求意见中。在国家层面的法律法规体系尚未完全构建之前,自贸区(港)进行数据跨境流动制度创新缺乏相应的前提和基础。(2)负责数据安全的主管部门与负责
15、自贸区(港)建设的主管部门不统一。数据安全主管部门制定政策的重心在于保障数据安全,自贸区(港)建设主管部门并无决定数据能否出境的事权。相关法律法规和实施细则的缺位加上缺乏主管部门的有效指引,自贸区(港)在自行探索数据跨境流动试点时,易受到产业发展与企业诉求的影响,将试点重心逐渐偏离到模式创新和技术创新中,忽略了制度创新。诚然,模式创新和技术创新能为数据跨境流动试点建设提供支撑,但考虑到数据出境最终要落实到企业层面,相较于模式创新和技术创新,制度创新与企业的联系最密切,因此,自贸区(港)应将制度创新作为当前开展数据跨境流动试点建设工作的当务之急。(二)自贸区(港)开展数据跨境流动试点制度创新恰逢
16、其时一方面,自 2022 年以来,相关法律法规和规范指南陆续出台,为自贸区(港)数据跨境流动试点提供了先行条件。我国数据出境监管的顶层设计来源于国家安全法,它侧重对国家利益和公共利益的保护,兼顾个人权益,但主线仍旧是国家安全。在顶层设计之下,网络安全法数据安全法和个人信息保护法规定了数据出境的多种路径,划定了数据出境保护的基准线。此外,为进一步明确各种路径下数据出境的具体操作要求,国家又陆续出台了配套法律文件和实施细则,以推动数据出境政策实质性落地。截至目前,我国以“安全评估、标准合同、个人信息保护认证、其他路径”为主要数据出境机制的制度体系已初步搭建完成,形成了“1+3+N”的数据出境合规监
17、管框架(表 1)。随着不同层级的法律法规多线并进、逐渐成型,自贸区(港)自行探索数据跨境流动试点建设的尴尬局面得到一定程度的改变,进行制度创新的边界得以明晰,试点的空间也更有指向性。另一方面,专业职能部门的设立有助于解决“数据治理政出多门”的痛点,使得自贸区(港)的数据跨境活动获得精准的政策指导。2023 年 3 月 7 日,第十四届全国人大一次会议公布了国务院关于提请审议国务院机构改革方案的议案,其 新华社.国务院关于提请审议国务院机构改革方案的议案EB/OL.http:/ 90 国际商务研究 2023 年第 4 期中特别提出要组建国家数据局,负责统筹数据资源整合共享和开发利用,由国家发改委
18、管理,并将中央网信办和国家发改委所承担的部分职能划入国家数据局。改革之后,各数据治理部门的职能更加明确,国家数据局将聚焦发挥数据要素的基础性作用,侧重数据治理中的“发展目标”,在自贸区(港)进行数据跨境活动时给予有效指引,使得自贸区(港)开展数据跨境流动试点工作时能够更加有序与主次分明。数据跨境流动制度体系初步建立,加之国家数据局成立伊始,其能够为自贸区(港)数据跨境流动制度创新提供先行条件的同时,尚存在许多待落实之处。因此以自贸区(港)作为试点,有助于日后相关制度在全国范围内更快更好地落地推广,自贸区(港)开展数据跨境流动试点制度创新恰逢其时,且大有可为。表 1 我国数据出境合规的监管框架监
19、管框架名称颁布机构施行时间“1”项顶层设计国家安全法全国人大常委会2015 年 7 月 1 日“3”项主要法律网络安全法全国人大常委会2017 年 6 月 1 日数据安全法全国人大常委会2021 年 9 月 1 日个人信息保护法全国人大常委会2021 月 11 月 1 日“N”项规范文件与实施细则数据出境安全评估办法中央网信办2022 年 9 月 1 日数据出境安全评估申报指南(第一版)中央网信办2022 年 9 月 1 日个人信息出境标准合同规定中央网信办2023 年 2 月 24 日网络安全标准实践指南个人信息跨境处理活动安全认证规范 V2.0全国信息安全标准化技术委员会秘书处2022 年
20、 12 月 16 日数据安全管理认证实施规则国家市场监督管理总局、中央网信办2022 年 6 月 5 日三、自贸区(港)开展数据跨境流动试点制度创新的基本原则(一)在兼顾“安全目标”的基础上更偏重“发展目标”自贸区(港)数据跨境流动试点的目标在于促进数字贸易发展,促进数字产品和服务的自由流动,促进和支持与数字贸易相关的数据跨境流动。出于对国家安全和数据主权的考虑,目前现有的数据跨境流动监管政策总体上侧重“安全目标”,这与企业追求的“发展目标”有所冲突。考虑到数据流动会引领技术、资金和人才流动,自贸区(港)在试点过程中若过分注重安全问题,将导致企业的商业活动难以有效开展,数据跨境流动试点制度创新
21、的意义也将大打折扣。因此,开展数据跨境流动试点应统筹兼顾开放和安全的原则,并且在平衡二者的前提下树立动态安全观,更加偏向和侧重“发展利益”,防止为了“泛安全化”而一刀切。换言之,应在“发展”导向的利益诉求优先的情形下,将数据跨境“自由流动”作为底色,“限制约束”作为例外。(二)在明确审批权边界基础上更注重推进相关监管制度体系的落地实施首先,数据出境监管属于国家事权,自贸区(港)进行制度创新探索的视角“不周念利 于美月 柳春苗 91 国际商务研究 2023 年第 4 期是使不能出境的数据出境”,而是“让可以出境的数据出境时更为便捷”。因此,在进行制度创新时应明确数据跨境流动的合规边界,在国家已有
22、的法律法规范围内进行创新探索。其次,我国目前的数据出境遵循主权监管的思路,在顶层设计方面较难寻找突破口,且监管规则设计与实际操作之间存在一定的差距,因此,自贸区(港)开展数据跨境流动试点工作的重点应在于推动制度落地,提升现有法律法规的可执行性。最后,整合上位法与下位法关于数据跨境流动的监管要求,保障制度之间的体系化,完善不同数据出境路径之间的衔接。(三)在洞察国际动向基础上更注重总结提炼中式的数据流动治理方案以美欧日为代表的发达经济体正通过强化产业应用、扶持立法和监管司法以及国际合作同盟等举措,构建数据跨境治理生态圈,对数据治理的国际秩序产生了深远的影响。我国自贸区(港)在开展试点的过程中,应
23、及时关注国际数据治理前沿动态,对国际上与数据跨境流动相关的先进规则进行追踪把握。加强国际交流,构建政府、行业、研究机构多线并行的交流模式,推动自贸区(港)数据跨境流动制度与国际先进规则对接,例如明确跨境数据流动规则中“安全例外条款”和“公共政策目标例外条款”的适用情形等。与此同时,以“一带一路”倡议为依托,在沿线国家和地区就数据跨境传输机制和配套的监管措施展开交流,共享先进经验,以此加强境外对自贸区(港)企业和市场的了解与信任;通过主导或参与涵盖数据跨境流动条款的贸易协定拓展数据跨境流动范围,在发挥国内市场潜力的同时引入国际市场资源,以带动我国数字经济持续发展。此外,也应积极拓展全球数据治理和
24、生态基础,一方面,向外展示自贸区(港)已有的数据跨境流动试点成果,对外输出“中国方案”,为我国数据跨境流动治理塑造积极主动的形象;另一方面,激励和培育符合数据跨境流动全球价值利益的新体系,打破美欧在数据治理领域的主导格局,由被动的数据跨境流动规则接受者向积极的规则制定者转变,提升我国在全球数据治理领域的认同度。四、自贸区(港)开展数据跨境流动试点制度创新的核心抓手总体上看,我国数据出境实行“双轨并行”制度,将规制对象分为“重要数据”和“个人信息数据”,且以境内存储作为原则,实施以“安全评估、标准合同、个人信息保护认证以及其他”为基础的数据跨境传输机制(图 1)。这 4 种数据出境机制之间的关系
25、可理解为:(1)对于“重要数据”,无论数据处理者为何类型,无论出境数量多少,原则上境内存储,如确有必要跨境提供,均须申报出境安全评估。(2)对于“个人信息数据”,在数据主体同意的前提下,若数据出境数量达到一定阈值,近年来,美国牵头组建“民主科技联盟”;日本积极推动“基于信任的数据自由流动体系”,正试图打造美欧日数字流通圈。我国自贸区(港)数据跨境流动试点制度创新研究 92 国际商务研究 2023 年第 4 期触发安全评估标准,也需进行安全评估。(3)对于未达到安全评估阈值、未触发安全评估标准 的 个 人 信 息 数 据 出境,可以进行个人信息保护认证,或采取订立标准合同的路径。企业可结合具体的
26、数据出境场景、有效期、成本等因素对二者自行选择。(4)针对国际民商事诉讼等特殊事由需进行数据跨境调取时,可实行对等原则,须经有关部门批准,通过国际条约或国际司法协助等途径向境外提供数据。但是新规的具体实操细节对于存在数据出境需求的企业而言仍然是难题,因此本文将围绕上述 4 种数据出境机制,结合实操中的若干痛点与难点,提出自贸区(港)数据跨境流动试点制度创新的 5 个核心抓手。(一)协助数据出境安全评估机制平稳落地1.辅助出台重要数据目录对重要数据的认定是开展安全评估的基础。何谓“重要数据”,数据出境安全评估办法和数据出境安全评估申报指南(第一版)(以下简称申报指南)均没有详细规定。实际上,早在
27、 2017 年网络安全法中便首次出现“重要数据”的概念,随后无论是数据安全法还是网络安全标准实践指南网络数据分类分级指引都对重要数据有所论及,但国家始终没有出台关于如何认定重要数据的相关规范。直至 2022 年 1 月 13 日,全国信息安全标准化技术委员会正式发布几经修改的信息安全技术重要数据识别指南(征求意见稿)(以下简称识别指南),专门规定了重要数据的识别问题。但由于出台重要数据目录属于“国家事权”,国家层面或行业层面将出台统一的重要数据目录,因而在实践过程中各自贸区(港)的工作重点在于如何基于自身优势行业,协助国家相关部门形成重要数据目录。首先,各自贸区(港)应以当地优势领域的业务流程
28、作为逻辑主线完成数据资产盘点。例如,北京自贸区在生物医疗、社交媒介领域,上海自贸区在金融、汽车产业、工业互联网领域以及海南自贸港在通信领域各自拥有较为先进的实践经验,因此各自贸区(港)应贯穿数据的产生、收集、使用、流通等环节,形成自身优势领域的数据资产全景。其次,自贸区(港)可结合重点企业实地调研和行业专家咨询建议,以识别指南中的 14 条重要识别因素为依据对每一类数据做“判断题”和“填空题”。例如,先做判断题:若领域 A 中的数据 B 遭到篡改、破坏、泄露或者非法获取、非法利用后,是否会危害国家安全和社会利益?若否,则为非重要数据;若是,则需要纳入重要数据目录,且需要进一步做“填空题”:该数
29、据分属 14 条重要识别重要数据数据出境安全评估数据出境安全评估数据出境安全评估数据出境安全评估签署标准合同个人信息保护认证其他路径企业是 100 万人以上个人信息的处理者达到网信办规定的数据出境数量阈值未达到网信办规定的数据出境数量阈值从上一年 1 月 1 日起算,企业累计向境外提供 10 万人的个人信息从上一年 1 月 1 日起算,企业累计向境外提供 1 万人的敏感个人信息数据出境个人信息数据图 1 我国“重要数据”和“个人信息数据”的跨境传输机制周念利 于美月 柳春苗 93 国际商务研究 2023 年第 4 期数据中的哪一类,即该数据之所以“重要”的理由,这是操作过程中的核心步骤。最后需
30、结合时间、政策、数据用途和应用场景等变化的影响,定期复查数据识别结果并进行调整,形成该自贸区(港)特定领域的潜在重要数据“正面清单”,为国家制定统一的重要数据目录提供参考。2.为企业申报数据出境安全评估进行合规指导数据出境安全评估实施最终需要落实到企业,但实操细节尤其是数据出境风险自评估对于企业而言仍然是合规难题。因此,自贸区(港)应对企业进行有效辅导和指引,协助企业顺利完成数据出境安全评估工作,打通制度的“最后一公里”。一是设立数据出境安全评估咨询平台。自贸区(港)应定期汇总与数据出境相关的法律法规,明确数据收集、传输、运算等各个环节的法律法规依据,协调与贸易伙伴之间的数据跨境标准,帮助企业
31、解决数据出境方与数据接收方的沟通问题;在线上和线下设立数据出境安全评估实务咨询窗口,解决企业在安全评估申报过程中的疑难问题,并帮助没有顺利通过安全评估的企业分析原因、进行整改。二是及时制定数据出境安全评估合规培训计划,尤其是对负责数据安全的企业相关技术和管理人员进行定期教育培训,邀请安全评估申报成功的企业进行经验分享,以便对其他企业进行有效指引。此外,可定期对企业进行深入调研,了解其数据出境需求以及数据出境的难点和痛点,协助其在不同数据出境场景下选择适用的合规路径。三是引入专业的第三方机构为企业提供合规指引。自贸区(港)可集合法律机构、咨询机构以及网络安全领域的专业机构,形成专家库或拟推荐的机
32、构名单供企业选择。四是使用标准化工具。企业进行数据出境安全评估时需提交的材料较为繁杂,自贸区(港)可发布数据出境安全评估中涉及的各类文件模板,以此提高企业的申报效率,降低数据出境难度。(二)先行探索自贸区(港)的个人信息保护认证机制虽然我国的个人信息保护认证规范已经出台,但其中仍有需完善之处,目前也尚未有可参考的成功案例,因此自贸区(港)可先从重点领域挑选企业进行小范围试点,在自贸区(港)内先行先试,为个人信息保护认证机制在全国范围内的推广奠定基础。1.明确认证机构资质。根据已经发布的认证规范和实施规则,在整个认证流程中,认证机构的重要作用不言而喻,应具备“专业性”与“独立性”两个特质。第一,
33、鉴于个人信息保护认证工作具有极强的专业性,建议可通过以下 3 种渠道来保障:提出设立条件、人员构成、物质要求等硬性标准;参考欧盟对其认证机构的要求,树立软性制度条件;囿于个人信息验证的复杂性,可考虑与技术验证机构合作,当 欧盟对数据保护认证机构的资质要求更注重软性制度条件,如通用数据保护条例第43条要求数据保护认证机构得到成员国的官方认可,并同时规定了成为认证机构的5项条件:(a)证明其对认证事项的独立性和专业性符合监管机构的要求;(b)承诺遵守相关准则;(c)建立了签发、定期检查和撤回数据保护认证、印章、标志的程序;(d)建立公开透明的处理投诉机制;(e)证明其任务与职责不会导致利益冲突,并
34、且符合监管机构的要求。参见:刘权.数据安全认证:个人信息保护的第三方规制J.法学评论,2022,40(1);欧盟通用数据保护条例第43条。我国自贸区(港)数据跨境流动试点制度创新研究 94 国际商务研究 2023 年第 4 期涉及“技术验证环节”时,可将相关工作委托给技术验证机构。第二,保障认证机构的独立性。不仅需要确保认证机构与个人数据处理方没有利益关联,还要排除以利益最大化为目标的企业型认证机构,以便更高效地发挥第三方认证机构的规制作用。因此,建议自贸区(港)加快培育社会组织型安全认证机构,充分实现认证机构的独立性,保障认证结果的客观公正。2.明确认证范围和“技术验证”的标准。一方面,认证
35、具有双方性,即贯穿“境内处理跨境传输境外处理”的个人信息出境全过程,个人信息处理者和境外接收方均需要遵守相关要求,因此需要明确“技术验证”和“现场审核”等环节如何适用境外接收方。另一方面,我国个人信息跨境认证模式包括技术验证、现场审核和获证后监督 3 个重要环节,其中何为“技术验证”尚没有明确规定。因此,自贸区(港)可考虑先明确技术验证的内涵,结合自身的优势产业,明确在其优势领域进行技术验证时的重点,为日后国家相关部门在全国范围内根据行业不同制定差异化技术验证标准提供参考。3.建立认证反馈机制。为保证一次性的静态认证机制能够有效为动态频繁的数据出境进行背书,后续需建立动态认证反馈机制。一是督促
36、数据出境方自查,例如要求数据出境方每年编制数据出境反馈报告等;二是定期或不定期核查数据出境方的资质;三是开通投诉举报通道。(三)优化符合贸易情境的标准合同标准合同的制度功能不仅在于确保缔约双方按照现行立法要求对数据安全保护做出相应约定,还在于引导各行业形成特定数据类型传输的标准和商业惯例。虽然国家相关部门发布了标准合同模板,但也提及在标准合同附件中可加入双方协商拟定的其他条款。因此,在推动标准合同机制落地时,自贸区(港)可利用这一规定,在已有的标准合同框架下施加商业考量,优化符合涉外贸易特征的标准合同,保障企业在利用标准合同进行数据出境的同时防止商业价值贬损。首先,细化缔约双方的权利义务以及数
37、据传输方式。一方面,国家层面的标准合同忽略了不同模式下双方面临的合同权利与义务存在差异这一问题。因此,建议自贸区(港)明确数据出境方和境外接收方的主体范围,就个人信息跨境场景下数据出境方与境外接收方形成的数据处理法律关系做进一步划分,细化缔约双方在个人信息跨境过程中享有的权利和承担的义务,调整现阶段的构建基础与一致性规定。另一方面,对约定事项的范围、类型进行细化,明确缔约方之间应当约定哪些条款和内容,尤其是确保数据出境标准合同与双方商业主合同不冲突。其次,在标准合同附录中加入促进贸易的相关条款。个人信息出境标准合同规定(以下简称标准合同规定)允许企业在标准合同附录中增加其他协商一致的条款,意味
38、着标准合同缔约双方具有一定的意思自治空间。因此,自贸区(港)可根据行业差异,在 刘权.数据安全认证:个人信息保护的第三方规制J.法学评论,2022,40(1).周念利 于美月 柳春苗 95 国际商务研究 2023 年第 4 期标准合同附录中添加有利于企业开展贸易的相关条款,但此时需要注意附加条款与标准合同主条款的兼容性问题,即不可与既有的数据出境标准合同条款相悖。(四)推动数据出境评判标准透明化就安全评估而言,由于施行时间短,且申报流程繁琐、周期长,企业在进行评估申报时难免存在疑问。因此,自贸区(港)可在中央网信办申报指南的基础上,发布更详尽的指引手册,使企业明确进行安全评估的具体流程、需要提
39、交的申报材料,协助企业顺利完成数据安全评估申报工作。同时,自贸区(港)可积极与网信部门沟通,建议网信部门细化数据出境安全评估管辖标准的颗粒度,对外披露详细的评判指标,并及时公布评估结果,以保证安全评估评判标准透明化。另外,自贸区(港)可建议网信部门慎用“禁止出境”这一评估反馈机制,以增加安全评估流程的确定性,并建议网信部门明确告知未通过安全评估的企业其需整改之处,以此打消企业的疑虑,切实提升企业进行安全评估的信心。就标准合同而言,为便于主管部门对个人信息跨境传输过程中的风险进行管控,标准合同规定要求个人数据处理者在标准合同生效后需向所在地省级网信部门备案。据此,自贸区(港)同样需要与网信部门积
40、极沟通,及时向企业传达详细的备案流程,并列明备案所需的各项材料;对于不符合备案要求的标准合同,网信部门存在两种介入机制:一是直接终止数据出境,二是责令限期改正。自贸区(港)可建议网信部门一方面及时披露标准合同的备案评判标准,另一方面少用、慎用终止数据出境的介入方式,仅在特殊情况下使用,以提升标准合同中备案机制的稳定性。(五)便捷化处理同主体同类数据高频出境由于行业特性等原因,在实践过程中会存在同一数据处理者与境外接收方之间高频率传输同类数据的情形,但包括安全评估在内的数据出境机制流程繁琐且耗时较长,因此,为提高数据出境效率,自贸区(港)可考虑进行便捷化处理,具体分为以下两种情形:一是未达到数据
41、出境安全评估门槛(如非重要数据出境、数量未达到安全评估门槛的个人信息出境),且属于同主体同类数据高频出境的情形,此时应鼓励并协助企业尽量签署标准合同或进行个人信息保护认证,为后续数据出境提供基础。二是达到数据出境安全评估门槛(如重要数据出境、数量满足安全评估要求的个人信息出境),且属于同主体同类数据高频出境的情形,此时数据出境确需进行安全评估,但自贸区(港)可尝试申请国家授权建立“同主体同类数据高频出境白名单制度”,即数据第一次出境时仍须完整执行安全评估流程,同时对数据处理者、数据接收方、数据条目、数据出境频次和数据用途等进行备案,后续同主体同类数据再次出境时,可省去繁琐的评估流程。此外,务必
42、细化保障机制,采取“事前备案+事后监管”申报指南要求数据处理者申报数据出境安全评估时,应当提交如下材料:(1)申报主体的身份证明类材料,包括统一社会信用代码证件影印件、法定代表人身份证件影印件、经办人身份证件影印件、经办人授权委托书;(2)与评估内容相关的材料,包括数据出境安全评估申报书、与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件、数据出境风险自评估报告、其他相关证明材料。同时要求申报方式为送达书面申报材料并附带电子版。我国自贸区(港)数据跨境流动试点制度创新研究 96 国际商务研究 2023 年第 4 期相结合的监管机制以防范风险,自贸区(港)须定期或不定期对其进行
43、抽查监督,并开通投诉举报渠道,一经发现造假,取消其白名单资格并予以限制数据出境等处罚。除建立“同主体同类数据高频出境白名单”外,自贸区(港)还可探索签署数据出境国际协议,在特定情境下开辟数据出境绿色通道,寻找相较于安全评估、认证和标准合同更便捷的数据出境方式。就促进贸易角度而言,自贸区(港)可以结合特定的国家(地区)、特定的数据出境场景、特定的数据出境业务、特定的出境数据类别甚至特定的数据接收方,在保证数据安全的前提下,以工业互联网、社交媒体等优势领域数据出境为切入点,积极寻求与重要贸易伙伴开辟绿色通道,借鉴国际通用的数据出境国际协议范本,优先通过双边、区域协议建立数据跨境流动信任机制。五、结
44、语自 2020 年 8 月商务部提出在北京、上海、海南等条件较好的地区开展数据跨境传输安全管理试点以来,国内自贸区(港)积极探索数据跨境流动试点建设。通过梳理自贸区(港)数据跨境流动试点现状,本文发现,现阶段自贸区(港)数据跨境流动试点建设主要围绕模式创新和技术创新展开,制度创新相对较弱。事实上,制度创新恰恰是数据跨境流动试点建设的重点,理应受到更多关注。随着相关法律法规和规范指南的陆续出台,自贸区(港)数据跨境流动制度创新拥有了良好的先行条件。本文明确了自贸区(港)开展数据跨境流动试点制度创新的 3 项基本原则:兼顾“安全目标”的基础上更偏重“发展目标”,在明确审批权边界基础上更注重推进相关
45、监管制度体系的落地实施,在洞察国际动向基础上更注重总结提炼中式的数据流动治理方案。在此原则上,进一步挖掘出 5 个制度创新的核心抓手,包括协助数据出境安全评估机制平稳落地、先行探索个人信息保护认证机制、优化符合贸易情境的标准合同、推动数据出境评判标准透明化以及便捷处理同主体同类数据高频出境等,旨在帮助自贸区(港)率先建立成熟完备的数据跨境流动监管体系。参考文献:1 陈寰琦.签订“跨境数据自由流动”能否有效促进数字贸易基于 OECD 服务贸易数据的实证研究 J.国际经贸探索,2020,36(10).2 陈利强,刘羿瑶.海南自由贸易港数据跨境流动法律规制研究 J.海关与经贸研究,2021,42(3
46、).3 丁晓东.数据跨境流动的法理反思与制度重构兼评数据出境安全评估办法J.行政法学研究,2023,(1).4 广东外语外贸大学粤港澳大湾区研究院课题组.数据跨境有序流动何以赋能统一大市场建设基于粤港澳大湾区建设视角分析 J.国际经贸探索,2022,38(11).5 李佳倩等.DEPA 关键数字贸易规则对中国的挑战与应对基于 RCEP、CPTPP 的差异比较 J.国际贸易,2022,(12).6 李墨丝.欧美日跨境数据流动规则的博弈与合作 J.国际贸易,2021,(2).7 刘宏松,程海烨.跨境数据流动的全球治理进展、趋势与中国路径 J.国际展望,2020,12(6).8 刘金瑞.迈向数据跨境
47、流动的全球规制:基本关切与中国方案 J.行政法学研究,2022,(4).周念利 于美月 柳春苗 97 国际商务研究 2023 年第 4 期9 梅傲,李淮俊.论数据出境安全评估办法与 DEPA 中数据跨境流动规则的衔接 J.上海对外经贸大学学报,2023,30(2).10 孙祁,尤利娅哈里托诺娃.数据主权背景下俄罗斯数据跨境流动的立法特点及趋势 J.俄罗斯研究,2022,(2).11 陶斌智,蔡彦.中国对接 CPTPP 数据跨境流动规则的难点及对策 J.服务外包,2023,(3).12 谢卓君,杨署东.全球治理中的跨境数据流动规制与中国参与基于 WTO、CPTPP 和 RCEP 的比较分析 J.
48、国际观察,2021,(5).13 徐程锦.中国跨境数据流动规制体系的 CPTPP 合规性研究 J.国际经贸探索,2023,39(2).14 殷凤等.区域贸易协定中数据流动规则深化对服务出口国内增加值的影响 J.国际贸易问题,2023,(1).15 张明.面向 CPTPP 的数据跨境流动:规则比较与中国因应 J.情报杂志,2022,41(11).16 张倩雯,张文艺.欧美跨境数据流动合作的演进历程、分歧溯源与未来展望 J.情报杂志,2023,42(1).17 赵精武.论数据出境评估、合同与认证规则的体系化 J.行政法学研究,2023,(1).18 周念利,陈寰琦.基于美墨加协定分析数字贸易规则“
49、美式模板”的深化及扩展 J.国际贸易问题,2019,(9).19 周念利,李金东.俄罗斯出台的与贸易相关的数据流动限制性措施研究兼谈对中国的启示 J.国际商务研究,2020,41(3).20 周念利,姚亭亭.中国自由贸易试验区推进数据跨境流动的现状、难点及对策分析 J.国际商务研究,2021,42(3).21 Bailey,R.,Parsheera,S.Data Localization in India:Paradigms and ProcessesJ.CSI Transactions on ICT,2021,9(3).22 Jim nez-G mez,B.S.Cross-border Data Transfers between the EU and the US:A Transatlantic DisputeJ.SantaClara Journal of International Law,2021,19(1).23 Mitchell,A.D.,Mishra,N.Regulating Cross-border Data Flows in a Data-driven World:How WTO Law Can ContributeJ.Journal of International Economic Law,2019,22(3).Research on t
浙ICP备2021020529号-1 | 浙B2-20240490 
