琶洲数智论坛丨数据立法研讨二:跨境数据如何安全流动?数据治理如何规范?
21世纪经济报道 21财经APP
2021-09-13

21世纪经济报道 记者张雅婷、魏雯静 见习记者吴立洋 广州报道 

近年来,各发达省市将数据立法作为促进数字化发展中的重要抓手,为制度创新积累了经验,但在立法过程中仍尚存难点。

9月11日,由南方财经全媒体集团、广州琶洲人工智能与数字经济试验区管理委员会(简称“琶洲管委会”)共同指导,琶洲智库主办的琶洲数智论坛(第2期)召开,本次论坛主题为“地方数据立法发展前沿探讨”,聚焦数据立法的各项议题。

会上,多位参与过广州、深圳、北京、上海等地数据立法的专家学者发表了主题演讲。在圆桌对话环节,针对跨境数据流动与数据治理两大议题,中国政法大学教授、互联网金融法律研究院院长李爱君,中国社科院法学所副研究员、中国法学会网络与信息法学研究会副秘书长周辉,广东财经大学法学院教授、智慧法治研究中心主任孙占利进行了深入探讨。

议题一:近日,横琴、前海两大合作区纲领性方案相继落地,分别提到促进数据跨境安全有序流动、建设跨境贸易大数据平台、境内外口岸数据互联等,数据跨境已成为推动全球化的增长引擎。随着《数据安全法》与《个人信息保护法》等基本法的出台,在顶层设计上对数据跨境也有了规制。地方应如何基于自身特点,发挥数据立法的作用,促进数据跨境流动?

周辉:数据跨境是最能体现地区差异的议题之一,目前各地方也都在积极探索这个问题。《数据安全法》和《个人信息保护法》也都对数据跨境提出要求。

从地方数据立法的空间来看,我认为有以下几个角度需要注意:

一是对应《数据安全法》。《数据安全法》第二十七条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。这一条提及了“法规”,法规包括行政法规和地方性立法,因此当地方涉及到跨境数据的管理问题时,可以按照法规的要求从管理角度对关键内容进行创新。

二是从促进流动的角度。可以从《个人信息保护法》第三十八条入手,该法条规定了个人信息处理者因业务的需要确需向国外提供个人信息应该具备哪些条件。不过目前国家组织的安全评估、国家网信部门规定的专业机构,以及国家网信部门制定的标准合同,目前还没有出台相应规范。

因此,相应的数据管理机关可以对个人信息跨境流动进行积极的行政指导,采取没有强制约束性的措施,这并不违反上位法关于权限的规定。另一方面,如果能探索出比较成熟的规则、文件、标准合同,也有利于国家网信部门将实践吸收为国家规则,比获取国家的授权更具有可操作性。同时,可以提前孵化一批专业机构开展个人信息保护,按照《个人信息保护法》要求,专业机构的认证会成为个人信息处理者向境外提供信息的重要条件。

孙占利:“跨境数据流动”相对应的一个词是“数据的本地化”。立法促进跨境数据流动时,依然要强调立法特色。对广州而言,粤港澳大湾区、横琴试验片区等都是优势与特色,需要结合相关政策去思考和作为。通过数据立法,助力大湾区形成打破时空限制的,集网络化、数字化、智能化一体的智慧城市群。

数据在跨境流动的时候,要注意分级分类并关注用途。分类上,有商业数据的合作开发利用,文化数据的交流与合作等,涉及到民生领域比如疫情防控的相关数据,要加强透明共享。

跨境数据流动一定要注意“安全有序”。第一,安保措施要落实到人;第二,对重要数据,要有与之相适应的保护方案;第三,将来,主体一旦违反了有关规定,法律责任是什么,在相关立法中应明确。

议题二:数据采集、开放、交易过程中的数据泄露、数据滥用问题备受关注。对于数据的治理与安全,地方数据立法应如何规范?

周辉:地方立法要根据《数据安全法》,明确本地区重要数据的具体目录。

目前,在《个人信息保护法》中也存在不确定的法律概念,需要不断地探索、明确。比如单独同意该如何适用有待明确,如果企业对于敏感信息的每一类、每一项的内容都让用户确认,对用户体验度和产业发展会带来困扰。因此,可以对单独同意做出既符合法律规定的精神,又符合产业发展需求的制度探索,例如将属于个人敏感信息的单独同意归总一起,给用户提供单独同意的统一授权的可能。

《个人信息保护法》也明确了个人信息处理的必要性原则,网信办的相关文件,规定了常见类型移动互联网应用程序的必要个人信息的范围,企业不能以用户不同意此范围内信息的采集而拒绝提供服务。目前这个范围较有限,可以根据应用场景的丰富性,对未涵盖在内的情形做探索性的规定。

李爱君:数据治理的目标是数据资产化和增值、数据治理的组织架构是决策架构、管理架构和执行架构组成。

《数据安全法》和《个人信息保护法》内都提到了数据治理的内容,如《数据安全法》包含数据的分类分级安全管理。地方立法应在《数据安全法》基本原则基础之上建构数据治理的具体规范和可操作性的规范,以此来解决数据的安全和价值化的问题。此立法的思路应以“数据+行为”为核心,不能以一个要素数据或行为单个要素为核心。因为同一个数据不同的行为,权利与义务机制是不同的,同一个行为针对不同的数据,权利、义务、责任机制也是不同的,这也符合从技术层面以及现有的立法层面分类分级的规范。

目前,地方在进行数据治理的立法上有很大的空间。例如,企业自律、社会企业责任、诚实守信、安全标准、质量标准、行业规则等具体化的制定。

(作者:张雅婷,魏雯静,见习记者吴立洋 编辑:曹金良)