临港新片区在跨境数据流动和保护上的这两个“试点”,具有怎样的意义?
上观新闻
2019-08-23 06:31:12

日前,中国(上海)自由贸易试验区临港新片区正式挂牌,而《中国(上海)自由贸易试验区临港新片区管理办法》也于8月20日起正式施行。其中第八章规定“信息快捷联通”,在新片区特别强调了两个“试点”:一是“试点”开展数据跨境流动的安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流通和交易风险评估等数据安全管理机制;二是开展国际合作规则“试点”,加大对专利、版权、商业秘密等权利和数据的保护力度,主动参与引领全球数字经济交流合作。

“试点”开展数据跨境流动安全评估

2019年6月,国家网信办公布的《个人信息出境安全管理办法(征求意见稿)》第3条规定,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。临港新片区试点开展数据跨境流动安全评估,建立数据安全管理体制,可由上海市网信办牵头具体规则的细化方案。其中,需要在以下两方面重点建设:

第一,数据保护能力认证建设。

数据保护能力,主要是针对企业等数据控制者及处理者而言,即:做好企业信息合规和内控工作,建立适当的数据保护能力,落实必要的管理及技术措施,防止存储于企业的个人信息遭遇泄露、毁损和灭失等情形。临港新片区首次引入“认证”机制,借鉴了国际数据保护的先进经验,也正是临港新片区发挥先行先试作用的关键。

2018年生效的欧盟《通用数据保护条例》(GDPR)的一个突出特点,就是正式引入数据第三方认证制度。其中第42条规定,考虑到微型、小型及中型企业的特殊需要,应鼓励建立数据保护认证机制与数据印章、标识制度,以证明数据控制者和处理者的数据处理活动遵守本条例的规定。这种认证是自愿的,程序公开、透明。颁发给数据控制者或处理者的认证时效,最长不超过3年,可以申请续展。第43条规定了认证机构的具体要求,即:认证机构应当具有在数据保护方面的专业知识和经验。认证机构应由监管机构或符合欧盟第765/2008号规定的国内授权主体委托授权,从事颁发认证标志以及认证续展的相关活动。也就是说,认证机构需要符合一定条件(诸如证明其在认证方面具有独立性和专业性,认证标准得到监管机构或理事会的批准,建立了颁发认证标识、定期审核和撤销认证标识等的程序,建立了数据控制者或处理者因违反认证的投诉程序以及证明其履行认证职责不会导致利益冲突等),才能获得认证授权。这种认证授权的最长期限是5年,届满并符合条件可以申请续展。欧盟委员会可以制定有关认证或数据保护标识之技术标准。在认证程序上,欧盟采用的是国际标准ISO/IEC 17065。

认证制度在一定程度上存在着运营成本,需要建立独立的、不产生利益冲突的认证机构,监管机构还要对其进行委托授权。为了取得认证标识,企业要向其缴纳一定的认证费用,认证机构也需要深入企业内部进行数据保护方面的评估,以评判其是否符合颁发认证标识的条件等,均有相应的人力、物力以及技术投入。尽管如此,这种认证制度却充分调动了市场监督力量,大大节约了监管机构的外部监督成本,对于消费者而言,更容易辨识提供相同或近似产品或服务的企业在数据保护标准和质量方面存在的差异。取得数据保护认证的企业,意味着其在数据保护领域符合现行法律规定,其合规性和安全性程度更高。特别是对于那些小微企业而言,取得认证则更容易获取用户的信任和支持,能够大大增加客户的认同度。相反,那些没有取得认证或者认证失效或被撤销的企业,消费者可以选择用脚投票,由此形成源自市场的有效监督,督促作为数据控制者或处理者的企业切实采取措施提升自身的数据保护水平。而且,对于监管机构而言,在决定是否采取惩罚性措施及确定处罚数额时,该企业是否取得认证是行政裁量的重要依据。

需要指出的是,临港新片区在引入数据保护能力认证体系建设时,需要与行业协会、企业及消费者代表作密切沟通。认证制度毕竟是基于数字市场而衍生出的一种评价体系,其中认证机构、认证标准以及认证费用等问题都需要进行事前的充分论证和规则设计。引入一个新制度的目的,不在于增加负累与成本,而更应注重制度落地的实际效果。

第二,跨境数据流通和交易风险评估机制建设。

2018年国家标准《信息安全技术 个人信息安全规范》明确规定了个人信息安全影响评估制度,要求个人信息控制者定期(每年至少一次)开展个人信息安全影响评估。其中评估的内容中,涵盖了个人信息的收集、处理、共享、转让、公开等环节对个人信息主体合法权益可能产生的不利影响,在此基础上形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降至可接受的水平。跨境数据流通和交易风险评估,理应成为个人信息控制者安全影响评估的重要内容,特别是涉及数据出境的信息控制者,应设立专项评估审查事项。

开展国际合作规则“试点”,在数据保护领域发出中国声音

从世界范围内看,数据保护规则存在两大模式,即欧盟模式和美国模式。欧盟为代表的对个人信息保护综合性立法的国家,十分注重国家、政府、监管机构在个人信息保护中的作用。不仅制定了适用于所有领域的统一的、严格的、高标准的个人信息保护规则,还设立了专门的信息保护监管机构,在欧盟层面还设有专门的数据保护执法机构,在企业内部设立个人信息保护专员,构建了一套从内到外的个人信息监督管理体制。不仅如此,欧盟还积极拓展GDPR的域外效力,将该数据保护模式进一步推广到其他国家和地区。

相比之下,美国更注重信息的流动价值,针对公共部门的个人信息收集、处理和使用的管控较为严格,但就非公共部门而言更强调自律。相对于非公共部门,民众更担心来自政府、公共机构对其个人隐私信息的侵犯。而且,美国大众普遍认为,私人行业牵涉过多的问题与相互冲突的利益,不宜通过集中化的管控模式解决相关问题。作为信息产业大国,美国推崇信息的流动与利用才是推动产业发展的动力源泉之价值理念,而制定综合性且严苛的信息法律,可能会对某些行业的发展造成窒息性影响,不利于信息经济的健康发展。

应该说,上述两种立法模式各有其优劣。不分公、私领域的综合性信息保护立法,有利于个人信息得到全面、一体的保护;而行业自律模式则更强调信息自由流动,能够大大提高信息使用的经济价值。然而,一个事物均具有两面性。美国放任行业自律模式,被普遍诟病为个人信息保护程度低,忽视了个人信息的社会价值;在执行体制上,以自律和自力救济为核心,缺乏必要的外部监督机制。而欧盟这种严格的统一立法模式,设立专门的信息保护机构,监管制度中的繁复程序,如要求信息控制者及处理者的通知制度与许可制度等,无疑增加了企业的负担,在某种程度上压抑了企业的创新和发展。加之,这种自上而下的监管体制,面对多边的信息科技和日益复杂的信息处理,逐渐凸显其机械性和滞后性。

正因为欧盟相较美国数据规范更加明确具体且保护力度更高,对个人信息的流动进行了严格限制,也迫使美国将欧盟如此高水平的信息保护视为非关税壁垒。20世纪70年代以来,美国与欧盟在数据保护规则和价值取向上的巨大差异成为贸易争端的焦点。为了缩小两种不同数据保护模式的差异性,并提供美国企业可以符合欧盟数据保护指令简单又高效的方法,美国商务部与欧盟委员会共同提出所谓的“安全港隐私原则”(Safe Harbor Privacy Principles),于2000年达成了《安全港协定》。但出于对美国情报机构入侵的担忧,欧洲法院于2015年10月6日最终裁定第2000/520号决定无效,导致《安全港协定》失效。此后,美国和欧盟围绕新的替代性协定展开积极对话和磋商,并于2016年2月就跨太平洋数据流动达成新的框架协议,即《隐私盾协议》。

应该说,跨境数据传输问题通过双边性协议方式来解决,其本身受到协议参与国自身经济、政治力量的制约。如果两个国家实力相当,则双边性协议的内容对于参与国而言应是相互妥协让步的结果。反之,如果实力悬殊过大,这种双边性谈判必然成为利益失衡状态下对弱国主权的一种侵蚀和伤害。应该说,从长远看,个人信息的跨境传输本质上具有全球化性质,需要多个国家及地区的共同参与并达成多边性协议或机制才能使问题得以根本性解决。

通过临港新片区开展数据保护领域的国际合作规则试点,与“一带一路”建设相契合,可以更好发挥桥头堡作用。现阶段比较切实可行的是先构建“一带一路”沿线国家及地区数据保护的区域性多边协议,充分发挥区域地缘化优势,将上述地区诸多国家联合起来形成合力,更有利于在跨境数据传输方面达成一致意见。在此基础上,我国应积极参与全球跨境数据传输规则及数据保护标准的制定,应强化国际组织如经合组织、亚太经合组织、联合国等提出的关于个人数据保护的基本原则,使其获得世界性的普遍认可,积极参与数据保护领域的多边公约,发出中国声音。

作者单位:上海对外经贸大学


转载请注明来源“上观新闻”,违者将依法追究责任。

(本文仅代表作者个人观点。栏目邮箱:shhgcsxh@163.com

栏目主编:王珍 本文作者:张继红 文字编辑:王珍 题图来源:视觉中国 图片编辑:朱瓅