数据出境流动安全管理规范研究.docxVIP

? ? ? ? ? 数据出境流动安全管理规范研究 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 一 世界主要国家数据出境管理制度研究 （一）概述 随着大数据时代的来临，数据的内涵被不断挖掘，战略地位凸显，逐渐成为各国争夺的重要资源，各国纷纷加强数据治理领域的前瞻性战略布局，加强数据出境的相关制度安排。2016年1月，美国政府要求微软提供存储于爱尔兰都柏林服务器上的数据案件再次敲响数据安全警钟，这一事件深刻影响了各国对数据出境问题的态度，各国对包括数据出境在内的数据安全问题采取了更保守的态度，加强管制。 我国随着《网络安全法》的颁布实施，首次提出数据出境安全管理要求，国家有关部门在《网络安全法》的管理框架下，结合新时代国家信息化发展战略总体部署，积极制定配套管理办法《个人信息和重要数据出境安全评估办法》（以下简称《办法》）和国家标准《数据出境安全评估指南》（以下简称《指南》），积极探索具有中国特色的数据出境安全管理路径。 1.数据出境的含义 1980年，经济合作与发展组织（OECD）在《隐私及个人数据出境流动保护指南》中正式提出数据出境（Transborder Data Flow，TDF）的概念，并开创性地规定了一系列促进流动与保护信息安全的措施，第一次将数据出境流动管理概念引入数据安全管理范畴，开创了数据出境流动安全管理的先河。此后，欧盟、美国、澳大利亚、亚太经合组织等[1]国家和地区走在世界前列，在OECD提出的数据出境概念的基础上，结合本国管理需求，制定出台相关法律法规，保障数据安全有序出境流动。 最初，《指南》中数据出境是指数据跨越本国边境去往境外的活动，数据出境的内涵相对单一，跨越地理边境成为数据出境的核心内涵。然而随着经济全球化和技术的快速发展，互联网经济的高度普及，出现了越来越多的远程跨境服务，使得单一地理维度上的判定标准难以适应日渐丰富的数据出境形式。各国在立法管理中不断探索实践，对数据出境的核心内涵进行延伸解读，在地理纬度的基础上，增加主体维度的判定标准，将提供数据给本国境内的外国组织或个人的情形纳入数据出境的定义范围。 我国紧跟国际趋势，采用地理和主体双重维度作为判定标准，《网络安全法》规定，数据出境是指“关键基础设施运营者将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据，因业务需要，向境外提供的活动”。 2.数据出境带来的主要安全风险 一是数据出境对国家安全、经济发展和社会稳定造成威胁。随着大数据技术的发展，数据所承载的信息被不断挖掘，数据的战略地位不断提升，数据的安全与国家安全、经济发展和社会稳定密切相关。数据出境后，我国法律法规对出境数据难以形成有效管辖，降低了我国政府对数据的实际控制力，同时由于数据接收方所在国家政治法律环境、数据接收方管理制度和技术手段等因素的影响，数据发生泄露、损毁、篡改、非法获取等安全事件的可能性显著提升，增加数据安全威胁。 二是数据出境提升个人信息主体权益保障难度。世界各国个人信息保护立法程度不尽相同，个人信息主体所享有的权利和义务差异较大，个人信息出境后，个人信息主体权益将随着法律适用性的变更而改变，对个人信息主体权益保障造成不利影响。如欧盟将个人隐私权作为基本人权进行保障，个人信息保护法律法规和管理措施完备，欧盟公民的个人信息从欧盟出境转移至个人信息保护立法尚不完善的国家和地区时，由于欧盟法律无法覆盖数据接收方所在国家和地区，欧盟法律赋予其公民的个人信息主体权益将无法得到保障。 三是数据出境增加安全事件事后救济难度。数据出境导致的安全事件多数发生于境外数据接收方，其在境内不具备商业存在，国内现行法律法规难以对其形成有效监管，安全事件发生后的救济多数由数据发送方和数据接收方之间的合同进行约束。一方面，由于我国目前尚未规定标准合同条款，合同内容无统一标准，事后救济的实际效果难以保障。另一方面，由于跨国救济可能涉及国际司法协助，实际结果与两国关系、司法体系和政策导向等因素相关，难以把控，对安全事件的事后救济造成了阻碍。 （二）典型国家数据出境管理做法 在数据出境问题上，各国监管情况不一。欧盟、美国、新加坡、澳大利亚、亚太经合组织等国家和地区纷纷通过单独立法、制定规则或在个人信息保护法、进出口管理条例、重要行业立法中体现的方式，对数据出境予以管理，确保数据出境的安全。随着世界各国数据出境立法管理的日益深入，管理思路、出境判定及管理模式等重点问题逐渐成为各国的关注焦点。 1.数据出境立法管理思路 根据我国《网络安全法》第37条规定，我国将针对出境的“个人信息”和“重要数据”开展管理。在此基础上研究梳理美国、欧盟、日本、加拿大等世界各国和地区在出境数据管理方面的做法发现，各国在数据出境管理思路方面基本一致，形成个人信息、重要数据差异立法和区分管理的