财经法学

[1]为行文简洁,下文将这三种事前监管机制分别简称为“申报安全评估”“订立标准合同”“通过保护认证”。

(1)长期以来,域外关注的数据跨境流动主要是指个人信息跨境流动。See Christopher Kuner,Transborder Data Flows and Data Privacy Law,Oxford University Press,2013.而我国还针对高风险的重要数据出境建立了专门的管控制度。

(2)See Executive Order 14117:Preventing Access to Americans' Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,Federal Register,Vol.89,No.42,March 1,2024,pp.15421-15430.

(3)2022年12月印发的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求“构建数据安全合规有序跨境流通机制”;2023年8月发布的《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》要求“探索便利化的数据跨境流动安全管理机制”;2024年3月,国务院办公厅发布《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》,要求“支持外商投资企业与总部数据流动”“健全数据跨境流动规则”。

(4)该情形列举了个人主动发起的场景,包括跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等。

(5)参见《〈促进和规范数据跨境流动规定〉答记者问》,载https://www.cac.gov.cn/2024-03/22/c_1712776611649184.htm,最后访问时间:2024年7月25日。

(6)参见周汉华主编:《〈个人信息保护法〉条文精解与适用指引》,法律出版社2022年版,第104-107页。

(7)杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第46页。

(8)根据《规定》第7条,关键信息基础设施运营者以外的数据处理者申报安全评估的条件为:向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。

(9)参见杨合庆主编:《中华人民共和国个人信息保护法释义》,法律出版社2022年版,第105-106页。

(10)该办法第4条规定,适用订立标准合同需要满足的情形之一就是自上年1月1日起累计向境外提供个人信息不满10万人。

(11)参见刘金瑞:《迈向数据跨境流动的全球规制:基本关切与中国方案》,载《行政法学研究》2022年第4期。

(12)参见胡啸:《中国数据跨境流动安全管理制度设计》,载《中国网信》2024年第5期。

(13)参见吴玄:《数据主权视野下个人信息跨境规则的建构》,载《清华法学》2021年第3期。

(14)包括《个人信息出境标准合同办法》《个人信息出境标准合同备案指南》《关于实施个人信息保护认证的公告》等。

(15)参见金晶:《作为个人信息跨境传输监管工具的标准合同条款》,载《法学研究》2022年第5期;邢会强、李泽荟:《我国个人数据跨境流动认证制度及其完善》,载《郑州大学学报(哲学社会科学版)》2023年第6期。

(16)包括《数据出境安全评估办法》《数据出境安全评估申报指南》等。

(17)参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第319页;丁晓东:《数据跨境流动的法理反思与制度重构——兼评〈数据出境安全评估办法〉》,载《行政法学研究》2023年第1期。

(18)参见郭德香:《我国数据出境安全治理的多重困境与路径革新》,载《法学评论》2024年第3期。

(19)参见《跑步APP泄露美军事基地位置?五角大楼着手调查》,载http://www.xinhuanet.com/world/2018-01/31/c_129802139.htm,最后访问时间:2024年6月10日。

(20)参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期。

(21)See Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with regard to the Processing of Personal Data and on the Free Movement of Such Data,and Repealing Directive 95/46/EC(General Data Protection Regulation),Official Journal of the European Union,L 119,4.5.2016,pp.1-88.

(22)See Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data,Official Journal of the European Communities,L 281,23.11.95,Art.25,pp.31-50.

(23)See General Data Protection Regulation,Art.46,Art.47,Art.49,Recital 111.

(24)参见[波兰]马里厄斯·克里奇斯托弗克:《欧盟个人数据保护制度:〈一般数据保护条例〉》,张韬略译,商务印书馆2023年版,第349页。

(25)See Personal Data Protection Act 2012,Art.26;Personal Data Protection Regulations 2021,Art.9,Art.10.

(26)“数字保税”(来数加工)是指在特定区域内,为产生于境外的数据要素提供收集、存储、加工、治理、交易等增值服务,服务产品用于境外市场或经审批后用于境内市场的商业模式。参见《海南儋州洋浦建成中国首个“数字保税”区》,载https://www.chinanews.com.cn/cj/2024/02-27/10170910.shtml,最后访问时间:2024年6月10日。

(27)参见洪延青:《中国数据出境安全管理制度的“再平衡”——基于国家间数据竞争战略的视角》,载《中国法律评论》2024年第3期。

(28)参见骆倩雯:《助力数字经济高质量发展北京率先实现数据跨境安全便捷流动》,载《北京日报》2024年1月9日,第2版。

(29)参见《对境内外媒体开放!上海团代表今天回答了这些热点问题》,载https://mp.weixin.qq.com/s/E8aIKLrOh9q69tCdpQ5rDQ,最后访问时间:2024年6月10日。

(30)当然欧盟的规定和实践,并不支持以克减规则下的“同意”作为个人信息大规模跨境传输的合法基础,而且GPPR的克减规则必须在穷尽所有可能确保同等保护水平的保障措施如标准合同、认证之后才能援引。

(31)See European Data Protection Board,Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679,p.4,available at https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf,last visited on Jun.10,2024.

(32)参见许可:《自由与安全:数据跨境流动的中国方案》,载《环球法律评论》2021年第1期;赵海乐:《数据主权视角下的个人信息保护国际法治冲突与对策》,载《当代法学》2022年第4期。

(33)对于小型个人信息处理者目前尚未有明确界定,主要是指处理个人信息数量较少且自身规模也很小的个人信息处理者。参见程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第470页。

(34)对于这些可能纳入重要数据范围的数据,数据处理者负有主动申报义务。从重要数据识别认定程序来看,先由数据处理者按照有关标准梳理识别自身可能的重要数据,向相关主管部门申报,然后由主管部门予以审核认定。

(35)国家标准《数据安全技术数据分类分级规则》(GB/T 43697—2024)将其界定为“特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。

(36)国家标准《数据安全技术数据分类分级规则》(GB/T 43697—2024)指出仅影响公民个体的数据一般不作为重要数据。

(37)See Foreign Investment Risk Review Modernization Act of 2018(FIRRMA),Pub.L.No.115-232,132 Stat.2173;Provisions Pertaining to Certain Investments in the United States By Foreign Persons,31 C.F.R.Part 800.

(38)See Department of Justice:National Security Division;Provisions Regarding Access to Americans’ Bulk Sensitive Personal Data and Government-Related Data by Countries of Concern,Federal Register,Vol.89,No.44,March 5,2024,pp.15780-15802.

(39)参见张继红、蔡雨倩:《敏感个人信息跨境流动的国际规制》,载《广西社会科学》2023年第7期。

(40)参见国家标准《数据安全技术数据分类分级规则》(GB/T 43697—2024)附录G“重要数据识别指南”;周亚超、左晓栋:《我国重要数据识别方法研究》,载《网络信息法学研究》2020年第2期。

(41)参见刘金瑞:《我国重要数据认定制度的探索与完善》,载《中国应用法学》2024年第1期。

(42)参见胡啸:《中国数据跨境流动安全管理制度设计》,载《中国网信》2024年第5期。

(43)经国家数据安全工作协调机制批准发布的《天津规范》就明确指出,天津自贸试验区企业重要数据目录,应当按程序报送国家数据安全工作协调机制办公室。

(44)有学者指出从国际经贸协定看《规定》存在“缺失”,一些正常经贸活动所涉业务模式未被豁免。参见洪延青:《中国数据出境安全管理制度的“再平衡”——基于国家间数据竞争战略的视角》,载《中国法律评论》2024年第3期。

(45)See World Economic Forum,Data Free Flow with Trust(DFFT):Paths towards Free and Trusted Data Flows,p.16,available at http://www3.weforum.org/docs/WEF_Paths_Towards_Free_and_Trusted_Data%20_Flows_2020.pdf,last visited on Jun.10,2024.

(46)See European Data Protection Board,Recommendations 1/2022 on the Application for Approval and on the Elements and Principles to be Found in Controller Binding Corporate Rules(Art.47 GDPR),available at https://www.edpb.europa.eu/system/files/2023-06/edpb_recommendations_20221_bcr-c_v2_en.pdf,last visited on Jun.10,2024.

(47)参见何波:《中国参与数据跨境流动国际规则的挑战与因应》,载《行政法学研究》2022年第4期。

(48)事后问责制度的典型代表是亚太经济合作组织的跨境隐私规则体系(CBPR System)。See APEC,APEC Cross-Border Privacy Rules System:Policies,Rules and Guidelines,available at http://cbprs.org/wp-content/uploads/2019/11/4.-CBPR-Policies-Rules-and-Guidelines-Revised-For-Posting-3-16-updated-1709-2019.pdf,last visited on Jun.10,2024.