2022全球及中国数据跨境流动规则和机制建设

白皮书2021年8月PAGE\*ROMANPAGE\*ROMANII目 录前言 1一、主要国家和的数据跨境流动和机制 2（一）盟：保护水条件进数据境流动 2（二）国：自由流原则制敏感据出口 8（三）本：推动与美的跨境流动 14二、国际组织的跨境流动规则和制 17（一）OECD：确数据跨流动护的基原则 17（二）APEC：主导跨隐私体系（CBPRs） 18（三）盟：发展示合同和数据境认证 20三、我国的数据流动规则和机制 21（一）重要数据：原则上境内存储，确有必要跨境提供需进行全评估 （二）个人信息：在数据主体同意的前提下，提供安全评估、证等三机制 （三）数据跨境调取：奉行对等原则，并需经有关主管部门批准25四、我国数据跨动规则和机制建临形势、主要挑对策建议 26（一）临形势 26各国快构符其利益规则度体系 26西方家积推建立全数据流动圈 28地缘治成数跨境流的重量因素 29（二）要挑战 30数字术普使网络数出境易察觉 30以窃我国感据为目的境击增多 31境内字企违规定向外提量数据 32（三）策建议 34建立全数跨流动规体系 34发展据跨流安全保能力 35试点索数跨流动管机制 36推广据跨流中国治方案 38PAGEPAGE10前言201620081库CSIS20214出，疫情大流行前的一项研究曾预测，跨境数据流动将在202033万亿美元2。随着各国对数据跨境流动意义和影响的认识日益深入，规则和机制构建带来了不小的挑战。我国是全球数据资源大国，数据产生量位居世界前列，据调查2019年我国共产生了3.9ZB9.3%，居世界第二3和个人隐私权益。在当前全球尚未建立统一规则的情况下，我国一方面要加快构建数据跨境流动规则体系，建立健全数动中国治理方案，与合作伙伴建立共同的规则和制度安排，实现规则的趋同和互操作，推动数据安全有序地跨境流动。一、主要国家和地区的数据跨境流动规则和机制（一）欧盟：同等保护水平条件下促进数据跨境流动基于充分性认定建立数据跨境传输白名单制度GDPR45条，欧盟委员会做出充分性认定时，（1（2（3加入有关个人数据保护的国际条约或欧盟委员会对获得认定的国家和地区至少每四年进行一次评估，以确保其满足同等保护水平要求。20214月，获得欧盟委员会充分性认定的国家12个，即安道尔、阿根廷、加拿大（商业组织、法罗群岛、格恩西岛以色列、马纳岛、日本、泽西岛、新西兰、瑞士和乌拉圭4。此外，欧盟委员会已完成了与英国、GDPR基本相同20212（草案6月正式作出针对3月欧盟委员会正式启动并通过了关于向韩国传输数据的充分性认定程序。在适当保障措施下提供多样化数据跨境传输方式述国家或地区传输。GDPR规定的适当保障措施主要包括：（BindingorporatesBBCR100BCR标准合同条款（Standardotalae，SCCSCCGDPRGDPR2001200420102020月EDPB20216前的三个标准合同文本SCC融合与统一。行为准则（osofcot，oC。CoC是PR新数据控制者或处理者可作出具有约束力和可强制执行的承诺，承诺遵守经批准的行为准则，则欧盟数据可向其传输。2019EDPB发布的指南，行为准则草案由代表数据控（EDPB审查同意CoC（ification认证是GR新引入的机制。欧盟鼓励建立数据保护认证机制、印章或标识，欧盟委员会制定数据保护认证机制的具体要求，并可通过实施性法令来确定认证机制、印章或标识。成员国监管机构认可的认证机构签发数据保护认证，数据控制者和处理者自愿申请认证，得到批准后，可使用印章或标识证明其数据活动符合欧盟规定，并进行数据跨境传输。此外，如果欧盟以外国家未达到欧盟数据保护水平，且未提供适当的保障措施时，GDPR法定请求权、公共注册登记机构数据传输等情形。通过限制数据本地化等促进非个人数据自由流动2018数据跨境流动的基本规则。限制成员国的数据本地化要求。一是除非基于公共安全24据本地化要求的详细信息，并保持更新。一是当成员国主为可实施有效、适当的处罚。针对欧盟则的发展情况和实施效果。以大规模监控侵害个人权利为由废除美欧“隐私盾”《199520132020年废除了上述协议。“安全港”协议（EUafeHarborFramework。2000月美欧“安全港协议”正式生效。在该协议框架下201310月，欧盟法院作出判决，认定“安全154500（ES.PrivacydFrameork。20167协议强化了美国企业的数据保护义务和欧洲公民的权利救2020年7盟执能满足欧盟法的要求为“隐私盾协议”无法为欧盟转移到美国的个人数据提供充分保护。（二）美国：数据自由流动原则下限制敏感数据出口但同时，基于遏制战略竞争对手、维护其技术霸权目的，美国以国家安全为由严格限制敏感数据出口。对涉敏感个人数据交易进行外国投资安全审查2020年2月，美国《外国投资风险审查现代化法》（FIRRMA）敏感个人数据交易纳入外国投资安全审查范围。根据FIRRMA据的美国企业的外国投资，如果该美国企业满足相应条件，企业为美国政府或军事12个月内维护或收集100企业有明确业务目标去维护或收100术的使用、开发、获取或披露等。FIRRMA还规定了“白名单”做法，设置了“例外国”3Grindr的股权；20194月，CFIUS要求我国碳云智能PatientsLikeMe的股权；20203StayNTouch对敏感数据大规模跨境提供进行严格管控202169‘不应有或不可接受’此外美国国会还提出了相关立法提案《国家安全与个人数据保护法案》（NationalSecurityandPersonalDataProtectionActof 2019）和《保护美国人的数据免受外国监视法案（ProtectingAmericansDatafromForeignSurveillanceAct）为代表。前者由参议员JoshHawley于2019年提出，法案的管制对象是依“特别关注国家主要是中国和俄罗斯）法律成立的、提供基于数据的在线服务的科技企业法案禁止科技企业向特别关注国家传输用户数据以及破译相关用户数据所需的密钥数（包括间接通过第三方非特别关注国家传输，禁止特别关注企业将其从美国收集的数据存储在美国以外或和美国签订协议共享数据的国家以外720214月提出，法案要求商务部确定可8。通过“长臂管辖”扩大美国境外数据调取权力20183（ClarifyingOverseasUseofData法案二是法案舍弃了传统的双边或多边司法协助条约，允许“符合资格的外国政府”通过与美国签订双边协定形式，申互联网开放等要求。主导多双边协定限制各国设置数据跨境流动壁垒设置的本地化存储等市场壁垒，促进数据自由流动。美韩自由贸易协定。2012年美国与韩国签署《美韩自由确，考虑到贸易中数据自由流动和个人信息保护极其重要，双方应当努力避免给电子数据的跨境流动强加不必要的障构以电子或其他形式跨境传输数据，用于处理日常的业务。（TPP2016年2跨太平洋伙伴关系协定谈判过程中首次增加了有关跨境数据流动的约束性条款，以减少双方跨境数字贸易的壁垒。2017TPP成为不少国际协定电子商务章节的范本。TPP（1TPP（2不允许缔约方以歧视性措施或直接阻止的方式支持本国类（3各缔约方同意实施并保持针（4各缔约方有义务采取措施阻止推销性质的商业电子信息。（MA2018年1月30西哥、加拿大三国签署《美墨加三国协定》（SAUSMCA202071日正式生效。在数据跨境流动方TPP关机构是在其业务许可范围内开展相关数据跨境传输活动TPP基础上新增了数据（1限制第三方在互联网平台上发布（知识产权除外（2通过建立一个最小化促进政府开放数据获取。（三）日本：积极推动与欧美的数据跨境流动借鉴欧盟做法，日本加快制定本国数据跨境流动规则，理念，探索构建与欧美乃至更广范围的数据跨境流动圈。提供灵活多样的数据跨境流动方式2003年发布，201592017年正式生效。（1设立个人信息保护委员会”（PIPC）（2）（3）（（b）国（白名单国家。按照日本个人信息当根据个案来进行评估判断。例如，通过签订合同、认证、签署谅解备忘录等方式，日本境内的经营者将个人数据的处理委托给外国的经营者；又如，个人数据是在同一个集团的内部公司间根据内部规则、隐私政策等规定进行传输，这些规则和政策同时约束数据发送方和接收方。获得国际隐私保护框架认证的服务商。日本加入了APECCBPRs，因此获得该体系认证的服务商，不需要取得制度以“OECDISMS国际标准认证体系，JISQ27001标准，并据此开展认证。白名单国家。根据日本公布的具有与日本同等保护水平（1有同等（2（3基于对个人信息利用和个人权益保护的共同理念而与日本达成合作对个人数据的国际传输施加的限制不得超越保护个人信息的（5展以及实现国民的富裕生活做出贡献。建立与欧美的数据跨境流动机制日本积极跟进美国数据跨境自由流动的主张，加入了美APECCBPRTPP后主导了（CPTP1境数据流动与各自境内数据流动并无二致。倡导全球可信数据自由流动201920196G20主席国之24个国家和地区签署，就全球跨境数据流动形成共动。目前，G20关于跨境数据流动的共识还处在理念层面，尚未形成框架性协议。二、国际组织的数据跨境流动规则和机制（一）OECD：确立数据跨境流动和保护的基本原则1980年，OECD颁布《隐私保护和个人数据跨境路东指南》，概括性地抽象出个人数据（隐私）保护的八项基本原则，主要是收集限制、数据质量、目的特定、使用限制、安全保护、公开、个人参与、责任等原则，数据控制者对是否有效实施上述原则承担责任。2013年7月，OECD通过了《理事会关于隐私保护和个人数据跨境流动的指南建议2013》，针对部分原则增加了具体实施要求，主要修改包括：（1）强调完善国际和国内隐私保护法律环境，要求成员国建立隐私执法机构；通知两项义务；（3）制，最大限度地促进数据的自由流动；（4）现隐私保护目标的具体手段与措施；（5）球一体化的必要性和重要性，倡导在国际层面建立起一个强大的全球性隐私执法机构合作网络。（二）APEC：美国主导跨境隐私规则体系（CBPRs）2007年，为落实《APECAPEC19APECC跨境隐私保护规则体系（CBs。201年1CBs在APEC第19次领导人非正式会议上得到认可。CBPRs系对成员经济体参与CBPRs提出明确要求，并建立了隐私执CBPRsAPECAPEC各经济体之间无障碍的跨境信息流动。CBPRsCBPRs，应当满足以下条件9（1该国至少有一个隐私执法机构加入EC跨境隐私执法安排（CEA（2该国必须向PEC电子商务指导小组主席、数据隐私小组主席和CBPRsCPEACBPRs认可的问责代理机构；三是该国求的隐私保护法律法规，及如何执行这些法律法规。问责代理机构认可机制。CBPRs使用经APEC认可的问APEC隐CBPRsCBPRs行审核，并按年度核实其是否符合认可标准的要求。商业机构隐私保护认证机制。CBPRs的商业机构向问责代理机构申请隐私保护认证，问责代理机构按照CBPRsCBPRs仅2月APEC批准了处理者隐私识别（PCBPRs实施的最新进展。APEC有九个成员经济CBPRs1115家，有40家商业机构获得了认证，绝大多数是美国的商业机构10。（三）东盟：重点发展示范合同条款和数据跨境认证2018“数据跨境流动”作为数字数据治理的四大战略重点之一，明确提出要建立东盟数据跨境流动机制，对数据流动不作不必要的限制，以增强跨境数据流动的确定性。2019月，东盟通过了《东盟跨境数据流动机制的关键方法》，建议东盟重点发展两个机制，即：东盟示范合同条款（MCCs）和东盟跨境数据流动认证。2021122的回应和落实，东盟批准发布《东盟跨境数据流动示范合同条款》，作为实施东盟跨境数据流动机制的第一步。该合同条款区分数据控制者到数据处理者、数据控制者到数据控制者两种情形，明确了数据输出方和接收方各自的责任、所需的数据保护措施和相关义务。MCCs是一项自愿性的标准，是数据跨境流动中应当遵守的最低标准，无论成员国是否有数据保护法律，均可实现数据跨境传输。政策和做法的成员国及企业、组织或机构以印章或标志。目前东盟尚未出台认证相关的标准、要求和程序，后续东盟发展数据工作组将开展制定工作。此外，东盟允许数据传输双方自由使用东盟认可的任何其他有效数据传输机APECCBPRs具有约束力的公司规则、行为准则等。三、我国的数据跨境流动规则和机制（一）重要数据：原则上境内存储，确有必要跨境提供需进行安全评估我国《网络安全法》和《数据安全法》确立了重要数据出境的基本框架，即重要数据原则上应当在境内存储，确需向境外提供时应当进行安全评估。可见，目前我国重要数据跨境流动制度的核心是数据出境安全评估。数据出境安全评估旨在把控数据出境的安全风险2017年国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》，2019年又发布了《个人信息出境安全评估办法（征求意见稿）》，着力构建可操作性的数据出境安全评估制度。根据上述办法，我国数据出境安全评估重点评估以下内容：（1）出境的必要性；（2）数量、范围、类型及其敏感程度等；（3）全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；（4）数据出境及再转移后被泄露、毁损、篡改、滥用等风险；（5）家安全、社会公共利益、个人合法利益带来的风险等。金融等行业完善数据跨境流动规则和制度我国金融、卫生健康、交通运输等部门很早就结合行业需求对特定数据出境提出了要求，建立健全数据跨境流动规则和机制。相关要求主要集中在两个方面：明确要求数据本地化存储。例如，2006年银监会发布的《电子银行业务管理办法》第十条规定，中资银行业金瓯让机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内；2016年由交通运输部、工信部等7部委发布的《网络预约出租汽车经营服务管理暂行办法》第二十七条规定，网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流；2016年国家新闻出版广电总局、工业和信息化部发布的《网络出版服务管理规定》第十二条要求，申请从事网络出版服务应当提交网站域名注册证明、相关服务器存放在中华人民共和国境内的承诺。明确数据出境相关要求。这方面多数是笼统性的规定，缺乏操作性。例如，2013年发布的《征信业管理条例》第二十四条规定，征信机构向境外组织或者个人提供信息，应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定；2019年中国人民银行等四部委发布的构向境外组织或者个人提供信息，应当遵守法律法规以及5月国家互联网信息办公室发布的《汽车数据安全管理若干规定》第十二条规定，个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。地方加快探索数据跨境安全监管模式20208月，商务部发布《关于印发全面深化服务贸等条件相对较好的试点地区开展数据跨境传输安全管理试点，明确要求支持试点开展数据跨境流动安全评估，建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。根据北京、上海、浙江、海南等地的自贸试验区方案，各地都在加快数据跨境流动机制探索，并采取了一些创新性的举措。例如，北京明确要加强跨境数据保护规制合作，促进数字证书和电子签名的国际互认，探索制定跨境数据流动等重点领域规则，提出数据产品跨境交易模式，并设立了北京国际大数据交易所；上海明确要建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制，并提出依托国际光缆登录口构建跨境数据中心、新型互联网交换中心，建设新型数据监管关口，设立新片区跨境数据公司。（二）个人信息：在数据主体同意的前提下，提供安全评估、认证等三种机制GDPR（1）安全评估，由国家（2）个人信息保护认证，国家网信部（3）标准合同文本，由国家网信部门制定标准合同文本，数据输出方和接收方订立合同，明确双方的权利和义务，并监督接收方的个人信息活动达到法律规定的个人信息保护标准。目前上述三种机制都还在制度设计阶段。2019年国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿（1）2）3）（4）（5）（6）其他应当评估的内容。（三）数据跨境调取：奉行对等原则，并需经有关主管部门批准在一国涉外司法或执法过程中，可能会需要调取他国境内数据或公民个人信息，这种数据跨境调取通常通过国2018年美国CLOUD法案规定，美国政府有权力调取存储于他国境内数据，而其他国家若要调取存储在美国的数据，则必须通过美国的“符合资格的外国政府”审查。这实质上采取了双重标准，并打破了国际司法或执法协助制度。与美国不同，在数据跨境对等原则，明确我国根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国司法或者执法机构关于提供数据的请求；非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。同时，对于从事损害我国公民个人信息权益等活动的境外组织、个人，以及在个人信息保护方面对我国采取不合理措施的国家和地区，法律还规定我国可以采取相应的对等措施。四、我国面临形势、主要挑战及对策建议（一）面临形势目前全球尚未形成一致的数据跨境流动规则，在数据本地化等诸多方面存在分歧，全球数据治理还呈现碎片化的状态11。欧美目前已形成较为明晰的数据跨境流动策略，基于该策略完善境内数据跨境流动规则和机制的同时，积极联合“志同道合”国家构建全球数据跨境流动圈，力图抢占数据跨境流动规则制定话语权、构建数字竞争优势。各国加快构建符合其利益的规则和制度体系于国家安全、经济发展、产业能力等多方面的考量，欧并基于此加快构建数据跨境流动规则和制度体系。欧盟强调数据主权，提出强壮的技术和产业、强大的规则和制度构建能力对于数字时代的欧盟自治至关重要。基于数据主权战略，欧盟加快个人信息保护、数字平台竞争等方面的规则和制度建设，期望能通过统一境内规则和有效境外输出，确保欧盟对境内数据资源的掌控能力，以维护其数字主权。具体到数据跨境流动方面，欧盟强调以个人隐私保护为先，明确只有在境外达到与欧盟同等水平的保护时，才可向境外传输数据。领先地位：一是通过“长臂管辖”扩张跨境数据获取能制美国敏感数据向战略竞争对手流动。此外，俄罗斯、印度等国家从发展本国技术和产业、维护国家安全的考量出发，实行了相对保守的数据跨境流动政策，加快推进数据本地化。例如，俄罗斯通过修订储的基本规则，要求公民个人信息及相关信息和数据库需要在俄罗斯境内存储，对俄罗斯公民的个人数据的处理活2019强制仅在印度境内存储和处理这些数据。西方国家积极推动建立全球数据跨境流动圈近几年，美国、欧盟、日本等在加快构建境内数据跨境流动规则体系的同时，积极与合作伙伴联合，推动建立基于共同理念的全球数据跨境流动同盟，并以规则和制度竞争为手段，打压和遏制中国等战略竞争对手，抢占数据跨境流动国际规则制定话语权。美国早在几年前就主导建立了APECAPECAPECCBPRs，避免中国获取左右国家竞争力的数据。同时，美国20216月美欧成立贸易和技欧盟GDPR欧洲委员会也积极在“108号公约”等基础上，探讨建立多边数据流动圈的可能性。APEC2019年日本与美国、欧盟共同商议数字治理相关境流动规则框架等。日本还倡导提出“可信数据自由流动”理念，并与美等西方国家探索建立多边数据跨境流动圈。地缘政治成为数据跨境流动的重要考量因素考量因素。美国对中国等战略竞争对手的数据封锁体现在出口管的数据安全风险，通过出台行政命令等方式，对我国信息技术产品和服务使用增加限制。20195G网络安全建议5G网络安全风险评估报告5G网络安全风险消减措施工5G供应商风险情况，对所谓“高风险”供应商设限；202010月生效的《欧盟外商直接投5月欧盟通过“威权体制”出口网络监控技术。（二）主要挑战带来威胁和挑战。数字技术普及使得网络数据出境更不易察觉5G快速发展和普及应用，使得大量有价值的数据被收集使用，数字技术在应用过程中，通过各类传感器或采集终端，10TB12以窃取我国敏感数据为目的的境外攻击增多个人敏感信息和重要数据等高价值数据一直是网络攻击的重要目标。近年来，境外有政治背景的黑客持续加大对我国的网络攻击力度，攻击手段更为隐蔽、持续时间更长、渠道更加多样化，试图窃取我国的个人敏感信息和重要数据。通过对这些数据的挖掘分析，可预测我国相关战略动作，使我国陷入政策被动并威胁我国国家安全。当前，境外机构针对我国敏感数据的黑客攻击高发。据2020PT2020年120起定向攻击；251亚型高致病性禽流感疫情箱的账户权限。企业违规向境外提供数据带来国家安全隐患安全带来冲击和威胁。一是外资企业将我国数据传输至境外总部。例如，特斯拉（中国）通过汽车摄像头、激光雷达等传感器采集车内外环境，获得了人脸图像、个人语音、地理位置等敏感信息，并将上述信息传输至境外总部。二是国内企业在海外上市、海外并购等过程中可能向境3——会计师从企业原始交易数据到形成审计结论的过程中201357日与美国公众公司会计监督委员会PCAOB因案件调下，获相应的底稿。三是境内机构通过合作等方式，将敏感数据传输至境外。（国199836号院未经许可与英国牛津大学开展中国人类遗传资源国际合传递出境。另据《20202020年我国共发现国内基因数据通过网络出境717万余次，流向170273总次数的38.1%。（三）对策建议建立健全数据跨境流动规则体系完备的本国数据跨境流动规则体系是参与国际治理的