我的数据可以随意跨境传输吗?
11 我的数据可以随意跨境传输吗?
当你驾驶着心爱的汽车行驶在道路上,你可曾想过,整个行驶过程中,你正在被“偷脸”?
耸人听闻的数据窃取事件意味着大数据发展时期信息泄露危机正在暗流涌动。正在驾驶智能汽车的你可能还没有察觉,在驾驶智能汽车的过程中,所有位置信息、驾车轨迹正在被你的汽车导航设备进行后台秘密记录。而你车内的摄像头正在将车内驾驶员以及乘客的人脸图像、谈话内容、涉及主要的关键词同步传输到境外或者其他非法终端用于进行的大数据分析,你的个人信息正在被严重泄露!此外,车辆所行驶的道路以及行程周边的建筑设施、标志指引等所有车外信息作为国家的重要地理信息也在被智能汽车秘密收集,成为窃取国家秘密,并同步实施数据跨境传输的重要手段。近日来,随着特斯拉女车主维权事件的不断发酵,越来越多的人对以特斯拉为代表的智能汽车的信息安全性提出了质疑。同时,广大消费者、国家网络安全部门都对智能汽车引发个人信息泄露问题给予了充分关注。智能汽车对于车主行车信息的抓取、对于车内司机以及乘客的面部识别、对于车外驶经道路的特征获取具有天然的便利,这导致用户个人隐私信息以及国家道路交通信息安全也受到了严峻挑战,智能汽车已经成为仅次于手机的泄密源!更令人担忧的是,部分外资智能汽车,将获取到的基础数据信息跨境传输到境外,严重侵害我国公民、国家的公共利益和信息安全。
从智能汽车泄露个人信息的案件中我们可以发现,数据的跨境传输以及流动引发了巨大的风险危机,危机的产生呼吁规则的规制,规则背后是各国对于数据安全以及信息保护的决心。在我国,对于数据跨境流动的监管与欧洲地区、美国相比,起步较晚。欧盟的数据保护立法发展较早,最早可以追溯到二战时期。经过多年的立法沿革,欧盟各个成员国正在遵照执行2018年生效的《通用数据保护条例》(以下简称GDPR)进行数据保护。同时,该条例也作为数据保护的条例范本,成为各国数据保护规范制定、借鉴的重要内容和依据。在欧盟的成员国内,是提倡个人数据的自由流动的。而对于成员国以外的国家,跨境的流动必须经过严格的审核。根据GDPR的规定,个人数据传输出境要满足“充分性认定”的条件。此外,通过GDPR赋予个人权利,即当征得个人用户的同意时,可以将数据传输出境。个人数据规则的跨境流动采用的是附条件的流动模式。在2021年5月6日,挪威数据保护局(Datatilsynet)宣布:已通知Ferde AS公司,决定对该公司罚款500万挪威克朗(约498065欧元)。该公司涉嫌非法向中国的一家数据处理者转移驾驶者的个人数据。该案被称为GDPR涉及中国的首例数据跨境案件。根据相关调查显示,Ferde AS公司缺乏GDPR第28(3)条规定的数据处理协议,并且在人工处理超过1200万张车牌图像之前没有进行风险评估,违反了GDPR第32条。此外,调查进一步显示,Fedre AS公司在2017年至2019年期间向中国转移数据缺乏适当的法律依据,因此违反了GDPR第44条。
从涉及中国的首例数据跨境案件可以看出,各国对于数据安全的重视程度在持续提升。目前,欧盟成员国、美国都在遵照自己的数据保护规则对本国数据跨境进行监管。与此相对应,建立、完善我国的数据保护、数据跨境规则迫在眉睫。
在数据跨境问题上,重点是对数据出境进行规制。随着我国《网络安全法》的颁布实施,数据出境安全管理要求被首次提出,国家有关部门在《网络安全法》的管理框架下,积极制定配套管理办法《个人信息出境安全评估办法》(以下简称《评估办法》),探索具有中国特色的个人信息出境安全管理路径。2019年,《评估办法》对外公开征求意见,初步确立管理要求以及管理模式。《评估办法》第2条对个人信息出境作出明确定义,即“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境)”。最容易理解的出境,是地理意义上的,即当个人信息离开我国地理边境可以视为个人信息已出境。这也是国际主流国家对数据出境概念的一致认同。另外一种是通过进一步限定个人信息出境管理的范围来确定是否属于个人信息出境。
为此,数据的何种跨境运输方式是合法合规的?想要向我国境外提供个人信息,应当具备哪些条件?数据跨境运输的具体规则《个人信息保护法》第三章“个人信息跨境提供的规则”进行了详细展示。在此章节中重点就向境外提供个人信息的具体条件、安全评估的要求以及非法进行跨境数据传输所需承担的后果进行了规定。第38条中规定,个人信息处理者因业务等需要,需向中华人民共和国境外提供个人信息的,应当通过国家网信部门组织的安全评估,或者按照国家网信部门的规定经专业机构进行个人信息保护认证。此外,按照国家网信部门制定的标准合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准条件及符合法律、行政法规或者国家网信部门规定的其他条件,可以提供。(https://www.daowen.com)
这里值得注意的是,《个人信息保护法(草案一次审议稿)》的部门内容规定中,并未将“按照国家网信部门制定的标准合同”纳入规定,但由此可见,国家网信部门对于数据跨境进行了更加细化的把控,而按照国家网信部门制定的标准合同作为一种格式合同,能更加明确双方的权利义务,同时也进一步提高监管数据跨境传输的力度。目前,具体标准合同的文本内容还有待国家网信部门进行公布。
在符合了向境外提供信息的条件后,个人信息处理者向中华人民共和国境外提供个人信息的,还应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。
同时,根据《个人信息保护法》第40条的规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。由此可见,对于信息的跨境传输,不仅对传输双方要进行严格的审核,还需要对传输的内容进行安全评估,以确认信息传输的安全性、合法性。
在向境外的司法或执法机构提供境内个人信息方面,《个人信息保护法》最终稿相较于《个人信息保护法(草案一次审议稿)》从规定适用范围、审批要求等方面作出了更加严格和明确的规定。《个人信息保护法》第41条规定:境外的司法或者执法机构要求提供存储于境内的个人信息的,非经中华人民共和国主管机关批准,不得提供。而《个人信息保护法(草案一次审议稿)》则表述为因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。从立法的前后修改变化来看,向境外提供司法协助的要求也更加严格,进一步提升了数据的安全保护能力。
在《个人信息保护法》的第42条、43条中,专门对损害我国公民及国家公共利益的数据跨境传输行为进行规定:境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。与此同时,任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。从以上条款可以发现,国家对于非法进行数据跨界传输的行为,可以采取必要的制裁行为,其目的就是维护国家信息权利安全,全面坚守公共安全底线。
数据跨境规则的制定、数据保护架构的建立以及监管部门责任的落地都为数据领域的发展、数据跨境的保护提供了基石。2020年12月,北京市数据跨境流动安全管理试点政策对接会在北京市海淀区中关村软件园举行。2021年,广东推动横琴作为跨境数据试点,让数据从横琴走向世界。随着国内跨境数据试点的不断增加,关于数据跨境流动安全管理、数据分类分级的尝试也在不断探索。法律保障、制度制约、创新举措都为数据跨境的发展提供了期待可能,同时,数据跨境流动的规则对于抢占国际数据发展制高点,维护国家安全底线起到了保驾护航的重要作用。