【AI国际治理知识库】
(下划浏览)
在全球化和技术革新浪潮中,人工智能作为一种颠覆性的技术力量,正在深刻改变全球经济结构和社会秩序,并引发了广泛的关注和一系列复杂的治理挑战。随着AI技术的快速发展和广泛应用,建立有效的国际治理框架变得尤为迫切。AI国际治理知识库关注全球视野下人工智能国际治理的关键趋势与地缘政治背景下的科技和数字治理问题,为关注相关问题的朋友提供及时、有效、严谨、全面的知识信息。
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》)。
《规定》对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
正文要点如下:
与2023年9月国家网信办发布的征求意见稿相比,标题上有着重大变化,由之前的“规范在前促进在后”改为了如今的“促进在前规范在后”。体现出国家在对待数据跨境流动领域的重心更加注重发展而非安全。在本次《促进和规范数据跨流动规定》出台前,无论是网信办还是数据局等与数据跨境流动相关的部门在对我国数据跨境流动方面的表述一直都是“规范和促进” ,预计从本次规定开始,未来数据跨境相关政策将越来越朝着促进发展方面进行结构性调整。
根据国家网信办官网的信息得知,此次规定早在2023年11月28日就已经在国家网信办室务会审议通过,但知道近4个月后的3月22日才予以公布。
“征求意见稿”中规定了5种情况不需要申报。而在正式版规定中,则进一步明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。——《数据出境安全评估办法》第19条任何一条重要数据出境都要做数据出境安全评估。实践中,对于一般企业而言,很难判断相关数据被不当使用是否会影响国家安全。《数据安全法》要求相关地区、部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。故而《规定》明确,数据处理者应当依法申报、识别重要数据,但未被相关部门、地区告知或者公开发布认定为重要数据的,就无需考虑重要数据出境安全评估了。没提“国家安全”不代表国家安全不重要,反而证明数据安全本身就非常重要与征求意见稿相比,正式版规定在出台目的方面有一处重大变化:
●征求意见稿首段:为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定的施行,作出以下规定。
●正式版规定第一条:为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。在正式版中,删除了“国家”二字,直接说为了保障数据安全。这一改动并不是国家数据安全不重要,反而显示了对于数据安全的重心,从单纯的保护国家安全上升到保护全领域的数据安全。同时,这一段将“规范”和“依法有序”删去,仅保留“促进数据依法有序自由流动”,进一步显示了中国数据战略的侧重点从数据主权和数据安全,向“促进”数据流动发展的角度,对体制机制进行了结构性的改变。
在征求意见稿刚发布的时候,我们对其进行了精读和原文标注《重磅!数据跨境规则发生结构性变化,网信办最新征求意见稿释放重大信号》,其中一开始就分析了“为响应时局的重大变化,中国数据跨境(出境)治理体制机制进行了结构性的调整。”同时指出,中国之前关于数据战略的主要侧重点在于数据主权和数据安全,大多都是基于管理做出的规定,而该征求意见是从规范和促进的角度对体制机制进行了结构性的改变。
保障数据安全,
保护个人信息权益,
促进数据依法有序自由流动,
根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,数据出境安全评估、
个人信息出境标准合同、
个人信息保护认证
第二条 数据处理者应当按照相关规定识别、申报重要数据。数据处理者不需要作为重要数据申报数据出境安全评估。第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。在境外收集和产生的个人信息传输至境内处理后向境外提供,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
主编丨刘典
副主编丨王祚
清华大学人工智能国际治理研究院(Institute for AI International Governance, Tsinghua University,THU I-AIIG)是2020年4月由清华大学成立的校级科研机构。依托清华大学在人工智能与国际治理方面的已有积累和跨学科优势,研究院面向人工智能国际治理重大理论问题及政策需求开展研究,致力于提升清华在该领域的全球学术影响力和政策引领作用,为中国积极参与人工智能国际治理提供智力支撑。
新浪微博:@清华大学人工智能国际治理研究院
微信视频号:THU-AIIG
Bilibili:清华大学AIIG
内容中包含的图片若涉及版权问题,请及时与我们联系删除
评论
沙发等你来抢