【数据出境】《数据出境安全评估办法》视野下的跨境电商数据合规问题——兼论与RCEP数据跨境规则的衔接

作者： 

冯晓鹏 和 李思然

2022年7月7日，《数据出境安全评估办法》（下称“《评估办法》”）正式颁布，与《网络安全法》《数据安全法》与《个人信息保护法》三大法律以及相关法律法规，共同构建起我国网络空间治理和数据保护的法律体系。《评估办法》进一步规范数据出境活动，明确数据出境安全评估的具体规定，提出数据出境安全评估事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。

在跨境电商活动全生命周期流程中，境内外消费者、跨境电商企业、支付机构、平台企业、物流企业等主体在线上及线下场景深度交织，形成诸多主体之间的数据交互关系。跨境电商作为大数据时代中的“重数据资产”企业，掌握境内外海量用户购买消费记录和隐私信息，涉及信息出境问题，更应该注重日常数据运营及出境的合法合规。

本文拟从跨境电商日常数据出境环节出发，以新出台的《评估办法》为核心，结合《网络安全法》《 个人信息保护法》《数据安全法》《网络安全审查办法》等法律法规，梳理、分析跨境电商企业面对数据出境安全评估中常见的监管要求，最后结合RCEP对跨境数据转移和处理的规定，讨论《评估办法》与RCEP的衔接问题。

一、 跨境电商业务涉及数据出境环节简析

（一）跨境电商数据出境的场景类型：[1]

（二）常见的跨境电商数据出境场景：

跨境电商经营过程中经历数据收集、数据使用、数据管理和数据流转等环节。随着数字经济的蓬勃发展，数据跨境流转活动日益频繁，数据处理者的数据出境需求快速增长。因此，跨境电商应及时关注信息出境的问题，在合法合规的前提下，最大化利用信息和数据。

二、 跨境电商企业数据出境需遵守的主要法律规定

（一）数据出境主要规制框架

根据《网络安全法》及2017年、2019年先后公布两部关于数据出境安全评估办法的征求意见稿的规定，经营者在将个人信息出境之前，应当依法办理安全评估手续。具体而言，《网络安全法》对个人信息出境的安全评估做出原则性规定，“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

随着《数据安全法》《个人信息保护法》等法律法规的出台，数据跨境制度的法律框架逐渐完善，安全评估制度在数据跨境制度中的定位也逐渐清晰。而《数据出境安全评估办法》的最终生效，象征着我国数据出境安全评估制度的进一步落地，为数据处理者在开展数据安全评估工作提供了确定可操作的法律依据，因而具有里程碑式的意义。

（二）梳理现有法律法规对数据出境的主要规定

以下，笔者梳理现有法律法规对数据出境的主要规定：

从内容上来看，网信部门重点评估点在于数据处理者获取个人信息的合法正当性、以及数据处理者与境外接收者对个人信息主体合法权益的保护能力、个人信息出境合同的可执行性。反之，如果数据处理者或接收者无力保障个人信息安全，或者数据处理者或接收者发生较大数据泄露、数据滥用等事件时，网信部门可以要求数据处理者暂停或终止向境外提供个人信息。[2]

三、 《数据出境安全评估办法》背景下对跨境电商企业的合规建议

对于跨境电商企业而言，数据合规势在必行。面对严格的监管趋势，企业应当完善用户信息的个人信息保护制度及数据安全制度，根据法律要求和行业良好实践及时审视自身的合规状况。对此，根据《数据出境安全评估办法》，我们提出以下建议：

四、 《数据出境安全评估办法》与RCEP数据跨境规则的思考

（一）我国“本地信息布署+跨境运输评估”的监管模式。

总体而言，我国对个人信息的重要数据采取“本地信息布署+跨境运输评估”的监管模式。

《网络安全法》第三十七条规定，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内储存。虽然目前跨境电商行业中关键信息基础设施运营者的范围仍未落定，考虑到跨境电商企业在日常业务中涉及体量较大的个人（敏感）信息，仍然有可能被认定为关键信息基础设施运营者，相应地则可能需要履行个人数据本地化的义务。

同时，海关总署发布的第2018年第165号公告（下称“第165号公告”），要求自2019年1月1日起，参与跨境电子商务零售进口业务的跨境电商平台企业应当向海关开放包括订单号、商品名称、交易金额、币制、收款人相关信息、商品展示链接地址、支付交易流水号、验核机构、交易成功时间等支付相关原始数据，供海关验核。与公告配套出台的还有《跨境电子商务零售进口统一版信息化系统原始数据实时获取方案》（下称“获取方案”），对网络通道、开放数据接口、原始数据的安全要求、接口内容等具体内容，做了详细的规定。第165号公告和《获取方案》在一定程度上强化了跨境电商企业数据本地化的动机。

（二）RCEP对跨境数据转移和处理的规定

2022年1月1日，《区域全面经济伙伴关系协定》（下称“《RCEP》”）正式生效，文莱、柬埔寨、老挝、新加坡、泰国、越南等6个东盟成员国和中国、日本、新西兰、澳大利亚等4个非东盟成员国正式开始实施协定。

RCEP 第八章的附件一包括了对金融服务信息传输的相关要求。RCEP第九条第一款便明确提出“缔约方认识到，每一缔约方可就信息转移和信息处理设置其管理要求。”可以看出，RCEP原则上尊重各缔约方各自对于信息传输和处理的相关规定，并没有要求缔约方法律的必须保持某种一致，RCEP对金融信息传输规制具有一定的任意性。

但同时，RCEP为保障数字金融服务贸易的正常进行，要求缔约方不能阻止金融服务提供者进行其金融服务活动必需的相关信息传输，这种数据的流动也不仅限于电子形式，这为金融信息的跨境传输提供了兜底保障。第九条的第三款和第四款则是再次强调了RCEP对各国自身监管制度和权利保护制度的尊重。除规避缔约方在RCEP中所作出的承诺和规定的义务外，例如不得阻止金融信息传输的义务，各缔约方可以根据实际情况自由地进行数据管理活动，包括要求遵守数据本地备份、数据存储、相关系统保障和数据、隐私权利保护的制度。此外，如果缔约方并未对特定跨境数据或信息提供作出承诺，缔约方不会被强制要求授权允许。

RCEP协议第十二章第十四条第一款允许各缔约方自身法律体系存在对相关计算设施的使用和位置上的规定或限制，“缔约方认识到每一缔约方对于计算设施的使用或位置可能有各自的措施，包括需求保证通信安全和保密的要求。”，这再次体现了RCEP对缔约方自身制度的尊重。但在第二款，RCEP对这种限制计算设施位置的缔约方内部规定进行了限制，要求不得将所使用设施必须置于境内的规定，作为进入该缔约方内部市场的前提条件。这一规定成为了RCEP为促进缔约方之间贸易往来，而向缔约方设定义务的条款。第三款为这一义务设定了两项豁免事由，第一项是即便缔约方存在对第二款的违反，但只要是为实施“合法公共政策”的必须行为即可豁免，但该公共政策如果与RCEP促进区域贸易流动、降低贸易壁垒的理念相违背，形成了变相对其他缔约方的歧视或限制，则无法豁免。第二项是对缔约方为保护“基本安全利益”行为的豁免，这一豁免与“合法公共政策”的相对豁免不同，这是绝对豁免第二款所设定的义务，可以看出RCEP对各国主权安全保护的高度尊重。[3]

第十二章第十五条与前述第十四条采取了相似的规定结构。在允许缔约方存在对电子信息传输的内部监管规定的基础上，为缔约方设定了不得阻止正常经营活动中的信息跨境传输活动。同样，第三款也规定了，在不构成贸易歧视和不合理限制的前提下对“合法公共政策”的相对豁免，和对“基本安全利益”的绝对豁免。

与之相对的，《跨太平洋伙伴关系协定》 （下称“TPP”，2017年1月美国退出后已于同年11月改名为“《跨太平洋伙伴关系全面进展协定》（CPTPP）”）成为第一个在“电子商务”章纳入具有约束力的条款用以规制数据跨境流动并限制数据本地化存储的自由贸易协定[4]。在2011年TPP第七轮谈判时，美国首次将强制性的跨境数据流动规制列入草案文本中。美国的主要目的是针对设置了数据本地化要求、对本地科技行业提供保护并阻止外国数据服务商进入本国市场的国家。当时，一些TPP谈判国基于不同的原因而无法接受美国这一提议。澳大利亚、新西兰和加拿大希望TPP能在个人数据的跨境流动领域为其留存安全监管的空间。越南则直接表示反对，认为美国的这一提议与其国内基于国家安全而限制互联网使用和数据传输的法律相冲突。另外，马来西亚国内法也对跨境数据流动进行了特别的限制。新加坡的诉求则是为该条款设置例外，以便其基于对公共道德的保护而限制数据流动。从2013年泄露的TPP电子商务章草案来看，当时TPP各缔约方仍然未能在数据流动规制条款上达成一致。[5]

TPP 和如今的CPTPP在规制跨境数据流动方面更进一步，设定了对成员方有约束力的义务，相关规定主要集中于第14章“电子商务”。综观TPP的规定，TPP对跨境数据流动的规制体现在三个层面：第一，强制要求各方允许数据跨境流动。TPP第14.11.2条规定，当通过电子方式跨境传输信息是为“涵盖的人”（covered person）开展业务时，缔约各方应允许此跨境传输，包括个人信息的传输。并且，TPP对“涵盖的人”这一术语进行了界定，除了不包括所有类型的金融机构或金融服务的跨境供应商外，包括了所有其他服务供应商、投资及投资者。第二，禁止数据本地化。TPP第14.13.2条禁止任何一方将要求“涵盖的人”使用该国境内的计算设备或将计算设备设置于该国境内作为允许其在该国境内从事经营的条件。因此，除非出现TPP第14.13.3条规定的例外情形，TPP各缔约方不得要求其他缔约方的服务供应商在当地存储数据。第三，例外情形。TPP第14.11.3条和14.13.3条分别规定了信息跨境传输和计算设备本地化的法定例外情形。上述两条规定均允许各缔约方为实现公共政策目标而“采取或维持”（adopt or maintain）与该协定第14.11.2条和第14.13.2条不一致的措施，并且，TPP进一步规定了该措施不得以构成任意或不合理歧视的方式实施，或对国际贸易构成变相限制；以及不得对信息传输（或计算设备的使用和设置）施加超出实现合法公共政策目标所必需的限制。可以发现，TPP在上述两条中均使用了“采取或维持”一词，这表明，TPP的要求不仅针对现存措施，而且针对未来措施。[6]

TPP将“电子商务”专列为一章，极大地反映了彼时美国的数据利益诉求——充分实现数据的自由流动。后来CPTPP承袭了TPP 95%的内容，且对数据跨境流动的规则只做了形式上的修改，这也体现了数据实力强大的国家欲实现其数据流动推向域外的强大诉求。

与TPP相比较，RCEP在数据跨境传输的规则中未对各缔约方设定强制义务，始终保持了对缔约方内部监管体系包容，缔约方不需要对内部数据法律体系进行大规模的变更就可顺利融入RCEP下的数据跨境体系。如果RCEP缔约方之间出现不可自行解决的矛盾，就可以将矛盾交由RCEP联合委员会解决，但委员会并无强制性权力。这更加体现了“共商共建共治”的数据治理合作特点，照顾了发展中经济体数字经济和数据立法的尚在起步阶段，需要保护数字主权以对自身经济发展加以保障的现实情况。

总的来说，《数据出境安全评估办法》与RCEP规则并无冲突。考虑到与RCEP例外条款的“公共政策目标”“基本安全利益”等表述有更紧密的连接，建议立法部门可参考RCEP的表述，或通过对“国家安全和社会公共利益”等概念进行解释，使《评估办法》与RCEP例外条款的“公共政策目标”“基本安全利益”表述相协调，并对数据的国内规制不构成任意或不合理的歧视或构成对国际贸易的变相限制。

五、 总结

随着《网络安全法》《数据安全法》《个人信息保护法》三大基础法律的实施，企业对于应如何合法实施数据出境的呼声高涨。《数据出境安全评估办法》的出台，为企业数据出境行为提出了新规制框架及要求，特别是跨境电商此类直接对接消费者、需要大量收集共享个人信息的行业，应当关注《评估办法》关于安全评估重点评估要素、数据出境合同的必备内容等要求，积极调整与境外公司之间的数据出境框架，确保在合规的前提下开展业务。

原文：https://www.kwm.com/cn/zh/insights/latest-thinking/cross-border-e-comme…