近日,北京市商务局牵头起草了《北京市外商投资条例》(草案征求意见稿,以下简称《条例》)。其中第六章为投资便利,包含数据跨境等方面的便利措施。具体来看,主要通过绿色通道、一般数据清单实现外商投资企业数据跨境便利。值得关注的是,今年8月国务院发布的《关于进一步优化外商投资环境加大吸引外商投资力度的意见》(以下简称《意见》)亦提及要通过绿色通道、一般数据清单等方式,促进外商提高投资运营便利化水平。
绿色通道、一般数据清单或助力
《条例》第三十一条指出,本市依法实施外商投资企业数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度。市网信部门应当会同有关部门,按照国家部署,制定具体措施,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。
“《条例》显示了北京市对于吸引外商投资的决心,而其中将数据跨境便利化写入条文则展示了北京市对外商投资企业数据跨境问题的重视,或将推动北京市便利化数据跨境机制规定的出台与尽快落实。”北京大成律师事务所高级合伙人邓志松说道。
然而,便利措施如何落地?制定过程中又将面临哪些挑战?
邓志松表示,一般数据的科学界定,安全与发展的有效平衡,是上述便利措施落地过程中值得关注的两大难点问题。不同类型的数据具有不同的敏感性,怎样根据现有数据出境监管实践科学界定一般数据,为其安全、有序、自由流动进一步“松绑”,是监管者面临的一大难题。
“更宏观地看,在便利数据跨境传输的大背景下,安全与发展如何兼顾,在以便利措施为数据要素流动‘踩油门’的同时,如何科学‘踩刹车’避免‘超速驾驶’带来的各类不应有的风险,也值得监管者思考。”邓志松说道。
记者梳理发现,一段时间以来相关宏观政策也关注到外资企业的数据跨境流动。8月13日,国务院发布《关于进一步优化外商投资环境加大吸引外商投资力度的意见》(以下简称《意见》),其中在第五条“提高投资运营便利化水平”便对数据跨境做了相关安排,绿色通道、一般数据清单等被提及。
《意见》指出,落实网络安全法、数据安全法、个人信息保护法等要求,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动。《意见》支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务。
邓志松表示,《意见》着眼顶层设计,确立北京为试点地区,希望能够通过在经济较发达地区的试点尝试,找到保障数据安全和经济发展平衡的监管路径;包括北京市《条例》在内的细则则更着眼于实操层面。
落地细则仍待出台
数据是数字经济时代的核心生产要素,数据要素安全、有序、自由流动是数字经济繁荣的基石。随着数据要素进程不断推进,如何保障数据跨境流动中的安全问题成为现实关切。安全不仅局限于物理和流程层面,核心数据和重要数据还将对国家安全、重大公共利益等产生影响。
随着《国家安全法》、“三法一条例”(分别为《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》)等的建立和完善,网络安全和数据安全得到保障;同时,《数据出境安全评估办法》《数据出境安全评估申报指南》《个人信息出境标准合同办法》等办法、指南的出台,数据出境路径不断细化。
出于安全考虑,建立数据中心、实现存储本地化成为跨国企业的一个选择。如2018年初,苹果宣布中国内地的iCloud服务将转由云上贵州大数据产业发展有限公司负责运营;今年8月,特斯拉表示在中国建立数据中心,以实现数据存储的本地化。
但同时,企业的一些日常操作和相关投资等也可能涉及数据的跨境流动,通过建立本地数据中心的方式并不能满足数据跨境流动的需要。
“外商投资企业的数据跨境流动场景中,较为常见的情况是外商投资企业基于全球统一管理的目的,要求全球各子公司均使用同一套信息系统录入信息,而这些系统往往服务器位于境外。这导致这些企业的信息一经录入系统就直接出境,形成了数据跨境流动。”邓志松说道。
此外,常见的外商投资企业数据出境场景多涉及个人信息的出境,如人力资源场景、采购场景、销售场景等均可能涉及数据跨境。不同的行业也可能因其业务需求主动或被动将一部分数据出境。
以绿色通道和一般数据清单的方式,成为促进外资企业数据跨境流动的有效措施。以外商绿色通道为例,邓志松推测,首先要满足《网络安全法》《数据安全法》《个人信息保护法》等的立法目的能够实现;在此基础上,相关部门将会在充分评估各类外商投资企业数据出境的必要性后,从外商投资企业所属行业领域、所涉数据的敏感程度、是否涉及重要数据、涉及个人信息的规模和数量、数据出境的场景等方面考虑,外商投资企业是否符合条件。目前来看,相关政策文件仍有待进一步出台。
如何促进数据合理高效流通和利用?邓志松认为,要避免陷入“一管就死、一放就乱”的怪圈,根本在于建设统一、科学的长效制度。“应将《意见》的顶层设计和包括北京市《条例》在内的细则相融合,积极借鉴域外有益经验,根据数据跨境传输的特点及其变化,结合我国监管经验与数据流动现状,科学制定有关制度。”
据了解,《条例》草案共设总则、投资准入、投资促进、投资保护、投资管理、投资便利、投资服务、法律责任、附则等9章,44条。