我国数据跨境流动的治理框架与实践方案
2022-06-18李海英马民虎
李海英 马民虎
摘 要:全球复杂多变的跨境数据治理格局下,我国秉持安全发展的治理目标,综合运用政策法规、技术标准、行业规范等治理工具,稳步构筑以公权主导的多层规范为基石、多方磋商的协调规约为脉络、特区试点的沙盒规制为补充的治理框架,广域开展多元主体共同参与的多方利益充分博弈的治理实践,基于发展导向推进弹性治理、基于国家安全进行审慎治理、基于风险评估拓展专项治理,进而勾勒数据合规跨境流动的路径选择与具象流程,推动数字经济长足发展,提升国家治理能力与国际话语权。
关键词:数据跨境;数据流动;治理框架;实践方案
中图分类号:D922.16 文献标识码:A DOI:10.11968/tsyqb.1003-6938.2022085
Governance Framework and Practical Scheme of Cross-border Data Flow in China
Abstract Under the complex and changeable pattern of cross-border data governance, China upholds the governance goal of safety and development, comprehensively applies solving tools of policies, regulations, technical standards, industry norms, and steadily builds a solving idea with multi layer norms dominated by public power as the cornerstone, coordinated regulations through multi-party consultation as the vein, and sandbox regulations used in special economic zones. To carry out the extensive governance practice of sufficient game of multi-interests with the participation of multiple subjects, promote the flexible governance based on development, improve prudent governance based on national security, and expand special governance based on risk assessment, so as to outline the path selection and concrete process of cross-border data compliance, promote the long-term development of digital economy, improve the national governance capacity and international right of speech.
Key words cross-border data; data flow; governance framework; practical scheme
第四次工業革命的可持续发展以物联网、区块链、云计算、人工智能等数据密集型技术的开发应用为关键支撑。全球泛在的数字化转型浪潮下高质量的跨境数据有序流动积极赋能实体经济、助力国家治理能力现代化、提升国际合作的核心竞争力,“跨境传输、存储和处理数据的能力是现代国际数字经济的基础”[1]。
面对海量数据跨境合理利用逐渐成为数字文明核心动能的全新格局,亟待深入分析我国聚焦数据安全与数据流动之间动态平衡的基本战略,具体描绘迅速形成的集国内政策法规、标准规范、技术工具与国际条约协定等于一体的数据跨境流动的综合治理思路,通过聚类探讨典型案件持续落地中日益趋向有序化、系统化和可实操化的治理经验,细化勾勒数据合规跨境流动的框架方案,在复杂多变的国际数据移转中积极维护国家数据主权、保护重要数据和个人信息安全、促进数字经济健康有序发展。
1 我国数据跨境流动的治理框架
跨境数据流动的高效治理是数据治理的重要组成,助力打造数字社会的有序格局。近年来,我国坚守安全发展的治理目标,综合运用法律法规和其他规范性文件、技术标准与行业自律规则等治理手段,引导激励从业主体完善内部监管机制,积极参与旨在实现数据安全自由地跨境流动的多双边协议磋商,并在遍布全国的数字化自贸区因地制宜地推行数据跨境流动的沙盒治理,全面提升不同类型数据对象全生命周期中跨境流动的风险管控水平,充分发挥数据驱动经济发展的重大效用,为国家治理体系和治理能力现代化添砖加瓦。
1.1 公权主导的多层规范为基石
数据跨境流动的有序治理依赖国家公权部门主导建设效力等级不一的政策法规体系和一系列规范性文件。我国关于数据跨境流动的基本法律条款最早见于2016年颁布的《网络安全法》第37条,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”[2]为了更好地执行数据出境安全评估,国家网信部门于2017年和2019年分别发布《个人信息和重要数据出境安全评估办法(征意稿)》和《个人信息出境安全评估办法(征意稿)》,却因为利益相关方构成复杂且数量庞大、具体措施技术性较强且流程繁琐以及数据市场迅速变化等未能正式实施。
随着数据安全事件和侵害个人信息的恶性案件频繁发生,《数据安全法》和《个人信息保护法》等基本法相继出台。《数据安全法》表明我国促进数据安全自由跨境流动的态度,主张开展数据安全治理和数据开发利用等领域的国际交流与合作、参与制定数据安全相关国际规则和标准,建立重要数据跨境流动的分级管理制度。《个人信息保护法》设置专章构建个人信息跨境规则,不仅强调必须通过网信部门的安全评估、专业机构的个人信息保护认证、采用网信部门的标准合同或是符合法律法规或网信部门规定的其他条件,还要求境外个人信息处理活动达到同等保护标准。
此后,国家互联网信息办公室发布了《个人信息出境标准合同规定(征意稿)》,明确通过签订标准合同的方式向境外提供个人信息的前提条件、事前个人信息保护影响评估的重点内容、标准合同的主要内容和备案方式等[3];颁行了旨在“规范数据出境活动,保护个人权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动”的《数据出境安全评估办法》,提出“事前评估和持续监督相结合、风险自评估与安全评估相结合”的数据出境安全评估模式及其具体要求和细化流程[4]。同时,国家互联网信息办公室与国家市场监督管理总局联合发布了《个人信息保护认证实施规则》,规定了对个人信息处理者开展个人信息出境等处理活动进行认证的基本原则、模式要求和实施程序等[5]。此外,我国陆续出台了一些针对细分行业数据跨境流动的监管要求。如《地图管理条例》要求存放地图数据的服务器必须在我国境内并建立地图数据安全管理制度和保障措施[6]。
由此,我國通过《网络安全法》《数据安全法》《个人信息保护法》等基本法,《数据出境安全评估办法》《个人信息保护认证实施规则》等规范性文件,《地图管理条例》《汽车数据管理若干规定(试行)》等特定行业限制规范,辅以一些具有监管趋势提示意义的征求意见稿以及全国信息安全标准化技术委员会陆续发布的《信息安全技术 个人信息安全规范》(GB/T 35273)《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》(TC260-PG-20222A)等标准化实践指引,逐步构建公权主导的数据跨境治理的多层规范体系,为更好地开展数据跨境流动提供重要基石和有益参考。
1.2 多方磋商的协调规约为脉络
数字经济高速发展的全球新形势下,鼓励数据跨境流动的贸易规则逐渐成为多双边自由贸易协谈的核心议题,甚至在关乎国计民生的金融数据领域亦呈现出促进数据跨境流动的态势,“在以经营业务为目的并得到客户授权许可的前提下,缔约方不得阻止金融机构以及金融服务提供商出境转移数据。”[7]同时,我国的《个人信息保护法》和《数据安全法》等均强调主管机关有权按照我国缔结或参加的国际条约、协定或按照平等互惠的原则,依法处理外国司法或执行部门关于提供存储在我国境内数据的要求。前者还全面肯定了依据我国缔结或参加的国家条约或协定向境外提供个人信息的合法性,“中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行”[8];后者则倡导“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定”[9]。
长期以来,我国一直坚持以世界贸易组织为核心的多边贸易体制,全面参与世贸组织的电子商务规则多方磋商,积极在实现信任数据自由流动的数字贸易规则建设中展示中国方案,试图更好地平衡数据跨境流动的安全问题与数字经济发展之间的关系,打造市场化、法治化、国际化、多维化的数据流转环境。
2021年3月,我国完成《区域全面伙伴关系协定》(Regional Comprehensive Economic Partnership)的核准工作,承诺自协定正式生效之日起予以遵循[10]。该协定是我国签署的包含数据跨境流动条款的首个多边协调规约,在“电子商务”一章中强调了缔约方有权自行建立数据跨境流动的监管机制,可以要求计算设施的使用或位置必须具备保证通信安全和通信秘密的独立措施,但除非为了实现合法的公共政策目标所必须且不得构成肆意或不合理的歧视和变相贸易限制,或者属于维护基本安全利益所必要的情况,不得阻止商业性数据跨境传输[11]。该协定为包括中国、韩国、日本、新西兰、澳大利亚和东盟十国等在内的缔约方提供了更为明确清晰且实操性较强的优化跨境供应链和价值资源的重要工具,减少海外运营中强制性数据中心本地化要求,促进数据跨境流动,规范发展跨境商业市场。
我国不仅大力提升《区域全面伙伴关系协定》的建设水平、落实市场开放承诺、履行协定义务、促进政策红利持续释放,还积极开展加入《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership)和《数字经济伙伴关系协定》(Digital Economy Partnership Agreement)的磋商活动。前者建立了缔约方之间在保护消费者数据隐私的基础上安全自由地传输数据并禁止服务器本地化的开放机制[12],后者肯定了缔约方应当允许广泛信息通过电子方式跨境传输[13]。
1.3 特区试点的沙盒规制为补充
在我国稳步推进中国特色自贸区建设过程中,面对诸多深化改革和试验高水平开放政策的特定区域高涨的数据跨境流动需求与相关规范性文件限制较多的艰难局面,从不同地区的产业发展现状与实际需求出发,积极构建和全面落实包括数据跨境流动的安全试点、跨境数据流通服务与分类监管等在内的沙盒规制方案。
一方面,中共中央、国务院就国家级层面建设的深度合作区和自由贸易港的数据跨境流动的沙盒规制明确总体要求、行动规划和规则导向等。如《海南自由贸易港总体建设方案》对于数据跨境传输安全管理、便利个人信息安全出境评估、探索加入国际数据跨境流动的规制方案等作出了相关策划,2025年前“在国家数据跨境传输安全管理制度框架下,开展数据跨境传输安全管理试点,探索形成既能便利数据流动又能保障安全的机制”;2035年前“实现数据安全有序流动。创新数据出境安全的制度设计,探索更加便利的个人信息安全出境评估办法。开展个人信息入境制度性对接,探索加入区域性国际数据跨境流动制度安排,提升数据传输便利性。积极参与跨境数据流动国际规则制定,建立数据确权、数据交易、数据安全和区块链金融的标准和规则。”[14]《横琴粤澳深度合作区建设总体方案》致力于构建高水平开放的新体系,主张在国家数据跨境传输安全管理制度框架下进行建设试点,探索形成安全便捷的数据跨境流动机制,尤其是在确保个人信息和重要数据安全的前提下鼓励科研数据跨境互联互通[15]。
另一方面,地方政府奋力勾勒辖区内特定自贸区数据跨境流动的具体范围、监管模式与保障措施等。如《上海市全面深化服务贸易创新发展试点实施方案》明确指出要推进数据安全有序地跨境流动,“探索跨境数据流动分类监管模式,開展数据跨境传输安全管理试点”并指定“临港新片区开展汽车产业、工业互联网、医疗研究(涉及人类遗传资源的除外)等领域数据跨境流动安全评估试点”,“推动建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制”。同时重点开展参与数字规则国际合作、允许外资金融机构因集团内部管理和风险控制等需要出境相关数据以及优化科研机构访问自然科学类国际学术前沿网站的保障服务等的探索创新[16]。《南汇新城“十四五”规划建设行动方案》提出到2025年“初步建成以数据跨境流动为重点的国际数据港”,“开展数据跨境流动安全评估,搭建跨境数据流通公共服务平台”[17]。《北京市关于打造数字贸易试验区的实施方案》以“实现跨境数据安全有序流动为着眼点”,以“推动数字经济和数字贸易的开放和创新发展为目标”,着力开展特定区域跨境数据流动的沙盒规制,最大限度地创新数字服务贸易领域涉及的数据跨境流动规制体系,“打造开放创新、包容普惠的数字经济和数字贸易营商环境”[18]。
2 我国数据跨境流动的治理实践
数据生产要素的价值攀升与流动需求递增促使我国意识到高效开展数据跨境治理的重大意义,不仅颁布《网络安全法》《个人信息保护法》《数据安全法》等位阶较高的法律规范,还陆续出台《信息安全技术 重要数据识别指南(征意稿)》《数据出境安全评估办法(征意稿)》《网络数据安全管理条例(征意稿)》《个人信息出境标准合同规定》《工业和信息化领域数据安全管理办法(试行)(征意稿)》等一系列配套的规范性落地文件,亦积极建设标准规范、技术平台和国际规则,逐步构建国家网信部门主导且相关主管部门配合、行业组织、国际组织、企业和个人等多元主体共同参与治理、多方利益联合协调治理与多层规则协同落实治理的实践机制。
2.1 基于发展导向的弹性治理
国家网信部门及相关主管部门在实际开展跨境数据流动的治理工作时,一直秉持数据治理服务数字经济发展的基本理念,坚持事前评估和持续监督相结合、风险自评估与安全评估相结合的治理方法,采取约谈整改、提供示范文本与具体操作指引、开展安全管理经验宣传等弹性治理方式督促相关主体全面自查自纠,助力营建开放公平的非歧视性数字发展环境。如针对视觉中国在未经安全评估情况下与境外企业开展涉及互联网新闻信息服务的业务合作问题,国家网信办指导天津网信办会同北京网信办、江苏网信办等约谈视觉中国网站负责人,责令其立即停止违法违规行为并全面彻底整改,既及时有力地阻止了涉事企业继续扰乱网络传播秩序,又给予其一定的弹性整改空间,最大限度地避免行政处罚的负面影响[19]。《数据出境安全评估办法》明确数据出境安全评估的结果有效期为2年,使得数据控制者和数据处理者能够申报2年内针对特定境外接收方的数据跨境流动计划,为连续性数据跨境业务的有序开展提供重要支撑[4]。
2.2 基于国家安全的审慎治理
我国在数据跨境治理实践中搭建了国家网络安全审查工作机制和数据安全管理机制,坚决制止威胁国家安全的跨境数据流动。
一方面,我国国家安全机关持续监查并严肃处理危害政治安全、国土安全、军事安全等的跨境数据流动。如李某等人在重点区域周边私自架设多套气象观测设备并将采集到的精确位置信息和多类型敏感气象数据传送到境外由某国负责搜集分析全球气象数据并为军方提供相关服务的政府部门以科研名义发起成立的气象观测组织网站。我国国家安全机关立即会同有关部门开展联合执法,消除相关风险隐患并通过广泛通报警示潜在违法犯罪分子[20]。我国国家安全机关调查发现某个承接了所在国家间谍部门大量情报搜集业务的境外咨询调查公司高薪聘请了我国境内数十名大型航运企业和代理服务公司的管理人员担任行业咨询专家并指使其广泛收集提供我国的航运基础数据和特定船只载物数据等,迅速开展了联合执法行动[21]。
另一方面,我国相关主管部门对于威胁生物安全、社会安全、资源安全等的违规现象,积极开展审慎的监查处置工作。如中国人类遗传资源管理办公室依据《人类遗传资源管理暂行办法》和《行政处罚法》等,对华大科技与华山医院未经许可与英国牛津大学开展“中国女性单相抑郁症的大样本病例对照研究”的国际科研合作并未经许可将部分人类遗传资源数据从网上传递出境的行为,予以行政处罚[22]。2022年7月21日,国家互联网信息办公室针对滴滴全球股份有限公司赴美上市过程中大量数据违规出境行为触发的网络安全审查作出了高达80.26亿元企业罚款的行政处罚决定①,充分反映出我国严厉制裁数据违规跨境的强大决心,迅速引起广泛关注[23]。
2.3 基于风险评估的专项治理
我国在数据跨境流动的治理实践中充分考虑了不同类型数据流动的实质影响,细化区分跨境主体和数据类型,不仅建立数据分类分级保护制度与风险监测预警机制,还针对关乎公民基本权益的个人信息开展常态化的违法违规收集使用的专项治理行动,亦考虑到卫生健康、交通运输、教育科技等重点行业涉及数据存在较强的专业性与明显的差异性,要求相关主管部门在遵循一般性网络安全、数据安全和个人信息保护规则的前提下,基于本行业的特殊风险与发展利益,制定本领域的重要数据目录,搭建具有行业特色的专项治理机制。如通过连续开展严厉打击网络犯罪的净网行动切断境内外违法犯罪数据流动的利益链条,有效维护广大居民在网络空间的合法权益;全球化程度较高的智能网联汽车领域往往涉及境内外云服务器存储使用的海量路测数据、位置数据、车联网系统数据等,如特斯拉的位置数据和前端性能监控数据常常处于跨境处理状态[24]。我国通过《汽车数据安全管理若干规定(试行)》分级分类汽车数据并开展汽车云计算服务安全评估与汽车数据安全管理认证工作;国家网信部门在APP专项治理工作中发现老虎证券、富途控股等跨境互联网券商存在违规收集且跨境流转用户数据等风险隐患并提出具体整改意见。国家证监会随即表明严格监管的态度,认定此类境外证券经营机构的跨境证券业务不符合《证券法》《证券公司监督管理条例》等并进行监管约谈,按照“有效遏制增量,有序化解存量”的治理方针,督促境外券商依法规范面向境内投资者的跨境展业行为[25]。
3 数据合规跨境流动的实践方案
随着产业数字化和数字产业化浪潮愈演愈烈,全球互联的时代背景下大量组织和个人对于数据跨境流动具有强烈诉求。如金融产品的整个生命周期中随处可见数据跨境流动的深切需求。新冠肺炎疫情以来,跨境服务的数字金融激发了全球金融业发展的广阔空间,即便是付款处理、保险承保和索赔处理等基本金融业务亦会涉及数据跨境流动。国际性金融集团根本无法避免内部数据跨境转移的常态化需要。甚至由于在一个国家被拒绝的犯罪分子可以在另一个国家开设移动货币账户并进行交易,金融欺诈、洗钱或信用风险管理等的监查处理也需要相关数据有序跨境。面对我国多元主体立足多层规范并充分考虑多方利益博弈的数据跨境协调治理机制,亟待厘清不同类型数据与不同行业数据的跨境合规要求,及时梳理殊别个案的具象流程,逐步勾勒数据合规跨境流动的框架方案。
3.1 数据合规跨境流动的路径选择
我国目前数据合规跨境流动的具体路径包括出境安全评估、标准合同和个人信息保护认证等。首先,数据出境安全评估是最主要的合规路径。如关键信息基础设施的运营者和处理个人信息达到国家网信部门“规定数量”①的个人信息处理者在我国境内运营中收集和产生的个人信息和重要数据若因业务需要确需向境外提供的,以及其他数据处理者在我国境内运营中收集和产生的重要数据,应当按照《数据出境安全评估办法》的要求进行安全评估;其次,标准合同是欧盟《通用数据保护条例》倡导采用并已获得广泛认可且我国《个人信息保护法》予以明确的个人信息跨境方式,主要覆盖适用安全评估之外的数据跨境流动情形。具体实操过程中,需要自主签订标准合同并就合同签署情况和个人信息影响评估状况等向国家网信部门备案;再次,个人信息跨境适用个人信息保护认证的情形包括跨国公司或者同一经济实体下属子公司或关联公司之间的个人信息跨境处理活动和在我国境外处理境内自然人信息的活动。《个人信息保护认证实施规则》要求开展跨境处理活动的个人信息处理者应当符合《信息安全技术 个人信息安全规范》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》[26]的要求,采用“技术验证+现场审核+获证后监督”的复合认证模式。
3.2 数据合规跨境流动的差异要求
基于不同数据对于国家安全、社会稳定和居民权益的殊别影响,不同行业的数据跨境流动持续奉行差异化的合规要求。相关主体在数据跨境流动过程中不仅需要遵循《网络安全法》《数据安全法》《个人信息保护法》及《数据出境安全评估办法》《个人信息保护认证实施规则》以及一系列技术标准,还应当遵守所属行业特定规范性文件的各种要求。如征信机构对于在我国境内采集的信息的整理、保存和加工活动应当依据《征信管理条例》的要求在我国境内进行,征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定;互联网地图服务单位应当遵循《地图管理条例》的要求,将存放地图数据的服务器设置在我国境内并制定地图数据安全管理制度和保障措施;生物医药行业利用我国人类遗传资源开展国际合作科学研究,或者因其他特殊情况确需将我国人类遗传资源数据出境的,应当依据《人类遗传资源管理条例》取得国务院科学技术行政部门出具的出境证明;汽车行业基于《汽车数据管理若干规定(试行)》的要求,强调重要的汽车数据应当依法在我国境内存储,确因业务需要向境外提供的必须通过安全评估且实际操作时不得超过评估明确的目的、范围、方式和数据规模与种类等[27]。
3.3 数据合规跨境流动的具象流程
数据控制者、数据处理者及其他参与主体在面对需要数据跨境流动的具体实践之际,应当及时梳理关涉的具象场景与业务模式,对照《网络安全法》《数据安全法》《个人信息保护法》及相关地方性法规和部门规章等的具体规定,根据跨境数据的类型和规模选择安全评估、标准合同、个人信息保护认证等跨境路径,同时确保数据跨境流动的意向已经达到征得个人单独同意或其他合法性基础。如网络平台运营商向境外提供用户信息时,应当依法做好个人信息影响评估的前置工作,并在除履行合同所必须或法定义务以外,向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项,并取得个人的单独同意。
基于国家对于不同数据的殊别跨境流动要求,参与主体实现特定项目相关数据合规跨境流动的实践过程必须解决数据识别的棘手问题,即精准辨识待跨境数据到底属于核心数据、重要数据、一般数据还是个人信息。《个人信息保护法》明确界定了“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。《数据安全法》针对“核心数据”建立了“更为严格的管理制度”。《网络安全法》和《数据安全法》虽然都对“重要数据”进行了规定,却没有正面给出对应定義,直至《数据出境安全评估办法》清晰表明“本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。”部分细分行业领域进而依据自身运行特点给出具体的差异化识别标准。如《工业和信息化领域数据安全管理办法(征意稿)》将重要数据的认定关联特定危害程度,即威胁政治、国土、军事、文化、资源或影响与国家安全有关的重点区域、严重影响工业和信息化领域生产运行和经济利益以及公共利益或个人合法权益、引发的级联效益明显的数据被称为重要数据[28]。《汽车数据安全管理若干规定(试行)》指出,重要数据包括重要敏感区域的车流人流和地理数据、车流物流等反映经济运行情况的数据、汽车充电网运行数据、特定车外视频和图像数据、涉及超过10万人的个人信息、有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
由此,特定相关数据的跨境流动应当结合行业特点和安全诉求进行评估,考虑是否属于订立或履行合同、履行反洗钱等法定义务所必须以及是否属于集团内部数据跨境流动等例外情况。《网络数据安全管理条例(征意稿)》将“数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息”[29]作为跨境数据管理的例外情况。如跨境支付、跨境汇款中的个人信息跨境是完成基础金融业务的必要条件,可以纳入“履行合同所必须”。《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》肯定了集团内部数据传输的合法性,为内部数据跨境传输指明可行通路。
4 结语
数据高效跨境流转是充分发挥数据作为数字经济时代主要驱动力之重要作用的关键环节。我国秉持多元主体参与、多方利益协调与多层规范约束的数据跨境流动的治理思路,探索搭建适应独具特色的诸多自贸区现实需求的数据跨境流动的沙盒治理模块,勾勒数据合规跨境流动的路径选择、差异要求与具象流程,不仅加速我国数据跨境流动有序治理的进程,还成为国家治理现代化的重要助力。
参考文献:
[1] A Roadmap for Cross-Border Data Flows:Future-Proofing Readiness and Cooperation in the New Data Economy[EB/OL].[2022-10-30].https://www3.weforum.org/docs/WEF_A_Roadmap_for_Cross_Bor der_Data_Flows_2020.pdf.
[2] 中华人民共和国网络安全法[EB/OL].[2022-11-07].http://www.cac.gov.cn/2016-11/07/c_1119867116.htm.
[3] 国家互联网信息办公室关于《个人信息跨境标准合同规定(征求意见稿)》公开征求意见的通知[EB/OL].[2022-06-30].http://www.cac.gov.cn/2022-06/30/c_1658205969531631.htm.
[4] 数据跨境安全评估办法[EB/OL].[2022-07-07].http://www.cac.gov.cn/2022-07/07/c_1658811536396503.htm.
[5] 关于实施个人信息保护认证的公告[EB/OL].[2022-11-20].https://m.thepaper.cn/baijiahao_20823048.
[6] 地图管理条例[EB/OL].[2020-12-27].http://www.gov.cn/zhengce/2020-12/27/content_5574487.htm.
[7] Agreement between the United States of America,the United Mexican States,and Canada 7/1/20Text[EB/OL].[2020-07-01].https://ustr.gov/trade-agreements/free-trade-agreements/united-states-mexico-canada-agreement/agreement-between.
[8] 中華人民共和国个人信息保护法[EB/OL].[2021-08-20].http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.
[9] 中华人民共和国数据安全法[EB/OL].[2021-06-10].http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml.
[10] 中国驻东盟使团.中国正式完成《区域全面经济伙伴关系协定》核准程序[EB/OL].[2021-04-16].https://m.thepaper.cn/baijiahao_12254240.
[11] Regional Comprehensive Economic Partnership[EB/OL].[2020-11-15].https://www.dfat.gov.au/trade/agreements/in-force/rcep/rcep-text.
[12] Comprehensive and Progressive Agreement for Trans-Pacific Partnership Text and Resources[EB/OL].[2022-10-03].https://www.mfat.govt.nz/en/trade/free-trade-agreements/free-trade-agreements-in-force/cptpp/comprehensive-and-progressive-agreement-for-trans-pacific-partnership-text-and-resources/#bookmark0.
[13] Digital Economy Partnership Agreement[EB/OL].[2022-06-11].https://www.mfat.govt.nz/ass ets/Trade-agreements/DEPA/DEPA-Signing-Text-11-June-2020-GMT-v3.pdf.
[14] 中共中央 国务院印发《海南自由贸易港建设总体方案》[EB/OL].[2022-06-01].http://ww w.gov.cn/zheng ce/2020-06/01/content_5516608.htm.
[15] 中共中央 国务院印发《横琴粤澳深度合作区建设总体方案》[EB/OL].[2022-09-05].http://www.gov.cn/z hengce/2021-09/05/content_5635547.htm.
[16] 上海市全面深化服务贸易创新发展试点实施方案[EB/OL].[2022-11-13].https://www.shanghai.gov.cn/n w12344/20201113/7093dba035ac4aff9503f649d47c3306.html.
[17] 南汇新城“十四五”规划建设行动方案[EB/OL].[2022-04-14].https://ghzyj.sh.gov.cn/ghjh/20210414/ed0c 628b0cc6455f919756bd2970e681.html.
[18] 北京市商務局关于印发《北京市关于打造数字贸易试验区实施方案》的通知[EB/OL].[2022-09-21].http://www.beijing.gov.cn/zhengce/gfxwj/sj/202009/t20200923_2088196.html.
[19] 国家网信办指导有关地方网信办约谈视觉中国网站、IC photo网站负责人 即日起两家网站暂停服务全面整改[EB/OL].[2022-12-10].http://www.cac.gov.cn/2019-12/10/c_1577513335 176868.htm.
[20] 国家安全部公布三起危害重要数据安全案例[N].劳动报,2021-11-01(12).
[21] “高薪聘请专家”,这家境外公司将我国数据提供给间谍[EB/OL].[2022-10-31].https://mgmw.cn/baijia/2021-10/31/1302659442.html.
[22] 华大基金被科技部处罚!违规将部分人类遗传资源信息传出境[EB/OL].[2022-10-26].https://www.sohu.com/a/271433358_161795.
[23] 国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定[EB/OL].[2022-07-21].http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm.
[24] 特斯拉遭遇大麻烦?网信办发新规:汽车数据未经允许禁止传至境外[EB/OL].[2022-05-13].https://www.163.com/dy/article/G9TIETVK0511838M.html.
[25] 富途、老虎证券被点名:个人信息保护法下跨境互联网券商咋办[EB/OL].[2022-10-14].https://m.thepaper.cn/baijiahao_14901694.
[26] 个人信息跨境处理活动安全认证规范[EB/OL].[2022-06-27].https://www.shangyexinzhi.com/article/4962386.html.
[27] 汽车数据管理若干规定(试行)[EB/OL].[2022-08-20].http://www.cac.gov.cn/2021-08/20/c_1631049984897667.htm.
[28] 工业和信息化领域数据安全管理办法(征求意见稿)[EB/OL].[2022-09-30].https://m.thepa per.cn/baijiahao_14743843.
[29] 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知[EB/OL].[2022-11-14].http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm?ivk_sa=1024320u.
作者简介:李海英,女,西安交通大学法学院博士研究生,蚂蚁集团隐私保护办公室资深专家,研究方向:信息法律与政策;马民虎,男,西安交通大学法学院教授,博士生导师,研究方向:信息安全法律研究。
