我国农业数据跨境传输规制标准构建
2023-05-15齐鹏
齐 鹏
(西安交通大学 法学院,西安 710049)
一、问题的提出
当前,受疫情及经济下行压力倒逼,全球经济增长比任何时候都更加依赖数字化转型[1]。跨境农产品交易已成为新时期包括“一带一路”倡议范围在内的全球经济复苏的关键抓手之一[2],并形成了强劲动能及广阔市场(2021年中欧地理标志协定正式生效,协定附录纳入双方共计超过500个地理标志产品,主要涉及酒类、茶叶、农产品、食品等)。新冠肺炎疫情防控常态化背景下,以数据为生产要素的数字农业与智能设备、大数据等信息平台和科学技术紧密联系[3],将数据手段融入农业生产经营,实现了传统农业智能化、精细化发展,2021年我国农业数字经济渗透率已达8.9%,同比增长0.7%(见图1)。
随着我国加入全球最大自由贸易区《区域全面经济伙伴关系协定》(RCEP)及覆盖全球4.98亿人口的《全面与进步跨太平洋伙伴关系协定》(CPTTP)等诸多区域性贸易组织和条约[4],建设开放型世界经济步伐将进一步加快(见图2)。数字农业驱动下的“农业4.0”新时代如何通过数字贸易保障粮食生产的可持续性,有效确保“饭碗要端在自己手里”,更好发挥数字技术释放普惠效应,助力跨境农业电商等新业态数字经济规模扩展,已成为当前数字农业研究亟待解决的焦点。基于此,本文以探寻兼容性的制度标准为中心,在梳理国内外农业数据跨境传输的基本关切基础上,结合CPTTP、RCEP相关制度探索和完善,以期提出农业数据跨境自由传输规制标准构建的“中国方案”。
图1 我国产业结构数字经济渗透率 图2 我国加入的区域性贸易组织、条约
二、设置农业数据跨境传输标准正当性分析
数字农业进程提升了传统农业对数字化技术的依赖性,尤其表现在第一产业农业发展领域可能包含农业数据跨境传输在内的数据利用活动[5]。在数字化技术支撑下,数字农业相较传统农业发展更加渴望及时形成对相关数据跨境传输规制标准,以规范当前这种新型依赖关系。
1.基于国家安全考虑。数字农业发展与技术产业紧密结合,通过空间地理技术等实现对土壤质量、水质变化、温度、大气条件、农作物生长情况、农业建筑建设等数据的收集分析,进一步指导农业作业中对于种子、肥料、农药等生产要素成本节约,助推数字农业精准发展。但是,上述这些数据收集往往可能触及一国农业发展战略安全。尤其随着国际贸易快速发展和经济全球化纵深演化,中国对外开放大门越开越大,数据跨境风险传播的数量、载体、方式和路径更加隐蔽[6],境外敌对势力对我国敏感数据窃取猖狂[7],其中,农业数据跨境传输已成为高风险领域。就此问题,《国家安全法》第59条要求对影响或可能影响国家安全的数据活动审查监管,《数据安全法》第2、24、25、31条进一步细化国家数据安全审查制度,要求对于严重影响或可能影响国家安全的关键信息实施进出口管制。此外,《“十四”五规划》中亦5次明确提及“数据安全”,均体现出目前国家对各类数据跨境传输问题的关切。基于此,有必要基于国家安全维度,形成农业数据跨境专门性传输标准,防范农业数据跨境传输安全风险,保障农业数据依法有序自由流动。
图3 “大豆洗船事件”对大豆行业影响(4)数据来源:国家统计局。
3.个人信息隐私保护需求。我国作为全球重要的农业大国,拥有较大规模的农业生产经营者。一方面,囿于天然信息不对称地位,农业生产经营者往往可能忽略对其自身信息隐私安全保护,在数字农业生产经营中,其个人隐私信息泄露时时发生;另一方面,为争夺在数字经济发展中数据垄断寡头地位,各国数据收集者更是无所不及地猎取各种个人敏感隐私信息,以期形成数字农业市场重要垄断资源。为此,全球数字经济发展较快的国家或地区均对此予以关注,如2021年我国颁布实施的《个人信息保护法》第3、38、55条均体现出对个人数据跨境传输中的谨慎态度,尤其对个人数据跨境传输处理前严格要求采取影响评估。《2018年美国农业数据法案》要求在兼顾农民个人隐私基础上收集农业数据信息,进而建立全球最大的农业数据库。2020年日本农林水产省在实施农业科技信息系统建设中也强调,匹配耕地信息和个人信息过程中,应防止利用个人公开数据识别隐私信息[8]。但是,这些立法尝试均仅在数据传输部分阶段对该问题进行讨论,并未形成专适于农业跨境数据传输全流程规制标准建构。
三、CPTTP、RCEP背景下农业数据跨境传输规制标准审视
诚然,数据本身价值有限,只有在数据相互传输共享中,其使用价值才能不断激增。随着数字农业全球化程度加深,跨境数据流动已成为数字农业经济增长的必然要求[9]。与此同时,其所带来的数据安全风险与数据跨境流动需求冲突日益严重,如何在CPTTP、RCEP背景下对上述数据主权宣誓及隐私权等权属保护,形成农业数据跨境传输合理化规制标准,已成为新时期加快数字农业发展亟待研究的重要问题。因此,现就农业数据跨境传输安全分级分类管理标准、数据跨境传输风险管理标准、数据跨境流动“等效性”保护标准、农业数据跨境传输处理流程标准逐一分析阐述。
(一)农业数据传输安全分级分类管理标准阙如
大数据、云计算等数字技术影响下的全球农业数据跨境流动中,虽然农业数据价值激增,但与之相匹配的农业数据传输安全分级分类管理标准仍然缺失,以至于实际操作中,对不同类型农业数据如何形成有效对等的保护争议不断。
1.农业数据跨境传输安全分级标准缺失。为更好保护本国农业安全,赢得参与国际市场竞争主动权,各国目前已形成国别化、区域化相结合的数据安全分级分类存储标准体系。检视当前各国对于数据跨境流动活动分级分类管理标准,主要分为以下类型(见表1)。
事实上,数字农业也属于数字经济发展中的重要类型,为实现全球农业数据资源自由汇集传输,一定程度也应形成相关的农业数据跨境传输本地化分级标准,然而,各国基于农业产业经济在国家发展中的重要地位,目前尚未形成相关数据跨境流动安全梯度管理专门性标准体系。与之矛盾的是,数据积聚产生的价值吸引力激增,各国为共享数据全球化带来的好处,实现相关企业国际竞争参与,不得不面对如下问题:如何形成各国数字农业数据分类分级标准目录?尤其对于美国、日本等农业技术发展较快的发达国家,如何在农业数据传输中平衡各国间数据跨境存储安全标准差异?就这些问题回答过程中,可能引发各国对农业数据安全级别争论,并对部分数据资源竞相追逐,不利于全球农业数字汇聚。除此之外,虽然我国已形成关于数据保护的《数据安全法》《数据出境安全评估办法》,但还未实现农业数据传输分级分类管理的专门性立法。
表1 跨境数据传输安全分级标准
2.CPTTP、RCEP对农业数据跨境本地化安全存储标准提出新挑战。数字农业中的数据囊括了上述每种数据类型,对于一般农业数据而言,为助力推动各国数字农业发展的相关数字信息合作,往往应积极引导推动参与跨境合作,但是对于可能影响或威胁一国农业发展的农业数据跨境流动,大多数国家倾向一般采取形成本地化监管。就此问题,CPTTP、RCEP中对于数据本地存储设置形成专章内容提出明确要求,具言之:第一,根据CPTTP协定第14.11条及RCEP第15条两则协议第1款规定(5)CPTTP第14.11条:1.缔约方认识到每个缔约方对通过电子方式传输信息可设有各自的监管要求;2.每个缔约方应允许通过电子方式跨境传输信息,包括个人信息,如这一活动用于涵盖的人开展业务。RCEP第15条:1.缔约方认识到每个缔约方对于通过电子方式传输信息可能有各自的监管要求;2.缔约方不得阻止涵盖的人为进行商业行为而通过电子方式跨境传输信息。,缔约各方可设置各自监管要求,包括形成一定程度的数据本地化存储监管制度,不再将数据本地化趋之若鹜,逐出数字经济活动规则;第二,两个协议均在其第3款中明确(6)CPTTP第14.11条:3.本条中任何内容不得阻止缔约方为实现合法公共政策目标而采取或维持与第2款不一致的措施,只要该措施:(a)不以构成任意或不合理歧视或对贸易构成变相限制的方式适用;及(b)不对信息传输施加超出实现目标所需限度的限制。RCEP第15条:3.本条的任何规定不得阻止缔约方采取或维持:(a)任何与第2款不符但该缔约方认为是其实现合法的公共政策目标所必要的措施,只要该措施不以构成任意或不合理的歧视或变相的贸易限制的方式适用;或者(b)该缔约方认为对保护其基本安全利益所必需的任何措施。其他缔约方不得对此类措施提出异议。,协议均将给予电商平台个人跨境数据传输行为肯定,只要其活动不违背公序良俗、不构成恶意竞争或不合理歧视,即不得阻止;第三,CPTTP第14.13条、RCEP第14条亦要求,禁止将数据计算设施存储数据所在国设置为数据自由传输前提。但是,如果将上述协议中内容置于数字农业发展背景下,对含有智能机器人的农机设备向协议缔约国出口,该如何实现关键农业数据跨境传输本地化存储;从协议缔约国进口相关设备时,又该如何规避由于农业数据本地化存储而产生的矛盾障碍,均将成为CPTTP、RCEP签订后亟待解决的重要问题。
(二)农业数据跨境传输风险管理标准不完善
数字农业领域存在的数据传输风险相较一般数据类型更加复杂,仅仅确定农业数据传输安全分级分类管理标准,仍难以有效应对。在实现数字农业贸易增收中增加的农业数据权属、个人隐私、商业秘密等风险。因此,还需要形成农业数据跨境数据传输风险管理标准。
1.农业数据跨境传输风险管理标准不完善。就此问题,虽然目前尚未形成有关农业数据跨境传输风险专门性管理标准,但已在诸多部门法中有所显现。如《网络安全法》在网络运行安全、网络信息安全部分中,鉴于网民相关数据信息知识储备不平衡、接触互联网技术较晚,导致其数据安全防范意识及技能欠缺,故强调形成数据传输风险各主体责任。《个人信息保护法》第28条中则主要从概念规定层面厘清了敏感个人数据边界。将其对应至数字农业的数据跨境传输中[13],主要包括在相关农业设备随机捕获的个人隐私信息等(7)主要包括有关个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息等。。《数据安全法》第18条、22条、29条、3条则显现出倾向对数据传输风险全流域监管。其中,对于数据传输前,主要侧重加强数据传输安全风险评估防范。因此,要求建立统一高效的数据传输安全风险评估预警机制[14],加强数据传输安全风险信息前端评估。对于数据传输中的风险控制,则要求对其实时监测、向主管部门及用户告知,及时采取止损措施[15]。虽然以上这些立法探索,对部分数据类型基本概念及数据传输风险应对措施一定程度予以明晰,然而,对于如何界定农业类数据跨境传输风险标准却未能明确。换言之,哪些农业数据传输行为可能构成何种农业数据跨境传输风险类型并不清晰,在难以界定跨境数据传输风险范围时,相关数据交易主体也将无法准确预判采取何种应对措施。
其次,在教师配备上,除了专业课讲师,还有必要为学员配置专业的职业教导员。教导员应该帮助学员规划她的职业路线,告诉她在将来的工作中会碰到什么问题,会经历哪些阶段。这样学员在工作中碰到一些问题就不会感到迷茫和害怕。教导员要了解学员的心理状态,及时帮助学员排解心理问题,例如:学员对就业的担心、对雇主的担心等。
2.CPTTP、RCEP植物卫生风险管理标准启示。CPTTP第7.9条、RCEP第7条是关于植物卫生方面的风险分析。就其性质而言,农业数据中一定程度也包含着植物卫生方面风险防控,故其相关经验可部分适用于农业数据跨境传输风险管理。其具体内容主要包括风险分析的科学性、义务性、风险分析的依据及进口缔约方的风险义务三个维度。如进口缔约方对数据传输风险义务要求应告知风险分析进展、及时督促风险分析按时完成及存档,并允许出口缔约方提出意见,在风险管理使用中对贸易的限制不超过必要限度等。虽然CPTTP、RCEP相关条款内容具有一定参考价值,但两个协议对于植物卫生风险分析并未涉及数据传输全流域风险管理,对风险发生过程及其发生后如何应对也并未提及。然而,任何类型数据传输风险的发生不仅产生于风险发生前端,更多的可能凸显在传输过程及其末端中,如何规范事中、事后数据传输风险,已成为协议内容之重要遗漏。
(三)农业数据跨境流动“等效性”保护标准不合理
跨境数据传输中数据自由传输豁免条款是划清合法与非法保护数据传输的重要界限,并承担着安全阀作用。凌驾于农业数据交易主体平等协商之上的家长式数据本地化政策及不合理的“等效性”保护标准,可能使得农业数据跨境传输陷入被动。为此,有必要根据各类型数据敏感性程度等因素,讨论现行数据跨境传输豁免机制中的“充分保护”豁免认定条件及CPTTP、RCEP中的“等效性”制度,形成农业数据跨境流动合理化安全阀豁免条件,促使农业数据跨境流动更加畅通便捷[16]。
1.“充分保护”豁免认定条件不合理。纵观各国现行立法,大多倾向要求境外数据接收方满足提供与数据所有者相对应的数据安全保护条件时,方可将数据转移至提供充分保护的国家或地区。简言之,向国外传输数据成功与否,应视各国各地区对数据保护相当程度而定。如欧盟《个人数据保护指令》就数据跨境流动设置的“充分保护”原则规定,唯有数据接收国提供被欧盟认可的同等数据安全保护水平时,才可向传输目的国实现流动。反之,若查明未能提供相当保护水平,则可采取必要措施阻止数据传输[17]。除非数据控制者能够证明已采取同等水平合理保护措施。欧盟《通用数据保护条例》中也规定,向境外传输数据应符合数据所有者相当水平的安全充分保护措施。类似的还有《俄罗斯个人数据法》中规定,倘若数据使用者已提供与所有者保护水平相当措施,则可直接实现数据传输。印度《信息技术条例》、新加坡《2014年个人数据保护法》关于数据传输规定中也均要求数据所有者对数据跨境传输时,须确保接收者或处理者能够提供与数据所有者所在国同等水平保护。以上豁免认定条件与我国《网络安全法》中数据传输安全评估设计也十分相似(8)《网络安全法》第37条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。。这种以第三国“充分保护”水平评估为参考的数据安全规制路径设计,似乎为农业数据跨境传输设置统一标准指明了方向,但这种主要依赖他国数据保护现状评估的认定标准,加之漫长评估时间及繁复评估程序将增加跨国企业守法成本及执法困境,最终也会对农业跨境数据流动形成严重限制。
2.CPTTP、RCEP“等效性”设计评析。欧盟上述“充分保护”豁免认定标准反应到CPTTP第7.8条、RCEP第5条中则被换称“等效性”或“等效”,主要在于评估卫生实施条件时,要求进口方提供与出口缔约方保护水平相同的措施,或具有同等措施效果,以实现交易各方保护水平等效。这种制度不仅在于强调进口方应当提供履行“等效性”的保护标准,更在于通过“等效性”设计,实现各方交易环境平等对待,以便保障交易活动在各方相同保护环境中实现。两个协议“等效性”设计延伸至农业数据跨境传输中,也将形成促进数据跨境平等保护目标。但是,这些规则条款大多侧重强调建立制度性的同等水平或相同效果的保护措施,对于如何形成有效的“等效性”设计标准仍为模糊。换言之,如何设计交易条件方达到相同保护水平标准,如何设定交易安全标准方能实现相同保护效果目标,对于这些标准问题的讨论目前尚未细化。对此,《个人信息保护法》第38条强调,境外数据接收方应达到数据输出方信息保护标准[18],一定程度吸收了欧盟个人数据立法保护标准经验,但是如何实现该保护标准未曾明确。总之,当前诸多立法中关于“充分保护”“等效性”的数据传输安全风险评估标准缺失,制约了农业数据跨境豁免传输,致使供给数字农业发展所需的跨境数据活动无法正常运行。
(四)农业数据跨境传输处理流程标准缺失
农业数据跨境传输风险保护中最为关键的环节在于数据处理方面,审视CPTTP、RCEP有关植物卫生风险管制措施,主要包括审查、认证、进口检查、紧急措施等内容。
具体而言,第一,风险审查方面,CPTTP第7.10条、RCEP第8条都提出在传输前开展审查业务,主要包括对各方主体需相互讨论互通审核范围及具体内容;CPTTP并且提出应在合理期限及时向对方提供审核结果,以确保其知情权[19];同时,要求审核时需核实缔约方的客观证据和数据,以提升缔约可靠性;此外,CPTTP进一步要求防范审查程序中可能造成信息披露泄密。第二,认证过程中,CPTTP第7.12条、RCEP第9条均提出出口缔约方可采取多种证明方式表明满足进口缔约方植物卫生认证标准。第三,进口检查中,CPTTP第7.11条要求各缔约方应及时履行进口检查,且应向另一缔约方提供进口检查性质和频率根据。RCEP第10条则要求进口缔约方及时向进口商或其代表通报进口检查中发现的货物的违规情形。第四,当需要采取紧急措施时,CPTTP第7.14条、RCEP第11条均表明可依据多个联络点或其他渠道向出口方及时通报。
整体而言,上述两个协定对于相关植物卫生风险处理中采用了全流程管理,对跨境活动各环节风险悉心规避,虽然协议就如何具体开展农业数据跨境传输审查、认证、进口检查、紧急措施等步骤仍然缺乏具体标准,但是其内容为形成农业数据处理标准提供了有益借鉴,有必要及时参照该内容形成农业数据跨境传输的处理流程标准规则。
四、数字农业数据跨境传输规制标准构建进路
数字贸易实质是科技之争、规则之争[20]。形成数字农业数据跨境传输规制标准有助于引领全球数字农业发展,助推数字经济可持续赋能全球经济复苏。因此,可从“建构数据安全传输本地化分级分类管理标准、形成数据风险管理标准、设计跨境数据‘等效性’保护标准、打造农业数据跨境传输处理流程标准”四个维度加强数字农业数据跨境传输规制,及时建构安全可靠的数据保护规制标准高点。欲将其落到实处,建议从以下维度设计应对措施:
(一)建构数据安全传输本地化分级分类管理标准
数字农业发展中有必要根据《数据安全法》形成《农业数据管理办法》,专门建构农业数据资源分级分类管理标准,形成兼顾各国各区域域情的农业数据跨境传输安全管理模式,为保障全球农业数据资源安全自由流转、增加数字经济发展吸引力提供遵循和指引[3]。
1.廓清农业数据跨境安全分级管理目录。检视当前农业数据跨境传输制度设置现状,目前尚未形成农业数据跨境安全梯度管理体系。为保障各国数字农业数据安全自由流动,可尝试设计数字农业数据跨境传输类型目录,形成宽严相济的数据安全梯度管理分级分类标准。一是禁止关键农业数据跨境流动。对涉及国土安全、地理位置、气候因素、土壤条件、农业产业发展、种质资源安全、粮食安全、重要农产品供给等敏感数据严禁输出。二是对于涉及个人隐私、商业秘密的与农产品贸易服务相关联的敏感数据,除当事人同意其通过对其传输合法性、正当性、必要性评估外,均禁止跨境传输。三是对于非关键农业数据,经一般性安全评估外,可允许自由传输。
2.制定数字农业数据跨境传输本地化安全管理标准。鼓励由高校科研机构多学科交叉研究为智力支撑,国家网信部门牵头,数字农业企业平台负责产业落地,打造形成理论与实践相统一的农业数据本地化安全存储系统管理标准。一方面,对于相关数据管理中,重点整合种质、农药、兽药、饲料等关键农业数据资源,对这些不同类型数据资源单独形成具体化管理标准,以增强对各类型农业数据跨境传输未知威胁的防御能力。另一方面,在开发数字农业智能装备时,相关科技企业及院校科研机构对于进出口型装备核心数据应形成有所区别的本地化存储方案。对此,可参照CPTTP、RCEP协议规定,对出口数字农业智能装备情形,可对产品本身关键运行技术数据实施本地化存储;对进口数字农业智能装备运行中可能涉及本国农业发展的关键数据,则须要求该数据存储本国境内。
(二)形成农业数据风险管理标准
CPTTP、RCEP背景下,农业数据跨境传输范围更加广阔,与之相伴的风险问题也可能增加。如何以更加开放的姿态主动参与数字农业国际化[21],形成有效的风险管理标准制度,让农业数字化向全产业链延伸,已成为从事农业数据跨境传输活动必须前瞻思考的重要要素。本文建议从如下层面设计相关标准。
1.界定农业数据传输三层级风险范围。准确界定跨境数据传输风险范围,是应对相关风险治理的重要起点。对于如何界定农业数据传输是否可能形成数据风险,首先,可根据数据自身特点属性,明确界定农业数据跨境传输中所涉及的不同数据概念边界;其次,根据《数据出境安全评估办法》要求对不同数据传输风险主体形成专门性责任范围划分,规定各主体对数据安全保护责任义务。将可能侵害农业生产者个人隐私、企业商业秘密,引起交易主体声誉受损或经济损失的私密性数据传输行为全部纳入风险监管范围。一是关于农业活动参与主体的个人信息,可能影响国家安全、社会稳定的数据,纳入一级风险管理范围;二是有关农业生产统计数据、农业投入要素数据、农业生长环境数据、农事操作数据、公民个人或企业所属数据、办公数据等重要数据内容,置于二级风险管理情形;三是除此之外的一般个人或企业信息数据,可作为三级风险管理应对。
2.细化农业数据不同风险等级控制措施。对于农业数据跨境传输还应形成全流程全范围风险监管,这就需要依据各类型数据特点界定其传输风险等级,形成配套的数据风险管理标准体系。一是对于农业数据传输中的一级风险管理,建议形成相关数据全流程传输风险闭环强制监管,即禁止该类型农业数据跨境传输,尤其对有可能威胁国家安全、社会稳定的数据类型及时销毁。二是对于农业数据跨境传输发生二级风险情况管理,强调指导保护。首先,农业数据传输前强化风险预警通报,评估数据出入境计划合法性正当性及数据接受方数据保护水平;加固各类安全漏洞风险预警排除,并设立我国农业核心数据加密存储数据库。其次,为防止相关农业数据传输中迁移篡改、破坏、泄露、丢失等,可对相关数据定级备案并持续加固传输中的数据安全网。最后,当相关农业数据跨境传输活动完成后,还需及时跟踪监管数据被使用情况,并及时修正管控措施。三是对于农业数据传输中形成的三级风险监管,则侧重自我管理。主要可通过个人或企业内部建立相关农业数据跨境传输管理机制,根据数据重要程度灵活采取更新数据保护合同、添加数据加密、获得数据所有人同意等风险控制措施。
(三)设计农业数据跨境传输合理安全阀标准
在农业数据跨境传输中,设置合理安全阀标准能够降低数据传输障碍,加快各类数据自由流通,促进相关农业数字经济发展。对此,特提出以下对策建议。
1.细化数据“等效性”保护标准条件。依赖第三国数据“充分保护”水平的认定标准,可能诱发数据传输标准认定纠纷,减损相关农业数据跨境传输效率。因此,有必要引进“等效性”数据跨境保护水平评估标准,促使相关农业数据交易条件处于同等保护水平,以降低跨境数据传输守法成本。对于农业数据跨境“等效性”保护水平如何界定问题,建议从引发数据使用价值变化的三个要素思考:一是接收主体,即对农业数据接收方保护水平评估。主要在于对数据接受方所在国数据安全保护措施、法治保障水平、个人征信、个人数据保护水平等相关因素检视。二是数据源本身,主要包括农业数据本身性质、外在价值表现、传递数量、传递范围等。三是数据传递行为,主要包含传输的目的、持续时间、出境后是否被第三方传输使用,传输中是否存在被泄露、毁损、篡改、滥用等风险。
2.设定数据跨境传输“等效性”具体认定规则。依据上述CPTTP、RCEP两个协议经验,对于“等效性”标准设置可依据时间逻辑设计具体认定规则:一是根据农业数据出口缔约方请求,进口方应事先说明其合理使用目的,并明确数据传输后进口方所能提供的安全保障措施及风险控制能力。二是当农业数据出口方评估进口缔约方能够提供“等效性”数据安全充分保障条件时,则需启动对其“等效性”评估。评估内容主要包括:是否对农业数据跨境传输已采取相同保护水平措施,或已具有相同目标效果的保护条件。三是当农业数据进口方满足“等效性”要件后,进口缔约方应将其采取的具体措施及时告知对方,并对“等效性”措施计划进行说明。
(四)打造农业数据跨境传输处理流程标准
农业数据处理是跨境传输后的终极目标,为此,可借鉴CPTTP、RCEP协议内容,从以下四个方面进行设置。
1.具化数据传输审查业务内容。对于农业数据跨境传输处理中的审查业务可形成以下具体操作规定:一是审查方式选择维度,可根据相关公约或双方签订的农业数据传输协议,现场审查或抽查数据出口方提供安全的质量保证;在线审查数据主管机关控制程序评估;现场审查或抽查出口方是否满足进口方风险防护措施要求等。二是对于审查准备中,需在审查开始前,由数据传输各方对审查原因、审查范围、审查标准及相关程序相互书面告知,确保各方拥有充分知情权。三是关于审查监督层面,不仅应当保证对审查结果需有可靠的客观证据支持,还需将该证据得到对方质证,并允许进口缔约方向出口缔约方对审查结果提出异议。四是有关数据传输审查保密规则,即对于审查过程中涉及个人隐私或商业秘密的数据内容缔约各方要履行保密义务。
2.建立数据传输及时认证制度。农业数据传输中还需对其进出口标准及时认证,以保障缔约真实可靠。对于如何实现农业数据跨境传输及时认证,可根据不同交易情形形成具体化认证程序。一是按要求认证。若数据进口方要求对交易数据认证,出口方应保证按对方要求完成数据传输,并需提供足以证明已满足对方数据标准的证明。二是按要求提供证明。若进口方要求提供农业数据跨境传输标准证明,出口方应按照缔约内容及时提供相关信息文本证明材料,且不限于纸质版证明文件。三是备案电子认证。相关农业数据传输前可按照双方相关机关要求进行备案,且需与纸质版文件内容一致,以供各方随时查阅调取。
3.设立数据进口风险实时检查机制。数据进口时往往包含诸多风险因素,为及时发现风险减少相关农业数据交易摩擦,有必要形成以下实时检查机制。整体而言,为保障各类农业数据自由传输,应坚持检查最小化原则,即数据检查时应保证相关检查措施合理必需性要求,尽可能减少不必要的干扰。检查频率设计中,鉴于不同农业数据跨境传输具体情形差异化,缔约方可根据通过进口检查所获经验讨论修改其进口检查频率,而非对所有数据传输均适用统一的检查频率。实际检查过程中,进口缔约方应保存关于检测样本识别、收集、抽样、运输和存储实物或电子记录,以及关于对检测样本所使用分析方法或电子记录。并对检查结果尤其不利结果内容应及时告知进口方或其代理人及数据出口方等。对于进口检查做出不利结果时,应在合理期限内向该决定接受方提供复议机会。
4.形成数据传输处理紧急应对措施。当农业数据跨境传输使用处理中需采取紧急措施时,可从以下三个指向形成具体设计:一是紧急措施启动。数据传输中如为国家、公共利益或其他不可抗力所需需要采取紧急措施的,可通过缔约代表或相关联络点或主管机关以书面形式向相关数据出口方通报。二是紧急措施审核。采取紧急措施后各缔约方应及时提供相关信息并讨论,在合理期限内自行或请求对方审核。三是紧急措施维持。对于持续中的紧急措施需定期依据该时段内的信息重新审查评估,并作出是否维持该措施的依据。
