“重要數據”這一概念早在2016年《網絡安全法》中首次提出,并在2021年《數據安全法》中結合數據分類分級保護制度予以進一步規定,但“重要數據”的范圍和界定經歷了較長時間的不確定和探索期。近年尤其今年以來,隨著各領域的立法及實踐紛紛推進,我國正在迎來重要數據的監管落地。
我國以數據出境監管為先鋒,并逐漸完善重要數據立法。2022年《數據出境安全評估辦法》對重要數據作出定義,而2024年《促進和規范數據跨境流動規定》健全了重要數據的出境規則。2021年《網絡數據安全管理條例(征求意見稿)》細化了重要數據的認定標準,并規定了重要數據的特殊保護要求;而2024年8月底國務院審議通過該條例草案,即將從行政法規層面明確重要數據的監管要求。多個部門逐步推進重要數據的識別與行業監管,自由貿易試驗區亦開始推進重要數據的識別與出境監管,為監管落地做實質準備。目前,工信、汽車、醫療、金融、能源、航空、教育等重點行業均已開展重要數據識別工作,并逐步形成成果。此外,汽車、工信、自然資源、金融等多個行業的監管機構已公開發布專門針對數據安全管理的部門規章或其征求意見稿,其中包括重要數據的特殊保護要求。此外,《促進和規范數據跨境流動規定》允許自由貿易試驗區(簡稱“自貿區”)自行制定需要納入監管的數據清單,包括重要數據清單。天津自貿區、北京自貿區均于今年發布了重要數據的識別規則及數據清單,逐漸明確了需要申報出境安全評估的數據范圍。中外經濟往來需求成為盡快界定重要數據范圍、明確監管方向的催化劑。一方面,我國已意識到重要數據范圍模糊可能影響我國對外開放、引進外資,例如,國務院辦公廳2024年《扎實推進高水平對外開放更大力度吸引和利用外資行動方案》中提出,“健全數據跨境流動規則。科學界定重要數據范圍”。另一方面,重要數據概念不清已在國際上引起討論。在2024年8月27日的中歐數據跨境流動交流機制第一次會議上,歐盟對中國重要數據概念的模糊性、適用的廣泛性、及跨境流通的困難提出擔憂,并表示這可能導致歐洲投資者對中國的信心下降。在中美博弈的基本格局之下,保持與歐盟的良好合作對我國意義重大,而歐盟的態度或將助推我國加快界定重要數據。二、如何理解重要數據的監管邏輯:國家安全與國際競爭力
相較于在全球范圍內普遍受到保護的“個人信息”,我國的“重要數據”似乎有些特立獨行。對于重要數據監管,直接受監管的中國企業可能感到困惑,而間接受影響的外國企業也在提出疑問。
要真正理解重要數據,不能囿于數據保護的視角,而要站在更宏觀的立場,看到其背后的國家安全與國際競爭力的考量。基于此,我們既能更好地理解我國對重要數據的監管邏輯,也會發現其他國家的監管工具同樣意在守護國家安全、維護競爭優勢。即,在本國企業出海、外企外資入境的雙向流動中,一國勢必要保障本國的國家安全和核心優勢,并維持本國企業在國內市場及海外市場的競爭力。新型汽車產業正是一個典型例證。以新能源汽車、智能網聯汽車為代表的新型汽車產業,是近年來經濟發展的新賽道、大國競爭的角力場,而中國在新型汽車領域的領先優勢可能顛覆西方在傳統汽車領域的優勢。對此,各國均從自己的“監管工具包”中選出趁手的工具,以加強對新型汽車及其相關技術與數據的進出口監管,從而守護國家安全、維護競爭優勢。例如:1. 中國--重要數據出境安全評估:重要數據出境應提交監管機構進行安全評估,2021年《汽車數據安全管理若干規定(試行)》率先列舉了重要數據清單、并確立了年度監管報送機制,而最新的《中國(北京)自由貿易試驗區數據出境管理清單(負面清單)(2024版)》(簡稱“《北京自貿區負面清單》”)進一步明確并擴大了汽車行業的重要數據清單。我國以重要數據及其出境為抓手,加強了對汽車行業尤其是涉外業務的監管。2. 美國--ICTS國家安全調查:美國商務部今年發布擬議規則制定預先通知,計劃對嵌入“外國對手”的信息通信技術或服務(如嵌入中國軟件)的網聯汽車交易進行ICTS國家安全審查,以應對其中的美國國家安全風險。有消息稱,美國商務部擬禁止在美國境內的自動駕駛及網聯汽車中使用中國軟件,并限制中國公司在美國道路上測試自動駕駛汽車。3. 歐盟--反補貼調查:歐盟委員會去年發起了針對中國電動汽車的反補貼調查,認為原產中國的電動汽車因政府補貼,能夠以低價在歐盟快速擴大市場份額,傷害了歐盟的汽車產業。對此,歐盟委員會擬對中國電動汽車征收17.4%~37.6%的臨時反補貼稅。為克服反補貼稅可能帶來的價格劣勢,中國企業可能需要在歐盟境內投資建廠、直接制造電動汽車。由此可見,重要數據是中國保護國家安全、增強國際競爭力的方式選擇,而美歐采用的供應鏈管理、反補貼亦能實現類似的監管目的。在全球化與國際競爭局勢下,各國對新型汽車、人工智能等重點產業領域的監管措施可能不斷演化升級,并隨著各國角力而動態發展。例如,當外國針對我國特定行業頻繁采取限制性措施時,我國可能通過自有的監管措施予以回應及牽制。但萬變不離其宗,各國都希望在參與國際合作的同時,守護本國的國家安全,并保留具有核心競爭力和國家安全影響力的技術及數據。我國的重要數據監管,不止于數據保護,也不止于國內監管。只有從國家安全與國際競爭的宏觀視角,才能看清重要數據的本質與底層邏輯。在策略上,我國的重要數據監管將進一步強化風險路徑——圍繞國家安全與國際競爭層面的風險,對高風險領域進行強監管,對低風險領域進行弱監管,以免給經濟發展、企業合規造成過高成本。
從行業維度,不同行業之間的差異性監管逐漸顯現,究其根源是各行業對國家安全、產業競爭的影響力不同。對于汽車、人工智能等新時代引擎行業,中美歐等主要國家正在這些領域加強競爭與發展,因此,這些行業領域的重要數據范圍將擴張,甚至整個行業呈現出重要數據的特征。1. 汽車:2021年《汽車數據安全管理若干規定(試行)》首先在我國部門規章層面提出了具體、明確的重要數據清單,而最新的《北京自貿區負面清單》在此基礎上進一步明確并擴大了汽車行業的重要數據清單,覆蓋范圍非常廣泛(詳見下表)。
2. 人工智能:在人工智能訓練數據方面,《北京自貿區負面清單》直接將“與行業競爭力相關的高價值敏感數據”作為界定重要數據的一項標準,其輻射范圍非常廣泛,“包括但不限于:模型訓練、算法開發、產品測試場景。包括人工智能的算法源代碼、關鍵組件數據、控制程序、基礎模型數據、數據挖掘分析數據、測試數據等”。
3. 零售:作為對比,對于零售與現代服務業,《北京自貿區負面清單》并未界定任何重要數據。
個人信息也不止于個人權益保護的微觀視角,而呈現出分層監管、宏觀把握的趨勢。從國家安全與國際競爭力的視角,需要側重監管的個人信息的數量級進一步提高,且在不同的細分領域和業務場景中呈現出不同的權重。我國正在逐漸明確個人信息構成重要數據的判斷標準,主要取決于個人信息的敏感度與數量級。此前,我國數項規定提及“100萬個人信息”的概念,而業內猜測這是否構成重要數據。今年陸續發布的《中國(天津)自由貿易試驗區企業數據分類分級標準規范》《中國(北京)自由貿易試驗區數據分類分級參考規則》,均提出了個人信息如何構成重要數據的統一識別規則:? 一般個人信息:1000萬人以上個人信息(不含敏感個人信息);? 特殊敏感個人信息:10萬人以上且包含個人銀行賬戶、個人保險賬戶、個人注冊賬戶、個人診療數據等的敏感個人信息。在數據出境方面,作為出境個人信息的合規機制,相較于標準合同及認證,安全評估具有更強的監管屬性與國家安全考量。我國已數次更新適用數據出境安全評估的個人信息數量級,整體趨勢是數量門檻逐漸提高、數量規則逐漸精細化。這一方面降低了中外企業跨境運營的合規成本,促進了我國參與全球化經濟;另一方面,這也將監管資源傾斜至真正有風險的領域及場景。具體而言,2022年《數據出境安全評估辦法》項下,需要安全評估的個人信息數量門檻約為“個人信息10萬人/2年、敏感個人信息1萬人/2年”,而今年《促進和規范數據跨境流動規定》提高至約“個人信息100萬人/1年、敏感個人信息1萬人/1年”。最新的《北京自貿區負面清單》則在醫藥、民航、零售與現代服務業、人工智能等行業領域,進一步細化業務場景及數據類型,并分門別類地提高了數量門檻,其中最高的是零售與現代服務業中會員管理場景的個人消費者會員信息,約為“個人信息500萬人/1年、敏感個人信息100萬人/1年”。這與美國的監管思路有共通之處。美國在《關于防止受關注國家獲取美國人大量敏感個人數據和美國政府相關數據的行政命令》及其《擬議規則制定預先通知》中,為不同類別的敏感個人信息設置相應的數量門檻(如下表所示),并基于對國家安全重大風險的考量,加強對批量敏感個人信息的監管。(解讀文章詳見《海問·觀察︱以“國家安全”之名:美國政府如何限制敏感數據流向中國?》)
國家安全與國際競爭力已成為大國立法及監管行動中的核心考量。各國的監管工具雖然外觀不同、模式相異,卻往往有著守衛國家安全、在科技競爭中突圍的共同底色。例如,美國外國投資委員會(CIFUS)的外國投資交易審查聚焦關鍵技術、關鍵基礎設施、敏感個人信息,無不關切國家安全。美國議員請求商務部對中國WiFi路由器制造商TP-Link發起ICTS國家安全調查,則是為應對美國被發動網絡攻擊的安全風險。而前文中針對新型汽車產業的強力監管,則是中美歐開展科技競爭的典例,畢竟“不發展就是最大的不安全”。于企業而言,在理解、落實新法新規時,不能囿于單一的“法律領域”或“合規領域”,例如,就數據合規論數據合規。無論面對本國監管、還是應對外國監管,企業均應建立起貫通的視角,并意識到各國對于國家安全與國際競爭力的關切,從而作出妥善的合規決策。“重要數據”的目錄清單或許永遠無法窮盡,各國的監管工具或許一直都在迭代交鋒,但根植于國家安全與國際競爭力的本質訴求,將超越時間與空間,為企業在混沌未明的全球大環境中點一盞引路燈。
京公網安備110105011258