文章分类
监管机构努力在增强数据安全与促进增长之间取得平衡
一些观察人士表示,对海外数据传输的更严格规定可能会减缓中国数字经济的发展。
钱通与王新通、财新
中国正将跨国公司和其他公司的跨境数据传输置于有史以来最严厉的政府监督之下。
6月1日,《个人信息跨境传输标准合同办法》生效,要求某些个人数据处理者,包括处理100万人以下数据的公司,在将数据发送到国外之前,必须与海外收件人签订合同。
这些新规定成为北京加强对国内数据控制以保护国家安全的最新举措。中国管理数据安全的上层立法框架包括三部法律——《网络安全法》、《数据安全法》和《个人信息保护法》——以及一系列有法律支持的政府法规。
根据这些法律,中央政府建立了个人数据出口监管制度。除了标准合同上的措施外,该制度还包括要求公司向国家互联网监管机构申请安全评估或向合格机构申请个人信息保护认证的规定。
该制度正在影响在中国开展业务的跨国公司、在海外上市的中国公司以及零售、互联网、医疗保健、汽车、民航和金融等数据丰富行业的企业。
然而,业内人士告诉财新网,这些规定的许多方面仍然很模糊,比如在安全评估方面,从而减缓了审批过程,并对一些公司造成了混乱,甚至伤害。
虽然中央政府希望发展数字经济以提高国家的国内生产总值,但这些规定可能会减缓该行业的发展。对外经济贸易大学数字经济与法律创新研究中心主任徐克表示,监管机构正在努力在加强数据安全和促进数据驱动的经济增长之间取得平衡。
冗长的评审
根据9月1日生效的《跨境数据传输安全评估办法》,处理涉及100万人以上个人数据的公司如果想向海外传输数据,应该接受安全评估。
《办法》要求企业向地方网络主管部门和中国网信办提交自我评估报告,进行两轮审查。目前,一家公司可以通过与海外接收方签订合同并向当地网络管理机构备案,或者通过国家最高互联网监管机构的安全评估,合法地将中国数据转移到海外。
徐说,尽管这些措施已经实施了九个月,但在实践中实施缓慢,因为中国有太多这样的公司,没有足够的人力来处理他们的评估报告。
截至4月底,上海网络空间监管机构已收到400多份评估报告,其中只有0.5%得到了CAC的批准。
其他地方的情况也类似。一位知情律师告诉财新网,在全国范围内,当局已收到1000多份向海外转移数据的申请,其中只有不到10份通过了两轮审查。
财新网了解到,在国家层面,虽然CAC的数据局负责审查和批准评估报告,但更多的工作实际上是由CAC子公司的专门评估人员完成的,该子公司是一个名为CNCERT/CC的网络安全技术中心。该中心和该局共有约100名工作人员。
上述律师表示,除了人员配备方面的限制外,审查标准的不明确也减缓了审批过程,监管机构和公司在为什么要求的数据传输是必要的问题上意见不一致。安全评估措施要求申请人解释为什么他们的数据流向海外和海外接收者处理这些数据是合理、合法和必要的,但没有详细说明。
徐警告说,采取“一刀切”的措施可能会导致对一些行业的限制过于严格,这不利于平衡国家安全和数据自由流动的需求,因为并非所有行业都会引起国家安全问题。
一位接近网络当局的消息人士告诉财新网,随着本月标准合同措施的实施,监管机构将把更多的精力转向帮助这些合同完成备案程序,这反过来将加快安全评估的审批速度。
然而,上海交通大学数据法研究中心执行主任何媛指出,地方监管机构的工作量可能会大幅增加,因为从6月开始,人数少于100万的公司也需要签署一份标准合同。
加强合规性
自2023年以来,中国网络空间主管部门加大了宣传力度,如举办讲座,以使企业更熟悉数据传输规则,但企业的合规性似乎仍然很弱。
尽管当局不得不清理去年积压的大量提交材料,但这一数字实际上没有达到政府的预期。徐说:“全国应该有数十万家公司达到‘100万条以上个人信息’的门槛,但被审查的公司数量远没有那么多。”。
徐指出,合规成本高、与海外数据接收方沟通困难以及监管不确定性是影响公司申报跨境数据传输意愿的关键因素。
为了避免麻烦,公司倾向于咨询第三方机构提交安全评估报告。然而,财新网了解到,这些咨询机构要求的服务费很容易达到数亿元,这使小型公司处于不利地位。这些机构的服务质量也可能有所不同。
即使在顾问的帮助下,许多企业也很难获得批准。上海孙律师事务所合伙人张耀表示,许多首次申请并不完全符合监管要求。张补充道,尽管监管机构已经明确了涉及哪些数据需要出国、通过哪些系统、向谁发送以及是否存在安全风险等核心问题的要求,但“解决这些问题需要公司付出大量成本和精力”。
总部位于北京的中伦律师事务所合伙人陈继红表示,对于跨国公司来说,即使他们成功地将个人数据发送到国外,他们在随后的使用中也面临着持续的合规投资。
与此同时,申请转移数据的公司必须在提交的报告中提交有关其海外数据接收者的信息,但这些潜在接收者往往不愿分享信息。“例如,微软等外国互联网巨头已经明确表示,他们不会配合中国的数据安全审查,”他告诉财新。
两位接受财新网采访的律师表示,仍有许多问题没有得到解答,比如评估报告应该如何全面。因此,一些公司在申报数据传输时往往会采取隐瞒或共享有限信息的方式,律师们表示。
这种给评估过程蒙上阴影的不确定性问题似乎不太可能很快得到解决。徐说,由于跨境安全评估涉及政治安全和国家安全,当局不太可能公开所有相关信息。几位学者还指出,考虑到所涉及的工作量,制定和发布详细的合规规则并不是监管机构的首要任务。
对私营部门的寒蝉效应
财新网了解到,一家跨国制药公司暂停了国内临床药物试验,因为在通过安全评估之前,他们不敢将相关数据转移到中国大陆以外。一位公司代表表示,这将推迟相关药物在国内市场的上市,影响消费者的准入,并使其国内竞争对手受益。
一位资本市场律师告诉财新网,与此同时,许多公司在筹集资金和海外上市方面面临障碍。他解释说,关于跨境数据流动的模糊标准使天眼查和洽洽等国内数据提供商在提供公司信息时更加谨慎,因为担心违规,限制外国投资者进行有助于他们做出决策的尽职调查。
该律师表示,寻求海外首次公开募股的国内公司仍在受到CAC去年因违反国家安全和个人信息保护法对网约车巨头滴滴全球处以80亿元人民币(12亿美元)罚款的影响。“资本市场仍然担心踏入(数据监管)雷区。”
一位美国科技公司员工告诉财新网,紧张的中美关系也降低了一些美国公司增加在华投资的意愿。
普华永道会计师事务所上月发布的一份报告显示,2022年下半年,中国电信、媒体和科技行业的私募股权和风险投资为83.9亿美元,比上半年下降61%。
报告称,2022年下半年,投资超过1亿元的大型私募股权投资交易数量下降了60%,并指出投资市场低迷。
然而,在这种充满恐惧和不确定性的气氛中,也有一些公司愿意承担风险。财新网获悉,为了维持业务,一些在线旅行社尽管未通过安全评估,但仍将数据发送到国外。一位北京律师表示,一旦发生数据泄露或滥用,他们将被追究责任。
Read also the original story.
- 登录 发表评论