中国科学技术大学公共事务学院教授左晓栋在《北大金融评论》撰文表示，数据跨境流动安全管理制度是维护国家安全的利器，其实施已经迫在眉睫。多种数据混杂在一起，仅仅依靠人工核查难以胜任。因此，数据跨境流动安全管理制度不能成为“防君子不防小人”的摆设，必须通过高效的技术手段，提升技术保障能力。

本文完整版刊登于《北大金融评论》第15期。



信息流引领技术流、资金流、人才流和物资流，没有数据跨境流动就没有跨境贸易发展，金融领域受到的影响更为深远。目前，我国正在抓紧建立符合国情的数据跨境流动安全管理制度，政策框架已经初步形成，多项细则也于近日纷纷出台，且主管部门已经开展了一些数据出境安全评估的实践。但这项制度的顺利实施依然面临较多挑战，跨国企业遇到了很多在政策制定之初尚未显现的问题，这为下一步的政策完善提出了新课题。

我国数据跨境流动安全管理制度的基本设计

2017 年 6 月 1 日施行的《中华人民共和国网络安全法》第 37 条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。这是我国首次以法律形式规定数据出境要求，但当时规范的对象只是关键信息基础设施运营者的数据出境行为，而实践中数据出境的多发高发地带，还包括大量的互联网企业和中小机构。这意味着，法律在确立一项制度的同时，也留下了巨大的缺口，且这个缺口无法在细则层面予以补足，否则便是违反了法律的规定。

这一问题直接导致了我国数据出境安全评估工作迟迟不能开展，只能期待有新的立法予以补救。为此，2021 年9 月 1 日施行的《中华人民共和国数据安全法》第 31 条规定，（关键信息基础设施的运营者之外的）其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。2021 年 11 月1日施行的《中华人民共和国个人信息保护法》第 38 条规定，个人信息可以通过三种条件出境 ：通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同模板与境外接收方订立合同。同时，个人信息保护法还规定，我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的，可以按照其规定执行。即，法律对个人信息出境增设了例外条件，相当于开设了“绿色通道”。

此外，数据安全法和个人信息保护法还在另外的条款中，对境外司法、执法机构在境内调取数据作出了限制，要求必须经我国主管机关批准。这也是数据跨境流动的一种情形。

由此，我国的数据跨境流动安全管理制度框架基本建立，其可以表述为“3+1+1”。“3”即常规情况下的出境条件，即评估、认证和标准合同三种方式，根据不同的情况选择其一 ；“1”即通过国际协定开辟的绿色通道 ；另一“1”则专门针对因境外执法、司法机构提出请求而使数据出境的情况。

数据跨境流动安全管理制度建设进展

数据安全法和个人信息保护法发布后，我国数据跨境流动安全管理制度的建设重点是制定细则。截至目前，主要的进展在三方面：

第一，2022 年 7 月 7 日，国家互联网信息办公室发布了《数据出境安全评估办法》。该办法明确了以下三种情形下的数据出境需经过评估 ：一是数据处理者向境外提供重要数据 ；二是关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息；三是自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息。这与前述“3”中的“评估”相对应。

第二，2022 年 11 月 4 日，国家市场监管总局、国家互联网信息办公室联合印发了《关于实施个人信息保护认证的公告》，公告规定，两部门决定实施个人信息保护认证，鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动，并按照《个人信息保护认证实施规则》实施认证，该实施规则指出，对于开展跨境处理活动的个人信息处理者申请认证，应当符合《个人信息跨境处理活动安全认证规范》的要求。该认证规范于 2022 年12 月 16 日由全国信息安全标准化技术委员会秘书处发布。这与前述“3”中的“认证”相对应。

第三，2023 年 2 月 22 日，国家互联网信息办公室官网发布了《个人信息出境标准合同办法》。该文件规定，个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息时适用此办法。文件的附件为标准合同范本，数据出境方和接收方应严格按照标准合同范本订立实际出境的合同。这与前述“3”中的“标准合同”相对应。

需要指出的是，以上三种途径并非是并列关系。如果符合数据出境安全评估条件的，必须通过评估进行数据出境。不符合数据出境安全评估条件时，如果属于个人信息，则可以在认证和标准合同这两种途径之间做选择。

我国的数据跨境流动安全管理制度并非限制数据出境，而是规范其出境。此外，还有不需经由法律规定的途径便可实施数据出境的情况，如出境数据既非个人信息又非重要数据，其可自由出境。法律规定的数据出境条件，只是针对重要数据和个人信息。即使是处理 100 万人以上信息的数据处理者，如果出境数据中不含重要数据、个人信息，也不需经过评估、认证、标准合同等任何一种条件即可出境。

数据跨境流动安全管理制度的国际博弈

数据跨境流动既然涉及到“跨境”，其天然便是一个国际问题。当前，各国在数据规则领域展开激烈博弈，在很大程度上影响了国际经贸和外交关系，这是在制定国内政策时必须考虑到的国际因素。

数据跨境流动直接关系国家安全

数据是国家战略资源，没有数据安全就没有国家安全。当前，围绕数据控制与反控制的斗争十分激烈，一些西方国家通过各种手段在全球大肆掠夺数据资源，如实施“棱镜”等大规模监听、监控计划 ；以瘫痪关键信息基础设施、窃取重要数据为攻击目标，大力发展网络战部队 ；在企业的产品中安装“后门”，或利用向中国用户提供服务的机会，远程获取用户数据、控制或操纵用户系统和设备，由此可能导致我国的大量数据资源流失境外，对国家安全造成严重威胁。这也说明，数据跨境流动安全管理制度是维护国家安全的利器，其实施已经迫在眉睫。

数据跨境流动是当前国际经贸磋商和国际规则制定的焦点问题

经贸交流、货物流通，本质上靠数据在背后支撑和推动，故数据跨境流动议题直接决定了多项国际贸易规则和多边协定的谈判进程。2021 年 9 月，中国宣布申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）；2022 年1月，中国签署的《区域全面经济伙伴协定》（RCEP）生效；2022 年 8 月 22 日，商务部宣布中国加入《数字经济伙伴关系协定》（DEPA）工作组正式成立。这些协定均对数据跨境传输作了专门规定，客观上要求我国抓紧建立符合国际惯例的数据出境安全管理制度。
 

数据流动国际规则正在重塑国际政治经济格局

众所周知，美国之所以形成今天的“一超独霸”地位，“美元霸权”是关键因素，但美国认为，今后维持其霸权的是与美元规则类似的数据跨境流动规则。美国一些人士将中国作为“假想敌”，认为美国已经在数据治理立法上有所落后，现在应当直面中国带来的挑战，针对数字经济时代国际贸易的特点，重新组织制定国际贸易规则新框架。

美西方国家正借口数据跨境流动问题反华制华

多年以来，西方国家持续炮制“中国网络威胁论”，污称中国实施网络攻击，试图抹黑中国、压缩我国际生存空间。近年来，这一伎俩翻版、升级成对中国跨境窃取数据的指责，以更加吸引眼球。例如，为了限制中国的 5G技术，少数西方国家提出了《布拉格提案》，专门对源自中国的 5G 技术“抹黑”，其抛出的四项安全准则中，有三项与数据安全直接相关。美国还推出了“清洁网络计划”，实质上是要彻底把中国元素从美国“清洁”出去，理由是这都是中国企业和机构窃取美国数据的手段。

近期，美国正在针对中资背景的互联网应用 TikTok 开展网络安全审查，理由是 TikTok 将收集的美国用户数据传输到了中国大陆。

我国数据跨境流动安全管理制度面临的挑战

仅关注数据出境途径不能全面防范数据跨境流动安全风险

此前，我国政策法规的规范重点是明确数据出境条件，防止不该出境的数据流到境外。但数据跨境流动过程中，还有大量的数据处理活动可能影响数据安全。例如，无论采用何种出境形式，数据出境前都需要进行自评估，个人信息还需要进行个人信息安全影响评估 ；出境过程中要履行安全保护责任 ；出境后要监督数据接收方的义务履行，防范数据出境安全风险 ；出现纠纷后，还涉及到跨境追责问题。为此，有必要对数据出境的事前、事中、事后建立全面管理制度。

现在征订全年刊和三年刊，

即享超值优惠！

快扫码订阅吧～